这几天要把50GB左右的数据进行保护,防止有人偷走,防止有人破坏,因为都可以物理接触,而这数据影响了一个公司的生死存亡。所以,除了管理上的种种防护外,在技术上对服务器进行了如下保护:
1、所有数据使用密钥加密,硬盘上的每个扇区都做了扰乱,密钥存在远程的服务器上,每次想打到本地硬盘数据,需要ssh登录到凭证服务器上面,cat mykey,然后在本机上保存到一个临时文件,临时文件用脚本控制,1分钟后其文件内容就会变成随机数并进行后续不断的变化。用远程的key,加上强密码打开加密的硬盘内容,映射到一个新开的硬盘逻辑符上面。
2、打开应用服务,把新开的逻辑硬盘进行正常的读写。用户不多,所以加密后的读写速度还可接受,以几年前的硬盘配置,读写速度大约为50MB/s+左右,网络多用户以浏览器访问时,大约为每个用户大约2MB/s的读写速度,感觉还可以吧。
3、因为最初安装都是windows系统,让人很不顺手,熟悉了linux下的种种快捷的解决方案,windows像个公子哥一般诸多精细的照顾才行。
4、windows下的文件同步备份,使用了rsync for windows解决,使用过程中产生些问题,可见上篇文件中的描述;
5、rsync备份使用密钥方式,密钥同样放置在加密盘上。并在rsyncd.conf设置只允许备份服务器一个连接,只允许受限IP连接。
6、设置定时任务,每晚22:00开始自动备份;
7、加密后,机器即使直接让人搬走,也难以解密出明文数据。备份后,即使主机被人恶意破坏,仍然也可快速恢复。
8、加密硬盘工作态的安全,以服务器的安全加固解决。数据流转路径上的安全问题,没在本次讨论之列。
9、客户端上的数据安全,文档汇聚后的安全,隐藏的传输通道如蓝牙电力猫等,仍然需要进一步解决。
没有评论:
发表评论