还剩44页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
电子政务外网升级改造项目目录
1.建设背景
2.县电子政务外网现状
3.存在的问题
3.1互联网出口
3.2骨干网络
3.3安全防护
4.建设内容
4.1链路
4.2骨干网络
4.3安全防护
4.4业务系统
4.5机房整改虚拟化服务器浪潮NF5280M5互联网服务器区、数据中心各配置一台2U服务器台24虚拟化软件浪潮InCloud Sphere为2台服务器的4颗CPU购买虚拟化授权套1存储浪潮AS2600G2互联网服务器区、数据中心共用一套存储,存储不低于20T台16多链路负载均衡设备深信服AD-1000-D620吞吐量NlOGbps,并发连接数400万,4层新建连接数CPS25万,7层新建连接数RPS34万,具备6个千兆电口、4个千兆光口、2个万兆光口具备全局负载、链路负载、应用负载、访问优化、IPv6转换等功能台入侵防御设备网御星云Leadsec-6000IPS-5200FM2U上架设备,1个RJ-45Console口,1个10/100/1000Base-T带外管理口,1个10/100/1000Base-T HA口,4个具备BYPASS功能的10/100/1000Base-T接口,4个千兆光口,2个USB口,双电源,含嵌入式软件,引擎软件一套,入侵防护系统数据中心软件一套最大并发300万,最大吞吐量6G,最大IPS吞吐量4G,三年硬件质保三年IPS特征库升级服务,台28出口防火墙网御星云Power V6000-F4510E标准2U设备,冗余电源;标准配置6个10/100/1000M Base-TX接口,4个千兆光口,4个扩展槽位;整机吞吐量210G,最大并发连接数2500万,每秒新建连接数218万;三年硬件质保台29上网行为管理深信服AC-1000-H440吞吐量24Gbps,审计性能2Gbps,支持终端数15000;2U,冗余电源;具备8个千兆电口、4个千兆光口、4个万兆光口具备用户认证、行为管控、流量控制、行为审计、终端安全检查、安全准入、管控非法内联和非法外联等功能;设备生产厂商是《上网行为管理系统安全评价规范》RB/T204-2014的主要起草单位之一台2隔离防火墙网御星云Power V6000-F6510E标准2U设备,冗余电源;标准配置6个10/100/1000M Base-TX接口和4个SFP插槽,6个扩展槽位;整机吞吐量222G,最大并发连接数2800万,每秒新建连接数225万;三年硬件质保台111数据库审计深信服DAS-1000-A6201U设备,具备6个千兆电口、2个千兆光口,SQL处理性能15000条SQL语句/s;日志存储10亿条;从四大方向全面保护数据库中数据的安全保护对数据库非法操作及时告警与审计数据库安全审计系统内置大量安全规则,针对各种非法操作如业务系统使用grant.客户端sp_addrolemember提权、web端sp_addrolemember提权、查询内置敏感表、篡改内置敏感表等都能够准确识别与告警,保护数据库安全设备生产厂商是《信息安全技术信息系统安全审计产品技术要求和测试评价方法》的主要起草单位之一12堡垒机绿盟OSMSNX3-600C可管理路由器,交换机,防火墙,Windows/Linux/UNIX服务器;支持旁路部署,不改变网络架构支持集群部署;可管理资产数2200个;支持本地认证、RADIUS认证、AD域认证、LDAP域认证以及多种可配置的双因素认证等;支持设备、设备组管理、设备账号管理、账号密码定期修改、自动生成等;实配4*GE电口,2T SATA硬盘,总资产数100,三年维保日志审计深信服LAS-1000-C600();2U设备,单电源,具备6个千兆电口,内置200个主机审计许可证书可扩展支持通过页面直接将日志文件导入或以syslog方式接收日志信息;支持SNMP日志采集;支持以图表方式(饼图、柱图、曲线图)显示当日日志数据分布情况;支持Windows.Linux等操作系统、支持网络设备(交换机、路由器等)、安全(设备)、数据库系统、中间件Tomcat.Webspere.weblogic等)、应用系(统Web服务器、邮件服务器、OA、CRM等)日志集中管理与审计;设备生产厂商是《信息安全技术信息系统安全审计产品技术要求和测试评价方法》的主要起草单位之一台114运维管理系统飞思网巡V
5.0对网络设备进行可控管理套115防病毒软件金山V8+网络防病毒软件、支持客户端实时与服务端同步病毒库、提供100点位、2年时间授权点1001665寸电视机康佳B65U用于运维管理系统展示台117机柜兰贝NCE42-66-BAA42U网络机柜,新增设备放置台518理线架清华同方CP200L整理线路个2519配线架清华同方CP21024-M24模块理线架个820网线清华同方
5.建设规范
6.建设原则
7.设备部署以及网络拓扑图
7.1设备安装规划
7.2核心交换机
7.3汇聚交换机
7.4虚拟化服务器
7.5多链路负载均衡设备
7.6入侵防御设备
7.7出口防火墙
7.8上网行为管理
7.9隔离防火墙
7.10数据库审计
7.11堡垒机121光模块(千兆)国产SFP-GE-LX-SM1310-A用于带光口设备、核心交换区与各区域互联统一采用光纤连接个1222光模块(万兆)国产SFP-XG-LX-SM1310用于核心交换万兆板卡23网络跳线清华同方CJ410-3M整理机房杂乱线路,统一使用3M网络跳线进行设备连接根5024PDU拓贸隆8位16A-1U-PDU带防雷机柜供电个25机房整改实施费用//改造县政府中心机房强弱电设施,清理替换老化零部件、线路;整理机房线路;优化部署机房设备设施,新增5个机柜,理线架,配线架等综合布线设施,保障机房各项设备线路整齐有序项126运维服务//1名运维工程师驻点在县政府中心机房运维,3名机动运维工程师远程及不定期运维27系统集成费//对所有设备进行整体集成调试项128主链路租赁移动移动当地运营商提供4G互联网出口链路(租赁时间为一年),不能与备链路提供商为同一运营单位29备链路租赁联通联通当地运营商提供2G互联网出口链路(租赁时间为一年),不能与主链路提供商为同一运营单位条
14.1链路架设高可用性的电子政务外网链路,按电子政务外网应用推广需求,将还未接入电子政务外网的单位及部门接入到电子政务外网中来外网扩展到县委、县政府、县人大、县政协等单位,将除企业外的机关、事业单位全部融入进来;承载的业务从网上审批与电子监察系统,并整合全县各部门、各行业电子政务应用业务统一互联网出口,租赁电信、移动两条外网出口链路,将全县除企业外的机关、事业单位的所有公网出口全部统一,共用县电子政务外网的网
4.2干网络络出口,实现整体的管理、监控和安全部署及设备配置参数进行统的优化和调整对电子政务外网网络的设备部署、摆放全网IP地址、拓扑布局、以核心区是整个网络的枢纽,连接着政务中心的各个区域承担了内部数据流量和对外数据流量,在逻辑上成为可靠性、安全设计的中心核心区建议采用网络出口、核心层、汇聚层和接入层的架构模型,该架构模型具有如下的优势I层次化设计核心层、汇聚层、接入层,每层功能清晰,架构稳定,易于扩展和维护I模块化设计每一个模块一个部门,部门内部调整涉及范围小,定位问题也容易I冗余性设计双节点冗余性设计,适当的冗余性提高可靠性,过度的冗余不便于运行维护I对称性设计网络的对称性便于业务部署,拓扑直观,便于设计和分析互联网出口区指企业接入广域网和Internet的出口,互联网出口的主要功能是外部的互访,Internet网络的安全性低、可靠性低、费用低,WAN安全性高、可靠性高、费用高为保证WAN/Internet链路的高可靠性,可申请两条链路,实现冗余备份,也可以WAN作为主用链路,Internet作为备份链路互联网出口网关需要配置防火墙、IPS等,根据不同的安全性要求和投资规模选择安全部件互联网服务器区,数据中心以及运维管理区新增3台三层千兆交换机,对各类安全以及应用设备提供接入服务
4.3安全防护使得县电子政务外网达到三级等级保护的信息网络安全标准,解决电子政务外网出口,网络层及应用层攻击防御、主干链路上的安全设备吞吐瓶颈、完善安全设备冗余主备、优化网络行为、优化网络带宽利用率,并且对电子政务外网实现全面的运维审计和统一监管一般在政务外网出口部署双入侵防御,两台入侵防御呈主备或负载均衡的方式工作这样政务出口及核心交换机之间都有备份作用,保证了链路的可靠性对县政务外网出口,一般在出口部署双防火墙,两防火墙呈主备或负载均衡的方式工作在核心交换机之间采用直路全双归方式接入防火墙设备,两台防火墙设备之间采用主备或负载均衡方式连接这样,园区出口防火墙及核心路由器之间都有备份作用,保证了链路的可靠性互联网出口区新增2台上网行为管理设备,该系列产品可深度识别、管控和审计IM聊天软件、P2P下载软件、炒股软件、网络游戏应用、流媒体在线视频应用等近千种常见应用,并利用多级流控、精准阻断、智能路由等技术提供强大的带宽管理特性配合创新的网络应用行为精细化管理功能和清晰的易管理日志等功能该产品可以帮助企业及各类机构提升员工工作效率、营造安全办公环境,为用户提供一套综合、完善的上网行为审计解决方案运维管理区新增1台运维安全审计系统(堡垒机)设备,统一运维审计系统通过集中管理、监控与审计企业所有运维人员的操作行为,有效降低网络设备、服务器、数据库、业务系统等资源的内部运维风险,完善IT管理体系,同时满足相关法规、标准要求运维管理区新增1台日志审计系统设备,保证了日志统一采集、存储、审计平台,满足日志的统一管理和分析、上网的NAT追踪,用户的上网行为分析同时保证有效日志存储六个月以上,便于追根朔源取证互联网服务区部署网络防病毒软件1套,通过全网的防火墙策略,确保机房所有主机、服务器都能够访问网络防病毒软件服务器,下载防病毒客户端、升级病毒库数据中心部署内网防火墙1台,起到逻辑隔离外部数据,地址访问控制的作用数据中心部署数据库审计1台,能够实时记录网络上的数据库活动,对数据库操作进行细粒度审计的合规性管理,对数据库遭受到的风险行为进行告警,对攻击行为进行阻断它通过对用户访问数据库行为的记录、分析和汇报,用来帮助用户事后生成合规报告、事故追根溯源,同时加强数据库网络行为记录,提高数据资产安全数据中心部署备份一体机1台,对互联网服务区,数据中心的业务系统应用以及数据库进行容灾备份,保障出现故障等异常情况时,能够进行及时的数据恢复
4.4业务系统互联网服务区、数据中心区各部署虚拟化服务器一套,部署需要被互联网或者电子政务网访问的业务系统应用以及数据库,并预留一定的冗余空间,方便后期扩容
4.5机房整改改造县政府中心机房强弱电设施,清理替换老化零部件、线路;整理机房线路;优化部署机房设备设施,新增5个机柜,理线架,配线架等综合布线设施,保障机房各项设备线路整齐有序
4.6运维管理部署一套运维管理软件,方便运维管理人员能够直观的了解设备、网络运行状况,及时处理故障并组建专业的运维服务团队,并长期派驻1到2人对电子政务网核心机房以及县电子政务网网络进行运维服务
5.建设规范根据国家电子政务外网规范,国家电子政务外网按照管理层次划分,可分为一级网、二级网、三级网一级网络主要指中央广域骨干网、中央城域网二级网络主要指省级广域骨干网、省级城域网三级网络主要指地市级广域骨干网、地市级城域网另外,根据实际部署,在县市区级建立的电子政务外网,一般定义为四级网络,包括县级广域骨干网、县级城域网及乡镇接入根据国家电子政务外网所承载的业务和系统服务的类型不同,国家电子政务外网按照逻辑划分为专用网络区、公用网络区和互联网接入区三个功能区域,分别提供专用VPN业务、政务外网互连互通业务和互联网业务其中(公用网络区即采用国家电子政务外网注册地址59地址)的网络区域,是国家电子政务外网的主干道,实现各部门、各地区互连互通,为
8.13运维管理系统
8.14防病毒软件
8.路由、交换及IP地址规划
8.1命名规范
8.
1.1设备命名规范
8.
1.2命名规则
8.2路由规划
8.3交换设计
8.
3.1VLAN使用规范
8.
3.2端口互联规划Trunk设计
8.
3.3端口捆绑设计
8.4互联IP地址及VLAN规戈I」
8.
4.1互联地址56段规划
8.
4.2互联地址57段规划
9.机房改造跨地区、跨部门的业务应用提供支撑平台;国家电子政务外网承载网只路由国家电子政务外网注册地址专用网络区是依托国家电子政务外网基础设施,开辟为特定需求的部门或业务设置的VPN区域,实现不同部门或不同业务之间的相互隔离,VPN业务主要为各部门的敏感数据提供安全通道电子政务外网采用MPLS VPN技术将敏感业务数据与其他数据安全隔离,用于满足自上而下〃及〃自下而上”的业务需求,为省、市、县相关部门的互连互通提供安全通道该区域主要采用私有地址,在骨干网上采取标签进行交换互联网接入区是各级电子政务外网各部门通过逻辑隔离安全接入互联网的网络区域,满足各级政务部门使用互联网的需求,同时也是移动办公的公务人员通过数字证书认证安全接入电子政务外网的途径在互联网接入区,采取了综合的安全防护措施,如使用防火墙系统、入侵防御系统和网络防病毒系统等在接入区采用NAT技术,通过静态路由连接本地互联网
6.建设原则县电子政务外网建设应符合下列原则层次化将县电子政务网络划分为核心层、汇聚层、接入层每层功能清晰,架构稳定,易于扩展和维护模块化将网络中的每个部门或者每个功能区划分为一个模块,模块内部的调整涉及范围小,易于进行问题定位冗余性关键设备采用双节点冗余设计;关键链路采用Trunk方式冗余备份或者负载分担;关键设备的电源、主控板等关键部件冗余备份提高了整个网络的可靠性安全隔离电子政务网络应具备有效的安全控制按业务、按权限进行分区逻辑隔离,对特别重要的业务采取物理隔离可管理性和可维护性网络应当具有良好的可管理性为了便于维护,应尽可能选取集成度高、模块可通用的产品保护现有投资在保证前面原则的前提下尽量能利用已有设备进行未来的网络容量扩容改造或升级,并可与未来的网络平滑相接
7.设备部署以及网络拓扑县电子政务外网建设,将按照国家电子政务外网规范,在现有电子政务外网基础上,对县级电子政务外网骨干网进行升级改造将网络结构按功能建设成5个部分电子政务外网核心网、互联网服务区、数据中心、互联网出口区、运维管理区
7.1设备安装规划
7.2核心交换机从业务数据流向来看,核心路由交换机就是整个县电子政务外网的核心节点,地位非常重要,对于处理能力、稳定性、可靠性要求比较高,如果出现问题将影响全区政务外网核心层部署2台H3C S10508核心交换机设备,连接所有的接入交换机,转发各个政务单位之间的流量核心层需要采用全连接结构,保持核心层设备的配置尽量简单,并且和政务网业务无关核心层设备需要具有高带宽、高转发性能,否则将无法支撑政务网内外部业务流量部署3台千兆三层汇聚交换机,分别放置在互联网服务区、运维管理区、数据中心、作为各区域设备接入汇聚用汇聚层将众多的接入设备和大量用户经过一次汇聚后再接入到核心层,扩展核心层接入用户的数量汇聚层通常还作为用户三层网,关承担L2/L3边缘设备的角色,提供用户管理、安全管理、QoS QualityofService调度等各项跟用户和业务相关的处理
7.4虚拟化服务器配置四套虚拟化服务器,分别部署于互联网服务器区,以及数据中心,为节省投资,四套虚拟化服务器共用一套存储
7.5多链路负载均衡设备网络出口位置布署2台,接入移动、电信各一个G的互联网出口链路,对访问互联网的流量进行NAT转换,对外发布服务器业务系统与入侵防御互联、通过端口聚合的方式,通过聚合2个千兆接口,将流量发送至后端设备
7.6入侵防御设备一般在政务外网出口部署双入侵防御,两台入侵防御呈主备或负载均衡的方式工作这样政务出口及核心交换机之间都有备份作用,保证了链路的可靠性对政务外网出口,一般在出口部署双防火墙,两台防火墙呈主备或负载均衡的方式工作在核心交换机之间采用直路全双归方式接入防火墙设备,两台防火墙设备之间采用主备或负载均衡方式连接这样,园区出口防火墙及核心路由器之间都有备份作用,保证了链路的可靠性
7.8上网行为管理部署2台于互联网出口区、对所有上网流量进行审计,可以控制分时段、分应用类型、分带宽等策略控制上网流量,并能到处相应的上网行为报告
7.9隔离防火墙数据中心部署内网防火墙1台,起到逻辑隔离外部数据,地址访问控制的作用
7.10数据库审计数据中心部署数据库审计1台,能够实时记录网络上的数据库活动,对数据库操作进行细粒度审计的合规性管理,对数据库遭受到的风险行为进行告警,对攻击行为进行阻断它通过对用户访问数据库行为的记录、分析和汇报,用来帮助用户事后生成合规报告、事故追根溯源,同时加强数据库网络行为记录,提高数据资产安全
7.11堡垒机运维管理区新增1台运维安全审计系缴堡垒机股备,所有网络设备、服务器的运维操控都通过运维安全审计系统来实现,分配不同的管理员操作权限,可以对操作行为进行录屏,避免不信任的第三方人员的操作造成对单位的损伤
7.12日志审计运维管理区新增1台日志审计系统设备,大规模日志的统一的采集、存储、审计平台,满足日志的统一管理和分析、上网追溯NAT保证有效日志存储六个月以O上,便于追根朔源取证
8.13运维管理系统部署一套运维管理软件,方便后期管理人员能够直观的了解设备、网络运行状况,及时处理故障,100个点位授权要求
8.14防病毒软件网络防病毒软件、支持客户端实时与服务端同步病毒库、
8.路由、交换及IP地址规划
8.1命名规范数据中心设备命名规范应遵循以下原则:0网络设备在全网范围内命名唯0能标示网络设备的物理位置;0能标示网络设备所处的网络层次;0能标示网络设备的业务属性或功能;相同物理位置,网络层次,业务属性和类型的设备用不同序号区分
8.
1.2命名规则设备命名遵循以下格式物理位置标识-设备功能标识-设备编号”其中设备编号为可变部分,如果设备采用虚拟化(堆叠)配置,则使用(V虚拟化编号)取代设备编号部分设备属性标识,规定如下防火墙FW核心交换机HSW接入交换机ASW
8.2路由规划对一个大型网络来说,路由协议对网络的稳定高效运行、网络在拓扑变化时的快速收敛、网络带宽的充分有效利用、网络在故障时的快速恢复、网络的灵活扩展具有重要影响;同时对于网络承载业务的控制方面具有重要影响县电子政务外网路由协议的选择基本遵循以下原则:1)管理上层次分明,局部的变动不影响上层路由配置和全局路由配置)2技术上应尽量简单、灵活,以提高路由器的处理效率)3能够反映出整个网络的层次结构,并与自治域、各结点子网的IP地址分配相结合,做到合理的路由聚合,减少路由表的长度,减轻路由更新给网络带来的负荷政务外网路由器的管理地址和政务外网内部地址的路由由IGP承载;根据国家政务外网的设计原则,建议政务外网IGP采用标准协议OSPF或静态路由
1.3交换设计
1.
3.1VLAN使用规范为使VLAN名称简单的同时具有一定的标示性与可读性,VLAN命名将遵循以下格式业务VLAN:功能名互联VLAN:HULIAN”VLAN命名示例如下业务VLAN:SERVER互联VLAN:HULIAN
1.
3.2端口互联规划Trunk设计交换设备之间二层Trunk链路部署应遵循以下原则0交换设备间Trunk协议统一采用dotlq协议;0Trunk两端的native-vlan必须设为一致;0Trunk两端接口的速率和双工必须一致;0连接接入服务器的trunk线路应手工配置allow VLANO
1.
3.3端口捆绑设计交换设备间部署端口捆绑时应遵循以下原则0端口捆绑中所有端口的速率和双工必须一致;0端口捆绑应尽量使用不同接口卡上的接口;0端口捆绑中所有端口必须在同一个VLAN中,或都是Trunk端口;0部署在同一个接口卡或固定端口设备上的端口捆绑应使用不同接口控制器上的接口;0相同厂商交换机间端口捆绑使用LACP协议的Active模式;0不同厂商交换机之间,交换机与其它网络功能设备,如防火墙、负载均衡设备等使用手工on模式;
1.4互联IP地址及VLAN规划
1.
4.1互联地址56段规划
1.
4.2互联地址57段规划
9.机房改造
9.1吊顶吊顶吊顶是装饰工程的重要组成部分,吊顶材料应该不起尘、不吸尘,具有一定的吸音、防火、防水、防腐等性能,方便拆装、自重轻,有一定的强度,并具良好的装饰效果机房吊顶的铝扣板
9.1吊顶
9.2防静电地板93机柜及布线工程
10.运维服务规划
10.1服务目标
10.2服务内容
10.
2.1信息资产统计服务
10.
2.2中心机房运维服务
10.
2.3电子政务外网城域网运维
11.链路租赁
1.建设背景国家电子政务外网管理中心2015年2月正式发布《国家电子政务外网信息安全标准体系框架》《国家电子政务外网信息安全标准化工作规范》《国家电子政务外网安全接入平台技术规范》《国家电子政务外网安全监测体系技术规范与实施指南》《国家电子政务外网安全管理系统功能优质的铝扣板一般采用优质涂料,由进口全自动高速涂装线涂装,板面平整,无色差,涂层附着力强,能耐酸、碱、盐雾的侵蚀,长时间不变色,涂料不脱落,氟碳涂层板是户外使用的极为理想的装饰材料,使用寿命二十年以上,且保养方便,用水冲洗便洁净如新铝扣板板面平整,棱线分明,吊顶系统体现出整齐、大方、富贵高雅、视野开阔的外观效果铝扣板具备阻燃、防腐、防潮的优点,而且装拆方便,每件板均可独立拆装,方便施工和维护如需调换和清洁吊顶面板时,可用磁性吸盘或专用拆板器快速取板,也可在穿孔板背面覆加一层吸音面纸或黑色阻燃棉布,能够达到一定的吸音标准
9.2防静电地板准确来说,防静电地板应该叫做导静电地板静电地板的工作原理是通过地板表面上的那层物质将静电导入到地下众所周知,大地是传播静电的介质,而静电地板就是连接大地与工作场所产生的静电的装置极强的复合牢度优质的铝扣板精选高聚塑料与高分子材料经热压复合而成,一般经2小时沸水试验无粘合层破坏现象适温性强铝扣板一般可在较大的温度变化下使用,其优良性能不受影响重量轻,强度高一般每张板平均在
8.5公斤左右,在相同刚度情况下,重量远比其它材料轻隔音隔热、防震铝塑板具有金属和塑料的双重性能,其震动衰减系数是纯铝板的六倍,空气隔声量优于其他板材,且导热系数小,是理想的隔音、隔热、防震的建筑材料安全无毒、防火铝扣板的芯层是无毒的聚乙烯,其表面是非可燃的铝板,故表面燃烧特性符合建筑法规的耐火要求
9.3机柜及布线工程布线配置本系统设置为星型拓扑结构布线系统,结合本机房的实际用途,综合考虑以后机房区设备等可能的变化,综合布线系统进行冗余设计布线系统水平通道部分采用在地板下金属桥架敷设至各机柜处连接服务器设备机房内敷设双绞线沿机架安装,信息插座均布在机柜内,本工程中数据、语音采用不同标签加以识别本机房内的综合布线系统,包括金属线槽、金属套管、线缆、面板等,布线实施过程全程接地机柜选型机柜符合ANSI/EIA-RS310-C/D国际标准;机柜主体颜色为黑色;前后为高密度网孔静载承重可达1000KG网孔的通风面积高达80%,通风率255%,内部的〃2mm厚度的19方孔条可前后调节,并可兼容一切标准的19”设备的安装机柜上下走线均可含1套10A的PDU,固定板3块,风扇4只,重载脚轮及支撑地脚给4只,螺钉螺母各40套,三年质保
10.运维服务规划
10.1服务目标
1.保障中心机房网络运行稳定
2.保障中心机房软硬件的稳定性和可靠性;
3.保障中心机房软硬件的安全性和可恢复性;
4.故障的及时响应与修复;;
5.协助硬件设备进行报修,续保
6.人员的技术培训服务;
7.信息化建设规划、方案制定等咨询服务通过运行维护服务的有效管理来提升电子政务外网信息系统的服务效率,协调各业务应用系统的内部运作,改善网络信息系统部门与业务部门的沟通,提高服务质量结合现有中心机房环境、组织结构、IT资源和管理流程的特点,从流程、人员和技术三方面来规划中心机房的运维服务系统结构对中心机房基础资源进行监控和管理,及时掌握网络信息系统资源现状和配置信息,反映信息系统资源的可用性情况和健康状况,创建一个可知可控的IT环境,从而保证各类业务应用系统的可靠、高效、持续、安全运行服务项目范围覆盖的信息系统资源以下方面的关键状态及参数指标
1.运行状态,故障状态
2.配置信息
3.可用性情况以及健康状况性能指标
4.统计运维数据、提供信息系统和工作报告、归纳总结并提供数据报告
10.2服务内容
10.
2.1信息资产统计服务此项服务为基本服务,帮助对现有的信息资产情况进行了解,更好的提供系统的运行维护服务服务内容包括:0硬件设备型号、数量、版本等信息统计记录0软件产品型号、版本和补丁等信息统计记录0网络结构、网络路由、网络IP地址统计记录0综合布线系统结构图的绘制0其它附属设备的统计记录
10.
2.2中心机房运维服务中心机房是电子政务外网的核心机房,良好的机房管理和安全保障,将为高性能计算机系统提供稳定、可靠的工作环境根据县政府的具体情况,拟派1或2名运维工程师驻点在县政府中心机房,机动运维工程师3名常驻市
10.
2.3电子政务外网城域网运维电子政务外网城域网,使用单位包含各县直单位、共计110条线路物理线路由县移动公司负责建设和运维,各单位通过移动设备接入电子政务外网,汇聚至移动中心机房,再通过光纤线路上联到县政府中心机房核心交换设备运维服务内容
①配合移动公司以及业主单位进行新增线路配置协调
②城域网链路监测
③网络流量监测
④安全策略配置及配置优化
⑤网络设备配置管理服务
⑥资料整理,配置参数整理
⑦配合各使用单位接入电子政务外网,并提供信息咨询服务
11.链路租赁计划租赁县电信4G和县移动2G的互联网光纤链路,发生故障时需能无缝切换至备用链路线路技术要求:线路速率4G+2G2线路拓展基于光缆传输,要求线路速率可平滑升级设备提供要求提供相关的光端机4设备端口可根据用户设备进行定制5线路延时无延时6技术指标每公里衰耗
40.47业务测试进行全面性能指标测试,确保所需线路全部达到技术指标割接影响网络割接要求提前通知,避免影响客户业务9服务机构具有本地的维护服务机构10售后保障故障响应时间430分钟,非不可抗拒力造成的线路中断恢复时间44小时技术要求与接口规范》《国家电子政务外网跨网数据安全交换技术要求与实施指南》和《接入政务外网的局域网安全技术规范》等七项安全标准,为规范国家电子政务外网信息安全标准体系建设以及指导各级政务外网开展安全接入、安全交换、安全监测以及各级政务部门局域网安全连接政务外网等技术管理工作提供了标准规范依据近年来,随着全省电子政务应用不断深入,我县各单位包括县司法局、县交通局、县民政局、县住建局、县人社局等单位都提出了在全县电子政务外网上扩展与省级电子政务链路联通的需求,急需在全县电子政务外网拓展基于MPLS-VPN功能,实现多个省级业务应用安全可靠的在我县电子政务外网上运行市政府电子政务外网已于2018年完成了相关改造,各县市区电子政务外网自行解决按照电子政务外网业务发展情况,急需对我县电子政务外网进行拓展,按照国家电子政务外网规范,大力整合各类应用平台,保障与省级电子政务链路联通并建立统一互联网出口,实现县政府办公大楼以及各单位能通过电子政务外网访问互联网从互联网接入的安全和可靠性及节约互联网接入费用方面均是非常有必要的,能全面提高电子政务外网资源利用率和安全性
2.x县电子政务外网现状县电子政务外网核心设备存放于县政府中心机房,并与全县各单位互联,目前已有超过100家单位接入,各单位目前接入带宽为100M,并与市电子政务外网实现了互联目前县电子政务外网的主要的应用系统为互联网监督系统,行政审批系统、商事登记信息管理系统、一次办结政务服务系统等
3.存在的问题从目前的网络情况及未来规划分析,县电子政务外网主要存在如下问题
3.1互联网出口目前,在省、市、县等各级政府采用电子政务外网来统一互联网出口,是全国电子政务发展的必然趋势,另随着互联网攻击越来越多,加上各部门接入互联网的各县直单位缺乏必要的安全投入,急需要对互联网进行统一出口管理,实现整体互联网接入安全防护另外,各单位互联网接入后,可以最少节约30%及以上各县直部门的互联网接入费用,初步估计,每年可以为县财政结余近百万元随着我县一次办结〃改革的深入,所有单位审批业务会越来越向政务外网集中,基于电子政务外网的应用不断增加,使得各单位或部门接入电子政务外网网络的带宽急需扩容统一互联网出口后,现有互联网出口设备因带宽的增加和用户数量急剧增多,已无法满足网络的需求现今来自互联网的攻击越来越多,而统一互联网出口后,县电子政务外网将承担全县本网向互联网转发的工作,按照现有安全设备来看,统一出口后缺乏针对攻击手段的防御措施
3.2干网络对于有高可用性要求的电子政务外网,目前我县电子政务外网的骨干链路上存在大量的单点故障隐患同时,当前对于网络层攻击和应用层攻击,无可用的安全设备进行防御加上大量应用系统的加入和平台集中化管理,使得电子政务外网的网络设备功能已经无法满足现有需求随着网络建设的发展和需求的增加,现外网核心交换机不能有效的承载新的应用,其处理性能存在较大的瓶颈
3.3安全防护省电子政务外网接入缺乏网络安全设备,为直连市电子政务外网对于全网的病毒防护目前没有统一高效的防护手段,我县电子政务外网内的终端数量非常庞大,病毒爆发风险较高,随着用户数量的急剧增多,互联网出口缺乏针对带宽控制的有效手段,一旦出现拥塞现象,将导致全网访问互联网速度缓慢,无法让带宽的利用率最大化同时缺乏针对用户的上网行为分析,一旦发生传播谣言、非法言论、不良上网行为等现象,无法进行追溯定位查找责任人综上所述,我县目前正在运转的电子政务外网已不满足应用需求,电子政务外网需扩展到更多具有外网业务需求的县直单位;需建立纵向、横向MPLS-VPN,在保证业务隔离及安全的前提下,将更多涉及到政府对外服务的业务平台整合到电子政务外网统一管理;需建立统一的互联网出口,提升政府单位互联网资源利用率;需进一步提升电子政务外网的维护管理水平,提升电子政务外网网络稳定性
4.建设内容为了解决县电子政务外网现状存在的问题,县电子政务外网主要建设如下内容序号名称品牌型号技术要求单位数量核心交换机H3CS10508万兆光口248,千兆电口248,电源之2,交换网板之2,虚拟化万兆光□8,虚拟化专用电缆之2,原厂保修服务年数23台22汇聚交换机H3CLS-5560X-34S-EI固定48个10/100/1000Base-T以太网端口,4个万兆SFP,交换容
5.98Tbps包转发率2252Mpps台。
个人认证
优秀文档
获得点赞 0
