县级数据中心与网络建设---参-考-方-案.doc

资源描述

县级数据中心与网络建设参考方案湖南省国土资源厅信息化工作办公室二○○八年七月 20 1. 前言根据国土资源部和厅党组对于信息化建设的总体要求，在2008年底前实现部省市县四级联网，基本形成全省国土资源信息交换体系，为全省电子政务的运行提供硬件环境。据此，制定湖南省县级国土资源局数据中心与网络建设方案。 2. 总体设计规划 2.1 设计目标该设计旨在指导建立县级国土资源数据中心和覆盖县局的国土资源网络体系，为国土资源政务管理的网络化运行搭好硬件环境，为政务信息和基础数据的远程交换与共享打好基础，以满足国土资源管理和社会公众的需求。 2.2 设计原则根据我省各县市级国土资源局具体情况，在系统的规划、设计和实施中遵循以下原则: 1网络安全性网络中应有多种技术从内部和外部同时控制用户对网络资源的访问。可以用物理隔离、VLAN划分、MAC地址绑定等技术有效地保护内部信息，防止非法侵入和信息泄漏。有条件的还要利用防火墙控制外部对网络的访问。 2可扩展性由于各个县局的发展情况和发展阶段不同，因此要求随着用户应用规模的不断扩大，网络可以方便地扩充容量，支持更多的用户及应用。随着技术的不断发展，网络必须能够平滑地过渡到新的技术和设备，保证用户现有的投资。 3 实用性设计能基本满足县级国土资源局目前对硬件环境的应用要求，同时对发展条件较好的县市提出进一步发展的方向。 4 节省性原则在充分满足以上要求的前提下，尽可能地节约投资，花好每一分钱，提供性价比最高的解决方案。 5 统一性原则在系统的设计过程中，坚持“三个统一”，即统一规划，统一标准，统一出口。统一规划：即系统的设计依据县级国土资源局长期发展目标并结合时代发展的需要进行综合考虑，统筹规划。统一标准：采用统一的网络协议和接口等技术标准。统一出口：设计统一的信息对外出口，各类信息由专门部门控制和负责，保证内部的数据安全。 3. 需求分析根据国家金土工程和湖南省金土工程建设的要求，在国土资源信息化建设的总体框架下，在2008年底前实现部省市县四级联网，基本形成全省国土资源信息交换体系，为全面实现电子政务的网上运行打好基础。通过调查了解，各县国土资源局信息化建设情况不一，条件较好的县局已经建设好了两套物理隔离的局域网，部分县局由电信布设了一套外网线路，个别县局则暂还未开展信息化相关建设。本方案根据国土资源系统的业务需要，进行综合布线、网络系统、数据中心、安全系统的设计。设计包括基本配置和可选配置，基本配置为必须满足的要求，在自身经济条件允许的情况下，可以对可选配置进行选配。具体包括： 1、综合布线。信息点分布和数量应能满足未来10年内的需求，避免短期内重复施工。网络主干基本配置选用超五类线，可选配置为光纤。水平线应符合超五类以上标准。光纤、水平线接口模块和面板需符合国家标准GB/T 50311-2000 《建筑与建筑群综合布线系统工程设计规范》。选用的电缆、光缆、各种联接器、跳线和配线等所有配件，均应符合ISO/IEC 11801《建筑物通用布线国际标准》。内网和外网应分别布线，达到物理隔离和防电子辐射的技术要求。部分县市外网可用无线局域网，但要加强管理，严禁用于内网。根据国家有关保密规定，涉密内网的建设应该由具有涉密系统集成资质的公司实施。 2、网络系统。国土资源局域网包括政务内网和政务外网两套局域网，按照国家保密要求建设，内外网严格物理隔离。数据中心所使用的局域网络同级国土资源政务内网。政务内网用于运行内部办公系统、基础数据和业务数据存储管理，通过路由器和网闸接入国土资源信息专网，实现国家、省、市、县四级国土资源信息共享和交换。政务外网接入国际互联网，为社会提供国土资源信息服务。有条件的或有自己的外网服务器的，须配防火墙。 3、数据中心包括服务器和存储设备。服务器是数据中心的核心设备，提供数据存储、数据处理、网络应用、国土资源管理应用和其他服务。服务器可划分为数据库服务器、应用服务器、数据备份服务器、网管服务器等。数据存储备份系统用于存储和备份各类国土资源数据，使用数据库服务器上的阵列，有条件的县局可以采用磁盘阵列直接存储。 4、安全系统。信息安全系统建设是系统安全运行的重要保证，包括防火墙、网闸、防病毒软件和相应的安全管理措施等。按照中华人民共和国国家标准《计算机信息系统安全保护等级划分准则》（GB 17859-1999），国土资源内网局域网络应达到第三级——安全标记保护级。入网的安全设备必须通过国家保密局、中国国家信息安全测评认证中心的认证和公安部的销售许可，并符合国家相关法律的规定。 4. 系统设计依据和遵循的标准 ◆计算机信息系统安全保护等级划分准则（GB 17859-1999） ◆全国国土资源信息网络系统建设规范 ◆电子政务工程技术指南 ◆全国金土工程建设总体方案 ◆湖南省金土工程一期建设方案 ◆湖南省国土资源信息化建设“十一五”规划 ◆市、县级国土资源数据中心建设指南 ◆建筑与建筑群综合布线系统工程设计规范（GB/T 50311-2000） ◆建筑与建筑群综合布线系统验收规范（GB/T 50313-2000） ◆智能建筑设计标准（GB/T 50314-2000） ◆通信局（站）接地设计暂行技术规定（YD/J 26-1989） ◆智能建筑设计标准（DBJ08-47-95） 5. 综合布线系统 5.1 系统概况综合布线系统的通用定义：通过对结构、系统、服务与管理四个建筑物的基本要素以及对它们之间的内在关联作最优化的考虑，提供一个投资合理又具有高效、舒适、便利和安全的环境空间。综合布线系统是建筑物或建筑群内的信息传输通道，通过它和网络设备结合，可以将计算机数据处理和数据通讯系统、语音通信系统、广播系统、基带图像处理和传输系统、楼宇设备监控自动化系统等综合集成在一起，使布线系统形成独立的、开放的、灵活的、模块化的系统。使各子系统之间彼此相互联系、相互协调，也使这些设备与外部通信网络相连接。综合布线系统所能实现的功能不仅仅是各个子系统的简单相加，它能实现更高级的系统集成功能。原则上在国土资源局办公大楼的中间楼层选择合适面积的房间作为中心机房，如果承重达不到要求时，也可选在一楼。根据单根网线最大距离不超过100米的限制，在大楼的合适位置选择若干个配线间。 5.2 信息点和交换机分析信息点较多时可选择有堆叠功能的48口交换机。 5.3 布线系统的解决方案 5.3.1 系统简介综合布线系统实际上是对建筑物内所必需的计算机网络系统及其它弱电系统中的通信线路进行统筹规划，进而将这些通信线路组织成为一个材料统一、结构统一、管理统一的，并易维护、易调整、易扩展的且融于建筑物之中的完整实体。综合布线系统实质上是满足建筑物所有者或财产管理者使自己的建筑物能够保证长久的科技先进性和布局合理性，以立于不败之地的一种不可缺少的战略资源。综合布线系统由以下六个子系统构成： 1、工作区(Work Area)子系统：工作区由终端设备及其连接到水平子系统信息插座的接插线（软线）等组成。 2、水平布线(Horizontal)子系统：水平子系统由配线间至信息插座的电缆和工作区用的信息插座等组成。采用超五类线连接到工作区的每一个通讯接口。 3、主干布线(Backbone Cabling)子系统：干线子系统由设备间或管理区与水平子系统的引入口之间的连接线缆组成。是用于楼层之间垂直线缆的统称。 4、设备室(Equipment Room)子系统：是每一座建筑物用于安装进出线设备、进行综合布线及其应用系统管理维护的场所。 5、管理区子系统：管理线缆和连接硬件的区域称为管理区。它由配线间（包括二级设备室、二级交接间）的线缆、配线架及相关接插线等组成。 6、引进设备(Entrance Facilities)子系统：引进设备(EF)与外部通讯设备(场地环境公共网和/或大楼内部主干布线)连接。EF由硬件保护装置、电缆和把内部网络-系统与公共网相连的连接硬件组成。 5.3.2 工作区的设计工作区布线子系统由终端设备连接到信息插座的连线和信息插座组成。信息点数量的确定：由于结构化布线系统应用的范围广泛,包含的系统多,因此需要保证足够的信息点数。否则，在将来系统使用中再进行扩充的话，将会付出较大的代价。每位机关办事人员至少保证一个内网点，外网点视条件许可自定。会议室保证内、外网各2~4个信息点。暂无条件建设两套网络的，原则上优先建设内网。所有的布线工作都应严格遵循图纸要求。 5.3.3 水平子系统的设计水平布线子系统是将干线子系统线路延伸到用户工作区。该系统是从各个子配线间出发连向各个工作区的信息插座。 1、水平线缆路由设计走廊的吊顶上应安装有金属线槽，进入房间时，从线槽引出PVC线槽或金属槽（根据实际情况而定），以暗装方式沿墙壁而下（或上）到各个信息点。 2、水平线缆的选型与计算水平线缆内网采用超五类线或超五类屏蔽线，外网采用超五类线。 5.3.4干线子系统的设计干线子系统主要用于连接各楼层配线室到主配线室。 1、垂直干缆路由设计竖井中根据实际情况立有PVC线管、线槽或金属线槽，并使之固定，以安装和固定垂直子系统的电缆。竖井中的线槽应和各层配线室之间有PVC线槽或线管连通。 2、垂直干缆的选型实现计算机设备，控制中心与各管理子系统间的连接，高配置可采用光缆，千兆主干，低配置采用超五类双绞线即可。垂直干线部分提供了建筑物中主配线架与分配线架连接的路由。 5.3.5 楼层配线间的设计对于楼层超过5层，配线间至办公室信息点距离超过100米的，应该适当设置楼层配线间。楼层配线间由交连、互连配线架组成。交连和互连允许将通讯线路定位或重定位到建筑物的不同部分，以便能更容易地管理通信线路，使在移动终端设备时能方便地进行插拔。 5.3.6 主配线间的设计由设备间(主配线间)中的电缆、连接器和相关支撑硬件组成，它把公共系统设备的各种不同设备互连起来。 1 、配线间环境的要求（1）按照标准的设计要求，设备间应尽量满足如下要求：（2）室温应保持在18℃至27℃之间，相对湿度保持在30%—55%；（3）保持室内无尘或少尘，通风良好，亮度至少达9米/烛光；（4）安装合适的消防系统（如采用湿型消防系统，不要把喷头直接对准电气设备）；（5）提供合适的门锁，至少要有一扇窗口留作安全出口；（6）尽量远离存放危险物品的场所和电磁干扰源（如发射机和电动机）；（7）设备间的地板负重能力应为500kg/平方米；（8）综合布线系统中典型的配线间，其可以走进人的最小安全尺寸是120×150cm，标准的天花板高度为240cm，门的大小至少为高2.1m，宽1m，向外开。在主、分配线间，最好有供放置设备的设备柜，其大小可按设备的尺寸而定。在设备间尽量将设备柜放在靠近竖井的位置，在柜子上方应装有通风口用于设备通风；（9）在配线间内应至少留有二个为本系统专用的，符合一般办公室照明要求的220V电压，电流10A单相三极电源插座。如果需要在配线间内放置网络设备，则还应根据接线间内放置设备的供电需求，配有另外的带4个AC双排插座的20A专用线路。此线路不应与其他大型设备并联，并且最好先连接到UPS，以确保对设备的供电及电源的质量。 2、配线架的选型与安装主配线架设置在主配线间（数据中心机房内），内网采用超五类模块化配线架。 6. 网络系统 6.1 总体结构网络结构根据具体情况选用星型拓扑结构，支持或扩展后能够支持三层交换技术。内部局域网应使用TCP/IP协议，所需IP地址要使用私有内部地址，内部的IP地址使用省厅分配的IP地址段、必须由市局统一规划、统一配置。高配置网络主干的传输速率不低于1000Mbit/s，到桌面的传输速率不低于100Mbit/s，低配置网络主干传输速率不低于100Mbit/s，百兆到桌面。网络交换设备应能支持或扩展后支持文字、图形、图像、音频、视频等多媒体数据的传输。网络交换设备应具备或扩展后具备三层交换功能。网络服务器充分考虑用户数、并发用户数、应用系统的重要性及使用率等指标的基础上灵活选用PC服务器。 6.2 网络结构网络由政务内网和政务外网组成，内外网物理隔离。政务内网用于运行内部办公系统、基础数据和业务数据存储管理，通过路由器和网闸接入国土资源广域网，实现国家、省、市、县四级国土资源信息共享和交换。政务外网如果没有服务器可以直接接入互联网，有服务器则必须经过防火墙接入互联网。内、外网的主交换机放置在主配线间或数据中心，楼层交换机放置在分配线间。根据层次模型的设计原则，将网络系统划分为核心层、接入层、服务器区三个部分。核心层提供整个网络的中心多层路由、交换能力；接入层为用户提供直接的接入，接入层采用堆叠模式，具有更大的灵活性和可扩展性。核心层和接入层通过光纤连接，接入层为用户提供100M接入。服务器区为服务器提供高速的交换。由于采用简单的三级结构，使得网络结构简单清晰，易于维护和故障检查，使用直接堆叠代替级联的方式，优化网络性能。 6.3 网络核心层内、外网核心层有条件可以采用三层路由交换机，为接入层提供（光纤）接入，内网通过路由器采用SDH专线与省厅数据中心内网相连。参数指标如下表：表1 网络核心层设备参数表内、外网核心交换机（选配）三层交换机，交换容量≥19Gbit/s，包转发率≥5Mpps，信息产业部入网许可证。内、外网核心交换机（基本配置） 24个10/100Base-TX自适应端口，2个Combo口，支持基于端口的vlan，支持手动端口汇聚，二层协议支持GVRP、LACP、RSTP/MSTP、802.1x、MAC地址认证，支持用户策略动态下发（包括ACL、QOS、VLAN等）；支持IPV6、支持SSH、支持SNMPv1/v2/v3；信息产业部入网许可证。路由器（内网）支持VRRP协议，支持链路备份、链路捆绑、路由备份、多映像和多配置启动、拨号备份，提供2个E1接口，最大能提供不少于8个E1口。支持专线接入、多种VPN接入技术。 6.4 接入层接入层为用户提供了接入网络的能力，接入层将用户连接到LAN中，然后将LAN连接到网络的主干。接入层一方面要求和核心层保持高速可靠连接，另一方面汇聚了大量的数据信息，也是部署网络策略的重要位置，以实现基于端口的安全性和提供“端到端”的QoS功能。接入层交换机通过千兆光纤或超五类双绞线上连至核心交换机。参数指标如下表：表2 网络接入层设备参数表内、外网接入层交换机 24或48个10/100Base-TX自适应端口，2个Combo口，支持基于端口的vlan，支持手动端口汇聚，二层协议支持GVRP、LACP、RSTP/MSTP、802.1x、MAC地址认证，支持用户策略动态下发（包括ACL、QOS、VLAN等）；支持IPV6、支持SSH、支持SNMPv1/v2/v3；信息产业部入网许可证。 7. 数据中心服务器是数据中心的核心设备，提供数据存储、数据处理、网络应用、国土资源管理应用和其他服务。服务器可划分为数据库服务器、应用服务器、数据备份服务器、数据交换服务器等。服务器的配置应根据各类应用的不同规模和特点，并结合处理速度、存储容量、高可靠性、系统开放性、性价比等因素来进行选择。数据存储备份系统用于存储和备份各类国土资源数据。存储高配置采用磁盘阵列直接存储方式，低配置通过在数据库服务器上增加硬盘实现。 7.1 设备选型原则设备选型时主要是从以下四个方面来考虑的，包括： l 系统的性能 l 系统建设成本 l 厂商的技术支持和服务质量 l 产品的发展前景 7.2 主要性能指标服务器及存储备份系统主要性能指标如下表：表3 服务器及存储备份设备参数表数据库服务器（基本配置）四颗四核INTEL XEON CPU，主频≥2.5GHz,配置内存8GB；3×146GB；100/1000M服务器以太网卡；冗余电源。应用服务器（基本配置）四颗四核INTEL XEON CPU，主频≥2.5GHz,配置内存8GB；3×146GB；100/1000M服务器以太网卡；冗余电源。数据交换服务器（选配）两颗四核INTEL XEON CPU，主频≥1.6GHz,配置内存4GB；3×73GB；100/1000M服务器以太网卡；冗余电源。备份服务器（选配）两颗四核INTEL XEON CPU，主频≥1.6GHz,配置内存4GB；3×73GB；100/1000M服务器以太网卡；冗余电源。磁盘阵列（选配）容量10×146GB硬盘,光纤主机接口数据库服务器硬盘（基本配置）不采用磁盘阵列时，将数据库服务器硬盘改为8块300G SAS硬盘 8.安全系统网络建成后，系统的安全尤为重要。由于县级国土资源局网络系统从第三层的网络协议、操作系统到各种应用系统都并非专为安全通讯而设计，所以其网络系统将不可避免地面临来自内部用户及Internet上的各种安全威胁。 8.1 网络威胁分析 1、物理安全风险分析网络物理安全是整个网络系统安全的前提。物理安全的风险主要有：地震、水灾、火灾等环境事故造成整个系统毁灭；电源故障造成设备断电以至操作系统引导失败或数据库信息丢失；设备被盗、被毁造成数据丢失或信息泄漏；电磁辐射可能造成数据信息被窃取或偷阅；报警系统的设计不足可能造成原本可以防止但实际发生了的事故。 2、来自内部网用户的安全威胁据调查统计，已发生的网络安全事件中，70%的攻击是来自内部。因此内部网的安全风险更严重。内部员工对自身企业网络结构、应用比较熟悉，自己攻击或泄露重要信息内外勾结，都将可能成为导致系统受攻击的最致命安全威胁。 3、来自与互联网互联的安全威胁政务外网与Internet互连。基于Internet的开放性、国际性与自由性，政务外网将面临更加严重的安全威胁。因为，每天黑客都在试图闯入Internet节点，假如我们的网络不保持警惕，可能连黑客怎么闯入的都不知道，甚至会成为黑客入侵其他网络的跳板。假如网络的一台机器安全受损（被攻击或者被病毒感染），就会同时影响在同一网络上的许多其他系统。透过网络传播，还会影响到与本系统网络有连接的其它任何网络。 4、系统的安全风险分析所谓系统安全通常是指网络操作系统、应用系统的安全。目前的操作系统或应用系统无论是Windows还是其它任何商用UNIX操作系统以及其它厂商开发的应用系统，其开发厂商必然有其Back-Door。而且系统本身必定存在安全漏洞。这些"后门"或安全漏洞都将存在重大安全隐患。但是从实际应用上，系统的安全程度跟对其进行安全配置及系统的应用面有很大关系，操作系统如果没有采用相应的安全配置，则其是漏洞百出，掌握一般攻击技术的人都可能入侵得手。如果进行安全配置，比如，填补安全漏洞，关闭一些不常用的服务，禁止开放一些不常用而又比较敏感的端口等，那么入侵者要成功进行内部网是不容易，这需要相当高的技术水平及相当长时间。因此应正确估价自己的网络风险并根据自己的网络风险大小作出相应的安全解决方案。 5、应用的安全风险分析随着应用的不断增加，网络安全风险也会不断暴露出来。原来由单个计算机安全事故引起的损害可能传播到其他系统和主机，引起大范围的瘫痪和损失。应用系统是动态的、不断变化的。应用的安全性也是动态的。这就需要我们对不同的应用，检测安全漏洞，采取相应的安全措施，降低应用的安全风险。 6、资源共享办公网络应用通常是共享网络资源，比如文件共、打印机共享等。由此就可能存在着：员工有意、无意把硬盘中重要信息目录共享，长期暴露在网络邻居上，可能被外部人员轻易偷取或被内部其他员工窃取并传播出去造成泄密，因为缺少必要的访问控制策略。 7、病毒侵害网络是病毒传播的最好、最快的途径之一。病毒程序可以通过网上下载、电子邮件、使用盗版光盘或软盘、人为投放等传播途径潜入内部网。因此，病毒的危害的不可以轻视的。网络中一旦有一台主机受病毒感染，则病毒程序就完全可能在极短的时间内迅速扩散，传播到网络上的所有主机，可能造成信息泄漏、文件丢失、机器死机等不安全因素。计算机病毒一直是计算机安全的主要威胁。能在Internet上传播的新型病毒，例如通过e-mail传播的病毒，增加了这种威胁的程度。随着Web站点和用户的激增，加上缺乏安全控制机制和对Web安全政策的认识不足，这些风险正日益严重。病毒的种类和传染方式也在增加，国际空间的病毒总数已达上万甚至更多。当然，查看文档、浏览图像或在Web上填表都不用担心病毒感染，然而，下载可执行文件需要特别警惕。 8、数据信息数据安全对国土资源部门来说尤其重要，数据在网上传输，很难保证在传输过程中不被非法窃取，篡改。现今很多先进技术，黑客或一些工业间谍会通过一些手段，设法在线路上做些手脚，获得在网上传输的数据信息。也就造成的泄密。 9、管理的安全风险分析如工作人员的安全意识薄弱，如安全管理体制不健全也是网络存在安全风险的重要因素之一，健全的安全管理体制是一个网络系统安全得以保障及维系的关键因素。内部管理人员或员工把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险。如机房重地是任何人都可以进进出出，来去自由。存有恶意的入侵者便有机会得到入侵的条件。内部不满的员工有的可能熟悉服务器、小程序、脚本和系统的弱点。利用网络开些小玩笑，甚至破坏。如传出至关重要的信息、错误地进入数据库、删除数据等等。这些都将给网络造成极大的安全风险。管理是网络中安全得到保证的重要组成部分，是防止来自内部网络入侵必须的部分。责权不明，管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。即除了从技术上下功夫外，还得依靠安全管理来实现。 10、缺乏有效的手段监视、评估网络系统的安全性由于网络安全技术是动态的、不断变化的。所以必须定期对网络安全状况进行检查，以确保网络是安全的。 8.2 信息安全解决方案网络管理是网络系统稳定运行的重要保证。网络管理员应当做好系统记录，定期检查，发现问题，及时解决。网络系统自运行开始必须作好备份与恢复等应急措施，一旦系统出现问题能够及时恢复正常。网络管理员负责网络系统的备份与恢复的技术规划、实施和操作，并作好详细记录。管理员应对操作系统和数据库管理系统中进行系统运行记录和数据库运行记录的转储保存以备查。重要大型数据库必须运行于专门的服务器或工作站上，并异地备份。网络管理员应尽可能地改善网络系统的安全策略设置，尽量减少安全漏洞。关闭不使用的服务，对不同级别的网络用户设置相应的资源访问权限。国土资源信息系统中的重要网络系统的安全配置应达到中华人民共和国国家标准《计算机信息系统安全保护等级划分准则》（GB 17859-1999）中规定的第二级－系统审计保护级以上。按照国家保密局文件的要求，局域网与外部网 (Internet)之间在物理上应完全断开。内网和外网综合布线系统的防辐射保护要满足以下要求：双屏蔽：相邻内网和外网线路的最小间距应大于5cm；单屏蔽:相邻内网和外网线路的最小间距应大于15cm；不屏蔽: 相邻内网和外网线路的最小间距应大于1m。入网的安全设备必须具有国家保密局、公安部、中国国家信息安全测评认证中心的技术鉴定、销售许可和产品评测等资质，并符合国家的相关规定。配备防火墙，制定严格的安全策略实现内外网络或内部网络不同信任域之间的隔离与访问控制。实现单向或双向控制、可以针对时间、流量进行访问控制，过滤一些不安全服务。对一些高层协议实现较细粒的访问控制。防火墙具有一些应用代理的功能，能实现对高层应用的访问控制及安全过滤。配置网闸，部署在内网与市局连接的出口处，阻断广域网与内部网络间的TCP/IP协议及其他网络协议。配置防病毒软件，用户和系统管理员应针对具体情况采取预防病毒技术、检测病毒技术和杀毒技术。配置内网安全管理软件，有效管理内网的客户机上的U盘、移动设备、光驱的使用，防止非法外联等。信息安全设备性能参数如下表所示：表4 信息安全设备参数表防火墙（可选） 3个百兆端口，10万并发连接数，防火墙设备，管理端软件1套隔离网闸（基本配置）物理隔离网闸防病毒软件（可选）网络版防病毒软件内网安全管理软件（可选）阻止USB端口，阻止光驱、阻止非法外联 9. 计算机机房 9.1 设计概述计算机机房工程不仅集建筑、电气、安装、网络等多个专业技术于一体，更需要丰富的工程实施和管理经验。计算机房设计与施工的优劣直接关系到机房内计算机系统是否能稳定可靠地运行，是否能保证各类信息通讯畅通无阻。由于计算机机房的环境必须满足计算机等各种微机电子设备和工作人员对温度、湿度、洁净度、电磁场强度、噪音干扰、安全保安、防漏、电源质量、振动、防雷和接地等的要求。所以，一个合格的现代化计算机机房，应该是一个安全可靠、舒适实用、节能高效和具有可扩充性的机房。 9.2 设计规范机房建设严格按照以下国家标准来进行规划：《电子计算机机房设计规范》（GB50174-93）《电子计算机场地通用规范》（GB/T2887-2000）《计算机站场地安全要求》（GB9361-88）《高层民用建筑设计防火规范》（2001年版）（GB50045-95）《建筑设计防火规范》（GBJ16-87）《建筑内部装修设计防火规范》（GB50222-95）《采暖通风与空气调节设计规范》（2001年版）（GBJ19-87）《业与民用供电系统设计规范》（GBJ52-82）。《低压配电装置及线路设计规范》（GBJ54-83）。《电气装置安装工程及验收规范》（GBJ232-83）。《建筑电气工程施工质量验收规范》（GB50303-2002）。《中华人民共和国公共安全行业标准》（GA/T70-94）《安全防范工程程序与要求》（GA/T75-94）《智能建筑设计标准》（GB/T50314-2000）《通风与空调工程施工及验收规范》（GBJ243-82）《供配电系统设计规范》GB50052-95 9.3机房装饰设计 1 防尘处理： ◇为满足计算机对含尘量的较高要求，除主材选用不起尘的材料外，地板下及吊顶内均作防尘处理。 ◇主机房的外窗进行防火玻璃封堵处理（保留外观） 2 防火处理：除主材采用非燃性或难燃性外，其它材料尽可能选用难燃性材料。不锈钢包框铯钾防火玻璃隔断地板下、吊顶上用双层、双面防火石膏板封堵，隔墙为轻钢龙骨防火石膏板隔断，所有隐蔽工程用的木质材料，均做防火处理，使机房整体防火性能得到很好的保证，疏散口设有醒目的紧急出口标记，便于人员疏散。 3 防水处理：专用空调机四周砌30mm挡水隔离带，并沿专用空调的四周安装漏水感应带，使地板下水患得到有效监控。 4 保温处理：主机房地面做20mm厚橡塑板保温处理，并做镀锌钢板保护层，以防止因温差导致下层顶板结露。对于条件有限的机房，可安装2台柜式空调，并保证达到如下表的温度要求。表5 机房空气环境设计参数夏季温度 23±2℃ 冬季温度 20±2℃ 夏季湿度 55±10% 冬季湿度 55±10% 温度变化率 ≤5℃/时机房的环境是靠空调机来实现的。但是，机房的洁净度则要求做到以下几点：第一、机房要密封、墙体围护结构要清洁。第二、空调机设亚高效过滤网，并定期更换，从而保证机房空气在不断循环中得以净化。 9.4 供、配电系统设计根据国家机房建设的相关要求，以及国土资源局机房区的用电负荷、用电容量和负荷特点，建议有条件的县局在机房区配置一台2KVA三进单出的UPS向计算机网络系统提供稳压、净化电源，保证1小时在线式供电即可。 9.5防雷系统设计机房的防雷击电磁脉冲系统、接地系统直接关系到国土资源信息化系统的可靠运行和设备的安全，关系到计算机操作、维护人员的正常工作和健康，因此防雷击电磁脉冲系统、接地系统的设置应满足人身的安全及计算机设备正常运行的安全要求。本工程防雷击电磁脉冲系统安全防护措施主要有如下几点：外部防雷包括避雷针、避雷带、引下线、接地极等等，其主要的功能是为了确保建筑物本身免受直击雷的侵袭，将可能击中建筑物的雷电通过避雷针、避雷带、引下线等，安全泄放入大地。内部防雷系统是为保护建筑物内部的设备以及人员的安全而设置的。通过在需要保护设备的前端安装合适的防雷器，使设备、线路与大地形成一个有条件的等电位体。将可能进入的雷电流阻拦在外，将因雷击而使内部设施所感应到的雷电流得以安全泄放入地，确保后接设备的安全。避雷带、引下线（建筑物钢筋）和接地等构成的外部防雷系统，主要是为了保护建筑物本体免受雷击引起的火灾事故及人身安全事故，而内部防雷系统则是防止感应雷和其他形式的过电压侵入设备造成损坏，这是外部防雷系统无法保证的。条件有限的县局做简易防雷亦可。 10. 经费概算县级国土资源信息化建设需投入经费详细清单如表6：表6：经费概算表（单位：万元）项目配置数量参考单价参考总价备注综合布线系统内网超五类网线，箱（300米） 0.03 具体数量视情况而不同外网超五类网线，箱（300米） 0.03 具体数量视情况而不同网络设备内网核心交换机（可选）三层交换机，交换容量≥19Gbit/s，包转发率≥5Mpps，信息产业部入网许可证。 1 0.9 0.9 配了此项，则不用配基本配置内网核心交换机（基本配置） 24个10/100Base-TX自适应端口，2个Combo口，支持基于端口的vlan，支持手动端口汇聚，二层协议支持GVRP、LACP、RSTP/MSTP、802.1x、MAC地址认证，支持用户策略动态下发（包括ACL、QOS、VLAN等）；支持IPV6、支持SSH、支持SNMPv1/v2/v3；信息产业部入网许可证。 1 0.4 0.4 外网核心交换机 24个10/100Base-TX自适应端口，2个Combo口，支持基于端口的vlan，支持手动端口汇聚，二层协议支持GVRP、LACP、RSTP/MSTP、802.1x、MAC地址认证，支持用户策略动态下发（包括ACL、QOS、VLAN等）；支持IPV6、支持SSH、支持SNMPv1/v2/v3；信息产业部入网许可证。 1 0.4 0.4 配了此项，则不用配基本配置路由器（内网）支持VRRP协议，支持链路备份、链路捆绑、路由备份、多映像和多配置启动、拨号备份，提供2个E1接口，最大能提供不少于8个E1口。支持专线接入、多种VPN接入技术。 1 1 1 接入交换机（基本配置） 24或48个10/100Base-TX自适应端口，2个Combo口，支持基于端口的vlan，支持手动端口汇聚，二层协议支持GVRP、LACP、RSTP/MSTP、802.1x、MAC地址认证，支持用户策略动态下发（包括ACL、QOS、VLAN等）；支持IPV6、支持SSH、支持SNMPv1/v2/v3；信息产业部入网许可证。 0.6 具体数量视信息点的数量和分布情况而不同数据中心系统数据库服务器（基本配置）四颗四核INTEL XEON CPU，主频≥2.5GHz,配置内存8GB；3×146GB；100/1000M服务器以太网卡；冗余电源。 1 15 15 应用服务器（基本配置）四颗四核INTEL XEON CPU，主频≥2.5GHz,配置内存8GB；3×146GB；100/1000M服务器以太网卡；冗余电源。 1 15 15 数据交换服务器两颗四核INTEL XEON CPU，主频≥1.6GHz,配置内存4GB；3×73GB；100/1000M服务器以太网卡；冗余电源。 1 8 8 （选配）备份服务器两颗四核INTEL XEON CPU，主频≥1.6GHz,配置内存4GB；3×73GB；100/1000M服务器以太网卡；冗余电源。 1 8 8 （选配）磁盘阵列容量10×146GB硬盘,光纤主机接口 1 20 20 （选配）数据库服务器硬盘不采用磁盘阵列的低配方案将数据库服务器硬盘改为8块300G SAS硬盘 8 0.6 4.8 如果选配了磁盘阵列，此项可省机房装修防静电地板、Ups、机房空调、防雷、各弱电间机柜等 1 10 10 信息安全系统防火墙 3个百兆端口，10万并发连接数，防火墙设备，管理端软件1套 1 4 4 （选配）隔离网闸物理隔离网闸 1 5 5 防病毒软件网络版， 500用户 1 12 12 （选配）内网安全管理软件阻止USB端口，阻止光驱、阻止非法外联 1 10 10 （选配） 27 11.保障措施 1、加强组织领导，进一步明确责任信息化建设是“一把手工程”。全局要把信息化建设提升到重要议事日程，一把手亲自抓；另外，要加强机构与组织建设，尽快成立县局国土资源信息中心。在省国土资源厅信息化领导小组统一领导下，按照国土资源部金土工程的总体要求进行。 2、规范管理行为，健全管理制度规范化的工作模式和流程既是贯彻落实《中华人民共和国行政许可法》的基本要求，又是实施金土工程和电子政务建设的重要前提。同时，实施金土工程和发展电子政务也有利于促进新型政府运行模式的建立。全面推进依法行政，做好国土资源管理工作，必须增强依法行政意识，坚持依法办事。要结合管理职能和工作方式的转变，做好国土资源管理业务流程的梳理和优化，建立以业务流为核心的规范化管理模式。 3、切实抓好应用，充分发挥实效金土工程和电子政务建设的关键在于应用。金土工程和电子政务建设要坚持“以需求为导向，以应用促发展”的原则，始终注意围绕政府机关管理业务和领导科学决策的需求，有针对性地开展各项系统建设工作，并通过系统应用，发现问题，解决问题，不断完善，逐步提高国土资源电子政务建设的水平。业务管理部门要创造条件，积极主动使用信息化成果，在应用过程中不断完善和改进系统。要注意克服建设中的“交钥匙”现象，技术人员要帮助业务管理部门真正把系统用起来，用好、发挥实效。 4、积极筹措资金，提供可靠资金保障国土资源信息化建设是一项投入高、周期长、见效慢的基础性、公益性工作，各级信息系统的硬、软件基本配置和网络建设要有一次性投资和升级换代的经费保障，数据采集、系统开发和数据库建设需要专门的经费，系统维护每年均需要一定的资金保障，稳定、可靠的经费投入是保证国土资源信息化建设顺利进行的重要前提。解决经费问题，首先要积极参加国土资源部“金土工程”建设，在工程建设中不断提高本市信息化水平；第二，国土资源信息化建设项目应积极争取同级计划、财政部门支持立项，将系统建设与维护经费纳入同级公共财政预算；第三，与同级财政部门协商，把湘财建[2002]6号文件规定的新增建设用地有偿使用费8%的专项用于信息化建设的政策用好、用足。 5、注重人才培养，加强队伍建设国土资源信息化集高新技术于一体，技术含量高、建设难度大，必须十分注重人才培养和加强技术队伍建设，建立完善选人用人机制，坚持公开、平等、竞争、择优的原则，促进优秀人才脱颖而出，吸纳和稳定高素质的人才；要进一步完善人才激励保障机制，不断激

展开阅读全文