[技术前沿]NAS(网络附加存储设备)与企业财务部数据的关系(转载)
NAS在财务系统中的应用
随着中国加入WTO后,国内企业参与国际竞争程度的日益加深,作为国内主要的经济体之一的中小型企业,他们为了增加自己的竞争力,除了增强自身在产品设计、研发、技术创新及服务等方面的核心竞争力以外,还要对付国内中小企业普遍存在的 “通病”之一:工作效率低下的状况。为解决这个“通病”,近几年国内的大部分中小型企业纷纷加强在企业内部电子信息化工程的建设,而作为企业重中之中的财务结算部分更是实施电子化管理的优先部门,通过构建企业内部的信息化办公系统后,各企业的办公效率得到大大的提升,但同时又带来新的烦恼即在当前黑客四起,病毒横流的互联网时代,如何确保各企业的宝贵数据的安全?而其中的财务数据自然而然就成为企业的重点看护对象。近两年数据安全成了热门话题,因财务数据遭到破坏或被黑客盗取而造成企业重大损失的事件更是“屡见不鲜”。
试想一下:在企业的经营过程中,若财务数据一旦丢失会怎样呢?是否会造成以下的后果:
工资无法正常发放;
当年的财务总结没办法进行;
盈利还是亏损无法计算;
下一年的业务也无法正常开展;
大客户可能因此拂袖而去……
相信任何企业都不愿见到自己的单位发生上述情况!但又是什么原因导致财务数据的丢失呢?
导致数据丢失的其中一个很重要的原因是企业存在侥幸心理,对数据安全的重视不够,比较常见的是企业认为自己的数据已经很安全,没有必要在这一块花更多的心思,必要的数据备份也是想起就做没想起也就算了。试想一下,这样的数据安全观念,财务部门等关键数据谈得上安全吗?对数据安全缺乏足够的重视力度,无异于将企业主体资产用于高风险赌博。
第二个因素就是企业的存储设备。据调查,由于财政实力所限,现绝大多数企业的财务部门都是采用PC、服务器甚至是更为简单经济的移动磁盘作为存储备份设备。对于企业内部重要的财务数据,大多数中小型企业会以以下的方式对数据进行安全保护:
1、采用一台独立的PC专门用以对财务数据的存储;
2、一些资金比较充足的企业会采用安全性较高的服务器作为主要的存储备份设备;
3、一些对数据安全认知与重视不够的企业就会把重要的财务数据存放在公司的公共存储区域。
这些最为常用存储方主要式存在着以下问题:
1.面对繁琐的信息与日日更新的数据,难免会造成误操作,如意外删改文件造成数据损坏或丢失;
2.财务部门的信息价值昂贵,内部人员可能会基于某种利益关系从而盗取数据,外部人员也可能对企业的重要机密进行窥探,导致敏感数据外泄;
3.接上网络就要意味着要面临来自网络的威胁,诸如网络病毒和黑客攻击等威力强大的侵犯;
4.电脑等设备损坏造成的数据损坏,如磁备损坏等。
最后一个就是企业采用的操作系统及应用软件的问题。
1、操作系统方面,现在最常用的操作系统平台的是微软的Windows,操作系统本身存在的“漏洞”或缺陷容易被黑客或病毒攻击,权威的计算机系统安全标准之一,美国国家计算机安全中心颁布的橘皮书(Trusted Computer System Evaluation Criteria,即受信任计算机系统评量基准)指出,操作系统的易用性与安全性无法兼顾,广泛使用的商用操作系统,如Windows、各类Unix、Linux等,均属于中等安全的C1或C2级别。因此,在线系统保障应用灵活性的代价是牺牲应用安全。操作系统存在的各种各样的问题是造成数据丢失或损坏的另一重要的原因;
2、应用软件方面,财务管理软件的出现为公司管理财务工作的人员带来极大的方便,但由于中小型企业由于自身财力方面的因素,导致在采购财务软件时通常会因经济方面原因,选购一些价格相对较低的产品,这样由于财务软件存在这样那样的问题带给企业财务数据在安全方面的隐患也是不可忽视的。
企业部门的数据安全一直得不到充分的重视,一般财务部的存储或备份都是采用企业的公用资源,没有一个稳定的安全的存储空间以供财务部的重要数据存放,大多企业都不会为财务部配备一个独立的存储单元。针对存储设备方面,企业可以通过分析以下几个方面,找到最适合自身的存储设备,然后通过将几种存储设备的有效结合使用进行数据安全隐患的规避:
一、存储设备的选购
1、设备购买原则:
软件设计企业在采购存储/备份设备时可参考以下几个方面要求进行设备方面相应的投入:
1)满足最终用户有大量文件级数据存储备份的需求;
2)提供强劲的存储容量的扩展;
3)提供方便快捷的备份与恢复功能;
4)充分利用现有网络资源;
5)在最短时间内以较少的 IT 投入解决集中存储问题;
6)对内部 IT 资源如IT人力成本的投入方面的要求低,从而进一步降低整体拥有成本。
7)确保数据安全性、可靠性及可用性。
2、各种主流存储设备的特点分析:
基于上述存储设备购买原则的细分,中小型企业通常可以考虑采购文件服务器、磁盘阵列柜、NAS(网络附加存储设备)等存储设备作为主要的数据存储/备份工具,通过根据它们各自的特点有效的结合使用,在确保IT投入的有效性及合理性的前提下,对于提升数据安全大有益处,下面我们就以这几种主要的存储设备为例,对它们的特点进行简要分析:
磁盘阵列柜:
随着磁盘技术的发展,磁盘的容量越来越大,磁盘阵列柜的容量也越来越大。磁盘阵列柜在可靠性、稳定性及数据存取速度方面均有较良好的表现,这种设备较适合在采取集中数据存储方式下作为中央存储设备,企业在考虑选购这种设备时应注意以下几点:
1)、企业内部的数据存储方式是否是采取集中式的存储方式,还是部门间数据独立存储的方式;同时考虑企业的数据量是否需要动用磁盘阵柜进行数据存储;
2)、企业在IT投入方面的预算是否充足,因为一部可靠性、稳定性及存储容量大的磁盘阵列柜一般需要数万、甚至是数十万的资金投入;
3)、企业内部IT管理人员是否可以独立的管理这种设备,否则会增加相应的设备维护投入,同时由于企业内部没有专业的设备维护人员,如果外请专业的维护人员对于企业内部的数据安全保密方面隐患的风险相对较大;
4)、磁盘阵列柜一般需要搭配服务器使用,而一旦与之搭配的服务器故障,那么磁盘阵列柜中的数据将会在服务器修复以前无法进行读取。
5)磁盘阵列柜是透过硬件来控制磁盘阵列的,一旦控制器损坏则有可能做成数据无法恢复,造成数据丢失。
6)磁盘阵列柜的功耗比较高(约为30—400W),从某种程度上讲,这也会影响它的稳定性。
文件服务器
文件服务器的处理能力还有稳定性、可靠性都要比普通PC高很多,同时其功能方面相对于PC及磁盘阵列柜、NAS等设备而言更加强大,所以文件服务器一般适合在数据存储/备份方面的需求外,同时对于其在其他任务的处理方面的也有需求的场合下使用(即一机多用)。从应用的角度来讲,在把它当成单一的中央存储/备份大降低,可以随意布局;
1)通常文件服务器所使用的操作系统,如Windows、各类Unix、Linux等,因为它们要提供多样化的服务,从而造成自身安全性不足,任何一处的漏洞可都能导致被黑客入侵均有可能造成数据丟失、泄密;
2)从可维护性来讲,因为它是一台专业的设备,所以需要专业的人员来维护,对于用户来讲,间接增加了他的成本;
3)服务器对于工作环境的要求(温度、湿度)都比较高;
4)由于文件服务器通常作为一机多用的存储设备,它受计算机病毒影响的机率相对于其它设备而言较高;
5)存储容量可扩展性方面,作为标准的设备,它在存储容量方面相对于磁备阵列柜及NAS而言存在不足;
6)在使用文件服务器作为独立的存储/备份设备时,通过服务器对数据进行备份,备份文件和原始文件存放在一起无法分担风险,一旦发生毁灭性的本地灾害,所有数据就会毁于一旦。
NAS(网络附加存储设备)
说到NAS,也许有些人还不认识这种存储设备, NAS英文全称为Network Attached Storage,可译为网络附加存储,是一种专业网络数据存储\备份设备。它以数据为中心,将存储设备与服务器彻底分离,集中管理数据,从而释放带宽、提高性能、降低总拥有成本、保护投资。NAS是一种专用的存储/备份设备。它具有以下特点:
1、它不需要跟任何设备搭配使用,只要一个网络端口就能在任何能上网的设备上使用,这一点特性,使NAS可以不受地域的限制而进行任意布置,可自由置于各企业部门,因此其亦可作为在数据容灾工程中的重要存储设备;
2、作为一种工业级标准的专业数据存储/备份设备,产品的稳定性及可靠性等方面得到充分考虑,所以一般NAS都会对自己的功耗进行很严格的控制整机功耗在90W以内(这得益于其选用的是低功耗嵌入式的处理器),同时对于NAS的工作环境(如温度、湿度等)的要求相对于磁盘柜及文件服务器而言亦大个磁盘损坏),由于NAS支持热插拔,因此当发生磁盘损坏时,可将已坏的磁盘拔出,换以同参数的磁盘便可自动恢复数据;就算是NAS自身坏,只要磁盘未损,也可通过更换NAS,将磁盘按以前的序列重新插入新的NAS里面,数据便可完好无缺的重新使用,在可维护性方面,NAS大大优于磁盘阵列柜;
3, NAS的系统只需要单一的数据存储功能,所以它的操作系统相对功能强大的通用操作系统而言,大大精减(以嵌入式的linnux为内核,仅仅提供存储/备份方面的功能),这对于提升设备免受黑客、病毒等的侵扰大有益处,数据安全方面更有保障;
4、由于NAS是独立的存储设备,所以它的扩展性十分强大,当需要扩展的时候,只需要在网络上增加一台或数台NAS即可;
5、NAS是基于网络协议进行管理和应用的,这也意味着NAS可以在基于任何操作系统的平台中应用,同时为基于在各种平台如WINDOWS、LINNUX、UNIX、MAC等操作系统下提供数据存储/备份的服务,相对于文件服备器对操作系统方面的兼容性的问题,NAS则可大大降低IT投入;
6、作为专用的存储/备份设备,一般NAS均会自带高度智能化的存储/备份软件,相对于当前大多数品牌NAS自带的英文操作系统而言,06年进入中国市场的加拿大品牌自由遁更是设计出专门针对中国市场的中文版(可选简体、繁体及英文)的操作系统;
7、在可用性、维护性方面,相对于文件服务器、磁盘阵列柜而言,操作NAS不需要太多的IT专业知识便可轻松驾驭,其因此具备较强的通用性;在设备的维护性方面,以磁盘管理为例,通过将NAS里面的磁盘组成RAID5的阵列
8、相对于文件服务器而言,NAS的自带的操作系统除了在存储/备份的功能以处,其功能大大弱与文件服务器,因此其在操作系统多任务处理方面的功能也大大逊色于文件服务器,同时由于NAS采用的是嵌入式的处理器,相对于文件服务器采用的性能强大的处理器而言,NAS在这方面也不具可比性;综合而言NAS相对于文件服务器的多功能、多任务,NAS的用途单一,仅仅提供存储/备份的功能;
9、相对于磁盘阵列柜,其存储容量相对于磁盘阵列柜动辄数10T的存储容量,当前NAS仅仅可以提供数T的存储容量。
NAS网络存储设备能最大程度地做到不受病毒威胁、无需专业人员操作、具有实时性、跨平台、价格实惠的万元以下优质存储方案。此方案基于现有的网络架构,为部门添加一台NAS。用以独立管理属于该部门的数据,存储、备份、共享、系统还原、数据恢复一应俱全。
1.NAS具有定时备份功能,你可以自由设定备份时段以确保你数据的实时性,便于恢复数据用以解决误操作带来的困扰;
2.采取分层级的管理方式,只要数据存储在NAS里面,就只能通过用户名+密码的方式登陆以进行管理。所以除用户以外几乎无人能从其中窃取到敏感资料。
3.由于NAS采用的是嵌入式的固化、精简化(如去掉如多媒体等方面的多余内核)的LINNUX操作系统,有效避免大多数病毒、黑客的攻击,而且就算部分数据在存储进NAS前就已经染毒,它也可以通过时间差备份的方式加以规避,使数据因病毒造成数据损失的风险降至最低。
4.PC或服务器不幸坏掉,在这种情况之下,数据将之能在PC或服务器收复以后才可以读取,甚至有可能无法恢复。而要是在现有网络中加入一台NAS的话,由于它是一台完全独立的设备,所以即使是在PC或服务器坏掉了以后,数据依然可以通过其他基于任何平台的PC来读取(前提是要有相应的帐户、密码)。
5.由于某种原因造成NAS或内部的硬盘被盗,在这种情况下由于NAS需要专门的软件及密码才能正常读取里面的数据,同时NAS内部的硬盘拿到其他的PC机上是无法使用,这样当发生这样的不幸,你的数据也不会造成泄密,从而有效规避更多的损失;
通过以上对当前各种主流的存储/备份设备的分析介绍,不难发现,这几种设备各自存在鲜明的特点,如果将它们独立的作为存储/备份设备来看它们也存在明显的弱点,能否通过其他方式让它们更好的发挥自身的优势的同时又能弥补它们的弱点,对于提升数据安全也大有益处,从而更好的服务于我们呢?接下来我们根据它们的各自特点设计出以下几种组合方式,供企业参考。
一、文件服务器与NAS的结合应用,
随着IT技术的不断向前发展,我们可以将IT技术解决方案分成三个层面的独立模块即:数据处理、数据存储/备份、数据输出(显示),这三个模块构成完整的IT解决方案,基于数据处理及存储方面,我们完全可以利用它们两者之间的优势相互结合,更好的构建我们的数据安全的解决方案。下面我们针对这个议题进行讨论,并制定相应的应用方案。
设想如下:
将NAS作为服务器的附加设备来使用,服务器作为中央处理设备负责提供多样化的服务,而数据存储/备份则交给NAS。这样做可以充分发挥NAS的特点,即使服务器不幸停机,NAS中的数据一样可以交由其它服务器或是PC管理。且,服务器由于去掉了数据存储这一任务,其有利于充分发挥服务器的性能,还可优化网络环境。NAS的位置无关性,更可以允许用户在两个地方分别布置NAS和服务器,以便提高系统的远程容灾能力,从而更好的提升我们的数据安全。
1、网络结构
针对大多数企业在网络内已存在一台或多台服务器的实现IT应用平台的架构,服务器主要承载文件服器、网络资源的接入等任务,基于这种架构我们在现有的网络架构下增加一台或多台NAS存储设备即可对服务器和其它客户机进行重要数据存储与备份工作。具体应用方案如下图所示:
[img]]
本地备份/恢复解决方案(图一)
将NAS存储方式设置为Raid5等级,那即使NAS里的任意一块硬盘意外损坏亦能保证数据不丟失,只需重新插入一块新硬盘系统便可进行自动修复,同时由于它是根据军工级的保密标准来设计和制造的,在遇到NAS设备丢失时的不幸状况下,也不会造数据泄密(NAS采用的是专用的应用软件、在没有相应的软件及账号支持下是无法读取它里面的数据,就算是将NAS里面的磁盘抽出到PC上也是无法读取它里面的数据)从而保证数据的有效性和安全性。
图一为网络内只有一台服务器的情况,在原有服务已组建Raid 5阵列的情况下,为了提高数据的安全性,可通过新增的NAS对原服务器的数据进行备份,假设服务器硬盘损坏的机率是1%,那么,增加一台NAS作为存储/备份后,可将这个机率降至万分之一。
[img]]
本地备份/恢复解决方案(图二)
图二为网络内有两台互为镜像的服务器,此时设备和数据的安全性都较图一的结构更高,但当其中一台服务器有错误的数据则有可能会影响另一台服务器,为此,可通过新增一台或多台NAS,对服务器的数据进行定时备份。利用NAS能储存多个时间点的备份,在服务器数据出了问题时,可通过原有的备份选择某一时间点进行数据还原,从而将损失降至最少。
二、NAS与磁盘阵列柜的结合应用
针对部分中大型软件设计企业由于其拥有的数据量较大,通常会以大中型磁盘阵列柜为核心构建中央存储系统,采取所有的数据集中存储,数据共享的方式,在这种存储架构下,如果没有适当的防御及容灾措施,则任何隐患如存储设备损坏、黑客、病毒攻击等事件的发生均会导致严重的后果,给企业带来不可预估的损失。在这种存储结构下,如何才能更加有效的规避数据安全事件的发生及事件发生后如何补救呢?带着这些问题我们提出以NAS结合磁盘阵列柜构成新型的存储系统,具体网络结构如下图所示:
1、网络结构图:
[img]]
2、数据存储与备份的处理
以NAS自带的数据存储/备份软件为例,通过利用NAS自带的存储/备份软件对数据实现以下的管理:
档案分享
1.找个合适的角落,如图一、二所示,将NAS与现有的系统网络中的文件服务器相连。
2.透过Web连接至NAS管理介面,并完成初始设定并建立使用者帐号及群組。
3.建立分享目录并且设定适当权限,若有远程使用者,启用FTP 连线功能便可轻松地在权限区域内存取数据。
4.每个使用者都预设有自己的目录,透过映射网络磁盘或网上邻居查找,即可开始进行档案分享。
自动备份
1. 在服务器及各终端电脑上安裝NAS自动备份软件DiskSafe Express。
2. 选择服务器备份的磁盘或其他的存储设备,设定需要备份的文件存储到自由遁即开始进行第一次完全备份。
3. 设定分时段设定备份时间,可同时记录多个数据还原点。
远程还原
1. 当人为因素造成档案误删除或损毁时,通过操作DiskSafe Express的备份功能直接以档案管理员介面浏览备份在自由遁NAS上特定时间点的资料,或直接恢复整个资料盘。
2. 若是系統盘毁坏或因中毒无法开机时,可使用还原CD开机后连线至NAS回复硬盘资料,或以网络卡PXE协定开机,直接以NAS上的备份磁盘执行远程开机。
定时、定盘、定区备份
1.能够选择一个分区或整个硬盘备份,可以自由选择备份时间点。时间点的数量只受限于磁盘有效容量的大小。
2.同一分区/硬盘作一次以上备份时,系统只会对该分区/硬盘的已修改部分进行修改或备份,大大节省时间及空间。
3.当系统崩溃时,能通过pxe或启动光盘进行数据恢复。
层级管理
1.根据不同人员的职位,为他们建立一个文件夹,同时为其设立相应的权限,让数据得到有效的管理。
2.为高层或项目管理者,设定较高的权限,对存储区的文件进行查阅在确保数据安全的同时,方便的实现对企业内部各部门的工作进展进行检查。
NAS在数据容灾系统中的主要优点:
1、无地域限制,在数据容灾系统中,NAS一般会充当一个专门的在线备份设备,这是由于不管本地备份做得多么完善,但意外总会发生,而NAS则以其地域无关性,为企业提供了一种低廉的异地容灾解决方案。
2、高度智能化数据备份,通常各主流厂商如自由遁(freedom9)、EMC等著名存储设备厂商开发出的相关NAS产品均含操作简单,智能化高的软件,让用户在确保使用简单、高效、安全性高之余,对于减少企业在IT人员投入方面亦取得良好效果。通过简单的设置,就可以实现定时、定盘、定区备份,且NAS是通过对磁盘磁轨进行备份的,这意味着,NAS可以把所有正在使用的文件或是软件都一齐进行备份。
3、磁盘快照功能,就好象文件复制一样,远程镜像技术往往同快照技术结合起来实现远程备份,即通过镜像把数据备份到远程存储系统中,再用快照技术把远程存储系统中的信息备份到远程的磁带库、光盘库中。快照是通过软件对要备份的磁盘子系统的数据快速扫描,建立一个要备份数据的快照逻辑单元号LUN和快照cache,在快速扫描时,把备份过程中即将要修改的数据块同时快速拷贝到快照cache中。快照LUN是一组指针,它指向快照cache和磁盘子系统中不变的数据块(在备份过程中)。在正常业务进行的同时,利用快照LUN实现对原数据的一个完全的备份。它可使用户在正常业务不受影响的情况下,实时提取当前在线业务数据。其“备份窗口”接近于零,可大大增加系统业务的连续性,为实现系统真正的7×24运转提供了保证。
快照是通过内存作为缓冲区(快照cache),由快照软件(如Windows server 2003)提供系统磁盘存储的即时数据映像,它存在缓冲区调度的问题。
灾后数据危机处理,利用NAS作为数据安全危机处理主要体现在以下几种状况:
(1)、企业内部主要存储设备引起的数据危机,当存储设备在遇到台人为、天灾、病毒、黑客攻击等灾难性事件后,导致企业内部的重数据要数据的存储设备损坏或丢失后,在这种状况下,通过调用NAS备份的数据可快速高效的进行灾后恢复,同时利用NAS自带的远程开机及数据恢复功能,能够从容的应对突发性事件导致数据安全的问题;
(2)、NAS自身问题引起的数据安全危机,
1)、NAS内部硬盘损失后的危机处理,在进行NAS内部磁盘阵列构建时,将阵列设置为RAID5,这样便可允许两个(最多只能是两个)以下硬盘同时损坏,当发生这种状况,可通过更换同品牌、容量、参数的硬盘即可快速自动恢复已坏硬盘的数据;这一点相对于专业的磁盘阵列柜来说具有较大的优势;
2)、NAS不幸坏掉,当发生这种状况时,只要NAS内部的磁盘没有损坏,可以通过更换相同型号的NAS,将之前坏掉的NAS中的硬盘按以前设置好的磁盘安装位置在新的NAS里进行磁盘放置,磁盘内部的便可像以前一样,内部数据可以正常使用;
3)、NAS或NAS内部的硬盘丢失后的危机处理,当发生这种状况时,由于读取NAS内部的数据需要专用的软件、账号及密码,这样在没有相关的软件及账号密码就没有办法读取NAS内部的数据,同时就算是将NAS内部的硬盘拿到PC上去读取数据,也是没有办法读出的,所以就算是发生这种不幸状况也不会造成企业内部重要数据的泄密。
这种网络结构图是以当前企业的组织结构为核心结合集中数据存储的相关特点进行设计的,一般作为成熟的软件设计企业必然是组织结构健全,在这种组织结构下,各部门各施其职,分工明确,同时各部门的数据对于企业而言重要性必然也不一样,如开发部、设计部与财务部、校验部对企业的重要性及价值也不一样,如果将他们的数据也与其它部门数据一起置于公共数据存储区域,其数据面临源自于多重的安全性可想而知,因此基于这种状况,我们提出这种存储解决方案,在各核心部门如财务部等各部署一台或多台NAS作为相关部门的专用数据存储/备份设备,这样对于核心部门的数据保护及管理带来良好的效果。
通过上述对企业当前遇到数据安全隐患的列举、各种存储设备的特点的分析到最后多种存储设备的结合应用的讨论,相信对于相关企业应该会有相应的启示,通过相关的措施能够良好的解决源自于除存储设备之外的数据安全隐患,同时将相应的存储设备结合应用对于提升相关企业数据安全亦能带来相应的提升,从而保障企业可持续性的发展。