森林防火信息指挥系统建设项目.docx

1、森林防火信息指挥系统建设项目森林防火信息指挥系统建设项目1.1.1项目建设目标通过建设森林防火信息指挥体系，为全区的森林防火部门提供一套完整的技术标准与规X体系，通过建立一个有效的系统集成与应用系统支持平台，实现森林防火信息共享连通，完善森林防火指挥部的职能体系，为森林防火的综合指挥提出一个解决方案，这个方案的实现，可以为森林防火工作提供安全、可靠、快捷的服务。1.1.2项目主要建设内容森林防火信息指挥体系作为一个具有强大信息收集和控制管理功能的完整技术服务平台，是一个集多种通信技术、视频监控流处理、电子计算机技术、多媒体技术、数据信息管理、软件开发、3S技术应用等综合技术的工程。该系统将为防

2、火工作提供根底通信和办公互动平台，满足对各市实行24小时火险等级预报预警的要求；火灾发生时可以借助各种系统内通讯资源完成指挥中心与远程火场前指、后方指挥总部、一线扑火队等终端互联，完成火场现场信息、遥感图像的接收和采集，尽量为中心指挥人员提供充分的现场数据，以便进展数据的综合分析处理。在综合业务管理系统的支持下，向上可把林火监控监测信息传至上级指挥中心，为上级部门的防火决策提供全面科学的依据；向下可把扑火指令传至每个基层单位或扑火队，同时获取监控区域的火情综合信息；最终实现防火扑火工作的科学指挥和调度，尽快控制和扑灭林火，尽量降低火灾损失。1.2 设计依据 森林法 森林防火条例 全国森林防火中

3、长期开展规划 数字林业标准与规X 国家林业局森林防火、公安指挥室建设项目总体设计方案 国家森防指办公室“关于公布全国森林火险县级单位等级名录的通知林防通字20098号 中华人民某某国森林防火工程技术标准1992森林防火方法工程建设有关规程规定技术标准和政策规定1.3项目建设规模和功能方案1.3.1 项目建设任务本项目主要建设省级森林防火信息指挥系统。整个项目建设任务依其功能主要可以分为以下内容：完善森林防火信息指挥体系的标准规X、建设森林防火综合业务管理系统，包括信息资源和数据库系统以与应用系统、建设网络共享与信息交换平台、建设服务器、数据存储和灾备中心、建设省级多媒体综合指挥中心系统与接口、

4、建设应急指挥调度系统、建设视频会议系统、建设信息安全系统、搞好指挥中心以与信息机房配套建设工作。1.3.2 项目功能方案建设森林防火信息指挥体系，为全区的森林防火部门提供一套完整的技术标准与规X体系，通过建立一个有效的系统集成与应用系统支持平台，实现森林防火信息共享连通，完善森林防火指挥部的职能体系，为森林防火的综合指挥提出一个解决方案，这个方案的实现，可以为森林防火工作提供安全、可靠、快捷的服务。1.4设计指导思想以中共中央国务院关于加快林业开展的决定和中央林业工作会议精神为指导，按照国家林业局全国林业信息化建设纲要和技术指南要求，建设一个高效的森林防火信息指挥平台，实现全区森林防火信息共享

5、，作为全区日常防火办公的互动平台和火情的监控预警前哨，更在必要时为处置突发森林火灾事件提供应急联动指挥、综合辅助决策等功能，逐步提高预防和扑救森林火灾的整体水平。先进性根据高起点、高标准要求，选用当前具有先进水平和成熟的商品化产品，满足森林防火信息指挥系统的应用与远程网络管理需求。实用性根据建设中对森林防火信息指挥系统应用的需求，必须强调系统的实用性，包括系统的硬件平台与应用软件，保证系统有良好的综合性能，同时系统应具有较高的应用效率。可扩大性森林防火信息指挥系统建设是逐步开展的，系统结构、容量与处理能力必须具有较强的可扩大性，所用硬件产品与应用软件的升级换代应得到强有力的保障。可靠性系统建设

6、并投入使用后，将成为森林防火日常工作不可缺少的辅助工具，系统瘫痪的后果是难以想象的，因此系统必须稳定地连续运作，在单设备稳定运行前提下，着重考虑集成系统的容错设计，保证整个系统的稳定性。安全性森林防火信息指挥系统建成后，将成为森林防火管理工作的神经中枢与主动脉，它的安全性将直接关系到整个防火工作的管理和指挥。因此系统设计将按照森林防火需要，提供多种安全措施与手段，防止各种途径的非法侵入与某某信息的泄漏包括防雷电、防风沙雨水和潮湿、防盗窃等。易用性与可维护性设计中优先考虑系统的易用性，即使用方便、便于维护。对系统中关键设备应具有自检和自动恢复、断电保护、故障自动报警或隔离等功能。1.5环境保护本

7、项目为非生产性项目，项目无生产运营环节，无工业“三废产生， 项目建设应符合国家安全和环保标准。1.6职业安全卫生项目可能存在的劳动安全问题为项目配置的器材和设备使用过程中的用电设备与仪器设备操作安全问题。应加强森林防火工作管理人员的业务培训工作，加强森林防火通信设备的检修和维护工作。1.7消防本项目是非生产性项目，项目可能存在的消防问题为项目建设实施中的消防安全问题，应加强项目建设地点的消防安全管理。指挥中心的消防系统是必不可少的一个保障，机房消防必须采用无腐蚀作用的气体自动灭火装置。1.8节约能源本项目在具体工艺设计上本着厉行节约的原如此，按照节约能源的要求设计。项目所用设备应为国际、国内先

8、进设备，运行效率高，通过科学管理可达到节能和合理利用能源的目的。在运行过程中，要注意提高能源利用率，降低能耗，使能源得到综合利用。总平面设计 总平面设计原如此以现有信息指挥系统和信息资源为根底根据本项目建设的指导思想和目标，在继续完善现有信息建设和与之衔接、整合的根底上，实施森林防火信息指挥体系建设项目。以此为龙头，按照地方事权的X围，要求各个市、县区建立自己的森林防火指挥中心。初步奠定信息指挥体系的根本框架，为逐步建成全区的森林防火信息指挥体系奠定根底。以增量资产带动存量资产，充分发挥投资效益充分利用现有的技术和设备、数据和网络资源等根底设施，统一标准、统一规X、统筹规划、协调安排，对现有的

9、系统分类对待，对老旧设备给与更换，对于存在不足的系统给与补充，新建亟需的项目，项目建设有序进展，防止不必要的重复建设，提高效率，发挥投资的最大效益，提高系统的建设水平。标准化、规X化的原如此建立科学的标准体系，保证系统建设与运行标准、规X、有序。科学性、先进性、可扩展性和适度超前性在保证整个系统可靠运行的前提下，在系统的设计上尽可能应用目前先进的技术、设备，在设施建设、设备配备方面适度超前，保持整个系统的先进性，使系统能最大限度的满足森林防火信息指挥系统需要，适应技术的开展趋势。开放性、互连性、安全性最大限度实现信息的共享和更广泛的应用，系统具有开放、互连、安全等性能。2.2.1 工程建设体系

10、根据工程建设指导思想和建设目标，结合森林防火的开展趋势，考虑到建设单位的现有条件和科技优势，工程建设体系由网络平台、数据中心、地理信息系统、视频会议与指挥中心五大局部构成。工程建设体系确实定，为工程建设总平面设计提供了依据。2.2.2 建设X围项目建设省级森林防火信息指挥系统，建设地点设在林业局防火办。2.2.3 总平面设计森林防火信息指挥体系的总体结构如如下图：森林防火信息指挥体系的总体结构图3技术路线与工程设计3.1 技术路线设计采用过程可配置组装技术的系统软件架构，分成架构核心组件集、方法库、脚本规如此编辑器、外部扩展构件集等四个局部。架构核心程序集读取根据脚本规如此编辑程序集以可视化方

11、式定义的脚本规如此，并完成脚本规如此的解析，根据规如此定义完成特定的实现具体业务逻辑的外部构件的创建、加载、装配和组织，并通过识别规如此中的定义将特定的模型方法与业务逻辑绑定。在此根底上，开发出满足不同用户需求的应用软件系统。3.2 工程设计流程根据“分布实施，稳步推进的策略，在整个实施过程中，以控制工程质量为主，以控制工程进度为辅，不断督导检查，以执行标准为设计依据，以工程验收标准为检验依据，保证工程顺利完成，直至工程验收。整个项目实施流程应为：第一步：项目实施前准备、设备采购与物流配送；第二步：部署设计，工程方案设计和实施方案设计；第三步：产品验收，对整个系统进展安装调试、配置，系统运行测

12、试。第四步：工程实施，系统安装和调试；第五步：对使用方进展全方位培训；第六步：项目验收；第七步：实施后定期维护。执行项目过程走查和产物的评审执行项目评审的目的是为了确定项目过程和提交产物的质量。由一组有资格的人员对项目执行过程中的阶段产物进展评价，以判断其能否实现预先定义的要求，同时通过评审标识出与规格和标准的偏差。建立问题反响机制验证项目计划执行情况，通过各种工具建立问题反响渠道，保证问题反响过程的正常进展。项目计划变更控制项目领导小组根据管理需要细化或修改各项分解任务。控制需采取项目管理手段或措施来保证工程实施进度能够达到控制要求。项目主次里程碑的设定项目实施计划除有阶段主里程碑，应把任务

13、分解成阶段性里程碑，帮助项目领导小组更加准确地估计，保证更加准确的状态跟踪。项目计划中关键路径的提供项目计划应提供项目计划的关键路径。项目风险管理项目领导小组根据项目进展评估项目风险，采取躲避和应对措施。与时维护文档管理库应与时在文档管理库中存放所有的工作产品。实施阶段划分与工作成果项目计划阶段阶段性工作成果：系统实施项目计划。需求调研、勘测与分析阶段阶段性工作成果：系统需求规格说明书。实施阶段阶段性工作成果：系统测试报告。系统安装与调测阶段阶段性工作成果：系统安装手册、系统操作手册、系统维护手册。系统测试运行阶段性工作成果：测试运行总结报告。系统初验阶段性工作成果：经实施方和项目甲方签署的系

14、统初验报告。系统试运行阶段性工作成果：系统试运行报告。系统终验阶段性工作成果：终验合格证书系统维护系统终验后，进入系统维护阶段。4.1 网络平台网络平台建设主要包括省森林防火指挥中心内部局域网、指挥中心与林业局内部网络连接、指挥中心与国家林业总局防火办网络连接、指挥中心与Internet的连接。该网络平台的建成为各类应用提供了必要的网络根底环境和可靠、有效的信息传输服务通道，是各类数据传输的最终承载者。总体结构设计如下某某实例：网络平台总体结构示意图项目设计总体立足当前建设现状，并适应中长期业务开展趋势，充分考虑考虑发生各种软硬件、人为误操作和自然灾难时的灾备要求，充分考虑根底设施满足网络安全

15、、数据安全的要求；另外总体设计应充分考虑技术开展趋势，具有一定的新技术吸纳能力和扩展能力，使系统资源能够随业务扩X而逐步增加。4.1.1 指挥中心根底网络森林防火信息指挥系统根底网络上承载着全区各林区视频监控数据、森林防火应急指挥系统语音数据的传输，同时还承载着森林防火信息化相关业务系统的数据传输。所以根底网络已经构成了一个庞大的数据中心，根底网络的核心是所有数据集中处理的中心，其信息数据交换能力上下直接影响到全区森林防火指挥系统使用效果，基于以上需求，森林防火指挥中心根底网络采用全千兆接入，万兆骨干，同时为了保证多业务数据无阻塞传输，数据中心核心需采用十万兆交换平台，真正实现万兆骨干，千兆到

16、桌面的设计原如此。为了实现与林业局内部的信息交换和共享，将指挥中心根底网络与林业局核心网络通过网闸设备互联，在保证信息共享的根底上实现森林防火数据中心网络与林业局内网的物理隔离。由于目前的安全技术，无论防火墙、UTM等防护系统都不能保证攻击的一定阻断，入侵检测等监控系统也不能保证入侵行为完全捕获，所以最安全的方式就是物理的分开，所以在公安部的技术要求中，要求电子政务的内、外网络之间“物理隔离。所以指挥中心与林业局内网物理隔离主要通过网闸来实现。指挥中心与国家防火办网络连接国家林业局目前已建成全国林业信息专网，从国家林业局到各省区实现了2M SDH专线连接。此局部设计直接将租用运营商的2M专线引

17、入指挥中心，实现与国家防火办的网络互联。配备一台核心路由器实现与国家防火办专网2M SDH专线互联以与未来与各地市级森林防火指挥系统专网对接。 提供多种备份技术确保在故障时提供备用方案，这其中包括：虚链路/虚模板/拨号接口/逻辑接口间的链路层备份、动态路由实现网络层备份、VRRP实现设备层备份；独特的智能网络侦测特性， 可以检测到网络目的地的可达性，并将检测结果反响到联动模块，触发相应的主备线路切换。可以设定主线路上的流量预警，当流量达到预先设定的值后，其多余的流量将自动选择到备份线路上；全面支持MPLS技术，全面支持MPLS与MPLS VPN，支持VPLS、VPWS等L2 VPN和MPLS/

18、BGP L3 VPN，实现基于MPLS的流量工程和Diffserv QoS，与主流厂家设备的MPLS VPN具有良好的互通性；高性能、低延时设计，核心路由器需采用高性能的FPGA和RISC 架构，并集成优化的软件算法，有效保证了复杂业务处理中的高性能，能够很好的处理林业行业未来数据大集中背景下的爆发式业务流量；多业务融合的QoS设计，数据、视频会议、语音、监控、流媒体、无线、IPv4/IPv6、3G等各种应用都是由承载网承载的；提供基于硬件的带宽限制，带宽控制粒度准确到64k；支持PQ、CQ、WFQ、WRED等多种拥塞管理和拥塞防止算法，为业务的开展提供完善的QoS机制；同时通过应用层流量整形

19、网关，对应用数据进展行为识别，为关键数据提供更精准的网络保障。同时，图形化的人机交互也使得网络带宽控制更灵活、更人性化。指挥中心信息安全防护系统建设此系统担负着整个森林防火指挥系统网络的安全任务，主要由互联网隔离和应用系统安全防护系统组成，通过在互联网出口部署一台高端安全网关来实现指挥中心网络与公网的隔离与入侵防御、病毒过滤等功能。数据中心各应用系统、后台数据库系统如此通过多个安全系统联动实现整体多维度安全防护。为满足指挥中心大量的视频、语音、图片数据流量处理，要求互联网安全网关采用先进的多核处理器纯硬件架构，为保证多业务数据的线速转发，安全网关数据吞吐能力需很大。同时为便于网络扩展安全网关需

20、配备多个个以上千兆电口，和多个以上千兆光口。支持VPN、QoS流量管理等功能的硬件加速，防止传统安全网关新建连接能力和流量控制能力弱的弊病。提供冗余电源保证设备24小时无连续运行，设备具备低功耗节能环保特性。设备具备高抗攻击能力要求，能够有效的防X来自内、外网的网络攻击。支持全面的VPN功能，要求产品已集成ASIC硬件VPN功能，支持VPN隧道的NAT穿越；支持IPV4/IPV6双栈协议。森林防火信息指挥体系中大局部系统和是给予B/S架构的，所以WEB的前端应用、后台数据安全是整个森林防火信息指挥系统安全防护体系的重中之重。根据WEB服务的运行特点和根底网络架构规划，安全已经无法通过单一的安全

21、产品、一个或两个安全防护措施就能保障。相反，只有通过整体解决方案，设计多层次、立体式的安全防护体系才可能较好地解决。此次指挥中心信息系统安全保护由网络安全、业务安全、主机安全、数据安全以与远程应急控制等一系列方法和措施来保障，整体方案采用如下系统架构：信息系统安全体系架构示意图首先，根据功能域划分、核心数据重要性、安全防护等级和系统日常维护等不同需求，将整体网络划分成边界防护区、对外服务区、内部服务区、数据备份区、发布区，以与内部办公区等多个不同的安全域，各个不同安全域承担各自不同的业务和功能，采取不同等级的安全防护措施。对外服务区是森林防火信息系统业务的核心区，也是最可能遭受攻击的目标。对外

22、服务区的安全保护是整个安全防护的重点，而承载森林防火信息系统业务的前端服务器是核心。据此，首先对外部服务区中的前端服务器进展主机安全加固，保障该主机的文件系统访问、系统注册表、系统进程和服务、应用数据等安全。在此根底上，部署数据监控系统，确保在极端情况下，网页受到篡改、数据被破坏时，与时通过远程语音和短信平台进展告警。同时，在必要情况下，可以通过远程应急控制系统，快速切断对外服务。信息系统运行过程中，数据的备份和复原是整体安全方案的重要系统之一。在不影响业务运行的情况下对核心数据提供实时备份，并通过网络将数据存放到备份服务器中，一来对核心数据提供备份保障，二来即使在运行数据遭受损坏的情况下也可

23、以快速复原，保障系统的数据安全。同时，必须将备份服务器进展安全隔离，以保证备份数据本身的完整性、私密性、安全性。信息系统的日常维护和更新是整个方案中必须要深思熟虑的环节，处理不当，其本身会成为一个重要的安全漏洞和攻击途径。在整个安全体系中，首先要求规划独立的系统维护和更新管理区，管理员可以通过VPN等安全隧道登陆到该安全区域的指定设备上，实施维护和更新操作。同时，要加强对更新数据包括文件内容、图片内容的审查，针对图片等数据，必要情况下，还要增加人为审查，以弥补机器自动化的不足。最后，当系统服务器的主机安全、数据安全实现后，还要有一个安全、干净的网络环境。为此，增加必要的网络安全防护是必要的。在

24、此方案中，我们针对森林防火信息系统业务的特点，部署多功能安全网关、外部异常流量清洗等网络防护系统，在网络边界处阻断大量的外部攻击和异常流量，确保网络内部流量和请求的安全、干净。特别指出的是，信息系统的数据中，很大一局部数据将以数据库记录的形式存放在数据库。对数据库同样需要采取相关措施，保护其免受非法破坏。信息系统安全保护方案包括数据库记录数据的实时备份、异常破坏和篡改的监控，以与数据库的恢复等功能，确保数据库的安全。信息系统安全防护解决方案由六个子系统组成：1)、服务器OS加固系统：对前端应用服务器操作系统实施全面加固，同时设置文件系统强制访问规如此，仅允许指定进程和用户修改数据，杜绝其他任何

25、文件修改操作；2)、数据备份和恢复系统：对森林防火业务系统前端服务器运行数据进展实时备份，并对数据备份服务器进展网络隔离，防止备份数据遭受外部入侵。同时，在必要情况下，可以快速地将备份数据进展恢复，保障连续运行；3)、数据监控系统：该子系统作为极端情况下的备用保护模块，当信息系统数据遭受破坏或篡改时，可以实时检测检测响应时间可以达到秒级，且不受数据规模影响，并通过远程应急控制系统，向网络管理员告警；4)、远程应急控制系统：该子系统集成IP语音、手机短信等通信平台，不仅支持远程告警功能，而且提供远程或短信控制信息系统的对外服务状态，并支持自动数据恢复，解除系统异地管理或紧急情况下的后顾之忧；5)

26、、WEB应用安全防护系统：提供专业、精细化的WEB应用安全保护，支持WEB攻击实时防护、敏感信息泄露、漏洞扫描等功能，将WEB攻击阻断在WEB服务器外部；6)、边界安全防护系统：提供边界高性能防火墙、入侵防护IPS、防病毒等根底网络安全保护，同时针对业务的具体使用环境，具备海量异常流量检测和清洗，保障内部网络的访问流量的纯净。4.2 数据中心建立一套综合服务于森林防火信息指挥体系的数据中心，数据中心是集成数据的交通中心，中转中心，处理中心，管理中心，储藏中心和服务中心。该局部的设计建设满足新建应用系统要求的服务器中心核心系统和满足新建应用系统要求的备份中心的核心系统。该局部所涉与的系统硬件以与

27、软件局部如下所述。数据存储中心的服务器建设可分为多个方面，总体上分为数据库服务系统服务器和应用服务系统服务器。数据库服务器设计2台HA，是保证为防火系统提供各种应用服务的根底，数据存储中心的数据库服务器必须能支持大容量访问、多种数据库等。应用服务器2台HA，是提供相关应用服务的服务器如林火辅助决策系统、林火信息系统、Web系统、ftp服务器、短信服务器等。系统整体架构如下：服务器整体架构示意图系统高可用计当前即可实施，在满足要求的前提下尽量简单，除特别必要，不需要增加另外超出本方案的软硬件；如果一个软件产品可以实现需要的功能，我们不会再使用另外的产品实现重复的功能；同一方案适合多种平台环境，降

28、低安装、管理和维护的难度。 对于数据服务器设计采用HA ROSE, Rose HA双机系统的两台服务器主机都与磁盘阵列共享存储系统直接连接，用户的操作系统、应用软件和Rose HA高可用软件分别安装在两台主机上，数据库等共享数据存放在存储系统上，两台主机之间通过私用心跳网络连接。配置好的系统主机开始工作后，Rose HA软件开始监控系统，通过私用网络传递的心跳信息，每台主机上的Rose HA软件都可监控另一台主机的状态。当工作主机发生故障时，心跳信息就会产生变化，这种变化可以通过私用网络被Rose HA软件捕捉。当捕捉到这种变化后Rose HA就会控制系统进展主机切换，即备份机启动和工作主机一

29、样的应用程序接收工作主机的工作包括提供TCP/IP网络服务、存储系统的存取等服务并进展报警，提示管理人员对故障主机进展维修。当维修完毕后，可以根据Rose HA的设定自动或手动再切换回来，也可以不切换，此时维修好的主机就作为备份机，双机系统继续工作。 数据库服务器高可用设计对于应用服务器，设计要求持续运行的关键业务系统中，准备一台备用服务器，在主服务器出现故障时，自动切换至备用服务器上，实现业务的快速恢复并减少运营本钱。系统设计采用高可用容错集群软件，通过该软件可实现对服务器运行状况的定时监测功能，如果测试结果为主服务器无回应，如此视为系统宕机，并将其切换至备用服务器上。实现业务工作的无缝连接

30、。应用服务器高可用容错集群设计1数据库根据系统对数据库的要求，建议选用大型关系数据库平台ORACLE数据库产品，其具有如下功能和特性：提供了基于角色(ROLE)分工的安全某某管理。在数据库管理功能、完整性检查、安全性、一致性方面都有良好的表现；支持大量多媒体数据，如二进制图形、声音、动画以与多维数据结构等；提供了与第三代高级语言的接口软件PRO*系列，能在C,C+等主语言中嵌入SQL语句与过程化(PL/SQL)语句，对数据库中的数据进展操纵。ORRACLE数据库加上优秀的前台开发工具如 POWERBUILD、SQL*FORMS、VISIA BASIC 等，可以快速开发生成基于客户端PC 平台的

31、应用程序，并具有良好的移植性；提供了新的分布式数据库能力。可通过网络较方便地读写远端数据库里的数据，并有对称复制的技术。数据库具有负载均衡技术。把应用请求分配到集群内每个节点服务器上，充分发挥每个节点的处理能力，从而极大地增加了系统整体性能。数据库系统确保如果某一节点由于硬件或软件故障导致不可用，集群系统内其他节点将透明、平滑地接收该节点任务，使整个系统不会出现任何中断。只要系统内存在一个响应正常的节点，就能保证系统正常运行。整个系统的可用性不但远远高于单机系统，也明显高于普通的故障切换系统。当系统性能出现瓶颈时，通过增加节点就能够方便地对系统进展扩大，而且可以选择不同档次的配置设备，使系统性能满足今后多年业务开展和数据增长的需要。2GIS平台GIS技术是本系统应用的关键技术，根据需求选用在GIS行业占很大比例的国际主流产品ArcGIS.ArcGISESRI 最新推出的GIS软件。对于最终用户来说，它提供了一种更为快速、廉价的方式以获取地理信息。ArcGIS Server 10.0为建立与发布地图信息提供了便捷的解决方案。对于高级用户，它还提供了更为复杂的客户和服务器配置方案与管理工具用来建立更加安全的、