山西省国土厅云计算机数据中心方案

系统总体规划设计系统IT硬件支撑环境建设内容本次项目建设主要包括以下建设内容：1、广域网省厅接入平台建设构建省级广域网接入平台，未来可接入市、开发区节点；2、云计算数据中心建设构建省级云计算平台，利云计算模式承载国土资源交易系统各项应用；3、网络安全建设广域网、互联网出口、数据中心各层面全面考虑安全设备部署；4、机房装修完成机房装修、消防、空调、UPS、新风系统、门禁、综合布线等配套工程；建设思路1、广域网骨干建设网络的拓扑结构很大程度上决定了网络的性能，常见的网络拓扑结构主要有星型结构、网状结构、环形结构、双平面等几种，可以适用于的绝大多数广域网的构建，同时，也适用于绝大多数局域网的构建。不同的拓扑结构具有不同的特性，网络建设中拓扑的选择要根据实际情况而定。综合考虑本次项目未来接入下属分支节点较多，建议选用双星型架构组网：可靠性高采用两个核心节点的双连接星型网络结构，使得网络具有可靠性、可用性及安全性，避免了单点失效的隐患。支持流量的负载分担网络流量可能随着多种业务的发展日益壮大（如语音，视频会议），网络流量的负载分担问题将会成为网络可用性的主要因素，采用双连接的网络结构，使得网络的流量能够比较合理的分布在各条链路上。支持N:1横向虚拟化核心节点采用两台高性能的网络设备，使得核心层具有较好的冗余备份能力。同时，两台核心路由通过N:1虚拟化技术实现整合，简化网络规划、易于管理。本期建设仅考虑省级平台建设，地市、区县节点下期部署。2、云计算数据中心建设随着信息化的深入，数据大集中以及信息交换的要求很高的计算能力。传统数据中心建设和运维的成本（包括电力成本、空间成本、维护成本等）在不断上升。简单的通过设备叠加和设备性能增强已经难以适应上述的要求。因此，山西国土资源交易数据中心建设的核心需求为在IT建设模式上进行转变。改变传统的“竖井式”IT建设模式而引入云计算建设模式来整合优化当前信息中心内的硬件资源，提升数据中心的资源弹性、运行效率、交付能力以及扩展能力，并从根本上降低数据中心的建设成本，如下图所示。云计算架构下的IT建设模式并没有完全颠覆传统IT的建设方式，在硬件资源大集中的前提下，先完成计算、存储、网络的资源集中化，同时增加虚拟化层与云层解决硬件统一整合以及资源按需分配的问题。有别于传统建设模式单机单用的情况，虚拟化层通过在裸金属服务器上加装虚拟化内核Hypervisor这一层从而实现单个物理计算节点能够虚拟出多个逻辑隔离的计算节点即虚拟机的方式来承载多个应用，通过虚拟化层的集中管理能够为单位带来如下好处：提高现有资源的利用率，传统单机单用的业务部署模式对硬件资源独占无法共享，而大部分时间硬件资源利用率都较低部分业务甚至不足3%，虚拟化层可通过一虚多的方式，充分利用每一个计算服务器的资源，提高现有资源的利用率；降低数据中心成本，传统建设模式业务部署或扩容更多的都是硬件设备的追加，通过虚拟化层可以利用现有的服务器进行业务整合，未来新建部署的业务系统也可以通过虚拟机承载的方式快速部署，建设硬件成本的追加，同时硬件设备数量的减少也可以带来数据中心空间成本的节省以及数据中心耗电的节省；提高业务连续性，基于虚拟化迁移、集群、负载均衡等技术，任何虚拟机或者承载于虚拟机上的业务系统并不依托于某一个硬件节点存在，所以对于整个数据中心计算资源池节点，单个物理节点出现问题并不会出现业务服务的中断，在不追加任何冗余设备的技术上日高了业务本身的连续性；如果说虚拟化层解决的是资源整合管理的技术问题，那么云层解决的就是资源按需申请分配的管理问题，系统管理员能够通过云层资源编排的功能把后台的资源通过模板的方式行程服务发布出来，而使用者能够通过云层自主Portal的方式按需申请资源，真正实现使用者资源管理者间的流程自动化。需要强调的是，转变现有的建设模式而引入云计算架构并不是彻底的推翻现有IT系统进行重建，建设中需要充分考虑对现有业务系统的兼容和平滑升级，在方案部分也会重点从虚拟化层以及云层这两个方面详细描述。系统应用软件设计山西省国土资源网上交易与实时监测监管一体化系统，最大程度的模拟了传统的现场挂牌、拍卖交易过程，又充分利用了计算机的优势，通过Struts2及AJAX技术实现与客户的实时交互，又结合了网上银行，数字证书加密，数字证书签名等功能，使得用户能在互联网环境下安全、方便、保密的进行竞买行为。整个交易过程全自动、全封闭。网上挂牌、拍卖这种交易模式，开创了挂牌、拍卖交易行为的先河，是国土资源信息化发展的一个重要里程碑。其主要关键技术与创新如下：J2EE体系Struts2框架山西省国土资源网上交易与实时监测监管一体化系统基于J2EE体系Struts2框架进行开发。Struts2是一个全新的框架，但这仅仅是相对Struts1而言。Struts2与Struts1相比，有很多革命性的改进，但它并不是新发布的新框架，而是在另一个赫赫有名的框架：WebWork基础上发展起来的。从某种程度上来讲，Struts2没有继承Struts1的血统，而是继承WebWork的血统。或者说，WebWork衍生出了Struts2，而不是Struts1衍生了Struts2。因为Struts2是WebWork的升级，而不是一个全新的框架，因此稳定性、性能等各方面都有很好的保证：而且吸收了Struts1和WebWork两者的优势，因此，是一个非常值得应用的框架。Struts2的框架结构图如下：交易引擎服务每一个出让资源都以多线程的模式提供实时服务，因此出让资源在运行过程中，具有相当大的资源消耗。系统因此提供了交易引擎服务。即系统一次性将所有出让资源全部取出，并开始运行，而任何用户的操作只需要到调用交易引擎服务获取对应的实例并更新交易引擎服务数据，这样就避免了每次都创建的实例，从而减少系统的开支，极大的减少了系统直接对数据库的访问。SQLMAP技术山西省国土资源网上交易与实时监测监管一体化系统数据库的访问操作采用SQLMAP技术，只要修改配置文件就可以实现不同数据库之间的移植，使以前很繁琐的工作变得很轻松，使代码开发变的更加规范，程序更加稳定。AJAX技术AJAX全称为“AsynchronousJavaScriptandXML”（异步JavaScript和XML），是指一种创建交互式网页应用的网页开发技术。主要包含了以下几种技术：基于web标准（standards-basedpresentation）XHTML+CSS的表示；使用DOM（DocumentObjectModel）进行动态显示及交互；使用XML和XSLT进行数据交换及相关操作；使用XMLHttpRequest进行异步数据查询、检索；使用JavaScript将所有的东西绑定在一起。事实上，一些基于AJAX的“派生/合成”式（derivative/composite）的技术正在出现，如“AFLAX”。下面描叙Ajax的工作原理:Ajax的核心是JavaScript对象XmlHttpRequest。该对象在InternetExplorer5中首次引入，它是一种支持异步请求的技术。简而言之，XmlHttpRequest使您可以使用JavaScript向服务器提出请求并处理响应，而不阻塞用户。在创建Web站点时，在客户端执行屏幕更新为用户提供了很大的灵活性。提升站点的性能，这是通过减少从服务器下载的数据量而实现的。例如，在某购物车页面，当更新篮子中的一项物品的数量时，会重新载入整个页面，这必须下载整个页面的数据。如果使用Ajax计算新的总量，服务器只会返回新的总量值，因此所需的带宽仅为原来的百分之一。消除了每次用户输入时的页面刷新。例如，在Ajax中，如果用户在分页列表上单击Next，则服务器数据只刷新列表而不是整个页面。直接编辑表格数据，而不是要求用户导航到新的页面来编辑数据。对于Ajax，当用户单击Edit时，可以将静态表格刷新为内容可编辑的表格。用户单击Done之后，就可以发出一个Ajax请求来更新服务器，并刷新表格，使其包含静态、只读的数据。Ajax的工作原理相当于在用户和服务器之间加了—个中间层，使用户操作与服务器响应异步化。这样把以前的一些服务器负担的工作转嫁到客户端，利于客户端闲置的处理能力来处理，减轻服务器和带宽的负担，从而达到节约ISP的空间及带宽租用成本的目的。CA安全认证技术引入CA安全认证技术，实现安全登录、安全传输、安全管理、安全操作、关键数据的一致性、可用性和不可抵赖性等。安全体系设计依据国家信息化建设及安全保密的相关要求，土地与矿业权的网上拍卖、挂牌交易系统对安全系统建设的实际需要，结合网上交易系统基于Internet网络应用的特点，系统面临的安全风险主要涵盖四个层面：网络层、系统层、应用层和管理层。为确保网上交易系统的安全、平稳、可靠运行，实现对所有风险的全周期管理和控制，安全系统的总体技术架构需由四个层面组成：网络安全体系、计算系统安全体系、应用安全体系和管理安全体系。如下图所示：（图）安全系统环境架构图网络层安全方面：系统必须与政务内网隔离；系统的应用服务器部署在防火墙的中立区，数据库服务器和CA加密机等服务器部署在防火墙的保护区内，实现严格的网络安全防问控制。网络层安全高配方案：系统采用全冗余配置，包括Internet接入双线路冗余、双防火墙冗余、双交换机冗余、双应用服务器冗余、双数据库服务器冗余、服务器双网卡冗余、双电源冗余。系统层安全方面：建立系统病毒防御体系，实现网络病毒防御；建设入侵检测系统，对攻击行为进行防御等安全系统。应用层安全方面：结合国有建设用地使用权网上交易的运行特点，实现业务数据库在线本地备份，基础数据库离线本地备份；建立CA认证系统，为网上交易系统提供安全服务，确保数据的保密性、完整性和不可否认性；建立WEB网页防篡改系统。管理层安全方面：分级建立各级安全管理制度,建议网上交易系统应急预案。系统IT硬件支撑详细设计山西省国土资源网上交易与实时监测监管一体化系统是以国家国土资源交易相关政策法规为依据，以国家信息系统建设相关规范和标准为原则，以信息安全体系建设为保障，构建的国土资源挂牌、拍卖各项业务的网上交易信息系统。其总体架构如下图所示。=1\*GB3①网络层建立各地人民政府土地行政主管部门局域网，支撑各地土地和矿业权网上交易系统内部运行；依托国土资源政务外网支撑土地和矿业权网上交易系统纵向业务的网上运行；依托Internet，提供网上信息发布和网上业务交易服务。=2\*GB3②接口层接口层实现与网银系统、CA认证系统、GIS系统等其他外部支撑系统的接口，实现数据的安全、完整、便捷交互。=3\*GB3③数据层实现土地和矿业权网上交易提供安全、可靠的数据服务。包含基础数据、管理数据、业务数据。=4\*GB3④应用支撑层实现对于网上交易的应用支撑。包含网上交易信息的统计和查询、信息发布管理、网银管理、数字签名管理、用户权限管理、系统权限管理、安全审计、安全监控等系统支撑应用功能。=5\*GB3⑤业务层实现网上交易业务服务。在数据层和应用支撑层基础之上，网上实现招、拍、挂等业务功能，以及资质申请与审查、信息公告、结果公示、地理信息查询等功能。=6\*GB3⑥门户层利用门户实现各地土地和矿业权交易业务网上受理，并发布土地和矿业权拍挂相关信息，面向社会和监管部门提供服务。建设原则高可靠性为保证各项业务应用，网络必须具有高可靠性，在省级云计算数据中心和广域网部分要避免系统存在重大单点故障，设备选型、网络设计应采用硬件备份、冗余等可靠性技术，合理设计网络冗余拓扑结构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地保证网络系统的高效运行。高安全性要求建成后的网络能够实现各种不同业务网络之间可靠的安全隔离，并能提供跨业务网络的互访手段，针对跨网访问提供必要的安全控制手段。另外在方案中除了基础网络的设计以外，还应当包括安全方案，重点是针对省级云计算数据中心安全规划。标准性与开放性整个网络系统应在国家政策的许可下完全采用符合国际（或国家）通用的开放的标准网络协议和技术，并在全网采用统一的标准，确保网络的互联互通。先进性和成熟性在网络设计中充分考虑到网络应用的需求和未来的发展趋势，兼顾先进性和成熟性的需求，采用的技术架构既应当是发展成熟、已经在业界得到良好应用效果，又应当具有一定的先进性，使整个系统架构在相当一段时期内能够保持稳定，适应未来信息化的发展需要。通过云计算方案部署有效整合IT资源，充分发挥云计算平台虚拟化计算、按需使用、动态扩展的特性，提供计算、存储和信息资源服务，实现软硬件集中部署、统建共用、信息共享，避免重复投资。灵活性及可扩展性网络系统是一个不断发展的系统，网络不仅需要保持对以前技术的兼容性，还必须具有良好的灵活性和可扩展性，能够根据用户网络不断深入发展的需要，根据未来业务的增长和变化，平滑地扩充和升级现有的网络覆盖范围、扩大网络容量和提高网络的各层次节点的功能，最大程度的减少对网络架构和现有设备的调整。可管理性要求建设统一的智能化管理系统，能够对整个广域网骨干、云计算数据中心、局域网设备实现完善的拓扑管理、设备管理、性能管理和故障管理，可以实时监控所有设备和线路的运行状况，对全网设备的运行信息进行实时监控，并对故障和性能超限实现实时告警，对设备运行情况进行查询和统计，定期生成运行报告。要求能够实现分级分权限管理。要求便于理解和操作，采用全中文化界面，能够对服务器、数据库、中间件进行统一监控管理，可展现虚机部署应用环境拓扑视图。广域网详细设计组网拓扑设计思路广域网组网设计：省级节点部署2台高端核心路由器双机热备组网，上行通过裸线直连至原国土资源厅2台核心路由器，未来规划下行通过租用运营商MSTP链路同市、区级节点路由器“V”字状互联。省级核心路由器单台设备依托冗余主控、冗余交流电源保障设备级可靠性。设备选型设计：各级节点路由器按照网络层次及接入容量需求计算选型规格。设备选型交换容量及包转发率要求满足未来规划设计接入容量需求，避免投资浪费。省级节点路由器支持N:1虚拟化技术，可将同级节点两台设备虚拟化为一台逻辑设备，大力提升设备性能，虚拟化后设备对外只占用一个ID，降低网络实施规划复杂度，简化网络实施部署。广域网安全设计：组网设计充分考虑网络安全问题，建议通过专业的防火墙设备为边界专线中的传输流量提供L2-L7层的应用内容安全检测和流量清洗，检测被植入木马，间谍软件等主机，阻断来自专线内部的攻击行为，防护敏感信息泄露，保证数据安全。本次项目设计省级节点2台核心路由器与2台防火墙实现省-市、区，省-国土厅，省-数据中心各功能区域安全访问控制。广域网管理设计：部署一套综合智能网络管理系统，实现全网设备基础网元管理，通过图形化管理工具简化网络运维人员专业技术要求，简化网络管理。设备选型省级核心出口路由器按照未来3～5年业务发展规划设计，建议交换容量不小于35T，包转发率不小于5500Mpps，提供不少于2个主控引擎槽位，不少于8个业务槽位，交换网板数量不小于3个。支持N:1虚拟化（最大支持4:1），支持IPv4和IPv6，提供IPv4和IPv6独立路由转发表项，支持纵向虚拟化、虚拟路由器功能。防火墙要求为一体化网关设备，性能要求承载专网实际流量，具备抵御应用层安全威胁的能力，提供详细的日志和报表分析，保障各节点网络安全状况更加可视。省级云计算数据中心详细设计省级云计算数据中心项目拓扑示意图如下：云计算总体架构如上图所示，整个云计算平台由以下4部分组成：1、网络资源池2、计算资源池3、存储资源池4、云管理中心网络资源池建设方案网络设计要点云计算数据中心基础网络是云业务数据的传输通道，将数据的计算和数据存储有机的结合在一起。为保证云业务的高可用、易扩展、易管理，云计算数据中心网络架构设计关注重点如下：高可用性网络的高可用是业务高可用的基本保证，在网络整体设计和设备配置上均是按照双备份要求设计的。在网络连接上消除单点故障，提供关键设备的故障切换。关键网络设备之间的物理链路采用双路冗余连接，按照负载均衡方式或active-active方式工作。关键主机可采用双路网卡来增加可靠性。全冗余的方式使系统达到99.999%的电信级可靠性。基础网络从核心层到接入层均部署IRF2技术，可以实现数据中心级交换机的虚拟化，不仅网络容量可以平滑扩展，更可以简化网络拓扑结构，大大提高整网的可靠性，使得整网的保护倒换时间从原来的5～10秒缩短到50ms以内，达到电信级的可靠性要求。作为未来网络的核心，要求核心交换区设备具有高可靠性，优先选用采用交换引擎与路由引擎物理分离设计的设备，从而在硬件的体系结构上达到数据中心级的高可靠性。大二层网络部署云计算数据中心内服务器虚拟化已是一种趋势，而虚拟机的迁移则是一种必然，目前业内的几种虚拟化软件要做到热迁移时都是均需要二层网络的支撑，随着未来计算资源池的不断扩展，二层网络的范围也将同步扩大，甚至需要跨数据中心部署大二层网络。大规模部暑二层网络则带来一个必然的问题就是二层环路问题，而传统解决二层网络环路问题的STP协议无法满足云计算数据中心所要求的快收敛，同时会带来协议部署及运维管理的复杂度增加。本次方案中通过部署IRF2虚拟化技术实现两台或多台同一层物理交换机虚拟成一台逻辑设备，通过跨设备链路捆绑实现核心和接入的点对点互联，消除二层网络的环路，这样就直接避免了在网络中部暑STP，同时对于核心的两台设备虚拟化为一台逻辑设备之后，网关也将变成一个，无需部署传统的VRRP协议。在管理层面，通IRF2多虚一之后，管理的设备数量减少一半以上，对于本项目，管理点只有核心和接入两台设备，网络管理大幅度简化。如下图所示：网络资源池设计本次项目基础网络采用“扁平化”设计，核心层直接下联接入层，省去了中间汇聚层。随着网络交换技术的不断发展，交换机的端口接入密度也越来越高，“扁平化”组网的扩展性和密度已经能够很好的服务于国土资源交易系统数据中心服务器接入的要求。同时在服务器虚拟化技术应用越来越广泛的趋势下，扁平化二层架构更容易实现VLAN的大二层互通，满足虚拟机的部署和迁移。相比传统三层架构，扁平化二层架构可以大大简化网络的运维与管理。基础网络平台组织结构如下图所示：网络的二、三层边界在核心层，安全部署在核心层；核心与接入层之间采用二层进行互联，实现大二层组网，在接入层构建计算和存储资源池，满足资源池内虚拟机可在任意位置的物理服务器上迁移与集群。核心路由交换区核心层部署2台高端云计算数据中心交换机，负责整个云计算平台上应用业务数据的高速交换。两台核心交换机分别与两台服务器接入区交换机间呈“口”字型连接，与现网出口区路由器呈网状物连接，一台管理区服务器接入交换机双上行分别与两台核心交换机连接。核心交换机间及与服务器接入交换机、管理区接入交换机、核心路由器间均采用万兆接口互联。两台核心交换机部署IRF2虚拟化技术，简化路由协议运行状态与运维管理，同时大大缩短设备及链路出现故障快速切换，避免网络震荡。IRF2互联链路采用2*10GE捆绑，保证高可靠及横向互访高带宽。通过部署2台专业的防火墙设备为广域网边界专线中的传输流量提供L2-L7层的应用内容安全检测和流量清洗，检测被植入木马，间谍软件等主机，阻断来自专线内部的攻击行为，防护敏感信息泄露，保证数据安全。数据中心区按照业务类型及属性划分为数据库应用服务器区、生产业务服务器区、网络运维管理服务器区，数据库应用服务器区同生产业务服务器区部署2台服务器接入交换机，通过VLAN划分分别接入数据库类、生产业务类服务器，网络运维管理服务器区单独配置1台服务器接入交换机，接入网络管理、云计算平台管理服务器群。数据中心区同核心交换区之间通过集群方式部署2台一体化安全网关设备，提供防火墙、入侵防御等功能，同时在核心交换机旁单臂部署2台负载均衡设备，保障数据中心区域业务的稳定性办公接入区楼层部署2台24口千兆接入交换机，下行通过六类双绞线接入办公信息点，上行通过万兆光纤模块直接连接至2台核心交换机。互联网出口区互联网出口部署2台高性能路由器作为出口NAT网关，单台设备配置冗余电源保障可靠性。出口路由器上行分别连接至2家不同运营商，路由器后端部署负载均衡设备，一方面确保省级出口对外发布系统可连续性（2条专线互为备份），另一方面方便不同运营商接入公众用户访问质量（快速访问体验）。负载均衡设备后端部署上网行为管理相关设备，对用户的访问行为进行记录，保障业务高峰期提供优先级保障服务，以确保关键业务的正常运行。流控设备后端部署防火墙，根据信息安全等级保护的要求划分安全域，作为内外网之间的隔离设备，阻断互联网的病毒木马等安全威胁对内网业务造成的风险。DMZ对外发布区通过服务器接入交换机连接WEB服务器，提供基本的网站服务，在接入交换机前端部署WEB防火墙，针对WEB业务提供安全防护，防止网站被恶意挂马、篡改、泄密等。虚拟机交换网络服务器虚拟化技术的出现使得计算服务提供不再以主机为基础，而是以虚拟机为单位来提供，同时为了满足同一物理服务器内虚拟机之间的数据交换需求，服务器内部引入了网络功能部件虚拟交换机vSwitch（VirtualSwitch），如下图所示，虚拟交换机提供了虚拟机之间、虚拟机与外部网络之间的通讯能力。IEEE的802.1标准中，正式将“虚拟交换机”命名为“VirtualEthernetBridge”，简称VEB，或称vSwitch。虚拟机交换网络架构vSwitch的引入，给云计算数据中心的运行带来了以下两大问题：网络界面的模糊主机内分布着大量的网络功能部件vSwitch，这些vSwitch的运行、部署为主机操作与维护人员增加了巨大的额外工作量，在云计算数据中心通常由主机操作人员执行，这形成了专业技能支撑的不足，而网络操作人员一般只能管理物理网络设备、无法操作主机内vSwitch，这就使得大量vSwicth具备的网络功能并不能发挥作用。此外，对于服务器内部虚拟机之间的数据交换，在vSwitch内有限执行，外部网络不可见，不论在流量监管、策略控制还是安全等级都无法依赖完备的外部硬件功能实现，这就使得数据交换界面进入主机后因为vSwitch的功能、性能、管理弱化而造成了高级网络特性与服务的缺失。虚拟机的不可感知性物理服务器与网络的连接是通过链路状态来体现的，但是当服务器被虚拟化后，一个主机内同时运行大量的虚拟机，而此前的网络面对这些虚拟机的创建与迁移、故障与恢复等运行状态完全不感知，同时对虚拟机也无法进行实时网络定位，当虚拟机迁移时网络配置也无法进行实时地跟随，虽然有些数据镜像、分析侦测技术可以局部感知虚拟机的变化，但总体而言目前的虚拟机交换网络架构无法满足虚拟化技术对网络服务提出的要求。为了解决上述问题，本次项目的解决思路是将虚拟机的所有流量都引至外部接入交换机，此时因为所有的流量均经过物理交换机，因此与虚拟机相关的流量监控、访问控制策略和网络配置迁移问题均可以得到很好的解决，此方案最典型的代表是EVB标准。802.1QbgEdgeVirtualBridging（EVB）是由IEEE802.1工作组制定一个新标准，主要用于解决vSwtich的上述局限性，其核心思想是：将虚拟机产生的网络流量全部交给与服务器相连的物理交换机进行处理，即使同一台物理服务器虚拟机间的流量，也将发往外部物理交换机进行查表处理，之后再180度调头返回到物理服务器，形成了所谓的“发卡弯”转发模式，如下图所示：EVB标准具有如下的技术特点：借助发卡弯转发机制将外网交换机上的众多网络控制策略和流量监管特性引入到虚拟机网络接入层，不但简化了网卡的设计，而且充分利用了外部交换机专用ASIC芯片的处理能力、减少了虚拟网络转发对CPU的开销；充分利用外部交换机既有的控制策略特性（ACL、QOS、端口安全等）实现整网端到端的策略统一部署；充分利用外部交换机的既有特性增强了虚拟机流量监管能力，如各种端口流量统计，Netstream、端口镜像等。EVB标准中定义了虚拟机与网络之间的关联标准协议，使得虚拟机在变更与迁移时通告网络及网管系统，从而可以借助此标准实现数据中心全网范围的网络配置变更自动化工作，使得大规模的虚拟机云计算服务运营部署自动化能够实现。该方案通过将数据中心IT资源的整合，不仅能够达到提高服务器利用率和降低整体拥有成本的目的，而且能简化劳动密集型和资源密集型IT操作，显著提高系统管理员的工作效率。计算资源池建设山西国土资源交易系统计算资源池由物理主机和虚拟机系统构成：虚拟机系统是由在X86服务器上部署服务器虚拟化软件架设形成虚拟主机系统，服务器虚拟化软件技术参数如下表：指标项技术参数要求服务器虚拟化软件支持裸金属架构，支持高性能物理器（最多支持256CPU核），支持大容量虚拟机VM（每虚拟机最大支持32CPU核、1TB虚拟内存），支持硬件辅助虚拟化，支持高级内存管理，支持虚拟机高级资源管理，vSwitch支持VEPA虚拟机云网络标准协议(支持QoS、VLAN、IPv6、虚拟网卡等功能)。选择厂商软件开发必须通过CMMI4级认证，支持802.1Qbg虚拟网络拓扑展示，包括物理主机、虚拟机、虚拟网卡、虚拟连接、物理端口与物理接入交换机的全面网络连接关系拓扑展示；物理主机主要是X86服务器，本次省级节点部署2套统一基础架构系统，共配置8台4路服务器、每台刀片服务器配置内存不小于128G，其中2台用作数据库专用服务器，其余6台服务器每台可以支持10多个虚拟机，由8台高性能服务器组成的计算资源池最多支持50～80个虚拟机。2套统一基础架构系统技术参数如下表：指标项技术参数要求技术要求CPU：4颗IntelXeonE7-4820v2(8c,16MCache,2.00GHz)，支持IntelXeonE7-8800/4800系列处理器内存：>=128GBECCRegisteredDDR3内存，配置不少于32个内存插槽，实现四路交叉存取,板载内存，为保证设备性能以及后续的扩展性，不支持内存扩展板模式；硬盘：2块10000转300G热插拔SAS硬盘，可支持不少于16个2.5寸SAS/SATA热插拔硬盘；RAID：高性能SASRAID卡，支持RAID1/0/10/5/50/6/60cache≥512M；IO扩展：12个PCIE,支持全长全高；网络：4个64位Intel千兆网口,支持IOAT2/VT/VMDQ技术,支持网络唤醒，网络冗余，负载均衡；光纤接口：2块单端口8Gb光纤通道HBA卡管理：配置BMC+KVM管理芯片，提供远程管理、远程诊断功能及KVMOVERIP功能，提供独立的管理网口；中文版管理软件，支持Windows/Linux系统跨平台管理；跨网段的集中管理；模块化免工具拆卸特性，可选液晶面板模块其他高级功能：支持睿能技术，冷热分区加隧道式气流管理系统备份还原：配置网络版备份还原软件，支持windows/Linux操作系统的本地及网络备份还原功能；支持USB移动硬盘、光盘备份设备，可实现一次进行多个磁盘或分区的备份。电源及配件：2+1冗余电源，可扩展成3+1\2+2电源高级冗余模式，导轨，DVD光驱；存储资源池建设采用VM影像文件存储和数据库数据存储2套存储构建山西省国土资源交易系统存储资源池：数据库数据存储：主要用来进行数据库数据的存放，数据库业务是实时在线业务，对存储的性能要求较高。VM影像文件存储：主要用来保存云计算平台中的分配的虚拟机的映像数据文件，这些映像是在云计算平台内是透明且可见的，以确保云计算平台中每个运行的业务都具FailOver（失败切换）功能和按需在线迁移功能。2套存储系统可分别满足VM影像文件存储（性能要求一般）和数据库数据存储（高性能）的不同性能需求，该存储资源池建设方案性价比最优，同时2套存储系统可以互为备份大大提高了存储资源池的可靠性：影像文件存储技术参数如下表：指标项技术参数要求存储技术指标国产知名IT解决方案提供商，与服务器设备为同一品牌控制器：双控制器全冗余架构，RISC架构，单磁盘柜可提供2U12盘位、2U24盘位不同规格扩展柜：可提供2U12盘位、2U24盘位多种密度的扩展柜缓存：当前双控制器配置缓存8GB，可升级到8GB缓存断电保护：支持意外断电时，缓存电池将Cache数据写入专用的闪盘或磁盘中永久保存缓存数据。且标配BBU+Flash，保证断电时缓存数据永久保存；存储：本次配置10块900G10000转硬盘支持6Gb2.5/3.5英寸SAS/NL-SAS/SSD硬盘；可根据用户不同应用灵活分配不同性能的存储空间，实现经济高效的分层存储；磁盘扩展：系统可扩展至192块磁盘主机接口：当前配置8个8GbpsFC主机端口和4个6GbpsSAS主机端口，可同时支持8GbpsFC和6GbpsSAS两种端口类型，支持千兆iSCSI主机接口，RAID：支持RAID0、1、3、5、6、10等传统RAID方式，同时配置动态磁盘池技术，安全等级相当于RAID6，不需要单独配置闲置的热备磁盘，系统将热备空间平均分布在所有磁盘上，提高磁盘利用效率。模块冗余度：电源、散热模块、控制器的部件冗余且可热插拔；可在线升级支持主机操作系统：支持Windows，NetWare，Linux，VMWare，HP-UX，AIX等主流操作系统管理：为每一个客户端提供简单的图形化管理界面，和路径冗余与故障切换软件，系统提供带内/带外两种管理连接方式；可集中监控和管理来自任何网络位置的存储存储系统，并提供集中化的事件日志记录和报警、实时的Email事件通告，允许用户远程监控多台存储系统多路径软件：配置与服务器数量等同的多路径管理软件高级功能：配置增强型快照、增强型镜像模块、精简配置模块售后服务：厂家工程师三年免费质保服务；存储交换机端口数量：单台24个8Gbps光纤端口（包含四个级联端口），本次激活16个端口，配置16个SFP模块，及光纤线缆；端口类型：所有端口自动发现，自适应，支持Trunking智能路径选择，端口状态F_Port,FL_port,E_port,G_Port,GL_Port；级联：单机4个20Gbps全双工级联端口；集合带宽：每个交换机544Gbps，端到端，无阻塞结构；帧属性：2148bytes(2112payload)；SFP类型：短波/长波(光学)；云管理中心建设采购2台中低档性能物理服务器，分别部署网管系统和云管理软件，实现对云计算资源池的统一管理和私有云业务服务，具体技术参数要求如下表：指标项技术参数要求云计算资源池管理由BS架构WEB管理平台来统一管理。支持虚拟机生命周期管理（必须提供创建/修改/删除/启动/关闭/暂停/恢复/重启/下电/查询虚拟机功能），支持灵活创建虚拟机，支持虚拟资源调整，支持虚拟机快照管理，可本机内克隆虚拟机、主机间克隆虚拟机，支持虚拟机迁移，支持虚拟机克隆或转化为虚拟机模板，支持网络策略模板（包括VLAN、QoS），支持虚拟机性能监管，支持直接通过控制台登录到虚拟机系统，支持虚拟机远程桌面，支持虚拟机授权，支持虚拟机操作日志，提供P2V迁移工具，支持虚拟机模板管理，支持虚拟机灾备管理、支持虚拟机集群管理（支持高可靠性HA，动态资源调整DRS（为了在DRS过程中保障关键业务的运行，可以指定运行于一台物理服务器上的多台虚拟机中的一台虚拟机固定运行于该物理服务器上，不会因任何原因自动迁移该虚拟机。而主机上的其他虚拟机可以自动迁移来降低虚拟机对该物理服务器的资源占用）等功能），提供系统管理功能私有云管理平台提供私有云多租户组织管理，提供虚拟机资源池管理，提供云业务工作流管理（系统管理员对云资源的整合与分配、组织管理员对组织资源的管理、最终用户对虚拟资源的使用等云业务工作流程），云计算用户自助服务管理（支持云计算门户网站首页布局、显示云用户专属的虚拟机、显示云用户的操作日志、向云计算组织管理员提交虚拟机申请电子流、查看云用户申请的电子流状态，管理员还可审批电子流，提供7X24维保服务省云计算数据中心关键设备选型核心交换机采用多级交换架构，能够配置独立的交换网板与独立的主控板，交换网板与主控板硬件槽位分离，采用垂直插槽；交换容量≥32Tbps，转发性能≥17000Mpps；整机业务插槽数量≥9个，单板10GE接口密度≥48个；支持将两台或者多台物理设备智能堆叠，堆叠后可实现统一的转发表项、统一的管理界面以及跨物理设备的链路聚合；支持SDN/OPENFLOW1.3标准，支持多控制器，支持Meter；数据中心防火墙吞吐量≥10G，并发连接数≥800万，新建连接数≥100万；采用自研病毒防护引擎，支持病毒感染主机分析与隔离，防止病毒进一步扩散，提高网络整体安全性；支持脚本过滤和ActiveX过滤，并能识别并封堵含有恶意插件的网络访问行为，必须能识别并封堵含有恶意脚本、挂载木马等危险网页访问行为；支持IP/MAC地址绑定的方式防止ARP欺骗，可采用手动建立或自动探测的方式生成IP/MAC对，提供两种方式设置界面；支持根据不同的源IPv4/IPv6地址、目的IPv4/IPv6地址、服务、时间、接口、角色等，采用不同的入侵防护策略；支持防御Land、Smurf、Fraggle、WinNuke、PingofDeath、TearDrop、IPSpoofing、SYNFlood、ICMPFlood、UDPFlood、DNSQueryFlood、ARP欺骗攻击防范、ARP主动反向查询、TCP报文标志位不合法攻击防范、支持IPSYN速度限制、超大ICMP报文攻击防范、地址/端口扫描的防范、DoS/DDoS攻击防范、ICMP重定向或不可达报文控制等功能，此外还支持静态和动态黑名单功能、MAC和IP绑定功能可定义的敏感信息，内置常见敏感信息的特征，且可自定义敏感信息特征，如用户名、密码、邮箱、身份证信息、MD5密码等。产品应具备国家保密局颁发的《涉密信息系统产品检测证书》和产品《检测报告》；服务器负载均衡设备吞吐量≥5G；支持常见的主动式健康检查功能，提供基于SNMP、ICMP、TCP/UDP、FTP、HTTP、DNS、RADIUS，ORACLE/MSSQL/MYSQL数据库等多种类型的探测判断机制。支持轮询、加权轮询、加权最小连接、动态反馈、最快响应、最小流量、带宽比例、哈希、主备、首个可用、UDP强行负载等算法。支持SSL卸载和加速功能，卸除服务器端的密集型运算任务，释放服务器计算资源，并提升SSL业务的处理速度。支持TCP连接复用功能，利用HTTP连接池机制，将来自客户端的多个请求合并成一个连接发送到服务器，减少服务器端的工作负荷，并提升业务效率。支持面向服务器健康度的弹性调控机制，可通过监控业务流中的TCP传输异常来衡量服务器节点的有效性，尝试对性能不足的服务器临时开启过载保护，动态调节服务器的负载。设备生产商的负载均衡类产品入选Gartner应用交付控制器（ADC）魔力象限报告，属于国际市场认可的知名品牌服务器接入交换机1交换容量≥950Gbps，转发性能≥350Mpps；万、千兆自适应光接口≥24个；支持模块化可插拔双电源，支持模块化风扇模块，风道可选择前后散热或者后前散热，适应数据中心散热要求；支持多台设备虚拟为逻辑上单台设备实现跨设备链路聚合、统一管理界面、统一转发表项；支持EVB特性，将虚拟机流量引出到物理交换机进行转发和控制；支持IPv4和IPv6环境下的策略路由、支持IPv6手动隧道、6to4隧道和ISATAP隧道；支持并配置带外网管接口；服务器接入交换机2交换容量≥300Gbps，转发性能≥130Mpps；千兆以太网电接口≥24个，千兆以太网光接口≥4个，万兆光接口≥2个；扩展槽位≥2个，最大可扩展万兆端口4个或者千兆端口10个；支持多台设备虚拟为逻辑上单台设备实现跨设备链路聚合、统一管理界面、统一转发表项；支持并配置可插拔模块化双电源；支持IPv4、IPv6三层路由功能；支持DHCPSnooping，防止欺骗的DHCP服务器；支持并配置1个带外网络管理接口；楼层接入交换机交换容量≥350Gbps；转发性能≥132Mpps配置千兆电口≥24个，复用的千兆光口≥4个，万兆接口数≥2个单台配置双电源、2个万兆多模模块支持多台设备虚拟为逻辑上单台设备实现跨设备链路聚合、统一管理界面、统一转发表项；支持三层静态路由，官方网站必须有明确说明支持IGMPSnoopingV1/2/3、支持组播VLAN支持802.1X认证；支持GuestVLAN；支持端口隔离；支持ARP入侵检测功能；支持IP+MAC+端口的绑定支持802.1p和DSCP优先级分类；支持SP、WRR队列调度机制；每端支持优先级队列≥8个；省互联网出口关键设备选型互联网出口路由器千兆光/电复用口≥4个，万兆光接口≥2个，扩展插槽≥1，配置双电源交换容量≥80Gbps，转发性能≥15Mpps支持VPN组播、支持跨域的VPN组播（Option1/2/3）支持L2TP、GRE，为保证性能，L2TP、GRE功能要求由业务板卡实现，做到分布式处理硬件支持NAT功能，为保证性能，NAT功能要求由业务板卡实现，做到分布式处理支持EasyIP、静态NAT转换、动态NAT转换等多种方式；支持NAT多实例、VPNNAT、丰富的NATALG、NAT日志与用户行为审计等功能硬件支持Netstream功能，为保证性能，Netstream功能要求由业务板卡实现，做到分布式处理链路负载均衡设备吞吐量≥2G；支持多种链路检测方法，能够通过PING、TCP、HTTP等方式监控链路的连通性。支持DNS透明代理功能，可基于负载均衡算法代理内网用户进行DNS请求转发，避免单运营商DNS解析出现单一链路流量过载，平衡多条运营商线路的带宽利用率。支持基于五元组条件（源IP地址，源端口，目的IP地址，目的端口，传输层协议号）来配置出站访问的链路调度策略。支持基于链路负荷情况的繁忙保护机制，能根据链路的上行/下行带宽占用率情况执行对出站/入站流量的高级调度策略。设备生产商的负载均衡类产品入选Gartner应用交付控制器（ADC）魔力象限报告，属于国际市场认可的知名品牌出口防火墙设备吞吐量≥8G，并发连接数≥600万，新建连接数≥80万；提供静态的包过滤和动态包过滤功能；支持的应用层报文过滤，包括：应用层协议：FTP、HTTP、SMTP、RTSP、H.323（Q.931，H.245，RTP/RTCP）、SQLNET、MMS、PPTP等；传输层协议：TCP、UDP；支持独立的病毒库、漏洞特征库、应用识别库、URL识别库，WEB应用防护库、数据泄密防护库，僵尸网络识别库，恶意链接库，Web扫描器规则库，实时漏洞分析识别库。并且支持在线自动升级。能实时查杀大量文件型、网络型和混合型等各类病毒；并采用新一代虚拟脱壳和行为判断技术，准确查杀各种变种病毒、未知病毒。支持APT检测功能，具备僵尸网络检测，远控木马识别，恶意链接检测和支持移动客户端安全检测功能产品应具备国家信息安全测评中心颁发的《信息安全服务资质证书》安全工程类一级上网行为管理设备吞吐量≥300M，并发连接数≥60万；支持网关模式，支持NAT、路由转发、DHCP等功能；识别并过滤SSL加密的钓鱼网站、金融购物网站、非法网站等；必须支持基于关键字过滤SSL加密的网页、论坛、BBS上的发帖行为；支持对加密HTTPS、POP3-SSL、POP3、IMAP、IMAP-TLS、IMAP-SSL、SMTP-SSL、SMTP-TLS、SMTP、Gmail、闪电邮客户端邮件内容的审计；实时提供用户流量排名、应用流量排名、所有线路应用流速趋势、流量管理状态、连接监控信息；支持在设置流量策略后，根据整体线路或者某流量通道内的空闲和繁忙情况，自动启用和停止使用流量控制策略，以提升带宽的高使用率；支持通过抑制P2P的上行流量，来减缓P2P的下行流量，从而解决网络出口在做流控后仍然压力较大的问题；产品具备中国信息安全测评中心《信息技术产品安全测评证书EAL3级》WEB防火墙设备吞吐量≥6G，并发连接数≥500万，新建连接数≥60万；支持OWASP定义10大web安全威胁，保护服务器免受基于Web应用的攻击，如SQL注入防护、XSS攻击防护、CSRF攻击防护、支持根据网站登录路径保护口令暴力破解；支持全面保护网站的静态网页和动态网页，支持网页的自动发布、篡改检测、应用保护、警告和自动恢复，保证传输、鉴别、地址访问、表单提交、审计等各个环节的安全，完全实时杜绝篡改后的网页被访问的可能性及任何使用Web方式对后台数据库的篡改。支持web弱点扫描功能，可扫描WEB网站SQL注入、XSS、CSRF、目录遍历、文件包含、命令执行等脚本漏洞支持对业务风险报表统计，能够查看用户网络中中存在业务系统攻击和漏洞次数，包含IPS保护服务器攻击，WAF攻击，实时漏洞风险分析，外网DOS的攻击汇总统计，能够清晰展示业务系统正在遭受的攻击危险等级及排行及用户网络攻击趋势产品应具备CVE兼容性认证证书和OWASPweb防火墙认证证书。市、开发区局域网关键设备选型地市汇聚交换机采用多级交换架构，能够配置独立的交换网板与独立的主控板，交换网板与主控板硬件槽位分离；交换容量≥8Tbps，转发性能≥5700Mpps，控制引擎、电源以及交换网板支持冗余，整机物理插槽数量≥14个，支持将两台或者多台物理设备智能堆叠，堆叠后可实现统一的转发表项、统一的管理界面以及跨物理设备的链路聚合；支持多种安全业务功能模块扩展。开发区汇聚交换机交换容量≥360G，转发性能≥200Mpps，固化千兆电接口数量≥48个，固化千兆光接口数量≥4个，最大支持万兆光接口数量≥8个；接口扩展槽位≥2个，可扩展接口模块；业务扩展槽位≥1个，可扩展多业务模块，包括但不限于无线AC模块、防火墙模块，支持并配置模块化冗余电源；支持多台设备虚拟为逻辑上单台设备实现跨设备链路聚合、统一管理界面、统一转发表项；安全运维管理针对山西省国土资源厅业务部门对IT安全运维管理系统的业务需求，需应用成熟的联软IT安全运维管理系统，解决计算机及业务信息安全运维问题，以及对网络进行统一管理。具体的业务需求包括：防止外来电脑非法接入，避免网络安全遭受破坏或者信息泄密。内部终端，必须符合安全管理规定才能正常访问内部网络资源，否则将被隔离并通知，直至其修复后才能够正常访问网络。加强桌面计算机的安全性，通过批量设置计算机的安全保护措施提高桌面计算机的安全性，及时更新桌面计算机的安全补丁，减少被攻击的可能。实现动态安全评估，实时评估计算机的安全状态及其是否符合管理规定，例如：评估计算机的网络流量是否异常，评估计算机是否做了非法操作（拨号上网、安装游戏软件等），评估计算机的安全设置是否合理等。批量管理设置计算机，例如：进行批量的软件安装、批量的安全设置等。确保单位的计算机使用制度得到落实，例如：拨号上网，使用外部邮箱，访问非法网站，将单位机密COPY、发送文件到外部等。出现安全问题后，可以对有问题的IP/MAC/主机名等进行快速的定位。实现计算机的资产管理和控制。实现内外网数据安全交互。确保业务系统信息安全；防止非授权终端接入业务信息系统；防止业务数据外泄，并提供完善的审计信息，支持业务系统数据安全导出管理。联软IT安全运维管理系统提供统一集成化的管理平台，向系统管理员提供统一的登录入口，通过整体的终端安全视图，呈现计算机网络系统中所有终端设备的安全运行状况。管理员不仅可以看到终端安全的运行状况、终端的安全设置，也能看到终端的软件配置、硬件配置、终端的物理位置等信息。通过统一的集成化管理平台，管理员可以完成所有与终端安全管理维护相关的各种任务，具体包括：网络准入控制系统防止非法终端接入；确保内网终端安全；针对访客和外来人员的管理。内外网数据安全交换系统提高数据交互效率；确保交互数据的安全；提供完整的审计信息。业务数据防泄密系统确保业务信息安全；防止非授权终端接入业务系统；防止业务数据外泄，并提供完善的审计信息。联软IT安全运维管理系统提高终端的安全性；协助管理员提升运维效率。1.网络准入控制网络准入控制是安全接入控制系统的一个管理组件。借助网络准入控制技术对接入网络的客户机设备进行控制，只有合法身份和满足安全要求的客户机才允许接入网络。网络准入控制可以帮助解决如下问题：防止非法的外来电脑接入网络，影响内部网络的安全。防止感染病毒、木马的桌面电脑和笔记本电脑直接接入内部网络，影响网络的正常运行；确保接入网络的客户机符合安全管理要求。帮助安全管理员解决内部用户私自接HUB、无线AP等不安全行为。网络准入控制杜绝非法外来电脑接入内部网络；同时将存在问题的客户机隔离或限制其访问，直到问题客户机修复为止，这样不仅可以防止客户机成为蠕虫和病毒攻击的目标，还避免主机成为传播病毒的源头。2.内外网数据安全交换设备部署后，在不降低网络安全性的情况下，实现每个授权员工可在两个网络不同终端间安全地交换数据，工作效率大幅提高；数据交换过程受控，确保文件经过杀毒检查，保障内部网络安全性；数据交换均需详细审计；不能识别格式的文件不可交换；包含指定关键字的文件需审批后交换；审计信息完整、有效，确保事后追查时，不会因员工采用文件加密等方式逃避责任。3.业务数据防泄密传统的信息系统，数据非常容易被用户截留下来并带走。如网络文件共享系统、数据库系统、OA系统等，可控制帐号访问系统数据，终端将数据通过另存在本地保存或通过网络、移动存储介质（U盘）等方式，将数据截留在本地或直接带走。通过业务数据防泄密功能解决数据使用后及时销毁，员工或外包人员完成工作任务后的数据回收问题。无论他们访问的数据是文件服务器上的一个文件，还是数据库上的一条记录，亦或是一个网页，甚至是网络设备上的配置信息，均可进行防泄密保护。1）防止不受控和不受信终端接入主要业务系统；2）当受控制的终端在访问业务系统后，其从业务系统获取的数据，在使用过程中将受到如下控制：防止另存或导出控制防止未经授权许可，终端无法将数据复制到其它应用之中，如复制到QQ/MSN/飞信等软件中；防止未经授权许可，终端无法将数据打印、截屏；防止外拍限制除以上控制手段以外，还提供了审批、审计流痕、备份式数据操作审计等功能。使用者如果只是对数据进行正常的使用、操作，则金箍圈技术对其不会产生任何限制。如：数据的输入、查询、修改，以及合法授权的导出、打印、复制等行为，都不受影响。4.终端安全管理防止文件非法外传及员工终端操作行为管理防止保存于电脑终端上信息机密文件被员工非法外传出去，包括：禁止/审计通过软盘、U盘、网络共享等方式COPY出去，或者禁止/审计通过Email、MSN/QQ等方式外传文件。对员工的各种不规范行为进行矫正，例如：使用非法软件（BT/e-Mule/MSN/QQ等）、访问非法网站、改变电脑终端的硬件配置等。帮助管理员对桌面终端的系统安全管理，提高终端安全级别。对桌面终端的安全状态进行主动评估，及时发现终端的安全漏洞和不安全的设置；对终端进行安全加固，自动为桌面终端安装补丁和进行安全设置；例如：检查桌面终端上是否有设置屏幕保护、口令、加入Windows域，检查是否有木马的注册表项目，防病毒软件及病毒特征库检查，以及对桌面终端设置Windows本地安全策略，打补丁等。可以帮助管理员自动发现接入设备并实现资产管理自动发现网络上的所有接入设备，实现对桌面终端资产的自动管理。包括：软硬件资产统计，资产变更自动发现，资产的维护等。帮助管理员对桌面终端的批量管理，提高管理效率批量对桌面终端进行管理和维护，例如：集中式自动安装软件、远程监控和远程协助、快速设备定位，批量设置终端的安全选项等，可以提高终端的日常管理和维护效率。同时，安全管理策略还可按照部门、IP网段、IP范围、设备组、操作系统类型、操作系统语言等条件定义安全管理策略的应用范围。机房配套建设资源交易中心分为数据机房、设备机房、操作室，其中数据机房、设备机房约30平米，操作室33平米，机房场地的选择基本符合防火、防水、防静电、防雷击、防辐射、消防设施等方面，同时应对装修、供配电系统、空调系统、电磁波防护、消毒等方面提出要求。场地选择计算机主机房在主建筑内独立区域，周围没有危险建筑，没有磁场干扰，没有强振动源、强噪声源和大功率设备等。机房不在洗水间或水房下层、房间旁，机房远离放有易燃易爆物房间。环境条件严格保持机房条件参数在规定的范围内，如温度保持在20℃~25消防及报警机房内应安装火灾自动报警以及气体类灭火装置。预防雷击机房内所有设备(包括配电系统、通讯设施)应安装防雷设施。数据机房、设备机房功能分区两机房面积约30平米，机房场地的选择基本符合防火、防水、防静电、防雷击、防辐射、消防设施等方面，同时应对装修、供配电系统、空调系统、电磁波防护、消毒等方面提出要求。机房装修要求机房装饰以大方舒适，满足设备使用环境要求为原则。对装饰材料的选择要达到吸音、保温、防火、防潮、防变形、抗干扰、防静电等要求。要使整个机房色调柔和、不压抑、舒适。机房的装修材料应选用气密性好、不起尘、易清洁、防火性好、形变小的阻燃材料。1）地板工程：采用全钢瓷面600*600防静电地板。2）吊顶，对吊顶以上区域进行检查除尘，保证无漏水、无杂物、无安全隐患，保证顶部空调回风通畅；安装龙骨采用知名品牌金属微孔天花板。3）墙面，墙面表面应平整，减少积灰面，抹灰时应符合高级抹灰的要求，要求采用防尘乳胶漆找平刮白，主色调以冷色调为主，装饰材料应以浅灰或白色为装饰色，与机房内黑色机柜、黑色服务器相协调。4）门窗：机房设备入口安装防盗门。窗户填补缝隙后，挂竖百叶防火窗帘。机房电气系统（1）供电输入要求：由大楼配电柜提供一路市电至UPS电源处，UPS输出给机房配电柜内。（2）市电输入要求安装数字电量仪表与监控主机可实时通讯。UPS输出参数及主机工作状态与环境监控实时通讯。（3）所有机柜均采用UPS方式供电，每路均由开关控制。所用电缆均为阻燃优质线缆。选用合理的控制保护开关并选用16A、32A空开，采用16A工业型PDU插座进行连接。每台服务器机柜至少配备2台PDU。（5）机房空调应智能机房附带外挂专业空调。机房照明系统机房照明包括正常照明及事故照明。要求主机房照度不低于300Lx，同时设机房疏散指示、安全出口标志灯等。应急照明照度不低于40Lx。机房防雷系统在市配电柜输出端加防雷器，作为机房电源部分的一级保护；UPS输出加装防雷器作为电源部分的二级保护；机柜内采用PDU电源，做为三级保护。机房布线工程机房的综合布线系统,包括数据机房、设备机房与控制室。每个机柜网络布线采用超五类非屏蔽网线。为提高数据传输能力，充分适应未来需求，对数据点传输均使用百兆超五类布线方案，系统采用结构化、模块化设计。要求结构化综合布线系列产品采用知名品牌。机柜摆放要求采用机柜管理放置网络和服务器设备，将所有的设备放入机柜，一是提高空间利用率，二是使机房环境变得美观大方；三是在机柜处预先布好线，做到更换设备时，换机不换线，增加设备时，加机不加线。机房消防自动灭火系统智能机房内置七氟炳烷自动灭火系统，其它区域放置采用手持式二氧化碳灭火器。七氟炳烷对设备无任何损害、环保。1）按现行有关GA400-2002标准要求规范执行，要求使用七氟丙烷ZQ系列、GQQ柜式(无管网)灭火装置系统。2）在智能机房设置烟感、温感及自动报警系统，控制器、声光报警安装在值班室。应采用感烟、感温两种探测器的组合，且火灾探测器应与自动灭火系统联动。3）灭火系统控制器应在灭火设备动作之前，联动控制关闭机房内的风门、风阀，停止空调机、排风机，切断非消防电源。机房视频监控监控系统包括机房内视频监控和服务大厅、多媒体培训会议区域视频监控。统一纳入动力环境监控系统软件集中管理；控制室设在监控室内。必要的图像可上值班人员终端上显示。1、本次设计要求保证机房内监控无死角。2、摄像机选用知名品牌的优良产品，硬盘存付图像时间超过30天。3、监控中心可通过远程浏览的方式对本系统进行控制。4、系统采用UPS集中供电方式。动力环境监控系统本机房所监控的智能设备或子系统主要包括配电监控系统（、UPS监控系统、温湿度监测、门禁管理、漏水监测、消防监测、安全防范监控等。要求把所有的监控子系统集成在一个统一的平台上实行集中监控，在监控主机上可以方便实时查看到各种智能设备或子系统的所有运行参数和运行状态。A、机房监控对象及内容配电系统:市配电柜:要开关状态监视及实时监视电压（V）、电流（I）、频率（F）、有功功率（P）等。UPS：监测1台UPS系统，对UPS模块的工作状态及各种参数—UPS的输入、输出电压、电流、频率、功率因数等进行监测。环境系统:温湿度监测：精确测量监测站的温湿度参数、报警,传感器。漏水监测：对空调漏水情况实时监测、报警，传感器。消防系统：与空调、配电系统联动控制。B、16UPS及电池组技术要求选用30KVAUPS一台，要求电池后备时间1小时以上。采用知名品牌，做电池支架。Video（BNC）信号、YPbPr信号、S-video信号、DVI信号、HDMI信号，还可以通过拼接控制系统进行多种信号源的拼接显示，若配合矩阵进行信号切换可以实现多路信号的同时输入并可任意选择一路信号在大屏幕上任一单屏显示。全中文控制界面具有显示控制功能强大和简易直观等特点。通过大屏幕拼接控制系统实现独特的图像拼接处理不会导致图像损伤和失真。2.可靠性原则整个系统可以按照需求实现7×24小时、一年365天连续工作，具有高可靠性、高稳定性等特点。在系统设计时，关键部位选用了高可靠性设备，对于重要的控制节点采用先进的高新技术来保障。液晶显示单元的可视角度完全达到水平和垂直双方向178度，因此在任何角度都可以保证显示质量。由于特殊的工作原理，液晶大屏幕拼接单元的响应时间极短几乎完全不受外界电磁场的干扰，运行更稳定，从开始使用到数年后的显示都能保持相同的效果。被动发光的特性也使液晶具有高亮度、高对比度、色彩还原性好、画面清晰、无灼伤且具有极高的分辨率。这些优点赋予了液晶显示单元在大屏幕显示领域得天独厚的优势。3.经济性原则合理的性价比是系统设计中应当考虑的重要内容。因此，所选用的设备在兼顾良好性能的基础上也要考虑经济性，除考虑系统总体造价外，还应当考虑系统长期运行维护成本。液晶拼接系统由于其系统稳定性高，所以整个系统运行期间维护费用很低。4.可扩充性原则随着技术的发展和需求的扩大，系统的扩充是必然的，因而在系统设计时充分考虑未来系统扩充的可行性。液晶显示系统采用模块化设计不仅可以实现用户的扩容需求，更能实现前期设备的充分利用，充分保障了用户的前期投入。5.可维护、管理性原则我们从用户角度出发，充分考虑到系统设备的安装、配置、操作方便等需求，提供了强大的系统管理手段，合理配置和调整系统负载、监视系统状态、控制系统稳定运行。监控系统建设内容本次山西省“阳光国土资源交易”视频监控系统建设内容包括：前端部分、网络传输部分及后端部分。本方案将按照高清及模拟标清两种模式分别进行阐述。本期工程高清模式建设内容：本期在山西省地区37个交易网点，新建前端监控设备，每个交易网点安装4台室内嵌入式球机、4台半球摄像机及2台红外摄像机；所有摄像机分辨率均为720P（1280×720）高清，保证监控图像清晰；建设交易大厅省、市两级音视频监控系统；利用资源交易系统内部专网，建设视频监控网络；充分考虑交易网点监控设备的利旧问题；本期工程标清模式建设内容：本期在山西省地区37个交易网点，新建前端监控设备，每个交易网点安装4台室内嵌入式球机、4台半球摄像机及2台红外摄像机；所有摄像机分辨率均为D1(704×576)或VGA（640×480）标清，保证监控图像清晰；建设交易大厅省、市两级音视频监控系统；利用资源交易系统内部专网，建设视频监控网络；充分考虑交易网点监控设备的利旧问题；后续建设内容：预计未来在全省交易网点进行全面铺开；建设交易网点的安全防范系统，包括报警器、报警主机、报警服务器等；监控系统功能及解决方案一期工程能够满足国土交易部门下述功能：1、“电子眼”避免突发事件通过实时监控，能够及时发现各交易网点出现的拥挤、争议等各种突发事件，使突发事件等应急处理更加快捷。及时统一协调、调度相关部门和人员，采取有效措施，进行应急处理。同时通过该系统，各种纠纷、扯皮、推诿等，通过调用录像，公正的处理该类事件。2、“电子眼”提高服务质效在每个交易网点办事窗口安装一台网络摄像机，可以监控到每个服务人员的具体工作情况，无形中对窗口服务人员的工作纪律、服务态度等各方面进行了约束和监督，使服务人员在工作中能够注意服务方面的细节问题，服务质效有了明显提升。

3、“电子眼”提高交易网点安全由于摄像头可以“7×24小时”不间断工作，属于“技防”范畴，对于交易网点物品遗失、无关人员出入、客人遗留物品等均有记录。并能够与安保人员“人防”相结合，起到预先防范作用。4、拼接屏解码上墙通过采用高集成化的视频综合平台可以将前端的视频图像或录像，实现上墙、拼接、开窗、漫游等功能。5、原有监控设备的利旧在新建监控设备的过程中，要充分考虑原有监控设备的利旧问题，保护客户的既有投资。后续工程需要提高视频监控系统的附加值，满足国土资源交易部门下述功能：1、可视化管理可以实现对客户的投诉的可视化管理。避免由于纠纷、恶意评价造成的服务人员及交易服务网点的损失名誉和经济上的损失。2、报警、门禁系统可以通过设置红外探测器、双鉴探测器、烟感等探测器，以及报警主机、报警服务器，实现报警系统、门禁系统与视频系统的无缝对接。进一步提高整个交易大厅的安全防范能力。交易系统整体化的解决方案“阳光国土资源交易”总体拓扑图：交易网点。采用IPC摄像机或者球机进行画面采集及编码。通过NVR做录像备份，及预览、回放等操作。省、市级交易网点2级监控系统。交易网点摄像机通过专网，上传到省级平台，并可以在省级平台进行集中管理。为了安装考虑，建议在交易网点和省交易中心之间采用内网传输。做山西省下辖的所有前端、服务器、用户的管理及接入。设置视频综合平台，能够支持解码、拼接、漫游、开窗等功能。平台可接入报警器、红外对射、报警主机的接入。监控前端视频监控系统设计高清交易网点建设模式：每个交易网点，按照交易大厅面积计算，大厅前后各安装2台130万象素高清球机，可以覆盖主席台及交易过程，每个高清球机配备一个高解析度拾音器，用以录制主持人和客户的对话。交易网点大厅安装130万象素高清半球4台，用来监控整个交易大厅的情况，以及大厅出入口的进出人员的情况。交易网点报价室安装一台高清红外摄像机，用来监控报价情况。交易网点本地采用嵌入式NVR做录像存储，并配以液晶拼接屏做本地视频监控预览、回放、控制显示界面。本地录像保证30天存储时间。标清交易网点建设模式：每个交易网点，按照交易大厅面积计算，大厅前后各安装2台标清球机，可以覆盖主席台及交易过程，每个球机配备一个高解析度拾音器，用以录制主持人和客户的对话。交易网点大厅安装标清半球4台，用来监控整个交易大厅的情况，以及大厅出入口的进出人员的情况。交易网点报价室安装一台标清红外摄像机，用来监控报价情况。交易网点本地采用嵌入式DVR做录像存储，并配以液晶拼接屏做本地视频监控预览、回放、控制显示界面。本地录像保证30天存储时间。高清模式设备选型前端采用网络吸顶高清球型摄像机。要求如下：高性能处理器，支持1080p@30fps,720p@60fps；

超低码流传输，资源更节省（1080p@30fps默认4M）；

采用1/2.8"高性能CMOS,图像更清晰；

支持12倍光学变倍，16倍数字变倍，总变倍达到192倍；

支持GBT28181、ONVIF等各种网络协议，组网更方便；

通过网络实现实时监控，远程升级，录像、抓图等功能，使用和维护方便；

独特的三维定位功能，捕捉目标更方便、精准、快捷；前端采用网络高清半球摄像机。要求如下：采用TI达芬奇系列高性能DSP采用标准H.264mainprofile5.0视频压缩技术，压缩比高，码流控制准确、稳定采用超低照度&超级宽动态1.3M(1280*960)CMOS图像传感器，图像清晰度高支持1路复合视频输出支持双码流，ACF（活动帧率控制），支持手机监控支持数字水印加密，防止数据被篡改支持I/O报警支持丰富的网络协议支持microSD卡存储支持ICR滤光片切换功能，实现昼夜监控支持AC24V/DC12V/POE供电外观精美，内部一体化模块设计，凸显档次IP66防护等级，精心设计的快装结构，灵活的多种出线方式，极度方便工程安装防暴等级：IK10支持无SD卡、SD卡空间不足、SD卡出错、网络断开、IP冲突、移动检测、视频遮挡智能报警前端采用网络高清红外摄像机。要求如下：采用高性能DSP支持双备份，升级发生断电等异常可自动恢复采用标准H.264Highprofile视频压缩技术，压缩比高，支持低码流监控采用超低照度130万(1280*960)CMOS图像传感器，低照度效果好，图像清晰度高支持3D降噪支持1路复合视频输出支持双码流，ACF（活动帧率控制），支持手机监控支持数字水印加密，防止数据被篡改支持丰富的网络协议支持microSD卡存储支持ICR滤光片切换功能，实现昼夜监控红外照射距离50米支持AC24V/PoE或者DC12V/PoE供电IP66防护等级支持无SD卡、SD卡空间不足、SD卡出错、网络断开、IP冲突、移动检测、视频遮挡智能报警模拟标清模式设备选型前端采用标清模拟球型摄像机。要求如下：全新4寸迷你外观设计，小巧美观采用高性能SONY1/4"CCD，解析度超过650TVL，图像更清晰支持23倍光学变倍，16倍数字变倍，总变倍达到368倍支持AC24V或DC12V电源输入快装结构，安装方便中英文OSD菜单及操作提示功能，用户界面更友好，功能更强大独特的三维定位功能，捕捉目标更方便、精准、快捷485远端升级功能，使维护成本更低IP66防护等级，内置4000V防雷、防浪涌和防突破保护

前端采用标清半球摄像机。要求如下：支持宽动态范围达75dB，适合逆光环境监控；图像清晰，分辨率700TVL；具备图像冻结，数字宽动态,HLC(高亮度补偿）BLC（背光补偿）等功能；支持2D、3D降噪，信噪比高，图像画面干净、悦目；支持自动白平衡功能，色彩还原度高，图像逼真；支持OSD菜单控制，适合客户自定义设置；支持自动电子增益功能，亮度自适应；前端采用标清红外摄像机。要求如下：采用高性能SONYCCD；采用全SONY解决方案；分辨率高，图像清晰、细腻；支持自动彩转黑功能，实现昼夜监控；符合IP66级防水设计,可靠性高；支持自动电子增益功能，自动调节亮度；标配同步电机镜头，有5-50米和和50～100米两种不同红外照射距离可选择省、市两级平台集中监控管理系统设计1.平台总体设计开放性 作为平台软件产品，体现的是对其他品牌、类型的设备和第三方平台系统的有效兼容性。大华综合监控管理平台软件针开放性，设计了协议、接口、控件等多种兼容方式。 对于第三方平台的对接，系统通过应用程序开发包（ADK）的形式，提供系统开发组件和接口，直接支持合作伙伴二次开发工作。对流媒体转发、设备管理、报警管理等监控常用功能进行服务封装，有效降低其他有平台开发意向的合作厂家的开发复杂程度和提高开发有效性。系统通过平台互联协议，可以与第三方平台互联、互通、互操作。 对于设备类的对接，大华有提供网络协议，非大华产品也能跟大华产品一样顺利、无障碍地接入到整个系统平台中；也接受SDK封装接入，系统提供设备接入服务器，将其他品牌设备的SDK按照一定标准再次封装，消除产品质量差异性，稳定、高效地接入到大华的系统平台中融合性系统中因涉及不同品牌、不同版本、不同种类的产品接入管理，这个规模后续还在不断地扩大。因此上位平台软件的融合性非常重要。融合，不同于综合，强调不同类型或体系的产品中合作的无隙性，内部信息共同性，主要针对当前各“孤岛系统”二次集成建设，或者对多种不同品牌、类型的设备的综合性、一体化的管理。根据具体项目需求，系统可以与智能分析业务、GIS业务、动环监控业务、门禁报警业务无缝融合，所有功能面向服务设计，符合实际业务处理流程，提升了系统平台的实战水平，提高了用户的生产力。高清化数字化、网络化在视频监控领域已经普及，人们的需求已经从看得见转变到看得清，高清IP摄像机、高清DVR的优势渐渐获得市场的认可，高清视频监控平台系统是安防系统的核心，作为整个系统调度和管理的中心，扮演着极其重要的角色。目前，大华综合监控管理平台软件在有效支持了公司原有全系列的标清产品的同时，更实现以同等效