網(wǎng)絡(luò)數(shù)據(jù)安全與備份策略

鄧 濤，蔡賢明，王金和，李 紅，李 軍

（新疆油田公司采油二廠，新疆 克拉瑪依 834008）

在計算機技術(shù)與網(wǎng)絡(luò)技術(shù)不斷發(fā)展的今天，傳統(tǒng)應(yīng)用被更多地轉(zhuǎn)移至計算機信息系統(tǒng)上。每天都有大量的業(yè)務(wù)數(shù)據(jù)和信息資料產(chǎn)生，流入并存儲在網(wǎng)絡(luò)服務(wù)器上，這些信息給相關(guān)決策部門提供綜合信息查詢服務(wù)，同時也為網(wǎng)絡(luò)環(huán)境下的大量普通用戶提供高效的信息查找和數(shù)據(jù)處理等各類服務(wù)。由此可見，網(wǎng)絡(luò)中的信息安全至關(guān)重要，必須建立可靠的網(wǎng)絡(luò)信息安全和備份系統(tǒng)，并保障系統(tǒng)的高可用性，維持系統(tǒng)的持續(xù)運行。

1 數(shù)據(jù)安全影響因素

從近幾年的網(wǎng)絡(luò)數(shù)據(jù)維護工作經(jīng)驗來看，影響數(shù)據(jù)安全，導致數(shù)據(jù)丟失、文件損壞的原因主要有以下4個方面：自然災(zāi)害、人為原因、硬件故障、軟件故障。

將這些因素的危害降到最低，主要采用兩種技術(shù)手段。一是網(wǎng)絡(luò)系統(tǒng)防護技術(shù)，針對網(wǎng)絡(luò)環(huán)境中的病毒和黑客入侵，從操作系統(tǒng)的層面設(shè)置防護。二是數(shù)據(jù)資源保護技術(shù)，通過數(shù)據(jù)備份、快速恢復、異地存放、遠程控制等技術(shù)對數(shù)據(jù)進行保護。

2 網(wǎng)絡(luò)系統(tǒng)防護

網(wǎng)絡(luò)數(shù)據(jù)安全是龐大的系統(tǒng)性問題，包括網(wǎng)絡(luò)系統(tǒng)中硬件、軟件、運行環(huán)境的安全、計算機犯罪、計算機病毒、計算機系統(tǒng)管理等一系列問題。必須從多個方面、采取多種技術(shù)做好網(wǎng)絡(luò)系統(tǒng)中數(shù)據(jù)安全的保護工作，新疆油田公司采油二廠（以下簡稱我廠）的安全防護措施主要有以下幾點。

2.1 硬件設(shè)施安全

服務(wù)器機房安裝防雷、防靜電設(shè)備，服務(wù)器全部采用UPS供電，雙冗余電源配置，以確保硬件設(shè)備的安全。

2.2 磁盤陣列（RAID）技術(shù)

利用多個硬盤的組合提供高效率及冗余的功能，是基于硬盤提升存儲性能和數(shù)據(jù)安全的技術(shù)。

數(shù)據(jù)存儲卷（SUN的T3、Storage）使用RAID 5或RAID 6級別，這個級別需要至少3個硬盤。RAID 5不對存儲的數(shù)據(jù)進行備份，而是把數(shù)據(jù)和相對應(yīng)的奇偶校驗信息存儲到組成RAID 5的各個磁盤上，并且奇偶校驗信息和相對應(yīng)的數(shù)據(jù)分別存儲于不同的磁盤上。

2.3 病毒防護措施

網(wǎng)絡(luò)病毒往往令人防不勝防，一旦感染病毒，將無法避免文件損壞，甚至會威脅其他電腦的安全性，因此，必須采取適當?shù)姆乐未胧?。要在每臺電腦上設(shè)置對應(yīng)的防毒軟件，針對各個層次分別設(shè)置防病毒配置系統(tǒng)，完全封閉網(wǎng)絡(luò)中可能成為攻擊對象的缺口，讓病毒攻擊無從下手。為達到這一目的主要采取以下措施：部署賽門鐵克防病毒系統(tǒng)（Symantec）；部署SMS(System Management Server)系統(tǒng)；部署VRV內(nèi)網(wǎng)安全系統(tǒng)。

2.4 身份認證技術(shù)

為加強網(wǎng)絡(luò)數(shù)據(jù)存取控制，防止非法訪問，信息門戶和業(yè)務(wù)系統(tǒng)集成用戶認證、授權(quán)管理功能，實現(xiàn)PTR域統(tǒng)一認證。建立比較完善的授權(quán)管理臺賬，使員工獲得的信息服務(wù)與其身份相符，以有效控制和審核數(shù)據(jù)，保證其安全性。

3 數(shù)據(jù)備份

3.1 數(shù)據(jù)備份的目的

數(shù)據(jù)備份的目的是數(shù)據(jù)恢復，要確保災(zāi)難過后能及時恢復應(yīng)用數(shù)據(jù)以便重新開始正常的工作。按照不同的災(zāi)難恢復點和災(zāi)難恢復時間，有不同的災(zāi)難恢復手段。但不論哪種形式都是為了完整、高效地恢復數(shù)據(jù)。

3.2 數(shù)據(jù)備份的要素

數(shù)據(jù)備份的要素主要有以下4點。

3.2.1 存儲硬件

在備份數(shù)據(jù)的過程中，存儲硬件的性能和質(zhì)量非常重要，對備份質(zhì)量有決定性影響。目前，用于數(shù)據(jù)備份的存儲硬件主要包括磁帶設(shè)備和磁盤設(shè)備兩種。其中，磁帶設(shè)備可以進行離線存儲，且相對而言，每兆字節(jié)價格較低，容量較大，所以比較適合幾百G以上數(shù)據(jù)的備份，但其缺陷在于執(zhí)行備份和備份數(shù)據(jù)恢復的速度比較慢。而磁盤設(shè)備的快速搜索和讀寫能力非常強，比較適合幾百G以下數(shù)據(jù)的備份，缺陷在于數(shù)據(jù)長期離線存儲效果不好。

3.2.2 控制備份的軟件

雖然操作系統(tǒng)針對備份有特定功能，但為了最大限度地提高備份質(zhì)量，用戶應(yīng)盡量使用專業(yè)的備份軟件。一般情況下，專業(yè)的備份軟件具有災(zāi)難恢復、自動操作、加速備份的功能，有利于能保證數(shù)據(jù)備份的安全性和有效性。此外，專業(yè)備份軟件還可以與自動加載自帶機結(jié)合使用，具有數(shù)據(jù)統(tǒng)計、自動磁帶輪換等功能。

3.2.3 備份策略

備份策略指的是備份的方式、時間及內(nèi)容等，通常情況下，都是由組織或者企業(yè)來確定需要進行備份的數(shù)據(jù)，但在實際應(yīng)用過程中，需要根據(jù)備份的數(shù)據(jù)量、備份窗口等選擇最適合的備份方式。

3.2.4 災(zāi)難恢復計劃

災(zāi)難恢復和數(shù)據(jù)恢復有著非常密切的聯(lián)系，災(zāi)難恢復是數(shù)據(jù)備份的基礎(chǔ)，要在保障災(zāi)難恢復的前提下進行數(shù)據(jù)備份。同時，災(zāi)難恢復的計劃和目標決定數(shù)據(jù)備份方式。如果數(shù)據(jù)備份策略考慮的是保存數(shù)據(jù)的類型和數(shù)據(jù)量，那么災(zāi)難恢復策略則要考慮當災(zāi)難性的數(shù)據(jù)損失情況發(fā)生時，如何及時恢復這些數(shù)據(jù)及系統(tǒng)。

3.3 數(shù)據(jù)備份方案設(shè)計

3.3.1 提出需求

數(shù)據(jù)備份是將在“線數(shù)據(jù)轉(zhuǎn)移成離線數(shù)據(jù)的過程”，其目的在于應(yīng)付系統(tǒng)數(shù)據(jù)中的邏輯錯誤和對歷史數(shù)據(jù)的長期保存，以達到在系統(tǒng)遭遇非正常情況引起的完全崩潰后的災(zāi)難恢復。備份的任務(wù)與意義在于，災(zāi)難發(fā)生后，通過數(shù)據(jù)備份快速、簡單、可靠地恢復一個立即可用的系統(tǒng)。因此，在各種容錯技術(shù)豐富的今天，企業(yè)的數(shù)據(jù)備份和恢復系統(tǒng)仍然是不可替代的。

3.3.2 備份硬件

購買1臺DELL PowerEdge 2950作為存儲服務(wù)器。操作系統(tǒng)為Windows Storage Server 2003。目前備份介質(zhì)主要包括硬盤介質(zhì)存儲、光學介質(zhì)和磁帶/磁帶機存儲技術(shù)。磁盤作為備份介質(zhì)，適合作為中間存儲，起到數(shù)據(jù)備份到磁帶之間的緩存作用。數(shù)據(jù)首先備份到備份服務(wù)器的磁盤空間上，然后定時把磁盤上的備份數(shù)據(jù)轉(zhuǎn)移到磁帶上。磁盤上的備份數(shù)據(jù)可以按照磁盤空間大小決定保留周期。如果在保留周期之內(nèi)需要恢復數(shù)據(jù)，可直接從磁盤上的備份映像恢復到遠程服務(wù)器。如果超出保留周期，備份服務(wù)器會直接把磁盤上過期的備份映像刪掉，預(yù)留足夠的磁盤空間給下一次的系統(tǒng)備份使用。因此，備份介質(zhì)采用磁盤陣列（RAID 5）。

3.3.3 備份軟件

優(yōu)質(zhì)的備份硬件是完成備份任務(wù)的基礎(chǔ)，而備份軟件則關(guān)系到是否能將備份硬件的優(yōu)良特性完全發(fā)揮出來，因此，軟件選擇非常重要。在選擇備份管理軟件時，應(yīng)考慮軟件質(zhì)量的保證程度、軟件對系統(tǒng)性能的影響、軟件的可擴充性以及軟件的運行費用等因素。

我廠選擇的備份軟件的核心是VERITAS Net Backup Master Server，它安裝在性能高、工作穩(wěn)定的DELL服務(wù)器上，監(jiān)控和管理整個備份系統(tǒng)。

3.4 備份管理

定義好備份系統(tǒng)資源和策略后，備份系統(tǒng)便會在指定的時間，自動將各服務(wù)器上的數(shù)據(jù)（包括網(wǎng)絡(luò)共享文件夾）采用指定的方式從服務(wù)器上備份到指定的存儲設(shè)備（磁帶或磁盤）中。

備份結(jié)束后，系統(tǒng)會報告?zhèn)浞轄顩r，系統(tǒng)管理員能在VEIRTAS Backup Exec管理界面上清楚地看到已備份的數(shù)據(jù)的描述。在VERITAS Backup Exec上管理備份介質(zhì)上的數(shù)據(jù)采用的是簡單易懂的目錄結(jié)構(gòu)。系統(tǒng)管理員通過恢復項目可以非常方便地察看已備份的數(shù)據(jù)情況，包括這個數(shù)據(jù)是什么時候?qū)δ膫€數(shù)據(jù)庫的備份，采用的是哪一種備份方式（全備份/增量備份/累計增量備份）。一個完整的備份包括1條或幾條備份項目，一般包括1個全備份項目、1個累計增量備份項目、幾個增量備份項目。這種備份方式，能有效保證系統(tǒng)24小時不間斷運行。

3.5 數(shù)據(jù)恢復

如果服務(wù)器發(fā)生不能啟動情況導致的數(shù)據(jù)丟失，則可通過IDR功能，預(yù)先生成IDR啟動介質(zhì)啟動服務(wù)器，然后通過IDR恢復向?qū)Щ謴蚖indows的操作系統(tǒng)數(shù)據(jù)；通過Backup Exec管理界面，系統(tǒng)管理員只需選定相應(yīng)的數(shù)據(jù)恢復項目（恢復管理目錄下的相應(yīng)項目名，對應(yīng)某個時間點備份的某個數(shù)據(jù)庫的數(shù)據(jù)，并有說明）進行恢復即可。如果個人計算機發(fā)生文件數(shù)據(jù)丟失的情況，可通過個人數(shù)據(jù)備份、恢復工具自主恢復，中文化和圖形化的工具使用戶恢復數(shù)據(jù)的操作如從網(wǎng)絡(luò)文件夾中恢復數(shù)據(jù)一樣簡單直觀。

4 結(jié) 語

搭建網(wǎng)絡(luò)數(shù)據(jù)安全與備份系統(tǒng)，對企業(yè)來說具有非常重大的意義和價值。在我廠多年的數(shù)據(jù)運行過程中，曾有過生產(chǎn)數(shù)據(jù)處于危險境地的情況，生產(chǎn)數(shù)據(jù)的保存完全系于數(shù)據(jù)恢復的計劃上。隨著生產(chǎn)數(shù)據(jù)不斷積累，必須確保數(shù)據(jù)安全和有效恢復。

[1]孫哮雨.計算機網(wǎng)絡(luò)如何構(gòu)建安全防護體系[J].通訊世界,2015(8).

[2]李霜,朱鵬.企業(yè)數(shù)據(jù)安全保障的研究與實踐[J].電子技術(shù)與軟件工程,2014(6).

[3]張永正.網(wǎng)絡(luò)安全風險分析和需求分析[J].電腦知識與技術(shù),2009(20).