赛门铁克网络防病毒与Backup Exec方案

赛门铁克（Symantec Antivirus）

网络防病毒与Backup Exec方案

赛门铁克软件（北京）有限公司

广东省立中山图书馆数字化建设项目自动化集成系统

目 录

一、项目概述 .................................................................................. 4 二、系统需求分析............................................................................. 4

2.1、系统现状分析 ...................................................................... 4 2.2、SEP环境风险解析 ................................................................ 4 2.3、备份系统需求分析 ................................................................ 5 三、系统设计 .................................................................................. 6

3.1、防病毒系统设计 ................................................................... 6

3.1.1基于特征的防病毒技术分析 ........................................................................................... 6

3.1.2传统的防病毒产品使用效果分析 ................................................................................... 7 3.1.3技术＋管理＋服务的体系化建设 ................................................................................... 8 3.1.4技术层面：主动防御 ....................................................................................................... 8

3.2、备份系统设计思路 .............................................................. 11

3.2.1、备份系统设计原则 ................................................................................................... 11 3.2.2、数据保护技术选择 ................................................................................................... 12 3.2.3、备份管理系统组成 ................................................................................................... 13 3.2.4、整体系统架构设计 ................................................................................................... 15

3.3、备份架构的功能设计 ........................................................... 17

3.3.1、基于磁盘的数据保护系统设计 ............................................................................... 17 3.3.2、文件服务器的备份设计 ........................................................................................... 19 3.3.4、SQL服务器的备份和恢复系统设计 ...................................................................... 21 3.3.6、Oracle服务器备份方式 ......................................................................................... 23

3.4、灾难恢复计划 ................................................................... 24

3.4.1、灾难恢复计划概述 ................................................................................................... 24 3.4.2、灾难恢复的好处 ....................................................................................................... 25 3.4.3、灾难恢复策略规划 ................................................................................................... 26 3.4.4、系统快速灾难恢复解决方案 ................................................................................... 27

四、系统方案产品........................................................................... 28

4.1端点安全保护Symantec Endpoint Protection ........................... 28

4.1.1产品简介......................................................................................................................... 28 4.1.2产品主要优势 ................................................................................................................. 29 4.1.3主要功能......................................................................................................................... 30 4.1.4安全策略......................................................................................................................... 30 4.1.5 SEP解决方案 ................................................................................................................. 32 4.1.6服务器的硬件配置需求 ................................................................................................. 34

4.2 Backup Exec 2010 For Windows Servers ...................... 34

广东省立中山图书馆数字化建设项目自动化集成系统

4.2.1、为 Microsoft Windows Server 2008 提供优化的支持 ................................ 34 4.2.2、与赛门铁克市场领先的产品相集成 ....................................................................... 35 4.2.3、对关键应用程序数据提供增强的细粒恢复功能 ................................................... 35 4.1.4、增强的平台保护 ....................................................................................................... 35

4.3、Backup Exec System Recovery Server主要功能概述 ........ 36

4.3.1、主要功能 ................................................................................................................... 36 4.3.2、主要优势 ................................................................................................................... 36 4.3.3、灾难恢复工作流程 ................................................................................................... 36 4.3.4、Backup Exec System Recovery管理平台 ..................................................... 37 4.3.5、异机恢复功能选件 ................................................................................................... 38

五、方案总结 ................................................................................ 38

5.1 Symantec Endpoint Protection 总结 ................................................................................. 38 5.2、Backup Exec 2010总结 ................................................................................................. 39

广东省立中山图书馆数字化建设项目自动化集成系统

一、项目概述

根据广东省立中山图书馆的网络实际需求制定一套完整的数据备份，灾难恢复及服务器整合和虚拟化方案。一个完整的企业数据备份与恢复解决方案就意味着：保护、性能与完美的集成，一条龙式的服务，包括产品、服务与支持。我们在选择备份系统时，既要做到满足系统容量不断增加的需求，又需要所用的备份软件能够支持多平台系统。要做到这些，就要充分使用网络数据存储管理系统，在分布式网络环境下，通过专业的数据存储管理软件，结合相应的硬件和存储设备，对网络的数据备份进行集中管理，从而实现自动化的备份、文件归档、数据分级存储及灾难恢复等。

防病毒系统采用Symantec的Symantec Endpoint Protection ，Symantec Endpoint Protection与高级威胁防御功能相结合，可以为服务器提供无与伦比的恶意软件防护能力。它甚至可以防御最复杂的攻击，这些攻击能够躲避传统的安全措施。

数据备份和恢复解决方案以Symantec的Backup Exec备份管理软件为基础， 结合客户实际的业务发展与IT系统结构现状，帮助客户把重要的企业数据做备份保护，以防不测。确保企业的业务连续性，使企业的IT系统能够充分适应企业战略发展的能力要求。

二、系统需求分析

2.1、系统现状分析

广东省立中山图书馆网络基础结构是基于Windows平台。网络核心应用包括了“一卡通” 管理系统 、门户网站系统、电子报纸、图文触摸屏阅读、非书资料管理系统、图书馆数字空间阅览室计费管理系统、图书馆自助打复印管理系统、《图书馆论坛》编辑部网络编辑管理系统、人力资源管理系统、专题数据库建设、发布服务系统及全文检索系统、等企业信息管理系统，为企业的发展提供了强有力的信息化支持。

2.2、SEP环境风险解析

目前大多数图书馆都采用windows系统让所有人都可以轻松使用电脑，进入互联网世界，但同时也带来许多安全方面的问题，各种攻击和威胁，软件bug，系统故障或数据丢失都将使图书馆的业务受到巨大的影响，蒙受巨大的损失，如何将所有可能存在的威胁事件统一有效的协同防护起来成为图书馆密切关注的事情。

Windows终端面临的风险包括四个层面，分别是：数据、系统、应用和策略。首先是数据受到的威胁，并不是只有硬盘发生故障才会导致数据丢失，病毒破坏，用户误删除，电脑遗失都将带来意想不到的损失。

系统方面，可能因为一个小小的错误补丁就可能导致蓝屏，注册表破坏，系统文件损坏，都

广东省立中山图书馆数字化建设项目自动化集成系统

是造成系统崩溃的因素。

在应用层面，正常的程序可能感染病毒，或是被恶意程序劫持，同时，非授权程序在图书馆客户端肆意横行，如：流氓软件，游戏软件等，不仅会占用大量的计算资源，网络带宽，还会带来更多的安全隐患。

最后是策略层面，对于图书馆终端的管理来说，最重要的莫过于实现统一的策略遵从，很多大企业为了遵守法规要求，投入大量资金请咨询公司提供服务，以评估他们的终端是否完全符合萨班斯法案。运用软件方案可以解决上面提及的法规遵从问题，不仅能减少IT管理与咨询成本，还能降低图书馆的信息安全风险。

如图所示：

为了应付这些风险，windows终端需要多层次、多种手段的防护策略，然而大多数图书馆误以为仅安装了防病毒或防火墙就已足够，或者采用各式单点对应解决方案，包括：防病毒、防火墙、数据备份等，这种头痛医头，脚痛医脚的方式不仅缺乏协同性，在管理与采购方面也十分复杂。

完整的windows平台终端防护方案必须能够同时涵盖数据、系统、应用与策略四大层面。

2.3、备份系统需求分析

根据系统现状情况，应用系统有以下几个特点：

1、 数据中心的数据超过500GB，需要通过备份管理软件进行快速、自动的数据备份和管理； 2、 支持Windows平台的集中数据备份管理和灾难恢复；

3、 支持SQL、Domino、Oracle数据库联机热备、逻辑备份，支持频繁的数据库日志备份； 4、 支持文件服务器的持续保护，并且支持文件多历史版本的保护；

广东省立中山图书馆数字化建设项目自动化集成系统

5、 要求备份管理软件对各种磁带库和磁带机进行管理，还要有全面的备份介质管理功能； 6、 要求可以实现快速的系统灾难恢复功能，保障业务系统的正常运行；

7、 备份管理系统必须有灵活良好的扩展性，能满足公司发展而不断扩充和升级的需求。 8、 提供备份解决方案的公司在国内和华南地区拥有良好的技术支持力量，能协助公司处理

方案设计、方案实施和日常使用中遇到的问题。

三、系统设计

3.1、防病毒系统设计

3.1.1基于特征的防病毒技术分析

长期以来，应对混合型威胁（混合型病毒）的传统做法是，一旦混合型病毒爆发，尽快捕获样本，再尽快写出病毒特征，并尽快去部署该病毒特征，然后寄希望于它能够迅速清除病毒并阻截该威胁的蔓延。这种方式曾一度相当有效，但近年来――特别是近两年多次影响XXX的冲击波、Slammer、Netsky、熊猫烧香等病毒，已经体现这种基于特征的被动式病毒响应方式效果不佳了。这一方面因为病毒的快速发展，另一方面更因为传统防病毒技术采取被动跟踪的方式来进行病毒防护。

但是，这种被动的病毒响应方式越来越力不从心。如下图所示，Symantec公司统计了近十几年来病毒爆发速度和特征响应速度，并对近年的发展趋势做了比较。

附图1. 混合型病毒感染与病毒特征响应对比图

该图以计算机病毒/混合威胁的复制速度（蓝色线条，自左上至右下）来显示这些威胁的演变，

广东省立中山图书馆数字化建设项目自动化集成系统

以响应速度（红色线条，自左下至右上）来显示病毒技术的发展。横轴以年为单位，时间范围是从 1990 年至 2005 年。纵轴实际上显示两种不同的时间规定（都采用左边纵轴的时间比例来显示）。左边纵轴（蓝色文本）显示恶意病毒达到“感染”状态所用的时间，在该状态下，恶意病毒已经感染了相当多有漏洞的计算机。右边纵轴显示提供描述病毒的特征所用的时间。 分析上图的最后一部分可知，对于现在出现的几分钟甚至几秒钟之内就可发作的超速混合威胁而言，其传播速度和实现完全感染相关主机的速度比人工或自动化系统生成和部署病毒特征的速度快得多时，在这样情况下，原有的基于病毒特征的模式已经效果甚微，因为到那时每次混合型病毒的爆发，由于特征响应方式的滞后而让将付出沉重的代价（最近的冲击波、震荡波的例子已经初步证明了这一点），而这是绝对不能接受的。

3.1.2传统的防病毒产品使用效果分析

传统的单一的防病毒产品在应对新的终端安全威胁时效果往往不佳，其根本原因在于：  基于特征的病毒定义滞后性

虽然防病毒技术不断发展，出现了类似启发式扫描、智能检测等新的技术，但是目前防病毒产品还是以基于特征的病毒扫描方式为主要手段。也即一种新的病毒出现后，防病毒厂商通过各种方式收集到病毒的样本，经过自动地或者专家分析获取病毒特征码，随即发布新的病毒定义供用户下载更新。而用户通过手动或周期地自动更新获取新的病毒定义以后，才可以有效地防御这种新的病毒。

显然，基于特征的病毒定义更新存在着滞后性，这种滞后表现在：

 病毒定义滞后于新病毒的出现，当前的病毒快速、大量变种的特性加剧了这种滞后性所

带来的危害。

 用户的病毒定义滞后于厂商的病毒定义。这是由于用户往往使用周期自动更新的方式，

甚至由于种种原因部分用户的病毒定义不能正常升级，这些都会导致与最新的病毒定义的时间差。

 区域性恶意代码增加了样本收集的难度

特洛伊木马等恶意代码当前的一个重要特征是具有很强的目标性和区域性。特洛伊木马往往以特定用户和群体为目标。某一种特洛伊木马可能只是针对某个地区的某类型用户。由于特洛伊木马的目标性强，因此这些攻击只是发送给较小的用户群，从而使其看上去并不显眼，并且不太可能提交给防病毒供应商进行分析。

而如果防病毒厂商不能及时获得最新的病毒样本，也就失去了对这些木马的防护能力。  单纯的防病毒技术无法应对混合型威胁

混合型威胁整合了病毒传播和黑客攻击的技术，以多种方式进行传播和攻击。不需要人工干预，能够自动发现和利用系统漏洞，并自动对有系统漏洞的计算机进行传播和攻击。越来越多的病毒会自动攻击操作系统或者特定的应用软件的漏洞，在漏洞未修复（未安装补丁）的情况下，会造成病毒反复感染，纯粹的防病毒不足以应付这些新型的病毒事件。

广东省立中山图书馆数字化建设项目自动化集成系统

 复杂的病毒查杀技术与性能需求

新型的恶意代码采取了更多的反检测和清除的技术，包括前文描述的多态病毒以及高级的Rootkit技术。与传统的恶意代码相比，检测复杂多态病毒和Rootkit对技术的要求更高。涉及复杂的加密逻辑和统计分析过程，以及代码模拟和数据驱动引擎的设计。因此，这需要经验丰富的分析师来开发检测和移除技术。同时，防护时也需要占用更多的终端系统资源。实际测试包括很多用户实际环境中，防病毒软件通常占用内存50M－60M左右，对于一些老的机器（内存小于256M）会影响系统性能。部分终端用户往往在安全和性能的抉择中放弃安全，这也导致了防病毒体系整体运行效果不佳。

3.1.3技术＋管理＋服务的体系化建设

实践证明，完整有效的终端安全解决方案包括技术、管理和服务三个方面内容。防病毒技术的部署和实施是“实现用户个人的广义病毒和攻击的防护”的主要力量。

传统的病毒防护方案往往以技术为主，但是仅仅依靠技术是有其局限性，因此指望一套防病毒软件解决所有的病毒问题是不现实的；同时，对于XXX这样的大型企业，防病毒的管理性要求甚至比查杀病毒的能力显得更为重要，如果不能做到全网防病毒的统一管理，再强的防病毒软件也不能发挥应有作用。

此外，我们重点提出“服务”的根本原因是基于一个判断：即没有任何防病毒厂家能够做到对所有已知病毒和未知病毒的快速准确查杀。服务是产品的一种补充。

因此，产品＋管理＋服务的组合才能在根本上保证病毒防护的可靠性。以下分别予以详细阐述：

3.1.4技术层面：主动防御

从以上对新的恶意软件发展趋势和传统的病毒防护产品的特性分析，不难看出，传统防病毒技术由于采取被动跟踪的方式来进行病毒防护。一旦病毒爆发，尽快捕获样本，再尽快写出病毒特征，并尽快去部署该病毒特征，然后寄希望于它能够迅速清除病毒并阻截该威胁的蔓延。这种被动的防护方式无法应对新的恶意软件的发展。

因此，必须从“主动防御”这一观点出发，建立一个覆盖全网的、可伸缩、抗打击的防病毒体系。相对于被动式病毒响应技术而言，主动式反应技术可在最新的恶意软件没有出现之前就形成防御墙，静侯威胁的到来而能避免威胁带来的损失。“主动防御”主要体现在以下几个方面：

广东省立中山图书馆数字化建设项目自动化集成系统

防火墙防火墙••阻断进入的对开放端口的攻击阻断进入的对开放端口的攻击••阻断病毒向外扩散的途径阻断病毒向外扩散的途径••阻断非法的对外通信阻断非法的对外通信––间谍软件数据泄漏和连接控间谍软件数据泄漏和连接控制站点的企图制站点的企图根本：系统加固••关键补丁关键补丁••强口令强口令••关闭危险服务和默认共享关闭危险服务和默认共享••匿名访问限制匿名访问限制实时防护和阻断••自动识别并清除蠕虫病毒自动识别并清除蠕虫病毒••自动防护已知恶意软件（特别室间谍软件）的安装自动防护已知恶意软件（特别室间谍软件）的安装••如果恶意软件已经安装，在其运行时检测并阻断如果恶意软件已经安装，在其运行时检测并阻断入侵防护入侵防护::基于漏洞的入侵阻断基于漏洞的入侵阻断••阻断阻断RPCRPC缓冲区溢出漏洞缓冲区溢出漏洞••阻断利用阻断利用WebWeb浏览器漏洞的攻击（间浏览器漏洞的攻击（间谍软件最常用的安装方式）谍软件最常用的安装方式）抑制未知的恶意软件抑制未知的恶意软件••BloodhuntBloodhunt启发式病毒扫描启发式病毒扫描••根据恶意软件的行为特征发现和抑制其操作根据恶意软件的行为特征发现和抑制其操作••邮件蠕虫拦截邮件蠕虫拦截••间谍软件键盘记录、屏幕拦截、数据泄漏行为打分间谍软件键盘记录、屏幕拦截、数据泄漏行为打分  基于应用程序的防火墙技术

个人防火墙能够按程序或者通讯特征，阻止/容许任何端口和协议进出。利用个人防火墙技术，

一方面可以防止病毒利用漏洞渗透进入终端，另一方面，更为重要的是，可以有效地阻断病毒传播路径。

以去年大规模爆发的Spybot病毒为例，该病毒利用了多个微软系统漏洞和应用软件漏洞，企业可以在终端补丁尚未完全安装完毕的情况下，通过集中关闭这些存在漏洞的服务端口，阻止病毒进入存在漏洞的终端。

再以Arp木马为例。正常的Arp请求和响应包是由ndisiuo.sys驱动发出，而arp病毒或者其他arp攻击通常是利用其他的系统驱动伪造arp数据包发出。因此，通过在防火墙规则中设定，只允许ndisiuo.sys对外发送Arp数据包（协议号0x806），其他的全部禁止。从而，在没有最新的病毒定义的前提下对病毒进行阻断和有效防护。

统一部署防火墙不仅可以解决以上这些安全问题，同时可以成为企业执行安全策略的有力工具，实现一些企业的安全策略的部署，如突发病毒爆发时，统一开放关闭防火墙相应端口。  具备通用漏洞阻截技术的入侵防护

通用漏洞利用阻截技术的思想是：正如只有形状正确的钥匙才能打开锁一样，只有“形状”相符的混合型病毒才能利用该漏洞进行攻击。如果对一把锁的内部锁齿进行研究，便可以立即了解到能够打开这把锁的钥匙必需具备的特征——甚至不需要查看实际的钥匙。类似地，当新漏洞发布时，研究人员可以总结该漏洞的“形状”特征。也就是说，可以描述经过网络到达漏洞计算机并利用该漏洞实施入侵的数据的特征。对照该“形状”特征，就可以检测并阻截具有该明显“形状”的任何攻击（例如蠕虫）。

以冲击波蠕虫被阻截为例进行说明。当2003年 7 月 Microsoft RPC 漏洞被公布时，赛门铁

广东省立中山图书馆数字化建设项目自动化集成系统

克运用通用漏洞利用研究技术，制作了该漏洞的通用特征。大约在一个月之后，出现了利用该漏洞进行入侵和蔓延的冲击波蠕虫。Symantec由于具备了赛门铁克编写的特征在网络环境中能够迅速检测到冲击波蠕虫并立即阻止它。

在前文对恶意软件的发展趋势中，我们分析了木马、流氓软件的一个最主要的传播方式是利用IE浏览器的漏洞，当用户浏览这些恶意站点时，利用IE的漏洞，攻击者可以在用户终端上悄悄安装木马、广告/流氓软件等。尽管恶意软件的变种数量庞大，但实际上，恶意软件安装过程中利用的IE漏洞种类并不多。赛门铁克运用通用漏洞利用研究技术，提前制作这些漏洞的通用特征。恶意软件若想利用这些漏洞进行安装，必须具备特定的形状，而赛门铁克编写的特征可以提前检测到该形状，从而对其进行阻截，避免了恶意软件安装到用户终端上，从而根本无需捕获该病毒样本然后再匆忙响应。  应用程序控制技术

通过应用程序行为控制，在系统中实时监控各种程序行为，一旦出现与预定的恶意行为相同的行为就立即进行阻截。

以熊猫烧香为例，如果采用被动防护技术，必须对捕获每一个变种的样本，才能编写适当的病毒定义。但是，该病毒的传播和发作具有非常明显的行为特征。熊猫烧香最主要的传播方式是通过U盘传播，其原理是利用操作系统在打开U盘或者移动硬盘时，会根据根目录下的autorun.inf文件，自动执行病毒程序。SEP系统防护技术可以禁止对根目录下的autorun.inf的读写权限，特别的，当已感染病毒的终端试图往移动设备上写该文件时，可以终止该病毒进程并报告管理员。 再以电子邮件的行为阻截技术应用为例进行说明。首先，我们知道基于电子邮件的蠕虫的典型操作：典型的电子邮件计算机蠕虫的工作原理是，新建一封电子邮件，附加上其（蠕虫）本身的副本，然后将该消息发送到电子邮件服务器，以便转发到其他的目标计算机。那么，当使用了带行为阻截技术的赛门铁克防病毒软件之后，防病毒软件将监视计算机上的所有外发电子邮件。每当发送电子邮件时，防病毒软件都要检查该邮件是否邮件有附件。如果该电子邮件有附件，则将对附件进行解码，并将其代码与计算机中启动此次电子邮件传输的应用程序相比较。常见的电子邮件程序，如 Outlook，可以发送文件附件，但绝不会在邮件中附加一份自身程序的可执行文件副本！只有蠕虫才会在电子邮件中发送自己的副本。因此，如果检测到电子邮件附件与计算机上的发送程序非常相似时，防病毒软件将终止此次传输，从而中断蠕虫的生命周期。此项技术非常有效，根本无需捕获蠕虫样本然后再匆忙响应，带此项技术的赛门铁克防病毒软件已经成功的在零时间阻截了数十种快速传播的计算机蠕虫，包括最近的 Sobig 、Novarg和MyDoom。 此外，基于行为的恶意软件阻截技术，还可以锁定IE设置、注册表、系统目录，当木马或者流氓软件试图更改这些设置时会被禁止。从而，即使用户下载了未知的恶意软件，也无法在终端上正常安装和作用。基于行为的防护技术非常有效，根本无需捕获恶意软件样本然后再匆忙响应，利用此项技术可以成功的在零时间阻截主流的蠕虫病毒，包括熊猫烧香、威金等。 由于采用了集中的策略部署和控制，无须最终用户的干预，因此不需要用户具备高深的病毒防护技术。同时，基于行为规则的防护技术非常适合于主机系统环境，主机系统应用单一并且管理专业，采用行为规则的防护是对传统防病毒技术的一个很好的补充。  前瞻性威胁扫描

Proactive Threat Scan是一种主动威胁防护技术，可防御利用已知漏洞的多种变种和前所未见的威胁。Proactive Threat Scan 基于分析系统所运行进程的行为来检测潜在威胁的启发式技术。大多数基于主机的 IPS 仅检测它们认为的“不良行为”。所以，它们经常会将可接受的应用程序行

广东省立中山图书馆数字化建设项目自动化集成系统

为识别为威胁并将它们关闭，严重影响用户和技术支持中心的工作效率，让管理员面临着艰巨的挑战。不过，Proactive Threat Scan 会同时记录应用程序的正常行为和不良行为，提供更加准确的威胁检测，可显著减少误报的数量。前瞻性地威胁扫描让企业能够检测到任何基于特征的技术都检测不到的未知威胁。  终端系统加固

事实上，确保终端安全的一个必须的基础条件时终端自身的安全加固，包括补丁安装、口令强度等。显然，口令为空、缺少必要的安全补丁的终端，即使有再优秀的防护技术也不可避免地遭受到攻击和病毒感染。为了弥补和纠正运行在企业网络终端设备的系统软件、应用软件的安全漏洞，使整个网络安全不至由于个别软件系统的漏洞而受到危害，必需在企业的安全管理策略中加强对补丁升级、系统安全配置的管理。

建议集中管理企业网络终端的补丁升级、系统配置策略，可以定义终端补丁下载，补丁升级策略以及增强终端系统安全配置策略并下发给运行于各终端设备上的代理，代理执行这些策略，保证终端系统补丁升级、安全配置的完备有效，整个管理过程都是自动完成的，对终端用户来说完全透明，减少了终端用户的麻烦和企业网络的安全风险，提高企业网络整体的补丁升级、安全配置管理效率和效用，使企业网络的补丁及安全配置管理策略得到有效的落实。  基于特征的病毒防护技术

最后，传统的病毒防护技术仅仅作为主动防御的的一个必要补充，防御已知的病毒，对于已经感染病毒机器进行自动的清除和恢复操作。

综上所述，单纯的防病毒产品都仅仅实现了基于特征的病毒防护功能，必须依靠其他的主动防御技术，才能有效地应对当前的恶意代码威胁。

3.2、备份系统设计思路

3.2.1、备份系统设计原则

1) 开放性原则

系统采用的硬件设备和软件系统均遵循国际标准或工业标准及国际流行标准，符合开放性设计原则，使其具备优良的可扩展性、可升级性和灵活性。 2) 安全性原则

数据保护系统构成应用系统的保障子系统。数据保护系统的最终目的是确保应用系统的安全运行和故障恢复机制，系统设计的首要目标是建立这一系统安全体系。 3) 稳定性原则

我们在采用国际先进的存储技术的同时，着重考虑了系统的稳定性和可行性，使系统的运营风险降低到最小。这样，系统能够充分享受先进的存储技术带来的巨大收益。

广东省立中山图书馆数字化建设项目自动化集成系统

4) 系统设计的可扩展性

系统的建设，不仅仅是满足当前数据存储备份的需求，还要充分考虑系统在今后应用中的可扩充性。

3.2.2、数据保护技术选择

数据备份的意义在于恢复，灾难过后必须恢复应用数据以便重新开始业务交易。按照不同的灾难恢复点目标（Recovery Point Object）和灾难恢复时间目标（Recovery Time Object）有不同的灾难恢复手段。

1. 灾难恢复时间目标（Recovery Time Object）

传统方法的目标恢复点（RPO）是数小时，即灾难发生之后到系统得到恢复之间数小时的交易数据将被损失掉，可见传统的方式限制了恢复数据的时效性和现时性，造成业务交易损失过大。但数据复制可将恢复点缩短到数秒钟，使数据的损失减少到最小程度。另外，传统方式的恢复时间（RTO）可能是数日或数周，但数据复制技术把恢复时间缩短到数分钟，使业务的连续性得到最大保障。

广东省立中山图书馆数字化建设项目自动化集成系统

2. 灾难恢复点目标（Recovery Point Object）

有人认为，企业业务系统中的数据库软硬件有容错和自动恢复功能，服务器主机也做了双机热备份，也就不需要用磁带设备和备份软件做备份了。其实这种观点的错误在于，对备份概念的理解存在偏差。双机热备份的目的在于保证系统数据和服务的“在线性”，即当系统发生部分硬件故障时，仍然能够正常地向网络系统提供数据和服务，以使系统不致停顿。而磁带备份技术的目的是“将在线数据转移成离线数据的过程”，其目的在于应付系统数据中的逻辑错误和对历史数据的长期保存，以达到在系统遭遇非正常情况引起的完全崩溃后的灾难恢复。备份的任务与意义就在于：当灾难发生后，通过数据备份快速、简单、可靠地恢复一个立即可用的系统。所以，在各种容错技术非常丰富的今天，企业的数据备份和恢复系统仍然是不可替代的。 3. 连续数据保护

传统数据保护解决方案的关注点是定期的数据备份，而连续数据保护（Continuous Data Protection，CDP）则将注意力从备份转向了恢复。

连续数据保护是数据保护领域的一项重大突破。过去，各种数据保护解决方案都将主要精力放在定期的数据备份上。在定期备份状态下，会产生像备份时间窗口、打开的文件及数据库的保护以及备份操作过程对业务系统的影响等问题。CDP已经使数据保护全面改观，并且将注意力的焦点从备份转向了恢复。CDP可以为重要数据中的变化提供连续的保护，IT管理员根本不需要考虑备份的问题。当灾难发生时，基于CDP的解决方案可以迅速恢复到任何一个需要的还原点，从而为用户提供更大的灵活性和更高的性能。

与传统的数据保护解决方案相比，CDP可以提供更灵活的目标恢复点（Recovery Point Objectives - RPO）和更快的目标恢复时间（Recovery Time Objectives - RTO），而传统的方式只能创建、管理和恢复单个时间点的数据备份。相比之下，CDP可以捕获和保护数据中所有的变化，而非仅仅是某个预先选定的时间点。可以随时访问数据，减少数据损失并消除代价高昂的停机损失。数据的检索也变得非常可靠、快速和精细。

3.2.3、备份管理系统组成

广东省立中山图书馆数字化建设项目自动化集成系统

一个理想的网络数据备份是在软件数据备份的基础上加上硬件级物理容错系统，并且能够自动地跨越整个网络系统平台。因此，网路数据备份实际上包含了整个网络系统的一套备份体系。一个好的数据备份系统应该具备以下一些基本要素：

 保护性：全面保护企业的数据，在灾难发生时能快速可靠地进行数据恢复。

 可管理性：是备份中一个重要的因素。因为可管理性与备份的可靠性紧密相关。最佳的可管理性就是自动化备份方案。不仅增加了数据的安全性与可靠性，而且在数据恢复时减少繁琐的工作步骤，节约了大量的人力和时间。

 可扩展性：经常困扰系统管理员的一个问题是在备份过程中因介质容量不足而更换介质。导致降低了备份数据的可靠性与完整性。

因此，建立完善的网络数据备份系统必须考虑以下的内容：  计算机网络数据备份的自动化，减少系统管理员的工作量；  使数据备份工作制度化；

 介质的有效管理。自动的清洗轮换，提高介质安全性和使用寿命；

 以备份服务器形成备份中心，对各种平台的应用系统及其他信息数据进行集中的备份，系统管理员可以在任意一台工作站上管理、监督、配置备份系统，实现分布处理，集中管理的特点；

 维护人员可以容易地恢复损坏的整个文件系统和各类数据；

 备份系统还应考虑网络带宽对备份性能的影响，备份服务器的平台选择及安全性，备份系统容量的适度冗余，备份系统良好的扩展性等因素； 一个完整和完善的备份系统包括以下的组成部分：

图：备份系统组成

1. 备份管理系统的结构

现在，在备份与恢复技术方面，用户有了更多的选择。

广东省立中山图书馆数字化建设项目自动化集成系统

 对于数据量不是很大的用户，可以选择直连式数据保护方案——一台磁带驱动器或者磁带库通过SCSI设备直接连到服务器上，备份与恢复的数据通过核心通讯网络（如LAN、WAN）来完成。

 对于中等数据量的用户，可以选择网络附加存储架构，将磁带驱动器或者磁带库放在网络中心服务器上，实现LAN-Free备份。

在设计备份管理系统的时候，要根据客户的实际网络环境和数据保护需求选择合适的结构。 2. 执行备份的存储硬件

存储硬件的质量与性能在整个备份过程中是至关重要的，它是能否进行高质量备份的关键所在。目前用于备份的存储主要有磁盘设备和磁带设备。磁盘设备具有快速的读写和快速搜索能力，适合于快速的小数据量备份（几百G以下）,但不适合数据的较长期离线保存；而磁带设备具有大容量、每兆字节价格低和便于离线存放的特征，适合于大数据量的备份（几百G以上），但是执行备份和恢复的速度相对较慢。

介质是数据的负载物，可以是磁带也可以是硬盘。它的质量一定要有保证，使用质量不过关的介质无疑是拿自己的数据冒险。由于磁带是一种易耗品，有一定的使用寿命，使用者应当知晓何时需要更换新磁带。有些好的磁带会自带一个使用记录，当磁带使用次数超过了最高限制，会自动报警，提醒用户更换磁带。磁盘也是一种重要的备份介质，特别是大容量存储备份需求的时候。

3. 控制备份的软件

操作系统通常包括一些基本功能，但是为了达到更好的备份效果，最好使用专门的备份软件。优秀备份软件包括加速备份、自动操作、灾难恢复等特殊功能，对于安全有效的数据备份是非常重要的。理想的备份软件与自动加载磁带机配合，可提供自动备份、自动磁带轮换、自动诊断和数据统计功能。 4. 备份策略

备份策略是指确定需要备份的内容、备份时间以及备份方式。备份的数据往往根据企业或组织的需要来确定。在实际应用中，必须根据备份窗口和恢复窗口的大小、以及整个数据量，决定采用何种备份方式。 5. 灾难恢复计划

数据备份与灾难恢复密不可分，数据备份是灾难恢复的前提和基础，而灾难恢复是在次基础上的具体应用。灾难恢复的目标与计划决定了所需要采取的火速据备份策略,与数据备份策略有紧密联系。如果数据备份策略必须仔细考虑以确保能设计所要保存的所有类型和地域的数据，那么灾难恢复策略则要考虑的是一场灾难性的数据损失情况发生时，如何使这些数据和有数据的系统能够及时被恢复。

3.2.4、整体系统架构设计

广东省立中山图书馆数字化建设项目自动化集成系统

图：XXXX备份管理系统及服务器整合及虚拟化结构设计图

备份架构说明

首先，为了配合现有的网络结构，在尽量不改变现有的网络架构及应用环境的情况下，对所有的应用服务器采用网络备份方式，通过局域网或专用的备份局域网络，对应用服务器的数据进行备份，将数据通过备份服务器写入到磁带库或磁盘阵列中。

选择网络备份的方式进行数据备份。网络备份适用于数据量不是很大的备份需求，特点是结构简单、投资少和易于维护等特点。当系统中的数据不断增长，网络成为瓶颈时，使用完整的LAN-Free备份方案是最好的选择。针对XXXX现有的网络架构，建议目前的备份系统采用网络备份的结构，在日后可以平滑升级到LAN Free的架构。

其次，需要一台服务器作为集中备份、恢复和管理的服务器，在整个备份或恢复过程中，对系统、应用会有一定程度的影响，建议单独配置一台Windows Server 2003服务器作为备份管理服务器，增加专用备份服务器的优势在于：

 专用备份服务器对提高备份效率更为有利，管理起来也更为方便；  备份时不占用应用服务器系统资源，不会影响应用业务系统的运行；

 可以将备份服务器与业务主机分离开来，以便于管理，也提高了备份数据的安全性； 采用网络备份模式，磁带库往往直连在主备份服务器上，每个应用服务器的备份数据均由备份代理将数据打包、通过TCP/IP网络传到备份服务器，最终完成到磁带设备的备份。具有实现简单、灵活、投资少、易管理等优点，在中小型企业应用系统中运用比较广泛。

再次，在网络备份的基础上，建议建立一个专用的备份网络。配置很简单，目前的PC服务器缺省已配置2个以上的以太网卡。指定其中一个网卡作为专用的备份连接，通过一个独立的以太网网络交换机组成一个专用的备份网络。备份的时候数据通过备份网络直接传输到备份服务器，而不需要占用业务网络的带宽，即减轻了业务网络的压力，也有利于备份速度的提高。

广东省立中山图书馆数字化建设项目自动化集成系统

另外，还建议采用基于网络的多级备份架构（D2D2T模式）实现高速的数据备份。数据先备份到备份服务器的硬盘或存储上，在空闲时再将数据迁移到磁带机上做为长期的数据保留。磁盘和磁带相结合的备份，既可以实现高速的存储备份，也可以实现数据长期保留的需要。

对于虚拟化系统中的数据备份，采用Backup Exec 12.5最新的功能结合VMware VCB功能，对整个虚拟机系统进行备份。

3.3、备份架构的功能设计

3.3.1、基于磁盘的数据保护系统设计

数据备份作为数据保护的一个重要组成部分，其地位和作用都是不容忽视的。对一个完整的IT系统而言，备份工作是其中必不可少的组成部分。其意义不仅在于防范意外事件的破坏，而且也是历史数据保存归档的最佳方式。

对于大多数企业来说，业务的发展使其数据必须保证每天7×24小时处于运行状态，因此，数据备份就显得极为关键。但是，对于企业的系统而言，即使是在系统正常工作的状态下，数据备份的工作也同样需要花费时间，占用系统资源，给正常业务系统带来一定性能和功能上的影响。在架设数据备份系统时，提升备份/恢复速度、减少系统负担，更充分的保证系统正常业务的高效运行，就成为企业的重要需求。就此而言，数据的备份和恢复时间成为了IT部门数据保护所面临的最大难题。

作为业界领先的存储软件厂商——Symantec已经解决这个长期困扰用户的问题。在其最新的企业级数据保护方案中，Backup Exec 12.5是目前业界速度最快的数据保护解决方案，引入了创新的、配合磁盘的合成备份技术（Synthetic Backup），可显著增强备份和恢复的功能。

备份的类型主要包括全备份、增量备份和差分备份：

 全备份的恢复操作简单，一次即可恢复全部数据，但是由于数据量大，全备份往往需要很长的时间；

 增量备份每次所要备份的数据量少，但是恢复时需要全备份及多份增量备份；  而差分备份在备份和恢复的速度上介于两者之间。 1. 备份到磁盘

Symantec Backup Exec软件备份到磁盘功能是一个基于磁盘的数据保护方案，帮助企业减少磁带介质的管理，增强备份和恢复性能。Backup Exec以磁带记录格式将备份数据写入磁盘（DAS、SAN或NAS）。备份到磁盘策略和存储分配可以很容易地通过图形用户界面配置，实现完全、增量或差分备份。

 只管的GUI有助于配置和管理；  备份存储系统始终处于可用状态；

广东省立中山图书馆数字化建设项目自动化集成系统

图：基于磁盘的备份和恢复示意图

2. 磁盘缓冲（Disk Staging）

提供了增强的磁盘缓冲备份(Disk Staging)功能。由于没有磁带设备的延迟，磁盘缓冲备份可以提供更快的备份和恢复，通过此功能生成的非多路复用备份数据映像，来实现更快的磁带恢复。合成备份技术和增强的硬盘缓冲功能综合使用，使用户更加灵活地配置备份和恢复策略，先将备份数据以缓存的形式保存到磁盘上，随后再将数据移到最终的磁盘或磁带上，从而缩短数据备份和恢复的时间，减小备份窗口。

图：磁盘缓冲示意图

3. 合成备份（Synthetic Backup）

合成备份技术（Synthetic Backups），是由一个基准备份（全备份）和增量备份自动组合成新的全备份，能灵活地通过一个累积增量备份以及任意数量的差分增量备份，创建合成累积增量备份。此外，全新的备份方法可通过单个备份映像提供快速的客户端恢复。由于文件只需备份一次，所以合成备份只会消耗较少的网络带宽，并能降低对应用主机的影响。

广东省立中山图书馆数字化建设项目自动化集成系统

图：合成备份示意图

借助这些基于磁盘的先进技术，用户能根据自身需求轻松地定制环境，进行更快的备份和恢复，以提升备份/恢复的速度，缩短备份窗口，减少对系统资源的占用，从而确保企业级数据保护能够从容面对当前日益增长的业务需求压力。

3.3.2、文件服务器的备份设计

Backup Exec 12 for Windows Servers专门设计用于Windows的应用，能够为Windows服务器提供更可靠、迅速而且高效的真正的持续数据保护。通过消除增量或差分备份甚至备份窗口，Backup Exec 12为数据保护带来了革命性的变化。

1、Windows系统代理（Remote Agent for Windows servers）

Remote Agent for Windows Servers扩展了网络范围的数据保护，并且优化了32位和64位远程 Windows服务器的数据传输，包括本地注册表和系统状态信息。 Exclusive Agent Accelerator 技术有助于最大限度地改进备份和恢复性能，在客户端提供源级别的压缩和分布式处理，从而减少网络流量，达到最高的数据吞吐量。

现在，该代理具备连续保护代理（Continuous Protection Agent）功能，为与Backup Exec Continuous Protection Server建立局域网或广域网连接的远程服务器提供连续的磁盘数据保护。连续的磁盘保护可将数据保护功能集成在中央服务器上，从而简化备份，缩短保护每台文件服务器所需的备份时间，提供更迅速的恢复，确保能够即时访问关键业务数据。它可以定期捕捉Continuous Protection Server上的数据的时间点快照，同时保护这些文件，提供这些文件的多版本存储和细致时间点恢复。整个系统状态信息也能得到保护。最终用户使用简单的Web恢复工具——Backup Exec Retrieve，即可无缝检索文件的早前版本。 2、高级打开文件选件*（Advanced Open File Option）

该代理确保业务服务器上的文件能够得到保护，即使该文件正在使用。Backup Exec的高级打开文件选件可在卷级别上处理打开文件，并无缝集成到Backup Exec软件中。用户无需提前知道哪些文件是打开的，只需设置预定备份时间，简单点击鼠标，即可使用该选件。此外，它还能在一次作业中备份多个卷，同时一次只创建一个逻辑卷快照。在创建该逻辑卷的快照，并进行备

广东省立中山图书馆数字化建设项目自动化集成系统

份之后，该快照将在创建下一个卷的快照之前被删除。这种功能可以达到完成快照所需的最低静默时间要求。

这项高级技术还能够检测和利用其它静态（Frozen）镜像技术，如Windows Server 2003上的Microsoft Volume Snapshot Service（VSS） 或赛门铁克的Veritas Volume Manager FlashSnap等，提高应用的可用性。

3、持续数据保护（Continuous Protection Server）

持续保护服务器采用基于Web的文件恢复功能（使用标准的Web浏览器）。IT管理员不再需要花费时间来恢复最终用户数据。最终用户可以立即安全地恢复自己的服务器数据。需要时，IT管理员可以从网络中的任何计算机通过相同的Web浏览器界面恢复数据。

图：持续数据保护备份过程

Backup Exec 12持续数据保护服务器主要功能：

主要功能 真正的连续数据保护                 功能细节描述 存放在文件服务器上的数据，在变化后会立即得到保护 不必再制定备份计划 备份任务仍然可以按计划执行 只有变化的数据(块级别)才被捕获并保护起来 减少数据在网络上传输量，增加效率 提供文件的多个版本 可以使用VSS快照功能 提供稳定可靠的快照整理 提供更加灵活的快照管理和保存 简化远程办公室的安装过程 不需要现场安装 让最终用户自己恢复自己的数据 – 无需联系IT部门 减少IT请求数量，提高服务水平 客户端上不需要安装软件 只需要一个标准的浏览器 建立在Windows 安全机制之上(用户只能看到属于自己数据块级别的保护 时间点快照 推送安装 基于Web的最终用户恢复 广东省立中山图书馆数字化建设项目自动化集成系统

   类似于Backup Exec 的管理控制台 带宽遏流 保护打开的文件 自动恢复备份任务 可以同时保护Windows Server 2000/2003        的文件) 用户可在“安全”的地方访问数据 没有数据、文件或者操作系统的风险 (如：不能删除文件) 通过文件名索引快速而简便地查询 新的、改进了的简单直观的界面 Leverages critically acclaimed Backup Exec Interface 为连续数据保护任务分配尽量大的带宽 在连续保护的同时，保护那些被打开的文件 在连接恢复后，可自动恢复连续数据保护任务 不需要管理员干涉介入 在您的单位内更大范围地提供数据保护 3.3.4、SQL服务器的备份和恢复系统设计

一个可靠的的SQL备份、恢复解决方案必须具备以下特点：

 当前系统的高可用性：当你只有非常小的备份窗口时，你必须采用高性能的热备份解决方案或减少备份数据工作的影响。

 可靠的结果：SQL的恢复是复杂的；备份解决方案必须是可靠的并且能提供针对SQL数据库错误的恢复功能。

 可管理性：一个备份、恢复解决方案必须能提供全面的自动备份作业，使无人值守的工作可以在任何时间内实行。同时也必须允许数据库管理员可以计划备份任务使关键性数据得以有效地保存。另外还必须提供点对点的备份管理，从跟踪和恢复正确的文件到检索旧的备份文件。

 可扩展性：一个SQL的备份和恢复解决方案还应该使我们能恢复正确的数据表，实行在线恢复，或恢复到指定时间点。为实现该目标，必须能与SQL数据库高效集成。

1. Backup Exec SQL Agent功能

Backup Exec SQL Agent具有多项全新功能，包括：  为SQL数据库提供连续保护；

 将SQL数据库灵活恢复到原始位置以外的其它目的地；

 将SQL数据库发送到介质的数据流的副本重定向到本地目录，以备日后使用。  为SQL Server 2005提供快照功能，并与Backup Exec 编录集成，提供所有数据副本的整合视图，以便在数秒内恢复。

 在应用或硬件遭到破坏或损失时，代理可以确保关键业务数据库和电子商务数据得到保护。

 为SQL Server 7.0、SQL Server 2000和SQL Server 2005用户提供32位和64位系统的细致保护，可以细化到单个数据库或文件组。利用自动截断技术，执行差分备份和事务处理日志备份。

支持 Microsoft Virtual Device Interface（VDI），为用户提供最可靠、最快捷的保护方法，实现全面的SQL SERVER保护。可以进行冗余校验，验证SQL备份的完整性。该选件与Verify Only

广东省立中山图书馆数字化建设项目自动化集成系统

Restore Job选件结合使用。此外，还可以验证介质上的SQL数据的完整性，确保在恢复作业过程中，在数据库被删除或覆盖之前，目标SQL数据库能够接收数据。

图：SQL Agent备份选择示意图

2. Symantec Backup Exec SQL Agent优势：

 Backup Exec让系统管理十分轻松浏览需要保护的SQL数据库，把所有SQL资源整合在一个备份作业里，提高了备份管理的灵活性。既可以按照单台SQL服务器进行系统文件、SQL系统文件和SQL数据库备份管理，也可以只是指定备份所有的SQL数据库。  Backup Exec的简单管理功能简化了SQL数据的恢复。在选择全备份恢复、差别恢复和事务日志备份恢复时候，Backup Exec自动按照相应的文件顺序恢复到目标路径并恢复数据的在线访问。

 Backup Exec提供了业界独特的“Guide Me”向导，帮助系统管理员选择最合适的SQL备份策略。

3. SQL服务器的备份

图：Backup Exec SQL Agent备份逻辑示意图

提交 SQL备份作业时， Backup Exec使用Microsoft SQL API 获取数据库的备份。与 SQL数据库关联的事务日志自动包括在备份中，并存储在SQL数据库备份集内一个单独的备份集中。

广东省立中山图书馆数字化建设项目自动化集成系统

图：Backup Exec SQL Agent网络备份示意图

3.3.6、Oracle服务器备份方式

已经在关键性应用中选用了Oracle数据库的企业，通常也采用了在Oracle数据库的备份与恢复方案，但大部分的企业仍然使用脚本或手工的方式，甚至许多企业仍然使用已经不合适的备份策略（时间、数据、存储方式等）。

Oracle备份方式 冷备份 （脱机方式） 必须停止ORACLE服务后进行，创建一致性的数据映象（数据库处于一致性状态） 在Oracle服务运行时备份，可以是全备份或增量备份，对于非常大的数据库（例如：一个数据表需要备份一天），热备份并非永远是一致性的，必须与存档文件及在线日志相关联而进行管理以保证数据的一致性，另外的情况也包括了在备份的同时进行恢复（例如用户在备份过程中误删除了一个数据表）。进行热备份意味着需要在特殊的备份模式下处理Oracle的数据，在备份过程中记录、产生额外的重做、回滚信息。 热备份 （在线方式） 已经在关键性应用中选用了Oracle数据库的企业，通常也采用了在Oracle数据库的备份与恢复方案，但大部分的企业仍然使用脚本或手工的方式，甚至许多企业仍然使用已经不合适的备份策略（时间、数据、存储方式等）。

难以判断正确的备份数据以用于恢复，恢复了错误的数据，这些都是手工和脚本方式备份时会遇到的问题，而更重要的是，手工或使用脚本方式备份Oracle数据库会无法避免错误和数据恢复的延误。

而一个可靠的的Oracle备份、恢复解决方案必须具备以下特点：

 当前系统的高可用性：当你只有非常小的备份窗口时，你必须采用高性能的热备份解决方案或减少备份数据工作的影响。

 可靠的结果：Oracle的恢复是复杂的；备份解决方案必须是可靠的并且能提供针对Oracle数据库错误的恢复功能。

 可管理性：一个备份、恢复解决方案须提供全面的自动备份作业，使无人值守的工作可以在任何时间内实行。同时也必须允许数据库管理员可以计划备份任务使关键性数据得

广东省立中山图书馆数字化建设项目自动化集成系统

以有效地保存。另外还必须提供点对点的备份管理，从跟踪和恢复正确的文件到检索旧的备份文件。

 可扩展性：一个Oracle的备份和恢复解决方案还应该使我们能恢复正确的数据表，实行在线恢复，或恢复到指定时间点。为实现该目标，必须能与Oracle+数据库高效集成。 Backup Exec Oracle Agent功能

Symantec Backup Exec - Agent for Oracle Server (Oracle Agent) 使网络管理员能够对连接在网络上的Oracle数据库安装执行备份和恢复操作。Oracle数据库备份能够与网络备份集成在一起，而不必单独进行管理或使用专门的硬件。

Backup Exec Oracle Agent 提供以下支持：

 支持Windows和Linux系统下的Oracle数据库备份，包括Oracle RAC。  数据库、事务日志、差别、文件组备份以及数据库修复和替换。

 结合Intelligent Disaster Recovery Option，根据安装的Oracle版本自动完成Oracle的灾难修复过程。

 支持Oracle数据库的在线备份、恢复而不会中断、影响数据库访问。  备份多个实例。

 与Symantec Backup Exec Advanced Disk-based Backup Option (ADBO)和Advanced Open File Option (AOFO)一起使用。ADBO和AOFO是Backup Exec的独立附加组件。使用ADBO和AOFO可以缩短恢复时间并减轻备份对服务器的影响。

 备用数据库。在Oracle服务器发生故障或将其关机进行维护时，可将备用数据库的数据库联机。即使主服务器不可用，用户也可以继续访问数据库。当主服务器重又可用时，备用数据库中的更改必须恢复到主服务器，否则更改将丢失。

 Backup Exec支持在恢复Oracle时：在日志文件备份完成后将数据库置于待机模式和修复完成状态让数据库只读但能恢复额外事务日志来创建和维护备用数据库的模式。  对每个备份和恢复作业进行数据库一致性检查 (DBCC)，包括只对数据库的物理一致性进行快速数据库一致性检查。  完全、批量日志记录和简单修复模式。

 将事务日志恢复到特定时点，或者恢复到指定事务（如果使用日志标记）。

3.4、灾难恢复计划

3.4.1、灾难恢复计划概述

某些常见的情况——相关的硬件问题、配置改变、应用程序故障、病毒攻击，或是恶意黑客攻击，都可以使企业的服务器瘫痪。那么至关重要的问题是在业务受到影响之前有多少时间来恢复数据与应用程序。传统的方法可能需要几个小时到几天来恢复服务器、重装软件、配置应用程序、设置用户，将系统恢复到正常状态——假设此过程没有其它错误出现。因此，很有必要简化这种高度复杂而且耗费大量精力的过程，满足企业对恢复时间目标的要求。

广东省立中山图书馆数字化建设项目自动化集成系统

传统灾难恢复过程有三项主要的缺点：  首先，认为错误是开放的。

 其次，由于没有自动的完整的解决方案，毫无准备的用户或管理员将面临恢复一个瘫痪系统所需要的冗长而艰难的工作过程。因此导致用户、系统管理员或顾问人员的许多宝贵时间都花在了恢复和重装网络服务器上。对生产力的提高只能起到负作用。

 再次，手工灾难恢复方法在技术上是复杂的，并需要长时间才能完成。如果操作不正确，这个过程还得包含一系列可能阻碍系统恢复得行为。如此一来，管理员不得不从头开始重新运作手工恢复过程。

图：手动恢复和SYMANTEC智能灾难恢复的比较

灾难恢复就是为恢复计算机系统而提供的技术保证。事实上，灾难恢复计划要求有周详的事前准备，尤其是灾难所引起的对业务的冲击程度的分析，并相应制定灾难后的恢复策略，利用可行的信息技术，提出最佳的恢复方案。

Symantec Backup ExecSystem Recovery系统灾难恢复软件的设计目的是自动管理和简化服务器恢复过程，用户无需重新手动安装操作系统和配置硬件。通过该软件，用户不必进行大量培训，也不必要作沉闷繁琐的管理工作，只需要简单的操作，即可在很短时间内完成整个服务器的恢复。服务器的恢复将变得更加迅速、简单，并极大提高成功率。业务也将会更快恢复正常。

3.4.2、灾难恢复的好处

 降低风险，保证在发生各种不可预料的故障、破坏性事故或灾难情况时，能够继续提供计算机服务，确保业务系统的7x24小进不间断运行，极大地降低因系统停机而造成的损失；

 最大限度地保护系统数据的实时性，完整性和一致性。实施Symantec的灾难恢复解决方案可以将用户数据的损失降至最低甚至为零；

 能够增强数据中心的可用性和灵活性。如数据中心主机系统维护。部件更换、系统移植和软件升级等情况下提供不停机环境，保证业务的连续性，避免系统中断运行带来的行业声誉损失以及经济利益损失；

广东省立中山图书馆数字化建设项目自动化集成系统

3.4.3、灾难恢复策略规划

要理解在公司内使用的每一个部门和网络，以及能够快速有效地进行数据恢复的最重要的系统。只有这样灾难恢复策略才能应对每一种可能出现的数据损坏事故。

可以按照以下几个步骤来制定数据恢复策略：  评估公司对数据流和有效数据的需要。  每次数据损坏事故造成的经济损失有多大。

 在多长时间范围内必须成功进行数据恢复，以避免其影响企业收益。  评估数据损失的风险，确定跨部门的数据恢复策略优先级别。  评估数据存储备份设备的所有潜在风险。

 使用上述评估结果制定Cost Effective的安全机制，包括备份。  数据损失的间接代价是什么。

 通过对所有的数据损坏进行预算来制定预防策略和最终的数据恢复策略。

数据恢复策略对公司具有很大的价值。当企业数据处在危险之中时，企业的生存全系于一纸数据恢复计划上。当公司成长并且发展时，确保数据恢复策略能够保持更新。在企业进行规划和预算时，要优先考虑企业的数据恢复策略。 1、主机的灾难恢复策略

情况 故障现象 主机数据磁盘故障 （非系统盘） 解决措施  若数据盘使用了RAID1、RAID5等技术，则应该可直接热替换硬盘；  若数据盘已不能访问，则需先修好物理盘，然后从备份介质恢复数据；  替换系统盘；  则可以通过备份系统的灾难恢复功能恢复操作系统；  直接通过备份系统的灾难恢复功能恢复操作系统；  通过备份介质上的数据备份恢复数据；  所谓数据中心灾难，是指一些特殊情况发生时，数据中心的主机系统的存放在磁盘上的数据，以及备份带库中的备份介质上的数据均遭损坏。此时，若没有很好的容灾解决方法，就可能导致严重的后果；  一旦灾难发生，即使磁带库中的备份介质损坏，还可用保险库中的备份介质通过本地或远程进行恢复； 1 2 3 4 系统盘物理损坏 操作系统不能启动 磁盘上数据损坏(人为失误、病毒或黑客攻击) 5 数据中心灾难 2、企业数据的灾难恢复策略

在制定企业数据恢复策略时，要充分考虑到灾难发生之后影响数据恢复的几个因素。在制定恢复策略时应该考虑的因素包括：

广东省立中山图书馆数字化建设项目自动化集成系统

 文档化并归档系统配置  文档化并归档灾难恢复的程序  安全措施。文档以及磁带介质跟踪  判断和保护所有关键业务的服务器

可以确保持续监控、数据连贯性和可用性的自动化工具是至关重要的，通过从大量灾难事件中所获得的重要经验，使用上述手段可以使企业的业务运行得更好。 3、建立灾难恢复中心

企业还可以建立灾难恢复中心来及时地恢复所有的数据。灾难恢复中心有非实时和实时两种模式。非实时模式就是利用磁带作为备份技术，计算中心人员每天定时备份生产中心数据，并及时送往灾难恢复中心，尽量保证灾难恢复中心拥有生产中心的最新数据，一旦灾难发生，灾难恢复中心可将业务在较短时间内恢复运作。这种模式的特点时在数据备份问题上技术难度不大，但很难保证生产中心与备份中心间数据的实施性一致。实时模式就是在生产中心和灾难恢复中心之间建立通信线路，利用数据实时备份，将生产中心主机的数据实时送往灾难恢复中心，保证生产中心也备份中心数据一致。当灾难发生，生产中心陷入瘫痪时，灾难恢复中心将在最短的时间内，接管所有或部分业务，恢复系统正常运作。

3.4.4、系统快速灾难恢复解决方案

Backup Exec System Recovery是目前业界速度最快的系统保护解决方案，引入了创新的裸机恢复技术（Bare Metal Restore），可显著增强Windows操作系统的备份和恢复功能。

Backup Exec System Recovery利用快照（Snapshot）技术截取服务器完整的即时运作状态，将操作系统、应用程序、系统设定与文件等所有内容、储存在易于管理的单一档案中。因此，能在短短数分钟内，重建整个系统或执行裸机恢复（Bare Metal Restore），轻松将被摧毁的系统还原至指定时间。还能将系统迅速恢复至不同的硬件平台，甚至是VMware的虚拟环境中，因此可先在虚拟环境中测试修正程序、应用程序的安装，再转移到正式系统，具有极大的弹性。

Symantec Backup Exec System Recovery的设计目的是自动管理和简化服务器恢复过程，用户无需重新手动安装操作系统和配置硬件。通过该软件，用户不必进行大量培训，也不必要作沉闷繁琐的管理工作，只需要使用简单的命令，即可在很短时间内完成整个服务器的恢复。该方案能一次满足多种平台的需要多种平台的需要，无需要为每个平台单独定制恢复过程。服务器的恢复将变得更加迅速、简单，并极大提高成功率。业务也将会更快恢复正常。

Symantec Backup Exec System Recovery的典型应用：  从崩溃的操作系统中恢复 (如：病毒/蠕虫)

 从应用程序安装失败的状态恢复 (如：版本变化管理 )  彻底的灾难恢复 – Bare Metal Recovery

 从用户的错误操作或者对系统文件的误删除中恢复  在服务器间迁移/共享系统恢复点

广东省立中山图书馆数字化建设项目自动化集成系统

四、系统方案产品

4.1端点安全保护Symantec Endpoint Protection

根据以上防病毒系统设计思路，我们推荐采用Symantec Endpoint Protection

4.1.1产品简介

Symantec Endpoint Protection 将 Symantec AntiVirus™与高级威胁防御功能相结合，可以为笔记本、台式机和服务器提供无与伦比的恶意软件防护能力。它甚至可以防御最复杂的攻击，这些攻击能够躲避传统的安全措施，如 rootkit、零日攻击和不断变化的间谍软件。

Symantec Endpoint Protection 不仅提供了世界一流、业界领先且基于特征的防病毒和反间谍软件防护。它还提供了先进的威胁防御能力，能够保护端点免遭目标性攻击以及之前没有发现的未知攻击侵扰。它包括即刻可用的主动防护技术以及管理控制功能；主动防护技术能够自动分析应用程序行为和网络通信，以检测并阻止可疑活动，而管理控制功能使您能够拒绝对企业来说被视为高风险的特定设备和应用程序活动。甚至可以根据用户位置阻止特定操作。

这种多层方法可以显著降低风险，同时能够充分保护企业资产，从而使企业高枕无忧。它是一款功能全面的产品，只要您需要，即可立即为您提供所需的所有功能。无论攻击是由恶意的内部人员发起，还是来自于外部，端点都会受到充分保护。

Symantec Endpoint Protection 不仅可以增强防护，而且可以通过降低管理开销以及管理多个端点安全性产品引发的成本来降低总拥有成本。它提供一个代理，通过一个管理控制台即可进行管理。从而不仅简化了端点安全管理，而且还提供了出色的操作效能，如单个软件更新和策略更新、统一的集中报告及一个授权许可和维护计划。

Symantec Endpoint Protection 易于实施和部署。赛门铁克还提供广泛的咨询、技术培训和支持服务，可以指导企业完成解决方案的迁移、部署和管理，并帮助您实现投资的全部价值。对于希望外包安全监控和管理的企业来说，赛门铁克还提供托管安全服务，以提供实时安全防护。

广东省立中山图书馆数字化建设项目自动化集成系统

4.1.2产品主要优势

 安全

全面的防护 — 集成一流的技术，可以在安全威胁渗透到网络之前将其阻止，即便是由最狡猾的未知新攻击者发起的攻击也不例外。以实时方式检测并阻止恶意软件，包括病毒、蠕虫、特洛伊木马、间谍软件、广告软件和rootkit。

主动防护 — 全新的主动威胁扫描使用独特的赛门铁克技术为未知应用程序的良好行为和不良行为评分，从而无需创建基于规则的配置即可增强检测能力并减少误报。

业界最佳的威胁趋势情报 — 赛门铁克的防护机制使用业界领先的赛门铁克全球情报网络，可以提供有关整个互联网威胁趋势的全面视图。借助此情报可以采取相应的防护措施，并且可以帮助您防御不断变化的攻击，从而使您高枕无忧。  简单

单一代理，单一控制台 — 通过一个直观用户界面和基于 Web 的图形报告将全面的安全技术集成到单一代理和集中的管理控制台中。能够在整个企业中设置并实施安全策略，以保护您的重要资产。添加 Symantec Network Access Control 支持时，可以简化管理、降低系统资源使用率，并且无需其它代理。通过购买许可证可以在代理和管理控制台上自动启用 Symantec Network Access Control 功能。

易于部署 — 由于它只需要一个代理和管理控制台，并且可以利用企业现有的安全和 IT 投资进行操作，因此，Symantec Endpoint Protection 易于实施和部署。对于希望外包安全监控和管理的企业，赛门铁克提供托管安全服务，以提供实时安全防护。

降低拥有成本 — Symantec Endpoint Protection 通过降低管理开销以及管理多个端点安全产品引发的成本，提供了较低的总体拥有成本。这种保障端点安全的统一方法不仅简化了管理，而且还提供了出色的操作效能，如单个软件更新和策略更新、统一的集中报告及一个授权许可和维护计划。  无缝

广东省立中山图书馆数字化建设项目自动化集成系统

易于安装、配置和管理 — Symantec Endpoint Protection使您可以轻松启用、禁用和配置所需的技术，以适应您的环境。

Symantec Network Access Control 就绪 — 每个端点都会进入“Symantec Network Access Control 就绪”状态，从而无需部署其它网络访问控制端点代理软件。

利用现有安全技术和 IT 投资 — 可以与其它领先防病毒供应商、防火墙、IPS 技术和网络访问控制基础架构协作。还可以与领先的软件部署工具、补丁管理工具和安全信息管理工具协作。

4.1.3主要功能

防病毒和反间谍软件 — 提供了无可匹敌的一流恶意软件防护能力，包括市场领先的防病毒防护、增强的间谍软件防护、新 rootkit 防护、减少内存使用率和全新的动态性能调整，以保持用户的工作效率。

网络威胁防护 — 提供基于规则的防火墙引擎和一般漏洞利用禁止功能 (GEB)，该功能可以在恶意软件进入系统前将其阻止在外。

主动威胁防护 — 针对不可见的威胁（即零日威胁）提供防护。包括不依赖特征的主动威胁扫描。

单个代理和单个管理控制台 — 在一个代理上提供防病毒、反间谍软件、桌面防火墙、IPS、设备控制和网络访问控制（需要购买赛门铁克网络访问控制许可证）— 通过单个管理控制台即可进行全面管理。

4.1.4安全策略

 防病毒策略

 防病毒管理服务器的病毒定义码更新时间规划  防病毒客户端的病毒定义码更新时间规划

 防病毒客户端的实时防护设置，配置病毒检测的类型、操作处理方式、警报

方式

 防病毒客户端的日志记录时间设置  防病毒客户端的隔离区参数设置  防病毒客户端的篡改选项设置

 防病毒客户端的调度扫描设置，包括扫描的类型和对病毒的处理方式  防火墙策略

在该策略库中做了2个策略模版分别为：隔离区策略、 内网限制策略。在这些策略模版中包括以下几个策略：

 受限的应用程序：禁用一些与工作无关的应用程序运行。

广东省立中山图书馆数字化建设项目自动化集成系统

 恶意程序黑名单：禁用一些严重的病毒、木马、恶意程序  禁止拨号和无线网络连接：防止非法外连  互联网网址屏蔽策略：杜绝与公网IP的通讯  操作系统防护策略

 设备禁用示例  USB存储设备只读  防止USB木马传播  防止IE加载恶意插件示例  禁止程序运行示例  注册表键保护示例  文件修改审计示例  主机完整性策略

 防病毒软件的安装与运行检测规则  分发防病毒软件示例  补丁检查策略

 分发补丁示例  卸载指定补丁示例

 安全加固设置

 针对SAN top10 所列漏洞的检查及修复  针对IIS漏洞的检查及修复

 针对Internet explorer漏洞的检查及修复  其他常见服务和应用的漏洞  常见系统设置弱点  禁止匿名访问  禁止空连接

 统一桌面管理设置

 统一墙纸  统一屏保  IE主页设置

广东省立中山图书馆数字化建设项目自动化集成系统

 IE代理设置  IE安全级别设置  Registry tool限制  添加删除程序限制  禁止更改IP设置

 时间同步设置，禁止更改系统时间  桌面锁定、默认主页设定策略

4.1.5 SEP解决方案

1协同防护、多管齐下

Windows系统在没有任何防护的情况下，可能有成千上万中威胁试图攻击系统，而这些威胁若侥幸突破防线，图书馆面临的损失将非常大。因此，windows协同防护的第一步是“事前防范”。图书馆可以通过防火墙和IPS等技术监测并大量减少第一层的威胁。然后任何一种威胁阻断技术都无法将风险完全阻挡在计算机之外，因此，第二步是“扫除已入侵的威胁”。

Symantec的windows系统保护整体解决方案（以下简称“SEP”）为各图书馆用户提供了一整套完善的从网络安全级别防范－数据安全级别防范－系统安全级别防范－数据异地容灾几个层面的功能，将整个图书馆范围内的所有windows终端和服务器在制定好的安全策略上置于实时保护的状态，彻底杜绝各种来自网络威胁、人为错误、系统意外或自然灾难带来的数据丢失。

2 SEP端点安全解决方案

SEP的端点安全方案是一个全面的网络完整性方案，它确保每个终端在接入网络前是符合企业安全策略的。SEP还提供了分层的入侵保护和强制手段：

• 使用以应用程序为中心的防火墙来阻止蠕虫，木马和黑客，防止其利用漏洞，非法访问敏感信息或者发起攻击

• 分析流入流出的通讯中有无恶意行为，并且阻止入侵（HIPD）

• 每当用户连接网络时，确认图书馆管理终端是否符合图书馆策略，根据检查结果授予或者拒绝其接入权限

• 当访问来自于家庭，宾馆和无线区域时，对加密的通讯进行强制

• 自动下载和安装任何缺失的病毒特征库，防火墙策略，入侵检测特征库，软件补丁和安全工具，将图书馆端点修复到可信状态。

广东省立中山图书馆数字化建设项目自动化集成系统

SEP引入了全新的系统架构，将整个内网安全防护策略划分为逻辑上的三个组成部分： 1）内网边界安全防护

此部分架构实现对来自图书馆网络外部的安全威胁进行安全防护。 2）内网安全威胁防护

此部分架构实现对来自图书馆网络内部的安全威胁进行防护。 3）外网移动用户安全接入防护

此部分架构用于保证图书馆内部移动用户所处网络环境的变换，以及当移动用户处于外网安全防护薄弱网络环境中自身安全、接入图书馆网络安全。

我们建议使用SEP端点安全方案来解决内网用户、移动用户，分支机构，合作伙伴和供应商在企业Intranet及Internet上面临的种种网络安全威胁，SEP在以下各方面具有业界领先的安全防护解决方案：

图书馆网络面临的病毒，蠕虫威胁防护 系统软件、应用软件的补丁自动管理 系统软件自动化安全配置 终端用户网络准入控制

图书馆各种网络用户的网络接入安全防护，如VPN、远程拨号、无线AP、以太网接入等等的安全防护

网络入侵防范

图书馆各种重要的信息资源的安全保护 终端用户计算机各种安全防护软件的完整性防护 移动终端的环境自适应防护 统一、有效的安全策略管理 4.2 SEP端点备份解决方案

Symantec Windows Protection Solution为用户提供了桌面备份选件。这个选件通过安装在每一台终端上的桌面备份代理程序处理备份工作。

代理程序将需要备份的文件通过网络自动传输到网络存储位置，这可以就是原来的文件服务器，而这个传输的过程是块级增量的方式，可以有效节省带宽资源的消耗。

举个例子，如果用户有一个2GB的PST文件需要备份，传统的方式每次备份都需要在网络上传输2GB的数据，因为它就是一个文件，不管你用完全备份还是增量备份，结果都一样；现

广东省立中山图书馆数字化建设项目自动化集成系统

在我们利用块级增量的方式，在第一次完全备份之后，后续的增量备份只需要传输那些变化的数据块，大大减轻了网络带宽的压力。

SEP在备份数据的过程中分为两个步骤，先备份到用户的本地硬盘，再执行网络备份，当成功备份到网络位置上以后将会清空本地硬盘上的备份释放空间。非常适用与那些需要经常出差的移动办公用户，无论身处何处数据都会得到连续保护。

4.1.6服务器的硬件配置需求

建议在本部部署1台一级病毒服务器；在各分支机构各部署一台二级病毒服务器，共？台服务器。方案中推荐的两个产品SEP和SNAC采用统一的策略管理服务器和终端代理，无需额外配置服务器。

结合实际工程经验，硬件服务器的配置推荐如下：  一级防病毒服务器

CPU：P4 3.0GHz以上，双CPU 内存：4G RAM 硬盘：160G 硬盘

操作系统：Windows 2003 Server 数据库：Microsoft SQL Server 2000 数量：1台

 二级防病毒服务器

CPU：P4 3.0GHz 以上，单CPU 内存：2G RAM 硬盘：80G 硬盘

操作系统：Windows 2003 Server 数据库：Microsoft SQL Server 2000 数量：？台

4.2 Backup Exec 2010 For Windows Servers

4.2.1、为 Microsoft Windows Server 2008 提供优化的支持

为支持 Microsoft Windows Server 2008 而进行优化

广东省立中山图书馆数字化建设项目自动化集成系统

 Windows 2008文件系统支持包括压缩卷和加密卷  支持Active Directory 2008和全新的只读域控制器

 提供可伸缩的“故障切换集群”来支持不断扩张的Windows环境  支持基础Windows Server 2008——新的服务器核心版本

4.2.2、与赛门铁克市场领先的产品相集成

集成Symantec Enterprise Vault

 全新用于Enterprise Vault的Backup Exec代理  为Enterprise Vault归档数据库提供集成的数据保护  从分区快速而轻松地恢复单个索引目录和文件

 市场领先的备份、恢复和归档解决方案可以提供有效的数据保护 集成Symantec ThreatCon

 Backup Exec通过与Symantec Endpoint Protection (SEP) 集成跟踪ThreatCon状态  通过Symantec ThreatCon灵敏度阈值设置轻松配置备份作业

 如果达到预定的ThreatCon级别，作业会自动以“立即运行”状态启动  在恶意攻击造成数据受损之前主动运行备份

4.2.3、对关键应用程序数据提供增强的细粒恢复功能

 永远消除 Exchange 邮箱备份！

 快速而轻松地恢复电子邮件、文件和用户属性  新增功能：备份到可移动存储设备

 新增功能：自动删除过期作业，节约存储空间

 新增功能：对Exchange提供脱机备份支持，从而增强性能

4.1.4、增强的平台保护

改进的备份性能和数据加密方式

 支持较大的磁带数据块大小 – 高达1MB  支持LTO4 T10加密配置

 FIPS验证的256位AES加密（正在申请CMVP验证），对整个网络或存储设备提供灵活的数据加密 扩展的异构服务器防护  Mac OS X 10.5支持  Lotus Domino 8支持  IBM N系列NDMP Filer支持  Microsoft Virtual Server SP1支持 新代理和选件试用软件的功能

广东省立中山图书馆数字化建设项目自动化集成系统

 可以在不同的时间评估代理和选件

4.3、Backup Exec System Recovery Server主要功能概述

Symantec Backup Exec System Recovery Server不仅具备基于磁盘的裸机Windows 系统快速、可靠的恢复特点，而且还采用了独立于硬件的恢复和无人值守操作技术。 IT 管理员可以迅速将整个系统恢复至不同的硬件平台或虚拟环境，从而最大限度减少关键 IT 服务的停机时间。 可以从Windows台式机、笔记本电脑或Pocket PC远程恢复无人值守的服务器。

4.3.1、主要功能

 可以将整个系统快速恢复至不同的硬件平台  可以恢复至虚拟环境，或从虚拟环境恢复到物理环境

 轻松恢复远程、无人值守环境中的服务器，满足对恢复时间的要求。  与Symantec ThreatCon相集成，可以进行安全威胁级别触发的系统备份

4.3.2、主要优势

 数分钟之内即可从“裸机”状态恢复系统。  集中管理数千远程系统的系统防护和恢复状态。

 在线捕获系统恢复点，一次性捕获整个活动的Windows系统  网络带宽调节功能可减少网络通信。  经过Windows Server 2008认证的支持

 使用单一界面，从一个恢复点全面恢复文件、文件夹、Exchange电子邮件和SharePoint文档

 将备份复制到FTP位置或辅助磁盘，为异地存储和灾难恢复提供额外的保护  与Altiris® Notification Server相集成支持集中管理的系统备份  自动执行操作，可以减少备份和恢复过程的时间、复杂性和错误  计划的备份和事件驱动的备份有助于管理和保护不断变化的系统卷

 通过LightsOut Restore技术，无需本地介入即可备份和恢复远程位置的系统

4.3.3、灾难恢复工作流程

广东省立中山图书馆数字化建设项目自动化集成系统

图：Backup Exec System Recovery灾难恢复工作流程

 在服务器、台式机、笔记本电脑上安装软件；  对安装了软件的客户机创建完整或增量恢复点；  将恢复点存储到磁盘、阵列、USB或CD/DVD介质；

 系统出现崩溃等灾难情况时，使用Symantec Recovery Disk启动客户机；  选择所需的恢复点；  恢复整个系统；

4.3.4、Backup Exec System Recovery管理平台

图：Backup Exec System Recovery Manager和Backup Exec整合

 System Recovery Manager能够通过一个中央管理界面恢复所有不同的远程系统。  创建或者修订时间表、观测状态、定义目的路径、或者调整网络带宽优化网络的性能。  利用Backup Exec System Recovery Manager创建Backup Exec作业来建立D2D2T进程来保护恢复点并且把他们移动到磁带进行远程保护。

广东省立中山图书馆数字化建设项目自动化集成系统

4.3.5、异机恢复功能选件

图：Backup Exec System Recovery Restore Anywhere功能示意图

 Recovery Point被执行当Restore Anyware 选件安装后。

 当有硬件出现故障时，Recovery Point可以被还原到不同的硬件设备上。

 Recovery Disk包含了需要恢复到不同硬件设备所需要的驱动程序。当需要额外的驱动时会有系统提示。

 可以根据实际的硬件环境定制专用的Symantec Recovery Disk。

五、方案总结

5.1 Symantec Endpoint Protection 总结

SEP整体解决方案为所有的windows操作系统用户，包括终端和服务器系统提供了一套全面的数据安全套件，将所有的windows操作系统从桌面到数据中心全面“武装”，彻底摆脱“系统蓝屏”的困扰，使图书馆的数据永远可用，在统一的策略遵从下将图书馆的IT系统管理员从繁重的体力和脑力劳动中解脱出来。

SEP整体解决方案对于那些即将重新完善图书馆内部IT安全架构的用户，或多年来为管理来自不同安全厂商的软件带来的困扰的用户来说带来了巨大的价值。

广东省立中山图书馆数字化建设项目自动化集成系统

5.2、Backup Exec 2010总结

企业在持续调降IT成本的考验下，不仅要维持配置IT资源的机动性，同时也要将现有的IT基础建设发挥到最大的价值。因此，中小型企业需要足够经济高效和简单，能够轻松安装和管理，同时可靠、易用的数据保护解决方案，来灵活保护它们的Windows环境、部门工作组、远程办公环境，以及台式电脑和笔记本电脑上的关键数据。

SYMANTEC Backup Exec 2010显然适应企业的这种需求，它是SYMANTEC专为中小企业打造的Windows数据保护金牌标准，具有足够的可扩展性，能够从单台服务器扩展到多服务器的存储区域网络（SAN）。并且能够使用更少的硬件和更少的资源、在更短的时间内备份更多数据，并能够进行集中管理。事实上，SYMANTEC Backup Exec 2010不仅仅支持Windows平台，也能为32位和64位远程Linux和UNIX服务器提供网络范围的高性能数据保护。

具体来说，SYMANTEC Backup Exec 2010具有如下特色。 1. 连续的数据保护

数据保护是一个系统工程，它不仅包括本地数据中心，也包括桌面系统。SYMANTEC Backup Exec 2010能够为办公室或路途中的用户提供基于磁盘的持续保护。将用户数据自动复制到现有的网络共享或存储空间，管理员或用户能够快速恢复数据。能够简化部署，并支持Outlook 2003。

借助SYMANTEC Backup Exec 2010，用户无论是在办公室还是在旅途中，它都能为用户提供完善全面的保护方案，并能在多台台式机和笔记本电脑之间进行文件恢复和保持数据同步。用户只需通过一个简单、易于使用和配置的用户端界面（业界唯一的基于web的控制台），在浏览器环境中实现高效的集中式管理，从而降低管理成本。 2. 基于硬盘的备份和恢复

SYMANTEC通过专为Windows平台而设计的全新Backup Exec 2010软件，加入了基于磁盘的高级备份和恢复技术，可以实现更快的备份和恢复，进行零影响的备份，让用户能更快恢复数据，数据复原的时间仅需传统方案的一半。

可以说，SYMANTEC Backup Exec 2010基于硬盘的技术以及基于策略的合成备份和脱机备份功能所组成的数据保护方案，能够实现目前最快备份和恢复速度。其中，合成备份能缩短备份时间，无需制作全备份。藉由将规模较小的递增式备份汇整成单一合成的全备份，可加快数据恢复速度，并降低所耗用的网路带宽。此外，合成备份使用户能够从一个备份映像进行快速的客户端恢复，而无需从多盘磁带和增量备份进行恢复；脱机备份则针对整个储存区域网路（SAN）提供完全无干扰的数据保护机制，可自动将数据快照作业转移至替代的储存系统。该项功能能够在Backup Exec介质服务器上（而不是在远程计算机或生产主机上）处理备份操作，从而提高备份性能，解放远程计算机。 3. 独特的三层架构

广东省立中山图书馆数字化建设项目自动化集成系统

Backup Exec2010采用了SYMANTEC独有的核心三层架构，以卓越的性能来适应企业不断增长的数据的需求。三层架构包括了主备份服务器、介质服务器以及客户端代理。主备份服务器是架构的第一层，是所有数据保护活动（包括作业日程安排和追踪客户端备份、管理磁带介质和文件编录）的“智能中心”，它拥有一个或多个附带的存储设备，可为多台客户端服务器提供数据备份，也可以构成集群以实现高可用性；介质服务器构成架构的第二层，企业可以在各个地点部署介质服务器直接在本地备份大型应用，同时还可以通过网络备份其它客户端系统；架构第三层是备份网络中诸多服务器和工作站的客户端代理，这一层中，要保护的数据量不一定最多，但是需要安装的机器数量通常都是最多的。

在三层架构中，主备份服务器可以充当中央管理服务器对介质服务器（第二层）和客户端（第三层）进行集中管理，它就如同一个数据管理中枢，能够为多台Backup Exec介质服务器提供一个进行管理和控制的中心点，从而能够将分散的介质服务器集中进行管理、作业处理和负载平衡。

图：Backup Exec Web管理控制台

中央管理服务器是强大的可扩展解决方案，能够集中管理大量Backup Exec介质服务器的运行、负载平衡、容错、监控和报告。这些服务器可能位于Windows数据中心或分布在整个网络，或者位于远程办公室。借助中央管理服务器选件，用户可以简单地增加和管理Backup Exec。中央管理服务器采用了先进的体系结构，使用户能够：

 管理多个Backup Exec介质服务器上的数据保护操作；

 为整个Backup Exec 环境保存目录、设备、介质信息、策略、作业和选择列表；  凭借负载平衡和容错，确保现有的可管理介质服务器能够自动保护资源；  监控和报告可管理介质服务器上的所有作业活动；  可进行扩展，以适应未来的增长。 4. 全面的数据保护

SYMANTEC Backup Exec 2010应用了SYMANTEC新开发的SmartLink技术为数据保护与管理提供崭新的整合，使SYMANTEC Backup Exec、Replication ExecTM 和Storage ExecTM完美集成，构成当今基于Windows数据保护金牌标准，使企业的数据保护更加全面。

SmartLink整合技术可让用户在Storage Exec的报告中立即进行数据备份与归档。这些新型的集中式与整合式管理为IT人员提供单一化的管理介面，以及同时执行多项工作的能力。而

广东省立中山图书馆数字化建设项目自动化集成系统

Replication Exec与Backup Exec集成，使用户能够在Backup Exec工作台中查看SYMANTEC Replication Exec的作业状态和告警。

除了上述功能特点外，SYMANTEC Backup Exec 2010还拥有超过30项的功能改进，借助Backup Exec，用户能够确保从一个简单、易于管理的集成解决方案中得到保护，而无需购买额外的硬件，也不需要雇佣和培训新员工。