食品药品监管信息化顶层设计服务项目网络工程总体方案

广西食品药品监管信息化顶层设计服务项目信息工程总体方案第一分册网络工程总体方案广西壮族自治区食品药品监督管理局大连圣达信息工程有限公司武汉国泰智城科技有限公司2014年12月广西食品药品监管信息化顶层设计网络工程总体方案文档编号GXFDAIRP/TD1版本号V100保密等级机密编制时间25/12/2014项目主管领导韦波广西食品药品监督局局长周广能广西食品药品监督局副局长（正厅级）张剑波广西食品药品监督局副局长文东旭广西食品药品监督局副局长李勇强广西食品药品监督局副局长贺志刚广西食品药品监督局副局长杨家庆广西食品药品监督局驻局纪检组组长业务负责人唐春桂政策法规处副处长胡振洲食品生产处处长黎展翔食品流通处处长黎英辉食品餐饮处副调研员高辉药品注册处处长阮斌药品生产处副处长梁春光药品流通处副处长、调研员万秋保健食品化妆品监管处处长凌紫毅医疗器械处处长廖桂兰稽查局副局长罗大盛应急管理处副处长刘东科技标准与监测评价处调研员广西食品药品监管信息化顶层设计网络工程总体方案胡振人事处副处长黃显云规划财务处副处长李雄科药品流通处副处长、行政审批办副主任覃忠于药品不良反应监测中心主任韦广辉食品药品审评查验中心主任梁建宜食品药品投诉举报中心副主任（主持工作）张国飞食品药品信息与监控中心正科级干部方案编写单位大连圣达信息工程有限公司武汉国泰智城科技有限公司项目技术总顾问高复先教授中国系统工程学会信息系统工程专业委员会副主任委员项目负责人甲方曾华林广西食品药品监管局办公室主任沈宏睿广西食品药品监管局信息中心主任韦宇巍广西食品药品监管局信息中心常务副主任乙方欧阳余山项目经理，大连圣达信息工程有限公司陈建项目总监，武汉国泰智城科技有限公司本方案编写人员陈建、王云鹏、张阳广西食品药品监管信息化顶层设计网络工程总体方案目录方案概述1一、设计依据2二、网络规划221接入用户分析2211网络情况分析222接入方式优化4221内网接入优化方案4222外网接入优化方案523网络增值服务系统建设6231虚拟主机云服务6三、网络综合管理631网络安全管理6311信息安全威胁分析6312安全建设原则11313网络安全模型12314网络安全策略1432网络故障管理17321故障预防17322故障排除1833网络监控管理19331主要内容19332用户连接监控21四、数据存储与备份2141数据存储与备份需求21411数据量估算21412存储性能要求23413备份系统性能要求2342数据存储与备份方案23421设备选型2343数据灾备方案24431容灾系统的提出24432容灾系统建设原则26433容灾备份系统建设要求27434容灾备份系统建设内容27435灾难恢复基本模式27五、主机与服务器规划2851主机与服务器技术方案28511系统配置方案28512主机服务器选型29六、配套工程建设3061相关附属工程建设30七、网络设备运行维护31广西食品药品监管信息化顶层设计网络工程总体方案71网络设备运行管理制度31711食药监网络管理运行维护工作的基本目标31712网络管理维护工作的基本原则31713方案内容3272网络管理软件33721基本功能要求33722主流软件的选择34八、网络工程建设34九、投资预算与风险分析3791网络工程总体预算情况37911编制范围37912编制依据37913概算年度分解3792网络工程主要预算项目分解37921项目预算费用明细构成表37922设备购置清单38923商品软件购置清单44924培训服务报价45925各类接入费用报价4693网络工程风险分析46广西食品药品监管信息化顶层设计网络工程总体方案1/48方案概述目前,广西食品药品监管局（以下简称食药监）计算机网络已经投入使用若干年，在食药监管理中发挥出了十分重要的作用。二级单位与行政单位通过内部网络部分实现信息的数据传输与利用，但随着信息化应用的不断深入，食药监管理和决策信息化对现有的网络环境提出更高、更多的要求。根据食药监信息化建设水平，结合自身网络现状，对本局的网络资源配置和利用进行进一步提升，构建现代化的网络基础设施，支撑并服务于本局的数据中心建设。本方案作为食药监信息资源整合和应用系统规划的信息工程实施方案的重要组成部分网络工程实施方案，充分利用信息资源规划的数据流分析、数据模型和数据标准等成果，融合先进的网络与通信技术，在产品采购上注重性价比分析，选择经济实用、性能稳定的产品，同时考虑后期产品技术风险和维护服务质量，构建满足当前需求和适应未来升级的现代化的网络基础设施。考虑到本方案作为食药监数据中心建设的网络技术支持工程的辅助性方案，因此本方案的编写力求简洁，以支撑和服务于数据中心各期建设任务要求为目标，对于网络规划设计、网络管理、未来网络安全和容灾备份等网络功能提升方面，给出相应的建设性意见供参考。广西食品药品监管信息化顶层设计网络工程总体方案2/48一、设计依据1、20112015年药品电子监管工作规划国家食品药品监督管理局，二一二年二月二十七日；2、广西食品药品安全监管信息化建设工程实施方案（桂政办发2012291号）3、食品药品监管总局关于发布食品药品监管信息化标准体系等十项标准的通知（食药监科201416号），国家食品药品监督管理总局，2014年2月14日。4、“十二五”国家政务信息化工程建设规划（发改高技20121202号）5、国家电子政务工程建设项目可行性研究报告编制要求，国家发展和改革委员会第55号令，2007年9月；6、关于加强信息资源开发利用工作的若干意见，中办发200434号；7、20062020年国家信息化发展战略，中办发200611号；8、国家电子政务总体框架，国务院信息化工作办公室2006年3月；9、标准化“十一五”发展规划，国家标准化管理委员会，2006年；10、电子政务业务流程设计方法通用规范，国标GB/T194872004；11、电子政务信息资源目录体系，国标GB/T210631200716；12、电子政务信息资源交换体系，国标GB/T210621200714；广西食品药品监管信息化顶层设计网络工程总体方案3/48二、网络规划21接入用户分析211网络情况分析食药监已建成办公局域网、国家食品药品监督总局专网、自治区人民政府办公业务资源网、自治区党委机要网4套网络。目前机房为新办公大楼新建机房，按照A类标准建设，计算机网络安装三级信息安全等级保护建设，总面积为150平方米。机房有各类机架式、刀片式等服务器约30台，磁盘存储4套。网络中心有1台H3C的SR6608路由器作为对外的出口路由器，2台万兆核心H3C交换机S10508为总交换中心，其中核心交换、路由设备通过VRRP协议实现双机冗余主备。物理链路实现了网络主干万兆，千兆到桌面。拓扑结构如下图图21广西药监外网核心结构H3C核心路由器SR6608通过专线连接到互联网；另外各市县药监系统通过专线的形式连接到该路由器；国家和广西区不良反应系统通过安全防广西食品药品监管信息化顶层设计网络工程总体方案4/48护区连接到该路由器。各楼层通过AP实现无线接入，并由楼层接入交换机实现汇聚。图22广西药监内网核心结构内网由H3C的MSR3040作为对外出口路由器通过专线实现与国家食品药品监督局和政府办公网的连接。核心交换机S7506E通过防火墙插卡实现防火墙域间访问控制等功能，并通过链路聚合上连到核心路由器MSR3040。通过VRRP协议实现双机冗余，从而实现对接入设备的高可靠性。核心交换机下带楼层接入交换机，负责各楼层台式办公电脑的接入；并通过服务器接入交换机实现内网办公电脑对内网服务器群的访问。22接入方式优化221内网接入优化方案如现状所述，食药监内网核心层所使用的2台核心交换机均为高端企业级产品，其性能能够继续满足路由交换能力需求，且设备运行较为稳定。但是，目前网络核心层存在的问题是除了核心层交换采用了2台交换机冗余配置，中心的核心节点路由器只有单台设备，极易形成单点故障。广西食品药品监管信息化顶层设计网络工程总体方案5/48因此，为增强核心层的可靠性，本工程将进行网络核心层结构改造，实现核心层路由器的双机冗余配置。新增一台H3C路由器MSR3040，2台H3C路由器和2台H3C的S7506E形成“口”字形组网结构。这4台设备使用OSFP动态路由协议楼层接入的路由采用静态路由指向核心交换机S7506E，并使用前缀列表（PREFIX）注入（REDIRECT）到OSPF路由协议。为防止专线单条故障导致业务中断，建议新增的路由器需要通过各新增的一条专线与国家食品药品监督局和政府办公网进行连接。内网应用服务器群的接入交换机为单台，容易产生单点故障。建议新增一台交换机，服务器一个网卡的2个网口分别连接到2台接入交换机，并且这2个网口做绑定成一个逻辑接口。2台接入交换机之间为防止网络风暴，不用网线连接，VRRP心跳走核心交换机的互联口。此外，考虑到内网应用服务器与数据库服务器或存储之间的访问安全控制，建议新增2台内网数据库服务器接入交换机，将各系统的数据库或存储下挂在此交换机，接入方式类似应用服务器的接入。222外网接入优化方案目前外网核心层采用了2台交换机冗余配置，但是核心节点路由器只有单台设备，极易形成单点故障。因此，为增强核心层的可靠性，本工程将进行网络核心层结构改造，实现核心层路由器的双机冗余配置。建议新增一台H3C路由器SR5608，2台H3C路由器和2台H3C的S7506E形成“口”字形组网结构。这4台设备使用OSFP动态路由协议目前外网出口路由器SR5608连接有出公网以及专线连接各市县药监系统、国家和广西区不良反应系统等业务，未能实现业务安全域的隔离。因此建议将各市县药监系统以及国家、广西区不良反应挂到核心交换机S10508下。由于核心交换机有防火墙插卡，具备防火墙功能，因此可以为这几个系统分别建立不同的安全域，通过域间访问控制实现安全控制。为防止专线单条故障导致业务中断，建议新增的路由器需要通过各新增的一条专线与各市县药监系统网进行连接。广西食品药品监管信息化顶层设计网络工程总体方案6/48内部应用服务器群的接入交换机为单台，容易产生单点故障。建议新增一台交换机，服务器一个网卡的2个网口分别连接到2台接入交换机，并且这2个网口做绑定成一个逻辑接口。2台接入交换机之间为防止网络风暴，不用网线连接，VRRP心跳走核心交换机的互联口。此外，考虑到内部应用服务器与数据库服务器或存储之间的访问安全控制，建议新增2台内网数据库服务器接入交换机，将各系统的数据库或存储下挂在此交换机，接入方式类似应用服务器的接入。23网络增值服务系统建设虚拟主机云服务为了减少大量系统重复进行硬件投入带来的资源浪费，根据虚拟主机服务的现状与差距，本工程将建立虚拟主机云服务系统。本工程将采用IBMVMWARE云计算解决方案，构建区局的云计算中心，实现硬件资源和软件资源的统一管理、统一分配、统一部署、统一备份，打破应用对资源的独占，极大提高资源的利用率。本次建议采购IBM2套V7000磁盘存储作为虚拟存储，实现数据高可靠性和灾备。三、网络综合管理31网络安全管理311信息安全威胁分析对于食药监来说，搞清楚信息系统现有以及潜在的风险，充分评估这些风险可能带来的威胁和影响，将是食药监实施安全建设必须首先解决的问题，也是制定安全策略的基础与依据。在风险分析过程中，最开始考虑的有两方面的内容一个是对食药监保密信息的识别，另一个是对威胁的识别。对于每一条明确要保护的信息，都应该考虑到可能面临的威胁，以广西食品药品监管信息化顶层设计网络工程总体方案7/48及威胁可能造成的影响。还要考虑的因素是在风险影响和防护措施花费之间的经济权衡。由于网络本身的诸多特性，如共享性、开放性、复杂性等，网络信息系统自身的脆弱性，如操作系统的漏洞、网络协议的缺陷、通信线路的不稳定、人为因素等，给网络信息系统的安全带来威胁。具体的威胁来源可以分为外部网络黑客攻击及非法访问；内部人员故意或无意的非授权访问或操作；“社会工程“带来的威胁；系统自身的脆弱性，包括系统结构设计上的缺陷、配置的疏忽等；软件漏洞，包括操作系统的安全漏洞、网络协议的设计缺陷、应用软件的设计漏洞、数据库系统的安全漏洞等；系统开放性带来的威胁，包括病毒、蠕虫等；技术故障带来的威胁；物理环境的威胁。可以看出，对威胁来源的定位综合了多种因素，最终还是人为因素起着决定性的作用。外部人员造成的威胁比较容易发现和控制，商业伙伴造成的威胁可以通过合同限制加以约束，但很多时候来自内部的威胁由于具有极大的隐蔽性和透明性导致更加难以控制和防范。所以在确定威胁的时候，不能只看到那些比较直接的容易分辨的外部威胁，来自内部的各种威胁也应该引起高度重视。（1）来自外部的安全威胁分析A、薄弱的认证环节网上的认证通常是采用口令来实现的。但口令比较薄弱，有多种方法可以破译，其中最常用的两种方法是把加密的口令破解和通过信道窃取口令。例如，UNIX操作系统通常把加密的口令保存在某一个文件中，而该文件普通用户也可读取。一旦口令文件被入侵者通过简单拷贝的方式得到，他们就可以对口令进行解密，然后用它来获取对系统的访问权。广西食品药品监管信息化顶层设计网络工程总体方案8/48B、易被监视的系统用户使用TELNET或FTP连接他在远程主机上的账户，在网上传输的口令是没有加密的。入侵者可以通过监视携带用户名和密码的IP包获取他们，然后使用这些用户名和密码登录到系统。假如被截获的是管理员的用户名和密码，那么，获取该系统的超级用户访问就轻而易举了。C、有欺骗性的主机地址TCP或UDP服务相信主机的地址。如果使用“IPSOURCEROUTING”，那么攻击者的主机就可以冒充一个被信任的主机或客户。以下具体步骤展示了怎样冒充被信任的客户攻击者要使用那个被信任的客户的IP地址取代自己的地址；攻击者构造一条要攻击的服务器和其主机间的直接路径，把被信任的客户作为通向服务器的路径的最后节点；攻击者用这条路径向服务器发出客户申请；服务器接受客户申请，就好像是从可信任客户直接发出的一样，然后给可信任客户返回响应；可信任客户使用这条路径将包向前传送给攻击者的主机。D、有缺陷的局域网服务和相互信任的主机主机的安全管理既困难又费时。为了降低管理要求并增强局域网，一些站点使用了诸如NIS（NETWORKINFORMATIONSERVICES网络信息服务）和NFS（NETWORKFILESSYSTEM网络文件系统）之类的服务。这些服务通过允许一些数据库（如口令文件）以分布式方式管理以及允许系统共享文件和数据，在很大程度上减轻了过多的管理工作量。但这些服务带来了不安全因素，可以被有经验闯入者利用以获得访问权。一些系统处于方便用户并加强系统和设备共享的目的，允许主机们相互“信任”。如果一个系统被侵入或欺骗，那么对于入侵者来说，获取那些信任该系统的其他系统的访问权就很简单了。E、复杂的设置和控制主机系统的访问控制配置复杂且难于验证。因此偶然的配置错误会使闯入者获取访问权。一些主要的UNIX经销商仍然把UNIX配置成具有最大广西食品药品监管信息化顶层设计网络工程总体方案9/48访问权的系统，这将导致未经许可的访问。许多网上的安全事故是由于入侵者发现了设置中的弱点而造成。F、无法估计主机的安全性主机系统的安全性无法很好地估计随着一个站点的主机数量的增加，确保每台主机的安全性都处在高水平的能力却在下降。只用管理一台系统的能力来管理如此多的系统就容易犯错误。另一因素是某些系统管理的作用经常变换并行动迟缓。这导致这些系统的安全性比另一些要低。这些系统将成为网络中的薄弱环节，最终将破坏这个安全链。（2）来自内部的安全威胁分析食药监的局域网是一个信息点较为密集的千兆局域网络系统，它所联接的现有上千个信息点为整个食药监各部门办公提供了一个快速、方便的信息交流平台。不仅如此，通过专线与INTERNET的连接，打通了一扇通向外部世界的窗户，各个部门可以直接与互联网用户进行交流、查询资料等。通过公开服务器，食药监可以直接对外发布信息或者发送电子邮件。高速交换技术的采用、灵活的网络互连方案设计为用户提供快速、方便、灵活通信平台的同时，也为网络的安全带来了更大的风险。因此，实施一套完整、可操作的安全解决方案不仅是可行的，而且是必需的。在分析食药监网络的安全风险时，应考虑到网络的如下几个特点网络与INTERNET直接连结。因此在进行安全方案设计时要考虑与INTERNET连结的有关风险，包括可能通过INTERNET传播进来病毒，黑客攻击，来自INTERNET的非授权访问等。网络中存在公开服务器。由于公开服务器对外必须开放部分业务，因此在进行安全方案设计时应该考虑采用安全服务器网络，避免公开服务器的安全风险扩散到内部。内部网络中存在许多不同的子网。不同的子网有不同的安全性，因此在进行安全方案设计时，应考虑将不同功能和安全级别的网络分割开，这可以通过交换机划分VLAN来实现。网络中有多台应用服务器。在应用程序开发时就应考虑加强用户登录验证，防止非授权的访问，可以采用LDAP（轻型目录服务）集中管理用户广西食品药品监管信息化顶层设计网络工程总体方案10/48并实现单点登录。网络平台的安全风险分析。网络结构的安全涉及到网络拓扑结构、网络路由状况及网络的环境等。A、公开服务器面临的威胁食药监局域网内公开服务器区（WWW、EMAIL等服务器）作为食药监的信息发布平台，一旦不能运行，或者受到攻击，对食药监的声誉影响巨大。同时公开服务器本身要为外界服务，必须开放相应的服务；每天，黑客都在试图闯入INTERNET节点，这些节点如果不保持警惕，可能连黑客怎么闯入的都不知道，甚至会成为黑客入侵其他站点的跳板。因此，规模比较大网络的管理人员对INTERNET安全事故做出有效反应变得十分重要。我们有必要将公开服务器、内部网络与外部网络进行隔离，避免网络结构信息外泄；同时还要对外网的服务请求加以过滤，只允许正常通信的数据包到达相应主机，其他的请求服务在到达主机之前就应该遭到拒绝。B、应用的安全风险分析应用系统的安全跟具体的应用有关，它涉及很多方面。应用系统的安全是动态的、不断变化的。应用的安全性也涉及到信息的安全性，它包括很多方面。应用系统的安全是动态的、不断变化的应用的安全涉及面很广，以目前INTERNET上应用最为广泛的EMAIL系统来说，其解决方案有几十种，但其系统内部的编码甚至编译器导致的BUG是很少有人能够发现的，因此一套详尽的测试软件是相当必须的。但是应用系统是不断发展且应用类型是不断增加的，其结果是安全漏洞也是不断增加且隐藏越来越深。因此，保证应用系统的安全也是一个随网络发展不断完善的过程。应用的安全性涉及到信息、数据的安全性，信息的安全性涉及到机密信息泄露、未经授权的访问、破坏信息完整性、假冒、破坏系统的可用性等。对于有些特别重要的信息需要对内部进行保密的（比如领导子网、财务系统传递的重要信息）可以考虑在应用级进行加密，针对具体的应用直接在应用系统开发时进行加密。C、管理的安全风险分析广西食品药品监管信息化顶层设计网络工程总体方案11/48管理是网络中安全最重要的部分之一。责权不明，管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。责权不明，管理混乱，使得一些员工或管理员随便让一些非本地员工甚至外来人员进入机房重地，或者员工有意无意泄漏他们所知道的一些重要信息，而管理上却没有相应制度来约束。当网络出现攻击行为或网络受到其它一些安全威胁时（如内部人员的违规操作等），无法进行实时的检测、监控、报告与预警。同时，当事故发生后，也无法提供黑客攻击行为的追踪线索及破案依据，即缺乏对网络的可控性与可审查性。这就要求我们必须对站点的访问活动进行多层次的记录，及时发现非法入侵行为。建立全新网络安全机制，必须深刻理解网络并能提供直接的解决方案，因此，最可行的做法是管理制度和管理解决方案的结合。D、黑客攻击黑客们的攻击行动是无时无刻不在进行的，而且会利用系统和管理上的一切可能利用的漏洞。为了防止黑客，需要设置公开服务器，使得它不离开自己的空间而进入另外的目录。另外，还应设置组特权，不允许任何使用公开服务器的人访问WWW页面文件以外的东西。在食药监内网内，我们可以综合采用防火墙技术、WEB页面保护技术、入侵检测技术、安全评估技术来保护网络内的信息资源，防止黑客攻击。312安全建设原则食药监信息系统使用的网络分为办公局域网、国家食品药品监管总局专网、自治区人民政府办公业务资源网、自治区党委机要网和因特网。办公局域网主要为食药监管理服务；国家食品药品监管总局专网负责与国家总局部署的内部网站、电子公文流转系统及其它业务系统连接；自治区人民政府办公业务资源网和自治区党委机要网不与任何网络有物理连接，专网专用；因特网接口负责与国际互联网互联，实现对外信息服务和内外信息交换。网络安全目标建立食药监完整、安全、可靠、高效的现代计算机网广西食品药品监管信息化顶层设计网络工程总体方案12/48络和相关基础设施，保证办公局域网、国家食品药品监管总局专网、自治区人民政府办公业务资源网、自治区党委机要网和因特网按照相应的应用安全要求连续、稳定、可靠运行，实现网络传输、网络接入、网络访问的可控性，保证网络传输信息的保密性、完整性、可靠性、可控性，不断提升网络使用的质量和价值。建立健全科学规范的管理制度，建立完善的网络配置、性能、记帐、运行等安全监控手段，防止未授权的用户进入、访问、攻击信息系统网络，确保网络系统的安全运行和使用。信息管理部门必须设置信息安全管理员，参与网络系统设计，确保网络系统设计的安全性；负责网络安全设备（包括网络用户管理、防火墙、入侵检测设备、网络安全扫描等）的维护或策略检查；负责网络安全日志的收集和分析；负责网络系统的安全检查工作；与相关部门共同保障网络安全运行。办公局域网分两级管理。核心层是第一级网络，核心层基础设施包括联接所有二级单位及机关处室的主通道网络设备。汇聚层及接入层网络是第二级网络。信息中心核心层网络的安全管理，并对二级网络接入一级网络的节点安全进行统一、集中管理，对办公局域网实施安全检查、监督、评估。二级单位设立网络管理专员负责本单位的网络安全管理，并与信息中心协调一致，不仅保障本单位接入办公局域网网的安全，还必须根据信息中心的有关规定实施局域网的安全管理，保证办公局域网整体安全。设立信息系统安全领导小组并指定网络安全管理负责人，并按照有关规程召集有关人员对信息系统运行的网络安全进行定期评估，不断完善网络安全策略，建立、健全网络安全管理规章。制定使用网络和网络服务的策略。依据总体安全方针、策略制定允许提供的网络服务、制定网络访问许可和授权管理制度、保证信息系统网络连接和服务的安全技术正确实施，并达到网络安全总体要求。313网络安全模型一个最常见的安全模型就是PDRR模型。PDRR模型就是4个英文单词广西食品药品监管信息化顶层设计网络工程总体方案13/48的头字符PROTECTION防护，DETECTION检测，RESPONSE响应，RECOVERY恢复。这四个部分构成了一个动态的信息安全周期。安全策略的每一部分包括一组相应的安全措施来实施一定的安全功能。安全策略的第一部分就是防御，根据系统已知的所有安全问题做出防御的措施，如打补丁，访问控制，数据加密等等，防御作为安全策略的第一个战线。安全策略的第二个战线就是检测。攻击者如果穿过了防御系统，检测系统就会检测出来。这个安全战线的功能就是检测出入侵者的身份，包括攻击源，系统损失等。一旦检测出入侵，响应系统开始响应包括事件处理和其他业务。安全策略的最后一个战线就是系统恢复。在入侵事件发生后，把系统恢复到原来的状态。每次发生入侵事件，防御系统都要更新，保证相同类型的入侵事件不能再发生，所以整个安全策略包括防御、检测、响应和恢复，这四个方面组成了一个信息安全周期。1、防护网络安全策略PDRR模型的最重要的部分就是防护P。防护是预先阻止攻击可以发生的条件产生，让攻击者无法顺利地入侵，防护可以减少大多数的入侵事件。其主要技术有缺陷扫描、访问控制及防火墙、防病毒软件与个人防火墙、数据加密、鉴别技术等。2、检测PDRR模型的第二个环节就是检测D。上面提到防护系统除掉入侵事件发生的条件，可以阻止大多数的入侵事件的发生，但是它不能阻止所有的入侵，特别是那些利用新的系统缺陷、新的攻击手段的入侵。因此安全策略的第二个安全屏障就是检测，即如果入侵发生就检测出来，这个工具是入侵检测系统IDS。防护主要修补系统和网络的缺陷，增加系统的安全性能，从而消除攻击和入侵的条件。检测并不是根据网络和系统的缺陷，而是根据入侵事件的特征去检测的。但是，黑客攻击系统的时候往往是利用网络和系统的缺陷进行的，所以入侵事件的特征一般与系统缺陷的特征有关系。因此防护和检测技术是有相关的理论背景的。3、响应广西食品药品监管信息化顶层设计网络工程总体方案14/48PDRR模型中的第三个环节就是响应R。响应就是已知一个攻击入侵事件发生之后进行处理。在一个大规模的网络中，响应这个工作都是有一个特殊部门负责，比如是计算机响应小组。入侵事件的报警可以是入侵检测系统的报警，也可以是通过其他方式的汇报。响应的主要工作也可以分为两种第一种是紧急响应第二种是其他事件处理。紧急响应就是当安全事件发生时采取应对措施，其他事件主要包括咨询、培训和技术支持。4、恢复恢复是PDRR模型中的最后一个环节。恢复是事件发生后，把系统恢复到原来的状态，或者比原来更安全的状态。恢复也可以分为两个方面系统恢复和信息恢复。系统恢复指的是修补该事件所利用的系统缺陷，不让黑客再次利用这样的缺陷入侵。一般系统恢复包括系统升级，软件升级和打补丁等。系统恢复的另一个重要工作是除去后门。一般来说，黑客在第一次入侵的时候都是利用系统的缺陷。在第一次入侵成功之后，黑客就在系统打开一些后门，如安装一个特洛伊木马。所以，尽管系统缺陷已经打补丁，黑客下一次还可以通过后门进入系统。系统恢复都是根据检测和响应环节提供有关事件的资料进行的。信息恢复指的是恢复丢失的数据。数据丢失的原因可能是由于黑客入侵造成，也可以是由于系统故障、自然灾害等原因造成的。信息恢复就是从备份和归档的数据恢复原来数据。信息恢复过程跟数据备份过程有很大的关系，数据备份做得是否充分对信息恢复有很大的影响。信息恢复过程的一个特点是有优先级别，直接影响日常生活和工作的信息必须先恢复，这样可以提高信息恢复的效率。314网络安全策略安全策略是对访问规则的正式陈述，任何获准访问某个机构的技术和信息资产的人员，都必须遵守这些规则。安全策略由高级管理部门制定，确保办公局域网运行在一种合理的安全状态下，同时，也不妨碍用户用户从事他们正常的学习、工作。安全策略对于办公局域网安全建设，起着举足轻重的作用，所有安全建设的后续工作都是围绕安全策略展开的。安全广西食品药品监管信息化顶层设计网络工程总体方案15/48策略的制定是比较繁琐和复杂的工作，根据的具体需求，可能会包含不同的内容。安全策略从宏观的角度反映药监整体的安全思想和观念，作为制定具体策略规划的基础，为所有其他安全策略标明应该遵循的指导方针。具体的策略可以通过安全标准、安全方针、安全措施来实现。安全策略是基础，安全标准、安全方针、安全措施是安全框架，在安全框架中使用必要的安全组件、安全机制等提供全面的安全规划和安全架构。安全标准是强制性执行的，指出了硬件、软件产品应当如何使用。它提供了一种手段来保证药监系统中应用程序、特定技术等以规定的方式执行。安全方针指出了当安全标准中未对不可预料的情形定义时的补充规定。安全措施指出了在操作环境中安全策略、安全标准、安全方针的具体一步步实现步骤。安全标准、安全方针不应该是一个文档，使它们组件化有助于分发和必要时候的更新。办公局域网安全需求的各个方面是由一系列安全策略文件所涵盖的。策略文件的繁简程度与食药监的规模有关。不过，有些策略文件是多数食药监都应该制定并执行的。（1）物理安全策略包括环境安全、设备安全、媒体安全、信息资产的物理分布、人员的访问控制、审计记录、异常情况的追查等。（2）网络安全策略包括网络拓扑结构、网络设备的管理、网络安全访问措施（防火墙、入侵检测系统、VPN等）、安全扫描、远程访问、不同级别网络的访问控制方式、识别/认证机制等。（3）数据加密策略包括加密算法、适用范围、密钥交换和管理等。（4）数据备份策略包括适用范围、备份方式、备份数据的安全存储、备份周期、负责人等。（5）病毒防护策略广西食品药品监管信息化顶层设计网络工程总体方案16/48包括防病毒软件的安装、配置、对软盘使用、网络下载等作出的规定等。（6）系统安全策略包括WWW访问策略、数据库系统安全策略、邮件系统安全策略、应用服务器系统安全策略、个人桌面系统安全策略、其他业务相关系统安全策略等。（7）身份认证及授权策略包括认证及授权机制、方式、审计记录等。（8）灾难恢复策略包括负责人员、恢复机制、方式、归档管理、硬件、软件等。（9）事故处理、紧急响应策略包括响应小组、联系方式、事故处理计划、控制过程等。（10）安全教育策略包括安全策略的发布宣传、执行效果的监督、安全技能的培训、安全意识教育等。（11）口令管理策略包括口令管理方式、口令设置规则、口令适应规则等。（12）补丁管理策略包括系统补丁的更新、测试、安装等。（13）系统变更控制策略包括设备、软件配置、控制措施、数据变更管理、一致性管理等。（14）复查审计策略包括对安全策略的定期复查、对安全控制及过程的重新评估、对系统日志记录的审计、对安全技术发展的跟踪等。食药监制定的安全策略应当遵守相关的法律条令，有时安全策略的内容和员工的个人隐私相关联，在考虑对信息资产保护的同时，也应该对这方面的内容有一个明确的说明。食药监在管理制度上采用如下策略（1）分权制衡采取分权制衡的原则减小因未授权的修改或滥用系广西食品药品监管信息化顶层设计网络工程总体方案17/48统资源的机会，对特定职能或责任领域的管理执行功能实施分离、独立审计，避免操作权力过分集中。（2）最小特权任何实体（如用户、管理员、进程、应用或系统）仅享有该实体需要完成其任务所必须的特权，不应享有任何多余特权。各安全管理小组应会同各应用部门为系统中的每一种资源规定明确的使用权限，对系统的所有人员，按其职责划定必要的最小的授权范围，明确每个用户在其授权范围内承担的安全责任，并对授权范围内的责任建立健全相应的监督检查制度，并通过技术和行政管理措施有效地阻止一切越权使用行为。（3）选用成熟技术成熟的技术提供可靠性、稳定性保证，采用新技术时要重视其成熟的程度。如果新技术势在必行，应该首先局部试点然后逐步推广，减少或避免可能出现的损失。（4）普遍参与不论信息系统的安全等级如何，要求信息系统所涉及人员普遍参与并与社会相关方面协同、协调，共同保障信息系统安全。（5）审计、监督和检查信息系统运行必须设置完整的工作日志，对系统的可靠性、性能、安全事件、安全策略和安全措施的有效性进行有效的审计、跟踪，并监督检查。食药监可在局域网不同功能区采用不同的安全措施。核心交换区作为局域网核心，完成了整个局域网的路由处理，流量交换及数据高速转发，这部分的安全处理比较简单，重点是设备安全。由于这部分实际上是整个办公局域网的流量交换中心，可以在核心交换设备上通过端口镜像功能将符合一定条件的流量镜像到流量分析设备上，以完成高级别的网络流量分析，发现安全隐患，改善网络性能。服务器群分为内网和外网服务器群，都通过千兆端口直接连接到核心交换机上，应用防火墙模块将其隔离，内网服务器只对内网提供应用服务；外网服务器置于防火墙的DMZ区，该区主要提供对外各种应用及数据处理，用户对该区的访问应受到严格控制。广西食品药品监管信息化顶层设计网络工程总体方案18/4832网络故障管理321故障预防网络故障管理，是当今网络管理体系结构的一个主要组成部分，含盖了诸如检测、隔离、确定故障因素、纠正网络故障等功能。设立故障管理的目标是提高网络可用性，降低网络停机次数并迅速修复故障。一个故障管理系统所具备的基本必要条件有监控和收集网络设备、流量情况以及实时过程方面的统计信息，以避免和预测可能性故障。设置极限并对可能发生的网络故障发出警报，以警告网络管理端。设置警报，报告网络设备和链路上的性能退化情况。设置警报网络资源（诸如硬盘空间）使用和限制问题。遥控网络设备的重启、关机等操作。集中化的CONSOL以实现以上所有功能。一旦出现故障，会产生一个报告并被发送至故障分析器。故障分析器诊断并记录故障问题。最后，系统或个人根据故障分析器上的信息采取适当措施，如隔离差错、黑名单或故障部件；自动重启/修复服务以及更换系统管理员。（1）故障预防检查系统日志，分析系统状况，做好系统故障的预防。（2）故障处理系统管理员应及时判断故障原因，完成必要的记录，提出必要的防范措施。（3）故障总结定期回顾、分析故障案例，提高故障分析处理能力，建立完整的故障维护记录档案。制定系统备份和恢复计划，做好系统备份和恢复工作，保证系统正常运行。（1）系统备份应区分系统备份策略，做好系统配置和系统内容的全备份及增量备份；保证备份数据的安全性，定期检查备份数据的完整性，广西食品药品监管信息化顶层设计网络工程总体方案19/48对重要的备份数据进行加密处理。（2）系统恢复在系统崩溃或特殊情况下，应根据不同情况，通过系统备份恢复系统恢复至原始状态或者正常状态。322故障排除信息中心及各二级单位网络管理人员要密切配合，确保网络故障的及时发现和排除，保证网络正常运行。各二级单位发现网络故障无法自行解决的，应及时向信息中心申告，信息中心接到故障报告后，应立即通知相关网络管理人员处理。网络管理人员应在规定时限内修复网络故障，对一时无法解决的故障必须向主管领导汇报并拿出处理方案。对网络通道故障，网络管理人员在经过进一步故障确认后，认为必要时，应向相关通道代维单位申告，通道代维单位要在如下规定的时限内处理好通道故障。重大网络故障（包含主干网络设备及通道故障）规定的响应时限（1）核心层网络故障，10分钟内到达故障点；（2）汇聚层网络故障，30分钟内到达故障点；（3）接入层网络故障，60分钟内到达故障点。重大网络故障（包含主干网络设备及通道故障）恢复历时（1）核心层网络故障须在12小时内排除故障。（2）汇聚层网络故障须在24小时内排除故障；（3）接入层网络故障须在24小时内排除故障。对网络设备故障，修复后网络管理人员应及时向信息中心反馈故障修复结果，以及相关的详细情况，并做好记录。对网络通道故障，在故障恢复后，通道代维单位必须向信息中心反馈修复结果，以及相关的详细情况，并做好记录。网络管理科接到反馈结果后，应做好记录。如是申告故障，须向相关二级单位网络管理人员进行结果反馈，并做好记录。广西食品药品监管信息化顶层设计网络工程总体方案20/4833网络监控管理331主要内容网络监控是网络管理的必要手段之一，随着计算机的不断发展，网络监控软件也是层出不穷，网络监控软件可以实现全网监控，可以实时监控所有设备的运行状况，以确保网络以最优性能正常运行。（1）上网流量管理由于INTERNET/INTRANET的迅猛发展，导致了食药监的计算模式的重大转变，并提出了对网络性能分析的新需求流量统计和管理技术的需求。目前食药监的互联网络链路，一方面供内部用户上网，另一方面供外部用户访问内部服务器群，如果不能对这两条链路中的流量进行分析并深入的管理，可能会导致带宽的无谓消耗，如果采用统一数据中心更要保证核心业务流量通畅，因此，食药监对流量的管理也是网络性能调优的一个过程，可采用网络管理软件实现。查看办公局域网内不同部门、不同个人的实时网络流量和历史网络流量，以数字、列表、图形等方式显示。可限制某台电脑在固定时间内的上网总流量。（2）网络活动管理分类查看包括网站浏览、收发邮件、QQ登陆、异地上传（下载）文件、远程TELNET登陆等网络活动记录，提供统计功能，并可实现针对不同对象的策略性控制。（3）邮件（外发文件）管理监控包括邮件收发工具（OUTLOOK、FOXMAIL）以及WEBMAIL在内的每一封收发邮件，可查看每一封邮件的正文、附件的详细内容。可查看FTP上传文件的具体内容。（4）上网时间管理用户可根据自己的权限范围设置用户的上网时段以及上网总时长。（5）端口管理对指定的任意端口实施控制，设定封堵的时间段。（6）日志管理广西食品药品监管信息化顶层设计网络工程总体方案21/48所有监测的数据均保存在数据库中，支持日志的排序、日志模糊查询以及日志统计分析功能（同时用列表和图表表示）。（7）权限管理根据用户的组织结构自动生成角色，也可以由用户自定义权限级别，满足组织结构较为复杂的大型客户的分级别层级管理需求。（8）远程UI（即远程界面）所有用户均可在办公局域网内部远程使用界面，实现对软件所有功能的操作；拥有固定公网IP机器的部门更可以通过公网与服务器端连接使用远程UI。所以在网络监控软件的选择上，应多方面进行考虑。332用户连接监控食药监办公局域网是一个独立的内部网，其对外出口通道统一由信息中心负责管理，对确需开辟第二通道与社会公网互联的单位，必须将网络互联方案报信息中心审批确认。所有对外出口通道均须采用防火墙等措施与内部网进行有效隔离，有对外出口通道的单位必须指定专人负责对该通道进行管理、维护，管理、维护人员的联系方式需报信息中心备案。食药监办公局域网所用的IP地址由信息中心统一管理，分配给各单位的内部IP地址由各单位自行管理。由于IP地址管理不善造成的网络故障和损失，由各单位自行负责。办公局域网主干通道代维单位应保证各条电路的畅通，发生故障应在规定时限处理完成。各二级单位网络管理专员负责本单位下级网络通道的维护管理，要及时处理通道发生的故障，信息中心负责技术支持。四、数据存储与备份41数据存储与备份需求本工程主机及存储系统主要指为支撑办公OA系统、全区公文传输系统、广西食品药品监管信息化顶层设计网络工程总体方案22/48全区投诉举报系统、邮件系统、四品一械监管系统、全区视频会议系统、药品不良反应监测系统、食品药品舆情监测系统、移动执法办公管理系统、食品安全信息平台、电子追溯等系统的运行，在数据中心统一构建的数据库服务器、应用服务器、WEB服务器、存储系统以及备份系统。主机及存储系统的建设一方面需满足上述各类应用系统的目前的性能要求，另一方面也将充分考虑未来几年系统升级扩容的扩展性需求。411数据量估算根据本工程所需建设数据库的主要内容，并考虑现有部分应用系统的数据资源现状，估算5年内本系统所产生的各类数据的总量如下。（1）组织机构数据根据食药监的发展趋势和未来规划，5年内在组织机构方面不会有大范围的调整，行政部门、检验所基本信息、人员编制和各业务点信息没有大的变化。当前组织机构数据量约为500MB，以每年3的增长率计算5年后的组织机构数据量约为580MB（2）企业数据根据2013年食品药品监管统计年报,截止2013年底，核发并在册的餐饮服务许可证有87632件，其中，餐馆24723家，快餐店5078家，饮品店10712家，小吃店32459家，食堂14618家，其他42家。截止2013年底，全区有5720个文号的注册品种，其中，药品4605个，医疗机构制剂1097个，药用辅料18个。全区药品生产企业247家；全区药品经营企业16129家，其中法人批发企业333家、零售连锁企业127家、连锁门店8696家、零售企业6852家。截止2013年底，全区保健食品、化妆品生产企业分别有29家、47家；保健食品、化妆品经营企业分别有18306家、18029家。截止2013年底，、类医疗器械注册证分别有272、496、12个；一、二、三类医疗器械生产企业分别有38、151、18家；医疗器械经营企业2224家。预估13万个数据点，按照每个数据点（基本信息、图片信息、电子广西食品药品监管信息化顶层设计网络工程总体方案23/48档案材料及法人、主要管理人员信息）20M13000约为25TB。增量信息按每年10计算25TB10约为025TB/年。5年后数据量总数约为4TB其中，电子档案材料主要包括行政许可中提交的材料以及业务活动中提交材料扫描件或其它电子材料。（3）企业业务活动数据具体业务活动信息。（申请、注册等）30KB130000条约为37GB。增量信息按每年30计算37GB30约为112GB/年。5年后数据量总数约为138GB（4）系统数据量总计5年后的系统数据量约为41TB。412存储性能要求（1）容量要求根据411节的数据量估算，本工程5年内实际产生数据量约为41TB，另外考虑40的余量及10的不可预见因素，总存储容量至少要求为615TB。（2）存取性能要求衡量存储系统的主要性能指标包括IOPS（每秒输入输出次数）和带宽。根据本工程应用特点，存储系统的数据读取以数据库等小文件的频繁读取为主，因此主要对存储系统的IOPS要求较高。根据类似工程经验，本工程存储系统IOPS至少应达到300,000。413备份系统性能要求备份系统将对原始数据进行一定的压缩处理后进行存储备份，但由于大部分原始数据需要按照不同时间点记录，作为历史数据存档，结合相关工程经验，备份系统容量按照存储系统容量的3倍考虑，即本工程备份系统的数据容量约为19TB。广西食品药品监管信息化顶层设计网络工程总体方案24/4842数据存储与备份方案421设备选型（一）存储系统针对较大规模的数据存储系统，目前市场主流的存储技术主要有FCSAN（基于光纤的存储网络）与IPSAN（基于ISCSI协议与IP网络的存储网络）两种。IPSAN与FCSAN具备相同的存储网络结构，区别在于前者通过IP网络来传输数据，而后者是通过光纤通道来传递。针对实际应用在传输速度、可维护性、经济性等各方面对存储系统的要求，分别从以下4个方面对两项技术进行比较，归纳如下表表41主流存储技术路线对比比较项目FCSANIPSAN1传输速度高并发少时高，并发多时一般2传输稳定性高一般3可管理性一般好4经济性一般好基于以上主流存储技术路线之间的对比，在应对大容量存储和大量用户并发访问导致的频繁I/O操作时，FCSAN相比IPSAN具有较明显的性能优势。因此本工程推荐采用高可靠的FCSAN来构建核心业务系统的数据存储系统，而非核心业务系统对响应能力、可靠性能的要求相对较低，因此可以使用性价比更高的IPSAN存储系统。（二）备份系统目前主流的备份系统建设技术路线主要有两种，即采用传统的磁带库或者虚拟磁带库。传统的磁带库以磁带作为存储媒介，通过机械手臂实现磁带的控制；虚拟磁带库的物理设备为磁盘阵列，通过配套的备份管理软件能够实现与传统磁带库完全相同的备份策略。目前虚拟磁带库的主要应用领域是从高性能的磁盘数据管理到较低性能的磁带备份之间的缓冲设备，通过存储虚拟化技术把一个磁盘存储系统完全模拟成一个磁带库，具有备份、恢复速度快的优点，但单位备份容量广西食品药品监管信息化顶层设计网络工程总体方案25/48投入成本高、耗电量大、不易离线存档。结合本工程备份系统容量要求（约19TB），传统磁带库技术成熟、经济性好、便于数据离线存档，因此本工程推荐采用传统磁带库技术路线来构建备份系统。43数据灾备方案431容灾系统的提出信息系统的核心就是应用和数据，为预防硬件故障、软件故