山东省国土资源系统一个平台两个市场一期建设项目集成方案硬件第二稿版

1、山东省国土系统“一个平台、两个市场”一期建设项目项 目 名 称 ：系统集成山东省国土系统“一个平台、两个市场”所 属 项 目 ：一期建设项目220018201400020_001合 同 编 号 ：SDGTYL121201501项 目 编 号 ：建 设：山东省国土厅信息中心项目联络人：冯永玉承 建：浪潮软件项目：李贵良合 同 期 限 ：自合同生效之日起至项目一期建设验收完成目录目录31项目概述51.1 整体介绍51.1.1 分包信息51.1.2 承建介绍81.2 建设目标91.3 建设原则91.4 建设内容101.4.1 网络系统部分101.4.2 安全系统部分111.4.3 主机系统部分122

2、总体. 152.1 总体拓扑152.4.1 内网拓扑152.4.2拓扑162.2 网络系统部分162.3 安全系统部分182.4 主机系统分析212.4.1 应用、数据库实施212.4.2 虚拟化实施222.4.3系统集成223集成方案233.1 网络拓扑233.1.1 内网网络改造拓扑233.1.2网络改造拓扑263.1.3 机柜及设备部署273.2 命名. 303.2.1 命名格式. 303.2.2 设备及线缆命名规则303.2.3 设备名称. 303.3 实施. 313.3.1 虚拟化3.3.2 小型机3.3.3 3.3.33.3.4 交换机3.3.5 CA 系统3.3.6 网络3.3.

3、7 安全防护. 31. 40. 47. 51. 55. 84. 884部署方案1354.1系统部署整体说明1354.1.14.1.24.1.34.1.44.1.54.1.6应用服务器及部署135设备部署136内网应用软件部署137应用软件部署137、备份系统磁盘阵列部署137小型机部署1384.2系统硬件配置要求1385组织架构1455.15.25.35.45.5项目组织145项目组织架构图145项目项目硬件项目组成146职责146人信息1495.6 项目计划1495.6.1 新中天公司实施计划1495.6.2 美讯公司实施计划1505.6.3 天启公司实施计划1505.6.4 中海公司实施计

4、划1505.6.5 山东 CA 公司实施计划1511项目概述1.1 整体介绍随着的迅速发展，国土部门传统的工作和工作方式已经不能适应现代的快节奏变化，国土供需突出、土地利用总体滞后、土地利用效率问题严重困扰着各级国土部门，传统的信息化可以在一定程度上缓解对提高土地、矿产的保护和保障能力，但是随着国土信息化的不断深入，土地管理、矿产管理、GIS 系统、城市用地审批等系统相互融合，国土信息化建设已经从简单的数据收集应用逐步发展到多业务、多系统融合，集数据分析、政务管理、政务审批、指挥调度于一体的综合信息化平台。此次山东省国土系统“一个平台、两个市场”建设亦是如此。硬件平台作为“一个平台、两个市场”

5、项目所有业务系统的支撑平台，需要保障山东省国土系统的多业务系统运行，构建一个安全可靠、多业务承载、易扩展、易管理的网络基础平台。山东省国土“一个平台，两个市场”项目一期建设硬件部分共有 9 个分包，分别为小型机采购、数据系统、安全防护系统、信息系统建设等。根据各分包的合同及招投标文件，我们制定本实施方案，作为整个工程实施的规范和依据。本文档的主要读者为各分包项目组及业主。1.1.1 分包信息包号包名承建主要货物A1（2015- 085）小 型 机采购山东天启 1、UNIX 服务器、浪潮、浪潮天梭 K1 950-8 系统2、Intel Itanium 9560、CPU 3、16G 内存容量、内存

6、4、600G 热插拔 SAS 硬盘（15000 转）、硬盘5、浪潮天梭 K1 950-8 系统整机 1 年 7*24 小时原厂售后服务延保6、双口 8GB FC HBA 卡（LC 光纤接口）7、2500W 电源模块8、浪潮 K-HA 高可用集群软件9、双口千兆网卡（RJ45 接口）10、双口万兆网卡（LC 光纤接口）11、浪潮 K-UX 操作系统12、系统集成服务A1（2015- 369）数 据 存储系统山东新中天信息技术 有限公司1、24 口光纤交换机、OceanStorSNS21242、48 口光纤交换机、OceanStorSNS22483、内网磁盘阵列、EMC、VMAX 20K4、磁盘阵

7、列、浪潮、AS520E-MI5、接入交换机、迪普、LSW3600-24GT4GP-SI6、管理终端（机箱）、lenovo、启天 M4500-B4597、管理终端（显示器）、lenovo、E2323swA8、系统集成及运维服务、定制A15安 全 防护系统山东新中天信息技术 有限公司1、安全体系和标准规范建设（定制）2、安全管理平台、启明星辰、安全管控与审计系统3、审计系统、网御网络审计系统4、安全配置核查系统、启明星辰、天境脆弱性扫描与管理系统5、堡垒机、启明星辰、天玥审计系统6、应用交付系统、天泰7、管理终端-机箱、lenovo、启天 M4500-B4598、管理终端-液晶显示器、lenovo

8、、E2323swA9、接入交换机、迪普、LSW3600-24GT4GP-SIA16安 全 防护系统山东美讯网络科技 1、堡垒机、启明星辰、天玥审计系统2、安全配置核查系统、启明星辰、天境脆弱性扫描与管理系统3、抗拒绝服务系统、启明星辰、天清异常流量管理与抗拒绝服务系统4、web 防护系统、启明星辰、天清 WEB 应用安全网关A17安 全 防护系统山东新中天信息技术 有限公司1、unix 操作系统加固、浪潮、浪潮操作系统安全增强系统2、windows 操作系统加固、浪潮、浪潮操作系统安全增强系统3、数据库加固、天融信、天融信数据安全管理系统A2（2015- 085）小 型 机采购北京中海 数字技

9、术发展 有限 公司1、UNIX 服务器、IBM、Power750 基本型(不含 CPU内存硬盘)2、3.5 GHz, POWER7+ Processor DCM、CPU3、16GB Memory DIMMs,、内存4、300GB 15K RPM SAS SFF Disk Drive、硬盘5、T42 机柜(2.0 米)、机柜6、8Gb PCI Express 双通道光纤通道适配器、HBA 卡7、系统电源、电源8、IBM PowerVM 企业版、虚拟化软件9、万兆以太网 SR 光纤 PCIe 适配卡、扩展网卡10、SATA 超薄 DVD-RAM 驱动器11、内存扩展卡12、外置光驱和磁带机13、管

10、理服务器14、1U 17in 折叠液晶套件15、IBM TF316、系统集成服务17、系统集成服务A2（2015- 369）信 息 系统建设山东新中天信息技术 有限公司1、内网服务器、浪潮、NF8460M32、服务器、浪潮、NF8460M33、交换服务器、浪潮、NF8460M34、虚拟化软件、FusionSphere 5.0/FusionManager 5.05、虚拟化管理平台（私有云服务管理平台）、联科、CCMP V2.06、终端（机箱）、lenovo、启天 M4500-B459 7、终端（显示器）、lenovo、E2323swA8、接入交换机、迪普、LSW3600-24GT4GP-SIA3

11、（2015- 369）信 息 系统建设山东美讯网络科技 1、汇聚交换机、H3C、S105102、路由器、H3C、MSR 36-403、幅面彩色激光、富士、施乐、DocuP rint C22554、幅面彩色激光打印机、HP、LaserJet Enterprise 700 M712dn5、工作终端、lenovo、ThinkPad X250-60 6、大幅面扫描仪、CONTEX、44907、大幅面绘图仪、HP、Z62008、业务中间件组件（即时通讯软件）、腾讯通 RTX V5.09、中间件软件组件（邮件系统）、cor、电子邮件系统 V5.010、搜索引擎、埃帕、Cooling 搜索引擎软件 V5.0

12、11、平台、中国移动、mas平台12、内网 MODEM 池金笛、MU-106 定制13、MAS 服务器、中国移动、mas2.01.1.2 承建介绍山东新中天：是一家专注于电子政务平台研发和信息系统集成的高新技术企业。公司主要业务提供电子政务及信息化整体解决方案及技术咨询服务，致力于及大中型企业信息化相关的基础平台与应用的研发和销售。山东美讯网络科技：是一家资金和技术实力雄厚的高科技企业，2005 年成立, 公司主要以专业的 IT 解决方案供应商和技术服务商为自身，不断完善运营体制，逐渐形成集销售、维修及服务于一体的一条龙服务体系,为客户提供全面的系统集成服务，并充分利用现代化的系统管理，实现了

13、系统、软件开发、供应、系统集成的创新运营。14、MODEM、分秒、-1U15、运行费用、定务费用定制16、企业级 GIS 服务器平台软件高级版升级、ArcGIS for Server V10.317 、 GIS 桌面软件 高级版升 级软件、 ArcGISfor DesktopV10.3A4（2015- 369）信 息 系统建设山东省数字认证管理有限公司1、系统、SDCA、SDCA RA012、运营管理平台、SDCA、SDCA MGPF3、签名验签服务器、NetONE、NetONE-18004、电子时间戳系统、NetONE、NetONE-18005、服务器机、得安、SJJ09296、钥匙、华申、

14、SJK11377、服务器、浪潮、NF5245M38、电子系统、安证通、ESA2012 电子系统 V12.0山东天启：创立于 2003 年， 一直从事信息设备的销售和服务，公司的发展历程中，与政府及企事业形成了良好的合作关系。2011 年 6 月，通过吸收合并，增资改制，形成了现在的公司组织架构。公司的主要业务，包括系统集成，软件开发，智能化工程和相关的技术支持信息服务等。北京中海数字技术发展：是中国电子政务建设领域的优秀企业和知名品牌。公司成立于 2003 年，总部坐落于北京市中关村地区，由海淀区属国有资产投资控股，是海淀区管委会直接指导的级高新技术企业和软件认证企业。多年来一直专注于电子政务

15、、网络教育及企业信息化领域的 IT服务。山东省数字认证管理：是成立于2001年2月14日的国有控股公司，是经主管部门的、的第认证机构，是山东省信任认证和服务的专业提供商，也是全省网络信任体系建设与运营的主体。涉及电子政务、电子商务领域等近百项业务，在电子政务公共服务领域的网上年检、网上审批、网上申报等应用中取得了显著成效。1.2 建设目标在山东省国土系统“一个平台、两个市场”项目建设初步设计和详细设计方案指导下，完成整个系统的集成和、应用、主机、数据各个分系统的集成、互联与调试方案。为省国土厅的信息化建设提供全方位、全生命周期的综合服务。1.3 建设原则1、统一性原则。“一个平台、两个市场”建

16、设项目总集成按照“统一、统一标准、统一指导，分布实施”的原则进行建设。2、保护原则。充分利用“一个平台、两个市场”项目现有的设计成果、数据、硬件资源和基础设施。3、扩展性原则。需要充分考虑与原有系统的兼容性，保证整个系统在实际需要时可以平滑地过渡或升级到新系统，考虑与其他相关管理信息系统的衔接，以确保系统接口的可扩展性。4、可靠性原则。采用成熟、稳定、可靠的软硬件技术，保证系统长期安全、稳定地运行。5、可持续发展原则。在项目建设实施过程中，总集成方在保障当前项目建设的同时，还应根据政策要求和国土信息化特点，协助组织国土厅的业务、技术专业进行行业前瞻性、战略性研究，确保“一个平台、两个市场”项目

17、建设、未来项目建设和整个国土信息化建设的可持续发展。1.4 建设内容1.4.1 网络系统部分1、此次项目所涉及的网络系统部分建设主要包含在 A3（2015-369）包内，承建:山东美讯网络科技，主要建设内容为: 1、将两台汇聚交换机采用两条万兆光缆进行聚合，连接两台汇聚交换机，启用虚拟化功能；2、后期割接问题：将现有连接到交换机的设备，割接到汇聚层；3、汇聚区增加两台交换机设备，实现网络的三层设计，将虚拟化服务器，小机接入到汇聚层交换机。包号包名承建主要货物A3（2015- 369）信 息 系统建设山东美讯网络科技 1、汇聚交换机、H3C、S105102、路由器、H3C、MSR 36-401.

18、4.2 安全系统部分此次项目所涉及的安全系统部分主要分内网和两个节点，两套网络物理。内网建设内容主要包含在 A15、A17 包中，承建: 山东新中天，主要建设内容为: 1、运维管理区增加安全审计、漏洞扫描等安全设备设备，增加安全性；2、制定安全体系和标准规范加强安全管理。2建设内容主要包含在 A16 包中，承建: 山东美讯网络科技，主要建设内容为: 1、增加安全审计，漏洞扫描等，增加安全性；2、将虚拟化服务器、K1 小机放置与 DMZ 区，提高数据交互的安全性；3、割接：在出口处添加的靠拒绝服务设备，WAF 应用替换原有梭子鱼设备。包号包名承建主要货物A16安 全 防护系统山东美讯网络科技 1

19、、堡垒机、启明星辰、天玥审计系统2、安全配置核查系统、启明星辰、天境脆弱性扫描与管理系统3、抗拒绝服务系统、启明星辰、天清异常流量管理与抗拒绝服务系统4、web 防护系统、启明星辰、天清 WEB 应用安全网关包号包名承建主要货物A15安 全 防护系统山东新中天信息技术 有限公司1、安全体系和标准规范建设（定制）2、安全管理平台、启明星辰、安全管控与审计系统3、审计系统、网御网络审计系统4、安全配置核查系统、启明星辰、天境脆弱性扫描与管理系统5、堡垒机、启明星辰、天玥审计系统6、应用交付系统、天泰7、管理终端-机箱、lenovo、启天 M4500-B4598、管理终端-液晶显示器、lenovo、

20、E2323swA9、接入交换机、迪普、LSW3600-24GT4GP-SIA17安 全 防护系统山东新中天信息技术 有限公司1、unix 操作系统加固、浪潮、浪潮操作系统安全增强系统2、windows 操作系统加固、浪潮、浪潮操作系统安全增强系统3、数据库加固、天融信、天融信数据安全管理系统1.4.3 主机系统部分1、此次项目所涉及的主机系统部分主要分为应用、数据库实施、虚拟化实施、系统实施、小型机实施四部分。其中应用、数据库实施内容主要包含在 A3（2015-369）、A4（2015-369）包中，承建分别是: 山东美讯网络科技有限公司以及山东省数字认证管理，主要建设内容为：各业务应用、即使

21、通讯、电子邮件、数字认证等系统搭建，并与现有综合管理平台对接。2、虚拟化实施内容主要包含在 A2（2015-369）包中，承建是: 山东新中天。 主要建设内容为：虚拟化平台搭建及业务系统迁移。包号包名承建主要货物A3（2015- 369）信 息 系统建设山东美讯网络科技 3、幅面彩色激光、富士、施乐、DocuP rint C22554、幅面彩色激光打印机、HP、LaserJet Enterprise 700 M712dn5、工作终端、lenovo、ThinkPad X250-60 6、大幅面扫描仪、CONTEX、44907、大幅面绘图仪、HP、Z62008、业务中间件组件（即时通讯软件）、腾讯

22、通 RTX V5.09、中间件软件组件（邮件系统）、cor、电子邮件系统 V5.010、搜索引擎、埃帕、Cooling 搜索引擎软件 V5.011、平台、中国移动、mas平台12、内网 MODEM 池金笛、MU-106 定制13、MAS 服务器、中国移动、mas2.014、MODEM、分秒、-1U15、运行费用、定务费用定制16、企业级 GIS 服务器平台软件高级版升级、ArcGIS for Server V10.317 、 GIS 桌面软件 高级版升 级软件、 ArcGISfor DesktopV10.3A4（2015- 369）信 息 系统建设山东省数字认证管理有限公司1、系统、SDCA、

23、SDCA RA012、运营管理平台、SDCA、SDCA MGPF3、签名验签服务器、NetONE、NetONE-18004、电子时间戳系统、NetONE、NetONE-18005、服务器机、得安、SJJ09296、钥匙、华申、SJK11377、服务器、浪潮、NF5245M38、电子系统、安证通、ESA2012 电子系统 V12.03、系统实施内容主要包含在 A1（2015-369）包中，承建是: 山东新中天，主要建设内容为:1、EMC VMA X20K作为主，将原 EVA8000上的数据迁移出，更改为备份使用；2、新增两台光纤交换机，连接新 AS520E-MI供使用。2、小型机实施内容主要包含

24、在 A1（2015-085）、A2（2015-085）包中，承建分别是: 山东天启以及北京中海数字技术发展有限公司，主要建设内容为: 数据库平台搭建，双击 RAC 部署，小机集群部署。包号包名承建主要货物包号包名承建主要货物A1（2015- 369）数 据 存储系统山东新中天信息技术 有限公司1、24 口光纤交换机、OceanStorSNS21242、48 口光纤交换机、OceanStorSNS22483、内网磁盘阵列、EMC、VMAX 20K4、磁盘阵列、浪潮、AS520E-MI5、接入交换机、迪普、LSW3600-24GT4GP-SI6、管理终端（机箱）、lenovo、启天 M4500-B

25、4597、管理终端（显示器）、lenovo、E2323swA8、系统集成及运维服务、定制包号包名承建主要货物A2（ 2015- 369）信 息 系统建设山东新中天信息技术 有限公司1、内网服务器、浪潮、NF8460M32、服务器、浪潮、NF8460M33、交换服务器、浪潮、NF8460M34、虚拟化软件、FusionSphere 5.0/FusionManager 5.05、虚拟化管理平台（私有云服务管理平台）、联科、CCMP V2.06、终端（机箱）、lenovo、启天 M4500-B459 7、终端（显示器）、lenovo、E2323swA8、接入交换机、迪普、LSW3600-24GT4G

26、P-SIA1（2015- 085）小 型 机采购山东天启 1、UNIX 服务器、浪潮、浪潮天梭 K1 950-8 系统2、Intel Itanium 9560、CPU 3、16G 内存容量、内存4、600G 热插拔 SAS 硬盘（15000 转）、硬盘5、浪潮天梭 K1 950-8 系统整机 1 年 7*24 小时原厂售后服务延保6、双口 8GB FC HBA 卡（LC 光纤接口）7、2500W 电源模块8、浪潮 K-HA 高可用集群软件9、双口千兆网卡（RJ45 接口）10、双口万兆网卡（LC 光纤接口）11、浪潮 K-UX 操作系统12、系统集成服务A2（2015- 085）小 型 机采购

27、北京中海 数字技术发展 有限 公司1、UNIX 服务器、IBM、Power750 基本型(不含 CPU内存硬盘)2、3.5 GHz, POWER7+ Processor DCM、CPU3、16GB Memory DIMMs,、内存4、300GB 15K RPM SAS SFF Disk Drive、硬盘5、T42 机柜(2.0 米)、机柜6、8Gb PCI Express 双通道光纤通道适配器、HBA 卡7、系统电源、电源8、IBM PowerVM 企业版、虚拟化软件9、万兆以太网 SR 光纤 PCIe 适配卡、扩展网卡10、SATA 超薄 DVD-RAM 驱动器11、内存扩展卡12、外置光驱

28、和磁带机13、管理服务器14、1U 17in 折叠液晶套件15、IBM TF316、系统集成服务17、系统集成服务2总体2.1 总体拓扑2.4.1 内网拓扑2.4.2拓扑2.2 网络系统部分山东省国土厅现有两个网络:国土厅内网和，两套网络物理。国土厅内网接入国土业务网和山东省电子政务专网接入互联网和山东省电子政务。网络集成结合网络现状及网络详设方案，从整体考虑，并采用标准化协议对现有网络设备进行优化调整，对新增汇聚交换和路由器设备优化合理配置、安装调试。调整及集成内容包含但不限于设备命名、网络连接、VLAN 划分、IP 地址、路由、安全策略、网络管理、系统联调及测试等，使新增网络设备兼容现有网

29、络，满足新增业务系统运行对网络的需求。国土业务网依托通信网络，采用 MSTP 链路方式，组建省市县三级互联网络。线路类型为两条 20M MSTP 链路。山东省电子政务内网、山东省电子政务和互联网均依托网络建设和主管已有线路建设。目前“一个平台、两个市场”项目建设中涉及到的 4 个网络均已建成。在网络线路升级完成后，对现有网络设备进行配置优化。网络现有CISCO 和 H3C 交换机进行网络虚拟化升级配置调整。分别采用 IRF 和 VSS 两种网络虚拟化技术，将多个网络设备虚拟为单一设备使用，此技术已经应用于高、中、低端多个系列的交换机设备，通过网络虚拟化技术形成的虚拟设备具有更高的扩展性、可靠性

30、及性能。Ø 国土业务网、政务专网网络架构山东省国土厅基础架构由、等各个部分组成，随着技术的发展，开放、标准逐渐成为 IT 基础架构的基本要求。通过基于标准的协议，整合数据中心各种 IT，简化结构和管理，降低运维管理难度，节约投资；而开放的系统大大提高基础架构的灵活性和扩展性，可以按需的扩展新的功能而不必不断的对基础架构做结构性调整，减少设备数量，进而保护投资。根据数据中心的实际需求，数据中心网络整体结构采用模块化分区设计思想，根据不同功能将整个网络分为如下几个区域：交换区：实现数据中心网络的高速数据转发，保证整个网络的传输性能和效率。交换区同所有分区相连，因而在交换区需重点考虑处理性

31、能、网络虚拟化应用以及各个分区之间安全。汇聚数据中心区：内网数据中心区对外提供虚拟主机、，并实现各业务应用以及未来其他各类应用的部署，因而在数据中心区要充分考虑网络性能，并且网络要能够对基础硬件的虚拟化应用提供适应性的能力，同时考虑数据中心区的安全、负载均衡。运维管理区：运维管理提供对整个数据中心网络的统一管理，除了考虑基础设备管理之外，应用服务管理、安全管理也是该区域的系统需要实现的目标。外联区：实现部、省、市国土业务网、电政内网及省直机构之间的互联，根据实际情况采用光纤、MSTP 或 SDH 线路。楼层接入区：实现办公楼会议室的互联，建议采用千兆到桌面的方式。区：实现国土系统数据库省、市、

32、县三级联网，进行数据的“摆渡”、抽取、交换等。Ø 国土政务政务、互联网网络架构主要面向企业和公众用户，提供国土管理窗口大厅、国土政务审批、科技、电子监察等应用服务的网络运行环境，与山东省电子政务专网物理，与互联网逻辑。互联网采线路，主要面向企业和公众用户，提供国土、国土信息公开、土地和矿业权网上等服务，与政务专网物理，与政务逻辑。山东省国土系统“一个平台、两个市场”建设项目完成后，应综合服务门户、门户、化服务系统建设要求，新增部分服务器。为保障运行在政务和互联网的系统安全，新部署审计系统、安全配置核查系统、运维堡垒机、抗 DDOS 系统设备、WEB 应用防护系统等系统。根据数据中心的

33、实际需求，数据中心网络整体结构采用模块化分区设计思想，根据不同功能将整个网络分为如下几个区域：交换区：实现数据中心网络的高速数据转发，保证整个网络的传输性能和效率。交换区同所有分区相连，因而在交换区需重点考虑处理性能、网络虚拟化应用以及各个分区之间安全。数据中心区：内网数据中心区对外提供虚拟主机、，并实现各业务应用以及未来其他各类应用的部署，因而在数据中心区要充分考虑网络性能，并且网络要能够对基础硬件的虚拟化应用提供适应性的能力，同时考虑数据中心区的安全、负载均衡。服务器区：数据中心区主要部署 Web、邮件等面对公众的应用系统，需考虑Web 应用的安全防护。管理区：安全管理区提供对整个数据中心

34、网络的统一管理，除了考虑基础设备管理之外，应用服务管理、运维管理也是该区域的系统需要实现的目标。外联接入区：实现省、市、县业务，电政及省直机构电政之间的互联。楼层接入区：实现办公楼之间、内部的互联，采用千兆光纤直连方式。互联网接入区：互联网接入区是整个数据中心连接运营商 Internet网络的出口，通过该出口对外发布各类公众服务。2.3 安全系统部分按照安全等级保护要求，参照安全域的划分原则，在满足业务和功能、地域等特性的同时，需保证信息系统的整体运行的可用性、性和完整性，对山东省国土厅进行安全系统优化调整，从物理、网络、系统、应用等多个层次，分别就不同的安全目标提出具体的安全策略（包括技术策

35、略和管理策略），结合对省国土厅建设现状、风险及需求的分析，构建动态、完整、高效的体系，能够实现故障及时发现、快速应对和完善解决，而且达到事前，事中过程跟踪、实时预防、定期分析评估，使整个省国土厅信息系统安全建设由的安全防护变为主动的安全保障，建立起以管理组织为、技术为支撑、运维管理为保障的信息系统安全体系。并对新采购的核查系统、堡垒机、抗拒绝服务（Dos/D Dos）系统、审计系统等设备进行集成。网络集成需要在网络基础设备配置优化完成后进行。安全系统建设的目标是建设一个由策略、保护、检测、响应、恢复和组成的完整安全体系，从而最大限度地保护信息不受诸多威胁的，正确处理好数据的涉密性、数据的连续性

36、、数据的完整性等问题，将损失和风险降低到最小程度。数据涉密性：系统不涉及。数据连续性：系统充分保证业务数据的连续性，系统总体上采用非实时（或准实时）系统，对一些需要即时的应用个别考虑。根据业务的特点，认真分析业务的最大业务间隔时间，以此为依据确认网络可中断、交换可间隔的最小时间，从而对业务质量和系统建设投入进行综合评估。数据完整性：系统对数据完整性有较高的要求，对于来讲，通过交换系统将分散在的信息进行整合，地方也要将本级的信息进行整合，并且各级系统都要建立健全本级的数据备份机制。当数据被破坏时可以通过本级的备份数据恢复本地数据，也可以通过运行系统恢复本地数据。按照信息化小组关于加强保障工作的意

37、见（200327 号）的要求，依照信息系统安全保障评估框架(GB/T 20274-2006)等有关标准，运用 PDCA 模型、P2DR2 模型等领域广泛应用的思想和方法，明确省国土厅保障体系设计的总体原则和建设内容，对行业策略的制定，以及管理、技术和运维三个方面的建设工作提出了指导意见和要求。结合对省国土厅建设现状、风险及需求的分析，构建动态、完整、高效的体系，能够实现故障及时发现、快速应对和完善解决，而且达到事前，事中过程跟踪、实时预防、定期分析评估，使整个省国土资源厅信息系统安全建设由的安全防护变为主动的安全保障，建立起以管理组织为、技术为支撑、运维管理为保障的信息系统安全体系。Ø

38、;体系整体框架山东省国土厅体系设计的整体框架如下：安全策略依据战略的方针政策、制度，按照行业标准规范要求，结合自身的安全环境，制定完善的策略体系文件。信息安全策略体系文件应覆盖工作的各个方面，对管理、技术、运维体系中的各种安全措施和机制的部署提出目标和原则。在管理方面，按照 27的有关要求，将“安全策略”提出的目标和原则形成具体的、可操作的管理制度，组建组织机构，加强对人员安全的管理，提高全行业的意识和的安全防护能力，形成一支过硬的队伍。在技术方面，按照 P2DR2 模型Policy（安全策略）、Protection（防护）、Detection（检测）、Response（响应）和 Recove

39、ry（恢复），通过对网络与边界安全、主机与终端安全、审计、应用安全、数据备份与恢复及物理安全的建设，全面提升防护、检测、响应和恢复能力，保证信息系统性、完整性和可用性等安全目标的实现。在运维方面，制定和完善各种流程规范，制定阶段性工作计划，开展信息安全风险评估，规范与服务采购流程，同时坚持做好日常维护管理、应急计划和响应等方面的工作，以保证安全管理措施和安全技术措施的有效执行。Ø 设计说明根据省国土厅体系的需求分析以及总体设计框架，通过三大体系的设计建设能够满足省国土厅体系的要求，总体结构如下表：2.4 主机系统分析2.4.1 应用、数据库实施做好虚拟化硬件平台的、部署、集成工作；做

40、好小型机的“集群”部署，安装、调试；包括地板承重、上架、安装、调试、逻辑分区、数据库及中间件安装调试、系统整体联调及测试等部署数据库服务器并行系统，保障业务的连续性。集成内容包含但不限于以上内容。体系项目名称对应需求安全管理设计组织机构设计安全组织管理需求规章制度设计安全规章制度需求安全设计安全需求安全教育和培训设计安全培训需求安全技术设计安全管理中心设计安全管理中心需求网络与边界安全设计边界需求主机与终端安全设计主机与终端安全需求安全审计设计安全审计需求应用安全建设设计应用安全建设需求数据备份与恢复设计数据备份与恢复需求机房物理安全改造设计机房物理安全改造需求安全运维设计日常安全运维管理设计

41、日常安全运维需求安全应急预案管理设计安全应急需求2.4.2 虚拟化实施利用虚拟化技术将应用服务器池化，结合新上业务系统，统一划分计算池并部署。集成内容包含但不限于服务器上架及安装，虚拟化软件安装及部署，池，虚拟机创建，网络、动态调配配置、高可用性配置、系统软件的安装及部署、优化、系统迁移、系统整体联调及测试等。1、根据业务系统需求，对虚拟化管理节点和计算节点及组件包进行、安装部署，充分做到快速扩容和 HA 故障冗余以及 DRS:分布式调度、HA:高可用性、DPM:分布式电源管理等配置需求。2、原有业务系统迁移。提供业务系统迁移方案，包含迁移的步骤、迁移的方法、迁移时的测试与验证、迁移后的优化及

42、迁移应急措施进行监督指导等内容。3、虚拟化规范化实施部署。对创建、配置、调整、删除虚拟机，对监控、负载管理、部署和安全管理等，对虚拟机镜像管理、用户管理、系统监控和流程管理等功能进行规范化实施部署。2.4.3系统集成结合业务系统、虚拟化、数据库服务器等需求，安装、调试及备份设备，域划分及备份策略，满足数据无丢失，应用无中断。对新采购的磁盘阵列，将所有业务数据、虚拟机文件集中；分别不同的数据创建数据卷，并通过安全措施保障数据的相互；通过智能分层技术，优化硬盘的使用；通过自动精简技术，简化分配的操作；在生产服务器（或分区）、服务器（或分区）通过服务器闪存缓存技术，实现 IO 负载的进一步分层处理。

43、该部分的集成工作包含但不限于 SAN 网络搭建、设备上架及安装、RAID配置、应用软件安装、LUN配置、分区配置、管理配置、群集配置、原有设备的利旧、系统整体联调及测试等。3集成方案3.1 网络拓扑3.1.1 内网网络改造拓扑内网网络改造前拓扑内网网络改造后拓扑根据不同功能将整个政务内网网络分为如下几个区域：Ø交换区：实现数据中心网络的高速数据转发，保证整个网络的传输性能和效率。交换区同所有分区相连，因而在交换区需重点考虑处理性能、网络虚拟化应用以及各个分区之间安全。Ø汇聚数据中心区：内网数据中心区对外提供虚拟主机、，并实现各业务应用以及未来其他各类应用的部署，因而在数据中

44、心区要充分考虑网络性能，并且网络要能够对基础硬件的虚拟化应用提供适应性的能力，同时考虑数据中心区的安全、负载均衡。Ø运维管理区：运维管理提供对整个数据中心网络的统一管理，除了考虑基础设备管理之外，应用服务管理、安全管理也是该区域的系统需要实现的目标。Ø外联区：实现部、省、市国土业务网、电政内网及省直机构之间的互联，根据实际情况采用光纤、MSTP 或 SDH 线路。Ø楼层接入区：实现办公楼、会议室的互联，建议采用千兆到桌面的方式。区：实现国土系统数据库省、市、县三级联网，进行数据的“摆渡”、抽取、交换等3.1.2网络改造拓扑网络改造前拓扑网络改造后拓扑根据数据中心的

45、实际需求，数据中心网络整体结构采用模块化分区设计思想，根据不同功能将整个网络分为如下几个区域：Ø交换安全域：实现数据中心网络的高速数据转发，保证整个网络的传输性能和效率。交换区同所有分区相连，因而在交换区需重点考虑处理性能、网络虚拟化应用以及各个分区之间安全。Ø服务器区：数据中心区主要部署 Web、邮件等面对公众的应用系统，需考虑Web 应用的安全防护。Ø运维安全区：安全管理区提供对整个数据中心网络的统一管理，除了考虑基础设备管理之外，应用服务管理、运维管理也是该区域的系统需要实现的目标。Ø外联安全区：实现省、市、县业务，电政及省直机构电政之间的互联。楼

46、层接入区：实现办公楼之间、内部的互联，采用千兆光纤直连方式。3.1.3 机柜及设备部署3.1.3.1 国土业务网、电子政务内网机柜机柜设备部署（新中天 服务器、美讯 网络设备）3.1.3.2 电子政务、互联网机柜机柜设备部署（新中天 服务器、美讯）3.2 命名3.2.1 命名格式设备命名规则如下：1；网络设备：名称_机柜-n_ 设备名称_设备型号-n2；服务器、数据库、：机柜-n-业务名称-n3；虚拟机：应用名称 -IP 地址基本格式：国土厅+机柜+设备名称+设备型号+编号的拼音简写如政务交换机 A1 机柜第一个设备则命名：GTT_A1-1_SW_s12508_1线缆规则如下基本格式：源设备+

47、源端口 to 对端设备+对端端口如：A3-3-VMAX20K-SPB0 to A4-2-ESXi02-HBA01A3-机柜第三个设备-VMAX-器 B 的 0 口到 A4 机柜-第二个设备-ESXi02 主机-HBA 卡的第一个口3.2.2 设备及线缆命名规则设备命名合理、标志清晰、编号齐全、挂牌准确，是保证设备运行操作和维护准确无误的重要条件，为使设备命名具有条理性，明确设备命名的责任制，加强设备的规范化管理，特制定设备命名、线缆规则。3.2.3 设备名称交换机设备命名交换机 1gtt-A1-1-sw-12508-1交换机 2gtt-A1-2-sw-12508-2交换机 3gtt-A1-3-sw-6509-1交换机 4gtt-A1-4-sw