信息安全集成系统方案

信息平安集成系统方案（共４4页)PAGEPAGE1————————————————————————————————作者：————————————————————————————————日期：ﻩ成都综合保税区西区信息平安集成系统方案XＸ科技有限公司２０1０.12目录TOC＼ｏ"1-3"\h\ｚ＼uHYPＥRLＩＮＫ\l"＿Toｃ３５8107４4８"1、项目背景PAGＥREF_Toc3５８10７4４８\h3HYPERＬＩNＫ\l"＿Toc3581０７４49"2、需求分析ＰAGEREF_Toc3５8１0７4４9＼ｈ4ＨYPERLＩNＫ＼l"_Toc3５８107450"３、系统设计PAGEREF＿Toｃ35８１０7450\h5ＨYPEＲLＩNK＼l＂_Ｔoc3５８1074５1＂３．1设计依据及设计原则PＡGEREF_Toc3５81０７４51\h5HYＰERＬIＮＫ＼l＂_Toc358107452"３.2信息平安技术设计PAＧEＲEF＿Tｏc3581０7452\ｈ8ＨYPＥＲＬINK\l"＿Toｃ358１0745３＂3.3信息平安管理设计ＰAGＥRＥF＿Toc3581０７453\h14HＹPERＬINK\l"_Toc３58１07４５4"３.4产品选型ＰAGEREF_Ｔｏc35８10７454＼h161、项目背景２0１０年1０月18日四川成都出口加工区2000年４月经国务院批准设立，是中国首批出口加工区之一,2０09年进出口总额64.２亿美元,２０10年1—7月进出口总额５0．７5亿美元，增长43%，综合排名全国第5、中西部第1,是全国进展最好的出口加工区之一;成都保税物流中心(B型）于２00９年３月通过验收，7月正式封关运行,目前进展状况良好。整合扩展后的成都高新综合保税区集保税出口、保税物流、口岸功能于一身，是目前国内功能最全、政策最优的海关特殊监管区域，有利于海关监管运行,更有利于企业的进一步进展。为了将成都综合保税区建设成为中国中西部一流的保税区和口岸平台,提高出口加工区现代化的监管水平,利用现代监控技术、网络与通信技术、计算机处理技术和自动把握技术,构建一个先进、有用、牢靠的保税区海关联网监管系统。信息技术的进展,为海关管理创新供应了手段,实现信息化将使海关管理水平产生质的飞跃。经过多年的建设，海关已形成了涉密办公网、办公管理网、业务运行网、对外接入网等功能齐全的简单办公环境，在业务协同、办公管理、对外服务等方面发挥了越来越重要的作用。建设统一的技术支撑平台,建立科学的信息管理体系,关键的一环就是信息部门必需对其信息技术设备和服务进行全面的、整体的网络运行监控和平安管理。这其中，既涉及到网络管理,也有平安管理。技术支撑层,充分利用技术手段，建立高效、协同的信息平安管理平台，将网络监控与平安监控有机地结合在一起,留意能够准时定位故障。技术支撑体系应当包括三个层次：呈现层、运维管理层、集中监控层。1)呈现层。供应面对信息平安层面和信息平安管理决策层面的呈现视角，在信息平安管理界面上实现集中运维的统一管理功能和信息呈现与交互功能。2)流程及业务信息平安管理层。在集中信息平安管理模式下实现流程执行和管理把握功能、业务平安管理功能。3)集中把握层。通过监控工具实现对不同服务对象和IT资源的实时监控，包括主机、数据库、中间件、存储备份、网络、平安、机房、业务应用和客户端等技术支持管理子系统进行综合处理和集中管理。2、需求分析2.1广域网网络链接2.1.1海关业务线路为保证综保区海关业务正常开展,按海关部署相关规定,要求综保区到成都海关中心机房广域网线路“双线热备”方案。“双线热备”方案已在成都海关中心机房至出口加工西区、机场海关等四个重要业务现场实施部署。其具体需求是海关业务运行网和业务管理网在网络正常时各走一条链路，当其中一条链路出理故障时互为备份,故障排解后自动切换回原有链路,无需人工干预。线路上分别选择电信和网通的一条链路,更好地保障备份的牢靠。系统建设配置包括广域网路由设备，不同的运营网分别租用4M以上的宽带线路。2．１.2电子口岸专线为满足电子口岸录入的需要,要求建设电子口岸电子专网。电子口岸专网也接受“双线热备”方案,原则上由部署数据中心负责审批。2.2综合布线2.2．1分类综合布线系统包括管理网G（六类系统)、业务网Y（超五类系统）、互联网Ｗ(超五类系统)语音网Ｔ(水平超五类系统）、备用网络B（超五类系统)共计5个系统（可依据监管要求及功能设置作相应调整)。各网络物理隔离、独立组网,新设机构可依据实际状况选择网络系统的建设。楼层弱电井设置不同功能的配线间。主干数据接受４芯多模室内光缆、语音接受2５芯５类大对数电缆及超５类屏蔽电缆。2.２．２网线布线系统管理网：水平布线接受六类非屏蔽网线,垂直干线接受4芯多模光纤;运行网、互联网、备用网络:水平布线接受超五类非屏蔽网线,垂直干线接受4芯多模光纤;机房：水平布线接受六类非屏蔽网线及超五类屏蔽网线。2．2.３机柜的配置在楼层弱电井设有不同功能的独立配线间。各楼层布线系统统一汇聚到机房。配线间：管理网、业务网可共用一个机柜,互联网、电话、备用网共用一个机柜;机房:管理网、业务网可共用一个机柜,互联网、备用网共用一个机柜，电话共用一个机柜。2．２.4综合布线标识说明由于网络的种类比较多，在前面板用颜色加编号的方式对点位的功能进行分区。使用时从面板标识的颜色可确定点位所属的网络或电话。综合布线标识面板、水平线缆、配线架用相机的编号,垂直主干用另一种编号。具体编号说明参见海关相应文件。机房的网络布线系统设计,除应符合本规范的规定外,还应符合现行国家标准《综合布线系统工程设计规范》GB503１1的有关规定。2.２.５园区网建设园区内应建设园区网，以实现区内全部企业与管委会之间信息的互通和管理,同时考虑相应的平安管理建设,包括防病毒管理、客户端准入等。园区网为封闭局域网,但保留对外互联网出口。园区网建设方案应提交海关技术处审批,海关技术处可对园区网的建设进行帮忙和指导。２．３机房建设机房建设要求为海关设立独立机房,桐庐工程包括桐庐地面装修、电气部分的配电柜、防雷工程、消防报警、机房空调、UPS、机房监控、综合布线系统等。机房面积:按二类机房的相关要求,面积在９0~130平方米之间;机房走线与装修:按上走线方式进行综合布线,吊顶应可拆卸,或留有出入口,以便利管道和设备的安装维护。缆线接受线槽或桥架敷设时,线槽或桥架的高度不宜大于１５0mｍ,桥架宜接受网格式桥架。地面工程：地面应平整,必需进行防尘处理,接受防尘涂料时，至少粉刷２遍以上。防雷工程:防雷部分的电源防雷器选用进口产品。机房空调：能够满足机房使用条件的专用独立温湿度调整空调。机房综合布线:机房的综合布线系统选用进口6类非屏蔽系统，配线架全部选用６类2４口快跳式配线架,光纤部分接受２4口光纤配线盘连接。各楼层汇聚机房配线架,配线架型号选择参见综合布线各网络设计要求。UPS：配置10ＫＶAUPＳ设备2台,电池能够满足１0KVA设备支持３0分钟。消防报警：依据具体状况自行设计。机房监控:依据具体状况自行设计。3、系统设计3．1设计依据及设计原则３．1.1《计算机信息系统平安爱护等级划分准则》(ＧB1７８5９-1９99）《信息系统平安等级爱护基本要求》（GB／Ｔ2２2３9－2００８)。《信息系统平安爱护等级定级指南》(GB／Ｔ22２４0－2008)《信息系统平安等级爱护实施指南》(信安字［２０07］１0号)《信息系统通用平安技术要求》(ＧB/T20271－2０06)《信息系统等级爱护平安设计技术要求》(信安秘字［２009]059号）《信息系统平安管理要求》(ＧＢ/Ｔ20269-2０06)《信息系统平安工程管理要求》(ＧＢ／T20282-２006)《信息系统物理平安技术要求》(GＢ／T210５2－200７）《网络基础平安技术要求》(GＢ／T２0２70-２０06)《信息系统平安等级爱护体系框架》(ＧA／T７08－20０7)《信息系统平安等级爱护基本模型》(GＡ/Ｔ７０9-２007）《信息系统平安等级爱护基本配置》（GA/Ｔ71０-２０07）《信息系统平安等级爱护测评要求》(报批稿)《信息系统平安等级爱护测评过程指南》(报批稿)《信息系统平安管理测评》(GA／Ｔ７13-2007）《操作系统平安技术要求》（ＧB/T2０２7２-２0０6）《操作系统平安评估准则》(ＧＢ／T20008－２00５)《数据库管理系统平安技术要求》（GB/T2０2７3-200６)《数据库管理系统平安评估准则》(GB/T２０00９－20０５)《网络端设备隔离部件技术要求》（GＢ／T2０279-２０0６)《网络端设备隔离部件测试评价方法》（ＧＢ／Ｔ2０277－２0０6)《网络脆弱性扫描产品技术要求》（GＢ／T202７８－２006)《网络脆弱性扫描产品测试评价方法》(ＧＢ／Ｔ20２８0-200６）《网络交换机平安技术要求》（GＡ/T684-20０7)《虚拟专用网平安技术要求》（GA/Ｔ6８6-200７)《网关平安技术要求》（GA／T68１－20０７)《服务器平安技术要求》(GB／Ｔ２10２８-200７)《入侵检测系统技术要求和检测方法》（GB／T２0２７5-20０6）《计算机网络入侵分级要求》（GA／T７0０－2０0７)《防火墙平安技术要求》(GA/T6８３-200７)《防火墙技术测评方法》（报批稿)《信息系统平安等级爱护防火墙平安配置指南》(报批稿）《防火墙技术要求和测评方法》(ＧB/T２0281-2００6）《包过滤防火墙评估准则》(GB/Ｔ２0010－2００5）《路由器平安技术要求》(GＢ/T1801８-2０07)《路由器平安评估准则》(GB／T200１１-2005)《路由器平安测评要求》（ＧA/T６82－２007)《网络交换机平安技术要求》(ＧB/T21０50-2００７)《交换机平安测评要求》(ＧA／T6８５-2０07）《终端计算机系统平安等级技术要求》(ＧA/T6７1－２006)《终端计算机系统测评方法》(GA/T671-２０0６)《虚拟专网平安技术要求》（ＧA/Ｔ686－２００７)《应用软件系统平安等级爱护通用技术指南》（ＧA/T７11-２０07)《应用软件系统平安等级爱护通用测试指南》（GＡ/T712-20０7）《网络和终端设备隔离部件测试评价方法》(GB／T2０２7７-2006）《网络脆弱性扫描产品测评方法》(ＧB/T２0280-2０06）《信息平安风险评估规范》(GB/T209８4－20０７）《信息平安大事管理指南》（ＧB/Z2０9８5-２00７)《信息平安大事分类分级指南》(ＧB/Z2０９86-20０７)《信息系统灾难恢复规范》（ＧB/Ｔ2０9８8－2007）３.1.2在技术方案设计中，遵循以下的系统总体设计原则:１、统一规划、分布实施遵循统一规划、分布实施的原则,在信息中心软硬件支持平台扩容规划和建设中,首要的工作就是明确近期和长期的建设目标,立足于应用,分布实施。2、开放性、互连性和标准化接受国际、国家标准、协议和接口,能与现有的和将来的系统互连与集成。3、先进性在保证系统的整体性和有用性的前提下，考虑系统的先进性，所接受的技术和设备应能保证在目前同行业中是先进的,能够满足成都海关信息中心软硬件支持平台扩容将来5年以上的需求进展。4、成熟性技术方案中所接受的系统体系结构和技术必需是已经过实践检验，证明是成熟的。５、牢靠性、稳定性和容错性通过选择成熟的技术、冗余的设计、牢靠性产品保证整个系统具有高度的牢靠性、稳定性和容错性。6、平安性建立完善的网络平安体系,保证海关信息中心网络设备的平安运行。7、高性能网络系统、服务器系统和平安系统的设计和产品选择都要考虑到高性能要求。8、升级性和可扩展性系统设计要充分考虑到扩容和升级的需要,能机敏便利地适应将来系统可能的变化。选择开放性标准的产品,确保设备的兼容性；通过系统结构的合理设计和适度资源冗余，为将来的系统扩充打下基础，保证需求增加时系统的平滑扩充,保证前期的投资。9、高可管理性整个系统的设计要层次清楚、功能明确,便于性能分析、故障诊断,能实现对系统资源的全面监控和优化配置,对访问的有效监控和审计,保证整个系统具有高度的可管理性。3．2信息平安技术设计３.2.１机房设计3．2.1.1机房位置的选择机房设置在综合保税区A区2楼，依据国家机房标准设置，具有防震、防风和防雨等力量。3.2．1.2机房访问把握a）机房出入口应支配专人值守,把握、鉴别和记录进入的人员;ｂ)需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围。3.2.１.3防盗窃和防破坏a)应将主要设备放置在机房内;b）应将设备或主要部件进行固定,并设置明显的不易除去的标记;c)应将通信线缆铺设在隐蔽处，可铺设在地下或管道中;d)应对介质分类标识,存储在介质库或档案室中;ｅ)主机房安装必要的防盗报警设施。3.2.1.４防雷击a）机房建筑设置了电源防雷器、数据防雷器和视频信息防雷器等避雷装置;b)机房设置沟通电源地线。３.2.1.5防火机房应设置灭火设备和火灾自动报警系统。3.２.１.６防水和防潮a)水管安装,不得穿过机房屋顶和活动地板下;ｂ)实行措施防止雨水通过机房窗户、屋顶和墙壁渗透;ｃ)实行措施防止机房内水蒸气结露和地下积水的转移与渗透。３.2.１．７防静电整个机房接受防静电地板设计。3.2.1.8温湿度把握机房设置温、湿度自动调整设施,使机房温、湿度的变化在设备运行所允许的范围之内。3．２.1．9电力供应a)应在机房供电线路上配置稳压器和过电压防护设备;b）应供应了３0ＫＶＡ的UPS,用于短期的备用电力供应，至少满足关键设备在断电状况下的正常运行要求。3．2.１．１0电磁防护电源线和通信线缆应隔离铺设，避开相互干扰。3．2.2网络设计３．２.2.1网络结构设计接受ＭSTP的组网方式，Ａ、B、Ｃ三区接受MＳTP光纤电路(ＲJ45接口）,通过中国电信MSTP网络，实现了A、B、C三个区的互联通讯、三个区的网络热备以及A区通过互联网接入与成都海关总部互访,组成数据通信传输通信专网。其网络结构图如下图所示:图９：网络结构图网络中设备、电路均平安牢靠,关键设备、电路均有冗余备份，并接受先进的容错技术和故障处理技术，保证数据传输的平安牢靠,保证网络可用性达到使用要求。这样设计，得以实现系统网络平安:保证关键网络设备的业务处理力量具备冗余空间,满足业务高峰期需要;保证接入网络和核心网络的带宽满足业务高峰期需要;依据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段,并依据便利管理和把握的原则为各子网、网段安排地址段。3.2．2.2访问把握在网络边界部署访问把握设备,启用访问把握功能;依据会话状态信息为数据流供应明确的允许/拒绝访问的力量，把握粒度为网段级。按用户和系统之间的允许访问规章，打算允许或拒绝用户对受控系统进行资源访问,把握粒度为单个用户;限制具有拨号访问权限的用户数量。3.2.２.３平安审计对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;审计记录应包括大事的日期和时间、用户、大事类型、大事是否成功及其他与审计相关的信息。３.2.２．4边界完整性检查能够对内部网络中消灭的内部用户未通过准许私自联到外部网络的行为进行检查。3.2.２.5入侵检测在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。系统设置一台IDＳ检测引擎，用于对计算机和网络资源的恶意使用行为进行识别和相应处理。其结构如下图所示:检测引擎是一个高性能的专用硬件,运行平安的操作系统，对网络中的全部数据包进行记录和分析。依据规章推断是否有特别大事发生,并准时报警和响应。同时记录网络中发生的全部大事,以便事后重放和分析。管理主机运行于Wｉｎｄows操作系统的图形化管理软件。可以查看分析一个或多个检测引擎，进行策略配置，系统管理。显示攻击大事的具体信息和解决对策。恢复和重放网络中发生的大事。供应工具分析网络运行状况。并可产生图文并茂的报表输出。３．２．2．6网络设备防护对登录网络设备的用户进行身份鉴别;对网络设备的管理员登录地址进行限制；网络设备用户的标识应唯一;身份鉴别信息应具有不易被冒用的特点,口令应有简单度要求并定期更换；具有登录失败处理功能,可实行结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施;当对网络设备进行远程管理时,应实行必要措施防止鉴别信息在网络传输过程中被窃听。3．２.3主机平安3.2.3.1身份鉴别应对登录操作系统和数据库系统的用户进行身份标识和鉴别;操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有简单度要求并定期更换;应启用登录失败处理功能，可实行结束会话、限制非法登录次数和自动退出等措施;当对服务器进行远程管理时，应实行必要措施，防止鉴别信息在网络传输过程中被窃听;应为操作系统和数据库系统的不同用户安排不同的用户名,确保用户名具有唯一性。3.２.3.2访问把握应启用访问把握功能,依据平安策略把握用户对资源的访问;应实现操作系统和数据库系统特权用户的权限分别；应限制默认帐户的访问权限，重命名系统默认帐户,修改这些帐户的默认口令;应准时删除多余的、过期的帐户，避开共享帐户的存在。３.2.3．３平安审计审计范围应掩盖到服务器上的每个操作系统用户和数据库用户；审计内容应包括重要用户行为、系统资源的特别使用和重要系统命令的使用等系统内重要的平安相关大事;审计记录应包括大事的日期、时间、类型、主体标识、客体标识和结果等;应爱护审计记录，避开受到未预期的删除、修改或掩盖等。３.２.３．4入侵防范操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁准时得到更新。3.2.3．5恶意代码防范应安装防恶意代码软件,并准时更新防恶意代码软件版本和恶意代码库;应支持防恶意代码软件的统一管理。3.２.3.6资源把握应通过设定终端接入方式、网络地址范围等条件限制终端登录；应依据平安策略设置登录终端的操作超时锁定;应限制单个用户对系统资源的最大或最小使用限度。3.2.4应用平安３.2．４.１身份鉴别应供应专用的登录把握模块对登录用户进行身份标识和鉴别;应供应用户身份标识唯一和鉴别信息简单度检查功能,保证应用系统中不存在重复用户身份标识，身份鉴别信息不易被冒用;应供应登录失败处理功能,可实行结束会话、限制非法登录次数和自动退出等措施;应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息简单度检查以及登录失败处理功能,并依据平安策略配置相关参数。３.２.4.2访问把握应供应访问把握功能，依据平安策略把握用户对文件、数据库表等客体的访问；访问把握的掩盖范围应包括与资源访问相关的主体、客体及它们之间的操作;应由授权主体配置访问把握策略,并严格限制默认帐户的访问权限；应授予不同帐户为完成各自担当任务所需的最小权限，并在它们之间形成相互制约的关系。3．2.４.3平安审计应供应掩盖到每个用户的平安审计功能，对应用系统重要平安大事进行审计;应保证无法删除、修改或掩盖审计记录；审计记录的内容至少应包括大事日期、时间、发起者信息、类型、描述和结果等。3.２.4.４通信完整性应接受校验码技术保证通信过程中数据的完整性。３.2.４.5通信保密性在通信双方建立连接之前，应用系统应利用密码技术进行会话初始化验证;应对通信过程中的敏感信息字段进行加密。３.２．4.6软件容错应供应数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求;在故障发生时，应用系统应能够连续供应一部分功能,确保能够实施必要的措施。3.2．４.７资源把握当应用系统的通信双方中的一方在一段时间内未作任何响应,另一方应能够自动结束会话;应能够对应用系统的最大并发会话连接数进行限制；应能够对单个帐户的多重并发会话进行限制。3.2.5数据平安及备份恢复3．2．5．１数据完整性应能够检测到鉴别信息和重要业务数据在传输过程中完整性受到破坏。系统供应完整的日志功能,对全部的业务数据,进行日志记录,以备后查。3．2．5.2数据保密性应接受加密或其他爱护措施实现鉴别信息的存储保密性。系统使用IC卡存储业务数据时,接受了ＤＥＳ加密算法，对关键数据进行加密。3．２.５.３备份和恢复a）接受了Ｒｏse公司供应的、基于共享磁盘阵列的高可用ＲｏseHA解决方案,为用户供应了具有单点故障容错力量的系统平台。b)接受ＭＳTＰ的组网方式,A、B、Ｃ三区接受MSTP光纤电路（ＲJ４5接口），通过中国电信ＭSＴＰ网络,实现了A、B、Ｃ三个区的互联通讯、三个区的网络热备以及A区通过互联网接入与成都海关总部互访,组成数据通信传输通信专网。ｃ)制定具体的数据库备份与灾难恢复策略,并通过模拟故障对每种可能的状况进行严格测试，保证了数据的高可用性。３．２.６综合布线系统３.2．6.１概述综合布线系统范围主要包括联检大楼、闸口及闸口办公区、查验平台及查验仓库及试验楼等。本综合布线系统涉及海关、检验检疫和用户三方的综合布线系统。3.２.6.2综合布线系统设计为保证系统先进性、开放性和扩展性,实现语音、多媒体、数据等应用的承载力量，综合布线系统接受六类结构化布线系统,接受星型拓扑结构,主干网络接受千兆以太网络,实现百兆接入、千兆上行的物理链路。综合布线系统由工作区，水平区，垂直区,设备管理及楼群子系统组成，各部分均接受标准的模块化构件,以利于将来的升级、扩展。工作区子系统工作区子系统由设在各工作区的信息插座、跳线（连接信息插座至终端设备之间的线缆)构成。信息插座接受双孔面板及相协作的六类信息模块。水平干线子系统水平子系统由各大楼内楼层配线间至各个工作区之间的电缆和多模水平光缆构成。水平干线子系统接受六类阻燃双绞线电缆。本系统接受六类双绞线,用于全部的数据点和语音点,实现信息点可完全互换。垂直主干子系统垂直主干子系统接受单模光缆，供应全双工传输通道,具有极大的传输带宽和极高的传输质量。管理子系统管理子系统由各层分设的楼层配线系统及主机房中的主配线系统（设备间子系统)构成，负责楼层内及信息通道的统一管理。主要由跳线面板、跳线管理器、跳线、光缆端接面板、机柜(或机架)等组成。管理子系统将电话模块、电脑模块和网络模块安装在机柜中,对线缆进行统一布局和管理。系统接受１９”标准机柜，高42U,顶部安装有2-4个风扇,背后安装电源线槽,正面安装玻璃门,后背板和侧板均可拆卸。机柜内全部的信息点符合规定的编号规章和颜色规章,以便利用户的使用。主配线间(BD)为实现高牢靠性,本系统将主配线架全部安装在机柜内。楼层配线间（FD)在各楼层配线架中，与水平双绞线连接的用户区接受六类配线架，每个信息点完全机敏用于语音或数据。各配线间设置光纤配线架,用来连接多芯光缆,安装在19”标准机柜内,用于各种计算机网络设备。通过更换跳线实现与其他网络设备的连接。３．２.６.3海关综合布线系统海关网络依据海关总署“五网”独立要求,分别设置管理网、运行网、电子口岸专网、互联网和语音网。海关网络掩盖范围包括:闸口及闸口办公区、查验平台及查验仓库及联检大楼海关办公场地等。海关网络接受三层结构设计，由核心层、汇聚层、接入层组成。核心层设置在海关信息中心机房,汇聚层设置在海关信息中心机房、查验平台机房，接入层设置在卡口。海关网络应与成都海关的网络无缝地实现互联互通。在海关网络核心层选择１台高性能交换机作为系统主交换机。主交换机与系统服务器连接接受10０0M连接。3.３产品选型3.３．１选型原则在本方案的技术选择和设备选型首先是基于对本项目的理解和分析，并特殊考虑到满足将来5到１0年的业务进展要求做出的，并遵循以下原则得出的:有用性接受成熟、稳定的技术，满足业务的实际要求;先进性依据当前业务要求,考虑今后5到１０年的业务进展需要,在设计上留有余量;牢靠性接受目前国际上商用SAＮ交换机最先进且成熟牢靠的软硬件技术;选用牢靠性高的产品与技术，充分考虑到在系统消灭特别时的应变与容错力量,从而确保整个系统的高牢靠性。扩展性在系统结构、产品系列和处理性能等各方面具有良好的扩充,升级力量,完全能满足将来5到1０年的业务进展要求；3.3.２产品配置清单序号名称规章型号单位数量1数据服务器1.名称:数据服务器台22．技术参数:HＰDL５8０G7Ｅ75202P１6GBSvr(配4＊１４6G双端口热插拔硬盘，3年保修现场金牌服务）2应用服务器1．名称:应用服务器台１2.技术参数:HＰDL38８G7Ｅ55０６EｎtryＣＮSvr(配内置光驱，2＊146Ｇ双端口热插拔硬盘,１9"液晶显示器,３年保修现场金牌服务)３操作系统（服务器)Wｉnｄｏｗsｓｅｒvｅr20０3cｏeｍ企业版１.名称:操作系统(服务器)套3２.规格型号:Wｉndoｗｓseｒver2００3ｃｏem企业版４数据库软件SQLServer2008工作组版1.名称:数据库软件套2２.规格型号：SQLSｅｒver20０8工作组版5网络交换机LS－５12０－２8Ｐ-SＩ－H３１.名称:网络交换机台132．技术参数:LＳ-５１20－28P-ＳI-H3,配光模块６网络交换机LＳ－55００-28C-EI1．名称:网络交换机台２02.技术参数:ＬS－５５00-2８C-ＥI，配光模块、堆叠模块、堆叠线7网络交换机LＳ－5500-２8Ｆ－ＥI－ＡＣ１.名称:网络交换机台７２.技术参数：ＬＳ-55００-28Ｆ-EI-AＣ，配8个光模块8操作系统(客户机)WinｄoｗsＸPPCOEＭ１.名称:操作系统(客户机)套12．规格型号:ＷindoｗsＸPPCOEM９磁盘阵列1.名称:磁盘阵列台1２.规格型号:MＳA２3００SＡG２，含磁盘柜，支持12槽,配６x300GＳＡS热拔插硬盘１０双机热备份软件1.名称：双机热备份软件套12．规格型号:ＲＯＳＥFOＲWIＮＤＯＷS８．5版本11电源防雷器１．名称:电源防雷器个1２2.型号:ＺFＤF-22０3.参数：标称通流容量：≥20ＫA最大通流量:≥5０ＫA残压:<２０0V响应时间：＜25ns12接地铜心线BＶR－25mm21．引下线材质、规格、技术要求(引下形式)：ＢVR-２５mm２铜芯线,均压环引至联合接地体ｍ９6.82．部位：主龙骨接地线、配电柜接地线１３接地铜心线BＶＲ－５０mm2１．引下线材质、规格、技术要求（引下形式）:BVR－5０mm2铜芯线,均压环引至联合接地体m37．８2．部位:主龙骨接地线、配电柜接地线14抗静电地板接地跨线1.名称：抗静电地板接地跨线BVＲ6处１0８15等电位接地铜排1.均压环材质、规格、技术要求:30*３铜排,地板下安装,做等电位均压环米９01６防雷器B级ZGＧ12０－３8５1.名称、型号：防雷器B级ZＧG１２０－3８5组12．电压等级：400V１7防雷器C级ZGG8０－３８5１.名称、型号:防雷器Ｃ级ZGG80-385组4２.电压等级：４00V1８防雷器Ｄ级ＺＧG4０-３85１.名称、型号：防雷器C级ZＧG４0-385组12.电压等级:４００V１９输入输出模块1.名称：输入输出模块JＦ-M0２个1２.输出形式：单输出20接线端子箱１.名称:接线端子箱台12.型号:JＰＨ90１2１感烟探测器1.名称:感烟探测器JTY-GD／ＪF-Ｄ11只８2.其它:符合设计及规范要求2２感温探测器1．名称:感温探测器JTW-BCD/JＦ-Ｄ１２只82．其它:符合设计及规范要求２３手动报警按扭１.名称:手动报警按扭J-SAＰ-Ｍ／ＪＦ-D13只３２．其它:符合设计及规范要求24声光报警装置1.名称:声光报警装置JBU－ＶM137２B台３２.其它:符合设计及规范要求2５报警把握器1.名称：报警把握器ＪＢ-ＱBZ－JF99８Ｘ台１2.其它：符合设计及规范要求２6把握器电源１.名称:把握器电源24V/１0A台12．其它:符合设计及规范要求２7气体灭火器1.名称:气体灭火器套４２.规格型号：2*4ＫG含箱体ＣO228自动报警系统装置调试１．名称:自动报警系统装置调试系统１2．点数:≤1２8点2９电源配电柜1.名称:电源配电柜台１2.规格型号：１路市电入、1路UＰＳ入、5路市电出、１0路UＰS出，含三相电源防雷30配电柜1．名称:配电柜台22.规格型号:1路市电入、1路UPＳ入、5路市电出、１5路ＵPS出,含三相电源防雷３1柜式空调5Ｐ1．名称:柜式空调台32.规格型号:5P32ＵPS电源30KVＡ1．名称：ＵPS电源台２2.规格类型：3０KVＡ,1小时,输入为三相,输出为三相,含松下电池、电池柜、空开、铜芯电线,9355-３0-N-03３UPS电源柜１５KVA１.名称:ＵPS电源柜台12.类型:ＥDＸ１5KＸＬ3１(15ＫＶA、1小时输入为三相、输出为单相、含电池及电池柜）34防火墙深信服NＧAF台13.３.3产品参数3.3.３．１数据库服务器HPＰroLiａntDL５80G基本参数产品类型:企业级产品类别：机架式产品结构:4U处理器CPU类型：Inteｌ至强7500CＰU型号:ＸeoｎE７520CPＵ频率:１.866GＨz智能加速主频：1.8６６GHz标配CＰU数量：4颗最大CPＵ数量:4颗制程工艺:4５nm三级缓存:１8MＢ总线规格:ＱPＩ4.8ＧT/sCPU核心:四核CPU线程数:八线程主板扩展槽:11个内存内存类型：DDR3内存容量:16GＢ内存插槽数量:64最大内存容量:2ＴB存储硬盘接口类型:SAS标配硬盘容量:900GB最大硬盘容量：4ＴB硬盘描述:3块3００GBSAＳ硬盘内部硬盘架数:最大支持8块ＳAS／SＡＴＡ/SＳＤ硬盘热插拔盘位:支持热插拔RAＩＤ模式：１个智能阵列P４10i/５12MＢＦＢWＣ光驱:薄型SATＡＤVDRＯＭ网络网络把握器:１GbENC37５i四端口网卡管理及其他系统管理：ＨＰInsｉghtContｒｏl套件24ｘ7支持ﻫ带iＬO高级软件包的IｎsｉｇhｔＣoｎtrol（iLＯ３）电源性能电源数量:4个电源功率:1２00Ｗ全新的HPProLiａntＤL５8０G7服务器适用于大部分应用，是数据密集且需要向上扩展的工作负载的抱负平台。HPProＬiａｎｔ服务器发挥最佳应用程序运行时间和性能为客户带来更多的效益包括:HＰＰroLiaｎｔDL５80G7服务器利用HPPrｏLiａnｔＤL58０Ｇ7服务器可扩展的４核性能和类似IｎtelMachineＣhｅckAｒchｉtｅcｔｕre(MＣA）复原的耐用平安功能，增进系统牢靠性。与前一代8插槽服务器相比,ＨPＰroLiantＤL5８０GHPProLiaｎtｘ８６服务器带来的卓越性能包括：适用于HＰPrｏLｉanｔDＬ系列G７服务器的HPIｎｔelligeｎtPｏwerDiscoｖery,在服务器和第三方设施管理之间建立自动化的能源感知网络,排解过度配置能源容量的问题。通过ＨＰＩｎsiｇhtＣoｎtrol供应的IntegratedLigｈts-ＯuｔＡｄvａnced（ｉLO3),加速远程服务器管理任务作业。ｉLO３远程把握面板的执行速度比之前版本快8倍,提高管理员的管理效率。ＨＰInsｉghtControl配备动态用电把握技术后，可以正确监督和把握每台服务器所使用的能源，加强使用数据中心、重新收回过度配置的能源，并增加数据中心３倍的容量。特殊为HPＰrｏLiaｎｔ而扩展的HPMiｓsｉｏｎCriｔicalＳerviｃeｓ,将宕机时间降至最短,并通过增加的应用程序可用性,降低客户必需不断支付的运营成本。3．3．３．2应用服务器ＰroＬiａｎtＤL38８G7基本参数产品类别：机架式产品结构：2Ｕ处理器CPU类型:Ｉntｅl至强5600CPU型号:ＸeonＥ5649ＣPＵ频率：2.５3GＨz智能加速主频：2.9３GHz标配CPU数量：1颗最大CＰU数量：２颗制程工艺:32ｎm三级缓存:12MB总线规格:ＱPI5.８６ＧT/sCＰＵ核心:六核CＰU线程数:12线程主板扩展槽:6内存内存类型:ＤＤR3内存容量:2GＢ内存描述:ＰＣ3－106０0RRDＩMＭＤDR３或PC３-106０0EＵDＩMMＤＤＲ３内存插槽数量:18最大内存容量：192GB存储硬盘接口类型:SＡTＡ/SＡS标配硬盘容量:标配不供应最大硬盘容量:８TＢ内部硬盘架数:最大支持8块SFFSAＴＡ／ＳAＳ硬盘热插拔盘位:支持热插拔RAIＤ模式：Ｐ4１0i把握器网络网络把握器:两个ＮＣ３82ｉ双端口千兆网卡管理及其他系统管理：iLO3电源性能电源功率：46０Ｗ外观特征产品尺寸:85.９×660.7×445.４mm产品重量:最大27.2ｋｇ适用环境工作温度:１0℃工作湿度：１０％-90%储存温度:-3０℃储存湿度:5%－９5%惠普PrｏLｉaｎtDL３88Ｇ７(６1665９－AＡ1)机架式服务器一款品质高、价位合理的高信价比2U机架式服务器。这款服务器设置有格外精彩的内部设计,以Inｔeｌ至强5600系列处理器作为核心保障，协作大容量的内存和硬盘存储,增加机身的牢靠性,更有效的助推企业腾飞的进程。惠普ＰroLiaｎｔDＬ38８Ｇ７（6１6659-AA1)图片惠普ProLiantＤＬ3８8G７(616659-ＡＡ1)机架式服务器配置Inteｌ至强5６00系列ＸeoｎE56２０型号处理器。这款四核八线程的处理核心接受3２nｍ制程工艺，频率为２.４GHz,通过智能加速主频,使处理器的频率提升到2．6６6ＧＨz,协作12ＭB的三级缓存，增加了机体应对高强度工作的牢靠性。惠普ＰrｏLianｔDＬ３88Ｇ７（61６659-AＡ１)机架式服务器内置有2ＧB的DDR３类型内存,智能阵列P410ｉ/零缓存，充分保障了机体运行的流畅与数据交换的牢靠。惠普ProＬiaｎｔDL3８８Ｇ７(616６59-AＡ１）机架式服务器配置有2个ＮC3８2ｉ双端口千兆网卡，并协作iLＯ3管理程序,增加机体整体可控程度。惠普ProLiａｎｔＤL3８8Ｇ7（61665９-AA1）机架式服务器的主板上最大设计有6个扩展槽,并配置有１8个内存插槽和多个硬盘插槽,使最大内存容量可以达到１92GB,最大硬盘容量可达８TB,充分保障运转的流畅程度。惠普ＰroLiａｎｔDL3８8Ｇ７(6166５９－AA1）机架式服务器是一款性价比格外高的2Ｕ产品。这款机架式服务器接受Ｉｎteｌ至强５600系列ＸeoｎE5６２0型号处理核心,协作２个NC38２i双端口千兆网卡和ｉＬO3管理程序，充分保障了机体的牢靠性和可控性,更加便于使用者操作。3．３．３.３磁盘阵列HPMSA2３００产品型号序列号描述数量ＭSA2３０0双把握器预配置AＪ79７AHPＭＳＡ2３２４ｆc双把握器磁盘阵列:ﻫ双把握器，每个把握器1GB缓存；每个把握器有2个４ＧbFｉbreＣhannｅｌ端口；支持RAIＤ０,1，３,５，６，10，50；最大支持6４个主机;带２4颗２.5寸硬盘插槽;冗余电源1AJ79５ＡＨPMSA231２fｃ双把握器磁盘阵列：ﻫ每个把握器1GＢ缓存；每个把握器有2个４GbFｉbｒeChannｅｌ端口;支持RAID0，1，３,5,6,1０,50；最大支持64个主机；带12颗3.5寸硬盘插槽;冗余电源1ＡＪ8０5AHPMSA231２ｓa双把握器磁盘阵列:ﻫ冗余把握器，带１ＧＢ缓存;每个把握器有４个３GｂSAS接口;支持RAＩD0，1，3，5，6,10,50;直连最大支持８个主机,通过SＡSBLSwitｃｈ最大支持到６４个主机;带１2颗硬盘插槽;冗余电源1ＡＪ8０7AＨPＳｔｏraｇeＷorｋs２３24ｓａ双把握器磁盘阵列:ﻫ冗余把握器，带1GB缓存；每个把握器有4个3GbＳAS接口;支持ＲＡID０,1，3,5，６，１０，50;直连最大支持8个主机，通过SASBＬSｗitｃh最大支持到64个主机;带24颗2.5寸硬盘插槽;冗余电源１ＡJ８00ＡＨPMSＡ2３12iＬＦF双把握器磁盘阵列:ﻫ冗余把握器,每个把握器1ＧB缓存;每个把握器有2个１GbｉＳCSＩ端口;支持RAＩＤ０，１，３，5,６，1０,50;最大支持３２个主机;带12颗硬盘插槽;冗余电源１AJ956ＡHPＭSA2300fｃSAＮSｔaｒterHAＵpgｒadeKiｔﻫ包括额外一个单独把握器，1×8端口8GbＳANＳwitｃh，2×8ＧbHBAs,SFP和线缆，可以给AＪ954Ａ或ＡＪ９55A升级1磁盘笼及可添加把握器选一个LFF或SFＦ磁盘笼，选择一个或两个FC/ＳＡ/ｉSCSI把握器磁盘笼AＪ9４9AHPＭＳA２3２４SFF2．５“磁盘存储机箱

２个阵列把握器槽位,带24颗2.5寸硬盘插槽,冗余电源1AJ948ＡＨＰMSA2３12LFＦ３．5”磁盘存储机箱ﻫ２个阵列把握器槽位,带12颗3.5寸硬盘插槽，冗余电源1DC磁盘笼ＡJ９5０AHPＭSA20123.５“直流电源存储机箱1AＪ９51AＨPＭSＡ20２42.5”直流电源存储机箱1把握器AＪ798ＡＨP２300fc磁盘存储把握器，1GB缓存；每个把握器有2个4ＧbFiｂｒeCｈanneｌ端口;最大支持6４个主机1AJ8０8ＡHＰ２3００ｓａG2MｏdｕlaｒSmartArrayConｔrollerﻫ带1ＧB缓存;每个把握器有4个3GbＳＡS接口；支持RAID0，１,3,５，6,1０,５0;直连最大支持8个主机,通过SASＢＬSｗitｃh最大支持到６4个主机1ＡＪ８0３ＡＨPMSＡ２300iＭｏdulａrＳｍａrtＡｒｒayＣonｔroｌlｅrﻫ１ＧB缓存；每个把握器有2个1GbｉＳＣSI端口,最大支持３２个主机;1随着信息化时代的到来,信息的数量化让我们应对起来手忙脚乱,人们迫切的需要大容量的存储设备来存放这些信息,其中磁盘阵列就是这个家族中很重要的一员,它利用数组方式来作磁盘组，协作数据分散排列的设计，提升数据的平安性。惠普StorageWorksＭＳA2300FC（AJ７98Ａ)惠普StoragｅＷorksMＳＡ２30０FC(AJ79８A）磁盘阵列接受2U机架结构,阵列容量为16TB。内置三种硬盘接口，分别为SＡＳ、SATＡＩI和SＣSI,可满足日常需要。RＡＩD的接受为存储系统（或者服务器的内置存储)带来巨大利益,其中提高传输速率和供应容错功能是最大的优点。另一方面由于同时使用多个磁盘，提高了传输速率。惠普StｏrageWｏrｋsMSA2３00FＣ(AＪ798A）磁盘阵列支持的RAID形式为０,１，3,5,6,1０,50。惠普SｔｏrａgeWｏrksＭSＡ2３０0FＣ（AＪ7９８A)磁盘阵列支持MicｒｏｓｏftWiｎｄowsSeｒvｅｒ２０08IA３2,ｘ６4,IA64(Ｓｔanｄard,Eｎterｐrｉse,Daｔaｃentｅｒ),MicｒｏsofｔWindows2００3ａnd20０3R2IＡ３2,ｘ6４,IA64和ＲedＨatLinux(3２／６4)等多种操作系统。惠普StorageＷｏｒkｓMSA２300FC(AＪ７9８Ａ)磁盘阵列具有很高的稳定性,它平均无故障时间可以达到1５0０000小时。３.３.３.4骨干网交换机Ｓ5１2０-２8P-ＳＩＨ３CS５1２0－SI系列以太网交换机是Ｈ３Ｃ技术有限公司自主开发的全千兆二层以太网交换机,广泛应用于企业网和园区网的接入层。供应机敏的全千兆以太网端口的接入密度、丰富的业务特性、统一的集群配置,为用户供应高性能、低成本、可网管的千兆到桌面的解决方案。Ｈ3CＳ5１20-SI系列以太网交换机目前包含如下型号:S５１20-20P-ＳＩ:１６个１0／100/100０Baｓe－T以太网端口,4个１000Baｓｅ-XSFP千兆以太网端口;S51２０－２8P－SI:24个１０/100/100０Base－T以太网端口,4个10００Bａse-XSFP千兆以太网端口;Ｓ５120-52P－ＳＩ：４８个１０/1０0／10０0Ｂase-Ｔ以太网端口,４个1０00Bａｓｅ-ＸＳＦP千兆以太网端口。机敏的千兆接入和集群管理Ｈ3CS5120－ＳI系列全千兆以太网交换机供应机敏的１6/２４/４8个1０/10０／1０００M自适应电口接入；并且支持非复用的SFP插槽,充分考虑用户的带宽升级的实际状况,既可以支持千兆光模块，也可以支持百兆光模块,爱护用户投资。H３CS５１2０-SI系列硬件支持最大104Gbps交换容量，保证全部端口二层线速交换。H３CS5１２0－ＳI系列交换机接受专利技术允许交换机利用专用互联电缆实现多达1６台设备的堆叠,支持不同端口设备的混合堆叠。具有即插即用、单一IP管理。同时大大降低系统扩展的成本,爱护了用户投资。全面的接入平安策略H3CＳ5１20-SＩ系列交换机支持特有的ＡRP入侵检测功能，可有效防止黑客或攻击者通过AＲP报文实施网络中渐渐盛行的“中间人”攻击，对不符合ＤHＣＰSnoｏｐing动态绑定表或手工配置的静态绑定表的非法ARP哄骗报文直接丢弃。同时支持ＩＰSoｕrｃeCheck特性，防止包括MＡＣ哄骗、IＰ哄骗、MAＣ/ＩP哄骗在内的非法地址仿冒,以及大量地址仿冒带来的DｏS攻击。另外,利用DＨCＰSnooｐｉng的信任端口特性还可以有效杜绝私设DHCP服务器，保证ＤＨCP环境的真实性和全都性。Ｈ3CS512０-SI系列交换机支持端口平安特性族可以有效防范基于MAC地址的攻击。可以实现基于MＡＣ地址允许／限制流量，或者设定每个端口允许的MAＣ地址的最大数量，使得某个特定端口上的ＭＡＣ地址可以由管理员静态配置，或者由交换机动态学习。H3CＳ5120-ＳI系列交换机供应802．１X和集中MＡC认证方式对接入的用户进行认证，允许合法用户通过,对于非法用户则拒绝其上网。同时还支持客户端软件版本检测、ＧｕeｓtVLＡN等功能,和CＡＭS服务器协作还可以实现代理检测、双网卡检测等功能。通过这些功能的应用可以对用户的合法性进行充分的检查和把握,最大程度的削减非法用户对网络平安的危害。增加的网络管理和维护的易用性H3ＣS5１20－SI系列交换机支持通过FTＰ、TＦＴＰ实现设备的远程升级,支持SNMＰv１／v２/v3,可支持OｐｅnView等通用网管平台,以及iMC智能管理中心。支持CＬI命令行,Web网管，TELNET,HGMP集群管理,使设备管理更便利。并且支持ＳSH2．0等加密方式，使得管理更加平安。H３CS５１2０-SI系列交换机支持VCT(ＶiｒtｕａlCaｂleTｅst)电缆检测功能,便于快速定位网络故障点。支持特性S5120－28P-SI外形尺寸（长×宽×高）（单位:mｍ)440×１６０×4３．6重量＜3kｇ管理端口１个Ｃｏnｓｏle口业务端口描述24个1０/10０/１０００Basｅ－T以太网端口,4个１０00Baｓe-XSFP千兆以太网端口交换容量(全双工)56Ｇbps包转发率(整机）42Mpps端口聚合支持ＬＡCP链路聚合端口支持IEEE8０2.3x流控(全双工)支持基于端口速率百分比的风暴抑制支持基于端口速率百分比、pｐｓ和bｐs的风暴抑制VＬＡN支持基于端口的VＬAN（４K个)DＨCP支持DＨCＰＣｌｉenｔ支持DＨＣＰSｎooｐｉng支持DHCPSnｏoｐingOｐtｉoｎ８2组播支持IＧMPSnoｏpiｎgv1／ｖ２／v3支持组播VLＡＮ生成树支持STP/RSＴP/MＳＴP协议ACＬ支持基于源MAC地址、目的MＡＣ地址、源ＩP地址、目的IP地址、ＴCP/UＤＰ端口号、协议类型、ＶLＡN等ACL支持基于时间段的ACL支持基于全局、VＬＡＮ、端口（组)下发AＣＬＱoS支持IEEE８02.1p/DSＣＰ优先级支持优先级映射支持端口信任模式每端口支持4个队列支持端口队列调度(ＳP／ＷＲＲ／SP+WＲR)镜像支持端口镜像平安特性支持用户分级管理和口令爱护支持Ｒadiｕs认证支持SSH2．0支持８０2.１Ｘ,集中式MAＣ地址认证支持GueｓtVＬAN支持端口隔离支持端口平安支持MＡＣ地址学习数目限制支持ＩP源地址爱护支持ARＰ入侵检测功能支持IP+MＡC+端口的绑定管理与维护支持XＭoｄeｍ/FＴＰ/ＴFＴP加载升级支持命令行接口（CLI)，Ｔelneｔ，Ｃｏnsoｌｅ口进行配置支持ＳNMＰ,WEB网管支持ＲMON(ＲｅｍoteMｏnｉtoｒｉnｇ)支持iＭＣ智能管理中心支持系统日志,分级告警,调试信息输出支持ＨGＭPｖ2支持Ｍoｄeｍ远端拨号支持NTＰ支持Ｐｉng,Tracerｔ支持Ｔelneｔ远程维护支持VCT(ＶｉrｔｕａlＣableTｅst)电缆检测功能支持Loopｂａcｋ-deteｃtioｎ端口环回检测输入电压额定电压范围:１００Ｖ~２４0VAC．;５0/6０Ｈz最大电压范围:9０V~26４VAC．；4７/63Ｈｚ功耗(满负荷时)３1.5Ｗ工作环境温度0℃～工作环境相对湿度(非凝露)１０％~9０%3.3.３．5核心网交换机ＬS-５500－2８C-ＥIH3CＳ5500－EＩ系列交换机是H3Ｃ公司最新开发的增加型IＰv6强三层万兆以太网交换机产品，具备业界盒式交换机最先进的硬件处理力量和最丰富的业务特性。支持最多4个万兆扩展接口;支持IPv4/ＩPv6硬件双栈及线速转发,使客户能够从容应对即将带来的IPｖ6时代;除此以外,其精彩的平安性,牢靠性和多业务支持力量使其成为大型企业网络和园区网的汇聚，中小企业网核心、以及城域网边缘设备的第一选择。随着用户端速度不断提高,用户最终会使集群千兆链路达到饱和，而能够拥有多条集群１0GE链路将是我们的将来进展方向。Ｈ3CS5500-ＥI系列交换机支持两个扩展槽位,每个槽位支持单端口或双端口的10GE扩展模块，在实现千兆汇聚或接入时保留进一步支持1０GＥ的扩展力量,尽力爱护用户投资。ＩPｖ4到ＩＰv６的演化是以太网进展的大势所趋，网络设备对于IＰｖ6的支持不仅是简洁的可用就行,而是需要达到商用的标准，S5５00-EI已经通过了国际最权威的IPv6Rｅadｙ其次阶段认证,而且通过了信息产业部严格的IＰv６入网测试。这个系列产品是基于硬件的IＰv４/ＩＰv6双栈平台，支持丰富的ＩPv4和IPｖ６三层路由协议、组播协议和策略路由机制,实现ＩPv4到IPｖ６的平滑升级。完备的平安把握策略H３ＣS5500－ＥI系列交换机支持EAD(端点准入防备）功能,协作后台系统可以将终端防病毒、补丁修复等终端平安措施与网络接入把握、访问权限把握等网络平安措施整合为一个联动的平安体系,通过对网络接入终端的检查、隔离、修复、管理和监控,使整个网络变被动防备为主动防备、变单点防备为全面防备、变分散管理为集中策略管理,提升了网络对病毒、蠕虫等新兴平安威逼的整体防备力量。Ｈ3ＣＳ550０-ＥI交换机支持集中式MＡC地址认证、8０２．1x认证、POＲＴＡL认证,支持用户帐号、ＩＰ、ＭＡC、VLAＮ、端口等用户标识元素的动态或静态绑定,同时实现用户策略(VLAN、QｏS、ACＬ）的动态下发；支持协作Ｈ３Ｃ公司的CAＭS系统对在线用户进行实时的管理,准时的诊断和瓦解网络非法行为。Ｈ３ＣＳ55００-EI系列交换机供应增加的ＡCL把握规律,支持超大容量的入端口和出端口ACL,并且支持基于VLAN的ACＬ下发，在简化用户配置过程的同时，避开了ＡCL资源的铺张。另外，Ｓ5５00-EＩ系列还将支持单播反向路径查找技术(uＲＰF),原理是当设备的一个接口上收到一个数据包时,会反向查找路径来验证是否存在从该接收接口到包中制定的源地址之间的路由,即验证了其真实性,假如不存在就将数据包删除,这样我们就可以有效杜绝网络中日益泛滥的源地址哄骗。多重牢靠性爱护S5５００-ＥI系列交换机还具备设备级和链路级的多重牢靠性爱护。全部机型都支持内置的双冗余电源,其中S5500-2８F-EI支持可插拔的冗余电源模块,也就是说我们可以依据实际环境的需要机敏配置沟通或直流电源模块，此外整机还支持电源和风扇的故障检测及告警,可以依据温度的变化自动调整风扇的转速,这些设计使我们这款盒式交换机具备了机柜式交换机的高牢靠性。除了设备级牢靠性以外，还支持丰富的链路牢靠性以外，还支持丰富的链路牢靠性技术。当网络上承载多业务、大流量的时候也不影响网络的收敛时间，保证业务的正常开展。多业务支持力量支持PoＥ(PowerｏｖerＥｔｈｅｒnｅt)技术,通过以太网对所连接的设备(如IPPｈｏｎｅ,ＷirｅｌｅｓｓAP等)进行远程供电,从而使得不必在使用现场为设备部署单独的电源系统，能够极大地削减部署终端设备的布线和管理成本。支持ＶoｉceVＬＡＮ技术,交换机通过识别端口的语音流，将对应的接入端口加入VoｉceＶLAＮ（专用语音ＶLAN）中,为语音流量供应特地通道，并自动下发优先级规章保证语音流的优先传输来保证通话质量。同时通过设置VｏiｃeＶLAＮ平安特性,只允许语音流量通过,可以有效防止突发数据流量对ＶoicｅＶLAN内的语音流量的冲击。H３ＣS5500-ＥI系列交换机支持ＭＣＥ功能,可以有效解决多VＰN网络带来的用户数据平安与网络成本之间的冲突,它使用ＣＥ设备本身的VLAN接口编号与网络内的VPＮ进行绑定，并为每个ＶＰN创建和维护独立的路由转发表(Multi－VＲＦ)。这样不但能够隔离私网内不同ＶPＮ的报文转发路径，而且通过与ＰE间的协作,也能够将每个ＶＰＮ的路由正确发布至对端PE,保证ＶPＮ报文在公网内的传输。丰富的QoＳ策略H3CS５５00-EＩ系列交换机支持支持L2（Layer2)~L４(Layeｒ４)包过滤功能,供应基于源ＭAＣ地址、目的MAC地址、源IP地址、目的ＩP地址、ＴCP/ＵDP端口号、协议类型、ＶLAＮ的流分类。供应机敏的对列调度算法,可以同时基于端口和队列进行设置，支持ＳP（StrｉcｔPrｉority)、ＷRR（WeightedＲounｄＲｏｂin)、SＰ+WRＲ三种模式。支持CAR（ＣoｍmiｔｔｅｄAｃcessRaｔe)功能，粒度最小达６４Kｂｐｓ。支持出、入两个方向的端口镜像，用于对指定端口上的报文进行监控,将端口上的数据包复制到监控端口,以进行网络检测和故障排解。精彩的管理性Ｈ3CＳ5500－ＥＩ系列交换机支持SＮＭPv1/v2/ｖ3(ＳimpleNetworkManaｇｅmeｎtPｒotocoｌ),可支持OｐeｎView等通用网管平台以及iMＣ智能管理中心。支持CLＩ命令行,Weｂ网管，ＴELNET,HＧＭP,使设备管理更便利，并且支持SSＨ２．0等加密方式,使得管理更加平安H3ＣＳ5500－EI系列交换机支持基于ＭAC地址划分ＶＬAN,很好的解决了移动办公的智能机敏管理;结合特有的基于全局和VLAＮ下发AＣL策略,在简化用户配置的同时,也大幅节省了硬件资源。该系列交换机还支持sＦｌｏｗ功能,可以对出入方向的报文按比例随机抽样,机敏实现报文采集。支持特性Ｓ５５０0－２8C-EI交换容量（全双工)１９2Gbｐs包转发率(整机)95．2Ｍpps外形尺寸（长×宽×高）（单位:mm)４40×30０×４3.6重量４kg管理端口１个Conｓｏle口业务端口描述24个１0／100/100０Ｂasｅ-T以太网端口4个复用的1００0Bａsｅ-X千兆SFP端口３．3.3．6双机热备份软件ROSＥFOＲWＩNDOWS８．５版本RoseHＡ双机系统的两台服务器（主机)都与磁盘阵列（共享存储)系统直接连接,用户的操作系统、应用软件和RosｅHA高可用软件分别安装在两台主机上,数据库等共享数据存放在存储系统上,两台主机之间通过私认真跳网络连接。配置好的系统主机开头工作后,RoseHＡ软件开头监控系统，通过私用网络传递的心跳信息，每台主机上的RoseHA软件都可监控另一台主机的状态。当工作主机发生故障时,心跳信息就会产生变化，这种变化可以通过私用网络被RoｓeHＡ软件捕获。当捕获到这种变化后RosｅＨA就会把握系统进行主机切换,即备份机启动和工作主机一样的应用程序接管工作主机的工作（包括供应TCＰ/IＰ网络服务、存储系统的存取等服务)并进行报警,提示管理人员对故障主机进行修理。当修理完毕后，可以依据ＲｏseHＡ的设定自动或手动再切换回来，也可以不切换,此时修理好的主机就作为备份机,双机系统连续工作。RoseHA实现容错功能的关键在于,对客户端来说主机是透亮的,当系统发生错误而进行切换时，即主机的切换在客户端看来没有变化,全部基于主机的应用都仍旧正常运行。RoｓeHA接受了虚拟IＰ地址映射技术来实现此功能。客户端通过虚拟地址和工作主机通讯，无论系统是否发生切换，虚拟地址始终指向工作主机。在进行网络服务时,RｏseＨA供应一个规律的虚拟地址,任何一个客户端需要恳求服务时只需要使用这个虚拟地址。正常运行时，虚拟地址及网络服务由主服务器供应。当主服务器消灭故障时，RoseHＡ会将虚拟地址转移到另外一台服务器的网卡上,连续供应网络服务。切换完成后,在客户端看来系统并没有消灭故障,网络服务仍旧可以使用。除ＩＰ地址外，ＨA还可以供应虚拟的计算机别名供客户端访问。对于数据库服务，当有主服务器消灭故障时,另外一台服务器就会自动接管,同时启动数据库和应用程序,使用户数据库可以正常操作。RｏseHA双机系统的两台服务器（主机)都与磁盘阵列（共享存储)系统直接连接,用户的操作系统、应用软件和RｏseHA高可用软件分别安装在两台主机的内部存储(硬盘)上，数据库等共享数据存放在存储系统上,两台主机之间通过私认真跳网络连接。系统主机开头工作后,RoseHA软件开头监控系统,通过私用网络传递的心跳信息，每台主机上的ＲoseＨＡ软件随时监控另一台主机的状态。当工作主机发生故障时,心跳信息就会产生变化，这种变化可以通过私用网络传递到备份机的RosｅHA软件。之后，RosｅＨA就会把握系统进行服务切换，备份机启动和工作主机一样的应用程序,接管工作主机的工作(包括供应ＴCＰ/IP网络服务、文件共享、数据库等服务),并进行报警提示管理人员对故障主机进行维护。当维护完毕后，RoｓeHＡ可以自动或手动地将切换回原先的工作主机。也可以选择不切换,此时修理好的主机就作为备份机,双机系统连续工作。下面是双机高可用系统的架构图:网络用户终端网络用户终端应用网络备服务器主服务器侦测网络共享磁盘阵列解决方案优点:对服务器硬件配置要求不高,可以依据应用状况接受不同型号或配置。系统切换时间短，最大程度削减业务中断的影响。切换过程对应用程序无影响,无需重新启动或登录,做到无人值守。系统效率高,系统中数据读写、管理及容错由磁盘阵列来完成。而系统服务器故障监控切换处理由HA软件来完成。双机监控依靠ＲS２３2线路或专用100/1００0M自适应网卡线路,既不占用主机ＣPU资源也不占用基础业务网络带宽,是RｏｓeＨA的特色功能,在实际的应用中得到用户的全都好评。支持丰富的应用配置,如:Oracｌe、SQLＳeｒver、Sｙbaｓe、Exchaｎｇe等。硬件可接受机架式结构,便于维护管理。RoseHA主要功能特点友好的界面RoｓｅＨA供应了友好直观的图形安装界面和监控管理界面。通过直观而又便利的ＪavaＡｐpｌｅｔ管理界面，用户可以交互式地对集群系统进行配置、监控和管理,并可以利用Apｐｌet的网络特性，通过网络对系统进行远程管理,实时地显示出主机系统及服务的状态机敏的Actｉvｅ－Ａctive模式和Active－Stａnｄby模式ＲｏｓeＨA支持Ａｃｔive-Acｔivｅ模式和Acｔiｖｅ-Ｓtａｎｄｂy模式。用户可指定每台服务器的作用(aｃｔｉｖｅoｒstａndｂｙ),指定要监控的服务和硬件部分,定义指定的服务发生故障后要实行的进一步行动（如是否重新启动该服务、允许的最大启动时间等)。支持多条心跳路径可以将网线和RS-2３2串口线作为在ＲosｅＨＡ软件的心跳路径。配置多条心跳路径可以避开系统的单点故障。自动切换当系统消灭故障时（如:系统宕机、ＨA进程/应用进程被杀掉、RＳ-23２、SＣSＩ、光纤、网络线缆断开），RoｓeHＡ将确定故障缘由,并实行相应对策,并将这些应用切换到备份服务器上。而故障服务器中未受影响的应用不会被切换,既不会受任何影响。不需要系统管理员干预。自动检测在集群系统的每一台服务器内，RosｅHA具有两个核心进程,它们相互监控，假如其中一个进程失败，另一个进程会马上进行恢复。服务器牢靠性在主服务器消灭故障（如掉电或宕机)时,另外一台服务器接管故障服务器上运行的全部的关键性应用。网络牢靠性假如服务器的网络部分发生故障,会导致客户不能连接和访问到服务器，这同样是致命的故障。假如该服务器配备了冗余的网络接口，RosｅＨA会使用它来恢复网络连接。在没有配备冗余的网络接口,或者全部的网络接口均消灭故障时，HA会将该应用切换到另外一台服务器上。切换完成后，客户在短暂的切换过程后能够连续访问所需的服务。存储牢靠性需要将应用的全部数据存储在两台服务器都能访问到的共享磁盘中。建议使用磁盘阵列来存储数据,这样可以避开单点固障,而且便于对系统的容量进行扩充。对由ＶolumeMaｎaｇｅr软件管理的磁盘阵列，ＲoｓｅHA供应了相应的处理程序,以保证磁盘阵列及数据的牢靠性。应用牢靠性在高可用性系统中可以运行多个应用。每一个应用是作为一个服务而存在的。在服务器中,当某个服务失败而其它服务正常运行时,RoｓeHA将处理这个失败的服务。在将这个服务切换到另一台服务器上时,该服务器上运行的服务也不会受到影响。对于与网络不相关的纯数据应用，只需要切换数据存储和数据处理软件。而在与网络相关的客户机/服务器应用,除了要切换数据存储和数据处理软件外,还需要切换相关的虚拟IＰ。假如期望两个服务独立地进行切换,则此两个IＰ地址不能相同。假如使用了相同的IＰ地址,在发生切换时,ＲｏｓeＨA会将全部使用该IＰ的服务都切换到另外一台服务器上去。丰富的附加功能供应不同的针对特定应用的Agent程序,使服务监控更切实际，更加有效；供应用于开发Ａgeｎt程序的应用程序界面(API），使用者可针对特定的服务编写Agｅｎｔ程序，执行与特定服务相关的状态诊断及错误恢复工作的。３.3.3.7ＳQＬServer200８Ｒ2概述MiｃrosoftＳQLSｅrver2008供应了有助于有效管理平安性功能配置、强身份验证和访问把握的平安性增加功能、功能强大的加密和密钥管理功能，以及增加型审核功能。重大的新功能使用基于策略的管理,针对企业内的数据来管理及检测不符合平安策略的状况不需修改应用程序即可使用透亮     数据加密来加密数据使用可扩展密钥管理和硬件平安性模块，利用整个企业的加密解决方案使用SＱLSｅrveｒAｕdit实现高性能的微小审核维护企业中数据的平安使用预设为平安且在部署中为平安的数据库解决方案来爱护数据的平安。１.使用自动化基于策略的管理来设定接口区使用基于策略的管理,针对企业内的服务器、数据库和数据库对象来确认符合配置策略。使用新的接口区Fａcｅt把握使用中的服务和功能,以降低暴露在平安性威逼下的机会。２.自动应用软件更新使用WinｄowsUpdaｔe自动更新ＳQLＳerveｒ２008。削减已知软件弱点所造成的威逼。把握对数据资源的访问有效管理验证和授权以及只供应访问权给需要的用户，藉此来取得数据的把握权。1．强制实行密码策略自动应用ＭicｒosofｔWｉndowsSｅrveｒ20０３(或更新版本)的密码策略,以强制实行最小密码长度、适当的字符组合以及定期变更的密码,即便使用SＱLServer登入也是。２．使用角色和Ｐｒｏｘy账户使用msdb数据库的固定数据库角色,增加对于代理程序服务的把握权使用多个Pｒoxy帐户,让当做作业步骤的SQLSeｒｖｅrInｔegrａtioｎＳervｉｃeｓ（SＳIS)封装执行更平安3．供应平安性增加型元数据访问使用名目视图来供应对于元数据的平安性增加访问，好让用户只针对他们具有访问权的对象来查看元数据4．使用执行内容来增加平安性功能使用执行内容标示模块，以便使用特定的用户身分（而不是调用的用户身分）来执行模块内的语句授与调用的用户执行模块的权限，但是针对模块内的语句使用执行内容的权限5．简化权限管理使用架构来简化及改良大型数据库的弹性。给某个架构授与权限,以便将权限授与给此架构内所包含的每一个对象，以及将来在此架构内置立的每一个对象。加密敏感数据通过内置密码编译功能及对于企业密钥管理解决方案的支持来爱护敏感数据。1．充分利用内置密码编译层次结构在SＱLSｅrｖｅｒ2００8中使用内置密码编译层次结构来创建非对称密钥、对称密钥和凭证2.以透亮     方式加密数据通过平安性增加型数据库加密密钥（ＤＥK)，以透亮     方式在数据库层次结构执行全部加密，让开发需要加密数据的应用程序简单度降低。让应用程序开发人员访问加密的数据，而不需要变更现有的应用程序。3.利用可扩展密钥管理使用企业密钥管理系统来聚合企业加密。使用硬件平安性模块,将密钥存放在不同的硬件上,好让您的数据与密钥分开。使用特地系统来简化密钥管理。4．签署程序代码模块使用密钥或凭证，将数字签名添加到程序代码模块（如存储结构和函数),然后在程序代码模块执行期间,将其他权限与此签章产生关审核数据库活动为了可说明性和符合性来审核数据库系统中的活动。1.使用SQLＳervｅrＡｕdit进行增加型审核定义审核,自动将活动记录在记录文件、Wｉｎdｏws应用程序记录文件或Ｗindｏｗｓ平安日志中。创建审核规格来推断要并入审核的服务器和数据库动作,以猎取审核的完全把握权。2．使用ＤDＬ触发程序创建自定义审核解决方案使用触发程序捕获及审核数据定义语言(DDＬ）活动。扩充触发程序来响应DDL大事和数据操作语言(DＭＬ)大事,并记录DDL大事,以改善审核及增加平安性。3.3.３．８ＷｉndoｗsServer2００３Ｒ２WindｏwsServeｒ2003Ｒ2平安性概述微软公司在ＭicrosoｆtWｉndoｗｓ２0０3Ｓeｒｖer平安性技术方面做出的创新给客户带来了全新的体验,不但可挂念客户建立马上可用的平安连接基础架构,更能挂念客户建立、部署和管理其它的平安解决方案。微软公司进行了很多工程设计上的转变,调整多项影响平安的系统默认值设定,并供应多项可以增加Ｗinｄoｗs平台平安性的新功能和新技术。Wiｎdｏwｓ２00３Seｒveｒ以平安为理念重新设计了很多组