新竹分所乳業資訊環境規劃與佈建  1. 系統軟體功能說明

新竹分所  陳志毅  乙弘國際  陳明義

一、前 言

　　為與整合乳牛育種數位資訊並延伸乳牛群性能改良計畫 (DHI) 之服務功能，自民國98年起，於張分所長菊犁的乳牛場e化管理規劃下，作者先後研提「DHI 資料庫系統網路改版」及「優質荷蘭種乳公牛選配改進後裔性能決策支援系統」(簡稱SBIP) 等計畫，逐步建置新竹分所最新乳牛資訊處理環境，並陸續購置刀鋒伺服器與入侵防禦等設備，搭載系統軟體運作，為國內乳牛場雲端管理科技開展佈局。

二、新竹分所現有的資訊環境

　　目前新竹分所已完成網路對外與對內之連線，內部網路皆以網路位址轉換服務 NAT 方式，隱藏保護於防火牆內，同時與總所及牛舍分別以 IPSEC VPN 虛擬通道建立連接，總所與牛舍則透過加密後的虛擬內部網路與本單位之資料庫交換資料，包含 DHI (圖1) 與 SBIP (圖2) 等網路系統均已進行虛擬化處理，並建構於刀鋒主機中，使用專業伺服器監控軟體進行管理作業(圖3)。

圖 1. 目前新竹分所高速電腦設備所包含之 DHI 系統網路架構圖及硬體設備設施。

圖 2. 目前新竹分所高速電腦設備所包含之SBIP系統網路架構圖及硬體設備設施。

圖 3. 新竹分所高速電腦設備所對於DHI與SBIP系統之資訊環境管理模組。

三、資訊安全防護系統

　　本系統所維護的內容，為本分所與全國所有酪農業重要之乳業資料，除了DHI以外，包含目前的SBIP (公牛選配系統)、RFID(無線射頻模組)或WSN (無限感測應用)等研究計畫的發展都需要本系統能提供一個安全的介接相關平台，配合將資料以安全且不損及本系統原資料正確性與完整性的方式供應給其它子系統做相關應用，所以必須對資訊安全等級作最嚴格的防護，以確保未來在不同狀況下進行的資安防護都能符合本系統的要求。

四、入侵防護系統與防禦機制

　　將入侵防護系統建制於雙重防火牆內，除原本所內原有之防火牆外，再建置第二道隱型透通式防火牆，除必要的資料輸入作業人員外，其它系統均無法入侵本系統，以確保第一層的安全。本系統能啟動應用程式防護 (UnityOne) 提供擴及用戶與伺服器端第二至第七層的網路型攻擊防護 (圖4)，如：病毒、蠕蟲與木馬程式，利用深層檢測應用程式資料封包的技術，UnityOne 可以分辨出合法與有害的封包內容。網路架構防護包括路由器、交換器、DNS 伺服器以及防火牆都是有可能被攻擊的網路設備，UnityOne 的網路架構防護提供了一系列的網路漏洞Filter以保護網路設備免於遭受攻擊。

　　此外，UnityOne 也提供異常流量統計機制 (圖5) 的Filter，對於超過「基準量」的正常網路流量，可以針對其通訊協定或應用程式特性來進行警示、限制流量或阻絕流量等行動，如此一來可以預防分散式阻斷服務（DDoS）攻擊及其他溢位式攻擊所造成的網路斷線或阻塞，而效能保護模組更用來保護網路頻寬及主機效能，免於被非法的應用程式佔用正常的網路效能。UnityOne提供頻寬保護的功能，協助企業仔細的辨識出非法使用的應用程式流量並降低或限制頻寬的使用量。

圖 4. 入侵防禦系統之事件紀錄管理報告畫面，顯示入侵攻擊防火牆的各項紀錄。

　　全漏洞過濾主要是保護作業系統與應用程式。這種過濾行為像是一種網路型的虛擬軟體修補程式，保護主機免於遭受利用未修補的漏洞來進行的網路型攻擊。流量異常過濾是用來偵測在流量模式方面的變化。這些過濾機制可以調整與學習 UnityOne 所在的特別環境中"正常流量"的模式。一旦正常流量被設定基準，這些過濾機制將依據可調整的門檻值來偵測統計異常的網路流量。此外 UnityOne 一個重要的特殊功能是可以依據應用程式的種類、通訊協定與 IP 來最適化網路流量分配。攻擊特徵防護擁有一個專業團隊 7X24 全年無休的分析來自於全球的攻擊威脅，並與 SANS、CERT、SECURITEAM 等知名的資訊安全團隊合作，在第一時間透過線上更新讓全球每個角落的Unity One 配備最新的攻擊特徵資料庫。

圖 5. 入侵防護狀況綜覽表，顯示流量、效能、磁碟等狀況訊息，以快速瞭解系統狀況。

五、網路服務與流量管控機制

　　廣域網路遠程服務品質分析模組為提昇高速電腦設備網路管制品質的重要資訊管理工具，此模組可分析重要網路服務或IP節點進行網路傳送封包延遲時間、延遲分佈與封包遺失比例等圖型報表，讓網路管理人員快速掌握網路服務出現問題的原因，以尋求解決的對策恢復網路服務功能 (圖6) 。

圖 6. 廣域網路遠程分析圖型表，提供網路服務與傳送延遲或遺失之資訊。

　　進階型之程序監視管理器模組，可顯示當前配置的自動啟動應用程序、流量服務情形以及完整的列表的註冊表和自動啟動配置的文件系統位置，亦可配置資源管理器外殼擴展、工具欄、瀏覽器輔助對象、Winlogon通知或自動啟動服務等 (圖7)。

圖 7. 進階網路程序管理圖型，可瞭解網路流量服務狀況與傳送延遲或遺失之資訊。

　　由於網際網路的開放與蓬勃發展，企業對於Internet的使用與依賴度越來越高，導致充斥各種不當的網路行為，如不當瀏覽網頁、大量傳輸或下載檔案、透過E-mail或IM即時通訊洩露公司機密。

　　網路管理者必須以防火牆、內容過濾器..等網路設備來防範，但是透過正當的使用電子郵件 (E-Mail) 、網頁瀏覽 (HTTP) 、檔案傳輸 (FTP) 、即時通訊 (IM) …等網路工具，卻又能大幅提高工作效率，甚至能幫單位節省不少的電話費用，因此單位需要積極開放有效管理，又要考量避免機密外洩，資訊安全稽核的需求。

　　此系統協助提供完全透明化的網路內容監控管理，讓網管人員輕鬆取得各種網路流量監控報表，讓網管人員隨時掌握內部網路用戶的使用行為，做為制定單位資安政策的參考 (圖8) ，讓單位的非重要性或不適當的網路使用行為能以限制或控管，避免網路資源浪費。透過本案再規劃的控管機制，更可確保單位對外與重要應用服務的網路品質，讓單位對外聯繫更加順暢及營運更具有競爭優勢。

圖 8. 網路服務品質監控圖型，可顯示各種網路型服務 (如SMTP、FTP) 的使用控管。

六、資料備分還原系統

　　目前建置在新竹分所 DHI 核心資料庫之牛隻性能資料超過250萬筆，SBIP資料庫資料檔種類更加豐富，包含國際種公牛遺傳評估關聯資料庫 (28萬筆)、國際種乳公牛體型性狀資庫 (2,200筆)、國內乳牛進口精液關聯資料庫 (3,600筆)、國際種公牛轉譯中文短名資料庫 (24萬筆)、公牛圖像資料庫 (4,000筆)、乳牛專業字典資料庫 (7萬筆)與國內乳牛體型評鑑描述資料庫 (1,000筆) 等，這些珍貴的資料必須要有安全的備分機制，才能免於因意外狀況 (如天災、火災或停電) 導致資料的毀損，因此在規畫刀鋒伺服器機組建置時，即搭配NAS與磁碟陣列機，運作資料備分還原功能，保障資料安全。

七、自動檢索與還原機制模組

　　該模組可應用現有刀鋒伺服器主機在虛擬化 (VMWARE) 管理環境下，進行動態磁碟延展擴充與磁碟叢集整理等功能，建立一套符合目前環境需求的自動資料內容檢索、異動差異化備份儲存與多重備份還原機制 (圖9) 。刀鋒伺服器主機之磁碟陣列的硬碟區塊經分割整理後，能夠預防未來系統若因為單一刀鋒主機硬體故障，造成系統無法開啟作業時，啟動刀鋒系統磁區轉移技術，直接將原系統刀鋒硬體轉移到其它閒置備用刀鋒片，或以臨時暫代之刀片運行，提供資料不間斷的輸入環境，並爭取時間修復損壞的刀鋒片。

圖 9. 儲存系統拓譜圖，描述各磁碟群組、儲存池、虛擬磁碟與伺服器間的關係對應。

　　此外，模組伺服器控制系統，能利用VMWARE技術將現有系統虛擬到其它刀鋒刀片主機上，並由系統定時將資料與虛擬主機進行同步作業，虛擬系統則建置於第二層防火牆外，並提供其它相關系統的資料存取作業 (圖10)。

圖 10. 模組伺服器控制作業系統畫面，提供刀鋒伺服器VMWARE設定與運行狀況

　　虛擬系統本身也具備VMWARE管理的防火牆防護功能，同時還能手動進行系統快照，快照的好處可以方便我們於異常狀態時可以快速回復到原先的正常狀況，而建立多個備份虛擬系統則可預防原虛擬系統毀損時，不需再重新虛擬化，因此能大幅縮減停機時間，此外，系統虛擬化也可以動態的做系統資源的調整，讓系統不用因為擔心硬體資源的變更與修定後造成無法開機的困擾 (圖11)。

圖 11. 虛擬主機設定，可彈性動態分配記憶體CPU磁碟大小等以獲得資源利用最佳化。

　　對於未來大量資料的儲存與備份部份，目前採用區域網路磁碟陣列共享系統 (NAS)，該系統安裝四部抽換式SATA II 高容量硬碟，和一組 PCI-E x8擴充插槽，配合SATA-III/SAS的升級擴充需求，內建250W備援電源供應器，降低機器的故障率，大幅提升區域網路磁碟陣列共享系統的使用生命週期，內建一台薄型SATA DVD +/- RW燒錄器，可以將舊資料整理歸檔，使硬碟空間規畫應用更為彈性。

圖 12.磁碟陣列共享系統 (NAS) 的備份排程功能，具異地備份(Offsite Backup)、遠端鏡射        (Remote Mirror)、無磁帶備份 (Tapeless Backup) 等優異功能，可保障資料庫安全。

　　在磁碟陣列 (RAID) 系統方面，除提供硬體 (Hardware) RAID 0,1,5,6,10工具及JBOD獨立磁碟運作並支援RAID熱擴充(Hot Expansion) 等功能外，可在伺服器不關機、不需資料搬移(Data Migration) 和使用者不斷線的情況下，擴展RAID volume的容量，在容量擴充同時，仍可提供讀寫，滿足單位基本的資料處理需求。

　　創新RAID技術具備絕佳資料保護能力，同時可支援SAS磁帶機進行大量、高速的磁帶備份及內建功能強大的資料同步軟體 SmartSync，提供異地備份 (Offsite Backup)、遠端鏡射 (Remote Mirror)、無磁帶備份 (Tapeless Backup) 和資料配送 (Distribution) 三種功能，其中，遠端鏡像功能排程最小可設定以小時為單位，也可透過USB埠在遠端作快速差異化備份USB HDD內的資料，以縮短災難復原時間 (圖12)，讓大量資料在安全無虞的環境中同步提供有效資源給需要的人使用。

　　另外本系統還具有磁碟快照 (Snapshot) 的強大功能 (圖13)，磁碟快照可針對整個磁碟卷冊的快速備份機制，瞬間即完成快照備份，而且幾乎不會影響到網路儲存伺服器 (NAS) 之運作效能，是相當優異的短天期備份解決方案，最後資料歸檔 (Data Archiving) 模組能根據時間、日期或資料標註等有規則的過濾檔案並且執行歸檔，並將歸檔後資料移至其他不同等級的硬體空間，大大提昇儲存空間使用效率。

圖 13. NAS系統的RAID管理中，可進行強大的磁碟快照功能，是絕佳的快速備份工具。

八、結 論

　　目前，新竹分所在前述這些資訊管理系統的運作下，高速電腦設備的刀鋒主機運作皆相當順利，豐富的資料庫已提供酪農朋友連結查詢SBIP網站(www.tlrihc.gov.tw)中已建置完成的優質種乳公牛遺傳評估查詢系統 (SIGB)，以進行選精配種之決策支援參考。由於本分所資訊效能環境逐漸成熟，99年起作者遂積極推動DHI報表數位快速傳輸方式，讓酪農於資料計算完畢並審核通過後，即快速傳酪農電子信箱，大大提升資訊運用效率。