资源描述
湖南省县级国土资源局
数据中心和网络建设方案
湖南省国土资源厅信息化工作办公室
二○○八 年 七 月
目 录
1. 前 言
2. 目标任务
2.1 基础目标
2.2 配置要求
3. 建设依据
4. 建设内容
5. 综合布线
5.1 位置选择
5.2 信息点和交换机
5.3 布线设计
5.4 主机房
6. 网络系统
6.1 总体结构
6.2 网络结构
6.3 网络关键层
6.4 网络接入层
6.5服务器区(数据中心)
7.安全系统
7.1安全配置
7.2安全管理
8. 计算机机房
8.1机房装饰设计
8.2 供、配电系统设计
8.3防雷系统设计
9. 经费概算
1、序言
数据中心和网络系统是国土资源电子政务运行基础,是各级国土资源信息远程交换和共享基础平台。全省国土资源工作会议上省厅明确要求今年底要实现省、市、县三级联网。国土资源部在6月召开国土资源业务网建设研讨会上,也提出了年底实现中国中东部地域联网到县基础要求。
2、目标任务
2.1基础目标
依据国土资源部和厅党组要求,建设好县级国土资源数据中心和网络系统,在底前实现国家、省、市、县四级联网,基础形成全省国土资源信息交换体系,为全省电子政务运行提供基础保障。
2.2配置要求
方案一:基础配置,关键配置以下内容:
(1)最少确保1套和互联网物理隔离内网,1台路由器和市局联网;
(2)最少配置3台内网服务器,其中数据库服务器配置RAID和2T以上存放空间;
(3)1台物理隔离网闸确保联网安全,1套网络版杀毒软件确保终端桌面安全;
(4)含有基础防尘、防潮和控温简易机房,1组机柜存放设备,有简单防雷方法;
(5)每个办公室最少有1台能够上内网计算机。
方案二:标准配置,有条件县局能够在基础配置基础上加配以下设备:
(1)有内外网物理隔离两套局域网。
(2)选配网管服务器、备份系统、SAN存放网络等。
(3)内网增配防火墙、内网安全管理等安全设备。
(4)计算机配置双硬盘和物理隔离卡。
3、建设依据
◆计算机信息系统安全保护等级划分准则(GB 17859-1999)
◆全国国土资源信息网络系统建设规范
◆电子政务工程技术指南
◆电子政务保密管理指南
◆湖南省金土工程一期建设方案
◆市、县级国土资源数据中心建设指南
◆建筑和建筑群综合布线系统工程设计规范(GB/T 50311-)
◆建筑和建筑群综合布线系统验收规范 (GB/T 50313-)
◆通信局(站)接地设计暂行技术要求 (YD/J 26-1989)
4、建设内容
1、综合布线。信息点分布和数量应能满足未来内需求,避免短期内反复施工。网络主干基础配置选择超五类线,可选配置为光纤。水平线应符合超五类以上标准。光纤、水平线接口模块和面板需符合国家标准GB/T 50311- 《建筑和建筑群综合布线系统工程设计规范》。选择电缆、光缆、多种联接器、跳线和配线等全部配件,均应符合ISO/IEC 11801《建筑物通用布线国际标准》。内网和外网应分别布线,达成物理隔离和防电子辐射技术要求。部分县市外网可用无线局域网,但要加强管理,严禁用于内网。
依据国家相关保密要求,涉密内网建设应该由含有涉密系统集成资质企业实施。
2、网络系统。国土资源局域网包含政务内网和政务外网两套局域网,根据国家保密要求建设,内外网严格物理隔离。
数据中心所使用局域网络为同级国土资源政务内网。
政务内网用于运行内部办公系统、基础数据和业务数据存放管理,经过路由器和网闸接入国土资源信息专网,实现国家、省、市、县四级国土资源信息共享和交换。
政务外网接入国际互联网,为社会提供国土资源信息服务。有条件或有自己外网服务器,须配防火墙。
3、数据中心包含服务器和存放设备。服务器是数据中心关键设备,提供数据存放、数据处理、网络应用、国土资源管理应用和其它服务。服务器可划分为数据库服务器、应用服务器、数据备份服务器、网管服务器等。数据存放备份系统用于存放和备份各类国土资源数据,使用数据库服务器上阵列,有条件县局能够采取磁盘阵列直接存放。
4、安全系统。信息安全系统建设是系统安全运行关键确保,包含防火墙、网闸、防病毒软件和对应安全管理方法等。
根据中国国家标准《计算机信息系统安全保护等级划分准则》(GB 17859-1999),国土资源内网局域网络应达成第三级——安全标识保护级。
入网安全设备必需经过国家保密局、中国国家信息安全测评认证中心认证和公安部销售许可,并符合国家相关法律要求。
5、综合布线
5.1 位置选择
标准上应在办公大楼中间楼层选择适宜面积房间作为中心机房,假如承重达不到设计要求时,也可选在一楼。依据单根网线最大距离不超出100米限制,在大楼适宜位置选择若干个配线间。
5.2 信息点和交换机
每间办公室最少确保一个内网点,外网点视条件许可自定。会议室确保内、外网各有2~4个信息点。暂无条件建设两套网络,标准上优先建设内网。全部布线全部应严格遵照图纸要求布设。信息点较少县局能够采取24口交换机,信息点较多县局可选择有堆叠功效48口交换机。
5.3 布线设计
对于楼层超出5层,配线间至办公室信息点距离超出100米,应该合适设置楼层配线间,网络主干采取千兆光缆,水平线缆采取超五类线或超五类屏蔽线。在距离较近情况下,网络主干和水平线缆均采取超五类线或超五类屏蔽线。内网走线应安装有金属线槽,进入房间时,从线槽引出PVC线槽或金属槽(依据实际情况而定),以暗装方法沿墙壁而下(或上)到各个信息点。内网信息点和外网信息点应保持以下要求距离。
内网和外网综合布线应单独走线,并满足防辐射保护要求:
双屏蔽:相邻内网和外网线路最小间距应大于5cm;
单屏蔽:相邻内网和外网线路最小间距应大于15cm;
不屏蔽: 相邻内网和外网线路最小间距应大于1m。
内外网单独平行走线,保持距离,不能有交叉。
5.4 主机房
(1)可依据实际情况安装1~2台空调柜机
(2)保持室内无尘或少尘,通风良好;
(3)安装适宜消防系统;
(4)最少有一扇窗口留作安全出口;
(5)远离存放危险物品场所和电磁干扰源(如发射机和电动机);
(6)设备间地板负重能力应为500kg/平方米;
(7)在机房内应最少留有二个220V电压,电流10A单相三极电源插座。网络设备较多时,还应依据接线间内放置设备供电需求,配有另外双排插座20A专用线路,线路不应和其它大型设备并联,确保对设备供电及电源质量;
(8) 依据设备多少配置适宜机柜,内网设备和外网设备应该放置在不一样机柜中,而且保持机柜间足够距离。
6、网络系统
6.1总体结构
网络结构依据具体情况选择星型拓扑结构,支持或扩展后能够支持三层交换技术。内部局域网应使用TCP/IP协议,所需IP地址要使用私有内部地址,内部IP地址使用省厅分配IP地址段、必需由市局统一计划、统一配置。高配置网络主干传输速率不低于1000Mbit/s,到桌面传输速率不低于100Mbit/s;低配置网络主干传输速率不低于100Mbit/s,百兆到桌面。网络服务器配置应该充足考虑用户数、并发用户数、使用率等指标。
6.2 网络结构
依据层次模型设计标准,将网络系统划分为关键层、接入层、服务器区三个部分。关键层提供整个网络中心多层路由、交换能力;接入层为用户提供直接接入,采取堆叠模式,含有更大灵活性和可扩展性。关键层和接入层经过光纤或超五类线连接,接入层为用户提供100M接入。服务器区为服务器提供高速交换。因为采取简单三级结构,使得网络结构简单清楚,易于维护和故障检验。
6.3 网络关键层
内、外网关键层有条件能够采取三层路由交换机,为接入层提供接入,内网经过路由器采取SDH专线方法接入国土资源业务内网。基础配置可不要关键交换机。
参数指标以下表:
表1 网络关键层设备参数表
内、外网关键交换机(选配)
三层交换机,交换容量≥19Gbit/s,包转发率≥5Mpps,信息产业部入网许可证。
路由器(内网)
支持VRRP协议,支持链路备份、链路捆绑、路由备份、多映像和多配置开启、拨号备份,提供2个E1接口,最大能提供不少于8个E1口。支持专线接入、多个VPN接入技术。
6.4 网络接入层
接入层为用户提供接入网络能力,接入层将用户连接到LAN中,然后将LAN连接到网络主干。接入层首先要求和关键层保持高速可靠连接,其次汇聚大量数据信息,也是布署网络策略关键位置,以实现基于端口安全性和提供“端到端”QoS功效。接入层交换机经过千兆光纤或超五类双绞线上连至关键交换机。参数指标以下表:
表2 网络接入层设备参数表
内、外网
接入层交换机
24或48个10/100Base-TX自适应端口,2个Combo口,支持基于端口vlan,支持手动端口汇聚,二层协议支持GVRP、LACP、RSTP/MSTP、802.1x、MAC地址认证,支持用户策略动态下发(包含ACL、QOS、VLAN等);支持IPV6、支持SSH、支持SNMPv1/v2/v3;信息产业部入网许可证。
6.5服务器区(数据中心)
服务器是数据中心关键设备,提供数据存放、数据处理、网络应用、国土资源管理应用和其它服务。服务器可划分为数据库服务器、应用服务器、数据备份服务器、数据交换服务器等。
服务器配置应依据各类应用不一样规模和特点,并结合处理速度、存放容量、高可靠性、系统开放性、性价比等原因来进行选择。
数据存放备份系统用于存放和备份各类国土资源数据。存放高配置采取磁盘阵列直接存放方法,低配置经过在数据库服务器上增加硬盘实现。
其它服务器依据实际情况选配。
服务器及存放备份系统关键性能指标以下表:
表3 服务器及存放备份设备参数表
数据库服务器
(基础配置)
两颗四核INTEL XEON CPU,主频≥2.4GHz,配置内存8GB;3×146GB;100/1000M服务器以太网卡;冗余电源。
应用服务器
(基础配置)
两颗四核INTEL XEON CPU,主频≥2.4GHz,配置内存8GB;3×146GB;100/1000M服务器以太网卡;冗余电源。
数据交换服务器(基础配置)
两颗四核INTEL XEON CPU,主频≥1.6GHz,配置内存4GB;3×73GB;100/10000M服务器以太网卡;冗余电源。
备份服务器
(选配)
两颗四核INTEL XEON CPU,主频≥1.6GHz,配置内存4GB;3×73GB;100/1000M服务器以太网卡;冗余电源。
网管服务器
(选配)
两颗四核INTEL XEON CPU,主频≥1.6GHz,配置内存4GB;3×73GB;100/1000M服务器以太网卡;冗余电源。
磁盘阵列(选配)
容量10×146GB硬盘,光纤主机接口
数据库服务器硬盘(基础配置)
不采取磁盘阵列时,将数据库服务器硬盘改为8块300G SAS硬盘
7.安全系统
7.1安全配置
国土资源信息系统中关键网络系统安全配置应达成中国国家标准《计算机信息系统安全保护等级划分准则》(GB 17859-1999)中要求第二级-系统审计保护级以上。根据国家保密局文件要求,局域网和外部网 (Internet)之间在物理上应完全断开。
入网安全设备必需含有国家保密局、公安部、中国国家信息安全测评认证中心技术判定、销售许可和产品评测等资质,并符合国家相关要求。
信息安全设备性能参数以下表所表示:
表4 信息安全设备参数表
隔离网闸(基础配置)
物理隔离网闸
防火墙(可选)
3个百兆端口,10万并发连接数,防火墙设备,管理端软件1套
防病毒软件(可选)
网络版防病毒软件
内网安全管理软件(可选)
阻止USB端口,阻止光驱、阻止非法外联
配置网闸,布署在内网和市局连接出口处,阻断广域网和内部网络间TCP/IP协议及其它网络协议。
配置防火墙,制订严格安全策略实现内外网络或内部网络不一样信任域之间隔离和访问控制。实现单向或双向控制、能够针对时间、流量进行访问控制,过滤部分不安全服务。对部分高层协议实现较细粒访问控制。防火墙含有部分应用代理功效,能实现对高层应用访问控制及安全过滤。
配置防病毒软件,用户和系统管理员应针对具体情况采取预防病毒技术、检测病毒技术和杀毒技术。
配置内网安全管理软件,有效管理内网用户机上U盘、移动设备、光驱使用,预防非法外联等。
7.2安全管理
网络管理是网络系统稳定运行关键确保。网络管理员应该做好系统统计,定时检验,发觉问题,立即处理。网络系统自运行开始必需作好备份和恢复等应急方法,一旦系统出现问题能够立即恢复正常。网络管理员负责网络系统备份和恢复技术计划、实施和操作,并作好具体统计。管理员应对操作系统和数据库管理系统中进行系统运行统计和数据库运行统计转储保留以备查。关键大型数据库必需运行于专门服务器或工作站上,并异地备份。网络管理员应尽可能地改善网络系统安全策略设置,尽可能降低安全漏洞。关闭不使用服务,对不一样等级网络用户设置对应资源访问权限。
8. 计算机机房
条件局限县级机房只要满足5.4要求主机房要求即可,有条件县级机房能够做以下专业机房建设。
8.1机房装饰设计
1 防尘处理:
◇为满足计算机对含尘量较高要求,除主材选择不起尘材料外,地板下及吊顶内均作防尘处理。
◇主机房外窗进行防火玻璃封堵处理(保留外观)。
2 防火处理:
除主材采取非燃性或难燃性外,其它材料尽可能选择难燃性材料。不锈钢包框铯钾防火玻璃隔断地板下、吊顶上用双层、双面防火石膏板封堵,隔墙为轻钢龙骨防火石膏板隔断,全部隐蔽工程用木质材料,均做防火处理,使机房整体防火性能得到很好确保,疏散口设有醒目标紧急出口标识,便于人员疏散。
3 防水处理:
专用空调机四面砌30mm挡水隔离带,并沿专用空调四面安装漏水感应带,使地板下水患得到有效监控。
4 保温处理:
主机房地面做20mm厚橡塑板保温处理,并做镀锌钢板保护层,以预防因温差造成下层顶板结露。
对于条件有限机房,可安装2台柜式空调,并确保达成以下表温度要求。
表5 机房空气环境设计参数
夏季温度
23±2℃
冬季温度
20±2℃
夏季湿度
55±10%
冬季湿度
55±10%
温度改变率
≤5℃/小时
机房环境是靠空调机来实现。不过,机房洁净度则要求做到以下几点:
第一、机房要密封、墙体围护结构要清洁。
第二、空调机设亚高效过滤网,并定时更换,从而确保机房空气在不停循环中得以净化。
8.2 供、配电系统设计
依据国家机房建设相关要求,和国土资源局机房区用电负荷、用电容量和负荷特点,提议有条件县局在机房区配置一台2KVA三进单出UPS向计算机网络系统提供稳压、净化电源,确保1小时在线式供电即可。
8.3防雷系统设计
机房防雷击电磁脉冲系统、接地系统直接关系到国土资源信息化系统可靠运行和设备安全,关系到计算机操作、维护人员正常工作和健康,所以防雷击电磁脉冲系统、接地系统设置应满足人身安全及计算机设备正常运行安全要求。本工程防雷击电磁脉冲系统安全防护方法关键有以下几点:
外部防雷 包含避雷针、避雷带、引下线、接地极等等,其关键功效是为了确保建筑物本身免受直击雷侵袭,将可能击中建筑物雷电经过避雷针、避雷带、引下线等,安全泄放入大地。
内部防雷系统 是为保护建筑物内部设备和人员安全而设置。经过在需要保护设备前端安装适宜防雷器,使设备、线路和大地形成一个有条件等电位体。将可能进入雷电流阻拦在外,将因雷击而使内部设施所感应到雷电流得以安全泄放入地,确保后接设备安全。
避雷带、引下线(建筑物钢筋)和接地等组成外部防雷系统,关键是为了保护建筑物本体免受雷击引发火灾事故及人身安全事故,而内部防雷系统则是预防感应雷和其它形式过电压侵入设备造成损坏,这是外部防雷系统无法确保。
条件有限县局做简易防雷亦可。
9. 经费概算
县级国土资源信息化建设需投入经费具体清单如表6、表7:
表6:基础配置经费概算表(单位:万元)
项目
配置
数量
参考
单价
参考
总价
备注
综合布线
内网
信息点数量
通常按50个点
0.04
2
具体数量视情况而不一样,包含配线柜(架)、线管(槽)等配件及施工费用。
外网
信息点数量
通常按50个点
0.04
2
具体数量视情况而不一样,包含配线柜(架)、线管(槽)等配件及施工费用
网络设备
路由器(内网)
支持VRRP协议,支持链路备份、链路捆绑、路由备份、多映像和多配置开启、拨号备份,提供2个E1接口,最大能提供不少于8个E1口。支持专线接入、多个VPN接入技术。
1
1
1
接入交换机
24或48个10/100Base-TX自适应端口,2个Combo口,支持基于端口vlan,支持手动端口汇聚,二层协议支持GVRP、LACP、RSTP/MSTP、802.1x、MAC地址认证,支持用户策略动态下发(包含ACL、QOS、VLAN等);支持IPV6、支持SSH、支持SNMPv1/v2/v3;信息产业部入网许可证。
4
0.6
2.4
具体数量视信息点数量和分布情况而不一样。
数据中心系统
数据库服务器
两颗四核INTEL XEON CPU,主频≥2.4GHz,配置内存8GB;3×146GB;100/1000M服务器以太网卡;冗余电源;Windows标准版。
1
8
8
应用服务器
两颗四核INTEL XEON CPU,主频≥2.4GHz,配置内存8GB;3×146GB;100/1000M服务器以太网卡;冗余电源;Windows标准版。
1
8
8
数据交换服务器
两颗四核INTEL XEON CPU,主频≥1.6GHz,配置内存4GB;3×73GB;100/1000M服务器以太网卡;冗余电源;Windows标准版。
1
5
5
数据库服务器硬盘
8块300G SAS硬盘
8
0.2
1.6
机房装修
防静电地板、Ups、机房空调、防雷、各弱电间机柜等
1
5
5
信息安全系统
隔离网闸
物理隔离网闸
1
3.5
3.5
其它
台式电脑
双核,主频≥2GHz,配置内存≥1G,硬盘≥ 160G。
30
0.4
12
具体数量视情况而定,每个办公室最少确保1台能够上内网台式电脑。
表7:标准配置经费概算表(单位:万元)
项目
配置
数量
参考
单价
参考
总价
备注
综合布线
内网
信息点数量
通常按50个点
0.04
2
具体数量视情况而不一样,包含配线柜(架)、线管(槽)等配件及施工费用。
外网
信息点数量
通常按50个点
0.04
2
具体数量视情况而不一样,包含配线柜(架)、线管(槽)等配件及施工费用
网络设备
内网关键交换机
三层交换机,交换容量≥19Gbit/s,包转发率≥5Mpps,信息产业部入网许可证。(含网管软件)
1
0.9
0.9
路由器(内网)
支持VRRP协议,支持链路备份、链路捆绑、路由备份、多映像和多配置开启、拨号备份,提供2个E1接口,最大能提供不少于8个E1口。支持专线接入、多个VPN接入技术。
1
1
1
外网关键、接入交换机
24个10/100Base-TX自适应端口,2个Combo口,支持基于端口vlan,支持手动端口汇聚,二层协议支持GVRP、LACP、RSTP/MSTP、802.1x、MAC地址认证,支持用户策略动态下发(包含ACL、QOS、VLAN等);支持IPV6、支持SSH、支持SNMPv1/v2/v3;信息产业部入网许可证。
0.4
具体数量视信息点数量和分布情况而不一样
数据中心系统
数据库服务器
四颗四核INTEL XEON CPU,主频≥2.4GHz,配置内存16GB;3×146GB;100/1000M服务器以太网卡;冗余电源;Windows企业版。
1
15
15
应用服务器
四颗四核INTEL XEON CPU,主频≥2.4GHz,配置内存16GB;3×146GB;100/1000M服务器以太网卡;冗余电源;Windows企业版。
1
15
15
数据交换服务器
两颗四核INTEL XEON CPU,主频≥1.6GHz,配置内存4GB;3×73GB;100/1000M服务器以太网卡;冗余电源;Windows标准版。
1
5
5
备份服务器
两颗四核INTEL XEON CPU,主频≥1.6GHz,配置内存4GB;3×73GB;100/1000M服务器以太网卡;冗余电源;Windows标准版。
1
5
5
磁盘阵列
容量10×146GB硬盘,光纤主机接口
1
20
20
机房装修
防静电地板、Ups、机房空调、防雷、各弱电间机柜等
1
8
8
信息安全系统
防火墙
3个百兆端口,10万并发连接数,防火墙设备,管理端软件1套
1
4
4
隔离网闸
物理隔离网闸
1
3.5
3.5
防病毒软件
网络版, 200用户
1
3
3
内网安全管理软件
阻止USB端口,阻止光驱、阻止非法外联
1
5
5
网络管理软件
用于管理网络、服务器、应用系统
1
6
6
其它
台式电脑
双核,主频≥2GHz,配置内存≥1G,硬盘≥ 160G。
30
0.4
12
具体数量视情况而定,每个工作人员最少确保1台能够上内网台式电脑。
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
