信息安全集成设计方案

成都综合保税区西区信息安全集成系统方案XX科技有限公司.12

目录1、项目背景 32、需求分析 43、系统设计 53.1设计根据及设计原则 53.2信息安全技术设计 83.3信息安全管理设计 143.4产品选型 16

1、项目背景2010年10月18日四川成都出口加工区4月经国务院同意设立，是中国首批出口加工区之一，进出口总额64.2亿美元，1—7月进出口总额50.75亿美元，增加43%，综合排名全国第5、中西部第1，是全国发展最佳的出口加工区之一；成都保税物流中心(B型)于3月通过验收，7月正式封关运行，现在发展状况良好。整合扩展后的成都高新综合保税区集保税出口、保税物流、口岸功效于一身，是现在国内功效最全、政策最优的海关特殊监管区域，有助于海关监管运行，更有助于公司的进一步发展。为了将成都综合保税区建设成为中国中西部一流的保税区和口岸平台，提高出口加工区当代化的监管水平，运用当代监控技术、网络与通信技术、计算机解决技术和自动控制技术，构建一种先进、实用、可靠的保税区海关联网监管系统。信息技术的发展，为海关管理创新提供了手段，实现信息化将使海关管理水平产生质的飞跃。通过数年的建设，海关已形成了涉密办公网、办公管理网、业务运行网、对外接入网等功效齐全的复杂办公环境，在业务协同、办公管理、对外服务等方面发挥了越来越重要的作用。建设统一的技术支撑平台，建立科学的信息管理体系，核心的一环就是信息部门必须对其信息技术设备和服务进行全方面的、整体的网络运行监控和安全管理。这其中，既涉及到网络管理，也有安全管理。技术支撑层，充足运用技术手段，建立高效、协同的信息安全管理平台，将网络监控与安全监控有机地结合在一起，重视能够及时定位故障。技术支撑体系应当涉及三个层次：展示层、运维管理层、集中监控层。1）展示层。提供面对信息安全层面和信息安全管理决策层面的展示视角，在信息安全管理界面上实现集中运维的统一管理功效和信息展示与交互功效。2）流程及业务信息安全管理层。在集中信息安全管理模式下实现流程执行和管理控制功效、业务安全管理功效。3）集中控制层。通过监控工具实现对不同服务对象和IT资源的实时监控，涉及主机、数据库、中间件、存储藏份、网络、安全、机房、业务应用和客户端等技术支持管理子系统进行综合解决和集中管理。2、需求分析2.1广域网网络链接2.1.1海关业务线路为确保综保区海关业务正常开展，按海关布署有关规定，规定综保区到成都海关中心机房广域网线路“双线热备”方案。“双线热备”方案已在成都海关中心机房至出口加工西区、机场海关等四个重要业务现场实施布署。其具体需求是海关业务运行网和业务管理网在网络正常时各走一条链路，当其中一条链路出理故障时互为备份，故障排除后自动切换回原有链路，无需人工干预。线路上分别选择电信和网通的一条链路，更加好地保障备份的可靠。系统建设配备涉及广域网路由设备，不同的运行网分别租用4M以上的宽带线路。2.1.2电子口岸专线为满足电子口岸录入的需要，规定建设电子口岸电子专网。电子口岸专网也采用“双线热备”方案，原则上由布署数据中心负责审批。2.2综合布线2.2.1分类综合布线系统涉及管理网G（六类系统）、业务网Y（超五类系统）、互联网W（超五类系统）语音网T（水平超五类系统）、备用网络B（超五类系统）合计5个系统（可根据监管规定及功效设立作对应调节）。各网络物理隔离、独立组网，新设机构可根据实际状况选择网络系统的建设。楼层弱电井设立不同功效的配线间。主干数据采用4芯多模室内光缆、语音采用25芯5类大对数电缆及超5类屏蔽电缆。2.2.2网线布线系统管理网：水平布线采用六类非屏蔽网线，垂直干线采用4芯多模光纤；运行网、互联网、备用网络：水平布线采用超五类非屏蔽网线，垂直干线采用4芯多模光纤；机房：水平布线采用六类非屏蔽网线及超五类屏蔽网线。2.2.3机柜的配备在楼层弱电井设有不同功效的独立配线间。各楼层布线系统统一汇聚到机房。配线间：管理网、业务网可共用一种机柜，互联网、电话、备用网共用一种机柜；机房：管理网、业务网可共用一种机柜，互联网、备用网共用一种机柜，电话共用一种机柜。2.2.4综合布线标记阐明由于网络的种类比较多，在前面板用颜色加编号的方式对点位的功效进行分区。使用时从面板标记的颜色可拟定点位所属的网络或电话。综合布线标记面板、水平线缆、配线架用相机的编号，垂直主干用另一种编号。具体编号阐明参见海关对应文献。机房的网络布线系统设计，除应符合本规范的规定外，还应符合现行国标《综合布线系统工程设计规范》GB50311的有关规定。2.2.5园区网建设园区内应建设园区网，以实现区内全部公司与管委会之间信息的互通和管理，同时考虑对应的安全管理建设，涉及防病毒管理、客户端准入等。园区网为封闭局域网，但保存对外互联网出口。园区网建设方案应提交海关技术处审批，海关技术处可对园区网的建设进行协助和指导。2.3机房建设机房建设规定为海关设立独立机房，桐庐工程涉及桐庐地面装修、电气部分的配电柜、防雷工程、消防报警、机房空调、UPS、机房监控、综合布线系统等。机房面积：按二类机房的有关规定，面积在90~130平方米之间；机房走线与装修：按上走线方式进行综合布线，吊顶应可拆卸，或留有出入口，以方便管道和设备的安装维护。缆线采用线槽或桥架敷设时，线槽或桥架的高度不适宜不小于150mm,桥架宜采用网格式桥架。地面工程：地面应平整，必须进行防尘解决，采用防尘涂料时，最少粉刷2遍以上。防雷工程：防雷部分的电源防雷器选用进口产品。机房空调：能够满足机房使用条件的专用独立温湿度调节空调。机房综合布线：机房的综合布线系统选用进口6类非屏蔽系统，配线架全部选用6类24口快跳式配线架，光纤部分采用24口光纤配线盘连接。各楼层汇聚机房配线架，配线架型号选择参见综合布线各网络设计规定。UPS：配备10KVAUPS设备2台，电池能够满足10KVA设备支持30分钟。消防报警：根据具体状况自行设计。机房监控：根据具体状况自行设计。3、系统设计3.1设计根据及设计原则3.1.1《计算机信息系统安全保护等级划分准则》（GB17859-1999）《信息系统安全等级保护基本规定》（GB/T22239-）。《信息系统安全保护等级定级指南》（GB/T22240-）《信息系统安全等级保护实施指南》（信安字[]10号）《信息系统通用安全技术规定》（GB/T20271-）《信息系统等级保护安全设计技术规定》（信安秘字[]059号）《信息系统安全管理规定》（GB/T20269-）《信息系统安全工程管理规定》（GB/T20282-）《信息系统物理安全技术规定》（GB/T21052-）《网络基础安全技术规定》（GB/T20270-）《信息系统安全等级保护体系框架》（GA/T708-）《信息系统安全等级保护基本模型》（GA/T709-）《信息系统安全等级保护基本配备》（GA/T710-）《信息系统安全等级保护测评规定》（报批稿）《信息系统安全等级保护测评过程指南》（报批稿）《信息系统安全管理测评》（GA/T713-）《操作系统安全技术规定》（GB/T20272-）《操作系统安全评定准则》（GB/T8-）《数据库管理系统安全技术规定》（GB/T20273-）《数据库管理系统安全评定准则》（GB/T9-）《网络端设备隔离部件技术规定》（GB/T20279-）《网络端设备隔离部件测试评价办法》（GB/T20277-）《网络脆弱性扫描产品技术规定》（GB/T20278-）《网络脆弱性扫描产品测试评价办法》（GB/T20280-）《网络交换机安全技术规定》（GA/T684-）《虚拟专用网安全技术规定》（GA/T686-）《网关安全技术规定》（GA/T681-）《服务器安全技术规定》（GB/T21028-）《入侵检测系统技术规定和检测办法》（GB/T20275-）《计算机网络入侵分级规定》（GA/T700-）《防火墙安全技术规定》（GA/T683-）《防火墙技术测评办法》（报批稿）《信息系统安全等级保护防火墙安全配备指南》（报批稿）《防火墙技术规定和测评办法》（GB/T20281-）《包过滤防火墙评定准则》（GB/T0-）《路由器安全技术规定》（GB/T18018-）《路由器安全评定准则》（GB/T1-）《路由器安全测评规定》（GA/T682-）《网络交换机安全技术规定》（GB/T21050-）《交换机安全测评规定》（GA/T685-）《终端计算机系统安全等级技术规定》（GA/T671-）《终端计算机系统测评办法》（GA/T671-）《虚拟专网安全技术规定》（GA/T686-）《应用软件系统安全等级保护通用技术指南》（GA/T711-）《应用软件系统安全等级保护通用测试指南》（GA/T712-）《网络和终端设备隔离部件测试评价办法》（GB/T20277-）《网络脆弱性扫描产品测评办法》（GB/T20280-）《信息安全风险评定规范》（GB/T20984-）《信息安全事件管理指南》（GB/Z20985-）《信息安全事件分类分级指南》（GB/Z20986-）《信息系统灾难恢复规范》（GB/T20988-）3.1.2在技术方案设计中，遵照下列的系统总体设计原则：1、统一规划、分布实施遵照统一规划、分布实施的原则，在信息中心软硬件支持平台扩容规划和建设中，首要的工作就是明确近期和长久的建设目的，立足于应用，分布实施。2、开放性、互连性和原则化采用国际、国标、合同和接口，能与现有的和将来的系统互连与集成。3、先进性在确保系统的整体性和实用性的前提下，考虑系统的先进性，所采用的技术和设备应能确保在现在同行业中是先进的，能够满足成都海关信息中心软硬件支持平台扩容将来5年以上的需求发展。4、成熟性技术方案中所采用的系统体系构造和技术必须是已通过实践检查，证明是成熟的。5、可靠性、稳定性和容错性通过选择成熟的技术、冗余的设计、可靠性产品确保整个系统含有高度的可靠性、稳定性和容错性。6、安全性建立完善的网络安全体系，确保海关信息中心网络设备的安全运行。7、高性能网络系统、服务器系统和安全系统的设计和产品选择都要考虑到高性能规定。8、升级性和可扩展性系统设计要充足考虑到扩容和升级的需要，能灵活方便地适应将来系统可能的变化。选择开放性原则的产品，确保设备的兼容性；通过系统构造的合理设计和适度资源冗余，为将来的系统扩充打下基础，确保需求增加时系统的平滑扩充，确保前期的投资。9、高可管理性整个系统的设计要层次清晰、功效明确，便于性能分析、故障诊疗，能实现对系统资源的全方面监控和优化配备，对访问的有效监控和审计，确保整个系统含有高度的可管理性。3.2信息安全技术设计3.2.1机房设计机房位置的选择机房设立在综合保税区A区2楼，按照国家机房原则设立，含有防震、防风和防雨等能力。机房访问控制a)机房出入口应安排专人值守，控制、鉴别和统计进入的人员；b)需进入机房的来访人员应通过申请和审批流程，并限制和监控其活动范畴。防盗窃和防破坏a)应将重要设备放置在机房内；b)应将设备或重要部件进行固定，并设立明显的不易除去的标记；c)应将通信线缆铺设在隐蔽处，可铺设在地下或管道中；d)应对介质分类标记，存储在介质库或档案室中；e)主机房安装必要的防盗报警设施。防雷击a)机房建筑设立了电源防雷器、数据防雷器和视频信息防雷器等避雷装置；b)机房设立交流电源地线。防火机房应设立灭火设备和火灾自动报警系统。防水和防潮a)水管安装，不得穿过机房屋顶和活动地板下；b)采用方法避免雨水通过机房窗户、屋顶和墙壁渗入；c)采用方法避免机房内水蒸气结露和地下积水的转移与渗入。防静电整个机房采用防静电地板设计。温湿度控制机房设立温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范畴之内。电力供应a)应在机房供电线路上配备稳压器和过电压防护设备；b)应提供了30KVA的UPS，用于短期的备用电力供应，最少满足核心设备在断电状况下的正常运行规定。0电磁防护电源线和通信线缆应隔离铺设，避免互相干扰。3.2.2网络设计网络构造设计采用MSTP的组网方式，A、B、C三区采用MSTP光纤电路（RJ45接口），通过中国电信MSTP网络，实现了A、B、C三个区的互联通讯、三个区的网络热备以及A区通过互联网接入与成都海关总部互访，构成数据通信传输通信专网。其网络构造图以下图所示：图9：网络构造图网络中设备、电路均安全可靠，核心设备、电路都有冗余备份，并采用先进的容错技术和故障解决技术，确保数据传输的安全可靠，确保网络可用性达成使用规定。这样设计，得以实现系统网络安全：确保核心网络设备的业务解决能力含有冗余空间，满足业务高峰期需要；确保接入网络和核心网络的带宽满足业务高峰期需要；根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分派地址段。访问控制在网络边界布署访问控制设备，启用访问控制功效；根据会话状态信息为数据流提供明确的允许/回绝访问的能力，控制粒度为网段级。按顾客和系统之间的允许访问规则，决定允许或回绝顾客对受控系统进行资源访问，控制粒度为单个顾客；限制含有拨号访问权限的顾客数量。安全审计对网络系统中的网络设备运行状况、网络流量、顾客行为等进行日志统计；审计统计应涉及事件的日期和时间、顾客、事件类型、事件与否成功及其它与审计有关的信息。边界完整性检查能够对内部网络中出现的内部顾客未通过准许私自联到外部网络的行为进行检查。入侵检测在网络边界处监视下列攻击行为：端口扫描、强力攻击、木马后门攻击、回绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。系统设立一台IDS检测引擎，用于对计算机和网络资源的恶意使用行为进行识别和对应解决。其构造以下图所示：检测引擎是一种高性能的专用硬件，运行安全的操作系统，对网络中的全部数据包进行统计和分析。根据规则判断与否有异常事件发生，并及时报警和响应。同时统计网络中发生的全部事件，方便事后重放和分析。管理主机运行于Windows操作系统的图形化管理软件。能够查看分析一种或多个检测引擎，进行方略配备，系统管理。显示攻击事件的具体信息和解决对策。恢复和重放网络中发生的事件。提供工具分析网络运行状况。并可产生图文并茂的报表输出。网络设备防护对登录网络设备的顾客进行身份鉴别；对网络设备的管理员登录地址进行限制；网络设备顾客的标记应唯一；身份鉴别信息应含有不易被冒用的特点，口令应有复杂度规定并定时更换；含有登录失败解决功效，可采用结束会话、限制非法登录次数和当网络登录连接超时自动退出等方法；当对网络设备进行远程管理时，应采用必要方法避免鉴别信息在网络传输过程中被窃听。3.2.3主机安全身份鉴别应对登录操作系统和数据库系统的顾客进行身份标记和鉴别；操作系统和数据库系统管理顾客身份标记应含有不易被冒用的特点，口令应有复杂度规定并定时更换；应启用登录失败解决功效，可采用结束会话、限制非法登录次数和自动退出等方法；当对服务器进行远程管理时，应采用必要方法，避免鉴别信息在网络传输过程中被窃听；应为操作系统和数据库系统的不同顾客分派不同的顾客名，确保顾客名含有唯一性。访问控制应启用访问控制功效，根据安全方略控制顾客对资源的访问；应实现操作系统和数据库系统特权顾客的权限分离；应限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令；应及时删除多出的、过期的帐户，避免共享帐户的存在。安全审计审计范畴应覆盖到服务器上的每个操作系统顾客和数据库顾客；审计内容应涉及重要顾客行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全有关事件；审计统计应涉及事件的日期、时间、类型、主体标记、客体标记和成果等；应保护审计统计，避免受到未预期的删除、修改或覆盖等。入侵防备操作系统应遵照最小安装的原则，仅安装需要的组件和应用程序，并通过设立升级服务器等方式保持系统补丁及时得到更新。恶意代码防备应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库；应支持防恶意代码软件的统一管理。资源控制应通过设定终端接入方式、网络地址范畴等条件限制终端登录；应根据安全方略设立登录终端的操作超时锁定；应限制单个顾客对系统资源的最大或最小使用程度。3.2.4应用安全身份鉴别应提供专用的登录控制模块对登录顾客进行身份标记和鉴别；应提供顾客身份标记唯一和鉴别信息复杂度检查功效，确保应用系统中不存在重复顾客身份标记，身份鉴别信息不易被冒用；应提供登录失败解决功效，可采用结束会话、限制非法登录次数和自动退出等方法；应启用身份鉴别、顾客身份标记唯一性检查、顾客身份鉴别信息复杂度检查以及登录失败解决功效，并根据安全方略配备有关参数。访问控制应提供访问控制功效，根据安全方略控制顾客对文献、数据库表等客体的访问；访问控制的覆盖范畴应涉及与资源访问有关的主体、客体及它们之间的操作；应由授权主体配备访问控制方略，并严格限制默认帐户的访问权限；应授予不同帐户为完毕各自承当任务所需的最小权限，并在它们之间形成互相制约的关系。安全审计应提供覆盖到每个顾客的安全审计功效，对应用系统重要安全事件进行审计；应确保无法删除、修改或覆盖审计统计；审计统计的内容最少应涉及事件日期、时间、发起者信息、类型、描述和成果等。通信完整性应采用校验码技术确保通信过程中数据的完整性。通信保密性在通信双方建立连接之前，应用系统应运用密码技术进行会话初始化验证；应对通信过程中的敏感信息字段进行加密。软件容错应提供数据有效性检查功效，确保通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定规定；在故障发生时，应用系统应能够继续提供一部分功效，确保能够实施必要的方法。资源控制当应用系统的通信双方中的一方在一段时间内未作任何响应，另一方应能够自动结束会话；应能够对应用系统的最大并发会话连接数进行限制；应能够对单个帐户的多重并发会话进行限制。3.2.5数据安全及备份恢复数据完整性应能够检测到鉴别信息和重要业务数据在传输过程中完整性受到破坏。系统提供完整的日志功效，对全部的业务数据，进行日志统计，以备后查。数据保密性应采用加密或其它保护方法实现鉴别信息的存储保密性。系统使用IC卡存储业务数据时，采用了DES加密算法，对核心数据进行加密。备份和恢复a)采用了Rose公司提供的、基于共享磁盘阵列的高可用RoseHA解决方案，为顾客提供了含有单点故障容错能力的系统平台。b)采用MSTP的组网方式，A、B、C三区采用MSTP光纤电路（RJ45接口），通过中国电信MSTP网络，实现了A、B、C三个区的互联通讯、三个区的网络热备以及A区通过互联网接入与成都海关总部互访，构成数据通信传输通信专网。c)制订具体的数据库备份与灾难恢复方略，并通过模拟故障对每种可能的状况进行严格测试，确保了数据的高可用性。3.2.6综合布线系统概述综合布线系统范畴重要涉及联检大楼、闸口及闸口办公区、查验平台及查验仓库及实验楼等。本综合布线系统涉及海关、检查检疫和顾客三方的综合布线系统。综合布线系统设计为确保系统先进性、开放性和扩展性，实现语音、多媒体、数据等应用的承载能力，综合布线系统采用六类构造化布线系统，采用星型拓扑构造，主干网络采用千兆以太网络，实现百兆接入、千兆上行的物理链路。综合布线系统由工作区，水平区，垂直区，设备管理及楼群子系统构成，各部分均采用原则的模块化构件，以利于将来的升级、扩展。工作区子系统工作区子系统由设在各工作区的信息插座、跳线（连接信息插座至终端设备之间的线缆）构成。信息插座采用双孔面板及相配合的六类信息模块。水平干线子系统水平子系统由各大楼内楼层配线间至各个工作区之间的电缆和多模水平光缆构成。水平干线子系统采用六类阻燃双绞线电缆。本系统采用六类双绞线，用于全部的数据点和语音点，实现信息点可完全交换。垂直主干子系统垂直主干子系统采用单模光缆，提供全双工传输通道，含有极大的传输带宽和极高的传输质量。管理子系统管理子系统由各层分设的楼层配线系统及主机房中的主配线系统（设备间子系统）构成，负责楼层内及信息通道的统一管理。重要由跳线面板、跳线管理器、跳线、光缆端接面板、机柜（或机架）等构成。管理子系统将电话模块、电脑模块和网络模块安装在机柜中，对线缆进行统一布局和管理。系统采用19”原则机柜，高42U，顶部安装有2-4个电扇，背后安装电源线槽，正面安装玻璃门，后背板和侧板均可拆卸。机柜内全部的信息点符合规定的编号规则和颜色规则，以方便顾客的使用。主配线间（BD）为实现高可靠性，本系统将主配线架全部安装在机柜内。楼层配线间（FD）在各楼层配线架中，与水平双绞线连接的顾客区采用六类配线架，每个信息点完全灵活用于语音或数据。各配线间设立光纤配线架,用来连接多芯光缆，安装在19”原则机柜内，用于多个计算机网络设备。通过更换跳线实现与其它网络设备的连接。海关综合布线系统海关网络按照海关总署“五网”独立规定，分别设立管理网、运行网、电子口岸专网、互联网和语音网。海关网络覆盖范畴涉及：闸口及闸口办公区、查验平台及查验仓库及联检大楼海关办公场地等。海关网络采用三层构造设计，由核心层、汇聚层、接入层构成。核心层设立在海关信息中心机房，汇聚层设立在海关信息中心机房、查验平台机房，接入层设立在卡口。海关网络应与成都海关的网络无缝地实现互联互通。在海关网络核心层选择1台高性能交换机作为系统主交换机。主交换机与系统服务器连接采用1000M连接。3.3产品选型3.3.1选型原则在本方案的技术选择和设备选型首先是基于对本项目的理解和分析，并特别考虑到满足将来5到的业务发展规定做出的，并遵照下列原则得出的：实用性采用成熟、稳定的技术，满足业务的实际规定；先进性根据现在业务规定，考虑此后5到的业务发展需要，在设计上留有余量；可靠性采用现在国际上商用SAN交换机最先进且成熟可靠的软硬件技术；选用可靠性高的产品与技术，充足考虑到在系统出现异常时的应变与容错能力，从而确保整个系统的高可靠性。扩展性在系统构造、产品系列和解决性能等各方面含有良好的扩充，升级能力，完全能满足将来5到的业务发展规定；3.3.2产品配备清单序号名称规则型号单位数量1数据服务器1.名称:数据服务器台22.技术参数：HPDL580G7E75202P16GBSvr（配4*146G双端口热插拔硬盘，3年保修现场金牌服务）2应用服务器1.名称:应用服务器台12.技术参数：HPDL388G7E5506EntryCNSvr（配内置光驱，2*146G双端口热插拔硬盘，19"液晶显示屏，3年保修现场金牌服务）3操作系统（服务器）Windowsservercoem公司版1.名称:操作系统（服务器）套32.规格型号：Windowsservercoem公司版4数据库软件SQLServer工作组版1.名称:数据库软件套22.规格型号：SQLServer工作组版5网络交换机LS-5120-28P-SI-H31.名称：网络交换机台132.技术参数:LS-5120-28P-SI-H3，配光模块6网络交换机LS-5500-28C-EI1.名称：网络交换机台202.技术参数:LS-5500-28C-EI，配光模块、堆叠模块、堆叠线7网络交换机LS-5500-28F-EI-AC1.名称：网络交换机台72.技术参数:LS-5500-28F-EI-AC，配8个光模块8操作系统（客户机）WindowsXPPCOEM1.名称:操作系统（客户机）套12.规格型号：WindowsXPPCOEM9磁盘阵列1.名称：磁盘阵列台12.规格型号：MSA2300SAG2，含磁盘柜，支持12槽,配6x300GSAS热拔插硬盘10双机热备份软件1.名称:双机热备份软件套12.规格型号：ROSEFORWINDOWS8.5版本11电源防雷器1.名称:电源防雷器个122.型号:ZFDF-2203.参数：标称通流容量：≥20KA最大通流量：≥50KA残压：<200V响应时间：<25ns12接地铜心线BVR-25mm21.引下线材质、规格、技术规定(引下形式)：BVR-25mm2铜芯线，均压环引至联合接地体m96.82.部位：主龙骨接地线、配电柜接地线13接地铜心线BVR-50mm21.引下线材质、规格、技术规定(引下形式)：BVR-50mm2铜芯线，均压环引至联合接地体m37.82.部位：主龙骨接地线、配电柜接地线14抗静电地板接地跨线1.名称：抗静电地板接地跨线BVR6处10815等电位接地铜排1.均压环材质、规格、技术规定:30*3铜排，地板下安装，做等电位均压环米9016防雷器B级ZGG120-3851.名称、型号：防雷器B级ZGG120-385组12.电压等级：400V17防雷器C级ZGG80-3851.名称、型号：防雷器C级ZGG80-385组42.电压等级：400V18防雷器D级ZGG40-3851.名称、型号：防雷器C级ZGG40-385组12.电压等级：400V19输入输出模块1.名称：输入输出模块JF-M02个12.输出形式：单输出20接线端子箱1.名称：接线端子箱台12.型号：JPH90121感烟探测器1.名称:感烟探测器JTY-GD/JF-D11只82.其它：符合设计及规范规定22感温探测器1.名称:感温探测器JTW-BCD/JF-D12只82.其它：符合设计及规范规定23手动报警按扭1.名称:手动报警按扭J-SAP-M/JF-D13只32.其它：符合设计及规范规定24声光报警装置1.名称:声光报警装置JBU-VM1372B台32.其它：符合设计及规范规定25报警控制器1.名称:报警控制器JB-QBZ-JF998X台12.其它：符合设计及规范规定26控制器电源1.名称:控制器电源24V/10A台12.其它：符合设计及规范规定27气体灭火器1.名称：气体灭火器套42.规格型号：2*4KG含箱体CO228自动报警系统装置调试1.名称：自动报警系统装置调试系统12.点数:≤128点29电源配电柜1.名称：电源配电柜台12.规格型号：1路市电入、1路UPS入、5路市电出、10路UPS出，含三相电源防雷30配电柜1.名称：配电柜台22.规格型号：1路市电入、1路UPS入、5路市电出、15路UPS出，含三相电源防雷31柜式空调5P1.名称：柜式空调台32.规格型号：5P32UPS电源30KVA1.名称：UPS电源台22.规格类型：30KVA,1小时,输入为三相,输出为三相,含松下电池、电池柜、空开、铜芯电线，9355-30-N-033UPS电源柜15KVA1.名称：UPS电源柜台12.类型：EDX15KXL31(15KVA、1小时输入为三相、输出为单相、含电池及电池柜）34防火墙深信服NGAF台13.3.3产品参数数据库服务器HPProLiantDL580G基本参数产品类型：公司级产品类别：机架式产品构造：4U解决器CPU类型：Intel至强7500CPU型号：XeonE7520CPU频率：1.866GHz智能加速主频：1.866GHz标配CPU数量：4颗最大CPU数量：4颗制程工艺：45nm三级缓存：18MB总线规格：QPI4.8GT/sCPU核心：四核CPU线程数：八线程主板扩展槽：11个内存内存类型：DDR3内存容量：16GB内存插槽数量：64最大内存容量：2TB存储硬盘接口类型：SAS标配硬盘容量：900GB最大硬盘容量：4TB硬盘描述：3块300GBSAS硬盘内部硬盘架数：最大支持8块SAS/SATA/SSD硬盘热插拔盘位：支持热插拔RAID模式：1个智能阵列P410i/512MBFBWC光驱：薄型SATADVDROM网络网络控制器：1GbENC375i四端口网卡管理及其它系统管理：HPInsightControl套件24x7支持

带iLO高级软件包的InsightControl（iLO3）电源性能电源数量：4个电源功率：1200W全新的HPProLiantDL580G7服务器合用于大部分应用，是数据密集且需要向上扩展的工作负载的抱负平台。HPProLiant服务器发挥最佳应用程序运行时间和性能为客户带来更多的效益涉及：HPProLiantDL580G7服务器运用HPProLiantDL580G7服务器可扩展的4核性能和类似IntelMachineCheckArchitecture(MCA)复原的耐用安全功效，增进系统可靠性。与前一代8插槽服务器相比，HPProLiantDL580G7为数据密集型应用程序带来3倍于以前的数据库性能。由于采用Intel7500系列解决器，该服务器允许向上扩展更多的客户端。HPProLiantx86服务器带来的卓越性能涉及：合用于HPProLiantDL系列G7服务器的HPIntelligentPowerDiscovery，在服务器和第三方设施管理之间建立自动化的能源感知网络，排除过分配备能源容量的问题。通过HPInsightControl提供的IntegratedLights-OutAdvanced(iLO3)，加速远程服务器管理任务作业。iLO3远程控制面板的执行速度比之前版本快8倍，提高管理员的管理效率。HPInsightControl配备动态用电控制技术后，能够对的监督和控制每台服务器所使用的能源，加强使用数据中心、重新收回过分配备的能源，并增加数据中心3倍的容量。特别为HPProLiant而扩展的HPMissionCriticalServices，将宕机时间降至最短，并通过增强的应用程序可用性，减少客户必需不停支付的运行成本。应用服务器ProLiantDL388G7基本参数产品类别：机架式产品构造：2U解决器CPU类型：Intel至强5600CPU型号：XeonE5649CPU频率：2.53GHz智能加速主频：2.93GHz标配CPU数量：1颗最大CPU数量：2颗制程工艺：32nm三级缓存：12MB总线规格：QPI5.86GT/sCPU核心：六核CPU线程数：12线程主板扩展槽：6内存内存类型：DDR3内存容量：2GB内存描述：PC3-10600RRDIMMDDR3或PC3-10600EUDIMMDDR3内存插槽数量：18最大内存容量：192GB存储硬盘接口类型：SATA/SAS标配硬盘容量：标配不提供最大硬盘容量：8TB内部硬盘架数：最大支持8块SFFSATA/SAS硬盘热插拔盘位：支持热插拔RAID模式：P410i控制器网络网络控制器：两个NC382i双端口千兆网卡管理及其它系统管理：iLO3电源性能电源功率：460W外观特性产品尺寸：85.9×660.7×445.4mm产品重量：最大27.2kg合用环境工作温度：10℃工作湿度：10%-90%储存温度：-30℃储存湿度：5%-95%惠普ProLiantDL388G7(-AA1)机架式服务器一款品质高、价位合理的高信价比2U机架式服务器。这款服务器设立有非常杰出的内部设计，以Intel至强5600系列解决器作为核心保障，配合大容量的内存和硬盘存储，增加机身的可靠性，更有效的助推公司腾飞的进程。\o"惠普ProLiantDL388G7(-AA1)"惠普ProLiantDL388G7(-AA1)\o"惠普ProLiantDL388G7(-AA1)图片"图片惠普ProLiantDL388G7(-AA1)机架式服务器配备Intel至强5600系列XeonE5620型号解决器。这款四核八线程的解决核心采用32nm制程工艺，频率为2.4GHz，通过智能加速主频，使解决器的频率提高到2.666GHz，配合12MB的三级缓存，增加了机体应对高强度工作的可靠性。惠普ProLiantDL388G7(-AA1)机架式服务器内置有2GB的DDR3类型内存，智能阵列P410i/零缓存，充足保障了机体运行的流畅与数据交换的可靠。惠普ProLiantDL388G7(-AA1)机架式服务器配备有2个NC382i双端口千兆网卡，并配合iLO3管理程序，增加机体整体可控程度。惠普ProLiantDL388G7(-AA1)机架式服务器的主板上最大设计有6个扩展槽，并配备有18个内存插槽和多个硬盘插槽，使最大内存容量能够达成192GB，最大硬盘容量可达8TB，充足保障运转的流畅程度。惠普ProLiantDL388G7(-AA1)机架式服务器是一款性价比非常高的2U产品。这款机架式服务器采用Intel至强5600系列XeonE5620型号解决核心，配合2个NC382i双端口千兆网卡和iLO3管理程序，充足保障了机体的可靠性和可控性，更加便于使用者操作。磁盘阵列HPMSA2300产品型号序列号描述数量MSA2300双控制器预配备AJ797AHPMSA2324fc双控制器磁盘阵列：

双控制器，每个控制器1GB缓存；每个控制器有2个4GbFibreChannel端口；支持RAID0,1,3,5,6,10,50；最大支持64个主机；带24颗2.5寸硬盘插槽；冗余电源1AJ795AHPMSA2312fc双控制器磁盘阵列：

每个控制器1GB缓存;每个控制器有2个4GbFibreChannel端口；支持RAID0,1,3,5,6,10,50；最大支持64个主机；带12颗3.5寸硬盘插槽；冗余电源1AJ805AHPMSA2312sa双控制器磁盘阵列：

冗余控制器，带1GB缓存;每个控制器有4个3GbSAS接口；支持RAID0,1,3,5,6,10,50；直连最大支持8个主机，通过SASBLSwitch最大支持到64个主机；带12颗硬盘插槽；冗余电源1AJ807AHPStorageWorks2324sa双控制器磁盘阵列：

冗余控制器，带1GB缓存；每个控制器有4个3GbSAS接口；支持RAID0,1,3,5,6,10,50；直连最大支持8个主机，通过SASBLSwitch最大支持到64个主机；带24颗2.5寸硬盘插槽；冗余电源1AJ800AHPMSA2312iLFF双控制器磁盘阵列：

冗余控制器，每个控制器1GB缓存;每个控制器有2个1GbiSCSI端口；支持RAID0,1,3,5,6,10,50；最大支持32个主机；带12颗硬盘插槽；冗余电源1AJ956AHPMSA2300fcSANStarterHAUpgradeKit

涉及额外一种单独控制器，1×8端口8GbSANSwitch，2×8GbHBAs，SFP和线缆，能够给AJ954A或AJ955A升级1磁盘笼及可添加控制器选一种LFF或SFF磁盘笼，选择一种或两个FC/SA/iSCSI控制器磁盘笼AJ949AHPMSA2324SFF2.5“磁盘存储机箱

2个阵列控制器槽位，带24颗2.5寸硬盘插槽，冗余电源1AJ948AHPMSA2312LFF3.5”磁盘存储机箱

2个阵列控制器槽位，带12颗3.5寸硬盘插槽，冗余电源1DC磁盘笼AJ950AHPMSA3.5“直流电源存储机箱1AJ951AHPMSA20242.5”直流电源存储机箱1控制器AJ798AHP2300fc磁盘存储控制器，1GB缓存;每个控制器有2个4GbFibreChannel端口;最大支持64个主机1AJ808AHP2300saG2ModularSmartArrayController

带1GB缓存;每个控制器有4个3GbSAS接口；支持RAID0,1,3,5,6,10,50；直连最大支持8个主机，通过SASBLSwitch最大支持到64个主机1AJ803AHPMSA2300iModularSmartArrayController

1GB缓存；每个控制器有2个1GbiSCSI端口，最大支持32个主机；1随着信息化时代的到来，信息的数量化让我们应对起来手忙脚乱，人们迫切的需要大容量的存储设备来寄存这些信息，其中\o"磁盘阵列"磁盘阵列就是这个家族中很重要的一员，它运用数组方式来作磁盘组，配合数据分散排列的设计，提高数据的安全性。惠普StorageWorksMSA2300FC(AJ798A)惠普StorageWorksMSA2300FC(AJ798A)磁盘阵列采用2U机架构造，阵列容量为16TB。内置三种\o"硬盘"硬盘接口，分别为SAS、SATAII和SCSI，可满足日常需要。RAID的采用为存储系统(或者\o"服务器"服务器的内置存储)带来巨大利益，其中提高传输速率和提供容错功效是最大的优点。另首先由于同时使用多个磁盘，提高了传输速率。惠普StorageWorksMSA2300FC(AJ798A)磁盘阵列支持的RAID形式为0,1,3,5,6,10,50。惠普StorageWorksMSA2300FC(AJ798A)磁盘阵列支持MicrosoftWindowsServerIA32,x64,IA64(Standard,Enterprise,Datacenter)，MicrosoftWindowsandR2IA32,x64,IA64和RedHatLinux(32/64)等多个\o"操作系统"操作系统。惠普StorageWorksMSA2300FC(AJ798A)磁盘阵列含有很高的稳定性，它平均无端障时间能够达成小时。骨干网交换机S5120-28P-SIH3CS5120-SI系列以太网交换机是H3C技术有限公司自主开发的全千兆二层以太网交换机，广泛应用于公司网和园区网的接入层。提供灵活的全千兆以太网端口的接入密度、丰富的业务特性、统一的集群配备，为顾客提供高性能、低成本、可网管的千兆到桌面的解决方案。H3CS5120-SI系列以太网交换机现在包含以下型号：S5120-20P-SI：16个10/100/1000Base-T以太网端口，4个1000Base-XSFP千兆以太网端口；S5120-28P-SI：24个10/100/1000Base-T以太网端口，4个1000Base-XSFP千兆以太网端口；S5120-52P-SI：48个10/100/1000Base-T以太网端口，4个1000Base-XSFP千兆以太网端口。灵活的千兆接入和集群管理H3CS5120-SI系列全千兆以太网交换机提供灵活的16/24/48个10/100/1000M自适应电口接入；并且支持非复用的SFP插槽，充足考虑顾客的带宽升级的实际状况，既能够支持千兆光模块，也能够支持百兆光模块，保护顾客投资。H3CS5120-SI系列硬件支持最大104Gbps交换容量，确保全部端口二层线速交换。H3CS5120-SI系列交换机采用专利技术允许交换机运用专用互联电缆实现多达16台设备的堆叠，支持不同端口设备的混合堆叠。含有即插即用、单一IP管理。同时大大减少系统扩展的成本，保护了顾客投资。全方面的接入安全方略H3CS5120-SI系列交换机支持特有的ARP入侵检测功效，可有效避免黑客或攻击者通过ARP报文实施网络中逐步盛行的“中间人”攻击，对不符合DHCPSnooping动态绑定表或手工配备的静态绑定表的非法ARP欺骗报文直接丢弃。同时支持IPSourceCheck特性，避免涉及MAC欺骗、IP欺骗、MAC/IP欺骗在内的非法地址仿冒，以及大量地址仿冒带来的DoS攻击。另外，运用DHCPSnooping的信任端口特性还能够有效杜绝私设DHCP服务器，确保DHCP环境的真实性和一致性。H3CS5120-SI系列交换机支持端口安全特性族能够有效防备基于MAC地址的攻击。能够实现基于MAC地址允许/限制流量，或者设定每个端口允许的MAC地址的最大数量，使得某个特定端口上的MAC地址能够由管理员静态配备，或者由交换机动态学习。H3CS5120-SI系列交换机提供802.1X和集中MAC认证方式对接入的顾客进行认证，允许正当顾客通过，对于非法顾客则回绝其上网。同时还支持客户端软件版本检测、GuestVLAN等功效，和CAMS服务器配合还能够实当代理检测、双网卡检测等功效。通过这些功效的应用能够对顾客的正当性进行充足的检查和控制，最大程度的减少非法顾客对网络安全的危害。增强的网络管理和维护的易用性H3CS5120-SI系列交换机支持通过FTP、TFTP实现设备的远程升级，支持SNMPv1/v2/v3，可支持OpenView等通用网管平台，以及iMC智能管理中心。支持CLI命令行，Web网管，TELNET，HGMP集群管理，使设备管理更方便。并且支持SSH2.0等加密方式，使得管理更加安全。H3CS5120-SI系列交换机支持VCT（VirtualCableTest）电缆检测功效，便于快速定位网络故障点。支持特性S5120-28P-SI外形尺寸（长×宽×高）（单位：mm）440×160×43.6重量<3kg管理端口1个Console口业务端口描述24个10/100/1000Base-T以太网端口，4个1000Base-XSFP千兆以太网端口交换容量（全双工）56Gbps包转发率（整机）42Mpps端口聚合支持LACP链路聚合端口支持IEEE802.3x流控（全双工）支持基于端口速率比例的风暴克制支持基于端口速率比例、pps和bps的风暴克制VLAN支持基于端口的VLAN（4K个）DHCP支持DHCPClient支持DHCPSnooping支持DHCPSnoopingOption82组播支持IGMPSnoopingv1/v2/v3支持组播VLAN生成树支持STP/RSTP/MSTP合同ACL支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP端标语、合同类型、VLAN等ACL支持基于时间段的ACL支持基于全局、VLAN、端口（组）下发ACLQoS支持IEEE802.1p/DSCP优先级支持优先级映射支持端口信任模式每端口支持4个队列支持端口队列调度(SP/WRR/SP+WRR)镜像支持端口镜像安全特性支持顾客分级管理和口令保护支持Radius认证支持SSH2.0支持802.1X，集中式MAC地址认证支持GuestVLAN支持端口隔离支持端口安全支持MAC地址学习数目限制支持IP源地址保护支持ARP入侵检测功效支持IP+MAC+端口的绑定管理与维护支持XModem/FTP/TFTP加载升级支持命令行接口（CLI），Telnet，Console口进行配备支持SNMP，WEB网管支持RMON（RemoteMonitoring）支持iMC智能管理中心支持系统日志，分级告警，调试信息输出支持HGMPv2支持Modem远端拨号支持NTP支持Ping，Tracert支持Telnet远程维护支持VCT（VirtualCableTest）电缆检测功效支持Loopback-detection端口环回检测输入电压额定电压范畴：100V～240VAC.；50/60Hz最大电压范畴：90V～264VAC.；47/63Hz功耗（满负荷时）31.5W工作环境温度0℃～工作环境相对湿度（非凝露）10%～90%核心网交换机LS-5500-28C-EIH3CS5500-EI系列交换机是H3C公司最新开发的增强型IPv6强三层万兆以太网交换机产品，含有业界盒式交换机最先进的硬件解决能力和最丰富的业务特性。支持最多4个万兆扩展接口；支持IPv4/IPv6硬件双栈及线速转发，使客户能够从容应对即将带来的IPv6时代；除此以外，其杰出的安全性，可靠性和多业务支持能力使其成为大型公司网络和园区网的汇聚，中小公司网核心、以及城域网边沿设备的第一选择。随着顾客端速度不停提高，顾客最后会使集群千兆链路达成饱和，而能够拥有多条集群10GE链路将是我们的将来发展方向。H3CS5500-EI系列交换机支持两个扩展槽位，每个槽位支持单端口或双端口的10GE扩展模块，在实现千兆汇聚或接入时保存进一步支持10GE的扩展能力，竭力保护顾客投资。IPv4到IPv6的演变是以太网发展的大势所趋，网络设备对于IPv6的支持不仅是简朴的可用就行，而是需要达成商用的原则，S5500-EI已经通过了国际最权威的IPv6Ready第二阶段认证，并且通过了信息产业部严格的IPv6入网测试。这个系列产品是基于硬件的IPv4/IPv6双栈平台，支持丰富的IPv4和IPv6三层路由合同、组播合同和方略路由机制，实现IPv4到IPv6的平滑升级。完备的安全控制方略H3CS5500-EI系列交换机支持EAD（端点准入防御）功效，配合后台系统能够将终端防病毒、补丁修复等终端安全方法与网络接入控制、访问权限控制等网络安全方法整合为一种联动的安全体系，通过对网络接入终端的检查、隔离、修复、管理和监控，使整个网络变被动防御为主动防御、变单点防御为全方面防御、变分散管理为集中方略管理，提高了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。H3CS5500-EI交换机支持集中式MAC地址认证、802.1x认证、PORTAL认证，支持顾客帐号、IP、MAC、VLAN、端口等顾客标记元素的动态或静态绑定，同时实现顾客方略（VLAN、QoS、ACL）的动态下发；支持配合H3C公司的CAMS系统对在线顾客进行实时的管理，及时的诊疗和崩溃网络非法行为。H3CS5500-EI系列交换机提供增强的ACL控制逻辑，支持超大容量的入端口和出端口ACL，并且支持基于VLAN的ACL下发，在简化顾客配备过程的同时，避免了ACL资源的浪费。另外，S5500-EI系列还将支持单播反向途径查找技术（uRPF），原理是当设备的一种接口上收到一种数据包时，会反向查找途径来验证与否存在从该接受接口到包中制订的源地址之间的路由，即验证了其真实性，如果不存在就将数据包删除，这样我们就能够有效杜绝网络中日益泛滥的源地址欺骗。多重可靠性保护S5500-EI系列交换机还含有设备级和链路级的多重可靠性保护。全部机型都支持内置的双冗余电源，其中S5500-28F-EI支持可插拔的冗余电源模块，也就是说我们能够根据实际环境的需要灵活配备交流或直流电源模块，另外整机还支持电源和电扇的故障检测及告警，能够根据温度的变化自动调节电扇的转速，这些设计使我们这款盒式交换机含有了机柜式交换机的高可靠性。除了设备级可靠性以外，还支持丰富的链路可靠性以外，还支持丰富的链路可靠性技术。当网络上承载多业务、大流量的时候也不影响网络的收敛时间，确保业务的正常开展。多业务支持能力支持PoE（PoweroverEthernet）技术，通过以太网对所连接的设备（如IPPhone,WirelessAP等）进行远程供电，从而使得不必在使用现场为设备布署单独的电源系统，能够极大地减少布署终端设备的布线和管理成本。支持VoiceVLAN技术，交换机通过识别端口的语音流，将对应的接入端口加入VoiceVLAN（专用语音VLAN）中，为语音流量提供专门通道，并自动下发优先级规则确保语音流的优先传输来确保通话质量。同时通过设立VoiceVLAN安全特性，只允许语音流量通过，能够有效避免突发数据流量对VoiceVLAN内的语音流量的冲击。H3CS5500-EI系列交换机支持MCE功效，能够有效解决多VPN网络带来的顾客数据安全与网络成本之间的矛盾，它使用CE设备本身的VLAN接口编号与网络内的VPN进行绑定，并为每个VPN创立和维护独立的路由转发表（Multi-VRF）。这样不仅能够隔离私网内不同VPN的报文转发途径，并且通过与PE间的配合，也能够将每个VPN的路由对的公布至对端PE，确保VPN报文在公网内的传输。丰富的QoS方略H3CS5500-EI系列交换机支持支持L2（Layer2）~L4（Layer4）包过滤功效，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP端标语、合同类型、VLAN的流分类。提供灵活的对列调度算法，能够同时基于端口和队列进行设立，支持SP（StrictPriority）、WRR（WeightedRoundRobin）、SP+WRR三种模式。支持CAR（CommittedAccessRate）功效，粒度最小达64Kbps。支持出、入两个方向的端口镜像，用于对指定端口上的报文进行监控，将端口上的数据包复制到监控端口，以进行网络检测和故障排除。杰出的管理性H3CS5500-EI系列交换机支持SNMPv1/v2/v3（SimpleNetworkManagementProtocol），可支持OpenView等通用网管平台以及iMC智能管理中心。支持CLI命令行，Web网管，TELNET，HGMP，使设备管理更方便，并且支持SSH2.0等加密方式，使得管理更加安全H3CS5500-EI系列交换机支持基于MAC地址划分VLAN，较好的解决了移动办公的智能灵活管理；结合特有的基于全局和VLAN下发ACL方略，在简化顾客配备的同时，也大幅节省了硬件资源。该系列交换机还支持sFlow功效，能够对出入方向的报文按比例随机抽样，灵活实现报文采集。支持特性S5500-28C-EI交换容量（全双工）192Gbps包转发率（整机）95.2Mpps外形尺寸（长×宽×高）（单位：mm）440×300×43.6重量4kg管理端口1个Console口业务端口描述24个10/100/1000Base-T以太网端口4个复用的1000Base-X千兆SFP端口双机热备份软件ROSEFORWINDOWS8.5版本RoseHA双机系统的两台服务器（主机）都与磁盘阵列（共享存储）系统直接连接，顾客的操作系统、应用软件和RoseHA高可用软件分别安装在两台主机上，数据库等共享数据寄存在存储系统上，两台主机之间通过私用心跳网络连接。配备好的系统主机开始工作后，RoseHA软件开始监控系统，通过私用网络传递的心跳信息，每台主机上的RoseHA软件都可监控另一台主机的状态。当工作主机发生故障时，心跳信息就会产生变化，这种变化能够通过私用网络被RoseHA软件捕获。当捕获到这种变化后RoseHA就会控制系统进行主机切换，即备份机启动和工作主机同样的应用程序接管工作主机的工作（涉及提供TCP/IP网络服务、存储系统的存取等服务）并进行报警，提示管理人员对故障主机进行维修。当维修完毕后，能够根据RoseHA的设定自动或手动再切换回来，也能够不切换，此时维修好的主机就作为备份机，双机系统继续工作。RoseHA实现容错功效的核心在于，对客户端来说主机是透明的，当系统发生错误而进行切换时，即主机的切换在客户端看来没有变化，全部基于主机的应用都仍然正常运行。RoseHA采用了虚拟IP地址映射技术来实现此功效。客户端通过虚拟地址和工作主机通讯，无论系统与否发生切换，虚拟地址始终指向工作主机。在进行网络服务时，RoseHA提供一种逻辑的虚拟地址，任何一种客户端需要请求服务时只需要使用这个虚拟地址。正常运行时，虚拟地址及网络服务由主服务器提供。当主服务器出现故障时，RoseHA会将虚拟地址转移到另外一台服务器的网卡上，继续提供网络服务。切换完毕后，在客户端看来系统并没有出现故障，网络服务仍然能够使用。除IP地址外，HA还能够提供虚拟的计算机别名供客户端访问。对于数据库服务，当有主服务器出现故障时，另外一台服务器就会自动接管，同时启动数据库和应用程序，使顾客数据库能够正常操作。RoseHA双机系统的两台服务器（主机）都与磁盘阵列（共享存储）系统直接连接，顾客的操作系统、应用软件和RoseHA高可用软件分别安装在两台主机的内部存储（硬盘）上，数据库等共享数据寄存在存储系统上，两台主机之间通过私用心跳网络连接。系统主机开始工作后，RoseHA软件开始监控系统，通过私用网络传递的心跳信息，每台主机上的RoseHA软件随时监控另一台主机的状态。当工作主机发生故障时，心跳信息就会产生变化，这种变化能够通过私用网络传递到备份机的RoseHA软件。之后，RoseHA就会控制系统进行服务切换，备份机启动和工作主机同样的应用程序，接管工作主机的工作（涉及提供TCP/IP网络服务、文献共享、数据库等服务），并进行报警提示管理人员对故障主机进行维护。当维护完毕后，RoseHA能够自动或手动地将切换回原先的工作主机。也能够选择不切换，此时维修好的主机就作为备份机，双机系统继续工作。下面是双机高可用系统的架构图：网络顾客终端网络顾客终端应用网络备服务器主服务器侦测网络共享磁盘阵列解决方案优点：对服务器硬件配备规定不高，能够根据应用状况采用不同型号或配备。系统切换时间短，最大程度减少业务中断的影响。切换过程对应用程序无影响，无需重新启动或登录，做到无人值守。系统效率高，系统中数据读写、管理及容错由磁盘阵列来完毕。而系统服务器故障监控切换解决由HA软件来完毕。双机监控依靠RS232线路或专用100/1000M自适应网卡线路，既不占用主机CPU资源也不占用基础业务网络带宽，是RoseHA的特色功效，在实际的应用中得到顾客的一致好评。支持丰富的应用配备，如：Oracle、SQLServer、Sybase、Exchange等。硬件可采用机架式构造，便于维护管理。RoseHA重要功效特点和谐的界面RoseHA提供了和谐直观的图形安装界面和监控管理界面。通过直观而又方便的JavaApplet管理界面，顾客能够交互式地对集群系统进行配备、监控和管理，并能够运用Applet的网络特性，通过网络对系统进行远程管理，实时地显示出主机系统及服务的状态灵活的Active-Active模式和Active-Standby模式RoseHA支持Active-Active模式和Active-Standby模式。顾客可指定每台服务器的作用（activeorstandby），指定要监控的服务和硬件部分，定义指定的服务发生故障后要采用的进一步行动（如与否重新启动该服务、允许的最大启动时间等）。支持多条心跳途径能够将网线和RS-232串口线作为在RoseHA软件的心跳途径。配备多条心跳途径能够避免系统的单点故障。自动切换当系统出现故障时（如：系统宕机、HA进程/应用进程被杀掉、RS-232、SCSI、光纤、网络线缆断开），RoseHA将拟定故障因素，并采用对应对策，并将这些应用切换到备份服务器上。而故障服务器中未受影响的应用不会被切换，既不会受任何影响。不需要系统管理员干预。自动检测在集群系统的每一台服务器内，RoseHA含有两个核心进程，它们互相监控，如果其中一种进程失败，另一种进程会立刻进行恢复。服务器可靠性在主服务器出现故障（如掉电或宕机）时，另外一台服务器接管故障服务器上运行的全部的核心性应用。网络可靠性如果服务器的网络部分发生故障，会造成客户不能连接和访问到服务器，这同样是致命的故障。如果该服务器配备了冗余的网络接口，RoseHA会使用它来恢复网络连接。在没有配备冗余的网络接口，或者全部的网络接口均出现故障时，HA会将该应用切换到另外一台服务器上。切换完毕后，客户在短暂的切换过程后能够继续访问所需的服务。存储可靠性需要将应用的全部数据存储在两台服务器都能访问到的共享磁盘中。建议使用磁盘阵列来存储数据，这样能够避免单点固障，并且便于对系统的容量进行扩充。对由VolumeManager软件管理的磁盘阵列，RoseHA提供了对应的解决程序，以确保磁盘阵列及数据的可靠性。应用可靠性在高可用性系统中能够运行多个应用。每一种应用是作为一种服务而存在的。在服务器中，当某个服务失败而其它服务正常运行时，RoseHA将解决这个失败的服务。在将这个服务切换到另一台服务器上时，该服务器上运行的服务也不会受到影响。对于与网络不有关的纯数据应用，只需要切换数据存储和数据解决软件。而在与网络有关的客户机/服务器应用，除了要切换数据存储和数据解决软件外，还需要切换有关的虚拟IP。如果但愿两个服务独立地进行切换，则此两个IP地址不能相似。如果使用了相似的IP地址，在发生切换时，RoseHA会将全部使用该IP的服务都切换到另外一台服务器上去。丰富的附加功效提供不同的针对特定应用的Agent程序，使服务监控更切实际，更加有效；提供用于开发Agent程序的应用程序界面（API），使用者可针对特定的服务编写Agent程序，执行与特定服务有关的状态诊疗及错误恢复工作的。SQLServerR2概述MicrosoftSQLServer提供了有助于有效管理安全性功效配备、强身份验证和访问控制的安全性增强功效、功效强大的加密和密钥管理功效，以及增强型审核功效。重大的新功效使用基于方略的管理，针对公司内的数据来管理及检测不符合安全方略的状况不需修改应用程序即可使用透明数据加密来加密数据使用可扩展密钥管理和硬件安全性模块，运用整个公司的加密解决方案使用SQLServerAudit实现高性能的细微审核维护公司中数据的安全使用预设为安全且在布署中为安全的数据库解决方案来保护数据的安全。1.使用自动化基于方略的管理来设定接口区使用基于方略的管理，针对公司内的服务器、数据库和数据库对象来确认符合配备方略。使用新的接口区Facet控制使用中的服务和功效，以减少暴露在安全性威胁下的机会。2.自动应用软件更新使用WindowsUpdate自动更新SQLServer。减少已知软件弱点所造成的威胁。控制对数据资源的访问有效管理验证和授权以及只提供访问权给需要的顾客，藉此来获得数据的控制权。1.强制实施密码方略自动应用MicrosoftWindowsServer(或更新版本)的密码方略，以强制实施最小密码长度、合适的字符组合以及定时变更的密码，即便使用SQLServer登入也是。2.使用角色和Proxy账户使用msdb数据库的固定数据库角色，增加对于代理程序服务的控制权使用多个Proxy帐户，让当做作业环节的SQLServerIntegrationServices(SSIS)封装执行更安全3.提供安全性增强型元数据访问使用目录视图来提供对于元数据的安全性增强访问，好让顾客只针对他们含有访问权的对象来查看元数据4.使用执行内容来增强安全性功效使用执行内容标示模块，方便使用特定的顾客身分(而不是调用的顾客身分)来执行模块内的语句授与调用的顾客执行模块的权限，但是针对模块内的语句使用执行内容的权限5.简化权限管理使用架构来简化及改良大型数据库的弹性。给某个架构授与权限，方便将权限授与给此架构内所包含的每一种对象，以及将来在此架构内置立的每一种对象。加密敏感数据通过内置密码编译功效及对于公司密钥管理解决方案的支持来保护敏感数据。1.充足运用内置密码编译层次构造在SQLServer中使用内置密码编译层次构造来创立非对称密钥、对称密钥和凭证2.以透明方式加密数据通过安全性增强型数据库加密密钥(DEK)，以透明方式在数据库层次构造执行全部加密，让开发需要加密数据的应用程序复杂度减少。让应用程序开发人员访问加密的数据，而不需要变更现有的应用程序。3.运用可扩展密钥管理使用公司密钥管理系统来聚合公司加密。使用硬件安全性模块，将密钥寄存在不同的硬件上，好让您的数据与密钥分开。使用专门系统来简化密钥管理。4.签订程序代码模块使用密钥或凭证，将数字签名添加到程序代码模块(如存储构造和函数)，然后在程序代码模块执行期间，将其它权限与此签章产生关审核数据库活动为了可阐明性和符合性来审核数据库系统中的活动。1.使用SQLServerAudit进行增强型审核定义审核，自动将活动统计在统计文献、Windows应用程序统计文献或Windows安全日志中。创立审核规格来判断要并入审核的服务器和数据库动作，以获取审核的完全控制权。2.使用DDL触发程序创立自定义审核解决方案使用触发程序捕获及审核数据定义语言(DDL)活动。扩充触发程序来响应DDL事件和数据操作语言(DML)事件，并统计DDL事件，以改善审核及增强安全性。WindowsServerR2WindowsServerR2安全性概述微软公司在MicrosoftWindowsServer安全性技术方面做出的创新给客户带来了全新的体验，不仅可协助客户建立立刻可用的安全连接基础架构，更能协助客户建立、布署和管理其它的安全解决方案。微软公司进行了许多工程设计上的变化，调节多项影响安全的系统默认值设定，并提供多项能够增强Windows平台安全性的新功效和新技术。WindowsServer以安全为理念重新设计了许多组件，而这些组件也建构出以安全为