带分支机构的中小企业数据安全解决方案.docx

带分支机构的中小企业数据安全解决方案占企业绝大部分的中小企业对于计算机信息系统和计算机网络的依赖性起来越高。一方面是基于信息系统的业务系统给企业带来的好处起来越明显，企业日常运作的方方面面都已经离不开信息系统；另外一方面，企业赖以生存的信息数据的安全性给信息系统管理人员和企业领导带来的忧虑也起来越严重。更多的中小企业已经开始将企业信息系统的数据安全提到了议事日程上来了。本方案针对典型的带有分支机构的中小企业提供全面的数据安全解决方案，但本方案也适合不带有分支机构的绝大多数中小企业。一、 用户需求分析1 用户现状用户在北京和杭州有二个数据中心，北京数据中心为生产中心，杭州数据中心为灾备中心。北京数据中心主要有基于Windows服务器的邮件服务器和SQL Sserver数据库服务器，这二个服务器为公司的核心业务服务器。除了这二个应用服务器外，公司还在其它服务器和桌面系统上存有大量重要业务文档，这些文档主要分为二类，一类是存储在服务器上通过业务系统进行存储和访问的公司级业务文档，另外一类是存放于个人桌面或移动系统上的公司中间文档或个人文档。2 用户需求 对公司在北京的邮件服务器和SQL Server数据库服务器进行在线热备份和灾难恢复。在备份的同时进行异地CDP容灾，将北京数据中心的邮件和SQL Server服务器通过Internet异步复制到杭州数据中心的相应服务器上。 对北京数据中心服务器上的公司业务系统生成的文档进行备份和灾难恢复，在业务系统进行访问权限控制的同时，进行系统级的访问审计和跟踪记录。根据需要对关键的业务文档进行归档和版本控制。 对分布在个人桌面系统上或移动系统上的公司中间文档和关键个人文档，根据公司规定和个人需求进行备份、归档、版本管理和访问审计跟踪。 对于不在北京的分公司和办事处，利用Internet连入公司业务系统的桌面机和移动系统，进行基于远程的数据安全保护，需求与在北京相同。 二、解决方案下图为用户目前情况和加入数据保护系统后的状况。SageStore数据保护中心文件服务器SageStore数据保护中心文件服务器远程复制文件服务器文件服务器邮件服务器NetworkNetwork邮件服务器Internet数据库服务器服务器数据库服务器根据用户的需求，本方案建议使用新锐英诚(北京)科技股份有限公司专业的企业数据安全保护产品智锐SageStore数据保护中心。此数据保护中心产品是一个软硬件一体的；整合运算和存储功能的；适应企业内部网络和Internet网络的；面向服务器和桌面系统的；综合应用服务器在线热备份、CDP持续数据保护、文件归档、邮件归档、实时复制、法规遵从、云连接性和灾难恢复等功能的一站式数据安全解决方案。为实现重要数据和文件的长期归档和离线保护，本方案建议在智锐SageStore数据保护中心的后端连接一台美国Spectra Logic公司的Spectra T50e磁带库，实现D2D2T的高级别安全备份和关键业务数据长期归档的目的。本方案建议在北京和杭州各安装一台智锐SageStore数据保护中心，北京的智锐SageStore数据保护中心用于实现对全公司包括各分支机构的备份归档和数据保护，杭州的智锐SageStore数据保护中心用于灾备份目的。平时将北京的智锐SageStore数据保护中心上的数据通过Internet复制到机州的智锐SageStore数据保护中心上，当北京的业务系统出现故障时，利用杭州的智锐SageStore数据保护中心上的数据对杭新本地对应的服务器进行恢复，然后将相关功能迁移到杭州的服务器上，最终实现服务器级的容灾。当所有服务器都出现上述情况时，则实现整个公司数据中心的容灾。在数据备份和数据安全上，利用智锐SageStore数据保护中心的备份恢复功能实现对邮件和数据库服务器的在线热备份，需要时进行灾难恢复。对文件服务器上的业务系统文件进行备份和恢复，并进行归档和版本控制，实现文件访问的跟踪审计。对于桌面和移动设备(包含北京总公司和其它分支机构)，根据需要进行统一备份、归档和访问跟踪审计。三、 产品介绍智锐SageStore数据保护中心是新锐英诚(北京)科技有限公司根据企业用户需求专门开发的企业数据安全保护系统，它将强大服务器的运算功能、高密度的磁盘存储和从服务器到桌面的多功能数据安全功能整合在一起，满足了企业各个层次的数据安全需求。根据用户的需求，智锐SageStore数据保护中心在硬件上有多种计算功能和存储容量的配置，最大存储容量可达到300TB以上。1、智锐SageStore数据保护中心的介绍智锐SageStore数据保护中心提供的是一个独立的、完整的数据保护系统,它能保证您的业务的连续性，历史数据、系统数据的持续保护。l 本地和远程的实时容灾，保证业务的连续性l 操作系统的保护，当用户系统崩溃时，不再需要安装操作系统，直接会从智锐SageStore数据保护中心存储池上启动，恢复操作系统l 主动式的实时数据传输：只要用户的数据一旦发生改变，就会实时传输到智锐SageStore数据保护中心存储池进行保存l 历史数据的归档：只要数据有修改，就会自动保存，用户可以查询保存周期内的任何一个历史数据的文档l 最短时间地CDP和最长时间保存的结合：用户可以在智锐SageStore数据保护中心上看到每分钟的CDP，和Backup的选项结合，可以将这些持续的历史数据保存几年或者几十年l 内容安全：对一些特殊的文件，可以对其的创建、读、写、复制、迁移等功能进行特殊的规定，并可以对不同用户实现不同级别l 数据操作的跟踪：能对一些设定的数据进行操作跟踪：什么时间，哪个用户，对哪个文件，用什么方式进行了什么样的操作l 按照byte字节进行数据的传输：只要用户的数据发生改变，就会实时传输到智锐SageStore数据保护中心存储池，以写入硬盘的字节改变量来传输，将对应用的影响几乎减少到0l 重复数据删除：在存储池中删除重复的数据，保证了存储空间的有效利用l 历史数据的检索，可以精确或者模糊的搜索历史的数据l 用户可以定制完全数据自己的策略l 数据保护状态的实时监控l 网络的自动调节和手工设定2、智锐SageStore数据保护中心的主要功能2.1 配置简便，灵活 智锐SageStore数据保护中心是一个数据保护平台，用户只需要在本地的应用服务器，或者远端的应用服务器安装一个最基本的客户端，智锐SageStore数据保护中心服务器就能看到客户端，对客户端的数据执行保护，而且业务系统也不需要重新启动和调试。也不需要对用户的应用做任何的改变，无缝结合。多个连接端口，可以连接不同交换机通过TCP/IP连接不管是本地，还是远程，都可以实现集中管理应用服务器只要安装一个客户端，不需要重启所有的操作均通过图形实现2.2 严谨、集中的管理一个优质的方案必须要通过一个优质的管理平台来发挥它最大的功能。智锐SageStore数据保护中心服务器集中管理所有的客户端，本地或者远程的镜像池，存储池，不管在什么地方，就像在本地一样。主要功能：对应用服务器的状态进行监控对网络传输进行进行监控全面的日志报告不同用户，不同的口令，实现不同级别的管理对本地和远程的集中管理本地可以实现对自己的数据恢复的管理2.3 人性化的策略设定智锐SageStore数据保护中心创新性提出了策略和机器无关的概念，也就是说用户先来规划自己数据的保护级别和容灾级别，这和数据的载体机器是没有关系的。一个策略包括了两个方面：用户的数据和需要对其执行的保护操作。我们可以看到用户的数据是用户完全可以定制自己独有的，可以根据路径、操作系统、存储类型、文件类型、用户、应用等方式来分类或者结合制定。然后对这个规划好的数据执行操作：实时文件版本归档、实时复制、每分钟的CDP、每小时的Backup、Block数据阻止、跟踪，可以是执行单功能，也可以是同时执行多种保护机制。图标的拖曳，能将用户想到的需求进行实现，制定出只属于自己的数据保护、容灾、持续数据保护策略。这是目前唯一的，真正从用户的角度出发，人性化的来订制自己的需求的一个完整数据保护平台。2.4 拓扑图方式对策略的实现用户在设定好策略以后，只要在一个空白的画布里面，用鼠标拖曳的方式，画出拓扑图，并将设定的策略应用到拓扑图中的机器上，保存支持就可以。用最直观的方式，体现了数据的流向、执行的策略、实现的数据保护级别和容灾级别。更可以通过演练的方式看到画出的拓扑图，或者设定的策略中是否有误。在保存、编译的时候，如果哪里有错误，会出现错误的提示，并进行修改后，重新编译。用户可以根据需求，增加新的拓扑结构，新的策略。而且不影响原来的设定。2.5 对数据保护系统的监控在monitor的界面上，我们可以在智锐SageStore数据保护中心服务器上显示上对各个应用服务器的数据保护的状态，有网络传输状态，缓存状态，硬盘缓存状态等。如果出现任何问题，会在有问题的那个设备上显示所有的错误信息。这样让用户可以很直观的看到数据保护执行的状态。2.6 操作系统保护主动保护和恢复用户的操作系统只要发生改变，就会保存在智锐SageStore数据保护中心服务器的存储池里面，并随着用户对系统的更新而不断的更新。当用户的系统崩溃的时候，服务器会通过光盘启动自动连接到智锐SageStore数据保护中心服务器，并在智锐SageStore数据保护中心服务器恢复用户需要的那个时间点的操作系统，可以是最新的，也可以任何一个历史阶段。这样用户不再需要为安装系统和应用烦恼，只需要几分钟的时间，就能将系统和应用恢复到用户需要的那个状态和时间点，继续业务的执行。2.7 对数据库业务的实时容灾对于用户的核心系统，一般是需要实时容灾，而且多为数据库系统，比如：Oracle/Sybase/SQL/Notes/Exchange等等。这些核心的业务系统是不能停止的。对于这样的核心应用，我们可以这样来实现1如果用户没有备机，可以使用智锐SageStore数据保护中心服务器的iSCSI存储，给用户的应用主机使用。i.将智锐SageStore数据保护中心服务器上内置的iSCSI DISK挂接给用户的应用服务器使用ii.将用户的应用实时传输到iSCSI DISK里面iii.当用户的数据出现问题的时候，只需要修改iSCSI Disk的盘符号就能继续业务的连续iv.不需要恢复v.也不需要切换2如果用户有额外的备机系统i.将主机上的数据实时传输到备机ii.保证了主机和备机系统上的数据的完整一致iii.当主机系统出现问题的时候，可以直接启动备机系统iv.这个时候备机系统就可以对外运行，保证了业务的连续性2.8 每一分钟历史数据的完整保存我们可以对历史数据实现每一分钟的快照，结合Live Backup的选项，可以将支持持续的数据保存几年或者几十年。我们可以看到的是每一分钟，当时应用的数据，可以恢复该时间点的全部数据，也可以恢复其中的某一个数据。真正做到了用户的持续数据保护的要求。2.9 文件的实时版本归档保存l 对一些需要经常修改的数据：设计文件、应用文件、邮件等l 每做一次修改会自动保存一份 l 当需要查找以前的版本的时候，在存储池中搜索该文件，就可以恢复以前的任意一个版本l 能避免用户误删除带来的损失l 也可以对历史文件进行归档，保证了这个文件从建立到现在的整个生命周期的管理l 可以随时调用每一个处理阶段的文件，作为比较和参考2.10 防止数据泄露对于一些特定的文件，根据不同的用户权限，设定它的读、写、复制、创建的权限。2.11 文件系统或者邮件系统的跟踪l 法规遵从的一个部分l 完整记录：什么时间，什么用户，在哪台服务器或者终端机上对什么文件执行了什么操作l 信息安全的一个重要保障2.12 远程容灾从上面的图中，我们很清楚的看到远程容灾的两个部分：1历史数据的远程容灾a)可以将本地的历史数据再传输一份到远程，通过重复数据删除后，传输对网络带宽的要求就很小了b)远程可以直接恢复数据进行查询和分析使用c)当本地的数据出现问题的时候，只需要在远程按照一个DPS的服务器模块，就能恢复存储池中的所有历史数据2实时数据的远程容灾a)将用户的应用数据实时传输到远程，因为是按照byte字节的改变量进行传输，所以即使是专线，也可以保证数据的完整和同步b)当本地出现问题的时候，远程不需要任何的恢复，就可以直接启动服务，对外运行c)这样保证了业务的连续性和不间断性。2.13 间断恢复功能智锐SageStore数据保护中心服务器的间断恢复功能是指，当发生电路中断，网络中断，或者机器故障时，持续数据保护工作仍不受影响。当故障排除后，会自动同步主机和智锐SageStore数据保护中心服务器之间的数据状态。将整个持续数据保护服务无间断运转。2.14 最大限度节省系统资源安装智锐SageStore数据保护中心数据保护程序仅会占用客户端不到1%的CPU，客户端的主机的应用不会受到任何影响。当海量硬盘数据需要保护的时候，或者在业务中产生大量变化数据时，内存、CPU和网络也会始终保持一个低负载状态。这样是为了保证前端应用不受任何影响的同时，全面保护数据。1网络传输自动调节，平时基本为1%2内存占用为：1%左右3CPU: 1%左右因为按照字节的改变量实时传输，所以对应用的影响降低