XXXXX電子政務(wù)云資源使用申請(qǐng)書

XXXX電子政務(wù)云資源使用申請(qǐng)書項(xiàng)目建設(shè)單位： XXX單位日期： XXX年X月XX日目錄TOC\o"1-5"\h\z\o"CurrentDocument"第一章項(xiàng)目簡介 4\o"CurrentDocument"1.1項(xiàng)目名稱、項(xiàng)目業(yè)主單位 4\o"CurrentDocument"1.2項(xiàng)目建設(shè)內(nèi)容概況 4\o"CurrentDocument"1.3項(xiàng)目負(fù)責(zé)人及聯(lián)系電話 4\o"CurrentDocument"第二章項(xiàng)目總體目標(biāo) 5\o"CurrentDocument"2.1建設(shè)原則 5\o"CurrentDocument"2.2總體目標(biāo)與分期目標(biāo) 5\o"CurrentDocument"2.2.1總體目標(biāo) 5\o"CurrentDocument"2.2.2分期目標(biāo) 6\o"CurrentDocument"2.3總體建設(shè)內(nèi)容與規(guī)模 6\o"CurrentDocument"2.4本期工程建設(shè)內(nèi)容與規(guī)模 6\o"CurrentDocument"第三章 項(xiàng)目本期建設(shè)方案 7\o"CurrentDocument"3.1功能與性能需求 7\o"CurrentDocument"3.1.1系統(tǒng)功能需求分析 7\o"CurrentDocument"3.1.2系統(tǒng)性能需求分析 9\o"CurrentDocument"3.2網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì) 11\o"CurrentDocument"3.2.1組網(wǎng)詳細(xì)設(shè)計(jì) 12\o"CurrentDocument"網(wǎng)絡(luò)拓?fù)鋱D 12\o"CurrentDocument"3.2.2數(shù)據(jù)核心區(qū) 12\o"CurrentDocument"3.2.3應(yīng)用負(fù)載均衡器設(shè)計(jì) 13\o"CurrentDocument"3.2.4網(wǎng)絡(luò)管理區(qū)域設(shè)計(jì) 13\o"CurrentDocument"3.3應(yīng)用系統(tǒng)設(shè)計(jì) 14\o"CurrentDocument"3.3.1應(yīng)用綜合支撐平臺(tái)功能需求 14\o"CurrentDocument"3.3.2應(yīng)用平臺(tái)系統(tǒng)的劃分 15\o"CurrentDocument"3.4系統(tǒng)安全設(shè)計(jì) 15\o"CurrentDocument"3.4.1安全域的劃分 16\o"CurrentDocument"3.4.2防火墻部署設(shè)計(jì) 16\o"CurrentDocument"3.4.3防火墻策略設(shè)計(jì) 17\o"CurrentDocument"3.4.4網(wǎng)絡(luò)的智能主動(dòng)防御 17\o"CurrentDocument"3.5信息與資源共享 18\o"CurrentDocument"3.5.1本期項(xiàng)目應(yīng)用去公共資源平臺(tái)情況及原因說明 18\o"CurrentDocument"3.5.2項(xiàng)目資源共享情況表 19\o"CurrentDocument"3.6設(shè)備與軟件配置 19\o"CurrentDocument"3.6.1軟硬件件選型原則 19\o"CurrentDocument"3.6.2軟件配置清單 19\o"CurrentDocument"3.6.3硬件配置清單 19\o"CurrentDocument"第四章項(xiàng)目實(shí)施計(jì)劃安排 21\o"CurrentDocument"第五章總投資估算和資金籌措 22\o"CurrentDocument"5.1總投資估算及有關(guān)說明 22\o"CurrentDocument"5.2項(xiàng)目總投資估算 22\o"CurrentDocument"5.3資金來源與落實(shí)情況 22\o"CurrentDocument"第六章主要結(jié)論和建議 23第一章項(xiàng)目簡介1.1項(xiàng)目名稱、項(xiàng)目業(yè)主單位XXX單位對(duì)外服務(wù)公眾平臺(tái)，簡稱XXX單位對(duì)外服務(wù)公眾平臺(tái)1.2項(xiàng)目建設(shè)內(nèi)容概況以發(fā)展智慧城市的國家戰(zhàn)略為指導(dǎo)思想，以現(xiàn)代企業(yè)管理和項(xiàng)目管理知識(shí)為理論基礎(chǔ)，結(jié)合XX中心的實(shí)際情況，通過與專業(yè)信息管理軟件公司開發(fā)合作，開發(fā)出一套靈活方便、安全先進(jìn)、涵蓋全面的對(duì)外服務(wù)器專業(yè)信息化管理系統(tǒng)，以達(dá)到支持智慧XX區(qū)的合理建設(shè)、加強(qiáng)企業(yè)經(jīng)營管理的目標(biāo)。系統(tǒng)將開發(fā)出XX中心、XX館和XX中心三個(gè)模塊，下設(shè)約XX個(gè)子系統(tǒng)，包括微信平臺(tái)和手機(jī)端APP的建設(shè)，利用XX中心原有的房間進(jìn)行改造成系統(tǒng)機(jī)房，約為XXXE，包括機(jī)房的配套系統(tǒng)建設(shè)。存放系統(tǒng)的服務(wù)器約為XX臺(tái)。預(yù)計(jì)建設(shè)工期為XX個(gè)月，以上軟硬件以及建設(shè)費(fèi)用總計(jì)約為XXX萬元，資金來源為政府撥款。1.3項(xiàng)目負(fù)責(zé)人及聯(lián)系電話項(xiàng)目負(fù)責(zé)人：XXX聯(lián)系電話：XXXXXXXXXXXX第二章項(xiàng)目總體目標(biāo)2.1建設(shè)原則實(shí)用性原則系統(tǒng)的性能指標(biāo)應(yīng)能夠滿足網(wǎng)絡(luò)內(nèi)各項(xiàng)業(yè)務(wù)對(duì)處理能力的要求。整個(gè)系統(tǒng)的性能應(yīng)當(dāng)是可靠的，便于管理的。能夠最大限度的滿足實(shí)際工作的要求，把滿足用戶的業(yè)務(wù)管理作為第一要素進(jìn)行考慮，采用集中管理控制的模式，所采用的設(shè)備應(yīng)當(dāng)是易于管理維護(hù)。先進(jìn)性原則設(shè)計(jì)立足先進(jìn)技術(shù)，采用的先進(jìn)的系統(tǒng)結(jié)構(gòu)、開放的體系結(jié)構(gòu)，以適應(yīng)大量數(shù)據(jù)傳輸以及多媒體信息的傳輸。使整個(gè)系統(tǒng)在國內(nèi)三到五年內(nèi)保持領(lǐng)先的水平，并具有長足的發(fā)展能力，以適應(yīng)未來網(wǎng)絡(luò)技術(shù)的發(fā)展。，和系統(tǒng)使用當(dāng)中的科學(xué)性。可靠性原則整個(gè)網(wǎng)絡(luò)方案選用高可靠性的網(wǎng)絡(luò)設(shè)備，并在設(shè)計(jì)上采用備份冗余式的設(shè)計(jì)，保證了網(wǎng)絡(luò)的可靠性。要為系統(tǒng)以后的升級(jí)預(yù)留空間，系統(tǒng)維護(hù)是整個(gè)系統(tǒng)生命周期中所占比例最大的，要充分考慮結(jié)構(gòu)設(shè)計(jì)的合理、規(guī)范對(duì)系統(tǒng)的維護(hù)可以在很短時(shí)間內(nèi)完成。安全性原則在系統(tǒng)設(shè)計(jì)中、既考慮資源的充分共享、更要注意信息的保護(hù)和隔離，即系統(tǒng)的安全性和保密性。高效性原則在保證系統(tǒng)先進(jìn)、可靠和高性能價(jià)格比的前提下，通過優(yōu)化設(shè)計(jì)達(dá)到最經(jīng)濟(jì)性的目標(biāo)。穩(wěn)定性及可靠性、易用性、靈活性和兼容性、可持續(xù)發(fā)展性及可擴(kuò)展性、性能與成本的良好平衡。2.2總體目標(biāo)與分期目標(biāo)2.2.1總體目標(biāo)將XX地區(qū)預(yù)約、XX地區(qū)管理，XX館預(yù)約，XX館管理，會(huì)議室管理、會(huì)議室審批和會(huì)議室信息顯示整合在一起，減少人員線下操作，提高工作效率。統(tǒng)一管理協(xié)調(diào)會(huì)議室資源，提高XX中心行政管理能力；合理高效使用會(huì)議室資源，加強(qiáng)領(lǐng)導(dǎo)對(duì)企業(yè)資源的掌控；了解會(huì)議室的使用情況，打造公平透明的會(huì)議室管理。2.2.2分期目標(biāo)1） 利用現(xiàn)有網(wǎng)絡(luò)資源，建立領(lǐng)導(dǎo)指示、人員操作、會(huì)議管理和數(shù)據(jù)處理等一體化的XX地區(qū)、會(huì)議預(yù)定系統(tǒng)。2） 建成的XX地區(qū)、XX館、會(huì)議預(yù)定系統(tǒng)成為能被充分利用，方便實(shí)時(shí)實(shí)現(xiàn)多組業(yè)務(wù)交流（可同時(shí)滿足多個(gè)會(huì)議同時(shí)召開，互不影響），既可以滿足正式嚴(yán)肅的群體會(huì)議交流需要，也可以隨時(shí)隨地解決多方的辦公協(xié)作。3） 內(nèi)部培訓(xùn):教學(xué)工作持續(xù)發(fā)展源動(dòng)力在于如何提供教職工自身綜合素質(zhì)、相關(guān)教學(xué)技能,通過內(nèi)部培訓(xùn)也是提高綜合素質(zhì)的主要手段之一，通過系統(tǒng)相關(guān)功能，能有效的進(jìn)行內(nèi)部培訓(xùn)，同時(shí)對(duì)通過綜合視頻系統(tǒng)進(jìn)行。4） 上級(jí)領(lǐng)導(dǎo)可以掌控整體XXX單位對(duì)外服務(wù)公眾平臺(tái)系統(tǒng)，直接調(diào)控整體會(huì)議協(xié)作情況。5） 協(xié)同辦公提升績效管理。用XXX單位對(duì)外服務(wù)公眾平臺(tái)系統(tǒng)，可以加強(qiáng)管理力度，增強(qiáng)競(jìng)爭力；統(tǒng)一規(guī)劃、逐級(jí)管理、進(jìn)一步加強(qiáng)內(nèi)部溝通。6） 領(lǐng)導(dǎo)出差在外用手機(jī)客戶端可以直接進(jìn)入到XXX單位對(duì)外服務(wù)公眾平臺(tái)系統(tǒng)中來，實(shí)現(xiàn)“移動(dòng)辦公管理”。2.3總體建設(shè)內(nèi)容與規(guī)模本系統(tǒng)的總體建設(shè)任務(wù)是實(shí)現(xiàn)XXX單位對(duì)外服務(wù)公眾平臺(tái)系統(tǒng)的信息化、系統(tǒng)化、規(guī)范化。2.4本期工程建設(shè)內(nèi)容與規(guī)模本期工程的建設(shè)內(nèi)容是以先進(jìn)成熟的計(jì)算機(jī)和通信技術(shù)為主要手段，建成體系結(jié)構(gòu)先進(jìn)、系統(tǒng)功能齊全、業(yè)務(wù)管理規(guī)范、信息規(guī)范共享、應(yīng)用操作簡便.并充分考慮與上級(jí)及下級(jí)各級(jí)部門的計(jì)算機(jī)網(wǎng)絡(luò)信息管理系統(tǒng)的資源共享、信息傳遞，實(shí)現(xiàn)企業(yè)內(nèi)部信息資源化、傳輸網(wǎng)絡(luò)化、管理計(jì)算機(jī)化和決策科學(xué)化，形成一個(gè)合理的企業(yè)管理信息化的網(wǎng)絡(luò)基礎(chǔ)平臺(tái)。實(shí)現(xiàn)XX中心、XX館和XX中心工作流程化，便捷化。完成XX中心和XX館的參觀預(yù)定任務(wù)，展品管理，展項(xiàng)管理和XX中心的會(huì)議預(yù)定流程，會(huì)議室管理等操作，廣泛服務(wù)社會(huì)大眾群體，方便用戶預(yù)約，使用，支付，增加我們的自身產(chǎn)品宣傳，擴(kuò)大影響力，增加我們的用戶數(shù)量和知名度，達(dá)到和服務(wù)更多人的目標(biāo)。第三章項(xiàng)目本期建設(shè)方案3.1功能與性能需求3.1.1系統(tǒng)功能需求分析一、XX地區(qū)部分前臺(tái)頁面部分XX中心的歷史，組織，法律法規(guī)等信息介紹；最新的新聞資訊信息；展品的介紹；游客參觀導(dǎo)覽信息；XX地區(qū)最新技術(shù)的研究和學(xué)術(shù)的討論；相關(guān)技術(shù)項(xiàng)目報(bào)告會(huì)議的信息；實(shí)現(xiàn)游客注冊(cè)登錄，對(duì)客戶自身信息的管理和預(yù)約的管理；實(shí)現(xiàn)游客留言板等互動(dòng)模塊；提供短信，電話，微信，手機(jī)客戶端等多種預(yù)約參觀的方式；手機(jī)APP端實(shí)現(xiàn)掌上導(dǎo)覽服務(wù)。后臺(tái)管理部分后臺(tái)主要是提供管理員訪問界面，能夠管理前臺(tái)的各個(gè)網(wǎng)頁的信息;注冊(cè)用戶信息管理；網(wǎng)上預(yù)約信息管理和審批；短信通知系統(tǒng)的管理；微信系統(tǒng)的管理；展品的管理；參觀信息的發(fā)布管理；管理員用戶對(duì)系統(tǒng)用戶的管理；管理員操作的日志管理；訪問者統(tǒng)計(jì)管理；數(shù)據(jù)庫的管理；網(wǎng)頁圖片和視頻的管理；用戶留言板等互動(dòng)模塊的管理；手機(jī)APP端的后臺(tái)管理模塊；系統(tǒng)初始化功能；數(shù)據(jù)庫需求自動(dòng)和手動(dòng)備份功能；數(shù)據(jù)表關(guān)系視圖的級(jí)聯(lián)刪除；實(shí)現(xiàn)自動(dòng)清除冗余文件；定期刪除保存的文件；自動(dòng)監(jiān)控功能；存儲(chǔ)多個(gè)服務(wù)器，自動(dòng)同步；系統(tǒng)安全性需求傳輸加密，客戶信息加密，實(shí)現(xiàn)密碼的管理，建立遠(yuǎn)程監(jiān)控。二、 XX館部分前臺(tái)頁面部分XX館的信息介紹；最新的新聞資訊信息；安全展項(xiàng)的介紹；實(shí)現(xiàn)游客注冊(cè)登錄，對(duì)客戶自身信息的管理和預(yù)約的管理；實(shí)現(xiàn)游客留言板等互動(dòng)模塊；提供短信，電話，微信，手機(jī)客戶端等多種預(yù)約參觀的方式；后臺(tái)部分展項(xiàng)的管理；預(yù)約電話與電腦聯(lián)機(jī)，預(yù)約成功后實(shí)現(xiàn)自動(dòng)推送、提醒等服務(wù)功能;三、 會(huì)議部分前臺(tái)頁面部分XX中心簡介；XX中心新聞；游客注冊(cè)登陸并管理信息；會(huì)議預(yù)約流程；會(huì)議室的介紹；會(huì)議室實(shí)時(shí)狀態(tài)圖；會(huì)議方案服務(wù)；會(huì)務(wù)信息；后臺(tái)管理部分后臺(tái)管理基本同XX地區(qū)部分的后臺(tái)管理需求相同，下面列舉一下會(huì)議特殊的幾點(diǎn)流程需求。1） 后臺(tái)會(huì)議室實(shí)時(shí)狀態(tài)圖管理；2） 會(huì)議預(yù)定審批流程管理；3） 會(huì)議室信息管理。4） 會(huì)議顯示屏信息發(fā)布管理5） 會(huì)議預(yù)定信息管理6） 會(huì)議預(yù)定統(tǒng)計(jì)安全策略同XX地區(qū)部分。手機(jī)APP部分需要實(shí)現(xiàn)能掌上展示網(wǎng)站的前后臺(tái)大部分的功能，并實(shí)現(xiàn)掌上辦公。3.1.2系統(tǒng)性能需求分析根據(jù)需求分析我們可以歸納系統(tǒng)所應(yīng)要求的性能：①系統(tǒng)響應(yīng)時(shí)間：響應(yīng)時(shí)間指完成目標(biāo)系統(tǒng)中的交互或批量業(yè)務(wù)處理所需的響應(yīng)時(shí)間。根據(jù)業(yè)務(wù)處理類型的不同，可以劃分為三類：交互類業(yè)務(wù)、查詢類業(yè)務(wù)和大數(shù)據(jù)量批處理類業(yè)務(wù)，分別給出響應(yīng)時(shí)間要求的參考值，包括峰值響應(yīng)時(shí)間、平均響應(yīng)時(shí)間，時(shí)實(shí)查詢。1） 交互類業(yè)務(wù)，交互業(yè)務(wù)具有較高的響應(yīng)要求。2） 查詢類業(yè)務(wù)，如登記資料查詢、申報(bào)表查詢等。查詢業(yè)務(wù)由于受到查詢的復(fù)雜程度、查詢的數(shù)據(jù)量大小等因素的影響，需要根據(jù)具體情況而定，在此給出一個(gè)參考范圍。如有特殊要求，在具體開發(fā)文檔中單獨(dú)給出響應(yīng)時(shí)間要求。3） 大數(shù)據(jù)量、批處理業(yè)務(wù)處理需要的相應(yīng)時(shí)間。系統(tǒng)的可靠性系統(tǒng)應(yīng)保證在正常情況下和極端情況下業(yè)務(wù)邏輯的正確性。1） 無單點(diǎn)故障系統(tǒng)應(yīng)不受任何單點(diǎn)故障的影響。2） 故障恢復(fù)系統(tǒng)應(yīng)能夠在半小時(shí)內(nèi)從故障中恢復(fù)。3） 災(zāi)難恢復(fù)當(dāng)災(zāi)難被發(fā)布后（beingdeclared），核心系統(tǒng)應(yīng)在2小時(shí)內(nèi)恢復(fù)?？蓴U(kuò)展性可擴(kuò)展性是指系統(tǒng)具有適應(yīng)業(yè)務(wù)需求變化的能力，當(dāng)系統(tǒng)新增業(yè)務(wù)功能或現(xiàn)有業(yè)務(wù)功能改變時(shí)（業(yè)務(wù)流程變化、人員的變化、規(guī)則的改變、代碼改變、界面的改變等），不可避免將帶來系統(tǒng)的改變，好的系統(tǒng)應(yīng)在系統(tǒng)構(gòu)架上考慮能以盡量少的代價(jià)適應(yīng)這種變化，應(yīng)盡可能的保證業(yè)務(wù)變化造成的影響局部化。易用性易用性是指系統(tǒng)易于使用的程度，主要有以下幾方面：1） 系統(tǒng)所有的業(yè)務(wù)功能界面風(fēng)格和操作流程一致；2） 業(yè)務(wù)表單盡量做到所見即所得；3） 信息錄入能夠完全通過鍵盤完成；4） 界面美觀、簡潔、高效；5） 界面各部件的布局應(yīng)該保持合理性和一致性；6） 常用操作有快捷鍵支持，大部分操作能夠在小鍵盤內(nèi)完成；7） 在前端還應(yīng)提供一些智能化的校驗(yàn)功能提供友好聯(lián)機(jī)的幫助信息，對(duì)各種狀態(tài)和操作結(jié)果進(jìn)行及時(shí)的反饋和提示。伸縮性統(tǒng)伸縮性是指系統(tǒng)規(guī)?；蛉萘繑U(kuò)大時(shí)，能方便地在各個(gè)層次進(jìn)行擴(kuò)充。系統(tǒng)規(guī)模擴(kuò)大，例如會(huì)議預(yù)定系統(tǒng)，由于數(shù)據(jù)量和訪問量都很大，有可能從核心征管系統(tǒng)中獨(dú)立出來形成子系統(tǒng)。核心系統(tǒng)應(yīng)該滿足從統(tǒng)一入口的訪問，能容易地分流到新增的子系統(tǒng)而不改變?cè)瓉淼募軜?gòu)。當(dāng)系統(tǒng)擴(kuò)容時(shí)，可以方便地通過增加各層的服務(wù)器（如WEB服務(wù)器、應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器）數(shù)量，實(shí)現(xiàn)應(yīng)用負(fù)載均衡，將系統(tǒng)的應(yīng)用負(fù)載擴(kuò)展至多臺(tái)服務(wù)器承擔(dān)，從而有效提高系統(tǒng)總體的負(fù)荷，保證系統(tǒng)合理的響應(yīng)時(shí)間和吞吐量?？捎眯员鞠到y(tǒng)的業(yè)務(wù)滿足7X24小時(shí)可以使用?？梢浦残钥梢浦残允侵副鞠到y(tǒng)可運(yùn)行在不同的硬件平臺(tái)、不同的操作系統(tǒng)、不同的系統(tǒng)軟件上。可管理性可管理性是指系統(tǒng)接受管理和監(jiān)控的程度，可管理性主要包含三個(gè)層次：硬件設(shè)備和網(wǎng)絡(luò)設(shè)備的可管理性；服務(wù)器的可管理性；應(yīng)用系統(tǒng)的可管理性。硬件設(shè)備和網(wǎng)絡(luò)設(shè)備，如主機(jī)、路由器、交換機(jī)等，都要求提供標(biāo)準(zhǔn)的管理接口，可以方便地對(duì)其進(jìn)行遠(yuǎn)程管理，讀取設(shè)備的狀態(tài)和對(duì)設(shè)備進(jìn)行配置。數(shù)據(jù)庫服務(wù)器和應(yīng)用服務(wù)器等類型的服務(wù)器，也要求提供相應(yīng)的管理接口，可以方便地對(duì)其進(jìn)行遠(yuǎn)程管理，讀取服務(wù)器的狀態(tài)和對(duì)服務(wù)器進(jìn)行配置。應(yīng)用系統(tǒng)也要求構(gòu)件提供管理接口，以方便對(duì)系統(tǒng)進(jìn)行管理和優(yōu)化。無論是哪個(gè)層次的可管理性，都要求提供標(biāo)準(zhǔn)的管理接口，才能進(jìn)行管理；而且要實(shí)現(xiàn)統(tǒng)一的、一致的日志功能，方便對(duì)系統(tǒng)進(jìn)行跟蹤和檢查?？芍赜眯钥芍赜眯灾饕侵杠浖a(chǎn)品在不同的系統(tǒng)開發(fā)中可以被重復(fù)利用的程度。要提高系統(tǒng)的可重用性，應(yīng)采用構(gòu)件化的設(shè)計(jì)思想，即在提供標(biāo)準(zhǔn)化的服務(wù)接口的前提下可以替換各種可選的實(shí)現(xiàn)，而不會(huì)影響系統(tǒng)其他部分的實(shí)現(xiàn)，以此將系統(tǒng)可重用部分可能的變更充分的局部化。可維護(hù)性可維護(hù)性指軟件能夠被簡單方便地修改和升級(jí)，包括可讀性、可修改性?？勺x性可修改性要求在系統(tǒng)的開發(fā)過程中要有規(guī)范、清晰、完整和詳細(xì)的文檔，如業(yè)務(wù)需求階段要有業(yè)務(wù)用例模型、業(yè)務(wù)活動(dòng)圖、業(yè)務(wù)規(guī)則、表征單書等；系統(tǒng)需求分析階段要求有系統(tǒng)用例模型、用例文檔、規(guī)則說明等；概要設(shè)計(jì)階段要求有宏觀設(shè)計(jì)文檔；詳細(xì)設(shè)計(jì)階段要求有類圖、時(shí)序圖等；編碼階段要求有程序設(shè)計(jì)說明、變量定義說明等；測(cè)試階段要有測(cè)試用例、測(cè)試記錄等。易于升級(jí)要求數(shù)據(jù)庫、應(yīng)用服務(wù)器、開發(fā)工具能方便地進(jìn)行版本升級(jí)，具有向下兼容性；易于升級(jí)也要求客戶端的升級(jí)工作量較小，在這方面瀏覽器客戶端的維護(hù)比GUI客戶端要小得多。3.2網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)網(wǎng)絡(luò)系統(tǒng)作為本項(xiàng)目的基礎(chǔ)設(shè)施，采用市場(chǎng)主流產(chǎn)品和業(yè)界成熟技術(shù)，并充分考慮系統(tǒng)的擴(kuò)展能力、容錯(cuò)能力和糾錯(cuò)能力，確保整個(gè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施運(yùn)行穩(wěn)定、可靠。

3.2.1組網(wǎng)詳細(xì)設(shè)計(jì)網(wǎng)絡(luò)系統(tǒng)從功能上劃分為接入?yún)^(qū)、應(yīng)用服務(wù)區(qū)、數(shù)據(jù)核心區(qū)、運(yùn)維管理區(qū)和測(cè)試區(qū)。結(jié)合上述的業(yè)務(wù)分區(qū)，按照結(jié)構(gòu)化、模塊化、虛擬化的設(shè)計(jì)原則，實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)的高性能、高可用、易擴(kuò)展、易管理的建設(shè)目標(biāo)。網(wǎng)絡(luò)拓?fù)鋱D3.2.2數(shù)據(jù)核心區(qū)數(shù)據(jù)核心區(qū)用于服務(wù)器虛擬化、中間件集群、數(shù)據(jù)庫集群及存儲(chǔ)虛擬化。為保證網(wǎng)絡(luò)的一致性，便于后續(xù)運(yùn)維管理及備品備件，這些區(qū)域采用滿足相同要求和技術(shù)的交換機(jī)組網(wǎng)。接入交換機(jī)下行與服務(wù)器互連鏈路為千兆，上行與核心交換機(jī)可為萬兆捆綁或者千兆捆綁，配合核心交換機(jī)進(jìn)行跨設(shè)備捆綁，消除環(huán)路，避免STP協(xié)議的部署。3.2.3應(yīng)用負(fù)載均衡器設(shè)計(jì)設(shè)備的作用主要是負(fù)載均衡。工作方式為使用虛擬服務(wù)器(VirtualServer)的IP地址統(tǒng)一接收用戶訪問請(qǐng)求，通過一種負(fù)載均衡方式，將請(qǐng)求分發(fā)到幾臺(tái)實(shí)際的服務(wù)器上。3.2.4網(wǎng)絡(luò)管理區(qū)域設(shè)計(jì)網(wǎng)絡(luò)管理是保證一個(gè)大型網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行的重要環(huán)節(jié)，需要有全局的網(wǎng)絡(luò)配置工具，及時(shí)地發(fā)現(xiàn)網(wǎng)絡(luò)問題，監(jiān)控網(wǎng)絡(luò)流量，及時(shí)調(diào)整參數(shù)，分析預(yù)測(cè)未來。因此我們配備一套專業(yè)、完善的網(wǎng)絡(luò)管理系統(tǒng)，來保證網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行。這套系統(tǒng)有全局性的網(wǎng)絡(luò)配置工具，具備快速、方便地配置與監(jiān)控網(wǎng)絡(luò)設(shè)備的能力，能夠監(jiān)控網(wǎng)絡(luò)流量，盡早發(fā)現(xiàn)網(wǎng)絡(luò)狀態(tài)的變化，能夠及時(shí)調(diào)整參數(shù)，隨時(shí)提供連接和服務(wù)，并能及時(shí)排除潛在故障?；趯?duì)本系統(tǒng)的了解以及分析用戶對(duì)管理系統(tǒng)的需求，本系統(tǒng)項(xiàng)目的管理系統(tǒng)具有：主機(jī)和網(wǎng)絡(luò)管理系統(tǒng)應(yīng)以業(yè)務(wù)為導(dǎo)向，保證系統(tǒng)運(yùn)行的高穩(wěn)定性。管理系統(tǒng)易于使用。管理系統(tǒng)提供豐富的管理特性。管理系統(tǒng)具有很好的開放性，支持業(yè)界標(biāo)準(zhǔn)，并能通過開放的接口與第三方網(wǎng)絡(luò)及主機(jī)設(shè)備管理軟件集成。本系統(tǒng)項(xiàng)目中的所有主機(jī)和網(wǎng)絡(luò)資源均可通過直觀的人機(jī)界面進(jìn)行監(jiān)控、管理。核心監(jiān)控區(qū)通過SNMP、telnet、ssh等協(xié)議進(jìn)行對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備的管理，通過防火墻來限制對(duì)應(yīng)用服務(wù)區(qū)和核心區(qū)的訪問權(quán)限。同時(shí)只有在網(wǎng)絡(luò)管理區(qū)的IP地址才能允許訪問到每個(gè)網(wǎng)絡(luò)設(shè)備及安全設(shè)備管理IP。網(wǎng)絡(luò)管理是對(duì)多個(gè)系統(tǒng)進(jìn)行層次化管理，對(duì)若干臺(tái)UNIX小型機(jī)和Linux、Windows，以及服務(wù)器、中間件、數(shù)據(jù)庫及有關(guān)的應(yīng)用軟件，通過管理軟件進(jìn)行統(tǒng)一、集成的監(jiān)控管理，更好地控制和管理平臺(tái)的UNIX系統(tǒng)及應(yīng)用資源，變更傳統(tǒng)的被動(dòng)應(yīng)答故障成為前瞻式監(jiān)測(cè)的管理方式，及時(shí)了解出現(xiàn)的問題，在條件允許的情況下，還能夠?qū)崿F(xiàn)自我修復(fù)。網(wǎng)絡(luò)管理是對(duì)整個(gè)項(xiàng)目的網(wǎng)絡(luò)設(shè)備進(jìn)行管理。對(duì)網(wǎng)絡(luò)管理軟件的要求是：使用靈活的組件技術(shù)，支持多種操作平臺(tái)，并能夠與多種通用網(wǎng)管平臺(tái)集成，實(shí)現(xiàn)從設(shè)備級(jí)到網(wǎng)絡(luò)級(jí)全方位的網(wǎng)絡(luò)管理，對(duì)網(wǎng)絡(luò)、主機(jī)、操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用的狀態(tài)及其相應(yīng)的日志文件的監(jiān)控。3.3應(yīng)用系統(tǒng)設(shè)計(jì)3.3.1應(yīng)用綜合支撐平臺(tái)功能需求XX中心的業(yè)務(wù)流程往往同時(shí)涉及到多個(gè)應(yīng)用系統(tǒng)，因此要求這些系統(tǒng)能夠協(xié)同，但接口、架構(gòu)的不統(tǒng)一使得這些本應(yīng)協(xié)同工作的應(yīng)用系統(tǒng)成為一個(gè)個(gè)“信息孤島”。于是，與企業(yè)應(yīng)用集成（EAI）技術(shù)相類似的政務(wù)應(yīng)用集成（GAI）技術(shù)應(yīng)運(yùn)而生，它可以通過中間件作為粘合劑來連接各部門內(nèi)外各種業(yè)務(wù)相關(guān)的異構(gòu)系統(tǒng)、應(yīng)用以及數(shù)據(jù)源。一個(gè)完整的應(yīng)用綜合支撐平臺(tái)應(yīng)包含以下五個(gè)層面的內(nèi)容：（1） 用戶交互：實(shí)現(xiàn)應(yīng)用用戶界面統(tǒng)一的接入與安全機(jī)制，利用門戶技術(shù)進(jìn)行構(gòu)建。（2） 信息集成：實(shí)現(xiàn)數(shù)據(jù)集成，在異構(gòu)的數(shù)據(jù)源之間實(shí)現(xiàn)數(shù)據(jù)層的直接整合。（3） 應(yīng)用連接：通過HUB-SPOKE、BUS架構(gòu)，實(shí)現(xiàn)應(yīng)用與應(yīng)用之間的連接，完成相關(guān)的數(shù)據(jù)路由與數(shù)據(jù)格式轉(zhuǎn)換。（4） 業(yè)務(wù)流程整合：實(shí)現(xiàn)業(yè)務(wù)流程管理，包括工作流管理和自動(dòng)化流程兩個(gè)方面。（5） 構(gòu)建整合：這個(gè)層面包含兩個(gè)部分，一部分是構(gòu)建與現(xiàn)有應(yīng)用兼容的新應(yīng)用，另一部分是對(duì)現(xiàn)有資源進(jìn)行重用以適應(yīng)新環(huán)境的需要。其中的信息集成、應(yīng)用連接及業(yè)務(wù)流程整合是目前應(yīng)用綜合支撐平臺(tái)建設(shè)中最為核心和關(guān)鍵的三個(gè)層面。平臺(tái)應(yīng)具有流量控制、優(yōu)先級(jí)別控制、斷點(diǎn)續(xù)傳、獨(dú)立隊(duì)列處理、交換任務(wù)和管理任務(wù)分離、同步/異步傳輸機(jī)制、并發(fā)/串行處理功能、支持大規(guī)模并發(fā)處理、支持多級(jí)交換模式及多級(jí)交換中心的應(yīng)用模式、核心交換功能基于XML和中間件技術(shù)實(shí)現(xiàn)、提供推和拉的處理模式等功能。應(yīng)提供數(shù)據(jù)填充、過濾、轉(zhuǎn)換、路由等多種數(shù)據(jù)加工能力。3.3.2應(yīng)用平臺(tái)系統(tǒng)的劃分整個(gè)應(yīng)用平臺(tái)由多個(gè)層次支撐，具體的技術(shù)實(shí)現(xiàn)，可以將其劃分為多個(gè)系統(tǒng)，分別建設(shè)完成。包括：信息交換系統(tǒng)：實(shí)現(xiàn)與已有的各類信息資源的連接，并實(shí)現(xiàn)各類信息資源的交換；信息共享系統(tǒng):在信息交換的基礎(chǔ)上，利用目錄系統(tǒng)實(shí)現(xiàn)資源的發(fā)布、查詢與獲取服務(wù)；目錄管理系統(tǒng)：管理各類基礎(chǔ)資源的描述信息，包括用戶、數(shù)據(jù)、服務(wù)與應(yīng)用四類資源的管理；數(shù)據(jù)庫管理系統(tǒng)：管理由信息交換系統(tǒng)沉淀形成的基礎(chǔ)數(shù)據(jù)；應(yīng)用支撐系統(tǒng)：封裝平臺(tái)中各個(gè)系統(tǒng)的服務(wù)接口，適應(yīng)上層應(yīng)用的需求，開放服務(wù)接口形式；安全管理系統(tǒng)：利用信息交換與共享業(yè)務(wù)流程管理引擎，集成各部門的安全管理系統(tǒng)，并在此基礎(chǔ)上，利用成熟產(chǎn)品實(shí)現(xiàn)安全集中管理控制；平臺(tái)管理系統(tǒng)：集成各個(gè)系統(tǒng)提供的管理功能，實(shí)現(xiàn)統(tǒng)一的監(jiān)管控制。3.4系統(tǒng)安全設(shè)計(jì)網(wǎng)絡(luò)級(jí)安全是網(wǎng)絡(luò)基礎(chǔ)設(shè)施在提供連通性服務(wù)的基礎(chǔ)上所增值的安全服務(wù)，在網(wǎng)絡(luò)平臺(tái)上直接實(shí)現(xiàn)這些安全功能比采用獨(dú)立的物理主機(jī)實(shí)現(xiàn)具有更為強(qiáng)的靈活性、更好的性能和更方便的管理。在本次數(shù)據(jù)中心的設(shè)計(jì)范圍內(nèi)主要是訪問控制和隔離（防火墻技術(shù)）。3.4.1安全域的劃分本項(xiàng)目安全域的劃分建立對(duì)項(xiàng)目應(yīng)用業(yè)務(wù)的分析基礎(chǔ)之上，因而與前述的各個(gè)項(xiàng)目的組成部分的劃分原則一致。實(shí)際上按SODC的虛擬化設(shè)計(jì)原則，每一個(gè)虛擬服務(wù)區(qū)應(yīng)當(dāng)對(duì)應(yīng)唯一的虛擬防火墻，也即對(duì)應(yīng)唯一的一個(gè)安全域。具體原則如下：同一業(yè)務(wù)一定要在一個(gè)安全域內(nèi)有必要進(jìn)行安全審計(jì)和訪問控制的區(qū)域必須使用安全域劃分需要進(jìn)行虛擬機(jī)遷移的虛擬主機(jī)要在一個(gè)安全域中劃分不宜過細(xì)，安全等級(jí)一致的業(yè)務(wù)可以在安全域上進(jìn)行歸并3.4.2防火墻部署設(shè)計(jì)各個(gè)安全域的流量既需要互訪、又必須經(jīng)過嚴(yán)格的訪問控制和隔離，按照傳統(tǒng)的網(wǎng)絡(luò)設(shè)計(jì)，在每個(gè)網(wǎng)絡(luò)應(yīng)用和交換平臺(tái)之間的邊緣部署防火墻設(shè)備來進(jìn)行安全保護(hù)，這樣需要大量的防火墻，性能也受限于外部連接接口的帶寬，還增加了網(wǎng)絡(luò)管理的復(fù)雜度，未來也難以擴(kuò)展。因此我們使用內(nèi)置于交換機(jī)的高性能防火墻模塊，可以不考慮復(fù)雜的連線而方便的進(jìn)行安全域劃分，容易擴(kuò)展和管理，也提高了整體性能。每個(gè)安全域有自己的防火墻，每一個(gè)安全域就只用考慮自己的一套出入策略即可，安全域復(fù)雜的相互關(guān)系變成了每個(gè)安全域各自的一出一進(jìn)的關(guān)系，這樣整個(gè)防火墻的策略就變得模塊化、清晰化和簡單化了。我們?cè)谠\斷策略的問題時(shí)，只要到相關(guān)的安全域去看其專用的防火墻所使用的策略，就容易找到問題所在。我們?cè)诒敬畏阑饓υO(shè)計(jì)中將充分使用虛擬防火墻技術(shù)。這里的虛擬防火墻功能是指物理的防火墻可以被虛擬的劃分為多個(gè)獨(dú)立的防火墻。每個(gè)虛擬防火墻有完全獨(dú)立的配置界面、策略執(zhí)行、策略顯示等等，所有操作就象在一個(gè)單獨(dú)的防火墻那樣。而且虛擬防火墻還應(yīng)當(dāng)具有獨(dú)立的可由管理員分配的資源，比如連接數(shù)、內(nèi)存數(shù)、策略數(shù)、帶寬等等，防止一個(gè)虛擬防火墻由于病毒或其它意外而過多占用資源。僅僅用VLAN一類的技術(shù)劃分防火墻是無法起到策略獨(dú)立性和資源獨(dú)立性的目的的，不屬于這里所指的虛擬防火墻。虛擬防火墻還應(yīng)當(dāng)配合虛擬三層交換機(jī)來使用。每一個(gè)安全域可能內(nèi)部存在多個(gè)IP子網(wǎng)，它們之間需要有三層交換機(jī)進(jìn)行路由。但不同安全域之間這樣的路由不應(yīng)當(dāng)被混同在一個(gè)路由表中，而應(yīng)當(dāng)每個(gè)安全域有自己的路由表，可以配置自己的靜態(tài)和動(dòng)態(tài)路由協(xié)議，就好像有自己獨(dú)立使用的一個(gè)路由器一樣。不同安全域相互之間僅通過虛擬防火墻互相連接。最終應(yīng)當(dāng)達(dá)到虛擬化數(shù)據(jù)交換中心的使用效果。即交換機(jī)的任何物理端口或VLAN端口都能夠充當(dāng)防火墻端口，同時(shí)每個(gè)安全域有自己獨(dú)立虛擬路由器，自己獨(dú)立的路由表和獨(dú)立的動(dòng)態(tài)路由協(xié)議。每個(gè)安全域?qū)?yīng)有一個(gè)自己專用的虛擬防火墻，每個(gè)虛擬防火墻擁有獨(dú)立的管理員權(quán)限定義安全策略和使用資源。不同安全域的管理員只負(fù)責(zé)本區(qū)域虛擬防火墻的策略控制管理，而不用關(guān)心其它虛擬防火墻的配置工作，避免了單一區(qū)域安全策略配置錯(cuò)誤而對(duì)其它區(qū)域可能造成的影響，從根本上簡化大型數(shù)據(jù)中心管理維護(hù)的難度。3.4.3防火墻策略設(shè)計(jì)不同安全域之間的訪問控制策略由于虛擬化設(shè)計(jì)而只需考慮各個(gè)安全域內(nèi)出方向策略和入方向策略即可。建議初始策略依據(jù)如下原則設(shè)定，然后根據(jù)業(yè)務(wù)需求不斷調(diào)整：出方向上不進(jìn)行策略限制，全部打開入方向上按“最小授權(quán)原則”打開必要的服務(wù)允許發(fā)自內(nèi)部地址的雙方向的ICMP，但對(duì)ICMP進(jìn)行應(yīng)用檢查（Inspect）允許發(fā)自內(nèi)部地址的TraceRoute，便于網(wǎng)絡(luò)診斷關(guān)閉雙方向的TCPSeqRandomization，在機(jī)房內(nèi)的防火墻可以去除該功能以提高轉(zhuǎn)發(fā)效率少或者不進(jìn)行NAT，保證數(shù)據(jù)中心內(nèi)的地址透明性，便于ACE提供服務(wù)關(guān)閉nat-control（此為默認(rèn)），關(guān)閉xlate記錄，以保證并發(fā)連接數(shù)基于每個(gè)虛擬防火墻設(shè)定最大未完成連接數(shù)（EmbryonicConnection），將來升級(jí)到定義每客戶端的最大未完成連接數(shù)3.4.4網(wǎng)絡(luò)的智能主動(dòng)防御系統(tǒng)的不停的打補(bǔ)丁和進(jìn)行特征碼升級(jí)的被動(dòng)防御手段已經(jīng)無法適應(yīng)安全防御的要求，必須由網(wǎng)絡(luò)主動(dòng)的智能的感知網(wǎng)絡(luò)中的行為和事件，在發(fā)生嚴(yán)重后果之前及時(shí)通知安全網(wǎng)絡(luò)管理人員，甚至直接聯(lián)動(dòng)相關(guān)的安全設(shè)備，進(jìn)行提早措施，才能有效減緩危害。要實(shí)現(xiàn)這種智能的主動(dòng)防御系統(tǒng)，需要網(wǎng)絡(luò)中進(jìn)行如下部署：對(duì)桌面用戶的接入進(jìn)行感知和相應(yīng)措施對(duì)桌面用戶的行為進(jìn)行分析和感知對(duì)全網(wǎng)安全事件、流量和拓?fù)溥M(jìn)行智能的分析、關(guān)聯(lián)和感知對(duì)各種信息進(jìn)行綜合分析然后進(jìn)行準(zhǔn)確的報(bào)告在報(bào)告的同時(shí)進(jìn)行網(wǎng)絡(luò)的聯(lián)動(dòng)以提早抑制威脅以上整個(gè)過程需要多個(gè)產(chǎn)品進(jìn)行部署才能實(shí)現(xiàn)。網(wǎng)絡(luò)準(zhǔn)入控制技術(shù) NetworkAccessControl（NAC），就是一種由網(wǎng)絡(luò)智能對(duì)終端進(jìn)行感知，而判斷其威脅性，從而減少由終端發(fā)起的攻擊的一種技術(shù)°NAC類似于前面提到的身份識(shí)別安全接入控制技術(shù)，只不過它對(duì)主機(jī)、網(wǎng)絡(luò)設(shè)備等接入的判別標(biāo)準(zhǔn)不僅僅是基于用戶身份的，而是基于該設(shè)備的“網(wǎng)絡(luò)健康狀態(tài)”NAC允許各機(jī)構(gòu)實(shí)施主機(jī)補(bǔ)救策略，將不符合安全策略要求及可疑的系統(tǒng)放置到隔離環(huán)境中（比如一個(gè)特定的專用于軟件升級(jí)的VLAN），限制或禁止其訪問生產(chǎn)網(wǎng)絡(luò)，等威脅消除后，再回到生產(chǎn)網(wǎng)絡(luò)。通過將端點(diǎn)安全狀態(tài)信息與網(wǎng)絡(luò)準(zhǔn)入控制的執(zhí)行標(biāo)準(zhǔn)結(jié)合在一起，NAC使各機(jī)構(gòu)能夠大幅度提高其計(jì)算基礎(chǔ)設(shè)施的安全性。實(shí)現(xiàn)以下要求：一體化的準(zhǔn)入控制：不僅僅是有線端的準(zhǔn)入控制，而且要實(shí)現(xiàn)包括無線、VPN接入在內(nèi)的準(zhǔn)入控制，而且應(yīng)當(dāng)是統(tǒng)一的一個(gè)系統(tǒng)下的準(zhǔn)入控制，這就需要以太網(wǎng)交換機(jī)、無線AP設(shè)備、無線控制器、VPN集中器都可以支持統(tǒng)一的準(zhǔn)入控制；支持多種準(zhǔn)入控制形式：包括能夠支持基于Infrastructure的準(zhǔn)入控制，比如對(duì)于有線局域網(wǎng)、無線局域網(wǎng)可基于實(shí)現(xiàn)IEEE802.1x和動(dòng)態(tài)VLAN的準(zhǔn)入控制，對(duì)于路由器、防火墻、VPN集中器等等可實(shí)施基于過濾機(jī)制的準(zhǔn)入控制，也可以支持基于網(wǎng)絡(luò)專用設(shè)備的準(zhǔn)入控制，比如對(duì)于網(wǎng)絡(luò)交換機(jī)、路由器是由不同廠商品牌設(shè)備構(gòu)成的異構(gòu)網(wǎng)絡(luò)也可以實(shí)施基于專用在線設(shè)備的準(zhǔn)入控制；與身份標(biāo)識(shí)相結(jié)合：準(zhǔn)入控制機(jī)制應(yīng)當(dāng)與身份標(biāo)識(shí)是一體化的，不同身份標(biāo)識(shí)的用戶可以有相應(yīng)的準(zhǔn)入控制策略，即對(duì)身份的識(shí)別和對(duì)健康的檢查可以進(jìn)行聯(lián)系；獨(dú)立對(duì)客戶機(jī)健康狀態(tài)進(jìn)行評(píng)估：能夠結(jié)合其它病毒廠商軟件進(jìn)行安全狀態(tài)檢查，更可以獨(dú)立對(duì)客戶端行為進(jìn)行檢查，包括操作系統(tǒng)補(bǔ)丁、病毒軟件版本等，還應(yīng)當(dāng)包括檢查注冊(cè)表可疑記錄、非法修改等等，能夠通過對(duì)客戶機(jī)狀態(tài)進(jìn)行深度判斷，而基本上脫離復(fù)雜的第三方廠商病毒軟件的部署而獨(dú)立對(duì)健康狀態(tài)進(jìn)行準(zhǔn)確評(píng)估。提供自動(dòng)修復(fù)：準(zhǔn)入控制系統(tǒng)應(yīng)包括提供在線的自動(dòng)修復(fù)能力，包括各種策略的軟件分發(fā)和鏈接推送等。能夠發(fā)現(xiàn)和自動(dòng)識(shí)別打印機(jī)、IP電話等非常規(guī)NAC客戶端3.5信息