信息安全集成系統(tǒng)設(shè)計方案

綜合保稅區(qū)西區(qū)信息安全集成系統(tǒng)方案##科技2010.121、項目背景2010年10月18日，國務(wù)院設(shè)立高新綜合保稅區(qū)。根據(jù)國務(wù)院批復(fù)，高新綜合保稅區(qū)規(guī)劃面積4.68平方公里，位于高新區(qū)西部園區(qū)。新設(shè)立的高新綜合保稅區(qū)是對現(xiàn)有出口加工區(qū)、保稅物流中心(B型)和出口加工區(qū)南區(qū)（803區(qū)）進行整合擴展而成的。出口加工區(qū)2000年4月經(jīng)國務(wù)院批準設(shè)立，是中國首批出口加工區(qū)之一，2009年進出口總額64.2億美元，2010年1—7月進出口總額50.75億美元，增長43%，綜合排名全國第5、中西部第1，是全國發(fā)展最好的出口加工區(qū)之一；保稅物流中心(B型)于2009年3月通過驗收，7月正式封關(guān)運行，目前發(fā)展情況良好。整合擴展后的高新綜合保稅區(qū)集保稅出口、保稅物流、口岸功能于一身，是目前國功能最全、政策最優(yōu)的海關(guān)特殊監(jiān)管區(qū)域，有利于海關(guān)監(jiān)管運行，更有利于企業(yè)的進一步發(fā)展。為了將綜合保稅區(qū)建設(shè)成為中國中西部一流的保稅區(qū)和口岸平臺，提高出口加工區(qū)現(xiàn)代化的監(jiān)管水平，利用現(xiàn)代監(jiān)控技術(shù)、網(wǎng)絡(luò)與通信技術(shù)、計算機處理技術(shù)和自動控制技術(shù)，構(gòu)建一個先進、實用、可靠的保稅區(qū)海關(guān)聯(lián)網(wǎng)監(jiān)管系統(tǒng)。信息技術(shù)的發(fā)展，為海關(guān)管理創(chuàng)新提供了手段，實現(xiàn)信息化將使海關(guān)管理水平產(chǎn)生質(zhì)的飛躍。經(jīng)過多年的建設(shè)，海關(guān)已形成了涉密辦公網(wǎng)、辦公管理網(wǎng)、業(yè)務(wù)運行網(wǎng)、對外接入網(wǎng)等功能齊全的復(fù)雜辦公環(huán)境，在業(yè)務(wù)協(xié)同、辦公管理、對外服務(wù)等方面發(fā)揮了越來越重要的作用。建設(shè)統(tǒng)一的技術(shù)支撐平臺，建立科學(xué)的信息管理體系，關(guān)鍵的一環(huán)就是信息部門必須對其信息技術(shù)設(shè)備和服務(wù)進行全面的、整體的網(wǎng)絡(luò)運行監(jiān)控和安全管理。這其中，既涉與到網(wǎng)絡(luò)管理，也有安全管理。技術(shù)支撐層，充分利用技術(shù)手段，建立高效、協(xié)同的信息安全管理平臺，將網(wǎng)絡(luò)監(jiān)控與安全監(jiān)控有機地結(jié)合在一起，注重能夠與時定位故障。技術(shù)支撐體系應(yīng)該包括三個層次：展示層、運維管理層、集中監(jiān)控層。1）展示層。提供面向信息安全層面和信息安全管理決策層面的展示視角，在信息安全管理界面上實現(xiàn)集中運維的統(tǒng)一管理功能和信息展示與交互功能。2）流程與業(yè)務(wù)信息安全管理層。在集息安全管理模式下實現(xiàn)流程執(zhí)行和管理控制功能、業(yè)務(wù)安全管理功能。3）集中控制層。通過監(jiān)控工具實現(xiàn)對不同服務(wù)對象和IT資源的實時監(jiān)控，包括主機、數(shù)據(jù)庫、中間件、存儲備份、網(wǎng)絡(luò)、安全、機房、業(yè)務(wù)應(yīng)用和客戶端等技術(shù)支持管理子系統(tǒng)進行綜合處理和集中管理。2、需求分析2.1廣域網(wǎng)網(wǎng)絡(luò)2.1.1海關(guān)業(yè)務(wù)線路為保證綜保區(qū)海關(guān)業(yè)務(wù)正常開展，按海關(guān)部署相關(guān)規(guī)定，要求綜保區(qū)到海關(guān)中心機房廣域網(wǎng)線路“雙線熱備”方案?！半p線熱備”方案已在海關(guān)中心機房至出口加工西區(qū)、機場海關(guān)等四個重要業(yè)務(wù)現(xiàn)場實施部署。其具體需海關(guān)業(yè)務(wù)運行網(wǎng)和業(yè)務(wù)管理網(wǎng)在網(wǎng)絡(luò)正常時各走一條鏈路，當(dāng)其中一條鏈路出理故障時互為備份，故障排除后自動切換回原有鏈路，無需人工干預(yù)。線路上分別選擇電信和網(wǎng)通的一條鏈路，更好地保障備份的可靠。系統(tǒng)建設(shè)配置包括廣域網(wǎng)路由設(shè)備，不同的運營網(wǎng)分別租用4M以上的寬帶線路。2.1.2電子口岸專線為滿足電子口岸錄入的需要，要求建設(shè)電子口岸電子專網(wǎng)。電子口岸專網(wǎng)也采用“雙線熱備”方案，原則上由部署數(shù)據(jù)中心負責(zé)審批。2.2綜合布線2.2.1分類綜合布線系統(tǒng)包括管理網(wǎng)G（六類系統(tǒng)）、業(yè)務(wù)網(wǎng)Y（超五類系統(tǒng)）、互聯(lián)網(wǎng)W（超五類系統(tǒng)）語音網(wǎng)T（水平超五類系統(tǒng)）、備用網(wǎng)絡(luò)B（超五類系統(tǒng)）共計5個系統(tǒng)（可根據(jù)監(jiān)管要求與功能設(shè)置作相應(yīng)調(diào)整）。各網(wǎng)絡(luò)物理隔離、獨立組網(wǎng)，新設(shè)機構(gòu)可根據(jù)實際情況選擇網(wǎng)絡(luò)系統(tǒng)的建設(shè)。樓層弱電井設(shè)置不同功能的配線間。主干數(shù)據(jù)采用4芯多模室光纜、語音采用25芯5類大對數(shù)電纜與超5類屏蔽電纜。2.2.2網(wǎng)線布線系統(tǒng)管理網(wǎng)：水平布線采用六類非屏蔽網(wǎng)線，垂直干線采用4芯多模光纖；運行網(wǎng)、互聯(lián)網(wǎng)、備用網(wǎng)絡(luò)：水平布線采用超五類非屏蔽網(wǎng)線，垂直干線采用4芯多模光纖；機房：水平布線采用六類非屏蔽網(wǎng)線與超五類屏蔽網(wǎng)線。2.2.3機柜的配置在樓層弱電井設(shè)有不同功能的獨立配線間。各樓層布線系統(tǒng)統(tǒng)一匯聚到機房。配線間：管理網(wǎng)、業(yè)務(wù)網(wǎng)可共用一個機柜，互聯(lián)網(wǎng)、、備用網(wǎng)共用一個機柜；機房：管理網(wǎng)、業(yè)務(wù)網(wǎng)可共用一個機柜，互聯(lián)網(wǎng)、備用網(wǎng)共用一個機柜，共用一個機柜。2.2.4綜合布線標識說明由于網(wǎng)絡(luò)的種類比較多，在前面板用顏色加編號的方式對點位的功能進行分區(qū)。使用時從面板標識的顏色可確定點位所屬的網(wǎng)絡(luò)或。綜合布線標識面板、水平線纜、配線架用相機的編號，垂直主干用另一種編號。具體編號說明參見海關(guān)相應(yīng)文件。機房的網(wǎng)絡(luò)布線系統(tǒng)設(shè)計，除應(yīng)符合本規(guī)的規(guī)定外，還應(yīng)符合現(xiàn)行國家標準《綜合布線系統(tǒng)工程設(shè)計規(guī)》GB50311的有關(guān)規(guī)定。2.2.5園區(qū)網(wǎng)建設(shè)園區(qū)應(yīng)建設(shè)園區(qū)網(wǎng)，以實現(xiàn)區(qū)所有企業(yè)與管委會之間信息的互通和管理，同時考慮相應(yīng)的安全管理建設(shè)，包括防病毒管理、客戶端準入等。園區(qū)網(wǎng)為封閉局域網(wǎng)，但保留對外互聯(lián)網(wǎng)出口。園區(qū)網(wǎng)建設(shè)方案應(yīng)提交海關(guān)技術(shù)處審批，海關(guān)技術(shù)處可對園區(qū)網(wǎng)的建設(shè)進行協(xié)助和指導(dǎo)。2.3機房建設(shè)機房建設(shè)要求為海關(guān)設(shè)立獨立機房，桐廬工程包括桐廬地面裝修、電氣部分的配電柜、防雷工程、消防報警、機房空調(diào)、UPS、機房監(jiān)控、綜合布線系統(tǒng)等。機房面積：按二類機房的相關(guān)要求，面積在90~130平方米之間；機房走線與裝修：按上走線方式進行綜合布線，吊頂應(yīng)可拆卸，或留有出入口，以方便管道和設(shè)備的安裝維護。纜線采用線槽或橋架敷設(shè)時，線槽或橋架的高度不宜大于150mm,橋架宜采用網(wǎng)格式橋架。地面工程：地面應(yīng)平整，必須進行防塵處理，采用防塵涂料時，至少粉刷2遍以上。防雷工程：防雷部分的電源防雷器選用進口產(chǎn)品。機房空調(diào)：能夠滿足機房使用條件的專用獨立溫濕度調(diào)節(jié)空調(diào)。機房綜合布線：機房的綜合布線系統(tǒng)選用進口6類非屏蔽系統(tǒng)，配線架全部選用6類24口快跳式配線架，光纖部分采用24口光纖配線盤連接。各樓層匯聚機房配線架，配線架型號選擇參見綜合布線各網(wǎng)絡(luò)設(shè)計要求。UPS：配置10KVAUPS設(shè)備2臺，電池能夠滿足10KVA設(shè)備支持30分鐘。消防報警：根據(jù)具體情況自行設(shè)計。機房監(jiān)控：根據(jù)具體情況自行設(shè)計。3、系統(tǒng)設(shè)計3.1設(shè)計依據(jù)與設(shè)計原則3.1.1、設(shè)計依據(jù)《計算機信息系統(tǒng)安全保護等級劃分準則》（GB17859-1999）《信息系統(tǒng)安全等級保護基本要求》（GB/T22239-2008）?！缎畔⑾到y(tǒng)安全保護等級定級指南》（GB/T22240-2008）《信息系統(tǒng)安全等級保護實施指南》（信安字[2007]10號）《信息系統(tǒng)通用安全技術(shù)要求》（GB/T20271-2006）《信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》（信安秘字[2009]059號）《信息系統(tǒng)安全管理要求》（GB/T20269-2006）《信息系統(tǒng)安全工程管理要求》（GB/T20282-2006）《信息系統(tǒng)物理安全技術(shù)要求》（GB/T21052-2007）《網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》（GB/T20270-2006）《信息系統(tǒng)安全等級保護體系框架》（GA/T708-2007）《信息系統(tǒng)安全等級保護基本模型》（GA/T709-2007）《信息系統(tǒng)安全等級保護基本配置》（GA/T710-2007）《信息系統(tǒng)安全等級保護測評要求》（報批稿）《信息系統(tǒng)安全等級保護測評過程指南》（報批稿）《信息系統(tǒng)安全管理測評》（GA/T713-2007）《操作系統(tǒng)安全技術(shù)要求》（GB/T20272-2006）《操作系統(tǒng)安全評估準則》（GB/T20008-2005）《數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》（GB/T20273-2006）《數(shù)據(jù)庫管理系統(tǒng)安全評估準則》（GB/T20009-2005）《網(wǎng)絡(luò)端設(shè)備隔離部件技術(shù)要求》（GB/T20279-2006）《網(wǎng)絡(luò)端設(shè)備隔離部件測試評價方法》（GB/T20277-2006）《網(wǎng)絡(luò)脆弱性掃描產(chǎn)品技術(shù)要求》（GB/T20278-2006）《網(wǎng)絡(luò)脆弱性掃描產(chǎn)品測試評價方法》（GB/T20280-2006）《網(wǎng)絡(luò)交換機安全技術(shù)要求》（GA/T684-2007）《虛擬專用網(wǎng)安全技術(shù)要求》（GA/T686-2007）《網(wǎng)關(guān)安全技術(shù)要求》（GA/T681-2007）《服務(wù)器安全技術(shù)要求》（GB/T21028-2007）《入侵檢測系統(tǒng)技術(shù)要求和檢測方法》（GB/T20275-2006）《計算機網(wǎng)絡(luò)入侵分級要求》（GA/T700-2007）《防火墻安全技術(shù)要求》（GA/T683-2007）《防火墻技術(shù)測評方法》（報批稿）《信息系統(tǒng)安全等級保護防火墻安全配置指南》（報批稿）《防火墻技術(shù)要求和測評方法》（GB/T20281-2006）《包過濾防火墻評估準則》（GB/T20010-2005）《路由器安全技術(shù)要求》（GB/T18018-2007）《路由器安全評估準則》（GB/T20011-2005）《路由器安全測評要求》（GA/T682-2007）《網(wǎng)絡(luò)交換機安全技術(shù)要求》（GB/T21050-2007）《交換機安全測評要求》（GA/T685-2007）《終端計算機系統(tǒng)安全等級技術(shù)要求》（GA/T671-2006）《終端計算機系統(tǒng)測評方法》（GA/T671-2006）《虛擬專網(wǎng)安全技術(shù)要求》（GA/T686-2007）《應(yīng)用軟件系統(tǒng)安全等級保護通用技術(shù)指南》（GA/T711-2007）《應(yīng)用軟件系統(tǒng)安全等級保護通用測試指南》（GA/T712-2007）《網(wǎng)絡(luò)和終端設(shè)備隔離部件測試評價方法》（GB/T20277-2006）《網(wǎng)絡(luò)脆弱性掃描產(chǎn)品測評方法》（GB/T20280-2006）《信息安全風(fēng)險評估規(guī)》（GB/T20984-2007）《信息安全事件管理指南》（GB/Z20985-2007）《信息安全事件分類分級指南》（GB/Z20986-2007）《信息系統(tǒng)災(zāi)難恢復(fù)規(guī)》（GB/T20988-2007）3.1.2、設(shè)計原則在技術(shù)方案設(shè)計中，遵循以下的系統(tǒng)總體設(shè)計原則：1、統(tǒng)一規(guī)劃、分布實施遵循統(tǒng)一規(guī)劃、分布實施的原則，在信息中心軟硬件支持平臺擴容規(guī)劃和建設(shè)中，首要的工作就是明確近期和長期的建設(shè)目標，立足于應(yīng)用，分布實施。2、開放性、互連性和標準化采用國際、國家標準、協(xié)議和接口，能與現(xiàn)有的和未來的系統(tǒng)互連與集成。3、先進性在保證系統(tǒng)的整體性和實用性的前提下，考慮系統(tǒng)的先進性，所采用的技術(shù)和設(shè)備應(yīng)能保證在目前同行業(yè)中是先進的，能夠滿足海關(guān)信息中心軟硬件支持平臺擴容未來5年以上的需求發(fā)展。4、成熟性技術(shù)方案中所采用的系統(tǒng)體系結(jié)構(gòu)和技術(shù)必須是已經(jīng)過實踐檢驗，證明是成熟的。5、可靠性、穩(wěn)定性和容錯性通過選擇成熟的技術(shù)、冗余的設(shè)計、可靠性產(chǎn)品保證整個系統(tǒng)具有高度的可靠性、穩(wěn)定性和容錯性。6、安全性建立完善的網(wǎng)絡(luò)安全體系，保證海關(guān)信息中心網(wǎng)絡(luò)設(shè)備的安全運行。7、高性能網(wǎng)絡(luò)系統(tǒng)、服務(wù)器系統(tǒng)和安全系統(tǒng)的設(shè)計和產(chǎn)品選擇都要考慮到高性能要求。8、升級性和可擴展性系統(tǒng)設(shè)計要充分考慮到擴容和升級的需要，能靈活方便地適應(yīng)未來系統(tǒng)可能的變化。選擇開放性標準的產(chǎn)品，確保設(shè)備的兼容性；通過系統(tǒng)結(jié)構(gòu)的合理設(shè)計和適度資源冗余，為未來的系統(tǒng)擴充打下基礎(chǔ)，保證需求增加時系統(tǒng)的平滑擴充，保證前期的投資。9、高可管理性整個系統(tǒng)的設(shè)計要層次清晰、功能明確，便于性能分析、故障診斷，能實現(xiàn)對系統(tǒng)資源的全面監(jiān)控和優(yōu)化配置，對訪問的有效監(jiān)控和審計，保證整個系統(tǒng)具有高度的可管理性。3.2信息安全技術(shù)設(shè)計3.2.1機房設(shè)計機房位置的選擇機房設(shè)置在綜合保稅區(qū)A區(qū)2樓，按照國家機房標準設(shè)置，具有防震、防風(fēng)和防雨等能力。機房訪問控制a)機房出入口應(yīng)安排專人值守，控制、鑒別和記錄進入的人員；b)需進入機房的來訪人員應(yīng)經(jīng)過申請和審批流程，并限制和監(jiān)控其活動圍。防盜竊和防破壞a)應(yīng)將主要設(shè)備放置在機房；b)應(yīng)將設(shè)備或主要部件進行固定，并設(shè)置明顯的不易除去的標記；c)應(yīng)將通信線纜鋪設(shè)在隱蔽處，可鋪設(shè)在地下或管道中；d)應(yīng)對介質(zhì)分類標識，存儲在介質(zhì)庫或檔案室中；e)主機房安裝必要的防盜報警設(shè)施。防雷擊a)機房建筑設(shè)置了電源防雷器、數(shù)據(jù)防雷器和視頻信息防雷器等避雷裝置；b)機房設(shè)置交流電源地線。防火機房應(yīng)設(shè)置滅火設(shè)備和火災(zāi)自動報警系統(tǒng)。防水和防潮a)水管安裝，不得穿過機房屋頂和活動地板下；b)采取措施防止雨水通過機房窗戶、屋頂和墻壁滲透；c)采取措施防止機房水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透。防靜電整個機房采用防靜電地板設(shè)計。溫濕度控制機房設(shè)置溫、濕度自動調(diào)節(jié)設(shè)施，使機房溫、濕度的變化在設(shè)備運行所允許的圍之。電力供應(yīng)a)應(yīng)在機房供電線路上配置穩(wěn)壓器和過電壓防護設(shè)備；b)應(yīng)提供了30KVA的UPS，用于短期的備用電力供應(yīng)，至少滿足關(guān)鍵設(shè)備在斷電情況下的正常運行要求。0電磁防護電源線和通信線纜應(yīng)隔離鋪設(shè)，避免互相干擾。3.2.2網(wǎng)絡(luò)設(shè)計網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計采用MSTP的組網(wǎng)方式，A、B、C三區(qū)采用MSTP光纖電路（RJ45接口），通過中國電信MSTP網(wǎng)絡(luò)，實現(xiàn)了A、B、C三個區(qū)的互聯(lián)通訊、三個區(qū)的網(wǎng)絡(luò)熱備以與A區(qū)通過互聯(lián)網(wǎng)接入與海關(guān)總部互訪，組成數(shù)據(jù)通信傳輸通信專網(wǎng)。其網(wǎng)絡(luò)結(jié)構(gòu)圖如以下圖所示：圖9：網(wǎng)絡(luò)結(jié)構(gòu)圖網(wǎng)絡(luò)中設(shè)備、電路均安全可靠，關(guān)鍵設(shè)備、電路均有冗余備份，并采用先進的容錯技術(shù)和故障處理技術(shù)，保證數(shù)據(jù)傳輸?shù)陌踩煽?，保證網(wǎng)絡(luò)可用性達到使用要求。這樣設(shè)計，得以實現(xiàn)系統(tǒng)網(wǎng)絡(luò)安全：●保證關(guān)鍵網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要；●保證接入網(wǎng)絡(luò)和核心網(wǎng)絡(luò)的帶寬滿足業(yè)務(wù)高峰期需要；●根據(jù)各部門的工作職能、重要性和所涉與信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段。訪問控制●在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制功能；●根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為網(wǎng)段級?！癜从脩艉拖到y(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問，控制粒度為單個用戶；●限制具有撥號訪問權(quán)限的用戶數(shù)量。安全審計●對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量、用戶行為等進行日志記錄；●審計記錄應(yīng)包括事件的日期和時間、用戶、事件類型、事件是否成功與其他與審計相關(guān)的信息。邊界完整性檢查能夠?qū)Σ烤W(wǎng)絡(luò)中出現(xiàn)的部用戶未通過準許私自聯(lián)到外部網(wǎng)絡(luò)的行為進行檢查。入侵檢測在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等。系統(tǒng)設(shè)置一臺IDS檢測引擎，用于對計算機和網(wǎng)絡(luò)資源的惡意使用行為進行識別和相應(yīng)處理。其結(jié)構(gòu)如以下圖所示：檢測引擎是一個高性能的專用硬件，運行安全的操作系統(tǒng)，對網(wǎng)絡(luò)中的所有數(shù)據(jù)包進行記錄和分析。根據(jù)規(guī)則判斷是否有異常事件發(fā)生，并與時報警和響應(yīng)。同時記錄網(wǎng)絡(luò)中發(fā)生的所有事件，以便事后重放和分析。管理主機運行于Windows操作系統(tǒng)的圖形化管理軟件。可以查看分析一個或多個檢測引擎，進行策略配置，系統(tǒng)管理。顯示攻擊事件的詳細信息和解決對策?；謴?fù)和重放網(wǎng)絡(luò)中發(fā)生的事件。提供工具分析網(wǎng)絡(luò)運行狀況。并可產(chǎn)生圖文并茂的報表輸出。網(wǎng)絡(luò)設(shè)備防護●對登錄網(wǎng)絡(luò)設(shè)備的用戶進行身份鑒別；●對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進行限制；●網(wǎng)絡(luò)設(shè)備用戶的標識應(yīng)唯一；●身份鑒別信息應(yīng)具有不易被冒用的特點，口令應(yīng)有復(fù)雜度要求并定期更換；●具有登錄失敗處理功能，可采取完畢會話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時自動退出等措施；●當(dāng)對網(wǎng)絡(luò)設(shè)備進行遠程管理時，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽。3.2.3主機安全身份鑒別●應(yīng)對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進行身份標識和鑒別；●操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標識應(yīng)具有不易被冒用的特點，口令應(yīng)有復(fù)雜度要求并定期更換；●應(yīng)啟用登錄失敗處理功能，可采取完畢會話、限制非法登錄次數(shù)和自動退出等措施；●當(dāng)對服務(wù)器進行遠程管理時，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；●應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名具有唯一性。訪問控制●應(yīng)啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問；●應(yīng)實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離；●應(yīng)限制默認的訪問權(quán)限，重命名系統(tǒng)默認，修改這些的默認口令；●應(yīng)與時刪除多余的、過期的，避免共享的存在。安全審計●審計圍應(yīng)覆蓋到服務(wù)器上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；●審計容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)重要的安全相關(guān)事件；●審計記錄應(yīng)包括事件的日期、時間、類型、主體標識、客體標識和結(jié)果等；●應(yīng)保護審計記錄，避免受到未預(yù)期的刪除、修改或覆蓋等。入侵防操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過設(shè)置升級服務(wù)器等方式保持系統(tǒng)補丁與時得到更新。惡意代碼防●應(yīng)安裝防惡意代碼軟件，并與時更新防惡意代碼軟件版本和惡意代碼庫；●應(yīng)支持防惡意代碼軟件的統(tǒng)一管理。資源控制●應(yīng)通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址圍等條件限制終端登錄；●應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時鎖定；●應(yīng)限制單個用戶對系統(tǒng)資源的最大或最小使用限度。3.2.4應(yīng)用安全身份鑒別●應(yīng)提供專用的登錄控制模塊對登錄用戶進行身份標識和鑒別；●應(yīng)提供用戶身份標識唯一和鑒別信息復(fù)雜度檢查功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標識，身份鑒別信息不易被冒用；●應(yīng)提供登錄失敗處理功能，可采取完畢會話、限制非法登錄次數(shù)和自動退出等措施；●應(yīng)啟用身份鑒別、用戶身份標識唯一性檢查、用戶身份鑒別信息復(fù)雜度檢查以與登錄失敗處理功能，并根據(jù)安全策略配置相關(guān)參數(shù)。訪問控制●應(yīng)提供訪問控制功能，依據(jù)安全策略控制用戶對文件、數(shù)據(jù)庫表等客體的訪問；●訪問控制的覆蓋圍應(yīng)包括與資源訪問相關(guān)的主體、客體與它們之間的操作；●應(yīng)由授權(quán)主體配置訪問控制策略，并嚴格限制默認的訪問權(quán)限；●應(yīng)授予不同為完成各自承當(dāng)任務(wù)所需的最小權(quán)限，并在它們之間形成相互制約的關(guān)系。安全審計●應(yīng)提供覆蓋到每個用戶的安全審計功能，對應(yīng)用系統(tǒng)重要安全事件進行審計；●應(yīng)保證無法刪除、修改或覆蓋審計記錄；●審計記錄的容至少應(yīng)包括事件日期、時間、發(fā)起者信息、類型、描述和結(jié)果等。通信完整性應(yīng)采用校驗碼技術(shù)保證通信過程中數(shù)據(jù)的完整性。通信性●在通信雙方建立連接之前，應(yīng)用系統(tǒng)應(yīng)利用密碼技術(shù)進行會話初始化驗證；●應(yīng)對通信過程中的敏感信息字段進行加密。軟件容錯●應(yīng)提供數(shù)據(jù)有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的數(shù)據(jù)格式或長度符合系統(tǒng)設(shè)定要求；●在故障發(fā)生時，應(yīng)用系統(tǒng)應(yīng)能夠繼續(xù)提供一部分功能，確保能夠?qū)嵤┍匾拇胧?。資源控制●當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時間未作任何響應(yīng)，另一方應(yīng)能夠自動完畢會話；●應(yīng)能夠?qū)?yīng)用系統(tǒng)的最大并發(fā)會話連接數(shù)進行限制；●應(yīng)能夠?qū)蝹€的多重并發(fā)會話進行限制。3.2.5數(shù)據(jù)安全與備份恢復(fù)數(shù)據(jù)完整性應(yīng)能夠檢測到鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中完整性受到破壞。系統(tǒng)提供完整的日志功能，對所有的業(yè)務(wù)數(shù)據(jù)，進行日志記錄，以備后查。數(shù)據(jù)性應(yīng)采用加密或其他保護措施實現(xiàn)鑒別信息的存儲性。系統(tǒng)使用IC卡存儲業(yè)務(wù)數(shù)據(jù)時，采用了DES加密算法，對關(guān)鍵數(shù)據(jù)進行加密。備份和恢復(fù)a)采用了Rose公司提供的、基于共享磁盤陣列的高可用RoseHA解決方案，為用戶提供了具有單點故障容錯能力的系統(tǒng)平臺。b)采用MSTP的組網(wǎng)方式，A、B、C三區(qū)采用MSTP光纖電路（RJ45接口），通過中國電信MSTP網(wǎng)絡(luò)，實現(xiàn)了A、B、C三個區(qū)的互聯(lián)通訊、三個區(qū)的網(wǎng)絡(luò)熱備以與A區(qū)通過互聯(lián)網(wǎng)接入與海關(guān)總部互訪，組成數(shù)據(jù)通信傳輸通信專網(wǎng)。c)制定詳細的數(shù)據(jù)庫備份與災(zāi)難恢復(fù)策略，并通過模擬故障對每種可能的情況進行嚴格測試，保證了數(shù)據(jù)的高可用性。3.2.6綜合布線系統(tǒng)概述綜合布線系統(tǒng)圍主要包括聯(lián)檢大樓、閘口與閘口辦公區(qū)、查驗平臺與查驗倉庫與實驗樓等。本綜合布線系統(tǒng)涉與海關(guān)、檢驗檢疫和用戶三方的綜合布線系統(tǒng)。綜合布線系統(tǒng)設(shè)計為保證系統(tǒng)先進性、開放性和擴展性，實現(xiàn)語音、多媒體、數(shù)據(jù)等應(yīng)用的承載能力，綜合布線系統(tǒng)采用六類結(jié)構(gòu)化布線系統(tǒng)，采用星型拓撲結(jié)構(gòu)，主干網(wǎng)絡(luò)采用千兆以太網(wǎng)絡(luò)，實現(xiàn)百兆接入、千兆上行的物理鏈路。綜合布線系統(tǒng)由工作區(qū)，水平區(qū)，垂直區(qū)，設(shè)備管理與樓群子系統(tǒng)組成，各部分均采用標準的模塊化構(gòu)件，以利于將來的升級、擴展?！窆ぷ鲄^(qū)子系統(tǒng)工作區(qū)子系統(tǒng)由設(shè)在各工作區(qū)的信息插座、跳線（連接信息插座至終端設(shè)備之間的線纜）構(gòu)成。信息插座采用雙孔面板與相配合的六類信息模塊?！袼礁删€子系統(tǒng)水平子系統(tǒng)由各大樓樓層配線間至各個工作區(qū)之間的電纜和多模水平光纜構(gòu)成。水平干線子系統(tǒng)采用六類阻燃雙絞線電纜。本系統(tǒng)采用六類雙絞線，用于所有的數(shù)據(jù)點和語音點，實現(xiàn)信息點可完全互換。●垂直主干子系統(tǒng)垂直主干子系統(tǒng)采用單模光纜，提供全雙工傳輸通道，具有極大的傳輸帶寬和極高的傳輸質(zhì)量?！窆芾碜酉到y(tǒng)管理子系統(tǒng)由各層分設(shè)的樓層配線系統(tǒng)與主機房中的主配線系統(tǒng)（設(shè)備間子系統(tǒng)）構(gòu)成，負責(zé)樓層與信息通道的統(tǒng)一管理。主要由跳線面板、跳線管理器、跳線、光纜端接面板、機柜（或機架）等組成。管理子系統(tǒng)將模塊、電腦模塊和網(wǎng)絡(luò)模塊安裝在機柜中，對線纜進行統(tǒng)一布局和管理。系統(tǒng)采用19”標準機柜，高42U，頂部安裝有2-4個風(fēng)扇，背后安裝電源線槽，正面安裝玻璃門，后背板和側(cè)板均可拆卸。機柜所有的信息點符合規(guī)定的編號規(guī)則和顏色規(guī)則，以方便用戶的使用?！裰髋渚€間（BD）為實現(xiàn)高可靠性，本系統(tǒng)將主配線架全部安裝在機柜?！駱菍优渚€間（FD）在各樓層配線架中，與水平雙絞線連接的用戶區(qū)采用六類配線架，每個信息點完全靈活用于語音或數(shù)據(jù)。各配線間設(shè)置光纖配線架,用來連接多芯光纜，安裝在19”標準機柜，用于各種計算機網(wǎng)絡(luò)設(shè)備。通過更換跳線實現(xiàn)與其他網(wǎng)絡(luò)設(shè)備的連接。海關(guān)綜合布線系統(tǒng)海關(guān)網(wǎng)絡(luò)按照海關(guān)總署“五網(wǎng)”獨立要求，分別設(shè)置管理網(wǎng)、運行網(wǎng)、電子口岸專網(wǎng)、互聯(lián)網(wǎng)和語音網(wǎng)。海關(guān)網(wǎng)絡(luò)覆蓋圍包括：閘口與閘口辦公區(qū)、查驗平臺與查驗倉庫與聯(lián)檢大樓海關(guān)辦公場地等。海關(guān)網(wǎng)絡(luò)采用三層結(jié)構(gòu)設(shè)計，由核心層、匯聚層、接入層組成。核心層設(shè)置在海關(guān)信息中心機房，匯聚層設(shè)置在海關(guān)信息中心機房、查驗平臺機房，接入層設(shè)置在卡口。海關(guān)網(wǎng)絡(luò)應(yīng)與海關(guān)的網(wǎng)絡(luò)無縫地實現(xiàn)互聯(lián)互通。在海關(guān)網(wǎng)絡(luò)核心層選擇1臺高性能交換機作為系統(tǒng)主交換機。主交換機與系統(tǒng)服務(wù)器連接采用1000M連接。3.3產(chǎn)品選型3.3.1選型原則在本方案的技術(shù)選擇和設(shè)備選型首先是基于對本項目的理解和分析，并特別考慮到滿足未來5到10年的業(yè)務(wù)發(fā)展要求做出的，并遵循以下原則得出的：v實用性采用成熟、穩(wěn)定的技術(shù)，滿足業(yè)務(wù)的實際要求；v先進性根據(jù)當(dāng)前業(yè)務(wù)要求，考慮今后5到10年的業(yè)務(wù)發(fā)展需要，在設(shè)計上留有余量；v可靠性采用目前國際上商用SAN交換機最先進且成熟可靠的軟硬件技術(shù)；選用可靠性高的產(chǎn)品與技術(shù)，充分考慮到在系統(tǒng)出現(xiàn)異常時的應(yīng)變與容錯能力，從而確保整個系統(tǒng)的高可靠性。v擴展性在系統(tǒng)結(jié)構(gòu)、產(chǎn)品系列和處理性能等各方面具有良好的擴充，升級能力，完全能滿足未來5到10年的業(yè)務(wù)發(fā)展要求；3.3.2產(chǎn)品配置清單序號名稱規(guī)則型號單位數(shù)量1數(shù)據(jù)服務(wù)器1.名稱:數(shù)據(jù)服務(wù)器臺22.技術(shù)參數(shù)：HPDL580G7E75202P16GBSvr（配4*146G雙端口熱插拔硬盤，3年保修現(xiàn)場金牌服務(wù)）2應(yīng)用服務(wù)器1.名稱:應(yīng)用服務(wù)器臺12.技術(shù)參數(shù)：HPDL388G7E5506EntryCNSvr（配置光驅(qū)，2*146G雙端口熱插拔硬盤，19"液晶顯示器，3年保修現(xiàn)場金牌服務(wù)）操作系統(tǒng)（服務(wù)器）3Windowsserver20031.名稱:操作系統(tǒng)（服務(wù)器）coem企業(yè)版套32.規(guī)格型號：Windowsserver2003coem企業(yè)版數(shù)據(jù)庫軟件SQL4Server2008工作組版1.名稱:數(shù)據(jù)庫軟件套臺臺臺2132072.規(guī)格型號：SQLServer2008工作組版網(wǎng)絡(luò)交換機LS-1.名稱：網(wǎng)絡(luò)交換機5120-28P-SI-H352.技術(shù)參數(shù):LS-5120-28P-SI-H3，配光模塊網(wǎng)絡(luò)交換機LS-1.名稱：網(wǎng)絡(luò)交換機5500-28C-EI62.技術(shù)參數(shù):LS-5500-28C-EI，配光模塊、堆疊模塊、堆疊線網(wǎng)絡(luò)交換機LS-71.名稱：網(wǎng)絡(luò)交換機5500-28F-EI-AC2.技術(shù)參數(shù):LS-5500-28F-EI-AC，配8個光模塊WindowsXPP操作系統(tǒng)（客戶機）COEM1.名稱:操作系統(tǒng)（客戶機）套臺8112.規(guī)格型號：WindowsXPPCOEM9磁盤陣列1.名稱：磁盤陣列2.規(guī)格型號：MSA2300SAG2，含磁盤柜，支持12槽,配6x300GSAS熱拔插硬盤10雙機熱備份軟件1.名稱:雙機熱備份軟件套個12.規(guī)格型號：ROSEFORWINDOWS8.5版本11電源防雷器1.名稱:電源防雷器122.型號:ZFDF-2203.參數(shù)：標稱通流容量：≥20KA最大通流量：≥50KA殘壓：<200V響應(yīng)時間：<25ns1.引下線材質(zhì)、規(guī)格、技術(shù)要求(引下形式)：BVR-25mm2銅芯線，均壓環(huán)引至聯(lián)合接地體接地銅心線BVR-25mm212mm96.837.82.部位：主龍骨接地線、配電柜接地線13接地銅心線BVR50mm21.引下線材質(zhì)、規(guī)格、技術(shù)要求(引下形式)：BVR-50mm2銅芯線，均壓環(huán)引至聯(lián)合接地體2.部位：主龍骨接地線、配電柜接地線14抗靜電地板接地跨線1.名稱：抗靜電地板接地跨線BVR6處米108901.均壓環(huán)材質(zhì)、規(guī)格、技術(shù)要求:30*3銅排，地板下安裝，做等電位均壓環(huán)1516等電位接地銅排防雷器B級ZGG120-1.名稱、型號：防雷器B級ZGG120-組組組1413853852.電壓等級：400V防雷器C級ZGG80-1.名稱、型號：防雷器C級ZGG80-173853852.電壓等級：400V防雷器D級ZGG40-1.名稱、型號：防雷器C級ZGG40-183853852.電壓等級：400V192.輸出形式：單輸出20輸入輸出模塊接線端子箱感煙探測器1.名稱：輸入輸出模塊JF-M021.名稱：接線端子箱個臺只1182.型號：JPH901211.名稱:感煙探測器JTY-GD/JF-D112.其它：符合設(shè)計與規(guī)要求222.其它：符合設(shè)計與規(guī)要求232.其它：符合設(shè)計與規(guī)要求242.其它：符合設(shè)計與規(guī)要求252.其它：符合設(shè)計與規(guī)要求感溫探測器手動報警按扭聲光報警裝置報警控制器控制器電源氣體滅火器1.名稱:感溫探測器JTW-BCD/JF-D121.名稱:手動報警按扭J-SAP-M/JF-D131.名稱:聲光報警裝置JBU-VM1372B1.名稱:報警控制器-QBZ-JF998X1.名稱:控制器電源24V/10A只只臺臺臺套833114262.其它：符合設(shè)計與規(guī)要求271.名稱：氣體滅火器2.規(guī)格型號：2*4KG含箱體CO2試自動報警系統(tǒng)裝置調(diào)1.名稱：自動報警系統(tǒng)裝置調(diào)試系統(tǒng)臺28112.點數(shù):≤128點29電源配電柜1.名稱：電源配電柜2.規(guī)格型號：1路市電入、1路UPS入、5路市電出、10路UPS出，含三相電源防雷30配電柜1.名稱：配電柜臺臺232.規(guī)格型號：1路市電入、1路UPS入、5路市電出、15路UPS出，含三相電源防雷31柜式空調(diào)5P1.名稱：柜式空調(diào)2.規(guī)格型號：5P32UPS電源30KVA1.名稱：UPS電源臺22.規(guī)格類型：30KVA,1小時,輸入為三相,輸出為三相,含松下電池、電池柜、空開、銅芯電線，9355-30-N-0332.類型：EDX15KXL31(15KVA、1小時輸入為三相、輸出為單相、含電池與電池柜）UPS電源柜15KVA1.名稱：UPS電源柜臺臺1134防火墻深信服NGAF3.3.3產(chǎn)品參數(shù)數(shù)據(jù)庫服務(wù)器HPProLiantDL580G7基本參數(shù)產(chǎn)品類型：企業(yè)級產(chǎn)品類別：機架式產(chǎn)品結(jié)構(gòu)：4U處理器CPU類型：Intel至強7500CPU型號：XeonE7520CPU頻率：1.866GHz智能加速主頻：1.866GHz標配CPU數(shù)量：4顆最大CPU數(shù)量：4顆制程工藝：45nm三級緩存：18MB總線規(guī)格：QPI4.8GT/sCPU核心：四核CPU線程數(shù)：八線程主板存擴展槽：11個存類型：DDR3存容量：16GB存插槽數(shù)量：64最大存容量：2TB硬盤接口類型：SAS標配硬盤容量：900GB最大硬盤容量：4TB硬盤描述：3塊300GBSAS硬盤存儲部硬盤架數(shù)：最大支持8塊SAS/SATA/SSD硬盤熱插拔盤位：支持熱插拔RAID模式：1個智能陣列P410i/512MBFBWC光驅(qū)：薄型SATADVDROM網(wǎng)絡(luò)管理與其他網(wǎng)絡(luò)控制器：1GbENC375i四端口網(wǎng)卡系統(tǒng)管理：HPInsightControl套件24x7支持帶iLO高級軟件包的InsightControl（iLO3）電源數(shù)量：4個電源性能電源功率：1200W全新的HPProLiantDL580G7服務(wù)器適用于大部分應(yīng)用，是數(shù)據(jù)密集且需要向上擴展的工作負載的理想平臺。HPProLiant服務(wù)器發(fā)揮最正確應(yīng)用程序運行時間和性能為客戶帶來更多的效益包括：HPProLiantDL580G7服務(wù)器利用HPProLiantDL580G7服務(wù)器可擴展的4核性能和類似IntelMachineCheckArchitecture(MCA)復(fù)原的耐用安全功能，增進系統(tǒng)可靠性。與前一代8插槽服務(wù)器相比，HPProLiantDL580G7為數(shù)據(jù)密集型應(yīng)用程序帶來3倍于以前的數(shù)據(jù)庫性能。因為采用Intel7500系列處理器，該服務(wù)器允許向上擴展更多的客戶端。HPProLiantx86服務(wù)器帶來的卓越性能包括：適用于HPProLiantDL系列G7服務(wù)器的HPIntelligentPowerDiscovery，在服務(wù)器和第三方設(shè)施管理之間建立自動化的能源感知網(wǎng)絡(luò)，排除過度配置能源容量的問題。通過HPInsightControl提供的IntegratedLights-OutAdvanced(iLO3)，加速遠程服務(wù)器管理任務(wù)作業(yè)。iLO3遠程控制面板的執(zhí)行速度比之前版本快8倍，提高管理員的管理效率。HPInsightControl配備動態(tài)用電控制技術(shù)后，可以正確監(jiān)督和控制每臺服務(wù)器所使用的能源，加強使用數(shù)據(jù)中心、重新收回過度配置的能源，并增加數(shù)據(jù)中心3倍的容量。特別為HPProLiant而擴展的HPMissionCriticalServices，將宕機時間降至最短，并通過增強的應(yīng)用程序可用性，降低客戶必需不斷支付的運營成本。應(yīng)用服務(wù)器ProLiantDL388G7基本參數(shù)處理器產(chǎn)品類別：機架式產(chǎn)品結(jié)構(gòu)：2UCPU類型：Intel至強5600CPU型號：XeonE5649CPU頻率：2.53GHz智能加速主頻：2.93GHz標配CPU數(shù)量：1顆最大CPU數(shù)量：2顆制程工藝：32nm三級緩存：12MB總線規(guī)格：QPI5.86GT/sCPU核心：六核CPU線程數(shù)：12線程主板存擴展槽：6存類型：DDR3存容量：2GB存描述：PC3-10600RRDIMMDDR3或PC3-10600EUDIMMDDR3存插槽數(shù)量：18最大存容量：192GB存儲硬盤接口類型：SATA/SAS標配硬盤容量：標配不提供最大硬盤容量：8TB部硬盤架數(shù)：最大支持8塊SFFSATA/SAS硬盤熱插拔盤位：支持熱插拔RAID模式：P410i控制器網(wǎng)絡(luò)控制器：兩個NC382i雙端口千兆網(wǎng)卡系統(tǒng)管理：iLO3電源功率：460W產(chǎn)品尺寸：85.9×660.7×445.4mm產(chǎn)品重量：最大27.2kg網(wǎng)絡(luò)管理與其他電源性能外觀特征適用環(huán)境工作溫度：10℃-35℃工作濕度：10%-90%儲存溫度：-30℃-60℃惠普ProLiantDL388G7(616659-AA1)機架式服務(wù)器一款品質(zhì)高、價位合理的高信價比2U機架式服務(wù)器。這款服務(wù)器設(shè)置有非常出色的部設(shè)計，以Intel至強5600系列處理器作為核心保障，配合大容量的存和硬盤存儲，增加機身的可靠性，更有效的助推企業(yè)騰飛的進程?；萜誔roLiantDL388G7(616659-AA1)圖片惠普ProLiantDL388G7(616659-AA1)機架式服務(wù)器配置Intel至強5600系列XeonE5620型號處理器。這款四核八線程的處理核心采用32nm制程工藝，頻率為2.4GHz，通過智能加速主頻，使處理器的頻率提升到2.666GHz，配合12MB的三級緩存，增加了機體應(yīng)對高強度工作的可靠性?；萜誔roLiantDL388G7(616659-AA1)機架式服務(wù)器置有2GB的DDR3類型存，智能陣列P410i/零緩存，充分保障了機體運行的流暢與數(shù)據(jù)交換的可靠?；萜誔roLiantDL388G7(616659-AA1)機架式服務(wù)器配置有2個NC382i雙端口千兆網(wǎng)卡，并配合iLO3管理程序，增加機體整體可控程度?；萜誔roLiantDL388G7(616659-AA1)機架式服務(wù)器的主板上最大設(shè)計有6個擴展槽，并配置有18個存插槽和多個硬盤插槽，使最大存容量可以達到192GB，最大硬盤容量可達8TB，充分保障運轉(zhuǎn)的流暢程度。惠普ProLiantDL388G7(616659-AA1)機架式服務(wù)器是一款性價比非常高的2U產(chǎn)品。這款機架式服務(wù)器采用Intel至強5600系列XeonE5620型號處理核心，配合2個NC382i雙端口千兆網(wǎng)卡和iLO3管理程序，充分保障了機體的可靠性和可控性，更加便于使用者操作。磁盤陣列HPMSA2300產(chǎn)品型號序列號描述數(shù)量MSA2300HPMSA2324fc雙控制器磁盤陣列：雙控制器，每個控制器1GB緩存；每個控制器有2個4GbFibreChannel端口；支持RAID0,1,3,5,6,10,50；最大支持64個主機；帶24顆2.5寸硬盤插槽；冗余電源雙控制器預(yù)配置AJ797A1HPMSA2312fc雙控制器磁盤陣列：每個控制器1GB緩存;每個控制器有2個4GbFibreChannel端口；支持RAID0,1,3,5,6,10,50；最大支持64個主機；帶12顆3.5寸硬盤插槽；冗余電源HPMSA2312sa雙控制器磁盤陣列：冗余控制器，帶1GB緩存;每個控制器有4個3GbSAS接口；支持RAID0,1,3,5,6,10,50；直連最大支持8個主機，通過SASBLSwitch最大支持到64個主機；帶12顆硬盤插槽；冗余電源AJ795AAJ805A11HPStorageWorks2324sa雙控制器磁盤陣列：冗余控制器，帶1GB緩存；每個控制器有4個3GbSAS接口；支持RAID0,1,3,5,6,10,50；直連最大支持8個主機，通過SASBLSwitch最大支持到64個主機；帶24顆2.5寸硬盤插槽；冗余電源AJ807A1HPMSA2312iLFF雙控制器磁盤陣列：冗余控制器，每個控制器1GB緩存;每個控制器有2個1GbiSCSI端口；支持RAID0,1,3,5,6,10,50；最大支持32個主機；帶12顆硬盤插槽；冗余電源HPMSA2300fcSANStarterHAUpgradeKit包括額外一個單獨控制器，1×8端口8GbSANSwitch，2×8GbHBAs，SFP和線纜，可以給AJ954A或AJ955A升級AJ800AAJ956A11磁盤籠與可添加控制器選一個LFF或SFF磁盤籠，選擇一個或兩個FC/SA/iSCSI控制器磁盤籠AJ949AHPMSA2324SFF2.5“磁盤存儲機箱2個陣列控制器槽位，帶24顆2.5寸硬盤插槽，冗余電源1HPMSA2312LFF3.5磁盤存儲機箱2個陣列控制器槽位，帶12顆3.5寸硬盤插槽，冗余電源AJ948A1DC磁盤籠AJ951AAJ950AHPMSA20242.5”直流電源存儲機箱HPMSA20123.5“直流電源存儲機箱1HP2300fc磁盤存儲控制器，1GB緩存;每個控制器有2個4GbFibreChannel端口;最大支持64個主機11控制器AJ808AAJ803AAJ798AHP2300saG2ModularSmartArrayController帶1GB緩存;每個控制器有4個3GbSAS接口；支持RAID0,1,3,5,6,10,50；直連最大支持8個主機，通過SASBLSwitch最大支持到64個主機HPMSA2300iModularSmartArrayController1GB緩存；每個控制器有2個1GbiSCSI端口，最大支持32個主機；11隨著信息化時代的到來，信息的數(shù)量化讓我們應(yīng)對起來手忙腳亂，人們迫切的需要大容量的存儲設(shè)備來存放這些信息，其中磁盤陣列就是這個家族中很重要的一員，它利用數(shù)組方式來作磁盤組，配合數(shù)據(jù)分散排列的設(shè)計，提升數(shù)據(jù)的安全性?；萜誗torageWorksMSA2300FC(AJ798A)惠普StorageWorksMSA2300FC(AJ798A)磁盤陣列采用2U機架結(jié)構(gòu)，陣列容量為16TB。置三種硬盤接口，分別為SAS、SATAII和SCSI，可滿足日常需要。RAID的采用為存儲系統(tǒng)(或者服務(wù)器的置存儲)帶來巨大利益，其中提高傳輸速率和提供容錯功能是最大的優(yōu)點。另一方面由于同時使用多個磁盤，提高了傳輸速率。惠普StorageWorksMSA2300FC(AJ798A)磁盤陣列支持的RAID形式為0,1,3,5,6,10,50?；萜誗torageWorksMSA2300FC(AJ798A)磁盤陣列支持MicrosoftWindowsServer2008IA32,x64,IA64(Standard,Enterprise,Datacenter)，MicrosoftWindows2003and2003R2IA32,x64,IA64和RedHatLinux(32/64)等多種操作系統(tǒng)?；萜誗torageWorksMSA2300FC(AJ798A)磁盤陣列具有很高的穩(wěn)定性，它平均無故障時間可以達到1500000小時。骨干網(wǎng)交換機S5120-28P-SIH3CS5120-SI系列以太網(wǎng)交換機是H3C技術(shù)自主開發(fā)的全千兆二層以太網(wǎng)交換機，廣泛應(yīng)用于企業(yè)網(wǎng)和園區(qū)網(wǎng)的接入層。提供靈活的全千兆以太網(wǎng)端口的接入密度、豐富的業(yè)務(wù)特性、統(tǒng)一的集群配置，為用戶提供高性能、低成本、可網(wǎng)管的千兆到桌面的解決方案。H3CS5120-SI系列以太網(wǎng)交換機目前包含如下型號：●S5120-20P-SI：16個10/100/1000Base-T以太網(wǎng)端口，4個1000Base-XSFP千兆以太網(wǎng)端口；●S5120-28P-SI：24個10/100/1000Base-T以太網(wǎng)端口，4個1000Base-XSFP千兆以太網(wǎng)端口；●S5120-52P-SI：48個10/100/1000Base-T以太網(wǎng)端口，4個1000Base-XSFP千兆以太網(wǎng)端口?！耢`活的千兆接入和集群管理H3CS5120-SI系列全千兆以太網(wǎng)交換機提供靈活的16/24/48個10/100/1000M自適應(yīng)電口接入；并且支持非復(fù)用的SFP插槽，充分考慮用戶的帶寬升級的實際情況，既可以支持千兆光模塊，也可以支持百兆光模塊，保護用戶投資。H3CS5120-SI系列硬件支持最大104Gbps交換容量，保證所有端口二層線速交換。H3CS5120-SI系列交換機采用專利技術(shù)允許交換機利用專用互聯(lián)電纜實現(xiàn)多達16臺設(shè)備的堆疊，支持不同端口設(shè)備的混合堆疊。具有即插即用、單一IP管理。同時大大降低系統(tǒng)擴展的成本，保護了用戶投資。●全面的接入安全策略H3CS5120-SI系列交換機支持特有的ARP入侵檢測功能，可有效防止黑客或攻擊者通過ARP報文實施網(wǎng)絡(luò)中逐漸盛行的“中間人”攻擊，對不符合DHCPSnooping動態(tài)綁定表或手工配置的靜態(tài)綁定表的非法ARP欺騙報文直接丟棄。同時支持IPSourceCheck特性，防止包括MAC欺騙、IP欺騙、MAC/IP欺騙在的非法地址仿冒，以與大量地址仿冒帶來的DoS攻擊。另外，利用DHCPSnooping的信任端口特性還可以有效杜絕私設(shè)DHCP服務(wù)器，保證DHCP環(huán)境的真實性和一致性。H3CS5120-SI系列交換機支持端口安全特性族可以有效防基于MAC地址的攻擊。可以實現(xiàn)基于MAC地址允許/限制流量，或者設(shè)定每個端口允許的MAC地址的最大數(shù)量，使得某個特定端口上的MAC地址可以由管理員靜態(tài)配置，或者由交換機動態(tài)學(xué)習(xí)。H3CS5120-SI系列交換機提供802.1X和集中MAC認證方式對接入的用戶進行認證，允許合法用戶通過，對于非法用戶則拒絕其上網(wǎng)。同時還支持客戶端軟件版本檢測、GuestVLAN等功能，和CAMS服務(wù)器配合還可以實現(xiàn)代理檢測、雙網(wǎng)卡檢測等功能。通過這些功能的應(yīng)用可以對用戶的合法性進行充分的檢查和控制，最大程度的減少非法用戶對網(wǎng)絡(luò)安全的危害?！裨鰪姷木W(wǎng)絡(luò)管理和維護的易用性H3CS5120-SI系列交換機支持通過FTP、TFTP實現(xiàn)設(shè)備的遠程升級，支持SNMPv1/v2/v3，可支持OpenView等通用網(wǎng)管平臺，以與iMC智能管理中心。支持CLI命令行，Web網(wǎng)管，TELNET，HGMP集群管理，使設(shè)備管理更方便。并且支持SSH2.0等加密方式，使得管理更加安全。H3CS5120-SI系列交換機支持VCT（VirtualCableTest）電纜檢測功能，便于快速定位網(wǎng)絡(luò)故障點。支持特性S5120-28P-SI外形尺寸（長×寬×440×160×43.6高）（單位：mm）重量<3kg管理端口1個Console口24個10/100/1000Base-T以太網(wǎng)端口，4個1000Base-XSFP千兆以太網(wǎng)端口業(yè)務(wù)端口描述交換容量（全雙56Gbps工）包轉(zhuǎn)發(fā)率（整機）42Mpps端口聚合支持LACP鏈路聚合支持IEEE802.3x流控（全雙工）支持基于端口速率百分比的風(fēng)暴抑制支持基于端口速率百分比、pps和bps的風(fēng)暴抑制端口VLAN支持基于端口的VLAN（4K個）支持DHCPClientDHCP支持DHCPSnooping支持DHCPSnoopingOption82支持IGMPSnoopingv1/v2/v3支持組播VLAN組播生成樹支持STP/RSTP/MSTP協(xié)議支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP端口號、協(xié)議類型、VLAN等ACL支持基于時間段的ACLACL支持基于全局、VLAN、端口（組）下發(fā)ACL支持IEEE802.1p/DSCP優(yōu)先級支持優(yōu)先級映射QoS支持端口信任模式每端口支持4個隊列支持端口隊列調(diào)度(SP/WRR/SP+WRR)鏡像支持端口鏡像支持用戶分級管理和口令保護支持Radius認證支持SSH2.0支持802.1X，集中式MAC地址認證支持GuestVLAN支持端口隔離安全特性支持端口安全支持MAC地址學(xué)習(xí)數(shù)目限制支持IP源地址保護支持ARP入侵檢測功能支持IP+MAC+端口的綁定支持XModem/FTP/TFTP加載升級支持命令行接口（CLI），Telnet，Console口進行配置支持SNMP，WEB網(wǎng)管支持RMON（RemoteMonitoring）支持iMC智能管理中心支持系統(tǒng)日志，分級告警，調(diào)試信息輸出支持HGMPv2管理與維護支持Modem遠端撥號工作環(huán)境溫度0℃～45℃工作環(huán)境相對濕度10%～90%（非凝露）核心網(wǎng)交換機LS-5500-28C-EIH3CS5500-EI系列交換機是H3C公司最新開發(fā)的增強型IPv6強三層萬兆以太網(wǎng)交換機產(chǎn)品，具備業(yè)界盒式交換機最先進的硬件處理能力和最豐富的業(yè)務(wù)特性。支持最多4個萬兆擴展接口；支持IPv4/IPv6硬件雙棧與線速轉(zhuǎn)發(fā)，使客戶能夠從容應(yīng)對即將帶來的IPv6時代；除此以外，其出色的安全性，可靠性和多業(yè)務(wù)支持能力使其成為大型企業(yè)網(wǎng)絡(luò)和園區(qū)網(wǎng)的匯聚，中小企業(yè)網(wǎng)核心、以與城域網(wǎng)邊緣設(shè)備的第一選擇。隨著用戶端速度不斷提高，用戶最終會使集群千兆鏈路達到飽和，而能夠擁有多條集群10GE鏈路將是我們的未來發(fā)展方向。H3CS5500-EI系列交換機支持兩個擴展槽位，每個槽位支持單端口或雙端口的10GE擴展模塊，在實現(xiàn)千兆匯聚或接入時保留進一步支持10GE的擴展能力，盡力保護用戶投資。IPv4到IPv6的演變是以太網(wǎng)發(fā)展的大勢所趨，網(wǎng)絡(luò)設(shè)備對于IPv6的支持不僅是簡單的可用就行，而是需要達到商用的標準，S5500-EI已經(jīng)通過了國際最權(quán)威的IPv6Ready第二階段認證，而且通過了信息產(chǎn)業(yè)部嚴格的IPv6入網(wǎng)測試。這個系列產(chǎn)品是基于硬件的IPv4/IPv6雙棧平臺，支持豐富的IPv4和IPv6三層路由協(xié)議、組播協(xié)議和策略路由機制，實現(xiàn)IPv4到IPv6的平滑升級?！裢陚涞陌踩刂撇呗訦3CS5500-EI系列交換機支持EAD（端點準入防御）功能，配合后臺系統(tǒng)可以將終端防病毒、補丁修復(fù)等終端安全措施與網(wǎng)絡(luò)接入控制、訪問權(quán)限控制等網(wǎng)絡(luò)安全措施整合為一個聯(lián)動的安全體系，通過對網(wǎng)絡(luò)接入終端的檢查、隔離、修復(fù)、管理和監(jiān)控，使整個網(wǎng)絡(luò)變被動防御為主動防御、變單點防御為全面防御、變分散管理為集中策略管理，提升了網(wǎng)絡(luò)對病毒、蠕蟲等新興安全威脅的整體防御能力。H3CS5500-EI交換機支持集中式MAC地址認證、802.1x認證、PORTAL認證，支持用戶、IP、MAC、VLAN、端口等用戶標識元素的動態(tài)或靜態(tài)綁定，同時實現(xiàn)用戶策略（VLAN、QoS、ACL）的動態(tài)下發(fā)；支持配合H3C公司的CAMS系統(tǒng)對在線用戶進行實時的管理，與時的診斷和瓦解網(wǎng)絡(luò)非法行為。H3CS5500-EI系列交換機提供增強的ACL控制邏輯，支持超大容量的入端口和出端口ACL，并且支持基于VLAN的ACL下發(fā)，在簡化用戶配置過程的同時，避免了ACL資源的浪費。另外，S5500-EI系列還將支持單播反向路徑查找技術(shù)（uRPF），原理是當(dāng)設(shè)備的一個接口上收到一個數(shù)據(jù)包時，會反向查找路徑來驗證是否存在從該接收接口到包中制定的源地址之間的路由，即驗證了其真實性，如果不存在就將數(shù)據(jù)包刪除，這樣我們就可以有效杜絕網(wǎng)絡(luò)中日益泛濫的源地址欺騙?！穸嘀乜煽啃员ＷoS5500-EI系列交換機還具備設(shè)備級和鏈路級的多重可靠性保護。所有機型都支持置的雙冗余電源，其中S5500-28F-EI支持可插拔的冗余電源模塊，也就是說我們可以根據(jù)實際環(huán)境的需要靈活配置交流或直流電源模塊，此外整機還支持電源和風(fēng)扇的故障檢測與告警，可以根據(jù)溫度的變化自動調(diào)節(jié)風(fēng)扇的轉(zhuǎn)速，這些設(shè)計使我們這款盒式交換機具備了機柜式交換機的高可靠性。除了設(shè)備級可靠性以外，還支持豐富的鏈路可靠性以外，還支持豐富的鏈路可靠性技術(shù)。當(dāng)網(wǎng)絡(luò)上承載多業(yè)務(wù)、大流量的時候也不影響網(wǎng)絡(luò)的收斂時間，保證業(yè)務(wù)的正常開展?！穸鄻I(yè)務(wù)支持能力支持PoE（PoweroverEthernet）技術(shù)，通過以太網(wǎng)對所連接的設(shè)備（如IPPhone,WirelessAP等）進行遠程供電，從而使得不必在使用現(xiàn)場為設(shè)備部署單獨的電源系統(tǒng)，能夠極減少部署終端設(shè)備的布線和管理成本。支持VoiceVLAN技術(shù)，交換機通過識別端口的語音流，將對應(yīng)的接入端口加入VoiceVLAN（專用語音VLAN）中，為語音流量提供專門通道，并自動下發(fā)優(yōu)先級規(guī)則保證語音流的優(yōu)先傳輸來保證通話質(zhì)量。同時通過設(shè)置VoiceVLAN安全特性，只允許語音流量通過，可以有效防止突發(fā)數(shù)據(jù)流量對VoiceVLAN的語音流量的沖擊。H3CS5500-EI系列交換機支持MCE功能，可以有效解決多VPN網(wǎng)絡(luò)帶來的用戶數(shù)據(jù)安全與網(wǎng)絡(luò)成本之間的矛盾，它使用CE設(shè)備本身的VLAN接口編號與網(wǎng)絡(luò)的VPN進行綁定，并為每個VPN創(chuàng)建和維護獨立的路由轉(zhuǎn)發(fā)表（Multi-VRF）。這樣不但能夠隔離私網(wǎng)不同VPN的報文轉(zhuǎn)發(fā)路徑，而且通過與PE間的配合，也能夠?qū)⒚總€VPN的路由正確發(fā)布至對端PE，保證VPN報文在公網(wǎng)的傳輸。●豐富的QoS策略H3CS5500-EI系列交換機支持支持L2（Layer2）~L4（Layer4）包過濾功能，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP端口號、協(xié)議類型、VLAN的流分類。提供靈活的對列調(diào)度算法，可以同時基于端口和隊列進行設(shè)置，支持SP（StrictPriority）、WRR（WeightedRoundRobin）、SP+WRR三種模式。支持CAR（CommittedAccessRate）功能，粒度最小達64Kbps。支持出、入兩個方向的端口鏡像，用于對指定端口上的報文進行監(jiān)控，將端口上的數(shù)據(jù)包復(fù)制到監(jiān)控端口，以進行網(wǎng)絡(luò)檢測和故障排除?！癯錾墓芾硇訦3CS5500-EI系列交換機支持SNMPv1/v2/v3（SimpleNetworkManagementProtocol），可支持OpenView等通用網(wǎng)管平臺以與iMC智能管理中心。支持CLI命令行，Web網(wǎng)管，TELNET，HGMP，使設(shè)備管理更方便，并且支持SSH2.0等加密方式，使得管理更加安全H3CS5500-EI系列交換機支持基于MAC地址劃分VLAN，很好的解決了移動辦公的智能靈活管理；結(jié)合特有的基于全局和VLAN下發(fā)ACL策略，在簡化用戶配置的同時，也大幅節(jié)約了硬件資源。該系列交換機還支持sFlow功能，可以對出入方向的報文按比例隨機抽樣，靈活實現(xiàn)報文采集。支持特性交換容量（全雙工）S5500-28C-EI192Gbps包轉(zhuǎn)發(fā)率（整機）95.2Mpps外形尺寸（長×寬×高）（單位：mm）重量440×300×43.64kg管理端口1個Console口24個10/100/1000Base-T以太網(wǎng)端口4個復(fù)用的1000Base-X千兆SFP端口業(yè)務(wù)端口描述雙機熱備份軟件ROSEFORWINDOWS8.5版本RoseHA雙機系統(tǒng)的兩臺服務(wù)器（主機）都與磁盤陣列（共享存儲）系統(tǒng)直接連接，用戶的操作系統(tǒng)、應(yīng)用軟件和RoseHA高可用軟件分別安裝在兩臺主機上，數(shù)據(jù)庫等共享數(shù)據(jù)存放在存儲系統(tǒng)上，兩臺主機之間通過私用心跳網(wǎng)絡(luò)連接。配置好的系統(tǒng)主機開始工作后，RoseHA軟件開始監(jiān)控系統(tǒng)，通過私用網(wǎng)絡(luò)傳遞的心跳信息，每臺主機上的RoseHA軟件都可監(jiān)控另一臺主機的狀態(tài)。當(dāng)工作主機發(fā)生故障時，心跳信息就會產(chǎn)生變化，這種變化可以通過私用網(wǎng)絡(luò)被RoseHA軟件捕捉。當(dāng)捕捉到這種變化后RoseHA就會控制系統(tǒng)進行主機切換，即備份機啟動和工作主機一樣的應(yīng)用程序接收工作主機的工作（包括提供TCP/IP網(wǎng)絡(luò)服務(wù)、存儲系統(tǒng)的存取等服務(wù)）并進行報警，提示管理人員對故障主機進行維修。當(dāng)維修完畢后，可以根據(jù)RoseHA的設(shè)定自動或手動再切換回來，也可以不切換，此時維修好的主機就作為備份機，雙機系統(tǒng)繼續(xù)工作。RoseHA實現(xiàn)容錯功能的關(guān)鍵在于，對客戶端來說主機是透明的，當(dāng)系統(tǒng)發(fā)生錯誤而進行切換時，即主機的切換在客戶端看來沒有變化，所有基于主機的應(yīng)用都仍然正常運行。RoseHA采用了虛擬IP地址映射技術(shù)來實現(xiàn)此功能?？蛻舳送ㄟ^虛擬地址和工作主機通訊，無論系統(tǒng)是否發(fā)生切換，虛擬地址始終指向工作主機。在進行網(wǎng)絡(luò)服務(wù)時，RoseHA提供一個邏輯的虛擬地址，任何一個客戶端需要請求服務(wù)時只需要使用這個虛擬地址。正常運行時，虛擬地址與網(wǎng)絡(luò)服務(wù)由主服務(wù)器提供。當(dāng)主服務(wù)器出現(xiàn)故障時，RoseHA會將虛擬地址轉(zhuǎn)移到另外一臺服務(wù)器的網(wǎng)卡上，繼續(xù)提供網(wǎng)絡(luò)服務(wù)。切換完成后，在客戶端看來系統(tǒng)并沒有出現(xiàn)故障，網(wǎng)絡(luò)服務(wù)仍然可以使用。除IP地址外，HA還可以提供虛擬的計算機別名供客戶端訪問。對于數(shù)據(jù)庫服務(wù)，當(dāng)有主服務(wù)器出現(xiàn)故障時，另外一臺服務(wù)器就會自動接收，同時啟動數(shù)據(jù)庫和應(yīng)用程序，使用戶數(shù)據(jù)庫可以正常操作。RoseHA雙機系統(tǒng)的兩臺服務(wù)器（主機）都與磁盤陣列（共享存儲）系統(tǒng)直接連接，用戶的操作系統(tǒng)、應(yīng)用軟件和RoseHA高可用軟件分別安裝在兩臺主機的部存儲（硬盤）上，數(shù)據(jù)庫等共享數(shù)據(jù)存放在存儲系統(tǒng)上，兩臺主機之間通過私用心跳網(wǎng)絡(luò)連接。系統(tǒng)主機開始工作后，RoseHA軟件開始監(jiān)控系統(tǒng)，通過私用網(wǎng)絡(luò)傳遞的心跳信息，每臺主機上的RoseHA軟件隨時監(jiān)控另一臺主機的狀態(tài)。當(dāng)工作主機發(fā)生故障時，心跳信息就會產(chǎn)生變化，這種變化可以通過私用網(wǎng)絡(luò)傳遞到備份機的RoseHA軟件。之后，RoseHA就會控制系統(tǒng)進行服務(wù)切換，備份機啟動和工作主機一樣的應(yīng)用程序，接收工作主機的工作（包括提供TCP/IP網(wǎng)絡(luò)服務(wù)、文件共享、數(shù)據(jù)庫等服務(wù)），并進行報警提示管理人員對故障主機進行維護。當(dāng)維護完畢后，RoseHA可以自動或手動地將切換回原先的工作主機。也可以選擇不切換，此時維修好的主機就作為備份機，雙機系統(tǒng)繼續(xù)工作。下面是雙機高可用系統(tǒng)的架構(gòu)圖：解決方案優(yōu)點：●對服務(wù)器硬件配置要求不高，可以根據(jù)應(yīng)用情況采用不同型號或配置。●系統(tǒng)切換時間短，最大程度減少業(yè)務(wù)中斷的影響?！袂袚Q過程對應(yīng)用程序無影響，無需重新啟動或登錄，做到無人值守?！裣到y(tǒng)效率高，系統(tǒng)中數(shù)據(jù)讀寫、管理與容錯由磁盤陣列來完成。而系統(tǒng)服務(wù)器故障監(jiān)控切換處理由HA軟件來完成。雙機監(jiān)控依靠RS232線路或?qū)Ｓ?00/1000M自適應(yīng)網(wǎng)卡線路，既不占用主機CPU資源也不占用基礎(chǔ)業(yè)務(wù)網(wǎng)絡(luò)帶寬，是RoseHA的特色功能，在實際的應(yīng)用中得到用戶的一致好評?！裰С重S富的應(yīng)用配置，如：Oracle、SQLServer、Sybase、Exchange等?！裼布刹捎脵C架式結(jié)構(gòu)，便于維護管理。RoseHA主要功能特點●友好的界面RoseHA提供了友好直觀的圖形安裝界面和監(jiān)控管理界面。通過直觀而又方便的JavaApplet管理界面，用戶可以交互式地對集群系統(tǒng)進行配置、監(jiān)控和管理，并可以利用Applet的網(wǎng)絡(luò)特性，通過網(wǎng)絡(luò)對系統(tǒng)進行遠程管理，實時地顯示出主機系統(tǒng)與服務(wù)的狀態(tài)●靈活的Active-Active模式和Active-Standby模式RoseHA支持Active-Active模式和Active-Standby模式。用戶可指定每臺服務(wù)器的作用（activeorstandby），指定要監(jiān)控的服務(wù)和硬件部分，定義指定的服務(wù)發(fā)生故障后要采取的進一步行動（如是否重新啟動該服務(wù)、允許的最大啟動時間等）。●支持多條心跳路徑可以將網(wǎng)線和RS-232串口線作為在RoseHA軟件的心跳路徑。配置多條心跳路徑可以避免系統(tǒng)的單點故障?！褡詣忧袚Q當(dāng)系統(tǒng)出現(xiàn)故障時（如：系統(tǒng)宕機、HA進程/應(yīng)用進程被殺掉、RS-232、SCSI、光纖、網(wǎng)絡(luò)線纜斷開），RoseHA將確定故障原因，并采取相應(yīng)對策，并將這些應(yīng)用切換到備份服務(wù)器上。而故障服務(wù)器中未受影響的應(yīng)用不會被切換，既不會受任何影響。不需要系統(tǒng)管理員干預(yù)?！褡詣訖z測在集群系統(tǒng)的每一臺服務(wù)器，RoseHA具有兩個核心進程，它們互相監(jiān)控，如果其中一個進程失敗，另一個進程會立即進行恢復(fù)?！穹?wù)器可靠性在主服務(wù)器出現(xiàn)故障（如掉電或宕機）時，另外一臺服務(wù)器接收故障服務(wù)器上運行的所有的關(guān)鍵性應(yīng)用?！窬W(wǎng)絡(luò)可靠性如果服務(wù)器的網(wǎng)絡(luò)部分發(fā)生故障，會導(dǎo)致客戶不能連接和訪問到服務(wù)器，這同樣是致命的故障。如果該服務(wù)器配備了冗余的網(wǎng)絡(luò)接口，RoseHA會使用它來恢復(fù)網(wǎng)絡(luò)連接。在沒有配備冗余的網(wǎng)絡(luò)接口，或者所有的網(wǎng)絡(luò)接口均出現(xiàn)故障時，HA會將該應(yīng)用切換到另外一臺服務(wù)器上。切換完成后，客戶在短暫的切換過程后能夠繼續(xù)訪問所需的服務(wù)?！翊鎯煽啃孕枰獙?yīng)用的全部數(shù)據(jù)存儲在兩臺服務(wù)器都能訪問到的共享磁盤中。建議使用磁盤陣列來存儲數(shù)據(jù)，這樣可以避免單點固障，而且便于對系統(tǒng)的容量進行擴充。對由VolumeManager軟件管理的磁盤陣列，RoseHA提供了相應(yīng)的處理程序，以保證磁盤陣列與數(shù)據(jù)的可靠性?！駪?yīng)用可靠性在高可用性系統(tǒng)中可以運行多個應(yīng)用。每一個應(yīng)用是作為一個服務(wù)而存在的。在服務(wù)器中，當(dāng)某個服務(wù)失敗而其它服務(wù)正常運行時，RoseHA將處理這個失敗的服務(wù)。在將這個服務(wù)切換到另一臺服務(wù)器上時，該服務(wù)器上運行的服務(wù)也不會受到影響。對于與網(wǎng)絡(luò)不相關(guān)的純數(shù)據(jù)應(yīng)用，只需要切換數(shù)據(jù)存儲和數(shù)據(jù)處理軟件。而在與網(wǎng)絡(luò)相關(guān)的客戶機/服務(wù)器應(yīng)用，除了要切換數(shù)據(jù)存儲和數(shù)據(jù)處理軟件外，還需要切換相關(guān)的虛擬IP。如果希望兩個服務(wù)獨立地進行切換，則此兩個IP地址不能相同。如果使用了相同的IP地址，在發(fā)生切換時，RoseHA會將所有使用該IP的服務(wù)都切換到另外一臺服務(wù)器上去。●豐富的附加功能提供不同的針對特定應(yīng)用的Agent程序，使服務(wù)監(jiān)控更切實際，更加有效；提供用于開發(fā)Agent程序的應(yīng)用程序界面（API），使用者可針對特定的服務(wù)編寫Agent程序，執(zhí)行與特定服務(wù)相關(guān)的狀態(tài)診斷與錯誤恢復(fù)工作的。SQLServer2008R2●概述MicrosoftSQLServer2008提供了有助于有效管理安全性功能配置、強身份驗證和訪問控制的安全性增強功能、功能強大的加密和密鑰管理功能，以與增強型審核功能。重大的新功能l使用基于策略的管理，針對企業(yè)的數(shù)據(jù)來管理與檢測不符合安全策略的情況l不需修改應(yīng)用程序即可使用透明數(shù)據(jù)加密來加密數(shù)據(jù)l使用可擴展密鑰管理和硬件安全性模塊，利用整個企業(yè)的加密解決方案l使用SQLServerAudit實現(xiàn)高性能的細微審核●維護企業(yè)中數(shù)據(jù)的安全使用預(yù)設(shè)為安全且在部署中為安全的數(shù)據(jù)庫解決方案來保護數(shù)據(jù)的安全。1.使用自動化基于策略的管理來設(shè)定接口區(qū)使用基于策略的管理，針對企業(yè)的服務(wù)器、數(shù)據(jù)庫和數(shù)據(jù)庫對象來確認符合配置策略。使用新的接口區(qū)Facet控制使用中的服務(wù)和功能，以降低暴露在安全性威脅下的機會。2.自動應(yīng)用軟件更新使用WindowsUpdate自動更新SQLServer2008。減少已知軟件弱點所造成的威脅?！窨刂茖?shù)據(jù)資源的訪問有效管理驗證和授權(quán)以與只提供訪問權(quán)給需要的用戶，藉此來取得數(shù)據(jù)的控制權(quán)。1.強制實行密碼策略自動應(yīng)用MicrosoftWindowsServer2003(或更新版本)的密碼策略，以強制實行最小密碼長度、適當(dāng)?shù)淖址M合以與定期變更的密碼，即便使用SQLServer登入也是。2.使用角色和Proxy賬戶使用msdb數(shù)據(jù)庫的固定數(shù)據(jù)庫角色，增加對于代理程序服務(wù)的控制權(quán)使用多個Proxy，讓當(dāng)做作業(yè)步驟的SQLServerIntegrationServices(SSIS)封裝執(zhí)行更安全3.提供安全性增強型元數(shù)據(jù)訪問使用目錄視圖來提供對于元數(shù)據(jù)的安全性增強訪問，好讓用戶只針對他們具有訪問權(quán)的對象來查看元數(shù)據(jù)4.使用執(zhí)行容來增強安全性功能使用執(zhí)行容標示模塊，以便使用特定的用戶身分(而不是調(diào)用的用戶身分)來執(zhí)行模塊的語句授與調(diào)用的用戶執(zhí)行模塊的權(quán)限，但是針對模塊的語句使用執(zhí)行容的權(quán)限5.簡化權(quán)限管理使用架構(gòu)來簡化與改良大型數(shù)據(jù)庫的彈性。給某個架構(gòu)授與權(quán)限，以便將權(quán)限授與給此架構(gòu)所包含的每一個對象，以與未來在此架構(gòu)置立的每一個對象?！窦用苊舾袛?shù)據(jù)通過置密碼編譯功能與對于企業(yè)密鑰管理解決方案的支持來保護敏感數(shù)據(jù)。1.充分利用置密碼編譯層次結(jié)構(gòu)在SQLServer2008中使用置密碼編譯層次結(jié)構(gòu)來創(chuàng)建非對稱密鑰、對稱密鑰和憑證2.以透明方式加密數(shù)據(jù)通過安全性增強型數(shù)據(jù)庫加密密鑰(DEK)，以透明方式在數(shù)據(jù)庫層次結(jié)構(gòu)執(zhí)行所有加密，讓開發(fā)需要加密數(shù)據(jù)的應(yīng)用程序復(fù)雜度降低。讓應(yīng)用程序開發(fā)人員訪問加密的數(shù)據(jù)，而不需要變更現(xiàn)有的應(yīng)用程序。3.利用可擴展密鑰管理使用企業(yè)密鑰管理系統(tǒng)來聚合企業(yè)加密。使用硬件安全性模塊，將密鑰存放在不同的硬件上，好讓您的數(shù)據(jù)與密鑰分開。使用專門系統(tǒng)來簡化密鑰管理。4.簽署程序代碼模塊使用密鑰或憑證，將數(shù)字簽名添加到程序代碼模塊(如存儲結(jié)構(gòu)和函數(shù))，然后在程序代碼模塊執(zhí)行期間，將其他權(quán)限與此簽章產(chǎn)生關(guān)●審核數(shù)據(jù)庫活動為了可說明性和符合性來審核數(shù)據(jù)庫系統(tǒng)中的活動。1.使用SQLServerAudit進行增強型審核定義審核，自動將活動記錄在記錄文件、Windows應(yīng)用程序記錄文件或Windows安全日志中。創(chuàng)建審核規(guī)格來判斷要并入審核的服務(wù)器和數(shù)據(jù)庫動作，以獲取審核的完全控制權(quán)。2.使用DDL觸發(fā)程序創(chuàng)建自定義審核解決方案使用觸發(fā)程序捕獲與審核數(shù)據(jù)定義語言(DDL)活動。擴充觸發(fā)程序來響應(yīng)DDL事件和數(shù)據(jù)操作語言(DML)事件，并記錄DDL事件，以改善審核與增強安全性。WindowsServer2003R2●WindowsServer2003R2安全性概述微軟公司在MicrosoftWindows2003Server安全性技術(shù)方面做出的創(chuàng)新給客戶帶來了全新的體驗，不但可幫助客戶建立立即可用的安全連接基礎(chǔ)架構(gòu)，更能幫助客戶建立、部署和管理其它的安全解決方案。微軟公司進行了許多工程設(shè)計上的改變，調(diào)整多項影響安全的系統(tǒng)默認值設(shè)定，并提供多項可以增強Windows平臺安全性的新功能和新技術(shù)。Windows2003Server以安全為理念重新設(shè)計了許多組件，而這些組件也建構(gòu)出以安全為主要目標的創(chuàng)新。Windows2003Server由基于全新的安全設(shè)計原則的組件構(gòu)成：1.InternetInformationServices(IIS)6.0。經(jīng)過重新設(shè)計，允許應(yīng)用程序或Webservices的