某数字化城管租用云服务项目实施方案_区数字化城管实施方案
某数字化城管租用云服务项目实施方案由刀豆文库小编整理,希望给你工作、学习、生活带来方便,猜你可能喜欢“区数字化城管实施方案”。
XXXX数字化城管租用云服务项目实施方案
XXXX数字化城管租用云服务
项目实施方案
目录一、二、三、四、五、六、七、总体建设原则..................................................................................................2 总体建设价格................................................................错误!未定义书签。总体建设思路..................................................................................................4 项目建设目标..................................................................................................6 项目技术方案..................................................................................................8 技术方案优势................................................................................................16 项目产品介绍................................................................................................21
XXXX数字化城管租用云服务项目实施方案
一.总体建设原则
为实现上述目标,在系统的建设中应遵循以下原则:
先进性
充分考虑当前计算机软硬件技术的新成果,建立一个符合国际标准、开放、高性能、易管理的计算机数字化系统。
规范性
严格遵循国家的相关技术规范和业务规范的要求,应对平台进行整体规划。
科学性
符合六合城管局当前业务要求和今后一段时期的发展需要,逐步建立一个具有现代化管理、通讯手段的云计算网络,提高系统科学性。
可行性
在一定资金资源下,建立一个高水平的、完善可行的信息化系统。
安全性
通信行业对网络的整体安全性有较高的要求,系统安全建设应同步建设,除了能够在多个层次上实现安全目标,还需要建立完善的安全管理体系。
可管理性
建立完善的运行管理体系,提供强大的网络管理工具与手段,确保系统性能充分发挥,系统运行可靠、稳定。
可扩展性
整个系统平台系统采用开放的结构,符合国际标准,适应技术的发展和变化,充分考虑到XXXX数字化城市管理系统目前业务的需求和今后较长时间内的业务发展需要,网络采用高速主干技术,智能化网络管理技术,适应业务系统扩充和技术发展的要求。
XXXX数字化城管租用云服务项目实施方案
二.总体建设架构
1.统一规划、总体设计
注重XXXX信息化建设的分阶段性,统一标准、统一规划,结合XXXX作为南京市快速发展中区域的整体优势和管理特色,结合XXXX已经建立的地理信息资源、网络资源等已有的基础信息优势,综合考虑系统建设的总体要求,全面梳理 3
XXXX数字化城管租用云服务项目实施方案
XXXX城市管理业务流程,建立各职能部门的典型业务模型。在此基础上,从管理、决策、统计、信息交换等四个方面入手,合理规划各部门的计算机应用系统,并根据用户的实际需要,对目标系统进行全面地、系统地总体设计,确保系统满足用户各个阶段的建设需要,同时避免信息孤岛带来的高成本、低效率、难维护。
2.分步实施、统一集成在统一规划的基础之上,根据XXXX信息化建设的进展,根据总体建设规划,分期分批分区域进行系统建设,力求积极稳妥、勤俭节约。在统一规划和设计的指导下,先建设系统的基础支撑层次的平台系统,做好系统集成的标准体系建设,为不同阶段应用子系统的集成工作提供统一的技术框架。
3.实用为主、整合资源
XXXX各类信息系统的建设应客观地满足当前和未来一段时间的发展需要,紧密结合自己的工作内容,有的放矢地开展急需系统的建设,将有限的资金投入到必须的项目建设上,特别是建设XXXX的数字城市管理系统,由于面积广、数据大、人员多、部门多,因此实用和够用是建设该项目应该重点考虑的问题。在XXXX数字化城市管理系统建设过程中,以功能实用为主,充分利用已有的网络基础、业务资源、信息资源、环境资源,采用选用成熟的软件产品和应用系统相结合的建设方针。
4.技术先进、行业领先
在系统规划过程中,要充分考虑先进的技术,先进的方法,要采用符合国际发展潮流的技术,要有前瞻性。另一方面,在系统建设过程中,还要充分把握技术的稳定性和成熟性,使得XXXX城市管理信息化项目,既能够达到国内的领先水平,又能满足城市管理长效管理的应用要求。
三.总体建设思路
XXXX城市管理局信息化平台本期建设规划于“三个中心”理念,即办公中心、指挥中心、数据中心。办公中心指的是XXXX城管局工作人员的办公地点,办公中心是信息化系统的基础,因为其是数据中心的拥有者,是指挥中心的领导者,所以办公中心要统筹管理数据中心与指挥中心;指挥中心实际是指挥、监控中心,其主要作用是:
XXXX数字化城管租用云服务项目实施方案
1.远程运维、监控数据中心;
2.通过大屏调取显示交通部门视频监控; 3.创建呼叫中心平台。
数据中心即建设的核心,规划将信息化平台部署并托管在电信五星级机房,数据中心的作用是提供对外服务的业务系统以及配套的核心数据库系统、安全系统等,还需要做三个中心访问即流量的疏导。
数据中心网络部分建设:数据中心规划设计一台防火墙作为系统接入设备,用于汇聚连接办公中心、指挥中心、手机客户端、公安交通系统以及Internet外网等。接入防火墙下联核心交换机,核心交换机为所有网络数据交换处理的中心,负载“三中心”业务系统大部分数据;核心交换机下为接入交换机,作为城市管理局系统服务器的接入网络服务;在核心交换机上旁挂入侵检测设备,用于对城市管理局系统平台网络进行安全检测,针对潜在的或已经出现的故障隐患进行告警、分析并提出解决方法;在核心交换机上旁路SSL VPN设备,用于对接入试用XXXX城市管理局的使用者进行身份安全加密认证,保证系统平台安全性;在核心交换机上旁路数据库审计设备,用于对XXXX城管局核心数据库系统进行审计分析,保障核心数据库安全性、稳定性。
数据中心底层业务及数据库系统的部分建设:配置应用服务器,用于部署城管局本期规划信息化系统,用于对外提供服务;配置城管通服务器,用于承载配套城管通统业务服务;配置GIS服务器,用于承载地理信息系统数据,其数据库建议部署在服务器本地硬盘;配置数据交换服务器,用于对城管局数据进行交互服务;配置数据库服务器,用于承载本期规划城管局信息化平台业务的数据库信息;配置稳定、高效FC SAN系统,即冗余光纤交换机和光纤存储设备,用于存储数据库系统数据;配置在线保护设备,备份、同步城管局信息化平台数据库数据和服务器操作系统数据,保证数据库、业务的安全性。
系统链路部分建设:配置独立双光纤100M宽带互联网链路,用于数字化城管平台外网访问;配置主备双专线,主专线100M,备用专线10M用于六合数字化城管数据中心到指挥中心的专线访问;配置100M专线用于六合公安视频监控中心与六合城管指挥中心专线访问;配置100M独立双光纤宽带互联网链路,用于指挥中心外网访问;配置12319平台2M语音数字中继线。
XXXX数字化城管租用云服务项目实施方案
本期项目建设充分考虑用户实际试用需求,目前XXXX城市管理局信息化系统处于第一期建设阶段,系统业务会从零开始逐步上线,所以本期六合数字城管项目建设的重点是信息化基础底层架构的建设,即主要是针对数据库、数据存储底层的建设(FC SAN架构建设、数据库双机架构等),在不浪费投资的同时又保持建设系统的高度的可扩展性(增加服务器、存储容量或者存储等简单方式),以满足XXXX城管局信息化系统未来的快速发展需求。
本期项目总体架构及方案以XXXX城市管理局角度考虑,综合考虑目前XXXX城市管理局现状及未来发展,细化设计,保障设计方案项目总体设计方案的科学性、先进性、可行性,所投产品选取目前市场上最先进主流的品牌设备及技术使总体架构方案具有一定的前瞻性。
四.项目建设目标
4.1项目总体目标
XXXX城市管理局本期项目建设会依据建设部标准,以管理创新为基础,以信息资源管理为核心,以网络中心和数据中心为支撑,以协同应用为主导,以“执政为民”为目的,建成功能完善、高效实用、高度集成,具有国内区县级先进水平的数字化城市管理平台。
总体目标包括:
1.建立科学合理的城市管理体系,促进“大城管”格局的形成,解决条块协同工作的问题;
2.充分共享现有资源,利用信息化手段建立数字化城市管理平台,拓展各种技术手段,促进城市管理体系高效运行;
3.建立切实有效的综合评价体系,保障数字城管工作的长效运行。4.建立并优化XXXX数字化城管系统的软硬件运行平台,完成并整合数字化城管系统的各个分子系统;
5.在系统运行平台上部署XXXX数字城管系统软件,完成XXXX数字化城管系统的整体实施和集成。
6.建设XXXX级监督指挥中心,实现对全区城管部门的考核和督察。7.实现纵向业务贯穿、横向分工协作,把传统城市管理中分散管理转换为集中管理,统一领导、统一决策、指挥、管理、协调和监督的数字化城市管理体
XXXX数字化城管租用云服务项目实施方案
系。
8.依托现在的XXXX电子政务网络进行建设整合,建立相应数据交换接口,保证各个平台、系统之间的数据共享。
9.建设与共享“110”警用监控设备和XXXX数字城管12319服务中心平台;依托XXXX数字化城市管理监督指挥中心,充分发挥公安、规划、建设、交通、环保、工商、水利等相关职能部门的主管作用,建立和完善工作例会、情况通报、联系走访等制度和机制,以制度化形式来明确和规范工作衔接配合,形成城市管理职能设置相交叉的各专业部门之间、各层级之间的良好协同联动关系。
4.2项目阶段目标
本项目为XXXX数字化城市管理系统建设工程,项目建设遵循“统一规划、分步实施”的原则,根据现有条件逐步实施。我们认为XXXX数字化城市管理系统的建设本期建设内容:
本期建设内容:
本期(即本期项目)在2015年10月底建成数字化城市管理平台,完成各业务系统建设以及系统集成。
1.数字化城市管理的体制机制建设,确定管理业务流程,组建数字化城市管理监督指挥中心,建立监督评价体系及绩效评价体系;
2.本期建设范围内的基础地理数据修测,一期建设范围内的城市部件和地理编码普查工作,确定部件数据的属地与属主;
3.数字化城市管理监督指挥中心的场地建设,相关各机构的相应人员、设施配备;
4.数字化城市管理系统的有线、无线网络建设; 5.数字化城市管理系统相关运行环境、安全体系的建设;
6.数字化城市管理系统应用软件系统开发建设,包括九大标准子系统及拓展子系统;
7.建设与南京市数字城管系统的接口系统。
XXXX数字化城管租用云服务项目实施方案
五.项目技术方案
5.1边界访问控制
六合城管信息系统的边界之内包含多个不同网段的出口区域,汇聚层与核心层之间通过交换机进行边界逻辑划分,边界环境较为明朗,但如果没有一个可集中控制访问请求的措施,也很容易被恶意攻击者或其它企图人员利用这些边界进行非法入侵。入侵者可以利用多种入侵手段,如获取口令、拒绝服务攻击、SYN Flood攻击、IP欺骗攻击等等获取系统权限,进入系统内部。所以需要对边界部署访问控制系统,有效地监控内部网和其他网之间的活动,并对数据进行过滤与控制,保证业务系统的安全。
防火墙是解决网络边界安全的重要设备,它主要工作在网络层之下,通过对协议、地址和服务端口的识别和控制达到防范入侵的目的,可以有效的防范基于业务端口的攻击。
防火墙采用高性能的硬件架构和一体化的软件设计,除了实现了状态检测防火墙功能,还同时支持VPN、上网行为管理、抗拒绝服务攻击(Anti-DoS)、内容过滤、AV、入侵防御等多种安全技术,同时全面支持QoS、高可用性(HA)、日志审计等功能,为网络边界提供了全面实时的安全防护。
防火墙可直接通过功能许可激活的方式,获得包括防病毒(AV)、入侵防御(IPS)、防垃圾邮件(Anti-Spam)和内网安全功能。
六合城管可采用防火墙技术实现不同网络区域之间的安全访问控制,有效抵制来自非信任区域的黑客攻击和降低整个网络的安全威胁。
本方案推荐天清汉马下一代p系列USG防火墙产品,天清汉马USG防火墙采用了一体化的设计方案,在一个产品中协调统一地实现了接入安全需要考虑的方方面面。采用天清汉马USG防火墙,可以从整体上解决了接入安全的问题。用户可不必考虑产品部署、兼容性等困惑,也不再因为多个产品难于维护管理而苦恼,天清汉马USG防火墙是低成本、高效率、易管理的理想解决方案。
XXXX数字化城管租用云服务项目实施方案
5.2入侵检测系统
根据六合城管的网络结构现状,建议在内部网络区域与其他网络区域之间部署天清汉马下一代p系列USG防火墙设备,采用串联方式部署在网关设备和内部核心交换机之间,通过配置防火墙访问控制策略实现对整个外网区域的安全防护效果。
从当前的网络拓扑结构来看,在不同的区域网络出口,及网络主干链路上,虽然部署了防火墙设备,但防火墙的作用主要是网络层、传输层的访问控制,而针对来自非信任网络的网络攻击、入侵等恶意行为无法做到有效检测及阻断。
访问控制系统(如防火墙)可以静态的实施访问控制策略,防止一些非法的访问等。但对利用合法的访问手段或其它的攻击手段(比如,利用内部系统的漏洞等)对系统入侵和内部用户的入侵等是没有办法控制的。因此系统内需要建设统一的符合国家规定的安全检测机制,实现对网络系统进行自动的入侵检测和分析,对非法信息予以过滤,提高系统整体安全性。
信息系统的边界之内包含多个局域网以及计算资源组件。边界环境是比较复杂的,很容易被恶意攻击者或其它企图人员利用这些边界进行非法入侵。入侵者可以利用多种入侵手段,如获取口令、拒绝服务攻击、SYN Flood攻击、IP欺骗攻击等等获取系统权限,进入系统内部。所以需要有效地监控内部网和非信任网之间的活动,并对数据进行过滤与控制,保证内部网络的安全。
目前六合城管网络系统缺乏整体的入侵检测手段,这样会导致对信息系统安全状况不了解,无法定位问题源以及进行安全建设效果的评估。因此建议采用入侵检测系统,在网络系统内部署。通过入侵检测系统的部署,可以达到三个效果:其一,做到对整个网络区域信息系统安全状况的实施监控与报告;其二,利用入侵检测技术识别威胁来源,并根据威胁调整安全策略;其三,通过入侵检测系统的安全性分析对比,了解网络安全建设效果,对之进行评估。
入侵检测系统应支持对所有TCP/IP协议的分析,而对在此基础上衍生出的新型应用层协议,支持动态协议插件技术,可以根据实际情况,在协议分析组中即时增加应对新型协议的分析方法,做到对网络数据的全面协议分析。入侵检测系统需融合基于原理和基于特征的两大类检测机理,在检测机制方面,保证全面
XXXX数字化城管租用云服务项目实施方案
性要求。入侵检测系统除了提供对网络具体事件的检测外,还需提供对流量的检测。很多安全事件往往伴随着网络流量的异常,对流量异常事件的及时发现和处理,可以有利于扩大管理员的检测范围。有效呈现是入侵检测产品的用户价值体现,入侵检测系统作为风险管理产品,设备本身并不直接给用户带来价值,不会自动阻断攻击或者是帮助用户修补漏洞,所能带来的价值是通过将收集到的信息呈现给用户而实现的。
建议部署天阗入侵检测与管理系统,实时抓取分析网络数据,判断是否有违规或者是恶意行为发生并告知网络管理员,协助用户了解网络的内部状况,为用户的网络安全建设提供决策依据。根据六合城管的网络结构现状,建议在网络核心区域部署天阗入侵检测与管理系统,将入侵检测系统引擎旁路连接在网络区域核心交换机上,同时在管理终端安装入侵检测系统控制台,实现对网络入侵行为的有效检测、呈现以及报表分析等效果。
5.3数据库安全审计
对于六合城管信息化网络系统来说,数据库的应用在整个IT系统中起到至关重要的作用,web应用系统提供对不同用户的访问接口,同时服务器区域中其他应用服务器的数据库中储存着极其重要和敏感的信息。一旦发生来自非信任网络的恶意访问或则黑客入侵行为,则数据库中的数据将面临被篡改或者泄露的风险,轻则造成六合城管的经济损失,重则影响政府形象甚至社会安全。
随着六合城管信息化进程不断深入,业务系统也将变得日益复杂,由内部员工违规操作导致的安全问题会变得日益突出起来。防火墙、防病毒、入侵检测系统等常规的安全产品可以解决一部分安全问题,但对于内部人员的违规操作却无能为力。
权限划分混乱,高权限账号(比如DBA账号)共用等问题一直困扰着网络管理人员,高权限账号往往掌握着数据库和业务系统的命脉,任何一个操作都可能导致数据的修改和泄露,最高权限的滥用,让数据安全变得更加脆弱,也让责任划分和威胁追踪变得更加困难。
管理人员总是试图定义各种操作条例,来规范内部员工的访问行为,但是除了在造成恶性后果后追查责任人,没有更好的方式来限制员工的合规操作。
XXXX数字化城管租用云服务项目实施方案
我们经常从各种系统日志里面去发现是否有入侵后留下来的“蛛丝马迹”来判断是否发生过安全事件。但是,系统往往是在经历了大量的操作和变化后,才逐渐变得不安全。另外的情况是,用户通过登录业务服务器来访问数据库等核心资产,单纯的分析业务系统或者数据库系统的日志,都无法对整个访问过程是否存在风险进行判断。从系统变更和应用的角度来看,网络审计日志比系统日志在定位系统安全问题上更可信。
围绕数据库的业务系统安全隐患如何得到有效解决,一直以来是IT治理人员和DBA们关注的焦点,解决方案主要集中在管理和技术两个层面:
管理层面:完善现有业务流程制度,明细人员职责和分工,规范内部员工的日常操作,严格监控第三方维护人员的操作。
技术层面:除了在业务网络部署相关的信息安全防护产品(如FW、IPS等),还需要专门针对数据库部署独立安全审计产品,对关键的数据库操作行为进行审计,对统方行为进行审计,做到违规行为发生时及时告警,事故发生后精确溯源。
不过,审计关键应用程序和数据库不是一项简单工作。特别是数据库系统,服务于各有不同权限的大量用户,支持高事务处理率,还必须满足苛刻的服务水平要求。商业数据库软件内建的审计能力不能满足独立性的基本要求,还会降低数据库性能并增加管理费用。
数据库安全审计系统,需要既能独立审计针对数据库的各种访问行为,又不影响数据库的高效稳定运行。具体设计应考虑以下几个方面:
实用性:由于业务系统数据在数据库中进行集中存储,故对于数据库的操作审计需要细化到数据库指令、表名、视图、字段等,同时能够审计数据库返回的错误代码,这样能够在数据库出现关键错误时及时响应,避免由于数据库故障带来的业务损失;
独立性:审计系统应具备统一的策略、集中的审计,适用于不同的设备、操作系统、数据库系统和应用系统的审计要求,并对这些系统不造成影响. 灵活性:审计系统应提供缺省的审计策略及自定义策略,能够对重要操作、重要表、重要字段进行定义并审计,能够根据用户的业务特点进行 11
XXXX数字化城管租用云服务项目实施方案
策略的编辑。
易用性:审计系统应能够基于操作进行分析,能够提供主体标识(即用户)、操作(行为)、客体标识(设备、操作系统、数据库系统、应用系统)的分析和审计报表
扩展性:当业务系统进行扩容时,审计系统可以平滑扩容。系统支持向第三方平台提供记录的审计信息。
可靠性:审计系统能提供足够的存储空间(1000G以上),满足在线存储至少6个月的要求;审计系统能够保证审计记录的时间的一致性,避免错误时间记录给追踪溯源带来的影响。
安全性:分权限管理,具有权限管理功能,可以对用户分级,提供不同的操作权限和不同的网络数据操作范围限制,用户只能在其权限内对网络数据进行审计和相关操作,具有自身安全审计功能。
本方案推荐天玥网络安全审计系统,它基于“IP数据俘获→应用层数据分析→审计和响应”实现各项功能,设计中充分贯彻了平台化的思路;由于采用旁路接入的工作模式,使得天玥系统在实现各种安全功能的同时,对原系统的影响降到最低。
根据六合城管的网络结构现状,建议在网络系统核心交换机上旁路部署天玥网络安全审计系统,实现针对业务环境下的网络操作行为进行细粒度审计的合规性管理。
通过配置SSL VPN网关,将XXXX城管局平台试用用户临时性的需要访问系统内部资源发布到SSL VPN平台上,只为使用者开放某些系统的访问权限,利用SSL的多种加密和认证方式保障使用的安全。对使用者来说,不需要安装任何客户端软件、通过浏览器就可以实现WEB安全接入,对管理员来说,避免了管理员大范围客户端的安装和配置问题,提高XXXX城管局系统安全性。
5.4稳定性的FCSAN FC光纤通道按协议层进行分层,各层之间技术相互独立,留有增长空间,并且由被认可的标准化机构进行开发,FC中的流量控制机制是在信用度系统上
XXXX数字化城管租用云服务项目实施方案的基础上。所谓的信用度(Credit)是指设备接受额外帧的能力。信用度的多少决定了设备接收额外帧能力的大小。如果接受方没有向发送方发出任何的信用度,那么发送方就不能发送任何帧,在信用度的基础上协调帧传送,可以避免帧的丢失,同时减少了对整个帧序列进行重传的频率。实际上,这种基于信用度的机制建立在终端节点能够提供的缓冲区(TX-Buffer和RX-Buffer)的数目上,这些缓冲区用于存储到来的数据流。
对网络的适应性 FC采用基于信用的流量控制机制,当接受者有足够的缓存接受发信者的数据时,接受者把Credit(信用度)分配给发信者。它根据发送者的请求分配Credit,仅当发送者没有用完它的Credit时,它才可以发送数据。在MAN/WAN中,发送者必须要等待很长时间来获得接受者的确认消息(以向网络发送新的数据)。
5.5系统数据在线保护
本次项目城管局规划部署2台数据库服务器,互为HA双机热备;另外,还有GIS、应用、城管通、Web、数据交换等6台应用服务器,均为windows server 2012或Linux主流操作系统。所有数据库服务器以及应用服务器后端部署了一台双控磁盘阵列。为防止服务器和磁盘阵列因物理或逻辑错误而出现数据丢失,保障系统数据安全,用户需部署一台系统数据在线保护设备,实现对数据、应用、操作系统、磁盘阵列的全面保护,当服务器出现数据丢失时,可以通过该保护设备快速地找回丢失数据;当服务器出现系统故障时,可以通过该保护设备快速地恢复系统,当磁盘阵列出现故障时,可作为应急存储设备为服务器提供服务。并且设备需满足以下功能需求:
(1)可针对windows、linux两种不同平台的数据库、操作系统进行实时备份
(2)具备数据块级实时复制功能,I/O级数据同步,源端数据一旦发生变化,灾备端能实时同步,可实现秒级RPO指标。
(3)提供CDP连续快照数据备份机制。随时手动创建快照或设定策略自动化创建CDP快照,可实现不低1次/分钟的密集数据保护。
(4)提供回滚以及SAN映射等数据验证机制,可在设备上便捷挂载快照实
XXXX数字化城管租用云服务项目实施方案
现快照信息的查看、访问、验证,可通过SAN映射秒级恢复历史数据并保证数据可用性。
(5)当生产服务器出现故障时,可通过容灾服务器或虚拟机在线接管生产服务器业务,确保应用连续性;当生产服务器修复正常后,可以支持将容灾服务器接管后的新增业务数据恢复到生产服务器。
联创信安的CDP一体机基于数据同步复制技术,通过实时同步I/O,实现数据从源端到目标端的持续捕获,并且可以全自或手动创建数据恢复点,以确保数据发生错误时,恢复数据到最新的时间点。
恢复点采用基于时间点的快照技术,以块级增量快照的方式记录下数据源卷的变化,产生多个基于时间点数据影像。当用户需要恢复数据时,只需要找到CDP一体机中相应的恢复点(快照),直接进行恢复,就可以使源端数据恢复到恢复点状态;也可以手动挂载快照到某台计算机上,查看、复制其内容或者将其共享于网络,供其他主机使用、数据验证、灾备演练等。对快照数据的操作不会影响到生产应用系统,并且数据快照可以多次使用,用户可以基于数据快照进行功能测试或数据挖掘,使数据的价值最大化。
5.6项目未来发展趋势
未来发展在本期的基础上从扩大监管区域范围、拓展系统功能、完善机制体制为主开展。
1.扩充现有管理队伍,使数字化城管可以深入城市的各个角落; 2.完成未来扩展的20平方公里的数据普查工作,拓展建设范围的城市部件和地理编码普查工作;
3.将管理范围扩展至XXXX周边街镇,并建设街镇二级平台,新增部门、街镇的运行环境及网络建设;
4.拓展更多符合城市管理应用需要的应用系统。
XXXX数字化城管租用云服务项目实施方案
5.7充足平台扩展性
本期六合数字城管项目建设的重点是信息化基础底层架构的建设,即主要是针对数据库、数据存储底层的建设(FC SAN架构建设、数据库双机架构等),在不浪费投资的同时又保持建设系统的高度的可扩展性,系统可以通过增加业务服务器来扩展信息化业务应用对系统平台无影响、可以通过给存储在线添加硬盘或者增加存储的方式扩展系统平台存储容量等方式来满足XXXX城管局信息化系统未来的快速发展需求。
六.技术方案优势
6.1项目架构总体优势
1.项目设计方案根据XXXX城管局现状及未来发展趋势了解清楚。中国电信股份有限公司南京分公司在XXXX城市管理区信息化平台项目有想法初期就开始了接触交流,对于用户目前的现状及用户所想要发展的方向有比较深刻的了解,所以总体设计方案对于甲方的阶段性发展需求相吻合 ;
2.项目系统架构核心部件冗余化设计。项目系统总体架构设计中对与城管信息系统最核心的(负载较高)设备如核心交换机、接入交换机、数据库服务器等进行了冗余化设计,防止系统平台核心部件单点故障;
3.系统架构安全防护考虑完善。项目系统总体架构设计中对于平台安全防护的考虑尤其完善,首先对于试用六合数字化城管信息系统的用户会进行防火墙防护、SSL VPN加密防护、IDS安全攻击检测防护等多重防护,保障系统免受网络攻击的威胁;其次对于信息化系统的核心数据库系统,设计采用数据库安全审计系统对数据库行为进行审计保护,保障核心数据库平台的安全性;对于信息系统内操作系统及存储数据,设计采用系统数据在线保护设备,保障服务器操作系统及存储数据的安全性,避免数据丢失;在通讯链路方面,总体设计架构设计指挥中心、数据中心、公安视频中心之间的访问采用电信百兆专线链路,保障通讯的安全性,其中最为重要的数据中心与指挥中心之间采用冗余链路设计,避免单链路故障问题。
XXXX数字化城管租用云服务项目实施方案
4.六合数据中心机房环境及维护优势。电信六合数据中心为国家五星级数据中心,其数据中心内的安防、消防、机房辅助环境都达到国家较高标准;六合数据中心还配备了专业的具备多年工作经验的数据中心维护人员,能够在最快时间内知晓并解决用户系统问题。
6.2防火墙产品优势
启明星辰天清汉马USG-FW-12600GP具备以下几点优势: 完善的防火墙特性
——支持基于源IP、目的IP、源端口、目的端口、时间、服务、用户、文件、网址、关键字、邮件地址、脚本、MAC地址等多种方式进行访问控制
——支持流量管理、连接数控制、IP+MAC绑定、用户认证等 多样化的应用过滤
——基于屏蔽列表、免屏蔽列表、关键字技术的Web过滤功能,同时提供Java Applet、Cookie、Script和Object的内容过滤功能
——基于黑名单、白名单、邮件主题、附件名称、邮件大小和SMTP命令的邮件过滤功能
安全丰富的VPN使组网变得简单
—— 多VPN支持:GRE、IPSec、L2TP、SSL VPN ——丰富的应用:专用的VPN客户端、USBKEY、动态口令卡、图形认证码 ——灵活的部署:Hub-Spoken、Full-Mesh、DVPN/网关—网关的SSL VPN 完善的P2P、IM、流媒体、网络游戏和股票软件控制能力
——P2P控制:对Emule、BitTorrent、Maze、Kazaa等进行阻断、限速 ——IM控制:基于黑白名单的IM登录控制、文件传输阻止;支持主流IM软件如QQ、MSN、雅虎通、Gtalk、Skype ——流媒体控制:对流媒体应用进行阻断或限速,支持Kamun ppfilm、PPLive、PPSteam、QQ直播、TVAnts、沸点网络电视、猫扑播霸等
——网络游戏控制:对常见网络游戏如魔兽世界、征途、QQ游戏大厅、联众游戏大厅等的阻断
—— 股票软件控制:对常用股票软件如同花顺、大参考、大智慧等的阻断
XXXX数字化城管租用云服务项目实施方案
强大的日志报表功能
——记录内容丰富:可对防火墙日志、带宽使用日志、Wwb访问日志、Mail发送日志、关键资产访问日志、用户登录日志等进行记录
——日志快速查询:可对IP地址、端口、时间、危急程度、日志内容关键字等进行查询
——报表贴近需求:根据用户具体需求,定制报表内容、定制报表名称、定制企业LOGO,并可形成多种格式的报表文件
方便的集中管理功能
——通过集中管理与数据分析中心实现对多台设备的统一管理、实时监控、集中升级和拓扑展示
可软件升级支持UTM
——采用高性能的硬件配置,具备向UTM升级的硬件基础设施保证 ——经授权后可软件升级,设备无需下线、无需返厂直接升级为UTM ——升级后具备完整UTM功能,相关功能特征库授权后可实时在线更新
6.3入侵检测系统产品优势
启明星辰天阗NT3000-LT-SRP产品具备以下几点优势: ●全面检测
——全面信息收集:天阗IDS支持多级、分布式部署,实现策略统一下发,信息集中收集。
——全面协议分析:天阗IDS支持协议自识别与协议插件技术,可准确识别非常规端口的协议和新型协议。
——全面检测机制:天阗IDS支持基于特征和基于原理的两种检测方式,在保障检测精度的基础上,扩大了检测可识别的范围。
——全面事件分析:启明星辰有一套业界最规范的后继服务支撑体系,确保对新型事件的快速准确响应。
——全面检测范围:天阗IDS提供网络入侵事件、网络违规事件、流量异常事件等多种异常检测。
XXXX数字化城管租用云服务项目实施方案
——全面检测性能:天阗IDS采用最短时间优先算法,确保了产品在网络数据高负载情况下的检测效率。
●有效呈现
——精确报警信息:天阗IDS结合了环境指纹技术,在发现有攻击行为后,与存储的环境信息进行二次匹配,将那些能够确信为“有用”的报警信息单独呈现,减少用户的分析操作消耗。
——详尽信息呈现:天阗IDS的报警信息除了事件的双方地址、协议等信息外,还包括了对事件的具体描述、漏洞信息、修补建议、影响系统等,可以将最细致的事件信息呈现给用户。
——威胁地址定位:天阗IDS提供与实际地理拓扑相结合的报警显示方式。在大规模部署的情况下,可以将设备拓扑与地理拓扑相结合,使得管理员可以直观而迅速的判断威胁所在。
——丰富报表展现:天阗IDS提供基于时间、地址、事件等多重参数信息的分析报表,结合历史分析数据,可清晰展现安全建设发展趋势,协助考量网络安全建设水平。
6.4数据库安全审计设备优势
启明星辰天玥GE1000E审计引擎具备以下几点优势: 深层监测
● 强大的协议解析能力:天玥审计系统融合了语义检测技术和特征检测技术,实现三到七层的协议分析,特别是在数据库SQL语句的语义解析领域处于国内领先地位。系统通过对审计事件、会话信息、会话数据的完整记录和回放,方便管理员进行全局管理。
● 全面的协议覆盖能力:天玥审计系统提供了对不同类别数据库系统的审计,支持包括,Oracle、DB2、Sybase、Informix、SQL Server、Teradata、MySQL、PostgreSQL、Cache等多个版本的数据库系统,能够实现绑定变量、SQL命令和字段级的审计;针对运维操作审计,支持包括,Telnet、FTP、Rlogin、X11、Radius等协议,能够实现命令级和过程级的内容审计;针对OA操作审计,支持包括Netbios、SMTP、POP3、HTTP等协议,能够实现URL、邮件内容的审计。
XXXX数字化城管租用云服务项目实施方案
● 多码环境的适应能力:天玥审计系统具备识别多种编码的能力,支持包括ASCII、Unicode、UTF-
8、UTF-
16、GB2312、EBCDIC等编码格式,避免因编码格式不同而导致审计记录出现乱码的情况,保证了审计记录的可读性。
● 灵活的规则定义能力:天玥审计系统预置了业界最全面的审计规则集,涵盖了用户常用的网络操作行为。同时为用户提供了便捷的规则自定义功能,能够根据时间、IP、端口、协议、帐号、操作命令、数据库名、数据库表名、字段名、字段值、返回值等多种条件的规则组合,制定符合用户自身业务环境的审计规则。
● 高速的事件入库能力:天玥审计系统采用了固化硬件架构设计,超大容量数据存储空间,优化的数据存储引擎,在审计策略全部开启环境下,审计事件每秒入库速率达到万条以上,达到国内最高水平,从而避免用户在事后追踪溯源过程中,出现审计事件漏报的问题。
精确溯源
● 独特的端口认证功能:系统提供了USB硬件令牌、静态口令、Radius三种认证方式,实现网络TCP端口访问的强制认证,用户可灵活选择。实现对自然人的绑定,当自然人在进行网络操作时,其真实身份与其网络行为进行关联,从而实现对自然人的追踪和稽查。
●高效的源头跟踪能力:系统能够针对用户网络环境中出现的指定帐号(比如Root、DBA)、指定应用程序(比如SQLPLUS、PL/SQL),进行随时触发、随时跟踪,减少审计事件过多带来的管理负担。
●及时多样的响应方式:系统提供了多种响应方式,支持包括记录、忽略、定级、界面告警、RST阻断、Syslog、SNMP Trap、邮件发送等技术手段,并可与第三方管理平台进行联动(如SOC平台、4A平台等),帮助用户实时掌握审计信息。
● 易于扩展的分析条件:系统提供了多达20余种的查询条件,条件之间可任意组合,支持与、或、非逻辑运算规则,系统还提供特有的审计取证功能,简化了分析条件的操作,减少了维护工作量,促进了用户内审经验的传递。
XXXX数字化城管租用云服务项目实施方案
● 多种维度的合规报告:系统提供60余种报告模板,用户也可以根据自身业务特点生成自定义报表,报表格式包括HTML、EXCEL、CSV、PDF、Word等,提供从宏观数据到微观事件的决策依据。
6.5SSL VPN产品优势
深信服VPN 3050具备以下几点优势:
1.安全性。SSL VPN的一个显著特点就是客户端的易用性,客户端事先并不需要安装任何程序,只要在IE浏览器中输入M5450-S对应的公网IP地址(在动态IP环境下访问WebAgent或动态域名)即可进行安全访问接入。根据接入用户的分布,本方案建议远程用户采用以下四种登录方式,分别是用户名密码方式,USB key方式,动态短信码方式及硬件特征码认证。
2.可管理性。SINFOR SSL VPN安全网关能够为管理员访问也提供和普通用户相同的安全保障手段。根据企业内部的管理形式,深信服将设备管理员分为超级管理员和受限管理员,受限管理员只能管理所辖组的用户、用户组、所在组的硬件特征码、关联所在组的角色,不能对于不在所辖组的用户进行管理和维护。
6.6存储协议的优势
在存储环境中,发出的块I/0请求的大小一般介于4K到64K之间。以8K的块I/0请求为例,FC的帧大小是2K。因此8K的块I/O请求必须被分成多个小的段,以适应不同的传输帧大小。在FC中,分段和重组操作是在网卡中实现的,因此减轻了主机CPU的负担。所以FC SAN环境保障了XXXX城管局信息化系统稳定性。
6.7系统数据在线保护设别优势
联创信安CDP容灾一体机作为新一代数据保护产品,具有以下产品优势: 1)实时备份瞬间恢复:采用实时备份瞬间恢复;一分钟找回丢失数据;3分钟修复数据错乱;5分钟重建瘫痪主机。
2)先进的备份恢复技术:I/O颗粒级实时备份(RPO趋近于0);瞬间恢复
XXXX数字化城管租用云服务项目实施方案
机制(RTO不再是难题);支持多种传输协议:TCP/IP、FC;数据一致性确认技术;多点自动快照,历史数据轻松获取;快照副本数量不受限制;瞬间恢复,数据立即可用;开放式架构,支持异构存储;易于维护,简单的图型化管理。
3)全面立体防灾:全面保护数据、应用、系统、存储;轻松应对物理和逻辑故障和灾难;支持众多历史数据副本保留;随时实现:数据恢复、灾备演练、数据验证等操作;支持P2P、P2V、V2V、SAN BOOT多种系统重建方式。
4)智能的容灾一体化:采用Console图型化集中管理,所有操作都在Console完成,交互体验更友好;备份恢复大部分操作在后台全自动完成。
5)产品亮点:全面保护应用系统;快速恢复业务运行。
七.项目产品介绍
7.1XXXXNF5280M4
能特性
高效智能,弹性扩展,为全新应用优化
全新智能计算加速技术,根据应用需求智能调节,进行优化。
采用最新的内存技术,更高密度、更大容量为企业虚拟化和业务处理提供更好的性能。
XXXX数字化城管租用云服务项目实施方案
最新的硬盘接口技术,消除存储瓶颈,大幅提升存储性能。
可提供灵活、弹性的I/O功能,支持XXXXFLOM技术,实现极速网络I/O,用户根据应用的网络带宽需求,进行自由扩展,实现网络性能飞跃。
在2U机箱狭小空间内可提供6个标准高速PCI-E 3.0扩展槽和1个专用PCI-E扩展槽,支持多达4个全长全高卡,满足高端客户对系统功能和性能的需求。
绿色节能,安全可靠,为全新数据中心优化
XXXX最新优化的系统环境动态感知和调控技术,可通过精确设置在系统内部的多个温度传感器,实时传递服务器内部温度信息,并对设备内的热插拔冗余风扇动态调节,配合先进的风冷系统实现最佳工作环境,保障系统稳定运行。
采用业内最优的元器件,配合高效电源设计,可比其他方案节能多达20%。XXXX供货管理技术可帮助用户对系统功耗,进行精确的实时监测和控制,进一步提高整体IT架构的能效表现。同时支持最新可信加密技术,保护客户数据安全。
易维护,易管理,提高工作效率
内嵌服务器智能管理芯片,可实现完整的IPMI 2.0远程系统监控、远程KVM、虚拟媒体等各种管理功能。
可支持内嵌大容量闪存,内载XXXX睿捷服务器管理套件v5.2版,可极大简化用户的设备部署、管理和维护工作。
为简化数据中心环境下的设备管理,将推出XXXX外置式可视化管理模块,配合XXXX光路诊断功能,管理人员可快速确定需维护的设备,大大减小管理员的工作压力,提供工作效率。
应用举例
对性能有很高要求的大型政府、企业的数据库及核心业务软件; 对内存和磁盘扩展、网络I/O能力有很高要求的各种网络服务器; 追求超高性能的高性能集群,如渲染作业、制造业CAD、CAE等。
XXXX数字化城管租用云服务项目实施方案
7.2XXXXAS520G
随着数据存储容量的不断增加,高昂的存储设备成本成为用户的重要IT支出,而网络存储产品凭借其高性能、高可靠、大容量、低成本、操作简便等优势得到了用户越来越多的青睐。AS520G是XXXX存储自主开发,拥有自主知识产权的双控存储产品。该产品集合了目前主流的存储技术优点,冗余的部件模块化设计,满足主流客户对数据存储的需求,是一款性能强劲、功能丰富、高可靠的网络存储产品,是用户数据统一存储、集中管理的良好选择。尤其适合数据库、数据块视频、web服务等应用。产品优势:
完全自主研发:拥有自主知识产权的双控存储产品
优秀的架构:标准19“工业机架(3U),双热插拔电源、双风扇,各部件均采用冗余模块化设计 强劲的性能:冗余双控制器(可热插拔),每控制器标配1颗存储专用处理器;支持主机通道聚合,且不限制主机接入数量;至少提供高速缓存16GB,系统最大缓存96GB,支持缓存保护功能;支持后端磁盘通道扩展,可以提供6个24Gb SAS扩展接口,最大可以扩展18个JBOD。 灵活的RAID级别:支持RAID0、1、5、6、10、50、60 良好的兼容性:硬件需通过主流服务器厂商的兼容性测试,支持windows/linux 等主流操作系统;支持在线动态RAID组扩展和动态逻辑卷扩展; 便捷的管理方式:支持CLI/WEB管理方式,中文管理界面; 支持邮件报警机制,方便管理员及时监控设备运行状态
7.3联创信安SDOP4100 计算机应用的不断普及和深入引发数据爆炸性增长和IT管理复杂度不断提升。业务不间断运营已成为衡量企业整体服务能力的重要指标。实现这一指标面临系统,数据,应用三
XXXX数字化城管租用云服务项目实施方案
方面安全挑战,传统的双机或备份解决方案无法同时实现上述三方面需求;同时,更快的恢复速度,更细的恢复粒度和更低的成本也是企业关注的重点,企业急需一体化综合信息保护平台!
联创信安实时备份与快速恢复系统(SDOP4100)正是迎合市场需求,着眼于系统和数据的快速恢复和最小数据丢失,致力于业务的不间断运营,为企业量身定制的一体化综合信息保护平台。
联创信安实时备份与快速恢复系统(SDOP4100)不仅涵盖了各类系统灾难保护(包括人为故障、病毒、软件故障、硬件故障等灾难),而且能够针对不同应用,数据库提供全面的数据保护,在出现突发意外业务中断时提供快速的业务恢复(RTO指标)并将数据丢失(RPO指标)降至最低,有效地保障了企业系统数据的安全性和业务的连续性。
SDOP4100基于同步数据复制技术,实现对I/O的连续捕捉,以确保数据发生错误时,数据恢复到最新的时间点。同时,采用基于时间点的快照技术(CDP),以块级增量快照的方式记录下数据复制卷的变化,产生多个基于时间点数据影像(全自动实现历史快照副本精确到分钟级)当用户需要恢复数据时,只需要找到SDOP中相应的数据快照,进行简单的恢复操作,就可以将某时刻数据瞬间恢复;如果某一快照临时需使用时,也可以使用挂载功能快速的查看及打开使用。对快照数据的操作不会影响到数据复制卷的数据,并且数据快照可以多次使用,用户可以基于数据快照进行功能测试或数据挖掘,使数据的价值最大化。在系统故障时,可以通过SDOP智能的远程引导功能(SAN BOOT),在短短的几分钟内恢复主机的运营,保证了业务不间断工作,实现理想的RTO及RPO。
XXXX数字化城管租用云服务项目实施方案
技术特点:
1.提供对Windows/Linux操作系统平台的应用数据保护; 2.提供Oracle/Sybase/DB2/SQL/Exchange等应用的持续数据保护;
3.灵活的保护策略,实现定时、自动或手动快照保护,确保数据的安全性和系统的连续性
4.提供智能agent,确保快照数据的逻辑一致性;
5.多种数据恢复方式,支持P2V、P2P、V2V直接恢复,不需要第三方工具协助恢复,实现随时的恢复演练;
6.支持备份存储空间在线添加扩容,实现存储空间的动态分配和无缝扩容; 7.支持SAN BOOT系统重建,可基于FC实现系统快速引导重建,达到近HA功能;
8.支持存储设备在线保护,当存储故障后可通过备份副本分钟内接管存储为前端应用提供服务,达到近HA功能;
9.先进、高效的RAID技术确保备份数据的安全可靠;
XXXX数字化城管租用云服务项目实施方案
7.4大唐保镖HL-5708
大唐保镖HL-5708 KVM切换器内附标准型机架安装套件,另提供单人简易安装套件(选购型),以满足不同安装需求。它整合了17寸LCD显示器与KVM控制端于单一抽拉式机体中,LCD屏幕可展开至115度,以提供舒适的检视角度,而且每台服务器的视讯设定会自动调整至萤幕显示的最佳状态。它支持自动扫描功能,可监控用户所选择的服务器设备。
大唐保镖HL-5708支持热插拔,无需将KVM关闭即可直接增加或移除服务器。它体积小巧,上盖与底部设计仅占用少于1U机架空间,有效节省机柜空间,是机柜标准控制设备。它支持两层密码安全机制,只有被授权的用户可以检视及控制电脑,最多可允许4个用户及一个管理者,且每个皆有独立的数据文件。
XXXX数字化城管租用云服务项目实施方案
7.5XXXXFS5800
产品特性及优势:
1.4 个 10 Gbps/20 Gbps 堆叠(ISL)端口:出厂含有缺省被激活的4个10Gb可堆叠的端口,客户可以非中断的升级ISL端口在一个或多个交换机升级到20Gb,最大限度的降低成本
2.20个8Gb设备端口:在1U的尺寸中增加了4个连接设备的端口,每个交换机可扩展到20个8Gb设备端口(总共24个端口),且向后兼容4Gb 和2Gb的设备和光学配件
3.强大的堆叠管理:利用Enterprise Fabric Suite, 用户可以管理5000系列产品的堆叠就像一个设备一样,加载微码、应用安全配置变化、和控制用户以及Simple Network Management Protocol(SNMP)的管理,最高可以到达6台交换机同时管理。
4.迅速可靠的性能:提供无争议的、全双工的带宽,每个交换机 544 Gbps 总带宽可提高投资利用率。可更换的双电源选项和无中断的微码激活,确保空前的一致性用户体验。
5.完备的兼容性:与其它的XXXXFS系列交换机全面兼容,也兼容适应FC-SW-2的其它厂商交换机。可以和其它所有的主要存储、服务器、应用和基础架构的厂商互操作。
强大和直观的软件: 1.QuickTools™
内置的Java® web applet对于设备的发现、设备管理、zoning和fabric管理。QuickTools包括一个配置向导和高级的拖拽zoning,这种行业直观的配置方法。
XXXX数字化城管租用云服务项目实施方案
2.Enterprise Fabric Suite Enterprise Fabric Suite捆绑了Fabric跟踪,性能观测,端口阀值预警等高级企业功能,,堆叠管理和mPort™可以挪动的端口激活集成到一个单独的站点许可。消除了用户由于SAN增长而不断购买、维护交换机而持续增长的花费。
3.SANdoctor 全面的诊断工具,对于Fabric中的问题能够发现并处理,并能进行介质数字诊断、fabric跟踪路由和fabric ping。
4.Fabric Security 通过了RADIUS认证、Secure Shell(SSH), SecureSocket Layer(SSL)加密认证。设备连接安全使用FibreChannel Security Protocol(FC-SP), DHCHAP,and FC-GS-4 CT.为用户提供了全面的安全、保护功能。
7.6H3C S5800-32C
灵活的端口扩展能力
随着用户端带宽不断提高,服务器万兆网卡的应用越来越广泛,交换机需要提供更高的转发性能和万兆端口扩展能力。H3C S58系列机箱式交换机支持业内最高的万兆端口密度,单台设备可以按需扩展至最多24个全线速转发的万兆端口。此外,该系列产品还可以提供灵活的千兆接入端口,可以提供16个千兆光接口或者电接口扩展模块,单台设备可以按需扩展至最多84个全线速转发的千兆端口,满足大型网络汇聚或中小网络核心对于光电混合配置的要求。
智能弹性架构
H3C S5800/S5820X系列交换机支持IRF2(第二代智能弹性架构)技术,在 28
XXXX数字化城管租用云服务项目实施方案
扩展性、可靠性、整体架构和可用性方面具有强大的优势,主要体现在四个方面:
* 扩展性:IRF技术允许交换机利用互联电缆实现多台设备的扩展;具有即插即用、单一IP管理,同步升级的优点,同时大大降低系统扩展的成本。
* 可靠性:通过专利的路由热备份技术,在整个IRF组内实现控制平面和数据平面所有信息的冗余备份和无间断的三层转发,极大的增强了IRF组的可靠性和高性能,同时消除了单点故障,避免了业务中断。
* 分布性:通过分布式链路聚合技术,实现多条上行链路的负载分担和互为备份,从而提高整个网络架构的冗余性和链路资源的利用率。
* 可用性:通过标准的万兆以太网接口实现智能弹性架构,可以根据需求分配业务带宽和系统连接带宽,合理分配本地流量与上行流量;不仅可以实现机架内、跨机架,甚至跨区域的远距离智能弹性架构。
强大的缓存能力
针对于数据中心大流量数据无阻塞传输的要求,H3C S58系列可以提供强大的缓存能力,并且支持先进的缓存调度机制可以保证设备缓存能力有效利用的最大化。
灵活的风道方向选择
为了更好的配合数据中心的风道设计,S5800/S5820X系列交换机部分款型为用户提供了更灵活的风道方案,在实现前后风道的同时,用户还可以通过选择不同的风扇框来实现不同的风向(从前往后或者从后往前)。
7.7H3C S3600v2-28TP-EI
丰富的IPv4和IPv6三层功能
H3C S3600V2系列交换机硬件支持IPv4/IPv6双栈和IPv6 over IPv4隧道(包括手工Tunnel,6to4 Tunnel,ISATAP Tunnel,auto-Tunnel),三层线速
XXXX数字化城管租用云服务项目实施方案
转发。既可以用于纯IPv4或IPv6网络,也可以用于IPv4到IPv6共存的网络,组网方式灵活,充分满足当前园区网从IPv4向IPv6过渡的需求。
支持丰富的IPv6路由协议,包括RIPng、OSPFv
3、ISISv
6、BGP4+ for IPv6。支持IPv6的邻居发现协议(Neighbor Discovery Protocol,NDP),管理邻居节点的交互。支持PMTU发现(Path MTU Discovery)机制,可以找到从源端到目的端的路径上一个合适的MTU值,以便有效地利用网络资源并得到最佳的吞吐量。
智能弹性架构
H3C S3600V2系列交换机支持IRF2(第二代智能弹性架构)技术,就是把多台物理设备互相连接起来,使其虚拟为一台逻辑设备,也就是说,用户可以将这多台设备看成一台单一设备进行管理和使用。IRF可以为用户带来以下好处:
* 简化管理 IRF架构形成之后,可以连接到任何一台设备的任何一个端口就以登录统一的逻辑设备,通过对单台设备的配置达到管理整个智能弹性系统以及系统内所有成员设备的效果,而不用物理连接到每台成员设备上分别对它们进行配置和管理。
* 简化业务 IRF形成的逻辑设备中运行的各种控制协议也是作为单一设备统一运行的,例如路由协议会作为单一设备统一计算,而随着跨设备链路聚合技术的应用,可以替代原有的生成树协议,这样就可以省去了设备间大量协议报文的交互,简化了网络运行,缩短了网络动荡时的收敛时间。
* 弹性扩展 可以按照用户需求实现弹性扩展,保证用户投资。并且新增的设备加入或离开IRF架构时可以实现“热插拔”,不影响其他设备的正常运行。
* 高可靠 IRF的高可靠性体现在链路,设备和协议三个方面。成员设备之间物理端口支持聚合功能,IRF系统和上、下层设备之间的物理连接也支持聚合功能,这样通过多链路备份提高了链路的可靠性;IRF系统由多台成员设备组成,一旦Master设备故障,系统会迅速自动选举新的Master,以保证通过系统的业务不中断,从而实现了设备级的1:N备份;IRF系统会有实时的协议热备份功能负责将协议的配置信息备份到其他所有成员设备,从而实现1:N的协议可靠性。
* 高性能 对于交换机来说,性能和端口密度的提升会受到硬件结构的限制。30
XXXX数字化城管租用云服务项目实施方案
而IRF系统的性能和端口密度是IRF内部所有设备性能和端口数量的总和。因此,IRF技术能够轻易的将设备的交换能力、用户端口的密度扩大数倍,从而大幅度提高了设备的性能。
增强的以太网供电功能(PoE+)
H3C S3600V2系列交换机支持增强的以太网供电功能(PoE+),PoE供电款型可以提供每端口最大30W的输出功率,可以为802.11n的无线接入点,可视IP电话,以及更多的终端设备提供以太网供电能力。
7.8启明星辰天清汉马USG-FW-12600GP
天清汉马USG防火墙主要由两部分组成:USG防火墙设备和天清集中管理与数据分析中心。
USG防火墙设备:即部署在网络出口,融合多种安全能力,针对恶意攻击、非法活动和网络资源滥用等威胁,实现精确防控的高可靠、高性能、易管理的网关安全设备。
天清集中管理与数据分析中心:主要功能分为集中管理功能与数据分析功能,集中管理是对USG防火墙设备的集中管理、统一监控和升级中心,通过它可以集中配置、监控和管理所管辖的多台USG防火墙设备,并按照一定的规则组织成层次结构,方便管理员对于整网USG防火墙设备的监控维护工作;数据分析中心是USG防火墙设备海量信息的后台处理中心。主要完成USG防火墙设备日志和流量信息的存储、分析、审计和处理功能。
防火墙作为网关类产品,究竟什么样的软件结构更有利于提升整体性能?那么首先需要知道什么是性能消耗的关键业务单元。启明星辰通过对网关类产品单一分析处理引擎的详细分析和试验验证,得出网关类产品性能消耗50%来自于模式匹配,25%来自于协议重组、25%来自于报文重组的结论。
XXXX数字化城管租用云服务项目实施方案
网关分析处理引擎性能消耗分析
如何融合分析处理引擎,合并性能消耗关键业务单元成为防火墙产品软件结构设计首要考虑的问题。
基于研究数据,启明星辰在天清汉马USG防火墙的软件结构设计上引入了一体化的设计理念。即将防火墙、VPN、内容过滤和流量管理等各项功能的分析处理引擎进行一体化设计,以达到性能最优的目的。
天清汉马USG防火墙本着安全高效原则,采用“检测与控制相分离,引擎特征相统一”的一体化设计思想:人机界面、报文接收模块、报文处理模块、报文发送模块和支撑库。网络报文首先通过报文接收模块进行预处理后进入报文处理模块,在报文处理模块,防火墙进行2-3层过滤,VPN负责接入控制;其次模块匹配引擎和行为分析引擎分别根据统一特征库和行为知识库进行匹配查找;最后,对于合法报文直接交由报文发送模块进行报文转发,对于非法报文,送交相应的处理引擎进行处理。整个过程的日志信息和数据流量信息送集中管理与数据分析中心监控和备案,管理中心负责整体的配置和调整。
7.9启明星辰天阗NT3000-LT-SRP
天阗入侵检测与管理系统是启明星辰自主原创并拥有完全自主知识产权的威胁检测、分析与管理产品,该产品对于病毒、蠕虫、木马、DDoS、扫描、SQL注入、XSS、缓冲区溢出、欺骗劫持等攻击行为以及网络资源滥用行为(如P2P上传/下载、网络游戏、视频/音频、网络炒股)等威胁具有高精度的检测能力,32
XXXX数字化城管租用云服务项目实施方案
同时,该产品中的流量模块对于网络流量的异常情况具有非常准确、有效的发现能力。
该产品在精确检测的基础上强调对威胁的可管理性(如:威胁分析、威胁处理),尤其是对可能产生的大量事件进行了智能过滤,仅向使用者展示真正需要关注的威胁,在减轻使用者工作量的同时,保障威胁处理的及时性。
启明星辰新一代IDS的产品架构由三部分组成:
安全管理中心 检测引擎 在线升级系统
其中,安全管理中心负责威胁的展示与管理、多级级联、配置等功能;检测引擎负责对网络流量进行检测,识别出流量中可能存在的威胁;在线升级系统则负责提供软件、特征库、病毒库的升级包,这三部分相互独立,可以灵活部署。
XXXX数字化城管租用云服务项目实施方案
天阗入侵检测与管理系统是启明星辰自主研发的新一代威胁检测、分析与管理产品,该产品在总结传统入侵检测产品(包括:入侵检测系统、异常流量监测设备、病毒类、恶意URL类检测设备等)不足的基础上,结合大量用户(尤其是行业用户,如政府、金融、军队、能源、教育、媒体等)的实际使用效果和反馈,进行了大规模的改进和创新,在保证全面威胁检测的同时,强调用户使用的体验,实用、易用、在检测威胁的同时方便用户对威胁进行有效分析和处理、实现对威
XXXX数字化城管租用云服务项目实施方案
胁的闭环处理、降低使用人员的使用难度、降低实用人员的使用成本、提高使用人员的工作效率是本品的特色。
7.10启明星辰天玥GE1000E审计引擎
天玥网络安全审计系统(业务网审计)(以下简称天玥系统)是针对业务环境下的网络操作行为进行细粒度审计的合规性管理系统。它通过对业务人员访问系统的行为进行解析、分析、记录、汇报,用来帮助用户事前规划预防,事中实时监视、违规行为响应,事后合规报告、事故追踪溯源,同时加强内外部网络行为监管、促进核心资产(数据库、服务器、网络设备等)的正常运营。对于业务系统的核心——数据库的审计能力表现尤其出色,是国内审计数据库类型最全,解析粒度最细的审计产品。
为了适应不同的网络规模和使用,方便用户选择,启明星辰提供了层次丰富的天玥产品系列,覆盖了从中小型企业的百兆网络到大型企业的千兆网络应用环境。
天玥系统为BS架构,支持用户利用IE浏览器进行访问和管理。系统主要由数据中心和审计引擎两部分组成。
天玥系统数据中心对外提供管理接口,主要负责对审计系统进行管理,配置审计策略,存储审计日志供用户查询和分析。
天玥系统审计引擎可以旁路或者在线接入到用户业务网络,捕获网络访问流量,根据用户配发的审计策略,对网络数据包进行深入解析,提取审计事件并进行响应。
天玥系统数据中心由管理系统和报表系统两个子系统构成,管理系统负责对整个天玥系统进行管理配置,包括系统状态监控和维护、审计对象定义、规则定义、审计策略配置等,报表系统负责审计日志的记录和维护、日志检索、统计和 35
XXXX数字化城管租用云服务项目实施方案
分析,并可根据用户要求生成各种格式的审计报表。
天玥系统审计引擎的工作基础为审计策略,设备内置捕包、解析、响应模块,捕包模块负责对网络数据包进行捕获和重组,并根据预置的审计范围进行初步过滤,为后续解析做好准备;解析模块利用状态检测、协议解析等技术,对网络数据库包进行分类过滤和解析,然后依据审计规则对重要事件和会话的进行审计,同时也会检测数据包是否携带关键攻击特征。审计事件、会话和攻击均会提交至响应模块,响应模块负责根据审计策略对此进行响应,包括将审计日志上传至数据中心进行存储、发送事件到实时告警界面进行告警、对关键威胁操作进行阻断,也能通过邮件、Syslog、SNMP信息的方式将审计日志发送给其他外部系统。
7.11深信服VPN-3050 在 SANGFOR SSL VPN 安全网关支持 LocalDB、LDAP/AD、Radius、第三方 CA、自建 CA、Dkey、短信认证(短信猫和短信网关)、硬件特征码、动态令牌多种安全认证方式,最大限度地保证了接入用户的合法性。
单一的认证方式易被窃取,为了进一步ᨀ高身份认证的安全性,深信服创新性ᨀ出混合认证,针对上面ᨀ到的用户名和密码、CA 数字证书、LDAP/AD、Radius、Dkey、硬件特征码、短信认证、动态令牌认证方式可以进行五个因素以上的捆绑认证,这几种认证方式必须同时满足才能够接入 SSL VPN 系统。如果需要几种接入方式做备份接入选择,那么深信服创新性ᨀ出或组合,对于以上几种认证方式进行或组合,只要通过一种主认证方式即可接入到 SSL VPN 系统中。
XXXX数字化城管租用云服务项目实施方案
多种认证方式、完善的认证体系,使得企业在选择的时候,可以根据相应的安全级别,对客户端的认证方式进行组合,最大限度地保证了接入用户的合法性和企业内网资源的高度安全。
SSLVPN 实现了便捷而又安全的办公同时,也受到了互联网的环境制约,办公效率会被互联网的链路质量所影响。如果是存在跨运营商的链路,向服务器传递一个附件需要等待几十秒毫不出奇,在业务操作的过程中反复的等待时间将会严重影响到办公效率。为了帮助客户更好利用互联网技术ᨀ升业务效率,深信服致力于开发最快的业务访问模式,利用多种广域网加速技术,升系统的响应速度。
