農(nóng)業(yè)信息化網(wǎng)站建設(shè)方案

1、 xx 農(nóng)業(yè)信息化網(wǎng)站建設(shè)方 案 聯(lián)通系統(tǒng)集成有限公司黑龍江省分公司聯(lián)通系統(tǒng)集成有限公司黑龍江省分公司 - 2 - v1.0 目 錄 1系統(tǒng)集成方案系統(tǒng)集成方案.3 1.1系統(tǒng)建設(shè)原則.3 1.2系統(tǒng)整體設(shè)計(jì)思路概述.4 1.3系統(tǒng)示意拓?fù)鋱D.5 1.4詳細(xì)設(shè)計(jì) .8 1.4.1服務(wù)器系統(tǒng).8 1.4.2服務(wù)器負(fù)載均衡.11 1.4.3存儲(chǔ)系統(tǒng).11 1.5安全設(shè)計(jì) .13 1.5.1系統(tǒng)高可用.13 1.5.2互聯(lián)網(wǎng)安全接入和入侵防御系統(tǒng).13 1.5.3網(wǎng)頁防篡改系統(tǒng).14 1.5.4病毒防范系統(tǒng).15 1.5.5用戶/服務(wù)器身份認(rèn)證 .15 1.6本規(guī)劃特點(diǎn) .16 聯(lián)通系統(tǒng)集成有限公司

2、黑龍江省分公司聯(lián)通系統(tǒng)集成有限公司黑龍江省分公司 - 3 - v1.0 1 系統(tǒng)集成方案系統(tǒng)集成方案 1.11.1 系統(tǒng)建設(shè)原則系統(tǒng)建設(shè)原則 1、先進(jìn)性 設(shè)計(jì)思想先進(jìn)、起點(diǎn)高，結(jié)構(gòu)先進(jìn)，最大限度的采用市場(chǎng)覆蓋 率高、符合技術(shù)標(biāo)準(zhǔn)的標(biāo)準(zhǔn)化和技術(shù)成熟的軟硬件產(chǎn)品。 2、實(shí)用性 要充分保護(hù)好、利用好現(xiàn)有的資源，發(fā)揮現(xiàn)有設(shè)備的功效，功 能完善、兼容性強(qiáng)。 3、開放性 采用開放技術(shù)、開放結(jié)構(gòu)、開放系統(tǒng)組件和開放接口，符合國 際通用標(biāo)準(zhǔn)協(xié)議，便于系統(tǒng)維護(hù)、擴(kuò)展升級(jí)與外界互聯(lián)溝通。 4、可靠性 具有容錯(cuò)功能，管理維護(hù)方便，能滿足系統(tǒng)所在的地理環(huán)境、 氣候條件?？垢蓴_能力強(qiáng)，確保系統(tǒng)的高可靠運(yùn)行。 5、可擴(kuò)展

3、性 規(guī)劃與設(shè)計(jì)既能滿足現(xiàn)行的應(yīng)用，在配置上，又要有所預(yù)留， 以滿足因技術(shù)發(fā)展需要而實(shí)現(xiàn)低成本擴(kuò)展和升級(jí)的需要。 6、安全性 最大滿足的提供多層次的安全控制手段，建立完善的安全體系。 聯(lián)通系統(tǒng)集成有限公司黑龍江省分公司聯(lián)通系統(tǒng)集成有限公司黑龍江省分公司 - 4 - v1.0 7、經(jīng)濟(jì)性 投資合理，優(yōu)良好的性價(jià)比，且綜合考慮設(shè)備價(jià)格的變化、擴(kuò) 展升級(jí)等因素。 8、易維護(hù)性 系統(tǒng)應(yīng)具有良好的管理功能。 1.21.2 系統(tǒng)整體設(shè)計(jì)思路概述系統(tǒng)整體設(shè)計(jì)思路概述 考慮本系統(tǒng)預(yù)計(jì)的同時(shí)在線用戶數(shù)量較大（約 300000 用戶） ， 為保證系統(tǒng)的穩(wěn)定和可靠運(yùn)行，并且有效保護(hù)投資，建議整個(gè)系統(tǒng) 硬件構(gòu)架上采用分

4、期實(shí)施方式，同時(shí)在系統(tǒng)的整體結(jié)構(gòu)設(shè)計(jì)上具有 良好的可擴(kuò)展性。一期建議先按照 2000-3000 用戶同時(shí)并發(fā)考慮設(shè) 計(jì)，后期隨著用戶數(shù)的增加，只需要添加相應(yīng)的服務(wù)器和網(wǎng)絡(luò)設(shè)備 等，而不需要改變系統(tǒng)的整體架構(gòu)。 聯(lián)通系統(tǒng)集成有限公司黑龍江省分公司聯(lián)通系統(tǒng)集成有限公司黑龍江省分公司 - 5 - v1.0 1.31.3 系統(tǒng)示意拓?fù)湎到y(tǒng)示意拓?fù)鋱D圖 入入侵侵檢檢測(cè)測(cè) i id ds s 核核心心交交換換機(jī)機(jī) w we eb b服服務(wù)務(wù)器器群群 數(shù)數(shù)據(jù)據(jù)庫庫服服務(wù)務(wù)器器 群群 網(wǎng)網(wǎng)頁頁防防篡篡改改發(fā)發(fā) 布布服服務(wù)務(wù)器器 認(rèn)認(rèn)證證服服務(wù)務(wù)器器 s sa an n交交換換機(jī)機(jī) 主主存存儲(chǔ)儲(chǔ) 備備份份存存儲(chǔ)

5、儲(chǔ) 備備份份管管理理 服服務(wù)務(wù)器器 防防火火墻墻 負(fù)負(fù)載載均均衡衡 交交換換機(jī)機(jī) c ca a, ,r ra a, ,r rs s服服務(wù)務(wù)器器 聯(lián)通電信 銀行 方案設(shè)計(jì)說明：方案設(shè)計(jì)說明： 本設(shè)計(jì)從結(jié)構(gòu)和功能角度主要?jiǎng)澐譃椋悍?wù)器部分、存儲(chǔ)部分、 互聯(lián)網(wǎng)安全部分、應(yīng)用服務(wù)器負(fù)載均衡部分、網(wǎng)頁防篡改部份等。 1、服務(wù)器系統(tǒng)： 考慮本系統(tǒng)可能的同時(shí)在線用戶數(shù)量較大（約 300000 用戶）為 保障業(yè)務(wù)的穩(wěn)定運(yùn)行，并為今后業(yè)務(wù)擴(kuò)展預(yù)留充分的擴(kuò)展空間，本 方案采用兩級(jí)結(jié)構(gòu)：前端部署 2 臺(tái)負(fù)載均衡交換機(jī)，采用多臺(tái) pc 服 務(wù)器并行作為系統(tǒng)應(yīng)用服務(wù)器，運(yùn)行應(yīng)用系統(tǒng)來提供 web 服務(wù)；后 聯(lián)通系統(tǒng)集成

6、有限公司黑龍江省分公司聯(lián)通系統(tǒng)集成有限公司黑龍江省分公司 - 6 - v1.0 端采用 2 臺(tái)高性能服務(wù)器以集群方式工作，作為后臺(tái)數(shù)據(jù)庫服務(wù)器， 這 2 臺(tái)服務(wù)器實(shí)現(xiàn)雙機(jī)和負(fù)載分擔(dān)。服務(wù)器選型為國際著名品牌， 具有優(yōu)異處理能力、可靠的穩(wěn)定性和便捷的可管理維護(hù)性。 此種設(shè)計(jì)架構(gòu)的優(yōu)點(diǎn)在于可以充分保障系統(tǒng)的穩(wěn)定可靠，而且 隨著用戶量的增加，可以通過直接增加應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器 的方式保證系統(tǒng)的運(yùn)行，而不需要改變現(xiàn)有的架構(gòu)，能夠做到對(duì)現(xiàn) 有投資的有效利用和保護(hù)。 2、存儲(chǔ)系統(tǒng)： 考慮本系統(tǒng)包含業(yè)務(wù)重要，且需要運(yùn)行數(shù)據(jù)庫等軟件，故存儲(chǔ) 系統(tǒng)使用 fc san 架構(gòu)。通過采用多端口的 san 交換機(jī)

7、，可以實(shí)現(xiàn)多 臺(tái)數(shù)據(jù)庫服務(wù)器共享一臺(tái)高性能的磁盤陣列，保證業(yè)務(wù)的可靠性和 系統(tǒng)的可擴(kuò)展性。fc san 架構(gòu)為當(dāng)前技術(shù)最成熟、最穩(wěn)定的存儲(chǔ)架 構(gòu)，尤其適合包含重要業(yè)務(wù)應(yīng)用的數(shù)據(jù)庫環(huán)境。 為實(shí)現(xiàn)系統(tǒng)最大可用性，保證服務(wù)器和存儲(chǔ)間的最佳組合，建 議存儲(chǔ)和服務(wù)器主機(jī)同一品牌。 3、互聯(lián)網(wǎng)和銀行安全接入 建議采用安全網(wǎng)關(guān)（防火墻）接入寬帶互聯(lián)網(wǎng)，安全網(wǎng)關(guān) utm(統(tǒng)一威脅管理)可以進(jìn)行從網(wǎng)絡(luò)層到應(yīng)用層的全面檢查，在安 全網(wǎng)關(guān)上還可以部署防病毒模塊，從而有效防范抵御來自網(wǎng)外的病 毒、黑客等攻擊。 一體化安全網(wǎng)關(guān)采用高性能的硬件架構(gòu)和一體化的軟件設(shè)計(jì)， 通過選配不同的應(yīng)用模塊（如用戶需要） ，可以實(shí)現(xiàn)集防

8、火墻、 聯(lián)通系統(tǒng)集成有限公司黑龍江省分公司聯(lián)通系統(tǒng)集成有限公司黑龍江省分公司 - 7 - v1.0 vpn、入侵防御（ips） 、防病毒、外聯(lián)控制、抗拒絕服務(wù)攻擊 （anti-dos） 、內(nèi)容過濾、反垃圾郵件、netflow 等多種安全技術(shù)于 一身，同時(shí)全面支持 qos、高可用性（ha） 、日志審計(jì)等功能，為 網(wǎng)絡(luò)邊界提供了全面實(shí)時(shí)的安全防護(hù)。 4、入侵防御系統(tǒng) 入侵防御系統(tǒng)（ips）可以圍繞深層防御、精確阻斷這個(gè)核心， 通過對(duì)網(wǎng)絡(luò)中深層攻擊行為進(jìn)行準(zhǔn)確的分析判斷，在判定為攻擊行 為后立即予以阻斷，主動(dòng)而有效的保護(hù)網(wǎng)絡(luò)的安全。 入侵防御系統(tǒng)（ips）傾向于提供主動(dòng)性的防護(hù)，其設(shè)計(jì)旨在 預(yù)先對(duì)入

9、侵活動(dòng)和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截，避免其造成任何損失， 而不是簡(jiǎn)單地在惡意流量傳送時(shí)或傳送后才發(fā)出警報(bào)。ips 是通過 直接嵌入到網(wǎng)絡(luò)流量中而實(shí)現(xiàn)這一功能的，即通過一個(gè)網(wǎng)絡(luò)端口接 收來自外部系統(tǒng)的流量，經(jīng)過檢查確認(rèn)其中不包含異?；顒?dòng)或可疑 內(nèi)容后，再通過另外一個(gè)端口將它傳送到內(nèi)部系統(tǒng)中。這樣一來， 有問題的數(shù)據(jù)包，以及所有來自同一數(shù)據(jù)流的后續(xù)數(shù)據(jù)包，都能夠 在 ips 設(shè)備中被清除掉。簡(jiǎn)單地理解，ips 等于防火墻加上入侵檢 測(cè)系統(tǒng)，但并不是說 ips 可以代替防火墻或入侵檢測(cè)系統(tǒng)。防火墻 是粒度比較粗的訪問控制產(chǎn)品，它在基于 tcp/ip 協(xié)議的過濾方面 表現(xiàn)出色，而且在大多數(shù)情況下，可以提供

10、網(wǎng)絡(luò)地址轉(zhuǎn)換、服務(wù)代 理、流量統(tǒng)計(jì)等功能。 5、服務(wù)器負(fù)載均衡 由于本站同時(shí)在線及并發(fā)的用戶量較大，預(yù)計(jì)峰值會(huì)有 300000 聯(lián)通系統(tǒng)集成有限公司黑龍江省分公司聯(lián)通系統(tǒng)集成有限公司黑龍江省分公司 - 8 - v1.0 人左右在線，故采用 2 臺(tái)硬件負(fù)載均衡交換機(jī)+多臺(tái) web 服務(wù)器的模 式，通過負(fù)載均衡交換機(jī)合理分配用戶的訪問流量到各臺(tái)服務(wù)器， 保障系統(tǒng)的穩(wěn)定可靠運(yùn)行。 1.41.4 詳細(xì)設(shè)計(jì)詳細(xì)設(shè)計(jì) 1.4.11.4.1 服務(wù)器服務(wù)器系統(tǒng)系統(tǒng) 服務(wù)器應(yīng)能夠確保連續(xù)的，長(zhǎng)時(shí)間的正常運(yùn)行；由于服務(wù)器上 包含重要業(yè)務(wù)數(shù)據(jù)，必須保證 724 小時(shí)的不間斷使用，而且一臺(tái) 服務(wù)器硬件故障不能影響整個(gè)

11、系統(tǒng)的運(yùn)行；服務(wù)器應(yīng)能夠運(yùn)行 oracle 等大型數(shù)據(jù)庫及應(yīng)用程序；能滿足當(dāng)大量用戶及多種業(yè)務(wù)在 服務(wù)器上運(yùn)行時(shí)，系統(tǒng)性能不明顯下降；應(yīng)能夠提供很高的安全性、 可靠性與可管理性。 1.4.1.11.4.1.1選型概述選型概述 考慮本系統(tǒng)可能的同時(shí)在線用戶數(shù)量較大（約 300000 用戶）為 保障業(yè)務(wù)的穩(wěn)定運(yùn)行，并為今后業(yè)務(wù)擴(kuò)展預(yù)留充分的空間，本方案 采用兩級(jí)結(jié)構(gòu)：前端部署 2 臺(tái)負(fù)載均衡交換機(jī)，采用多臺(tái) pc 服務(wù)器 并行作為系統(tǒng)應(yīng)用服務(wù)器，運(yùn)行應(yīng)用系統(tǒng)來提供服務(wù)；后端采用 2 臺(tái)高性能服務(wù)器作為后臺(tái)數(shù)據(jù)庫服務(wù)器，這 2 臺(tái)服務(wù)器通過雙機(jī)軟 件實(shí)現(xiàn)雙機(jī)和負(fù)載分擔(dān)。服務(wù)器選型為國際著名品牌，具有

12、優(yōu)異處 理能力、可靠的穩(wěn)定性和便捷的可管理維護(hù)性。 對(duì)于處理能力的需求，往往通過內(nèi)部的 tpmc（tpc-c，事務(wù)處 聯(lián)通系統(tǒng)集成有限公司黑龍江省分公司聯(lián)通系統(tǒng)集成有限公司黑龍江省分公司 - 9 - v1.0 理性能標(biāo)準(zhǔn)的單位）指標(biāo)來衡量服務(wù)器系統(tǒng)的總體處理能力。tpmc 是以不同系列服務(wù)器在實(shí)際業(yè)務(wù)環(huán)境中經(jīng)過大量檢測(cè)得到的技術(shù)指 標(biāo)，是一種國際標(biāo)準(zhǔn)。該值考慮到了用戶的實(shí)際環(huán)境，具有很高的 參考價(jià)值。 1.4.1.21.4.1.2cpu 能力的計(jì)算能力的計(jì)算 以下計(jì)算公式是業(yè)界系統(tǒng)集成總結(jié)的經(jīng)驗(yàn)方法，基本反映了業(yè) 務(wù)特點(diǎn)對(duì)主機(jī)處理能力的需求： tpmtask80%s（1+f）/（tc） 其中：

13、 task：為每日業(yè)務(wù)統(tǒng)計(jì)峰值交易量，每臺(tái)寫為主的終端每天大 約會(huì)對(duì)數(shù)據(jù)庫做 5 次操作，按照 500000 臺(tái)計(jì)算；而每臺(tái)以讀為主的 終端每天大約會(huì)對(duì)數(shù)據(jù)庫做出 10 次操作，按照 500000 臺(tái)計(jì)算。則 每天總的業(yè)務(wù)對(duì)數(shù)據(jù)庫的操作數(shù)為：5*500000+10*500000=7500000 次。 t：為每日峰值交易時(shí)間，每日 80%業(yè)務(wù)量集中在每天的 1 小時(shí)， 即 60 分鐘內(nèi)完成：t=60。 s：為實(shí)際業(yè)務(wù)交易操作相對(duì)于標(biāo)準(zhǔn) tpc-c 測(cè)試基準(zhǔn)環(huán)境交易的 復(fù)雜程度比例。由于實(shí)際的業(yè)務(wù)交易復(fù)雜程度與 tpc-c 標(biāo)準(zhǔn)測(cè)試中 的交易存在較大的差異，須設(shè)定一個(gè)合理的對(duì)應(yīng)值。一筆業(yè)務(wù)往往 需

14、要同時(shí)寫入大量數(shù)據(jù)庫表，相對(duì)于 tpc-c 標(biāo)準(zhǔn)交易的復(fù)雜度，要 復(fù)雜很多；根據(jù)科學(xué)的統(tǒng)計(jì)結(jié)果，每筆交易操作相比較于 tpc 標(biāo)準(zhǔn) 聯(lián)通系統(tǒng)集成有限公司黑龍江省分公司聯(lián)通系統(tǒng)集成有限公司黑龍江省分公司 - 10 - v1.0 測(cè)試中的每筆交易的復(fù)雜度，此值可設(shè)定為 30。 c：為主機(jī) cpu 處理余量。實(shí)際應(yīng)用經(jīng)驗(yàn)表明，一臺(tái)主機(jī)服務(wù)器 的 cpu 利用率高于 80%，則表明 cpu 的利用率過高會(huì)產(chǎn)生系統(tǒng)瓶頸， 而利用率低于 60%時(shí)，是處于利用率最佳狀態(tài)。因此，在推算主機(jī) 性能指標(biāo)時(shí)，必須考慮 cpu 的冗余，設(shè)定 c=60%。 f：為系統(tǒng)未來三年的業(yè)務(wù)量發(fā)展冗余預(yù)留，設(shè)定為 50%。 綜上

15、所述，為保障數(shù)據(jù)庫程序處理性能要求，我們可推算得出 主機(jī)所需的處理能力?？紤]每日的業(yè)務(wù)量的 80大約在工作日的 1 個(gè)小時(shí)高峰業(yè)務(wù)時(shí)段內(nèi)發(fā)生，業(yè)務(wù)復(fù)雜度參數(shù)設(shè)定為 30。則套用上 面的公式： 每分鐘的交易數(shù)：tpm=750000080%30*1.5/(600.6) 75000000 注：注：本期工程中建議采用 2 臺(tái)高性能 pc 服務(wù)器作為數(shù)據(jù)庫服務(wù) 器，通過集群方式提供分擔(dān)和冗余服務(wù)。后期隨著用戶量的增加， 可以通過在群集內(nèi)增加服務(wù)器的方式實(shí)現(xiàn)方便的擴(kuò)展。 1.4.1.31.4.1.3推薦服務(wù)器配置推薦服務(wù)器配置 數(shù)據(jù)庫服務(wù)器數(shù)據(jù)庫服務(wù)器（2 臺(tái)）： 作用：運(yùn)行系統(tǒng)所需的各種系統(tǒng)數(shù)據(jù)和業(yè)務(wù)數(shù)

16、據(jù)，完成本地業(yè) 務(wù)數(shù)據(jù)的訪問、存取。 操作系統(tǒng)：redhat5 linux 高級(jí)平臺(tái)服務(wù)器版 數(shù)據(jù)庫：oracle10g 聯(lián)通系統(tǒng)集成有限公司黑龍江省分公司聯(lián)通系統(tǒng)集成有限公司黑龍江省分公司 - 11 - v1.0 硬件設(shè)備配置：4 顆英特爾 至強(qiáng)主頻 2.4ghz 以上六核處理 器,32g 以上內(nèi)存，2*146g 10k sas 2.5雙端口熱插拔硬盤，支持 raid-0、1、5，4 個(gè) 10/100/1000mb 自適應(yīng)以太網(wǎng)口，11 冗余電 源，超薄 sata dvd 光驅(qū)。 應(yīng)用服務(wù)器：應(yīng)用服務(wù)器：（2 臺(tái)以上） 作用：采用 2 臺(tái)以上 pc 服務(wù)器并行作為系統(tǒng)應(yīng)用服務(wù)器，為用 戶提供

17、在線服務(wù)。 操作系統(tǒng)：redhat5 linux 標(biāo)準(zhǔn)服務(wù)器版 硬件設(shè)備配置：2 顆英特爾 至強(qiáng)四核處理器 2.40ghz 以上, 8g 內(nèi)存，2*146g 10k sas 2.5雙端口熱插拔硬盤， 4 個(gè) 10/100/1000mb 自適應(yīng)以太網(wǎng)卡，11 冗余電源，超薄 sata dvd 光 驅(qū)。 注：?jiǎn)闻_(tái)注：?jiǎn)闻_(tái) webweb 應(yīng)用服務(wù)器大約可以承載應(yīng)用服務(wù)器大約可以承載 50005000 左右并發(fā)用戶，可左右并發(fā)用戶，可 以通過增加應(yīng)用服務(wù)器數(shù)量實(shí)現(xiàn)承載能力的擴(kuò)充。以通過增加應(yīng)用服務(wù)器數(shù)量實(shí)現(xiàn)承載能力的擴(kuò)充。 1.4.21.4.2 服務(wù)器負(fù)載均衡服務(wù)器負(fù)載均衡 推薦采用 2 臺(tái)負(fù)載均衡交

18、換機(jī)，部署在 web 服務(wù)器前端，通過 負(fù)載均衡交換機(jī)合理分配用戶的訪問流量到各臺(tái)服務(wù)器，保障系統(tǒng) 的穩(wěn)定可靠運(yùn)行。 聯(lián)通系統(tǒng)集成有限公司黑龍江省分公司聯(lián)通系統(tǒng)集成有限公司黑龍江省分公司 - 12 - v1.0 1.4.31.4.3 存儲(chǔ)存儲(chǔ)系統(tǒng)系統(tǒng) 1.4.3.11.4.3.1選型概述選型概述 性能 存儲(chǔ)性能是系統(tǒng)設(shè)計(jì)的重要原則之一，存儲(chǔ)的性能應(yīng)能夠滿足 應(yīng)用系統(tǒng)峰值的需求，并有進(jìn)一步擴(kuò)展的空間，包括容量和性能的 擴(kuò)展。選擇性能最佳的磁盤系統(tǒng)，可以有效地提高計(jì)算機(jī)系統(tǒng)的 i/o 性能，從而提高計(jì)算機(jī)的整體性能。 擴(kuò)展性 磁盤系統(tǒng)的容量擴(kuò)展性：磁盤系統(tǒng)本身設(shè)計(jì)會(huì)有一定的局限， 其容量最大可擴(kuò)展

19、能力是否滿足單位今后數(shù)據(jù)發(fā)展的需要，是選擇 磁盤系統(tǒng)時(shí)必須考慮的一個(gè)方面。 磁盤系統(tǒng)的擴(kuò)容兼容性：由于磁盤系統(tǒng)的發(fā)展日新月異，用戶 在存儲(chǔ)擴(kuò)容時(shí)還要考慮新磁盤系統(tǒng)與舊設(shè)備之間的兼容性，即產(chǎn)品 系列有連續(xù)性。 磁盤驅(qū)動(dòng)器的兼容性：只有能夠支持不同容量、不同轉(zhuǎn)速的磁 盤驅(qū)動(dòng)器，才能最大限度地保護(hù)用戶的投資。 可靠性 數(shù)據(jù)是非常重要的資產(chǎn)，數(shù)據(jù)的可靠性很大程度上依靠存儲(chǔ)設(shè) 備。 聯(lián)通系統(tǒng)集成有限公司黑龍江省分公司聯(lián)通系統(tǒng)集成有限公司黑龍江省分公司 - 13 - v1.0 1.4.3.21.4.3.2存儲(chǔ)選型存儲(chǔ)選型 本期工程系統(tǒng)按 300000 用戶，考慮數(shù)據(jù)保存 10 年設(shè)計(jì)，并保 證一定的擴(kuò)展能

20、力。 每天圖片數(shù)量大概在 40m， 文字信息大概在 20m，日志大概 20m，按照保存 10 年的數(shù)據(jù)考慮，則資料數(shù)據(jù)為：（40+20+20） 365*10292g。 主數(shù)據(jù)庫考慮 30g 空間，則數(shù)據(jù)庫數(shù)據(jù)量為 29230322g。 數(shù)據(jù)庫容量數(shù)據(jù)庫數(shù)據(jù)量（1索引系數(shù) 0.3）（1冗 余系數(shù) 0.2）+數(shù)據(jù)庫系統(tǒng)空間 20gb292g1.31.220455g。 對(duì)于系統(tǒng)的數(shù)據(jù)采用 raid5 的冗余方式，其數(shù)據(jù)量為 455/0.8570gb 的物理存儲(chǔ)空間。 1.4.3.31.4.3.3推薦存儲(chǔ)配置推薦存儲(chǔ)配置 磁盤陣列： 光纖磁盤陣列 1 臺(tái)，8 端口 san 交換機(jī) 2 臺(tái)。 2 個(gè)控制

21、器 ,每個(gè)控制器有 1 gb 以上緩存、2 個(gè) 4gb fibre channel 端口；6 塊以上 146g sas 硬盤。 1.51.5 安全設(shè)計(jì)安全設(shè)計(jì) 1.5.11.5.1系統(tǒng)高可用系統(tǒng)高可用 針對(duì)電子商務(wù)系統(tǒng)的特點(diǎn)，本系統(tǒng)主要設(shè)備均設(shè)置雙機(jī)互備， 最大程度上消除單點(diǎn)故障，從而滿足業(yè)務(wù)系統(tǒng)高可用的需求。 聯(lián)通系統(tǒng)集成有限公司黑龍江省分公司聯(lián)通系統(tǒng)集成有限公司黑龍江省分公司 - 14 - v1.0 1.5.21.5.2互聯(lián)網(wǎng)安全接入互聯(lián)網(wǎng)安全接入和入侵防御系統(tǒng)和入侵防御系統(tǒng) 預(yù)計(jì)本網(wǎng)站高峰在線用戶有 300000 人，按照高峰有 10%（30000）用戶并發(fā)，每個(gè)用戶平均最少需要消耗約

22、100kbit 帶 寬計(jì)算，考慮一定的冗余，建議大約需要 3000m 互聯(lián)網(wǎng)出口帶寬。 注：先期如果用戶量不大，可以根據(jù)實(shí)際情況適當(dāng)考慮出口帶注：先期如果用戶量不大，可以根據(jù)實(shí)際情況適當(dāng)考慮出口帶 寬。寬。 互聯(lián)網(wǎng)接入設(shè)備互聯(lián)網(wǎng)接入設(shè)備 按照業(yè)界的經(jīng)驗(yàn)值每個(gè)用戶的連接數(shù)在 10-20 個(gè)左右，按照 300000 用戶同時(shí)在線計(jì)算，防火墻的并發(fā)連接數(shù)需要在 1000000 以上。 注：先期如果用戶量不大，可以根據(jù)實(shí)際選擇單臺(tái)并發(fā)連接數(shù) 1000000 以上的防火墻，后期（業(yè)務(wù)量達(dá)到一定程度）再采用多臺(tái) 防火墻并發(fā)分擔(dān)流量。 推薦采用千兆安全網(wǎng)關(guān)接入寬帶互聯(lián)網(wǎng)，設(shè)備可提供 4 個(gè)以上 10/100

23、/1000base-t 接口，支持 sfp 千兆接口，并發(fā)連接數(shù) 1000000 以上，每秒新建連接數(shù) 30000 以上，吞吐量 2g 以上。 入侵防御設(shè)備入侵防御設(shè)備 推薦互聯(lián)網(wǎng)防御方面部署入侵防御系統(tǒng)，入侵防御類網(wǎng)絡(luò)安全 產(chǎn)品，圍繞深層防御、精確阻斷這個(gè)核心，通過對(duì)網(wǎng)絡(luò)中深層攻擊 行為進(jìn)行準(zhǔn)確的分析判斷，在判定為攻擊行為后立即予以阻斷，主 動(dòng)而有效的保護(hù)網(wǎng)絡(luò)的安全。入侵防御系統(tǒng)及時(shí)、全面的檢測(cè)和呈 現(xiàn)網(wǎng)頁木馬和 web 漏洞，并提供補(bǔ)救措施。對(duì) sql 注入、跨腳本 聯(lián)通系統(tǒng)集成有限公司黑龍江省分公司聯(lián)通系統(tǒng)集成有限公司黑龍江省分公司 - 15 - v1.0 攻擊等針對(duì) web 業(yè)務(wù)的攻擊

24、行為有很好的判斷和防御能力，做到 無誤報(bào)，無漏報(bào)。 1.5.31.5.3網(wǎng)頁防篡改系統(tǒng)網(wǎng)頁防篡改系統(tǒng) 面對(duì)越來越多的 web 應(yīng)用層攻擊，傳統(tǒng)的安全措施和服務(wù)已經(jīng) 無法有效的進(jìn)行防御。即便有防病毒保護(hù)、防火墻和 ids/ips，企 業(yè)仍然不得不允許一部分的通訊經(jīng)過防火墻，畢竟 web 應(yīng)用的目的 是為用戶提供服務(wù)，保護(hù)措施可以關(guān)閉不必要暴露的端口，但是通 常情況下 web 應(yīng)用必須的 80 和 443 端口，是一定要開放的?？梢?順利通過的這部分通訊，可能是善意的，也可能是惡意的，很難辨 別。而惡意的用戶則可以利用這兩個(gè)端口執(zhí)行各種惡意的操作，或 者偷竊、或者操控、或者破壞 web 應(yīng)用中的重

25、要信息。因此，部署 專業(yè)、可靠的 web 應(yīng)用安全產(chǎn)品以保護(hù) web 應(yīng)用免遭篡改、注入、 跨站等應(yīng)用層攻擊，是保障網(wǎng)站系統(tǒng)業(yè)務(wù)安全正常運(yùn)營、阻止不法 分子侵害廣大用戶的利益的重要措施。 推薦在現(xiàn)有網(wǎng)絡(luò)架構(gòu)的基礎(chǔ)上部署網(wǎng)頁防篡改系統(tǒng)，一旦發(fā)現(xiàn) 網(wǎng)頁被非法修改，即進(jìn)行自動(dòng)恢復(fù)，保證非法網(wǎng)頁內(nèi)容不被公眾瀏 覽。支持網(wǎng)頁的自動(dòng)發(fā)布、篡改檢測(cè)、應(yīng)用保護(hù)、警告和自動(dòng)恢復(fù)， 保證傳輸、鑒別、完整性檢查、地址訪問、表單提交、審計(jì)等各個(gè) 環(huán)節(jié)的安全，完全實(shí)時(shí)地杜絕篡改后的網(wǎng)頁被訪問的可能性，也杜 絕任何使用 web 方式對(duì)后臺(tái)數(shù)據(jù)庫的篡改。 聯(lián)通系統(tǒng)集成有限公司黑龍江省分公司聯(lián)通系統(tǒng)集成有限公司黑龍江省分公司 - 16 - v1.0 1.5.41.5.4病毒防范系統(tǒng)病毒防范系統(tǒng) 網(wǎng)絡(luò)病毒是目前廣大互聯(lián)網(wǎng)用戶最頭疼的問題。在網(wǎng)絡(luò)出口部 署防火墻，只能做到對(duì)來自局域網(wǎng)外部攻擊的防范，對(duì)于由于局域 網(wǎng)內(nèi)部員工的不規(guī)范使用或 copy 文件而產(chǎn)生的病毒，無法做到控 制。對(duì)于公司內(nèi)部網(wǎng)，必須增加一套網(wǎng)絡(luò)版殺毒軟件，用以控制局 域網(wǎng)內(nèi)的主機(jī)病毒。 1.5.51.5.5用戶用戶/服務(wù)器身份認(rèn)證服務(wù)器身份認(rèn)證 1、建立 pki/ca 認(rèn)證體系 從總體構(gòu)架來看， pki/ca 主要