國土廳云計算中心建設(shè)方案

1、國土廳云計算中心建設(shè)方案目錄 TOC o 1-3 h z u HYPERLINK l _Toc490599825 第1章 系統(tǒng)總體規(guī)劃設(shè)計 建設(shè)原則高可靠性為保證各項業(yè)務(wù)應(yīng)用，網(wǎng)絡(luò)必須具有高可靠性，在省級云計算數(shù)據(jù)中心和廣域網(wǎng)部分要避免系統(tǒng)存在重大單點故障，設(shè)備選型、網(wǎng)絡(luò)設(shè)計應(yīng)采用硬件備份、冗余等可靠性技術(shù)，合理設(shè)計網(wǎng)絡(luò)冗余拓撲結(jié)構(gòu)，制訂可靠的網(wǎng)絡(luò)備份策略，保證網(wǎng)絡(luò)具有故障自愈的能力，最大限度地保證網(wǎng)絡(luò)系統(tǒng)的高效運行。 高安全性要求建成后的網(wǎng)絡(luò)能夠?qū)崿F(xiàn)各種不同業(yè)務(wù)網(wǎng)絡(luò)之間可靠的安全隔離，并能提供跨業(yè)務(wù)網(wǎng)絡(luò)的互訪手段，針對跨網(wǎng)訪問提供必要的安全控制手段。另外在方案中除了基礎(chǔ)網(wǎng)絡(luò)的設(shè)計以外，還應(yīng)當

2、包括安全方案，重點是針對省級云計算數(shù)據(jù)中心安全規(guī)劃。標準性與開放性整個網(wǎng)絡(luò)系統(tǒng)應(yīng)在國家政策的許可下完全采用符合國際（或國家）通用的開放的標準網(wǎng)絡(luò)協(xié)議和技術(shù)，并在全網(wǎng)采用統(tǒng)一的標準，確保網(wǎng)絡(luò)的互聯(lián)互通。先進性和成熟性在網(wǎng)絡(luò)設(shè)計中充分考慮到網(wǎng)絡(luò)應(yīng)用的需求和未來的發(fā)展趨勢，兼顧先進性和成熟性的需求，采用的技術(shù)架構(gòu)既應(yīng)當是發(fā)展成熟、已經(jīng)在業(yè)界得到良好應(yīng)用效果，又應(yīng)當具有一定的先進性，使整個系統(tǒng)架構(gòu)在相當一段時期內(nèi)能夠保持穩(wěn)定，適應(yīng)未來信息化的發(fā)展需要。通過云計算方案部署有效整合IT資源，充分發(fā)揮云計算平臺虛擬化計算、按需使用、動態(tài)擴展的特性，提供計算、存儲和信息資源服務(wù)，實現(xiàn)軟硬件集中部署、統(tǒng)建共用、

3、信息共享，避免重復投資。靈活性及可擴展性網(wǎng)絡(luò)系統(tǒng)是一個不斷發(fā)展的系統(tǒng)，網(wǎng)絡(luò)不僅需要保持對以前技術(shù)的兼容性，還必須具有良好的靈活性和可擴展性，能夠根據(jù)用戶網(wǎng)絡(luò)不斷深入發(fā)展的需要，根據(jù)未來業(yè)務(wù)的增長和變化，平滑地擴充和升級現(xiàn)有的網(wǎng)絡(luò)覆蓋范圍、擴大網(wǎng)絡(luò)容量和提高網(wǎng)絡(luò)的各層次節(jié)點的功能，最大程度的減少對網(wǎng)絡(luò)架構(gòu)和現(xiàn)有設(shè)備的調(diào)整?？晒芾硇砸蠼ㄔO(shè)統(tǒng)一的智能化管理系統(tǒng)，能夠?qū)φ麄€廣域網(wǎng)骨干、云計算數(shù)據(jù)中心、局域網(wǎng)設(shè)備實現(xiàn)完善的拓撲管理、設(shè)備管理、性能管理和故障管理，可以實時監(jiān)控所有設(shè)備和線路的運行狀況，對全網(wǎng)設(shè)備的運行信息進行實時監(jiān)控，并對故障和性能超限實現(xiàn)實時告警，對設(shè)備運行情況進行查詢和統(tǒng)計，定期生成

4、運行報告。要求能夠?qū)崿F(xiàn)分級分權(quán)限管理。要求便于理解和操作，采用全中文化界面，能夠?qū)Ψ?wù)器、數(shù)據(jù)庫、中間件進行統(tǒng)一監(jiān)控管理，可展現(xiàn)虛機部署應(yīng)用環(huán)境拓撲視圖。廣域網(wǎng)詳細設(shè)計組網(wǎng)拓撲設(shè)計思路廣域網(wǎng)組網(wǎng)設(shè)計：省級節(jié)點部署2臺高端核心路由器雙機熱備組網(wǎng)，上行通過裸線直連至原國土資源廳2臺核心路由器，未來規(guī)劃下行通過租用運營商MSTP鏈路同市、區(qū)級節(jié)點路由器“V”字狀互聯(lián)。省級核心路由器單臺設(shè)備依托冗余主控、冗余交流電源保障設(shè)備級可靠性。設(shè)備選型設(shè)計：各級節(jié)點路由器按照網(wǎng)絡(luò)層次及接入容量需求計算選型規(guī)格。設(shè)備選型交換容量及包轉(zhuǎn)發(fā)率要求滿足未來規(guī)劃設(shè)計接入容量需求，避免投資浪費。省級節(jié)點路由器支持N:1虛擬

5、化技術(shù)，可將同級節(jié)點兩臺設(shè)備虛擬化為一臺邏輯設(shè)備，大力提升設(shè)備性能，虛擬化后設(shè)備對外只占用一個ID，降低網(wǎng)絡(luò)實施規(guī)劃復雜度，簡化網(wǎng)絡(luò)實施部署。廣域網(wǎng)安全設(shè)計：組網(wǎng)設(shè)計充分考慮網(wǎng)絡(luò)安全問題，建議通過專業(yè)的防火墻設(shè)備為邊界專線中的傳輸流量提供L2-L7層的應(yīng)用內(nèi)容安全檢測和流量清洗，檢測被植入木馬，間諜軟件等主機，阻斷來自專線內(nèi)部的攻擊行為，防護敏感信息泄露，保證數(shù)據(jù)安全。本次項目設(shè)計省級節(jié)點2臺核心路由器與2臺防火墻實現(xiàn)省-市、區(qū)，省-國土廳，省-數(shù)據(jù)中心各功能區(qū)域安全訪問控制。廣域網(wǎng)管理設(shè)計：部署一套綜合智能網(wǎng)絡(luò)管理系統(tǒng)，實現(xiàn)全網(wǎng)設(shè)備基礎(chǔ)網(wǎng)元管理，通過圖形化管理工具簡化網(wǎng)絡(luò)運維人員專業(yè)技術(shù)要求

6、，簡化網(wǎng)絡(luò)管理。設(shè)備選型省級核心出口路由器按照未來35年業(yè)務(wù)發(fā)展規(guī)劃設(shè)計，建議交換容量不小于35T，包轉(zhuǎn)發(fā)率不小于5500Mpps，提供不少于2個主控引擎槽位，不少于8個業(yè)務(wù)槽位，交換網(wǎng)板數(shù)量不小于3個。支持N:1虛擬化（最大支持4:1），支持IPv4和IPv6，提供IPv4和IPv6獨立路由轉(zhuǎn)發(fā)表項，支持縱向虛擬化、虛擬路由器功能。防火墻要求為一體化網(wǎng)關(guān)設(shè)備，性能要求承載專網(wǎng)實際流量，具備抵御應(yīng)用層安全威脅的能力，提供詳細的日志和報表分析，保障各節(jié)點網(wǎng)絡(luò)安全狀況更加可視。省級云計算數(shù)據(jù)中心詳細設(shè)計省級云計算數(shù)據(jù)中心項目拓撲示意圖如下：云計算總體架構(gòu)如上圖所示，整個云計算平臺由以下4部分組成：

7、1、網(wǎng)絡(luò)資源池2、計算資源池3、存儲資源池4、云管理中心網(wǎng)絡(luò)資源池建設(shè)方案網(wǎng)絡(luò)設(shè)計要點云計算數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡(luò)是云業(yè)務(wù)數(shù)據(jù)的傳輸通道，將數(shù)據(jù)的計算和數(shù)據(jù)存儲有機的結(jié)合在一起。為保證云業(yè)務(wù)的高可用、易擴展、易管理，云計算數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)設(shè)計關(guān)注重點如下：高可用性網(wǎng)絡(luò)的高可用是業(yè)務(wù)高可用的基本保證，在網(wǎng)絡(luò)整體設(shè)計和設(shè)備配置上均是按照雙備份要求設(shè)計的。在網(wǎng)絡(luò)連接上消除單點故障，提供關(guān)鍵設(shè)備的故障切換。關(guān)鍵網(wǎng)絡(luò)設(shè)備之間的物理鏈路采用雙路冗余連接，按照負載均衡方式或active-active方式工作。關(guān)鍵主機可采用雙路網(wǎng)卡來增加可靠性。全冗余的方式使系統(tǒng)達到99.999%的電信級可靠性?；A(chǔ)網(wǎng)絡(luò)從核心層到

8、接入層均部署IRF2技術(shù)，可以實現(xiàn)數(shù)據(jù)中心級交換機的虛擬化，不僅網(wǎng)絡(luò)容量可以平滑擴展，更可以簡化網(wǎng)絡(luò)拓撲結(jié)構(gòu)，大大提高整網(wǎng)的可靠性，使得整網(wǎng)的保護倒換時間從原來的510秒縮短到50ms以內(nèi)，達到電信級的可靠性要求。作為未來網(wǎng)絡(luò)的核心，要求核心交換區(qū)設(shè)備具有高可靠性，優(yōu)先選用采用交換引擎與路由引擎物理分離設(shè)計的設(shè)備，從而在硬件的體系結(jié)構(gòu)上達到數(shù)據(jù)中心級的高可靠性。大二層網(wǎng)絡(luò)部署云計算數(shù)據(jù)中心內(nèi)服務(wù)器虛擬化已是一種趨勢，而虛擬機的遷移則是一種必然，目前業(yè)內(nèi)的幾種虛擬化軟件要做到熱遷移時都是均需要二層網(wǎng)絡(luò)的支撐，隨著未來計算資源池的不斷擴展，二層網(wǎng)絡(luò)的范圍也將同步擴大，甚至需要跨數(shù)據(jù)中心部署大二層網(wǎng)

9、絡(luò)。大規(guī)模部暑二層網(wǎng)絡(luò)則帶來一個必然的問題就是二層環(huán)路問題，而傳統(tǒng)解決二層網(wǎng)絡(luò)環(huán)路問題的STP協(xié)議無法滿足云計算數(shù)據(jù)中心所要求的快收斂，同時會帶來協(xié)議部署及運維管理的復雜度增加。本次方案中通過部署IRF2虛擬化技術(shù)實現(xiàn)兩臺或多臺同一層物理交換機虛擬成一臺邏輯設(shè)備，通過跨設(shè)備鏈路捆綁實現(xiàn)核心和接入的點對點互聯(lián)，消除二層網(wǎng)絡(luò)的環(huán)路，這樣就直接避免了在網(wǎng)絡(luò)中部暑STP，同時對于核心的兩臺設(shè)備虛擬化為一臺邏輯設(shè)備之后，網(wǎng)關(guān)也將變成一個，無需部署傳統(tǒng)的VRRP協(xié)議。 在管理層面，通IRF2多虛一之后，管理的設(shè)備數(shù)量減少一半以上，對于本項目，管理點只有核心和接入兩臺設(shè)備，網(wǎng)絡(luò)管理大幅度簡化。如下圖所示：網(wǎng)

10、絡(luò)資源池設(shè)計本次項目基礎(chǔ)網(wǎng)絡(luò)采用“扁平化”設(shè)計，核心層直接下聯(lián)接入層，省去了中間匯聚層。隨著網(wǎng)絡(luò)交換技術(shù)的不斷發(fā)展，交換機的端口接入密度也越來越高，“扁平化”組網(wǎng)的擴展性和密度已經(jīng)能夠很好的服務(wù)于國土資源交易系統(tǒng)數(shù)據(jù)中心服務(wù)器接入的要求。同時在服務(wù)器虛擬化技術(shù)應(yīng)用越來越廣泛的趨勢下，扁平化二層架構(gòu)更容易實現(xiàn)VLAN的大二層互通，滿足虛擬機的部署和遷移。相比傳統(tǒng)三層架構(gòu)，扁平化二層架構(gòu)可以大大簡化網(wǎng)絡(luò)的運維與管理?；A(chǔ)網(wǎng)絡(luò)平臺組織結(jié)構(gòu)如下圖所示：網(wǎng)絡(luò)的二、三層邊界在核心層，安全部署在核心層；核心與接入層之間采用二層進行互聯(lián)，實現(xiàn)大二層組網(wǎng)，在接入層構(gòu)建計算和存儲資源池，滿足資源池內(nèi)虛擬機可在任意

11、位置的物理服務(wù)器上遷移與集群。核心路由交換區(qū)核心層部署2臺高端云計算數(shù)據(jù)中心交換機，負責整個云計算平臺上應(yīng)用業(yè)務(wù)數(shù)據(jù)的高速交換。兩臺核心交換機分別與兩臺服務(wù)器接入?yún)^(qū)交換機間呈“口”字型連接，與現(xiàn)網(wǎng)出口區(qū)路由器呈網(wǎng)狀物連接，一臺管理區(qū)服務(wù)器接入交換機雙上行分別與兩臺核心交換機連接。核心交換機間及與服務(wù)器接入交換機、管理區(qū)接入交換機、核心路由器間均采用萬兆接口互聯(lián)。兩臺核心交換機部署IRF2虛擬化技術(shù)，簡化路由協(xié)議運行狀態(tài)與運維管理，同時大大縮短設(shè)備及鏈路出現(xiàn)故障快速切換，避免網(wǎng)絡(luò)震蕩。IRF2互聯(lián)鏈路采用2*10GE捆綁，保證高可靠及橫向互訪高帶寬。通過部署2臺專業(yè)的防火墻設(shè)備為廣域網(wǎng)邊界專線中

12、的傳輸流量提供L2-L7層的應(yīng)用內(nèi)容安全檢測和流量清洗，檢測被植入木馬，間諜軟件等主機，阻斷來自專線內(nèi)部的攻擊行為，防護敏感信息泄露，保證數(shù)據(jù)安全。數(shù)據(jù)中心區(qū)按照業(yè)務(wù)類型及屬性劃分為數(shù)據(jù)庫應(yīng)用服務(wù)器區(qū)、生產(chǎn)業(yè)務(wù)服務(wù)器區(qū)、網(wǎng)絡(luò)運維管理服務(wù)器區(qū)，數(shù)據(jù)庫應(yīng)用服務(wù)器區(qū)同生產(chǎn)業(yè)務(wù)服務(wù)器區(qū)部署2臺服務(wù)器接入交換機，通過VLAN劃分分別接入數(shù)據(jù)庫類、生產(chǎn)業(yè)務(wù)類服務(wù)器，網(wǎng)絡(luò)運維管理服務(wù)器區(qū)單獨配置1臺服務(wù)器接入交換機，接入網(wǎng)絡(luò)管理、云計算平臺管理服務(wù)器群。數(shù)據(jù)中心區(qū)同核心交換區(qū)之間通過集群方式部署2臺一體化安全網(wǎng)關(guān)設(shè)備，提供防火墻、入侵防御等功能，同時在核心交換機旁單臂部署2臺負載均衡設(shè)備，保障數(shù)據(jù)中心區(qū)域業(yè)

13、務(wù)的穩(wěn)定性辦公接入?yún)^(qū)樓層部署2臺24口千兆接入交換機，下行通過六類雙絞線接入辦公信息點，上行通過萬兆光纖模塊直接連接至2臺核心交換機?；ヂ?lián)網(wǎng)出口區(qū)互聯(lián)網(wǎng)出口部署2臺高性能路由器作為出口NAT網(wǎng)關(guān)，單臺設(shè)備配置冗余電源保障可靠性。出口路由器上行分別連接至2家不同運營商，路由器后端部署負載均衡設(shè)備，一方面確保省級出口對外發(fā)布系統(tǒng)可連續(xù)性（2條專線互為備份），另一方面方便不同運營商接入公眾用戶訪問質(zhì)量（快速訪問體驗）。負載均衡設(shè)備后端部署上網(wǎng)行為管理相關(guān)設(shè)備，對用戶的訪問行為進行記錄，保障業(yè)務(wù)高峰期提供優(yōu)先級保障服務(wù)，以確保關(guān)鍵業(yè)務(wù)的正常運行。流控設(shè)備后端部署防火墻，根據(jù)信息安全等級保護的要求劃分安

14、全域，作為內(nèi)外網(wǎng)之間的隔離設(shè)備，阻斷互聯(lián)網(wǎng)的病毒木馬等安全威脅對內(nèi)網(wǎng)業(yè)務(wù)造成的風險。DMZ對外發(fā)布區(qū)通過服務(wù)器接入交換機連接WEB服務(wù)器，提供基本的網(wǎng)站服務(wù)，在接入交換機前端部署WEB防火墻，針對WEB業(yè)務(wù)提供安全防護，防止網(wǎng)站被惡意掛馬、篡改、泄密等。虛擬機交換網(wǎng)絡(luò)服務(wù)器虛擬化技術(shù)的出現(xiàn)使得計算服務(wù)提供不再以主機為基礎(chǔ)，而是以虛擬機為單位來提供，同時為了滿足同一物理服務(wù)器內(nèi)虛擬機之間的數(shù)據(jù)交換需求，服務(wù)器內(nèi)部引入了網(wǎng)絡(luò)功能部件虛擬交換機vSwitch（Virtual Switch），如下圖所示，虛擬交換機提供了虛擬機之間、虛擬機與外部網(wǎng)絡(luò)之間的通訊能力。IEEE的802.1標準中，正式將“虛

15、擬交換機”命名為“Virtual Ethernet Bridge”，簡稱VEB，或稱vSwitch。虛擬機交換網(wǎng)絡(luò)架構(gòu)vSwitch的引入，給云計算數(shù)據(jù)中心的運行帶來了以下兩大問題：網(wǎng)絡(luò)界面的模糊主機內(nèi)分布著大量的網(wǎng)絡(luò)功能部件vSwitch，這些vSwitch的運行、部署為主機操作與維護人員增加了巨大的額外工作量，在云計算數(shù)據(jù)中心通常由主機操作人員執(zhí)行，這形成了專業(yè)技能支撐的不足，而網(wǎng)絡(luò)操作人員一般只能管理物理網(wǎng)絡(luò)設(shè)備、無法操作主機內(nèi)vSwitch，這就使得大量vSwicth具備的網(wǎng)絡(luò)功能并不能發(fā)揮作用。此外，對于服務(wù)器內(nèi)部虛擬機之間的數(shù)據(jù)交換，在vSwitch內(nèi)有限執(zhí)行，外部網(wǎng)絡(luò)不可見，不論

16、在流量監(jiān)管、策略控制還是安全等級都無法依賴完備的外部硬件功能實現(xiàn)，這就使得數(shù)據(jù)交換界面進入主機后因為vSwitch的功能、性能、管理弱化而造成了高級網(wǎng)絡(luò)特性與服務(wù)的缺失。虛擬機的不可感知性物理服務(wù)器與網(wǎng)絡(luò)的連接是通過鏈路狀態(tài)來體現(xiàn)的，但是當服務(wù)器被虛擬化后，一個主機內(nèi)同時運行大量的虛擬機，而此前的網(wǎng)絡(luò)面對這些虛擬機的創(chuàng)建與遷移、故障與恢復等運行狀態(tài)完全不感知，同時對虛擬機也無法進行實時網(wǎng)絡(luò)定位，當虛擬機遷移時網(wǎng)絡(luò)配置也無法進行實時地跟隨，雖然有些數(shù)據(jù)鏡像、分析偵測技術(shù)可以局部感知虛擬機的變化，但總體而言目前的虛擬機交換網(wǎng)絡(luò)架構(gòu)無法滿足虛擬化技術(shù)對網(wǎng)絡(luò)服務(wù)提出的要求。為了解決上述問題， 本次項目

17、的解決思路是將虛擬機的所有流量都引至外部接入交換機，此時因為所有的流量均經(jīng)過物理交換機，因此與虛擬機相關(guān)的流量監(jiān)控、訪問控制策略和網(wǎng)絡(luò)配置遷移問題均可以得到很好的解決，此方案最典型的代表是EVB標準。802.1Qbg Edge Virtual Bridging（EVB）是由IEEE 802.1工作組制定一個新標準，主要用于解決vSwtich的上述局限性，其核心思想是：將虛擬機產(chǎn)生的網(wǎng)絡(luò)流量全部交給與服務(wù)器相連的物理交換機進行處理，即使同一臺物理服務(wù)器虛擬機間的流量，也將發(fā)往外部物理交換機進行查表處理，之后再180度調(diào)頭返回到物理服務(wù)器，形成了所謂的“發(fā)卡彎”轉(zhuǎn)發(fā)模式，如下圖所示：EVB標準具有

18、如下的技術(shù)特點：借助發(fā)卡彎轉(zhuǎn)發(fā)機制將外網(wǎng)交換機上的眾多網(wǎng)絡(luò)控制策略和流量監(jiān)管特性引入到虛擬機網(wǎng)絡(luò)接入層，不但簡化了網(wǎng)卡的設(shè)計，而且充分利用了外部交換機專用ASIC芯片的處理能力、減少了虛擬網(wǎng)絡(luò)轉(zhuǎn)發(fā)對CPU的開銷；充分利用外部交換機既有的控制策略特性（ACL、QOS、端口安全等）實現(xiàn)整網(wǎng)端到端的策略統(tǒng)一部署；充分利用外部交換機的既有特性增強了虛擬機流量監(jiān)管能力，如各種端口流量統(tǒng)計，Netstream、端口鏡像等。EVB標準中定義了虛擬機與網(wǎng)絡(luò)之間的關(guān)聯(lián)標準協(xié)議，使得虛擬機在變更與遷移時通告網(wǎng)絡(luò)及網(wǎng)管系統(tǒng)，從而可以借助此標準實現(xiàn)數(shù)據(jù)中心全網(wǎng)范圍的網(wǎng)絡(luò)配置變更自動化工作，使得大規(guī)模的虛擬機云計算服務(wù)

19、運營部署自動化能夠?qū)崿F(xiàn)。該方案通過將數(shù)據(jù)中心IT資源的整合，不僅能夠達到提高服務(wù)器利用率和降低整體擁有成本的目的，而且能簡化勞動密集型和資源密集型IT操作，顯著提高系統(tǒng)管理員的工作效率。計算資源池建設(shè)山西國土資源交易系統(tǒng)計算資源池由物理主機和虛擬機系統(tǒng)構(gòu)成：虛擬機系統(tǒng)是由在X86服務(wù)器上部署服務(wù)器虛擬化軟件架設(shè)形成虛擬主機系統(tǒng)，服務(wù)器虛擬化軟件技術(shù)參數(shù)如下表：指標項技術(shù)參數(shù)要求服務(wù)器虛擬化軟件支持裸金屬架構(gòu)，支持高性能物理器（最多支持256CPU核），支持大容量虛擬機VM（每虛擬機最大支持32 CPU核、1TB虛擬內(nèi)存），支持硬件輔助虛擬化，支持高級內(nèi)存管理，支持虛擬機高級資源管理，vSwit

20、ch支持VEPA虛擬機云網(wǎng)絡(luò)標準協(xié)議(支持QoS、VLAN、IPv6、虛擬網(wǎng)卡等功能)。選擇廠商軟件開發(fā)必須通過CMMI4級認證，支持802.1Qbg虛擬網(wǎng)絡(luò)拓撲展示，包括物理主機、虛擬機、虛擬網(wǎng)卡、虛擬連接、物理端口與物理接入交換機的全面網(wǎng)絡(luò)連接關(guān)系拓撲展示；物理主機主要是X86服務(wù)器，本次省級節(jié)點部署2套統(tǒng)一基礎(chǔ)架構(gòu)系統(tǒng)，共配置8臺4路服務(wù)器、每臺刀片服務(wù)器配置內(nèi)存不小于128G，其中2臺用作數(shù)據(jù)庫專用服務(wù)器，其余6臺服務(wù)器每臺可以支持10多個虛擬機，由8臺高性能服務(wù)器組成的計算資源池最多支持5080個虛擬機。2套統(tǒng)一基礎(chǔ)架構(gòu)系統(tǒng)技術(shù)參數(shù)如下表：指標項技術(shù)參數(shù)要求技術(shù)要求CPU：4顆Int

21、el Xeon E7-4820 v2 (8c,16M Cache, 2.00 GHz)，支持Intel Xeon E7-8800/4800系列處理器內(nèi)存：=128 GB ECC Registered DDR3內(nèi)存，配置不少于32個內(nèi)存插槽，實現(xiàn)四路交叉存取, 板載內(nèi)存，為保證設(shè)備性能以及后續(xù)的擴展性，不支持內(nèi)存擴展板模式；硬盤：2塊10000轉(zhuǎn)300G熱插拔SAS硬盤，可支持不少于16個2.5寸SAS/SATA熱插拔硬盤；RAID：高性能SAS RAID卡，支持RAID1/0/10/5/50/6/60 cache512M；IO擴展：12個PCIE,支持全長全高；網(wǎng)絡(luò)：4個64位Intel千兆網(wǎng)

22、口,支持IOAT2/VT/VMDQ技術(shù),支持網(wǎng)絡(luò)喚醒，網(wǎng)絡(luò)冗余，負載均衡； 光纖接口：2塊單端口8Gb光纖通道HBA卡 管理：配置BMC+KVM管理芯片，提供遠程管理、遠程診斷功能及KVM OVER IP功能，提供獨立的管理網(wǎng)口；中文版管理軟件，支持Windows/Linux系統(tǒng)跨平臺管理；跨網(wǎng)段的集中管理；模塊化免工具拆卸特性，可選液晶面板模塊其他高級功能：支持睿能技術(shù)，冷熱分區(qū)加隧道式氣流管理系統(tǒng)備份還原：配置網(wǎng)絡(luò)版?zhèn)浞葸€原軟件，支持windows/Linux操作系統(tǒng)的本地及網(wǎng)絡(luò)備份還原功能；支持USB移動硬盤、光盤備份設(shè)備，可實現(xiàn)一次進行多個磁盤或分區(qū)的備份。電源及配件：2+1冗余電源，

23、可擴展成3+12+2電源高級冗余模式，導軌，DVD光驅(qū)；存儲資源池建設(shè)采用VM影像文件存儲和數(shù)據(jù)庫數(shù)據(jù)存儲2套存儲構(gòu)建山西省國土資源交易系統(tǒng)存儲資源池：數(shù)據(jù)庫數(shù)據(jù)存儲：主要用來進行數(shù)據(jù)庫數(shù)據(jù)的存放，數(shù)據(jù)庫業(yè)務(wù)是實時在線業(yè)務(wù)，對存儲的性能要求較高。VM影像文件存儲：主要用來保存云計算平臺中的分配的虛擬機的映像數(shù)據(jù)文件，這些映像是在云計算平臺內(nèi)是透明且可見的，以確保云計算平臺中每個運行的業(yè)務(wù)都具FailOver（失敗切換）功能和按需在線遷移功能。2套存儲系統(tǒng)可分別滿足VM影像文件存儲（性能要求一般）和數(shù)據(jù)庫數(shù)據(jù)存儲（高性能）的不同性能需求，該存儲資源池建設(shè)方案性價比最優(yōu)，同時2套存儲系統(tǒng)可以互為備

24、份大大提高了存儲資源池的可靠性： 影像文件存儲技術(shù)參數(shù)如下表：指標項技術(shù)參數(shù)要求存儲技術(shù)指標國產(chǎn)知名IT解決方案提供商，與服務(wù)器設(shè)備為同一品牌控制器：雙控制器全冗余架構(gòu)，RISC架構(gòu)，單磁盤柜可提供2U12盤位、2U24盤位不同規(guī)格擴展柜：可提供2U12盤位、2U24盤位多種密度的擴展柜緩存：當前雙控制器配置緩存8GB，可升級到8GB緩存斷電保護：支持意外斷電時，緩存電池將Cache數(shù)據(jù)寫入專用的閃盤或磁盤中永久保存緩存數(shù)據(jù)。且標配BBU+Flash，保證斷電時緩存數(shù)據(jù)永久保存；存儲：本次配置10塊900G 10000轉(zhuǎn)硬盤支持6Gb 2.5/3.5英寸SAS/NL-SAS/SSD硬盤；可根據(jù)

25、用戶不同應(yīng)用靈活分配不同性能的存儲空間，實現(xiàn)經(jīng)濟高效的分層存儲；磁盤擴展：系統(tǒng)可擴展至192塊磁盤主機接口：當前配置8個8Gbps FC主機端口和4個6Gbps SAS主機端口，可同時支持8 Gbps FC和6Gbps SAS兩種端口類型，支持千兆iSCSI主機接口， RAID：支持RAID0、1、3、5、6、10等傳統(tǒng)RAID方式，同時配置動態(tài)磁盤池技術(shù)，安全等級相當于RAID6，不需要單獨配置閑置的熱備磁盤，系統(tǒng)將熱備空間平均分布在所有磁盤上，提高磁盤利用效率。模塊冗余度：電源、散熱模塊、控制器的部件冗余且可熱插拔；可在線升級支持主機操作系統(tǒng)：支持Windows， NetWare，Linu

26、x，VMWare，HP-UX，AIX等主流操作系統(tǒng)管理：為每一個客戶端提供簡單的圖形化管理界面，和路徑冗余與故障切換軟件，系統(tǒng)提供帶內(nèi)/帶外兩種管理連接方式；可集中監(jiān)控和管理來自任何網(wǎng)絡(luò)位置的存儲存儲系統(tǒng)，并提供集中化的事件日志記錄和報警、實時的Email事件通告，允許用戶遠程監(jiān)控多臺存儲系統(tǒng)多路徑軟件：配置與服務(wù)器數(shù)量等同的多路徑管理軟件高級功能：配置增強型快照、增強型鏡像模塊、精簡配置模塊售后服務(wù)：廠家工程師三年免費質(zhì)保服務(wù)；存儲交換機端口數(shù)量：單臺24個8Gbps光纖端口（包含四個級聯(lián)端口），本次激活16個端口，配置16個SFP模塊，及光纖線纜；端口類型：所有端口自動發(fā)現(xiàn)，自適應(yīng)，支持T

27、runking智能路徑選擇，端口狀態(tài)F_Port, FL_port, E_port, G_Port,GL_Port；級聯(lián)：單機4個20Gbps全雙工級聯(lián)端口；集合帶寬：每個交換機544Gbps，端到端，無阻塞結(jié)構(gòu)；幀屬性：2148 bytes (2112 payload)；SFP類型：短波/長波(光學)；云管理中心建設(shè)采購2臺中低檔性能物理服務(wù)器，分別部署網(wǎng)管系統(tǒng)和云管理軟件，實現(xiàn)對云計算資源池的統(tǒng)一管理和私有云業(yè)務(wù)服務(wù)，具體技術(shù)參數(shù)要求如下表：指標項技術(shù)參數(shù)要求云計算資源池管理由BS架構(gòu)WEB管理平臺來統(tǒng)一管理。支持虛擬機生命周期管理（必須提供創(chuàng)建/修改/刪除/啟動/關(guān)閉/暫停/恢復/重啟/

28、下電/查詢虛擬機功能），支持靈活創(chuàng)建虛擬機，支持虛擬資源調(diào)整，支持虛擬機快照管理，可本機內(nèi)克隆虛擬機、主機間克隆虛擬機，支持虛擬機遷移，支持虛擬機克隆或轉(zhuǎn)化為虛擬機模板，支持網(wǎng)絡(luò)策略模板（包括VLAN、QoS），支持虛擬機性能監(jiān)管，支持直接通過控制臺登錄到虛擬機系統(tǒng)，支持虛擬機遠程桌面，支持虛擬機授權(quán)，支持虛擬機操作日志，提供P2V遷移工具，支持虛擬機模板管理，支持虛擬機災(zāi)備管理、支持虛擬機集群管理（支持高可靠性HA，動態(tài)資源調(diào)整DRS（為了在DRS過程中保障關(guān)鍵業(yè)務(wù)的運行，可以指定運行于一臺物理服務(wù)器上的多臺虛擬機中的一臺虛擬機固定運行于該物理服務(wù)器上，不會因任何原因自動遷移該虛擬機。而主機

29、上的其他虛擬機可以自動遷移來降低虛擬機對該物理服務(wù)器的資源占用）等功能），提供系統(tǒng)管理功能私有云管理平臺提供私有云多租戶組織管理，提供虛擬機資源池管理，提供云業(yè)務(wù)工作流管理（系統(tǒng)管理員對云資源的整合與分配、組織管理員對組織資源的管理、最終用戶對虛擬資源的使用等云業(yè)務(wù)工作流程），云計算用戶自助服務(wù)管理（支持云計算門戶網(wǎng)站首頁布局、顯示云用戶專屬的虛擬機、顯示云用戶的操作日志、向云計算組織管理員提交虛擬機申請電子流、查看云用戶申請的電子流狀態(tài)，管理員還可審批電子流，提供7X24維保服務(wù)省云計算數(shù)據(jù)中心關(guān)鍵設(shè)備選型核心交換機采用多級交換架構(gòu)，能夠配置獨立的交換網(wǎng)板與獨立的主控板，交換網(wǎng)板與主控板硬件

30、槽位分離，采用垂直插槽；交換容量32Tbps，轉(zhuǎn)發(fā)性能17000Mpps；整機業(yè)務(wù)插槽數(shù)量9個，單板10GE接口密度48個；支持將兩臺或者多臺物理設(shè)備智能堆疊，堆疊后可實現(xiàn)統(tǒng)一的轉(zhuǎn)發(fā)表項、統(tǒng)一的管理界面以及跨物理設(shè)備的鏈路聚合；支持SDN/OPENFLOW1.3標準，支持多控制器，支持Meter；數(shù)據(jù)中心防火墻吞吐量10G，并發(fā)連接數(shù)800萬，新建連接數(shù)100萬；采用自研病毒防護引擎，支持病毒感染主機分析與隔離，防止病毒進一步擴散，提高網(wǎng)絡(luò)整體安全性；支持腳本過濾和ActiveX過濾，并能識別并封堵含有惡意插件的網(wǎng)絡(luò)訪問行為，必須能識別并封堵含有惡意腳本、掛載木馬等危險網(wǎng)頁訪問行為；支持IP/

31、MAC地址綁定的方式防止ARP欺騙，可采用手動建立或自動探測的方式生成IP/MAC對，提供兩種方式設(shè)置界面；支持根據(jù)不同的源IPv4/IPv6地址、目的IPv4/IPv6地址、服務(wù)、時間、接口、角色等，采用不同的入侵防護策略；支持防御Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood、ARP欺騙攻擊防范、ARP主動反向查詢、TCP報文標志位不合法攻擊防范、支持IP SYN速度限制、超大ICMP報文攻擊防范、地址/端口掃描的防范、

32、DoS/DDoS攻擊防范、ICMP重定向或不可達報文控制等功能，此外還支持靜態(tài)和動態(tài)黑名單功能、MAC和IP綁定功能可定義的敏感信息，內(nèi)置常見敏感信息的特征，且可自定義敏感信息特征，如用戶名、密碼、郵箱、身份證信息、MD5密碼等。產(chǎn)品應(yīng)具備國家保密局頒發(fā)的涉密信息系統(tǒng)產(chǎn)品檢測證書和產(chǎn)品檢測報告；服務(wù)器負載均衡設(shè)備吞吐量5G；支持常見的主動式健康檢查功能，提供基于SNMP、ICMP、TCP/UDP、FTP、HTTP、DNS、RADIUS，ORACLE/MSSQL/MYSQL數(shù)據(jù)庫等多種類型的探測判斷機制。支持輪詢、加權(quán)輪詢、加權(quán)最小連接、動態(tài)反饋、最快響應(yīng)、最小流量、帶寬比例、哈希、主備、首個可

33、用、UDP強行負載等算法。支持SSL卸載和加速功能，卸除服務(wù)器端的密集型運算任務(wù)，釋放服務(wù)器計算資源，并提升SSL業(yè)務(wù)的處理速度。支持TCP連接復用功能，利用HTTP連接池機制，將來自客戶端的多個請求合并成一個連接發(fā)送到服務(wù)器，減少服務(wù)器端的工作負荷，并提升業(yè)務(wù)效率。支持面向服務(wù)器健康度的彈性調(diào)控機制，可通過監(jiān)控業(yè)務(wù)流中的TCP傳輸異常來衡量服務(wù)器節(jié)點的有效性，嘗試對性能不足的服務(wù)器臨時開啟過載保護，動態(tài)調(diào)節(jié)服務(wù)器的負載。設(shè)備生產(chǎn)商的負載均衡類產(chǎn)品入選Gartner應(yīng)用交付控制器（ADC）魔力象限報告，屬于國際市場認可的知名品牌服務(wù)器接入交換機1交換容量950Gbps，轉(zhuǎn)發(fā)性能350Mpps；

34、萬、千兆自適應(yīng)光接口24個；支持模塊化可插拔雙電源，支持模塊化風扇模塊，風道可選擇前后散熱或者后前散熱，適應(yīng)數(shù)據(jù)中心散熱要求；支持多臺設(shè)備虛擬為邏輯上單臺設(shè)備實現(xiàn)跨設(shè)備鏈路聚合、統(tǒng)一管理界面、統(tǒng)一轉(zhuǎn)發(fā)表項；支持EVB特性，將虛擬機流量引出到物理交換機進行轉(zhuǎn)發(fā)和控制；支持IPv4和IPv6環(huán)境下的策略路由、支持IPv6手動隧道、6to4隧道和ISATAP隧道；支持并配置帶外網(wǎng)管接口；服務(wù)器接入交換機2交換容量300Gbps，轉(zhuǎn)發(fā)性能130Mpps；千兆以太網(wǎng)電接口24個，千兆以太網(wǎng)光接口4個，萬兆光接口2個；擴展槽位2個，最大可擴展萬兆端口4個或者千兆端口10個；支持多臺設(shè)備虛擬為邏輯上單臺設(shè)備

35、實現(xiàn)跨設(shè)備鏈路聚合、統(tǒng)一管理界面、統(tǒng)一轉(zhuǎn)發(fā)表項；支持并配置可插拔模塊化雙電源；支持IPv4、IPv6三層路由功能；支持DHCP Snooping，防止欺騙的DHCP服務(wù)器；支持并配置1個帶外網(wǎng)絡(luò)管理接口；樓層接入交換機交換容量350Gbps；轉(zhuǎn)發(fā)性能132Mpps配置千兆電口24個，復用的千兆光口4個，萬兆接口數(shù)2個單臺配置雙電源、2個萬兆多模模塊支持多臺設(shè)備虛擬為邏輯上單臺設(shè)備實現(xiàn)跨設(shè)備鏈路聚合、統(tǒng)一管理界面、統(tǒng)一轉(zhuǎn)發(fā)表項；支持三層靜態(tài)路由，官方網(wǎng)站必須有明確說明支持IGMP Snooping V1/2/3 、支持組播VLAN支持802.1X認證；支持Guest VLAN；支持端口隔離；支持

36、ARP 入侵檢測功能；支持IP+MAC+端口的綁定支持802.1p和DSCP優(yōu)先級分類；支持SP、WRR隊列調(diào)度機制；每端支持優(yōu)先級隊列8個；省互聯(lián)網(wǎng)出口關(guān)鍵設(shè)備選型互聯(lián)網(wǎng)出口路由器千兆光/電復用口4個，萬兆光接口2個，擴展插槽1，配置雙電源交換容量80Gbps，轉(zhuǎn)發(fā)性能15Mpps支持VPN組播、支持跨域的VPN組播（Option1/2/3） 支持L2TP、GRE，為保證性能，L2TP、GRE功能要求由業(yè)務(wù)板卡實現(xiàn)，做到分布式處理硬件支持NAT功能，為保證性能，NAT功能要求由業(yè)務(wù)板卡實現(xiàn)，做到分布式處理支持Easy IP、靜態(tài)NAT轉(zhuǎn)換、動態(tài)NAT轉(zhuǎn)換等多種方式；支持NAT多實例、VPN

37、NAT、豐富的NAT ALG、NAT日志與用戶行為審計等功能硬件支持Netstream功能，為保證性能，Netstream功能要求由業(yè)務(wù)板卡實現(xiàn)，做到分布式處理鏈路負載均衡設(shè)備吞吐量2G；支持多種鏈路檢測方法，能夠通過PING、TCP、HTTP等方式監(jiān)控鏈路的連通性。支持DNS透明代理功能，可基于負載均衡算法代理內(nèi)網(wǎng)用戶進行DNS請求轉(zhuǎn)發(fā)，避免單運營商DNS解析出現(xiàn)單一鏈路流量過載，平衡多條運營商線路的帶寬利用率。支持基于五元組條件（源IP地址，源端口，目的IP地址，目的端口，傳輸層協(xié)議號）來配置出站訪問的鏈路調(diào)度策略。支持基于鏈路負荷情況的繁忙保護機制，能根據(jù)鏈路的上行/下行帶寬占用率情況執(zhí)

38、行對出站/入站流量的高級調(diào)度策略。設(shè)備生產(chǎn)商的負載均衡類產(chǎn)品入選Gartner應(yīng)用交付控制器（ADC）魔力象限報告，屬于國際市場認可的知名品牌出口防火墻設(shè)備吞吐量8G，并發(fā)連接數(shù)600萬，新建連接數(shù)80萬；提供靜態(tài)的包過濾和動態(tài)包過濾功能；支持的應(yīng)用層報文過濾，包括：應(yīng)用層協(xié)議：FTP、HTTP、SMTP、RTSP、H.323（Q.931，H.245， RTP/RTCP）、SQLNET、MMS、PPTP等；傳輸層協(xié)議：TCP、UDP；支持獨立的病毒庫、漏洞特征庫、應(yīng)用識別庫、URL識別庫，WEB應(yīng)用防護庫、數(shù)據(jù)泄密防護庫，僵尸網(wǎng)絡(luò)識別庫，惡意鏈接庫，Web掃描器規(guī)則庫，實時漏洞分析識別庫。并且

39、支持在線自動升級。能實時查殺大量文件型、網(wǎng)絡(luò)型和混合型等各類病毒；并采用新一代虛擬脫殼和行為判斷技術(shù)，準確查殺各種變種病毒、未知病毒。支持APT檢測功能，具備僵尸網(wǎng)絡(luò)檢測，遠控木馬識別，惡意鏈接檢測和支持移動客戶端安全檢測功能產(chǎn)品應(yīng)具備國家信息安全測評中心頒發(fā)的信息安全服務(wù)資質(zhì)證書安全工程類一級上網(wǎng)行為管理設(shè)備吞吐量300M，并發(fā)連接數(shù)60萬；支持網(wǎng)關(guān)模式，支持NAT、路由轉(zhuǎn)發(fā)、DHCP等功能；識別并過濾SSL加密的釣魚網(wǎng)站、金融購物網(wǎng)站、非法網(wǎng)站等；必須支持基于關(guān)鍵字過濾SSL加密的網(wǎng)頁、論壇、BBS上的發(fā)帖行為；支持對加密HTTPS、POP3-SSL 、POP3、IMAP 、IMAP-TL

40、S 、IMAP-SSL、SMTP-SSL、SMTP-TLS、SMTP、Gmail、閃電郵客戶端郵件內(nèi)容的審計；實時提供用戶流量排名、應(yīng)用流量排名、所有線路應(yīng)用流速趨勢、流量管理狀態(tài)、連接監(jiān)控信息；支持在設(shè)置流量策略后，根據(jù)整體線路或者某流量通道內(nèi)的空閑和繁忙情況，自動啟用和停止使用流量控制策略，以提升帶寬的高使用率；支持通過抑制P2P的上行流量，來減緩P2P的下行流量，從而解決網(wǎng)絡(luò)出口在做流控后仍然壓力較大的問題；產(chǎn)品具備中國信息安全測評中心信息技術(shù)產(chǎn)品安全測評證書EAL3級WEB防火墻設(shè)備吞吐量6G，并發(fā)連接數(shù)500萬，新建連接數(shù)60萬；支持OWASP定義10大web安全威脅，保護服務(wù)器免受

41、基于Web應(yīng)用的攻擊，如SQL注入防護、XSS攻擊防護、CSRF攻擊防護、支持根據(jù)網(wǎng)站登錄路徑保護口令暴力破解；支持全面保護網(wǎng)站的靜態(tài)網(wǎng)頁和動態(tài)網(wǎng)頁，支持網(wǎng)頁的自動發(fā)布、篡改檢測、應(yīng)用保護、警告和自動恢復，保證傳輸、鑒別、地址訪問、表單提交、審計等各個環(huán)節(jié)的安全，完全實時杜絕篡改后的網(wǎng)頁被訪問的可能性及任何使用Web方式對后臺數(shù)據(jù)庫的篡改。支持web弱點掃描功能，可掃描WEB網(wǎng)站SQL注入、XSS、CSRF、目錄遍歷、文件包含、命令執(zhí)行等腳本漏洞支持對業(yè)務(wù)風險報表統(tǒng)計，能夠查看用戶網(wǎng)絡(luò)中中存在業(yè)務(wù)系統(tǒng)攻擊和漏洞次數(shù)，包含IPS保護服務(wù)器攻擊，WAF攻擊，實時漏洞風險分析，外網(wǎng)DOS的攻擊匯總統(tǒng)

42、計，能夠清晰展示業(yè)務(wù)系統(tǒng)正在遭受的攻擊危險等級及排行及用戶網(wǎng)絡(luò)攻擊趨勢產(chǎn)品應(yīng)具備CVE兼容性認證證書和OWASP web防火墻認證證書。市、開發(fā)區(qū)局域網(wǎng)關(guān)鍵設(shè)備選型地市匯聚交換機采用多級交換架構(gòu)，能夠配置獨立的交換網(wǎng)板與獨立的主控板，交換網(wǎng)板與主控板硬件槽位分離；交換容量8Tbps，轉(zhuǎn)發(fā)性能5700Mpps，控制引擎、電源以及交換網(wǎng)板支持冗余，整機物理插槽數(shù)量14個，支持將兩臺或者多臺物理設(shè)備智能堆疊，堆疊后可實現(xiàn)統(tǒng)一的轉(zhuǎn)發(fā)表項、統(tǒng)一的管理界面以及跨物理設(shè)備的鏈路聚合；支持多種安全業(yè)務(wù)功能模塊擴展。開發(fā)區(qū)匯聚交換機交換容量360G，轉(zhuǎn)發(fā)性能200Mpps，固化千兆電接口數(shù)量48個，固化千兆光接

43、口數(shù)量4個，最大支持萬兆光接口數(shù)量8個；接口擴展槽位2個，可擴展接口模塊；業(yè)務(wù)擴展槽位1個，可擴展多業(yè)務(wù)模塊，包括但不限于無線AC模塊、防火墻模塊，支持并配置模塊化冗余電源；支持多臺設(shè)備虛擬為邏輯上單臺設(shè)備實現(xiàn)跨設(shè)備鏈路聚合、統(tǒng)一管理界面、統(tǒng)一轉(zhuǎn)發(fā)表項；安全運維管理針對山西省國土資源廳業(yè)務(wù)部門對IT安全運維管理系統(tǒng)的業(yè)務(wù)需求，需應(yīng)用成熟的聯(lián)軟IT安全運維管理系統(tǒng)，解決計算機及業(yè)務(wù)信息安全運維問題，以及對網(wǎng)絡(luò)進行統(tǒng)一管理。具體的業(yè)務(wù)需求包括：防止外來電腦非法接入，避免網(wǎng)絡(luò)安全遭受破壞或者信息泄密。內(nèi)部終端，必須符合安全管理規(guī)定才能正常訪問內(nèi)部網(wǎng)絡(luò)資源，否則將被隔離并通知，直至其修復后才能夠正常訪

44、問網(wǎng)絡(luò)。加強桌面計算機的安全性，通過批量設(shè)置計算機的安全保護措施提高桌面計算機的安全性，及時更新桌面計算機的安全補丁，減少被攻擊的可能。實現(xiàn)動態(tài)安全評估，實時評估計算機的安全狀態(tài)及其是否符合管理規(guī)定，例如：評估計算機的網(wǎng)絡(luò)流量是否異常，評估計算機是否做了非法操作（撥號上網(wǎng)、安裝游戲軟件等），評估計算機的安全設(shè)置是否合理等。批量管理設(shè)置計算機，例如：進行批量的軟件安裝、批量的安全設(shè)置等。確保單位的計算機使用制度得到落實，例如：撥號上網(wǎng)，使用外部郵箱，訪問非法網(wǎng)站，將單位機密COPY、發(fā)送文件到外部等。出現(xiàn)安全問題后，可以對有問題的IP/MAC/主機名等進行快速的定位。實現(xiàn)計算機的資產(chǎn)管理和控制。

45、實現(xiàn)內(nèi)外網(wǎng)數(shù)據(jù)安全交互。確保業(yè)務(wù)系統(tǒng)信息安全；防止非授權(quán)終端接入業(yè)務(wù)信息系統(tǒng)；防止業(yè)務(wù)數(shù)據(jù)外泄，并提供完善的審計信息，支持業(yè)務(wù)系統(tǒng)數(shù)據(jù)安全導出管理。聯(lián)軟IT安全運維管理系統(tǒng)提供統(tǒng)一集成化的管理平臺，向系統(tǒng)管理員提供統(tǒng)一的登錄入口，通過整體的終端安全視圖，呈現(xiàn)計算機網(wǎng)絡(luò)系統(tǒng)中所有終端設(shè)備的安全運行狀況。管理員不僅可以看到終端安全的運行狀況、終端的安全設(shè)置，也能看到終端的軟件配置、硬件配置、終端的物理位置等信息。通過統(tǒng)一的集成化管理平臺，管理員可以完成所有與終端安全管理維護相關(guān)的各種任務(wù)，具體包括：網(wǎng)絡(luò)準入控制系統(tǒng)防止非法終端接入；確保內(nèi)網(wǎng)終端安全；針對訪客和外來人員的管理。內(nèi)外網(wǎng)數(shù)據(jù)安全交換系統(tǒng)

46、提高數(shù)據(jù)交互效率；確保交互數(shù)據(jù)的安全；提供完整的審計信息。業(yè)務(wù)數(shù)據(jù)防泄密系統(tǒng)確保業(yè)務(wù)信息安全；防止非授權(quán)終端接入業(yè)務(wù)系統(tǒng)；防止業(yè)務(wù)數(shù)據(jù)外泄，并提供完善的審計信息。聯(lián)軟IT安全運維管理系統(tǒng)提高終端的安全性；協(xié)助管理員提升運維效率。1.網(wǎng)絡(luò)準入控制網(wǎng)絡(luò)準入控制是安全接入控制系統(tǒng)的一個管理組件。借助網(wǎng)絡(luò)準入控制技術(shù)對接入網(wǎng)絡(luò)的客戶機設(shè)備進行控制，只有合法身份和滿足安全要求的客戶機才允許接入網(wǎng)絡(luò)。網(wǎng)絡(luò)準入控制可以幫助解決如下問題：防止非法的外來電腦接入網(wǎng)絡(luò)，影響內(nèi)部網(wǎng)絡(luò)的安全。防止感染病毒、木馬的桌面電腦和筆記本電腦直接接入內(nèi)部網(wǎng)絡(luò)，影響網(wǎng)絡(luò)的正常運行；確保接入網(wǎng)絡(luò)的客戶機符合安全管理要求。幫助安全管

47、理員解決內(nèi)部用戶私自接HUB、無線AP等不安全行為。網(wǎng)絡(luò)準入控制杜絕非法外來電腦接入內(nèi)部網(wǎng)絡(luò)；同時將存在問題的客戶機隔離或限制其訪問，直到問題客戶機修復為止，這樣不僅可以防止客戶機成為蠕蟲和病毒攻擊的目標，還避免主機成為傳播病毒的源頭。2.內(nèi)外網(wǎng)數(shù)據(jù)安全交換設(shè)備部署后，在不降低網(wǎng)絡(luò)安全性的情況下，實現(xiàn)每個授權(quán)員工可在兩個網(wǎng)絡(luò)不同終端間安全地交換數(shù)據(jù)，工作效率大幅提高；數(shù)據(jù)交換過程受控，確保文件經(jīng)過殺毒檢查，保障內(nèi)部網(wǎng)絡(luò)安全性；數(shù)據(jù)交換均需詳細審計；不能識別格式的文件不可交換；包含指定關(guān)鍵字的文件需審批后交換；審計信息完整、有效，確保事后追查時，不會因員工采用文件加密等方式逃避責任。3.業(yè)務(wù)數(shù)據(jù)

48、防泄密傳統(tǒng)的信息系統(tǒng)，數(shù)據(jù)非常容易被用戶截留下來并帶走。如網(wǎng)絡(luò)文件共享系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、OA系統(tǒng)等，可控制帳號訪問系統(tǒng)數(shù)據(jù)，終端將數(shù)據(jù)通過另存在本地保存或通過網(wǎng)絡(luò)、移動存儲介質(zhì)（U盤）等方式，將數(shù)據(jù)截留在本地或直接帶走。通過業(yè)務(wù)數(shù)據(jù)防泄密功能解決數(shù)據(jù)使用后及時銷毀，員工或外包人員完成工作任務(wù)后的數(shù)據(jù)回收問題。無論他們訪問的數(shù)據(jù)是文件服務(wù)器上的一個文件，還是數(shù)據(jù)庫上的一條記錄，亦或是一個網(wǎng)頁，甚至是網(wǎng)絡(luò)設(shè)備上的配置信息，均可進行防泄密保護。1）防止不受控和不受信終端接入主要業(yè)務(wù)系統(tǒng)；2）當受控制的終端在訪問業(yè)務(wù)系統(tǒng)后，其從業(yè)務(wù)系統(tǒng)獲取的數(shù)據(jù)，在使用過程中將受到如下控制：防止另存或?qū)С隹刂品乐刮唇?jīng)

49、授權(quán)許可，終端無法將數(shù)據(jù)復制到其它應(yīng)用之中，如復制到QQ/MSN/飛信等軟件中；防止未經(jīng)授權(quán)許可，終端無法將數(shù)據(jù)打印、截屏；防止外拍限制除以上控制手段以外，還提供了審批、審計流痕、備份式數(shù)據(jù)操作審計等功能。使用者如果只是對數(shù)據(jù)進行正常的使用、操作，則金箍圈技術(shù)對其不會產(chǎn)生任何限制。如：數(shù)據(jù)的輸入、查詢、修改，以及合法授權(quán)的導出、打印、復制等行為，都不受影響。4.終端安全管理防止文件非法外傳及員工終端操作行為管理防止保存于電腦終端上信息機密文件被員工非法外傳出去，包括：禁止/審計通過軟盤、U盤、網(wǎng)絡(luò)共享等方式COPY出去，或者禁止/審計通過Email、MSN/QQ等方式外傳文件。對員工的各種不規(guī)

50、范行為進行矯正，例如：使用非法軟件（BT/e-Mule/MSN/QQ等）、訪問非法網(wǎng)站、改變電腦終端的硬件配置等。幫助管理員對桌面終端的系統(tǒng)安全管理，提高終端安全級別。對桌面終端的安全狀態(tài)進行主動評估，及時發(fā)現(xiàn)終端的安全漏洞和不安全的設(shè)置；對終端進行安全加固，自動為桌面終端安裝補丁和進行安全設(shè)置；例如：檢查桌面終端上是否有設(shè)置屏幕保護、口令、加入Windows域，檢查是否有木馬的注冊表項目，防病毒軟件及病毒特征庫檢查，以及對桌面終端設(shè)置Windows本地安全策略，打補丁等?？梢詭椭芾韱T自動發(fā)現(xiàn)接入設(shè)備并實現(xiàn)資產(chǎn)管理自動發(fā)現(xiàn)網(wǎng)絡(luò)上的所有接入設(shè)備，實現(xiàn)對桌面終端資產(chǎn)的自動管理。包括：軟硬件資產(chǎn)統(tǒng)

51、計，資產(chǎn)變更自動發(fā)現(xiàn)，資產(chǎn)的維護等。幫助管理員對桌面終端的批量管理，提高管理效率批量對桌面終端進行管理和維護，例如：集中式自動安裝軟件、遠程監(jiān)控和遠程協(xié)助、快速設(shè)備定位，批量設(shè)置終端的安全選項等，可以提高終端的日常管理和維護效率。同時，安全管理策略還可按照部門、IP網(wǎng)段、IP范圍、設(shè)備組、操作系統(tǒng)類型、操作系統(tǒng)語言等條件定義安全管理策略的應(yīng)用范圍。機房配套建設(shè)資源交易中心分為數(shù)據(jù)機房、設(shè)備機房、操作室，其中數(shù)據(jù)機房、設(shè)備機房約30平米，操作室33平米，機房場地的選擇基本符合防火、防水、防靜電、防雷擊、防輻射、消防設(shè)施等方面，同時應(yīng)對裝修、供配電系統(tǒng)、空調(diào)系統(tǒng)、電磁波防護、消毒等方面提出要求。場

52、地選擇 計算機主機房在主建筑內(nèi)獨立區(qū)域，周圍沒有危險建筑，沒有磁場干擾，沒有強振動源、強噪聲源和大功率設(shè)備等。機房不在洗水間或水房下層、房間旁，機房遠離放有易燃易爆物房間。環(huán)境條件 嚴格保持機房條件參數(shù)在規(guī)定的范圍內(nèi)，如溫度保持在2025消防及報警機房內(nèi)應(yīng)安裝火災(zāi)自動報警以及氣體類滅火裝置。預防雷擊 機房內(nèi)所有設(shè)備(包括配電系統(tǒng)、通訊設(shè)施)應(yīng)安裝防雷設(shè)施。數(shù)據(jù)機房、設(shè)備機房功能分區(qū)兩機房面積約30平米，機房場地的選擇基本符合防火、防水、防靜電、防雷擊、防輻射、消防設(shè)施等方面，同時應(yīng)對裝修、供配電系統(tǒng)、空調(diào)系統(tǒng)、電磁波防護、消毒等方面提出要求。機房裝修要求機房裝飾以大方舒適，滿足設(shè)備使用環(huán)境要求

53、為原則。對裝飾材料的選擇要達到吸音、保溫、防火、防潮、防變形、抗干擾、防靜電等要求。要使整個機房色調(diào)柔和、不壓抑、舒適。機房的裝修材料應(yīng)選用氣密性好、不起塵、易清潔、防火性好、形變小的阻燃材料。1）地板工程：采用全鋼瓷面600*600防靜電地板。2）吊頂，對吊頂以上區(qū)域進行檢查除塵，保證無漏水、無雜物、無安全隱患，保證頂部空調(diào)回風通暢；安裝龍骨采用知名品牌金屬微孔天花板。3）墻面，墻面表面應(yīng)平整，減少積灰面，抹灰時應(yīng)符合高級抹灰的要求，要求采用防塵乳膠漆找平刮白，主色調(diào)以冷色調(diào)為主，裝飾材料應(yīng)以淺灰或白色為裝飾色，與機房內(nèi)黑色機柜、黑色服務(wù)器相協(xié)調(diào)。4）門窗：機房設(shè)備入口安裝防盜門。窗戶填補縫

54、隙后，掛豎百葉防火窗簾。機房電氣系統(tǒng)（1）供電輸入要求：由大樓配電柜提供一路市電至UPS電源處，UPS輸出給機房配電柜內(nèi)。（2）市電輸入要求安裝數(shù)字電量儀表與監(jiān)控主機可實時通訊。UPS輸出參數(shù)及主機工作狀態(tài)與環(huán)境監(jiān)控實時通訊。（3）所有機柜均采用UPS方式供電，每路均由開關(guān)控制。所用電纜均為阻燃優(yōu)質(zhì)線纜。選用合理的控制保護開關(guān)并選用16A、32A空開，采用16A工業(yè)型PDU插座進行連接。每臺服務(wù)器機柜至少配備2臺PDU。（5）機房空調(diào)應(yīng)智能機房附帶外掛專業(yè)空調(diào)。機房照明系統(tǒng)機房照明包括正常照明及事故照明。要求主機房照度不低于300Lx，同時設(shè)機房疏散指示、安全出口標志燈等。應(yīng)急照明照度不低于4

55、0Lx。機房防雷系統(tǒng)在市配電柜輸出端加防雷器，作為機房電源部分的一級保護；UPS輸出加裝防雷器作為電源部分的二級保護；機柜內(nèi)采用PDU電源，做為三級保護。機房布線工程機房的綜合布線系統(tǒng),包括數(shù)據(jù)機房、設(shè)備機房與控制室。每個機柜網(wǎng)絡(luò)布線采用超五類非屏蔽網(wǎng)線。為提高數(shù)據(jù)傳輸能力，充分適應(yīng)未來需求，對數(shù)據(jù)點傳輸均使用百兆超五類布線方案，系統(tǒng)采用結(jié)構(gòu)化、模塊化設(shè)計。要求結(jié)構(gòu)化綜合布線系列產(chǎn)品采用知名品牌。機柜擺放要求采用機柜管理放置網(wǎng)絡(luò)和服務(wù)器設(shè)備，將所有的設(shè)備放入機柜，一是提高空間利用率，二是使機房環(huán)境變得美觀大方；三是在機柜處預先布好線，做到更換設(shè)備時，換機不換線，增加設(shè)備時，加機不加線。機房消防

56、自動滅火系統(tǒng)智能機房內(nèi)置七氟炳烷自動滅火系統(tǒng)，其它區(qū)域放置采用手持式二氧化碳滅火器。七氟炳烷對設(shè)備無任何損害、環(huán)保。1）按現(xiàn)行有關(guān)GA400-2002標準要求規(guī)范執(zhí)行，要求使用七氟丙烷ZQ系列、GQQ柜式(無管網(wǎng))滅火裝置系統(tǒng)。2）在智能機房設(shè)置煙感、溫感及自動報警系統(tǒng)，控制器、聲光報警安裝在值班室。應(yīng)采用感煙、感溫兩種探測器的組合，且火災(zāi)探測器應(yīng)與自動滅火系統(tǒng)聯(lián)動。3）滅火系統(tǒng)控制器應(yīng)在滅火設(shè)備動作之前，聯(lián)動控制關(guān)閉機房內(nèi)的風門、風閥，停止空調(diào)機、排風機，切斷非消防電源。機房視頻監(jiān)控監(jiān)控系統(tǒng)包括機房內(nèi)視頻監(jiān)控和服務(wù)大廳、多媒體培訓會議區(qū)域視頻監(jiān)控。統(tǒng)一納入動力環(huán)境監(jiān)控系統(tǒng)軟件集中管理；控制室

57、設(shè)在監(jiān)控室內(nèi)。必要的圖像可上值班人員終端上顯示。1、本次設(shè)計要求保證機房內(nèi)監(jiān)控無死角。2、攝像機選用知名品牌的優(yōu)良產(chǎn)品，硬盤存付圖像時間超過30天。3、監(jiān)控中心可通過遠程瀏覽的方式對本系統(tǒng)進行控制。4、系統(tǒng)采用UPS集中供電方式。動力環(huán)境監(jiān)控系統(tǒng)本機房所監(jiān)控的智能設(shè)備或子系統(tǒng)主要包括配電監(jiān)控系統(tǒng)（、UPS監(jiān)控系統(tǒng)、溫濕度監(jiān)測、門禁管理、漏水監(jiān)測、消防監(jiān)測、安全防范監(jiān)控等。要求把所有的監(jiān)控子系統(tǒng)集成在一個統(tǒng)一的平臺上實行集中監(jiān)控，在監(jiān)控主機上可以方便實時查看到各種智能設(shè)備或子系統(tǒng)的所有運行參數(shù)和運行狀態(tài)。A、機房監(jiān)控對象及內(nèi)容配電系統(tǒng):市配電柜:要開關(guān)狀態(tài)監(jiān)視及實時監(jiān)視電壓（V）、電流（I）、

58、頻率（F）、有功功率（P）等。UPS：監(jiān)測1臺UPS系統(tǒng)，對UPS模塊的工作狀態(tài)及各種參數(shù)UPS的輸入、輸出電壓、電流、頻率、功率因數(shù)等進行監(jiān)測。環(huán)境系統(tǒng):溫濕度監(jiān)測：精確測量監(jiān)測站的溫濕度參數(shù)、報警, 傳感器。漏水監(jiān)測：對空調(diào)漏水情況實時監(jiān)測、報警，傳感器。消防系統(tǒng)：與空調(diào)、配電系統(tǒng)聯(lián)動控制。B、16UPS及電池組技術(shù)要求選用30KVA UPS一臺，要求電池后備時間1小時以上。采用知名品牌，做電池支架。Video（BNC）信號、YPbPr信號、S-video信號、DVI信號、HDMI信號，還可以通過拼接控制系統(tǒng)進行多種信號源的拼接顯示，若配合矩陣進行信號切換可以實現(xiàn)多路信號的同時輸入并可任意

59、選擇一路信號在大屏幕上任一單屏顯示。全中文控制界面具有顯示控制功能強大和簡易直觀等特點。通過大屏幕拼接控制系統(tǒng)實現(xiàn)獨特的圖像拼接處理不會導致圖像損傷和失真。2.可靠性原則整個系統(tǒng)可以按照需求實現(xiàn)724小時、一年365天連續(xù)工作，具有高可靠性、高穩(wěn)定性等特點。在系統(tǒng)設(shè)計時，關(guān)鍵部位選用了高可靠性設(shè)備，對于重要的控制節(jié)點采用先進的高新技術(shù)來保障。液晶顯示單元的可視角度完全達到水平和垂直雙方向178度，因此在任何角度都可以保證顯示質(zhì)量。由于特殊的工作原理，液晶大屏幕拼接單元的響應(yīng)時間極短幾乎完全不受外界電磁場的干擾，運行更穩(wěn)定，從開始使用到數(shù)年后的顯示都能保持相同的效果。被動發(fā)光的特性也使液晶具有高

60、亮度、高對比度、色彩還原性好、畫面清晰、無灼傷且具有極高的分辨率。這些優(yōu)點賦予了液晶顯示單元在大屏幕顯示領(lǐng)域得天獨厚的優(yōu)勢。3.經(jīng)濟性原則合理的性價比是系統(tǒng)設(shè)計中應(yīng)當考慮的重要內(nèi)容。因此，所選用的設(shè)備在兼顧良好性能的基礎(chǔ)上也要考慮經(jīng)濟性，除考慮系統(tǒng)總體造價外，還應(yīng)當考慮系統(tǒng)長期運行維護成本。液晶拼接系統(tǒng)由于其系統(tǒng)穩(wěn)定性高，所以整個系統(tǒng)運行期間維護費用很低。 4.可擴充性原則隨著技術(shù)的發(fā)展和需求的擴大，系統(tǒng)的擴充是必然的，因而在系統(tǒng)設(shè)計時充分考慮未來系統(tǒng)擴充的可行性。液晶顯示系統(tǒng)采用模塊化設(shè)計不僅可以實現(xiàn)用戶的擴容需求，更能實現(xiàn)前期設(shè)備的充分利用，充分保障了用戶的前期投入。5.可維護、管理性原則