2019 智慧城市 数字化智慧机房技术方案.docx

数字化智慧机房技术方案2019年11月装饰施工时，地板铺设前地面应先做水泥砂浆找平处理，否那么地板铺完会不平整，相互之间会产生错位而晃动；地板安装时严格倚靠墙面的边龙骨上，减少晃动。所有机柜、空调、UPS等会产生震动的设备均安装在型钢支架上，支架与设备之间粘贴3mm厚胶条来减震，支架马地板之间留有缝隙用玻璃胶密封，防止支架晃动带动地板晃动。装修设计根据GB50222T995 （2001版）建筑内部装修设计防火规范和有关规定，大中型电 子计算机机房，其顶棚和墙面应采用燃烧性能等级不低于A级（不燃性）的装修材料，地面 及其他装修应用燃烧性能等级不低于B1级（难燃性）的装修材料，当设有火灾自动报警装 置和自动灭火系统时，除顶棚外，其内部装修材料的燃烧性级等级可降低一级。装修材料燃烧性能般有以下这个等级：A不燃性B1难燃性B2可燃性B3易燃性根据规范要求，本次数据中心装修设计中，除满足规范中要求的机房内部顶棚主材燃 烧性能为A级外，其墙面、主材也应选用燃烧性能为A级的不燃性装饰材料，且气密性好、 不变色、不起尘、易清洁、耐腐蚀、变形小并有较好的防静电屏蔽效果。机房天花设计网络机房、接入间采用瓦楞钢板作为顶饰面并设置.C型钢联合吊架。（其中网络机房瓦 楞钢板内填铝箔岩棉保温）。走廊/拆装区保存原有吊顶，局部撤除铝方通格栅吊顶、调整吊顶及灯具。机房灯具采用300mm*1200nini防眩光灯具，灯具的安装与设备、机柜的摆放位置，与桥序号平安域主要功能亟需考虑的平安问题6专网接入区通过智慧城市骨干网连通XXXX 市各政府部门，实现各个委办 局业务系统和大数据中心之间 的连接和信息互通外单位不法人员对数据中心的非法访问外单位不法人员对数据中心业务系统的网络攻击外单位病毒向数据中心的传播7数据前 置区即数据缓冲区，提供XXXX市各委办局数据引入XXXX市智慧 城市数据中心之前数据的汇聚委办局上传的数据被其它委办局用户非法访问8运维管 理区负责对整个数据中心主机、存 储等基础设施，操作系统、数 据库和中间件等系统软件，以 及网络、应用系统等提供集中 监控和运维管理等不法人员对运维管理区服务器的非法访问9运维终 端区为整个数据中心运维人员终端提供接入环境运维人员借运维的便利条件窃取数据中心中的敏感数据10开发测 试区提供XXXX市智慧城市各'业务软件的开发及测试环境第三方开发人员借助开发软件时给自己留的后门从 '业务系统窃取敏感数据，第三方开发人员通过移动 存储介质或其它手段窃取供开发使用的数据11视频区用于存储及调取公安、交管以 及其其它提供视频资源部门海 量视频数据外单位不法人员对视频共享调度平台或视频服务器的网络攻击，非法访问各区域平安防护措施互联网接入区WSZWSZ部署DDOS攻击检测与防护系统分布式拒绝服务攻击(DDoS)是指利用网络协议实现的缺陷或直接通过野蛮手段残忍 地耗尽被攻击对象的资源，H的是让目标计算机或网络无法提供正常的服务或资源访问，使 目标系统服务系统停止响应甚至崩溃，DDOS攻击是目前黑客经常采用而难以防范的攻击手 段，本方案在互联网接入区上联边界部署DDOS攻击检测与防护系统，用于抵御来自外部网 络的 HTTP Get Flood、UDP Flood / UDP DNS Query Flood. ICMP Flood. ACKPlood. Connection Flood、SYN Flood等各种DDOS攻击,准确检测出各种混合复杂的DDoS攻击，并在不影响 正常业务流量情况下对潜在攻击精确识别，实时阻断，即保证了合法流量的传输，也减轻了 出口网关设备的性能压力，以保障用户专网平台业务系统的持续性和稳定性。DDOS攻击检测与防护系统由二局部构成，分别为DDOS攻击检测设备和DDOS攻击清洗 设备，DDOS攻击检测设备旁路部署在DMZ区域交换机，用于检测所有向云主机区域访问的 流量，一旦发现DDOS攻击，会与互联网边界路由器联动，将攻击流量通过BGP协议引入DDOS 攻击清洗设备，清洗后的干净流量再回注回网络中，以保障DDOS攻击能够被很好地过滤擦, 防止位于云主机区的应用系统被DDOS攻击流量攻瘫，保障应用系统的高可用性。部署链路负载均衡目前数据中心有多条互联网接入链路，为了充分利用互联网带宽资源，实现动态域名 解析功能(联通用户访问网站映射的联通地址、电信用户访问网站映射的电信地址)提高互 联网用户对网站访问的用户体验，方案建议在互联网边界部署链路负载均衡设备。由于互联 网总出口网络稳定及业务连续性的要求非常高，本方案将采用链路负载均衡双机部署的方式, 杜绝单点故障的发生，防止因单台负载均衡设备故障而造成互联网访问的中断。部署病毒过滤网关部署病毒过滤网关，在网络边界处通过与设备病毒库的比对，精确识别网络病毒，阻 断网络病毒向互联网前置服务器区及数据中心的传播，从而净化互联网用户对互联网前置服 务器访问流量，降低平安威胁。由于互联网总出口网络稳定及业务连续性的要求非常高，本 方案将采用病毒过滤网关双机部署的方式，杜绝单点故障的发生，防止因单台病毒过滤网关 设备故障而造成互联网访问的中断。部署UTM网关（之前已部署）UTM网关是集访问控制功能与网络攻击防护与一体的的平安设备,通过设备的访问控制 功能，可以逻辑隔离不同的网络区域，实现不同网络区域之间互访的管控，因此在互联网接 入区部署UTM网关系统，用于隔离DMZ区和互联网，并且在UTM网关上以最小化授权为原那么 定义访问控制策略，只开放DMZ区业务系统必要的访问端口，实现对互联网向DMZ区业务系 统访问的精确管控，防止非法访问和越权访问事件的发生。并在UTU网关上开启入侵防御功 能,配置相应阻断网络攻击的平安策略，降低DMZ区服务器遭受互联网黑客攻击的平安风险， 给DMZ区业务系统提供基本的平安保障措施。注：UTM网关在XXXX市智慧城市一期中已经双机部署在互联网边界处。> DMZ 区部署WEB应用防火墙WEB应用防火墙过滤叫汜应用层攻击代码的平安设备，采用串联或旁路的部署方式，对 来自互联网用户对DMZ区网站的访问数据包进行深度监测，在监测到攻击的事件后能够根据 策略快速给予阻断，有效杜绝黑客针对攻击、网络渗透、弱点攻击，特别是有效防范针对网 站的应用层攻击和拒绝服务攻击，从而有效保障网站系统的业务连续性。本方案将在互联网前置区WEB服务器前置部署WEB应用防火墙，阻挡黑客针对DMZ区 WEB服务器的应用层攻击行为，由于DMZ区业务系统对业务连续性的要求非常高，本方案将 采用WEB应用防火墙双机部署的方式，杜绝单点故障的发生，防止因单台WEB应用防火墙故 隙而造成业务系统访问的中断。部署网页防篡改系统在WEB服务器上部署网页防篡改系统监控代理端。通过内核文件底层驱动内嵌到操作 系统中，基于事件触发方式进行自动监测，对NEB服务器文件夹的所有文件内容进行实时监 测，假设发现变更，实时阻断篡改行为。部署应用负载均衡负载均衡产品，通过将流量均衡分配到多个链路或服务器，实现数据中心向互联网提 供的应用快速交付给用户。通过应用负载均衡，可以改善诸如网上查询系统、网上办公系统 等互联网服务的质量。通过合理地部署应用交付设备，互联网用户不仅能近一步改善其访问 业务系统的速度，更可提高数据中心的基础设施效率。由于DMZ区业务系统对业务连续性的要求非常高，本方案将采用应用负载均衡双机部署的方 式，杜绝单点故障的发生，防止因单台负载均衡故障而造成业务系统访问的中断。部署防火墙系统防火墙是实现逻辑隔离功能的平安设备，通过防火堵的访问控制功能，可以逻辑隔离 不同的网络区域，实现不同网络区域之间互访的管控及流量监控，木方案在DMZ区和数据中 心边界部署防火墙系统，在防火墙上以最小化授权为原那么定义防火墙的访问控制策略，只允 许DMZ区服务器向数据中心内部的访问，并实现对DMZ区向数据中心服务器系统访问的精确 管控，防止非法访问和越权访问事件的发生。给数据中心业务系统提供基本的平安保障措施。由F数据中心服务器系统对业务连续性的要求非常高，本方案建议防火墙双机部署， 杜绝单点故障的发生，防止因单台防火墙故障而造成业务系统访问的中断。部署网络数据防泄露系统目前敏感信息泄漏的平安事件层出不穷，究其原因，一方面是因为网站系统存在平安 漏洞（SQL注入漏洞），网站防护措施也不完善，无法抵御互联网黑客的渗透攻击：另一方 面也是因为敏感信息从网络的传输没有识别和阻断的平安手段。因此本方案建议部署数据防 泄漏产品，实时监测网络中传输的信息，自动识别是否存在敏感信息正在通过邮件、网站浏 览等方式向互联网传播，并且根据平安策略来决定是只进行审计，还是既审计，同时还要进 行阻断。> 核心交换区部署入侵检测系统入侵检测系统采用旁路部署方式，本方案建议部署入侵防御系统，监视数据中心不同 平安区域之间的互访中所潜藏的网络攻击行为，及时发现并向平安管理平台汇报，方便平安 管理平台的及时预警和管理员进行相应的处置。以保障数据中心网络的平安性。部署网络审计系统网络审计系统是一套高性能、高稳定性的网络信息平安审计硬件设备，系统通过网络 旁路的方式，监听捕获并分析网络数据包，还原出完整的协议原始信息，并准确记录网络访 问的关键信息。为了加强对网络访问行为的审计，本方案建议在核心交换机上部署网络审计 系统，在核心交换机上将流量镜像到这台网络审计系统上，对网络的访问行为进行集中的审 计，为事后事件的追查提供必要的信息，通过部署网络及数据库审计系统实现的效果如下：1 .网络行为监控、信息内容审计> FTP监控、审计能记录、查询访问文件服务器的FTP用户名、口令字；能记录和回放用户在服务器上的操作过程；对指定端口，指定IP或IP地址段进行监控根据设定的关键词或关键字组合对传输的内容查询、分析、统计，检查可以是自动的对符合条件的相关内容形成证据文件，提供强有力的监控证据文件。设定的条件包括 指定时间、指定IP地址或IP段、协议、用户名、文件名根据用户指定条件，生成报表；> HTTP监控、审计能完全截获，记录，回放，归档被监测网络网段中所有用户浏览WEB页的内容，包括: 各种文件，如HTML文件、图像文件、文本文件等。可对用户访问的某个特定网站进行监控可对指定端口，指定IP地址或IP段进行监控可根据设定的关键词或关键字组合对网页内容查询、分析、统计，检查可以是自动的；根据用户选择的条件，如按时间，IP地址，URL等，对网页数据查询，排序，删除等 操作根据用户指定条件，如某时间段，对数据导出，导入，方便系统管理员或平安审计员 对上网者进行细致监控。根据用户指定条件，生成报表.各种发件内容的还原审查将采集到的各种发件（HTTP、POP3、SMTP、FTP、MSN）进行还原,包括浏览的页面还 原，压缩文件的解压还原，管理可以直接审查发信的明文，为最终确定发信内容提供确证手 段。对于通过页面发送邮件也可以自动分析，并还原成邮件的格式展现给使用者。对于邮件 的附件文件可以直接翻开，比方使用WORD可以直接翻开附件的内容。2 .实现自动关健词发件内容审计检查用户选择需要进行检查的发件的时间范围，由计算机自动进行全文检索，根据用户设 定的关键词库，系统快速进行匹配，对于匹配成功的情况，系统将通过醒H颜色在发件列表 中标示出具体那个发件中标，翻开发件将通过醒目的颜色标示符合条件的关键词的位置。3 .网络数据的综合分析和统计功能，生成用户需要的各种图表根据管理员指定组合条件，如时间，协议，IP地址或IP地址网段，流量等，生成用户 需要的各种图表（报表，直方图，饼图等），包括：针对协议，可以统计监测网络中各协议数据，可以得到用户关心的协议的流量，各协 议发生数量，点击某一记录，可得到关于该记录的具体内容，如协议，IP,发生时间，发件 明文内容等。4 .网络流量监测功能网络管理员即时了解网络连接和通信数据流量状况，还可以根据用户要求，统计某一 时间段（如一天，一周，一个月等）的网络总体流量和某一时间段的流量曲线图，可以得到 何时处于流量高峰，便于管理员监控和调节。> 城市运营区部署应用负载均衡负载均衡产品，通过将流量均衡分配到多个链路或服务器，实现数据中心的应用快速 交付给用户。通过应用负载均衡，可以改善各类应用系统服务的质量。通过合理地部署应用 交付设备，用户不仅能近一步改善其访问业务系统的速度，更可提高数据中心的基础设施效 率。由于城市运营区的业务系统对业务连续性的要求非常高，本方案将采用应用负载均衡 双机部署的方式，杜绝单点故障的发生，防止因单台负载均衡故障而造成业务系统访问的中 断。> 传统数据库区部署数据库审计系统（之前已部署）数据库审计系统是从网络层面针对用户或管理者对数据库操作进行审计的平安产品， 应在传统数据区部署数据库审计系统用于加强对数据库服务器访问的事件审计措施，方便事 后的责任认定和追查。专网接入区部署防火墙系统防火墙是实现逻辑隔离功能的平安设备，通过防火墙的访问控制功能，可以逻辑隔离 不同的网络区域，实现不同网络区域之间互访的管控及流量监控，本方案将在专网接入区部 署防火墙系统，做为云数据中心的边界防护的第道防线，在防火墙上以最小化授权为原那么 定义防火墙的访问控制策略，实现对外部单位向云数据中心业务系统访问的精确管控，防止 非法访问和越权访问事件的发生。由r数据中心业务系统对业务连续性的要求非常高，本方案将采用防火墙双机部署的 方式，杜绝单点故障的发生，防止因单台防火墙故障而造成业务系统访问的中断。部署入侵防御系统入侵防御系统是发现及处置网络攻击的平安措施，应在本区域部署入侵防御系统，监 视外部单位对数据中心访问中所潜藏的网络攻击行为，及时发现，实时阻断并向平安管理平 台汇报，方便平安管理平台的及时预警和管理员进行相应的处置，以加强边界平安防护措施, 保障数据中心的平安性。由数据中心业务系统对业务连续性的要求非常高，本方案将采用入侵防御系统双机 部署的方式，杜绝单点故障的发生，防止因单台入侵防御系统故障而造成业务系统访问的中 断。部署病毒过滤网关部署病毒过滤网关，在网络边界处通过与设备病毒库的比对，精确识别网络病毒，阻 断网络病毒向数据中心的传播，从而净化外部单位对数据中心访问流量，降低平安威胁。由于数据中心业务系统对业务连续性的要求非常高，本方案将采用病毒过滤网关双机 部署的方式，杜绝单点故障的发生，防止因单台病毒过滤网关故障而造成业务系统访问的中 断。> 数据前置区部署防火墙系统（与专网接入区防火墙合并）防火墙是实现逻辑隔离功能的平安设备，通过防火墙的访问控制功能，可以逻辑隔离 不同的网络区域，实现不同网络区域之间互访的管控及流量监控，本方案将在专网接入区部 署防火墙系统，既作为云数据中心的边界防护的第一道防线，乂作为数据前置区边界防护的 手段，在防火堵上以最小化授权为原那么定义防火墙的访问控制策略，实现对外部单位向前置 服务器访问的精确管控，并且在防火墙上及数据前置区交换机上进行VLAN的划分，在数据 前置区给每个委办局单独划分一个VLAN, VLAN的网关落在防火墙匕 原那么上不允许不同委 办局之间在数据前置区进行数据的交互，实现不同委办局数据隔离，防止非法访问和越权访 问事件的发生。由于业务连续性的要求非常高，本方案将采用防火墙双机部署的方式，杜绝单点故障的发.生，防止因单台防火墙故障而造成委办局向前置服务器访问的中断。> 运维管理区核心交换区部署防火墙系统防火墙是实现逻辑隔离功能的平安设备，通过防火焰的访问控制功能，可以逻辑隔离 不同的网络区域，实现不同网络区域之间互访的管控及流量监控，木方案将在运维管理区前 端部署防火墙系统，做为运维管理区边界防护的防线，在防火墙上以最小化授权为原那么定义 防火墙的访问控制策略，实现对进出运维管理区访问流量的精确管控，防止非法访问和越权 访问事件的发生。给运维管理区提供平安保障措施。由于业务连续性的要求非常高，本方案将采用防火墙双机部署的方式，杜绝单点故障 的发生，防止因单台防火墙故障而造成业务系统访问的中断。部署平安交换云平台运维人员与数据中心内部服务器数据的交q是不可防止的，同时很多运维人员是笫三 方人员，例如厂商的技术人员或应用软件的运维人员等等，同时运维人员可以随意从数据中 心服务器中获取数据，将很有可能导致敏感信息的泄露，因此运维人员与数据中心内部服务 器数据的交互必须采取严格的平安管理措施，应在本平安区域中部署平安交换云平台，实现 运维人员与数据中心内部服务器数据的平安可控交互，各委办局与数据中心内部数据平安可 控交互。部署终端数据防泄露系统目前敏感信息泄漏的平安事件层出不穷，究其原因，一方面也是因为敏感信息从网络 的传输没有识别和阻断的平安手段，另一方面也是敏感数据在使用的过程中缺乏监控和管理 架、管道等安装设施有机结合，使机房的装修到达和谐的统一效果。机房地面设计本次网络机房设计地面主要采用硫酸钙抗静电地板，燃烧性能为A级，耐火极限为1 小时。网络机房局部调整及增加水泥找平，地坪上450mm高铺硫酸钙防静电架空地板。接入间、走廊/拆装区保存原有地面。网络机房地板下保温材料选用燃烧性能为B1级的20mm厚橡塑保温板，上铺0. 5厚镀 锌钢板；踢脚线采用60nlm高、1. 0mm厚的拉丝不锈钢踢脚。高架活动地板特点：易于拆卸、安装，配件齐全，灵活组合性强结构坚实，承教能力及过击能力强高抗静电地板面，良好的防静电效果四周封边平整牢固，密封性强，防止潮湿及变形安装简单适合任何地形各区域地板用材及标高参照设计图纸。机房墙面及柱面设计本次采用PRC隔墙系统，在网络机房与走廊/拆装区之间增加PRC隔墙。网络机房、走 廊/拆装区均采用彩钢板墙饰面（局部添补）o接入间保存原有墙面。机房门窗设计接入间调整钢质防火门的门体开启方向。门体性能符合机房建设防火要求，而外形美 观大方、简洁、现代。防火门均加装自动闭门器，以保证各扇门能自动关闭。网络机房轻钢龙骨石膏板保温板封闭外窗，内填50厚保温玻璃棉。的手段。因此本方案建议在运营管理区部署终端数据防泄露系统，在终端对敏感数据的使用 过程中，发现并监控敏感数据，确保敏感数据的合规使用，防止主动或意外的数据泄漏；并 通过对敏感数据的使用行为、平安事件、策略执行记录等内容的审计分析，为数据平安管理 工作提技术支持。部署WEB扫描系统云数据中心城市运营区及DMZ都部署着大量的WEB应用服务器，虽然在一期已部署了 漏洞扫描系统，但漏洞扫描系统重点是探测和发现操作系统、数据库、中间件、网络设备安 全漏洞的产品，而当前业务应用大多采用B/S架构，业务系统提供给用户访问的界面往往是 WEB界面，针对WEB应用平安漏洞的检测和管理机制当前是缺失的，应在本区域部署WEB扫 描系统，及时发现WEB应用存在的平安漏洞，并进行及时的处理。部署堡垒主机（之前已部署）运维人员对其所运维的系统权限非常大，通常是使用管理员用户的权限进行操作，一 旦发生误操作，危害也是相当大，如果不进行规范化地管理和审计，将存在着非常严重的安 全隐患，不仅威胁到业务系统的平安，而且出现问题后，也不利于事故责任的追查。目前设备、服务器的认证方式大多是采用用户名和口令的方式进行认证的，运维人员 需要记住众多的设备、服务器的用户名和密码，并且还要按照平安要求定期更换设备、服务 器的密码，对于运维人员来说，是非常繁琐和痛苦的事。由于设备、服务器的用户名和密码机密性要求非常高，如果运维人员对服务器、设备 的管理会话不采取加密措施，一旦会话被监听，将直接导致设备、服务器的用户和密码的丢 失，如果被别有用心的人员所借用，后果更是不堪设想。因此建议在业务服务器区部署壁垒机，这样一来，在运维监控区的运维人员使用堡垒 机为其分配的用户名和口令，通过加密会话登陆堡垒机，即使管理会话被网络监听，由于会 话加密，也无法获取运维人员的用户名和口令，更无法获取设备、服务器的用户名和口令。另外由于设备、服务器的用户名和口令都加密存放在堡垒机中，运维人员对设备或服 务器的运维操作是通过堡垒机来完成的，运维人员具有哪些设备、服务器的管理权限，也是 预先在堡垒机上设置好的，运维人员无需知道设备、服务器的用户名和口令，就可以通过堡 垒机对所管辖范围内的服务器、网络设备、网络平安设备进行运维操作。同时运维人员对所管理的设备、服务渊所做的任何操作都会被堡垒机所审计，一旦运 维过程中出现意想不到的问题，还可以通过对堡垒机审计日志的查询，了解到所做的操作是 否存在问题，便于故障的排查及故障责任的追查，降低运维的平安风险。部署网络管理系统（之前已部署）随着网络中部署越来越多的网络设备，各个设备的运行状态，配置会造成管理人员的 管理本钱迅猛增加。本方案建议在平安管理区部署网络管理系统，实时对网络设备、服务器、 链路、平安设备的状态进行监视，对突发故障及时报警，以提醒运维人员及时处理。降低管 理人员的管理本钱，及时发现和解决网络故障，从根本上提高网络的稳定性、可靠性，保证 核心业务的高效、稳定和平安运转。部署病毒防护平台（之前已部署）对分布在数据中心的业务服务器和终端，采取有效的病毒防护措施，在业务服务器和 终端上安装杀毒软件，并且在平安管理区部署病毒防护平台，用于对防病毒软件统一的病毒 库升级，以及集中的病毒查杀记录存储，集中监控各服务器及终端病毒进程状态，出现异常 的时候能够迅速报警。部署漏洞扫描系统（之前已部署）漏洞扫描是包括应用检测、漏洞扫描、弱点识别、风险分析、综合评估的脆弱性扫描 与管理评估产品，不但可分析和指出有关网络的平安漏洞及被测系统的薄弱环节，给出详细 的检测报告，并针对检测到的网络平安隐患给出相应的修补措施和平安建议。方案建议在业 务服务器区部署漏洞扫描系统，周期性的对信息网络的业务服务器进行脆弱性扫描，及时发 现业务服务器上存在的各种漏洞，并根据扫描系统提供的修补措施和平安建议进行处置，避 免漏洞为利用。部署平安管理平台（之前已部署）平安管理平台是XXXX市智慧城市数据中心信息平安保障体系的核心，前面所描述的各 个环节的平安设备，都将接受平安管理平台的统一策略管理，方可实现相互之间的关联与互 动，从而更加全面，有效地保障劳动保障信息网络的平安性。XXXX市智慧城市数据中心信息系统的平安建设以资产识别作为切入点，在平安建设中 按照国家法律法规进行平安建设，从资产的平安评估开始，帮助我们很好的了解当前资产的 平安状态，充分识别资产重要性、脆弱性后，了解资产所面临的威胁，结合我们的风险偏好, 不同的资产制定相应的平安策略。依据资产的重要性的不同，可以设定相应的平安基线，以 便有针对性的保护资产进而保护用户的核心业务。平安管理平台针对平安硬件设备及平安终 端上下发平安策略，保证网络中的每一个主体、客体的平安性，从事前、事中、事后不同的 阶段完成平安防护的工作。平安建设往往分为几个阶段，从资产评估、方案设计开始，工程 实施为一个段落，继而进入到平安检查、平安运维阶段。而平安管理平台是整个平安框架的核心和枢纽，作为一个技术系统，它向上为平安策略管理、平安组织管理、平安运维管理提 供自动化协助，同时，更为重要的是，平安管理中心向下贯彻到整个技术层面，他能够收集 来自所有平安设备和非平安设备的信息，进行统一的自动化风险评估，评价是否符合平安管 理的策略和基线，并报告给决策者，还可以提供必要的响应。平安管理中心将平安管理和安 全技术链接起来，作为平安资源整合的必要手段。> 运维终端区核心交换区核心交换区部署防火墙系统（与运维管理区防火墙合并）本区域提供所有运维人员在数据中心的网络接入，运维人员不仅包含本单位的运维人 员，还包括其它厂商，第三方运维公司的运维人员，由于人员复杂，必须加强平安管理措施， 因此建议在本区域边界部署防火墙系统，防火墙是实现逻辑隔离功能的平安设备，通过防火 墙的访问控制功能，可以逻辑隔离不同的网络区域，实现不同网络区域之间互访的管控及流 量监控，在运维终端区域边界部署防火墙系统，可以通过防火墙的访问控制功能，严格控制 运维人员对数据中心资源的访问权限，原那么上只允许运维人员向堡垒主机的访问，以及向安 全交换云平台的访问，封闭其它的访问权限，防止非法访问及越权访问的事件发生，同时也 降低了运维人员借运维管理的便利条件从数据中心窃取数据的平安风险。视频区视族共学调度平台 及视强服务器视族共学调度平台 及视强服务器视频平安接入平台部署防火墙系统防火墙是实现逻辑隔离功能的平安设备，通过防火墙的访问控制功能，可以逻辑隔离 不同的网络区域，实现不同网络区域之间互访的管控及流量监控，视频区应部署防火墙系统, 做为数据中心与各委办局视频网的边界防线。由于业务连续性的要求非常高，本方案将采用防火墙双机部署的方式，杜绝单点故障 的发生，防止因单台防火墙故障而造成业务系统访问的中断。部署DDOS攻击检测与防护系统分布式拒绝服务攻击(DDoS)是指利用网络协议实现的缺陷或直接通过野蛮手段残忍 地耗尽被攻击对象的资源，目的是让目标计算机或网络无法提供正常的服务或资源访问，使 FI标系统服务系统停止响应甚至崩溃，DDOS攻击是目前黑客经常采用而难以防范的攻击手 段，应在视频区与其它视频专网边界部署DDOS攻击检测与防护系统，用于抵御来自外部网 络的 HTTP Get Flood、UDP Flood / UDP DNS Query Flood、ICMP Flood. ACKFlood> Connection Flood、SYN Flood等各种DDOS攻击,准确检测出各种混合复杂的DDoS攻击,并在不影响 正常业务流量情况下对潜在攻击精确识别，实时阻断，即保证了合法流量的传输，也减轻了 边界网关设备的性能压力，以保障数据中心业务系统的持续性和稳定性。部署入侵检测系统入侵检测系统采用旁路部署方式，本区域应部署入侵检测系统，监视视频区访问流量 中所潜藏的网络攻击行为，及时发现并向平安管理平台汇报，方便平安管理平台的及时预警 和管理员进行相应的处置。以保障云数据中心网络的平安性。> 开发测试区部署防火墙系统防火墙是实现逻辑隔离功能的平安设备，通过防火焰的访问控制功能，可以逻辑隔离 不同的网络区域，实现不同网络区域之间互访的管控及流量监控，木方案将在开发测试区前 端部署防火墙系统，实现开发环境与生产环境的隔离，在防火墙上禁止从开发环境向生产环 境的访问，并以最小化授权为原那么定义防火墙的访问控制策略，严格管控生产环境向开发环 境的访问行为，防止非法访问和越权访问事件的发生。部署数据脱敏系统在生产环境下，防止信息泄露已经建立了比拟完善、成熟的平安防护体系，但是非生 产环境下进行开发、测试、培训以及外包的挖掘分析对数据的平安防护还没有形成一个有效 防护体系，本方案建议在开发测试区部署数据脱敏系统，实现在开发环境下对敏感信息的保护， 具体实现功能如下：1、数据的抽取、脱敏、装载的自动运行，减少不必要的人机交互过程；2、实现整个流程的批最化、自动化、智能化处理；3、保障数据脱敏效率和质量，确保脱敏过的数据完整性和一致性；4、脱敏流程可记录、可保存、可重用；5、脱敏流程、敏感信息灵活配置；6、提供流程审计功能；委办局外委办同局那么委办局委办局委办局云数据中心祝M平安接入平台专3Tm3平安产品列表部署 区域设备名称设备配置数量单位互联网区抗 DDOS设备2U机箱最大配置为34个接口，默认包括3个可插拨 的扩展槽和 2 个 10/100/1OOOBASE-T 接口，2 个 SFPplus 插槽标配模块化双冗余电源，清洗性能：lOGbps,最 大保护服务器数量：2000台，小包防御能力（64字节 /pps）： 1480 万 pps2台互联网区链路负载 均衡2U机架式结构；标配 6 个 10/100/1000BASE-TX 接口; 4 个 SFP 插槽;1个扩展卡槽位，4个万兆接口支持万兆模块；缺省为双电源；四层新建:40W七层新建:80W整机吞吐量:>10Gbps最大并发连接数：>800W2台互联网区病毒过滤 网关2U机箱最大配置为34个接口，默认包括2个可插拨的 扩展槽,2个10/100/1000BASE-T接口 （作为HA 口和管 理口）, 4 个 SFP 插槽和 4 个 10/100/1000BASE-T 接口 2 个万兆接口标配模块化双冗余电源，默认电口具有两 组BYPASS接口默认含：企业版查杀病毒功能，包括 企业版快速扫描防病毒查杀和企业版深度扫描防病毒 查杀，含3年病毒库升级服务许可（快速+深度） 整机吞吐率:6Gbps最大并发连接数：400W病毒检测吞吐率:2. 2Gbps2台部署 区域设备名称设备配置数量单位DMZ区应用负载均衡2U机架式结构：标配 6 个 10/100/1000BASE-TX 接口; 4 个 SFP 插槽;3个扩展卡槽位，支持万兆模块；缺省为双电源；四层新建：40W七层新建：80W整机吞吐量：10Gbps最大并发连接数：800W2台DMZ区防火墙2U机箱最大配置为34个接口，默认包括4个可插拨的扩展槽和 2 个 10/100/1000BASE-T 接口标配双冗余电源整机吞吐率:24Gbps最大并发连接数：400W4个万兆接口2台DMZ区网络数据 防泄露硬件配置：2U机箱/双电源/10 口千兆电口，/7个扩展插槽/4T硬盘产品功能：1、管理控制中心：策略配置、网络事件审计、指纹与 特征库管理、系统管理2、数据检测引擎：关键字、正那么、数据标识符、数据 库指纹、文档指纹、机器分类、文件大小、文件类型、 文件名、协议、发送者、接收者等3、文件识别引擎：1000+文件类型识别,300+文件内容提取4、监控协议：HTTP/SMTP/P0P3/IMAP/FTP/SMB 协议等DLP审计吞吐率：8()0Mbps识别文件类型1000种2台部署 区域设备名称设备配置数量单位支持提取文件内容的文件类型300种DMZ区WEB应用防火墙2U机架式结构：最大配置为66个接口：默认包括7个 可插拨的扩展槽和2个SFP+万兆插槽，2个10/100/1000BASE-T 接口 （作为 HA 口和管理口）;含 1年特征库升级服务；双电源；内含SQL注入、XSS、CSRF 等WEB攻击防护功能、URL访问控制功能、防盗链功能、 WEB漏洞扫描功能、DD0S攻击防护功能、网页防篡改功 能、服务器负载均衡功能、报表分析及告警功能 并发连接500万：吞吐率6000Mbps2台DMZ区网页防 篡改网页防篡改保护系统基本包，含软件狗1套核心交 换区入侵检测 系统2U机箱最大配置为26个接口，默认包括2个扩展槽位和2个10/100/1000BASE-T接口（作为 HA 口和管理口），4 个SFP+插槽万兆接口标配双电源默认含：3年IDP攻击规那么特征库升级许可整机吞吐率:15Gbps最大并发连接数：300WIDS 吞吐率:6Gbps1台专网接 入区防火墙1 .提供=4个千兆电口，=4个千兆光口，=4个万兆光 口，机架设备，冗余电源；2 .整机吞吐量220Gbps,并发连接数24, 000, 000：2台部署 区域设备名称设备配置数量单位专网接 入区病毒过滤 网关2U机箱 最大配置为34个接1 1,默认包括2个可插拨的 扩展槽,2个10/100/1000BASE-T接口 （作为HA 口和管 理口），4 个 SFP 插槽和 4 个 10/100/1000BASE-T 接口 2 个万兆接口标配模块化双冗余电源，默认电口具有两 组BYPASS接口默认含：企业版查杀病毒功能，包括 企业版快速扫描防病毒查杀和企业版深度扫描防病毒 查杀，含3年病毒库升级服务许可（快速+深度） 整机吞吐率：6Gbps最大并发连接数：400W病毒检测吞吐率：2. 2Gbps2台专网接 入区入侵防御2U机箱最大配置为26个接口，默认包括2个扩展槽位和2个10/100/1000BASE-T 接口（作为 HA 口和管理口），4 个SFP+插槽万兆接口标配双电源默认含：3年IDP攻击规那么特征库升级许可整机吞吐率:15Gbps最大并发连接数：3001VIPS 吞吐率：6Gbps2台视频区防火墙1 .提供=4个千兆电口，=4个千兆光口，=4个万兆光 口，机架设备，冗余电源；2 .整机吞吐量220Gbps,并发连接数24, 000, 000；2台视频区抗DDOS设备2U机箱最大配置为34个接口，默认包括3个可插拨 的扩展槽和 2 个 10/100/1000BASE-T 接口 ,2 个 SFPplus 插槽标配模块化双冗余电源，清洗性能：lOGbps,最 大保护服务器数量：2000台，小包防御能力（64字节 /pps）： 1480 万 pps2台保温工程为保证机房内电子设备的平安稳定的工作，在机房使用机房专用空调，开机时机房内 温度在22-24度；湿度在45265乐 空调常年24小时运行，以保证机房内的恒温、恒湿。 而大楼的中央空调，一般只在正常工作时间运行，即8小时工作。在大楼的中央空调不运行 的时间，机房和上下紧邻的楼层变会产生明显温差，这样会损失大量的冷量，同时会产生结 露现象，影响运行平安。因此应将机房六面进行必要的保温处理。本方案采用地面（网络机 房）、顶面（网络机房）保温处理。2.4主要装修材料技术参数2.4.1 光泽度15-20%保温板品牌：华美导热系数低，完全闭孔结构，绝热效果持久良好；材料与水汽完全隔绝，不吸水，不 凝露，使用寿命长，经过SGS检测，其实测值远远低于欧盟关于不含有毒物质的标准值，使 用健康平安；外表柔软美观，易弯曲，施工方便快捷，而且无需其他辅材闭泡式结构能够有效地阻止热传导导热系数，在0° C时不超过0. 034W/m-k外表放热系数高，到达9W/m2k具有优异的抗水汽渗透能力湿阻u 25, 000构成“内置”的防水汽层，使保温板整体 既是保温层又是防潮层，吸水率晚防火性能好氧指数32以上安装简易快捷不含CFC, HFC或HCFC等含氟烧材料不含甲醛、粉尘和纤维密度2030kg/m3导热系数WO. 035w/m. k氧指数227抗拉强度2. 2kg/cm2压缩硬度0. 5kg/cm2回弹率90%适用温度范围（-