基础运行环境建设方案

基础运行环境建设方案项目现实状况基础运行环境现实状况XXXX信息化系统将依照XXXX电子政务网络平台建设统一规划和本期工程实际需求建设。XXXX电子政务网络平台包含XXXX网络中心、京内非本院区内各所局域网、京外各所局域网，如上图所表示，院内各所经过现有光纤连入院网络中心，京内非本院区内各所和京外各所经过在互联网建立VPN加密通道方式接入院网络中心，在XXXX信息化项目标三个应用系统中，全部数据均经过XXXX局域网和互联网来传输。本期工程重点建设院网络中心关键交换区及互联网接入区域。院网络中心服务器及网络设备现实状况以下列图所表示：系统用户范围XXXX信息化系统用户大致分以下三类：1、外网用户。外网用户对系统访问主要集中在教育资源管理与远程教育服务子系统和农业科技文件资源共享子系统两个方面。因为外网用户具备不确定性，依照用户对教育资源信息和农业科技资源信息实际需求，预计项目建成后，外网用户对两个子系统日均访问量将分别达成4500人次和9000人次。外网用户访问次数约为每年500万；2、注册用户。注册用户是指注册使用XXXX信息化系统用户，依照对院人事局调研，预计本项目建成后，注册用户总计约为11000人，其中：京内注册用户约为6500人，京外注册用户约为4500人；3、京内外院所非注册用户。是指基于IP约束能够访问XXXX信息化系统用户，依照对院人事局调研，大约10000人。现有可利用设备情况XXXX院内网现在设备头用运行情况以下：项目需求分析服务器系统需求（1）数据库服务器本工程所配置关键数据区数据库服务器主要用于科研项目与科研条件管理子系统、农业科研仪器设备信息共享与服务子系统、电子政务子系统、人力资源管理子系统、综合财务管理与监督子系统、基本建设项目管理子系统运行所需完成各类数据处理工作。为合理选择数据库服务器技术指标，以下采取业界较为通用方法对数据库服务器计算能力进行初步估算。（1）计算公式依照性能需求分析并基于TPC-C经验公式对数据库服务器CPU性能要求进行初步估算。其计算公式为：tpmC=TASK×Ct×S×F/[T×(1－C)]注：TASK为每日业务统计峰值交易量；Ct为交易日集中期内交易量百分比；T为每日峰值交易时间；S为实际业务交易操作相对于TPC-C测试基准环境交易复杂程度百分比；C为主机CPU处理余量；F为系统未来5年业务量发展冗余预留。（2）参数赋值标准及主要估算方法TASK值以主要业务操作日均业务处理量为基数进行计算，依照以下公式计算：TASK=日均业务处理量×平均每次访问对应数据库事务数×业务高峰期交易量与平均交易量比值其中，数据库服务器日均业务处理量估算方法以下：数据库服务器主要需响应业务操作包含科研项目与科研条件管理、农业科研仪器设备共享、日常办公管理、人力资源管理、综合财务管理与监督、基本建设项目管理等六个方面，每个方面业务量估算以下：科研项目与科研条件管理所产生操作主要有：XXXX各直属研究所工作人员每次申报科研项目引发项目信息录入操作、院机关工作人员天天查询科研项目信息和科研条件信息查询操作。参考全院科研项目数量为1000项，假设平均每个院所天天对每个项目标管理引发5次对数据库操作，即日操作量为210000次；农业科研仪器设备共享所产生操作主要有：XXXX各直属研究所工作人员每次提交科研仪器设备租借、调用申请所引发租用需求信息录入操作，租用仪器设备所引发操作确认信息录入操作，仪器设备租借状态查询操作，以及仪器设备偿还所引发租借注销操作。假设平均每个研究所天天对农业科研仪器共享引发10次对数据库操作，即日操作量为410次；日常办公管理所产生操作主要有：XXXX机关及各直属研究所每次公文收发和日常管理所引发操作。假设平均每个研究所天天日常办公引发10次对数据库操作，即日操作量为47210次；人力资源管理所产生操作主要有：XXXX机关及各直属研究所工作人员天天对人力资源信息录入、编辑和查询操作。截止到底，XXXX科技人员数量为4721人，假设平均每个研究所天天对每个XXXX员工信息进行编辑和查询引发2次对数据库操作，即日操作量为9442次；综合财务管理与监督所产生操作主要有：XXXX机关及各直属研究所用款计划申报所引发财务信息录入。参考全院科研项目数量为1000项，假设平均每个科研项目天天财务信息申报引发10次对数据库操作，即日操作量为10000次。基本建设项目管理所产生操作主要有：XXXX机关及各直属研究所基建项目申报、审批及过程跟踪所引发基建项目信息录入和查询操作。参考全院基建项目数量为1000项，假设平均每个基建项目天天财务信息申报引发10次对数据库操作，即日操作量为10000次。依摄影关经验，其中平均每次访问对应数据库事务数约为20，业务高峰期交易量与平均交易量比值按照各类业务操作特点，按3～10倍取值，即较多日常作业取值较低，突发业务量较高取值较高；Ct值和T值分别依据不一样系统用户天天主要工作时段长度，以及主要工作时段内完成操作量占每日总操作量百分比来确定。主要工作时间长度为T（分钟），百分比即为Ct。依摄影关经验与科研管理业务特点，取T为360，Ct为经验值70%；S值依照不一样业务复杂程度进行确定，通常取10～20之间，其中通常查询、数据修改操作取值较低，包括到复合条件查询、统计分析操作取值较高；F值经过年增加率计算取得，年增加量按10%估算；C值依摄影关工程经验，并考虑未来其余业务系统加载，取75%。（3）计算结果依照以上计算方法、取值标准对本项目所建各类系统处理能力要求进行计算，得出关键数据区数据库服务器TPMC值约为80万。（2）应用服务器主要用于响应B/S架构下科研项目与科研条件管理子系统、电子政务子系统、人力资源管理子系统、综合财务管理与监督子系统、教育资源管理与远程教育服务子系统、基本建设项目管理子系统、网站集成管理子系统、农业科研仪器设备信息共享与服务子系统、科研网络协作系统等系统客户端业务逻辑处理请求，并维护应用系统与数据库之间通信。依摄影关工程经验，9类应用系统应用服务器SPECjbb值应不低于4,000bops。（2）Web服务器主要用于提供网页信息浏览服务，即专门处理HTTP请求，响应用户应用访问，并向用户浏览器发送HTML提供信息浏览。因为本项目所建设科研项目与科研条件管理子系统、农业科研仪器设备信息共享与服务子系统、电子政务子系统、人力资源管理子系统、综合财务管理与监督子系统、基本建设项目管理子系统等均承载了大量XXXX院所用户并发访问，所以为减轻应用服务器负荷，提升系统响应能力，需为以上系统配置单独Web服务器。依照上述数据库服务器性能要求中对主要业务处理量分析可知，Web服务器天天工作时段内平均需响应用户访问350,000次。依摄影关工程经验，Web服务器SPECweb值应不低于30,000。存放备份系统需求系统存放容量主要依照网络日志、应用数据库、系统及应用日志和数据备份四部分进行估算。1、网络日志网络日志主要是保留用户对于系统内服务器网络访问日志，按照20Mbps流量计算，每秒按字节计算产生20Mb/8=2.5MB，天天日志容量为2.5MB*3600*24=216GB，按照保留一周计算则每七天产生216GB*7=1.5TB。2、应用数据库各应用数据库容量是XXXX信息化基础数据库及各业务应用系统数据量总和，经初步估算，全部工程信息总量在系统建设早期约为1TB，考虑到系统5年发展，系统存放总量应考虑在5年内扩展到2TB。3、系统及应用日志依照对现有应用系统考查，现在XXXX网天天WEB访问日志量为40MB，考虑保留一年总量为40MB*365=15GB，而院所信息化项目拥有大量子系统，按照10倍于现有XXXXWEB访问日志，则系统及应用日志容量应为15GB*10=150GB。4、总计所需存放空间=1500GB+GB+150GB=3650GB。按照RAID0+1冗余配置，实际需求容量=RAID利用率系统*所需存放空间/60%=2*3650GB/60%=12.17TB依照数据量估算，本项目实施后，XXXX5年内将累计数据量约为12.17TB，考虑10%不可预见原因，数据存放容量最少要求为13.39TB。同时，因为数据区存放系统需要支撑信息资源管理和对外公布功效，首先要求存放系统具备快速响应能力与较高传输带宽，另首先建立信息资源库会引发存放空间大量占用（需要在原始数据基础上新增大量冗余数据以辅助数据挖掘），考虑未来几年信息资源库容量占用，存放空间最少应达成15TB。考虑到系统安全性，应建立可靠数据备份系统。网络系统需求网络信息流可分为宽带信息流和窄带信息流两种类型。宽带信息流主要为音视频信息；窄带信息流通常是HTTP、HTTPS、SMTP、POP、IMAP、FTP等。从本项目标建设阶段来看，早期窄带应用比率更高一些，但宽带业务也会逐步增加。现在网络上80%信息是窄带信息，20%应用是宽带应用。在80%窄带应用中，主要应用以查询为主（HTTP），约占85%；其次是收发邮件(POP、SMTP、IMAP、MIME)，约占10%；其它应用（如FTP等）占5%。不一样协议对带宽依赖不一样，基本情况以下：窄带应用：HTTP窄带访问链接需求带宽约30Kbps，FTP连接下载需求带宽约为50Kbps，EMAIL上传和下载需求带宽为40Kbps，收听音频广播应用需求带宽约为14Kbps。以下按平均每一连接40Kbps进行估算。宽带应用：视频点播服务需求带宽约为1.5Mbps；视频会议服务需求带宽约为384Kbps。（1）窄带应用带宽分析同一时刻访问进行窄带操作为同时上网人数10%，则按高峰期并发访问量为个连接，所以窄带应用带宽需求为：x40Kbps=80Mbps（2）宽带应用带宽分析宽带应用主要是视频点播服务，一个流带宽需求为1.5Mbps。因为一个视频点播连续时间比较长，所以能够认为视频流需求是同时。假如同时有82个视频服务需求，则宽带应用带宽需求为：1.5Mbpsx82=123Mbps（3）出口带宽分析总流量=窄带服务流量+宽带服务流量。总带宽为：80Mbps+123Mbps=203Mbps通常情况下，链路实际使用率以不超出链路80%为宜，则：带宽需求为：203Mbps/0.8≈254Mbps。建设标准1．经济性，充分利用现有为投用设备，并适当利旧正常运行设备，最大化资源利用率，最大程度考虑投建成本。2．先进性和实用性。基础平台所采取技术具备先进性和实用性。即采取存放设备平台、服务器主机平台、系统软件平台及相关应用系统平台所采取技术应符合当前技术发展方向。与此同时，为了确保系统稳定性，在采取先进技术同时考虑到成熟技术性能，以确保在系统建设过程中采取能跟踪先进技术同时兼顾项目标可实施性。3．安全性。基础平台运行系统安全性包含硬件平台安全、系统安全、业务应用系统安全和网络通讯安全。数据中心建设首先遵照安全可靠标准，最大可能降低因信息基础设施故障而造成业务无法正常进行现象发生；同时，建设中重视信息安全体系建设，提升数据整体安全性，深入确保数据安全。4．可靠性。基础平台硬件平台稳定、可靠，能够满足“数据集中”系统业务要求。数据中心可靠性同时也包含系统所具备详细功效、系统所能支持大数据容量和在复杂运行环境里稳定、可靠地运行，在出现异常情况下系统具备对应躲避方法等。5．可扩展性。伴随XXXX院所信息化发展，信息数据不停地增多和业务应用系统覆盖面不停扩大，基础平台将负担更大数据管理和数据支撑任务，为此，平台必须提供足够扩展能力以满足未来业务增加需要。其主要表现在在业务和数据系统需要扩展空间时，只增加对应硬件，不用改动整体架构，同时，新增硬件可平滑地接入正在运行系统。6．易管理性。因为XXXX电子政务网络平台所服务对象广泛性，以及应用系统复杂性，所以，为确保XXXX电子政务网络平台顺利实施，在数据中心建设时充分考虑这些特点。基础平台用户界面友好，各项功效使用简单、方便、快捷。系统配置和管理表现图形化、直观化，尽可能防止复杂系统配置文件。可管理性充分表现在系统软、硬件平台管理工具应提供丰富、图形化管理工具，方便于管理及系统问题判断上。项目建设目标建立全院统一科研资源目录体系，并构建对应数据库，实现科研资源一体化管理，实现各项资源在全院范围唯一性和跨机构可访问性，为应用系统建设提供数据基础支撑；建设应用支撑平台，为应用系统建设和运行、科研资源一体化管理以及内外部用户对院级门户访问提供基础软件环境支撑；调整和改造现有网络，完成系统运行所需服务器、存放设备以及备份设备、相关设备操作系统等基础软件，构筑系统安全体系，采购并布署相关安全基础设施，为应用系统布署和运行提供基础运行环境；对计算机房条件进行配套建设，以满足软硬件系统正常运行之需要。总体建设方案XXXX信息化系统基础平台建设依照XXXX电子政务网络平台建设统一规划和本期工程实际需求。主要应用服务建设、关键网络建设和外部网络接入建设三个部分。1、应用服务建设经过服务器存放设备提供业务应用服务，包含系统需要WEB服务器、应用服务器、数据库服务器、数据存放系统、数据备份系统。2、关键网络系统建设，经过双关键交换机实现关键高性能和高可靠性。包含关键交换机、路由器、网络安全防护等。3、XXXX网络布署接入路由器、防火墙、交换机等，实现到两台关键交换机冗余连接。基础平台包含6大部分：应用服务区、关键网络区、接入区、终端应用区。1、应用服务区：运行着是此次XXXX农业信息研究所信息化建设关键内容，WEB服务器、应用服务器分别布署XXXX信息化各种应用、支撑组件、WEB服务，数据服务器为应用提供数据处理服务，存放系统是容纳业务数据载体，备份系统提供数据安全保障。2、关键网络区，关键层是XXXX院内网络、员外、其它接入网络与之间互连关键，采取双交换机冗余布署，与电信广域网连接采取VPN连接，考虑到网络安全性要求，将按照等级保护要求建设安全网络管理体系。3、接入区接入区是包含院内局域网直接接入，院外单位经过电信广域网VPN接入，财务部接入连接到XXXX路由器经过财务专线连接，国家文件中心路由接入。本项目建设内容主要在应用服务区、关键网络区、接入区。以下对建设内容详细叙述。应用服务区建设包含服务器、磁盘阵列和备份设备建设，形成立体，成规模信息资源存放、备份、处理和交互系统。其物理上是布署在XXXX院内网机房。现在XXXX服务器存放设备清单：应用服务器区设计为提升主机及存放系统整体性能及安全可靠性，方便管理与维护，主机及存放系统应按照不一样类别应用系统特点和性能要求划分为用于布署业务WEB应用系统、应用系统、生产区以及用于布署数据库系统、存放系统及备份系统数据区。主机及存放系统应包含WEB服务器、应用服务器、数据库服务器、、数据存放备份系统四部分。服务器：包含WEB服务器3台、应用服务器12台、数据库服务器2台都连接到关键交换设备。其中WEB服务器分别布署XXXX科研资源管理系统、XXXX科研信息资源共享与服务系统和XXXX科研网络协作系统，提供WEB服务。磁盘阵列：用来存放应用系统数据产生数据，主机和存放系统位于农业科技数据分中心主机房和分机房，主机房以SAN网络存放为关键，链路实现双冗余，SAN存放网络光纤通道交换设备实现双冗余。服务器系统1．Web服务器本项目所建设科研项目与科研条件管理子系统、农业科研仪器设备信息共享与服务子系统、电子政务子系统、人力资源管理子系统、综合财务管理与监督子系统、基本建设项目管理子系统等均承载了大量XXXX院所用户并发访问，所以为减轻应用服务器负荷，提升系统响应能力，需为以上系统配置单独Web服务器。本项目将配置工作组级PC服务器3台，主要用于提供网页信息浏览服务，即专门处理HTTP请求，响应用户应用访问，并向用户浏览器发送HTML提供信息浏览。2．应用服务器应用服务器主要用于响应B/S架构下科研项目与科研条件管理子系统、电子政务子系统、人力资源管理子系统、综合财务管理与监督子系统、教育资源管理与远程教育服务子系统、基本建设项目管理子系统、网站集成管理子系统、农业科研仪器设备信息共享与服务子系统、科研网络协作系统等系统客户端业务逻辑处理请求，并维护应用系统与数据库之间通信。本项目需要12台部门级PC服务器布署三大系统应用层和必要应用支撑组件。XXXX已购置12台应用服务器，其中6台分别布署人力资源管理子系统、教育资源管理与远程教育服务子系统、基本建设项目管理子系统、农业科研仪器设备信息共享与服务子系统、网站集成管理子系统、科研网络协作系统；考虑到电子政务子系统主要性，以2台以双机集群形式布署电子政务子系统、4台布署应用支撑平台相关组件（其中2台为双机集群，布署数据交换和数据分析相关组件）。3．数据库服务器集群关键数据库/应用服务器布署在整个网络系统关键区域，逻辑上位于整个应用系统数据关键层，可靠问题是十分主要，所以在系统设计上，中心主机采取两台小型机、共享SAN磁盘阵列架构方式，运行数据库应用。依照系统应用规模，而且考虑到了业务改变、增加，在选择服务器时必须预留处理能力扩展空间，设计使用2台IBM高性能、高可靠性、多处理器SMP体系结构unix服务器IBMP550作为关键数据库/应用服务器，完全满足系统未来扩展需要。配置千兆网卡和光纤通道卡实现与网络和存放区域网高速连接。数据软件采取Oracle11G。将2台小型机组建双机热备数据库服务器集群，用于布署科研项目与科研条件管理子系统、农业科研仪器设备信息共享与服务子系统、电子政务子系统、人力资源管理子系统、基本建设项目管理子系统等业务系统应用支撑数据库，并对应布署数据库管理系统软件。双机集群有多个方式选择双机热备，即active/standby方式，服务器数据包含数据库数据同时往两台或多台服务器写，确保数据即时同时，当active服务器出现故障时候，经过软件诊测或手工方式将standby机器激活，确保应用在短时间内完全恢复正常使用。经典应用在证券资金服务器或行情服务器。cluster其中一个形式。双机互备，两个相对独立应用在两台机器同时运行，但彼此均设为备机，当某一台服务器出现故障时，另一台服务器能够在短时间内将故障服务器应用接管过来，从而确保了应用连续性，但对服务器性能要求比较高。配置相对要好。双机双工，即现在cluster一个形式，两台或多台服务器均为活动，同时运行相同应用，确保整体性能，也实现了负载均衡和互为备份。需要利用磁盘柜存放技术（最好采取san）。WEB服务器或FTP服务器等用此种方式比较多。所以，考虑到以上原因以及本工程建设实际，结合XXXX后续信息化建设对数据库服务器性能扩展需要，本项目推荐采取小型机组建双机热备数据库服务器系统。存放备份系统1、存放系统XXXX农业信息研究所网络中心已建FCSAN存放系统均已充分承载了相关业务应用，2T存放空间占用率已靠近100%，经过对现有设备升级、扩容均无法满足本项目对FCSAN存放系统高性能、高可靠、大容量存放需求。所以，本项目已购置了容量15TB高性能光纤磁盘阵列1套，光纤交换机2台，连同新购置2台小型机，组建为关键数据区存放系统。2、备份系统备份服务器提议采取现有能够利旧服务器，该服务器安装备份软件，经过光纤卡接入到SAN交换机，虚拟磁带库经过光口连接到光纤交换机，组建SAN架构备份系统图以下：硬件物理布署服务器及存放设备分别布署在服务器机柜1、服务器机柜2、服务器机柜3中，下列图是初步布署位置设计图纸（可依照现场情况和用户需求调整），以下列图所表示：服务器存放应用软件布署关键网络区建设网络基础设施是院所信息化建设基础，为最大化保护已经有投资和节约项目预算，应考虑充分利用和升级现有设备。以下是现在网络设备清单：以下是现在网络配置清单：关键网络设计本项目所建系统运行所需广域网、局域网，关键网络设备需要冗余性。考虑到业务系统接入用户较多应在网络端配置负载均衡设备，网络结构图以下：该项网络由XXXX院内网、XXXX院外网、电信广域网连接、国家科技图书科技文件城域网和农业部财务专线五部分组成。XXXX院外网包含京内研究所网络、京外研究所网络。关键网络包含关键交换、其它院所接入路由和防火墙、网络安全管理、负载均衡等设备。网络设备配置1、关键交换机因为本项目在部局数据中心局域网构建了关键数据区，为防止关键数据区与生产区大量数据交换同时集中加载在现在中心交换机上而引发整体系统性能下降，所以本项目将配置千兆关键交换机2台，以双机热备方式组合，主要负责关键数据区数据库服务器与应用服务器数据交换。2、主路由器与华为NE40因为本项目为院机关和41个院直属研究所搭建了交互渠道，为防止单点故障隐患，本项目将配置千兆路由器2台，形成双机热备，为XXXX院所局域网互联提供路由服务。3、负载均衡器为优化服务器集群配置方式，提升硬件资源利用效率，最终提升系统可靠性，本项目将配置1台负载均衡器，并以旁路接入方式接入关键数据区交换机，实现服务器集群负载均衡。同时，也可为关键交换机、路由器提供负载均衡服务。负载均衡器要求具备8个以上千兆电口，具备支持服务器负载均衡、链路负载均衡、全局负载均衡等功效。4、防火墙防火墙两类，一类是布署在电信广域网接口边界，配置两台台级防火墙，以双机热备方式，为网络中心局域网提供网络安全防护。一类布署在与国家科技文件网络接入边界，配置一台。防火墙主要负责保护关键数据区服务器群，可针对访问需要，仅打开必要通讯端口和地址，从而有效控制绝大多数违规访问；可有效防御Dos/DDos攻击、ARP坑骗攻击、TCP报文标志位不正当攻击、超大ICMP攻击等各类网络层攻击伎俩；可实现静态/动态黑名单管理、MAC绑定、安全区域控制等功效。、5、VPN安全网关配置1台VPN安全网关，利用服务提供商所提供公共网络来实现XXXX本部与院外直属机构之间远程广域连接。系统应能够多个节点IPSec远程广域连接，支持多用户并发SSLVPN访问。5、网络安全管理按照等级保护要求，布署实施网络安全设备，从而确保整个信息系统安全，最终形成安全开放统一、分级分域防护安全体系。此次配置网络安全设备除了上面提到VPN网关和防火墙还包含：网络安全审计系统、入侵检测系统、漏洞扫描系统、统一安全管理系统、防病毒系统、网络管理服务器。详细设计在安全体系建设方案章节详述。硬件物理布署网络设备分别布署在网络机柜1、网络机柜2内，两个机柜供电需要冗余设计，设备布署图以下：接入区建设接入设计在一个XXXX网络里，有多个网络接入，布署分散，且直接负责终端接入。以下列图所表示：XXXX院内网与XXXX院外网各项业务，全部经过因特网方式实现。为确保其数据安全，使用VPN专线方式传输。XXXX院内网与与农业部网络之间经过财务专线直接接入，XXXX农业信息研究所经过XXXX接入路由连接到农业部网络，不经过广域网。XXXX院内网与国家科技图书科技文件城域网络之间经过接入路由器连接到NSTL网络。接入设备配置以下是现在网络配置清单：系统软件建设在硬件平台上布署相关系统软件来支持应用系统。包含操作系统软件、数据库软件、集群软件和存放备份软件。系统软件将采取已经购置软件。系统软件分配设计1．操作系统为应用系统运行平台稳定性，数据库后台运行平台采取UNIX操作系统。应用系统布署了大量PC服务器系统，将采取4套Win企业版组成两对双机系统运行电子政务系统和应用支撑平台,12套Win标准版操作系统安装在其它服务器。2．集群软件数据库是整个系统关键，主要服务器系统都将采取集群来实现关键系统高可用性。对于IBMP550小型机服务器双机集群系统采取同一品牌集群软件HACMP来实现集群功效，对于PC服务器双机集群系统采取Windowsserver系列企业版集群功效来实现。HACMP群集能够按几个方式配置以满足不一样类型题供选择。并行访问模式适合于全部处理器多必须在相同工作负载下运行并共享相同数据环境。在交互备份模式中，处理器共享工作负载并相互备份。闲置备用设备允许用一个节点备份群集器中其余节点。Oracle数据库安装使用往往才是小型机集群HACMP详细工程应用。在Oracle中使用HACMP能够有两种形式供选择：形式一：容灾方式，即形成主备系统，这是传统hacmp功效；形式二：并行系统，即形成OracleRAC系统，采取并行运算模式，RAC需要OracleRAC费用。3．数据库软件对于数据库系统而言，数据库选择现在国内外通用ORACLE大型关系型数据库系统。4．存放备份软件存放系统采取SAN存放区域网络技术构建，经过两台光纤通道交换机作为SAN关键交换机。磁盘阵列、磁带库、数据库服务器以及备份服务器经过SAN交换机组成当地存放区域网。备份服务器安装虚拟磁带库备份管理软件，同时安装磁盘阵列管理软件，兼做磁盘阵列控制台。备份服务器经过专有SAN网络或者以太网络将磁盘阵列中数据通备份到虚拟磁带库上。存放软件将选取各存放厂商专业存放管理软件。备份软件使用SYMCNETBACKUPENTERPRISESERVER7.0，布署在备份服务器上，实现对数据自动备份控制。系统软件布署软硬件布署对照表以下：序号布署设备系统软件1应用服务器1Windows标准版2应用服务器2Windows企业版应用服务器3Windows企业版3应用服务器4Windows标准版4应用服务器5Windows标准版5WEB服务器1Windows标准版6应用服务器6Windows标准版7应用服务器7Windows标准版8应用服务器8Windows标准版9WEB服务器2Windows标准版10应用服务器9Windows标准版11应用服务器3Windows标准版12应用服务器10Windows企业版应用服务器11Windows企业版13应用服务器12Windows标准版14数据库服务器1AIX、HACMP、Oracle11G15数据库服务器2AIX、HACMP、Oracle11G16备份服务器Windows标准版HACMP使用介绍HACMP工作原理是利用LAN来监控主机及网络、网卡状态。在一个HACMP环境中有TCP/IP网络和非TCP/IP网络。TCP/IP网络即应用客户端访问公共网，该网能够是大多数AIX所支持网络，如Ethernet，T.R.，FDDI，ATM，SOCC，SLIP，等等。非TCP/IP网络用来为HACMP对HA环境（Cluster）中各节点进行监控而提供一个代替TCP/IP通讯路径，它能够是用RS232串口线将各节点连接起来，也能够是将各节点SCSI卡或SSA卡设置成TargetMode方式。1、作为双机系统两台服务器（主机A和B）同时运行HACMP软件；2、服务器除正常运行自己应用外，同时又作为对方备份主机；3、两台主机系统（A和B）在整个运行过程中，经过“心跳线”相互监测对方运行情况（包含系统软硬件运行、网络通讯和应用运行情况等）；4、一旦发觉对方主机运行不正常（出故障）时，故障机上应用就会停顿运行，本机（故障机备份机）就会立刻在自己机器上开启故障机上应用，把故障机应用及其资源（包含用到IP地址和磁盘空间等）接管过来，使故障机上应用在本机继续运行；5、应用和资源接管过程由Ha软件自动完成，无需人工干预；6、当两台主机正常工作时，也能够依照需要将其中一台机上应用人为切换到另一台机(备份机)上运行一、HACMP基础HACMP技术在AIX5L上特点：–高可用性集群多重处理（技术）（HighAvailabilityClusterMultiprocessing）–基于集群技术–提供两种数据访问环境：串行访问(高可用性)：确保一个应用程序能够经过在不一样资源组中连续使用共享数据并行访问(群集多处理):并发存取共享数据IBMHACMP产品对于建立一个高可用性处理方案是个成熟和健壮技术。高可用性处理方案是基于HACMP提供一个自动故障探测，诊疗，恢复和重整。伴伴随适宜应用软件，HACMP也能工作在并发存取和并行程序环境，从而提供了极好水平可测量性。二、HA基本概念

在HA中有几个基本概念我们应先搞清楚：集群（Cluster）：主要由节点，网络，网络适配器组成。这些对象包括到网络拓扑内全部要素。资源组（ResourceGroup）：经典资源组由应用程序，网络地址和共享vg组成。集群管理器（Clstrmgr）：集群管理器用来管理集群中全部资源，它来定义哪个节点应用是激活，或者故障时资源组切换等等操作。集群管理器运行在集群环境里全部节点上。NETBACKUP使用介绍一、概述SymantecNetBackup平台能够自动执行高级技术，标准化各种应用程序、平台和虚拟环境上操作，帮助信息化企业简化数据保护流程。这意味着，企业能够在异构操作系统和存放硬件（包含磁带和磁盘）环境中实现全方面保护、有效存放、随地恢复和集中管理。它集重复数据删除、复制和正在申请专利虚拟机防护功效于一体，能够帮助客户提升存放效率、基础架构利用率和恢复速度。单一控制台实现了多站点监控、分析和汇报功效，能够帮助客户标准化操作和风险管理。SymantecNetBackup易于扩展，能够保护最大型UNIX、Windows®和Linux®环境，现在已得到全球各地企业广泛采取。NetBackup平台能够实现全方面保护、有效存放、随地恢复和集中管理。NetBackup平台由以下四款赛门铁克产品组成：NetBackup、NetBackupRealTime、OpsCenterAnalytics和EnterpriseVault™。二、产品关键点•异构环境数据保护—能够在异构操作系统、应用程序、管理程序以及磁盘和磁带架构上实现数据保护功效•集中式管理—能够从一个位置管理全部数据保护技术与多个NetBackup服务器和域，提升工作效率•源和目标位置重复数据删除—能够在远程办公室或数据中心按需轻松布署和管理重复数据删除技术•与存放硬件设备深入集成—NetBackupOpenStorageAPI能够集中管理重复数据删除和复制技术•虚拟机保护既全方面又简单—能够对VMware和Microsoft®Hyper-V环境应用获奖备份和恢复技术•快速全方面地恢复应用程序和管理程序数据—能够快速全方面恢复MicrosoftExchange、SharePoint®、ActiveDirectory®以及VMware、Hyper-V等管理程序文件、电子邮件和其余项目环境性能及有效性。这些客户端能够为关键业务数据库和应用程序提供高性能在线备份与恢复、支持经过存放网络执行备份和恢复操作，而且能够提供高级别数据安全性和全方面系统级恢复。企业能够经过图形用户界面(GUI)集中管理备份和恢复操作各个方面，从而能够在整个企业中建立统一数据防护策略，无需考虑布署客户端类型和数量。三、全方面保护1、客户端保护NetBackup提供了一套简单而又全方面创新客户端和代理，能够优化备份和恢复环境性能及有效性。这些客户端能够为关键业务数据库和应用程序提供高性能在线备份与恢复、支持经过存放网络执行备份和恢复操作，而且能够提供高级别数据安全性和全方面系统级恢复。企业能够经过图形用户界面(GUI)集中管理备份和恢复操作各个方面，从而能够在整个企业中建立统一数据防护策略，无需考虑布署客户端类型和数量。2、应用程序防护要预防关键业务应用程序保护过分或不足，企业必须制订分层保护战略。NetBackup平台提供了各种意在帮助企业制订经济可靠型分层保护战略技术。关键点包含：•应用程序和数据库代理1—为了保护关键业务应用程序和数据库，NetBackup提供了应用程序代理，这些代理能够实现热备份和在线备份，提供向导型配置，并支持应用程序特定工具，如Oracle®RecoveryManager(RMAN)。•快照集成—为了增强保护功效，NetBackup还集成了各种磁盘阵列和软件快照方法，如脱机备份和即时恢复。主要优势是，您能够使用相同NetBackup策略、目录和日程界面将快照作为磁带或其余任何类型分流备份来管理。复点目标(RPO)和恢复时间目标(RTO)了。3、数据安全NetBackup提供了灵活数据保护技术，如访问和授权控制与磁盘和磁带加密方法。关键点包含：•源/客户端加密，实现了最高级别安全性，让您甚至能够保护传输中和介质上数据。•MediaServerEncryptionOption，能够提升磁带备份灵活性，还能够利用NetBackup介质服务器。这么，客户端性能就不会受到影响了。•集中式集成密钥管理服务，能够管理加密磁带驱动器密钥。4、虚拟机保护既全方面又简单虚拟化技术在给数据中心带来机遇同时也带来了挑战，如降低了备份和恢复速度、增加了存放使用量以及需要了解和管理更多技术。NetBackup7基于NetBackup6.5获奖VMware支持技术，它能够提供既简单又全方面数据保护功效。另外，它还简化了虚拟机保护功效，如集中了MicrosoftHyper-V和VMware上备份，经过管理程序集成技术（如vStorageAPI）、重复数据删除技术和增量备份技术，缩短了备份时间并实现了高效单个文件恢复。四、高效存放1、随地删除重复数据NetBackup还提供了随地删除重复数据功效。重复数据不论是在远程站点上还是在数据中心，该功效都能够帮您将其删除。它是您保护虚拟环境理想选择。2、NetBackup客户端重复数据删除功效删除冗余数据（尤其是对源位置影响较大数据）能够最大程度发挥重复数据删除功效优势。NetBackup7产品具备内置客户端重复数据删除功效，能够实现快速、安全、有效备份和恢复。客户端重复数据删除功效能够删除源位置冗余数据，与传统备份技术相比，它所占用CPU、I/O和内存会更低，从而能够为生产服务释放更多客户端资源。客户端重复数据删除功效还能够实现增幅高达10倍备份速度。关键点包含：•NetBackup内置重复数据删除功效—客户端重复数据删除功效已内置在NetBackup中，所以，您无需购置单独硬件设备。应用程序支持—客户端重复数据删除功效不不过您处理标准文件数据理想功效，而且它还对您处理NetBackup支持应用程序和数据库很有帮助。•与NetBackupPureDisk兼容—NetBackup客户端可以存放已删除重复数据数据和NetBackup介质服务器重复数据删除池或NetBackupPureDisk存放池。•虚拟机保护—使用虚拟访客计算机中NetBackup客户端能够删除源位置重复数据，让网络只能传输不重复数据和变更信息，从而降低备份对整体虚拟基础架构影响。3、NetBackup介质服务器重复数据删除功效NetBackup介质服务器提供目标重复数据删除功效目标就是为了利用现有磁盘。设置如同单击对话框一样简单。NetBackup介质服务器能够在不用添加缓冲磁盘情况下随时处理数据流，实现在数据处理过程中删除重复数据，从而优化存放利用率。经过NetBackup存放生命周期策略，您还能够实现在数据处理后删除重复数据。关键点包含：•备份速度更加快—NetBackup目标重复数据删除功效能够在数据存放到磁盘过程中删除内联冗余数据。所以，移动并最终存放到最终目标位置数据会少很多。•降低存放成本—NetBackup让企业能够利用惯用磁盘和服务器来提升成本效益和灵活性。•降低存放消耗—与传统磁带备份处理方案相比，该处理方案让企业能够将存放总量降低高达20倍。•恢复速度更加快—经过重复数据删除功效，企业能够在当地或远程位置保留更多类型数据，而无须再经过磁带执行单一恢复了。经过OpenStorage3与重复数据删除硬件设备集成其实，许多重复数据删除硬件设备就是采取磁盘技术但模拟磁带虚拟磁带库。NetBackupOpenStorageAPI让NetBackup能够识别磁盘真伪。磁带模拟整体概念已不再使用，这么，存放硬件设备用户不但能够经过OpenStorage提升利用率，而且能够充分利用重复数据删除、优化复制、虚拟合成以及直接备份到磁带等高级功效集。4、经过归档功效提升备份和恢复速度降低主存放中数据是相当主要，这也符合赛门铁克战略，即删除对源位置影响最大重复数据。能够降低源上主要数据增加处理方案是EnterpriseVault，这是一个归档和电子查询领域公认领先处理方案。数据保护和归档技术组合能够提升传统备份和恢复速度。NetBackup和EnterpriseVault实现组合功效还能够依照策略自动将EnterpriseVault管理归档磁盘数据迁移到NetBackup管理磁带或其余介质中。为了保护EnterpriseVault环境，NetBackup还提供了能够在EnterpriseVault环境中自动查找各种服务器和组件代理。随地恢复NetBackup提供了各种技术，能够确保数据快速、即时、随地恢复，并使数据丢失最少。裸机恢复(BMR)裸机恢复功效是经过集成方式无偿提供，能够执行系统恢复必需全部文件和服务，包含能够执行无盘网络开启、暂时操作系统安装和磁盘配置。此功效能够使任何平台上全方面系统恢复时间大约仅为15分钟。4、有效灾难恢复NetBackup平台提供了各种灾难恢复功效，这些功效能够在数据中心因环境原因或其余原因造成永久性损坏后将数据迁移到异地灾难恢复位置。•管理异地磁带介质4—NetBackupVaultOption能够在自动将磁带介质迁移到异地灾难恢复位置同时跟踪该流程。•复制已删除重复数据数据—NetBackup提供了各种复制和管理功效，这些功效不但能够经过电子方式在WAN上安全地复制数据，而且还能够在NetBackup图形用户界面上集中管理这些数据。因为它只会复制不重复数据，所以能够优化带宽和后端存放。另外，它还能够将这些数据迁移到灾难恢复位置磁带设备上进行长久存放。•实时数据块级复制—NetBackupRealTime75让NetBackup能够实现实时数据块级异步或同时复制。假如用于保护NetBackup目录，它是无偿。5、全方面恢复技术NetBackup正在申请专利全方面恢复技术能够快速恢复MicrosoftExchange、ActiveDirectory、SharePoint、VMware、Hyper-V等环境中文件、电子邮件和其余单个对象。这意味着，映像只需备份一次、存放一次，就能够实现两种恢复方式，即用于灾难恢复完整映像恢复方式和单个文件恢复方式。6、集中管理SymantecOpsCenter提供了一个能够集中监控和汇报异构数据保护环境运行情况控制台。关键点包含：•定制警报功效和实时监控功效—能够经过易用分类和过滤功效管理意外事件，让您能够愈加好地排除故障、设置工作优先级以及控制备份环境。•跨域监控和管理功效—能够将多个NetBackup域和多个产品版本连接起来，简化管理和控制。•点击式环境运行情况汇报功效—能够快速了解NetBackup、SymantecBackupExec、NetBackupPureDisk和EnterpriseVault环境中磁带驱动器利用率、成功率和未受保护环境。经过OpsCenterAnalytics6实现高级业务环境汇报功效您能够经过许可证密钥轻松将OpsCenter升级到OpsCenterAnalytics，实现高级集成式业务环境汇报功效，这么，您就能够依照地理位置或异构环境中应用程序为目标用户（如业务部门）定制相关内容。关键点包含：•汇报第三方应用程序—能够在集中汇报赛门铁克和第三方备份应用程序（如EMCNetWorker和IBMTivoliStorageManager）同时对汇报进行标准化。•长久保留数据以供趋势研究和分析之用—让您能够不停地跟踪数据增加率（包含为了简化投资回报率跟踪流程删除重复数据前后数据增加率），愈加好地预测备份和电子邮件归档存放使用量。•服务级别遵从、成本分析和计费—能够实现阈值汇报功效，确保您遵从服务级别，还能够经过配置定价模型整合并分配置份和归档服务成本，帮助您满足业务需求。针对各种规模环境和复杂性级别提供灵活布署处理方案NetBackup提供三种版本，方便为从中小型企业到大型企业各种企业提供支持（参见下表）。五、NetBackup其余功效和优势1、性能•合成备份—能够经过单个备份映像快速恢复客户端，降低恢复对应用程序主机影响和网络带宽•高级磁盘缓冲—因为不存在磁带设备延迟，而且非复用备份映像可用于进行更加快速恢复，所以磁盘缓冲功效有利于进行更加快速备份和恢复•检验点/重新开始—允许失败备份作业或恢复作业从上一个检验点恢复•多路复用备份—将多个数据流从一个或多个客户端/服务器写入一个磁带驱动器，以取得最好性能•内联复制—能够创建多个并行备份映像，每个映像都具备独特保留属性，与主备份同时运行或在完成主备份后运行2、介质管理•自动机械/磁带驱动器配置—能够自动生成驱动器名称并自动配置交换磁带驱动器，缩短磁带驱动器配置时间•介质共享—允许多个NetBackup介质服务器主动共享指定磁带介质，方便写入•广泛磁带设备支持—支持全部领先磁盘设备提供商，包含Dell、Exabyte、HP®、IBM®、OverlandData、Qualstar、Quantum、Sony、SpectraLogic和Sun、StorageTek3、用于数据库、应用程序、磁盘、磁带和灾难恢复代理和选件NetBackup代理NetBackup代理能够优化主要数据库和应用程序性能，包含IBMDB2、Informix、Lotus®Notes/Lotus、Domino®Server、MicrosoftActiveDirectory、Microsoft、ExchangeServer、MicrosoftSharePoint®PortalServer/MicrosoftOfficeSharePointServer、MicrosoftSQLServer、Oracle、SAP、Sybase和SymantecEnterpriseVault。NetBackup选件NetBackup选件能够实现虚拟磁带库支持、重复数据删除、异地磁带介质管理等功效，从而改进数据保护环境。安全体系建设方案安全体系现实状况现在，XXXX网络中心所采取安全保障伎俩及效果以下：（1）物理环境安全方面技术方法主要包含以下几个方面：主要区域配置电子门禁系统；在条件允许情况下，配置光、电等机房防盗报警系统；设置监控报警系统，如摄像头等；设置火灾自动消防系统；对主要设备采取区域隔离防火方法，并与其余设备在物理上隔离开；安装对水敏感检测仪表或元件，对机房进行防水检测和报警；主要设备采取必要接地防静电方法，如防静电手环或防静电工作服等；设置温、湿度自动调整设施，使机房温、湿度改变在设备运行所允许范围之内；在条件允许情况下设置冗余或并行电力电缆线路为系统提供连续供电，建立备用供电系统。XXXX网络中心机房安全门禁系统、消防灭火系统、空调通风系统、供配电系统、防雷接地系统等已经比较完备，机房基础设施及安全保障方法较为完善。（2）网络安全方面1）安全区域边界等级保护要求现有情况分析差距增强或处理方法区域边界访问控制结构安全与网段划分有有划分VLAN，并设定访问控制方法区域边界协议过滤网络访问控制防火墙有网络设备设置访问控制策略区域边界完整性保护拨号访问控制无有防非法外联、协议过滤、网络设备设置访问控制策略区域边界完整性保护边界完整性检验防火墙有防非法外联区域边界完整性保护网络入侵防范无有带宽管理、协议过滤管理、安全网关2）安全通信网络等级保护要求现有情况分析差距增强或处理方法通信网络网络入侵防范无有网络入侵防护WEB应用防护内网安全建设安全配置核查网络传输保密性保护网络设备防护SSH和Https等方式有，较小动态身份认证3）安全管理中心等级保护要求现有情况分析差距增强或处理方法系统管理存在基本伎俩有安全服务安全管理存在基本伎俩有安全服务审计管理存在基本伎俩有安全配置核查网页防篡改（3）主机系统安全方面除充分利用操作系统、数据管理系统等系统软件身份判别伎俩外，配置了网络防病毒软件，能对病毒、恶意代码进行有效防治。计算环境差距分析及处理方法总结以下：等级保护要求现有情况分析差距增强或处理方法用户身份判别口令认证小动态身份认证自主访问控制有有系统加固标识和强制访问控制有有访问控制、系统加固用户数据完整性保护存在基本伎俩有数字署名、安全服务用户数据保密性保护存在基本伎俩有VPN、文件级存放加密客体安全重用有有漏洞管理程序可信执行保护有有恶意代码检测（4）数据及应用安全方面备份软件已采购，能够对数据、应用系统进行及时有效备份。安全体系需求分析伴随XXXX信息化发展逐步深入，对信息系统依赖越来越强，大型信息系统安全保障体系建设是一个极为复杂工作，为大型组织设计一套完整和有效安全体系一直是个世界性难题。一些行业性机构或大型企业信息系统应用众多、结构复杂、覆盖地域宽广、包括行政部门和人员众多；系统面临着各种性质安全威胁，间谍、黑客、病毒蠕虫、木后门、非法合作搭档、当地维护第三方、内部员工等；安全保障要求内容极为广泛，从物理安全、网络安全、系统安全、应用安全一直到安全管理、安全组织建设等等，凡是包括到影响正常运行和业务连续性都能够认为是信息安全问题；不一样业务系统、不一样发展阶段、不一样地域和行政隶属层次安全要求属性和强度存在较大差异性。经过我国信息安全领域关于部门和教授学者多年研究，在借鉴国外先进经验和结合我国国情基础上，提出了分等级保护策略来处理信息网络安全问题，即针对信息系统建设和使用单位，依照其单位主要程度、信息系统承载业务主要程度、信息内容主要程度、系统遭到攻击破坏后造成危害程度等安全需求以及安全成本等原因，依据国家要求等级划分标准，设定其保护等级，自主进行信息系统安全建设和安全管理，提升安全保护科学性、整体性、实用性。按照国家《信息安全等级保护管理方法》相关要求，XXXX网络中心数据中心安全保护等级总体上应达成第三级（监督保护级）。参考信息系统安全三级保护基本要求，XXXX数据中心在安全方面还主要存在以下不足：网络安全方面尚不能对网络数据流进行安全审计，对各类网络违规或异常行为、网络资源滥用行为、涉密信息及敏感言论传输缺乏对应监管伎俩；本项目新构建关键数据区缺乏网络安全防护伎俩。（2）主机系统安全方面现在网络中心即使配置了网络防病毒软件，但因为软件使用授权已到期，防病毒引擎得不到及时更新，无法对病毒、恶意代码进行有效防治；应用系统缺乏在线备份系统，无法实现受损系统及时恢复；同时，缺乏必要主机审计伎俩，对主机使用进行监控和管理。（3）数据及应用安全方面数据安全依赖于当地磁带库离线备份系统。考虑到本项目建成后将集中存放全院科研资源数据、科研项目数据、人力、财务、基建项目、科研知识、农业文件等主要数据，而现在因为缺乏能够实时、在线备份数据备份系统，数据安全存在较大隐患。（4）安全管理方面由前述安全系统评定能够看出，部局现在即使配置了一些安全设备，但各设备较为孤立，缺乏联动和统一管理，不能形成协力来提升系统整体安全防护能力。建设标准（1）综合防范，适度安全在三级信息系统网络建设时，必须充分考虑来自网络各种威胁，采取适当安全方法，进行综合防范。同时，以应用为主导，充分分析应用系统功效，在有效确保应用前提下，安全保密建设经济适用、适度安全、易于使用、易于实施。（2）分域防控、分类防护落实等级保护思想，针对不一样安全域采取不一样安全防护策略，经过制订安全策略，实施分区边界防护和区间访问控制，确保信息安全隔离和安全交换。（3）谁主管谁负责基于等级保护XXXX网络建设过程中，部门网络内部安全问题应依照本单位安全需求和实际情况，依据国家相关政策自行开展信息安全建设。（4）安全保密一体化在安全保密建设中，不论是技术采取、还是设备选配，必须坚持安全保密一体化标准，这么建设系统才最为有效、最为经济。安全系统建设目标为落实和落实公安部、国家保密局、国家密码管理局等关于部门信息安全等级保护工作要求，全方面完善信息安全防护体系，确保等级保护工作在各单位顺利实施，提升企业整体信息安全防护水平，开展等级保护建设工作。本方案主要遵照GB/T22239-《信息安全技术信息安全等级保护基本要求》、《信息安全等级保护管理方法》（公通字[]43号）、《信息安全技术信息安全风险评定规范》（GB/T20984-）、ISO/IEC27001信息安全管理体系标准和ISO/IEC13335信息安全管理标准等。经过本方案建设实施，深入提升信息系统等级保护符合性要求，将整个信息系统安全情况达成信息系统安全三级保护水平，并尽可能地消除或降低信息系统安全风险。安全体系总体设计以当前安全现实状况为基础，经过安全设备布署、安全技术应用和安全管理制度制订和完善，全方面网络信息系统安全性，详细安全系统建设应从网络安全、主机系统安全、数据及应用安全、安全管理四个方面分别进行，经过系统安全建设，使整个网络能面对现在和未来一段时期内安全威胁，实现对全网安全情况统一监控和管理，愈加好地保障整个网络正常运行，全方面提升信息安全系统安全等级。依照已知需求，针对XXXX网络中心现有安全系统不足，并依照本项目相关业务应用需求，本项目将采取以下网络安全系统建设策略，结构图以下：在网络安全方面，进行网络安全审计系统和入侵检测系统建设；进行漏洞扫描系统建设；针对本项目新构建关键数据区，在关键数据区与中心交换机之间建设防火墙。在主机系统安全方面，进行主机审计系统建设。数据及应用安全方面，在关键数据区建设虚拟化备份系统。在安全管理方面，建设统一安全管理系统。物理安全，包含安全设施选择和建设、设施安全管理、人员管理控制。网络安全系统设计依照安全现实状况，我方将针对信息系统存在漏洞、弱点提出相关整改意见，并最终形成安全处理方案。通信边界域经过对进入和流出安全保护环境信息流进行安全检验，确保不会有违反系统安全策略信息流经过边界。安全管理区安全管理区是系统安全控制中枢，主要实施标识管理、授权管理及策略管理等。安全管理子系统经过制订对应系统安全策略，并要求节点子系统、区域边界子系统和通信网络子系统强制执行，从而实现对整个信息系统集中管理。此次建设一下内容：（1）网络安全审计系统本项目配置1套网络安全审计系统（含1台审计引擎及配套管理软件），将审计引擎以旁路方式接入关键交换机，并配置安全审计服务器1台，布署对应审计管理软件，组成XXXX网络中心网络安全审计系统。网络安全审计系统可实现对用户网络行为、网络传输内容进行监控；实现对网络行为进行统计分析和事后取证；对网络潜在威胁者给予威慑。（2）入侵检测系统本项目配置1套入侵检测系统，将入侵检测引擎以旁路方式接入关键交换机组成XXXX网络中心入侵检测系统。入侵检测系统对网络传输进行即时监视，在发觉可疑传输时发出警报或者采取主动反应方法。（3）漏洞扫描系统本项目配置1套漏洞扫描系统，将漏洞扫描引擎以旁路方式接入关键交换机组成XXXX网络中心漏洞扫描系统。漏洞扫描系统支持分布扫描、集中管理、综合分析、多级控制功效。能够跨地域对多个网络同时进行漏洞扫描，并能够集中管理、配置各扫描引擎，将扫描结果集中分析，同时提供详细系统脆弱性修补方案。。（4）统一安全管理系统本项目配置1套统一安全管理系统，辅助网络管理人员实现对XXXX网络中心全部网络设备、安全设备统一管理。统一安全管理系统为软硬件一体化机架式设备，经过日志分析与审计、自动安全预警、预先制订安全响应策略实现设备间联动等伎俩，能对各种主流品牌网络设备、安全设备进行统一管理，处理了网络与安全设备相互孤立、网络安全情况掌握不直观、安全事件对应慢、网络故障定位困难等问题，实现了XXXX网络中心安全管理伎俩整合和管理能力全方面提升。（5）防病毒系统本项目配置1套病毒系统，依照系统特征，采取对应系统安全方法预防病毒侵入计算机。在计算机上安装防病毒软件，方便在病毒侵入系统时发出警报，并统计携带病毒文件，及时去除其中病毒；对网络而言，能够向网络管理员发送关于病毒入侵信息，统计病毒入侵工作站，必要时还能够注销工作站，隔离病毒源。（6）防病毒系统网络管理服务器，利用接入关键交换一台机器，对网络内设备登录管理。通信边界区内部用户接入分为两种接入，一是院内局域网直接经过接入交换机接入，二是院外用户使用VPN方式接入电信广月昂，经过冗余路由器、防火墙进行访问控制。（1）防火墙本项目配置1台千兆级防火墙，与原防火墙以双机热备方式，为网络中心局域网提供网络安全防护。防火墙主要负责保护关键数据区服务器群，可针对访问需要，仅打开必要通讯端口和地址，从而有效控制绝大多数违规访问；可有效防御Dos/DDos攻击、ARP坑骗攻击、TCP报文标志位不正当攻击、超大ICMP攻击等各类网络层攻击伎俩；可实现静态/动态黑名单管理、MAC绑定、安全区域控制等功效。（2）VPN安全网关配置1台VPN安全网关，利用服务提供商所提供公共网络来实现XXXX本部与院外直属机构之间远程广域连接。系统应能够支持不少于2个节点IPSec远程广域连接，支持不少于4200用户并发SSLVPN访问。外部用户接入（1）国家科技图书文件网络接入，经过防火墙和接入路由器接入。（2）农业部接入，农业部接入是经过XXXX财务专线接入网络安全设备配置清单序号设备名称单位数量规格备注1安全系统1.1网络安全审计系统台1含审计引擎及管理软件购置1.2入侵检测系统台1软硬件一体化购置1.3漏洞扫描系统台1软硬件一体化购置1.4防火墙台1千兆级购置1.5VPN网关套1千兆级,吞吐率1G，支持不少于两个点IPSecVPN互联，SSLVPN并发访问数大于4200购置1.6统一安全管理系统台1工作组级，2CPU，8GB内存购置1.7主机审计系统套118个点购置2备份系统2.1虚拟磁带库台16×750G7200转SATA硬盘购置2.2备份服务器台1CPU：IntelXeonDP四核，主频>=2.0GHz；CPU数量>=2个，可扩充>=2;内存>=8GB，最大>=128GB;热插拔SAS硬盘>=2个146GB,>=10000转可利旧或购置3系统软件3.1备份软件套1支持SAN、LAN环境下，数据库、操作系统和文件系统备份和恢复；

支持远程数据备份和远程灾难恢复购置3.2防病毒软件套1支持自动防护和、自动升级功效和自动分发功效，100用户购置网络安全软硬件布署设计1．网络安全设备安全设备中机房防火墙1、防火墙3、网络安全审计系统、VPN网关、漏洞扫描系统、入侵检测系统、统一安全管理系统设备布署在网络机柜3，备份服务器、虚拟磁带库布署在服务器机柜3中，防火墙2安装在网络机柜1中与防火墙2组成因特网接入防火墙冗余结构。布署设计以下列图所表示：2．主机审计系统布署以下布署点：WEB服务器3台、应用服务器12台、备份服务器1台、数据库服务器2台共18个。3．防病毒软件布署点：WEB服务器3台、应用服务器12台、备份服务器1台、数据库服务器2台、其它服务器、操作终端。主机安全设计现在网络中心即使配置了网络防病毒软件，对病毒、恶意代码进行有效防治；应用系统配置在线备份系统，实现受损系统及时恢复；同时，配置网络审计伎俩，对主机使用进行监控和管理。（1）防病毒与病毒查杀技术在一个整体病毒防护方案中，防病毒是主要支点。对木马防范，除了通常桌面防病毒产品外，还有一些专门木马查杀产品，查杀产品拥有查杀流行木马、清理恶评及系统插件、管理应用软件、系统实时保护，修复系统漏洞等数个强劲功效，同时还提供系统全方面诊疗，弹出插件免疫，清理使用痕迹以及系统还原等特定辅助功效，而且提供对系统全方面诊疗汇报，方便用户及时定位问题所在，为用户提供全方位系统保护。（2）网络审计技术建设一个完整安全系统所必需有功效。用户操作行为审计与监控。采取旁路式Agent方式对数据库访问进行有效监控，及时发觉非法用户对数据库资源访问与侵入，并给予报警。用户操作行为审计监控系统主要用于监视并统计对数据库服务器以及应用服务器各类操作行为，经过对网络数据分析，实时地、智能地解析对数据库服务器各种操作，通常操作行为如数据库登录、注销动作，特定操作如对数据表插入、执行特定存贮过程等，都能够被统计和分析，分析内容能够精准到SQL操作语句一级。它还能够依照设置规则，智能判断出违规操作数据库行为，并对违规行为进行统计、报警和实时阻断。依照信息安全系统要求，需要对内网中主机等关键业务数据库进行审计监控监测。（3）在线备份技术将用户数据自动经过互联网备份到远程数据中心，相对于本机备份和其余储存介质备份方式，在线备份具自动、安全、便捷特点，安全性是在线备份最突出特点。将数据备份在专业数据中心就象将宝贵物品存放在银行保险箱中一样，用户无须担心因为硬件丢失、损坏或误操作等情况造成数据丢失，物理安全设计物理安全包括到与保护信息系统和敏感信息实体关于威胁缺点和防范方法。这些资源包含人员、数据、设备、支持系统、介质和所需供给品。物理安全控制方法主要包含安全设施选择和建设、设施安全管理、人员管理控制。按照国家相关标准，机房安全等级分为A、B、C三类，详细以下。A类：对计算机机房安全有严格要求，有完善计算机机房安全方法。该类机房预防需要最高安全性和可靠性系统和设备。B类：对计算机机房安全有较严格要求，有较完善计算机机房安全方法。他安全性介于A类和C类之间。C类：对计算机机房安全有基本要求，有基本要求，有基本计算机机房安全方法。该类机房存放只需最低程度安全性和可靠性通常性系统。依照以上标准，本级建设及配套工程设计含以下内容：（1）电气工程电气工程包含：机房配电系统、UPS电源系统和照明系统。（2）空调及新风系统选取机房专用恒温恒湿空调，以确保机房温湿度满足设备安全可靠高效运行要求，机房所配新风能够满足工作人员和风量补充要求。（3）综合布线系统在机房内建立一个方便、通畅信息传输系统，确保信息系统运行，确保机房与外界联通。数据及应用安全设计身份认证与授权管理系统设计1、访问控制和授权管理经过用户身份认证系统对用户身份进行确认之后，即可对用户访问请求依照系统运行环境和访问控制策略进行授权，以确定用户对他人资源、网络资源和信息资源访问权限。实施有效访问授权基础是系统访问授权规则制订，这需要结合安全管理体系对全网内部工作流程和安全职责划分进行调研。（1）信息内容控制管理员与通惯用户权限各类业务子系统管理员，即二级管理员，负责对本子系统不一样信息分类进行详细授权，包含默认权限与分类权限，达成确保与纸质文件完全相同权限控制。通惯用户只享受系统指定自己所默认拥有涉密信息访问权限，或对自己产生信息确定授权范围，或拥有他人授权自己查询信息访问权限。（2）系统维护部门掌握全部操作系统、数据库和应用程序系统维护部门就是系统技术支撑部门，负责系统安装、维护，负责软、硬件设备（服务器、网络、客户端和各类应用程序）正常运转和数据安全备份、检验。在详细实施过程中，需要以下两个方面来进行授权和控制。（1）授权管理中心在信息系统中设置专门授权管理中心，以访问授权服务方式向关于应用系统提供访问请求授权。在这种模式下，应用系统将用户发出访问请求经过可信信道转到授权管理中心，由授权管理中心依照统一访问授权策略进行授权，然后将授权结果返回给应用系统。这种方式能很好地实现内部安全策略一致性，但需要对应用系统访问授权接口进行改造，同时对授权服务交互过程也需要采取多个方式安全保护以确保授权过程可靠性。同时，对访问授权过程中发觉安全漏洞或隐患也能经过比较一致方法进行分析，比较轻易发觉安全策略中存在问题。（2）访问控制系统在完成内部用户身份认证基础上，访问控制系统还经过授权管理中心对全网范围内访问授权实施统一管理。授权管理中心负责依照管理员统一设置全网安全管理策略为内网各关键设备或应用系统制订对应访问授权规则，然后直接将访问授权规则注入目标系统或向目标系统提供访问授权服务。为实现上述功效，授权管理中心功效将包含：（1）全局安全策略设置：提供图形化界面帮助管理员设置和维护整个网络与信息安全系统安全管理策略。（2）内网逻辑视图管理：向管理员提供对整个内部网络系统逻辑视图管理功效，描述每个被管对象属性（含授权规则映射关系）。（3）授权规则转化：将全局访问授权规则依次转化为每个被管系统访问授权规则。（4）授权规则注入：向被管系统注入转化后访问授权规则，此功效适适用于自行完成访问授权操作目标系统。（5）访问授权服务：向本身不提供访问授权功效目标系统提供访问授权服务。数据库安全机制1、对数据库系统所管理数据和资源提供安全保护，通常包含以下几点：物理完整性，即数据能够免于物理方面破坏问题，如掉电、火灾等；逻辑完整性，能够保持数据库结构，如对一个字段修改不至于影响其它字段；元素完整性，包含在每个元素中数据是准确；数据加密；用户判别，确保每个用户被正确识别，防止非法用户入侵；可取得性，指用户通常可访问数据库和全部授权访问数据；可审计性，能够追踪到谁访问过数据库。2、实现对数据库安全保护方法：事前防范：数据库权限管理；事发检测、预警：数据库安全监测；事后恢复：数据库备份。数据备份与恢复体系设计在以信息为基础商业时代，对大多数企业来说，保持计算机关键数据和应用系统一直处于正常运行状态，这是最起码要求了。不过，不论我们怎样小心翼翼，一场灾难降临还是可能使企业数据毁于一旦。供电故障、地震、火灾、洪水、冰雹、雷电、飓风等，都可能造成企业信息系统瘫痪。所以，在信息网络安全系统中必须制订适当灾难备份及恢复方法，来保障企业各种主要数据安全。1、数据存在严重安全隐患现在在信息系统内部造成数据失效有很多原因，主要包含： 自然灾害，如：地震、火灾、雷电、洪水、飓风等； 犯罪，如：偷窃、有意破坏、病毒等； 硬件故障，如：硬盘划伤等； 软件故障，如：系统软件犯错等； 人为原因，如：误操作、误删除等；但伴随企业计算机规模扩大，数据量几何级增加以及分布式网络环境兴起，企业将越来越多业务分布在不一样机器、不一样操作平台上，这种单机人工冷备份方式越来越不适应该今分布式网络环境，存在以下种种弊端：(1)数据管理工作难以形成制度化，数据丢失现象难以防止；(2)数据分散在不一样机器、不一样应用上，管理分散，安全性得不到保障；(3)难以实现数据库数据高效在线备份；(4)运行着系统使得维护人员寸步难离，业务人员工作效率下降；(5)历史数据保留比较困难；(6)来自非计算机系统原因隐患,如火灾、地震等灾难后系统重建和业务数据运作。2、网络数据备份技术（1）网络数据备份与存放技术建立完善备份系统。理想备份系统应该是全方位、多层次。首先,要使用硬件备份来预防硬件故障；假如因为软件故障或人为误操作造成了数据逻辑损坏，则使用网络存放备份系统和硬件容错相结合方式。这种结合方式组成了对系统多级防护，不但能够有效地预防物理损坏，还能够彻底预防逻辑损坏。在网络系统安全建设中必不可少一个步骤就是数据常规备份和历史保留。通常在生产当地备份目标主要有两个：业务数据因为系统或人为误操作造成损坏或丢失后，可及时在生产当地实现数据恢复；在发生地域性灾难（地震、火灾、机器毁坏等）时，可及时在当地或异地实现数据及整个系统灾难恢复；考虑到当地环境安全性原因，常规数据备份通常要求一份数据最少应有两个拷贝，一份放在生产中心以确保数据正常恢复和数据查询恢复，另一份则要移到异地保留，以确保在生产当地出现灾难后最低程度数据恢复。另外，更应建立历史归档数据异地存放制度，从而确保对历史业务数据可靠恢复与有效稽核实现。现在主要DAS、NAS、SAN三种主流数据备份与存放技术。数据库备份和恢复为保障XXXX关键业务在经历系统故障、数据损坏、数据遗失等各类不可预知情况而引发系统长时间中止服务，本项目需置备份系统1套，实现XXXX主要数据和业务系统备份。经过备份软件将业务数据和业务应用系统分别经过SAN网络及交换网络备份到虚拟磁带库上，备份策略设置能够依照恢复时间点详细要求进行对应调整，通常对数据库会进行以周为单位全备份，以日为单位增量或差异备份，也能够在一天内进行数次增差量备份等。针对关键业务服务器、应用服务器、数据库服务器、关键数据和文件，建立完善备份与恢复体系，详细包含：（1）双机热