数据运维的安全概述

目录

数据运维安全简介 数据安全的正确概念 数据安全的相关规范 数据安全的框架

传统数据系统的灾备系统 新兴分布式云数据系统的灾备 附录

数据运维安全简介

随着现代企业信息化进程的不断深人，一个现代化企业对各类企业信息系统的依赖性越来越强。在企业必须依靠各类信息系统运转的今天，存储于各信息系统后台的结构化数据或非结构化数据，就成为企业最为重要的资产。

然而，人为的操作错误，系统软件或应用软件的缺陷、硬件的损毁、电脑病毒、黑客攻击、自然灾难等等诸多因素都有可能影响计算机中数据的安全，这些存储于磁盘上的重要数据一旦发生丢失或错误，又没有相应的备份或容灾数据可用，那对于企业的打击将是毁灭性的，其损失甚至无可估量。

因数据安全潜在问题，而产生的一系列解决方案的系统组合，即称之为数据运维的安全解决方案，也是数据运维工作中的重中之重。其中我们主要关心的可以分为两大组成部分：

1、事前预防 2、事后灾备

概括性的来说，所谓数据运维的安全，即是通过详细周密的事前预防措施，以防止数据安全出现问题而影响公司运行；若发生数据安全问题时，依靠数据灾备的多级解决方案，减少因数据安全问题而造成的损失。

数据安全的正确概念

“知其然而知其所以然”，在了解数据运维的工作前，我们应先对数据安全的问题来源进行了解，正所谓“知己知彼百战不殆”，否则面对繁杂的数据安全问题，运维工作将难以开展。

这是一份权威数据安全机构的数据安全问题分类数据示意图，从如上数据可以看到，软件故障、人为错误、病毒影响等总计49%近一半儿的问题，均可归纳为直接人为因素，即只要在数据运维安全的基础工作中，做好预防工作，近一半儿的问题至少是可预防、处理的；

另外44%的硬件故障问题也属于不可避免的问题，但是只要通过双机热备、本地备份、CDP这些在线/近线的基础数据灾备保护手段，即可轻松解决44%的问题，两者合计97%的数据安全问题，基本处于安全可控范畴，这也是平日中数据运维工作中相当重要的组成部分，而另外7%小概率安全问题事件，则需要其他更加完善的数据安全方案予以解决，我们将在后面逐步进行介绍；

整体的数据安全运维系统建设不是一个简单的技术方案，它是一项系统工程，而且是一个相当庞大的工程，这样一个健全的系统投入是非常昂贵的，而且需要一个逐步建设的过程，其中牵扯的不仅仅是数据团队，其他技术支持力量（如IT运维，开发人员），对应的系统服务供应商，乃至业务部门的使用流程、使用习惯等等，这一系列需要长期培养锻炼才能达到理想的数据安全层次。

或许会有人问，为什么需要这么多部门合力来完成听起来并不复杂的一项任务呢，其实在我们的工作与生活中，这样的问题许多许多，比如因为分配了不当权限，业务人员误删了历史数据；开发人员不注意或程序升级覆盖重写了数据库；乃至IT运维人员不满企业直接将服务器中的硬盘拆走…… 不胜枚举，任何一个小细节小错误都会对数据安全产生莫大的影响，因此请大家务必注意，这不是一个小小的技术解决方案，而是一项非常严谨的系统工程。

请注意这张示意图，它清楚的表明了在出现数据安全问题时，其对应的数据灾备等级（即数据的完整性、恢复的速度等等）与对应的费用是成正比的，如前一段所言，如果希望做到全面的数据安全性，其综合花费或是天文数字，因此如何更加合理的分配资源，使数据运维工作能够达到一个较为理想的数据安全层面，需要详尽的需求分析及方案设计。

综上所述，我们总结一下运维工作中数据安全的正确理念： 1、事前预防远远胜于事后灾备弥补；

2、事后灾备弥补所耗费资源巨大，必须进行详尽的需求分析及方案设计； 3、数据安全并非是运维团队的工作，这是一项系统工程，需要全员参与；

数据安全的相关规范

事实上，有关数据安全的相应标准、规范，世界上已经有许多权威机构、标准企业给出了明确的信息，首先我们来了解一下，国际上Share组织发布的一个标准，我们通常称之为《Share78标准》，因其较为合理的等级区分，业界一直沿用至今：

Share 78 标准

0级：无异地备份数据

在0级容灾方案中，数据仅在本地进行备份，没有异地备份数据，未制定灾难恢复计划。这种方式虽然是成本最低的灾难恢复解决方案，但不具备真正灾难恢复能力。

在这种容灾方案中，最常用的是备份管理软件加磁带机的方式，随着近几年磁盘技术的发展，此处可供选择的磁带机有物理磁带机和虚拟磁带机。它是所有容灾方案的基础，从个人用户到企业级用户都广泛采用了这种方案。其优点是用户投资较少，技术实现简单。缺点是一旦本地发生毁灭性灾难，将丢失全部的本地备份数据，业务无法恢复。

1级：本地备份异地保存

第1级容灾方案是将关键数据备份到本地磁带介质上，然后送往异地保存，但异地没有可用的备份中心、备份数据处理系统和备份网络通信系统，未制定灾难恢复计划。灾难发生后，使用新的主机，利用异地数据备份介质(磁带)将数据恢复起来。

这种方案成本较低，运用本地备份管理软件，可以在本地发生毁灭性灾难后，恢复从异地运送过来的备份数据到本地，进行业务恢复。但难以管理，即很难知道什么数据在什么地方，恢复时间长短依赖于何时硬件平台能够被提供和准备好。以前被许多进行关键业务生产的大企业所广泛采用，作为异地容灾的手用户中采用较多。对于要求快速进行业务恢复和海量数据恢复的用户，这种方案是不能够被接受的。

2级：热备份站点备份 第2级容灾方案是将关键数据进行备份并存放到异地，制定相应灾难恢复计划，一旦发生灾难，利用热备份主机系统将数据恢复。它与1级容灾方案的区别在于异地有一个热备份站点，该站点有主机系统，平时利用异地的备份管理软件将运送到异地的数据备份介质(磁带)上的数据备份到主机系统。当灾难发生时可以快速接管应用，恢复生产。 由于有了热备中心，用户投资会增加，相应的管理人员也要增加。技术实现简单，利用异地的热备份系统，可以在本地发生毁灭性灾难后，快速地进行业务恢复。但这种容灾方案由于备份介质是采用交通运输方式送往异地，异地热备中心保存的数据是上一次备份的数据，可能会有几天甚至几周的数据丢失。这对于关键数据的容灾是不能容忍的。

3级：在线数据恢复 第3级容灾方案是通过网络将关键数据进行备份并存放至异地，制定相应灾难恢复计划，有备份中心，并配备部分数据处理系统及网络通信系统。该等级方案特点是用电子数据传输取代交通工具传输备份数据，从而提高了灾难恢复的速度。利用异地的备份管理软件将通过网络传送到异地的数据备份到主机系统。一旦灾难发生，需要的关键数据通过网络可迅速恢复，通过网络切换，关键应用恢复时间可降低到一天或小时级。这一等级方案由于备份站点要保证持续运行，对网络的要求较高，因此成本相应有所增加。

4级：定时数据备份 第4级容灾方案是在第3级容灾方案的基础上，利用备份管理软件自动通过通信网络将部分关键数据定时备份至异地，并制定相应的灾难恢复计划。一旦灾难发生，利用备份中已有资源及异地备份数据恢复关键业务的系统运行。

这一等级方案的特点是备份数据采用自动化的备份管理软件备份到异地，异地热备中心保存的数据是定时备份的数据，根据备份策略的不同，数据的丢失与恢复时间达到天或小时级。由于对备份管理软件设备和网络设备的要求较高，因此投人成本也会增加。但由于该级别备份的特点，业务恢复时间和数据的丢失量还不能满足关键行业对关键数据容灾的要求。

5级：实时数据备份

第5级容灾方案在前面几个级别的基础上使用了硬件的镜像技术和软件的数据复制技术，也就是说，可以实现在应用站点与备份站点的数据都被更新。数据在两个站点之间相互镜像，由远程异步提交来实现同步，因为关键应用使用了双重在线存储，所以在灾难发生时，仅仅

很小部分的数据被丢失，恢复的时间被降低到了分钟级或秒级。由于对存储系统和数据复制软件的要求较高，所需成本也大大增加。

这一等级的方案由于既能保证不影响当前交易的进行，又能实时复制交易产生的数据到异地，所以这一层次的方案是目前应用最广泛的一类，正因为如此，许多厂商都有基于自己产品的容灾解决方案。如存储厂商EMC等推出的基于智能存储服务器的数据远程拷贝;系统复制软件提供商VERITAS等提供的基于系统软件的数据远程复制;数据库厂商Oracle和Sybas。提供的数据库复制方案等。 6级：零数据丢失

第6级容灾方案是灾难恢复中最昂贵的方式，也是速度最快的恢复方式，它是灾难恢复的最高级别，利用专用的存储网络将关键数据同步镜像至备份中心，数据不仅在本地进行确认，而且需要在异地(备份)进行确认。因为，数据是镜像地写到两个站点，所以灾难发生时异地容灾系统保留了全部的数据，实现了零数据丢失。 这一方案在本地和远程的所有数据被更新的同时，利用了双重在线存储和完全的网络切换能力，不仅保证了数据的完全一致性，而且存储和网络等环境具备了应用的自动切换能力。一旦发生灾难，备份站点不仅有全部的数据，而且应用可以自动接管，实现零数据丢失的备份。通常在这两个系统中的光纤设备连接中还提供冗余通道，以备工作通道出现故障时能及时接替工作，当然由于对存储系统和存储系统专用网络的要求很高，用户的投资巨大。但在实际应用过程中，由于完全同步的方式对生产系统的运行效率会产生很大影响，所以适用于生产交易较少或非实时交易的关键数据系统，目前采用该级别容灾方案的用户还很少。

标准中给出了7个对应的数据灾备等级描述，随着级别的提升，数据安全的可靠性逐级提升，大家可以对此作为基础参考，看看自家的数据灾备规范达到了几级的安全程度；

除去国外的相关机构，国内的标准组织也有相应的数据安全/灾备标准，如：中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会联合发布的中华人民共和国国家标准《GB/T 20988—2007 信息安全技术信息系统灾难恢复规范》，因数据安全中有关灾备等级等相应内容与上述标准相近，我们不再过多讨论，下面一起来看一下该规范中数据安全的灾备资源恢复七要素：

一、备用基础设施

1、灾难备份中心选址与建设

2、备用的机房及工作辅助设施和生活设施

二、数据备份系统

1、数据备份范围与RPO 2、数据备份技术 3、数据备份线路

三、备用数据处理系统

1、数据处理能力

2、与生产系统的兼容性要求

3、平时的状态（处于就绪还是运行）

四、备用网络系统

1、备用网络通信设备系统与备用通信线路的选择 2、备用通信线路的使用状况

五、灾难恢复预案

明确灾难恢复预案的整体要求、制订过程的要求、教育、培训和演练要求、管理要求；

六、运行维护管理能力

1、运行维护管理组织架构 2、人员的数量和素质 3、运行维护管理制度 4、其他要求

七、技术支持能力

1、软件、硬件和网络等方面的技术支持要求 2、技术支持的组织架构

3、各类技术支持人员的数量和素质等

该份规范中已经明确标识了相应标准的技术规范，可以作为大家评定级别的参考，这份文档可以直接从相应官方网站中下载查阅；

（注释：详细内容可以参考附件《信息安全技术信息系统灾难恢复规范.pdf》）

数据安全的框架

前面主要介绍了有关数据安全宏观概念上的一些事物，帮助大家先从宏观概念中对数据安全有一个大致的概念和印象，进而首先树立一个正确的数据安全概念，后面我们将主要介绍一些相对具体概念上的数据安全运维工作内容。

这里主要分成两个主要组成部分进行描述，第一个部分为数据安全的预防措施，主要介绍一些数据安全的事前安全框架，第二个组成部分为数据安全中事后灾备的相关框架性内容，在该部分中，因计算机科学的发展，出现了区别于传统数据系统的新方案，如分布式私有云系统、公有云系统等，我们将在该组成部分中分为两个小节进行介绍，即分为传统数据系统的灾备技术与新兴分布式云数据系统的灾备技术。

事前预防性工作

限于篇幅原因，我们在本文中主要列举框架描述，细节内容不再列入文档中，大家可以通过大概的列表看到，如何通过事前预防将人为错误、病毒等常见问题尽最大限度消灭于萌芽阶段：

一．服务器安全 1.网络端口 2.系统用户 3.系统维护 二.网络安全

1.单位使用方面 2.家庭使用方面

3.linux系统网络方面 三.个人电脑 1.防火墙 2.操作系统 四.部门审核 1.网络接入 2.用户方面 3.工作组 五.数据库方面 1.内存配置规范 2表空间管理规范 3参数设置规范

4.ORACLE安全配置要求 4.1账号

4.1.1按用户分配帐号 4.1.2删除或锁定无关帐号

4.1.3SYSDBA用户的远程登录 4.1.4用户权限最小化

4.1.5使用ROLE管理对象的权限 4.1.6控制用户属性

4.1.7启用数据库字典保护 4.2口令

4.2.1静态口令认证的密码复杂度控制 4.2.2静态口令认证的密码生命周期 4.2.3静态口令认证的密码重复使用

4.2.4静态口令认证的连续登录失败的帐号锁定策略 4.2.5更改数据库默认帐号的密码 4.2.6操作系统级的帐户安全策略 5.日志

5.1.1登录日志功能 5.1.2DDL日志

5.1.3数据库审记 6.其他

6.1.1VPD与OLS 6.1.2Data Vault

6.1.3Listener设定密码保护 6.1.4设定信任IP集 6.1.5加密网络传输

6.1.6断开超时的空闲远程连接

6.1.7DBA组中的操作系统用户数量 7.数据分层存放

8.数据库数据信息加密 9.视图过滤方式

10.对外数据审核机制

（注释：详细内容可以参考附件《数据安全.docx》）

传统数据系统的灾备系统

通常而言，一套较为完整的数据灾备系统包含如下组成部分：

1、本机磁盘RAID系统

在本机硬件环境中，通过构建RAID磁盘系统，提升本机硬件的基础防御能力，RAID 5等技术组成方案具备较为理想的性能价格比；

2、本机数据库备份系统

根据本机的数据库服务系统，使用内建或相应的扩展技术，增加本机内部的数据备份，如Oracle数据库系统的Data Guard，GoldenGate和CDP技术等；

3、本地备份服务器

于本地（同机房）配备的主备数据服务器系统，用于主应用/数据服务器出现故障时切换或恢复数据使用（核心为应用接管，辅助数据备份）；

4、本地磁带（虚拟）备份系统

通过SAN等高速网络，与磁带库（或虚拟磁带库）连接组成的大数据量备份系统。（这里需要额外说明的是，尽管物理磁带库以其存储容量大、便于离线保存、价格低廉等优势，一直占据着数据备份领域的主导地位，是目前能够解决备份与灾难性数据恢复的最经济的解决方案之一。但是，物理磁带库同时也存在备份恢复能力差、备份失效率高、无容错方式、机械部分可靠性低、对环境要求苛刻等天然的局限性，已经在制约着数据可靠性及可用性的进一步提升。虚拟带库是指使用基于磁盘的存储（而非磁带）介质，仿真磁带库功能的存储设备，其性能相较传统磁带库具有明显优势，这里的取舍需要考虑成本问题。）

5、同城容灾中心

同样通过高速存储网络等，在同机房较近的地方布置的备份服务器设施，通常业界将其空间距离定位于20公里范围，即当主数据安全系统出现毁灭性灾难时（如主机房出现坍塌

等事件导致主系统及相应数据全部毁灭，可以通过较近距离内的备份服务器，通过物理方式进行最快速度的恢复或应用切换）；

6、异地灾备中心

结合上述近地的数据备份系统，业界通常采用的方案为【两地三中心】，其中两地是指同城、异地，三中心是指生产中心、同城容灾中心、异地容灾中心，即当出现人力不可抗拒的风险因素发生时（如地震、水灾等），异地容灾中心可提供较为安全的容错方案。

对于具体采用何种方案，还需要根据企业的自身需求及资源情况进行具体分析，通过拆分、组合等方法形成专属自身的一整套数据安全解决方案。

了解了如上大致的整体框架，我们还需要了解一些安全的细节内容，主要需要注意的有： 1、数据备份类型 2、数据备份窗口

我们首先了解一下有关数据备份的类型：

1. 全备份

每次备份定义的所有数据，优点是恢复快，缺点是备份数据量大，数据 多时可能做一次全备份需很长时间；

2. 增量备份

备份自上一次备份以来更新的所有数据，其优点是每次备份的数据量少， 缺点是恢复时需要全备份及多份增量备份；

3. 差分备份

备份自上一次全备份以来更新的所有数据，其优缺点介于上两者之间；

作为灾备中的核心，数据备份操作是必须的，在如上主要的备份分类中，实际上并没有哪一种更好的说法，在实际运用中，我们通常需要根据不同的应用场景、技术方案，组合使用如上的备份方式。

为何这样说呢，我们前面有过简单的介绍，数据安全是一个相当庞大的系统工程，并且存在资源成本问题，在数据安全0级安全，到从数据级灾备向应用级灾备过渡（即第七级灾备级别）的过程中，我们需要根据业务系统情况进行具体分析，并按需划分灾备等级。

举例，即使在同一个单位或者部门内，也会有存在多个应用系统的情况。这些信息系统的重要性、复杂度都各不相同，对应的灾备等级也不相同。我们需要根据业务系统的实际需求来逐个确定灾备等级，比如最新药品的分析数据，已停产产品的分析数据，其备份级别就完全不同。一般而言，“2/8原则”在数据安全中也是比较常见的，也就是20%的应用是关键和核心的，需要应用级灾备，而80%的应用是非关键的，需要的只是数据级灾备。在实际的数据安全运维方案建设中，这种应用级和数据级混合的建设模式是相当典型也是最为普遍的。

基于如上描述，在应用不同的数据备份类型时，我们通常还需要考虑数据备份的窗口问题，所谓备份窗口，是指每次备份的间隔时间，这主要取决于每次备份间隔能够容忍丢失的数据量、每次备份的数据量和备份的速度。理论上，备份的间隔越短越好，但每次备份总需一定的时间，而且备份总会或多或少地影响系统的正常处理性能。因而，对一些关键数据，可预先定义备份窗口大小，再根据备份数据量计算所需的备份速度，若备份速度不能满足要求，则可考虑使用更快速的硬件配置。

通常考量数据备份窗口时的因素包括： 1． 备份数据量及数据压缩比

2． 根据控制器类型推算出单驱动器的备份速度 3． 确定必需的备份窗口

4． 计算出单驱动器所需备份时间 5． 确定所需的驱动器数目

完成需求分析时，我们可以通过哪些数据重要，哪些其次，其中业务需求中对数据备份的类型需求，以及对应的数据备份时间窗口需求，进而推断出相应的基础数据灾备硬件需求，通过对需求的明晰，即可计算出完整的数据灾备系统方案。

新兴分布式云数据系统的灾备

1、本地分布式数据系统

随着数据量的增大及计算复杂性的增加，传统数据中心在性能及成本因素上已经不能满足许多企业的需求了，因此分布式系统应运而生，如目前在广大互联网企业普遍应用的Hadoop分布式系统。

分布式系统中的分布式数据库是用计算机网络将物理上分散的多个数据库单元连接起来组成的一个逻辑上统一的数据库。每个被连接起来的数据库单元称为站点或节点。分布式数据库有一个统一的数据库管理系统来进行管理，称为分布式数据库管理系统。分布式数据库的基本特点包括：物理分布性、逻辑整体性和站点自治性。从这三个基本特点还可以导出的其它特点有：数据分布透明性、按既定协议达成共识的机制、适当的数据冗余度和事务管理的分布性。

该系统具有很多优势，如：首先，它降低了数据传送代价，因为大多数的对数据库的访问操作都是针对局部数据库的，而不是对其他位置的数据库访问；其次，系统的可靠性提高了很多，因为当网络出现故障时，仍然允许对局部数据库的操作，而且一个位置的故障不影响其他位置的处理工作，只有当访问出现故障位置的数据时，在某种程度上才受影响；第三，便于系统的扩充，增加一个新的局部数据库，或在某个位置扩充一台适当的小型计算机，都很容易实现。

基于其分布式系统的原理，以Hadoop而言，其HDFS系统自建数据备份机制，即任一数据均会分为三块（默认配置，可调整）分散存储于分布式集群中的三台机器中，在日常使用中，任一台机器、硬盘出现问题，均不会影响最终数据的使用，即该系统的特性使得本地备份系统显得“多余”，无须进行额外高速存储网络或备份系统的设立，即可满足本地的数据基础备份工作。

2、公有云数据系统

随着云技术的发展与进步，公有云技术也逐步进入到数据安全/灾备技术方案中，顾名思义，公有云即提供云服务的系统，与传统专用网络连接的专用系统相比，公有云具备很多优点，如分散在各地的集群具备出色的容错性，几乎不可能发生系统断线问题，同时通过公用互联网，其对应的网络容错性也有提升，而成本也进一步降低，另通常公有云由专业的云服务商进行技术支持，因此上对应系统的运维工作大幅降低，系统可靠性大幅提升，对于初创企业或IT技术薄弱的企业而言，可以快速、低成本的应用，是其最大优势。

在应用中，可以通过采购多家云服务商的公有云服务，通过灾备需求及价格对比，开发相应的软件系统，更智能的选择更低成本的云服务，将低成本、可靠性等优势注入灾备系统中，使得企业获得更加可靠的数据灾备服务。

当然，凡事不可能尽善尽美，如采用公有云服务后，企业自身的数据将通过共有的互联网数据线路，将数据传送至公有云系统中，其对应的数据泄露等隐患依然存在，行业自律与法律法规的健全依然是该系统继续发展的重要支撑。

3、新技术的应用

这里需要提醒的是，虽然新技术为我们提供了一些基础便利，但不代表可以完全相信并信赖新技术的完美性，如分布式数据系统，尽管其已经天然内建了数据的备份机制，但是需要明晰的是，该数据系统依然存在数据丢失的可能，因此上在数据安全系统中，依然要考虑针对该数据系统的备份机制，如数据非常珍贵，那么对应的本地灾备中心、异地灾备中心等，可能依然是不可或缺的。

附录：

本文主要针对数据运维过程中相应安全的大致框架，进行了基础讲解，一些具体的技术执行细节，可以参考附件中的相关技术、技术文档了解，对应技术文档中包含详细的执行建议，如Oracle数据库的备份指令、灾备恢复的流程执行、云服务测算的数学原理及计算方法等等。

1、《数据安全.docx》

2、《信息安全技术信息系统灾难恢复规范.pdf》 3、《Disaster Recovery Solution.pdf》

4、《Getting Started With Disaster Recovery.pdf》

5、《Disaster Recovery to the Oracle Cloud.pdf》

6、《StorageTek Enterprise Library Software灾难恢复和异地数据管理指南.pdf》 7、《金融数据中心的数据安全解决方案.pdf》 8、《Oracle 数据库备份与恢复策略.pdf》

9、《新的基于云计算环境的数据容灾策略.pdf》 10、《基于云计算的数据中心容灾系统的建设.pdf》