第一篇:XX广电数据中心网络解决方案
XX广电数据中心网络解决方案 XX广电数据中心面临的挑战
“数据中心”建设是三网融合建设的重要组成部分,是广电网络运营商进行多业务运营转型,提升综合实力的主要任务。作为定位在“多业务运营平台”基础之上的数据中心,它不仅作为IDC开展IDC业务,还对广电现有的宽带接入业务、互动
数字电视视频业务、互动增值业务的发展产生积极作用,同时为广电的IT支撑系统提供运维保障。当前广电数据中心面临的挑战是:
1)广电宽带用户需要的互联网内容与信息服务大部分在电信和联通的IP网内,导致广电巨大的入网流量带宽成本。需要建设数据中心并部署一定规模的P2P、WEB应用缓存系统,从而尽可能将本地宽带用户的内容和服务请求终结在广电网内。
2)互动数字高清视频业务是广电运营商的核心业务,其发展方向是互动、高清、3D,该业务不仅需要大量丰富的高清互动视频媒体资源,同时还需要完善的视频内容分发网络(CDN),作为数据中心一个业务域,对大流量环境下的高带宽、高可靠、高稳定、易管理、节能环保要求较高。
3)IDC业务是运营商业务领域的重要组成部分,是信息化服务的趋势,IDC相关业务除了传统的系统托管业务、服务器和带宽等资源租赁业务、网络安全增值业务外,还将面向公众、企业等客户的云计算服务,承载这些业务,完善的数据中心基础设施是不可或缺的。
4)随着业务的发展,广电运营商需要逐步建设完备的IT支撑系统,包括相关的业务平台管理系统、内部管理系统,现阶段大部分的广电IT支撑系统还处在不断完善、持续建设的阶段,如果广电马上建设完善独立的IT支撑系统数据中心将是一种硬件资源、运维资源的潜在浪费,需要将其纳入到多业务数据中心,保障该系统的独立性和安全隔离,以逐步完善IT支撑系统。
根据对广电行业业务对数据中心的建设需求,汉柏科技提出了广电数据中心网络解决方案,对数据中心网络的总体架构、网络功能、可靠性、安全设计、服务质量设计进行了详细的描述,以指导建设一个高度可靠、安全、快速、可扩展的数据中心网络平台。
汉柏科技有限公司 www.xiexiebang.com客服热线:400-706-8366
汉柏认为数据中心网络建设目标是:在统筹广电数据中心项目业务需求和发展的基础上,兼顾远期发展目标,建设一个高度可靠、安全、快速、可扩展的基础网络平台,为各项业务提供优质高效的网络服务。数据中心业务规划
广电数据中心网络承载的业务众多,可按照业务类型初步规划如下:
自营交互业务视频CDN分发核心交互电视增值系统宽带和3G终端视频门户P2P和WEB缓存广电多业务数据中心云计算业务承载网企业级私有云个人级公有云物联网IDC业务大客户系统托管游戏门户视频门户WEB门户IT支撑系统运维多业务管理系统计费管理系统用户管理系统企业内部管理系统 1)自营交互应用业务 交互应用业务区承载了双向互动点播系统业务,是作为广电运营商“三网融合”的核心业务,在业务部署模式上采用的是分布式部署,即中央交互服务器与区域交互服务器是逻辑分开的。
2)IDC业务 包括大客户系统托管、游戏门户、视频门户、WEB门户等业务。3)云计算业务
汉柏科技有限公司 www.xiexiebang.com客服热线:400-706-8366
包括承载网、企业私有云、个人公有云、物联网等业务。4)IT支撑系统
包括多业务管理系统、计费管理系统、用户管理系统、企业内部管理系统等业务。网络架构设计
3.1 设计原则
广电数据中心网络设计原则如下: 层次化
广电数据中心网络在网络层次设计上分为三层结构,即核心层、汇聚层、接入层。 区域化
广电数据中心网络根据业务功能划分区域,各自独立,分别设计。 高可靠性
系统的可靠性是网络健壮和稳定的重要因素之一,所以对网络系统的高可靠性设计必须全面考虑。 可扩展性
随着网络技术的发展和应用规模的不断扩大,网络应具有平滑扩展的能力,这种扩展不应影响原有的应用。广电数据中心网络系统应能够随时通过增加网络设备或模块来扩展、升级整个网络系统,同时保证原有设备的正常使用。
3.2 整体网络架构
汉柏建议数据中心网络的网络架构采用分层、分区的模块化规划方法,即:
汉柏科技有限公司 www.xiexiebang.com客服热线:400-706-8366
根据不同的网络访问层次,将数据中心网络分为:核心层、汇聚层和接入层。 根据不同的业务功能,将数据中心网络在功能上分为:交互业务区、IDC业务区、云计算业务区、IT支撑业务区。整体拓扑结构如下:
VOD承载网骨干网核心交换机(外联)交互业务区对外防火墙IDC业务区对外防火墙云计算业务区对外防火墙IT支撑业务区对外防火墙交互业务区汇聚交换机IDC业务区汇聚交换机云计算业务区汇聚交换机IT支撑业务区汇聚交换机交互业务区对外接入区交互业务区内联防火墙IDC业务区对外接入区IDC业务区内联防火墙云计算业务区对外接入区云计算业务区内联防火墙IT支撑业务区对外接入区IT支撑业务区内联防火墙交互业务区应用服务器接入IDC业务区应用服务器接入云计算业务区应用服务器接入核心交换机(内联)IT支撑业务区应用服务器接入其它数据中心节点
核心交换区作为中心连接了各业务区汇聚接入交换机和骨干网、VOD承载网接入路由器,核心与汇聚之间以及核心与广域网之间采用口字型结构,以保证系统可靠性。
3.3 层次化网络架构
核心交换区分外联核心交换区和内联核心交换区,各负责与广电骨干网和VOD承载网以及其它数据中心网络互联;作为数据中心网络的路由中心,与区域汇聚交换机三层连接,实现整个网络各个区域间的数据交换。核心层交换机之间通过两条万兆链路捆绑汉柏科技有限公司 www.xiexiebang.com客服热线:400-706-8366
互联,以实现稳定可靠的网络中心。核心交换机建议采用汉柏万兆模块化交换机PT-6600系列交换机,通过万兆链路与汇聚交换机实现互联互通。汉柏PT-6600系列适合为用户组建高性能、高安全、高可靠的数据中心。PT-6600单机提供高达3.2T的交换容量和2381Mpps的转发能力,可以实现384个千兆或64个万兆以太网接口的全线速转发,满足了数据中心的高性能需求;PT-6600支持全方位的安全,通过加强设备自身的安全特性,提供内置的安全模块等多种方式,满足了数据中心的高安全需求;PT-6600支持不间断转发技术,支持所有模块的热插拔,再加上VRRP等冗余备份技术,满足了数据中心的高可靠需求。汉柏 PT-6600凭借其卓越的性能、全方位的安全以及电信级的可靠性,为数据中心建设提供了坚实可靠的网络基础平台。汇聚层作为各个区域数据的汇聚中心,分担核心层的压力,为服务器群对外提供高带宽出口;要求提供高密度GE/10GE端口实现接入层互联;另外充分考虑扩展性需求,我们建议选用汉柏科技公司的PT-6600万兆交换机作为汇聚,以实现高密度、高性能的服务器接入。接入层支持高密度千兆接入、万兆接入;接入总带宽和上行带宽存在收敛比,基于机架考虑,1U设备更具有灵活部署能力。汉柏PT-3750E系列万兆路由交换机采用硬件领先的架构,可全线速转发各种类型的数据包,在IPv6方面处于业界领先的地位。该系列产品全面支持各种单播路由和组播路由协议以及汉柏科技有限公司独有的扩展的多项功能,可满足于大型网络的需求。不仅如此,PT-3750E系列交换机还借助芯片级的安全可靠转发能力和多样化的业务支持,以及较高的性价比,成为大型网络汇聚层和中型网络万兆核心层解决方案的最佳产品。PT-3750E系列万兆路由交换机是汉柏科技有限公司强力推出的面向大型数据中心的高性能、高安全性、高可靠性的盒式万兆路由交换机,PT-3750E系列交换机支持灵汉柏科技有限公司 www.xiexiebang.com客服热线:400-706-8366
活的千兆的双介质光、电组合端口形态,同时支持高达四个高性能的万兆扩展,标准的1U高度,满足汇聚产品向高性能、小型化、节能环保发展的趋势。在性能和功能方面,PT-3750E系列交换机能够满足大型网络的组网需求,并具备丰富的智能和安全特性,特别适合于作为大型校园网、企业网、电子政务网、城域网的汇聚设备,以及中小型网络的核心设备。
3.4 区域化业务接入网络架构
目前应用访问大部分已实现浏览器/服务(简称B/S)架构,该架构要求采用三级服务器访问模式,结合安全和管理方面需求,汉柏建议采用对外接入区和应用服务器接入区两个子区域实现业务服务器接入,其网络架构及流量模型如下:
VOD承载网骨干网交互业务区对外防火墙CS业务流交互业务区汇聚交换机CS服务器交互业务区对外接入区交互业务区内联防火墙SS业务流核心交换机(内联)SS服务器交互业务区应用服务器接入其它数据中心节点
汉柏科技有限公司 www.xiexiebang.com客服热线:400-706-8366
两个业务子区域通过交换网络的互连,层层的安全保护,形成结构清晰的易于部署的服务器接入架构。网络功能性设计
4.1 VLAN设计
广电数据中心网络系统属于交换网络,各业务数据由VLAN通道进行承载,汉柏建议VLAN设计分为如下三个部分: 设备管理VLAN 设备间互联VLAN 业务VLAN 由于各业务区域广播域完全分开,因此对业务区域来说可以独立进行VLAN设计,建议VLAN设计与IP地址设计统筹考虑,如可以将VLAN编号与IP地址某一位设计成相同,以利于数据中心网络系统运行维护。
4.2 IP地址设计
IP地址设计分设备管理地址设计、互联地址设计、业务地址设计,汉柏认为广电数据中心网络IP地址规划应按如下原则进行:
IP地址规划主要涉及到网络资源利用的方便有效的管理网络的问题,合理的IP地址规划是有利于网络管理的;
IP地址的合理分配是保证网络顺利运行和网络资源有效利用的关键。应充分考虑到地址空间的合理使用,保证实现最佳的网络内地址分配及业务流量的均匀分布;
汉柏科技有限公司 www.xiexiebang.com客服热线:400-706-8366
IP地址的规划与划分应该考虑到网络的后续规模和业务上的发展,能够满足未来发展的需要;即要满足当前业务对IP地址的需求,同时要充分考虑未来业务发展,预留相应的地址段;
IP地址的分配需要有足够的灵活性,能够满足各种用户接入需要; 地址分配是由业务驱动,按照业务量的大小分配各业务区域的地址段; IP地址的分配必须采用VLSM(变长掩码)技术,保证IP地址的利用效率; 采用CIDR技术,通过IP地址聚合,以减小路由器路由表的大小,加快路由器路由的收敛速度,也可以减小网络中广播的路由信息的大小; 充分合理利用分配的地址空间,提高地址的利用效率;
IP地址规划应该是数据中心网络整体规划的一部分,即IP地址规划要和网络层次规划、路由协议规划、流量规划等结合起来考虑。IP地址的规划应尽可能和网络层次相对应,应该是自顶向下的一种规划。
4.3 路由设计
考虑到交互应用系统内Client-to-Server网络中服务器对负载均衡的需求,汉柏建议将Client-to-Server网络网关部署在负载均衡器上,而Server-to-Server网络中的服务器网关部署在区域防火墙上,由防火墙实现安全访问控制。其它业务区域服务器网关均部署在汇聚交换机上,防火墙透明部署,并增加安全访问控制策略。为了实现网关设备的动态切换,汉柏建议为网关设备部署VRRP协议,并叠加BFD for VRRP技术,实现网关快速切换。汉柏建议各区域采用OSPF路由协议实现互联互通,路由策略设计如下: 1)对于外联核心交换机启用三个OSPF进程,分别与对外接入汇聚交换机、骨干网汉柏科技有限公司 www.xiexiebang.com客服热线:400-706-8366
接入路由器、VOD承载网接入路由器建立邻居,分别学习到数据中心网络路由、骨干网路由及VOD承载网路由,然后将数据中心网络路由重分布到骨干网和VOD承载网,而骨干网和VOD承载网之间不重分布路由,以防止骨干网用户能够访问VOD承载网数据。
2)对于内联核心交换机启用两个进程,分别与应用服务器接入汇聚交换机和其他节点数据中心交换机建立邻居,在各路由区域内选择性重分布路由,以控制业务区域服务器与其它数据中心访问。网络可靠性设计
5.1 设备级可靠性设计
本方案采用的汉柏设备为分布式体系结构,所有关键部件采用冗余设计,包括主控板、交换网、电源和风扇等;采用无源背板设计,避免机箱出现单点故障;所有单板支持热插拔功能,并且对其它单板上运行的业务无影响。汉柏PT系列交换机采用“最长匹配、逐包转发”模式,能够抵御网络病毒的攻击;支持OSPF、RIPv2 及BGPv4 报文的明文及MD5密文认证;支持IP、VLAN、MAC和端口等多种组合绑定方式,防范地址盗用;支持广播报文抑制,有效控制ARP等非法广播流量对设备造成冲击;支持URPF,防止IP地址欺骗;支持报文安全过滤,防止非法侵入和恶意报文攻击等。此外设备自身的可靠性还可以通过为关键设备配置冗余部件来实现,如将核心交换机和汇聚交换机配置为双引擎、双电源。此外汉柏防火墙、入侵检测设备均支持双操作系统,当出现主操作系统不工作时,备操作系统立刻接管主操作系统,保证业务不发生中断。
汉柏科技有限公司 www.xiexiebang.com客服热线:400-706-8366
5.2 链路级可靠性设计
汉柏PT-6600及PT-3750E交换机均支持链路捆绑技术,对于核心交换机和汇聚交换机,互联链路采用了两条链路捆绑,这样当出现单条链路中断情况时,均可以通过协议的收敛机制实现数据交换无丢包。网络互联方面,由于采用了OSPF路由协议,当非捆绑链路出现中断情况时,OSPF协议将重新计算出新的转发路径,保障数据转发不中断。同时汉柏PT-6600及PT-3750E交换机均支持BFD技术,可将OSPF路由协议的收敛速度由秒级缩减到毫秒级,从而大大提高了整体网络的可靠性和应用的可用性。网络安全设计
6.1 设计原则
汉柏认为数据中心网络安全需遵从如下设计原则:(1)构建分域的控制体系
整个系统安全在总体架构上将按照分域保护思路进行,参考IATF信息安全技术框架,将交互应用公共支撑网络从结构上划分为不同的安全区域,各个安全区域内部的网络设备、服务器、应用系统形成单独的计算环境、各个安全区域之间的通道形成边界、各个安全区域之间的连接链路和网络设备构成了网络基础设施;因此方案将从保护计算环境、保护边界、保护网络基础设施三个层面进行设计,并通过统一的基础支撑平台来实现对基础安全设施的集中管理,构建分域的控制体系。(2)构建纵深的防御体系
汉柏科技有限公司 www.xiexiebang.com客服热线:400-706-8366
整个系统安全对交互应用公共支撑网络的通信网络、区域边界、计算环境,综合采用访问控制、入侵检测、安全审计、防病毒、集中数据备份等多种技术和措施,实现双向交互业务应用的可用性、完整性和保密性保护,并在此基础上实现综合集中的安全管理,并充分考虑各种技术的组合和功能的互补性,合理利用措施,从外到内形成一个纵深的安全防御体系,保障信息系统整体的安全保护能力。
(3)保证一致的安全强度
应采用分级的办法,采取强度一致的安全措施,并采取统一的防护策略,使各安全措施在作用和功能上相互补充,形成动态的防护体系。在建设手段上,采取“大平台”的方式进行建设,在平台上实现各个级别信息系统的基本保护,比如多层的边界防护系统、统一的审计系统,综合的网管系统,然后在基本保护的基础上,再根据各个信息系统的重要程度,采取高强度的保护措施。
(4)实现集中的安全管理
网络与信息安全不是单纯的技术问题,需要在采用安全技术和产品的同时,重视安全管理,不断完善各类安全管理规章制度和操作规程,全面提高安全管理水平。建设一套覆盖全面、重点突出、持续运行的信息安全管理体系,该体系覆盖信息系统安全所要求的安全技术和安全运维等内容,符合信息系统的业务特性和发展战略,可持续发展与完善。信息安全管理的目标就是通过采取适当的控制措施来保障信息的保密性、完整性、可用性,从而确保信息系统内不发生安全事件、少发生安全事件、即使发生安全事件也能有效控制事件造成的影响。通过建设集中的安全管理平台,实现对信息资产、安全事件、安全风险、访问行为等的统一分析与监管,通过关联分析技术,使系统管理人员能够迅速发现问题,定位问题,有效应对安全事件的发生。(5)系统冗余设计
汉柏科技有限公司 www.xiexiebang.com客服热线:400-706-8366
如何保证数据中心对外正常提供服务是整个数据中心网络建设的重点,整个系统不应只考虑到安全设备的部署,还要系统的考虑到主干网络、分域网络、所有应用系统的冗余机制,以保证所有业务的正常访问。
(6)提升系统的保障能力
在技术措施和管理手段建设的同时,重视信息安全中“人”的重要作用,通过一系列的风险评估、安全加固提升系统的安全性,并通过安全培训和安全通告提高歌华有线自身技术人员的技术水平,使系统安全保障能力达到行业内一流的信息安全保障水平,支撑和保障信息系统和业务的安全稳定运行。
6.2 安全域设计
传统解决方案中,终端用户可以访问自己前端WEB服务器,同时WEB服务器可以访问内部应用服务器,这样存在非常严重的安全隐患,一旦前端WEB服务器被互联网黑客植入木马,则黑客可通过“肉鸡”主机窃取高等级安全域中的信息数据。针对网络中可能存在的“肉鸡”主机问题,应用安全域解决方案通过对用户主机的认证授权模式,确保客户主机在同一时间段只能访问某一个区域,如访问对外接入区域,则对外接入区域服务器不能访问其他的安全域中的服务器,保证了即使被植入木马的主机,不会被外界控制去访问其它服务器资源,从而降低网络中信息泄漏的概率。按照区域的功能和应用的不同,汉柏建议数据中心网络划分为如下三个安全域:
外联区;
业务区(包括四个子区); 内联区;
各安全域的边界规划如下图所示:
汉柏科技有限公司 www.xiexiebang.com客服热线:400-706-8366
外联区交互业务区IDC业务区云计算业务区IT支撑系统业务区内联区
安全域边界规划描述如下:
外联区与业务区属于不同安全域; 内联区与业务区属于不同安全域; 各业务安全子域属于不同安全域;
6.3 防火墙系统设计
为实现安全域边界防护,需在安全域之间部署防火墙,汉柏建议广电数据中心网络防火墙部署方式如下图:
汉柏科技有限公司 www.xiexiebang.com客服热线:400-706-8366
VOD承载网骨干网核心交换机(外联)交互业务区对外防火墙IDC业务区对外防火墙云计算业务区对外防火墙IT支撑业务区对外防火墙交互业务区汇聚交换机IDC业务区汇聚交换机云计算业务区汇聚交换机IT支撑业务区汇聚交换机交互业务区对外接入区交互业务区内联防火墙IDC业务区对外接入区IDC业务区内联防火墙云计算业务区对外接入区云计算业务区内联防火墙IT支撑业务区对外接入区IT支撑业务区内联防火墙交互业务区应用服务器接入IDC业务区应用服务器接入云计算业务区应用服务器接入核心交换机(内联)IT支撑业务区应用服务器接入其它数据中心节点
建议在外联区与业务区之间部署汉柏PA-5500-F45超万兆防火墙,流量较小的内联区与业务区之间部署汉柏PA-5500-F40万兆防火墙。部署模式建议采用透明方式+安全策略,以达到更高的转发性能。作为业界领先的安全防护产品,PA-5500-F45/40具有如下突出特点:
专业的安全防护 PA-5500-F45/40不仅能够提供全面的地址转换、MAC地址绑定、访问控制策略、安全域划分、身份认证等边界防护功能,同时能够抵御包括Ping-of-Death、Ping-Flooding、TearDrop、UDP-Flooding、SYN-Flooding、KillWin、WinNuke、LAND IGMP2、IP碎片、源路由、端口扫描、IP-Spoofing等几十种常见攻击。针对嵌入在各种应用(邮件、网页、FTP以及VoIP)中的攻击、病毒和恶意插件,PA-5500-F45/40能够在深度识别业务类别和用户行为的前提下,提供基于状态监测的汉柏科技有限公司 www.xiexiebang.com客服热线:400-706-8366
应用层网关功能,结合强大的入侵检测机制和防病毒引擎,真正实现了边界、接入、行为和数据的多重安全防护。 稳定和高性能 PA-5500-F45/40防火墙采用了基于汉柏多个专利技术的双安全操作系统,并对数据平面和控制平面进行了严格的区分。对数据平面中各种需要高性能处理的功能,如地址转换、报文转发和访问控制策略进行了细致的优化处理;在控制平面上,支持链路状态信息的倒换机制、分布式应用和模块化的硬件架构,同时也对处理资源进行了保护,确保即使在极限网络压力下,PA-5500-F45/40仍然能够维持平稳的工作状态。 万兆就绪 针对日益突出的视频传输、虚拟桌面和数据中心备份等大数据量传输,应用的飞速增长带来了带宽的提升需求,万兆接口的应用已经势不可挡。同时,数据中心对设备的功耗和体积要求也越来越严格,更希望能够在相同的机架面积里面实现更高密度的连接。借助出色的硬件平台研发能力,汉柏科技率先推出了全球第一款在1RU体积上实现万兆接口的防火墙,凭借突出的功耗控制和效能优化,为用户平滑过渡到万兆时代提供了最佳选择。 内置交换芯片 PA-5500-F45/40在业内首次创新的采用了先进的防火墙+交换机的设计架构,采用高性能的千兆交换芯片,提供高达128Gbps的交换容量,不仅能够实现接口之间的L2/L3线速转发,还同时能够提供链路汇聚(802.3ad)、灵活的VLAN配置以及端口镜像等功能,内置的硬件ACL还能够配合防火墙,实现安全层面和转发层面依据硬件分离,提供更为全面的高性能安全接入功能。 虚拟防火墙功能 传统的防火墙只能提供单一安全域的防护,而对于多个安全域的独立部署,需要多汉柏科技有限公司 www.xiexiebang.com客服热线:400-706-8366
台防火墙才能实现,这造成了IT资源的极大浪费。PA-5500-F45/40支持虚拟防火墙技术,能够在一台物理防火墙上划分出多个虚拟防火墙,每一台虚拟防火墙都能够实现独立的访问控制策略、VPN、身份认证和系统管理。同时,系统还能够对多个虚拟防火墙进行统一的配置管理、软件升级。对于用户来说,即提高了现有设备的利用率,又解决了网络部署复杂、扩展性差等问题。 出色的能效比 PA-5500-F45/40采用了自主研发的高性能操作系统,并且针对报文转发、过滤以及VPN的关键处理进行了深入的优化设计,在同等硬件处理能力下,比通用的操作系统要高出至少30%的效能,对于提高用户IT资源利用率,降低能耗和节能减排给予了强有力的支持。
精细的流量和业务管理 基于专利技术的流量识别,结合强大的深度业务识别技术,PowerAegis系列防火墙能够提供对包括HTTP、Mail、FTP等多种业务在内的精细化识别,根据既定的服务管理策略,对各种应用给予不同的差分化对待,确保了关键业务的正常运行,即提高了网络资源的利用效率和组织的生产效率,又降低了IT总成本和运维的风险。
6.4 入侵检测系统设计
IDS的部署目的是为了监测来自不同网络对数据中心网络的访问,用以及时发现网络攻击并提供有效证据。制定策略是使用IDS最重要的工作之一,良好的策略不仅可以让管理员及时捕捉到网络上正在发生的重大危害事件,而且使管理员不致被大量的无用信息所淹没,减轻工作负担。如果是初次使用,对网络上存在些什么样的数据流可能不甚明确,这时可以采用包含事件较多的策略集,待运行一段时间后,对网络状况有了基本的了解,再在此策略集的基础上酌情删减。
汉柏科技有限公司 www.xiexiebang.com客服热线:400-706-8366
汉柏建议IDS的部署方式如下图:
VOD承载网骨干网IDS核心交换机(外联)IDS交互业务区办公业务区综合业务区管理业务区核心交换机(内联)IDSIDS
IDS建议采用两台汉柏PA-5500-U40旁路部署模式,两台IDS分别连接在核心交换机上,将核心交换机连接各业务区域端口的出入流量镜像到汉柏PA-5500-U40,由汉柏PA-5500-U40进行入侵检测。汉柏PA-5500-U40主要特点如下: 1)业界领先的架构设计 业界最佳的系统架构 PA-5500-U40采用了控制平面、转发平面和管理平面严格分离的系统架构,采用基于硬件ASIC的完成防火墙的所有功能,实现小包64字节线速的吞吐量,严格保障防火墙的转发性能;对于应用层安全,采用高性能的通用处理器,以应对实时变化的威胁和应用;对于管理数据,给予最高优先级的处理,即使在应用层处理负载较重的时候,仍然能够轻松对设备进行管理和配置。
汉柏科技有限公司 www.xiexiebang.com客服热线:400-706-8366
IronScreen双安全操作系统 PA-5500-U40采用了基于汉柏专利多核技术的双安全操作系统,独创性的提出了基于安全领域在多核上的SMP(对称多处理)软件模型,该模型成功的应用了阿比达定律,有效的降低串行化执行代码在总执行代码中的比例,极大地发挥了多核下的并行计算能力。除此之外,PA-5500-U40使用了智能流分类系统,将大量的数据流均匀分散在不同的核上进行全流程处理,增加了数据Cache的命中率,极大的提高了系统的性能。针对多核软件设计大量使用到的锁,汉柏设计并实现了自有专利的安全操作系统写时拷贝机制,使得90%的数据流在做并行化处理时都是免锁的,进一步保障了系统的稳定性和可靠性。
2)入侵检测和防御 PA-5500-U40采用了集成多种检测机制的高性能扫描引擎,包括特征库匹配、异常行为分析、协议检查等手段,结合汉柏强大的实时安全服务,能够主动识别各种DoS/DDoS攻击、协议的变种攻击、木马和后门程序,不仅能准确地检测入侵,实时的阻止恶意的攻击,并能够提供丰富完整的日志和定位信息,进行事后溯源工作。
3)Web安全 针对不断涌现的Web安全,PA-5500-U40也提供了一定程度的防护,不仅包括能够有效的识别或过滤出嵌入在Web页面中的Java Applet、Java Script、Cookie和ActiveX等信息,还能够提供关键字过滤和基于超过4000万域名的Web页面分类数据库,帮助管理员轻松设置工作时间禁止访问的网页,提高工作效率和控制对不良网站的访问,杜绝潜在的威胁。
4)数据泄漏防护 PA-5500-U40还提供了精细的数据泄漏防护(DLP)功能,支持用户定义各种规则的汉柏科技有限公司 www.xiexiebang.com客服热线:400-706-8366
关键字和敏感词,支持包括Email、HTTP、FTP和IM在内的各种协议,对于银行卡帐号、身份信息、财务信息等关键数据,将其控制在可信网络的范围以内,避免恶意或者无意的数据泄漏造成不可弥补的错误。
5)丰富的应用支持和管理 PA-5500-U40采用了多重识别技术,首先基于强大的深度报文检测和多达1400种的业界最丰富的协议库,对绝大部分的应用进行模式匹配;其次采用了启发式学习和DFI技术,采用汉柏专利技术进行深层次的行为挖掘;最后,对伪装成HTTP报文的应用,进行一致性还原比对。在这三重技术的保障下,将应用识别率,提高到远远超过了业界的其他竞争对手的程度。
6)可视化的安全管理 PA-5500-U40提供了丰富的展现功能,提供包括病毒排行、攻击排行、应用带宽的排行、链路带宽使用情况,在应用管理上,可以提供能够细致到当前用户的应用、占用的带宽、使用的连接,让安全管理者对已有的、潜在的和未知的安全威胁,以及网络中的各种应用和用户行为,都有着非常丰富的直观感受,为用户创造出可视化安全的体验。
7)实时的病毒库、攻击库、应用库更新 作为安全网关设备,如何能够保证在新的威胁、病毒、攻击和新的应用出现的第一时间,就能够做到有效的洞悉和控制,不仅考验产品本身的应变能力,更考验安全厂商支持的力度和深度,以及响应的速度。汉柏科技为PA-5500-U40配备了强大的安全服务团队,并和国际先进的安全机构合作,对不断涌现的新的病毒、威胁以及应用,实时更新到汉柏安全数据库中。目前安全数据库已经有20万条病毒特征、4000多种攻击特征、1400多种应用特征库,以及70多种分类4000多万条网页数据库。
8)简单易用的配置工具
汉柏科技有限公司 www.xiexiebang.com客服热线:400-706-8366
PA-5500-U40集成了业界最完整的安全功能,但并不是简单的罗列。汉柏科技一直将提高使用者的便利性作为产品设计的核心思想,从产品定义阶段就将易用性作为关键指标。PA-5500-U40提供了简单直观的Web管理界面和用以高级配置的命令行,可以支持复杂的策略、协议作为对象的方式灵活使用;除此之外,提供初始配置向导、数量众多的场景应用指导和设计工具,既能够满足需要简单配置的用户,也能够为专业的安全管理人员提供全面而直接的配置方法。QoS设计
7.1 数据中心网络QoS需求
为了保证数据中心关键应用的网络带宽,建议对应用按重要等级进行分类,在网络上,实现对不同等级的应用提供优先权不同的质量服务。
7.2 QoS策略的制定
为了实现端到端业务QoS保障,各层网络设备所承担的任务如下: 汇聚交换机作为服务器接入,进行数据分类及DSCP标记; 核心交换机信任DSCP值,并部署拥塞避免和拥塞管理机制; 在统一出口设备上部署拥塞控制和流量监管机制。实施QoS的根本目的是确保网络的各类信息能够及时获得所需要的网络带宽。针对数据中心信息流的内容及特点,汉柏建议制定如下的QoS策略: 1)业务前端数据(主要为WEB服务)要给予最高优先级保证,在任何情况下都要确保业务数据及时可靠地传送。
汉柏科技有限公司 www.xiexiebang.com客服热线:400-706-8366
2)Voice over IP(VoIP)流量占用带宽不大,但对延迟极为敏感,也给予较高优先级保证。
3)IT支撑系统中网管流量,属于一种数据传输业务,其对延时并不敏感,但是不允许数据丢失,将其定义为次高优先级。4)其它需要定义为高优先级的业务。
5)数据共享等属于非业务的数据流量,其数据包最长,对延时并不敏感,但是不允许数据丢失,将其定义为普通优先级。6)所有未定义的流量则被置为最低优先级。汉柏解决方案总结
安全性好
容易明确不同网络区域之间的安全关系,可以单独对每个区域进行安全实施,不会对其它区域造成影响。 扩展性好
可根据不同区域和层次的功能按需建设,业务部署灵活,可以非常方便的增加新业务区,而不改变原有的网络结构。 提高可用性
可以最大限度的隔离故障域,简化数据路径,加快故障收敛时间。 易管理
网络结构清晰,日常的运维变得更加简单,问题定位容易。
汉柏科技有限公司 www.xiexiebang.com客服热线:400-706-8366
About 汉柏—
汉柏(英文:Opzoon)是一家全球领先的行业深度定制化、智能网络设备和解决方案提供商,是源自硅谷的中国高科技企业。其海外市场业务占据汉柏95%以上的销售来源,年复合增长率超过40%,截止2010年全球销售额累计10亿美金,在全球10多个国家设立26个办事处及分公司。
目前,汉柏具有业界领先的基础网络、安全网络、应用网络及云计算等多条产品线及解决方案,业务涵盖众多领域,包括政府、电信、交通、公安、社保、广电、教育、金融、智能楼宇、医疗、酒店等各行业,并拥有众多全球成功典范案例客户。未来,汉柏将在云计算、移动互联网、物联网等领域持续加大研发投入,探索科技创新,致力于成为业界顶尖的下一代智能网络和应用解决方案提供商!
汉柏科技有限公司 www.xiexiebang.com客服热线:400-706-8366
第二篇:微软-政府数据中心解决方案
政府数据中心解决方案
一、建设目标
随着政府运营机构的丌断完善和成熟,各个政府机构部门已建立起了自身的电子政务平台、数据采集、信息共享不 安全等应用平台。不此同时,政府机构内部每个部门独特的业务结构,和各种有敁信息资源的急剧膨胀,形成了海量的 信息和数据。但长期以来,处亍安全保密戒部门利益的需要,政府信息一直处亍封闭戒半封闭的状态,造成大量政府信 息资源的闲置和浪费。这些长期积累下来的政府信息资源综合了社会各方面的信息源,是社会经济活劢丌可缺少的决策 依据信息和数据。
政府信息资源的开发和利用能力是提高政府决策水平的重要途径,也是确保工作质量和提高工作敁益的关键。因此 合理使用庞大的政府信息资源,为管理出谋划策,提供准确完备的后台数据支持,就成为制定戓略决策过程中备受重视 的焦点。基亍这种情况,微软公司针对政府行业的信息化建设现状和发展趋势,推出了政府数据中心解决方案,旨在协 劣将政府各职能部门的数据源整合(包括公检法信息库、工商税务信息库、社会保障信息库等),从中抽取数据并进行 分析、挖掘,向政府人员、广大企业、公众等提供信息服务。
1.业务目标
• 整体规划,统一数据资料,标准化数据格式,避免重复建设 • 作为统一的应用系统运行的数据平台 • 增强数据中心可扩展性,减轻维护压力
• 当新增戒者改造子系统时,能方便地接入数据中心并同其他系统协调工作 • 确定在现有系统基础上发展和过渡
2.技术目标
• 数据定义、数据管理和数据转换 • 标准的系统间通讯协议
•平台独立应用独立的自劢化流程管理 • 安全认证和角色控制 • 系统管理的方便性 • 性能、稳定性和可扩展性
二、方案概述
微软政府数据中心解决方案,是结合政府信息化建设现状及发展需求而推出的,使得各政府部门之间的基础数据 共享,让基础数据发挥更大的社会价值,使得政府从宏观上把握经济运行的整体情况。该方案主要实现: • 政府部门之间数据的安全、可靠交换和共享,避免数据重复采集,保持各部门基础数据的一致;
• 数据的即时整合,并对全局数据进行灵活的多维度分析和多样式展示,为管理层监控和决策提供有敁支持微软政 府数据中心解决方案以微软数据库SQL 2008为核心,配合数据交换平台Biztalk Server2006,形成了数据采集和管理中 心。利用SQLServer内置的数据分析工具和展现工具给政府有关部门及领导提供深层次的数据分析和数据挖掘报告。为了保障数据中心的安全可靠,微软利用自身操作系统厂商的能力,围绕着Windows Server 2008,形成了一套 System Center和Forefront的完美结合的系统安全管理平台,丌仅能无缝接入IT架构平台,而丏能够提高整体架构的安 全性和工作敁率,降低管理的复杂度和成本,真正解决管理不安全问题,同时让数据中心的IT资源得到最佳整合和优化。
三、整体架构
在政府数据中心平台的建设中,我们认为主要包括两个方面,一个是数据中心数据管理平台的建设,另一个是数 据 交换平台的建设。数据管理平台解决企业内部业务数据的集中管理、统一规划问题,数据交换平台主要解决数据管 理平台不企业内部其它应用之间数据的交换(数据的采集、发布、流程控制)以及内部各业务系统之间的数据整合问题。安全接入层基亍ISA Server的多层防火墙技术,可以保护数据中心免受病毒、黑客的入侵和未经授权的访问。首先,在 不Internet连接层建立防火墙,也可以配置成Web缓存服务器,戒二者兼备,其主要功能包括:Internet防火墙、安全 服务器发布、正向Web缓存服务器、反向Web缓存服务器、防火墙和Web缓存集成。在数据存储不管理层安装ISA Server,可以将其配置成防火墙,可以开放限制的数据访问端口,达到安全防护的功能。数据展现基亍微软的MOSS 2007技术,实现数据访问权限的统一认证和个性化展现,通过门户网站向用户提供所需要的数据展现。数据采集和交换
数据采集用InfoPath 2007,可以直接调用数据库接口倒入数据,也可以通过调用Web Service 向数据集成平台发请 求。
基亍微软的BizTalk Server 2006技术,可提供应用之间的信息交换提供数据转换、业务流程定义不运行、消息封装、路由、传输等具体业务服务。
数据信息服务
采用Content Management Server、Reporting Services、流媒体 Server来实现网站内容管理和搜索、数据报表 服务、流媒体服务。
数据存储不管理 建立政府业务数据(非结构化数据、关系数据和多维数据)的物理存储中心。
安全管理和服务器运维管理 基亍AD目彔服务的安全认证体系,实现了如下的特性:数据安全性、信息化部门间通信的安全性、信息化部门和
Internet网的单点安全登彔、以及易用和良好扩展性的安全管理。部署一套Microsoft System Center Operations Manager 和 Microsoft System Center Config Manager进行服务器的运维管理,实时监控数据中心服务器的运行情 况,及时的发现敀障。
四、功能特点
1.数据交换平台
由亍政府各类应用系统在应用范围、构建方式、系统结构、数据资源等方面存在一定的差异,因此需要建立统一的 数据交换平台,采用Web Services技术,实现政府数据中心平台不各业务之间的数据交换、各业务部门各业务系统之间 的统一信息交换,为各部门协同工作、协同办公、各种业务系统之间的业务整合提供支撑平台。
数据交换平台采用微软的BizTalk软件产品。BizTalk提供多种适配器,从技术上说,Biztalk适配器丌一定必须运行在 单独的前置机上,完全可以运行在数据交换平台上。出亍业务和部署考虑,同其他部门单位、垂直业务系统进行数据交 换的时候,从业务完整性、维护界定、安全性等考虑,很难允许直接操作原有业务系统的业务流程戒数据库,这时才有 使用前置机的必要。
2.数据分析不挖掘平台
数据分析不挖掘平台的作用就是挖掘出政府隐藏在数据间的相互关系,然后利用历叱数据的相互关系找出规律,建立模 型,并用此模型预测未
来数据的种类、特征,最后为领导决策提供依据 数据分析不挖掘平台提供多维数据库的建立、数据分析方法和工具的提供和数据转换等功能。
3.数据存储不管理
虽然在政府现有的数据源和目标数据种类繁多,有关系型数据库,文本文件、XML文件、平面数据库、Office文档 等,但我们可以大致归类为两种类型的数据��结构化的数据和非结构化的文档。因此在数据存储和管理的设计中,我 们可以利用大型的关系型数据库和数据仓库技术(多维分析数据)建立起企业级结构化数据中心,以及根据非结构化文 档的特点建立起企业级的文档数据管理中心。
结构化数据存储可采用实时/定期/业务驱劢需求的方式,从业务系统中通过数据交换平台提取数据到数据库中进行存 储,集中存储各业务系统中共享的代码和基础数据,保证数据在丌同业务系统中的统一性和一致性,并根据业务分析的 需要建立起数据分析模型,为企业业务分析及辅劣决策服务。而非结构化数据的文档数据存储和管理,可利用WEB方式 的文档库,集中地对政府内非结构化的数据(如公文等)提供整个信息生命周期的管理。提供对多种格式的文档进行存 储和管理、支持文档(单个/批量)的发布流程、能够按丌同分类组织文档、支持分布的物理存储和集中的逡辑视图、提供 基亍角色的访问权限控制、提供版本控制、提供文档搜索和索引功能,能够对多个数据源(文档库)进行统一的全文检 索、开放标准的编程接口等功能。
4.数据采集平台
数据采集平台作为政府数据中心信息来源,主要仸务是对来自丌同部门,丌同类型的数据进行收集。数据采集平台 提供统一的数据采集方式,方便不后台数据集成、数据存储平台信息通信。
在政府可以定义标准的数据采集模板,支持随时随地采集(在线、离线),支持标准的采集数据存储方式。在这种 架构下,可以直接调用数据库接口倒入数据,也可以通过调用Web Service 向数据集成平台发请求。
5.系统管理不运维平台
在整个数据中心建设中,系统管理不运行维护也非常重要,除软件的基础架构支持外,服务器的安全、稳定运行也 是数据中心安全和稳定的基础。系统管理和运维平台提供数据中心所有服务器和客户端机器的补丁下发和系统运行监控。
6.安全体系 整个数据中心建立在底层的基础安全服务平台之上,基础安全服务平台作为基本的应用安全服务,丌但提供网络防 火墙功能,而丏提供数字签名、加/解密,实现各种安全服务。
7.数据中心运维框架
运维管理系统以将数据中心管理运行相关的工作、信息整合在一起,通过合理的分类使得运维管理人员很方便的找 到所需要的信息、日常维护所需工具,从而加快工作敁率。
管理运行门户中的信息、工具是被权限保护的。所有使用管理运行门户的用户必须经过身仹认证,然后系统会根据 用户角色、权限的丌同,提供相应的个性化操作界面。即将当前用户最关心的、有权使用的功能、信息,按照用户的喜 好展现出来。这样管理运行门户的用户可以最方便、快捷的完成相关的维护工作。
整个运维管理系统以系统维护和业务管理为主线,其它功能是保证维护质量、提高工作敁率的辅劣手段。系统通过 信息采集模块,将各种需要监控的信息收集起来,然后以各种形式展现给系统管理员。当出现需要处理的事件时,管理 员使用相应的管理工具对系统进行管理,从而解决问题,保证系统稳定运行。当管理过程中出现疑问戒需要寻求他人帮 劣时,可以通过查询信息共享中的信息、通过协调工具直接和与家进行沟通、参对现有的各种配置信息等多种途径,迅 速找到解决方案,从而及时、准确的解决问题。
管理运行门户采用单点登彔(SSO)机制,业务管理员只需在门户进行一次身仹认证过程,随后可以在仸何子系统 的管理操作台间无缝切换,各子系统的管理操作台会根据用户的身仹判断出其在子系统中的管理角色和权限,然后提供 相应的管理能力。当管理员在子系统的管理操作台间切换时,各管理操作台会和统一认证、权限管理子系统进行沟通,自劢实现单点登彔,减少管理人员的操作难度。
为了保证系统维护的质量,领导可以通过查看各种统计分析报告对维护人员的维护工作进行审查、监督。通过查看 系统运行、业务运营情况的分析,发现可能存在的问题戒趋势,从而及时制定应对措施,保证大连数据中心的对外提供 的服务质量。
在 上 述 总 体 设 计 的 框 架 下,数 据 中 心 的 运 维 管 理 系 统 逡 辑 设 计 可 以 细 化 如 下 :
五、系统配置
第三篇:思科数据中心3.0解决方案(本站推荐)
思科数据中心3.0解决方案 数据中心一直是重要的企业资产,也是IT用以保护、优化和发展业务的战略性重点机构,但如果您的数据中心出现了服务器、存储资源使用率低下,能源和人员成本占数据中心总运行成本的25%-30%,在IT预算中,70%花费都在维护方面,而不是使企业更具竞争力,这是当前CIO最需要迫切解决的问题。数据中心转型的需要当今的许多企业都在努力解决数十年来无计划发展的遗留问题,面对大量变更、管理、集成、安全和备份都成为越来越昂贵和困难的技术孤岛。这些数据中心运营的现实问题,对于寻找创新方式来满足不断提高的企业需求的CIO来说,已成为严重的限制因素。现在,许多公司都致力于改变数据中心设施的整合和虚拟化。尽管这是优化现有技术、消除运营孤井的正确做法,但这只是起点而已。公司必须拓宽视角,以创新方式来看待数据中心架构,以使IT效率、响应能力和永续性都达到新的高度。思科数据中心3.0既能解决当前迫切的运营限制问题,而且也能过渡到未来的虚拟数据中心。数据中心3.0改变了目前的数据中心域环境-服务器、存储和网络作为独立孤井运行的情况,将它们统一到单一架构和一套共享网络服务中。因为网络是无所不在的,网络的特征就是支持一切,只有网络能在异构环境中提供连接,统一行为,通过开放标准建设和互操作性,与任何厂商、设备或内容无关。思科数据中心3.0的业务优势思科数据中心3.0能够战略性地迁移到一个完全不同的基础设施模式:能够根据需要,混合、匹配和配置位于任意物理地点的共享服务的统一架构。这个模式从根本上改变了IT运行其核心资源的方式,在效率和企业响应能力方面获得了突破性的优势。提高响应能力:因为网络能自动从虚拟化服务器、存储和网络服务池中部署基础设施,所以能按需发现和配置资源,与人工配置方法相比,大大缩短了响应时间,减少了错误率,能将富有经验的IT人员重新分配到更高价值的工作。提高效率:通过最大限度地使用现有资源,推迟新容量购买,您即能获得更高投资回报,延长您当前数据中心的生命期。成本节约包括减少电源、通风和办公空间开支等。通过提高效率,企业将能把预算从维护转向创新,提高企业竞争力。提高永续性:将网络原理应用到数据中心,能提高基础设施的可靠性、可用性和安全性,保护其免于干扰和意外停机。它还通过复制关键数据,以便在发生故障时轻松回退,支持更高水平的业务连续性和恢复能力。思科数据中心3.0的解决方案思科数据中心3.0 的基本要素-整合、虚拟化和自动化,能够降低总拥有成本(TCO;提高资产利用率,降低电源和冷却需求,并提高运营效率),通过一系列已定义的重叠阶段,提供数据中心基础设施的发展计划。尽管各阶段目标十分明确,但企业实施各阶段的速度却是根据企业具体的业务需求而定。阶段1:现状目前,普通数据中心部署的服务器通过千兆以太网网络接口和独立光纤通道主机总线适配器(HBA)与网络相连。这些数据中心的生产虚拟机密度一般较低,只有不到10%的生产工作负载在虚拟机上运行,运营结构以此孤立技术为基础构建(参见图1)。
图1 目前普通服务器采用分立的局域网和存储连接此时,客户能继续使用其现有基础设施投资。随着他们开始扩展其现有网络交换机数目,Cisco Nexus系列提供大量选项,包括Cisco Nexus 7000系列交换机和Cisco Nexus 2000系列交换矩阵扩展器,来支持与千兆以太网相连的服务器。这种方法使客户能保持与现有Cisco Catalyst系列基础设施的运营和管理一致性,并通过在未来部署万兆以太网、统一交换矩阵和虚拟机感知网络(Cisco VN-Link)的能力,提供前瞻性的投资保护。阶段2: 服务器整合阶段2中,客户使用VMware ESX、Microsoft Hyper-V 或Xen 等服务器虚拟化技术来整合服务器,以降低TCO。将多个一般较少使用的物理机整合为虚拟机,减少物理服务器数目的能力,能为客户带来巨大的成本优势。在此阶段中,虚拟机成为默认应用平台,60-80% 的x86 应用运行在虚拟环境中。
图2 数据中心需从千兆以太网平稳升级到万兆以太网从网络的角度,虚拟机密度的提高鼓励企业升级到万兆以太网,将其作为连接服务器的默认机制,这是因为单一服务器上的多个虚拟机会快速使一条千兆以太网链路饱和,而在超过特定阈值后,多条千兆以太网链路将失去经济高效性(参见图2)。在此阶段中,存储流量仍进行单独传输。Cisco Nexus 7000和5000 系列能够为升级到与万兆以太网相连的服务器提供支持。如使用Cisco Nexus 7000 系列,升级只需添加万兆以太网I/O 模块。Cisco Nexus 2000 系列交换矩阵扩展器支持其余的与千兆以太网相连的服务器,并同时在整个网络中保持一致的运营环境。此时,如果客户运行VMware 的ESX 管理程序,他们也能部署Cisco Nexus 1000V 交换机。该功能为客户提供直至单个虚拟机级别的运行一致性,以及策略便携性,因此,当虚拟机在数据中心内移动时,网络和安全策略也随之移动。Cisco Nexus1000V 能部署在目前运行VMware ESX 的任意地点,与服务器上行链路速度或上游接入交换机无关。阶段3: I/O 整合第三阶段主要是升级到统一数据中心交换矩阵,一般有两个触发因素。第一个因素是企业希望通过简化基础设施和拆除支持独立局域网和存储网络所需的冗余组件(接口,电缆,上游交换机等),来继续降低TCO。第二个触发因素是客户希望利用其虚拟机完成更高级的任务,包括使用动态资源调度(DRS)等技术。这些目标要求所有服务器都拥有一套统一、普及的网络和存储功能,而最简单、最高效的实施方法之一就是部署统一交换矩阵。向统一交换矩阵的迁移使所有物理和虚拟服务器都能接入SAN,在客户SAN 中整合更多存储,从而进一步降低客户的TCO 并提高他们的效率(参见图3)。
图3 统一交换矩阵能够降低数据中心TCO因为此阶段的重点是整合服务器I/O,所以主要需调整服务器接入层来支持统一交换矩阵。为部署以太网光纤通道(FCoE),在服务器方需采用Emulex和QLogic等公司的新型融合网络适配器,或为Intel的万兆以太网适配器部署一个新软件驱动程序。请注意,VMware ESX 3.5 U2 上支持FCoE,且Emulex、Intel 和QLogic 接口都位于VMware 3.5 硬件兼容列表(HCL)上,所以该阶段既包括物理服务器,也包括虚拟服务器。在网络方,只需在Cisco Nexus 5000 系列上启用FCoE 特性,安装光纤通道或光纤通道和数据中心以太网上行链路模块,就能支持FCoE。任何相连的Cisco Nexus 2000 系列交换矩阵扩展器也都支持FCoE功能,但因为上行链路超额配置,必须慎重进行流量规划。Cisco Nexus 7000系列支持FCoE,在2009 年年末会推出支持数据中心以太网的I/O 模块(以便提供可靠传输)。那么,部署iSCSI 的情况是怎样的呢? 到目前为止,讨论的重点一直是FCoE;然而,从实际角度来说,“统一交换矩阵”也可以是Ip 小型计算机系统接口(iSCSI)。思科预计,在实际环境中,下一代企业数据中心将包括多种技术,如FCoE、iSCSI 和光纤通道等。Cisco Nexus 系列提供的高度可用、高性能、无丢包的万兆以太网基础设施能使这两种方法均从中受益。阶段4 便于扩展的动态数据中心交换矩阵阶段4的目标是发挥上一阶段的功能优势,提高数据中心数据交换矩阵的可扩展性、灵活性和效率(参见图4)。该阶段允许任意数据中心资产访问其他任何资产。从存储角度来看,数据中心交换矩阵将支持FCoE和iSCSI 服务器接入,以及与FCoE、光纤通道和iSCSI 相连的目标。数据中心以太网将从接入层扩展到汇聚和核心层。这种扩展的优势之一就是简化对光纤通道SAN 的访问,因为无需再通过专用链路从接入层进行光纤通道回连。
图4 便于扩展的动态数据中心交换矩阵如前面所述,该阶段是以前一阶段为基础的,因此它主要旨在完成到Cisco Nexus万兆以太网基础设施的升级。但有一个新任务,即向现有Cisco MDS 9000 系列导向器级光纤通道交换机添加FCoE 接口,以简化对现有SAN 的访问。阶段5: 统一计算该解决方案的最终目的是一个完全虚拟化的数据中心,由计算、网络和存储资源池组成。安全和四到七层处理(例如负载均衡)等服务也完全虚拟化,能在任何需要之时实施。该数据中心具有自动管理和配置功能的支持,因此能够根据策略和实时触发因素,灵活地创建和拆除应用环境。企业所获净优势包括提高成本效率和使IT 更好地满足业务需求。
第四篇:甘肃广电网络天祝云计算数据中心项目开工
甘肃广电网络天祝云计算数据中心项目开工
11月27日,全国首家广电系统省级“云计算信息枢纽中心”——甘肃省广电网络天祝云计算数据中心项目在天祝县城北新区正式开工建设。
甘肃广电网络天祝云计算数据中心项目是省广电网络公司统一实施的五大产业之一,项目规划占地150亩,总投资10亿元,分三期完成。一期投资2亿元,建成2000平方米的主机房。项目建成后,预计年产值达8000万元,真正成为我国西北规模最大、功能齐全、技术先进的云计算数据中心。该项目将充分发挥广电网络资源优势、高清互动电视综合信息平台优势及甘肃广电网络天祝云计算数据中心技术优势,为我省乃至我国西北省区提供平安城市、数字城市、智能交通、远程教育、远程医疗、平安社区等多领域的服务,最终打造一个全省乃至西北的科技中心、科普中心、青少年活动中心和信息枢纽。
第五篇:数据中心信息安全解决方案
数据中心解决方案
(安全)
行业基线方案
目录
第 一 章 信息安全保障系统.....................................................................3
1.1 系统概述.....................................................................................3 1.2 安全标准.....................................................................................3 1.3 系统架构.....................................................................................4 1.4 系统详细设计.............................................................................5 1.4.1 计算环境安全......................................................................5 1.4.2 区域边界安全......................................................................7 1.4.3 通信网络安全......................................................................8 1.4.4 管理中心安全......................................................................9 1.5 安全设备及系统.......................................................................11 1.5.1 VPN加密系统....................................................................12 1.5.2 入侵防御系统....................................................................12 1.5.3 防火墙系统........................................................................13 1.5.4 安全审计系统....................................................................14 1.5.5 漏洞扫描系统....................................................................15 1.5.6 网络防病毒系统................................................................17 1.5.7 PKI/CA身份认证平台......................................................18 1.5.8 接入认证系统....................................................................20
第1页
杭州海康威视系统技术有限公司
行业基线方案
1.5.9 安全管理平台....................................................................21
第2页杭州海康威视系统技术有限公司
行业基线方案
第 一 章 信息安全保障系统
1.1 系统概述
信息安全保障系统是集计算环境安全、安全网络边界、通信网络安全以及安全管理中心于一体的基础支撑系统。它以网络基础设施为依托,为实现各信息系统间的互联互通,整合各种资源,提供信息安全上的有力支撑。系统的体系架构如图所示:
图1.信息安全保障系统体系架构图
信息系统安全是保障整个系统安全运行的一整套策略、技术、机制和保障制度,它涵盖系统的许多方面,一个安全可靠的系统需要多方面因素共同作用。
1.2 安全标准
在数据中心建设中,信息系统安全依据《信息系统等级保护安全设计技术要求》(GB/T 24856-2009)二级防护要求进行设计。该标准依据国家信息安全等级保护的要求,规范了信息系统等级保护安全设计技术要求,标准适用于指导信息系统运营使用单位、信息安全企业、信息安全服务机构开展信息系统等级
第3页
杭州海康威视系统技术有限公司
行业基线方案
保护安全技术方案的设计和实施,也可作为信息安全职能部门进行监督、检查和指导的依据。
信息安全等级保护是我国信息安全的基本制度、基本政策、基本方法。已出台的一系列信息安全等级保护相关法规、政策文件、国家标准和公共安全行业标准,为信息安全等级保护工作的开展提供了法律、政策、标准依据。国家标准《信息安全技术 信息系统等级保护安全设计技术要求》是根据中国信息安全等级保护的实际需要,按照信息安全等级保护对信息系统安全整改的要求制订的,对信息系统等级保护安全整改阶段技术方案的设计具有指导和参考作用。
1.3 系统架构
智慧城市数据中心依据《信息系统等级保护安全设计技术要求》(GB/T 24856-2009),构建 “一个中心支撑下的三重防御”的安全防护体系。信息安全保障系统总体架构如下图所示:
信息安全保障体系计算环境安全身份鉴别访问控制系统安全审计数据安全保护恶意代码防范边界完整性保护区域边界安全边界包过滤边界安全审计边界恶意代码防范通信网络安全通信网络安全审计通信网络数据传输完整性保护通信网络数据传输保密性保护管理中心安全安全管理子系统实时监控统计分析配置管理日志管理CA子系统认证授权子系统统一用户管理安全审计子系统网络安全审计主机安全审计数据库安全审计应用系统安全审计证书管理统一身份认证资源授权管理访问权限裁决系统管理网络基础设施图2.信息安全保障系统总体架构图
信息安全保障系统以网络基础设施为依托,为整个数据中心业务提供计算环境安全、区域边界安全、通信网络安全、安全管理、安全审计及认证授权等服务。
第4页
杭州海康威视系统技术有限公司
行业基线方案
信息安全保障系统的一个中心是指管理中心安全,三重防御是指计算环境安全、区域边界安全和通信网络安全。
计算环境安全主要提供终端和用户的身份认证、访问控制、系统安全审计、恶意代码防范、接入控制、数据安全等安全服务。
区域边界安全主要提供网络边界身份认证、访问控制、病毒防御、安全审计、网络安全隔离与可信交换等安全服务。
通信网络安全主要提供网络通信的安全审计、网络传输的机密性和完整性等安全服务。
管理中心安全主要包括安全管理子系统、CA子系统、认证授权子系统和统一安全审计子系统等,它是系统的安全基础设施,也是系统的安全管控中心。为整个系统提供统一的系统安全管理、证书服务、认证授权、访问控制以及统一的安全审计等服务。
1.4 系统详细设计
1.4.1 计算环境安全
1.4.1.1 计算环境安全概述
伴随着等级保护工作的持续开展,包括防火墙、安全网关、入侵防御、防病毒等在内的安全产品成功地应用到信息系统中,从很大程度上解决了安全问题,增强了信息安全防御能力。但这些大多重在边界防御,以服务器为核心的计算平台自身防御水平较低,这在信息系统中埋下了很大的安全隐患。
计算环境安全针对的是对系统的信息进行存储、处理及实施安全策略的相关部件,它的重点是为了提高以服务器为核心的计算平台自身防御水平。数据中心的计算环境安全主要通过部署主机安全防护系统以及使用在管理中心所部署的接入认证系统、网络防病毒系统、漏洞扫描系统等安全防护系统提供的服务,完成终端的身份鉴别、访问控制、安全审计、数据安全保护,恶意代码防护等一系列功能。计算环境部署的安全系统均可被安全管理中心统一管理、统一监控,实
第5页
杭州海康威视系统技术有限公司
行业基线方案
现协同防护。
1.4.1.2 计算环境安全功能要求
1)身份鉴别功能
数据中心终端应支持用户标识和用户鉴别。在对每一个用户注册到系统时,采用用户名和用户标识符标识用户身份,并确保在系统整个生存周期用户标识的唯一性;在每次用户登录系统时,采用受控的口令或具有相应安全强度的其他机制进行用户身份鉴别,并对鉴别数据进行保密性和完整性保护。
2)访问控制功能
在安全策略控制范围内,使用户对其创建的客体具有相应的访问操作权限,并能将这些权限的部分或全部授予其他用户。采用基于角色的访问控制技术,实现不同用户、不同角色对不同资源的细粒度访问控制,分别制定了不同的访问控制规则,访问控制主体的粒度为用户级,客体的粒度为文件或数据库表级。访问操作包括对客体的创建、读、写、修改和删除等。
3)安全审计功能
提供安全审计机制,记录系统的相关安全事件。审计记录包括安全事件的主体、客体、时间、类型和结果等内容。该功能应提供审计记录查询、分类和存储保护,并可由安全管理与基础支撑功能层统一管理。
4)数据安全保护功能
采用常规校验机制,检验存储的用户数据的完整性,以发现其完整性是否被破坏,可采用密码等技术支持的保密性保护机制,对在计算环境安全中存储和处理的用户数据进行保密性保护。
5)恶意代码防范功能
安装防恶意代码软件或配置具有相应安全功能的操作系统,并定期进行升级和更新,以提供针对不同操作系统的工作站和服务器的全面恶意代码防护。不仅能够抵御病毒,蠕虫和特洛依木马,还能抵御新攻击,如垃圾邮件,间谍程序,拨号器,黑客工具和恶作剧,以及针对系统漏洞,并提供保护阻止安全冒险等。
第6页
杭州海康威视系统技术有限公司
行业基线方案
1.4.2 区域边界安全
1.4.2.1 区域边界安全概述
随着应用系统和通讯网络结构日渐复杂,异地跨边界的业务访问、移动用户远程业务访问等复杂的系统需求不断增多,如何对跨边界的数据进行有效的控制与监视已成为越来越关注的焦点,这对系统区域边界防护提出了新的挑战和要求。
区域边界安全针对的是对系统的计算环境安全边界,以及计算环境安全与通信网络安全之间实现连接并实施安全策略的相关部件。数据中心的区域边界安全主要通过在系统边界部署防火墙系统、防毒墙、入侵防御系统、安全接入平台等安全设备和系统以及使用在管理中心所部署的安全审计系统提供的服务,完成边界包过滤、边界安全审计、边界入侵防范、边界完整性保护,边界安全隔离与可信数据交换等一系列功能。区域边界部署的安全系统均可被安全管理中心统一管理、统一监控,实现协同防护。
1.4.2.2 区域边界安全功能要求
1)边界包过滤功能
提供对数据包的进/出网络接口、协议(TCP、UDP、ICMP、以及其他非IP协议)、源地址、目的地址、源端口、目的端口、以及时间、用户、服务(群组)的访问过滤与控制功能,对进入或流出的区域边界的数据进行安全检查,只允许符合安全安全策略的数据包通过,同时对连接网络的流量、内容过滤进行管理。
2)边界安全审计功能
在区域边界设置审计机制,提供对被授权人员和系统的网络行为进行解析、分析、记录、汇报的功能,以帮助用户事前规划预防、事中实时监控、违规行为响应、事后合规报告、事故追踪回放,保障网络及系统的正常运行。
3)边界入侵防范功能
在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。
4)边界完整性保护功能
第7页
杭州海康威视系统技术有限公司
行业基线方案
在区域边界设置探测器,可对内部网络中出现的内部用户未通过准许私自联到外部网络,以及外部用户未经许可违规接入内部网络的行为进行检查和控制。
5)边界安全隔离与可信数据交换功能
可完成指挥信令的双向流动,以及视频流单向流入公安信息网的安全隔离与控制,同时,还应可采用两头落地的“数据交换”模式,实现公安信息通信网与其它网络间的基于文件和数据库同步的数据安全交换和高强度隔离。
1.4.3 通信网络安全
1.4.3.1 通信网络安全概述
通信网络是信息系统的基础支撑平台,而如今网络IP化、设备IT化、应用Web化使信息系统业务日益开放,业务安全漏洞更加易于利用。通信网络的安全保障越来越成为人们关注的重点。
通信网络安全针对的是对系统计算环境安全之间进行信息传输及实施安全策略的相关部件。数据中心的通信网络安全主要是通过部署入侵防范系统和VPN加密系统等安全设备和系统以及使用管理中心所部署的安全审计系统提供的服务,完成传输网络安全审计、数据传输完整性与机密性保护等一系列功能。通信网络安全采用基于商密算法的网络传输安全防护系统(SSL VPN),实现数据安全传输与安全审计、保障通信两端的可信接入、保障数据传输的完整性和保密性。
1.4.3.2 通信网络安全功能要求
1)传输网络安全审计功能
提供通信网络所传输数据在包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息在内的审计功能。
2)数据传输完整性与机密性保护功能
通过在不可信信道上构建安全可靠的虚拟专用网络,为数据传输提供机密性和完整性保护、以及数据源认证、抗重放攻击等安全保障,并且支持采用身份认证、访问控制以及终端安全控制技术,为平联工程的内部网络建立安全屏障。
第8页
杭州海康威视系统技术有限公司
行业基线方案
1.4.4 管理中心安全
1.4.4.1 管理中心安全概述
安全管理平台是对定级系统的安全策略及计算环境安全、区域边界安全和通信网络安全上的安全机制实施统一管理的平台。它是一个集合的概念,其核心的内容是实现“集中管理”与“基础支撑”。数据中心的管理中心安全主要是通过部署安全审计系统、接入认证系统、PKI/CA身份认证系统、网络防病毒系统、漏洞扫描系统和安全管理平台等安全设备和系统,完成证书管理、实时监控、统计分析、配置管理、密钥管理、日志管理、系统管理、统一用户管理、统一身份认证、资源授权及访问控制管理、单点登录管理、网络安全审计、主机安全审计、数据库安全审计、应用系统安全审计等一系列功能。
1.4.4.2 管理中心安全功能要求
1)证书管理功能
主要涵盖数字证书的申请、审核、签发、注销、更新、查询等的综合管理,证书管理应遵循X.509规范和国家PKI标准,采用成熟的已经通过鉴定的服务器密码机做加、解密及签名运算,为用户提供高密级的信息安全服务。
证书管理应不仅能够提供用户注册、审核,密钥产生、分发,证书签发、制证及发布等基本功能,还应能为其它应用系统提供证书下载,在线证书状态查询、可信时间等服务,并进行综合管理,使其它系统能够更方便的利用电子认证基础设施实现安全应用。
2)实时监控功能
能从总体上对各安全构件提供简便、易用的导向式监控,能从总体上和细节两个层面实时把握安全系统整体运行情况。实时监控应可按照业务和资产进行分类,可依据分类进行简单、直观的实时监控。
提供逻辑视图、物理视图两种实时监控模式和多种不同的图形化及文字报警方式。提供实时监控页面即时切换,并可对实时监控项和图形化统计项进行自定义布局,完成管理员最关心的实时监控和事件统计配置和显示。
3)统计分析功能
第9页
杭州海康威视系统技术有限公司
行业基线方案
提供事件统计,并可将结果生成统计报表。可提供了预定义统计和自定义统计模式。预定义统计分析主要针对系统自身信息的统计报表,可主要包括事件统计、密钥统计、设备统计、用户统计和日志统计五大类。
根据实际的统计需求,对统计项进行自定义配置。配置后,统计信息可在实时监控页面中实时显示,也可以通过统计分析进行查看。统计结果以图形化方式呈现,呈现方式多样,至少可支持柱图、饼图、趋势图等,并为关联分析提供支撑。
4)配置管理功能
能够对应用系统中的安全设备进行统一配置管理。配置管理应可按照业务和资产重要程度和管理域的方式对业务和资产进行统一配置管理,提供便捷的添加、修改、删除、查询功能,便于管理员能方便地查找所需的业务和资产信息,并对业务和资产属性进行维护。
5)密钥管理功能
对密钥全生命周期(产生、存储、分发、更新、撤销、停用、备份和恢复)的统一管理,确保密钥全生命周期的安全。
6)日志管理功能
使审计员可以通过日志管理对密钥日志、系统日志进行事后审计和追踪,作为日志审计的依据。密钥日志应主要包括密钥生成日志和密钥分发日志;系统日志应主要包括操作日志、监控日志和运行日志。日志管理应可提供强大、完善的日志查询和检索功能,满足审计员对日志的审计和查询需求。
7)系统管理功能
通过系统管理中配置对系统自身进行各种参数配置和管理,应主要包括服务器管理、组件管理、监控策略管理等。
8)统一用户管理功能
根据用户的数字证书,提供对用户的管理功能,包括用户的主账号(代表用户身份的唯一帐号)和从账号(不同应用系统中的用户帐号)的对应管理,用户属性的统一管理,以及实现用户整个生命周期管理,包括对人员入职、调动、离职等过程中的用户身份的创建、修改、删除等操作的管理等。统一用户管理应支持分级管理功能。
9)统一身份认证功能
第10页
杭州海康威视系统技术有限公司
行业基线方案
基于数字证书完成用户与客户端认证设备之间的认证,实现基于PKI的握手协议,实现不同系统和设备之间的身份认证有效统一,保护系统访问的安全性。统一身份认证还应支持多级认证功能。
10)资源授权及访问控制管理功能
基于数字证书,并采用基于RBAC的技术,在用户进行信息系统的资源访问及使用时,实现不同用户、不同角色对不同资源的细粒度访问控制。资源授权及访问控制应支持分级管理功能。
11)单点登录管理功能
基于数字证书,使用户能够方便地跨越多个站点或安全域实现单点登录,即用户登录到网络以后,便能在安全可靠的前提下,访问任何应用程序而无需再次进行身份验证;单点登录应同时提供针对B/S系统与C/S应用系统的单点登录功能。
12)网络安全审计功能
配合网管系统,实现对网络异常行为及安全事件的审计。13)主机安全审计功能 实现用户对主机操作行为的审计。14)数据库安全审计功能 实现对数据库操作行为的审计。15)应用系统安全审计功能 实现对应用系统操作行为的审计。
1.5 安全设备及系统
根据智慧城市的业务发展的需要,为保障数据中心的计算环境安全、区域边界安全、通信网络安全以及管理中心安全,在数据中心建设过程中需要部署VPN加密系统、入侵防御系统、防火墙系统、安全审计系统、漏洞扫描系统、网络防病毒系统、PKI/CA身份认证平台、接入认证系统、安全管理平台等安全设备及系统来保障整个数据中心系统的安全运行。各安全设备及系统的功能要求如下:
第11页
杭州海康威视系统技术有限公司
行业基线方案
1.5.1 VPN加密系统
VPN的身份认证通过LADP协议可以与认证服务器建立认证关系,也可以与PKI/CA服务器建立联系在终端导入证书,VPN 加密技术采用DES、3DES、AES、IDEA、RC4等加密技术,通过上述的加密技术,保证视频、信令、数据在公共网络中传输安全。
智慧城市数据中心VPN加密系统功能要求如下: 1.支持丰富的C/S、B/S应用;
2.支持多种认证方式,如用户名+口令、RADIUS、AD、LDAP、USB Key; 3.证书、证书+口令、双因子认证等;
4.支持多种终端设备接入(包括window平台、linux平台、andriod平台); 5.支持IP层隧道模式,支持VoIP; 6.支持多ISP连接;
7.支持统一安全管理系统的统一管理; 8.支持双机备份和负载均衡; 9.终端安全接入控制; 10.基于角色的访问控制; 11.完善的信息与状态监控; 12.支持主机绑定; 13.客户端安全控制;
14.支持基于用户的终端安全检查; 15.支持分支机构的局域网接入。
1.5.2 入侵防御系统
入侵防御系统是一种软、硬结合的计算机系统,它能通过攻击特征库匹配、漏洞机理分析、应用还原重组、网络异常分析等主要技术实现了精确抵御黑客攻击、蠕虫、木马、后门,抑制间谍软件、灰色软件、网络钓鱼的泛滥,全面防止拒绝服务攻击和服务溢出分布式攻击。
第12页
杭州海康威视系统技术有限公司
行业基线方案
智慧城市数据中心入侵防御系统功能要求如下:
1.坚固的入侵防御体系:完善的攻击特征库;漏洞机理分析技术,精确抵御黑客攻击、蠕虫、木马、后门;应用还原重组技术,抑制间谍软件、灰色软件、网络钓鱼的泛滥;网络异常分析技术,全面防止拒绝服务攻击;
2.动、静态检测功能:动态检测与静态检测融合,基于原理的检测方法与基于特征的检测方法并存;
3.网络防病毒技术:文件感染病毒、宏病毒、脚本病毒、蠕虫、木马、恶意软件、灰色软件,病毒库;病毒类型根据危害程度划分为:流行库、高危库、普通库;
4.防DoS攻击能力:有效抗拒绝服务攻击,阻断绝大多数的DoS攻击行为。
1.5.3 防火墙系统
防火墙是传输与网络安全中最基本、最常用的手段之一,防火墙可以实现数据中心内部、外部网络之间的逻辑隔离,达到有效的控制对网络访问的作用。防火墙可以做到网络间的单向访问需求,过滤一些不安全服务;防火墙可以针对协议、端号、时间、流量等条件实现安全的访问控制。防火墙具有很强的记录日志的功能.可以对不同通信网络所要求的策略来记录所有不安会的访问行为。
智慧城市数据中心防火墙系统功能要求如下:
1.攻击防范能力:能防御DoS/DDoS攻击(如CC、SYNflood、DNS Query Flood、SYNFlood、UDPFlood等)、ARP欺骗攻击、TCP报文标志位不合法攻击、LargeICMP报文攻击、地址扫描攻击和端口扫描攻击等多种恶意攻击,同时支持黑名单、MAC绑定、内容过滤等功能;
2.状态安全过滤:支持基础、扩展和基于接口的状态检测包过滤技术;支持应用层报文过滤协议,支持对每一个连接状态信息的维护监测并动态地过滤数据包,支持对应用层协议的状态监控;
3.完善的访问控制特性:支持基于源IP、目的IP、源端口、目的端口、时间、服务、用户、文件、网址、关键字、邮件地址、脚本、MAC地址等多种方式进行访问控制;支持流量管理、连接数控制、IP+MAC绑定、用户认证等;
第13页
杭州海康威视系统技术有限公司
行业基线方案
4.应用层内容过滤:可以有效的识别网络中各种P2P模式的应用,并且对这些应用采取限流的控制措施,有效保护网络带宽;支持邮件过滤,提供SMTP邮件地址、标题、附件和内容过滤;支持网页过滤,提供HTTP URL和内容过滤;
5.NAT应用支持:提供多对
一、多对多、静态网段、双向转换、IP和DNS映射等NAT应用方式;支持多种应用协议正确穿越NAT功能;
6.认证服务:支持本地用户、RADIUS、TACACS等认证方式。支持基于用户身份的管理,实现不同身份的用户拥有不同的命令执行权限,并且支持用户视图分级,对于不同级别的用户赋予不同的管理配置权限;
7.集中管理与审计:提供各种日志功能、流量统计和分析功能、各种事件监控和统计功能、邮件告警功能。
1.5.4 安全审计系统
安全审计系统是按照一定的安全策略,利用记录、系统活动和用户活动等信息,检查、审查和检验操作事件的环境及活动,从而发现系统漏洞、入侵行为或改善系统性能的过程。它是记录与审查用户操作计算机及网络系统活动的过程,是提高系统安全性的重要举措。
智慧城市数据中心安全审计系统功能要求如下:
1.敏感行为记录:支持用户可基于网络应用的具体情况,自定义敏感的网络访问行为数据特征,系统可以根据策略对于敏感事件实时记录、显示和阻断;
2.特定网络连接实时监视功能:支持用户通过会话监控功能对正在进行的连接会话内容进行实时监控,并支持手工阻断、自动阻断功能;
3.流量审计:支持对IP、TCP、UDP、ICMP、P2P等应用协议的流量监测,提供基于IP地址、用户组、应用协议类型、时间、端口等组合流量审计策略;可分析网络流量最大值、均值、总值、实时流量、TOPN等;
4.网络管理行为审计:支持TELNET、FTP访问审计,记录TELNET、FTP访问的时间、地址、账号、命令等信息;对违反审计策略的操作行为实时报警、记录;
5.互联网行为审计:支持对网页访问、论坛、即时通讯、在线视频、P2P
第14页
杭州海康威视系统技术有限公司
行业基线方案
下载、网络游戏、炒股、文件上传下载等行为进行全面监控管理;
6.HTTP协议审计:中英文URL数据库,超过十种分类,如不良言论、色情暴力等;可过滤非法不良网站,并支持用户添加自定义URL;支持针对URL、HTTP网页页面内容、HTTP搜索引擎的关键字过滤;
7.SMTP协议审计:支持SMTP、POP3、WEBMAIL等协议,支持基于邮箱地址、邮件主题、邮件内容、附件名的关键字审计策略;针对符合审计策略的事件,提供实时告警、阻断和信息还原;
8.FTP协议审计:支持基于IP地址、用户组、时间、命令关键字等组合审计策略,可记录源IP地址、目的IP地址、帐号、命令及上传下载文件名等;
9.数据库访问行为审计:支持对ORALCE、SQL SERVER、MY SQL、DB2、Sybase、Infomix等数据库,实时审计用户对数据库的所有操作(如创建、插入、删除等),精细还原操作命令,并及时告警响应;
10.Windows远程访问行为审计:支持对NETBIOS协议审计,记录具体时间、地址、具体操作等;
11.认证审计功能:支持在不修改原系统配置的情况下,对访问用户进行基于CA证书的强身份认证,并支持统基于授权认证按访问者的身份进行为审计;
12.通讯加密:与安全中心间的通信采用强加密传输告警日志与控制命令,避免可能存在的嗅探行为,实现了数据传输的安全。
1.5.5 漏洞扫描系统
通过部署漏洞扫描系统,可以对数据中心主机服务器系统(LINUX、数据库、UNIX、WINDOWS)、交换机、路由器、防火墙、入侵防御、安全审计、边界接入平台等等设备,实现不同内容、不同级别、不同程度、不同层次的扫描。对扫描结果,可以报表和图形的方式进行分析。实现了隐患扫描、安全评估、脆弱性分析和解决方案。
智慧城市数据中心漏洞扫描系统功能要求如下:
1.能够对网络(安全)设备、主机系统和应用服务的漏洞进行扫描,指出有关网络的安全漏洞及被测系统的薄弱环节,给出详细的检测报告,并针对检测
第15页
杭州海康威视系统技术有限公司
行业基线方案
到的网络安全隐患给出相应的修补措施和安全建议;
2.漏洞管理功能
漏洞管理的循环过程划分为漏洞预警、漏洞分析、漏洞修复、漏洞审计四个阶段。
漏洞预警:最新的高风险漏洞信息公布之际,在第一时间通过邮件或者电话的方式向用户进行通告,并且提供相应的预防措施;
漏洞分析:对网络中的资产进行自动发现,并且按照资产重要性进行分类。再采用业界权威的风险评估模型对资产的风险进行评估;
漏洞修复:提供可操作性很强的漏洞修复方案,同时提供二次开发接口给第三方的补丁管理产品进行联动,方便用户及时高效地对漏洞进行修复;
漏洞审计:通过发送邮件通知的方式督促相应的安全管理人员对漏洞进行修复,同时启动定时扫描任务对漏洞进行审计。
3.安全管理功能
系统将所发现的隐患和漏洞依照风险等级进行分类,向用户发出不同的警告提示,提交风险评估报告,并给出详细的解决办法;
系统对可扫描的IP地址进行了严格地限定,有效地防止系统被滥用和盗用;
扫描数据结果与升级包文件采用专用的算法加密,实现扫描漏洞信息的保密性,升级数据包的合法来源性;
系统具有定时扫描功能,用户可以定制扫描时间,从而实现自动化扫描,生成报表。
4.策略管理功能
系统可定义丰富的扫描策略,包括完全扫描、LINUX、数据库、UNIX、WINDOWS、不含拒绝服务、网络设备、路由器、防火墙、20大常见漏洞等内置策略。实现不同内容、不同级别、不同程度、不同层次的扫描;
系统针对不同用户的需求,可定义扫描(端口)范围、扫描使用的参数集、扫描并发主机数等具体扫描选项,对扫描策略进行合理的组合,更快、更有效地帮助不同用户构建自己专用的安全策略。
第16页
杭州海康威视系统技术有限公司
行业基线方案
1.5.6 网络防病毒系统
在数据中心核心交换上部署一台网络防毒服务器对全网制定完善的防病毒策略,实施统一的防病毒策略,使分布在数据中心每台计算机上的防病毒系统实施相同的防病毒策略,全网达到统一的病毒防护强度。同时防毒服务器实时地记录防护体系内每台计算机上的病毒监控、检测和清除信息,根据管理员控制台的设置,实现对整个防护系统的自动控制。
智慧城市数据中心网络防病毒系统功能要求如下:
1.病毒防范和查杀能力:开启实时监控后能完全预防已知病毒的危害;可防范、检测并清除隐藏于电子邮件、公共文件夹及数据库中的计算机病毒、恶性程序、病毒邮件;能有效预防、查杀映像劫持类型的病毒;可以防范网页中的恶意代码;压缩文件、打包文件查杀毒(在不加密的情况下,不限层数);内存查杀毒、运行文件查杀毒、引导区查杀毒;支持图片、视频等多媒体文件的查杀毒;邮件接收、发送检测;邮件文件静态检测、杀毒;同时支持Foxmail、Outlook、OutlookExpress、Notes和Mozilla等常见客户端邮件系统的防(杀)病毒;能够有效查杀各类Office文档中的宏病毒 支持共享文件的病毒查杀;具有未知病毒检测、清除能力;
2.升级管理
依据策略,全网统一自动升级,不需要人为干涉;
增量升级(包括系统中心从网站升级,客户端从系统中心升级,下级中心;从上级中心升级),以减少升级时带来的网络流量;可设置升级周期和升;级时间范围,实现及时升级并避免升级时占用网络带宽影响用户正常业务的通讯;
在与Internet隔离的内部网络中,提供多种升级方式,包括:自动在线升级、手动升级、下载离线升级包升级等。3.集中管理
支持多级系统中心,并能够对每级系统中心及所属客户端进行统一升级,统一管理;支持多个管理员分组管理;允许管理员通过单一控制台,集中地实现所有节点上防毒软件的监控、配置、查询等管理工作,包括Unix、Linux系统上的第17页
杭州海康威视系统技术有限公司
行业基线方案
防(杀)病毒软件;控制台可跨网段管理,管理不依赖网络拓扑结构。
1.5.7 PKI/CA身份认证平台
PKI/CA 身份认证平台通过发放和维护数字证书来建立一套信任网络,在同一信任网络中的用户通过申请到的数字证书来完成身份认证和安全处理。PKI 从技术上解决了网络通信安全的种种障碍,CA 从运营、管理、规范、法律、人员等多个角度来解决了网络信任问题。
智慧城市数据中心PKI/CA身份认证平台功能要求如下:
1.5.7.1 CA系统
1.证书管理:包括证书申请、证书下载、证书更新、证书注销、证书冻结、证书解冻、证书查询、证书归档;
2.模板管理:包括通用证书模板、签名证书模板、加密证书模板、设备证书模板、SSL服务器证书模块等,当国家/国际标准表扩展域无法满足模板要求时,可以使用自定义扩展域OID + 编码方式 + VALUE自定义模板;
3.审计管理;包括业务审计、日志审计等功能,并且支持日志防篡改; 4.支持总CRL、分CRL、增量CRL、支持CRL重叠期,可以根据模板指定CRL发布点;
5.系统支持SM2算法及RSA算法。
1.5.7.2 RA系统
1.证书管理;包括证书申请、证书下载、证书查询、证书更新、证书冻结、证书解冻、证书注销、批量申请证书、批量证书审核、批量下载证书;支持批量发送自动过期证书通知,管理员可以定时自动获取系统内将过期证书通知;
2.用户管理;包括用户组管理、添加用户、修改用户、删除用户、冻结用户、解冻用户、注销用户;
3.机构管理;包括机构信息管理、添加机构、修改机构、删除机构、导出机构、导入机构;
第18页
杭州海康威视系统技术有限公司
行业基线方案
4.权限管理;包括业务录入员、审核员、制证员、人事录入员、审核员、审计管理员;
5.审计管理;包括业务审计、日志审计等功能,并且支持日志防篡改; 6.用户自主服务;包括自主下载证书、自主更新证书、下载根证书、下载CRL;支持灵活控制的自主服务模式和可扩展的用户身份验证模式;
7.支持直接下载用户申请成功的证书,并制作到用户证书载体中,证书载体包括:软盘、USB Key和IC卡等。
1.5.7.3 KMC系统
KMC系统主要负责对用户加密密钥的产生、存储、分发、查询、注销、归档及恢复整个生命流程实施管理;密钥管理中心的功能从整体上来分,主要分为密钥管理、管理中心结构管理、授权管理、密钥恢复、审计管理功能。
1.5.7.4 目录服务系统
1.查询功能; 2.更新功能; 3.复制功能; 4.引用功能。
1.5.7.5 用户属性管理系统
1.用户身份管理; 2.用户属性管理;
3.下级平台用户自主管理及证书申请、下载服务; 4.查询服务; 5.同步服务。
1.5.7.6 身份认证网关
1.支持证书身份认证
第19页
杭州海康威视系统技术有限公司
行业基线方案
身份认证网关支持PKI/CA数字证书认证,包括:用户数字证书完整性验证、CRL更新、OCSP证书校验、支持多级CA颁发的证书、支持单双向认证选择、支持旁路认证及主路认证多种方式;
2.支持b/s和c/s应用;
3.支持数据加密及数据完整性保护
提供对敏感数据进行加密,实现敏感数据保密,不被窃取;对重要业务流程或敏感数据进行数字签名,签名结果作为依据,实现网络行为不被否认;
4.支持访问控制
支持应用维护功能可以配置系统用户,控制通过验证的用户是否可以访问应用系统;
5.支持单点登录
支持多个应用系统之间的单点登录,即一次登录,多次使用。用户通过网关认证后,系统认证平台通过Cookie机制维护该用户的会话信息,用户登录应用系统时,无需再次认证。极大的简化了用户登录应用系统的步骤,使应用更加流畅;
6.安全审计及监控
对访问网关的用户行为进行详细记录,并且对记录的审查作权限控制,有效地实现了责任认定和系统使用情况分析。
对专网整个认证中心建设中各种PKI/CA设备、系统、服务进行有效的集中监控与管理,解决PKI体系庞大带来的难维护、难管理等问题;对证书的发放以及应用访问的审计。
1.5.8 接入认证系统
接入认证系统实现了基于802.1X的用户名和密码的身份认证,并且采用用户名与接入终端的MAC地址、IP地址、VLAN、接入设备端口号等信息进行绑定的方式,来保证数据中心设备接入安全。
智慧城市数据中心接入认证系统功能要求如下:
1.可支持基于用户名和密码的身份认证,并且支持用户名与接入终端的MAC地址、IP地址、VLAN、接入设备端口号等信息进行绑定;
第20页
杭州海康威视系统技术有限公司
行业基线方案
2.针对用户终端进行系统状态安全检查,包括应用软件的安装及使用、病毒库版本更新、终端补丁检查、非法外联等,并且支持对瑞星、江民、金山、趋势科技、McAfee、Symentec、Ahn、北信源、CA Kill、卡巴斯基、NOD32等厂商的防病毒软件的检测和联动;
3.在用户终端通过安全检查后,可以基于用户的权限,向安全联动组件下发事先配置的ACL策略,实现分级分权限的细粒度用户网络行为管理;
4.通过对USB进行监控方式,避免重要文件通过移动存储设备进行非法拷贝,有效的避免了机密文件的泄露;
5.支持802.1X用户身份认证,可与主流厂商的交换机实现安全联动,强制检查用户的安全状态,如果不符合要求则无法接入企业内网或只能访问隔离区资源,进一步保护企业内网的安全。
1.5.9 安全管理平台
安全管理平台的目标是要确保全局的掌控,确保整个体系的完整性,而不仅限于局部系统的完整性;对于安全问题、事件的检测要能够汇总和综合到中央监控体系,确保整个体系的可追究性。
SOC系统是信息安全保障系统的核心,主要体现在对视频专网全局掌控、预警能力和应急响应处理能力。全局预警就是要建立全局性的安全状况收集系统,对于新的安全漏洞和攻击方法的及时了解,针对体系内局部发生的安全入侵等事件进行响应。SOC充分利用所掌握的空间、时间、知识、能力等资源优势,形成全局性的资源协调体系,为系统的全局可控性提供有力的保障。SOC在设备管理和安全事件管理方面外,应该对公安行业的制度和工作方式在视频业务流程中得以体现,主要表现为工作流的驱动,工单的管理,以及处理结果的反馈。
第21页
杭州海康威视系统技术有限公司