基礎運行環(huán)境建設方案

PAGE33基礎運行環(huán)境建設方案項目現(xiàn)狀基礎運行環(huán)境現(xiàn)狀XXXX信息化系統(tǒng)將根據(jù)XXXX電子政務網(wǎng)絡平臺建設的統(tǒng)一規(guī)劃和本期工程實際需求建設。XXXX電子政務網(wǎng)絡平臺包括XXXX網(wǎng)絡中心、京內(nèi)非本院區(qū)內(nèi)各所局域網(wǎng)、京外各所局域網(wǎng)，如上圖所示，院內(nèi)各所通過現(xiàn)有光纖連入院網(wǎng)絡中心，京內(nèi)非本院區(qū)內(nèi)各所和京外各所通過在互聯(lián)網(wǎng)建立VPN加密通道的方式接入院網(wǎng)絡中心，在XXXX信息化項目的三個應用系統(tǒng)中，所有的數(shù)據(jù)均通過XXXX局域網(wǎng)和互聯(lián)網(wǎng)來傳輸。本期工程重點建設院網(wǎng)絡中心核心交換區(qū)及互聯(lián)網(wǎng)接入?yún)^(qū)域。院網(wǎng)絡中心服務器及網(wǎng)絡設備現(xiàn)狀如下圖所示：系統(tǒng)用戶范圍XXXX信息化系統(tǒng)用戶大致分以下三類：1、外網(wǎng)用戶。外網(wǎng)用戶對系統(tǒng)的訪問主要集中在教育資源管理與遠程教育服務子系統(tǒng)和農(nóng)業(yè)科技文獻資源共享子系統(tǒng)兩個方面。由于外網(wǎng)用戶具有不確定性，根據(jù)用戶對教育資源信息和農(nóng)業(yè)科技資源信息的實際需求，預計項目建成后，外網(wǎng)用戶對兩個子系統(tǒng)的日均訪問量將分別達到4500人次和9000人次。外網(wǎng)用戶訪問次數(shù)約為每年500萬；2、注冊用戶。注冊用戶是指注冊使用XXXX信息化系統(tǒng)的用戶，根據(jù)對院人事局的調(diào)研，預計本項目建成后，注冊用戶總計約為11000人，其中：京內(nèi)注冊用戶約為6500人，京外注冊用戶約為4500人；3、京內(nèi)外院所非注冊用戶。是指基于IP約束可以訪問XXXX信息化系統(tǒng)的用戶，根據(jù)對院人事局的調(diào)研，大約10000人?，F(xiàn)有可利用設備情況XXXX院內(nèi)網(wǎng)目前設備頭用運行情況如下：項目需求分析服務器系統(tǒng)需求（1）數(shù)據(jù)庫服務器本工程所配置核心數(shù)據(jù)區(qū)數(shù)據(jù)庫服務器主要用于科研項目與科研條件管理子系統(tǒng)、農(nóng)業(yè)科研儀器設備信息共享與服務子系統(tǒng)、電子政務子系統(tǒng)、人力資源管理子系統(tǒng)、綜合財務管理與監(jiān)督子系統(tǒng)、基本建設項目管理子系統(tǒng)運行所需完成的各類數(shù)據(jù)處理工作。為合理選擇數(shù)據(jù)庫服務器的技術指標，以下采用業(yè)界較為通用的方法對數(shù)據(jù)庫服務器的計算能力進行初步估算。（1）計算公式根據(jù)性能需求分析并基于TPC-C的經(jīng)驗公式對數(shù)據(jù)庫服務器CPU性能要求進行初步估算。其計算公式為：tpmC=TASK×Ct×S×F/[T×(1－C)]注：TASK為每日業(yè)務統(tǒng)計峰值交易量；Ct為交易日集中期內(nèi)交易量比例；T為每日峰值交易時間；S為實際業(yè)務交易操作相對于TPC-C測試基準環(huán)境交易的復雜程度比例；C為主機CPU處理余量；F為系統(tǒng)未來5年的業(yè)務量發(fā)展冗余預留。（2）參數(shù)賦值原則及主要估算方法TASK值以主要業(yè)務操作的日均業(yè)務處理量為基數(shù)進行計算，根據(jù)以下公式計算：TASK=日均業(yè)務處理量×平均每次訪問對應數(shù)據(jù)庫事務數(shù)×業(yè)務高峰期交易量與平均交易量的比值其中，數(shù)據(jù)庫服務器的日均業(yè)務處理量的估算方法如下：數(shù)據(jù)庫服務器主要需響應的業(yè)務操作包括科研項目與科研條件管理、農(nóng)業(yè)科研儀器設備共享、日常辦公管理、人力資源管理、綜合財務管理與監(jiān)督、基本建設項目管理等六個方面，每個方面的業(yè)務量估算如下：科研項目與科研條件管理所產(chǎn)生的操作主要有：XXXX各直屬研究所工作人員每次申報科研項目引起的項目信息錄入操作、院機關工作人員每天查詢科研項目信息和科研條件信息的查詢操作。參考2009年全院科研項目數(shù)量為1000項，假設平均每個院所每天對每個項目的管理引起5次對數(shù)據(jù)庫的操作，即日操作量為210000次；農(nóng)業(yè)科研儀器設備共享所產(chǎn)生的操作主要有：XXXX各直屬研究所工作人員每次提交科研儀器設備租借、調(diào)用申請所引起的租用需求信息錄入操作，租用儀器設備所引起的操作確認信息的錄入操作，儀器設備租借狀態(tài)查詢操作，以及儀器設備歸還所引起的租借注銷操作。假設平均每個研究所每天對農(nóng)業(yè)科研儀器共享引起10次對數(shù)據(jù)庫的操作，即日操作量為410次；日常辦公管理所產(chǎn)生的操作主要有：XXXX機關及各直屬研究所每次公文收發(fā)和日常管理所引起的操作。假設平均每個研究所每天的日常辦公引起10次對數(shù)據(jù)庫的操作，即日操作量為47210次；人力資源管理所產(chǎn)生的操作主要有：XXXX機關及各直屬研究所工作人員每天對人力資源信息的錄入、編輯和查詢操作。截止到2006年底，XXXX科技人員數(shù)量為4721人，假設平均每個研究所每天對每個XXXX員工信息進行編輯和查詢引起2次對數(shù)據(jù)庫的操作，即日操作量為9442次；綜合財務管理與監(jiān)督所產(chǎn)生的操作主要有：XXXX機關及各直屬研究所用款計劃申報所引起的財務信息錄入。參考2009年全院科研項目數(shù)量為1000項，假設平均每個科研項目每天的財務信息申報引起10次對數(shù)據(jù)庫的操作，即日操作量為10000次?；窘ㄔO項目管理所產(chǎn)生的操作主要有：XXXX機關及各直屬研究所基建項目申報、審批及過程跟蹤所引起的基建項目信息錄入和查詢操作。參考2009年全院基建項目數(shù)量為1000項，假設平均每個基建項目每天的財務信息申報引起10次對數(shù)據(jù)庫的操作，即日操作量為10000次。根據(jù)相關經(jīng)驗，其中平均每次訪問對應數(shù)據(jù)庫事務數(shù)約為20，業(yè)務高峰期交易量與平均交易量的比值按照各類業(yè)務操作的特點，按3～10倍取值，即較多日常作業(yè)的取值較低，突發(fā)業(yè)務量較高的取值較高；Ct值和T值分別依據(jù)不同系統(tǒng)用戶每天主要工作時段的長度，以及主要工作時段內(nèi)完成操作量占每日總操作量的百分比來確定。主要工作時間長度為T（分鐘），百分比即為Ct。根據(jù)相關經(jīng)驗與科研管理業(yè)務特點，取T為360，Ct為經(jīng)驗值70%；S值根據(jù)不同業(yè)務的復雜程度進行確定，一般取10～20之間，其中一般查詢、數(shù)據(jù)修改操作取值較低，涉及到復合條件查詢、統(tǒng)計分析的操作取值較高；F值通過年增長率計算獲得，年增長量按10%估算；C值根據(jù)相關工程的經(jīng)驗，并考慮將來其他業(yè)務系統(tǒng)的加載，取75%。（3）計算結果根據(jù)以上計算方法、取值原則對本項目所建各類系統(tǒng)的處理能力要求進行計算，得出核心數(shù)據(jù)區(qū)數(shù)據(jù)庫服務器的TPMC值約為80萬。（2）應用服務器主要用于響應B/S架構下科研項目與科研條件管理子系統(tǒng)、電子政務子系統(tǒng)、人力資源管理子系統(tǒng)、綜合財務管理與監(jiān)督子系統(tǒng)、教育資源管理與遠程教育服務子系統(tǒng)、基本建設項目管理子系統(tǒng)、網(wǎng)站集成管理子系統(tǒng)、農(nóng)業(yè)科研儀器設備信息共享與服務子系統(tǒng)、科研網(wǎng)絡協(xié)作系統(tǒng)等系統(tǒng)客戶端的業(yè)務邏輯處理請求，并維護應用系統(tǒng)與數(shù)據(jù)庫之間的通信。根據(jù)相關工程經(jīng)驗，9類應用系統(tǒng)的應用服務器的SPECjbb2005值應不低于4,000bops。（2）Web服務器主要用于提供網(wǎng)頁信息瀏覽服務，即專門處理HTTP請求，響應用戶的應用訪問，并向用戶瀏覽器發(fā)送HTML提供信息瀏覽。由于本項目所建設的科研項目與科研條件管理子系統(tǒng)、農(nóng)業(yè)科研儀器設備信息共享與服務子系統(tǒng)、電子政務子系統(tǒng)、人力資源管理子系統(tǒng)、綜合財務管理與監(jiān)督子系統(tǒng)、基本建設項目管理子系統(tǒng)等均承載了大量XXXX院所用戶的并發(fā)訪問，因此為減輕應用服務器的負荷，提高系統(tǒng)響應能力，需為以上系統(tǒng)配置單獨的Web服務器。根據(jù)上述數(shù)據(jù)庫服務器性能要求中對主要業(yè)務處理量的分析可知，Web服務器每天工作時段內(nèi)平均需響應用戶訪問350,000次。根據(jù)相關工程經(jīng)驗，Web服務器的SPECweb2005值應不低于30,000。存儲備份系統(tǒng)需求系統(tǒng)存儲容量主要根據(jù)網(wǎng)絡日志、應用數(shù)據(jù)庫、系統(tǒng)及應用日志和數(shù)據(jù)備份四部分進行估算。1、網(wǎng)絡日志網(wǎng)絡日志主要是保留用戶對于系統(tǒng)內(nèi)的服務器的網(wǎng)絡訪問日志，按照20Mbps的流量計算，每秒按字節(jié)計算產(chǎn)生20Mb/8=2.5MB，每天的日志容量為2.5MB*3600*24=216GB，按照保留一周計算則每周產(chǎn)生216GB*7=1.5TB。2、應用數(shù)據(jù)庫各應用數(shù)據(jù)庫容量是XXXX信息化基礎數(shù)據(jù)庫及各業(yè)務應用系統(tǒng)的數(shù)據(jù)量的總和，經(jīng)初步估算，全部工程的信息總量在系統(tǒng)建設初期約為1TB，考慮到系統(tǒng)5年的發(fā)展，系統(tǒng)存儲總量應考慮在5年內(nèi)擴展到2TB。3、系統(tǒng)及應用日志根據(jù)對現(xiàn)有應用系統(tǒng)的考察，目前XXXX網(wǎng)每天WEB訪問日志量為40MB，考慮保留一年的總量為40MB*365=15GB，而院所信息化項目擁有大量子系統(tǒng)，按照10倍于現(xiàn)有XXXX的WEB訪問日志，則系統(tǒng)及應用日志容量應為15GB*10=150GB。4、總計所需存儲空間=1500GB+2000GB+150GB=3650GB。按照RAID0+1冗余配置，實際需求容量=RAID利用率系統(tǒng)*所需存儲空間/60%=2*3650GB/60%=12.17TB根據(jù)數(shù)據(jù)量估算，本項目實施后，XXXX5年內(nèi)將累計數(shù)據(jù)量約為12.17TB，考慮10%的不可預見因素，數(shù)據(jù)存儲容量至少要求為13.39TB。同時，由于數(shù)據(jù)區(qū)存儲系統(tǒng)需要支撐信息資源的管理和對外發(fā)布功能，一方面要求存儲系統(tǒng)具備快速響應能力與較高的傳輸帶寬，另一方面建立信息資源庫會引起存儲空間的大量占用（需要在原始數(shù)據(jù)基礎上新增大量冗余數(shù)據(jù)以輔助數(shù)據(jù)挖掘），考慮未來幾年信息資源庫的容量占用，存儲空間至少應達到15TB?？紤]到系統(tǒng)的安全性，應建立可靠的數(shù)據(jù)備份系統(tǒng)。網(wǎng)絡系統(tǒng)需求網(wǎng)絡信息流可分為寬帶信息流和窄帶信息流兩種類型。寬帶信息流主要為音視頻信息；窄帶信息流一般是HTTP、HTTPS、SMTP、POP、IMAP、FTP等。從本項目的建設階段來看，初期窄帶應用的比率更高一些，但寬帶業(yè)務也會逐漸增加。目前網(wǎng)絡上80%的信息是窄帶信息，20%的應用是寬帶應用。在80%窄帶應用中，主要應用以查詢?yōu)橹鳎℉TTP），約占85%；其次是收發(fā)郵件(POP、SMTP、IMAP、MIME)，約占10%；其它應用（如FTP等）占5%。不同的協(xié)議對帶寬的依賴不同，基本情況如下：窄帶應用：HTTP窄帶訪問鏈接需求帶寬約30Kbps，F(xiàn)TP連接下載需求帶寬約為50Kbps，EMAIL的上傳和下載需求帶寬為40Kbps，收聽音頻廣播的應用需求帶寬約為14Kbps。以下按平均每一連接40Kbps進行估算。寬帶應用：視頻點播服務需求帶寬約為1.5Mbps；視頻會議服務需求帶寬約為384Kbps。（1）窄帶應用帶寬分析同一時刻訪問進行窄帶操作的為同時上網(wǎng)人數(shù)的10%，則按高峰期并發(fā)訪問量為2000個連接，因此窄帶應用的帶寬需求為：2000x40Kbps=80Mbps（2）寬帶應用帶寬分析寬帶應用主要是視頻點播服務，一個流的帶寬需求為1.5Mbps。由于一個視頻點播持續(xù)的時間比較長，所以可以認為視頻流的需求是同時的。如果同時有82個視頻服務需求，則寬帶應用帶寬需求為：1.5Mbpsx82=123Mbps（3）出口帶寬分析總流量=窄帶服務流量+寬帶服務流量。總帶寬為：80Mbps+123Mbps=203Mbps一般情況下，鏈路的實際使用率以不超過鏈路的80%為宜，則：帶寬需求為：203Mbps/0.8≈254Mbps。建設原則1．經(jīng)濟性，充分利用現(xiàn)有為投用設備，并適當利舊正常運行設備，最大化資源利用率，最大程度考慮投建成本。2．先進性和實用性?；A平臺所采用的技術具有先進性和實用性。即采用的存儲設備平臺、服務器主機平臺、系統(tǒng)軟件平臺及相關應用系統(tǒng)平臺所采用的技術應符合當前技術發(fā)展的方向。與此同時，為了保證系統(tǒng)的穩(wěn)定性，在采用先進的技術的同時考慮到成熟技術的性能，以保證在系統(tǒng)建設過程中采用的能跟蹤先進的技術的同時兼顧項目的可實施性。3．安全性?；A平臺運行系統(tǒng)的安全性包括硬件平臺的安全、系統(tǒng)安全、業(yè)務應用系統(tǒng)的安全和網(wǎng)絡通訊的安全。數(shù)據(jù)中心建設首先遵循安全可靠的原則，最大可能減少因信息基礎設施故障而造成的業(yè)務無法正常進行的現(xiàn)象的發(fā)生；同時，建設中注重信息安全體系的建設，提高數(shù)據(jù)的整體安全性，進一步保證數(shù)據(jù)安全。4．可靠性。基礎平臺硬件平臺穩(wěn)定、可靠，能夠滿足“數(shù)據(jù)集中”系統(tǒng)業(yè)務的要求。數(shù)據(jù)中心的可靠性同時也包括系統(tǒng)所具有的具體功能、系統(tǒng)所能支持的大數(shù)據(jù)容量和在復雜的運行環(huán)境里穩(wěn)定、可靠地運行，在出現(xiàn)異常的情況下系統(tǒng)具有相應的規(guī)避措施等。5．可擴展性。隨著XXXX院所信息化的發(fā)展，信息數(shù)據(jù)不斷地增多和業(yè)務應用系統(tǒng)的覆蓋面的不斷擴大，基礎平臺將承擔更大的數(shù)據(jù)管理和數(shù)據(jù)支撐任務，為此，平臺必須提供足夠的擴展能力以滿足將來業(yè)務增長的需要。其主要表現(xiàn)在在業(yè)務和數(shù)據(jù)系統(tǒng)需要擴展空間時，只增加相應的硬件，不用改動整體的架構，同時，新增的硬件可平滑地接入正在運行的系統(tǒng)。6．易管理性。由于XXXX電子政務網(wǎng)絡平臺所服務的對象的廣泛性，以及應用系統(tǒng)的復雜性，因此，為保證XXXX電子政務網(wǎng)絡平臺的順利實施，在數(shù)據(jù)中心建設時充分考慮這些特點?；A平臺用戶界面友好，各項功能使用簡單、方便、快捷。系統(tǒng)配置和管理體現(xiàn)圖形化、直觀化，盡量避免復雜的系統(tǒng)配置文件。可管理性充分體現(xiàn)在系統(tǒng)軟、硬件平臺的管理工具應提供豐富的、圖形化的管理工具，以便于管理及系統(tǒng)問題的判斷上。項目建設目標建立全院統(tǒng)一的科研資源目錄體系，并構建相應的數(shù)據(jù)庫，實現(xiàn)科研資源一體化管理，實現(xiàn)各項資源在全院范圍的唯一性和跨機構可訪問性，為應用系統(tǒng)建設提供數(shù)據(jù)基礎支撐；建設應用支撐平臺，為應用系統(tǒng)的建設和運行、科研資源的一體化管理以及內(nèi)外部用戶對院級門戶的訪問提供基礎軟件環(huán)境支撐；調(diào)整和改造現(xiàn)有的網(wǎng)絡，完成系統(tǒng)運行所需的服務器、存儲設備以及備份設備、相關設備的操作系統(tǒng)等基礎軟件，構筑系統(tǒng)安全體系，采購并部署相關的安全基礎設施，為應用系統(tǒng)的部署和運行提供基礎運行環(huán)境；對計算機房條件進行配套建設，以滿足軟硬件系統(tǒng)正常運行之需要。總體建設方案XXXX信息化系統(tǒng)基礎平臺建設根據(jù)XXXX電子政務網(wǎng)絡平臺建設的統(tǒng)一規(guī)劃和本期工程實際需求。主要應用服務建設、核心網(wǎng)絡建設和外部網(wǎng)絡接入建設三個部分。1、應用服務建設通過服務器存儲設備提供業(yè)務應用服務，包括系統(tǒng)需要的WEB服務器、應用服務器、數(shù)據(jù)庫服務器、數(shù)據(jù)存儲系統(tǒng)、數(shù)據(jù)備份系統(tǒng)。2、核心網(wǎng)絡系統(tǒng)建設，通過雙核心交換機實現(xiàn)核心的高性能和高可靠性。包括核心交換機、路由器、網(wǎng)絡安全防護等。3、XXXX網(wǎng)絡部署接入路由器、防火墻、交換機等，實現(xiàn)到兩臺核心交換機的冗余連接?；A平臺包括6大部分：應用服務區(qū)、核心網(wǎng)絡區(qū)、接入?yún)^(qū)、終端應用區(qū)。1、應用服務區(qū)：運行著是本次XXXX農(nóng)業(yè)信息研究所信息化建設的核心內(nèi)容，WEB服務器、應用服務器分別部署XXXX信息化各種應用、支撐組件、WEB服務，數(shù)據(jù)服務器為應用提供數(shù)據(jù)處理服務，存儲系統(tǒng)是容納業(yè)務數(shù)據(jù)的載體，備份系統(tǒng)提供數(shù)據(jù)安全保障。2、核心網(wǎng)絡區(qū)，核心層是XXXX院內(nèi)網(wǎng)絡、員外、其它接入網(wǎng)絡與之間互連的關鍵，采用雙交換機冗余部署，與電信廣域網(wǎng)連接采用VPN連接，考慮到網(wǎng)絡的安全性要求，將按照等級保護要求建設安全網(wǎng)絡管理體系。3、接入?yún)^(qū)接入?yún)^(qū)是包括院內(nèi)局域網(wǎng)直接接入，院外單位通過電信廣域網(wǎng)VPN接入，財務部的接入連接到XXXX路由器通過財務專線連接，國家文獻中心路由接入。本項目建設內(nèi)容主要在應用服務區(qū)、核心網(wǎng)絡區(qū)、接入?yún)^(qū)。以下對建設內(nèi)容詳細敘述。應用服務區(qū)建設包含服務器、磁盤陣列和備份設備的建設，形成立體的，成規(guī)模的信息資源存儲、備份、處理和交互的系統(tǒng)。其物理上是部署在XXXX院內(nèi)網(wǎng)的機房。目前XXXX服務器存儲設備清單：應用服務器區(qū)設計為提高主機及存儲系統(tǒng)整體性能及安全可靠性，方便管理與維護，主機及存儲系統(tǒng)應按照不同類別應用系統(tǒng)的特點和性能要求劃分為用于部署業(yè)務WEB應用系統(tǒng)、應用系統(tǒng)、的生產(chǎn)區(qū)以及用于部署數(shù)據(jù)庫系統(tǒng)、存儲系統(tǒng)及備份系統(tǒng)的數(shù)據(jù)區(qū)。主機及存儲系統(tǒng)應包含WEB服務器、應用服務器、數(shù)據(jù)庫服務器、、數(shù)據(jù)存儲備份系統(tǒng)四部分。服務器：包括WEB服務器3臺、應用服務器12臺、數(shù)據(jù)庫服務器2臺都連接到核心交換設備。其中WEB服務器分別部署XXXX科研資源管理系統(tǒng)、XXXX科研信息資源共享與服務系統(tǒng)和XXXX科研網(wǎng)絡協(xié)作系統(tǒng)，提供WEB服務。磁盤陣列：用來存放應用系統(tǒng)數(shù)據(jù)產(chǎn)生的數(shù)據(jù)，主機和存儲系統(tǒng)位于農(nóng)業(yè)科技數(shù)據(jù)分中心主機房和分機房，主機房以SAN網(wǎng)絡存儲為核心，鏈路實現(xiàn)雙冗余，SAN存儲網(wǎng)絡的光纖通道交換設備實現(xiàn)雙冗余。服務器系統(tǒng)1．Web服務器本項目所建設的科研項目與科研條件管理子系統(tǒng)、農(nóng)業(yè)科研儀器設備信息共享與服務子系統(tǒng)、電子政務子系統(tǒng)、人力資源管理子系統(tǒng)、綜合財務管理與監(jiān)督子系統(tǒng)、基本建設項目管理子系統(tǒng)等均承載了大量XXXX院所用戶的并發(fā)訪問，因此為減輕應用服務器的負荷，提高系統(tǒng)響應能力，需為以上系統(tǒng)配置單獨的Web服務器。本項目將配置工作組級PC服務器3臺，主要用于提供網(wǎng)頁信息瀏覽服務，即專門處理HTTP請求，響應用戶的應用訪問，并向用戶瀏覽器發(fā)送HTML提供信息瀏覽。2．應用服務器應用服務器主要用于響應B/S架構下科研項目與科研條件管理子系統(tǒng)、電子政務子系統(tǒng)、人力資源管理子系統(tǒng)、綜合財務管理與監(jiān)督子系統(tǒng)、教育資源管理與遠程教育服務子系統(tǒng)、基本建設項目管理子系統(tǒng)、網(wǎng)站集成管理子系統(tǒng)、農(nóng)業(yè)科研儀器設備信息共享與服務子系統(tǒng)、科研網(wǎng)絡協(xié)作系統(tǒng)等系統(tǒng)客戶端的業(yè)務邏輯處理請求，并維護應用系統(tǒng)與數(shù)據(jù)庫之間的通信。本項目需要12臺部門級PC服務器部署三大系統(tǒng)的應用層和必要的應用支撐組件。XXXX已購置12臺應用服務器，其中6臺分別部署人力資源管理子系統(tǒng)、教育資源管理與遠程教育服務子系統(tǒng)、基本建設項目管理子系統(tǒng)、農(nóng)業(yè)科研儀器設備信息共享與服務子系統(tǒng)、網(wǎng)站集成管理子系統(tǒng)、科研網(wǎng)絡協(xié)作系統(tǒng)；考慮到電子政務子系統(tǒng)的重要性，以2臺以雙機集群形式部署電子政務子系統(tǒng)、4臺部署應用支撐平臺相關組件（其中2臺為雙機集群，部署數(shù)據(jù)交換和數(shù)據(jù)分析相關組件）。3．數(shù)據(jù)庫服務器集群核心數(shù)據(jù)庫/應用服務器布署在整個網(wǎng)絡系統(tǒng)的核心區(qū)域，邏輯上位于整個應用系統(tǒng)的數(shù)據(jù)核心層，可靠問題是十分重要的，所以在系統(tǒng)設計上，中心主機采用兩臺小型機、共享SAN磁盤陣列的架構方式，運行數(shù)據(jù)庫應用。根據(jù)系統(tǒng)應用的規(guī)模，而且考慮到了業(yè)務的變化、增加，在選擇服務器時必須預留處理能力的擴展空間，設計使用2臺IBM高性能、高可靠性、多處理器的SMP體系結構的unix服務器IBMP550作為核心數(shù)據(jù)庫/應用服務器，完全滿足系統(tǒng)未來擴展的需要。配置千兆網(wǎng)卡和光纖通道卡實現(xiàn)與網(wǎng)絡和存儲區(qū)域網(wǎng)的高速連接。數(shù)據(jù)軟件采用Oracle11G。將2臺小型機組建雙機熱備的數(shù)據(jù)庫服務器集群，用于部署科研項目與科研條件管理子系統(tǒng)、農(nóng)業(yè)科研儀器設備信息共享與服務子系統(tǒng)、電子政務子系統(tǒng)、人力資源管理子系統(tǒng)、基本建設項目管理子系統(tǒng)等業(yè)務系統(tǒng)的應用支撐數(shù)據(jù)庫，并相應部署數(shù)據(jù)庫管理系統(tǒng)軟件。雙機集群有多種方式選擇雙機熱備，即active/standby方式，服務器數(shù)據(jù)包括數(shù)據(jù)庫數(shù)據(jù)同時往兩臺或多臺服務器寫，保證數(shù)據(jù)的即時同步，當active服務器出現(xiàn)故障的時候，通過軟件診測或手工方式將standby機器激活，保證應用在短時間內(nèi)完全恢復正常使用。典型應用在證券資金服務器或行情服務器。cluster其中一種形式。雙機互備，兩個相對獨立的應用在兩臺機器同時運行，但彼此均設為備機，當某一臺服務器出現(xiàn)故障時，另一臺服務器可以在短時間內(nèi)將故障服務器的應用接管過來，從而保證了應用的持續(xù)性，但對服務器的性能要求比較高。配置相對要好。雙機雙工，即目前的cluster的一種形式，兩臺或多臺服務器均為活動，同時運行相同的應用，保證整體的性能，也實現(xiàn)了負載均衡和互為備份。需要利用磁盤柜存儲技術（最好采用san）。WEB服務器或FTP服務器等用此種方式比較多。因此，考慮到以上因素以及本工程建設實際，結合XXXX后續(xù)信息化建設對數(shù)據(jù)庫服務器性能的擴展需要，本項目推薦采用小型機組建雙機熱備的數(shù)據(jù)庫服務器系統(tǒng)。存儲備份系統(tǒng)1、存儲系統(tǒng)XXXX農(nóng)業(yè)信息研究所網(wǎng)絡中心已建的FCSAN存儲系統(tǒng)均已充分承載了相關業(yè)務應用，2T的存儲空間占用率已接近100%，通過對現(xiàn)有設備升級、擴容均無法滿足本項目對FCSAN存儲系統(tǒng)高性能、高可靠、大容量的存儲需求。因此，本項目已購置了容量15TB的高性能光纖磁盤陣列1套，光纖交換機2臺，連同新購置的2臺小型機，組建為核心數(shù)據(jù)區(qū)存儲系統(tǒng)。2、備份系統(tǒng)備份服務器建議采用現(xiàn)有的可以利舊的服務器，該服務器安裝備份軟件，通過光纖卡接入到SAN交換機，虛擬磁帶庫通過光口連接到光纖交換機，組建SAN架構的備份系統(tǒng)圖如下：硬件物理部署服務器及存儲設備分別部署在服務器機柜1、服務器機柜2、服務器機柜3中，下圖是初步部署位置設計圖紙（可根據(jù)現(xiàn)場情況和用戶需求調(diào)整），如下圖所示：服務器存儲應用軟件部署核心網(wǎng)絡區(qū)建設網(wǎng)絡基礎設施是院所信息化建設的基礎，為最大化保護已有投資和節(jié)約項目預算，應考慮充分利用和升級現(xiàn)有設備。以下是目前網(wǎng)絡設備清單：以下是目前網(wǎng)絡配置清單：核心網(wǎng)絡設計本項目所建系統(tǒng)運行所需廣域網(wǎng)、局域網(wǎng)，核心網(wǎng)絡設備需要冗余性?？紤]到業(yè)務系統(tǒng)接入用戶較多應在網(wǎng)絡端配置負載均衡設備，網(wǎng)絡結構圖如下：該項的網(wǎng)絡由XXXX院內(nèi)網(wǎng)、XXXX院外網(wǎng)、電信廣域網(wǎng)連接、國家科技圖書科技文獻城域網(wǎng)和農(nóng)業(yè)部財務專線五部分的組成。XXXX院外網(wǎng)包括京內(nèi)研究所網(wǎng)絡、京外研究所網(wǎng)絡。核心網(wǎng)絡包括核心交換、其它院所接入路由和防火墻、網(wǎng)絡安全管理、負載均衡等設備。網(wǎng)絡設備配置1、核心交換機由于本項目在部局數(shù)據(jù)中心局域網(wǎng)構建了核心數(shù)據(jù)區(qū)，為避免核心數(shù)據(jù)區(qū)與生產(chǎn)區(qū)大量的數(shù)據(jù)交換同時集中加載在目前的中心交換機上而引起整體系統(tǒng)性能的下降，因此本項目將配置千兆核心交換機2臺，以雙機熱備的方式組合，主要負責核心數(shù)據(jù)區(qū)數(shù)據(jù)庫服務器與應用服務器的數(shù)據(jù)交換。2、主路由器與華為NE40由于本項目為院機關和41個院直屬研究所搭建了交互渠道，為避免單點故障隱患，本項目將配置千兆路由器2臺，形成雙機熱備，為XXXX院所局域網(wǎng)互聯(lián)提供路由服務。3、負載均衡器為優(yōu)化服務器集群的配置方式，提高硬件資源利用效率，最終提高系統(tǒng)可靠性，本項目將配置1臺負載均衡器，并以旁路接入的方式接入核心數(shù)據(jù)區(qū)的交換機，實現(xiàn)服務器集群的負載均衡。同時，也可為核心交換機、路由器提供負載均衡服務。負載均衡器要求具備8個以上千兆電口，具備支持服務器負載均衡、鏈路負載均衡、全局負載均衡等功能。4、防火墻防火墻兩類，一類是部署在電信廣域網(wǎng)接口邊界，配置兩臺臺級防火墻，以雙機熱備的方式，為網(wǎng)絡中心局域網(wǎng)提供網(wǎng)絡安全防護。一類部署在與國家科技文獻網(wǎng)絡接入的邊界，配置一臺。防火墻主要負責保護核心數(shù)據(jù)區(qū)的服務器群，可針對訪問需要，僅打開必要的通訊端口和地址，從而有效控制絕大多數(shù)違規(guī)訪問；可有效的防御Dos/DDos攻擊、ARP欺騙攻擊、TCP報文標志位不合法攻擊、超大ICMP攻擊等各類網(wǎng)絡層攻擊手段；可實現(xiàn)靜態(tài)/動態(tài)黑名單管理、MAC綁定、安全區(qū)域控制等功能。、5、VPN安全網(wǎng)關配置1臺VPN安全網(wǎng)關，利用服務提供商所提供的公共網(wǎng)絡來實現(xiàn)XXXX本部與院外直屬機構之間的遠程廣域連接。系統(tǒng)應能夠多個節(jié)點的IPSec遠程廣域連接，支持多用戶的并發(fā)SSLVPN訪問。5、網(wǎng)絡安全管理按照等級保護的要求，部署實施網(wǎng)絡安全設備，從而保證整個信息系統(tǒng)安全，最終形成安全開放統(tǒng)一、分級分域防護的安全體系。本次配置的網(wǎng)絡安全設備除了上面提到的VPN網(wǎng)關和防火墻還包括：網(wǎng)絡安全審計系統(tǒng)、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、統(tǒng)一安全管理系統(tǒng)、防病毒系統(tǒng)、網(wǎng)絡管理服務器。具體設計在安全體系建設方案章節(jié)詳述。硬件物理部署網(wǎng)絡設備分別部署在網(wǎng)絡機柜1、網(wǎng)絡機柜2內(nèi)，兩個機柜供電需要冗余設計，設備部署圖如下：接入?yún)^(qū)建設接入設計在一個XXXX網(wǎng)絡里，有多個網(wǎng)絡接入，部署分散，且直接負責終端的接入。如下圖所示：XXXX院內(nèi)網(wǎng)與XXXX院外網(wǎng)的各項業(yè)務，全部通過因特網(wǎng)方式實現(xiàn)。為保證其數(shù)據(jù)安全，使用VPN專線方式傳輸。XXXX院內(nèi)網(wǎng)與與農(nóng)業(yè)部網(wǎng)絡之間通過財務專線直接接入，XXXX農(nóng)業(yè)信息研究所通過XXXX的接入路由連接到農(nóng)業(yè)部網(wǎng)絡，不經(jīng)過廣域網(wǎng)。XXXX院內(nèi)網(wǎng)與國家科技圖書科技文獻城域網(wǎng)絡之間通過接入路由器連接到NSTL網(wǎng)絡。接入設備配置以下是目前網(wǎng)絡配置清單：系統(tǒng)軟件建設在硬件平臺上部署相關系統(tǒng)軟件來支持應用系統(tǒng)。包括操作系統(tǒng)軟件、數(shù)據(jù)庫軟件、集群軟件和存儲備份軟件。系統(tǒng)軟件將采用已經(jīng)購置的軟件。系統(tǒng)軟件分配設計1．操作系統(tǒng)為應用系統(tǒng)運行平臺的穩(wěn)定性，數(shù)據(jù)庫后臺運行平臺采用UNIX操作系統(tǒng)。應用系統(tǒng)部署了大量的PC服務器系統(tǒng)，將采用4套Win2008企業(yè)版組成兩對雙機系統(tǒng)運行電子政務系統(tǒng)和應用支撐平臺,12套Win2008標準版操作系統(tǒng)安裝在其它服務器。2．集群軟件數(shù)據(jù)庫是整個系統(tǒng)的核心，重要的服務器系統(tǒng)都將采用集群來實現(xiàn)核心系統(tǒng)的高可用性。對于IBMP550小型機服務器雙機集群系統(tǒng)采用同一品牌的集群軟件HACMP來實現(xiàn)集群功能，對于PC服務器雙機集群系統(tǒng)采用Windowsserver系列企業(yè)版的集群功能來實現(xiàn)。HACMP群集可以按幾種方式配置以滿足不同類型的題供選擇。并行訪問模式適合于所有處理器多必須在相同工作負載下運行并共享相同數(shù)據(jù)的環(huán)境。在交互備份模式中，處理器共享工作負載并互相備份。閑置備用設備允許用一個節(jié)點備份群集器中的其他節(jié)點。Oracle數(shù)據(jù)庫的安裝使用往往才是小型機集群HACMP的具體工程應用。在Oracle中使用HACMP可以有兩種形式供選擇：形式一：容災方式，即形成主備系統(tǒng)，這是傳統(tǒng)hacmp的功能；形式二：并行系統(tǒng)，即形成OracleRAC系統(tǒng)，采用并行運算模式，RAC需要OracleRAC費用。3．數(shù)據(jù)庫軟件對于數(shù)據(jù)庫系統(tǒng)而言，數(shù)據(jù)庫選擇目前國內(nèi)外通用的ORACLE大型關系型數(shù)據(jù)庫系統(tǒng)。4．存儲備份軟件存儲系統(tǒng)采用SAN存儲區(qū)域網(wǎng)絡技術構建，通過兩臺光纖通道交換機作為SAN的核心交換機。磁盤陣列、磁帶庫、數(shù)據(jù)庫服務器以及備份服務器通過SAN交換機構成本地存儲區(qū)域網(wǎng)。備份服務器安裝虛擬磁帶庫備份管理軟件，同時安裝磁盤陣列管理軟件，兼做磁盤陣列控制臺。備份服務器通過專有的SAN網(wǎng)絡或者以太網(wǎng)絡將磁盤陣列中的數(shù)據(jù)通備份到虛擬磁帶庫上。存儲軟件將選用各存儲廠商專業(yè)的存儲管理軟件。備份軟件使用SYMCNETBACKUPENTERPRISESERVER7.0，部署在備份服務器上，實現(xiàn)對數(shù)據(jù)的自動備份控制。系統(tǒng)軟件部署軟硬件部署對照表如下：序號部署設備系統(tǒng)軟件1應用服務器1Windows2008標準版2應用服務器2Windows2008企業(yè)版應用服務器3Windows2008企業(yè)版3應用服務器4Windows2008標準版4應用服務器5Windows2008標準版5WEB服務器1Windows2008標準版6應用服務器6Windows2008標準版7應用服務器7Windows2008標準版8應用服務器8Windows2008標準版9WEB服務器2Windows2008標準版10應用服務器9Windows2008標準版11應用服務器3Windows2008標準版12應用服務器10Windows2008企業(yè)版應用服務器11Windows2008企業(yè)版13應用服務器12Windows2008標準版14數(shù)據(jù)庫服務器1AIX、HACMP、Oracle11G15數(shù)據(jù)庫服務器2AIX、HACMP、Oracle11G16備份服務器Windows2008標準版HACMP使用介紹HACMP的工作原理是利用LAN來監(jiān)控主機及網(wǎng)絡、網(wǎng)卡的狀態(tài)。在一個HACMP環(huán)境中有TCP/IP網(wǎng)絡和非TCP/IP網(wǎng)絡。TCP/IP網(wǎng)絡即應用客戶端訪問的公共網(wǎng)，該網(wǎng)可以是大多數(shù)AIX所支持的網(wǎng)絡，如Ethernet，T.R.，F(xiàn)DDI，ATM，SOCC，SLIP，等等。非TCP/IP網(wǎng)絡用來為HACMP對HA環(huán)境（Cluster）中的各節(jié)點進行監(jiān)控而提供的一個替代TCP/IP的通訊路徑，它可以是用RS232串口線將各節(jié)點連接起來，也可以是將各節(jié)點的SCSI卡或SSA卡設置成TargetMode方式。1、作為雙機系統(tǒng)的兩臺服務器（主機A和B）同時運行HACMP軟件；2、服務器除正常運行自己的應用外，同時又作為對方的備份主機；3、兩臺主機系統(tǒng)（A和B）在整個運行過程中，通過“心跳線”相互監(jiān)測對方的運行情況（包括系統(tǒng)的軟硬件運行、網(wǎng)絡通訊和應用運行情況等）；4、一旦發(fā)現(xiàn)對方主機的運行不正常（出故障）時，故障機上的應用就會停止運行，本機（故障機的備份機）就會立即在自己的機器上啟動故障機上的應用，把故障機的應用及其資源（包括用到的IP地址和磁盤空間等）接管過來，使故障機上的應用在本機繼續(xù)運行；5、應用和資源的接管過程由Ha軟件自動完成，無需人工干預；6、當兩臺主機正常工作時，也可以根據(jù)需要將其中一臺機上的應用人為切換到另一臺機(備份機)上運行一、HACMP基礎HACMP技術在AIX5L上的特點：–高可用性集群多重處理（技術）（HighAvailabilityClusterMultiprocessing）–基于集群的技術–提供兩種數(shù)據(jù)訪問的環(huán)境：串行訪問(高可用性)：確保一個應用程序可以通過在不同的資源組中連續(xù)的使用共享數(shù)據(jù)并行訪問(群集多處理):并發(fā)的存取共享數(shù)據(jù)IBM的HACMP產(chǎn)品對于建立一個高可用性解決方案是個成熟和健壯的技術。高可用性解決方案是基于HACMP提供一個自動的故障探測，診斷，恢復和重整。伴隨著合適的應用軟件，HACMP也能工作在并發(fā)存取和并行的程序環(huán)境，從而提供了極好的水平可測量性。二、HA的基本概念

在HA中有幾個基本概念我們應先搞清楚：集群（Cluster）：主要由節(jié)點，網(wǎng)絡，網(wǎng)絡適配器組成。這些對象涉及到網(wǎng)絡拓撲內(nèi)的所有要素。資源組（ResourceGroup）：典型的資源組由應用程序，網(wǎng)絡地址和共享的vg組成。集群管理器（Clstrmgr）：集群管理器用來管理集群中所有的資源，它來定義哪個節(jié)點的應用是激活的，或者故障時資源組的切換等等操作。集群管理器運行在集群環(huán)境里的所有節(jié)點上。NETBACKUP使用介紹一、概述SymantecNetBackup平臺可以自動執(zhí)行高級技術，標準化各種應用程序、平臺和虛擬環(huán)境上的操作，幫助信息化企業(yè)簡化數(shù)據(jù)保護流程。這意味著，企業(yè)可以在異構操作系統(tǒng)和存儲硬件（包括磁帶和磁盤）環(huán)境中實現(xiàn)全面保護、有效存儲、隨處恢復和集中管理。它集重復數(shù)據(jù)刪除、復制和正在申請專利的虛擬機防護功能于一體，可以幫助客戶提高存儲效率、基礎架構利用率和恢復速度。單一的控制臺實現(xiàn)了多站點監(jiān)控、分析和報告功能，可以幫助客戶標準化操作和風險管理。SymantecNetBackup易于擴展，可以保護最大型的UNIX、Windows?和Linux?環(huán)境，目前已得到全球各地的企業(yè)廣泛采用。NetBackup平臺可以實現(xiàn)全面保護、有效存儲、隨處恢復和集中管理。NetBackup平臺由以下四款賽門鐵克產(chǎn)品組成：NetBackup、NetBackupRealTime、OpsCenterAnalytics和EnterpriseVault?。二、產(chǎn)品要點?異構環(huán)境的數(shù)據(jù)保護—可以在異構操作系統(tǒng)、應用程序、管理程序以及磁盤和磁帶架構上實現(xiàn)數(shù)據(jù)保護功能?集中式管理—可以從一個位置管理所有數(shù)據(jù)保護技術與多個NetBackup服務器和域，提高工作效率?源和目標位置的重復數(shù)據(jù)刪除—可以在遠程辦公室或數(shù)據(jù)中心按需輕松部署和管理重復數(shù)據(jù)刪除技術?與存儲硬件設備的深入集成—NetBackupOpenStorageAPI可以集中管理重復數(shù)據(jù)刪除和復制技術?虛擬機保護既全面又簡單—可以對VMware和Microsoft?Hyper-V環(huán)境應用獲獎的備份和恢復技術?快速全面地恢復應用程序和管理程序的數(shù)據(jù)—可以快速全面恢復MicrosoftExchange、SharePoint?、ActiveDirectory?以及VMware、Hyper-V等管理程序的文件、電子郵件和其他項目環(huán)境的性能及有效性。這些客戶端能夠為關鍵業(yè)務數(shù)據(jù)庫和應用程序提供高性能的在線備份與恢復、支持通過存儲網(wǎng)絡執(zhí)行備份和恢復操作，并且可以提供高級別的數(shù)據(jù)安全性和全面的系統(tǒng)級恢復。企業(yè)可以通過圖形用戶界面(GUI)集中管理備份和恢復操作的各個方面，從而能夠在整個企業(yè)中建立統(tǒng)一的數(shù)據(jù)防護策略，無需考慮部署的客戶端類型和數(shù)量。三、全面保護1、客戶端保護NetBackup提供了一套簡單而又全面的創(chuàng)新客戶端和代理，可以優(yōu)化備份和恢復環(huán)境的性能及有效性。這些客戶端能夠為關鍵業(yè)務數(shù)據(jù)庫和應用程序提供高性能的在線備份與恢復、支持通過存儲網(wǎng)絡執(zhí)行備份和恢復操作，并且可以提供高級別的數(shù)據(jù)安全性和全面的系統(tǒng)級恢復。企業(yè)可以通過圖形用戶界面(GUI)集中管理備份和恢復操作的各個方面，從而能夠在整個企業(yè)中建立統(tǒng)一的數(shù)據(jù)防護策略，無需考慮部署的客戶端類型和數(shù)量。2、應用程序防護要防止關鍵業(yè)務應用程序保護過度或不足，企業(yè)必須制定分層保護戰(zhàn)略。NetBackup平臺提供了各種旨在幫助企業(yè)制定經(jīng)濟可靠型分層保護戰(zhàn)略的技術。要點包括：?應用程序和數(shù)據(jù)庫代理1—為了保護關鍵業(yè)務應用程序和數(shù)據(jù)庫，NetBackup提供了應用程序代理，這些代理可以實現(xiàn)熱備份和在線備份，提供向?qū)团渲茫⒅С謶贸绦蛱囟ǖ墓ぞ?，如Oracle?RecoveryManager(RMAN)。?快照的集成—為了增強保護功能，NetBackup還集成了各種磁盤陣列和軟件快照方法，如脫機備份和即時恢復。主要優(yōu)勢是，您可以使用相同的NetBackup策略、目錄和日程界面將快照作為磁帶或其他任何類型的分流備份來管理。復點目標(RPO)和恢復時間目標(RTO)了。3、數(shù)據(jù)安全NetBackup提供了靈活的數(shù)據(jù)保護技術，如訪問和授權控制與磁盤和磁帶加密方法。要點包括：?源/客戶端加密，實現(xiàn)了最高級別的安全性，讓您甚至可以保護傳輸中和介質(zhì)上的數(shù)據(jù)。?MediaServerEncryptionOption，可以提高磁帶備份的靈活性，還可以利用NetBackup介質(zhì)服務器。這樣，客戶端的性能就不會受到影響了。?集中式的集成密鑰管理服務，可以管理加密磁帶驅(qū)動器的密鑰。4、虛擬機保護既全面又簡單虛擬化技術在給數(shù)據(jù)中心帶來機遇的同時也帶來了挑戰(zhàn)，如降低了備份和恢復速度、增加了存儲使用量以及需要了解和管理更多的技術。NetBackup7基于NetBackup6.5獲獎的VMware支持技術，它可以提供既簡單又全面的數(shù)據(jù)保護功能。另外，它還簡化了虛擬機保護功能，如集中了MicrosoftHyper-V和VMware上的備份，通過管理程序集成技術（如vStorageAPI）、重復數(shù)據(jù)刪除技術和增量備份技術，縮短了備份時間并實現(xiàn)了高效的單個文件恢復。四、高效存儲1、隨處刪除重復數(shù)據(jù)NetBackup還提供了隨處刪除重復數(shù)據(jù)的功能。重復數(shù)據(jù)無論是在遠程站點上還是在數(shù)據(jù)中心，該功能都可以幫您將其刪除。它是您保護虛擬環(huán)境的理想選擇。2、NetBackup客戶端重復數(shù)據(jù)刪除功能刪除冗余數(shù)據(jù)（尤其是對源位置影響較大的數(shù)據(jù)）可以最大程度發(fā)揮重復數(shù)據(jù)刪除功能的優(yōu)勢。NetBackup7產(chǎn)品具有內(nèi)置的客戶端重復數(shù)據(jù)刪除功能，可以實現(xiàn)快速、安全、有效的備份和恢復?？蛻舳酥貜蛿?shù)據(jù)刪除功能可以刪除源位置的冗余數(shù)據(jù)，與傳統(tǒng)備份技術相比，它所占用的CPU、I/O和內(nèi)存會更低，從而可以為生產(chǎn)服務釋放更多的客戶端資源?？蛻舳酥貜蛿?shù)據(jù)刪除功能還可以實現(xiàn)增幅高達10倍的備份速度。要點包括：?NetBackup內(nèi)置重復數(shù)據(jù)刪除功能—客戶端重復數(shù)據(jù)刪除功能已內(nèi)置在NetBackup中，因此，您無需購置單獨的硬件設備。應用程序支持—客戶端重復數(shù)據(jù)刪除功能不但是您處理標準文件數(shù)據(jù)的理想功能，而且它還對您處理NetBackup支持的應用程序和數(shù)據(jù)庫很有幫助。?與NetBackupPureDisk兼容—NetBackup客戶端可以存儲已刪除重復數(shù)據(jù)的數(shù)據(jù)和NetBackup介質(zhì)服務器重復數(shù)據(jù)刪除池或NetBackupPureDisk存儲池。?虛擬機保護—使用虛擬訪客計算機中的NetBackup客戶端可以刪除源位置的重復數(shù)據(jù)，讓網(wǎng)絡只能傳輸不重復的數(shù)據(jù)和變更信息，從而降低備份對整體虛擬基礎架構的影響。3、NetBackup介質(zhì)服務器重復數(shù)據(jù)刪除功能NetBackup介質(zhì)服務器提供目標重復數(shù)據(jù)刪除功能的目的就是為了利用現(xiàn)有的磁盤。設置如同單擊對話框一樣簡單。NetBackup介質(zhì)服務器可以在不用添加緩沖磁盤的情況下隨時處理數(shù)據(jù)流，實現(xiàn)在數(shù)據(jù)處理過程中刪除重復數(shù)據(jù)，從而優(yōu)化存儲利用率。通過NetBackup存儲生命周期策略，您還可以實現(xiàn)在數(shù)據(jù)處理后刪除重復數(shù)據(jù)。要點包括：?備份速度更快—NetBackup目標重復數(shù)據(jù)刪除功能可以在數(shù)據(jù)存儲到磁盤的過程中刪除內(nèi)聯(lián)冗余數(shù)據(jù)。因此，移動并最終存儲到最終目標位置的數(shù)據(jù)會少很多。?降低存儲成本—NetBackup讓企業(yè)可以利用常用磁盤和服務器來提高成本效益和靈活性。?降低存儲消耗—與傳統(tǒng)磁帶備份解決方案相比，該解決方案讓企業(yè)可以將存儲總量減少高達20倍。?恢復速度更快—通過重復數(shù)據(jù)刪除功能，企業(yè)可以在本地或遠程位置保存更多類型的數(shù)據(jù)，而不必再通過磁帶執(zhí)行單一的恢復了。通過OpenStorage3與重復數(shù)據(jù)刪除硬件設備集成其實，許多重復數(shù)據(jù)刪除硬件設備就是采用磁盤技術但模擬磁帶的虛擬磁帶庫。NetBackupOpenStorageAPI讓NetBackup可以識別磁盤的真?zhèn)?。磁帶模擬的整體概念已不再使用，這樣，存儲硬件設備用戶不但可以通過OpenStorage提高利用率，而且能夠充分利用重復數(shù)據(jù)刪除、優(yōu)化復制、虛擬合成以及直接備份到磁帶等高級功能集。4、通過歸檔功能提高備份和恢復速度減少主存儲中的數(shù)據(jù)是相當重要的，這也符合賽門鐵克的戰(zhàn)略，即刪除對源位置影響最大的重復數(shù)據(jù)?？梢越档驮瓷现饕獢?shù)據(jù)增長的解決方案是EnterpriseVault，這是一個歸檔和電子查詢領域公認的領先解決方案。數(shù)據(jù)保護和歸檔技術的組合可以提高傳統(tǒng)備份和恢復的速度。NetBackup和EnterpriseVault實現(xiàn)的組合功能還可以根據(jù)策略自動將EnterpriseVault管理的歸檔磁盤數(shù)據(jù)遷移到NetBackup管理的磁帶或其他介質(zhì)中。為了保護EnterpriseVault環(huán)境，NetBackup還提供了可以在EnterpriseVault環(huán)境中自動查找各種服務器和組件的代理。隨處恢復NetBackup提供了各種技術，可以確保數(shù)據(jù)快速、即時、隨處恢復，并使數(shù)據(jù)丟失最少。裸機恢復(BMR)裸機恢復功能是通過集成方式免費提供的，可以執(zhí)行系統(tǒng)恢復必需的所有文件和服務，包括能夠執(zhí)行無盤網(wǎng)絡啟動、臨時操作系統(tǒng)安裝和磁盤配置。此功能可以使任何平臺上的全面系統(tǒng)恢復時間大約僅為15分鐘。4、有效的災難恢復NetBackup平臺提供了各種災難恢復功能，這些功能可以在數(shù)據(jù)中心因環(huán)境因素或其他因素導致永久性損壞后將數(shù)據(jù)遷移到異地災難恢復位置。?管理異地磁帶介質(zhì)4—NetBackupVaultOption可以在自動將磁帶介質(zhì)遷移到異地災難恢復位置的同時跟蹤該流程。?復制已刪除重復數(shù)據(jù)的數(shù)據(jù)—NetBackup提供了各種復制和管理功能，這些功能不但可以通過電子方式在WAN上安全地復制數(shù)據(jù)，而且還可以在NetBackup圖形用戶界面上集中管理這些數(shù)據(jù)。由于它只會復制不重復的數(shù)據(jù)，因此可以優(yōu)化帶寬和后端存儲。另外，它還可以將這些數(shù)據(jù)遷移到災難恢復位置的磁帶設備上進行長期存儲。?實時的數(shù)據(jù)塊級復制—NetBackupRealTime75讓NetBackup可以實現(xiàn)實時的數(shù)據(jù)塊級異步或同步復制。如果用于保護NetBackup目錄，它是免費的。5、全面恢復技術NetBackup正在申請專利的全面恢復技術可以快速恢復MicrosoftExchange、ActiveDirectory、SharePoint、VMware、Hyper-V等環(huán)境中的文件、電子郵件和其他單個對象。這意味著，映像只需備份一次、存儲一次，就可以實現(xiàn)兩種恢復方式，即用于災難恢復的完整映像恢復方式和單個文件恢復方式。6、集中管理SymantecOpsCenter提供了一個可以集中監(jiān)控和報告異構數(shù)據(jù)保護環(huán)境運行狀況的控制臺。要點包括：?定制的警報功能和實時的監(jiān)控功能—可以通過易用的分類和過濾功能管理意外事件，讓您可以更好地排除故障、設置工作優(yōu)先級以及控制備份環(huán)境。?跨域監(jiān)控和管理功能—可以將多個NetBackup域和多個產(chǎn)品版本連接起來，簡化管理和控制。?點擊式環(huán)境運行狀況報告功能—可以快速了解NetBackup、SymantecBackupExec、NetBackupPureDisk和EnterpriseVault環(huán)境中的磁帶驅(qū)動器利用率、成功率和未受保護的環(huán)境。通過OpsCenterAnalytics6實現(xiàn)高級業(yè)務環(huán)境報告功能您可以通過許可證密鑰輕松將OpsCenter升級到OpsCenterAnalytics，實現(xiàn)高級的集成式業(yè)務環(huán)境報告功能，這樣，您就可以根據(jù)地理位置或異構環(huán)境中的應用程序為目標用戶（如業(yè)務部門）定制相關內(nèi)容。要點包括：?報告第三方應用程序—可以在集中報告賽門鐵克和第三方備份應用程序（如EMCNetWorker和IBMTivoliStorageManager）的同時對報告進行標準化。?長期保留數(shù)據(jù)以供趨勢研究和分析之用—讓您可以不斷地跟蹤數(shù)據(jù)增長率（包括為了簡化投資回報率的跟蹤流程刪除重復數(shù)據(jù)前后的數(shù)據(jù)增長率），更好地預測備份和電子郵件歸檔存儲的使用量。?服務級別遵從、成本分析和計費—可以實現(xiàn)閾值報告功能，確保您遵從服務級別，還可以通過配置定價模型整合并分配備份和歸檔服務成本，幫助您滿足業(yè)務需求。針對各種規(guī)模的環(huán)境和復雜性級別提供靈活的部署解決方案NetBackup提供三種版本，以便為從中小型企業(yè)到大型企業(yè)的各種企業(yè)提供支持（參見下表）。五、NetBackup的其他功能和優(yōu)勢1、性能?合成備份—能夠通過單個備份映像快速恢復客戶端，減少恢復對應用程序主機的影響和網(wǎng)絡帶寬?高級磁盤緩沖—由于不存在磁帶設備延遲，并且非復用備份映像可用于進行更快速的恢復，因此磁盤緩沖功能有利于進行更快速的備份和恢復?檢查點/重新開始—允許失敗的備份作業(yè)或恢復作業(yè)從上一個檢查點恢復?多路復用備份—將多個數(shù)據(jù)流從一個或多個客戶端/服務器寫入一個磁帶驅(qū)動器，以獲得最佳性能?內(nèi)聯(lián)復制—可以創(chuàng)建多個并行備份映像，每個映像都具有獨特的保留屬性，與主備份同時運行或在完成主備份后運行2、介質(zhì)管理?自動機械/磁帶驅(qū)動器配置—可以自動生成驅(qū)動器名稱并自動配置交換的磁帶驅(qū)動器，縮短磁帶驅(qū)動器的配置時間?介質(zhì)共享—允許多個NetBackup介質(zhì)服務器主動共享指定的磁帶介質(zhì)，以便寫入?廣泛的磁帶設備支持—支持所有領先的磁盤設備提供商，包括Dell、Exabyte、HP?、IBM?、OverlandData、Qualstar、Quantum、Sony、SpectraLogic和Sun、StorageTek3、用于數(shù)據(jù)庫、應用程序、磁盤、磁帶和災難恢復的代理和選件NetBackup代理NetBackup代理可以優(yōu)化重要數(shù)據(jù)庫和應用程序的性能，包括IBMDB2、Informix、Lotus?Notes/Lotus、Domino?Server、MicrosoftActiveDirectory、Microsoft、ExchangeServer、MicrosoftSharePoint?PortalServer/MicrosoftOfficeSharePointServer、MicrosoftSQLServer、Oracle、SAP、Sybase和SymantecEnterpriseVault。NetBackup選件NetBackup選件可以實現(xiàn)虛擬磁帶庫支持、重復數(shù)據(jù)刪除、異地磁帶介質(zhì)管理等功能，從而改善數(shù)據(jù)保護環(huán)境。安全體系建設方案安全體系現(xiàn)狀目前，XXXX網(wǎng)絡中心所采取的安全保障手段及效果如下：（1）物理環(huán)境安全方面技術措施主要包括如下幾個方面：重要區(qū)域配置電子門禁系統(tǒng)；在條件允許的情況下，配備光、電等機房防盜報警系統(tǒng)；設置監(jiān)控報警系統(tǒng)，如攝像頭等；設置火災自動消防系統(tǒng)；對重要設備采取區(qū)域隔離防火措施，并與其他設備在物理上隔離開；安裝對水敏感的檢測儀表或元件，對機房進行防水檢測和報警；主要設備采用必要的接地防靜電措施，如防靜電手環(huán)或防靜電工作服等；設置溫、濕度自動調(diào)節(jié)設施，使機房溫、濕度的變化在設備運行所允許的范圍之內(nèi)；在條件允許的情況下設置冗余或并行的電力電纜線路為系統(tǒng)提供持續(xù)供電，建立備用供電系統(tǒng)。XXXX網(wǎng)絡中心機房的安全門禁系統(tǒng)、消防滅火系統(tǒng)、空調(diào)通風系統(tǒng)、供配電系統(tǒng)、防雷接地系統(tǒng)等已經(jīng)比較完備，機房基礎設施及安全保障措施較為完善。（2）網(wǎng)絡安全方面1）安全區(qū)域邊界等級保護要求現(xiàn)有情況分析差距增強或解決方法區(qū)域邊界訪問控制結構安全與網(wǎng)段劃分有有劃分VLAN，并設定訪問控制措施區(qū)域邊界協(xié)議過濾網(wǎng)絡訪問控制防火墻有網(wǎng)絡設備設置訪問控制策略區(qū)域邊界完整性保護撥號訪問控制無有防非法外聯(lián)、協(xié)議過濾、網(wǎng)絡設備設置訪問控制策略區(qū)域邊界完整性保護邊界完整性檢查防火墻有防非法外聯(lián)區(qū)域邊界完整性保護網(wǎng)絡入侵防范無有帶寬管理、協(xié)議過濾管理、安全網(wǎng)關2）安全通信網(wǎng)絡等級保護要求現(xiàn)有情況分析差距增強或解決方法通信網(wǎng)絡網(wǎng)絡入侵防范無有網(wǎng)絡入侵防護WEB應用防護內(nèi)網(wǎng)安全建設安全配置核查網(wǎng)絡傳輸保密性保護網(wǎng)絡設備防護SSH和Https等方式有，較小動態(tài)身份認證3）安全管理中心等級保護要求現(xiàn)有情況分析差距增強或解決方法系統(tǒng)管理存在基本手段有安全服務安全管理存在基本手段有安全服務審計管理存在基本手段有安全配置核查網(wǎng)頁防篡改（3）主機系統(tǒng)安全方面除充分利用操作系統(tǒng)、數(shù)據(jù)管理系統(tǒng)等系統(tǒng)軟件的身份鑒別手段外，配置了網(wǎng)絡防病毒軟件，能對病毒、惡意代碼進行有效防治。計算環(huán)境的差距分析及解決方法總結如下：等級保護要求現(xiàn)有情況分析差距增強或解決方法用戶身份鑒別口令認證小動態(tài)身份認證自主訪問控制有有系統(tǒng)加固標記和強制訪問控制有有訪問控制、系統(tǒng)加固用戶數(shù)據(jù)完整性保護存在基本手段有數(shù)字簽名、安全服務用戶數(shù)據(jù)保密性保護存在基本手段有VPN、文件級存儲加密客體安全重用有有漏洞管理程序可信執(zhí)行保護有有惡意代碼檢測（4）數(shù)據(jù)及應用安全方面?zhèn)浞蒈浖巡少?，可以對?shù)據(jù)、應用系統(tǒng)進行及時有效的備份。安全體系需求分析隨著XXXX信息化發(fā)展的逐步深入，對信息系統(tǒng)的依賴越來越強，大型信息系統(tǒng)的安全保障體系建設是一個極為復雜的工作，為大型組織設計一套完整和有效的安全體系一直是個世界性的難題。一些行業(yè)性機構或大型企業(yè)的信息系統(tǒng)應用眾多、結構復雜、覆蓋地域廣闊、涉及的行政部門和人員眾多；系統(tǒng)面臨著各種性質(zhì)的安全威脅，間諜、黑客、病毒蠕蟲、木后門、非法的合作伙伴、本地維護的第三方、內(nèi)部員工等；安全保障要求的內(nèi)容極為廣泛，從物理安全、網(wǎng)絡安全、系統(tǒng)安全、應用安全一直到安全管理、安全組織建設等等，凡是涉及到影響正常運行的和業(yè)務連續(xù)性的都可以認為是信息安全問題；不同業(yè)務系統(tǒng)、不同發(fā)展階段、不同地域和行政隸屬層次的安全要求屬性和強度存在較大差異性。經(jīng)過我國信息安全領域有關部門和專家學者的多年研究，在借鑒國外先進經(jīng)驗和結合我國國情的基礎上，提出了分等級保護的策略來解決信息網(wǎng)絡安全問題，即針對信息系統(tǒng)建設和使用單位，根據(jù)其單位的重要程度、信息系統(tǒng)承載業(yè)務的重要程度、信息內(nèi)容的重要程度、系統(tǒng)遭到攻擊破壞后造成的危害程度等安全需求以及安全成本等因素，依據(jù)國家規(guī)定的等級劃分標準，設定其保護等級，自主進行信息系統(tǒng)安全建設和安全管理，提高安全保護的科學性、整體性、實用性。按照國家《信息安全等級保護管理辦法》的相關要求，XXXX網(wǎng)絡中心數(shù)據(jù)中心的安全保護等級總體上應達到第三級（監(jiān)督保護級）。參考信息系統(tǒng)安全三級保護的基本要求，XXXX數(shù)據(jù)中心在安全方面還主要存在以下不足：網(wǎng)絡安全方面尚不能對網(wǎng)絡數(shù)據(jù)流進行安全審計，對各類網(wǎng)絡違規(guī)或異常行為、網(wǎng)絡資源濫用行為、涉密信息及敏感言論的傳播缺乏相應的監(jiān)管手段；本項目新構建的核心數(shù)據(jù)區(qū)缺乏網(wǎng)絡安全防護手段。（2）主機系統(tǒng)安全方面目前網(wǎng)絡中心雖然配置了網(wǎng)絡防病毒軟件，但由于軟件使用授權已到期，防病毒引擎得不到及時的更新，無法對病毒、惡意代碼進行有效防治；應用系統(tǒng)缺乏在線備份系統(tǒng)，無法實現(xiàn)受損系統(tǒng)的及時恢復；同時，缺乏必要的主機審計手段，對主機的使用進行監(jiān)控和管理。（3）數(shù)據(jù)及應用安全方面數(shù)據(jù)的安全依賴于本地的磁帶庫離線備份系統(tǒng)?？紤]到本項目建成后將集中存儲全院的科研資源數(shù)據(jù)、科研項目數(shù)據(jù)、人力、財務、基建項目、科研知識、農(nóng)業(yè)文獻等重要數(shù)據(jù)，而目前由于缺乏能夠?qū)崟r、在線備份數(shù)據(jù)的備份系統(tǒng)，數(shù)據(jù)安全存在較大隱患。（4）安全管理方面由前述安全系統(tǒng)評估可以看出，部局目前雖然配備了一些安全設備，但各設備較為孤立，缺乏聯(lián)動和統(tǒng)一管理，不能形成合力來提高系統(tǒng)整體安全防護能力。建設原則（1）綜合防范，適度安全在三級信息系統(tǒng)網(wǎng)絡建設時，必須充分考慮來自網(wǎng)絡的各種威脅，采取適當?shù)陌踩胧?，進行綜合防范。同時，以應用為主導，充分分析應用系統(tǒng)的功能，在有效保證應用的前提下，安全保密建設經(jīng)濟適用、適度安全、易于使用、易于實施。（2）分域防控、分類防護貫徹等級保護思想，針對不同的安全域采用不同的安全防護策略，通過制定安全策略，實施分區(qū)邊界防護和區(qū)間訪問控制，保證信息的安全隔離和安全交換。（3）誰主管誰負責基于等級保護的XXXX網(wǎng)絡的建設過程中，部門網(wǎng)絡的內(nèi)部安全問題應根據(jù)本單位的安全需求和實際情況，依據(jù)國家相關政策自行開展信息安全建設。（4）安全保密一體化在安全保密建設中，無論是技術的采用、還是設備的選配，必須堅持安全保密一體化的原則，這樣建設的系統(tǒng)才最為有效、最為經(jīng)濟。安全系統(tǒng)建設目標為落實和貫徹公安部、國家保密局、國家密碼管理局等有關部門信息安全等級保護工作要求，全面完善信息安全防護體系，確保等級保護工作在各單位的順利實施，提高公司整體信息安全防護水平，開展等級保護建設工作。本方案主要遵循GB/T22239-2008《信息安全技術信息安全等級保護基本要求》、《信息安全等級保護管理辦法》（公通字[2007]43號）、《信息安全技術信息安全風險評估規(guī)范》（GB/T20984-2007）、ISO/IEC27001信息安全管理體系標準和ISO/IEC13335信息安全管理標準等。通過本方案的建設實施，進一步提高信息系統(tǒng)等級保護符合性要求，將整個信息系統(tǒng)的安全狀況達到信息系統(tǒng)安全三級保護的水平，并盡可能地消除或降低信息系統(tǒng)的安全風險。安全體系總體設計以當前安全現(xiàn)狀為基礎，通過安全設備的部署、安全技術的應用和安全管理制度的制定和完善，全面網(wǎng)絡信息系統(tǒng)的安全性，具體的安全系統(tǒng)建設應從網(wǎng)絡安全、主機系統(tǒng)安全、數(shù)據(jù)及應用安全、安全管理四個方面分別進行，通過系統(tǒng)安全建設，使整個網(wǎng)絡能面對目前和未來一段時期內(nèi)的安全威脅，實現(xiàn)對全網(wǎng)安全狀況的統(tǒng)一監(jiān)控和管理，更好地保障整個網(wǎng)絡的正常運行，全面提升信息安全系統(tǒng)的安全等級。根據(jù)已知需求，針對XXXX網(wǎng)絡中心現(xiàn)有安全系統(tǒng)的不足，并根據(jù)本項目相關業(yè)務應用的需求，本項目將采取以下網(wǎng)絡安全系統(tǒng)建設策略，結構圖如下：在網(wǎng)絡安全方面，進行網(wǎng)絡安全審計系統(tǒng)和入侵檢測系統(tǒng)的建設；進行漏洞掃描系統(tǒng)的建設；針對本項目新構建的核心數(shù)據(jù)區(qū)，在核心數(shù)據(jù)區(qū)與中心交換機之間建設防火墻。在主機系統(tǒng)安全方面，進行主機審計系統(tǒng)的建設。數(shù)據(jù)及應用安全方面，在核心數(shù)據(jù)區(qū)建設虛擬化的備份系統(tǒng)。在安全管理方面，建設統(tǒng)一的安全管理系統(tǒng)。物理安全，包括安全設施的選擇和建設、設施安全管理、人員管理控制。網(wǎng)絡安全系統(tǒng)設計根據(jù)安全現(xiàn)狀，我方將針對信息系統(tǒng)存在的漏洞、弱點提出相關的整改意見，并最終形成安全解決方案。通信邊界域通過對進入和流出安全保護環(huán)境的信息流進行安全檢查，確保不會有違反系統(tǒng)安全策略的信息流經(jīng)過邊界。安全管理區(qū)安全管理區(qū)是系統(tǒng)的安全控制中樞，主要實施標記管理、授權管理及策略管理等。安全管理子系統(tǒng)通過制定相應的系統(tǒng)安全策略，并要求節(jié)點子系統(tǒng)、區(qū)域邊界子系統(tǒng)和通信網(wǎng)絡子系統(tǒng)強制執(zhí)行，從而實現(xiàn)對整個信息系統(tǒng)的集中管理。本次建設一下內(nèi)容：（1）網(wǎng)絡安全審計系統(tǒng)本項目配置1套網(wǎng)絡安全審計系統(tǒng)（含1臺審計引擎及配套管理軟件），將審計引擎以旁路的方式接入核心交換機，并配置安全審計服務器1臺，部署相應的審計管理軟件，構成XXXX網(wǎng)絡中心網(wǎng)絡安全審計系統(tǒng)。網(wǎng)絡安全審計系統(tǒng)可實現(xiàn)對用戶的網(wǎng)絡行為、網(wǎng)絡傳輸內(nèi)容進行監(jiān)控；實現(xiàn)對網(wǎng)絡行為進行統(tǒng)計分析和事后取證；對網(wǎng)絡潛在威脅者予以威懾。（2）入侵檢測系統(tǒng)本項目配置1套入侵檢測系統(tǒng)，將入侵檢測引擎以旁路的方式接入核心交換機構成XXXX網(wǎng)絡中心入侵檢測系統(tǒng)。入侵檢測系統(tǒng)對網(wǎng)絡傳輸進行即時監(jiān)視，在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應措施。（3）漏洞掃描系統(tǒng)本項目配置1套漏洞掃描系統(tǒng)，將漏洞掃描引擎以旁路的方式接入核心交換機構成XXXX網(wǎng)絡中心漏洞掃描系統(tǒng)。漏洞掃描系統(tǒng)支持分布掃描、集中管理、綜合分析、多級控制功能。能夠跨地域?qū)Χ鄠€網(wǎng)絡同時進行漏洞掃描，并能夠集中管理、配置各掃描引擎，將掃描結果集中分析，同時提供詳細的系統(tǒng)脆弱性修補方案。。（4）統(tǒng)一安全管理系統(tǒng)本項目配置1套統(tǒng)一安全管理系統(tǒng)，輔助網(wǎng)絡管理人員實現(xiàn)對XXXX網(wǎng)絡中心所有網(wǎng)絡設備、安全設備的統(tǒng)一管理。統(tǒng)一安全管理系統(tǒng)為軟硬件一體化的機架式設備，通過日志分析與審計、自動安全預警、預先制定安全響應策略實現(xiàn)設備間聯(lián)動等手段，能對各種主流品牌的網(wǎng)絡設備、安全設備進行統(tǒng)一管理，解決了網(wǎng)絡與安全設備相互孤立、網(wǎng)絡安全狀況掌握不直觀、安全事件相應慢、網(wǎng)絡故障定位困難等問題，實現(xiàn)了XXXX網(wǎng)絡中心安全管理手段的整合和管理能力的全面提升。（5）防病毒系統(tǒng)本項目配置1套病毒系統(tǒng)，根據(jù)系統(tǒng)特性，采取相應的系統(tǒng)安全措施預防病毒侵入計算機。在計算機上安裝防病毒軟件，以便在病毒侵入系統(tǒng)時發(fā)出警報，并記錄攜帶病毒的文件，及時清除其中的病毒；對網(wǎng)絡而言，能夠向網(wǎng)絡管理員發(fā)送關于病毒入侵的信息，記錄病毒入侵的工作站，必要時還能夠注銷工作站，隔離病毒源。（6）防病毒系統(tǒng)網(wǎng)絡管理服務器，利用接入核心交換的一臺機器，對網(wǎng)絡內(nèi)的設備登錄管理。通信邊界區(qū)內(nèi)部用戶接入分為兩種接入，一是院內(nèi)局域網(wǎng)直接通過接入交換機接入，二是院外用戶使用VPN方式接入電信廣月昂，通過冗余路由器、防火墻進行訪問控制。（1）防火墻本項目配置1臺千兆級防火墻，與原防火墻以雙機熱備的方式，為網(wǎng)絡中心局域網(wǎng)提供網(wǎng)絡安全防護。防火墻主要負責保護核心數(shù)據(jù)區(qū)的服務器群，可針對訪問需要，僅打開必要的通訊端口和地址，從而有效控制絕大多數(shù)違規(guī)訪問；可有效的防御Dos/DDos攻擊、ARP欺騙攻擊、TCP報文標志位不合法攻擊、超大ICMP攻擊等各類網(wǎng)絡層攻擊手段；可實現(xiàn)靜態(tài)/動態(tài)黑名單管理、MAC綁定、安全區(qū)域控制等功能。（2）VPN安全網(wǎng)關配置1臺VPN安全網(wǎng)關，利用服務提供商所提供的公共網(wǎng)絡來實現(xiàn)XXXX本部與院外直屬機構之間的遠程廣域連接。系統(tǒng)應能夠支持不少于2個節(jié)點的IPSec遠程廣域連接，支持不少于4200用戶的并發(fā)SSLVPN訪問。外部用戶接入（1）國家科技圖書文獻網(wǎng)絡接入，通過防火墻和接入路由器接入。（2）農(nóng)業(yè)部接入，農(nóng)業(yè)部接入是通過XXXX財務專線接入網(wǎng)絡安全設備配置清單序號設備名稱單位數(shù)量規(guī)格備注1安全系統(tǒng)1.1網(wǎng)絡安全審計系統(tǒng)臺1含審計引擎及管理軟件購置1.2入侵檢測系統(tǒng)臺1軟硬件一體化購置1.3漏洞掃描系統(tǒng)臺1軟硬件一體化購置1.4防火墻臺1千兆級購置1.5VPN網(wǎng)關套1千兆級,吞吐率1G，支持不少于兩個點IPSecVPN互聯(lián)，SSLVPN并發(fā)訪問數(shù)不小于4200購置1.6統(tǒng)一安全管理系統(tǒng)臺1工作組級，2CPU，8GB內(nèi)存購置1.7主機審計系統(tǒng)套118個點購置2備份系統(tǒng)2.1虛擬磁帶庫臺16×750G7200轉(zhuǎn)SATA硬盤購置2.2備份服務器臺1CPU：IntelXeonDP四核，主頻>=2.0GHz；CPU數(shù)量>=2個，可擴充>=2;內(nèi)存>=8GB，最大>=128GB;熱插拔SAS硬盤>=2個146GB,>=10000轉(zhuǎn)可利舊或購置3系統(tǒng)軟件3.1備份軟件套1支持SAN、LAN環(huán)境下，數(shù)據(jù)庫、操作系統(tǒng)和文件系統(tǒng)的備份和恢復；

支持遠程數(shù)據(jù)備份和遠程災難恢復購置3.2防病毒軟件套1支持自動防護和、自動升級功能和自動分發(fā)功能，100用戶購置網(wǎng)絡安全軟硬件部署設計1．網(wǎng)絡安全設備安全設備中的機房防火墻1、防火墻3、網(wǎng)絡安全審計系統(tǒng)、VPN網(wǎng)關、漏洞掃描系統(tǒng)、入侵檢測系統(tǒng)、統(tǒng)一安全管理系統(tǒng)設備部署在網(wǎng)絡機柜3，備份服務器、虛擬磁帶庫部署在服務器機柜3中，防火墻2安裝在網(wǎng)絡機柜1中與防火墻2組成因特網(wǎng)接入防火墻的冗余結構。部署設計如下圖所示：2．主機審計系統(tǒng)部署如下部署點：WEB服務器3臺、應用服務器12臺、備份服務器1臺、數(shù)據(jù)庫服務器2臺共18個。3．防病毒軟件部署點：WEB服務器3臺、應用服務器12臺、備份服務器1臺、數(shù)據(jù)庫服務器2臺、其它服務器、操作終端。主機安全設計目前網(wǎng)絡中心雖然配置了網(wǎng)絡防病毒軟件，對病毒、惡意代碼進行有效防治；應用系統(tǒng)配置在線備份系統(tǒng)，實現(xiàn)受損系統(tǒng)的及時恢復；同時，配置的網(wǎng)絡審計手段，對主機的使用進行監(jiān)控和管理。（1）防病毒與病毒查殺技術在一個整體病毒防護方案中，防病毒是重要的支點。對木馬的防范，除了通常的桌面防病毒產(chǎn)品外，還有一些專門的木馬查殺產(chǎn)品，查殺產(chǎn)品擁有查殺流行木馬、清理惡評及系統(tǒng)插件、管理應用軟件、系統(tǒng)實時保護，修復系統(tǒng)漏洞等數(shù)個強勁功能，同時還提供系統(tǒng)全面診斷，彈出插件免疫，清理使用痕跡以及系統(tǒng)還原等特定輔助功能，并且提供對系統(tǒng)的全面診斷報告，方便用戶及時定位問題所在，為用戶提供全方位的系統(tǒng)保護。（2）網(wǎng)絡審計技術建設一個完整的安全系統(tǒng)所必需有的功能。用戶操作行為審計與監(jiān)控。采用旁路式Agent的方式對數(shù)據(jù)庫的訪問進行有效的監(jiān)控，及時發(fā)現(xiàn)非法用戶對數(shù)據(jù)庫資源的訪問與侵入，并給予報警。用戶操作行為審計監(jiān)控系統(tǒng)主要用于監(jiān)視并記錄對數(shù)據(jù)庫服務器以及應用服務器的各類操作行為，通過對網(wǎng)絡數(shù)據(jù)的分析，實時地、智能地解析對數(shù)據(jù)庫服務器的各種操作，一般操作行為如數(shù)據(jù)庫的登錄、注銷動作，特定的操作如對數(shù)據(jù)表的插入、執(zhí)行特定的存貯過程等，都可以被記錄和分析，分析的內(nèi)容可以精確到SQL操作語句一級。它還可以根據(jù)設置的規(guī)則，智能的判斷出違規(guī)操作數(shù)據(jù)庫的行為，并對違規(guī)行為進行記錄、報警和實時阻斷。根據(jù)信息安全系統(tǒng)的要求，需要對內(nèi)網(wǎng)中的主機等核心業(yè)務數(shù)據(jù)庫進行審計監(jiān)控監(jiān)測。（3）在線備份技術將用戶數(shù)據(jù)自動通過互聯(lián)網(wǎng)備份到遠程數(shù)據(jù)中心，相對于本機備份和其他儲存介質(zhì)備份方式，在線備份具自動、安全、便捷的特點，安全性是在線備份的最突出特點。將數(shù)據(jù)備份在專業(yè)的數(shù)據(jù)中心就象將貴重物品存放在銀行保險箱中一樣，用戶不必擔心由于硬件丟失、損壞或誤操作等情況造成的數(shù)據(jù)丟失，物理安全設計物理安全涉及到與保護信息系統(tǒng)和敏感信息的實體有關的威脅缺陷和防范措施。這些資源包括人員、數(shù)據(jù)、設備、支持系統(tǒng)、介質(zhì)和所需的供給品。物理安全的控制措施主要包括安全設施的選擇和建設、設施安全管理、人員管理控制。按照國家相關標準，機房的安全等級分為A、B、C三類，具體如下。A類：對計算機機房的安全有嚴格的要求，有完善的計算機機房安全措施。該類機房防止需要最高安全性和可靠性的系統(tǒng)和設備。B類：對計算機機房的安全有較嚴格的要求，有較完善的計算機機房安全措施。他的安全性介于A類和C類之間。C類：對計算機機房的安全有基本的要求，有基本的要求，有基本的計算機機房安全措施。該類機房存放只需最低限度的安全性和可靠性的一般性系統(tǒng)。根據(jù)以上標準，本級建設及配套工程設計含下列內(nèi)容：（1）電氣工程電氣工程包括：機房配電系統(tǒng)、UPS電源系統(tǒng)和照明系統(tǒng)。（2）空調(diào)及新風系統(tǒng)選用機房專用恒溫恒濕空調(diào)，以保證機房的溫濕度滿足設備安全可靠高效運行的要求，機房所配的新風能夠滿足工作人員和風量補充的要求。（3）綜合布線系統(tǒng)在機房內(nèi)建立一個方便、通暢的信息傳輸系統(tǒng)，保證信息系統(tǒng)的運行，保證機房與外界的聯(lián)通。數(shù)據(jù)及應用安全設計身份認證與授權管理系統(tǒng)設計1、訪問控制和授權管理通過用戶身份認證系統(tǒng)對用戶的身份進行確認之后，即可對用戶的訪問請求根據(jù)系統(tǒng)運行環(huán)境和訪問控制策略進行授權，以確定用戶對他人資源、網(wǎng)絡資源和信息資源的訪問權限。實施有效的訪問授權的基礎是系統(tǒng)訪問授權規(guī)則的制定，這需要結合安全管理體系對全網(wǎng)內(nèi)部工作流程和安全職責劃分進行調(diào)研。（1）信息內(nèi)容控制管理員與一般用戶的權限各類業(yè)務的子系統(tǒng)管理員，即二級管理員，負責對本子系統(tǒng)不同信息分類進行具體授權，包括默認權限與分類權限，達到確保與紙質(zhì)文件完全相同的權限控制。一般用戶只享有系統(tǒng)指定自己所默認擁有的涉密信息訪問權限，或?qū)ψ约寒a(chǎn)生的信息確定授權范圍，或擁有他人授權自己查詢的信息訪問權限。（2）系統(tǒng)維護部門掌握所有操作系統(tǒng)、數(shù)據(jù)庫和應用程序系統(tǒng)維護部門就是系統(tǒng)的技術支撐部門，負責系統(tǒng)的安裝、維護，負責軟、硬件設備（服務器、網(wǎng)絡、客戶端和各類應用程序）的正常運轉(zhuǎn)和數(shù)據(jù)的安全備份、檢查。在具體的實施過程中，需要以下兩個方面來進行授權和控制。（1）授權管理中心在信息系統(tǒng)中設立專門的授權管理中心，以訪問授權服務的方式向有關的應用系統(tǒng)提供訪問請求的授權。在這種模式下，應用系統(tǒng)將用戶發(fā)出的訪問請求通過可信信道轉(zhuǎn)到授權管理中心，由授權管理中心根據(jù)統(tǒng)一的訪問授權策略進行授權，然后將授權結果返回給應用系統(tǒng)。這種方式能較好地實現(xiàn)內(nèi)部安全策略的一致性，但需要對應用系統(tǒng)的訪問授權接口進行改造，同時對授權服務的交互過程也需要采用多種方式的安全保護以確保授權過程的可靠性。同時，對訪問授權過程中發(fā)現(xiàn)的安全漏洞或隱患也能通過比較一致的方法進行分析，比較容易發(fā)現(xiàn)安全策略中存在的問題。（2）訪問控制系統(tǒng)在完成內(nèi)部用戶身份認證的基礎上，訪問控制系統(tǒng)還通過授權管理中心對全網(wǎng)范圍內(nèi)的訪問授權實施統(tǒng)一的管理。授權管理中心負責根據(jù)管理員統(tǒng)一設置的全網(wǎng)安全管理策略為內(nèi)網(wǎng)的各關鍵設備或應用系統(tǒng)制定相應的訪問授權規(guī)則，然后直接將訪問授權規(guī)則注入目標系統(tǒng)或向目標系統(tǒng)提供訪問授權服務。為實現(xiàn)上述功能，授權管理中心的功能將包括：（1）全局安全策略的設置：提供圖形化的界面幫助管理員設置和維護整個網(wǎng)絡與信息安全系統(tǒng)的安全管理策略。（2）內(nèi)網(wǎng)邏輯視圖管理：向管理員提供對整個內(nèi)部網(wǎng)絡系統(tǒng)邏輯視圖的管理功能，描述每個被管對象的屬性（含授權規(guī)則的映射關系）。（3）授權規(guī)則的轉(zhuǎn)化：將全局的訪問授權規(guī)則依次轉(zhuǎn)化為每個被管系統(tǒng)的訪問授權規(guī)則。（4）授權規(guī)則的注入：向被管系統(tǒng)注入轉(zhuǎn)化后的訪問授權規(guī)則，此功能適用于自行完成訪問授權操作的目標系統(tǒng)。（5）訪問授權服務：向自身不提供訪問授權功能的目標系統(tǒng)提供訪問授權服務。數(shù)據(jù)庫安全的機制1、對數(shù)據(jù)庫系統(tǒng)所管理的數(shù)據(jù)和資源提供安全保護，一般包括以下幾點：物理完整性，即數(shù)據(jù)能夠免于物理方面破壞的問題，如掉電、火災等；邏輯完整性，能夠保持數(shù)據(jù)庫的結構，如對一個字段的修改不至于影響其它字段；元素完整性，包括在每個元素中的數(shù)據(jù)是準確的；數(shù)據(jù)的加密；用戶鑒別，確保每個用戶被正確識別，避免非法用戶入侵；可獲得性，指用戶一般可訪問數(shù)據(jù)庫和所有授權訪問的數(shù)據(jù)；可審計性，能夠追蹤到誰訪問過數(shù)據(jù)庫。2、實現(xiàn)對數(shù)據(jù)庫的安全保護措施：事前防范：數(shù)據(jù)庫權限管理；事發(fā)檢測、預警：數(shù)據(jù)庫安全監(jiān)測；事后恢復：數(shù)據(jù)庫備份。數(shù)據(jù)備份與恢復體系設計在以信息為基礎的商業(yè)時代，對大多數(shù)企業(yè)來說，保持計算機關鍵數(shù)據(jù)和應用系統(tǒng)始終處于正常運行狀態(tài)，這是最起碼的要求了。但是，無論我們?nèi)绾涡⌒囊硪恚粓鰹碾y的降臨還是可能使企業(yè)數(shù)據(jù)毀于一旦。供電故障、地震、火災、洪水、冰雹、雷電、颶風等，都可能導致企業(yè)信息系統(tǒng)的癱瘓。所以，在信息網(wǎng)絡安全系統(tǒng)中必須制定適當?shù)臑碾y備份及恢復措施，來保障企業(yè)各種重要數(shù)據(jù)的安全。1、數(shù)據(jù)存在嚴重的安全隱患目前在信息系統(tǒng)內(nèi)部導致數(shù)據(jù)失效有很多原因，主要包括： 自然災害，如：地震、火災、雷電、洪水、颶風等； 犯罪，如：盜竊、故意破壞、病毒等； 硬件故障，如：硬盤劃傷等； 軟件故障，如：系統(tǒng)軟件出錯等； 人為因素，如：誤操作、誤刪除等；但隨著企業(yè)計算機規(guī)模的擴大，數(shù)據(jù)量幾何級的增長以及分布式網(wǎng)絡環(huán)境的興起，企業(yè)將越來越多的業(yè)務分布在不同的機器、不同的操作平臺上，這種單機的人工冷備份方式越來越不適應當今分布式網(wǎng)絡環(huán)境，存在以下種種弊端：(1)數(shù)據(jù)管理工作難以形成制度化，數(shù)據(jù)丟失現(xiàn)象難以避免；(2)數(shù)據(jù)分散在不同的機器、不同的應用上，管理分散，安全性得不到保障；(3)難以實現(xiàn)數(shù)據(jù)庫數(shù)據(jù)的高效在線備份；(4)運行著的系統(tǒng)使得維護人員寸步難