郝　霞

[摘要]文章针对网络带来的威胁，结合公司自身的部署，从网络防护、数据的存放和备份、病毒防范等几个方面讨论数据安全管理的实践。

[关键词]局域网；数据；安全管理；解决方案

[作者简介]郝霞，广东电网公司江门恩平供电局，广东恩平。529400

[中图分类号]TP393.08[文献标识码]A[文章编号]1007-7723(2009)05-0040-0002

一、网络安全的威胁

网络安全的威胁有：(1)病毒。目前数据安全的头号大敌是计算机病毒，它是编制者在计算机程序中插入的破坏计算机功能或数据，影响计算机软件、硬件的正常运行并且能够自我复制的一组计算机指令或程序代码。计算机病毒具有传染性、寄生性、隐蔽性、触发性、破坏性等特点。因此，提高对病毒的防范刻不容缓。(2)黑客。对于计算机数据安全构成威胁的另一个方面是来自电脑黑客。电脑黑客利用系统中的安全漏洞非法进入他人计算机系统，其危害性非常大。

企业网的边界是企业数据安全的第一道防线。子网越大，把所有主系统保持在相同的安全性水平上的可管理能力就越小。随着安全性的失策和失误越来越普遍，入侵就时有发生，给企业的数据安全带来威胁。在网络边缘，也就是不同网络、不同安全域交汇的地方，有必要部署足够的安全措施，以保障网络的安全。在公司的网络边缘，可部署一台统一威胁管理(UTM)设备，来提供互联网接入、网络安全防护等一系列功能。UTM设备不仅仅是防火墙(FW)，而且是FW+虚拟专用网(VPN)+入侵防护(IPS)+网关防毒(AV)的结合。它能够提供主动威胁防御，在攻击蔓延于网络前就能及时阻挡攻击，控制网络行为和应用程序流量，有效防范黑客攻击。

二、数据的存储和备份

每个企业都会产生大量的关键数据，这些数据需“备份”，这意味着这些数据要存储在容易访问和检索的地方。每家企业都可能遭遇停电、火灾和意外损坏等情况，如果没有备份关键的数据和信息，将会导致严重的后果，要将丢失的数据恢复需付出较高的成本。

(一)数据的存储

公司数据的存储根据系统功能和重要性的不同，部分数据直接存放在本地硬盘；部分数据f如数据量非常大或增长速度快的数据)存放在磁盘阵列或存储设备(sAN)的硬盘上。

1应用独立冗余磁盘阵列(RAID)技术

公司系统全部采用RAID技术对硬盘作阵列。RAID是一种把多块独立的硬盘(物理硬盘)按不同的方式组合起来形成一个硬盘组(逻辑硬盘)，从而提供比单个硬盘更好的存储性能，并提供数据备份。用户数据一旦发生损坏后，利用备份信息可以使损坏数据得以恢复，从而保障了用户数据的安全性。在用户看来，组成的磁盘组就像是一个硬盘，用户可以对它进行分区、格式化等。

RAID级别的选择有3个主要因素：可用性(数据冗余)、性能和成本。若不要求可用性，选择RAID0以获得最佳性能。如果可用性和性能是重要的而成本不是一个主要因素，则根据硬盘数量选择RAID 1。如果可用性、成本和性能都同样重要，则根据一般的数据传输和硬盘的数量选择RAID3、RAID5。应用了RAID技术后，系统在任何一块硬盘出现问题的情况下都可以继续工作。

2存储区域网络(sAN)技术

SAN是建立在存储协议基础之上的可使服务器与存储设备之间进行"any to any”连接通信的存储网络系统。由于SCSI技术在带宽、安全性、连接柔韧性方面的局限，人们开发了一种新的通道技术——光纤通道技术，利用光纤通道可以创造一个有别于以前的LAN的SAN。

对于数据量大且对读写速度要求较高的系统，将这些系统接入到SAN上，使用SAN上的硬盘。SAN消除了服务器的许多YO瓶颈，适合大数据量传输、实时数据处理，SAN提供了将来存储需求的突破性技术。

(二)数据的备份

根据公司实际情况，对于数据的备份分成两个方面。公司系统很多，特别是近期部署了多个实时系统。针对这种情况，一方面沿用了过去一直在使用的TSM备份策略；另一方面，对于实时系统和需要并行使用的系统，采用EMC的TimeFinder技术来进行备份。

1TSM备份

对于文件系统或其他非实时系统，采用TivoliTSM技术来进行备份和恢复。Tivoli TSM是一个企业级的Client／Server结构跨平台网络备份、恢复及存储管理软件。TSM Client主要功能是向TSM-Server提供需要备份的数据，或向TSM Server索取已备份数据及归档数据以便Client恢复数据。TSMServer负责管理TSM Client的备份数据、备份策略及管理连接在TSM Server上的各类存储产品。

TSM备份采用一台服务器作为备份服务器，磁带库通过光纤或SCIS与备份服务器相连。具体备份流程如下：

机房的某服务器通过TSM的Tivoli管理软件发送到TSM备份服务器端，再由服务器端将接收的相关数据传送到磁带库中予以保存管理。若干个备份在服务器端体现为一个个的备份作业进行排队等待，在介质管理和使用上由服务器端统一协调管理。如果需要恢复数据，TSM Client端只要通过非常简单易用的图形界面或由应用程序发出指令指出恢复哪些对象文件，TSM Server自动从磁带库中取出文件，交给TSM Client。

2SAN的备份

对于SAN上数据的备份采用了EMC的TimeFinder技术，它使数据存储系统和存储管理者能够在后台状态下，为主机和开放系统数据存储器创建可独立寻址的BCV卷，这些BCV卷是当前生产卷的镜像。BCV卷建立后，还可与生产镜像卷分割开，一旦BCV卷上的任务完成，又可与生产卷重新同步化，重新指定给另一个生产卷，或为另一个任务保持“现状”。这样，由于备份的原因被关闭或至少慢下来的企业的应用系统能保持正常运行。SAN备份服务器采用Networker数据备份软件。备份服务器和磁带库接入SAN，通过SAN完成备份，指令流走IP网络，数据流走SAN网络，恢复也是同样。利用TimeFinder技术，对于使用SAN上的数据做开发工作时也十分高效和便利。由于BCV卷和生产卷同步后可以得到一份完整的生产数据拷贝，使开发和测试用的数据和生产数据卷完全分离开来，大大提高了生产系统在开发新应用时的安全性。由于开发过程使用了真实的生产数据，因此新开发的应用程序具有了更高的代码质量。当BCV卷的内容在开发过程中被修改或被破坏，如果想再使用“干净”的数据继续进行开发和测试，只需要将BCV卷和生产数据进行再同步即可，然后BCV卷的数据就可以继续做开发工作。

(三)数据的恢复

数据备份的主要目的是保证数据的完整性，但是备份是否有效、是否可靠，即系统出问题后能否有效恢复数据是十分关键的。通过对AIX上的Domino和Windows下的文件系统数据做恢复试验，数据备份是可信的。

三、病毒的防范措施

在网络病毒日益猖獗的今天，病毒的攻击甚至会造成系统的崩溃，防范工作必不可少。公司对于网络上的所有服务器都安装了symantec企业版防病毒软件，并利用公司内部的WSUS服务器进行系统补丁的分发。

四、结语

经过多年信息系统的稳定运行，特别是从近年来多个重要系统的投运情况来看，公司目前采用的数据安全管理的方法和技术是适应公司需要的。当然，随着技术的发展，更先进的技术层出不穷。作为局域网管理人员，应该不断跟踪新技术，并找到适合本公司的解决方案。