六种数据库容灾方案.docx

六种数据库容灾方案1、 经典方案，即双机ha，单盘阵的环境。简单的说，双机热备就是用两台机器，一台处于工作状态，一台处于备用状态，但备用状态下，也是开机状态，只是开机后没有进行其他的操作。打个比方来说，在网关处架上两台频宽管理设备，将两台的配置设定为一致，只是以一台的状态为主，一台为次。主状态下的频宽管理设备工作，处理事件，次状态下的频宽管理设备处于休眠，一旦主机出现故障，备用频宽管理设备将自动转为工作状态，代替原来的主机。这就是“双机热备”。2、单机双盘阵（os层镜像）。针对某些用户的双盘阵冗余的需求，我提出了在os层安装卷管理软件，用软件对两台盘阵做镜像的方案，但只有单机工作，一台盘阵挂了，因为os层的软raid的作用，系统仍然可以工作。3、双机双柜（os层镜像）方案，这个方案，仍然是用os层做镜像，但是用了双机ha，这种方式有个尚未确认的风险，非纯软方式的ha要求主机有共享的存储系统。一台机器对盘阵lun做的镜像虚拟卷，是否也适用另一台主机，也就是说，a主机做的镜像，b主机接管后，是否会透明的认出a机做镜像之后的逻辑虚拟卷，如果ab两主机互相都能认，那么就是成功的方案！4、双机双柜（底层镜像）。这种方案，虽然共享的lun不是在一台物理盘阵上，但是被底层存储远程镜像到另一台盘阵上，能保持数据的一致性5、双机双柜纯软方式HA。这种方案，主机装纯软HA软件，虽然纯软不需要外接盘阵，但是接了盘阵，照样可行。6、双机双柜（hacmp geo），其实geo大体上就是个类似于纯软HA的软件。数据库安全（一）数据库安全的定义数据库安全包含两层含义：第一层是指系统运行安全,系统运行安全通常受到的威胁如下，一些网络不法分子通过网络，局域网等途径通过入侵电脑使系统无法正常启动，或超负荷让机子运行大量算法，并关闭cpu风扇，使cpu过热烧坏等破坏性活动；第二层是指系统信息安全，系统安全通常受到的威胁如下，黑客对数据库入侵，并盗取想要的资料。编辑本段（二）数据库安全的特征数据库系统的安全特性主要是针对数据而言的，包括数据独立性、数据安全性、数据完整性、并发控制、故障恢复等几个方面。下面分别对其进行介绍1数据独立性数据独立性包括物理独立性和逻辑独立性两个方面。物理独立性是指用户的应用程序与存储在磁盘上的数据库中的数据是相互独立的；逻辑独立性是指用户的应用程序与数据库的逻辑结构是相互独立的。2数据安全性操作系统中的对象一般情况下是文件，而数据库支持的应用要求更为精细。通常比较完整的数据库对数据安全性采取以下措施：（1）将数据库中需要保护的部分与其他部分相隔。（2）采用授权规则，如账户、口令和权限控制等访问控制方法。（3）对数据进行加密后存储于数据库。3数据完整性数据完整性包括数据的正确性、有效性和一致性。正确性是指数据的输入值与数据表对应域的类型一样；有效性是指数据库中的理论数值满足现实应用中对该数值段的约束；一致性是指不同用户使用的同一数据应该是一样的。保证数据的完整性，需要防止合法用户使用数据库时向数据库中加入不合语义的数据4并发控制如果数据库应用要实现多用户共享数据，就可能在同一时刻多个用户要存取数据，这种事件叫做并发事件。当一个用户取出数据进行修改，在修改存入数据库之前如有其它用户再取此数据，那么读出的数据就是不正确的。这时就需要对这种并发操作施行控制，排除和避免这种错误的发生，保证数据的正确性。5故障恢复由数据库管理系统提供一套方法，可及时发现故障和修复故障，从而防止数据被破坏。数据库系统能尽快恢复数据库系统运行时出现的故障，可能是物理上或是逻辑上的错误。比如对系统的误操作造成的数据错误等。SQL server数据库安全策略SQL Server 20001的安全配置在进行SQL Server 2000数据库的安全配置之前，首先必须对操作系统进行安全配置，保证操作系统处于安全状态。然后对要使用的操作数据库软件（程序）进行必要的安全审核，比如对ASP、PHP等脚本，这是很多基于数据库的Web应用常出现的安全隐患，对于脚本主要是一个过滤问题，需要过滤一些类似“,; /”等字符，防止破坏者构造恶意的SQL语句。接着，安装SQL Server2000后请打上最新SQL补丁SP3。SQL Server的安全配置1使用安全的密码策略我们把密码策略摆在所有安全配置的第一步，请注意，很多数据库账号的密码过于简单，这跟系统密码过于简单是一个道理。对于sa更应该注意，同时不要让sa账号的密码写于应用程序或者脚本中。健壮的密码是安全的第一步，建议密码含有多种数字字母组合并9位以上。SQL Server2000安装的时候，如果是使用混合模式，那么就需要输入sa的密码，除非您确认必须使用空密码，这比以前的版本有所改进。同时养成定期修改密码的好习惯，数据库管理员应该定期查看是否有不符合密码要求的账号。2使用安全的账号策略由于SQL Server不能更改sa用户名称，也不能删除这个超级用户，所以，我们必须对这个账号进行最强的保护，当然，包括使用一个非常强壮的密码，最好不要在数据库应用中使用sa账号，只有当没有其他方法登录到 SQL Server 实例（例如，当其他系统管理员不可用或忘记了密码）时才使用 sa。建议数据库管理员新建立个拥有与sa一样权限的超级用户来管理数据库。安全的账号策略还包括不要让管理员权限的账号泛滥。SQL Server的认证模式有Windows身份认证和混合身份认证两种。如果数据库管理员不希望操作系统管理员来通过操作系统登录来接触数据库的话，可以在账号管理中把系统账号“BUILTINAdministrators”删除。不过这样做的结果是一旦sa账号忘记密码的话，就没有办法来恢复了。很多主机使用数据库应用只是用来做查询、修改等简单功能的，请根据实际需要分配账号，并赋予仅仅能够满足应用要求和需要的权限。比如，只要查询功能的，那么就使用一个简单的public账号能够select就可以了。3加强数据库日志的记录审核数据库登录事件的“失败和成功”，在实例属性中选择“安全性”，将其中的审核级别选定为全部，这样在数据库系统和操作系统日志里面，就详细记录了所有账号的登录事件。请定期查看SQL Server日志检查是否有可疑的登录事件发生，或者使用DOS命令。4管理扩展存储过程对存储过程进行大手术，并且对账号调用扩展存储过程的权限要慎重。其实在多数应用中根本用不到多少系统的存储过程，而SQL Server的这么多系统存储过程只是用来适应广大用户需求的，所以请删除不必要的存储过程，因为有些系统的存储过程能很容易地被人利用起来提升权限或进行破坏。如果您不需要扩展存储过程Xp_cmdshell请把它去掉。使用这个SQL语句：use mastersp_dropextendedproc Xp_cmdshellXp_cmdshell是进入操作系统的最佳捷径，是数据库留给操作系统的一个大后门。如果您需要这个存储过程，请用这个语句也可以恢复过来。sp_addextendedproc xp_cmdshell, xpSQL70.dll如果您不需要请丢弃OLE自动存储过程（会造成管理器中的某些特征不能使用）。这些过程如下： Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetPropertySp_OAMethod Sp_OASetProperty Sp_OAStop去掉不需要的注册表访问的存储过程，注册表存储过程甚至能够读出操作系统管理员的密码来，命令如下：Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalueXp_regenumvalues Xp_regread Xp_regremovemultistringXp_regwrite还有一些其他的扩展存储过程，也最好检查检查。在处理存储过程的时候，请确认一下，避免造成对数据库或应用程序的伤害。5使用协议加密SQL Server 2000使用的Tabular Data Stream协议来进行网络数据交换，如果不加密的话，所有的网络传输都是明文的，包括密码、数据库内容等，这是一个很大的安全威胁。能被人在网络中截获到他们需要的东西，包括数据库账号和密码。所以，在条件容许情况下，最好使用SSL来加密协议，当然，您需要一个证书来支持。6不要让人随便探测到您的TCP/IP端口默认情况下，SQL Server使用1433端口监听，很多人都说SQL Server配置的时候要把这个端口改变，这样别人就不会轻易地知道使用的什么端口了。可惜，通过微软未公开的1434端口的UDP探测可以很容易知道SQL Server使用的什么TCP/IP端口。不过微软还是考虑到了这个问题，毕竟公开而且开放的端口会引起不必要的麻烦。在实例属性中选择TCP/IP协议的属性。选择隐藏 SQL Server实例。如果隐藏了SQL Server实例，则将禁止对试图枚举网络上现有的 SQL Server实例的客户端所发出的广播作出响应。这样，别人就不能用1434来探测您的TCP/IP端口了（除非用Port Scan）。7修改TCP/IP使用的端口请在上一步配置的基础上，更改原默认的1433端口。在实例属性中选择网络配置中的TCP/IP协议的属性，将TCP/IP使用的默认端口变为其他端口。8拒绝来自1434端口的探测由于1434端口探测没有限制，能够被别人探测到一些数据库信息，而且还可能遭到DoS攻击让数据库服务器的CPU负荷增大，所以对Windows 2000操作系统来说，在IPSec过滤拒绝掉1434端口的UDP通信，可以尽可能地隐藏您的SQL Server。9对网络连接进行IP限制SQL Server 2000数据库系统本身没有提供网络连接的安全解决办法，但是Windows 2000提供了这样的安全机制。使用操作系统自己的IPSec可以实现IP数据包的安全性。请对IP连接进行限制，只保证自己的IP能够访问，也拒绝其他IP进行的端口连接，对来自网络上的安全威胁进行有效的控制。上面主要介绍的一些SQL Server的安全配置，经过以上的配置，可以让SQL Server本身具备足够的安全防范能力。当然，更主要的还是要加强内部的安全控制和管理员的安全培训，而且安全性问题是一个长期的解决过程，还需要以后进行更多的安全维护。Oracle数据库安全产品安华金和数据库保险箱系统(简称DBCoffer) 是一款Oracle数据库安全加固系统，该产品能够实现对Oracle数据的加密存储、增强权限控制、敏感数据访问的审计。DBCoffer可以防止绕过防火墙的外部数据攻击、来自于内部的高权限用户的数据窃取、以及由于磁盘、磁带失窃等引起的数据泄密。通过DBCoffer用户可以对Oracle数据库应用系统中的敏感数据，进行数据加密；并在现有的Oracle数据库访问控制之上，派生数据安全管理员（DSA）进行加密数据的加密和脱密权限控制，有效防止数据库特权用户访问敏感数据；同时对安全行为和敏感信息的访问进行审计追踪。当前主流Oracle数据库安全加固方案包括前置代理、应用加密和Oracle自带加密选件TDE。前置代理需要应用大幅改造、大量Oracle核心特性无法使用；应用加密必须由应用实现数据加密，加密数据无法检索，已有系统无法透明移植；TDE不能集成国产加密算法，不符合国家密码政策。因此这几种方案一直未能得到有效推广。DBCoffer通过独创的、专利的多层视图技术和密文索引等核心技术，突破了传统Oracle安全增强产品的技术瓶颈，可以实现数据高度安全、应用完全透明、密文高效访问。DBCoffer当前支持Windows、Linux、Unix等多个平台，提供基于硬件服务器的企业版，和纯软件的标准版，满足用户的多种部署需求。DBCoffer兼容主流加密算法和国产加密设备，提供可扩展的加密设备和加密算法接口。DBCoffer的功能集与国际数据库加密增强产品相当，性能上领先5倍以上。DBCoffer产品已经在若干个用户处得到试用和应用，用户面涉及军队、军工、机要、企业和互联网。安全应急响应方法论应急响应体系的构成应急响应体系是信息安全保障体系中一个十分重要的环节，被人们称作IT系统中的“消防队”。应急响应体系建设是一项十分复杂的系统工程，涉及到技术和非技术领域各层面的内容，一个完整的应急响应体系应由组织体系、服务体系和技术体系三个部分组成。组织体系一个科学的应急响应体系必须有一个配套的组织体系，要根据不同的系统和应用组建信息安全应急响应小组，指派负责人；要挑选政治合格、技术过硬、肯于服务的技术人员作为应急响应小组成员；要根据任务和需要对小组成员进行合理的分工，并明确岗位职责；要制定严格的工作制度和工作流程；要建立严格的安全保密制度；要有良好的内外合作机制。服务体系应急响应体系是一种安全服务，一个应急响应小组至少应能提供一种或多种服务，如：计算机事件分析，现场事件响应，事件响应支持，事件响应协调等。除此之外，还可提供事件处理咨询、脆弱性处理、人员技术培训、入侵信息的预警等其它一些安全服务。这完全取决于应急响应小组的应急处理能力和客户的实际需要。为保证这些服务的质量，需要对服务的对象、内容、目标、流程、策略等进行科学的界定。技术体系技术体系是应急响应体系中的核心部分。为实施应急响应所要求和规定的服务，必须有一定的技术基础。根据应急响应方法论的工作过程，应急响应技术体系的组成如图1所示。预案库是专门为可能发生的、紧急的、破坏性的事件而设计的，其目的是能迅速地对事件进行合理的、科学的、有序的处理，将事件造成的影响或损失减至最小。它的设计必须坚持四个原则，即整体性、有效性、可维护性及可操作性。预警的目标是防患于末然，即在事件发生前及时发现不安全迹象，并能快速地通报给有关部门和人员。要实现预警功能，我们应做好风险分析、入侵检测、病毒检测、完整性检验、安全审计、报警通知等方面的工作。抑制的目的是限制潜在的损失和破坏。目前实施抑制的主要技术手段是对网络上的不安全因素进行隔离或设置诱骗系统。根除工作主要包括事件分析、取证、补救三个方面的内容。因为信息系统受到攻击后，查明原因、消除影响、根除攻击源是必须要做的工作。追踪是利用各种技术、方法追查攻击者的位置和路径，为追究肇事者的责任提供必要的依据。从方法和目的来看，追踪可分为攻击源追踪和攻击路径追踪。备份与恢复对一个用户或企业至关重要。事实证明，大量有关企业生产、销售的数据维系着企业的生存，是企业珍贵的无形资产。这些数据一旦因为系统遭到攻击或不可避免的自然灾害造成丢失，将会给企业带来重大的经济损失。目前常用的备份方式有：全备份、增量备份、按需备份。常用的备份设备有：磁盘镜像、双机热备份、磁带、光盘等。备份方式和设备的选取应视实际情况综合考虑。知识汇总是将安全事件的种类、发生条件、危害程度、处理过程、响应方法和经验等作详细的记录，以供今后在工作中参考借鉴，这是一种经验总结的过程。交流与协作是应急响应工作中一个不可缺少的部分，它起到了信息汇总和分析中心的作用。美国为保护其计算机信息资源的安全，建立了政府与私营部门信息共享机制，从而为保护国家的信息安全起到了积极的作用。图1应急响应技术体系的组成根据业界的经验，可以通过分阶段的方式来更清晰地看待整个安全应急响应过程。任何一个具体的安全应急响应过程都多多少少地涉及到六个阶段，即准备、检测、抑制、根除、恢复和跟踪阶段。（见图11-2） 准备阶段实现与其他安全环节的互动 检测阶段初步事件分析、把事件分析与业务恢复进程分离 抑制阶段抑制事件对业务影响 根除阶段事件分析 恢复阶段恢复受害系统 追踪阶段提供可参考的经验教训但是在实际操作上，并不是对每一种事件行为的处理过程都会按顺序地遍历应急响应流程的各个阶段。以下首先明确定义各阶段应急响应的工作内容和方法，然后结合事件的行为特征，拟定应急响应流程。建设重点不只是技术信息安全应急响应体系建设不仅仅是一个单纯的技术问题，还涉及到政策、法规、机制、社会意识等诸多问题。在信息安全应急响应体系建设过程中，应注意以下几点：1、制定和完善信息安全应急响应政策、法规、机制以及技术标准，有效规范应急响应工作行为，统一规定国家信息安全应急响应实施程序和评估等级，确保应急响应工作正确有序地进行。2、研制和使用具有自主知识产权、可控的应急响应系统及工具，严防潜在的渗透性攻击和破坏。国外产品有其先进的一面，但也有危险的一面，即有些产品存在着“后门”。因此，要想用得安全、用得放心，就必须研制和使用具有自主知识产权的产品。3、提高信息安全应急响应意识，积极开展信息安全应急响应宣传活动，使更多的人，更多的用户知道应急响应的对象、任务、目标是什么？应由谁来负责实施等。此外，信息安全应急响应技术人员的培养也十分重要。这种人员不但要求有精湛技术，而且还要有较高的政治素质和丰富的社会经验，因此人是做好应急响应工作的一个关键。如何完成itsm项目的需求分析工作ca中国有限公司技术顾问 庄丽娟itsm，中文称之为it服务管理。既然与it相关，自然就要遵循it软件的相关规则。软件工程学认为，一个优秀的软件开发过程，其需求分析及其设计的过程要占到整个软件开发生命周期的大部分时间。前面的需求和设计阶段经历的越久，后面出问题的可能性就会大大减低，从整体上看，整个开发成本非但没有增加，反而降低了整个的开发成本。itsm项目作为一个与it相关的项目，基本上有着同样的规律规则可以借鉴。同时，由于itsm项目又是一个与管理相关的项目，它以当前国际最为流行的最佳实践itil作为参考，因此在需求分析阶段的工作，比起一般的it项目，自然又增添了更多的内容和内涵。1、从itil的角度看itsm项目的需求itil是itsm项目所奉行的“圣经”。作为一个管理项目，itsm与itil一样，更加关注的是流程的设计及其实现。因此，所谓itsm项目的需求，更多的是指对于客户流程的描述和要求。但是对于流程，itil的理解与我们日常所提到的流程并不完全一致。我们讲的流程，通常指有着输入和输出的一系列活动；而itil在此基础上，对流程的定义还包括了更多的内涵，包括流程的复杂人、流程的目标、流程所需要的资源以及角色及其职责定义，具体请参见图1：2、itsm项目需求分析阶段需要关注的要素基于对itil所定义的流程的理解，在itsm项目的需求分析过程中，我们需要了解涉及到it战略规划、相关流程的现状、管理要求、数据和信息要求、组织结构的适应性、人员的素质、财务方面的规划等诸多内容，归纳起来，既是我们平时所讲的ppt原则，即人员、流程、技术三大原则（请参见图2 所示）。有的时候，我们还需要了解客户的合作伙伴的情况，以更好的支持客户的it运维工作。这就是图3所描述的4p原则。3、itsm项目需求分析阶段需要涉及的内容：综合itil对于流程的定义以及itsm项目需要关注的要素，我们通常会在需求分析过程中，努力寻求下列问题的答案：* 现有的流程设计是否已经覆盖了客户的主体业务？* 客户在it运维方面的挑战和困难是什么？是否我们已经很好的解决了这个问题？* 客户的业务将会以怎样的方式去发展？是否我们的流程设计已经能够满足未来几年的发展要求？* 客户的机构设置和人员素质是否可以满足流程的要求？如何进行提高？* 客户的管理需要，包括辅助决策、人员考核等方面的要求，是否已经得到满足？* 流程的设计是否具备足够的灵活性以满足客户持续提高的要求？* 对流程进行支持的产品是否对流程起到了很好的支撑作用？如果上述问题都得到了解决，那么恭喜您，您的itsm项目已经成功了一半以上。现在，让我们来对比一下，您成功了吗？ISO 17799/ 27001信息安全管理标准一、信息安全管理概况 近年来，信息安全被破坏的现象非常普遍。政府及国家的机密网络被黑客轻而易举地进入，公司的机密信息出现在报纸上或被人在垃圾桶中发现，财务信息被公布在网站上让所有人浏览，银行的资产通过网络系统流向黑客贪婪的钱袋象这样的例子不胜枚举，同时每一天我们都能得到来自世界的有关信息安全被破坏的报告。 在信息及其处理设备高度发达的今天，所有的组织，无论其性质、大小、国营或私营，都依赖于信息而存在。 这些信息有的以纸面文件存在，有的用计算机软硬盘存储，甚至存贮在员工或工作人员的头脑里。不管您的组织是怎样的性质，您的组织一定会有别的组织非常感性趣的信息。 这些信息可能是您的价格表，客户信息，调研信息，市场计划或商务战略，您可以试想一下您可以离开这些信息多长时间？如果您在谈判中的位置，标书底价，产品研究和发展计划或个人信息落入别有用心的人的手中，将对您的组织产生什么样的影响？ 有的组织直到为时已晚的时候才认识到信息安全被破坏造成的影响。您的组织也许看似安全，但信息可以从不同的渠道泄露。 世界经济已意识到信息的力量、价值及保护信息的重要性。信息安全被破坏的报告正在与日俱增，这就是为什么ISO17799对于保护您的信息是如此重要。该标准提供了一个完整的切入、实施、维护和文件化组织内部的信息安全的框架。二、什么是ISO 17799/ 27001信息安全管理标准？ ISO17799信息安全管理标准要求建立一个完整的信息安全管理体系。该管理体系在组织中建立一个完整的切入、实施、维护和文件化的管理框架。该管理标准提供给组织信息安全管理的最佳实践指导。ISO/IEC 17799（BS 7799）是组织一个关键的管理工具，它可以用来识别管理和减小对组织信息安全的威胁。企业的信息如产品定价、客