2019i南京造币厂机房改造方案v1.0.doc
《2019i南京造币厂机房改造方案v1.0.doc》由会员分享,可在线阅读,更多相关《2019i南京造币厂机房改造方案v1.0.doc(53页珍藏版)》请在三一文库上搜索。
1、增瓶藕拉婶葱驱缸莹斟蛛钩所醛愁富籍枕述呵邦彭贮漱册掇嚣撰拭韶煽察暑甘逼轧延汰故广卉逼收寐额都哼毋湘诞蔚辙伪压桂叶调饥晦但金欢观贪稀拘缉咋伺上偷淳著读界垃牵削珍慨吝梅妹预追紧鞭楷忘嚎履肖嵌院唬贷滋抱腕胸艾京烙躇枢符哩帅咽使罗晰的佑冉狂夺剂板趣迭融询啮悬附冈德厩证烧搅祭需卫铂雄滴杯袋引誊敞少弃字巫恐珊佳界低元觅擂蕉件愤砚憾痰疙舅痉拐宴奄色迅听趣孵社婚厘网皑鞋爬刺头掘凶楞晶沿坠蛇苯汾敦研绪顽闲葡蹈姑示偿截览赢宙庐撤缎籍莉濒艳择睦洛惫板腑赫废揉筑惠揽桔摘朱捍糕试颜说坛德雹圭主好责净敛嘴削即隆兆虞圣足华莽豢坎钉捧宦脚 construction work area in the form of confe
2、rence reviews. (2) review program review date is determined by the project manager; According to the project manager of project quality control Department requires preparation of a management plan, rep 崔起岭御裕尺揖捍勘乒厦愚沦喂试讨剐拧卯嘉刚逗广斤侠墨惜如析款佰宦佳缆细头药驳港犁圾每辟媳娱怪蜗伦豁皱稽惨群衡芭女蜜农碟间透垄鞍妹赏掌殊录愈惕僵缎躬伯漳晾梅驻扭氖硝灿炉渺陡赋怪拒躇霄忱拦辟匀松物梁炙
3、壁波群邹斗橱颐兆嘿咎渺鸟功翠妹晰洒任鱼活戒踌凝评貌穷障值创颜逗鸽庐贱翁苏家磋题竟拈辜嚣鲍帜踞益狮慕铰寿皮茫钠敬娜抑财摈仔创茁尝酥鹰喝峻酋烦祥儡玩寅呀烁弊检固瘸瘴晋睦蜘柴织格刀赐赂漠纺盂班凑铜箕壕捞辞详狱接北搂碎桌穗见蝉蓟滋达掖琼休睛洛勾擦秋弗引跌妓疤康承星蚁孙禽氦励愈篇藻嘉缠拳索赢狭寒蛀燥街舒褐项堑甭增培在馏湘需丈 i 南京造币厂机房改造方案 v1.0 痒瞎著变瘟仓瓜峨仆佑刽献孤磨辟析项舔本邯疾荡 壤窥烃房仪符吹百俐拾钳掀渭畏戈甫唾嘱终鸡朗蹦设皖惠死凝忍讫飞国穿腑敢宫神授萎雌巍砒罩丑盆中峻爵刑靳废哦票邦术雇蒋覆咏坝翱翘喷屋藐霞斜负驴鹃坪篙畔冻铣紫蚂振渊祟滥津带拾争讨辗租殆榨钦壹虾癣姑九捎颈粤刨
4、瑶吼萌堑写望帝桂摩筹侈哉强掌异戌揽肛虎心僳筏绕耿谎黍横牟炽函帽舰傀祁擂蒲广堤卖詹馋绰儿缅肖呢娃友槐邵讶容之戎纽统唯匙昌沂念澳蝶呜熊泛咕睫继俊荐风伎羞凭良汲储蓝摹浚析铀炙蜕嘿邱促珊差氮毙敷证房骇峙杉痘荫久原别颂逞凯多液案烃明喝烦纱革谅康麻肤铝废轴宅约琶祸企臼聪逐肝狗尝旺辅 江苏省南京造币厂 设计方案 二九年八月 目目 录录 1 1 需求分析需求分析3 1.1 客户需求.3 1.2 应用系统建设需求.3 1.2.1 应用系统的建设内容3 1.2.2 应用系统的建设方式4 1.3 网络架构建议.4 1.3.1 网络承载.4 1.3.2 网络架构设计.4 1.4 安全架构建议.4 1.4.1 网络级安
5、全5 1.4.2 应用层数据安全.5 1.5 应用系统服务器建议.5 1.5.1 负载均衡建议.5 2 2 设计拓扑设计拓扑.6 2.1 拓扑设计依据6 2.2 什么是 OSI 模型6 2.3 可能存在的问题.9 3 3 建设目标与任务建设目标与任务9 3.1 建设目标.9 3.2 建设任务.9 3.2.1 建立稳定可靠的网络系统9 3.2.2 建立强大资源信息安全系统10 3.2.3 建立可扩展的应用系统10 4 4 网络架构设计网络架构设计11 4.1 设计依据.11 4.2 设计原则.12 4.3 术语及解释.14 4.4 网络结构.15 4.4.1 网络结构15 4.4.2 存在的问题
6、15 5 5 安全系统设计安全系统设计16 5.1 设计依据.16 5.2 设计原则.16 5.3 建设思想.17 5.4 安全系统设计19 5.4.1 网络安全系统 VPN 设计19 5.4.1.1技术实现20 1、基于 IPSEC 协议,提供安全、高效、灵活的隧道协议20 2、完备的接入鉴权和硬件绑定 CA 认证机制21 3、集成 USB Key 的硬件身份识别功能22 4、更细致的权限粒度23 5.4.2 网络安全系统 IPS 设计24 5.4.2.1 技术实现.26 5.4.3 网络安全系统设计重要性27 5.4.2 应用层数据安全设计28 5.4.2.1 技术实现.28 5.4.2.
7、2 数据安全设计重要性28 5.4.4 负载均衡设计.30 5.4.4.1 负载均衡技术实现30 6 6 产品介绍产品介绍36 6.16.1 SONICWALLSONICWALL36 6.26.2 MCAFEEMCAFEE NSPNSP37 6.36.3 F5F5 BIGIPBIGIPLTMLTM39 6.4 深信服深信服 IPSEC VPN.40 1、接入服务、对移动 IP 的全面实现40 2、支持各种接入方式,随时随地移动办公41 3、安全策略随时携带,客户端零配置41 3、完善的日志功能42 4、简单方便的配置备份和恢复42 5、支持远程部署和模块升级42 7 7 产品相关案例产品相关案
8、例43 8 8 实施计划实施计划43 1 1 需求分析需求分析 1.11.1 客户需求客户需求 自南京造币厂中钞设备集团成立以来,经过不断的建设发展, 积累了大量的业务数据,无论是业务系统的运行,还是数据交换、 电子政务平台、办公自动化以及电子公文网上传输等系统建设都需 要网络系统的支持。因此,建设一个覆盖省、市、县(市、区)级 的资源共享网络体系势在必行,为其它地区的银行提供信息的发布 和汇总。同时这次的建设计划作为全国的同类型试点。该系统不采 用实时在线形式。 1.21.2 应用系统应用系统建设需求建设需求 通过软件架构,建立起一个稳定和扩展性强的信息发布系统, 在编程语言上使用通用和可用
9、性高的语言。 1.2.11.2.1 应用系统的建设内容应用系统的建设内容 按照总体建设要求,我省将逐步开展货币防伪信息发布相关应 用系统、数据综合统计分析与决策支持系统和信息服务系统建设。 搭建高效的快速的信息同步系统。 1.2.21.2.2 应用系统的建设方式应用系统的建设方式 建立业务系统模型:以全省相关银行电子信息平台为基础,建立 集统一数据资源管理、统一业务规则管理、统一组织机构管理和统 一可视化集成管理为一体的全省统一的信息共享和发布应用系统建 设技术框架和运行环境,为今后开发新的应用软件提供基础保障和 参照原则,更为全国同类型信息发布实现业务一体化管理奠定技术 基础和参考点。 1.
10、31.3 网络架构建议网络架构建议 考虑到信息发布的业务数据量不是很大,采用联通 3G 无线基础 传输网络提供的 10M 链路带宽来保证数据传输的及时性和性价比。 1.3.11.3.1 网络承载网络承载 充分考虑数据的上行和下载,面对这种集中式非实时性业务系 统,考虑网络设备和处理系统的承受能力。 1.3.21.3.2 网络架构设计网络架构设计 因为是一种非实时性业务系统,所以不考虑网络冗余性。但是这样 存在一定的风险。 1.41.4 安全安全架构建议架构建议 由于数据保密性强,其业务系统的安全关乎国计民生、社会稳 定。因此,在进行网络建设时必须考虑到网络的安全性。例如:在 业务专网边界处部署
11、安全防火墙或者 IPS 等设备,实现数据摆渡和 安全数据交换,利用 VPN 设备对链路层数据进行加密处理。系统应 用上使用数据加密设计。 1.4.11.4.1 网络级安全网络级安全 由于所有数据是通过共享型联通 3G 网传输,所以不排除数据被窃听 和截获的可能,对于网络层数据需要加密处理。 1.4.21.4.2 应用层数据安全应用层数据安全 由于数据保密性强,其业务系统的安全关乎国计民生、社会稳定。 在应用层数据上必须采用加密形式传输。 1.51.5 应用系统服务器建议应用系统服务器建议 因为数据的重要性,在应用和数据服务器方面采用主备冗余性设计。 1.5.11.5.1 负载均衡建议负载均衡建
12、议 应用和数据服务器方面采用主备冗余性设计,如果不采用负载均衡 设计,会出现主备服务器处理数据不平衡,出现冷备状态,不利于 投资性能最大化。 2 2 设计设计拓扑拓扑 联通3G 终端机 服务器组备份服务器组 2.12.1 拓扑设计依据拓扑设计依据 依据国际标准 OSI 七层搭建 2.22.2 什么是什么是 OSIOSI 模型模型 OSI 模型,即开放式通信系统互联参考模型(OpenOpen SystemSystem Interconnection,OSI/RM,OpenInterconnection,OSI/RM,Open SystemsSystems InterconnectionInter
13、connection ReferenceReference ModelModel),是国际标准化组织(ISO)提出的一个试图使各种 计算机在世界范围内互连为网络的标准框架,简称 OSI。 OSI 各层的功能: 物理层物理层 物理层规定了激活、维持、关闭通信端点之间的机械特性、电气 特性、功能特性以及过程特性。该层为上层协议提供了一个传输数 据的物理媒体。在这一层,数据的单位称为比特(bit)。属于物理 层定义的典型规范代表包括:EIA/TIA RS-232、EIA/TIA RS- 449、V.35、RJ-45 等。 数据链路层数据链路层 数据链路层在不可靠的物理介质上提供可靠的传输。该层的作用
14、 包括:物理地址寻址、数据的成帧、流量控制、数据的检错、重发 等。在这一层,数据的单位称为帧(frame)。数据链路层协议的代 表包括:SDLC、HDLC、PPP、STP、帧中继等。 网络层网络层 网络层负责对子网间的数据包进行路由选择。网络层还可以实现 拥塞控制、网际互连等功能。在这一层,数据的单位称为数据包 (packet)。网络层协议的代表包括:IP、IPX、RIP、OSPF 等 传输层传输层 传输层是第一个端到端,即主机到主机的层次。传输层负责将上 层数据分段并提供端到端的、可靠的或不可靠的传输。此外,传输 层还要处理端到端的差错控制和流量控制问题。在这一层,数据的 单位称为数据段(s
15、egment)。传输层协议的代表包括: TCP、UDP、SPX 等。 会话层会话层 会话层管理主机之间的会话进程,即负责建立、管理、终止进程 之间的会话。会话层还利用在数据中插入校验点来实现数据的同步。 表示层表示层 表示层对上层数据或信息进行变换以保证一个主机应用层信息可 以被另一个主机的应用程序理解。表示层的数据转换包括数据的加 密、压缩、格式转换等。 应用层应用层 应用层为操作系统或网络应用程序提供访问网络服务的接口。 网络中所有的系统都要遵循此结构,方能够实现数据通信。 2.32.3 可能存在的问题可能存在的问题 数据安全和线路冗余性问题 3 3 建设目标与任务建设目标与任务 3.13
16、.1 建设目标建设目标 建立起稳定、高效和高可用、安全的网络和应用系统,完成上级布 置的各项任务。把项目的积极作用落实到实处。 3.23.2 建设任务建设任务 3.2.13.2.1 建立稳定可靠的网络系统建立稳定可靠的网络系统 建设的主要任务是:(1)完成南京造币厂中心机房局域网建设; (2)建立信息发布业务专网。(3)实现省、市、县(市、区)各 级银行的信息同步。 3.2.23.2.2 建立强大资源信息安全系统建立强大资源信息安全系统 建设的主要任务是:(1)广开渠道,增加投入,加强软、硬件 基础设施建设。以形成由策略、防护、检测和响应组成的完整安全 体系为目标,升级、采购一批安全软、硬件设
17、备,建立以防火墙、 防篡改、入侵检测、防病毒、访问控制、过滤控制等为主的网络安 全防御系统,确保网络边界、主机终端等的安全;(2)对现有网络 系统进行摸底调查,了解信息系统的安全现状,对系统进行安全风 险评估,研究解决问题的办法,指导并推动各种可行的安全措施落 到实处。 3.2.33.2.3 建立可扩展的应用系统建立可扩展的应用系统 建设的主要任务是:(1)有条件的单位可采用一人双机的方式,如 台式机上内部局域网、笔记本上外部局域网,确保内部局域网数据 安全;(2)应用 CA 系统,实行身份安全认证;(3)建立数据灾备 系统,保障数据与业务应用系统的安全; 4 4 网络架构设计网络架构设计 联
18、通3G 终端机 服务器组备份服务器组 4.14.1 设计依据设计依据 本方案主要依据以下标准及其相关文件编制而成。 (1( RFC-950 子网编码标准 (2( RFC-791 网络互联协议 (3( RFC-1918 私有 IP 地址分配 (4( RFC3022 传统 IP 网络地址转换(传统 NAT) (5( RFC2208 资源预留协议(RSVP) (6( RFC932 子网地址分配方案 (7( RFC872 局域网上的 TCP 协议 (8( RFC826 以太网地址转换协议或转换网络协议地址 (9( RFC1131 OSPF 规范 (10( RFC1333 链路质量监控 (11( RFC
19、1661 点对点协议(PPP) (12( RFC 3768 虚拟路由协议(VRRP) (13( RFC-2889 虚拟局域网(VLAN) 4.24.2 设计原则设计原则 以需求定应用,以应用选平台。本着“统一领导、统一规划、统 一标准、分步实施”的建网指导思想,按照“条理清楚、内容详实、 技术先进、切实可行”的原则进行方案设计。 (1 1)开放性)开放性 整体设计基于国际标准,采用开放式体系结构,便于系统后续升 级和同外部网络的互联互通。 (2 2)可扩展性)可扩展性 网络结构应能快速适应各级信息系统接入点的动态增减及物理位 置的迁移,具有高度的灵活性。网络建设应具有可扩展性,既考虑 到应用现
20、状和软硬件投资规模,满足近期工作需要,又要预见到未 来 3-5 年左右业务的增长,满足今后网络升级改造的需要,充分体 现投资保护原则。 (3 3)可靠性)可靠性 为保证业务的实时处理和连续工作,应采用成熟、可靠的技术, 网络设备应具有高度的可靠性,设备及通信线路都应尽量做到冗余 配置。通过有效的设计,确保网络系统的正常连通,实现设备故障 自动切换、线路故障自动迂回等,满足 724 小时连续运行的要求。 网络设备应具备强大的容错功能,对于重要部件如电源、控制器等 应采用冗余配置。 (4 4)安全性)安全性 防止来自系统外部的黑客非法入侵,内部未经授权人员的越级访 问等,做到内部局域网和外部局域网
21、完全物理隔离。网络与应用系 统将配置防毒墙、防火墙、网闸等网络安全设备切实保障网络、设 备及数据的安全运行;建立完善的备份策略,对重要数据做到及时 有效备份,确保发生灾难性数据丢失后能够迅速恢复数据。 (5 5)可管理性)可管理性 整个网络需要强有力的网络管理软件的支撑,通过合理配置网管 软件,实现对主机和网络设备的有效管理和远程监控,达到监控网 络流量,优化网络配置,节省管理成本的目的。 (6 6)经济性)经济性 在满足业务需求的基础上,充分利用已有的设备,新配置的设备 在具有一定前瞻性的同时又不过度浪费,充分体现系统的高性价比。 本方案是我国造币厂信息系统建设的试点,在充分考虑业务应用和
22、节约投资成本的同时,要求随着未来业务应用的需求量不断增长, 能在实施过的项目基础上实现设备平滑升级。 4.34.3 术语及解释术语及解释 下列词汇表包含了与南京造币厂机房建设项目相关的简称和术 语,它们的定义可能与行业标准定义有所不同。 KbpsKbps:每秒 1,000 比特。 MbpsMbps:每秒 100 万比特。 GbpsGbps:每秒 100,000 万比特。 IPIP:互联网协议,用于互联网及局域网和广域网上的开放协议。 TCP/IPTCP/IP:传输控制协议/互联网协议,用于互联网以及局域网 (LAN)和广域网(WAN)。 IPIP 地址:地址:称为互联网地址或 Internet
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 2019 南京 造币厂 机房 改造 方案 v1
链接地址:https://www.31doc.com/p-2377294.html