電力有限公司環(huán)境監(jiān)控報(bào)警聯(lián)動(dòng)系統(tǒng)建設(shè)方案

年5月29日電力有限公司環(huán)境監(jiān)控報(bào)警聯(lián)動(dòng)系統(tǒng)建設(shè)方案文檔僅供參考內(nèi)蒙古東部電力有限公司環(huán)境監(jiān)控報(bào)警聯(lián)動(dòng)系統(tǒng)建設(shè)方案

版本號(hào):V1.0

編寫(xiě)人: 審核人: 批準(zhǔn)人: 日期:年月日

目錄1.引言 11.1項(xiàng)目名稱 11.2項(xiàng)目背景 11.3系統(tǒng)建設(shè)目標(biāo) 11.4系統(tǒng)設(shè)計(jì)原則 21.5專業(yè)術(shù)語(yǔ)定義 32.系統(tǒng)整體設(shè)計(jì) 52.1拓?fù)浣Y(jié)構(gòu)圖 52.2子系統(tǒng)信息采集結(jié)構(gòu)圖 52.3系統(tǒng)整體架構(gòu) 62.4系統(tǒng)物理架構(gòu) 102.5軟硬件配置建議 113.系統(tǒng)功能設(shè)計(jì) 123.1系統(tǒng)維護(hù) 123.1.1操作員管理 123.1.2用戶信息管理 133.1.3權(quán)限管理 133.2環(huán)境系統(tǒng)監(jiān)控 143.2.1空調(diào)信息監(jiān)控 143.2.2溫度、濕度監(jiān)控 143.2.3漏水監(jiān)控 153.3安保系統(tǒng)監(jiān)控 153.3.1視頻監(jiān)控 153.3.2門(mén)禁控制 163.3.3煙感報(bào)警 163.3.4門(mén)磁報(bào)警 173.4動(dòng)力系統(tǒng)監(jiān)控 173.4.1UPS電壓、電流監(jiān)控 173.4.2蓄電池運(yùn)行狀態(tài)監(jiān)控 183.4.3機(jī)柜電壓、電流監(jiān)控 193.5智能輔助 203.5.1智能報(bào)警 203.5.2智能查詢 214.系統(tǒng)安全設(shè)計(jì) 234.1網(wǎng)絡(luò)應(yīng)用安全情況分析 234.1.1信息安全隱患 244.1.2安全風(fēng)險(xiǎn)分析 244.2系統(tǒng)安全需求 244.3安全技術(shù)體系框架 254.4網(wǎng)絡(luò)層次安全解決方案 274.5數(shù)據(jù)庫(kù)系統(tǒng)安全設(shè)計(jì) 304.5.1系統(tǒng)容錯(cuò)、糾錯(cuò)處理 304.5.2數(shù)據(jù)備份與恢復(fù)策略 314.6應(yīng)用系統(tǒng)安全設(shè)計(jì) 324.6.1用戶空間的規(guī)劃和管理 324.6.2資源空間的規(guī)劃和管理 334.6.3授權(quán)策略的規(guī)劃和管理 334.7環(huán)境監(jiān)控報(bào)警聯(lián)動(dòng)系統(tǒng)數(shù)據(jù)安全設(shè)計(jì) 344.7.1數(shù)據(jù)安全需求 344.7.2數(shù)據(jù)安全設(shè)計(jì) 354.7.3數(shù)據(jù)傳輸?shù)陌踩?374.7.4數(shù)據(jù)加密 384.7.5數(shù)據(jù)展現(xiàn)層安全 395.系統(tǒng)性能設(shè)計(jì) 425.1信息數(shù)據(jù)方面 425.2應(yīng)用中間件平臺(tái)方面 425.3應(yīng)用服務(wù)器方面 445.3.1應(yīng)用服務(wù)器集群 445.4應(yīng)用系統(tǒng)的運(yùn)行和監(jiān)控管理 476.系統(tǒng)預(yù)算 48引言

項(xiàng)目名稱

環(huán)境監(jiān)控報(bào)警聯(lián)動(dòng)系統(tǒng)項(xiàng)目背景隨著內(nèi)蒙古東部電力信息系統(tǒng)的發(fā)展與建設(shè),計(jì)算機(jī)系統(tǒng)數(shù)量與日俱增,其配套的環(huán)境設(shè)備也日益增多,因此機(jī)房的環(huán)境設(shè)備或子系統(tǒng)(如供配電、UPS、空調(diào)、消防、保安等)必須時(shí)時(shí)刻刻為計(jì)算機(jī)系統(tǒng)提供正常的運(yùn)行環(huán)境。一旦機(jī)房環(huán)境設(shè)備出現(xiàn)故障,就會(huì)影響到計(jì)算機(jī)系統(tǒng)的運(yùn)行,對(duì)數(shù)據(jù)傳輸、存儲(chǔ)以及整個(gè)系統(tǒng)運(yùn)行的可靠性構(gòu)成威脅,若事故嚴(yán)重又沒(méi)有得到及時(shí)的處理,就可能損壞硬件設(shè)備,造成嚴(yán)重后果。特別對(duì)于實(shí)時(shí)交換數(shù)據(jù)的需要,機(jī)房管理顯得更為重要,一旦系統(tǒng)發(fā)生故障,造成的經(jīng)濟(jì)損失更是不可估量。因此,為了保證機(jī)房運(yùn)行的安全性和穩(wěn)定性,當(dāng)前機(jī)房的管理人員采取24小時(shí)專人值班的方式,定時(shí)巡查機(jī)房各環(huán)境設(shè)備。但這樣依然在很多情況下往往不能及時(shí)排除故障,對(duì)事故發(fā)生時(shí)間、頻率及原因等也無(wú)科學(xué)的管理與數(shù)據(jù)分析。為了解決上述問(wèn)題,需要增加機(jī)房動(dòng)力環(huán)境監(jiān)控系統(tǒng),實(shí)現(xiàn)了對(duì)各機(jī)房設(shè)備的統(tǒng)一監(jiān)控與管理,大大提高了整個(gè)系統(tǒng)的運(yùn)行可靠性、穩(wěn)定性和兼容性、可擴(kuò)性,實(shí)現(xiàn)了機(jī)房的科學(xué)管理,真正使”無(wú)人值守”機(jī)房成為現(xiàn)實(shí)。系統(tǒng)建設(shè)目標(biāo)為內(nèi)蒙古東部電力有限公司建立包括動(dòng)力配電、場(chǎng)地環(huán)境等系統(tǒng)在內(nèi)綜合性集成管理平臺(tái),實(shí)現(xiàn)7×24的全面集中監(jiān)控和管理,保障數(shù)據(jù)中心內(nèi)各設(shè)備及子系統(tǒng)的安全高效運(yùn)行,以期實(shí)現(xiàn)最高的機(jī)房可用率。另外經(jīng)過(guò)所提供雙機(jī)熱備、增強(qiáng)型告警管理、IE權(quán)限管理、能耗管理、運(yùn)維及資產(chǎn)管理等在內(nèi)的高端功能模實(shí)現(xiàn)不斷提高機(jī)房的運(yùn)營(yíng)管理水平,建立統(tǒng)一高效的管理平臺(tái),使解放機(jī)房管理人員成為現(xiàn)實(shí)。系統(tǒng)設(shè)計(jì)原則綠色機(jī)房建設(shè)環(huán)境監(jiān)控系統(tǒng)要求可靠性高,擴(kuò)展性強(qiáng),應(yīng)遵循以下原則實(shí)用性管理功能:對(duì)任事件都針對(duì)機(jī)房的具體情況給出相應(yīng)的處理提示,指導(dǎo)維護(hù)人員解決問(wèn)題。軟件系統(tǒng)的設(shè)計(jì)對(duì)系統(tǒng)管理和運(yùn)維人員進(jìn)行多級(jí)權(quán)限分類以區(qū)分限制各級(jí)別用戶對(duì)系統(tǒng)的訪問(wèn)和操作能力。數(shù)據(jù)管理功能:可存儲(chǔ)半年的數(shù)據(jù),并用歷史曲線顯示任意一天的數(shù)據(jù)情況,最大值、最小值、平均值等。提供網(wǎng)絡(luò)版系統(tǒng),可在局域網(wǎng)站上全面監(jiān)視機(jī)房運(yùn)行情況。安全性可區(qū)分多級(jí)報(bào)警級(jí)別,報(bào)警事件發(fā)生時(shí),系統(tǒng)按事件級(jí)別排隊(duì)報(bào)警,顯示處理,并將畫(huà)面自動(dòng)切換到相應(yīng)的畫(huà)面。系統(tǒng)強(qiáng)大的多媒體技術(shù),對(duì)各種設(shè)備的報(bào)警及專家處理提示采用語(yǔ)音系統(tǒng)。強(qiáng)大的報(bào)警處理功能。兼容性支持各種廠家提供的智能設(shè)備,實(shí)現(xiàn)完美地監(jiān)控?？删S護(hù)性系統(tǒng)運(yùn)行進(jìn)行在線運(yùn)行狀態(tài)診斷和監(jiān)測(cè),能及時(shí)發(fā)現(xiàn)系統(tǒng)各功能單元故障情況,便于系統(tǒng)故障的維護(hù)處理。軟件系統(tǒng)的設(shè)計(jì)采用模塊化結(jié)構(gòu)設(shè)計(jì)和規(guī)范化標(biāo)識(shí)保證軟件的可維護(hù)性要求?？煽啃员O(jiān)控系統(tǒng)具有良好的電磁兼容性和電氣隔離性能,不影響被監(jiān)控設(shè)備正常工作。監(jiān)控系統(tǒng)具有專家診斷功能,對(duì)通信中斷、軟件故障能夠診出故障并及時(shí)告警。監(jiān)視各智能設(shè)備各部件的運(yùn)行狀態(tài)和工作參數(shù)。專業(yè)術(shù)語(yǔ)定義XMLExtensibleMarkupLanguage(可擴(kuò)展標(biāo)記語(yǔ)言),來(lái)自標(biāo)記語(yǔ)言SGML,是該語(yǔ)言的一個(gè)子集,主要用于數(shù)據(jù)交換。它規(guī)定了一種開(kāi)放的數(shù)據(jù)格式,其最大的特點(diǎn)就是天生的擴(kuò)展性,能夠簡(jiǎn)便而快捷的根據(jù)企業(yè)、科學(xué)規(guī)范或其它方面的需要來(lái)構(gòu)造定制的標(biāo)記集,使數(shù)據(jù)能在不同平臺(tái)、不同系統(tǒng)間順暢的傳輸。RS485接口RS485總線標(biāo)準(zhǔn)是電子工業(yè)協(xié)會(huì)(EIA)制訂并發(fā)布的在工業(yè)領(lǐng)域通用的設(shè)備串行通信標(biāo)準(zhǔn),它采用半雙工、平衡方式通信,具有支持多點(diǎn)連接,允許創(chuàng)立多達(dá)32個(gè)節(jié)點(diǎn)的網(wǎng)絡(luò);最大傳輸距離1219M,最大傳輸速率為10Mb/S,支持1200m時(shí)速為100kb/s的高速度傳輸;抗干擾能力很強(qiáng),布線簡(jiǎn)單等優(yōu)點(diǎn)。MODBUS協(xié)議MODBUS協(xié)議是應(yīng)用于電子控制器上的一種通用語(yǔ)言。經(jīng)過(guò)此協(xié)議,控制器相互之間、控制器經(jīng)由網(wǎng)絡(luò)(例如以太網(wǎng))和其它設(shè)備之間能夠通信。它已經(jīng)成為一通用工業(yè)標(biāo)準(zhǔn)。有了它,不同廠商生產(chǎn)的控制設(shè)備能夠連成工業(yè)網(wǎng)絡(luò),進(jìn)行集中監(jiān)控。此協(xié)議定義了一個(gè)控制器能認(rèn)識(shí)使用的消息結(jié)構(gòu),而不論它們是經(jīng)過(guò)何種網(wǎng)絡(luò)進(jìn)行通信的。它描述了一控制器請(qǐng)求訪問(wèn)其它設(shè)備的過(guò)程,如何回應(yīng)來(lái)自其它設(shè)備的請(qǐng)求,以及怎樣偵測(cè)錯(cuò)誤并記錄。它制定了消息域格局和內(nèi)容的公共格式。

系統(tǒng)整體設(shè)計(jì)

內(nèi)蒙古東部電力有限公司環(huán)境監(jiān)控報(bào)警聯(lián)動(dòng)系統(tǒng)當(dāng)前需要對(duì)機(jī)房現(xiàn)場(chǎng)的動(dòng)力(包括供配電、UPS、通信電源)、環(huán)境(包括空調(diào)、漏水、溫濕度)、安保(門(mén)禁、消防)等各個(gè)部分的子系統(tǒng)進(jìn)行現(xiàn)場(chǎng)實(shí)時(shí)監(jiān)控和統(tǒng)一管理。系統(tǒng)采用B/S方式,管理人員可方便的經(jīng)過(guò)內(nèi)網(wǎng)監(jiān)測(cè)各機(jī)房現(xiàn)場(chǎng)情況,經(jīng)過(guò)授權(quán)可對(duì)機(jī)房設(shè)備進(jìn)行遠(yuǎn)程控制。另外需預(yù)留相應(yīng)接口以方便今后對(duì)其它機(jī)房的接入管理。 拓?fù)浣Y(jié)構(gòu)圖由系統(tǒng)拓?fù)浣Y(jié)構(gòu)圖能夠看出,經(jīng)過(guò)環(huán)境監(jiān)控報(bào)警聯(lián)動(dòng)系統(tǒng)能夠?qū)σ曨l系統(tǒng)、門(mén)禁系統(tǒng)、報(bào)警系統(tǒng)、UPS均衡報(bào)警控制系統(tǒng)、空調(diào)、溫(濕)度子系統(tǒng)等進(jìn)行集成,能夠第一時(shí)間捕獲各個(gè)系統(tǒng)的異常信息,向工作人員進(jìn)行報(bào)警,將會(huì)大大節(jié)省維修時(shí)間。同時(shí),也方便了管理人員對(duì)全部信息的查看。信息采集結(jié)構(gòu)圖環(huán)境監(jiān)控報(bào)警聯(lián)動(dòng)系統(tǒng)整體實(shí)現(xiàn)采用”集中管理、分散控制”的模式:將數(shù)據(jù)傳輸?shù)皆诟髯袁F(xiàn)場(chǎng)的串口服務(wù)器,再由現(xiàn)場(chǎng)的串口服務(wù)器經(jīng)過(guò)業(yè)務(wù)網(wǎng)絡(luò)將數(shù)據(jù)傳輸至總行的集中監(jiān)控中心,由集中監(jiān)控中心管理服務(wù)器實(shí)現(xiàn)對(duì)機(jī)房的集中管理。”集中管理、分散控制”實(shí)現(xiàn)方式不但滿足了對(duì)分散機(jī)房的集中統(tǒng)一管理的需要,更滿足了銀行業(yè)對(duì)現(xiàn)場(chǎng)數(shù)據(jù)安全、實(shí)時(shí)、完整的存儲(chǔ)和控制要求較高的領(lǐng)域。信息采集結(jié)構(gòu)如下圖所示:系統(tǒng)整體架構(gòu)環(huán)境監(jiān)控報(bào)警聯(lián)動(dòng)系統(tǒng)采用基于B/S的架構(gòu),如下圖所示:用用戶機(jī)IE用戶機(jī)IE用戶機(jī)IE表示層應(yīng)用邏輯層數(shù)據(jù)服務(wù)層數(shù)據(jù)庫(kù)由上圖能夠看出,系統(tǒng)采用Browser/Server架構(gòu),這樣一來(lái),就使系統(tǒng)管理工作十分輕松,用戶只需要在服務(wù)器端部署電網(wǎng)工程標(biāo)準(zhǔn)化過(guò)程管理信息系統(tǒng),就能夠在網(wǎng)絡(luò)上登錄和管理該系統(tǒng)。客戶端不需要做任何配置,只是使用瀏覽器就能夠登錄系統(tǒng),大大降低了維護(hù)和升級(jí)成本。系統(tǒng)采用三層架構(gòu),當(dāng)前三層(多層)體系結(jié)構(gòu)正在逐漸成為數(shù)據(jù)庫(kù)應(yīng)用系統(tǒng)構(gòu)架方案的主流,在抽象的三層結(jié)構(gòu)下,表示層(Presentation)、應(yīng)用邏輯層(BusinessLogic)、數(shù)據(jù)服務(wù)層(DataService)被分割成三個(gè)相對(duì)獨(dú)立的單元。表示層負(fù)責(zé)與用戶交互并把相應(yīng)的請(qǐng)求經(jīng)過(guò)調(diào)用中間層的組件傳遞給應(yīng)用邏輯層。應(yīng)用層的組件執(zhí)行具體的事務(wù)邏輯并經(jīng)過(guò)SQL等方式向第三層的組件提出數(shù)據(jù)或其它資源請(qǐng)求。環(huán)境監(jiān)控報(bào)警聯(lián)動(dòng)系統(tǒng)采用J2EE作為開(kāi)發(fā)工具,J2EE是Sun公司所頒布的標(biāo)準(zhǔn),但已廣為工業(yè)界所接受,J2EE的出現(xiàn)標(biāo)志著用Java開(kāi)發(fā)企業(yè)級(jí)應(yīng)用系統(tǒng)已變得非常簡(jiǎn)單。J2EE是多層的分布式體系結(jié)構(gòu),使系統(tǒng)的操作和運(yùn)行具有很好的靈活性。先進(jìn)的Java計(jì)算方案如面向?qū)ο?、?dú)立于平臺(tái)、快速集成、代碼重用等,是實(shí)現(xiàn)這種結(jié)構(gòu)的關(guān)鍵,并使系統(tǒng)具有良好的可移植性和可擴(kuò)展性。在環(huán)境監(jiān)控報(bào)警聯(lián)動(dòng)系統(tǒng)架構(gòu)中,每一個(gè)應(yīng)用數(shù)據(jù)均有機(jī)地在整套的體系結(jié)構(gòu)中交換,按照各自數(shù)據(jù)模型的組織結(jié)構(gòu),充分利用整體系統(tǒng)中的軟硬件資源,實(shí)現(xiàn)系統(tǒng)特有的功能。為了使每一個(gè)應(yīng)用系統(tǒng)成為可靠、高效、具備良好的可擴(kuò)展性的系統(tǒng),采用三層體系結(jié)構(gòu)(three-tiered)的設(shè)計(jì)方案。系統(tǒng)架構(gòu)層次功能實(shí)現(xiàn)方案信息展示架構(gòu)系統(tǒng)門(mén)戶網(wǎng)站系統(tǒng)門(mén)戶網(wǎng)站主要完成系統(tǒng)的身份認(rèn)證、權(quán)限管理、系統(tǒng)路由、功能定制等功能。數(shù)據(jù)展現(xiàn)數(shù)據(jù)展現(xiàn)層主要功能是將數(shù)據(jù)平臺(tái)和應(yīng)用數(shù)據(jù)庫(kù)的數(shù)據(jù)以各種方式展現(xiàn)給用戶。應(yīng)用邏輯根據(jù)業(yè)務(wù)需求總結(jié)出其中的邏輯關(guān)系,程序邏輯關(guān)系自動(dòng)對(duì)數(shù)據(jù)進(jìn)行處理。數(shù)據(jù)應(yīng)用架構(gòu)數(shù)據(jù)組織數(shù)據(jù)組織負(fù)責(zé)環(huán)境監(jiān)控報(bào)警聯(lián)動(dòng)系統(tǒng)中所有數(shù)據(jù)的裝配及存儲(chǔ)。其數(shù)據(jù)組織方式以數(shù)據(jù)庫(kù)數(shù)據(jù)模型為基本框架。數(shù)據(jù)存儲(chǔ)數(shù)據(jù)存儲(chǔ)層為數(shù)據(jù)應(yīng)用架構(gòu)提供了底層的基礎(chǔ)設(shè)施。數(shù)據(jù)存儲(chǔ)是指確定數(shù)據(jù)在數(shù)據(jù)庫(kù)中的位置(臨時(shí)的或永久的)的物理數(shù)據(jù)設(shè)計(jì),即物理數(shù)據(jù)模型的設(shè)計(jì)。邏輯數(shù)據(jù)模型到物理數(shù)據(jù)模型的變化主要是實(shí)體的縱向合并和橫向拆分,對(duì)于屬性而言不應(yīng)該有變化。數(shù)據(jù)服務(wù)架構(gòu)數(shù)據(jù)提供層數(shù)據(jù)提供指數(shù)據(jù)庫(kù)中存儲(chǔ)的設(shè)備運(yùn)行信息。數(shù)據(jù)緩存層對(duì)數(shù)據(jù)提供層提供的數(shù)據(jù)進(jìn)行緩存,當(dāng)再次查詢相同數(shù)據(jù)時(shí)能夠減少網(wǎng)絡(luò)訪問(wèn),增加數(shù)據(jù)訪問(wèn)的效率和安全性。在應(yīng)用服務(wù)器端開(kāi)辟單獨(dú)的內(nèi)存經(jīng)過(guò)惟一標(biāo)識(shí)進(jìn)行數(shù)據(jù)緩存。提供數(shù)據(jù)的快速、安全訪問(wèn)。系統(tǒng)架構(gòu)表系統(tǒng)物理架構(gòu)經(jīng)過(guò)分析環(huán)境監(jiān)控報(bào)警聯(lián)動(dòng)系統(tǒng)的建設(shè)需求和目標(biāo),需要有一套完整的高性能、高可靠性和安全性軟硬件部署方案,同時(shí)具有靈活擴(kuò)展能力,以適應(yīng)后期對(duì)系統(tǒng)有擴(kuò)充的要求。建議的系統(tǒng)物理結(jié)構(gòu)如下圖所示:系統(tǒng)為三層架構(gòu):包括數(shù)據(jù)服務(wù)層、應(yīng)用服務(wù)器層和客戶應(yīng)用層。系統(tǒng)應(yīng)用靈活,便于擴(kuò)展,可支持瀏覽器/服務(wù)器(B/S)應(yīng)用模式。數(shù)據(jù)服務(wù)層利用Oracle數(shù)據(jù)庫(kù)數(shù)據(jù)服務(wù)架構(gòu)實(shí)現(xiàn)。應(yīng)用服務(wù)器層采用多臺(tái)集群策略,當(dāng)前根據(jù)需要能夠采用一臺(tái)或兩臺(tái)高性能PC服務(wù)器來(lái)實(shí)現(xiàn),隨著數(shù)據(jù)量的明顯增長(zhǎng)、用戶量和應(yīng)用不斷增多,系統(tǒng)需要進(jìn)一步擴(kuò)展。經(jīng)過(guò)增加新的應(yīng)用服務(wù)器與現(xiàn)有應(yīng)用服務(wù)器同樣組成集群環(huán)境,即可在數(shù)據(jù)庫(kù)結(jié)構(gòu)和應(yīng)用不作任何改變的情況下,使系統(tǒng)性能得到線性的擴(kuò)展?？蛻魬?yīng)用層除系統(tǒng)管理以外,最終用戶經(jīng)過(guò)統(tǒng)一網(wǎng)頁(yè)方式以瀏覽器的方式訪問(wèn)環(huán)境監(jiān)控報(bào)警聯(lián)動(dòng)系統(tǒng)中的項(xiàng)目信息并進(jìn)行各種操作、統(tǒng)計(jì)、匯總和分析。這種應(yīng)用方式不需要對(duì)客戶端進(jìn)行任何的軟件安裝和維護(hù)工作,只要保證網(wǎng)絡(luò)的連通即可,大大降低了客戶端維護(hù)工作和成本。軟硬件配置建議硬件配置建議:序號(hào)設(shè)備名稱數(shù)量備注1數(shù)據(jù)庫(kù)服務(wù)器1臺(tái)小型機(jī)2應(yīng)用服務(wù)器1臺(tái)PCServer服務(wù)器3備份服務(wù)器1臺(tái)PCServer服務(wù)器4串口交換機(jī)2臺(tái)MoxaNPort?6600系列軟件配置建議:序號(hào)軟件名稱主要指標(biāo)參考廠商1操作系統(tǒng)WindowsServerMicrosoft2數(shù)據(jù)庫(kù)Oracle10.2Oracle

系統(tǒng)功能設(shè)計(jì)內(nèi)蒙古東部電力有限公司環(huán)境監(jiān)控報(bào)警聯(lián)動(dòng)系統(tǒng)當(dāng)前需要對(duì)機(jī)房現(xiàn)場(chǎng)的動(dòng)力(包括供配電、UPS、通信電源)、環(huán)境(包括空調(diào)、漏水、溫濕度)、安保(門(mén)禁、消防)等各個(gè)部分的子系統(tǒng)進(jìn)行現(xiàn)場(chǎng)實(shí)時(shí)監(jiān)控和統(tǒng)一管理。系統(tǒng)采用B/S方式,管理人員可方便的經(jīng)過(guò)內(nèi)網(wǎng)監(jiān)測(cè)各機(jī)房現(xiàn)場(chǎng)情況,經(jīng)過(guò)授權(quán)可對(duì)機(jī)房設(shè)備進(jìn)行遠(yuǎn)程控制。另外需預(yù)留相應(yīng)接口以方便今后對(duì)其它機(jī)房的接入管理。系統(tǒng)結(jié)構(gòu)圖如下:數(shù)據(jù)交換層數(shù)據(jù)交換層數(shù)據(jù)庫(kù)業(yè)務(wù)處理層外部動(dòng)力、環(huán)境、安保子系統(tǒng)UPS空調(diào)門(mén)禁等信息采集信息展現(xiàn)異常監(jiān)控用戶用戶用戶報(bào)警系統(tǒng)維護(hù)操作員管理對(duì)該系統(tǒng)的操作員進(jìn)行管理,能夠添加一個(gè)操作員,修改、刪除一個(gè)或多個(gè)操作員信息。實(shí)現(xiàn)效果圖如下所示:用戶信息管理修改當(dāng)前登錄用戶的信息,在這里,能夠修改個(gè)人信息,也能夠修改登錄密碼。實(shí)現(xiàn)效果圖如下所示:權(quán)限管理經(jīng)過(guò)權(quán)限管理,能夠?yàn)橛脩舴峙淦淠懿僮鞯墓δ?還能夠控制到每個(gè)功能上的操作按鈕,為管理員提供強(qiáng)大的權(quán)限管理功能。實(shí)現(xiàn)效果圖如下所示:環(huán)境系統(tǒng)監(jiān)控空調(diào)信息監(jiān)控經(jīng)過(guò)空調(diào)自帶智能通訊接口及通訊協(xié)議,系統(tǒng)可實(shí)時(shí)、全面診斷空調(diào)運(yùn)行狀況,監(jiān)控空調(diào)各部件(如壓縮機(jī)、風(fēng)機(jī)、加熱器、加濕器、去濕器、濾網(wǎng)等)的運(yùn)行狀態(tài)與參數(shù),并可經(jīng)過(guò)軟件在系統(tǒng)上或經(jīng)過(guò)網(wǎng)絡(luò)遠(yuǎn)程修改空調(diào)設(shè)置參數(shù)(溫度、濕度等),實(shí)現(xiàn)空調(diào)的遠(yuǎn)程開(kāi)關(guān)機(jī)。系統(tǒng)一旦監(jiān)測(cè)到有報(bào)警或參數(shù)越限,將自動(dòng)切換到相關(guān)的運(yùn)行畫(huà)面。越限參數(shù)將變色,并伴隨有報(bào)警聲音,有相應(yīng)的處理提示,及相關(guān)處理提示。對(duì)重要參數(shù),可作曲線記錄,可經(jīng)過(guò)曲線記錄直觀地看到空調(diào)機(jī)組的運(yùn)行品質(zhì)?？照{(diào)機(jī)組即使有微小的故障,也能夠經(jīng)過(guò)系統(tǒng)檢測(cè)出來(lái),及時(shí)采取步驟防止空調(diào)機(jī)組進(jìn)一步損壞。對(duì)嚴(yán)重的故障,可加設(shè)電話語(yǔ)音報(bào)警。溫度、濕度監(jiān)控溫度、濕度監(jiān)控系統(tǒng),主要經(jīng)過(guò)控制線將溫(濕)度各詳細(xì)參數(shù),回傳到環(huán)境監(jiān)控報(bào)警聯(lián)動(dòng)系統(tǒng)上,可根據(jù)回傳的數(shù)據(jù)繪制溫濕度均值曲線,當(dāng)數(shù)值超過(guò)上下限定值時(shí)該系統(tǒng)會(huì)自動(dòng)產(chǎn)生報(bào)警聯(lián)動(dòng)同時(shí)彈出報(bào)警畫(huà)面。而且會(huì)自動(dòng)生成周報(bào)表和月報(bào)表及相關(guān)參數(shù)曲線圖。漏水監(jiān)控漏水檢測(cè)系統(tǒng)由定位式漏水控制器和感應(yīng)線纜及其它附件構(gòu)成。用漏水感應(yīng)繩圍繞空調(diào)及墻界地面,一旦有水泄漏碰到感應(yīng)繩,感應(yīng)繩經(jīng)過(guò)控制器將漏水信號(hào)及漏水的位置信號(hào)經(jīng)過(guò)通信接口及時(shí)地輸送到監(jiān)控主機(jī),可確保系統(tǒng)在第一時(shí)間報(bào)警,監(jiān)控主機(jī)的漏水監(jiān)測(cè)畫(huà)面上顯示相應(yīng)的漏水位置,維護(hù)人員只要按畫(huà)面顯示位置,可非常方便地找到漏水位置,極大地方便了系統(tǒng)的維護(hù),而且會(huì)自動(dòng)生成周報(bào)表和月報(bào)表及相關(guān)參數(shù)曲線圖。安保系統(tǒng)監(jiān)控視頻監(jiān)控經(jīng)過(guò)網(wǎng)絡(luò)攝像機(jī)、視頻服務(wù)器實(shí)現(xiàn)錄像、存儲(chǔ)和告警聯(lián)動(dòng)。該模塊應(yīng)提供遠(yuǎn)程瀏覽功能,有關(guān)領(lǐng)導(dǎo)或運(yùn)維人員在局域網(wǎng)絡(luò)內(nèi)的計(jì)算機(jī),只要安裝一套遠(yuǎn)程客戶軟件即可實(shí)現(xiàn)查看監(jiān)控信息及視頻信息。主要實(shí)現(xiàn)將分布在機(jī)房各點(diǎn)位攝像機(jī)經(jīng)過(guò)視頻線與監(jiān)控主機(jī)相連(可采集各點(diǎn)位攝像機(jī)聲音),然后經(jīng)過(guò)視頻監(jiān)控廠家提供的二次開(kāi)發(fā)接口(SDK包)可將視頻圖像及相關(guān)參數(shù)經(jīng)過(guò)網(wǎng)絡(luò)回傳到環(huán)境監(jiān)控報(bào)警聯(lián)動(dòng)系統(tǒng)上。實(shí)現(xiàn)效果圖如下:門(mén)禁控制門(mén)禁模塊可與監(jiān)控主機(jī)聯(lián)網(wǎng)組成在線式門(mén)禁監(jiān)控系統(tǒng)。經(jīng)過(guò)嚴(yán)格的權(quán)限管理可進(jìn)行門(mén)禁的遠(yuǎn)程管理與維護(hù),可實(shí)時(shí)讀取門(mén)禁記錄的資料。當(dāng)有人經(jīng)過(guò)驗(yàn)證進(jìn)門(mén)時(shí),監(jiān)控系統(tǒng)可按已設(shè)的權(quán)限進(jìn)行判斷比較并開(kāi)門(mén),同時(shí)記錄進(jìn)入人姓名、門(mén)號(hào)、時(shí)間,也可記錄非法驗(yàn)證的報(bào)警記錄。門(mén)禁控制器采用全球知名品牌的指紋門(mén)禁機(jī),同時(shí)支持刷卡、密碼開(kāi)門(mén)功能。本模塊主要實(shí)現(xiàn)將機(jī)房?jī)?nèi)各門(mén)禁系統(tǒng),經(jīng)過(guò)控制線與視頻監(jiān)控主機(jī)或報(bào)警主機(jī)相連,即可實(shí)現(xiàn)視頻圖像聯(lián)動(dòng)、聲光報(bào)警聯(lián)動(dòng)同時(shí)會(huì)產(chǎn)生報(bào)警記錄等功能。煙感報(bào)警當(dāng)前煙感探測(cè)器主要采用開(kāi)關(guān)信號(hào)量的方式進(jìn)行告警信號(hào)的輸出,基本原理為,當(dāng)煙霧濃度達(dá)到一定值時(shí)(可設(shè)置其煙霧濃度靈敏度),會(huì)產(chǎn)生一個(gè)信號(hào)量,將此信號(hào)輸出到報(bào)警主機(jī)和監(jiān)控主機(jī),即可實(shí)現(xiàn)告警,監(jiān)控畫(huà)面自動(dòng)彈出、聲光警號(hào)聯(lián)動(dòng)并同時(shí)產(chǎn)生告警記錄。實(shí)現(xiàn)效果圖如下:門(mén)磁報(bào)警當(dāng)前門(mén)磁控制器主要采用開(kāi)關(guān)信號(hào)量的方式進(jìn)行告警信號(hào)的輸出,基本原理為,當(dāng)門(mén)磁斷開(kāi)或閉合時(shí)都會(huì)產(chǎn)生一個(gè)開(kāi)關(guān)信號(hào)量,將此信號(hào)量經(jīng)過(guò)控制線輸出到報(bào)警主機(jī)或視頻監(jiān)控主機(jī),即可實(shí)現(xiàn)告警,監(jiān)控畫(huà)面自動(dòng)彈出、聲光警號(hào)聯(lián)動(dòng)并同時(shí)產(chǎn)生告警記錄,以上各子模塊可選擇性集成短信告知平臺(tái)并建議增加一套報(bào)警主機(jī)及雙監(jiān)探測(cè)器。動(dòng)力系統(tǒng)監(jiān)控UPS電壓、電流監(jiān)控UPS電源主要由UPS主機(jī)及UPS電池組成,分為在線式、后備式及在線互動(dòng)式幾種,根據(jù)頻率分高頻機(jī)和工頻機(jī),它在機(jī)器有電工作時(shí),就將市電交流電整流,并儲(chǔ)存在自己的電源中,一旦停止供電,它就能提供電源,使用電設(shè)備維持一段工作時(shí)間,保持時(shí)間可能是10分鐘、半小時(shí)等,延時(shí)時(shí)間一般由蓄電池的容量決定?！窀呖煽啃圆婚g斷供電——保證動(dòng)力的連續(xù)性●電網(wǎng)穩(wěn)壓、凈化功能——消除電網(wǎng)波動(dòng)、污染●電池管理功能——延長(zhǎng)電池使用壽命●智能監(jiān)控功能——有效解決電源維護(hù)功能可根據(jù)UPS廠家提供的通信協(xié)議或者二次開(kāi)發(fā)接口,取到UPS各項(xiàng)指標(biāo)參數(shù),然后經(jīng)過(guò)網(wǎng)絡(luò)傳送到串口服務(wù)器,最后串口服務(wù)器經(jīng)過(guò)網(wǎng)絡(luò)把數(shù)據(jù)信息傳到系統(tǒng)中,并在系統(tǒng)中展示,并能用同樣的方式采集UPS異常信息,實(shí)現(xiàn)異常狀態(tài)報(bào)警。實(shí)現(xiàn)效果圖如下:蓄電池運(yùn)行狀態(tài)監(jiān)控主要實(shí)現(xiàn)測(cè)量每個(gè)單體電池的端電壓和表面溫度,經(jīng)過(guò)串口服務(wù)器,將信息采集至主機(jī)。對(duì)于單體電池電壓高于或低于標(biāo)準(zhǔn)電壓時(shí),對(duì)該電池進(jìn)行放電或充電,使每個(gè)單體電池端電壓長(zhǎng)期維持在額定電壓范圍,確保電池不會(huì)出現(xiàn)過(guò)充電或欠充電,解決了電池個(gè)體差異性帶來(lái)的各種問(wèn)題。對(duì)于表面溫度過(guò)高的電池,及時(shí)發(fā)出告警信號(hào),告知運(yùn)行維護(hù)人員提前處理,可有效杜絕蓄電池爆炸引起的安全事故。實(shí)現(xiàn)效果圖如下:機(jī)柜電壓、電流監(jiān)控需要在電源入口安裝交流采集裝置(此裝置采用RS485接口回傳信號(hào),使用MODBUS協(xié)議,可進(jìn)行二次開(kāi)發(fā))即可實(shí)現(xiàn)(交)直流電壓、電流及其它相關(guān)參數(shù)的信息采集和回傳。將采集回來(lái)的數(shù)據(jù),經(jīng)過(guò)人為設(shè)置好的上(下)限,當(dāng)超過(guò)其上下限值時(shí)會(huì)產(chǎn)生告警。(注:當(dāng)>5A時(shí)需額外增加ct電流互感器)。智能輔助智能報(bào)警為了能更及時(shí)地把監(jiān)控設(shè)備重要的報(bào)警信息,通知到相應(yīng)維護(hù)人員,讓維護(hù)人員能夠及時(shí)地處理機(jī)房所發(fā)生的緊急事件或設(shè)備故障報(bào)警等,系統(tǒng)配置電話報(bào)警功能模塊。當(dāng)設(shè)定了電話報(bào)警級(jí)別的設(shè)備發(fā)生故障或報(bào)警時(shí),系統(tǒng)將自動(dòng)撥打所設(shè)定的相應(yīng)維護(hù)人員的電話或手機(jī),用電話語(yǔ)音的方式(非數(shù)字代碼等)告知機(jī)房所發(fā)生的事件,系統(tǒng)可經(jīng)過(guò)電話按鍵確認(rèn)的互動(dòng)方式,確保事件可通知到相關(guān)的維護(hù)人員。另外,系統(tǒng)經(jīng)過(guò)加裝短信報(bào)警功能模塊還可實(shí)現(xiàn)短信息報(bào)警。一旦某個(gè)報(bào)警時(shí)間發(fā)生可自動(dòng)觸發(fā)短信息報(bào)警,系統(tǒng)將自動(dòng)按照預(yù)先設(shè)定好的手機(jī)號(hào)碼,往該號(hào)碼中發(fā)送報(bào)警短信。報(bào)警的手機(jī)號(hào)碼可設(shè)置多個(gè),而且可根據(jù)自身的實(shí)際需求設(shè)定短信的重發(fā)次數(shù)以及時(shí)間間隔等,保證所有報(bào)警信息都能及時(shí)、有效地傳遞給各機(jī)房維護(hù)人員。系統(tǒng)與GIS系統(tǒng)做接口,以更直觀地對(duì)報(bào)警效果進(jìn)行展現(xiàn),效果圖如下所示:智能查詢?yōu)閷?shí)現(xiàn)對(duì)信息機(jī)房的統(tǒng)一集中監(jiān)控管理,也為了方便機(jī)房維護(hù)人員和各領(lǐng)導(dǎo)及時(shí)、全面掌握機(jī)房的運(yùn)行狀況,系統(tǒng)應(yīng)具備智能接入與查詢功能。智能查詢系統(tǒng)的功能是信息共享與發(fā)布程序,它運(yùn)行在查詢服務(wù)器上,用戶可經(jīng)過(guò)MIS網(wǎng)、撥號(hào)企業(yè)網(wǎng)、互聯(lián)網(wǎng)登錄查詢系統(tǒng)主頁(yè),查看監(jiān)控?cái)?shù)據(jù)、報(bào)警信息、設(shè)備信息、統(tǒng)計(jì)信息等。該系統(tǒng)采用流行Internet/Intranet網(wǎng)絡(luò)編程技術(shù),具有操作簡(jiǎn)單、易于維護(hù)等諸多優(yōu)點(diǎn)。該查詢系統(tǒng)主要包括如下功能:系統(tǒng)實(shí)時(shí)數(shù)據(jù)監(jiān)視視頻實(shí)時(shí)畫(huà)面視頻錄像資料最新報(bào)警信息查詢歷史報(bào)警信息查詢歷史報(bào)警信息統(tǒng)計(jì)值班員能夠在連通內(nèi)網(wǎng)的任意計(jì)算機(jī)打開(kāi)瀏覽器,輸入查詢系統(tǒng)服務(wù)器指定的IP地址,便可進(jìn)入查詢系統(tǒng)的登陸頁(yè)面。驗(yàn)證用戶名與口令進(jìn)行身份確認(rèn),驗(yàn)證經(jīng)過(guò)之后進(jìn)入報(bào)警信息查詢系統(tǒng)。如果要進(jìn)行報(bào)警確認(rèn),同樣需要用戶權(quán)限認(rèn)證,以避免誤操作的發(fā)生。

系統(tǒng)安全設(shè)計(jì)互聯(lián)網(wǎng)的發(fā)展使用戶能夠在全球范圍內(nèi)與客戶進(jìn)行商務(wù)活動(dòng),從而為廣大企事業(yè)單位帶來(lái)了新的機(jī)遇。同時(shí),企事業(yè)內(nèi)部網(wǎng)的不斷完善也為企事業(yè)單位與商業(yè)合作伙伴及現(xiàn)場(chǎng)工作人員的通信提供了有效的途徑?？墒?互聯(lián)網(wǎng)技術(shù)在擴(kuò)大市場(chǎng)份額、降低成本、提高客戶滿意程度的同時(shí),也增加了企事業(yè)受攻擊的弱點(diǎn)。這些弱點(diǎn)直接威脅著企業(yè)分布式計(jì)算機(jī)應(yīng)用的穩(wěn)定性和可靠性。首先,保存在用戶分布式計(jì)算環(huán)境中的大量關(guān)鍵信息面臨來(lái)自于第三方的破壞與竊取。其次,實(shí)現(xiàn)多平臺(tái)與多系統(tǒng)間的信息安全傳輸也是困難重重。而且面對(duì)幾乎是一天一個(gè)樣的病毒各類黑客,我們的網(wǎng)絡(luò)環(huán)境總是顯得相對(duì)脆弱。因此,為保證建設(shè)良好的環(huán)境監(jiān)控報(bào)警聯(lián)動(dòng)系統(tǒng)能夠穩(wěn)定的工作,能夠負(fù)擔(dān)起其應(yīng)有的職責(zé),對(duì)于網(wǎng)絡(luò)安全的防范,提高網(wǎng)絡(luò)安全意識(shí),保障系統(tǒng)運(yùn)行安全是不容忽視的工作。然而被動(dòng)地在需要時(shí)才找尋解決方案的模式,已被驗(yàn)證是錯(cuò)誤的選擇。只有了解企業(yè)信息化的本質(zhì)后,按照系統(tǒng)穩(wěn)定運(yùn)行的要求,進(jìn)行完善的系統(tǒng)安全設(shè)計(jì),才能防患于未然。因此,安全性解決方案應(yīng)化被動(dòng)為主動(dòng),同時(shí)應(yīng)該被整合于整體網(wǎng)絡(luò)風(fēng)險(xiǎn)管理中,亦即表示企業(yè)必須明了本身基礎(chǔ)架構(gòu),并為其提供風(fēng)險(xiǎn)評(píng)估與管理的工具、及有效的網(wǎng)絡(luò)安全性解決方案。這套解決方案能夠處理企業(yè)在業(yè)務(wù)與技術(shù)上所需整體網(wǎng)絡(luò)安全性的需求。本方案就是在這樣的前提下,運(yùn)用長(zhǎng)期累積的專業(yè)技術(shù)與經(jīng)驗(yàn),推出的一套完全的解決方案及整合性的工具,用于本項(xiàng)目的信息化的安全防護(hù)。網(wǎng)絡(luò)應(yīng)用安全情況分析信息安全隱患企事業(yè)信息化應(yīng)用中的安全隱患主要包括:身份認(rèn)證由于非法用戶能夠偽造、假冒員工和客戶的身份或經(jīng)過(guò)黑客軟件獲得系統(tǒng)內(nèi)部工作人員的身份、密碼,因此存在假冒員工身份的非法用戶進(jìn)入系統(tǒng)進(jìn)行破壞的可能。故"用戶名＋口令"的傳統(tǒng)認(rèn)證方式安全性較弱,用戶口令易被竊取而導(dǎo)致系統(tǒng)損失。信息的機(jī)密性由于在環(huán)境監(jiān)控報(bào)警聯(lián)動(dòng)系統(tǒng)內(nèi)部和外部網(wǎng)絡(luò)上傳輸?shù)男畔⒅?包含個(gè)人或企業(yè)的敏感信息和數(shù)據(jù)有可能在傳輸過(guò)程中被非法用戶截取。信息的完整性敏感、機(jī)密信息和數(shù)據(jù)在傳輸過(guò)程中有可能被惡意篡改。安全風(fēng)險(xiǎn)分析對(duì)整個(gè)環(huán)境監(jiān)控報(bào)警聯(lián)動(dòng)系統(tǒng)的網(wǎng)絡(luò)應(yīng)用而言,網(wǎng)絡(luò)安全風(fēng)險(xiǎn)主要來(lái)源:來(lái)自網(wǎng)絡(luò)內(nèi)部的攻擊和破壞:整個(gè)環(huán)境監(jiān)控報(bào)警聯(lián)動(dòng)系統(tǒng)對(duì)于來(lái)自內(nèi)部網(wǎng)絡(luò)的攻擊或破壞的防范能力相對(duì)來(lái)說(shuō)比較脆弱。因此如何有效防范內(nèi)部破壞,是系統(tǒng)運(yùn)行中需要解決的首要問(wèn)題,特別是如何有效控制來(lái)自各業(yè)務(wù)相關(guān)系統(tǒng)入侵攻擊(直接攻擊或經(jīng)過(guò)宿主機(jī)間接的攻擊)是本方案重點(diǎn)討論的問(wèn)題。系統(tǒng)安全需求總體上講,整個(gè)環(huán)境監(jiān)控報(bào)警聯(lián)動(dòng)系統(tǒng)的網(wǎng)絡(luò)安全性涉及到系統(tǒng)級(jí)安全(包括各類軟硬件系統(tǒng))、數(shù)據(jù)級(jí)安全、應(yīng)用級(jí)安全和用戶級(jí)安全,其中系統(tǒng)安全主要是指操作系統(tǒng)安全、網(wǎng)絡(luò)服務(wù)安全。一般的系統(tǒng)攻擊使系統(tǒng)不能正常工作,但不導(dǎo)致數(shù)據(jù)泄密。而數(shù)據(jù)安全則直接關(guān)系到經(jīng)營(yíng)數(shù)據(jù)的泄漏。具體的安全需求如下:1．對(duì)整個(gè)系統(tǒng)網(wǎng)絡(luò)按功能類別進(jìn)行重新劃分,實(shí)施有效隔離,防范來(lái)自內(nèi)部和外部的攻擊;2．需采用安全檢測(cè)機(jī)制來(lái)實(shí)施檢測(cè)網(wǎng)絡(luò)攻擊事件的發(fā)生;3．需保護(hù)外部公開(kāi)WWW服務(wù)器的安全;4．需采用網(wǎng)絡(luò)防病毒機(jī)制來(lái)防治網(wǎng)絡(luò)病毒的攻擊和蔓延;5．需采用鏈路加密機(jī)制來(lái)實(shí)現(xiàn)鏈路傳輸?shù)陌踩?6．需實(shí)現(xiàn)從內(nèi)部應(yīng)用系統(tǒng)身份認(rèn)證、訪問(wèn)授權(quán)等安全機(jī)制;7．需實(shí)現(xiàn)從應(yīng)用系統(tǒng)客戶端到服務(wù)器的加密(包括對(duì)跨越INTERNET的遠(yuǎn)程訪問(wèn));8．需實(shí)現(xiàn)內(nèi)部安全策略的合理規(guī)劃;9．保護(hù)現(xiàn)有的安全投資。安全技術(shù)體系框架在環(huán)境監(jiān)控報(bào)警聯(lián)動(dòng)系統(tǒng)的安全方案設(shè)計(jì)中,首先要確定安全方案所涉及到的系統(tǒng)單元,其次要考慮該系統(tǒng)單元在各個(gè)層次所提供的安全服務(wù)(功能),最后還應(yīng)考慮這些單元系統(tǒng)之間的邏輯關(guān)系,才能提供全面的、合理的、有機(jī)的安全服務(wù)。我們把環(huán)境監(jiān)控報(bào)警聯(lián)動(dòng)系統(tǒng)的網(wǎng)絡(luò)安全的規(guī)劃分為以下幾個(gè)部分,經(jīng)過(guò)集中的安全管理界面,實(shí)現(xiàn)全局統(tǒng)一的安全策略配置、分發(fā)、監(jiān)控和維護(hù):網(wǎng)絡(luò)運(yùn)行環(huán)境管理IT資源配置管理、網(wǎng)絡(luò)環(huán)境可用性管理、網(wǎng)絡(luò)性能管理、故障管理等。網(wǎng)絡(luò)系統(tǒng)安全管理功能子網(wǎng)劃分、網(wǎng)絡(luò)層流量控制、入侵檢測(cè)與防病毒網(wǎng)關(guān)。主機(jī)系統(tǒng)安全管理服務(wù)器和桌面PC防病毒、系統(tǒng)安全漏洞掃描和修正。應(yīng)用系統(tǒng)安全管理全局用戶管理、應(yīng)用服務(wù)資源訪問(wèn)控制、數(shù)據(jù)加密與安全審計(jì)。數(shù)據(jù)庫(kù)系統(tǒng)安全管理數(shù)據(jù)庫(kù)存儲(chǔ)權(quán)限管理、存儲(chǔ)過(guò)程、觸發(fā)器設(shè)計(jì)和角色管理等。在不同的系統(tǒng)單元層次上有著不同的安全需求和安全解決方案,下面我們就各個(gè)層次的安全解決方案規(guī)劃進(jìn)行具體描述。借助這些新增的安全管理子系統(tǒng),結(jié)合現(xiàn)有的網(wǎng)管系統(tǒng)和數(shù)據(jù)庫(kù)的安全規(guī)則的支持,能夠形成全面的安全技術(shù)框架,如下圖所示:網(wǎng)絡(luò)層次安全解決方案由于數(shù)據(jù)的傳輸和交換需要依靠網(wǎng)絡(luò)進(jìn)行,從而網(wǎng)絡(luò)的安全性對(duì)保障數(shù)據(jù)的安全十分重要。環(huán)境監(jiān)控報(bào)警聯(lián)動(dòng)系統(tǒng)的網(wǎng)絡(luò)安全建設(shè)在基礎(chǔ)網(wǎng)絡(luò)基礎(chǔ)之上。在本項(xiàng)目安全系統(tǒng)設(shè)計(jì)中,分別從物理安全,即整套系統(tǒng)部署環(huán)境的安全,保障系統(tǒng)所涉及設(shè)備的正常運(yùn)行;網(wǎng)絡(luò)運(yùn)行安全,即基礎(chǔ)網(wǎng)絡(luò)平臺(tái)的安全,涉及到網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì),重要設(shè)備提供冗余,網(wǎng)絡(luò)安全的監(jiān)測(cè);建立在這兩部分之上的是信息安全保密,包括身份認(rèn)證,訪問(wèn)控制,信息的加密傳輸,安全審計(jì),入侵檢測(cè);安全管理則使得從技術(shù)上保障了信息安全管理。經(jīng)過(guò)架設(shè)防火墻、網(wǎng)閘,身份認(rèn)證,漏洞審計(jì),入侵檢測(cè),以及從中心到各客戶端的網(wǎng)絡(luò)防病毒系統(tǒng),構(gòu)筑整體的網(wǎng)絡(luò)安全。安全的環(huán)境監(jiān)控報(bào)警聯(lián)動(dòng)系統(tǒng)主要經(jīng)過(guò)一下幾個(gè)方面體現(xiàn):加強(qiáng)訪問(wèn)控制網(wǎng)結(jié)構(gòu)合理分布后,在內(nèi)部局網(wǎng)內(nèi)能夠經(jīng)過(guò)交換機(jī)劃分VLAN功能來(lái)實(shí)現(xiàn)不同部門(mén)、不同級(jí)別用戶之間簡(jiǎn)單的訪問(wèn)控制。根據(jù)環(huán)境監(jiān)控報(bào)警聯(lián)動(dòng)系統(tǒng)的實(shí)際情況,也能夠配備應(yīng)用層的訪問(wèn)控制軟件系統(tǒng),針對(duì)局域網(wǎng)具體的應(yīng)用進(jìn)行更細(xì)致的訪問(wèn)控制。對(duì)于可能的遠(yuǎn)程拔號(hào)訪問(wèn)用戶的安全性訪問(wèn),能夠利用防火墻的一次性口令認(rèn)證機(jī)制,對(duì)遠(yuǎn)程拔號(hào)用戶進(jìn)行身份認(rèn)證,實(shí)遠(yuǎn)程用戶的安全訪問(wèn)。安全檢測(cè)由于防火墻等安全控制系統(tǒng)屬于靜態(tài)防護(hù)安全體系,但對(duì)于一些允許經(jīng)過(guò)防火墻的訪問(wèn)而導(dǎo)致的攻擊行為、內(nèi)部網(wǎng)的攻擊行業(yè),防火墻是無(wú)能為力的。因此,還必須配備入侵檢測(cè)系統(tǒng),該系統(tǒng)經(jīng)過(guò)安裝在局域網(wǎng)絡(luò)的共享網(wǎng)絡(luò)設(shè)備上,實(shí)現(xiàn)實(shí)時(shí)分析進(jìn)出網(wǎng)絡(luò)數(shù)據(jù)流,對(duì)網(wǎng)絡(luò)違規(guī)事件跟蹤、實(shí)時(shí)報(bào)警、阻斷連接并做日志的功能。它既能夠?qū)Ω斗婪秲?nèi)部人員的有意或者無(wú)意的攻擊,也能夠?qū)Ω秮?lái)自外部網(wǎng)絡(luò)的攻擊行為。網(wǎng)絡(luò)安全評(píng)估網(wǎng)絡(luò)安全性掃描分析系統(tǒng)經(jīng)過(guò)實(shí)踐性的方法掃描分析網(wǎng)絡(luò)系統(tǒng),檢查報(bào)告系統(tǒng)存在的弱點(diǎn)和漏洞,建議補(bǔ)救措施和安全策略,根據(jù)掃描結(jié)果配置或修改網(wǎng)絡(luò)系統(tǒng),達(dá)到增強(qiáng)網(wǎng)絡(luò)安全性的目的。操作系統(tǒng)安全掃描系統(tǒng)是從操作系統(tǒng)的角度,以管理員的身份對(duì)獨(dú)立的系統(tǒng)主機(jī)的安全性進(jìn)行評(píng)估分析,找出用戶系統(tǒng)配置、用戶配置的安全弱點(diǎn),并建議補(bǔ)救措施。安全認(rèn)證對(duì)待安全要求級(jí)別高的企業(yè),在解決網(wǎng)絡(luò)安全問(wèn)題肯定要配備加密系統(tǒng),由于要加密就涉及到密鑰,則密鑰的產(chǎn)生、頒發(fā)與管理就存在安全性。密鑰的發(fā)放經(jīng)過(guò)發(fā)放證書(shū)來(lái)實(shí)現(xiàn)。病毒防護(hù)病毒的防護(hù)經(jīng)過(guò)防病毒系統(tǒng)來(lái)實(shí)現(xiàn),應(yīng)用服務(wù)器操作系統(tǒng)一般都采用UNIX或類UNIX操作系統(tǒng),而辦公網(wǎng)絡(luò)都為Windows系統(tǒng),因此,防范病毒的入侵,就應(yīng)該根據(jù)具體的系統(tǒng)類型,配置相應(yīng)的、最新的防病毒系統(tǒng)。從單機(jī)到網(wǎng)絡(luò)實(shí)現(xiàn)全網(wǎng)的病毒安全防護(hù)體系,病毒無(wú)論從外部網(wǎng)絡(luò)還是從內(nèi)部網(wǎng)絡(luò)中的某臺(tái)主機(jī)進(jìn)入網(wǎng)絡(luò)系統(tǒng),經(jīng)過(guò)防病毒軟件的實(shí)時(shí)檢測(cè)功能,將會(huì)把病毒扼殺在發(fā)起處,防止病毒的擴(kuò)散。加密傳輸要保護(hù)數(shù)據(jù)在傳輸過(guò)程中不被泄露,保證用戶數(shù)據(jù)的機(jī)密性,必須對(duì)數(shù)據(jù)進(jìn)行加密。加密后,數(shù)據(jù)在傳輸過(guò)程中是以密文傳輸。信息鑒別保護(hù)數(shù)據(jù)的完整性、真實(shí)性、可靠性也是網(wǎng)絡(luò)系統(tǒng)安全防護(hù)的一個(gè)重要方面。數(shù)據(jù)在傳輸過(guò)程中存在著被非法竊取、篡改的安全威脅,為此,為了保證數(shù)據(jù)的完整性,就必須采用信息鑒別技術(shù)。數(shù)據(jù)源身份認(rèn)證也是信息鑒別的一種手段,它能夠確認(rèn)信息的來(lái)源的可靠性。數(shù)據(jù)源身份認(rèn)證的實(shí)現(xiàn)是經(jīng)過(guò)數(shù)字簽名技術(shù)。數(shù)字簽名基本原理是發(fā)送方利用自已的私鑰對(duì)信息進(jìn)行加密(簽名)后發(fā)送給對(duì)方,對(duì)方收到信息后用發(fā)送方的公鑰進(jìn)行解密,如果順利解成明文這說(shuō)明信息來(lái)源是可信的,否則證明信息來(lái)源是不可靠的。同時(shí)采用數(shù)字簽名技術(shù)達(dá)到防抵賴目的。管理安全網(wǎng)絡(luò)安全實(shí)現(xiàn)并不完全取決于技術(shù)手段,管理安全是網(wǎng)絡(luò)安全真正得以維系的重要保證。管理安全制度的制定、國(guó)家法律、法規(guī)的宣傳以及提高企業(yè)人員的整體網(wǎng)絡(luò)安全意識(shí)。安全服務(wù)網(wǎng)絡(luò)安全是動(dòng)態(tài)的、整體的,并不是簡(jiǎn)單的安全產(chǎn)品集成就解決問(wèn)題。隨著時(shí)間推移,新的安全風(fēng)險(xiǎn)又將隨著產(chǎn)生。因此,一個(gè)完整的安全解決方案還必須包括長(zhǎng)期的、與項(xiàng)目相關(guān)的信息安全服務(wù)。安全服務(wù)包括:全方位的安全咨詢、培訓(xùn);靜態(tài)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估。安全目標(biāo)保護(hù)網(wǎng)絡(luò)系統(tǒng)的可有性,保護(hù)網(wǎng)絡(luò)資源的合法使用性,防范入侵者的惡意攻擊與破壞,保護(hù)信息經(jīng)過(guò)網(wǎng)上傳輸?shù)臋C(jī)密性,完整性及不可抵賴性防范病毒的侵害,實(shí)現(xiàn)網(wǎng)絡(luò)的安全管理。數(shù)據(jù)庫(kù)系統(tǒng)安全設(shè)計(jì)系統(tǒng)容錯(cuò)、糾錯(cuò)處理系統(tǒng)的容錯(cuò)、糾錯(cuò)能力同樣是保證系統(tǒng)可靠運(yùn)行必不可少的一個(gè)因素,本系統(tǒng)在此提供以下幾個(gè)方面的支持:數(shù)據(jù)庫(kù)設(shè)計(jì)的容錯(cuò)和糾錯(cuò)在設(shè)計(jì)數(shù)據(jù)庫(kù)時(shí),設(shè)計(jì)了一套保證數(shù)據(jù)完整性、一致性的限制原則。可采用類型規(guī)定、主鍵、外鍵、缺省值、取值規(guī)則、觸發(fā)器等技術(shù)手段,使得在非法數(shù)據(jù)進(jìn)入時(shí),系統(tǒng)自動(dòng)進(jìn)行提示并根據(jù)所定義的規(guī)則自動(dòng)進(jìn)行糾錯(cuò)處理,保證進(jìn)入數(shù)據(jù)庫(kù)數(shù)據(jù)的完整性和一致性。數(shù)據(jù)錄入的容錯(cuò)和糾錯(cuò)系統(tǒng)除提供了數(shù)據(jù)的標(biāo)準(zhǔn)錄入格式外,還提供了容錯(cuò)和糾錯(cuò)功能,對(duì)錄入的信息,限定其格式,對(duì)錄入的內(nèi)容,按定義的規(guī)則,檢查其合法性。操作員一旦錄入非法數(shù)據(jù),系統(tǒng)則給予及時(shí)糾正或提示重新錄入,只有正確的數(shù)據(jù)方可進(jìn)入數(shù)據(jù)庫(kù),把錯(cuò)誤排除在最前端。數(shù)據(jù)備份與恢復(fù)策略數(shù)據(jù)的備份在保證系統(tǒng)的高可用性方面是必不可少的,本方案采取如下備份策略。數(shù)據(jù)備份1、日常脫機(jī)備份盡管采取磁盤(pán)陣列系統(tǒng)保證數(shù)據(jù)的冗余備份,對(duì)保證系統(tǒng)的不間斷運(yùn)行起到了關(guān)鍵作用,可是,硬件系統(tǒng)(比如磁盤(pán))總是不能完全排除故障的可能性,因而,數(shù)據(jù)還應(yīng)進(jìn)行脫機(jī)保存,即定時(shí)地經(jīng)過(guò)磁帶將系統(tǒng)數(shù)據(jù)導(dǎo)出,可進(jìn)一步提高數(shù)據(jù)的可用性。系統(tǒng)備份策略依據(jù)數(shù)據(jù)的更新頻率、數(shù)據(jù)量和數(shù)據(jù)的重要性而定,本系統(tǒng)中推薦使用如下備份策略:周一:數(shù)據(jù)的完全備份。即將數(shù)據(jù)庫(kù)中的數(shù)據(jù)全部導(dǎo)入磁帶,包括原始數(shù)據(jù)和日志,保存兩周時(shí)間。周二至周五:備份數(shù)據(jù)庫(kù)的日志文件?？商岣邆浞菟俣?當(dāng)這期間數(shù)據(jù)損壞時(shí),只需將日志文件依照時(shí)間順序依次導(dǎo)入,這樣就可將系統(tǒng)恢復(fù)到前一天的狀態(tài),能夠看出,存放日志的磁帶至少保存一周時(shí)間。依據(jù)上述策略,需準(zhǔn)備兩盤(pán)磁帶作完全備份用,四盤(pán)作日志備份用。兩周后將磁帶數(shù)據(jù)全部翻新,即完全備份數(shù)據(jù)庫(kù)。當(dāng)然,若磁帶足夠多,也可一個(gè)月進(jìn)行一次數(shù)據(jù)翻新,視具體情況定。2、在線網(wǎng)絡(luò)備份數(shù)據(jù)備份采用在線的網(wǎng)絡(luò)存貯備份,即每日夜間系統(tǒng),自動(dòng)將當(dāng)日采集和生成的數(shù)據(jù)、報(bào)表等備份到網(wǎng)絡(luò)存貯系統(tǒng)中,需要調(diào)用時(shí),局域網(wǎng)上任一授權(quán)用戶,經(jīng)過(guò)所設(shè)置的權(quán)限能夠從本人工作站上直接調(diào)用。3、異地檔案性備份為保證其永久性和容錯(cuò)性,建議經(jīng)過(guò)磁帶機(jī),按1次/季作定期檔案性質(zhì)的備份,并異地存放。定期文件備份因本系統(tǒng)數(shù)據(jù)服務(wù)中可能保存有音視頻及文本文件,這些文件是將來(lái)系統(tǒng)工作質(zhì)量考核、評(píng)價(jià)、工作處理是否及時(shí)、準(zhǔn)確的重要憑證。因此,要求定期將文件備份出來(lái),長(zhǎng)期保存。建議備份周期:1次/每季度。應(yīng)用系統(tǒng)安全設(shè)計(jì)整個(gè)環(huán)境監(jiān)控報(bào)警聯(lián)動(dòng)系統(tǒng)的安全解決方案在應(yīng)用系統(tǒng)級(jí)的管理可分為三個(gè)方面:用戶空間的規(guī)劃和管理資源空間的規(guī)劃和管理授權(quán)策略的規(guī)劃和管理用戶空間的規(guī)劃和管理當(dāng)前,由于環(huán)境監(jiān)控報(bào)警聯(lián)動(dòng)系統(tǒng)涉及到不同的業(yè)務(wù)部門(mén),本系統(tǒng)對(duì)用戶身份的管理采用集中管理原則,用戶身份的集中管理能夠很好地統(tǒng)一用戶空間,從而大大減輕應(yīng)用系統(tǒng)管理員的工作。在用戶空間的規(guī)劃管理中,我們建議采取多級(jí)用戶規(guī)劃模式,對(duì)應(yīng)用系統(tǒng)中的重要部分建議采用硬件密鑰加密措施。資源空間的規(guī)劃和管理本節(jié)方案中,我們將主要針對(duì)環(huán)境監(jiān)控報(bào)警聯(lián)動(dòng)系統(tǒng)的服務(wù)器提供應(yīng)用層安全管理措施。根據(jù)功能子網(wǎng)規(guī)劃策略,PROXY服務(wù)器將放置在DMZ(網(wǎng)絡(luò)?；饏^(qū))區(qū)域內(nèi)。我們建議,能夠?qū)ROXY服務(wù)器作為受保護(hù)的應(yīng)用服務(wù)資源,由安全管理平臺(tái)進(jìn)行集中統(tǒng)一管理。授權(quán)策略的規(guī)劃和管理概括的講,環(huán)境監(jiān)控報(bào)警聯(lián)動(dòng)系統(tǒng)的應(yīng)用系統(tǒng)級(jí)安全管理的授權(quán)策略規(guī)劃如下:從管理角度來(lái)看,安全管理要體現(xiàn)出企業(yè)信息安全平臺(tái)的管理模式:落實(shí)專門(mén)的安全管理部門(mén);由安全管理部門(mén)制定并實(shí)施企業(yè)信息平臺(tái)的安全管理策略;從用戶角度來(lái)看:用戶帳號(hào)的統(tǒng)一管理;統(tǒng)一的用戶身份識(shí)別,采用CA認(rèn)證體制,預(yù)留和試驗(yàn)院門(mén)戶接口;從資源角度來(lái)看,要實(shí)現(xiàn)資源的分布配置和統(tǒng)一的資源目錄管理;從第三方應(yīng)用的角度來(lái)看:要為第三方應(yīng)用提供安全強(qiáng)度一致的安全管理服務(wù);要與第三方已有的安全服務(wù)無(wú)縫集成。從維護(hù)的角度看,要有友好的圖形界面,易于配置和維護(hù);安全的加密日志文件,防止否認(rèn)。環(huán)境監(jiān)控報(bào)警聯(lián)動(dòng)系統(tǒng)數(shù)據(jù)安全設(shè)計(jì)數(shù)據(jù)安全需求首先,在設(shè)計(jì)安全的方案的時(shí)候應(yīng)該定義一個(gè)合乎安全需求的安全策略,安全策略涉及評(píng)定機(jī)構(gòu)中哪些信息是有價(jià)值的,決定誰(shuí)將使用它們以及如何保證它們的安全。它驅(qū)動(dòng)安全性需求,決定需要什么技術(shù),并定義使整體風(fēng)險(xiǎn)降低到最小程度的最佳方法和程序。一個(gè)整體的安全性方案將會(huì)使復(fù)雜系統(tǒng)環(huán)境下安全性漏洞所帶來(lái)的風(fēng)險(xiǎn)降低到最小,主要從以下一些標(biāo)準(zhǔn)來(lái)選擇合適的安全產(chǎn)品:1) 對(duì)業(yè)界安全標(biāo)準(zhǔn)的支持。2) 是否提供端到端的安全解決方案,在多層架構(gòu)中,從瀏覽器到應(yīng)用服務(wù)器,從應(yīng)用服務(wù)器到數(shù)據(jù)庫(kù)服務(wù)器每一段都提供安全支持。3) 數(shù)據(jù)安全需要特殊關(guān)注,許多應(yīng)用經(jīng)過(guò)同一個(gè)用戶名和密碼來(lái)訪問(wèn)數(shù)據(jù)庫(kù),這種方式有潛在的數(shù)據(jù)風(fēng)險(xiǎn),因?yàn)橹缿?yīng)用服務(wù)器連接密碼的人能夠直接連接到數(shù)據(jù)庫(kù)查看所有的數(shù)據(jù)。4) 對(duì)IT系統(tǒng)管理人員的防范,一般系統(tǒng)都有系統(tǒng)的超級(jí)管理人員,這些人員的權(quán)限能夠讓她們能夠看到所有的數(shù)據(jù),因此如何限制這些人員查看數(shù)據(jù)的權(quán)限也是一個(gè)需要考慮的問(wèn)題。5) 加密對(duì)系統(tǒng)性能的影響,一般系統(tǒng)都存在使用各種算法對(duì)數(shù)據(jù)進(jìn)行加密的功能,這種方法帶來(lái)的一個(gè)潛在的問(wèn)題是在加密的數(shù)據(jù)列上將不能正確使用索引,會(huì)對(duì)性能帶來(lái)較大的影響。數(shù)據(jù)安全設(shè)計(jì)系統(tǒng)必須存在細(xì)粒度的安全控制,安全的授權(quán)只能基于這些粒度上進(jìn)行,如數(shù)據(jù)行級(jí)安全、列級(jí)安全。授予每一個(gè)用戶所需要的最小權(quán)限,比如一個(gè)區(qū)域用戶只能夠看到本地區(qū)的數(shù)據(jù),而不能看到所有地區(qū)的數(shù)據(jù),一個(gè)系統(tǒng)管理員只能夠管理系統(tǒng)的啟動(dòng),停止,備份,恢復(fù),而不能夠查看敏感數(shù)據(jù),這些都是基于最小權(quán)限原則。數(shù)據(jù)安全方案主要集中在4A設(shè)計(jì),即認(rèn)證(Authentication)、授權(quán)(Authorization)、訪問(wèn)控制(AccessControl)、審計(jì)(Audit)四個(gè)方面。1) 認(rèn)證數(shù)據(jù)系統(tǒng)的認(rèn)證除了提供傳統(tǒng)的用戶名、密碼驗(yàn)證方式,還需要支持多種業(yè)界安全認(rèn)證標(biāo)準(zhǔn)的多種方式,這樣才能在端到端的應(yīng)用環(huán)境下提供一致性的安全保障如支持基于數(shù)字證書(shū)的認(rèn)證,支持基于kerberos,RADIUS認(rèn)證方式,支持基于LDAP的認(rèn)證。對(duì)于流行的多層應(yīng)用結(jié)構(gòu),能夠考慮經(jīng)過(guò)代理認(rèn)證等方式增強(qiáng)了三層安全。一個(gè)可擴(kuò)展的、安全的應(yīng)用程序角色能夠強(qiáng)制用戶只能經(jīng)過(guò)中間層訪問(wèn)數(shù)據(jù)庫(kù),即使應(yīng)用服務(wù)器用同一個(gè)用戶和密碼訪問(wèn)數(shù)據(jù)庫(kù),依然能夠?qū)Σ煌膽?yīng)用用戶維護(hù)不同的數(shù)據(jù)權(quán)限,從而實(shí)現(xiàn)應(yīng)用層和數(shù)據(jù)層的統(tǒng)一權(quán)限管理。結(jié)果是在應(yīng)用程序的所有層中安全地維護(hù)用戶身份,將用戶和權(quán)限管理集中在基于LDAP的目錄中。2) 授權(quán)對(duì)數(shù)據(jù)的授權(quán)經(jīng)過(guò)維護(hù)系統(tǒng)權(quán)限,數(shù)據(jù)權(quán)限,角色權(quán)限三級(jí)結(jié)構(gòu)來(lái)實(shí)現(xiàn)。且角色形成樹(shù)形結(jié)構(gòu),且能動(dòng)態(tài)生效或無(wú)效,從而實(shí)現(xiàn)動(dòng)態(tài)的權(quán)限處理。所謂系統(tǒng)權(quán)限是指對(duì)數(shù)據(jù)庫(kù)系統(tǒng)及數(shù)據(jù)結(jié)構(gòu)的操作權(quán),例如創(chuàng)立/刪除數(shù)據(jù)表、數(shù)據(jù)索引、觸發(fā)子、數(shù)據(jù)鏈路、同義詞等。所謂數(shù)據(jù)權(quán)限是指用戶對(duì)數(shù)據(jù)的操作權(quán),如查詢、更新、完整性約束等,并可將訪問(wèn)權(quán)限控制在字段級(jí)。所謂角色權(quán)限是把幾個(gè)相關(guān)的權(quán)限組織成角色,角色之間能夠進(jìn)一步組合而成為一棵層次樹(shù),以對(duì)應(yīng)于現(xiàn)實(shí)世界中的行政職位。角色權(quán)限除了限制操作權(quán)、控制權(quán)外,還能限制執(zhí)行某些應(yīng)用程序的權(quán)限。角色還能動(dòng)態(tài)地生效或無(wú)效,從而實(shí)現(xiàn)動(dòng)態(tài)的安全控制。這樣的安全控制體系,使得整個(gè)系統(tǒng)的管理人員及程序開(kāi)發(fā)人員能靈活控制系統(tǒng)命令的運(yùn)行、數(shù)據(jù)的操作以及應(yīng)用程序的執(zhí)行,使數(shù)據(jù)機(jī)應(yīng)用程序得到很好的保護(hù)。3) 訪問(wèn)控制傳統(tǒng)數(shù)據(jù)庫(kù)在傳統(tǒng)上是在表和列的級(jí)別上分配權(quán)限,而不會(huì)控制在單獨(dú)的記錄或更低的級(jí)別,這種控制往往是經(jīng)過(guò)在應(yīng)用級(jí)的應(yīng)用代碼來(lái)取得更精細(xì)的訪問(wèn)控制。這樣的缺點(diǎn)是用戶能夠利用應(yīng)用之外的方式,如特別的查詢工具等訪問(wèn)數(shù)據(jù)庫(kù),就能夠繞過(guò)安全性設(shè)置。經(jīng)過(guò)采用將一個(gè)特殊的標(biāo)簽添加到數(shù)據(jù)行中,能夠提供復(fù)雜而靈活的標(biāo)簽安全來(lái)解決這種應(yīng)用/數(shù)據(jù)安全不一致帶來(lái)的各種問(wèn)題。標(biāo)簽安全是基于政府和防御組織用來(lái)保護(hù)敏感信息和提供數(shù)據(jù)分隔的標(biāo)注概念。應(yīng)用程序托管和其它行業(yè)也能夠利用數(shù)據(jù)標(biāo)注來(lái)幫助解決Internet時(shí)代的安全要求。例如,在應(yīng)用程序托管中,預(yù)訂者標(biāo)簽可用來(lái)分隔同一應(yīng)用程序中的預(yù)訂者的數(shù)據(jù)。在數(shù)據(jù)庫(kù)中強(qiáng)制執(zhí)行標(biāo)簽安全,即使繞過(guò)應(yīng)用程序直接訪問(wèn)數(shù)據(jù)庫(kù)也會(huì)提供相同的數(shù)據(jù)安全。標(biāo)簽提供了一種使用現(xiàn)有的應(yīng)用程序數(shù)據(jù)不易達(dá)到的訪問(wèn)控制維。4) 審計(jì)審計(jì)是普遍使用的檢驗(yàn)安全方案的安全性機(jī)制,它能夠保證系統(tǒng)的合法用戶能完成她們應(yīng)該從事的工作,同時(shí)又能夠限制她們對(duì)權(quán)限的濫用。經(jīng)過(guò)審計(jì),企業(yè)能夠跟蹤用戶的活動(dòng),從而發(fā)現(xiàn)安全性的漏洞。而且,用戶如果知道她們正受到跟蹤,她們也不愿意濫用她們的權(quán)限。因?yàn)閭鹘y(tǒng)的審核將產(chǎn)生極大量的數(shù)據(jù),因此也很難發(fā)現(xiàn)其中有用的信息,往往是最后出現(xiàn)安全事件的時(shí)候再去查找審計(jì)記錄。審計(jì)方案一方面要對(duì)于敏感數(shù)據(jù)的各種訪問(wèn)如查看,修改等操作進(jìn)行審計(jì),一方面也能夠基于各種具體的值來(lái)進(jìn)行,這種精細(xì)審計(jì)的好處一是維護(hù)了數(shù)據(jù)的完整性,二是不會(huì)生成大量的審計(jì)記錄,從而能夠在保持系統(tǒng)的完整審計(jì)的時(shí)候而又不至于影響系統(tǒng)的性能和生成額外的審計(jì)記錄。數(shù)據(jù)傳輸?shù)陌踩珨?shù)據(jù)安全不但僅包含了數(shù)據(jù)的存儲(chǔ)的安全和訪問(wèn)的安全,還包含數(shù)據(jù)在傳輸過(guò)程中進(jìn)行簽名和加密。敏感的數(shù)據(jù)不論是互聯(lián)網(wǎng)還是在一個(gè)組織的內(nèi)聯(lián)網(wǎng)等網(wǎng)絡(luò)中的明文傳輸都是易于受到竊取和攻擊的。能夠經(jīng)過(guò)在數(shù)據(jù)傳輸上提供端到端的安全解決方案來(lái)解決傳輸上的安全問(wèn)題。無(wú)論是從瀏覽器到應(yīng)用服務(wù)器之間,還是從應(yīng)用服務(wù)器到數(shù)據(jù)庫(kù)之間,對(duì)于敏感數(shù)據(jù)都需要經(jīng)過(guò)加密數(shù)據(jù)來(lái)保障敏感數(shù)據(jù)的安全傳輸這主要是經(jīng)過(guò)以下兩個(gè)方面來(lái)解決:1) 加密數(shù)據(jù),使被傳送的數(shù)據(jù)隱藏;2) 維護(hù)數(shù)據(jù)的完整性,確保數(shù)據(jù)在傳輸過(guò)程中不被改變;加密功能將所有的明碼文本數(shù)據(jù)轉(zhuǎn)化為密碼文本。一旦被加密,密碼文本將以密碼的方式在網(wǎng)絡(luò)中傳遞,在這種方式中,如果沒(méi)有正確的鑰匙鍵就幾乎不可能把密碼文本轉(zhuǎn)換回相應(yīng)的純文本。這些加密服務(wù)能夠防止那些能夠訪問(wèn)你的網(wǎng)絡(luò)的人偷窺你的數(shù)據(jù)。一般使用工業(yè)標(biāo)準(zhǔn)的加密技術(shù)對(duì)數(shù)據(jù)進(jìn)行加密。如DES或者TripleDES(3DES,2Key和3Key)RC4(40-,56-,128-,256-)根據(jù)不同的安全要求和環(huán)境能夠選擇不同強(qiáng)度的加密算法和選擇鑰匙鍵的長(zhǎng)度。鑰匙鍵的長(zhǎng)度越長(zhǎng),將會(huì)產(chǎn)生更強(qiáng)大的加密。如56位鑰匙鍵的標(biāo)準(zhǔn)DES,40位鑰匙鍵的DES。也能夠選擇112位鑰匙鍵的2-keyTripleDES和168位鑰匙鍵的3-keyTripleDES?；蛘咛峁в?56-,128-,56-和40-位鑰匙鍵的RSADataSecurityInc.的RC4等不同算法。數(shù)據(jù)加密為了防止超級(jí)用戶或其它非法用戶查看數(shù)據(jù)庫(kù)里的敏感數(shù)據(jù),能夠采取對(duì)數(shù)據(jù)存儲(chǔ)里的敏感數(shù)據(jù)進(jìn)行加密的方式來(lái)解決,傳統(tǒng)的數(shù)據(jù)加密方式對(duì)于敏感的數(shù)據(jù)列進(jìn)行加密處理來(lái)在防止敏感數(shù)據(jù)外泄的同時(shí),也帶來(lái)一個(gè)很大的問(wèn)題,即在加密列上建立的索引將沒(méi)有任何用處,這樣對(duì)于SQL語(yǔ)句的處理將帶來(lái)較大的處理上的麻煩,針對(duì)該列的查詢將不能使用索引,從而降低了處理的性能,經(jīng)過(guò)使用透明數(shù)據(jù)加密技術(shù),除非擁有密匙,一般用戶無(wú)法看到敏感數(shù)據(jù),可是數(shù)據(jù)庫(kù)的處理依然能夠使用基于該列的索引進(jìn)行處理,從而在保障了數(shù)據(jù)的安全的同時(shí),又能夠同時(shí)維護(hù)很好的性能。數(shù)據(jù)展現(xiàn)層安全數(shù)據(jù)展現(xiàn)層作為前端業(yè)務(wù)用戶直接使用的分析應(yīng)用,需要能夠提供各級(jí)的安全權(quán)限控制,以保證各個(gè)不同級(jí)別的業(yè)務(wù)人員只能看到同自己職責(zé)相關(guān)的數(shù)據(jù)和信息,執(zhí)行和自己職位相關(guān)的各項(xiàng)操作,最終保證數(shù)據(jù)和信息的機(jī)密性、安全性和可控性。數(shù)據(jù)展現(xiàn)層的安全權(quán)限控制一般必須具備下列功能:1) 用戶組和用戶的定義數(shù)據(jù)展現(xiàn)層能夠根據(jù)不同的用戶職責(zé)和部門(mén)職責(zé)創(chuàng)立不同的用戶和用戶組,以滿足特定人員和特定部門(mén)的數(shù)據(jù)分析需求。用戶能夠被指派到相應(yīng)的用戶組,不同的用戶組之間也能夠相互指派,也就是說(shuō)不同的用戶組之間能夠存在相應(yīng)的繼承關(guān)系。關(guān)于用戶和用戶組的定義,為了便于管理,一般遵循下列的指導(dǎo)原則:賦予每個(gè)用戶最小的權(quán)限;賦予每個(gè)用戶組相應(yīng)的權(quán)限,每個(gè)用戶的權(quán)限直接由用戶組繼承獲得;必須明確具有繼承關(guān)系的用戶和用戶組之間以及用戶組和用戶組發(fā)生權(quán)限沖突的解決原則;2) 分析對(duì)象的訪問(wèn)控制在環(huán)境監(jiān)控報(bào)警聯(lián)動(dòng)系統(tǒng)應(yīng)用中,會(huì)存在各類不同的分析對(duì)象,必須能夠明確定義用戶或用戶組對(duì)這些對(duì)象的訪問(wèn)控制。一般來(lái)說(shuō),對(duì)象的訪問(wèn)控制指對(duì)象整體的可見(jiàn)性:該分析對(duì)象,如報(bào)表是否對(duì)某用戶或用戶組可見(jiàn)。對(duì)象內(nèi)部的訪問(wèn)控制行級(jí)控制:對(duì)于不同的用戶或用戶組權(quán)限,能夠?qū)π屑?jí)進(jìn)行嚴(yán)格控制。列級(jí)控制:對(duì)于不同的用戶或用戶組權(quán)限,能夠?qū)α屑?jí)進(jìn)行嚴(yán)格控制。3) 分析功能的控制在環(huán)境監(jiān)控報(bào)警聯(lián)動(dòng)系統(tǒng)中,對(duì)于不同等級(jí)的用戶,必須控制用戶能夠使用的分析功能。一般來(lái)說(shuō),主要會(huì)涉及到下列的功能:創(chuàng)立分析對(duì)象(如報(bào)表、圖表、智能預(yù)警、過(guò)濾器、Dashboard等);格式化分析對(duì)象;刪除分析對(duì)象;查看分析對(duì)象;管理權(quán)限;4) 管理控制該部分屬于高級(jí)權(quán)限控制,可是對(duì)于一個(gè)完善的環(huán)境監(jiān)控報(bào)警聯(lián)動(dòng)系統(tǒng)應(yīng)用則非常重要。一般管理控制需要考慮到下列的因素:查詢?cè)吹墓芾砜刂?盡管一般在業(yè)務(wù)層和展現(xiàn)層能夠?qū)Ψ治鰧?duì)象進(jìn)行控制,如果開(kāi)發(fā)人員或維護(hù)人員能夠直接定義用戶或用戶組訪問(wèn)的數(shù)據(jù)源,就能夠進(jìn)一步的限制用戶的訪問(wèn),真正做到數(shù)據(jù)和信息的保密性、安全性和可控性。查詢限制管理:為了保證系統(tǒng)的性能,管理員需要對(duì)用戶或用戶組執(zhí)行的查詢進(jìn)行限制,以避免個(gè)別用戶運(yùn)行大數(shù)據(jù)量的查詢而影響整個(gè)系統(tǒng)的性能。最大返回記錄數(shù):環(huán)境監(jiān)控報(bào)警聯(lián)動(dòng)系統(tǒng)會(huì)對(duì)用戶或用戶組發(fā)出的查詢請(qǐng)求所返回的記錄數(shù)作限制,避免對(duì)系統(tǒng)造成多大壓力造成系統(tǒng)反應(yīng)速度緩慢。如果超過(guò)限定值,則終止該查詢。最大查詢運(yùn)行時(shí)間:環(huán)境監(jiān)控報(bào)警聯(lián)動(dòng)系統(tǒng)應(yīng)對(duì)用戶或用戶組發(fā)出的查詢請(qǐng)求所花費(fèi)的時(shí)間進(jìn)行限制,如果超過(guò)限定,該session將會(huì)過(guò)期,終止本次操作。

系統(tǒng)性能設(shè)計(jì)環(huán)境監(jiān)控報(bào)警聯(lián)動(dòng)系統(tǒng)作為綜合信息平臺(tái),集項(xiàng)目發(fā)布、項(xiàng)目管理、數(shù)據(jù)展示、權(quán)限管理等功能于一體。因此要求整個(gè)系統(tǒng)具有良好的性能以及良好的擴(kuò)充性和開(kāi)放性。從整體結(jié)構(gòu)上來(lái)講,系統(tǒng)的硬件平臺(tái)方面的基礎(chǔ)物理網(wǎng)絡(luò)、硬件服務(wù)器集群,到軟件平臺(tái)方面的數(shù)據(jù)庫(kù)系統(tǒng)、業(yè)務(wù)邏輯中間件、應(yīng)用集成中間件,直至構(gòu)架與其上的各個(gè)應(yīng)用系統(tǒng),都不應(yīng)該出現(xiàn)性能上的瓶頸。下面,我們從指標(biāo)數(shù)據(jù)處理性能、系統(tǒng)的可用性和可靠性、系統(tǒng)的可擴(kuò)展性、系統(tǒng)運(yùn)行監(jiān)控等幾個(gè)方面對(duì)整體系統(tǒng)的性能進(jìn)行分析。信息數(shù)據(jù)方面對(duì)系統(tǒng)的性能要求體現(xiàn)為以下幾個(gè)方面:(1)高可靠性:經(jīng)過(guò)內(nèi)置式失敗恢復(fù)、負(fù)載平衡、集群支持和高可用性等技術(shù)以保證系統(tǒng)的連續(xù)可用性。經(jīng)過(guò)應(yīng)用服務(wù)器集群的方式,能夠?qū)崿F(xiàn)本系統(tǒng)的高可靠性,在一些服務(wù)器發(fā)生故障的時(shí)候,剩余的服務(wù)器能自動(dòng)把工作接管過(guò)來(lái),保證系統(tǒng)的正常運(yùn)轉(zhuǎn)。而且,經(jīng)過(guò)這種方式,還能在多臺(tái)服務(wù)器之間實(shí)現(xiàn)負(fù)載均衡,提高系統(tǒng)的整體性能。(2)安全性:所有用戶可經(jīng)過(guò)瀏覽器獲取所需信息。用戶一次用戶登錄就可完成授權(quán)管理和身份的有效期控制,最大程度地方便操作。支持用戶認(rèn)證授權(quán)等功能,保證了系統(tǒng)的安全性。隔離了用戶和業(yè)務(wù)數(shù)據(jù)庫(kù),杜絕了傳統(tǒng)模式中客戶機(jī)程序被盜用和可能被惡意跟蹤、反編譯的危險(xiǎn)。應(yīng)用中間件平臺(tái)方面完全支持集群(Cluster)技術(shù),包括對(duì)Servlet和所有類型EJB的集群支持,并支持內(nèi)存復(fù)制和數(shù)據(jù)庫(kù)復(fù)制技術(shù)完全支持J2EE標(biāo)準(zhǔn),其中包括JSP、Servlet、JDBC、EJB、RMI、RMI/IIOP、JTA/JTS、JMS、JNDI、JMX等支持JavaConnector規(guī)范,方便和現(xiàn)有應(yīng)用的集成最全面實(shí)現(xiàn)EnterpriseJavaBeans1.1技術(shù)規(guī)范,其中包括SessionBean和EntityBeans等可選服務(wù),并支持EJB2.0規(guī)范為EnterpriseJavaBeans的創(chuàng)立和管理提供輔助工具,能夠允許定制業(yè)務(wù)組件支持HTTP/HTTPS協(xié)議與X.509數(shù)字證書(shū),內(nèi)置了WebServer,也可外掛主流的WebServer,如Apache、IIS和NetscapeEnterpriseServer(iPlanet)支持基于XML的WebService,包括SOAP、WSDL和UDDI等,能夠方便地和基于其它技術(shù),如Microsoft.NET的系統(tǒng)互操作為流行的各大數(shù)據(jù)庫(kù)提供持久性支持,并支持經(jīng)過(guò)兩階段提交確保全局事務(wù)的完整性支持經(jīng)過(guò)瀏覽器部署和管理應(yīng)用,并確保可伸縮性、高可用性和安全性方便地與業(yè)界領(lǐng)先的數(shù)據(jù)庫(kù)連接利用集成的關(guān)鍵Web服務(wù)開(kāi)放標(biāo)準(zhǔn)和UDDI注冊(cè)表來(lái)部署強(qiáng)大的Web服務(wù)完全兼容J2EE,包括面向企業(yè)的Java消息服務(wù)提供一個(gè)先進(jìn)的富含安全性的基礎(chǔ)架構(gòu),插件式體系架構(gòu)便于進(jìn)行擴(kuò)展提供強(qiáng)大的跨平臺(tái)支持和多種配置選項(xiàng),增加了靈活性利用一個(gè)集成的基于開(kāi)放標(biāo)準(zhǔn)的開(kāi)發(fā)環(huán)境,增強(qiáng)了開(kāi)發(fā)人員的效率分布式工作負(fù)載和緩存功能便于智能優(yōu)化性能利用復(fù)雜的群集和負(fù)載均衡功能增強(qiáng)應(yīng)用的可用性動(dòng)態(tài)JDBC池J2EE應(yīng)用服務(wù)器提供動(dòng)態(tài)JDBC池,能夠動(dòng)態(tài)創(chuàng)立、修