教育整体解决方案-构筑一个安全的数字校园网.ppt

1、构筑一个安全的数字校园网,2,主题,Presentation Identifier Goes Here,3,数字校园网在教育事业的发展中扮演着重要角色,教育发展、科学技术、知识创新影响国家综合实力和国际竞争力的提升 信息技术推动着教育领域的深层次改革和发展 校园网在教学、科研、管理领域发挥着至关重要的作用 校园网提供了获取知识的广阔空间,Presentation Identifier Goes Here,4,校园网络承载越来越多的应用,教学、科研 图书馆、多媒体、远程教育、实验室,增值应用 一卡通 消费、考勤、门禁、借书、,办公管理 学校办公自动化、学生管理、科研管理,Presentation

2、 Identifier Goes Here,5,校园网应用特点,教学、科研 图书馆、多媒体、远程教育、实验室,增值应用 一卡通 消费、考勤、门禁、借书、,办公管理 学校办公自动化、学生管理、科研管理,数据量大、增长快，关键数据 7X24小时运行， 访问控制、安全防护,数据量一般、但十分关键 7X24小时运行， 访问控制、安全防护,数据量一般，但十分关键 7X24小时运行， 访问控制、安全防护,Presentation Identifier Goes Here,6,问题的引入:开放的网络与校园网共存,教学与图书馆 学校管理 增值应用,学生宿舍楼,教工宿舍,学校科研实验室,CERNET,分校区或其

3、他教育机构,教学网络,INTERNET,Presentation Identifier Goes Here,7,教育行业的IT 管理需求分析,信息安全性 需要集成的、自动化的端点安全防护 需要全面的校园IT资产管理 遵从性 信息可用性 对应用系统做定期的数据备份以满足恢复的需要 提高关键应用系统的高可用，满足7*24 需要 对所有存储资源进行优化管理，提高可用性 校园异地容灾,8,主题,Presentation Identifier Goes Here,9,终端安全建设四步走,防病毒、反间谍软件等端点保护措施,Symantec Endpoint Protection,桌面管理,Symantec

4、 Altiris Client Management Suite,网络准入控制,Symantec Network Access Control,桌面备份与快速恢复,Backup Exec System Recovery,Presentation Identifier Goes Here,10,多样的设备，多样的攻击 操作终端的多样性 : 台式机、移动电脑、 手持设备 恶意威胁的多样性 : 病毒, 蠕虫, 木马、恶意软件 终端系统是基础架构中的重中之重 种类、数量繁多，接入方式各异 维护、管理工作琐碎,Windows Smartphone,Symbian Device,Laptop PC,Des

5、ktop PC,Crimeware,SpyWare,Worm,Virus,端点安全：安全的起点,Presentation Identifier Goes Here,11,校园网办公网终端安全管理问题,教学与图书馆 学校管理 增值应用,学生宿舍楼,教工宿舍,学校科研实验室,CERNET,分校或其他教育机构,互联网用户,教学网络,无线局域网成为教育界热点，能够提高工作效率，但网络将暴露在无线电波中； 制度无法保证每个客户端上的防护软件始终正常运行、及时更新； 补丁程序的及时更新无法保证，即使已知的漏洞也没能堵住； 不同终端访问资源难于控制 透过Internet， 即时聊天（MSN、QQ）携带病毒、

6、木马程序 BT下载无限占用网络资源 其它可能带病毒的电脑随意连入网络,Presentation Identifier Goes Here,12,只有病毒防护是不够的,用户终端安全设置是否符合校园信息安全策略 系统漏洞与补丁缺失 病毒等终端安全软件缺失 病毒定义未更新 空密码与默认共享 用户终端网络行为是否合法 已感染蠕虫病毒的移动终端 内网外联 网络滥用：海量下载，游戏，闲聊 恶意程序：Arp欺骗,Presentation Identifier Goes Here,13,SEP+SNAC:提供全方位的端点安全防护,Symantec 端点安全管理器,Presentation Identifier

7、 Goes Here,14,14,终端防护Endpoint Protection,终端遵从Endpoint Compliance,Solution,Symantec重新定义终端安全,Symantec 终端安全,Key Products,Symantec Endpoint Protection 11.0,Definition,Endpoint Protection proactively protects laptops, desktops and servers from known and unknown malware such as viruses, worms, Trojans, sp

8、yware, adware and rootkits by combining these capabilities: 防病毒Antivirus 防间谍软件Antispyware 桌面防火墙Desktop firewall 入侵防护Intrusion Prevention (Host & Network) 设备和应用控制Device & Application Control,Endpoint Compliance 对终端接入网络进行安全控制 持续的终端完整性检查 集中的终端遵充策略管理 自动修复 基于主机的访问控制策略强制 监控和报告 系统配置检查、修复和强制,* SNAC-ready,Sy

9、mantec Network Access Control 11.0,Presentation Identifier Goes Here,15,15,SEP 提供当前端点所需的所有技术,防病毒,防间谍软件,防火墙,入侵防护,设备应用控制,网络访问控制,Presentation Identifier Goes Here,16,SNAC:将威胁防御在网络之外,Network Admission/Access Control ( NAC )核心思想：屏蔽一切不安全的设备和人员接入网络，或者规范用户接入网络的行为，从而铲除网络威胁的源头，避免事后处理的高额成本,Presentation Identif

10、ier Goes Here,17,SNAC-端点策略遵从流程,Presentation Identifier Goes Here,18,SNAC无所不在,移动用户,SSL VPN 应需NAC,无线 应需和 802.1x NAC,移动用户或过客,移动用户,IPSec VPN,以太网 802.1x NAC,以太网 DHCP NAC,Presentation Identifier Goes Here,19,策略决策点,策略管理,接入设备,已管理的 台式机,未管理的,已管理的移动用户,策略强制点,远程接入 SSL & IPsec,认证服务 - RADIUS,局域网交换机 & 无线,全面的Symante

11、c 安全管理架构,Symantec 管理服务器 (分布式, 高弹性, 与目录技术集成),LAN Enforcer,无法管理的,端点 - PFW,IP地址服务 - DHCP,透明网关 Gig-E,Cisco NAC,Gateway Enforcer,Self Enforcer,DHCP Enforcer,On-Demand Enforcer,PDA,Presentation Identifier Goes Here,20,数字校园网IT设备管理现状,校园网的IT设备都是从哪里购得的？在维修期内吗？ 每台PC上都装了什么版本的软件？ 软件升级怎么实现？ PC机有问题如何解决？ 定时分发了补丁程序吗

12、？,良好的管理是安全的基础！,Presentation Identifier Goes Here,21,沒有管理就沒有效率，IT也一樣,IT人员不是“救火队”，不仅是出了问题再解决问题，校园需要主动的、可预知的、及时的、有统计的管理如何提升现有IT人员给用户的服务支援水准（SLA)，提升解决问题的效率，减少响应时间，提供流程化的服务一个管理良好的客户端才是安全的客户端！,Presentation Identifier Goes Here,22,Symantec重新定义全新的IT生命周期管理,Presentation Identifier Goes Here,23,全新的IT管理带来全新的变化,

13、节省IT管理人员的时间 提高解决问题的效率 提高IT管理质量 更高效的IT投资汇报,Presentation Identifier Goes Here,24,不仅仅是 Windows 平台解决方案,Windows Servers 2003, 2000, NT Windows Desktops XP, 2000, NT, ME, 98, 95 Red Hat 9, 8, 7.3, 7.2, 6.x7.0 Red Hat Advanced Server 3.0, 2.1 United Linux 1.0 SuSE 8.2, 8.1 SuSE Enterprise Server 8 Pocket P

14、C 2000, 2003, Windows CE 3.0 (Processors: ARM, StrongARM, MIPS, SH3, or PXA) Palm 2.0 or later (Handspring, Qualcomm, Sony, Symbol Technologies, TRG Products, Palm Computing) RIM/Blackberry Solaris SPARC 9, 8, 7, 2.6, 2.51 Solaris X86 8, 7 HP-UX 11.0, 11i, 10.0110.20 AIX 5.2, 5.1, 4.3.3, 4.1-4.3.2 S

15、GI Irix 6.06.5 Macintosh OS 8.6 or later (iMac, iBook, and G3 or G4 PowerBooks/PowerMacs) Mandrake Linux 9.2, 9.1, 9.0 Network Devices s indicate legacy support,Presentation Identifier Goes Here,25,支持不同种类的平台 .,客户端和流动用户管理,资产管理,Network 资产 部署Network DevicesSite 监控,Windows 资产部署补丁管理软件分发打包工具应用软件管理远程控制Wind

16、ows 网管服务器监控 备份与修复,UNIX/Linux 资产 部署 补丁管理2软件分发Windows 网管3服务器监控备份与修复2,Macintosh 资产补丁管理2 软件分发2,Windows 资产 部署 补丁管理 软件分发 打包工具 应用软件管理 远程控制 Windows 网管 个性化迁移 应用测量 备份与修复,Handheld 资产 部署软件分发2打包工具,资产 应用软件 固定资产 条形码 合同管理 TCO管理 帮助台,服务器管理,Presentation Identifier Goes Here,26,PowerPoint Style Guide,26,Integration Com

17、ponent,26,IT Assets Windows, Linux, Mac, Mobile & Network Devices,Altiris与SEP的集成,集成组件IC 特性： 安装和迁移报告 综合任务执行 客户端健壮性检查,Presentation Identifier Goes Here,27,27,Symantec Windows Protection Solution,Presentation Identifier Goes Here,28,系统恢复 全新的自动方法,Award Modular BIOS v6.473, an Energy Star AllyCopyright C

18、 1994-2003, Award Software Inc.Pentium 4 Centrino Mobile ProcessorMemory Test: 1024MB OKAward Plug and Play BIOS Extension v1.0ACopyright C 1995, Award Software Inc.Detecting primary master hard disk.FAILEDDevice I/O error: Unable to read sector 0 on primary hard disk Press any key to reboot.Press D

19、EL to enter SETUP2/16/2008 W3HU4-877FH4-08,Presentation Identifier Goes Here,29,防备系统崩溃： BESR快速恢复系统,Symantec Windows Protection Solution,29,Symantec Windows Protection Solution,阻止威胁进入,虽然系统崩溃的几率很小，一旦发生，也需要迅速的恢复的方法，来保障业务的持续性,30,还原系统 旧的手工方式,修复或购买新硬件,重新安装操作系统,重新安装硬件驱动,重新安装应用程序,重新配置应用程序/系统设置,还原文件/数据,测试,上线

20、,可能需要几天/星期,Presentation Identifier Goes Here,31,Symantec Windows Protection Solution,Symantec BESR,BESR可以 在十几分钟内恢复整个系统 在线、增量备份系统 恢复到不同硬件 支持所有Windows（安腾除外） 支持虚拟机 统一、可定制的SRD,31,Symantec Windows Protection Solution,Presentation Identifier Goes Here,32,Symantec Windows Protection Solution,BESR 系统恢复,32,P

21、resentation Identifier Goes Here,33,Symantec端点安全管理方案,Symantec 端点安全管理方案,文件和文件夹恢复,边界准入与隔离,Presentation Identifier Goes Here,34,校园网信息可用性建设,关键系统数据备份与恢复,关键应用高可用，存储资源优化,数据备份与恢复集群管理和存储管理园区异地容灾,Presentation Identifier Goes Here,35,多种技术保障数据安全,Presentation Identifier Goes Here,36,数据保护是数据管理的前提,完整的数据保护系统应该是多种技术

22、的综合应用数据备份是最后一道防线 由于逻辑错误引起的数据丢失 数据丢失后很久才发现的情况数据保护是IT系统的基本设施之一信息系统灾难恢复规范-GB/T 20988-2007（原重要信息系统灾难恢复指南）,Presentation Identifier Goes Here,37,Symantec全面的数据可用性方案,强大的数据备份解决方案：Backup Exec (BE) / NetBackup (NBU)52% LAN 备份解决方案 SAN 备份解决方案（LAN-FREE） 数据保护增值方案一：服务器灾难恢复解决方案 BMR + NBU BESR + NBU 或 BESR + Backup E

23、xec 本地集群方案 Symantec VCS 数据高可用与容灾解决方案 Symantec Storage Foundation HA/Volume Replicator 分校数据保护解决方案（窄带容灾方案） Symantec Puredisk,Presentation Identifier Goes Here,38,最大的市场份额还意味着,强大的数据恢复经验和技术团队 （数据备份强调的是恢复经验，而不仅是数据备份）； 特大型项目的实施经验和现场复杂情况的应对能力； 产品方案能覆盖企业现在与将来的发展 广泛的兼容性给客户项目规划带来最大灵活性 众多的合作伙伴和原厂商支持 每年数以万计的用户反馈

24、是之成为最好用的备份软件 适合各种规模的校园网，扩展性非常好 能随着校园IT 架构的发展灵活变迁,38,Presentation Identifier Goes Here,39,NBU/BE:提供数据和系统的双重保护,描述： 企业级的数据保护方案。能够覆盖从桌面到数据中心以及UNIX, Windows, Linux,Vmware环境的支持 优势： 为数据保护和容灾提供单一、集中的管理工具 高级管理、报告、预警和排错特性 广泛的支持主流操作系统、数据库和存储硬件 充分利用高级的磁盘保护技术，同时保护用户在磁带上的投资,Presentation Identifier Goes Here,40,40

25、,Snapshots/ Replication,核 心 NetBackup,NetBackup 代理 & 选件,Enterprise Vault,Backup Reporter,Snapshot Client,NetBackup RealTime Protection,NetBackup PureDisk,Enterprise Disk Options,Core NetBackup,NetBackup Vault,Veritas NetBackup 平 台,Netbackup：下一代数据保护平台,Presentation Identifier Goes Here,41,灵活的三层架构满足平台扩

26、展的需求,41,Presentation Identifier Goes Here,42,42,跨平台支持多种数据库,Presentation Identifier Goes Here,43,11,广泛支持多种磁盘：充分发挥磁盘的功能,Presentation Identifier Goes Here,44,复杂环境需要全图形化的管理界面,44,备份策略,离线介质 容灾,快照保护,目录保护,服务器保护,业界唯一使用一个统一界面，实现所有备份行为管理，唯一被称为“数据保护平台”的软件；,Presentation Identifier Goes Here,45,Web方式更灵活的扩展备份管理操作,

27、Alert,自动监测 基于策略的阈值 多种通知方式 邮件, SNMP, 系统日志,预警,- 集中查看所有的任务 - 通过我的门户来订制快捷方式 - 能够从一个服务器深入查看它所连接的设备和服务,NetBackup Operations Manager,Presentation Identifier Goes Here,46,灵活的策略设定：基于日历策略调度,46,Presentation Identifier Goes Here,47,47,数据库&应用保护,减少风险 & 复杂程度：使用NetBackup对应代理，完全不需要自行编写脚本 集中管理：对备份和恢复数据库和应用程序使用一个管理平台,

28、NetBackup Database Agent,NetBackup Master/ Media Server,Database or Logs,Tape, optical or disk media,API,Presentation Identifier Goes Here,48,图形化的数据库备份,48,Presentation Identifier Goes Here,49,集成诊断工具，简化排错,Presentation Identifier Goes Here,50,关键数字校园信息系统要求7X24连续运行,数据备份和恢复保证了故障后的数据可恢复性 但是关键系统需要采用更多的技术缩短

29、恢复时间，进一步提高服务质量,51,VERITAS Storage Foundation 的市场地位,1989年接受SUN公司的委托开发了第一个版本的卷管理(logical volume manager) 业内第一款真正意义上的企业级卷管理软件 2000年 HP在HP-UX 11.0开始OEM Symantec卷管理软件 目前全系列OEM Symantec文件系统，JFS=VERITAS File System 2000年 Microsoft在Windows平台开始使用Symantec卷管理软件(Microsoft Logical Disk Manager) 目前在Windows企业平台的占有

30、率为100% 2001年与Oracle合作开发出ODM API 2003年成为IBM IGS容灾解决方案全球合作伙伴 2005年，IBM在P系列OEM Symantec HA管理软件(LINUX),本地, 同城, 广域网切换,基于主机的存储管理,SF HA/DR 是什么 ?,SF HA/DR,卷管理 多路径管理 快照 复制,App,应用系统监控 本地切换 与复制技术集成 灾备切换,Storage Foundation HA/DR,Storage Foundation (SF),Veritas Cluster Server (VCS),52,Intro to Storage Foundation

31、 & High Availability Solutions for Windows,Presentation Identifier Goes Here,53,Symantec 存储管理和集群方案为校园关键系统保驾护航,Storage Foundation：存储管理方案 消除单点故障 实现零停机，零管理 存储资源配置变更 节省存储成本VERITAS Cluster Server：集群方案 减少服务器成本 降低容灾演习复杂性 实现灾难快速恢复,Presentation Identifier Goes Here,54,Storage Foundation运行的位置,存储资源,应用,数据库,OS,文

32、件系统,卷管理器,硬件驱动,VERTAS Storage Foundation,FS,VM,高级存储服务功能,原来LVM和FS仍然可用 资源占用约3%,Presentation Identifier Goes Here,55,一. 跨阵列数据镜像：消除单点故障,跨越两个任意品牌的阵列做数据镜像卷 数据同时写向镜像卷的两个LUN所在的阵列。 可以指定读数据的阵列 其中一个Lun有问题，另一个Lun继续工作，没有业务中断 当故障恢复后，很快增量同步。 智能存储空间扩展 两个阵列可以在SAN的距离之内分布两地,健壮的存储部署,服务器,双击双柜，提高关键系统的可靠性,现有系统的隐患 双机单柜构成传统的

33、双机高可用方案 单个的磁盘阵列是系统的单点 物理盘阵的损坏会导致业务的中断 优化方案 引入另一磁盘阵列 实施盘阵间的镜像 消除存储单点隐患,VERITAS Storage Foundation HA,Presentation Identifier Goes Here,57,二. 跨阵列数据快照：直接降低存储硬件成本,业务数据50TB, 3个数据快照是150TB 硬件成本：50TB*10万/TB+150TB*10万/TBRMB2000万 如果快照采用中端阵列:5万/TB, 成本是：50TB*10万/TB+150TB*5万/TBRMB1250万 节省：RMB750万，约37.5% 电力节省,生产服

34、务器,其他分析服务器,1.将快照卷加入生产卷同步 2. 分离快照 3. 快照备用于快速恢复或用于备份、分析、测试 4. 周期性同步回去,生产,Presentation Identifier Goes Here,58,三.数据动态分级存储：直接降低存储成本,业务数据根据时间长短或其它因素分级 级别高的数据存放到高端存储上 级别低的数据存放到低端的存储硬件上 所有数据都在线可以访问 根据策略动态调整数据的级别 在线迁移 存储成本降低，电力节省,Presentation Identifier Goes Here,59,四. 统一的路径冗余:降低存储采购成本,采用SF/路径冗余功能 允许EMC和HDS

35、共存于一个关键业务系统 消除硬件锁定 实现业务系统之间存储资源共享 最终降低硬件采购成本,每个业务系统采用单一品牌的存储硬件 管理简单 其它技术问题（可靠性）？,EMC,HDS,Presentation Identifier Goes Here,60,五. 在线存储部署变更：提高存储使用率,业务系统的存储资源池,APP1,APP2,EMC,FS/DB,LUN,FS/DB,600GB,500GB,逻辑存储结构在线调整对存储容量再分配推迟购买计划降低总拥有成本,Presentation Identifier Goes Here,61,SAN,SF 管理服务控制台,Storage Foundatio

36、n,企业存储池,七. 集中管理服务：降低管理复杂性,Presentation Identifier Goes Here,62,可用的处理能力: 50%,83%,VCS 集群方案：N+1架构，减少服务器成本,一台备份服务器，减少成本 每个集群可以多至 32 nodes 一个集群里可以混合不同档次的服务器,3个应用原来需要6服务器，现在只需要4台，节省33%(电力、空间）,Presentation Identifier Goes Here,63,VCS: 容灾防火演习,提高可靠性,容灾系统需要周期性测试 传统的测试需要停机且复杂 从VCS视图中自动化地测试数据的可用性 确保灾难时的可恢复性 提高D

37、R的可靠性,VCS,Storage Snapshot,Primary Site,Secondary Site,Prod SG,Replication,Initiate Fire Drill,Mount Snapshot,Test Application,Reset,Presentation Identifier Goes Here,64,SF/CFS:服务器数据共享,减少停机时间,SAN,应用服务,备用机,数据,主机A,主机B,import,import,采用SF/CFS：两台或多台服务器同时存取同一存储空间： （1）应用停掉（2）在备用服务器上启动应用支持并行存取的应用比NFS更高性能将故障

38、系统切换时间强至最低,普通的应用切换过程： （1）应用停掉 （2）存储Deport （3）存储在备用服务器上Import（4）启动应用,Presentation Identifier Goes Here,65,V I R T U A L I Z A T I O N,校园关键系统的集群与存储管理整体架构,SYMANTEC方案提供业界最先进的技术解决用户的问题,SAN交换机,共享存储池,热备机,Presentation Identifier Goes Here,66,校园容灾解决方案（1）,校园网IP 网络 GAB/LLT over Ethernet,VERITAS Volume,基于SAN 校园

39、1主机房，校园2容灾机房 将一对阵列和主机移到容灾机房 集群逻辑不需要任何变动 不需要增加任何软件 此方案使用于任何有相似需求的应用环境,校园1 Storage Foundation HA,校园2 Storage Foundation HA,Presentation Identifier Goes Here,67,校园容灾解决方案（2）,校园1 Storage foundation HA VVR模块,校园网IP 网络 GAB/LLT over Ethernet,VERITAS Volume Replicator,基于IP 校园1主机房，校园2容灾机房 将一对阵列和主机移到容灾机房 需要添加VV

40、R在IP上复制数据 集群逻辑不需要任何变动此方案适应任何距离的容灾 使用于任何相似要求的环境,校园2 Storage foundation HA VVR模块,Presentation Identifier Goes Here,68,同城灾难恢复 (MAN),广域灾难恢复 (WAN),VCS:支持本地和异地园区集群,应用级容灾,本地集群 (LAN),Remote Mirroring,Replication,VERITAS Cluster Server,+ Global Cluster Option,VERITAS Storage Foundation,+ Volume Replicator Op

41、tion,Remote Mirror, SAN Attached, Fibre,Replication, IP, DWDM, Escon,License Key Enabled,License Key Enabled,Presentation Identifier Goes Here,69,Symantec为不同校区之间提供灵活的容灾方案,适应SAN或IP基础设施架构 支持任何距离的数据复制 集群软件支持本地或远程应用切换 复制技术支持任何厂家的磁盘阵列 完整的容灾自动测试技术,70,SF成为关键业务系统的标准,用户环境说明： 前置业务环境 18台服务器部署Storage Foundation

42、 OS类型 HP-UX 11.11AIX5.1 AIX5.3,客户获得的价值： 解决存储异构导致的兼容性问题 实现数据加固 大大缩短停机时间 减少了运维成本 在线业务迁移,Presentation Identifier Goes Here,71,同城灾难恢复 (MAN),广域灾难恢复 (WAN),统一的集群解决方案 - 简化复杂性,本地集群 (LAN),Remote Mirroring,Replication,VERITAS Cluster Server,+ Global Cluster Option,VERITAS Storage Foundation,+ Volume Replicator Option,Remote Mirror, SAN Attached, Fibre,Replication, IP, DWDM, Escon,License Key Enabled,License Key Enabled,72,主题,Presentation Identifier Goes Here,73,Symantec安全方案在教育行业的广泛应用,Presentation Identifier Goes Here,74,赛门铁克存储方案在教育行业的广泛应用,Symantec众多客户的选择！,SYMANTEC,