第5章数据存储与安全管理

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第5章数据存储与安全管理
• 对象存储
– 由于基于块的存储设备管理的是不透明的数据块,因此存储设备对实际使 用它们的用户和应用一无所知。
– 优势 • 能够理解存储设备上块与块之间的部分关系,并能利用这些信息更好 地组织数据和预估需求,实现基于策略驱动的自动化,以适应生产者 和消费者在性能方面的变化。
– 智能存储技术 • 分级存储 • 虚拟存储 • 集群存储
第5章数据存储与安全管理
• 分级存储
– 定义: • 分级存储:根据不同数据对存储服务需求不同的原理,利用不同存储 系统提供不同的服务,整合了多种存储技术的优势,消除了单一存储 系统的不足。 • 分级存储系统:在物理上是由多个存储设备组成一个分散结构,通过 特定反馈机制实现数据在存储系统中适当层次之间的自动移动。其基 本原则是将使用频繁的数据储存在高性能的存储层,以提高I/O性能; 而把很少访问和价值降低的数据迁移到大容量存储层,以保证信息能 够在适当的时间以适当的成本提供给应用程序。
– 安全监控技术以探测与控制为主,起主动防御的作用。
第5章数据存储与安全管理
• 安全漏洞检测技术
– 定义: • 指利用已知的攻击手段对系统进行主动的弱点扫描,以求及时发现系 统漏洞,同时给出漏洞报告,指导系统管理员采用系统软件升级或关 闭相关服务等手段避免受到这些攻击。
– 常用的技术:
• 基于应用的检测技术 • 基于主机 的检测技术 • 基于目标的漏洞检测技术 • 基于网络的检测技术
第5章数据存储与安全管理
5.2 数据安全管理 • 定义:
– 计算机系统中的数据和信息等受到全面保护,免于由于无意或者有意的原 因而遭到破坏、更改、泄密或丢失,保证信息的完整性、保密性、可用性 和可控性。
• 数据安全的基本特征:
– 保密性 – 完整性 – 可用性 – 可控性 – 可审查性
第5章数据存储与安全管理
• 访问控制技术
– 目的: • 为了限制访问期间主体(或称为发起者,是一个主动的实体,如:用 户、进程、服务等),对访问客体(需要保护的资源)的访问权限, 从而使计算机系统在合法的范围内使用。
– 访问控制的两种主要类型 • 任意访问控制 • 强制访问控制
第5章数据存储与安全管理
• 防火墙技术
– 防火墙:指设置在不同网络(如可信任的企业内部网和不可信的公共网) 或网络安全域之间的一系列部件的组合。
– 核心工作 • 物理存储设备到单一逻辑资源池的映射,通过虚拟化技术,为用户和 应用程序提供了虚拟磁盘或虚拟卷,并且用户可以根据需求对它进行 任意分割、合并、重新组合等操作,并分配给特定的主机或应用程序, 为用户隐藏或屏蔽了具体的物理设备的各种物理特性。
第5章数据存储与安全管理
– 存储虚拟化技术 • 虚拟的位置 • 虚拟的层次 • 虚拟的方法
– 最小特权原则:任何实体(如用户、管理员、进程、应用程序或系统)仅 享有该实体需要完成其任务所必须的特权
– 选用成熟技术:成熟的技术提供可靠性、稳定性保证,采用新技术要重视 其成熟的程度
– 视域网: • 视域网能够通过标准网络,利用任何计算设备实现对高级可视化系统 的统一访问。 • OpenGL VizServer是关键的支持软件 – 基于OpenGL API应用的用户从世界上任何地方单独地或者以协作 性用户社区的形式与可视化超级计算机交互。 – 分散于世界各地的研究小组看到数据并与数据交互,而这一操作 不需要复制数据,也不需要在每个地点都安装可视化超级计算机。
– 存储虚拟化对企业数据存储的好处 • 提供一个集中控制点,简单统一的存储界面与管理模型,实现对不同 品牌存储产品的管理。 • 具备动态数据移植工具
第5章数据存储与安全管理
• 全球文件系统
– 存储集群:在Linux集群中,全球文件系统将同一文件系统装配到多个节点 中,集群逻辑容量管理器可以实现智能地使用存储资源、动态分区和磁盘 共享,最终生成存储集群,使集群应用和集群网络服务器都具有高度的可 扩展性。存储集群使集群中的节点能够高速共享数据,而不会受到客户机/ 服务器存储模式的限制。
– 防火墙中用到的主要技术: • 包过滤:通过在网络间相互连接的设备上加载允许、禁止来自某些特 定的源地址、目的地址、TCP端口号等规则,对通过设备的数据包进行 检查,限制数据包进出内部网络。 • 状态检测:对新建的应用连接,状态检测检查预先设置的安全规则, 允许符合规则的连接通过,并在内存中记录下该连接的相关信息,生 成状态表。对该连接的后续数据包,只要符合状态表,就可以通过。 • 代理服务:代理服务是运行于内部网络与外部网络之间的主机(堡垒 主机)之上的一种应用。
• 数据安全存储技术
– 容灾系统:数据同时保存在两个物理距离相对较远的系统中,一个系统由 于意外灾难而停止工作,另外一个系统会将工作接管过来 。
– 高可用群集系统:解决由于网络故障、应用程序错误、存储设备和服务器 损坏等因素引起的系统停止服务问题 。 • 三种策略: –Share Memory Strategy –Share Storage Strategy –Share Nothing Strategy
第5章数据存储与安全管理
– 光存储设备 • 光存储介质:CD-ROM、DVD-ROM • 光盘库:一般由放置光盘的光盘架、自动换盘机构(机械手)和CDROM驱动器三部分组成。 • 光盘塔:多台SCSI接口的CD-ROM驱动器通过SCSI电缆串接起来,使 网络用户能以“在线”的速度直接访问预先放置在CD-ROM驱动器内 的光盘。由多台CD-ROM驱动器以层叠方式安装在塔式机箱内,使用 若干个CD-ROM驱动器组成的光盘网络共享设备就是光盘塔方案。 • 光盘镜像服务器:基于硬盘的存储设备,它是一种将硬盘高速缓存技 术和服务器技术相结合,专为光盘网络共享而设计的NAS(Network Attached Storage,网络连接存储)光盘网络共享设备。
第5章数据存储与安全管理
• 身份认证技术
– 主要是通过标志和鉴别用户的身份,防止攻击者假冒合法用户获取对数据 的访问权限。
– 主要技术方法: • 口令识别 • 密码认证 • 智能卡(光卡、磁卡) • 利用生物特征进行识别 – 指纹、掌纹 – 声纹 – 虹膜 – 视网膜 – 脸部特征
第5章数据存储与安全管理
– 如果企业对业务连续性的要求非常高,此时需要构建容灾系统+高可用群集 系统+备份系统。
– 如果企业不但对业务连续性的要求很高,用户需要构建的是智能存储系统+ 容灾系统+高可用群集系统+备份系统。
第5章数据存储与安全管理
• 数据安全管理遵循的原则
– 分权制衡原则:减小未授权的修改或滥用系统资源的机会,对特定职能或 责任领域的管理职能执行功能实施分离,独立审计,避免操作权力过分集 中
第5章数据存储与安全管理
– 磁带 • 优点: – 存储容量大; – 备份成本低; – 抗病毒能力较强。 • 缺点: – 顺序存取; – 存储不便且速度不高。
第5章数据存储与安全管理
• 智能存储管理
– 定义 • 美国先进数字信息公司(ADIC):更加灵活、高效、可靠地保护、管 理和访问日益增长的关键业务数据。
第5章数据存储与安全管 理
2020/11/26
第5章数据存储与安全管理
• 教学目的
– 了解数据存储技术、数据安全技术 – 根据实例,掌握相关技术应用的基本原则于方法
• 教学内容
– 数据存储技术 – 数据安全技术
第5章数据存储与安全管理
5.1 数据存储 • 问题
– 企业数据高速增长对存储的挑战 – 新的存储技术的出现
– 主要技术 • 分级存储管理 • 多级协议存储架构 • 信息生命周期管理
第5章数据存储与安全管理
• 存储虚拟化
– 定义 • 国际存储网络工业协会(SNIA):通过将一个(或多个)目标服务或功 能与其它附加的功能集成,统一提供有用的全面功能服务。虚拟化是 作用在一个或者多个实体上的,而这些实体则是用来提供存储资源或 服务的。 • 目的:使实际存储资源与逻辑存储资源相互独立。
• 体系结构多样化 • 接口协议多样化 • 存储介质多样化 • 存储规模越来越大 • 设备体积越来越小 • I/O速度越来越快
第5章数据存储与安全管理
• 存储系统
– 磁盘阵列 • 定义: – 将多个类型、容量、接口,甚至品牌一致的专用硬盘或普通硬盘 连成一个阵列。 • 目的: – 实现以某种快速、准确和安全的方式来读写磁盘数据,从而达到 提高数据读写速度和安全性的一种手段。 • 优点: – 成本低 – 功耗小 – 传输速率高 – 具备数据校验功能 – 价格相对低
第5章数据存储与安全管理
备份策略 完全备份 增量备份
差异备份
优点
缺点
完整复制数据,如果需要恢复系统, 完全备份包含冗余数据,因为备份时 拥有完整的数据副本;快速访问备 将未发生更改和发生更改的数据都进 份数据,不必在多个磁带中搜索要 行了复制,备份需要时间较长 还原的文件,
节省时间,备份过程较短,因为只 有上次完全备份或增量备份以来被 修改或被创建的数据才会被复制, 由此,也节省了备份的存储空间。
•高可用集群系统


•智能存储
低 •短
•备份系统
系统恢复时间

第5章数据存储与安全管理
• 原则
– 如果企业对业务连续性的要求不高,强调数据不丢失,业务可以暂停,用 户可以选择简单的备份方案,即单纯构建一个备份系统。
Baidu Nhomakorabea– 如果企业对业务连续性的要求比较高,可以构建高可用群集系统或高用群 集系统+备份系统。
第5章数据存储与安全管理
• 安全审计
– 定义: • 全审计通过对网络上发生的各种访问情况记录日志,并对日志进行统 计分析,从而对资源使用情况进行事后分析。
– 对象: • 操作系统 • 应用系统 • 设备 • 网络应用
第5章数据存储与安全管理
• 安全监控技术
– 对入侵行为的及时发现和反应,利用入侵者留下的痕迹来有效地发现来自 外部或内部的非法入侵,同时能够对入侵做出及时的响应,包括断开非法 连接、报警等措施。
第5章数据存储与安全管理
• 数据安全备份与安全存储
– 安全备份 • 目的: – 最大限度降低系统风险,保护最重要的资源--数据,在系统发生灾 难后,能提供一种简捷、有效的手段来恢复整个系统(不仅仅包含 数据,而且包含系统参数,环境参数等),它不仅备份系统中的数 据,还备份网络中安装的应用程序、数据库系统、用户设置、系 统参数等信息。 • 策略: – 完全备份 – 增量备份 – 差异备份
第5章数据存储与安全管理
• 数据签名技术
– 定义 • 附加在数据单元上的一些数据,或是对数据单元所作的密码变换,这 种数据和变换允许数据单元的接收者用以确认数据单元来源和数据单 元的完整性,并保护数据,防止被人(例如接收者)进行伪造
– 原理 • 将要传送的明文通过一种函数运算(Hash)转换成报文摘要(不同的 明文对应不同的报文摘要),报文摘要加密后与明文一起传送给接受 方,接受方将接受的明文产生新的报文摘要与发送方的发来报文摘要 解密比较,比较结果一致表示明文未被改动,如果不一致表示明文已 被篡改。
– 智能存储系统:帮助企业在进行数据备份、数据采集、数据挖掘和灾难恢 复时不会影响业务系统的连续性
– 备份系统:无法实现业务系统的连续性,只能在一定程度上防止数据的丢 失
第5章数据存储与安全管理
• 容灾系统 • 高可用群集系统
第5章数据存储与安全管理
• 数据安全存储技术选择


业 务
•容灾系统
的 连
• 威胁数据安全的因素:
– 自然灾害 – 系统管理以及维护人员的误操作 – 计算机设备故障 – 病毒感染造成的数据破坏 – “黑客”攻击 – 内部用户的蓄意破坏
第5章数据存储与安全管理
• 数据安全防范技术
– 身份认证技术 – 访问控制技术 – 数据加密技术 – 防火墙技术 – 数字签名技术 – 安全审计 – 安全监控 – 安全漏洞检测
完全还原过程复杂,还原系统,可能 需要使用一套递增的多个磁带中的数 据;部分还原时间长,对于部分还原, 可能需要在多个磁带中查找所需的数 据。
快速还原,备份速度比增量备份速 度快,因为差异备份所需的磁带少
备份时间长且数据多,差异备份比增 量备份需要更多的磁带空间和更长的 时间。
第5章数据存储与安全管理
相关文档
最新文档