514技术说明.docx

1、514技术说明五、 投标技术服务说明 36. 技术服务总说明 361.本项目为交钥匙工程,总报价应包括购置1:容灾主机(应用系统接管主机1台，2:备份主机（异地备份机）1台,3”防火墙设备2台,4：日志审计设备1台,:5”USBserver虚拟化加密共享设备1套,6”便携式备份存储介质6套,容灾主机技术说明:容灾技术介绍传统的容灾技术通常是指针对生产系统的灾难采用的远程备份系统技术。但是，随着对容灾系统要求的不断提高，现在的容灾技术包括了可能引起生产系统服务停止的所有防范和保护技术。一般来讲，一个容灾系统中实现数据容灾和应用容灾采取不同的实现技术，数据容灾技术包括数据备份技术、数据复制技术和数

2、据管理技术等，而应用容灾技术包括灾难检测技术、系统迁移技术和系统恢复技术等等。（一）数据备份技术数据备份就是把数据从生产系统备份到备份系统介质中的过程。常见的数据备份技术有以下几种：1主机备份这种备份就是传统意义上的基于主机( Host-based)的备份。主机负责将数据备份到和主机直接相连的存储介质上（一般是磁带）。虽然这种备份的速度快，管理简单，但是仅能适应于单台服务器备份，并且在灾难恢复过程中，系统恢复的时间长。2网络备份￥随着网络的发展，传统的主机备份渐渐地转向了网络备份，即系统中备份数据的传输以网络为基础。根据备份系统中备份服务器、介质服务器是否在同一个LAN中，可以将网络备份分为基

3、于局域网的备份和远程网络备份。3专有存储网络备份当存储系统成为一个独立于备份系统的系统之后，特别是存储局域网( Storage Area Storage，SAN)的发展，使得备份过程可以在存储局域网中实现。根据备份过程中对应用服务器的影响，专有存储网络备份可以分为LAN-Free备份和Server-Free备份。LAN-Free备份，是在存储网络（Storage Network）之上建立的一种备份系统。在该备份系统中，生产系统的存储和介质服务器的存储直接通过专用存储网络进行连接，在备份过程中，庞大的备份数据不经过主机系统所在的网络，而是通过专用的存储网络传输到介质上。这种备份方式的优点是共享介

4、质资源，实现集中管理，不会对主机系统网络有影响。缺点是实现比较复杂，成本相对较高。Server-Free备份则是建立在存储区域网(Storage Area Network)的基础上，备份过程无需应用服务器参号数据传输的备份系统。这种备份方式可以保证生产系统及其网络不受影响。目前这种备份技术还不太成熟，对硬件的性能和兼容性的要求都很高。（二）数据复制技术和数据备份相比，数据复制技术则是通过不断将生产系统的数据复制到备份系统中，以保证在灾难发生时，生产系统的数据丢失量最少。按照备份系统中数据是否与生产系统同步，数据复制可以分成同步数据复制和异步数据复制。同步数据复制就是将本地生产系统的数据以完全同

5、步的方式复制到备份系统中。由于发生在生产系统的每一次I/O操作都需要等待远程复制完成才能返回，这种复制方式虽然可能做到数据的零丢失，但是对系统的性能有很大的影响。异步数据复制则是将本地生产系统中的数据在后台异步的复制到备份系统中。这种复制方式会有少量的数据丢失，但是对生产系统的性能影响较小。（三）灾难检测技术对于一个容灾系统来讲，在灾难发生时，尽早地发现生产系统端的灾难，尽快地恢复生产系统的正常运行或者尽快地将业务迁移到备用系统上，都可以将灾难造成的损失降低到最低。除了依靠人力来对灾难进行确定之外，对于系统意外停机等灾难还需要容灾系统能够自动检测灾难的发生，目前容灾系统的检测技术一般采用心跳技

6、术。心跳技术就是生产系统在空闲时每隔一段时间向外广播一下自身的状态。检测系统在收到这些“心跳信号”之后，便认为生产系统是正常的，否则，在给定的一段时间内没有收到“心跳信号”，检测系统便认为生产系统出现了灾难。心跳技术的另外一个实现是：每隔一段时间，检测系统就对生产系统进行一次检测，如果在给定的时间内，被检测的系统没有响应，则认为被检测的系统出现了灾难。心跳技术中的关键点是心跳检测的时间和时间间隔周期。如果间隔周期短，会对系统带来很大的开销。如果间隔周期长，则无法及时地发现故障。（四）系统迁移技术灾难发生后，为了保持生产系统的业务连续性，需要实现系统的透明性迁移，利用备用系统透明地代替生产系统进

7、行运作。一般对实时性要求不高的容灾系统，例如Web服务、邮件服务器等，可以通过修改DNS或者IP来实现，对实时性要求高的容灾系统，则需要将生产系统的应用透明地迁移到备用系统上。目前基于本地机群进程迁移的算法可以应用在远程容灾系统中，但是需要对迁移算法进行改进，使之适应复杂的网络环境。备份主机技术说明:数据备份恢复一体化系统:备份一体机项目说明（一）.设备清单序号设备名称型号及主要技术规格要求数量数据备份恢复一体化系统信核数据方舟备份一体化系统，提供业务快速恢复系统一体机架构、盘位，双多核处理器，缓存，个接口、 ，硬件引擎，热插拔冗余电源及风扇、块近线磁盘。软件配置不限数量的整机备份功能授权一份

8、，台内置应急虚机授权许可，存储资源管理许可，提供三年原厂商硬件保修和三年软件服务支持。套（二）、设备技术参数说明指标项参数要求配置要求英寸， 标准机架式，配置双路至强系列存储专用处理器;配置缓存,最大可扩展至;1.1.配置个千兆的接口，配置个接口;最大可扩展到个 端口和个 端口；配置块英寸（），支持英寸、（）、（）、（），英寸（）、（）、（），（英寸）（英寸），最大可扩展至块硬盘；英寸盘位，单台机器需支持内置块英寸磁盘及块系统盘并支持硬盘混插；英寸盘位，单台机器需支持个寸硬盘并支持硬盘混插；支持硬件级 ，等多种方式，并且不同方式可以并存，热插拔冗余电源和风扇；平台安全性一体化数据存储备份系统完

9、全基于平台开发的，嵌入式备份平台，安全可靠；存储架构支持以旁路方式快速部署，同时支持、存储组网，支持 、 ；支持窄带宽下的远程数据容灾，支持一对一、多对一、一对多形式的容灾备份（提供截图证明）；实时保护支持实体机、虚拟机的操作系统、数据库、应用及文件的一体实时保护；支持基于磁盘和卷的实时镜像保护，并且支持全盘复制与增量复制；支持的卷、盘复制以及 卷精简复制；支持虚拟机一键备份（包括无代理和有代理的方式），将数据通过存储网络备份到磁盘备份存储中,对备份可同时实现异步增量备份和同步镜像备份；可同时备份, , 平台服务器中的多个数据库，如和同时部署在一台服务器中的情况；支持 （）系统级备份 和 （）

10、数据级备份。功能块级保护，基于数据块为系统及数据提供持续保护。可定制策略，设定持续保护粒度，生产中心、容灾中心可独立设置策略。支持一致性组，提供磁盘或卷的一致性组保护功能：可以将涉及某个特定应用程序的所有绑定到同一个一致性卷组中，基于同一策略进行保护，以确保所有的快照点回滚保持一致，保证应用程序的有效恢复。支持分钟级、秒级增量快照，最大支持上亿个连续保护点，确保业务的连续运行。可以根据时间段来恢复数据或直接读取数据。支持任意快照点删除，可按策略对快照点进行合并；支持备份硬盘的分层功能，支持，等不同性能磁盘分层备份，提升备份系统的整体性能。存储资源管理基于存储网络层的存储管理平台，同时支持协议及

11、协议的存储网络；支持数据智能冗余技术。支持存储资源池化管理，支持建立三种及以上不同类型的存储池（提供截图证明）；支持、存储同时并入同一个存储池，同一存储池可同时提供和两种协议的存储卷；（提供截图证明）支持池级、卷级的存储高可用功能，级实时同步，故障无缝切换；允许添加外部存储，并提供存储状态管理监控功能（提供截图证明）支持透明路径逃生功能，在设备故障时主机能直接访问后端存储，保证业务连续性; （提供截图证明）快速恢复支持、系统、虚机分钟应急恢复，当服务器故障或宕机时，可一键恢复至容灾一体机或虚拟机，或通过在备用实体机上快速恢复（提供截图证明）支持将系统应用数据一体化恢复至备份一体机本地容灾平台中

12、，即一个设备实现备份及恢复操作。支持数据分钟快速找回，当生产数据出现丢失或损坏时，可以直接使用历史快照点数据快速恢复，无须还原恢复即刻使用，大大降低了业务停顿时间；1.2.支持卷、磁盘的快速应急恢复，支持、恢复，支持 和 两种裸设备恢复方式；远程容灾支持基于的远程复制容灾，支持系统级、数据级别的远程复制容灾；支持数据复制链路的负载均衡，支持备份带宽限速；支持远程数据压缩加密；支持本地数据中心和容灾中心的，即支持容灾级别一对一、一对多与多对一的同步与异步复制，支持断点续传。兼容性支持对 服务器系统进行实时保护和快速恢复；支持、实时备份，支持对虚拟机进行无代理备份，支持虚机数据块修改跟踪技术，支持

13、虚机增量备份；支持、 、 等主流数据库及应用；设备管理具有管理方式，全中文管理界面，通过同一个控制台界面即可集中管理所有功能，包括存储资源、备份计划、恢复操作等；提供卷、磁盘性能监控及容灾速率监控；（提供截图证明并说明）支持不同权限的用户登录管理；防火墙设备技术说明：一、防火墙是一个由计算机硬件和软件组成的系统，部署于网络边界，是内部网络和外部网络之前的连接桥梁，同时对进出网络边界的数据进行保护，防止恶意入侵、恶意代码的传播等，保障内部网络数据的安全。防火墙技术是建立在网络技术和信息安全技术基础上的应用性安全技术，几乎所有的企业内部网络与外部网络（如因特网）相连接的边界设都会放置防火墙，防火墙

14、能够起到安全过滤和安全隔离外网攻击、入侵等有害的网络安全信息和行为人们常在寓所之间砌起一道砖墙，一旦火灾发生，它能够防止火势蔓延到别的寓所。如果一个网络接到了Internet上面，它的用户就可以访问外部世界并与之通信。但同时，外部世界也同样可以访问该网络并与之交互。为了安全起见，可以在该网络和Internet之间插入一个中介系统，竖起一道安全屏障。这道屏障的作用是阻断来自外部通过网络对本网络的威胁和入侵，提供扼守本网络的安全和审计的关卡，它的作用与古时候的防火砖墙有类似之处，因此我们把这个屏障就叫作“防火墙”。防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术。它是一个系统

15、，位于被保护网络和其它网络之间，进行访问控制，阻止非法的信息访问和传递。防火墙并非单纯的软件或硬件，它实质是软件和硬件加上一组安全策略的集合。二、防火墙遵循的基本准则有两点。它会拒绝所有未经说明允许的命令。防火墙的审查基础的逐项审阅，任何一个服务请求和应用操作都将被逐一审查符合允许的命令后才可能执行，这样的操作方法为保证内部计算机安全性提供了切实可行的办法。反而言之，用户可以申请的服务和服务数量是有限的，提高了安全性的同时也就减弱可用性。第二，它会允许所有未经说明拒绝的 命令。防火墙在传递所有信息的时候都是按照约定的命令执行的，也就是会逐项审查后杜绝潜在危害性的命令，这一点的缺陷就是可用性优于

16、安全性的地位，但是增加安全性的难度。三、防火墙的作用防火墙是“木桶”理论在网络安全的应用网络安全概念中有一个“木桶”理论：一个桶能装的水量不取决于桶有多高，而取决于组成该桶的最短的那块木条的高度。防火墙正是“木桶”理论的应用。在一个没有防火墙的环境里，网络的安全性只能体现为每一个主机的功能，所有主机必须通力合作，才能达到较高程度的安全性。而防火墙能够简化安全管理，网络的安全性是在防火墙系统上进行加固，而不是分布在内部网络的所有主机上。四、强化内部网络的安全性防火墙可以限制非法用户，比如防止黑客、网络破坏者等进入内部网络，禁止存在安全脆弱性的服务和未授权的通信进出网络，并抗击来自各种路线的攻击。

17、对网络存取和访问进行记录、监控作为单一的网络接入点，所有进出信息都必须通过防火墙，所以防火墙非常适用收集关于系统和网络使用和误用的信息并做出日志记录。在防火墙上可以很方便地监视网络的安全性，并产生报警6。五、限定内部用户访问特殊站点防火墙通过用户身份认证来确定合法用户。防火墙通过事先确定的完全检查策略，来决定内部用户可以使用哪些服务，可以访问哪些网站。六限制暴露用户点，防止内部攻击利用防火墙对内部网络的划分，可实现网络中网段的隔离，防止影响一个网段的问题通过整个网络传播，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响，同时，保护一个网段不受来自网络内部其它网段的攻击。网络地址转换（N

18、AT，Network Address Translation）防火墙可以作为部署NAT的逻辑地址，因此防火墙可以用来缓解地址空间短缺的问题，并消除机构在变换ISP时带来的重新编址的麻烦。七、虚拟专用网（VPN，Virtual Private Network）防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN。通过VPN将企事业单位在地域上分布在全世界各地的LAN或专用子网，有机地联成一个整体。不仅省去了专用通信线路，而且为信息共享提供了技术保障。八、防火墙类型随着技术的进步和防火墙应用场景的不断延伸，现防火墙按照不同的使用场景主要可以分成以下四类。1、过滤防火墙过滤防火墙，顾

19、名思义，就是在计算机网络中起一个过滤的作用。这种防火墙会根据已经预设好的过滤规则， 对在网络中流动的数据包进行过滤行为。如果符合过滤规则的数据包会被放行，如果数据包不满足过滤规则， 就会被删除。数据包的过滤规则是基于数据包报审的特征的。防火墙通过检查数据包的源头 IP 地址，目的IP地址，数据包遵守的协议，端口号等特征来完成。第一代的防/墙就属于过滤防火墙。2、应用网关防火墙已经介绍了的过滤防火墙在OSI七层协议中主要工作在数据链路层和 IP 层。与之不同的是，应用网关防火墙主要工作在最上层应用层。不仅如此， 相比于基于过滤的防火墙来说， 应用网关防火墙最大的特点是有一套自己的逻辑分析。基于这

20、个逻辑分析，应用网关服务器在应用层上进行危险数据的过滤， 分析内部网络应用层的使用协议， 并且对计算机网络内部的所有数据包进行分析， 如果数据包没有应用逻辑则不会被放行通过防火墙。3、服务防火墙上述的两种防火墙都是应用在计算机网络中来阻挡恶意信息进入用户的电脑的。服务防火墙则有其他的应用场景， 服务防火墙主要用于服务器的保护中。在现在的应用软件中， 往往需要通过和服务器连接来获得完整的软件体验。所以服务防火墙也就应运而生。服务防火墙用来防止外部网络的恶意信息进入到服务器的网络环境中。4、监控防火墙如果说之前介绍的防火墙都是被动防守的话， 那么监控防火墙则是不仅仅防守， 还会主动出击。一方面监控

21、防火墙可以像传统的防火墙一样， 过滤网络中的有害数据。另一方面， 监控防火墙可以主动对数据进行分析和测试， 得到网络中是否存在外部攻击。这种防火墙对内可以过滤， 对外可以监控。从技术上来说， 是传统防火墙的重大升级。九、防火墙功能:网络安全屏障防火墙对内部网络环境安全性起着极大的提高意义，它作为阻塞点和控制点过滤那些潜在危险的服务从而降低了网络内部环境的风险。因为所有进入网络内容的信息都是经过防火墙精心过滤过的，所以网络内部环境就非常的安全可靠。例如，NFS 是一个不安全协议，防火墙可以过滤点该信息，不允许该协议进入受保护的网络，这样外部的攻击者就无法进入内部网络进行攻击侵害。防火墙同时可以保

22、护网络免受基于路由的攻击，如 IP 选项中的源路由攻击和 ICMP 重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并十、通知防火墙管理员。网络安全策略如果对网络安全配置上以防火墙为中心，就可以让口令、加密、身份认证、审计等安全软件配置在防火墙上。防火墙的这种集中安全管理与各个主机分散控制网络安全问题相比更比较经济实惠。另外，防火墙的集中安全控制也避免了一次一密口令系统和其他的身份认证系统分散在各个主机上的麻烦1、进行监控审计防火墙有着很好的日志记录功能，它会记录所有经过防火墙访问过的记录，更能够把网络使用情况的数据进行汇总分析，从而得出网络访问的统计性数据。如果访问的数据里面含

23、有可疑性的动作，防火墙会进行报警，显示网络可能受到的相关的检测和攻击方面的数据信息。另外，它还可以通过访问数据的统计提供某个网络的使用情况和误用情况，为网络使用需求分析和网络威胁分析提供有价值2、参考数据.防止内部信息的外泄防火墙可以把内部网络隔离成若干个段，对局部重点网络或敏感网络加强监控，全局网络的安全问题就不会因为局部网络的一段问题而受到牵连。另外，防火墙对 Finger、DNS等服务显示的内部细节数据进行隐蔽，这样由于 Finger 显示的所有用户的注册名、真名，最后登录时间和使用 shell 类型等信息就受到保护了，也就降低了外部的攻击侵入。同样，防火墙对内部网络中 DNS 信息的阻

24、塞，也避免了主机域名和IP 地址的外泄，有效了保护内部信息的安全特征:支持线速处理，在不影响网络运行情况下，实现无缝部署到现有的网络中。标准的传统防火墙功能，NGFW 需要拥有传统防火墙的所有功能，包含包过滤、网络地址转换（Network Address Translation，NAT）、状态检测、虚拟专用网（Virtual Private Network，VPN）等功能集成入侵防御系统（Intrusion prevention system，IPS），NGFW 在同一硬件内结成了传统防火墙和 IPS 的功能，IPS 成为NGFW 的核心部件，不是两者的简单叠加，而是功能的无缝融合。NGFW

25、中防火墙和 IPS 的无缝融合、自动联动的协作机制将大大提升防御性能，增强网络安全性。应用识别、控制与可视化，NGFW 与传统防火墙基于端口和 IP 协议进行应用识别不同，而是会根据深度包检测引擎识别到的流量在应用层执行访问控制策略。流量控制不再是单纯地阻止或允许特定应用，而是可用来管理宽带或优先排序应用层流量。深度流量检测让管理员可针对单个应用组件执行细粒度策略智能防火墙，NGFW 可以收集来自防火墙外面的各类信息，用于改进阻塞决定，或优化阻塞规则库3、防火墙的优缺点没有任何一个防火墙的设计能适用于所有的环境。它就似一个防盗门，在通常情况下能起到安全防护的作用，但当有人强行闯入时可能失效。所

26、以在选择购买时，应根据站点的特点来选择合适的防火墙。4、防火墙的优点保护脆弱的服务。通过定义一个中心“扼制点”及过滤不安全的网络服务，防火墙可防止非法用户进入内部网络，减少内网中主机的风险控制对系统的访问。可提供对系统的访问控制，如允许从外部访问某些主机，同时禁止访问另外的主机，允许内部员工使用某些资源而不能使用其他资源等。集中的安全管理。对内网实行集中的安全管理。通过制定安全策略，其安全防护措施可运行于整个内网系统中而无须在每个主机中分别设立。同时还可将内网中需改动的程序都存于防火墙中而不是分散到每个主机中，便于集中保护。增强保密性。可阻止攻击者获取攻击网络系统的有用信息因为所有进出信息都必

27、须通过防火墙，所以非常便于收集关于系统和网络使用和误用的信息防火墙的不足之处不能防范来自内部的攻击。对内部用户偷窃数据，破坏硬件和软件等行为无能为力.不能防范不通过它的连接。对有意绕过它进/出内网的用户或数据无法阻止，从而给系统带来威胁，如用户可以将数据复制到磁盘中带出内网,不能防范未知的威胁。能较好地防备已知的威胁，但不能自动防御所有新的威胁不能完全防范病毒的破坏为了提高安全性，限制和关闭了一些有用但存在安全缺陷的网络服务，给用户带来了使用的不便日志收集对象技术说明序号设备类型品牌日志类型1网络交换设备支持思科、华为、H3C网络设备产品网络设备开机、重启、关机时间记录；网络设备宕机时间记录；

28、网络设备运行性能记录；配置修改的记录；设备异常记录；2操作系统Windows系列UNIX系列(AIX、HP-UX、Solaris 、LINUX、麒麟凝思系统)系统日志、安全日志、应用日志。CPU、内存、磁盘、接口流量利用率，服务和TCP连接数； DNS日志、目录服务日志、文件复制服务日志、用户操作记录。3数据库ORACLE、MS SQL SERVER采集数据库系统日志，启动、登录、错误;数据库关键进程运行情况日志、数据库执行sql语句时的操作记录。一、 日志收集方式要求需要支持的协议有syslog、snmp trap、windows log、checkpoint opsec、database、

29、file、xml、soap等等。主动信息采集对路由器、交换机网络设备的日志采集支持采用SYSLOG（UDP514）和OPSEC LEA协议形式自动采集。二、日志文件采集支持本地系统平台上通过安装Agent采集日志文件采集日志信息。性能状态探测能获取系统平台的CPU、内存、端口使用率、应用的响应时间、进程数、TCP连接数、负载等性能参数。1日志分析功能要求告警功能支持对紧急、严重日志进行自动报警，可自定义需报警的日志类型。监控台支持对收集的全部日志进行分类实时监控。应该能够将各种不同的日志格式表示为统一的日志数据格式。且统一格式时不能造成字段丢失。能自动对各种类型的日志进行实时分析，并能将紧急、

30、严重的事件日志通过设备远程主控台、短信、邮件、电话语音提示等方式向管理员发送实时告警消息，支持自定义报警日志的类型。通过对网络设备及系统平台的性能状态、安全访问、异常事件产生的日志进行分析统计，按数据源输出监控分析报表。支持对日志进行基于时间、源地址、目的地址、协议类型、危险级别等日志所有属性字段的组合搜索查询。2、日志存储功能要求可将收集的日志进行集中存储在日志服务器或外部存储设备。支持将日志进行分对象、类型、日期进行归档存储。可对日志进行加密、压缩存储。、USBserver虚拟化加密共享设备技术说明USB Server 是硬件的USB设备远程连接解决方案，USB Server采用的arm

31、SO供一个千光网络接口和28个USB 接口，满足高速应用需求。USB Server对电源做了特别确保28个USB端口均提供750mA的电流供应。系统对国内应用得比较多的USB加密狗提供了完善的支持，有很好的兼容性。提供行业软件ukey共享，虚拟环境识别ukey解决方案，外网远程识别usb服务扫描仪共享，短信猫等。利用独有的专利技术，使得用户可以利用单一产品方案即可方便地在空间受限的环境下将多个USB 连入网络，实现资源共享，是加密狗等USB 设备方便地接入，尤其适用于空间受限的环境。USB SEVER产品是虚拟化技术、系统集成商、IDC、零售行业和医疗等多种行业应用中连接 USB 设备与网络的理想选择；USB SEVERR产品的整个产品线也非常适用于虚拟机软件；USB SEVER 使得 USB 认证密钥等 USB 设备在 VMware、Microsoft Virtual Server 和 Xen 等多数虚拟服务器上可以轻松地实现虚拟化并通过网络得到支持。USB SEVER产品不再单纯依赖本地主机，这打破了传统的远程监控困难的桎梏。客户只需使用互联网便可以隨時隨地访问并监控设备