郝　霞

[摘要]文章針對網(wǎng)絡(luò)帶來的威脅，結(jié)合公司自身的部署，從網(wǎng)絡(luò)防護(hù)、數(shù)據(jù)的存放和備份、病毒防范等幾個(gè)方面討論數(shù)據(jù)安全管理的實(shí)踐。

[關(guān)鍵詞]局域網(wǎng)；數(shù)據(jù)；安全管理；解決方案

[作者簡介]郝霞，廣東電網(wǎng)公司江門恩平供電局，廣東恩平。529400

[中圖分類號]TP393.08[文獻(xiàn)標(biāo)識碼]A[文章編號]1007-7723(2009)05-0040-0002

一、網(wǎng)絡(luò)安全的威脅

網(wǎng)絡(luò)安全的威脅有：(1)病毒。目前數(shù)據(jù)安全的頭號大敵是計(jì)算機(jī)病毒，它是編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或數(shù)據(jù)，影響計(jì)算機(jī)軟件、硬件的正常運(yùn)行并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或程序代碼。計(jì)算機(jī)病毒具有傳染性、寄生性、隱蔽性、觸發(fā)性、破壞性等特點(diǎn)。因此，提高對病毒的防范刻不容緩。(2)黑客。對于計(jì)算機(jī)數(shù)據(jù)安全構(gòu)成威脅的另一個(gè)方面是來自電腦黑客。電腦黑客利用系統(tǒng)中的安全漏洞非法進(jìn)入他人計(jì)算機(jī)系統(tǒng)，其危害性非常大。

企業(yè)網(wǎng)的邊界是企業(yè)數(shù)據(jù)安全的第一道防線。子網(wǎng)越大，把所有主系統(tǒng)保持在相同的安全性水平上的可管理能力就越小。隨著安全性的失策和失誤越來越普遍，入侵就時(shí)有發(fā)生，給企業(yè)的數(shù)據(jù)安全帶來威脅。在網(wǎng)絡(luò)邊緣，也就是不同網(wǎng)絡(luò)、不同安全域交匯的地方，有必要部署足夠的安全措施，以保障網(wǎng)絡(luò)的安全。在公司的網(wǎng)絡(luò)邊緣，可部署一臺統(tǒng)一威脅管理(UTM)設(shè)備，來提供互聯(lián)網(wǎng)接入、網(wǎng)絡(luò)安全防護(hù)等一系列功能。UTM設(shè)備不僅僅是防火墻(FW)，而且是FW+虛擬專用網(wǎng)(VPN)+入侵防護(hù)(IPS)+網(wǎng)關(guān)防毒(AV)的結(jié)合。它能夠提供主動威脅防御，在攻擊蔓延于網(wǎng)絡(luò)前就能及時(shí)阻擋攻擊，控制網(wǎng)絡(luò)行為和應(yīng)用程序流量，有效防范黑客攻擊。

二、數(shù)據(jù)的存儲和備份

每個(gè)企業(yè)都會產(chǎn)生大量的關(guān)鍵數(shù)據(jù)，這些數(shù)據(jù)需“備份”，這意味著這些數(shù)據(jù)要存儲在容易訪問和檢索的地方。每家企業(yè)都可能遭遇停電、火災(zāi)和意外損壞等情況，如果沒有備份關(guān)鍵的數(shù)據(jù)和信息，將會導(dǎo)致嚴(yán)重的后果，要將丟失的數(shù)據(jù)恢復(fù)需付出較高的成本。

(一)數(shù)據(jù)的存儲

公司數(shù)據(jù)的存儲根據(jù)系統(tǒng)功能和重要性的不同，部分?jǐn)?shù)據(jù)直接存放在本地硬盤；部分?jǐn)?shù)據(jù)f如數(shù)據(jù)量非常大或增長速度快的數(shù)據(jù))存放在磁盤陣列或存儲設(shè)備(sAN)的硬盤上。

1應(yīng)用獨(dú)立冗余磁盤陣列(RAID)技術(shù)

公司系統(tǒng)全部采用RAID技術(shù)對硬盤作陣列。RAID是一種把多塊獨(dú)立的硬盤(物理硬盤)按不同的方式組合起來形成一個(gè)硬盤組(邏輯硬盤)，從而提供比單個(gè)硬盤更好的存儲性能，并提供數(shù)據(jù)備份。用戶數(shù)據(jù)一旦發(fā)生損壞后，利用備份信息可以使損壞數(shù)據(jù)得以恢復(fù)，從而保障了用戶數(shù)據(jù)的安全性。在用戶看來，組成的磁盤組就像是一個(gè)硬盤，用戶可以對它進(jìn)行分區(qū)、格式化等。

RAID級別的選擇有3個(gè)主要因素：可用性(數(shù)據(jù)冗余)、性能和成本。若不要求可用性，選擇RAID0以獲得最佳性能。如果可用性和性能是重要的而成本不是一個(gè)主要因素，則根據(jù)硬盤數(shù)量選擇RAID 1。如果可用性、成本和性能都同樣重要，則根據(jù)一般的數(shù)據(jù)傳輸和硬盤的數(shù)量選擇RAID3、RAID5。應(yīng)用了RAID技術(shù)后，系統(tǒng)在任何一塊硬盤出現(xiàn)問題的情況下都可以繼續(xù)工作。

2存儲區(qū)域網(wǎng)絡(luò)(sAN)技術(shù)

SAN是建立在存儲協(xié)議基礎(chǔ)之上的可使服務(wù)器與存儲設(shè)備之間進(jìn)行"any to any”連接通信的存儲網(wǎng)絡(luò)系統(tǒng)。由于SCSI技術(shù)在帶寬、安全性、連接柔韌性方面的局限，人們開發(fā)了一種新的通道技術(shù)——光纖通道技術(shù)，利用光纖通道可以創(chuàng)造一個(gè)有別于以前的LAN的SAN。

對于數(shù)據(jù)量大且對讀寫速度要求較高的系統(tǒng)，將這些系統(tǒng)接入到SAN上，使用SAN上的硬盤。SAN消除了服務(wù)器的許多YO瓶頸，適合大數(shù)據(jù)量傳輸、實(shí)時(shí)數(shù)據(jù)處理，SAN提供了將來存儲需求的突破性技術(shù)。

(二)數(shù)據(jù)的備份

根據(jù)公司實(shí)際情況，對于數(shù)據(jù)的備份分成兩個(gè)方面。公司系統(tǒng)很多，特別是近期部署了多個(gè)實(shí)時(shí)系統(tǒng)。針對這種情況，一方面沿用了過去一直在使用的TSM備份策略；另一方面，對于實(shí)時(shí)系統(tǒng)和需要并行使用的系統(tǒng)，采用EMC的TimeFinder技術(shù)來進(jìn)行備份。

1TSM備份

對于文件系統(tǒng)或其他非實(shí)時(shí)系統(tǒng)，采用TivoliTSM技術(shù)來進(jìn)行備份和恢復(fù)。Tivoli TSM是一個(gè)企業(yè)級的Client／Server結(jié)構(gòu)跨平臺網(wǎng)絡(luò)備份、恢復(fù)及存儲管理軟件。TSM Client主要功能是向TSM-Server提供需要備份的數(shù)據(jù)，或向TSM Server索取已備份數(shù)據(jù)及歸檔數(shù)據(jù)以便Client恢復(fù)數(shù)據(jù)。TSMServer負(fù)責(zé)管理TSM Client的備份數(shù)據(jù)、備份策略及管理連接在TSM Server上的各類存儲產(chǎn)品。

TSM備份采用一臺服務(wù)器作為備份服務(wù)器，磁帶庫通過光纖或SCIS與備份服務(wù)器相連。具體備份流程如下：

機(jī)房的某服務(wù)器通過TSM的Tivoli管理軟件發(fā)送到TSM備份服務(wù)器端，再由服務(wù)器端將接收的相關(guān)數(shù)據(jù)傳送到磁帶庫中予以保存管理。若干個(gè)備份在服務(wù)器端體現(xiàn)為一個(gè)個(gè)的備份作業(yè)進(jìn)行排隊(duì)等待，在介質(zhì)管理和使用上由服務(wù)器端統(tǒng)一協(xié)調(diào)管理。如果需要恢復(fù)數(shù)據(jù)，TSM Client端只要通過非常簡單易用的圖形界面或由應(yīng)用程序發(fā)出指令指出恢復(fù)哪些對象文件，TSM Server自動從磁帶庫中取出文件，交給TSM Client。

2SAN的備份

對于SAN上數(shù)據(jù)的備份采用了EMC的TimeFinder技術(shù)，它使數(shù)據(jù)存儲系統(tǒng)和存儲管理者能夠在后臺狀態(tài)下，為主機(jī)和開放系統(tǒng)數(shù)據(jù)存儲器創(chuàng)建可獨(dú)立尋址的BCV卷，這些BCV卷是當(dāng)前生產(chǎn)卷的鏡像。BCV卷建立后，還可與生產(chǎn)鏡像卷分割開，一旦BCV卷上的任務(wù)完成，又可與生產(chǎn)卷重新同步化，重新指定給另一個(gè)生產(chǎn)卷，或?yàn)榱硪粋€(gè)任務(wù)保持“現(xiàn)狀”。這樣，由于備份的原因被關(guān)閉或至少慢下來的企業(yè)的應(yīng)用系統(tǒng)能保持正常運(yùn)行。SAN備份服務(wù)器采用Networker數(shù)據(jù)備份軟件。備份服務(wù)器和磁帶庫接入SAN，通過SAN完成備份，指令流走IP網(wǎng)絡(luò)，數(shù)據(jù)流走SAN網(wǎng)絡(luò)，恢復(fù)也是同樣。利用TimeFinder技術(shù)，對于使用SAN上的數(shù)據(jù)做開發(fā)工作時(shí)也十分高效和便利。由于BCV卷和生產(chǎn)卷同步后可以得到一份完整的生產(chǎn)數(shù)據(jù)拷貝，使開發(fā)和測試用的數(shù)據(jù)和生產(chǎn)數(shù)據(jù)卷完全分離開來，大大提高了生產(chǎn)系統(tǒng)在開發(fā)新應(yīng)用時(shí)的安全性。由于開發(fā)過程使用了真實(shí)的生產(chǎn)數(shù)據(jù)，因此新開發(fā)的應(yīng)用程序具有了更高的代碼質(zhì)量。當(dāng)BCV卷的內(nèi)容在開發(fā)過程中被修改或被破壞，如果想再使用“干凈”的數(shù)據(jù)繼續(xù)進(jìn)行開發(fā)和測試，只需要將BCV卷和生產(chǎn)數(shù)據(jù)進(jìn)行再同步即可，然后BCV卷的數(shù)據(jù)就可以繼續(xù)做開發(fā)工作。

(三)數(shù)據(jù)的恢復(fù)

數(shù)據(jù)備份的主要目的是保證數(shù)據(jù)的完整性，但是備份是否有效、是否可靠，即系統(tǒng)出問題后能否有效恢復(fù)數(shù)據(jù)是十分關(guān)鍵的。通過對AIX上的Domino和Windows下的文件系統(tǒng)數(shù)據(jù)做恢復(fù)試驗(yàn)，數(shù)據(jù)備份是可信的。

三、病毒的防范措施

在網(wǎng)絡(luò)病毒日益猖獗的今天，病毒的攻擊甚至?xí)斐上到y(tǒng)的崩潰，防范工作必不可少。公司對于網(wǎng)絡(luò)上的所有服務(wù)器都安裝了symantec企業(yè)版防病毒軟件，并利用公司內(nèi)部的WSUS服務(wù)器進(jìn)行系統(tǒng)補(bǔ)丁的分發(fā)。

四、結(jié)語

經(jīng)過多年信息系統(tǒng)的穩(wěn)定運(yùn)行，特別是從近年來多個(gè)重要系統(tǒng)的投運(yùn)情況來看，公司目前采用的數(shù)據(jù)安全管理的方法和技術(shù)是適應(yīng)公司需要的。當(dāng)然，隨著技術(shù)的發(fā)展，更先進(jìn)的技術(shù)層出不窮。作為局域網(wǎng)管理人員，應(yīng)該不斷跟蹤新技術(shù)，并找到適合本公司的解決方案。