信息安全集成设计方案

PAGEPAGE21/44保税区西区信息安全集成系统方案XX 科技有限公司2010.12、项背景 错误!未定义书签。、需求分析 错误!未定义书签。、系统错误!未定义书签。3.1依据及原则 错误!未定义书签。3.2技术错误!未定义书签。3.3管理错误!未定义书签。3.4误!、项目背景20101018(B)80320004200964.201—75亿%51B)937良好。后岸功能身更高。使产生质飞跃多已形涉密办办业运外接入等功能齐杂办环境 在业协同办管、外服等发挥了越来越重要作。建建管关门必须其备服体运监管这其既涉及到支撑层充分效协同地结在起注重够及时定故障。支撑体应该包括三层次：示层。1示层向层管决策层示视角23IT、需求分析2.1 “双热”“双热”已至出口是出理别选择电更好地可靠。建配置由营别租4M以宽带电口岸专线口口口也采“双热”则由负责审批。2.2 布线类布G（六类Y（超五类联网W（T（B（共计5（可根置作调整物隔离独立组4、语音255及超5类屏蔽布管理：水平布六类非屏蔽垂直4纤；4柜在有独立各布一汇聚到机房。。综合布标识说明由于种类比较在前面板颜色加编号式对点位进行分区使时从面板标识颜色确点位话综合布标识面板、。标。区区区以区有企业与管委会之互通和管考虑包括防病毒客户端入等为封闭局域但保留出口提交技术处审批，技术处协助和指导。.3 UPS积在平150mm：应平整必须进行防尘处理采用防尘涂料时2遍以上。防雷：防雷部分的电源防雷器选用进口产品。空调：用的用度调空调。6系统配线架部624式配线架24配线配线架配线架选综合布线网。UPS：配置 10KVAUPS备2台电池10KVA备支持 30分钟消防报警：根据具体情况自行。监控：根据具体情况自行。、系统设计3.1 依据及原则 、依据 系统护等分（GB17859-1999）系统等护（GB/T22239-2008）。《系统保护等级定级指南》（GB/T22240-2008）系统等护（[2007]10）《系统通用技术（GB/T20271-2006）《系统等级保护技术（秘字[2009]059）《系统（GB/T20269-2006）《系统（GB/T20282-2006）《系统物理（GB/T21052-2007）《网络基础（GB/T20270-2006）《系统（GA/T708-2007）《系统（GA/T709-2007）《系统（GA/T710-2007）《系统（报批稿）《系统（报批稿）《系统（GA/T713-2007）《操作系统（GB/T20272-2006）《操作系统（GB/T20008-2005）《数据库管理系统（GB/T20273-2006）《数据库管理系统（GB/T20009-2005）《网络端（GB/T20279-2006）《网络端备隔离部件测试评价（GB/T20277-2006）《网络脆弱性扫描产品技术要求》（GB/T20278-2006）《网络脆弱性扫描产品测试评价（GB/T20280-2006）《网络交换机（GA/T684-2007）《虚拟专用网（GA/T686-2007）《网关（GA/T681-2007）《服务器（GB/T21028-2007）《入侵检测系统技术要求和检测（GB/T20275-2006）《（GA/T700-2007）《防火墙（GA/T683-2007）《防火墙技术测评（报批稿）《系统等级保护防火墙（报批稿）《防火墙技术要求和测评（GB/T20281-2006）《包过滤防火墙评估准则》（GB/T20010-2005）T7）T5）T7）T7）T7）T6）T6）T7）T7）T7）T6）T6）T7）Z7）Z7）T7）、原则在中，遵循以下的总体原：1、一划、布实施遵循一布实施的原中心硬支持平台扩容划建中，首的工作就是明确近期长期的建目标，立足于，布实施。2、开放、互连标化采国、国标、，的的互连。3、性在的体实的的采的在目中是足中心硬支持平台扩容5以的发展。4、熟性中采的体结构必须是已经过实践检验明是成5、可靠性、稳定性和容错性靠性、稳定性和容错性。性建立完善网络中心网络备运行。7、高性能网络系统、服务器系统和系统和产品选择都要考虑到高性能要求。8、升级性和可扩展性系统要充分考虑到扩容和升级需要便地适应未来系统可能变化选择开放性标准备合理和适度资源冗余系统扩充打下基础平滑扩充，保证前期投资。9、高可管理性。3.2 技术选择合保A2。应人值守，、鉴别和记录进人员；需来人员应过申请和批流程，并限和监活动范围。盗窃和破坏 、数据和视频等避交流火灭火和火灾自动系统。水和潮水得穿过屋顶和活动板采取措止雨水过窗户、屋顶和墙壁渗透；采取措止水蒸气结露和积水转移与渗透。静电整个采静板范应和过AS满足关键断电情况正常求。磁护和隔离避免互相干扰。网络网络结构PACP5络热备以及A专络结构图如下图所示：图9：网络结构图要求。这样得以实现系统络：保证关键络备业务处理能力具备冗余空间满足业务高峰期需要；保证接入络和核心络带宽满足业务高峰期需要；并理和各、。访络部访备访能；根据数据流提供明确允许/拒绝访能力度为、流、等日志记录；与相关边界完整性检查检查。入侵检测攻击、出攻击、IP攻击攻击等。IDS检测相应处其下图所示：检测是高性能专硬件操作所有数据包进行记录和分析。根据规则判断是否有异常事件发生，并及时报警和响应。同时记录网络中发生的所有事件，以便事后重放和分析。管理主机运行于Windows操作系统的图形化管理软件。可以查看分析一个或多个检测引擎，进行策略配置，系统管理。显示攻击事件的详细信息和解决对策。恢复和重放网络中发生的事件。提供工具分析网络运行状况。并可产生图文并茂的报表输出。网络设备防护 对登录网络设备的用户进行身份鉴别；对网络设备的管理员登录地址进行限制；网络设备用户的标识应唯一；身份鉴别信息应具有不易被用的应有复；具有登录，可、限制登录数和网络登录时自动退出等措施；对网络设备进行远程管理时，应措施防止鉴别信息在网络传输过程中被窃听。主机安全 身份鉴别 应对登录操作系统和数据库系统的用户进行身份标识和鉴别；操作系统和数据库系统管理用户身份标识应具有不易被用的应有复并；应启用登录，可、限制登录数和自动退出等措施；对服务器进行远程管理时，应措施，防止鉴别信息在网络传输过程中被窃听；应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性。访问控制应启用访问控制，依据安全策略控制用户对资源的访问；、过期避免共享存在。审计审范围覆盖到服务器上每个用等内要相关事件；审记录包括事件日期、间、类型、主体标识、客体标识结果等；保护审记录避免受到未预期、或覆盖等。入侵防范服务器等保到。防范装防件并防件防件。资源制通过入、范围等件录；策略置录超锁；单个对资源最大或最小使度。身份鉴别 提供专录模块对录进行身份标识鉴别；提供身份标识鉴别复杂度检查功能保中不存在复身份标识身份鉴别不易被冒提供录失败处功能可采取结束会话、非法录次自动退出等措施；以及登录失败处理功能，并根据策略配置相关参数。访问控制问；访问控制的覆盖范围包括与资源访问相关的主体、客体及它们之间的操作；由授权主体配置访问控制策略，并严格限制默认帐户的访问权限；互制约的关系。审计；保证无法、覆盖审录；、等。完性保证程中数据的完性。保密性在双建立连接之前，系统利密进行会话初始化证；对程中的敏感字段进行加密。软件错提供数据有效性检人机接口输入接口输入的数据格式长度符合系统定要求；在故障，系统能够继续提供一部分功能，保能够实施必要的措施。资源控制ICDES、基于共享磁盘阵RoseHA用。PABCP5MSTPA、B、C热A入与都海总部访专。定详细与灾难策略模拟每种情况进严格试证综合布线概述 综合布线范围主包括楼、闸闸办、验仓库验楼等。本综合布线涉海、验疫综合布线综合布线证先、开放扩展语音、媒体、等承载综合布线六类构化布线星型拓扑主干网络采用千兆以太网络，实现百兆接入、千兆上行的物理链路。综合布线系统由工作区，水平区，垂直区，设备管理及楼群子系统组成，各部分均采用标准的模块化构件，以利于将来的升级、扩展。工作区子系统工作区子系统由设在各工作区的信息插座、跳线（连接信息插座至终端设备之间的线缆）构成。信息插座采用双孔面板及相配合的六类信息模块。水平干线子系统水平子系统由各大楼内楼层配线间至各个工作区之间的电缆和多模水平光缆构成。水平干线子系统采用六类阻燃双绞线电缆。本系统采用六类双绞线，用于所有的数据点和语音点，实现信息点可完全互换。垂直主干子系统带和极的传输。（子系统）构成，楼层内及信息通道的统管理。主由跳线面板、跳线管理、跳线、光缆端接面板、（）组成。行统布和管理。系统采用 19”标准，42U，部安有 2-4个，安电源面安玻璃门，板和侧板均可拆卸。内所有的信息点符合规定的编号规则和颜色规则，以方便用户的使用。主配线间（BD）FD）,9用“五独立要求分别管理、运行、电查。、、入1服务器3.3 产品型型原则 技术和型首先是基对项目理解和分析并特别510要求：熟、稳定技术满足业务际要求；先进性要求510要目前国际上商SAN最先进且软硬件技术；性高的产品与技术，充分考虑到在系统出现异常时的应变与容错能力，从而确保整个系统的高可靠性。扩展性在系统结构、产品系列和处理性能等各方面具有良好的扩充，升级能力，完全能满足未来5到10年的业务发展要求；产品配置清单 序号 名称 规则型号 单位 数量1.名称:数据服务器2.HPDL580G7E75202P16GBSvr数据服务器应用服务器操作系统（服务器）

台 2（配4*146G双端口热插拔硬盘，3年保修现场金牌服务）1.名称:应用服务器2.技术参数：HPDL388G7E5506EntryCNSvr（配内置光驱，2*146G双端口热插拔硬 台 1盘，19"3务）1.名称:操作系统（服务器）3Windowsserver20032.规格型号： Windowsserver2003coem套3coem企业版企业版数据库软件 SQL4Server20085LS-5120-28P-SI-H36LS-5500-28C-EI7LS-5500-28F-EI-AC（）8WindowsXPPCOEM

名称:数据库软件SQLServer2008版名称：:LS-5120-28P-SI-H3名称：:LS-5500-28C-EI、、名称：:LS-5500-28F-EI-AC配8名称:操作系统（）规格型号： WindowsXPPCOEM名称：盘列

套 2台 13台 20台 7套 1盘列软件器

规格型号： MSA2300SAG2，盘，台 112配6x300GSAS热拔插硬盘名称:双热软件套 1规格型号：ROSE FORWINDOWS8.5版本名称:器型号:ZFDF-220个 12参数：称容量：≥20KA 最大量：≥50KA 残压：<200V 响应时间：<25ns12BVR-25mm213BVR-50mm2()：BVR-25mm2m 96.8()：BVR-50mm2m 37.81.BVR6 108:30*3B级16ZGG120-385C级17ZGG80-385D级18ZGG40-38528试

BZGG120-385400VCZGG80-385400VCZGG40-385400VJF-M02JPH901:JTY-GD/JF-D11:JTW-BCD/JF-D12:J-SAP-M/JF-D13:JBU-VM1372B:JB-QBZ-JF998X:24V/10A2*4KGCO21.2.:≤128点1.

9041118833114292.1路市1路UPS5路市10UPS三相1.台1302.1路市1路UPS5路市15UPS三相台231315P5P1.UPS台332UPS30KVA2.30KVA,1,输台2,、、开、铜芯线，9355-30-N-01.UPS33UPS15KVA2.EDX15KXL31(15KVA、1、单、及）台134防火墙深台1产品参数数据库服务器HPProLiantDL580G7产品企业级产品别机架处理器UlUnUzU4颗U4ICPU核心四核CPU线程数八线程主板1个内存存储3块BS8SAS/SATA/SSDD1BSATADVDEiPtlx7他OtO3）4个HPProLiantDL580G7。HPProLiant发挥佳程序运行时间和为客户来更多效益括：HPProLiantDL580G7利HPProLiantDL580G7可4核和类似IntelMachineCheckArchitecture(MCA耐增进可靠。8Pt03。因采Intel7500系列处理该允许向上扩展更多客户端。HPProLiantx86卓越包括：适HPG7Discovery，在和第三施管理之间建立自动化源感知网络排除过度配置源容量问题。PtControlIntegratedLights-OutAdvanced(iLO3)，iLO8HPInsightControl3。HPHP应ProLiantDL388G7基基参产品类别：机架式产品结构：2U处CPU类型：Intel至5600CPU型号：XeonCPU频：2.53GHz智频：2.93GHzCPU量：1颗最CPU量：2颗：QPI5.86GT/sCPU：CPU：12程板扩展：6：PC3-10600RRDIMMDDR3PC3-10600EUDIMMDDR3最不最架：最支8SFFSATA/SAS位：支DiNC382iO30℃℃ProLiantDL388G7(-AA1)机架服务一款质高、价位合的高信2U服务。这款服务置有非常出色的内部Intel列处为核心保障，配合容的内存和硬盘存储，增加机身的可靠，更有效的助推企业腾飞的进程。惠普ProLiantDL388G7(-AA1)图片惠普ProLiantDL388G7(-AA1)机架服务配置Intel5600列XeonE5620。这款四核八线程的处核心采32nm程艺，频为2.4GHz，通过智加速主频，使处的频2.666GHzProLiantDL388G7(-AA1)机架服务2GBDDR3P410i/ProLiantDL388G7(-AA12NC382iiLO3。ProLiantDL388G7(-AA1)的主板上最大6扩展8B，B。ProLiantDL388G7(-AA1)2U品。这款Intel5600XeonE5620核心，2NC382iiLO3充分保障了的靠性和性更便于使用者操作。磁盘阵列HPMSA2300产品型号 列号 描述 数量MSA2300

HPMSA2324fc制磁盘阵列：制每制1缓存；每制24GbFibreChannel；支持RAID0,1,3,161064主242.5盘插槽；冗余电源HPMSA2312fc制磁盘阵列：每制1GB存24GbFibreChannel持164主123.5HPMSA2312sa制磁盘阵列：制预配置

冗余制1GB制43Gb接；支持RAID0,1,3,5,6,10,直连最 18SASBLSwitch主12HPStorageWorks2324sa制磁盘阵列：冗余制1GB制43Gb接；支持RAID0,1,3,5,6,10,直连最 18SASBLSwitch主24MSA2312iLFF制磁盘阵列：冗余制每制1GB制121GbiSCSIRAID01356503212AJ956A

HPMSA2300fcSANStarterHAUpgradeKit8bhhbP加磁盘笼

AJ949A

或AJ955A升级选LFFSFF选择或两个FC/SA/iSCSIHPMSA2324SFF2.5“磁盘存储机箱2阵列槽位带24颗2.5寸硬盘插槽冗 1余HPMSA2312LFF3.5”磁盘存储机箱2阵列槽位带12颗3.5寸硬盘插槽冗 1余DC磁盘笼

AJ950A HPMSA20123.5“直流存储机箱 1AJ951A HPMSA20242.5”直流存储机箱 1Pc1B

有24GbFibreChannel端;持64主 1机HP2300saG2ModularSmartArrayController1GB43GbSAS1RAID0135610508个主机SASBLSwitch64主机HPMSA2300iModularSmartArrayControllerAJ803A

1GB缓存；每有21GbiSCSI端口最 132主机；的需要大容量的存储备来存放这些其中就是这家族中很重要的员它利用数组式来作磁盘组配合数据分散排列的提升数据的安性。StorageWorksMSA2300FC(AJ798A)StorageWorksMSA2300FC(AJ798A)2UBSII。RAID存储系统(或者服务器的存储)带来巨大利益其中提高传输速速率StorageWorksMSA2300FC(AJ798A)RAID01,3561050。StorageWorksMSA2300FC(AJ798A)支持MicrosoftWindowsServer2008IA32x64IA64(StandardEnterpriseDatacenterMicrosoftandR2RedHatLinux(32/64)等多种操作系统。StorageWorks具有很高的稳定性它平均无故障时间可以达到小时。骨干网交换S5120-28P-SIH3CS5120-SI以太网交换H3C千以太网交换于网和网的提供的千以太低如下型号：I：6T4X；S5120-28P-SI24个10/100/1000Base-T以太网端口，4个1000Base-X千兆以太网端口；S5120-52P-SI48个10/100/1000Base-T以太网端口，4个1000Base-X千兆以太网端口。灵活的千兆接入和集群管理H3CS5120-SI系列全千兆以太网交换机提供灵活的 16/24/48个10/100/1000M自适应电口接入；并且支持非复用的 SFP插槽，充分考虑用户的带宽升级的实际情况，既可以支持千兆光模块，也可以支持百兆光模块，保护用户投资。H3C系列硬件支持最大 交换容量，保证所有端口二层线速交换。H3C系列交换机采用专利技术允许交换机利用专用互联电缆实现多达16台设备的堆叠，支持不同端口设备的混合堆叠。具有即插即用、单一IP管理。同时大大降低系统扩展的成本，保护了用户投资。全面的接入安全策略H3CS5120-SI系列交换机支持特有的 ARP入侵检，可有ARP实网的“，不合 DHCPSnooping定表手工配置的静定表的非法 ARP欺骗直接丢弃。同时支持 IPSourceCheck特性，包括 MAC欺骗、IP欺骗、MAC/IP欺骗在内的非法地址仿冒以及大量地址仿冒带来的DoS。另外，利用DHCPSnooping的信任端口特性还可以有杜绝私设DHCP服务器，保证DHCP环境的真实性和一致性。H3CS5120-SI系列交换机支持端口安全特性族可以有范基于 MAC地址的。可以实现基于 MAC地址允许/限制流量，设定每个端口允许的 MAC地址的最大数量，使得某个特定端口上的MAC地址可以由管理员静态配置，或者由交换机动态学习。H3CS5120-SI系列交换机提供802.1X和集中MAC认证方式对接入的用户进行认证，允许合法用户通过，对于非法用户则拒绝其上网。同时还支持客户端软件版本检测、GuestVLAN等功能，和CAMS服务器配合还可以实现代理检测、双网卡检测等功能。通过这些功能的应用可以对用户的合法性进行充分的检查和控制，最大程度的减少非法用户对网络安全的危害。增强的网络管理和维护的易用性H3CS5120-SI系列交换机支持通过实现设备的远程升级，支持 SNMPv1/v2/

可支持OpenVie

通用网管平台，以iMC智能管理中。支持 CLI行，Web网管，TELNETHGM集管理，使设备管理方。支持SSH2.0等方式，使得管理安全。CI系列交换机支持 Tlet检测功能，于定网络。支持特性支持特性×）440×160×43.6量管理端口<3kg1个 Console口24个 10/100/1000Base-T以太网端口，4个 1000Base-XSFP兆以太网端口交换容量全双工包转发率整机端口聚合端口VLANDHCP组播支持 链路聚合支持 IEEE802.3x流控全双工）支持基于端口支持基于端口率百分比、pps和 bps的风暴抑支持基于端口的 NK个）支持 DHCP支持 DHCPSnooping支持 DHCPSnoopingOption82支持 IGMPSnoopingv1/v2/v3支持组播 VLAN生成树 支持 STP/RSTP/MSTP协议支持基于源 地址、目的 MAC地址、源 地址、目的 地址、TCP/UDP端口号、协议类型、等 QoS

支持基于时间段的 支持基于全局、VLAN、端口（组）下发 支持 IEEE802.1p/DSCP优先级支持优先级映射支持端口信任模式每端口支持 4个队列支持端口队列调度(SP/WRR/SP+WRR)镜像 支持端口镜像支持用户分级管理和口令保护支持 Radius认证支持 SSH支持 802.1X，集中式 地址认证支持 GuestVLAN安全特性管理与维护输入电压

支持端口隔离支持端口安全支持 地址学习数目限制支持 源地址保护支持 ARP入侵检测功能支持 IP+MAC+端口的绑定支持 XModem/加载升级支持命令行接口（CLI），Telnet，Console口进行配置支持 SNMP，WEB网管支持 RMON（RemoteMonitoring）支持 iMC智能管理中心支持系统日志，分级告警，调试信息输出支持 支持 Modem远端拨号支持 支持 Ping，支持 远程维护支持 VCT（电缆检测功能支持 Loopback-detection端口环回检测额定电压范围：100V～240VAC.；50/60Hz最大电压范围：90V～264VAC.；47/63Hz功耗（满负荷时） 31.5W环度 0℃～环相对湿度（非凝露）

10%～90%核心网交换机LS-5500-28C-EIH3CS5500-EIH3CIPv64城。拥群千一10GE用。IPv4IPv6演变势所趋于 IPv6不仅简用就行需要商用标准S5500-EI已经通过了国际权威IPv6Ready二阶段认证且通过了部严格测试这基于IPv4/IPv6平台由协议组播协议策略平滑升级。完控制策略H3CS5500-EI端点准防御）功配合后台统可终端防病毒补丁修复等终端措施与控制访问权限控制等网措施整合联动通过检查隔离修监控变被动防御主动防御点防御面防御、变分散管策略管升了病毒蠕虫等威胁整体防御H3CMAC地址认证认证认证，用、IP、MAC、VLAN、端用时用（VLAN、QoS、ACL）H3CCAMS统用行管诊断瓦解非法行H3CS5500-EI提供ACL控制逻辑超量端端AC并且基于 NL下简化配置过程同避免了 L源浪费另I还播反径查找技术（uRPF），原理是当设备的一个接口上收到一个数据包时，会反向查找路径来验证是否存在从该接收接口到包中制定的源地址之间的路由，即验证了其真实性，如果不存在就将数据包删除，这样我们就可以有效杜绝网络中日益泛滥的源地址欺骗。多重可靠性保护S5500-EIS5500-28F-EI的，可以根据的的，可靠性。当网络上的时也不网络的收时间，保证的。多支持能力支持PoE（Powerover通过太对连（AP）电，从设备部的电源系，设备的理成。支持，交换机口的流，将的接（VLAN）为语音量提供专门通道并下发优先规则优先传输通话质量同通过VoiceVLAN安全特性，只允许语音量通过，可以有效防止突发数据流VoiceVLAN内的语音量冲击。H3CS5500-EI系列交换机支持 MCE功能，可以有效解决多 VPN网络带来的用户数据安全与网络成本之间的矛盾，它用CE设备本身的 VLAN接口编号与网络内的 VPN进行绑定，并为每个 VPN创建和维护独立的路由发（Multi-VRF）这样不但能够隔离私网内不同VPN的报文发路径，而且通过与PE间的配合，也能够将每个VPN的路由正确发布至对端PE，保证VPN报文在公网内的传输。丰富的 QoS策略H3CS5500-EI系列交换机支持支持L（r）4（r4）包过滤功能，提供基于源地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDPVLANStrictPriority）、WeightedRoundRobin）、SP+WRR三种模式。支持CommittedAccessRate）功能，粒度最小达64Kbps。的数据包复制到监控端口，以进行网络检测和故障排除。出色的管理性H3CS5500-EI系列交换机支持SNMPv1/v2/v3（ManagementProtocol），可支持OpenView等通用网管平台以及iMC智能管理中心。支持CLI命令行，b网管，T，P，使设备管理更方便，并且支持0等加密方式，使得管理更加安全H3CS5500-EI系列交换机支持基于 MAC地址划分 VLAN，很好的的智能灵活管理的基于全和VLANACL策略，用户置的同时，源。系列交换机支持 功能，可以对出入方向的报文机，灵活报文集。支持支持性交换（）S5500-28C-EI192Gbps包（机）95.2Mpps（×宽×高）（单位重量管理端口300×43.6业务描述4kg1个 Console口24个 10/100/1000Base-T以太网端口4个复用的 1000Base-X兆端口机热备份软ROSE FORWINDOWS8.5版本RoseHA机系的两台（机）列（）软件和高可软件分别装在两台主机上数据库等共享数据存放在存储上两台主机之间通过私心跳网络。配置好主机开始工后RoeHA心跳每台主机上软件都可监控另一台主机主机发生故障时心跳就会产生变化这种变化可以通过私就会控制进行主机切换即备份机启动和工主机一样应程序管工主机工（TCP/IP网络服务、存储存取等服务）并进行报警提示管理人员对故障主机进行维修。当维修完毕后定自动动切换可以切换，时维修好主机就备份机机工。在对主机当生进行切换时即主机切换在变化所基主机都端通过和工主机通发生切换始工作主机。在进行网络服务时A提供一个逻辑虚拟地址任何一个户服务时这行时网络服务由器器出A会将虚拟地址转移到另外一器卡后在并出故障网络服务仍然可以使除P地址外A还可以提供虚拟算机访问器出正常。与磁盘阵列直软件和高可软件分别装在两台主机内部硬盘A私网络传递心跳每台主机上软件时监控另一台主机状网ARoeHA就会控制进行服务切换，备份机启动和工主机一样应程序管工主机工（TCP/IP用应用侦测主用应用侦测主器备器共享解决优点：对器硬件配置要求不高，可以根据应用情况采用不同型号或配置。系统切换时间短，最大程度减少业中断的影响。切换过程对应用程序无影响，无需重新启动或，无人。器故障切换理HA件完。双机RS232或用100/1000M自应，不CPU资源也不用基础业带宽RoseHA的，的应用中用的好评。的应用配置，：Oracle、SQLServer、Sybase、Exchange等。硬件可采用机架式结构，便于维护管理。RoseHA主要功能特点友好的界面RoseHAvat并利Applet网络特性网络远程实时显示出主机及服务状态灵活Active-ActiveActive-Standby式RoseHAActive-Active模Active-Standby模指定每台服务器作activeorstandby）指定要服务硬件部分定义指定的服务发生故障后要采取一步（最大启动时间等）。支持多条心跳路径将网线RS-232串口线作为在RoseHA软件心跳路径多条心跳路径避故障。动出（如HA程/程RS-232SCSI、、网络线）RoseHA将定故障并采取并将这服务器故障服务器受影响不会既不会受任何影响不需要员干预。动检测在每一台服务器内RoseHA具有两个核它们如果其一程失败一程会立即恢复。服务器靠性在主服务器出故障（如机）时一台服务器故障服务器运所有性该配备了冗余口RoseHA使用它来恢复口或者所有口均出现时，HA将该应用切换另外一台上。切换完后在短暂切换过程后够继续所需。存储需要将应用数据存储在两台都共享磁盘中。建议使用磁盘阵列来存储数据以避免单点固而且便于对系统容量进行扩uer软件管磁盘阵列RoseHA程以磁盘阵列数据。应用在用系统中以行应用一应用一而存在。在中而它行时RoseHA在将切换另一台上时该上行对于数据应用需要切换数据存储数据软件。而在/应用除了要切换数据存储数据软件外还需要切换虚拟 IP。希望两独立地进行切换则此两IP地址IP地址RoseHA将所有使用该IP都切换另外一台上去。丰富附加功能对应用Agent程使监控更切实际更加有效；开t界面（API）针特定编写Agent程执行特定状态诊断错误恢复工。SQLServer2008R2MicrosoftSQLServer2008、强身份。重大的新使用基策略的及检测不符合策略的情况不需修改应用程序即可使用透明数据加密来加密数据使用可扩展密钥和硬件模块，利用整个企业的加密解决SQLServerAudit实现高的细微审核维护企业中数据的使用预为且在部署中为的数据库解决来保护数据的。使用自动化基策略的来定接口区使用基策略的，针对企业内的服务器、数据库和数据库对象来确认符合Facet控制使用中的服务和，以降低暴露在威胁的。自动应用件新WindowsUpdate自动SQLServer件成的威胁。控制对数据的访问验证和以及访问需的用，来数据的控制。强制实密策略MicrosoftWindowsServer2003新)的密策略，以强制实密长度适当的符合以及定期变的密SQL登入也是。使用角色和Proxy 账户使用 msdb数据库的固定数据库角色，增加对于代理程序服务的控制权使用多个 Proxy 帐户，让当做作业步骤的 SQLServerIntegrationServices(SSIS)封装执行更安全.提供安全性增强型元数据访问使用目录视图来提供对于元数据的安全性增强访问，好让用户只针对他们具有访问权的对象来查看元数据.使用执行内容来增强安全性功能使用执行内容标示模块，以便使用特定的用户身分 (而不是调用的用户身分来执行模块内的语句授与调用的用户执行模块的权限，但是针对模块内的语句使用执行内容的权限.简化权限管理使用架构来简化及改良大型数据库的弹性。给某个架构授与权限，以便将权限授与给此架构内所包含的每一个对象，以及未来在此架构内置立的每一个对象。加密敏感数据据。分用内置密码编译构在SQLServer2008、称密以方加密数据通过安全性增强型数据库加密密，以方在数据库构执行所有加密，让加密数据的用程序度降低。让用程序人员访问加密的数据，而不变更现有的用程序。.用可扩展密管理使用业密管理系统来聚合业加密。使用硬件安全性模块，将密存放在不同的硬件上，好让您的数据与密分。使用专门系统来简化密管理。4.SQLServerAudit、Windows 应Windows日志创建规格判断要并入服务器作，以获取完控制DDL触发创建解决触发捕获及语言(DDL)扩充触发响应DDL事(DML事并DDL事以改善及增WindowsServer2003R2WindowsServer2003R2概述MicrosoftWindows2003Server创建建它解决许多工上改调整多项影响默认值并提供多项以Windows平台功。Windows2003Server以念重许多组而这些组建构以要创Windows2003Server组：InternetInformationServices(IIS经过重允许services作以较低者账借由制网络取法降低潜攻击并改IIS5.0服务器Bug。CommonLanguageRuntime(CLR)。本软件引擎是 Windows2003Server的关键部分，它提高了可靠性并有助于保证计算环境的安全，降低了错误数量，并减少了由常见的编程错误引起的安全漏洞。公共语言运行库还验证应用程序是否能无错误运行，并检查适当的安全性权限，以确保代码只执行适当的操作。为客户提供一个立即可用的安全基础，帮助企业建立一个不容易遭受攻击的网络环境。产品在安装起来之时就处于安全锁定的状态，其中有二十多项服务设为不安装低的权限执行，以帮助IT在安全的态执行其服务。它在设中安全了的，了用于Windows安全性的能IIS6.0在Windows2003Server中的为关。InternetE