安全備份方案

金蝶K／3系統(tǒng)備份與平安建設(shè)方案公司金蝶K／3系統(tǒng)即將正式投入運(yùn)行，隨著系統(tǒng)數(shù)據(jù)量、用戶數(shù)逐步增加，效勞器和網(wǎng)絡(luò)的負(fù)荷越來越重，系統(tǒng)平安性和數(shù)據(jù)完整性受到的威脅也越來越大。為保障系統(tǒng)每天24小時的穩(wěn)定、高效運(yùn)轉(zhuǎn)，做好數(shù)據(jù)的及時備份和系統(tǒng)的平安防護(hù)，信息化小組依據(jù)下半年相關(guān)資金預(yù)算，制定《金蝶K／3系統(tǒng)備份與平安建設(shè)方案》。技術(shù)方案主要包括系統(tǒng)〔包括效勞器、操作系統(tǒng)、數(shù)據(jù)庫、K／3系統(tǒng)〕的效勞器雙機(jī)熱備容錯、K／3系統(tǒng)的實(shí)時數(shù)據(jù)備份、內(nèi)外部網(wǎng)絡(luò)的平安防護(hù)優(yōu)化〔防病毒、木馬、黑客攻擊、控制網(wǎng)絡(luò)流量等〕和K／3系統(tǒng)的用戶密碼保護(hù)等四個方面。一技術(shù)方案〔一〕效勞器雙機(jī)容錯熱備由于計算機(jī)軟硬件的復(fù)雜性和開放性以及應(yīng)用環(huán)境的多樣化，公司K／3ERP系統(tǒng)效勞器的正常運(yùn)行會存在許多不確定因素。在一般情況下，當(dāng)系統(tǒng)不能正常運(yùn)行時，需要系統(tǒng)管理員用人工的方法進(jìn)行故障的認(rèn)定、分析、恢復(fù)及測試。這些都需要花費(fèi)很長的時間。在這段時間內(nèi)，系統(tǒng)必須停頓下來以等待恢復(fù)，從而可能給公司帶來難以估計的經(jīng)濟(jì)損失。雙機(jī)容錯目的在于保證數(shù)據(jù)永不喪失和系統(tǒng)永不停機(jī)。根本架構(gòu)選擇根本架構(gòu)共分兩種模式：雙機(jī)互備援〔DualActive〕模式和雙機(jī)熱備份〔HotStandby〕模式。雙機(jī)熱備援就是兩臺效勞器均為工作機(jī)，在正常情況下，兩臺工作機(jī)均為信息系統(tǒng)提供支持，并互相監(jiān)視對方的運(yùn)行情況。當(dāng)一臺效勞器出現(xiàn)異常時，不能支持信息系統(tǒng)正常運(yùn)營，另一主機(jī)那么主動接管異常機(jī)的工作，繼續(xù)主持信息的運(yùn)營，從而保證信息系統(tǒng)能夠不間斷的運(yùn)行，而到達(dá)不停機(jī)的功能。雙機(jī)熱備份就是一臺主機(jī)為工作機(jī)，另一臺主機(jī)為備份機(jī)，在系統(tǒng)正常情況下，工作機(jī)為信息系統(tǒng)提供支持，備份機(jī)監(jiān)視工作機(jī)的運(yùn)行情況，當(dāng)工作機(jī)出現(xiàn)異常，不能支持信息系統(tǒng)運(yùn)營時，備份機(jī)主動接管工作機(jī)的工作，繼續(xù)支持信息的運(yùn)營，從而保證信息系統(tǒng)能夠不間斷的運(yùn)行。架構(gòu)選擇：雙機(jī)熱備援方式效勞器的負(fù)擔(dān)較重，但實(shí)時恢復(fù)時間較短，同時能充分利用兩臺效勞器，所以選擇雙機(jī)熱備援的架構(gòu)方式。2、配置方式選擇雙機(jī)容錯有純軟件〔磁盤鏡像〕和支持磁盤陣列柜方式，配置例如圖如下。磁盤陣列柜：是傳統(tǒng)的雙機(jī)容錯配置方式，首先選擇兩臺型號配置一樣的效勞器，兩臺效勞器共享使用磁盤存儲，需要增加效勞器RAID卡、磁盤陣列柜、共享磁盤、SICS或光纖連接線等必須的硬件投資。純軟件〔磁盤鏡像〕：這種方式利用效勞器自身的存儲磁盤，不需要增加額外的外置磁盤陣列系統(tǒng)，同時對效勞器的選擇余地較大。配置方式選擇：比擬磁盤陣列柜和純軟件兩種方式，磁盤陣列柜在硬件性能穩(wěn)定的情況下，保險系數(shù)大于純軟件方式，但由于增加額外設(shè)備，硬件的不確定性使系統(tǒng)存在磁盤陣列柜或RAID卡的單點(diǎn)故障，在實(shí)際應(yīng)用中這種情況有所發(fā)生，同時磁盤陣列柜系統(tǒng)的價格昂貴，從5萬-20萬價格不等。純軟件方式的恢復(fù)效率較低，對操作系統(tǒng)的依賴性較大，但投資少，不會出現(xiàn)單點(diǎn)故障，同時通過系統(tǒng)管理員的認(rèn)真配置，同樣能夠到達(dá)較為理想的工作狀態(tài)，所以建議公司選擇純軟件方式。3、容錯系統(tǒng)選型考察容錯軟件市場，品種眾多，公司使用的WINDOWS效勞器操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)自身也具備容錯功能，但市場使用效果很不理想，如果訂購價格也很昂貴，在多方咨詢后建議選用美國Lifekeeper產(chǎn)品，版本為最新的4.2版。Lifekeeper自投入使用以來，已經(jīng)歷了大量運(yùn)行頂峰的實(shí)際考驗(yàn)，其執(zhí)行效率高且運(yùn)行穩(wěn)定可靠，全球市場占有率第一。Lifekeeper主要特點(diǎn)如下：支持共享磁盤陣列柜和純軟件〔擴(kuò)展鏡像〕兩種方式，同時能適應(yīng)各種機(jī)型、網(wǎng)絡(luò)結(jié)構(gòu)、軟件平臺及應(yīng)用系統(tǒng)?？芍С諲otes〔目前公司OA使用此平臺〕、Exchange、SQLServer〔K／3ERP系統(tǒng)使用此平臺〕、Sybase、Informix、Oracle、SAP等多種系統(tǒng)的應(yīng)用層熱恢復(fù)。支持遠(yuǎn)程災(zāi)難備份。在擴(kuò)展鏡像或共享磁盤陣列任意方式下，均能實(shí)現(xiàn)兩臺效勞器各自運(yùn)行不同應(yīng)用且相互熱備份，即實(shí)現(xiàn)雙Active運(yùn)轉(zhuǎn)模式。使用共享磁盤陣列柜方式時，最多可以支持32個節(jié)點(diǎn)〔效勞器〕，遠(yuǎn)遠(yuǎn)大于其它類似系統(tǒng)所支持的2個節(jié)點(diǎn)數(shù)。較好地保護(hù)用戶端的應(yīng)用連續(xù)性。占用系統(tǒng)資源少，不增加網(wǎng)絡(luò)負(fù)荷，且不打攪任何具體應(yīng)用系統(tǒng)的任何操作?？梢詫?shí)現(xiàn)無人值守，全自動地實(shí)現(xiàn)應(yīng)用資源切換，且圖形界面操作，簡單方便。4.雙機(jī)容錯配置方案容錯軟件：Lifekeeper4.2ForWindows2003操作系統(tǒng)：MSWindows2003〔最新版的效勞器操作系統(tǒng)〕效勞器：IBMX2558685-71C(塔式)效勞器，與使用K／3系統(tǒng)效勞器為同一型號，保證系統(tǒng)的兼容性。效勞器內(nèi)存條：效勞器標(biāo)配內(nèi)存條為512M，增加1G內(nèi)存條，加快效勞器的運(yùn)行速度，選型為IBM原裝選件。效勞器網(wǎng)卡：Intelpro/100sserveradapter專用效勞器網(wǎng)卡，用于容錯效勞器間心跳線連接，每臺效勞器各安裝兩塊，一塊用于冗余。系統(tǒng)配置如下列圖所示：LifeKeeperWithExtendedMirroringLifeKeeperWithExtendedMirroring；K／3ERP系統(tǒng)；Windows2003Server；硬件平臺IBMX255效勞器1LifeKeeperWithExtendedMirroring；K／3ERP系統(tǒng)；Windows2003Server；硬件平臺IBMX255效勞器2共享磁盤共享磁盤共享磁盤共享磁盤RS232串口線TCP／IP網(wǎng)絡(luò)連接心跳線RS232串口線TCP／IP網(wǎng)絡(luò)連接心跳線客戶端客戶端運(yùn)行及故障恢復(fù)機(jī)制：I、通訊路徑“Heartbeat〔心跳〕〞是效勞器間發(fā)出的周期性檢測信息，它允許Lifekeeper決定效勞器的狀態(tài)。當(dāng)一個效勞器向另一處效勞器發(fā)送一個“Heartbeat〞消息，并且在規(guī)定時間段里沒有得到任何回應(yīng)時，發(fā)送消息的效勞器開始評測接收消息的效勞器是否正在發(fā)生故障。II、主效勞器發(fā)生故障用戶向效勞器1上運(yùn)行的一個程序發(fā)送一個請求，而效勞器1出現(xiàn)寫錯誤時，Lifekeeper能夠檢測出系統(tǒng)失敗。然后，Lifekeeper執(zhí)行恢復(fù)規(guī)那么，試圖關(guān)閉效勞器1上的應(yīng)用，并且在效勞器2上重新啟動它們，效勞器2承當(dāng)主效勞器的角色，鏡像卷地址從效勞器1轉(zhuǎn)移到效勞器2上去，這個轉(zhuǎn)換過程對用戶來說是透明的，用戶一般不會發(fā)現(xiàn)系統(tǒng)曾經(jīng)發(fā)生這樣的故障。一般情況下，在100MB以太網(wǎng)上，恢復(fù)1Gigabyte〔GB〕的數(shù)據(jù)需要10分鐘。III、從效勞器發(fā)生故障當(dāng)從系統(tǒng)發(fā)生故障時，受影響的鏡像卷標(biāo)志為Broken。有必要糾正這些故障，并重新同步有關(guān)的卷。當(dāng)從系統(tǒng)發(fā)生故障時，任何寫請求不會送給從系統(tǒng)。當(dāng)從效勞器發(fā)生故障后再次恢復(fù)時，擴(kuò)展鏡像管理器用來重新同步主鏡像卷和從鏡像卷。〔二〕數(shù)據(jù)備份雙機(jī)容錯雖然通過效勞器冗余能夠保證系統(tǒng)不停機(jī)，數(shù)據(jù)不喪失，但并不是真正意義上的數(shù)據(jù)備份，主要有以下幾個缺點(diǎn)：I在容錯系統(tǒng)損壞的情況下，數(shù)據(jù)同樣會喪失。II不能實(shí)現(xiàn)數(shù)據(jù)的實(shí)時備份、恢復(fù)。III不能實(shí)現(xiàn)差異、增量、異地等高級備份效勞為彌補(bǔ)雙機(jī)容錯的缺乏，實(shí)現(xiàn)完整意義上的數(shù)據(jù)備份，效勞器增加RAID卡和采取手工補(bǔ)充方式來加強(qiáng)系統(tǒng)備份1、RAID5磁盤容冗技術(shù)規(guī)格：RAID陣列技術(shù)允許將一系列磁盤分組，以實(shí)現(xiàn)為數(shù)據(jù)保護(hù)而必需的數(shù)據(jù)冗余，以及為提高讀寫性能而形成的數(shù)據(jù)條帶分布。RAID有0、1、2、3、5、10等技術(shù)規(guī)格，根據(jù)公司情況，建議選擇RAID5。RAID5也被叫做帶分布式奇偶位的條帶，RAID5既能夠?qū)崿F(xiàn)速度上的加倍，同時也能夠保證數(shù)據(jù)的平安性，所以在很多高端系統(tǒng)當(dāng)中都使用這種RAID模式，比擬適合于公司K／3系統(tǒng)輸入/輸出密集、高讀/寫比率的應(yīng)用。選型：系統(tǒng)選型為IBM效勞器原裝選件4Mx卡。4Mx卡是雙通道U160，64MECC高速緩存，64位，66MHz的全高卡，具有2個內(nèi)部和2個外部接口，具有良好的可擴(kuò)展性。手動備份手動備份是在所有平安、備份系統(tǒng)出現(xiàn)錯誤或?yàn)?zāi)害性事故時的最好補(bǔ)救方法，主要形式是通過光盤刻錄和異地保存數(shù)據(jù)，需要購置相應(yīng)存儲磁片。〔三〕網(wǎng)絡(luò)平安1、內(nèi)網(wǎng)平安因公司軟硬件系統(tǒng)的應(yīng)用對外網(wǎng)開放效勞不多，內(nèi)網(wǎng)實(shí)際是主要的平安防范對象，除常規(guī)已具備的防火墻設(shè)施，最有效的平安防范措施是在公司大局域網(wǎng)的根底上防分虛擬局域網(wǎng)〔VLAN〕，虛擬局域網(wǎng)〔VLAN〕不僅有利于網(wǎng)絡(luò)平安和防止網(wǎng)絡(luò)風(fēng)暴，而且可以提高網(wǎng)絡(luò)運(yùn)行的效率。公司劃分虛擬局域網(wǎng)后網(wǎng)絡(luò)結(jié)構(gòu)圖如下：方案說明：1〕整個公司根本劃分為八個虛擬局域網(wǎng)〔VLAN〕，即各單位和機(jī)房各一虛擬局域網(wǎng)〔VLAN〕，各VLAN之間如管理員未做配置，互相不能訪問，到達(dá)抑制每臺工作機(jī)數(shù)據(jù)在整個公司播送、增加網(wǎng)絡(luò)帶寬流量、防止不良攻擊蔓延的目的；2〕效勞器可被每臺工作機(jī)訪問，保證系統(tǒng)應(yīng)用；3〕設(shè)置公共文件存儲區(qū)域，保證有關(guān)文件的共享；4〕不影響接入INTERNET等其他應(yīng)用選型：三層交換機(jī)選擇整體性能最好的CISCO公司的產(chǎn)品，型號為最低級別但性能穩(wěn)定的3550-EMI。2、外網(wǎng)平安外網(wǎng)平安主要因公司連入INTERNET，局部效勞〔文件上傳、郵件、WEB效勞〕開放導(dǎo)致的被攻擊，此類攻擊經(jīng)過路由器、防火墻的過濾，對效勞器和工作機(jī)最大的危害來自于木馬、蠕蟲病毒和操作系統(tǒng)本身的漏洞。木馬防護(hù)：木馬是對效勞器最多的一類危害，通過瀏覽器就可攻擊，建議每臺效勞器安裝木馬克星軟件；病毒防護(hù)：除公司已有常規(guī)防毒外，最大的病毒來源于公司OA效勞器的郵件收發(fā)，建議在OA效勞器上安裝專業(yè)的防郵件病毒軟件〔DOMINO版本〕，選型為最早推出的趨勢科技ScanMailforLotusNotes〔四〕K／3系統(tǒng)密碼防護(hù)隨著公司K／3ERP系統(tǒng)的不斷深入應(yīng)用，用戶數(shù)也不斷增加，在長期實(shí)際應(yīng)用中密碼會成為最大的平安隱患之一，主要表現(xiàn)在：1〕容易被猜中：很多用戶習(xí)慣于用含有個人信息或者有一定規(guī)律的信息作為口令，極易被猜中。2〕難以記憶：長期使用同一口令，容易泄漏，經(jīng)常改變口令，又容易混淆。3〕容易泄露：由于個人使用時不注意，如不改動初使密碼、將密碼告之他人，很容易泄露密碼。4〕平安性較差：一些黑客軟件可能隨時能搜捕到用戶使用過的密碼。動態(tài)密碼鎖〔ActivCard〕是一種功能強(qiáng)大的軟硬件相結(jié)合的動態(tài)口令認(rèn)證技術(shù)，可以克服靜態(tài)密碼的許多缺點(diǎn)，主要表現(xiàn)在：平安性：動態(tài)的一次性口令，無法推測、無法破解、無法重復(fù)使用、無法共享。唯一性：唯一的序列碼、唯一的密鑰及唯一的用戶。可靠性：無效的用戶無法通過認(rèn)證。不可否認(rèn)性：基于三變量〔時間+事件+動態(tài)密鑰〕，并通過哈希算法生成不可逆的動態(tài)口令。選型：動態(tài)密碼鎖市場產(chǎn)品品牌較少，建議使用已在金蝶公司成功應(yīng)用的美國ACTIVECARD產(chǎn)品，同時金蝶K／3系統(tǒng)已集成ACTIVECARD產(chǎn)品效勞器端，公司只需購置客戶端智能卡即可，相對其他產(chǎn)品可以節(jié)省5萬元左右的本錢。因動態(tài)密碼鎖的價格較貴，建議先購置60用戶，主要用于各外辦、貿(mào)易公司、公司領(lǐng)導(dǎo)、分公司經(jīng)營辦、系統(tǒng)管理員等平安等級要求較高的人員?！参濉硻C(jī)房平安計算機(jī)軟硬件系統(tǒng)的平安，并不能杜絕自然災(zāi)害和人為破壞，總機(jī)房的物理平安也必須同時加強(qiáng)，在公司現(xiàn)有條件下，建議采取以下防護(hù)措施：增加不間斷電源，確保設(shè)備斷電延時的同時，加強(qiáng)機(jī)房電源的穩(wěn)定性，盡量防止電力意外事故的發(fā)生。安裝防盜門，減少人為破壞機(jī)房設(shè)備的可能性。在公司的防盜、監(jiān)控系統(tǒng)中增加機(jī)房結(jié)點(diǎn)，對機(jī)房做到24小時的監(jiān)控二投資預(yù)算類別名稱品牌型號技術(shù)要求單位數(shù)量價格(元)雙機(jī)容錯及備份容錯軟件Lifekeeper4.2forwin2003純軟方式套128000備份效勞器IBMX2558685-71C(塔式)XeonMP2.0G(1M)/512M/36.4G*2/48*CD/100-1000M/15〞〔4SMP〕套152000效勞器附加內(nèi)存條IBM33L32851GB內(nèi)存IBM原裝ECCSDRAMFORX255根15500效勞器附加硬盤IBM06P575536.4GB1萬轉(zhuǎn)Ultra160SCSI熱插拔硬盤IBM原裝塊415000OA效勞器硬盤希捷SCSI36.4G硬盤塊11600附加網(wǎng)卡Intelpro/100sserveradapterPILA8470C3塊42400磁盤陣列卡IBM單通道磁盤陣列卡ServerRaid-5MX06P5736套210000操作系統(tǒng)WindowsServer2003簡體中文標(biāo)準(zhǔn)版〔P73-00332〕套112000刻錄盤片宏基可擦寫片100400容錯控制網(wǎng)管機(jī)清華同方K7760-901套14800網(wǎng)絡(luò)及平安三層交換機(jī)CISCO3550-24-EMI套127000動態(tài)密碼鎖ACTIVECARD智能卡美國ACTIVECARD片6027000防木馬木馬克星套4400防郵件病毒趨勢科技ScanMailforLotusNotes套1500機(jī)房設(shè)備UPSSANTEK機(jī)頭3KV在線延時4小時臺15000電池塊6電池柜個1工作臺定制臺2800防盜門個1900總計193200元三安裝調(diào)試金蝶K／3系統(tǒng)平安及備份系統(tǒng)方案的實(shí)施，各種情況異常復(fù)雜，工作量巨大，同時系統(tǒng)的安裝調(diào)試一是不能破壞、喪失已有的數(shù)據(jù)，二是不能影響、中斷各單位的正常工作，特別是K／3系統(tǒng)的正常運(yùn)行。系統(tǒng)實(shí)施重點(diǎn)內(nèi)容所有軟硬件設(shè)備到貨后，效勞器重新