广西农村党员现代远程教育项目集成方案.docx

广西农村党员现代远程教育项目集成方案.docx

《广西农村党员现代远程教育项目集成方案.docx》由会员分享，可在线阅读，更多相关《广西农村党员现代远程教育项目集成方案.docx（16页珍藏版）》请在冰豆网上搜索。

广西农村党员现代远程教育项目集成方案

广西农村党员现代远程教育项目集成方案

2008年1月29日

第一章项目概述

1.1项目概述

开展农村党员干部现代远程教育，是以胡锦涛同志为总书记的党中央与时俱进、高瞻远瞩作出的一项重大决策，具有十分重大的意义。

首先，这是推动农村党员干部教育培训从手段到内容全面体现时代性、把握规律性、富于创造性的一项战略举措。

其次，这是建立“让干部经常受教育、使农民长期得实惠”机制得一个有效载体。

第三，这是用信息化带动农业产业化和农村现代化的一条重要途径。

总之，这对于农村兴起学习贯彻“三个代表”重要思想的新高潮，加强党的建设，提高农村党员干部素质、促进农民增收致富，加快农村信息化、现代化建设，解决由城乡信息不对称、教育机会不均衡等因素所导致的城乡居民收入严重失衡等问题，都具有长远的战略意义。

广西农村党员干部现代远程教育基础设施建设以电信模式为主，卫星模式为辅，计划用3年时间全面完成全区16754个农村党员干部现代远程教育终端接收站点以及自治区、市、县三级播出平台的建设。

本次项目的主要建设内容包括：

1个自治区级播出平台、14个市级播出平台、111个县（区）播出平台、14504个电信模式终端接收站点和2250个卫星模式终端接收站点，传输网络采用广西电信宽带网。

1.2项目实施范围

根据要求本次项目负责自治区、市、县平台整个网络的规划、与平台承载网络提公司之间的协调和各级平台的集成实施工作，集成设备及软件包括：

硬件部分

软件部分

HP服务器

卫星数据编码软件

DELL磁盘阵列

节目制作转换软件

CISCO交换机

节目检测软件

曙光防火墙及IDS

中心资源库管理软件

dell计算机

节目运营平台软件

集中远程控制系统

党员远程教育信息管理系统软件

直播编码器

图文信息服务软件

卫星接收系统

图文信息采集软件

高清非编系统

网站信息发布与管理软件

多媒体资源管理系统

直播转发软件

Windows2003Server中文企业版

WindowsXP中文专业版4套

RedhatLinuxAdvancedServer

Oracle10gforlinux

第二章平台结构

2.1整体结构描述

该项目平台采用三级结构，区级平台+地市级平台+县级平台。

自治区平台包括卫星接收系统、节目格式转换系统、节目检测系统、节目分发系统、图文电视网站、教学管理系统、多媒体资产管理系统、自治区级信息管理系统、安全保障系统、网络交换系统和集中远程控制管理系统和自治区级辅助教学网站；市级平台包括：

节目格式转换系统、节目检测系统、节目分发系统、播出管理系统、安全保障系统、网络交换系统和集中远程控制管理系统和教学管理客户端；县级平台包括：

节目点播系统、视频直播系统、网络交换系统和集中远程控制管理系统。

自治区、市、县三级平台各系统均托管在电信IDC机房，整个平台架构如下：

2.2区级平台结构

2.3市级平台结构

2.4县级平台结构

2.5平台承载网

用户与平台之间流量承载采用广西电信的ip城域网进行承载，平台之间跨越城域网的流量采用CN2网络，中国电信的CN2网络是一张高可靠性、高带宽网络，专门用户大客户用户流量的承载。

各地市城域网经过每年的扩容改造，现在已经是一张高带宽、高可靠性的网络，能够为用户提供相应的QOS保障和安全，根据本次项目视频的需要，电信城域网的接入为用户提供2M的带宽保障。

平台提供1GE以上的带宽保障。

2.6设备分布

在本次项目中大部分设备是托管在电信各级IDC机房，少部分设备在各级组织部机房。

具体设备分部情况如下表：

设备安装表

平台级别

设备安装地点

设备类型

设备型号

设备用途

设备高度

设备数量

备注

区级平台

区IDC机房

交换机

设备汇聚

防火墙

内外网安全隔离

服务器

IDS

数据行为分析

存储

数据存储

KVM设备

服务器管理

区组织部机房

交换机

　设备汇聚

防火墙

内外网安全隔离

服务器

PC机

市级平台

市IDC机房

交换机

设备汇聚

防火墙

内外网安全隔离

服务器

IDS

数据行为分析

存储

数据存储

KVM设备

服务器管理

市组织部机房

交换机

设备汇聚

服务器

PC机

县级平台

县IDC机房

交换机

设备汇聚

服务器

KVM设备

服务器管理

市组织部机房

交换机

设备汇聚

服务器

PC机

第三章路由及策略规划

广西电信的城域网及CN2提供ip层的路由传递，该项目各级平台的视频采用单播方式进行传送，考虑到用户在近段时期有上互联网的需求以及用户量大的情况，整个传送网络不采用VPN方式，广西电信的城域网以及CN2骨干网只提供IP路由可达，视频需求相应丢包、时延和抖动的QOS保障，在平台接入端提供GE带宽的保障，在用户接入端提供2M的接入带宽保障。

第四章IP地址规划及VLANID规划

4.1IP地址与VLANID分配原则

IP地址分配既要考虑到扩充，又要能做到连续；尽量给每个部门或业务分配连续的IP地址空间，并为将来的网络扩展预留一定的地址空间，以此减少网络的IP路由表的路由数目，减少网络路由的收敛时间，提高网络性能，增加网络的可靠性。

IP地址的分配建议采用VLSM技术，保证IP地址的利用率；采用CIDR技术，可减小路由器路由表的大小，加快路由器路由的收敛速度，也可以减小网络中广播的路由信息的大小。

针对于该项目，为了提高网络的安全性，避免互联网对服务器进行攻击，建议区、市级平台网络采用私有地址，对于需要外部访问的服务器，采用NAT技术来实现外部对服务器的访问，县级平台直接采用公网地址访问。

为了实现对业务的细分，以及提高网络的性能，需要采用不同VLANID的来进行部门或业务区分，便于业务的开展和管理，因此有必要对VLANID进行统一规划和使用。

序号

VLAN范围

VLAN用途

1

10-99

设备互联使用

2

100-200

业务使用

4.2IP地址及VLAN分配表

第五章设备命名规划

5.1设备命名规范

本次项目中涉及到的设备有服务器、交换机、防火墙、IDS以及相关的控制设备等。

为了以后管理的方便，设备命名需有一定的规范性。

采用设备命名由设备简称、型号、配线间编号等部分组成。

GX–平台编码-设备简称-设备型号–设备相对编号

解释如下：

GX代表“广西”——广西农村党员远程教育系统平台网络；

平台编码－根据各级平台信息进行编号，参见平台编号表；

设备简称——RT：

路由器，SW：

交换机等，见设备简称对应表；

设备型号为IBMX3850、HP380、S5626C等；

设备相对编号为该种设备唯一性标识，从01开始编号。

平台编号表

序号

平台

平台编号

备注

1

自治区平台

ZZQPT

2

南宁市平台

NNSPT

3

柳州市平台

LZSPT

……

……

……

15

河池市平台

HCSPT

16

武鸣县平台

WMXPT

17

隆安县平台

LAXPT

……

……

……

126

东兰县平台

DLX平台

设备简称对应表

序号

设备

设备简称对应

备注

1

服务器

SRV

2

防火墙

FW

3

交换机

SW

4

入侵监测

IDS

5

远程管理系统

KVM

6

存储系统

STG

7

编码器

BM

5.2设备标签规范

本次项目设计设备的标签规范建议如下：

设备名称

防火墙

用户单位

广西农村党员干部现代远程教育项目

集成商

中国电信集团系统集成有限责任公司

安装日期

2008-03-15

系统设备标识

GX–NNSPT-FW-NFGW4000–01

管理IP地址

售后服务

第六章网络安全

6.1广播抑制

广播报文会发送给特定网段内的所有主机，每台主机都会对收到的报文进行处理，做出回应或丢弃的决定，其结果是既消耗网络带宽又影响主机性能。

广播风暴抑制可以限制广播流量的大小，对超过设定值的广播流量进行丢弃处理。

建议在交换机设备启用广播风暴抑制功能，当广播流量超过用户设置的值后，系统将对广播流量作丢弃处理，使广播所占的流量比例降低到合理的范围，从而有效地抑制广播风暴，避免网络拥塞，保证网络业务的正常运行，提高了网络的可靠性。

建议广播抑制比设置为35％～50％。

6.2防攻击策略

本次项目的防火墙设备提供非常丰富的防攻击特性：

ØSmurf攻击防范功能

ØICMP重定向报文攻击防范功能

ØICMP不可达报文攻击防范功能

Ø地址扫描攻击防范功能

Ø端口扫描攻击防范功能

Ø带路由记录选项IP报文攻击防范功能

ØTracert报文攻击防范功能

ØPingofDeath攻击防范功能

ØIP分片报文攻击防范功能

Ø超大ICMP报文攻击防范功能

Ø通过配置ACL策略来过滤病毒和非法接入功能

来保护内网免受恶意攻击，保证内部网络及系统的正常运行。

6.3平台系统安全要求

整个平台系统要求开放对外开放：

1、在图文浏览方面要求开放HTTP、HTTPS协议。

2、在视频点播方面要求开放RTSP、RTCP、RTP协议。

3、在视频直播方面，由于采用单播方式，因此与视频点播要求一样，开放RTSP、RTCP、RTP协议。

4、在平台管理方面，要求开放SNMP，KVM系统需要的端口。

6.4设备管理要求

设备管理的安全是一个重要的环节，应对设备本身基于以下的安全基线来保证网络安全：

Ø鉴别和认证

Ø访问控制

Ø审计和跟踪

Ø内容安全

Ø冗余和恢复

具体地讲，本项目涉及到的防火墙、ISD、交换机设备应在以下各方面保证网络安全：

Ø对于远程登陆，必须设置相应的ACL，限定可远程登陆的主机IP地址范围，建议采用支持加密的登陆方式SSH，确保所有登陆服务的位置都有口令保护，确保AUX和Console口都有EXEC口令，口令使用MD5加密。

对于必要的协议提供命令行方式的VTY连接，VTY只接受来自可信任的IP地址的连接，需要设置VTY连接超时。

开启日志功能，关闭不需要的服务。

Ø对SNMP协议，确保使用SNMP版本2或以上，允许对MIB库进行读／写操作的主机也要通过ACL设置限定在指定网段范围内，同时MIB库进行读／写密码必须设定为非缺省值。

各种密码必须为健壮口令，并定期进行更换。

确保受权使用SNMP进行管理的主机限定在指定网段范围内。

Ø对用户操作进行审计，用户分级分权设置帐号来对设备进行安全管理：

将帐号分成两级，第一级只具备登陆进行查看配置功能；第二级属于管理员级别，能对设备进行配置操作。

本项目涉及到的服务器应在以下各方面保证网络安全：

由于本次绝大部分的服务器操作系统平台为RedHatlinux，针对主机系统的安全建议如下：

1、Accounts检查

#less/etc/passwd

＃grep:

0:

/etc/passwd

注意新的用户，和UID,GID是0的用户．

2、Log检查

注意“enteredpromiscuousmode”

注意错误信息

3、Processes检查

#ps-aux

注意UID是０的

#lsof-p可疑的进程号

察看该进程所打开端口和文件

4、Files检查

#find/-uid0–perm-4000–print

#find/-size+10000k–print

#find/-name“...“–print

#find/-name“..“–print

#find/-name“.“–print

#find/-name““–print

注意SUID文件，可疑大于１０Ｍ，．．．，．．，．和空格文件

5、Rpm检查

#rpm–Va

输出格式：

S–Filesizediffers

M–Modediffers（permissions）

5–MD5sumdiffers

D–Devicenumbermismatch

L–readLinkpathmismatch

U–userownershipdiffers

G–groupownershipdiffers

T–modificationtimediffers

注意和这些相关的/sbin,/bin,/usr/sbin,and/usr/bin

平时养成安装第三方文件时check　MD5的习惯，运行的时候会出很多５或者missing的提示，如果不是上面几个目录的，不用太注意。

6、Network检查

#iplink|grepPROMISC

正常网卡不该在promisc模式，当然安全server除外，否则可能是有人入侵在sniffer

#lsof–i

#netstat–nap

察看不正常打开的TCP/UDP端口，需要注意

#arp–a

7、Schedule检查

注意root和UID是０的schedule

#crontab–uroot–l

#cat/etc/crontab

#ls/etc/cron.*

8、不开没有的服务进程和端口，登录采用SSHv2进行登录。

9、注意采用Linux自身的防火墙软件IPTABLES来维护本机的安全，iptables的安全策略需要根据该服务器的具体功能进行制定，我们将会同软件提供商一起，针对各台服务器具体功能及提供的具体服务情况进行安全策略的制定。

10、启用SeLinux功能，提升linux自身的安全等级。

11、及时根据RedHat厂家的安全更新通知，对系统打上安全补丁，避免发现的漏洞被其他人利用。

12、linux的系统用户口令需要满足相关的规范要求，避免太短或太简单的口令被暴力破解，从而入侵服务器。

13、linux启动的Grub同样需要设定进入密码，避免无关人员进入机房重启linux服务器，从Grub启动管理器进入系统的单用户模式，从而掌控该台服务器。

第七章项目管理与工程实施

7.1项目组结构及职责

7.1.1项目组结构

本项目由远程办相关领导组成项目领导组；项目管理组由监理公司、电信系统集成公司、威克姆公司组成，电信系统集成公司、威克姆公司分别指派一名具有良好技术背景、三年以上相关项目丰富项目实施经验的高级管理人员作为本项目的项目经理，负责项目的协调管理；电信系统集成公司、威克姆公司分别指派一名具有良好技术背景和丰富项目实施经验的管理人员，作为该项目的技术经理；电信指派四个项目管理丰富的人担任片区项目经理；各相关单位出相应人员组成实施小组。

项目计划按照四个片区来进行实施，南宁片区包括：

南宁、崇左、百色；柳州片区包括：

柳州、来宾、河池；玉林片区包括：

玉林、贵港、北海、钦州、防城；桂林片区包括：

桂林、梧州、贺州。

每个片区计划分两组同时进行实施。

7.1.2项目组成员职责

（1）项目领导组

项目领导组由远程办相关人员组成，负责贯彻有关方针政策，负责项目的总体指挥、调度、沟通、综合及决策项目推动事宜。

（2）项目组成员职责

项目管理组由监理公司、电信系统集成公司、威克姆公司组成。

负责该项目实施的具体组织和管理，制作详细的项目实施方案，并在实施过程中及时动态地调整项目整体计划，提高工作效率，保证实施进度；给各个现场实施小组分配任务，并以天为单位随时监控每个小组的实施情况，控制项目进度。

接受监理投诉和协调用户需求的变化，及时反馈制订应急计划，并报项目领导组和用户项目实施负责人。

在小组中具体分工如下：

监理公司

负责整个项目实施的监督，及时反馈向业主反馈项目情况以及向项目组传达业主对项目的意见和建议，负责项目设备验货的组织，审核开工报告、施工组织设计、技术方案、进度计划和施工质量，负责项目验收的组织。

电信系统集成分公司

负责该项目实施的具体组织和管理，，控制项目进度作为项目集成方，负责了解业务需求，在各设备提供商的配合下制作详细的项目集成、实施方案，制定项目实施进度计划，组织项目实施并监控项目的实施进度，并在实施过程中及时动态地调整项目整体计划，提高工作效率，保证实施进度，给各个现场实施小组分配任务，并以天为单位随时监控每个小组的实施情况，接受监理投诉和协调用户需求的变化，及时反馈制订应急计划，并报项目监理和项目实施成员。

配合监理完成项目的验收工作。

负责项目中硬件设备的安装，网络的连接以及相关网络设备的配置。

威科姆公司

威科姆公司负责配合电信系统集成制定平台有关的技术方案，负责所提供设备运送到业主制定地点和验货，负责所提供设备系统软件、应用软件的安装和联调测试工作，以及作为设备供应商在工程界面中应尽的职责与义务。

曙光公司

曙光公司公司负责配合电信系统集成制定所提供安全设备有关的技术方案，负责所提供设备运送到业主制定地点和验货，以及提供和解决在实施中设备遇到的技术问题和故障。

CISCO公司

公司负责配合电信系统集成制定所提供设备有关的技术方案，负责所提供设备运送到业主制定地点和验货，以及提供和解决在实施中设备遇到的技术问题和故障。

KVM公司

公司负责配合电信系统集成制定所提供设备有关的技术方案，负责所提供设备运送到业主制定地点和验货，以及提供和解决在实施中设备遇到的技术问题和故障。

电信运营商

负责提前准备好托管在电信机房中设备的安装环境以及相应的传输链路，配合完成平台之间底层网络的调试工作。

远程办及各地市组织部

负责提前准备好设备的安装环境，配合实施组的实施工作，负责协调和解决工程中需要远程办及各地市组织部配合的所有事宜。

7.2工程进度计划

工程进度计划详见附件：

工程进度计划

7.3工程阶段划分

从整体上将工程实施分为六个阶段。

下面我们逐个阐述，各个阶段的工作描述。

一、工程前期准备阶段

工程前期准备阶段主要包括三方面的工作：

一、电信系统集成分公司对农党项目的业务结构、规模、设备厂家的功能特性，电信的承载网络进行深入了解，在设备厂商的配合下提出项目集成技术方案以及集成实施方案和设备配置模板；综合考虑各方面因素制定项目的工程进度计划，成立工程项目组，完善项目实施需要的各方联系通讯录。

二、各设备厂家进行项目需要的设备准备，并按照项目进度计划发货到客户指定地点。

三、电信运营商按照项目计划准备项目托管设备的机房环境和需要的传输链路；业主按照项目计划准备设备的机房环境。

二、新设备安装、调测阶段

该阶段的实施前提条件：

1、各节点采购设备都已运输到达现场；

2、机房配套设备已经齐全、电源系统具备、所需传输链路已经调通，机房已经具备施工条件。

主要根据工程进度计划完成项目新增设备的安装、调测工作，保证县平台能够与市平台之间通讯、市平台能够与区平台之间通讯，放在客户端的系统管理平台能够托管在电信机房的平台设备之间正常通讯，保证各级平台设备能够远端管理，按照各级测试规范测试通过。

三、业务测试

在完成全区的各级业务（区、市、县）平台安装后，在区中心平台对全区的各级平台进行检测，测试业务是否全部正常，平台管理是否正常。

确保下一阶段业务的开展能够顺利进行。

四、初验阶段

在全区各级平台运行正常的情况，按照业主的要求进行项目的初验。

五、试运行阶段

初验完成后，整个平台进行试运行，进行用户终端业务开展，测试平台的性能和功能稳定性。

六、终验阶段

经过一个月左右的试运行，用户平台能够正常运行，满足业务开展的需求。

进行项目的最终验收。

7.4工程实施

本次工程整体为新增设备的搭建工程，所有设备均为新增设备，在工程具体实施上将先完成工勘后，在当地机房条件合适的情况下开始工程施工，对于没有完成机房环境或不具备设备安装条件的节点。

将暂缓施工，到所有环境要求满足后，再开始施工。

具体各节点实施详见各节点实施方案。

具体步骤如下：

1、各设备提供商按照合同要求准备项目的设备，并按照项目要求运送到指定地点。

2、机房（电信托管机房和业主机房）工勘，完成相应环境准备工作

3、电信运营商根据项目需求准备相应的传输链路。

4、针对工勘结果完善实施方案，完成最后工程施工准备工作

5、按照施工进度计划进行设备开箱验货，清点设备件数

6、按照施工进度，在机房机房环境和传输链路都具备条件的情况下，在预定时间内完成设备上架、加电、调测工作

7、根据《实施调测报告》内容进行各项检测，并填写报告，由各方签字

8、平台整体测试运行

9、项目初验

10、平台试运行。