書生安全云解決方案及應用

1、書生安全云存儲技術(shù)及解決方案2015年3月目錄公司介紹及云技術(shù)架構(gòu)IaaS平臺PaaS平臺SaaS平臺書生集團簡介書生集團是成立了近20年的技術(shù)型企業(yè)，曾承擔過863、核高基等重大項目，牽頭制定的UMOL標準是中國首個軟件國際性標準。自主研發(fā)的“基于SAS交換架構(gòu)的安全云存儲系統(tǒng)” 是得到業(yè)界認可的下一代云存儲技術(shù)，全球申請了200多項專利，是Oracle、360等IT巨頭全球合作伙伴獲得美國云計算雜志 “云存儲卓越獎”、被美國CIO STORY列為全球二十大云公司之一，中國唯一通過美國HIPAA醫(yī)療信息安全認證的云服務商和得到FDA批準的云服務商（注冊號：3010831822 ）企業(yè)安全云技

2、術(shù)體系企業(yè)云盤視頻監(jiān)控醫(yī)療影像電子政務PaaS元數(shù)據(jù)管理對象存儲數(shù)據(jù)加密行業(yè)應用云管理和監(jiān)控體系硬件X86服務器SAS交換機高密度磁盤柜重復數(shù)據(jù)刪除存儲控制管理書生分布式存儲系統(tǒng)（IaaS）集群管理企業(yè)級存儲文件存儲塊存儲SaaS目錄公司介紹及云技術(shù)架構(gòu)IaaS平臺PaaS平臺SaaS平臺存儲架構(gòu)的進化企業(yè)級存儲（EMC，IBM，HDS）控制器和磁盤柜之間通過專有交換網(wǎng)絡或SAS線連接，數(shù)據(jù)讀寫效率高。提供很高性能和可靠性，廣泛用于關鍵應用環(huán)境專有硬件，廠商綁定，采購和維護成本高云存儲系統(tǒng)V1.0采用x86服務器內(nèi)置本地硬盤作為硬件平臺，x86服務器之間通過普通以太網(wǎng)互聯(lián)存儲服務器只能訪問本地

3、硬盤為了保證數(shù)據(jù)可靠性，采用多副本或糾刪碼機制，數(shù)據(jù)讀寫需要網(wǎng)絡傳輸，效率差基于SAS存儲網(wǎng)絡的云存儲架構(gòu)V2.0引入SAS交換機，將高端存儲架構(gòu)引入云存儲平臺，既保證了讀寫效率，又具有云存儲低成本、易于擴展優(yōu)勢。云存儲硬件架構(gòu)基于x86服務器管理底層磁盤擴展柜存儲空間高密度磁盤擴展柜基于SAS 交換機的專用數(shù)據(jù)交換網(wǎng)絡，可進行橫向擴展SAS交換架構(gòu)優(yōu)勢低時延與企業(yè)級存儲一樣，后端采用原生SAS通道提供相當于本地硬盤訪問效率的低延遲數(shù)據(jù)傳輸通道高帶寬專用數(shù)據(jù)全交換網(wǎng)絡，每端口帶寬24Gb/s基于SCSI協(xié)議的SAS網(wǎng)絡比基于IP的以太網(wǎng)傳輸損耗小全局存儲池控制器與所有磁盤都是互聯(lián)互通的不像傳統(tǒng)

4、云存儲，只能訪問本地硬盤計算與存儲聚合支持云存儲軟件以虛擬機方式進行部署，云存儲VM通過SAS交換機連接到后端磁盤柜，直接讀寫硬盤或SSD，提高SSD應用效率應用VM與云存儲VM部署在一臺物理服務器上，無需額外采購應用服務器和網(wǎng)絡交換機，計算到存儲之間通過CPU總線進行數(shù)據(jù)傳輸，比傳統(tǒng)通過物理交換機傳輸性能得到大幅度提高支持計算和存儲的橫向擴展，當前端應用數(shù)量迅猛增長后，不會出現(xiàn)存儲瓶頸；支持計算VM和存儲VM高可用計算與存儲聚合架構(gòu)云存儲軟件動態(tài)管理軟件劃分每個控制器所管理的磁盤，類似于Zone，VLAN的概念實際使用過程中，從每個磁盤柜中平均選擇若干硬盤構(gòu)建虛擬存儲池支持控制器宕機或擴容時

5、，實時調(diào)整控制器管理的磁盤范圍，不需要數(shù)據(jù)的物理遷移實現(xiàn)了存儲的高可用和快速在線擴容數(shù)據(jù)本地訪問數(shù)據(jù)讀寫時，不涉及與其他節(jié)點交互，降低網(wǎng)絡傳輸流量不存在NUMA架構(gòu)中數(shù)據(jù)對遠端內(nèi)存的讀寫訪問延遲云存儲軟件模塊SSD加速讀寫訪問SSDSSDSSDSSDSASSASSASSASSASSASSASSASSSD命中，從SSD中讀取數(shù)據(jù)SSD不命中，從硬盤讀取數(shù)據(jù),并緩存到SSD中SSDSSDSSDSSDSASSASSASSASSASSASSASSAS數(shù)據(jù)寫入硬盤批量寫入硬盤數(shù)據(jù)寫入SSD數(shù)據(jù)可靠性跨JBOD 糾刪碼 N+M技術(shù)：最多同時允許在不同的磁盤柜上丟失3塊盤，或者丟失3個節(jié)點，數(shù)據(jù)可靠性11個

6、9Disk1Disk2Disk3Disk4Disk5Disk6糾刪碼N+M：N-原始數(shù)據(jù)條帶，M-校驗條帶，圖示為5個原始數(shù)據(jù)條帶+1個校驗條帶，相當于RAID 5A1PC5A2B1PA3B2C1A4B3C2A5B4C3PB5C4虛擬存儲池糾刪碼與傳統(tǒng)RAID比較條帶大小固定存在Write Hole重構(gòu)時需整盤恢復條帶大小根據(jù)數(shù)據(jù)塊大小可變不存在Write Hole重構(gòu)時只需恢復有數(shù)據(jù)部分RAID糾刪碼元數(shù)據(jù)管理高可靠基于數(shù)據(jù)庫的事務級讀寫可設置2-3份元數(shù)據(jù)副本分別存儲在不同的存儲控制器上高性能存儲在存儲控制器本地SSD硬盤上每臺存儲控制器對外都可以提供元數(shù)據(jù)服務，無熱點高擴展性支持分區(qū)，滿

7、足海量文件元數(shù)據(jù)的存儲要求基于OpenStack的云計算基礎平臺解決方案采用基于SAS交換的云存儲架構(gòu)，提升Openstack原有存儲方式的性能、穩(wěn)定性和擴展性支持計算與存儲的聚合，提高應用訪問數(shù)據(jù)效率，計算和存儲同時橫向擴展，避免存儲瓶頸提供數(shù)據(jù)加密、防隱私泄露和重復數(shù)據(jù)刪除等增值存儲功能提供書生云計算統(tǒng)一管理界面，方便用戶進行配置和監(jiān)控成功案例-內(nèi)蒙呼市政務彈性云平臺內(nèi)蒙呼市平安城市項目項目名稱：玉泉區(qū)社會服務治理綜合信息平臺建設項目彈性云平臺彈性云平臺上承載的業(yè)務包括：平安城市、綜治網(wǎng)格、應急指揮、電子政務4大業(yè)務平臺，還有與數(shù)字城管系統(tǒng)的并網(wǎng)按照2倍目前使用容量設計，保證未來業(yè)務增長時

8、不再新采購硬件設備，而直接利用該平臺已有資源進行擴充作為試點先行在玉泉區(qū)開展，成功后向全市進行推廣項目總體配置情況CPU512核內(nèi)存1792GSSD緩存9T+數(shù)據(jù)容量1.3PSAS交換機2臺磁盤擴展柜12臺核心交換機2臺10G網(wǎng)卡（含模塊）12套40G網(wǎng)卡（含模塊）8套云平臺管理系統(tǒng)1套目錄公司介紹及云技術(shù)架構(gòu)IaaS平臺PaaS平臺SaaS平臺數(shù)據(jù)加密加解密都在客戶端完成，云端不存儲用戶任何明文一文一密：隨機生成對稱密鑰，作為存儲密鑰對數(shù)據(jù)進行加密。對存儲密鑰的加密：采用用戶公鑰加密存儲密鑰，保證只有自己的私鑰才能解開存儲密鑰對私鑰的加密：采用用戶口令對用戶私鑰進行加密即使系統(tǒng)管理員和內(nèi)部開

9、發(fā)人員也無法看到用戶文檔做到了用戶數(shù)據(jù)的真正安全隱私保護云端在任何情況下都不會對文件暫時或永久解密傳統(tǒng)方式在做數(shù)據(jù)去重時需要對文件暫時解密再重新加密我們的解決方案 引入共享密鑰，保持加密狀態(tài)下實現(xiàn)跨用戶數(shù)據(jù)去重客戶端通過明文計算共享密鑰，用共享密鑰加密存儲密鑰通過比對共享密鑰，判斷是否為重復文件重復文件，客戶用共享密鑰解密存儲密鑰，再用自己的公鑰加密存儲密鑰2014年9月，書生安全云在互聯(lián)網(wǎng)安全大會上公開挑戰(zhàn)天下黑客，大膽敞開服務器權(quán)限放黑客進來，100多名參賽黑客都不能偷走服務器上的用戶數(shù)據(jù)，成功經(jīng)受了有史以來最為苛刻的黑客挑戰(zhàn)書生安全云黑客挑戰(zhàn)賽成功案例-2013年底開始，為網(wǎng)盤業(yè)務提供開

10、放存儲服務整個數(shù)據(jù)遷移過程不中斷原有業(yè)務支持用戶用原有賬戶直接訪問開放存儲服務通過使用開放存儲服務，大大降低了客戶存儲設備采購和維護成本目錄公司介紹及云技術(shù)架構(gòu)IaaS平臺PaaS平臺SaaS平臺書生SaaS平臺書生自成立以來，一直在企業(yè)級信息系統(tǒng)領域精耕細作，是互聯(lián)網(wǎng)領域唯一擁有國家密碼管理局、國家保密局、公安部、軍隊的安全認證的單位公司主要企業(yè)級信息系統(tǒng)應用于所有國家部委，所有省級政府和百強企業(yè)，用戶遍布海外二十多個國家和全國除臺灣外100的城市、90以上的縣書生SaaS平臺利用自有的云計算基礎平臺和PaaS平臺，并結(jié)合互聯(lián)網(wǎng)時代應用特點開發(fā)，目前已有產(chǎn)品化的個人云盤和企業(yè)云盤服務書生同時

11、為醫(yī)療影像、視頻監(jiān)控和電子政務等有海量數(shù)據(jù)存儲及共享需求的行業(yè)提供定制解決方案企業(yè)云盤解決方案為企業(yè)用戶提供統(tǒng)一的數(shù)字資產(chǎn)存儲管理平臺支持組織架構(gòu)管理，支持通過激活郵件激活用戶并通知其部門領導，支持一個用戶隸屬于多個部門。支持文件上傳、下載、移動、復制、重命名和刪除，文件上傳大小不受限制，支持部門內(nèi)共享和指定用戶分享，支持數(shù)據(jù)實時備份和同步，歷史版本恢復支持公有云和私有云部署，支持基于用戶已有硬件的純軟件部署集中存儲備份作為企業(yè)數(shù)據(jù)資產(chǎn)存儲平臺，將分散在員工各種終端設備中的企業(yè)數(shù)據(jù)集中存儲備份在書生企業(yè)云盤中，避免數(shù)據(jù)不必要的流失對于工作場所經(jīng)常變更或BYOD員工能夠?qū)崿F(xiàn)隨時隨地訪問數(shù)據(jù)對于企

12、業(yè)一些重要應用如ERP、CRM等系統(tǒng)和文件，實現(xiàn)在線實時備份安全交換分發(fā)支持企業(yè)內(nèi)部文件的安全交換和分發(fā)，采用加密方式進行數(shù)據(jù)傳輸和存儲對于上傳文件大小沒有限制，支持超大文件分段上傳、斷點續(xù)傳、秒傳通過日志審計全程監(jiān)控，降低數(shù)據(jù)泄露風險協(xié)同辦公支持用戶根據(jù)需要將文件放到共享文件夾中，便于部門內(nèi)其他人員的訪問支持文檔在線瀏覽，批注，方便隨時隨地查閱文件支持跨數(shù)據(jù)中心部署，自動為用戶選擇最近的訪問節(jié)點進行文件訪問專為企業(yè)用戶設計的數(shù)據(jù)資產(chǎn)保險柜獨有的Truprivacy數(shù)據(jù)加密，CA認證與對稱加密結(jié)合，無論網(wǎng)絡傳輸還是數(shù)據(jù)存儲都是以加密的形式進行的，把數(shù)據(jù)管理權(quán)徹底交給用戶，保證即使云端管理員也無

13、法查看用戶明文自動將員工各種終端中的重要文件進行實時備份，當文件不可用時，可隨時通過云端進行恢復，同時有效防止因員工離職而造成的企業(yè)數(shù)字資產(chǎn)損失數(shù)據(jù)保留：當用戶修改文件后，會生成該文件的一個新版本，用戶可以在需要的時候，進行歷史版本回滾；即使用戶從回收站刪除文檔后，也只是對該文檔進行標記，不會物理刪除。基于書生公司20余年在政府、大型企業(yè)和金融電信機構(gòu)用戶服務經(jīng)驗積累，專門對云盤在企業(yè)級應用領域作為優(yōu)化，使企業(yè)能放心將數(shù)據(jù)存儲到云端簡單靈活的系統(tǒng)管理方式權(quán)限與角色的統(tǒng)一：系統(tǒng)管理員創(chuàng)建用戶分配角色時，自動根據(jù)角色匹配用戶權(quán)限；當企業(yè)架構(gòu)發(fā)生變化后，系統(tǒng)管理員在調(diào)整用戶新的組織關系后自動完成權(quán)限

14、再分配靈活的組織架構(gòu)：允許臨時組織的創(chuàng)建、特別適用于項目等臨時性組織，用戶可屬于多個組織，并在每個組織中擁有不同角色和權(quán)限；支持部門嵌套。配置了功能強大的日志審計模塊，日志審計模塊記錄了所有登錄和文件操作信息，并提供日志查找功能，保證在出現(xiàn)問題后能及時找到根源目前企業(yè)網(wǎng)盤在設計時為了保證數(shù)據(jù)的安全，往往設置了非常復雜的權(quán)限管理造成管理難度很大，降低了用戶使用的積極性。書生公司采用了優(yōu)化的權(quán)限管理機制，既保證了數(shù)據(jù)安全又提升了用戶體驗系統(tǒng)管理員的權(quán)限限制系統(tǒng)管理員除了管理部門、用戶和日常日志審計權(quán)限外，遵從系統(tǒng)權(quán)限管理機制，即隸屬于某個部門的普通員工對于關鍵操作，如用戶激活、用戶組織關系調(diào)整以郵

15、件的方式通知相關部門經(jīng)理，防止?jié)撛诘臄?shù)據(jù)泄露風險通過Truprivacy數(shù)據(jù)加密技術(shù)，保證上傳的文件不會被系統(tǒng)管理員查看或泄露配置了功能強大的日志審計模塊，日志審計模塊記錄了所有登錄和文件操作信息，系統(tǒng)管理員只能查看日志審計信息，無法更改刪除企業(yè)網(wǎng)盤實際運作時，系統(tǒng)管理員一般只是普通員工，書生企業(yè)網(wǎng)盤設計時就對系統(tǒng)管理員各種權(quán)限進行了限制，保證數(shù)據(jù)安全提供開放接口方便二次開發(fā)提供RESTFul API接口，并提供詳細開發(fā)文檔和范例非常方便地將應用中用到的加密、在線預覽、存儲備份功能整合到書生企業(yè)云盤平臺，使其成為企業(yè)唯一的數(shù)字資產(chǎn)管理平臺有效整合企業(yè)IT架構(gòu)，云就緒，降低復雜程度，降低新應用開

16、發(fā)時間和成本各軟件模塊采用分層松耦合架構(gòu)，在PaaS層上實現(xiàn)了數(shù)據(jù)加密、重復數(shù)據(jù)刪除和在線瀏覽，并對外提供開放存儲API接口：競品分析項目書生聯(lián)想華為基礎架構(gòu)可為用戶提供軟硬件一體化的解決方案，通過SAS交換架構(gòu)和書生分布式文件系統(tǒng)為用戶提供海量高性能可靠的基礎架構(gòu)基于開源分布式文件系統(tǒng)，部署復雜基于開源分布式文件系統(tǒng)，部署復雜數(shù)據(jù)安全獨有的Truprivacy數(shù)據(jù)加密技術(shù)，端到端無縫加密，一文一密，保證即使云端管理員也無法獲取用戶文件內(nèi)容AES256數(shù)據(jù)加密，不能一文一密，云端管理員可以獲取用戶文件內(nèi)容AES256數(shù)據(jù)加密，不能一文一密，云端管理員可以獲取用戶文件內(nèi)容系統(tǒng)功能組織架構(gòu)管理、用戶管理、權(quán)限管理組織架構(gòu)管理、用戶管理、權(quán)限管理組織架構(gòu)管理、用戶管理、權(quán)限管理文件管理上傳、下載、共享、分享、查找等，上傳文件大小無限制上傳、下載、共享、分享、查找等，上傳文件大小有限制上傳、下載、共享、分享、查找等，上傳文件大小有限制典型用戶案例-東風汽車用戶文件管理存在的問題工作場景經(jīng)常切換：工作環(huán)境經(jīng)常變換，很多員工帶著自己的設備去工作，多樣化的環(huán)境帶來了數(shù)據(jù)存取的麻煩業(yè)務數(shù)據(jù)簡單共享：傳統(tǒng)的電子郵件、文件夾共享、移動存儲設備等數(shù)據(jù)共享以及傳輸方式，經(jīng)常受到文件大小、局域網(wǎng)傳輸局限的限制，大大影響了員工的協(xié)助，降低