【信息化-精编】档案馆档案信息化系统建设方案
档案馆档案信息化系统建设方案
档案馆
档案信息化系统建设设
计
方
案
2013年7月
目录
第一章档案局建设需求分析5
1.1 档案局信息化建设现状5
1.2 建设目标5
1.3 业务及需求分析6
1.4 系统设计原则9
第二章网络平台建设14
2.1 网络建设原则14
第三章总体网络建设方案16
3.1 方案设计思路16
3.2 网络结构拓扑设计28
3.3 网络管理设计32
3.4 网络安全设计48
第四章云计算中心建设59
4.1 建设云计算平台的重要意义59
第五章中心机房建设方案错误!未定义书签。5.1 机房装饰工程错误!未定义书签。
5.2 机房供、配电系统错误!未定义书签。
5.3 防雷接地系统错误!未定义书签。
5.4 机房消防系统错误!未定义书签。
5.5 机房门禁系统错误!未定义书签。
5.6 机房通风系统错误!未定义书签。
5.7 机柜系统错误!未定义书签。
5.8 UPS及环境监控设计错误!未定义书签。
5.9 用户需求及应用状况错误!未定义书签。
5.10 实际方案介绍错误!未定义书签。
5.11 单机配电原理图错误!未定义书签。
5.12 输入/输出配电要求错误!未定义书签。
5.13 设备尺寸、重量及放置要求错误!未定义书签。
5.14 系统优化建议方案错误!未定义书签。
5.15 产品介绍错误!未定义书签。
5.16 科士达蓄电池错误!未定义书签。
5.17 服务器机柜产品资料错误!未定义书签。
5.18 环境监控系统错误!未定义书签。
第一章档案局建设需求分析
1.1档案局信息化建设现状
信息化是当今世界科技、经济与社会发展的大趋势,是推进现代化建设的重大战略举措,也是衡量一个地区、一个城市现代化程度和综合竞争力的重要标志。根据国家、省上、市上关于信息化建设的总体要求,XX市档案局政府信息化建设紧紧围绕国民经济和社会发展目标,从全面建设小康社会、加快推进XX市档案局现代化建设的要求出发,采取切实有效的措施,加快信息化建设步伐,努力促进XX市档案局“国际化、市场化、人文化、生态化”建设的发展目标,推动经济社会全面协调可持续发展。
1.2建设目标
XX市档案局网络主要承载政务园区的政务应用,专用于政务园区政府网络信息平台,实现政务园区各入驻部门的网络互联,满足各种业务系统的需要。
规划建设的主要目标是:根据全省、全市档案馆网络统一规划,多业务承载网络,具备多业务融合承载能力,即在统一的网络系统平台上,利用IP网络承载电子政务业务数据、流媒体等信息;高可靠、高带宽,保证现有电子政务各项业务应用需求,兼顾将来发展,提供一个高带宽、可根据需求灵活进行服务级别管理的网络系统平台;故障冗余能力,由于电子政务应用的特殊性,网络系统平台应具备良好的可用性,要求网络规划具有完善的故障自愈能力和故障冗余能力。业务智能化能力,电子政务平台必须至少要在3到5年满足党政机关办公需求,因此XX市档案局基础架构需要能够智能适应党政办公的需求。基础网络架构能够智能适应党政机关业务能力的发展。
1.3业务及需求分析
对整个新档案馆的信息化建设及档案专用设施设计要求如下:
(1)按新档案馆建设标准和规范设计;
(2)所有硬件设施和软件设施必需满足现代档案馆可持续发展的需要;
(3)档案馆的信息化系统的设计按三网一库的要求设计:
①档案馆的三网要物理隔离开来;
②三网一库是内部局域网(专网)、电子政务网(党政网)、Internet网(外网),
一库是数字档案基础数据库;
③服务器机房的设备的安全保护,如:UPS电源系统、防雷系统、门禁系统;
服务器机房的数据安全保护,如:防火墙、病毒入侵检测等;
(4)综合智能控制系统采用自动检测和智能控制,实现无人管理:
①库房温湿度系统完全自动检测温度和湿度控制有效范围之内,出现超出值自动
报警,控制值在有效范围内除湿机、空调都停止工作,达到节能;
②视频监控系统在整个档案馆重点部位全方位监控,使整个档案馆都监控范围,
图像的保存不少于半个月,并实现移动检测报警同时有语音提示和图
像联动报警;
③综合智能控制系统有电子地图、温湿度曲线图、视频联动报警、设备故障检测、
语音提示、手机短信、屏幕报警、相互联动等功能;
(5)档案查询要采用多种查询手段来满足公众信息的查询;
局馆介绍、查询指南、局务公开、目录查询、相关视频资料(根据实际情况定点开发);
(6)报告厅要采用数字多媒体会议系统;
(7)档案专用设施设备的配置,如:低温冷冻消毒杀虫柜、智能光盘柜、扫描仪等;
(8)档案系统专业软件必需满足档案馆的数字加工、电子档案管理,档案利用、查询等要求;
信息化平台建设需要考虑的问题:
●多业务虚拟化逻辑隔离
-----为多部门提供灵活的虚拟专用网,实现不同职能部门之间灵活的业务访问控制和隔离
●多业务统一承载
-----利用同一张物理承载网,实现数据、语音、视频、监控等不同业务数据的高效传输,实时保障不同业务的业务质量
●安全性
-----保证政府政务信息系统免受外来和内部不安全系统所带来的安全威胁,实现政务信息的高可靠性
●数据管理
-----档案馆是政府电子化办公的核心资产,要能有效管理和保护这些业务数据
●维护管理
-----路由器、交换机、防火墙、入侵防御系统等各种网络安全设备众多,用户终端资产,网络业务多样化等等,要能实现设备、用户终端、网络业务等多方面的高效管理
网络可持续发展、扩展
-----随着网络信息化技术的高速发展步伐,当前建设的网络平台要能有效满足今后5年的网络使用需求,现有的网络平台是能够进行低成本的平滑升级。
1.4系统设计原则
系统建设的目的在于应用。根据政府系统计算机工作的各种规范及各种业务的需求,结合政府部门的应用经验和发展要求,在系统设计时,主要应遵循以下原则:●系统可靠性原则
使用技术成熟的网络设备和通信技术,选择支持网络管理功能的网络产品及其相关的网络管理软件,为网络管理和维护人员提供方便条件,系统建设应保证一定的冗余性。
●系统实用性与可管理性的原则
网络建设要有一定的前瞻性。在网络建成的五年之内,业务量的增加不应导致对网络结构及主干设备的重大调整。同时考虑实际的应用水平,避免技术环境过于超前造成投资浪费。
严格按国家安全保密标准及相关文件要求,采用多级安全保密措施。设备应有效防止信息的泄密、病毒的入侵、以及抵制外界对其的非法侵入。但网络安全措施不应严重影响网络的易用性。网络应有良好的用户界面、管理界面和开发界面。
●系统可扩展性和开放性原则
网络应采用开放式体系结构,易于扩充,使相对独立的分系统易于进行组合和调整。选用的通信协议要符合国际标准或工业标准,网络的硬件环境,通信环境,软件环境相互独立,自成平台,使相互间依赖减至最小,同时,要保证网络的互联。
随着应用水平的提高,对网络的要求也会不断提高,网络结构应具有良好的可扩充与可延展性。预先作好硬件、软件和管理接口,使网络能扩充新的节点和新的
分支,其次网络必须具有扩充升级能力,能够适应网络科技发展的要求。系统具有最高性能、最好的升级途径、充分的带宽、苛刻环境中不存在单点故障,再出现问题后提供快速恢复能力。
●保护用户投资及效益性
在XX市档案局网络架构设计中,首先必须确保与全省、全市电子政务网络技术架构的一致性,全省、全市电子政务网络是架构在MPLS-VPN基础上的可以承载多业务的先进网络,因此,XX市档案局的网络也必须充分支持MPLS-VPN技术。
●设计依据
主要依据的有关国标及文件如下:
?《中共中央保密委员会关于加强计算机信息网络保密管理的通知》
?《国家信息化领导小组关于我国电子政务建设指导意见》中办发(2002)17号
?《2006-2010年国家信息化发展战略》中办发[2006]11号
?《国家电子政务总体框架》国信〔2006〕2号
?《中华人民共和国政府信息公开条例》国务院令[2007]492号
?GB50173-92电气装置安装工程35kV及以下架空电力线路施工及验收规范
?GB50168-92电气装置安装工程电缆线路施工及验收规范
?GB50169-92电气装置安装工程接地装置施工及验收规范
?GB50254-96电气装置安装工程低压电器施工及验收规范
?GBJ149-90电气装置安装工程母线装置施工及验收规范
?GB50171-92电气装置安装工程盘、柜及二次回路结线施工及验收规范?GB50254-96GB50255-96GB50256-96GB50257-96GB50258-96GB 50259-96电气装置安装工程施工及验收规范(其中:GB50258-96、GB50259-96应执行修订后的国标GB50303-2002)
?GB/T5271.4-2000信息技术词汇第4部分:数据的组织
?GB/T5271.6-2000信息技术词汇第6部分:数据的准备与处理
?GB/T5271.8-2001信息技术词汇第8部分:安全
?GB/T5271.9-2001信息技术词汇第9部分:数据通信
?GB/T5271.20-1994信息技术词汇第20部分:系统开发
?GB/T5271.25-2000信息技术词汇第25部分:局域网
?GB/T5271.27-2001信息技术词汇第27部分:办公自动化
?GB/T5271.28-2001信息技术词汇第28部分:人工智能基本概念与专家系统
?GB/T14085-1993信息处理系统计算机系统配置图符号及约定
?GB/Z18729-2002基于网络的企业信息集成规范
?YD/T1170-2001IP网络技术要求—网络总体
?YD/T1171-2001IP网络技术要求—网络性能参数与指标
?GB17859-1999计算机信息系统安全保护等级划分准则
?GB/T17965-2000信息技术开放系统互连高层安全模型
?GB/T17963-2000信息技术开放系统互连网络层安全协议
?GB/T.16681-1996(2003版)信息技术开放系统中文界面规范
?GB/T18336.1-2001信息技术安全技术信息技术安全性评估准则第1部
分
?GB/T18336.2-2001信息技术安全技术信息技术安全性评估准则第2部分
?GB/T18336.3-2001信息技术安全技术信息技术安全性评估准则第3部分
?GB/T18231-2000信息技术低层安全模型
?GB/T18492-2001信息技术系统及软件完整性级别
?GB4943-2001信息技术设备的安全
?GB9254-1998信息技术设备的无线电骚扰限值和测量方法
?YD5059-1998通信设备安装抗震设计规范
?YD5060-1998通信设备安装抗震设计图集
?GB/T19486-2004电子政务主题词表编制规则
?GB/T19487-2004电子政务业务流程设计方法通用规范
?GB/T19488.1-2004电子政务数据元第1部分:设计和管理规范
?YD5059-1998通信设备安装抗震设计规范
?YD5060-1998通信设备安装抗震设计图集
?EIA/TIA-568A、EIA/TIA-568B商用建筑线缆标准
?GB/T18233-2000信息技术用户建筑群的通用布缆
?GA308-2001安全防范系统验收规范
?GA/T75-1995安全防范工程程序与要求
?GA/T74-1994安全防范系统通用图形符号
?GB/T2887-2000电子计算机场地通用规范
?GB50174-93电子计算机机房设计规范
?GB9361-88计算站场地安全要求
?YD/T754-1995通信机房静电防护通则
?GB/T14715-93信息技术设备用不间断电源系统通用技术条件
?国家标准《电子计算机机房设计规范》(GB50174-93)
?国家标准《计算站场地技术要求》(GB/T2887-2000)
?国家公共安全和保密标准GGBB1-1999《信息设备电磁泄漏发射限值》?GB17859:《计算机信息系统安全保护等级划分准则》
ISO17799/BS7799:《信息安全管理惯例》
第二章网络平台建设
2.1网络建设原则
2.1.1高可靠性
网络架构和设备均支持业务系统对服务级别高可靠性的要求,在网络分层部署的架构和设备体系选择以及相关配置上均充分按照高可用的系统设计;整个网络系统应具有很高的安全可靠性,必须满足7×24×365小时连续运行的要求。在通信故障发生时,网络设备可以快速自动地切换到备份链路或设备上;
2.1.2高安全性
按照严格的安全体系进行设计,分布式部署,使网络具有统一的安全防护能力,支持全网的安全联动;网络安全建设能有效防止网络的非法访问,保护关键数据不被非法窃取、篡改或泄漏,使数据具有极高的安全性;
2.1.3可扩展性
作为承载业务数据通信的网络平台要具有面向未来的良好的伸缩性能,既能满足当前的需求,又能支持未来业务网点、业务量、业务种类的扩展和与其它机构或部门的连接等对网络的扩充性要求,能够满足不断变化的应用需求。
2.1.4可管理性
整个网络系统需要能够进行高效的管理和维护,有使用方便、部署简单的网络管理系统,这将直接影响业务系统的运作。
2.1.5开放性
网络建设全面遵循业界标准,所推荐采用的设备、技术在互通性和互操作性上,可以支持本网络系统的快速布署。
2.1.6效益性
网络的投资应随着网络的伸缩能够持续发挥作用,保护现有网络的投资,充分发挥网络投资的最大效益。
2.1.7完整性
网络系统应实现端到端的、能整合数据、语音和图像的多业务应用,满足全网范围统一的实施安全策略、QoS策略、流量管理策略和系统管理策略的完整的一体化网络。
第三章总体网络建设方案
根据国家档案馆的规范要求,本次档案馆分为电子政务外网、档案馆内网、Internet网之间物理隔离,Int网络主要以无线有线一体化方便到访查阅人员上网,提高舒适度,实施立上网行为管理,其他网络不涉及无线网络。
二楼为多媒体查阅利用阅览室和办公室,多媒体查阅利用阅览室要求无线覆盖。
三楼为主要办公室,包含主要领导办公室,
四楼五楼主要为办公区,每层楼设7个办公室,每个办公室占时只有三个点,要求三套网络接入。也就是现在每套网络每层楼都要。
设一台24口交换机,未来办公区可能会扩展,每套网络在将来至少承载300个点。
现有以及安装的监控点位52个将来要接到电子政务外网中,需配置POE供电交换机。
3.1方案设计思路
3.1.1方案设计思路概述
?总体思路-千兆双绞线到桌面、千兆光纤骨干
为了实现档案局网络平台承载网高速的接入和高效、稳定的核心,网络建设的总体思路采用“千兆双绞线到桌面、千兆光纤到核心骨干”
?核心层采用虚拟虚拟化技术-高效稳定网络
分别把两台物理核心交换机,通过技术,虚拟化成一台逻辑的设备,主要基于以下几个方面的考虑:
?性能翻番
使用虚拟化技术后,核心设备是负载分担的方式,两台设备当两台用,使用虚拟化技术后,汇聚到核心的双链路上行都是负载分担方式,两条链路当两条用
?可靠性高:
链路/节点故障200ms的故障自愈时间,MSTP+VRRP的方式为秒级收敛时间;
?网络更简单
使用虚拟化技术后,二层不需要生成树;三层不需要VRRP;多台设备只需配置一次,让网络更简单
3.1.2安全渗透网络
?用防火墙隔离各安全区域
防火墙作为不同网络或网络安全域之间信息的出入口,能根据安全策略控制出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器、限制器和分析器,可以有效监不同安全网络之间的任何活动。防火墙在网络间实现访问控制,比如一个是用户的安全网络,称之为‘被信任应受保护的网络’,另外一个是其它的非安全网络称为‘某个不被信任并且不需要保护的网络’。防火墙就位于一个受信任的网络和一个不受信任的网络之间,通过一系列的安全手段来保护受信任网络上的信息。
?对关键路径进行深入检测防护
虽然,网络中已部署了防火墙等基础网络安全产品,但是,在网络的运行维护中,IT部门仍然发现网络的带宽利用率居高不下、而应用系统的响应速度越来
越慢。产生这个问题的原因并不是当初网络设计不周,而是自2003年以来,蠕虫、点到点,入侵技术日益滋长并演变到应用层面(L7)的结果,而这些有害代码总是伪装成客户正常业务进行传播,目前部署的防火墙等安全产品其软硬件设计当初仅按照其工作在L2-L4时的情况考虑,不具有对数据流进行综合、深度监测的能力,自然就无法有效识别伪装成正常业务的非法流量,结果蠕虫、攻击、间谍软件、点到点应用等非法流量轻而易举地通过防火墙开放的端口进出网络。
因此在关键路径上部署独立的具有深度检测防御的IPS(入侵防御系统)就显得非常重要。深度检测防御是为了检测计算机网络中违反安全策略行为。一般认为违反安全策略的行为有:
●入侵——非法用户的违规行为;
●滥用——用户的违规行为;
深度检测防御识别出任何不希望有的活动,从而限制这些活动,以保护系统的安全。深度检测防御的应用目的是在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中,能减少入侵攻击所造成的损失。
?对用户非法上网行为进行识别和控制
目前网络各种应用越来越丰富,但是对于一个网络的管理员而言,非法的、未受控的应用,会挤占合法应用带宽,同时影响职员的整体生产率,这些应用必须被识别并加以控制。比如在电子政务网中,P2P下载、娱乐类应用占用了大量的带宽,对这些机构正常的业务影响极大;另一方面,政府职员,把工作或学习时间消耗在一些不必要甚至非法的网络活动上,大大影响了工作效率。通过应用识别技术,可把各种应用及其行为置于明确的可管理的前提下,并通过阻断、限
流等手段实现应用控制。
?对全网设备进行统一安全管理并进行用户行为审计
日益严峻的安全威胁迫,不得不加强对网络系统的安全防护,不断追求多层次、立体化的安全防御体系,逐步引入了防病毒、防火墙、IPS/IDS、VPN等大量异构的单点安全防御技术,再加上交换机、路由器等网络设备,网络结构日益复杂。然而,现有网络安全防御体系还是以孤立的单点防御为主,彼此间缺乏有效的协作,不同的设备之间的信息也无法共享,从而形成了一个个安全的“信息孤岛”。通过统一安全管理平台安全管理中心,可以对网络中的网络设备、安全设备、服务器等进行统一管理,收集相关信息,进行关联分析,形成安全事件报表输出,并且针对用户行为输出审计报告,有效的帮助管理员了解网络中的安全现状与风险,提供相关解决办法和建议。
?终端准入安全控制
在网络中,任何一台终端的安全状态,都将直接影响到整个网络的安全。非法用户的侵入,肆意破坏和盗取内部资源信息;不符合安全策略的终端(如防病毒库版本低,补丁未升级),容易遭受攻击、感染病毒,如果某台终端感染了病毒,它将不断在网络中试图寻找下一个受害者,并使其感染;在一个没有安全防护的网络中,最终的结果可能是全网瘫痪,所有终端都无法正常工作。
对终端准入安全我们需要关注的问题是:
?病毒提前预防
1.用户权限细分
2.2.告警自动响应
3.3.安全统一管理