《XXX数字化城管租用云服务项目实施方案.doc》由会员分享,可在线阅读,更多相关《XXX数字化城管租用云服务项目实施方案.doc(30页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、XXXX数字化城管租用云服务 项目实施方案目录一、总体建设原则2二、总体建设价格3三、总体建设思路4四、项目建设目标6五、项目技术方案8六、技术方案优势16七、项目产品介绍21一总体建设原则为实现上述目标,在系统的建设中应遵循以下原则:n 先进性充分考虑当前计算机软硬件技术的新成果,建立一个符合国际标准、开放、高性能、易管理的计算机数字化系统。n 规范性严格遵循国家的相关技术规范和业务规范的要求,应对平台进行整体规划。n 科学性符合六合城管局当前业务要求和今后一段时期的发展需要,逐步建立一个具有现代化管理、通讯手段的云计算网络,提高系统科学性。n 可行性在一定资金资源下,建立一个高水平的、完善
2、可行的信息化系统。n 安全性通信行业对网络的整体安全性有较高的要求,系统安全建设应同步建设,除了能够在多个层次上实现安全目标,还需要建立完善的安全管理体系。n 可管理性建立完善的运行管理体系,提供强大的网络管理工具与手段,确保系统性能充分发挥,系统运行可靠、稳定。n 可扩展性整个系统平台系统采用开放的结构,符合国际标准,适应技术的发展和变化,充分考虑到XXXX数字化城市管理系统目前业务的需求和今后较长时间内的业务发展需要,网络采用高速主干技术,智能化网络管理技术,适应业务系统扩充和技术发展的要求。二总体建设架构1.统一规划、总体设计注重XXXX信息化建设的分阶段性,统一标准、统一规划,结合XX
3、XX作为南京市快速发展中区域的整体优势和管理特色,结合XXXX已经建立的地理信息资源、网络资源等已有的基础信息优势,综合考虑系统建设的总体要求,全面梳理XXXX城市管理业务流程,建立各职能部门的典型业务模型。在此基础上,从管理、决策、统计、信息交换等四个方面入手,合理规划各部门的计算机应用系统,并根据用户的实际需要,对目标系统进行全面地、系统地总体设计,确保系统满足用户各个阶段的建设需要,同时避免信息孤岛带来的高成本、低效率、难维护。2.分步实施、统一集成在统一规划的基础之上,根据XXXX信息化建设的进展,根据总体建设规划,分期分批分区域进行系统建设,力求积极稳妥、勤俭节约。在统一规划和设计的
4、指导下,先建设系统的基础支撑层次的平台系统,做好系统集成的标准体系建设,为不同阶段应用子系统的集成工作提供统一的技术框架。3.实用为主、整合资源XXXX各类信息系统的建设应客观地满足当前和未来一段时间的发展需要,紧密结合自己的工作内容,有的放矢地开展急需系统的建设,将有限的资金投入到必须的项目建设上,特别是建设XXXX的数字城市管理系统,由于面积广、数据大、人员多、部门多,因此实用和够用是建设该项目应该重点考虑的问题。在XXXX数字化城市管理系统建设过程中,以功能实用为主,充分利用已有的网络基础、业务资源、信息资源、环境资源,采用选用成熟的软件产品和应用系统相结合的建设方针。4.技术先进、行业
5、领先在系统规划过程中,要充分考虑先进的技术,先进的方法,要采用符合国际发展潮流的技术,要有前瞻性。另一方面,在系统建设过程中,还要充分把握技术的稳定性和成熟性,使得XXXX城市管理信息化项目,既能够达到国内的领先水平,又能满足城市管理长效管理的应用要求。三总体建设思路XXXX城市管理局信息化平台本期建设规划于“三个中心”理念,即办公中心、指挥中心、数据中心。办公中心指的是XXXX城管局工作人员的办公地点,办公中心是信息化系统的基础,因为其是数据中心的拥有者,是指挥中心的领导者,所以办公中心要统筹管理数据中心与指挥中心;指挥中心实际是指挥、监控中心,其主要作用是:1.远程运维、监控数据中心;2.
6、通过大屏调取显示交通部门视频监控;3.创建呼叫中心平台。数据中心即建设的核心,规划将信息化平台部署并托管在电信五星级机房,数据中心的作用是提供对外服务的业务系统以及配套的核心数据库系统、安全系统等,还需要做三个中心访问即流量的疏导。数据中心网络部分建设:数据中心规划设计一台防火墙作为系统接入设备,用于汇聚连接办公中心、指挥中心、手机客户端、公安交通系统以及Internet外网等。接入防火墙下联核心交换机,核心交换机为所有网络数据交换处理的中心,负载“三中心”业务系统大部分数据;核心交换机下为接入交换机,作为城市管理局系统服务器的接入网络服务;在核心交换机上旁挂入侵检测设备,用于对城市管理局系统
7、平台网络进行安全检测,针对潜在的或已经出现的故障隐患进行告警、分析并提出解决方法;在核心交换机上旁路SSL VPN设备,用于对接入试用XXXX城市管理局的使用者进行身份安全加密认证,保证系统平台安全性;在核心交换机上旁路数据库审计设备,用于对XXXX城管局核心数据库系统进行审计分析,保障核心数据库安全性、稳定性。数据中心底层业务及数据库系统的部分建设:配置应用服务器,用于部署城管局本期规划信息化系统,用于对外提供服务;配置城管通服务器,用于承载配套城管通统业务服务;配置GIS服务器,用于承载地理信息系统数据,其数据库建议部署在服务器本地硬盘;配置数据交换服务器,用于对城管局数据进行交互服务;配
8、置数据库服务器,用于承载本期规划城管局信息化平台业务的数据库信息;配置稳定、高效FC SAN系统,即冗余光纤交换机和光纤存储设备,用于存储数据库系统数据;配置在线保护设备,备份、同步城管局信息化平台数据库数据和服务器操作系统数据,保证数据库、业务的安全性。系统链路部分建设:配置独立双光纤100M宽带互联网链路,用于数字化城管平台外网访问;配置主备双专线,主专线100M,备用专线10M用于六合数字化城管数据中心到指挥中心的专线访问;配置100M专线用于六合公安视频监控中心与六合城管指挥中心专线访问;配置100M独立双光纤宽带互联网链路,用于指挥中心外网访问;配置12319平台2M语音数字中继线。
9、本期项目建设充分考虑用户实际试用需求,目前XXXX城市管理局信息化系统处于第一期建设阶段,系统业务会从零开始逐步上线,所以本期六合数字城管项目建设的重点是信息化基础底层架构的建设,即主要是针对数据库、数据存储底层的建设(FC SAN架构建设、数据库双机架构等),在不浪费投资的同时又保持建设系统的高度的可扩展性(增加服务器、存储容量或者存储等简单方式),以满足XXXX城管局信息化系统未来的快速发展需求。本期项目总体架构及方案以XXXX城市管理局角度考虑,综合考虑目前XXXX城市管理局现状及未来发展,细化设计,保障设计方案项目总体设计方案的科学性、先进性、可行性,所投产品选取目前市场上最先进主流的
10、品牌设备及技术使总体架构方案具有一定的前瞻性。四.项目建设目标4.1项目总体目标XXXX城市管理局本期项目建设会依据建设部标准,以管理创新为基础,以信息资源管理为核心,以网络中心和数据中心为支撑,以协同应用为主导,以“执政为民”为目的,建成功能完善、高效实用、高度集成,具有国内区县级先进水平的数字化城市管理平台。总体目标包括:1建立科学合理的城市管理体系,促进“大城管”格局的形成,解决条块协同工作的问题;2充分共享现有资源,利用信息化手段建立数字化城市管理平台,拓展各种技术手段,促进城市管理体系高效运行;3建立切实有效的综合评价体系,保障数字城管工作的长效运行。4建立并优化XXXX数字化城管系
11、统的软硬件运行平台,完成并整合数字化城管系统的各个分子系统;5在系统运行平台上部署XXXX数字城管系统软件,完成XXXX数字化城管系统的整体实施和集成。6建设XXXX级监督指挥中心,实现对全区城管部门的考核和督察。7实现纵向业务贯穿、横向分工协作,把传统城市管理中分散管理转换为集中管理,统一领导、统一决策、指挥、管理、协调和监督的数字化城市管理体系。8依托现在的XXXX电子政务网络进行建设整合,建立相应数据交换接口,保证各个平台、系统之间的数据共享。9建设与共享“110”警用监控设备和XXXX数字城管12319服务中心平台;依托XXXX数字化城市管理监督指挥中心,充分发挥公安、规划、建设、交通
12、、环保、工商、水利等相关职能部门的主管作用,建立和完善工作例会、情况通报、联系走访等制度和机制,以制度化形式来明确和规范工作衔接配合,形成城市管理职能设置相交叉的各专业部门之间、各层级之间的良好协同联动关系。4.2项目阶段目标本项目为XXXX数字化城市管理系统建设工程,项目建设遵循“统一规划、分步实施”的原则,根据现有条件逐步实施。我们认为XXXX数字化城市管理系统的建设本期建设内容:本期建设内容:本期(即本期项目)在2015年10月底建成数字化城市管理平台,完成各业务系统建设以及系统集成。1.数字化城市管理的体制机制建设,确定管理业务流程,组建数字化城市管理监督指挥中心,建立监督评价体系及绩
13、效评价体系;2.本期建设范围内的基础地理数据修测,一期建设范围内的城市部件和地理编码普查工作,确定部件数据的属地与属主;3.数字化城市管理监督指挥中心的场地建设,相关各机构的相应人员、设施配备;4.数字化城市管理系统的有线、无线网络建设;5.数字化城市管理系统相关运行环境、安全体系的建设;6.数字化城市管理系统应用软件系统开发建设,包括九大标准子系统及拓展子系统;7.建设与南京市数字城管系统的接口系统。五.项目技术方案5.1边界访问控制六合城管信息系统的边界之内包含多个不同网段的出口区域,汇聚层与核心层之间通过交换机进行边界逻辑划分,边界环境较为明朗,但如果没有一个可集中控制访问请求的措施,也
14、很容易被恶意攻击者或其它企图人员利用这些边界进行非法入侵。入侵者可以利用多种入侵手段,如获取口令、拒绝服务攻击、SYN Flood攻击、IP欺骗攻击等等获取系统权限,进入系统内部。所以需要对边界部署访问控制系统,有效地监控内部网和其他网之间的活动,并对数据进行过滤与控制,保证业务系统的安全。防火墙是解决网络边界安全的重要设备,它主要工作在网络层之下,通过对协议、地址和服务端口的识别和控制达到防范入侵的目的,可以有效的防范基于业务端口的攻击。防火墙采用高性能的硬件架构和一体化的软件设计,除了实现了状态检测防火墙功能,还同时支持VPN、上网行为管理、抗拒绝服务攻击(Anti-DoS)、内容过滤、A
15、V、入侵防御等多种安全技术,同时全面支持QoS、高可用性(HA)、日志审计等功能,为网络边界提供了全面实时的安全防护。防火墙可直接通过功能许可激活的方式,获得包括防病毒(AV)、入侵防御(IPS)、防垃圾邮件(Anti-Spam)和内网安全功能。六合城管可采用防火墙技术实现不同网络区域之间的安全访问控制,有效抵制来自非信任区域的黑客攻击和降低整个网络的安全威胁。本方案推荐天清汉马下一代p系列USG防火墙产品,天清汉马USG防火墙采用了一体化的设计方案,在一个产品中协调统一地实现了接入安全需要考虑的方方面面。采用天清汉马USG防火墙,可以从整体上解决了接入安全的问题。用户可不必考虑产品部署、兼容
16、性等困惑,也不再因为多个产品难于维护管理而苦恼,天清汉马USG防火墙是低成本、高效率、易管理的理想解决方案。5.2入侵检测系统根据六合城管的网络结构现状,建议在内部网络区域与其他网络区域之间部署天清汉马下一代p系列USG防火墙设备,采用串联方式部署在网关设备和内部核心交换机之间,通过配置防火墙访问控制策略实现对整个外网区域的安全防护效果。从当前的网络拓扑结构来看,在不同的区域网络出口,及网络主干链路上,虽然部署了防火墙设备,但防火墙的作用主要是网络层、传输层的访问控制,而针对来自非信任网络的网络攻击、入侵等恶意行为无法做到有效检测及阻断。访问控制系统(如防火墙)可以静态的实施访问控制策略,防止
17、一些非法的访问等。但对利用合法的访问手段或其它的攻击手段(比如,利用内部系统的漏洞等)对系统入侵和内部用户的入侵等是没有办法控制的。因此系统内需要建设统一的符合国家规定的安全检测机制,实现对网络系统进行自动的入侵检测和分析,对非法信息予以过滤,提高系统整体安全性。信息系统的边界之内包含多个局域网以及计算资源组件。边界环境是比较复杂的,很容易被恶意攻击者或其它企图人员利用这些边界进行非法入侵。入侵者可以利用多种入侵手段,如获取口令、拒绝服务攻击、SYN Flood攻击、IP欺骗攻击等等获取系统权限,进入系统内部。所以需要有效地监控内部网和非信任网之间的活动,并对数据进行过滤与控制,保证内部网络的
18、安全。目前六合城管网络系统缺乏整体的入侵检测手段,这样会导致对信息系统安全状况不了解,无法定位问题源以及进行安全建设效果的评估。因此建议采用入侵检测系统,在网络系统内部署。通过入侵检测系统的部署,可以达到三个效果:其一,做到对整个网络区域信息系统安全状况的实施监控与报告;其二,利用入侵检测技术识别威胁来源,并根据威胁调整安全策略;其三,通过入侵检测系统的安全性分析对比,了解网络安全建设效果,对之进行评估。入侵检测系统应支持对所有TCP/IP协议的分析,而对在此基础上衍生出的新型应用层协议,支持动态协议插件技术,可以根据实际情况,在协议分析组中即时增加应对新型协议的分析方法,做到对网络数据的全面
19、协议分析。入侵检测系统需融合基于原理和基于特征的两大类检测机理,在检测机制方面,保证全面性要求。入侵检测系统除了提供对网络具体事件的检测外,还需提供对流量的检测。很多安全事件往往伴随着网络流量的异常,对流量异常事件的及时发现和处理,可以有利于扩大管理员的检测范围。有效呈现是入侵检测产品的用户价值体现,入侵检测系统作为风险管理产品,设备本身并不直接给用户带来价值,不会自动阻断攻击或者是帮助用户修补漏洞,所能带来的价值是通过将收集到的信息呈现给用户而实现的。建议部署天阗入侵检测与管理系统,实时抓取分析网络数据,判断是否有违规或者是恶意行为发生并告知网络管理员,协助用户了解网络的内部状况,为用户的网
20、络安全建设提供决策依据。根据六合城管的网络结构现状,建议在网络核心区域部署天阗入侵检测与管理系统,将入侵检测系统引擎旁路连接在网络区域核心交换机上,同时在管理终端安装入侵检测系统控制台,实现对网络入侵行为的有效检测、呈现以及报表分析等效果。5.3数据库安全审计对于六合城管信息化网络系统来说,数据库的应用在整个IT系统中起到至关重要的作用,web应用系统提供对不同用户的访问接口,同时服务器区域中其他应用服务器的数据库中储存着极其重要和敏感的信息。一旦发生来自非信任网络的恶意访问或则黑客入侵行为,则数据库中的数据将面临被篡改或者泄露的风险,轻则造成六合城管的经济损失,重则影响政府形象甚至社会安全。
21、随着六合城管信息化进程不断深入,业务系统也将变得日益复杂,由内部员工违规操作导致的安全问题会变得日益突出起来。防火墙、防病毒、入侵检测系统等常规的安全产品可以解决一部分安全问题,但对于内部人员的违规操作却无能为力。权限划分混乱,高权限账号(比如DBA账号)共用等问题一直困扰着网络管理人员,高权限账号往往掌握着数据库和业务系统的命脉,任何一个操作都可能导致数据的修改和泄露,最高权限的滥用,让数据安全变得更加脆弱,也让责任划分和威胁追踪变得更加困难。管理人员总是试图定义各种操作条例,来规范内部员工的访问行为,但是除了在造成恶性后果后追查责任人,没有更好的方式来限制员工的合规操作。我们经常从各种系统
22、日志里面去发现是否有入侵后留下来的“蛛丝马迹”来判断是否发生过安全事件。但是,系统往往是在经历了大量的操作和变化后,才逐渐变得不安全。另外的情况是,用户通过登录业务服务器来访问数据库等核心资产,单纯的分析业务系统或者数据库系统的日志,都无法对整个访问过程是否存在风险进行判断。从系统变更和应用的角度来看,网络审计日志比系统日志在定位系统安全问题上更可信。围绕数据库的业务系统安全隐患如何得到有效解决,一直以来是IT治理人员和DBA们关注的焦点,解决方案主要集中在管理和技术两个层面:管理层面:完善现有业务流程制度,明细人员职责和分工,规范内部员工的日常操作,严格监控第三方维护人员的操作。技术层面:除
23、了在业务网络部署相关的信息安全防护产品(如FW、IPS等),还需要专门针对数据库部署独立安全审计产品,对关键的数据库操作行为进行审计,对统方行为进行审计,做到违规行为发生时及时告警,事故发生后精确溯源。不过,审计关键应用程序和数据库不是一项简单工作。特别是数据库系统,服务于各有不同权限的大量用户,支持高事务处理率,还必须满足苛刻的服务水平要求。商业数据库软件内建的审计能力不能满足独立性的基本要求,还会降低数据库性能并增加管理费用。数据库安全审计系统,需要既能独立审计针对数据库的各种访问行为,又不影响数据库的高效稳定运行。具体设计应考虑以下几个方面: 实用性:由于业务系统数据在数据库中进行集中存
24、储,故对于数据库的操作审计需要细化到数据库指令、表名、视图、字段等,同时能够审计数据库返回的错误代码,这样能够在数据库出现关键错误时及时响应,避免由于数据库故障带来的业务损失; 独立性:审计系统应具备统一的策略、集中的审计,适用于不同的设备、操作系统、数据库系统和应用系统的审计要求,并对这些系统不造成影响. 灵活性:审计系统应提供缺省的审计策略及自定义策略,能够对重要操作、重要表、重要字段进行定义并审计,能够根据用户的业务特点进行策略的编辑。 易用性:审计系统应能够基于操作进行分析,能够提供主体标识(即用户)、操作(行为)、客体标识(设备、操作系统、数据库系统、应用系统)的分析和审计报表 扩展
25、性:当业务系统进行扩容时,审计系统可以平滑扩容。系统支持向第三方平台提供记录的审计信息。 可靠性:审计系统能提供足够的存储空间(1000G以上),满足在线存储至少6个月的要求;审计系统能够保证审计记录的时间的一致性,避免错误时间记录给追踪溯源带来的影响。 安全性:分权限管理,具有权限管理功能,可以对用户分级,提供不同的操作权限和不同的网络数据操作范围限制,用户只能在其权限内对网络数据进行审计和相关操作,具有自身安全审计功能。本方案推荐天玥网络安全审计系统,它基于“IP数据俘获应用层数据分析审计和响应”实现各项功能,设计中充分贯彻了平台化的思路;由于采用旁路接入的工作模式,使得天玥系统在实现各种
26、安全功能的同时,对原系统的影响降到最低。根据六合城管的网络结构现状,建议在网络系统核心交换机上旁路部署天玥网络安全审计系统,实现针对业务环境下的网络操作行为进行细粒度审计的合规性管理。通过配置SSL VPN网关,将XXXX城管局平台试用用户临时性的需要访问系统内部资源发布到SSL VPN平台上,只为使用者开放某些系统的访问权限,利用SSL的多种加密和认证方式保障使用的安全。对使用者来说,不需要安装任何客户端软件、通过浏览器就可以实现WEB安全接入,对管理员来说,避免了管理员大范围客户端的安装和配置问题,提高XXXX城管局系统安全性。5.4稳定性的FCSANFC光纤通道按协议层进行分层,各层之间
27、技术相互独立,留有增长空间,并且由被认可的标准化机构进行开发, FC中的流量控制机制是在信用度系统上的基础上。所谓的信用度(Credit)是指设备接受额外帧的能力。信用度的多少决定了设备接收额外帧能力的大小。如果接受方没有向发送方发出任何的信用度,那么发送方就不能发送任何帧,在信用度的基础上协调帧传送,可以避免帧的丢失,同时减少了对整个帧序列进行重传的频率。实际上,这种基于信用度的机制建立在终端节点能够提供的缓冲区(TX-Buffer和RX-Buffer)的数目上,这些缓冲区用于存储到来的数据流。对网络的适应性 FC采用基于信用的流量控制机制,当接受者有足够的缓存接受发信者的数据时,接受者把C
28、redit(信用度)分配给发信者。它根据发送者的请求分配Credit,仅当发送者没有用完它的Credit时,它才可以发送数据。在MAN/WAN中,发送者必须要等待很长时间来获得接受者的确认消息(以向网络发送新的数据)。5.5系统数据在线保护本次项目城管局规划部署2台数据库服务器,互为HA双机热备;另外,还有GIS、应用、城管通、Web、数据交换等6台应用服务器,均为windows server 2012或Linux主流操作系统。所有数据库服务器以及应用服务器后端部署了一台双控磁盘阵列。为防止服务器和磁盘阵列因物理或逻辑错误而出现数据丢失,保障系统数据安全,用户需部署一台系统数据在线保护设备,实
29、现对数据、应用、操作系统、磁盘阵列的全面保护,当服务器出现数据丢失时,可以通过该保护设备快速地找回丢失数据;当服务器出现系统故障时,可以通过该保护设备快速地恢复系统,当磁盘阵列出现故障时,可作为应急存储设备为服务器提供服务。并且设备需满足以下功能需求:(1)可针对windows、linux两种不同平台的数据库、操作系统进行实时备份(2)具备数据块级实时复制功能,I/O级数据同步,源端数据一旦发生变化,灾备端能实时同步,可实现秒级RPO指标。(3)提供CDP连续快照数据备份机制。随时手动创建快照或设定策略自动化创建CDP快照,可实现不低1次/分钟的密集数据保护。(4)提供回滚以及SAN映射等数据
30、验证机制,可在设备上便捷挂载快照实现快照信息的查看、访问、验证,可通过SAN映射秒级恢复历史数据并保证数据可用性。(5)当生产服务器出现故障时,可通过容灾服务器或虚拟机在线接管生产服务器业务,确保应用连续性;当生产服务器修复正常后,可以支持将容灾服务器接管后的新增业务数据恢复到生产服务器。联创信安的CDP一体机基于数据同步复制技术,通过实时同步I/O,实现数据从源端到目标端的持续捕获,并且可以全自或手动创建数据恢复点,以确保数据发生错误时,恢复数据到最新的时间点。恢复点采用基于时间点的快照技术,以块级增量快照的方式记录下数据源卷的变化,产生多个基于时间点数据影像。当用户需要恢复数据时,只需要找
31、到CDP一体机中相应的恢复点(快照),直接进行恢复,就可以使源端数据恢复到恢复点状态;也可以手动挂载快照到某台计算机上,查看、复制其内容或者将其共享于网络,供其他主机使用、数据验证、灾备演练等。对快照数据的操作不会影响到生产应用系统,并且数据快照可以多次使用,用户可以基于数据快照进行功能测试或数据挖掘,使数据的价值最大化。5.6项目未来发展趋势未来发展在本期的基础上从扩大监管区域范围、拓展系统功能、完善机制体制为主开展。1. 扩充现有管理队伍,使数字化城管可以深入城市的各个角落;2. 完成未来扩展的20平方公里的数据普查工作,拓展建设范围的城市部件和地理编码普查工作;3. 将管理范围扩展至XX
32、XX周边街镇,并建设街镇二级平台,新增部门、街镇的运行环境及网络建设;4. 拓展更多符合城市管理应用需要的应用系统。5.7充足平台扩展性本期六合数字城管项目建设的重点是信息化基础底层架构的建设,即主要是针对数据库、数据存储底层的建设(FC SAN架构建设、数据库双机架构等),在不浪费投资的同时又保持建设系统的高度的可扩展性,系统可以通过增加业务服务器来扩展信息化业务应用对系统平台无影响、可以通过给存储在线添加硬盘或者增加存储的方式扩展系统平台存储容量等方式来满足XXXX城管局信息化系统未来的快速发展需求。六.技术方案优势6.1项目架构总体优势1.项目设计方案根据XXXX城管局现状及未来发展趋势
33、了解清楚。中国电信股份有限公司南京分公司在XXXX城市管理区信息化平台项目有想法初期就开始了接触交流,对于用户目前的现状及用户所想要发展的方向有比较深刻的了解,所以总体设计方案对于甲方的阶段性发展需求相吻合 ;2.项目系统架构核心部件冗余化设计。项目系统总体架构设计中对与城管信息系统最核心的(负载较高)设备如核心交换机、接入交换机、数据库服务器等进行了冗余化设计,防止系统平台核心部件单点故障;3.系统架构安全防护考虑完善。项目系统总体架构设计中对于平台安全防护的考虑尤其完善,首先对于试用六合数字化城管信息系统的用户会进行防火墙防护、SSL VPN加密防护、IDS安全攻击检测防护等多重防护,保障
34、系统免受网络攻击的威胁;其次对于信息化系统的核心数据库系统,设计采用数据库安全审计系统对数据库行为进行审计保护,保障核心数据库平台的安全性;对于信息系统内操作系统及存储数据,设计采用系统数据在线保护设备,保障服务器操作系统及存储数据的安全性,避免数据丢失;在通讯链路方面,总体设计架构设计指挥中心、数据中心、公安视频中心之间的访问采用电信百兆专线链路,保障通讯的安全性,其中最为重要的数据中心与指挥中心之间采用冗余链路设计,避免单链路故障问题。4.六合数据中心机房环境及维护优势。电信六合数据中心为国家五星级数据中心,其数据中心内的安防、消防、机房辅助环境都达到国家较高标准;六合数据中心还配备了专业
35、的具备多年工作经验的数据中心维护人员,能够在最快时间内知晓并解决用户系统问题。6.2防火墙产品优势启明星辰天清汉马USG-FW-12600GP具备以下几点优势:完善的防火墙特性支持基于源IP、目的IP、源端口、目的端口、时间、服务、用户、文件、网址、关键字、邮件地址、脚本、MAC地址等多种方式进行访问控制支持流量管理、连接数控制、IP+MAC绑定、用户认证等多样化的应用过滤基于屏蔽列表、免屏蔽列表、关键字技术的Web过滤功能,同时提供Java Applet、Cookie、Script和Object的内容过滤功能基于黑名单、白名单、邮件主题、附件名称、邮件大小和SMTP命令的邮件过滤功能安全丰富
36、的VPN使组网变得简单多VPN支持:GRE、IPSec、L2TP、SSL VPN丰富的应用:专用的VPN客户端、USBKEY、动态口令卡、图形认证码灵活的部署:Hub-Spoken、Full-Mesh、DVPN/网关网关的SSL VPN完善的P2P、IM、流媒体、网络游戏和股票软件控制能力P2P控制:对Emule、BitTorrent、Maze、Kazaa等进行阻断、限速IM控制:基于黑白名单的IM登录控制、文件传输阻止;支持主流IM软件如QQ、MSN、雅虎通、Gtalk、Skype流媒体控制:对流媒体应用进行阻断或限速,支持Kamun ppfilm、PPLive、PPSteam、QQ直播、T
37、VAnts、沸点网络电视、猫扑播霸等网络游戏控制:对常见网络游戏如魔兽世界、征途、QQ游戏大厅、联众游戏大厅等的阻断股票软件控制:对常用股票软件如同花顺、大参考、大智慧等的阻断强大的日志报表功能记录内容丰富:可对防火墙日志、带宽使用日志、Wwb访问日志、Mail发送日志、关键资产访问日志、用户登录日志等进行记录日志快速查询:可对IP地址、端口、时间、危急程度、日志内容关键字等进行查询报表贴近需求:根据用户具体需求,定制报表内容、定制报表名称、定制企业LOGO,并可形成多种格式的报表文件方便的集中管理功能通过集中管理与数据分析中心实现对多台设备的统一管理、实时监控、集中升级和拓扑展示可软件升级支
38、持UTM采用高性能的硬件配置,具备向UTM升级的硬件基础设施保证经授权后可软件升级,设备无需下线、无需返厂直接升级为UTM升级后具备完整UTM功能,相关功能特征库授权后可实时在线更新6.3入侵检测系统产品优势启明星辰天阗NT3000-LT-SRP产品具备以下几点优势:全面检测全面信息收集:天阗IDS支持多级、分布式部署,实现策略统一下发,信息集中收集。全面协议分析:天阗IDS支持协议自识别与协议插件技术,可准确识别非常规端口的协议和新型协议。全面检测机制:天阗IDS支持基于特征和基于原理的两种检测方式,在保障检测精度的基础上,扩大了检测可识别的范围。全面事件分析:启明星辰有一套业界最规范的后继
39、服务支撑体系,确保对新型事件的快速准确响应。全面检测范围:天阗IDS提供网络入侵事件、网络违规事件、流量异常事件等多种异常检测。全面检测性能:天阗IDS采用最短时间优先算法,确保了产品在网络数据高负载情况下的检测效率。有效呈现精确报警信息:天阗IDS结合了环境指纹技术,在发现有攻击行为后,与存储的环境信息进行二次匹配,将那些能够确信为“有用”的报警信息单独呈现,减少用户的分析操作消耗。详尽信息呈现:天阗IDS的报警信息除了事件的双方地址、协议等信息外,还包括了对事件的具体描述、漏洞信息、修补建议、影响系统等,可以将最细致的事件信息呈现给用户。威胁地址定位:天阗IDS提供与实际地理拓扑相结合的报
40、警显示方式。在大规模部署的情况下,可以将设备拓扑与地理拓扑相结合,使得管理员可以直观而迅速的判断威胁所在。丰富报表展现:天阗IDS提供基于时间、地址、事件等多重参数信息的分析报表,结合历史分析数据,可清晰展现安全建设发展趋势,协助考量网络安全建设水平。6.4数据库安全审计设备优势启明星辰天玥GE1000E审计引擎具备以下几点优势:深层监测强大的协议解析能力:天玥审计系统融合了语义检测技术和特征检测技术,实现三到七层的协议分析,特别是在数据库SQL语句的语义解析领域处于国内领先地位。系统通过对审计事件、会话信息、会话数据的完整记录和回放,方便管理员进行全局管理。全面的协议覆盖能力:天玥审计系统提
41、供了对不同类别数据库系统的审计,支持包括,Oracle、DB2、Sybase、Informix、SQL Server、Teradata、MySQL、PostgreSQL、Cache等多个版本的数据库系统,能够实现绑定变量、SQL命令和字段级的审计;针对运维操作审计,支持包括,Telnet、FTP、Rlogin、X11、Radius等协议,能够实现命令级和过程级的内容审计;针对OA操作审计,支持包括Netbios、SMTP、POP3、HTTP等协议,能够实现URL、邮件内容的审计。多码环境的适应能力:天玥审计系统具备识别多种编码的能力,支持包括ASCII、Unicode、UTF-8、UTF-16
42、、GB2312、EBCDIC等编码格式,避免因编码格式不同而导致审计记录出现乱码的情况,保证了审计记录的可读性。灵活的规则定义能力:天玥审计系统预置了业界最全面的审计规则集,涵盖了用户常用的网络操作行为。同时为用户提供了便捷的规则自定义功能,能够根据时间、IP、端口、协议、帐号、操作命令、数据库名、数据库表名、字段名、字段值、返回值等多种条件的规则组合,制定符合用户自身业务环境的审计规则。高速的事件入库能力:天玥审计系统采用了固化硬件架构设计,超大容量数据存储空间,优化的数据存储引擎,在审计策略全部开启环境下,审计事件每秒入库速率达到万条以上,达到国内最高水平,从而避免用户在事后追踪溯源过程中
43、,出现审计事件漏报的问题。精确溯源独特的端口认证功能:系统提供了USB硬件令牌、静态口令、Radius三种认证方式,实现网络TCP端口访问的强制认证,用户可灵活选择。实现对自然人的绑定,当自然人在进行网络操作时,其真实身份与其网络行为进行关联,从而实现对自然人的追踪和稽查。高效的源头跟踪能力:系统能够针对用户网络环境中出现的指定帐号(比如Root、DBA)、指定应用程序(比如SQLPLUS、PL/SQL),进行随时触发、随时跟踪,减少审计事件过多带来的管理负担。及时多样的响应方式:系统提供了多种响应方式,支持包括记录、忽略、定级、界面告警、RST阻断、Syslog、SNMP Trap、邮件发送
44、等技术手段,并可与第三方管理平台进行联动(如SOC平台、4A平台等),帮助用户实时掌握审计信息。易于扩展的分析条件:系统提供了多达20余种的查询条件,条件之间可任意组合,支持与、或、非逻辑运算规则,系统还提供特有的审计取证功能,简化了分析条件的操作,减少了维护工作量,促进了用户内审经验的传递。多种维度的合规报告:系统提供60余种报告模板,用户也可以根据自身业务特点生成自定义报表,报表格式包括HTML、EXCEL、CSV、PDF、Word等,提供从宏观数据到微观事件的决策依据。6.5SSL VPN产品优势深信服VPN 3050具备以下几点优势:1.安全性。SSL VPN的一个显著特点就是客户端的
45、易用性,客户端事先并不需要安装任何程序,只要在IE浏览器中输入M5450-S对应的公网IP地址(在动态IP环境下访问WebAgent或动态域名)即可进行安全访问接入。根据接入用户的分布,本方案建议远程用户采用以下四种登录方式,分别是用户名密码方式,USB key方式,动态短信码方式及硬件特征码认证。2.可管理性。SINFOR SSL VPN安全网关能够为管理员访问也提供和普通用户相同的安全保障手段。根据企业内部的管理形式,深信服将设备管理员分为超级管理员和受限管理员,受限管理员只能管理所辖组的用户、用户组、所在组的硬件特征码、关联所在组的角色,不能对于不在所辖组的用户进行管理和维护。6.6存储
46、协议的优势在存储环境中,发出的块I0请求的大小一般介于4K到64K之间。以8K的块I0请求为例, FC的帧大小是2K。因此8K的块I/O请求必须被分成多个小的段,以适应不同的传输帧大小。在FC中,分段和重组操作是在网卡中实现的,因此减轻了主机CPU的负担。所以FC SAN环境保障了XXXX城管局信息化系统稳定性。6.7系统数据在线保护设别优势联创信安CDP容灾一体机作为新一代数据保护产品,具有以下产品优势:1)实时备份瞬间恢复:采用实时备份瞬间恢复;一分钟找回丢失数据;3分钟修复数据错乱;5分钟重建瘫痪主机。2)先进的备份恢复技术:I/O颗粒级实时备份(RPO趋近于0);瞬间恢复机制(RTO不
47、再是难题);支持多种传输协议:TCP/IP、FC;数据一致性确认技术;多点自动快照,历史数据轻松获取;快照副本数量不受限制;瞬间恢复,数据立即可用;开放式架构,支持异构存储;易于维护,简单的图型化管理。3)全面立体防灾:全面保护数据、应用、系统、存储;轻松应对物理和逻辑故障和灾难;支持众多历史数据副本保留;随时实现:数据恢复、灾备演练、数据验证等操作;支持P2P、P2V、V2V、SAN BOOT多种系统重建方式。4)智能的容灾一体化:采用Console图型化集中管理,所有操作都在Console完成,交互体验更友好;备份恢复大部分操作在后台全自动完成。5)产品亮点:全面保护应用系统;快速恢复业务
48、运行。七.项目产品介绍7.1XXXXNF5280M4能特性高效智能,弹性扩展,为全新应用优化全新智能计算加速技术,根据应用需求智能调节,进行优化。采用最新的内存技术,更高密度、更大容量为企业虚拟化和业务处理提供更好的性能。最新的硬盘接口技术,消除存储瓶颈,大幅提升存储性能。可提供灵活、弹性的I/O功能,支持XXXXFLOM技术,实现极速网络I/O,用户根据应用的网络带宽需求,进行自由扩展,实现网络性能飞跃。在2U机箱狭小空间内可提供6个标准高速PCI-E 3.0扩展槽和1个专用PCI-E扩展槽,支持多达4个全长全高卡,满足高端客户对系统功能和性能的需求。绿色节能,安全可靠,为全新数据中心优化XXXX最新优化的系统环境动态感知和调控技术,可通过精确设置在系统内部的多个温度传感器,实时传递服务器内部温度