高新區(qū)數(shù)字化辦公平臺總體設(shè)計方案

高新區(qū)數(shù)字化辦公平臺總體設(shè)計方案TOC\o"1-5"\h\z第i章項目設(shè)at方案8設(shè)計原則8系統(tǒng)總體架構(gòu)模型10基礎(chǔ)架構(gòu)設(shè)計12基礎(chǔ)設(shè)施架構(gòu)現(xiàn)狀12基礎(chǔ)設(shè)施架構(gòu)模型14高新區(qū)網(wǎng)絡(luò)體系結(jié)構(gòu)14高新區(qū)外網(wǎng)部署架構(gòu)16高新區(qū)園區(qū)網(wǎng)發(fā)展構(gòu)想16網(wǎng)絡(luò)系統(tǒng)17網(wǎng)絡(luò)系統(tǒng)建設(shè)方案18網(wǎng)管系統(tǒng)建設(shè)方案19移動辦公系統(tǒng)解決方案21網(wǎng)絡(luò)系統(tǒng)設(shè)備清單22主機(jī)系統(tǒng)24主機(jī)系統(tǒng)建設(shè)方案24主機(jī)系統(tǒng)設(shè)備清單29存儲系統(tǒng)29存儲系統(tǒng)建設(shè)方案29存儲系統(tǒng)設(shè)備清單35備份系統(tǒng)36備份系統(tǒng)建設(shè)方案36備份系統(tǒng)設(shè)備清單38安全系統(tǒng)38安全系統(tǒng)設(shè)計模型38安全系統(tǒng)建設(shè)方案40安全系統(tǒng)設(shè)備清單42軟件系統(tǒng)43操作系統(tǒng)43應(yīng)用服務(wù)器中間件45其他設(shè)備46高速掃描儀46災(zāi)備中心47應(yīng)用支撐系統(tǒng)設(shè)計51應(yīng)用支撐架構(gòu)51應(yīng)用支撐層設(shè)計52統(tǒng)一身份認(rèn)證平臺53統(tǒng)一用戶管理55注冊及認(rèn)證56CA數(shù)字證書57單點(diǎn)登錄59信息服務(wù)59信息集成59其他技術(shù)要求60門戶中間件60數(shù)字簽章61企業(yè)服務(wù)總線(ESB)63流程整合工具(BPMS)66數(shù)據(jù)交換平臺66工作流平臺(Workflow)68報表軟件69搜索引擎組件71郵件系統(tǒng)72短信平臺73網(wǎng)絡(luò)傳真74即時通訊工具75重點(diǎn)應(yīng)用系統(tǒng)設(shè)計76內(nèi)部門戶76科技信息管理子系統(tǒng)77人事管理子系統(tǒng)79移動辦公子系統(tǒng)80應(yīng)用整合80系統(tǒng)間關(guān)系80接口分類82接口技術(shù)分析85接口技術(shù)原則91接口設(shè)計方案93數(shù)據(jù)接口94流程接口96服務(wù)接口96其他專項接口97現(xiàn)有信息資源目錄98企業(yè)基礎(chǔ)信息共享平臺98人力資源公共服務(wù)網(wǎng)絡(luò)信息平臺105行政審批和電子監(jiān)察系統(tǒng)106外網(wǎng)門戶（JCMS、信息公開子系統(tǒng)）1081.6系統(tǒng)設(shè)計要求109基本要求109投資保護(hù)109靈活性110實(shí)用性110先進(jìn)性111成熟性和可靠性111可擴(kuò)展性111集成性111標(biāo)準(zhǔn)性和開放性111系統(tǒng)性能要求112時間特性要求112穩(wěn)定性要求113核心技術(shù)指標(biāo)要求114并發(fā)性能115系統(tǒng)安全要求116安全定級及要求116安全風(fēng)險分析121威脅列表121業(yè)務(wù)安全風(fēng)險分析132數(shù)據(jù)安全風(fēng)險分析134網(wǎng)絡(luò)安全風(fēng)險分析135IT資產(chǎn)安全風(fēng)險分析135綜合安全風(fēng)險136安全需求分析137網(wǎng)絡(luò)安全要求137主機(jī)安全要求140應(yīng)用安全要求142數(shù)據(jù)及備份安全要求145基礎(chǔ)支撐要求147網(wǎng)絡(luò)基礎(chǔ)設(shè)施需求147服務(wù)器設(shè)備需求150存儲及備份要求152應(yīng)用支撐軟件要求152第2章項目建設(shè)與運(yùn)行管理154運(yùn)行維護(hù)體系154項目質(zhì)量管理155項目人員管理156人員配置計劃156人員培訓(xùn)方案157項目驗收與移交157第3章項目實(shí)力進(jìn)度160實(shí)施進(jìn)度計劃160實(shí)施內(nèi)容安排161第4章附表163項目軟硬件配置清單163主要產(chǎn)品要求167行政辦公子系統(tǒng)167人事管理子系統(tǒng)168科技信息管理子系統(tǒng)168檔案管理子系統(tǒng)169內(nèi)部門戶170移動辦公子系統(tǒng)171企業(yè)服務(wù)總線171流程整合工具176工作流引擎181應(yīng)用服務(wù)器中間件182門戶中間件185報表軟件189搜索引擎組件195郵件系統(tǒng)196短信平臺199網(wǎng)絡(luò)傳真201即時通訊工具202統(tǒng)一認(rèn)證管理系統(tǒng)203數(shù)字簽章204操作系統(tǒng)208數(shù)據(jù)庫系統(tǒng)208數(shù)據(jù)庫服務(wù)器208核心中間件服務(wù)器209其他服務(wù)器210核心交換機(jī)211網(wǎng)絡(luò)交換機(jī)212負(fù)載均衡器213光纖交換機(jī)215磁盤陣列215防火墻218219VPN網(wǎng)關(guān)219虛擬磁帶庫222備份軟件223高速掃描儀225第1章項目設(shè)計方案設(shè)計原則**高新區(qū)數(shù)字化辦公平臺是加強(qiáng)全區(qū)業(yè)務(wù)協(xié)同和提升企業(yè)服務(wù)水平的重要手段，在進(jìn)行本系統(tǒng)的設(shè)計和開發(fā)過程中，我們遵循如下原則：(1)遵循系統(tǒng)性、一致性的原則在設(shè)計思想、平臺風(fēng)格、業(yè)務(wù)處理方式及數(shù)據(jù)存取和共享等方面，以**高新區(qū)數(shù)字化辦公平臺為整體進(jìn)行統(tǒng)一規(guī)劃。充分考慮到系統(tǒng)擴(kuò)展的銜接關(guān)系，通過良好的架構(gòu)設(shè)計和系統(tǒng)配置管理，保證整個系統(tǒng)結(jié)構(gòu)的統(tǒng)一和數(shù)據(jù)的一致。(2)遵循可用性、安全性的原則整個系統(tǒng)要有較高的可用性和可靠性。通過采用相關(guān)的技術(shù)和設(shè)計來保證主機(jī)處理系統(tǒng)、網(wǎng)絡(luò)通訊系統(tǒng)、數(shù)據(jù)存儲管理系統(tǒng)等在各種條件下，長時間可靠運(yùn)行。(3)遵循先進(jìn)性、成熟性的原則合理地平衡技術(shù)和產(chǎn)品的先進(jìn)性和成熟性不僅需要準(zhǔn)確把握技術(shù)的發(fā)展方向，而且需要真正理解用戶的業(yè)務(wù)現(xiàn)狀及其發(fā)展前景。因此，在系統(tǒng)的設(shè)計中將兼顧技術(shù)先進(jìn)性和成熟性，建立一個具備良好伸縮性的應(yīng)用框架，以便將來在有新的應(yīng)用和技術(shù)時可以方便地實(shí)現(xiàn)升級，滿足業(yè)務(wù)的不斷擴(kuò)展。(4)遵循易用性、兼容性的原則應(yīng)用系統(tǒng)應(yīng)采用友好的用戶界面，清晰簡捷，易于操作。同時，選用符合國際發(fā)展潮流的軟件技術(shù)，使得系統(tǒng)具有可移植性、兼容性、可靠性、可擴(kuò)展性等優(yōu)點(diǎn)。系統(tǒng)應(yīng)有好的功能用戶交互和用戶體驗，支持各種市場主流瀏覽器。(5)遵循標(biāo)準(zhǔn)化、開放性的原則系統(tǒng)的標(biāo)準(zhǔn)化和開放性對系統(tǒng)的實(shí)施和擴(kuò)展極為重要。通過采用最流行的技術(shù)和標(biāo)準(zhǔn)來設(shè)計解決方案，使得整個系統(tǒng)具有很好的開放性，滿足與現(xiàn)有系統(tǒng)的集成需求。**高新區(qū)數(shù)字化辦公平臺總體架構(gòu)必須具有下列特性：全面性：系統(tǒng)架構(gòu)必須完整，以支撐所有業(yè)務(wù)的開發(fā)實(shí)施和集成；前瞻性：能夠適應(yīng)未來業(yè)務(wù)變化和調(diào)整的需要；繼承性：考慮現(xiàn)有系統(tǒng)的定位以及未來的發(fā)展，以保護(hù)投資和新老系統(tǒng)的平穩(wěn)過渡；實(shí)用性：項目的建設(shè)要面向未來，技術(shù)必須具有先進(jìn)性和前瞻性，但同時也要堅持實(shí)用的原則。在滿足性能價格比的前提下，選用符合標(biāo)準(zhǔn)的，先進(jìn)成熟的產(chǎn)品和開發(fā)平臺，構(gòu)建一個切合實(shí)際、解決實(shí)際問題的系統(tǒng)；靈活性：架構(gòu)的重點(diǎn)在于描述系統(tǒng)之間的邊界及相互關(guān)系，保證系統(tǒng)之間的耦合松緊適度。

因此，系統(tǒng)總體架構(gòu)的設(shè)計應(yīng)從高新區(qū)業(yè)務(wù)出發(fā)，把握各業(yè)務(wù)之間的區(qū)別和聯(lián)系，按照不同業(yè)務(wù)和信息技術(shù)的特點(diǎn)，遵循規(guī)范、科學(xué)、通用、實(shí)用、安全、易用等要求，統(tǒng)籌規(guī)劃系統(tǒng)總體架構(gòu)，并通過管理與技術(shù)的雙重手段，達(dá)到資源共享、應(yīng)用軟件重用、可管理、可維護(hù)等目的。系統(tǒng)總體架構(gòu)模型2011年下半年，為推動**高新區(qū)信息化建設(shè)，強(qiáng)化頂層設(shè)計，規(guī)避重復(fù)建設(shè)，高新區(qū)組織制定了《**高新區(qū)信息化總體規(guī)劃綱要》和《**高新區(qū)麓谷城市綜合管理信息平臺（二期）項目建議書》。根據(jù)**高新區(qū)“十二五”信息化發(fā)展戰(zhàn)略規(guī)劃，**高新區(qū)信息化總體架構(gòu)分為六大體系，包括應(yīng)用體系、信息資源體系、技術(shù)體系、信息安全體系、IT管理體系和標(biāo)準(zhǔn)規(guī)范體系信息安全體系、IT管理體系和標(biāo)準(zhǔn)規(guī)范體系圖1-2-1**高新區(qū)數(shù)字化辦公平臺總體架構(gòu)圖麓谷城市綜合管理信息平臺二期工程是**高新區(qū)信息化體系的重要組成部分，包括未來三年內(nèi)**高新區(qū)信息化發(fā)展所需的電子政務(wù)相關(guān)應(yīng)用建設(shè)及配套體系建設(shè)。平臺二期總體架構(gòu)如下圖所示：圖1-2-2麓谷城市綜合管理信息平臺二期總體架構(gòu)圖根據(jù)總體架構(gòu)和露骨城市綜合管理平臺二期總體架構(gòu)，**高新區(qū)在2012年啟動了數(shù)字化辦公平臺建設(shè)工作。在總體架構(gòu)和平臺二期架構(gòu)指導(dǎo)下，參考國家電子政務(wù)總體架構(gòu)模型，**高新區(qū)數(shù)字化辦公平臺總體架構(gòu)如下：

行政辦公襠案官理認(rèn)證管理F,人事管理個人辦公中心,信息發(fā)布"| "信息交流,科技信息管理系統(tǒng)管理t雙限管國癰色管理機(jī)構(gòu)管理用戶管理多一認(rèn)證管理一盤認(rèn)證零配件供需管理：企業(yè)用非管理缶業(yè)專利數(shù)據(jù)庫行政辦公襠案官理認(rèn)證管理F,人事管理個人辦公中心,信息發(fā)布"| "信息交流,科技信息管理系統(tǒng)管理t雙限管國癰色管理機(jī)構(gòu)管理用戶管理多一認(rèn)證管理一盤認(rèn)證零配件供需管理：企業(yè)用非管理缶業(yè)專利數(shù)據(jù)庫〕高新企業(yè)管理一項目統(tǒng)計分析一項目書瓶合理展業(yè)注冊管理一即時消息一唾知I治文件——槐章制度，」內(nèi)部^知—二內(nèi)部新聞密碼修改5甬-孔錄工作計劃」日程安排待辦事項：餐資營理———工作績效管理〕軍勤休假管理；人員合同管理一人事檔案管理」r案查詢檔案錄入日當(dāng)管里能源管理新業(yè)管理車聃管理資管接待管理合同管理會議管理相文管里收文管理應(yīng)用服務(wù)層應(yīng)用支撐層信自心安全體系數(shù)據(jù)庫存儲備份信息資源層基礎(chǔ)設(shè)施層**高新區(qū)數(shù)字化辦公平臺總體架構(gòu)圖圖1-2-3基礎(chǔ)架構(gòu)設(shè)計基礎(chǔ)設(shè)施架構(gòu)現(xiàn)狀目前，高新區(qū)的基礎(chǔ)設(shè)施架構(gòu)是在建設(shè)麓谷一期項目時統(tǒng)一搭建的，具體結(jié)構(gòu)詳見下圖：互.聯(lián)網(wǎng)刀用線nIq,nM好W】P5三取M?IM：耀府依曲粉nvo,品應(yīng)朋的火地S75]Cili外網(wǎng)電希怵互.聯(lián)網(wǎng)刀用線nIq,nM好W】P5三取M?IM：耀府依曲粉nvo,品應(yīng)朋的火地S75]Cili外網(wǎng)電希怵S5lt?-5OC機(jī)物量報接\H3US5LOO-MKCISCO3J55O氏沙軟件園幃行同區(qū)內(nèi)棄弋換機(jī)管委會入樓各鼾門CISCO3S50/M30肺加邢_ ||3CS51OO2€.產(chǎn)聯(lián)邙七個匯聚為rem已7政務(wù)■多器附君抨中心■勢器胃*高新區(qū)園區(qū)網(wǎng)*圖1-3-1高新區(qū)基礎(chǔ)設(shè)施現(xiàn)狀圖經(jīng)過數(shù)年的使用和發(fā)展，隨著國家對電子政務(wù)內(nèi)外網(wǎng)建設(shè)的明確要求出臺，隨著國家對信息安全的管控要求日益提高，隨著高新區(qū)信息化應(yīng)用的不斷深入，高新區(qū)這套基礎(chǔ)架構(gòu)的不適應(yīng)性也逐漸顯現(xiàn)出來?？傮w而言，有下面幾點(diǎn)需要進(jìn)行完善：(1)高新區(qū)需要整合省市電子政務(wù)內(nèi)外網(wǎng)、高新區(qū)內(nèi)網(wǎng)、教育網(wǎng)，從而形成一套完整的高新區(qū)網(wǎng)絡(luò)體系；(2)高新區(qū)需要消除核心設(shè)備的單點(diǎn)故障隱患；(3)高新區(qū)需要加強(qiáng)對網(wǎng)絡(luò)的監(jiān)控和管理；(4)高新區(qū)需要根據(jù)等保三級的管理要求，按不同服務(wù)對象和業(yè)務(wù)領(lǐng)域?qū)﹄娮诱?wù)服務(wù)器群進(jìn)行分拆重組，重新配置。(5)高新區(qū)需要結(jié)合數(shù)字化辦公平臺及高新區(qū)信息化發(fā)展規(guī)劃的

需要，重新規(guī)劃網(wǎng)絡(luò)區(qū)域，以便實(shí)現(xiàn)按區(qū)域配置網(wǎng)絡(luò)策略，靈活支持后續(xù)擴(kuò)充的目標(biāo)；基礎(chǔ)設(shè)施架構(gòu)模型高新區(qū)網(wǎng)絡(luò)體系結(jié)構(gòu)對高新區(qū)基礎(chǔ)設(shè)施架構(gòu)進(jìn)行優(yōu)化和再設(shè)計的前提條件是確定好高新區(qū)工作相關(guān)網(wǎng)絡(luò)的關(guān)聯(lián)關(guān)系和具體接口。這些網(wǎng)絡(luò)包括省市電子政務(wù)內(nèi)（外）網(wǎng)、高新區(qū)內(nèi)（外）網(wǎng)、園區(qū)網(wǎng)、教育網(wǎng)、視頻監(jiān)控網(wǎng)、互聯(lián)網(wǎng)以及移動互聯(lián)網(wǎng)，它們的具體關(guān)聯(lián)圖示如下：raft干兆強(qiáng)踣—國家電子K務(wù)內(nèi)制體茄圖國家電子K務(wù)內(nèi)制體茄圖1-3-2-1高新區(qū)網(wǎng)絡(luò)體系結(jié)構(gòu)圖在這張體系結(jié)構(gòu)圖中:（1）根據(jù)國家電子政務(wù)建設(shè)要求，今后將不再建設(shè)專網(wǎng)，而會集中力量建設(shè)國家電子政務(wù)內(nèi)網(wǎng)和國家電子政務(wù)外網(wǎng)兩套網(wǎng)絡(luò)，現(xiàn)有專網(wǎng)也應(yīng)逐步融入這兩套網(wǎng)絡(luò)之中。因此，高新區(qū)網(wǎng)絡(luò)體系結(jié)構(gòu)也將以此為基本建設(shè)原則；(2)電子政務(wù)內(nèi)網(wǎng)與電子政務(wù)外網(wǎng)之間物理隔離。下級內(nèi)(外)網(wǎng)的核心交換同時作為匯聚節(jié)點(diǎn)接入上級內(nèi)(外)網(wǎng)。同級電子政務(wù)內(nèi)網(wǎng)與電子政務(wù)外網(wǎng)之間存在數(shù)據(jù)交換的虛通道；(3)高新區(qū)內(nèi)網(wǎng)目前尚未成型，而本次項目的建設(shè)重點(diǎn)也在于高新區(qū)外網(wǎng)。根據(jù)“小內(nèi)網(wǎng)、大外網(wǎng)”的建設(shè)原則和節(jié)約投資的基本考慮，可以將高新區(qū)外網(wǎng)建設(shè)時淘汰換下來的部分交換機(jī)、防火墻、服務(wù)器等設(shè)備遷移到高新區(qū)內(nèi)網(wǎng)之中，用較少的投資先搭建出一套基本的網(wǎng)絡(luò)架構(gòu)來；(4)高新區(qū)外網(wǎng)與高新區(qū)園區(qū)網(wǎng)之間邏輯隔離，并通過它接入互聯(lián)網(wǎng)和移動互聯(lián)網(wǎng)。本項目的重點(diǎn)雖然是建設(shè)高新區(qū)外網(wǎng)，但考慮到高新區(qū)園區(qū)網(wǎng)溝通內(nèi)外的重要作用，也會為高新區(qū)園區(qū)網(wǎng)的后續(xù)建設(shè)提供一個發(fā)展方向；(5)高新區(qū)教育網(wǎng)通過高新區(qū)外網(wǎng)所在的電子政務(wù)外網(wǎng)接入市教育網(wǎng)，通過高新區(qū)外網(wǎng)轉(zhuǎn)接的高新區(qū)園區(qū)網(wǎng)接入互聯(lián)網(wǎng)。從千兆接入的帶寬設(shè)計來看，無論是學(xué)校的上網(wǎng)需求還是教育資源點(diǎn)播應(yīng)用的帶寬需求都可以得到有效滿足；當(dāng)然，為提高網(wǎng)絡(luò)效率，建議將教育部門的資源服務(wù)器放置一套在高新區(qū)外網(wǎng)內(nèi)，并與市教育網(wǎng)的核心資源服務(wù)器做好數(shù)據(jù)同步；(6)視頻監(jiān)控網(wǎng)雖然隸屬電子政務(wù)外網(wǎng)體系，但從業(yè)務(wù)和效率角度綜合考慮，此網(wǎng)絡(luò)與高新區(qū)外網(wǎng)將相對獨(dú)立；(7)圖中省略了許多網(wǎng)絡(luò)設(shè)備。各個網(wǎng)絡(luò)相互連接時，可以根據(jù)安全、應(yīng)用等方面的需要配備相關(guān)設(shè)備，以支持不同的網(wǎng)絡(luò)管理策略;高新區(qū)外網(wǎng)部署架構(gòu)數(shù)字化辦公平臺基礎(chǔ)設(shè)施層建設(shè)內(nèi)容包括網(wǎng)絡(luò)系統(tǒng)、主機(jī)系統(tǒng)、存儲系統(tǒng)、備份系統(tǒng)和安全系統(tǒng)，基礎(chǔ)設(shè)施架構(gòu)如下圖所示:圖1-3-2-2基礎(chǔ)設(shè)施部署圖圖中的服務(wù)器設(shè)備的具體數(shù)量及用途將在“主機(jī)系統(tǒng)”章節(jié)中詳細(xì)說明高新區(qū)園區(qū)網(wǎng)發(fā)展構(gòu)想

數(shù)字化辦公平臺基礎(chǔ)設(shè)施的建設(shè)重點(diǎn)是高新區(qū)外網(wǎng)，但外網(wǎng)建成后，園區(qū)網(wǎng)就將成為新的基礎(chǔ)設(shè)施瓶頸。鑒于高新區(qū)園區(qū)網(wǎng)銜接內(nèi)、外的重要作用，基于建立完整主備通道的基本原則，現(xiàn)對高新區(qū)園區(qū)網(wǎng)的未來架構(gòu)設(shè)計如下，供高新區(qū)后續(xù)項目建設(shè)參考:遠(yuǎn)程用戶拿啦&&?a圖例萬兆線路遠(yuǎn)程用戶拿啦&&?a圖例萬兆線路■^―千兆線路DMZ區(qū)圖1-3-2-3高新區(qū)園區(qū)網(wǎng)發(fā)展規(guī)劃示意圖1.3.3網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)系統(tǒng)建設(shè)方案數(shù)字化辦公平臺的網(wǎng)絡(luò)結(jié)構(gòu)可以簡單表述為“兩種接入，兩大網(wǎng)絡(luò)，三個區(qū)域”。其中，“兩種接入”是指同時支持互聯(lián)網(wǎng)和移動互聯(lián)網(wǎng)兩種類型的接入方式；“兩大網(wǎng)絡(luò)”是指劃分外網(wǎng)和園區(qū)網(wǎng)，外網(wǎng)亦即高新區(qū)電子政務(wù)外網(wǎng)，它負(fù)責(zé)承載高新區(qū)的數(shù)字化辦公平臺以及其它核心業(yè)務(wù)系統(tǒng)，園區(qū)網(wǎng)則在承擔(dān)高新區(qū)城域網(wǎng)職能的同時，也作為外網(wǎng)接入互聯(lián)網(wǎng)的中介網(wǎng)絡(luò)，兩套網(wǎng)絡(luò)通過網(wǎng)閘實(shí)現(xiàn)隔離；“三個區(qū)域”則是指互聯(lián)網(wǎng)接入?yún)^(qū)（DMZ區(qū)）、核心計算區(qū)以及外網(wǎng)辦公區(qū)，具體說明如下：互聯(lián)網(wǎng)接入?yún)^(qū)位于園區(qū)網(wǎng)，放置園區(qū)門戶服務(wù)器、科技信息平臺服務(wù)器以及移動服務(wù)器等，另外增配一臺負(fù)載均衡設(shè)備，以避免出現(xiàn)鏈路接入單點(diǎn)故障，同時提供服務(wù)負(fù)載均衡能力。考慮到日后的擴(kuò)展可能以及提供穩(wěn)定服務(wù)的必要性，采用了兩臺互備的接入交換機(jī)（利用現(xiàn)有設(shè)備），再通過它們接入到園區(qū)網(wǎng)核心交換機(jī)。另外，考慮到移動辦公應(yīng)用的需要，在DMZ區(qū)還配備了一臺專用的VPN設(shè)備。核心計算區(qū)和外網(wǎng)辦公區(qū)均位于外網(wǎng)，分別接入兩臺互備的外網(wǎng)核心交換機(jī)（其中一臺利用現(xiàn)有設(shè)備），再通過它們經(jīng)網(wǎng)閘與園區(qū)網(wǎng)核心交換機(jī)相連。外網(wǎng)辦公區(qū)中每樓層均配備一臺接入交換機(jī)（均利用現(xiàn)有設(shè)備）。核心計算區(qū)配備兩臺互備的接入交換機(jī)，通過兩臺互備的防火墻接入外網(wǎng)核心交換機(jī)。核心計算區(qū)中將放置外網(wǎng)門戶服務(wù)器、數(shù)字化辦公平臺應(yīng)用服務(wù)器，應(yīng)用中間件服務(wù)器，數(shù)據(jù)庫服務(wù)器、存儲備份服務(wù)器以及安全管理服務(wù)器等。帶寬方面，互備的交換機(jī)之間采用萬兆線路互連；其它網(wǎng)絡(luò)設(shè)備之間，網(wǎng)絡(luò)設(shè)備與主機(jī)設(shè)備之間均采用千兆線路連接。復(fù)用方面，因為采用了與現(xiàn)有基礎(chǔ)架構(gòu)相近的設(shè)計，就可以在最大程度上復(fù)用原有設(shè)備和管理機(jī)制(諸如IP規(guī)劃等)，減少遷移成本。圖中以前綴標(biāo)注的網(wǎng)絡(luò)、主機(jī)設(shè)備均表示可以復(fù)用現(xiàn)有設(shè)備。止匕外，指揮中心的視頻監(jiān)控子系統(tǒng)雖然也放置在高新區(qū)外網(wǎng)，但因為與高新區(qū)外網(wǎng)的基本業(yè)務(wù)系統(tǒng)沒有數(shù)據(jù)交互的需求，可以作為獨(dú)立的子網(wǎng)直接接入網(wǎng)閘；相對而言，高新區(qū)教育網(wǎng)和省市電子政務(wù)外網(wǎng)與高新區(qū)外網(wǎng)有頻繁應(yīng)用、數(shù)據(jù)交互的需求，將通過接入交換機(jī)與的高新區(qū)外網(wǎng)的核心交換機(jī)相連。網(wǎng)管系統(tǒng)建設(shè)方案?建設(shè)目標(biāo)網(wǎng)絡(luò)管理系統(tǒng)滿足如下建設(shè)目標(biāo)：(1)及時全面地掌握網(wǎng)絡(luò)上的故障、性能、配置等信息；快速、自動反應(yīng)網(wǎng)上事件；實(shí)現(xiàn)對數(shù)據(jù)網(wǎng)事件的分析、定位，提供歷史記錄和統(tǒng)計功能。提供網(wǎng)絡(luò)整體和局部負(fù)荷情況及統(tǒng)計數(shù)據(jù)，為業(yè)務(wù)保障、網(wǎng)絡(luò)優(yōu)化和網(wǎng)絡(luò)擴(kuò)容提供參考；(2)支持多種設(shè)備的管理；(3)具有較強(qiáng)的擴(kuò)展性，方便用戶對系統(tǒng)功能的擴(kuò)展；(4)提供實(shí)時、豐富、準(zhǔn)確的基礎(chǔ)試驗數(shù)據(jù)和豐富的統(tǒng)計報表；(5)提供網(wǎng)絡(luò)設(shè)備的安全管理。?建設(shè)原則為確保目標(biāo)的實(shí)現(xiàn)，應(yīng)遵循如下的網(wǎng)管建設(shè)原則：(1)規(guī)范性：網(wǎng)管系統(tǒng)的設(shè)計、開發(fā)、實(shí)施和維護(hù)管理遵循國家標(biāo)準(zhǔn)、有關(guān)通信行業(yè)通用的規(guī)范以及通用的國際規(guī)范。(2)開放性：網(wǎng)管系統(tǒng)接口在遵循規(guī)范性原則的基礎(chǔ)上，可以集成不同設(shè)備廠商、系統(tǒng)或平臺供應(yīng)商、軟件供應(yīng)商的產(chǎn)品。(3)先進(jìn)性：網(wǎng)管系統(tǒng)的建設(shè)應(yīng)該采用符合國際的標(biāo)準(zhǔn)和規(guī)范，采用先進(jìn)的技術(shù)和管理手段，以保障系統(tǒng)具有高效、全面和穩(wěn)定的特性。(4)安全性：充分考慮整個系統(tǒng)運(yùn)行的安全策略和機(jī)制，可以根據(jù)不同的業(yè)務(wù)要求和應(yīng)用處理，設(shè)置不同的安全措施。(5)擴(kuò)展性：管理軟件必須提供標(biāo)準(zhǔn)的和開放的應(yīng)用接口及豐富的開發(fā)工具，以便集成現(xiàn)有的管理軟件和將來的管理軟件，實(shí)現(xiàn)對投資的保護(hù)，防止重復(fù)建設(shè)。(6)簡單實(shí)用有效：網(wǎng)管系統(tǒng)是面向網(wǎng)絡(luò)管理和維護(hù)人員的，在操作上簡單實(shí)用，針對管理人員級別的不同，提供的功能可以有所側(cè)重和差別。?系統(tǒng)功能建設(shè)數(shù)字化辦公平臺網(wǎng)絡(luò)管理系統(tǒng)主要實(shí)現(xiàn)以下功能：(1)實(shí)時顯示網(wǎng)絡(luò)設(shè)備及其分布圖；(2)對網(wǎng)絡(luò)運(yùn)行狀態(tài)和流量進(jìn)行動態(tài)監(jiān)測；(3)提供網(wǎng)絡(luò)事件的報警和處理；(4)網(wǎng)絡(luò)設(shè)備性能參數(shù)的實(shí)時監(jiān)控以及對歷史數(shù)據(jù)的收集；(5)對于第三方和網(wǎng)絡(luò)硬件生產(chǎn)廠家的管理工具的集成支持；(6)分層次的管理模式，對于較大的網(wǎng)絡(luò)環(huán)境提供更好的管理效率；(7)對數(shù)據(jù)庫的支持，所有采集到的數(shù)據(jù)都可以存儲到數(shù)據(jù)庫中，同時提供強(qiáng)大的報表功能，用于系統(tǒng)管理員和高層領(lǐng)導(dǎo)者的決策支持和決策分析；(8)所有的網(wǎng)絡(luò)管理和監(jiān)控都可以通過Web界面來完成；(9)提供網(wǎng)絡(luò)設(shè)備的權(quán)限管理功能。移動辦公系統(tǒng)解決方案移動OA解決方案的關(guān)鍵在于系統(tǒng)的安全性，這方面目前有軟件和硬件兩種解決方案。軟件解決方案主要是通過移動OA客戶端和中間件的數(shù)據(jù)加密、解密算法來實(shí)現(xiàn)，對于軟件的要求比較高，但有成熟的軟件產(chǎn)品可供選購；硬件解決方案則以VPN技術(shù)為核心，軟件實(shí)現(xiàn)無須考慮數(shù)據(jù)安全問題。通過兩種方案的大致費(fèi)用比較，結(jié)合高新區(qū)未來的發(fā)展需求(不僅僅是數(shù)字化辦公平臺)，建議采用硬件解決方案。因此，網(wǎng)絡(luò)設(shè)備

方面的投資將主要是增加一臺VPN專用設(shè)備作為移動網(wǎng)關(guān)。移動OA解決方案的具體架構(gòu)詳見下圖：后彳手機(jī)客戶端IfcjBI圖1-3-3-3移動OA架構(gòu)圖網(wǎng)絡(luò)系統(tǒng)設(shè)備清單網(wǎng)絡(luò)設(shè)備清單如下所示:序號名稱數(shù)量設(shè)備來源1核心交換機(jī)1增配，考慮到現(xiàn)有4507設(shè)備的穩(wěn)定性以及相關(guān)設(shè)備的兼容性，最好再購置一臺同型號或同類型的核心交換機(jī)2接入交換機(jī)2增配，用于互聯(lián)網(wǎng)接入?yún)^(qū)，核心計算區(qū)的接入3其他接10包括樓層接入及網(wǎng)絡(luò)管理區(qū)

序號名稱數(shù)量設(shè)備來源入交換的接入。全部復(fù)用現(xiàn)有設(shè)備機(jī)因采用雙核心交換機(jī)，需為交換機(jī)4模塊9各樓層交換機(jī)增配光纖接入模塊軟件大樓3樓數(shù)據(jù)中心至管委會2樓匯聚點(diǎn)A24芯（約機(jī)房光1500米）；管委會2樓匯聚5纖接入1點(diǎn)至各樓層接入交換機(jī)A4及輔材芯（約2000米）及配套接線盤、跳線等6防火墻2增配，防護(hù)核心計算區(qū)VPN網(wǎng)增配，與移動服務(wù)器協(xié)同支7關(guān)1持移動OA網(wǎng)管服8務(wù)器1復(fù)用現(xiàn)有設(shè)備及軟件負(fù)載均9衡器1增配，部署在互聯(lián)網(wǎng)出口表1-3-3-4網(wǎng)絡(luò)設(shè)備清單1.3.4主機(jī)系統(tǒng)主機(jī)系統(tǒng)建設(shè)方案服務(wù)器是構(gòu)建各種數(shù)據(jù)庫、應(yīng)用軟件平臺的依托，數(shù)字化辦公平臺做為支撐高新區(qū)日常辦公、人事管理、科技信息管理業(yè)務(wù)的核心系統(tǒng)，對服務(wù)器系統(tǒng)處理能力提出了較高要求。系統(tǒng)建設(shè)內(nèi)容中除上述基礎(chǔ)業(yè)務(wù)系統(tǒng)外，為使業(yè)務(wù)系統(tǒng)能夠正常的運(yùn)轉(zhuǎn)，還需有表單工具、報表工具、工作流引擎等作為支撐，所以，在主機(jī)系統(tǒng)建設(shè)時應(yīng)一并考慮這些方面的建設(shè)需求。1、數(shù)據(jù)庫服務(wù)器數(shù)據(jù)庫服務(wù)器集中存儲各類業(yè)務(wù)數(shù)據(jù)，采用雙機(jī)熱備方式部署。2、數(shù)據(jù)庫備份/驗證服務(wù)器數(shù)據(jù)庫驗證服務(wù)器，安裝數(shù)據(jù)庫軟件，可以完成對數(shù)據(jù)庫進(jìn)行測試與驗證工作，同時可以作為數(shù)據(jù)庫服務(wù)器的備份，能夠快速的接替數(shù)據(jù)庫服務(wù)器進(jìn)行工作。3、數(shù)據(jù)庫備份遷移服務(wù)器數(shù)據(jù)庫備份服務(wù)器，部署數(shù)據(jù)備份軟件，可以設(shè)置一定策略對數(shù)據(jù)庫信息進(jìn)行備份到數(shù)據(jù)流磁帶上進(jìn)行離線管理，在數(shù)據(jù)庫出現(xiàn)故障時，可以馬上進(jìn)行數(shù)據(jù)庫恢復(fù)。可與數(shù)據(jù)庫備份/驗證服務(wù)器共用服務(wù)器。4、應(yīng)用中間件服務(wù)器應(yīng)用服務(wù)器安裝各類技術(shù)中間件軟件，提供中間件服務(wù)，向內(nèi)提供技術(shù)基礎(chǔ)服務(wù)，向外提供應(yīng)用接口，實(shí)現(xiàn)與關(guān)聯(lián)系統(tǒng)進(jìn)行業(yè)務(wù)信息交互。5、WEB/應(yīng)用服務(wù)器Web/應(yīng)用服務(wù)器是實(shí)現(xiàn)各項業(yè)務(wù)功能的窗口，采用B/S模式，基于Web的方式展現(xiàn)其所有應(yīng)用，外網(wǎng)所有用戶通過Web服務(wù)器實(shí)現(xiàn)任務(wù)的獲取，狀態(tài)的提交，資料庫內(nèi)容的檢索，服務(wù)器再以Web頁面的方式展現(xiàn)操作結(jié)果。根據(jù)主要服務(wù)對象的不同，可安排一臺服務(wù)器集中承載辦公人事和科技信息管理業(yè)務(wù)，同時，該服務(wù)器也將作為外網(wǎng)門戶服務(wù)器。另外，在園區(qū)網(wǎng)需要安排一臺科技信息平臺服務(wù)器（可與高新區(qū)園區(qū)門戶共用服務(wù)器）。6、移動服務(wù)器移動服務(wù)器主要針對移動辦公應(yīng)用，提供移動接入中間件服務(wù)。這些中間件基于數(shù)字化辦公平臺實(shí)現(xiàn)的應(yīng)用中間組件，可以通過定制的設(shè)計器來應(yīng)需開發(fā)。移動服務(wù)器通過移動網(wǎng)關(guān)承擔(dān)移動辦公人員與數(shù)字化辦公業(yè)務(wù)后臺交互的中介職能。7、短信平臺服務(wù)器短信平臺服務(wù)器一方面針對數(shù)字化辦公平臺各類應(yīng)用提供統(tǒng)一的短信發(fā)送平臺，另一方面也作為高新區(qū)整體的短信平臺發(fā)揮功用?？膳c移動服務(wù)器共用服務(wù)器。8、數(shù)據(jù)近線遷移備份服務(wù)器數(shù)據(jù)近線遷移備份服務(wù)器在系統(tǒng)中負(fù)責(zé)完成在線數(shù)據(jù)向近線數(shù)據(jù)流磁帶庫的數(shù)據(jù)備份工作，可根據(jù)后臺配置的備份策略自動完成備份任務(wù)。9、在線存儲遷移服務(wù)器在線存儲遷移服務(wù)器在系統(tǒng)中完成在線數(shù)據(jù)在不同的存儲區(qū)域之間的數(shù)據(jù)遷移工作，以及從對外發(fā)布區(qū)域向核心服務(wù)平臺的數(shù)據(jù)遷移工作?？膳c數(shù)據(jù)近線遷移備份服務(wù)器共用服務(wù)器。10、工作流管理服務(wù)器工作流管理服務(wù)器實(shí)現(xiàn)在流程扭轉(zhuǎn)時的任務(wù)觸發(fā)機(jī)制，主要完成整個系統(tǒng)工作流的創(chuàng)建、管理與監(jiān)控工作，支持基于圖像化界面的管理。11、統(tǒng)一用戶管理/域管理服務(wù)器統(tǒng)一用戶管理服務(wù)主要用于系統(tǒng)內(nèi)用戶管理，權(quán)限管理，角色管理等功能，域控管理服務(wù)負(fù)責(zé)系統(tǒng)用戶訪問內(nèi)容審核系統(tǒng)的各種權(quán)限，包括登錄網(wǎng)絡(luò)、帳號的身份驗證以及訪問目錄和共享資源等功能?？膳c工作流管理服務(wù)器共用服務(wù)器。12、系統(tǒng)監(jiān)控管理服務(wù)器系統(tǒng)監(jiān)控管理服務(wù)器主要完成包括服務(wù)器、存儲、網(wǎng)絡(luò)交換設(shè)備等狀態(tài)的監(jiān)控管理工作?？膳c工作流管理服務(wù)器共用服務(wù)器。13、ESB服務(wù)器ESB服務(wù)器主要用于承載企業(yè)服務(wù)總線、流程整合工具、數(shù)據(jù)交

換平臺這三類中間件，是中間件服務(wù)的核心提供者。這樣的服務(wù)器需要在外網(wǎng)和園區(qū)網(wǎng)各部署一臺。14、安全管理服務(wù)器安全管理服務(wù)器主要基于對基礎(chǔ)架構(gòu)的實(shí)施監(jiān)控來設(shè)計、部署和執(zhí)行相應(yīng)的安全策略，并統(tǒng)一管理所有安全設(shè)備。參照“基礎(chǔ)設(shè)施部署圖”，主機(jī)系統(tǒng)的實(shí)際部署詳見下表:編號名稱用途數(shù)量說明2臺互備的門戶網(wǎng)站，11園區(qū)門戶等局新區(qū)園區(qū)網(wǎng)門戶；科技信息管理平臺。4臺網(wǎng)站后臺，1臺網(wǎng)站數(shù)據(jù)庫；全部復(fù)用現(xiàn)有設(shè)備2園區(qū)網(wǎng)ESB服務(wù)器等企業(yè)服務(wù)總線服務(wù)器；流程整合工具服務(wù)器；數(shù)據(jù)交換平臺服務(wù)器。1新購3移動服務(wù)器等移動OA應(yīng)用服務(wù)器；短信平臺服務(wù)器。1新購4外網(wǎng)門戶等高新區(qū)外網(wǎng)門戶；數(shù)字化辦公平臺之辦公、人事1新購

編號名稱用途數(shù)量說明模塊。5數(shù)據(jù)庫服務(wù)器數(shù)據(jù)庫服務(wù)2雙機(jī)熱備；新購6數(shù)據(jù)庫備份等數(shù)據(jù)庫備份服務(wù)器；數(shù)據(jù)庫驗證服務(wù)器；數(shù)據(jù)庫遷移服務(wù)器。1新購7應(yīng)用服務(wù)器各類應(yīng)用中間件（不在專有服務(wù)器上的）1新購8存儲服務(wù)器等數(shù)據(jù)在線存儲遷移服務(wù)器；數(shù)據(jù)近線遷移備份服務(wù)器。1新購9工作流服務(wù)器等工作流管理服務(wù)器；統(tǒng)一用戶管理服務(wù)器；域管理服務(wù)器；系統(tǒng)監(jiān)控管理服務(wù)器。1新購10外網(wǎng)ESB服務(wù)器等企業(yè)服務(wù)總線服務(wù)器；流程整合工具服務(wù)器；數(shù)據(jù)交換平臺服務(wù)器。1新購11安全管理服務(wù)器網(wǎng)絡(luò)監(jiān)控、安全管理1新購

表1-3-4-1主機(jī)設(shè)備明細(xì)表主機(jī)系統(tǒng)設(shè)備清單主機(jī)系統(tǒng)設(shè)備清單如下所示:序號名稱數(shù)量備注1數(shù)據(jù)庫服務(wù)器22臺數(shù)據(jù)庫服務(wù)器作雙機(jī)熱備2核心中間件服務(wù)器2外網(wǎng)與園區(qū)網(wǎng)各配備一臺3其他服務(wù)器7按主機(jī)設(shè)備明細(xì)表的新購選項進(jìn)行配備4科技信息平臺服務(wù)器4復(fù)用高新區(qū)園區(qū)門戶服務(wù)器表1-3-4-2主機(jī)系統(tǒng)設(shè)備清單1.3.5存儲系統(tǒng)存儲系統(tǒng)建設(shè)方案?存儲結(jié)構(gòu)模型存儲系統(tǒng)伴隨著應(yīng)用系統(tǒng)不斷擴(kuò)大而迅猛發(fā)展，從曾經(jīng)是主機(jī)的附屬成為今天獨(dú)立的系統(tǒng)，在存儲的連接上有以下三種方式：DAS(directlyattachedstorage)NAS(networkattachedstorage)SAN(storageareanetwork)下面對三種存儲連接方式進(jìn)行比較：DAS(DirectAttachedStorage一直接連接存儲)是指將存儲設(shè)備通過SCSI接口或光纖通道直接連接到一臺計算機(jī)上。DAS的適用環(huán)境為：服務(wù)器在地理分布上很分散，通過SAN或NAS在它們之間進(jìn)行互連非常困難時；存儲系統(tǒng)必須被直接連接到應(yīng)用服務(wù)器(如MicrosoftClusterServer或**些數(shù)據(jù)庫使用的“原始分區(qū)”)上時；包括許多數(shù)據(jù)庫應(yīng)用和應(yīng)用服務(wù)器在內(nèi)的應(yīng)用，它們需要直接連接到存儲器上，群件應(yīng)用和一些郵件服務(wù)也包括在內(nèi)。當(dāng)服務(wù)器在地理上比較分散，很難通過遠(yuǎn)程連接進(jìn)行互連時，直接連接存儲是比較好的解決方案，甚至可能是唯一的解決方案。利用直接連接存儲的另一個原因也可能是企業(yè)決定繼續(xù)保留已有的傳輸速率并不很高的網(wǎng)絡(luò)系統(tǒng)。NAS和SAN的出現(xiàn)響應(yīng)了三種重要的發(fā)展趨勢：網(wǎng)絡(luò)正成為主要的信息處理模式；需要存儲的數(shù)據(jù)大量增加；數(shù)據(jù)作為取得競爭優(yōu)勢的戰(zhàn)略性資產(chǎn)具重要性在增加。NAS(網(wǎng)絡(luò)連接存儲)即將存儲設(shè)備通過標(biāo)準(zhǔn)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)(例如以太網(wǎng))，連接到一群計算機(jī)上。NAS是部件級的存儲方法，它的重點(diǎn)在于幫助工作組和部門級機(jī)構(gòu)解決迅速增加存儲容量的需求。需要共享大型CAD文檔的工程小組就是典型的例子。但是NAS存儲方式對于數(shù)據(jù)庫的應(yīng)用支持不好。SAN(存儲區(qū)域網(wǎng)絡(luò))通過光纖通道連接到一群計算機(jī)上。在該網(wǎng)絡(luò)中提供了多主機(jī)連接，但并非通過標(biāo)準(zhǔn)的網(wǎng)絡(luò)拓?fù)?。SAN不受現(xiàn)今主流的、基于SCSI存儲結(jié)構(gòu)的布局限制。特別重要的是，隨著存儲容量的爆炸性增長，SAN允許獨(dú)立地增加存儲容量。SAN的結(jié)構(gòu)允許任何服務(wù)器連接到任何存儲陣列，這樣不管數(shù)據(jù)置放在那里，服務(wù)器都可直接存取所需的數(shù)據(jù)。因為采用了光纖接口，SAN還具有更高的帶寬。SAN標(biāo)準(zhǔn)模式如圖所示：存儲系統(tǒng)伴隨著應(yīng)用系統(tǒng)不斷擴(kuò)大而迅猛發(fā)展，從曾經(jīng)是主機(jī)的附屬成為今天獨(dú)立的系統(tǒng)，在存儲的連接上有以下三種方式：DAS(directlyattachedstorage)NAS(networkattachedstorage)SAN(storageareanetwork)下面對三種存儲連接方式進(jìn)行比較：DAS(DirectAttachedStorage一直接連接存儲)是指將存儲設(shè)備通過SCSI接口或光纖通道直接連接到一臺計算機(jī)上。DAS的適用環(huán)境為：服務(wù)器在地理分布上很分散，通過SAN或NAS在它們之間進(jìn)行互連非常困難時；存儲系統(tǒng)必須被直接連接到應(yīng)用服務(wù)器(如MicrosoftClusterServer或**些數(shù)據(jù)庫使用的“原始分區(qū)”)上時；包括許多數(shù)據(jù)庫應(yīng)用和應(yīng)用服務(wù)器在內(nèi)的應(yīng)用，它們需要直接連接到存儲器上，群件應(yīng)用和一些郵件服務(wù)也包括在內(nèi)。當(dāng)服務(wù)器在地理上比較分散，很難通過遠(yuǎn)程連接進(jìn)行互連時，直接連接存儲是比較好的解決方案，甚至可能是唯一的解決方案。利用直接連接存儲的另一個原因也可能是企業(yè)決定繼續(xù)保留已有的傳輸速率并不很高的網(wǎng)絡(luò)系統(tǒng)。NAS和SAN的出現(xiàn)響應(yīng)了三種重要的發(fā)展趨勢：網(wǎng)絡(luò)正成為主要的信息處理模式；需要存儲的數(shù)據(jù)大量增加；數(shù)據(jù)作為取得競爭優(yōu)勢的戰(zhàn)略性資產(chǎn)具重要性在增加。NAS（網(wǎng)絡(luò)連接存儲）即將存儲設(shè)備通過標(biāo)準(zhǔn)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)（例如以太網(wǎng)），連接到一群計算機(jī)上。NAS是部件級的存儲方法，它的重點(diǎn)在于幫助工作組和部門級機(jī)構(gòu)解決迅速增加存儲容量的需求。需要共享大型CAD文檔的工程小組就是典型的例子。但是NAS存儲方式對于數(shù)據(jù)庫的應(yīng)用支持不好。SAN（存儲區(qū)域網(wǎng)絡(luò)）通過光纖通道連接到一群計算機(jī)上。在該網(wǎng)絡(luò)中提供了多主機(jī)連接，但并非通過標(biāo)準(zhǔn)的網(wǎng)絡(luò)拓?fù)洹AN不受現(xiàn)今主流的、基于SCSI存儲結(jié)構(gòu)的布局限制。特別重要的是，隨著存儲容量的爆炸性增長，SAN允許獨(dú)立地增加存儲容量。SAN的結(jié)構(gòu)允許任何服務(wù)器連接到任何存儲陣列，這樣不管數(shù)據(jù)置放在那里，服務(wù)器都可直接存取所需的數(shù)據(jù)。因為采用了光纖接口，SAN還具有更高的帶寬。SAN標(biāo)準(zhǔn)模式如圖所示：圖1-3-5-1-1SAN標(biāo)準(zhǔn)模式圖?存儲系統(tǒng)架構(gòu)如上所述，當(dāng)前主流的網(wǎng)絡(luò)存儲技術(shù)包括SAN技術(shù)和NAS技術(shù)。SAN的主要特點(diǎn)是把大容量存儲設(shè)備組成一個存儲局域網(wǎng)，實(shí)現(xiàn)服務(wù)器與存儲設(shè)備間的千兆高速連接。存儲設(shè)備之間的數(shù)據(jù)交換不占用局域網(wǎng)的帶寬（LAN-Free）,這將大大提高局域網(wǎng)的工作效率和存儲備份效率。這種方式將服務(wù)器和存儲設(shè)備通過專用的網(wǎng)絡(luò)（光纖通道）連接起來，服務(wù)器通過“BlockI/O”發(fā)送數(shù)據(jù)存取請求到存儲設(shè)備。SAN技術(shù)的優(yōu)點(diǎn)：服務(wù)器和存儲設(shè)備之間更遠(yuǎn)的距離（SAN方式10公里,SCSI方式25米）高可靠性和高性能，多個服務(wù)器和存儲設(shè)備之間可以任意連接。集中的存儲設(shè)備替代多個獨(dú)立的存儲設(shè)備，支持存儲容量共享；通過相應(yīng)的軟件使得SAN上的存儲設(shè)備表現(xiàn)為一個整體，因此有很高的擴(kuò)展性；可以通過軟件集中管理和控制SAN上的存儲設(shè)備?？梢灾С諰AN-Free和Server-Free備份，提高備份的效率和減輕服務(wù)器的負(fù)擔(dān)。提供千兆位的數(shù)據(jù)共享帶寬。NAS主要使用NFS、CIFS等文件共享協(xié)議為主機(jī)系統(tǒng)提供存儲文件服務(wù)。NAS的優(yōu)點(diǎn)是技術(shù)實(shí)現(xiàn)簡單，可為網(wǎng)絡(luò)中所有設(shè)備提供集中存儲服務(wù)，缺點(diǎn)是效率較低，適合于文件級共享的應(yīng)用。根據(jù)數(shù)字化辦公平臺的應(yīng)用特點(diǎn)，存儲系統(tǒng)應(yīng)采用SAN技術(shù)構(gòu)建，從而為關(guān)鍵任務(wù)數(shù)據(jù)庫等應(yīng)用提供集中、高效、高可擴(kuò)展的存儲環(huán)境。SAN有兩種基本實(shí)現(xiàn)模式，一種是FCSAN,一種是IPSAN。從數(shù)據(jù)傳輸性能、傳輸穩(wěn)定性、存儲區(qū)域網(wǎng)的可擴(kuò)展性、存儲區(qū)域網(wǎng)設(shè)備的可靠性和SAN網(wǎng)絡(luò)的可管理性5個方面來看，F(xiàn)CSAN都要領(lǐng)先一步，IPSAN則對于沒有骨干光纖網(wǎng)的網(wǎng)絡(luò)環(huán)境比較合適。根據(jù)高新區(qū)的實(shí)際情況，考慮未來的發(fā)展需要，建議采用FCSAN方式來構(gòu)建存儲區(qū)域網(wǎng)。SAN網(wǎng)絡(luò)采用分級存儲方式：光纖通道磁盤陣列作為關(guān)鍵數(shù)據(jù)庫服務(wù)器的一級存儲，虛擬磁帶庫（支持SAN光纖通道接口）作為二級存儲。關(guān)鍵的服務(wù)器通過安裝光纖卡連接到SAN環(huán)境中的光纖交

換機(jī)，通過光纖交換機(jī)與磁盤陣列交換數(shù)據(jù)。數(shù)字化辦公平臺存儲網(wǎng)絡(luò)由服務(wù)器、光纖交換機(jī)、磁盤陣列和虛擬磁帶庫（用于備份）組成。服務(wù)器、磁盤陣列和虛擬磁帶庫通過高速率的光纖通道卡與光纖交換機(jī)連接。多臺服務(wù)器通過光纖交換機(jī)共享磁盤陣列的空間。存儲系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)如下圖所示:圖1-3-5-1-2存儲、備份系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)圖存儲系統(tǒng)設(shè)備清單存儲系統(tǒng)設(shè)備清單如下所示:序號名稱數(shù)量1存儲服務(wù)器（含在服務(wù)器列表中）12光纖存儲交換機(jī)1序號名稱數(shù)量3磁盤陣列1表1-3-5-2存儲系統(tǒng)設(shè)備清單備份系統(tǒng)備份系統(tǒng)建設(shè)方案根據(jù)業(yè)務(wù)需求，應(yīng)對高新區(qū)數(shù)字化辦公平臺的核心業(yè)務(wù)系統(tǒng)進(jìn)行系統(tǒng)和數(shù)據(jù)的備份，以確保在一般災(zāi)難發(fā)生時，滿足應(yīng)用對數(shù)據(jù)可用性的要求。高新區(qū)數(shù)字化辦公平臺的核心應(yīng)用包括了從Oracle到MS-SQL,以及行政辦公、人事管理、科技信息管理等不同的應(yīng)用。因此，在本次設(shè)計中，為了充分保障數(shù)據(jù)的完整和備份成功，建議采用LANFree備份架構(gòu)，對所有需要進(jìn)行備份的數(shù)據(jù)庫、業(yè)務(wù)應(yīng)用實(shí)現(xiàn)完全的在線熱備份而無須服務(wù)停機(jī)。在這套備份系統(tǒng)中，采用集中統(tǒng)一的備份策略管理，通過連接到LAN中的網(wǎng)絡(luò)備份主服務(wù)器，對整個數(shù)據(jù)庫和應(yīng)用系統(tǒng)的備份工作進(jìn)行集中的管理、監(jiān)控。備份系統(tǒng)的具體組成如下：1、一臺服務(wù)器作為為網(wǎng)絡(luò)備份軟件的主備份服務(wù)器，連接到局域網(wǎng)。本機(jī)上的數(shù)據(jù)直接備份到磁帶庫中。同時，它負(fù)責(zé)整個備份系統(tǒng)的管理，包括備份策略的制訂、備份數(shù)據(jù)庫的保存。2、在LAN中的主數(shù)據(jù)庫服務(wù)器，作為備份客戶端，連接到存儲局域網(wǎng)中，并安裝相應(yīng)的數(shù)據(jù)庫Agent,在線備份數(shù)據(jù)庫，然后直接通過LAN將數(shù)據(jù)傳輸?shù)絺浞莘?wù)器上進(jìn)行備份。3、在中間件服務(wù)器、WEB/應(yīng)用服務(wù)器、應(yīng)用中間件服務(wù)器、移動/短信平臺服務(wù)器、工作流管理等服務(wù)器上安裝備份客戶端，在備份對象發(fā)生變化時，通過LAN將增量數(shù)據(jù)傳輸?shù)絺浞莘?wù)器上進(jìn)行備份。4、一臺大容量虛擬磁帶庫（VTL）,負(fù)責(zé)存儲備份后的數(shù)據(jù)。備份系統(tǒng)的組成結(jié)構(gòu)如下圖所示:圖1-3-6備份系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)圖LanFree是專門用于SAN環(huán)境下的備份架構(gòu)，可以使備份的數(shù)據(jù)直接通過SAN鏈路從備份客戶端傳輸?shù)絺浞菰O(shè)備（VTL虛擬帶庫,支持光纖）。此種方式下，需要光纖存儲和VTL通過光纖連接起來，備份數(shù)據(jù)通過SAN網(wǎng)絡(luò)直接從備份客戶端傳遞到存儲設(shè)備中，而控制信息經(jīng)過LAN網(wǎng)絡(luò)從備份客戶端傳遞到備份服務(wù)器端。這種備份架構(gòu)不會對業(yè)務(wù)網(wǎng)絡(luò)造成沖擊，通過光纖交換機(jī)可實(shí)現(xiàn)高速的數(shù)據(jù)傳輸。適合部署在高新區(qū)這種傳統(tǒng)的，對備份性能要求高，備份數(shù)據(jù)量大且備份窗口小的場景。備份系統(tǒng)設(shè)備清單備份系統(tǒng)設(shè)備清單如下所示:序號名稱數(shù)量1備份服務(wù)器（含在服務(wù)器列表中）12虛擬磁帶庫13備份軟件1表1-3-6-2備份系統(tǒng)設(shè)備清單安全系統(tǒng)安全系統(tǒng)設(shè)計模型根據(jù)多年參與信息化建設(shè)的經(jīng)驗，我們認(rèn)為數(shù)據(jù)中心安全解決方案要從機(jī)構(gòu)整體出發(fā)，作為安全基礎(chǔ)設(shè)施，服務(wù)于整體信息安全的需要。分析信息安全的發(fā)展趨勢，可以看到安全合規(guī)、安全管理、應(yīng)用與數(shù)據(jù)安全、云計算安全、無邊界的企業(yè)網(wǎng)絡(luò)安全、安全產(chǎn)品與服務(wù)資質(zhì)是信息安全關(guān)注的重點(diǎn)，如下圖所示：

會那成為企業(yè)信息安全建設(shè)的主要驅(qū)務(wù)為:?日漸完備的信息安全相關(guān)法律法規(guī)；度為嚴(yán)厲的行業(yè)監(jiān)管要求；性球化所帶來的不同國家、地區(qū)安全合規(guī)性的挑戰(zhàn)。更加關(guān)注應(yīng)用和數(shù)據(jù)安全：?2010年新發(fā)布安全弱點(diǎn)中 49%更加關(guān)注應(yīng)用和數(shù)據(jù)安全：?2010年新發(fā)布安全弱點(diǎn)中 49%來自WEB應(yīng)用，企業(yè)內(nèi)部自開發(fā)應(yīng)用的安全弱點(diǎn)因很少公開而難以納入統(tǒng)計；?黑客攻擊目標(biāo)更多的是獲取有價值的數(shù)據(jù)以牟取利益。云計算和虛擬化安全是新的熱點(diǎn)：?越來越多的企業(yè)正在或?qū)⒁诓捎迷朴嬎愕慕鉀Q方案?云計算和虛擬化的安全問題是企業(yè)應(yīng)用云計算方案的最主要障礙安全合規(guī)應(yīng)用與數(shù)據(jù) 安全管理云計算 網(wǎng)絡(luò)邊界市場準(zhǔn)入更加注重信息安全管理能力的發(fā)展：?信息安全"三分技術(shù)、七分管理"的觀念成為主流；?企業(yè)管理層更為重視安全管理體系的建立和長效運(yùn)行。傳統(tǒng)的企業(yè)網(wǎng)絡(luò)邊界變得更為模糊：?用戶使用更為多樣的移動客戶端訪問企業(yè)IT資源信息安全市場的準(zhǔn)入門檻提高：?企業(yè)對安全服務(wù)提供商的資質(zhì)要求；?對于安全產(chǎn)品和服務(wù)的資質(zhì)要求以及限制。圖1-3-7-1-1安全系統(tǒng)示意圖基于上述發(fā)展趨勢，結(jié)合業(yè)界和我們自身的最佳實(shí)踐，定義出如下圖所示的數(shù)據(jù)中心安全框架，作為設(shè)計安全解決方案的參考依據(jù)。電干安主甲白日審'”殲一用丁

電干安主甲白日審應(yīng)用安企WH制百住?出…I王羽七國后京在柢!！i

哲麻丹±f5± 阪餐2南1用護(hù) 應(yīng)用安企WH制百住?出…I王羽七國后京在柢!！i

哲麻丹±f5± 阪餐2南1用護(hù) 怔恒主機(jī)安全&J店有

受審加回云事威梅機(jī)

法護(hù)安室當(dāng)月W安在匕衽五肝山* 人慢0胤，F(xiàn)UTW J逑/*1克?卡守 明提事至P5P阿堵安全 ■盧十二?三y愛上加陽MW而耀管r；勤墀切宣和

宙稿皆埋分夜聲討用：I'，"L

V一"：in制與

正向管史雷￡信，與

事件看世精和用戶訪

目管理審什再全官設(shè)吸

音理能點(diǎn)宜世圖1-3-7-1-2安全框架圖本框架包含了安全服務(wù)、物理設(shè)施安全、網(wǎng)絡(luò)安全、應(yīng)用安全、主機(jī)安全、虛擬化安全、數(shù)據(jù)保護(hù)、用戶管理、安全管理九大安全子模塊。作為整體安全體系架構(gòu)的每一個安全子模塊是包含了各種系統(tǒng)、設(shè)備、工具等的全集，提供了技術(shù)層面的安全控制。安全系統(tǒng)建設(shè)方案根據(jù)上述設(shè)計模型，結(jié)合高新區(qū)數(shù)字化辦公平臺的安全需求，現(xiàn)對安全系統(tǒng)建設(shè)方案設(shè)計如下：?系統(tǒng)劃分和定級安全系統(tǒng)建設(shè)目標(biāo)是根據(jù)電子政務(wù)信息安全等級保護(hù)要求，針對可能遇到的各種安全威脅和風(fēng)險，采取行之有效的安全措施，形成技術(shù)先進(jìn)、功能全面的信息安全保障體系，保障信息系統(tǒng)業(yè)務(wù)服務(wù)的連續(xù)性、可靠性以及信息資源的保密性、完整性和可用性，確保數(shù)字化辦公平臺能夠安全、穩(wěn)定、可靠地運(yùn)行。數(shù)字化辦公平臺主要業(yè)務(wù)系統(tǒng)部署在高新區(qū)外網(wǎng)，根據(jù)系統(tǒng)承載業(yè)務(wù)的重要程度、信息內(nèi)容的重要程度、系統(tǒng)遭到攻擊破壞后造成的危害程度等安全需求以及安全成本等因素，按照《信息系統(tǒng)安全等級保護(hù)基本要求》，數(shù)字化辦公平臺安全等級設(shè)定為第三級。數(shù)字化辦公平臺將充分利用防火墻、入侵檢測、防拒絕服務(wù)攻擊、漏洞掃描、網(wǎng)絡(luò)防病毒、可信終端系統(tǒng)、網(wǎng)絡(luò)審計、數(shù)據(jù)審計等安全技術(shù)和設(shè)施，在數(shù)據(jù)中心劃分業(yè)務(wù)安全域，增加網(wǎng)絡(luò)防病毒和可信終端系統(tǒng)的用戶授權(quán)數(shù)量，根據(jù)需求對安全管理平臺進(jìn)行適當(dāng)?shù)亩ㄖ崎_發(fā)，滿足所設(shè)定的安全等級防護(hù)要求。?安全等級保護(hù)建設(shè)內(nèi)容依據(jù)電子政務(wù)系統(tǒng)的功能特性、安全價值以及面臨威脅的相似性，在系統(tǒng)定級的基礎(chǔ)上整個系統(tǒng)劃分為不同安全區(qū)域。從安全保護(hù)對象自身特點(diǎn)和安全保護(hù)功能需求的角度，安全域可以分為三種類型，即計算區(qū)域、區(qū)域邊界和通信網(wǎng)絡(luò)。計算區(qū)域一般是指實(shí)現(xiàn)完整業(yè)務(wù)功能的信息系統(tǒng)，包括：主機(jī)資產(chǎn)、平臺資產(chǎn)、應(yīng)用軟件資產(chǎn)和政務(wù)數(shù)據(jù)資產(chǎn)等。區(qū)域邊界是指兩個區(qū)域或兩組區(qū)域之間的隔離功能集合，包括邊界訪問控制，邊界入侵檢測和審計等。通信網(wǎng)絡(luò)是指由區(qū)域邊界之間的連接網(wǎng)絡(luò)，包括由路由器、交換機(jī)和防火墻等構(gòu)成的廣域網(wǎng)。定級系統(tǒng)的安全保護(hù)是對信息系統(tǒng)從安全計算區(qū)域、安全區(qū)域邊界和安全通信網(wǎng)絡(luò)三個方面進(jìn)行保護(hù)。按照安全等級保護(hù)技術(shù)要求，針對三級系統(tǒng)的保護(hù)對象重點(diǎn)要求實(shí)現(xiàn)以下安全保護(hù)功能：保護(hù)對象安全功能要求安全計算區(qū)域用戶身份鑒別自主訪問控制標(biāo)記與強(qiáng)制訪問控制系統(tǒng)安全審計用戶數(shù)據(jù)完整性保護(hù)用戶數(shù)據(jù)保密性保護(hù)客體安全重用

保護(hù)對象安全功能要求系統(tǒng)可執(zhí)行程序保護(hù)安全區(qū)域邊界區(qū)域邊界訪問控制區(qū)域邊界協(xié)議過濾區(qū)域邊界安全設(shè)計區(qū)域邊界完整性保護(hù)安全通信網(wǎng)絡(luò)網(wǎng)絡(luò)安全審計網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護(hù)網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護(hù)網(wǎng)絡(luò)可信接入表1-3-7-1等保三級安全保護(hù)功能要求安全系統(tǒng)設(shè)備清單安全系統(tǒng)設(shè)備清單如下所示:序號名稱數(shù)量1安全服務(wù)器（含在服務(wù)器列表中）12防火墻113VPN網(wǎng)關(guān)1表1-3-7-2安全系統(tǒng)設(shè)備清單軟件系統(tǒng)操作系統(tǒng)操作系統(tǒng)應(yīng)具備以下特性：系統(tǒng)擴(kuò)充性好、多用戶、多任務(wù)、界面友好，能夠提供一個高可用性、可管理性和安全、穩(wěn)定、容錯的服務(wù)平臺；系統(tǒng)應(yīng)高效運(yùn)行、安裝方便并提供圖形化操作界面；支持各種主流的國內(nèi)、國外硬件服務(wù)器產(chǎn)品，支持包括Intel及AMDx86/x86-64、IntelItanium2以及IBMPOWER硬件架構(gòu)；軟件兼容性方面：支持主流的數(shù)據(jù)庫（Oracle、DB2、Sybase^及中間件產(chǎn)品（Weblogic、Websphere以及東方通、金蝶、中創(chuàng)），提供對主流數(shù)據(jù)庫輔助安裝工具支持，方便實(shí)現(xiàn)對數(shù)據(jù)庫的安裝與優(yōu)化；提供對主流網(wǎng)絡(luò)應(yīng)用服務(wù)的良好支持，包括DNS、WEB、SSH防火墻等；中文化方面：應(yīng)采用I18N國際化技術(shù)，支持GB18030中文標(biāo)準(zhǔn)字符集；系統(tǒng)管理：要求提供集中化的服務(wù)器管理套件，可實(shí)現(xiàn)對服務(wù)器系統(tǒng)的統(tǒng)一管理；提供對整個已安裝操作系統(tǒng)及數(shù)據(jù)分區(qū)的鏡像備份和恢復(fù)；系統(tǒng)安全：要求提供多種內(nèi)置安全策略和安全功能，實(shí)現(xiàn)對系統(tǒng)內(nèi)部數(shù)據(jù)的防竊取以及防止外部對系統(tǒng)攻擊。支持雙因子認(rèn)證體系；提供強(qiáng)制訪問控制、數(shù)據(jù)加密存儲、網(wǎng)絡(luò)應(yīng)用安全防護(hù)以及防病毒、防攻擊及文件完整性檢測等安全功能。數(shù)據(jù)庫針對本平臺數(shù)據(jù)庫的建設(shè)要求，選擇數(shù)據(jù)庫應(yīng)遵循以下原則：具有很高的穩(wěn)定性、可靠性和可伸縮性各業(yè)務(wù)系統(tǒng)最終是以數(shù)據(jù)庫為核心的應(yīng)用系統(tǒng)，數(shù)據(jù)庫必須具有很好的穩(wěn)定性、可靠性和可伸縮性。數(shù)據(jù)庫不僅應(yīng)適用于各種硬件平臺，而且在大數(shù)據(jù)量條件下，能保持?jǐn)?shù)據(jù)處理的高效性和數(shù)據(jù)的可靠性、一致性。為此，采用成熟的技術(shù)，來保證系統(tǒng)的高可靠性、可用性和可維護(hù)性；采用開放體系結(jié)構(gòu)，使系統(tǒng)易于擴(kuò)充；為使系統(tǒng)能24小時不間斷運(yùn)行?；陂_放式的體系結(jié)構(gòu)為保障業(yè)務(wù)系統(tǒng)的發(fā)展。其體系結(jié)構(gòu)是一個多平臺、開放式系統(tǒng)，能夠支持多種硬件平臺和操作系統(tǒng)，支持多種網(wǎng)絡(luò)通信協(xié)議，能方便地同其他異種數(shù)據(jù)交換所需要的信息。硬件平臺升級后，軟件能方便地移植到新的硬件平臺上。漢字字符集應(yīng)支持國家標(biāo)準(zhǔn)GB2312碼和大字符集GKB等，支持BIG-5碼和Unicode代碼。統(tǒng)一的、易操作的數(shù)據(jù)庫管理平臺數(shù)據(jù)庫管理系統(tǒng)應(yīng)是基于圖形界面的管理平臺，易于管理和維護(hù)，方便系統(tǒng)的安裝、升級和版本控制。將大部分的數(shù)據(jù)庫日常維護(hù)工作，如數(shù)據(jù)備份、恢復(fù)、故障檢測等工作，交由系統(tǒng)自動完成，減少人為操作成本和不安全性。具有可靠的數(shù)據(jù)庫安全性控制機(jī)制數(shù)據(jù)庫具備很好的用戶安全控制手段，保證數(shù)據(jù)庫訪問權(quán)限的有效控制，防止未授權(quán)實(shí)體訪問任何數(shù)據(jù)。保證數(shù)據(jù)庫中數(shù)據(jù)的完整性和一致性，防止多個授權(quán)用戶同時訪問相同數(shù)據(jù)時產(chǎn)生沖突。系統(tǒng)同時具備容錯性，以便使設(shè)備出現(xiàn)故障時也不會影響系統(tǒng)運(yùn)行。一旦出現(xiàn)災(zāi)難，系統(tǒng)具備完善的災(zāi)難恢復(fù)能力。支持超大數(shù)據(jù)量的存儲與管理數(shù)據(jù)庫應(yīng)具備TB或PB級數(shù)據(jù)的存儲能力，并且當(dāng)數(shù)據(jù)量增加時，系統(tǒng)性能不下降或下降量在一個合理范圍內(nèi)。作為資料檢索系統(tǒng)，在具有超大規(guī)模數(shù)據(jù)量的情況下，必須有很好的檢索響應(yīng)時間。應(yīng)用服務(wù)器中間件應(yīng)用服務(wù)器中間件應(yīng)具備以下特性：支持Linux、UNIX、Windows等平臺的最新發(fā)行版本；支持多種數(shù)據(jù)庫，如Oracle、MSSQLServer、DB2、Informix、Sybase等，并對數(shù)據(jù)庫的訪問效率提供優(yōu)化；支持HTTP、XML、LDAP、WebServices等多種開放性標(biāo)準(zhǔn)；提供HTTPServer,且支持與主流的HTTPServer,如：ApacheHTTPServer、MicroSoftIIS等進(jìn)行整合；符合J2EE5.0規(guī)范，并且在主流開放平臺上通過J2EE5.0以上認(rèn)證；內(nèi)置JMS服務(wù)，且支持與主流的消息中間件產(chǎn)品進(jìn)行集成，JMS消息支持XA事務(wù)（兩階段提交）；自身提供httpserver功能，作為負(fù)載均衡器；支持異構(gòu)集群技術(shù)，當(dāng)硬件平臺或操作系統(tǒng)不是同一產(chǎn)品時，應(yīng)用服務(wù)器能建立異構(gòu)集群；支持熱部署、遠(yuǎn)程部署等多種部署方式。1.3.9其他設(shè)備高速掃描儀為方便系統(tǒng)文員方便快捷的收取外單位來文，建議配