xxx电子政务网络工程数据系统建设项目技术方案

1、xxx电子政务务网络工程数据系系统建设项目目第一部分技术方案建议书书深圳xxx科技技有限公司 TIME EEEE年O月 二二二年九月月技术解决方案目 录TOC o 1-4 h z u HYPERLINK l _Toc388443519 第1章 项目概概述 PAGEREF _Toc388443519 h 1 HYPERLINK l _Toc388443520 1.1 项目简简介 PAGEREF _Toc388443520 h 1 HYPERLINK l _Toc388443521 1.2 建设目目标 PAGEREF _Toc388443521 h 2 HYPERLINK l _Toc388443

2、522 1.3 建设原原则 PAGEREF _Toc388443522 h 3 HYPERLINK l _Toc388443523 1.3.1 实实用性 PAGEREF _Toc388443523 h 3 HYPERLINK l _Toc3884435524 1.3.22 扩展性 PAGEREF _Toc388443524 h 4 HYPERLINK l _Toc388443525 1.3.3 模模块化设计 PAGEREF _Toc388443525 h 4 HYPERLINK l _Toc388443526 1.3.4 先先进性 PAGEREF _Toc388443526 h 4 HYPER

3、LINK l _Toc388443527 1.3.5 稳稳定性 PAGEREF _Toc388443527 h 4 HYPERLINK l _Toc388443528 1.3.6 安安全性 PAGEREF _Toc388443528 h 5 HYPERLINK l _Toc388443529 1.3.7 易易用性 PAGEREF _Toc388443529 h 5 HYPERLINK l _Toc388443530 1.3.8 经经济性 PAGEREF _Toc388443530 h 5 HYPERLINK l _Toc388443531 第2章 网络系系统建设方案案 PAGEREF _Toc

4、388443531 h 7 HYPERLINK l _Toc388443532 2.1 网络系系统概述 PAGEREF _Toc388443532 h 7 HYPERLINK l _Toc388443533 2.2 网络传传输链路 PAGEREF _Toc388443533 h 8 HYPERLINK l _Toc3884435334 2.2.11 传输链路路要求 PAGEREF _Toc388443534 h 8 HYPERLINK l _Toc388443535 2.2.2 传传输链路设计计 PAGEREF _Toc388443535 h 8 HYPERLINK l _Toc3884435

5、36 2.3 网络结结构设计 PAGEREF _Toc388443536 h 8 HYPERLINK l _Toc388443537 2.4 主要设设备选型 PAGEREF _Toc388443537 h 10 HYPERLINK l _Toc388443538 2.4.1 网网络设备选型型 PAGEREF _Toc388443538 h 10 HYPERLINK l _Toc388443539 1 核心路由由器选型 PAGEREF _Toc388443539 h 11 HYPERLINK l _Toc388443540 2 交换路由由器选型 PAGEREF _Toc388443540 h 1

6、1 HYPERLINK l _Toc388443541 3 核心交换换机选型 PAGEREF _Toc388443541 h 12 HYPERLINK l _Toc388443542 4 接入层交交换机选型 PAGEREF _Toc388443542 h 12 HYPERLINK l _Toc388443543 2.4.2 网网络管理系统统设备选型 PAGEREF _Toc388443543 h 12 HYPERLINK l _Toc388443544 第3章 服务器器系统建设方方案 PAGEREF _Toc388443544 h 13 HYPERLINK l _Toc388443545 3.

7、1 服务器器系统概述 PAGEREF _Toc388443545 h 13 HYPERLINK l _Toc388443546 3.2 服务器器系统设计 PAGEREF _Toc388443546 h 13 HYPERLINK l _Toc388443547 3.2.1 应应用服务器系系统设计 PAGEREF _Toc388443547 h 13 HYPERLINK l _Toc388443548 3.2.2 数数据库服务器器系统设计 PAGEREF _Toc388443548 h 14 HYPERLINK l _Toc388443549 1 系统性能能设计 PAGEREF _Toc38844

8、3549 h 14 HYPERLINK l _Toc388443550 2 安全性设设计 PAGEREF _Toc388443550 h 15 HYPERLINK l _Toc388443551 3 稳定性设设计 PAGEREF _Toc388443551 h 15 HYPERLINK l _Toc388443552 3.2.3 存存储服务器系系统设计 PAGEREF _Toc388443552 h 15 HYPERLINK l _Toc33884433553 3.2.44 个人工作作站设计 PAGEREF _Toc388443553 h 15 HYPERLINK l _Toc38844355

9、4 3.3 服务器器设备选型 PAGEREF _Toc388443554 h 15 HYPERLINK l _Toc388443555 第4章 数据网网络安全设计计 PAGEREF _Toc388443555 h 17 HYPERLINK l _Toc388443556 4.1 系统网网络安全需求求分析 PAGEREF _Toc388443556 h 17 HYPERLINK l _Toc388443557 4.2 网络安安全设计原则则 PAGEREF _Toc388443557 h 18 HYPERLINK l _Toc388443558 4.3 数据网网络安全总体体设计 PAGEREF _

10、Toc388443558 h 19 HYPERLINK l _Toc388443559 4.3.1 网网络系统安全全性设计 PAGEREF _Toc388443559 h 19 HYPERLINK l _Toc388443560 4.3.2 网网络服务安全全性设计 PAGEREF _Toc388443560 h 19 HYPERLINK l _Toc388443561 4.3.3 数数据灾备系统统设计 PAGEREF _Toc388443561 h 20 HYPERLINK l _Toc388443562 4.4 网络设设备安全实现现 PAGEREF _Toc388443562 h 24 HY

11、PERLINK l _Toc388443563 4.4.1 网网络设备分级级登录验证 PAGEREF _Toc388443563 h 24 HYPERLINK l _Toc388443564 4.4.2 限限制登录会话话数 PAGEREF _Toc388443564 h 25 HYPERLINK l _Toc388443565 1 设备并发发登录数限制制 PAGEREF _Toc388443565 h 26 HYPERLINK l _Toc388443566 2 设备登录录地点限制 PAGEREF _Toc388443566 h 26 HYPERLINK l _Toc388443567 3 单

12、用户并并发登录数限限制 PAGEREF _Toc388443567 h 27 HYPERLINK l _Toc388443568 4.4.3 口口令保护 PAGEREF _Toc388443568 h 27 HYPERLINK l _Toc388443569 4.4.4 防防资源掠夺式式攻击 PAGEREF _Toc388443569 h 28 HYPERLINK l _Toc388443570 1 攻击特点点和原理 PAGEREF _Toc388443570 h 28 HYPERLINK l _Toc388443571 2 解决办法法 PAGEREF _Toc388443571 h 30 H

13、YPERLINK l _Toc388443572 4.5 路由信信息安全 PAGEREF _Toc388443572 h 31 HYPERLINK l _Toc388443573 4.5.1 路路由协议的验验证机制 PAGEREF _Toc388443573 h 32 HYPERLINK l _Toc388443574 4.5.2 禁禁止源路由方方式 PAGEREF _Toc388443574 h 32 HYPERLINK l _Toc388443575 4.6 网管系系统安全实现现 PAGEREF _Toc388443575 h 32 HYPERLINK l _Toc388443576 4.

14、7 网络服服务的安全性性 PAGEREF _Toc388443576 h 33 HYPERLINK l _Toc388443577 4.7.1 防防火墙部署设设计 PAGEREF _Toc388443577 h 33 HYPERLINK l _Toc388443578 4.7.22 入侵检测测防御系统选选型 PAGEREF _Toc388443578 h 36 HYPERLINK l _Toc388443579 4.7.3 防防病毒系统选选型 PAGEREF _Toc388443579 h 36 HYPERLINK l _Toc388443580 4.7.4 访访问控制ACCL PAGEREF

15、 _Toc388443580 h 36 HYPERLINK l _Toc388443581 4.7.5 入入侵检测技术术 PAGEREF _Toc388443581 h 37 HYPERLINK l _Toc388443582 4.7.6 漏漏洞扫描技术术 PAGEREF _Toc388443582 h 39 HYPERLINK l _Toc388443583 4.8 系统安安全的非技术术因素 PAGEREF _Toc388443583 h 40 HYPERLINK l _Toc388443584 4.8.1 物物理环境因素素 PAGEREF _Toc388443584 h 40 HYPERL

16、INK l _Toc388443585 4.8.2 安安全的管理因因素 PAGEREF _Toc388443585 h 41 HYPERLINK l _Toc388443586 1 安全管理理原则 PAGEREF _Toc388443586 h 41 HYPERLINK l _Toc388443587 第5章 机房环环境要求 PAGEREF _Toc388443587 h 44 HYPERLINK l _Toc388443588 5.1 数据网网络机房环境境 PAGEREF _Toc388443588 h 44 HYPERLINK l _Toc388443589 5.1.1 场场地选择 PAG

17、EREF _Toc388443589 h 44 HYPERLINK l _Toc388443590 5.1.2 环环境要求 PAGEREF _Toc388443590 h 45 HYPERLINK l _Toc388443591 5.1.3 接接地系统 PAGEREF _Toc388443591 h 45 HYPERLINK l _Toc388443592 5.1.4 电电源系统 PAGEREF _Toc388443592 h 46 HYPERLINK l _Toc388443593 5.1.5 空空调系统 PAGEREF _Toc388443593 h 47 HYPERLINK l _Toc

18、388443594 55.2 注意意事项 PAGEREF _Toc388443594 h 48系统概述电子政务系统介介绍电子政务简介全球性的网络化化、信息化进进程正改变着着人们的生活活方式，Innterneet技术应用用以及电子商商务的飞速增增长给人们生生活工作的各各个层面带来来了深刻的影影响。在这场信息革命命的大潮中，各各级机构在社社会经济文化化生活中不仅仅需要扮演管管理者和协调调员的重要角角色，而且为为企业和社会会服务的职能能也日益明显显和重要起来来。一方面，各级机机构拥有大量量宝贵的信息息资源，如各各类国家或地地方政策法规规信息、各行行业规章标准准、各类招商商引资信息、重重大项目招标标信

19、息等；另另一方面，个个人、企业和和社会对获取取有关政策法法规、各类统统计信息、社社会保障信息息等的快捷和和透明程度的的要求日益提提高，对机构构的办事效率率、服务水平平等提出越来来越高的要求求，对机构职职能的监督也也需日益强化化。国家信息化领导导小组决定，把把电子政务建建设作为今后后一个时期我我国信息化工工作的重点，先先行，带动国国民经济和社社会发展信息息化。对于应应对加入世界界贸易组织后后的挑战，加加快职能转变变，提高行政政监管、效率率和服务能力力，建立高效效、勤政、廉廉政、务实的的具有十分重重要的意义。电子政务应用电子政务系统主主要应用有以以下四种场景景：和公务员(G22E)：利用用内网建立

20、有有效的行政办办公体系，为为提高工作效效率服务。内内容包括：电电子公文、电电子邮件、日日常事务等。和企业(G2BB)：利用互互联网等网络络手段为各种种经济活动提提供信息化支支持和指导。部门与部门(GG2G)：部部门间的信息息交换有助于于不同部门间间的协同办公公，可以解决决“信息孤岛”的问题。和公众(G2PP)：利用公公共网络为公公众提供方便便、快捷的服服务。项目概述我省电子政务网网络平台建设设主要有两部部分组成。一一是建成省、市市、县三级政政务外网，为为全省各级（以以及人大、政政协）各部门门和省市、市市县（区）之之间非涉密信信息交换和业业务互动提供供支持，为服服务和监管业业务提供网络络和技术支

21、撑撑。办公业务务资源网按国国务院办公厅厅要求进行建建设，为办公公业务的信息息交换提供支支持；二是建建成省、市、县县三级政务内内网，为全省省各级（以及及人大、政协协）各部门和和省市、市县县（区）之间间涉密信息交交换提供支持持，如下图所所示。xxx电子政务务网络示意图图XXX电子政务务网络工程是是建设一个覆覆盖全省/市/县县xxx多个节节点的大/中/小型广域网络。网网络主要承载载XXX电子政政务办公数据据和业务数据据。为电子政政务多种业务务的发展提供供高速的基础础网络平台。建设目标电子政务是一种种全新的管理理方式。它的的实质是机构构在其管理和和服务职能中中运用现代信信息技术，实实现组织结构构和工作

22、流程程的重组优化化，超越时间间、空间和部部门分割的制制约，形成一一个精简、高高效的运作模模式。电子政政务建设的最最终目标，是是为了提高办办公业务的效效率和响应速速度，充分发发挥信息资源源的优势，增增加工作的透透明度，促进进与社会大众众间的联络。国国务院在去年年也发布了十十七号文件，将将电子政务建建设纳入一个个全新的整体体规划、整体体发展阶段；并且党的十十六大也针对对电子政务提提出了明确的的目标。本项目的最终建建设目标是：建成涉秘与与非涉秘分开开的安全电子子政务网络平平台，连接省省、市、县（区区）三级的党党委、人大、政政协、检察、法法院职能部门门系统，以及及因工作需要要接入的企事事业单位。由于电

23、子政务网网络建设是一一长期而复杂杂的任务，所所以分期进行行。本项目的的一期建设目目标是：建成成省电子政务务网络内、外外网平台，支支持数据、语语音和视频业业务，传输性性能满足业务务需求，具备备密码管理、信信任体系、网网络管理、容容灾备份、信信息管理和信信息交换等各各项功能，实实现跨部门、跨跨地区的业务务互联。(是否分期以以实际项目需需求为主)根据此次数据系系统网络连接接工程所要实实现的目标，确确定各节点间间租用线路的的种类、带宽宽、费用；确确定各节点的的网络设备和和相应投资。选选用先进的传传输技术、设设备组建一个个覆盖全省/市/县行政政单位的高可可靠性、高安安全性的电子子政务网络平平台。网络平台

24、建设要要同时考虑设设备的充分利利旧和系统的的平稳过渡。一一方面，已有有的主机系统统设备、网络络系统设备等等能满足电子子政务要求的的可通过必要要的数据迁移移后投入使用用。另一方面面，针对各单单位网络建设设的现状和发发展需要，采采用不同的过过渡和接入方方式，以达到到系统的平稳稳过渡而不影影响原有的工工作和业务。建设原则本设计技术方案案将从实际出出发，建设一一个高效实用用的网络系统统。网络系统统设计必须既既适应当前电电子政务实际际应用考虑，又又面向未来信信息化发展需需求。我们将将遵照以下原原则对本项目目进行设计。实用性实用性主要体现现在以下几个个方面：系统统的性能指标标应能够满足足网络内各项项业务对

25、处理理能力的要求求，整个系统统的性能应当当是可靠的，便便于管理的。所所采用的设备备应当是易于于配置维护。对于本系统的网网络结构，最最理想的组网网形式应是一一个层次化的的，能支持多多种不同的应应用，并且能能够面对未来来网络的膨胀胀和业务的不不可预测性有有很好的适应应能力。尽量量减少网络的的连接复杂度度，提高网络络的利用率，增增加网络的冗冗余度以确保保网络的高可可靠性，通过过简单的网络络管理，减少少专业人员培培训的难度，以以及网络管理理的压力。扩展性扩展性原则是一一个系统赖以以生存和发展展的基础，只只有可扩展的的系统，才能能充分发挥计计算机系统的的能力，体现现良好的延续续性和实用能力，保保护用户投

26、资资及系统的长长远发展。如如果扩展性原原则不能贯彻彻，则系统的的维护升级陷陷入被动，出现盲目建建设、重复投投资等问题。模块化设计本设计中将坚持持系统结构模模块化的设计计原则，即软硬硬件平台可以以积木式拼装装，可以通过过添加组件或或相关板卡满满足新的需求求。选用的设设备应考虑选选择业界性能能优良、可扩扩充性好、厂厂商能够承诺诺对未来的新新技术进行支支持的设备。先进性设计立足先进技技术，采用新新科技，以适适应大量数据据传输以及多多媒体信息的的传输。使整整个系统在国国内三到五年年内保持领先先的水平，并并具有长足的的发展能力，以以适应未来网网络技术的发发展。稳定性电子政务数据系系统的可靠性性是整个信息

27、息化建设的基基石，为保证证电子政务数数据系统的可可靠性，主要要考虑以下几几方面：在主主要网络设备备的选择上，考考虑其可靠性性：如关键部部件的冗余及及热插拔等。本本方案所推荐荐的产品均选选用主流硬件件厂商的主流流产品，以实实际应用案例例为前提保证证，这些产品品具有成熟、稳稳定、实用的的特点，并充充分满足应用用及技术发展展的需要，同同时能够获得得厂商的备品品和备件支持持。安全性在安全性方面，我我们所推荐的的硬件产品能能够阻挡一般般性的网络攻攻击，能够做做到流量控制制，设置用户户的可访问范范围等。易用性整个网络是由多多种设备组成成的较为复杂杂的系统，因因此必须着重重考虑所选产产品具有良好好的易用性。

28、该网网络系统应该该易于管理，通通过网络管理理工具，可以以方便地监控控网络运行情情况，对出现现的问题及时时解决，对网网络的优化通通过依据。经济性在设计方案之初初，我们要必须须满足建设单单位实际情况况，也要兼顾顾经济性原则则。主要从以下下几点来保障障：通过科学合理的的设计方案，充分利利用现有资源，切实保护用户户投资；选用易于操作维维护的技术方方案和产品设设备，有效的的降低管理费费用；选用领先且易于于扩展的产品品和技术，减减少后期扩容容的重复投资；选择性价比高的的产品及配套套设施。网络系统建设方方案网络系统概述XXX电子政务务网络分为内内、外网，内内、外网之间间物理隔离，外外网与公众互联网通通过防火

29、墙实现逻辑隔离离，如下图所所示。内网、外网与IInternnet关系示示意图xxx电子政务务网络内网（下下简称内网）：主要用于传传送电子公文文、以及不适适合通过外网网传输的信息息，如：政务务信息、财务务数据、视频频会议等。连连接范围为省省、市、县（区区）级及相关关职能部门，以以及因需要接接入的企事业业单位。xxx电子政务务网络外网（以以下简称外网网）：是电子子政务网络对对外的窗口，与与互联网通过过网络安全系系统逻辑相连连，对外提供供一些网上服服务，如受理理申请、审批批等；同时也也是办公人员员与外面进行行信息交流的的通道。连接接范围为省、市市、县（区）级级及相关职能能部门，以及及因需要接入入的企

30、事业单单位。xxx电子政务务网络的内网网和外网、内内网和Intternett之间均完全物物理隔离，确确保内网传输输数据的绝对对安全。网络传输链路传输链路要求为了实现网络节节点高速互连连的目标，要要求可以提供供高带宽、高高性能，高可靠性传输链链路，所选传输链链路应满足以以下要求：符合项目建设原原则，采用目目前主流的网网络线路；覆盖范围到达本本次项目的所所有节点具有方便、灵活活有效的扩容容能力；具有高带宽，所所提供的带宽宽能够满足用用户的当前需需求；具有高可靠性，网网络骨干网具具有故障情况况下的自动自自愈能力；具有高质量，误误码率低，可可实现低时延延，高吞吐量量；同时提供对数据据、语音和视视频综合

31、业务务的良好支持持能力。传输链路设计XXX电子政务务网络工程是是要建设一个个专用网络，综综合比较网络络的功能、性性能、安全性性、保密性、可可靠性、可用用性、初装与与运行费用、技技术要求强度度等因素，因因此，我们选选择了租用中国电信/移动/联通的成熟专网络链路作为为主要的传输线路。网络结构设计国家电子政务体体系的网络基基础架构从整整体上来就说说是三网合一一，即政务内网、政务外外网和公众外网网（Inteernet）在确保安全的前提下互联互通。内网即内部的办办公局域网络络，用于内部部各部门间的的信息交换，其其网络要求能能够提供具有有传统数据网网络的性能优优点（安全和和QoS）和共共享数据网络络结构的

32、优点点。 政务外网指部门门之间的网络络。该网络主主要用来在部部门之间传递递各种文件和和数据，作为为跨部门，跨跨地区业务系系统的互联和和资源共享的的网络基础发发挥作用。政政务外网和政政务内网间通通过物理隔离离设备分割开开来。公众外网主要是是面向公共服服务的信息发发布平台和连连接互联网的的电子邮件服服务。外网在在结构上相对对简单，通过过防火墙与政政务外网连接，通通过路由交换换设备与Innterneet连接。根据目前XXXX的行政管理理体制和网络络现状的情况况，本项目网络结结构采用单一一中心节点的的星型网络结结构。主干网网络辐射到二二级节点，各各二级节点下下辖的三级分分支节点依据网络链接的实际需要来

33、设计敷敷设，本次电电子政务网络络设计如下：中心节点：XXXX办公厅信信息中心分支节点：XXXX大院XX幢大楼XX家单位XXX市/区XXXX家厅局局级单位XXX市区XXX家次级单位位XXX市区XXX家单位和公公司XXX电子政务务网络的内网网和外网，其其网络的拓朴朴结构主要采采用星型结构构。星型结构的优点点是传输性能能较优；高度度集中易于网网络管理；容容易扩展且分分支节点的链链路失效不会会影响其它网网络节点。但但要求中心节节点具有较高高的可靠性和和冗余度以及及较高的处理理能力。为了有效的保证证数据传输的的安全性、稳稳定性、强壮壮性。省办公公厅信息中心心的数据主干干设备采用千千兆高速交换换路由器。高

34、高速路由器要要求具备达到到2Mppss的数据转发能力力、性能优异异的备板交换换构架、核心心层冗余能力力和模块扩展展能力。具体体方案如下：在XXX信息中中心放置XX台核心路路由器，分别别作为内网数数据和外网数数据的总出口口。XXX个二级节节点分别配置一台交换路由器器，将其内网网和外网通过租用链路连接接到上级核心路由由器。信息中中心还需要配配置XX台接入交换机，用于于内部局域网网信息点与路路由器的接入入汇聚。XXX市区本级级的XXX家厅局局级单位设置置XX台交换机机，分别连接接单位的内网网和外网。市区还有XX家次级部门和和单位配置一一台路由器，将其内、外外网通过租用用链路经运营商商的帧中继网网上联

35、到省信信息中心的核核心路由器。各个部门和单位位的内网和外外网采用物理理隔离，外网网有Inteernet出出口，核心路路由器通过11台防火墙，采采用GE链路，连连到运营商的Interrnet骨干干网。主要设备选型网络设备选型我们在XXX信信息中心部署署X台高档次的的核心路由器器作为数据交交汇转换的中中心节点；同同时配备2台千兆级网网络核心交换换机和XX台台接入交换机机组成数据交交换汇聚的政政务局域网。在在二级分支和和其他职能部部门各选用11台性价比较较高的千兆电电口路由器和和xx台千兆三三层交换机，来来满足二级节节点与中心节节点的链接和和向下级节点点的扩展。依据项目实际需需求，我们针针对XXX电

36、电子政务网络络数据系统网网络设备的选选型配置如下下：核心路由器选型型依据项目实际需需求选择是否否需要核心路路由器，以及及核心路由器器的具体参数数要求路由器工作在OOSI参考模模型的网络层层，用于网络络间的相互连连接，要求路由器同同时提供至少少一个以太局局域网端口和和广域网接口口，分别用于于与内、外网网的连接。交换路由器选型型依据项目实际需需求选择是否否需要交换路由器，以以及交换路由器的的具体参数要要求核心交换机选型型依据项目实际需需求选择是否否需要核心交交换机，以及及核心交换机机的具体参数数要求接入层交换机选选型依据项目实际需需求选择是否否需要接入层层交换机，以以及接入层交交换机的具体体参数要

37、求网络管理系统设设备选型依据项目实际需需求选择是否否需要网络管管理系统，以以及网络管理理系统的具体体参数要求服务器系统建设设方案服务器系统概述述所有的电子政务务业务应用都是是在所谓的“政务外网”和“政务内网”网络平台上上实现的，所所有的应用软软件环境都必必须在网络中中的各种服务务器里操作完完成;可想而而知，服务器器已经成为电电子信息化建建设的重中之之重。政务办公服务器器主要应用于日常协协同办公，运运用先进的数数据交换，共共享，采集，发发布手段，使使得各机构在在同一平台上上传递信息、开开展业务，促促进原来分散散的业务系统统的整合，加加速不同部门门之间、不同同行业之间的的信息交流，紧紧密的将神经经

38、网络中的各各级部门政务务内网，企事事业单位结合合在一起，实实现协同政务务，资源共享享，科学决策策，包括公文文收发、会议议管理、人员员管理、项目目管理、财务务管理等完整整的电子办公公功能，极大大地提高省各各机构的管理理能力和工作作效率。服务器系统设计计服务器系统是整整个数据中心心的心脏，负负责管理数据据中心的基础础信息、共享享信息、各专专业区域信息息以及业务应应用过程中发发生的相关业业务数据、以以及数据管理理的过程中产产生的比对信信息、整理信信息、管理信信息等同时为为各个分系统统提供共享信信息。服务器的处理能能力作用体现现在每秒钟的的事务处理数数量上。事务务处理主要包包括卡业务受受理、数据的的实

39、时汇总、入入库、分发等等功能。根据据日业务量可可以推算出服服务器每秒需需要处理的事事务数。服务务器主要负责责业务业务逻逻辑的实现和和数据的处理理，因此它的的处理量主要要表现在TPPMC 即事事务处理以及及一些计算上上，根据XXX市数据中心心应用模型， 应用服务器系统统设计电子政务应用服服务器系统的的特点是业务务复杂，连接接用户数多，服服务器系统的的设计，主要要应考虑以下下几方面的因因素：服务器系统需要要考虑对并发发多点登入时时业务受理的的实时响应，考考虑业务的复复杂性，服务务器需要实时时的与多个业业务分系统进进行数据采集集、比对、整整理和分发。需需要服务器有有很高的并发发处理能力。在追求数据服

40、务务器单机高性性能时，也需需要考虑业务务巨大时的系系统负载的分分流，系统在在规划设计时时，在软件设设计上进行合合理处理，使使得应用可以以在单机上运运行，也可以以有不同的服服务器上进行行任务分担，共共同完成实时时的业务处理理。数据库服务器系系统设计服务器需要对实实时产生的数数据进行及时时汇总、分发发。要实现汇汇总、分发的的实时高效，需需要将实时信信息放入内存存，进行处理理，才能提高高系统的性能能，这样数据据库服务器需需要有较高的的内存。对每每天生成的数数据需要实时时入库，需要要有很强的II/O能力，使使得数据的入入库不会成为为系统的瓶颈颈。系统性能设计安全性设计稳定性设计存储服务器系统统设计个人

41、工作站设计计个人工作站的设设计原则国内的知名名牌牌良好的性能价格格比优质的售后服务务保障稳定、易用的环环境基于以上考虑，本本次项目个人人工作站的推推荐技术参数数为：服务器设备选型型服务器设备选型型的主要参考考标准即服务务器系统的运运算能力和II/O能力。目目前较为普遍遍采用的一个个衡量服务器器系统处理能能力的参数是是TPMC值，TPMCC值是测试单单台服务器或或集群系统在在配备特定的的操作系统，用用特定的数据据库的情况下下每分钟处理理事务的能力力（Trannsactiion Peer Minnute）。TPMCC值越高说明明系统处理能能力越强。服务器TPMCC值是通过实实验手段取得得的，仅可以

42、以用作参考，不不可以生搬硬硬套。 例如服务器支持持100万/天的访问量量，每个事务务按0.2秒的响响应时间计算算，每天8小时，峰值值为平均数的的3倍计算，冗冗余30%，每个事务触触发5个Transsactioon，每分钟钟处理的事务务量：=（100万/天）*3*1130%*55/0.2/(8*600) =20312TTransaactionn/分钟因此我们建议服服务器的TPPMC值为：203122 基于上上述计算，建建议服务器采采用TPC-C值在25,0000左右的的服务器系统统。数据网络安全设设计电子政务是信息息化系统的重重要组成部分分。电子政务务最终目标是是建设办公自自动化、面向向决策支持

43、、面面向公众服务务的综合平台台。因此电子子政务系统一一方面要求考考虑内部网络络的安全，另另一方面要求求考虑面向公公众服务的网网络安全。电子政务行使职职能的特点导导致来自外部部或内部的各各种攻击，包包括黑客组织织、犯罪集团团或信息战时时期信息对抗抗等国家行为为的攻击。攻攻击包括基于于侦听、截获获、窃取、破破译、业务流流量分析、电电磁信息提取取等技术的被被动攻击和基基于修改、伪伪造、破坏、冒冒充、病毒扩扩散等技术的的主动攻击。网网络威胁包括括来自内部与与外部的威胁胁、主动攻击击与被动攻击击带来的威胁胁。系统网络安全需需求分析根据项目实际要要求，结合我我公司多年来来从事电子政政务网络建设设和安全系统

44、统建设的经验验，我们认为为电子政务数数据系统网络络层面的安全全性涉及两个个方面：网络络系统自身安安全性及网络络服务的安全全性。对于XXX电子子政务网络平平台来说，网网络系统自身身安全性需求求主要包括：路由交换设备本本身的安全;路由信息的安全全;入侵检测功能漏洞检测功能网管安全网络服务的安全全性需求包括括：用户AAA服务务，提供认证证，授权及审审计的功能防止冒充合法用用户ACL功能 网络安全设计原原则为了有效的提高高xx省电子政政务数据网络络系统安全,我们将遵循循以下设计原原则：安全但不影响性性能城域网的的客户需要提提供高性能的的多媒体服务务，所以任何何影响性能的的安全措施将将不能被接受受；全方

45、位实现安全全性安全性设设计必须从全全方位、多层层次加以考虑虑，来确实保保证安全；主动式安全和被被动式安全相相结合主动式安安全主要是主主动对系统中中的安全漏洞洞进行检测，以以便及时的消消除安全隐患患；被动式安安全则主要是是从被动的实实施安全策略略，如防火墙墙措施、措施等等等。只有主动动与被动安全全措施的完美美结合，方能能切实有效地地实现安全性性；切合实际实施安安全性必须紧密密切合要进行行安全防护的的实际对象来来实施安全性性，以免过于于庞大冗杂的的安全措施导导致性能下降降。所以要真真正做到有的的放矢、行之之有效；易于实施、管理理与维护整套安全工工程设计必须须具有良好的的可实施性与与可管理性，同同时

46、还要具有有尚佳的易维维护性；具有较好的可伸伸缩性安全工程程设计，必须须具有良好的的可伸缩性。整整个安全系统统必须留有接接口，以适应应将来工程规规模拓展的需需要；节约系统投资在保障安安全性的前提提下必须充分分考虑投资，将将用户的利益益始终放在第第一位。通过过认真规划安安全性设计，认认真选择安全全性产品(包括利用已已有设备)，达到节约约系统投资的的目的。数据网络安全总总体设计网络系统安全性性设计从保证xx省电电子政务网络络系统本身安安全性的的角角度出发，我我们可以采用用以下几种手手段：在整个网络中，利利用OSPFF路由更新认认证确保全网网路由表的安安全，通过对对策略路由的的设置控制路路由的过滤；利

47、用ACL，AAAA认证，令令牌卡技术，操操作权限分级级等手段确保保网络设备不不会出现非授授权访问.；在网络设备上，进进行防止DOOS和其它资资源掠夺式攻攻击的设置；在运行中心配置置漏洞扫描器器，统一收集集各个网络设设备的安全漏漏洞，进行分分析和汇总；网络服务安全性性设计为保证xx省电电子政务网络络平台能给接接入单位、企企业和个人提提供安全的服服务，我们建建议采用以下下几种手段：在外网Inteernet出出口连接的地地方配置国家家保密局推荐荐的高性能千千兆防火墙，提提供10000M的接口，给给多个用户提提供安全服务务，如投资允允许的话，可可采用防火墙墙双机，实现现平滑的热备备份；利用高性能路由由

48、交换机或者者路由器，实实现端口线速速ACL；在需要对外提供供服务的重要要的网段，配配置入侵检测测传感器，给给单个或多个个用户提供入入侵检测服务务。数据灾备系统设设计 1 设计原则则为XX市电子政政务外网数据据中心提供灾灾备方案时，主主要考虑以下下三方面因素素：灾难承受受程度：要明明确用户计算算机系统需要要承受的灾难难类型、系统统故障、 通通信故障、长长时间断电甚甚至火灾、地地震等各种意意外情况所采采取的保护方方案不尽相同同；业务影响响程度：让用用户必须明确确当计算机系系统发生意外外无法工作时时，导致业务务停顿所造成成的损失程度度，也就是定定义用户对于于IT环境发生生故障的最大大容忍时间。这这是

49、我们设计计灾难恢复方方案的重要技技术指标；数数据保护程度度：是否要求求数据库可以以恢复所有提提交的交易并并且要求实时时 同步数据据也就是数据据的连续性和和一致性，决决定了灾难恢恢复方案规模模和复杂程度度的重要依据据。提供的灾灾难恢复方案案可以满足XXX市电子政政务外网数据据中心对于计计算机系统、数数据的严格保保护要求，保保证即使发生生断电，火灾灾等严重灾难难时，政务外外网业务的相相关关键数据据不会丢失和和缺损，确保保业务数据在在主中心和备备份中心同步步更新，保证证数据最大的的完整性。2 灾备技术术比较通常说来，灾难难恢复方案建建议用户建立立两个数据中中心，XX主数据中心心和南宁备份份数据中心。

50、正正常情况下，应应用运行在主主数据中心的的计算机系统统上，数据也也存放在主中中心的存储系系统中。当主主数据中心由由于断电，火火灾甚至地震震等灾难无法法工作时，则则立即采取一一系列相关措措施，将网络络、电话线路路切换至备份份中心，并且且利用备份中中心计算机系系统重新启动动应用系统。而而这里最关键键的问题就是是切换过程时时间最短，同同时尽可能保保持主数据中中心和备份中中心数据的连连续性和完整整性。而由于于社保数据的的重要性，如如何解决主、备备中心数据库库数据备份，恢恢复则是灾难难恢复方案的的重点。 传统的磁带备份份方式一般采采取定点备份份，而当系统统崩溃时。距距最近一次备备份时间之间间的数据将全全

51、部丢失，无无法恢复。而而且磁带备份份和恢复时间间比较长，由由于速度慢，缺缺乏实时性，无无法满足用户户大数据量数数据恢及数据据库连续性、实实时性的要求求。现在流行的灾难难恢复方案主主要是采用硬硬盘备份的方方式。它的主主要原理是在在备份中心建建立一套硬盘盘存储系统，通通过通信线路路，实时地将将主中心更新新数据拷贝至至备份中心存存储系统中，保保证主、备中中心数据的实实时一致性。当当主中心无法法工作时，备备份中心可以以立即接管业业务，并且确确保数据的最最大完整性。其其主要实施方方法有以下三三种：利用数据库厂家家的软件产品品完成远程备备份：现有的的一些数据库库厂家例如 Oraclle数据库可可以提供ST

52、TANDBYY数据库功能能，通过通信信网络将实际际数据库日志志文件传至备备份中心存储储系统，备份份中心的STTANDBYY数据库按照照主数据库结结构从日志文文件中重新恢恢复数据库。这这种方法投资资成本小，数数据恢复相对对磁带较快，缺缺点就是占用用主机资源，日日志文件建立立过程中发生生灾难时，整整个日志文件件数据将丢失失；利用主机进行远远程数据镜像像：主中心存存储设备与备备份中心存储储设备进行 镜像，主机机同时将数据据分别写到本本地和远程磁磁盘上。主机机上安装灾备备软件，如AAIX上的HAGEEO、SUN上的VERIITAS（VERITTAS Voolume Repliicatorr）等。这种种

53、方法优点就就是可以保证证数据的实时时一致性，但但是存储镜像像通过主机完完成，这将极极大地影响主主机性能，当当由于通信故故障，一个镜镜像操作无法法完成时，主主机将无法进进行下一个写写操作；基于智能存储系系统的远程数数据复制：磁磁盘阵列将磁磁盘镜象功能能的处理 负负荷从主机转转移到智能磁磁盘控制器智能存储系系统上。如IIBM的PPRC、EMC的SRDF等，基基于智能存储储的数据复制制由智能存储储系统自身功功能实现数据据的远程复制制和同步，即即智能存储系系统本身来完完成数据的复复制功能，同同主机无关，不不占用主机的的CPU，连接接可以采用裸裸光纤、ATTM、E1/E22、T1/T33、TCP/IIP

54、等。由于于这种方式下下数据复制软软件运行在存存贮系统内，因因此较容易实实现主中心和和容灾备份中中心的操作系系统、数据库库、系统库和和目录的实时时拷贝维护能能力，且一般般不会影响主主中心主机系系统的性能。而而且上层可以以是不同主机机平台。如果果在系统恢复复场所具备了了实时数据，那那么就可能做做到在灾难发发生的同时及及时开始应用用处理过程的的恢复。三种实施方法的的比较：第一种方案的最最大缺点就是是灾难发生时时，系统数据据备份可能不不完全，丢失失数据量较大大，而且对系系统正常工作作时的系统性性能影响较大大。第二种案由于远远程备份要占占用主机的CCPUI/OO等资源，同同时根据备份份方式的不同同，可能

55、对主主机的性能有有一定的影响响，但它能够够保证数据备备份的完整性性。第三种方案能够够完全确保数数据的一致性性，同时对主主机系统的性性能影响较小小，对主机平平台的要求也也低，但缺点点是系统投资资较大。 3 灾备解决决方案数据中心系统的的主要数据存存储包括两大大部分：应用用系统数据以以及统计分析析系统数据。两两个业务特性性的不同决定定了我们需要要考虑实施不不同的数据备备份策略。下下表是我们针针对其备份系系统需要考虑虑的业务特性性所进行的比比较。根据上表，我们们知道，业务务生产系统的的数据备份工工作以严密、最最大限度保护护数据、快速速恢复为宗旨旨。而统计分分析系统的数数据备份工作作以高效、简简便，对

56、数据据起比较好保保护作用为宗宗旨。数据中中心系统数据据量很大，统统的LAN-Base以以及Servver-Baase的备份份方式难以满满足XX市电子政政务外网数据据中心的需求求，我们建议议采用基于IIP SANN架构的企业业备份解决方方案。 网络设备安全实实现整个xx省电子子政务数据网网络系统是由由许多路由交交换设备组成成的，网络设设备的安全是是是许多安全全措施能够顺顺利实施的基基础。如果网网络设备的配配置能够被随随意看到，其其所配置的路路由识别IDD、密码等都都失去意义；VLAN的配配置如能被随随意改动，则则VLAN将形形同虚设。保保护网络设备备应注意两个个方面：设备备的配置需要要保护，防止

57、止非授权访问问；设备的资资源必须有效效保护，防止止像DOS这样的的资源掠夺式式攻击。网络设备分级登登录验证防范对网络设备备的非法访问问，需要保护护关键的配置置信息（如密密码、ID等），管管理员必须经经过严格身份份鉴别和授权权。在本次xxx省电子政政务网络工程程数据系统建建设项目中，我我们推荐的CCisco所所有设备本身身都有相应的的安全措施。针对于单一管理理员权限无限限大的问题，我我们可以根据据具体管理员员的职能分工工进行权限分分配。在Ciisco 的的路由交换设设备上，可以以将管理员的的权限划分为为15级权限档档次，针对每每个权限可以以定制相应的的命令集，为为实现各种管管理目的而设设立的不同

58、职职能管理员之之间可互不侵侵扰的完成各各自工作。例如，普通操作作员只能监视视设备运行，不不可进行其他他操作；高级级的管理员可可做故障诊断断，不可修改改设备配置文文件；系统管管理员可具有有所有功能权权限等。同样，对于SNNMP服务也也可以通过设设置不同级别别的Commmunityy，让不同级级别的网管系系统获得不同同的操作权限限。限制登录会话数数Cisco网络络设备必须通通过严格的认认证程序才能能够进行登录录，这种认证证既包括对远远程登录，也也包括本地的的Consoole登录。Cisco网络络设备可以设设定对本身的的登录会话数数，这种限制制包括两个层层次：(1)并发远程程登录会话总总数的限制；(

59、2)一个用户户同时登录数数的限制；建议对每个管理理员都分配一一个Userr-ID。有有两种方法登登记Userr-ID。一一种是在路由由器上配置uusernaame/paassworrd。另一种种方法是用AAAA来保护护路由器，由由一中心AAAA(TACCACS+/Radiuus)服务器器维护Useernamee/Passsword。第第二种方法更更具扩展性和和安全性。另另外使用Tooken服务务器提供一次次性口令的更更换，与AAAA服务器相相结合便可向向网络管理员员提供对设备备的一次性口口令登录。我们推荐在网络络中心配置CCisco Securre ACSS服务器，为为管理员登录录到Ciscc

60、o设备提供供统一的身份份认证中心。Cisco Secure ACS服务器支持RADIUS，TACACS+等标准的认证协议，提供网络设备的用户AAA服务。Cisco Secure ACS 具有良好的管理界面，管理员可以通过浏览器进行用户管理与配置。管理员登录网络设备的过程如下：(1) 用户执执行远程登录录命令(例如：Tellnet)，网网络设备判断断当前的并发发连接数是否否已经达到上上限。如果数数量没有超，网网络设备提示示输入用户姓姓名、口令。(2) 用户输输入口令后，网网络设备向AAAA服务器器查询该用户户是否有权登登录AAA服务器器检索用户数数据库，如果果该用户允许许登录则向网网络设备返回回