機(jī)房整改方案.doc

學(xué)習(xí)資料收集于網(wǎng)絡(luò)，僅供參考XX機(jī)房整改方案目錄一、XX站整改項(xiàng)目說明3二、XX站整改項(xiàng)目目標(biāo)3三、項(xiàng)目實(shí)施要求41、可靠性：42、環(huán)境保護(hù)：43、靈活性：44、安全性：4四、施工方案簡(jiǎn)述4第一部分 機(jī)房工程方案4第二部分：機(jī)房裝修設(shè)計(jì)及施工方案6第三部分 機(jī)房外纜整改及設(shè)備支座制作8五、機(jī)房綜合工程設(shè)計(jì)標(biāo)準(zhǔn)10六、效果圖11一、 XX站整改項(xiàng)目說明本次XX站機(jī)房整改項(xiàng)目主要涉及XXX二樓機(jī)房、話務(wù)機(jī)房、電源機(jī)房等機(jī)房的整體維護(hù)。其中程控設(shè)備機(jī)房包含XXX交換機(jī)、傳輸設(shè)備、配線架等核心匯聚設(shè)備。機(jī)房在多年的擴(kuò)容和新建工程施工過程中，遺留了較多的硬件施工問題，為實(shí)現(xiàn)標(biāo)準(zhǔn)化機(jī)房建設(shè)實(shí)施本次整改項(xiàng)目。 目前主要問題為：新建機(jī)柜需增加設(shè)備底座、線纜布防不規(guī)范、標(biāo)簽缺失、走線槽道缺失、外纜布防防護(hù)盒腐蝕、機(jī)房密閉條件差等，為設(shè)備安全運(yùn)行造成重大隱患，也為機(jī)房日常維護(hù)工作帶來了諸多困難。二、 XX站整改項(xiàng)目目標(biāo)本次整改將主要針對(duì)機(jī)房現(xiàn)存硬件安裝問題進(jìn)行整改，從根本上解決現(xiàn)存的硬件質(zhì)量問題：整改子方案涉及1、 機(jī)房裝修工程2、 UPS配電系統(tǒng)整改3、 機(jī)房照明系統(tǒng)整改4、 接地系統(tǒng)整改5、 綜合布線系統(tǒng)整改6、 增加溫濕度監(jiān)控系統(tǒng)7、 機(jī)房設(shè)備整改方案建設(shè)通過整改電源線、光纖、信號(hào)線等線纜的不規(guī)范布放，做到線纜布放科學(xué)、安全、整齊、美觀；通過設(shè)備運(yùn)行環(huán)境整改使機(jī)柜外觀及內(nèi)部設(shè)備防塵網(wǎng)干凈、整潔，從而達(dá)到消除通信安全隱患、便于機(jī)房日常維護(hù)的目的；通過機(jī)房維護(hù)環(huán)境整改，實(shí)現(xiàn)標(biāo)準(zhǔn)化機(jī)房建設(shè)，確保設(shè)備維護(hù)環(huán)境達(dá)標(biāo)；整改完成后：實(shí)施單位需匯總機(jī)房現(xiàn)場(chǎng)數(shù)據(jù)信息；對(duì)機(jī)房設(shè)備數(shù)據(jù)資料更新統(tǒng)計(jì)和修訂；設(shè)備線纜標(biāo)簽整改；為機(jī)房后期的日常維護(hù)、擴(kuò)容和巡檢工作提供準(zhǔn)確的數(shù)據(jù)資料。三、 項(xiàng)目實(shí)施要求通過機(jī)房標(biāo)準(zhǔn)化整改考慮以下方面：1、 可靠性： 設(shè)備纖纜改造充分考慮“三防”、“三護(hù)”，XX機(jī)房敷設(shè)相關(guān)備用線纜；2、 環(huán)境保護(hù)： 考慮機(jī)房環(huán)境的特殊性，選用相關(guān)防火阻燃材料；3、 靈活性： 為節(jié)約資金，充分利舊原通信站線纜進(jìn)行整改；4、 安全性： 項(xiàng)目實(shí)施過程中對(duì)XX站相關(guān)技術(shù)資料做到嚴(yán)格保密，需簽訂相關(guān)保密協(xié)議；四、 施工方案簡(jiǎn)述第一部分 機(jī)房工程方案 整體機(jī)房面積約XX平方米左右。XX設(shè)備機(jī)房、XX機(jī)房及電源機(jī)房按國(guó)家標(biāo)準(zhǔn)B級(jí)機(jī)房設(shè)計(jì)和施工。1、機(jī)房功能區(qū)劃分：主機(jī)房設(shè)在二樓。按國(guó)家B級(jí)標(biāo)準(zhǔn)機(jī)房設(shè)計(jì)和施工，按功能劃分為XX機(jī)房、XX室、XX機(jī)房、電源機(jī)房、XX室五個(gè)功能區(qū)。2、機(jī)房裝修使用：XX機(jī)房及XX機(jī)房采用防靜電地板、微孔天花板、無眩光燈管等材料、防火窗簾及敷設(shè)防靜電漆。3、機(jī)房配電系統(tǒng)：電源走線全部捋順綁扎、重新制作標(biāo)簽、制作走線槽道，并充分考慮機(jī)房電源插座的冗余，保證機(jī)房配電的安全。4、機(jī)房防雷接地系統(tǒng)：機(jī)房接地和大樓接地共用，XX機(jī)房設(shè)備共地整改，地板支腳采用銅帶接地，直流接地電阻小于2歐姆。5、機(jī)房控溫系統(tǒng)：原有空調(diào)利舊，暖氣計(jì)劃采用裝修包裝或者更換為新型彩鋼暖氣兩種預(yù)案，加裝溫濕度檢測(cè)儀表。6、機(jī)房綜合布線系統(tǒng)：要求整改廠家對(duì)機(jī)房進(jìn)行了綜合布線的設(shè)計(jì)，在各個(gè)功能區(qū)域相應(yīng)墻壁地面30厘米高度處設(shè)置了相應(yīng)數(shù)量的有網(wǎng)絡(luò)信息點(diǎn)、電話點(diǎn)。保證在每個(gè)機(jī)柜下方開鑿相應(yīng)的穿線孔（包括地板和線槽）。在地板下均安裝走線線槽，強(qiáng)電和弱電線槽相距30厘米以上。信號(hào)光纖及中繼線纜均整改后放入線槽敷設(shè)；光纖布防：保護(hù)套管切口應(yīng)光滑，否則要用絕緣膠布等做防割處理；尾纖綁扎不應(yīng)過緊，尾纖在線扣環(huán)中可抽動(dòng)為宜，不能有扎痕；布放后不應(yīng)有其它電纜或物品壓在上面。機(jī)柜內(nèi)的過長(zhǎng)尾纖應(yīng)整齊盤繞于盤纖盒內(nèi)或繞成直徑大于8cm的圈后固定。7、保留原巡檢系統(tǒng)涉及的巡檢按鈕操作板，施工時(shí)注意相關(guān)線纜的防護(hù)；第二部分：機(jī)房裝修設(shè)計(jì)及施工方案 機(jī)房裝飾：機(jī)房?jī)?nèi)放置有復(fù)雜的電子設(shè)備和通信設(shè)備，對(duì)裝飾的要求，主要是滿足通信設(shè)備對(duì)機(jī)房提出的技術(shù)要求，在機(jī)房裝飾藝術(shù)上以既大方舒適，又滿足其技術(shù)要求為原則。對(duì)裝飾材料的選擇要達(dá)到吸音、防火、防潮、防變形、抗干擾、防靜電等要求。裝飾后，要使整個(gè)機(jī)房色調(diào)柔和、通透寬敞、不壓抑、舒適。以其達(dá)到現(xiàn)代化的裝飾水平和視覺效果。 后續(xù)附機(jī)房裝修效果圖：1、機(jī)房高度設(shè)計(jì)正常要求為裝修后凈空高度（指活動(dòng)地板面至天花頂棚高度）為2.3米2.6米左右較為理想，這樣既能滿足人的視覺效果，不致于使人感到壓抑，又能減少空調(diào)的制冷量，以節(jié)約能源。2、機(jī)房天花設(shè)計(jì)考慮設(shè)備機(jī)房的技術(shù)要求以及機(jī)房高度要求，整個(gè)機(jī)房天花吊頂選用全鋁噴塑微孔天花板：色調(diào)柔和，不產(chǎn)生眩光、防火、防潮、易清潔、吸音，照明燈具均勻分布于天花吊頂上。施工要求：（1）對(duì)吊頂部分進(jìn)行防塵處理，刷防塵漆，確保天花基礎(chǔ)部分不起塵。（2）天花上部的照明線纜涉及線槽及天花板部份都要接地機(jī)房防靜電地板部分1、防靜電地板設(shè)計(jì)及選用標(biāo)準(zhǔn)（1）抗靜電地板電阻率：（1010710108） cm（2）分布載荷：大于1500kg/m2。集中載荷：大于200kg/m2（3）抗靜電活動(dòng)地板高度：35020mm（地板下空間為送風(fēng)靜壓箱）2、地板材料選型 視廠家報(bào)價(jià)選擇木質(zhì)、鋁合金防靜電活動(dòng)地板、鋼質(zhì)地板等種類；建議采用：復(fù)合抗靜電地板，該防靜電地板表面采用進(jìn)口抗靜電復(fù)合材料，抗靜電效果良好，此外還具有防火、防潮作用；該地板為無邊地板，配合精度高，且美觀、整潔、耐用、其抗靜電、耐磨、承受力等各項(xiàng)指標(biāo)均可與進(jìn)口復(fù)合抗靜電地板比美。安裝要求：建議機(jī)房防靜電活動(dòng)地板的安裝高度為300mm左右，活動(dòng)地板下面可以有較大空間用作機(jī)房?jī)?nèi)的強(qiáng)弱電管線鋪設(shè)和空調(diào)凈壓箱使用。3、防靜電地板施工方案首先對(duì)機(jī)房地面，作防塵、防水處理，再開始刷地臺(tái)漆二遍，起防潮、防霉作用，然后再刷防靜電水泥漆一遍。在地板安裝中，施工人員需嚴(yán)格按照?qǐng)D紙?jiān)O(shè)計(jì)，拉好對(duì)角線后再安裝地板，保證整體效果和配合精度。地板板面標(biāo)高300350mm，具有足夠空間形成地板下凈壓風(fēng)庫(kù)并結(jié)合供配電系統(tǒng)的設(shè)計(jì)及施工。在地板施工中，要求注意異形地板（如風(fēng)口地板、走線地板、電源插座安裝地板等）的安裝。另外需保證地板工程的防靜電效果、接地效果。第三部分 機(jī)房外纜整改及設(shè)備支座制作1、電纜纜綁扎整齊不交叉，路由合理，便于今后維護(hù)和擴(kuò)容。2、電纜表面不能有劃傷，中間不允許有接頭，轉(zhuǎn)彎處應(yīng)圓滑。3、信號(hào)線和電源線分開綁扎，間距大于3CM。4、電源線不允許盤繞，一般交流電源線和直流電源線分開綁扎5、外纜接頭處應(yīng)加裝防護(hù)箱；電源線與其它線纜分開走線出口處需進(jìn)行膠泥封堵，并增加相應(yīng)標(biāo)示；XX機(jī)房新增機(jī)柜缺失支座，安裝完畢后另增加靜電防護(hù)板，入設(shè)備纖纜增加波紋管并做好防護(hù)；安裝細(xì)則：機(jī)柜所有進(jìn)出線孔應(yīng)封閉處理，如采用小蓋板的縫隙寬度不大于1個(gè)蓋板寬度，采用布袋式的袋口應(yīng)綁扎緊固；采用塑膠件的出線口大小切割應(yīng)合適?，F(xiàn)場(chǎng)也可采取整齊美觀、絕緣、阻燃的材料進(jìn)行可靠封閉。設(shè)備支座采用標(biāo)準(zhǔn)支座，安裝后要求設(shè)備底座與防靜電地板平齊，并加裝防靜電防護(hù)板；五、 機(jī)房綜合工程設(shè)計(jì)標(biāo)準(zhǔn) 新機(jī)房按國(guó)家標(biāo)準(zhǔn)B級(jí)標(biāo)準(zhǔn)機(jī)房設(shè)計(jì)和規(guī)劃。本方案按機(jī)房建設(shè)方案依據(jù)標(biāo)準(zhǔn)（B級(jí)）設(shè)計(jì)，依據(jù)以下國(guó)家標(biāo)準(zhǔn)：中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例建筑與建筑群綜合布線系統(tǒng)工程設(shè)計(jì)規(guī)范（CECS72:97）電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范 （GB 500571994）低壓配電設(shè)計(jì)規(guī)范（GB 50054-1995）電纜線路施工及驗(yàn)收規(guī)范（GB 50168-1992）計(jì)算機(jī)機(jī)房用活動(dòng)地板技術(shù)條件（GB 6650-1986）通風(fēng)與空調(diào)工程施工及驗(yàn)收規(guī)范GBJ 243-1982工業(yè)企業(yè)通信接地設(shè)計(jì)規(guī)范GBJ79-1985電氣裝置安裝工程接地裝置施工及驗(yàn)收規(guī)范（GB 50169-1992）六、 效果圖電源標(biāo)簽安裝圖用戶線標(biāo)簽安裝圖8、 機(jī)房設(shè)備整改方案建設(shè) 8.1 優(yōu)化后信息化建設(shè)拓?fù)鋱D8.2 IP地址及區(qū)域設(shè)計(jì)根據(jù)本項(xiàng)目需求，本方案將重新設(shè)計(jì)IP地址編址，重設(shè)計(jì)網(wǎng)絡(luò)區(qū)域結(jié)構(gòu)。具體如下:區(qū)域VLAN安全域外網(wǎng)/非信任域辦公區(qū)獨(dú)立VLAN1獨(dú)立安全域領(lǐng)導(dǎo)區(qū)獨(dú)立VLAN2獨(dú)立安全域應(yīng)用區(qū)獨(dú)立VLAN200獨(dú)立安全域數(shù)據(jù)庫(kù)獨(dú)立VLAN500獨(dú)立安全域文件存儲(chǔ)獨(dú)立VLAN100獨(dú)立安全域8.3 路由設(shè)計(jì)本技術(shù)改造方案主要通過路由技術(shù)，采用靜態(tài)路由技術(shù)引導(dǎo)數(shù)據(jù)流向走向，分離業(yè)務(wù)流量，提升業(yè)務(wù)效率。設(shè)備網(wǎng)絡(luò)地址下一跳地址防火墻防火墻模式防病毒網(wǎng)關(guān)部署根據(jù)用戶現(xiàn)場(chǎng)實(shí)際環(huán)境規(guī)劃網(wǎng)絡(luò)行為審計(jì)系統(tǒng)透明部署ZTE三層交換DHCP內(nèi)網(wǎng)核心入侵防御系統(tǒng)透明部署數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)旁路部署8.4 區(qū)域設(shè)計(jì)本方案設(shè)計(jì)的網(wǎng)絡(luò)結(jié)構(gòu)呈現(xiàn)出區(qū)域化，層次化構(gòu)架，主要目的是為了便于網(wǎng)絡(luò)管理、維護(hù)以及安全策略的針對(duì)性部署。各區(qū)域結(jié)構(gòu)如下所述：（1） Internet區(qū)域Internet區(qū)域?qū)⒃袉⒚鞣阑饓Σ渴馂榛ヂ?lián)網(wǎng)防火墻，連接新增的100M光纖鏈路，為檔案局內(nèi)網(wǎng)區(qū)域所有需要上網(wǎng)的終端和服務(wù)器提供Internet代訪問的防護(hù)，并設(shè)置相應(yīng)管理策略，控制Internet訪問權(quán)限和訪問應(yīng)用類型，保證Internet安全訪問的需求。（2） 樓層接入?yún)^(qū)域樓層接入?yún)^(qū)域?yàn)槿?0.1.x.0/24網(wǎng)段，與原網(wǎng)絡(luò)構(gòu)架保持不變。其訪問安全策略主要由其他區(qū)域的網(wǎng)關(guān)防火墻根據(jù)源端進(jìn)行設(shè)置。（3） 核心網(wǎng)區(qū)域部署防病毒網(wǎng)關(guān)做為出口網(wǎng)關(guān)設(shè)備，具備高速轉(zhuǎn)發(fā)的能力，在數(shù)據(jù)進(jìn)行內(nèi)外網(wǎng)交換機(jī)的時(shí)候并發(fā)進(jìn)行蠕蟲病毒的防護(hù)和殺毒過濾，保證上網(wǎng)內(nèi)網(wǎng)的安全。滿足82號(hào)令的要求進(jìn)行網(wǎng)絡(luò)綜合行為的管控設(shè)計(jì)、存儲(chǔ)日志的能力到達(dá)60天以上，并且具備公安部門認(rèn)證資質(zhì)，在下一階段安全評(píng)測(cè)做好基礎(chǔ)服務(wù)。（4） 服務(wù)器區(qū)域服務(wù)器區(qū)域設(shè)計(jì)為如/24網(wǎng)段，所有服務(wù)器網(wǎng)關(guān)指向核心交換機(jī)服務(wù)器區(qū)區(qū)域接口，即如。服務(wù)器區(qū)域主要有檔案信息化應(yīng)用服務(wù)器、WEB服務(wù)器、信息化數(shù)據(jù)庫(kù)服務(wù)器、文件服務(wù)器、存儲(chǔ)區(qū)域網(wǎng)絡(luò)(SAN)設(shè)備等。所有服務(wù)器流量均由山石網(wǎng)科入侵防御系統(tǒng)根據(jù)安全策略控制訪問，開啟3000種入侵規(guī)則防護(hù)策略，應(yīng)用防護(hù)策略。安全策略采用白名單方式，根據(jù)源目IP地址以及目標(biāo)端口進(jìn)行設(shè)置，最大限度的保證外部區(qū)域?qū)Ψ?wù)器區(qū)域的安全訪問。（5） 內(nèi)容終端區(qū)域開啟此技術(shù)特有功能，有效對(duì)內(nèi)網(wǎng)數(shù)據(jù)、設(shè)備接口進(jìn)行控制網(wǎng)絡(luò)及終端安全設(shè)計(jì)方案（2） 網(wǎng)絡(luò)系統(tǒng)拓?fù)鋱D（3） 網(wǎng)絡(luò)安全優(yōu)化方案描述1 網(wǎng)絡(luò)綜合行為審計(jì)與控制網(wǎng)絡(luò)的內(nèi)容日益豐富，變得復(fù)雜、多樣化。當(dāng)今，互聯(lián)網(wǎng)進(jìn)入了應(yīng)用級(jí)網(wǎng)絡(luò)時(shí)代，大量未知的內(nèi)容和信息紛紛涌進(jìn)網(wǎng)絡(luò)，病毒、黑客攻擊、內(nèi)部員工泄密等防不勝防，然而這些問題的本質(zhì)是“管理”，如何管理員工上網(wǎng)行為，規(guī)范上網(wǎng)行為成為了每個(gè)企業(yè)首要面臨的問題。目前，用戶面臨網(wǎng)絡(luò)管理問題具體如下：v 無法為員工的上網(wǎng)行為進(jìn)行有效管理 隨著業(yè)務(wù)不斷的擴(kuò)展，工作人員大大的擴(kuò)充，現(xiàn)有的設(shè)備中已經(jīng)無法滿足公司的對(duì)員工上網(wǎng)行為的管理。v 關(guān)鍵業(yè)務(wù)流量無法保證，帶寬受到嚴(yán)重堵塞 雖然企業(yè)有很高的帶寬，可是網(wǎng)絡(luò)還是常常造成擁堵，網(wǎng)絡(luò)中存在著大量的P2P軟件，不能有效的管理和封堵，使得辦公系統(tǒng)運(yùn)轉(zhuǎn)不順暢，辦公網(wǎng)頁(yè)無法打開，嚴(yán)重影響了正常業(yè)務(wù)的順利進(jìn)行。v 發(fā)現(xiàn)異常流量無法有效定位員工的不合理訪問網(wǎng)絡(luò)，帶來多種隱患，導(dǎo)致網(wǎng)絡(luò)中充斥著大量病毒（如ARP病毒）。病毒在局域網(wǎng)內(nèi)傳輸，制造網(wǎng)絡(luò)攻擊，常常造成網(wǎng)絡(luò)的中斷。v 檔案信息化機(jī)密數(shù)據(jù)的保密無法得到真正的保障防火墻只能防御外部的侵襲，對(duì)于內(nèi)部數(shù)據(jù)的泄露顯得蒼白無力，電子郵件、MSN/QQ 以及 BBS 論壇等網(wǎng)絡(luò)應(yīng)用固然給企業(yè)帶來了網(wǎng)絡(luò)化使用的方便同時(shí)也是造成公司機(jī)密文檔泄密的途徑，必須進(jìn)行必要的管理。v 非法網(wǎng)站的訪問帶來了較多的法律風(fēng)險(xiǎn)員工的上網(wǎng)不節(jié)制行為利用企業(yè)內(nèi)部網(wǎng)絡(luò)訪問反動(dòng)，色情，違反法律等網(wǎng)站，發(fā)表不發(fā)的言論等，這些都會(huì)給企業(yè)帶來負(fù)面影響以及要肩負(fù)起法律責(zé)任，需要對(duì)這種行為進(jìn)行限制。v 上班做私事，利用局里網(wǎng)絡(luò)享受上網(wǎng)娛樂，降低工作效率員工在工作時(shí)間玩網(wǎng)絡(luò)游戲、看網(wǎng)絡(luò)電視、炒股等等，既占用公司正常業(yè)務(wù)流量也嚴(yán)重影響了員工的工作效率，帶來企業(yè)無形資產(chǎn)的損失。涉及到的管理 帶寬管理 如何令有限的帶寬合理分配使用，需要上網(wǎng)行為管理提供精細(xì)網(wǎng)絡(luò)帶寬管理功能?？筛鶕?jù)主機(jī)(單 IP、IP 組、用戶組)、服務(wù)(服務(wù)組)、應(yīng)用程序、時(shí)間、URL、文件類型等不同參數(shù)，提供靈活組合來實(shí)現(xiàn)帶寬的預(yù)留、保障和限制。 控制風(fēng)險(xiǎn)管理信息安全是一個(gè)復(fù)雜的系統(tǒng)工程。要實(shí)施一個(gè)完整的網(wǎng)絡(luò)與信息安全體系，應(yīng)包括一下三個(gè)結(jié)合： * 根據(jù)國(guó)家與企業(yè)切身情況制定相關(guān)網(wǎng)絡(luò)管理規(guī)章制度，行政與技術(shù)部門切實(shí)規(guī)章制度的落實(shí)。* 網(wǎng)絡(luò)安全技術(shù)的加入，如防火墻技術(shù)、網(wǎng)絡(luò)防毒、身份認(rèn)證、授權(quán)等。提供安全的網(wǎng)絡(luò)邊界。* 對(duì)上網(wǎng)行為進(jìn)行審計(jì)和管理。提供實(shí)時(shí)監(jiān)控企業(yè)網(wǎng)絡(luò)安全狀態(tài)、提供實(shí)時(shí)改變安全策略的能力、對(duì)現(xiàn)有的安全漏洞進(jìn)行查漏補(bǔ)缺等，以防患于未然。 合規(guī)管理國(guó)家互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定、信息安全等級(jí)保護(hù)、企業(yè)信息系統(tǒng)風(fēng)險(xiǎn)管理等安全指導(dǎo)，均對(duì)學(xué)校、政府、企業(yè)、銀行互聯(lián)網(wǎng)訪問的控制、審計(jì)提出要求。公安部33號(hào)令以及2006年3月1日頒布實(shí)施的公安部82號(hào)令，都對(duì)互聯(lián)網(wǎng)使用單位內(nèi)部用戶的上網(wǎng)行為提出了行為審計(jì)和記錄的要求，尤其82號(hào)令要求互聯(lián)網(wǎng)訪問行為日志“至少留存60天”。 行為管理通過策略與日志，管理者可以跟蹤網(wǎng)絡(luò)中的任何操作。對(duì)用戶上網(wǎng)行為操作做出規(guī)范管理，減少內(nèi)部泄密行為與病毒傳播隔離。2 防病毒網(wǎng)關(guān)系統(tǒng)隨著網(wǎng)絡(luò)應(yīng)用的不斷發(fā)展，越來越多的木馬入侵、病毒等攻擊通過網(wǎng)絡(luò)進(jìn)行實(shí)施及傳播，病毒傳播的范圍廣、速度快，對(duì)網(wǎng)絡(luò)用戶造成了難以估量的損害。在金融網(wǎng)絡(luò)中，由于內(nèi)部網(wǎng)絡(luò)與外界連接方式多樣，聯(lián)系業(yè)務(wù)眾多，因此，在應(yīng)用中難免也存在木馬、病毒及惡意程序等泛濫傳播的情況。為了解決病毒及惡意程序通過網(wǎng)絡(luò)的傳播問題，很多安全廠家，開始嘗試發(fā)布病毒防護(hù)網(wǎng)關(guān)。但是，多數(shù)設(shè)備廠商都遇到了一個(gè)很大的技術(shù)難題，就是網(wǎng)關(guān)病毒防護(hù)會(huì)消耗大量的網(wǎng)關(guān)設(shè)備資源，而對(duì)數(shù)據(jù)的轉(zhuǎn)發(fā)及處理造成很大的延時(shí)，成為數(shù)據(jù)快速轉(zhuǎn)發(fā)的瓶頸，降低網(wǎng)絡(luò)使用效率。Hillstone山石網(wǎng)科公司為了解決網(wǎng)絡(luò)病毒傳播及網(wǎng)關(guān)查殺毒性能瓶頸的問題，提出了全新的第二代網(wǎng)關(guān)防毒設(shè)計(jì)理念，采用全新多核處理器+ASIC+高速交換總線的硬件設(shè)計(jì)，結(jié)合基于并行流的殺毒機(jī)制，為了提高病毒查殺的識(shí)別能力，整合了殺毒業(yè)內(nèi)知名防毒公司病毒庫(kù)，最終實(shí)現(xiàn)了高性能的網(wǎng)關(guān)病毒防護(hù)功能。Hillstone山石網(wǎng)科產(chǎn)品的病毒防護(hù)功能主要有以下特性：l 基于64位多核處理器的設(shè)計(jì)架構(gòu)，滿足病毒防護(hù)對(duì)CPU和內(nèi)存資源的高需求。多核CPU及專業(yè)的64位專用安全系統(tǒng)，確保了CPU的高效性能輸出。l 基于并行流掃描機(jī)制的殺毒引擎，充分發(fā)揮硬件優(yōu)勢(shì)，確保病毒處理的高性能。l 先進(jìn)的多核CPU并行處理方式，硬件數(shù)據(jù)包重組，確保了高性能。l 基于流的多層壓縮文件解壓。確保對(duì)壓縮文件中病毒的徹底查殺。l 整合成熟知名殺毒廠家病毒庫(kù)的實(shí)時(shí)自動(dòng)升級(jí)，確保了最短時(shí)間內(nèi)，及時(shí)的響應(yīng)對(duì)最新病毒的查殺需求。l 支持對(duì)HTTP、FTP、POP3、SMTP和IMAP協(xié)議殺毒。能夠及時(shí)發(fā)現(xiàn)多種常用協(xié)議傳輸數(shù)據(jù)中的病毒，進(jìn)行有效的處理l 中斷傳輸會(huì)話、殺毒、日志記錄等多種處理機(jī)制。對(duì)于發(fā)現(xiàn)有病毒傳播的數(shù)據(jù)流，可以設(shè)置多種處理方式。l 網(wǎng)關(guān)殺毒支持透明、路由、混合模式?？梢詽M足各種網(wǎng)絡(luò)環(huán)境部署需要。l 病毒防護(hù)功能開啟時(shí)最大吞吐量達(dá)1.68G保證用戶的主干鏈路數(shù)據(jù)傳輸延時(shí)不會(huì)過大，可讓用戶放心使用Hillstone山石網(wǎng)科安全網(wǎng)關(guān)。Hillstone山石網(wǎng)科的病毒過濾網(wǎng)關(guān)通過高性能、高可升級(jí)性解決方案，能滿足金融網(wǎng)絡(luò)現(xiàn)今低延遲和低響應(yīng)時(shí)間應(yīng)用的需求。如果配合網(wǎng)絡(luò)版防病毒軟件一起使用，這樣為金融用戶網(wǎng)絡(luò)的病毒防護(hù)起到一個(gè)雙保險(xiǎn)的作用，效果更為顯著。3 部署內(nèi)網(wǎng)安全方案詳解： 信息保密管理：IP-guard嚴(yán)格控制網(wǎng)絡(luò)連接，綜合考慮政府文件的各種存在狀態(tài)與訪問途徑，全方位多角度的保證機(jī)密文件只在可控范圍內(nèi)流通，文件安全無懈可擊?？刂凭W(wǎng)絡(luò)接入，保證訪問安全 外部入侵檢測(cè)：系統(tǒng)登記網(wǎng)絡(luò)內(nèi)計(jì)算機(jī)，即時(shí)檢測(cè)是否有新計(jì)算機(jī)接入內(nèi)網(wǎng)，對(duì)非法接入的計(jì)算機(jī)進(jìn)行阻止，限制個(gè)人電腦隨意接入內(nèi)網(wǎng)，防止外部計(jì)算機(jī)非法入侵對(duì)政府信息網(wǎng)絡(luò)造成的文件泄密與系統(tǒng)風(fēng)險(xiǎn)。 內(nèi)部通訊控制：設(shè)定網(wǎng)內(nèi)計(jì)算機(jī)相互通訊權(quán)限，有效控制不同部門間的網(wǎng)絡(luò)訪問，保證需要保護(hù)的敏感計(jì)算機(jī)的安全?？刂仆獠吭O(shè)備，防止外設(shè)泄密 控制網(wǎng)內(nèi)計(jì)算機(jī)外部設(shè)備的使用權(quán)限，包括存儲(chǔ)設(shè)備、通訊設(shè)備、USB設(shè)備、網(wǎng)絡(luò)設(shè)備及其他主流的計(jì)算機(jī)外部設(shè)備，并可監(jiān)控禁止新設(shè)備的使用，多種途徑阻止外接設(shè)備造成敏感文件外流 各類設(shè)備控制可細(xì)化到最小分類，如USB設(shè)備可細(xì)分鍵盤、鼠標(biāo)、光驅(qū)、Modem等，最大限度保證正常的設(shè)備應(yīng)用控制移動(dòng)存儲(chǔ)，防止U盤泄密 對(duì)指定移動(dòng)存儲(chǔ)設(shè)備中存取的文檔進(jìn)行自動(dòng)透明加解密，U盤超出可信使用范圍即無法訪問，保證機(jī)密文件即使不慎流出也不會(huì)泄露導(dǎo)致嚴(yán)重后果 分類管理內(nèi)部流通的移動(dòng)存儲(chǔ)設(shè)備，只有經(jīng)過認(rèn)證加密的設(shè)備才可以在系統(tǒng)中使用，在保證合理應(yīng)用的同時(shí)防止敏感文檔經(jīng)由非法存儲(chǔ)設(shè)備流出控制文檔操作，強(qiáng)化操作審計(jì) 靈活限定網(wǎng)內(nèi)計(jì)算機(jī)對(duì)特定文件的操作權(quán)限，包括創(chuàng)建、訪問、移動(dòng)、修改、刪除、重命名等，防止敏感文件被泄露或刪除 當(dāng)有設(shè)定的非法操作出現(xiàn)時(shí)，自動(dòng)報(bào)警并備份文檔，防止文件被篡改或者刪除而造成嚴(yán)重后果 完整記錄網(wǎng)內(nèi)計(jì)算機(jī)文檔操作，多種條件靈活查詢，以便有重大事件發(fā)生時(shí)進(jìn)行審計(jì) 定時(shí)記錄客戶端屏幕畫面，支持輸出為通用格式視頻文件存檔，便于在事件發(fā)生時(shí)直觀還原事件原貌控制打印操作，防止打印泄密 嚴(yán)格控制打印機(jī)的使用權(quán)限，控制打印程序，防止敏感文件通過打印途徑泄露的同時(shí)，還可以管理打印消耗 多個(gè)項(xiàng)目詳細(xì)記錄打印操作，并可完整記錄每次打印的映像圖像，直觀查看打印內(nèi)容，便于發(fā)生問題時(shí)追根溯源控制外發(fā)工具，防止傳輸泄密 限制通過即時(shí)通訊工具如QQ、MSN等傳輸文件，支持在傳輸時(shí)進(jìn)行備份以降低文件損失風(fēng)險(xiǎn)，持續(xù)更新并支持絕大部分的即時(shí)通訊工具 控制郵件發(fā)送，阻止向不被允許的收件人發(fā)送郵件，控制附件的使用，支持在發(fā)送附件時(shí)自動(dòng)進(jìn)行備份，降低文件損失風(fēng)險(xiǎn) 必要時(shí)也可禁止指定類別的IM及郵件程序的使用，即使改變程序名也繼續(xù)有效，徹底杜絕通過網(wǎng)絡(luò)傳輸泄密的風(fēng)險(xiǎn)如需要，可提供即時(shí)通訊記錄查看與郵件完整記錄功能 系統(tǒng)應(yīng)用管理：IP-guard全面控制網(wǎng)內(nèi)計(jì)算機(jī)應(yīng)用程序與網(wǎng)絡(luò)應(yīng)用，完整的審計(jì)為IT管理者提供依據(jù)，杜絕安全隱患，做到專機(jī)專用，專網(wǎng)專用，有效提升應(yīng)用效率。管理應(yīng)用程序，保持系統(tǒng)高效 自動(dòng)收集網(wǎng)內(nèi)計(jì)算機(jī)運(yùn)行的各類程序，分類管理客戶端運(yùn)行的應(yīng)用程序，防止危險(xiǎn)程序運(yùn)行帶來的未知風(fēng)險(xiǎn) 合理限制某些與政務(wù)無關(guān)的應(yīng)用程序的使用，如游戲、炒股等，符合政府內(nèi)網(wǎng)專機(jī)專用的要求，保持系統(tǒng)高效應(yīng)用 對(duì)網(wǎng)內(nèi)計(jì)算機(jī)程序運(yùn)行狀況進(jìn)行統(tǒng)計(jì)，生成報(bào)表，為管理提升提供依據(jù)如需要，可提供客戶端屏幕即時(shí)查看功能，方便管理管理網(wǎng)頁(yè)瀏覽，降低染毒及未知風(fēng)險(xiǎn) 控制網(wǎng)內(nèi)計(jì)算機(jī)訪問網(wǎng)站的范圍，限制訪問無關(guān)網(wǎng)頁(yè)，完全禁止訪問色情、暴力、反動(dòng)網(wǎng)頁(yè)，預(yù)防病毒、木馬等安全威脅及政治風(fēng)險(xiǎn) 策略設(shè)置靈活，支持黑名單和白名單，可以分時(shí)段、分類別進(jìn)行控制 詳細(xì)記錄統(tǒng)計(jì)網(wǎng)內(nèi)計(jì)算機(jī)網(wǎng)頁(yè)瀏覽狀況，生成直觀圖表，方便管理者發(fā)現(xiàn)問題管理網(wǎng)絡(luò)流量，高效利用帶寬資源 限制客戶端網(wǎng)絡(luò)流量，禁止P2P下載、在線視聽等無關(guān)網(wǎng)絡(luò)應(yīng)用，防治網(wǎng)絡(luò)擁堵，保證正常政務(wù)處理業(yè)務(wù)流量，使帶寬資源得到最優(yōu)利用 可針對(duì)時(shí)段、端口、IP地址等參數(shù)靈活控制，實(shí)現(xiàn)更加人性化的管理 統(tǒng)計(jì)客戶端流量使用情況，迅速發(fā)現(xiàn)網(wǎng)絡(luò)擁堵癥結(jié)所在，為網(wǎng)絡(luò)資源分配提供依據(jù) 維護(hù)與資產(chǎn)管理：IP-guard加強(qiáng)集中管理，遠(yuǎn)程維護(hù)簡(jiǎn)化冗繁工作，輕松管理補(bǔ)丁與漏洞，保證系統(tǒng)持續(xù)穩(wěn)定；全面資產(chǎn)管理讓國(guó)有資產(chǎn)絕不輕易流失。簡(jiǎn)化系統(tǒng)管理，迅速排除故障 實(shí)時(shí)遠(yuǎn)程查看網(wǎng)內(nèi)計(jì)算機(jī)進(jìn)程、性能等運(yùn)行狀態(tài)，分析故障原因并進(jìn)行遠(yuǎn)程協(xié)助，快速排除故障，解決系統(tǒng)問題 支持遠(yuǎn)程連接操作網(wǎng)內(nèi)計(jì)算機(jī)桌面，方便進(jìn)行協(xié)助或者示范操作 支持文件在客戶端與控制機(jī)間雙向傳送，方便內(nèi)部溝通便捷資產(chǎn)管理，保衛(wèi)國(guó)有資產(chǎn) 即時(shí)監(jiān)控網(wǎng)內(nèi)計(jì)算機(jī)軟硬件資產(chǎn)狀態(tài)，包括硬件、操作系統(tǒng)、應(yīng)用程序等，記錄資產(chǎn)變更，保證國(guó)有資產(chǎn)絕不流失 支持自定義管理非IT資產(chǎn)， 擴(kuò)大資產(chǎn)管理的覆蓋范圍，查詢便捷強(qiáng)化補(bǔ)丁及漏洞管理，讓系統(tǒng)無懈可擊 集中掃描網(wǎng)內(nèi)計(jì)算機(jī)補(bǔ)丁安裝情況，及時(shí)下載并集中部署安裝，保證系統(tǒng)安裝最新補(bǔ)丁，及時(shí)修補(bǔ)嚴(yán)重威脅漏洞 集中掃描網(wǎng)內(nèi)計(jì)算機(jī)系統(tǒng)漏洞，包括權(quán)限、密碼及系統(tǒng)設(shè)置等問題，提出改進(jìn)建議，幫助消除安全隱患快捷軟件分發(fā)，便利程序安裝 便捷制作軟件安裝包，部署任務(wù)，分發(fā)到系統(tǒng)內(nèi)各計(jì)算機(jī)并自動(dòng)安裝，大大減輕IT管理人員逐機(jī)部署應(yīng)用程序的負(fù)擔(dān)，方便應(yīng)用軟件在內(nèi)部的大規(guī)模應(yīng)用 支持復(fù)制特定程序或文件到客戶端，簡(jiǎn)化文件分發(fā)，加快信息傳遞（4） 使用產(chǎn)品選型設(shè)備需求品牌參數(shù)生產(chǎn)地網(wǎng)絡(luò)行為綜合審計(jì)系統(tǒng)網(wǎng)神北京防病毒網(wǎng)關(guān)山石北京內(nèi)網(wǎng)安全系統(tǒng)溢信內(nèi)網(wǎng)終端管控系統(tǒng)廣州IT運(yùn)維與庫(kù)房機(jī)房環(huán)境動(dòng)力安全（1） 建設(shè)目標(biāo)1 在中心機(jī)房和庫(kù)房獨(dú)立部署整體的機(jī)房動(dòng)力和環(huán)境監(jiān)控。主要包括精密空調(diào)（或家用空調(diào)）、UPS運(yùn)行狀態(tài)監(jiān)控、溫濕度、煙感和漏水監(jiān)控、配電柜開關(guān)及市電監(jiān)控。2 對(duì)機(jī)房?jī)?nèi)運(yùn)行的各應(yīng)用系統(tǒng)平臺(tái)的可用性、以及支撐應(yīng)用系統(tǒng)運(yùn)行的網(wǎng)絡(luò)設(shè)備、服務(wù)器、數(shù)據(jù)庫(kù)等的運(yùn)行狀態(tài)進(jìn)行監(jiān)控。3 提供機(jī)房動(dòng)力環(huán)境長(zhǎng)期的監(jiān)控報(bào)告，提供機(jī)房?jī)?nèi)各系統(tǒng)及設(shè)備長(zhǎng)期運(yùn)行狀態(tài)分析報(bào)告。4 當(dāng)不利的動(dòng)力和環(huán)境狀況出現(xiàn)時(shí)，當(dāng)網(wǎng)內(nèi)內(nèi)各系統(tǒng)及設(shè)備運(yùn)行異常時(shí)能進(jìn)行聲音、監(jiān)控屏幕彈出窗、手機(jī)短信、電子郵件遠(yuǎn)程報(bào)警等各種手段的預(yù)警，以及在發(fā)生故障時(shí)進(jìn)行迅速的警告。5 資產(chǎn)管理?？蓪?duì)設(shè)備的使用壯況如名稱、型號(hào)、購(gòu)買日期、質(zhì)保時(shí)間、使用人（處室）等提供在線管理。（2） 建設(shè)原則1 安全生產(chǎn)的原則：由于網(wǎng)絡(luò)系統(tǒng)的重要性，各種技術(shù)方案、產(chǎn)品、客戶化工作的實(shí)際實(shí)施必須經(jīng)過充分的測(cè)試和驗(yàn)證，并需精心設(shè)計(jì)實(shí)施方案，以保證不會(huì)對(duì)用戶現(xiàn)有網(wǎng)絡(luò)的正常運(yùn)行和業(yè)務(wù)系統(tǒng)的正常使用造成任何影響；同時(shí)，應(yīng)充分考慮工程實(shí)施過程中的回退和應(yīng)急方案，以保證在最短時(shí)間內(nèi)恢復(fù)由于新系統(tǒng)的實(shí)施對(duì)網(wǎng)絡(luò)造成的影響。2 開放性原則：網(wǎng)絡(luò)系統(tǒng)管理平臺(tái)需要基于開放的管理平臺(tái)，遵循業(yè)界標(biāo)準(zhǔn)，并提供開放、靈活的信息交互及管理接口，能提供開發(fā)接口，方便擴(kuò)展管理功能，并且支持第三方廠商的應(yīng)用集成，為產(chǎn)品的選型提供更高的靈活性。3 可用性原則：網(wǎng)絡(luò)系統(tǒng)管理平臺(tái)的部署不需對(duì)原有的網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)、安全策略等方面做較大修改和調(diào)整，對(duì)原有網(wǎng)絡(luò)系統(tǒng)性能影響最小化，盡量少的占用網(wǎng)絡(luò)資源、被監(jiān)控服務(wù)器資源不得超過現(xiàn)有資源的百分之五，可定期自動(dòng)清除“垃圾”文件和“垃圾”數(shù)據(jù)。4 健壯性原則網(wǎng)絡(luò)系統(tǒng)管理平臺(tái)具有較強(qiáng)的免維護(hù)能力，能夠長(zhǎng)時(shí)間穩(wěn)定運(yùn)行，自身維護(hù)要求簡(jiǎn)單，具有快速恢復(fù)功能。5 擴(kuò)展性原則：網(wǎng)絡(luò)系統(tǒng)管理平臺(tái)具有較強(qiáng)的擴(kuò)展性，能夠在包括管理范圍、管理功能、管理數(shù)量等方面提供靈活、多樣的擴(kuò)展能力。6 展示形式多樣性原則：網(wǎng)絡(luò)系統(tǒng)管理平臺(tái)能夠?qū)κ占臄?shù)據(jù)進(jìn)行分析處理，生成技術(shù)、運(yùn)維管理等層面的相關(guān)報(bào)表、視圖等，根據(jù)不同級(jí)別用戶的實(shí)際需求，提供靈活、多樣的展示形式，能提供中文界面。7 可定制原則：提供靈活的部署方式，在客戶化、管理策略、事件關(guān)聯(lián)、報(bào)警方式、報(bào)表生成、信息展示、管理流程等方面可以按實(shí)際需求進(jìn)行定制，并支持用戶的二次開發(fā)。8 成熟優(yōu)先、適度超前原則：系統(tǒng)整體設(shè)計(jì)應(yīng)該統(tǒng)一規(guī)范，模塊設(shè)計(jì)清晰合理，通信接口明確透明，能夠有效地實(shí)現(xiàn)后臺(tái)一體化管理。在此基礎(chǔ)上，該網(wǎng)絡(luò)管理系統(tǒng)應(yīng)具有適度的先進(jìn)性。（3） 解決方案1 監(jiān)控系統(tǒng)簡(jiǎn)介“飛思網(wǎng)巡”是創(chuàng)新和領(lǐng)先的IT運(yùn)維管理硬件產(chǎn)品。“極簡(jiǎn)”的設(shè)計(jì)提供全網(wǎng)IP通信線路，以及機(jī)房IP網(wǎng)絡(luò)全面監(jiān)控預(yù)警解決方案。內(nèi)容包括DDN專線和VPN隧道等通信線路、服務(wù)器的硬件和各種操作系統(tǒng)、數(shù)據(jù)庫(kù)和應(yīng)用系統(tǒng)、網(wǎng)絡(luò)設(shè)備的運(yùn)行狀態(tài)和性能，IP和應(yīng)用流量分析，機(jī)房動(dòng)力環(huán)境等。“飛思網(wǎng)巡”系統(tǒng)為方便的全Web方式配置和管理，以“簡(jiǎn)約”設(shè)計(jì)為核心，使用簡(jiǎn)單，運(yùn)行安全穩(wěn)定。系統(tǒng)為旁路接入用戶IP網(wǎng)絡(luò)中。它不改變?nèi)魏尉W(wǎng)絡(luò)結(jié)構(gòu)，帶來新的單點(diǎn)故障，對(duì)網(wǎng)絡(luò)帶來不利影響，對(duì)監(jiān)控管理目標(biāo)影響極低。系統(tǒng)具有全面的監(jiān)控管理功能，主要對(duì)用戶的機(jī)房網(wǎng)絡(luò)基礎(chǔ)設(shè)施和IT系統(tǒng)帶來全面的監(jiān)控、管理、預(yù)警和運(yùn)維能力。2 架構(gòu)“飛思網(wǎng)巡”專用系統(tǒng)基于高效安全Linux內(nèi)核，全web配置管理，運(yùn)行更穩(wěn)定可靠，監(jiān)控預(yù)警更快速準(zhǔn)確。優(yōu)化的核心程序，對(duì)網(wǎng)絡(luò)帶寬占用極低，同時(shí)對(duì)目標(biāo)網(wǎng)絡(luò)設(shè)備和服務(wù)器性能影響極低。系統(tǒng)主要由數(shù)據(jù)采集、數(shù)據(jù)儲(chǔ)存和分析處理、B/S可視化人機(jī)界面、報(bào)警等模塊組成，并提供多種擴(kuò)展組件。系統(tǒng)架構(gòu)1 數(shù)據(jù)采集模塊數(shù)據(jù)采集模塊通過SNMP、WMI、SYSLOG、IPMI、各種應(yīng)用層協(xié)議（ICMP、HTTP、FTP、TELNET、SMTP、POP3等）及私有協(xié)議，對(duì)網(wǎng)絡(luò)專線（DDN、VPN）、網(wǎng)絡(luò)設(shè)備、服務(wù)器、各種應(yīng)用和數(shù)據(jù)庫(kù)系統(tǒng)、機(jī)房環(huán)境等進(jìn)行各種數(shù)據(jù)采集，提交到數(shù)據(jù)儲(chǔ)存和分析模塊處理。2 數(shù)據(jù)儲(chǔ)存和分析模塊數(shù)據(jù)儲(chǔ)存和分析處理模塊對(duì)采集模塊提交的的數(shù)據(jù)進(jìn)行分析，確定監(jiān)控目標(biāo)的狀態(tài)（正常、一級(jí)和二級(jí)告警、錯(cuò)誤等），向B/S可視化人機(jī)界面模塊提交狀態(tài)信息。同時(shí)，將數(shù)據(jù)儲(chǔ)存到數(shù)據(jù)庫(kù)中，提供接口供人機(jī)界面模塊進(jìn)行歷史數(shù)據(jù)查詢。3 B/S可視化人機(jī)界面模塊B/S可視化人機(jī)界面模塊通過web對(duì)用戶提供配置、管理和告警接口。用戶通過web進(jìn)行系統(tǒng)配置、監(jiān)控目標(biāo)配置，查看網(wǎng)絡(luò)拓?fù)鋱D和監(jiān)控目標(biāo)的狀態(tài)，查詢歷史數(shù)據(jù)生成詳盡的性能曲線圖、故障和告警歷史記錄，生成報(bào)表。人機(jī)界面也提供完整的管理員操作日志查詢、配置備份和恢復(fù)、系統(tǒng)手動(dòng)和自動(dòng)升級(jí)等多種管理功能。4 預(yù)警模塊預(yù)警模塊通過人機(jī)界面的彈出窗口和聲音進(jìn)行聲光預(yù)警，同時(shí)支持通過發(fā)送電子郵件和手機(jī)短信等多種手段進(jìn)行預(yù)警。5 擴(kuò)展組件 系統(tǒng)提供流量分析、機(jī)房動(dòng)力環(huán)境、設(shè)備日志儲(chǔ)存管理等多種組件，根據(jù)需要可靈活擴(kuò)展。l 流量分析組件通過netflow/sflow/抓包分析等進(jìn)行IP和應(yīng)用流量統(tǒng)計(jì)、TOPN列表、故障診斷、帶寬容量規(guī)劃決策等高級(jí)功能。l 機(jī)房動(dòng)力環(huán)境組件結(jié)合動(dòng)力和環(huán)境探測(cè)設(shè)備，可以實(shí)現(xiàn)對(duì)機(jī)房動(dòng)力（市電）、環(huán)境參數(shù)（溫度、濕度、煙霧、漏水）和UPS、精密空調(diào)等智能設(shè)備的監(jiān)控預(yù)警。l 日志儲(chǔ)存服務(wù)組件通過SYSLOG協(xié)議接收和儲(chǔ)存被監(jiān)控的網(wǎng)絡(luò)設(shè)備、服務(wù)器的日志。提供查詢和管理，快速發(fā)現(xiàn)和定位存在的設(shè)備和服務(wù)器安全事件，設(shè)置指定關(guān)鍵字日志監(jiān)控預(yù)警等高級(jí)功能。3 建議方案1 機(jī)房方案圖中心機(jī)房和兩小機(jī)房全面監(jiān)控預(yù)警方案圖在中心機(jī)房和兩小機(jī)房各部署一臺(tái) “飛思網(wǎng)巡”硬件設(shè)備，以及相應(yīng)的環(huán)境監(jiān)控設(shè)備。如上圖所示。2 主要應(yīng)用價(jià)值1. 實(shí)現(xiàn)對(duì)機(jī)房的各應(yīng)用系統(tǒng)，以及支撐業(yè)務(wù)系統(tǒng)運(yùn)行的網(wǎng)絡(luò)、服務(wù)器、數(shù)據(jù)庫(kù)、機(jī)房動(dòng)力和環(huán)境等基礎(chǔ)設(shè)施的安全性、可靠性、穩(wěn)定性和性能表現(xiàn)進(jìn)行深入監(jiān)控，以及能提前預(yù)知故障和排除故障，避免對(duì)中心業(yè)務(wù)帶來影響。主要內(nèi)容為：a) 機(jī)房動(dòng)力環(huán)境：市電/UPS等動(dòng)力情況，溫度/濕度/煙霧/漏水等環(huán)境參數(shù)。b) 應(yīng)用系統(tǒng)：業(yè)務(wù)系統(tǒng)/OA/ERP/WEB/郵件系統(tǒng)/中間件等可用性、響應(yīng)時(shí)間和運(yùn)行狀態(tài)。c) 網(wǎng)絡(luò)設(shè)備：CPU/內(nèi)存/Flash/端口狀態(tài)和流量等。d) 服務(wù)器：機(jī)箱、CPU溫度/風(fēng)扇轉(zhuǎn)速/電源等硬件狀態(tài)；CPU/內(nèi)存/磁盤空間/IO讀寫/網(wǎng)口狀態(tài)和流量/進(jìn)程服務(wù)等操作系統(tǒng)性能狀態(tài)。e) 數(shù)據(jù)庫(kù)：表空間/響應(yīng)速度等數(shù)據(jù)庫(kù)性能指標(biāo)。f) 鏈路：上網(wǎng)專線/到異地DDN和VPN/互聯(lián)鏈路的通斷/丟包率/延時(shí)和流量等。g) 流量分析：通過netflow/sflow/抓包分析等進(jìn)行IP和應(yīng)用流量統(tǒng)計(jì)、TOPN列表、故障診斷、帶寬容量規(guī)劃決策。h) SYSLOG收集分析：集中管理網(wǎng)絡(luò)設(shè)備/服務(wù)器等的日志信息，快速發(fā)現(xiàn)和定位存在的設(shè)備和服務(wù)器安全事件。i) 預(yù)警和管理：設(shè)置兩級(jí)閥值，彈出窗口/電子郵件/短信預(yù)警，實(shí)現(xiàn)運(yùn)維流程管理。2. 不斷提升網(wǎng)絡(luò)管理人員的工作效率，與服務(wù)器中心的整體發(fā)展要求相適應(yīng)。3. 通過監(jiān)控系統(tǒng)對(duì)服務(wù)器定時(shí)關(guān)閉開啟的能力，打造節(jié)能綠色機(jī)房。3 方案特點(diǎn)“飛思網(wǎng)巡”硬件平臺(tái)，是創(chuàng)新和領(lǐng)先的硬件產(chǎn)品，具有鮮明的特點(diǎn)，主要為：1. 硬件產(chǎn)品，旁路接入，全web管理，簡(jiǎn)單易用。2. 基于linux定制的專業(yè)操作系統(tǒng)，集成數(shù)據(jù)庫(kù)，降低成本，不會(huì)感染病毒，長(zhǎng)時(shí)間不間斷運(yùn)行，高效安全。3. 創(chuàng)新的“云技術(shù)”應(yīng)用，實(shí)現(xiàn)可靠的分布式部署，集中監(jiān)控。4. 優(yōu)化的數(shù)據(jù)采集程序設(shè)計(jì)，對(duì)帶寬占用低、目標(biāo)網(wǎng)絡(luò)設(shè)備、服務(wù)器等性能占用接近零。5. 對(duì)服務(wù)器定時(shí)關(guān)閉開啟的能力，打造節(jié)能綠色機(jī)房。6. 加強(qiáng)的預(yù)警機(jī)制，多級(jí)閥值設(shè)定，電子郵件和短信通知準(zhǔn)確迅速。7. 模塊化設(shè)計(jì)，定制支持能力更強(qiáng)。4 產(chǎn)品選型本項(xiàng)目建議選用專用硬件平臺(tái)，通過跟高效和安全的Linux操作系統(tǒng)、模塊化設(shè)計(jì)的軟件進(jìn)行優(yōu)化整合，形成的一體化產(chǎn)品具有更高的穩(wěn)定性、性能，并且易于部署和維護(hù)。中心機(jī)房（一套）設(shè)備需求品牌參數(shù)生產(chǎn)地”IT運(yùn)維管理與機(jī)環(huán)動(dòng)環(huán)監(jiān)控系統(tǒng)飛思全web配置管理，可視化圖形界面，自定義首頁(yè)，曲線圖循環(huán)播放展示。IP和網(wǎng)段自動(dòng)掃描，自動(dòng)分類，自動(dòng)形成樹形結(jié)構(gòu)。手機(jī)短信、電子郵件、彈出窗口等多種種報(bào)警方式，支持多級(jí)閥值設(shè)定。對(duì)DDN和VPN等鏈路的可用性、質(zhì)量進(jìn)行監(jiān)控。對(duì)主流網(wǎng)絡(luò)廠家的網(wǎng)絡(luò)設(shè)備進(jìn)行監(jiān)控，包括ping存活探測(cè)，cpu、內(nèi)存、存儲(chǔ)器空間、接口流量等運(yùn)行狀態(tài)。對(duì)F5負(fù)載均衡設(shè)備業(yè)務(wù)性能提供深入支持。主流服務(wù)器廠商的服務(wù)器（支持IPMI協(xié)議）的硬件狀態(tài)進(jìn)行監(jiān)控，包括服務(wù)器內(nèi)部環(huán)境溫度、主板溫度、CPU溫度、CPU風(fēng)扇轉(zhuǎn)速、電源狀態(tài)、電源電壓、CPU電壓、CMOS電池容量等。并且可實(shí)現(xiàn)遠(yuǎn)程開關(guān)機(jī)等管理功能。對(duì)Windows、Linux、AIX、HP-UX、Vmware ESX(i)/vSphere等操作系統(tǒng)的服務(wù)器的ping存活、系統(tǒng)資源（cpu、內(nèi)存和磁盤空間）、接口流量、進(jìn)程等進(jìn)行監(jiān)控。支持對(duì)HTTP、HTTPS、FTP、Telnet、FTP、ICMP、IMAP、Pop3、SMTP和任意TCP端口上的應(yīng)用服務(wù)進(jìn)行監(jiān)控。對(duì)廣泛應(yīng)用的IIS、Apache、Nginx，以及Tomcat、Weblogic、WebSphere中間件等服務(wù)的詳細(xì)運(yùn)行狀態(tài)和性能參數(shù)進(jìn)行監(jiān)控。對(duì)Oracle、Mysql、SqlServer、DB2等主流數(shù)據(jù)庫(kù)進(jìn)行表空間利用率、數(shù)據(jù)文件的每秒I/O操作、已連接的用戶數(shù)等眾多參數(shù)進(jìn)行監(jiān)控。對(duì)機(jī)房溫濕度、漏水、煙霧等環(huán)境參數(shù)，以及市電和UPS等動(dòng)力狀況進(jìn)行監(jiān)控（需要額外的附加探頭支持）。支持歷史性能曲線、故障和通知?dú)v史記錄、管理員操作歷史記錄和報(bào)表功能，支持導(dǎo)出excel格式的報(bào)表。支持基于角色定義的分級(jí)權(quán)限管理支持自動(dòng)網(wǎng)段掃描和智能向?qū)渲?，以及網(wǎng)絡(luò)拓?fù)鋱D功能，支持導(dǎo)入機(jī)房真實(shí)圖片及拓?fù)鋱D。支持PING、Traceroute、CheckTCP、SNMPWALK、Ipmitool等診斷工具。支持遠(yuǎn)程協(xié)助，提供在線幫助系統(tǒng)。本次配置30個(gè)監(jiān)控網(wǎng)元，3套溫濕一體型傳感器，1路纜式水浸傳感，2個(gè)煙霧傳感器，1套三相智能電量檢測(cè)儀，1個(gè)開關(guān)量采集器，1路智能設(shè)備監(jiān)控主機(jī)（精密空調(diào)，1路智能設(shè)備監(jiān)控主機(jī)（UPS），1個(gè)GSM短信貓北京詳細(xì)描述如下：監(jiān)控系統(tǒng)主設(shè)備“飛思網(wǎng)巡”IT運(yùn)維管理設(shè)備1000型（需支持監(jiān)控30IP）Web方式配置管理，采集網(wǎng)絡(luò)、服務(wù)器、數(shù)據(jù)庫(kù)、機(jī)房動(dòng)力和環(huán)境等基礎(chǔ)設(shè)施等各種數(shù)據(jù)，分析數(shù)據(jù)，提供歷史記錄和報(bào)表，發(fā)送電子郵件、手機(jī)短信等報(bào)警信息。1安裝在機(jī)柜中。通過網(wǎng)線接入交換機(jī)。網(wǎng)絡(luò)型動(dòng)力環(huán)境監(jiān)控設(shè)備APEM6300環(huán)境監(jiān)控主機(jī)可總線式接入最多8路TH3101（數(shù)字溫濕一體型傳感器。如需接入超過8路，可定制）。帶3路開關(guān)量輸入，可接入共3路漏水和煙霧監(jiān)控。帶1路485接口。帶液晶顯示。1APEM6300安裝在機(jī)房入口處，并將TH3101安裝在需監(jiān)測(cè)溫濕度的地方。如墻壁和機(jī)柜位置。APEM6300通過網(wǎng)線接入交換機(jī)。TH3101數(shù)字溫濕一體型傳感器數(shù)字溫濕一體型傳感器3APEM6300帶3個(gè)TH3101。5803纜式水浸傳感器區(qū)域漏水檢測(cè)。含控制器，引出線，（5米）感應(yīng)線，終止端，固定膠貼。1安裝在精密空調(diào)主機(jī)周圍。通過2根信號(hào)線接入環(huán)境主機(jī)的開關(guān)量端口。668煙霧傳感器離子型。2安裝在機(jī)房2個(gè)需重點(diǎn)監(jiān)測(cè)煙霧的天花板上。通過2根信號(hào)線接入環(huán)境主機(jī)的開關(guān)量端口。AJ34三相智能電量檢測(cè)儀液晶顯示，485通信端口。測(cè)量三相四線制電力線路的電壓、電流、頻率、功率因數(shù)、有功功率、無功功率、總基波功率、總諧波功率，有功電度、無功電度。1安裝在配電柜內(nèi)。通過2根信號(hào)線接入環(huán)境主機(jī)的485端口。D86開關(guān)量采集器485通信端口。監(jiān)控空氣開關(guān)狀態(tài)。1安裝在配電柜內(nèi)。通過2根信號(hào)線與AJ34三相智能電量?jī)x手拉手鏈接，最終接入環(huán)境主機(jī)的485端口。TS100智能設(shè)備監(jiān)控主機(jī)（精密空調(diào)）485通信端口及以太網(wǎng)口。監(jiān)控精密空調(diào)運(yùn)行狀態(tài)。1安裝在精密空調(diào)控制板附近。通過2根信號(hào)線將485通信端口連接精密空調(diào)485通訊端口。通過網(wǎng)線將以太網(wǎng)口接入交換機(jī)。TS100智能設(shè)備監(jiān)控主機(jī)（UPS）RS-232通信端口及以太網(wǎng)口。監(jiān)控UPS運(yùn)行狀態(tài)。1安裝在UPS附近。通過UPS隨機(jī)附帶的串口線纜（如不了解，需咨詢UPS廠家）連接RS-232通信端口與UPS智能通信口。通過網(wǎng)線將以太網(wǎng)口接入交換機(jī)。短信發(fā)送附件GSM短信貓用于發(fā)送預(yù)警短信。USB接口。1通過USB線纜連接“飛思網(wǎng)巡”IT運(yùn)維管理設(shè)備USB端口。數(shù)據(jù)中心的存容災(zāi)備份與安全（1） 數(shù)據(jù)中心現(xiàn)狀（2） 數(shù)據(jù)中心優(yōu)化后方案1 數(shù)據(jù)中心防入侵系統(tǒng)在檔案局服務(wù)器入口處處部署一套網(wǎng)絡(luò)入侵防御系統(tǒng)，通過設(shè)置檢測(cè)與阻斷策略對(duì)流經(jīng)入侵防御系統(tǒng)的網(wǎng)絡(luò)流量進(jìn)行分析過濾，并對(duì)異常及可疑流量進(jìn)行積極阻斷，同時(shí)向管理員通報(bào)攻擊信息，從而提供對(duì)網(wǎng)絡(luò)系統(tǒng)內(nèi)部IT資源的安全保護(hù)。入侵防御系統(tǒng)能夠在第一時(shí)間阻斷各種非法攻擊行為，比如利用網(wǎng)絡(luò)系統(tǒng)薄弱點(diǎn)進(jìn)行的直接攻擊和增加網(wǎng)絡(luò)流量負(fù)荷造成網(wǎng)絡(luò)環(huán)境惡化的DoS攻擊等。保護(hù)關(guān)鍵業(yè)務(wù)隔離企業(yè)內(nèi)網(wǎng)攻擊hillstone網(wǎng)絡(luò)入侵防御系統(tǒng)解決方案優(yōu)勢(shì)1） 它可以完成多種協(xié)議的格式解析l 按照協(xié)議來劃分，沒有協(xié)議特性的歸入全端口檢測(cè) l 當(dāng)前支持個(gè)協(xié)議 ：DNS、FTP、HTTP、POP3、SMTP、Telnet l 支持3000多個(gè)signature的檢測(cè)l 結(jié)合應(yīng)用識(shí)別模塊可以檢測(cè)非標(biāo)準(zhǔn)端口 2） 對(duì)于HTTP的防護(hù)非常細(xì)致顆?；疕TTP 防護(hù)分類：l Web平臺(tái) l Web認(rèn)證 l Web授權(quán) l 輸入驗(yàn)證 l Web數(shù)據(jù)存儲(chǔ)（例如SQL） l XML Web服務(wù) l Web應(yīng)用管理 l Web客戶端 l DOS 3） 支持IPS在線模擬和IPS模式l IPS在線模擬模式，僅提供協(xié)議異常和網(wǎng)絡(luò)攻擊行為的告警、日志功能，不對(duì)檢出攻擊做reset、block操作。l IPS模式，提供協(xié)議異常和網(wǎng)絡(luò)攻擊行為的告警、reset、阻斷功能。4） 提供防御暴力破解功能，并在設(shè)定時(shí)間內(nèi)阻斷后續(xù)認(rèn)證登陸嘗試l 暴力破解，檢測(cè)每分鐘對(duì)多允許的登錄（密碼驗(yàn)證）嘗試次數(shù)。如果超過配置閾值，則根據(jù)用戶配置的行為進(jìn)行處理。l 對(duì)SMTP、POP3、FTP、Telnet協(xié)議提供暴力破解功能。l 暴力破解被認(rèn)為是一個(gè)”Critical”級(jí)別事件。 5） 對(duì)網(wǎng)絡(luò)攻擊事件分為Info、warning、critical三個(gè)安全級(jí)別，可根據(jù)安全級(jí)別對(duì)網(wǎng)絡(luò)攻擊行為設(shè)定告警、重置及block的操作。l 安全級(jí)別設(shè)置三級(jí)，Information、Warning、Critical。l 用戶針對(duì)不同安全級(jí)別可配置不同的操作，包括僅記錄日志、重置連接、阻斷攻擊IP或service。6） 提供服務(wù)器信息保護(hù)l 由于Web、Mail、FTP等服務(wù)器安全設(shè)置級(jí)別不高，可能在應(yīng)用交互過程中泄露服務(wù)器版本等重要信息，成為黑客進(jìn)行入侵攻擊的通道之一。l IPS提供HTTP、SMTP、POP3、FTP服務(wù)器信息的保護(hù)功能，替換在應(yīng)用交互中服務(wù)器回應(yīng)給客戶端的信息。 7） 提供協(xié)議異常和網(wǎng)絡(luò)攻擊行為的告警、reset、阻斷功能8） 提供詳細(xì)的攻擊防護(hù)日志輸出 9） 提供詳盡的在線幫助文檔，幫助用戶了解IPS檢測(cè)出的網(wǎng)絡(luò)攻擊行為的詳細(xì)信息及解決方案10） 提供用戶基于signature id、application、ip、user、zone、interface的入侵次數(shù)統(tǒng)計(jì)集設(shè)置。用戶可通過這些統(tǒng)計(jì)集從不同緯度分析網(wǎng)絡(luò)攻擊行為。11） 支持IPS特征庫(kù)及IPS相關(guān)配置的雙機(jī)熱備功能l 支持IPS 特征庫(kù)的批量及實(shí)時(shí)同步l 支持IPS相關(guān)配置的批量及實(shí)時(shí)同步Hillstone山石網(wǎng)科入侵防御系統(tǒng)能夠提供很好的內(nèi)網(wǎng)攻擊防護(hù)功能，結(jié)合來自網(wǎng)絡(luò)外部的攻擊防護(hù)功能，能全面杜絕內(nèi)網(wǎng)ARP、DDoS攻擊和外部非可信網(wǎng)絡(luò)的攻擊，全面、高效、安全的保護(hù)用戶的網(wǎng)絡(luò)，還用戶一個(gè)安全、干凈、舒適的信息環(huán)境。l 高可靠性和穩(wěn)定性依靠積累多年被證實(shí)的專業(yè)硬件安全產(chǎn)品研發(fā)和市場(chǎng)經(jīng)驗(yàn)，Hillstone山石網(wǎng)科入侵防御系產(chǎn)品無論在軟件還是硬件的穩(wěn)定性和可靠性上都有了進(jìn)一步提高。全面優(yōu)化的軟硬件系統(tǒng)的穩(wěn)定性和高可靠性為網(wǎng)絡(luò)流量和網(wǎng)絡(luò)攻擊日益膨脹的xxx單位網(wǎng)絡(luò)IT環(huán)境提供了強(qiáng)大的保障。l 最低的總體擁有成本Hillstone山石網(wǎng)科入侵防御系提供了非常友好的使用和管理界面，部署簡(jiǎn)單、易于維護(hù)和管理。靈活的特性可以滿足不同用戶不同應(yīng)用環(huán)境的需求。獨(dú)特創(chuàng)新的新一代網(wǎng)絡(luò)安全架構(gòu)提供給用戶最大化的可擴(kuò)展能力，最大化地保護(hù)用戶投資。l 強(qiáng)健的專用實(shí)時(shí)操作系統(tǒng)Hillstone山石網(wǎng)科入侵防御系采用了專用的64位實(shí)時(shí)并行操作系統(tǒng)StoneOS，其并行處理能力和模塊化的結(jié)構(gòu)易于集成和擴(kuò)展更多的安全功能。針對(duì)新一代多核處理器進(jìn)行的全面優(yōu)化和安全加固極大地提高了系統(tǒng)處理效率、穩(wěn)定性和安全性。模塊化和并行多任務(wù)的處理機(jī)制，為Hillstone山石網(wǎng)科入侵防御系提供了極大的可擴(kuò)展能力，包括支持更多的核處理器和集成更多的安全功能。l 強(qiáng)大的抗攻擊能力Hillstone山石網(wǎng)科入侵防御系的多核處理器具有天生的高性能內(nèi)容安全處理能力，結(jié)合專用定制操作系統(tǒng)，能夠提供高性能的應(yīng)用安全處理能力和更強(qiáng)的應(yīng)用層抗攻擊能力。Hillstone山石網(wǎng)科入侵防御系每秒能夠提供多達(dá)40萬的TCP會(huì)話請(qǐng)求，具有超強(qiáng)的SYN Flood抗攻擊能力和DDoS抗攻擊能力。產(chǎn)品選型設(shè)備需求品牌參數(shù)生產(chǎn)地入侵防御系統(tǒng)山石網(wǎng)科北京2 數(shù)據(jù)中心數(shù)據(jù)審計(jì)由于政府和企事業(yè)單位的數(shù)據(jù)庫(kù)系統(tǒng)都實(shí)現(xiàn)了網(wǎng)絡(luò)化訪問，內(nèi)部用戶可以方便地利用內(nèi)部網(wǎng)絡(luò)通過各種通訊協(xié)議進(jìn)行刺探，獲取、刪除或者篡改重要的數(shù)據(jù)和信息。同時(shí)，一些內(nèi)部授權(quán)用戶由于對(duì)系統(tǒng)不熟悉而導(dǎo)致的誤操作也時(shí)常給數(shù)據(jù)庫(kù)系統(tǒng)造成難以恢復(fù)的損失。此外，對(duì)于使用IT外包和代維的大型機(jī)構(gòu)而言，如何限制外部人員對(duì)數(shù)據(jù)庫(kù)系統(tǒng)的訪問權(quán)限也是一個(gè)難題，外包方的技術(shù)工程師可能在開發(fā)數(shù)據(jù)庫(kù)應(yīng)用的時(shí)候留下后門或者幽靈帳號(hào)，為將來侵入數(shù)據(jù)庫(kù)系統(tǒng)埋下隱患。另一方面，為了保護(hù)敏感信息、加強(qiáng)內(nèi)控，國(guó)家強(qiáng)制機(jī)關(guān)和行業(yè)的主管部門相繼頒布了各種保護(hù)公民隱私，以及合規(guī)和內(nèi)控方面的法律法規(guī)和指引，例如企業(yè)內(nèi)部控制基本規(guī)范、銀行業(yè)信息科技風(fēng)險(xiǎn)管理指引、證券公司內(nèi)部控制指引、保險(xiǎn)公司風(fēng)險(xiǎn)管理指引（試行）等。其中中華人民共和國(guó)刑法（七）第253條明確規(guī)定“國(guó)家機(jī)關(guān)或者金融、電信、交通、教育、醫(yī)療等單位的工作人員，違反國(guó)家規(guī)定，將本單位在履行職責(zé)或者提供服務(wù)過程中獲得的公民個(gè)人信息，出售或者非法提供給他人，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單處罰金?！贝送?，在國(guó)際上，美國(guó)政府針對(duì)上市公司的薩班斯（SOX）法案、針對(duì)醫(yī)療衛(wèi)生機(jī)構(gòu)的HIPAA法案、針對(duì)聯(lián)邦政府機(jī)構(gòu)的FISMA法案，支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)（PCI DSS）都對(duì)信息保護(hù)和內(nèi)控提出了嚴(yán)格的要求。這些條例和指引都要求對(duì)網(wǎng)絡(luò)中的重要數(shù)據(jù)庫(kù)系統(tǒng)進(jìn)行專門的安全審計(jì)?？梢哉f，隨著安全需求的不斷提升，網(wǎng)絡(luò)安全已經(jīng)從以防范外部入侵和攻擊為主逐漸轉(zhuǎn)變?yōu)橐苑乐箖?nèi)部違規(guī)和信息泄露為主了。在這種情況下，政府和企事業(yè)單位迫切需要一款專門針對(duì)網(wǎng)絡(luò)中數(shù)據(jù)庫(kù)