【正文】 8500BTU/小時(shí)其他熱源如人員、輻射熱、燈光、通風(fēng)設(shè)備、墻等產(chǎn)生的熱量請(qǐng)參考下表，并進(jìn)行合并計(jì)算。請(qǐng)勿將機(jī)房電源與下列設(shè)備共用同一電源或同一地線，以避免受到干擾：例如大型電梯、升降機(jī)、窗型冷氣機(jī)、復(fù)印機(jī)等。7. 在有高架地板的機(jī)房內(nèi)，應(yīng)有銅線地網(wǎng)，此地網(wǎng)應(yīng)直接接地；若使用鋁鋼架地板，則可用鋁鋼架代替接地地網(wǎng)。3. 配電箱與最終接地端應(yīng)以單獨(dú)絕緣導(dǎo)線相連；其線徑至少需與輸入端、電源路徑相同，接地電阻應(yīng)小于5Ω。預(yù)留維護(hù)工作空間，以及設(shè)備有效散熱空間，機(jī)柜的前后左右至少各留75cm，建議為90cm，以方便日后的維護(hù)和散熱。機(jī)房的裝修應(yīng)選擇防火材料，并應(yīng)有防塵措施。機(jī)房地點(diǎn)的選定，必須以系統(tǒng)安裝及電源、空調(diào)系統(tǒng)施工等是否方便為原則，同時(shí)應(yīng)照顧到將來搬運(yùn)設(shè)備時(shí)是否方便。良好的環(huán)境還可以延長網(wǎng)絡(luò)設(shè)備的使用壽命。總之，制定系統(tǒng)安全策略、安裝網(wǎng)絡(luò)安全系統(tǒng)只是網(wǎng)絡(luò)系統(tǒng)安全性實(shí)施的第一步，只有當(dāng)各級(jí)組織機(jī)構(gòu)均嚴(yán)格執(zhí)行網(wǎng)絡(luò)安全的各項(xiàng)規(guī)定，認(rèn)真維護(hù)各自負(fù)責(zé)的分系統(tǒng)的網(wǎng)絡(luò)安全性，才能保證整個(gè)系統(tǒng)網(wǎng)絡(luò)的整體安全性。安全管理的實(shí)現(xiàn)xx省信息中心的安全管理部門應(yīng)根據(jù)管理原則和該系統(tǒng)處理數(shù)據(jù)的保密性，制訂相應(yīng)的管理制度或采用相應(yīng)規(guī)范，其具體工作是：(1)確定該系統(tǒng)的安全等級(jí)；(2)根據(jù)確定的安全等級(jí)，確定安全管理的范圍；(3)制訂相應(yīng)的機(jī)房出入管理制度，對(duì)安全等級(jí)要求較高的系統(tǒng)，要實(shí)行分區(qū)控制，限制工作人員出入與己無關(guān)的區(qū)域；(4)制訂嚴(yán)格的操作規(guī)程，操作規(guī)程要根據(jù)職責(zé)分離和多人負(fù)責(zé)的原則，各負(fù)其責(zé)，不能超越自己的管轄范圍；(5)制訂完備的系統(tǒng)維護(hù)制度，維護(hù)時(shí)，要首先經(jīng)主管部門批準(zhǔn)，并有安全管理人員在場，故障原因、維護(hù)內(nèi)容和維護(hù)前后的情況要詳細(xì)記錄；(6)定期安全檢查：維系系統(tǒng)的安全不只是在建設(shè)時(shí)期的事情，而是長期維護(hù)的過程，需要定期根據(jù)安全制度、輔助一些技術(shù)手段進(jìn)行檢查，及時(shí)發(fā)現(xiàn)漏洞彌補(bǔ)漏洞，防患于未然；(7)制訂應(yīng)急措施，要制訂在緊急情況下，系統(tǒng)如何盡快恢復(fù)的應(yīng)急措施，使損失減至最?。?8)建立人員雇用和解聘制度，對(duì)工作調(diào)動(dòng)和離職人員要及時(shí)調(diào)整相應(yīng)的授權(quán)。（1）多人負(fù)責(zé)原則每項(xiàng)與安全有關(guān)的活動(dòng)都必須有兩人或多人在場。安全威脅主要利用以下途徑：（1）系統(tǒng)實(shí)現(xiàn)存在的漏洞；（2）系統(tǒng)安全體系的缺陷；（3）用人員的安全意識(shí)薄弱；（4）管理制度的薄弱；良好的平臺(tái)管理有助于增強(qiáng)系統(tǒng)的安全性：（1）及時(shí)發(fā)現(xiàn)系統(tǒng)安全的漏洞；（2）審查系統(tǒng)安全體系；（3）加強(qiáng)對(duì)使用人員的安全知識(shí)教育；（4）建立完善的系統(tǒng)管理制度。 物理環(huán)境因素在前面我們偏重于使用一定的設(shè)備、一定的軟件和相應(yīng)的技術(shù)達(dá)到系統(tǒng)安全性，除此以外信息系統(tǒng)所存在的物理環(huán)境也非常重要，不安全的環(huán)境所導(dǎo)致的違規(guī)行為可以輕易的繞過由技術(shù)所設(shè)定的重重障礙，比如機(jī)房應(yīng)按安全規(guī)定進(jìn)行區(qū)域設(shè)置，否則可能發(fā)生管理員輸入密碼的鍵盤操作被不法人員輕易窺測，無需繁冗的破解算法就可被得到口令字；設(shè)備機(jī)柜必須上鎖，否則會(huì)被輕易改變端口跳線，使VLAN設(shè)置等技術(shù)失去意義；更有甚者直接接入到網(wǎng)絡(luò)設(shè)備上進(jìn)行網(wǎng)絡(luò)探測或接入Console口便可以輕易破解密碼。系統(tǒng)安全掃描還可以修復(fù)有問題的系統(tǒng)，自動(dòng)產(chǎn)生文件所有權(quán)和文件權(quán)限的修復(fù)腳本。另外，互聯(lián)網(wǎng)掃描執(zhí)行預(yù)定的或事件驅(qū)動(dòng)的網(wǎng)絡(luò)探測，包括對(duì)網(wǎng)絡(luò)通信服務(wù)、操作系統(tǒng)、路由器、電子郵件、Web服務(wù)器、防火墻和應(yīng)用程序的檢測，從而去識(shí)別能被入侵者利用來進(jìn)入網(wǎng)絡(luò)的漏洞。 其產(chǎn)品部署結(jié)構(gòu)圖可參看“ 網(wǎng)絡(luò)服務(wù)安全設(shè)計(jì)示意圖”。 在本設(shè)計(jì)方案中建議部署，其關(guān)鍵特性與效果：通過實(shí)時(shí)監(jiān)視和檢測功能，能夠積極主動(dòng)地對(duì)非授權(quán)行為做出響應(yīng)，阻止網(wǎng)絡(luò)訪問、中斷惡意的通訊連接以及系統(tǒng)內(nèi)部越權(quán)操作；能夠彌補(bǔ)其它安全機(jī)制（如防火墻、加密和認(rèn)證）的不足。 xxxx黑客入侵檢測與預(yù)警系統(tǒng)是一種動(dòng)態(tài)的入侵檢測與響應(yīng)系統(tǒng)。訪問列表的建立是為了保護(hù)政務(wù)網(wǎng)絡(luò)的安全，因此，建立安全合理的訪問列表，首先需要對(duì)政務(wù)網(wǎng)絡(luò)的應(yīng)用進(jìn)行深入細(xì)致的了解，有哪些應(yīng)用、使用哪些端口，訪問哪些地址等等，使得訪問列表的建立，不會(huì)影響到電子政務(wù)網(wǎng)絡(luò)的運(yùn)轉(zhuǎn)。支持基于USB Key的證書認(rèn)證方式。支持IPv6地址、地址組配置；支持IPv6/IPv4翻譯策略技術(shù)，包括支持靜態(tài)NATPT、動(dòng)態(tài)NATPT、NAPTPT技術(shù)。支持透明、路由、混合三種工作模式；支持DHCP Client、DHCP Relay、DHCP Server；支持PPPoE接入，并具備自動(dòng)斷線重連技術(shù)；支持多路ADSL撥號(hào)6條，充分利用網(wǎng)絡(luò)資源，整合帶寬；支持靜態(tài)路由，動(dòng)態(tài)路由（OSPF/VRIP/RIPng等），VLAN間路由，單臂路由，組播路由等；支持200個(gè)以上的路由表、30000個(gè)以上的路由策略選擇；支持多出口路由負(fù)載均衡； VLAN封裝協(xié)議，支持兩種封裝的互換，支持Vlan Trunk；（ GK）、SIP、FTP、MMS、RTSP、UPnP、XDMCP、TNS等多種動(dòng)態(tài)協(xié)議。具體對(duì)防火墻的部署要求如下：要求至少5個(gè)10/100/1000MBaseT電口，至少5個(gè)SFP插槽；整機(jī)吞吐率(bps)≥ ；最大并發(fā)連接數(shù)≥200萬 ；每秒新建連接數(shù)≥；IPSec VPN隧道數(shù)≥5000條。網(wǎng)絡(luò)設(shè)備的配置將保持歷史記錄有利于網(wǎng)絡(luò)的恢復(fù)和安全；Cisco公司的網(wǎng)絡(luò)管理程序是網(wǎng)絡(luò)設(shè)備管理界面，實(shí)際的功能是由網(wǎng)絡(luò)設(shè)備本身來完成的，因此當(dāng)網(wǎng)管系統(tǒng)出現(xiàn)故障時(shí)，網(wǎng)絡(luò)設(shè)備能自動(dòng)及人工恢復(fù)正常工作，不影響網(wǎng)絡(luò)的正常運(yùn)行。 禁止源路由方式Internet上有一種不依靠路由器的路由表仍能實(shí)現(xiàn)在源和目的間進(jìn)行正確的包傳輸?shù)穆酚煞绞?，這就是所謂“源路由方式”。為保證全網(wǎng)絡(luò)路由表的安全性，防止路由更新及路由表的非法更改，確保整個(gè)網(wǎng)絡(luò)系統(tǒng)路由的可靠和穩(wěn)定，我們建議采取以下措施： 路由協(xié)議的驗(yàn)證機(jī)制我們推薦的xx省電子政務(wù)網(wǎng)絡(luò)工程中的路由設(shè)備全部采用支持路由更新認(rèn)證的動(dòng)態(tài)路由協(xié)議（例如OSPF協(xié)議，ISIS，BGP4協(xié)議）。(2)過濾進(jìn)網(wǎng)和出網(wǎng)的流量xx省電子政務(wù)網(wǎng)絡(luò)可以在各接入分支節(jié)點(diǎn)的交換機(jī)或路由器上實(shí)施進(jìn)網(wǎng)流量過濾措施，目的是阻止任何偽造IP地址的數(shù)據(jù)包進(jìn)入網(wǎng)絡(luò)，從而從源頭阻止諸如DDOS這樣的分布式網(wǎng)絡(luò)攻擊的發(fā)生或削弱其攻擊效果。 解決辦法針對(duì)資源掠奪性攻擊，在網(wǎng)絡(luò)設(shè)備上可以進(jìn)行多層次的防范：(1)在Cisco IOS中使用命令可一次性關(guān)閉所有帶有安全隱患的端口檢測和進(jìn)程調(diào)用。首先，現(xiàn)在的DDOS工具基本上都可以偽裝源地址。在這種情況下，就會(huì)有一股拒絕服務(wù)洪流沖擊網(wǎng)絡(luò)，并使其因過載而崩潰。當(dāng)網(wǎng)絡(luò)設(shè)備關(guān)閉連接之后，攻擊者又發(fā)送新的一批虛假請(qǐng)求，以上過程又重復(fù)發(fā)生，直到網(wǎng)絡(luò)設(shè)備因過載而拒絕提供服務(wù)。 防資源掠奪式攻擊 攻擊特點(diǎn)和原理對(duì)設(shè)備的另一種安全威脅是資源掠奪式攻擊，是指通過持續(xù)調(diào)用設(shè)備的一些檢測用途的應(yīng)用和端口號(hào)或利用設(shè)備對(duì)異常包處理的漏洞占用CPU資源或?qū)е聝?nèi)存溢出，影響設(shè)備的正常功能，嚴(yán)重的甚至導(dǎo)致網(wǎng)絡(luò)設(shè)備死機(jī)，常見的DOS，DDOS和ping攻擊都屬于此種情況。如果數(shù)量沒有超，網(wǎng)絡(luò)設(shè)備提示輸入用戶姓名、口令。我們推薦在網(wǎng)絡(luò)中心配置Cisco Secure ACS服務(wù)器，為管理員登錄到Cisco設(shè)備提供統(tǒng)一的身份認(rèn)證中心。一種是在路由器上配置username/password。同樣，對(duì)于SNMP服務(wù)也可以通過設(shè)置不同級(jí)別的Community，讓不同級(jí)別的網(wǎng)管系統(tǒng)獲得不同的操作權(quán)限。在本次xx省電子政務(wù)網(wǎng)絡(luò)工程數(shù)據(jù)系統(tǒng)建設(shè)項(xiàng)目中，我們推薦的Cisco所有設(shè)備本身都有相應(yīng)的安全措施。 網(wǎng)絡(luò)設(shè)備安全實(shí)現(xiàn)整個(gè)xx省電子政務(wù)數(shù)據(jù)網(wǎng)絡(luò)系統(tǒng)是由許多路由交換設(shè)備組成的，網(wǎng)絡(luò)設(shè)備的安全是是許多安全措施能夠順利實(shí)施的基礎(chǔ)。下表是我們針對(duì)其備份系統(tǒng)需要考慮的業(yè)務(wù)特性所進(jìn)行的比較。第二種案由于遠(yuǎn)程備份要占用主機(jī)的CPUI/O等資源，同時(shí)根據(jù)備份方式的不同，可能對(duì)主機(jī)的性能有一定的影響，但它能夠保證數(shù)據(jù)備份的完整性。由于這種方式下數(shù)據(jù)復(fù)制軟件運(yùn)行在存貯系統(tǒng)內(nèi)，因此較容易實(shí)現(xiàn)主中心和容災(zāi)備份中心的操作系統(tǒng)、數(shù)據(jù)庫、系統(tǒng)庫和目錄的實(shí)時(shí)拷貝維護(hù)能力，且一般不會(huì)影響主中心主機(jī)系統(tǒng)的性能。這種方法投資成本小，數(shù)據(jù)恢復(fù)相對(duì)磁帶較快，缺點(diǎn)就是占用主機(jī)資源，日志文件建立過程中發(fā)生災(zāi)難時(shí)，整個(gè)日志文件數(shù)據(jù)將丟失；利用主機(jī)進(jìn)行遠(yuǎn)程數(shù)據(jù)鏡像：主中心存儲(chǔ)設(shè)備與備份中心存儲(chǔ)設(shè)備進(jìn)行 鏡像，主機(jī)同時(shí)將數(shù)據(jù)分別寫到本地和遠(yuǎn)程磁盤上。現(xiàn)在流行的災(zāi)難恢復(fù)方案主要是采用硬盤備份的方式。而由于社保數(shù)據(jù)的重要性，如何解決主、備中心數(shù)據(jù)庫數(shù)據(jù)備份，恢復(fù)則是災(zāi)難恢復(fù)方案的重點(diǎn)。 災(zāi)備技術(shù)比較通常說來，災(zāi)難恢復(fù)方案建議用戶建立兩個(gè)數(shù)據(jù)中心，XX主數(shù)據(jù)中心和南寧備份數(shù)據(jù)中心。 數(shù)據(jù)網(wǎng)絡(luò)安全總體設(shè)計(jì) 網(wǎng)絡(luò)系統(tǒng)安全性設(shè)計(jì)從保證xx省電子政務(wù)網(wǎng)絡(luò)系統(tǒng)本身安全性的的角度出發(fā)，我們可以采用以下幾種手段：在整個(gè)網(wǎng)絡(luò)中，利用OSPF路由更新認(rèn)證確保全網(wǎng)路由表的安全，通過對(duì)策略路由的設(shè)置控制路由的過濾；利用ACL，AAA認(rèn)證，令牌卡技術(shù)，操作權(quán)限分級(jí)等手段確保網(wǎng)絡(luò)設(shè)備不會(huì)出現(xiàn)非授權(quán)訪問.；在網(wǎng)絡(luò)設(shè)備上，進(jìn)行防止DOS和其它資源掠奪式攻擊的設(shè)置；在運(yùn)行中心配置漏洞掃描器，統(tǒng)一收集各個(gè)網(wǎng)絡(luò)設(shè)備的安全漏洞，進(jìn)行分析和匯總； 網(wǎng)絡(luò)服務(wù)安全性設(shè)計(jì)為保證xx省電子政務(wù)網(wǎng)絡(luò)平臺(tái)能給接入單位、企業(yè)和個(gè)人提供安全的服務(wù)，我們建議采用以下幾種手段：在外網(wǎng)Internet出口連接的地方配置國家保密局推薦的高性能千兆防火墻，提供1000M的接口，給多個(gè)用戶提供安全服務(wù)，如投資允許的話，可采用防火墻雙機(jī)，實(shí)現(xiàn)平滑的熱備份；利用高性能路由交換機(jī)或者路由器，實(shí)現(xiàn)端口線速ACL；在需要對(duì)外提供服務(wù)的重要的網(wǎng)段，配置入侵檢測傳感器，給單個(gè)或多個(gè)用戶提供入侵檢測服務(wù)。只有主動(dòng)與被動(dòng)安全措施的完美結(jié)合，方能切實(shí)有效地實(shí)現(xiàn)安全性；切合實(shí)際實(shí)施安全性——必須緊密切合要進(jìn)行安全防護(hù)的實(shí)際對(duì)象來實(shí)施安全性，以免過于龐大冗雜的安全措施導(dǎo)致性能下降。 系統(tǒng)網(wǎng)絡(luò)安全需求分析根據(jù)項(xiàng)目實(shí)際要求，結(jié)合我公司多年來從事電子政務(wù)網(wǎng)絡(luò)建設(shè)和安全系統(tǒng)建設(shè)的經(jīng)驗(yàn)，我們認(rèn)為電子政務(wù)數(shù)據(jù)系統(tǒng)網(wǎng)絡(luò)層面的安全性涉及兩個(gè)方面：網(wǎng)絡(luò)系統(tǒng)自身安全性及網(wǎng)絡(luò)服務(wù)的安全性。因此電子政務(wù)系統(tǒng)一方面要求考慮內(nèi)部網(wǎng)絡(luò)的安全，另一方面要求考慮面向公眾服務(wù)的網(wǎng)絡(luò)安全。服務(wù)器TPMC值是通過實(shí)驗(yàn)手段取得的，僅可以用作參考，不可以生搬硬套。 優(yōu)質(zhì)的售后服務(wù)保障216。對(duì)每天生成的數(shù)據(jù)需要實(shí)時(shí)入庫，需要有很強(qiáng)的I/O能力，使得數(shù)據(jù)的入庫不會(huì)成為系統(tǒng)的瓶頸。需要服務(wù)器有很高的并發(fā)處理能力。服務(wù)器的處理能力作用體現(xiàn)在每秒鐘的事務(wù)處理數(shù)量上。 交換路由器選型依據(jù)項(xiàng)目實(shí)際需求選擇是否需要交換路由器，以及交換路由器的具體參數(shù)要求 核心交換機(jī)選型依據(jù)項(xiàng)目實(shí)際需求選擇是否需要核心交換機(jī)，以及核心交換機(jī)