基礎(chǔ)運(yùn)行環(huán)境建設(shè)方案

PAGE33基礎(chǔ)運(yùn)行環(huán)境建設(shè)方案項(xiàng)目現(xiàn)狀基礎(chǔ)運(yùn)行環(huán)境現(xiàn)狀XXXX信息化系統(tǒng)將根據(jù)XXXX電子政務(wù)網(wǎng)絡(luò)平臺(tái)建設(shè)的統(tǒng)一規(guī)劃和本期工程實(shí)際需求建設(shè)。XXXX電子政務(wù)網(wǎng)絡(luò)平臺(tái)包括XXXX網(wǎng)絡(luò)中心、京內(nèi)非本院區(qū)內(nèi)各所局域網(wǎng)、京外各所局域網(wǎng)，如上圖所示，院內(nèi)各所通過(guò)現(xiàn)有光纖連入院網(wǎng)絡(luò)中心，京內(nèi)非本院區(qū)內(nèi)各所和京外各所通過(guò)在互聯(lián)網(wǎng)建立VPN加密通道的方式接入院網(wǎng)絡(luò)中心，在XXXX信息化項(xiàng)目的三個(gè)應(yīng)用系統(tǒng)中，所有的數(shù)據(jù)均通過(guò)XXXX局域網(wǎng)和互聯(lián)網(wǎng)來(lái)傳輸。本期工程重點(diǎn)建設(shè)院網(wǎng)絡(luò)中心核心交換區(qū)及互聯(lián)網(wǎng)接入?yún)^(qū)域。院網(wǎng)絡(luò)中心服務(wù)器及網(wǎng)絡(luò)設(shè)備現(xiàn)狀如下圖所示：系統(tǒng)用戶范圍XXXX信息化系統(tǒng)用戶大致分以下三類：1、外網(wǎng)用戶。外網(wǎng)用戶對(duì)系統(tǒng)的訪問(wèn)主要集中在教育資源管理與遠(yuǎn)程教育服務(wù)子系統(tǒng)和農(nóng)業(yè)科技文獻(xiàn)資源共享子系統(tǒng)兩個(gè)方面。由于外網(wǎng)用戶具有不確定性，根據(jù)用戶對(duì)教育資源信息和農(nóng)業(yè)科技資源信息的實(shí)際需求，預(yù)計(jì)項(xiàng)目建成后，外網(wǎng)用戶對(duì)兩個(gè)子系統(tǒng)的日均訪問(wèn)量將分別達(dá)到4500人次和9000人次。外網(wǎng)用戶訪問(wèn)次數(shù)約為每年500萬(wàn)；2、注冊(cè)用戶。注冊(cè)用戶是指注冊(cè)使用XXXX信息化系統(tǒng)的用戶，根據(jù)對(duì)院人事局的調(diào)研，預(yù)計(jì)本項(xiàng)目建成后，注冊(cè)用戶總計(jì)約為11000人，其中：京內(nèi)注冊(cè)用戶約為6500人，京外注冊(cè)用戶約為4500人；3、京內(nèi)外院所非注冊(cè)用戶。是指基于IP約束可以訪問(wèn)XXXX信息化系統(tǒng)的用戶，根據(jù)對(duì)院人事局的調(diào)研，大約10000人?，F(xiàn)有可利用設(shè)備情況XXXX院內(nèi)網(wǎng)目前設(shè)備頭用運(yùn)行情況如下：項(xiàng)目需求分析服務(wù)器系統(tǒng)需求（1）數(shù)據(jù)庫(kù)服務(wù)器本工程所配置核心數(shù)據(jù)區(qū)數(shù)據(jù)庫(kù)服務(wù)器主要用于科研項(xiàng)目與科研條件管理子系統(tǒng)、農(nóng)業(yè)科研儀器設(shè)備信息共享與服務(wù)子系統(tǒng)、電子政務(wù)子系統(tǒng)、人力資源管理子系統(tǒng)、綜合財(cái)務(wù)管理與監(jiān)督子系統(tǒng)、基本建設(shè)項(xiàng)目管理子系統(tǒng)運(yùn)行所需完成的各類數(shù)據(jù)處理工作。為合理選擇數(shù)據(jù)庫(kù)服務(wù)器的技術(shù)指標(biāo)，以下采用業(yè)界較為通用的方法對(duì)數(shù)據(jù)庫(kù)服務(wù)器的計(jì)算能力進(jìn)行初步估算。（1）計(jì)算公式根據(jù)性能需求分析并基于TPC-C的經(jīng)驗(yàn)公式對(duì)數(shù)據(jù)庫(kù)服務(wù)器CPU性能要求進(jìn)行初步估算。其計(jì)算公式為：tpmC=TASK×Ct×S×F/[T×(1－C)]注：TASK為每日業(yè)務(wù)統(tǒng)計(jì)峰值交易量；Ct為交易日集中期內(nèi)交易量比例；T為每日峰值交易時(shí)間；S為實(shí)際業(yè)務(wù)交易操作相對(duì)于TPC-C測(cè)試基準(zhǔn)環(huán)境交易的復(fù)雜程度比例；C為主機(jī)CPU處理余量；F為系統(tǒng)未來(lái)5年的業(yè)務(wù)量發(fā)展冗余預(yù)留。（2）參數(shù)賦值原則及主要估算方法TASK值以主要業(yè)務(wù)操作的日均業(yè)務(wù)處理量為基數(shù)進(jìn)行計(jì)算，根據(jù)以下公式計(jì)算：TASK=日均業(yè)務(wù)處理量×平均每次訪問(wèn)對(duì)應(yīng)數(shù)據(jù)庫(kù)事務(wù)數(shù)×業(yè)務(wù)高峰期交易量與平均交易量的比值其中，數(shù)據(jù)庫(kù)服務(wù)器的日均業(yè)務(wù)處理量的估算方法如下：數(shù)據(jù)庫(kù)服務(wù)器主要需響應(yīng)的業(yè)務(wù)操作包括科研項(xiàng)目與科研條件管理、農(nóng)業(yè)科研儀器設(shè)備共享、日常辦公管理、人力資源管理、綜合財(cái)務(wù)管理與監(jiān)督、基本建設(shè)項(xiàng)目管理等六個(gè)方面，每個(gè)方面的業(yè)務(wù)量估算如下：科研項(xiàng)目與科研條件管理所產(chǎn)生的操作主要有：XXXX各直屬研究所工作人員每次申報(bào)科研項(xiàng)目引起的項(xiàng)目信息錄入操作、院機(jī)關(guān)工作人員每天查詢科研項(xiàng)目信息和科研條件信息的查詢操作。參考2009年全院科研項(xiàng)目數(shù)量為1000項(xiàng)，假設(shè)平均每個(gè)院所每天對(duì)每個(gè)項(xiàng)目的管理引起5次對(duì)數(shù)據(jù)庫(kù)的操作，即日操作量為210000次；農(nóng)業(yè)科研儀器設(shè)備共享所產(chǎn)生的操作主要有：XXXX各直屬研究所工作人員每次提交科研儀器設(shè)備租借、調(diào)用申請(qǐng)所引起的租用需求信息錄入操作，租用儀器設(shè)備所引起的操作確認(rèn)信息的錄入操作，儀器設(shè)備租借狀態(tài)查詢操作，以及儀器設(shè)備歸還所引起的租借注銷操作。假設(shè)平均每個(gè)研究所每天對(duì)農(nóng)業(yè)科研儀器共享引起10次對(duì)數(shù)據(jù)庫(kù)的操作，即日操作量為410次；日常辦公管理所產(chǎn)生的操作主要有：XXXX機(jī)關(guān)及各直屬研究所每次公文收發(fā)和日常管理所引起的操作。假設(shè)平均每個(gè)研究所每天的日常辦公引起10次對(duì)數(shù)據(jù)庫(kù)的操作，即日操作量為47210次；人力資源管理所產(chǎn)生的操作主要有：XXXX機(jī)關(guān)及各直屬研究所工作人員每天對(duì)人力資源信息的錄入、編輯和查詢操作。截止到2006年底，XXXX科技人員數(shù)量為4721人，假設(shè)平均每個(gè)研究所每天對(duì)每個(gè)XXXX員工信息進(jìn)行編輯和查詢引起2次對(duì)數(shù)據(jù)庫(kù)的操作，即日操作量為9442次；綜合財(cái)務(wù)管理與監(jiān)督所產(chǎn)生的操作主要有：XXXX機(jī)關(guān)及各直屬研究所用款計(jì)劃申報(bào)所引起的財(cái)務(wù)信息錄入。參考2009年全院科研項(xiàng)目數(shù)量為1000項(xiàng)，假設(shè)平均每個(gè)科研項(xiàng)目每天的財(cái)務(wù)信息申報(bào)引起10次對(duì)數(shù)據(jù)庫(kù)的操作，即日操作量為10000次?；窘ㄔO(shè)項(xiàng)目管理所產(chǎn)生的操作主要有：XXXX機(jī)關(guān)及各直屬研究所基建項(xiàng)目申報(bào)、審批及過(guò)程跟蹤所引起的基建項(xiàng)目信息錄入和查詢操作。參考2009年全院基建項(xiàng)目數(shù)量為1000項(xiàng)，假設(shè)平均每個(gè)基建項(xiàng)目每天的財(cái)務(wù)信息申報(bào)引起10次對(duì)數(shù)據(jù)庫(kù)的操作，即日操作量為10000次。根據(jù)相關(guān)經(jīng)驗(yàn)，其中平均每次訪問(wèn)對(duì)應(yīng)數(shù)據(jù)庫(kù)事務(wù)數(shù)約為20，業(yè)務(wù)高峰期交易量與平均交易量的比值按照各類業(yè)務(wù)操作的特點(diǎn)，按3～10倍取值，即較多日常作業(yè)的取值較低，突發(fā)業(yè)務(wù)量較高的取值較高；Ct值和T值分別依據(jù)不同系統(tǒng)用戶每天主要工作時(shí)段的長(zhǎng)度，以及主要工作時(shí)段內(nèi)完成操作量占每日總操作量的百分比來(lái)確定。主要工作時(shí)間長(zhǎng)度為T（分鐘），百分比即為Ct。根據(jù)相關(guān)經(jīng)驗(yàn)與科研管理業(yè)務(wù)特點(diǎn)，取T為360，Ct為經(jīng)驗(yàn)值70%；S值根據(jù)不同業(yè)務(wù)的復(fù)雜程度進(jìn)行確定，一般取10～20之間，其中一般查詢、數(shù)據(jù)修改操作取值較低，涉及到復(fù)合條件查詢、統(tǒng)計(jì)分析的操作取值較高；F值通過(guò)年增長(zhǎng)率計(jì)算獲得，年增長(zhǎng)量按10%估算；C值根據(jù)相關(guān)工程的經(jīng)驗(yàn)，并考慮將來(lái)其他業(yè)務(wù)系統(tǒng)的加載，取75%。（3）計(jì)算結(jié)果根據(jù)以上計(jì)算方法、取值原則對(duì)本項(xiàng)目所建各類系統(tǒng)的處理能力要求進(jìn)行計(jì)算，得出核心數(shù)據(jù)區(qū)數(shù)據(jù)庫(kù)服務(wù)器的TPMC值約為80萬(wàn)。（2）應(yīng)用服務(wù)器主要用于響應(yīng)B/S架構(gòu)下科研項(xiàng)目與科研條件管理子系統(tǒng)、電子政務(wù)子系統(tǒng)、人力資源管理子系統(tǒng)、綜合財(cái)務(wù)管理與監(jiān)督子系統(tǒng)、教育資源管理與遠(yuǎn)程教育服務(wù)子系統(tǒng)、基本建設(shè)項(xiàng)目管理子系統(tǒng)、網(wǎng)站集成管理子系統(tǒng)、農(nóng)業(yè)科研儀器設(shè)備信息共享與服務(wù)子系統(tǒng)、科研網(wǎng)絡(luò)協(xié)作系統(tǒng)等系統(tǒng)客戶端的業(yè)務(wù)邏輯處理請(qǐng)求，并維護(hù)應(yīng)用系統(tǒng)與數(shù)據(jù)庫(kù)之間的通信。根據(jù)相關(guān)工程經(jīng)驗(yàn)，9類應(yīng)用系統(tǒng)的應(yīng)用服務(wù)器的SPECjbb2005值應(yīng)不低于4,000bops。（2）Web服務(wù)器主要用于提供網(wǎng)頁(yè)信息瀏覽服務(wù)，即專門處理HTTP請(qǐng)求，響應(yīng)用戶的應(yīng)用訪問(wèn)，并向用戶瀏覽器發(fā)送HTML提供信息瀏覽。由于本項(xiàng)目所建設(shè)的科研項(xiàng)目與科研條件管理子系統(tǒng)、農(nóng)業(yè)科研儀器設(shè)備信息共享與服務(wù)子系統(tǒng)、電子政務(wù)子系統(tǒng)、人力資源管理子系統(tǒng)、綜合財(cái)務(wù)管理與監(jiān)督子系統(tǒng)、基本建設(shè)項(xiàng)目管理子系統(tǒng)等均承載了大量XXXX院所用戶的并發(fā)訪問(wèn)，因此為減輕應(yīng)用服務(wù)器的負(fù)荷，提高系統(tǒng)響應(yīng)能力，需為以上系統(tǒng)配置單獨(dú)的Web服務(wù)器。根據(jù)上述數(shù)據(jù)庫(kù)服務(wù)器性能要求中對(duì)主要業(yè)務(wù)處理量的分析可知，Web服務(wù)器每天工作時(shí)段內(nèi)平均需響應(yīng)用戶訪問(wèn)350,000次。根據(jù)相關(guān)工程經(jīng)驗(yàn)，Web服務(wù)器的SPECweb2005值應(yīng)不低于30,000。存儲(chǔ)備份系統(tǒng)需求系統(tǒng)存儲(chǔ)容量主要根據(jù)網(wǎng)絡(luò)日志、應(yīng)用數(shù)據(jù)庫(kù)、系統(tǒng)及應(yīng)用日志和數(shù)據(jù)備份四部分進(jìn)行估算。1、網(wǎng)絡(luò)日志網(wǎng)絡(luò)日志主要是保留用戶對(duì)于系統(tǒng)內(nèi)的服務(wù)器的網(wǎng)絡(luò)訪問(wèn)日志，按照20Mbps的流量計(jì)算，每秒按字節(jié)計(jì)算產(chǎn)生20Mb/8=2.5MB，每天的日志容量為2.5MB*3600*24=216GB，按照保留一周計(jì)算則每周產(chǎn)生216GB*7=1.5TB。2、應(yīng)用數(shù)據(jù)庫(kù)各應(yīng)用數(shù)據(jù)庫(kù)容量是XXXX信息化基礎(chǔ)數(shù)據(jù)庫(kù)及各業(yè)務(wù)應(yīng)用系統(tǒng)的數(shù)據(jù)量的總和，經(jīng)初步估算，全部工程的信息總量在系統(tǒng)建設(shè)初期約為1TB，考慮到系統(tǒng)5年的發(fā)展，系統(tǒng)存儲(chǔ)總量應(yīng)考慮在5年內(nèi)擴(kuò)展到2TB。3、系統(tǒng)及應(yīng)用日志根據(jù)對(duì)現(xiàn)有應(yīng)用系統(tǒng)的考察，目前XXXX網(wǎng)每天WEB訪問(wèn)日志量為40MB，考慮保留一年的總量為40MB*365=15GB，而院所信息化項(xiàng)目擁有大量子系統(tǒng)，按照10倍于現(xiàn)有XXXX的WEB訪問(wèn)日志，則系統(tǒng)及應(yīng)用日志容量應(yīng)為15GB*10=150GB。4、總計(jì)所需存儲(chǔ)空間=1500GB+2000GB+150GB=3650GB。按照RAID0+1冗余配置，實(shí)際需求容量=RAID利用率系統(tǒng)*所需存儲(chǔ)空間/60%=2*3650GB/60%=12.17TB根據(jù)數(shù)據(jù)量估算，本項(xiàng)目實(shí)施后，XXXX5年內(nèi)將累計(jì)數(shù)據(jù)量約為12.17TB，考慮10%的不可預(yù)見(jiàn)因素，數(shù)據(jù)存儲(chǔ)容量至少要求為13.39TB。同時(shí)，由于數(shù)據(jù)區(qū)存儲(chǔ)系統(tǒng)需要支撐信息資源的管理和對(duì)外發(fā)布功能，一方面要求存儲(chǔ)系統(tǒng)具備快速響應(yīng)能力與較高的傳輸帶寬，另一方面建立信息資源庫(kù)會(huì)引起存儲(chǔ)空間的大量占用（需要在原始數(shù)據(jù)基礎(chǔ)上新增大量冗余數(shù)據(jù)以輔助數(shù)據(jù)挖掘），考慮未來(lái)幾年信息資源庫(kù)的容量占用，存儲(chǔ)空間至少應(yīng)達(dá)到15TB?？紤]到系統(tǒng)的安全性，應(yīng)建立可靠的數(shù)據(jù)備份系統(tǒng)。網(wǎng)絡(luò)系統(tǒng)需求網(wǎng)絡(luò)信息流可分為寬帶信息流和窄帶信息流兩種類型。寬帶信息流主要為音視頻信息；窄帶信息流一般是HTTP、HTTPS、SMTP、POP、IMAP、FTP等。從本項(xiàng)目的建設(shè)階段來(lái)看，初期窄帶應(yīng)用的比率更高一些，但寬帶業(yè)務(wù)也會(huì)逐漸增加。目前網(wǎng)絡(luò)上80%的信息是窄帶信息，20%的應(yīng)用是寬帶應(yīng)用。在80%窄帶應(yīng)用中，主要應(yīng)用以查詢?yōu)橹鳎℉TTP），約占85%；其次是收發(fā)郵件(POP、SMTP、IMAP、MIME)，約占10%；其它應(yīng)用（如FTP等）占5%。不同的協(xié)議對(duì)帶寬的依賴不同，基本情況如下：窄帶應(yīng)用：HTTP窄帶訪問(wèn)鏈接需求帶寬約30Kbps，F(xiàn)TP連接下載需求帶寬約為50Kbps，EMAIL的上傳和下載需求帶寬為40Kbps，收聽(tīng)音頻廣播的應(yīng)用需求帶寬約為14Kbps。以下按平均每一連接40Kbps進(jìn)行估算。寬帶應(yīng)用：視頻點(diǎn)播服務(wù)需求帶寬約為1.5Mbps；視頻會(huì)議服務(wù)需求帶寬約為384Kbps。（1）窄帶應(yīng)用帶寬分析同一時(shí)刻訪問(wèn)進(jìn)行窄帶操作的為同時(shí)上網(wǎng)人數(shù)的10%，則按高峰期并發(fā)訪問(wèn)量為2000個(gè)連接，因此窄帶應(yīng)用的帶寬需求為：2000x40Kbps=80Mbps（2）寬帶應(yīng)用帶寬分析寬帶應(yīng)用主要是視頻點(diǎn)播服務(wù)，一個(gè)流的帶寬需求為1.5Mbps。由于一個(gè)視頻點(diǎn)播持續(xù)的時(shí)間比較長(zhǎng)，所以可以認(rèn)為視頻流的需求是同時(shí)的。如果同時(shí)有82個(gè)視頻服務(wù)需求，則寬帶應(yīng)用帶寬需求為：1.5Mbpsx82=123Mbps（3）出口帶寬分析總流量=窄帶服務(wù)流量+寬帶服務(wù)流量?？値挒椋?0Mbps+123Mbps=203Mbps一般情況下，鏈路的實(shí)際使用率以不超過(guò)鏈路的80%為宜，則：帶寬需求為：203Mbps/0.8≈254Mbps。建設(shè)原則1．經(jīng)濟(jì)性，充分利用現(xiàn)有為投用設(shè)備，并適當(dāng)利舊正常運(yùn)行設(shè)備，最大化資源利用率，最大程度考慮投建成本。2．先進(jìn)性和實(shí)用性。基礎(chǔ)平臺(tái)所采用的技術(shù)具有先進(jìn)性和實(shí)用性。即采用的存儲(chǔ)設(shè)備平臺(tái)、服務(wù)器主機(jī)平臺(tái)、系統(tǒng)軟件平臺(tái)及相關(guān)應(yīng)用系統(tǒng)平臺(tái)所采用的技術(shù)應(yīng)符合當(dāng)前技術(shù)發(fā)展的方向。與此同時(shí)，為了保證系統(tǒng)的穩(wěn)定性，在采用先進(jìn)的技術(shù)的同時(shí)考慮到成熟技術(shù)的性能，以保證在系統(tǒng)建設(shè)過(guò)程中采用的能跟蹤先進(jìn)的技術(shù)的同時(shí)兼顧項(xiàng)目的可實(shí)施性。3．安全性?；A(chǔ)平臺(tái)運(yùn)行系統(tǒng)的安全性包括硬件平臺(tái)的安全、系統(tǒng)安全、業(yè)務(wù)應(yīng)用系統(tǒng)的安全和網(wǎng)絡(luò)通訊的安全。數(shù)據(jù)中心建設(shè)首先遵循安全可靠的原則，最大可能減少因信息基礎(chǔ)設(shè)施故障而造成的業(yè)務(wù)無(wú)法正常進(jìn)行的現(xiàn)象的發(fā)生；同時(shí)，建設(shè)中注重信息安全體系的建設(shè)，提高數(shù)據(jù)的整體安全性，進(jìn)一步保證數(shù)據(jù)安全。4．可靠性?；A(chǔ)平臺(tái)硬件平臺(tái)穩(wěn)定、可靠，能夠滿足“數(shù)據(jù)集中”系統(tǒng)業(yè)務(wù)的要求。數(shù)據(jù)中心的可靠性同時(shí)也包括系統(tǒng)所具有的具體功能、系統(tǒng)所能支持的大數(shù)據(jù)容量和在復(fù)雜的運(yùn)行環(huán)境里穩(wěn)定、可靠地運(yùn)行，在出現(xiàn)異常的情況下系統(tǒng)具有相應(yīng)的規(guī)避措施等。5．可擴(kuò)展性。隨著XXXX院所信息化的發(fā)展，信息數(shù)據(jù)不斷地增多和業(yè)務(wù)應(yīng)用系統(tǒng)的覆蓋面的不斷擴(kuò)大，基礎(chǔ)平臺(tái)將承擔(dān)更大的數(shù)據(jù)管理和數(shù)據(jù)支撐任務(wù)，為此，平臺(tái)必須提供足夠的擴(kuò)展能力以滿足將來(lái)業(yè)務(wù)增長(zhǎng)的需要。其主要表現(xiàn)在在業(yè)務(wù)和數(shù)據(jù)系統(tǒng)需要擴(kuò)展空間時(shí)，只增加相應(yīng)的硬件，不用改動(dòng)整體的架構(gòu)，同時(shí)，新增的硬件可平滑地接入正在運(yùn)行的系統(tǒng)。6．易管理性。由于XXXX電子政務(wù)網(wǎng)絡(luò)平臺(tái)所服務(wù)的對(duì)象的廣泛性，以及應(yīng)用系統(tǒng)的復(fù)雜性，因此，為保證XXXX電子政務(wù)網(wǎng)絡(luò)平臺(tái)的順利實(shí)施，在數(shù)據(jù)中心建設(shè)時(shí)充分考慮這些特點(diǎn)?；A(chǔ)平臺(tái)用戶界面友好，各項(xiàng)功能使用簡(jiǎn)單、方便、快捷。系統(tǒng)配置和管理體現(xiàn)圖形化、直觀化，盡量避免復(fù)雜的系統(tǒng)配置文件?？晒芾硇猿浞煮w現(xiàn)在系統(tǒng)軟、硬件平臺(tái)的管理工具應(yīng)提供豐富的、圖形化的管理工具，以便于管理及系統(tǒng)問(wèn)題的判斷上。項(xiàng)目建設(shè)目標(biāo)建立全院統(tǒng)一的科研資源目錄體系，并構(gòu)建相應(yīng)的數(shù)據(jù)庫(kù)，實(shí)現(xiàn)科研資源一體化管理，實(shí)現(xiàn)各項(xiàng)資源在全院范圍的唯一性和跨機(jī)構(gòu)可訪問(wèn)性，為應(yīng)用系統(tǒng)建設(shè)提供數(shù)據(jù)基礎(chǔ)支撐；建設(shè)應(yīng)用支撐平臺(tái)，為應(yīng)用系統(tǒng)的建設(shè)和運(yùn)行、科研資源的一體化管理以及內(nèi)外部用戶對(duì)院級(jí)門戶的訪問(wèn)提供基礎(chǔ)軟件環(huán)境支撐；調(diào)整和改造現(xiàn)有的網(wǎng)絡(luò)，完成系統(tǒng)運(yùn)行所需的服務(wù)器、存儲(chǔ)設(shè)備以及備份設(shè)備、相關(guān)設(shè)備的操作系統(tǒng)等基礎(chǔ)軟件，構(gòu)筑系統(tǒng)安全體系，采購(gòu)并部署相關(guān)的安全基礎(chǔ)設(shè)施，為應(yīng)用系統(tǒng)的部署和運(yùn)行提供基礎(chǔ)運(yùn)行環(huán)境；對(duì)計(jì)算機(jī)房條件進(jìn)行配套建設(shè)，以滿足軟硬件系統(tǒng)正常運(yùn)行之需要?？傮w建設(shè)方案XXXX信息化系統(tǒng)基礎(chǔ)平臺(tái)建設(shè)根據(jù)XXXX電子政務(wù)網(wǎng)絡(luò)平臺(tái)建設(shè)的統(tǒng)一規(guī)劃和本期工程實(shí)際需求。主要應(yīng)用服務(wù)建設(shè)、核心網(wǎng)絡(luò)建設(shè)和外部網(wǎng)絡(luò)接入建設(shè)三個(gè)部分。1、應(yīng)用服務(wù)建設(shè)通過(guò)服務(wù)器存儲(chǔ)設(shè)備提供業(yè)務(wù)應(yīng)用服務(wù)，包括系統(tǒng)需要的WEB服務(wù)器、應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、數(shù)據(jù)存儲(chǔ)系統(tǒng)、數(shù)據(jù)備份系統(tǒng)。2、核心網(wǎng)絡(luò)系統(tǒng)建設(shè)，通過(guò)雙核心交換機(jī)實(shí)現(xiàn)核心的高性能和高可靠性。包括核心交換機(jī)、路由器、網(wǎng)絡(luò)安全防護(hù)等。3、XXXX網(wǎng)絡(luò)部署接入路由器、防火墻、交換機(jī)等，實(shí)現(xiàn)到兩臺(tái)核心交換機(jī)的冗余連接。基礎(chǔ)平臺(tái)包括6大部分：應(yīng)用服務(wù)區(qū)、核心網(wǎng)絡(luò)區(qū)、接入?yún)^(qū)、終端應(yīng)用區(qū)。1、應(yīng)用服務(wù)區(qū)：運(yùn)行著是本次XXXX農(nóng)業(yè)信息研究所信息化建設(shè)的核心內(nèi)容，WEB服務(wù)器、應(yīng)用服務(wù)器分別部署XXXX信息化各種應(yīng)用、支撐組件、WEB服務(wù)，數(shù)據(jù)服務(wù)器為應(yīng)用提供數(shù)據(jù)處理服務(wù)，存儲(chǔ)系統(tǒng)是容納業(yè)務(wù)數(shù)據(jù)的載體，備份系統(tǒng)提供數(shù)據(jù)安全保障。2、核心網(wǎng)絡(luò)區(qū)，核心層是XXXX院內(nèi)網(wǎng)絡(luò)、員外、其它接入網(wǎng)絡(luò)與之間互連的關(guān)鍵，采用雙交換機(jī)冗余部署，與電信廣域網(wǎng)連接采用VPN連接，考慮到網(wǎng)絡(luò)的安全性要求，將按照等級(jí)保護(hù)要求建設(shè)安全網(wǎng)絡(luò)管理體系。3、接入?yún)^(qū)接入?yún)^(qū)是包括院內(nèi)局域網(wǎng)直接接入，院外單位通過(guò)電信廣域網(wǎng)VPN接入，財(cái)務(wù)部的接入連接到XXXX路由器通過(guò)財(cái)務(wù)專線連接，國(guó)家文獻(xiàn)中心路由接入。本項(xiàng)目建設(shè)內(nèi)容主要在應(yīng)用服務(wù)區(qū)、核心網(wǎng)絡(luò)區(qū)、接入?yún)^(qū)。以下對(duì)建設(shè)內(nèi)容詳細(xì)敘述。應(yīng)用服務(wù)區(qū)建設(shè)包含服務(wù)器、磁盤陣列和備份設(shè)備的建設(shè)，形成立體的，成規(guī)模的信息資源存儲(chǔ)、備份、處理和交互的系統(tǒng)。其物理上是部署在XXXX院內(nèi)網(wǎng)的機(jī)房。目前XXXX服務(wù)器存儲(chǔ)設(shè)備清單：應(yīng)用服務(wù)器區(qū)設(shè)計(jì)為提高主機(jī)及存儲(chǔ)系統(tǒng)整體性能及安全可靠性，方便管理與維護(hù)，主機(jī)及存儲(chǔ)系統(tǒng)應(yīng)按照不同類別應(yīng)用系統(tǒng)的特點(diǎn)和性能要求劃分為用于部署業(yè)務(wù)WEB應(yīng)用系統(tǒng)、應(yīng)用系統(tǒng)、的生產(chǎn)區(qū)以及用于部署數(shù)據(jù)庫(kù)系統(tǒng)、存儲(chǔ)系統(tǒng)及備份系統(tǒng)的數(shù)據(jù)區(qū)。主機(jī)及存儲(chǔ)系統(tǒng)應(yīng)包含WEB服務(wù)器、應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、、數(shù)據(jù)存儲(chǔ)備份系統(tǒng)四部分。服務(wù)器：包括WEB服務(wù)器3臺(tái)、應(yīng)用服務(wù)器12臺(tái)、數(shù)據(jù)庫(kù)服務(wù)器2臺(tái)都連接到核心交換設(shè)備。其中WEB服務(wù)器分別部署XXXX科研資源管理系統(tǒng)、XXXX科研信息資源共享與服務(wù)系統(tǒng)和XXXX科研網(wǎng)絡(luò)協(xié)作系統(tǒng)，提供WEB服務(wù)。磁盤陣列：用來(lái)存放應(yīng)用系統(tǒng)數(shù)據(jù)產(chǎn)生的數(shù)據(jù)，主機(jī)和存儲(chǔ)系統(tǒng)位于農(nóng)業(yè)科技數(shù)據(jù)分中心主機(jī)房和分機(jī)房，主機(jī)房以SAN網(wǎng)絡(luò)存儲(chǔ)為核心，鏈路實(shí)現(xiàn)雙冗余，SAN存儲(chǔ)網(wǎng)絡(luò)的光纖通道交換設(shè)備實(shí)現(xiàn)雙冗余。服務(wù)器系統(tǒng)1．Web服務(wù)器本項(xiàng)目所建設(shè)的科研項(xiàng)目與科研條件管理子系統(tǒng)、農(nóng)業(yè)科研儀器設(shè)備信息共享與服務(wù)子系統(tǒng)、電子政務(wù)子系統(tǒng)、人力資源管理子系統(tǒng)、綜合財(cái)務(wù)管理與監(jiān)督子系統(tǒng)、基本建設(shè)項(xiàng)目管理子系統(tǒng)等均承載了大量XXXX院所用戶的并發(fā)訪問(wèn)，因此為減輕應(yīng)用服務(wù)器的負(fù)荷，提高系統(tǒng)響應(yīng)能力，需為以上系統(tǒng)配置單獨(dú)的Web服務(wù)器。本項(xiàng)目將配置工作組級(jí)PC服務(wù)器3臺(tái)，主要用于提供網(wǎng)頁(yè)信息瀏覽服務(wù)，即專門處理HTTP請(qǐng)求，響應(yīng)用戶的應(yīng)用訪問(wèn)，并向用戶瀏覽器發(fā)送HTML提供信息瀏覽。2．應(yīng)用服務(wù)器應(yīng)用服務(wù)器主要用于響應(yīng)B/S架構(gòu)下科研項(xiàng)目與科研條件管理子系統(tǒng)、電子政務(wù)子系統(tǒng)、人力資源管理子系統(tǒng)、綜合財(cái)務(wù)管理與監(jiān)督子系統(tǒng)、教育資源管理與遠(yuǎn)程教育服務(wù)子系統(tǒng)、基本建設(shè)項(xiàng)目管理子系統(tǒng)、網(wǎng)站集成管理子系統(tǒng)、農(nóng)業(yè)科研儀器設(shè)備信息共享與服務(wù)子系統(tǒng)、科研網(wǎng)絡(luò)協(xié)作系統(tǒng)等系統(tǒng)客戶端的業(yè)務(wù)邏輯處理請(qǐng)求，并維護(hù)應(yīng)用系統(tǒng)與數(shù)據(jù)庫(kù)之間的通信。本項(xiàng)目需要12臺(tái)部門級(jí)PC服務(wù)器部署三大系統(tǒng)的應(yīng)用層和必要的應(yīng)用支撐組件。XXXX已購(gòu)置12臺(tái)應(yīng)用服務(wù)器，其中6臺(tái)分別部署人力資源管理子系統(tǒng)、教育資源管理與遠(yuǎn)程教育服務(wù)子系統(tǒng)、基本建設(shè)項(xiàng)目管理子系統(tǒng)、農(nóng)業(yè)科研儀器設(shè)備信息共享與服務(wù)子系統(tǒng)、網(wǎng)站集成管理子系統(tǒng)、科研網(wǎng)絡(luò)協(xié)作系統(tǒng)；考慮到電子政務(wù)子系統(tǒng)的重要性，以2臺(tái)以雙機(jī)集群形式部署電子政務(wù)子系統(tǒng)、4臺(tái)部署應(yīng)用支撐平臺(tái)相關(guān)組件（其中2臺(tái)為雙機(jī)集群，部署數(shù)據(jù)交換和數(shù)據(jù)分析相關(guān)組件）。3．?dāng)?shù)據(jù)庫(kù)服務(wù)器集群核心數(shù)據(jù)庫(kù)/應(yīng)用服務(wù)器布署在整個(gè)網(wǎng)絡(luò)系統(tǒng)的核心區(qū)域，邏輯上位于整個(gè)應(yīng)用系統(tǒng)的數(shù)據(jù)核心層，可靠問(wèn)題是十分重要的，所以在系統(tǒng)設(shè)計(jì)上，中心主機(jī)采用兩臺(tái)小型機(jī)、共享SAN磁盤陣列的架構(gòu)方式，運(yùn)行數(shù)據(jù)庫(kù)應(yīng)用。根據(jù)系統(tǒng)應(yīng)用的規(guī)模，而且考慮到了業(yè)務(wù)的變化、增加，在選擇服務(wù)器時(shí)必須預(yù)留處理能力的擴(kuò)展空間，設(shè)計(jì)使用2臺(tái)IBM高性能、高可靠性、多處理器的SMP體系結(jié)構(gòu)的unix服務(wù)器IBMP550作為核心數(shù)據(jù)庫(kù)/應(yīng)用服務(wù)器，完全滿足系統(tǒng)未來(lái)擴(kuò)展的需要。配置千兆網(wǎng)卡和光纖通道卡實(shí)現(xiàn)與網(wǎng)絡(luò)和存儲(chǔ)區(qū)域網(wǎng)的高速連接。數(shù)據(jù)軟件采用Oracle11G。將2臺(tái)小型機(jī)組建雙機(jī)熱備的數(shù)據(jù)庫(kù)服務(wù)器集群，用于部署科研項(xiàng)目與科研條件管理子系統(tǒng)、農(nóng)業(yè)科研儀器設(shè)備信息共享與服務(wù)子系統(tǒng)、電子政務(wù)子系統(tǒng)、人力資源管理子系統(tǒng)、基本建設(shè)項(xiàng)目管理子系統(tǒng)等業(yè)務(wù)系統(tǒng)的應(yīng)用支撐數(shù)據(jù)庫(kù)，并相應(yīng)部署數(shù)據(jù)庫(kù)管理系統(tǒng)軟件。雙機(jī)集群有多種方式選擇雙機(jī)熱備，即active/standby方式，服務(wù)器數(shù)據(jù)包括數(shù)據(jù)庫(kù)數(shù)據(jù)同時(shí)往兩臺(tái)或多臺(tái)服務(wù)器寫，保證數(shù)據(jù)的即時(shí)同步，當(dāng)active服務(wù)器出現(xiàn)故障的時(shí)候，通過(guò)軟件診測(cè)或手工方式將standby機(jī)器激活，保證應(yīng)用在短時(shí)間內(nèi)完全恢復(fù)正常使用。典型應(yīng)用在證券資金服務(wù)器或行情服務(wù)器。cluster其中一種形式。雙機(jī)互備，兩個(gè)相對(duì)獨(dú)立的應(yīng)用在兩臺(tái)機(jī)器同時(shí)運(yùn)行，但彼此均設(shè)為備機(jī)，當(dāng)某一臺(tái)服務(wù)器出現(xiàn)故障時(shí)，另一臺(tái)服務(wù)器可以在短時(shí)間內(nèi)將故障服務(wù)器的應(yīng)用接管過(guò)來(lái)，從而保證了應(yīng)用的持續(xù)性，但對(duì)服務(wù)器的性能要求比較高。配置相對(duì)要好。雙機(jī)雙工，即目前的cluster的一種形式，兩臺(tái)或多臺(tái)服務(wù)器均為活動(dòng)，同時(shí)運(yùn)行相同的應(yīng)用，保證整體的性能，也實(shí)現(xiàn)了負(fù)載均衡和互為備份。需要利用磁盤柜存儲(chǔ)技術(shù)（最好采用san）。WEB服務(wù)器或FTP服務(wù)器等用此種方式比較多。因此，考慮到以上因素以及本工程建設(shè)實(shí)際，結(jié)合XXXX后續(xù)信息化建設(shè)對(duì)數(shù)據(jù)庫(kù)服務(wù)器性能的擴(kuò)展需要，本項(xiàng)目推薦采用小型機(jī)組建雙機(jī)熱備的數(shù)據(jù)庫(kù)服務(wù)器系統(tǒng)。存儲(chǔ)備份系統(tǒng)1、存儲(chǔ)系統(tǒng)XXXX農(nóng)業(yè)信息研究所網(wǎng)絡(luò)中心已建的FCSAN存儲(chǔ)系統(tǒng)均已充分承載了相關(guān)業(yè)務(wù)應(yīng)用，2T的存儲(chǔ)空間占用率已接近100%，通過(guò)對(duì)現(xiàn)有設(shè)備升級(jí)、擴(kuò)容均無(wú)法滿足本項(xiàng)目對(duì)FCSAN存儲(chǔ)系統(tǒng)高性能、高可靠、大容量的存儲(chǔ)需求。因此，本項(xiàng)目已購(gòu)置了容量15TB的高性能光纖磁盤陣列1套，光纖交換機(jī)2臺(tái)，連同新購(gòu)置的2臺(tái)小型機(jī)，組建為核心數(shù)據(jù)區(qū)存儲(chǔ)系統(tǒng)。2、備份系統(tǒng)備份服務(wù)器建議采用現(xiàn)有的可以利舊的服務(wù)器，該服務(wù)器安裝備份軟件，通過(guò)光纖卡接入到SAN交換機(jī)，虛擬磁帶庫(kù)通過(guò)光口連接到光纖交換機(jī)，組建SAN架構(gòu)的備份系統(tǒng)圖如下：硬件物理部署服務(wù)器及存儲(chǔ)設(shè)備分別部署在服務(wù)器機(jī)柜1、服務(wù)器機(jī)柜2、服務(wù)器機(jī)柜3中，下圖是初步部署位置設(shè)計(jì)圖紙（可根據(jù)現(xiàn)場(chǎng)情況和用戶需求調(diào)整），如下圖所示：服務(wù)器存儲(chǔ)應(yīng)用軟件部署核心網(wǎng)絡(luò)區(qū)建設(shè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施是院所信息化建設(shè)的基礎(chǔ)，為最大化保護(hù)已有投資和節(jié)約項(xiàng)目預(yù)算，應(yīng)考慮充分利用和升級(jí)現(xiàn)有設(shè)備。以下是目前網(wǎng)絡(luò)設(shè)備清單：以下是目前網(wǎng)絡(luò)配置清單：核心網(wǎng)絡(luò)設(shè)計(jì)本項(xiàng)目所建系統(tǒng)運(yùn)行所需廣域網(wǎng)、局域網(wǎng)，核心網(wǎng)絡(luò)設(shè)備需要冗余性?？紤]到業(yè)務(wù)系統(tǒng)接入用戶較多應(yīng)在網(wǎng)絡(luò)端配置負(fù)載均衡設(shè)備，網(wǎng)絡(luò)結(jié)構(gòu)圖如下：該項(xiàng)的網(wǎng)絡(luò)由XXXX院內(nèi)網(wǎng)、XXXX院外網(wǎng)、電信廣域網(wǎng)連接、國(guó)家科技圖書科技文獻(xiàn)城域網(wǎng)和農(nóng)業(yè)部財(cái)務(wù)專線五部分的組成。XXXX院外網(wǎng)包括京內(nèi)研究所網(wǎng)絡(luò)、京外研究所網(wǎng)絡(luò)。核心網(wǎng)絡(luò)包括核心交換、其它院所接入路由和防火墻、網(wǎng)絡(luò)安全管理、負(fù)載均衡等設(shè)備。網(wǎng)絡(luò)設(shè)備配置1、核心交換機(jī)由于本項(xiàng)目在部局?jǐn)?shù)據(jù)中心局域網(wǎng)構(gòu)建了核心數(shù)據(jù)區(qū)，為避免核心數(shù)據(jù)區(qū)與生產(chǎn)區(qū)大量的數(shù)據(jù)交換同時(shí)集中加載在目前的中心交換機(jī)上而引起整體系統(tǒng)性能的下降，因此本項(xiàng)目將配置千兆核心交換機(jī)2臺(tái)，以雙機(jī)熱備的方式組合，主要負(fù)責(zé)核心數(shù)據(jù)區(qū)數(shù)據(jù)庫(kù)服務(wù)器與應(yīng)用服務(wù)器的數(shù)據(jù)交換。2、主路由器與華為NE40由于本項(xiàng)目為院機(jī)關(guān)和41個(gè)院直屬研究所搭建了交互渠道，為避免單點(diǎn)故障隱患，本項(xiàng)目將配置千兆路由器2臺(tái)，形成雙機(jī)熱備，為XXXX院所局域網(wǎng)互聯(lián)提供路由服務(wù)。3、負(fù)載均衡器為優(yōu)化服務(wù)器集群的配置方式，提高硬件資源利用效率，最終提高系統(tǒng)可靠性，本項(xiàng)目將配置1臺(tái)負(fù)載均衡器，并以旁路接入的方式接入核心數(shù)據(jù)區(qū)的交換機(jī)，實(shí)現(xiàn)服務(wù)器集群的負(fù)載均衡。同時(shí)，也可為核心交換機(jī)、路由器提供負(fù)載均衡服務(wù)。負(fù)載均衡器要求具備8個(gè)以上千兆電口，具備支持服務(wù)器負(fù)載均衡、鏈路負(fù)載均衡、全局負(fù)載均衡等功能。4、防火墻防火墻兩類，一類是部署在電信廣域網(wǎng)接口邊界，配置兩臺(tái)臺(tái)級(jí)防火墻，以雙機(jī)熱備的方式，為網(wǎng)絡(luò)中心局域網(wǎng)提供網(wǎng)絡(luò)安全防護(hù)。一類部署在與國(guó)家科技文獻(xiàn)網(wǎng)絡(luò)接入的邊界，配置一臺(tái)。防火墻主要負(fù)責(zé)保護(hù)核心數(shù)據(jù)區(qū)的服務(wù)器群，可針對(duì)訪問(wèn)需要，僅打開(kāi)必要的通訊端口和地址，從而有效控制絕大多數(shù)違規(guī)訪問(wèn)；可有效的防御Dos/DDos攻擊、ARP欺騙攻擊、TCP報(bào)文標(biāo)志位不合法攻擊、超大ICMP攻擊等各類網(wǎng)絡(luò)層攻擊手段；可實(shí)現(xiàn)靜態(tài)/動(dòng)態(tài)黑名單管理、MAC綁定、安全區(qū)域控制等功能。、5、VPN安全網(wǎng)關(guān)配置1臺(tái)VPN安全網(wǎng)關(guān)，利用服務(wù)提供商所提供的公共網(wǎng)絡(luò)來(lái)實(shí)現(xiàn)XXXX本部與院外直屬機(jī)構(gòu)之間的遠(yuǎn)程廣域連接。系統(tǒng)應(yīng)能夠多個(gè)節(jié)點(diǎn)的IPSec遠(yuǎn)程廣域連接，支持多用戶的并發(fā)SSLVPN訪問(wèn)。5、網(wǎng)絡(luò)安全管理按照等級(jí)保護(hù)的要求，部署實(shí)施網(wǎng)絡(luò)安全設(shè)備，從而保證整個(gè)信息系統(tǒng)安全，最終形成安全開(kāi)放統(tǒng)一、分級(jí)分域防護(hù)的安全體系。本次配置的網(wǎng)絡(luò)安全設(shè)備除了上面提到的VPN網(wǎng)關(guān)和防火墻還包括：網(wǎng)絡(luò)安全審計(jì)系統(tǒng)、入侵檢測(cè)系統(tǒng)、漏洞掃描系統(tǒng)、統(tǒng)一安全管理系統(tǒng)、防病毒系統(tǒng)、網(wǎng)絡(luò)管理服務(wù)器。具體設(shè)計(jì)在安全體系建設(shè)方案章節(jié)詳述。硬件物理部署網(wǎng)絡(luò)設(shè)備分別部署在網(wǎng)絡(luò)機(jī)柜1、網(wǎng)絡(luò)機(jī)柜2內(nèi)，兩個(gè)機(jī)柜供電需要冗余設(shè)計(jì)，設(shè)備部署圖如下：接入?yún)^(qū)建設(shè)接入設(shè)計(jì)在一個(gè)XXXX網(wǎng)絡(luò)里，有多個(gè)網(wǎng)絡(luò)接入，部署分散，且直接負(fù)責(zé)終端的接入。如下圖所示：XXXX院內(nèi)網(wǎng)與XXXX院外網(wǎng)的各項(xiàng)業(yè)務(wù)，全部通過(guò)因特網(wǎng)方式實(shí)現(xiàn)。為保證其數(shù)據(jù)安全，使用VPN專線方式傳輸。XXXX院內(nèi)網(wǎng)與與農(nóng)業(yè)部網(wǎng)絡(luò)之間通過(guò)財(cái)務(wù)專線直接接入，XXXX農(nóng)業(yè)信息研究所通過(guò)XXXX的接入路由連接到農(nóng)業(yè)部網(wǎng)絡(luò)，不經(jīng)過(guò)廣域網(wǎng)。XXXX院內(nèi)網(wǎng)與國(guó)家科技圖書科技文獻(xiàn)城域網(wǎng)絡(luò)之間通過(guò)接入路由器連接到NSTL網(wǎng)絡(luò)。接入設(shè)備配置以下是目前網(wǎng)絡(luò)配置清單：系統(tǒng)軟件建設(shè)在硬件平臺(tái)上部署相關(guān)系統(tǒng)軟件來(lái)支持應(yīng)用系統(tǒng)。包括操作系統(tǒng)軟件、數(shù)據(jù)庫(kù)軟件、集群軟件和存儲(chǔ)備份軟件。系統(tǒng)軟件將采用已經(jīng)購(gòu)置的軟件。系統(tǒng)軟件分配設(shè)計(jì)1．操作系統(tǒng)為應(yīng)用系統(tǒng)運(yùn)行平臺(tái)的穩(wěn)定性，數(shù)據(jù)庫(kù)后臺(tái)運(yùn)行平臺(tái)采用UNIX操作系統(tǒng)。應(yīng)用系統(tǒng)部署了大量的PC服務(wù)器系統(tǒng)，將采用4套Win2008企業(yè)版組成兩對(duì)雙機(jī)系統(tǒng)運(yùn)行電子政務(wù)系統(tǒng)和應(yīng)用支撐平臺(tái),12套Win2008標(biāo)準(zhǔn)版操作系統(tǒng)安裝在其它服務(wù)器。2．集群軟件數(shù)據(jù)庫(kù)是整個(gè)系統(tǒng)的核心，重要的服務(wù)器系統(tǒng)都將采用集群來(lái)實(shí)現(xiàn)核心系統(tǒng)的高可用性。對(duì)于IBMP550小型機(jī)服務(wù)器雙機(jī)集群系統(tǒng)采用同一品牌的集群軟件HACMP來(lái)實(shí)現(xiàn)集群功能，對(duì)于PC服務(wù)器雙機(jī)集群系統(tǒng)采用Windowsserver系列企業(yè)版的集群功能來(lái)實(shí)現(xiàn)。HACMP群集可以按幾種方式配置以滿足不同類型的題供選擇。并行訪問(wèn)模式適合于所有處理器多必須在相同工作負(fù)載下運(yùn)行并共享相同數(shù)據(jù)的環(huán)境。在交互備份模式中，處理器共享工作負(fù)載并互相備份。閑置備用設(shè)備允許用一個(gè)節(jié)點(diǎn)備份群集器中的其他節(jié)點(diǎn)。Oracle數(shù)據(jù)庫(kù)的安裝使用往往才是小型機(jī)集群HACMP的具體工程應(yīng)用。在Oracle中使用HACMP可以有兩種形式供選擇：形式一：容災(zāi)方式，即形成主備系統(tǒng)，這是傳統(tǒng)hacmp的功能；形式二：并行系統(tǒng)，即形成OracleRAC系統(tǒng)，采用并行運(yùn)算模式，RAC需要OracleRAC費(fèi)用。3．?dāng)?shù)據(jù)庫(kù)軟件對(duì)于數(shù)據(jù)庫(kù)系統(tǒng)而言，數(shù)據(jù)庫(kù)選擇目前國(guó)內(nèi)外通用的ORACLE大型關(guān)系型數(shù)據(jù)庫(kù)系統(tǒng)。4．存儲(chǔ)備份軟件存儲(chǔ)系統(tǒng)采用SAN存儲(chǔ)區(qū)域網(wǎng)絡(luò)技術(shù)構(gòu)建，通過(guò)兩臺(tái)光纖通道交換機(jī)作為SAN的核心交換機(jī)。磁盤陣列、磁帶庫(kù)、數(shù)據(jù)庫(kù)服務(wù)器以及備份服務(wù)器通過(guò)SAN交換機(jī)構(gòu)成本地存儲(chǔ)區(qū)域網(wǎng)。備份服務(wù)器安裝虛擬磁帶庫(kù)備份管理軟件，同時(shí)安裝磁盤陣列管理軟件，兼做磁盤陣列控制臺(tái)。備份服務(wù)器通過(guò)專有的SAN網(wǎng)絡(luò)或者以太網(wǎng)絡(luò)將磁盤陣列中的數(shù)據(jù)通備份到虛擬磁帶庫(kù)上。存儲(chǔ)軟件將選用各存儲(chǔ)廠商專業(yè)的存儲(chǔ)管理軟件。備份軟件使用SYMCNETBACKUPENTERPRISESERVER7.0，部署在備份服務(wù)器上，實(shí)現(xiàn)對(duì)數(shù)據(jù)的自動(dòng)備份控制。系統(tǒng)軟件部署軟硬件部署對(duì)照表如下：序號(hào)部署設(shè)備系統(tǒng)軟件1應(yīng)用服務(wù)器1Windows2008標(biāo)準(zhǔn)版2應(yīng)用服務(wù)器2Windows2008企業(yè)版應(yīng)用服務(wù)器3Windows2008企業(yè)版3應(yīng)用服務(wù)器4Windows2008標(biāo)準(zhǔn)版4應(yīng)用服務(wù)器5Windows2008標(biāo)準(zhǔn)版5WEB服務(wù)器1Windows2008標(biāo)準(zhǔn)版6應(yīng)用服務(wù)器6Windows2008標(biāo)準(zhǔn)版7應(yīng)用服務(wù)器7Windows2008標(biāo)準(zhǔn)版8應(yīng)用服務(wù)器8Windows2008標(biāo)準(zhǔn)版9WEB服務(wù)器2Windows2008標(biāo)準(zhǔn)版10應(yīng)用服務(wù)器9Windows2008標(biāo)準(zhǔn)版11應(yīng)用服務(wù)器3Windows2008標(biāo)準(zhǔn)版12應(yīng)用服務(wù)器10Windows2008企業(yè)版應(yīng)用服務(wù)器11Windows2008企業(yè)版13應(yīng)用服務(wù)器12Windows2008標(biāo)準(zhǔn)版14數(shù)據(jù)庫(kù)服務(wù)器1AIX、HACMP、Oracle11G15數(shù)據(jù)庫(kù)服務(wù)器2AIX、HACMP、Oracle11G16備份服務(wù)器Windows2008標(biāo)準(zhǔn)版HACMP使用介紹HACMP的工作原理是利用LAN來(lái)監(jiān)控主機(jī)及網(wǎng)絡(luò)、網(wǎng)卡的狀態(tài)。在一個(gè)HACMP環(huán)境中有TCP/IP網(wǎng)絡(luò)和非TCP/IP網(wǎng)絡(luò)。TCP/IP網(wǎng)絡(luò)即應(yīng)用客戶端訪問(wèn)的公共網(wǎng)，該網(wǎng)可以是大多數(shù)AIX所支持的網(wǎng)絡(luò)，如Ethernet，T.R.，F(xiàn)DDI，ATM，SOCC，SLIP，等等。非TCP/IP網(wǎng)絡(luò)用來(lái)為HACMP對(duì)HA環(huán)境（Cluster）中的各節(jié)點(diǎn)進(jìn)行監(jiān)控而提供的一個(gè)替代TCP/IP的通訊路徑，它可以是用RS232串口線將各節(jié)點(diǎn)連接起來(lái)，也可以是將各節(jié)點(diǎn)的SCSI卡或SSA卡設(shè)置成TargetMode方式。1、作為雙機(jī)系統(tǒng)的兩臺(tái)服務(wù)器（主機(jī)A和B）同時(shí)運(yùn)行HACMP軟件；2、服務(wù)器除正常運(yùn)行自己的應(yīng)用外，同時(shí)又作為對(duì)方的備份主機(jī)；3、兩臺(tái)主機(jī)系統(tǒng)（A和B）在整個(gè)運(yùn)行過(guò)程中，通過(guò)“心跳線”相互監(jiān)測(cè)對(duì)方的運(yùn)行情況（包括系統(tǒng)的軟硬件運(yùn)行、網(wǎng)絡(luò)通訊和應(yīng)用運(yùn)行情況等）；4、一旦發(fā)現(xiàn)對(duì)方主機(jī)的運(yùn)行不正常（出故障）時(shí)，故障機(jī)上的應(yīng)用就會(huì)停止運(yùn)行，本機(jī)（故障機(jī)的備份機(jī)）就會(huì)立即在自己的機(jī)器上啟動(dòng)故障機(jī)上的應(yīng)用，把故障機(jī)的應(yīng)用及其資源（包括用到的IP地址和磁盤空間等）接管過(guò)來(lái)，使故障機(jī)上的應(yīng)用在本機(jī)繼續(xù)運(yùn)行；5、應(yīng)用和資源的接管過(guò)程由Ha軟件自動(dòng)完成，無(wú)需人工干預(yù)；6、當(dāng)兩臺(tái)主機(jī)正常工作時(shí)，也可以根據(jù)需要將其中一臺(tái)機(jī)上的應(yīng)用人為切換到另一臺(tái)機(jī)(備份機(jī))上運(yùn)行一、HACMP基礎(chǔ)HACMP技術(shù)在AIX5L上的特點(diǎn)：–高可用性集群多重處理（技術(shù)）（HighAvailabilityClusterMultiprocessing）–基于集群的技術(shù)–提供兩種數(shù)據(jù)訪問(wèn)的環(huán)境：串行訪問(wèn)(高可用性)：確保一個(gè)應(yīng)用程序可以通過(guò)在不同的資源組中連續(xù)的使用共享數(shù)據(jù)并行訪問(wèn)(群集多處理):并發(fā)的存取共享數(shù)據(jù)IBM的HACMP產(chǎn)品對(duì)于建立一個(gè)高可用性解決方案是個(gè)成熟和健壯的技術(shù)。高可用性解決方案是基于HACMP提供一個(gè)自動(dòng)的故障探測(cè)，診斷，恢復(fù)和重整。伴隨著合適的應(yīng)用軟件，HACMP也能工作在并發(fā)存取和并行的程序環(huán)境，從而提供了極好的水平可測(cè)量性。二、HA的基本概念

在HA中有幾個(gè)基本概念我們應(yīng)先搞清楚：集群（Cluster）：主要由節(jié)點(diǎn)，網(wǎng)絡(luò)，網(wǎng)絡(luò)適配器組成。這些對(duì)象涉及到網(wǎng)絡(luò)拓?fù)鋬?nèi)的所有要素。資源組（ResourceGroup）：典型的資源組由應(yīng)用程序，網(wǎng)絡(luò)地址和共享的vg組成。集群管理器（Clstrmgr）：集群管理器用來(lái)管理集群中所有的資源，它來(lái)定義哪個(gè)節(jié)點(diǎn)的應(yīng)用是激活的，或者故障時(shí)資源組的切換等等操作。集群管理器運(yùn)行在集群環(huán)境里的所有節(jié)點(diǎn)上。NETBACKUP使用介紹一、概述SymantecNetBackup平臺(tái)可以自動(dòng)執(zhí)行高級(jí)技術(shù)，標(biāo)準(zhǔn)化各種應(yīng)用程序、平臺(tái)和虛擬環(huán)境上的操作，幫助信息化企業(yè)簡(jiǎn)化數(shù)據(jù)保護(hù)流程。這意味著，企業(yè)可以在異構(gòu)操作系統(tǒng)和存儲(chǔ)硬件（包括磁帶和磁盤）環(huán)境中實(shí)現(xiàn)全面保護(hù)、有效存儲(chǔ)、隨處恢復(fù)和集中管理。它集重復(fù)數(shù)據(jù)刪除、復(fù)制和正在申請(qǐng)專利的虛擬機(jī)防護(hù)功能于一體，可以幫助客戶提高存儲(chǔ)效率、基礎(chǔ)架構(gòu)利用率和恢復(fù)速度。單一的控制臺(tái)實(shí)現(xiàn)了多站點(diǎn)監(jiān)控、分析和報(bào)告功能，可以幫助客戶標(biāo)準(zhǔn)化操作和風(fēng)險(xiǎn)管理。SymantecNetBackup易于擴(kuò)展，可以保護(hù)最大型的UNIX、Windows?和Linux?環(huán)境，目前已得到全球各地的企業(yè)廣泛采用。NetBackup平臺(tái)可以實(shí)現(xiàn)全面保護(hù)、有效存儲(chǔ)、隨處恢復(fù)和集中管理。NetBackup平臺(tái)由以下四款賽門鐵克產(chǎn)品組成：NetBackup、NetBackupRealTime、OpsCenterAnalytics和EnterpriseVault?。二、產(chǎn)品要點(diǎn)?異構(gòu)環(huán)境的數(shù)據(jù)保護(hù)—可以在異構(gòu)操作系統(tǒng)、應(yīng)用程序、管理程序以及磁盤和磁帶架構(gòu)上實(shí)現(xiàn)數(shù)據(jù)保護(hù)功能?集中式管理—可以從一個(gè)位置管理所有數(shù)據(jù)保護(hù)技術(shù)與多個(gè)NetBackup服務(wù)器和域，提高工作效率?源和目標(biāo)位置的重復(fù)數(shù)據(jù)刪除—可以在遠(yuǎn)程辦公室或數(shù)據(jù)中心按需輕松部署和管理重復(fù)數(shù)據(jù)刪除技術(shù)?與存儲(chǔ)硬件設(shè)備的深入集成—NetBackupOpenStorageAPI可以集中管理重復(fù)數(shù)據(jù)刪除和復(fù)制技術(shù)?虛擬機(jī)保護(hù)既全面又簡(jiǎn)單—可以對(duì)VMware和Microsoft?Hyper-V環(huán)境應(yīng)用獲獎(jiǎng)的備份和恢復(fù)技術(shù)?快速全面地恢復(fù)應(yīng)用程序和管理程序的數(shù)據(jù)—可以快速全面恢復(fù)MicrosoftExchange、SharePoint?、ActiveDirectory?以及VMware、Hyper-V等管理程序的文件、電子郵件和其他項(xiàng)目環(huán)境的性能及有效性。這些客戶端能夠?yàn)殛P(guān)鍵業(yè)務(wù)數(shù)據(jù)庫(kù)和應(yīng)用程序提供高性能的在線備份與恢復(fù)、支持通過(guò)存儲(chǔ)網(wǎng)絡(luò)執(zhí)行備份和恢復(fù)操作，并且可以提供高級(jí)別的數(shù)據(jù)安全性和全面的系統(tǒng)級(jí)恢復(fù)。企業(yè)可以通過(guò)圖形用戶界面(GUI)集中管理備份和恢復(fù)操作的各個(gè)方面，從而能夠在整個(gè)企業(yè)中建立統(tǒng)一的數(shù)據(jù)防護(hù)策略，無(wú)需考慮部署的客戶端類型和數(shù)量。三、全面保護(hù)1、客戶端保護(hù)NetBackup提供了一套簡(jiǎn)單而又全面的創(chuàng)新客戶端和代理，可以優(yōu)化備份和恢復(fù)環(huán)境的性能及有效性。這些客戶端能夠?yàn)殛P(guān)鍵業(yè)務(wù)數(shù)據(jù)庫(kù)和應(yīng)用程序提供高性能的在線備份與恢復(fù)、支持通過(guò)存儲(chǔ)網(wǎng)絡(luò)執(zhí)行備份和恢復(fù)操作，并且可以提供高級(jí)別的數(shù)據(jù)安全性和全面的系統(tǒng)級(jí)恢復(fù)。企業(yè)可以通過(guò)圖形用戶界面(GUI)集中管理備份和恢復(fù)操作的各個(gè)方面，從而能夠在整個(gè)企業(yè)中建立統(tǒng)一的數(shù)據(jù)防護(hù)策略，無(wú)需考慮部署的客戶端類型和數(shù)量。2、應(yīng)用程序防護(hù)要防止關(guān)鍵業(yè)務(wù)應(yīng)用程序保護(hù)過(guò)度或不足，企業(yè)必須制定分層保護(hù)戰(zhàn)略。NetBackup平臺(tái)提供了各種旨在幫助企業(yè)制定經(jīng)濟(jì)可靠型分層保護(hù)戰(zhàn)略的技術(shù)。要點(diǎn)包括：?應(yīng)用程序和數(shù)據(jù)庫(kù)代理1—為了保護(hù)關(guān)鍵業(yè)務(wù)應(yīng)用程序和數(shù)據(jù)庫(kù)，NetBackup提供了應(yīng)用程序代理，這些代理可以實(shí)現(xiàn)熱備份和在線備份，提供向?qū)团渲茫⒅С謶?yīng)用程序特定的工具，如Oracle?RecoveryManager(RMAN)。?快照的集成—為了增強(qiáng)保護(hù)功能，NetBackup還集成了各種磁盤陣列和軟件快照方法，如脫機(jī)備份和即時(shí)恢復(fù)。主要優(yōu)勢(shì)是，您可以使用相同的NetBackup策略、目錄和日程界面將快照作為磁帶或其他任何類型的分流備份來(lái)管理。復(fù)點(diǎn)目標(biāo)(RPO)和恢復(fù)時(shí)間目標(biāo)(RTO)了。3、數(shù)據(jù)安全NetBackup提供了靈活的數(shù)據(jù)保護(hù)技術(shù)，如訪問(wèn)和授權(quán)控制與磁盤和磁帶加密方法。要點(diǎn)包括：?源/客戶端加密，實(shí)現(xiàn)了最高級(jí)別的安全性，讓您甚至可以保護(hù)傳輸中和介質(zhì)上的數(shù)據(jù)。?MediaServerEncryptionOption，可以提高磁帶備份的靈活性，還可以利用NetBackup介質(zhì)服務(wù)器。這樣，客戶端的性能就不會(huì)受到影響了。?集中式的集成密鑰管理服務(wù)，可以管理加密磁帶驅(qū)動(dòng)器的密鑰。4、虛擬機(jī)保護(hù)既全面又簡(jiǎn)單虛擬化技術(shù)在給數(shù)據(jù)中心帶來(lái)機(jī)遇的同時(shí)也帶來(lái)了挑戰(zhàn)，如降低了備份和恢復(fù)速度、增加了存儲(chǔ)使用量以及需要了解和管理更多的技術(shù)。NetBackup7基于NetBackup6.5獲獎(jiǎng)的VMware支持技術(shù)，它可以提供既簡(jiǎn)單又全面的數(shù)據(jù)保護(hù)功能。另外，它還簡(jiǎn)化了虛擬機(jī)保護(hù)功能，如集中了MicrosoftHyper-V和VMware上的備份，通過(guò)管理程序集成技術(shù)（如vStorageAPI）、重復(fù)數(shù)據(jù)刪除技術(shù)和增量備份技術(shù)，縮短了備份時(shí)間并實(shí)現(xiàn)了高效的單個(gè)文件恢復(fù)。四、高效存儲(chǔ)1、隨處刪除重復(fù)數(shù)據(jù)NetBackup還提供了隨處刪除重復(fù)數(shù)據(jù)的功能。重復(fù)數(shù)據(jù)無(wú)論是在遠(yuǎn)程站點(diǎn)上還是在數(shù)據(jù)中心，該功能都可以幫您將其刪除。它是您保護(hù)虛擬環(huán)境的理想選擇。2、NetBackup客戶端重復(fù)數(shù)據(jù)刪除功能刪除冗余數(shù)據(jù)（尤其是對(duì)源位置影響較大的數(shù)據(jù)）可以最大程度發(fā)揮重復(fù)數(shù)據(jù)刪除功能的優(yōu)勢(shì)。NetBackup7產(chǎn)品具有內(nèi)置的客戶端重復(fù)數(shù)據(jù)刪除功能，可以實(shí)現(xiàn)快速、安全、有效的備份和恢復(fù)。客戶端重復(fù)數(shù)據(jù)刪除功能可以刪除源位置的冗余數(shù)據(jù)，與傳統(tǒng)備份技術(shù)相比，它所占用的CPU、I/O和內(nèi)存會(huì)更低，從而可以為生產(chǎn)服務(wù)釋放更多的客戶端資源。客戶端重復(fù)數(shù)據(jù)刪除功能還可以實(shí)現(xiàn)增幅高達(dá)10倍的備份速度。要點(diǎn)包括：?NetBackup內(nèi)置重復(fù)數(shù)據(jù)刪除功能—客戶端重復(fù)數(shù)據(jù)刪除功能已內(nèi)置在NetBackup中，因此，您無(wú)需購(gòu)置單獨(dú)的硬件設(shè)備。應(yīng)用程序支持—客戶端重復(fù)數(shù)據(jù)刪除功能不但是您處理標(biāo)準(zhǔn)文件數(shù)據(jù)的理想功能，而且它還對(duì)您處理NetBackup支持的應(yīng)用程序和數(shù)據(jù)庫(kù)很有幫助。?與NetBackupPureDisk兼容—NetBackup客戶端可以存儲(chǔ)已刪除重復(fù)數(shù)據(jù)的數(shù)據(jù)和NetBackup介質(zhì)服務(wù)器重復(fù)數(shù)據(jù)刪除池或NetBackupPureDisk存儲(chǔ)池。?虛擬機(jī)保護(hù)—使用虛擬訪客計(jì)算機(jī)中的NetBackup客戶端可以刪除源位置的重復(fù)數(shù)據(jù)，讓網(wǎng)絡(luò)只能傳輸不重復(fù)的數(shù)據(jù)和變更信息，從而降低備份對(duì)整體虛擬基礎(chǔ)架構(gòu)的影響。3、NetBackup介質(zhì)服務(wù)器重復(fù)數(shù)據(jù)刪除功能NetBackup介質(zhì)服務(wù)器提供目標(biāo)重復(fù)數(shù)據(jù)刪除功能的目的就是為了利用現(xiàn)有的磁盤。設(shè)置如同單擊對(duì)話框一樣簡(jiǎn)單。NetBackup介質(zhì)服務(wù)器可以在不用添加緩沖磁盤的情況下隨時(shí)處理數(shù)據(jù)流，實(shí)現(xiàn)在數(shù)據(jù)處理過(guò)程中刪除重復(fù)數(shù)據(jù)，從而優(yōu)化存儲(chǔ)利用率。通過(guò)NetBackup存儲(chǔ)生命周期策略，您還可以實(shí)現(xiàn)在數(shù)據(jù)處理后刪除重復(fù)數(shù)據(jù)。要點(diǎn)包括：?備份速度更快—NetBackup目標(biāo)重復(fù)數(shù)據(jù)刪除功能可以在數(shù)據(jù)存儲(chǔ)到磁盤的過(guò)程中刪除內(nèi)聯(lián)冗余數(shù)據(jù)。因此，移動(dòng)并最終存儲(chǔ)到最終目標(biāo)位置的數(shù)據(jù)會(huì)少很多。?降低存儲(chǔ)成本—NetBackup讓企業(yè)可以利用常用磁盤和服務(wù)器來(lái)提高成本效益和靈活性。?降低存儲(chǔ)消耗—與傳統(tǒng)磁帶備份解決方案相比，該解決方案讓企業(yè)可以將存儲(chǔ)總量減少高達(dá)20倍。?恢復(fù)速度更快—通過(guò)重復(fù)數(shù)據(jù)刪除功能，企業(yè)可以在本地或遠(yuǎn)程位置保存更多類型的數(shù)據(jù)，而不必再通過(guò)磁帶執(zhí)行單一的恢復(fù)了。通過(guò)OpenStorage3與重復(fù)數(shù)據(jù)刪除硬件設(shè)備集成其實(shí)，許多重復(fù)數(shù)據(jù)刪除硬件設(shè)備就是采用磁盤技術(shù)但模擬磁帶的虛擬磁帶庫(kù)。NetBackupOpenStorageAPI讓NetBackup可以識(shí)別磁盤的真?zhèn)?。磁帶模擬的整體概念已不再使用，這樣，存儲(chǔ)硬件設(shè)備用戶不但可以通過(guò)OpenStorage提高利用率，而且能夠充分利用重復(fù)數(shù)據(jù)刪除、優(yōu)化復(fù)制、虛擬合成以及直接備份到磁帶等高級(jí)功能集。4、通過(guò)歸檔功能提高備份和恢復(fù)速度減少主存儲(chǔ)中的數(shù)據(jù)是相當(dāng)重要的，這也符合賽門鐵克的戰(zhàn)略，即刪除對(duì)源位置影響最大的重復(fù)數(shù)據(jù)?？梢越档驮瓷现饕獢?shù)據(jù)增長(zhǎng)的解決方案是EnterpriseVault，這是一個(gè)歸檔和電子查詢領(lǐng)域公認(rèn)的領(lǐng)先解決方案。數(shù)據(jù)保護(hù)和歸檔技術(shù)的組合可以提高傳統(tǒng)備份和恢復(fù)的速度。NetBackup和EnterpriseVault實(shí)現(xiàn)的組合功能還可以根據(jù)策略自動(dòng)將EnterpriseVault管理的歸檔磁盤數(shù)據(jù)遷移到NetBackup管理的磁帶或其他介質(zhì)中。為了保護(hù)EnterpriseVault環(huán)境，NetBackup還提供了可以在EnterpriseVault環(huán)境中自動(dòng)查找各種服務(wù)器和組件的代理。隨處恢復(fù)NetBackup提供了各種技術(shù)，可以確保數(shù)據(jù)快速、即時(shí)、隨處恢復(fù)，并使數(shù)據(jù)丟失最少。裸機(jī)恢復(fù)(BMR)裸機(jī)恢復(fù)功能是通過(guò)集成方式免費(fèi)提供的，可以執(zhí)行系統(tǒng)恢復(fù)必需的所有文件和服務(wù)，包括能夠執(zhí)行無(wú)盤網(wǎng)絡(luò)啟動(dòng)、臨時(shí)操作系統(tǒng)安裝和磁盤配置。此功能可以使任何平臺(tái)上的全面系統(tǒng)恢復(fù)時(shí)間大約僅為15分鐘。4、有效的災(zāi)難恢復(fù)NetBackup平臺(tái)提供了各種災(zāi)難恢復(fù)功能，這些功能可以在數(shù)據(jù)中心因環(huán)境因素或其他因素導(dǎo)致永久性損壞后將數(shù)據(jù)遷移到異地災(zāi)難恢復(fù)位置。?管理異地磁帶介質(zhì)4—NetBackupVaultOption可以在自動(dòng)將磁帶介質(zhì)遷移到異地災(zāi)難恢復(fù)位置的同時(shí)跟蹤該流程。?復(fù)制已刪除重復(fù)數(shù)據(jù)的數(shù)據(jù)—NetBackup提供了各種復(fù)制和管理功能，這些功能不但可以通過(guò)電子方式在WAN上安全地復(fù)制數(shù)據(jù)，而且還可以在NetBackup圖形用戶界面上集中管理這些數(shù)據(jù)。由于它只會(huì)復(fù)制不重復(fù)的數(shù)據(jù)，因此可以優(yōu)化帶寬和后端存儲(chǔ)。另外，它還可以將這些數(shù)據(jù)遷移到災(zāi)難恢復(fù)位置的磁帶設(shè)備上進(jìn)行長(zhǎng)期存儲(chǔ)。?實(shí)時(shí)的數(shù)據(jù)塊級(jí)復(fù)制—NetBackupRealTime75讓NetBackup可以實(shí)現(xiàn)實(shí)時(shí)的數(shù)據(jù)塊級(jí)異步或同步復(fù)制。如果用于保護(hù)NetBackup目錄，它是免費(fèi)的。5、全面恢復(fù)技術(shù)NetBackup正在申請(qǐng)專利的全面恢復(fù)技術(shù)可以快速恢復(fù)MicrosoftExchange、ActiveDirectory、SharePoint、VMware、Hyper-V等環(huán)境中的文件、電子郵件和其他單個(gè)對(duì)象。這意味著，映像只需備份一次、存儲(chǔ)一次，就可以實(shí)現(xiàn)兩種恢復(fù)方式，即用于災(zāi)難恢復(fù)的完整映像恢復(fù)方式和單個(gè)文件恢復(fù)方式。6、集中管理SymantecOpsCenter提供了一個(gè)可以集中監(jiān)控和報(bào)告異構(gòu)數(shù)據(jù)保護(hù)環(huán)境運(yùn)行狀況的控制臺(tái)。要點(diǎn)包括：?定制的警報(bào)功能和實(shí)時(shí)的監(jiān)控功能—可以通過(guò)易用的分類和過(guò)濾功能管理意外事件，讓您可以更好地排除故障、設(shè)置工作優(yōu)先級(jí)以及控制備份環(huán)境。?跨域監(jiān)控和管理功能—可以將多個(gè)NetBackup域和多個(gè)產(chǎn)品版本連接起來(lái)，簡(jiǎn)化管理和控制。?點(diǎn)擊式環(huán)境運(yùn)行狀況報(bào)告功能—可以快速了解NetBackup、SymantecBackupExec、NetBackupPureDisk和EnterpriseVault環(huán)境中的磁帶驅(qū)動(dòng)器利用率、成功率和未受保護(hù)的環(huán)境。通過(guò)OpsCenterAnalytics6實(shí)現(xiàn)高級(jí)業(yè)務(wù)環(huán)境報(bào)告功能您可以通過(guò)許可證密鑰輕松將OpsCenter升級(jí)到OpsCenterAnalytics，實(shí)現(xiàn)高級(jí)的集成式業(yè)務(wù)環(huán)境報(bào)告功能，這樣，您就可以根據(jù)地理位置或異構(gòu)環(huán)境中的應(yīng)用程序?yàn)槟繕?biāo)用戶（如業(yè)務(wù)部門）定制相關(guān)內(nèi)容。要點(diǎn)包括：?報(bào)告第三方應(yīng)用程序—可以在集中報(bào)告賽門鐵克和第三方備份應(yīng)用程序（如EMCNetWorker和IBMTivoliStorageManager）的同時(shí)對(duì)報(bào)告進(jìn)行標(biāo)準(zhǔn)化。?長(zhǎng)期保留數(shù)據(jù)以供趨勢(shì)研究和分析之用—讓您可以不斷地跟蹤數(shù)據(jù)增長(zhǎng)率（包括為了簡(jiǎn)化投資回報(bào)率的跟蹤流程刪除重復(fù)數(shù)據(jù)前后的數(shù)據(jù)增長(zhǎng)率），更好地預(yù)測(cè)備份和電子郵件歸檔存儲(chǔ)的使用量。?服務(wù)級(jí)別遵從、成本分析和計(jì)費(fèi)—可以實(shí)現(xiàn)閾值報(bào)告功能，確保您遵從服務(wù)級(jí)別，還可以通過(guò)配置定價(jià)模型整合并分配備份和歸檔服務(wù)成本，幫助您滿足業(yè)務(wù)需求。針對(duì)各種規(guī)模的環(huán)境和復(fù)雜性級(jí)別提供靈活的部署解決方案NetBackup提供三種版本，以便為從中小型企業(yè)到大型企業(yè)的各種企業(yè)提供支持（參見(jiàn)下表）。五、NetBackup的其他功能和優(yōu)勢(shì)1、性能?合成備份—能夠通過(guò)單個(gè)備份映像快速恢復(fù)客戶端，減少恢復(fù)對(duì)應(yīng)用程序主機(jī)的影響和網(wǎng)絡(luò)帶寬?高級(jí)磁盤緩沖—由于不存在磁帶設(shè)備延遲，并且非復(fù)用備份映像可用于進(jìn)行更快速的恢復(fù)，因此磁盤緩沖功能有利于進(jìn)行更快速的備份和恢復(fù)?檢查點(diǎn)/重新開(kāi)始—允許失敗的備份作業(yè)或恢復(fù)作業(yè)從上一個(gè)檢查點(diǎn)恢復(fù)?多路復(fù)用備份—將多個(gè)數(shù)據(jù)流從一個(gè)或多個(gè)客戶端/服務(wù)器寫入一個(gè)磁帶驅(qū)動(dòng)器，以獲得最佳性能?內(nèi)聯(lián)復(fù)制—可以創(chuàng)建多個(gè)并行備份映像，每個(gè)映像都具有獨(dú)特的保留屬性，與主備份同時(shí)運(yùn)行或在完成主備份后運(yùn)行2、介質(zhì)管理?自動(dòng)機(jī)械/磁帶驅(qū)動(dòng)器配置—可以自動(dòng)生成驅(qū)動(dòng)器名稱并自動(dòng)配置交換的磁帶驅(qū)動(dòng)器，縮短磁帶驅(qū)動(dòng)器的配置時(shí)間?介質(zhì)共享—允許多個(gè)NetBackup介質(zhì)服務(wù)器主動(dòng)共享指定的磁帶介質(zhì)，以便寫入?廣泛的磁帶設(shè)備支持—支持所有領(lǐng)先的磁盤設(shè)備提供商，包括Dell、Exabyte、HP?、IBM?、OverlandData、Qualstar、Quantum、Sony、SpectraLogic和Sun、StorageTek3、用于數(shù)據(jù)庫(kù)、應(yīng)用程序、磁盤、磁帶和災(zāi)難恢復(fù)的代理和選件NetBackup代理NetBackup代理可以優(yōu)化重要數(shù)據(jù)庫(kù)和應(yīng)用程序的性能，包括IBMDB2、Informix、Lotus?Notes/Lotus、Domino?Server、MicrosoftActiveDirectory、Microsoft、ExchangeServer、MicrosoftSharePoint?PortalServer/MicrosoftOfficeSharePointServer、MicrosoftSQLServer、Oracle、SAP、Sybase和SymantecEnterpriseVault。NetBackup選件NetBackup選件可以實(shí)現(xiàn)虛擬磁帶庫(kù)支持、重復(fù)數(shù)據(jù)刪除、異地磁帶介質(zhì)管理等功能，從而改善數(shù)據(jù)保護(hù)環(huán)境。安全體系建設(shè)方案安全體系現(xiàn)狀目前，XXXX網(wǎng)絡(luò)中心所采取的安全保障手段及效果如下：（1）物理環(huán)境安全方面技術(shù)措施主要包括如下幾個(gè)方面：重要區(qū)域配置電子門禁系統(tǒng)；在條件允許的情況下，配備光、電等機(jī)房防盜報(bào)警系統(tǒng)；設(shè)置監(jiān)控報(bào)警系統(tǒng)，如攝像頭等；設(shè)置火災(zāi)自動(dòng)消防系統(tǒng)；對(duì)重要設(shè)備采取區(qū)域隔離防火措施，并與其他設(shè)備在物理上隔離開(kāi)；安裝對(duì)水敏感的檢測(cè)儀表或元件，對(duì)機(jī)房進(jìn)行防水檢測(cè)和報(bào)警；主要設(shè)備采用必要的接地防靜電措施，如防靜電手環(huán)或防靜電工作服等；設(shè)置溫、濕度自動(dòng)調(diào)節(jié)設(shè)施，使機(jī)房溫、濕度的變化在設(shè)備運(yùn)行所允許的范圍之內(nèi)；在條件允許的情況下設(shè)置冗余或并行的電力電纜線路為系統(tǒng)提供持續(xù)供電，建立備用供電系統(tǒng)。XXXX網(wǎng)絡(luò)中心機(jī)房的安全門禁系統(tǒng)、消防滅火系統(tǒng)、空調(diào)通風(fēng)系統(tǒng)、供配電系統(tǒng)、防雷接地系統(tǒng)等已經(jīng)比較完備，機(jī)房基礎(chǔ)設(shè)施及安全保障措施較為完善。（2）網(wǎng)絡(luò)安全方面1）安全區(qū)域邊界等級(jí)保護(hù)要求現(xiàn)有情況分析差距增強(qiáng)或解決方法區(qū)域邊界訪問(wèn)控制結(jié)構(gòu)安全與網(wǎng)段劃分有有劃分VLAN，并設(shè)定訪問(wèn)控制措施區(qū)域邊界協(xié)議過(guò)濾網(wǎng)絡(luò)訪問(wèn)控制防火墻有網(wǎng)絡(luò)設(shè)備設(shè)置訪問(wèn)控制策略區(qū)域邊界完整性保護(hù)撥號(hào)訪問(wèn)控制無(wú)有防非法外聯(lián)、協(xié)議過(guò)濾、網(wǎng)絡(luò)設(shè)備設(shè)置訪問(wèn)控制策略區(qū)域邊界完整性保護(hù)邊界完整性檢查防火墻有防非法外聯(lián)區(qū)域邊界完整性保護(hù)網(wǎng)絡(luò)入侵防范無(wú)有帶寬管理、協(xié)議過(guò)濾管理、安全網(wǎng)關(guān)2）安全通信網(wǎng)絡(luò)等級(jí)保護(hù)要求現(xiàn)有情況分析差距增強(qiáng)或解決方法通信網(wǎng)絡(luò)網(wǎng)絡(luò)入侵防范無(wú)有網(wǎng)絡(luò)入侵防護(hù)WEB應(yīng)用防護(hù)內(nèi)網(wǎng)安全建設(shè)安全配置核查網(wǎng)絡(luò)傳輸保密性保護(hù)網(wǎng)絡(luò)設(shè)備防護(hù)SSH和Https等方式有，較小動(dòng)態(tài)身份認(rèn)證3）安全管理中心等級(jí)保護(hù)要求現(xiàn)有情況分析差距增強(qiáng)或解決方法系統(tǒng)管理存在基本手段有安全服務(wù)安全管理存在基本手段有安全服務(wù)審計(jì)管理存在基本手段有安全配置核查網(wǎng)頁(yè)防篡改（3）主機(jī)系統(tǒng)安全方面除充分利用操作系統(tǒng)、數(shù)據(jù)管理系統(tǒng)等系統(tǒng)軟件的身份鑒別手段外，配置了網(wǎng)絡(luò)防病毒軟件，能對(duì)病毒、惡意代碼進(jìn)行有效防治。計(jì)算環(huán)境的差距分析及解決方法總結(jié)如下：等級(jí)保護(hù)要求現(xiàn)有情況分析差距增強(qiáng)或解決方法用戶身份鑒別口令認(rèn)證小動(dòng)態(tài)身份認(rèn)證自主訪問(wèn)控制有有系統(tǒng)加固標(biāo)記和強(qiáng)制訪問(wèn)控制有有訪問(wèn)控制、系統(tǒng)加固用戶數(shù)據(jù)完整性保護(hù)存在基本手段有數(shù)字簽名、安全服務(wù)用戶數(shù)據(jù)保密性保護(hù)存在基本手段有VPN、文件級(jí)存儲(chǔ)加密客體安全重用有有漏洞管理程序可信執(zhí)行保護(hù)有有惡意代碼檢測(cè)（4）數(shù)據(jù)及應(yīng)用安全方面?zhèn)浞蒈浖巡少?gòu)，可以對(duì)數(shù)據(jù)、應(yīng)用系統(tǒng)進(jìn)行及時(shí)有效的備份。安全體系需求分析隨著XXXX信息化發(fā)展的逐步深入，對(duì)信息系統(tǒng)的依賴越來(lái)越強(qiáng)，大型信息系統(tǒng)的安全保障體系建設(shè)是一個(gè)極為復(fù)雜的工作，為大型組織設(shè)計(jì)一套完整和有效的安全體系一直是個(gè)世界性的難題。一些行業(yè)性機(jī)構(gòu)或大型企業(yè)的信息系統(tǒng)應(yīng)用眾多、結(jié)構(gòu)復(fù)雜、覆蓋地域廣闊、涉及的行政部門和人員眾多；系統(tǒng)面臨著各種性質(zhì)的安全威脅，間諜、黑客、病毒蠕蟲(chóng)、木后門、非法的合作伙伴、本地維護(hù)的第三方、內(nèi)部員工等；安全保障要求的內(nèi)容極為廣泛，從物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全一直到安全管理、安全組織建設(shè)等等，凡是涉及到影響正常運(yùn)行的和業(yè)務(wù)連續(xù)性的都可以認(rèn)為是信息安全問(wèn)題；不同業(yè)務(wù)系統(tǒng)、不同發(fā)展階段、不同地域和行政隸屬層次的安全要求屬性和強(qiáng)度存在較大差異性。經(jīng)過(guò)我國(guó)信息安全領(lǐng)域有關(guān)部門和專家學(xué)者的多年研究，在借鑒國(guó)外先進(jìn)經(jīng)驗(yàn)和結(jié)合我國(guó)國(guó)情的基礎(chǔ)上，提出了分等級(jí)保護(hù)的策略來(lái)解決信息網(wǎng)絡(luò)安全問(wèn)題，即針對(duì)信息系統(tǒng)建設(shè)和使用單位，根據(jù)其單位的重要程度、信息系統(tǒng)承載業(yè)務(wù)的重要程度、信息內(nèi)容的重要程度、系統(tǒng)遭到攻擊破壞后造成的危害程度等安全需求以及安全成本等因素，依據(jù)國(guó)家規(guī)定的等級(jí)劃分標(biāo)準(zhǔn)，設(shè)定其保護(hù)等級(jí)，自主進(jìn)行信息系統(tǒng)安全建設(shè)和安全管理，提高安全保護(hù)的科學(xué)性、整體性、實(shí)用性。按照國(guó)家《信息安全等級(jí)保護(hù)管理辦法》的相關(guān)要求，XXXX網(wǎng)絡(luò)中心數(shù)據(jù)中心的安全保護(hù)等級(jí)總體上應(yīng)達(dá)到第三級(jí)（監(jiān)督保護(hù)級(jí)）。參考信息系統(tǒng)安全三級(jí)保護(hù)的基本要求，XXXX數(shù)據(jù)中心在安全方面還主要存在以下不足：網(wǎng)絡(luò)安全方面尚不能對(duì)網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行安全審計(jì)，對(duì)各類網(wǎng)絡(luò)違規(guī)或異常行為、網(wǎng)絡(luò)資源濫用行為、涉密信息及敏感言論的傳播缺乏相應(yīng)的監(jiān)管手段；本項(xiàng)目新構(gòu)建的核心數(shù)據(jù)區(qū)缺乏網(wǎng)絡(luò)安全防護(hù)手段。（2）主機(jī)系統(tǒng)安全方面目前網(wǎng)絡(luò)中心雖然配置了網(wǎng)絡(luò)防病毒軟件，但由于軟件使用授權(quán)已到期，防病毒引擎得不到及時(shí)的更新，無(wú)法對(duì)病毒、惡意代碼進(jìn)行有效防治；應(yīng)用系統(tǒng)缺乏在線備份系統(tǒng)，無(wú)法實(shí)現(xiàn)受損系統(tǒng)的及時(shí)恢復(fù)；同時(shí)，缺乏必要的主機(jī)審計(jì)手段，對(duì)主機(jī)的使用進(jìn)行監(jiān)控和管理。（3）數(shù)據(jù)及應(yīng)用安全方面數(shù)據(jù)的安全依賴于本地的磁帶庫(kù)離線備份系統(tǒng)?？紤]到本項(xiàng)目建成后將集中存儲(chǔ)全院的科研資源數(shù)據(jù)、科研項(xiàng)目數(shù)據(jù)、人力、財(cái)務(wù)、基建項(xiàng)目、科研知識(shí)、農(nóng)業(yè)文獻(xiàn)等重要數(shù)據(jù)，而目前由于缺乏能夠?qū)崟r(shí)、在線備份數(shù)據(jù)的備份系統(tǒng)，數(shù)據(jù)安全存在較大隱患。（4）安全管理方面由前述安全系統(tǒng)評(píng)估可以看出，部局目前雖然配備了一些安全設(shè)備，但各設(shè)備較為孤立，缺乏聯(lián)動(dòng)和統(tǒng)一管理，不能形成合力來(lái)提高系統(tǒng)整體安全防護(hù)能力。建設(shè)原則（1）綜合防范，適度安全在三級(jí)信息系統(tǒng)網(wǎng)絡(luò)建設(shè)時(shí)，必須充分考慮來(lái)自網(wǎng)絡(luò)的各種威脅，采取適當(dāng)?shù)陌踩胧?，進(jìn)行綜合防范。同時(shí)，以應(yīng)用為主導(dǎo)，充分分析應(yīng)用系統(tǒng)的功能，在有效保證應(yīng)用的前提下，安全保密建設(shè)經(jīng)濟(jì)適用、適度安全、易于使用、易于實(shí)施。（2）分域防控、分類防護(hù)貫徹等級(jí)保護(hù)思想，針對(duì)不同的安全域采用不同的安全防護(hù)策略，通過(guò)制定安全策略，實(shí)施分區(qū)邊界防護(hù)和區(qū)間訪問(wèn)控制，保證信息的安全隔離和安全交換。（3）誰(shuí)主管誰(shuí)負(fù)責(zé)基于等級(jí)保護(hù)的XXXX網(wǎng)絡(luò)的建設(shè)過(guò)程中，部門網(wǎng)絡(luò)的內(nèi)部安全問(wèn)題應(yīng)根據(jù)本單位的安全需求和實(shí)際情況，依據(jù)國(guó)家相關(guān)政策自行開(kāi)展信息安全建設(shè)。（4）安全保密一體化在安全保密建設(shè)中，無(wú)論是技術(shù)的采用、還是設(shè)備的選配，必須堅(jiān)持安全保密一體化的原則，這樣建設(shè)的系統(tǒng)才最為有效、最為經(jīng)濟(jì)。安全系統(tǒng)建設(shè)目標(biāo)為落實(shí)和貫徹公安部、國(guó)家保密局、國(guó)家密碼管理局等有關(guān)部門信息安全等級(jí)保護(hù)工作要求，全面完善信息安全防護(hù)體系，確保等級(jí)保護(hù)工作在各單位的順利實(shí)施，提高公司整體信息安全防護(hù)水平，開(kāi)展等級(jí)保護(hù)建設(shè)工作。本方案主要遵循GB/T22239-2008《信息安全技術(shù)信息安全等級(jí)保護(hù)基本要求》、《信息安全等級(jí)保護(hù)管理辦法》（公通字[2007]43號(hào)）、《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB/T20984-2007）、ISO/IEC27001信息安全管理體系標(biāo)準(zhǔn)和ISO/IEC13335信息安全管理標(biāo)準(zhǔn)等。通過(guò)本方案的建設(shè)實(shí)施，進(jìn)一步提高信息系統(tǒng)等級(jí)保護(hù)符合性要求，將整個(gè)信息系統(tǒng)的安全狀況達(dá)到信息系統(tǒng)安全三級(jí)保護(hù)的水平，并盡可能地消除或降低信息系統(tǒng)的安全風(fēng)險(xiǎn)。安全體系總體設(shè)計(jì)以當(dāng)前安全現(xiàn)狀為基礎(chǔ)，通過(guò)安全設(shè)備的部署、安全技術(shù)的應(yīng)用和安全管理制度的制定和完善，全面網(wǎng)絡(luò)信息系統(tǒng)的安全性，具體的安全系統(tǒng)建設(shè)應(yīng)從網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、數(shù)據(jù)及應(yīng)用安全、安全管理四個(gè)方面分別進(jìn)行，通過(guò)系統(tǒng)安全建設(shè)，使整個(gè)網(wǎng)絡(luò)能面對(duì)目前和未來(lái)一段時(shí)期內(nèi)的安全威脅，實(shí)現(xiàn)對(duì)全網(wǎng)安全狀況的統(tǒng)一監(jiān)控和管理，更好地保障整個(gè)網(wǎng)絡(luò)的正常運(yùn)行，全面提升信息安全系統(tǒng)的安全等級(jí)。根據(jù)已知需求，針對(duì)XXXX網(wǎng)絡(luò)中心現(xiàn)有安全系統(tǒng)的不足，并根據(jù)本項(xiàng)目相關(guān)業(yè)務(wù)應(yīng)用的需求，本項(xiàng)目將采取以下網(wǎng)絡(luò)安全系統(tǒng)建設(shè)策略，結(jié)構(gòu)圖如下：在網(wǎng)絡(luò)安全方面，進(jìn)行網(wǎng)絡(luò)安全審計(jì)系統(tǒng)和入侵檢測(cè)系統(tǒng)的建設(shè)；進(jìn)行漏洞掃描系統(tǒng)的建設(shè)；針對(duì)本項(xiàng)目新構(gòu)建的核心數(shù)據(jù)區(qū)，在核心數(shù)據(jù)區(qū)與中心交換機(jī)之間建設(shè)防火墻。在主機(jī)系統(tǒng)安全方面，進(jìn)行主機(jī)審計(jì)系統(tǒng)的建設(shè)。數(shù)據(jù)及應(yīng)用安全方面，在核心數(shù)據(jù)區(qū)建設(shè)虛擬化的備份系統(tǒng)。在安全管理方面，建設(shè)統(tǒng)一的安全管理系統(tǒng)。物理安全，包括安全設(shè)施的選擇和建設(shè)、設(shè)施安全管理、人員管理控制。網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)根據(jù)安全現(xiàn)狀，我方將針對(duì)信息系統(tǒng)存在的漏洞、弱點(diǎn)提出相關(guān)的整改意見(jiàn)，并最終形成安全解決方案。通信邊界域通過(guò)對(duì)進(jìn)入和流出安全保護(hù)環(huán)境的信息流進(jìn)行安全檢查，確保不會(huì)有違反系統(tǒng)安全策略的信息流經(jīng)過(guò)邊界。安全管理區(qū)安全管理區(qū)是系統(tǒng)的安全控制中樞，主要實(shí)施標(biāo)記管理、授權(quán)管理及策略管理等。安全管理子系統(tǒng)通過(guò)制定相應(yīng)的系統(tǒng)安全策略，并要求節(jié)點(diǎn)子系統(tǒng)、區(qū)域邊界子系統(tǒng)和通信網(wǎng)絡(luò)子系統(tǒng)強(qiáng)制執(zhí)行，從而實(shí)現(xiàn)對(duì)整個(gè)信息系統(tǒng)的集中管理。本次建設(shè)一下內(nèi)容：（1）網(wǎng)絡(luò)安全審計(jì)系統(tǒng)本項(xiàng)目配置1套網(wǎng)絡(luò)安全審計(jì)系統(tǒng)（含1臺(tái)審計(jì)引擎及配套管理軟件），將審計(jì)引擎以旁路的方式接入核心交換機(jī)，并配置安全審計(jì)服務(wù)器1臺(tái)，部署相應(yīng)的審計(jì)管理軟件，構(gòu)成XXXX網(wǎng)絡(luò)中心網(wǎng)絡(luò)安全審計(jì)系統(tǒng)。網(wǎng)絡(luò)安全審計(jì)系統(tǒng)可實(shí)現(xiàn)對(duì)用戶的網(wǎng)絡(luò)行為、網(wǎng)絡(luò)傳輸內(nèi)容進(jìn)行監(jiān)控；實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)行為進(jìn)行統(tǒng)計(jì)分析和事后取證；對(duì)網(wǎng)絡(luò)潛在威脅者予以威懾。（2）入侵檢測(cè)系統(tǒng)本項(xiàng)目配置1套入侵檢測(cè)系統(tǒng)，將入侵檢測(cè)引擎以旁路的方式接入核心交換機(jī)構(gòu)成XXXX網(wǎng)絡(luò)中心入侵檢測(cè)系統(tǒng)。入侵檢測(cè)系統(tǒng)對(duì)網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)視，在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施。（3）漏洞掃描系統(tǒng)本項(xiàng)目配置1套漏洞掃描系統(tǒng)，將漏洞掃描引擎以旁路的方式接入核心交換機(jī)構(gòu)成XXXX網(wǎng)絡(luò)中心漏洞掃描系統(tǒng)。漏洞掃描系統(tǒng)支持分布掃描、集中管理、綜合分析、多級(jí)控制功能。能夠跨地域?qū)Χ鄠€(gè)網(wǎng)絡(luò)同時(shí)進(jìn)行漏洞掃描，并能夠集中管理、配置各掃描引擎，將掃描結(jié)果集中分析，同時(shí)提供詳細(xì)的系統(tǒng)脆弱性修補(bǔ)方案。。（4）統(tǒng)一安全管理系統(tǒng)本項(xiàng)目配置1套統(tǒng)一安全管理系統(tǒng)，輔助網(wǎng)絡(luò)管理人員實(shí)現(xiàn)對(duì)XXXX網(wǎng)絡(luò)中心所有網(wǎng)絡(luò)設(shè)備、安全設(shè)備的統(tǒng)一管理。統(tǒng)一安全管理系統(tǒng)為軟硬件一體化的機(jī)架式設(shè)備，通過(guò)日志分析與審計(jì)、自動(dòng)安全預(yù)警、預(yù)先制定安全響應(yīng)策略實(shí)現(xiàn)設(shè)備間聯(lián)動(dòng)等手段，能對(duì)各種主流品牌的網(wǎng)絡(luò)設(shè)備、安全設(shè)備進(jìn)行統(tǒng)一管理，解決了網(wǎng)絡(luò)與安全設(shè)備相互孤立、網(wǎng)絡(luò)安全狀況掌握不直觀、安全事件相應(yīng)慢、網(wǎng)絡(luò)故障定位困難等問(wèn)題，實(shí)現(xiàn)了XXXX網(wǎng)絡(luò)中心安全管理手段的整合和管理能力的全面提升。（5）防病毒系統(tǒng)本項(xiàng)目配置1套病毒系統(tǒng)，根據(jù)系統(tǒng)特性，采取相應(yīng)的系統(tǒng)安全措施預(yù)防病毒侵入計(jì)算機(jī)。在計(jì)算機(jī)上安裝防病毒軟件，以便在病毒侵入系統(tǒng)時(shí)發(fā)出警報(bào)，并記錄攜帶病毒的文件，及時(shí)清除其中的病毒；對(duì)網(wǎng)絡(luò)而言，能夠向網(wǎng)絡(luò)管理員發(fā)送關(guān)于病毒入侵的信息，記錄病毒入侵的工作站，必要時(shí)還能夠注銷工作站，隔離病毒源。（6）防病毒系統(tǒng)網(wǎng)絡(luò)管理服務(wù)器，利用接入核心交換的一臺(tái)機(jī)器，對(duì)網(wǎng)絡(luò)內(nèi)的設(shè)備登錄管理。通信邊界區(qū)內(nèi)部用戶接入分為兩種接入，一是院內(nèi)局域網(wǎng)直接通過(guò)接入交換機(jī)接入，二是院外用戶使用VPN方式接入電信廣月昂，通過(guò)冗余路由器、防火墻進(jìn)行訪問(wèn)控制。（1）防火墻本項(xiàng)目配置1臺(tái)千兆級(jí)防火墻，與原防火墻以雙機(jī)熱備的方式，為網(wǎng)絡(luò)中心局域網(wǎng)提供網(wǎng)絡(luò)安全防護(hù)。防火墻主要負(fù)責(zé)保護(hù)核心數(shù)據(jù)區(qū)的服務(wù)器群，可針對(duì)訪問(wèn)需要，僅打開(kāi)必要的通訊端口和地址，從而有效控制絕大多數(shù)違規(guī)訪問(wèn)；可有效的防御Dos/DDos攻擊、ARP欺騙攻擊、TCP報(bào)文標(biāo)志位不合法攻擊、超大ICMP攻擊等各類網(wǎng)絡(luò)層攻擊手段；可實(shí)現(xiàn)靜態(tài)/動(dòng)態(tài)黑名單管理、MAC綁定、安全區(qū)域控制等功能。（2）VPN安全網(wǎng)關(guān)配置1臺(tái)VPN安全網(wǎng)關(guān)，利用服務(wù)提供商所提供的公共網(wǎng)絡(luò)來(lái)實(shí)現(xiàn)XXXX本部與院外直屬機(jī)構(gòu)之間的遠(yuǎn)程廣域連接。系統(tǒng)應(yīng)能夠支持不少于2個(gè)節(jié)點(diǎn)的IPSec遠(yuǎn)程廣域連接，支持不少于4200用戶的并發(fā)SSLVPN訪問(wèn)。外部用戶接入（1）國(guó)家科技圖書文獻(xiàn)網(wǎng)絡(luò)接入，通過(guò)防火墻和接入路由器接入。（2）農(nóng)業(yè)部接入，農(nóng)業(yè)部接入是通過(guò)XXXX財(cái)務(wù)專線接入網(wǎng)絡(luò)安全設(shè)備配置清單序號(hào)設(shè)備名稱單位數(shù)量規(guī)格備注1安全系統(tǒng)1.1網(wǎng)絡(luò)安全審計(jì)系統(tǒng)臺(tái)1含審計(jì)引擎及管理軟件購(gòu)置1.2入侵檢測(cè)系統(tǒng)臺(tái)1軟硬件一體化購(gòu)置1.3漏洞掃描系統(tǒng)臺(tái)1軟硬件一體化購(gòu)置1.4防火墻臺(tái)1千兆級(jí)購(gòu)置1.5VPN網(wǎng)關(guān)套1千兆級(jí),吞吐率1G，支持不少于兩個(gè)點(diǎn)IPSecVPN互聯(lián)，SSLVPN并發(fā)訪問(wèn)數(shù)不小于4200購(gòu)置1.6統(tǒng)一安全管理系統(tǒng)臺(tái)1工作組級(jí)，2CPU，8GB內(nèi)存購(gòu)置1.7主機(jī)審計(jì)系統(tǒng)套118個(gè)點(diǎn)購(gòu)置2備份系統(tǒng)2.1虛擬磁帶庫(kù)臺(tái)16×750G7200轉(zhuǎn)SATA硬盤購(gòu)置2.2備份服務(wù)器臺(tái)1CPU：IntelXeonDP四核，主頻>=2.0GHz；CPU數(shù)量>=2個(gè)，可擴(kuò)充>=2;內(nèi)存>=8GB，最大>=128GB;熱插拔SAS硬盤>=2個(gè)146GB,>=10000轉(zhuǎn)可利舊或購(gòu)置3系統(tǒng)軟件3.1備份軟件套1支持SAN、LAN環(huán)境下，數(shù)據(jù)庫(kù)、操作系統(tǒng)和文件系統(tǒng)的備份和恢復(fù)；

支持遠(yuǎn)程數(shù)據(jù)備份和遠(yuǎn)程災(zāi)難恢復(fù)購(gòu)置3.2防病毒軟件套1支持自動(dòng)防護(hù)和、自動(dòng)升級(jí)功能和自動(dòng)分發(fā)功能，100用戶購(gòu)置網(wǎng)絡(luò)安全軟硬件部署設(shè)計(jì)1．網(wǎng)絡(luò)安全設(shè)備安全設(shè)備中的機(jī)房防火墻1、防火墻3、網(wǎng)絡(luò)安全審計(jì)系統(tǒng)、VPN網(wǎng)關(guān)、漏洞掃描系統(tǒng)、入侵檢測(cè)系統(tǒng)、統(tǒng)一安全管理系統(tǒng)設(shè)備部署在網(wǎng)絡(luò)機(jī)柜3，備份服務(wù)器、虛擬磁帶庫(kù)部署在服務(wù)器機(jī)柜3中，防火墻2安裝在網(wǎng)絡(luò)機(jī)柜1中與防火墻2組成因特網(wǎng)接入防火墻的冗余結(jié)構(gòu)。部署設(shè)計(jì)如下圖所示：2．主機(jī)審計(jì)系統(tǒng)部署如下部署點(diǎn)：WEB服務(wù)器3臺(tái)、應(yīng)用服務(wù)器12臺(tái)、備份服務(wù)器1臺(tái)、數(shù)據(jù)庫(kù)服務(wù)器2臺(tái)共18個(gè)。3．防病毒軟件部署點(diǎn)：WEB服務(wù)器3臺(tái)、應(yīng)用服務(wù)器12臺(tái)、備份服務(wù)器1臺(tái)、數(shù)據(jù)庫(kù)服務(wù)器2臺(tái)、其它服務(wù)器、操作終端。主機(jī)安全設(shè)計(jì)目前網(wǎng)絡(luò)中心雖然配置了網(wǎng)絡(luò)防病毒軟件，對(duì)病毒、惡意代碼進(jìn)行有效防治；應(yīng)用系統(tǒng)配置在線備份系統(tǒng)，實(shí)現(xiàn)受損系統(tǒng)的及時(shí)恢復(fù)；同時(shí)，配置的網(wǎng)絡(luò)審計(jì)手段，對(duì)主機(jī)的使用進(jìn)行監(jiān)控和管理。（1）防病毒與病毒查殺技術(shù)在一個(gè)整體病毒防護(hù)方案中，防病毒是重要的支點(diǎn)。對(duì)木馬的防范，除了通常的桌面防病毒產(chǎn)品外，還有一些專門的木馬查殺產(chǎn)品，查殺產(chǎn)品擁有查殺流行木馬、清理惡評(píng)及系統(tǒng)插件、管理應(yīng)用軟件、系統(tǒng)實(shí)時(shí)保護(hù)，修復(fù)系統(tǒng)漏洞等數(shù)個(gè)強(qiáng)勁功能，同時(shí)還提供系統(tǒng)全面診斷，彈出插件免疫，清理使用痕跡以及系統(tǒng)還原等特定輔助功能，并且提供對(duì)系統(tǒng)的全面診斷報(bào)告，方便用戶及時(shí)定位問(wèn)題所在，為用戶提供全方位的系統(tǒng)保護(hù)。（2）網(wǎng)絡(luò)審計(jì)技術(shù)建設(shè)一個(gè)完整的安全系統(tǒng)所必需有的功能。用戶操作行為審計(jì)與監(jiān)控。采用旁路式Agent的方式對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)進(jìn)行有效的監(jiān)控，及時(shí)發(fā)現(xiàn)非法用戶對(duì)數(shù)據(jù)庫(kù)資源的訪問(wèn)與侵入，并給予報(bào)警。用戶操作行為審計(jì)監(jiān)控系統(tǒng)主要用于監(jiān)視并記錄對(duì)數(shù)據(jù)庫(kù)服務(wù)器以及應(yīng)用服務(wù)器的各類操作行為，通過(guò)對(duì)網(wǎng)絡(luò)數(shù)據(jù)的分析，實(shí)時(shí)地、智能地解析對(duì)數(shù)據(jù)庫(kù)服務(wù)器的各種操作，一般操作行為如數(shù)據(jù)庫(kù)的登錄、注銷動(dòng)作，特定的操作如對(duì)數(shù)據(jù)表的插入、執(zhí)行特定的存貯過(guò)程等，都可以被記錄和分析，分析的內(nèi)容可以精確到SQL操作語(yǔ)句一級(jí)。它還可以根據(jù)設(shè)置的規(guī)則，智能的判斷出違規(guī)操作數(shù)據(jù)庫(kù)的行為，并對(duì)違規(guī)行為進(jìn)行記錄、報(bào)警和實(shí)時(shí)阻斷。根據(jù)信息安全系統(tǒng)的要求，需要對(duì)內(nèi)網(wǎng)中的主機(jī)等核心業(yè)務(wù)數(shù)據(jù)庫(kù)進(jìn)行審計(jì)監(jiān)控監(jiān)測(cè)。（3）在線備份技術(shù)將用戶數(shù)據(jù)自動(dòng)通過(guò)互聯(lián)網(wǎng)備份到遠(yuǎn)程數(shù)據(jù)中心，相對(duì)于本機(jī)備份和其他儲(chǔ)存介質(zhì)備份方式，在線備份具自動(dòng)、安全、便捷的特點(diǎn)，安全性是在線備份的最突出特點(diǎn)。將數(shù)據(jù)備份在專業(yè)的數(shù)據(jù)中心就象將貴重物品存放在銀行保險(xiǎn)箱中一樣，用戶不必?fù)?dān)心由于硬件丟失、損壞或誤操作等情況造成的數(shù)據(jù)丟失，物理安全設(shè)計(jì)物理安全涉及到與保護(hù)信息系統(tǒng)和敏感信息的實(shí)體有關(guān)的威脅缺陷和防范措施。這些資源包括人員、數(shù)據(jù)、設(shè)備、支持系統(tǒng)、介質(zhì)和所需的供給品。物理安全的控制措施主要包括安全設(shè)施的選擇和建設(shè)、設(shè)施安全管理、人員管理控制。按照國(guó)家相關(guān)標(biāo)準(zhǔn)，機(jī)房的安全等級(jí)分為A、B、C三類，具體如下。A類：對(duì)計(jì)算機(jī)機(jī)房的安全有嚴(yán)格的要求，有完善的計(jì)算機(jī)機(jī)房安全措施。該類機(jī)房防止需要最高安全性和可靠性的系統(tǒng)和設(shè)備。B類：對(duì)計(jì)算機(jī)機(jī)房的安全有較嚴(yán)格的要求，有較完善的計(jì)算機(jī)機(jī)房安全措施。他的安全性介于A類和C類之間。C類：對(duì)計(jì)算機(jī)機(jī)房的安全有基本的要求，有基本的要求，有基本的計(jì)算機(jī)機(jī)房安全措施。該類機(jī)房存放只需最低限度的安全性和可靠性的一般性系統(tǒng)。根據(jù)以上標(biāo)準(zhǔn)，本級(jí)建設(shè)及配套工程設(shè)計(jì)含下列內(nèi)容：（1）電氣工程電氣工程包括：機(jī)房配電系統(tǒng)、UPS電源系統(tǒng)和照明系統(tǒng)。（2）空調(diào)及新風(fēng)系統(tǒng)選用機(jī)房專用恒溫恒濕空調(diào)，以保證機(jī)房的溫濕度滿足設(shè)備安全可靠高效運(yùn)行的要求，機(jī)房所配的新風(fēng)能夠滿足工作人員和風(fēng)量補(bǔ)充的要求。（3）綜合布線系統(tǒng)在機(jī)房?jī)?nèi)建立一個(gè)方便、通暢的信息傳輸系統(tǒng)，保證信息系統(tǒng)的運(yùn)行，保證機(jī)房與外界的聯(lián)通。數(shù)據(jù)及應(yīng)用安全設(shè)計(jì)身份認(rèn)證與授權(quán)管理系統(tǒng)設(shè)計(jì)1、訪問(wèn)控制和授權(quán)管理通過(guò)用戶身份認(rèn)證系統(tǒng)對(duì)用戶的身份進(jìn)行確認(rèn)之后，即可對(duì)用戶的訪問(wèn)請(qǐng)求根據(jù)系統(tǒng)運(yùn)行環(huán)境和訪問(wèn)控制策略進(jìn)行授權(quán)，以確定用戶對(duì)他人資源、網(wǎng)絡(luò)資源和信息資源的訪問(wèn)權(quán)限。實(shí)施有效的訪問(wèn)授權(quán)的基礎(chǔ)是系統(tǒng)訪問(wèn)授權(quán)規(guī)則的制定，這需要結(jié)合安全管理體系對(duì)全網(wǎng)內(nèi)部工作流程和安全職責(zé)劃分進(jìn)行調(diào)研。（1）信息內(nèi)容控制管理員與一般用戶的權(quán)限各類業(yè)務(wù)的子系統(tǒng)管理員，即二級(jí)管理員，負(fù)責(zé)對(duì)本子系統(tǒng)不同信息分類進(jìn)行具體授權(quán)，包括默認(rèn)權(quán)限與分類權(quán)限，達(dá)到確保與紙質(zhì)文件完全相同的權(quán)限控制。一般用戶只享有系統(tǒng)指定自己所默認(rèn)擁有的涉密信息訪問(wèn)權(quán)限，或?qū)ψ约寒a(chǎn)生的信息確定授權(quán)范圍，或擁有他人授權(quán)自己查詢的信息訪問(wèn)權(quán)限。（2）系統(tǒng)維護(hù)部門掌握所有操作系統(tǒng)、數(shù)據(jù)庫(kù)和應(yīng)用程序系統(tǒng)維護(hù)部門就是系統(tǒng)的技術(shù)支撐部門，負(fù)責(zé)系統(tǒng)的安裝、維護(hù)，負(fù)責(zé)軟、硬件設(shè)備（服務(wù)器、網(wǎng)絡(luò)、客戶端和各類應(yīng)用程序）的正常運(yùn)轉(zhuǎn)和數(shù)據(jù)的安全備份、檢查。在具體的實(shí)施過(guò)程中，需要以下兩個(gè)方面來(lái)進(jìn)行授權(quán)和控制。（1）授權(quán)管理中心在信息系統(tǒng)中設(shè)立專門的授權(quán)管理中心，以訪問(wèn)授權(quán)服務(wù)的方式向有關(guān)的應(yīng)用系統(tǒng)提供訪問(wèn)請(qǐng)求的授權(quán)。在這種模式下，應(yīng)用系統(tǒng)將用戶發(fā)出的訪問(wèn)請(qǐng)求通過(guò)可信信道轉(zhuǎn)到授權(quán)管理中心，由授權(quán)管理中心根據(jù)統(tǒng)一的訪問(wèn)授權(quán)策略進(jìn)行授權(quán)，然后將授權(quán)結(jié)果返回給應(yīng)用系統(tǒng)。這種方式能較好地實(shí)現(xiàn)內(nèi)部安全策略的一致性，但需要對(duì)應(yīng)用系統(tǒng)的訪問(wèn)授權(quán)接口進(jìn)行改造，同時(shí)對(duì)授權(quán)服務(wù)的交互過(guò)程也需要采用多種方式的安全保護(hù)以確保授權(quán)過(guò)程的可靠性。同時(shí)，對(duì)訪問(wèn)授權(quán)過(guò)程中發(fā)現(xiàn)的安全漏洞或隱患也能通過(guò)比較一致的方法進(jìn)行分析，比較容易發(fā)現(xiàn)安全策略中存在的問(wèn)題。（2）訪問(wèn)控制系統(tǒng)在完成內(nèi)部用戶身份認(rèn)證的基礎(chǔ)上，訪問(wèn)控制系統(tǒng)還通過(guò)授權(quán)管理中心對(duì)全網(wǎng)范圍內(nèi)的訪問(wèn)授權(quán)實(shí)施統(tǒng)一的管理。授權(quán)管理中心負(fù)責(zé)根據(jù)管理員統(tǒng)一設(shè)置的全網(wǎng)安全管理策略為內(nèi)網(wǎng)的各關(guān)鍵設(shè)備或應(yīng)用系統(tǒng)制定相應(yīng)的訪問(wèn)授權(quán)規(guī)則，然后直接將訪問(wèn)授權(quán)規(guī)則注入目標(biāo)系統(tǒng)或向目標(biāo)系統(tǒng)提供訪問(wèn)授權(quán)服務(wù)。為實(shí)現(xiàn)上述功能，授權(quán)管理中心的功能將包括：（1）全局安全策略的設(shè)置：提供圖形化的界面幫助管理員設(shè)置和維護(hù)整個(gè)網(wǎng)絡(luò)與信息安全系統(tǒng)的安全管理策略。（2）內(nèi)網(wǎng)邏輯視圖管理：向管理員提供對(duì)整個(gè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)邏輯視圖的管理功能，描述每個(gè)被管對(duì)象的屬性（含授權(quán)規(guī)則的映射關(guān)系）。（3）授權(quán)規(guī)則的轉(zhuǎn)化：將全局的訪問(wèn)授權(quán)規(guī)則依次轉(zhuǎn)化為每個(gè)被管系統(tǒng)的訪問(wèn)授權(quán)規(guī)則。（4）授權(quán)規(guī)則的注入：向被管系統(tǒng)注入轉(zhuǎn)化后的訪問(wèn)授權(quán)規(guī)則，此功能適用于自行完成訪問(wèn)授權(quán)操作的目標(biāo)系統(tǒng)。（5）訪問(wèn)授權(quán)服務(wù)：向自身不提供訪問(wèn)授權(quán)功能的目標(biāo)系統(tǒng)提供訪問(wèn)授權(quán)服務(wù)。數(shù)據(jù)庫(kù)安全的機(jī)制1、對(duì)數(shù)據(jù)庫(kù)系統(tǒng)所管理的數(shù)據(jù)和資源提供安全保護(hù)，一般包括以下幾點(diǎn)：物理完整性，即數(shù)據(jù)能夠免于物理方面破壞的問(wèn)題，如掉電、火災(zāi)等；邏輯完整性，能夠保持?jǐn)?shù)據(jù)庫(kù)的結(jié)構(gòu)，如對(duì)一個(gè)字段的修改不至于影響其它字段；元素完整性，包括在每個(gè)元素中的數(shù)據(jù)是準(zhǔn)確的；數(shù)據(jù)的加密；用戶鑒別，確保每個(gè)用戶被正確識(shí)別，避免非法用戶入侵；可獲得性，指用戶一般可訪問(wèn)數(shù)據(jù)庫(kù)和所有授權(quán)訪問(wèn)的數(shù)據(jù)；可審計(jì)性，能夠追蹤到誰(shuí)訪問(wèn)過(guò)數(shù)據(jù)庫(kù)。2、實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)的安全保護(hù)措施：事前防范：數(shù)據(jù)庫(kù)權(quán)限管理；事發(fā)檢測(cè)、預(yù)警：數(shù)據(jù)庫(kù)安全監(jiān)測(cè)；事后恢復(fù)：數(shù)據(jù)庫(kù)備份。數(shù)據(jù)備份與恢復(fù)體系設(shè)計(jì)在以信息為基礎(chǔ)的商業(yè)時(shí)代，對(duì)大多數(shù)企業(yè)來(lái)說(shuō)，保持計(jì)算機(jī)關(guān)鍵數(shù)據(jù)和應(yīng)用系統(tǒng)始終處于正常運(yùn)行狀態(tài)，這是最起碼的要求了。但是，無(wú)論我們?nèi)绾涡⌒囊硪?，一?chǎng)災(zāi)難的降臨還是可能使企業(yè)數(shù)據(jù)毀于一旦。供電故障、地震、火災(zāi)、洪水、冰雹、雷電、颶風(fēng)等，都可能導(dǎo)致企業(yè)信息系統(tǒng)的癱瘓。所以，在信息網(wǎng)絡(luò)安全系統(tǒng)中必須制定適當(dāng)?shù)臑?zāi)難備份及恢復(fù)措施，來(lái)保障企業(yè)各種重要數(shù)據(jù)的安全。1、數(shù)據(jù)存在嚴(yán)重的安全隱患目前在信息系統(tǒng)內(nèi)部導(dǎo)致數(shù)據(jù)失效有很多原因，主要包括： 自然災(zāi)害，如：地震、火災(zāi)、雷電、洪水、颶風(fēng)等； 犯罪，如：盜竊、故意破壞、病毒等； 硬件故障，如：硬盤劃傷等； 軟件故障，如：系統(tǒng)軟件出錯(cuò)等； 人為因素，如：誤操作、誤刪除等；但隨著企業(yè)計(jì)算機(jī)規(guī)模的擴(kuò)大，數(shù)據(jù)量幾何級(jí)的增長(zhǎng)以及分布式網(wǎng)絡(luò)環(huán)境的興起，企業(yè)將越來(lái)越多的業(yè)務(wù)分布在不同的機(jī)器、不同的操作平臺(tái)上，這種單機(jī)的人工冷備份方式越來(lái)越不適應(yīng)當(dāng)今分布式網(wǎng)絡(luò)環(huán)境，存在以下種種弊端：(1)數(shù)據(jù)管理工作難以形成制度化，數(shù)據(jù)丟失現(xiàn)象難以避免；(2)數(shù)據(jù)分散在不同的機(jī)器、不同的應(yīng)用上，管理分散，安全性得不到保障；(3)難以實(shí)現(xiàn)數(shù)據(jù)庫(kù)數(shù)據(jù)的高效在線備份；(4)運(yùn)行著的系統(tǒng)使得維護(hù)人員寸步難