農(nóng)業(yè)信息化網(wǎng)站建設(shè)方案.doc

《農(nóng)業(yè)信息化網(wǎng)站建設(shè)方案.doc》由會(huì)員分享，可在線閱讀，更多相關(guān)《農(nóng)業(yè)信息化網(wǎng)站建設(shè)方案.doc（17頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、 xx 農(nóng)業(yè)信息化網(wǎng)站建設(shè)方 案 聯(lián)通系統(tǒng)集成有限公司黑龍江省分公司聯(lián)通系統(tǒng)集成有限公司黑龍江省分公司 - 2 - V1.0 目 錄 1系統(tǒng)集成方案系統(tǒng)集成方案.3 1.1系統(tǒng)建設(shè)原則3 1.2系統(tǒng)整體設(shè)計(jì)思路概述4 1.3系統(tǒng)示意拓?fù)鋱D5 1.4詳細(xì)設(shè)計(jì) .8 1.4.1服務(wù)器系統(tǒng).8 1.4.2服務(wù)器負(fù)載均衡11 1.4.3存儲(chǔ)系統(tǒng)11 1.5安全設(shè)計(jì) .13 1.5.1系統(tǒng)高可用13 1.5.2互聯(lián)網(wǎng)安全接入和入侵防御系統(tǒng)13 1.5.3網(wǎng)頁(yè)防篡改系統(tǒng)14 1.5.4病毒防范系統(tǒng)15 1.5.5用戶/服務(wù)器身份認(rèn)證 .15 1.6本規(guī)劃特點(diǎn) .16 聯(lián)通系統(tǒng)集成有限公司黑龍江省分公司聯(lián)通

2、系統(tǒng)集成有限公司黑龍江省分公司 - 3 - V1.0 1 系統(tǒng)集成方案系統(tǒng)集成方案 1.11.1 系統(tǒng)建設(shè)原則系統(tǒng)建設(shè)原則 1、先進(jìn)性 設(shè)計(jì)思想先進(jìn)、起點(diǎn)高，結(jié)構(gòu)先進(jìn)，最大限度的采用市場(chǎng)覆蓋 率高、符合技術(shù)標(biāo)準(zhǔn)的標(biāo)準(zhǔn)化和技術(shù)成熟的軟硬件產(chǎn)品。 2、實(shí)用性 要充分保護(hù)好、利用好現(xiàn)有的資源，發(fā)揮現(xiàn)有設(shè)備的功效，功 能完善、兼容性強(qiáng)。 3、開放性 采用開放技術(shù)、開放結(jié)構(gòu)、開放系統(tǒng)組件和開放接口，符合國(guó) 際通用標(biāo)準(zhǔn)協(xié)議，便于系統(tǒng)維護(hù)、擴(kuò)展升級(jí)與外界互聯(lián)溝通。 4、可靠性 具有容錯(cuò)功能，管理維護(hù)方便，能滿足系統(tǒng)所在的地理環(huán)境、 氣候條件?？垢蓴_能力強(qiáng)，確保系統(tǒng)的高可靠運(yùn)行。 5、可擴(kuò)展性 規(guī)劃與設(shè)計(jì)既能

3、滿足現(xiàn)行的應(yīng)用，在配置上，又要有所預(yù)留， 以滿足因技術(shù)發(fā)展需要而實(shí)現(xiàn)低成本擴(kuò)展和升級(jí)的需要。 6、安全性 最大滿足的提供多層次的安全控制手段，建立完善的安全體系。 聯(lián)通系統(tǒng)集成有限公司黑龍江省分公司聯(lián)通系統(tǒng)集成有限公司黑龍江省分公司 - 4 - V1.0 7、經(jīng)濟(jì)性 投資合理，優(yōu)良好的性價(jià)比，且綜合考慮設(shè)備價(jià)格的變化、擴(kuò) 展升級(jí)等因素。 8、易維護(hù)性 系統(tǒng)應(yīng)具有良好的管理功能。 1.21.2 系統(tǒng)整體設(shè)計(jì)思路概述系統(tǒng)整體設(shè)計(jì)思路概述 考慮本系統(tǒng)預(yù)計(jì)的同時(shí)在線用戶數(shù)量較大（約 300000 用戶） ， 為保證系統(tǒng)的穩(wěn)定和可靠運(yùn)行，并且有效保護(hù)投資，建議整個(gè)系統(tǒng) 硬件構(gòu)架上采用分期實(shí)施方式，同時(shí)在

4、系統(tǒng)的整體結(jié)構(gòu)設(shè)計(jì)上具有 良好的可擴(kuò)展性。一期建議先按照 2000-3000 用戶同時(shí)并發(fā)考慮設(shè) 計(jì)，后期隨著用戶數(shù)的增加，只需要添加相應(yīng)的服務(wù)器和網(wǎng)絡(luò)設(shè)備 等，而不需要改變系統(tǒng)的整體架構(gòu)。 聯(lián)通系統(tǒng)集成有限公司黑龍江省分公司聯(lián)通系統(tǒng)集成有限公司黑龍江省分公司 - 5 - V1.0 1.31.3 系統(tǒng)示意拓?fù)湎到y(tǒng)示意拓?fù)鋱D圖 入入侵侵檢檢測(cè)測(cè) I ID DS S 核核心心交交換換機(jī)機(jī) W WE EB B服服務(wù)務(wù)器器群群 數(shù)數(shù)據(jù)據(jù)庫(kù)庫(kù)服服務(wù)務(wù)器器 群群 網(wǎng)網(wǎng)頁(yè)頁(yè)防防篡篡改改發(fā)發(fā) 布布服服務(wù)務(wù)器器 認(rèn)認(rèn)證證服服務(wù)務(wù)器器 S SA AN N交交換換機(jī)機(jī) 主主存存儲(chǔ)儲(chǔ) 備備份份存存儲(chǔ)儲(chǔ) 備備份份管管理

5、理 服服務(wù)務(wù)器器 防防火火墻墻 負(fù)負(fù)載載均均衡衡 交交換換機(jī)機(jī) C CA A, ,R RA A, ,R RS S服服務(wù)務(wù)器器 聯(lián)通電信 銀行 方案設(shè)計(jì)說(shuō)明：方案設(shè)計(jì)說(shuō)明： 本設(shè)計(jì)從結(jié)構(gòu)和功能角度主要?jiǎng)澐譃椋悍?wù)器部分、存儲(chǔ)部分、 互聯(lián)網(wǎng)安全部分、應(yīng)用服務(wù)器負(fù)載均衡部分、網(wǎng)頁(yè)防篡改部份等。 1、服務(wù)器系統(tǒng)： 考慮本系統(tǒng)可能的同時(shí)在線用戶數(shù)量較大（約 300000 用戶）為 保障業(yè)務(wù)的穩(wěn)定運(yùn)行，并為今后業(yè)務(wù)擴(kuò)展預(yù)留充分的擴(kuò)展空間，本 方案采用兩級(jí)結(jié)構(gòu)：前端部署 2 臺(tái)負(fù)載均衡交換機(jī)，采用多臺(tái) PC 服 務(wù)器并行作為系統(tǒng)應(yīng)用服務(wù)器，運(yùn)行應(yīng)用系統(tǒng)來(lái)提供 WEB 服務(wù)；后 聯(lián)通系統(tǒng)集成有限公司黑龍江省分

6、公司聯(lián)通系統(tǒng)集成有限公司黑龍江省分公司 - 6 - V1.0 端采用 2 臺(tái)高性能服務(wù)器以集群方式工作，作為后臺(tái)數(shù)據(jù)庫(kù)服務(wù)器， 這 2 臺(tái)服務(wù)器實(shí)現(xiàn)雙機(jī)和負(fù)載分擔(dān)。服務(wù)器選型為國(guó)際著名品牌， 具有優(yōu)異處理能力、可靠的穩(wěn)定性和便捷的可管理維護(hù)性。 此種設(shè)計(jì)架構(gòu)的優(yōu)點(diǎn)在于可以充分保障系統(tǒng)的穩(wěn)定可靠，而且 隨著用戶量的增加，可以通過(guò)直接增加應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器 的方式保證系統(tǒng)的運(yùn)行，而不需要改變現(xiàn)有的架構(gòu)，能夠做到對(duì)現(xiàn) 有投資的有效利用和保護(hù)。 2、存儲(chǔ)系統(tǒng)： 考慮本系統(tǒng)包含業(yè)務(wù)重要，且需要運(yùn)行數(shù)據(jù)庫(kù)等軟件，故存儲(chǔ) 系統(tǒng)使用 FC SAN 架構(gòu)。通過(guò)采用多端口的 SAN 交換機(jī)，可以實(shí)現(xiàn)多 臺(tái)數(shù)

7、據(jù)庫(kù)服務(wù)器共享一臺(tái)高性能的磁盤陣列，保證業(yè)務(wù)的可靠性和 系統(tǒng)的可擴(kuò)展性。FC SAN 架構(gòu)為當(dāng)前技術(shù)最成熟、最穩(wěn)定的存儲(chǔ)架 構(gòu)，尤其適合包含重要業(yè)務(wù)應(yīng)用的數(shù)據(jù)庫(kù)環(huán)境。 為實(shí)現(xiàn)系統(tǒng)最大可用性，保證服務(wù)器和存儲(chǔ)間的最佳組合，建 議存儲(chǔ)和服務(wù)器主機(jī)同一品牌。 3、互聯(lián)網(wǎng)和銀行安全接入 建議采用安全網(wǎng)關(guān)（防火墻）接入寬帶互聯(lián)網(wǎng)，安全網(wǎng)關(guān) UTM(統(tǒng)一威脅管理)可以進(jìn)行從網(wǎng)絡(luò)層到應(yīng)用層的全面檢查，在安 全網(wǎng)關(guān)上還可以部署防病毒模塊，從而有效防范抵御來(lái)自網(wǎng)外的病 毒、黑客等攻擊。 一體化安全網(wǎng)關(guān)采用高性能的硬件架構(gòu)和一體化的軟件設(shè)計(jì)， 通過(guò)選配不同的應(yīng)用模塊（如用戶需要） ，可以實(shí)現(xiàn)集防火墻、 聯(lián)通系統(tǒng)集

8、成有限公司黑龍江省分公司聯(lián)通系統(tǒng)集成有限公司黑龍江省分公司 - 7 - V1.0 VPN、入侵防御（IPS） 、防病毒、外聯(lián)控制、抗拒絕服務(wù)攻擊 （Anti-DoS） 、內(nèi)容過(guò)濾、反垃圾郵件、NetFlow 等多種安全技術(shù)于 一身，同時(shí)全面支持 QoS、高可用性（HA） 、日志審計(jì)等功能，為 網(wǎng)絡(luò)邊界提供了全面實(shí)時(shí)的安全防護(hù)。 4、入侵防御系統(tǒng) 入侵防御系統(tǒng)（IPS）可以圍繞深層防御、精確阻斷這個(gè)核心， 通過(guò)對(duì)網(wǎng)絡(luò)中深層攻擊行為進(jìn)行準(zhǔn)確的分析判斷，在判定為攻擊行 為后立即予以阻斷，主動(dòng)而有效的保護(hù)網(wǎng)絡(luò)的安全。 入侵防御系統(tǒng)（IPS）傾向于提供主動(dòng)性的防護(hù)，其設(shè)計(jì)旨在 預(yù)先對(duì)入侵活動(dòng)和攻擊性網(wǎng)絡(luò)

9、流量進(jìn)行攔截，避免其造成任何損失， 而不是簡(jiǎn)單地在惡意流量傳送時(shí)或傳送后才發(fā)出警報(bào)。IPS 是通過(guò) 直接嵌入到網(wǎng)絡(luò)流量中而實(shí)現(xiàn)這一功能的，即通過(guò)一個(gè)網(wǎng)絡(luò)端口接 收來(lái)自外部系統(tǒng)的流量，經(jīng)過(guò)檢查確認(rèn)其中不包含異?；顒?dòng)或可疑 內(nèi)容后，再通過(guò)另外一個(gè)端口將它傳送到內(nèi)部系統(tǒng)中。這樣一來(lái)， 有問(wèn)題的數(shù)據(jù)包，以及所有來(lái)自同一數(shù)據(jù)流的后續(xù)數(shù)據(jù)包，都能夠 在 IPS 設(shè)備中被清除掉。簡(jiǎn)單地理解，IPS 等于防火墻加上入侵檢 測(cè)系統(tǒng)，但并不是說(shuō) IPS 可以代替防火墻或入侵檢測(cè)系統(tǒng)。防火墻 是粒度比較粗的訪問(wèn)控制產(chǎn)品，它在基于 TCP/IP 協(xié)議的過(guò)濾方面 表現(xiàn)出色，而且在大多數(shù)情況下，可以提供網(wǎng)絡(luò)地址轉(zhuǎn)換、服務(wù)

10、代 理、流量統(tǒng)計(jì)等功能。 5、服務(wù)器負(fù)載均衡 由于本站同時(shí)在線及并發(fā)的用戶量較大，預(yù)計(jì)峰值會(huì)有 300000 聯(lián)通系統(tǒng)集成有限公司黑龍江省分公司聯(lián)通系統(tǒng)集成有限公司黑龍江省分公司 - 8 - V1.0 人左右在線，故采用 2 臺(tái)硬件負(fù)載均衡交換機(jī)+多臺(tái) WEB 服務(wù)器的模 式，通過(guò)負(fù)載均衡交換機(jī)合理分配用戶的訪問(wèn)流量到各臺(tái)服務(wù)器， 保障系統(tǒng)的穩(wěn)定可靠運(yùn)行。 1.41.4 詳細(xì)設(shè)計(jì)詳細(xì)設(shè)計(jì) 1.4.11.4.1 服務(wù)器服務(wù)器系統(tǒng)系統(tǒng) 服務(wù)器應(yīng)能夠確保連續(xù)的，長(zhǎng)時(shí)間的正常運(yùn)行；由于服務(wù)器上 包含重要業(yè)務(wù)數(shù)據(jù)，必須保證 724 小時(shí)的不間斷使用，而且一臺(tái) 服務(wù)器硬件故障不能影響整個(gè)系統(tǒng)的運(yùn)行；服務(wù)器

11、應(yīng)能夠運(yùn)行 Oracle 等大型數(shù)據(jù)庫(kù)及應(yīng)用程序；能滿足當(dāng)大量用戶及多種業(yè)務(wù)在 服務(wù)器上運(yùn)行時(shí)，系統(tǒng)性能不明顯下降；應(yīng)能夠提供很高的安全性、 可靠性與可管理性。 1.4.1.11.4.1.1選型概述選型概述 考慮本系統(tǒng)可能的同時(shí)在線用戶數(shù)量較大（約 300000 用戶）為 保障業(yè)務(wù)的穩(wěn)定運(yùn)行，并為今后業(yè)務(wù)擴(kuò)展預(yù)留充分的空間，本方案 采用兩級(jí)結(jié)構(gòu)：前端部署 2 臺(tái)負(fù)載均衡交換機(jī)，采用多臺(tái) PC 服務(wù)器 并行作為系統(tǒng)應(yīng)用服務(wù)器，運(yùn)行應(yīng)用系統(tǒng)來(lái)提供服務(wù)；后端采用 2 臺(tái)高性能服務(wù)器作為后臺(tái)數(shù)據(jù)庫(kù)服務(wù)器，這 2 臺(tái)服務(wù)器通過(guò)雙機(jī)軟 件實(shí)現(xiàn)雙機(jī)和負(fù)載分擔(dān)。服務(wù)器選型為國(guó)際著名品牌，具有優(yōu)異處 理能力、可

12、靠的穩(wěn)定性和便捷的可管理維護(hù)性。 對(duì)于處理能力的需求，往往通過(guò)內(nèi)部的 TPMC（TPC-C，事務(wù)處 聯(lián)通系統(tǒng)集成有限公司黑龍江省分公司聯(lián)通系統(tǒng)集成有限公司黑龍江省分公司 - 9 - V1.0 理性能標(biāo)準(zhǔn)的單位）指標(biāo)來(lái)衡量服務(wù)器系統(tǒng)的總體處理能力。TPMC 是以不同系列服務(wù)器在實(shí)際業(yè)務(wù)環(huán)境中經(jīng)過(guò)大量檢測(cè)得到的技術(shù)指 標(biāo)，是一種國(guó)際標(biāo)準(zhǔn)。該值考慮到了用戶的實(shí)際環(huán)境，具有很高的 參考價(jià)值。 1.4.1.21.4.1.2CPU 能力的計(jì)算能力的計(jì)算 以下計(jì)算公式是業(yè)界系統(tǒng)集成總結(jié)的經(jīng)驗(yàn)方法，基本反映了業(yè) 務(wù)特點(diǎn)對(duì)主機(jī)處理能力的需求： TPMTASK80%S（1+F）/（TC） 其中： TASK：為每日

13、業(yè)務(wù)統(tǒng)計(jì)峰值交易量，每臺(tái)寫為主的終端每天大 約會(huì)對(duì)數(shù)據(jù)庫(kù)做 5 次操作，按照 500000 臺(tái)計(jì)算；而每臺(tái)以讀為主的 終端每天大約會(huì)對(duì)數(shù)據(jù)庫(kù)做出 10 次操作，按照 500000 臺(tái)計(jì)算。則 每天總的業(yè)務(wù)對(duì)數(shù)據(jù)庫(kù)的操作數(shù)為：5*500000+10*500000=7500000 次。 T：為每日峰值交易時(shí)間，每日 80%業(yè)務(wù)量集中在每天的 1 小時(shí)， 即 60 分鐘內(nèi)完成：T=60。 S：為實(shí)際業(yè)務(wù)交易操作相對(duì)于標(biāo)準(zhǔn) TPC-C 測(cè)試基準(zhǔn)環(huán)境交易的 復(fù)雜程度比例。由于實(shí)際的業(yè)務(wù)交易復(fù)雜程度與 TPC-C 標(biāo)準(zhǔn)測(cè)試中 的交易存在較大的差異，須設(shè)定一個(gè)合理的對(duì)應(yīng)值。一筆業(yè)務(wù)往往 需要同時(shí)寫入大量數(shù)據(jù)

14、庫(kù)表，相對(duì)于 TPC-C 標(biāo)準(zhǔn)交易的復(fù)雜度，要 復(fù)雜很多；根據(jù)科學(xué)的統(tǒng)計(jì)結(jié)果，每筆交易操作相比較于 TPC 標(biāo)準(zhǔn) 聯(lián)通系統(tǒng)集成有限公司黑龍江省分公司聯(lián)通系統(tǒng)集成有限公司黑龍江省分公司 - 10 - V1.0 測(cè)試中的每筆交易的復(fù)雜度，此值可設(shè)定為 30。 C：為主機(jī) CPU 處理余量。實(shí)際應(yīng)用經(jīng)驗(yàn)表明，一臺(tái)主機(jī)服務(wù)器 的 CPU 利用率高于 80%，則表明 CPU 的利用率過(guò)高會(huì)產(chǎn)生系統(tǒng)瓶頸， 而利用率低于 60%時(shí)，是處于利用率最佳狀態(tài)。因此，在推算主機(jī) 性能指標(biāo)時(shí)，必須考慮 CPU 的冗余，設(shè)定 C=60%。 F：為系統(tǒng)未來(lái)三年的業(yè)務(wù)量發(fā)展冗余預(yù)留，設(shè)定為 50%。 綜上所述，為保障數(shù)據(jù)庫(kù)

15、程序處理性能要求，我們可推算得出 主機(jī)所需的處理能力?？紤]每日的業(yè)務(wù)量的 80大約在工作日的 1 個(gè)小時(shí)高峰業(yè)務(wù)時(shí)段內(nèi)發(fā)生，業(yè)務(wù)復(fù)雜度參數(shù)設(shè)定為 30。則套用上 面的公式： 每分鐘的交易數(shù)：TPM=750000080%30*1.5/(600.6) 75000000 注：注：本期工程中建議采用 2 臺(tái)高性能 PC 服務(wù)器作為數(shù)據(jù)庫(kù)服務(wù) 器，通過(guò)集群方式提供分擔(dān)和冗余服務(wù)。后期隨著用戶量的增加， 可以通過(guò)在群集內(nèi)增加服務(wù)器的方式實(shí)現(xiàn)方便的擴(kuò)展。 1.4.1.31.4.1.3推薦服務(wù)器配置推薦服務(wù)器配置 數(shù)據(jù)庫(kù)服務(wù)器數(shù)據(jù)庫(kù)服務(wù)器（2 臺(tái)）： 作用：運(yùn)行系統(tǒng)所需的各種系統(tǒng)數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)，完成本地業(yè) 務(wù)

16、數(shù)據(jù)的訪問(wèn)、存取。 操作系統(tǒng)：redhat5 linux 高級(jí)平臺(tái)服務(wù)器版 數(shù)據(jù)庫(kù)：oracle10G 聯(lián)通系統(tǒng)集成有限公司黑龍江省分公司聯(lián)通系統(tǒng)集成有限公司黑龍江省分公司 - 11 - V1.0 硬件設(shè)備配置：4 顆英特爾 至強(qiáng)主頻 2.4GHz 以上六核處理 器,32G 以上內(nèi)存，2*146G 10K SAS 2.5“雙端口熱插拔硬盤，支持 RAID-0、1、5，4 個(gè) 10/100/1000Mb 自適應(yīng)以太網(wǎng)口，11 冗余電 源，超薄 SATA DVD 光驅(qū)。 應(yīng)用服務(wù)器：應(yīng)用服務(wù)器：（2 臺(tái)以上） 作用：采用 2 臺(tái)以上 PC 服務(wù)器并行作為系統(tǒng)應(yīng)用服務(wù)器，為用 戶提供在線服務(wù)。 操作

17、系統(tǒng)：redhat5 linux 標(biāo)準(zhǔn)服務(wù)器版 硬件設(shè)備配置：2 顆英特爾 至強(qiáng)四核處理器 2.40GHz 以上, 8G 內(nèi)存，2*146G 10K SAS 2.5“雙端口熱插拔硬盤， 4 個(gè) 10/100/1000Mb 自適應(yīng)以太網(wǎng)卡，11 冗余電源，超薄 SATA DVD 光 驅(qū)。 注：?jiǎn)闻_(tái)注：?jiǎn)闻_(tái) WEBWEB 應(yīng)用服務(wù)器大約可以承載應(yīng)用服務(wù)器大約可以承載 50005000 左右并發(fā)用戶，可左右并發(fā)用戶，可 以通過(guò)增加應(yīng)用服務(wù)器數(shù)量實(shí)現(xiàn)承載能力的擴(kuò)充。以通過(guò)增加應(yīng)用服務(wù)器數(shù)量實(shí)現(xiàn)承載能力的擴(kuò)充。 1.4.21.4.2 服務(wù)器負(fù)載均衡服務(wù)器負(fù)載均衡 推薦采用 2 臺(tái)負(fù)載均衡交換機(jī)，部署在

18、WEB 服務(wù)器前端，通過(guò) 負(fù)載均衡交換機(jī)合理分配用戶的訪問(wèn)流量到各臺(tái)服務(wù)器，保障系統(tǒng) 的穩(wěn)定可靠運(yùn)行。 聯(lián)通系統(tǒng)集成有限公司黑龍江省分公司聯(lián)通系統(tǒng)集成有限公司黑龍江省分公司 - 12 - V1.0 1.4.31.4.3 存儲(chǔ)存儲(chǔ)系統(tǒng)系統(tǒng) 1.4.3.11.4.3.1選型概述選型概述 性能 存儲(chǔ)性能是系統(tǒng)設(shè)計(jì)的重要原則之一，存儲(chǔ)的性能應(yīng)能夠滿足 應(yīng)用系統(tǒng)峰值的需求，并有進(jìn)一步擴(kuò)展的空間，包括容量和性能的 擴(kuò)展。選擇性能最佳的磁盤系統(tǒng)，可以有效地提高計(jì)算機(jī)系統(tǒng)的 I/O 性能，從而提高計(jì)算機(jī)的整體性能。 擴(kuò)展性 磁盤系統(tǒng)的容量擴(kuò)展性：磁盤系統(tǒng)本身設(shè)計(jì)會(huì)有一定的局限， 其容量最大可擴(kuò)展能力是否滿足單

19、位今后數(shù)據(jù)發(fā)展的需要，是選擇 磁盤系統(tǒng)時(shí)必須考慮的一個(gè)方面。 磁盤系統(tǒng)的擴(kuò)容兼容性：由于磁盤系統(tǒng)的發(fā)展日新月異，用戶 在存儲(chǔ)擴(kuò)容時(shí)還要考慮新磁盤系統(tǒng)與舊設(shè)備之間的兼容性，即產(chǎn)品 系列有連續(xù)性。 磁盤驅(qū)動(dòng)器的兼容性：只有能夠支持不同容量、不同轉(zhuǎn)速的磁 盤驅(qū)動(dòng)器，才能最大限度地保護(hù)用戶的投資。 可靠性 數(shù)據(jù)是非常重要的資產(chǎn)，數(shù)據(jù)的可靠性很大程度上依靠存儲(chǔ)設(shè) 備。 聯(lián)通系統(tǒng)集成有限公司黑龍江省分公司聯(lián)通系統(tǒng)集成有限公司黑龍江省分公司 - 13 - V1.0 1.4.3.21.4.3.2存儲(chǔ)選型存儲(chǔ)選型 本期工程系統(tǒng)按 300000 用戶，考慮數(shù)據(jù)保存 10 年設(shè)計(jì)，并保 證一定的擴(kuò)展能力。 每天圖片

20、數(shù)量大概在 40M， 文字信息大概在 20M，日志大概 20M，按照保存 10 年的數(shù)據(jù)考慮，則資料數(shù)據(jù)為：（40+20+20） 365*10292G。 主數(shù)據(jù)庫(kù)考慮 30G 空間，則數(shù)據(jù)庫(kù)數(shù)據(jù)量為 29230322G。 數(shù)據(jù)庫(kù)容量數(shù)據(jù)庫(kù)數(shù)據(jù)量（1索引系數(shù) 0.3）（1冗 余系數(shù) 0.2）+數(shù)據(jù)庫(kù)系統(tǒng)空間 20GB292G1.31.220455G。 對(duì)于系統(tǒng)的數(shù)據(jù)采用 RAID5 的冗余方式，其數(shù)據(jù)量為 455/0.8570GB 的物理存儲(chǔ)空間。 1.4.3.31.4.3.3推薦存儲(chǔ)配置推薦存儲(chǔ)配置 磁盤陣列： 光纖磁盤陣列 1 臺(tái)，8 端口 SAN 交換機(jī) 2 臺(tái)。 2 個(gè)控制器 ,每個(gè)控制

21、器有 1 GB 以上緩存、2 個(gè) 4Gb Fibre Channel 端口；6 塊以上 146G SAS 硬盤。 1.51.5 安全設(shè)計(jì)安全設(shè)計(jì) 1.5.11.5.1系統(tǒng)高可用系統(tǒng)高可用 針對(duì)電子商務(wù)系統(tǒng)的特點(diǎn)，本系統(tǒng)主要設(shè)備均設(shè)置雙機(jī)互備， 最大程度上消除單點(diǎn)故障，從而滿足業(yè)務(wù)系統(tǒng)高可用的需求。 聯(lián)通系統(tǒng)集成有限公司黑龍江省分公司聯(lián)通系統(tǒng)集成有限公司黑龍江省分公司 - 14 - V1.0 1.5.21.5.2互聯(lián)網(wǎng)安全接入互聯(lián)網(wǎng)安全接入和入侵防御系統(tǒng)和入侵防御系統(tǒng) 預(yù)計(jì)本網(wǎng)站高峰在線用戶有 300000 人，按照高峰有 10%（30000）用戶并發(fā)，每個(gè)用戶平均最少需要消耗約 100Kbit

22、 帶 寬計(jì)算，考慮一定的冗余，建議大約需要 3000M 互聯(lián)網(wǎng)出口帶寬。 注：先期如果用戶量不大，可以根據(jù)實(shí)際情況適當(dāng)考慮出口帶注：先期如果用戶量不大，可以根據(jù)實(shí)際情況適當(dāng)考慮出口帶 寬。寬。 互聯(lián)網(wǎng)接入設(shè)備互聯(lián)網(wǎng)接入設(shè)備 按照業(yè)界的經(jīng)驗(yàn)值每個(gè)用戶的連接數(shù)在 10-20 個(gè)左右，按照 300000 用戶同時(shí)在線計(jì)算，防火墻的并發(fā)連接數(shù)需要在 1000000 以上。 注：先期如果用戶量不大，可以根據(jù)實(shí)際選擇單臺(tái)并發(fā)連接數(shù) 1000000 以上的防火墻，后期（業(yè)務(wù)量達(dá)到一定程度）再采用多臺(tái) 防火墻并發(fā)分擔(dān)流量。 推薦采用千兆安全網(wǎng)關(guān)接入寬帶互聯(lián)網(wǎng)，設(shè)備可提供 4 個(gè)以上 10/100/1000Ba

23、se-T 接口，支持 SFP 千兆接口，并發(fā)連接數(shù) 1000000 以上，每秒新建連接數(shù) 30000 以上，吞吐量 2G 以上。 入侵防御設(shè)備入侵防御設(shè)備 推薦互聯(lián)網(wǎng)防御方面部署入侵防御系統(tǒng)，入侵防御類網(wǎng)絡(luò)安全 產(chǎn)品，圍繞深層防御、精確阻斷這個(gè)核心，通過(guò)對(duì)網(wǎng)絡(luò)中深層攻擊 行為進(jìn)行準(zhǔn)確的分析判斷，在判定為攻擊行為后立即予以阻斷，主 動(dòng)而有效的保護(hù)網(wǎng)絡(luò)的安全。入侵防御系統(tǒng)及時(shí)、全面的檢測(cè)和呈 現(xiàn)網(wǎng)頁(yè)木馬和 WEB 漏洞，并提供補(bǔ)救措施。對(duì) SQL 注入、跨腳本 聯(lián)通系統(tǒng)集成有限公司黑龍江省分公司聯(lián)通系統(tǒng)集成有限公司黑龍江省分公司 - 15 - V1.0 攻擊等針對(duì) WEB 業(yè)務(wù)的攻擊行為有很好的判

24、斷和防御能力，做到 無(wú)誤報(bào)，無(wú)漏報(bào)。 1.5.31.5.3網(wǎng)頁(yè)防篡改系統(tǒng)網(wǎng)頁(yè)防篡改系統(tǒng) 面對(duì)越來(lái)越多的 WEB 應(yīng)用層攻擊，傳統(tǒng)的安全措施和服務(wù)已經(jīng) 無(wú)法有效的進(jìn)行防御。即便有防病毒保護(hù)、防火墻和 IDS/IPS，企 業(yè)仍然不得不允許一部分的通訊經(jīng)過(guò)防火墻，畢竟 Web 應(yīng)用的目的 是為用戶提供服務(wù)，保護(hù)措施可以關(guān)閉不必要暴露的端口，但是通 常情況下 Web 應(yīng)用必須的 80 和 443 端口，是一定要開放的。可以 順利通過(guò)的這部分通訊，可能是善意的，也可能是惡意的，很難辨 別。而惡意的用戶則可以利用這兩個(gè)端口執(zhí)行各種惡意的操作，或 者偷竊、或者操控、或者破壞 Web 應(yīng)用中的重要信息。因此，

25、部署 專業(yè)、可靠的 WEB 應(yīng)用安全產(chǎn)品以保護(hù) WEB 應(yīng)用免遭篡改、注入、 跨站等應(yīng)用層攻擊，是保障網(wǎng)站系統(tǒng)業(yè)務(wù)安全正常運(yùn)營(yíng)、阻止不法 分子侵害廣大用戶的利益的重要措施。 推薦在現(xiàn)有網(wǎng)絡(luò)架構(gòu)的基礎(chǔ)上部署網(wǎng)頁(yè)防篡改系統(tǒng)，一旦發(fā)現(xiàn) 網(wǎng)頁(yè)被非法修改，即進(jìn)行自動(dòng)恢復(fù)，保證非法網(wǎng)頁(yè)內(nèi)容不被公眾瀏 覽。支持網(wǎng)頁(yè)的自動(dòng)發(fā)布、篡改檢測(cè)、應(yīng)用保護(hù)、警告和自動(dòng)恢復(fù)， 保證傳輸、鑒別、完整性檢查、地址訪問(wèn)、表單提交、審計(jì)等各個(gè) 環(huán)節(jié)的安全，完全實(shí)時(shí)地杜絕篡改后的網(wǎng)頁(yè)被訪問(wèn)的可能性，也杜 絕任何使用 Web 方式對(duì)后臺(tái)數(shù)據(jù)庫(kù)的篡改。 聯(lián)通系統(tǒng)集成有限公司黑龍江省分公司聯(lián)通系統(tǒng)集成有限公司黑龍江省分公司 - 16 -

26、 V1.0 1.5.41.5.4病毒防范系統(tǒng)病毒防范系統(tǒng) 網(wǎng)絡(luò)病毒是目前廣大互聯(lián)網(wǎng)用戶最頭疼的問(wèn)題。在網(wǎng)絡(luò)出口部 署防火墻，只能做到對(duì)來(lái)自局域網(wǎng)外部攻擊的防范，對(duì)于由于局域 網(wǎng)內(nèi)部員工的不規(guī)范使用或 COPY 文件而產(chǎn)生的病毒，無(wú)法做到控 制。對(duì)于公司內(nèi)部網(wǎng)，必須增加一套網(wǎng)絡(luò)版殺毒軟件，用以控制局 域網(wǎng)內(nèi)的主機(jī)病毒。 1.5.51.5.5用戶用戶/服務(wù)器身份認(rèn)證服務(wù)器身份認(rèn)證 1、建立 PKI/CA 認(rèn)證體系 從總體構(gòu)架來(lái)看， PKI/CA 主要由最終用戶、認(rèn)證中心和注冊(cè) 機(jī)構(gòu)來(lái)組成。本系統(tǒng)配置了 CA,RA,RS 服務(wù)器，通過(guò)部署相應(yīng)的應(yīng) 用，實(shí)現(xiàn) PKI/CA 認(rèn)證體系的建立。 2、采用多

27、種身份認(rèn)證方式 目前存在多種身份認(rèn)證方式，用戶名密碼核對(duì)、預(yù)設(shè)問(wèn)題回答、 手機(jī)短信隨機(jī)碼發(fā)送、文件證書、動(dòng)態(tài)口令卡、USB-KEY、動(dòng)態(tài)密 碼令牌等手段，都可以用作身份認(rèn)證的方式。 對(duì)于本系統(tǒng)的身份認(rèn)證，用戶可以根據(jù)具體需求，結(jié)合系統(tǒng)平 臺(tái)特點(diǎn)進(jìn)行選擇。 1.61.6 本規(guī)劃特點(diǎn)本規(guī)劃特點(diǎn) 構(gòu)建多層防御體系，部署的安全設(shè)備充分考慮大負(fù)載情況下的構(gòu)建多層防御體系，部署的安全設(shè)備充分考慮大負(fù)載情況下的 處理能力和穩(wěn)定性，整體網(wǎng)絡(luò)安全可靠。服務(wù)器系統(tǒng)采用先進(jìn)的負(fù)處理能力和穩(wěn)定性，整體網(wǎng)絡(luò)安全可靠。服務(wù)器系統(tǒng)采用先進(jìn)的負(fù) 聯(lián)通系統(tǒng)集成有限公司黑龍江省分公司聯(lián)通系統(tǒng)集成有限公司黑龍江省分公司 - 17

28、- V1.0 載均衡和集群技術(shù)，保障在大訪問(wèn)量并發(fā)的情況下系統(tǒng)能夠穩(wěn)定可載均衡和集群技術(shù)，保障在大訪問(wèn)量并發(fā)的情況下系統(tǒng)能夠穩(wěn)定可 靠運(yùn)行，并為今后的發(fā)展預(yù)留足夠的擴(kuò)展空間?？窟\(yùn)行，并為今后的發(fā)展預(yù)留足夠的擴(kuò)展空間。 首先，出口的網(wǎng)絡(luò)邊界采取 UTM 防火墻技術(shù)，并且在不同級(jí)別之 間進(jìn)行嚴(yán)格訪問(wèn)控制，限制非法用戶和應(yīng)用程序的訪問(wèn)，保障網(wǎng)絡(luò) 的安全； 其次，通過(guò)部署入侵防御系統(tǒng)，不僅可以對(duì)網(wǎng)絡(luò)蠕蟲、間諜軟件、 溢出攻擊、數(shù)據(jù)庫(kù)攻擊等多種深層攻擊行為進(jìn)行主動(dòng)阻斷，而且能 夠有效的防御像 SQL 注入、跨站腳本攻擊這些針對(duì)應(yīng)用業(yè)務(wù)的攻擊 行為，彌補(bǔ)了其它安全產(chǎn)品深層防御效果的不足。 第三，通過(guò)部署負(fù)載均衡交換機(jī)可以有效地均衡應(yīng)用服務(wù)器的 負(fù)載，優(yōu)化網(wǎng)絡(luò)性能，確保最佳的用戶服務(wù)體驗(yàn)，確保應(yīng)用訪問(wèn)以 及完整的應(yīng)用連接性和冗余，同時(shí)可以保證今后業(yè)務(wù)的擴(kuò)展，有效 保護(hù)現(xiàn)有投資。數(shù)據(jù)庫(kù)服務(wù)器采用集群并行的方式，可以極大程度 保障應(yīng)用的穩(wěn)定性、可靠性和可擴(kuò)展性。 第四，通過(guò)部署網(wǎng)頁(yè)防篡改系統(tǒng)、網(wǎng)絡(luò)版防病毒軟件、入侵檢測(cè) 系統(tǒng)等進(jìn)一步規(guī)范、控制網(wǎng)絡(luò)，形成安全防護(hù)的有力屏障。