【正文】 ort 10/100/1000 BaseT (RJ45)48口10/100/1000模塊32接入交換機(jī)Catalyst 3560 24 10/100/1000T + 4 SFP + IPB Image24口10/100/1000自適應(yīng)交換機(jī)，帶4個(gè)光纖模塊插槽503無(wú)線控制器4400 Series WLAN Controller for up to 25 Lightweight APs無(wú)線控制器最多可以25個(gè)AP14無(wú)線AP。 流量控制設(shè)備序號(hào)設(shè)備類型具體配置數(shù)量1流量控制設(shè)備AceNet AG1000E,2xGE + 8x10/100 Copper Ethernet ,2G 數(shù)據(jù)吞吐量, 1M 最大并發(fā)數(shù),12K安全策略數(shù).AceNet AG1000E, Upgrade License22備注選型原因：1) 此設(shè)備采用ASIC的系統(tǒng)架構(gòu)，添加規(guī)則后不影響性能，通過(guò)實(shí)時(shí)帶寬監(jiān)控可以迅速定位和處理流量異常等問(wèn)題；2) 系統(tǒng)能夠支持透明，NAT等混合網(wǎng)絡(luò)工作模式；3) 支持多條光纖匯聚后輸出。選擇主流機(jī)種可減緩機(jī)器更換頻率，提高主機(jī)的服務(wù)年限，更好的利用設(shè)備投資。216。216。 具有完善方便的管理技術(shù)主機(jī)的管理技術(shù)是其中必不可少的關(guān)鍵組成部分，要求具備簡(jiǎn)單、方便、功能齊全、高效率的管理工具。 系統(tǒng)架構(gòu)分析服務(wù)器系統(tǒng)總體架構(gòu)優(yōu)缺點(diǎn)分析如下：216。216。當(dāng)單臺(tái)服務(wù)器處理能力不足時(shí)，必須增加服務(wù)器的CPU和內(nèi)存等配置；當(dāng)單臺(tái)服務(wù)器的配置達(dá)到最高仍無(wú)法滿足業(yè)務(wù)處理能力時(shí)，則必須升級(jí)到更高檔和更高配置的新的服務(wù)器。這種架構(gòu)完全解決了單臺(tái)應(yīng)用服務(wù)器處理能力可能不足的問(wèn)題，可以根據(jù)業(yè)務(wù)發(fā)展和處理能力需要靈活配置多臺(tái)應(yīng)用服務(wù)器（彼此的機(jī)器型號(hào)和配置也可以不同）。 多數(shù)據(jù)庫(kù)服務(wù)器多應(yīng)用服務(wù)器的主機(jī)和應(yīng)用架構(gòu)這種架構(gòu)是目前開放式平臺(tái)下的一種較為超前的主機(jī)架構(gòu)，系統(tǒng)管理和維護(hù)有一定的難度，建設(shè)成本最高。 服務(wù)器處理性能估算互動(dòng)欄目數(shù)據(jù)庫(kù)服務(wù)器互動(dòng)欄目數(shù)據(jù)庫(kù)的處理能力需求主要體現(xiàn)在業(yè)務(wù)高峰時(shí)期，數(shù)據(jù)庫(kù)處理能力支持所需最大并發(fā)用戶同時(shí)處理互動(dòng)欄目事務(wù)的能力。根據(jù)系統(tǒng)對(duì)TPCC值的要求，建議配置8個(gè)4核CPU和64G以上內(nèi)存，配置6塊300G硬盤。則每分鐘的峰值受理業(yè)務(wù)5556*2*2*2=33336，每個(gè)操作實(shí)際交易對(duì)應(yīng)2個(gè)tpmc值計(jì)算，再考慮30%的冗余，這樣系統(tǒng)的TPCC值應(yīng)達(dá)到：33336*2/70%=95246 tpmc。 服務(wù)器選型建議序號(hào)設(shè)備類型具體配置數(shù)量1互動(dòng)欄目數(shù)據(jù)中心服務(wù)器8*AMD OPTERON 8374四核處理器、128GB DDRII ECC667內(nèi)存、6*300G 15Krpm 熱插拔SAS硬盤、256M SAS RAID卡支持RAID 0, 1 ,5，4個(gè)千兆網(wǎng)卡、DVD光驅(qū)、冗余熱拔插電源、五年原廠服務(wù)（出具原廠證明）12新聞數(shù)據(jù)中心服務(wù)器4*AMD OPTERON 8374四核處理器、32GB DDRII ECC667內(nèi)存、6*300G 15Krpm 熱插拔SAS硬盤、256M SAS RAID卡支持RAID 0, 1 ,5，4個(gè)千兆網(wǎng)卡、DVD光驅(qū)、冗余熱拔插電源、五年原廠服務(wù)（出具原廠證明）23應(yīng)用服務(wù)器2*AMD OPTERON 2378四核處理器、8GB DDRII ECC667內(nèi)存、2*300G 15Krpm 熱插拔SAS硬盤、256M SAS RAID卡支持RAID 0, 1 ,5，4個(gè)千兆網(wǎng)卡、DVD光驅(qū)、冗余熱拔插電源、五年原廠服務(wù)（出具原廠證明）184備注選型原因：1) 曙光服務(wù)器可提供五年原廠服務(wù)；2) 用戶一直使用曙光服務(wù)器，對(duì)其性能以及穩(wěn)定性都有很高的評(píng)價(jià)；3) 曙光服務(wù)器相對(duì)于IBM、Dell、HP等國(guó)外品牌服務(wù)器具有更高的性價(jià)比。主數(shù)據(jù)中心和容災(zāi)數(shù)據(jù)中心之間可以利用現(xiàn)有的IP網(wǎng)絡(luò)或構(gòu)建新的FC鏈路，通過(guò)NetApp的遠(yuǎn)程復(fù)制容災(zāi)軟件實(shí)現(xiàn)數(shù)據(jù)同步鏡像。 設(shè)計(jì)原則1) 統(tǒng)一部署思想、集中存儲(chǔ)與管理；2) 采用存儲(chǔ)的虛擬化技術(shù)，減少總體擁有成本(TCO)，增加投資回報(bào)（ROI）；3) 采用先進(jìn)的存儲(chǔ)架構(gòu)消除各部門間壘壁、各系統(tǒng)信息孤島；4) 保證35年的信息容量增長(zhǎng)。 支持多種操作系統(tǒng)；216。 支持SAN架構(gòu)；216。 存儲(chǔ)備份系統(tǒng)性能設(shè)計(jì)數(shù)據(jù)存儲(chǔ)備份系統(tǒng)的設(shè)計(jì)和建設(shè)，要圍繞項(xiàng)目建設(shè)的總體目標(biāo)，結(jié)合應(yīng)用服務(wù)平臺(tái)的建設(shè)內(nèi)容，以數(shù)據(jù)采集和數(shù)據(jù)通信網(wǎng)絡(luò)為基礎(chǔ)，采用先進(jìn)的存儲(chǔ)技術(shù)，建立協(xié)調(diào)的運(yùn)行機(jī)制和科學(xué)的管理模式，構(gòu)建完善的數(shù)據(jù)存儲(chǔ)管理體系，實(shí)現(xiàn)高效的網(wǎng)絡(luò)數(shù)據(jù)交換和共享訪問(wèn)，為資源管理提供全面的、多維的、多尺度、多分辨率、多時(shí)段的信息服務(wù)。2) 高可靠性。要求選擇的設(shè)備能在短時(shí)間內(nèi)對(duì)大量的資料進(jìn)行備份，把資料寫到備份存儲(chǔ)上，提供高速的備份能力。在時(shí)間要求上，系統(tǒng)切換要小于十分鐘，業(yè)務(wù)切換要小于半小時(shí)。需要每周做一次全備份，每天做差分增量備份，每周三做累計(jì)增量備份。每條文本信息按10K計(jì)算，則10K（2000萬(wàn)+500萬(wàn)5年）65%/1024/1024＝279G。XX的數(shù)據(jù)存儲(chǔ)總量為：115＋279＋429＋6740＋500 ＝ 8063G。因此根據(jù)以上系統(tǒng)數(shù)據(jù)量分析并考慮業(yè)務(wù)的發(fā)展，我們建議配置的存儲(chǔ)容量為16T。 網(wǎng)絡(luò)安全方案 安全體系架構(gòu)一個(gè)全方位的計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)包含安全管理體系、安全技術(shù)體系以及安全運(yùn)維體系等。本章內(nèi)容將根據(jù)XX網(wǎng)絡(luò)的結(jié)構(gòu)特點(diǎn)提出安全平臺(tái)的規(guī)劃方案。易于操作、維護(hù)，并便于自動(dòng)化管理，而不增加或少增加附加操作。設(shè)計(jì)原則網(wǎng)絡(luò)安全體系的核心目標(biāo)是實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)系統(tǒng)和應(yīng)用操作過(guò)程的有效控制和管理。保護(hù)成本、被保護(hù)信息的價(jià)值必須平衡，價(jià)值僅1萬(wàn)元的信息如果用5萬(wàn)元的技術(shù)和設(shè)備去保護(hù)是一種不適當(dāng)?shù)谋Ｗo(hù)。它們?cè)诰W(wǎng)絡(luò)安全中的地位和影響作用，只有從系統(tǒng)綜合的整體角度去看待和分析，才可能獲得有效、可行的措施。其次，采用的措施不能影響系統(tǒng)正常運(yùn)行。 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析由于目前網(wǎng)絡(luò)的應(yīng)用的自由性、廣泛性以及黑客的“流行”，網(wǎng)絡(luò)面臨著各種安全威脅。從系統(tǒng)和應(yīng)用出發(fā)，網(wǎng)絡(luò)的安全因素可以劃分到如下的五個(gè)安全層中，即安全管理、物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層。責(zé)權(quán)不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險(xiǎn)。這就要求我們必須對(duì)站點(diǎn)的訪問(wèn)活動(dòng)進(jìn)行多層次的記錄，及時(shí)發(fā)現(xiàn)非法入侵行為。如：1） 設(shè)備被盜、被毀壞2） 鏈路老化或被有意或者無(wú)意的破壞3） 因電子輻射造成信息泄露4） 設(shè)備意外故障、停電5） 地震、火災(zāi)、水災(zāi)等自然災(zāi)害因此，在網(wǎng)絡(luò)安全考慮時(shí)，首先要考慮物理安全。這種形式的“攻擊”是相對(duì)比較容易成功的，只要使用現(xiàn)在可以很容易得到的“包檢測(cè)”軟件即可。l 網(wǎng)絡(luò)邊界風(fēng)險(xiǎn)分析目前公司內(nèi)部用戶有上網(wǎng)需求，但現(xiàn)有的網(wǎng)絡(luò)安全防范措施還很薄弱，存在的安全風(fēng)險(xiǎn)主要有：1） 入侵者通過(guò)Sniffer等程序來(lái)探測(cè)掃描網(wǎng)絡(luò)及操作系統(tǒng)存在的安全漏洞，如網(wǎng)絡(luò)IP地址、應(yīng)用操作系統(tǒng)的類型、開放哪些TCP端口號(hào)、系統(tǒng)保存用戶名和口令等安全信息的關(guān)鍵文件等，并通過(guò)相應(yīng)攻擊程序?qū)?nèi)網(wǎng)進(jìn)行攻擊。使得這些設(shè)備的自身安全性也會(huì)直接關(guān)系的公司系統(tǒng)和各種網(wǎng)絡(luò)應(yīng)用的正常運(yùn)轉(zhuǎn)。l 與INTERNET連接帶來(lái)的安全隱患為滿足公司內(nèi)部用戶上網(wǎng)需求，公司網(wǎng)與INETRNET直接連接，這樣網(wǎng)絡(luò)結(jié)構(gòu)信息極易為攻擊者所利用，有人可能在未經(jīng)授權(quán)的情況下非法訪問(wèn)公司的內(nèi)部網(wǎng)絡(luò)，竊取信息同時(shí)由于二者之間尚無(wú)專門的安全防護(hù)措施，服務(wù)器主機(jī)所提供的網(wǎng)絡(luò)服務(wù)也極易被攻擊者所利用，發(fā)動(dòng)進(jìn)一步攻擊。 網(wǎng)絡(luò)安全體系構(gòu)建方案 安全管理體系安全管理是公司網(wǎng)絡(luò)和信息安全的核心內(nèi)容，包括了風(fēng)險(xiǎn)管理、信息安全策略、規(guī)程、標(biāo)準(zhǔn)、方針、基線、信息分級(jí)和安全教育等。沒(méi)有百分之百安全的系統(tǒng)，每個(gè)系統(tǒng)都有其脆弱性，我們所需要做的就是識(shí)別這些風(fēng)險(xiǎn)，評(píng)估它們實(shí)際發(fā)生地可能性和因此可能造成的破壞，然后采取正確的措施全面減小系統(tǒng)中的風(fēng)險(xiǎn)程度。XX應(yīng)根據(jù)本公司的實(shí)際情況，制定相應(yīng)的信息安全策略，下面是一個(gè)可供參考的信息安全策略示例：禁止未經(jīng)授權(quán)的修改和傳輸，或是傳播公司私有的、敏感的、機(jī)密的信息。例如上述安全策略規(guī)定敏感的專有信息只能被授權(quán)用戶訪問(wèn)，那么作為支撐的規(guī)程就需要說(shuō)明達(dá)到這個(gè)目標(biāo)的步驟：為認(rèn)證授權(quán)定義訪問(wèn)標(biāo)準(zhǔn)，規(guī)定訪問(wèn)控制機(jī)制應(yīng)該如何實(shí)行和配置，規(guī)定如何審計(jì)訪問(wèn)活動(dòng)。經(jīng)過(guò)初步評(píng)估，我們認(rèn)為XX企業(yè)的關(guān)鍵資產(chǎn)包括：n 所有對(duì)企業(yè)業(yè)務(wù)和持續(xù)性商業(yè)計(jì)劃產(chǎn)生重要影響的數(shù)據(jù)和文檔；n 網(wǎng)站、論壇等服務(wù)；n 上述服務(wù)/應(yīng)用賴以運(yùn)行的主機(jī)和網(wǎng)段；n 數(shù)據(jù)庫(kù)服務(wù)器、文件服務(wù)器、DNS服務(wù)器等關(guān)鍵支撐設(shè)備；n 關(guān)鍵鏈路上的通信設(shè)備和安全產(chǎn)品（如防火墻、防病毒等）；在上述基礎(chǔ)上，XX的安全規(guī)劃人員可以通過(guò)業(yè)務(wù)影響力分析，對(duì)資產(chǎn)進(jìn)行評(píng)分和重要度排序，并對(duì)信息進(jìn)行分級(jí)。應(yīng)該澄清職責(zé)和可以接受的行為，在違反規(guī)則的情況發(fā)生之前就要說(shuō)明這樣做的后果，可能是警告，也可能是開除。這種安全培訓(xùn)一年至少應(yīng)該進(jìn)行一次，目的是讓職員不但了解安全措施如何在自己的環(huán)境中運(yùn)行，而且知道為什么這樣做。 安全技術(shù)體系 物理層安全保證計(jì)算機(jī)信息系統(tǒng)各種設(shè)備的物理安全是保障整個(gè)網(wǎng)絡(luò)安全的前提。l 環(huán)境安全對(duì)系統(tǒng)所在環(huán)境的安全保護(hù)，如區(qū)域保護(hù)和災(zāi)難保護(hù)；(參見(jiàn)國(guó)家標(biāo)準(zhǔn)GB50173－93《電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范》、國(guó)標(biāo)GB2887－89《計(jì)算站場(chǎng)地技術(shù)條件》、GB9361－88《計(jì)算站場(chǎng)地安全要求》l 設(shè)備安全設(shè)備安全主要包括設(shè)備的防盜、防破壞、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護(hù)等；設(shè)備冗余備份；通過(guò)嚴(yán)格管理及提高員工的整體安全意識(shí)來(lái)實(shí)現(xiàn)。為了防止系統(tǒng)中的信息在空間上的擴(kuò)散，通常是在物理上采取一定的防護(hù)措施，來(lái)減少或干擾擴(kuò)散出去的空間信號(hào)。4） 獨(dú)立決策：所有決策要求數(shù)據(jù)在一個(gè)安全的環(huán)境中處理，與不可信的網(wǎng)絡(luò)隔斷。根據(jù)XX的實(shí)際情況，結(jié)合XX的業(yè)務(wù)特征，抗拒絕服務(wù)攻擊系統(tǒng)在XX中所起的作用如下：u 抗拒絕服務(wù)攻擊系統(tǒng)能夠從背景流量中精確的區(qū)分攻擊流量和正常流量，對(duì)攻擊流量進(jìn)行過(guò)濾，對(duì)正常流量放行，避免攻擊流量造成網(wǎng)站服務(wù)器或網(wǎng)絡(luò)設(shè)備負(fù)荷高，資源緊張，保障網(wǎng)站在遭受DDOS攻擊時(shí)仍能正常為外界用戶提供正常服務(wù)。不改變Web服務(wù)器當(dāng)前的配置和頁(yè)面內(nèi)容，保留好犯罪現(xiàn)場(chǎng)，供事后溯源分析，杜絕期間頁(yè)面連續(xù)被篡改。3） Idents配置：通過(guò)ident配置來(lái)增加路由器安全性。7） 用戶驗(yàn)證配置：配置用戶驗(yàn)證方式以增強(qiáng)系統(tǒng)訪問(wèn)的安全性。目前的商用操作系統(tǒng)主要有IBM AIX、Linux、AS/400、OS/390、SUN Solaris、HP Unix、Windows、OS/NOVELL Netware等。l 操作系統(tǒng)安全管理操作系統(tǒng)因?yàn)樵O(shè)計(jì)和版本的問(wèn)題，存在許多的安全漏洞；同時(shí)因?yàn)樵谑褂弥邪踩O(shè)置不當(dāng)，也會(huì)增加安全漏洞，帶來(lái)安全隱患。系統(tǒng)中的BUG，使得黑客可以遠(yuǎn)程對(duì)服務(wù)器發(fā)出指令，從而導(dǎo)致對(duì)系統(tǒng)進(jìn)行修改和損壞，包括無(wú)限制地向服務(wù)器發(fā)出大量指令，以至于服務(wù)器“拒絕服務(wù)”，最終引起整個(gè)系統(tǒng)的崩潰。必須將整個(gè)公司網(wǎng)以及各種公開服務(wù)器與INTERNET進(jìn)行必要的隔離，避免網(wǎng)絡(luò)結(jié)構(gòu)信息外泄；同時(shí)還要對(duì)外網(wǎng)的服務(wù)請(qǐng)求加以過(guò)濾，只允許正常通信的數(shù)據(jù)包到達(dá)相應(yīng)主機(jī)，其它的請(qǐng)求服務(wù)在到達(dá)主機(jī)之前就應(yīng)該遭到拒絕；另外，還要對(duì)內(nèi)部用戶訪問(wèn)INTERNET而引入的安全風(fēng)險(xiǎn)加以防范，加強(qiáng)內(nèi)部的審計(jì)管理。在使用有效的訪問(wèn)控制時(shí)，用戶認(rèn)證方法越唯一，就越能確保用戶的身份的正確，系統(tǒng)就越安全?；诮巧脑L問(wèn)控制的實(shí)現(xiàn)建立在以下基礎(chǔ)之上：（1）用戶已經(jīng)通過(guò)身份認(rèn)證，應(yīng)用服務(wù)器已經(jīng)建立認(rèn)證標(biāo)識(shí)和身份標(biāo)識(shí)的一一對(duì)應(yīng)關(guān)系，同時(shí)安全客戶端已經(jīng)得到認(rèn)證標(biāo)識(shí)；（2）系統(tǒng)中已經(jīng)定義好身份標(biāo)識(shí)與用戶類型的對(duì)應(yīng)關(guān)系，這里的用戶類型代表了用戶所具有的角色；（3）系統(tǒng)中已經(jīng)建立了角色對(duì)資源的訪問(wèn)控制列表（ACL）。l 審計(jì) 審計(jì)的目的是記錄系統(tǒng)中所發(fā)生的與安全相關(guān)的事件，通過(guò)審計(jì)記錄可以發(fā)現(xiàn)對(duì)系統(tǒng)的攻擊以及系統(tǒng)中一些重要的操作。 安全運(yùn)維體系 現(xiàn)狀評(píng)估每個(gè)組織業(yè)務(wù)目標(biāo)、業(yè)務(wù)重點(diǎn)、IT目標(biāo)、IT管理現(xiàn)狀和IT管理成熟度都是完全不同的，需要分析評(píng)估組織的現(xiàn)狀，包括組織架構(gòu)、管理特點(diǎn)、信息化水平、IT管理成熟度、人員素質(zhì)等。為了確定應(yīng)該實(shí)施哪個(gè)流程，組織首先應(yīng)詳細(xì)了解當(dāng)前和期望的服務(wù)管理成熟度級(jí)別，分析現(xiàn)狀和目標(biāo)之間的差距，然后找出那些實(shí)施效果最為明顯的流程。一般來(lái)說(shuō)，組織整體成熟度與單個(gè)流程成熟度之間遵循“木桶原理”，即如果某個(gè)流程沒(méi)有達(dá)到一定的成熟度級(jí)別，那么即使其他所有流程都達(dá)到這個(gè)成熟度級(jí)別，組織整體也很難達(dá)到高的成熟度級(jí)別。 流程定義和實(shí)施根據(jù)具體的規(guī)劃與計(jì)劃，流程設(shè)計(jì)完成后，便開始進(jìn)入實(shí)施階段。其次，實(shí)施時(shí)，需要獲得管理層的支持，尤其是高級(jí)管理層的支持。一方面，可能這個(gè)流程本身并不完善；另一方面，流程還要隨著業(yè)務(wù)的變化而改變。目前已經(jīng)采用了數(shù)據(jù)異地備份、硬件冗余等方式來(lái)保障業(yè)務(wù)的連貫性。因此我們建議應(yīng)從如下幾個(gè)方面著手，來(lái)完善機(jī)構(gòu)的業(yè)務(wù)連貫性計(jì)劃。第二，選擇適當(dāng)?shù)膫浞莘桨?。需要將操作?guī)程歸檔，因?yàn)楫?dāng)真正需要它們的時(shí)候，將是一個(gè)混亂和瘋狂的時(shí)刻，而且有苛刻的時(shí)間限制，沒(méi)有它們可能沒(méi)有人知道如何使用備份工具來(lái)恢復(fù)業(yè)務(wù)的運(yùn)行。測(cè)試和演習(xí)使員工為他們可能面對(duì)的情況做好準(zhǔn)備，使得他們了解他們應(yīng)該完成的任務(wù)。機(jī)構(gòu)可根據(jù)實(shí)際情況來(lái)選擇測(cè)試和演習(xí)的類