《xxx电子政务网络工程数据系统建设项目技术方案.docx》由会员分享,可在线阅读,更多相关《xxx电子政务网络工程数据系统建设项目技术方案.docx(51页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、xxx电子政务网络工程数据系统建设项目第一部分技术方案建议书深圳xxx科技有限公司二二二年九月技术解决方案目 录第1章 项目概述11.1 项目简介11.2 建设目标21.3 建设原则31.3.1 实用性31.3.2 扩展性41.3.3 模块化设计41.3.4 先进性41.3.5 稳定性41.3.6 安全性51.3.7 易用性51.3.8 经济性5第2章 网络系统建设方案72.1 网络系统概述72.2 网络传输链路82.2.1 传输链路要求82.2.2 传输链路设计82.3 网络结构设计82.4 主要设备选型102.4.1 网络设备选型102.4.1.1 核心路由器选型112.4.1.2 交换路
2、由器选型112.4.1.3 核心交换机选型122.4.1.4 接入层交换机选型122.4.2 网络管理系统设备选型12第3章 服务器系统建设方案133.1 服务器系统概述133.2 服务器系统设计133.2.1 应用服务器系统设计133.2.2 数据库服务器系统设计143.2.2.1 系统性能设计143.2.2.2 安全性设计153.2.2.3 稳定性设计153.2.3 存储服务器系统设计153.2.4 个人工作站设计153.3 服务器设备选型15第4章 数据网络安全设计174.1 系统网络安全需求分析174.2 网络安全设计原则184.3 数据网络安全总体设计194.3.1 网络系统安全性设
3、计194.3.2 网络服务安全性设计194.3.3 数据灾备系统设计204.4 网络设备安全实现244.4.1 网络设备分级登录验证244.4.2 限制登录会话数254.4.2.1 设备并发登录数限制264.4.2.2 设备登录地点限制264.4.2.3 单用户并发登录数限制274.4.3 口令保护274.4.4 防资源掠夺式攻击284.4.4.1 攻击特点和原理284.4.4.2 解决办法304.5 路由信息安全314.5.1 路由协议的验证机制324.5.2 禁止源路由方式324.6 网管系统安全实现324.7 网络服务的安全性334.7.1 防火墙部署设计334.7.2 入侵检测防御系统
4、选型364.7.3 防病毒系统选型364.7.4 访问控制ACL364.7.5 入侵检测技术374.7.6 漏洞扫描技术394.8 系统安全的非技术因素404.8.1 物理环境因素404.8.2 安全的管理因素414.8.2.1 安全管理原则41第5章 机房环境要求445.1 数据网络机房环境445.1.1 场地选择445.1.2 环境要求455.1.3 接地系统455.1.4 电源系统465.1.5 空调系统475.2 注意事项48第1章 系统概述1.1 电子政务系统介绍1.1.1 电子政务简介全球性的网络化、信息化进程正改变着人们的生活方式,Internet技术应用以及电子商务的飞速增长给
5、人们生活工作的各个层面带来了深刻的影响。在这场信息革命的大潮中,各级机构在社会经济文化生活中不仅需要扮演管理者和协调员的重要角色,而且为企业和社会服务的职能也日益明显和重要起来。一方面,各级机构拥有大量宝贵的信息资源,如各类国家或地方政策法规信息、各行业规章标准、各类招商引资信息、重大项目招标信息等;另一方面,个人、企业和社会对获取有关政策法规、各类统计信息、社会保障信息等的快捷和透明程度的要求日益提高,对机构的办事效率、服务水平等提出越来越高的要求,对机构职能的监督也需日益强化。国家信息化领导小组决定,把电子政务建设作为今后一个时期我国信息化工作的重点,先行,带动国民经济和社会发展信息化。对
6、于应对加入世界贸易组织后的挑战,加快职能转变,提高行政监管、效率和服务能力,建立高效、勤政、廉政、务实的具有十分重要的意义。1.1.2 电子政务应用电子政务系统主要应用有以下四种场景:和公务员(G2E):利用内网建立有效的行政办公体系,为提高工作效率服务。内容包括:电子公文、电子邮件、日常事务等。和企业(G2B):利用互联网等网络手段为各种经济活动提供信息化支持和指导。部门与部门(G2G):部门间的信息交换有助于不同部门间的协同办公,可以解决“信息孤岛”的问题。和公众(G2P):利用公共网络为公众提供方便、快捷的服务。1.1.3 项目概述我省电子政务网络平台建设主要有两部分组成。一是建成省、市
7、、县三级政务外网,为全省各级(以及人大、政协)各部门和省市、市县(区)之间非涉密信息交换和业务互动提供支持,为服务和监管业务提供网络和技术支撑。办公业务资源网按国务院办公厅要求进行建设,为办公业务的信息交换提供支持;二是建成省、市、县三级政务内网,为全省各级(以及人大、政协)各部门和省市、市县(区)之间涉密信息交换提供支持,如下图所示。xxx电子政务网络示意图XXX电子政务网络工程是建设一个覆盖全省/市/县xxx多个节点的大/中/小型广域网络。网络主要承载XXX电子政务办公数据和业务数据。为电子政务多种业务的发展提供高速的基础网络平台。1.2 建设目标电子政务是一种全新的管理方式。它的实质是机
8、构在其管理和服务职能中运用现代信息技术,实现组织结构和工作流程的重组优化,超越时间、空间和部门分割的制约,形成一个精简、高效的运作模式。电子政务建设的最终目标,是为了提高办公业务的效率和响应速度,充分发挥信息资源的优势,增加工作的透明度,促进与社会大众间的联络。国务院在去年也发布了十七号文件,将电子政务建设纳入一个全新的整体规划、整体发展阶段;并且党的十六大也针对电子政务提出了明确的目标。本项目的最终建设目标是:建成涉秘与非涉秘分开的安全电子政务网络平台,连接省、市、县(区)三级的党委、人大、政协、检察、法院职能部门系统,以及因工作需要接入的企事业单位。由于电子政务网络建设是一长期而复杂的任务
9、,所以分期进行。本项目的一期建设目标是:建成省电子政务网络内、外网平台,支持数据、语音和视频业务,传输性能满足业务需求,具备密码管理、信任体系、网络管理、容灾备份、信息管理和信息交换等各项功能,实现跨部门、跨地区的业务互联。(是否分期以实际项目需求为主)根据此次数据系统网络连接工程所要实现的目标,确定各节点间租用线路的种类、带宽、费用;确定各节点的网络设备和相应投资。选用先进的传输技术、设备组建一个覆盖全省/市/县行政单位的高可靠性、高安全性的电子政务网络平台。网络平台建设要同时考虑设备的充分利旧和系统的平稳过渡。一方面,已有的主机系统设备、网络系统设备等能满足电子政务要求的可通过必要的数据迁
10、移后投入使用。另一方面,针对各单位网络建设的现状和发展需要,采用不同的过渡和接入方式,以达到系统的平稳过渡而不影响原有的工作和业务。1.3 建设原则本设计技术方案将从实际出发,建设一个高效实用的网络系统。网络系统设计必须既适应当前电子政务实际应用考虑,又面向未来信息化发展需求。我们将遵照以下原则对本项目进行设计。1.3.1 实用性实用性主要体现在以下几个方面:系统的性能指标应能够满足网络内各项业务对处理能力的要求,整个系统的性能应当是可靠的,便于管理的。所采用的设备应当是易于配置维护。对于本系统的网络结构,最理想的组网形式应是一个层次化的,能支持多种不同的应用,并且能够面对未来网络的膨胀和业务
11、的不可预测性有很好的适应能力。尽量减少网络的连接复杂度,提高网络的利用率,增加网络的冗余度以确保网络的高可靠性,通过简单的网络管理,减少专业人员培训的难度,以及网络管理的压力。1.3.2 扩展性扩展性原则是一个系统赖以生存和发展的基础,只有可扩展的系统,才能充分发挥计算机系统的能力,体现良好的延续性和实用能力,保护用户投资及系统的长远发展。如果扩展性原则不能贯彻,则系统的维护升级陷入被动,出现盲目建设、重复投资等问题。1.3.3 模块化设计本设计中将坚持系统结构模块化的设计原则,即软硬件平台可以积木式拼装,可以通过添加组件或相关板卡满足新的需求。选用的设备应考虑选择业界性能优良、可扩充性好、厂
12、商能够承诺对未来的新技术进行支持的设备。1.3.4 先进性设计立足先进技术,采用新科技,以适应大量数据传输以及多媒体信息的传输。使整个系统在国内三到五年内保持领先的水平,并具有长足的发展能力,以适应未来网络技术的发展。1.3.5 稳定性电子政务数据系统的可靠性是整个信息化建设的基石,为保证电子政务数据系统的可靠性,主要考虑以下几方面:在主要网络设备的选择上,考虑其可靠性:如关键部件的冗余及热插拔等。本方案所推荐的产品均选用主流硬件厂商的主流产品,以实际应用案例为前提保证,这些产品具有成熟、稳定、实用的特点,并充分满足应用及技术发展的需要,同时能够获得厂商的备品和备件支持。1.3.6 安全性在安
13、全性方面,我们所推荐的硬件产品能够阻挡一般性的网络攻击,能够做到流量控制,设置用户的可访问范围等。1.3.7 易用性整个网络是由多种设备组成的较为复杂的系统,因此必须着重考虑所选产品具有良好的易用性。该网络系统应该易于管理,通过网络管理工具,可以方便地监控网络运行情况,对出现的问题及时解决,对网络的优化通过依据。1.3.8 经济性在设计方案之初,我们要必须满足建设单位实际情况,也要兼顾经济性原则。主要从以下几点来保障: 通过科学合理的设计方案,充分利用现有资源,切实保护用户投资; 选用易于操作维护的技术方案和产品设备,有效的降低管理费用; 选用领先且易于扩展的产品和技术,减少后期扩容的重复投资
14、; 选择性价比高的产品及配套设施。第2章 网络系统建设方案2.1 网络系统概述XXX电子政务网络分为内、外网,内、外网之间物理隔离,外网与公众互联网通过防火墙实现逻辑隔离,如下图所示。内网、外网与Internet关系示意图xxx电子政务网络内网(下简称内网):主要用于传送电子公文、以及不适合通过外网传输的信息,如:政务信息、财务数据、视频会议等。连接范围为省、市、县(区)级及相关职能部门,以及因需要接入的企事业单位。xxx电子政务网络外网(以下简称外网):是电子政务网络对外的窗口,与互联网通过网络安全系统逻辑相连,对外提供一些网上服务,如受理申请、审批等;同时也是办公人员与外面进行信息交流的通
15、道。连接范围为省、市、县(区)级及相关职能部门,以及因需要接入的企事业单位。xxx电子政务网络的内网和外网、内网和Internet之间均完全物理隔离,确保内网传输数据的绝对安全。2.2 网络传输链路2.2.1 传输链路要求为了实现网络节点高速互连的目标,要求可以提供高带宽、高性能,高可靠性传输链路,所选传输链路应满足以下要求:n 符合项目建设原则,采用目前主流的网络线路;n 覆盖范围到达本次项目的所有节点n 具有方便、灵活有效的扩容能力;n 具有高带宽,所提供的带宽能够满足用户的当前需求;n 具有高可靠性,网络骨干网具有故障情况下的自动自愈能力;n 具有高质量,误码率低,可实现低时延,高吞吐量
16、;n 同时提供对数据、语音和视频综合业务的良好支持能力。2.2.2 传输链路设计XXX电子政务网络工程是要建设一个专用网络,综合比较网络的功能、性能、安全性、保密性、可靠性、可用性、初装与运行费用、技术要求强度等因素,因此,我们选择了租用中国电信/移动/联通的成熟专网络链路作为主要的传输线路。2.3 网络结构设计国家电子政务体系的网络基础架构从整体上来就说是三网合一,即政务内网、政务外网和公众外网(Internet)在确保安全的前提下互联互通。内网即内部的办公局域网络,用于内部各部门间的信息交换,其网络要求能够提供具有传统数据网络的性能优点(安全和QoS)和共享数据网络结构的优点。 政务外网指
17、部门之间的网络。该网络主要用来在部门之间传递各种文件和数据,作为跨部门,跨地区业务系统的互联和资源共享的网络基础发挥作用。政务外网和政务内网间通过物理隔离设备分割开来。公众外网主要是面向公共服务的信息发布平台和连接互联网的电子邮件服务。外网在结构上相对简单,通过防火墙与政务外网连接,通过路由交换设备与Internet连接。根据目前XXX的行政管理体制和网络现状的情况,本项目网络结构采用单一中心节点的星型网络结构。主干网络辐射到二级节点,各二级节点下辖的三级分支节点依据网络链接的实际需要来设计敷设,本次电子政务网络设计如下:n 中心节点:XXX办公厅信息中心n 分支节点:XXX大院XX幢大楼XX
18、家单位XXX市/区XXX家厅局级单位XXX市区XX家次级单位XXX市区XX家单位和公司XXX电子政务网络的内网和外网,其网络的拓朴结构主要采用星型结构。星型结构的优点是传输性能较优;高度集中易于网络管理;容易扩展且分支节点的链路失效不会影响其它网络节点。但要求中心节点具有较高的可靠性和冗余度以及较高的处理能力。为了有效的保证数据传输的安全性、稳定性、强壮性。省办公厅信息中心的数据主干设备采用千兆高速交换路由器。高速路由器要求具备达到2Mpps的数据转发能力、性能优异的备板交换构架、核心层冗余能力和模块扩展能力。具体方案如下:在XXX信息中心放置XX台核心路由器,分别作为内网数据和外网数据的总出
19、口。XXX个二级节点分别配置一台交换路由器,将其内网和外网通过租用链路连接到上级核心路由器。信息中心还需要配置XX台接入交换机,用于内部局域网信息点与路由器的接入汇聚。XXX市区本级的XXX家厅局级单位设置XX台交换机,分别连接单位的内网和外网。市区还有XX家次级部门和单位配置一台路由器,将其内、外网通过租用链路经运营商的帧中继网上联到省信息中心的核心路由器。各个部门和单位的内网和外网采用物理隔离,外网有Internet出口,核心路由器通过1台防火墙,采用GE链路,连到运营商的Internet骨干网。2.4 主要设备选型2.4.1 网络设备选型我们在XXX信息中心部署X台高档次的核心路由器作为
20、数据交汇转换的中心节点;同时配备2台千兆级网络核心交换机和XX台接入交换机组成数据交换汇聚的政务局域网。在二级分支和其他职能部门各选用1台性价比较高的千兆电口路由器和xx台千兆三层交换机,来满足二级节点与中心节点的链接和向下级节点的扩展。依据项目实际需求,我们针对XXX电子政务网络数据系统网络设备的选型配置如下:2.4.1.1 核心路由器选型依据项目实际需求选择是否需要核心路由器,以及核心路由器的具体参数要求路由器工作在OSI参考模型的网络层,用于网络间的相互连接,要求路由器同时提供至少一个以太局域网端口和广域网接口,分别用于与内、外网的连接。2.4.1.2 交换路由器选型依据项目实际需求选择
21、是否需要交换路由器,以及交换路由器的具体参数要求2.4.1.3 核心交换机选型依据项目实际需求选择是否需要核心交换机,以及核心交换机的具体参数要求2.4.1.4 接入层交换机选型依据项目实际需求选择是否需要接入层交换机,以及接入层交换机的具体参数要求2.4.2 网络管理系统设备选型依据项目实际需求选择是否需要网络管理系统,以及网络管理系统的具体参数要求第3章 服务器系统建设方案3.1 服务器系统概述所有的电子政务业务应用都是在所谓的“政务外网”和“政务内网”网络平台上实现的,所有的应用软件环境都必须在网络中的各种服务器里操作完成;可想而知,服务器已经成为电子信息化建设的重中之重。政务办公服务器
22、主要应用于日常协同办公,运用先进的数据交换,共享,采集,发布手段,使得各机构在同一平台上传递信息、开展业务,促进原来分散的业务系统的整合,加速不同部门之间、不同行业之间的信息交流,紧密的将神经网络中的各级部门政务内网,企事业单位结合在一起,实现协同政务,资源共享,科学决策,包括公文收发、会议管理、人员管理、项目管理、财务管理等完整的电子办公功能,极大地提高省各机构的管理能力和工作效率。3.2 服务器系统设计服务器系统是整个数据中心的心脏,负责管理数据中心的基础信息、共享信息、各专业区域信息以及业务应用过程中发生的相关业务数据、以及数据管理的过程中产生的比对信息、整理信息、管理信息等同时为各个分
23、系统提供共享信息。服务器的处理能力作用体现在每秒钟的事务处理数量上。事务处理主要包括卡业务受理、数据的实时汇总、入库、分发等功能。根据日业务量可以推算出服务器每秒需要处理的事务数。服务器主要负责业务业务逻辑的实现和数据的处理,因此它的处理量主要表现在TPMC 即事务处理以及一些计算上,根据XX市数据中心应用模型, 3.2.1 应用服务器系统设计电子政务应用服务器系统的特点是业务复杂,连接用户数多,服务器系统的设计,主要应考虑以下几方面的因素:服务器系统需要考虑对并发多点登入时业务受理的实时响应,考虑业务的复杂性,服务器需要实时的与多个业务分系统进行数据采集、比对、整理和分发。需要服务器有很高的
24、并发处理能力。在追求数据服务器单机高性能时,也需要考虑业务巨大时的系统负载的分流,系统在规划设计时,在软件设计上进行合理处理,使得应用可以在单机上运行,也可以有不同的服务器上进行任务分担,共同完成实时的业务处理。3.2.2 数据库服务器系统设计服务器需要对实时产生的数据进行及时汇总、分发。要实现汇总、分发的实时高效,需要将实时信息放入内存,进行处理,才能提高系统的性能,这样数据库服务器需要有较高的内存。对每天生成的数据需要实时入库,需要有很强的I/O能力,使得数据的入库不会成为系统的瓶颈。3.2.2.1 系统性能设计3.2.2.2 安全性设计3.2.2.3 稳定性设计3.2.3 存储服务器系统
25、设计3.2.4 个人工作站设计个人工作站的设计原则 国内的知名名牌 良好的性能价格比 优质的售后服务保障 稳定、易用的环境基于以上考虑,本次项目个人工作站的推荐技术参数为:3.3 服务器设备选型服务器设备选型的主要参考标准即服务器系统的运算能力和I/O能力。目前较为普遍采用的一个衡量服务器系统处理能力的参数是TPMC值,TPMC值是测试单台服务器或集群系统在配备特定的操作系统,用特定的数据库的情况下每分钟处理事务的能力(Transaction Per Minute)。TPMC值越高说明系统处理能力越强。服务器TPMC值是通过实验手段取得的,仅可以用作参考,不可以生搬硬套。 例如服务器支持100
26、万/天的访问量,每个事务按0.2秒的响应时间计算,每天8小时,峰值为平均数的3倍计算,冗余30%,每个事务触发5个Transaction,每分钟处理的事务量:=(100万/天)*3*130%*5/0.2/(8*60) =20312Transaction/分钟因此我们建议服务器的TPMC值为:20312 基于上述计算,建议服务器采用TPC-C值在25,000左右的服务器系统。第4章 数据网络安全设计电子政务是信息化系统的重要组成部分。电子政务最终目标是建设办公自动化、面向决策支持、面向公众服务的综合平台。因此电子政务系统一方面要求考虑内部网络的安全,另一方面要求考虑面向公众服务的网络安全。电子政
27、务行使职能的特点导致来自外部或内部的各种攻击,包括黑客组织、犯罪集团或信息战时期信息对抗等国家行为的攻击。攻击包括基于侦听、截获、窃取、破译、业务流量分析、电磁信息提取等技术的被动攻击和基于修改、伪造、破坏、冒充、病毒扩散等技术的主动攻击。网络威胁包括来自内部与外部的威胁、主动攻击与被动攻击带来的威胁。4.1 系统网络安全需求分析根据项目实际要求,结合我公司多年来从事电子政务网络建设和安全系统建设的经验,我们认为电子政务数据系统网络层面的安全性涉及两个方面:网络系统自身安全性及网络服务的安全性。对于XXX电子政务网络平台来说,网络系统自身安全性需求主要包括:n 路由交换设备本身的安全;n 路由
28、信息的安全;n 入侵检测功能n 漏洞检测功能n 网管安全网络服务的安全性需求包括:n 用户AAA服务,提供认证,授权及审计的功能n 防止冒充合法用户n ACL功能 4.2 网络安全设计原则为了有效的提高xx省电子政务数据网络系统安全,我们将遵循以下设计原则:安全但不影响性能城域网的客户需要提供高性能的多媒体服务,所以任何影响性能的安全措施将不能被接受;全方位实现安全性安全性设计必须从全方位、多层次加以考虑,来确实保证安全;主动式安全和被动式安全相结合主动式安全主要是主动对系统中的安全漏洞进行检测,以便及时的消除安全隐患;被动式安全则主要是从被动的实施安全策略,如防火墙措施、措施等等。只有主动与
29、被动安全措施的完美结合,方能切实有效地实现安全性;切合实际实施安全性必须紧密切合要进行安全防护的实际对象来实施安全性,以免过于庞大冗杂的安全措施导致性能下降。所以要真正做到有的放矢、行之有效;易于实施、管理与维护整套安全工程设计必须具有良好的可实施性与可管理性,同时还要具有尚佳的易维护性;具有较好的可伸缩性安全工程设计,必须具有良好的可伸缩性。整个安全系统必须留有接口,以适应将来工程规模拓展的需要;节约系统投资在保障安全性的前提下必须充分考虑投资,将用户的利益始终放在第一位。通过认真规划安全性设计,认真选择安全性产品(包括利用已有设备),达到节约系统投资的目的。4.3 数据网络安全总体设计4.
30、3.1 网络系统安全性设计从保证xx省电子政务网络系统本身安全性的的角度出发,我们可以采用以下几种手段:在整个网络中,利用OSPF路由更新认证确保全网路由表的安全,通过对策略路由的设置控制路由的过滤;利用ACL,AAA认证,令牌卡技术,操作权限分级等手段确保网络设备不会出现非授权访问.;在网络设备上,进行防止DOS和其它资源掠夺式攻击的设置;在运行中心配置漏洞扫描器,统一收集各个网络设备的安全漏洞,进行分析和汇总;4.3.2 网络服务安全性设计为保证xx省电子政务网络平台能给接入单位、企业和个人提供安全的服务,我们建议采用以下几种手段:在外网Internet出口连接的地方配置国家保密局推荐的高
31、性能千兆防火墙,提供1000M的接口,给多个用户提供安全服务,如投资允许的话,可采用防火墙双机,实现平滑的热备份;利用高性能路由交换机或者路由器,实现端口线速ACL;在需要对外提供服务的重要的网段,配置入侵检测传感器,给单个或多个用户提供入侵检测服务。4.3.3 数据灾备系统设计 3.2.9.1 设计原则为XX市电子政务外网数据中心提供灾备方案时,主要考虑以下三方面因素:灾难承受程度:要明确用户计算机系统需要承受的灾难类型、系统故障、 通信故障、长时间断电甚至火灾、地震等各种意外情况所采取的保护方案不尽相同;业务影响程度:让用户必须明确当计算机系统发生意外无法工作时,导致业务停顿所造成的损失程
32、度,也就是定义用户对于IT环境发生故障的最大容忍时间。这是我们设计灾难恢复方案的重要技术指标;数据保护程度:是否要求数据库可以恢复所有提交的交易并且要求实时 同步数据也就是数据的连续性和一致性,决定了灾难恢复方案规模和复杂程度的重要依据。提供的灾难恢复方案可以满足XX市电子政务外网数据中心对于计算机系统、数据的严格保护要求,保证即使发生断电,火灾等严重灾难时,政务外网业务的相关关键数据不会丢失和缺损,确保业务数据在主中心和备份中心同步更新,保证数据最大的完整性。3.2.9.2 灾备技术比较通常说来,灾难恢复方案建议用户建立两个数据中心,XX主数据中心和南宁备份数据中心。正常情况下,应用运行在主
33、数据中心的计算机系统上,数据也存放在主中心的存储系统中。当主数据中心由于断电,火灾甚至地震等灾难无法工作时,则立即采取一系列相关措施,将网络、电话线路切换至备份中心,并且利用备份中心计算机系统重新启动应用系统。而这里最关键的问题就是切换过程时间最短,同时尽可能保持主数据中心和备份中心数据的连续性和完整性。而由于社保数据的重要性,如何解决主、备中心数据库数据备份,恢复则是灾难恢复方案的重点。 传统的磁带备份方式一般采取定点备份,而当系统崩溃时。距最近一次备份时间之间的数据将全部丢失,无法恢复。而且磁带备份和恢复时间比较长,由于速度慢,缺乏实时性,无法满足用户大数据量数据恢及数据库连续性、实时性的
34、要求。现在流行的灾难恢复方案主要是采用硬盘备份的方式。它的主要原理是在备份中心建立一套硬盘存储系统,通过通信线路,实时地将主中心更新数据拷贝至备份中心存储系统中,保证主、备中心数据的实时一致性。当主中心无法工作时,备份中心可以立即接管业务,并且确保数据的最大完整性。其主要实施方法有以下三种:利用数据库厂家的软件产品完成远程备份:现有的一些数据库厂家例如 Oracle数据库可以提供STANDBY数据库功能,通过通信网络将实际数据库日志文件传至备份中心存储系统,备份中心的STANDBY数据库按照主数据库结构从日志文件中重新恢复数据库。这种方法投资成本小,数据恢复相对磁带较快,缺点就是占用主机资源,
35、日志文件建立过程中发生灾难时,整个日志文件数据将丢失;利用主机进行远程数据镜像:主中心存储设备与备份中心存储设备进行 镜像,主机同时将数据分别写到本地和远程磁盘上。主机上安装灾备软件,如AIX上的HAGEO、SUN上的VERITAS(VERITAS Volume Replicator)等。这种方法优点就是可以保证数据的实时一致性,但是存储镜像通过主机完成,这将极大地影响主机性能,当由于通信故障,一个镜像操作无法完成时,主机将无法进行下一个写操作;基于智能存储系统的远程数据复制:磁盘阵列将磁盘镜象功能的处理 负荷从主机转移到智能磁盘控制器智能存储系统上。如IBM的PPRC、EMC的SRDF等,基
36、于智能存储的数据复制由智能存储系统自身功能实现数据的远程复制和同步,即智能存储系统本身来完成数据的复制功能,同主机无关,不占用主机的CPU,连接可以采用裸光纤、ATM、E1/E2、T1/T3、TCP/IP等。由于这种方式下数据复制软件运行在存贮系统内,因此较容易实现主中心和容灾备份中心的操作系统、数据库、系统库和目录的实时拷贝维护能力,且一般不会影响主中心主机系统的性能。而且上层可以是不同主机平台。如果在系统恢复场所具备了实时数据,那么就可能做到在灾难发生的同时及时开始应用处理过程的恢复。三种实施方法的比较:第一种方案的最大缺点就是灾难发生时,系统数据备份可能不完全,丢失数据量较大,而且对系统
37、正常工作时的系统性能影响较大。第二种案由于远程备份要占用主机的CPUI/O等资源,同时根据备份方式的不同,可能对主机的性能有一定的影响,但它能够保证数据备份的完整性。第三种方案能够完全确保数据的一致性,同时对主机系统的性能影响较小,对主机平台的要求也低,但缺点是系统投资较大。 3.2.9.3 灾备解决方案数据中心系统的主要数据存储包括两大部分:应用系统数据以及统计分析系统数据。两个业务特性的不同决定了我们需要考虑实施不同的数据备份策略。下表是我们针对其备份系统需要考虑的业务特性所进行的比较。根据上表,我们知道,业务生产系统的数据备份工作以严密、最大限度保护数据、快速恢复为宗旨。而统计分析系统的
38、数据备份工作以高效、简便,对数据起比较好保护作用为宗旨。数据中心系统数据量很大,统的LAN-Base以及Server-Base的备份方式难以满足XX市电子政务外网数据中心的需求,我们建议采用基于IP SAN架构的企业备份解决方案。 4.4 网络设备安全实现整个xx省电子政务数据网络系统是由许多路由交换设备组成的,网络设备的安全是是许多安全措施能够顺利实施的基础。如果网络设备的配置能够被随意看到,其所配置的路由识别ID、密码等都失去意义;VLAN的配置如能被随意改动,则VLAN将形同虚设。保护网络设备应注意两个方面:设备的配置需要保护,防止非授权访问;设备的资源必须有效保护,防止像DOS这样的资
39、源掠夺式攻击。4.4.1 网络设备分级登录验证防范对网络设备的非法访问,需要保护关键的配置信息(如密码、ID等),管理员必须经过严格身份鉴别和授权。在本次xx省电子政务网络工程数据系统建设项目中,我们推荐的Cisco所有设备本身都有相应的安全措施。针对于单一管理员权限无限大的问题,我们可以根据具体管理员的职能分工进行权限分配。在Cisco 的路由交换设备上,可以将管理员的权限划分为15级权限档次,针对每个权限可以定制相应的命令集,为实现各种管理目的而设立的不同职能管理员之间可互不侵扰的完成各自工作。例如,普通操作员只能监视设备运行,不可进行其他操作;高级的管理员可做故障诊断,不可修改设备配置文
40、件;系统管理员可具有所有功能权限等。同样,对于SNMP服务也可以通过设置不同级别的Community,让不同级别的网管系统获得不同的操作权限。4.4.2 限制登录会话数Cisco网络设备必须通过严格的认证程序才能够进行登录,这种认证既包括对远程登录,也包括本地的Console登录。Cisco网络设备可以设定对本身的登录会话数,这种限制包括两个层次:(1)并发远程登录会话总数的限制;(2)一个用户同时登录数的限制;建议对每个管理员都分配一个User-ID。有两种方法登记User-ID。一种是在路由器上配置username/password。另一种方法是用AAA来保护路由器,由一中心AAA(TAC
41、ACS+/Radius)服务器维护Username/Password。第二种方法更具扩展性和安全性。另外使用Token服务器提供一次性口令的更换,与AAA服务器相结合便可向网络管理员提供对设备的一次性口令登录。我们推荐在网络中心配置Cisco Secure ACS服务器,为管理员登录到Cisco设备提供统一的身份认证中心。Cisco Secure ACS服务器支持RADIUS,TACACS+等标准的认证协议,提供网络设备的用户AAA服务。Cisco Secure ACS 具有良好的管理界面,管理员可以通过浏览器进行用户管理与配置。管理员登录网络设备的过程如下:(1) 用户执行远程登录命令(例如
42、:Telnet),网络设备判断当前的并发连接数是否已经达到上限。如果数量没有超,网络设备提示输入用户姓名、口令。(2) 用户输入口令后,网络设备向AAA服务器查询该用户是否有权登录AAA服务器检索用户数据库,如果该用户允许登录则向网络设备返回PERMIT信息和该用户在该网络设备上可执行的命令同时将用户登录的时间、IP作详细记录;若不能在用户数据库中检索到该用户的信息则返回DENY信息,并可以根据设置向网管工作站发送SNMP的警告消息。(3) 当网络设备得到AAA的应答后,可以根据应答的内容作出相应的操作,如果应答为DENY则关闭掉当前的SESSION进程;如果为PERMIT则根据AAA服务器返
43、回的用户权限为该用户开启SESSION进程,并将用户所执行的操作向AAA服务器进行报告。由于本次项目中并没有该设备和软件的采购,如果原先xx省网络没有部署,同时考虑到投资,我们可先在路由器上配置username/password,手工进行登录控制。4.4.3 防资源掠夺式攻击4.4.3.1 攻击特点和原理对设备的另一种安全威胁是资源掠夺式攻击,是指通过持续调用设备的一些检测用途的应用和端口号或利用设备对异常包处理的漏洞占用CPU资源或导致内存溢出,影响设备的正常功能,严重的甚至导致网络设备死机,常见的DOS,DDOS和ping攻击都属于此种情况。在拒绝服务(DoS)攻击中,恶意用户向网络设备发
44、送多个请求,使其满负载,并且所有请求的返回地址都是伪造的。当网络设备企图将结果返回给用户时,它将无法找到这些用户。在这种情况下,网络设备只好等待,有时甚至会等待1分钟才能关闭此次连接。当网络设备关闭连接之后,攻击者又发送新的一批虚假请求,以上过程又重复发生,直到网络设备因过载而拒绝提供服务。 分布式拒绝服务(DDOS)把DoS又向前发展了一步。DoS攻击需要攻击者手工操作,而DDOS则将这种攻击行为自动化。与其他分布式概念类似,分布式拒绝服务可以方便地协调从多台计算机上启动的进程。在这种情况下,就会有一股拒绝服务洪流冲击网络,并使其因过载而崩溃。黑客(client)在不同的主机(handler
45、)上安装大量的DoS服务程序,它们等待来自中央客户端(client)的命令,中央客户端随后通知全体受控服务程序(agent),并指示它们对一个特定目标发送尽可能多的网络访问请求。该工具将攻击一个目标的任务分配给所有可能的DoS服务程序,这就是它被叫做分布式DoS的原因。 实际的攻击并不仅仅是简单地发送海量信息,而是采用DDOS的变种工具,这些工具可以利用网络协议的缺陷使攻击力更强大或者使追踪攻击者变得更困难。首先,现在的DDOS工具基本上都可以伪装源地址。它们发送原始的IP包(raw IP packet),由于Internet协议本身的缺陷,IP包中包括的源地址是可以伪装的,这也是追踪DDOS
46、攻击者很困难的主要原因。其次,DDOS也可以利用协议的缺陷,例如,它可以通过SYN打开半开的TCP连接,这是一个很老且早已为人所熟知的协议缺陷。为了使攻击力更强,DDOS通常会利用任何一种通过发送单独的数据包就能探测到的协议缺陷,并利用这些缺陷进行攻击。 4.4.3.2 解决办法针对资源掠夺性攻击,在网络设备上可以进行多层次的防范:(1)在Cisco IOS中使用命令可一次性关闭所有带有安全隐患的端口检测和进程调用。A. 在路由器全局模式下键入no service tcp-small-serversno service udp-small-servers可以避免UDP/TCP诊断端口DoS(D
47、enial of Service) 攻击B. 在路由器全局模式下键入no service finger可以避免被外人窥测出用户login信息。C. 在骨干路由器全局模式下键入no ip redirectsno ip directed-broadcastno ip proxy-arp可以避免SMURF攻击。D. 在骨干路由器全局模式下键入no service padno ip bootp serverno cdp runno cdp enable可以避免损耗CPU攻击。(2)过滤进网和出网的流量xx省电子政务网络可以在各接入分支节点的交换机或路由器上实施进网流量过滤措施,目的是阻止任何伪造IP地址的数据包进入网络,从而从源头阻止诸如DDOS这样的分布式网络攻击的发