Продолжаем разговор о безопасности информации в локальных сетях. Сегодня мы поговорим о том, как и чем спасать положение, если ни административные, ни технические меры не помогли, и Вы стоите перед свершившимся фактом: файла нет...
Memento mori
Информация терялась, искажалась, разрушалась всегда. Даже методы все те же: уроните на пол глиняную табличку времен фараона или современный дисковод - результат один: читать будет нечего... А уж в ЛВС потеря или искажение информации - это вполне "штатная" ситуация, ибо это естественное следствие основного достоинства сети - множественного доступа к данным. Что же может противопоставить этому администратор? Как снизить до минимума риск полной потери данных или уменьшить время простоя сети при восстановлении?
Этими вопросами задавались еще на заре электронной ВТ, когда информационные технологии только зарождались в недрах засекреченных лабораторий. Разработанные в те же времена методы сохранения информации также действенны и актуальны сегодня, как и "во времена далекие, теперь почти былинные". Ничего нового: еще с самых первых широкомасштабных проектов ("Весна", БЭСМ, "Минск", позднее - машины серии ЕС) основой защиты информации является аварийное и архивное копирование (см. врезку 2).
Аварийное копирование на ВЦ проводилось по заранее утвержденному графику специально назначенными и обученными операторами. Копирование выполнялось на магнитную ленту в конце смены или в наименее загруженное время - в обеденный перерыв или ночную смену. В случае разрушения информации из архива извлекалась магнитная лента, содержащая последнюю копию, и в течение очень короткого времени производилось восстановление утраченных данных. Этот процесс был организован на высоком уровне оперативности, надежности и ответственности.
Распространение ПК и повсеместная децентрализация хранения и обработки данных вызвали нарушения в этом хорошо отлаженном механизме, т.к. вопросы копирования вышли из компетенции информационных служб предприятий и перешли в ведение конечных пользователей, но большинство из них не обладает ни теоретическими знаниями, ни практическими навыками в области защиты корпоративной информации. Да, еще существенно возросла надежность жестких дисков.
Эти факторы породили опасные иллюзии полной защищенности и вечной сохранности информации, а еще - пренебрежительное отношение к копированию.
Все эти рассуждения мгновенно превращаются из "чистой теории" в жестокую реальность в случае, когда информация на ПК или в сети все-таки разрушается, и у пользователя на руках остается неполная и недостоверная копия одно-, двух-, трехнедельной(!) давности. Это влечет за собой не только "сильные моральные издержки" непосредственного владельца информации и персонала информационного отдела, но и значительные финансовые потери.
Печальный пример из нашей жизни: года два-три назад из онкологического центра был украден компьютер с медицинской БД. Копии информации не оказалось. Об этом тогда много писали. Уму непостижимо! Или еще: каждые два-три года проносится эпидемия разрушительных вирусов. Сначала это были самоделки типа DIR, затем полиморфные красавцы из серии "1/2", а ныне - незабвенный CHIH. И каждый раз расплата настигает нерадивых с пугающим постоянством. Кажется, что может быть быстрее и проще: перед установкой новой игрушки проверьте архив антивирусом и создайте копию реестра, а прежде чем открыть почтовое сообщение - проверь его тоже! Нет! Не помогают ни призывы компьютерных вирусологов, ни советы специалистов, ни собственный печальный опыт. И ладно бы так поступать частному владельцу ПК: в конце концов "это его варенье..." Но встречается иногда подобные подходы и в среде работников, отвечающих за корпоративную сеть!
На государственных предприятиях положение усугубляется тем, что у значительной части работников высшего и среднего звена на сегодняшний день нет политики в области накопления и использования компьютерной информации, нет понимания ее ценности и поэтому нечего говорить о политике в области сохранения данных: если что-либо и делается, то силами одного человека и практически на голом энтузиазме.
А вот американские компании, чей бизнес зависит от сохранности информации, размещают свои центры обработки и хранения данных в специальных бункерах, выдерживающих падение полностью снаряженного B-52, и "зеркалируют" их, т.е. имеют не менее двух таких центров. Конечно, этот метод не для нас, но принять минимально необходимые меры по защите информации в своей ЛВС обязан каждый администратор. В конце концов, это дело его чести, его прямая обязанность и его лицо перед всеми сослуживцами. А им нет дела до оправданий и не будут они вникать в "объективные причины". Они доверили администратору свои данные, результат своей многодневной работы, и будьте добры принять меры для сохранности этих данных! А меры эти до смешного просты: создание системы аварийного копирования и разработка плана действий по восстановлению информации в обычных и аварийных ситуациях.
Разработку своей системы копирования Вы должны начать с всесторонней оценки Вашей сети на текущий момент и на среднесрочную (2-4 года) перспективу. Самый оптимальный вариант - разрабатывать систему копирования параллельно с построением сети. В этом случае Вы можете планировать не только число серверов, число узлов, объем данных, тип сетевых приложений и т.д., и т.п., но и все вопросы, связанные с рассматриваемой проблемой. Здесь никакие заочные советы не помогут: все зависит от специфики Вашего предприятия. Не рекомендуется на данном этапе переоценивать свои возможности сетевого эксперта. Естественный недостаток опыта может сыграть с Вами злую шутку, если Вы неверно оцените какой-либо из аспектов деятельности Вашего предприятия или Вашей сети. Самый правильный шаг - обратиться к услугам профессионалов. За последнее время консалтинг получает все более заметное развитие на нашем сетевом рынке, ибо все больше заказчиков начинают осознавать важность таких моментов при строительстве сети, как предварительное информационное обследование, перспективное планирование трафика, оценка эффективности финансовых вложений в сетевые технологии и т.д. Поверьте: расходы на консалтинговые услуги - одно из самых удачных вложений капитала! Перефразируя древних, можно сказать: "Кто владеет информацией, тот не делает ошибок!"
Итак, Вы получили консультацию в одной из сетевых фирм, а вместе с ней и достаточно полное представление о своей сети, о путях ее развития, о возможностях выбранного Вами сетевого оборудования. Эта информация будет необходима Вам и для того, чтобы определить наиболее подходящий для Вас тип оборудования вторичных носителей: учесть показатели производительности и цену устройств, емкость носителей и цену удельную при хранении данных, возможности масштабирования, обратную совместимость с другими носителями, перспективы развития выбранной Вами технологии копирования и т.д. В зависимости от необходимой Вам скорости копирования и от типа устройства, Вы далее выбираете программное обеспечение для аварийного/архивного копирования.
Что касается планов восстановления, то тут однозначно следует обратиться к консультантам. Вначале это могут быть статьи в специальных журналах или на Web-узлах крупных производителей ПО или техники, а когда Вы осознаете проблему и будете готовы к предметным разговорам, следует обратиться в сетевую фирму. Специалисты вместе с Вами детально исследуют состояние Вашей системы копирования, допустимые коридоры простоя сети, определят приоритеты при восстановлении данных, и на основе этих и ряда других данных предоставят Вам детальные рекомендации. Вам останется только опробовать их и быть готовым применить при необходимости.
...para bellum
Несмотря на некоторую одиозность, мудрость эта очень подходит к нашему разговору: только хорошо придуманная система аварийного копирования на базе современных устройств и ПО поможет Вам противостоять потере информации. Тем, кто занимается сетевым администрированием, будет очень полезно прочитать цикл статей в журнале "LAN" (№№ 6, 7, 8 за 1998г, автор - К.Пьянзин) и подборку материалов под общим заглавием "Хранение и защита данных" в журнале "Компьютер Пресс" за август 1999г. Все указанные материалы написаны знающими свое дело людьми, на высоком уровне и хорошим слогом. В дополнение можно только предостеречь сетевых администраторов от прямого переноса подходов к копированию настольных систем на процесс копирования в ЛВС, который имеет свои особенности (см. врезку).
Что касается выбора устройства вторичных носителей, то тут ответ очевиден - для малых и средних сетей на предприятиях с одно- или двухсменной работой оптимальным считается стример (устройство записи на магнитную ленту, МЛ). При большом объеме информации можно вести разговор о библиотекаре или об автозагрузчике. Библиотекарь - устройство с магазином на десятки (и сотни!) МЛ и несколькими стримерами в одном корпусе, загрузка/выгрузка МЛ автоматизирована, имеется возможность экспорта/импорта МЛ на другие библиотеки, при достаточном числе стримеров в корпусе возможна организация RAIT-систем (на выбор: или высокая производительность при параллельной записи, или отказоустойчивость на принципах RAID). Подобные устройства одного типа можно объединять в линейку посредством внешнего манипулятора, и тогда библиотеки могут обмениваться МЛ друг с другом, т.к. программное обеспечение балансирует нагрузку на все библиотеки и стримеры, а ОС видит это чудо как один суперстример. Есть за что платить до полумиллиона $! Автозагрузчик - тот же библиотекарь, но не те масштабы: магазин поменьше (4,..,12 МЛ), нет возможности экспорта/импорта МЛ и стример в корпусе только один.
Запись на МЛ всегда сопровождала ВТ. С появлением CD-, МО-, а теперь и DVD-технологий стали раздаваться голоса, предвещавшие закат рынка стримеров. Однако "слухи о смерти оказались сильно преувеличенными". Действительно, CD-технология предлагала копеечные носители на 640 Мb, а МО накопители вмещали 5 Gb! Еще 3-5 лет назад это звучало фантастически и впечатляло даже самых упрямых приверженцев магнитных лент: куда уж тут было стримерам JUMBO с их "ну просто смешной" емкостью 250 Мb и улиточной скоростью записи! Однако сетевой администратор должен "поспешать медленно": внимательно приглядываться ко всем новинкам и быть в курсе передовых технологий, но и оставаться в русле проверенных и работающих технических решений, а не предоставлять свою сеть в качестве beta-полигона для производителей новомодных устройств ("Компьютерра" №30, "Торбочка"). Ибо воистину "лучшее - враг хорошего!" Время расставило все по свои местам. МО-, DVD- и CD-технологии нашли свое место в ЛВС, но только там, где они технически и финансово оправданы (см. статьи К.Пьянзина).
Что касается МЛ-технологии, то она благополучно перенесла некоторый холодок со стороны потребителей. Производители предложили новые способы и скорости записи, подняли емкости лент и магазинов до объемов корпоративных БД, и сегодня рынок стримеров снова на подъеме, он разделен по секторам спроса, а МЛ снова стали основными носителями в сфере аварийного копирования. Высокопроизводительные технологии DLT и AIT успешно справляются с ростом объемов данных в больших корпоративных сетях, технология TRAVAN (бывшая OIC) незаменима в настольных системах и одноранговых WIN-сетях. Что касается малых и средних ЛВС, то это царство стримеров и автозагрузчиков технологии DAT. На сегодняшний день острая конкуренция фирм НР и Seagate (автозагрузчики SureStore и Scorpio соответственно) дает предпосылки к снижению цен и еще большему распространению указанных устройств.
Автозагрузчики имеют вполне пристойные показатели по цене и по производительности. Емкость их магазинов (5МЛ+1 clear tape), тоже вполне достаточна - десятки и сотни Gb. Об этих устройствах писали "КВ" и "КГ". Внешний вид устройств - строг и солиден, они сами по себе внушают ощущение надежности. Убедить руководство в целесообразности приобретения такой техники Вам будет не сложно.
А вот где Вы гарантированно не встретите понимания Вашего начальства, так это в вопросе о приобретении программного обеспечения для аварийного/архивного копирования. То, что фирмы поставляют в комплекте со стримерами и автозагрузчиками, горькие слезы. Для сети Вам будет необходим достойный программный комплекс в технологии "клинт-сервер", ибо только так Вы сможете получить отдачу от средств, вложенных в достойную аппаратуру. Правда, и цены такого ПО тоже "достойные". Для примера приведу сведения о самых известных пакетах среднего класса для NW и NT - ARCServ и BACKUPEXE (цены усреднены и округлены). Базовый модуль - $1800, управление автозагрузчиком - $600, агенты для серверов, основных БД и пакетов типа Lotus Notes - по $400. Что тут сказать? Для начала попробуйте оценочную версию. Оценочные лицензии (Life Trial Copy) могут иметь срок до 90 дней, а за это время у Вас могут появиться дополнительные аргументы в пользу такой покупки.
Система аварийного копирования будет надежно защищать Вашу информацию только при условии, что Вы уверенно владеете всеми тонкостями ПО. Поговорим об этом подробнее. Администратор выполняет копирование часто и детально осваивает все связанные с этой процедурой манипуляции. А вот восстановление данных - действие редкое, и некоторые настройки и опции этого режима могут остаться вне Вашего внимания. В результате при восстановлении данных могут возникнуть серьезные затруднения. Выход один - прежде чем вводить систему в промышленную эксплуатацию, следует в течение некоторого времени осваивать технику и ПО на стенде. Для этого соедините пару ПК простой сетью, запустите на одном копию Вашей сетевой ОС и копию ПО, а на втором - консоль управления, и учитесь в свое удовольствие. В этом случае Ваши ошибки не повлекут тяжелых последствий. Данный метод, кроме безопасной работы и оперативного освоения ПО, позволит путем эксперимента выбрать оптимальный для Вашей сети режим и метод аварийного копирования.
На сегодняшний день существует несколько таких методов. Первый и самый простой - полное копирование всех данных за одну сесcию (full backup). (Сесcией называют одно задание на копирование.) Противники полного копирования мотивируют свою точку зрения большим расходом вторичных носителей, увеличением трафика и предлагают альтернативу: инкрементальный и дифференциальный методы. Суть их в следующем: в обоих случаях первоначально проводится полное копирование, а в последующих сессиях копируют или измененные файлы (инкрементальный) или измененные с момента последнего полного копирования (дифференциальный). За счет такого подхода резко снижается объем копируемой информации. Эти методы остались с тех времен, когда каждый байт имел значение, и все стремились снизить объем переносимых на МЛ данных. Однако в случае применения этих методов возникает необходимость планировать и отслеживать круговорот и периодичность операций. Например, "инкрементальное копирование в пять шагов" означает, что в течение некоторого времени (например, недели) Вам необходимо выполнить пять сессий - одну полного копирования, а четыре последующих - по правилам инкрементального метода, а затем снова повторить весь цикл.
А еще предлагается осуществлять круговорот МЛ. Наиболее известен метод GFS ("дед - отец - сын"). В этом случае происходит запись на несколько МЛ. Для рассмотренного выше примера Вам потребуется пять МЛ, и каждая сессия осуществляется на отдельную ленту.
Как кому, но мне кажется, что, кроме полного копирования, все рассмотренные методы страдают известной академичностью. Авторам таких рекомендаций следует помнить, что процесс восстановления выполняется "в реальной жизни не от хорошей жизни", а после потери данных, когда "сеть легла" или "сервер накрылся" (извините за профессиональный сленг). Означенные "неловкости" всегда происходят в самый неподходящий момент: конец года, выпуск проекта или подготовка квартального отчета. Восстановление данных протекает в условиях, максимально приближенных к "последнему дню Помпеи". В такой ситуации требуется в минимальный срок восстановить работу сети и некогда разбираться с номерами МЛ, с количеством сессий, с версиями и датами файлов. А ошибки могут дорого стоить! Особенно неудобно в этом отношении инкрементальное копирование - приходится последовательно работать со всеми сессиями. При дифференциальном копировании достаточно двух МЛ - с полной и дифференциальной сессией, но тоже не очень удобно.
Что качается аварийных ситуаций - здесь сложнее. Аварийная ситуация - это не только пожар или лопнувшие трубы отопления. Это может быть кража техники, Ваша командировка или просто срочный переезд фирмы. Устройте сами себе "Ростовские учения": закройте глаза и представьте, что Ваш сервер с утра просто не включился! Что будете делать? Кому звонить? Куда звонить? Что говорить и кого звать? А если нужный человек заболел, то тогда - кого? А есть ли у Вас вообще план восстановления или план по созданию временных рабочих схем? А договор на техобслуживание с поставщиками? А подробная инструкция Вашему заместителю? Подумайте об этом сейчас, в спокойной обстановке, чтобы потом не суетиться "как однорукий человек в крапивной лихорадке, когда он клеит обои (О.Генри)".
Справедливости ради следует сказать, что все более-менее известные пакеты аварийного копирования имеют функцию "восстановления-после-катастроф"(Disaster Recovery). Суть этой функции в следующем: на нескольких дискетах создается особым образом подготовленная копия критически важной для сервера информации, а также готовая к загрузке копия самого ПО аварийного копирования - т.н. набор DR. В случае катастрофы (т.е. невозможности восстановить сервер) Вы подбираете близкий по конфигурации ПК и загружаетесь с первой дискеты из набора. Происходит полное восстановление разделов, томов и др. параметров, затем догружается само ПО аварийного копирования, оно активизирует вторичное устройство хранения и производит полное восстановление сервера. Звучит заманчиво! Одно НО! Поставщики скромно умалчивают, что "близкий по конфигурации ПК" - это фактически полная аппаратная копия исходного сервера: идентичные материнские платы, SCSI-устройства и общая конфигурация. Иначе при загрузке данных с дискет из комплекта DR получим конфликт драйверов - и функция не сработает. Указанный подход может быть рекомендован для тех организаций, где имеются несколько серверов на идентичной аппаратной базе. В этом случае при выходе из строя важного сервера (например, сервер БД или сервер приложений) можно остановить сервер второго плана (например, корпоративный WEB-узел) и на нем провести оперативную процедуру Disaster Recovery.
В заключение несколько слов об аварийном копировании открытых файлов. Много копий было сломано по этому поводу. Фирма St.Bernard (www.stbernard.com) сделала хороший бизнес, продав свое ПО для копирования открытых файлов многим производителям программ аварийного копирования. Данная функция имеется и в упомянутых выше продуктах. Мой совет - не нужно оно Вам! Во-первых, дороговато, около $600 на сервер, а во-вторых - кто его знает, как сетевая ОС и Ваше приложение ведут открытые файлы - можно таких дров наломать! Копирование открытых файлов допустимо только в случае круглосуточной активности сети, после всесторонней проверки и консультаций с поставщиками Вашего приложения или БД. Так считают большинство сетевых администраторов. Поэтому все аварийные копии до сих пор выполняются по ночам: это одна из наших "привилегий".
Рано или поздно, но этой "привилегией" приходится воспользоваться каждому администратору. Так что запасайтесь горячим кофе, интересными книжками и терпением - Вам предстоит провести ночь, приглядывая за работающими серверами и стримерами, в числе многих администраторов ЛВС, которые, как и Вы, стоят на страже информации своих сетей и интересов своих пользователей.
Memento mori (лат.) - Помни о смерти.
Si vis pacem, para bellum (лат.) - Хочешь мира - готовься к войне.
Н.С. МУЗАЛЁВ
В литературе создание копий
рассматривают с двух близких, но
ориентированных на разные цели
позиций:
- собственно аварийное копирование, которое предназначено для создания и хранения на вторичных носителях копии ВСЕХ рабочих данных, отнесенных к определенному моменту времени - ежедневно, раз в неделю, два раза в месяц и т.д. В случае утраты данных на основном носителе их можно быстро восстановить со вторичных носителей;
- архивирование информации заключается в выборочном и целенаправленном копировании и документировании некоторой ЧАСТИ рабочей информации, относящейся к определенному и завершившемуся этапу, проекту, объекту, году и т.д. Указанная процедура позволяет в случае необходимости "откатиться" на отправную позицию и повторить работу с некоторой промежуточной точки.
Особенности копирования в ЛВС:
- территориальная разобщенность объектов и субъектов процесса копирования;
- гетерогенность сети
- режим труда, который в сетях может различаться на несколько часов или быть непрерывным;
- ограничения на пропускную способность каналов;
- ошибки операторов копирования в результате монотонности и однообразия труда,
- огромный объем данных, подлежащий копированию как с серверов, так и с рабочих станций.
Требования к сетевой службе
копирования:
- работы по созданию копий должны быть максимально автоматизированы;
- аппаратура и программы для таких работ должны обеспечивать длительный цикл без вмешательства операторов;
- программный комплекс должен иметь программы-агенты для основных платформ предприятия (DOS, WIN 3x/95/98/NT, NW и др.);
- объем носителей должен обеспечивать единомоментное копирование всех серверов и всех рабочих станций;
- процедура создания копий должна быть тесно интегрирована с корпоративным планом восстановления после катастроф;
- аппаратура и носители для копирования должны обладать известной надежностью;
- система должна обладать гибкостью и обеспечивать различные схемы копирования (полное, инкрементальное, дифференциальное), а также полное или селективное восстановление данных;
- аппаратура и носители системы копирования должны иметь встроенные средства повышения надежности и производительности (автоматическая коррекция ошибок, режим "чтения после записи", режим компарации данных, автоматическая очистка устройств);
- система копирования должна быть управляема и достаточно производительна;
- служба копирования должна обеспечивать масштабирование и не терять актуальность на протяжении 5-10 лет, развиваясь и совершенствуясь в процессе роста и развития корпоративной сети.
Комментарии