信核CDP技术白皮书
Version1.3
版权声明
本白皮书版权归杭州信核数据科技股份有限公司所有。
未经本公司允许,任何单位和个人不得以任何理由、任何形式复制、传播本白皮书的部分或全部内容,如有违反,本公司保留追究其法律责任的权利。
1
预期读者
文档编写对象为IT系统维护人员、存储技术工程师、系统工程师、系统架构师、产品经理、测试人员、客户以及其他希望了解信核备份产品的相关人员。
2
关于信核数据
杭州信核数据科技股份有限公司成立于2006年,总部位于浙江杭州,在北京、上海、广州、深圳、南京、武汉等全国主要城市设有分支机构。
信核数据与Intel、Microsoft、VMware、Qlogic等公司以及FCIA、STA、SNIA等专业机构有这长期的研发级合作,与IBM、Fujitsu、曙光、Acer等多家存储厂商长期开展产品方案级合作。公司旗下产品拥有完全的知识产权,广泛应用于政府、国防、金融、医疗、公安、教育、能源等诸多领域,是存储虚拟化与数据保护领域的领导厂商。
在数据保护软件领域,产品销量和技术创新均走在业界前列。在虚拟化存储软件领域,为世界前三、国内第一,CDP市场占有率国内第一。
信核数据将继续遵循“技术为道,创新为魂、服务为先”的发展理念,在未来进一步巩固自身的竞争力,扩大公司在存储及数据保护领域的技术领先和市场影响力,为客户提供兼具强竞争力和高性价比的虚拟化解决方案与服务,共同创造价值。
杭州信核数据科技股份有限公司
地址:浙江省杭州市萧山区金城路1038号国际创业中心11-12F
网址:https://www.doczj.com/doc/2511097781.html,
服务电话:400-651-8980
邮箱:info168@https://www.doczj.com/doc/2511097781.html,
3
目录
1概述 (6)
1.1企业面临的挑战 (6)
1.2传统备份的缺陷 (6)
2CDP技术概述 (8)
2.1CDP定义 (8)
2.2CDP的分类 (9)
2.2.1基于应用的持续数据保护 (9)
2.2.2基于文件的持续数据保护 (9)
2.2.3基于数据块的持续数据保护 (10)
3信核CDP技术原理 (11)
3.1HostMirror镜像技术 (12)
3.2CDPAgent一致性代理技术 (13)
3.3ROW(Redirect-on-Write)重定向写快照技术 (14)
3.4快速恢复技术 (15)
3.4.1P2V虚机应急接管 (15)
3.4.2SANBoot裸机快速启动 (16)
3.4.3Live CD恢复 (17)
3.4.4文件快速恢复 (18)
4信核CDP核心特色 (19)
4.1完整的一体化保护 (19)
4
4.2灵活的快照策略,告别数据丢失 (19)
4.3五分钟极速恢复,保障业务永续 (19)
4.4应用一致性代理 (20)
5信核CDP产品——Streamer (21)
5.1产品概述 (21)
5.2产品主要功能 (22)
5.2.1可视化控制台 (22)
5.2.2存储资源管理 (23)
5.2.3客户端管理 (24)
5.2.4备份保护 (25)
5.2.5快速恢复 (25)
5.2.6日志 (26)
5.2.7性能监控 (26)
6应用场景(解决方案) (27)
6.1本地快速恢复方案 (27)
6.2远程容灾方案 (28)
6.2.1远程复制容灾 (28)
6.2.2本地高可用+远程容灾方案 (29)
7名词解释 (31)
8修订记录 (32)
5
1概述
随着信息社会、大数据时代的到来,信息系统在企业生产运转中扮演着越来越重要的角色。业务运行对数据的依赖达到前所未有的高度,使得数据逐渐成为企业的核心资产之一。因此,对于业务数据以及业务运行平台的保护,成为当今企业信息建设的重点。
1.1企业面临的挑战
企业面临的挑战主要来自两方面:数据丢失、破坏以及由此造成的业务中断。
数据丢失破坏的原因可能是多方面的,包括人为误操作、黑客攻击、病毒、IT系统的软硬件故障以及自然灾害(地震、火灾、水灾)等等、。
数据的丢失或破坏会进一步导致企业业务的中断,造成经济、声誉上的巨大损失,甚至导致企业走向灭亡。调查报告显示,2014年全年,全球企业因数据丢失和宕机造成的损失高达1.7万亿美元,接近德国国民生产总值的二分之一。
1.2传统备份的缺陷
传统数据保护的做法是将数据通过备份软件备份到磁带或其它可存储介质中,以应对未来可能发生的灾难与突发事件,常见的频率是每天一次。但传统方式的固有弊端,使得其对IT系统和业务数据的保护越发力不从心,尤其是关键的业务连续性保护。
首先,传统的数据备份方式的恢复时间冗长,依据数据量不同,有的甚至超过20小时。
6
其次,传统备份采用定期备份机制,因此存在巨大的数据丢失量。例如,某天晚上19点发生灾难,而每日备份时间设定在每天23点,这就意味着恢复到上一个恢复点(昨天的23点)将会损失20小时的数据,这对于某些企业来说是不可接受的。
再者,传统备份模式停留在文件系统层面的备份方式,决定了其将受制于文件系统的品牌保护,不同的文件系统、应用需要安装不同的备份代理,安装和操作都十分繁琐。
传统备份低效率、低可用性的弱点,使其在面对当前越来越高的安全需求时显得越发力不从心,RTO和RPO双重指标的压力使得市场迫切地需要新的可靠的数据保护技术。在此背景下,CDP(Continuous Data Protection)技术应运而生,并取得了迅速的发展,成为当今企业数据保护的首选。
7
2CDP技术概述
2.1CDP定义
CDP是一种新兴的数据保护技术,它改变了传统备份的“备份/恢复”的保护模式,提供任意历史时刻的数据恢复能力。
SNIA(Storage Networking Industry Association)对CDP的定义是:“CDP是一套方法,它可以捕获或跟踪数据的变化,并将其独立存放在生产数据之外,以确保数据可以恢复到过去任意时间点。”
传统备份的周期性备份方式,一直受困于备份窗口、数据一致性、性能影响等等诸多问题,相较之下,CDP不再关注备份的过程,任何的数据变化都会被持续地监测和跟踪,一旦灾难发生,系统管理者只需要选择需要的时间点进行数据的快速恢复即可。
图2.1CDP与传统备份比较
传统备份中经常采用的一天一备的策略,使企业面临着数据最大丢失量高达24小时的风险。普通的快照技术有所改善,但数据丢失量仍然高达数小时。相比之下,CDP
8
技术提供近任意时间点的恢复能力,其RPO指标接近于0,将数据丢失量控制在0至数分钟之间,其RTO指标最小也可达分钟级,对于企业用户而言,越少的数据丢失意味着灾难所造成的损失越小,越快恢复对业务的影响越小,因此,CDP在此方面拥有传统备份无法比拟的优势。
2.2CDP的分类
参考SNIA的存储共享模型,CDP依据其实现方式的不同可以分为三类,分别是:基于应用、基于文件以及基于数据块的持续数据保护。
2.2.1基于应用的持续数据保护
基于应用的CDP的对象是业务系统中的关键应用,通过在其中直接嵌入运行CDP 功能或由软件厂商提供相应的API接口由第三方厂商完成开发来实现。这种类型的CDP 能够和应用进行较为深度的整合,易于用户部署和管理,应用数据的一致性也有得到了充分的保障。不足是只能对特定数据库或应用做持续保护。
2.2.2基于文件的持续数据保护
基于文件的CDP,其作用对象是文件系统。它可以实时捕捉文件系统中数据或者元数据的变化,如创建、删除、修改等操作,并进行记录,为将来可能进行的恢复任务提供依据。缺点是不能对系统做持续保护。
9
2.2.3基于数据块的持续数据保护
基于块的CDP直接运行在物理的存储设备或逻辑的卷管理器上,甚至可以运行在数据传输层上。当存储设备上有新的生产数据写入时,CDP系统可以捕获数据的拷贝并将其存放在另外的存储中。基于块的CDP支持对文件、应用、数据库、系统做统一的持续保护。
10
11
3信核CDP 技术原理
信核数据的CDP 技术是一种建立在连续时间点基础上的数据保护技术,属于块级CDP 的一种,采用基于主机的实现方式。系统运行过程中,每当数据块有新的生产数据写入时,数据的拷贝都会被捕获,并存放在另外的独立存储设备中实现镜像保护。同时按客户设定的CDP 任务计划持续产生有一致性保障的CDP 快照点,以供后续快速恢复使用。
图3.1 信核CDP 复制原理
在故障发生后,CDP 可以快速完成数据恢复或业务应急恢复,保障业务系统的快速连续运行,RPO 、RTO
指标趋近于0,从根本上解决了传统备份恢复效率低和恢复成功率低的弊端。
12
信核数据的CDP 技术给传统的信息系统数据保护带来了质的变化,以CDP 技术为代表的数据连续保护技术,不仅能够保障本地业务系统的数据安全和业务快速恢复能力,而且能够结合基于IP 的远程复制技术,实现数据及应用在远程灾备中心的容灾。其预防的灾难不仅涵盖人为误操作、病毒或黑客攻击导致的数据逻辑错误,还能防范硬件故障、自然灾难等造成的数据丢失、业务中断情况。
3.1HostMirror 镜像技术
HostMirror 是信核CDP 客户端组件之一。
图3.2 HostMirror 镜像工作机制
13
HostMirror 可以将客户端上的磁盘或分区复制到CDP 存储设备上实现镜像备份。当前信核提供Windows 及Linux Server 下的HostMirror 客户端,Unix 下使用系统自带的卷管理系统实现镜像。
3.2CDPAgent 一致性代理技术
CDPAgent 是信核为确保备份和恢复过程中的数据一致性所开发的客户端代理,其实现方式是在客户端创建CDP 快照点之前刷新缓存数据,刷新过程由应用层和文件系统层刷新相结合。
图3.3 CDPAgent 实现流程
CDPAgent刷新数据库的缓存后,为了确保所有数据都正确的写入磁盘,执行了文件系统层的刷新操作。
信核CDPAgent不仅为单个磁盘的数据一致性提供支持,而且支持多个磁盘组成的一致性组的数据一致性保证。
3.3ROW(Redirect-on-Write)重定向写快照技术
ROW(Redirect-on-Write)重定向写快照技术可以避免COW(Copy-on-Write,复制写快照技术)中两次写操作引起的性能损失。
ROW在空间利用率上效率非常高,当源卷的数据块接收到写请求时,CDP快照卷不会对源卷的原始数据进行复制,而是直接把写请求重定向到快照卷,即数据的修改直接发生在快照卷上,而源卷数据没有发生变化。
图3.3 ROW原理
14
相比传统的COW,ROW将两次写操作减少到一次,大大减少了对于系统写性能的影响,支持的快照数量多。
ROW虽然对于写的性能影响很小,但是由于多次读写,CDP目标卷的数据就会分散到各个快照中,对于连续读操作,其性能不如COW。信核CDP对ROW CDP读性能做了专门优化,在空闲时合并数据,使读性能影响降到最小。
3.4快速恢复技术
3.4.1P2V虚机应急接管
当应用服务器发生严重故障导致宕机,且系统无法重启时,可利用信核CDP的P2V 技术通过虚拟机快速启动并接管业务。
创建和原实体机相同或近似配置的虚拟机,然后将最近的CDP历史快照点通过iSCSI/FC链路直接映射至虚拟机,虚拟机挂载该CDP快照,之后即可从磁盘中启动恢复原有系统及应用,这一过程耗时小于等于5分钟,大大降低了业务系统中断所造成的损失。
15
16
图3.4 P2V 快速恢复示意图
3.4.2SANBoot 裸机快速启动
如果原机只是硬盘损坏或有相同配置的备机,信核数据的CDP 技术能够在应用服务器发生故障或宕机时,利用SANBoot 的方式将已备份到CDP 存储空间的系统历史快照点作为主磁盘在原机或另一台类似配置的备机上重新启动应用系统(支持iSCSI/FC 链路),快速上线恢复应用服务器的业务系统。这种恢复方式可针对服务器硬盘损坏或其操作系统故障。
当服务器的磁盘或系统故障修复之后,又可以快速地将数据从后台恢复到新的磁盘中。此后可以快速恢复到原有系统的工作状态。通过此架构,使得发生此类事件时系统的宕机时间只有5~10分钟就可继续提供服务,简单快速地恢复生产。
17
图3.5 SANBoot 恢复示意图
3.4.3Live CD 恢复
信核数据CDP 恢复技术还提供Live CD 光盘。预置IBRS (InfoCore Backup and Recovery System ),通过IBRS LiveCD 可启动主机,并将已备份的系统历史CDP 快照点或已应急使用的CDP 快照点拷贝回已修复硬件故障的主机设备,完成应急数据的导回操作。
历史CDP 快照通过iSCSI/FC 链路直接映射至主机设备,主机设备中插入Live
CD 光盘,通过IBRS 可将备份系统数据拷贝至对应硬盘设备,拷贝完成后系统即可正常启动。该方法由于涉及到数据的拷贝,所花费时间会较长。
18
图3.6 Live CD 恢复示意图
3.4.4文件快速恢复
如果只是发生了文件误删除或损坏情况,信核CDP 也可实现分钟级的文件快速恢复。
对于设置了CDP 保护的磁盘(分区),用户可以把未删除文件时的CDP 快照点通过“快速挂载”的方式挂载到原机或集群节点;也可以采用“快速恢复”的方式通过
FC 或iSCSI 链路将磁盘(分区)恢复至原机或同配置的其他物理机。快速挂载或快速恢复后,把误删文件拷回即可。
4信核CDP核心特色
4.1完整的一体化保护
信核CDP追求的是,在灾难发生时,以最为快速、简单、高效的方式恢复生产,把客户的损失降到最低。因此,信核CDP提供从数据到操作系统,从磁盘到磁盘组,从本地到异地容灾的完整的一体化保护。从各种软硬故障到人为事故,从单个文件丢失到站点级灾难,信核CDP都能做到从容应对,是客户真正的数据保护专家。
4.2灵活的快照策略,告别数据丢失
无论是传统备份还是普通的快照方式,数据的丢失量都至少是小时级的,传统备份甚至会丢失20小时以上的数据。
信核CDP采用基于ROW的读写技术,具有快速、高效的特点,对于添加保护的磁盘可以产生上亿份快照(保存卷容量允许的情况下,快照数量无上限)。此外,信核CDP 支持灵活的快照产生策略,秒级、分钟级、小时级、天级,用户可根据自身需求以及实际环境自主设置,当系统临时更新或升级时,用户也可以手动创建快照点。信核CDP为客户提供了一套灵活、经济、高效的保护方案,使得业务系统能从容应对可能发生的灾难,告别数据丢失。
4.3五分钟极速恢复,保障业务永续
信核CDP的恢复功能继承了自身”快速、高效“的理念,其基于镜像及秒级粒度的历史恢复能力,能确保系统、数据可以轻松回到故障前一刻。在恢复方式上,信核CDP提
19
移动应用(App) 数据安全与个人信息保护 白皮书 (2019年) 中国信息通信研究院 安全研究所 2019年12月
版权声明 本白皮书版权属于中国信息通信研究院(工业和信息化部电信研究院)安全研究所,并受法律保护。转载、摘编或利用其它方式使用本白皮书文字或者观点的,应注明“来源:中国信息通信研究院安全研究所”。违反上述声明者,本单位将追究其相关法律责任。
前言 移动应用(以下简称“App”)是数字经济下的重要产品。随着移动网络和智能手机全面覆盖,App种类和数量增长迅猛。从社交到出行、从网购到外卖,从办公到娱乐,App已全面渗透用户生活,成为大众生活必需品,并因此汇集大量衣食住行、社交关系等用户个人信息。App逐渐成为承载网络应用和信息数据的核心载体。 App在满足用户美好数字生活需要,助力消费升级和经济转型发展方面发挥了不可替代的作用,但也暴露出违法违规收集使用个人信息、用户个人信息泄露与滥用等数据安全问题。App数据安全关乎个体层面的隐私权利保护,产业层面的健康发展,以及国家层面的全球数字竞争力。欧美等移动互联网发展较早的国家,在移动互联网安全制度构建方面已较为领先。近年来,我国也高度重视App数据安全与个人信息保护工作,从法规标准、专项治理、企业自律等方面多管齐下,加大治理力度。 本白皮书在研判App发展趋势及社会经济影响的基础上,重点分析目前主流App存在的数据安全隐患,系统梳理总结国内外App数据安全治理现状,最后从政府、企业、行业三个维度研究提出了我国App 数据安全与个人信息保护综合治理建议,并从用户视角总结提出了用户安全使用技巧。
业务系统数据保护系统需求 日照财政业务系统包含部门决算、政府财务报告,财政业务平台、行政事业资产管理系统、政府性债务管理系统、数字平台、涉农补贴一本通、税收保障系统数据、办公自动化系统、内外网网站等Oracle、mysql、sql server各类数据库以及2套ORACLE RAC。 业务系统的数据是核心所在,一旦丢失,负面影响巨大。随着勒索病毒、黑客攻击事件等的增多,对数据的安全威胁以及业务系统的连续性威胁要求越来越多。使用实时复制技术实现上述重要业务系统数据的实时备份和保护,采用高可用方案实现业务系统的热备,同时能够提供对未来核心业务系统扩展的接管能力。 一是实现非Oracle RAC数据库数据以及非结构化数据的实时灾备及历史任一时间段版本的回溯。搭建虚拟化环境,部署多个虚拟机,在现有的业务系统的主要服务器部署实时复制软件agent,同时在灾备系统的备端,部署实时复制软件agent,定义复制规则,采用一对一或多对一的方式将生产机业务系统的重要数据实时复制到灾备端服务器上,并采用cdp 功能对变化的数据进行增量传输及合并,确保数据可以回滚到故障之前。通过迁移工具将现有的业务系统、操作系统、应用程序、环境、配置参数等迁移到备端虚拟化平台中,一旦生产机出现问题时,备机虚拟机启动,并挂载最新数据提供业务。主要目标是实现重要业务系统数据库数据、非结构化数据等实时复制到备端,预防数据丢失;生产机故障时,实时启用备用虚拟机启动挂载数据。 二是Oracle RAC数据库实时灾备及历史任一时间段版本的回溯。部署2个虚拟机作为两套oracle rac的实时备端,在现有的oracle RAC服务器上,部署基于oracle语义级的数据库实时复制软件agent,在灾备系统的备端,部署实时复制软件agent,生产端发生变化时,agent软件实时捕获分析数据库新增的在线重做日志、归档日志等,将其转换成SQL 二进制文件,将其发送到备端,备端收到这些二进制文件,依序写入备端的数据库,通过cdp 模块实现备端的数据的历史版本的回溯。目标是将oracle RAC实时复制最新变化的数据到备端虚拟机上;实现数据库的读写分离;备端可实时接管oracle业务。
注册数据安全治理专业人员(CISP-DSG) 白皮书 发布日期2019年8月 版本:1.0 中国信息安全测评中心 北京天融信网络安全技术有限公司
CISP-DSG白皮书 咨询及索取 关于中国信息安全测评中心CISP-DSG培训考试相关的更多信息,请与CISP-DSG运营中心联系。 CISP-DSG运营中心联系方式: 【联系地址】北京市海淀区上地东路1号华控大厦4层 【电话】 【电子邮件】 【官方网站】 北京天融信网络安全技术有限公司(简称天融信)创始于1995年,是中国领先的网络安全、大数据与安全云服务提供商。是中国信息安全测评中心授权的注册数据安全治理专业人员(CISP-DSG)运营机构,负责注册数据安全治理专业人员(CISP-DSG)专项证书的知识体系研发和维护、考题研发、考试服务、授权培训机构管理及市场推广等内容。 CISP-DSG证书专注于考核、培养从事数据安全治理相关工作的安全人才,是业界首个数据安全治理方向的注册考试。
目录 引言 4 一、CISP-DSG考试要求4 二、CISP-DSG考试方向5 三、CISP-DSG注册流程7 四、CISP-DSG职业准则7 五、CISP-DSG考生申请资料要求 8 六、CISP-DSG收费标准9 七、注册数据安全治理专业人员运营中心联系方式10
引言 当前,政府与企业的信息化程度不断加深,IT系统的复杂度与开放度随之提升,伴随云计算、大数据、人工智能等新兴技术的飞速发展,数据作为支撑这些前沿技术存在与发展的生产资料,已经成为组织的核心资产,受到前所未有的重视与保护。数据的安全问题将引发企业和社会决策的安全问题。数据的安全问题,已成为企业资产安全性、个人隐私安全性、国家和社会安全的核心问题。 数据安全是一个复杂的问题,单靠技术手段无法完整解决,需要用数据安全治理的理念进行体系化建设。通过数据安全治理,能使信息系统安全建设更加突出重点、统一规范、科学合理。通过数据安全技术措施的实施,为各类组织机构提供先进的、科学的技术手段和管理依据,大大降低重要数据及公民个人信息的泄漏风险,更好地遵循技术防范和管理并重的原则,提高整体管理水平。 数据安全治理过程的推广和应用,专业人才是关键。加快培养符合各类组织机构信息安全建设需求的专业人才是应用数据安全治理理念系统化解决数据安全问题的重点。 中国信息安全测评中心主导的“CISP-DSG”(Certified Information Security Professional - Data Security Governance)注册数据安全治理专业人员技能水平注册考试,锻炼考生通过数据安全治理过程,帮助各类组织机构解决数据安全顶层设计及管理体系建设的问题,从而促进国家企事业单位信息安全管理能力提升,提高我国信息安全产业的整体实力和在国际市场的竞争力。 一、CISP-DSG考试要求 成为注册数据安全治理专业人员(CISP-DSG)必须同时满足以下基本要求: 1.申请成为注册数据安全治理专业人员(CISP-DSG),具备一定数据安全治理基础,或有意向从事数据安全治理的人员; 2.申请成为注册数据安全治理专业人员(CISP-DSG)无学历与工作经验的报考要求; 3.通过注册数据安全治理专业人员运营中心组织的CISP-DSG考试; 4.同意并遵守CISP职业道德准则;
针对VMware的持续数据保护(CDP)解决方案 https://www.doczj.com/doc/2511097781.html, 2008年06月18日15:50 赛迪网 【导读】:如何在‘物理+虚拟’的复合环境中保护数据的安全,是企业在规划虚拟化解决方案时面临的关键问题。面对这些问题,美国飞康软件公司提供的飞康CDP解决方案可为VMware环境提供全面的数据保护,确保物理主机、虚拟机及系统的持续可用和100%数据完整性。 越来越多的企业选择利用VMware的服务器虚拟化技术来整合机房内大量的服务器,在增加空间利用率的同时简化管理。然而,当您在享受VMware所带来的利益时,别忘了虚拟化之后的服务器和物理主机一样,都需要完善的数据保护措施,这样才能在意外发生时,将数据的损失降到最低,使服务中断的时间最短。此外,从物理主机到虚拟机的转换就是通常的分步转换过程,如何在这个过程中确保数据的一致性和业务的持续性,如何在‘物理+虚拟’的复合环境中保护数据的安全,是企业在规划虚拟化解决方案时面临的关键问题。面对这些问题,美国飞康软件公司提供的飞康CDP解决方案可为VMware环境提供全面的数据保护,确保物理主机、虚拟机及系统的持续可用和100%数据完整性。 全方位数据保护 针对VMware的飞康CDP解决方案是一套基于磁盘的新一代全方卫数据保护解决方案,它与VMware ESX Server完全集成,从数据到系统、从物理主机到虚拟机、从本地机房到远程容灾中心,都可提供全面的备份和任何状况下的持续可用性。飞康CDP通过镜像、快照、数据库代理程序等功能为物理主机和虚拟机提供持续或定期的保护。 FalconStor DiskSafeTM运行于应用服务器,可在不影响主机性能的情况下,监控并记录系统或数据磁盘发生的所有块级变化,并将变化的磁盘区块实时的复制到CDP管理器进行时间点快照。这些快照可以帮助用户将数据回滚到任意需要的时间点,从而实现快速恢复,有效的避免由于硬件损坏、病毒入侵、数据库损毁、应用系统故障、或人为错误导致的意外停机。 通过数据库感知的快照代理,CDP管理器可以在VMware ESX Server上100%完整的保护数据库和邮件系统,同时,确保数据在恢复及转换过程中的交易完整性。 虚拟机系统及数据的持续可用 飞康CDP利用磁盘式保护策略完全解决了传统的每日一次磁带备份和磁带式恢复方法所带来的问题。飞康CDP利用经济高效的磁盘将数据损失降至最低,使业务持续性最大化。
打造专业的用友 ERP 数据保护系统
? 国内顶级 ERP 数据保护专家 , 针对用友 U8+、U9 量身定制。 ? 同时内置备份、CDP 和磁盘存储功能 , 构建专业的多维度数据保护系统。 ? 采用数据一致性专利技术 , 与用友 ERP 软件相结合 , 保证配套的 SQL
Server 等数据库的有效恢复。
? 支持回滚至任意历史数据状态 , 当被保护存储设备发生故障时直接接替使用。 ? 支持外接磁带库 ( 机 ) 功能 , 通过 D2D2T 技术帮助用户实现数据离线保护 ,
满足法规遵从方面需求。
? 具有专利技术的远程备份功能 , 通过该技术可以帮助用户完成异地容灾、多
点数据汇聚等需求。
? 支持在不停止数据保护的情况下 , 挂载可读可写的影子副本数据 , 用于灾备
演练、 数据分析和测试等用途。
打造专业的用友 ERP 数据保护系统
为什么说友备系列才是专业的用友 ERP 数据保护解决方案呢? 让我们来看看数据备份发展的几个阶段 : 手动导出
时至今日 , 仍有 ERP 用户采取数据库手动导出方式备份。有些备份数据甚至存放在本地 , 若生产存储损 坏将导致备份数据也同时不可用。
操作复杂、 备份数据可靠性差
网络存储 + 简单备份
有许多偏消费级的 NAS 存储 , 硬件配置通常较低 , 而且同一品牌的低端和高端产品线甚至采用不同指令 集的 CPU。 该类方案大多是在 ERP 服务器上运行轻量级备份程序而不是在备份服务器 / 存储端实现。这类产品有的 只是定时拷贝数据库文件 , 与企业级备份差距较大。一旦遇到生产服务器系统故障 , 还要重新安装配置备 份程序 ( 包括其自身的数据库 ), 才能尝试恢复数据。
备份管理未独立于应用主机 , 一旦生产系统崩溃 , 恢复数据的复杂度较高 , 成功率 ?
企业级备份一体机
将专为服务器 / 数据中心设计的企业级备份软件 , 与可靠的硬件平台优化集成。在保证备份数据可靠性、 可独立恢复的同时 , 提供简洁、 高效的策略性备份和恢复体验。 备份一体机在客户端上只需要安装简单的代理程序 , 负责发送 / 接收数据和一致性处理 , 部分应用类型甚 至可以做到无代理。备份管理、监控以及可靠存储都通过操作一体化设备来实现。 多功能的企业级备份一体机 , 针对不同用户的实际需求 , 还可以提供磁带备份 / D2D2T, 以及远程备份容 灾功能。
备份的可靠性、可管理性和可恢复性高 , 支持备份介质离线和异地备份要求
多维度数据保护设备
在企业级备份一体机基础上衍生 而来 , 除了传统定时备份之外 , 增加了持续数据保护 (CDP) 功 能。显著改善了 RPO ( 恢复点 目标 ) 和 RTO ( 恢复时间目标 ), 将数据保护的效果再提升了一个 等级。
友备多维度数据保护一体机
人工智能数据安全 白皮书 中国信息通信研究院 安全研究所 2019年8月
版权声明 本白皮书版权属于中国信息通信研究院安全研究所,并受法律保护。转载、摘编或利用其它方式使用本白皮书文字或者观点的,应注明“来源:中国信息通信研究院安全研究所”。违反上述声明者,本单位将追究其相关法律责任。
前言 人工智能作为引领新一轮科技革命和产业变革的战略性技术,已成为世界主要国家谋求新一轮国家科技竞争主导权的关键领域。随着政府人工智能战略布局的落地实施,全球人工智能发展正进入技术创新迭代持续加速和融合应用拓展深化的新阶段,深刻改变着国家政治、经济、社会、国防等领域的运行模式,对人类生产生活带来翻天覆地的变化。 数据作为驱动本轮人工智能浪潮全面兴起的三大基础要素之一,数据安全风险已成为影响人工智能安全发展的关键因素。与此同时,人工智能应用也给数据安全带来严峻挑战,如何应对人工智能场景下的数据安全风险日渐成为国际人工智能治理的重要议题。部分国家已率先探索人工智能数据安全风险的前瞻研究和主动预防,并积极推动人工智能在数据安全领域应用,力求实现人工智能与数据安全的良性互动发展。 本白皮书从人工智能数据安全的内涵出发,首次提出人工智能数据安全的体系架构,在系统梳理人工智能数据安全风险和安全应用情况的基础上,总结了国内外人工智能数据安全治理现状,研究提出了我国人工智能数据安全治理建议。
目录 一、人工智能数据安全概述 (1) (一)人工智能安全 (1) (二)人工智能数据安全内涵 (2) (三)人工智能数据安全体系架构 (3) 二、人工智能数据安全风险 (5) (一)人工智能自身面临的数据安全风险 (5) (二)人工智能应用导致的数据安全风险 (7) (三)人工智能应用加剧的数据治理挑战 (11) 三、人工智能数据安全应用 (13) (一)人工智能与数据安全治理 (13) (二)人工智能在数据安全治理中的应用 (15) 四、国内外人工智能数据安全治理动态 (23) (一)国内外人工智能数据安全战略规划情况 (24) (二)国内外人工智能数据安全伦理规范情况 (28) (三)国内外人工智能数据安全法律制定情况 (30) (四)国内外人工智能数据安全技术发展情况 (32) (五)国内外人工智能数据安全标准规范情况 (34) 五、人工智能数据安全治理建议 (36) (一)明晰发展与安全并举的治理思路 (36) (二)引导社会遵循人工智能伦理规范 (37) (三)建立人工智能数据安全法律法规 (37) (四)完善人工智能数据安全监管措施 (38) (五)健全人工智能数据安全标准体系 (39) (六)创新人工智能数据安全技术手段 (39) (七)培养复合人工智能数据安全人才 (40)
1.1数据标准建设 睿治数据治理平台提供了一套完整的数据标准管理流程及办法,通过一系列的活动,统一的数据标准制定和发布,结合制度约束、系统控制等手段,实现企业大数据平台数据的完整性、有效性、一致性、规范性、开放性和共享性管理,为后续数据质量检查、数据安全管理等提供标准依据。 1.1.1灵活配置数据标准属性 定义不同的数据标准可能存在需要录入不同的属性,为了满足不同项目对数据标准的设计,睿治数据治理平台提供了数据标准集管理,内置了业务属性、技术属性、管理属性、质量属性、主数据属性、生命周期属性供用户选择使用,并支持自定义属性。 1.1.2方式丰富的数据标准录入 平台提供灵活方便的操作界面,根据用户选择合适的方式,快速创建数据标准,支持用户手动创建数据标准,同时支持拾取元数据生成数据标准,简化数据标准创建的步骤,同时支持修改、删除等操作。
除了手动创建外,还支持通过导入的方式进行批量创建。通过导出标准集,让用户在线下对数据标准进行整理,将整理完成的数据标准导入到平台后,成为一条可映射、评估的数据标准。
1.1.3完备的数据标准审批 数据标准创建保存后,确认无误后,支持整集发起审批。审批支持通过、退回操作,可采用邮件或任务提醒的方式通知参与审批的用户。同时支持审批列表的搜索,快速定位数据标准。 1.1.4先进的数据标准落地映射 数据标准被设计出来,主要目的是为了规范各业务系统的数据建设。平台支持对数据标准设置落地映射,一条标准可根据实际业务需求进行多个映射,映射设置细化到实际业务系统对应的元数据上,为后续的落地评估提供依据,设置好的落地映射支持修改、删除。
数据资产管理技术白皮书
前言 党的十九大报告提出要“推动互联网、大数据、人工智能和实体 经济深度融合”,进一步突出了大数据作为国家基础性战略性资源的 重要地位,掌握丰富的高价值数据资源日益成为抢占未来发展主动权 的前提和保障。 数据是资产的概念已经成为行业共识。然而现实中,对数据资产的管理和应用往往还处于摸索阶段,数据资产管理面临诸多挑战。首先, 大部分企业和政府部门的数据基础还很薄弱,存在数据标准混乱、数据质 量层次不齐、各条块之间数据孤岛化严重等现象,阻碍了数据的共享应用。其次,受限于数据规模和数据源种类的丰富程度,多数企业的数据 应用刚刚起步,主要集中在精准营销,舆情感知和风险控制等有限场景,应用深度不够,应用空间亟待开拓。再次,由于数据的价值很难评估, 企业难以对数据的成本以及其对业务的贡献进行评估,从而难以像运营 有形资产一样管理数据资产。 国际上,1990 年以来,以国际数据管理协会(DAMA,Data Management Association International)、能力成熟度模型集成(CMMI,Capability Maturity Model Integration)为代表的组织机构长期从事数 据管理的研究,形成了一定的理论成果。在这些理论的指导下,我国金融、电信、能源、互联网等信息化较为先进的行业,已经积累了丰富的 数据资产管理经验。这些经验的总结对于补充完善数据管理理论体系、 推进数据资产管理在各个行业的普及和发展有着重要意义。 为了促进数据资产管理的研究,我们组织编写了《数据资产管理
实践白皮书》。本白皮书分为四大部分:第一部分介绍了数据资产管理 的概述及变革中的数据资产管理呈现出来的特征趋势;第二部分从实践 角度出发阐述了数据资产管理的主要内容;第三部分重点介绍了数据资 产管理的实施步骤、实践模式、技术工具和成功要素;最后结合实践经验,介绍了电信、金融、政务、医疗和工业等相关领域的数据资产管理 案例。本白皮书在《数据资产管理实践白皮书3.0》的基础上,以全面 盘点数据资产、不断提升数据质量、实现数据互联互通、提高数据获取效率、保障数据安全合规、数据价值持续释放等角度,通过权威数据和典型事件,生动剖析了数据资产管理的重点内容和目标。在原有管理职能的 介绍下,尝试说明数据资产化管理的关键活动步骤,并在实施步骤方面,增加了各实施阶段的具体输出物,并增加了“数据价值管理工具”和“数 据服务管理工具”,更好的指导企业搭建数据资产管理平台,开展数据 资产管理相关工作。 本白皮书可以为政府和企业开展数据资产管理工作提供参考,也 可以作为相关产品和服务提供商的参考依据。由于时间仓促,水平所 限,我们的工作还有很多不足。下一步,我们还将广泛采纳各方面意见 建议,进一步深化相关研究,持续完善白皮书内容,在已有版本的基础上,适时修订发布新版。我们诚邀各界专家学者参与我们的研究工作, 积极献言献策,共同完善国内数据资产管理理论和方法论体系,为促 进大数据与实体经济深度融合做出积极贡献。
医院核心业务数据必须实现持续数据保护 对于医院的核心数据来说,数据备份只是最基本的保护手段,而持续数据保护可以更好地实现系统的快速恢复,避免数据丢失。在将核心业务迁移到Unix平台上之后,业务系统的可靠性、可用性都有了明显提高。 解放军302医院是全国最大的三级甲等传染病医院,在面向全社会开放的同时,还肩负着公共卫生事件的应急处置和传染病诸多领域的医疗、教学、科研和信息研究等多项工作。作为一家具有50余年历史的传染病专科医院,解放军302医院对于信息化工作非常重视,近年已经逐步建成了医院对外门户、财务管理一体化平台、HIS、PACS、MIS等医疗服务平台,还有移动医疗(比如:护士工作站)。 由于医院承担着繁重的病人救治任务,在业务层面上呈现出24小时不中断性,随着业务对信息化依赖的程度越来越高,医院核心业务系统也需要满足24小时不出现中断,或者说出现了中断情况,能够实现快速恢复,从而尽可能地保护医院业务的连续性。 “2011年1月,我们医院将部署在刀片小型机上的Oracle 8数据库升级至10g。在升级过程中,我们同时使用了Oracle数据库自身具有的备份模块以及飞康的CDP(持续数据保护)技术,虽然中间发生了断电的情况,但是由于数据备份工作到位,系统实现了快速恢复。”解放军302医院信息中心主任刘道践介绍说,“三年前,我们医院就已经部署了CDP技术,对医院的核心数据进行保护。” CDP必不可少 经过多年的信息化建设,解放军302医院已经拥有了多个信息化平台,主要包括医院对外门户平台、人财物管理一体化平台以及HIS、PACS、MIS等医疗服务平台,还有移动医疗(已在护士工作站实施)系统。目前,解放军302医院的总数据量接近40TB,其中仅PACS系统的数据量就达到32TB,平均每年增长的数据量约为5TB。 解放军302医院的核心数据主要存在于HIS系统中。在数据保护方面,解放军302医院拥有非常丰富的经验,比如核心业务系统都架设于Unix平台之上,并且采用了双机热备、网络双链路等保护措施,目的就是增强系统的安全性和可靠性。 刘道践介绍说:“长期以来,我们一直在使用数据备份系统。但是,对于核心数据的保护来说,仅有数据备份是远远不够的。三年前,经过广泛的调研与测试,我们决定用飞康CDP技术对核心数据进行保护,从而形成双保险,即使出现故障,系统也能快速恢复,同时还可以避免因数据丢失可能造成的损失。” 由于可以实现实时恢复,CDP技术已经被广泛用于容灾系统中。许多企业级高端存储系统中都包含了CDP功能。TimeMark多时间点的自动连续快照技术是飞康CDP非常重要的功能之一,它使业务系统能够在较短的时间间隔内保存各个时间点的历史数据版本。企业用户之所以青睐CDP,一个很重要的原因是,CDP能够将系统恢复到任意一个时间点,从而杜绝数据丢失。飞康CDP提供了一种基于连续I/O的记录日志技术,名为CDP Journal。借助此功能,用户只要任意拖拽时间拉杆,或根据数据访问流量图等信息找到故障发生的时间点,就能将数据恢复到任何一个秒级的时间点。 “我们能够容忍的系统中断时间最多为半小时。曾经有一次,由于表数据空间出现问题,我们的系统中
CDP备份容灾一体化方案 FalconStor连续资料保护方案(Continuous Data Protector, CDP)为企业资料的备份和回复提供创新技术。破除磁带备份经常失败,一天只能备份一次的魔咒,FalconStor CDP 合并本地和远端资料保护成为一个经济实惠、统一的磁碟备份解决方案,可以让IT管理人员将资料回复到最近的交易时间点,企业的回复点目标(RPO)可以缩减到只有几秒钟。 单纯的资料保护只是这个解决方案的部分功能。FalconStor CDP 还能够提供快速和可靠的回复机制,遭逢灾难时,能以超乎想像的速度协助企业复原上线。利用许多精巧的技术,包括: 应用程式整合、实体转虚拟(Physical-to-Virtual, P2V)快速回复、广域网路优化的资料复制,能够在10分钟内回复全部的系统服务。遗失的档案可以在1分钟内回复。所有的这些复原过程都不需要借助备份软体,也不需要执行回复工作(restore job)。资料是用原始档案格式来保护,而且可以立即存取。企业的回复时间目标(RTO)可以由数个小时缩减到只要几分钟,将系统停机时间和营运冲击降至最低。 关键效益 快速可靠的回复业务运作 FalconStor CDP可以在应用伺服器发生软体错误或硬体故障时,将档案、资料库、电子邮件信箱,或所有的系统在内恢复正常上线,让企业的营运冲击减至最小。整座异地备援(DR)机房可以在意外停机后的30分钟内恢复业务正常低成本的灾难复原 FalconStor CDP 解决方案能够让资料复制跨越系统、网路储存协定、虚拟和实体环境的界限。藉由广域网路流量的压缩,频宽成本的降幅可达70 %到90%。 消除对磁带和备份软体的依赖 FalconStor CDP可以让成本高昂而又麻烦的磁带备份解决方案完全退居二线,或将磁带备份的应用减至最低。
中国信通院全球数字治理白皮书(2020年)在经济全球化遭遇逆流,保护主义、单边主义上升的背景下,数字化驱动的新一轮全球化仍蓬勃发展,已成为助力全球经济增长、促进全球交流与合作的重要动能。数字全球化既是新一轮全球化的重要标志,也带来重大挑战,呼唤构建新的全球数字治理体系。随着数字全球化的纵深发展,如何更好兼具效率与公平,协调不同治理主体间分歧,更好推进全球数字合作,既是未来全球数字治理的重要方向,也对我国参与数字领域国际规则和标准制定提出了新的挑战。 第一章:数字全球化及全球治理新挑战 当前,经济全球化遭遇逆流,保护主义、单边主义上升,世界经济低迷,国际贸易和投资大幅萎缩,国际经济、科技、文化、安全、政治等格局都在发生深刻调整。随着新一轮科技革命和产业变革的深入发展,数字化驱动的新一轮全球化席卷而来,正在成为促进全球互联互通、推动全球商贸合作、增进全球文化交流、破解当前全球化困境的重要突破口。 (一)数字化驱动的新一轮全球化席卷而来 自2018年中美贸易摩擦以来,国际形势日趋复杂多变,全球化进程徘徊不前。国际贸易呈现出疲软态势,2019年,全球商品贸易出口额为18.9万亿美元,相对2018年下降了2.8%;服务贸易出口额为6.1万亿美元,与2018年基本持平。跨境资本流动大幅下降,全球外国直接投资从2018年的1.41万亿美元降至2019年的1.39万亿美元;全球跨国并购活动锐减,2019年全球跨国并购规模总计4900亿美元,同比大幅下跌近40%。要素的全球流动强度大大削弱,商品、服务、资本等传统要素的全球流动总量占全球GDP的比重从金融危机前54%的高峰降至30%左右。2020年初新冠肺炎疫情全球蔓延,世界经济面临深度衰退,国际贸易和资本流动严重萎缩。据世界贸易组织预测,2020年世界商品贸易总额预计将下降13-32%,几乎所有地区的贸易额都会出现两位数下降,世界贸易将陷入历史性低谷。联合国贸发会议预测,全球外国直接投资将在2019年的基础上下降近40%,滑落到近20年以来的最低水平。在全球经济衰退、新冠肺炎疫情爆发、中美贸易摩擦升级等多重背景交织影响下,世界经济运行的不稳定性和不确定性因素增加,“逆全球化”思潮涌动,贸易保护主义进一步抬头,经济全球化进程明显受阻。
《大数据白皮书(2019)》:数据安全合规要求不断提升 12月10日,中国信息通信研究院发布了《大数据白皮书(2019)》(以下简称“白皮书”),这是中国信息通信研究院第四次发布大数据白皮书。白皮书在前三版的基础上,聚焦一年多来大数据各领域的发展,探讨了大数据技术、产业、应用、安全及数据资产管理的进展和趋势。 根据白皮书显示,技术融合、数据合规、应用深化和资产管理是2019大数据发展的关键词。 白皮书显示,2019年以来,全球大数据技术、产业、应用等多方面的发展呈现了新的趋势,也正在进入新的阶段。当前,大数据技术呈现出六大融合趋势:(一)算力融合:多样性算力提升整体效率 (二)流批融合:平衡计算性价比的最优解 (三)TA 融合:混合事务/分析支撑即时决策 (四)模块融合:一站式数据能力复用平台 (五)云数融合:云化趋势降低技术使用门槛 (六)数智融合:数据与智能多方位深度整合 近两年来,各国在数据合规性方面的重视程度越来越高,但数据合规的进程仍任重道远。2019年5月25日,旨在保护欧盟公民的个人数据、对企业的数据处理提出了严格要求的《通用数据保护条例》。 欧盟EDPB的报告显示,GDPR实施一年以来,欧盟当局收到了约145000份数据安全相关的投诉和问题举报;共判处5500万欧元行政罚款。苹果、微软、Twitter、WhatsApp、Instagram等企业也都遭到调查或处罚。 GDPR的正式实施之后,带来了全球隐私保护立法的热潮,并成功提升了社会各领域对于数据保护的重视。 我国大数据的行业应用更加广泛,正加速渗透到经济社会的方方面面。 这几年,无论是从新增企业数量、融资规模还是应用热度来说,与大数据结合紧密的行业逐步向工业、政务、电信、交通、金融、医疗、教育等领域广泛渗透,应用逐渐向生产、物流、供应链等核心业务延伸,涌现了一批大数据典型应用,企业应用大数据的能力逐渐增强。 最后,白皮书围绕技术、应用、治理三个方面对大数据发展进行了展望:
超融合数据连续保护软件软件双机热备系统解决方案 编制日期:2020年2月10日 目录
1 项目背景 (3) 1.1当前数据中心面前的问题 (4) 1.1.1 传统架构的制约 (4) 1.1.2 可靠性依赖硬件 (5) 1.1.3 运维管理复杂 (5) 1.1.4 集群臃肿 (5) 1.2数据中心调研 (5) 1.3业务系统调研 (6) 1.4超融合系统对比传统架构 (6) 2 方案设计 (9) 2.1设计原则 (9) 2.2建设目标 (10) 2.3超融合系统总体设计方案 (10) 2.4超融合系统详细设计方案 (11) 2.4.1 搭建超融合系统环境 (11) 2.4.2 对原有设备进行淘汰和利旧整合 (11) 2.4.3 建立统一的云管理平台 (11) 3 功能模块 (12) 3.1功能管理模块 (13) 3.1.1 统一云管平台高可用 (13) 3.1.2 时间管理 (13) 3.1.3 资源管理 (13) 3.2资源调度模块 (15) 3.2.1 调度与策略 (15) 3.3计算模块 (15) 3.3.1 方案概述 (15) 3.3.2 计算规定功能 (15) 3.4存储模块 (16)
3.4.1 方案概述 (16) 3.4.2 存储规定功能 (17) 3.5安全模块 (18) 3.5.1 方案概述 (18) 3.5.2 方案的框架 (18) 3.5.3 网络隔离 (19) 3.5.4 安全网元 (19) 4 方案优势 (22) 4.1数据可靠性优势 (22) 4.2高级计算虚拟化优势 (22) 4.3冗余数据路径优势 (23) 4.4自动故障恢复 (23) 4.5自主研发 (23) 4.6集中管理 (24) 4.7易于部署 (24) 4.8性能 (24) 4.8.1 数据本地化 (24) 4.8.2 缓存机制 (25) 5 项目预算 (25) 1项目背景
金融行业开源治理白皮书
一、开源技术迅猛发展推动企业引入开源 (1) 1、开源已在多个重要领域成为主流 (1) 2、企业用户引入开源技术不可避免 (2) 二、金融行业采用开源技术已成趋势 (6) 1、开源技术是构建信息系统的重要选择 (6) 2、选择开源技术对金融机构意义重大 (8) 三、引入开源的风险日益凸显不容忽视 (11) 1、缺乏技术能力是企业用户的重要痛点 (11) 2、是否引入开源软件难以完全准确统计 (12) 3、开源软件隐含的安全风险较为显著 (13) 4、使用过程中是否遵守开源约定未知 (14) 5、开源软件上游供应链存在不确定性 (14) 6、开源软件的知识产权风险易被忽略 (15) 四、金融行业开源治理建议 (16) 1、推广产业开源科普,树立开源风险意识 (16) 2、建立金融开源社区,增进同业交流沟通 (17) 3、梳理开源治理规范,推动相关标准制定 (18) 4、建设开源治理体系,规范开源软件引入 (19) 附录金融机构开源治理实践案例 (23) 中国农业银行 (23) 上海浦东发展银行 (26) 中信银行开源 (30) 中国太平洋保险(集团) (32)
近几年开源技术快速发展,金融行业在构建信息系统过程中不可避免涉及开源技术的引入和使用。开源一方面可以突破技术壁垒推动金融机构技术创新和业务发展,另一方面也不可避免的带来知识产权、信息安全等一系列问题。金融作为涉及关乎国民经济的关键行业,面临与其他行业相比更为严苛的监管要求。如何在遵循开源义务要求的前提下规范地使用开源技术,从而最大化减少使用开源带来的风险,是金融机构构建信息系统过程中必然面临的问题。 《金融行业开源治理白皮书》首先介绍企业用户引入开源技术的背景,阐述开源技术对金融行业的重要意义,重点梳理引入开源可能导致的风险,并对金融行业在开源治理方面可以采取的措施给出了建议,最后附录了参与白皮书撰写企业的开源治理实践案例。
数据安全保护技术综述 (访问控制技术 亿赛通科技发展有限公司梁金千 摘要 :数据作为信息的重要载体,其安全问题在信息安全中占有非常重要的地位。为了能够安全可控地使用数据, 需要多种技术手段作为保障, 这些技术手段一般包括访问控制技术、加密技术、数据备份和恢复技术、系统还原技术等多种技术手段。本文侧重论述访问控制技术, 有关其它技术的探讨将发表在后续文章中。 关键词 :数据保护;安全模型;文件加密;访问控制;文档安全管理系统 数据作为信息的重要载体,其安全问题在信息安全中占有非常重要的地位。数据的保密性、可用性、可控性和完整性是数据安全技术的主要研究内容。数据保密性的理论基础是密码学, 而可用性、可控性和完整性是数据安全的重要保障, 没有后者提供技术保障, 再强的加密算法也难以保证数据的安全。与数据安全密切相关的技术主要有以下几种,每种相关但又有所不同。 1 访问控制:该技术主要用于控制用户可否进入系统以及进入系统的用户能够读写的数据集; 2 数据流控制:该技术和用户可访问数据集的分发有关,用于防止数据从授权范围扩散到非授权范围; 3 推理控制:该技术用于保护可统计的数据库,以防止查询者通过精心设计的查询序列推理出机密信息; 4 数据加密:该技术用于保护机密信息在传输或存储时被非授权暴露; 5 数据保护:该技术主要用于防止数据遭到意外或恶意的破坏,保证数据的可用性和完整性。
在上述技术中,访问控制技术占有重要的地位,其中 1 、 2 、 3均属于访问控制范畴。访问控制技术主要涉及安全模型、控制策略、控制策略的实现、授权与审计等。其中安全模型是访问控制的理论基础, 其它技术则是实现安全模型 的技术保障。 1. 安全模型 信息系统的安全目标是通过一组规则来控制和管理主体对客体的访问, 这些访问控制规则称为安全策略, 安全策略反应信息系统对安全的需求。安全模型是制定安全策略的依据, 安全模型是指用形式化的方法来准确地描述安全的重要方面(机密性、完整性和可用性及其与系统行为的关系。建立安全模型的主要目的是提高对成功实现关键安全需求的理解层次, 以及为机密性和完整性寻找安全策略, 安全模型是构建系统保护的重要依据, 同时也是建立和评估安全操作系统的重要依据。 自 20世纪 70年代起, Denning 、 Bell 、 Lapadula 等人对信息安全进行了大量的理论研究,特别是 1985年美国国防部颁布可信计算机评估标准《 TCSEC 》以来, 系统安全模型得到了广泛的研究, 并在各种系统中实现了多种安全模型。这些模型可以分为两大类:一种是信息流模型;另一种是访问控制模型。 信息流模型主要着眼于对客体之间信息传输过程的控制, 它是访问控制模型的一种变形。它不校验主体对客体的访问模式 , 而是试图控制从一个客体到另一个客体的信息流, 强迫其根据两个客体的安全属性决定访问操作是否进行。信息流模型和访问控制模型之间差别很小, 但访问控制模型不能帮助系统发现隐蔽通道 , 而信息流模型通过对信息流向的分析可以发现系统中存在的隐蔽通道并找到相应的防范对策。信息流模型是一种基于事件或踪迹的模型, 其焦点是系统用户可见的行为。虽然信息流模型在信息安全的理论分析方面有着优势, 但是迄今为止,信息流模型对具体的实现只能提供较少的帮助和指导。 访问控制模型是从访问控制的角度描述安全系统, 主要针对系统中主体对客体的访问及其安全控制。访问控制安全模型中一般包括主体、客体, 以及为识别和
主流CDP 持续数据保护产品横评 产品销售与部署架构 持续数据保护(CDP)是传统数据保护技术的一个重大突破,它可以捕获或跟踪数据的变化,并将其在生产数据之外独立存放,以确保数据可以恢复到过去的任意时间点。持续数据保护系统可以基于块、文件或应用实现,可以为恢复对象提供足够细的恢复粒度,实现几乎无限多的恢复时间点。 目前国内市场上最主要的CDP产品有IBM TSM FastBack 、EMC RecoverPoint、DataCore Traveller与FalconStor CDP等4款。以下我们分别从几个面向出发,简单比较4款产品在架构、运作与操作等方面的异同。 ·IBM Tivoli Storage Manager FastBack 可让您从任何时间点、在组织中的任何地方,快速恢复任何Microsoft Windows 服务器数据。为Microsoft Windows 服务器提供持续性的数据保护及恢复管理,包括在数据中心以及远程或分公司的数据在数据流失的数分钟内,启动及执行应用程序和使用者恢复,并同时在背景执行完整数据恢复可在区块层次连续撷取数据变更,而不需要传统的备份空间,而且对其系统的花费也极低根据弹性、原则设定,排定自动化数据转送作业,帮助管理者满足各种应用程序的数据保护及保留需求可从任何Windows 应用程序(包括Microsoft Exchange、Microsoft SQL Server、Oracle、IBM DB2 及SAP)恢复任何数据资产透过一些策略(例如:多执行绪、集结小档案,以及产业标准压缩),以充分提升可用频宽的使用效率与您现有的磁带备份应用程序(例如IBM Tivoli Storage Manager)整合,提供中介磁盘层,以获得更加快速的备份和恢复功能。 ·EMC RecoverPoint 是企业级数据中心的综合数据保护方案,在解决了一系列数据保护的难点的同时,显著降低了保护关键业务数据的成本和复杂性。RecoverPoint保护企业数据在通常如服务器失效、数据损坏、软件出错、病毒和终端用户差错等情形下不受损失,同时RecoverPoint还使企业抵御突发灾难事件,使整个数据中心免于停顿。RecoverPoint的用户清楚地认识到用单一的、易于管理的方案代替复杂、低性能的数据保护方案,能够大幅度节约成本。RecoverPoint提供持续数据保护,能够快速恢复数据,无缝地与数据库以及其它用户应用集成。通过支持异构存储设备、主机或者SAN设备,RecoverPoint能够保护存储设备的投资,利于存储设备的整合。 ·DataCore Traveller CPR软件是整合了CDP(持续数据保护)与强化了CDR持续资料复原的数据保护方案,具有以下特点:弹性的备份/回复时间与储存空间(virtual):应用Timeshift 技术产生最佳的使用率与生产力,视需求在任何时间产生Make Time V olume,可应用于数据备份、软件测试、Data Mining、与软件升级更新patch等使用,实施不同的时间点数据拷贝与回复,不需毁损现有数据。跨越系统:支持Windows/Linux/VMware/Netware/MacOS/Solaris/AIX/UNIX 等各种操作系统。跨越应用软件:Exchange, SQL, Sybase, Oracle 等各种数据库。跨越存储:可不同种类混合与硬设备无关。跨越地点:不同的备援地点(另外的房间,建筑, 园区)。不中断工作,不需要Agent 软件与主机无关。零冲击备份,不影响工作进行,并可大量节省在主机端软件的授权费用。
工业互联网安全白皮书
目录 一、工业互联网安全概述 (1) (一)工业互联网概念内涵 (1) (二)工业互联网安全框架内容与范围 (2) 二、相关网络安全框架分析 (3) (一)传统网络安全框架 (3) (二)工业互联网安全框架 (8) (三)相关框架共性分析及经验借鉴 (10) 三、工业互联网安全框架设计 (12) (一)设计思路 (12) (二)安全框架 (13) (三)防护对象视角 (16) (四)防护措施视角 (17) (五)防护管理视角 (18) 四、工业互联网安全防护措施实施 (20) (一)设备安全 (21) (二)控制安全 (23) (三)网络安全 (27) (四)应用安全 (31) (五)数据安全 (35) (六)监测感知 (39) (七)处置恢复 (41) 五、工业互联网安全发展趋势与展望 (46)
一、工业互联网安全概述 (一)工业互联网概念内涵 工业互联网是满足工业智能化发展需求,具有低时延、高可靠、广覆盖特点的关键网络基础设施,是新一代信息通信技术与先进制造业深度融合所形成的新兴业态与应用模式。工业互联网深刻变革传统工业的创新、生产、管理、服务方式,催生新技术、新模式、新业态、新产业,正成为繁荣数字经济的新基石、创新网络国际治理的新途径和统筹两个强国建设的新引擎。 工业互联网包括网络、平台、安全三大体系。其中,网络体系是基础。工业互联网将连接对象延伸到工业全系统、全产业链、全价值链,可实现人、物品、机器、车间、企业等全要素,以及设计、研发、生产、管理、服务等各环节的泛在深度互联。平台体系是核心。工业互联网平台作为工业智能化发展的核心载体,实现海量异构数据汇聚与建模分析、工业制造能力标准化与服务化、工业经验知识软件化与模块化、以及各类创新应用开发与运行,支撑生产智能决策、业务模式创新、资源优化配置和产业生态培育。安全体系是保障。建设满足工业需求的安全技术体系和管理体系,增强设备、网络、控制、应用和数据的安全保障能力,识别和抵御 — 1 —