《XXX数字化城管租用云服务项目实施方案6637.docx》由会员分享,可在线阅读,更多相关《XXX数字化城管租用云服务项目实施方案6637.docx(37页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、 XXXX数字化城管租用云服务项目实施方案XXXXX数字化化城管租租用云服服务项目实施施方案目录一、总体体建设原原则2二、总体体建设价价格3三、总体体建设思思路4四、项目目建设目目标6五、项目目技术方方案8六、技术术方案优优势16七、项目目产品介介绍21一总体体建设原原则为实现上上述目标标,在系系统的建建设中应应遵循以以下原则则:n 先进性充分考虑虑当前计计算机软软硬件技技术的新新成果,建建立一个个符合国国际标准准、开放放、高性性能、易易管理的的计算机机数字化化系统。n 规范性严格遵循循国家的的相关技技术规范范和业务务规范的的要求,应应对平台台进行整整体规划划。n 科学性符合六合合城管局局当前
2、业业务要求求和今后后一段时时期的发发展需要要,逐步步建立一一个具有有现代化化管理、通通讯手段段的云计计算网络络,提高高系统科科学性。n 可行性在一定资资金资源源下,建建立一个个高水平平的、完完善可行行的信息息化系统统。n 安全性通信行业业对网络络的整体体安全性性有较高高的要求求,系统统安全建建设应同同步建设设,除了了能够在在多个层层次上实实现安全全目标,还还需要建建立完善善的安全全管理体体系。n 可管理性性建立完善善的运行行管理体体系,提提供强大大的网络络管理工工具与手手段,确确保系统统性能充充分发挥挥,系统统运行可可靠、稳稳定。n 可扩展性性整个系统统平台系系统采用用开放的的结构,符符合国际
3、际标准,适适应技术术的发展展和变化化,充分分考虑到到XXXXX数字字化城市市管理系系统目前前业务的的需求和和今后较较长时间间内的业业务发展展需要,网网络采用用高速主主干技术术,智能能化网络络管理技技术,适适应业务务系统扩扩充和技技术发展展的要求求。二总体体建设架架构1.统一一规划、总总体设计计注重XXXXX信信息化建建设的分分阶段性性,统一一标准、统统一规划划,结合合XXXXX作为为南京市市快速发发展中区区域的整整体优势势和管理理特色,结结合XXXXX已已经建立立的地理理信息资资源、网网络资源源等已有有的基础础信息优优势,综综合考虑虑系统建建设的总总体要求求,全面面梳理XXXXXX城市管管理业
4、务务流程,建建立各职职能部门门的典型型业务模模型。在在此基础础上,从从管理、决决策、统统计、信信息交换换等四个个方面入入手,合合理规划划各部门门的计算算机应用用系统,并并根据用用户的实实际需要要,对目目标系统统进行全全面地、系系统地总总体设计计,确保保系统满满足用户户各个阶阶段的建建设需要要,同时时避免信信息孤岛岛带来的的高成本本、低效效率、难难维护。2.分步步实施、统统一集成成在统一规规划的基基础之上上,根据据XXXXX信息息化建设设的进展展,根据据总体建建设规划划,分期期分批分分区域进进行系统统建设,力力求积极极稳妥、勤勤俭节约约。在统统一规划划和设计计的指导导下,先先建设系系统的基基础支
5、撑撑层次的的平台系系统,做做好系统统集成的的标准体体系建设设,为不不同阶段段应用子子系统的的集成工工作提供供统一的的技术框框架。3.实用用为主、整整合资源源XXXXX各类信信息系统统的建设设应客观观地满足足当前和和未来一一段时间间的发展展需要,紧紧密结合合自己的的工作内内容,有有的放矢矢地开展展急需系系统的建建设,将将有限的的资金投投入到必必须的项项目建设设上,特特别是建建设XXXXX的的数字城城市管理理系统,由由于面积积广、数数据大、人人员多、部部门多,因因此实用用和够用用是建设设该项目目应该重重点考虑虑的问题题。在XXXXXX数字化化城市管管理系统统建设过过程中,以以功能实实用为主主,充分
6、分利用已已有的网网络基础础、业务务资源、信信息资源源、环境境资源,采采用选用用成熟的的软件产产品和应应用系统统相结合合的建设设方针。4.技术术先进、行行业领先先在系统规规划过程程中,要要充分考考虑先进进的技术术,先进进的方法法,要采采用符合合国际发发展潮流流的技术术,要有有前瞻性性。另一一方面,在在系统建建设过程程中,还还要充分分把握技技术的稳稳定性和和成熟性性,使得得XXXXX城市市管理信信息化项项目,既既能够达达到国内内的领先先水平,又又能满足足城市管管理长效效管理的的应用要要求。三总体体建设思思路XXXXX城市管管理局信息化化平台本期期建设规规划于“三个中中心”理念,即即办公中心心、指挥
7、挥中心、数据中中心。办办公中心心指的是是XXXXX城管管局工作作人员的的办公地地点,办办公中心心是信息息化系统统的基础础,因为为其是数数据中心心的拥有有者,是是指挥中中心的领领导者,所所以办公公中心要要统筹管管理数据据中心与与指挥中中心;指指挥中心心实际是是指挥、监监控中心心,其主要作用用是:1.远程程运维、监监控数据据中心;2.通过过大屏调调取显示示交通部门门视频监监控;3.创建建呼叫中中心平台台。数据中心心即建设设的核心心,规划将将信息化化平台部部署并托托管在电电信五星星级机房房,数据据中心的的作用是是提供对对外服务务的业务务系统以以及配套套的核心心数据库库系统、安安全系统统等,还还需要做
8、三三个中心心访问即即流量的的疏导。数据中心心网络部部分建设设:数据据中心规规划设计计一台防防火墙作作为系统统接入设设备,用用于汇聚聚连接办办公中心心、指挥挥中心、手手机客户户端、公公安交通通系统以以及Innterrnett外网等等。接入入防火墙墙下联核心心交换机机,核心心交换机机为所有网网络数据据交换处处理的中中心,负负载“三中心心”业务系系统大部部分数据据;核心交交换机下下为接入入交换机机,作为为城市管理理局系统统服务器器的接入入网络服服务;在在核心交交换机上上旁挂入侵侵检测设设备,用用于对城城市管理理局系统统平台网网络进行行安全检检测,针针对潜在在的或已已经出现现的故障障隐患进进行告警警、
9、分析析并提出解解决方法法;在核核心交换换机上旁旁路SSSL VVPN设设备,用用于对接接入试用用XXXXX城市市管理局局的使用用者进行行身份安安全加密密认证,保保证系统统平台安安全性;在核心心交换机机上旁路路数据库库审计设设备,用用于对XXXXX城管管局核心心数据库库系统进进行审计计分析,保保障核心心数据库库安全性性、稳定性性。数据中心心底层业业务及数据库库系统的的部分建建设:配置应应用服务务器,用用于部署署城管局局本期规规划信息息化系统统,用于于对外提提供服务务;配置城管管通服务务器,用用于承载载配套城管管通统业业务服务务;配置GGIS服服务器,用用于承载载地理信信息系统统数据,其其数据库库
10、建议部部署在服服务器本本地硬盘盘;配置数数据交换换服务器器,用于对对城管局局数据进进行交互互服务;配置数数据库服服务器,用用于承载载本期规规划城管管局信息息化平台台业务的的数据库库信息;配置稳定定、高效效FC SANN系统,即即冗余光纤纤交换机机和光纤纤存储设设备,用用于存储储数据库库系统数数据;配置在线线保护设设备,备备份、同步城城管局信信息化平平台数据据库数据据和服务器器操作系系统数据据,保证数数据库、业务的的安全性性。系统链路路部分建建设:配配置独立立双光纤纤1000M宽带带互联网网链路,用于数字化城管平台外网访问;配置主备双专线,主专线100M,备用专线10M用于六合数字化城管数据中心
11、到指挥中心的专线访问;配置100M专线用于六合公安视频监控中心与六合城管指挥中心专线访问;配置100M独立双光纤宽带互联网链路,用于指挥中心外网访问;配置12319平台2M语音数字中继线。本期项目目建设充充分考虑虑用户实实际试用用需求,目目前XXXXX城城市管理理局信息息化系统统处于第第一期建建设阶段段,系统统业务会会从零开始始逐步上上线,所所以本期期六合数数字城管管项目建建设的重重点是信信息化基基础底层层架构的建设,即主要要是针对对数据库库、数据据存储底层层的建设设(FCC SAAN架构构建设、数数据库双双机架构构等),在不浪浪费投资资的同时时又保持持建设系系统的高高度的可可扩展性性(增加加
12、服务器器、存储储容量或或者存储储等简单单方式),以以满足XXXXXX城管局局信息化化系统未未来的快快速发展展需求。本期项目目总体架架构及方方案以XXXXXX城市管管理局角角度考虑虑,综合合考虑目目前XXXXX城城市管理理局现状状及未来来发展,细化设计,保障设计方案项目总体设计方案的科学性、先进性、可行性,所投产品选取目前市场上最先进主流的品牌设备及技术使总体架构方案具有一定的前瞻性。四.项目目建设目目标4.1项项目总体体目标XXXXX城市管管理局本本期项目目建设会会依据建建设部标标准,以以管理创创新为基基础,以以信息资资源管理理为核心心,以网网络中心心和数据据中心为为支撑,以以协同应应用为主主
13、导,以以“执政为为民”为目的的,建成成功能完完善、高高效实用用、高度度集成,具具有国内内区县级级先进水水平的数数字化城城市管理理平台。总体目标标包括:1建立立科学合合理的城城市管理理体系,促促进“大城管管”格局的的形成,解解决条块块协同工工作的问问题;2充分分共享现现有资源源,利用用信息化化手段建建立数字字化城市市管理平平台,拓拓展各种种技术手手段,促促进城市市管理体体系高效效运行;3建立立切实有有效的综综合评价价体系,保保障数字字城管工工作的长长效运行行。4建立立并优化化XXXXX数字字化城管管系统的的软硬件件运行平平台,完完成并整整合数字字化城管管系统的的各个分分子系统统;5在系系统运行行
14、平台上上部署XXXXXX数字城城管系统统软件,完完成XXXXX数数字化城城管系统统的整体体实施和和集成。6建设设XXXXX级监监督指挥挥中心,实实现对全全区城管管部门的的考核和和督察。7实现现纵向业业务贯穿穿、横向向分工协协作,把把传统城城市管理理中分散散管理转转换为集集中管理理,统一一领导、统统一决策策、指挥挥、管理理、协调调和监督督的数字字化城市市管理体体系。8依托托现在的的XXXXX电子子政务网网络进行行建设整整合,建建立相应应数据交交换接口口,保证证各个平平台、系系统之间间的数据据共享。9建设设与共享享“1100”警用监监控设备备和XXXXX数数字城管管123319服服务中心心平台;依
15、托XXXXXX数字化化城市管管理监督督指挥中中心,充充分发挥挥公安、规规划、建建设、交交通、环环保、工工商、水水利等相相关职能能部门的的主管作作用,建建立和完完善工作作例会、情情况通报报、联系系走访等等制度和和机制,以以制度化化形式来来明确和和规范工工作衔接接配合,形形成城市市管理职职能设置置相交叉叉的各专专业部门门之间、各各层级之之间的良良好协同同联动关关系。4.2项项目阶段段目标本项目为为XXXXX数字字化城市市管理系系统建设设工程,项项目建设设遵循“统一规规划、分分步实施施”的原则则,根据据现有条条件逐步步实施。我我们认为为XXXXX数字字化城市市管理系系统的建建设本期期建设内内容:本期
16、建设设内容:本期(即即本期项项目)在在20115年10月底底建成数数字化城城市管理理平台,完完成各业业务系统统建设以以及系统统集成。1.数字字化城市市管理的的体制机机制建设设,确定定管理业业务流程程,组建建数字化化城市管管理监督督指挥中中心,建建立监督督评价体体系及绩绩效评价价体系;2.本期期建设范范围内的的基础地地理数据据修测,一一期建设设范围内内的城市市部件和和地理编编码普查查工作,确确定部件件数据的的属地与与属主;3.数字字化城市市管理监监督指挥挥中心的的场地建建设,相相关各机机构的相相应人员员、设施施配备;4.数字字化城市市管理系系统的有有线、无无线网络络建设;5.数字字化城市市管理系
17、系统相关关运行环环境、安安全体系系的建设设;6.数字字化城市市管理系系统应用用软件系系统开发发建设,包包括九大大标准子子系统及及拓展子子系统;7.建设设与南京京市数字字城管系系统的接接口系统统。五.项目目技术方方案5.1边边界访问问控制六合城管管信息系系统的边边界之内内包含多多个不同同网段的的出口区区域,汇汇聚层与与核心层层之间通通过交换换机进行行边界逻逻辑划分分,边界界环境较较为明朗朗,但如如果没有有一个可可集中控控制访问问请求的的措施,也也很容易易被恶意意攻击者者或其它它企图人人员利用用这些边边界进行行非法入入侵。入入侵者可可以利用用多种入入侵手段段,如获获取口令令、拒绝绝服务攻攻击、SS
18、YN Floood攻攻击、IIP欺骗骗攻击等等等获取取系统权权限,进进入系统统内部。所所以需要要对边界界部署访访问控制制系统,有有效地监监控内部部网和其其他网之之间的活活动,并并对数据据进行过过滤与控控制,保保证业务务系统的的安全。防火墙是是解决网网络边界界安全的的重要设设备,它它主要工工作在网网络层之之下,通通过对协协议、地地址和服服务端口口的识别别和控制制达到防防范入侵侵的目的的,可以以有效的的防范基基于业务务端口的的攻击。防火墙采采用高性性能的硬硬件架构构和一体体化的软软件设计计,除了了实现了了状态检检测防火火墙功能能,还同同时支持持VPNN、上网网行为管管理、抗抗拒绝服服务攻击击(An
19、nti-DoSS)、内内容过滤滤、AVV、入侵侵防御等等多种安安全技术术,同时时全面支支持QooS、高高可用性性(HAA)、日日志审计计等功能能,为网网络边界界提供了了全面实实时的安安全防护护。防火墙可可直接通通过功能能许可激激活的方方式,获获得包括括防病毒毒(AVV)、入入侵防御御(IPPS)、防防垃圾邮邮件(AAntii-Sppam)和和内网安安全功能能。六合城管管可采用用防火墙墙技术实实现不同同网络区区域之间间的安全全访问控控制,有有效抵制制来自非非信任区区域的黑黑客攻击击和降低低整个网网络的安安全威胁胁。本方案推推荐天清清汉马下下一代pp系列UUSG防防火墙产产品,天天清汉马马USGG
20、防火墙墙采用了了一体化化的设计计方案,在在一个产产品中协协调统一一地实现现了接入入安全需需要考虑虑的方方方面面。采用天天清汉马马USGG防火墙墙,可以以从整体体上解决决了接入入安全的的问题。用用户可不不必考虑虑产品部部署、兼兼容性等等困惑,也也不再因因为多个个产品难难于维护护管理而而苦恼,天天清汉马马USGG防火墙墙是低成成本、高高效率、易易管理的的理想解解决方案案。5.2入入侵检测测系统根据六合合城管的的网络结结构现状状,建议议在内部部网络区区域与其其他网络络区域之之间部署署天清汉汉马下一一代p系系列USSG防火火墙设备备,采用用串联方方式部署署在网关关设备和和内部核核心交换换机之间间,通过
21、过配置防防火墙访访问控制制策略实实现对整整个外网网区域的的安全防防护效果果。从当前的的网络拓拓扑结构构来看,在在不同的的区域网网络出口口,及网网络主干干链路上上,虽然然部署了了防火墙墙设备,但但防火墙墙的作用用主要是是网络层层、传输输层的访访问控制制,而针针对来自自非信任任网络的的网络攻攻击、入入侵等恶恶意行为为无法做做到有效效检测及及阻断。访问控制制系统(如如防火墙墙)可以以静态的的实施访访问控制制策略,防防止一些些非法的的访问等等。但对对利用合合法的访访问手段段或其它它的攻击击手段(比比如,利利用内部部系统的的漏洞等等)对系系统入侵侵和内部部用户的的入侵等等是没有有办法控控制的。因因此系统
22、统内需要要建设统统一的符符合国家家规定的的安全检检测机制制,实现现对网络络系统进进行自动动的入侵侵检测和和分析,对对非法信信息予以以过滤,提提高系统统整体安安全性。信息系统统的边界界之内包包含多个个局域网网以及计计算资源源组件。边边界环境境是比较较复杂的的,很容容易被恶恶意攻击击者或其其它企图图人员利利用这些些边界进进行非法法入侵。入入侵者可可以利用用多种入入侵手段段,如获获取口令令、拒绝绝服务攻攻击、SSYN Floood攻攻击、IIP欺骗骗攻击等等等获取取系统权权限,进进入系统统内部。所所以需要要有效地地监控内内部网和和非信任任网之间间的活动动,并对对数据进进行过滤滤与控制制,保证证内部网
23、网络的安安全。目前六合合城管网网络系统统缺乏整整体的入入侵检测测手段,这这样会导导致对信信息系统统安全状状况不了了解,无无法定位位问题源源以及进进行安全全建设效效果的评评估。因因此建议议采用入入侵检测测系统,在在网络系统统内部署署。通过过入侵检检测系统统的部署署,可以以达到三三个效果果:其一一,做到到对整个个网络区区域信息息系统安安全状况况的实施施监控与与报告;其二,利利用入侵侵检测技技术识别别威胁来来源,并并根据威威胁调整整安全策策略;其其三,通通过入侵侵检测系系统的安安全性分分析对比比,了解解网络安安全建设设效果,对对之进行行评估。入侵检测测系统应应支持对对所有TTCP/IP协协议的分分析
24、,而而对在此此基础上上衍生出出的新型型应用层层协议,支支持动态态协议插插件技术术,可以以根据实实际情况况,在协协议分析析组中即即时增加加应对新新型协议议的分析析方法,做做到对网网络数据据的全面面协议分分析。入入侵检测测系统需需融合基基于原理理和基于于特征的的两大类类检测机机理,在在检测机机制方面面,保证证全面性性要求。入侵检测系统除了提供对网络具体事件的检测外,还需提供对流量的检测。很多安全事件往往伴随着网络流量的异常,对流量异常事件的及时发现和处理,可以有利于扩大管理员的检测范围。有效呈现是入侵检测产品的用户价值体现,入侵检测系统作为风险管理产品,设备本身并不直接给用户带来价值,不会自动阻断
25、攻击或者是帮助用户修补漏洞,所能带来的价值是通过将收集到的信息呈现给用户而实现的。建议部署署天阗入入侵检测测与管理理系统,实实时抓取取分析网网络数据据,判断断是否有有违规或或者是恶恶意行为为发生并并告知网网络管理理员,协助用用户了解解网络的的内部状状况,为为用户的的网络安安全建设设提供决决策依据据。根据据六合城城管的网网络结构构现状,建建议在网网络核心心区域部部署天阗阗入侵检检测与管管理系统统,将入入侵检测测系统引引擎旁路路连接在在网络区区域核心心交换机机上,同同时在管管理终端端安装入入侵检测测系统控控制台,实实现对网网络入侵侵行为的的有效检检测、呈呈现以及及报表分分析等效效果。5.3数数据库
26、安安全审计计对于六合合城管信信息化网网络系统统来说,数数据库的的应用在在整个IIT系统统中起到到至关重重要的作作用,wweb应应用系统统提供对对不同用用户的访访问接口口,同时时服务器器区域中中其他应应用服务务器的数数据库中中储存着着极其重重要和敏敏感的信信息。一一旦发生生来自非非信任网网络的恶恶意访问问或则黑黑客入侵侵行为,则则数据库库中的数数据将面面临被篡篡改或者者泄露的的风险,轻轻则造成成六合城城管的经经济损失失,重则则影响政政府形象象甚至社社会安全全。随着六合合城管信信息化进进程不断断深入,业业务系统统也将变变得日益益复杂,由由内部员员工违规规操作导导致的安安全问题题会变得得日益突突出起
27、来来。防火火墙、防防病毒、入入侵检测测系统等等常规的的安全产产品可以以解决一一部分安安全问题题,但对对于内部部人员的的违规操操作却无无能为力力。权限划分分混乱,高高权限账账号(比比如DBBA账号号)共用用等问题题一直困困扰着网网络管理理人员,高高权限账账号往往往掌握着着数据库库和业务务系统的的命脉,任任何一个个操作都都可能导导致数据据的修改改和泄露露,最高高权限的的滥用,让让数据安安全变得得更加脆脆弱,也也让责任任划分和和威胁追追踪变得得更加困困难。管理人员员总是试试图定义义各种操操作条例例,来规规范内部部员工的的访问行行为,但但是除了了在造成成恶性后后果后追追查责任任人,没没有更好好的方式式
28、来限制制员工的的合规操操作。我们经常常从各种种系统日日志里面面去发现现是否有有入侵后后留下来来的“蛛丝马马迹”来判断断是否发发生过安安全事件件。但是是,系统统往往是是在经历历了大量量的操作作和变化化后,才才逐渐变变得不安安全。另另外的情情况是,用用户通过过登录业业务服务务器来访访问数据据库等核核心资产产,单纯纯的分析析业务系系统或者者数据库库系统的的日志,都都无法对对整个访访问过程程是否存存在风险险进行判判断。从从系统变变更和应应用的角角度来看看,网络络审计日日志比系系统日志志在定位位系统安安全问题题上更可可信。围绕数据据库的业业务系统统安全隐隐患如何何得到有有效解决决,一直直以来是是IT治治
29、理人员员和DBBA们关关注的焦焦点,解解决方案案主要集集中在管管理和技技术两个个层面:管理层面面:完善善现有业业务流程程制度,明明细人员员职责和和分工,规规范内部部员工的的日常操操作,严严格监控控第三方方维护人人员的操操作。技术层面面:除了了在业务务网络部部署相关关的信息息安全防防护产品品(如FFW、IIPS等等),还还需要专专门针对对数据库库部署独独立安全全审计产产品,对对关键的的数据库库操作行行为进行行审计,对对统方行行为进行行审计,做做到违规规行为发发生时及及时告警警,事故故发生后后精确溯溯源。不过,审审计关键键应用程程序和数数据库不不是一项项简单工工作。特特别是数数据库系系统,服服务于
30、各各有不同同权限的的大量用用户,支支持高事事务处理理率,还还必须满满足苛刻刻的服务务水平要要求。商商业数据据库软件件内建的的审计能能力不能能满足独独立性的的基本要要求,还还会降低低数据库库性能并并增加管管理费用用。数据库安安全审计计系统,需要既能独立审计针对数据库的各种访问行为,又不影响数据库的高效稳定运行。具体设计应考虑以下几个方面: 实用性:由于业业务系统统数据在在数据库库中进行行集中存存储,故故对于数数据库的的操作审审计需要要细化到到数据库库指令、表表名、视视图、字字段等,同同时能够够审计数数据库返返回的错错误代码码,这样样能够在在数据库库出现关关键错误误时及时时响应,避避免由于于数据库
31、库故障带带来的业业务损失失; 独立性:审计系系统应具具备统一一的策略略、集中中的审计计,适用用于不同同的设备备、操作作系统、数数据库系系统和应应用系统统的审计计要求,并并对这些些系统不不造成影影响. 灵活性:审计系系统应提提供缺省省的审计计策略及及自定义义策略,能能够对重重要操作作、重要要表、重重要字段段进行定定义并审审计,能能够根据据用户的的业务特特点进行行策略的的编辑。 易用性:审计系系统应能能够基于于操作进进行分析析,能够够提供主主体标识识(即用用户)、操操作(行行为)、客客体标识识(设备备、操作作系统、数数据库系系统、应应用系统统)的分分析和审审计报表表 扩展性:当业务务系统进进行扩容
32、容时,审审计系统统可以平平滑扩容容。系统统支持向向第三方方平台提提供记录录的审计计信息。 可靠性:审计系系统能提提供足够够的存储储空间(110000G以上上),满满足在线线存储至至少6个个月的要要求;审审计系统统能够保保证审计计记录的的时间的的一致性性,避免免错误时时间记录录给追踪踪溯源带带来的影影响。 安全性:分权限限管理,具具有权限限管理功功能,可可以对用用户分级级,提供供不同的的操作权权限和不不同的网网络数据据操作范范围限制制,用户户只能在在其权限限内对网网络数据据进行审审计和相相关操作作,具有有自身安安全审计计功能。本方案推推荐天玥玥网络安安全审计计系统,它它基于“IP数数据俘获获应用
33、层层数据分分析审计和和响应”实现各各项功能能,设计计中充分分贯彻了了平台化化的思路路;由于于采用旁旁路接入入的工作作模式,使使得天玥玥系统在在实现各各种安全全功能的的同时,对对原系统统的影响响降到最最低。根据六合合城管的的网络结结构现状状,建议议在网络络系统核核心交换换机上旁旁路部署署天玥网网络安全全审计系系统,实实现针对对业务环环境下的的网络操操作行为为进行细细粒度审审计的合合规性管管理。通过配置置SSLL VPPN网关关,将XXXXXX城管局局平台试试用用户户临时性性的需要要访问系系统内部部资源发发布到SSSL VPNN平台上上,只为为使用者者开放某某些系统统的访问问权限,利利用SSSL的
34、多多种加密密和认证证方式保保障使用用的安全全。对使使用者来来说,不不需要安安装任何何客户端端软件、通通过浏览览器就可可以实现现WEBB安全接接入,对对管理员员来说,避避免了管管理员大大范围客客户端的的安装和和配置问问题,提提高XXXXX城城管局系系统安全全性。5.4稳稳定性的的FCSSANFC光纤纤通道按按协议层层进行分分层,各各层之间间技术相相互独立立,留有有增长空空间,并并且由被被认可的的标准化化机构进进行开发发,FCC中的流流量控制制机制是是在信用用度系统统上的基基础上。所所谓的信信用度(Creeditt)是指指设备接接受额外外帧的能能力。信信用度的的多少决决定了设设备接收收额外帧帧能力
35、的的大小。如如果接受受方没有有向发送送方发出出任何的的信用度度,那么么发送方方就不能能发送任任何帧,在信用用度的基基础上协协调帧传传送,可可以避免免帧的丢丢失,同同时减少少了对整整个帧序序列进行行重传的的频率。实实际上,这种基基于信用用度的机机制建立立在终端端节点能能够提供供的缓冲冲区(TTX-BBufffer和和RX-Buffferr)的数数目上,这些缓缓冲区用用于存储储到来的的数据流流。对网络的的适应性性 FCC采用基基于信用用的流量量控制机机制,当当接受者者有足够够的缓存存接受发发信者的的数据时时,接受受者把CCreddit(信信用度)分分配给发发信者。它它根据发发送者的的请求分分配Cr
36、rediit,仅仅当发送送者没有有用完它它的Crrediit时,它它才可以以发送数数据。在在MANN/WAAN中,发发送者必必须要等等待很长长时间来来获得接接受者的的确认消消息(以以向网络络发送新新的数据据)。5.5系系统数据据在线保保护本次项目目城管局局规划部部署2台台数据库库服务器器,互为为HA双双机热备备;另外外,还有有GISS、应用用、城管管通、WWeb、数数据交换换等6台台应用服服务器,均均为wiindoows serrverr 20012或或Linnux主主流操作作系统。所所有数据据库服务务器以及及应用服服务器后后端部署署了一台台双控磁磁盘阵列列。为防防止服务务器和磁磁盘阵列列因物
37、理理或逻辑辑错误而而出现数数据丢失失,保障障系统数数据安全全,用户户需部署署一台系系统数据据在线保保护设备备,实现现对数据据、应用用、操作作系统、磁磁盘阵列列的全面面保护,当当服务器器出现数数据丢失失时,可可以通过过该保护护设备快快速地找找回丢失失数据;当服务务器出现现系统故故障时,可可以通过过该保护护设备快快速地恢恢复系统统,当磁磁盘阵列列出现故故障时,可可作为应应急存储储设备为为服务器器提供服服务。并并且设备备需满足足以下功功能需求求:(1)可可针对wwinddowss、liinuxx两种不不同平台台的数据据库、操操作系统统进行实实时备份份(2)具具备数据据块级实实时复制制功能,II/O级
38、级数据同同步,源源端数据据一旦发发生变化化,灾备备端能实实时同步步,可实实现秒级级RPOO指标。(3)提提供CDDP连续续快照数数据备份份机制。随随时手动动创建快快照或设设定策略略自动化化创建CCDP快快照,可可实现不不低1次次/分钟钟的密集集数据保保护。(4)提提供回滚滚以及SSAN映映射等数数据验证证机制,可可在设备备上便捷捷挂载快快照实现现快照信信息的查查看、访访问、验验证,可可通过SSAN映映射秒级级恢复历历史数据据并保证证数据可可用性。(5)当当生产服服务器出出现故障障时,可可通过容容灾服务务器或虚虚拟机在在线接管管生产服服务器业业务,确确保应用用连续性性;当生生产服务务器修复复正常
39、后后,可以以支持将将容灾服服务器接接管后的的新增业业务数据据恢复到到生产服服务器。联创信安安的CDDP一体体机基于于数据同同步复制制技术,通过实实时同步步I/OO,实现现数据从从源端到到目标端端的持续续捕获,并并且可以以全自或或手动创创建数据据恢复点点,以确确保数据据发生错误误时,恢复复数据到到最新的的时间点点。恢复点采采用基于于时间点点的快照技技术,以以块级增增量快照照的方式式记录下下数据源源卷的变变化,产产生多个个基于时间间点数据据影像。当当用户需需要恢复复数据时时,只需需要找到到CDPP一体机机中相应的的恢复点点(快照照),直直接进行行恢复,就就可以使使源端数数据恢复复到恢复复点状态态;
40、也可可以手动动挂载快快照到某某台计算算机上,查查看、复复制其内内容或者者将其共共享于网网络,供供其他主主机使用用、数据据验证、灾灾备演练练等。对对快照数数据的操操作不会会影响到到生产应应用系统统,并且且数据快快照可以以多次使使用,用用户可以以基于数数据快照照进行功功能测试试或数据据挖掘,使使数据的的价值最最大化。5.6项项目未来来发展趋趋势未来发展展在本期期的基础础上从扩扩大监管管区域范范围、拓拓展系统统功能、完完善机制制体制为为主开展展。1. 扩充现有有管理队队伍,使使数字化化城管可可以深入入城市的的各个角角落;2. 完成未来来扩展的的20平平方公里里的数据据普查工作作,拓展展建设范范围的城
41、城市部件件和地理理编码普普查工作作;3. 将管理范范围扩展展至XXXXX周周边街镇镇,并建设设街镇二二级平台台,新增增部门、街街镇的运运行环境境及网络络建设;4. 拓展更多多符合城城市管理理应用需需要的应应用系统统。5.7充充足平台台扩展性性本期六合合数字城城管项目目建设的的重点是是信息化化基础底层层架构的建设,即主要要是针对对数据库库、数据据存储底层层的建设设(FCC SAAN架构构建设、数数据库双双机架构构等),在不浪浪费投资资的同时时又保持持建设系系统的高高度的可可扩展性性,系统可可以通过过增加业业务服务务器来扩展信信息化业业务应用用对系统统平台无无影响、可可以通过过给存储储在线添加加硬
42、盘或或者增加加存储的的方式扩扩展系统统平台存存储容量量等方式式来满足足XXXXX城管管局信息息化系统统未来的的快速发发展需求求。六.技术术方案优优势6.1项项目架构构总体优势势1.项目目设计方方案根据据XXXXX城管管局现状状及未来来发展趋趋势了解解清楚。中国电信信股份有有限公司司南京分分公司在在XXXXX城市市管理区区信息化化平台项项目有想想法初期期就开始始了接触交流流,对于于用户目目前的现现状及用用户所想要发发展的方方向有比较深深刻的了了解,所所以总体体设计方方案对于于甲方的的阶段性性发展需需求相吻吻合 ;2.项目目系统架架构核心心部件冗冗余化设设计。项项目系统统总体架架构设计计中对与与城
43、管信信息系统统最核心心的(负负载较高)设备如如核心交交换机、接接入交换换机、数数据库服服务器等等进行了冗冗余化设设计,防防止系统统平台核核心部件件单点故故障;3.系统统架构安安全防护护考虑完完善。项项目系统统总体架架构设计计中对于于平台安安全防护护的考虑虑尤其完完善,首首先对于于试用六六合数字字化城管管信息系系统的用用户会进行防防火墙防防护、SSSLVVPN加加密防护护、IDDS安全全攻击检检测防护护等多重重防护,保保障系统统免受网网络攻击击的威胁胁;其次次对于信信息化系系统的核核心数据据库系统统,设计计采用数数据库安安全审计计系统对对数据库库行为进进行审计计保护,保障核心数据库平台的安全性;
44、对于信息系统内操作系统及存储数据,设计采用系统数据在线保护设备,保障服务器操作系统及存储数据的安全性,避免数据丢失;在通讯链路方面,总体设计架构设计指挥中心、数据中心、公安视频中心之间的访问采用电信百兆专线链路,保障通讯的安全性,其中最为重要的数据中心与指挥中心之间采用冗余链路设计,避免单链路故障问题。4.六合合数据中中心机房房环境及及维护优优势。电信六合合数据中中心为国国家五星星级数据据中心,其其数据中中心内的的安防、消消防、机机房辅助助环境都都达到国国家较高高标准;六合数数据中心心还配备备了专业业的具备备多年工作作经验的的数据中中心维护护人员,能能够在最快时间间内知晓晓并解决决用户系系统问
45、题题。6.2防防火墙产产品优势势启明星辰辰天清汉汉马USSG-FFW-1126000GPP具备以下下几点优优势:完善的防防火墙特特性支持持基于源源IP、目目的IPP、源端端口、目目的端口口、时间间、服务务、用户户、文件件、网址址、关键键字、邮邮件地址址、脚本本、MAAC地址址等多种种方式进进行访问问控制支持持流量管管理、连连接数控控制、IIP+MMAC绑绑定、用用户认证证等多样化的的应用过过滤基基于屏蔽蔽列表、免免屏蔽列列表、关关键字技技术的WWeb过过滤功能能,同时时提供JJavaa Apppleet、CCookkie、SScriipt和和Objjectt的内容容过滤功功能基基于黑名名单、白
46、白名单、邮邮件主题题、附件件名称、邮邮件大小小和SMMTP命命令的邮邮件过滤滤功能安全丰富富的VPPN使组组网变得得简单多多VPNN支持:GREE、IPPSecc、L22TP、SSSL VPNN丰富富的应用用:专用用的VPPN客户户端、UUSBKKEY、动动态口令令卡、图图形认证证码灵活活的部署署:Huub-SSpokken、FFulll-Meesh、DDVPNN/网关关网关关的SSSL VVPN完善的PP2P、IIM、流流媒体、网网络游戏戏和股票票软件控控制能力力P22P控制制:对EEmulle、BBitTTorrrentt、Maaze、KKazaaa等进进行阻断断、限速速IMM控制:基于黑
47、黑白名单单的IMM登录控控制、文文件传输输阻止;支持主主流IMM软件如如QQ、MMSN、雅雅虎通、GGtallk、SSkyppe流媒媒体控制制:对流流媒体应应用进行行阻断或或限速,支支持Kaamunn pppfillm、PPPLiive、PPPStteamm、QQQ直播、TTVAnnts、沸沸点网络络电视、猫猫扑播霸霸等网络络游戏控控制:对对常见网网络游戏戏如魔兽兽世界、征征途、QQQ游戏戏大厅、联联众游戏戏大厅等等的阻断断股股票软件件控制:对常用用股票软软件如同同花顺、大大参考、大大智慧等等的阻断断强大的日日志报表表功能记录录内容丰丰富:可可对防火火墙日志志、带宽宽使用日日志、WWwb访访问
48、日志志、Maail发发送日志志、关键键资产访访问日志志、用户户登录日日志等进进行记录录日志志快速查查询:可可对IPP地址、端端口、时时间、危危急程度度、日志志内容关关键字等等进行查查询报表表贴近需需求:根根据用户户具体需需求,定定制报表表内容、定定制报表表名称、定定制企业业LOGGO,并并可形成成多种格格式的报报表文件件方便的集集中管理理功能通过过集中管管理与数数据分析析中心实实现对多多台设备备的统一一管理、实实时监控控、集中中升级和和拓扑展展示可软件升升级支持持UTMM采用用高性能能的硬件件配置,具具备向UUTM升升级的硬硬件基础础设施保保证经授授权后可可软件升升级,设设备无需需下线、无无需返厂厂直接升升级为UUTM升级级后具备备完整UUTM功功能,相相关功能能特征库库授权后后可实时时在线更更新6.3入入侵检测测系统产产品优势势启明星辰辰天阗NNT