數(shù)據(jù)中心及應(yīng)用服務(wù)中心規(guī)劃方案模板

1、 數(shù)據(jù)及應(yīng)用服務(wù)中心建設(shè)項(xiàng)目規(guī)劃方案V2XXXX基礎(chǔ)地理信息中心數(shù)據(jù)及應(yīng)用服務(wù)中心規(guī)劃方案V22012年11月目 錄第一章 概述3第二章 基于外網(wǎng)的地理信息運(yùn)營(yíng)支撐平臺(tái)規(guī)劃52.1 綜述52.2 基于外網(wǎng)的運(yùn)營(yíng)支撐平臺(tái)總規(guī)劃拓?fù)鋱D62.3 外網(wǎng)線路規(guī)劃62.4 基礎(chǔ)網(wǎng)絡(luò)部分規(guī)劃72.5 應(yīng)用主機(jī)部分規(guī)劃92.6 網(wǎng)絡(luò)安全部分規(guī)劃122.7 分期建設(shè)規(guī)劃表152.7.1 一期建設(shè)清單152.7.2 二期建設(shè)清單192.7.3 三期建設(shè)清單21第三章 基于政務(wù)內(nèi)網(wǎng)的地理信息運(yùn)營(yíng)支撐平臺(tái)規(guī)劃233.1 綜述233.2 基于政務(wù)內(nèi)網(wǎng)的運(yùn)營(yíng)支撐平臺(tái)總規(guī)劃拓?fù)鋱D243.3 基礎(chǔ)網(wǎng)絡(luò)部分規(guī)劃243.4 應(yīng)用

2、主機(jī)部分規(guī)劃253.5 網(wǎng)絡(luò)安全部分規(guī)劃273.6 分期建設(shè)規(guī)劃表283.6.1 一期建設(shè)清單283.6.2 二期建設(shè)清單313.6.3 三期建設(shè)清單32第四章 機(jī)房及UPS擴(kuò)容344.1 機(jī)房擴(kuò)容344.2 UPS擴(kuò)容344.3 機(jī)房及UPS擴(kuò)容配置清單36第一章 概述XXXX基礎(chǔ)地理信息中心主要從事福建全省測(cè)繪檔案資料的收集、整理、保管、編繪和呈報(bào)工作；全省測(cè)繪成果的分發(fā)服務(wù)；空間數(shù)據(jù)的加工、處理和集成；多源、多尺度空間基礎(chǔ)地理信息數(shù)據(jù)庫(kù)建設(shè)及GPS、GIS、RS技術(shù)的集成與應(yīng)用開發(fā)。其中，XXXX基礎(chǔ)地理信息數(shù)據(jù)庫(kù)是XXXX地理空間基礎(chǔ)框架的核心,是多尺度、多數(shù)據(jù)源、多分辨率、多時(shí)態(tài)的現(xiàn)

3、代基礎(chǔ)測(cè)繪成果的集成,是福建自然、資源、環(huán)境和社會(huì)經(jīng)濟(jì)等信息的空間支撐的公共載體和基礎(chǔ)。目前承載的數(shù)據(jù)大體上分為二類，即矢量數(shù)量和圖像數(shù)據(jù)，其中矢量數(shù)據(jù)大約有幾十個(gè)GB，而圖像數(shù)據(jù)則較大，由上百萬個(gè)小文件組成，大約由幾百個(gè)GB，且其數(shù)據(jù)量呈高速增長(zhǎng)的趨勢(shì)。根據(jù)規(guī)劃，XXXX基礎(chǔ)地理信息數(shù)據(jù)庫(kù)將在以下網(wǎng)絡(luò)環(huán)境中構(gòu)建相關(guān)的應(yīng)用平臺(tái)向不同的受眾提供多級(jí)互動(dòng)的地理信息服務(wù)：Ø 將基于Internet構(gòu)建 “XXXX地理信息公共服務(wù)平臺(tái)”，主要是面向社會(huì)大眾以及相關(guān)企事業(yè)單位提供地理信息服務(wù)。Ø 將基于數(shù)字福建政務(wù)網(wǎng)（以下簡(jiǎn)稱電子政務(wù)內(nèi)網(wǎng)）構(gòu)建 “XXXX地理信息公共服務(wù)平臺(tái)”，縱向

4、上主要實(shí)現(xiàn)國(guó)家、省、市測(cè)繪部門互聯(lián)互通，橫向?qū)崿F(xiàn)測(cè)繪與政府、專業(yè)部門（如公安、國(guó)土資源、氣象、地震等等）互聯(lián)互通，實(shí)現(xiàn)地理信息資源分布式在線共享與集成應(yīng)用，促進(jìn)地理信息在政府宏觀決策、應(yīng)急指揮、業(yè)務(wù)管理、社會(huì)公益服務(wù)等方面的應(yīng)用，全面提升信息化條件下地理信息公共服務(wù)能力和水平，從而有效避免“信息孤島”現(xiàn)象，充分發(fā)揮財(cái)政資源的效益。Ø 另外，由中國(guó)電信福建公司承建的XXXX電子政務(wù)外網(wǎng)（以Internet為承載平臺(tái)，以下簡(jiǎn)稱電子政務(wù)外網(wǎng)）建成后，XXXX地理信息公共服務(wù)平臺(tái)還要與其積極對(duì)接，一是實(shí)現(xiàn)和國(guó)家地理公共服務(wù)平臺(tái)的對(duì)接；二是推進(jìn)地理信息社會(huì)公共信息化服務(wù)應(yīng)用項(xiàng)目向基層和農(nóng)村延伸

5、，實(shí)現(xiàn)公共信息化服務(wù)城鄉(xiāng)一體化。基于不同網(wǎng)絡(luò)環(huán)境構(gòu)建的XXXX地理信息公共服務(wù)平臺(tái)建成后，可以提供全省多尺度（從1：100萬到1:500）、多種類（地理實(shí)體數(shù)據(jù)、電子地圖數(shù)據(jù)、地名地址數(shù)據(jù)、高程數(shù)據(jù)）的地理信息一站式服務(wù)，從而實(shí)現(xiàn)地理信息服務(wù)模式的變革與創(chuàng)新，為“數(shù)字福建”建設(shè)和海峽西岸經(jīng)濟(jì)區(qū)建設(shè)提供堅(jiān)實(shí)的地理信息保障服務(wù)。綜上所述，我們將利用并通過整合、快速、創(chuàng)新的業(yè)務(wù)解決方案來實(shí)現(xiàn)用戶價(jià)值。第二章 基于外網(wǎng)的地理信息運(yùn)營(yíng)支撐平臺(tái)規(guī)劃2.1 綜述外網(wǎng)分為兩部分，即完全開放的Internet國(guó)際互聯(lián)網(wǎng)和中國(guó)電信福建公司承建的XXXX電子政務(wù)外網(wǎng)（以Internet為承載平臺(tái)），電子政務(wù)外網(wǎng)是政

6、府的業(yè)務(wù)專網(wǎng)，它不僅為政務(wù)部門的業(yè)務(wù)協(xié)同和信息共享提供網(wǎng)絡(luò)與信息安全等支撐服務(wù)，更重要的是為社會(huì)公眾提供政務(wù)信息服務(wù)，是有效溝通政府與公眾的橋梁。而在目前XXXX電子政務(wù)外網(wǎng)沒有正式建成前，我們還必須主要依托Internet國(guó)際互聯(lián)網(wǎng)這個(gè)網(wǎng)絡(luò)平臺(tái)為社會(huì)公眾及相關(guān)企事業(yè)單位提供多級(jí)互動(dòng)的地理信息服務(wù)，待XXXX電子政務(wù)外網(wǎng)建成后，建議采用XXXX電子政務(wù)外網(wǎng)與Internet國(guó)際互聯(lián)網(wǎng)這兩個(gè)網(wǎng)絡(luò)并存運(yùn)營(yíng)的方式。本章方案設(shè)計(jì)的主要目的就是為保證XXXX地理信息公共服務(wù)系統(tǒng)的穩(wěn)定高效運(yùn)行構(gòu)建一個(gè)基于外網(wǎng)的穩(wěn)定、安全、先進(jìn)的外網(wǎng)運(yùn)營(yíng)支撐平臺(tái)。2.2 基于外網(wǎng)的運(yùn)營(yíng)支撐平臺(tái)總規(guī)劃拓?fù)鋱D基于外網(wǎng)的地理信息

7、支撐運(yùn)營(yíng)平臺(tái)規(guī)劃總圖<圖1>如<圖1>所示，XXXX基礎(chǔ)地理信息中心基于外網(wǎng)的地理信息支撐運(yùn)營(yíng)平臺(tái)從架構(gòu)上看，可以分為外網(wǎng)線路規(guī)劃、基礎(chǔ)網(wǎng)絡(luò)規(guī)劃、應(yīng)用主機(jī)部分規(guī)劃以及網(wǎng)絡(luò)安全規(guī)劃等4個(gè)部分，以下，我們就將本著“統(tǒng)一規(guī)劃、分期實(shí)施”的原則對(duì)以上部分逐一進(jìn)行規(guī)劃說明。2.3 外網(wǎng)線路規(guī)劃為保證XXXX地理信息公共服務(wù)系統(tǒng)的順暢運(yùn)營(yíng)，根據(jù)其業(yè)務(wù)特征，有必要對(duì)外網(wǎng)線路進(jìn)行一次梳理和規(guī)劃，這樣才能根據(jù)外網(wǎng)線路的實(shí)際帶寬狀況對(duì)整個(gè)外網(wǎng)進(jìn)行結(jié)構(gòu)性設(shè)計(jì)，避免“頭輕腳重”或者“頭重腳輕”，使投資效益最大化。Ø XXXX電子政務(wù)外網(wǎng)線路：XXXX電子政務(wù)外網(wǎng)建成后，主要運(yùn)行政務(wù)部

8、門面向社會(huì)的專業(yè)性服務(wù)和不需在內(nèi)網(wǎng)上運(yùn)行的業(yè)務(wù)，各個(gè)節(jié)點(diǎn)帶寬如下：省核心鏈路帶寬2.5G，核心和匯聚層采用1000M，廳局接入100M。也就是XXXX基礎(chǔ)地理信息中心也會(huì)有一條電信福建公司承建的100M的承載于Internet的電子政務(wù)外網(wǎng)線路。Ø Internet線路：目前，XXXX基礎(chǔ)地理信息中心已有3條Internet線路，分別是電信20M、電信10M和聯(lián)通10M，我們擬對(duì)這3條線路進(jìn)行整合和擴(kuò)容，以滿足XXXX地理信息公共服務(wù)系統(tǒng)的運(yùn)營(yíng)要求：即將電信20M、電信10M這兩條線路整合成一條100M線路；聯(lián)通10M這一條線路擴(kuò)容成100M。（注：可根據(jù)流量負(fù)載狀況分期擴(kuò)容）

9、16; 遠(yuǎn)期外網(wǎng)線路總匯：支撐XXXX地理信息公共服務(wù)系統(tǒng)運(yùn)營(yíng)的就有3條外網(wǎng)線路可用使用，分別是XXXX電子政務(wù)外網(wǎng)100M、電信100M和聯(lián)通100M，合計(jì)300M的帶寬且這3條不同運(yùn)營(yíng)商的外網(wǎng)線路互為備份，共同構(gòu)建一個(gè)穩(wěn)定可靠、永不斷網(wǎng)的Internet出口環(huán)境。另外，需要說明的是，如果遠(yuǎn)期XXXX電子政務(wù)外網(wǎng)100M線路運(yùn)營(yíng)穩(wěn)定，且提供的帶寬可申請(qǐng)擴(kuò)展，建議可以取消電信100M線路而保留不同運(yùn)營(yíng)商（聯(lián)通）的100M線路，以減少每個(gè)年度的運(yùn)營(yíng)成本支出。2.4 基礎(chǔ)網(wǎng)絡(luò)部分規(guī)劃如<圖1>所示，我們?nèi)绻麊渭兊匕鸦谕饩W(wǎng)的地理信息支撐運(yùn)營(yíng)平臺(tái)當(dāng)作一個(gè)整體，基礎(chǔ)網(wǎng)絡(luò)部分就好比是一條“高

10、速公路”，只有路況良好才能保證“汽車”（即應(yīng)用主機(jī)系統(tǒng)）高速運(yùn)行，因此，我們規(guī)劃的兩大目標(biāo)是：實(shí)現(xiàn)多ISP接入鏈路的負(fù)載均衡及冗余、構(gòu)建穩(wěn)定高速的數(shù)據(jù)交換網(wǎng)絡(luò)。Ø 為了實(shí)現(xiàn)多ISP接入鏈路負(fù)載均衡及冗余的規(guī)劃目標(biāo)，我們?cè)谠谕饩W(wǎng)鏈路與核心網(wǎng)絡(luò)之間部署了鏈路負(fù)載均衡設(shè)備，其主要作用是：l 保證最終用戶對(duì)Internet實(shí)現(xiàn)不中斷的訪問：鏈路負(fù)載均衡能夠連續(xù)監(jiān)視每個(gè) Internet 連接的狀態(tài)；自動(dòng)檢測(cè)各種故障，如鏈路、路由器、DNS 服務(wù)器和其它故障；通過檢查確保用戶只使用那些高效運(yùn)轉(zhuǎn)的接入鏈路；可以根據(jù)優(yōu)先權(quán)、IP 地址、內(nèi)容和其它用戶指定的參數(shù)轉(zhuǎn)發(fā)數(shù)據(jù)包；特定內(nèi)容選擇最佳鏈路時(shí)，會(huì)

11、綜合考慮與請(qǐng)求內(nèi)容的網(wǎng)絡(luò)就近性、鏈路的實(shí)時(shí)負(fù)載與鏈路的成本。l 端到端QoS保證：鏈路負(fù)載均衡的內(nèi)置帶寬管理功能，可以按照47層的特性識(shí)別不同類型的流量，通過帶寬保證和限制，為關(guān)鍵業(yè)務(wù)提供服務(wù)質(zhì)量保證。Ø 要構(gòu)建一個(gè)穩(wěn)定高速的數(shù)據(jù)交換網(wǎng)絡(luò)，核心交換機(jī)的規(guī)劃就顯得尤為重要，因?yàn)槠鋵⒇?fù)責(zé)各種業(yè)務(wù)數(shù)據(jù)流量的轉(zhuǎn)發(fā)，是整個(gè)網(wǎng)絡(luò)最核心部分，它的性能、可靠性將極大地影響整個(gè)網(wǎng)絡(luò)的運(yùn)行情況。因此，我們?cè)谡麄€(gè)網(wǎng)絡(luò)最核心部分規(guī)劃部署了增強(qiáng)型IPv6三層萬兆以太網(wǎng)交換機(jī)，其提供以下功能：l 地圖服務(wù)等其他應(yīng)用服務(wù)器可直接千兆接入核心交換機(jī)，實(shí)現(xiàn)數(shù)據(jù)的高速轉(zhuǎn)發(fā)；l 地理信息業(yè)務(wù)，最為重要的需求是I/O性能的

12、提升，我們規(guī)劃中將數(shù)據(jù)庫(kù)服務(wù)器通過其自帶的萬兆網(wǎng)口與核心交換機(jī)萬兆光纖端口直連，可以滿足大容量I/O吞吐的需求。l 規(guī)劃中，我們?cè)赪eb應(yīng)用服務(wù)器區(qū)前端部署了千兆二層交換機(jī)(可利用已有的IBM BladeCenter H刀片機(jī)箱中自帶的以太網(wǎng)交換機(jī)模塊)，做為其專有的接入交換機(jī)，主要是考慮即將上線的是基于Internet的業(yè)務(wù)，必須將Web應(yīng)用服務(wù)器區(qū)與其他應(yīng)用、數(shù)據(jù)庫(kù)服務(wù)器區(qū)分開來，實(shí)行單獨(dú)防護(hù)。Ø 另外，為了滿足核心網(wǎng)絡(luò)節(jié)點(diǎn)高可靠性、高穩(wěn)定性及高性能等方面的需求，以上規(guī)劃均考慮了雙機(jī)冗余的部署方式，以避免單點(diǎn)故障。Ø 基礎(chǔ)網(wǎng)絡(luò)部分拓?fù)鋱D2.5 應(yīng)用主機(jī)部分規(guī)劃“高速公路

13、”（基礎(chǔ)網(wǎng)絡(luò)）建好了，還需要“好車”帶著我們（主機(jī)以及應(yīng)用軟件）奔向目標(biāo)。應(yīng)用主機(jī)部分就好比是一輛輛“汽車”，如何讓她們高速、經(jīng)濟(jì)高效、不間斷地運(yùn)行，是我們規(guī)劃的最大目標(biāo)。應(yīng)用主機(jī)部分主要可以分為前端應(yīng)用主機(jī)（如Web應(yīng)用、地圖應(yīng)用等等）、數(shù)據(jù)庫(kù)主機(jī)、存儲(chǔ)系統(tǒng)、服務(wù)器負(fù)載均衡以及備份系統(tǒng)5個(gè)部分，規(guī)劃圖如下所示：如<圖3>所示，由于基于外網(wǎng)的應(yīng)用與基于政務(wù)內(nèi)網(wǎng)的應(yīng)用相比，相對(duì)簡(jiǎn)單，為了取得最高性價(jià)比及保護(hù)原有投資，我們建議利用已有的IBM BladeCenter H刀片和IBM DS4700磁盤存儲(chǔ)系統(tǒng)用標(biāo)準(zhǔn)方式構(gòu)建。Ø 前端應(yīng)用服務(wù)器群：主要承擔(dān)Web、地圖等應(yīng)用業(yè)務(wù)，

14、由于對(duì)計(jì)算的要求不大，規(guī)劃中我們利用用戶已有的IBM BladeCenter H刀片系統(tǒng)構(gòu)建，已有的IBM BladeCenter H刀片機(jī)箱尚有12個(gè)刀片服務(wù)器空余托架，根據(jù)業(yè)務(wù)發(fā)展?fàn)顩r可分期部署，并可根據(jù)不同的前端應(yīng)用配置RAC（集群）以保證高可用性。Ø 數(shù)據(jù)庫(kù)服務(wù)器群：由于地理信息業(yè)務(wù)對(duì)I/O性能的需求極大，規(guī)劃中我們將利用用戶已有的兩套IBM x3650M2部門級(jí)服務(wù)器，配置HA（雙機(jī)熱備）來構(gòu)建數(shù)據(jù)庫(kù)系統(tǒng)；以后，如有其他項(xiàng)目上線，我們可以方便地通過增配一套或多套企業(yè)級(jí)服務(wù)器來擴(kuò)展數(shù)據(jù)系統(tǒng)，新增的數(shù)據(jù)庫(kù)服務(wù)器可以通過自帶的萬兆端口與核心交換機(jī)的萬兆端口雙鏈路直連，既能保證高I

15、/O吞吐又能保證高可用性。Ø 光纖交換機(jī)：未來多業(yè)務(wù)系統(tǒng)上線后，平臺(tái)中將部署多臺(tái)數(shù)據(jù)庫(kù)服務(wù)器，這就需要通過光纖交換機(jī)與光纖通道磁盤存儲(chǔ)系統(tǒng)連接，而不能采用數(shù)據(jù)庫(kù)服務(wù)器與存儲(chǔ)系統(tǒng)光纖直連的方式；為保證高可用性，規(guī)劃中部署了兩套光纖交換機(jī)并配置成HA工作模式。Ø 存儲(chǔ)系統(tǒng)：我們將利用用戶已有的IBM System Storage DS4700構(gòu)建，目前配置有10個(gè)300GB 15000RPM 4GB光纖硬盤（RAID5），本機(jī)還有8個(gè)硬盤空槽，未來可以通過加配硬盤以及擴(kuò)展存儲(chǔ)柜的方式（最大112個(gè)硬盤槽位）方便地?cái)U(kuò)展存儲(chǔ)容量；建議采用RAID5+Hotspare工作模式。

16、16; 服務(wù)器負(fù)載均衡：如<圖3>所示，我們通過在前端應(yīng)用服務(wù)器上配置（RAC集群）來提高網(wǎng)站的處理能力，但其不足之處在于每一個(gè)前端應(yīng)用服務(wù)器都有一個(gè)唯一的IP地址，外網(wǎng)用戶需要記住多個(gè)IP地址以更好地訪問該站點(diǎn)，由此也造成流量不能有效地在多個(gè)服務(wù)器之間進(jìn)行分配。因此，我們?cè)诤诵慕粨Q機(jī)上部署了服務(wù)器負(fù)載均衡設(shè)備來解決此問題，其在進(jìn)行流量管理時(shí)，被分配一個(gè)虛擬的IP地址即VIP，外網(wǎng)用戶只需通過訪問VIP，負(fù)載均衡設(shè)備會(huì)根據(jù)當(dāng)時(shí)的服務(wù)器的工作狀態(tài)、負(fù)載情況，按照一定的分配算法將流量分配到服務(wù)器群中的一個(gè)服務(wù)器，對(duì)于用戶來說服務(wù)器群是透明的，用戶并不知道服務(wù)器群的存在，VIP即是該站點(diǎn)

17、的接入地址。負(fù)載均衡設(shè)備進(jìn)一步地提高了網(wǎng)站的可靠性，這是由于當(dāng)服務(wù)器群中的某一個(gè)服務(wù)器發(fā)生故障，會(huì)有另外的服務(wù)器接替其工作，并且負(fù)載均衡設(shè)備會(huì)確保流量不會(huì)分配到工作不正常、關(guān)機(jī)或處理能力已飽和的服務(wù)器上。Ø 備份系統(tǒng)：如<圖3>所示，從前端應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器到光纖交換機(jī)，用戶所使用的都是集群環(huán)境或全冗余架構(gòu)，在這其中無論是哪個(gè)環(huán)節(jié)發(fā)生單點(diǎn)故障都不會(huì)影響業(yè)務(wù)的連續(xù)性。但是在此環(huán)境架構(gòu)中，存在著一個(gè)致命的環(huán)節(jié)，因?yàn)樵诖谁h(huán)境中所有的數(shù)據(jù)都是保存在IBM System Storage DS4700光纖磁盤存儲(chǔ)系統(tǒng)上，其就好像是“好車”上的“發(fā)動(dòng)機(jī)”，是應(yīng)用主機(jī)系統(tǒng)的核心所在

18、。雖然DS4700有RAID5與Hotspare的保護(hù)，但畢竟DS4700只是單臺(tái)存儲(chǔ)，如果DS4700發(fā)生故障的話，前端所做的集群環(huán)境與全冗余架構(gòu)就再也無法確保業(yè)務(wù)的連續(xù)性了。因此，我們?cè)谝?guī)劃中設(shè)計(jì)了一套1套磁盤存儲(chǔ)系統(tǒng)作為DS4700備用機(jī)，配置SAS磁盤，使用raid5+Hotspare方式對(duì)備份存儲(chǔ)本機(jī)進(jìn)行保護(hù)，并確保可用磁盤空間不低于主存儲(chǔ)DS4700，使用兩臺(tái)存儲(chǔ)虛擬化管理控制器，同步DS4700上的數(shù)據(jù)到備份存儲(chǔ)上，并且做到主、備兩臺(tái)存儲(chǔ)之間的HA，使整個(gè)平臺(tái)不再存在單點(diǎn)故障，做到全冗余架構(gòu)，保證地理信息業(yè)務(wù)的連續(xù)性及安全性。2.6 網(wǎng)絡(luò)安全部分規(guī)劃“高速公路”（基礎(chǔ)網(wǎng)絡(luò)）建好后

19、，我們的“好車”(應(yīng)用主機(jī))本應(yīng)能在上面順暢地運(yùn)行，卻發(fā)現(xiàn)“高速公路”上盡是拖拉機(jī)、摩托車等非法車輛，時(shí)不時(shí)還有不法份子向“好車”投擲石塊進(jìn)行攻擊，這時(shí)，我們就迫切需要“高速交警”（網(wǎng)絡(luò)安全防護(hù)措施）來管理和保護(hù)，以保證我們的“好車”(應(yīng)用主機(jī))能高效、安全地運(yùn)營(yíng)。因此，我們將對(duì)XXXX基礎(chǔ)地理信息中心基于外網(wǎng)的業(yè)務(wù)系統(tǒng)實(shí)施全局二級(jí)等級(jí)化標(biāo)準(zhǔn)保護(hù)。網(wǎng)絡(luò)安全部分的規(guī)劃，總體上可以分為兩大部分，一是要建立一個(gè)完善的信息安全管理體系，從制度上保證整個(gè)信息系統(tǒng)的安全運(yùn)營(yíng)；二是要通過各種安全設(shè)備的協(xié)同工作從技術(shù)上來實(shí)現(xiàn)對(duì)整個(gè)信息系統(tǒng)的安全防護(hù)。以下，我們將就如何在技術(shù)上的保證這一方面做出規(guī)劃，至于在制度

20、上的如何保證，由于內(nèi)容較多，我們將以附件的方式提交。如<圖4>所示，網(wǎng)絡(luò)安全在技術(shù)上的保證，主要是通過在整個(gè)支撐平臺(tái)的不同位置部署防火墻、入侵防御系統(tǒng)、Web應(yīng)用防護(hù)系統(tǒng)、網(wǎng)絡(luò)安全審計(jì)系統(tǒng)以及漏洞掃描系統(tǒng)等安全產(chǎn)品來實(shí)現(xiàn)。Ø 防火墻：部署在網(wǎng)絡(luò)出口處，是整個(gè)平臺(tái)的第一道安全防線。部署后，所有訪問服務(wù)器的請(qǐng)求都要經(jīng)過防火墻安全規(guī)則的詳細(xì)檢測(cè)，只有訪問服務(wù)器的請(qǐng)求符合防火墻安全規(guī)則后，才能通過防火墻到達(dá)內(nèi)部服務(wù)器。防火墻本身抵御了絕大部分對(duì)服務(wù)器的攻擊，外界只能接觸到防火墻上的特定服務(wù)，從而屏蔽了絕大部分外界攻擊。另外，規(guī)劃中XXXX地理信息公共服務(wù)系統(tǒng)和位置服務(wù)中心成諸多業(yè)

21、務(wù)將承載在外網(wǎng)上運(yùn)行，一旦系統(tǒng)上線，數(shù)據(jù)訪問量將劇增，因此原本的百兆防火墻不適合用戶的需求，需要替換成千兆的防火墻，建議分為兩期來做，第一期先部署一臺(tái)千兆防火墻，第二期再部署另一臺(tái)千兆防火墻做雙機(jī)熱備以避免單點(diǎn)故障。另外，根據(jù)XXXX人民政府辦公廳于2010年5月19日發(fā)布XXXX電子政務(wù)外網(wǎng)管理暫行辦法第一章第二條 “政務(wù)外網(wǎng)是國(guó)家電子政務(wù)外網(wǎng)的組成部分，是覆蓋省市縣鄉(xiāng)的全省統(tǒng)一的電子政務(wù)專網(wǎng)，政務(wù)外網(wǎng)與政務(wù)信息網(wǎng)物理隔離，與互聯(lián)網(wǎng)邏輯隔離?！?之規(guī)定，也需要通過防火墻實(shí)現(xiàn)電子政務(wù)外網(wǎng)與互聯(lián)網(wǎng)的邏輯隔離。Ø 入侵防御系統(tǒng)：防火墻是一種最基本的安全措施，它可以起到限制訪問的目的，好比

22、在網(wǎng)絡(luò)中修建了圍墻，不允許任意出入，只許在正規(guī)的出入口進(jìn)出，防火墻可以阻止所有無關(guān)人員出入，并放行所有的相關(guān)人員。但，“開好車的就一定是好人嗎？”，由于防火墻只能對(duì)表面現(xiàn)象進(jìn)行檢查，不能深入對(duì)內(nèi)容進(jìn)行檢查，因此我們需要在平臺(tái)中部署第二道防線來主動(dòng)防御來自應(yīng)用層的攻擊，即入侵防御系統(tǒng)，它對(duì)已經(jīng)通過防火墻檢測(cè)的正常流量進(jìn)行檢測(cè)，發(fā)現(xiàn)隱藏在其中的惡意數(shù)據(jù)包，并阻止其攻擊平臺(tái)中的服務(wù)器主機(jī)，保證正常業(yè)務(wù)系統(tǒng)的連續(xù)性和可用性。Ø Web應(yīng)用防護(hù)系統(tǒng)：部署在Web應(yīng)用服務(wù)器群的前端。由于從物理層到應(yīng)用層（也就是ISO的一層到七層）都可以實(shí)現(xiàn)對(duì)網(wǎng)頁內(nèi)容的更改，例如，ARP Spoof，TCP會(huì)話劫

23、持，F(xiàn)TP，SQL 注入，WebShell提權(quán)等。因此，對(duì)網(wǎng)站的防篡改也應(yīng)該從物理層到應(yīng)用層構(gòu)建一套全層次受控的訪問體系，也就是說，從ARP層到應(yīng)用層對(duì)用戶的防護(hù)的訪問進(jìn)行全面的、可控的最小權(quán)限訪問控制。目前，用戶已有的一套InforGuard網(wǎng)頁防篡改軟件由于在網(wǎng)站更新的時(shí)候經(jīng)常會(huì)出現(xiàn)問題，已不再使用，更為重要的的是，其基本設(shè)計(jì)的概念是“事后還原”，也就是，一旦發(fā)現(xiàn)網(wǎng)頁內(nèi)容被更改，則盡快恢復(fù)事先備份的正確網(wǎng)頁內(nèi)容；而規(guī)劃中部署的Web應(yīng)用防護(hù)系統(tǒng)的設(shè)計(jì)理念是“事先防改”，也就是說，做到讓黑客根本無法更改，或者用一個(gè)通俗的話來比喻，一般的防篡改系統(tǒng)是“治病”，Web應(yīng)用防護(hù)系統(tǒng)是“免疫”，同時(shí)

24、還具有抗DDoS攻擊防護(hù)、被盜鏈等功能。Ø 網(wǎng)絡(luò)安全審計(jì)系統(tǒng)：旁路部署在核心交換機(jī)上，實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)操作的審計(jì)，以幫助用戶事前規(guī)劃預(yù)防、事中實(shí)時(shí)監(jiān)視、違規(guī)行為響應(yīng)、事后合規(guī)報(bào)告、事故追蹤溯源，加強(qiáng)內(nèi)外部網(wǎng)絡(luò)行為監(jiān)管、促進(jìn)核心資產(chǎn)（數(shù)據(jù)庫(kù)、服務(wù)器、網(wǎng)絡(luò)設(shè)備等）的正常運(yùn)營(yíng)。其核心價(jià)值體現(xiàn)是完善業(yè)務(wù)系統(tǒng)的安全防范體系，滿足組織機(jī)構(gòu)內(nèi)外部合規(guī)性要求，全面體現(xiàn)管理者對(duì)業(yè)務(wù)系統(tǒng)信息資源的全局把控和調(diào)度能力。Ø 漏洞掃描系統(tǒng)（軟件）：部署在數(shù)據(jù)庫(kù)服務(wù)器群中，其可以實(shí)現(xiàn)對(duì)服務(wù)器的風(fēng)險(xiǎn)評(píng)估，及時(shí)的進(jìn)行安全加固以加強(qiáng)服務(wù)器本身的安全，其利用“發(fā)現(xiàn)掃描定性修復(fù)審核”的弱點(diǎn)全面評(píng)估法則，綜合運(yùn)用多種

25、國(guó)際最新的漏洞掃描與檢測(cè)技術(shù)，能夠快速發(fā)現(xiàn)網(wǎng)絡(luò)資產(chǎn)，準(zhǔn)確識(shí)別資產(chǎn)屬性、全面掃描安全漏洞，清晰定性安全風(fēng)險(xiǎn)，給出修復(fù)建議和預(yù)防措施，并對(duì)風(fēng)險(xiǎn)控制策略進(jìn)行有效審核，從而幫助用戶在弱點(diǎn)全面評(píng)估的基礎(chǔ)上實(shí)現(xiàn)安全自主掌控。2.7 分期建設(shè)規(guī)劃表“統(tǒng)一規(guī)劃，分期實(shí)施”是我們?cè)O(shè)計(jì)XXXX基礎(chǔ)地理信息中心數(shù)據(jù)及應(yīng)用服務(wù)中心所遵循的原則之一，因此，我們建議本項(xiàng)目可分為三期建設(shè)，具體規(guī)劃如下表所示：2.7.1 一期建設(shè)清單外網(wǎng)線路部分 單位：人民幣 萬元編號(hào)設(shè)備名稱數(shù)量描述單價(jià)小計(jì)建議1XXXX電子政務(wù)外網(wǎng)線路1條u 目前未接入；u 標(biāo)準(zhǔn)100M光纖接入；u 向XXXX經(jīng)濟(jì)信息中心申請(qǐng)更大帶寬。00一期建設(shè)。2電

26、信線路1條u 現(xiàn)有10M和20M各一條，擬擴(kuò)展至100M一條，費(fèi)用按年計(jì)算。1515根據(jù)流量負(fù)載情況分期擴(kuò)容。3聯(lián)通線路1條u 現(xiàn)有10M一條，擬擴(kuò)展至100M一條，費(fèi)用按年計(jì)算。66小計(jì)：略基礎(chǔ)網(wǎng)絡(luò)部分 單位：人民幣 萬元編號(hào)設(shè)備名稱數(shù)量描述單價(jià)小計(jì)建議1鏈路負(fù)載均衡1套u(yù) 部署在外網(wǎng)出口處；u 標(biāo)準(zhǔn)吞吐率1GB，并可通過軟件許可證的方式升級(jí)吞吐量至4GB；u 提供至少6個(gè)10/100/1000BaseT端口以及光纖端口。16.716.72核心交換機(jī)2套u(yù) 增強(qiáng)型IPv6強(qiáng)三層以太網(wǎng)萬兆交換機(jī)；u 雙機(jī)熱備，支持IRF2；u 背板交換容量256Gbps；u 交換容量（全雙工）192Gbps；

27、u 包轉(zhuǎn)發(fā)率（整機(jī)）96Mpps；u 配置24個(gè)10/100/1000Base-T以太網(wǎng)端口+4個(gè)復(fù)用的1000Base-X千兆SFP端口+2個(gè)擴(kuò)展插槽；u 配置1個(gè)2端口萬兆以太網(wǎng)SFP+接口板，并提供2個(gè)SFP+ 萬兆模塊(850nm,300m,LC)；u 配置1個(gè)2端口萬兆以太網(wǎng)CX4接口模塊（3m短距離），實(shí)現(xiàn)IRF2彈性堆疊；u 配置1根50cm CX4本地連接電纜。4.89.63辦公網(wǎng)PC接入交換機(jī)1套u(yù) 作為內(nèi)部辦公網(wǎng)PC的接入交換機(jī)。00利舊。小計(jì)：26.3應(yīng)用主機(jī)部分 單位：人民幣 萬元編號(hào)設(shè)備名稱數(shù)量描述單價(jià)小計(jì)建議1應(yīng)用服務(wù)器1套u(yù) 9U刀片機(jī)箱；u IBM BladeC

28、enter H；u 14個(gè)刀片服務(wù)器托架；u 2組（共4個(gè)）電源，實(shí)現(xiàn)冗余；u 20口（對(duì)外6口）千兆2層以太網(wǎng)交換機(jī)模塊。00利舊。1套u(yù) 20口（對(duì)外6口）千兆2層以太網(wǎng)交換機(jī)模塊；u 擴(kuò)容以實(shí)現(xiàn)冗余；u 安裝在刀片機(jī)箱上。11.22套u(yù) 刀片服務(wù)器；u IBM Blade HS22；u CPU：2個(gè)Intel四核Xeon E5530處理器（2.40GHz，8MB 三級(jí)高速緩存）；u 內(nèi)存：16GB（4x4GB）DDR3, 12個(gè)內(nèi)存插槽，最大192GB；u 硬盤：2個(gè)146GB 10K 6Gbps SAS 2.5英寸熱插拔硬盤，支持RAID0/1。00利舊。6套u(yù) 刀片服務(wù)器；u IBM

29、 Blade HS22；u CPU：2個(gè)Intel四核Xeon E5530處理器（2.40GHz，8MB 三級(jí)高速緩存）；u 內(nèi)存：16GB（4x4GB）DDR3, 12個(gè)內(nèi)存插槽，最大192GB；u 硬盤：2個(gè)146GB 10K 6Gbps SAS 2.5英寸熱插拔硬盤，支持RAID0/1。3.319.82數(shù)據(jù)庫(kù)服務(wù)器2套u(yù) 2U機(jī)架式；u IBM x3650 M2；u CPU：2個(gè)Intel四核Xeon E5540處理器(2.53GHz，8M三級(jí)高速緩存)；u 內(nèi)存：16GB（4x4GB） DDR3 RDIMM, 16個(gè)內(nèi)存插槽，最大128GB；u 硬盤：3個(gè)300GB 10K 6Gbps

30、 SAS 2.5英寸熱插拔硬盤，支持RAID0/1/5/6；u 網(wǎng)卡：集成雙口10/100/1000Mb自適應(yīng)；u HBA：4GB光纖；u 光驅(qū)：DVD；u 操作系統(tǒng)：微軟Windows Server 2008標(biāo)準(zhǔn)版32/64位（支持1-4處理器，含5用戶授權(quán)）簡(jiǎn)體中文ROK。00利舊。3光纖存儲(chǔ)系統(tǒng)1套u(yù) 4U；u IBM System Storage DS4700；u 協(xié)議端口：主機(jī)端口為光纖通道。u 主機(jī)接口和磁盤及數(shù)量：4個(gè)4Gbps光纖通道（FC）交換接口和FC仲裁環(huán)(FC-AL)；4個(gè)4Gbps FC-SW 驅(qū)動(dòng)器接口；u 速度性能：IOPS121,500（，磁盤吞吐率900Mb/

31、S；u 存儲(chǔ)緩存：2GBu 配置容量：10*300GB 15000RPM 4GB光纖硬盤；u 擴(kuò)展性能：?jiǎn)我粰C(jī)頭通過擴(kuò)展存儲(chǔ)柜可支持112個(gè)硬盤槽位。00利舊。4光纖交換機(jī)1套u(yù) 如果只有2臺(tái)數(shù)據(jù)庫(kù)服務(wù)器，存儲(chǔ)將采用直連方式，不需要光纖交換機(jī)；u 最大支持24個(gè)8Gpbs/4Gbps FC端口，本次激活8個(gè)4Gpbs端口。7.47.4小計(jì)：28.4網(wǎng)絡(luò)安全部分 單位：人民幣 萬元編號(hào)設(shè)備名稱數(shù)量描述單價(jià)小計(jì)建議1百兆防火墻1套u(yù) 東軟FW5120-W；u 部署在外網(wǎng)出口處；u 配置6個(gè)10/100 Base-T端口。00利舊，現(xiàn)有線路狀況下可暫使用。2千兆防火墻1套u(yù) 部署在外網(wǎng)出口處；u 至

32、少支持一對(duì)Bypass接口；u 系統(tǒng)吞吐量4G；u 最大并發(fā)連接數(shù)100萬（可擴(kuò)展至200萬）；u 每秒新建連接數(shù)6萬；u 配置6個(gè)10/100/1000自適應(yīng)電口，并可擴(kuò)展光口。10103入侵防御系統(tǒng)1套u(yù) 部署在外網(wǎng)防火墻之后；u 雙機(jī)熱備；u 最大4路（可以是2路光纖接入或2路電口接入或2路光纖2路電口接入，光接口可為單?；蚨嗄＃籾 吞吐率1200Mbps；u 碎片重組數(shù)1,000,000；u 單包最大時(shí)延200us；u 最大并發(fā)連接數(shù)200萬；u 每秒最大連接數(shù)8萬。23.223.24Web應(yīng)用防護(hù)系統(tǒng)1套u(yù) 最多6個(gè)千兆接口（多模光纖SX、千兆以太網(wǎng)可選）；u 吞吐量（雙向）800

33、M；u 延遲30 us；u 最大并發(fā)TCP會(huì)話數(shù)60萬。16.816.85上網(wǎng)行為管理1套u(yù) 部署在內(nèi)部辦公網(wǎng)PC的接入交換機(jī)上；u 網(wǎng)康。00利舊。6網(wǎng)絡(luò)防病毒軟件1套00利舊。小計(jì)：50一期建設(shè)資金估算（不含外網(wǎng)線路費(fèi)用）： 二期建設(shè)清單基礎(chǔ)網(wǎng)絡(luò)擴(kuò)容 單位：人民幣 萬元編號(hào)設(shè)備名稱數(shù)量描述單價(jià)小計(jì)建議1鏈路負(fù)載均衡1套u(yù) 部署在外網(wǎng)出口處；u 與一期部署的鏈路負(fù)載均衡做雙機(jī)熱備；u 標(biāo)準(zhǔn)吞吐率1GB，并可通過軟件許可證的方式升級(jí)吞吐量至4GB；u 提供至少6個(gè)10/100/1000BaseT端口以及光纖端口。16.716.7小計(jì)：16.7應(yīng)用主機(jī)擴(kuò)容 單位：人民幣 萬元

34、編號(hào)設(shè)備名稱數(shù)量描述單價(jià)小計(jì)建議1應(yīng)用服務(wù)器4套u(yù) 刀片服務(wù)器；u IBM Blade HS22；u CPU：2個(gè)Intel四核Xeon E5530處理器（2.40GHz，8MB 三級(jí)高速緩存）；u 內(nèi)存：16GB（4x4GB）DDR3, 12個(gè)內(nèi)存插槽，最大192GB；u 硬盤：2個(gè)146GB 10K 6Gbps SAS 2.5英寸熱插拔硬盤，支持RAID0/1。3.313.22數(shù)據(jù)庫(kù)服務(wù)器2套u(yù) 機(jī)型：機(jī)架式4U。u CPU：2個(gè)Intel 四核Xeon E7520處理器(1.86GHz, 18M 三級(jí)高速緩存)，可擴(kuò)充至8路處理器。u 內(nèi)存：標(biāo)配2塊內(nèi)存板，16GB (4×4G

35、B) 1066MHz DDR3內(nèi)存。u 硬盤：3個(gè)300GB 10K SAS 熱插拔硬盤（RAID5），可用容量約600GB；最大可擴(kuò)充至3TB。u 網(wǎng)卡：標(biāo)配一塊Emulex 萬兆雙口以太網(wǎng)卡+2個(gè)千兆以太網(wǎng)卡。u 光驅(qū)：DVD。u 電源：熱插拔，實(shí)現(xiàn)冗余。8.617.23數(shù)據(jù)備份系統(tǒng)1套u(yù) 3U；u 單控制器，支持SAS/SATA磁盤混插，支持RAID0/1/10/5/50/60熱備盤；u 標(biāo)配2個(gè) FC主機(jī)端口，2個(gè)1GbE主機(jī)接口；u 硬盤：6個(gè)600GB 15000RPM SAS硬盤，本機(jī)16個(gè)盤位可擴(kuò)容到80盤位；u 2個(gè)存儲(chǔ)高可用控制器；u 1套存儲(chǔ)設(shè)備高可用軟件（配合高可用控制

36、器使用）；u 450W冗余電源。22.422.44光纖交換機(jī)1套u(yù) 與一期部署的光纖交換機(jī)做雙機(jī)熱備；u 最大支持24個(gè)8Gpbs/4Gbps FC端口，本次激活8個(gè)4Gpbs端口。7.47.45服務(wù)器負(fù)載均衡1套u(yù) 標(biāo)準(zhǔn)吞吐量：1 Gbps；u 路由協(xié)議：OSPF、RIP、 RIP II；u 物理端口：6Gigabit Ethernet Ports (Copper) + 2 Gigabit Fiber Ports (SFP-GBIC Mini)。16.716.7小計(jì)：76.9網(wǎng)絡(luò)安全擴(kuò)容 單位：人民幣 萬元編號(hào)設(shè)備名稱數(shù)量描述單價(jià)小計(jì)建議1千兆防火墻1套u(yù) 部署在外網(wǎng)出口處；u 雙機(jī)熱備，至

37、少支持一對(duì)Bypass接口；u 系統(tǒng)吞吐量4G；u 最大并發(fā)連接數(shù)100萬（可擴(kuò)展至200萬）；u 每秒新建連接數(shù)6萬；u 配置6個(gè)10/100/1000自適應(yīng)電口，并可擴(kuò)展光口。10102網(wǎng)絡(luò)安全審計(jì)系統(tǒng)1套u(yù) 旁路部署在核心交換機(jī)上；u 抓包速度100M；u 入庫(kù)速度8000條/秒；u 日處理事件數(shù)800萬條；u 缺省DB審計(jì)服務(wù)數(shù)20；u MTBF50000小時(shí)。11.311.3小計(jì)：21.3二期建設(shè)資金估算： 三期建設(shè)清單應(yīng)用主機(jī)擴(kuò)容 單位：人民幣 萬元編號(hào)設(shè)備名稱數(shù)量描述單價(jià)小計(jì)建議1應(yīng)用服務(wù)器2套u(yù) 刀片服務(wù)器；u IBM Blade HS22；u CPU：2個(gè)

38、Intel四核Xeon E5530處理器（2.40GHz，8MB 三級(jí)高速緩存）；u 內(nèi)存：16GB（4x4GB）DDR3, 12個(gè)內(nèi)存插槽，最大192GB；u 硬盤：2個(gè)146GB 10K 6Gbps SAS 2.5英寸熱插拔硬盤，支持RAID0/1。3.36.62服務(wù)器負(fù)載均衡1套u(yù) 與二期部署的服務(wù)器負(fù)載均衡做雙機(jī)熱備；u 標(biāo)準(zhǔn)吞吐量：1 Gbps；u 路由協(xié)議：OSPF、RIP、 RIP II；u 物理端口：6Gigabit Ethernet Ports (Copper) + 2 Gigabit Fiber Ports (SFP-GBIC Mini)。16.716.7小計(jì)：23.3網(wǎng)絡(luò)

39、安全擴(kuò)容 單位：人民幣 萬元編號(hào)設(shè)備名稱數(shù)量描述單價(jià)小計(jì)建議1入侵防御系統(tǒng)1套u(yù) 與一期部署的入侵防御設(shè)備做雙機(jī)熱備；u 部署在外網(wǎng)防火墻之后；u 雙機(jī)熱備；u 最大4路（可以是2路光纖接入或2路電口接入或2路光纖2路電口接入，光接口可為單?；蚨嗄＃?；u 吞吐率1200Mbps；u 碎片重組數(shù)1,000,000；u 單包最大時(shí)延200us；u 最大并發(fā)連接數(shù)200萬；u 每秒最大連接數(shù)8萬。23.223.22漏洞掃描系統(tǒng)1套u(yù) 旁路部署在核心交換機(jī)上；u 每次掃描主機(jī)的個(gè)數(shù)為64個(gè)，但不限制具體掃描的IP地址。9.59.5小計(jì)：32.7三期建設(shè)資金估算：56第三章 基于政務(wù)內(nèi)網(wǎng)的地理信息運(yùn)營(yíng)支

40、撐平臺(tái)規(guī)劃3.1 綜述政務(wù)內(nèi)網(wǎng)，即“數(shù)字福建”政務(wù)信息網(wǎng)，其于2001年9月開始建設(shè)，2002年1月開通運(yùn)行，實(shí)現(xiàn)了省、市、縣各級(jí)黨政單位骨干網(wǎng)絡(luò)的互聯(lián)，是XXXX各級(jí)黨政機(jī)關(guān)實(shí)現(xiàn)信息交換和共享的寬帶、安全、高速、便捷的多媒體信息交換平臺(tái)。政務(wù)內(nèi)網(wǎng)為涉密網(wǎng)絡(luò)，是完全與國(guó)際互聯(lián)網(wǎng)物理隔離的，并有機(jī)要網(wǎng)在其上運(yùn)行，所以根據(jù)國(guó)家相關(guān)法律法規(guī)（中辦17號(hào)文），承載在政務(wù)內(nèi)網(wǎng)運(yùn)行的XXXX自然資源及地理空間數(shù)據(jù)庫(kù)等系統(tǒng)的支撐平臺(tái)必須單獨(dú)設(shè)計(jì)，與外網(wǎng)完全隔離。本方案設(shè)計(jì)的主要目的就是為保證XXXX自然資源及地理空間數(shù)據(jù)庫(kù)等系統(tǒng)的穩(wěn)定高效運(yùn)行構(gòu)建一個(gè)基于政務(wù)內(nèi)網(wǎng)的穩(wěn)定、安全、先進(jìn)的運(yùn)營(yíng)支撐平臺(tái)。3.2 基于

41、政務(wù)內(nèi)網(wǎng)的運(yùn)營(yíng)支撐平臺(tái)總規(guī)劃拓?fù)鋱D如<圖5>所示，XXXX基礎(chǔ)地理信息中心基于政務(wù)內(nèi)網(wǎng)的地理信息支撐運(yùn)營(yíng)平臺(tái)從架構(gòu)上看，可以分為基礎(chǔ)網(wǎng)絡(luò)規(guī)劃、應(yīng)用主機(jī)部分規(guī)劃以及網(wǎng)絡(luò)安全規(guī)劃以及等3個(gè)部分，以下，我們也將按照“好路、好車、好警察”分層設(shè)計(jì)的原則對(duì)以上部分逐一進(jìn)行規(guī)劃說明。3.3 基礎(chǔ)網(wǎng)絡(luò)部分規(guī)劃由于電子政務(wù)內(nèi)網(wǎng)為涉密網(wǎng)絡(luò)，為單光纖鏈路接入，考慮到XXXX自然資源及地理空間數(shù)據(jù)庫(kù)等系統(tǒng)上線后，一期接入的就有XXXX氣象局等9個(gè)廳局單位，同時(shí)將運(yùn)行Oracle等大型數(shù)據(jù)庫(kù)，從基礎(chǔ)網(wǎng)絡(luò)結(jié)構(gòu)上考慮，我們認(rèn)為已有的工作組級(jí)二層交換機(jī)是不適宜擔(dān)任核心交換的重任的。如<圖5>所示，核

42、心交換機(jī)將負(fù)責(zé)各種業(yè)務(wù)數(shù)據(jù)流量的轉(zhuǎn)發(fā)，是整個(gè)網(wǎng)絡(luò)最核心部分，它的性能、可靠性將極大地影響整個(gè)網(wǎng)絡(luò)的運(yùn)行情況。因此我們?cè)谡麄€(gè)網(wǎng)絡(luò)最核心的部分部署了增強(qiáng)型IPv6三層萬兆以太網(wǎng)交換機(jī)，由于地理信息業(yè)務(wù)對(duì)I/O的要求極高，我們規(guī)劃中將動(dòng)態(tài)虛擬化服務(wù)器主機(jī)通過其各自帶的萬兆網(wǎng)口與核心交換機(jī)萬兆光纖端口直連，以滿足大流量數(shù)據(jù)線速交換的需求。3.4 應(yīng)用主機(jī)部分規(guī)劃基于政務(wù)內(nèi)網(wǎng)的地理信息應(yīng)用與基于外網(wǎng)的地理信息應(yīng)用相比，相對(duì)豐富，如何提高主機(jī)的使用效率、如何降低成本以及如何達(dá)到業(yè)務(wù)不停機(jī)的要求，是我們規(guī)劃的最大目標(biāo)。因此，我們建議用戶采用VMware虛擬化平臺(tái)解決方案為基于政務(wù)內(nèi)網(wǎng)的地理信息應(yīng)用服務(wù)構(gòu)建一

43、個(gè)強(qiáng)壯并有著優(yōu)異擴(kuò)展能力的運(yùn)營(yíng)支撐系統(tǒng)。如<圖5>所示，應(yīng)用主機(jī)部分可以分為動(dòng)態(tài)虛擬化服務(wù)器平臺(tái)、存儲(chǔ)系統(tǒng)以及數(shù)據(jù)備份系統(tǒng)等3個(gè)部分，規(guī)劃圖如下所示：Ø 動(dòng)態(tài)虛擬化服務(wù)器平臺(tái)：如<圖6>所示，我們建議用戶一期可先配置2臺(tái)基于Intel 最新的6核CPU的x86服務(wù)器做為虛擬主機(jī)，同時(shí)每臺(tái)服務(wù)器上都安裝配置VMware 第4代虛擬架構(gòu)套件-VMware vSphere 4企業(yè)版軟件，用于在單個(gè)物理服務(wù)器實(shí)體上，利用服務(wù)器強(qiáng)大的處理能力，生成多個(gè)虛擬服務(wù)器，而每一個(gè)虛擬服務(wù)器，從功能、性能和操作方式上，等同于傳統(tǒng)的單臺(tái)物理服務(wù)器，在每個(gè)虛擬服務(wù)器上，再安裝配置Wi

44、ndows或其他操作系統(tǒng)，進(jìn)而再安裝應(yīng)用軟件，這樣以前的每個(gè)物理服務(wù)器就變身為VMware ESX 服務(wù)器上的虛擬機(jī)，從而大大提高資源利用率，降低成本，增強(qiáng)了系統(tǒng)和應(yīng)用的可用性，提高系統(tǒng)的靈活性和快速響應(yīng)，完美地實(shí)現(xiàn)了服務(wù)器虛擬架構(gòu)的整合。另外，為了集中管理和監(jiān)控虛擬機(jī)，實(shí)現(xiàn)自動(dòng)化以及簡(jiǎn)化資源調(diào)配，建議單獨(dú)配置一套服務(wù)器安裝Window系統(tǒng)，用于安裝VMware vSphere套件中的VMware vCenter Server軟件，對(duì)兩臺(tái)物理服務(wù)器及其上的虛擬服務(wù)器進(jìn)行統(tǒng)一的管理。Ø 光纖交換機(jī)：未來多業(yè)務(wù)系統(tǒng)上線后，平臺(tái)中將部署多臺(tái)服務(wù)器做為虛擬主機(jī)，這就需要通過光纖交換機(jī)與光纖通

45、道磁盤存儲(chǔ)系統(tǒng)連接，而不能采用數(shù)據(jù)庫(kù)服務(wù)器與存儲(chǔ)系統(tǒng)光纖直連的方式；為保證高可用性，規(guī)劃中部署了兩套光纖交換機(jī)并配置成HA工作模式。Ø 存儲(chǔ)系統(tǒng)：為了實(shí)現(xiàn)數(shù)據(jù)的集中存儲(chǔ)、集中備份以及充分利用VMware虛擬架構(gòu)中虛擬機(jī)可動(dòng)態(tài)在線從一臺(tái)物理服務(wù)器遷移到另一臺(tái)物理服務(wù)器上的特性，建議配置一套光纖存儲(chǔ)系統(tǒng)，組成標(biāo)準(zhǔn)的SAN集中存儲(chǔ)架構(gòu)，由VMware虛擬架構(gòu)套件生產(chǎn)出來的虛擬機(jī)的封裝文件都存放在SAN存儲(chǔ)陣列上。通過共享的SAN存儲(chǔ)架構(gòu)，可以最大化的發(fā)揮虛擬架構(gòu)的優(yōu)勢(shì)，進(jìn)行在線地遷移正在運(yùn)行的虛擬機(jī)（VMware VMotion），進(jìn)行動(dòng)態(tài)的資源管理（VMware DRS）， 和集中的基于

46、虛擬機(jī)快照技術(shù)的Lan Free的整合備份 （VMware VCB）等，而且為以后的容災(zāi)提供擴(kuò)展性和打下基礎(chǔ)。Ø 備份系統(tǒng)：如<圖6>所示，從核心交換機(jī)到動(dòng)態(tài)虛擬化服務(wù)器平臺(tái)再到光纖交換機(jī)，用戶所使用的都是集群環(huán)境或全冗余架構(gòu)，在這其中無論是哪個(gè)環(huán)節(jié)發(fā)生單點(diǎn)故障都不會(huì)影響業(yè)務(wù)的連續(xù)性。但是在此環(huán)境架構(gòu)中，存在著一個(gè)致命的環(huán)節(jié)，因?yàn)樵诖谁h(huán)境中所有的數(shù)據(jù)都是保存在光纖磁盤存儲(chǔ)系統(tǒng)上，其就好像是“好車”上的“發(fā)動(dòng)機(jī)”，是應(yīng)用主機(jī)系統(tǒng)數(shù)據(jù)的核心所在。因此，我們?cè)谝?guī)劃中設(shè)計(jì)了一套磁盤存儲(chǔ)系統(tǒng)作為光纖磁盤存儲(chǔ)系統(tǒng)的備用機(jī)，配置SAS磁盤，使用raid5+Hotspare方式對(duì)備份存儲(chǔ)

47、本機(jī)進(jìn)行保護(hù)，并確?？捎么疟P空間不低于主存儲(chǔ)系統(tǒng)，同時(shí)使用兩臺(tái)存儲(chǔ)虛擬化管理控制器，同步主存儲(chǔ)系統(tǒng)上的數(shù)據(jù)到備份存儲(chǔ)上，并且做到主、備兩臺(tái)存儲(chǔ)之間的HA，使整個(gè)平臺(tái)不再存在單點(diǎn)故障，做到全冗余架構(gòu)，保證地理信息業(yè)務(wù)的連續(xù)性及安全性。3.5 網(wǎng)絡(luò)安全部分規(guī)劃我們將對(duì)XXXX基礎(chǔ)地理信息中心基于政務(wù)內(nèi)網(wǎng)的業(yè)務(wù)系統(tǒng)實(shí)施全局二級(jí)等級(jí)化標(biāo)準(zhǔn)保護(hù)。網(wǎng)絡(luò)安全部分的規(guī)劃，總體上可以分為兩大部分，一是要建立一個(gè)完善的信息安全管理體系，從制度上保證整個(gè)信息系統(tǒng)的安全運(yùn)營(yíng)；二是要通過各種安全設(shè)備的協(xié)同工作從技術(shù)上來實(shí)現(xiàn)對(duì)整個(gè)信息系統(tǒng)的安全防護(hù)。以下，我們將就如何在技術(shù)上的保證這一方面做出規(guī)劃，至于在制度上的如何保證

48、，由于內(nèi)容較多，我們將以附件的方式提交。如<圖5>所示，網(wǎng)絡(luò)安全在技術(shù)上的保證，主要是通過在整個(gè)支撐平臺(tái)的不同位置部署防火墻、入侵防御系統(tǒng)以及網(wǎng)絡(luò)安全審計(jì)系統(tǒng)等安全產(chǎn)品來實(shí)現(xiàn)。Ø 防火墻：部署在網(wǎng)絡(luò)出口處，是整個(gè)平臺(tái)的第一道安全防線。部署后，所有訪問服務(wù)器的請(qǐng)求都要經(jīng)過防火墻安全規(guī)則的詳細(xì)檢測(cè)，只有訪問服務(wù)器的請(qǐng)求符合防火墻安全規(guī)則后，才能通過防火墻到達(dá)內(nèi)部服務(wù)器。防火墻本身抵御了絕大部分對(duì)服務(wù)器的攻擊，外界只能接觸到防火墻上的特定服務(wù)，從而屏蔽了絕大部分外界攻擊。規(guī)劃中，XXXX自然資源及地理空間數(shù)據(jù)庫(kù)等諸多業(yè)務(wù)系統(tǒng)將承載在政務(wù)內(nèi)網(wǎng)上運(yùn)行，一旦系統(tǒng)上線，數(shù)據(jù)訪問量將劇增

49、，原有的一套黑盾防火墻不但存在單點(diǎn)故障的隱患，而且性能上也將存在瓶頸。因此，我們建議將外網(wǎng)改造后更換下來的東軟FW5120-W防火墻（目前此設(shè)備應(yīng)用于Internet出口，性能上應(yīng)優(yōu)于原有黑盾防火墻）部署于政務(wù)內(nèi)網(wǎng)出口處，同時(shí)新購(gòu)一套同等性能的防火墻做雙機(jī)熱備。Ø 入侵防御系統(tǒng)：防火墻是一種最基本的安全措施，它可以起到限制訪問的目的，好比在網(wǎng)絡(luò)中修建了圍墻，不允許任意出入，只許在正規(guī)的出入口進(jìn)出，防火墻可以阻止所有無關(guān)人員出入，并放行所有的相關(guān)人員。但，“開好車的就一定是好人嗎？”，由于防火墻只能對(duì)表面現(xiàn)象進(jìn)行檢查，不能深入對(duì)內(nèi)容進(jìn)行檢查，因此我們需要在平臺(tái)中部署第二道防線來主動(dòng)防御

50、來自應(yīng)用層的攻擊，即入侵防御系統(tǒng)，它對(duì)已經(jīng)通過防火墻檢測(cè)的正常流量進(jìn)行檢測(cè)，發(fā)現(xiàn)隱藏在其中的惡意數(shù)據(jù)包，并阻止其攻擊平臺(tái)中的服務(wù)器主機(jī)，保證正常業(yè)務(wù)系統(tǒng)的連續(xù)性和可用性。Ø 網(wǎng)絡(luò)安全審計(jì)系統(tǒng)：旁路部署在核心交換機(jī)上，實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)操作的審計(jì)，以幫助用戶事前規(guī)劃預(yù)防、事中實(shí)時(shí)監(jiān)視、違規(guī)行為響應(yīng)、事后合規(guī)報(bào)告、事故追蹤溯源，加強(qiáng)內(nèi)外部網(wǎng)絡(luò)行為監(jiān)管、促進(jìn)核心資產(chǎn)（數(shù)據(jù)庫(kù)、服務(wù)器、網(wǎng)絡(luò)設(shè)備等）的正常運(yùn)營(yíng)。其核心價(jià)值體現(xiàn)是完善業(yè)務(wù)系統(tǒng)的安全防范體系，滿足組織機(jī)構(gòu)內(nèi)外部合規(guī)性要求，全面體現(xiàn)管理者對(duì)業(yè)務(wù)系統(tǒng)信息資源的全局把控和調(diào)度能力。3.6 分期建設(shè)規(guī)劃表“統(tǒng)一規(guī)劃，分期實(shí)施”是我們?cè)O(shè)計(jì)XXXX基

51、礎(chǔ)地理信息中心數(shù)據(jù)及應(yīng)用服務(wù)中心所遵循的原則之一，因此，我們建議本項(xiàng)目可分為三期建設(shè)，具體規(guī)劃如下表所示：3.6.1 一期建設(shè)清單基礎(chǔ)網(wǎng)絡(luò)部分 單位：人民幣 萬元編號(hào)設(shè)備名稱數(shù)量描述單價(jià)小計(jì)備注1核心交換機(jī)2套u(yù) 增強(qiáng)型IPv6強(qiáng)三層以太網(wǎng)萬兆交換機(jī)；u 雙機(jī)熱備，支持IRF2；u 交換容量360Gbps；u 包轉(zhuǎn)發(fā)率（整機(jī)）156Mpps；u 配置24個(gè)10/100/1000Base-T以太網(wǎng)端口+4個(gè)1/10G SFP+端口+1個(gè)擴(kuò)展插槽，最大支持8個(gè)1/10G端口；u 配置1個(gè)4端口1G/10G SFP+接口板，并提供4個(gè)SFP+ 萬兆模塊(850nm,300m,LC)；u 配置1根SF

52、P+ 0.65m電纜，實(shí)現(xiàn)IRF2彈性堆疊。7.214.42辦公網(wǎng)PC接入交換機(jī)1套u(yù) 作為內(nèi)部辦公網(wǎng)PC的接入交換機(jī)。00利舊。小計(jì)：14.4應(yīng)用主機(jī)部分 單位：人民幣 萬元編號(hào)設(shè)備名稱數(shù)量描述單價(jià)小計(jì)建議1虛擬服務(wù)器主機(jī)2套u(yù) 4U機(jī)架式；u 4個(gè)Intel Xeon Processor E7530 6C 1.86GHz 12MB Cache CPU； u 256GB DDR3內(nèi)存；u 2個(gè)15k 300GB SAS硬盤, RAID1；u 3個(gè)dual port 1Gb NIC；u 1個(gè)雙口10Gb CAN；u 2個(gè)8Gb HBA。28.857.62虛擬化軟件1套u(yù) VMware vSph

53、ere 4企業(yè)版；u 根據(jù)實(shí)際物理CPU個(gè)數(shù)購(gòu)買License（授權(quán)文件）。2929按8個(gè)物理CPU計(jì)算。3虛擬中心管理端服務(wù)器1套u(yù) 2U機(jī)架式；u CPU：1個(gè)Intel四核Xeon E5630處理器(2.53GHz，12M三級(jí)高速緩存)；u 內(nèi)存：8GB（4x4GB） DDR3 RDIMM, 18個(gè)內(nèi)存插槽。u 硬盤：2個(gè)146GB 10K SAS 熱插拔硬盤；u 網(wǎng)卡：集成雙口千兆以太網(wǎng)；u 光驅(qū)：DVD。00利舊；利用服務(wù)器整合后剩余的空閑設(shè)備。4光纖存儲(chǔ)系統(tǒng)1套u(yù) 4U；u IBM System Storage DS4700；u 協(xié)議端口：主機(jī)端口為光纖通道。u 主機(jī)接口和磁盤及數(shù)量：4個(gè)4Gbps光纖通道（FC）交換接口和FC仲裁環(huán)(FC-AL)；4個(gè)4Gbps FC-SW 驅(qū)動(dòng)器接口；u 速度性能：IOPS121,500（，磁盤吞吐率900Mb/S；u 存儲(chǔ)緩存：2GBu 配置容量：10*300GB 15000RPM 4GB光纖硬盤；u 擴(kuò)展性能：?jiǎn)我粰C(jī)頭通過擴(kuò)展存儲(chǔ)柜可支持112個(gè)硬盤槽位。1414小計(jì)：100.6網(wǎng)絡(luò)安全部分 單位：人民幣 萬元編號(hào)設(shè)備名稱數(shù)量描述單價(jià)小計(jì)建議1百兆防火墻1套u(yù) 黑盾；u 部署在政務(wù)內(nèi)網(wǎng)出口處。00利舊，現(xiàn)有業(yè)務(wù)狀況下可暫使用。1