地理信息管理系统建设方案硬件建设.docx
《地理信息管理系统建设方案硬件建设.docx》由会员分享,可在线阅读,更多相关《地理信息管理系统建设方案硬件建设.docx(43页珍藏版)》请在冰豆网上搜索。
地理信息管理系统建设方案硬件建设
惠州仲恺高新区规划建设局
综合信息平台建设方案
(硬件部分)
仲恺高新区规划建设局
2011年4月
第一章、概述
为贯彻落实市委、市人民政府《关于进一步推动惠州仲恺高新技术产业开发区发展的决定》的指示精神,进一步加快推进我局数字信息化建设步伐,建设集效能、质量、服务、保障为一体的数字化、网络化、集成化的综合管理信息平台已经刻不容缓。
本方案根据我局目前实际需求,提出了建设计划和预算。
第二章、需求分析
2.1建设背景
建设综合信息平台,对推进仲恺区城乡规划建设又好又快发展,提高科学决策水平将起到积极地重要推动作用。
因为该信息平台将从标准体系、技术实现和协调管理机制等各个方面,在全局范围内实现数据共享及交换。
同时,该信息平台与市局的地理信息平台可交流共享资源,有助于消除业务信息共享壁垒,共享全市基础地形数据、影像数据、综合管线数据和规划成果数据,最大限度的发挥信息效能。
2.2需求分析
搭建我局地理信息管理系统对网络设备、服务器、存储设备等硬件环境具有严格的要求,同时须构建安全保障系统,抵御可能发生的网络攻击、信息泄露等行为,满足系统可用性、保密性和完整性要求。
1、在内网部署基础网络设备。
建设我局地理信息管理系统网络,要在满足国家建设要求的基础上,充分利用现有资源,分阶段、分步骤地进行,在建设内容上要从实际需求出发,在技术及设备上考虑一定的前瞻性,以满足信息系统在功能及技术上的需求。
2、在内网数据中心配备服务器、存储阵列等配套硬件设施。
由于内网数据中心服务器运行核心关键应用,因此为了保证内网数据中心硬件平台7×24小时不间断运行,内网数据中心服务器采用双机热备方案,使用两台服务器,互相备份,提供系统的高可用性。
当其中运行着的一台服务器出现故障无法启动时,另一台备份服务器会通过双机软件的诊测将业务接管,保证应用在短时间内完全恢复正常使用。
在本项目需配备应用服务器2台用于双机热备。
应用服务器用于安装运行平台软件及各业务应用软件。
3、在内网部署安全保障系统。
在网关部署防火墙。
同时,还应考虑整个网络环境的防病毒等安全产品。
4、配备独立专用的机房,搭建标准的机房环境。
信息系统的可靠运行要依靠信息系统机房的严格的技术条件来保证的。
2.3建设目标
综合管理信息平台结合我局各业务科室和职能部门的主要职能,以GIS技术为核心支持,建立集MIS、GIS、CAD一体化的综合管理信息平台,实现对仲恺高新区总体规划、控制性详细规划的管理;基础设施、开发建设、招商引资和项目审批管理;规划和建设等各类项目的审批、房产业务办理等。
第三章、设计方案
1、网络及安全系统设计方案
1.1设计原则
(1)集中性原则
系统规划、设计和建设要以管理系统集中、数据集中、处理集中为原则,统一规划、统一标准、统一设备。
(2)良好的开放性
系统采用业界主流的硬件平台、操作系统平台、数据库平台以及标准的协议,保证系统的开放性。
(3)高可靠性
系统软硬件均具备极高的可靠性。
硬件采用华为自研的服务器及专业存储阵列,主要部件采用冗余机制;高效的故障管理保证系统具备极高的可用性,在最短时间内即可恢复业务。
软件采用模块化、分层隔离以及负载均衡的设计思想充分保证系统的高可靠性。
(4)安全、保密性原则
从设备安全、网络安全、数据安全等多角度考虑系统的安全性和保密性,采用多种手段对安全性和保密性进行控制来确保我局地理信息管理系统的安全。
(5)技术先进性
各种设备均采用技术成熟、稳定且具备先进设计理念的产品,系统在建成后能通过升级保持其先进性,延长生命周期。
(6)高可用性
系统具有高效的软硬件使用效率,关键设备均达到硬件配置最高的使用率,同时采用优化的流程设计确保系统的高效率。
(7)易维护性
系统硬件可以很方便的实现远程管理及维护;系统软件均采用模块化的设计,并提供友好的人机接口,确保系统的易维护性。
(8)灵活的扩展性
专业级存储阵列扩容方便,可根据用户投资实现弹性部署。
系统关键设备均采用集群技术以及负载均衡技术,可充分保证系统随着用户容量的扩展,实现系统的平滑扩容。
软件系统架构充分利用网络的扩展性强的特点,采用分散控制、集中管理的结构,使得系统可扩充性很强。
(9)极高的性价比
以满足用户实际的需求和品质要求为标准,既不为展示技术而牺牲成本,又不为追求低价而牺牲质量,力争向用户提供最优化的、具有最佳性价比的方案。
1.2方案设计
在网络建设上,遵照国家信息网络建设的规范体系要求,建立安全保障、运行维护和客户服务等体系;完善数据交换处理中心,满足我局对于信息化不断发展的需求。
在网络规划上,按照国家要求和规范对我局的IP地址、域名、路由等进行规划;根据其安全策略和安全等级,制定网络的互联互通规划;制定出网络安全、数据备份、服务管理等的具体策略和办法,整体网络及安全设计拓扑图如下:
1)防火墙
此方案中,在互联网接入区布署一台华赛USG2250防火墙实现与外网系统互联,在网络的边界形成第一层防护。
USG2250提供安全措施来防止外来入侵和攻击等,并同时具有如下功能:
Ø提供Internet接入,提供E1、FE、GE、ADSL、3G、SA、G.SHDSL等多种接入方式;
Ø提供路由、交换、安全以及无线等功能;
Ø提供带宽管理管理功能,为用户上网提供带宽保证。
Ø提供出口网络攻击防范功能;
Ø提供企业网络安全域管理功能;
Ø支持企业内部DMZ管理功能;
Ø提供ACL对IP、端口的限制功能;
Ø提供内部网络的NAT/PAT地址转换功能;
Ø提供FTP、H.323、SIP、RTSP、MSN、QQ等应用业务的过滤、地址转换(NATALG)功能;
2)交换机
交换机承担整个系统业务数据的传输任务。
根据网络规模,所有接入层交换机均采用千兆三层交换机,要求每个接入的信息点能达到百兆的交换速率。
方案采用华为S5324,作相应的服务质量设计,以链路轻载方式为主、以区分服务(DiffServ)、快速路由收敛和快速重路由(FRR)等技术为辅实现QoS保证。
高带宽设计满足绝大部分情况下业务流量突发的要求;快速路由收敛和快速重路由(FRR)等技术保证政务外网的可用性和稳定性;区分服务(DiffServ)提供不同等级的服务;满足高等级业务的突发,确保高等级的业务不受低等级业务的影响;从而将不同业务放在同一网络上承载,降低相互之间的影响。
为解决以太网交换机在LAN中无法限制广播的问题,在S5324交换机上采用VLAN(VirtualLocalAreaNetwork,虚拟局域网)技术。
VLAN的组成不受物理位置的限制。
一个VLAN可以在一个交换机内,也可以跨越交换机,甚至可以跨越路由器。
同一VLAN内的各台计算机无须被放置在同一物理空间里,即这些计算机不一定属于同一个物理网段。
3)网络防病毒
整个网络,根据用户网络环境划分需要病毒防御的重点区域,布署一套网络防病毒软件。
一般而言:
政府网络Internet区域安全等级最低,是病毒产生及传播的地方;客户端工作区安全等级较高,主要由外来用户、移动终端、桌面用户构成,是病毒感染的主要目标,也是病毒进入政府网网络的主要载体;核心服务器区安全等级要求最高,运行着关键应用系统,保存了大量数据,是安全防护体系最终保护的目标。
本方案选用江民网络版KV3000。
具体防护工作的描述:
针对核心服务器区,严防来自Internet及移动用户的病毒入侵,保护其中的关键服务器,这是防病毒工作的重点;针对客户端工作区,需要部署客户端防病毒产品严防病毒(尤其是具有混合型威胁特征的混合型病毒)的入侵;针对Internet区域,需部署网关级防病毒产品,严防来自该区域的病毒及病毒攻击;针对邮件系统,需要部署邮件病毒防护系统;另外还需要部署必要的辅助手段,以监测网络的异常状况,提前预知病毒事件的发生。
4)终端
用户终端方面,本次布置二十台终端,专用于本综合系统的应用。
终端选用联想的双网隔离计算机终端ThinkCentreM8000T,能有效实现内外网的切换与隔离。
1.3产品介绍
1)防火墙华为SecowayUSG2250
SecowayUSG2000系列统一安全网关是华为公司针对中小企业安全业务需求,推出的新一代多功能安全网关,可广泛应用于中小企业、大型企业分支机构、SOHO办公类用户、以及网吧出口网关等,华为SecowayUSG2000系列统一安全网关采用模块化设计,集安全、路由、交换、无线(WiFi、3G)等特性于一体,接口类型丰富,性能领先,能为中小企业、大型企业分支机构、SOHO办公类用户、以及网吧出口网关提供安全防护,并能提供集成的网络出口安全与互联解决方案,降低企业总所有成本TCO,提升企业的效率,是中等及中小型企业网络的理想安全防护设备!
Secoway2250:
是统一集成的防火墙/安全路由器/安全交换机系统,提供数百兆至1G的性能、模块化架构和丰富的路由器、交换机功能,带2个固定的光电互斥ComboGE接口。
附加2个FIC扩展插槽和4个MIC扩展插槽,可灵活扩展广域网或局域网接口。
内首款集路由,交换,安全,无线(WiFi、3G)于一体的安全网关SecowayUSG2000系列集路由、交换、安全、无线(WiFi、3G)功能于一体,1台SecowayUSG2000系列=数台传统路由器+数台传统交换机+数台传统防火墙,能有效帮助企业提高效率、降低维护复杂度,降低企业总成本TCO。
产品特点
接口类型丰富、接口密度大及灵活组网能力
USG2250统一安全网关除了提供2个固定千兆光电互斥WAN接口,还提供4个MIC扩展插槽和2个FIC扩展插槽,FIC插槽可也以选配1*GE、2*E1/CE1接口卡,整机最大接口密度可达4GE+10FE,可以适应不同的网络环境,便于用户灵活组网。
唯一以扩展插槽形式同时支持WIFI、3G的产品
SecowayUSG2000系列产品支持WLANWiFi,支持802.11b、802.11g、802.11g/b混合模式;自动速率调整、无线信道选择、发射功率可调、加密、广播抑制、SSID隐藏、省电模式、管理维护;支持加密方式WPA-PSK、WPA2-PSK、WEP、AES、TKIP;2根全向性天线实现天线增益;
USG2250采用多核并行处理技术,使产品在性能上有了质的飞跃,整机最大吞吐量(大包/小包)、每秒新建连接数等性能指标在业界处于领先位置,为用户带来超高的性能体验。
强大的NAT转换能力
SecowayUSG2000系列产品提供ACL精确控制的单地址池、多地址池以及接口地址转换功能,一对一、一个公网对应多个私网地址的端口级NATSERVER应用、双向NAT,另外NAT功能支持FTP、ICMP、SIP、RTSP、HWCC、MSN、QQ、RAS、H323(含T.120)、RPC、MMS、IPSECESP、SQLNET、MGCP、ILS、Netbios等丰富的应用协议,为企业内部服务器提供了完整的解决方案,是业界卓越的NAT转换设备。
丰富的VPN技术
SecowayUSG2000系列统一安全网关为用户提供了L2TP、GRE、IPSec等多种VPN组网技术,为用户提供了更多的选择。
凭借华为公司硬件及芯片开发领域强大的技术实力,在USG2000系列统一安全网关中内置了高性能硬件加解密芯片,使产品加密性能在业界同类产品中处于领先位置,并且支持DES、3DES、AES、RSA、SCB2等多种加密算法,能够为用户提供高强度的加密传输保障,同时,结合华为公司全系列的网络安全产品,可以为用户提供完整的VPN解决方案。
健康环保
SecowayUSG2000系列统一安全网关是华为公司为用户精心打造的一款“健康环保”多功能网络安全网关。
作为一款中小型网络安全设备,其使用环境更加贴近用户,华为公司秉承着“以人为本”的产品设计理念,采用防辐射的金属外壳设计,同时使用大量符合电磁规范的电子器件,有效防止电子元器件产生的电磁辐射,为用户带来更加健康环保的使用体验。
产品规格
主要参数
设备类型
企业级防火墙
网络端口
2*ComboGEWAN,10*10/100MLAN,扩展:
4MIC+2FIC
用户数限制
无用户数限制
入侵检测
Dos,DDoS
安全标准
FCC,CE
控制端口
Console口
管理
Web和命令行
VPN支持
支持
处理器
多核处理器
一般参数
适用环境
工作温度:
0℃-40℃工作湿度:
10%-90%存储温度:
-20℃-60℃:
存储湿度:
5%-95%
防火墙尺寸
442*420*44.2mm
防火墙重量
7kg
其他性能
WAN接口支持:
FE,GE,ADSL,E1/CE1
2)交换机华为LS-S5324TP-SI-AC
Quidway®S5300系列全千兆交换机(以下简称S5300),是华为公司为满足大带宽接入和以太网多业务汇聚而推出的新一代全千兆以太网交换机。
可为客户提供强大的以太网功能服务。
S5300基于新一代高性能硬件和华为公司统一的VRP®(VersatileRoutingPlatform)软件,具备大容量、高密度千兆端口,同时可提供万兆上行能力,可以充分满足客户对高密度千兆和万兆上行设备的需求。
S5300可满足运营商园区网汇聚、企业网汇聚、IDC千兆接入以及企业千兆到桌面等多种场合的需求。
产品特点
大带宽、高性能
S5300最大可提供28/52个GE接口、或2个10GE接口,充分满足客户对高密度千兆和万兆上行设备的需求。
S5300硬件支持二/三层数据包转发能力,所有端口线速转发。
S5300能够识别和处理四到七层的应用业务流,能根据不同的业务流进行不同的管理和控制。
强大的多业务支持能力
S5300支持增强型灵活QinQ功能,启动该功能不占用ACL资源。
S5300能将内层VLAN的CoS值映射到外层VLAN,或者修改外层VLAN的CoS值,可根据业务需要灵活标记QoS等级,满足多业务承载的要求。
S5300支持可控组播,支持IGMPSnooping/Filter/FastLeave/Proxy等协议。
S5300支持线速的跨VLAN组播复制功能,支持捆绑端口的组播负载分担,支持基于Vlan的组播呼叫接纳控制功能(组播CAC),充分满足IPTV运营需求。
S5300支持MCE功能,实现了不同VPN用户在同一台设备的隔离,有效解决用户数据安全问题,同时降低用户投资成本。
电信级以太网技术及高可靠性
S5300不仅支持STP/RSTP/MSTP生成树协议,还支持树型(SmartLink)和环型(RRPP)拓扑等增强型运营级以太网技术,实现毫秒级链路保护倒换,保证高可靠性的网络质量;此外,S5300提供Smartlink和RRPP多实例功能,可实现链路负载分担,进一步提高了链路带宽利用率。
S5300运营级以太网技术拥有很强的扩展性和兼容能力,能和现网设备混合组网,既保护了用户投资,又为新业务的引入提供了有力的保障。
S5300支持BFD链路快速检测,能为OSPF、ISIS、VRRP、PIM等协议提供毫秒级检测机制,提高了网络可靠性。
S5300支持双电源冗余供电,用户可灵活选择单电源工作模式或者双电源工作模式,提高了设备可靠性。
完备的QoS策略和安全机制
S5300能基于五元组、IP优先级、TOS、DSCP、IP协议类型、ICMP类型、TCP源端口、VLAN、以太网帧协议类型、CoS等信息,实现复杂流分流功能。
S5300支持基于流的双速三色限速功能,每端口支持8个优先级队列,支持WRR、DRR、SP、WRR+SP、DRR+SP多种队列调度算法,有效地保证话音、视频和数据等网络业务质量。
S5300提供多种用户安全保护功能,支持大ACL表项,支持IP、MAC、端口的组合绑定,支持MAC地址黑洞、端口隔离、包过滤、MAC地址学习数目限制、动态ARP检测、IPSourceGuard等安全技术,支持Radius、HWTACACS+认证、IEEE802.1X认证、SSH,为网络穿上坚实的保护衣。
完善的维护和管理性
S5300易于使用和部署,支持丰富的以太OAM特性(802.3ah和802.1ag)和多种维护管理模式。
S5300支持HGMP、SNMP、NTP、SSHv2.0、TACACS+、RMON、多日志主机,基于端口的流量统计,多种配置管理和系统支撑等。
S5300完善的操作维护功能,让运营商轻松管理网络,从而降低运维费用。
产品规格
电气规格
额定功率
<150
电源电压
100-240VAC,-48~-60VDC
网络
堆叠功能
不可堆叠
网络协议
静态路由、RIPV1/2、ECMP
网络标准
IEEE802.1d
网管功能
支持MFF支持虚拟电缆检测(VirtualCableTest)支持以太网OAM(802.3ah和802.1ag)支持端口镜像和RSPAN(远程端口镜像)支持Telnet远程配置、维护支持SNMPv1/v2/v3支持RMON支持iManager网管系统支持集群管理HGMP支持系统日志、分级告警
端口
接口数量
28
接口类型
24个10/100/1000Base-T,4个1000Base-X千兆Combo口
其它
环境
温度范围:
0℃~50℃相对湿度:
10%~90%(无凝露)
安全性
用户分级管理和口令保护支持防止DOS、ARP攻击功能支持IP、MAC、端口的组合绑定支持端口隔离、端口安全支持黑洞MAC地址支持MAC地址学习数目限制支持IEEE802.1X认证,支持单端口最大用户数限制支持AAA认证,支持Radius、TACACS+等多种方式支持SSHV2.0支持CPU保护功能
其他功能
支持QoS
基本规格
MAC地址表
32
应用层级
三层交换
传输速率
10/100/1000
VLAN功能
支持4K个VLAN支持GuestVLAN、VoiceVLAN、SuperVLAN支持基于MAC/协议/IP子网/策略的VLAN支持1:
1和N:
1VLAN交换功能支持基本QinQ功能支持灵活QinQ功能
交换机类型
千兆运营级交换机
端口结构
模块化
交换方式
存储-转发
背板带宽
256
包转发率
转发性能:
36Mpps端口交换容量:
48Gbps
3)网络防病毒软件江民KV3000
优势特点
1、超强的杀毒能力
KV网络版采用了结合内存杀毒技术、深层杀毒技术、智能广谱查毒技术和比特动态滤毒技术在内的病毒扫描引擎,可彻底查杀引导区病毒、文件型病毒、宏病毒、蠕虫病毒、木马程序、黑客程序、恶意脚本等多种病毒。
2、智能分级高速扫描引擎
对目前互联网盛行的病毒、木马危害级别进行分类查杀,新一代智能分级引擎杀毒速度更快,运行更稳定,效率更高。
3、未知病毒主动防御
综合病毒共同特征,基于病毒行为检测和处理病毒。
可检测绝大部分未知病毒和可疑程序,支持手工添加样本库和黑白名单。
4、新一代的流氓软件清除
新增“流氓软件”清除功能,借助该功能用户可以完全、干净地卸载“流氓软件”,彻底告别“流氓软件”骚扰。
5、BootScan系统启动前杀毒
可以实现在系统启动前杀毒,新一代BootScan新增了全中文菜单式操作界面,使用更方便,杀毒更彻底。
6、系统级行为监控
全新推出系统级行为监控,从注册表、系统进程、内存、网络等多方面对病毒行为进行主动防御,全方位保护系统安全。
7、网银、网游密码保护
有效保护网上银行、网络游戏、支付平台、网上证券交易等账号、密码安全,可有效防范木马监听、网络钓鱼。
8、木马一扫光
新一代防木马监听技术、新一代隐藏木马查杀技术,彻底防范未知木马,清除木马更安全、更彻底。
9、高强的反窃取能力
木马一扫光可有效防范木马监听键盘、鼠标消息,彻底阻断木马盗取用户的隐私信息的途径,保护用户的网上银行帐号、密码的安全
10、接入移动设备自动查毒功能
接入移动设备自动查毒功能可有效杜绝病毒通过移动设备自动播放,设置U盘接入后的访问密码,防止病毒自动传播。
例如:
对于U盘、移动硬盘、智能手机等设备具有接入检查的功能,有效的切断病毒的传播途径,使系统始终于一个高度警觉的状态,接入U盘后需要密码进行访问,防止病毒通过U盘自动播放感染计算机。
11、恶意网址过滤功能
可过滤带有恶意脚本、木马、病毒以及反动信息和黄色信息的网页。
界面管理更轻松,网络管理上手更容易:
新版本的江民杀毒软件KV网络版,具备更清新的管理界面,新版的KV网络版操作更简便。
简单清晰的思路令网络管理人员爱不释手,如获至宝。
有了KV网络版,您就有了网络安全和病毒处理的秘密武器,与不安全的网络环境从此告别。
12、实时监视病毒
客户端的实时监控中心负责实时监视用户的计算机,防止计算机被病毒感染,在默认的情况下,监控中心会随同计算机同时启动,为了保护您的计算机安全,江民单位强烈建议您:
不要关闭监控中心。
13、系统级安全防护
独创“驱动级编程技术”:
与操作系统底层技术结合更紧密,兼容性更强,占用系统资源更小。
独创“系统级深度防护技术”:
与操作系统互动防毒,彻底改变以往杀毒软件独立于操作系统和防火墙的单一应用模式,开创杀毒软件系统级病毒防护新纪元。
独创“立体联动防杀技术”:
杀毒软件与防火墙联动防毒、同步升级,防杀病毒更有效。
14、广谱设置
木马一扫光对木马程序的监控主要依靠江民单位的木马特征库,木马特征库中记录了木马程序试图创建或修改的注册表键值,和病毒库一样,木马特征库也在每天不断的更新,以达到防止最新的木马程序的目的。
用户可以利用木马一扫光的广谱扩展功能,手工添加木马特征库,从而达到禁止木马程序改写注册表的目的,这样,当用户遇到木马特征库中还没有的程序时,也可以阻止其改写注册表。
15、实用的进程查看器
显示系统隐藏进程,有效的查找可疑进程,让病毒线程无处藏身。
16、增强密码保护
设置相应密码,关闭监控或者接入U盘需要输入密码,有效防范U盘病毒,增强系统安全性。
17、共享管理
可以列出系统当前共享信息,删除不需要的共享目录,防止病毒文件自动设置共享。
18、系统诊断工具
对当前操作系统进行详细的诊断信息,检查系统是否有疑似病毒程序。
19、江民防火墙
网络版客户端集成防火墙技术,可以有效的防止黑客攻击,彻底杜绝ARP病毒对网络的攻击。
20、增强自我保护能力
随机字符窗口保护:
有效防止病毒的镜像劫持,关闭杀毒软件。
增强自我线程保护功能:
对网络版软件使用的线程进行保护,防止病毒程序恶意关闭杀毒软件进程。
保护自身安装目录:
对自身的安装程序和安装目录进行保护,防止中病毒计算机安装江民杀毒软件被病毒关闭,即使中病毒后也可安装江民杀毒软件网络版客户端,高效的处理病毒问题。
4)计算机终端ThinkCentreM8000T
ThinkCentreM塔式机箱系列立足商业大客户的安全稳定的应用需求,是专为企业级客户设计的节能、环保型商务办公平台。
扩展性强是塔式机箱的最大优势,ThinkCentreM塔式机箱系列可以对硬盘、光驱、内存、扩展卡等PC部件进行灵活特配。
ThinkCentreM塔式机箱系列凭借高品质、绿色环保、易管理三大顶尖特性,将绿色转化为企业竞争力,助力客户实现可持续发展。
本产品是联想区别于其他普通台式计算机,在安全领域打造的一款特色机型,使用目前业界最先进、最全面的隔离解决方案,通过了国家保密局最严格、最新的安全认证,并保持ThinkCen
升级会员 