桃花源區(qū)金財(cái)工程應(yīng)用支撐平臺(tái)建設(shè)項(xiàng)目解決方案二〇一一年七月1頁(yè)目錄第1章3第2章42.14第3章5593.499.防火墻需求3.6.3.設(shè)備選型防火墻部署3.52頁(yè)第1章1999年下半年開始規(guī)劃建立政府財(cái)政管理信息系統(tǒng)。2002年初，國(guó)務(wù)院正式命名財(cái)政部政府財(cái)政管理信息系統(tǒng)”為金財(cái)工程?！敖鹭?cái)工程即政府財(cái)政管理信息系統(tǒng)（簡(jiǎn)稱GFMIS），是利用先進(jìn)的信息礎(chǔ)上，提出的與我國(guó)建立公共財(cái)政體制框架目標(biāo)相適應(yīng)的一套先進(jìn)信息管理系統(tǒng)，是我國(guó)正在實(shí)施的電子政務(wù)戰(zhàn)略工程建設(shè)的重要組成部分。3頁(yè)第2章2.1FASP）是整個(gè)金財(cái)工程的核心系統(tǒng)，是按照金財(cái)工程”總體設(shè)計(jì)規(guī)劃，為實(shí)現(xiàn)當(dāng)前財(cái)政行業(yè)信息化產(chǎn)品和服務(wù)的要求而開發(fā)。FASP堅(jiān)持一套控制機(jī)制、一本總帳、一套編碼體系、一個(gè)數(shù)據(jù)平臺(tái)為原則，一支管理為過(guò)程、預(yù)算及執(zhí)行分析為回路接點(diǎn)，全面覆蓋預(yù)算及收支管理的“金財(cái)工程核心業(yè)務(wù)大系統(tǒng)。財(cái)政局信息化現(xiàn)狀，該局需要搭建一套完善的硬件系統(tǒng)支撐平臺(tái)。應(yīng)用：1、搭建高性能核心數(shù)據(jù)庫(kù)系統(tǒng)，采用集中部署方式，實(shí)現(xiàn)金財(cái)工程數(shù)據(jù)的集中管理；2、構(gòu)建對(duì)外的WEB應(yīng)用系統(tǒng)，實(shí)現(xiàn)互聯(lián)網(wǎng)用戶能夠?qū)崟r(shí)訪問(wèn)相應(yīng)的站點(diǎn)及應(yīng)用，以獲取相關(guān)的信息；3、依據(jù)當(dāng)前應(yīng)用支撐平臺(tái)各項(xiàng)應(yīng)用今后的應(yīng)用情況，分布式部署PC數(shù)據(jù)服務(wù)器；4頁(yè)第3章3.1金財(cái)工程建設(shè)規(guī)模龐大、安全要求高、實(shí)施周期長(zhǎng)、涉及面廣。需要精心邊環(huán)境而設(shè)計(jì)。因此，在設(shè)計(jì)過(guò)程中，建議遵循以下設(shè)計(jì)思路：?財(cái)政大系統(tǒng)由平臺(tái)及表層業(yè)務(wù)系統(tǒng)共同組成件；抽取信息系統(tǒng)的共性，形成技術(shù)組件。通過(guò)穩(wěn)定的平臺(tái)，支撐多變、個(gè)性化的表層業(yè)務(wù)系統(tǒng)。?通過(guò)平臺(tái)支撐未來(lái)業(yè)務(wù)發(fā)展服務(wù)一體化。?平臺(tái)統(tǒng)一的大系統(tǒng)技術(shù)路線臺(tái)支撐下具有較高自動(dòng)化程度的財(cái)政大系統(tǒng)。3.2前政務(wù)信息化建設(shè)特點(diǎn)，該設(shè)計(jì)方案應(yīng)從系統(tǒng)的穩(wěn)定性、可靠性出發(fā)，一方面考有投資，有效控制成本。5頁(yè)桃花源區(qū)金財(cái)工程應(yīng)用支撐平臺(tái)建設(shè)項(xiàng)目解決方案1HPDL580G7服務(wù)器，將HPDL580G7部署在桃花源區(qū)財(cái)政局中心機(jī)房，運(yùn)行Oracle數(shù)據(jù)庫(kù)。HPDL580G7采用英特爾先進(jìn)的7500系列處理器及創(chuàng)新的HPiLO技術(shù)，擁有絕佳的性能和性價(jià)比。2、對(duì)外服務(wù)的WEB服務(wù)器采用一臺(tái)HPDL388G7服務(wù)器，部署Oracle數(shù)據(jù)庫(kù)。3HPDL388G7服務(wù)器，承擔(dān)其各項(xiàng)系統(tǒng)業(yè)務(wù)。4、以IBMDS3512存儲(chǔ)陣列作為整個(gè)桃花源區(qū)財(cái)政局金財(cái)工程應(yīng)用支撐平臺(tái)的存儲(chǔ)系統(tǒng)。IBMDS3512擁有市場(chǎng)上中低端存儲(chǔ)最好的性能表現(xiàn)。同時(shí)IBMDS3512采用全冗余設(shè)計(jì)，可選冗余控制器，冗余電源，冗余連接通路。為桃花源區(qū)財(cái)政局金財(cái)工程應(yīng)用支撐平臺(tái)的數(shù)據(jù)安全可靠提供了可靠性及安全性保證。5、數(shù)據(jù)作為信息化系統(tǒng)的血液。1)本項(xiàng)目采用先進(jìn)的虛擬帶庫(kù)技術(shù)，配套使用CA在數(shù)據(jù)庫(kù)服務(wù)器前端架設(shè)一臺(tái)千兆防火墻，實(shí)現(xiàn)各應(yīng)用子系統(tǒng)與數(shù)據(jù)庫(kù)的策略數(shù)據(jù)交互。?主流的服務(wù)器機(jī)型流機(jī)種可減緩機(jī)器更換頻率，提高主機(jī)的服務(wù)年限，更好的利用設(shè)備投資。?具有先進(jìn)的體系架構(gòu)服務(wù)器系統(tǒng)必須具備先進(jìn)的體系結(jié)構(gòu)，有良好的軟硬件支持能力和互操作廠牌的產(chǎn)品兼容，可以有效保護(hù)投資，并為應(yīng)用系統(tǒng)提供良好支持。?具有先進(jìn)的技術(shù)7頁(yè)特性，能跨系統(tǒng)實(shí)時(shí)分區(qū)遷移，資源調(diào)度靈活方便。?具有豐富的擴(kuò)展方式軟件功能提供運(yùn)行空間，并且具有橫向、縱向的擴(kuò)展能力。?具有完整的高可用解決方案停機(jī)穩(wěn)定可靠的運(yùn)行，主機(jī)連續(xù)運(yùn)轉(zhuǎn)后，保障因故障停機(jī)前的正常使用時(shí)間在3年以上，滿足7*24小時(shí)的要求。當(dāng)服務(wù)器系統(tǒng)發(fā)生軟硬件故障或操作錯(cuò)誤時(shí)，統(tǒng)高可靠的運(yùn)行。?具有完善方便的管理技術(shù)主機(jī)的管理技術(shù)是其中必不可少的關(guān)鍵組成部分，要求具備簡(jiǎn)單、方便、功法。3.3.2根據(jù)金財(cái)工程應(yīng)用支撐平臺(tái)系統(tǒng)的技術(shù)要求中“系統(tǒng)承載能力”?？紤]未來(lái)3-5年的業(yè)務(wù)擴(kuò)張。在此以系統(tǒng)需要支持5000用戶、并發(fā)100用戶的訪問(wèn)為例。100訪問(wèn)需要5TPCC10次數(shù)據(jù)TPCC值為7數(shù)據(jù)庫(kù)應(yīng)用經(jīng)驗(yàn)值所得），所以數(shù)據(jù)庫(kù)服務(wù)器的TPMC值應(yīng)該是數(shù)據(jù)庫(kù)所需值加上其他值，系統(tǒng)處理性能考慮70%的冗余。8頁(yè)數(shù)據(jù)庫(kù)服務(wù)器的TPMC＝(100*5*10*60+70000)/70%＝528571所以，本項(xiàng)目要求的數(shù)據(jù)庫(kù)服務(wù)器的TPCC值不低于528571。HPDL580G74CPU32GB內(nèi)存，5*500GB硬盤，做。3.3.3WEB服務(wù)器主要提供WWW上來(lái)講，WEB服務(wù)器主要是滿足很高的頁(yè)面點(diǎn)擊率、大量的數(shù)據(jù)I/O交換能力，能夠根據(jù)應(yīng)用的不斷擴(kuò)大而擴(kuò)展服務(wù)器。服務(wù)器的性能需求是由網(wǎng)站內(nèi)容來(lái)決定的。如果WEB站點(diǎn)是靜態(tài)的（即客戶訪問(wèn)的頁(yè)面都是事先制作完成存放于WEBCPU。如果WEB服務(wù)器主要進(jìn)行密集計(jì)算（例如動(dòng)態(tài)產(chǎn)生WEB頁(yè)），系統(tǒng)瓶頸依次是：內(nèi)存、CPU、磁盤、網(wǎng)絡(luò)。由此，我們可以得出這樣的結(jié)論：除了CPU作為服務(wù)器的心臟，對(duì)系統(tǒng)的性能影響最大70%才能使系統(tǒng)非常流暢的運(yùn)行。HPDL388G72CPU8GB內(nèi)存，3*300GB硬盤，做。建立桃花源區(qū)財(cái)政局網(wǎng)絡(luò)安全保障體系是桃花源區(qū)財(cái)政局網(wǎng)絡(luò)安全建設(shè)的9頁(yè)桃花源區(qū)財(cái)政局信息化建設(shè)來(lái)看，該安全體系將是一個(gè)多級(jí)的網(wǎng)絡(luò)安全體系。全、應(yīng)用層安全、管理層安全。在整個(gè)安全方案中，網(wǎng)絡(luò)運(yùn)行安全是一個(gè)基礎(chǔ)，絡(luò)安全體系最關(guān)鍵的一環(huán)銷毀整個(gè)生命周期內(nèi)的保密性、完整性、可用性。從這個(gè)角度來(lái)看，保障信息安用性的有效監(jiān)控和管理。少發(fā)生安全事故，發(fā)生安全事故時(shí)將損失降到最低。據(jù)此所建立的安全模型如圖所示：安全模型10頁(yè)天融信信息安全模型風(fēng)險(xiǎn)、資產(chǎn)、弱點(diǎn)、威脅、事件、事故、案例知識(shí)庫(kù)果報(bào)告定義不發(fā)生安全事故少發(fā)生安全事故發(fā)生事故減少損失響應(yīng)評(píng)價(jià)果因信息資產(chǎn)安全弱點(diǎn)防止事態(tài)進(jìn)一步擴(kuò)大，減少損失，才是我們真正需要關(guān)注的問(wèn)題。同時(shí)，在事故故再次發(fā)生。合，構(gòu)建全方位、多層次、可動(dòng)態(tài)發(fā)展的縱深安全保障體系。無(wú)縫結(jié)合，構(gòu)建全方位、多層次、可動(dòng)態(tài)發(fā)展的縱深安全保障體系。從技術(shù)防護(hù)的角度，將實(shí)現(xiàn)以下的安全建設(shè)目標(biāo)：為構(gòu)成桃花源區(qū)財(cái)政局業(yè)務(wù)系統(tǒng)的各項(xiàng)信息資產(chǎn)（網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)）提供完善的預(yù)警、保護(hù)、檢測(cè)、反應(yīng)和恢復(fù)的閉環(huán)保護(hù)，防范來(lái)自網(wǎng)絡(luò)內(nèi)、外的安全威脅，提高對(duì)安全事件的反應(yīng)處理能力，減小信息系統(tǒng)因?yàn)榘踩录挠绊懚斐蓳p失的可能性。從技術(shù)與管理整合的角度、將實(shí)現(xiàn)以下的安全建設(shè)目標(biāo)：11頁(yè)通過(guò)本次項(xiàng)目，經(jīng)過(guò)長(zhǎng)期建設(shè)，建成一個(gè)適應(yīng)現(xiàn)階段要求、符合規(guī)范、相對(duì)完備的桃花源區(qū)財(cái)政局網(wǎng)絡(luò)安全體系。該體系需要全面保衛(wèi)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、邊界和外部接入、計(jì)算環(huán)境、支可用、不可抵賴和可審計(jì)性，基本做到“進(jìn)不來(lái)、拿不走、改不了、看不懂、跑不了、可審計(jì)、打不垮”。.2.1會(huì)使整個(gè)網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)降低90%。議、端口號(hào)、時(shí)間、流量等條件實(shí)現(xiàn)安全的訪問(wèn)控制。同時(shí)防火墻具有很強(qiáng)的記錄日志的功能，可以對(duì)您所要求的策略來(lái)記錄所有不安全的訪問(wèn)行為。確保網(wǎng)絡(luò)更加安全必須配備其他相關(guān)的安全產(chǎn)品。網(wǎng)絡(luò)訪問(wèn)策略、外設(shè)策略、桌面防火墻策略、應(yīng)用程序策略、遠(yuǎn)程維護(hù)、桌面屬性策略、注冊(cè)表項(xiàng)策略、系統(tǒng)設(shè)置項(xiàng)等項(xiàng)目的細(xì)致化管理。12頁(yè)ApacheWEB數(shù)據(jù)庫(kù)。管理平臺(tái)基于B/S結(jié)構(gòu)，管理員可以從任何C/S戶端具有強(qiáng)大的自主防護(hù)功能，沒(méi)有使用界面后臺(tái)運(yùn)行。Agent主機(jī)入侵檢測(cè)、防病毒軟件檢測(cè)功能，對(duì)系統(tǒng)狀態(tài)（進(jìn)程、端口、軟件、硬件、CPU占用率、磁盤占用率、內(nèi)存占用率）的信息采集功能，對(duì)撥號(hào)、打印、文件操作、外存使用的行為監(jiān)管功能。幫助網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)中的異常情況進(jìn)行深度挖掘分析。的風(fēng)險(xiǎn)情況，提出存在問(wèn)題的原因和對(duì)如何進(jìn)行修復(fù)提出修改的建議。了阻止病毒從外網(wǎng)向內(nèi)部網(wǎng)傳播，因此最適合于部署在最主要的病毒傳播出口，公的干擾。13頁(yè)3.6.3.千兆防火墻系統(tǒng)NGFW4000-UF屏障，防范黑客攻擊和非法用戶的訪問(wèn)。以防止各網(wǎng)絡(luò)之間有意無(wú)意地探測(cè)和攻擊行為。過(guò)防火墻的檢查。通過(guò)防火墻的隔離，各種數(shù)據(jù)都有各自的數(shù)據(jù)傳輸通道。由于防火墻隔離的是不同的安全區(qū)域，可以根據(jù)網(wǎng)絡(luò)訪問(wèn)和安全防護(hù)需要，器的安全和外網(wǎng)接入提供了有力的保證。整的、安全的防護(hù)體系。14頁(yè)服務(wù)的用戶身份如何確認(rèn)？并且用戶使用的設(shè)備會(huì)不會(huì)是從外面帶進(jìn)來(lái)不可信的呢？依賴的設(shè)備進(jìn)行可信認(rèn)證，以有效降低各類設(shè)備所引起的風(fēng)險(xiǎn)。時(shí)更新病毒庫(kù)，或是沒(méi)有加入AD域，或是未打好系統(tǒng)補(bǔ)丁等；信息管理人員如病毒庫(kù)等，同時(shí)修復(fù)工作又要輕松化、傻瓜化，便捷化？處于被感染、被攻擊狀態(tài)。毒出現(xiàn)了卻不及時(shí)升級(jí)病毒庫(kù)的現(xiàn)象普遍存在。由于筆記本、上網(wǎng)本、手機(jī)終端等設(shè)備的興起，同時(shí)由于ADSL，WiFi和3G等網(wǎng)絡(luò)接入手段的不斷出現(xiàn)，用戶可以很容易地、在任何時(shí)間、任何地點(diǎn)實(shí)口來(lái)保證網(wǎng)絡(luò)邊界的完整。網(wǎng)絡(luò)邊界很有可能因?yàn)锳DSLWiFi3G的聯(lián)出，造成網(wǎng)絡(luò)邊界的被破壞，造成有不明終端穿越網(wǎng)絡(luò)邊界接入。網(wǎng)絡(luò)邊界的防護(hù)不能僅限于網(wǎng)絡(luò)出口的保護(hù)，而是應(yīng)該是所有網(wǎng)絡(luò)邊界的防護(hù)。ASM盈高入網(wǎng)規(guī)范管理系統(tǒng)是一套基于最先進(jìn)的第三代準(zhǔn)入控制技術(shù)的純硬件網(wǎng)絡(luò)準(zhǔn)入控制設(shè)備，秉承“不改變網(wǎng)絡(luò)、不裝客戶端”的特性，為您解決網(wǎng)15頁(yè)絡(luò)的合規(guī)性要求，達(dá)到“違規(guī)不入網(wǎng)、入網(wǎng)必合規(guī)”的管理規(guī)范，支持包括身份認(rèn)證、友好WEB重定向引導(dǎo)、基于角色的動(dòng)態(tài)授權(quán)訪問(wèn)控制、可配置的安全檢界、終端防護(hù)的相應(yīng)要求，同時(shí)提供更高效的、智能式的網(wǎng)絡(luò)準(zhǔn)入防護(hù)功能。建議桃花源區(qū)財(cái)政局內(nèi)網(wǎng)部署一套ASM盈高入網(wǎng)規(guī)范管理系統(tǒng)，以提供多網(wǎng)絡(luò)的統(tǒng)一管理。2006-2010年的網(wǎng)絡(luò)安全情況來(lái)安全防護(hù)設(shè)施（如防火墻、入侵檢測(cè)、漏洞掃描）等方式保證自己的網(wǎng)絡(luò)安全，但是，對(duì)類似下面的安全問(wèn)題仍然無(wú)法做到真正意義上的解決：?如何防范頻繁出現(xiàn)的內(nèi)部攻擊？?如何及時(shí)發(fā)現(xiàn)桌面設(shè)備的系統(tǒng)漏洞并最快自動(dòng)分發(fā)補(bǔ)?。?如何規(guī)范、方便、有效、安全地管理移動(dòng)存儲(chǔ)設(shè)備的日常使用，如何確保沒(méi)有登記的移動(dòng)存儲(chǔ)設(shè)備無(wú)法在內(nèi)部網(wǎng)絡(luò)正常使用？?如何防范用戶繞過(guò)防火墻等邊界防護(hù)設(shè)施，直接聯(lián)入外網(wǎng)帶來(lái)的嚴(yán)重安全隱患的行為？?如何確保需控制的崗位嚴(yán)格執(zhí)行上班時(shí)間不允許炒股、玩游戲、聊天等管理制度？?如何為每臺(tái)終端設(shè)備加固安全策略，減少日常用戶使用的安全事故？?如何快速有效的定位網(wǎng)絡(luò)中病毒、黑客的引入點(diǎn)，快速、安全的切斷安全事件發(fā)生點(diǎn)和相關(guān)網(wǎng)絡(luò)。?如何控制外來(lái)筆記本電腦以及其它移動(dòng)設(shè)備的隨意接入問(wèn)題？?如何有效管理計(jì)算機(jī)設(shè)備資源，確保資產(chǎn)的不丟失？?如何優(yōu)化IT運(yùn)行維護(hù)流程，降低運(yùn)維成本？16頁(yè)在這種情況下，就需要對(duì)我們的桌面系統(tǒng)進(jìn)行細(xì)粒度的安全管控。在桃花源區(qū)財(cái)政局內(nèi)網(wǎng)辦公平臺(tái)上部署一套MSEP不同的模塊組成：代理模塊（Agent）、服務(wù)器模塊（）、WEB管理與控制平臺(tái)模塊（WebConsole）。用戶可以根據(jù)具體需要將它們安裝在網(wǎng)絡(luò)中的計(jì)臺(tái)具有大容量?jī)?nèi)存的用作服務(wù)器的計(jì)算機(jī)上。WEB管理與控制平臺(tái)主要用于監(jiān)人員使用，由于采用WEB瀏覽器的模式，所以無(wú)需安裝模塊程序只需使用IE瀏覽器就可以使用功能。WEB控制管理中心WEBConsole是管理員進(jìn)行策略配置、系統(tǒng)配置、下發(fā)命令、監(jiān)控工作站點(diǎn)，即可以單獨(dú)使用一臺(tái)PC，也可以和其他系統(tǒng)共用。應(yīng)用服務(wù)器M