环境管理_电力有限公司环境监控报警联动系统建设方案

环境监控报警联动系统建设方案V1.0内蒙古东部电力有限公司环境监控报警联动系统建设方案 版本号：V1.0 编写人： 审核人： 批准人： 日 期： 年 月 日目 录1. 引言11.1 项目名称11.2 项目背景11.3 系统建设目标11.4 系统设计原则21.5 专业术语定义32. 系统整体设计52.1 拓扑结构图52.2 子系统信息采集结构图52.3 系统整体架构62.4 系统物理架构102.5 软硬件配置建议113. 系统功能设计123.1 系统维护123.1.1 操作员管理123.1.2 用户信息管理133.1.3 权限管理133.2 环境系统监控143.2.1 空调信息监控143.2.2 温度、湿度监控143.2.3 漏水监控153.3 安保系统监控153.3.1 视频监控153.3.2 门禁控制163.3.3 烟感报警163.3.4 门磁报警173.4 动力系统监控173.4.1 UPS电压、电流监控173.4.2 蓄电池运行状态监控183.4.3 机柜电压、电流监控193.5 智能辅助203.5.1 智能报警203.5.2 智能查询214. 系统安全设计234.1 网络应用安全情况分析234.1.1 信息安全隐患244.1.2 安全风险分析244.2 系统安全需求244.3 安全技术体系框架254.4 网络层次安全解决方案274.5 数据库系统安全设计304.5.1 系统容错、纠错处理304.5.2 数据备份与恢复策略314.6 应用系统安全设计324.6.1 用户空间的规划和管理324.6.2 资源空间的规划和管理334.6.3 授权策略的规划和管理334.7 环境监控报警联动系统数据安全设计344.7.1 数据安全需求344.7.2 数据安全设计354.7.3 数据传输的安全374.7.4 数据加密384.7.5 数据展现层安全395. 系统性能设计425.1 信息数据方面425.2 应用中间件平台方面425.3 应用服务器方面445.3.1 应用服务器集群445.4 应用系统的运行和监控管理476. 系统预算48努力了的才叫梦想，不努力的就是空想！如果你一直空想的话，无论看多少正能量语录，也赶不走满满的负能量！你还是原地踏步的你，一直在看别人进步。1. 引言1.1 项目名称环境监控报警联动系统1.2 项目背景随着内蒙古东部电力信息系统的发展与建设，计算机系统数量与日俱增，其配套的环境设备也日益增多，因此机房的环境设备或子系统（如供配电、UPS、空调、消防、保安等）必须时时刻刻为计算机系统提供正常的运行环境。一旦机房环境设备出现故障，就会影响到计算机系统的运行，对数据传输、存储以及整个系统运行的可靠性构成威胁，若事故严重又没有得到及时的处理，就可能损坏硬件设备，造成严重后果。尤其对于实时交换数据的需要，机房管理显得更为重要，一旦系统发生故障，造成的经济损失更是不可估量。因此，为了保证机房运行的安全性和稳定性，目前机房的管理人员采取24 小时专人值班的方式，定时巡查机房各环境设备。但这样仍然在很多情况下往往不能及时排除故障，对事故发生时间、频率及原因等也无科学的管理与数据分析。为了解决上述问题，需要增加机房动力环境监控系统，实现了对各机房设备的统一监控与管理，大大提高了整个系统的运行可靠性、稳定性和兼容性、可扩性，实现了机房的科学管理，真正使“无人值守”机房成为现实。1.3 系统建设目标为内蒙古东部电力有限公司建立包括动力配电、场地环境等系统在内综合性集成管理平台，实现724的全面集中监控和管理，保障数据中心内各设备及子系统的安全高效运行，以期实现最高的机房可用率。另外通过所提供双机热备、增强型告警管理、IE权限管理、能耗管理、运维及资产管理等在内的高端功能模实现不断提高机房的运营管理水平，建立统一高效的管理平台，使解放机房管理人员成为现实。1.4 系统设计原则绿色机房建设环境监控系统要求可靠性高，扩展性强，应遵循以下原则实用性管理功能：对任事件都针对机房的具体情况给出相应的处理提示，指导维护人员解决问题。软件系统的设计对系统管理和运维人员进行多级权限分类以区分限制各级别用户对系统的访问和操作能力。数据管理功能：可存储半年的数据，并用历史曲线显示任意一天的数据情况，最大值、最小值、平均值等。提供网络版系统，可在局域网站上全面监视机房运行情况。安全性可区分多级报警级别，报警事件发生时，系统按事件级别排队报警，显示处理，并将画面自动切换到相应的画面。系统强大的多媒体技术，对各种设备的报警及专家处理提示采用语音系统。强大的报警处理功能。兼容性 支持各种厂家提供的智能设备，实现完美地监控。可维护性系统运行进行在线运行状态诊断和监测，能及时发现系统各功能单元故障情况，便于系统故障的维护处理。软件系统的设计采用模块化结构设计和规范化标识保证软件的可维护性要求。 可靠性 监控系统具有良好的电磁兼容性和电气隔离性能，不影响被监控设备正常工作。监控系统具有专家诊断功能，对通信中断、软件故障能够诊出故障并及时告警。监视各智能设备各部件的运行状态和工作参数。1.5 专业术语定义XML Extensible Markup Language（可扩展标记语言），来自标记语言SGML,是该语言的一个子集，主要用于数据交换。它规定了一种开放的数据格式，其最大的特点就是天生的扩展性，可以简便而快捷的根据企业、科学规范或其他方面的需要来构造定制的标记集，使数据能在不同平台、不同系统间顺畅的传输。RS485接口 RS485总线标准是电子工业协会（EIA）制订并发布的在工业领域通用的设备串行通信标准，它采用半双工、平衡方式通信，具有支持多点连接，允许创建多达32个节点的网络；最大传输距离1219M，最大传输速率为10Mb/S，支持1200 m时速为100kb/s的高速度传输；抗干扰能力很强，布线简单等优点。MODBUS协议 MODBUS协议是应用于电子控制器上的一种通用语言。通过此协议,控制器相互之间、控制器经由网络（例如以太网）和其它设备之间可以通信。它已经成为一通用工业标准。有了它,不同厂商生产的控制设备可以连成工业网络,进行集中监控。此协议定义了一个控制器能认识使用的消息结构,而不管它们是经过何种网络进行通信的。它描述了一控制器请求访问其它设备的过程,如何回应来自其它设备的请求,以及怎样侦测错误并记录。它制定了消息域格局和内容的公共格式。2. 系统整体设计内蒙古东部电力有限公司环境监控报警联动系统目前需要对机房现场的动力（包括供配电、UPS、通信电源）、环境（包括空调、漏水、温湿度）、安保（门禁、消防）等各个部分的子系统进行现场实时监控和统一管理。系统采用B/S方式，管理人员可方便的通过内网监测各机房现场情况，经过授权可对机房设备进行远程控制。另外需预留相应接口以方便今后对其他机房的接入管理。2.1 拓扑结构图由系统拓扑结构图可以看出，通过环境监控报警联动系统可以对视频系统、门禁系统、报警系统、UPS均衡报警控制系统、空调、温（湿）度子系统等进行集成，可以第一时间捕获各个系统的异常信息，向工作人员进行报警，将会大大节省维修时间。同时，也方便了管理人员对全部信息的查看。2.2 信息采集结构图环境监控报警联动系统整体实现采用“集中管理、分散控制”的模式：将数据传输到在各自现场的串口服务器，再由现场的串口服务器通过业务网络将数据传输至总行的集中监控中心，由集中监控中心管理服务器实现对机房的集中管理。“集中管理、分散控制”实现方式不但满足了对分散机房的集中统一管理的需要，更满足了银行业对现场数据安全、实时、完整的存储和控制要求较高的领域。信息采集结构如下图所示：2.3 系统整体架构环境监控报警联动系统采用基于B/S的架构，如下图所示：用户机IE用户机IE用户机IE表示层应用逻辑层数据服务层数据库由上图可以看出，系统采用Browser/Server架构，这样一来，就使系统管理工作十分轻松，用户只需要在服务器端部署电网工程标准化过程管理信息系统，就可以在网络上登录和管理该系统。客户端不需要做任何配置，只是使用浏览器就可以登录系统，大大降低了维护和升级成本。系统采用三层架构，目前三层（多层）体系结构正在逐渐成为数据库应用系统构架方案的主流，在抽象的三层结构下，表示层（Presentation）、应用逻辑层（Business Logic）、数据服务层（Data Service）被分割成三个相对独立的单元。表示层负责与用户交互并把相应的请求通过调用中间层的组件传递给应用逻辑层。应用层的组件执行具体的事务逻辑并通过SQL等方式向第三层的组件提出数据或其他资源请求。环境监控报警联动系统采用J2EE作为开发工具，J2EE是Sun公司所颁布的标准，但已广为工业界所接受，J2EE的出现标志着用Java开发企业级应用系统已变得非常简单。J2EE是多层的分布式体系结构，使系统的操作和运行具有很好的灵活性。先进的 Java计算方案如面向对象、独立于平台、快速集成、代码重用等，是实现这种结构的关键，并使系统具有良好的可移植性和可扩展性。在环境监控报警联动系统架构中，每一个应用数据均有机地在整套的体系结构中交换，按照各自数据模型的组织结构，充分利用整体系统中的软硬件资源，实现系统特有的功能。为了使每一个应用系统成为可靠、高效、具备良好的可扩展性的系统，采用三层体系结构（three-tiered）的设计方案。系统架构层次功能实现方案信息展示架构系统门户网站系统门户网站主要完成系统的身份认证、权限管理、系统路由、功能定制等功能。数据展现数据展现层主要功能是将数据平台和应用数据库的数据以各种方式展现给用户。应用逻辑根据业务需求总结出其中的逻辑关系，程序逻辑关系自动对数据进行处理。数据应用架构数据组织数据组织负责环境监控报警联动系统中所有数据的装配及存储。其数据组织方式以数据库数据模型为基本框架。数据存储数据存储层为数据应用架构提供了底层的基础设施。数据存储是指确定数据在数据库中的位置（临时的或永久的）的物理数据设计，即物理数据模型的设计。逻辑数据模型到物理数据模型的变化主要是实体的纵向合并和横向拆分，对于属性而言不应该有变化。数据服务架构数据提供层数据提供指数据库中存储的设备运行信息。数据缓存层对数据提供层提供的数据进行缓存，当再次查询相同数据时可以减少网络访问，增加数据访问的效率和安全性。在应用服务器端开辟单独的内存通过惟一标识进行数据缓存。提供数据的快速、安全访问。系统架构表2.4 系统物理架构通过分析环境监控报警联动系统的建设需求和目标，需要有一套完整的高性能、高可靠性和安全性软硬件部署方案，同时具有灵活扩展能力，以适应后期对系统有扩充的要求。建议的系统物理结构如下图所示：系统为三层架构：包括数据服务层、应用服务器层和客户应用层。系统应用灵活，便于扩展，可支持浏览器/服务器（B/S）应用模式。数据服务层利用Oracle数据库数据服务架构实现。应用服务器层采用多台集群策略，目前根据需要可以采用一台或两台高性能PC服务器来实现，随着数据量的明显增长、用户量和应用不断增多，系统需要进一步扩展。通过增加新的应用服务器与现有应用服务器同样组成集群环境，即可在数据库结构和应用不作任何改变的情况下，使系统性能得到线性的扩展。客户应用层除系统管理以外，最终用户通过统一网页方式以浏览器的方式访问环境监控报警联动系统中的项目信息并进行各种操作、统计、汇总和分析。这种应用方式不需要对客户端进行任何的软件安装和维护工作，只要保证网络的连通即可，大大降低了客户端维护工作和成本。2.5 软硬件配置建议硬件配置建议：序号设备名称数量备注1数据库服务器1台小型机2应用服务器1台PC Server 服务器3备份服务器1台PC Server 服务器4串口交换机2台Moxa NPort 6600系列软件配置建议：序号软件名称主要指标参考厂商1操作系统Windows2003 ServerMicrosoft2数据库Oracle 10.2Oracle3. 系统功能设计内蒙古东部电力有限公司环境监控报警联动系统目前需要对机房现场的动力（包括供配电、UPS、通信电源）、环境（包括空调、漏水、温湿度）、安保（门禁、消防）等各个部分的子系统进行现场实时监控和统一管理。系统采用B/S方式，管理人员可方便的通过内网监测各机房现场情况，经过授权可对机房设备进行远程控制。另外需预留相应接口以方便今后对其他机房的接入管理。系统结构图如下：数据交换层数据库业务处理层外部动力、环境、安保子系统UPS空调门禁等信息采集信息展现异常监控用户用户用户报警3.1 系统维护3.1.1 操作员管理对该系统的操作员进行管理，可以添加一个操作员，修改、删除一个或多个操作员信息。实现效果图如下所示：3.1.2 用户信息管理修改当前登录用户的信息，在这里，可以修改个人信息，也可以修改登录密码。实现效果图如下所示：3.1.3 权限管理通过权限管理，可以为用户分配其能操作的功能，还可以控制到每个功能上的操作按钮，为管理员提供强大的权限管理功能。实现效果图如下所示：3.2 环境系统监控3.2.1 空调信息监控通过空调自带智能通讯接口及通讯协议，系统可实时、全面诊断空调运行状况，监控空调各部件（如压缩机、风机、加热器、加湿器、去湿器、滤网等）的运行状态与参数，并可通过软件在系统上或通过网络远程修改空调设置参数（温度、湿度等），实现空调的远程开关机。系统一旦监测到有报警或参数越限，将自动切换到相关的运行画面。越限参数将变色，并伴随有报警声音，有相应的处理提示，及相关处理提示。对重要参数，可作曲线记录，可通过曲线记录直观地看到空调机组的运行品质。空调机组即使有微小的故障，也可以通过系统检测出来，及时采取步骤防止空调机组进一步损坏。对严重的故障，可加设电话语音报警。3.2.2 温度、湿度监控温度、湿度监控系统，主要通过控制线将温（湿）度各详细参数，回传到环境监控报警联动系统上，可根据回传的数据绘制温湿度均值曲线，当数值超过上下限定值时该系统会自动产生报警联动同时弹出报警画面 。并且会自动生成周报表和月报表及相关参数曲线图。3.2.3 漏水监控漏水检测系统由定位式漏水控制器和感应线缆及其他附件构成。用漏水感应绳围绕空调及墙界地面，一旦有水泄漏碰到感应绳，感应绳通过控制器将漏水信号及漏水的位置信号通过通信接口及时地输送到监控主机，可确保系统在第一时间报警，监控主机的漏水监测画面上显示相应的漏水位置，维护人员只要按画面显示位置，可非常方便地找到漏水位置，极大地方便了系统的维护，并且会自动生成周报表和月报表及相关参数曲线图。3.3 安保系统监控3.3.1 视频监控通过网络摄像机、视频服务器实现录像、存储和告警联动。该模块应提供远程浏览功能，有关领导或运维人员在局域网络内的计算机，只要安装一套远程客户软件即可实现查看监控信息及视频信息。主要实现将分布在机房各点位摄像机通过视频线与监控主机相连（可采集各点位摄像机声音），然后通过视频监控厂家提供的二次开发接口（SDK包）可将视频图像及相关参数通过网络回传到环境监控报警联动系统上。实现效果图如下：3.3.2 门禁控制门禁模块可与监控主机联网组成在线式门禁监控系统。通过严格的权限管理可进行门禁的远程管理与维护，可实时读取门禁记录的资料。当有人通过验证进门时，监控系统可按已设的权限进行判断比较并开门，同时记录进入人姓名、门号、时间，也可记录非法验证的报警记录。门禁控制器采用全球知名品牌的指纹门禁机，同时支持刷卡、密码开门功能。本模块主要实现将机房内各门禁系统，通过控制线与视频监控主机或报警主机相连，即可实现视频图像联动、声光报警联动同时会产生报警记录等功能。3.3.3 烟感报警目前烟感探测器主要采用开关信号量的方式进行告警信号的输出，基本原理为，当烟雾浓度达到一定值时（可设置其烟雾浓度灵敏度），会产生一个信号量，将此信号输出到报警主机和监控主机，即可实现告警，监控画面自动弹出、声光警号联动并同时产生告警记录。实现效果图如下：3.3.4 门磁报警目前门磁控制器主要采用开关信号量的方式进行告警信号的输出，基本原理为，当门磁断开或闭合时都会产生一个开关信号量，将此信号量通过控制线输出到报警主机或视频监控主机，即可实现告警，监控画面自动弹出、声光警号联动并同时产生告警记录，以上各子模块可选择性集成短信告知平台并建议增加一套报警主机及双监探测器。3.4 动力系统监控3.4.1 UPS电压、电流监控UPS电源主要由UPS主机及UPS电池组成，分为在线式、后备式及在线互动式几种，根据频率分高频机和工频机，它在机器有电工作时，就将市电交流电整流，并储存在自己的电源中，一旦停止供电，它就能提供电源，使用电设备维持一段工作时间，保持时间可能是10分钟、半小时等，延时时间一般由蓄电池的容量决定。 高可靠性不间断供电保证动力的连续性 电网稳压、净化功能消除电网波动、污染 电池管理功能 延长电池使用寿命 智能监控功能 有效解决电源维护功能可根据UPS厂家提供的通信协议或者二次开发接口，取到UPS各项指标参数，然后通过网络传送到串口服务器，最后串口服务器通过网络把数据信息传到系统中，并在系统中展示，并能用同样的方式采集UPS异常信息，实现异常状态报警。实现效果图如下：3.4.2 蓄电池运行状态监控主要实现测量每个单体电池的端电压和表面温度，通过串口服务器，将信息采集至主机。对于单体电池电压高于或低于标准电压时，对该电池进行放电或充电，使每个单体电池端电压长期维持在额定电压范围，确保电池不会出现过充电或欠充电，解决了电池个体差异性带来的各种问题。对于表面温度过高的电池，及时发出告警信号，告知运行维护人员提前处理，可有效杜绝蓄电池爆炸引起的安全事故。实现效果图如下：3.4.3 机柜电压、电流监控需要在电源入口安装交流采集装置（此装置采用RS485接口回传信号，使用MODBUS协议，可进行二次开发）即可实现（交）直流电压、电流及其它相关参数的信息采集和回传。将采集回来的数据，通过人为设置好的上（下）限，当超过其上下限值时会产生告警。（注：当5A时需额外增加ct电流互感器）。3.5 智能辅助3.5.1 智能报警为了能更及时地把监控设备重要的报警信息，通知到相应维护人员，让维护人员能够及时地处理机房所发生的紧急事件或设备故障报警等，系统配置电话报警功能模块。当设定了电话报警级别的设备发生故障或报警时，系统将自动拨打所设定的相应维护人员的电话或手机，用电话语音的方式（非数字代码等）告知机房所发生的事件，系统可通过电话按键确认的互动方式，确保事件可通知到相关的维护人员。此外，系统通过加装短信报警功能模块还可实现短信息报警。一旦某个报警时间发生可自动触发短信息报警，系统将自动按照预先设定好的手机号码，往该号码中发送报警短信。报警的手机号码可设置多个，并且可根据自身的实际需求设定短信的重发次数以及时间间隔等，保证所有报警信息都能及时、有效地传递给各机房维护人员。系统与GIS系统做接口，以更直观地对报警效果进行展现，效果图如下所示：3.5.2 智能查询为实现对信息机房的统一集中监控管理，也为了方便机房维护人员和各领导及时、全面掌握机房的运行状况，系统应具备智能接入与查询功能。智能查询系统的功能是信息共享与发布程序，它运行在查询服务器上，用户可通过MIS网、拨号企业网、互联网登录查询系统主页，查看监控数据、报警信息、设备信息、统计信息等。该系统采用流行Internet/Intranet网络编程技术，具有操作简单、易于维护等诸多优点。该查询系统主要包括如下功能： 系统实时数据监视 视频实时画面 视频录像资料 最新报警信息查询 历史报警信息查询 历史报警信息统计值班员可以在连通内网的任意计算机打开浏览器，输入查询系统服务器指定的IP地址，便可进入查询系统的登陆页面。验证用户名与口令进行身份确认，验证通过之后进入报警信息查询系统。如果要进行报警确认，同样需要用户权限认证，以避免误操作的发生。4. 系统安全设计互联网的发展使用户可以在全球范围内与客户进行商务活动，从而为广大企事业单位带来了新的机遇。同时，企事业内部网的不断完善也为企事业单位与商业合作伙伴及现场工作人员的通信提供了有效的途径。但是，互联网技术在扩大市场份额、降低成本、提高客户满意程度的同时，也增加了企事业受攻击的弱点。这些弱点直接威胁着企业分布式计算机应用的稳定性和可靠性。首先，保存在用户分布式计算环境中的大量关键信息面临来自于第三方的破坏与窃取。其次，实现多平台与多系统间的信息安全传输也是困难重重。而且面对几乎是一天一个样的病毒各类黑客，我们的网络环境总是显得相对脆弱。所以，为保证建设良好的环境监控报警联动系统能够稳定的工作，能够负担起其应有的职责，对于网络安全的防范，提高网络安全意识，保障系统运行安全是不容忽视的工作。然而被动地在需要时才找寻解决方案的模式，已被验证是错误的选择。只有了解企业信息化的本质后，按照系统稳定运行的要求，进行完善的系统安全设计，才能防患于未然。因此，安全性解决方案应化被动为主动，同时应该被整合于整体网络风险管理中，亦即表示企业必须明了本身基础架构，并为其提供风险评估与管理的工具、及有效的网络安全性解决方案。这套解决方案可以处理企业在业务与技术上所需整体网络安全性的需求。本方案就是在这样的前提下，运用长期累积的专业技术与经验，推出的一套完全的解决方案及整合性的工具，用于本项目的信息化的安全防护。4.1 网络应用安全情况分析4.1.1 信息安全隐患企事业信息化应用中的安全隐患主要包括：身份认证由于非法用户可以伪造、假冒员工和客户的身份或通过黑客软件获得系统内部工作人员的身份、密码，因此存在假冒员工身份的非法用户进入系统进行破坏的可能。故用户名口令的传统认证方式安全性较弱，用户口令易被窃取而导致系统损失。信息的机密性由于在环境监控报警联动系统内部和外部网络上传输的信息中，包含个人或企业的敏感信息和数据有可能在传输过程中被非法用户截取。信息的完整性敏感、机密信息和数据在传输过程中有可能被恶意篡改。4.1.2 安全风险分析对整个环境监控报警联动系统的网络应用而言，网络安全风险主要来源：来自网络内部的攻击和破坏：整个环境监控报警联动系统对于来自内部网络的攻击或破坏的防范能力相对来说比较脆弱。因此如何有效防范内部破坏，是系统运行中需要解决的首要问题，特别是如何有效控制来自各业务相关系统入侵攻击（直接攻击或通过宿主机间接的攻击）是本方案重点讨论的问题。4.2 系统安全需求总体上讲，整个环境监控报警联动系统的网络安全性涉及到系统级安全（包括各类软硬件系统）、数据级安全、应用级安全和用户级安全，其中系统安全主要是指操作系统安全、网络服务安全。通常的系统攻击使系统不能正常工作，但不导致数据泄密。而数据安全则直接关系到经营数据的泄漏。具体的安全需求如下：1对整个系统网络按功能类别进行重新划分，实施有效隔离，防范来自内部和外部的攻击；2需采用安全检测机制来实施检测网络攻击事件的发生；3需保护外部公开WWW服务器的安全；4需采用网络防病毒机制来防治网络病毒的攻击和蔓延；5需采用链路加密机制来实现链路传输的安全；6需实现从内部应用系统身份认证、访问授权等安全机制；7需实现从应用系统客户端到服务器的加密（包括对跨越INTERNET的远程访问）；8需实现内部安全策略的合理规划；9保护现有的安全投资。4.3 安全技术体系框架在环境监控报警联动系统的安全方案设计中，首先要确定安全方案所涉及到的系统单元，其次要考虑该系统单元在各个层次所提供的安全服务（功能），最后还应考虑这些单元系统之间的逻辑关系，才能提供全面的、合理的、有机的安全服务。我们把环境监控报警联动系统的网络安全的规划分为以下几个部分，通过集中的安全管理界面，实现全局统一的安全策略配置、分发、监控和维护：网络运行环境管理IT资源配置管理、网络环境可用性管理、网络性能管理、故障管理等。网络系统安全管理功能子网划分、网络层流量控制、入侵检测与防病毒网关。主机系统安全管理服务器和桌面PC防病毒、系统安全漏洞扫描和修正。应用系统安全管理全局用户管理、应用服务资源访问控制、数据加密与安全审计。数据库系统安全管理数据库存储权限管理、存储过程、触发器设计和角色管理等。在不同的系统单元层次上有着不同的安全需求和安全解决方案，下面我们就各个层次的安全解决方案规划进行具体描述。借助这些新增的安全管理子系统，结合现有的网管系统和数据库的安全规则的支持，可以形成全面的安全技术框架，如下图所示：4.4 网络层次安全解决方案由于数据的传输和交换需要依靠网络进行，从而网络的安全性对保障数据的安全十分重要。环境监控报警联动系统的网络安全建设在基础网络基础之上。在本项目安全系统设计中，分别从物理安全，即整套系统部署环境的安全，保障系统所涉及设备的正常运行；网络运行安全，即基础网络平台的安全，涉及到网络结构设计，重要设备提供冗余，网络安全的监测；建立在这两部分之上的是信息安全保密，包括身份认证，访问控制，信息的加密传输，安全审计，入侵检测；安全管理则使得从技术上保障了信息安全管理。通过架设防火墙、网闸，身份认证，漏洞审计，入侵检测，以及从中心到各客户端的网络防病毒系统，构筑整体的网络安全。安全的环境监控报警联动系统主要通过一下几个方面体现： 加强访问控制网结构合理分布后，在内部局网内可以通过交换机划分VLAN功能来实现不同部门、不同级别用户之间简单的访问控制。根据环境监控报警联动系统的实际情况，也可以配备应用层的访问控制软件系统，针对局域网具体的应用进行更细致的访问控制。对于可能的远程拔号访问用户的安全性访问，可以利用防火墙的一次性口令认证机制，对远程拔号用户进行身份认证，实远程用户的安全访问。 安全检测由于防火墙等安全控制系统属于静态防护安全体系，但对于一些允许通过防火墙的访问而导致的攻击行为、内部网的攻击行业，防火墙是无能为力的。因此，还必须配备入侵检测系统，该系统通过安装在局域网络的共享网络设备上，实现实时分析进出网络数据流，对网络违规事件跟踪、实时报警、阻断连接并做日志的功能。它既可以对付防范内部人员的有意或者无意的攻击，也可以对付来自外部网络的攻击行为。 网络安全评估网络安全性扫描分析系统通过实践性的方法扫描分析网络系统，检查报告系统存在的弱点和漏洞，建议补救措施和安全策略，根据扫描结果配置或修改网络系统，达到增强网络安全性的目的。操作系统安全扫描系统是从操作系统的角度，以管理员的身份对独立的系统主机的安全性进行评估分析，找出用户系统配置、用户配置的安全弱点，并建议补救措施。 安全认证对待安全要求级别高的企业，在解决网络安全问题肯定要配备加密系统，由于要加密就涉及到密钥，则密钥的产生、颁发与管理就存在安全性。密钥的发放通过发放证书来实现。 病毒防护 病毒的防护通过防病毒系统来实现，应用服务器操作系统一般都采用UNIX或类UNIX操作系统，而办公网络都为Windows系统，因此，防范病毒的入侵，就应该根据具体的系统类型，配置相应的、最新的防病毒系统。从单机到网络实现全网的病毒安全防护体系，病毒无论从外部网络还是从内部网络中的某台主机进入网络系统，通过防病毒软件的实时检测功能，将会把病毒扼杀在发起处，防止病毒的扩散。 加密传输要保护数据在传输过程中不被泄露，保证用户数据的机密性，必须对数据进行加密。加密后，数据在传输过程中是以密文传输。 信息鉴别 保护数据的完整性、真实性、可靠性也是网络系统安全防护的一个重要方面。数据在传输过程中存在着被非法窃取、篡改的安全威胁，为此，为了保证数据的完整性，就必须采用信息鉴别技术。数据源身份认证也是信息鉴别的一种手段，它可以确认信息的来源的可靠性。数据源身份认证的实现是通过数字签名技术。数字签名基本原理是发送方利用自已的私钥对信息进行加密（签名）后发送给对方，对方收到信息后用发送方的公钥进行解密，如果顺利解成明文这说明信息来源是可信的，否则证明信息来源是不可靠的。同时采用数字签名技术达到防抵赖目的。 管理安全网络安全实现并不完全取决于技术手段，管理安全是网络安全真正得以维系的重要保证。管理安全制度的制定、国家法律、法规的宣传以及提高企业人员的整体网络安全意识。 安全服务网络安全是动态的、整体的，并不是简单的安全产品集成就解决问题。 随着时间推移，新的安全风险又将随着产生。因此，一个完整的安全解决方案还必须包括长期的、与项目相关的信息安全服务。安全服务包括：全方位的安全咨询、培训；静态的网络安全风险评估。 安全目标保护网络系统的可有性,保护网络资源的合法使用性,防范入侵者的恶意攻击与破坏,保护信息通过网上传输的机密性,完整性及不可抵赖性 防范病毒的侵害,实现网络的安全管理。4.5 数据库系统安全设计4.5.1 系统容错、纠错处理系统的容错、纠错能力同样是保证系统可靠运行必不可少的一个因素，本系统在此提供以下几个方面的支持： 数据库设计的容错和纠错在设计数据库时，设计了一套保证数据完整性、一致性的限制原则。可采用类型规定、主键、外键、缺省值、取值规则、触发器等技术手段，使得在非法数据进入时，系统自动进行提示并根据所定义的规则自动进行纠错处理，保证进入数据库数据的完整性和一致性。 数据录入的容错和纠错系统除提供了数据的标准录入格式外，还提供了容错和纠错功能，对录入的信息，限定其格式，对录入的内容，按定义的规则，检查其合法性。操作员一旦录入非法数据，系统则给予及时纠正或提示重新录入，只有正确的数据方可进入数据库，把错误排除在最前端。4.5.2 数据备份与恢复策略数据的备份在保证系统的高可用性方面是必不可少的，本方案采取如下备份策略。 数据备份 1、日常脱机备份 尽管采取磁盘阵列系统保证数据的冗余备份，对保证系统的不间断运行起到了关键作用，但是，硬件系统（比如磁盘）总是不能完全排除故障的可能性，因而，数据还应进行脱机保存，即定时地通过磁带将系统数据导出，可进一步提高数据的可用性。系统备份策略依据数据的更新频率、数据量和数据的重要性而定，本系统中推荐使用如下备份策略：周一：数据的完全备份。即将数据库中的数据全部导入磁带，包括原始数据和日志，保存两周时间。周二至周五：备份数据库的日志文件。可提高备份速度，当这期间数据损坏时，只需将日志文件依照时间顺序依次导入，这样就可将系统恢复到前一天的状态，可以看出，存放日志的磁带至少保存一周时间。依据上述策略，需准备两盘磁带作完全备份用，四盘作日志备份用。两周后将磁带数据全部翻新，即完全备份数据库。当然，若磁带足够多，也可一个月进行一次数据翻新，视具体情况定。2、在线网络备份数据备份采用在线的网络存贮备份，即每日夜间系统，自动将当日采集和生成的数据、报表等备份到网络存贮系统中，需要调用时，局域网上任一授权用户，通过所设置的权限可以从本人工作站上直接调用。3、异地档案性备份为保证其永久性和容错性，建议通过磁带机，按1次/季作定期档案性质的备份，并异地存放。 定期文件备份因本系统数据服务中可能保存有音视频及文本文件，这些文件是将来系统工作质量考核、评价、工作处理是否及时、准确的重要凭证。因此，要求定期将文件备份出来，长期保存。建议备份周期：1次/每季度。4.6 应用系统安全设计 整个环境监控报警联动系统的安全解决方案在应用系统级的管理可分为三个方面：l 用户空间的规划和管理l 资源空间的规划和管理l 授权策略的规划和管理4.6.1 用户空间的规划和管理目前，由于环境监控报警联动系统涉及到不同的业务部门， 本系统对用户身份的管理采用集中管理原则，用户身份的集中管理能够很好地统一用户空间，从而大大减轻应用系统管理员的工作。在用户空间的规划管理中，我们建议采取多级用户规划模式，对应用系统中的重要部分建议采用硬件密钥加密措施。4.6.2 资源空间的规划和管理本节方案中，我们将主要针对环境监控报警联动系统的服务器提供应用层安全管理措施。根据功能子网规划策略，PROXY服务器将放置在DMZ（网络停火区）区域内。我们建议，可以将PROXY服务器作为受保护的应用服务资源，由安全管理平台进行集中统一管理。4.6.3 授权策略的规划和管理概括的讲，环境监控报警联动系统的应用系统级安全管理的授权策略规划如下：(1) 从管理角度来看，安全管理要体现出企业信息安全平台的管理模式：l 落实专门的安全管理部门；l 由安全管理部门制定并实施企业信息平台的安全管理策略；(2) 从用户角度来看 ：l 用户帐号的统一管理；l 统一的用户身份识别,采用CA认证体制,预留和试验院门户接口；(3) 从资源角度来看，要实现资源的分布配置和统一的资源目录管理；(4) 从第三方应用的角度来看：l 要为第三方应用提供安全强度一致的安全管理服务；l 要与第三方已有的安全服务无缝集成。(5) 从维护的角度看，要有友好的图形界面，易于配置和维护；(6) 安全的加密日志文件，防止否认。4.7 环境监控报警联动系统数据安全设计4.7.1 数据安全需求首先，在设计安全的方案的时候应该定义一个合乎安全需求的安全策略，安全策略涉及评定机构中哪些信息是有价值的，决定谁将使用它们以及如何保证它们的安全。它驱动安全性需求，决定需要什么技术，并定义使整体风险降低到最小程度的最佳方法和程序。一个整体的安全性方案将会使复杂系统环境下安全性漏洞所带来的风险降低到最小，主要从以下一些标准来选择合适的安全产品：1)对业界安全标准的支持。2)是否提供端到端的安全解决方案，在多层架构中，从浏览器到应用服务器，从应用服务器到数据库服务器每一段都提供安全支持。3)数据安全需要特殊关注，许多应用通过同一个用户名和密码来访问数据库，这种方式有潜在的数据风险，因为知道应用服务器连接密码的人可以直接连接到数据库查看所有的数据。4)对IT系统管理人员的防范，一般系统都有系统的超级管理人员，这些人员的权限可以让他们可以看到所有的数据，所以如何限制这些人员查看数据的权限也是一个需要考虑的问题。5)加密对系统性能的影响，一般系统都存在使用各种算法对数据进行加密的功能，这种方法带来的一个潜在的问题是在加密的数据列上将不能正确使用索引，会对性能带来较大的影响。4.7.2 数据安全设计系统必须存在细粒度的安全控制，安全的授权只能基于这些粒度上进行，如数据行级安全、列级安全。授予每一个用户所需要的最小权限，比如一个区域用户只能够看到本地区的数据，而不能看到所有地区的数据，一个系统管理员只能够管理系统的启动，停止，备份，恢复，而不能够查看敏感数据，这些都是基于最小权限原则。数据安全方案主要集中在4A设计，即认证(Authentication)、授权(Authorization)、访问控制(Access Control)、审计(Audit)四个方面。1)认证数据系统的认证除了提供传统的用户名、密码验证方式，还需要支持多种业界安全认证标准的多种方式，这样才能在端到端的应用环境下提供一致性的安全保障如支持基于数字证书的认证，支持基于kerberos，RADIUS认证方式，支持基于LDAP的认证。对于流行的多层应用结构，可以考虑通过代理认证等方式增强了三层安全。一个可扩展的、安全的应用程序角色可以强制用户只能通过中间层访问数据库，即使应用服务器用同一个用户和密码访问数据库，仍然可以对不同的应用用户维护不同的数据权限，从而实现应用层和数据层的统一权限管理。结果是在应用程序的所有层中安全地维护用户身份，将用户和权限管理集中在基于 LDAP 的目录中。2)授权对数据的授权通过维护系统权限，数据权限，角色权限三级结构来实现。且角色形成树形结构，且能动态生效或无效，从而实现动态的权限处理。所谓系统权限是指对数据库系统及数据结构的操作权，例如创建/删除数据表、数据索引、触发子、数据链路、同义词等。所谓数据权限是指用户对数据的操作权，如查询、更新、完整性约束等，并可将访问权限控制在字段级。所谓角色权限是把几个相关的权限组织成角色，角色之间可以进一步组合而成为一棵层次树，以对应于现实世界中的行政职位。角色权限除了限制操作权、控制权外，还能限制执行某些应用程序的权限。角色还能动态地生效或无效，从而实现动态的安全控制。这样的安全控制体系，使得整个系统的管理人员及程序开发人员能灵活控制系统命令的运行、数据的操作以及应用程序的执行，使数据机应用程序得到很好的保护。3)访问控制传统数据库在传统上是在表和列的级别上分配权限，而不会控制在单独的记录或更低的级别，这种控制往往是通过在应用级的应用代码来取得更精细的访问控制。这样的缺点是用户可以利用应用之外的方式，如特别的查询工具等访问数据库，就可以绕过安全性设置。通过采用将一个特殊的标签添加到数据行中，可以提供复杂而灵活的标签安全来解决这种应用/数据安全不一致带来的各种问题。标签安全是基于政府和防御组织用来保护敏感信息和提供数据分隔的标注概念。应用程序托管和其他行业也可以利用数据标注来帮助解决 Internet 时代的安全要求。例如，在应用程序托管中，预订者标签可用来分隔同一应用程序中的预订者的数据。在数据库中强制执行 标签安全，即使绕过应用程序直接访问数据库也会提供相同的数据安全。标签提供了一种使用现有的应用程序数据不易达到的访问控制维。4)审计审计是普遍使用的检验安全方案的安全性机制，它可以保证系统的合法用户能完成他们应该从事的工作，同时又可以限制他们对权限的滥用。通过审计，企业可以跟踪用户的活动，从而发现安全性的漏洞。而且，用户如果知道他们正受到跟踪，他们也不愿意滥用他们的权限。因为传统的审核将产生极大量的数据，因此也很难发现其中有用的信息，往往是最后出现安全事件的时候再去查找审计记录。审计方案一方面要对于敏感数据的各种访问如查看，修改等操作进行审计，一方面也可以基于各种具体的值来进行，这种精细审计的好处一是维护了数据的完整性，二是不会生成大量的审计记录，从而能够在保持系统的完整审计的时候而又不至于影响系统的性能和生成额外的审计记录。4.7.3 数据传输的安全数据安全不仅仅包含了数据的存储的安全和访问的安全，还包含数据在传输过程中进行签名和加密。敏感的数据不论是互联网还是在一个组织的内联网等网络中的明文传输都是易于受到窃取和攻击的。可以通过在数据传输上提供端到端的安全解决方案来解决传输上的安全问题。无论是从浏览器到应用服务器之间，还是从应用服务器到数据库之间，对于敏感数据都需要通过加密数据来保障敏感数据的安全传输这主要是通过以下两个方面来解决：1)加密数据，使被传送的数据隐藏；2)维护数据的完整性，确保数据在传输过程中不被改变；加密功能将所有的明码文本数据转化为密码文本。一旦被加密，密码文本将以密码的方式在网络中传递，在这种方式中，如果没有正确的钥匙键就几乎不可能把密码文本转换回相应的纯文本。这些加密服务可以防止那些能够访问你的网络的人偷窥你的数据。一般使用工业标准的加密技术对数据进行加密。如 DES或者 Triple DES (3DES, 2Key 和3Key) RC4 ( 40-, 56-, 128-, 256-) 根据不同的安全要求和环境可以选择不同强度的加密算法和选择钥匙键的长度。钥匙键的长度越长，将会产生更强大的加密。如56位钥匙键的标准DES，40位钥匙键的DES。也可以选择112位钥匙键的2-key Triple DES和168位钥匙键的3-key Triple DES。或者提供带有256-, 128-, 56- 和40-位钥匙键的RSA Data Security Inc. 的RC4等不同算法。4.7.4 数据加密为了防止超级用户或其他非法用户查看数据库里的敏感数据，可以采取对数据存储里的敏感数据进行加密的方式来解决，传统的数据加密方式对于敏感的数据列进行加密处理来在防止敏感数据外泄的同时，也带来一个很大的问题，即在加密列上建立的索引将没有任何用处，这样对于SQL语句的处理将带来较大的处理上的麻烦，针对该列的查询将不能使用索引，从而降低了处理的性能，通过使用透明数据加密技术，除非拥有密匙，一般用户无法看到敏感数据，但是数据库的处理仍然可以使用基于该列的索引进行处理，从而在保障了数据的安全的同时，又能够同时维护很好的性能。4.7.5 数据展现层安全数据展现层作为前端业务用户直接使用的分析应用，需要能够提供各级的安全权限控制，以保证各个不同级别的业务人员只能看到同自己职责相关的数据和信息，执行和自己职位相关的各项操作，最终保证数据和信息的机密性、安全性和可控性。数据展现层的安全权限控制一般必须具备下列功能：1)用户组和用户的定义数据展现层能够根据不同的用户职责和部门职责创建不同的用户和用户组，以满足特定人员和特定部门的数据分析需求。用户能够被指派到相应的用户组，不同的用户组之间也可以相互指派，也就是说不同的用户组之间可以存在相应的继承关系。关于用户和用户组的定义，为了便于管理，一般遵循下列的指导原则