福建宏茂科技有限公司数据安全系统技术方案
福建 赛门铁克科技有限公司
目
录
1 建设背景 ............................................................................................................................................... 3 2 信息系统现状分析 ............................................................................................................................... 3 3 建设目标 ............................................................................................................................................... 4 4 华赛数据存储和数据保护解决方案 .................................................................................................... 4 4.1 方案架构设计与部署说明 ................................................................................................................. 4 4.2 部署方案的主要设备配置表 ............................................................................................................. 6 4.3 部署方案的主要优势 ......................................................................................................................... 8
1 建设背景 近年来福建宏茂科技有限公司的信息化进展迅猛,随之增加的各种图形设计应用系统的运行产生了大量的数据,而这些数据作为福建宏茂科技有限公司最重要的资源,越来越受到公司的重视。如何确保数据的一致性、安全性和高可用性,如何实现数据的集中管理,建立一个强大的、高性能的、可靠的数据存储和数据保护的管理平台是福建宏茂科技有限公司目前所面临的一个重要问题。同时,在信息安全保护和知识产权保护方面面临着越来越严峻的挑战。企业大量的机密图纸保存在计算机中,存在着巨大的安全隐患,比如图纸容易被非法拷贝、非法传输、恶意篡改等等,从而给企业或机构造成了巨大的威胁,稍有不慎就可能造成巨大损失!
2 信息系统 现状分析 福建宏茂科技有限公司现在主要的研发和生产地址在南安市宏茂工业园区,另外一个研发地址在厦门市,并在全国各地设有办事处。由于公司是以机械设计制造为核心的生产型企业,为保证公司的核心竞争力必须防止公司的设计数据外泄,故要求严格管理各种图形设计的文件。
福建宏茂科技有限公司现有拓扑如下:
现状分析如下:
1)
目前福建宏茂科技有限公司的业务网络主要由普通交换机组成的百兆网络架构,内网传输性能低下。各种图形设计文件主要保存在南安市公司总部的一台捷科 1202NAS 存储设备上,并在该设备上设置相关设计人员所拥有的使用权限。
2)
在图形设计电脑上为防止图形设计文件的外泄,该类电脑在公司内网是单独隔离的,并且不能上互联网,而且该类电脑的外设接口如 USB 接口等都被禁用。
3)
目前各种图形设计文件没有数据保护的措施,一旦捷科 1202NAS 存储设备发生软硬件故障、人为误操作、中电脑病毒、黑客入侵或发生灾难性事件等都将导致图形设计文件丢失。
4)
由于不能通过互联网传输各种图形设计文件,在厦门分部的图形设计人员要按需出差到福建宏茂科技有限公司南安市总部来做图形设计,如此造成工作效率的低下和长期往返两地的费用开销。
3 建设目标 建立一个高效可控的数据存储和数据保护系统,其中数据保护系统采用集中数据备份管理的方式和加强终端安全性,以尽可能提高业务数据的安全性和可管理性,并对设计图进行加密。
4 华赛 数据 存储 和 数据 保护 解决方案 4.1 方案架构设计与部署说明 根据上述对福建宏茂科技有限公司的需求分析以及对数据存储和数据备份系统的设计原则的要求,我们为宏茂科技提供一个全面的数据存储和数据保护系统方案,向福建宏茂科技有限公司提供在业界属于领先地位的高性能、高可用的数据存储和数据保护解决方案。具体架构设计如图:
EAD EADEAD EADInternetEADEADVVR 数据复制VVR 数据复制VPNVPNUTM安全网关UTM安全网关UTM安全网关核心交换机信息安全管理服务器分布式存储网关分布式存储网关分布式存储网关HA存储网关集中备份系统数据集中灾备中心南安总部 厦门研发中心西安办事处数据安全系统设计架构图
部署 说明:
本方案由数据集中备份系统、分布式服务器存储系统、远程访问管理系统、文档安全管理系统组成,具体部署如下:
1、数据集中备份系统:在南安总部建立一套数据集中备份系统,各地办事处的数据定时自动备份到灾备中心,由异地数据复制软件、服务器和存储系统组成,一旦分布式服务器存储系统发生软硬件故障、人为误操作、中电脑病毒等造成各种图形设计数据丢失的情况,保证能快速、简单的恢复各种图形设计数据。
2、分布式服务器存储系统:各办事处的设计资料先集中存储到本地的存储服务器中,提高公司的各种图形设计数据存储性能和数据安全性。同时,可以设置各种图形设计文件的使用权限和文件共享安全性能。
3、远程访问管理系统:现有的 ASA5505 已经具备远程访问功能,需要进行配置调
整,同时在各办事处增加华赛 USG2100 远程访问管理设备可以通过一个公用网络(通常是因特网)建立安全稳定的具有加密、认证和数据防篡改功能的 IPSec VPN 隧道,使福建宏茂科技有限公司厦门市分部的图形设计电脑或在外出差人员都可以安全地连接VPN来访问南安市总部的华赛统一存储网关上的数据,保证各种图形设计文件在公司传输的安全性,提高公司图形设计人员的工作效率。同时具备日后扩展异地容灾功能,防止发生灾难性事件等造成公司的图形设计文件数据丢失。
4、文档安全管理系统:部署文档安全管理系统对文档使用进行控制,将公司的机密文档加密保存在硬盘里,不允许硬盘存有明文的公司机密文档,即使硬盘丢失、转手或者被盗也不会导致文档内容丢失;严格控制机密文档的权限,限制文档的离线阅读权限,即使通过邮件发送到公司外部,连接不到公司的内部服务器也无法打开文档和难以用其它方式获取文档内容;对于公司的机密文档,限制普通人员的打印权限;对于非法或者由于不小心导致的共享,没有权限的人获取到的只是密文,难以解密还原成明文文档;使用强度大的加密算法对文档进行加密,使丢失或者被盗的文档基本无法可解密;对于机密文档,需要严格控制每个人的权限和权限的有效时间;对已授权的文档权限支持实时回收,使损失降低到最小甚至无损失。
4.2 部署方案的主要设备配置表 序号
设备名称
设备主要配置描述
数量
一、
数据集中备份系统配置方案
1 异地数据备份软件 华为赛门铁克 VERITAS Volume Replicator 异地数据复制备份软件,能够以同步/异步自适应模式进行工作,可以实现数据的脱机处理,支持不少于 32 个节点,不需要依赖于任何的存储硬件平台,对各种商业数据库提供数据的完整的数据复制,如Oracle, SQL, Sybase 等,能通过 IP 网络进行复制,LAN 或者 WAN ,提供多种用途的基于卷的复制, WEB 方式管理,要求提供设备初次原厂工程师现场安装验收服务与标准软硬件原厂技术支持与售后服务,并在当地设有原厂服务机构 3
2 统一备份服务器 华为 TecalTM RH2285 机架式存储服务器,采用 Intel Xeon 5500/5600系列四核处理器,配置 2 颗 Intel Xeon 四核 5620, 2.40GHz,三级高速缓存≥12MB,QPI 速度 5.86GT/秒,处理器支持虚拟化与 64 位内存扩展技术,配置 8GB RDIMM DDR3 主内存,可扩展≥192GB 内存;配备 SAS RAID 控制器,不占用 PCI 插槽,支持 RAID0、RAID1、RAID0+1、RAID5、6 等管理方式;配备 2 块 146GB,热插拔 SAS 主硬盘,支持≥8 个 3.5" 热插拔 SAS/SATA 硬盘与 2 个 1TB SSD 存储卡;配置 PCI 插槽,3 个以上 USB2.0 接口,配置 2 个 10/100/1000M-BaseT 以太网接口,配置 2 块冗余热插拔 750W 金牌交流电源模块,冗余散热系统;支持多种主流操作系统;配置专用带外远程管理功能模块,提供专用的管理以太网接口,支持远程 Firmware 升级及更新;配置 KVM over IP(Remote-KVM)管理模块、虚拟媒体及媒体重定向功能模块,配置镜像恢复软件,提供 OS 和业务软件快速恢复,并且具有 OS 自动备份功能;要求所配软件需采用统一品牌,支持 USB2.0 重定向、Serial over LAN 功能、远程开/关机操作、风扇监控、硬件监控、电源监控等功能;具备 CCC、CE、UL 标准认证;要求提供原厂商工程师上门安装调试并提供 3 年免费人工、部件,7x24 小时响应,4 小时带备件上门的原厂服务;标准 2U 机架式服务器。
1 3 统一备份存储网关 华为 OceanStorTM S2600 存储系统,配置双控制器,采用 64 位多核芯片,Cache/控制器≥2GB,可扩展至 8GB,配置缓存镜像功能,支持FC/ISCSI/SAS/FC-iSCSI Combo 的主机端口,具备 4 个 1Gb iSCSI 主机接口,可扩展 FC 接口,配置 12Gb SAS 磁盘通道,配置 8 块 1000GB 7.2K RPM SATAII 企业级硬盘单元,系统最大支持 96 个磁盘,在同一磁盘框内支持 SAS、SATA、SSD 混插,具备 RAID0、1、3、5、6、10、50,支持 RAID 后台初始化及在线容量扩展,必须支持快照与Symantec BackupExec 结合,无需备份客户端,支持磁盘休眠及磁盘降速技术、磁盘坏道自动修复、磁盘预拷贝功能,配置多路径软件,支持快照、卷复制、远程镜像等功能,支持掉电后将内存的数据写入硬盘,支持长时间掉电,支持控制器、电源、风扇、UPS 电池冗余保护能力,支持短信、邮件、声音、灯光等多种报警方式;控制器、电源、磁盘等模块均支持在线热插拔,支持 JWS 免安装技术,提供配置向导,5 分钟内可完成所有配置,要求采用与服务器同一品牌,非 OEM产品,拥有自主知识产权,含 3 年标准服务并提供设备初次原厂工程师现场安装验收服务及产品正品证明。
1 4 千兆三层交换机 Quidway® S5300 系列全千兆交换机,是华为公司为满足大带宽接入和以太网多业务汇聚而推出的新一代全千兆高性能以太网交换机,可为客户提供强大的以太网功能服务。S5300 基于新一代高性能硬件和华为公司统一的 VRP®(Versatile Routing Platform)软件,具备大容量、高密度千兆端口,可提供万兆上行,充分满足客户对高密度千兆和万兆上行设备的需求。S5300 可满足运营商园区网汇聚、企业网汇聚、IDC 千兆接入以及企业千兆到桌面等多种场合的需求。
1 二、
数据分布存储系统配置方案(分支机构)
1 数据分布式服务器存储网关(分支)
RH1200 分布式服务器存储网关,支持 IPSAN、NAS、FCSAN,采用 64 位多核芯级专用控制器,主频≥2.0GHz,Cache/控制器≥8GB,可扩展至48GB,具备 2 个 1Gb iSCSI 主机接口,支持可扩展 4 个 4GB 光纤主机接口、6 个1GB ISCSI 主机接口及InfiniBand主机接口,配置16Gb SAS后端磁盘通道,配置 1.5TB SATAII 磁盘空间,支持≥120 块硬盘扩展单元,最大支持磁盘容量≥240TB,在同一磁盘框内支持 SAS、SATA、SSD 混插,具备 RAID0、1、3、5、6、10、50 功能,具备 RAID 线容量扩展,可扩展 NAS 功能、本地镜像、虚拟卷拷贝、虚拟卷映射功能模块和文件备份功能模块,支持快照、远程镜像、远程复制功能,具备Cache 掉电数据保护,支持电源、风扇冗余保护能力,具备多种报警方式;具备 WEB 配置管理方式,要求提供设备初次原厂工程师现场安装验收服务及提供三年免费软硬件原厂技术支持与售后服务。
3 三、
数据分布式远程管理系统
1 远程管理系统设备增加 华为 USG2100 服务器远程管理系统,标配 9 个 10/100M 以太网口,至少扩展 19 个 10/100M 以太网接口,支持 3 个 MIC 扩展插槽及 1 个USB 接口,支持供 FE、ADSL2+、E1/CE1、WiFi、SA 等多种接口。采用多核专用硬件平台,吞吐量≥200Mbps,每秒新建连接数≥2000,最大并发连接数≥20 万,具备内置高性能 VPN 硬件加解密芯片,配置LT2TP VPN≥64 个隧道,IPSEC VPN≥64 个隧道,SSL VPN 用户数≥3个,具备入侵保护 IPS、AS、反垃圾邮件、P2P 阻断与限流、IM 软件阻断等扩展功能,支持 IPS 2000+特征库,支持 5 大常用协议 HTTP, SMTP, POP3, IMAP4, FTP 协议识别,支持包括 BT/迅雷/电驴/pplive等几十种协议的 P2P 阻断和限流,支持游戏/股票软件的控制,支持flow 流日志和标准 Syslog 日志,支持 WEB 管理,支持 L2TP、IPSec、SSL、MPLS、GRE 等多种 VPN 组网技术,支持 DES、3DES、AES 等多种加密算法,标准维保。
1 2 远程管理系统设备升级改造 思科 ASA5505 远程访问系统改造安装调试 1 四、
文档安全管理系统
1 文档安全管理系统 支持多级密钥体系,底层设计、安全性高,加密无形,解密无痕,涉密文档智能监控,监控和上网控制全面,涉密文件远程安全分发,流程管理简洁实用,日志查询方便,介质管理灵活方便,含 30 个客户端 30 2 专用USB-KEY 客户端加密 KEY,采用自主研制 U-KEY
30
4.3 部署方案 的主要优势 1)数据集中备份系统的优势
Symantec 为广泛的 IT 平台提供了一个完整的容灾解决方案—Storage Foundation DR,该方案是基于主机的容灾方案,它降低了容灾技术的复杂度,并为容灾系统的搭建提供一个可接受的成本。
对于一个容灾系统而言,最重要的事情包括两点:
将企业关键在线数据复制到异地的容灾中心,并在这个过程中保证数据的实时性和正确性,在数据已复制的基础上,建立广域的群集系统,以便在灾难发生时能快速地让灾备中心系统接管信息服务,保障 IT 系统的不间断运行。
VERITAS Volume Replicator(简称 VVR)是 Storage Foundation 企业级管理软件中用于帮助客户实现远距离异地数据复制的功能模块。VVR 复制基于卷(逻辑磁盘)进行。复制的数据可以是数据库中的数据(文件方式或裸设备方式)和关键业务系统中的文件。VVR 与 Storage Foundation 完全集成在一起。用 Storage Foundation 管理界面和命令统一配置管理,同时客户也可以使用 WEB 方式进行管理;由于 VVR 仅仅将Volume 上每次 I/O 变化的实际数据实时复制到远程节点,所以在网络线路上传输的数据量相对较少,对带宽的需求也不是很高。
数据复制的能够以同步/异步自适应模式进行工作,即在网络延时情况较好、数据能够及时复制时,工作在同步方式,完全保证两边数据的一致性;当网络延时情况较差、数据不能及时复制时,工作在异步方式下,保证主节点的 I/O 性能。数据复制根据实际情况,自行在两种工作模式之间切换。如果数据复制的线路带宽有限,出于保证本地服务器读写性能的考虑,可以将复制工作模式定义为异步,也是 VVR 默认的工作模式。由于 VVR 的数据复制严格按照 I/O 的修改顺序进行,所以,无论在同步还是异步工作方式下,能够保证数据的完整性。对于数据库系统,该复制机制能够保证灾备节点的数据库中数据与主节点一致在灾难发生时正常启动并提供服务。
当某些严重意外情况发生后,后备节点会变成新的主节点,称为角色转换(Takeove)。当原来的主节点在灾难后恢复正常,需要进行数据反向同步和角色转换。
脱机处理。通过使用 VVR 的 In-Band Control(IBC)消息、Snapshot、以及 Volume Manager(VxVM)的 FastResync(简称 FR,即快速同步)功能,可以实现数据的脱机处理。脱机处理主要指对后备节点种的数据进行处理,例如进行备份、打印报表、数据仓库处
理等。脱机处理由打破后备节点的镜像卷、对镜像数据进行处理、重镜像等几个过程组成。
2)分布式服务器存储系统优势 数据进行分布存储,避免数据丢失风险,同时,提升本地读写速度,该设备具有如下特点:
●
具备统一存储平台(含 NAS,FC-SAN,IP-SAN)能力。它所具有的高可靠性、高可扩展性、高性能以及便捷的管理可以满足高性能计算,数据库,网站,文件服务,流媒体,数字化视频监控,文件备份等领域的应用。
●
支持动态分级存储功能,基于文件访问频率,在不同存储介质之间实现双向动态迁移,对应用透明,降低企业投资成本。
●
支持文件系统同步镜像,实现低成本数据保护。
●
支持文件系统远程复制功能。
●
支持重复数据删除功能。
●
支持多NAS引擎节点内置Symantec NetBackup Client,成倍提升备份性能,缩短备份窗口。
3)远程访问管理系统优势 基于业界领先的软、硬件体系架构,具备防火墙、防病毒、入侵防御、应用控制、URL 过滤、VPN、反垃圾邮件等多种安全能力,支持 IPv6 协议,为用户提供强大、可扩展、持续的安全能力。在政府、金融、电力、电信、石油、教育、工业制造等行业得到广泛应用。
提供了 L2TP、GRE、IPSec、MPLS 等多种 VPN 组网技术,为用户提供了更多的选择。凭借华为公司硬件及芯片开发领域强大的技术实力,在 USG2000 系列统一安全网关中内置了高性能硬件加解密芯片,使产品加密性能在业界同类产品中处于领先位置,并且支持 DES、3DES、AES、RSA、SCB2 等多种加密算法,能够为用户提供高强度的加密传输保障,同时,结合华为公司全系列的网络安全产品,可以为用户提供完整的 VPN 解决方案。
4)文档安全管理系统优势 采用“驱动级透明动态加解密技术”对指定类型的文件进行实时、强制、透明的加解密。并能对文档进行细分化的权限设置,确保加密信息在特定授权范围内进行指定操作。通过文档强制加密和实时权限控制,为企业提供安全授权下的机密信息共享机制,有效防止数据丢失或泄露,有助于更深入、更全面地实施数据保护,从而确保企业机密数据的高度安全。
系统支持动态文档权限控制,持久保护文档安全,作者可以实时更改和回收文档权限,实现对权限的动态控制。只有经过授权的用户才能在授权范围内使用机密文件,在没有任何权限的情况下无法打开文档。
服务器集中保存文档权限,客户端只存放加密内容,服务器与客户端之间没有过多的内容交换,通过 https 建立安全连接仅仅是传输身份认证及权限信息,在保障系统高度安全的同时实现对文档权限的实时控制。因为权限是保存在服务器上的,所以修改后可以马上生效,避免出现权限无法回收的情况,真正做到文档权限的高度实时可控。
其部署的效果如图:
相关热词搜索: 福建 方案 数据