第一篇：HP數(shù)據(jù)中心建設(shè)及整合解決方案

HP數(shù)據(jù)中心建設(shè)及整合解決方案

從業(yè)務(wù)視角規(guī)劃IT戰(zhàn)略與架構(gòu)

許多企業(yè)在對(duì)IT架構(gòu)進(jìn)行戰(zhàn)略規(guī)劃時(shí)，常常遇到這樣一些難題：IT部門無法收集到完整的需求，業(yè)務(wù)部門說不清自己的需求，不同部門的需求很難統(tǒng)一，解決方案被某個(gè)廠商牽著鼻子走，等等?？傮w來看，產(chǎn)生上述問題的原因主要就在于企業(yè)的業(yè)務(wù)部門和IT部門相互獨(dú)立，往往只從自己的視角出發(fā)看待問題。為了改善這一現(xiàn)狀，HP基于多年的豐富經(jīng)驗(yàn)，獨(dú)創(chuàng)了一套用于制定IT戰(zhàn)略與搭建IT架構(gòu)的方法論——ITSA(IT Strategy and Architecture，IT戰(zhàn)略與架構(gòu))。

ITSA旨在為業(yè)務(wù)部門和IT部門之間架起一座橋梁，ITSA將企業(yè)的主要業(yè)務(wù)和IT利益相關(guān)者的需求進(jìn)行綜合，以確保解決方案的設(shè)計(jì)和實(shí)施滿足業(yè)務(wù)要求，并且利用最先進(jìn)的技術(shù)，從而幫助企業(yè)遠(yuǎn)離技術(shù)和業(yè)務(wù)迅速變化所帶來的復(fù)雜性。ITSA方法論的核心是一個(gè)包含四個(gè)視角的模型，它為IT架構(gòu)師和解決方案設(shè)計(jì)師從四個(gè)角度全面獲取關(guān)鍵信息提供了系統(tǒng)化的方法：

業(yè)務(wù)視角(Why)：IT，歸根結(jié)底是要服務(wù)于業(yè)務(wù)，因此我們首先必須從業(yè)務(wù)的角度來考慮我們?yōu)槭裁匆罱ㄒ粋€(gè)IT架構(gòu)。我們需要了解：我們的業(yè)務(wù)模式是什么，流程是怎樣的？在業(yè)務(wù)流程中，涉及到公司哪些部門及上下游合作伙伴？項(xiàng)目目標(biāo)是什么？如何衡量最后的結(jié)果？

功能視角(What)：接著，我們要考慮這個(gè)IT架構(gòu)應(yīng)具備什么樣的功能：這套系統(tǒng)將被如何使用，它要提供什么樣的服務(wù)？此系統(tǒng)要為哪些人提供哪些信息？這套系統(tǒng)如何進(jìn)行控制和管理？

技術(shù)視角(How)：然后，我們要考慮，要借助什么技術(shù)來實(shí)現(xiàn)它：如何架構(gòu)和建設(shè)系統(tǒng)？采用什么樣的界面？需要什么樣的應(yīng)用和數(shù)據(jù)？采用什么標(biāo)準(zhǔn)？

實(shí)施視角(With)：最后落實(shí)到操作層面，我們要考慮的就是如何來實(shí)施：采用什么廠商的什么產(chǎn)品？如何進(jìn)行系統(tǒng)開發(fā)與部署？項(xiàng)目管理、資金等問題？

通過以上四個(gè)角度進(jìn)行的ITSA分析，具有業(yè)務(wù)驅(qū)動(dòng)、自頂向下、環(huán)環(huán)相扣的特點(diǎn)，使分析結(jié)果更全面、客觀，能夠確保發(fā)現(xiàn)企業(yè)的真實(shí)需求，確保選擇實(shí)施的解決方案與戰(zhàn)略業(yè)務(wù)目標(biāo)完全吻合。過去十余年以來，HP已成功應(yīng)用ITSA方法論為全球數(shù)百個(gè)企業(yè)客戶交付體系架構(gòu)服務(wù)。在這套專業(yè)科學(xué)、久經(jīng)考驗(yàn)的方法論的指導(dǎo)下，HP推出了一套系統(tǒng)、全面建設(shè)企業(yè)IT基礎(chǔ)架構(gòu)的解決方案——企業(yè)數(shù)據(jù)中心建設(shè)及整合解決方案(Data Center Consolidation Solution，DCC)，為企業(yè)成功構(gòu)建適應(yīng)性IT架構(gòu)提供了全方位支持。

全方位打造企業(yè)IT“金字塔”

作為數(shù)據(jù)及業(yè)務(wù)應(yīng)用的總控中心，數(shù)據(jù)中心對(duì)于企業(yè)的重要性無異于心臟之于人體。隨著繁忙的業(yè)務(wù)處理給數(shù)據(jù)中心帶來巨大的壓力，眾多企業(yè)開始認(rèn)識(shí)到，數(shù)據(jù)中心的建設(shè)除了要確保7×24小時(shí)永續(xù)運(yùn)行外，還應(yīng)具備更高的靈活性和可擴(kuò)展性，才能跟上業(yè)務(wù)變化的步伐，為業(yè)務(wù)發(fā)展輸送源源不絕的動(dòng)力。

HP數(shù)據(jù)中心建設(shè)及整合解決方案正適應(yīng)了這一需求。該方案作為跨行業(yè)、端到端的解決方案，跨越了企業(yè)IT基礎(chǔ)架構(gòu)建設(shè)的整個(gè)生命周期。如果我們將這一解決方案的整體架構(gòu)比作一座堅(jiān)不可摧的“金字塔”，那么該“金字塔”的主體結(jié)構(gòu)自下向上由基礎(chǔ)設(shè)施建設(shè)方案、網(wǎng)絡(luò)系統(tǒng)解決方案、數(shù)據(jù)存儲(chǔ)解決方案以及應(yīng)用整合解決方案四層組成，外面再加上一層由安全性管理解決方案和連續(xù)性管理解決方案構(gòu)成的“保護(hù)墻”(如圖)。在這六個(gè)解決方案中，又可再細(xì)分為若干既相輔相成亦可獨(dú)立應(yīng)用的解決方案。由于采用了模塊化的設(shè)計(jì)原則，用戶無論是新建數(shù)據(jù)中心、在原有數(shù)據(jù)中心基礎(chǔ)上進(jìn)行升級(jí)優(yōu)化還是進(jìn)行數(shù)據(jù)中心的遷移，都可以根據(jù)實(shí)際情況量身定制，選用不同的模塊組合，真正滿足動(dòng)成長企業(yè)發(fā)展的需要。

搭建IT主體架構(gòu)

基礎(chǔ)設(shè)施建設(shè)方案

基礎(chǔ)設(shè)施建設(shè)方案包括機(jī)房建設(shè)/優(yōu)化/搬遷方案和智能樓宇方案。前者針對(duì)企業(yè)數(shù)據(jù)中心建設(shè)、優(yōu)化、搬遷的三種情況量身定制解決方案，其內(nèi)容包括地址選擇、機(jī)電系統(tǒng)規(guī)劃、裝潢系統(tǒng)規(guī)劃、消防系統(tǒng)規(guī)劃、弱電系統(tǒng)規(guī)劃和結(jié)構(gòu)化光纖方案，主要解決以下問題：如何確保機(jī)房建設(shè)的專業(yè)性和機(jī)房設(shè)備的安全可靠運(yùn)行，使建成后的數(shù)據(jù)中心具備伴隨業(yè)務(wù)的同步動(dòng)成長能力；業(yè)務(wù)發(fā)展之后如何對(duì)現(xiàn)有機(jī)房進(jìn)行優(yōu)化，以配合新業(yè)務(wù)發(fā)展的需要；以及制訂專業(yè)的機(jī)房搬遷方案，確保在搬遷過程中數(shù)據(jù)不丟失、業(yè)務(wù)不中斷。

智能樓宇方案包括樓宇自動(dòng)化、通信自動(dòng)化、辦公自動(dòng)化、消防自動(dòng)化和安保自動(dòng)化，其目的在于為大廈建立可靠的高速信息通路，實(shí)現(xiàn)大廈信息資源及硬件資源的高度共享，創(chuàng)造安全健康、舒適宜人、提高工作效率的工作環(huán)境，節(jié)約運(yùn)營管理費(fèi)用，并使大廈具有可擴(kuò)展性、可變化性，以適應(yīng)環(huán)境的變化和多用戶對(duì)不同環(huán)境功能的要求。

網(wǎng)絡(luò)系統(tǒng)解決方案

網(wǎng)絡(luò)是企業(yè)信息系統(tǒng)數(shù)據(jù)傳輸?shù)钠脚_(tái)，它應(yīng)該像高速公路一樣能夠安全高效地承運(yùn)各種信息載體，所以它成為企業(yè)IT系統(tǒng)建設(shè)的基礎(chǔ)和關(guān)鍵。HP基于“動(dòng)成長企業(yè)”的建設(shè)經(jīng)驗(yàn)，提出了靈活適用的網(wǎng)絡(luò)服務(wù)解決方案，包括網(wǎng)絡(luò)評(píng)估、網(wǎng)絡(luò)集成、網(wǎng)絡(luò)優(yōu)化和網(wǎng)絡(luò)維護(hù)。

HP網(wǎng)絡(luò)評(píng)估服務(wù)由網(wǎng)絡(luò)專家實(shí)施。他們利用專業(yè)工具，提供全方位的網(wǎng)絡(luò)分析、檢測(cè)、整合，包括：信息收集、數(shù)據(jù)分析、整合分析報(bào)告和對(duì)癥下藥的建議措施。網(wǎng)絡(luò)集成解決方案則覆蓋從企業(yè)的Internet / Intranet建設(shè)，Call Center基礎(chǔ)網(wǎng)絡(luò)建設(shè)到IP Telephony、WLAN、VPN、IPV6等各個(gè)方面的內(nèi)容，為用戶提供端到端的網(wǎng)絡(luò)集成服務(wù)，并在用戶項(xiàng)目實(shí)施完成之后由專人定期給用戶做網(wǎng)絡(luò)健康檢查，制訂運(yùn)行維護(hù)規(guī)范，同時(shí)提供7×24的電話支持服務(wù)，滿足用戶網(wǎng)絡(luò)系統(tǒng)高可靠性運(yùn)行的要求。此外，HP公司還為用戶提供一體化的網(wǎng)絡(luò)性能調(diào)優(yōu)方案，由專門的網(wǎng)絡(luò)專家負(fù)責(zé)實(shí)施，通過量化網(wǎng)絡(luò)的數(shù)據(jù)流量，提供流量的基線，檢查性能瓶頸。

第二篇：微軟-政府?dāng)?shù)據(jù)中心解決方案

政府?dāng)?shù)據(jù)中心解決方案

一、建設(shè)目標(biāo)

隨著政府運(yùn)營機(jī)構(gòu)的丌斷完善和成熟，各個(gè)政府機(jī)構(gòu)部門已建立起了自身的電子政務(wù)平臺(tái)、數(shù)據(jù)采集、信息共享不 安全等應(yīng)用平臺(tái)。不此同時(shí)，政府機(jī)構(gòu)內(nèi)部每個(gè)部門獨(dú)特的業(yè)務(wù)結(jié)構(gòu)，和各種有敁信息資源的急劇膨脹，形成了海量的 信息和數(shù)據(jù)。但長期以來，處亍安全保密戒部門利益的需要，政府信息一直處亍封閉戒半封閉的狀態(tài)，造成大量政府信 息資源的閑置和浪費(fèi)。這些長期積累下來的政府信息資源綜合了社會(huì)各方面的信息源，是社會(huì)經(jīng)濟(jì)活勱丌可缺少的決策 依據(jù)信息和數(shù)據(jù)。

政府信息資源的開發(fā)和利用能力是提高政府決策水平的重要途徑，也是確保工作質(zhì)量和提高工作敁益的關(guān)鍵。因此 合理使用龐大的政府信息資源，為管理出謀劃策，提供準(zhǔn)確完備的后臺(tái)數(shù)據(jù)支持，就成為制定戓略決策過程中備受重視 的焦點(diǎn)?；∵@種情況，微軟公司針對(duì)政府行業(yè)的信息化建設(shè)現(xiàn)狀和發(fā)展趨勢(shì)，推出了政府?dāng)?shù)據(jù)中心解決方案，旨在協(xié) 劣將政府各職能部門的數(shù)據(jù)源整合（包括公檢法信息庫、工商稅務(wù)信息庫、社會(huì)保障信息庫等），從中抽取數(shù)據(jù)并進(jìn)行 分析、挖掘，向政府人員、廣大企業(yè)、公眾等提供信息服務(wù)。

1.業(yè)務(wù)目標(biāo)

? 整體規(guī)劃，統(tǒng)一數(shù)據(jù)資料，標(biāo)準(zhǔn)化數(shù)據(jù)格式，避免重復(fù)建設(shè) ? 作為統(tǒng)一的應(yīng)用系統(tǒng)運(yùn)行的數(shù)據(jù)平臺(tái) ? 增強(qiáng)數(shù)據(jù)中心可擴(kuò)展性，減輕維護(hù)壓力

? 當(dāng)新增戒者改造子系統(tǒng)時(shí)，能方便地接入數(shù)據(jù)中心并同其他系統(tǒng)協(xié)調(diào)工作 ? 確定在現(xiàn)有系統(tǒng)基礎(chǔ)上發(fā)展和過渡

2.技術(shù)目標(biāo)

? 數(shù)據(jù)定義、數(shù)據(jù)管理和數(shù)據(jù)轉(zhuǎn)換 ? 標(biāo)準(zhǔn)的系統(tǒng)間通訊協(xié)議

?平臺(tái)獨(dú)立應(yīng)用獨(dú)立的自勱化流程管理 ? 安全認(rèn)證和角色控制 ? 系統(tǒng)管理的方便性 ? 性能、穩(wěn)定性和可擴(kuò)展性

二、方案概述

微軟政府?dāng)?shù)據(jù)中心解決方案，是結(jié)合政府信息化建設(shè)現(xiàn)狀及發(fā)展需求而推出的，使得各政府部門之間的基礎(chǔ)數(shù)據(jù) 共享，讓基礎(chǔ)數(shù)據(jù)發(fā)揮更大的社會(huì)價(jià)值，使得政府從宏觀上把握經(jīng)濟(jì)運(yùn)行的整體情況。該方案主要實(shí)現(xiàn): ? 政府部門之間數(shù)據(jù)的安全、可靠交換和共享，避免數(shù)據(jù)重復(fù)采集，保持各部門基礎(chǔ)數(shù)據(jù)的一致；

? 數(shù)據(jù)的即時(shí)整合，并對(duì)全局?jǐn)?shù)據(jù)進(jìn)行靈活的多維度分析和多樣式展示，為管理層監(jiān)控和決策提供有敁支持微軟政 府?dāng)?shù)據(jù)中心解決方案以微軟數(shù)據(jù)庫SQL 2008為核心，配合數(shù)據(jù)交換平臺(tái)Biztalk Server2006，形成了數(shù)據(jù)采集和管理中 心。利用SQLServer內(nèi)置的數(shù)據(jù)分析工具和展現(xiàn)工具給政府有關(guān)部門及領(lǐng)導(dǎo)提供深層次的數(shù)據(jù)分析和數(shù)據(jù)挖掘報(bào)告。為了保障數(shù)據(jù)中心的安全可靠，微軟利用自身操作系統(tǒng)廠商的能力，圍繞著Windows Server 2008，形成了一套 System Center和Forefront的完美結(jié)合的系統(tǒng)安全管理平臺(tái)，丌僅能無縫接入IT架構(gòu)平臺(tái)，而丏能夠提高整體架構(gòu)的安 全性和工作敁率，降低管理的復(fù)雜度和成本，真正解決管理不安全問題，同時(shí)讓數(shù)據(jù)中心的IT資源得到最佳整合和優(yōu)化。

三、整體架構(gòu)

在政府?dāng)?shù)據(jù)中心平臺(tái)的建設(shè)中，我們認(rèn)為主要包括兩個(gè)方面，一個(gè)是數(shù)據(jù)中心數(shù)據(jù)管理平臺(tái)的建設(shè)，另一個(gè)是數(shù) 據(jù) 交換平臺(tái)的建設(shè)。數(shù)據(jù)管理平臺(tái)解決企業(yè)內(nèi)部業(yè)務(wù)數(shù)據(jù)的集中管理、統(tǒng)一規(guī)劃問題，數(shù)據(jù)交換平臺(tái)主要解決數(shù)據(jù)管 理平臺(tái)不企業(yè)內(nèi)部其它應(yīng)用之間數(shù)據(jù)的交換（數(shù)據(jù)的采集、發(fā)布、流程控制）以及內(nèi)部各業(yè)務(wù)系統(tǒng)之間的數(shù)據(jù)整合問題。安全接入層基亍ISA Server的多層防火墻技術(shù)，可以保護(hù)數(shù)據(jù)中心免受病毒、黑客的入侵和未經(jīng)授權(quán)的訪問。首先，在 不Internet連接層建立防火墻，也可以配置成Web緩存服務(wù)器，戒二者兼?zhèn)?，其主要功能包括：Internet防火墻、安全 服務(wù)器發(fā)布、正向Web緩存服務(wù)器、反向Web緩存服務(wù)器、防火墻和Web緩存集成。在數(shù)據(jù)存儲(chǔ)不管理層安裝ISA Server，可以將其配置成防火墻，可以開放限制的數(shù)據(jù)訪問端口，達(dá)到安全防護(hù)的功能。數(shù)據(jù)展現(xiàn)基亍微軟的MOSS 2007技術(shù)，實(shí)現(xiàn)數(shù)據(jù)訪問權(quán)限的統(tǒng)一認(rèn)證和個(gè)性化展現(xiàn)，通過門戶網(wǎng)站向用戶提供所需要的數(shù)據(jù)展現(xiàn)。數(shù)據(jù)采集和交換

數(shù)據(jù)采集用InfoPath 2007，可以直接調(diào)用數(shù)據(jù)庫接口倒入數(shù)據(jù)，也可以通過調(diào)用Web Service 向數(shù)據(jù)集成平臺(tái)發(fā)請(qǐng) 求。

基亍微軟的BizTalk Server 2006技術(shù)，可提供應(yīng)用之間的信息交換提供數(shù)據(jù)轉(zhuǎn)換、業(yè)務(wù)流程定義不運(yùn)行、消息封裝、路由、傳輸?shù)染唧w業(yè)務(wù)服務(wù)。

數(shù)據(jù)信息服務(wù)

采用Content Management Server、Reporting Services、流媒體 Server來實(shí)現(xiàn)網(wǎng)站內(nèi)容管理和搜索、數(shù)據(jù)報(bào)表 服務(wù)、流媒體服務(wù)。

數(shù)據(jù)存儲(chǔ)不管理 建立政府業(yè)務(wù)數(shù)據(jù)（非結(jié)構(gòu)化數(shù)據(jù)、關(guān)系數(shù)據(jù)和多維數(shù)據(jù)）的物理存儲(chǔ)中心。

安全管理和服務(wù)器運(yùn)維管理 基亍AD目彔服務(wù)的安全認(rèn)證體系，實(shí)現(xiàn)了如下的特性：數(shù)據(jù)安全性、信息化部門間通信的安全性、信息化部門和

Internet網(wǎng)的單點(diǎn)安全登彔、以及易用和良好擴(kuò)展性的安全管理。部署一套Microsoft System Center Operations Manager 和 Microsoft System Center Config Manager進(jìn)行服務(wù)器的運(yùn)維管理，實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)中心服務(wù)器的運(yùn)行情 況，及時(shí)的發(fā)現(xiàn)敀障。

四、功能特點(diǎn)

1.數(shù)據(jù)交換平臺(tái)

由亍政府各類應(yīng)用系統(tǒng)在應(yīng)用范圍、構(gòu)建方式、系統(tǒng)結(jié)構(gòu)、數(shù)據(jù)資源等方面存在一定的差異，因此需要建立統(tǒng)一的 數(shù)據(jù)交換平臺(tái)，采用Web Services技術(shù)，實(shí)現(xiàn)政府?dāng)?shù)據(jù)中心平臺(tái)不各業(yè)務(wù)之間的數(shù)據(jù)交換、各業(yè)務(wù)部門各業(yè)務(wù)系統(tǒng)之間 的統(tǒng)一信息交換，為各部門協(xié)同工作、協(xié)同辦公、各種業(yè)務(wù)系統(tǒng)之間的業(yè)務(wù)整合提供支撐平臺(tái)。

數(shù)據(jù)交換平臺(tái)采用微軟的BizTalk軟件產(chǎn)品。BizTalk提供多種適配器，從技術(shù)上說，Biztalk適配器丌一定必須運(yùn)行在 單獨(dú)的前置機(jī)上，完全可以運(yùn)行在數(shù)據(jù)交換平臺(tái)上。出亍業(yè)務(wù)和部署考慮，同其他部門單位、垂直業(yè)務(wù)系統(tǒng)進(jìn)行數(shù)據(jù)交 換的時(shí)候，從業(yè)務(wù)完整性、維護(hù)界定、安全性等考慮，很難允許直接操作原有業(yè)務(wù)系統(tǒng)的業(yè)務(wù)流程戒數(shù)據(jù)庫，這時(shí)才有 使用前置機(jī)的必要。

2.數(shù)據(jù)分析不挖掘平臺(tái)

數(shù)據(jù)分析不挖掘平臺(tái)的作用就是挖掘出政府隱藏在數(shù)據(jù)間的相互關(guān)系，然后利用歷叱數(shù)據(jù)的相互關(guān)系找出規(guī)律，建立模 型，并用此模型預(yù)測(cè)未

來數(shù)據(jù)的種類、特征，最后為領(lǐng)導(dǎo)決策提供依據(jù) 數(shù)據(jù)分析不挖掘平臺(tái)提供多維數(shù)據(jù)庫的建立、數(shù)據(jù)分析方法和工具的提供和數(shù)據(jù)轉(zhuǎn)換等功能。

3.數(shù)據(jù)存儲(chǔ)不管理

雖然在政府現(xiàn)有的數(shù)據(jù)源和目標(biāo)數(shù)據(jù)種類繁多，有關(guān)系型數(shù)據(jù)庫，文本文件、XML文件、平面數(shù)據(jù)庫、Office文檔 等，但我們可以大致歸類為兩種類型的數(shù)據(jù)??結(jié)構(gòu)化的數(shù)據(jù)和非結(jié)構(gòu)化的文檔。因此在數(shù)據(jù)存儲(chǔ)和管理的設(shè)計(jì)中，我 們可以利用大型的關(guān)系型數(shù)據(jù)庫和數(shù)據(jù)倉庫技術(shù)（多維分析數(shù)據(jù)）建立起企業(yè)級(jí)結(jié)構(gòu)化數(shù)據(jù)中心，以及根據(jù)非結(jié)構(gòu)化文 檔的特點(diǎn)建立起企業(yè)級(jí)的文檔數(shù)據(jù)管理中心。

結(jié)構(gòu)化數(shù)據(jù)存儲(chǔ)可采用實(shí)時(shí)/定期/業(yè)務(wù)驅(qū)勱需求的方式，從業(yè)務(wù)系統(tǒng)中通過數(shù)據(jù)交換平臺(tái)提取數(shù)據(jù)到數(shù)據(jù)庫中進(jìn)行存 儲(chǔ)，集中存儲(chǔ)各業(yè)務(wù)系統(tǒng)中共享的代碼和基礎(chǔ)數(shù)據(jù)，保證數(shù)據(jù)在丌同業(yè)務(wù)系統(tǒng)中的統(tǒng)一性和一致性，并根據(jù)業(yè)務(wù)分析的 需要建立起數(shù)據(jù)分析模型，為企業(yè)業(yè)務(wù)分析及輔劣決策服務(wù)。而非結(jié)構(gòu)化數(shù)據(jù)的文檔數(shù)據(jù)存儲(chǔ)和管理，可利用WEB方式 的文檔庫，集中地對(duì)政府內(nèi)非結(jié)構(gòu)化的數(shù)據(jù)（如公文等）提供整個(gè)信息生命周期的管理。提供對(duì)多種格式的文檔進(jìn)行存 儲(chǔ)和管理、支持文檔(單個(gè)/批量)的發(fā)布流程、能夠按丌同分類組織文檔、支持分布的物理存儲(chǔ)和集中的逡輯視圖、提供 基亍角色的訪問權(quán)限控制、提供版本控制、提供文檔搜索和索引功能，能夠?qū)Χ鄠€(gè)數(shù)據(jù)源（文檔庫）進(jìn)行統(tǒng)一的全文檢 索、開放標(biāo)準(zhǔn)的編程接口等功能。

4.數(shù)據(jù)采集平臺(tái)

數(shù)據(jù)采集平臺(tái)作為政府?dāng)?shù)據(jù)中心信息來源，主要仸務(wù)是對(duì)來自丌同部門，丌同類型的數(shù)據(jù)進(jìn)行收集。數(shù)據(jù)采集平臺(tái) 提供統(tǒng)一的數(shù)據(jù)采集方式，方便不后臺(tái)數(shù)據(jù)集成、數(shù)據(jù)存儲(chǔ)平臺(tái)信息通信。

在政府可以定義標(biāo)準(zhǔn)的數(shù)據(jù)采集模板，支持隨時(shí)隨地采集（在線、離線），支持標(biāo)準(zhǔn)的采集數(shù)據(jù)存儲(chǔ)方式。在這種 架構(gòu)下，可以直接調(diào)用數(shù)據(jù)庫接口倒入數(shù)據(jù)，也可以通過調(diào)用Web Service 向數(shù)據(jù)集成平臺(tái)發(fā)請(qǐng)求。

5.系統(tǒng)管理不運(yùn)維平臺(tái)

在整個(gè)數(shù)據(jù)中心建設(shè)中，系統(tǒng)管理不運(yùn)行維護(hù)也非常重要，除軟件的基礎(chǔ)架構(gòu)支持外，服務(wù)器的安全、穩(wěn)定運(yùn)行也 是數(shù)據(jù)中心安全和穩(wěn)定的基礎(chǔ)。系統(tǒng)管理和運(yùn)維平臺(tái)提供數(shù)據(jù)中心所有服務(wù)器和客戶端機(jī)器的補(bǔ)丁下發(fā)和系統(tǒng)運(yùn)行監(jiān)控。

6.安全體系 整個(gè)數(shù)據(jù)中心建立在底層的基礎(chǔ)安全服務(wù)平臺(tái)之上，基礎(chǔ)安全服務(wù)平臺(tái)作為基本的應(yīng)用安全服務(wù)，丌但提供網(wǎng)絡(luò)防 火墻功能，而丏提供數(shù)字簽名、加/解密，實(shí)現(xiàn)各種安全服務(wù)。

7.數(shù)據(jù)中心運(yùn)維框架

運(yùn)維管理系統(tǒng)以將數(shù)據(jù)中心管理運(yùn)行相關(guān)的工作、信息整合在一起，通過合理的分類使得運(yùn)維管理人員很方便的找 到所需要的信息、日常維護(hù)所需工具，從而加快工作敁率。

管理運(yùn)行門戶中的信息、工具是被權(quán)限保護(hù)的。所有使用管理運(yùn)行門戶的用戶必須經(jīng)過身仹認(rèn)證，然后系統(tǒng)會(huì)根據(jù) 用戶角色、權(quán)限的丌同，提供相應(yīng)的個(gè)性化操作界面。即將當(dāng)前用戶最關(guān)心的、有權(quán)使用的功能、信息，按照用戶的喜 好展現(xiàn)出來。這樣管理運(yùn)行門戶的用戶可以最方便、快捷的完成相關(guān)的維護(hù)工作。

整個(gè)運(yùn)維管理系統(tǒng)以系統(tǒng)維護(hù)和業(yè)務(wù)管理為主線，其它功能是保證維護(hù)質(zhì)量、提高工作敁率的輔劣手段。系統(tǒng)通過 信息采集模塊，將各種需要監(jiān)控的信息收集起來，然后以各種形式展現(xiàn)給系統(tǒng)管理員。當(dāng)出現(xiàn)需要處理的事件時(shí)，管理 員使用相應(yīng)的管理工具對(duì)系統(tǒng)進(jìn)行管理，從而解決問題，保證系統(tǒng)穩(wěn)定運(yùn)行。當(dāng)管理過程中出現(xiàn)疑問戒需要尋求他人幫 劣時(shí)，可以通過查詢信息共享中的信息、通過協(xié)調(diào)工具直接和與家進(jìn)行溝通、參對(duì)現(xiàn)有的各種配置信息等多種途徑，迅 速找到解決方案，從而及時(shí)、準(zhǔn)確的解決問題。

管理運(yùn)行門戶采用單點(diǎn)登彔（SSO）機(jī)制，業(yè)務(wù)管理員只需在門戶進(jìn)行一次身仹認(rèn)證過程，隨后可以在仸何子系統(tǒng) 的管理操作臺(tái)間無縫切換，各子系統(tǒng)的管理操作臺(tái)會(huì)根據(jù)用戶的身仹判斷出其在子系統(tǒng)中的管理角色和權(quán)限，然后提供 相應(yīng)的管理能力。當(dāng)管理員在子系統(tǒng)的管理操作臺(tái)間切換時(shí)，各管理操作臺(tái)會(huì)和統(tǒng)一認(rèn)證、權(quán)限管理子系統(tǒng)進(jìn)行溝通，自勱實(shí)現(xiàn)單點(diǎn)登彔，減少管理人員的操作難度。

為了保證系統(tǒng)維護(hù)的質(zhì)量，領(lǐng)導(dǎo)可以通過查看各種統(tǒng)計(jì)分析報(bào)告對(duì)維護(hù)人員的維護(hù)工作進(jìn)行審查、監(jiān)督。通過查看 系統(tǒng)運(yùn)行、業(yè)務(wù)運(yùn)營情況的分析，發(fā)現(xiàn)可能存在的問題戒趨勢(shì)，從而及時(shí)制定應(yīng)對(duì)措施，保證大連數(shù)據(jù)中心的對(duì)外提供 的服務(wù)質(zhì)量。

在 上 述 總 體 設(shè) 計(jì) 的 框 架 下，數(shù) 據(jù) 中 心 的 運(yùn) 維 管 理 系 統(tǒng) 逡 輯 設(shè) 計(jì) 可 以 細(xì) 化 如 下 ：

五、系統(tǒng)配置

第三篇：思科數(shù)據(jù)中心3.0解決方案（本站推薦）

思科數(shù)據(jù)中心3.0解決方案　數(shù)據(jù)中心一直是重要的企業(yè)資產(chǎn)，也是IT用以保護(hù)、優(yōu)化和發(fā)展業(yè)務(wù)的戰(zhàn)略性重點(diǎn)機(jī)構(gòu)，但如果您的數(shù)據(jù)中心出現(xiàn)了服務(wù)器、存儲(chǔ)資源使用率低下，能源和人員成本占數(shù)據(jù)中心總運(yùn)行成本的25%-30%，在IT預(yù)算中，70%花費(fèi)都在維護(hù)方面，而不是使企業(yè)更具競爭力，這是當(dāng)前CIO最需要迫切解決的問題。數(shù)據(jù)中心轉(zhuǎn)型的需要當(dāng)今的許多企業(yè)都在努力解決數(shù)十年來無計(jì)劃發(fā)展的遺留問題，面對(duì)大量變更、管理、集成、安全和備份都成為越來越昂貴和困難的技術(shù)孤島。這些數(shù)據(jù)中心運(yùn)營的現(xiàn)實(shí)問題，對(duì)于尋找創(chuàng)新方式來滿足不斷提高的企業(yè)需求的CIO來說，已成為嚴(yán)重的限制因素?，F(xiàn)在，許多公司都致力于改變數(shù)據(jù)中心設(shè)施的整合和虛擬化。盡管這是優(yōu)化現(xiàn)有技術(shù)、消除運(yùn)營孤井的正確做法，但這只是起點(diǎn)而已。公司必須拓寬視角，以創(chuàng)新方式來看待數(shù)據(jù)中心架構(gòu)，以使IT效率、響應(yīng)能力和永續(xù)性都達(dá)到新的高度。思科數(shù)據(jù)中心3.0既能解決當(dāng)前迫切的運(yùn)營限制問題，而且也能過渡到未來的虛擬數(shù)據(jù)中心。數(shù)據(jù)中心3.0改變了目前的數(shù)據(jù)中心域環(huán)境-服務(wù)器、存儲(chǔ)和網(wǎng)絡(luò)作為獨(dú)立孤井運(yùn)行的情況，將它們統(tǒng)一到單一架構(gòu)和一套共享網(wǎng)絡(luò)服務(wù)中。因?yàn)榫W(wǎng)絡(luò)是無所不在的，網(wǎng)絡(luò)的特征就是支持一切，只有網(wǎng)絡(luò)能在異構(gòu)環(huán)境中提供連接，統(tǒng)一行為，通過開放標(biāo)準(zhǔn)建設(shè)和互操作性，與任何廠商、設(shè)備或內(nèi)容無關(guān)。思科數(shù)據(jù)中心3.0的業(yè)務(wù)優(yōu)勢(shì)思科數(shù)據(jù)中心3.0能夠戰(zhàn)略性地遷移到一個(gè)完全不同的基礎(chǔ)設(shè)施模式：能夠根據(jù)需要，混合、匹配和配置位于任意物理地點(diǎn)的共享服務(wù)的統(tǒng)一架構(gòu)。這個(gè)模式從根本上改變了IT運(yùn)行其核心資源的方式，在效率和企業(yè)響應(yīng)能力方面獲得了突破性的優(yōu)勢(shì)。提高響應(yīng)能力：因?yàn)榫W(wǎng)絡(luò)能自動(dòng)從虛擬化服務(wù)器、存儲(chǔ)和網(wǎng)絡(luò)服務(wù)池中部署基礎(chǔ)設(shè)施，所以能按需發(fā)現(xiàn)和配置資源，與人工配置方法相比，大大縮短了響應(yīng)時(shí)間，減少了錯(cuò)誤率，能將富有經(jīng)驗(yàn)的IT人員重新分配到更高價(jià)值的工作。提高效率：通過最大限度地使用現(xiàn)有資源，推遲新容量購買，您即能獲得更高投資回報(bào)，延長您當(dāng)前數(shù)據(jù)中心的生命期。成本節(jié)約包括減少電源、通風(fēng)和辦公空間開支等。通過提高效率，企業(yè)將能把預(yù)算從維護(hù)轉(zhuǎn)向創(chuàng)新，提高企業(yè)競爭力。提高永續(xù)性：將網(wǎng)絡(luò)原理應(yīng)用到數(shù)據(jù)中心，能提高基礎(chǔ)設(shè)施的可靠性、可用性和安全性，保護(hù)其免于干擾和意外停機(jī)。它還通過復(fù)制關(guān)鍵數(shù)據(jù)，以便在發(fā)生故障時(shí)輕松回退，支持更高水平的業(yè)務(wù)連續(xù)性和恢復(fù)能力。思科數(shù)據(jù)中心3.0的解決方案思科數(shù)據(jù)中心3.0 的基本要素-整合、虛擬化和自動(dòng)化，能夠降低總擁有成本(TCO;提高資產(chǎn)利用率，降低電源和冷卻需求，并提高運(yùn)營效率)，通過一系列已定義的重疊階段，提供數(shù)據(jù)中心基礎(chǔ)設(shè)施的發(fā)展計(jì)劃。盡管各階段目標(biāo)十分明確，但企業(yè)實(shí)施各階段的速度卻是根據(jù)企業(yè)具體的業(yè)務(wù)需求而定。階段1：現(xiàn)狀目前，普通數(shù)據(jù)中心部署的服務(wù)器通過千兆以太網(wǎng)網(wǎng)絡(luò)接口和獨(dú)立光纖通道主機(jī)總線適配器(HBA)與網(wǎng)絡(luò)相連。這些數(shù)據(jù)中心的生產(chǎn)虛擬機(jī)密度一般較低，只有不到10%的生產(chǎn)工作負(fù)載在虛擬機(jī)上運(yùn)行，運(yùn)營結(jié)構(gòu)以此孤立技術(shù)為基礎(chǔ)構(gòu)建(參見圖1)。

圖1 目前普通服務(wù)器采用分立的局域網(wǎng)和存儲(chǔ)連接此時(shí)，客戶能繼續(xù)使用其現(xiàn)有基礎(chǔ)設(shè)施投資。隨著他們開始擴(kuò)展其現(xiàn)有網(wǎng)絡(luò)交換機(jī)數(shù)目，Cisco Nexus系列提供大量選項(xiàng)，包括Cisco Nexus 7000系列交換機(jī)和Cisco Nexus 2000系列交換矩陣擴(kuò)展器，來支持與千兆以太網(wǎng)相連的服務(wù)器。這種方法使客戶能保持與現(xiàn)有Cisco Catalyst系列基礎(chǔ)設(shè)施的運(yùn)營和管理一致性，并通過在未來部署萬兆以太網(wǎng)、統(tǒng)一交換矩陣和虛擬機(jī)感知網(wǎng)絡(luò)(Cisco VN-Link)的能力，提供前瞻性的投資保護(hù)。階段2: 服務(wù)器整合階段2中，客戶使用VMware ESX、Microsoft Hyper-V 或Xen 等服務(wù)器虛擬化技術(shù)來整合服務(wù)器，以降低TCO。將多個(gè)一般較少使用的物理機(jī)整合為虛擬機(jī)，減少物理服務(wù)器數(shù)目的能力，能為客戶帶來巨大的成本優(yōu)勢(shì)。在此階段中，虛擬機(jī)成為默認(rèn)應(yīng)用平臺(tái)，60-80% 的x86 應(yīng)用運(yùn)行在虛擬環(huán)境中。

圖2 數(shù)據(jù)中心需從千兆以太網(wǎng)平穩(wěn)升級(jí)到萬兆以太網(wǎng)從網(wǎng)絡(luò)的角度，虛擬機(jī)密度的提高鼓勵(lì)企業(yè)升級(jí)到萬兆以太網(wǎng)，將其作為連接服務(wù)器的默認(rèn)機(jī)制，這是因?yàn)閱我环?wù)器上的多個(gè)虛擬機(jī)會(huì)快速使一條千兆以太網(wǎng)鏈路飽和，而在超過特定閾值后，多條千兆以太網(wǎng)鏈路將失去經(jīng)濟(jì)高效性(參見圖2)。在此階段中，存儲(chǔ)流量仍進(jìn)行單獨(dú)傳輸。Cisco Nexus 7000和5000 系列能夠?yàn)樯?jí)到與萬兆以太網(wǎng)相連的服務(wù)器提供支持。如使用Cisco Nexus 7000 系列，升級(jí)只需添加萬兆以太網(wǎng)I/O 模塊。Cisco Nexus 2000 系列交換矩陣擴(kuò)展器支持其余的與千兆以太網(wǎng)相連的服務(wù)器，并同時(shí)在整個(gè)網(wǎng)絡(luò)中保持一致的運(yùn)營環(huán)境。此時(shí)，如果客戶運(yùn)行VMware 的ESX 管理程序，他們也能部署Cisco Nexus 1000V 交換機(jī)。該功能為客戶提供直至單個(gè)虛擬機(jī)級(jí)別的運(yùn)行一致性，以及策略便攜性，因此，當(dāng)虛擬機(jī)在數(shù)據(jù)中心內(nèi)移動(dòng)時(shí)，網(wǎng)絡(luò)和安全策略也隨之移動(dòng)。Cisco Nexus1000V 能部署在目前運(yùn)行VMware ESX 的任意地點(diǎn)，與服務(wù)器上行鏈路速度或上游接入交換機(jī)無關(guān)。階段3: I/O 整合第三階段主要是升級(jí)到統(tǒng)一數(shù)據(jù)中心交換矩陣，一般有兩個(gè)觸發(fā)因素。第一個(gè)因素是企業(yè)希望通過簡化基礎(chǔ)設(shè)施和拆除支持獨(dú)立局域網(wǎng)和存儲(chǔ)網(wǎng)絡(luò)所需的冗余組件(接口，電纜，上游交換機(jī)等)，來繼續(xù)降低TCO。第二個(gè)觸發(fā)因素是客戶希望利用其虛擬機(jī)完成更高級(jí)的任務(wù)，包括使用動(dòng)態(tài)資源調(diào)度(DRS)等技術(shù)。這些目標(biāo)要求所有服務(wù)器都擁有一套統(tǒng)一、普及的網(wǎng)絡(luò)和存儲(chǔ)功能，而最簡單、最高效的實(shí)施方法之一就是部署統(tǒng)一交換矩陣。向統(tǒng)一交換矩陣的遷移使所有物理和虛擬服務(wù)器都能接入SAN，在客戶SAN 中整合更多存儲(chǔ)，從而進(jìn)一步降低客戶的TCO 并提高他們的效率(參見圖3)。

圖3 統(tǒng)一交換矩陣能夠降低數(shù)據(jù)中心TCO因?yàn)榇穗A段的重點(diǎn)是整合服務(wù)器I/O，所以主要需調(diào)整服務(wù)器接入層來支持統(tǒng)一交換矩陣。為部署以太網(wǎng)光纖通道(FCoE)，在服務(wù)器方需采用Emulex和QLogic等公司的新型融合網(wǎng)絡(luò)適配器，或?yàn)镮ntel的萬兆以太網(wǎng)適配器部署一個(gè)新軟件驅(qū)動(dòng)程序。請(qǐng)注意，VMware ESX 3.5 U2 上支持FCoE，且Emulex、Intel 和QLogic 接口都位于VMware 3.5 硬件兼容列表(HCL)上，所以該階段既包括物理服務(wù)器，也包括虛擬服務(wù)器。在網(wǎng)絡(luò)方，只需在Cisco Nexus 5000 系列上啟用FCoE 特性，安裝光纖通道或光纖通道和數(shù)據(jù)中心以太網(wǎng)上行鏈路模塊，就能支持FCoE。任何相連的Cisco Nexus 2000 系列交換矩陣擴(kuò)展器也都支持FCoE功能，但因?yàn)樯闲墟溌烦~配置，必須慎重進(jìn)行流量規(guī)劃。Cisco Nexus 7000系列支持FCoE，在2009 年年末會(huì)推出支持?jǐn)?shù)據(jù)中心以太網(wǎng)的I/O 模塊(以便提供可靠傳輸)。那么，部署iSCSI 的情況是怎樣的呢? 到目前為止，討論的重點(diǎn)一直是FCoE;然而，從實(shí)際角度來說，“統(tǒng)一交換矩陣”也可以是Ip 小型計(jì)算機(jī)系統(tǒng)接口(iSCSI)。思科預(yù)計(jì)，在實(shí)際環(huán)境中，下一代企業(yè)數(shù)據(jù)中心將包括多種技術(shù)，如FCoE、iSCSI 和光纖通道等。Cisco Nexus 系列提供的高度可用、高性能、無丟包的萬兆以太網(wǎng)基礎(chǔ)設(shè)施能使這兩種方法均從中受益。階段4 便于擴(kuò)展的動(dòng)態(tài)數(shù)據(jù)中心交換矩陣階段4的目標(biāo)是發(fā)揮上一階段的功能優(yōu)勢(shì)，提高數(shù)據(jù)中心數(shù)據(jù)交換矩陣的可擴(kuò)展性、靈活性和效率(參見圖4)。該階段允許任意數(shù)據(jù)中心資產(chǎn)訪問其他任何資產(chǎn)。從存儲(chǔ)角度來看，數(shù)據(jù)中心交換矩陣將支持FCoE和iSCSI 服務(wù)器接入，以及與FCoE、光纖通道和iSCSI 相連的目標(biāo)。數(shù)據(jù)中心以太網(wǎng)將從接入層擴(kuò)展到匯聚和核心層。這種擴(kuò)展的優(yōu)勢(shì)之一就是簡化對(duì)光纖通道SAN 的訪問，因?yàn)闊o需再通過專用鏈路從接入層進(jìn)行光纖通道回連。

圖4 便于擴(kuò)展的動(dòng)態(tài)數(shù)據(jù)中心交換矩陣如前面所述，該階段是以前一階段為基礎(chǔ)的，因此它主要旨在完成到Cisco Nexus萬兆以太網(wǎng)基礎(chǔ)設(shè)施的升級(jí)。但有一個(gè)新任務(wù)，即向現(xiàn)有Cisco MDS 9000 系列導(dǎo)向器級(jí)光纖通道交換機(jī)添加FCoE 接口，以簡化對(duì)現(xiàn)有SAN 的訪問。階段5: 統(tǒng)一計(jì)算該解決方案的最終目的是一個(gè)完全虛擬化的數(shù)據(jù)中心，由計(jì)算、網(wǎng)絡(luò)和存儲(chǔ)資源池組成。安全和四到七層處理(例如負(fù)載均衡)等服務(wù)也完全虛擬化，能在任何需要之時(shí)實(shí)施。該數(shù)據(jù)中心具有自動(dòng)管理和配置功能的支持，因此能夠根據(jù)策略和實(shí)時(shí)觸發(fā)因素，靈活地創(chuàng)建和拆除應(yīng)用環(huán)境。企業(yè)所獲凈優(yōu)勢(shì)包括提高成本效率和使IT 更好地滿足業(yè)務(wù)需求。

第四篇：數(shù)據(jù)中心信息安全解決方案

數(shù)據(jù)中心解決方案

（安全）

行業(yè)基線方案

目錄

第 一 章 信息安全保障系統(tǒng).....................................................................3

1.1 系統(tǒng)概述.....................................................................................3 1.2 安全標(biāo)準(zhǔn).....................................................................................3 1.3 系統(tǒng)架構(gòu).....................................................................................4 1.4 系統(tǒng)詳細(xì)設(shè)計(jì).............................................................................5 1.4.1 計(jì)算環(huán)境安全......................................................................5 1.4.2 區(qū)域邊界安全......................................................................7 1.4.3 通信網(wǎng)絡(luò)安全......................................................................8 1.4.4 管理中心安全......................................................................9 1.5 安全設(shè)備及系統(tǒng).......................................................................11 1.5.1 VPN加密系統(tǒng)....................................................................12 1.5.2 入侵防御系統(tǒng)....................................................................12 1.5.3 防火墻系統(tǒng)........................................................................13 1.5.4 安全審計(jì)系統(tǒng)....................................................................14 1.5.5 漏洞掃描系統(tǒng)....................................................................15 1.5.6 網(wǎng)絡(luò)防病毒系統(tǒng)................................................................17 1.5.7 PKI/CA身份認(rèn)證平臺(tái)......................................................18 1.5.8 接入認(rèn)證系統(tǒng)....................................................................20

第1頁

杭州?？低曄到y(tǒng)技術(shù)有限公司

行業(yè)基線方案

1.5.9 安全管理平臺(tái)....................................................................21

第2頁杭州海康威視系統(tǒng)技術(shù)有限公司

行業(yè)基線方案

第 一 章 信息安全保障系統(tǒng)

1.1 系統(tǒng)概述

信息安全保障系統(tǒng)是集計(jì)算環(huán)境安全、安全網(wǎng)絡(luò)邊界、通信網(wǎng)絡(luò)安全以及安全管理中心于一體的基礎(chǔ)支撐系統(tǒng)。它以網(wǎng)絡(luò)基礎(chǔ)設(shè)施為依托，為實(shí)現(xiàn)各信息系統(tǒng)間的互聯(lián)互通，整合各種資源，提供信息安全上的有力支撐。系統(tǒng)的體系架構(gòu)如圖所示：

圖1.信息安全保障系統(tǒng)體系架構(gòu)圖

信息系統(tǒng)安全是保障整個(gè)系統(tǒng)安全運(yùn)行的一整套策略、技術(shù)、機(jī)制和保障制度，它涵蓋系統(tǒng)的許多方面，一個(gè)安全可靠的系統(tǒng)需要多方面因素共同作用。

1.2 安全標(biāo)準(zhǔn)

在數(shù)據(jù)中心建設(shè)中，信息系統(tǒng)安全依據(jù)《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》（GB/T 24856-2009）二級(jí)防護(hù)要求進(jìn)行設(shè)計(jì)。該標(biāo)準(zhǔn)依據(jù)國家信息安全等級(jí)保護(hù)的要求，規(guī)范了信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求，標(biāo)準(zhǔn)適用于指導(dǎo)信息系統(tǒng)運(yùn)營使用單位、信息安全企業(yè)、信息安全服務(wù)機(jī)構(gòu)開展信息系統(tǒng)等級(jí)

第3頁

杭州?？低曄到y(tǒng)技術(shù)有限公司

行業(yè)基線方案

保護(hù)安全技術(shù)方案的設(shè)計(jì)和實(shí)施，也可作為信息安全職能部門進(jìn)行監(jiān)督、檢查和指導(dǎo)的依據(jù)。

信息安全等級(jí)保護(hù)是我國信息安全的基本制度、基本政策、基本方法。已出臺(tái)的一系列信息安全等級(jí)保護(hù)相關(guān)法規(guī)、政策文件、國家標(biāo)準(zhǔn)和公共安全行業(yè)標(biāo)準(zhǔn)，為信息安全等級(jí)保護(hù)工作的開展提供了法律、政策、標(biāo)準(zhǔn)依據(jù)。國家標(biāo)準(zhǔn)《信息安全技術(shù) 信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》是根據(jù)中國信息安全等級(jí)保護(hù)的實(shí)際需要，按照信息安全等級(jí)保護(hù)對(duì)信息系統(tǒng)安全整改的要求制訂的，對(duì)信息系統(tǒng)等級(jí)保護(hù)安全整改階段技術(shù)方案的設(shè)計(jì)具有指導(dǎo)和參考作用。

1.3 系統(tǒng)架構(gòu)

智慧城市數(shù)據(jù)中心依據(jù)《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》（GB/T 24856-2009），構(gòu)建 “一個(gè)中心支撐下的三重防御”的安全防護(hù)體系。信息安全保障系統(tǒng)總體架構(gòu)如下圖所示：

信息安全保障體系計(jì)算環(huán)境安全身份鑒別訪問控制系統(tǒng)安全審計(jì)數(shù)據(jù)安全保護(hù)惡意代碼防范邊界完整性保護(hù)區(qū)域邊界安全邊界包過濾邊界安全審計(jì)邊界惡意代碼防范通信網(wǎng)絡(luò)安全通信網(wǎng)絡(luò)安全審計(jì)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護(hù)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護(hù)管理中心安全安全管理子系統(tǒng)實(shí)時(shí)監(jiān)控統(tǒng)計(jì)分析配置管理日志管理CA子系統(tǒng)認(rèn)證授權(quán)子系統(tǒng)統(tǒng)一用戶管理安全審計(jì)子系統(tǒng)網(wǎng)絡(luò)安全審計(jì)主機(jī)安全審計(jì)數(shù)據(jù)庫安全審計(jì)應(yīng)用系統(tǒng)安全審計(jì)證書管理統(tǒng)一身份認(rèn)證資源授權(quán)管理訪問權(quán)限裁決系統(tǒng)管理網(wǎng)絡(luò)基礎(chǔ)設(shè)施圖2.信息安全保障系統(tǒng)總體架構(gòu)圖

信息安全保障系統(tǒng)以網(wǎng)絡(luò)基礎(chǔ)設(shè)施為依托，為整個(gè)數(shù)據(jù)中心業(yè)務(wù)提供計(jì)算環(huán)境安全、區(qū)域邊界安全、通信網(wǎng)絡(luò)安全、安全管理、安全審計(jì)及認(rèn)證授權(quán)等服務(wù)。

第4頁

杭州?？低曄到y(tǒng)技術(shù)有限公司

行業(yè)基線方案

信息安全保障系統(tǒng)的一個(gè)中心是指管理中心安全，三重防御是指計(jì)算環(huán)境安全、區(qū)域邊界安全和通信網(wǎng)絡(luò)安全。

計(jì)算環(huán)境安全主要提供終端和用戶的身份認(rèn)證、訪問控制、系統(tǒng)安全審計(jì)、惡意代碼防范、接入控制、數(shù)據(jù)安全等安全服務(wù)。

區(qū)域邊界安全主要提供網(wǎng)絡(luò)邊界身份認(rèn)證、訪問控制、病毒防御、安全審計(jì)、網(wǎng)絡(luò)安全隔離與可信交換等安全服務(wù)。

通信網(wǎng)絡(luò)安全主要提供網(wǎng)絡(luò)通信的安全審計(jì)、網(wǎng)絡(luò)傳輸?shù)臋C(jī)密性和完整性等安全服務(wù)。

管理中心安全主要包括安全管理子系統(tǒng)、CA子系統(tǒng)、認(rèn)證授權(quán)子系統(tǒng)和統(tǒng)一安全審計(jì)子系統(tǒng)等，它是系統(tǒng)的安全基礎(chǔ)設(shè)施，也是系統(tǒng)的安全管控中心。為整個(gè)系統(tǒng)提供統(tǒng)一的系統(tǒng)安全管理、證書服務(wù)、認(rèn)證授權(quán)、訪問控制以及統(tǒng)一的安全審計(jì)等服務(wù)。

1.4 系統(tǒng)詳細(xì)設(shè)計(jì)

1.4.1 計(jì)算環(huán)境安全

1.4.1.1 計(jì)算環(huán)境安全概述

伴隨著等級(jí)保護(hù)工作的持續(xù)開展，包括防火墻、安全網(wǎng)關(guān)、入侵防御、防病毒等在內(nèi)的安全產(chǎn)品成功地應(yīng)用到信息系統(tǒng)中，從很大程度上解決了安全問題，增強(qiáng)了信息安全防御能力。但這些大多重在邊界防御，以服務(wù)器為核心的計(jì)算平臺(tái)自身防御水平較低，這在信息系統(tǒng)中埋下了很大的安全隱患。

計(jì)算環(huán)境安全針對(duì)的是對(duì)系統(tǒng)的信息進(jìn)行存儲(chǔ)、處理及實(shí)施安全策略的相關(guān)部件，它的重點(diǎn)是為了提高以服務(wù)器為核心的計(jì)算平臺(tái)自身防御水平。數(shù)據(jù)中心的計(jì)算環(huán)境安全主要通過部署主機(jī)安全防護(hù)系統(tǒng)以及使用在管理中心所部署的接入認(rèn)證系統(tǒng)、網(wǎng)絡(luò)防病毒系統(tǒng)、漏洞掃描系統(tǒng)等安全防護(hù)系統(tǒng)提供的服務(wù)，完成終端的身份鑒別、訪問控制、安全審計(jì)、數(shù)據(jù)安全保護(hù)，惡意代碼防護(hù)等一系列功能。計(jì)算環(huán)境部署的安全系統(tǒng)均可被安全管理中心統(tǒng)一管理、統(tǒng)一監(jiān)控，實(shí)

第5頁

杭州?？低曄到y(tǒng)技術(shù)有限公司

行業(yè)基線方案

現(xiàn)協(xié)同防護(hù)。

1.4.1.2 計(jì)算環(huán)境安全功能要求

1）身份鑒別功能

數(shù)據(jù)中心終端應(yīng)支持用戶標(biāo)識(shí)和用戶鑒別。在對(duì)每一個(gè)用戶注冊(cè)到系統(tǒng)時(shí)，采用用戶名和用戶標(biāo)識(shí)符標(biāo)識(shí)用戶身份，并確保在系統(tǒng)整個(gè)生存周期用戶標(biāo)識(shí)的唯一性；在每次用戶登錄系統(tǒng)時(shí)，采用受控的口令或具有相應(yīng)安全強(qiáng)度的其他機(jī)制進(jìn)行用戶身份鑒別，并對(duì)鑒別數(shù)據(jù)進(jìn)行保密性和完整性保護(hù)。

2）訪問控制功能

在安全策略控制范圍內(nèi)，使用戶對(duì)其創(chuàng)建的客體具有相應(yīng)的訪問操作權(quán)限，并能將這些權(quán)限的部分或全部授予其他用戶。采用基于角色的訪問控制技術(shù)，實(shí)現(xiàn)不同用戶、不同角色對(duì)不同資源的細(xì)粒度訪問控制，分別制定了不同的訪問控制規(guī)則，訪問控制主體的粒度為用戶級(jí)，客體的粒度為文件或數(shù)據(jù)庫表級(jí)。訪問操作包括對(duì)客體的創(chuàng)建、讀、寫、修改和刪除等。

3）安全審計(jì)功能

提供安全審計(jì)機(jī)制，記錄系統(tǒng)的相關(guān)安全事件。審計(jì)記錄包括安全事件的主體、客體、時(shí)間、類型和結(jié)果等內(nèi)容。該功能應(yīng)提供審計(jì)記錄查詢、分類和存儲(chǔ)保護(hù)，并可由安全管理與基礎(chǔ)支撐功能層統(tǒng)一管理。

4）數(shù)據(jù)安全保護(hù)功能

采用常規(guī)校驗(yàn)機(jī)制，檢驗(yàn)存儲(chǔ)的用戶數(shù)據(jù)的完整性，以發(fā)現(xiàn)其完整性是否被破壞，可采用密碼等技術(shù)支持的保密性保護(hù)機(jī)制，對(duì)在計(jì)算環(huán)境安全中存儲(chǔ)和處理的用戶數(shù)據(jù)進(jìn)行保密性保護(hù)。

5）惡意代碼防范功能

安裝防惡意代碼軟件或配置具有相應(yīng)安全功能的操作系統(tǒng)，并定期進(jìn)行升級(jí)和更新，以提供針對(duì)不同操作系統(tǒng)的工作站和服務(wù)器的全面惡意代碼防護(hù)。不僅能夠抵御病毒，蠕蟲和特洛依木馬，還能抵御新攻擊，如垃圾郵件，間諜程序，撥號(hào)器，黑客工具和惡作劇，以及針對(duì)系統(tǒng)漏洞，并提供保護(hù)阻止安全冒險(xiǎn)等。

第6頁

杭州?？低曄到y(tǒng)技術(shù)有限公司

行業(yè)基線方案

1.4.2 區(qū)域邊界安全

1.4.2.1 區(qū)域邊界安全概述

隨著應(yīng)用系統(tǒng)和通訊網(wǎng)絡(luò)結(jié)構(gòu)日漸復(fù)雜，異地跨邊界的業(yè)務(wù)訪問、移動(dòng)用戶遠(yuǎn)程業(yè)務(wù)訪問等復(fù)雜的系統(tǒng)需求不斷增多，如何對(duì)跨邊界的數(shù)據(jù)進(jìn)行有效的控制與監(jiān)視已成為越來越關(guān)注的焦點(diǎn)，這對(duì)系統(tǒng)區(qū)域邊界防護(hù)提出了新的挑戰(zhàn)和要求。

區(qū)域邊界安全針對(duì)的是對(duì)系統(tǒng)的計(jì)算環(huán)境安全邊界，以及計(jì)算環(huán)境安全與通信網(wǎng)絡(luò)安全之間實(shí)現(xiàn)連接并實(shí)施安全策略的相關(guān)部件。數(shù)據(jù)中心的區(qū)域邊界安全主要通過在系統(tǒng)邊界部署防火墻系統(tǒng)、防毒墻、入侵防御系統(tǒng)、安全接入平臺(tái)等安全設(shè)備和系統(tǒng)以及使用在管理中心所部署的安全審計(jì)系統(tǒng)提供的服務(wù)，完成邊界包過濾、邊界安全審計(jì)、邊界入侵防范、邊界完整性保護(hù)，邊界安全隔離與可信數(shù)據(jù)交換等一系列功能。區(qū)域邊界部署的安全系統(tǒng)均可被安全管理中心統(tǒng)一管理、統(tǒng)一監(jiān)控，實(shí)現(xiàn)協(xié)同防護(hù)。

1.4.2.2 區(qū)域邊界安全功能要求

1）邊界包過濾功能

提供對(duì)數(shù)據(jù)包的進(jìn)/出網(wǎng)絡(luò)接口、協(xié)議（TCP、UDP、ICMP、以及其他非IP協(xié)議）、源地址、目的地址、源端口、目的端口、以及時(shí)間、用戶、服務(wù)（群組）的訪問過濾與控制功能，對(duì)進(jìn)入或流出的區(qū)域邊界的數(shù)據(jù)進(jìn)行安全檢查，只允許符合安全安全策略的數(shù)據(jù)包通過，同時(shí)對(duì)連接網(wǎng)絡(luò)的流量、內(nèi)容過濾進(jìn)行管理。

2）邊界安全審計(jì)功能

在區(qū)域邊界設(shè)置審計(jì)機(jī)制，提供對(duì)被授權(quán)人員和系統(tǒng)的網(wǎng)絡(luò)行為進(jìn)行解析、分析、記錄、匯報(bào)的功能，以幫助用戶事前規(guī)劃預(yù)防、事中實(shí)時(shí)監(jiān)控、違規(guī)行為響應(yīng)、事后合規(guī)報(bào)告、事故追蹤回放，保障網(wǎng)絡(luò)及系統(tǒng)的正常運(yùn)行。

3）邊界入侵防范功能

在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等。

4）邊界完整性保護(hù)功能

第7頁

杭州海康威視系統(tǒng)技術(shù)有限公司

行業(yè)基線方案

在區(qū)域邊界設(shè)置探測(cè)器，可對(duì)內(nèi)部網(wǎng)絡(luò)中出現(xiàn)的內(nèi)部用戶未通過準(zhǔn)許私自聯(lián)到外部網(wǎng)絡(luò)，以及外部用戶未經(jīng)許可違規(guī)接入內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查和控制。

5）邊界安全隔離與可信數(shù)據(jù)交換功能

可完成指揮信令的雙向流動(dòng)，以及視頻流單向流入公安信息網(wǎng)的安全隔離與控制，同時(shí)，還應(yīng)可采用兩頭落地的“數(shù)據(jù)交換”模式，實(shí)現(xiàn)公安信息通信網(wǎng)與其它網(wǎng)絡(luò)間的基于文件和數(shù)據(jù)庫同步的數(shù)據(jù)安全交換和高強(qiáng)度隔離。

1.4.3 通信網(wǎng)絡(luò)安全

1.4.3.1 通信網(wǎng)絡(luò)安全概述

通信網(wǎng)絡(luò)是信息系統(tǒng)的基礎(chǔ)支撐平臺(tái)，而如今網(wǎng)絡(luò)IP化、設(shè)備IT化、應(yīng)用Web化使信息系統(tǒng)業(yè)務(wù)日益開放，業(yè)務(wù)安全漏洞更加易于利用。通信網(wǎng)絡(luò)的安全保障越來越成為人們關(guān)注的重點(diǎn)。

通信網(wǎng)絡(luò)安全針對(duì)的是對(duì)系統(tǒng)計(jì)算環(huán)境安全之間進(jìn)行信息傳輸及實(shí)施安全策略的相關(guān)部件。數(shù)據(jù)中心的通信網(wǎng)絡(luò)安全主要是通過部署入侵防范系統(tǒng)和VPN加密系統(tǒng)等安全設(shè)備和系統(tǒng)以及使用管理中心所部署的安全審計(jì)系統(tǒng)提供的服務(wù)，完成傳輸網(wǎng)絡(luò)安全審計(jì)、數(shù)據(jù)傳輸完整性與機(jī)密性保護(hù)等一系列功能。通信網(wǎng)絡(luò)安全采用基于商密算法的網(wǎng)絡(luò)傳輸安全防護(hù)系統(tǒng)（SSL VPN），實(shí)現(xiàn)數(shù)據(jù)安全傳輸與安全審計(jì)、保障通信兩端的可信接入、保障數(shù)據(jù)傳輸?shù)耐暾院捅Ｃ苄浴?/p>

1.4.3.2 通信網(wǎng)絡(luò)安全功能要求

1）傳輸網(wǎng)絡(luò)安全審計(jì)功能

提供通信網(wǎng)絡(luò)所傳輸數(shù)據(jù)在包括事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息在內(nèi)的審計(jì)功能。

2）數(shù)據(jù)傳輸完整性與機(jī)密性保護(hù)功能

通過在不可信信道上構(gòu)建安全可靠的虛擬專用網(wǎng)絡(luò)，為數(shù)據(jù)傳輸提供機(jī)密性和完整性保護(hù)、以及數(shù)據(jù)源認(rèn)證、抗重放攻擊等安全保障，并且支持采用身份認(rèn)證、訪問控制以及終端安全控制技術(shù)，為平聯(lián)工程的內(nèi)部網(wǎng)絡(luò)建立安全屏障。

第8頁

杭州?？低曄到y(tǒng)技術(shù)有限公司

行業(yè)基線方案

1.4.4 管理中心安全

1.4.4.1 管理中心安全概述

安全管理平臺(tái)是對(duì)定級(jí)系統(tǒng)的安全策略及計(jì)算環(huán)境安全、區(qū)域邊界安全和通信網(wǎng)絡(luò)安全上的安全機(jī)制實(shí)施統(tǒng)一管理的平臺(tái)。它是一個(gè)集合的概念，其核心的內(nèi)容是實(shí)現(xiàn)“集中管理”與“基礎(chǔ)支撐”。數(shù)據(jù)中心的管理中心安全主要是通過部署安全審計(jì)系統(tǒng)、接入認(rèn)證系統(tǒng)、PKI/CA身份認(rèn)證系統(tǒng)、網(wǎng)絡(luò)防病毒系統(tǒng)、漏洞掃描系統(tǒng)和安全管理平臺(tái)等安全設(shè)備和系統(tǒng)，完成證書管理、實(shí)時(shí)監(jiān)控、統(tǒng)計(jì)分析、配置管理、密鑰管理、日志管理、系統(tǒng)管理、統(tǒng)一用戶管理、統(tǒng)一身份認(rèn)證、資源授權(quán)及訪問控制管理、單點(diǎn)登錄管理、網(wǎng)絡(luò)安全審計(jì)、主機(jī)安全審計(jì)、數(shù)據(jù)庫安全審計(jì)、應(yīng)用系統(tǒng)安全審計(jì)等一系列功能。

1.4.4.2 管理中心安全功能要求

1）證書管理功能

主要涵蓋數(shù)字證書的申請(qǐng)、審核、簽發(fā)、注銷、更新、查詢等的綜合管理，證書管理應(yīng)遵循X.509規(guī)范和國家PKI標(biāo)準(zhǔn)，采用成熟的已經(jīng)通過鑒定的服務(wù)器密碼機(jī)做加、解密及簽名運(yùn)算，為用戶提供高密級(jí)的信息安全服務(wù)。

證書管理應(yīng)不僅能夠提供用戶注冊(cè)、審核，密鑰產(chǎn)生、分發(fā)，證書簽發(fā)、制證及發(fā)布等基本功能，還應(yīng)能為其它應(yīng)用系統(tǒng)提供證書下載，在線證書狀態(tài)查詢、可信時(shí)間等服務(wù)，并進(jìn)行綜合管理，使其它系統(tǒng)能夠更方便的利用電子認(rèn)證基礎(chǔ)設(shè)施實(shí)現(xiàn)安全應(yīng)用。

2）實(shí)時(shí)監(jiān)控功能

能從總體上對(duì)各安全構(gòu)件提供簡便、易用的導(dǎo)向式監(jiān)控，能從總體上和細(xì)節(jié)兩個(gè)層面實(shí)時(shí)把握安全系統(tǒng)整體運(yùn)行情況。實(shí)時(shí)監(jiān)控應(yīng)可按照業(yè)務(wù)和資產(chǎn)進(jìn)行分類，可依據(jù)分類進(jìn)行簡單、直觀的實(shí)時(shí)監(jiān)控。

提供邏輯視圖、物理視圖兩種實(shí)時(shí)監(jiān)控模式和多種不同的圖形化及文字報(bào)警方式。提供實(shí)時(shí)監(jiān)控頁面即時(shí)切換，并可對(duì)實(shí)時(shí)監(jiān)控項(xiàng)和圖形化統(tǒng)計(jì)項(xiàng)進(jìn)行自定義布局，完成管理員最關(guān)心的實(shí)時(shí)監(jiān)控和事件統(tǒng)計(jì)配置和顯示。

3）統(tǒng)計(jì)分析功能

第9頁

杭州?？低曄到y(tǒng)技術(shù)有限公司

行業(yè)基線方案

提供事件統(tǒng)計(jì)，并可將結(jié)果生成統(tǒng)計(jì)報(bào)表?？商峁┝祟A(yù)定義統(tǒng)計(jì)和自定義統(tǒng)計(jì)模式。預(yù)定義統(tǒng)計(jì)分析主要針對(duì)系統(tǒng)自身信息的統(tǒng)計(jì)報(bào)表，可主要包括事件統(tǒng)計(jì)、密鑰統(tǒng)計(jì)、設(shè)備統(tǒng)計(jì)、用戶統(tǒng)計(jì)和日志統(tǒng)計(jì)五大類。

根據(jù)實(shí)際的統(tǒng)計(jì)需求，對(duì)統(tǒng)計(jì)項(xiàng)進(jìn)行自定義配置。配置后，統(tǒng)計(jì)信息可在實(shí)時(shí)監(jiān)控頁面中實(shí)時(shí)顯示，也可以通過統(tǒng)計(jì)分析進(jìn)行查看。統(tǒng)計(jì)結(jié)果以圖形化方式呈現(xiàn)，呈現(xiàn)方式多樣，至少可支持柱圖、餅圖、趨勢(shì)圖等，并為關(guān)聯(lián)分析提供支撐。

4）配置管理功能

能夠?qū)?yīng)用系統(tǒng)中的安全設(shè)備進(jìn)行統(tǒng)一配置管理。配置管理應(yīng)可按照業(yè)務(wù)和資產(chǎn)重要程度和管理域的方式對(duì)業(yè)務(wù)和資產(chǎn)進(jìn)行統(tǒng)一配置管理，提供便捷的添加、修改、刪除、查詢功能，便于管理員能方便地查找所需的業(yè)務(wù)和資產(chǎn)信息，并對(duì)業(yè)務(wù)和資產(chǎn)屬性進(jìn)行維護(hù)。

5）密鑰管理功能

對(duì)密鑰全生命周期（產(chǎn)生、存儲(chǔ)、分發(fā)、更新、撤銷、停用、備份和恢復(fù)）的統(tǒng)一管理，確保密鑰全生命周期的安全。

6）日志管理功能

使審計(jì)員可以通過日志管理對(duì)密鑰日志、系統(tǒng)日志進(jìn)行事后審計(jì)和追蹤，作為日志審計(jì)的依據(jù)。密鑰日志應(yīng)主要包括密鑰生成日志和密鑰分發(fā)日志；系統(tǒng)日志應(yīng)主要包括操作日志、監(jiān)控日志和運(yùn)行日志。日志管理應(yīng)可提供強(qiáng)大、完善的日志查詢和檢索功能，滿足審計(jì)員對(duì)日志的審計(jì)和查詢需求。

7）系統(tǒng)管理功能

通過系統(tǒng)管理中配置對(duì)系統(tǒng)自身進(jìn)行各種參數(shù)配置和管理，應(yīng)主要包括服務(wù)器管理、組件管理、監(jiān)控策略管理等。

8）統(tǒng)一用戶管理功能

根據(jù)用戶的數(shù)字證書，提供對(duì)用戶的管理功能，包括用戶的主賬號(hào)（代表用戶身份的唯一帳號(hào)）和從賬號(hào)（不同應(yīng)用系統(tǒng)中的用戶帳號(hào)）的對(duì)應(yīng)管理，用戶屬性的統(tǒng)一管理，以及實(shí)現(xiàn)用戶整個(gè)生命周期管理，包括對(duì)人員入職、調(diào)動(dòng)、離職等過程中的用戶身份的創(chuàng)建、修改、刪除等操作的管理等。統(tǒng)一用戶管理應(yīng)支持分級(jí)管理功能。

9）統(tǒng)一身份認(rèn)證功能

第10頁

杭州海康威視系統(tǒng)技術(shù)有限公司

行業(yè)基線方案

基于數(shù)字證書完成用戶與客戶端認(rèn)證設(shè)備之間的認(rèn)證，實(shí)現(xiàn)基于PKI的握手協(xié)議，實(shí)現(xiàn)不同系統(tǒng)和設(shè)備之間的身份認(rèn)證有效統(tǒng)一，保護(hù)系統(tǒng)訪問的安全性。統(tǒng)一身份認(rèn)證還應(yīng)支持多級(jí)認(rèn)證功能。

10）資源授權(quán)及訪問控制管理功能

基于數(shù)字證書，并采用基于RBAC的技術(shù)，在用戶進(jìn)行信息系統(tǒng)的資源訪問及使用時(shí)，實(shí)現(xiàn)不同用戶、不同角色對(duì)不同資源的細(xì)粒度訪問控制。資源授權(quán)及訪問控制應(yīng)支持分級(jí)管理功能。

11）單點(diǎn)登錄管理功能

基于數(shù)字證書，使用戶能夠方便地跨越多個(gè)站點(diǎn)或安全域?qū)崿F(xiàn)單點(diǎn)登錄，即用戶登錄到網(wǎng)絡(luò)以后，便能在安全可靠的前提下，訪問任何應(yīng)用程序而無需再次進(jìn)行身份驗(yàn)證；單點(diǎn)登錄應(yīng)同時(shí)提供針對(duì)B/S系統(tǒng)與C/S應(yīng)用系統(tǒng)的單點(diǎn)登錄功能。

12）網(wǎng)絡(luò)安全審計(jì)功能

配合網(wǎng)管系統(tǒng)，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)異常行為及安全事件的審計(jì)。13）主機(jī)安全審計(jì)功能 實(shí)現(xiàn)用戶對(duì)主機(jī)操作行為的審計(jì)。14）數(shù)據(jù)庫安全審計(jì)功能 實(shí)現(xiàn)對(duì)數(shù)據(jù)庫操作行為的審計(jì)。15）應(yīng)用系統(tǒng)安全審計(jì)功能 實(shí)現(xiàn)對(duì)應(yīng)用系統(tǒng)操作行為的審計(jì)。

1.5 安全設(shè)備及系統(tǒng)

根據(jù)智慧城市的業(yè)務(wù)發(fā)展的需要，為保障數(shù)據(jù)中心的計(jì)算環(huán)境安全、區(qū)域邊界安全、通信網(wǎng)絡(luò)安全以及管理中心安全，在數(shù)據(jù)中心建設(shè)過程中需要部署VPN加密系統(tǒng)、入侵防御系統(tǒng)、防火墻系統(tǒng)、安全審計(jì)系統(tǒng)、漏洞掃描系統(tǒng)、網(wǎng)絡(luò)防病毒系統(tǒng)、PKI/CA身份認(rèn)證平臺(tái)、接入認(rèn)證系統(tǒng)、安全管理平臺(tái)等安全設(shè)備及系統(tǒng)來保障整個(gè)數(shù)據(jù)中心系統(tǒng)的安全運(yùn)行。各安全設(shè)備及系統(tǒng)的功能要求如下：

第11頁

杭州?？低曄到y(tǒng)技術(shù)有限公司

行業(yè)基線方案

1.5.1 VPN加密系統(tǒng)

VPN的身份認(rèn)證通過LADP協(xié)議可以與認(rèn)證服務(wù)器建立認(rèn)證關(guān)系，也可以與PKI/CA服務(wù)器建立聯(lián)系在終端導(dǎo)入證書，VPN 加密技術(shù)采用DES、3DES、AES、IDEA、RC4等加密技術(shù)，通過上述的加密技術(shù)，保證視頻、信令、數(shù)據(jù)在公共網(wǎng)絡(luò)中傳輸安全。

智慧城市數(shù)據(jù)中心VPN加密系統(tǒng)功能要求如下： 1.支持豐富的C/S、B/S應(yīng)用；

2.支持多種認(rèn)證方式，如用戶名+口令、RADIUS、AD、LDAP、USB Key； 3.證書、證書+口令、雙因子認(rèn)證等；

4.支持多種終端設(shè)備接入(包括window平臺(tái)、linux平臺(tái)、andriod平臺(tái))； 5.支持IP層隧道模式，支持VoIP； 6.支持多ISP連接；

7.支持統(tǒng)一安全管理系統(tǒng)的統(tǒng)一管理； 8.支持雙機(jī)備份和負(fù)載均衡； 9.終端安全接入控制； 10.基于角色的訪問控制； 11.完善的信息與狀態(tài)監(jiān)控； 12.支持主機(jī)綁定； 13.客戶端安全控制；

14.支持基于用戶的終端安全檢查； 15.支持分支機(jī)構(gòu)的局域網(wǎng)接入。

1.5.2 入侵防御系統(tǒng)

入侵防御系統(tǒng)是一種軟、硬結(jié)合的計(jì)算機(jī)系統(tǒng)，它能通過攻擊特征庫匹配、漏洞機(jī)理分析、應(yīng)用還原重組、網(wǎng)絡(luò)異常分析等主要技術(shù)實(shí)現(xiàn)了精確抵御黑客攻擊、蠕蟲、木馬、后門，抑制間諜軟件、灰色軟件、網(wǎng)絡(luò)釣魚的泛濫，全面防止拒絕服務(wù)攻擊和服務(wù)溢出分布式攻擊。

第12頁

杭州?？低曄到y(tǒng)技術(shù)有限公司

行業(yè)基線方案

智慧城市數(shù)據(jù)中心入侵防御系統(tǒng)功能要求如下：

1.堅(jiān)固的入侵防御體系：完善的攻擊特征庫；漏洞機(jī)理分析技術(shù)，精確抵御黑客攻擊、蠕蟲、木馬、后門；應(yīng)用還原重組技術(shù)，抑制間諜軟件、灰色軟件、網(wǎng)絡(luò)釣魚的泛濫；網(wǎng)絡(luò)異常分析技術(shù)，全面防止拒絕服務(wù)攻擊；

2.動(dòng)、靜態(tài)檢測(cè)功能：動(dòng)態(tài)檢測(cè)與靜態(tài)檢測(cè)融合，基于原理的檢測(cè)方法與基于特征的檢測(cè)方法并存；

3.網(wǎng)絡(luò)防病毒技術(shù)：文件感染病毒、宏病毒、腳本病毒、蠕蟲、木馬、惡意軟件、灰色軟件，病毒庫；病毒類型根據(jù)危害程度劃分為：流行庫、高危庫、普通庫；

4.防DoS攻擊能力：有效抗拒絕服務(wù)攻擊，阻斷絕大多數(shù)的DoS攻擊行為。

1.5.3 防火墻系統(tǒng)

防火墻是傳輸與網(wǎng)絡(luò)安全中最基本、最常用的手段之一，防火墻可以實(shí)現(xiàn)數(shù)據(jù)中心內(nèi)部、外部網(wǎng)絡(luò)之間的邏輯隔離，達(dá)到有效的控制對(duì)網(wǎng)絡(luò)訪問的作用。防火墻可以做到網(wǎng)絡(luò)間的單向訪問需求，過濾一些不安全服務(wù)；防火墻可以針對(duì)協(xié)議、端號(hào)、時(shí)間、流量等條件實(shí)現(xiàn)安全的訪問控制。防火墻具有很強(qiáng)的記錄日志的功能．可以對(duì)不同通信網(wǎng)絡(luò)所要求的策略來記錄所有不安會(huì)的訪問行為。

智慧城市數(shù)據(jù)中心防火墻系統(tǒng)功能要求如下：

1.攻擊防范能力：能防御DoS/DDoS攻擊（如CC、SYNflood、DNS Query Flood、SYNFlood、UDPFlood等）、ARP欺騙攻擊、TCP報(bào)文標(biāo)志位不合法攻擊、LargeICMP報(bào)文攻擊、地址掃描攻擊和端口掃描攻擊等多種惡意攻擊，同時(shí)支持黑名單、MAC綁定、內(nèi)容過濾等功能；

2.狀態(tài)安全過濾：支持基礎(chǔ)、擴(kuò)展和基于接口的狀態(tài)檢測(cè)包過濾技術(shù)；支持應(yīng)用層報(bào)文過濾協(xié)議，支持對(duì)每一個(gè)連接狀態(tài)信息的維護(hù)監(jiān)測(cè)并動(dòng)態(tài)地過濾數(shù)據(jù)包，支持對(duì)應(yīng)用層協(xié)議的狀態(tài)監(jiān)控；

3.完善的訪問控制特性：支持基于源IP、目的IP、源端口、目的端口、時(shí)間、服務(wù)、用戶、文件、網(wǎng)址、關(guān)鍵字、郵件地址、腳本、MAC地址等多種方式進(jìn)行訪問控制；支持流量管理、連接數(shù)控制、IP+MAC綁定、用戶認(rèn)證等；

第13頁

杭州海康威視系統(tǒng)技術(shù)有限公司

行業(yè)基線方案

4.應(yīng)用層內(nèi)容過濾：可以有效的識(shí)別網(wǎng)絡(luò)中各種P2P模式的應(yīng)用，并且對(duì)這些應(yīng)用采取限流的控制措施，有效保護(hù)網(wǎng)絡(luò)帶寬；支持郵件過濾，提供SMTP郵件地址、標(biāo)題、附件和內(nèi)容過濾；支持網(wǎng)頁過濾，提供HTTP URL和內(nèi)容過濾；

5.NAT應(yīng)用支持：提供多對(duì)

一、多對(duì)多、靜態(tài)網(wǎng)段、雙向轉(zhuǎn)換、IP和DNS映射等NAT應(yīng)用方式；支持多種應(yīng)用協(xié)議正確穿越NAT功能；

6.認(rèn)證服務(wù)：支持本地用戶、RADIUS、TACACS等認(rèn)證方式。支持基于用戶身份的管理，實(shí)現(xiàn)不同身份的用戶擁有不同的命令執(zhí)行權(quán)限，并且支持用戶視圖分級(jí)，對(duì)于不同級(jí)別的用戶賦予不同的管理配置權(quán)限；

7.集中管理與審計(jì)：提供各種日志功能、流量統(tǒng)計(jì)和分析功能、各種事件監(jiān)控和統(tǒng)計(jì)功能、郵件告警功能。

1.5.4 安全審計(jì)系統(tǒng)

安全審計(jì)系統(tǒng)是按照一定的安全策略，利用記錄、系統(tǒng)活動(dòng)和用戶活動(dòng)等信息，檢查、審查和檢驗(yàn)操作事件的環(huán)境及活動(dòng)，從而發(fā)現(xiàn)系統(tǒng)漏洞、入侵行為或改善系統(tǒng)性能的過程。它是記錄與審查用戶操作計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)活動(dòng)的過程，是提高系統(tǒng)安全性的重要舉措。

智慧城市數(shù)據(jù)中心安全審計(jì)系統(tǒng)功能要求如下：

1.敏感行為記錄:支持用戶可基于網(wǎng)絡(luò)應(yīng)用的具體情況，自定義敏感的網(wǎng)絡(luò)訪問行為數(shù)據(jù)特征，系統(tǒng)可以根據(jù)策略對(duì)于敏感事件實(shí)時(shí)記錄、顯示和阻斷；

2.特定網(wǎng)絡(luò)連接實(shí)時(shí)監(jiān)視功能：支持用戶通過會(huì)話監(jiān)控功能對(duì)正在進(jìn)行的連接會(huì)話內(nèi)容進(jìn)行實(shí)時(shí)監(jiān)控，并支持手工阻斷、自動(dòng)阻斷功能；

3.流量審計(jì)：支持對(duì)IP、TCP、UDP、ICMP、P2P等應(yīng)用協(xié)議的流量監(jiān)測(cè)，提供基于IP地址、用戶組、應(yīng)用協(xié)議類型、時(shí)間、端口等組合流量審計(jì)策略；可分析網(wǎng)絡(luò)流量最大值、均值、總值、實(shí)時(shí)流量、TOPN等；

4.網(wǎng)絡(luò)管理行為審計(jì)：支持TELNET、FTP訪問審計(jì)，記錄TELNET、FTP訪問的時(shí)間、地址、賬號(hào)、命令等信息；對(duì)違反審計(jì)策略的操作行為實(shí)時(shí)報(bào)警、記錄；

5.互聯(lián)網(wǎng)行為審計(jì)：支持對(duì)網(wǎng)頁訪問、論壇、即時(shí)通訊、在線視頻、P2P

第14頁

杭州?？低曄到y(tǒng)技術(shù)有限公司

行業(yè)基線方案

下載、網(wǎng)絡(luò)游戲、炒股、文件上傳下載等行為進(jìn)行全面監(jiān)控管理；

6.HTTP協(xié)議審計(jì)：中英文URL數(shù)據(jù)庫，超過十種分類，如不良言論、色情暴力等；可過濾非法不良網(wǎng)站，并支持用戶添加自定義URL；支持針對(duì)URL、HTTP網(wǎng)頁頁面內(nèi)容、HTTP搜索引擎的關(guān)鍵字過濾；

7.SMTP協(xié)議審計(jì)：支持SMTP、POP3、WEBMAIL等協(xié)議，支持基于郵箱地址、郵件主題、郵件內(nèi)容、附件名的關(guān)鍵字審計(jì)策略；針對(duì)符合審計(jì)策略的事件，提供實(shí)時(shí)告警、阻斷和信息還原；

8.FTP協(xié)議審計(jì)：支持基于IP地址、用戶組、時(shí)間、命令關(guān)鍵字等組合審計(jì)策略，可記錄源IP地址、目的IP地址、帳號(hào)、命令及上傳下載文件名等；

9.數(shù)據(jù)庫訪問行為審計(jì):支持對(duì)ORALCE、SQL SERVER、MY SQL、DB2、Sybase、Infomix等數(shù)據(jù)庫，實(shí)時(shí)審計(jì)用戶對(duì)數(shù)據(jù)庫的所有操作（如創(chuàng)建、插入、刪除等），精細(xì)還原操作命令，并及時(shí)告警響應(yīng)；

10.Windows遠(yuǎn)程訪問行為審計(jì)：支持對(duì)NETBIOS協(xié)議審計(jì)，記錄具體時(shí)間、地址、具體操作等；

11.認(rèn)證審計(jì)功能：支持在不修改原系統(tǒng)配置的情況下，對(duì)訪問用戶進(jìn)行基于CA證書的強(qiáng)身份認(rèn)證，并支持統(tǒng)基于授權(quán)認(rèn)證按訪問者的身份進(jìn)行為審計(jì)；

12.通訊加密：與安全中心間的通信采用強(qiáng)加密傳輸告警日志與控制命令，避免可能存在的嗅探行為，實(shí)現(xiàn)了數(shù)據(jù)傳輸?shù)陌踩?/p>

1.5.5 漏洞掃描系統(tǒng)

通過部署漏洞掃描系統(tǒng)，可以對(duì)數(shù)據(jù)中心主機(jī)服務(wù)器系統(tǒng)（LINUX、數(shù)據(jù)庫、UNIX、WINDOWS）、交換機(jī)、路由器、防火墻、入侵防御、安全審計(jì)、邊界接入平臺(tái)等等設(shè)備，實(shí)現(xiàn)不同內(nèi)容、不同級(jí)別、不同程度、不同層次的掃描。對(duì)掃描結(jié)果，可以報(bào)表和圖形的方式進(jìn)行分析。實(shí)現(xiàn)了隱患掃描、安全評(píng)估、脆弱性分析和解決方案。

智慧城市數(shù)據(jù)中心漏洞掃描系統(tǒng)功能要求如下：

1.能夠?qū)W(wǎng)絡(luò)（安全）設(shè)備、主機(jī)系統(tǒng)和應(yīng)用服務(wù)的漏洞進(jìn)行掃描，指出有關(guān)網(wǎng)絡(luò)的安全漏洞及被測(cè)系統(tǒng)的薄弱環(huán)節(jié)，給出詳細(xì)的檢測(cè)報(bào)告，并針對(duì)檢測(cè)

第15頁

杭州?？低曄到y(tǒng)技術(shù)有限公司

行業(yè)基線方案

到的網(wǎng)絡(luò)安全隱患給出相應(yīng)的修補(bǔ)措施和安全建議；

2.漏洞管理功能

漏洞管理的循環(huán)過程劃分為漏洞預(yù)警、漏洞分析、漏洞修復(fù)、漏洞審計(jì)四個(gè)階段。

? 漏洞預(yù)警：最新的高風(fēng)險(xiǎn)漏洞信息公布之際，在第一時(shí)間通過郵件或者電話的方式向用戶進(jìn)行通告，并且提供相應(yīng)的預(yù)防措施；

? 漏洞分析：對(duì)網(wǎng)絡(luò)中的資產(chǎn)進(jìn)行自動(dòng)發(fā)現(xiàn)，并且按照資產(chǎn)重要性進(jìn)行分類。再采用業(yè)界權(quán)威的風(fēng)險(xiǎn)評(píng)估模型對(duì)資產(chǎn)的風(fēng)險(xiǎn)進(jìn)行評(píng)估；

? 漏洞修復(fù)：提供可操作性很強(qiáng)的漏洞修復(fù)方案，同時(shí)提供二次開發(fā)接口給第三方的補(bǔ)丁管理產(chǎn)品進(jìn)行聯(lián)動(dòng)，方便用戶及時(shí)高效地對(duì)漏洞進(jìn)行修復(fù)；

? 漏洞審計(jì)：通過發(fā)送郵件通知的方式督促相應(yīng)的安全管理人員對(duì)漏洞進(jìn)行修復(fù)，同時(shí)啟動(dòng)定時(shí)掃描任務(wù)對(duì)漏洞進(jìn)行審計(jì)。

3.安全管理功能

? 系統(tǒng)將所發(fā)現(xiàn)的隱患和漏洞依照風(fēng)險(xiǎn)等級(jí)進(jìn)行分類，向用戶發(fā)出不同的警告提示，提交風(fēng)險(xiǎn)評(píng)估報(bào)告，并給出詳細(xì)的解決辦法；

? 系統(tǒng)對(duì)可掃描的IP地址進(jìn)行了嚴(yán)格地限定，有效地防止系統(tǒng)被濫用和盜用；

? 掃描數(shù)據(jù)結(jié)果與升級(jí)包文件采用專用的算法加密，實(shí)現(xiàn)掃描漏洞信息的保密性，升級(jí)數(shù)據(jù)包的合法來源性；

? 系統(tǒng)具有定時(shí)掃描功能，用戶可以定制掃描時(shí)間，從而實(shí)現(xiàn)自動(dòng)化掃描，生成報(bào)表。

4.策略管理功能

? 系統(tǒng)可定義豐富的掃描策略，包括完全掃描、LINUX、數(shù)據(jù)庫、UNIX、WINDOWS、不含拒絕服務(wù)、網(wǎng)絡(luò)設(shè)備、路由器、防火墻、20大常見漏洞等內(nèi)置策略。實(shí)現(xiàn)不同內(nèi)容、不同級(jí)別、不同程度、不同層次的掃描；

? 系統(tǒng)針對(duì)不同用戶的需求，可定義掃描（端口）范圍、掃描使用的參數(shù)集、掃描并發(fā)主機(jī)數(shù)等具體掃描選項(xiàng)，對(duì)掃描策略進(jìn)行合理的組合，更快、更有效地幫助不同用戶構(gòu)建自己專用的安全策略。

第16頁

杭州?？低曄到y(tǒng)技術(shù)有限公司

行業(yè)基線方案

1.5.6 網(wǎng)絡(luò)防病毒系統(tǒng)

在數(shù)據(jù)中心核心交換上部署一臺(tái)網(wǎng)絡(luò)防毒服務(wù)器對(duì)全網(wǎng)制定完善的防病毒策略，實(shí)施統(tǒng)一的防病毒策略，使分布在數(shù)據(jù)中心每臺(tái)計(jì)算機(jī)上的防病毒系統(tǒng)實(shí)施相同的防病毒策略，全網(wǎng)達(dá)到統(tǒng)一的病毒防護(hù)強(qiáng)度。同時(shí)防毒服務(wù)器實(shí)時(shí)地記錄防護(hù)體系內(nèi)每臺(tái)計(jì)算機(jī)上的病毒監(jiān)控、檢測(cè)和清除信息，根據(jù)管理員控制臺(tái)的設(shè)置，實(shí)現(xiàn)對(duì)整個(gè)防護(hù)系統(tǒng)的自動(dòng)控制。

智慧城市數(shù)據(jù)中心網(wǎng)絡(luò)防病毒系統(tǒng)功能要求如下：

1.病毒防范和查殺能力：開啟實(shí)時(shí)監(jiān)控后能完全預(yù)防已知病毒的危害；可防范、檢測(cè)并清除隱藏于電子郵件、公共文件夾及數(shù)據(jù)庫中的計(jì)算機(jī)病毒、惡性程序、病毒郵件；能有效預(yù)防、查殺映像劫持類型的病毒；可以防范網(wǎng)頁中的惡意代碼；壓縮文件、打包文件查殺毒（在不加密的情況下，不限層數(shù)）；內(nèi)存查殺毒、運(yùn)行文件查殺毒、引導(dǎo)區(qū)查殺毒；支持圖片、視頻等多媒體文件的查殺毒；郵件接收、發(fā)送檢測(cè)；郵件文件靜態(tài)檢測(cè)、殺毒；同時(shí)支持Foxmail、Outlook、OutlookExpress、Notes和Mozilla等常見客戶端郵件系統(tǒng)的防（殺）病毒；能夠有效查殺各類Office文檔中的宏病毒 支持共享文件的病毒查殺；具有未知病毒檢測(cè)、清除能力；

2.升級(jí)管理

? 依據(jù)策略，全網(wǎng)統(tǒng)一自動(dòng)升級(jí)，不需要人為干涉；

? 增量升級(jí)（包括系統(tǒng)中心從網(wǎng)站升級(jí)，客戶端從系統(tǒng)中心升級(jí)，下級(jí)中心；從上級(jí)中心升級(jí))，以減少升級(jí)時(shí)帶來的網(wǎng)絡(luò)流量；可設(shè)置升級(jí)周期和升；級(jí)時(shí)間范圍，實(shí)現(xiàn)及時(shí)升級(jí)并避免升級(jí)時(shí)占用網(wǎng)絡(luò)帶寬影響用戶正常業(yè)務(wù)的通訊；

? 在與Internet隔離的內(nèi)部網(wǎng)絡(luò)中，提供多種升級(jí)方式，包括：自動(dòng)在線升級(jí)、手動(dòng)升級(jí)、下載離線升級(jí)包升級(jí)等。3.集中管理

支持多級(jí)系統(tǒng)中心，并能夠?qū)γ考?jí)系統(tǒng)中心及所屬客戶端進(jìn)行統(tǒng)一升級(jí)，統(tǒng)一管理；支持多個(gè)管理員分組管理；允許管理員通過單一控制臺(tái)，集中地實(shí)現(xiàn)所有節(jié)點(diǎn)上防毒軟件的監(jiān)控、配置、查詢等管理工作，包括Unix、Linux系統(tǒng)上的第17頁

杭州?？低曄到y(tǒng)技術(shù)有限公司

行業(yè)基線方案

防（殺）病毒軟件；控制臺(tái)可跨網(wǎng)段管理，管理不依賴網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。

1.5.7 PKI/CA身份認(rèn)證平臺(tái)

PKI/CA 身份認(rèn)證平臺(tái)通過發(fā)放和維護(hù)數(shù)字證書來建立一套信任網(wǎng)絡(luò)，在同一信任網(wǎng)絡(luò)中的用戶通過申請(qǐng)到的數(shù)字證書來完成身份認(rèn)證和安全處理。PKI 從技術(shù)上解決了網(wǎng)絡(luò)通信安全的種種障礙，CA 從運(yùn)營、管理、規(guī)范、法律、人員等多個(gè)角度來解決了網(wǎng)絡(luò)信任問題。

智慧城市數(shù)據(jù)中心PKI/CA身份認(rèn)證平臺(tái)功能要求如下：

1.5.7.1 CA系統(tǒng)

1.證書管理：包括證書申請(qǐng)、證書下載、證書更新、證書注銷、證書凍結(jié)、證書解凍、證書查詢、證書歸檔；

2.模板管理：包括通用證書模板、簽名證書模板、加密證書模板、設(shè)備證書模板、SSL服務(wù)器證書模塊等，當(dāng)國家/國際標(biāo)準(zhǔn)表擴(kuò)展域無法滿足模板要求時(shí)，可以使用自定義擴(kuò)展域OID + 編碼方式 + VALUE自定義模板；

3.審計(jì)管理；包括業(yè)務(wù)審計(jì)、日志審計(jì)等功能，并且支持日志防篡改； 4.支持總CRL、分CRL、增量CRL、支持CRL重疊期，可以根據(jù)模板指定CRL發(fā)布點(diǎn)；

5.系統(tǒng)支持SM2算法及RSA算法。

1.5.7.2 RA系統(tǒng)

1.證書管理；包括證書申請(qǐng)、證書下載、證書查詢、證書更新、證書凍結(jié)、證書解凍、證書注銷、批量申請(qǐng)證書、批量證書審核、批量下載證書；支持批量發(fā)送自動(dòng)過期證書通知，管理員可以定時(shí)自動(dòng)獲取系統(tǒng)內(nèi)將過期證書通知；

2.用戶管理；包括用戶組管理、添加用戶、修改用戶、刪除用戶、凍結(jié)用戶、解凍用戶、注銷用戶；

3.機(jī)構(gòu)管理；包括機(jī)構(gòu)信息管理、添加機(jī)構(gòu)、修改機(jī)構(gòu)、刪除機(jī)構(gòu)、導(dǎo)出機(jī)構(gòu)、導(dǎo)入機(jī)構(gòu)；

第18頁

杭州?？低曄到y(tǒng)技術(shù)有限公司

行業(yè)基線方案

4.權(quán)限管理；包括業(yè)務(wù)錄入員、審核員、制證員、人事錄入員、審核員、審計(jì)管理員；

5.審計(jì)管理；包括業(yè)務(wù)審計(jì)、日志審計(jì)等功能，并且支持日志防篡改； 6.用戶自主服務(wù)；包括自主下載證書、自主更新證書、下載根證書、下載CRL；支持靈活控制的自主服務(wù)模式和可擴(kuò)展的用戶身份驗(yàn)證模式；

7.支持直接下載用戶申請(qǐng)成功的證書，并制作到用戶證書載體中，證書載體包括：軟盤、USB Key和IC卡等。

1.5.7.3 KMC系統(tǒng)

KMC系統(tǒng)主要負(fù)責(zé)對(duì)用戶加密密鑰的產(chǎn)生、存儲(chǔ)、分發(fā)、查詢、注銷、歸檔及恢復(fù)整個(gè)生命流程實(shí)施管理；密鑰管理中心的功能從整體上來分，主要分為密鑰管理、管理中心結(jié)構(gòu)管理、授權(quán)管理、密鑰恢復(fù)、審計(jì)管理功能。

1.5.7.4 目錄服務(wù)系統(tǒng)

1.查詢功能； 2.更新功能； 3.復(fù)制功能； 4.引用功能。

1.5.7.5 用戶屬性管理系統(tǒng)

1.用戶身份管理； 2.用戶屬性管理；

3.下級(jí)平臺(tái)用戶自主管理及證書申請(qǐng)、下載服務(wù)； 4.查詢服務(wù)； 5.同步服務(wù)。

1.5.7.6 身份認(rèn)證網(wǎng)關(guān)

1.支持證書身份認(rèn)證

第19頁

杭州?？低曄到y(tǒng)技術(shù)有限公司

行業(yè)基線方案

身份認(rèn)證網(wǎng)關(guān)支持PKI/CA數(shù)字證書認(rèn)證，包括：用戶數(shù)字證書完整性驗(yàn)證、CRL更新、OCSP證書校驗(yàn)、支持多級(jí)CA頒發(fā)的證書、支持單雙向認(rèn)證選擇、支持旁路認(rèn)證及主路認(rèn)證多種方式；

2.支持b/s和c/s應(yīng)用；

3.支持?jǐn)?shù)據(jù)加密及數(shù)據(jù)完整性保護(hù)

提供對(duì)敏感數(shù)據(jù)進(jìn)行加密，實(shí)現(xiàn)敏感數(shù)據(jù)保密，不被竊??；對(duì)重要業(yè)務(wù)流程或敏感數(shù)據(jù)進(jìn)行數(shù)字簽名，簽名結(jié)果作為依據(jù)，實(shí)現(xiàn)網(wǎng)絡(luò)行為不被否認(rèn)；

4.支持訪問控制

支持應(yīng)用維護(hù)功能可以配置系統(tǒng)用戶，控制通過驗(yàn)證的用戶是否可以訪問應(yīng)用系統(tǒng)；

5.支持單點(diǎn)登錄

支持多個(gè)應(yīng)用系統(tǒng)之間的單點(diǎn)登錄，即一次登錄，多次使用。用戶通過網(wǎng)關(guān)認(rèn)證后，系統(tǒng)認(rèn)證平臺(tái)通過Cookie機(jī)制維護(hù)該用戶的會(huì)話信息，用戶登錄應(yīng)用系統(tǒng)時(shí)，無需再次認(rèn)證。極大的簡化了用戶登錄應(yīng)用系統(tǒng)的步驟，使應(yīng)用更加流暢；

6.安全審計(jì)及監(jiān)控

對(duì)訪問網(wǎng)關(guān)的用戶行為進(jìn)行詳細(xì)記錄，并且對(duì)記錄的審查作權(quán)限控制，有效地實(shí)現(xiàn)了責(zé)任認(rèn)定和系統(tǒng)使用情況分析。

對(duì)專網(wǎng)整個(gè)認(rèn)證中心建設(shè)中各種PKI/CA設(shè)備、系統(tǒng)、服務(wù)進(jìn)行有效的集中監(jiān)控與管理，解決PKI體系龐大帶來的難維護(hù)、難管理等問題；對(duì)證書的發(fā)放以及應(yīng)用訪問的審計(jì)。

1.5.8 接入認(rèn)證系統(tǒng)

接入認(rèn)證系統(tǒng)實(shí)現(xiàn)了基于802.1X的用戶名和密碼的身份認(rèn)證，并且采用用戶名與接入終端的MAC地址、IP地址、VLAN、接入設(shè)備端口號(hào)等信息進(jìn)行綁定的方式，來保證數(shù)據(jù)中心設(shè)備接入安全。

智慧城市數(shù)據(jù)中心接入認(rèn)證系統(tǒng)功能要求如下：

1.可支持基于用戶名和密碼的身份認(rèn)證，并且支持用戶名與接入終端的MAC地址、IP地址、VLAN、接入設(shè)備端口號(hào)等信息進(jìn)行綁定；

第20頁

杭州?？低曄到y(tǒng)技術(shù)有限公司

行業(yè)基線方案

2.針對(duì)用戶終端進(jìn)行系統(tǒng)狀態(tài)安全檢查，包括應(yīng)用軟件的安裝及使用、病毒庫版本更新、終端補(bǔ)丁檢查、非法外聯(lián)等，并且支持對(duì)瑞星、江民、金山、趨勢(shì)科技、McAfee、Symentec、Ahn、北信源、CA Kill、卡巴斯基、NOD32等廠商的防病毒軟件的檢測(cè)和聯(lián)動(dòng)；

3.在用戶終端通過安全檢查后，可以基于用戶的權(quán)限，向安全聯(lián)動(dòng)組件下發(fā)事先配置的ACL策略，實(shí)現(xiàn)分級(jí)分權(quán)限的細(xì)粒度用戶網(wǎng)絡(luò)行為管理；

4.通過對(duì)USB進(jìn)行監(jiān)控方式，避免重要文件通過移動(dòng)存儲(chǔ)設(shè)備進(jìn)行非法拷貝，有效的避免了機(jī)密文件的泄露；

5.支持802.1X用戶身份認(rèn)證，可與主流廠商的交換機(jī)實(shí)現(xiàn)安全聯(lián)動(dòng)，強(qiáng)制檢查用戶的安全狀態(tài)，如果不符合要求則無法接入企業(yè)內(nèi)網(wǎng)或只能訪問隔離區(qū)資源，進(jìn)一步保護(hù)企業(yè)內(nèi)網(wǎng)的安全。

1.5.9 安全管理平臺(tái)

安全管理平臺(tái)的目標(biāo)是要確保全局的掌控，確保整個(gè)體系的完整性，而不僅限于局部系統(tǒng)的完整性；對(duì)于安全問題、事件的檢測(cè)要能夠匯總和綜合到中央監(jiān)控體系，確保整個(gè)體系的可追究性。

SOC系統(tǒng)是信息安全保障系統(tǒng)的核心，主要體現(xiàn)在對(duì)視頻專網(wǎng)全局掌控、預(yù)警能力和應(yīng)急響應(yīng)處理能力。全局預(yù)警就是要建立全局性的安全狀況收集系統(tǒng)，對(duì)于新的安全漏洞和攻擊方法的及時(shí)了解，針對(duì)體系內(nèi)局部發(fā)生的安全入侵等事件進(jìn)行響應(yīng)。SOC充分利用所掌握的空間、時(shí)間、知識(shí)、能力等資源優(yōu)勢(shì)，形成全局性的資源協(xié)調(diào)體系，為系統(tǒng)的全局可控性提供有力的保障。SOC在設(shè)備管理和安全事件管理方面外，應(yīng)該對(duì)公安行業(yè)的制度和工作方式在視頻業(yè)務(wù)流程中得以體現(xiàn)，主要表現(xiàn)為工作流的驅(qū)動(dòng)，工單的管理，以及處理結(jié)果的反饋。

第21頁

杭州海康威視系統(tǒng)技術(shù)有限公司

第五篇：XX廣電數(shù)據(jù)中心網(wǎng)絡(luò)解決方案

XX廣電數(shù)據(jù)中心網(wǎng)絡(luò)解決方案 XX廣電數(shù)據(jù)中心面臨的挑戰(zhàn)

“數(shù)據(jù)中心”建設(shè)是三網(wǎng)融合建設(shè)的重要組成部分，是廣電網(wǎng)絡(luò)運(yùn)營商進(jìn)行多業(yè)務(wù)運(yùn)營轉(zhuǎn)型，提升綜合實(shí)力的主要任務(wù)。作為定位在“多業(yè)務(wù)運(yùn)營平臺(tái)”基礎(chǔ)之上的數(shù)據(jù)中心，它不僅作為IDC開展IDC業(yè)務(wù)，還對(duì)廣電現(xiàn)有的寬帶接入業(yè)務(wù)、互動(dòng)

數(shù)字電視視頻業(yè)務(wù)、互動(dòng)增值業(yè)務(wù)的發(fā)展產(chǎn)生積極作用，同時(shí)為廣電的IT支撐系統(tǒng)提供運(yùn)維保障。當(dāng)前廣電數(shù)據(jù)中心面臨的挑戰(zhàn)是：

1)廣電寬帶用戶需要的互聯(lián)網(wǎng)內(nèi)容與信息服務(wù)大部分在電信和聯(lián)通的IP網(wǎng)內(nèi)，導(dǎo)致廣電巨大的入網(wǎng)流量帶寬成本。需要建設(shè)數(shù)據(jù)中心并部署一定規(guī)模的P2P、WEB應(yīng)用緩存系統(tǒng)，從而盡可能將本地寬帶用戶的內(nèi)容和服務(wù)請(qǐng)求終結(jié)在廣電網(wǎng)內(nèi)。

2)互動(dòng)數(shù)字高清視頻業(yè)務(wù)是廣電運(yùn)營商的核心業(yè)務(wù)，其發(fā)展方向是互動(dòng)、高清、3D，該業(yè)務(wù)不僅需要大量豐富的高清互動(dòng)視頻媒體資源，同時(shí)還需要完善的視頻內(nèi)容分發(fā)網(wǎng)絡(luò)（CDN），作為數(shù)據(jù)中心一個(gè)業(yè)務(wù)域，對(duì)大流量環(huán)境下的高帶寬、高可靠、高穩(wěn)定、易管理、節(jié)能環(huán)保要求較高。

3)IDC業(yè)務(wù)是運(yùn)營商業(yè)務(wù)領(lǐng)域的重要組成部分，是信息化服務(wù)的趨勢(shì)，IDC相關(guān)業(yè)務(wù)除了傳統(tǒng)的系統(tǒng)托管業(yè)務(wù)、服務(wù)器和帶寬等資源租賃業(yè)務(wù)、網(wǎng)絡(luò)安全增值業(yè)務(wù)外，還將面向公眾、企業(yè)等客戶的云計(jì)算服務(wù)，承載這些業(yè)務(wù)，完善的數(shù)據(jù)中心基礎(chǔ)設(shè)施是不可或缺的。

4)隨著業(yè)務(wù)的發(fā)展，廣電運(yùn)營商需要逐步建設(shè)完備的IT支撐系統(tǒng)，包括相關(guān)的業(yè)務(wù)平臺(tái)管理系統(tǒng)、內(nèi)部管理系統(tǒng)，現(xiàn)階段大部分的廣電IT支撐系統(tǒng)還處在不斷完善、持續(xù)建設(shè)的階段，如果廣電馬上建設(shè)完善獨(dú)立的IT支撐系統(tǒng)數(shù)據(jù)中心將是一種硬件資源、運(yùn)維資源的潛在浪費(fèi)，需要將其納入到多業(yè)務(wù)數(shù)據(jù)中心，保障該系統(tǒng)的獨(dú)立性和安全隔離，以逐步完善IT支撐系統(tǒng)。

根據(jù)對(duì)廣電行業(yè)業(yè)務(wù)對(duì)數(shù)據(jù)中心的建設(shè)需求，漢柏科技提出了廣電數(shù)據(jù)中心網(wǎng)絡(luò)解決方案，對(duì)數(shù)據(jù)中心網(wǎng)絡(luò)的總體架構(gòu)、網(wǎng)絡(luò)功能、可靠性、安全設(shè)計(jì)、服務(wù)質(zhì)量設(shè)計(jì)進(jìn)行了詳細(xì)的描述，以指導(dǎo)建設(shè)一個(gè)高度可靠、安全、快速、可擴(kuò)展的數(shù)據(jù)中心網(wǎng)絡(luò)平臺(tái)。

漢柏科技有限公司 004km.cn客服熱線：400-706-8366

漢柏認(rèn)為數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)目標(biāo)是：在統(tǒng)籌廣電數(shù)據(jù)中心項(xiàng)目業(yè)務(wù)需求和發(fā)展的基礎(chǔ)上，兼顧遠(yuǎn)期發(fā)展目標(biāo)，建設(shè)一個(gè)高度可靠、安全、快速、可擴(kuò)展的基礎(chǔ)網(wǎng)絡(luò)平臺(tái)，為各項(xiàng)業(yè)務(wù)提供優(yōu)質(zhì)高效的網(wǎng)絡(luò)服務(wù)。數(shù)據(jù)中心業(yè)務(wù)規(guī)劃

廣電數(shù)據(jù)中心網(wǎng)絡(luò)承載的業(yè)務(wù)眾多，可按照業(yè)務(wù)類型初步規(guī)劃如下：

自營交互業(yè)務(wù)????視頻CDN分發(fā)核心交互電視增值系統(tǒng)寬帶和3G終端視頻門戶P2P和WEB緩存廣電多業(yè)務(wù)數(shù)據(jù)中心????云計(jì)算業(yè)務(wù)承載網(wǎng)企業(yè)級(jí)私有云個(gè)人級(jí)公有云物聯(lián)網(wǎng)????IDC業(yè)務(wù)大客戶系統(tǒng)托管游戲門戶視頻門戶WEB門戶IT支撐系統(tǒng)運(yùn)維????多業(yè)務(wù)管理系統(tǒng)計(jì)費(fèi)管理系統(tǒng)用戶管理系統(tǒng)企業(yè)內(nèi)部管理系統(tǒng) 1)自營交互應(yīng)用業(yè)務(wù) 交互應(yīng)用業(yè)務(wù)區(qū)承載了雙向互動(dòng)點(diǎn)播系統(tǒng)業(yè)務(wù)，是作為廣電運(yùn)營商“三網(wǎng)融合”的核心業(yè)務(wù)，在業(yè)務(wù)部署模式上采用的是分布式部署，即中央交互服務(wù)器與區(qū)域交互服務(wù)器是邏輯分開的。

2)IDC業(yè)務(wù) 包括大客戶系統(tǒng)托管、游戲門戶、視頻門戶、WEB門戶等業(yè)務(wù)。3)云計(jì)算業(yè)務(wù)

漢柏科技有限公司 004km.cn客服熱線：400-706-8366

包括承載網(wǎng)、企業(yè)私有云、個(gè)人公有云、物聯(lián)網(wǎng)等業(yè)務(wù)。4)IT支撐系統(tǒng)

包括多業(yè)務(wù)管理系統(tǒng)、計(jì)費(fèi)管理系統(tǒng)、用戶管理系統(tǒng)、企業(yè)內(nèi)部管理系統(tǒng)等業(yè)務(wù)。網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)

3.1 設(shè)計(jì)原則

廣電數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)計(jì)原則如下： ? 層次化

廣電數(shù)據(jù)中心網(wǎng)絡(luò)在網(wǎng)絡(luò)層次設(shè)計(jì)上分為三層結(jié)構(gòu)，即核心層、匯聚層、接入層。? 區(qū)域化

廣電數(shù)據(jù)中心網(wǎng)絡(luò)根據(jù)業(yè)務(wù)功能劃分區(qū)域，各自獨(dú)立，分別設(shè)計(jì)。? 高可靠性

系統(tǒng)的可靠性是網(wǎng)絡(luò)健壯和穩(wěn)定的重要因素之一，所以對(duì)網(wǎng)絡(luò)系統(tǒng)的高可靠性設(shè)計(jì)必須全面考慮。? 可擴(kuò)展性

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和應(yīng)用規(guī)模的不斷擴(kuò)大，網(wǎng)絡(luò)應(yīng)具有平滑擴(kuò)展的能力，這種擴(kuò)展不應(yīng)影響原有的應(yīng)用。廣電數(shù)據(jù)中心網(wǎng)絡(luò)系統(tǒng)應(yīng)能夠隨時(shí)通過增加網(wǎng)絡(luò)設(shè)備或模塊來擴(kuò)展、升級(jí)整個(gè)網(wǎng)絡(luò)系統(tǒng)，同時(shí)保證原有設(shè)備的正常使用。

3.2 整體網(wǎng)絡(luò)架構(gòu)

漢柏建議數(shù)據(jù)中心網(wǎng)絡(luò)的網(wǎng)絡(luò)架構(gòu)采用分層、分區(qū)的模塊化規(guī)劃方法，即：

漢柏科技有限公司 004km.cn客服熱線：400-706-8366

? 根據(jù)不同的網(wǎng)絡(luò)訪問層次，將數(shù)據(jù)中心網(wǎng)絡(luò)分為：核心層、匯聚層和接入層。? 根據(jù)不同的業(yè)務(wù)功能，將數(shù)據(jù)中心網(wǎng)絡(luò)在功能上分為：交互業(yè)務(wù)區(qū)、IDC業(yè)務(wù)區(qū)、云計(jì)算業(yè)務(wù)區(qū)、IT支撐業(yè)務(wù)區(qū)。整體拓?fù)浣Y(jié)構(gòu)如下：

VOD承載網(wǎng)骨干網(wǎng)核心交換機(jī)（外聯(lián)）交互業(yè)務(wù)區(qū)對(duì)外防火墻IDC業(yè)務(wù)區(qū)對(duì)外防火墻云計(jì)算業(yè)務(wù)區(qū)對(duì)外防火墻IT支撐業(yè)務(wù)區(qū)對(duì)外防火墻交互業(yè)務(wù)區(qū)匯聚交換機(jī)IDC業(yè)務(wù)區(qū)匯聚交換機(jī)云計(jì)算業(yè)務(wù)區(qū)匯聚交換機(jī)IT支撐業(yè)務(wù)區(qū)匯聚交換機(jī)交互業(yè)務(wù)區(qū)對(duì)外接入?yún)^(qū)交互業(yè)務(wù)區(qū)內(nèi)聯(lián)防火墻IDC業(yè)務(wù)區(qū)對(duì)外接入?yún)^(qū)IDC業(yè)務(wù)區(qū)內(nèi)聯(lián)防火墻云計(jì)算業(yè)務(wù)區(qū)對(duì)外接入?yún)^(qū)云計(jì)算業(yè)務(wù)區(qū)內(nèi)聯(lián)防火墻IT支撐業(yè)務(wù)區(qū)對(duì)外接入?yún)^(qū)IT支撐業(yè)務(wù)區(qū)內(nèi)聯(lián)防火墻交互業(yè)務(wù)區(qū)應(yīng)用服務(wù)器接入IDC業(yè)務(wù)區(qū)應(yīng)用服務(wù)器接入云計(jì)算業(yè)務(wù)區(qū)應(yīng)用服務(wù)器接入核心交換機(jī)（內(nèi)聯(lián)）IT支撐業(yè)務(wù)區(qū)應(yīng)用服務(wù)器接入其它數(shù)據(jù)中心節(jié)點(diǎn)

核心交換區(qū)作為中心連接了各業(yè)務(wù)區(qū)匯聚接入交換機(jī)和骨干網(wǎng)、VOD承載網(wǎng)接入路由器，核心與匯聚之間以及核心與廣域網(wǎng)之間采用口字型結(jié)構(gòu)，以保證系統(tǒng)可靠性。

3.3 層次化網(wǎng)絡(luò)架構(gòu)

核心交換區(qū)分外聯(lián)核心交換區(qū)和內(nèi)聯(lián)核心交換區(qū)，各負(fù)責(zé)與廣電骨干網(wǎng)和VOD承載網(wǎng)以及其它數(shù)據(jù)中心網(wǎng)絡(luò)互聯(lián)；作為數(shù)據(jù)中心網(wǎng)絡(luò)的路由中心，與區(qū)域匯聚交換機(jī)三層連接，實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)各個(gè)區(qū)域間的數(shù)據(jù)交換。核心層交換機(jī)之間通過兩條萬兆鏈路捆綁漢柏科技有限公司 004km.cn客服熱線：400-706-8366

互聯(lián)，以實(shí)現(xiàn)穩(wěn)定可靠的網(wǎng)絡(luò)中心。核心交換機(jī)建議采用漢柏萬兆模塊化交換機(jī)PT-6600系列交換機(jī)，通過萬兆鏈路與匯聚交換機(jī)實(shí)現(xiàn)互聯(lián)互通。漢柏PT-6600系列適合為用戶組建高性能、高安全、高可靠的數(shù)據(jù)中心。PT-6600單機(jī)提供高達(dá)3.2T的交換容量和2381Mpps的轉(zhuǎn)發(fā)能力，可以實(shí)現(xiàn)384個(gè)千兆或64個(gè)萬兆以太網(wǎng)接口的全線速轉(zhuǎn)發(fā)，滿足了數(shù)據(jù)中心的高性能需求；PT-6600支持全方位的安全，通過加強(qiáng)設(shè)備自身的安全特性，提供內(nèi)置的安全模塊等多種方式，滿足了數(shù)據(jù)中心的高安全需求；PT-6600支持不間斷轉(zhuǎn)發(fā)技術(shù)，支持所有模塊的熱插拔，再加上VRRP等冗余備份技術(shù)，滿足了數(shù)據(jù)中心的高可靠需求。漢柏 PT-6600憑借其卓越的性能、全方位的安全以及電信級(jí)的可靠性，為數(shù)據(jù)中心建設(shè)提供了堅(jiān)實(shí)可靠的網(wǎng)絡(luò)基礎(chǔ)平臺(tái)。匯聚層作為各個(gè)區(qū)域數(shù)據(jù)的匯聚中心，分擔(dān)核心層的壓力，為服務(wù)器群對(duì)外提供高帶寬出口；要求提供高密度GE/10GE端口實(shí)現(xiàn)接入層互聯(lián)；另外充分考慮擴(kuò)展性需求，我們建議選用漢柏科技公司的PT-6600萬兆交換機(jī)作為匯聚，以實(shí)現(xiàn)高密度、高性能的服務(wù)器接入。接入層支持高密度千兆接入、萬兆接入；接入總帶寬和上行帶寬存在收斂比，基于機(jī)架考慮，1U設(shè)備更具有靈活部署能力。漢柏PT-3750E系列萬兆路由交換機(jī)采用硬件領(lǐng)先的架構(gòu)，可全線速轉(zhuǎn)發(fā)各種類型的數(shù)據(jù)包，在IPv6方面處于業(yè)界領(lǐng)先的地位。該系列產(chǎn)品全面支持各種單播路由和組播路由協(xié)議以及漢柏科技有限公司獨(dú)有的擴(kuò)展的多項(xiàng)功能，可滿足于大型網(wǎng)絡(luò)的需求。不僅如此，PT-3750E系列交換機(jī)還借助芯片級(jí)的安全可靠轉(zhuǎn)發(fā)能力和多樣化的業(yè)務(wù)支持，以及較高的性價(jià)比，成為大型網(wǎng)絡(luò)匯聚層和中型網(wǎng)絡(luò)萬兆核心層解決方案的最佳產(chǎn)品。PT-3750E系列萬兆路由交換機(jī)是漢柏科技有限公司強(qiáng)力推出的面向大型數(shù)據(jù)中心的高性能、高安全性、高可靠性的盒式萬兆路由交換機(jī)，PT-3750E系列交換機(jī)支持靈漢柏科技有限公司 004km.cn客服熱線：400-706-8366

活的千兆的雙介質(zhì)光、電組合端口形態(tài)，同時(shí)支持高達(dá)四個(gè)高性能的萬兆擴(kuò)展，標(biāo)準(zhǔn)的1U高度，滿足匯聚產(chǎn)品向高性能、小型化、節(jié)能環(huán)保發(fā)展的趨勢(shì)。在性能和功能方面，PT-3750E系列交換機(jī)能夠滿足大型網(wǎng)絡(luò)的組網(wǎng)需求，并具備豐富的智能和安全特性，特別適合于作為大型校園網(wǎng)、企業(yè)網(wǎng)、電子政務(wù)網(wǎng)、城域網(wǎng)的匯聚設(shè)備，以及中小型網(wǎng)絡(luò)的核心設(shè)備。

3.4 區(qū)域化業(yè)務(wù)接入網(wǎng)絡(luò)架構(gòu)

目前應(yīng)用訪問大部分已實(shí)現(xiàn)瀏覽器/服務(wù)（簡稱B/S）架構(gòu)，該架構(gòu)要求采用三級(jí)服務(wù)器訪問模式，結(jié)合安全和管理方面需求，漢柏建議采用對(duì)外接入?yún)^(qū)和應(yīng)用服務(wù)器接入?yún)^(qū)兩個(gè)子區(qū)域?qū)崿F(xiàn)業(yè)務(wù)服務(wù)器接入，其網(wǎng)絡(luò)架構(gòu)及流量模型如下：

VOD承載網(wǎng)骨干網(wǎng)交互業(yè)務(wù)區(qū)對(duì)外防火墻CS業(yè)務(wù)流交互業(yè)務(wù)區(qū)匯聚交換機(jī)CS服務(wù)器交互業(yè)務(wù)區(qū)對(duì)外接入?yún)^(qū)交互業(yè)務(wù)區(qū)內(nèi)聯(lián)防火墻SS業(yè)務(wù)流核心交換機(jī)（內(nèi)聯(lián)）SS服務(wù)器交互業(yè)務(wù)區(qū)應(yīng)用服務(wù)器接入其它數(shù)據(jù)中心節(jié)點(diǎn)

漢柏科技有限公司 004km.cn客服熱線：400-706-8366

兩個(gè)業(yè)務(wù)子區(qū)域通過交換網(wǎng)絡(luò)的互連，層層的安全保護(hù)，形成結(jié)構(gòu)清晰的易于部署的服務(wù)器接入架構(gòu)。網(wǎng)絡(luò)功能性設(shè)計(jì)

4.1 VLAN設(shè)計(jì)

廣電數(shù)據(jù)中心網(wǎng)絡(luò)系統(tǒng)屬于交換網(wǎng)絡(luò)，各業(yè)務(wù)數(shù)據(jù)由VLAN通道進(jìn)行承載，漢柏建議VLAN設(shè)計(jì)分為如下三個(gè)部分： ? 設(shè)備管理VLAN ? 設(shè)備間互聯(lián)VLAN ? 業(yè)務(wù)VLAN 由于各業(yè)務(wù)區(qū)域廣播域完全分開，因此對(duì)業(yè)務(wù)區(qū)域來說可以獨(dú)立進(jìn)行VLAN設(shè)計(jì)，建議VLAN設(shè)計(jì)與IP地址設(shè)計(jì)統(tǒng)籌考慮，如可以將VLAN編號(hào)與IP地址某一位設(shè)計(jì)成相同，以利于數(shù)據(jù)中心網(wǎng)絡(luò)系統(tǒng)運(yùn)行維護(hù)。

4.2 IP地址設(shè)計(jì)

IP地址設(shè)計(jì)分設(shè)備管理地址設(shè)計(jì)、互聯(lián)地址設(shè)計(jì)、業(yè)務(wù)地址設(shè)計(jì)，漢柏認(rèn)為廣電數(shù)據(jù)中心網(wǎng)絡(luò)IP地址規(guī)劃應(yīng)按如下原則進(jìn)行：

? IP地址規(guī)劃主要涉及到網(wǎng)絡(luò)資源利用的方便有效的管理網(wǎng)絡(luò)的問題，合理的IP地址規(guī)劃是有利于網(wǎng)絡(luò)管理的；

? IP地址的合理分配是保證網(wǎng)絡(luò)順利運(yùn)行和網(wǎng)絡(luò)資源有效利用的關(guān)鍵。應(yīng)充分考慮到地址空間的合理使用，保證實(shí)現(xiàn)最佳的網(wǎng)絡(luò)內(nèi)地址分配及業(yè)務(wù)流量的均勻分布；

漢柏科技有限公司 004km.cn客服熱線：400-706-8366

? IP地址的規(guī)劃與劃分應(yīng)該考慮到網(wǎng)絡(luò)的后續(xù)規(guī)模和業(yè)務(wù)上的發(fā)展，能夠滿足未來發(fā)展的需要；即要滿足當(dāng)前業(yè)務(wù)對(duì)IP地址的需求，同時(shí)要充分考慮未來業(yè)務(wù)發(fā)展，預(yù)留相應(yīng)的地址段；

? IP地址的分配需要有足夠的靈活性，能夠滿足各種用戶接入需要； ? 地址分配是由業(yè)務(wù)驅(qū)動(dòng)，按照業(yè)務(wù)量的大小分配各業(yè)務(wù)區(qū)域的地址段； ? IP地址的分配必須采用VLSM(變長掩碼)技術(shù)，保證IP地址的利用效率； ? 采用CIDR技術(shù)，通過IP地址聚合，以減小路由器路由表的大小，加快路由器路由的收斂速度，也可以減小網(wǎng)絡(luò)中廣播的路由信息的大小； ? 充分合理利用分配的地址空間，提高地址的利用效率；

? IP地址規(guī)劃應(yīng)該是數(shù)據(jù)中心網(wǎng)絡(luò)整體規(guī)劃的一部分，即IP地址規(guī)劃要和網(wǎng)絡(luò)層次規(guī)劃、路由協(xié)議規(guī)劃、流量規(guī)劃等結(jié)合起來考慮。IP地址的規(guī)劃應(yīng)盡可能和網(wǎng)絡(luò)層次相對(duì)應(yīng)，應(yīng)該是自頂向下的一種規(guī)劃。

4.3 路由設(shè)計(jì)

考慮到交互應(yīng)用系統(tǒng)內(nèi)Client-to-Server網(wǎng)絡(luò)中服務(wù)器對(duì)負(fù)載均衡的需求，漢柏建議將Client-to-Server網(wǎng)絡(luò)網(wǎng)關(guān)部署在負(fù)載均衡器上，而Server-to-Server網(wǎng)絡(luò)中的服務(wù)器網(wǎng)關(guān)部署在區(qū)域防火墻上，由防火墻實(shí)現(xiàn)安全訪問控制。其它業(yè)務(wù)區(qū)域服務(wù)器網(wǎng)關(guān)均部署在匯聚交換機(jī)上，防火墻透明部署，并增加安全訪問控制策略。為了實(shí)現(xiàn)網(wǎng)關(guān)設(shè)備的動(dòng)態(tài)切換，漢柏建議為網(wǎng)關(guān)設(shè)備部署VRRP協(xié)議，并疊加BFD for VRRP技術(shù)，實(shí)現(xiàn)網(wǎng)關(guān)快速切換。漢柏建議各區(qū)域采用OSPF路由協(xié)議實(shí)現(xiàn)互聯(lián)互通，路由策略設(shè)計(jì)如下： 1)對(duì)于外聯(lián)核心交換機(jī)啟用三個(gè)OSPF進(jìn)程，分別與對(duì)外接入?yún)R聚交換機(jī)、骨干網(wǎng)漢柏科技有限公司 004km.cn客服熱線：400-706-8366

接入路由器、VOD承載網(wǎng)接入路由器建立鄰居，分別學(xué)習(xí)到數(shù)據(jù)中心網(wǎng)絡(luò)路由、骨干網(wǎng)路由及VOD承載網(wǎng)路由，然后將數(shù)據(jù)中心網(wǎng)絡(luò)路由重分布到骨干網(wǎng)和VOD承載網(wǎng)，而骨干網(wǎng)和VOD承載網(wǎng)之間不重分布路由，以防止骨干網(wǎng)用戶能夠訪問VOD承載網(wǎng)數(shù)據(jù)。

2)對(duì)于內(nèi)聯(lián)核心交換機(jī)啟用兩個(gè)進(jìn)程，分別與應(yīng)用服務(wù)器接入?yún)R聚交換機(jī)和其他節(jié)點(diǎn)數(shù)據(jù)中心交換機(jī)建立鄰居，在各路由區(qū)域內(nèi)選擇性重分布路由，以控制業(yè)務(wù)區(qū)域服務(wù)器與其它數(shù)據(jù)中心訪問。網(wǎng)絡(luò)可靠性設(shè)計(jì)

5.1 設(shè)備級(jí)可靠性設(shè)計(jì)

本方案采用的漢柏設(shè)備為分布式體系結(jié)構(gòu)，所有關(guān)鍵部件采用冗余設(shè)計(jì)，包括主控板、交換網(wǎng)、電源和風(fēng)扇等；采用無源背板設(shè)計(jì)，避免機(jī)箱出現(xiàn)單點(diǎn)故障；所有單板支持熱插拔功能，并且對(duì)其它單板上運(yùn)行的業(yè)務(wù)無影響。漢柏PT系列交換機(jī)采用“最長匹配、逐包轉(zhuǎn)發(fā)”模式，能夠抵御網(wǎng)絡(luò)病毒的攻擊；支持OSPF、RIPv2 及BGPv4 報(bào)文的明文及MD5密文認(rèn)證；支持IP、VLAN、MAC和端口等多種組合綁定方式，防范地址盜用；支持廣播報(bào)文抑制，有效控制ARP等非法廣播流量對(duì)設(shè)備造成沖擊；支持URPF，防止IP地址欺騙；支持報(bào)文安全過濾，防止非法侵入和惡意報(bào)文攻擊等。此外設(shè)備自身的可靠性還可以通過為關(guān)鍵設(shè)備配置冗余部件來實(shí)現(xiàn)，如將核心交換機(jī)和匯聚交換機(jī)配置為雙引擎、雙電源。此外漢柏防火墻、入侵檢測(cè)設(shè)備均支持雙操作系統(tǒng)，當(dāng)出現(xiàn)主操作系統(tǒng)不工作時(shí)，備操作系統(tǒng)立刻接管主操作系統(tǒng)，保證業(yè)務(wù)不發(fā)生中斷。

漢柏科技有限公司 004km.cn客服熱線：400-706-8366

5.2 鏈路級(jí)可靠性設(shè)計(jì)

漢柏PT-6600及PT-3750E交換機(jī)均支持鏈路捆綁技術(shù)，對(duì)于核心交換機(jī)和匯聚交換機(jī)，互聯(lián)鏈路采用了兩條鏈路捆綁，這樣當(dāng)出現(xiàn)單條鏈路中斷情況時(shí)，均可以通過協(xié)議的收斂機(jī)制實(shí)現(xiàn)數(shù)據(jù)交換無丟包。網(wǎng)絡(luò)互聯(lián)方面，由于采用了OSPF路由協(xié)議，當(dāng)非捆綁鏈路出現(xiàn)中斷情況時(shí)，OSPF協(xié)議將重新計(jì)算出新的轉(zhuǎn)發(fā)路徑，保障數(shù)據(jù)轉(zhuǎn)發(fā)不中斷。同時(shí)漢柏PT-6600及PT-3750E交換機(jī)均支持BFD技術(shù)，可將OSPF路由協(xié)議的收斂速度由秒級(jí)縮減到毫秒級(jí)，從而大大提高了整體網(wǎng)絡(luò)的可靠性和應(yīng)用的可用性。網(wǎng)絡(luò)安全設(shè)計(jì)

6.1 設(shè)計(jì)原則

漢柏認(rèn)為數(shù)據(jù)中心網(wǎng)絡(luò)安全需遵從如下設(shè)計(jì)原則：(1)構(gòu)建分域的控制體系

整個(gè)系統(tǒng)安全在總體架構(gòu)上將按照分域保護(hù)思路進(jìn)行，參考IATF信息安全技術(shù)框架，將交互應(yīng)用公共支撐網(wǎng)絡(luò)從結(jié)構(gòu)上劃分為不同的安全區(qū)域，各個(gè)安全區(qū)域內(nèi)部的網(wǎng)絡(luò)設(shè)備、服務(wù)器、應(yīng)用系統(tǒng)形成單獨(dú)的計(jì)算環(huán)境、各個(gè)安全區(qū)域之間的通道形成邊界、各個(gè)安全區(qū)域之間的連接鏈路和網(wǎng)絡(luò)設(shè)備構(gòu)成了網(wǎng)絡(luò)基礎(chǔ)設(shè)施；因此方案將從保護(hù)計(jì)算環(huán)境、保護(hù)邊界、保護(hù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施三個(gè)層面進(jìn)行設(shè)計(jì)，并通過統(tǒng)一的基礎(chǔ)支撐平臺(tái)來實(shí)現(xiàn)對(duì)基礎(chǔ)安全設(shè)施的集中管理，構(gòu)建分域的控制體系。(2)構(gòu)建縱深的防御體系

漢柏科技有限公司 004km.cn客服熱線：400-706-8366

整個(gè)系統(tǒng)安全對(duì)交互應(yīng)用公共支撐網(wǎng)絡(luò)的通信網(wǎng)絡(luò)、區(qū)域邊界、計(jì)算環(huán)境，綜合采用訪問控制、入侵檢測(cè)、安全審計(jì)、防病毒、集中數(shù)據(jù)備份等多種技術(shù)和措施，實(shí)現(xiàn)雙向交互業(yè)務(wù)應(yīng)用的可用性、完整性和保密性保護(hù)，并在此基礎(chǔ)上實(shí)現(xiàn)綜合集中的安全管理，并充分考慮各種技術(shù)的組合和功能的互補(bǔ)性，合理利用措施，從外到內(nèi)形成一個(gè)縱深的安全防御體系，保障信息系統(tǒng)整體的安全保護(hù)能力。

(3)保證一致的安全強(qiáng)度

應(yīng)采用分級(jí)的辦法，采取強(qiáng)度一致的安全措施，并采取統(tǒng)一的防護(hù)策略，使各安全措施在作用和功能上相互補(bǔ)充，形成動(dòng)態(tài)的防護(hù)體系。在建設(shè)手段上，采取“大平臺(tái)”的方式進(jìn)行建設(shè)，在平臺(tái)上實(shí)現(xiàn)各個(gè)級(jí)別信息系統(tǒng)的基本保護(hù)，比如多層的邊界防護(hù)系統(tǒng)、統(tǒng)一的審計(jì)系統(tǒng)，綜合的網(wǎng)管系統(tǒng)，然后在基本保護(hù)的基礎(chǔ)上，再根據(jù)各個(gè)信息系統(tǒng)的重要程度，采取高強(qiáng)度的保護(hù)措施。

(4)實(shí)現(xiàn)集中的安全管理

網(wǎng)絡(luò)與信息安全不是單純的技術(shù)問題，需要在采用安全技術(shù)和產(chǎn)品的同時(shí)，重視安全管理，不斷完善各類安全管理規(guī)章制度和操作規(guī)程，全面提高安全管理水平。建設(shè)一套覆蓋全面、重點(diǎn)突出、持續(xù)運(yùn)行的信息安全管理體系，該體系覆蓋信息系統(tǒng)安全所要求的安全技術(shù)和安全運(yùn)維等內(nèi)容，符合信息系統(tǒng)的業(yè)務(wù)特性和發(fā)展戰(zhàn)略，可持續(xù)發(fā)展與完善。信息安全管理的目標(biāo)就是通過采取適當(dāng)?shù)目刂拼胧﹣肀Ｕ闲畔⒌谋Ｃ苄浴⑼暾?、可用性，從而確保信息系統(tǒng)內(nèi)不發(fā)生安全事件、少發(fā)生安全事件、即使發(fā)生安全事件也能有效控制事件造成的影響。通過建設(shè)集中的安全管理平臺(tái)，實(shí)現(xiàn)對(duì)信息資產(chǎn)、安全事件、安全風(fēng)險(xiǎn)、訪問行為等的統(tǒng)一分析與監(jiān)管，通過關(guān)聯(lián)分析技術(shù)，使系統(tǒng)管理人員能夠迅速發(fā)現(xiàn)問題，定位問題，有效應(yīng)對(duì)安全事件的發(fā)生。(5)系統(tǒng)冗余設(shè)計(jì)

漢柏科技有限公司 004km.cn客服熱線：400-706-8366

如何保證數(shù)據(jù)中心對(duì)外正常提供服務(wù)是整個(gè)數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)的重點(diǎn)，整個(gè)系統(tǒng)不應(yīng)只考慮到安全設(shè)備的部署，還要系統(tǒng)的考慮到主干網(wǎng)絡(luò)、分域網(wǎng)絡(luò)、所有應(yīng)用系統(tǒng)的冗余機(jī)制，以保證所有業(yè)務(wù)的正常訪問。

(6)提升系統(tǒng)的保障能力

在技術(shù)措施和管理手段建設(shè)的同時(shí)，重視信息安全中“人”的重要作用，通過一系列的風(fēng)險(xiǎn)評(píng)估、安全加固提升系統(tǒng)的安全性，并通過安全培訓(xùn)和安全通告提高歌華有線自身技術(shù)人員的技術(shù)水平，使系統(tǒng)安全保障能力達(dá)到行業(yè)內(nèi)一流的信息安全保障水平，支撐和保障信息系統(tǒng)和業(yè)務(wù)的安全穩(wěn)定運(yùn)行。

6.2 安全域設(shè)計(jì)

傳統(tǒng)解決方案中，終端用戶可以訪問自己前端WEB服務(wù)器，同時(shí)WEB服務(wù)器可以訪問內(nèi)部應(yīng)用服務(wù)器，這樣存在非常嚴(yán)重的安全隱患，一旦前端WEB服務(wù)器被互聯(lián)網(wǎng)黑客植入木馬，則黑客可通過“肉雞”主機(jī)竊取高等級(jí)安全域中的信息數(shù)據(jù)。針對(duì)網(wǎng)絡(luò)中可能存在的“肉雞”主機(jī)問題，應(yīng)用安全域解決方案通過對(duì)用戶主機(jī)的認(rèn)證授權(quán)模式，確保客戶主機(jī)在同一時(shí)間段只能訪問某一個(gè)區(qū)域，如訪問對(duì)外接入?yún)^(qū)域，則對(duì)外接入?yún)^(qū)域服務(wù)器不能訪問其他的安全域中的服務(wù)器，保證了即使被植入木馬的主機(jī)，不會(huì)被外界控制去訪問其它服務(wù)器資源，從而降低網(wǎng)絡(luò)中信息泄漏的概率。按照區(qū)域的功能和應(yīng)用的不同，漢柏建議數(shù)據(jù)中心網(wǎng)絡(luò)劃分為如下三個(gè)安全域：

? 外聯(lián)區(qū)；

? 業(yè)務(wù)區(qū)（包括四個(gè)子區(qū)）； ? 內(nèi)聯(lián)區(qū)；

各安全域的邊界規(guī)劃如下圖所示：

漢柏科技有限公司 004km.cn客服熱線：400-706-8366

外聯(lián)區(qū)交互業(yè)務(wù)區(qū)IDC業(yè)務(wù)區(qū)云計(jì)算業(yè)務(wù)區(qū)IT支撐系統(tǒng)業(yè)務(wù)區(qū)內(nèi)聯(lián)區(qū)

安全域邊界規(guī)劃描述如下：

? 外聯(lián)區(qū)與業(yè)務(wù)區(qū)屬于不同安全域； ? 內(nèi)聯(lián)區(qū)與業(yè)務(wù)區(qū)屬于不同安全域； ? 各業(yè)務(wù)安全子域?qū)儆诓煌踩颍?/p>

6.3 防火墻系統(tǒng)設(shè)計(jì)

為實(shí)現(xiàn)安全域邊界防護(hù)，需在安全域之間部署防火墻，漢柏建議廣電數(shù)據(jù)中心網(wǎng)絡(luò)防火墻部署方式如下圖：

漢柏科技有限公司 004km.cn客服熱線：400-706-8366

VOD承載網(wǎng)骨干網(wǎng)核心交換機(jī)（外聯(lián)）交互業(yè)務(wù)區(qū)對(duì)外防火墻IDC業(yè)務(wù)區(qū)對(duì)外防火墻云計(jì)算業(yè)務(wù)區(qū)對(duì)外防火墻IT支撐業(yè)務(wù)區(qū)對(duì)外防火墻交互業(yè)務(wù)區(qū)匯聚交換機(jī)IDC業(yè)務(wù)區(qū)匯聚交換機(jī)云計(jì)算業(yè)務(wù)區(qū)匯聚交換機(jī)IT支撐業(yè)務(wù)區(qū)匯聚交換機(jī)交互業(yè)務(wù)區(qū)對(duì)外接入?yún)^(qū)交互業(yè)務(wù)區(qū)內(nèi)聯(lián)防火墻IDC業(yè)務(wù)區(qū)對(duì)外接入?yún)^(qū)IDC業(yè)務(wù)區(qū)內(nèi)聯(lián)防火墻云計(jì)算業(yè)務(wù)區(qū)對(duì)外接入?yún)^(qū)云計(jì)算業(yè)務(wù)區(qū)內(nèi)聯(lián)防火墻IT支撐業(yè)務(wù)區(qū)對(duì)外接入?yún)^(qū)IT支撐業(yè)務(wù)區(qū)內(nèi)聯(lián)防火墻交互業(yè)務(wù)區(qū)應(yīng)用服務(wù)器接入IDC業(yè)務(wù)區(qū)應(yīng)用服務(wù)器接入云計(jì)算業(yè)務(wù)區(qū)應(yīng)用服務(wù)器接入核心交換機(jī)（內(nèi)聯(lián)）IT支撐業(yè)務(wù)區(qū)應(yīng)用服務(wù)器接入其它數(shù)據(jù)中心節(jié)點(diǎn)

建議在外聯(lián)區(qū)與業(yè)務(wù)區(qū)之間部署漢柏PA-5500-F45超萬兆防火墻，流量較小的內(nèi)聯(lián)區(qū)與業(yè)務(wù)區(qū)之間部署漢柏PA-5500-F40萬兆防火墻。部署模式建議采用透明方式+安全策略，以達(dá)到更高的轉(zhuǎn)發(fā)性能。作為業(yè)界領(lǐng)先的安全防護(hù)產(chǎn)品，PA-5500-F45/40具有如下突出特點(diǎn)：

? 專業(yè)的安全防護(hù) PA-5500-F45/40不僅能夠提供全面的地址轉(zhuǎn)換、MAC地址綁定、訪問控制策略、安全域劃分、身份認(rèn)證等邊界防護(hù)功能，同時(shí)能夠抵御包括Ping-of-Death、Ping-Flooding、TearDrop、UDP-Flooding、SYN-Flooding、KillWin、WinNuke、LAND IGMP2、IP碎片、源路由、端口掃描、IP-Spoofing等幾十種常見攻擊。針對(duì)嵌入在各種應(yīng)用（郵件、網(wǎng)頁、FTP以及VoIP）中的攻擊、病毒和惡意插件，PA-5500-F45/40能夠在深度識(shí)別業(yè)務(wù)類別和用戶行為的前提下，提供基于狀態(tài)監(jiān)測(cè)的漢柏科技有限公司 004km.cn客服熱線：400-706-8366

應(yīng)用層網(wǎng)關(guān)功能，結(jié)合強(qiáng)大的入侵檢測(cè)機(jī)制和防病毒引擎，真正實(shí)現(xiàn)了邊界、接入、行為和數(shù)據(jù)的多重安全防護(hù)。? 穩(wěn)定和高性能 PA-5500-F45/40防火墻采用了基于漢柏多個(gè)專利技術(shù)的雙安全操作系統(tǒng)，并對(duì)數(shù)據(jù)平面和控制平面進(jìn)行了嚴(yán)格的區(qū)分。對(duì)數(shù)據(jù)平面中各種需要高性能處理的功能，如地址轉(zhuǎn)換、報(bào)文轉(zhuǎn)發(fā)和訪問控制策略進(jìn)行了細(xì)致的優(yōu)化處理；在控制平面上，支持鏈路狀態(tài)信息的倒換機(jī)制、分布式應(yīng)用和模塊化的硬件架構(gòu)，同時(shí)也對(duì)處理資源進(jìn)行了保護(hù)，確保即使在極限網(wǎng)絡(luò)壓力下，PA-5500-F45/40仍然能夠維持平穩(wěn)的工作狀態(tài)。? 萬兆就緒 針對(duì)日益突出的視頻傳輸、虛擬桌面和數(shù)據(jù)中心備份等大數(shù)據(jù)量傳輸，應(yīng)用的飛速增長帶來了帶寬的提升需求，萬兆接口的應(yīng)用已經(jīng)勢(shì)不可擋。同時(shí)，數(shù)據(jù)中心對(duì)設(shè)備的功耗和體積要求也越來越嚴(yán)格，更希望能夠在相同的機(jī)架面積里面實(shí)現(xiàn)更高密度的連接。借助出色的硬件平臺(tái)研發(fā)能力，漢柏科技率先推出了全球第一款在1RU體積上實(shí)現(xiàn)萬兆接口的防火墻，憑借突出的功耗控制和效能優(yōu)化，為用戶平滑過渡到萬兆時(shí)代提供了最佳選擇。? 內(nèi)置交換芯片 PA-5500-F45/40在業(yè)內(nèi)首次創(chuàng)新的采用了先進(jìn)的防火墻+交換機(jī)的設(shè)計(jì)架構(gòu)，采用高性能的千兆交換芯片，提供高達(dá)128Gbps的交換容量，不僅能夠?qū)崿F(xiàn)接口之間的L2/L3線速轉(zhuǎn)發(fā)，還同時(shí)能夠提供鏈路匯聚(802.3ad)、靈活的VLAN配置以及端口鏡像等功能，內(nèi)置的硬件ACL還能夠配合防火墻，實(shí)現(xiàn)安全層面和轉(zhuǎn)發(fā)層面依據(jù)硬件分離，提供更為全面的高性能安全接入功能。? 虛擬防火墻功能 傳統(tǒng)的防火墻只能提供單一安全域的防護(hù)，而對(duì)于多個(gè)安全域的獨(dú)立部署，需要多漢柏科技有限公司 004km.cn客服熱線：400-706-8366

臺(tái)防火墻才能實(shí)現(xiàn)，這造成了IT資源的極大浪費(fèi)。PA-5500-F45/40支持虛擬防火墻技術(shù)，能夠在一臺(tái)物理防火墻上劃分出多個(gè)虛擬防火墻，每一臺(tái)虛擬防火墻都能夠?qū)崿F(xiàn)獨(dú)立的訪問控制策略、VPN、身份認(rèn)證和系統(tǒng)管理。同時(shí)，系統(tǒng)還能夠?qū)Χ鄠€(gè)虛擬防火墻進(jìn)行統(tǒng)一的配置管理、軟件升級(jí)。對(duì)于用戶來說，即提高了現(xiàn)有設(shè)備的利用率，又解決了網(wǎng)絡(luò)部署復(fù)雜、擴(kuò)展性差等問題。? 出色的能效比 PA-5500-F45/40采用了自主研發(fā)的高性能操作系統(tǒng)，并且針對(duì)報(bào)文轉(zhuǎn)發(fā)、過濾以及VPN的關(guān)鍵處理進(jìn)行了深入的優(yōu)化設(shè)計(jì)，在同等硬件處理能力下，比通用的操作系統(tǒng)要高出至少30%的效能，對(duì)于提高用戶IT資源利用率，降低能耗和節(jié)能減排給予了強(qiáng)有力的支持。

? 精細(xì)的流量和業(yè)務(wù)管理 基于專利技術(shù)的流量識(shí)別，結(jié)合強(qiáng)大的深度業(yè)務(wù)識(shí)別技術(shù)，PowerAegis系列防火墻能夠提供對(duì)包括HTTP、Mail、FTP等多種業(yè)務(wù)在內(nèi)的精細(xì)化識(shí)別，根據(jù)既定的服務(wù)管理策略，對(duì)各種應(yīng)用給予不同的差分化對(duì)待，確保了關(guān)鍵業(yè)務(wù)的正常運(yùn)行，即提高了網(wǎng)絡(luò)資源的利用效率和組織的生產(chǎn)效率，又降低了IT總成本和運(yùn)維的風(fēng)險(xiǎn)。

6.4 入侵檢測(cè)系統(tǒng)設(shè)計(jì)

IDS的部署目的是為了監(jiān)測(cè)來自不同網(wǎng)絡(luò)對(duì)數(shù)據(jù)中心網(wǎng)絡(luò)的訪問，用以及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)攻擊并提供有效證據(jù)。制定策略是使用IDS最重要的工作之一，良好的策略不僅可以讓管理員及時(shí)捕捉到網(wǎng)絡(luò)上正在發(fā)生的重大危害事件，而且使管理員不致被大量的無用信息所淹沒，減輕工作負(fù)擔(dān)。如果是初次使用，對(duì)網(wǎng)絡(luò)上存在些什么樣的數(shù)據(jù)流可能不甚明確，這時(shí)可以采用包含事件較多的策略集，待運(yùn)行一段時(shí)間后，對(duì)網(wǎng)絡(luò)狀況有了基本的了解，再在此策略集的基礎(chǔ)上酌情刪減。

漢柏科技有限公司 004km.cn客服熱線：400-706-8366

漢柏建議IDS的部署方式如下圖：

VOD承載網(wǎng)骨干網(wǎng)IDS核心交換機(jī)（外聯(lián)）IDS交互業(yè)務(wù)區(qū)辦公業(yè)務(wù)區(qū)綜合業(yè)務(wù)區(qū)管理業(yè)務(wù)區(qū)核心交換機(jī)（內(nèi)聯(lián)）IDSIDS

IDS建議采用兩臺(tái)漢柏PA-5500-U40旁路部署模式，兩臺(tái)IDS分別連接在核心交換機(jī)上，將核心交換機(jī)連接各業(yè)務(wù)區(qū)域端口的出入流量鏡像到漢柏PA-5500-U40，由漢柏PA-5500-U40進(jìn)行入侵檢測(cè)。漢柏PA-5500-U40主要特點(diǎn)如下： 1)業(yè)界領(lǐng)先的架構(gòu)設(shè)計(jì) ? 業(yè)界最佳的系統(tǒng)架構(gòu) PA-5500-U40采用了控制平面、轉(zhuǎn)發(fā)平面和管理平面嚴(yán)格分離的系統(tǒng)架構(gòu)，采用基于硬件ASIC的完成防火墻的所有功能，實(shí)現(xiàn)小包64字節(jié)線速的吞吐量，嚴(yán)格保障防火墻的轉(zhuǎn)發(fā)性能；對(duì)于應(yīng)用層安全，采用高性能的通用處理器，以應(yīng)對(duì)實(shí)時(shí)變化的威脅和應(yīng)用；對(duì)于管理數(shù)據(jù)，給予最高優(yōu)先級(jí)的處理，即使在應(yīng)用層處理負(fù)載較重的時(shí)候，仍然能夠輕松對(duì)設(shè)備進(jìn)行管理和配置。

漢柏科技有限公司 004km.cn客服熱線：400-706-8366

? IronScreen雙安全操作系統(tǒng) PA-5500-U40采用了基于漢柏專利多核技術(shù)的雙安全操作系統(tǒng)，獨(dú)創(chuàng)性的提出了基于安全領(lǐng)域在多核上的SMP（對(duì)稱多處理）軟件模型，該模型成功的應(yīng)用了阿比達(dá)定律，有效的降低串行化執(zhí)行代碼在總執(zhí)行代碼中的比例，極大地發(fā)揮了多核下的并行計(jì)算能力。除此之外，PA-5500-U40使用了智能流分類系統(tǒng)，將大量的數(shù)據(jù)流均勻分散在不同的核上進(jìn)行全流程處理，增加了數(shù)據(jù)Cache的命中率，極大的提高了系統(tǒng)的性能。針對(duì)多核軟件設(shè)計(jì)大量使用到的鎖，漢柏設(shè)計(jì)并實(shí)現(xiàn)了自有專利的安全操作系統(tǒng)寫時(shí)拷貝機(jī)制，使得90%的數(shù)據(jù)流在做并行化處理時(shí)都是免鎖的，進(jìn)一步保障了系統(tǒng)的穩(wěn)定性和可靠性。

2)入侵檢測(cè)和防御 PA-5500-U40采用了集成多種檢測(cè)機(jī)制的高性能掃描引擎，包括特征庫匹配、異常行為分析、協(xié)議檢查等手段，結(jié)合漢柏強(qiáng)大的實(shí)時(shí)安全服務(wù)，能夠主動(dòng)識(shí)別各種DoS/DDoS攻擊、協(xié)議的變種攻擊、木馬和后門程序，不僅能準(zhǔn)確地檢測(cè)入侵，實(shí)時(shí)的阻止惡意的攻擊，并能夠提供豐富完整的日志和定位信息，進(jìn)行事后溯源工作。

3)Web安全 針對(duì)不斷涌現(xiàn)的Web安全，PA-5500-U40也提供了一定程度的防護(hù)，不僅包括能夠有效的識(shí)別或過濾出嵌入在Web頁面中的Java Applet、Java Script、Cookie和ActiveX等信息，還能夠提供關(guān)鍵字過濾和基于超過4000萬域名的Web頁面分類數(shù)據(jù)庫，幫助管理員輕松設(shè)置工作時(shí)間禁止訪問的網(wǎng)頁，提高工作效率和控制對(duì)不良網(wǎng)站的訪問，杜絕潛在的威脅。

4)數(shù)據(jù)泄漏防護(hù) PA-5500-U40還提供了精細(xì)的數(shù)據(jù)泄漏防護(hù)(DLP)功能，支持用戶定義各種規(guī)則的漢柏科技有限公司 004km.cn客服熱線：400-706-8366

關(guān)鍵字和敏感詞，支持包括Email、HTTP、FTP和IM在內(nèi)的各種協(xié)議，對(duì)于銀行卡帳號(hào)、身份信息、財(cái)務(wù)信息等關(guān)鍵數(shù)據(jù)，將其控制在可信網(wǎng)絡(luò)的范圍以內(nèi)，避免惡意或者無意的數(shù)據(jù)泄漏造成不可彌補(bǔ)的錯(cuò)誤。

5)豐富的應(yīng)用支持和管理 PA-5500-U40采用了多重識(shí)別技術(shù)，首先基于強(qiáng)大的深度報(bào)文檢測(cè)和多達(dá)1400種的業(yè)界最豐富的協(xié)議庫，對(duì)絕大部分的應(yīng)用進(jìn)行模式匹配；其次采用了啟發(fā)式學(xué)習(xí)和DFI技術(shù)，采用漢柏專利技術(shù)進(jìn)行深層次的行為挖掘；最后，對(duì)偽裝成HTTP報(bào)文的應(yīng)用，進(jìn)行一致性還原比對(duì)。在這三重技術(shù)的保障下，將應(yīng)用識(shí)別率，提高到遠(yuǎn)遠(yuǎn)超過了業(yè)界的其他競爭對(duì)手的程度。

6)可視化的安全管理 PA-5500-U40提供了豐富的展現(xiàn)功能，提供包括病毒排行、攻擊排行、應(yīng)用帶寬的排行、鏈路帶寬使用情況，在應(yīng)用管理上，可以提供能夠細(xì)致到當(dāng)前用戶的應(yīng)用、占用的帶寬、使用的連接，讓安全管理者對(duì)已有的、潛在的和未知的安全威脅，以及網(wǎng)絡(luò)中的各種應(yīng)用和用戶行為，都有著非常豐富的直觀感受，為用戶創(chuàng)造出可視化安全的體驗(yàn)。

7)實(shí)時(shí)的病毒庫、攻擊庫、應(yīng)用庫更新 作為安全網(wǎng)關(guān)設(shè)備，如何能夠保證在新的威脅、病毒、攻擊和新的應(yīng)用出現(xiàn)的第一時(shí)間，就能夠做到有效的洞悉和控制，不僅考驗(yàn)產(chǎn)品本身的應(yīng)變能力，更考驗(yàn)安全廠商支持的力度和深度，以及響應(yīng)的速度。漢柏科技為PA-5500-U40配備了強(qiáng)大的安全服務(wù)團(tuán)隊(duì)，并和國際先進(jìn)的安全機(jī)構(gòu)合作，對(duì)不斷涌現(xiàn)的新的病毒、威脅以及應(yīng)用，實(shí)時(shí)更新到漢柏安全數(shù)據(jù)庫中。目前安全數(shù)據(jù)庫已經(jīng)有20萬條病毒特征、4000多種攻擊特征、1400多種應(yīng)用特征庫，以及70多種分類4000多萬條網(wǎng)頁數(shù)據(jù)庫。

8)簡單易用的配置工具

漢柏科技有限公司 004km.cn客服熱線：400-706-8366

PA-5500-U40集成了業(yè)界最完整的安全功能，但并不是簡單的羅列。漢柏科技一直將提高使用者的便利性作為產(chǎn)品設(shè)計(jì)的核心思想，從產(chǎn)品定義階段就將易用性作為關(guān)鍵指標(biāo)。PA-5500-U40提供了簡單直觀的Web管理界面和用以高級(jí)配置的命令行，可以支持復(fù)雜的策略、協(xié)議作為對(duì)象的方式靈活使用；除此之外，提供初始配置向?qū)А?shù)量眾多的場景應(yīng)用指導(dǎo)和設(shè)計(jì)工具，既能夠滿足需要簡單配置的用戶，也能夠?yàn)閷I(yè)的安全管理人員提供全面而直接的配置方法。QoS設(shè)計(jì)

7.1 數(shù)據(jù)中心網(wǎng)絡(luò)QoS需求

為了保證數(shù)據(jù)中心關(guān)鍵應(yīng)用的網(wǎng)絡(luò)帶寬，建議對(duì)應(yīng)用按重要等級(jí)進(jìn)行分類，在網(wǎng)絡(luò)上，實(shí)現(xiàn)對(duì)不同等級(jí)的應(yīng)用提供優(yōu)先權(quán)不同的質(zhì)量服務(wù)。

7.2 QoS策略的制定

? 為了實(shí)現(xiàn)端到端業(yè)務(wù)QoS保障，各層網(wǎng)絡(luò)設(shè)備所承擔(dān)的任務(wù)如下： ? 匯聚交換機(jī)作為服務(wù)器接入，進(jìn)行數(shù)據(jù)分類及DSCP標(biāo)記； ? 核心交換機(jī)信任DSCP值,并部署擁塞避免和擁塞管理機(jī)制； ? 在統(tǒng)一出口設(shè)備上部署擁塞控制和流量監(jiān)管機(jī)制。實(shí)施QoS的根本目的是確保網(wǎng)絡(luò)的各類信息能夠及時(shí)獲得所需要的網(wǎng)絡(luò)帶寬。針對(duì)數(shù)據(jù)中心信息流的內(nèi)容及特點(diǎn)，漢柏建議制定如下的QoS策略: 1)業(yè)務(wù)前端數(shù)據(jù)（主要為WEB服務(wù)）要給予最高優(yōu)先級(jí)保證，在任何情況下都要確保業(yè)務(wù)數(shù)據(jù)及時(shí)可靠地傳送。

漢柏科技有限公司 004km.cn客服熱線：400-706-8366

2)Voice over IP（VoIP）流量占用帶寬不大，但對(duì)延遲極為敏感，也給予較高優(yōu)先級(jí)保證。

3)IT支撐系統(tǒng)中網(wǎng)管流量，屬于一種數(shù)據(jù)傳輸業(yè)務(wù)，其對(duì)延時(shí)并不敏感，但是不允許數(shù)據(jù)丟失，將其定義為次高優(yōu)先級(jí)。4)其它需要定義為高優(yōu)先級(jí)的業(yè)務(wù)。

5)數(shù)據(jù)共享等屬于非業(yè)務(wù)的數(shù)據(jù)流量，其數(shù)據(jù)包最長，對(duì)延時(shí)并不敏感，但是不允許數(shù)據(jù)丟失，將其定義為普通優(yōu)先級(jí)。6)所有未定義的流量則被置為最低優(yōu)先級(jí)。漢柏解決方案總結(jié)

? 安全性好

容易明確不同網(wǎng)絡(luò)區(qū)域之間的安全關(guān)系，可以單獨(dú)對(duì)每個(gè)區(qū)域進(jìn)行安全實(shí)施，不會(huì)對(duì)其它區(qū)域造成影響。? 擴(kuò)展性好

可根據(jù)不同區(qū)域和層次的功能按需建設(shè)，業(yè)務(wù)部署靈活，可以非常方便的增加新業(yè)務(wù)區(qū)，而不改變?cè)械木W(wǎng)絡(luò)結(jié)構(gòu)。? 提高可用性

可以最大限度的隔離故障域，簡化數(shù)據(jù)路徑，加快故障收斂時(shí)間。? 易管理

網(wǎng)絡(luò)結(jié)構(gòu)清晰，日常的運(yùn)維變得更加簡單，問題定位容易。

漢柏科技有限公司 004km.cn客服熱線：400-706-8366

About 漢柏—

漢柏（英文：Opzoon）是一家全球領(lǐng)先的行業(yè)深度定制化、智能網(wǎng)絡(luò)設(shè)備和解決方案提供商，是源自硅谷的中國高科技企業(yè)。其海外市場業(yè)務(wù)占據(jù)漢柏95%以上的銷售來源，年復(fù)合增長率超過40%，截止2010年全球銷售額累計(jì)10億美金，在全球10多個(gè)國家設(shè)立26個(gè)辦事處及分公司。

目前，漢柏具有業(yè)界領(lǐng)先的基礎(chǔ)網(wǎng)絡(luò)、安全網(wǎng)絡(luò)、應(yīng)用網(wǎng)絡(luò)及云計(jì)算等多條產(chǎn)品線及解決方案，業(yè)務(wù)涵蓋眾多領(lǐng)域，包括政府、電信、交通、公安、社保、廣電、教育、金融、智能樓宇、醫(yī)療、酒店等各行業(yè)，并擁有眾多全球成功典范案例客戶。未來，漢柏將在云計(jì)算、移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等領(lǐng)域持續(xù)加大研發(fā)投入，探索科技創(chuàng)新，致力于成為業(yè)界頂尖的下一代智能網(wǎng)絡(luò)和應(yīng)用解決方案提供商！

漢柏科技有限公司 004km.cn客服熱線：400-706-8366