【正文】 了創(chuàng)建vlanvlan 10 name counter 創(chuàng)建了一個編號為10 名字為counter的 vlan。 線路備份為了保證系統(tǒng)通信的暢通，防止因通信線路異常而引起的傳輸錯誤、業(yè)務(wù)中斷等，建議網(wǎng)絡(luò)系統(tǒng)廣域網(wǎng)應(yīng)采用線路備份手段，保證系統(tǒng)的數(shù)據(jù)傳輸不間斷，同時有負(fù)載均衡能力。認(rèn)證中心（CA）作為權(quán)威的、可信賴的、公正的第三方機(jī)構(gòu)，專門負(fù)責(zé)為各種認(rèn)證需求提供數(shù)字證書服務(wù)。用戶可以利用網(wǎng)絡(luò)彼此交換證書。網(wǎng)絡(luò)入侵防御系統(tǒng)應(yīng)能滿足以下要求：（1）能在網(wǎng)絡(luò)環(huán)境下實現(xiàn)實時地入侵防御，全面防御可能的入侵行為。系統(tǒng)提供如下功能：（1）支持多種日志信息集中綜合審計系統(tǒng)應(yīng)可以對安全產(chǎn)品（如防火墻，IDS、AV等）、網(wǎng)絡(luò)產(chǎn)品（如router、switch）、應(yīng)用系統(tǒng)（如Web、 Mail）、操作系統(tǒng)（如Windows、 Linux、 Unix）等多種產(chǎn)品和系統(tǒng)的日志信息進(jìn)行收集，最大效率地發(fā)揮了各種安全系統(tǒng)/設(shè)備的整體作用，有效滿足客戶的實際需求。不僅可以提供了多種安全分析報告和網(wǎng)絡(luò)狀態(tài)統(tǒng)計報告，還可提供一種報告定制機(jī)制，客戶可以按照自己的需要生成各種安全分析和統(tǒng)計報告。在該區(qū)域可以部署北醫(yī)系統(tǒng)與綜合網(wǎng)其他業(yè)務(wù)系統(tǒng)連接的通訊PC服務(wù)器，該區(qū)域可以部署服務(wù)于內(nèi)部瀏覽器用戶的WEB服務(wù)器。下面是Cisco的無線WPA2設(shè)置： 操作系統(tǒng)操作系統(tǒng)的安全是北醫(yī)系統(tǒng)安全和網(wǎng)絡(luò)安全的基礎(chǔ)。取消或減少局域網(wǎng)內(nèi)主機(jī)間的互相信任關(guān)系，以提高系統(tǒng)的安全性。 數(shù)據(jù)庫數(shù)據(jù)庫系統(tǒng)的安全性系統(tǒng)要采用高性能的主流數(shù)據(jù)庫產(chǎn)品，同時要注意數(shù)據(jù)庫版本的先進(jìn)性和可靠性。對一些特別重要的信息應(yīng)加密存儲。enabled=true數(shù)字證書是網(wǎng)絡(luò)通訊中標(biāo)志通訊各方身份信息的一系列數(shù)據(jù)，它提供了在Internet/Intranet上驗證通信各方身份的方法，它是由由權(quán)威機(jī)構(gòu)－CA認(rèn)證機(jī)構(gòu)，又稱為證書授權(quán)(Certificate Authority)中心發(fā)行?？蛻舳说拇a是在運行時動態(tài)地下載到客戶端的，意味著不能在客戶端修改在客戶端的運行代碼。5 項目管理方案 項目管理根據(jù)多年的大型項目管理經(jīng)驗，我們總結(jié)了一整套項目管理的規(guī)范和方法。優(yōu)秀的產(chǎn)品：配備高素質(zhì)的工程師，選用先進(jìn)、穩(wěn)定的開發(fā)工具和開發(fā)方法；開發(fā)全過程的嚴(yán)格的質(zhì)量控制；確保產(chǎn)品功能豐富，滿足用戶的實際需求。具體而言，我們將從以下幾方面努力以保證工程實施的質(zhì)量：把要做的事寫下來在實施開始之前，充分考慮各種相關(guān)因素，制定切實可行的項目實施計劃和質(zhì)量保證計劃，包括以下幾方面的內(nèi)容：工作任務(wù)分解組織結(jié)構(gòu)和北醫(yī)計劃實施進(jìn)度項目各階段的詳細(xì)計劃項目實施過程中的質(zhì)量因素風(fēng)險因素及對策質(zhì)量保證措施（進(jìn)度監(jiān)控措施、質(zhì)量監(jiān)控措施等）同時，根據(jù)項目的實施計劃，制定工程師現(xiàn)場實施規(guī)范，統(tǒng)一參加項目工程師的現(xiàn)場實施活動，使項目的實施規(guī)范、統(tǒng)一、高效。項目經(jīng)理的作用是：負(fù)責(zé)整個項目實施的技術(shù)、實施管理。用戶參與對項目實施有十分重要的意義：用戶參與制定的實施計劃是真正切實可行的計劃，因為只有用戶最了解自己的現(xiàn)有環(huán)境和各種制約因素。我公司把ISO 9001質(zhì)量體系認(rèn)證作為加強(qiáng)質(zhì)量管理、提高企業(yè)品牌的重要手段。用戶的參與和配合可以使工程實施更加高效。本項目規(guī)模大、工期緊、技術(shù)難度大，因此項目經(jīng)理負(fù)責(zé)制就更為重要，建立項目經(jīng)理負(fù)責(zé)制有以下幾方面的好處：項目經(jīng)理可以從全局出發(fā)考慮、規(guī)劃、協(xié)調(diào)、監(jiān)控整個項目的實施過程，可以規(guī)范、統(tǒng)一項目實施過程，最大限度地避免因為項目各環(huán)節(jié)的具體實施人員不了解項目整體情況而導(dǎo)致的脫節(jié)和沖突。所有的計劃和規(guī)范都應(yīng)經(jīng)過用戶的確認(rèn)，確保計劃的有效性。質(zhì)量目標(biāo)我們的質(zhì)量目標(biāo)是：確保各階段工作的有效性，把符合用戶實際需求的產(chǎn)品適時地交付用戶。在我公司的項目管理方法中，有三點是至關(guān)重要的：嚴(yán)格遵循ISO9000質(zhì)量管理規(guī)范項目經(jīng)理負(fù)責(zé)制提倡用戶參與項目實施 嚴(yán)格遵循ISO9000質(zhì)量管理規(guī)范國際標(biāo)準(zhǔn)化組織ISO在1987年推出ISO9000系列標(biāo)準(zhǔn)以來，已被70多個國家采用。另外由于只有運行在服務(wù)器上的代碼才可以訪問數(shù)據(jù)庫，客戶端不能直接訪問，這樣也保證了數(shù)據(jù)庫服務(wù)器的安全。每個客戶可以設(shè)定特定的僅為本人所知的私有密鑰（私鑰），用它進(jìn)行數(shù)據(jù)解密和簽名；同時設(shè)定一把公共密鑰（公鑰）并由本人公開，為一組客戶所共享，用于數(shù)據(jù)加密和驗證簽名。serverId=user serverPassword={xor}XXXXffA==系統(tǒng)應(yīng)具有聯(lián)機(jī)備份能力。數(shù)據(jù)庫的安全性措施主要有以下幾方面：用戶標(biāo)識和鑒定通過數(shù)據(jù)庫系統(tǒng)的用戶賬號與口令鑒定用戶的身份，這是系統(tǒng)提供的最外層安全保護(hù)措施，也是最常用的措施。嚴(yán)格控制網(wǎng)絡(luò)文件系統(tǒng)（NFS）的共享資源及其存取權(quán)限，以防外來侵入。操作系統(tǒng)的安全等級主機(jī)操作系統(tǒng)，包括WEB服務(wù)器、數(shù)據(jù)庫服務(wù)器、應(yīng)用服務(wù)器，均應(yīng)達(dá)到NCSC認(rèn)證的C2級安全等級。區(qū)域I是內(nèi)部網(wǎng)絡(luò)，主要功能是承擔(dān)北醫(yī)系統(tǒng)內(nèi)部設(shè)備之間的數(shù)據(jù)通信，并為區(qū)域E和區(qū)域D提供數(shù)據(jù)。（7）系統(tǒng)自身高安全性系統(tǒng)的操作系統(tǒng)必須充分保障系統(tǒng)自身的安全及各組件間通信的安全，建議增加一臺日志審計服務(wù)器。通過對不同產(chǎn)品和系統(tǒng)的日志進(jìn)行綜合審計，能夠有效洞悉隱患。（2）能夠支持大規(guī)模并行檢測，能夠方便地對大的網(wǎng)絡(luò)同時執(zhí)行多個檢測；（3）所采用的入侵檢測產(chǎn)品和技術(shù)不能被繞過或旁路。如果用戶的密鑰或CA的密鑰被破壞，將導(dǎo)致證書的撤銷。CA可以是多級的，下圖以二級CA圖為例：根CA為下一級CA頒發(fā)簽名證書，下一級CA再為用戶頒發(fā)簽名證書和密鑰交換證書。數(shù)據(jù)報文加密可通過硬件加密或軟件加密方法來實現(xiàn)，可根據(jù)數(shù)據(jù)處理量大小等因素選擇硬件加密或軟件加密。在核心交換機(jī)上配置將交換機(jī)端口劃入vlan switchport access vlan 10 歸屬counter vlan 在分支交換機(jī)的端口配置模式下配置。用戶的密碼用專門的加密算法加密存儲在數(shù)據(jù)庫中，即使是數(shù)據(jù)庫管理員也無法得知用戶的密碼。 系統(tǒng)安全實現(xiàn)方案鑒于北醫(yī)數(shù)據(jù)的重要性和特殊性， 北醫(yī)系統(tǒng)的安全就顯得非常的重要。 系統(tǒng)安全風(fēng)險由于操作系統(tǒng)、數(shù)據(jù)庫、B/S三層架構(gòu)中的應(yīng)用服務(wù)器等基礎(chǔ)軟件本身的漏洞和缺陷、用戶權(quán)限設(shè)置不合理以及一些不安全協(xié)議的使用等因素都可能構(gòu)成對系統(tǒng)的威脅?？蓪彶樾允姑總€授權(quán)用戶的活動都是唯一標(biāo)識和受監(jiān)控的，對其操作內(nèi)容進(jìn)行跟蹤和審計。公認(rèn)原則：參考當(dāng)前在基本相同的條件下通用的安全防護(hù)措施，據(jù)此作出適合本系統(tǒng)的選擇，系統(tǒng)所采用的產(chǎn)品是成熟、可靠的，系統(tǒng)能安全、穩(wěn)定地運行。4) 將WAS、UAP安裝到ufida_software目錄下面； 5) 應(yīng)用服務(wù)器節(jié)點ibm安裝WAS$ nohup /usr/sbin/pfsd amp。首先需要將執(zhí)行的命令寫入到一個shell文件，每二步使用需要為UNIX的cron命令配置相應(yīng)的命令，這些命令可以放在一個ASCII文件內(nèi)，如crontab，在該文件內(nèi)是相應(yīng)的備份時間和命令，然后用cron設(shè)定定時導(dǎo)出作業(yè)。全備份 (Full Backup)每次備份定義的所有數(shù)據(jù)，優(yōu)點是恢復(fù)快，缺點是備份數(shù)據(jù)量大，數(shù)據(jù)多時可能做一次全備份需很長時間增量備份 (Incremental Backup)增量備份又分為差量備份和累計備份差量備份 (Differential Backup)備份自上一次備份以來更新的所有數(shù)據(jù)，其優(yōu)點是每次備份的數(shù)據(jù)量少，缺點是恢復(fù)時需要全備份及多份增量備份累計備份 (Cumulative Backup)備份自上一次全備份以來更新的所有數(shù)據(jù)。邏輯備份有時也稱導(dǎo)出，創(chuàng)建數(shù)據(jù)庫對象的邏輯拷貝并存入文件，它實際上利用SQL從對象中讀取數(shù)據(jù)并將其存入文件，導(dǎo)入工具利用該文件恢復(fù)這些特定數(shù)據(jù)庫對象到數(shù)據(jù)庫中。冷備份進(jìn)行時實際是將數(shù)據(jù)庫的相關(guān)文件作為文件系統(tǒng)的一部分進(jìn)行備份，但仍將與普通的文件系統(tǒng)備份不同，它需要數(shù)據(jù)庫備份代理和數(shù)據(jù)庫系統(tǒng)的支持。在本項目中，對于大容量的數(shù)據(jù)庫數(shù)據(jù)，可采用LANfree的備份方式，并且配置相應(yīng)的license。由于備份軟件的平臺無關(guān)特性，磁帶上的數(shù)據(jù)可以通過臨時的備份服務(wù)器完成數(shù)據(jù)的恢復(fù)和系統(tǒng)的重建，增強(qiáng)系統(tǒng)的安全性?？赏ㄟ^SAN進(jìn)行LANFree的備份和恢復(fù)，或者通過IP網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)的恢復(fù)，可通過相應(yīng)的軟件功能，實現(xiàn)整個操作系統(tǒng)和應(yīng)用系統(tǒng)的全恢復(fù)或備份恢復(fù)。 備份系統(tǒng)設(shè)計 備份系統(tǒng)北醫(yī)系統(tǒng)需要對數(shù)據(jù)庫與應(yīng)用系統(tǒng)進(jìn)行備份。通過光纖交換機(jī)分區(qū)可以增強(qiáng)SAN的安全性，同時也應(yīng)該在服務(wù)器和存儲設(shè)備上實施針對SAN的安全措施，比如存儲上的LUN Masking。1. 按照業(yè)務(wù)系統(tǒng)進(jìn)行分級設(shè)計2. 具有靈活的擴(kuò)展能力，需要增加主機(jī)時，將主機(jī)輕松的連接到這個網(wǎng)絡(luò)中，并能共享網(wǎng)絡(luò)中的存儲資源；需要增加存儲時，將存儲在線地加入到這個網(wǎng)絡(luò)中，并動態(tài)地為應(yīng)用主機(jī)分配磁盤空間3. 充分利用現(xiàn)有設(shè)備，保護(hù)原有投資4. 保證將來存儲網(wǎng)絡(luò)的擴(kuò)展性整個系統(tǒng)將重點考慮安全性、可靠性、高可用性，另外，還考慮到系統(tǒng)的運行性能、高可擴(kuò)充性、開放性、可維護(hù)性、用戶操作的簡易性以及充分保護(hù)用戶投資等諸多方面的需求。300GB 做RAID雙電源，2塊千兆網(wǎng)卡、2塊原廠8GB的HBA卡24備份服務(wù)器IBM x3650 2CPU（4核），主頻Xeon GH，8GB內(nèi)存，硬盤空間2180。 應(yīng)用架構(gòu)：應(yīng)用架構(gòu)用于實現(xiàn)對業(yè)務(wù)架構(gòu)的支持，包括應(yīng)用服務(wù)器集群及查詢應(yīng)用服務(wù)器集群的2套WAS集群。圖：北醫(yī)系統(tǒng)網(wǎng)絡(luò)部署簡圖****************************************************************建議本次開發(fā)項目數(shù)據(jù)庫主機(jī)應(yīng)用AIX平臺，從而提供系統(tǒng)的可靠性和穩(wěn)定性的同時對用戶的投資予以最大保護(hù)。對于核心交換設(shè)備、外部接入鏈路以及系統(tǒng)服務(wù)器進(jìn)行雙機(jī)、雙線的冗余設(shè)計，保障從網(wǎng)絡(luò)結(jié)構(gòu)、硬件配置上滿足系統(tǒng)不間斷運行的需要。UAP在客戶端應(yīng)用服務(wù)器數(shù)據(jù)庫服務(wù)器采取了全程數(shù)據(jù)加密策略，即使有人非法獲取了中間的通訊數(shù)據(jù)流，因為數(shù)據(jù)已經(jīng)加密，也無法得知數(shù)據(jù)的實際含義。用友應(yīng)用服務(wù)器放置在DMZ，可以允許外網(wǎng)和內(nèi)網(wǎng)的訪問，數(shù)據(jù)庫系統(tǒng)放置在內(nèi)部網(wǎng)與應(yīng)用服務(wù)器通過專用交換機(jī)通訊。（二）　第二級信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)國家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。信息系統(tǒng)安全保護(hù)等級：（一）　第一級為自主保護(hù)級，適用于一般的信息系統(tǒng)，其受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生損害，但不損害國家安全、社會秩序和公共利益。２００７年 ６月，《信息安全等級保護(hù)管理辦法》（公通字［２００７］４３號）正式出臺，為開展信息安全等級保護(hù)工作提供了規(guī)范保障。北醫(yī)信息系統(tǒng)安全規(guī)劃方案2016051 概述信息安全等級保護(hù)制度不僅是我國信息安全保障工作的一項基本制度，更是一項事關(guān)國家安全及社會穩(wěn)定的政治任務(wù)。２００４年 ９月，公安部等四部委聯(lián)合發(fā)布《關(guān)于信息安全等級保護(hù)工作的實施意見》（公通字［２００４］６６號），明確了信息安全等級保護(hù)制度的原則、內(nèi)容、工作要求、部門分工和實施計劃等。信息系統(tǒng)安全保護(hù)等級從低到高依次劃分為自主保護(hù)級、指導(dǎo)保護(hù)級、監(jiān)督保護(hù)級、強(qiáng)制保護(hù)級、?？乇Ｗo(hù)級5個安全等級。（一）　第一級信息系統(tǒng)運營、使用單位或者個人可以依據(jù)國家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。在網(wǎng)絡(luò)劃分時主要分為外網(wǎng)、內(nèi)網(wǎng)和DMZ區(qū)。 傳輸數(shù)據(jù)加密 為了防止數(shù)據(jù)監(jiān)聽導(dǎo)致的信息外泄。數(shù)據(jù)備份系統(tǒng)應(yīng)該遵循穩(wěn)定性、全面性、自動化、高性能、操作簡單、實時性等原則。多級防火墻可以有效屏蔽網(wǎng)絡(luò)滲透和網(wǎng)絡(luò)攻擊，監(jiān)控服務(wù)器和證書服務(wù)器主要負(fù)責(zé)日志審計和證書確認(rèn)。2套數(shù)據(jù)庫集群通過用友AE方式軟件同步2套數(shù)據(jù)庫中數(shù)據(jù)。300GB 做RAID雙電源，2塊千兆網(wǎng)卡、2塊原廠8GB的HBA卡33查詢應(yīng)用服務(wù)器IBM x3650 M3 4CPU（6核）， GH，48GB內(nèi)存，硬盤空間2180。 子功能： DB、TEST 服務(wù)器列表標(biāo)準(zhǔn)名稱縮寫名稱用途ZJS北醫(yī)_P750_DB1北醫(yī)_DB1生產(chǎn)數(shù)據(jù)庫1ZJS北醫(yī)_P750_DB2北醫(yī)_DB2生產(chǎn)數(shù)據(jù)庫2ZJS北醫(yī)CX_RX8640_DB1CX_DB1查詢數(shù)據(jù)庫1ZJS北醫(yī)CX_RX8640_DB2CX_DB2查詢數(shù)據(jù)庫2ZJS北醫(yī)_X3850_APP1北醫(yī)_APP1生產(chǎn)應(yīng)用中間件1ZJS北醫(yī)_X3850_APP2北醫(yī)_APP2生產(chǎn)應(yīng)用中間件2ZJS北醫(yī)_X3850_APP3北醫(yī)_APP3生產(chǎn)應(yīng)用中間件3ZJS北醫(yī)CX_X3850_APP1CX_APP1查詢應(yīng)用中間件1ZJS北醫(yī)CX_X3850_APP2CX_APP2查詢應(yīng)用中間件2ZJS北醫(yī)_X3650_BAK北醫(yī)_BAK備份服務(wù)器 主機(jī)IP地址分配規(guī)劃IBM P750（Oracle RAC）主機(jī)名北醫(yī)_DB1網(wǎng)關(guān)*.*.*.*IP地址1*.*.*.*子網(wǎng)掩碼1*.*.*.*IP地址2*.*.*.*子網(wǎng)掩碼2*.*.*.*IP地址3*.*.*.*子網(wǎng)掩碼3*.*.*.*浮動IP地址*.*.*.*子網(wǎng)掩碼*.*.*.*IBM P750（Oracle RAC）主機(jī)名北醫(yī)_DB2網(wǎng)關(guān)*.*.*.*IP地址1*.*.*.*子網(wǎng)掩碼1*.*.*.*IP地址2*.*.*.*子網(wǎng)掩碼2*.*.*.*IP地址3*.*.*.*子網(wǎng)掩碼3*.*.*.*浮動IP地址*.*.*.*子網(wǎng)掩碼*.*.*.*HP rx8640（Oracl