信息安全集成系统设计方案

1、综合保税区西区 信息安全集成系统方案 XX科技 2010. 12 3.4产品选型 18 U项目背景3 2、需求分析4 3、系统设计4 3. 1设计依据及设计原则6 3. 2信息安全技术设计9 错误!未定义书签。 3. 3信息安全管理设计 .DOC资料. 1、项目背景 2010年10月18 0,国务院设立高新综合保税区。根据国务院批复，高新 综合保稅区规划面积4. 68平方公里，位于高新区西部园区。新设立的高新综合 保稅区是对现有出口加工区、保税物流中心（B型）和出口加工区南区（803区） 进行整合扩展而成的。 出口加工区2000年4月经国务院批准设立，是中国首批出口加工区之一， 2009年进出

2、口总额64.2亿美元，2010年1一7月进出口总额50. 75亿美元，增 长43%,综合排名全国第5、中西部第1,是全国发展最好的出口加工区之一； 保稅物流中心（B型）于2009年3月通过验收，7月正式封关运行，目前发展情况 良好。 整合扩展后的高新综合保税区集保税出口、保税物流、口岸功能于一身，是 目前国功能最全、政策最优的海关特殊监管区域，有利于海关监管运行，更有利 于企业的进一步发展。 为了将综合保稅区建设成为中国中西部一流的保稅区和口岸平台，提髙出口 加工区现代化的监管水平，利用现代监控技术、网络与通信技术、计算机处理技 术和自动控制技术，构建一个先进、实用、可靠的保税区海关联网监管系

3、统。 信息技术的发展，为海关管理创新提供了手段，实现信息化将使海关管理水 平产生质的飞跃。经过多年的建设，海关已形成了涉密办公网、办公管理网、业 务运行网、对外接入网等功能齐全的复杂办公环境，在业务协同、办公管理、 对外服务等方面发挥了越来越重要的作用。 建设统一的技术支撑平台，建立科学的信息管理体系，关键的一环就是信息 部门必须对其信息技术设备和服务进行全面的、整体的网络运行监控和安全管 理。这其中，既涉及到网络管理，也有安全管理。技术支撑层，充分利用技术手 段，建立高效、协同的信息安全管理平台，将网络监控与安全监控有机地结合在 一起，注重能够及时定位故障。 技术支撑体系应该包括三个层次：展

4、示层、运维管理层、集中监控层。 1）展示层。提供面向信息安全层面和信息安全管理决策层面的展示视角， 在信息安全管理界面上实现集中运维的统一管理功能和信息展示与交互功能。 2）流程及业务信息安全管理层。在集息安全管理模式下实现流程执行和管 理控制功能、业务安全管理功能。 3）集中控制层。通过监控工具实现对不同服务对象和IT资源的实时监控， 包括主机、数据库、中间件、存储备份、网络、安全、机房、业务应用和客户端 等技术支持管理子系统进行综合处理和集中管理。 2、需求分析 2.1广域网网络 2.1.1海关业务线路 为保证综保区海关业务正常开展，按海关部署相关规定，要求综保区到海关 中心机房广域网线路

5、“双线热备”方案。双线热备”方案已在海关中心机房至 出口加工西区、机场海关等四个重要业务现场实施部署。其具体需海关业务运行 网和业务管理网在网络正常时各走一条链路，当其中一条链路出理故障时互为备 份，故障排除后自动切换回原有链路，无需人工干预。线路上分别选择电信和网 通的一条链路，更好地保障备份的可靠。 系统建设配置包括广域网路由设备，不同的运营网分别租用4M以上的宽带 线路。 2.1.2电子口岸专线 为满足电子口岸录入的需要，要求建设电子口岸电子专网。电子口岸专网也 采用“双线热备”方案，原则上由部署数据中心负责审批。 2.2综合布线 2. 2.1分类 综合布线系统包括管理网G （六类系统）

6、、业务网Y （超五类系统）、互联网 W （超五类系统）语音网T （水平超五类系统）、备用网络B （超五类系统）共计 5个系统（可根据监管要求及功能设置作相应调整）。各网络物理隔离、独立组 网，新设机构可根据实际情况选择网络系统的建设。楼层弱电井设置不同功能的 配线间。主干数据采用4芯多模室光缆、语音采用25芯5类大对数电缆及超5 类屏蔽电缆。 2. 2. 2网线布线系统 管理网：水平布线釆用六类非屏蔽网线，垂直干线采用4芯多模光纤； 运行网、互联网、备用网络：水平布线采用超五类非屏蔽网线，垂直干线采 用4芯多模光纤； 机房：水平布线采用六类非屏蔽网线及超五类屏蔽网线。 2. 2. 3机柜的配置

7、 在楼层弱电井设有不同功能的独立配线间。各楼层布线系统统一汇聚到机 房。 配线间：管理网、业务网可共用一个机柜，互联网、备用网共用一个机柜; 机房：管理网、业务网可共用一个机柜，互联网、备用网共用一个机柜，共 用一个机柜。 2. 2. 4综合布线标识说明 由于网络的种类比较多，在前面板用颜色加编号的方式对点位的功能进行分 区。使用时从面板标识的颜色可确定点位所属的网络或。综合布线标识面板、水 平线缆、配线架用相机的编号，垂直主干用另一种编号。具体编号说明参见海关 相应文件。 机房的网络布线系统设计，除应符合本规的规定外，还应符合现行国家标准 综合布线系统工程设计规GB50311的有关规定。 2

8、. 2.5园区网建设 园区应建设园区网，以实现区所有企业与管委会之间信息的互通和管理，同 时考虑相应的安全管理建设，包括防病毒管理、客户端准入等。园区网为封闭局 域网，但保留对外互联网出口。园区网建设方案应提交海关技术处审批，海关技 术处可对园区网的建设进行协助和指导。 2.3机房建设 机房建设要求为海关设立独立机房，桐庐工程包括桐庐地面装修、电气部分 的配电柜、防雷工程、消防报警、机房空调、ups、机房监控、综合布线系统等。 机房面积：按二类机房的相关要求，面积在90130平方米之间； 机房走线与装修：按上走线方式进行综合布线，吊顶应可拆卸，或留有出入 口，以方便管道和设备的安装维护。缆线采

9、用线槽或桥架敷设时，线槽或桥架的 高度不宜大于150mm,桥架宜采用网格式桥架。 地面工程：地面应平整，必须进行防尘处理，采用防尘涂料时，至少粉刷2 遍以上。 防雷工程：防雷部分的电源防雷器选用进口产品。 机房空调：能够满足机房使用条件的专用独立温湿度调节空调。 机房综合布线：机房的综合布线系统选用进口 6类非屏蔽系统，配线架全部 选用6类24 口快跳式配线架，光纤部分采用24 口光纤配线盘连接。各楼层汇聚 机房配线架，配线架型号选择参见综合布线各网络设计要求。 UPS：配置10KVA UPS设备2台，电池能够满足10KVA设备支持30分钟。 消防报警：根据具体情况自行设计。 机房监控：根据具

10、体情况自行设计。 3、系统设计 3.1设计依据及设计原则 3.1.1,设计依据 计算机信息系统安全保护等级划分准则(GB17859-1999) 信息系统安全等级保护基本要求(GB/T 22239-2008)。 信息系统安全保护等级定级指南(GB/T 22240-2008) 信息系统安全等级保护实施指南(信安字2007 10号) 信息系统通用安全技术要求(GB/T 20271-2006) 信息系统等级保护安全设计技术要求(信安秘字20091059号) 信息系统安全管理要求(GB/T 20269-2006) 信息系统安全工程管理要求(GB/T 20282-2006) 信息系统物理安全技术要求(GB

11、/T 21052-2007) 网络基础安全技术要求(GB/T 20270-2006) 信息系统安全等级保护体系框架(GA/T 708-2007) 信息系统安全等级保护基本模型(GA/T 709-2007) 信息系统安全等级保护基本配置(GA/T 710-2007) 信息系统安全等级保护测评要求(报批稿) 信息系统安全等级保护测评过程指南(报批稿) 信息系统安全管理测评(GA/T 713-2007) 操作系统安全技术要求(GB/T 20272-2006) 操作系统安全评估准则(GB/T 20008-2005) 数据库管理系统安全技术要求 (GB/T 20273-2006) 数据库管理系统安全评估

12、准则 (GB/T 20009-2005) 网络端设备隔离部件技术要求 (GB/T 20279-2006) 网络端设备隔离部件测试评价方法(GB/T 20277-2006) 网络脆弱性扫描产品技术要求(GB/T 20278-2006) 网络脆弱性扫描产品测试评价方法(GB/T 20280-2006) 网络交换机安全技术要求(GA/T 684-2007) 虚拟专用网安全技术要求(GA/T 686-2007) 网关安全技术要求(GA/T 681-2007) 服务器安全技术要求(GB/T 21028-2007) 入侵检测系统技术要求和检测方法(GB/T 20275-2006) 计算机网络入侵分级要求(

13、GA/T 700-2007) 防火墙安全技术要求(GA/T 683-2007) 防火墙技术测评方法(报批稿) 信息系统安全等级保护防火墙安全配置指南(报批稿) 防火墙技术要求和测评方法(GB/T 20281-2006) 包过滤防火墙评估准则(GB/T 20010-2005) 路由器安全技术要求(GB/T 18018-2007) 路由器安全评估准则(GB/T 20011-2005) 路由器安全测评要求(GA/T 682-2007) 网络交换机安全技术要求(GB/T 21050-2007) 交换机安全测评要求(GA/T 685-2007) 终端计算机系统安全等级技术要求(GA/T 671-2006

14、) 终端计算机系统测评方法(GA/T 671-2006) 虚拟专网安全技术要求(GA/T 686-2007) 应用软件系统安全等级保护通用技术指南(GA/T 711-2007) 应用软件系统安全等级保护通用测试指南(GA/T 712-2007) 网络和终端设备隔离部件测试评价方法(GB/T 20277-2006) 网络脆弱性扫描产品测评方法(GB/T 20280-2006) 信息安全风险评估规(GB/T 20984-2007) 信息安全事件管理指南(GB/Z 20985-2007) 信息安全事件分类分级指南(GB/Z 20986-2007) 信息系统灾难恢复规(GB/T 20988-2007)

15、 312、设计原则 在技术方案设计中，遵循以下的系统总体设计原则： 1 统一规划、分布实施 遵循统一规划、分布实施的原则，在信息中心软硬件支持平台扩容规划和建 设中，首要的工作就是明确近期和长期的建设目标，立足于应用，分布实施。 2、开放性、互连性和标准化 采用国际、国家标准、协议和接口，能与现有的和未来的系统互连与集成。 3、先进性 在保证系统的整体性和实用性的前提下，考虑系统的先进性，所釆用的技术 和设备应能保证在目前同行业中是先进的，能够满足海关信息中心软硬件支持平 台扩容未来5年以上的需求发展。 4、成熟性 技术方案中所采用的系统体系结构和技术必须是已经过实践检验，证明是成 熟的。 5

16、、可靠性、稳定性和容错性 通过选择成熟的技术、冗余的设计、可靠性产品保证整个系统具有高度的可 靠性、稳定性和容错性。 6、安全性 建立完善的网络安全体系，保证海关信息中心网络设备的安全运行。 7、高性能 网络系统、服务器系统和安全系统的设计和产品选择都要考虑到高性能要 求。 8、升级性和可扩展性 系统设计要充分考虑到扩容和升级的需要，能灵活方便地适应未来系统可能 的变化。选择开放性标准的产品，确保设备的兼容性；通过系统结构的合理设计 和适度资源冗余，为未来的系统扩充打下基础，保证需求增加时系统的平滑扩充, 保证前期的投资。 9、高可管理性 整个系统的设计要层次清晰、功能明确，便于性能分析、故障

17、诊断，能实现 对系统资源的全面监控和优化配置，对访问的有效监控和审计，保证整个系统具 有高度的可管理性。 32信息安全技术设计 3. 2.1机房设计 3. 2. 1. 1机房位置的选择 机房设置在综合保税区A区2楼，按照国家机房标准设置，具有防農、防风和防雨 等能力。 3. 2. 1.2机房访问控制 a）机房出入口应安排专人值守，控制、鉴别和记录进入的人员； b）需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动围。 3. 2.1.3防盗窃和防破坏 a）应将主要设备放置在机房； b）应将设备或主要部件进行固定，并设置明显的不易除去的标记； c）应将通信线缆铺设在隐蔽处，可铺设在地下或

18、管道中； d）应对介质分类标识，存储在介质库或档案室中； e）主机房安装必要的防盗报警设施。 3. 2.1.4防雷击 a）机房建筑设置了电源防雷器、数据防雷器和视频信息防雷器等避雷装置； b）机房设置交流电源地线。 3. 2.1.5 防火 机房应设置灭火设备和火灾自动报警系统。 3. 2.1.6防水和防潮 a）水管安装，不得穿过机房屋顶和活动地板下； b）采取措施防止雨水通过机房窗户、屋顶和墙壁渗透； c）采取措施防止机房水蒸气结稼和地下积水的转移与渗透。 3. 2.1.7防静电 整个机房采用防静电地板设计。 3. 2.1.8温湿度控制 机房设置温、湿度自动调节设施，使机房温、湿度的变化在设备

19、运行所允许的围 之。 3. 2.1.9电力供应 a）应在机房供电线路上配置稳压器和过电压防护设备； b）应提供了 30KVA的UPS,用于短期的备用电力供应，至少满足关键设备在断电 情况下的正常运行要求。 3. 2.1. 10电磁防护 电源线和通信线缆应隔离铺设，避免互相干扰。 3. 2.2网络设计 3. 2. 2.1网络结构设计 采用MSTP的组网方式，A、B、C三区采用MSTP光纤电路（RJ45接口），通过 中国电信HSTP网络，实现了A、B、C三个区的互联通讯、三个区的网络热备以及A 区通过互联网接入与海关总部互访，组成数据通信传输通信专网。其网络结构图 网络中设备、电路均安全可靠，关键

20、设备、电路均有冗余备份，并采用先进 的容错技术和故障处理技术，保证数据传输的安全可靠，保证网络可用性达到使 用要求。 这样设计，得以实现系统网络安全： 保证关键网络设备的业务处理能力具备冗余空间，满足业务高峰期需要； 保证接入网络和核心网络的带宽满足业务高峰期需要； 根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同 的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段。 3. 2. 2.2访问控制 在网络边界部署访问控制设备，启用访问控制功能； 根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为 网段级。 按用户和系统之间的允许访问规则，决定允许或

21、拒绝用户对受控系统进行资 源访问，控制粒度为单个用户； 限制具有拨号访问权限的用户数量。 3. 2. 2.3安全审计 对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录； 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他 与审计相关的信息。 3. 2. 2. 4边界完整性检查 能够对部网络中出现的部用户未通过准许私自联到外部网络的行为进行检 查。 3. 2. 2.5入侵检测 在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒 绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。 系统设置一台IDS检测引擎，用于对计算机和网络资源的恶意使用行

22、为进行 识别和相应处理。其结构如下图所示： 检测引擎是一个高性能的专用硬件，运行安全的操作系统，对网络中的所有 数据包进行记录和分析。根据规则判断是否有异常事件发生，并及时报警和响应。 同时记录网络中发生的所有事件，以便事后重放和分析。 管理主机运行于Windows操作系统的图形化管理软件。可以查看分析一个或 多个检测引擎，进行策略配置，系统管理。显示攻击事件的详细信息和解决对策。 恢复和重放网络中发生的事件。提供工具分析网络运行状况。并可产生图文并茂 的报表输出。 3. 2. 2.6网络设备防护 对登录网络设备的用户进行身份鉴别； 对网络设备的管理员登录地址进行限制； 网络设备用户的标识应唯

23、一； 身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换； 具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录 连接超时自动退出等措施； 当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过 程中被窃听。 3. 2.3主机安全 3. 2. 3. 1身份鉴别 应对登录操作系统和数据库系统的用户进行身份标识和鉴别； 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应 有复杂度要求并定期更换； 应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出 等措施； 当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过 程

24、中被窃听； 应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有 唯一性。 3. 2. 3.2访问控制 应启用访问控制功能，依据安全策略控制用户对资源的访问； 应实现操作系统和数据库系统特权用户的权限分离； 应限制默认的访问权限，重命名系统默认，修改这些的默认口令； 应及时删除多余的、过期的，避免共享的存在。 3. 2. 3.3安全审计 审计围应覆盖到服务器上的每个操作系统用户和数据库用户； 审计容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等 系统重要的安全相关事件； 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等； 应保护审计记录，避免受到未预

25、期的删除、修改或覆盖等。 3. 2. 3.4入侵防 操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升 级服务-器等方式保持系统补丁及时得到更新。 3. 2. 3. 5恶意代码防 应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库； 应支持防恶意代码软件的统一管理。 3. 2. 3.6资源控制 应通过设定终端接入方式、网络地址围等条件限制终端登录； 应根据安全策略设置登录终端的操作超时锁定； 应限制单个用户对系统资源的最大或最小使用限度。 3. 2.4应用安全 3. 2. 4.1身份鉴别 应提供专用的登录控制模块对登录用户进行身份标识和鉴别； 应提供用户身份标识

26、唯一和鉴别信息复杂度检查功能，保证应用系统中不存 在重复用户身份标识，身份鉴别信息不易被冒用； 应提供登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出 等措施； 应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查 以及登录失败处理功能，并根据安全策略配置相关参数。 3. 2. 4.2访问控制 应提供访问控制功能，依据安全策略控制用户对文件、数据库表等客体的访 问； 访问控制的覆盖围应包括与资源访问相关的主体、客体及它们之间的操作； 应由授权主体配置访问控制策略，并严格限制默认的访问权限； 应授予不同为完成各自承担任务所需的最小权限，并在它们之间形成相互制 约的关系。

27、 3. 2. 4.3安全审计 应提供覆盖到每个用户的安全审计功能，对应用系统重要安全事件进行审 计； 应保证无法删除、修改或覆盖审计记录； 审计记录的容至少应包括事件日期、时间、发起者信息、类型、描述和结果 等。 3. 2. 4. 4通信完整性 应采用校验码技术保证通信过程中数据的完整性。 3. 2. 4.5通信性 在通信双方建立连接之前，应用系统应利用密码技术进行会话初始化验证； 应对通信过程中的敏感信息字段进行加密。 3. 2. 4.6软件容错 应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的 数据格式或长度符合系统设定要求； 在故障发生时，应用系统应能够继续提供一部分功

28、能，确保能够实施必要的 措施。 3. 2. 4.7资源控制 当应用系统的通信双方中的一方在一段时间未作任何响应，另一方应能够自 动结束会话； 应能够对应用系统的最大并发会话连接数进行限制； 应能够对单个的多重并发会话进行限制。 3. 2.5数据安全及备份恢复 3. 2. 5.1数据完整性 应能够检测到鉴别信息和重要业务数据在传输过程中完整性受到破坏。 系统提供完整的日志功能，对所有的业务数据，进行日志记录，以备后查。 3. 2. 5.2数据性 应采用加密或其他保护措施实现鉴别信息的存储性。系统使用ic卡存储业务数据 时，釆用了DES加密算法，对关键数据进行加密。 3. 2. 5. 3备份和恢复

29、 a）采用了 Rose公司提供的、基于共享磁盘阵列的高可用RoseHA解决方案，为用 户提供了具有单点故障容错能力的系统平台。 b）采用HSTP的组网方式，A、B、C三区采用MSTP光纤电路（RJ45接口），通过中 国电信MSTP网络，实现了A、B、C三个区的互联通讯、三个区的网络热备以及A 区通过互联网接入与海关总部互访，组成数据通信传输通信专网。 c）制定详细的数据库备份与灾难恢复策略，并通过模拟故障对每种可能的情况进 行严格测试，保证了数据的高可用性。 3. 2. 6综合布线系统 3. 2. 6. 1 概述 综合布线系统围主要包括联检大楼、闸口及闸口办公区、查验平台及查验 仓库及实验楼等

30、。 本综合布线系统涉及海关、检验检疫和用户三方的综合布线系统。 3. 2. 6. 2综合布线系统设计 为保证系统先进性、开放性和扩展性，实现语音、多媒体、数据等应用的 承载能力，综合布线系统采用六类结构化布线系统，采用星型拓扑结构，主干网 络采用千兆以太网络，实现百兆接入、千兆上行的物理链路。 综合布线系统由工作区，水平区，垂直区，设备管理及楼群子系统组成， 各部分均采用标准的模块化构件，以利于将来的升级、扩展。 工作区子系统 工作区子系统由设在各工作区的信息插座、跳线（连接信息插座至终端设 备之间的线缆）构成。信息插座采用双孔面板及相配合的六类信息模块。 水平干线子系统 水平子系统由各大楼楼

31、层配线间至各个工作区之间的电缆和多模水平光缆 构成。水平干线子系统采用六类阻燃双绞线电缆。 本系统采用六类双绞线，用于所有的数据点和语音点，实现信息点可完全 互换。 垂直主干子系统 垂直主干子系统采用单模光缆，提供全双工传输通道，具有极大的传输带 宽和极髙的传输质量。 管理子系统 管理子系统由各层分设的楼层配线系统及主机房中的主配线系统（设备间 子系统）构成，负责楼层及信息通道的统一管理。主要由跳线面板、跳线管理器、 跳线、光缆端接面板、机柜（或机架）等组成。 管理子系统将模块、电脑模块和网络模块安装在机柜中，对线缆进行统一 布局和管理。 系统采用19”标准机柜，高42U,顶部安装有2-4个风

32、扇，背后安装电源 线槽，正面安装玻璃门，后背板和侧板均可拆卸。机柜所有的信息点符合规定的 编号规则和颜色规则，以方便用户的使用。 主配线间（BD） 为实现高可靠性，本系统将主配线架全部安装在机柜。 楼层配线间（FD） 在各楼层配线架中，与水平双绞线连接的用户区采用六类配线架，每个信 息点完全灵活用于语音或数据。 各配线间设置光纤配线架，用来连接多芯光缆，安装在19”标准机柜，用于 各种计算机网络设备。通过更换跳线实现与其他网络设备的连接。 3. 2. 6. 3海关综合布线系统 海关网络按照海关总署“五网”独立要求，分别设置管理网、运行网、电 子口岸专网、互联网和语音网。海关网络覆盖围包括：闸口

33、及闸口办公区、查验 平台及查验仓库及联检大楼海关办公场地等。 海关网络采用三层结构设计，由核心层、汇聚层、接入层组成。核心层设 置在海关信息中心机房，汇聚层设置在海关信息中心机房、查验平台机房，接入 层设置在卡口。海关网络应与海关的网络无缝地实现互联互通。 在海关网络核心层选择1台髙性能交换机作为系统主交换机。主交换机与 系统服务器连接采用1000M连接。 3.3产品选型 3. 3.1选型原则 在本方案的技术选择和设备选型首先是基于对本项目的理解和分析，并特 别考虑到满足未来5到10年的业务发展要求做出的，并遵循以下原则得出的： 实用性 采用成熟、稳定的技术，满足业务的实际要求； 先进性 根据

34、当前业务要求，考虑今后5到10年的业务发展需要，在设计上留有余量; 可靠性 采用目前国际上商用SAN交换机最先进且成熟可靠的软硬件技术；选用可靠 性髙的产品与技术，充分考虑到在系统出现异常时的应变与容错能力，从而确保 整个系统的高可靠性。 扩展性 在系统结构、产品系列和处理性能等各方面具有良好的扩充，升级能力, 完全能满足未来5到10年的业务发展要求; 3. 3. 2产品配置清单 序号 名称 规则型号 单位 数量 1 数据服务器 1名称：数据服务器 台 2 2.技术參数:HP DL580G7 E7520 2P 16GB Svr （配4*146G双端口热插拔硬盘，3年保修 现场金牌服务） 2 应

35、用服务器 1名称：应用服务器 台 1 2.技术參数：HP DL388G7 E5506 Entry CN Svr （配置光驱，2*146G双端口热插拔硬盘, 19液晶显示器，3年保修现场金牌服务） 3 操作系统（服务器） Windows server 2003 coem企业版 1名称：操作系统（服务器 套 3 2规格型号：Windows server 2003 coem 企业版 4 数据库软件SQL Server2008工作组版 1.名称：数摇库软件 套 2 2规格型号:SQL Server2008工作组版 5 网络交换机 LS-5120-28P-SI-H3 1名称：网络交換机 台 13 2.技

36、术参数:LS-5120-28P-SI-H3.配光模块 6 网络交换机 LS-5500-28C-EI 1名称：网络交換机 台 20 2技术参数:LS-5500-28C-EI,配光模块. 堆叠模块、堆奁线 7 网络交换机 LS-5500-28F-EI-AC 1名称：网络交換机 台 7 2.技术参数:LS-5500-28F-EI-AC,配 8 个光 模块 8 操作系统（客户机） WindowsXPP COEM 1名称：操作系统（客户机） 套 1 2.规榕型号：WindowsXPP COEM 9 磁盘阵列 1.名称：磁盘阵列 台 1 2规格型号：MSA2300SAG2,含磁盘柜，支 持12槽.配6x3

37、00G S/S热拔插硬盘 10 双机热备份软件 1.名称：双机热备份软件 套 1 2.规格型号:ROSE FOR WINDOWS 8. 5 版本 11 电源防雷器 1名称：电源防雷器 个 12 2.型号:ZFDF-220 3.参数：标称通流容虽：20KA最大通流 ：M50KA 残压：200V 响应时间： 25ns 12 接地铜心线 BVR-25mm2 1.引下线材质、规格、技术要求（引下形式）： BVR-25mm2铜芯线,均压环引至联合接地体 m 96.8 2部位：主龙骨接地线、配电柜接地线 13 接地铜心线 1.引下线材质、规格、技术要求（引下形式）： m 37.8 BVR-50mm2 BV

38、R-50mm2铜芯线，均压环引至联合接地体 2部位：主龙骨接地线、配电柜接地线 14 抗静电地板接地跨线 1.名称：抗静电地板接地跨线BVR6 处 108 15 等电位接地铜排 1.均压环材质、规格、技术要求：30*3铜排， 地板下安装，做等电位均压环 米 90 16 防雷器B级 ZGG120-385 1名称、型号:防雷器B级ZGG120-385 组 1 2电压等级：400V 17 防雷器C级 ZGG80-385 1名称.型号：防雷器C级ZGG80-385 组 4 2电压等级：400V 18 防雷器D级 ZGG40-385 1名称.型号：防雷器C级ZGG40-385 组 1 2电压等级：400

39、V 19 输入输出模块 1名称：输入输出模块JF-M02 个 1 2输出形式：单输出 20 接线端子箱 1.名称：接线端子箱 台 1 2型号：JPH901 21 感烟探测器 1名称：感烟探测器JTY-GD/JF-D11 口 8 2其它：符合设计及規要求 22 感温探测器 1 名称：感温探测器JTW-BCD/JF-D12 口 8 2其它：符合设计及規要求 23 手动报警按扭 1名称：手动报警按扭J-SAP4I/JF-D13 口 3 2其它：符合设计及規要求 24 声光报警装置 1名称：声光报警装置JBU-VM1372B 台 3 2其它：符合设计及规要求 25 报警控制器 1 名称：报警控制器-Q

40、BZ-JF998X 台 1 2其它：符合设计及规要求 26 控制器电源 1 名称：控制器电源24V/10A 台 1 2其它：符合设计及规要求 27 气体灭火器 1.名称：气体灭火器 套 4 2规格型号:2*4KG含箱体C02 28 自动报警系统装置调 试 1.名称：自动报警系统装置调试 系统 1 2点数:W128点 29 电源配电柜 1名称：电源配电柜 台 1 2规格型号：1路市电入、1路UPS入、5 路市电出.10路UPS出，含三相电源防雷 30 配电柜 1.名称：配电柜 台 2 2规格型号：1路市电入、1路UPS入、5 路市电出.15路UPS出，含三相电源防雷 31 柜式空调5P 1.名称

41、：柜式空调 台 3 2.规格型号：5P 32 UPS 电源 30KVA 1名称：UPS电源 台 2 2规格类型:30KVA. 1小时输入为三相，输 出为三相含松下电地.电池柜、空开、铜 芯电线,9355-30-N-0 33 UPS电源柜15KVA 1名称：UPS电源柜 台 1 2类型:EDX15KXL3K15KVA. 1 小时 输入 为三相、输出为单相、含电池及电池柜） 34 防火墻 深信服NGAF 台 1 3. 3. 3产品参数 3. 3. 3. 1 数据库服务器 HP ProLiant DL580 G7 基本參数 产品类型：企业级 产品类别：机架式 产品结构：4U 处理器 CPU 类型：I

42、ntel 至强 7500 CPU 型号：Xeon E7520 CPU 频率：1. 866GHz 智能加速主频:1.866GHz 标配CPU数量：4颗 最大CPU数量：4颗 制程工艺：45nm 三级缓存：18MB 总线规格：QPI 4. 8GT/s CPU核心：四核 CPU线程数：八线程 主板 扩展槽：11个 存 存类型：DDR3 存容疑：16GB 存插槽数量：64 最大存容量：2TB 存储 硬盘接口类型：SAS 标配硬盘容量：900GB 最大硬盘容量：4TB 硬盘描述：3块300GB SAS硬盘 部硬盘架数：最大支持8块SAS/SATA/SSD硬盘 热插拔盘位：支持热插拔 RAID模式:1个智

43、能阵列P410i/512MB FBWC 光驱：薄型SATA DVD ROM 网络 网络控制器：lGbE NC375i四端口网卡 管理及其 他 系统管理:HP Insight Control套件24x7支持 带 iLO 高级软件包的 Insight Control (iLO 3) 电源性能 电源数量：4个 电源功率:1200W 全新的HP ProLiant DL580 G7服务器适用于大部分应用，是数据密集且需 要向上扩展的工作负载的理想平台。 HP ProLiant服务器发挥最佳应用程序运行时间和性能为客户带来更多的效 益包括： HP ProLiant DL580 G7 服务器 利用HP Pr

44、oLiant DL580 G7服务器可扩展的4核性能和类似Intel Machine Check Architecture (MCA)复原的耐用安全功能，增进系统可靠性。 与前一代8插槽服务器相比，HP ProLiant DL580 G7为数据密集型应用程序 带来3倍于以前的数据库性能。因为采用Intel 7500系列处理器，该服务器允许 向上扩展更多的客户端。 HP ProLiant x86服务器带来的卓越性能包括： 适用于HP ProLiant DL系列G7服务器的HP Intelligent Power Discovery , 在服务器和第三方设施管理之间建立自动化的能源感知网络，排除过

45、度配置能源 容量的问题。 通过HP Insight Control提供的Integrated Lights-Out Advanced (iLO 3), 加速远程服务器管理任务作业。iLO 3远程控制面板的执行速度比之前版本快8 倍，提高管理员的管理效率。 HP Insight Control配备动态用电控制技术后，可以正确监督和控制每台 服务器所使用的能源，加强使用数据中心、重新收回过度配置的能源，并增加数 据中心3倍的容量。 特别为 HP ProLiant 而扩展的 HP Miss io n Critical Services,将宕机时 间降至最短，并通过增强的应用程序可用性，降低客户必需不

46、断支付的运营成本。 3. 3. 3. 2 应用服务器 ProLiant DL388 G7 基本参数 产品类别：机架式 产品结构：2U 处理器 CPU 类型：Intel 至强 5600 CPU 型号：Xeon E5649 CPU 频率:2. 53GHz 智能加速主频：2. 93GHz 标配CPU数量：1颗 最大CPU数量：2颗 制程工艺：32nm 三级缓存：12MB 总线规格:QPI 5. 86GT/s CPU核心：六核 CPU线程数：12线程 主板 扩展槽：6 存 存类型：DDR3 存容量:2GB 存描述：PC3-10600R RDIMM DDR3 或 PC3-10600E UDIMM DDR

47、3 存插槽数t： 18 最大存容t： 192GB 存储 硬盘接口类型：SATA/SAS 标配硬盘容量：标配不提供 最大硬盘容量：8TB 部硬盘架数：最大支持8块SFF SATA/SAS硬盘 热插拔盘位：支持热插拔 RAID模式：P410i控制器 网络 网络控制器：两个NC3821双端口千兆网卡 管理及其他 系统管理:iLO 3 电源性能 电源功率:460W 外观特征 产品尺寸:85. 9X660. 7X445. 4mm 产品重量：最大27. 2kg 适用环境 工作温度：10乜-35弋 工作湿度：10%-90% 储存温度：-30-60 储存湿度：5%-95% 惠普ProLiant DL388 G

48、7(616659-AA 1)机架式服务器一款品质高、价位合理 的高信价比2U机架式服务器。这款服务器设置有非常出色的部设计，以Intel至 强5600系列处理器作为核心保障，配合大容量的存和硬盘存储，增加机身的可 靠性，更有效的助推企业腾飞的进程。 惠普 ProLiant DL388 G7 (616659-AA1)图片 惠普ProLiant DL388 G7(616659-AA1)机架式服务器配置Intel至强5600 系列Xeon E5620型号处理器。这款四核八线程的处理核心采用32nm制程工艺， 频率为2. 4GHz,通过智能加速主频，使处理器的频率提升到2. 666GHz,配合12MB

49、 的三级缓存，增加了机体应对高强度工作的可靠性。惠普ProLiant DL388 G7(616659-AA1)机架式服务器置有2GB的DDR3类型存，智能阵列P410i/零缓存， 充分保障了机体运行的流畅与数据交换的可靠。 惠普ProLiant DL388 G7(616659-AA1)机架式服务器配置有2个NC382i双 端口千兆网卡，并配合iLO 3管理程序，增加机体整体可控程度。 惠普ProLiant DL388 G7(616659-AA1)机架式服务器的主板上最大设计有6 个扩展槽，并配置有18个存插槽和多个硬盘插槽，使最大存容量可以达到192GB, 最大硬盘容量可达8TB,充分保障运转

50、的流畅程度。 惠普ProLiant DL388 G7(616659-AA 1)机架式服务器是一款性价比非常高的 2U产品。这款机架式服务器采用Intel至强5600系列Xeon E5620型号处理核 心，配合2个NC382i双端口千兆网卡和iLO 3管理程序，充分保障了机体的可 靠性和可控性，更加便于使用者操作。 3. 3. 3. 3 磁盘阵列 HP MSA2300 产品型号 序列号 描述 数量 MSA2300 双控制器预配 置 AJ797A 4P MSA2324fc双控制器磁盘阵列： 双控制器，每个控制器1 GB缓存；每个控制器有2 个 4Gb Fibre Channel 端口；支持 RAI

51、D 0. 1, 3, 5. 6, 10, 50；最大支持64个主机；带24颗2. 5寸硬 盘插槽；冗余电源 1 AJ795A IP MSA2312fc双控制器磁盘阵列： 每个控制器IGB缓存；每个控制器有2个4Gb Fibre Channel 端口；支持 RAID 0, 1, 3, 5, 6, 10. 50； 最大支持64个主机；带12颗3. 5寸硬盘插槽；冗 余电源 1 AJ805A HP MSA2312sa双控制器磁盘阵列： 冗余控制器，带1GB缓存；每个控制器有4个3Gb SAS 接口；支持 RAID 0, 1, 3, 5, 6, 10, 50；直连最 大支持8个主机，通过SAS BL

52、Switch最大支持到 64个主机；带12顆硬盘插槽；冗余电源 1 J807A IP StorageWorks 2324sa双控制器磁盘阵列： 冗余控制器，带1GB缓存;每个控制器有4个3Gb SAS 接口；支持 RAID 0, 1, 3, 5, 6, 10, 50；直连最 大支持8个主机，通过SAS BL Switch最大支持到 64个主机；带24顆2. 5寸硬盘插槽；冗余电源 1 XJ800A 4P MSA2312i LFF双控制器磁盘阵列： 冗余控制器，每个控制器1 GB缓存；每个控制器有 2 个 1Gb iSCSI 端口;支持 RAID 0. 1, 3, 5. 6, 10, 50；最大

53、支持32个主机；带12颗硬盘插槽；冗余 1 电源 AJ956A HP MSA2300fc SAN Starter HA Upgrade Kit 包括额外一个单独控制器，1X8端口 8Gb SAN Switch, 2X8Gb HBAs, SFP 和线缆，可以给 AJ954A 或AJ955A升级 1 磁盘笼及可添 加控制器 选一个LFF或SFF磁盘笼，选择一个或两个 FC/SA/iSCSI 控制器 磁盘笼 AJ949A HP MSA2324 SFF 2.5 “磁盘存储机箱 2个阵列控制器槽位，带24颗2. 5寸硬盘插槽，冗 余电源 1 AJ948A HP MSA2312 LFF 3.5”磁盘存储机

54、箱 2个阵列控制器槽位，带12颗3. 5寸硬盘插槽，冗 余电源 1 DC磁盘笼 AJ950A HP MSA2012 3.5 “直流电源存储机箱 1 U951A HP MSA2024 2.5”直流电源存储机箱 1 控制器 AJ798A HP 2300fc磁盘存储控制器，1GB缓存；每个控制器 有2个4Gb Fibre Channel端口 ；最大支持64个主 机 1 AJ808A HP 2300sa G2 Modular Smart Array Controller 带IGB缓存；每个控制器有4个3Gb SAS接口；支持 RAID 0, 1, 3, 5, 6, 10, 50；直连最大支持8个 主机

55、，通过SAS BL Switch最大支持到64个主机 1 AJ803A HP MSA2300i Modular Smart Array Controller 1 GB缓存；每个控制器有2个1Gb iSCSI端口，最 大支持32个主机； 1 随着信息化时代的到来，信息的数量化让我们应对起来手忙脚乱，人们迫切 的需要大容量的存储设备来存放这些信息，其中磁盘阵列就是这个家族中很重要 的一员，它利用数组方式来作磁盘组，配合数据分散排列的设计，提升数据的安 全性。 惠普 StorageWorks MSA2300FC (AJ798A) 惠普StorageWorks MSA2300FC(AJ798A)磁盘阵

56、列采用2U机架结构，阵列容 量为16TB。置三种硬盘接口，分别为SAS、SATAII和SCSI,可满足日常需要。 RAID的采用为存储系统(或者服务器的置存储)带来巨大利益，其中提高传输速率 和提供容错功能是最大的优点。另一方面由于同时使用多个磁盘，提高了传输速 率。惠普 StorageWorks MSA2300FC(AJ798A)磁盘阵列支持的 RAID 形式为 0, 1, 3, 5, 6, 10, 50o 惠普 StorageWorks MSA2300FC(AJ798A)磁盘阵列支持 Microsoft Windows Server 2008 IA32, x64, IA64 (Standa

57、rd, Enterprise, Datacenter), Microsoft Windows 2003 and 2003 R2 IA32, x64, IA64 和 Red Hat Linux (32/64)等多种 操作系统。 惠普StorageWorks MSA2300FC(AJ798A)磁盘阵列具有很高的稳定性，它平 均无故障时间可以达到1500000小时。 3. 3. 3. 4 骨干网交换机 S5120-28P-SI H3C S5120-SI系列以太网交换机是H3C技术自主开发的全千兆二层以太网 交换机，广泛应用于企业网和园区网的接入层。提供灵活的全千兆以太网端口的 接入密度、丰富的业务特

58、性、统一的集群配置，为用户提供高性能、低成本、可 网管的千兆到桌面的解决方案。 H3C S5120-SI系列以太网交换机目前包含如下型号： S5120-20P-SI： 16 个 10/100/1000Base-T 以太网端口，4 个 1000Base-X SFP 千兆以太网端口； S5120-28P-SI： 24 个 10/100/1000Base-T 以太网端口，4 个 lOOOBase-X SFP 千兆以太网端口； S5120-20P-SI Jttrnrrrrlc S5120-52P-SI： 48 个 10/100/1000Base-T 以太网端口，4 个 1000Base-X SFP 千

59、兆以太网端口。 S5120-52P-SI S512O-28P-SI 灵活的千兆接入和集群管理 H3C S5120-SI系列全千兆以太网交换机提供灵活的16/24/48个 10/100/1000M自适应电口接入；并且支持非复用的SFP插槽，充分考虑用户的 带宽升级的实际情况，既可以支持千兆光模块，也可以支持百兆光模块，保护用 户投资。H3C S5120-SI系列硬件支持最大104Gbps交换容量，保证所有端口二 层线速交换。 H3C S5120-SI系列交换机采用专利技术允许交换机利用专用互联电缆实现 多达16台设备的堆叠，支持不同端口设备的混合堆叠。具有即插即用、单一 IP 管理。同时大大降低

60、系统扩展的成本，保护了用户投资。 全面的接入安全策略 H3C S5120-SI系列交换机支持特有的ARP入侵检测功能，可有效防止黑客 或攻击者通过ARP报文实施网络中逐渐盛行的“中间人”攻击，对不符合DHCP Snooping动态绑定表或手工配置的静态绑定表的非法ARP欺骗报文直接丢弃。 同时支持IP Source Check特性，防止包括MAC欺骗、IP欺骗、MAC/IP欺骗在 的非法地址仿冒，以及大量地址仿冒带来的DoS攻击。另外，利用DHCP Snooping 的信任端口特性还可以有效杜绝私设DHCP服务器，保证DHCP环境的真实性和一 致性。 H3C S5120-SI系列交换机支持端口