机房建设原则

1信息化基础资源综合服务中心方案按照咸阳市“十二五”建设智慧城市总体要求提出的“一个中心、三个平台、六大应用”的建设项目，一个中心是咸阳市信息化综合服务中心，以此为基础为社会管理与服务综合信息平台、地理信息公共服务平台、信息化基础资源综合服务平台，和六大应用系统提供运行支持环境。咸阳市信息化综合服务中心及基础支持平台实施内容包括：基础设施、服务支撑平台、数据资源、业务展现受理与交付、信息安全服务平台和运维监控节点建设。基础资源建设中心机房方案综合服务中心机房工程建设是咸阳市综合服务平台重点项目，机房设计必须体现“面向未来”的设计思想，机房必须考虑到绿色环保、功能完整、安全可靠、可持续发展的理念，咸阳市综合服务平台机房应遵循2008年发布的《电子信息系统机房设计》规范、按照国家电子政务A级机房标准进行设计，切实为核心设备提供一个安全、可靠、温湿度及洁净度均符合A级机房要求的运行环境，同时为相关功作人员提供方便、快捷、舒适的工作环境，并为管理人员提供安全、高效的管理手段。机房功能定位1）机房功能描述咸阳市信息化基础资源综合服务中心机房是整个信息化网络的核心，是各种网络的互联交换中心，是集所有的功能应用系统、网络汇接、数据存储备份、应用服务支撑、信息安全保障、运维服务保障、信息化教育培训等功能的云计算中心设备用房，是将来的智慧城市计算中心的心脏，是城市管理信息化的信息汇聚中心和发布中心，同时也是城市管理展示中心，城市应急抢险指挥中心、宏观经济决策支持中心，在咸阳信息化建设中具有重要的战略地位。建设信息化基础云计算中心机房要本着高起点设计，以实现各种应用功能为基本要求，以安全保障为基本条件，以国家计算信息系统设计标准和“数字城市”建设要求为基本规范，把机房建设成为一流的高科技基础设施。咸阳综合服务中心按照分域分级管理的设计思路设置内网区、外网区、涉密机房、备份区、各部门应用（托管区）、数字认证中心、培训和体检中心、监控室、会商中心、在线访谈和政府新闻发布室、配电间、电池间、消防钢瓶间等功能区，机房建成后将达到电信级稳

定服务标准。咸阳综合服务中心机房建设面积约1840平米，建设内容包括总体布局、机房装修装饰、供配电系统、空调新风系统、防雷及消防系统、门禁系统、静电泄露及安全接地系统、KVM管理系统、综合布线系统、机房环境监控系统等。2）机房主要定位咸阳综合服务中心为咸阳面向社会公共服务、城市综合管理、政务服务和产业服务提供信息化基础设施环境，同时上联陕西省综合服务中心，下联所辖社区、乡村，横向连接市级部门及企事业单位。咸阳中心机房在全省电子政务中的定位如下图所示:咸阳机房定位示意图3）机房分级根据国标《电子信息系统机房设计规范》GB50174-2008,咸阳市电子政务数据中心建议采用国家标准A级建设，（不同区域可以根据不同标准设计）。项目技术要求A级备注建筑与结构主机房活荷载标准值（Kn/m2）8不间断电源系统室活荷载标准值（Kn/m2）8钢瓶间活荷载标准值（Kn/m2）8钢瓶间活荷载标准值（Kn/m2）8空气调节

，“I//j ।j_। 1 n11 1 电器技术供电电源两个电源供电，两个电源不应同时受到损坏变压器M（1+1）冗余后备柴油发电系统N或3+乂）冗余不间断电源系统2N或（M+1）冗余空调系统配电双路电源，末端切换。采用放射式配电系统机房布线承担信息业务的传输介质光缆或六类及以上对绞电缆，采用1+1冗余公用电信配线网络接口2个以上机房功能区划分咸阳综合服务中心机房规划在咸阳市电信大楼13,14两层，每层建筑面积约920平米，总建筑面积约为1840平米。此次方案仅考虑13层，14层为未来括容预留。13层机房分布可以参考下图，由于此次综合服务中心机房选址在楼龄较长的咸阳电信大楼，因此，最终图纸需要设计部门根据大楼的实际情况及限制因素进行合理设计（如功能区划分、机柜、UPS、配电、空调、承重等），与用户最终需求达成一致后，经过二次设计后最终确定。图4-2十三层机房平面图1）内、外网区建设内外网区分别由网络汇接区、主机数据区、托管区、数据备份区组成，其中网络汇接区I向上连接省级信息化综合服务平台，1向下连接所辖区、乡镇信息节电，横I向连接咸阳各部门，是咸阳电子政务的重要部分，是咸阳智慧城市的网络核心。通过网络汇接区实现网络互联互通；主机数据区是承载智慧城市系统及其他所有信息数据交换的中心区域。主机数据区提供信息资源共享服务，一方面为各部门提供各种业务服务，同时作为咸阳各部门异构数据统一交换的数据转换区。主机数据区采用SAN存储技术架构进行统一数据存储，将各种业务数据进行整合。各种业务应用服务器、数据库服务器一方面连接存储区域网，进行数据存储，另一方面连接局域网，进行外部数据交换及对外提供应用服务。托管区将主要托管个别部门需要托管的业务应用，如单位门户网站、单位的专业业务系统等。该区域将放置托管设备，如托管单位的各种业务应用服务器、数据库服务器、存储设备等功能区。存储备份区将为电子政务数据的储存、导出、导入起着关键作用。存储备份区是数据中心的第二个中心，是数据的恢复、复制、移植区域。为咸阳电子政务数据备份的储藏区和备份数据的转发区。2）运维管理区运维管理区指市政网络、数据中心主机设备、存储备份设备及机房的所有设备进行运维管理的功能区。主要包括综合服务平台运维区和安全管理区两部分，实现对咸阳信息化综合服务平台的网络、主机、应用、安全等方面的全天候监控和运维管理，保证综合服务平台的安全、稳定的运行。功能区将配置监控显示屏，用于显示整个咸阳信息化综合平台的网络拓扑结构，能实时监控全咸阳网络运行状况、数据中心各主机运行状态。3）辅助区机房辅助区包括备件室、储藏室、值班休息室、培训室、接待室等功能区。4）培训、体检中心培训、体检中心设置演示讲解区、自助体验区和会议培训区，体验中心配备先进的软硬件设施和多媒体演示设备，通过专业讲解员的场景式讲解，参观者可以亲自体验信心化在智慧城市建设的发展，充分展示出未来信息化在日常工作和生活中的应用。主要实现对“智慧咸阳”建设的宣传、普及、创新研究、体验、新业务试验、未来展望等功能。同时创新体验中心也可以实现在线访谈功能，实现政府门户网站的在线访谈功能。5）会商区作为综合服务中心的会商场所，会商区主要配置会议圆桌椅及会议所需音视频系统及显示系统，为了保证与市级政府与单位的远程联系，可配置视频会议终端，加入市级政府视频会议系统中，保证与市政府及各级部门的及时联系。6）培训区培训区主要具备多媒体培训功能，满足咸阳信息化建设培训工作的需要，根据实际情况与创新体验中心可合并建设。包括UPS电池间、消防气瓶间、配电等功能区，需要按照相应机房建设标准进行建设，根据机房建设总体要求，机房需要配置发电机间，在选址和建设时需考虑进风、冷却、排烟、减震、消音等诸多因素。机房工程建设（一） 机房建设原则咸阳综合服务中心机房的设计必须满足当前各项需求应用，又面向未来快速增长的发展需求，因此必须是高质量的、高安全可靠灵活的、开放的。我们在进行设计、建设时，遵循以下设计、建设原则：1）系统的整体性原则由于咸阳综合服务中心机房房，具有一定复杂性，所有的系统设计应在建设时统一规划，咸阳综合服务中心机房是一个全面、完善的机房。随着业务的不断发展，中心机房的任务必定会日益繁重，所选用的设备应具有智能化，可管理的功能。2）系统的先进性与实用性相结合采用先进成熟的技术和设备，满足当前的需求，兼顾未来的业务需求，尽可能采用最先进的技术、设备和材料，以适应高速的数据传输需要，使整个系统在一段时期内保持技术的先进性，并具有良好的发展潜力，以适应未来“智慧咸阳”信息产业业务的发展和技术升级的需要。3）系统的可靠性原则为保证各项业务应用，应用的设备必须具有高可靠性，决不能出现单点故障。要对中心机房布局、结构设计、设备选型、日常维护等各个方面进行高可靠性的设计和建设。在关键设备采用硬件备份、冗余等可靠性技术，并具有合理的容余能力及灾难备份能力，为计算机应用系统的高可靠性目标要求提供匹配的基础环境设施条件。4）系统的安全性原则机房具有完整的安全策略和切实可靠的安全手段来保障计算机机房用户运行系统基础环境实施的安全。从防火、防水、防盗、接地、防雷、防电磁干扰、降噪等方面采取有效措施，并考虑地面承重能力等特殊技术措施。5）系统的可管理性原则各系统具有较强的集中式管理加分布式实施的可管理性逻辑，采用相关的软件技术提供较强的管理机制、控制手段和事故监控、安全保密等技术措施提高中心机房的安全可靠性。本次选用设备具有长期可靠和稳定工作的能力；6)系统的灵活性及可扩展性各系统应具有可持续发展的能力，并在系统上具有较大的灵活性。中国电信咸阳分公司本次提供的机房具有良好的灵活性与可扩展性，能够根据今后业务不断深入发展的需要，扩大设备容量和提高用户数量和质量的功能。具备支持多种网络传输、多种物理接口的能力，提供技术升级、设备更新的灵活性。7)工作的舒适性原则机房内应提供良好的工作环境。首先，要保持空气新鲜、温度和湿度符合国家标准。为保证机房内的工作人员身体健康，工作时头脑清醒，要求信息处理中心有人区域内的新风量不少于每人40立方米/小时。同时需保证躁声能符合国家有关规定(1类建筑昼间低于55dB，夜间低于45dB)。8)绿色环保性原则本工程所使用的装饰材料其放射性限量的分类标准应达到A级。室内用人造木板及相关产品必须测定游离甲醛含量或游离甲醛释放量应达到E1类。本工程施工验收应严格按照《民用建筑工程室内环境污染控制规范》的有关标准执行。9)节能降耗原则掌握机房内信息设备的数量、耗电量，以及其它相关要求，进行严格的耗电量计算。机房要合理布局，环境要求高的机房要尽量布置在大楼中心位置，可减少外界环境对机房的影响及节省空调能源的损耗。供电设备的选型，如照明选择节能灯、合理利用自然光照明、照明控制的合理性等。合理计算供电设备负荷也是节能的重要手段。合理计算空调系统的冷负荷及新风系统的合理设计也是节能降耗的重要手段。(二)主要规划依据《TelecommunicationsInfrastructureStandardforDataCenter劭ANSI/TIA—942—2005Tier4要求。ANSIEIA/TIA568A569607美国布线标准。《电子计机场地通用规范》(GB/T-2887-2000)《电子信息系统算机房设计规范》(GB50174-2008)《防静电活动地板通用规范》(SJ/T10796-2001)《建筑设计防火规范》(GB50016-2006)《高层民用建筑设计防火规范》(GB50045-95)(2005版)《建筑内部装修设计防火视范》(GB5U222-95)《电子信息系统施工及验收规范》(GB50462-2008)《民用建筑电气设计规范》(JGJ16-2008)《供配电系统设计规范》(GB50052-95)《低压配电设计规范》(GB50054-95)《建筑照明设计标准》(GB50034-2004)《通用用电设备设计规范》(GB50055-93)《建筑物防雷设计规范》(GB50057-94)(2000版)《建筑物电子信息系统防雷技术规范》(GB50343-2004)《采暖通风与空气调节设计规范》(GB50019-2003)《通风与空调工程施工及验收规范》(GB50243-2002)《智能建筑设计标准》(GB/T50314-2006)《安全防范工程技术规范》(GB50348-2004)《综合布线系统工程设计规范》(GB50311-2007)《综合布线系统工程验收规范》(GB50312-2007)《民用闭路监视电视系统工程技术规范》(GB50198-94)《涉密信息设备使用现场的电磁泄露发射防护要求》(BMZ1-2000)《涉及国家机密的计算机信息系统保密技术要求》(BMZ1-2000)《涉及国家机密的计算机信息系统安全保密方案设计指南》(BMZ2-2000)《涉及国家机密的计算机信息系统安全保密测试指南》(BMZ3-2000)《七氟丙烷灭火系统施工及验收规范》(GB50263-2007)《气体灭火系统设计规范》(GBJ16-87)(三) 主要建设内容咸阳市信息化综合服务中心机房的建设内容分别如下1)建筑装修工程2)电气工程UPS系统4)空调通风系统5)消防排气系统6)机房弱点系统安防系统(含门禁管理系统、防入侵报警系统、闭路电视监控系统)设备及场地监控系统工程（含漏水报警系统）综合布线系统工程监控室系统KVM管理系统服务器机柜消防系统屏蔽机房系统（四）总体技术要点1）温湿度2）尘埃:主机房在静态条件下，每升空气中大于或等于0.5口m的尘粒数，应少于18,000粒。3）有人值守的主机房和辅助区，在电子信息设备停机时，在主操作员位置测量的噪声值应小于65dB（A）。《城市区域环境躁声标准》：1类环境昼间低于55dB,夜间低于45dB。4）主机房内无线电干扰场强，在频率为0.15〜1,000MHz时，不应大于126dB。5）主机房内磁场干扰环境场强不应大于800A/m。6）在计算机系统停机条件下主机房地板表面垂直及水平向的振动加速度值，不应大于500mm/s2。7）主机房地面及工作台面的静电泄漏电阻，应符合现行国家标准《计算机机房用活动地板技术条件》的规定。8）计算机机房供电系统根据计算机的性能、用途和运行方式等情况，划分为A、B、C三级。9）采用三相五线，接地采用TN-S方式。主机房内绝缘体的静电电位不应大于1KV。照明：机房＞500LX,辅助机房＞300LX,应急照明＞30LX。接地电阻＜1。，零地压降＜2V。按照国家标准GB50174-2008《电子信息系统机房设计规范》要求，主机房、服务器机房、网络机房等楼板荷载应大于800kg/m2；电池间应大于1600卜8/!^,或按选定设备重量确定。机房要求防火、防水、防尘、防害、防盗、防雷、防静电、隔热、保温。表1机房环境要求项目技术要求备注A级B级C级

ZI7U/Z7 十距离停车场不宜小于20m不宜小于10m距离铁路或高速公路的距离不宜小于800m不宜小于100m不包括各场所自身使用的机房距离飞机场不宜小于800m不宜小于1600m不包括机场自身使用的机房距离化学工厂中的危险区域、垃圾填埋场不应小于400m不包括化学工厂自身使用的机房距离军火库不应小于1600m不宜小于1600m不包括军火库自身使用的机房距离核电站不应小于1601m不宜小于1600m不包括核电站自身使用的机房有可能发生洪水的地区不应设置机房不宜设置机房地震断层附近或有滑坡危险区域不应设置机房不宜设置机房高犯罪率的地区不应设置机房不宜设置机房环境要求主机房温度（开机时）23℃±1℃18-28℃不得结露主机房相对湿度（开机时）40%-55%35%-75%主机房温度（停机时）5-35℃主机房相对湿度（停机时）40%-70%20%-80%主机房和辅助区温度变化率（开、停机时）<5℃/h<10℃/h辅助区温度、相对湿度（开机时）18-28℃,35%-75%辅助区温度、相对湿度（停机时）5-35℃,20%-80%不间断电源系统电池室温度15-25℃本次系统建设方案只体现原则性建议，具体实施方案，需要通过二次设计后确定。建筑装修工程为保证机房环境，机房的室内装修材料选择非燃材料（A级）不吸尘不起尘材料，采用进口产品或同等级高品质的国内产品。1）吊顶机房吊顶是机房装修的主要组成部分，机房区吊顶采用铝合金板吊顶，顶板要求材质轻，防火，无色差，平整度好，便于拆装，灯具配置双管格栅灯，利于顶内维修，利于空调回风，专用空调机房区吊顶内应做防尘处理。机房区净高不低于3.00米。其他辅助机房区吊顶可以采用铝合金窄条板，铝合金网格，单铝板等材料，装饰效果与机房相协调，又富于变化，都选择非燃材料（A级）和不吸尘不起尘材料。2）地面机房地面应采用全钢抗静电活动地板，活动地板既可以覆盖地板下诸多管线，又可以形成专用空调送风静压箱，还具有防静电功能。抗静电复合地板规格600x600。地板板面铺设高度600mm，并且做等电位连接。3）墙面机房墙面基层、面层均应采用防火材料，墙面要求板材强度高，防火及抗电磁干扰能力强，耐污染，易清洗，色调柔和无眩光。机房采用彩钢钢板墙面。监控指挥中心、应急会商中心及参观走廊采用单铝板装饰板墙面，局部吸音处理。辅助机房区可采用环保乳胶漆。4）柱面柱面装修应与本房间的墙面一致。彩钢板复合石膏板墙面材料：EBC处理的聚丙烯酸脂表面面层：0.6厚钢板尺寸：1200X3000X12.6基层：12厚石膏板颜色：哑光浅色5）隔断机房区采用通透隔断，防火分区处采用符合消防耐火要求且美观的防火玻璃隔断或轻钢龙骨石膏板内填玻璃棉隔断。其余辅助房间沿走廊处采用12厚钢化玻璃隔断，会议室内设可推拉折叠隔断。6）门机房区内防火墙和出入口门及检修门采用甲级钢制防火门，玻璃隔断上的门采用12厚钢化玻璃门及铯钾防火玻璃门，其他采用贴面装饰门。7）窗机房区内采用彩钢板封窗，窗帘盒表面贴彩色钢板，辅助区安装卷轴遮阳透光窗帘。电气工程1）供电系统计算机机房为一级负荷，要求供配电系统具有较高的可靠性，因此需采用双回路供电系统。配电系统需满足世界主流计算机厂商及计算机外围设备厂商的产品安装要求。UPS供电、动力照明供电需待设备需求明确后确定。精密空调配电需实现末端互投。

后备柴油发电机应满足UPS、精密空调、事故照明、消防电源的要求。2）配电系统UPS配电系统的供电范围是：计算机设备（主机和附属设备）、通信设备、网络设备、保安监控系统设备等。所有机柜均应双回路供电。从电源列头柜至设备机柜使用的电缆，应选用铜芯交联电力电缆。每台机柜或设备均应配置两个工业连接器。市电配电系统的供电范围是：空调设备、普通照明、新风排气设备、维修插座、一般动力等。各相用电分配要尽量均衡。表2各类电系信息系统机房技术要求项目技术要求备注A级B级C级电气技术供电电源两个电源供电，两个电源不应同时受到损坏两回线路供电变压器M（1+1）冗余（M=1，2，3……）N用电容量较大时设置专用电力变压器供电后备茶油发电机系统N或（N+X）冗余（X=1-N）N供电电源不能满足要求时不间断电源系统的供电时间满足信息存储要求时，可不设置柴油发电机后备柴油发电机的基本容量应包括不间断电源系统的基本容量、空调和制冷设备的基本容量、应急照明和消防等涉及生命安全的负荷容量柴油发电机燃料存储量72h24h不间断电源系统配置2N或M（N+1）冗余（M=2、3、4……）N+X冗余（X=1-N）N不间断电源系统电池备用时间15min柴油发电机作为后备电源时（按照电信行业标准此处为30min）根据实际需要确定空调系统配电双路电源（其中至少一路为应急电源），末端切换，采用放射式配电系统双路电源，木端切换，采用放射式配电系统采用放射式配电系统电子信息设备供电电源质量要求静态电压偏移范围（％）±3±5移态频率偏移范围（Hz）±0.5电池逆变工作方式输入电压波形失真度（％）<5电子信息设备正常工作时零地电压（V）<2应满足设备使用要求允许断电持续时间（ms）0-40-10/1inw输入端THDI含 <15 3-39次谐波量（％） |3）照明系统机房内照度不应低于500LX,辅助机房内照度不应低于300LX。眩光限制标准：机房内基本工作间无眩光，眩光限制等级为I级；第一类辅助房间眩光限制等级为H级，可以有轻微眩光；第二、三类辅助房间眩光限制等级为ni级，允许有眩光感觉。采用高效荧光灯具（T5）,分区分路集中控制。应急照明要求：机房内采用高效应急照明灯，市电停后自动投入，均匀布置无死角。同时在楼道的出口处设置应急出口标志灯。4）接地和防雷击系统机房设直流工作地、交流工作地、安全保护地及防雷保护地。如大楼联合接地能满足要求，则从大楼联合接地采用屏蔽电缆引入机房配电室，接地电阻要求小于1欧姆，零一地压降小于2伏特。抗静电活动地板进行了可靠的接地处理，保证了计算机设备及人员的安全要求。机房内需布置接地铜排网。机房电源系统的防雷须满足《建筑防雷设计规范》及《建筑物电子信息系统防雷设计规范》。防雷装置在接地、连接等方面须满足国家标准规范要求。UPS系统当前数据中心大规模的服务器和小型机的集中使用，网络运行的安全性有赖于供电系统的稳定安全运行，对UPS供电系统的安全性有更高的要求。而只有根据数据中心服务器等设备的用电特性和使用中面临的问题进行预先设计，并选择最优方案，才能在未来的供电系统使用运行中，真正的保证供电的高可靠性和高可用性，从而在最基础的动力方面保证计算机中心运行的稳定性。以下为国际标准TIA-942对不同负载保护等级的分类。空调新风系统送风方式建议建议选用地板下送风方式，下图为气流循环示意简图：经空调机调整了的温湿度空气，通过计算机柜下部送进计算机柜内，而经机房上部返回空调机的送风形式，也称为下送上回式。目前大部分机房，多采用下送风的送风方式。这种送风方式的优点很多，包括方案简单，针对性强，送风均匀，运行成本低等等。在建设初期以及运行阶段注意两个问题：一是保障合理的地板高度，目前很多新建机房已经将地板高度由原来习惯的300mm调整到400mm乃至600mm，附之以合理的风量、风压配置，以及合理的下走线方式，可以保证良好的空调系统效率；二是制定合理的走线规则，很多机房是一边运行一边建设的，如果提前根据送风需求制定合理的走线规则，就可以避免送风不畅，送风气流组织不合理等问题的发生。室内机安装建议A、房间整体通风顺畅，送风、回风无障碍。B、安装位置综合考虑，结合上下水、液管、汽管连接。C、采用地板下送风方式。机组安装在独立的支架上，机组与支架间应设防震胶垫。口、在空调机组的出风口处加装弧形导流装置，降低空调机组送风的射流损失。E、地板下的楼层面做保温、防尘和防空调结露水处理。好的机房布置将有利的改善机房空调的送、回风，同时也有利于机柜的散热；反之布置不好将加大送风阻力，阻碍气流循环，造成局部热点。机房的机柜布置建议按照冷热通道方式，即背对背，面对面的方式。这种方式可以避免冷热风混合现象，提高机组的制冷效率。空调机组布置在热通道处，避免冷风短路，即冷风直接回到空调机组中。合理的机房布置图在机柜的冷通道侧，设置足够的、通风率较大的通风地板（微孔地板），使每个机柜得到足够的风量，通风地板砖均匀的敷设在冷通道机架前端，并可根据不同位置的热负荷大小，调节地板通风率，或修正通风地板位置。在机柜的热通道侧，不设置通风地板。空调机组安装示意图如现场无特殊要求，当室外机高于室内机时，建议垂直最大距离为20米；当室外机低于室内机时，建议垂直最大距离为5米；建议管道总长不超过60米。当室外机高于室内机时，建议根据要求加装“U”型回油弯。管路总长度超过30米，加装管路延长组件。室外机组的安装方式水平安装空间要求（单位：mm）竖直安装空间要求（单位：mm）注：安装方式的称呼是以风机的轴流风向确定，不是设备的安装形式，本次配置冷凝器在需要垂直安装时，需要在施工中对冷凝器出口管进行调整。消防排气系统根据气体灭火要求，按照机房气体灭火区规划设置多套消防排气系统。消防排气管上设置电动密闭阀，平时关闭。当气体灭火后，启动斜流风机，打开电动密闭阀，灭火废气由排气管排至室外。消防排气风机和电动密闭阀的控制箱应安装在气体保护区外。同时配置有消防自动泄压阀做为气体灭火的泄压装置。机房弱电系统整个弱电系统工程主要以科学性、先进性、实用性为主，体现现代化机房的先进科学管理。1）安防系统工程（门禁管理系统、防侵入报警系统、闭路电视监控系统）；安防系统工程耐入2）设备及场地监控系统工程3）综合布线系统工程；4）监控室系统工程（综合监控中心显示与控制系统）；KVM'管理系统6）机柜安防系统安防系统的组成数据中心机房的安防系统由下面三个子系统组成。A.门禁管理系统B.防侵入报警系统。C.闭路电视监控系统。注：门禁系统既是出入口的安全监控，增加软件功能，又可兼备考勤功能。视频监控及门禁系统为了保证机房设备安全及数据保密，在机房设计中应在机房内各主要房间入口和主机房内的通道部位设计视频监控系统，通过该系统监视机房区人员流向与安全。设备的技术要求安防系统的技术要求应满足国家、行业有关标准的要求。门禁、防盗报警、闭路电视三个子系统有各自的技术要求，它们之间还应有强大的报警联动功能。1）门禁系统的技术要求采用先进的非接触式一卡通方式，卡片置于个人身分卡上，卡片选用只读ID卡。在主机房的入口采用双向刷卡控制方式，记录进出人员的信息。辅助房间可采用单向控制方式。2）防盗报警系统的技术要求探测点应设在机房的关键位置和重要通道上，发生非法进入等符合报警条件时，探测器应能迅速反应，即时报警显示报警地点，录入报警记录在案。3）闭路电视监控系统的技术要求A、摄像部分所选摄像机均配用优质的自动光圈定焦或变焦镜头。B、数字录像机数字录像机用MPEG4/H.264的压缩方式录像，全实时，支持网络传输（局域网、电话线、ISDN、ADSL、DDN）。设备及场地监控系统为了实现机房无人化的管理必须配备机房环境监控管理系统；它由计算机设备、监控软件、显示设备、监控工作台、各类传感器等组成，并具备与大楼楼宇自控系统集成的接口。对机房内动力环境设备进行统一控制与管理。主要包括专用空调、配电系统主回路、UPS电源机组、蓄电池、空调漏水检测系统、新风机组、重要房间温湿度、柴油发电机等。对各分散的设备进行遥测、遥控；实时监视各设备的运行状态，记录和处理相关数据，及时侦测故障和告警信息，并通知人员处理。综合布线系统综合布线系统采用星型结构。在机房内设总配线区。机房内每两排机柜内设一台综合布线列头柜。列头柜与总配线柜间铺设若干多模光纤和六类非屏蔽双绞线作主干；列头柜与设备机柜间采用若干六类非屏蔽双绞线相连。设备机柜内的信息点安装在机柜内配线架上，设备机柜内的配线架要求选用多媒体配线架，方便以后扩容。机房内的所有线缆均采用低烟无卤外皮。表3综合布线技术要求项目技术要求备注A级B级C级综合布线承担信息业务的传输介质光缆或六类及以上对绞电缆采用1+1冗余光缆或六类及以上对绞电缆采用3+1冗余主机房信息点配置不少于12个信息点，其中冗余信息点为总信息点的1/2不少于8个信息点，其中冗余信息点为总信息点的1/4不少于6个信息点表中所列为一个工作区的信息点支持区信息点配置不少于4个信息点不少于2个信息点表中所列为一个工作区的信息点采用实时智能管理系统宜可线缆标识系统应在线缆两端打上标签配电电缆也应采用线缆标识系统通信线缆防火等级应采用CMP级电缆，OFNP或OFCP级光缆宜采用CMP级电缆，OFNP或OFCP级光缆也可采用同等级的其他电缆或光缆公用电信配线网络接口2个以上2个1个.4监控室系统（综合监控中心系统）在数据中心机房建设中，综合监控中心是其重要的建设内容之一。综合监控中心主要是对数据中心的主要设备（主机、服务器、网络设备、存储设备等）运行情况的监视与控制，动力设备（电源系统、空调系统、新风系统等）；门禁管理系统；闭路监视监控系统；消防系统等的集中控制；系统分析；统一管理。综合监控中心应布局合理，让人能充分感受到高科技、现代化的氛围。投影拼墙显示在信息集中管理监控中心中，众多信息量可通过各自的操作台进行显示及操作，可对有关的设备进行集中控制，并利用大屏幕等有效、简洁、直观的手段集中显示相应的文字、图片和影像，供有关人员了解信息，分析研究情况，指挥调度。采用若干人屏幕显示设备，作为中心监控的土显示设备，显示信号要求除可以接入数据中心机房所有计算机信号外，还可以接入各种视频信号。同时借助控制设备可完成对监控中心的显示设备、灯光、音响等系统的控制与管理。大屏幕显示系统的组成1）投影拼墙墙体3）多屏图形控制器4）大屏幕应用管理系统（软件）5）信号源切换系统.5KVM管理KVM系统具有多种功能方便用户进行机房管理，作为机房管理基本上的需求主要为：用本地端口管理服务器；用远程IP的方式管理用客户端软件来操作服务器；具备电源管理功能。表4KVM交换机功能要求指标项要求管理能力单台设备满足64台服务器接入管理通道单台设备支持8个远程用户和1个本地用户并发访问管理接口支持USB；PS/2；SUN等接口连接距离数字式KVM交换机到被管理服务器之间支持45米以上的连接距离连接模块提供USB；PS/2；SUN等接口模块，部分USB接口模块需支持虚拟媒体功能显示分辨率分辨率最高支持：普通屏幕：1600*1200宽屏幕：1680*1050高清：1920*1080在不同分辨率服务器之间切换时自动替阿基视频大小，无须人工手动调节单机完整功能当KVM集中管理系统维护或故障时，数KKVM交换机单机可提供独立操作访问，具备完整的管理功能，如提供日志、虚拟媒体功能、安全管理、第二方认证、SNMP、SYSLOG等键盘宏可以为每台连接的服务器设定专用登录及退出键盘宏，在打开或关闭窗口时，自动实现键盘宏发送网络接口支持双10/100/1000M网络接口设计电源接口支持双电源接入设计，并且可以对双电源进行监控及告警独立于服务器KVM系统设备掉电或出现故障，仍能保证服务器鼠标、键盘、显示器处于激活状态，换上备用即可重新管理服务器，而不影响服务器的正常工作用户认证单台设备内置认证系统，在本地端和远程访问均需要通过认证才能登录密码支持严格的密码安全策略，例如：密码复杂程度设定；密码过期时间设定等策略访问控制支持用户组与IP地址绑定的ACL访问控制列表使用界面本地端和远程支持Web管理界面，并且远程界面支持纯E显示操作窗口支持操作窗口的全屏显示及屏幕无级缩放功能设备轮巡设备需要支持对接入服务器的轮巡功能，对接入服务器的状态进行实时监控访问终端远程支持Java；NET等多种访问方式，无须安装专用的客户端软件快速访问设备支持键入IP地址和设备端口号，可以直接登录目标服务器的功能

同步，，U<7、JfJ〃F_Lt^AI%，JDPY'|/J、I=|LJ_Q.，不会产生延迟而流畅地操作服务器刀片服务器的支持为降低对集中认证管理平台的依赖性，单台数字式处乂交换机需支持多种知名品牌各型刀片主机端口级管理，并可对每个端口进行授权访问，而不需要其他第二方软件支持虚拟媒体具备完全的虚拟媒体功能，可将本地硬盘、光驱、U盘、ISO文件虚拟到远程服的支持务器智能卡认设备支持智能卡“SmartCard”认证方式，符合政府及涉密机构对目标识别管证支持理时的严谨管理要求表5集中认证控制系统要求指标项要求集中管理所有操作用户必须通过TCP/IP进行登录，且登录时必须经过带外集中认证管理系统，认证通过后才能访问到其权限内的网兀设备，没有权限的设备无法显示在其操作界面集中控制通过该平台统一认证授权后，可以完成对每台服务器/网络设备的带外控制，远程电源开机/关机重启的操作硬件架构集中管理平台采用软硬一体的方式提供，需采用专用操作系统内核，需要安装加固内核，关闭不必要的端口，开启强口令，并且具备免维护、免补丁和防病毒侵扰的功能注：如果采用软件方式，投标方需提供高性能服务器（至少1000接入节点性能）安装平台，需要采用正版的安全操作系统，并进行安全加固，不得采用未经安全优化的Windows或Linux操作系统作为集中认证平台Lincense授权以上两种方式都要求系统集中管理平台具备配置XXXX个原厂Lincense授权（需提供原厂证书）的功能。被管理的设备数量大于1000台冗余设计安全集中认证管理系统应至少包含主备两套系统，系统必须具有冗余备份设计，各认证管理系统之间可自动数据同步，可实现负载均衡，每台都可以提供整个系统的认证授权及访问服务，若主认证挂你系统出现问题时备用认证管理系统可自动接管，不影响整个认证系统的正常工作自定义功能具备自定义企业徽标等人性化配置操作管理方式系统选用的设备和应用软件均符合相关的国际标准和国家标准，整个系统采用纯数字KVM技术组网：即使用KVMOverIP技术和ConsoleOverIP技术的交换机，远程电源模块也支持IP独立访问控制用户管理可以对用户进行分权限、分等级管理，不同权限和等级用户具有不同的管理权限，管理员能远程终止非法用户操作精细化管理集中管理平台支持对管理权限深层次策略管理，如实现帐F效期，允许帐户在规定的时间段中的权限灵活的登录方式所有用户可通过KVM系统管理组件提供的统一界面，以点选的方式访问所有IT设备。系统界面应支持（正、Mozilla、Firefox或Netscape）浏览器方式。对于串口设备，SSH用户和Web浏览器用户可同时共享访问同一台IT设备系统监测集中认证系统需要具备对自身系统的监测能力，如：CPU,内存，硬盘等，当出现数据丢失应该能快速恢复安全审计集中认证管理平台支持事前审计功能，可对用户登录入通道操作的目的性进行统计查询安全身份认证集中认证设备内嵌CA数字证书管理系统，运用数字证书可以保证信息传输的保密性、数据交换的完整性、发送信息的不可否认性和对操作者身份的确认。用户名及密码认证具备本地及远程认证管理（支持LDAP,RADIUS,Active,Directory）严格的密码访问策略系统中的设备均支持增强型密码的设置，可自定义密码最大和口最下长度、可自定义设定密码可含有的字符种类、可自定义设置密码国企时间（该功能可使系统严11-11J1—117 】分 HJ 。'J JLJLJ尸JJ-tX.1X7」r IT 、LJLJ尸J /X 、密码过期设定、密码历史深度设定（可避免在A密码和B密码之间反复更换密码）加密方式提供DES、AES、128位SSL等多种加密算法，并且用户可以根据使用环境的不同选择对信号的加密，确保用户数据安全传输，同时提高网络的访问速度加密传输数据传输必须经过加密处理。视频信号传输格式应为特殊不可窃取的差异传输方式，键盘鼠标信号传输需采用高位加密技术具备基于策略的管理方式具备基于策略的管理方式：以管理对象、管理行为和管理时间为兀素进行策略的组合来达到对日常的操作方式进行客户化定义和对管理员管理范围和管理深度的定义基于IP和用户的访问控制策略提供基于用户组名和IP地址的绑定功能，例如可以规定某个组的成员在某规定的IP地址才能访问某组服务器维护当系统需要维护时，可关闭用户的端口访问功能系统扩展性在任何时候，无论是增加要被管理的设备数量还是增加用户终端数，均可以通过线性增加或改变相应的设备实现（热插拔），不改变原系统结构，不影响系统的正常工作与其他系统的兼容性集中认证系统支持对于虚拟机的管理，支持虚拟主机，虚拟机，虚拟中心等节点管理功能，无须增加Lincese带内方式访问系统整合带内访问软件RDP/VCN/SSH/Telnet等多语言支持支持多语种界面显示，客户端可以自动切换显示不同语种界面。支持简体E界面显示互助功能系统具备再现安全对话功能，支持E对话和多人对话.6服务器机柜本次机柜采用专用机柜，根据下送风上回风的送风原理进行设计，配置若干设备机柜选用采用承载能力强、耐腐蚀、易导电的优质材料优质冷轧钢板为主体结构的服务器机柜，设计采用嵌入式结构固定，更具有防震的功能。四周门组采用外挂式设计，可减少空间；一体化设计，拼装式结构。结构不变形；使用多台机柜并联。.7消防系统为确保机房安全，本机房工程应设消防系统。消防系统应包括两个部分：1）火灾自动报警系统2）气体灭火系统消防工程作如下要求：气体灭火采用七氟丙烷。消防报警控制器应设置在气体防护区外，在值班室，同时要给大楼保安值班室一路信号;消防探测器应在吊顶上、地板下、工作层三层分布；感烟探测器安装间距不超过15米，感温探测器安装间距不大于10米；消防系统需作好接地；消防钢瓶间设于在防护区外；防护区的隔墙和门的耐火极限均不应低于0.5小时，吊顶的耐火极限不应低于0.25小口、J;防护区的围护构件的允许压强均不宜低于1.2kPa（防护区内外气体压力差）；防护区应设有蔬散通道和出口，并宜使人员在30秒内撤出防护区；防护区内的疏散通道与出口应设置应急照明装置和疏散灯光指示标志，防护区内应有声光报警装置；机房区应按规范要求设计消防报警联动系统及气体灭火系统。.8屏蔽机房系统屏蔽机房主要包括：1）电磁屏蔽壳体2）电磁屏蔽门3）截止波导通风窗4）光纤截至波导管5）信号传输板6）滤波器表6屏蔽效能磁场14KHz80dB100KHz100dB200KHz110dB平面波450MHz110-120dB微波900MHz110-120dB6GHz110dB.9节能降耗原则掌握机房内信息设备的数量、耗电量，以及其它相关要求，进行严格的耗电量计算。机房要合理布局，环境要求高的机房要尽量布置在大楼中心位置，可减少外界环境对机房的影响及节省空调能源的损耗。供电设备的选型，如照明选择节能灯、合理利用自然光照明、照明控制的合理性等。合理计算供电设备负荷也是节能的重要手段。合理计算空调系统的冷负荷及新风系统的合理设计也是节能降耗的重要手段。1.1.2基础网络建设根据全省信息化基础资源共享和服务体系建设要求，陕西省电子政务骨干传输网络分为内网和外网，目前覆盖到省、市、县三级，今年将逐步覆盖到省、市、县、乡镇、村五级，市级以下信息化主管部门负责建设本级横向网络，并接入到统一骨干传输网络，市级各部门统一接入到市级平台，实现接入一个点，拥有全省三级网络覆盖，同时实现本级信息化网络互通共享，为智慧咸阳信息化建设提供基础网络支撑。本次主要建设能够支撑智慧咸阳信息化运行的咸阳市横向内网和外网基础网络平台、市级域网和政府部门互联网安全接入。网络平台建设目标建设具有多业务承载能力的网络具备多业务融合承载能力，即在统一的网络系统平台上，利用IP网络承载智慧城市各项应用业务数据、流媒体等信息；高可靠、高带宽，保证本期智慧城市各项业务应用需求，兼顾将来发展，提供一个高带宽、可根据需求灵活进行服务级别管理的网络系统平台；建设具有高可靠性的网络采用合理的网络拓扑结构，保证网络系统平台应具备良好的可用性，要求网络规划没有单点故障节点，具有完善的故障自愈能力和故障冗余能力。建设具有高可扩展性的网络咸阳市信息化网络平台要建成一个可弹性扩展的网络，需要能够适应智慧咸阳信息化运行的需求，以及未来相关业务能力的发展。建设灵活实现业务隔离和数据共享需求的网络通过VLAN进行用户或业务的区分和隔离，不同的VLAN提供不同的QoS保证。建设满足绿色环保要求的系统遵循节能环保标准，系统具有最小能耗，可有效降低系统运行成本，提高投资收益。骨干传输网络骨干传输网由两大部分构成，分别是横向城域网和纵向骨干网。城域网包括各省级、市、县城域网，纵向骨干网包括省、市、县（区）、乡四级网络。最终形成四级统一传输网络结构，覆盖省、市、县（区）、乡（镇）和村五级行政区域。总体拓扑如图4-3所示图4-3统一传输网架构图建设咸阳市电子政务传输骨干网，为县（区）、乡（镇）和村级提供传输通道，咸阳市电子政务传输骨干网纵向上联省级平台，下联县级平台，乡镇和村级用户通过专线或VPN的方式接入到县级平台，最终形成四级统一传输网络结构。目前，咸阳市电子政务内网通过华为路由器NE20与省级互联，外网分别通过思科和瑞捷的路由器与省级电子政务外网互联。省、市、县三级传输骨干网由省上统一规划实施，市级负责指导县级完成所辖乡镇及村级用户的接入。Z.3外网基础网络平日（一） 电子政务外网结构咸阳市综合服务平台电子政务外网纵向上连省信息化基础资源综合服务平台，下连市级（区）县电子政务统一平台，横向连接市级党委、人大、政府、政协、法院、检察院及各委办局，满足咸阳市各级政府部门开展政务服务、社会综合管理、公众服务等信息化建设对网络的需求。咸阳市电子政务外网拓扑结构如图4-4所示：图4-4咸阳市综合服务平台外网拓扑图咸阳市级平台电子政务外网平台采用区域化的设计，共划分二十六个安全域：核心交换域核心交换域是整个政务平台的中心区域，负责政务云平台各区域数据的交换。部署设备：核心交换机、核心防火墙（具备虚拟化功能）。技术实现：通过动态路由协议实现设备和线路的冗余。平台互联域用于省、市级云平台互联的区域，实现省级市级资源共享、数据备份和应用级容灾热备。省市级平台数据交互需要建立安全通道。部署设备：平台互联路由、交换设备。安全边界及设备：VPN设备安全策略：平台域平台之间需要通过VPN安全通道进行互联。安全级别等级，综合服务中心负责此区域安全。政务租户接入域用于政府各租户通过运营商专线方式接入政务云平台的网络区域，实现云平台对政务租户的各类信息化服务。政务租户包含各级、各类与平台签订服务合同的政务部门。政府租户与云平台信息交互需要建立安全通道。部署设备：城域网接入设备（路由器、交换机、VPN设备）安全边界及设备：VPN设备安全策略：政务租户接入平台需要通过VPN安全通道进行访问，安全级别2级，综合服务中心负责此区域安全。业务数据应用服务域为业务托管域中的应用提供数据库服务。部署设备：部署不对外开放的应用数据服务器，如公文传输、领导个性化系统和其他政务应用系统的数据库服务器。边界设备：防火墙、入侵检测、数据库审计等女王策略：业务托管域的应用系统可进仃叨问，用户不能只见叨问，女王级别2级，综合服务中心负责此区域安全。公开数据服务域以服务方式向所有用户提供的用户数据存储功能，如个人存储空间、网络文件夹等。用户可直接访问，进行创建、读、写操作，面相公众服务门户网站。部署设备：门户网站Web服务器、FTP服务器等网络存储服务提供设备。边界设备：防火墙安全策略：政务租户接入域、互联网接入域可访问，可使用平台提供的加解密功能对数据进行加密，不能主动访问其他域，安全级别2级，综合服务中心负责此区域安全。平台核心服务域平台核心服务域是整个综合服务中心的核心区域，为综合服务中心提供平台类服务。部署设备：部署统一服务架构平台系统服务器群，主要用于承载统一服务基础架构平台、基于SOA业务协同平台、政务资源目录与交换体系等服务支撑平台。边界设备：防火墙、入侵检测、安全审计。安全策略：用户端不可访问，为应用系统各域提供平台服务，安全级别2级，综合服务中心负责此区域安全。业务数据存储域业务数据存储域存储平台核心及不对互联网用户开放的数据。部署设备：部署磁盘阵列、FC光纤交换机、虚拟带库、磁带库等存储设备。边界设备：防火墙、入侵检测、服务器防护等设备安全策略：不与核心交换连接，只通过存储网络与平台核心服务域、数据交换域、业务托管域、业务数据服务域连接。公开数据存储域公开数据存储域是指与公开数据服务域对应的数据存储域，存储公开数据，如门户网站数据、个人存储空间、网络文件夹等。用户可直接访问，进行创建、读、写操作。部署设备：部署磁盘阵列、FC光纤交换机、虚拟带库、磁带库等存储设备。边界设备：无安全策略：不与核心交换连接，通过存储网络与公开业务服务域及互联网应用服务域连接。密钥存储域存储平台的各类密钥（包括托管密钥）。部署设备：密钥存储设备及密钥备份恢复系统。边界设备：因为FC存储网络，无边界设备女王策略：不与核心交换连接，只与密钥管理中心域连接。业务管理服务域提供运维管理、网络管理、平台资源配置管理、信息化基础资源交付与受理服务。部署设备：部署运维监控系统，虚拟资源管理、信息化基础资源交付与受理平台等系统服务器。边界设备：防火墙、服务器防护安全策略：可访问各区域运维监控节点、虚拟资源管理节点。平台安全设施域平台安全设施设备的部署区域，保障平台安全可靠的运行。同时对平台的安全事件进行检测。部署设备：部署漏洞扫描、安全审计和网络防病毒等网络安全系统，系统补丁（系统和应用）。边界设备：防火墙安全策略：可根据需要访问平台相关各区，综合服务中心负责此区域安全。加解密引擎池域部署加解密引擎池，满足数据保护实现对细颗粒度、大并发量数据加密、解密的需求。部署设备：加解密引擎池服务器群、加解密引擎池管理系统。边界设备：防火墙（独立防火墙）安全策略：不与核心交换连接，与各应用域通过加解密专网连接，提供加解密服务。密钥管理中心域密钥管理中心为数据加解密提供密钥的导出、存储、分发、更新和销毁等功能，实现由用户身份到数据库加解密密钥的映射，形成密钥管理私密区。部署设备：密钥管理中心服务器。边界设备：防火墙（独立防火墙）安全策略：不与核心交换连接，通过加解密专网与加解密引擎池域及密钥存储域连接。认证管理中心域为云平台应用提供身份认证和授权服务。部署设备：数字认证服务器、统一用户管理服务器和单点登陆服务器。边界设备：防火墙安全策略：互联网应用服务域的门户系统、业务托管域业务管理服务域、安全管理域等可访问。安全管理域安全管事中4SOC配置管理、审计、权限管理、一级防病毒服务器；安全管事中心发布、信息的展不、女王事件报表、风险态势分析、告警信息等，应用展示操作。部署设备：SOC服务端、审计服务端等设备。边界设备：防火墙安全策略：可访问与核心交换连接的所有区域。所有区域不能主动发起对此区域的访问。数据交换域数据交换区主要提供平台各区域之间、平台与平台之间、平台与平台外应用系统之间数据交换服务。为政府各部门和部署在平台应用和四大基础数据库交换、业务数据库交换。部署设备：部署多级数据交换平台。边界设备：防火墙安全策略：对综合服务中心业务类、服务类所属的域及接入类各域提供服务，允许其访问指定端口及指定设备。业务托管域为托管在综合服务中心的各类业务（除门户及面向公众的业务）提供托管服务，提供相应计算资源、运行环境、安全设施等。部署设备：部署各租户托管业务的应用服务器。边界设备：防火墙、入侵检测、服务器防护安全策略：此区域不直接面向互联网用户，用户要访问需通过政务租户接入域或互联网用户通过VPN通道（首先进入政务租户接入域，然后再进行访问）进行访问。主机托管域为政府、企事业等各部门提供主机托管服务，此不法设备仍归各单位所有，托管主机根据业务需求选择虚拟化或非虚拟化。部署设备：托管用户主机。边界设备：防火墙、安全审计终端安全策略：需允许运维类各域进行访问，以进行运维管理。允许接入类各域用户根据安全策略进行访问。互联网应用服务域为互联网用户服务，提供面向公众的业务服务，如门户网站、市民邮箱系统等。部署设备：部署面向在互联网用户的业务应用服务器，如门户网站、市民邮箱系统等。边界设备：防火墙、网站防护系统、服务器防护等安全策略：面向互联网接入域提供访问，不可直接访问平台内部其他域。机房空间托管域为政府部门提供机房空间服务，在此区域部署的网络与平台网络不进行互联，作为一个完全独立的区域，综合服务平台提供设备运维、机房环境，客户网络接入等服务。部署设备：综合服务中心提供机柜、电源、接入网络（与平台其他域不互通）等基础环境设备。边界设备：由托管方提供安全策略：与综合服务中心的其他域相互隔离。互联网接入域主要为政务租户移动办公、公众用户和企业用户提供服务。部署设备：部署平台互联网安全设备，包括负载均衡（链路和应用负载）、上网行为管理、流量控制、VPN和防火墙设备。边界设备：防火墙，VPN安全策略：可直接访问互联网应用服务域，通过用户VPN可接入政务租户接入域（实现如远程办公等功能）。宽带移动政务接入域实现宽带移动政务用户的接入。部署设备：VPN网关安全策略：对接入用户进行身份认证。安全审计中心域完成对平台安全审计系统的运行管理、策略下发、审计日志保存等工作。部署设备：上网行为审计、主机审计安全策略：可访问与核心交换连接的所有区域。其他安全区域不能主动发起对此区域的访问。开发测试域提供应用系统开发、测试、部署验证环境服务，保证应用系统部署前排除安全和应用的问题。部署设备：开发测试服务器安全策略：可访问系统软件补丁更新域、应用软件升级测试域。系统软件补丁更新域部署系统软件补丁服务器及测试服务器，在为系统软件更新补丁先进行补丁测试环境测试后，然后再进行正式环境升级，保证系统补丁更新操作不会对现有系统造成影响。部署设备：软件更新服务器。应用软件升级测试域在此域部署应用软件测试服务器，对需升级的应用系统通过虚拟化平台进行完全镜像后进行升级测试，在保证功能无误后再切换到生产环境，保证应用系统的升级对现有应用不造成影响从而保证系统的正常运行。（一） 外网设备技术要求1）各安全域网络及安全设备配置数据中心交换机采用三层部署架构，即核心、汇聚和接入。接入层交换，向下使用千兆电口连接服务器，向上采用千兆绑定技术，初期规划带宽为2Gbps，设备应具备升级到10Gbps的能力。以后根据业务流量增加，可配置每机柜24口或48口交换，更大流量的机柜可采用万兆接入交换机。同时没他接入交换机上联两个汇聚，形成冗余备份机制。承载业务量大的机柜，同时以主机虚拟化方式部署的接入交换机，配置1个万兆口上联汇聚交换机；机柜以物力机方式的接入交换机，配置4个千兆（绑定）上联汇聚交换机。接入交换机与数据区汇聚交换机之间采用二层交换技术互联，使用VLAN技术，进行安全隔离。（三）核心设备技术要求本部分选型主要针对外网平台的核心设备，包括核心交换机、汇聚交换机、接入交换机、万兆防火墙和IPS等设备，其它设备将在各自对应的章节中体现。1）各安全域网络及安全设备配置核心交换机是整个外网的核心，外网中的大部分业务数据都要经过核心层设备转发，因此该节点设备对于可靠性的要求和处理能力的要求应该达到运营商的要求，同时QoS、MPLSVPN、TE等业务的开展和叠加不应降低设备的处理能力，对于设备的性能要求考虑如下：提供高的交换容量和高的处理能力，为了保障业务在核心节点的快速交换和转发，设备应该提供基于硬件的全分部式转发方式，支持基于IP报文和MPLSVPN的分布式转发，转发能力大于400Mbps以上，要能够实现所有接口，包括106的双工的线速转发，同时能够提供高密度10G的线速接口能力，同时设备的交换容量必须能够进行扩容；提供多种可靠性保障，设备应采用无源背板设计，同时提供引擎、电源、总线的冗余热备份，所有组件都需要支持热插拔，提供运营级的自约束持续路由功能，保证业务不会中断。当主用控板发生故障时，可以切换到备用的主控板，不会发生包丢失，也不会影响对端设备。并且支持在不中断业务的前提下进行软件升级，软件上支持高可靠性备份技术，包括链路备份、接口备份、路由备份和基于VRRP的设备间备份；提供丰富的可扩展的高带宽接口；支持高密度万兆、千兆接口；支持OSPF、IS-IS、BGP-4等路由协议以及静态路由；所有端口在路由震荡等复杂路由环境下仍能够保持线速转发；考虑到IPv6的发展趋势，设备应该具备支持IPv6的能力，支持IPv4向IPv6的过渡技小；手工配置隧道、自动配置隧道、6t04隧道、NA1-P1等;支持MPLSVPN、MPLSTE,符合RFC2547bis协议。管理上要支持用户分级管理和口令保护、SSH、SNMPv3网管等。2）各安全域网络及安全设备配置提供高的交换容量和高的处理能力，为了保障业务在汇聚节点的快速交换和转发，设备应该提供基于硬件的全分布式转发方式，支持基于IP报文和MPLSVPN的分布式转发，交换容量不小于500Gbps，要能实现所有接口，包括106的双工的线速转发，同时能提供高密度千兆的线速接口能力，同时设备的交换容量必须能够进行扩容；设备应采用无源背板设计，同时提供引擎、电源、总线的冗余热备份；提供丰富的可扩展的高带宽接口；支持高密度万兆、千兆接口；支持OSPF、IS-IS、BGP-4等路由协议及静态路由；考虑到IPv6的发展趋势，设备应该具备支持IPv6的能力；支持MPLSVPN、MPLSTE，符合RFC2547bis协议。管理上要支持用户分级管理和口令保护、SSH、SNMPv3网管等。3）接入交换机提供24个千兆电口、4个千兆光口，交换容量不小于36Gbps，要能够实现所有接口的线速转发；支持OSPF、IS-IS等路由协议及静态路由；管理上要支持用户分级管理和口令保护、SSH、SNMPv3网管等。4）万兆防火墙模块化设计，要求为多核架构，吞吐量大于20Gbps，性能要可以平滑扩容，并发连接数大于200万；要求与网络设备实现无缝对接，支持OSPF等路由协议及静态路由，必须能够支持接口组联动，保障网络出现故障时可以快速的切换和收敛；支持虚拟防火墙功能；管理上要支持用户分级管理和口令保护、SSH、SNMPv3网管等。5）万兆IPS模块化设计，要求为多核架构，吞吐量大于20Gbps，能够在万兆流量的背景下，实时检测和阻断包括溢出攻击、RPC攻击、WECGI攻击、拒绝服务、木马、蠕虫、系统漏洞等网络攻击行为。在开启IPS、流病毒查杀、应用识别和URL过滤功能的条件下，处理性能不下降，应用层并发连接数大于200万：管理上要支持用户分级管理和口令保护、SSH、SNMPv3网管等。Z.4内网基础网络平日（一） 电子政务内网结构咸阳市总和服务平台电子政务内网向上接到省电子政务骨干传输网，下连市级所辖区县电子政务内网，横向连接市级党委、人大、政府、政协、法院、检察院及各委办局，满足各级政务部门内部办公、管理、协调、监督和决策等信息化建设对网络的需求，内网承载面向政务办公应用，服务对象是政府领导和公务员，政务内网与政务外网无力隔离。内网拓扑图如图4-5所示：图4-5咸阳市综合服务平台内网安全拓扑图咸阳市综合服务平台内网采用区域化的设计，与外网平台架构和技术实现基本一致。划分二十五个安全区域：核心交换域核心交换域是整个政务平台的中心区域，负责政务云平台各区域数据的交换。部署设备：核心交换机、核心防火墙（具备虚拟化功能）。技术实现：通过动态路由协议实现设备和线路的冗余。平台互联域用于省、市级云平台互联的区域，实现省级市级资源共享、数据备份和应用级容灾热备。省市级平台数据交互需要建立安全通道。部署设备：平台互联路由、交换设备。安全边界及设备：VPN设备安全策略：平台域平台之间需要通过VPN安全通道进行互联。安全级别等级，综合服务中心负责此区域安全。政务租户接入域用于政府各租户通过运营商专线方式接入政务云平台的网络区域，实现云平台对政务租户的各类信息化服务。政务租户包含各级、各类与平台签订服务合同的政务部门。政府租户与云平台信息交互需要建立安全通道。部署设备：城域网接入设备（路由器、交换机、VPN设备）安全边界及设备：VPN设备安全策略：政务租户接入平台需要通过VPN安全通道进行访问，安全级别2级，综合服务中心负责此区域安全。业务数据应用服务域为业务托管域中的应用提供数据库服务。部署设备：部署不对外开放的应用数据服务器，如公文传输、领导个性化系统和其他政务应用系统的数据库服务器。边界设备：防火墙、入侵检测、数据库审计等安全策略：业务托管域的应用系统可进行访问，用户不能只见访问，安全级别2级，综合服务中心负责此区域安全。公开数据服务域以服务方式向所有用户提供的用户数据存储功能，如个人存储空间、网络文件夹等。用户可直接访问，进行创建、读、写操作。部署设备：内网门户网站Web服务器、FTP服务器等网络存储服务提供设备。边界设备：防火墙安全策略：政务租户接入域、互联网接入域可访问，可使用平台提供的加解密功能对数据进行加密，不能主动访问其他域，安全级别2级，综合服务中心负责此区域安全。平台核心服务域平台核心服务域是整个综合服务中心的核心区域，为综合服务中心提供平台类服务。部署设备：部署统一服务架构平台系统服务器群，主要用于承载统一服务基础架构平台、基于SOA业务协同平台、政务资源目录与交换体系等。边界设备：防火墙、入侵检测、安全审计。安全策略：用户端不可访问，为应用系统各域提供平台服务，安全级别2级，综合服务中心负责此区域安全。业务数据存储域业务数据存储域存储平台核心及不对互联网用户开放的数据。部署设备：部署磁盘阵列、FC光纤交换机、虚拟带库、磁带库等存储设备。边界设备：防火墙、入侵检测、服务器防护等设备安全策略：不与核心交换连接，只通过存储网络与平台核心服务域、数据交换域、业务托管域、业务数据服务域连接。公开数据存储域公开数据存储域是指与公开数据服务域对应的数据存储域，存储公开数据，如门户网站数据、个人存储空间、网络文件夹等。用户可直接访问，进行创建、读、写操作。部署设备：部署磁盘阵列、FC光纤交换机、虚拟带库、磁带库等存储设备。边界设备：无安全策略：不与核心交换连接，通过存储网络与公开业务服务域及互联网应用服务域连接。密钥存储域存储平台的各类密钥（包括托管密钥）。部署设备：密钥存储设备及密钥备份恢复系统。边界设备：因为FC存储网络，无边界设备安全策略：不与核心交换连接，只与密钥管理中心域连接。业务管理服务域提供运维管理、网络管理、平台资源配置管理、信息化基础资源交付与受理服务。部署设备：部署运维监控系统，虚拟资源管理、信息化基础资源交付与受理平台等系统服务器。边界设备：防火墙、服务器防护安全策略：可访问各区域运维监控节点、虚拟资源管理节点。平台安全设施域平台安全设施设备的部署区域，保障平台安全可靠的运行。同时对平台的安全事件进行检测。部署设备：部署漏洞扫描、安全审计和网络防病毒等网络安全系统，系统补丁（系统和应用）。边界设备：防火墙安全策略：可根据需要访问平台相关各区，综合服务中心负责此区域安全。加解密引擎池域部署加解密引擎池，满足数据保护实现对细颗粒度、大并发量数据加密、解密的需求。部署设备：加解密引擎池服务器群、加解密引擎池管理系统。边界设备：防火墙（独立防火墙）安全策略：不与核心交换连接，与各应用域通过加解密专网连接，提供加解密服务。密钥管理中心域密钥管理中心为数据加解密提供密钥的导出、存储、分发、更新和销毁等功能，实现由用户身份到数据库加解密密钥的映射，形成密钥管理私密区。部署设备：密钥管理中心服务器。边界设备：防火墙（独立防火墙）安全策略：不与核心交换连接，通过加解密专网与加解密引擎池域及密钥存储域连接。认证管理中心域为云平台应用提供身份认证和授权服务。部署设备：数字认证服务器、统一用户管理服务器和单点登陆服务器。边界设备：防火墙安全策略：互联网应用服务域的门户系统、业务托管域业务管理服务域、安全管理域等可访问。

15、女王管理域15、女王管理域安全管事中4SOC配置管理、审计、权限管理、一级防病毒服务器；安全管事中心发布、信息的展示、安全事件报表、风险态势分析、告警信息等，应用展示操作。部署设备：SOC服务端、审计服务端等设备。边界设备：防火墙安全策略：可访问与核心交换连接的所有区域。所有区域不能主动发起对此区域的访问。数据交换域数据交换区主要提供平台各区域之间、平台与平台之间、平台与平台外应用系统之间数据交换服务。为政府各部门和部署在平台应用和数据库的数据整合、四大基础数据库交换、业务数据库交换。部署设备：部署多级数据交换平台。边界设备：防火墙安全策略：对综合服务中心业务类、服务类所属的域及接入类各域提供服务，允许其访问指定端口及指定设备。业务托管域为托管在综合服务中心的各类业务提供托管服务，提供相应计算资源、运行环境、安全设施等。部署设备：部署各租户托管业务的应用服务器。边界设备：防火墙、入侵检测、服务器防护安全策略：用户要访问需通过政务租户接入域或互联网用户通过VPN通道（首先进入政务租户接入域，然后再进行访问）进行访问。主机托管域为政府、企事业等各部门提供主机托管服务，此不法设备仍归各单位所有，托管主机根据业务需求选择虚拟化或非虚拟化。部署设备：托管用户主机。边界设备：防火墙、安全审计终端安全策略：需允许运维类各域进行访问，以进行运维管理。允许接入类各域用户根据安全策略进行访问。机房空间托管域为政府各部门提供机房空间服务，客户在此区域部署的网络与平台网络不实现互联，为客户的一个完全独立的区域，综合服务平台提供设备运维、机房环境，客户网络接入等服务。部署设备：综合服务中心提供机柜、电源、接入网络（与平台其他域不互通）等基础环境设备。边界设备：出托管方提供安全策略：与综合服务中心的其他域相互隔离。安全审计中心域完成对平台安全审计系统的运行管理、策略下发、审计日志保存等工作。部署设备：上网行为审计、主机审计安全策略：可访问与核心交换连接的所有区域。其他安全区域不能主动发起对此区域的访问。开发测试域提供应用系统开发、测试、部署验证环境服务，保证应用系统部署前排除安全和应用的问题。部署设备：开发测试服务器安全策略：可访问系统软件补丁更新域、应用软件升级测试域。系统软件补丁更新域部署系统软件补丁服务器及测试服务器，在为系统软件更新补丁先进行补丁测试环境测试后，然后再进行正式环境升级，保证系统补丁更新操作不会对现有系统造成影响。部署设备：软件更新服务器。应用软件升级测试域在此域部署应用软件测试服务器，对需升级的应用系统通过虚拟化平台进行完全镜像后进行升级测试，在保证功能无误后再切换到生产环境，保证应用系统的升级对现有应用不造成影响从而保证系统的正常运行。涉密机房域对涉密设备需独立规划涉密机房，其内设备独立部署，组成涉密机房域，与综合服务中心网络物力隔离。涉密机房接入域涉密机房接入域实现外部涉密网络的接入，并通过此域实现与平台涉密机房网络的连通。在此域只部署独立的网络接入设备，实现外部涉密网络的接入。此区域与综合服务平台网络物力隔离，保证涉密网的安全。（二）内网设备技术要求1）各安全域网络及安全设备配置数据中心交换机采用三层部署架构，即核心、汇聚和接入。接入层交换，向下使用千兆电口连接服务器，向上采用千兆绑定技术，初期规划带宽为2Gbps，设备应具备升级到10Gbps的能力。以后根据业务流量增加，可配置每机柜24口或48口交换，更人流量的机柜可采用万兆接入交换机。同时没他接入交换机上联两个汇聚，形成冗余备份机制。承载业务量大的机柜，同时以主机虚拟化方式部署的接入交换机，配置1个万兆口上联汇聚交换机；机柜以物力机方式的接入交换机，配置4个千兆（绑定）上联汇聚交换机。接入交换机与数据区汇聚交换机之间采用二层交换技术互联，使用VLAN技术，进行安全隔离。（三）内网核心设备技术要求内网核心设备包括核心交换机、汇聚交换机、接入交换机、万兆防火墙和IPS等设备，该部分选型要求与外网基础网络平台一致。市级城域网络建设省、市、县三级纵向电子政务骨干传输网络全省统一建设。省、市、县电子政务骨干传输网分为内网与外网，内外网物理隔离。，外网与互联网逻辑隔离。依托全省电子政务统一骨干传输网络建设市级城域网和县（区）城域网，各县（区）、各部门不再重新铺设独立线路或建设单一业务传输骨干网络，市级综合服务平台负责市级城域网建设并接入到统一骨干传输网络。各县（区）电子政务统一平台负责本县（区）城域网建设并接入到统一骨干传输网络，市级平台接入纵向骨干网络。咸阳市综合服务平台接入全省电子政务纵向骨干网，实现向上连接省级平台，向下连接县级平台，乡镇和村级用户通过互联网方式接入到县级平台，最终形成三级统一传输网络结构。根据全省电子政务网络整体规划，省到市纵向骨干网外网带宽为1G，内网带宽为60M；市到县纵向骨干网外网带宽为200M，内网带宽为10M；县到乡镇、村级三级纵向网络不建设内网，外网建设依托互联网，具体带宽根据业务情况确定。咸阳市综合服务平台负责本级纵向城域网的建设并指导市级各部门网络接入和县级以下所辖乡镇及村级用户的接入，通过整合各单位、各运营商网络资源，从而实现咸阳市基础网络共享互联互通。目前，咸阳市电子政务内网通过华为路由器NE20与省级互联，外网分别通过思科和瑞捷的路由器与省级电子政务外网互联。（一） 城域网建设咸阳市级城域网是以咸阳市综合服务平台为汇接点，实现各接入单位的网络接入。综合服务平台主安贝贝市级各部门的接入并提供接入环境，要求采用统一运营商的线路进仃接入，接入设备可根据实际情况由市级统一配发或接入单位按照要求自行采购。对于有业务托管在综合服务平台的单位，根据业务需求及业务类别建议接入带宽外网不低于100M，内网不低于10M；对于无业务托管在综合服务平台，建议外网接入带宽不低于10M，内网不低于2M，当各单位城域网接入带宽不高于10M时，采用路由器（C