【正文】 在數(shù)據(jù)安全性方面，通過(guò)存儲(chǔ)陣列的快照功能，可保留生產(chǎn)系統(tǒng)數(shù)據(jù)的部分歷史版本，保障了系統(tǒng)出現(xiàn)邏輯錯(cuò)誤或者數(shù)據(jù)遭病毒感染等，可以通過(guò)快照恢復(fù)到系統(tǒng)正常時(shí)刻的數(shù)據(jù)，快速將業(yè)務(wù)恢復(fù)正常。需從兩個(gè)維度系統(tǒng)進(jìn)行保護(hù)： 1）業(yè)務(wù)連續(xù)性；2）數(shù)據(jù)安全性。第十章、備份容災(zāi)建設(shè)方案通過(guò)配置存儲(chǔ)虛擬化網(wǎng)關(guān)實(shí)現(xiàn)本地存儲(chǔ)備份容災(zāi)。 智能報(bào)表：提供豐富的預(yù)定義報(bào)表，同時(shí)提供強(qiáng)大易用的報(bào)表設(shè)計(jì)功能，用戶可根據(jù)行業(yè)特點(diǎn)和自身運(yùn)維要求進(jìn)行客戶報(bào)表定制統(tǒng)一運(yùn)維審計(jì)系統(tǒng)能夠針對(duì)每次操作會(huì)話進(jìn)行記錄和控制，詳細(xì)記錄整個(gè)操作過(guò)程，并以指令和回放文件兩種方式對(duì)整個(gè)會(huì)話過(guò)程進(jìn)行記錄。 配置文件管理：提供設(shè)備配置文件的備份、比較、恢復(fù)的功能。 性能管理：多種性能監(jiān)視指標(biāo)，多維度呈現(xiàn)網(wǎng)絡(luò)狀況；性能監(jiān)視視圖，持續(xù)刷新；不同圖表展現(xiàn)不同性能監(jiān)視指標(biāo) 以及歷史數(shù)據(jù)的分析簡(jiǎn)單便捷的日常運(yùn)維操作，有效的降低運(yùn)維人員的技能要求，提高工作效率216。 告警歸并、告警屏蔽等措施，有效降低呈現(xiàn)在用戶界面的告警數(shù)可視化管理，助力用戶直觀了解網(wǎng)絡(luò)狀態(tài)216。 7*24小時(shí)不間斷的故障監(jiān)控，實(shí)時(shí)的故障提醒，以及故障遠(yuǎn)程通知216。 全面的設(shè)備管理能力：全面支持路由器、交換機(jī)、AR、安全設(shè)備、WLAN、防火墻設(shè)備、UC、存儲(chǔ)設(shè)備的管理；預(yù)集成對(duì)HP、Cisco、H3C等第三方主流設(shè)備的管理能力216。 統(tǒng)一平臺(tái)，風(fēng)格一致，優(yōu)質(zhì)的用戶體驗(yàn)216。 B/S架構(gòu)，客戶端免安裝，輕量化、WEB化，減輕客戶端電腦載荷，減少系統(tǒng)維護(hù)與升級(jí)成本和工作量216?？梢詫?duì)企業(yè)網(wǎng)絡(luò)安全環(huán)境進(jìn)行智能分析，對(duì)于現(xiàn)有的防毒架構(gòu)提升更高層次的管理指標(biāo)，從而大大提高網(wǎng)絡(luò)、數(shù)據(jù)的安全系數(shù)，真正達(dá)到事半功倍的效果。對(duì)其操作的過(guò)程進(jìn)行記錄，防止人為誤操作等，在發(fā)生事故后可以通過(guò)錄像追究相應(yīng)人的責(zé)任和迅速的恢復(fù)系統(tǒng)。通過(guò)網(wǎng)管系統(tǒng)對(duì)全網(wǎng)的拓?fù)浜驮O(shè)備進(jìn)行管理，具有設(shè)備仿真面板所見(jiàn)即所得和對(duì)第三方主流設(shè)備管理的能力，可以管理管理大規(guī)模的無(wú)線管理網(wǎng)絡(luò)，對(duì)設(shè)備配置變更、收集軟件版本為多臺(tái)設(shè)備統(tǒng)一批量配置和升級(jí)，大大節(jié)省管理員的工作量。其攻擊防護(hù)部分功能解決方案解決了傳統(tǒng)防火墻不能防護(hù)應(yīng)用層安全威脅的問(wèn)題，彌補(bǔ)了IPS入侵防護(hù)系統(tǒng)無(wú)法防護(hù)WEB攻擊的弱點(diǎn)，彌補(bǔ)了基于WEB應(yīng)用的WAF無(wú)法防止底層漏洞攻擊的缺陷，為用戶提供完整的網(wǎng)站應(yīng)用層安全防護(hù)方案。VPN接入在邊界部屬VPN系統(tǒng)，采用由密碼等技術(shù)支持的完整性校驗(yàn)機(jī)制和保密性保護(hù)機(jī)制，以實(shí)現(xiàn)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性和保密性保護(hù)，并在發(fā)現(xiàn)完整性被破壞時(shí)進(jìn)行恢復(fù)。電子政務(wù)外網(wǎng)網(wǎng)絡(luò)面臨著黑客入侵、病毒入侵、網(wǎng)絡(luò)攻擊等多種安全威脅，需要功能強(qiáng)大的防火墻、入侵防御系統(tǒng)及抗攻擊系統(tǒng)組成網(wǎng)絡(luò)邊界防御方案，防范掃描類攻擊，阻止畸形包攻擊，資源耗盡型攻擊，特殊報(bào)文控制。通過(guò)網(wǎng)絡(luò)劃分、隔離手段實(shí)現(xiàn)計(jì)算、存儲(chǔ)、管理、接入等域的隔離，管理面單獨(dú)物理組網(wǎng)，保證服務(wù)平臺(tái)計(jì)算中心網(wǎng)絡(luò)安全性，避免網(wǎng)絡(luò)風(fēng)暴等問(wèn)題擴(kuò)散。 移動(dòng)辦公通過(guò)登錄到VPN設(shè)備，通過(guò)認(rèn)證后接入內(nèi)部網(wǎng)絡(luò)。 DMZ區(qū)網(wǎng)絡(luò)核心為兩臺(tái)防火墻，防火墻工作在路由模式，兩臺(tái)防火墻采用雙機(jī)熱備方式部署，防火墻上配置DMZ區(qū)的網(wǎng)關(guān)。另一方面，通過(guò)這樣一個(gè)DMZ區(qū)域，更加有效地保護(hù)了內(nèi)部網(wǎng)絡(luò)。DMZ區(qū)域主要承載對(duì)外服務(wù)，而現(xiàn)在主要的威脅來(lái)自于互聯(lián)網(wǎng)，因此DMZ區(qū)域建設(shè)重點(diǎn)在于提供安全可靠的服務(wù)。3. 配置虛擬化：每個(gè)虛擬防火墻都擁有獨(dú)立的虛擬系統(tǒng)管理員和配置界面，每個(gè)虛擬系統(tǒng)管理員只能管理自己所屬的虛擬系統(tǒng)。為了實(shí)現(xiàn)每個(gè)虛擬系統(tǒng)的業(yè)務(wù)都能夠做到正確轉(zhuǎn)發(fā)、獨(dú)立管理、相互隔離，防火墻主要實(shí)現(xiàn)了三個(gè)方面的虛擬化：1. 路由虛擬化：每個(gè)虛擬防火墻都擁有各自的路由表及會(huì)話表，相互獨(dú)立隔離。每臺(tái)虛擬防火墻都可以擁有自己的管理員、路由表和安全策略。當(dāng)虛擬機(jī)實(shí)現(xiàn)跨服務(wù)器遷移時(shí)，需要實(shí)現(xiàn)虛擬機(jī)的安全策略隨行。使得防火墻的整機(jī)資源得到高效利用，也可以避免空閑的虛擬防火墻在使用時(shí)出現(xiàn)饑餓申請(qǐng)不到資源的情況。如轉(zhuǎn)發(fā)面會(huì)話表、監(jiān)控表、帶寬等資源表現(xiàn)為實(shí)時(shí)性很高，可能某一個(gè)時(shí)段僅需要占用少量資源，另一個(gè)時(shí)段會(huì)占用較大資源，甚至全部資源。若存在部分?jǐn)?shù)據(jù)庫(kù)相互調(diào)用可設(shè)置允許某一端口IP地址互通。不同業(yè)務(wù)虛擬機(jī)的網(wǎng)關(guān)地址各不相同，同一個(gè)邏輯集群內(nèi)的虛擬機(jī)只能在VLAN 內(nèi)遷移，如公共服務(wù)、智慧城管、協(xié)同辦公三種業(yè)務(wù)分別對(duì)應(yīng)在VLAN VLANVLAN4 內(nèi)，每組業(yè)務(wù)使用獨(dú)立的VLAN、接口、路由表及轉(zhuǎn)發(fā)表，將一臺(tái)物理網(wǎng)絡(luò)設(shè)備邏輯上分割成多臺(tái)虛擬設(shè)備，增強(qiáng)對(duì)計(jì)算資源的安全訪問(wèn)隔離控制能力。 虛擬化中可以采用VDC和安全組方便的實(shí)現(xiàn)不同業(yè)務(wù)分區(qū)和虛擬機(jī)的隔離。 通過(guò)部署應(yīng)用防火墻，對(duì)流經(jīng)網(wǎng)絡(luò)的報(bào)文進(jìn)行詳細(xì)的分析與檢查，探測(cè)各種可能的異常情況和攻擊行為。保護(hù)計(jì)算中心內(nèi)部的一些重要的服務(wù)器，控制各委辦局和外部對(duì)這些重要資源的訪問(wèn)，防范針對(duì)這些服務(wù)器的各種攻擊。 通過(guò)防火墻嚴(yán)格的ACL策略和連接狀態(tài)檢測(cè)進(jìn)行通信合法性保護(hù)隔離內(nèi)部各個(gè)部門，可以為不同的部門設(shè)置不同的安全級(jí)別，能實(shí)現(xiàn)各個(gè)部門之間的訪問(wèn)策略，也可以防范某些內(nèi)部用戶發(fā)起的針對(duì)其他區(qū)域內(nèi)設(shè)備的各種攻擊。（3） 通過(guò)在數(shù)據(jù)中心出口應(yīng)用防火墻來(lái)實(shí)現(xiàn)對(duì)安全區(qū)域的隔離。 應(yīng)用三層架構(gòu)平面隔離：可以根據(jù)業(yè)務(wù)需要，如把WEBAPPDB劃分在不同的VLAN平面。 計(jì)算和存儲(chǔ)物理隔離：獨(dú)立的存儲(chǔ)網(wǎng)絡(luò)。216。根據(jù)數(shù)據(jù)中心的業(yè)務(wù)邏輯、安全防護(hù)需求和網(wǎng)絡(luò)構(gòu)成特點(diǎn)，將數(shù)據(jù)中心劃分為不同的安全域；再根據(jù)安全域內(nèi)部的不同安全需求劃分為安全子域，形成安全域與安全子域兩級(jí)結(jié)構(gòu)。按照安全服務(wù)接口層、縱深防御層、安全運(yùn)行管理層三層安全體系結(jié)構(gòu)，針對(duì)不同的安全域進(jìn)行不同層級(jí)的安全防護(hù)，安全是整體的安全需要安全設(shè)備與網(wǎng)絡(luò)設(shè)備互相配合協(xié)同。而虛擬化數(shù)據(jù)中心的網(wǎng)絡(luò)安全模型則需要由二維平面轉(zhuǎn)變?yōu)槿S空間，即增加網(wǎng)絡(luò)安全策略，網(wǎng)絡(luò)安全策略能夠滿足虛擬機(jī)順暢的加入、離開集群，或者是動(dòng)態(tài)遷移到其它物理服務(wù)器，并且實(shí)現(xiàn)海量用戶、多業(yè)務(wù)的隔離。當(dāng)存在多項(xiàng)不同安全策略時(shí)，安全域防護(hù)策略包含這些策略的合集，并選取最嚴(yán)格的防護(hù)策略，安全域的防護(hù)必須遵循策略最大化原則。防護(hù)策略在身份鑒別的基礎(chǔ)上，只授權(quán)開放必要的訪問(wèn)權(quán)限，并保證數(shù)據(jù)安全的完整性、機(jī)密性、可用性；2. 業(yè)務(wù)相關(guān)性原則。第八章、云數(shù)據(jù)中心安全建設(shè)方案安全防護(hù)一般遵守遵循下列原則：1. 最小授權(quán)原則。 經(jīng)濟(jì)性原則l 綜合考慮集中存儲(chǔ)系統(tǒng)的性能和價(jià)格，最經(jīng)濟(jì)最有效地進(jìn)行建設(shè)，性能價(jià)格比在同類系統(tǒng)和條件下達(dá)到最優(yōu)。 易維護(hù)性原則l 系統(tǒng)支持簡(jiǎn)體中文，通俗易懂，操作方便、簡(jiǎn)單；l 系統(tǒng)具有充分的權(quán)限管理，日志管理、故障管理，并能夠?qū)崿F(xiàn)故障自動(dòng)報(bào)警；l 系統(tǒng)設(shè)備安裝使用簡(jiǎn)單，無(wú)需專業(yè)人員維護(hù)；l 系統(tǒng)容量可按需要在線擴(kuò)展，無(wú)需停止業(yè)務(wù)；l 系統(tǒng)功能擴(kuò)充需要升級(jí)時(shí)，支持不中斷業(yè)務(wù)升級(jí)；l 支持WEB管理方式或集中管理方式；216。 先進(jìn)性原則l 系統(tǒng)必須嚴(yán)格遵循國(guó)際標(biāo)準(zhǔn)、國(guó)家標(biāo)準(zhǔn)和國(guó)內(nèi)通信行業(yè)的規(guī)范要求；l 需符合存儲(chǔ)技術(shù)以及IT行業(yè)的發(fā)展趨勢(shì)，所選用的產(chǎn)品型號(hào)已規(guī)模上量；l 所有的系統(tǒng)處于先進(jìn)的技術(shù)水平，確保較長(zhǎng)時(shí)間內(nèi)技術(shù)上不落伍；l 系統(tǒng)的處理能力要達(dá)到業(yè)內(nèi)領(lǐng)先，對(duì)于本次業(yè)務(wù)的使用要留有一定的余量，以滿足后續(xù)升級(jí)的需求；216。第七章、存儲(chǔ)虛擬化設(shè)計(jì)方案根據(jù)一般政府已建成的政務(wù)應(yīng)用系統(tǒng)和將要建設(shè)的智慧城市各應(yīng)用的特點(diǎn)，存儲(chǔ)系統(tǒng)在建設(shè)過(guò)程中應(yīng)當(dāng)遵循如下原則進(jìn)行：216。綜上分析，建議計(jì)算資源池采用服務(wù)器虛擬化架構(gòu)。虛擬機(jī)之間不會(huì)泄露數(shù)據(jù)，而且應(yīng)用程序只能通過(guò)配置的網(wǎng)絡(luò)連接進(jìn)行通信。隔離：虛擬機(jī)與主機(jī)和其他虛擬機(jī)完全隔離。體系結(jié)構(gòu)中將服務(wù)器整合到虛擬機(jī)中。分區(qū)：在一個(gè)物理系統(tǒng)中，可以支持多個(gè)應(yīng)用程序和操作系統(tǒng)。虛擬化技術(shù)很好地解決了傳統(tǒng)服務(wù)器系統(tǒng)建設(shè)的問(wèn)題，通過(guò)提高虛擬化服務(wù)器利用率大幅度消減物理服務(wù)器購(gòu)置需求、數(shù)量和運(yùn)營(yíng)成本；通過(guò)利用服務(wù)器虛擬化中CPU、內(nèi)存、I0資源的動(dòng)態(tài)調(diào)整能力實(shí)現(xiàn)對(duì)業(yè)務(wù)應(yīng)用資源需求的動(dòng)態(tài)響應(yīng)，提升業(yè)務(wù)應(yīng)用的服務(wù)質(zhì)量；通過(guò)在線虛擬機(jī)遷移實(shí)現(xiàn)更高的可用性和可靠性以及各種基于資源優(yōu)化或節(jié)能減排策略的跨物理服務(wù)器的調(diào)度等等。一共 8 臺(tái)高四路服務(wù)器，單臺(tái)采用E74800 8核 CPU、128GB內(nèi)存、2*300GB 15K SAS硬盤、配置8GB FC HBA卡、1GB Cache Raid卡。數(shù)據(jù)庫(kù)服務(wù)器主要為上層應(yīng)用軟件服務(wù)，為了方案設(shè)計(jì)便于計(jì)算，并留有一定余量為全局型應(yīng)用和資源型應(yīng)用以及后續(xù)準(zhǔn)備上線的業(yè)務(wù)應(yīng)用系統(tǒng)來(lái)使用。通過(guò)虛擬化整合物理服務(wù)器，將業(yè)務(wù)遷移到云平臺(tái)上，可通過(guò)資源共享實(shí)現(xiàn)最大的利用率，節(jié)約硬件投資和維護(hù)成本。第六章、服務(wù)器虛擬化設(shè)計(jì)方案云數(shù)據(jù)中心需要配置合適的服務(wù)器來(lái)滿足其強(qiáng)大計(jì)算能力的需求，因此針對(duì)于計(jì)算節(jié)點(diǎn)的設(shè)計(jì)，本次設(shè)計(jì)目標(biāo)是達(dá)到MAPSS標(biāo)準(zhǔn)，其中MAPSS原則指的是： M可管理性（Management） A可用性（Availability） P性能（Performance） S服務(wù)（Service） S節(jié)約總體成本(Saving TCO)服務(wù)器區(qū)采用的是高性能物理服務(wù)器加虛擬化服務(wù)器的方式來(lái)解決計(jì)算資源的分配問(wèn)題，由于數(shù)據(jù)庫(kù)的低延時(shí)和高性能的要求，所以數(shù)據(jù)庫(kù)服務(wù)器采用單獨(dú)的物理機(jī)來(lái)承載。各個(gè)委辦局光纖接入如下圖所示，各委辦局用戶通過(guò)政務(wù)外網(wǎng)的光纖，接入云數(shù)據(jù)中心。接入層采用網(wǎng)絡(luò)虛擬化技術(shù)，將兩臺(tái)或多臺(tái)接入交換機(jī)虛擬為一臺(tái)設(shè)備，設(shè)備背板共享，交換能力提高。網(wǎng)絡(luò)架構(gòu)采用扁平化二層網(wǎng)絡(luò)架構(gòu)（核心層、接入層），使用網(wǎng)絡(luò)虛擬化技術(shù)，核心層交換機(jī)承擔(dān)著核心層和匯聚層的雙重任務(wù)。、總體架構(gòu)云數(shù)據(jù)中心網(wǎng)絡(luò)平臺(tái)劃分為外聯(lián)區(qū)、網(wǎng)絡(luò)核心區(qū)和計(jì)算存儲(chǔ)區(qū)。依據(jù)這樣的設(shè)計(jì)理念和設(shè)計(jì)原則，網(wǎng)絡(luò)平臺(tái)應(yīng)根據(jù)業(yè)務(wù)性質(zhì)或網(wǎng)絡(luò)設(shè)備的作用進(jìn)行區(qū)域劃分，通常需要考慮以下幾個(gè)方面內(nèi)容： l 按照網(wǎng)絡(luò)架構(gòu)中設(shè)備作用的不同，網(wǎng)絡(luò)可以劃分為核心層、接入層，層次化結(jié)構(gòu)也有利于網(wǎng)絡(luò)的擴(kuò)展和維護(hù)。要求網(wǎng)絡(luò)能夠適應(yīng)這種大范圍的調(diào)度l 網(wǎng)絡(luò)可靠性提高l 減化的網(wǎng)絡(luò)通過(guò)虛擬化技術(shù)，可以消除網(wǎng)絡(luò)中的可靠性隱患，無(wú)需運(yùn)行spanningtree協(xié)議，消除網(wǎng)絡(luò)的故障收斂時(shí)間，從而提高網(wǎng)絡(luò)可靠性網(wǎng)絡(luò)總體規(guī)劃應(yīng)遵循區(qū)域化、層次化、模塊化的設(shè)計(jì)理念，使網(wǎng)絡(luò)層次更加清楚、功能更加明確。在TRILL組網(wǎng)下，所有數(shù)據(jù)流量基于SPF及ECMP實(shí)現(xiàn)快速轉(zhuǎn)發(fā)，解決了傳統(tǒng)STP協(xié)議中存在的次優(yōu)路徑問(wèn)題，大大的提高了帶寬的利用率。l 接入層：采用網(wǎng)絡(luò)虛擬化技術(shù)，將兩臺(tái)或多臺(tái)接入交換機(jī)虛擬為一臺(tái)設(shè)備，設(shè)備背板共享，交換能力提高。二層網(wǎng)絡(luò)架構(gòu)中，采用網(wǎng)絡(luò)虛擬化技術(shù)，解決鏈路環(huán)路問(wèn)題，提高了網(wǎng)絡(luò)可靠性，采用二層技術(shù)可以在提高帶寬的同時(shí)降低網(wǎng)絡(luò)延時(shí)。l 為了解決上述存在的問(wèn)題，數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)采用扁平化二層網(wǎng)絡(luò)架構(gòu)（核心層、接入層），使用網(wǎng)絡(luò)虛擬化技術(shù)，核心交換機(jī)承擔(dān)核心層和匯聚層的雙重任務(wù)。l 網(wǎng)絡(luò)設(shè)備之間的STP、LAG、路由處理、安全等相互之間的交互信息，隨著設(shè)備數(shù)量的增加，會(huì)成幾何級(jí)數(shù)激增。業(yè)務(wù)平面主要服務(wù)對(duì)象是為租戶的業(yè)務(wù)應(yīng)用軟件的通訊，管理平臺(tái)主要為設(shè)備自身、安全系統(tǒng)、運(yùn)維系統(tǒng)所使用，存儲(chǔ)平面完全是一個(gè)封閉的私有網(wǎng)絡(luò)，服務(wù)器和存儲(chǔ)設(shè)備在該平面上進(jìn)行存儲(chǔ)數(shù)據(jù)的傳送。遵循國(guó)家電子政務(wù)相關(guān)標(biāo)準(zhǔn)和指南，考慮到網(wǎng)絡(luò)今后的可擴(kuò)展性和靈活性等需求，云數(shù)據(jù)中心建設(shè)網(wǎng)絡(luò)平臺(tái)可分為業(yè)務(wù)平面、管理平面和存儲(chǔ)平面三個(gè)網(wǎng)絡(luò)平面。這樣不僅便于后期服