网络工程规划与设计案例教程项目三_任务四_教育信息系统整体安全解决方案.doc

教育信息系统整体安全解决方案随着信息技术的不断发展，教育的时空观念得到了极大地拓展；人们学习的兴趣、效率、及能动性得到了空前的提高；远程教育、多媒体教学，计算机教学软件、虚拟大学等应运而生；全球性学术交流、合作研究空前繁荣；信息生产、传播和应用日新月异。现代教育科学、心理科学和信息科学技术的相互渗透，已成为教育改革和发展的强大动力。传统的教育模式面临挑战，不仅培养学生具备读和写的能力，更要求具备迅速的选择和筛选信息、准确地鉴别信息的真伪、创造性地加工和处理信息的能力。面对全球性的信息技术发展环境，中国的教育行业一直在加强教育信息化建设的步伐。自十年前校园网建设启动至今，目前100%的高校建立了校园网，一半以上的中小学也完成了基础设施的建设。目前教育信息系统已由基础网络建设向内容建设迈进，教学、管理、增值、合作等越来越多的应用在教育网络上运行。随着信息系统的广泛使用，信息的安全、可靠、服务的连续运行变得越来越重要，任何的停机会让我们无所适从，迫使我们不得不考虑信息系统的整体安全性建设。Symantec提供教育信息系统整体安全性解决方案，有效的预防网络病毒、黑客、儒虫等攻击造成的网络效率下降、数据泄密、及业务停顿；并提供人为错误、硬件故障、其它灾难后信息系统的快速恢复。第一部分 教育网络安全解决方案一、校园网结构特点及信息安全需求分析校园网结构特点随着CERNET在中国教育科研领域的深入发展，校园网信息化建设也日趋完善。总结校园网信息结构的特点，主要有以下几个方面：1. 校园信息网具备完善、层次化的网络汇结结构，有统一的教育网出口。它是全国高校网的信息互通平台，同时也是通向国际互联网的传输纽带。2. 校园信息网内建立了一系列重要的应用系统，负责高校日常的信息管理工作，如学生档案管理、教务管理、人事管理、财务管理、后勤管理等。此外，相当多的校园网还启用了学生一卡通系统，用于学生在校区内的购物消费、借书等。数字图书馆是高校的另一个重要系统，它包括门户系统、网上借阅、音像资料管理、TRS 检索，期刊管理等等。3. 校园网的另一个重要网络是学校科研及中重点试验室网络。尤其是在国家一些重点院校，这部分网络往往都承担了国家级的课题项目，里面涉及到的信息级别较高。4. 随着信息化程度的深入，校园内学生宿舍区的终端数量日益膨胀。与此同时，教工家属区的PC 也通过校园网的网络资源连入CERNET。对于这两类终端，他们的特点是数量庞大，占用带宽较高且不易管理。图1：校园信息网示意图综合以上校园网结构特点，其存在以下安全风险和其脆弱性：1. 校园信息网平台比较开放，终端数量庞大，非常容易受到来自CERNET本身的安全威胁，例如网络蠕虫传播、安全攻击，垃圾邮件泛滥等等。此外，校园网终端没有统一的管理，每台机器上的操作系统安全漏洞补丁不能及时更新。这些威胁都会严重影响校园网络的正常使用。2. 学生是CERNET 上重要使用者，对网络的渴望、好奇和其它一些原因直接导致了在某些情况下对网络的未授权使用，例如：攻击试探、长时间网络下载占用、对重要服务器群的信息窃取等等。这些行为除了会影响校园信息管理系统的正常运行，同时还对那些重要服务器的安全造成了威胁。3. 学校的重点科研试验室承担了大量的学术研究和试验项目，在研究过程中的数据需要采取严格的安全保护措施。对这部分网络的访问并不一定完全是学校内部的人员，同时还会有相关的外校科研人员。必须要对该网段的访问进行严格的监控和控制措施，以保障其信息的完整性。4. 校园网的管理结构相对复杂，没有系统的安全管理和安全事件监控机制。一旦遇到网络蠕虫传播、垃圾邮件拥塞、安全攻击等紧急情况，没有相应的处理流程。而且，如果只是通过被动的事后响应，学校投入的IT 资源回报无法最大化，总是在事倍功半的恶性循环之中。通过上述总结分析可以看出，校园网的安全防护必须是多层次的，全方位的。赛门铁克根据校园网的实际情况，设计了完整、先进的校园网主动安全防护体系，它主要包括：u 校园网出口统一威胁控制u 校园网内部安全监控和防御u 校园网内部重要服务器、应用防护（邮件）u 校园网内部终端安全防护图2：校园网信息安全管理体系二、校园信息网安全建议方案1校园网出口统一威胁控制赛门铁克网关安全Symantec Gateway Security（以下简称SGS）是新一代的统一威胁管理设备。它采用了多种先进的安全技术，对进、出校园网的数据包进行检查、处理和控制。它可以满足校园网抵御混合型威胁的需要。作为业界最全面的统一威胁管理设备，它将全封包检查防火墙、基于协议异常和基于特征的入侵防御及入侵检测引擎、获奖的病毒防护、基于 URL 的内容过滤、反垃圾邮件以及符合 IPsec 的VPN技术无缝地集成在一起。在部署时，SGS 可以根据学校的实际需要启用不同的安全功能模块：IPS/IDS、防病毒、防垃圾邮件，内容过滤、VPN 等。在校园网出口的地方，我们还可以利用SGS 建立出DMZ 区域，放入一些对应的服务器，如WEB服务器，EMAIL 服务器等。为了避免校园出口的单点故障，可以部署两台或多台SGS 设备。这些设备可以同时执行负载均衡和高可用性责任。以上方案的效果可以使管理员灵活控制来自CERNET的通讯流量，阻止各种校园外来黑客攻击和病毒、蠕虫以及垃圾邮件；对DMZ区和校园内部网络区别看待，使用不同的安全访问控制规则。除了在校园网出口部署统一威胁管理方案，还可以在学校内部的网段之间部署。例如在学校科研及重点试验室网段，该网段的信息安全级别相对较高，可以再部署一台SGS设备，设置适合本网段的安全访问控制规则及安全攻击检测规则，保护信息以合法的方式被访问。对于校园网的其它网段，可视情况部署同样的方案。SGS 在校园网的部署如下图所示：图3：校园网统一威胁管理部署方案利用赛门铁克SGS部署在校园网出口和内部重要网段，其特点如下：l 具有七种必要的网络安全功能，集成了防火墙、基于协议异常和基于攻击特征的入侵防御及入侵检测、著名的病毒防护、基于 URL 的内容过滤、反垃圾邮件以及符合 IPSec 标准的 VPN 技术。可以在一台设备上实现对校园网的统一威胁管理。l Symantec Gateway Security 系列独到之处在于采用“最佳适配”规则系统。管理员可以按任意顺序创建访问控制规则（顺序无关），防火墙会自动按照最安全的策略选择并解释执行规则。大大减少了信息管理员的管理成本，易于维护使用。l 校园网的信息平台相对开放，多数具有较强破坏力的复杂攻击是对应用数据流的攻击，而不是仅仅在IP层，所以对应用数据和协议命令的控制是非常必要的。Symantec Gateway Security 系列使用智能安全代理，对IP应用（例如FTP，SMTP，SQL*NET）独立控制，保证只有合法的协议命令和数据才能通过。例如Symantec Gateway Security 5600系列防火墙可以抵制SMTP 后门命令和FTP、 SMTP和HTTP 数据流中存在的缓冲区溢出攻击。l Symantec Gateway Security提供集中式管理，通过集中的日志记录、警报、报告和策略配置简化网络安全的管理。同时Symantec Gateway Security具有集成的高可用性和负载均衡选件，能够满足任何规模的校园网的性能要求。2校园网内部安全攻击监控和防御结合校园网的网络环境，我们可以针对校园网主要核心交换机部署赛门铁克网络安全设备，即Symantec Network Security（以下简称SNS ）。根据校园网交换机带宽的实际利用率，在每台SNS 设备上应用的授权带宽可从50M 到2G。SNS部署时的端口使用情况如下：SNS 7100系列的所配备网卡接口有三种类型，l 管理端口（有IP地址，不能监听）l 监控网卡（无IP地址，工作在混杂模式(promiscuous mode)下，仅用于收集对应交换机端口的数据包）。l TCP Reset发送端口（无IP地址，只用于发送TCP Reset包）这样的工作模式，既能保证SNS设备的安全，又有很好的灵活性，如果校园网需要监控多台交换机，只需将SNS的监控网卡分别与其相连，不用另外购置新的设备。SNS可以监控整个校园网络的通信信息，不需要另外安装任何代理程序，对网络结构的影响也几乎没有。对于SNS的网络监控模式，可以采用IPS/IDS部署模式。SNS 7100 IPS 模式可以支持多个in-line pair(内嵌对)，同时支持报警和拦截模式。校园网管理员可以使用SNS 的“单键防御”技术在这两种模式间切换。从而可以采用不同的安全策略应对变化的网络。报警模式：SNS串接在网络上，发现可疑行为后发出报警通知管理员，不拦截会话。图4：SNS报警模式示意图拦截模式：SNS直接串接在网络上，发现恶意攻击、非法请求，立即拦截。图5：SNS 拦截模式示意图如果使用IDS部署模式，学校不用更改交换机配置，无需额外占用交换机端口资源，SNS 7100支持802.1q trunk协议。在透明模式下，IDS不会影响学校的现有网络应用。SNS对经过监控网卡的数据包进行分析，将恶意请求，非法访问直接拦截。在IPS(入侵拦截模式)下，SNS设备直接串接在校园网络中。为了防止因为SNS在正常设备时的重启或服务暂止而影响网络通信中断，建议在部署SNS时，同时配合部署SNS旁路设备保持网络通畅。SNS旁路设备，会监听SNS的运行状态，并在SNS不能提供正常服务时，自动接管网络通信，保证网络的畅通。图6：SNS 在拦截模式下的故障旁路处理每台SNS 7100 设备在对交换机部署IPS 模式的同时，还可以对其它网络部署成IDS模式。它是利用交换机的SPAN/RSPAN 功能，将SNS7100设备上的监控端口直接连接在SPAN 端口，这种模式一般部署在校园的某一个网段上，监视和检测该网段所有的数据流量，如校园的学生楼、教工宿舍区等。可以看出，SNS的网络监控的部署模式是非常灵活的，完全可以满足校园网的不同需求。图7：校园网网络安全监控和防御Symantec Network Security部署在校园网具备如下特点：l 满足高速环境的检测需求。Symantec Network Security 7100 就多千兆高速通信监控设置了新标准，允许在校园内的任何级别执行检测功能，且不会丢弃数据包。l 对攻击主动拦截。SNS设备可以工作在透明模式下，在不改变网络结构的前提下，自动拦截非法的网络访问，实现主动防御。l 混合检测体系结构，识别零时间攻击。Symantec Network Security 7100组合协议异常检测、状态特征签名、漏洞攻击拦截、通信速率监控、IDS 逃避处理、数据流策略冲突、IP 地址拆分重组以及自定义增强特征签名描述语言来收集恶意活动的证据。Symantec Network Security 7100 的协议异常检测有助于检测以前未知的攻击和新攻击（在它们发生时检测）。此功能称为“零时间”检测。l 实时事件关联和分析，快速定位校园网威胁来源。Symantec Network Security 7100 的关联和分析引擎可滤掉冗余数据而只分析相关信息，从而使得提供的威胁通知不会出现数据超载。SNS 使用跨节点分析在校园网内收集信息，从而快速地帮助管理员弄清楚趋势并在相关事件和事故发生时识别它们。l 自动的Symantec 安全更新。来自 Symantec 安全响应中心（世界领先的Internet 安全研究和支持机构）的定期、快速响应 安全更新可提供顶尖的安全保护和最新的安全上下文信息，包括利用和漏洞信息、事件说明以及用于防御不断增多的威胁的事件细化规则。这些操作大大减少了校园管理员的维护工作量。3 校园网邮件应用安全防护校园网的邮件应用安全防护重点是：l 对来自互联网、CERNET的垃圾邮件进行过滤和处理；l 对病毒和蠕虫造成的邮件攻击进行拦截；l 对不断增长的无用带宽进行限制和调整；l 对包含不正当内容的邮件予以拦截；赛门铁克具备业界领先的Brightmail反垃圾邮件技术和防病毒技术，针对校园网内不同的邮件平台(通用SMTP 服务器，Lotus Domino，Microsoft Exchange等)，提供易于部署的综合电子邮件安全解决方案。图8：赛门铁克邮件安全防护方案以通用的SMTP 服务器为例，Symantec Mail Security 8200(以下简称SMS8200) 系列同时提供防垃圾邮件、防病毒、内容过滤等全面防护功能。SMS 8200 系列设备的用途非常灵活，根据校园网络规模和电子邮件处理的需要，它们可以执行多种不同的功能。每台 SMS 8200 系列设备都可部署为：l Scanner：如果只部署为 Scanner，SMS 8200 系列设备将会过滤电子邮件。可以在校园网内安装一个或多个Scanner。SMS8200系列设备可以与现有电子邮件或群件服务器一起工作。l 控制中心（Control Center）：管理校园网邮件安全系统。每个SMS 8200系列安装都有一个控制中心设备，它是一个基于 Web 的配置和管理中心。 控制中心又承载着隔离区和支持软件。可以从控制中心中配置和监控所有 Scanner设备。 还可以使用控制中心配置和管理电子邮件过滤、SMTP 路由、系统设置及所有其他功能。控制中心同时还提供系统中所有 SMS 8200 系列设备的状态以及系统日志。 它还提供丰富的可自定义的报告。可以使用控制中心来配置系统范围的和主机特定的详细信息。如果正在使用隔离区，则可以使用控制中心来管理隔离区。 最终用户（学生、在校教职员等）可以访问控制中心来查看隔离区中的垃圾邮件，还可以设置他们的语言过滤及禁止或允许的发件人首选项。隔离区是一个存储垃圾邮件并使最终用户能够访问他们的垃圾邮件的组件。也可以将隔离区配置为仅供管理员访问。隔离区的使用是可选的。l 控制中心兼 Scanner：执行上述两种功能。 适用于校园邮件用户较小的情况安装。图9：校园网邮件安全集中管理Ø 每个校园网内可以有一个控制中心Ø 每一个控制中心可以管理多个硬件扫描器（Scanner）设备Ø 小型规模的校园网可以将控制中心与扫描器部署在同一个硬件设备中赛门铁克邮件安全防护方案的特点： l 采用了多种过滤技术，有效率达到95以上，准确性达到99.9999%，处于世界领先水平；l 在全世界拥有200万个蜜罐邮箱，专门收集最新的垃圾邮件，能够快速应对最新的垃圾邮件发送技术。同时，Symantec公司在国内设立了20万蜜罐邮箱专门搜集国内的垃圾邮件，针对中文垃圾邮件和国内流行的垃圾邮件同样具有很高的过滤效率；l 自动生成垃圾邮件过滤规则，并且每510分钟为用户更新一次过滤规则，具有极快的响应能力；l 集成了倍受好评的 Symantec 防病毒技术来扫描和检测病毒。并且防病毒定义与过滤规则一同升级，不需要用户单独维护。而且Symantec公司是世界上唯一一家同时具备国际领先的防垃圾邮件技术和防病毒技术的厂商，产品之间不存在集成和兼容性的问题，保证了用户使用的稳定性；l 通过电子邮件防火墙技术，实现在真正的垃圾邮件与病毒邮件到达用户网络之前，就阻止其企图的功能。通过此技术，可以极大的节省用户网络的带宽利用，并且真正保护了最终邮件服务器的可用资源（SMS 8200独有）；l 可有效防止DHA攻击、垃圾邮件攻击、病毒攻击、空连接攻击、多重压缩攻击等各种针对电子邮件系统的DOS攻击（SMS 8200独有）；l 通过邮件源信誉度判断、SPF发件人身份认证技术以及第四代增强型的URL过滤技术，可以有效的识别目前危害最大的“网络钓鱼”（Phishing）电子邮件，从而保障目标企业的员工不会遭受到巨大的经济损失；l 强大的最终用户可配置功能。最终用户通过登陆管理配置界面，可以管理与自己有关的隔离区垃圾邮件，并且可以自定义个体的黑名单、白名单和语言选项，从而大大的降低管理员的管理负担；l 能够支持包括英文、中文、法文、德文、日文、韩文等12种语言的垃圾邮件识别和过滤。4 校园网终端安全防护校园网内的终端数量庞大，各自归属的管理网段不一。因此建议对于客户端的安全防护按不同的需求部署。对于属于学校信息中心管理的客户端统一安装Symantec Client Security（以下简称SCS）。而对于学生宿舍区、教工宿舍区等，要视学校的管理制度来确定是否强制安装客户端安全软件。我们以教学网段为例，说明校园网的客户端安全部署方案。l 在教学工作终端上部署赛门铁克功能强大的SCS。它同时具有病毒防护、入侵保护、防火墙保护等多种功能，可以对混合型威胁到达主动的防御目的。l 在所有的Windows 服务器上安装Symantec Antivirus for Servers。l 工作终端均接受相应的SCS 服务器的管理。l 针对校园网的全网防病毒系统的升级，建议首先每天自动升级信息中心的一级单位防病毒服务器的病毒定义码、扫描引擎、特征库（漏洞特征库和攻击特征库）和安全规则（防火墙策略），所有客户端可自动地到防病毒服务器上升级。l 如果需要设立二级防病毒管理中心（例如，各系院处室），各二级单位的防病毒服务器到一级单位的防病毒服务器进行病毒定义码、扫描引擎、特征库和安全规则的升级，同时作为备份，条件允许的二级单位防病毒服务器也可以自己通过CERNET到赛门铁克网站进行升级。图10：校园网客户端安全防护除了对校园客户端部署安全防护产品以外，在校园信息网内的关键网段，如科研试验室网段，还需要对访问的客户端部署网络准入控制策略Network Admission Control( NAC)。网络准入控制的核心思想是屏蔽一切不安全的设备和人员接入学校研究、实验室网络，或者规范终端用户接入网络的行为，从而铲除对科研网络威胁的源头，避免事后处理的高额成本。我们可以在访问控制级别较高的网段内部署赛门铁克网络准入控制方案。当外来相关人员接入校园网内部的时候，边界的准入措施（防火墙等）往往会失去效用，这时就需要借助赛门铁克强制服务器（Lan Enforcer）。Lan Enforcer可以和802.1x交换机在接入层对校园网终端实现网络准入控制。示意图如下：图11：科研试验室网段客户端准入控制Lan Enforcer 强制服务器可以管理支持802.1X的交换机。它要求交换机主动认证接入的PC。如果PC上没有安装赛门铁克客户端软件，或者其他主机安全状况检查没有达标，则交换机可以根据Lan Enforcer指令，容许或拒绝其接入内部网络。也可以将此类PC隔离到一个漫游区，外来用户，移动用户可以在漫游区修复安全状况，或者受限制的访问网络。一旦安全修复完成，Lan Enforcer强制服务器会通知交换机将该终端从漫游区切换到科研试验室的工作VLAN之中。三、总结本建议方案是从典型的校园网结构出发建立起的全方位的安全防护方案。校园网的特点是平台相对开放，用户终端多。因此，本方案从网络边界防护、网络内部监控，垃圾邮件控制，终端安全方案几个方面对校园网的信息安全进行控制，以达到对网络不同层面的安全保护。边界统一威胁管理可以对那些来自外网的攻击、和应用层的非法流量进行深度检测，从而对许多新出的未知的蠕虫和混合威胁予以控制。内部网络安全入侵监控防御可以对校园网内部的攻击，特别是未知攻击行为作出及时判断和响应，保护网络的正常运行。邮件系统的安全控制可以让校园的资源不再地遭到病毒程序、垃圾邮件、非法内容的侵犯，避免学校的邮件系统瘫痪。此外，有针对性的对重要网段部署客户端安全和网络准入控制方案，可以保障客户端对网络的合法使用，持续地监控违规行为并作出响应措施。数字图书馆高可用性解决方案【背景】数字图书馆的最终目的是数字化图书资源并建立满足各种需求的应用系统。中国图书馆自动化建设始于二十世纪末期，至今已走过了十几个年头。基本上形成了一套以读者管理、采编、流通及检索等核心功能模块为中心的电子图书管理系统。随着时间的推移，更多的应用加入进来，例如电子阅览、网上预借、馆际互借、媒体点播等，数据量急剧膨胀，应用数据的可恢复性和应用系统的不中断性也越来越重要。另外，“容灾”目前是所有IT主管最关心的课题。高等院校合并完成后，许多大学都有分布在不同地方的计算中心，如何利用这些资源建设校园网上最关键的应用数字图书管理系统的容灾也是各个大学管理者关心的问题。数字图书馆不仅涵盖高校图书馆还包括公共图书馆，虽然二者的应用子系统不尽相同，服务对象也有区别，但是他们对数据保护和应用不中断运行的需求是一致的，这里的讨论和建议对这两种图书馆体系都适用。 【存储需求分析】随着数字图书馆建设的深入，IT系统已经成为图书馆运作的核心。目前传统的核心图书管理流程已经被全部自动化。这个流程主要是指（1）书籍买来之后的编目、入库，变成读者可以借阅的对象；（2）读者借还书管理；(3)书目检索等管理过程，这是图书馆的日常运行流程。这个应用包含了图书管理系统的核心功能，一般运行在一台或几台核心服务器上。 随着需求的增加，很多图书馆又建设了许多新的应用系统为读者提供更全面的服务，包括门户系统、网上借阅预定、馆际资料互借、音像资料系统、TRS检索、期刊管理等，这些应用基本上都独立运行。另外，图书馆在逐步实现图书电子化，大量的影印数据占用着越来越多的存储空间。虽然在图书馆自动化建设中大多数院校已考虑过系统的可靠性、数据保护、应用高可用，但是面对今天人们越来越高的要求，这个系统仍然面临许多挑战，下面让我们仔细分析。1图书馆综合业务系统这个系统通常由一台中心数据库服务器和多台应用服务器组成（一些中小型图书馆只采用一台服务器运行数据库和所有的应用），承担着图书馆的日常运行功能，工作人员通过该系统将新的书籍编目、入库；读者通过该系统查询、借还书；工作人员通过它向读者发催还通知，逾期罚款等。它一般运行数据库，保存着完整的书目信息、书籍状态、借阅情况、读者信息等。同时数据库还对新的扩展业务系统提供支持。显然这个应用系统是图书馆最重要的系统，它的数据丢失将造成严重后果-图书馆停止运转、甚至经济损失-很多借出的书不能追回。因此至少需要实施最基本的数据保护。目前许多图书馆没有进行数据备份，或者只简单地手工备份,或采用图书管理软件自带的备份功能，虽然有时也能在发生问题后恢复数据，但是无法保证所有数据、任何情况下的可恢复性，它面临以下挑战：l 图书馆各种应用系统备份与恢复管理各自为政，互不关联，增加维护人员负担，恢复周期长。l 不能快速恢复操作系统、软件代码及环境配置，一般需要重新安装。即使使用一些恢复工具，也与数据恢复脱节，效率低，复杂。l 不能保证所有数据在任何灾难后的恢复。l 没有考虑数据增长。例如不能利用SAN的优势作LanFree备份。l 存储设备不能共享，成本高。因此需要建立一个成熟的、可靠的、功能完善的、可扩展的数据备份与恢复系统。由于图书馆综合业务系统是关键应用系统，它的停机意味着图书馆停止运转。但是像任何IT系统一样，它长年累月面临着各种软硬件故障带来的停机风险。如果学校不能承受因磁盘故障、服务器故障、系统BUG等导致的系统停机的话，还需要对这个系统进一步实施高可用保护，即保证应用的连续、可靠地运行。进而，对于要求更高的学院，比如不能承受任何故障（硬件故障、软件故障、停电、火灾等）造成这个核心系统的停机，那么还需要建设这个系统的容灾系统，以保证当主系统由于灾难而停止运行时，容灾系统接管它的工作，继续提供服务。对于那些有多个位于不同区域的学院的大学来说，如何利用现有的校园网机房建立容灾中心也是领导层关注的。2. 其他扩展业务系统很多图书馆，尤其是大型院校图书馆，除了综合业务系统之外，还扩展了多种新业务系统，比如门户系统、网上借阅预定、馆际资料互借、音像资料系统、TRS检索、数据库综合服务等。这些系统也保存着重要的读者信息和资料信息，它们有时可以为一些专业咨询与统计作参考，十分珍贵。因此需要实施统一的数据保护，以便发生问题后及时、正确地恢复运行。与核心应用系统相比，这些应用不会影响图书馆的日常运行，但是有些也是非常关键的。当期刊管理系统中断时，读者不能查阅最新资料；当借阅预定系统不工作时，读者不能及时地享受预定服务；当音像系统出问题时，客户不能及时地点播需要的节目 总之，要想为读者提供高质量的服务，这些扩展系统的不中断性不得不考虑。总之，高校图书馆自动管理系统根据需求的高低、投资的多少，依次需要构建基本的数据保护、较高层次的高可用保护、及最全面的容灾保护。【解决方案】1、集中的数据备份与恢复正像前面的分析，图书馆管理系统没有数据备份是相当危险的，即使采用了手工备份或各应用软件自带的简易备份功能也是不够的，会影响服务质量，达不到数据保护的目的。既然数据保护无论对中心管理系统还是扩展的应用系统都异常重要，我们需要建立一个集中统一的、高质量的、可靠的、适用的数据备份与恢复系统，以满足图书管理系统最基本的数据可用性要求。同时降低管理成本，提高投资回报。Symantec提供先进的数据备份与恢复解决方案，满足图书管理自动化环境的数据保护要求，其在图书馆管理环境中的部署架构如下图：逻辑上，NetBackup由备份管理服务器、备份介质服务器和备份客户端组成。管理服务器管理整个系统的备份策略、备份记录，提供GUI给管理员使用；备份介质服务器直接存取备份存储设备（带库或磁盘），并负责将需要备份的数据传送到合适的磁带或磁盘上，还负责恢复时将磁带或磁盘中的数据回送到需要恢复的客户端上；备份客户端安装在每个需要作数据备份的应用服务器上，如图中的各个业务机器。 三个功能模块可以部署在一台机器上，也可以安装到不同的机器上。这里备份管理服务器和备份介质服务器由一台服务器负责，统称为备份服务器。备份管理员通过GUI制定每个应用系统的数据备份计划（也叫备份策略），并将它们保存在集中管理服务器上。所谓备份策略就是指定每个需要备份的客户机上那些数据在什么时候备份、如何备份。例如综合业务系统的数据最重要，设置成每天晚上8:00开始做备份；其他系统每两天做一次备份等。备份策略设置好之后，备份服务器就会按照策略指定的时间去唤醒应用服务器上的备份客户端，于是备份客户端将指定文件或数据库的数据从磁盘上取出，通过网络传送给备份服务器，由备份服务器保存到备份设备上。如果备份服务器有需要备份的数据，它直接将其保存到备份设备上，不需要经过网络，备份性能更高。备份设备既可以是磁带库也可以是磁盘。备份设备总是由备份服务器存取。允许多台备份服务器通过SAN共享一台备份设备。由于备份服务器自身的备份速度快，当多台应用服务器（如图书馆综合业务系统、期刊管理）需要高性能备份时，可以将它们均部署成备份服务器。在 上面图示中，数据库服务器、期刊管理服务器及多媒体系统的数据量相对较大，因此将它们部署成SAN备份服务器，它们的数据直接通过SAN保存到备份设备上，性能高且不占用上层网络资源。其他应用的数据通过网络传送给任意一台备份服务器，由备份服务器保存到备份设备上。备份设备的容量跟图书馆管理系统整个环境需要备份的数据量有关，还跟备份策略有关。例如，综合业务系统的数量是20G，备份策略是每周全备份，每天增量备份，每天的数据变化量是2G，需要保存4个全备份版本，则需要的存储容量为20x4+2x6=92GB。其它扩展应用系统9G的数据量，并要求每两天增量备份，一周一个全备份，保存两个全备份版本，每天数据变化量为1G, 需要的存储容量为9x2+1x3=21GB. 因此，这个图书馆所需购买的存储设备（磁带库或磁盘）容量至少103GB。再考虑每年的数据增长50%,规划3年的用量，则需要大约230GB的容量。当需要恢复某个应用的数据时，可以透过集中管理服务器的GUI查找指定数据的位置，申请备份服务器将备份设备中的数据取出来，并通过网络传送到相应的应用服务器上. 如果是备份服务器上的应用需要恢复数据，它就将数据直接存到相应的目录下。SYMANTEC的备份方案不仅完成数据的备份和恢复，还支持操作系统的备份和快速恢复。它可以周期性地将操作系统环境（包括应用软件代码及配置）等完整的影像备份到服务器上，一旦应用系统遭到破坏，需要重新部署时，可以采用备份的影像在几分钟内将操作环境恢复到备份点时的状态。如果要求在任何灾难后数据都不丢失，而继续恢复使用，可以将磁带离线远程保存，即送到另外的地方甚至是另一个城市存放。当发生软硬件故障造成数据丢失时，可以从本地的备份设备中恢复数据；当发生火灾、地震等场地灾难后，可以利用远程保存的数据恢复系统。显然这里建立的数据保护系统是完备的、功能强大的，可以预防任何灾难带来的图书馆管理系统的数据丢失。主要特点如下：l 集中的数据备份与恢复管理 单个解决方案为整个图书管理系统提供数据保护。实际上，连同图书馆的办公系统校园网服务器都可以采用备份方案统一保护起来，降低风险、提高资源利用率l 统一的数据与操作系统保护单个解决方案提供从操作系统到数据库到文件数据的统一备份和恢复。当应用系统遭遇病毒袭击、磁盘故障而彻底被破坏时，可以快速恢复完整的运行环境，避免了安装操作系统、应用软件、数据库花费的大量时间。l 支持所有灾难后的数据恢复不管是软硬件故障、人为出错、病毒、还是场地灾难情况下，备份方案都能保证数据是可以恢复的。l 高性能备份与优化的资源利用率利用成熟的SAN技术提高了备份性能，同时通过多备份服务器共享备份设备，降低了投资成本，提高了资源利用率。l 完全自动化的管理，低管理成本备份策略制定好后，系统完全自动地完成日常的数据及、操作系统备份，不需要管理员的干预，除非需要更改策略、恢复数据或处理故障。因此是一个可靠的、易于使用的数据保护系统。2、集群与存储管理系统数据备份和恢复可以满足最基本的数据可用性需求，即任何灾难发生后都可以恢复应用环境。但是这种离线的数据恢复周期一般较长，一些关键业务情况下是不能忍受的。尤其象图书馆的核心管理系统，瘫痪期间，整个图书馆不能运转。因此对于条件好的学校或单位，需要考虑增加更先进的技术改善关键系统的高可用性。先看一下数据磁盘的情况，在最简单的图书自动化管理系统里，数据库服务器及核心应用一般运行在单台服务器上，数据存放在这台服务器的多个磁盘上。我们知道单个磁盘的毁坏将会毁掉所有的数据，因此通常我们采用逻辑卷管理软件将这些磁盘作成容错的逻辑卷，预防这种磁盘故障。在规模大一点的图书馆里，通常采用磁盘阵列存放数据。但是磁盘阵列的故障同样会引起数据不可存取，从而导致应用停顿。因此在条件允许的情况下，通常推荐配置两台阵列，存放两个数据副本。两种情况都需要逻辑卷管理软件来实现数据的容错功能。再看应用服务器，任何硬件错误（CPU板坏、网络接口坏、内存坏、磁盘接口坏）、病毒入侵都造成应用不能运行，前端用户不能存取应用数据。所以需要考虑加强机器的可靠性。除了冗余机器内部的硬件外，有条件的图书馆通常都采用机群方式提高系统的可用性。即多台服务器互为备份，当一台服务器因为故障不能工作时，另一台服务器接管它的应用，继续提供先前的服务。Symantec公司的产品Storage Foundation HA是一个完整的高可用性解决方案，它提供 逻辑卷管理、磁盘阵列镜像、及集群功能，特别适合图书馆管理系统环境，其部署示意图如下：中心数据库系统是关键系统，需要集群技术提高可用性。数据库的数据也是关键数据，需要镜像技术将其保存到两个磁盘阵列上。一般构建集群时，需要增加一台后备主机。为了降低成本，也可以利用期刊管理服务器或其它应用服务器作为数据库服务器的备份服务器。因此将Storage Foundation HA安装在数据库服务器和期刊服务器上，一方面它将所有存储到数据库的数据同时保存到磁盘阵列1和2上，使数据有两个copy, 另一方面当数据库服务器出故障时，在几秒钟内将数据库及其应用切换到期刊管理服务器上。因此无论是一台主机出了毛病还是一台磁盘阵列有故障，都不影响核心图书馆管理系统的运行，保证了图书馆基本业务的持续性。集群和逻辑卷管理是在备份系统之上的进一步提升，它不能替代数据备份系统，因为所有的逻辑错误（病毒、人为出错）都要靠备份系统来恢复。另外备份系统管理的应用更广泛，还有备份系统的数据是离线的，可以方便地保存在任何地方。3、容灾系统正像上面的分析说明，对于要求更高的大学，比如不能承受任何故障（硬件故障、软件故障、停电、火灾等）造成这个核心系统的停机，那么还需要建设这个系统的容灾系统，以保证当主系统由于灾难而停止运行时，容灾系统接管它的工作，继续提供服务。对于那些有多个校园的大学来说，利用现有的校园网机房建立容灾中心也是可行的。Symantec提供适合大学图书馆的多种灵活的解决方案。如果两个园区之间已经铺设了基层光纤，并且距离在50公里以内，那末现有的集群与卷管理系统不需要太多改动就能够支持两个校园之间的容灾功能。在实施时只需要将集群中的一台服务器和一台磁盘阵列搬到校园2的机房中，部署如下图所示：这样当本地出现灾难（硬件坏、火灾、停电）时，校园2容灾机房中的服务器接管校园1机房中数据库服务器上的应用，存取本地磁盘阵列中的数据，继续提供图书馆日常运行服务。如果两个校园之间没有SAN、但有IP网络，可以利用Symantec的复制软件VVR将主中心的数据复制到远程中心，部署如图4:这个部署与图3几乎一致，区别在于图4的模式中两个校园的主机只能存取各自连接的磁盘阵列，两个系统之间的数据交换全部靠IP网络。VVR是Storage Foundation的一个模块，承担这两个系统之间的数据复制，任何校园1中服务器写入本地磁盘的数据，都被送到校园2的容灾中心去保存一份。复制基于磁盘逻辑卷，与应用系统上的数据类型无关。即无论是数据库、文件、还是二进制软件，VVR都一视同仁，按照预先定义的策略，实时地将变化的数据通过IP网络传送到远程存储中。同样的，一旦校园1发生灾害事故，造成应用停机，VCS就启动安装在校园2容灾中心服务器上的相同应用，存取本地磁盘阵列中的数据继续提供服务。这个方案还提供简单的主中心灾难后恢复的手段，当应用切换到容灾主机后，其运行时产生的数据会在校园1主服务器系统服务器恢复运行后增量地反向复制到磁盘阵列中，一旦复制完成，VCS可方便地将应用切换回主服务器上。基于VVR建设的容灾系统与距离无关，这就意味着不管你的容灾中心有多远，这个架构是一样的，支持LAN或WAN。4、完整的自动化图书馆存储解决方案综上所述，数据备份与恢复是自动化图书管理系统最基本的数据保护系统，它能够保证任何灾难后整个应用系统的恢复，解除管理者的后顾之忧，适用于所有高校和社会图书馆自动化管理环境。集群与存储管理系统可以进一步提高系统的高可用性，保证单个磁盘或磁盘阵列坏掉不影响数据的使用，同时能够在服务器硬件故障时快速恢复运行。一般是在数据备份与恢复架构的基础上，对影响业务的关键系统部署集群和存储管理。该方案推荐给对关键系统中断敏感的高校或国家图书馆。容灾可以对图书馆自动化系统实施最高级别的保护，保证任何灾难下都不影响关键应用。该方案推荐给对容灾