信息安全集成设计方案

信息安全集成设计方案信息安全集成系统方案XX科技有限公司2010.121、项目背景32、需求分析43、系统设计4设计依据及设计原则63.2信息安全技术设计93.3信息安全治理设计错误!未定义书签3.4产品选型171、项目背景2010年10月18日，国务院设置成都高新综合保税区。按照国务院批复，成都高新综合保税区规划面积4.68平方公里，位于成都高新区西部园区。新设置的成都高新综合保税区是对现有四川成都出口加工区、成都保税物流中心（B型）和成都出口加工区南区（803区）进行整合扩展而成的。四川成都出口加工区2000年4月经国务院批准设置，是中国首批出口加工区之一，2009年进出口总额64.2亿美元，2010年1—7月进出口总额50.75亿美元，增长43%，综合排名全国第5、中西部第1，是全国进展最好的出口加工区之一；成都保税物流中心（B型）于2009年3月通过验收，7月正式封关运行，目前进展情形良好。整合扩展后的成都高新综合保税区集保税出口、保税物流、口岸功能于一身，是目前国内功能最全、政策最优的海关专门监管区域，有利于海关监管运行，更有利于企业的进一步进展。为了将成都综合保税区建设成为中国中西部一流的保税区和口岸平台，提升出口加工区现代化的监管水平，利用现代监控技术、网络与通信技术、运算机处理技术和自动操纵技术，构建一个先进、有用、可靠的保税区海关联网监管系统。信息技术的进展，为海关治理创新提供了手段，实现信息化将使海关治理水平产生质的飞跃。通过多年的建设，海关已形成了涉密办公网、办公治理网、业务运行网、对外接入网等功能齐全的复杂办公环境，在业务协同、办公治理、对外服务等方面发挥了越来越重要的作用。建设统一的技术支撑平台，建立科学的信息治理体系，关键的一环确实是信息部门必须对其信息技术设备和服务进行全面的、整体的网络运行监控和安全治理。这其中，既涉及到网络治理，也有安全治理。技术支撑层，充分利用技术手段，建立高效、协同的信息安全治理平台，将网络监控与安全监控有机地结合在一起，注重能够及时定位故障。技术支撑体系应该包括三个层次：展现层、运维治理层、集中监控层。1）展现层。提供面向信息安全层面和信息安全治理决策层面的展现视角，在信息安全治理界面上实现集中运维的统一治理功能和信息展现与交互功能。2）流程及业务信息安全治理层。在集中信息安全治理模式下实现流程执行和治理操纵功能、业务安全治理功能。3）集中操纵层。通过监控工具实现对不同服务对象和IT资源的实时监控，包括主机、数据库、中间件、储备备份、网络、安全、机房、业务应用和客户端等技术支持治理子系统进行综合处理和集中治理。2、需求分析2.1广域网网络链接2.1.1海关业务线路为保证综保区海关业务正常开展，按海关部署有关规定，要求综保区到成都海关中心机房广域网线路“双线热备”方案。“双线热备”方案已在成都海关中心机房至出口加工西区、机场海关等四个重要业务现场实施部署。其具体需求是海关业务运行网和业务治理网在网络正常时各走一条链路，当其中一条链路出理故障时互为备份，故障排除后自动切换回原有链路，无需人工干预。线路上分不选择电信和网通的一条链路，更好地保证备份的可靠。系统建设配置包括广域网路由设备，不同的运营网分不租用4M以上的宽带线路。电子口岸专线为满足电子口岸录入的需要，要求建设电子口岸电子专网。电子口岸专网也采纳“双线热备”方案，原则上由部署数据中心负责审批。2.2综合布线2.2.1分类综合布线系统包括治理网G（六类系统）、业务网Y（超五类系统）、互联网W（超五类系统）语音网T（水平超五类系统）、备用网络B（超五类系统）共计5个系统（可按照监管要求及功能设置作相应调整）。各网络物理隔离、独立组网，新设机构可按照实际情形选择网络系统的建设。楼层弱电井设置不同功能的配线间。主干数据采纳4芯多模室内光缆、语音采纳25芯5类大对数电缆及超5类屏蔽电缆。网线布线系统治理网：水平布线采纳六类非屏蔽网线，垂直干线采纳4芯多模光纤运行网、互联网、备用网络：水平布线采纳超五类非屏蔽网线，垂直干线采纳4芯多模光纤；机房：水平布线采纳六类非屏蔽网线及超五类屏蔽网线。机柜的配置在楼层弱电井设有不同功能的独立配线间。各楼层布线系统统一汇聚到机房。配线间：治理网、业务网可共用一个机柜，互联网、电话、备用网共用一个机柜；机房：治理网、业务网可共用一个机柜，互联网、备用网共用一个机柜，电话共用一个机柜。2.2.4综合布线标识讲明由于网络的种类比较多，在前面板用颜色加编号的方式对点位的功能进行分区。使用时从面板标识的颜色可确定点位所属的网络或电话。综合布线标识面板、水平线缆、配线架用相机的编号，垂直主干用另一种编号具体编号讲明参见海关相应文件。机房的网络布线系统设计，除应符合本规范的规定外，还应符合现行国家标准《综合布线系统工程设计规范》GB50311的有关规定。2.2.5园区网建设园区内应建设园区网，以实现区内所有企业与管委会之间信息的互通和治理，同时考虑相应的安全治理建设，包括防病毒治理、客户端准入等园区网为封闭局域网，但保留对外互联网出口。园区网建设方案应提交海关技术处审批，海关技术处可对园区网的建设进行协助和指导。机房建设机房建设要求为海关设置独立机房，桐庐工程包括桐庐地面装修、电气部分的配电柜、防雷工程、消防报警、机房空调、UPS、机房监控、综合布线系统等。机房面积：按二类机房的有关要求，面积在90~130平方米之间；机房走线与装修：按上走线方式进行综合布线，吊顶应可拆卸，或留有出入口，以方便管道和设备的安装爱护。缆线采纳线槽或桥架敷设时，线槽或桥架的髙度不宜大于150mm，桥架宜采纳网格式桥架。地面工程：地面应平坦，必须进行防尘处理，采纳防尘涂料时，至少粉刷2遍以上。防雷工程：防雷部分的电源防雷器选用进口产品。机房空调：能够满足机房使用条件的专用独立温湿度调剂空调。机房综合布线：机房的综合布线系统选用进口6类非屏蔽系统，配线架全部选用6类24口快跳式配线架，光纤部分采纳24口光纤配线盘连接。各楼层汇聚机房配线架，配线架型号选择参见综合布线各网络设计要求。UPS：配置10KVAUPS设备2台，电池能够满足10KVA设备支持30分钟。消防报警：按照具体情形自行设计。机房监控：按照具体情形自行设计。3、系统设计设计依据及设计原则3.1.1、设计依据《运算机信息系统安全爱护等级划分准则》(GB17859-1999)《信息系统安全等级爱护差不多要求》(GB/T22239-2008)。《信息系统安全爱护等级定级指南》(GB/T22240-2008)《信息系统安全等级爱护实施指南》(信安字[2007]10号)《信息系统通用安全技术要求》(GB/T20271-2006)《信息系统等级爱护安全设计技术要求》(信安秘字[2009]059号)《信息系统安全治理要求》(GB/T20269-2006)《信息系统安全工程治理要求》(GB/T20282-2006)《信息系统物理安全技术要求》(GB/T21052-2007)《网络基础安全技术要求》(GB/T20270-2006)《信息系统安全等级爱护体系框架》(GA/T708-2007)《信息系统安全等级爱护差不多模型》(GA/T709-2007)《信息系统安全等级爱护差不多配置》(GA/T710-2007)信息系统安全等级爱护测评要求》(报批稿)信息系统安全等级爱护测评过程指南》(报批稿)《信息系统安全治理测评》(GA/T713-2007)《操作系统安全技术要求》(GB/T20272-2006)《操作系统安全评估准则》(GB/T20008-2005)《数据库治理系统安全技术要求》(GB/T20273-2006)《数据库治理系统安全评估准则》(GB/T20009-2005)《网络端设备隔离部件技术要求》(GB/T20279-2006)《网络端设备隔离部件测试评判方法》(GB/T20277-2006)《网络脆弱性扫描产品技术要求》(GB/T20278-2006)《网络脆弱性扫描产品测试评判方法》(GB/T20280-2006)《网络交换机安全技术要求》(GA/T684-2007)《虚拟专用网安全技术要求》(GA/T686-2007)《网关安全技术要求》(GA/T681-2007)《服务器安全技术要求》(GB/T21028-2007)《入侵检测系统技术要求和检测方法》(GB/T20275-2006)《运算机网络入侵分级要求》(GA/T700-2007)《防火墙安全技术要求》(GA/T683-2007)防火墙技术测评方法》(报批稿)信息系统安全等级爱护防火墙安全配置指南》(报批稿)《防火墙技术要求和测评方法》(GB/T20281-2006)《包过滤防火墙评估准则》(GB/T20010-2005)《路由器安全技术要求》(GB/T18018-2007)《路由器安全评估准则》(GB/T20011-2005)《路由器安全测评要求》(GA/T682-2007)《网络交换机安全技术要求》(GB/T21050-2007)《交换机安全测评要求》(GA/T685-2007)《终端运算机系统安全等级技术要求》(GA/T671-2006)《终端运算机系统测评方法》(GA/T671-2006)《虚拟专网安全技术要求》(GA/T686-2007)《应用软件系统安全等级爱护通用技术指南》(GA/T711-2007)《应用软件系统安全等级爱护通用测试指南》(GA/T712-2007)《网络和终端设备隔离部件测试评判方法》(GB/T20277-2006)《网络脆弱性扫描产品测评方法》(GB/T20280-2006)《信息安全风险评估规范》(GB/T20984-2007)《信息安全事件治理指南》(GB/Z20985-2007)《信息安全事件分类分级指南》(GB/Z20986-2007)《信息系统灾难复原规范》(GB/T20988-2007)3.1.2、设计原则在技术方案设计中，遵循以下的系统总体设计原则：1、统一规划、分布实施遵循统一规划、分布实施的原则，在信息中心软硬件支持平台扩容规划和建设中，首要的工作确实是明确近期和长期的建设目标，立足于应用分布实施。2、开放性、互连性和标准化采纳国际、国家标准、协议和接口，能与现有的和以后的系统互连与集成。3、先进性在保证系统的整体性和有用性的前提下，考虑系统的先进性，所采纳的技术和设备应能保证在目前同行业中是先进的，能够满足成都海关信息中心软硬件支持平台扩容以后5年以上的需求进展。4、成熟性技术方案中所采纳的系统体系结构和技术必须是差不多过实践检验，证明是成熟的。5、可靠性、稳固性和容错性通过选择成熟的技术、冗余的设计、可靠性产品保证整个系统具有高度的可靠性、稳固性和容错性。6、安全性建立完善的网络安全体系，保证海关信息中心网络设备的安全运行。7、高性能网络系统、服务器系统和安全系统的设计和产品选择都要考虑到高性能要求。8、升级性和可扩展性系统设计要充分考虑到扩容和升级的需要，能灵活方便地适应以后系统可能的变化。选择开放性标准的产品，确保设备的兼容性；通过系统结构的合理设计和适度资源冗余，为以后的系统扩充打下基础，保证需求增加时系统的平滑扩充，保证前期的投资。9、高可治理性整个系统的设计要层次清晰、功能明确，便于性能分析、故障诊断，能实现对系统资源的全面监控和优化配置，对访咨询的有效监控和审计，保证整个系统具有高度的可治理性。3.2信息安全技术设计机房设计机房位置的选择机房设置在综合保税区A区2楼，按照国家机房标准设置，具有防震、防风和防雨等能力。机房访咨询操纵机房出入口应安排专人值守，操纵、鉴不和记录进入的人员；需进入机房的来访人员应通过申请和审批流程，并限制和监控其活动范畴。防盗窃和防破坏应将要紧设备放置在机房内；应将设备或要紧部件进行固定，并设置明显的不易除去的标记；应将通信线缆铺设在隐藏处，可铺设在地下或管道中；应对介质分类标识，储备在介质库或档案室中；主机房安装必要的防盗报警设施。3.2.1.4防雷击a)机房建筑设置了电源防雷器、数据防雷器和视频信息防雷器等避雷装置；b)机房设置交流电源地线。3.2.1.5防火机房应当设置灭火设备和火灾自动报警系统。3.2.1.6防水和防潮a)水管安装，不得穿过机房屋顶和活动地板下；b)采取措施防止雨水通过机房窗户、屋顶和墙壁渗透；采取措施防止机房内水蒸气结露和地下积水的转移与渗透。3.2.1.7防静电整个机房采纳防静电地板设计。3.2.1.8温湿度操纵机房设置温、湿度自动调剂设施，使机房温、湿度的变化在设备运行所承诺的范畴之内。3.2.1.9电力供应a)应在机房供电线路上配置稳压器和过电压防护设备；b)应提供了30KVA的UPS,用于短期的备用电力供应，至少满足关键设备在断电情形下的正常运行要求。3.2.1.10电磁防护电源线和通信线缆应隔离铺设，幸免互相干扰。网络设计3.2.2.1网络结构设计

接口三个成够合痒［...据通信区E输.=主用50M10DM血二F电路主用50X11&0M接口三个成够合痒［...据通信区E输.=主用50M10DM血二F电路主用50X11&0M区通通■电路MSTP电陪中国电倍

AISFI网络王用100MMWTT电路热飪10150MMSTP^tg&(RJ45通讯、组成数觌勲皿IAI

血丁?电賂成都棕合尿税区（:区图9：网络结构图网络中设备、电路均安全可靠，关键设备、电路均有冗余备份，并采纳先进的容错技术和故障处理技术，保证数据传输的安全可靠，保证网络可用性达到使用要求。如此设计，得以实现系统网络安全：保证关键网络设备的业务处理能力具备冗余空间，满足业务高峰期需要；保证接入网络和核心网络的带宽满足业务高峰期需要；按照各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便治理和操纵的原则为各子网、网段分配地址段。访咨询操纵在网络边界部署访咨询操纵设备，启用访咨询操纵功能；按照会话状态信息为数据流提供明确的承诺/拒绝访咨询的能力，操纵粒度为网段级。按用户和系统之间的承诺访咨询规则，决定承诺或拒绝用户对受控系统进行资源访咨询，操纵粒度为单个用户；限制具有拨号访咨询权限的用户数量。安全审计对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；审计记录应包括事件的日期和时刻、用户、事件类型、事件是否成功及其他与审计有关的信息。边界完整性检查

部网络的行部网络的行木马后门攻攻击等。恶意使用行检测引擎是一个高性能的专用硬件，运行安全的操作系统，对网络中的所有数据包进行记录和分析。按照规则判定是否有专门事件发生，并及时报警和响应。同时记录网络中发生的所有事件，以便事后重放和分析。治理主机运行于Windows操作系统的图形化治理软件。能够查看分析一个或多个检测引擎，进行策略配置，系统治理。显示攻击事件的详细信息和解决计策。复原和重放网络中发生的事件。提供工具分析网络运行状况。并可产生图文并茂的报表输出。3.2.2.6网络设备防护对登录网络设备的用户进行身份鉴不；对网络设备的治理员登录地址进行限制；网络设备用户的标识应唯独；身份鉴不信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换；具有登录失败处理功能，可采取终止会话、限制非法登录次数和当网络登录连接超时自动退出等措施；当对网络设备进行远程治理时，应采取必要措施防止鉴不信息在网络传输过程中被窃听。3.2.3主机安全身份鉴不应对登录操作系统和数据库系统的用户进行身份标识和鉴不；操作系统和数据库系统治理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换；应启用登录失败处理功能，可采取终止会话、限制非法登录次数和自动退出等措施；当对服务器进行远程治理时，应采取必要措施，防止鉴不信息在网络传输过程中被窃听；应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯独性。访咨询操纵应启用访咨询操纵功能，依据安全策略操纵用户对资源的访咨询；应实现操作系统和数据库系统特权用户的权限分离；应限制默认帐户的访咨询权限，重命名系统默认帐户，修改这些帐户的默认口令；应及时删除余外的、过期的帐户，幸免共享帐户的存在。安全审计审计范畴应覆盖到服务器上的每个操作系统用户和数据库用户；审计内容应包括重要用户行为、系统资源的专门使用和重要系统命令的使用等系统内重要的安全有关事件；审计记录应包括事件的日期、时刻、类型、主体标识、客体标识和结果等；应爱护审计记录，幸免受到未预期的删除、修改或覆盖等。3.2.3.4入侵防范操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。恶意代码防范应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库；应支持防恶意代码软件的统一治理。资源操纵应通过设定终端接入方式、网络地址范畴等条件限制终端登录；应按照安全策略设置登录终端的操作超时锁定；应限制单个用户对系统资源的最大或最小使用限度。3.2.4应用安全3.2.4.1身份鉴不应提供专用的登录操纵模块对登录用户进行身份标识和鉴不；应提供用户身份标识唯独和鉴不信息复杂度检查功能，保证应用系统中不存在重复用户身份标识，身份鉴不信息不易被冒用；应提供登录失败处理功能，可采取终止会话、限制非法登录次数和自动退出等措施；应启用身份鉴不、用户身份标识唯独性检查、用户身份鉴不信息复杂度检查以及登录失败处理功能，并按照安全策略配置有关参数。访咨询操纵应提供访咨询操纵功能，依据安全策略操纵用户对文件、数据库表等客体的访咨询；访咨询操纵的覆盖范畴应包括与资源访咨询有关的主体、客体及它们之间的操作；应由授权主体配置访咨询操纵策略，并严格限制默认帐户的访咨询权限；应授予不同帐户为完成各自承担任务所需的最小权限，并在它们之间形成相互制约的关系。安全审计应提供覆盖到每个用户的安全审计功能，对应用系统重要安全事件进行审计；应保证无法删除、修改或覆盖审计记录；审计记录的内容至少应包括事件日期、时刻、发起者信息、类型、描述和结果等。通信完整性应采纳校验码技术保证通信过程中数据的完整性。通信保密性在通信双方建立连接之前，应用系统应利用密码技术进行会话初始化验证；应对通信过程中的敏锐信息字段进行加密。软件容错应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求；在故障发生时，应用系统应能够连续提供一部分功能，确保能够实施必要的措施。资源操纵当应用系统的通信双方中的一方在一段时刻内未作任何响应，另一方应能够自动终止会话；应能够对应用系统的最大并发会话连接数进行限制；应能够对单个帐户的多重并发会话进行限制。数据安全及备份复原3.2.5.1数据完整性应能够检测到鉴不信息和重要业务数据在传输过程中完整性受到破坏。系统提供完整的日志功能，对所有的业务数据，进行日志记录，以备后查。3.2.5.2数据保密性应采纳加密或其他爱护措施实现鉴不信息的储备保密性。系统使用IC卡储备业务数据时，采纳了DES加密算法，对关键数据进行加密。3.2.5.3备份和复原a）采纳了Rose公司提供的、基于共享磁盘阵列的髙可用RoseHA解决方案，为用户提供了具有单点故障容错能力的系统平台。b）采纳MSTP的组网方式，A、B、C三区采纳MSTP光纤电路（RJ45接口），通过中国电信MSTP网络，实现了A、B、C三个区的互联通讯、三个区的网络热备以及A区通过互联网接入与成都海关总部互访，组成数据通信传输通信专网。c）制定详细的数据库备份与灾难复原策略，并通过模拟故障对每种可能的情形进行严格测试，保证了数据的高可用性。综合布线系统3.2.6.1概述综合布线系统范畴要紧包括联检大楼、闸口及闸口办公区、查验平台及查验仓库及实验楼等。本综合布线系统涉及海关、检验检疫和用户三方的综合布线系统。综合布线系统设计为保证系统先进性、开放性和扩展性，实现语音、多媒体、数据等应用的承载能力，综合布线系统采纳六类结构化布线系统，采纳星型拓扑结构，主干网络采纳千兆以太网络，实现百兆接入、千兆上行的物理链路。综合布线系统由工作区，水平区，垂直区，设备治理及楼群子系统组成，各部分均采纳标准的模块化构件，以利于今后的升级、扩展。工作区子系统工作区子系统由设在各工作区的信息插座、跳线（连接信息插座至终端设备之间的线缆）构成。信息插座采纳双孔面板及相配合的六类信息模块。水平干线子系统水平子系统由各大楼内楼层配线间至各个工作区之间的电缆和多模水平光缆构成。水平干线子系统采纳六类阻燃双绞线电缆。本系统采纳六类双绞线，用于所有的数据点和语音点，实现信息点可完全互换。垂直主干子系统垂直主干子系统采纳单模光缆，提供全双工传输通道，具有极大的传输带宽和极高的传输质量。治理子系统治理子系统由各层分设的楼层配线系统及主机房中的主配线系统（设备间子系统）构成，负责楼层内及信息通道的统一治理。要紧由跳线面板跳线治理器、跳线、光缆端接面板、机柜（或机架）等组成。治理子系统将电话模块、电脑模块和网络模块安装在机柜中，对线缆进行统一布局和治理。系统采纳19”标准机柜，髙42U，顶部安装有2-4个风扇，背后安装电源线槽，正面安装玻璃门，后背板和侧板均可拆卸。机柜内所有的信息点符合规定的编号规则和颜色规则，以方便用户的使用。主配线间（BD）为实现髙可靠性，本系统将主配线架全部安装在机柜内。楼层配线间（FD）在各楼层配线架中，与水平双绞线连接的用户区采纳六类配线架，每个信息点完全灵活用于语音或数据。各配线间设置光纤配线架,用来连接多芯光缆，安装在19”标准机柜内用于各种运算机网络设备。通过更换跳线实现与其他网络设备的连接。3.2.6.3海关综合布线系统海关网络按照海关总署“五网”独立要求，分不设置治理网、运行网电子口岸专网、互联网和语音网。海关网络覆盖范畴包括：闸口及闸口办公区、查验平台及查验仓库及联检大楼海关办公场地等。海关网络采纳三层结构设计，由核心层、汇聚层、接入层组成。核心层设置在海关信息中心机房，汇聚层设置在海关信息中心机房、查验平台机房，接入层设置在卡口。海关网络应与成都海关的网络无缝地实现互联互通。在海关网络核心层选择1台髙性能交换机作为系统主交换机。主交换机与系统服务器连接采纳1000M连接。3.3产品选型3.3.1选型原则在本方案的技术选择和设备选型第一是基于对本项目的明白得和分析，并专门考虑到满足以后5到10年的业务进展要求做出的，并遵循以下原则得出的：有用性采纳成熟、稳固的技术，满足业务的实际要求；先进性按照当前业务要求，考虑今后5到10年的业务进展需要，在设计上留有余量；可靠性采纳目前国际上商用SAN交换机最先进且成熟可靠的软硬件技术；选用可靠性高的产品与技术，充分考虑到在系统显现专门时的应变与容错能力，从而确保整个系统的高可靠性。扩展性在系统结构、产品系列和处理性能等各方面具有良好的扩充，升级能力，完全能满足以后5到10年的业务进展要求3.3.2产品配置清单序号名称规则型号单位数量1数据服务器1•名称:数据服务器台22•技术参数：HPDL580G7E75202P16GBSvr（配4*146G双端口热插拔硬盘，3年保修现场金牌服务）2应用服务器1•名称:应用服务器台12•技术参数：HPDL388G7E5506EntryCNSvr（配内置光驱，2*146G双端口热插拔硬盘，液晶显示器，3年保修现场金牌服务）3操作系统（服务器）Windowsserver2003coem企业版1•名称:操作系统（服务器）套32•规格型号：Windowsserver2003coem企业版4数据库软件SQLServer2008工作组版1•名称:数据库软件套22•规格型号：SQLServer2008工作组版5网络交换机LS-5120-28P-SI-H31•名称：网络交换机台132•技术参数:LS-5120-28P-SI-H3,配光模块6网络交换机LS-5500-28C-EI1•名称：网络交换机台202•技术参数:LS-5500-28C-EI,配光模块、1•名称:声光报警装置JBU-VM1372B1•名称:声光报警装置JBU-VM1372B2•其它：符合设计及规范要求台3网络交换机LS-5500-28F-EI-AC操作系统（客户机）WindowsXPPCOEM磁盘阵列10双机热备份软件11电源防雷器12接地铜心线BVR-25mm213接地铜心线BVR-50mm214抗静电地板接地跨线15等电位接地铜排161718防雷器B级ZGG120-385防雷器C级ZGG80-385防雷器D级ZGG40-38519输入输出模块20接线端子箱21感烟探测器22感温探测器23手动报警按扭24声光报警装置堆叠模块、堆叠线1•名称：网络交换机2.技术参数:LS-5500-28F-EI-AC,配8个光模块1•名称:操作系统（客户机）2.规格型号：WindowsXPPCOEM1•名称：磁盘阵列2•规格型号：MSA2300SAG2,含磁盘柜，支持12槽，配6x300GSAS热拔插硬盘1•名称:双机热备份软件2.规格型号：ROSEFORWINDOWS8.5版本1•名称：电源防雷器2.型号：ZFDF-2203•参数：标称通流容量：220KA最大通流量：250KA残压：＜200V响应时刻：〈25ns1.引下线材质、规格、技术要求（引下形式）:BVR-25mm2铜芯线，均压环引至联合接地体2•部位：主龙骨接地线、配电柜接地线引下线材质、规格、技术要求（引下形式）:BVR-50mm2铜芯线，均压环引至联合接地体2•部位：主龙骨接地线、配电柜接地线1•名称：抗静电地板接地跨线BVR61•均压环材质、规格、技术要求:30*3铜排,地板下安装，做等电位均压环1•名称、型号：防雷器B级ZGG120-385电压等级：400V1•名称、型号：防雷器C级ZGG80-3852.电压等级：400V1•名称、型号：防雷器C级ZGG40-3852.电压等级：400V1•名称：输入输出模块JF-M022•输出形式：单输出1•名称：接线端子箱2.型号：JPH9011•名称:感烟探测器JTY-GD/JF-D112•其它：符合设计及规范要求1•名称:感温探测器JTW-BCD/JF-D122•其它：符合设计及规范要求1•名称:手动报警按扭J-SAP-M/JF-D132•其它：符合设计及规范要求1296.837.810890核心网交换机LS-5500-28C-EIH3CS5500-EI系列交换机是H3C公司最新开发的增强型IPv6强三层万兆以太网交换机产品，具备业界盒式交换机最先进的硬件处理能力和最丰富的业务特性。支持最多4个万兆扩展接口；支持IPv4/IPv6硬件双栈及线速转发，使客户能够镇定应对立即带来的IPv6时代；除此以外，其杰出的安全性，可靠性和多业务支持能力使其成为大型企业网络和园区网的汇聚，中小企业网核心、以及城域网边缘设备的第一选择。随着用户端速度持续提升，用户最终会使集群千兆链路达到饱和，而能够拥有多条集群10GE链路将是我们的以后进展方向。H3CS5500-EI系列交换机支持两个扩展槽位，每个槽位支持单端口或双端口的10GE扩展模块，在实现千兆汇聚或接入时保留进一步支持10GE的扩展能力，尽力爱护用户投资。IPv4到IPv6的演变是以太网进展的大势所趋，网络设备关于IPv6的支持不仅是简单的可用就行，而是需要达到商用的标准，S5500-EI差不多通过了国际最权威的IPv6Ready第二时期认证，而且通过了信息产业部严格的IPv6入网测试。那个系列产品是基于硬件的IPv4/IPv6双栈平台，支持丰富的IPv4和IPv6三层路由协议、组播协议和策略路由机制，实现IPv4到IPv6的平滑升级。完备的安全操纵策略H3CS5500-EI系列交换机支持EAD（端点准入防备）功能，配合后台系统能够将终端防病毒、补丁修复等终端安全措施与网络接入操纵、访咨询权限操纵等网络安全措施整合为一个联动的安全体系，通过对网络接入终端的检查、隔离、修复、治理和监控，使整个网络变被动防备为主动防备、变单点防备为全面防备、变分散治理为集中策略治理，提升了网络对病毒、蠕虫等新兴安全威逼的整体防备能力。H3CS5500-EI交换机支持集中式MAC地址认证、802.1x认证、PORTAL认证，支持用户帐号、IP、MAC、VLAN、端口等用户标识元素的动态或静态绑定，同时实现用户策略（VLAN、QoS、ACL）的动态下发；支持配合H3C公司的CAMS系统对在线用户进行实时的治理，及时的诊断和瓦解网络非法行为。H3CS5500-EI系列交换机提供增强的ACL操纵逻辑，支持超大容量的入端口和出端口ACL，同时支持基于VLAN的ACL下发，在简化用户配置过程的同时，幸免了ACL资源的白费。另外，S5500-EI系列还将支持单播反向路径查找技术（uRPF），原理是当设备的一个接口上收到一个数据包时，会反向查找路径来验证是否存在从该接收接口到包中制定的源地址之间的路由，即验证了其真实性，如果不存在就将数据包删除，如此我们就能够有效杜绝网络中日益泛滥的源地址欺诈。多重可靠性爱护S5500-EI系列交换机还具备设备级和链路级的多重可靠性爱护。所有机型都支持内置的双冗余电源，其中S5500-28F-EI支持可插拔的冗余电源模块，也确实是讲我们能够按照实际环境的需要灵活配置交流或直流电源模块，此外整机还支持电源和风扇的故障检测及告警，能够按照温度的变化自动调剂风扇的转速，这些设计使我们这款盒式交换机具备了机柜式交换机的高可靠性。除了设备级可靠性以外，还支持丰富的链路可靠性以外，还支持丰富的链路可靠性技术。当网络上承载多业务、大流量的时候也不阻碍网络的收敛时刻，保证业务的正常开展。多业务支持能力支持PoE（PoweroverEthernet）技术，通过以太网对所连接的设备（如IPPhone,WirelessAP等）进行远程供电，从而使得不必在使用现场为设备部署单独的电源系统，能够极大地减少部署终端设备的布线和治理成本。支持VoiceVLAN技术，交换机通过识不端口的语音流，将对应的接入端口加入VoiceVLAN（专用语音VLAN）中，为语音流量提供专门通道，并自动下发优先级规则保证语音流的优先传输来保证通话质量。同时通过设置VoiceVLAN安全特性，只承诺语音流量通过，能够有效防止突发数据流量对VoiceVLAN内的语音流量的冲击。双机热备份软件ROSEFORWINDOWS8.5版本RoseHA双机系统的两台服务器（主机）都与磁盘阵列（共享储备）系统直截了当连接，用户的操作系统、应用软件和RoseHA髙可用软件分不安装在两台主机上，数据库等共享数据存放在储备系统上，两台主机之间通过私用心跳网络连接。配置好的系统主机开始工作后，RoseHA软件开始监控系统，通过私用网络传递的心跳信息，每台主机上的RoseHA软件都可监控另一台主机的状态。当工作主机发生故障时，心跳信息就会产生变化，这种变化能够通过私用网络被RoseHA软件捕捉。当捕捉到这种变化后RoseHA就会操纵系统进行主机切换，即备份机启动和工作主机一样的应用程序接管工作主机的工作（包括提供TCP/IP网络服务、储备系统的存取等服务）并进行报警，提示治理人员对故障主机进行修理。当修理完毕后，能够按照RoseHA的设定自动或手动再切换回来，也能够不切换，现在修理好的主机就作为备份机，双机系统连续工作。RoseHA实现容错功能的关键在于，对客户端来讲主机是透亮的，当系统发生错误而进行切换时，即主机的切换在客户端看来没有变化，所有基于主机的应用都仍旧正常运行。RoseHA采纳了虚拟IP地址映射技术来实现此功能。客户端通过虚拟地址和工作主机通讯，不管系统是否发生切换，虚拟地址始终指向工作主机。在进行网络服务时，RoseHA提供一个逻辑的虚拟地址，任何一个客户端需要要求服务时只需要使用那个虚拟地址。正常运行时，虚拟地址及网络服务由主服务器提供。当主服务器显现故障时，RoseHA会将虚拟地址转移到另外一台服务器的网卡上，连续提供网络服务。切换完成后，在客户端看来系统并没有显现故障，网络服务仍旧能够使用。除IP地址外，HA还能够提供虚拟的运算机不名供客户端访咨询。关于数据库服务，当有主服务器显现故障时，另外一台服务器就会自动接管，同时启动数据库和应用程序，使用户数据库能够正常操作。RoseHA双机系统的两台服务器（主机）都与磁盘阵列（共享储备）系统直截了当连接，用户的操作系统、应用软件和RoseHA髙可用软件分不安装在两台主机的内部储备（硬盘）上，数据库等共享数据存放在储备系统上，两台主机之间通过私用心跳网络连接。系统主机开始工作后，RoseRoseHA支持Active-Active模式和Active-Standby模式。用户可指定每台服务器的作用（activeorstandby）,指定要监控的服务和硬件部分，定义指定的服务发生故障后要采取的进一步行动（如是否重新启动该服务、承诺的最大启动时刻等）。支持多条心跳路径能够将网线和RS-232串口线作为在RoseHA软件的心跳路径。配置多条心跳路径能够幸免系统的单点故障。自动切换当系统显现故障时（如：系统宕机、HA进程/应用进程被杀掉、RS-232、SCSI、光纤、网络线缆断开），RoseHA将确定故障缘故，并采取相应计策，并将这些应用切换到备份服务器上。而故障服务器中未受阻碍的应用可不能被切换，既可不能受任何阻碍。不需要系统治理员干预。自动检测在集群系统的每一台服务器内，RoseHA具有两个核心进程，它们互相监控，如果其中一个进程失败，另一个进程会赶忙进行复原。服务器可靠性在主服务器显现故障（如掉电或宕机）时，另外一台服务器接管故障服务器上运行的所有的关键性应用。网络可靠性如果服务器的网络部分发生故障，会导致客户不能连接和访咨询到服务器，这同样是致命的故障。如果该服务器配备了冗余的网络接口，RoseHA会使用它来复原网络连接。在没有配备冗余的网络接口，或者所有的网络接口均显现故障时，HA会将该应用切换到另外一台服务器上。切换完成后，客户在短暂的切换过程后能够连续访咨询所需的服务。储备可靠性需要将应用的全部数据储备在两台服务器都能访咨询到的共享磁盘中。建议使用磁盘阵列来储备数据，如此能够幸免单点固障，而且便于对系统的容量进行扩充。对由VolumeManager软件治理的磁盘阵列，RoseHA提供了相应的处理程序，以保证磁盘阵列及数据的可靠性。应用可靠性在高可用性系统中能够运行多个应用。每一个应用是作为一个服务而存在的。在服务器中，当某个服务失败而其它服务正常运行时，RoseHA将处理那个失败的服务。在将那个服务切换到另一台服务器上时，该服务器上运行的服务也可不能受到阻碍。关于与网络不有关的纯数据应用，只需要切换数据储备和数据处理软件。而在与网络有关的客户机/服务器应用，除了要切换数据储备和数据处理软件外，还需要切换有关的虚拟IP。如果期望两个服务独立地进行切换，则此两个IP地址不能相同。如果使用了相同的IP地址，在发生切换时，RoseHA会将所有使用该IP的服务都切换到另外一台服务器上去。丰富的附加功能提供不同的针对特定应用的Agent程序，使服务监控更切实际，更加有效；提供用于开发Agent程序的应用程序界面（API），使用者可针对特定的服务编写Agent程序，执行与特定服务有关的状态诊断及错误复原工作的。SQLServer2008R2概述MicrosoftSQLServer2008提供了有助于有效治理安全性功能配置、强身份验证和访咨询操纵的安全性增强功能、功能强大的加密和密钥治理功能，以及增强型审核功能。重大的新功能使用基于策略的治理，针对企业内的数据来治理及检测不符合安全策略的情形不需修改应用程序即可使用透亮数据加密来加密数据使用可扩展密钥治理和硬件安全性模块，利用整个企业的加密解决方案使用SQLServerAudit实现高性能的细微审核爱护企业中数据的安全使用预设为安全且在部署中为安全的数据库解决方案来爱护数据的安全。使用自动化基于策略的治理来设定接口区使用基于策略的治理，针对企业内的服务器、数据库和数据库对象来确认符合配置策略。使用新的接口区Facet操纵使用中的服务和功能，以降低暴露在安全性威逼下的机会。自动应用软件更新使用WindowsUpdate自动更新SQLServer2008。减少已知软件弱点所造成的威逼。操纵对数据资源的访咨询有效治理验证和授权以及只提供访咨询权给需要的用户，藉此来取得数据的操纵权。强制实行密码策略自动应用MicrosoftWindowsServer2003（或更新版本）的密码策略，以强制实行最小密码长度、适当的字符组合以及定期变更的密码，即便使用SQLServer登入也是。使用角色和Proxy账户使用msdb数据库的固定数据库角色，增加关于代理程序服务的操纵权使用多个Proxy帐户，让当做作业步骤的SQLServerIntegrationServices（SSIS）封装执行更安全提供安全性增强型元数据访咨询使用名目视图来提供关于元数据的安全性增强访咨询，好让用户只针对他们具有访咨询权的对象来查看元数据使用执行内容来增强安全性功能使用执行内容标示模块，以便使用特定的用户身分（而不是调用的用户身分）来执行模块内的语句授与调用的用户执行模块的权限，然而针对模块内的语句使用执行内容的权限简化权限治理使用架构来简化及改良大型数据库的弹性。给某个架构授与权限，以便将权限授与给此架构内所包含的每一个对象，以及以后在此架构内置立的每一个对象。加密敏锐数据通过内置密码编译功能及关于企业密钥管明白得决方案的支持来爱护敏锐数据。充分利用内置密码编译层次结构在SQLServer2008中使用内置密码编译层次结构来创建非对称密钥、对称密钥和凭证以透亮方式加密数据通过安全性增强型数据库加密密钥（DEK），以透亮方式在数据库层次结构执行所有加密，让开发需要加密数据的应用程序复杂度降低。让应用程序开发人员访咨询加密的数据，而不需要变更现有的应用程序。利用可扩展密钥治理使用企业密钥治理系统来聚合企业加密。使用硬件安全性模块，将密钥存放在不同的硬件上，好让您的数据与密钥分开。使用专门系统来简化密钥治理。签署程序代码模块使用密钥或凭证，将数字签名添加到程序代码模块（如储备结构和函数），然后在程序代码模块执行期间，将其他权限与此签章产生关审核数据库活动为了可讲明性和符合性来审核数据库系统中的活动。使用SQLServerAudit进行增强型审核定义审核，自动将活动记录在记录文件、Windows应用程序记录文件或Windows安全日志中。创建审核规格来判定要并入审核的服务器和数据库动作，以猎取审核的完全操纵权。使用DDL触发程序创建自定义审核解决方案使用触发程序捕捉及审核数据定义语言(DDL)活动。扩充触发程序来响应DDL事件和数据操作语言(DML)事件，并记录DDL事件，以改善审核及增强安全性。WindowsServer2003R2WindowsServer2003R2安全性概述微软公司在MicrosoftWindows2003Server安全性技术方面做出的创新给客户带来了全新的体验，不但可关心客户建立赶忙可用的安全连接基础架构，更能关心客户建立、部署和治理其它的安全解决方案。微软公司进行了许多工程设计上的改变，调整多项阻碍安全的系统默认值设定，并提供多项能够增强Windows平台安全性的新功能和新技术。Windows2003Server以安全为理念重新设计了许多组件，而这些组件也建构出以安全为要紧目标的创新。Windows2003Server由基于全新的安全设计原则的组件构成：InternetInformationServices(IIS)6.0。通过重新设计，承诺应用程序或Webservices的工作程序以较低权限的使用者账户来执行，借由限制网络存取的方法降低潜在的攻击，并修改了IIS5.0服务器证书不能删除的Bug。CommonLanguageRuntime(CLR)。本软件引擎是Windows2003Server的关键部分，它提升了可靠性并有助于保证运算环境的安全，降低了错误数量，并减少了由常见的编程错误引起的安全漏洞。公共语言运行库还验证应用程序是否能无错误运行，并检查适当的安全性权限，以确保代码只执行适当的操作。Windows2003Server为客户提供一个赶忙可用的安全基础，关心企业建立一个不容易遭受攻击的网络环境。产品在安装起来之时就处于安全锁定的状态，其中有二十多项服务预设为不安装或以较低的权限执行，以便关心IT治理员在最安全的组态下执行其服务器。它在默认设置中将安全放到了最优先考虑的位置，追加了用于强化Windows平台安全性的新功能和新技术：IIS6.0在Windows2003Server中的默认值为关闭。InternetExplorer在Windows2003Server中，安全设定的默认值为“高”安全性。密码安全性差不多过强化，因此使用者无法使用任何没有密码的账户进行远程登入。如此可降低网络因不良密码而遭受远程攻击的可能性