数据中心等保测评解决方案.docx

《数据中心等保测评解决方案.docx》由会员分享，可在线阅读，更多相关《数据中心等保测评解决方案.docx（52页珍藏版）》请在第一文库网上搜索。

1、数据中心等保测评解决方案目录1环境体系建设51.1 运行环境51.1.1 用户数分析及预测51.1.2 数据配套设备设计61.1.2.1 数据处理系统选型原则71.1.2.2 数据处理需求分析71.1.2.3 数据处理系统设计91.1.2.4 备份设计101.1.3 存储设计121.1.3.1 信息量计算模型121.1.3.2 存储量分析141.1.3.3 本期存储系统配置141.2 网络系统iS151.2.1 互联网带宽分析151.2.2 电子政务外网带宽分析161.2.3 出口带宽配置182信息安全系统设计192.1 衡呆标准192.2 系统定级192.3 安全削原则202.4 安全总体雌

2、削212.5 用户层安全削222.5.1 PC终端安全设计222.5.2 移动端安全设计222.6 区域边界安全设计222.6.1 网络区域划分和隔离设计222.6.2 访问控制设计232.6.3 网络攻击监测242.6.4 网络层攻击防护252.6.5 网络及安全设备运维管理安全252.6.6 网络层安全审计252.7 计g境安全设计262.8 设备安全削262.8.1 应用安全设计262.8.2 数据安全设计282.8.3 主机安全设计352.8.4 通信网络安全设计362.8.5 资源层安全设计372.9 安全中心削382.9.1 安全管理制度382.9.2 安全管理机构392.9.3

3、人员安全管理392.9.4 安全规范管理392.9.5 系统建设管理402.9.6 系统运维管理412.10 安全运营体系削432.10.1 三同步工作442.10.2 工作452.10.3 网络群应急响应452.11 云计算安全扩展设计472.11.1 安线理环境472.11.2 安全区域边界472.11.3 +g境472.11.4 安全运维管理482.12 移动互联安全扩展设计492.12.1 理环境492.12.2 安全区域边界502.12.3 安封g境502.12.4 安502.13 吾曙方案513平台安全可控设计513.1 国产彳发欠件适配513.2 应用级灾备513.3 国产密码5

4、23.3.1 物理层面523.3.2 网络层面523.3.3 应用和数据层面53334终端54335商用密码产品清单544运维保障谢十564.1 逊目标564.2 运维服务又域564.3 逊范围574.4 运维内容574.5 运维标准584.5.1 运维服务时间584.5.2 运维问题记录规范584.5.3 运维行为规范584.5.4 现场服务支持规范594.5.5 突发事件应急策略601环境体系建设1.1 运行环境根据*等有关要求，本项目所涉及的应用及系统均加载在云平台，相关运行及存储能力由云平台提供。1.1.1 用户数分析及预测本期项目用户量及业务量分析，根据*基础数据,按照5%的增长比率

5、，逐步推算以后年度数据，满足至*年的用户数及业务量如下：表5-19:用户量分析及预测单位名称年度（人）*年*年*年*年*年*年表5-2（）:业务量分析及预测单位名称年度（万件）*年*年*年*年*年*年1.1.2 数据配套设备设计本次主机服务器设计，利用租用云平台资源环境进行数据计算，完成主机的数据计算，所有系统的计算统一利用云资源池的虚拟机实现。云平台应具备以下功能：(1)物理资源管理云平台需具有T本化的物理设备管理、监控、运维平台实现网络设备管理、主机服务器管理、安全设备管理、存储设备管理等功能。(2)虚拟资源管理对计算与存储等多种物理资源进行虚拟化整合，形成计算资源池、网络资源池和存储资源

6、、实现资源的统一管理调度和维护，为用户提供快速使用、动态变化的虚拟资源服务。(3)数据资源管理依据统一数据资源服务体系框架,实现对数据资源目录、基础物理数据库的集中管理,以及数据备份等运维策略。(4)业务应用与服务部署基于统一的应用与服务目录和开发框架，对应用部署环境应用分发、服务接口、用户授权、安全接入、资源调配等集中管理，为应用与服务的有效运行提供基础保障。(5)云平台类服务管理实现对用户集中管理、资源配置管理、接口管理、实时监控与审计。1.1.2.1数据处理系统选型原则本项目数据处理系统硬件主要采用租用云平台设备的方式,该系统应具有高扩展性，当数据量增加或有新的部门加入时，服务器能以增加

7、节点、处理器、内存等方式提供更高的性能来满足新的需求，并能支持主板的升级和节点的扩充。服务器的设计处理能力要求满足所有相关应用和规模的需求,并应考虑全部系统的开销及应用切换时性能余量，且考虑20%的性能冗余。服务器选择应考虑如下几个因素：(1)具有对称多处理能力，处理能力能够满足当前以及将来业务发展的需要。(2)内存容量充足，延时小，并可以方便地扩充。(3)采用的操作系统应具有稳定、高效、开放的特点。要与主机系统硬件特性紧密结合,发挥硬件性能并支持硬件升级。能够保证软件的可移植性。(4庄板总线带宽充裕。I/O子系统数据传输效率高,可以充分配合处理器、内存等部件，形成协调的整体性能。(5)硬件系

8、统可以方便地进行升级以适应未来信息增长的需要，同时服务器硬件和操作系统升级不会影响数据库管理系统?口应用软件的运行。(6)支持线性的技术标准，符合技术发展方向，保护硬件建设投资。(7)具有高效的，多机高可用性能。1.1.2.2数据处理需求分析数据库服务器指为处理具体应用业务提供数据，主要负责数据的读写。应用服务器主要负责应用平台文件的处理。Web服务器用来响应Web请求，主要负责具体业务处理,按业务流程读取数据库数据并处理,再返回处理结果给客服端。根据本系统业务应用对数据库、应用、Web服务器性能进行性能估算，如下表所示：表5-21:服务器处理性能分析表序号指标项名称数据单位备注1系统注册用户

9、数U2*000人即普通市民总用户数2用户同时在线率C20.10%根据具体业务情况取定3系统注册用户数U3800即工作人员总用户数4用户同时在线率C380%根据具体业务情况取定5系统同时在线用户数U1人1=2C2+3C36平均每个在线用户每分钟发出NI次业务请求3次一般取值3-5,本处取37全部操作请求中，更新、查询、分析、其它各占比例M25%更新、查询、分析、其它各占1/48平均每次更新操作产生Ti个数据库事务3个经验值9平均每次查询操作产生T2个数据库事务6个经验值10平均每次分析操作产生T3个数据库事务6个经验值11平均每次其它操作产生T4个数据库事务3个经验值12一天内忙时峰值系数P3一

10、般取值3-5,项目初期本处取313经验值系数E1.2一般取值121.5,本处取1.214冗余系数R10%一般取值10%-20%,项目初期本处取10%15每颗CPU核心的处理能力H53tpsE国内主流产品测试值16应用综合增益系数GI1.2一般取值1-1.5,项目初期本处取1.217Web综合增益系数G20.5一般取值0.518数据库服务器每秒钟处理能力需求H1*tpsE计算公式为：UIXNI60(T1+T2+T3+T4)MPE/(I-R)19数据库服务器核心数31核计算公式为：H1/H序号指标项名称数据单位备注20数据库服务器内存124GB一般内存为核心数的2-4倍，项目初期本处取4倍21应用

11、服务器每秒钟处理能力H2*tpsEH2=1G122应用服务器核心数41核计算公式为：H2/H23应用服务器内存164GB一般内存为核心数的2-4倍，项目初期本处取4倍24web服务器每秒钟处理能力H3900tpsEH3=U1G225web服务器核心数17核计算公式为：H3/H26Web服务器内存68GB一般内存为核心数的2-4倍，项目初期本处取4倍综上计算结果,本项目的服务器最低CPU总核数为89核，其中数据库服务器核心数为31核，应用服务器核心数为41核、Web服务器核心数为17核；服务器总内存最氐为356GB,其中数据库服务器内存为124G,应用服务器内存为164G,Web服务器内存为68

12、Go本次项目的备份需采用双机冗余方式,关键数据备份要求为每周进行一次全量数据备份,每天进行一次增量数据备份。1.123数据处理系统设计*区*平台主要数据处理采用租用云平台的方式，申请热备功能为系统提供热备服务。在租用云平台上，需配置数据库服务器、应用服务器、web服务器。这些服务通过申请云虚拟机方式实现。各服务器配置如下表：表5-22:服务器配置表服务器用途操作系统处理器（核心）内存数量备注代理主机Centos7.4+8321部署访问Nginx服务器用途操作系统处理器(核心)内存数备注高速缓存主机Centos7.4+832G1Redis核心服务主机Centos7.4+1664G1平台核心服务消

13、息地图日志数据转换主机Centos7.4+1664G1地图引擎geoserver,消息，e1k,kett1e报表配置调度主机Centos7.4+1664G1报表服务、集中配置服务叩O11。、任务调度服务数据库主机Centos7.4+1664G1部署mysq1NOSQ1数据库主机Centos7.41664G1部署mongodb1.1.2.4备份设计*区*平台数据量大，包含数据库、GIS图像数据、文本数据等，格式多,容量大,因此备份系统的选择尤为重要。可采取的主要备份方式有以下几种：(1)建立数据异地实时同步复制：可在另一座楼中建立一个设备间,有一台服务器专用于数据备份用，当业务系统对数据的任何J修改,会实时同步地复制到备份中心。(2)建立数据离线备份：实时复制是高可用和异地容灾手段，并不能消除数据逻辑错误和保持历史数据,同时避免人为误操作、硬盘损坏、病毒及黑客造成关键数据的永久丢失，可在备用设备间对系统所有