信息安全集成系統方案【精編版】成都綜合保稅區西區信息安全集成系統方案XX科技有限公司2010.12TOC\o"1-5"\h\zlx項目背景3\o"CurrentDocument"2、需求分析4????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????\o"CurrentDocument"3.1設計依據及設計原貝IJ5\o"CurrentDocument"3.2信息安全技術設計83.3信息安全管理設計14\o"CurrentDocument"34產品選型16項目背景2010年10月18H,國務院設立成都高新綜合保稅區。根據國務院批復，成都高新綜合保稅區規劃面積4.68平方公里，位于成都高新區西部園區。新設立的成都高新綜合保稅區是對現有四川成都出口加工區、成都保稅物流中心（B型）和成都出口加工區南區（803區）進行整合擴展而成的。四川成都出口加工區2000年4月經國務院批準設立，是中國首批出口加工區之一，2009年進出口總額64.2億美元，2010年1—7月進出口總額50.75億美元，增長43%,綜合排名全國第5、中西部第1,是全國發展最好的出口加工區之一；成都保稅物流中心（B型）于2009年3月通過驗收，7月正式封關運行，目前發展情況良好。整合擴展后的成都高新綜合保稅區集保稅出口、保稅物流、口岸功能于一身.是目前國內功能最全、政策最優的海關特殊監管區域，有利于海關監管運行，更有利于企業的進一步發展。為了將成都綜合保稅區建設成為中國中西部一流的保稅區和口岸平臺，提高出口加工區現代化的監管水平，利用現代監控技術、網絡與通信技術、計算機處理技術和自動控制技術，構建一個先進、實用、可靠的保稅區海關聯網監管系統。信息技術的發展，為海關管理創新提供了手段，實現信息化將使海關管理水平產生質的飛躍。經過多年的建設，海關已形成了涉密辦公網、辦公管理網、業務運行網、對外接入網等功能齊全的復雜辦公環境，在業務協同、辦公管理、對外服務等方面發揮了越來越重要的作用。建設統一的技術支撐平臺，建立科學的信息管理體系，關鍵的一環就是信息部門必須對其信息技術設備和服務進行全面的、整體的網絡運行監控和安全管理。這其中,既涉及到網絡管理,也有安全管理。技術支撐層，充分利用技術手段，建立高效、協同的信息安全管理平臺，將網絡監控與安全監控有機地結合在一起，注重能夠及時定位故障。技術支撐體系應該包括三個層次：展示層、運維管理層、集中監控層。1）展示層。提供面向信息安全層面和信息安全管理決策層面的展示視角.在信息安全管理界面上實現集中運維的統一管理功能和信息展示與交互功能。2）流程及業務信息安全管理層。在集中信息安全管理模式下實現流程執行和管理控制功能、業務安全管理功能。3）集中控制層。通過監控工具實現對不同服務對象和IT資源的實時監控,包括主機、數據庫、中間件、存儲備份、網絡、安全、機房、業務應用和客戶端等技術支持管理子系統進行綜合處理和集中管理。2、需求分析2.ir域網網絡鏈接2.1.1海關業務線路為保證綜保區海關業務正常開展，按海關部署相關規定，要求綜保區到成都海關中心機房廣域網線路“雙線熱備”方案。“雙線熱備”方案已在成都海關中心機房至出口加工西區、機場海關等四個重要業務現場實施部署。其具體需求是海關業務運行網和業務管理網在網絡正常時各走一條鏈路，當其中一條鏈路出理故障時互為備份’故障排除后自動切換回原有鏈路，無需人工干預。線路上分別選擇電信和網通的一條鏈路，更好地保障備份的可靠。系統建設配置包括廣域網路由設備.不同的運營網分別租用4M以上的寬帶線路。2.1.2電子口岸專線為滿足電子口岸錄入的需要，要求建設電子口岸電子專網。電子口岸專網也采用“雙線熱備”方案.原則上由部署數據中心負責審批。2.2綜合布線2.2.1分類綜合布線系統包括管理網G（六類系統）、業務網Y（超五類系統）、互聯網W（超五類系統）語音網T（水平超五類系統）、備用網絡B（超五類系統）共計5個系統（可根據監管要求及功能設置作相應調整）。各網絡物理隔離、獨立組網，新設機構可根據實際情況選擇網絡系統的建設。樓層弱電井設置不同功能的配線間。主干數據采用4芯多模室內光纜、語音采用25芯5類大對數電纜及超5類屏蔽電纜。2.2網線布線系統管理網：水平布線采用六類非屏蔽網線，垂直干線采用4芯多模光纖；運行網、互聯網、備用網絡：水平布線采用超五類非屏蔽網線，垂直干線采用4芯多模光纖；機房：水平布線采用六類非屏蔽網線及超五類屏蔽網線。2.3機柜的配置在樓層弱電井設有不同功能的獨立配線間。各樓層布線系統統一匯聚到機配線間：管理網、業務網可共用一個機柜，互聯網、電話、備用網共用一個機柜；機房：管理網、業務網可共用一個機柜，互聯網、備用網共用一個機柜，電話共用一個機柜。2.2.4綜合布線標識說明由于網絡的種類比較多，在前面板用顏色加編號的方式對點位的功能進行分區。使用時從面板標識的顏色可確定點位所屬的網絡或電話。綜合布線標識面板、水平線纜、配線架用相機的編號，垂直主干用另一種編號。具體編號說明參見海關相應文件。機房的網絡布線系統設計，除應符合本規范的規定外，還應符合現行國家標準《綜合布線系統工程設計規范》GB50311的有關規定。2.5園區網建設園區內應建設園區網，以實現區內所有企業與管委會之間信息的互通和管理.同時考慮相應的安全管理建設，包括防病毒管理、客戶端準入等。園區網為封閉局域網，但保留對外互聯網出口。園區網建設方案應提交海關技術處審批，海關技術處可對園區網的建設進行協助和指導。2.3機房建設機房建設要求為海關設立獨立機房.桐廬工程包括桐廬地面裝修、電氣部分的配電柜、防雷工程、消防報警、機房空調、ups、機房監控、綜合布線系統等。機房面積：按二類機房的相關要求，面積在90^130平方米之間；機房走線與裝修：按上走線方式進行綜合布線，吊頂應可拆卸，或留有出入口，以方便管道和設備的安裝維護。纜線采用線槽或橋架敷設時，線槽或橋架的高度不宜大于150mm,橋架宜采用網格式橋架。地面工程：地面應平整，必須進行防塵處理，采用防塵涂料時，至少粉刷2遍以上。防雷工程：防雷部分的電源防雷器選用進口產品。機房空調：能夠滿足機房使用條件的專用獨立溫濕度調節空調。機房綜合布線：機房的綜合布線系統選用進口6類非屏蔽系統，配線架全部選用6類24口快跳式配線架’光纖部分采用24口光纖配線盤連接。各樓層匯聚機房配線架’配線架型號選擇參見綜合布線各網絡設計要求。UPS:配置10KVAUPS設備2臺，電池能夠滿足10KVA設備支持30分鐘。消防報警：根據具體情況自行設計。機房監控：根據具體情況自行設計。3、系統設計3.1設計依據及設計原則3.1.1.設計依據《計算機信息系統安全保護等級劃分準則》(GB17859-1999)《信息系統安全等級保護基本要求》(GB/T22239-2008)o《信息系統安全保護等級定級指南》(GB/T22240-2008)《信息系統安全等級保護實施指南》(信安字［2007110號)《信息系統通用安全技術要求》(GB/T20271-2006)《信息系統等級保護安全設計技術要求》(信安秘字［20091059號)《信息系統安全管理要求》(GB/T20269-2006)《信息系統安全工程管理要求》(GB/T20282-2006)《信息系統物理安全技術要求》(GB/T21052-2007)《網絡基礎安全技術要求》(GB/T20270-2006)《信息系統安全等級保護體系框架》(GA/T708-2007)《信息系統安全等級保護基本模型》(GA/T709-2007)《信息系統安全等級保護基本配置》(GA/T710-2007)《信息系統安全等級保護測評要求》(報批稿)《信息系統安全等級保護測評過程指南》(報批稿)《信息系統安全管理測評》(GA/T713-2007)《操作系統安全技術要求》(GB/T20272-2006)《操作系統安全評估準則》(GB/T20008-2005)《數據庫管理系統安全技術要求》(GB/T20273-2006)《數據庫管理系統安全評估準則》(GB/T20009-2005)《網絡端設備隔離部件技術要求》(GB/T20279-2006)《網絡端設備隔離部件測試評價方法》(GB/T20277-2006)《網絡脆弱性掃描產品技術要求》(GB/T20278-2006)《網絡脆弱性掃描產品測試評價方法》(GB/T20280-2006)《網絡交換機安全技術要求》(GA/T684-2007)《虛擬專用網安全技術要求》(GA/T686-2007)《網關安全技術要求》(GA/T681-2007)《服務器安全技術要求》(GB/T21028-2007)《入侵檢測系統技術要求和檢測方法》(GB/T20275-2006)《計算機網絡入侵分級要求》(GA/T700-2007)《防火墻安全技術要求》(GA/T683-2007)《防火墻技術測評方法》(報批稿)《信息系統安全等級保護防火墻安全配置指南》(報批稿)《防火墻技術要求和測評方法》(GB/T20281-2006)《包過濾防火墻評估準則》(GB/T20010-2005)《路由器安全技術要求》(GB/T18018-2007)《路由器安全評估準則》(GB/T20011-2005)《路由器安全測評要求》(GA/T682-2007)《網絡交換機安全技術要求》(GB/T21050-2007)《交換機安全測評要求》(GA/T685-2007)《終端計算機系統安全等級技術要求》(GA/T671-2006)《終端計算機系統測評方法》(GA/T671-2006)《虛擬專網安全技術要求》(GA/T686-2007)《應用軟件系統安全等級保護通用技術指南》(GA/T711-2007)《應用軟件系統安全等級保護通用測試指南》(GA/T712-2007)《網絡和終端設備隔離部件測試評價方法》(GB/T20277-2006)《網絡脆弱性掃描產品測評方法》(GB/T20280-2006)《信息安全風險評估規范》(GB/T20984-2007)《信息安全事件管理指南》(GB/Z20985-2007)《信息安全事件分類分級指南》(GB/Z20986-2007)《信息系統災難恢復規范》(GB/T20988-2007)3.1.2、設計原則在技術方案設計中，遵循以下的系統總體設計原則：1、統一規劃、分布實施遵循統一規劃、分布實施的原則，在信息中心軟硬件支持平臺擴容規劃和建設中，首要的工作就是明確近期和長期的建設目標，立足于應用，分布實施。2、開放性、互連性和標準化采用國際、國家標準、協議和接口，能與現有的和未來的系統互連與集成。3、先進性在保證系統的整體性和實用性的前提下，考慮系統的先進性，所采用的技術和設備應能保證在目前同行業中是先進的，能夠滿足成都海關信息中心軟硬件支持平臺擴容未來5年以上的需求發展。4、成熟性技術方案中所采用的系統體系結構和技術必須是已經過實踐檢驗，證明是成熟的。5、可靠性、穩定性和容錯性通過選擇成熟的技術、冗余的設計、可靠性產品保證整個系統具有高度的可靠性、穩定性和容錯性。6、安全性建立完善的網絡安全體系，保證海關信息中心網絡設備的安全運行。7、高性能網絡系統、服務器系統和安全系統的設計和產品選擇都要考慮到高性能要求。8、升級性和可擴展性系統設計要充分考慮到擴容和升級的需要.能靈活方便地適應未來系統可能的變化。選擇開放性標準的產品，確保設備的兼容性；通過系統結構的合理設計和適度資源冗余，為未來的系統擴充打下基礎，保證需求增加時系統的平滑擴充,保證前期的投資。9、高可管理性整個系統的設計要層次清晰、功能明確，便于性能分析、故障診斷.能實現對系統資源的全面監控和優化配置，對訪問的有效監控和審計，保證整個系統具有高度的可管理性。3.2信息安全技術設計2.1機房設計2.1.1機房位置的選擇機房設置在綜合保稅區A區2樓，按照國家機房標準設置，具有防震、防風和防雨等能力。機房訪問控制a）機房出入口應安排專人值守，控制、鑒別和記錄進入的人員；b）需進入機房的來訪人員應經過申請和審批流程，并限制和監控其活動范圍。2.1.3防盜竊和防破壞a）應將主要設備放置在機房內；b）應將設備或主要部件進行固定，并設置明顯的不易除去的標記；c）應將通信線纜鋪設在隱蔽處，可鋪設在地下或管道中；d）應對介質分類標識，存儲在介質庫或檔案室中；e）主機房安裝必要的防盜報警設施。防雷擊a）機房建筑設置了電源防雷器、數據防雷器和視頻信息防雷器等避雷裝置；b）機房設置交流電源地線。2.1.5防火機房應設置滅火設備和火災自動報警系統。防水和防潮a）水管安裝，不得穿過機房屋頂和活動地板下；b）釆取措施防止雨水通過機房窗戶、屋頂和墻壁滲透；c）釆取措施防止機房內水蒸氣結露和地下積水的轉移與滲透。2.1.7防靜電整個機房釆用防靜電地板設計。溫濕度控制機房設置溫、濕度自動調節設施，使機房溫、濕度的變化在設備運行所允許的范圍之內。電力供應a）應在機房供電線路上配置穩壓器和過電壓防護設備；b）應提供了30KVA的UPS,用于短期的備用電力供應，至少滿足關鍵設備在斷電情況下的正常運行要求。0電磁防護電源線和通信線纜應隔離鋪設，避免互相干擾。2.2網絡設計網絡結構設計

采用MSTP的組網方式，A、B、C三區釆用MSTP光纖電路（RJ45接口），通過中國電信MSTP網絡，實現了A、B、C三個區的互聯通訊、三個區的網絡熱備以及A區通過互聯網接入與成都海關總部互訪，組成數據通信傳輸通信專網。其網絡結網絡中設備、電路均安全可靠，關鍵設備、電路均有冗余備份，并釆用先進的容錯技術和故障處理技術，保證數據傳輸的安全可靠，保證網絡可用性達到使用要求。這樣設計，得以實現系統網絡安全：?保證關鍵網絡設備的業務處理能力具備冗余空間，滿足業務高峰期需要；?保證接入網絡和核心網絡的帶寬滿足業務高峰期需要；?根據各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網或網段，并按照方便管理和控制的原則為各子網、網段分配地址段。訪問控制?在網絡邊界部署訪問控制設備，啟用訪問控制功能；?根據會話狀態信息為數據流提供明確的允許/拒絕訪問的能力，控制粒度為網段級。?按用戶和系統之間的允許訪問規則，決定允許或拒絕用戶對受控系統進行資源訪問，控制粒度為單個用戶；?限制具有撥號訪問權限的用戶數量。安全審計?對網絡系統中的網絡設備運行狀況、網絡流量、用戶行為等進行日志記錄；?審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息。邊界完整性檢查能夠對內部網絡中出現的內部用戶未通過準許私自聯到外部網絡的行為進行檢查。入侵檢測在網絡邊界處監視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區溢出攻擊、IP碎片攻擊和網絡蠕蟲攻擊等。系統設置一臺IDS檢測引擎，用于對計算機和網絡資源的惡意使用行為進行識別和相應處理。其結構如下圖所示:檢測引擎是一個高性能的專用硬件，運行安全的操作系統，對網絡中的所有數據包進行記錄和分析。根據規則判斷是否有異常事件發生，并及時報警和響應。同時記錄網絡中發生的所有事件，以便事后重放和分析。管理主機運行于Windows操作系統的圖形化管理軟件。可以查看分析一個或多個檢測引擎，進行策略配置，系統管理。顯示攻擊事件的詳細信息和解決對策。恢復和重放網絡中發生的事件。提供工具分析網絡運行狀況。并可產生圖文并茂的報表輸出。網絡設備防護?對登錄網絡設備的用戶進行身份鑒別；?對網絡設備的管理員登錄地址進行限制；?網絡設備用戶的標識應唯一；?身份鑒別信息應具有不易被冒用的特點，口令應有復雜度要求并定期更換；?具有登錄失敗處理功能，可采取結束會話、限制非法登錄次數和當網絡登錄連接超時自動退出等措施；?當對網絡設備進行遠程管理時，應采取必要措施防止鑒別信息在網絡傳輸過程中被竊聽。3.2.3主機安全身份鑒別?應對登錄操作系統和數據庫系統的用戶進行身份標識和鑒別；?操作系統和數據庫系統管理用戶身份標識應具有不易被冒用的特點，口令應有復雜度要求并定期更換；應啟用登錄失敗處理功能，可采取結束會話、限制非法登錄次數和自動退出等措施；?當對服務器進行遠程管理時，應釆取必要措施，防止鑒別信息在網絡傳輸過程中被竊聽；應為操作系統和數據庫系統的不同用戶分配不同的用戶名，確保用戶名具有唯一性。訪問控制?應啟用訪問控制功能，依據安全策略控制用戶對資源的訪問；?應實現操作系統和數據庫系統特權用戶的權限分離；應限制默認帳戶的訪問權限，重命名系統默認帳戶，修改這些帳戶的默認口令；?應及時刪除多余的、過期的帳戶，避免共享帳戶的存在。安全審計?審計范圍應覆蓋到服務器上的每個操作系統用戶和數據庫用戶；?審計內容應包括重要用戶行為、系統資源的異常使用和重要系統命令的使用等系統內重要的安全相關事件；?審計記錄應包括事件的日期、時間、類型、主體標識、客體標識和結果等；?應保護審計記錄，避免受到未預期的刪除、修改或覆蓋等。入侵防范操作系統應遵循最小安裝的原則，僅安裝需要的組件和應用程序，并通過設置升級服務器等方式保持系統補丁及時得到更新。惡意代碼防范?應安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意代碼庫；?應支持防惡意代碼軟件的統一管理。資源控制?應通過設定終端接入方式、網絡地址范圍等條件限制終端登錄；?應根據安全策略設置登錄終端的操作超時鎖定；?應限制單個用戶對系統資源的最大或最小使用限度。2.4應用安全身份鑒別?應提供專用的登錄控制模塊對登錄用戶進行身份標識和鑒別；?應提供用戶身份標識唯一和鑒別信息復雜度檢查功能，保證應用系統中不存在重復用戶身份標識，身份鑒別信息不易被冒用；應提供登錄失敗處理功能，可采取結束會話、限制非法登錄次數和自動退出等措施；應啟用身份鑒別、用戶身份標識唯一性檢查、用戶身份鑒別信息復雜度檢查以及登錄失敗處理功能，并根據安全策略配置相關參數。訪問控制?應提供訪問控制功能，依據安全策略控制用戶對文件、數據庫表等客體的訪問；?訪問控制的覆蓋范圍應包括與資源訪問相關的主體、客體及它們之間的操作；?應由授權主體配置訪問控制策略，并嚴格限制默認帳戶的訪問權限；?應授予不同帳戶為完成各自承擔任務所需的最小權限，并在它們之間形成相互制約的關系。安全審計?應提供覆蓋到每個用戶的安全審計功能，對應用系統重要安全事件進行審計；應保證無法刪除、修改或覆蓋審計記錄；?審計記錄的內容至少應包括事件日期、時間、發起者信息、類型、描述和結果等。通信完整性應采用校驗碼技術保證通信過程中數據的完整性。通信保密性?在通信雙方建立連接之前，應用系統應利用密碼技術進行會話初始化驗證；?應對通信過程中的敏感信息字段進行加密。軟件容錯?應提供數據有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的數據格式或長度符合系統設定要求；?在故障發生時，應用系統應能夠繼續提供一部分功能，確保能夠實施必要的措施。資源控制?當應用系統的通信雙方中的一方在一段時間內未作任何響應，另一方應能夠自動結束會話；?應能夠對應用系統的最大并發會話連接數進行限制；?應能夠對單個帳戶的多重并發會話進行限制。3.2.5數據安全及備份恢復數據完整性應能夠檢測到鑒別信息和重要業務數據在傳輸過程中完整性受到破壞。系統提供完整的日志功能，對所有的業務數據，進行日志記錄，以備后查。數據保密性應采用加密或其他保護措施實現鑒別信息的存儲保密性。系統使用IC卡存儲業務數據時，釆用了DES加密算法，對關鍵數據進行加密。備份和恢復a）釆用了Rose公司提供的、基于共亨磁盤陣列的高可用RoseHA解決方案，為用戶提供了具有單點故障容錯能力的系統平臺。b）釆用MSTP的組網方式，A、B、C三區采用MSTP光纖電路（RJ45接口），通過中國電信MSTP網絡，實現了A、B、C三個區的互聯通訊、三個區的網絡熱備以及A區通過互聯網接入與成都海關總部互訪，組成數據通信傳輸通信專網。c）制定詳細的數據庫備份與災難恢復策略，并通過模擬故障對每種可能的情況進行嚴格測試，保證了數據的高可用性。3.2.6綜合布線系統概述綜合布線系統范圍主要包括聯檢大樓、閘口及閘口辦公區、查驗平臺及查驗倉庫及實驗樓等。本綜合布線系統涉及海關、檢驗檢疫和用戶三方的綜合布線系統。綜合布線系統設計為保證系統先進性、開放性和擴展性，實現語音、多媒體、數據等應用的承載能力，綜合布線系統采用六類結構化布線系統，采用星型拓撲結構，主干網絡采用千兆以太網絡，實現百兆接入、千兆上行的物理鏈路。綜合布線系統由工作區，水平區，垂直區，設備管理及樓群子系統組成，各部分均采用標準的模塊化構件，以利于將來的升級、擴展。?工作區子系統工作區子系統由設在各工作區的信息插座、跳線（連接信息插座至終端設備之間的線纜）構成。信息插座采用雙孔面板及相配合的六類信息模塊。?水平干線子系統水平子系統由各大樓內樓層配線間至各個工作區之間的電纜和多模水平光纜構成。水平干線子系統采用六類阻燃雙絞線電纜。本系統采用六類雙絞線，用于所有的數據點和語音點，實現信息點可完全互換。?垂直主干子系統垂直主干子系統采用單模光纜，提供全雙工傳輸通道，具有極大的傳輸帶寬和極高的傳輸質量。?管理子系統管理子系統由各層分設的樓層配線系統及主機房中的主配線系統（設備間子系統）構成，負責樓層內及信息通道的統一管理。主要由跳線面板、跳線管理器、跳線、光纜端接面板、機柜（或機架）等組成。管理子系統將電話模塊、電腦模塊和網絡模塊安裝在機柜中，對線纜進行統一布局和管理。系統采用19”標準機柜，高42U,頂部安裝有2-4個風扇’背后安裝電源線槽.正面安裝玻璃門，后背板和側板均可拆卸。機柜內所有的信息點符合規定的編號規則和顏色規則，以方便用戶的使用。?主配線間（BD）為實現高可靠性，本系統將主配線架全部安裝在機柜內。?樓層配線間（FD）在各樓層配線架中，與水平雙絞線連接的用戶區采用六類配線架，每個信息點完全靈活用于語音或數據。各配線間設置光纖配線架,用來連接多芯光纜，安裝在19”標準機柜內，用于各種計算機網絡設備。通過更換跳線實現與其他網絡設備的連接。海關綜合布線系統海關網絡按照海關總署“五網”獨立要求，分別設置管理網、運行網、電子口岸專網、互聯網和語音網。海關網絡覆蓋范圍包括：閘口及閘口辦公區、查驗平臺及查驗倉庫及聯檢大樓海關辦公場地等。海關網絡采用三層結構設計，由核心層、匯聚層、接入層組成。核心層設置在海關信息中心機房，匯聚層設置在海關信息中心機房、查驗平臺機房，接入層設置在卡口。海關網絡應與成都海關的網絡無縫地實現互聯互通。在海關網絡核心層選擇2臺高性能交換機作為系統主交換機。主交換機與系統服務器連接采用1000M連接。3.3產品選型3.3.1選型原則在本方案的技術選擇和設備選型首先是基于對本項目的理解和分析，并特別考慮到滿足未來5到10年的業務發展要求做出的，并遵循以下原則得出的：?實用性采用成熟、穩定的技術，滿足業務的實際要求；?先進性根據當前業務要求，考慮今后5到10年的業務發展需要，在設計上留有余量;?可靠性采用目前國際上商用SAN交換機最先進且成熟可靠的軟硬件技術；選用可靠性高的產品與技術，充分考慮到在系統出現異常時的應變與容錯能力，從而確保整個系統的高可靠性。

?擴展性在系統結構、產品系列和處理性能等各方面具有良好的擴充，升級能力,完全能滿足未來5到10年的業務發展要求;3.3.2產品配置清單序號名稱規則型號單位數量1數據服務器1?名稱:數據服務器臺22.技術參數:HPDL580G7E75202P16GBSvr（配掙146G雙端口熱插拔硬盤，3年保修現場金牌服務）2應用服務器1.名稱:應用服務器臺12.技術參數：HPDL388G7E5506EntryCNSvr（配內置光驅，2*146G雙端口熱插拔硬盤，19〃液晶顯示器‘3年保修現場金牌服務）3操作系統（服務器）Windowsserver2003coem企業版1?名稱:操作系統（服務器）套32.規格型號：Windowsserver2003coem企業版4數據庫軟件SQLServer2008工作組版1?名稱:數據庫軟件套22.規格型號：SQLServer2008工作組版5網絡交換機LS-5120-28P-SI-H31?名稱：網絡交換機臺132?技術參數:LS-5120-28P-SI-H3,配光模塊6網絡交換機LS-5500-28C-EI1?名稱：網絡交換機臺202.技術參數:LS-5500-28C-EI,配光模塊、堆疊模塊、堆疊線7網絡交換機LS-5500-28F-EI-AC1?名稱：網絡交換機臺72?技術參數:LS-5500-28F-EI-AC,配8個光模塊8操作系統（客戶機）WindowsXPPCOEM1?名稱:操作系統（客戶機）套12.規格型號：WindowsXPPCOEM9磁盤陣列1.名稱：磁盤陣列臺12.規格型號：MSA2300SAG2,含磁盤柜，支持12榕，配6x300GSAS熱拔插硬盤10雙機熱備份軟件1?名稱:雙機熱備份軟件套12.規格型號：ROSEFORWINDOWS8.5版本11電源防雷器1.名稱:電源防雷器個122.型號:ZFDF-2203.參數:標稱通流容量：M20KA最大通流量：M50KA殘壓：<200V響應時間：<25ns

12接地銅心線BVR-25mm21?引下線材質、規格、技術要求（引下形式）：B￥R-25mm2銅芯線，均壓環引至聯合接地體m96.82.部位：主龍骨接地線、配電柜接地線13接地銅心線BVR-50mm21?引下線材質、規格、技術要求（引下形式）：B￥R-50mm2銅芯線，均壓環引至聯合接地體m37.82.部位：主龍骨接地線、配電柜接地線14抗靜電地板接地跨線1.名稱：抗靜電地板接地跨線BVR6處10815等電位接地銅排1.均壓環材質、規格、技術要求：30*3銅排，地板下安裝，做等電位均壓環米9016防雷器B級ZGG120-3851?名稱、型號：防雷器B級ZGG120-385組12.電壓等級:400V17防雷器C級ZGG80-3851?名稱、型號：防雷器c級ZGG80-385組42.電壓等級:400V18防雷器D級ZGG40-3851?名稱、型號：防雷器c級ZGG40-385組12.電壓等級:400V19輸入輸出模塊1?名稱：輸入輸出模塊JF-M02個12.輸出形式：單輸岀20接線端子箱1.名稱：接線端子箱臺12.型號：JPH90121感煙探測器1?名稱:感煙探測器JTY-GD/JF-D11□82.其它：符合設計及規范要求22感溫探測器1?名稱:感溫探測器JTW-BCD/JF-D12□82.其它：符合設計及規范要求23手動報警按扭1?名稱:手動報警按扭J-SAP-M./JF-D13□32.其它：符合設計及規范要求24聲光報警裝置1?名稱:聲光報警裝置JBU-VM1372B臺32.其它：符合設計及規范要求25報警控制器1?名稱:報警控制器JB-QBZ-JF998X臺12.其它：符合設計及規范要求26控制器電源1?名稱:控制器電源24V/10A臺12.其它：符合設計及規范要求27氣體滅火器1.名稱:氣體滅火器套42.規格型號：2*4KG含箱體C0228自動報警系統裝置調試1?名稱：自動報警系統裝置調試系統12.點數：W128點29電源配電柜1.名稱：電源配電柜臺12.規格型號：1路市電入、1路UPS入、5路市電出、10路UPS出，含三相電源防雷30配電柜1.名稱：配電柜臺2

2.規格型號：1路市電入、1路UPS入、5路市電出、15路UPS出，含三相電源防雷31柜式空調5P1.名稱：柜式空調臺32.規格型號:5P32UPS電源30KVA1.名稱：UPS電源臺22.規格類型：30KVA,1小時，輸入為三相，輸出為三相，含松下電池、電池柜、空開、銅芯電線，9355-30-N-033UPS電源柜15KVA1.名稱：UPS電源柜臺12.類型:EDX15KXL31（15KVA.1小時輸入為三相、輸出為單相、含電池及電池柜）34防火墻深信服NGAF臺13?3?3產品參數3.3.3?1數據庫服務器HPProLiantDL580G7基本參數產品類型：企業級產品類別：機架式產品結構：4U處理器CPU類型：Intel至強7500CPU型號:XeonE7520CPU頻率:1.866GHz智能加誄豐頻:1.866GHz標配CPU數量：4顆最大CPU數量：4顆制程工藝：45nm三級緩存：18MB總線規格：QPI4.8GT/SCPU核心:四核CPU線程數：八線程主板擴展槽：11個內存內存類型:DDR3內存容量:16GB內存插槽數量：64最大內存容量：2TB存儲硬盤接口類型：SAS

標配硬盤容量：900GB最大硬盤容量：4TB硬盤描述：3塊300GBSAS硬盤內部硬盤架數：最大支持8塊SAS/SATA/SSD硬盤熱插拔盤位：支持熱插拔RAID模式：1個智能陣列P410i/512MBFBWC光驅：薄型SATADVDROM網絡網絡控制器：IGbENC375i四端口網卡管理及其他系統管理:HPInsightControl套件24x7支持帶iLO高級軟件包的InsightControl(iL03)電源性能電源數量:4個電源功率：1200W全新的HPProLiantDL580G7服務器適用于大部分應用，是數據密集且需要向上擴展的工作負載的理想平臺。HPProLiant服務器發揮最佳應用程序運行時間和性能為客戶帶來更多的效益包括：AvAvHPProLiantDL580G7服務器利用HPProLiantDL580G7服務器可擴展的4核性能和類似IntelMachineCheckArchitecture(MCA)復原的耐用安全功能，增進系統可靠性。

與前一代8插槽服務器相比，HPProLiantDL580G7為數據密集型應用程序帶來3倍于以前的數據庫性能。因為采用Intel7500系列處理器，該服務器允許向上擴展更多的客戶端。HPProLiantx86服務器帶來的卓越性能包括：適用于HPProLiantDL系列G7服務器的HPIntelligentPowerDiscovery,在服務器和第三方設施管理之間建立自動化的能源感知網絡，排除過度配置能源容量的問題。uu*I通過HPInsightControl提供的IntegratedLights-OutAdvanced(iLO3),加速遠程服務器管理任務作業。iLO3遠程控制面板的執行速度比之前版本快8倍，提高管理員的管理效率。HPInsightControl配備動態用電控制技術后，可以正確監督和控制每臺服務器所使用的能源，加強使用數據中心、重新收回過度配置的能源，并增加數據中心3倍的容量。特別為HPProLiant而擴展的HPMissionCriticalServices,將宕機時間降至最短?并通過增強的應用程序可用性，降低客戶必需不斷支付的運營成本。應用服務器ProLiantDL388G7基本參數產品類別：機架式產品結構：2U處理器CPU類型:Intel至強5600CPU型號：XeonE5649CPU頻率：2.53GHz智能加誄豐頻:2.93GHz標配CPU數量：1顆最大CPU數量：2顆制程工藝：32nm三級緩存：12MB總線規格：QPI5.86GT/SCPU核心：六核CPU線程數：12線程主板擴展槽：6內存內存類型:DDR3內存容量：2GB內存描述:PC3-10600RRDIMMDDR3或PC3-10600EUDIMMDDR3內存插槽數量：18最大內存容量：192GB

存儲硬盤接口類型：SATA/SAS標配硬盤容量：標配不提供最大硬盤容量：8TB內部硬盤架數：最大支持8塊SFFSATA/SAS硬盤熱插拔盤位：支持熱插拔RAID模式：P410i控制器網絡網絡控制器：兩個NC382i雙端口千兆網卡管理及其他系統管理:iLO3電源性能電源功率：460W外觀特征產品尺寸：85.9x6607x445.4mm產品重量：最大27.2kg適用環境工作溫度：10CO-35C。工作濕度：10-90%儲存溫度：-30C°-60C°儲存濕度：5%-95%惠普ProLiantDL388G7(616659-AA1)機架式服務器一款品質高、價位合理的高信價比2U機架式服務器。這款服務器設置有非常出色的內部設計，以Intel至強5600系列處理器作為核心保障，配合大容量的內存和硬盤存儲?增加機身的可靠性，更有效的助推企業騰飛的進程。惠普ProLiantDL388G7(616659-AA1)圖片惠普ProLiantDL388G7(616659-AA1)機架式服務器配置Intel至強5600系列XeonE5620型號處理器。這款四核八線程的處理核心采用32nm制程工藝，頻率為2.4GHz,通過智能加速主頻，使處理器的頻率提升到2.666GHz,配合12MB的三級緩存，增加了機體應對高強度工作的可靠性。惠普ProLiantDL388G7(616659-AA1)機架式服務器內置有2GB的DDR3類型內存，智能陣列P410i/零緩存，充分保障了機體運行的流暢與數據交換的可靠。惠普ProLiantDL388G7(616659-AA1)機架式服務器配置有2個NC3821雙端口千兆網卡，并配合iLO3管理程序，增加機體整體可控程度。惠普ProLiantDL388G7(616659-AA1)機架式服務器的主板上最大設計有6個擴展槽，并配置有18個內存插槽和多個硬盤插槽，使最大內存容量可以達到192GB.最大硬盤容量可達8TB,充分保障運轉的流暢程度。惠普ProLiantDL388G7(616659-AA1)機架式服務器是一款性價比非常高的2U產品。這款機架式服務器采用Intel至強5600系列XeonE5620型號處理核心，配合2個NC3821雙端口千兆網卡和讓03管理程序，充分保障了機體的可靠性和可控性，更加便于使用者操作。磁盤陣列HPMSA2300產品型號序列號描述數量MSA2300雙控制器預配置AJ797AHPMSA2324fc雙控制器磁盤陣列：雙控制器.每個控制器1GB緩存；每個控制器有2個4GbFibreChannel端口；支持RAID0,1,3,5,6,10,50；最大支持64個主機；帶24顆2.5寸硬盤插槽；冗余電源1AJ795AHPMSA2312fc雙控制器磁盤陣列：每個控制器1GB緩存;每個控制器有2個4GbFibreChannel端口；支持RAID0,1,3,5,6,10,50,最大支持64個主機；帶12顆3.5寸硬盤插槽；冗余電源1

AJ805AHPMSA2312sa雙控制器磁盤陣列：冗余控制器，帶1GB緩存;每個控制器有4個3GbSAS接口；支持RAID0,1,3,5,6,10,50；直連最大支持8個主機，通過SASBLSwitch最大支持到64個主機；帶12顆硬盤插槽；冗余電源1AJ807AHPStorageWorks2324sa雙控制器磁盤陣列：冗余控制器，帶1GB緩存,每個控制器有4個3GbSAS接口；支持RAID0,1,3,5,6,10,50；直連最大支持8個主機，通過SASBLSwitch最大支持到61個主機；帶24顆2.5寸硬盤插槽；冗余電源1AJ80OAHPMSA2312iLFF雙控制器磁盤陣列：冗余控制器，每個控制器1GB緩存;每個控制器有2個1GbiSCSI端口；支持RAID0,1,3,5,6,10,50；最大支持32個主機；帶12顆硬盤插槽；冗余電源1AJ956AHPMSA2300fcSANStarterHAUpgradeKit包括額外一個單獨控制器，1X8端口8GbSANSwitch,2X8GbHBAs,SFP和線纜，可以給AJ954A或AJ955A升級1磁盤籠及可添加控制器

選一個LFF或SFF磁盤籠.選擇一個或兩個FC/SA/iSCSI控制器磁盤籠AJ949AHPMSA2324SFF2.5“磁盤存儲機箱2個陣列控制器槽位，帶24顆2.5寸硬盤插槽，冗余電源1AJ948AHPMSA2312LFF3.5”磁盤存儲機箱2個陣列控制器槽位，帶12顆3.5寸硬盤插槽，冗余電源1DC磁盤籠AJ950AHPMSA20123.5“直流電源存儲機箱1AJ951AHPMSA20242.5”直流電源存儲機箱1控制器AJ798AHP2300fc磁盤存儲控制器，1GB緩存;每個控制器有2個4GbFibreChannel端口；最大支持64個主機1AJ808AHP2300saG2ModularSmartArrayController帶1GB緩存;每個控制器有4個3GbSAS接口；支持RAID0,1,3,5,6,10,50；直連最大支持8個主機，通過SASBLSwitch最大支持到64個主機1AJ803AHPMSA2300iModularSmartArrayController1GB緩存；每個控制器有2個1GbiSCSI端口，最大支持32個主機；1隨著信息化時代的到來，信息的數量化讓我們應對起來手忙腳亂，人們迫切的需要大容量的存儲設備來存放這些信息，其中磁盤陣列就是這個家族中很重要的一員，它利用數組方式來作磁盤組，配合數據分散排列的設計，提升數據的安全性。惠普StorageWorksMSA2300FC(AJ798A)惠普StorageWorksMSA2300FC(AJ798A)磁盤陣列采用2U機架結構，陣列容量為16TB。內置三種硬盤接口，分別為SAS、SATAII和SCSI,可滿足曰常需要。RAID的采用為存儲系統(或者服務器的內置存儲)帶來巨大利益，其中提高傳輸速率和提供容錯功能是最大的優點。另一方面由于同時使用多個磁盤，提高了傳輸速率。惠普StorageWorksMSA2300FC(AJ798A)磁盤陣列支持的RAID形式為0,1,3,5,6,10,50。惠普StorageWorksMSA2300FC(AJ798A)磁盤陣列支持MicrosoftWindowsServer2008IA32,x64,IA64(Standard,Enterprise,Datacenter),MicrosoftWindows2003and2003R2IA32,x64,IA64和RedHatLinux(32/64)等多種操作系統。惠普StorageWorksMSA2300FC(AJ798A)磁盤陣列具有很高的穩定性，它平均無故障時間可以達到1500000小時。骨干網交換機S5120-28P-SIH3CS5120-SI系列以太網交換機是H3C技術有限公司自主開發的全千兆二層以太網交換機，廣泛應用于企業網和園區網的接入層。提供靈活的全千兆以太網端口的接入密度、豐富的業務特性、統一的集群配置，為用戶提供高性能、低成本、可網管的千兆到桌面的解決方案。H3CS5120-SI系列以太網交換機目前包含如下型號:??S5120-20P-SI:16個10/100/1000Base-T以太網端口，4個1000Base-XSFP千兆以太網端口；S5120-28P-SI:24個10/100/1000Base-T以太網端口，4個1000Base-XSFP千兆以太網端口；S5120-52P-SI:48個10/100/1000Base-T以太網端口，4個1000Base-XSFP千兆以太網端口。S5120-20P-SIS5120-28P-SIS512O-52P-SIS5120-20P-SIS5120-28P-SIS512O-52P-SI?靈活的千兆接入和集群管理H3CS5120-SI系列全千兆以太網交換機提供靈活的16/24/48個10/100/1000M自適應電口接入；并且支持非復用的SFP插槽.充分考慮用戶的帶寬升級的實際情況，既可以支持千兆光模塊，也可以支持百兆光模塊，保護用戶投資。H3CS5120-SI系列硬件支持最大104Gbps交換容量.保證所有端口二層線速交換。H3CS5120-SI系列交換機采用專利技術允許交換機利用專用互聯電纜實現多達16臺設備的堆疊，支持不同端口設備的混合堆疊。具有即插即用、單一IP管理。同時大大降低系統擴展的成本，保護了用戶投資。?全面的接入安全策略H3CS5120-SI系列交換機支持特有的ARP入侵檢測功能.可有效防止黑客或攻擊者通過ARP報文實施網絡中逐漸盛行的“中間人”攻擊，對不符合DHCPSnooping動態綁定表或手工配置的靜態綁定表的非法ARP欺騙報文直接丟棄。同時支持IPSourceCheck特性，防止包括MAC欺騙、IP欺騙、MAC/IP欺騙在內的非法地址仿冒?以及大量地址仿冒帶來的DoS攻擊。另外，利用DHCPSnooping的信任端口特性還可以有效杜絕私設DHCP服務器，保證DHCP環境的真實性和一致性。H3CS5120-SI系列交換機支持端口安全特性族可以有效防范基于MAC地址的攻擊。可以實現基于MAC地址允許/限制流量，或者設定每個端口允許的MAC地址的最大數量.使得某個特定端口上的MAC地址可以由管理員靜態配置，或者由交換機動態學習。H3CS5120-SI系列交換機提供802.IX和集中MAC認證方式對接入的用戶進行認證，允許合法用戶通過，對于非法用戶則拒絕其上網。同時還支持客戶端軟件版本檢測、GuestVLAN等功能，和CAMS服務器配合還可以實現代理檢測、雙網卡檢測等功能。通過這些功能的應用可以對用戶的合法性進行充分的檢查和控制，最大程度的減少非法用戶對網絡安全的危害。?增強的網絡管理和維護的易用性H3CS5120-SI系列交換機支持通過FTP.TFTP實現設備的遠程升級，支持SWvl/v2/v3,可支持OpenView等通用網管平臺，以及iMC智能管理中心。支持CLI命令行，Web網管.TELNET,HGMP集群管理，使設備管理更方便。并且支持SSH2.0等加密方式，使得管理更加安全。H3CS5120-SI系列交換機支持VCT（VirtualCableTest）電纜檢測功能,便于快速定位網絡故障點。支持特性S5120-28P-SI外形尺寸（長X寬X高）（單位:mm）440x160x43.6重量<3kg管理端口1個Console口業務端口描述24個10/100/1000Base-T以太網端口，4個1000Base-XSFP千兆以太網端口交換容量（全雙工）56Gbps包轉發率（整機）42Mpps

端口聚合支持LACP鏈路聚合端口支持IEEE802.3X流控（全雙工）支持基于端口速率百分比的風暴抑制支持基于端口速率百分比、pps和bps的風暴抑制VLAN支持基于端口的VLAN（4K個）DHCP支持DHCPClient支持DHCPSnooping支持DHCPSnoopingOption82組播支持IGMPSnoopingvl/v2/v3支持組播VLAN生成樹支持STP/RSTP/MSTP協議ACL支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP端口號、協議類型、V3N等ACL支持基于時間段的ACL支持基于全局、V3N、端口（組）下發ACLQoS支持IEEE802.1p/DSCP優先級支持優先級映射支持端口信任模式每端口支持4個隊列支持端口隊列調度（SP/WRR/SP+WRR）鏡像支持端口鏡像安全特性支持用戶分級管理和口令保護支持Radius認證支持SSH2.0支持802.1X,集中式MAC地址認證支持GuestVLAN支持端口隔離支持端口安全支持MAC地址學習數目限制支持IP源地址保護支持ARP入侵檢測功能支持IP+MAC+端口的綁定

管理與維護支持XModem/FTP/TFTP加載升級支持命令行接口(CLI),Telnet,Console口進行配置支持SNMP,WEB網管支持RMON(RemoteMonitoring)支持iMC智能管理中心支持系統日志，分級告警，調試信息輸出支持HGMPV2支持Modem遠端撥號支持NTP支持Ping,Tracert支持Telnet遠程維護支持VCT(VirtualCableTest)電纜檢測功能支持Loopback-detection端口環回檢測輸入電壓額定電壓范圍:100V-240VAC.；50/60HZ最大電圧范圍：90V-264VAC.；47/63Hz功耗(滿負荷時)31.5W工作環境溫度0C°-45C°工作環境相對濕度10H~90%(非凝露)核心網交換機LS-5500-28C-EIH3CS5500-EI系列交換機是H3C公司最新開發的增強型IPv6強三層萬兆以太網交換機產品，具備業界盒式交換機最先進的硬件處理能力和最豐富的業務特性。支持最多4個萬兆擴展接口；支持IPv4/IPv6硬件雙棧及線速轉發，使客戶能夠從容應對即將帶來的IPv6時代；除此以外，其出色的安全性，可靠性和多業務支持能力使其成為大型企業網絡和園區網的匯聚，中小企業網核心、以及城域網邊緣設備的第一選擇。隨著用戶端速度不斷提高.用戶最終會使集群千兆鏈路達到飽和，而能夠擁有多條集群10GE鏈路將是我們的未來發展方向。H3CS5500-EI系列交換機支持兩個擴展槽位，每個槽位支持單端口或雙端口的10GE擴展模塊，在實現千兆匯聚或接入時保留進一步支持10GE的擴展能力，盡力保護用戶投資。IPv4到IPv6的演變是以太網發展的大勢所趨，網絡設備對于IPv6的支持不僅是簡單的可用就行，而是需要達到商用的標準，S5500-EI已經通過了國際最權威的IPv6Ready第二階段認證，而且通過了信息產業部嚴格的IPv6入網測試。這個系列產品是基于硬件的IPv4/IPv6雙棧平臺，支持豐富的IPv4和IPv6三層路由協議、組播協議和策略路由機制，實現IPv4到IPv6的平滑升級。?完備的安全控制策略H3CS5500-EI系列交換機支持EAD（端點準入防御）功能，配合后臺系統可以將終端防病毒、補丁修復等終端安全措施與網絡接入控制、訪問權限控制等網絡安全措施整合為一個聯動的安全體系，通過對網絡接入終端的檢查、隔離、修復、管理和監控，使整個網絡變被動防御為主動防御、變單點防御為全面防御、變分散管理為集中策略管理，提升了網絡對病毒、蠕蟲等新興安全威脅的整體防御能力。H3CS5500-EI交換機支持集中式MAC地址認證、802.lx認證、PORTAL認證,支持用戶帳號、IP、MAC、VLAN、端口等用戶標識元素的動態或靜態綁定，同時實現用戶策略（VLAN、QoS、ACL）的動態下發；支持配合H3C公司的CAMS系統對在線用戶進行實時的管理，及時的診斷和瓦解網絡非法行為。H3CS5500-EI系列交換機提供增強的ACL控制邏輯，支持超大容量的入端口和出端口ACL,并且支持基于VLAN的ACL下發，在簡化用戶配置過程的同時,避免了ACL資源的浪費。另外，S5500-EI系列還將支持單播反向路徑查找技術（uRPF）,原理是當設備的一個接口上收到一個數據包時，會反向查找路徑來驗證是否存在從該接收接口到包中制定的源地址之間的路由，即驗證了其真實性，如果不存在就將數據包刪除，這樣我們就可以有效杜絕網絡中日益泛濫的源地址欺騙。?多重可靠性保護S5500-EI系列交換機還具備設備級和鏈路級的多重可靠性保護。所有機型都支持內置的雙冗余電源，其中S5500-28F-EI支持可插拔的冗余電源模塊，也就是說我們可以根據實際環境的需要靈活配置交流或直流電源模塊’此外整機還支持電源和風扇的故障檢測及告警，可以根據溫度的變化自動調節風扇的轉速.這些設計使我們這款盒式交換機具備了機柜式交換機的高可靠性。除了設備級可靠性以外，還支持豐富的鏈路可靠性以外，還支持豐富的鏈路可靠性技術。當網絡上承載多業務、大流量的時候也不影響網絡的收斂時間，保證業務的正常開展。?多業務支持能力支持PoE(PoweroverEthernet)技術，通過以太網對所連接的設備(如IPPhone,WirelessAP等)進行遠程供電，從而使得不必在使用現場為設備部署單獨的電源系統，能夠極大地減少部署終端設備的布線和管理成本。支持VoiceVLAN技術，交換機通過識別端口的語音流，將對應的接入端口加入VoiceVLAN(專用語音VLAN)中，為語音流量提供專門通道，并自動下發優先級規則保證語音流的優先傳輸來保證通話質量。同時通過設置VoiceVLAN安全特性，只允許語音流量通過，可以有效防止突發數據流量對VoiceVLAN內的語音流量的沖擊。H3CS5500-EI系列交換機支持MCE功能，可以有效解決多VPN網絡帶來的用戶數據安全與網絡成本之間的矛盾，它使用CE設備本身的VLAN接口編號與網絡內的VPN進行綁定，并為每個VPN創建和維護獨立的路由轉發表(Multi-VRF)。這樣不但能夠隔離私網內不同VPN的報文轉發路徑，而且通過與PE間的配合，也能夠將每個VPN的路由正確發布至對端PE,保證VPN報文在公網內的傳輸。?豐富的QoS策略H3CS5500-EI系列交換機支持支持L2(Layer2)二4(Layer4)包過濾功能，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP端口號、協議類型、VLAN的流分類。提供靈活的對列調度算法，可以同時基于端口和隊列進行設置，支持SP(StrictPriority)sWRR(WeightedRoundRobin）、SP+WRR三種模式。支持CAR（CommittedAccessRate）功能,粒度最小達64Kbps。支持出、入兩個方向的端口鏡像.用于對指定端口上的報文進行監控，將端口上的數據包復制到監控端口，以進行網絡檢測和故障排除。?出色的管理性H3CS5500-EI系列交換機支持SNMPvl/v2/v3（SimpleNetworkManagementProtocol）,可支持OpenView等通用網管平臺以及iMC智能管理中心。支持CLI命令行,Web網管，TELNET,HGMP.使設備管理更方便，并且支持SSH2.0等加密方式，使得管理更加安全H3CS5500-EI系列交換機支持基于MAC地址劃分VLAN,很好的解決了移動辦公的智能靈活管理；結合特有的基于全局和VLAN下發ACL策略，在簡化用戶配置的同時，也大幅節約了硬件資源。該系列交換機還支持sFlow功能，可以對出入方向的報文按比例隨機抽樣，靈活實現報文采集。支持特性S5500-28C-EI交換容量（全雙工）192Gbps包轉發率（整機）95.2Mpps外形尺寸（長X寬X高）（單位:mm）440x300x43.6重畐4kg管理端口1個Console口業務端口描述24個10/100/1000Base-T以太網端口4個復用的1000Base-X千兆SFP端口雙機熱備份軟件ROSEFORWINDOWS8.5版本RoseHA雙機系統的兩臺服務器（主機）都與磁盤陣列（共享存儲）系統直接連接，用戶的操作系統、應用軟件和RoseHA高可用軟件分別安裝在兩臺主機上,數據庫等共享數據存放在存儲系統上,兩臺主機之間通過私用心跳網絡連接。配置好的系統主機開始工作后，RoseHA軟件開始監控系統，通過私用網絡傳遞的心跳信息，每臺主機上的RoseHA軟件都可監控另一臺主機的狀態。當工作主機發生故障時，心跳信息就會產生變化，這種變化可以通過私用網絡被RoseHA軟件捕捉。當捕捉到這種變化后RoseHA就會控制系統進行主機切換.即備份機啟動和工作主機一樣的應用程序接管工作主機的工作（包括提供TCP/IP網絡服務、存儲系統的存取等服務）并進行報警，提示管理人員對故障主機進行維修。當維修完畢后，可以根據RoseHA的設定自動或手動再切換回來，也可以不切換，此時維修好的主機就作為備份機，雙機系統繼續工作。RoseHA實現容錯功能的關鍵在于，對客戶端來說主機是透明的，當系統發生錯誤而進行切換時，即主機的切換在客戶端看來沒有變化，所有基于主機的應用都仍然正常運行。RoseHA采用了虛擬IP地址映射技術來實現此功能。客戶端通過虛擬地址和工作主機通訊，無論系統是否發生切換，虛擬地址始終指向工作主機。在進行網絡服務時，RoseHA提供一個邏輯的虛擬地址，任何一個客戶端需要請求服務時只需要使用這個虛擬地址。正常運行時，虛擬地址及網絡服務由主服務器提供。當主服務器出現故障時，RoseHA會將虛擬地址轉移到另外一臺服務器的網卡上，繼續提供網絡服務。切換完成后，在客戶端看來系統并沒有出現故障，網絡服務仍然可以使用。除IP地址外，HA還可以提供虛擬的計算機別名供客戶端訪問。對于數據庫服務，當有主服務器出現故障時，另外一臺服務器就會自動接管，同時啟動數據庫和應用程序，使用戶數據庫可以正常操作。RoseHA雙機系統的兩臺服務器（主機）都與磁盤陣列（共享存儲）系統直接連接，用戶的操作系統、應用軟件和RoseHA高可用軟件分別安裝在兩臺主機的內部存儲（硬盤）上，數據庫等共享數據存放在存儲系統上，兩臺主機之間通過私用心跳網絡連接。系統主機開始工作后,

RoseHA軟件開始監控系統，通過私用網絡傳遞的心跳信息.每臺主機上的RoseHA軟件隨時監控另一臺主機的狀態。當工作主機發生故障時，心跳信息就會產生變化，這種變化可以通過私用網絡傳遞到備份機的RoseHA軟件。之后，RoseHA就會控制系統進行服務切換，備份機啟動和工作主機一樣的應用程序，接管工作主機的工作（包括提供TCP/IP網絡服務、文件共享、數據庫等服務），并進行報警提示管理人員對故障主機進行維護。當維護完畢后，RoseHA可以自動或手動地將切換回原先的工作主機。也可以選擇不切換，此時維修好的主機就作為備份機，雙機系統繼續工作。下面是雙機高可用系統的架構圖：網絡用戶終端應用網絡主服務器備服務器網絡用戶終端應用網絡主服務器備服務器解決方案優點:?對服務器硬件配置要求不高，可以根據應用情況采用不同型號或配置。?系統切換時間短，最大程度減少業務中斷的影響。?切換過程對應用程序無影響，無需重新啟動或登錄，做到無人值守。?系統效率高.系統中數據讀寫、管理及容錯由磁盤陣列來完成。而系統服務器故障監控切換處理由HA軟件來完成。雙機監控依靠RS232線路或專用100/1000M自適應網卡線路，既不占用主機CPU資源也不占用基礎業務網絡帶寬，是RoseHA的特色功能，在實際的應用中得到用戶的一致好評。?支持豐富的應用配置，如：Oracle、SQLServer.Sybase.Exchange等。?硬件可采用機架式結構，便于維護管理。RoseHA主要功能特點?友好的界面RoseHA提供了友好直觀的圖形安裝界面和監控管理界面。通過直觀而又方便的JavaApplet管理界面，用戶可以交互式地對集群系統進行配置、監控和管理，并可以利用Applet的網絡特性，通過網絡對系統進行遠程管理，實時地顯示出主機系統及服務的狀態靈活的Active-Active模式和Active-Standby模式RoseHA支持Active-Active模式和Active-Standby模式。用戶可指定每臺服務器的作用(activeorstandby),指定要監控的服務和硬件部分，定義指定的服務發生故障后要采取的進一步行動(如是否重新啟動該服務、允許的最大啟動時間等)。?支持多條心跳路徑可以將網線和RS-232串口線作為在RoseHA軟件的心跳路徑。配置多條心跳路徑可以避免系統的單點故障。?自動切換當系統出現故障時（如：系統宕機、HA進程/應用進程被殺掉、RS-232.SCSI、光纖、網絡線纜斷開），RoseHA將確定故障原因，并采取相應對策，并將這些應用切換到備份服務器上。而故障服務器中未受影響的應用不會被切換，既不會受任何影響。不需要系統管理員干預。?自動檢測在集群系統的每一臺服務器內，RoseHA具有兩個核心進程，它們互相監控,如果其中一個進程失敗，另一個進程會立即進行恢復。?服務器可靠性在主服務器出現故障（如掉電或宕機）時，另外一臺服務器接管故障服務器上運行的所有的關鍵性應用。?網絡可靠性如果服務器的網絡部分發生故障.會導致客戶不能連接和訪問到服務器.這同樣是致命的故障。如果該服務器配備了冗余的網絡接口，RoseHA會使用它來恢復網絡連接。在沒有配備冗余的網絡接口，或者所有的網絡接口均出現故障時,HA會將該應用切換到另外一臺服務器上。切換完成后，客戶在短暫的切換過程后能夠繼續訪問所需的服務。?存儲可靠性需要將應用的全部數據存儲在兩臺服務器都能訪問到的共享磁盤中。建議使用磁盤陣列來存儲數據，這樣可以避免單點固障，而且便于對系統的容量進行擴充。對由VolumeManager軟件管理的磁盤陣列，RoseHA提供了相應的處理程序，以保證磁盤陣列及數據的可靠性。?應用可靠性在高可用性系統中可以運行多個應用。每一個應用是作為一個服務而存在的。在服務器中，當某個服務失敗而其它服務正常運行時，RoseHA將處理這個失敗的服務。在將這個服務切換到另一臺服務器上時，該服務器上運行的服務也不會受到影響。對于與網絡不相關的純數據應用.只需要切換數據存儲和數據處理軟件。而在與網絡相關的客戶機/服務器應用.除了要切換數據存儲和數據處理軟件外，還需要切換相關的虛擬IPo如果希望兩個服務獨立地進行切換，則此兩個IP地址不能相同。如果使用了相同的IP地址在發生切換時，RoseHA會將所有使用該IP的服務都切換到另外一臺服務器上去。?豐富的附加功能提供不同的針對特定應用的Agent程序，使服務監控更切實際，更加有效；提供用于開發Agent程序的應用程序界面(API)，使用者可針對特定的服務編寫Agent程序，執行與特定服務相關的狀態診斷及錯誤恢復工作的。SQLServer2008R2?概述MicrosoftSQLServer2008提供了有助于有效管理安全性功能配置、強身份驗證和訪問控制的安全性增強功能、功能強大的加密和密鑰管理功能，以及增強型審核功能。重大的新功能?使用基于策略的管理，針對企業內的數據來管理及檢測不符合安全策略的情況?不需修改應用程序即可使用透明數據加密來加密數據?使用可擴展密鑰管理和硬件安全性模塊’利用整個企業的加密解決方案?使用SQLServerAudit實現高性能的細微審核?維護企業中數據的安全使用預設為安全且在部署中為安全的數據庫解決方案來保護數據的安全。丄?使用自動化基于策略的管理來設定接口區使用基于策略的管理.針對企業內的服務器、數據庫和數據庫對象來確認符合配置策略。使用新的接口區Facet控制使用中的服務和功能.以降低暴露在安全性威脅下的機會。2.自動應用軟件更新使用WindowsUpdate自動更新SQLServer2008o減少已知軟件弱點所造成的威脅。?控制對數據資源的訪問有效管理驗證和授權以及只提供訪問權給需要的用戶，藉此來取得數據的控制權。丄?強制實行密碼策略自動應用MicrosoftWindowsServer2003(°!t更新版本)的密碼策略，以強制實行最小密碼長度、適當的字符組合以及定期變更的密碼，即便使用SQLServer登入也是。2.使用角色和Proxy賬戶使用msdb數據庫的固定數據庫角色，增加對于代理程序服務的控制權使用多個Proxy帳戶，讓當做作業步驟的SQLServerIntegrationServices(SSIS)封裝執行更安全3?提供安全性增強型元數據訪問使用目錄視圖來提供對于元數據的安全性增強訪問，好讓用戶只針對他們具有訪問權的對象來查看元數據4?使用執行內容來增強安全性功能使用執行內容標示模塊，以便使用特定的用戶身分(而不是調用的用戶身分)來執行模塊內的語句授與調用的用戶執行模塊的權限，但是針對模塊內的語句使用執行內容的權限5?簡化權限管理使用架構來簡化及改良大型數據庫的彈性。給某個架構授與權限，以便將權限授與給此架構內所包含的每一個對象，以及未來在此架構內置立的每一個對象。?加密敏感數據通過內置密碼編譯功能及對于企業密鑰管理解決方案的支持來保護敏感數據。丄?充分利用內置密碼編譯層次結構在SQLServer2008中使用內置密碼編譯層次結構來創建非對稱密鑰、對稱密鑰和憑證以透明方式加密數據通過安全性增強型數據庫加密密鑰(DEK),以透明方式在數據庫層次結構執行所有加密，讓開發需要加密數據的應用程序復雜度降低。讓應用程序開發人員訪問加密的數據，而不需要變更現有的應用程序。3.利用可擴展密鑰管理使用企業密鑰管理系統來聚合企業加密。使用硬件安全性模塊，將密鑰存放在不同的硬件上，好讓您的數據與密鑰分開。使用專門系統來簡化密鑰管理。簽署程序代碼模塊使用密鑰或憑證，將數字簽名添加到程序代碼模塊(如存儲結構和函數)，然后在程序代碼模塊執行期間，將其他權限與此簽章產生關?審核數據庫活動為了可說明性和符合性來審核數據庫系統中的活動。丄?使用SQLServerAudit進行增強型審核定義審核，自動將活動記錄在記錄文件、Windows應用程序記錄文件或Windows安全日志中。創建審核規格來判斷要并入審核的服務器和數據庫動作,以獲取審核的完全控制權。2?使用DDL觸發程序創建自定義審核解決方案使用觸發程序捕獲及審核數據定義語言(DDL)活動。擴充觸發程序來響應DDL事件和數據操作語言(DML)事件，并記錄DDL事件，以改善審核及增強安全性。WindowsServer2003R2?WindowsServer2003R2安全性概述微軟公司在MicrosoftWindows2003Server安全性技術方面做出的創新給客戶帶來了全新的體驗，不但可幫助客戶建立立即可用的安全連接基礎架構，更能幫助客戶建立、部署和管理其它的安全解決方案。微軟公司進行了許多工程設計上的改變，調整多項影響安全的系統默認值設定，并提供多項可以增強Windows平臺安全性的新功能和新技術。Windows2003Server以安全為理念重新設計了許多組件，而這些組件也建構出以安全為主要目標的創新。Windows2003Server由基于全新的安全設計原則的組件構成：InternetInformationServices(IIS)6.0。經過重新設計，允許應用程序或Webservices的工作程序以較低權限的使用者賬戶來執行，借由限制網絡存取的方法降低潛在的攻擊，并修改了HS5.0服務器證書不能刪除的Bug。CommonLanguageRuntime(CLR)o本軟件引擎是Windows2003Server的關鍵部分，它提高了可靠性并有助于保證計算環境的安全，降低了錯誤數量，并減少了由常見的編程錯誤引起的安全漏洞。公共語言運行庫還驗證應用程序是否能無錯誤運行，并檢查適當的安全性權限，以確保代碼只執行適當的操作。Windows2003Server為客戶提供一個立即可用的安全基礎，幫助企業建立一個不容易遭受攻擊的網絡環境。產品在安裝起來之時就處于安全鎖定的狀態，其中有二十多項服務預設為不安裝或以較低的權限執行，以便幫助IT管理員在最安全的組態下執行其服務器。它在默認設置中將安全放到了最優先考慮的位置.追加了用于強化Windows平臺安全性的新功能和新技術：IIS6.0在Windows2003Server中的默認值為關閉。InternetExplorer在W'indows2003Server中，安全設定的默認值為“高”安全性。密碼安全性已經過強化，所以使用者無法使用任何沒有密碼的賬戶進行遠程登入。這樣可降低網絡因不良密碼而遭受遠程攻擊的可能性。在安裝Windows2003過程中，計算機管理員賬號密碼的設置應符合強密碼要求。Windows2003Server包含許多全新或強化過的安全功能.客戶在部署可靠的WindowsServer平臺時有充分的選擇及彈性。藉由更容易維護及管理的安全功能，這些新技術能幫助客戶達到商務方面的需求’卻又不需犧牲安全性。企業現在可以在安全無誤的狀況下對使用者及其它合作伙伴、供貨商或客戶延伸其企業網絡的存取。其中幾個使Windows2003Server在部署時更安全的新功能有：PKI經過了重大的改良。現在可以在以IPSEC為基礎的VPN及網絡通訊、使用802.lx的無線網絡驗證、智能卡登入、加密的檔案系統與其它服務等方面,以簡單的認證基礎架構為客戶提供安全功能。支持證書自動登記和自動更新；支持Windows安裝包數字簽名；改進的證書注銷列表。Windows2003Server的證書服務器現在支持deltaCRL；支持高強度密鑰。ProtectedExtensibleAuthenticationProtocol(受保護的延伸驗證協議，PEAP)提供以密碼為基礎驗證程序的加密功能，可用以增強無線通訊的安全性。PEAP是一種有彈性的安全選擇，適合于需要無線網絡的方便性，卻又沒有能力全面布署或管理PKI基礎架構的客戶。授權管理員在應用程序中提供以角色為基礎的授權，讓系統管理員能更快速、容易地管理終端使用者對WebServices的存取。WindowsServ