国家电力信息网络运维方案.doc

国家电力信息网络运维方案目 录第一章 前 言2第二章 电力网络安全需求分析与设计规划32.1电力网安全建设需求分析：32.1.1 网络安全威胁来源32.1.2 网络安全体系结构42.2电力网网络安全建设应重点考虑的几个问题92.2.1机房建设的安全性92.2.2 防病毒软件的使用92.2.3 防火墙的使用102.2.4 入侵检测与漏洞扫描102.2.5 身份验证102.2.6虚拟网络技术的应用102.2.7 网络管理112.3电力网络安全设计原则：112.3.1安全体系设计原则112.3.2安全策略设计原则122.3.3安全管理设计原则132.3.4网络结构安全设计原则142.3.5安全产品选型原则15第三章 网络安全解决方案163.1 机房安全建设解决方案163.2 网络防病毒解决方案193.3 防火墙解决方案223.4网络环境下的身份认证解决方案263.5入侵检测与漏洞扫描解决方案273.5.1 什么是入侵检测系统？273.5.2入侵检测的必要性283.5.3入侵检测系统的工作原理303.6 网络管理323.7 常见安全网络拓扑37第四章 方 案 相 关 产 品 介 绍374.1 华为3COM公司374.2 华为产品介绍38第五章 工程业绩与公司简介565.1工程业绩565.2公司简介60第一章 前 言 中国电力系统的信息化从20世纪60年代就已经开始起步，早期主要集中在发电厂和变电站自动监测/控制方面等电力生产过程自动化，20世纪8090年代开始进入电力系统专项业务应用，涉及电网调度自动化、电力负荷控制、计算机辅助设计、计算机仿真系统等的使用。20世纪末，电力信息技术进一步发展到综合应用，各级电力企业开始建立管理信息系统，实现管理信息化，电力信息化逐渐从生产操作层走向管理层，并向更深层次拓展。相对于传统行业，我国电力行业的信息化建设发展较早，已经有了一定的规模，到目前为止，电力企业的网络普遍建立，电力专用通信网已日趋完善，形成了微波、卫星、光纤、无线移动通信等多种类通信手段，通信范围覆盖全国。在此基础上，基本建成从国家电网公司区域电网中心省电力公司地市电力公司变电所（局）的四级计算机网络和电力生产调度网络，成为生产控制、电力调度以及信息传输和交换的重要基础设施。随着电力市场化以及电网建设的进一步发展，传统的电力系统业务正在发生变化，这主要体现在电力交易系统、电能量计量系统的建设；会议电视、变电站视频监控(无人值守)、输变电线路监控及电厂视频监控等视频业务的出现；传统单一主机的调度自动化体系架构向客户机/服务器体系架构的转变；监视全网运行状况，提供故障记录和分析的故障录波系统的建设：雷电定位系统、气象信息系统的建设；多媒体业务的出现等。因此，基于Internet/Intranet的体现信息化综合业务应用的管理信息系统将成为电力企业信息化的发展重点。电力数据网络承载的业务按照其性质和对安全的要求分为实时控制业务、非控制生产业务、生产管理业务和管理信息业务。目前网络上所有业务都承载在同一网络上，存在安全隐患，服务质量也难以保证。按照国家电力公司的统一规划，提出了“两网分开”的措施。其中实时控制业务和非控制生产业务属于电力生产和控制的关键业务，对可靠性、实时性、安全性的要求非常严格，由独立的电力调度数据网承载。而生产管理业务和管理信息业务由电力通信数据网承载。两个网络之间物理上分离。无论对于电力调度数据网还是电力通信数据网，建立一个综合、经济、可靠、安全的通信网络，既能满足现在电力系统语音、数据、图像等各种业务的需求，又能面向未来，支持不断增多的用户、更大的带宽以及新的业务的广域数据网是关键所在。结合我们对电力行业的多方面了解，我们山东电力的信息化建设在国家电力信息化建设方面，今年是重点推进的项目之一，已进入了加快发展阶段。我们山东博威信息技术有限公司，无论在电力行业，还是在教育、政府、金融、军队等其他重点行业以及中大型企业的信息化建设，都积累了丰富的行业项目集成经验。我们的精英团队深知电力网信息化建设的重任，现在将以更大、更坚定的步伐服务于我们山东电力以及全国电力网络的信息化建设。第二章 电力网络安全需求分析与设计规划2.1电力网安全建设需求分析：2.1.1 网络安全威胁来源自信息系统开始运行以来就存在信息系统安全问题，通过网络远程访问而构成的安全威胁成为日益受到严重关注的问题。根据美国FBI的调查，美国每年因为网络安全造成的经济损失超过170亿美元。网络安全威胁的来源在于网络内运行的多种网络协议，因为这些网络协议并非专为安全通讯而设计。因此，网络可能存在的安全威胁来自以下方面:1.操作系统的安全性。前流行的许多操作系统均存在网络安全漏洞，如UNIX服务器，NT服务器及Windows桌面PC；2.防火墙的安全性。防火墙产品自身是否安全，是否设置错误，需要经过检验；3.来自内部网用户的安全威胁；4.缺乏有效的手段监视、评估网络系统的安全性；5.采用的TCP/IP协议族软件，本身缺乏安全性；6.应用服务的安全。多应用服务系统在访问控制及安全通讯方面考虑较少，并且，如果系统设置错误，很容易造成损失2.1.2 网络安全体系结构以上所列举的种种网络安全问题，从网络结构上来讲涉及到网络结构的各个层次。按照OSI 7层模型，网络安全贯穿于整个7层模型。针对网络实际运行的TCP/IP协议，网络安全贯穿于信息系统的4个层次。2.1.3 平台安全的层次模型会话层应用层应用系统应用平台网络层链路层物理层会话安全应用层应用系统安全应用平台安全安全路由/访问机制链路安全物理层信息安全上图表示了对应网络的安全体系层次模型：图1-1 安全体系层次模型. 物理层的安全物理层信息安全，主要防止物理通路的损坏、物理通路的窃听、对物理通路的攻击（干扰等）。. 链路层的安全链路层的网络安全需要保证通过网络链路传送的数据不被窃听。主要采用划分VLAN（局域网）、加密通讯VPN（远程网）等手段。. 网络层的安全网络层的安全需要保证网络只给授权的客户使用授权的服务，保证网络路由正确，避免被拦截或监听。. 操作系统的安全操作系统安全要求保证客户资料、操作系统访问控制的安全，同时能够对该操作系统上的应用进行审计。. 应用平台的安全应用平台指建立在网络系统之上的应用软件服务，如数据库服务器、电子邮件服务器、Web服务器等。由于应用平台的系统非常复杂，通常采用多种技术（如SSL等）来增强应用平台的安全性。. 应用系统的安全应用系统完成网络系统的最终目的-为用户服务。应用系统的安全与系统设计和实现关系密切。应用系统使用应用平台提供的安全服务来保证基本安全，如通讯内容安全，通讯双方的认证，审计等手段。2.1.4 电力网络安全建设的需求分析根据咱们山东电力信息网络的实际情况，我公司认为电力行业数据网络经过多年建设，已经建成一个基础良好的网络，但是随着电网建设的新需求、电网市场化的进一步发展以及信息安全技术的发展，电力数据网络建设正面临若干亟待解决的挑战：1.两网分离：在电力调度数据网与电力通信数据网分离的大趋势下，如何实现两网分离是摆在各级调度机构面前的紧迫问题。全国各地区经济发展不平衡、电网规模各异、现有数据网络情况千差万别。部分省份已经建设了ATM骨干数据网，另外部分省份建设了IP宽带数据网，也有部分省份网络骨干还是基于微波和窄带线路的窄带网络。如何实现两网分离，是新建网络还是利用原有网络，如何保护现有投资，都是各级调度通信中心需要考虑的问题。2.宽带网络：国家电网公司、南方电网公司和几大发电集团，对电力信息化的需求日益增强，对数据的即时性、准确性和各公司实际生产运行以及经济运行相关性将有更高的要求。各电力企业开发的财务系统、人力资源系统、生产管理系统、电力营销系统、物质设备管理系统、电力负荷管理系统、安全监督管理系统、计划统计和综合指标系统等业务系统需要整合，提高信息资源共享水平，建立起一个适应现代市场化环境的电力企业信息系统，为电力公司的产业提升和经营管理服务。另一方面还需要加强企业信息网络安全建设，确保企业稳定安全发展。要把信息系统的防灾减灾系统、数据异地备份和双机备份、远程备份等安全理念引入信息网安全系统中，建立企业的应急处理系统。现有的广域网络的带宽、性能和覆盖率还不能满足电力市场化运行的需要，企业信息系统的实用化程度有待提高。加快建设信息网络，特别是建成以光纤通信为主的现代化电力通信传输干线网络，形成高速宽带数据网，构建电力高速数据通信网络平台，是目前面临的迫切需要。3.业务互通：各级电力公司的内部网络虽然普遍建立，基本实现了办公网络化，但是网络之间缺少互联互通，各网络的信息系统不能共享，造成网络的割裂和信息的孤岛。而电力市场化之后，各级机构之间面临着统一业务的需要，如：电力交易系统、电能量计量系统的建设面临着全省网络的互通和省际、网际之间的交互，对广域网络建设提出更高的要求，全国性骨干网络和区域电网的建设是实现这一目标的必有之路。4.电力市场化：电力改革实现了“厂网分离、竞价上网”，在电力行业引入市场竞争机制，电力改革，改变了市场竞争格局，改变了价值链模式，最终要求企业改革自身的管理来应对各种变化。以信息技术提高管理运营效率的利器?企业信息化，其根本基础是企业的运营与管理，也必须适应这种管理与运营的变化。因此，电力改革最终也会影响到电力行业企业信息化建设。企业必须向以客户为中心的管理与运营模式方向转变，作为国家公用基础性行业企业，电力行业的竞争是同质产品的竞争，如何在最短的时间里，以最好的服务质量、最低的服务成本提供给用户服务是电力行业企业信息化要实现的目标，管理信息化建设将成为重点内容。其中重点建设的内容包括：提升企业内部管理效率、降低成本的ERP系统与EAM系统，支持客户信息管理与分析的CRM系统，全面提高价值链竞争效率的SCM系统等都将纳入电力行业企业信息化建设。而实现企业信息化的基础就是数据网络。一个稳定、可靠、高安全的网络正是实现各种业务管理系统、提高客户满意度的前提条件。根据以上电力网络发展情况，在网络安全方面为了满足以上发展情况，我们可以得到以下需求： 网络的基本安全需求 满足基本的安全要求，是该网络成功运行的必要条件，在此基础上提供强有力的安全保障，是网络系统安全的重要原则。 网络内部部署了众多的网络设备、服务器，保护这些设备的正常运行，维护主要业务系统的安全，是网络的基本安全需求。 对于各种各样的网络攻击，如何在提供灵活且高效的网络通讯及信息服务的同时，抵御和发现网络攻击，并且提供跟踪攻击的手段，是本项目需要解决的问题。网络基本安全要求主要表现为：a. 网络正常运行。在受到攻击的情况下，能够保证网络系统继续运行。b. 网络管理/网络部署的资料不被窃取。c. 具备先进的入侵检测及跟踪体系。d. 提供灵活而高效的内外通讯服务。 应用系统的安全需求与普通网络应用不同的是，应用系统是网络功能的核心。对于应用系统应该具有最高的网络安全措施。应用系统的安全体系应包含：a. 访问控制，通过对特定网段、服务建立的访问控制体系，将绝大多数攻击阻止在到达攻击目标之前；b. 检查安全漏洞，通过对安全漏洞的周期检查，即使攻击可到达攻击目标，也可使绝大多数攻击无效；c. 攻击监控，通过对特定网段、服务建立的攻击监控体系，可实时检测出绝大多数攻击，并采取相应的行动（如断开网络连接、记录攻击过程、跟踪攻击源等）；d. 加密通讯，主动的加密通讯，可使攻击者不能了解、修改敏感信息；e. 认证，良好的认证体系可防止攻击者假冒合法用户；f. 备份和恢复，良好的备份和恢复机制，可在攻击造成损失时，尽快地恢复数据和系统服务；g. 多层防御，攻击者在突破第一道防线后，延缓或阻断其到达攻击目标；h. 隐藏内部信息，使攻击者不能了解系统内的基本情况；i. 设立安全监控中心，为信息系统提供安全体系管理、监控，维护及紧急情况服务 平台安全的需求网络平台将支持多种应用系统，对于每种系统均在不同程度上要求充分考虑平台安全。平台安全与平台性能和功能的关系通常，系统安全与性能和功能是一对矛盾的关系。如果某个系统不向外界提供任何服务（断开)，外界是不可能构成安全威胁的。但是，若要提供更多的服务，将网络建成了一个开放的网络环境，各种安全包括系统级的安全问题也随之产生。构建平台安全系统，一方面由于要进行认证、加密、监听、分析、记录等工作，由此影响网络效率，并且降低客户应用的灵活性；另一方面也增加了管理费用。但是，来自网络的安全威胁是实际存在的，特别是在网络上运行关键业务时，网络安全是首先要解决的问题。选择适当的技术和产品，制订灵活的网络安全策略，在保证网络安全的情况下，提供灵活的网络服务通道。采用适当的安全体系设计和管理计划，能够有效降低网络安全对网络性能的影响并降低管理费用。平台安全的管理因素平台安全可以采用多种技术来增强和执行。但是，很多安全威胁来源于管理上的松懈及对安全威胁的认识。来自平台方面的安全威胁主要利用以下途径：a. 系统实现存在的漏洞；b. 系统安全体系的缺陷；c. 使用人员的安全意识薄弱；d. 管理制度的薄弱；良好的平台管理有助于增强系统的安全性：a. 及时发现系统安全的漏洞；b. 审查系统安全体系；c. 加强对使用人员的安全知识教育；d. 建立完善的系统管理制度。2.2电力网网络安全建设应重点考虑的几个问题2.2.1机房建设的安全性在机房建设的过程中，用户最看重的是各种机房设备的稳定性和可靠性。智能化管理与监控作为一个机房建设的重要组成部分，提高了机房的可用性和安全性，而且作为机房本身一个重要的功能已经被融入到越来越多的机房设计中。机房当中的安全性既包括设备的物理安全性又包括网络逻辑上的安全性。2.2.2 防病毒软件的使用各个厂商的防病毒软件产品都有其不同的特色和侧重点。国内的防病毒软件通常具有运行迅速、资源占用低的特点，查毒能力和杀毒能力也都表现良好，只是在病毒处理方面还有待提高；国际厂商的产品在技术处理方面仍旧保有优势，但其并非完美无缺，一些处理策略和产品理念上并不适合国内市场，比较明显一点的就是国际厂商一般对仅在国内流行的qq病毒无法查杀。综合而言，我们可以根据我们电力部门在广域网接入和本地局域网内各采用不同特性的杀毒软件，以满足我们不同的需求。2.2.3 防火墙的使用今天的防火墙设备被用来保护计算机网络免受未授权人员的骚扰与黑客的入侵，这些设备尤如一道城墙一样隔在被保护的网络与不安全的非信任网络之间。防火墙是位于两个信任程度不同的网络之间（如企业内部网络和INTERNET之间）的软件或硬件设备的组合，它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问，以达到保护系统安全的目的。2.2.4 入侵检测与漏洞扫描入侵监测系统就像大厦的保安监视系统一样，监视着网络上的一举一动。它的“摄像头”连接在网络的主要节点上，侦听、分析网络流量；它的“监视器”安装在网络安全管理员的主机上，以便随时发觉网络中的入侵行为。通过运用先进的入侵监测技术，入侵监测系统可以发现绝大多数的网络攻击行为。2.2.5 身份验证认证是计算机和网络安全的基本组成部分。对用户身份进行认证，使企业能够充满自信的对不同的用户帐号指定不同的允许和访问权限，以保证每个登陆到系统和网络中的用户只有完成他们工作所需的最低级别权限。2.2.6虚拟网络技术的应用出于电力行业的行政安全设置、建筑物的集中布线方式以及一些应用和安全的考虑，虚拟网的划分是必须的，针对每一个部门，通过VLAN划分的方式，将不同部分进行有效地隔离，减少了冲突域，提高了网络的安全访问。此外，用户需要的不仅仅是简单的划分，更多的是如何有效的，简便的、动态修改和配置它们。2.2.7 网络管理电力网网络系统分布在不同的地区，同时又分布在各个地区的不同位置，日常的网络维护和操作的工作量大大增加，网络系统需要一个可靠，便捷、功能强大的网络管理系统来充分有效的管理和利用局域网络资源。以上提出了一些在电力网络设计及数据存储应考虑的因素，它与我们的设计原则是相符合的。在对整个网络系统的设计中，我们必须坚持从用户实际需求出发，利用先进的技术，为用户构建真正适合自身的网络安全及存储系统。2.3电力网络安全设计原则：物理实体安全企业安全策略用户责任病毒防治保密教育信息安全信息服务操作系统计算机网络安全图 2-1网络安全体系结构主要考虑安全对象和安全机制，安全对象主要有网络安全、系统安全、数据库安全、信息安全、设备安全、信息介质安全和计算机病毒防治等，其安全体系结构如图2-1所示2.3.1安全体系设计原则在进行计算机网络安全设计、规划时，应遵循以下原则：a. 需求、风险、代价平衡分析的原则 ：对任一网络来说，绝对安全难以达到，也不一定必要。对一个网络要进行实际分析，对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定本系统的安全策略。保护成本、被保护信息的价值必须平衡，价值仅1万元的信息如果用5万元的技术和设备去保护是一种不适当的保护。b. 综合性、整体性原则 ：运用系统工程的观点、方法，分析网络的安全问题，并制定具体措施。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络包括个人、设备、软件、数据等环节。它们在网络安全中的地位和影响作用，只有从系统综合的整体角度去看待和分析，才可能获得有效、可行的措施。 c. 一致性原则这主要是指网络安全问题应与整个网络的工作周期（或生命周期）同时存在，制定的安全体系结构必须与网络的安全需求相一致。实际上，在网络建设之初就考虑网络安全对策，比等网络建设好后再考虑，不但容易，而且花费也少得多。d. 易操作性原则安全措施要由人来完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。其次，采用的措施不能影响系统正常运行。 e. 适应性、灵活性原则 安全措施必须能随着网络性能及安全需求的变化而变化，要容易适应、容易修改。f. 多重保护原则 任何安全保护措施都不是绝对安全的，都可能被攻破。但是建立一个多重保护系统，各层保护相互补充，当一层保护被攻破时，其它层保护仍可保护信息的安全2.3.2安全策略设计原则安全策略分安全管理策略和安全技术实施策略两个方面：a. 管理策略安全系统需要人来执行，即使是最好的、最值得信赖的系统安全措施，也不能完全由计算机系统来完全承担安全保证任务，因此必须建立完备的安全组织和管理制度。b. 技术策略技术策略要针对网络、操作系统、数据库、信息共享授权提出具体的措施。2.3.3安全管理设计原则计算机信息系统的安全管理主要基于三个原则。a. 人负责原则每项与安全有关的活动都必须有两人或多人在场。这些人应是系统主管领导指派的，应忠诚可靠，能胜任此项工作。b. 任期有限原则一般地讲，任何人最好不要长期担任与安全有关的职务，以免误认为这个职务是专有的或永久性的。c. 职责分离原则除非系统主管领导批准，在信息处理系统工作的人员不要打听、了解或参与职责以外、与安全有关的任何事情。安全管理的实现信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性，制订相应的管理制度或采用相应规范，其具体工作是：a. 确定该系统的安全等级；b. 根据确定的安全等级，确定安全管理的范围；c. 制订相应的机房出入管理制度，对安全等级要求较高的系统，要实行分区控制，限制工作人员出入与己无关的区域；d. 制订严格的操作规程，操作规程要根据职责分离和多人负责的原则，各负其责，不能超越自己的管辖范围；e. 制订完备的系统维护制度，维护时，要首先经主管部门批准，并有安全管理人员在场，故障原因、维护内容和维护前后的情况要详细记录；f. 制订应急措施，要制订在紧急情况下，系统如何尽快恢复的应急措施，使损失减至最小；e. 建立人员雇用和解聘制度，对工作调动和离职人员要及时调整相应的授权。安全系统需要由人来计划和管理，任何系统安全设施也不能完全由计算机系统独立承担系统安全保障的任务。一方面，各级领导一定要高度重视并积极支持有关系统安全方面的各项措施。其次，对各级用户的培训也十分重要，只有当用户对网络安全性有了深入了解后，才能降低网络信息系统的安全风险。总之，制定系统安全策略、安装网络安全系统只是网络系统安全性实施的第一步，只有当各级组织机构均严格执行网络安全的各项规定，认真维护各自负责的分系统的网络安全性，才能保证整个系统网络的整体安全性。2.3.4网络结构安全设计原则由于网络的互连是在链路层、网络层、传输层、应用层不同协议层来实现，各个层的功能特性和安全特性也不同，因而其网络安全措施也不相同。物理层安全涉及传输介质的安全特性，抗干扰、防窃听将是物理层安全措施制定的重点。在链路层，通过“桥”这一互连设备的监视和控制作用，使我们可以建立一定程度的虚拟局域网，对物理和逻辑网段进行有效的分割和隔离，消除不同安全级别逻辑网段间的窃听可能。在网络层，可通过对不同子网的定义和对路由器的路由表控制来限制子网间的接点通信，通过对主机路由表的控制来控制与之直接通信的节点。同时，利用网关的安全控制能力，可以限制节点的通信、应用服务，并加强外部用户识别和验证能力。对网络进行级别划分与控制，网络级别的划分大致包括Internet/企业网、骨干网/区域网、区域网/部门网、部门网/工作组网等，其中Internet/企业网的接口要采用专用防火墙，骨干网/区域网、区域网/部门网的接口利用路由器的可控路由表、安全邮件服务器、安全拨号验证服务器和安全级别较高的操作系统。增强网络互连的分割和过滤控制，也可以大大提高安全保密性。随着企业个人与个人之间、各部门之间、企业和企业之间、国际间信息交流的日益频繁，信息传输的安全性成为一个重要的问题。尽管个人、部门和整个企业都已认识到信息的宝贵价值和私有性，但商场上的无情竞争已迫使机构打破原有的界限，在企业内部或企业之间共享更多的信息，只有这样才能缩短处理问题的时间，并在相互协作的环境中孕育出更多的革新和创造。然而，在群件系统中共享的信息却必须保证其安全性，以防止有意无意的破坏。物理实体的安全管理现已有大量标准和规范，如GB9361-88计算机场地安全要求、GFB2887-88计算机场地技术条件等。2.3.5安全产品选型原则在进行网络安全方案的产品选型时，要求安全产品至少应包含以下功能：a. 访问控制：通过对特定网段、服务建立的访问控制体系，将绝大多数攻击阻止在到达攻击目标之前；b. 检查安全漏洞：通过对安全漏洞的周期检查，即使攻击可到达攻击目标，也可使绝大多数攻击无效；c. 攻击监控：通过对特定网段、服务建立的攻击监控体系，可实时检测出绝大多数攻击，并采取相应的行动（如断开网络连接、记录攻击过程、跟踪攻击源等）；d. 加密通讯：主动的加密通讯，可使攻击者不能了解、修改敏感信息；e. 认证：良好的认证体系可防止攻击者假冒合法用户；f. 恢复：良好的备份和恢复机制，可在攻击造成损失时，尽快地恢复数据和系统服务；g. 多层防御：攻击者在突破第一道防线后，延缓或阻断其到达攻击目标；h. 隐藏内部信息：使攻击者不能了解系统内的基本情况；i. 设立安全监控中心：为信息系统提供安全体系管理、监控，保护及紧急情况服务。第三章 网络安全解决方案3.1 机房安全建设解决方案 3.1.1 电气系统1、 数据中心供配电系统应为380V/200V、50HZ，计算机供电质量达到A级。2、 供配电方式为双路供电系统加UPS电源及柴油发电机设备，并对空调系统和其他用电设备单独供电，以避免了空调系统启停对重要用电设备的干扰。供电系统的负荷包含如下方面：服务器功率单台服务器功率 服务器台数 = 总功率UPS总功率：一般采用n+1备份方案，亦即并联UPS台数多加壹台，以防止某一台机组出现故障。目前UPS效率均在90%以上，故按照服务器总功率可以计算出UPS的总KVA数。工作区恒温恒湿精密空调负荷：工作区面积200250 kcal/hr /m2 = 总的空调所需制冷量按上述数据即可确定精密空调的数量，同时亦可确定空调所耗费电功率。办公区空调、照明等负荷其它用负荷由上可以计算出一个数据中心机房所需的用电负荷总功率。3、 电源分类：一类电源为UPS供电电源，由电源互投柜引至墙面配电箱，分路送到活动地板下插座，再经插座分接计算机电源处，电缆用阻燃电缆，穿金属线槽钢管敷设。二类电源为市电供电电源，由电源互投柜分别送至空调、照明配电箱和插座配电箱，再分路送至灯具及墙面插座。电缆用阻燃电缆，照明支路用塑铜线，穿金属线槽及钢管敷设。三类电源为柴油发电机组，是作为特别重要负荷的应急电源，应满足的运行方式为：正常情况下，柴油发电机组应始终处于准备发动状态，当两路市电均终断时，机组应立即启动，并具备带100%负荷的能力。任一市电恢复时，机组应能自动退出运行并延时停机，恢复市电供电。机组与电力系统间应有防止并列运行的连锁装置。柴油发电机组的容量应按照用电负荷的分类来确定，因为有的负荷需要很大的启动功率，如空调电动机，这就需要合理选择发电机组容量，以避免过大的启动电压降，一般根据上述用电负荷总功率的2.5倍来计算。4、 配电柜配电箱、柜应有短路、过流保护，其紧急断电按钮与火灾报警联锁。配电箱、柜安装完毕后，进行编号，并标明箱、柜内各开关的用途以便于操作和检修。配电箱、柜内留有备用电路，作机房设备扩充时用电。5、 插座机房内用电插座分为两大类，即UPS插座和市电插座。机房各工作间均留有备用插座安装在墙壁下方供设备维修时用。6、 电缆（电线）电缆（电线）在铺设时应该平直，电缆（电线）要与地面、墙壁、天花板保持一定的间隙。不同规格的电缆（电线）在铺设时要有不同的固定距离间隔。电缆（电线）在铺设施工中弯曲半径按厂家和当地供电部门的标准施工。 铺设电缆时要有留有适当的余度。地板下的电缆穿钢管或在金属线槽里铺设。7、 照明机房照明按电子计算机机房设计规范规定。照明灯具采用嵌入式安装。事故照明用备用电源自投自复配电箱，市电与UPS电源自动切换。灯具内部配线采用多股铜芯导线，灯具的软线两端接入灯口之前均应压扁并搪锡，使软线与固定螺丝接触良好。灯具的接地线或接零线，必须用灯具专用接地螺丝并加垫圈和弹簧垫圈压紧。在机房内安装嵌装灯具固定在吊顶板预留洞孔内专设的框架上。灯上边框外缘紧贴在吊顶板上，并与吊顶金属明龙骨平行。在机房内所有照明线都必须穿钢管或者金属软管并留有余量。电源线应通过绝缘垫圈进入灯具，不应贴近灯具外壳。8、 接地系统依据国标GB50169-92电气安装，接地施工及验收规范。计算机直流地与机房抗静电接地及保护地严格分开以免相互干扰，采用T50x0.35铜网，所有接点采用锡焊或铜焊使其接触良好，以保证各计算机设备的稳定运行并要求其接地电阻1。机房抗静电接地与保护地采用软扁平编织铜线直接敷设到每个房间让地板就近接地，能使地板产生的静电电荷迅速入地。9、 防雷为防止机房设备的损坏和数据的丢失，机房防雷尤其重要。按国家建筑物防雷设计规范，本设计对机房电气电子设备的外壳、金属件等实行等电位连接，并在低压配电电源电缆进线输入端加装电源防雷器。防雷接地电阻要求小于10。3.1.2 空调系统根据GB2887-82计算机场地技术要求，按A级设计，温度T=232，相对湿度=55%5%，夏季取上限，冬季取下限。气流组织采用下送风、上回风，即抗静电活动地板静压箱送风，吊顶天花微孔板回风。新风量设计取总风量的10%，中低度过滤，新风与回风混合后，进入空调设备处理，提高控制精度，节省投资，方便管理。3.1.3 门禁系统门禁管理系统的主要目的是保证重要区域设备和资料的安全，便于人员的合理流动，对进入这些重要区域的人员实行各种方式的门禁管理，以便限制人员随意进出。卡片最好采用现在流行的感应式卡片。卡出入系统首先应具有权限设置的功能，即每张卡可进出的时间、可进出哪道门，不同的卡片持有者应有不同的权限。每次有效的进入都应存档或统计。应有完善的密码系统，即对系统的更改，不同的操作者应有不同的权限。电锁应采用安全可靠的产品，有电闭锁或无电闭锁根据用户要求可调。紧急情况下或电锁出现故障的情况下应有应急钥匙可将门打开。门禁系统最好采用计算机控制系统。全套系统最好有备用电源。3.1.4 监控系统1、 机房中有大量的服务器及机柜、机架。由于这些机柜及机架一般比较高，所以监控的死角比较多，因此在电视监控布点时主要考虑各个出入口，每一排机柜之间安装摄象机。如果在各出入口的空间比较大，可考虑采用带变焦的摄象机，在每一排的机柜之间，根据监视距离，配定焦摄象机即可。如果机房有多个房间的话，可考虑在UPS房和控制机房内安装摄象机。2、 产品选型及技术要求：电视监控系统图像信号应满足图像信号技术指标表中的要求项目指标值复合视频信号幅度（10.3）V（峰-峰）黑白电视水平清晰度=350TVL彩色电视水平清晰度=270TVL黑白电视灰度等级=8信噪比=38一般情况下，定焦摄象机在光照度变化大的场所应选用自动光圈镜头并配置防护罩，在光照稳定光源充足的地方，用固定光圈镜头可降低成本。图像信号应保持24小时录像，录像方式可采用硬盘录像，也可采用传统的录像系统。闭路电视控制系统最好有视频动态报警功能。同时如果具有视频远程传输功能，即通过Internet、ISDN、局域网或电话线将监视信号传输到远程客户指定的地方，在使用时将会更加方便。在安装闭路电视的同时，也可考虑在重要的机房档案库安装防盗报警系统以加强防范手段。3.1.5 消防系统1、 方案依据l 高层建筑防火设计规范GBJ45-82l 火灾自动报警系统设计规范GBJ116-882、 消防自动报警及控制系统的组成l 消防控制中心包括智能火灾报警控制主机，用于集中报警及控制。l 消防控制中心外围报警及控制包括光电感烟探测器、感温探测器、组合控制器和气瓶等。上述设备位于各楼层现场和端子箱内。3.2 网络防病毒解决方案 计算机病毒与反病毒技术的发展，致使企业不能再依靠单一的防毒体系来保全资源，面对日益复杂的病毒技术的出现，必须出现一种全新的企业防毒模式。基于企业防毒的需求，我们公司所提供的企业全线防毒体系，无疑给了我们电力网络一个更加安全的防护模式。1、杀毒软件【网络版】体系结构 杀毒软件【网络版】整个防病毒体系是由四个相互关联的子系统组成。每一个子系统均包括若干不同的模块，除承担各自的任务外，还与另外子系统通讯，协同工作，共同完成对网络的病毒防护工作。一、系统中心系统中心是整个网络防病毒系统的信息管理和病毒防护的自动控制核心。它实时地记录防护体系内每台计算机上的病毒监控、检测和清除信息。同时，根据控制台的设置，实现对整个防护系统的自动控制。其他子系统只有在系统中心工作后，才可实现各自的网络防护功能。它必须先于其它子系统安装到符合条件的服务器上。二、服务器端服务器端是专门为网络服务器设计的防病毒子系统。它承担着对当前服务器上病毒的实时监控、检测和清除任务，同时自动向系统中心报告病毒监测情况。三、客户端客户端是专门为网络工作站（客户机）设计的防病毒子系统。它承担着对当前工作站上病毒的实时监控、检测和清除任务，同时自动向系统中心报告病毒监测情况。四、控制台控制台是为网络管理员专门设计，是整个网络防病毒系统设置、使用和控制的操作平台。它集中管理网络上所有已安装过网络版客户端的计算机，保障每个纳入防护网络的计算机时刻处于最佳的防病毒状态。同时实现对系统中心的管理。它既可以安装到服务器上也可以安装到客户机上，视网络管理员的需要，可自由安装。所以，它又被称为“移动控制台”。2、如何进行防病毒管理当一个计算机网络安装杀毒软件【网络版】后，必须将防病毒管理纳入日常工作。只有通过网络系统管理员，杀毒软件【网络版】和我公司的技术支持三方努力下才能真正实现整个网络安全的目的。针对杀毒软件【网络版】提供的功能和特点，建议网络系统管理员进行如下的管理： 确立病毒防护原则在通过杀毒软件【网络版】、企业自身技术人员（多指网络管理员）和我公司技术支持工程师建立起网络的防病毒体系后，还必须确立该体系运转的工作原则。根据我们电力公司的网络状况、技术人员状况和其他实际情况，我公司提出以下建议：v所有计算机均应安装杀毒软件，避免形成防护体系的薄弱环节。v强制每台计算机开启实时监控功能。v在每台服务器和客户机上设定合理的定时扫描频率。v每次手动查杀病毒时，选择扫描所有文件。v在重要服务器或客户机上选定“清除之前备份带毒文件”功能。v系统管理员通过控制台获得某台服务器或客户机染毒信息后，应针对该计算机进行专门处理。 病毒防护信息管理系统中心对防护体系内所有计算机的病毒监控、检测，以及处理情况均有记录。对这些信息的有效监控、利用和管理会使整个防病毒工作更加有效。网络管理员应根据网络的实际运行状况和工作需要制定切实可行的管理方案。 监控、检测和清除病毒该项管理是网络防病毒管理的核心，利用杀毒软件【网络版】提供的各项功能可实现对所有计算机设计具体的管理方案。如，对实时监控、扫描、清除时间、周期等设置。 未知病毒侦测管理由于新病毒的不断出现，反病毒软件也要随之更新。只有建立一套完整可行的新病毒侦测和捕获方案才能实现这一过程的良性循环和周期的缩短。这也是维护整个网络安全必不可少的环节。一旦发现异常现象，及时与反病毒公司联系。 版本升级更新管理彻底解决新病毒的办法是保证杀毒软件的不断升级更新。为此，网络管理员应充分利用提供的各种升级方式，结合自身具体情况，制定合理的升级管理办法，并组织实施。3、杀毒软件【网络版】的特点远程化管理v远程杀毒： 网络管理员只需通过一台计算机，就可以对全网的所有计算机同时进行病毒检测和清除。v远程报警： 局域网中任何一台计算机上发现病毒时，杀毒软件自动将病毒信息传递给网络管理员。v远程操作： 网络管理员只需通过一台计算机，就可以对全网所有杀毒软件进行统一或个性化设置。自动化管理v自动安装： 整个局域网只需在一台计算机上安装杀毒软件，即可实现对所有计算机的自动安装。v自动升级： 系统自动从网站下载最新升级版本，并自动分发到各节点计算机，实现全网统一升级。功能强大，操作简便针对以往网络版杀毒软件设置复杂，操作繁琐的弊病，采用智能化的底层优化技术，在保持功能强大的前提下，实现了界面简洁、操作便利的目标，最大限度地减少了用户操作难度和工作量。集中式管理、分布式杀毒v中央系统中心结合移动控制台实现全网方便管理局域网内任意一台计算机均可设置为移动控制台。网络管理员通过帐号和口令使用移动控制台，即可清楚地掌握整个网络环境中各个节点的病毒监测状态，对局域网进行远程集中式安全管理。v先进的分布式管理技术杀毒软件采用先进的分布式管理技术，调用每个节点各自的杀毒软件对该计算机上所有文件进行全面查杀病毒，解决了以往网络版杀毒软件只能查杀共享文件的缺陷。由于不在网络上传输文件，既保障了每个节点使用者的隐私，又大大提高了全网查杀病毒的效率。3.3 防火墙解决方案3.3.1 防火墙简介在人们建筑和使用木制结构房屋的时候，为防止为灾的发生和蔓延，将坚固的石块堆砌在房屋周围作为屏障，这种防护构筑物被称之为防火墙。在今日的电子信息世界里，人们借助了这个概念，使用防火墙来保护敏感的数据不被窃取和篡改，不过这些防火墙是由先进的计算机系统构成的。今天的防火墙设备被用来保护计算机网络免受未授权人员的骚扰与黑客的入侵，这些设备尤如一道城墙一样隔在被保护的网络与不安全的非信任网络之间。我们目前广泛使用的互联网络便是世界上最大的非信任网，它在结构上并没有一个集中的管理机构，没有办法控制源自天这里的访问的合法性，近年来媒体报导的很多黑客入侵事件都是通过互联网络进行的。防火墙的概念简单的说，防火墙是位于两个信任程度不同的网络之间（如企业内部网络和INTERNET之间）的软件或硬件设备的组合，它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问，以达到保护系统安全的目的。防火墙通常是运行在一台单独计算机之上的一个特别的服务软件，用来保护由许多台计算机组成的大型网络。它既可以是非常简单的过滤器，也可能是精心配置的网关，但它们的原理是一样的，都是监测并过滤所有内部网和外部网之间的信息交换，防火墙保护着内部网络敏感的数据不被偷窃和破坏，并记录内外通讯的有关状态信息日志，如通讯发生的时间和进行的操作等等。新一代的防火墙甚至可以阻止内部人员将敏感数据向外传输。在把公司的局域网联入互联网络时，肯定不希望让全世界的人随意翻阅公司内部的工资单、个人资料或是客户数据库。即使在公司内部，同样也存在这种数据非法存取的可能性。例如一些对公司不满的员式可能会修改工资表和财务报告。而在设置了防火墙以后，就可以对网络数据的流动实现有效地管理：允许公司内部员工使用电子邮件，进行WEB浏览以及文件传输，但不允许外界随意访问公司内部的计算机，同样还可以限制公司中不同部门之间互相访问。将局域网络放置于防火墙之后可以有效阻止来自外界的攻击。为什么需要设防火墙设置防火墙使你的网络规划清晰明了，它可以识别并屏蔽非法的请求，有效防止跨越权限的数据访问。如果你的网络联入了互联欢网络而没有设置防火墙的话，你可能会接到许多系统入侵的报告。黑客袭击的例子屡见不鲜，在一些讲座计算机安全的站点上可以找到许多案例。黑客可以攻击美国国防部的网络，也可能会对一家公司发生兴趣。防火墙的几种形式防火墙有许许多多形式，有以软件形式运行在普通计算机之上的，也有以固件形式设计在硬件设备之中的。总的来说业界的分类有三种：包过滤防火墙；应用级网关；状态监视器。a. 包过滤防火墙在互联网络这样的TCP/IP网络上，所有往来的信息都被分割成许许多多一定长度的信息包，包中包含发送者的IP地址和接收者的IP地址信息。当这些信息包被送上互联网络时，路由器会读取接收者的IP并选择一条合适的物理线路发送出去，信息包可能经由不同的路线抵达目的地，当所有的包抵达目的地后会重新组装还原。包过滤式的防火墙会检查所有通过的信息包头部的IP地址，并按照管理员所给定的过滤规则进行过滤。如果对防火墙设定某一IP地址的站点为不适宜访问的话，从这个地址来的所有信息都会被防火墙屏蔽掉。包过滤防火墙的优点是它对于用户来说是透明的，处理速度快而且易于维护，通常做为第一道防线。但包过滤路由器通常没有用户的访问日志，这样就不能得到入侵者的攻击记录。b. 应用级网关应用级网关也就是通常我们提到的代理服务器。它适用天特定的互联网服务，如超文本传输（HTTP），远程文件传输（FTP）等等。代理服务器通常运行在两个网络之间，它对于客户来说象是一台真的服务器，而对于外界的服务器来说，它又是一台客户机。当代理服务器接收到用户对某站点的访问的站点内容，在下一个用户要访问同一站点时，服务器就不用重复地获取相同的内容，直接将缓存内容发出即可，既节约了时间也节约了网络资源。代理服务器会象一堵墙一样挡在内部用户和外界之间，从外部只能看到该代理服务器而无法获知任何的内部资源，诸如用户的IP地址等。应用级网关比单一的包过滤更为可靠，而且会详细地记录所有的访问状态信息。但是应用级网关也存在一些不足之处，首先它会使访问速度变慢，因为它不允许用户直接访问网络，而且应用级网关需要对每一个特定的服务安装相应的代理服务软件，用户不能使用未被服务器支持的服务，对每一类服务要使用特殊的客户端软件，更不幸的是，并不是所有的互联网应用软件都可以使用代理服务器。c. 状态监测防火墙这种防火墙具有非常好的安全特性，它使用了一个在网关上执行安全策略的软件模块，称之为监测引擎。监测引擎在不影响网络正常运行的前提下，采用抽取不关数据的方法对网络通信的各层实施监测，抽取状态信息，并动态地保存起来作为以后执行安全策略的参考。监测引擎支持多种协议和应用程序，并可以很容易地实现应用和服务的扩充。与前两种防火墙不同，当用户访问请求到达网关的操作系统前，状态监视器要抽取有关数据进行分析，结合网络配置和安全规定作出接纳、拒绝、身份认证、报警或给该通信加密等处理动作。一旦某个访问违反安全规定，就会被拒绝，并报告有关状态作日志记录。状态监测防火墙的另一个优点是它会监测无连接状态的远程过程调用（RPC）和用户数据报（UDP）之类的端口信息，而包过滤和应用网关防火墙都不支持此类应用。这种防火墙无疑是非常坚固的，但它对网络的速度有一定影响，而且配置也比较复杂。防火墙的生产厂商们已在他们的产品中如入了更多的新技术来增加产品的竞争力。网络应用的内容安全，如在网关上对计算机病毒进行实时的扫描和防护便是最新加入防火墙的功能。根据国际计算机安全协会（ICSA）的一份报告，在1996年有 23%的病毒感染是由EMAIL引起的。某些防火墙产品已能够监测通过HTTP，FTP，SMTP等协议传输的已知病毒。 防火墙的应用与选择在建立防火墙架构的同时，就将成长性的理念植入其中，不仅将会为你节省下许多的投入，同时还能够确保你的安全配置能够与你业务的扩展速度保持同步。下面，我们就一起来看看如何能够建立起一个具有高性价比、可以逐步升级的防火墙系统。 每一个将它的内部网络连接到互联网上的公司或者组织，都需要一套防