2012-07-20 09:20:29
來源:
隨著信息化建設(shè)的深入,網(wǎng)絡(luò)技術(shù)的普及,我們的生活和工作方式發(fā)生了巨大的變化。 E-mail代替信件成了人與人溝通的主要信息來源,縮短了人們通信的時間,拉近了彼此間的距離;教學(xué)部門通過教務(wù)等管理系統(tǒng)解決了學(xué)生、教師、教室等多方資源的沖突問題;學(xué)生們通過校園網(wǎng)不僅能夠了解自己在學(xué)校的學(xué)習(xí)情況,還能夠從各種途徑獲得對自己有益的資源書籍、論壇、blog等,拓寬了自己的知識面;教師們通過各種信息化手段縮短了與國際先進思想的差距,加快了科研及教學(xué)的步伐……所有這些都與信息化工作的深入和展開是分不開的,在信息化給我們帶來各種便利的同時,我們也發(fā)現(xiàn),隨著信息化建設(shè)的逐步深入,對其的依賴性也越高,我們的信息化建設(shè)也不斷受到各種因素的干擾,從最初的計算機病毒到網(wǎng)絡(luò)病毒、還有成天讓信息化主管們提心吊膽的計算機黑客,一旦發(fā)生信息化系統(tǒng)的故障,尤其是作為信息化基礎(chǔ)的數(shù)據(jù)丟失,將產(chǎn)生災(zāi)難性后果,對我們工作與生活的影響也是空前的,因此信息化越深入,數(shù)據(jù)的安全控制就越應(yīng)該得到重視和加強。
作為中國最高學(xué)府之一的北京大學(xué),信息化工作起步較早,其建設(shè)的腳印已經(jīng)深入學(xué)校的每一個角落。經(jīng)過20年的信息化基礎(chǔ)建設(shè),北京大學(xué)已擁有近5萬多計算機用戶、15萬億次的高性能計算能力、10G的網(wǎng)絡(luò)主干帶寬、網(wǎng)上辦公系統(tǒng)、教務(wù)教學(xué)管理、財務(wù)管理等20余種校務(wù)管理系統(tǒng)已經(jīng)推廣使用,北京大學(xué)的教學(xué)、管理及科研工作已經(jīng)離不開信息化技術(shù)的支持。
在信息化實施的過程中,北京大學(xué)也遇到了其它部門遇到的相同問題——信息安全。但受資金及安全觀念所限,在最初的信息化建設(shè)中很少考慮數(shù)據(jù)的安全,尤其是數(shù)據(jù)的直接物理承載體——硬盤的故障。
據(jù)北京大學(xué)計算中心2002~2003年的技術(shù)統(tǒng)計,其管轄的服務(wù)器群就有15塊硬盤毀壞,導(dǎo)致部分?jǐn)?shù)據(jù)丟失和系統(tǒng)工作的停滯,也正因為如此高的磁盤系統(tǒng)的故障率,數(shù)據(jù)安全得到了有關(guān)方面的高度重視。學(xué)校有關(guān)領(lǐng)導(dǎo)已經(jīng)預(yù)見到數(shù)據(jù)將成為信息化建設(shè)的基石,在未來的一段時間內(nèi),數(shù)據(jù)安全將成為信息化建設(shè)的關(guān)注點。
于是,計算中心自2003年開始了對該課題的探討和研究工作,并最終通過“211”二期項目的建設(shè),建立起北京大學(xué)信息與網(wǎng)絡(luò)數(shù)據(jù)中心(含災(zāi)備中心)。通過該項目的建設(shè),北京大學(xué)的信息化主導(dǎo)部門的主要數(shù)據(jù)得到了最完善的保護。
談到數(shù)據(jù)安全問題,就不得不提到2005年剛剛開始實行的國家信息化等級保護體系的建設(shè),其對目前信息化建設(shè)中存在的安全風(fēng)險作了較為詳細(xì)的分析,其間信息安全以層次劃分,分為5個層面,即:
a) 管理人員的安全(人員的安全管理、系統(tǒng)地安全健康等等);
b) 各應(yīng)用的控制安全(各種應(yīng)用級);
c) 系統(tǒng)的安全管理(操作系統(tǒng)及基礎(chǔ)應(yīng)用級);
d) 網(wǎng)絡(luò)環(huán)境的安全控制(協(xié)議級);
e) 數(shù)據(jù)環(huán)境的安全保護(硬件級)。
其考慮的核心內(nèi)容是對數(shù)據(jù)的保護,因為數(shù)據(jù)是信息系統(tǒng)的最重要的資產(chǎn),信息安全的最終目的是保護數(shù)據(jù)不損失、不失竊。通過各種途徑(如人員的賬戶強制管理、應(yīng)用的補丁、系統(tǒng)的補丁及加固、防火墻、硬件設(shè)備的冗余結(jié)構(gòu)等)在不同層面形成對數(shù)據(jù)的安全控制和保護,實現(xiàn)信息安全的最大化。通過以上5個層面的安全控制,實現(xiàn)數(shù)據(jù)的安全可控制、可管理、可伸縮、可恢復(fù)。
分步實施數(shù)據(jù)保護整體規(guī)劃
北京大學(xué)數(shù)據(jù)中心建設(shè)參照信息安全等級保護的規(guī)劃,突出了對數(shù)據(jù)的承載體——磁盤系統(tǒng)的保護。通過高可靠的SAN存儲網(wǎng)絡(luò)與智能存儲的搭配,配合備份軟件和高速帶庫,共同搭建北京大學(xué)信息與網(wǎng)絡(luò)數(shù)據(jù)中心,通過長程光纖實現(xiàn)了數(shù)據(jù)遠(yuǎn)程災(zāi)備,并最終達到:
1 搭建集中式冗余SAN路由環(huán)境,分散式SAN網(wǎng)絡(luò),分布到各主要機房和應(yīng)用的SAN網(wǎng)絡(luò),使SAN網(wǎng)絡(luò)延伸到校園內(nèi)光纖能夠到達的地方;
2 安全高效的集中式存儲,解決了數(shù)據(jù)存儲載體的安全和性能問題,也解決了容量問題,并且通過這種方式實現(xiàn)了主機系統(tǒng)的快速切換;
3 分區(qū)分級的數(shù)據(jù)存儲,通過不同性能的存儲系統(tǒng)的使用,達成業(yè)務(wù)數(shù)據(jù)和資源數(shù)據(jù)的分離,實現(xiàn)各類數(shù)據(jù)的分類存儲和保護;
4 備份軟件和高性能帶庫實現(xiàn)了數(shù)據(jù)的集中備份,通過網(wǎng)絡(luò)延伸到校內(nèi)各地,極大提高了北京大學(xué)整體的數(shù)據(jù)保護能力;
5 異地數(shù)據(jù)災(zāi)備系統(tǒng),提供了大容量的遠(yuǎn)程數(shù)據(jù)實時復(fù)制,最大限度地實現(xiàn)了關(guān)鍵數(shù)據(jù)的保護,減少極端條件下的數(shù)據(jù)損失,加快數(shù)據(jù)和應(yīng)用的恢復(fù)能力;
6 提高了系統(tǒng)管理人員的安全意識,改變了人員對安全的認(rèn)識,實現(xiàn)了管理規(guī)劃化。
從數(shù)據(jù)集中存儲到數(shù)據(jù)災(zāi)備和備份的各體系的建設(shè),通過不同系統(tǒng)對數(shù)據(jù)性能和安全的要求,區(qū)分?jǐn)?shù)據(jù)類型,進行分區(qū)分片存儲,對關(guān)鍵數(shù)據(jù)進行合理的自動化備份,對核心數(shù)據(jù)進行遠(yuǎn)程災(zāi)備,極大地提高了北京大學(xué)信息系統(tǒng)的抗干擾能力。尤其是數(shù)據(jù)災(zāi)備,對于高校來說還是一個很富有挑戰(zhàn)性的題目,其技術(shù)難度和管理難度都很大,投入也是巨大的。因此北京大學(xué)對該項目執(zhí)行調(diào)研優(yōu)先、分步實施、不斷改進的方針。項目一期建設(shè)主要進行了數(shù)據(jù)集中存儲,集中備份、搭建基礎(chǔ)的SAN存儲網(wǎng)絡(luò)。使用半年后,根據(jù)分步實施、不斷改進的原則,結(jié)合北京大學(xué)的實際需求,在二期項目中著重解決了大量資源數(shù)據(jù)的存儲、異地數(shù)據(jù)災(zāi)備、存儲網(wǎng)絡(luò)的延伸和優(yōu)化、創(chuàng)新性的SAN網(wǎng)絡(luò)應(yīng)用構(gòu)架,最終搭建了北京大學(xué)信息與網(wǎng)絡(luò)數(shù)據(jù)中心的完整框架。
二期項目中最復(fù)雜最關(guān)鍵的建設(shè)就是整個數(shù)據(jù)容災(zāi)系統(tǒng)的建設(shè),目前主流的災(zāi)備技術(shù)主要有硬件級復(fù)制技術(shù)和軟件級復(fù)制技術(shù)(區(qū)別如表所示);鏈路的選擇有純光纖技術(shù)和以太網(wǎng)絡(luò)的數(shù)據(jù)傳輸;鏈路設(shè)備也有FC交換機對FC交換機,路由器對路由器,以及通過DWDN等增強光纖通訊距離進行通信的特殊設(shè)備。
選擇硬件級災(zāi)備系統(tǒng)
在2001年“9·11”事件發(fā)生前,災(zāi)難恢復(fù)還沒有引起足夠的重視,但“9·11”后原世貿(mào)中心內(nèi)營業(yè)的各公司處境和出路卻發(fā)人深省,有的公司實施了很好的災(zāi)備措施和管理規(guī)范,損失巨大但很快恢復(fù)了其業(yè)務(wù);有些公司實施了基礎(chǔ)的災(zāi)備措施,但沒有進行災(zāi)備演練和妥善的文檔資料管理,公司損失了許多時間,影響了公司業(yè)務(wù)和形象;還有很多干脆沒有做災(zāi)備保護措施,其結(jié)局只能是消亡。當(dāng)然,“9·11”給世人影響最深的還是那些能夠迅速恢復(fù)業(yè)務(wù)的公司,其快速恢復(fù)能力不僅增強了用戶對其的信任,更增加了公司的生存能力。“9·11”也再次讓大家認(rèn)識到數(shù)據(jù)在信息時代的重要性,沒有數(shù)據(jù),其生存都無法得到保障。
基于對“9·11”事件的認(rèn)識,我們認(rèn)為災(zāi)備保護應(yīng)涵蓋兩個方面的內(nèi)容,即硬環(huán)境建設(shè)和軟環(huán)境建設(shè)。硬環(huán)境指必要的數(shù)據(jù)保存和恢復(fù)設(shè)施,如智能陣列、帶庫、及相關(guān)鏈路條件等;軟環(huán)境指對專業(yè)技術(shù)人員的保護和相關(guān)文檔資料的整理及妥善保存。兩者缺一不可,硬環(huán)境是基礎(chǔ),軟環(huán)境是操作手段,沒有硬環(huán)境的災(zāi)備無從做起,沒有軟環(huán)境的災(zāi)備難以恢復(fù),原有的大量投資將付之東流。
在綜合考慮北京大學(xué)自身情況后,北京大學(xué)的災(zāi)備項目最終以硬環(huán)境投資為主,兼顧加強完善文檔資料的整理及保存,努力使項目建成后能夠最大限度發(fā)揮其成效。
目前主流的災(zāi)備技術(shù)主要有硬件級災(zāi)備技術(shù)(陣列級)和軟件級災(zāi)備技術(shù)(主機級),兩方案各有特點和長處。
硬件級災(zāi)備技術(shù)更關(guān)注性能和綜合能力,其與主機平臺的無關(guān)性可以保障各種主機系統(tǒng)同時實施,而且對主機的性能影響最小;軟件級災(zāi)備技術(shù)的優(yōu)勢體現(xiàn)在靈活和投入上,對簡單的主機系統(tǒng)(數(shù)量很少)比較方便,通過主機上的特殊文件系統(tǒng),依賴網(wǎng)絡(luò)環(huán)境可進行超遠(yuǎn)距離的數(shù)據(jù)災(zāi)備。
基于以上兩種技術(shù)的特點分析,結(jié)合北京大學(xué)的情況:現(xiàn)成的長程光纖,合理的災(zāi)備地點昌平,以及北京大學(xué)復(fù)雜的應(yīng)用情況多平臺(Solaris、Windows、Linux)、多主機(SUN、Fujitsu、DELL多達近20臺)、多版本的具體因素,在慎重考慮綜合成本之后,北京大學(xué)決定建設(shè)硬件(陣列)級災(zāi)備系統(tǒng)。北京大學(xué)在2004年進行了該項目一期建設(shè)。通過國際招標(biāo),最終選定了富士通提供的Eternus 3000的M600盤陣組成裸容量20TB的業(yè)務(wù)存儲節(jié)點,使用富士通提供的Eternus 3000的LT160A2帶庫和Legato Networker備份軟件組成一套完善的備份系統(tǒng),Mcdata公司的兩臺4500構(gòu)建成冗余的光纖網(wǎng)絡(luò)環(huán)境。
系統(tǒng)在2004年11月進入調(diào)試運行,12月業(yè)務(wù)正式上線,總計有15臺服務(wù)器和20多個業(yè)務(wù)系統(tǒng)使用了盤陣,20多臺主機享受備份系統(tǒng)的保護,從而搭建了北京大學(xué)數(shù)據(jù)中心的安全、高效的存儲備份環(huán)境。
一期項目正式運行半年后,北京大學(xué)又結(jié)合新需求和新應(yīng)用,如圖書館和現(xiàn)代教育技術(shù)中心大量資源數(shù)據(jù)的存放,大量關(guān)鍵應(yīng)用數(shù)據(jù)需要得到更完善的保護,北京大學(xué)決定對系統(tǒng)進行升級,采購了兩臺富士通的Eternus 3000的M300,一臺15TB的作資源存儲,另一臺5TB放置在昌平作災(zāi)備節(jié)點存儲。其鏈路設(shè)備的選擇在充分調(diào)研和測試后,最終選擇了Brocade 7420路由器作校園內(nèi)SAN主路由, 創(chuàng)造性地利用SAN路由器的特點,既能夠?qū)崿F(xiàn)數(shù)據(jù)災(zāi)備鏈路,又能夠通過SAN路由和SAN交換機搭建北京大學(xué)的第二網(wǎng)絡(luò)—FC SAN光纖數(shù)據(jù)網(wǎng)絡(luò),使得未來北京大學(xué)的數(shù)據(jù)存儲可以延伸到光纖能到達的每個角落。
在經(jīng)過長達近兩年的項目建設(shè)之后,北京大學(xué)數(shù)據(jù)中心規(guī)劃目標(biāo)全部實現(xiàn)完畢,解決了許多信息化過程中棘手的難題:
第一,通過數(shù)據(jù)中心的集中式存儲解決了目前數(shù)據(jù)的物理存放的安全和效率及容量問題;
第二,帶庫和備份軟件的使用大大降低了系統(tǒng)管理人員的工作壓力,備份工作不再繁瑣和復(fù)雜;
第三,基于路由設(shè)計的光纖網(wǎng)絡(luò)極大地提高了北京大學(xué)存儲網(wǎng)絡(luò)的彈性和擴展性,其方案設(shè)計不僅解決了SAN交換的擴建問題,還有效解決了遠(yuǎn)程災(zāi)備鏈路的連接問題,使得該網(wǎng)絡(luò)滿足了高效、安全可靠、簡單實用的多樣化需求,也滿足了未來較長一段時間內(nèi)的需要;
第四,分區(qū)分類存放數(shù)據(jù),不僅解決了系統(tǒng)的壓力和投資問題,還大大提高了整體的使用效率和安全性。
災(zāi)備系統(tǒng)的建立,為北京大學(xué)信息化建設(shè)提供了高可靠高冗余度的數(shù)據(jù)保護環(huán)境,降低了極端環(huán)境下發(fā)生問題的損失,提高了北京大學(xué)信息化系統(tǒng)的安全性和可恢復(fù)性,整理了一套完整的災(zāi)備恢復(fù)資料,為未來的不可預(yù)見的問題奠定了良好的軟環(huán)境,提高了北京大學(xué)災(zāi)備系統(tǒng)的可用性。
完全物理隔絕內(nèi)網(wǎng)外網(wǎng)的數(shù)據(jù)泄露---光盤擺渡系統(tǒng)在軍隊信息安全的應(yīng)用指掌易便攜式手機合規(guī)檢測工具 助力涉密單位檢測工作高效進行畫方科技網(wǎng)絡(luò)準(zhǔn)入管理系統(tǒng)——技術(shù)白皮書“翻墻有兇險,觸網(wǎng)須謹(jǐn)慎”華鑫杰瑞防網(wǎng)絡(luò)“翻墻”系統(tǒng)方案5G——便攜違規(guī)手機及賬外機快速查找定位設(shè)備專網(wǎng)網(wǎng)絡(luò)安全防護解決方案防止激光竊聽 激光阻斷膜產(chǎn)品介紹手機數(shù)據(jù)智能糾察員——虛擬身份核驗系統(tǒng)DAT-205C多功能信號屏蔽器-軍用、公安部雙認(rèn)證手機探測門可以探測到移除SIM卡和拔掉電池的手機嗎?
