Zentrales Backup- und Archivierungs-System

Das Universitätsrechenzentrum bietet einen Datensicherungs- und Archivierungsservice für Serversysteme der Universität an. 

Es wird die Software - IBM Tivoli Storage Manager (TSM) - eingesetzt. 

Dieser Service arbeitet nach dem Client/Server-Prinzip:
Im Universitätsrechenzentrum befinden sich zentrale TSM-Server mit einer gemeinsam genutzen Magnetbandspeicherbibliothek. Eine weitere Magnetbandspeicherbibliothek befindet sich an einem Standort außerhalb des URZ im IPP Greifswald. Dort wird eine Kopie der Daten datenschutzgerecht vorgehalten.

Auf dem vom Nutzer zu sichernden Serversystem wird eine entsprechende Clientsoftware (TSM-Client) installiert, die die Daten an den TSM-Server sendet.

Datensicherungsplanung

  • automatisierte regelmäßige Datensicherungen nach auf den TSM-Servern hinterlegten Zeitplänen (empfohlen)
  • manuelle Datensicherung durch berechtigte Nutzer (nutzergesteuert)
  • manuelle Archivierung von Daten durch berechtigte Nutzer (nutzergesteuert)

Datenwiederherstellung

  • Das Rückspeichern gesicherter oder archivierter Daten erfolgt je nach Erfordernis durch die Server-Sicherungsadministratoren.

Begriffserklärung: Datensicherung

Eine Datensicherung ist beim ersten Duchlauf immer eine vollständige Sicherung (Fullbackup). Jede folgende Sicherung ist eine inkrementelle Sicherung, d.h. es werden nur die geänderten Dateien gesichert. Standardmäßig werden 2 Versionen der Dateien aufbewahrt (aktuelle und voherige (inaktive) Version). Nach Löschung von Dateien bleiben alle Versionen noch 30 Tage und die aktuellste Version 60 Tage erhalten. Hier können aber im Einklang mit dem Datenschutzgesetz abweichende Aufbewahrungszeiten und Versionsanzahlen eingestellt werden.

Begriffserklärung: Archivierung

Im Unterschied zur Datensicherung wird die Archivierung für Daten verwendet, die sich nicht mehr ändern und lange aufgehoben werden sollen. Bei der Archivierung werden immer alle Dateien gespeichert. Für die Aufbewahrungszeit spielt es keine Rolle, ob Dateien anschließend vom Filesystem gelöscht werden. Die Aufbewahrungszeit ist auf 9999 Tage festgelegt. Der Aufbewahrungszeitraum kann auch den Erfordernissen angepasst werden. Diese Einstellung muss aber vor dem Archivierungslauf erfolgen.

Verantwortlichkeiten

Verantwortlichkeit des Nutzers

Der Nutzer legt fest, welche Daten gesichert werden sollen und welche Daten ausgeschlossen sind.

Die Verbindung des TSM-Client mit dem TSM-Server erfolgt nach Benutzer/Passwort- Authentifizierung. Das Passwort ist nach der ersten Anmeldung durch den Sicherungsadministrator zu ändern. Für automatische Sicherungen, wird das Passwort verschlüsselt auf dem Client-System gespeichert.

Die Netzwerkkomunikation TSM-Client TSM-Server erfolgt standardmäßig unverschlüsselt. Am Client kann eine SSL Verschüsselung konfiguriert werden, so dass Daten verschlüsselt über das Netzwerk transportiert werden (empfohlen). Die Daten werden unverschlüsselt auf den Speichermedien abgelegt.

Um sensible Daten vor unberechtigten Zugriffen zu schützen, kann der TSM-Client die Daten verschlüsseln. Diese Option ist clientseitig zu konfigurieren. Wird diese Methode gewählt, ist eine Verschlüsselung der Netzwerkverbindung nicht notwendig (s. voheriger Abschnitt). Daten werden vom TSM-Client verschlüsselt und danach zum TSM-Server übertragen. Die Daten werden verschlüsselt auf den Speichermedien abgelegt.

Es ist zu beachten, dass bei Verlust des Kryptoschlüssels eine Wiederherstellung der Daten unmöglich ist. Der Nutzer ist für die Verfügbarkeit des Kryptoschlüssels verantwortlich.

Der Nutzer hat täglich den Verlaufsstatus der Datensicherungen zu prüfen. Er bekommt vom TSM-Server dazu einen täglichen Statusbericht. Bei auftretenden Fehlern geben die clientseitig vorhandenen LOG-Dateien weiter Informationen zur Problemanalyse.

Verantwortlichkeit des Rechenzentrums

Das Rechenzentrum ist für die Bereitstellung und die Verfügbarkeit des Datensicherungs/Archivierungsservice zuständig.

Die zentralen Systeme zur Datensicherung und Archivierung befinden sich in den Räumlichkeiten des Rechenzentrums. Der Raum kann nur von berechtigten Personen betreten werden und ist mit Klimaanlagen und Brandmeldetechnik ausgerüstet.

Die Magnetbandbibliothek im IPP Greifswald ist vor unberechtigtem Öffnen oder Administrieren nach geltenden Datenschutzrchtlinien geschützt. Auch hier ist der Raum mit Klimaanlage und Brandmeldetechnik ausgestattet.

Der Nutzer bekommt täglich eine Zusammenfassung zum Stand der gelaufenen Datensicherungen, wenn die Daten automatisch nach Zeitplänen gesichert werden, die auf dem TSM-Server definiert sind.