一�、防“毒”正當(dāng)時(shí)
校園除了嚴(yán)格按照相關(guān)防疫措施做好校園的“防毒����、消毒����、滅毒”工作�,學(xué)校也正在利用數(shù)字化技術(shù)手段�����,為師生打贏即將面對(duì)的數(shù)據(jù)安全與網(wǎng)絡(luò)病毒戰(zhàn)��。
與新冠病毒戰(zhàn)“疫”一樣��,網(wǎng)絡(luò)病毒也是一場(chǎng)沒(méi)有硝煙�、沒(méi)有終點(diǎn)的戰(zhàn)爭(zhēng)。學(xué)校開(kāi)學(xué)后����,各種學(xué)習(xí)資料、教學(xué)材料��、實(shí)驗(yàn)數(shù)據(jù)�����、辦公數(shù)據(jù)將被重新激活���,這些數(shù)據(jù)在傳輸過(guò)程中��,會(huì)帶來(lái)兩個(gè)潛在的風(fēng)險(xiǎn)�。
一是師生、學(xué)生之間資料的拷貝�,會(huì)帶來(lái)人員聚集的風(fēng)險(xiǎn),不僅要防新冠病毒�,還要防電腦病毒;
二是海外處于半停工狀態(tài)����,網(wǎng)絡(luò)攻擊行為較為活躍,多數(shù)學(xué)校在網(wǎng)絡(luò)和病毒防護(hù)方面��,力量不夠強(qiáng)大���。
新冠病毒危害師生健康�����,必須嚴(yán)防��,為啥網(wǎng)絡(luò)病毒也要防呢���?
歸納起來(lái)����,主要有三個(gè)方面的要求:
一是國(guó)家法律法規(guī)的要求�。早在2014年10月,教育部辦公廳就印發(fā)了《教育行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作指南(試行)》的通知����,對(duì)教育行業(yè)信息系統(tǒng)進(jìn)行分類(lèi)��,提出安全等級(jí)保護(hù)的定級(jí)思路���,給出建議等級(jí)��,明確工作流程����。
2017年6月1日�,《中華人民共和國(guó)網(wǎng)絡(luò)安全法》正式實(shí)施,進(jìn)一步明確相關(guān)單位對(duì)于核心數(shù)據(jù)和業(yè)務(wù)高可用的職責(zé)��,對(duì)于落實(shí)不到位導(dǎo)致數(shù)據(jù)丟失��、業(yè)務(wù)停頓,影響正常生產(chǎn)生活的行為�,還明確了處罰的條例。
2019年12月1日起��,《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》(簡(jiǎn)稱(chēng):等保2.0)正式實(shí)施�����,作為我國(guó)網(wǎng)絡(luò)安全領(lǐng)域的基本國(guó)策��、基本制度和基本方法����,等保2.0根據(jù)信息技術(shù)的發(fā)展和網(wǎng)絡(luò)安全的形式發(fā)生變化,在等保1.0的基礎(chǔ)上�,更加注重主動(dòng)防御、動(dòng)態(tài)防御��、整體防控和精準(zhǔn)防護(hù)��。
二是信息系統(tǒng)運(yùn)營(yíng)商向外提供業(yè)務(wù)服務(wù)時(shí)�����,需要通過(guò)相關(guān)的等保測(cè)評(píng)���,能向客戶(hù)及利益相關(guān)方展示信息系統(tǒng)安全性承諾�,提高用戶(hù)與合作伙伴的信心。
三是校方自身安全需求��,隨著教育信息化2.0行動(dòng)計(jì)劃的推進(jìn)��,校園信息系統(tǒng)運(yùn)營(yíng)和業(yè)務(wù)部門(mén)���,通過(guò)開(kāi)展等保工作����,及時(shí)發(fā)現(xiàn)可能存在的數(shù)據(jù)安全隱患和業(yè)務(wù)中斷的風(fēng)險(xiǎn)���,進(jìn)而通過(guò)建設(shè)相關(guān)的災(zāi)備項(xiàng)目,提升校園系統(tǒng)的安全防護(hù)能力�����,降低被攻擊的風(fēng)險(xiǎn)和損失�。
二、滿(mǎn)足校園信息化“等保2.0”要求的災(zāi)備方案
如何做好校園信息化“等?���!币蟮陌踩ㄔO(shè),根據(jù)英方多年的教育災(zāi)備項(xiàng)目交付經(jīng)驗(yàn),學(xué)校的IT部署����、規(guī)模、地域的不一樣���,造成相同業(yè)務(wù)��、機(jī)構(gòu)對(duì)災(zāi)備恢復(fù)的RPO和RTO要求也不一樣��,歸納起來(lái)�,下面的三種建設(shè)方案基本能滿(mǎn)足大多數(shù)學(xué)校的信息化建設(shè)“等?!币螅?/span>
1、雙活數(shù)據(jù)中心災(zāi)備方案
隨著高校信息化建設(shè)在教學(xué)��、科研�、對(duì)外交流中的深入應(yīng)用,校園規(guī)模的逐步擴(kuò)大使得很多高?�,F(xiàn)有的設(shè)備已經(jīng)無(wú)法滿(mǎn)足同一學(xué)校多個(gè)校區(qū)的需求���,同時(shí)存在單數(shù)據(jù)中心資源利用率低���、數(shù)據(jù)丟失率高���、業(yè)務(wù)中斷時(shí)間長(zhǎng)、數(shù)據(jù)恢復(fù)時(shí)間長(zhǎng)等痛點(diǎn)�。
針對(duì)這些痛點(diǎn),雙活數(shù)據(jù)中心災(zāi)備方案應(yīng)運(yùn)而生���,其特點(diǎn)包括以下幾個(gè):
1)業(yè)務(wù)雙活訪問(wèn)���,充分利用資源;
2)業(yè)務(wù)不中斷��,數(shù)據(jù)零丟失�;
3)易擴(kuò)展,便于升級(jí)��;
4)設(shè)備統(tǒng)一管理���,維護(hù)成本低。
2�、同城災(zāi)備解決方案
當(dāng)前,大部分學(xué)校的業(yè)務(wù)主要在一個(gè)地方開(kāi)展���,若是希望在預(yù)算有限的情況下滿(mǎn)足數(shù)據(jù)的一致性���,則可以考慮同城災(zāi)備的解決方案�����,即將數(shù)據(jù)中心與災(zāi)備中心安排在同一區(qū)域�。
如上圖同城災(zāi)備方案所示�,左邊區(qū)域?yàn)閿?shù)據(jù)中心站點(diǎn),右邊區(qū)域?yàn)闉?zāi)備站點(diǎn)�����,數(shù)據(jù)中心站點(diǎn)配備兩套數(shù)據(jù)庫(kù)服務(wù)器保證業(yè)務(wù)的高性能�,快速響應(yīng)及高可用性。同時(shí)���,磁盤(pán)數(shù)據(jù)通過(guò)同 / 異步復(fù)制技術(shù)將數(shù)據(jù)復(fù)制到同城災(zāi)備中心���。此方案可以實(shí)現(xiàn) RTO 與 RPO 值的最小化,有效保障數(shù)據(jù)的一致性與業(yè)務(wù)連續(xù)性���。此外�,同城災(zāi)備方案具備跨平臺(tái)���、遠(yuǎn)距離窄帶寬的優(yōu)勢(shì)����,用戶(hù)可以最大化進(jìn)行設(shè)備利舊,實(shí)現(xiàn)投資利益最大化�。
3、CDP+HA解決方案
教育行業(yè)的某些重要應(yīng)用對(duì)于業(yè)務(wù)連續(xù)性以及可用性的要求很高�,如一卡通系統(tǒng)、財(cái)務(wù)系統(tǒng)等�。如何在這幾類(lèi)應(yīng)用出問(wèn)題時(shí),實(shí)現(xiàn)數(shù)據(jù)和業(yè)務(wù)的快速恢復(fù)�����,CDP(持續(xù)數(shù)據(jù)保護(hù))技術(shù)起到了關(guān)鍵作用��。
CDP 的定義主要有以下三點(diǎn):首先���,可以捕獲任意的數(shù)據(jù)變化��;其次�,至少可以備份到另外一個(gè)地方��;第三�,可以恢復(fù)到任意時(shí)間點(diǎn)。
HA(高可用)作為保障業(yè)務(wù)連續(xù)性的法寶�����,能對(duì)服務(wù)器資源狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控����,在發(fā)現(xiàn)業(yè)務(wù)系統(tǒng)異常時(shí),可以自動(dòng)或手工切換至災(zāi)備服務(wù)器��,保證業(yè)務(wù)的連續(xù)性�����。CDP+HA 的解決方案中���,HA 保障業(yè)務(wù)接管���,CDP 則保障RPO接近于0,兩者協(xié)同工作能確保用戶(hù)在遭受網(wǎng)絡(luò)攻擊�、系統(tǒng)宕機(jī)、誤操作等事件發(fā)生時(shí)�,能即時(shí)解決數(shù)據(jù)丟失、業(yè)務(wù)停頓的問(wèn)題�。
三�����、 校園災(zāi)備建設(shè)常見(jiàn)的問(wèn)題
(1)如果我們學(xué)校一卡通系統(tǒng)服務(wù)器壞了��,使用災(zāi)備方案多久可以恢復(fù)�����,即學(xué)生可以正常使用���?
答:在業(yè)界領(lǐng)先的高可用(HA)方案中,備端的災(zāi)備機(jī)處于啟動(dòng)狀態(tài)���,與生產(chǎn)環(huán)境一致����,在原始數(shù)據(jù)復(fù)制過(guò)來(lái)之后�,再通過(guò)字節(jié)級(jí)復(fù)制技術(shù)將增量數(shù)據(jù)實(shí)時(shí)同步至備端災(zāi)備機(jī)。當(dāng)生產(chǎn)中心發(fā)生故障時(shí)��,災(zāi)備機(jī)只需啟動(dòng)相關(guān)服務(wù)及添加業(yè)務(wù)訪問(wèn)的IP即可����,最終實(shí)現(xiàn)秒級(jí)的業(yè)務(wù)接管��。
(2)請(qǐng)問(wèn)在部署了HA以后,當(dāng)生產(chǎn)中心發(fā)生故障時(shí)自動(dòng)切換到了備端�����,系統(tǒng)管理員怎么知道這一情況��?
答:災(zāi)備系統(tǒng)可以通過(guò)郵件或者短信貓通知用戶(hù)�����,HA的切換分為自動(dòng)切換和手動(dòng)切換���,管理員選擇自動(dòng)切換時(shí)����,要注意設(shè)置閥值的合理性,避免自動(dòng)切換至備端時(shí)��,備端系統(tǒng)對(duì)業(yè)務(wù)運(yùn)行的影響����,建議管理員在故障發(fā)生時(shí),確認(rèn)無(wú)法短時(shí)間內(nèi)進(jìn)行修復(fù)后,再進(jìn)行手動(dòng)切換����,確保大家知道業(yè)務(wù)系統(tǒng)運(yùn)行在備機(jī)上。
(3)我們學(xué)校建了存儲(chǔ)雙活�,這樣是否可以達(dá)到等保的相關(guān)要求,還有必要做災(zāi)備建設(shè)嗎�?
答:存儲(chǔ)雙活解決的是物理設(shè)備冗余,壞一個(gè)存儲(chǔ)不會(huì)影響業(yè)務(wù)使用��。但存儲(chǔ)雙活使用的是底層復(fù)制技術(shù)�����,主存儲(chǔ)如何保存數(shù)據(jù)��,備端存儲(chǔ)原樣復(fù)制���。當(dāng)出現(xiàn)邏輯錯(cuò)誤�����、誤刪除���、病毒攻擊等情況時(shí)��,主備存儲(chǔ)的錯(cuò)誤是一致的��,因此也就無(wú)法恢復(fù)���,所以需要英方強(qiáng)大的CDP技術(shù)實(shí)現(xiàn)數(shù)據(jù)的持續(xù)保護(hù),確?��?梢曰謴?fù)任意的歷史版本數(shù)據(jù)。
(4)建設(shè)跨校區(qū)的數(shù)據(jù)保護(hù)和業(yè)務(wù)容災(zāi)����,現(xiàn)在有哪些痛點(diǎn),怎么解決�?
答:跨校區(qū)的數(shù)據(jù)保護(hù)和業(yè)務(wù)容災(zāi)建設(shè),對(duì)于傳統(tǒng)的備份廠商和塊復(fù)制技術(shù)來(lái)說(shuō)難度很大�。首先要解決的就是異地?cái)?shù)據(jù)一致性的問(wèn)題,塊復(fù)制由于傳輸數(shù)據(jù)較多�,無(wú)法保證主備機(jī)房數(shù)據(jù)是否延時(shí),源端是否堆棧���,切換后數(shù)據(jù)是否可用等問(wèn)題��。即使切換至備端���,生產(chǎn)恢復(fù)后如何進(jìn)行數(shù)據(jù)的反向恢復(fù)也是比較頭疼的問(wèn)題����。
0531-67800866