《网络安全技术》课件第9章

第9章数据安全9.1数据完整性简介

9.2数据备份系统

9.3归档和分级存储管理

9.4数据容灾系统

习题

9.1数据完整性简介

9.1.1数据完整性丧失的原因

1．人类通常系统最薄弱的环节就是使用它的人。人类是最容易犯错误的，不论是最终用户还是系统管理员，都可能会犯一些莫名其妙的错误。它给数据完整性带来的常见威胁有以下几种。

(1)意外事故。

(2)缺乏经验。

(3)压力和恐慌。

(4)蓄意的破坏和窃取。

2．硬件故障任何高性能的机器都不可能长久地运行下去，这也包含计算机部件。常见的影响数据完整性的故障有以下几种。(1)硬盘故障。(2)I/O控制器故障。(3)电源故障。(4)存储器故障。(5)介质、设备和其他备份的故障。(6)芯片和主板故障。

3．网络故障网络上的故障通常由下面的问题引起。

(1)网络接口卡和驱动程序的问题。实际上网络接口卡和控制它的驱动程序是不可分割的。在大多数情况下，网络接口卡和驱动程序的故障并不损害数据，仅仅造成使用者无法访问数据。但是，当网络服务器上的网络接口卡发生故障时，服务器一般就会停止运行，这就很难保证被打开的那些文件是否被损坏。

(2)网络连接上的问题。网络中被传输的数据对网络所造成的压力往往是很大的。网络设备(如路由器和网桥)的缓冲区不够大就会发生操作阻塞的现象，从而导致数据包的丢失。相反，如果路由器和网桥的缓冲容量太大，则调度如此大量的信息流所造成的延时极有可能导致会话超时。此外，网络布线不正确也可能会影响到数据的完整性。

(3)辐射问题。辐射会给数据造成损害是很自然的。可以采用屏蔽双绞线或光纤系统进行网络布线来达到控制辐射的目的。

4．灾难灾难往往会在毫无防备的情况下突然袭来，就像纽约世贸大厦的倒塌一样，所有系统连同数据会在顷刻间全部被毁坏，此时，数据的完整性受到了严峻的挑战。常见的灾难性事件有：(1)火灾；(2)水灾；(3)风暴(龙卷风、台风、暴风雪等)；(4)工业事故；(5)蓄意破坏和恐怖事件。

5．逻辑问题软件也是威胁数据完整性的一个重要因素，由于软件问题而影响数据完整性有下列几种途径：

(1)软件错误。在这里，软件错误包括各式各样的缺陷，通常与应用程序的逻辑无关。

(2)文件损坏。文件损失是由于一些物理的或网络的问题而导致文件被破坏。文件也可能由于系统控制或应用逻辑中的一些缺陷而造成损坏。如果被损坏的文件又被其他的过程调用将会生成新的有缺陷的数据。

(3)数据交换错误。在文件转换过程中，如果生成的新文件不具有正确的格式，那么也会产生数据交换错误。

(4)容量错误。在软件运行过程中，系统容量如内存不够也是导致出错的原因。

(5)不恰当的需求。在软件开发过程中，如果需求分析、需求报告没有正确地反映用户要求做的工作，则系统就可能生成一些无用的数据。如果出错检查程序未能发现这一情况，则程序就会产生错误的数据。

(6)操作系统错误。所有的操作系统都有自己的错误，这是众所周知的。此外，系统的应用程序接口(API)被第三方开发商用来为最终用户提供服务，第三方根据公开发布的API功能来编写其软件产品，如果这些API工作不正常就会产生数据被破坏的情况。

9.1.2提高数据完整性的方法

1．备份备份系统是用来保证信息系统安全的最常用的方法。所谓数据备份，就是将数据以某种方式保留，以便在系统遭受破坏或其他特殊情况下重新加以利用的一个过程。对系统而言，备份工作不仅可以保证数据的一致性和完整性，防范意外事件的破坏，消除系统使用者和操作者的后顾之忧，而且还是历史数据保存归档的最佳方式。换言之，即便系统正常工作，没有任何数据丢失或破坏发生，备份工作仍然具有非常重大的意义，它为我们进行历史数据查询、统计和分析，以及重要信息归档保存提供了可能。

2．归档归档是指将文件从网络的在线存储器上删除，并将它们拷贝到磁带或光学介质上以便长期保存的过程。尽管归档的主要目的可能是通过删除旧文件来使得网络上的剩余存储空间变得大一些，但是该方法也能通过从在线存储器上删除文件并将其转入永久介质上的措施来加强对文件系统的保护，因为归档文件不像在线文件那样会受到网络上可能发生的事故的干扰。归档也是灾难恢复计划的一个组成部分，存储在永久介质上的数据可以送到异地存放，这样在本地系统遭到灾难袭击时仍然有数据备份保存在异地。

3．分级存储管理企业的应用系统可在线处理大量的数据。随着数据量的不断增大，如果都采用传统的在线存储方式，则需要大容量的本地一级硬盘。这样一来，一方面投资会相对增大，而且管理起来也相对更复杂；另一方面由于磁盘中存储的大部分数据访问率并不高，但仍然占据硬盘空间，这样就会导致存取速度下降。在这种情况下，分级存储可以在性能和价格之间作出最好的平衡。所谓分级存储，就是根据数据重要性的不同、访问频次等指标采用不同的存储方式分别存储在不同性能的存储设备上。

4．镜像技术镜像是磁盘镜像的简称。数据库一旦建立镜像，则产生的每个I/O操作将都在两个磁盘上执行，而两个磁盘看起来就像一个磁盘一样。镜像磁盘在配置时即确定了磁盘的主次，一般数据首先被发送到主磁盘，然后被发送到从磁盘。在镜像技术中，两个系统是等同的。两个系统都完成了一个任务才算是真正完成了。当出现故障时，系统可将故障识别出来并切换到单子系统操作状态。对磁盘而言，镜像技术能很好地工作，但要实现整个系统的镜像是极具挑战性的。因为在两台机器上对内部总线传输和软件产生的系统故障等事件，会使镜像技术变得更加困难。目前，镜像有三种实现方式：软件镜像、主机I/O控制器镜像和外部磁盘阵列子系统。

5．廉价冗余磁盘阵列廉价冗余磁盘阵列(RedundantArrayofInexpensiveDisks，RAID)技术能够提高数据的可用性。它将多个硬盘构成一个同步化的磁盘阵列，作为一个虚拟的存储设备，将数据展开存储在多台磁盘上，并以冗余技术提高存储系统的可靠性。RAID能够保证一个或多个硬盘失效时有效地防止数据丢失，并且保证系统的正常运行。同时，RAID技术大大提高了数据的存储速度。

6．容灾计划灾难恢复计划是能够在灾难发生后重建系统的指导性文件。灾难恢复计划不仅规定了灾难前如何进行数据的备份、存储，还制定了如何在废墟上一步一步地重建系统，恢复数据和服务。虽然灾难并不经常发生，但是灾难恢复计划仍然必不可少，它可以使系统在遭受毁灭性破坏后仍然能够恢复到灾难发生前的正常状态。

9.2数据备份系统

9.2.1数据备份系统的分类

1．按接口分类备份系统按其接口可分为总线备份系统和网络备份系统。

1)总线备份系统如图9.1所示为一个总线备份系统。该系统从需要备份的服务器上用一根数据总线把备份设备连接起来。常用的总线包括SCSI总线、光纤通道等。

图9.1总线备份系统

传统的DAS(DirectAttachedStorage，直接外挂存储)方式，是基于总线的备份系统，这种备份系统的服务器结构如同PC机结构，外部数据存储设备(如磁盘阵列、光盘机和磁带机等)都直接挂接在服务器的内部总线上，数据存储设备是整个服务器结构的一部分，同样服务器也担负着整个网络的数据存储职责。总线备份系统结构简单，可靠性高，易维护，但增加备份设备的容量困难，并且备份设备与服务器的距离十分有限，比如SCSI总线的长度只有6～25m。

2)网络备份系统如图9.2所示为一个网络备份系统。该系统服务器与备份设备通过网络连接起来。由于网络具有开放性，因此这种系统很容易添加新的备份设备，并且服务器与备份设备的距离可以从几米到数千千米。

图9.2网络备份系统

2．按应用流量与备份流量是否分开分类备份系统按其应用流量与备份流量是否分开可分为混合流量备份系统和独立流量备份系统。在建立备份系统前，先分析备份系统的数据流量是非常重要的，这对备份系统的性能和可维护性有直接的影响。应用流量是指与实际应用有关的流量。备份流量是指把原数据拷贝到备份设备而产生的流量。从另一个角度来说，由于备份系统只是为提高原来应用系统的可靠性而附加的软硬件系统，因此应用流量就是没有备份系统时应用系统的流量，而备份流量就是在应用系统上因附加备份系统而新增加的那部分数据流量。

1)混合流量备份系统应用流量和备份流量通过同一个总线或者网络进行传输，会产生相互干扰，相互竞争。为了保证实际应用，备份操作和管理往往选在应用系统不太忙的时间进行。

2)独立流量备份系统应用流量和备份流量通过不同的网络进行传输，备份操作和管理可随时进行，对应用系统的影响不大。如图9.3所示为独立流量备份系统的示意图。

图9.3独立流量备份系统

9.2.2设备和介质

1．磁带介质磁带是所有存储媒体中单位存储信息成本最低，容量最大，标准化程度最高，技术最成熟的常用存储介质之一。它互换性好，易于保存。近年来，由于采用了具有高纠错能力的编码技术和即写即读的通道技术，因此大大提高了磁带存储的可靠性和读写速度。一盒磁带可存储高达400GB以上的数据，而一个磁带机传输速度可达本机30MB/s、压缩60MB/s。但是磁带只能顺序存取，这是磁带备份的最大不足。

2．磁盘介质磁盘介质存储数据是根据电-磁转换原理实现的。当磁盘工作时，盘片高速旋转，设置在盘片表面的磁头在电路控制下径向移动到指定位置，然后将数据存储或读取出来。当系统向磁盘写入数据时，磁头中“写数据”电流将产生磁场，使盘片表面磁性物质状态发生改变，并在写电流磁场消失后仍能保持，这样数据就存储下来了；当系统从磁盘中读数据时，磁头经过盘片指定区域，盘片表面磁场将使磁头产生感应电流或线圈阻抗将产生变化，经相关电路处理后还原成数据。

常见的磁盘有软盘和硬盘两种。软盘的容量有360KB、720KB、1.44MB和2.88MB等几种。由于软盘很容易损坏且容量太小，因此软盘不适于长期存储和存储容量较大的数据。目前，软盘将逐步被淘汰。硬盘由一个或几个表面镀有磁性物质的金属或玻璃等物质盘片以及盘片两面所安装的磁头和相应的控制电路组成，其中盘片和磁头密封在无尘的金属壳中。硬盘中的磁头在盘片表面读、写数据时所形成的若干个同心圆轨迹叫磁道，磁道从最外圈向内依次编为0道、1道等等。将硬盘中的所有盘片表面的任一磁道重合起来就形成一个空心圆柱体，这个空心圆柱体在磁盘技术中被称为柱面。盘片上每条磁道平均分为若干段，每一段就是一个扇区。硬盘的容量比软盘大得多，目前市面上已有容量高达400GB的硬盘，存取速度也比软盘快得多。

3．光学介质光学介质技术用来将从介质表面反射回来的激光信号识别成信息。光学介质上的0和1以不同的方式反射激光，这样光驱就可以向光轨上发射一束激光并检测反射光的不同。总的来说，光学介质比磁带牢靠得多，因为这种介质是静态的，也就是说，它不用在磁带传输机构中运动并以很高的速度绕在卷轴上。另外，这种介质自身也不产生脏物。但另一方面，往光学介质上写数据的挑战性比往磁带中的要大得多。

1)磁光介质磁光技术是基于磁技术和激光技术的一门综合技术。简单地说，磁光技术的工作原理为：当升高盘片上材料的温度时，磁盘上的磁排列方式会快速地改变。该介质的磁特性在常温下不能被改变，这就是可以将要长期保存的数据写在磁光介质上的一个原因。磁光盘简称为MO(Magneto-Optical)，在所有的现有介质中具有最好的持久性和耐磨性。MO介质的容量为138MB～9.1GB，而主流产品有2.6GB、1.3GB、640MB、230MB等多种，尺寸有3.5英寸和5.25英寸两种，使用得最多的是3.5英寸、640MB的MO。

2)可刻录光盘可记录CD(CD-R，CD-recordable)介质的表面光滑、透明，下面有一种染料衬底材料能够改变，用不同的特性代表数据位。写激光束能通过改变染料将数据写入CD。CD-R被看成WORM(WriteOnce，ReadMany，一次写，多次读)设备。CD-RW盘是指可以多次写入、多次读取的可擦写光盘。CD-RW的工作原理是使用了一种所谓的“相变”(FaceChange)技术，同样也是利用激光的大功率辐射，对光盘本身的感光物质进行瞬间的加温。与CD-R不同的是，CD-RW还要进行相位转换来记录资料，由此可以制成能够提供读取的反射点，而且这些类似小泡的反射点也是可以重复烧制的。刻录光盘的容量在650MB左右。容量更高的DVD-R、DVD-RW刻录光盘容量可达3.95～9.4GB。

9.2.3备份和恢复策略

1．备份策略备份最基本的问题是：为了保证能恢复全部系统，那么需要备份多少以及何时进行备份。目前常用的备份方法有如下几种。

1)全盘备份全盘备份是指将所有文件写入备份介质。尽管全盘备份简单易行，但数据太多将会导致备份时间过长，成本过高。因此实际上很少单独采用全盘备份，还需要找一些更为有效的方法。

2)增量备份增量备份只备份那些在上次备份之后更改过的文件。增量备份是进行备份最有效的方法。如果每天只需做增量备份，则性能和容量问题就可以大大减小。但是，从所有磁带中恢复数据所用的时间可能会很长。增量备份的另一个问题是：它通常依靠文件的系统属性来识别改变过的文件，而这种方法有时是不可靠的。有时可以建立一个文件系统数据库或某种记录来标志最近更改过的文件。这种方法很精确，但也可能导致其他的系统问题。增量备份通常与全盘备份一起使用，从而实现快速备份。这种方法可以减少恢复时所需的磁带数。举例来说，许多公司在周末进行全盘备份，在星期一到星期四进行增量备份。

3)差异备份差异备份是指仅备份上次全盘备份之后更改过的文件的一种方法。它与增量备份类似，只是在全盘备份之后，每一次备份都要备份在那次全盘备份之后有改变的所有文件。因此，在下一次全盘备份之前，日常备份工作所需的时间会一天比一天长。差异备份可以根据数据文件属性的改变，也可以根据对更改文件的追踪来进行。差异备份的主要优点是全部系统只需两组数据就可以恢复：最后一次全盘备份的数据和最后一次差异备份的数据。

4)按需备份按需备份是指在正常的备份安排之外，额外进行的备份操作。进行这种额外备份可以有许多理由。例如，可能只想备份很少的几个文件或目录，也可能备份服务器上所有的必需信息以便能进行更安全的升级。按需备份也可以弥补冗余管理或长期转存的日常备份的不足。

5)排除排除在本质上不是一种方法，只是排除不想备份的文件。保证这些文件不会被拷贝到介质上的方法有许多。这些文件有可能很大，但并不重要。也可能在备份时这些文件总是导致出错而且无法排除这个故障。

2．恢复策略恢复操作通常可以分为两类：第一类是全盘备份恢复，第二类是个别文件恢复。值得一提的是，还有一种称为重定向恢复的恢复操作。一般来说，恢复操作比备份操作更容易出问题。备份只是将信息从磁盘上拷贝出来，而恢复则要在目标系统上创建文件。在创建文件时有许多别的东西有可能会出错，包括超出了容量限制，权限问题和文件覆盖错误。备份操作不需要“知道”太多的系统信息，只需拷贝指定的东西就可以了。恢复操作则需要知道哪些文件需要恢复而哪些文件不需要恢复。

1)全盘恢复全盘恢复用在灾难事件发生之后，或进行系统升级、重组及合并的时候。全盘恢复的办法很简单：将存储在介质上的给定系统的数据全部转存到它们原来的地方。

2)个别文件恢复对大多数备份产品来说，这是一个相对简单的操作。它们只需浏览备份数据库或目录，找到该文件，然后执行一次恢复操作就可以了。

3)重定向恢复重定向恢复是将备份的文件恢复到另一个不同的位置或系统上去，而不是进行备份操作时它们当时所在的位置。重定向恢复可以是全盘恢复也可以是个别文件恢复。

9.2.4常见的备份解决方案

1．WindowsServer2003中的备份系统当系统硬件或存储媒体发生故障时，WindowsServer2003中的备份功能将有助于防止数据的意外丢失。例如，可以使用“备份”来创建硬盘中数据副本，然后将数据存储到其他存储设备上。备份存储介质可以是逻辑驱动器(如硬盘)、单独的存储设备(如可移动磁盘)，也可以是由自动交换器组织和控制的整个磁盘库或磁带库。如果硬盘上的原始数据被意外删除或覆盖，或因为硬盘故障不能访问该数据，那么用户可以十分方便地从存档副本中还原该数据。WindowsServer2003中的备份和恢复功能非常强大，完全可以满足中小企业数据备份和恢复的基本需求。

1)备份所需要的权限和用户权利必须具有特定权限和用户权利的人员才能备份文件和文件夹。如果是本地组中的管理员或BackupOperator组成员，则可以备份本地计算机上本地组适用的所有文件和文件夹。同样地，如果是域控制器上的管理员或备份操作员，则可以备份本地、域中或者具有双向信任关系的域中所有计算机上的任何文件和文件夹。但是，如果不是管理员或备份操作员，又想备份文件，那么就必须是要备份的文件和文件夹的所有者，或者必须针对所要备份的文件和文件夹具有一个或多个以下权限：读取、读取和执行、修改或完全控制。

2)备份数据将文件备份到文件或磁带的步骤如下所述。

(1)打开“开始”菜单，选择“程序”→“附件”→“系统工具”→“备份”，打开“备份和还原向导”，如图9.4所示。在这个界面上，提供了备份和还原的两种模式：向导模式和高级模式。

图9.4“备份或还原向导”对话框

(2)单击“下一步”按钮，将选择向导模式，出现如图9.5的对话框，选择“备份文件和设置”，进入备份向导。

图9.5“备份或还原”对话框

(3)单击“下一步”按钮，打开如图9.6所示的对话框。在这个对话框中选择要备份的数据内容。如果要备份整个计算机系统，则选择“这台计算机上的所有信息”单选项；如果只是要备份某些指定的内容，则选择“让我选择要备份的内容”单选项。

图9.6“要备份的内容”选项卡

(4)如果选择的是“这台计算机上的所有信息”单选项，单击“下一步”按钮，打开如图9.7的对话框。在这个对话框中可以为所进行的备份活动指定一个名称和备份文件的存放路径。

图9.7“备份类型、目标和名称”选项卡

备份文件的存放位置可以选用本地磁盘(在企业备份中通常不这样选择)，也可以选用网络中其他计算机上的磁盘，还可以选用磁带机、光盘机、磁带库或光盘库等存储媒体。中小企业通常选用磁带机，而大中型企业则通常选用磁带库、光盘库等大型存储设备。至于备份文件名则通常要求带有备份的日期和备份的类型或用途等，以便识别。如这里进行的系统备份文件的名称为“SystemBackup-06-05-21”，其中包括了备份的类型为SystemBackup(系统备份)，备份日期为2006年5月21日。

(1)在图9.4的界面选择“高级模式”，打开备份工具界面，如图9.8所示，所有的备份和还原工作，都可以从这个界面开始。

图9.8“备份工具”选项卡

(2)单击“备份”选项卡，可打开如图9.9所示的对话框。在这个对话框中选择要备份的文件夹，如果要备份某个磁盘或文件夹上的文件，则单击相应磁盘或文件夹前面的“+”号，展开各文件夹，直到出现要备份的文件夹。选择备份文件名及路径，然后单击“开始备份”按钮。

图9.9“备份”选项卡

(3)如图9.10所示，在“备份作业信息”界面单击“高级”按钮，打开如图9.11所示的对话框。在这个对话框中可以选择此次备份活动所用的“备份类型”以及是否启用“备份后验证数据”、“禁用卷影复制”等功能。

(4)如图9.10所示界面，单击“开始备份”按钮，系统将自动完成备份功能。

图9.10“备份作业信息”对话框

图9.11“高级备份选项”对话框

3)还原数据还原数据也可采用向导模式和高级模式，下面仅以高级模式为例作一简要说明。

(1)在“备份工具”界面(如图9.8所示)上，单击“还原和管理媒体”选项，打开“还原和管理媒体”对话框，如图9.12所示。在这个界面上可以看见前面已经备份好的文件，在这个界面还可选择要还原的文件，以及是否将文件还原到原位置或其他备用位置。

(2)在图9.12所示的界面中单击“开始还原”按钮，出现“确认还原”界面，如图9.13所示。如果需要高级设置，则单击“高级”按钮，随后可设置“还原安全机制”“还原交界点”“保留现有卷的装入点”等若干项目。

图9.12“还原和管理媒体”选项卡

(3)在图9.13所示的界面中，单击“确定”按钮，还原工作开始。

图9.13“确认还原”选项卡

4)计划作业的添加和删除如果用户觉得手动备份驱动器、文件夹和文件比较麻烦，WindowsServer2003提供了计划备份的方式来进行备份计划安排，让系统自动完成备份操作。要添加计划作业步骤如下所述。

(1)在图9.8所示的界面中，单击“计划作业”选项，打开如图9.14所示的选项卡。

图9.14“计划作业”选项卡

(2)根据当前的日期，在日历中为计划选择一个起始日期(注意：单击左箭头按钮或右箭头按钮可改变日历的月份，直接单击日历中的表格也可改变日期)。

(3)计划起始日期后，单击“添加作业”按钮，可打开“备份向导”对话框，单击“下一步”按钮，打开如图9.15所示界面，选择保存备份的位置和备份文件的名称，在图9.16所示的界面中，选择备份的类型。

图9.15“备份类型、目标和名称”选项卡

图9.16“备份类型”选项卡

(4)在图9.17界面中，选择“以后”单选项，使计划在以后执行。如果用户要系统马上执行备份计划，则选择“现在”单选项，同时在“作业名”文本框为备份计划输入一个作业名。单击“设定备份计划”按钮，打开“计划作业”对话框，如图9.18所示。

图9.17“备份时间”选项卡

图9.18“日程安排”选项卡

图9.19“设置帐户信息”选项卡

(5)在“计划作业”选项卡中进行日程安排，同时还可以选择“设置”选项对该项任务进行相关设置，如图9.18所示。

(6)单击“确定”按钮，然后单击“下一步”按钮，要求用户“设置帐户信息”，如图9.19所示。设置完毕后，即可进入“完成备份向导”界面，检查信息是否有误，无误则单击“完成”按钮即可。

2．基于NAS的备份系统

NAS(NetworkAttachedStorage，网络附加存储)方式是独立于PC服务器，单独为网络数据存储而开发的一种文件服务器。它提供了一个简单、高性价比、高可用性、高扩展性和低总拥有成本(TCO)的网络存储解决方案。在这个存储方案中，最关键的就是一台专用于数据存储设备管理和数据存储的文件服务器(俗称“NAS服务器”)。它安装了一个简化的操作系统，配备了一些需要的组件。NAS服务器可直接通过IP以太双绞线连接在原有企业网络上，作为网络的一个节点而存在。服务器和工作站用户都可以直接通过网络访问NAS服务器。NAS方式的网络结构如图9.20所示。

图9.20NAS方式的网络结构

在这个NAS服务器上集中连接所有网络存储设备(如各种磁盘阵列、磁带盒光盘机等)，存储容量可以得到较好的扩展，同时由于这种网络存储方式是NAS服务器独立承担的，因此对原来的网络服务器性能基本上没有影响，进而可确保整个网络性能不受影响。

NAS方案是基于局域网而设计的，按照传统的TCP/IP进行通信，面向消息传递，以文件I/O总线方式进行数据传输。在LAN环境下，NAS已经完全可以实现异构平台之间的数据级共享，比如Windows、Linux和Unix等平台的共享。所以，NAS方案对于企业来说，其使用和维护成本相当低，完全可以由现有网络管理员操作。

由于NAS方案是基于原有局域网设计的，是部件级的存储方法，因此NAS将存储设备通过标准的网络拓扑结构连接到一群计算机上，在适用性方面具有较强优势。

(1)NAS方案无需网络文件服务器直接上网，不依赖于通用的操作系统，而是采用一个面向用户设计的、专门用于数据存储的简化操作系统，内置了与网络连接所需的协议，因此使整个系统的管理和设置较为简单。

(2)NAS服务器是真正的即插即用的产品，并且物理位置灵活，可放置在工作组内，也可放在其他地点与网络连接。

(3)NAS方案是网络技术在存储领域的延伸和发展，数据以文件的形式按照网络协议在客户机与存储设备之间流动，它可以实现异构平台的客户机对数据的共享，集成在存储设备内的专用文件服务器，从而提高了文件传输的I/O速度。一旦用户把互联性和多平台性放在首位，NAS的考虑就会多一些。

3．基于SAN的备份系统存储区域网络(StorageAreaNetwork，SAN)是1997年由COMPAQ公司率先提出的，它是一种采用了光纤接口将磁盘阵列、磁带以及相关服务器连接起来的高速专用子网。

SAN结构允许服务器连接任何存储阵列或磁带，这样不管数据放置在哪里，服务器都可直接存取所需的数据。网络数据的传输是通过具有高传输速率的光通道的直接连接方式，数据存储管理集中在相对独立的存储区域网内。简而言之，SAN将多个存储设备通过光交换网络与服务器互联，使得存储系统有更好的可靠性和扩展性，其网络结构如图9.21所示。

图9.21SAN数据存储网络结构

在这种方案中，起着核心作用的是光纤交换机，其支撑技术是FibreChannel(FC，光纤通道)协议，这是ANSI为网络和通道I/O接口建立的一个标准集成，支持HIPPI、IPI、SCSI、IP和ATM等多种高级协议。在对性能和可靠性要求较高的场合，采用先进的SAN数据存储网络，可以使数据的存储和备份等活动独立于原先的局域网之外，从而减轻LAN的负载，保证原有网络应用的顺畅。SAN网络采用光纤传输通道，可以得到高速的数据传输速率。SAN中的数据以集中的方式进行存储，从而加强了数据的可管理性。

与NAS相比，SAN具有下面几个优点。

(1)SAN具有无限的扩展能力。由于SAN采用了网络结构，服务器可以访问存储在网络上的任何一个存储设备，因此用户可以自由增加磁盘阵列、磁带库和服务器等，从而使得整个系统的存储空间和处理能力得以按客户需求不断扩大。

(2)SAN具有更高的连接速度和处理能力。SAN采用了为大规模数据传输而专门设计的光纤通道技术，从实测的结果来看，SAN系统可以在不占用大量CPU的情况下，轻松地超过NAS的性能。在服务器集群、远程灾难恢复和因特网数据服务等多个领域也显现出比NAS更高的适用能力。

SAN与NAS一样，在具有一定优势的同时，也存在一些不足，主要体现在以下几个方面。

(1)SAN方案成本太高，许多中小型企业无法承受。这主要是因为它的全光纤通道部署需要另外购置昂贵的光纤通道交换机、支持光纤通道的磁盘阵列以及其他存储设备。在一般情况下，同一个系统采用SAN的价格要比采用NAS贵10%～30%，尽管在性能上有较大提升，但许多中小型企业还是接受不了这个不小的差价。多数大中型企业也觉得SAN方案投资太大，于是采用一种综合方案，就是将NAS和SAN混合的存储方案，即在本地网络中，采用NAS存储方式，在总公司与分支机构之间采用SAN方案进行镜像，因为光纤的传输距离可达10km以上。

(2)SAN方案不是采用传统的IP技术，所以一般的网络管理员并不熟悉，可能需要聘请专门人员或者花高价培训网络管理员，这样维护成本就大大增加了。

(3)SAN目前还面临着标准未统一的难题。不同SAN网络设备厂商的产品不能相互兼容，使得用户难以作出恰当的选择。目前，有一个由多个著名网络存储设备商共同提出的OpenSAN的概念，在这个概念的支持下，至少这个概念的提出者的产品之间可以相互兼容，从而为用户提供了很大的选择便利。

9.3归档和分级存储管理

9.3.1归档归档是指将数据拷贝或打包，以便能进行长时间的历史性保存。很显然，归档的主要作用是长期保存数据，可将有价值的数据安全地保存很长时间，例如人力资源信息、工程图、详细商业分析、药物研究数据、数字图像等数据。归档数据的另一个原因是在线系统上数据太多，以至于系统效率大大下降，这时需要将其中的一些数据另找地方存放，在以后需要时再从后备(离线)存储器中访问。归档和备份的目的不同，归档用于长期保存数据，而备份主要是恢复由于某些原因损毁或丢失的数据。归档和备份数据的保存时间也不同，归档数据可长期保存，备份数据通常不会超过两个月。另外，备份通常每天都要进行，而归档通常就不那么频繁了。

9.3.2归档策略在决定归档文件时，首先要考虑的事情是想归档什么文件。有4个文件系统指标常用来进行这种选择。表9.1列出了这4种指标，并指出它们是否主要用于历史性归档或容量管理。

表9.1归档策略中的文件系统指标

9.3.3归档方法和工具

1．文档管理几乎所有的文档管理软件都包含归档文件的方法。归档文件的方法有容量管理归档和历史性归档两种。文档管理系统一般管理网络上一些定义过的文档组。通过包括关键字、文本串、题目、所有权，甚至模糊语言匹配算法在内的各种搜索方法，文档管理系统可以快速地寻找到所需的文档。这种方案能帮助有繁重文档处理要求的机构尽快地寻找到文档。这些系统会通过选择符合归档判据的一些文档文件以便清理目录结构。这些判据通常是时间(距离最后一次备份的时间)。随后，文件管理系统将这些文件移入作为临时存放处的目录中保存，最终在文件被写入可移动介质或被用户删除时删除该文件。

文档管理系统的操作员应定期检查该目录，将其中的文件写入可移动介质通常是磁带上。这个过程一般手工进行，由操作员用另一个产品执行真正的介质写入操作。该操作过程包括校验文件确实已被正确地写入磁带和给磁带命名，以使文件管理系统可以识别该磁带。当文件被传输到磁带上后，操作员还应进行另一项操作，在文档管理系统中将已归档的文件从归档目录中删除，并将这些文件的位置重置到它们被写入的那些磁带上。尽管上述方法可以工作，但仍存在很大的弱点，主要是在磁带管理中没有冗余配置，如果磁带由于任何原因变得不可读，则数据将会丢失。另一个主要弱点是该过程是手工操作和自动操作的混合，没有完整性检查，文件管理系统将无法校验以保证所有的文件在被删除之前已被正确写入磁带。

2．压缩归档这是PC网络上进行数据归档的流行方法。其基本原理是用数据压缩工具对数据进行压缩，使其占用的磁盘空间少一些，然后定期地将其拷贝下来存在其他地方或将其删除。该方法与前面描述的文件管理很像，只是没有自动的、由系统配置的文件选择，也没有一个预定义的存放要归档文件的保留目录。管理员使用压缩归档时，一般用文件系统工具按照大小、时间和所有者来识别和选择文件。检查选出的文件后，管理员用压缩工具对文件进行压缩并删除原始文件。这样做通常可以节省高达70%的磁盘空间。通常文件并不是一对一地进行压缩，即一个压缩文件仅对应一个原始的未压缩文件，而是由压缩工具将文件组合在一起压缩成一个大的压缩文件。

由于可以从压缩文件中搜索出包含文件的目录，因此该方法很适合于数据管理。这是一种直截了当的方法，LAN系统管理员必须详细地记录包括目录、磁带和压缩文件在内的所有信息。除此之外，这种方法不像文档管理系统，该方法没有简单的工具可以使最终用户找到所需的那些文件，也没有强制性的冗余策略来保证数据不会由于介质损坏而丢失。该方法的最大问题可能是操作过程没有专门的标准，使用起来有很多个人因素。这使得进行压缩归档的人由于某些原因离开原位之后，其他人将难以从压缩文件中寻找和恢复任何东西。

3．用备份系统归档备份系统也是一种常用的归档方法。首先确定什么文件要进行归档，然后运行一次备份操作将这些文件存在可移动介质上，最后删除这些文件。这种方法提供了压缩归档和文件管理系统都缺乏的设备和介质写入操作功能。先进的LAN备份产品都提供一些归档文件的功能。这些功能称为磁盘修饰或文件迁移。但不幸的是，像前面讨论的压缩归档方法一样，大多数备份系统的归档功能都不提供对介质上的文件的校验。备份系统也许有一些进程日志或数据库能用来追踪文件，但这些信息的最终用户并不是总可以访问的。

9.3.4分级存储管理分级存储管理(HSM，HierarchicalStorageManagement)是一种对用户和管理员而言都透明的、提供归档功能的自动系统。HSM和归档的主要区别是：HSM在本质上并不将文件删除，而是在文件原来的地方留下一个很小的文件。当最终用户想要访问原文件时，这个文件就被用来自动地将原始文件找回来。另外，HSM系统用“迁移”一词代替术语“归档”。存储形式包括在线存储(OnStore)、近在线存储(NearStore)和离线存储(OffStore)。在线存储又称工作级的存储，存储设备和所存储的数据时刻保持“在线”状态，是可随意读取的，可满足计算机平台对数据访问速度的要求。如我们PC机中常用的磁盘基本上都采用这种存储形式。一般在线存储设备都为磁盘和磁盘阵列等磁盘设备，价格相对昂贵，但性能最好。

离线存储主要用于对在线存储的数据进行备份，以防范可能发生的数据灾难，因此又称备份级的存储。离线海量存储的典型产品就是磁带或磁带库，价格相对低廉。离线存储介质上的数据在读写时是按顺序进行的。当需要读取数据时，需要把带子卷到头，再进行定位。当需要对已写入的数据进行修改时，所有的数据都需要全部进行改写。因此，离线海量存储的访问是慢速的、低效率的。

所谓近在线存储，就是指将那些并不经常用到，或者说数据的访问量并不大的数据存放在性能较低的存储设备上。对这些设备的要求是寻址迅速，传输率高，因此，近在线存储对性能要求相对来说并不高。但由于不常用的数据要占总数据量的大多数，因此这也就意味着近在线存储设备首先要保证的是容量。在分级数据存储结构中，磁带库等成本较低的存储资源用来存放访问频率较低的信息，而磁盘或磁盘阵列等成本高、速度快的设备用来存储经常访问的重要信息。数据分级存储的工作原理是数据访问的局部性。通过将不经常访问的数据自动移到存储中较低的层次，释放出较高成本的存储空间给更频繁访问的数据，这样可以获得更好的总体性价比。

简要地说，HSM是这样工作的：文件由HSM系统选择进行迁移，然后被拷贝到HSM介质上。当文件被正确地拷贝后，一个与原文件有相同名字的标志文件被创建，但它只占用比原文件小得多的磁盘空间。当用户想访问这个标志文件时，HSM系统就会介入进来将原始文件从正确的HSM介质上恢复过来。

HSM的分级含义来自于当数据变得越来越陈旧时，它们被从一种存储介质转移到另一种介质上。HSM采用一种能有效利用介质和存储子系统的结构来优化性能并节省金钱。研究指出，文件越是在近期被修改就越有可能再次被访问，所以应把最近使用过的数据存放在最快也最贵的介质上。当数据很久没有被更新，近期也可能不被访问时，它就被移动到廉价一些也慢一些的介质上，如图9.22所示显示了HSM系统中3种最常见的分级：在线、近在线和离线。在线数据存放在系统磁盘上。近在线数据被移动到与磁盘相比一般不太贵的介质上，在这种介质上数据可以快速地被访问。离线数据则再次被移动到更廉价的介质上，并且可能不能自动地被寻回。

图9.22HSM系统的分级存储管理

1．HSM的功能组件

1)自动迁移迁移是执行归档功能的操作。换句话说，迁移就是将文件拷贝到可移动介质上，并在服务器上将这些文件删除。在HSM中，迁移组件也负责创建标志文件。该方法采用一组参数来决定文件何时应被归档以及哪些文件应被归档。

自动迁移通常由于一个系统存储容量门限被超过而触发，也有可能按安排好的设置而触发。例如，系统应当建立一个监控进程以判断系统的磁盘容量是否超过了95%，如果超过了，HSM系统就会介入并开始拷贝和删除文件。设定的容量水平就像是一个高水位标志，通常设在85%～95%的磁盘容量之间。一旦磁盘容量超过了某一点，就有可能会出现一个问题，即迁移持续不断地进行，并开始移动欲保存在在线存储器上的那些文件。所以应当有一个门限容量决定何时停止迁移操作。这个门限容量称为低水位标志。典型的低水位标志在磁盘总容量的60%～70%之间。

2)自动回唤自动回唤是在用户想要访问标志文件时，将文件从HSM系统中恢复过来的功能。该过程对用户而言越透明、越快就越好。其工作原理为：在系统中建立一种机制使其可以识别出一个标志文件。这种机制可以通过捕获每一个打开文件请求的监控程序来实现，也可以通过文件系统的修改来实现，这样文件系统自己就可以识别标志文件了。一旦标志文件被识别出来，从其中读出的少量信息就会被送到HSM系统中，然后HSM系统获得这些信息并决定使用什么介质来恢复该文件。正确的介质被装载，然后文件被恢复到磁盘上，将标志文件用原始文件覆盖。

3)标志文件或占位文件标志文件与原始文件拥有相同的文件名，但它比原始文件小得多。标志文件的可移动性十分重要。标志文件如果要能移动，它就必须能自我描述，并包含在创建时自己的位置信息。例如，假定有一个名为A的目录，HSM系统将其中的文件迁移并留下了标志文件。后来用户将A改名为B，其他任何东西都没有被改变。当用户想访问他们迁移了的文件时，只需打开标志文件，回唤操作就开始了。恢复操作开始后，系统发现目录不是从前那个目录，这时系统回唤该文件，但恢复操作只将文件恢复到它原始的位置上。

2．分级结构在有关HSM的讨论中用到的一个概念是近在线存储。近在线存储是指用来快速地恢复已迁移文件的子系统。一般说来，近在线存储通常由一个自动装填机或唱机式设备组成，其中装有存储着已迁移文件的介质。研究显示，最常见的回唤操作发生在最近被修改的那些文件上，也就是说，最新的HSM介质最有可能被用户访问。

1)两级分级一个两级分级的HSM系统是基于这样的认识建立的，即仅仅只需一个存储空间来存储迁移数据，也就是近在线存储。当达到了设备的存储容量时，只需将最老的介质从中移出并存放在凉爽、干燥的地方即可。尽管没有从近在线到离线的自动数据迁移，但这种方法仍和图9.22所示的HSM模型相一致。考虑一个两级分级系统的另一个办法是将其看成是在线系统的扩展文件系统。这样的系统适合于许多LAN。

2)三级系统三级分级的HSM系统是最常见的。像前面所描述的那样，迁移文件先被存放在近在线设备上以备快速回唤，然后随着时间的推移，再次移动到离线存储介质中。离线系统可以是像大型磁带库那样的自动系统，也可以是与作为近在线存储的光学唱机式设备一起组成系统的磁带库，它可以提供慢速但是自动地从离线存储子系统的文件回唤。

9.4数据容灾系统

9.4.1容灾系统的组成一个完整的容灾系统应该有以下几个部分组成。

(1)本地的高可用系统。确保本地发生局部故障或单点故障时，仍然能保证系统数据的完整性和服务的连续性。

(2)数据备份系统。用于抵御用户误操作，病毒入侵，黑客攻击等威胁。

(3)数据远程复制系统。保证本地数据中心和远程备份数据中心的数据一致性。

(4)远程的高可用管理系统。实现远程数据管理，它基于本地的高可用系统，在远程可实现故障的诊断、分类并能及时采取相应的故障接管措施。数据的远程复制技术是容灾系统的核心技术，是保证远程数据同步和实行灾难恢复的基础。数据复制技术存在两种主流模式。●

硬件数据复制技术。硬件数据复制技术是指通过专线来实现磁盘存储设备之间的数据交换，由存储系统的专用硬件控制实现。复制时主机开销较小，但磁盘开销大，传输距离有限。

●

软件数据复制技术。软件数据复制技术是指通过备份软件进行系统逻辑卷的复制。它可以通过广域网基于IP来实现，管理十分灵活，可以实现远程的高可用体系(远程监控和切换)。软件复制方式传输距离长，存储设备开放，对本地业务产生的效率影响较小，但对主机的开销较大。

数据复制的方式主要有如下两种。●同步方式。同步方式指通过容灾软件(或硬件系统)将本地生成的数据以完全同步的方式复制到异地，每一个本地I/O事务均需要等待远程复制操作完成后方可释放。这种方式的远程数据和本地数据完全同步，但本地数据处理过程受网络环境影响较大，本地I/O访问效率不高，远程网络故障后的恢复机制复杂。●

异步方式。异步方式指通过容灾软件(或硬件系统)将本地产生的数据以后台同步的方式拷贝到异地，它不影响本地的数据操作，受网络环境影响较小，在软件复制方式中被广泛采用。

9.4.2容灾等级

1级：卡车运送访问方式

1级要求设计一个灾难恢复方案，根据该方案在平时备份所需要的信息，将它运送到异地保存。在灾难发生时将根据需要，有选择地搭建备援的硬件平台并在其上恢复数据。卡车运送方式是一种广泛使用的容灾系统。备份数据被送到异地保存，可抵御大规模的灾难事件。灾难发生后，需要按规定的数据恢复程序购置和安装备援硬件平台，恢复系统和数据，并提供服务。这种容灾系统成本较低，且易于配置。但当数据容量增大时，将出现备份数据难以管理的问题，用户难以及时知道所需要的数据存储在什么地方。

2级：卡车运送方式＋热备份站点

2级在1级的基础上增加一个热备份站点。所谓热备份站点，是指拥有足够的硬件、备份数据和网络连接设备，当主数据中心被破坏时，可切换到用于支持关键应用的备援站点。对于十分关键的应用，必须由热备份站点在异地提供支持，这样当灾难发生时才能及时恢复。虽然移动数据到热备份站点增加了成本，但缩减了灾难恢复的时间，一般在一天左右。

3级：电子链接

3级在2级的基础上用电子链接取代了卡车运送方式。热备份站点和主数据中心在地理上必须远离，备份数据通过网络传输。由于热备份站点要持续运行，因此系统成本高于2级，但进一步提高了灾难恢复的速度。

4级：活动状态的备援站点

4级要求地理上分开的两个站点同时处于工作状态，并相互管理彼此的备份数据。另一项重大的改进就是两个站点之间可以相互分担工作负担，备援操作可以在任何一个方向发生。关键的在线数据不停地在两个站点之间复制和传送，当灾难发生时，另一站点可通过网络迅速切换来支持关键应用。但是该系统最近一次数据复制以后的数据变化将会丢失，其他非关键应用也需要手工恢复。

5级：双站点，两步提交

5