《数据存储安全技术》PPT课件.ppt

数据存储安全技术 一、什么是DAS、NAS和SAN 1、DAS(Direct Attached Storage):直接连接存储 以存储共享为基本目的， 存储设备可以通过各种不 同的方式直接连接到主机 上，包括内置或外联在单 台主机上的存储设备。 数据存储安全技术 DAS的适用环境 l服务器在地理分布上很分散，通过SAN或 NAS在它们之间进行互连非常困难时 l存储系统必须被直接连接到应用服务器； l包括许多数据库应用和应用服务器在内的 应用，它们需要直接连接到存储器上，群 件应用和一些邮件服务也包括在内。 数据存储安全技术 DAS的实现方式 存储设备可以通过不同的方式直接连接到主机 上，这些方式包括： 1、串行存储结构SSA（Serial Storage Architecture) 一种高性能的开放式存储接口，速度可达 160Mbps,采用串行连接技术，设备间的距离范围 从15米到10公里。作为SCSI结构的替代技术而提 出，但并未被广泛接受。 数据存储安全技术 2、通用串行总线（USB) 由于USB接口的灵活性，许多存储设备都采用了USB 接口，包括CD-R光驱、USB硬盘、USB磁带机等。 l目前USB接口的两个版本：V1.1和V2.0 V1.1传输速度在1.5Mbps至12Mbps之间， V2.0传输 速度可达480Mbps。 l采用4线连接，2线用于数据传输，2线用于传递直流 5V电源 l采用串行传输方式 l设备与设备或设备与集线器间的距离为35米，更长 距离可以通过集线器的串级连接实现。 数据存储安全技术 USB连接图示： 3、火线 火线最早由苹果公司开发，目的是希望利用更 快更灵活的串行技术实现多台外部设备的连接 。与USB相比，火线的最大差别在于设备间可 以实现对等通信，火线的连接速度可达到 400Mbps，采用6线连接，其中4线用于数据传 输，2线用于传递直流5V电源。采用串行传输 方式，连接距离为4.5米，通过中继器可延长 至70米以上。 数据存储安全技术 火线网络结构图示： 4、高性能并行接口（HiPPI） l高性能并行接口主要用于高速存储设备与大型主机与 超级计算机之间的连接。由于昂贵的价格，应用并不 十分广泛。 HiPPI的特性： l传输速度可达1600Mbps,6400Mbps的超级HiPPI正在 开发中。 l采用32（800Mbps)位或64(1.6Gbps)位并行传输 l标准电缆的连接距离为25米，通过光纤延长器可延长 至10公里。 数据存储安全技术 HiPPI网络应用图示： 5、综合驱动电子电路（IDE）/高级技术连接（ATA） lIDE主要应用于基于PC的系统，ATA是IDE总 线的一种扩展。每个IDE控制器可以连接两个 主从配置的IDE设备。采用40芯连接器，并行 传输方式，传输速度在65Mbps1GMbps之间 。 数据存储安全技术 6、小型计算机系统接口（SCSI） 主要特性： lSCSI的传输速率在4Mbps80Mbps之间 l每条总线可以支持015台硬盘设备，采用双 总线的SCSI卡可以连接多达30个硬盘设备。 l单根SCSI电缆长度可以在325米之间。 数据存储安全技术 2、NAS（Network Attached Srorage):网络附加存储 即将存储设备通过标准的网络拓 扑结构，连接到一群计算机上，即 通过网络拓扑实现共享。 数据存储安全技术 NAS的主要特性： 1、基于IP通信 NAS设备采用IP作为自己的基本通信手段，它 允许来自本地或远程的各种不同的系统的访问 。由于目前大多数设备均采用IP通信方式，因 此NAS设备为分布数据环境向集中数据网络环 境转移提供较为容易的迁移手段。但要付出一 定的安全代价。 数据存储安全技术 2、基于文件访问 NAS的一个最大特点就是它是基于文件访问的，而不是基 于数据块访问的。 3、操作系统 为了提供基于文件的服务，NAS设备都配备有某种形式的 操作系统，他们有些完全驻留在内存中。 4、容错 提供了诸如RAID和数据复制（远距离）等容错特性 数据存储安全技术 NAS设备的连接构成图示： NAS的限制 1、文件共享或数据库访问 NAS设备具有很大的灵活性，尤其对于那些需要长距离通信的环境， 但无论从功能方面还是从安全角度来讲，NAS并不一定适应所有 的情况。 2、文件大小 NAS设备适合大量小型文件的传输，而DAS和SAN设备则对于大型 文件的传输更为有效。 3、网络速度 由于NAS设备会给网络增加很多的请求、响应信号，因此大量以 NAS设备为目标的通信量可能会使网络带宽出现饱和。 数据存储安全技术 3、SAN:存储区域网络 从对比的角度来看， DAS和NAS都是通过网 络实现共享的存储设备 ，SAN则是连接主机与 存储设备的高速网络。 存储区域网络通常是与 生产网络完全分开的。 数据存储安全技术 SAN存储结构图示： lDAS所能容纳的存储量是有限的，这主要受制 于DAS技术所支持的设备限制。而SAN技术所 支持的物理设备数量更多，跨越的距离更远， 传输的速度更快。SAN不是设备，而是以存储 共享为目的的一些相互连接并相互通信的设备 集合。 lNAS设备是基于文件系统的，而SAN通信是基 于数据块的。另外SAN的磁盘设备最终是连接 到主机上的，NAS设备本身就具备主机功能。 数据存储安全技术 二、数据可用性 1、数据可用性定义： 从存储网络的角度看，数据可用性的目标就是 确保在任何情况下的授权数据访问的及时性。 数据存储安全技术 2、数据可用性要素 构成数据可用性的最基本要素： （1）容量规划 具备充足的存储空间来容纳所有的数据，是保证数据 高可用性的前提。 （2）访问方法 数据的访问方法决定着数据的存取方式。构成数据访 问的环节包括：最终用户设备、数据存取方法、数据 访问安全、数据接口、数据访问方式等，所有这些构 成数据可用性的要素都决定着我们的访问方法，影响 着我们将要采取的数据可用性的保护措施。 数据存储安全技术 （3）故障缓解 所谓故障缓解就是找出任何可能造成数据不可 用的故障类型并采取必要措施降低这些故障发 生的可能性的过程。故障缓解需要解决的问题 包括：硬件故障、数据损坏、网络连接故障、 安全设备故障、主机故障电源故障以及在所有 这些故障情况下确保数据可用性的方法。 数据存储安全技术 （4）灾害缓解 所谓灾害缓解就是针对可能出现的多种并发故障或灾害事 件采取必要措施减少此类事件发生的可能性的过程。 （5）数据复制 数据复制就是采用各种方法对数据进行备份、拷贝、克隆 或冗余，并利用复制数据来确保数据的可用性。 （6）主动监视/报警 监视通常是人们最容易忽略的薄弱环节，监视工具是我们 把握设备故障前期状态的一个具有预见性的工具。许多故 障是可以通过存储框架的冗余设计和某些阈的设置和监视 来简单的加以避免。 数据存储安全技术 （7）后备支援 制定一个良好的支援计划是确保数据可用性的 一个重要环节。 （8）数据保护 （9）备份窗口 备份窗口是指完成一组数据备份所需花费的时 间。 数据存储安全技术 3、磁盘可用性 磁盘可用性是数据可用性的根本。没有磁 盘的可用性，存储在磁盘上的数据也就没 有任何可用性可言。 改善和提高磁盘可用性的技术： （1）RAID技术 RAID系统在减轻设备故障的影响方面具有较好的价值。 RAID可以通过软件或硬件实现。 数据存储安全技术 （2）快照技术 快照技术是用来创建某个时间点的故障表述，构 成某种形式的数据快照。创建快照必须具备一 定量的存储空间。在创建快照时，快照中包含 着指向原数据块的指针。在数据块发生变化时 ，在存储数据变化的同时，原数据块将会备保 留。由于存储卷中的每一个数据块都可能发生 变化，因此一个存储卷快照的最大存储空间需 求为100的卷空间。 数据存储安全技术 快照技术的用途 l数据备份：快照可以在数据库系统持续运行的 情况下进行备份。 l回退保护：快照可以用来提供一种将系统回退 到某个已知时刻的正常状态的方法。 l开发测试 l节省存储空间：快照的使用常常是由于缺乏足 够的空间来实现完整的数据复制。 数据存储安全技术 （3）数据克隆技术 数据克隆是另一种提高数据可用性的方法。 克隆技术与快照技术不同，快照只是抓取数 据的表述，而克隆则是对整个卷的复制。因 此克隆需要有一个完整的磁盘复制空间。 数据存储安全技术 数据克隆技术的用途： l数据备份：克隆不会像快照那样大幅缩小数据 的备份窗口 l回退保护：即使与原是卷脱开，仍然可以完成 回退保护 l开发应用 l缩短系统建立时间 数据存储安全技术 （4）数据复制技术 数据复制技术既可以完成整个物理盘或逻辑盘的 数据复制，还可以对复制的数据进行选择。与 克隆技术一样，在数据复制初始启动时需要一 定的时间进行数据拷贝，但在数据复制完成后 则只有变化的数据才会被传送给复制数据。 数据存储安全技术 数据复制技术的用途： l灾难恢复： 由于数据可以实现跨城市、跨州甚至跨国家的远程复 制，一旦发生灾害，我们可以通过适当的规划，对灾 害恢复场所进行重建。 l回退保护 l开发应用 l缩短系统建立时间 l双向复制：数据复制的某些实现可以采用双向操作， 即某处的数据可以复制到另一个地点，在那里经过使 用和处理后它的变化和结果还可以被复制回来，这样 保证了企业生产数据的高可用性，同时又可以实时使 用。 数据存储安全技术 三、数据备份 电子数据存储量的飞速增长以及数据集中管理的趋势对与数据备 份解决方案提出了更高的要求。基于这种原因，在存储实施的策 略中同样要将数据备份的一些问题纳入到我们的考虑范围内。 这些问题包括： l备份系统的基本目标 l备份窗口 l备份数据的一致性 l备份数据的验证 l备份数据的索引和目录 l备份存储介质的寿命管理 l备份解决方案的冗余 l数据的复制与业务的持续性 l备份的安全策略 数据存储安全技术 1、备份系统的基本目标 l对数据丢失的影响进行评估。 l对备份要达到的基本目的有一个清楚的认识， 正确选择备份技术。 数据存储安全技术 三个概念： （1）数据备份 数据备份就是创建一份电子数据的拷贝。这里 的数据可以是整个磁盘数据、分区数据、文件 系统或个别文件甚至数据块或数据位。这种拷 贝可以在因系统故障造成数据无法使用的情况 下提供一种数据恢复手段。 数据存储安全技术 （2）数据恢复 数据恢复是数据备份的逆过程。当故障造成数据丢 失时，我们可以通过备份介质上的数据来予以恢 复。 （3）数据归档 l长期保存 l向廉