《(信息技术)数据安全系统技术方案(成都千诚信息技术有限公司)》由会员分享,可在线阅读,更多相关《(信息技术)数据安全系统技术方案(成都千诚信息技术有限公司)(11页珍藏版)》请在金锄头文库上搜索。
1、 华为赛门铁克数据存储和数据保护解决方案福建宏茂科技有限公司数据安全系统技术方案福建赛门铁克科技有限公司目 录1建设背景32信息系统现状分析33建设目标44华赛数据存储和数据保护解决方案44.1方案架构设计与部署说明44.2部署方案的主要设备配置表64.3部署方案的主要优势6 目录页 1 建设背景近年来福建宏茂科技有限公司的信息化进展迅猛,随之增加的各种图形设计应用系统的运行产生了大量的数据,而这些数据作为福建宏茂科技有限公司最重要的资源,越来越受到公司的重视。如何确保数据的一致性、安全性和高可用性,如何实现数据的集中管理,建立一个强大的、高性能的、可靠的数据存储和数据保护的管理平台是福建宏茂
2、科技有限公司目前所面临的一个重要问题。同时,在信息安全保护和知识产权保护方面面临着越来越严峻的挑战。企业大量的机密图纸保存在计算机中,存在着巨大的安全隐患,比如图纸容易被非法拷贝、非法传输、恶意篡改等等,从而给企业或机构造成了巨大的威胁,稍有不慎就可能造成巨大损失!2 信息系统现状分析福建宏茂科技有限公司现在主要的研发和生产地址在南安市宏茂工业园区,另外一个研发地址在厦门市,并在全国各地设有办事处。由于公司是以机械设计制造为核心的生产型企业,为保证公司的核心竞争力必须防止公司的设计数据外泄,故要求严格管理各种图形设计的文件。福建宏茂科技有限公司现有拓扑如下:现状分析如下:1) 目前福建宏茂科技
3、有限公司的业务网络主要由普通交换机组成的百兆网络架构,内网传输性能低下。各种图形设计文件主要保存在南安市公司总部的一台捷科1202NAS存储设备上,并在该设备上设置相关设计人员所拥有的使用权限。2) 在图形设计电脑上为防止图形设计文件的外泄,该类电脑在公司内网是单独隔离的,并且不能上互联网,而且该类电脑的外设接口如USB接口等都被禁用。 3) 目前各种图形设计文件没有数据保护的措施,一旦捷科1202NAS存储设备发生软硬件故障、人为误操作、中电脑病毒、黑客入侵或发生灾难性事件等都将导致图形设计文件丢失。4) 由于不能通过互联网传输各种图形设计文件,在厦门分部的图形设计人员要按需出差到福建宏茂科
4、技有限公司南安市总部来做图形设计,如此造成工作效率的低下和长期往返两地的费用开销。3 建设目标建立一个高效可控的数据存储和数据保护系统,其中数据保护系统采用集中数据备份管理的方式和加强终端安全性,以尽可能提高业务数据的安全性和可管理性,并对设计图进行加密。4 华赛数据存储和数据保护解决方案4.1 方案架构设计与部署说明根据上述对福建宏茂科技有限公司的需求分析以及对数据存储和数据备份系统的设计原则的要求,我们为宏茂科技提供一个全面的数据存储和数据保护系统方案,向福建宏茂科技有限公司提供在业界属于领先地位的高性能、高可用的数据存储和数据保护解决方案。具体架构设计如图:部署说明:本方案由数据集中备份
5、系统、分布式服务器存储系统、远程访问管理系统、文档安全管理系统组成,具体部署如下:1、数据集中备份系统:在南安总部建立一套数据集中备份系统,各地办事处的数据定时自动备份到灾备中心,由异地数据复制软件、服务器和存储系统组成,一旦分布式服务器存储系统发生软硬件故障、人为误操作、中电脑病毒等造成各种图形设计数据丢失的情况,保证能快速、简单的恢复各种图形设计数据。2、分布式服务器存储系统:各办事处的设计资料先集中存储到本地的存储服务器中,提高公司的各种图形设计数据存储性能和数据安全性。同时,可以设置各种图形设计文件的使用权限和文件共享安全性能。3、远程访问管理系统:现有的ASA5505已经具备远程访问
6、功能,需要进行配置调整,同时在各办事处增加华赛USG2100远程访问管理设备可以通过一个公用网络(通常是因特网)建立安全稳定的具有加密、认证和数据防篡改功能的IPSec VPN隧道,使福建宏茂科技有限公司厦门市分部的图形设计电脑或在外出差人员都可以安全地连接来访问南安市总部的华赛统一存储网关上的数据,保证各种图形设计文件在公司传输的安全性,提高公司图形设计人员的工作效率。同时具备日后扩展异地容灾功能,防止发生灾难性事件等造成公司的图形设计文件数据丢失。4、文档安全管理系统:部署文档安全管理系统对文档使用进行控制,将公司的机密文档加密保存在硬盘里,不允许硬盘存有明文的公司机密文档,即使硬盘丢失、
7、转手或者被盗也不会导致文档内容丢失;严格控制机密文档的权限,限制文档的离线阅读权限,即使通过邮件发送到公司外部,连接不到公司的内部服务器也无法打开文档和难以用其它方式获取文档内容;对于公司的机密文档,限制普通人员的打印权限;对于非法或者由于不小心导致的共享,没有权限的人获取到的只是密文,难以解密还原成明文文档;使用强度大的加密算法对文档进行加密,使丢失或者被盗的文档基本无法可解密;对于机密文档,需要严格控制每个人的权限和权限的有效时间;对已授权的文档权限支持实时回收,使损失降低到最小甚至无损失。4.2 部署方案的主要设备配置表序号设备名称设备主要配置描述数量一、数据集中备份系统配置方案1异地数
8、据备份软件华为赛门铁克 VERITAS Volume Replicator异地数据复制备份软件,能够以同步/异步自适应模式进行工作,可以实现数据的脱机处理,支持不少于32个节点,不需要依赖于任何的存储硬件平台,对各种商业数据库提供数据的完整的数据复制,如Oracle, SQL, Sybase 等,能通过IP网络进行复制,LAN或者WAN ,提供多种用途的基于卷的复制, WEB方式管理,要求提供设备初次原厂工程师现场安装验收服务与标准软硬件原厂技术支持与售后服务,并在当地设有原厂服务机构32统一备份服务器华为 TecalTM RH2285机架式存储服务器,采用Intel Xeon 5500/56
9、00系列四核处理器,配置2颗Intel Xeon 四核5620, 2.40GHz,三级高速缓存12MB,QPI速度5.86GT/秒,处理器支持虚拟化与64位内存扩展技术,配置8GB RDIMM DDR3主内存,可扩展192GB内存;配备SAS RAID控制器,不占用PCI插槽,支持RAID0、RAID1、RAID0+1、RAID5、6等管理方式;配备2块146GB,热插拔SAS主硬盘,支持8个3.5 热插拔SAS/SATA硬盘与2个1TB SSD存储卡;配置PCI插槽,3个以上USB2.0接口,配置2个10/100/1000M-BaseT以太网接口,配置2块冗余热插拔750W金牌交流电源模块,
10、冗余散热系统;支持多种主流操作系统;配置专用带外远程管理功能模块,提供专用的管理以太网接口,支持远程Firmware升级及更新;配置KVM over IP(Remote-KVM)管理模块、虚拟媒体及媒体重定向功能模块,配置镜像恢复软件,提供OS和业务软件快速恢复,并且具有OS自动备份功能;要求所配软件需采用统一品牌,支持USB2.0重定向、Serial over LAN功能、远程开/关机操作、风扇监控、硬件监控、电源监控等功能;具备CCC、CE、UL标准认证;要求提供原厂商工程师上门安装调试并提供3年免费人工、部件,7x24小时响应,4小时带备件上门的原厂服务;标准2U机架式服务器。13统一备
11、份存储网关华为 OceanStorTM S2600存储系统,配置双控制器,采用64位多核芯片,Cache/控制器2GB,可扩展至8GB,配置缓存镜像功能,支持FC/ISCSI/SAS/FC-iSCSI Combo的主机端口,具备4个1Gb iSCSI主机接口,可扩展FC接口,配置12Gb SAS磁盘通道,配置8块1000GB 7.2K RPM SATAII企业级硬盘单元,系统最大支持96个磁盘,在同一磁盘框内支持SAS、SATA、SSD混插,具备RAID0、1、3、5、6、10、50,支持 RAID 后台初始化及在线容量扩展,必须支持快照与Symantec BackupExec结合,无需备份客
12、户端,支持磁盘休眠及磁盘降速技术、磁盘坏道自动修复、磁盘预拷贝功能,配置多路径软件,支持快照、卷复制、远程镜像等功能,支持掉电后将内存的数据写入硬盘,支持长时间掉电,支持控制器、电源、风扇、UPS电池冗余保护能力,支持短信、邮件、声音、灯光等多种报警方式;控制器、电源、磁盘等模块均支持在线热插拔,支持 JWS 免安装技术,提供配置向导,5 分钟内可完成所有配置,要求采用与服务器同一品牌,非OEM产品,拥有自主知识产权,含3年标准服务并提供设备初次原厂工程师现场安装验收服务及产品正品证明。14千兆三层交换机Quidway S5300系列全千兆交换机,是华为公司为满足大带宽接入和以太网多业务汇聚而
13、推出的新一代全千兆高性能以太网交换机,可为客户提供强大的以太网功能服务。S5300基于新一代高性能硬件和华为公司统一的VRP(Versatile Routing Platform)软件,具备大容量、高密度千兆端口,可提供万兆上行,充分满足客户对高密度千兆和万兆上行设备的需求。S5300可满足运营商园区网汇聚、企业网汇聚、IDC千兆接入以及企业千兆到桌面等多种场合的需求。1二、数据分布存储系统配置方案(分支机构)1数据分布式服务器存储网关(分支)RH1200分布式服务器存储网关,支持IPSAN、NAS、FCSAN,采用64位多核芯级专用控制器,主频2.0GHz,Cache/控制器8GB,可扩展至
14、48GB,具备2个1Gb iSCSI主机接口,支持可扩展4个4GB光纤主机接口、6个1GB ISCSI主机接口及InfiniBand主机接口,配置16Gb SAS后端磁盘通道,配置1.5TB SATAII磁盘空间,支持120块硬盘扩展单元,最大支持磁盘容量240TB,在同一磁盘框内支持SAS、SATA、SSD混插,具备RAID0、1、3、5、6、10、50功能,具备RAID线容量扩展,可扩展NAS功能、本地镜像、虚拟卷拷贝、虚拟卷映射功能模块和文件备份功能模块,支持快照、远程镜像、远程复制功能,具备Cache掉电数据保护,支持电源、风扇冗余保护能力,具备多种报警方式;具备WEB配置管理方式,要
15、求提供设备初次原厂工程师现场安装验收服务及提供三年免费软硬件原厂技术支持与售后服务。3三、数据分布式远程管理系统1远程管理系统设备增加华为 USG2100服务器远程管理系统,标配9个10/100M以太网口,至少扩展19个10/100M 以太网接口,支持3个MIC扩展插槽及1个USB接口,支持供FE、ADSL2+、E1/CE1、WiFi、SA等多种接口。采用多核专用硬件平台,吞吐量200Mbps,每秒新建连接数2000,最大并发连接数20万,具备内置高性能VPN硬件加解密芯片,配置LT2TP VPN64个隧道,IPSEC VPN64个隧道,SSL VPN用户数3个,具备入侵保护IPS、AS、反垃圾邮件、P2P阻断与限流、IM软件阻断等扩展功能,支持IPS 2000+特征库,支持5大常用协议HTTP, SMTP, POP3, IMAP4, FTP协议识别,支持包括BT/迅雷/电驴/pplive等几十种协议的P2P阻断和限流,支持游戏/股票软件的控制,支持flow流日志和标准Syslog日志,支持WEB管理,支持L2TP、IPSec、SSL、MPLS、GRE等多种VPN组
