數據中心機房方案大全11篇
時間:2022-10-19 12:31:08緒論:寫作既是個人情感的抒發,也是對學術真理的探索,歡迎閱讀由發表云整理的11篇數據中心機房方案范文,希望它們能為您的寫作提供參考和啟發。
篇(1)
伴隨著互聯網中的應用程序日漸豐富與多樣化,數據中心的基礎運行環境由原來的C/S架構逐漸向由通過網絡設備互聯的服務器集群的方面轉型。因此,由傳統的通過硬件、操作系統、操作系統之上的應用系統所組成的基礎架構變得越來越復雜。然而,這越來越復雜的結果導致即將轉型為數據中心的安全體系帶來了更多的風險與困難,一些數據中心的安全策略配置不當或者不正確,往往都會給非法入侵者留下可被利用的后門或漏洞。盡管網絡管理員、系統管理員、系統安全員等相關負責人都已經擁有相對較高的安全防護理念與意識,并通過不斷架設安全設備來保障數據中心的安全性與健壯性,但對于層出不窮和日益完善的黑客攻擊手段,這些傳統的防御理念和措施仍不足以保障數據中心的安全。因此,管理集約化、精細化的產物——數據集中就應運而生。目前國內企業信息化建設、電子政務興起都將倚靠數據集中的蓬勃發展。同時,數據大集中以及大數據的推動也必將倚靠數據中心的建設。作為網絡中資源最密集的載體、數據交換最頻繁的中心基礎網絡,數據中心無疑是一個充滿發展前景的新星產業。然而,數據中心由于是大數據的集合,必然包含無數信息與機密,對于數據中心上的任何防護漏洞必將導致無法計算的損失,因此構筑一道完善且完整的安全防護體系將是其首要解決的問題。
一、現有數據中心安全分析
1.1 針對應用層面的攻擊。應用層面的攻擊方式包括緩沖區代碼溢出、植入病毒、蠕蟲攻擊、植入后門木馬等,其中,應用攻擊中最典型的方式為蠕蟲攻擊。蠕蟲是指"通過計算機網絡進行自我復制的惡意程序,泛濫時可以導致網絡阻塞和癱瘓"[1]。從本質上講,蠕蟲可以在網絡中主動進行傳播,進而對系統進行破壞,而病毒則需要手工干預,比如利用外部存儲介質的讀寫、點擊非法鏈接而被植入病毒。1.2 針對網絡層面的攻擊。在數據中心中針對網絡層面的攻擊主要包括分布式拒絕服務攻擊(DDoS)、拒絕服務攻擊(DoS)等。雖然DDOS/DOS存在由來已久,但其破壞力卻仍然被網絡管理員以及安全管理員所忌憚。最常見的DDOS攻擊方法有ECF(Established Connection Flood)、SYN Flood和CPSF(Connection Per Second Flood)。DOS攻擊程序有UDP反彈以及ICMP Smurf等方式。DDOS/DoS攻擊利用了TCP/IP的開放性原則,即協議自身規定的從任意源地址向任意目標地址都可以發送數據包,導致DDOS/DOS利用合理的、海量的、不間斷的服務請求來耗盡網絡、系統等可利用的資源,使得合法用戶無法獲取正常的服務響應。隨著分布式技術的不斷的完善與改進,及時在網絡和系統性能的大幅提升的今天,數以億計的主機同時對某一網絡系統發起攻擊,造成的后果不言而喻,最直接的影響即使網絡癱瘓、系統無法正常使用。1.3 針對網絡基礎設施的攻擊。數據中心作為一個充滿發展前景的新星產業。又是大數據的集合,其中包含了無數信息與機密數據,即使安全設備部署的再完善,如果內部管理不當,依然會被攻破,而且來自內部的攻擊更具破壞性。企業內部的不法分子在充分了解數據中心的架構與部署的前提下,不僅可以通過黑客技術繞過防火墻,還可以憑借對網絡構架的充分了解,通過嗅探技術、違規訪問、攻擊路由器/交換機設備等手段,訪問非授權的數據,這將無疑對企業造成更為重大的損失。1.4 數據中心網絡安全設計原則。由于數據中心承載著其上用戶的所有機密數據、核心業務或核心技術,并且數據中心還為內部之間提供數據之間的交換與業務之間的交互。因此,在構建數據中心的網絡安全時,要從以下幾個方面進行合理規劃與建設:1.4.1安全分區:要將數據中心的網絡劃分為各個不同的安全區域,同時確保不同區域之間未經許可不能訪問,用戶和客戶機在對數據中心訪問時只可以訪問他可以訪問的區域,禁止違規外聯和非法訪問以及惡性的入侵攻擊。1.4.2性能保障:要通過建立高性能、可靠性高的網絡環境,確保數據在網絡中傳輸的完整性,同時可以利用CRC循環校驗算法校驗數據在網絡中的丟失情況,使得數據在網絡傳輸過程中加了雙重保險。1.4.3技管并重:很多人會認為,只要技術上有了足夠的保證,那么安全性必然有了保證。其實不然,正所謂系統的安全性保證都是三分靠技術,七分靠管理,技術層面設計得再優良,也要有與之對應的管理制度去推動。1.4.4新近原則:及時汲取當前最新的安全技術,以減輕安全管理的負擔為目標,實現安全管理的自動化,同時減小因為人為管理認知上的漏洞對系統安全造成威脅。1.4.5平衡發展:在構建數據中心的時候要充分考慮今后業務和網絡安全的共同協調發展,既要能滿足今后業務的擴展,又要能夠實現當前技術與未來新技術的無縫鏈接,避免只滿足系統安全要求,而給業務發展帶來障礙,或者為了擴展業務而忽視了安全建設的情況發生。
二、數據中心網絡安全設計要求
2.1 物理安全設計要求
2.1.1 物理訪問控制。機房存放著網絡設備、服務器、辦公環境以及信息系統的設備和存儲數據的介質及相關設備場所,機房各出入口應安排專人負責,記錄進入的人員,劃分關鍵設備與非關鍵區域,區域之間通過玻璃隔斷實現物理隔離,關鍵區域采用智能卡和指紋識別的門禁系統,對進入關鍵區域人員實現“雙道”鑒別。2.1.2 溫濕度控制。機房存放著不同業務系統的主機,由于主機在運行時會產生大量的熱量,而保證良好機房環境的精密空調系統則成為不可獲取的必備設施。而機房精密空調系統就是為了保證公司內部機房中的網絡設備、安全設備、服務器等一系列硬件設施能夠連續、穩定、可靠地運行,同時,精密空調系統還需要維持機房內恒溫恒濕狀態,防止靜電現象的產生導致設備的損壞。2.1.3 電力供應。公司機房的其供電要求非常高,按照等級保護四級系統的要求應采用UPS不間斷電源,以保證在機房斷電的同時,通過UPS不間斷的供電來保證機房內部實施的穩定、正常運行,為電力搶修贏得時間。同時其供配電系統應采用N+1冗余并機技術以實現空調設備、動力設備、照明設備、測試設備等設備的正常使用。2.1.4 動力環境監控系統。數據中心機房除了部署視頻監控系統、UPS系統、消防系統、精密空調系統,還應該部署水敏感檢測裝置、紅外告警裝置等,且所有系統統一集成動力環境監控系統中,方便機房管理員有效了解溫濕度、消防、電源、UPS等狀態以及告警信息,及時對告警信息進行分析和處理。
2.2 網絡安全設計要求
2.2.1 區域邊界安全。應能夠對內部網絡中出現的內部用戶未通過準許私自聯到外部網絡的行為進行檢查;應逐步采用網絡準入、終端控制、身份認證、可信計算等技術手段,維護網絡邊界完整性。安全區邊界應當采取必要的安全防護措施,禁止任何穿越數據中心中不同業務之間邊界的通用網絡服務。 數據中心中的的業務系統應當具有高安全性和高可靠性,禁止采用安全風險高的通用網絡服務功能。2.2.2 拒絕服務攻擊。在數據中心中針對網絡層面的攻擊主要包括分布式拒絕服務攻擊(DDoS)、拒絕服務攻擊(DoS)等。雖然DDOS/DOS存在由來已久,但其破壞力卻仍然被網絡管理員以及安全管理員所忌憚。最常見的DDOS攻擊方法有ECF(Established Connection Flood)、SYN Flood和CPSF(Connection Per Second Flood)。部署相關的網絡安全設備,抵御DDOS/DOS的攻擊。2.2.3 網絡設備防護。實施工程師和客戶之間存在不可或缺交流的問題,大部分實施工作以能夠“通信”為原則,忽略網絡設備安全防護的能力。設備應該關閉使用多余接口、采用SSH V2作為遠程管理協議、為不同管理員分配不同權限的賬號,實現“權限分離,多人賬號管理”根據業務的要求,制定詳細訪問控制策略,提升網絡設備的安全性。2.2.4 惡意代碼防護。隨著技術的快速,數據中心網絡面臨各種可能性的攻擊。緩沖區代碼溢出、植入病毒、蠕蟲攻擊、植入后門木馬等,其中,應用攻擊中最典型的方式為蠕蟲攻擊。蠕蟲是指“通過計算機網絡進行自我復制的惡意程序,泛濫時可以導致網絡阻塞和癱瘓”[1]。在數據中心網絡出口處部署惡意代碼防護系統,防止計算機病毒、木馬和蠕蟲從網絡邊界處入侵而造成的傳播破壞,對惡意代碼進行檢測和清除。2.2.5 入侵防護防御系統。隨著業務系統發展的需要,WEB服務器需要暴露公網環境中,隨時都面臨被攻擊的可能性。在DMZ邊界部署入侵防御系統,能夠阻止蠕蟲、病毒、木馬、拒絕服務攻擊、間諜軟件、VOIP攻擊以及點到點應用濫用,制定詳細入侵防范策略,修改默認策略,發生攻擊行為時記錄日志。
2.3 安全審計設計要求
2.3.1 日志服務器。日志可以幫助我們分析設備是否正常,網絡是否健康,任何設備或系統都應該建立完整的日志系統。部署日志服務器,對交換機、路由器、安全及相關設備運行日志進行集中收集, 便于管理員了解網絡運行情況以及方便故障排除。2.3.2 安全審計。數據中心部署審計平臺網絡設備的運行狀況、網絡流量、管理記錄等進行監測和記錄,記錄時間、類型、用戶、時間類型、事件是否成功等相關信息,利用審計平臺生成的記錄和報表進行定期分析,為了方便管理員能夠及時準確地了解網絡設備運行狀況和發現網絡入侵行為。
2.4 數據備份與恢復設計要求
涉及數據中心的業務相對比較重要,數據大而多,多存放于本地或異地容易容災系統,一旦發生不可預見對的困難,影響范圍廣和后果難以估計。因此,數據中心必須具備備份與恢復檢測,確認信息的完整性和可用性,確保數據能夠及時恢復。數據備份與基本要求:(1)每天進行增加備份,每周進行全額備份;(2)應部署異地容災系統,通過數據中心基礎架構實現關鍵數據的異地備份;(3)與容災中心進行異地備份要進行完整性校驗,確保備份數據有效性;(4)數據須至少每個月進行恢復測試,以確保備份的有效性和備份恢復的可行性。
三、結束語
數據中心網絡技術突破了傳統的物理結構限制的壁壘,高效整合和利用了各項基礎設施資源,為網絡技術發展和虛擬化技術發展帶來革命性突破,同時也給信息產業帶來新的機遇。但新的技術總是伴隨著新的安全隱患,而安全問題若不能得到合理解決將會阻礙其技術的發展,這需要在未來技術發展中深入分析和了解以尋求解決之道。數據中心建設過程中的網絡安全是數據中心安全體系的最基本、也是最重要的環節,只有合理的設計網絡安全規劃方案,并提供持續安全加固的擴展性設計,才可以保證基礎網絡平臺的安全性與可靠性。但要構建全方位、高安全的數據中心體系,還需要融合物理安全、網絡安全、主機安全、數據安全、應用安全、以及管理制度等方面,從各種安全角度出發進行相應的安全規劃,并不斷完善數據中心的安全防范等級。
作者:馮國禮 李蓉 王曄 單位:國網寧夏電力公司信息通信公司
參考文獻
篇(2)
(一)樹立大數據審計的理念。將大數據審計的貫穿到每個審計項目中,不斷研究新思路、新經驗和新做法,以數據為核心,將數據分析與現場延伸調查相結合的方式,更精準的定位審計疑點,縮小核實范圍,提高工作效率。
(二)充實大數據審計資源。定期采集包括財政、民生等使用較為頻繁的數據資源;積極推動數據采集規范化建設;推動大數據審計方法庫的構建,使計算機審計方法的應用更為便利、快捷。
(三)強化大數據審計隊伍建設。運用計算機和大數據進行審計應動員全局力量,而不僅僅局限在計算機人員。加強復合型人才的培養,審計人員不僅要懂得數據庫的知識,還要懂得審計實務;加強數據分析能力和業務知識的學習培訓,提升綜合素質。
二、提高大數據審計的措施
(一)前期數據調查
對全市各部門(單位)所運用的業務系統和業務數據進行調查了解,摸清各部門的業務數據內容及其存儲情況,為采集業務數據和審計項目中可能涉及到跨部門數據關聯做準備。接入用友財務統一核算軟件審計端口,審計端口的接入更靈活、方便地為各審計組財務數據采集提供服務。
(二)積極配合項目組
在項目實施前積極與組長、主審進行溝通,如何開展計算機審計、項目組需要什么、項目所需要的數據、主審想得到的目的和結果。以確定審計方向和重點,并將相關的審計內容納入到審計工作實施方案。在審計項目實施過程中,對審計方法、發現的疑點、采集到的數據方面存在的問題、以及審計思路的變化,及時與主審反饋,以調整審計方法和思路,并配合項目組核實疑點。
(三)參與重點項目
年初審計計劃項目制定后,確定重點審計項目,加入到項目組中。除數據分析外,通過參與其他審計內容,熟悉財務知識、財經法規以及其他業務方面知識,盡快地提升自身業務能力,積累經驗。今后審計工作中,運用自己的思路和方法開展審計。
(四)編寫計算機審計方法
篇(3)
散熱管理
NetAccess機柜系統的散熱系統是由泛達和思科公司的專家團隊共同努力,由PANDUIT實驗室推出的可以充分滿足用戶新需求的革新產品,在實驗室通過了思科系統長時間的嚴格測試。
NetAccess設計獨特的線纜管理系統,插入式模塊結構,兩側一定比例的空間預留和經過反復試驗的具有科學比例孔距(前、后門密集通風網孔的通風面積均大于柜門面積的63%)的前后門設計,皆在充分保證機柜的散熱功能,它可以保持機柜前后冷熱氣流的暢通,從而達到提高設備運行性能和保證穩定運行的目標。
側出風散熱設計
由于高密度核心交換機散熱的特殊性,交換機的一側距離機柜邊緣需要有6英寸寬的空間,才能有效保證良好的氣流環境。NetAccess側出風導流裝置,就是專為思科6509系列和MDS9513系列等核心交換機設計的,它可以有效地保證側出熱氣流的散出,并讓熱氣流導向機柜后部,避免熱氣流散向機柜內,有助于在整個機房內形成一個合理的冷熱氣流循環,在機房內部形成合理有效的冷熱通道,并使冷熱氣流按一定速率對流。現代化機房解決散熱的難題,同時做到節能降耗,這一點尤為重要。有數據表明,通過對機房氣流組織以及空調系統的優化設計,可以使機房PUE(Power Usage Effectiveness)值從2.5降低到2.0左右,其效果非常顯著。
開放式機架系統(OPEN RACK)不僅能夠更好地實現設備散熱,而且能夠使布線管理更加靈活和便捷,使機房布局更加美觀。
水冷門系統設計
水冷門系統是為數據中心更有效節省能源并提高能耗比而推出的又一款革新產品。水冷門系統由有著三十多年經驗的機柜專家精心設計而成,經過了IBM等企業的長時間實驗室測試,它至少能夠為每個機柜降低20kW的熱量。 傳統高架地板結構的數據中心無法承受每個機柜15kW以上的功率消耗,所以我們常常在數據中心看到很多機柜只放了20U的服務器,并沒有放滿40U。采用水冷門系統后,可輕松將單個服務器機柜所能承載的功率從現在的平均6kW提高到26kW,它為局部高密度服務器的散熱問題提供了一個非常有效的解決方案。
值得一提的是,目前機房設備的降溫絕大多數都是采用空調系統漫散推送冷氣的方式。為了使局部高熱區域降溫,整個空調系統的溫度往往需要調得很低才能有效果。目前,我國數據中心的平均PUE(Power Usage Effectiveness)水平在2.5以上,而國外先進數據中心的PUE可以達到1.7。 也就是說,一個數據中心環境設施的能源消耗已經大大超過了IT設備所消耗的能源,隨著IT設備密度的不斷提高,這種趨勢還在增加。有實驗數據表明,通過使用冷水(Chill Water)循環冷卻系統,至少可以提高20%的能源使用率。
水冷門系統采用單獨的循環系統,由冷水(Chill Water)作為制冷劑,一臺分布式壓縮主機CDU(Cooling Distribution Unit)一般能夠提供120kW到150kW的制冷量(個別產品最大能夠提供300kW),即一臺CDU能夠控制最多六個水冷門機柜。CDU和每臺機柜之間各有兩根水管連接,一個為進水管,一個為出水管,通常安裝在地板下方。CDU可以安裝在機房內,其大小如同普通機柜,可采用機房內局部施工鋪設水管,所以施工并不復雜,只需注意在彎曲處安裝防漏裝置,與強電電源線保持一定距離。
線纜管理
出色的線纜管理系統可以有效地避免線纜和電源線的擁擠。將接插區域和配電基礎設施設計為交互式,能夠保證機柜內部有足夠的氣流空間。
NetAccess機柜底部可以提供多達65%的區域面積用于地板下方線纜的走線。如果將封閉線纜以外的區域加蓋盲板,就可以防止冷氣由底部進入機柜,保證冷熱氣流沿著方向正確流動,大幅提高制冷效率。機柜頂部裝有13塊大小不等的擋板,可以方便拆卸,提供40%的區域面積供上走線系統進線,與上走線系統FiberRunner完美配合。
NetAccess機柜還可以靈活地配置垂直配線系統,充分利用機柜空間。在機柜側面,可以安裝4個1RU銅纜或者光纜配線架。它的好處是可以節省機柜空間,減少跳線彎曲和更方便地插拔跳線。
很多機柜沒有足夠的空間來容納豎直線纜管理器。NetAccess機柜垂直理線系統和水平理線系統,可容納多達400多根的加強型六類跳線(Cat6A),每個機柜單元(1RU)可以安裝48根六類條線和六類模塊。為實現高密度光纖接插,泛達公司提供了多種高密度的光纖配線盒, 能夠實現在1RU機柜單元安裝96芯LC、SC和ST光纖跳線及光纖模塊。
機柜垂直理線系統和水平理線系統中包含獨特的棘爪設計,能夠充分保護和控制線纜的彎曲半徑,可選配的繞線軸能夠有效地管理跳線的余量部分,整個理線系統能夠輕松地將密密麻麻的線纜整理得分門別類,井井有條,使整個機房顯得極為美觀,讓投資者感到物有所值。
集成的接地系統
篇(4)
近年來,各大金融機構及各大國有企業均在大力推進信息化建設,數據中心成為了信息化的重要基礎設施, 鑒于數據中心對安全的要求高,因此數據中心的安全防范系統設計至關重要,是一項復雜的系統工程,需要從物理環境和人為因素等各方面來全面的考慮,一般由視頻安防監控系統、出入口控制系統、入侵報警系統、電子巡更系統、安全防范綜合管理系統等系統組成。
1 設計原則
1)系統的防護級別與被防護對象的風險等級相適應;2)技防、物防、人防相結合,探測、延遲、反應相協調;3)滿足防護的縱深性、均衡性、抗易損性要求;4)滿足系統的安全性、可靠性、可維護性要求;5)滿足系統的先進性、兼容性、可擴展性、經濟性、適用性要求。
安全防范系統是一個基于客戶端/服務器,分布式的網絡管理平臺,通過信息共享、信息處理和控制互聯實現各子系統的集中控制和管理。安全防范系統的故障應不影響各子系統的運行;某一子系統的故障應不影響其它子系統的運行。
2 安全等級定義
1)針對數據中心園區的不同功能區域,可將安全保障定義為4個安全保障等級區域
(1)一級安全保障等級區:一般為數據機房樓內的模塊機房及ecc區監控中心區域;(2)二級安全保障等級區:一般為數據機房樓機電設備區、動力保障區;(3)三級安全保障等級區:一般為運維辦公區域;(4)四級安全保障等級區:一般為園區周界區域。
2)對于不同的安全級別的區域選擇不同的安全防范技術手段
(1)一級安全保障等級區
①數據機房所有模塊機房門
安裝生物識別電子門禁、攝像監控設備、雙鑒報警設備;
所有出入口設防,門禁及紅外報警系統聯動,紅外報警系統與攝像監控系統聯動。
②數據機房所有模塊機房內
按照設備機柜的排列方位安裝攝像監控設備,設備間通道設防。
(2)二級安全保障等級區
①數據機房維護人員通道:安裝內外雙向讀卡器的電子門禁鎖;機電設備維修區的門安裝單向門禁鎖,設置在維修區的外側;在消防疏散樓梯安裝單向門禁鎖,設置在樓梯間內側;
②數據機房所有的出入通道:安裝雙向讀卡電子門禁、攝像監控設備、雙鑒報警設備;
③數據機房入口的安保室設置安保實時監控管理設施。
(3)三級安全保障等級區
①運維辦公區安裝單向門禁鎖,配置視頻監控,具體設計依據相關安防系統規范設計;②建議進入運維辦公區或中央監控中心的第一通道,在進行身份定位的同時,進行身份鑒別;速通門刷卡通行+保安人員通過屏幕圖像對比方式。
(4)四級安全保障等級區
整個園區用圍欄與四周道路分隔開,并設防闖入和視頻監控系統。在周邊四個路口的圍欄轉角處設置防沖撞體,在出入口設置液壓防沖撞裝置。數據機房油罐區域四周布置一體化球機及電子圍欄,進行不間斷的自動跟蹤攝像,并設置防入侵裝置。
3 視頻安防監控系統
1)視頻安防監控系統根據數據中心園區的使用功能和安全防范要求,對建筑物內外的主要出入口、通道、電梯廳、電梯轎廂、園區周界及園區內道路、停車場出入口、園區接待處及其他重要部位進行實時有效的視頻探測,視頻監視,圖像顯示、記錄和回放;2)目前,工程上對網絡視頻監控系統的設計有兩種:全數字化的網絡視頻監控系統和半數字化的網絡視頻監控系統即前端攝像機為模擬攝像機,模擬視頻信號通過編碼器轉換為數字信號進行傳輸的視頻監控系統。ip數字監控系統是發展的趨勢,但是現在國內市場還處于初級階段,ip數字監控系統成本相對要高一些,兩種方案各有利弊。
4 出入口控制系統
1)出入口控制系統即門禁系統作為數據中心園區安全防范系統的主要子系統。它擔負兩大任務,一是完成對進出數據中心園區各重要區域和各重要房間的人員進行識別、記錄、控制和管理的功能;二是完成其內部公共區域的治安防范監控功能;2)系統要求能滿足多門互鎖邏輯判斷、定時自動開門、刷卡防尾隨、雙卡開門、卡加密碼開門、門狀態電子地圖監測、輸入輸出組合、反脅迫等功能需求。控制所有設置門禁的電鎖開/關,實行授權安全管理,并實時地將每道門的狀態向控制中心報告;3)通過管理電腦預先編程設置,系統能對持卡人的通行卡進行有效性授權(進/出等級設置),設置卡的有效使用時間和范圍(允許進入的區域),便于內部統一管理。設置不同的門禁區域、門禁級別。
5 入侵報警系統
1)根據相關規范、標準在數據中心園區的周界圍墻、重要機房和重要辦公室設置入侵報警探測器、緊急報警裝置,系統采用紅外和微波雙鑒探測器、玻璃破碎探測器等前端設備,構成點、線、面的空間組合防護網絡;2)周界圍墻采用電子圍欄或紅外對射,地下油罐周界采用電子圍欄及圖像跟蹤相結合的防范措施,重要機房、檔案庫、電梯間、室外出入口等設置雙鑒探測器;3)對探測器進行時間段設定,在晚上下班時間,樓內工作人員休息時間及節假日設防,并與視頻安防監控系統進行聯動,有人出入時聯動監視畫面彈出,監測人員出入情況,及時發現問題防止不正常侵入,同時聲光告警器告警。
6 電子巡更系統
在園區內采用在線式電子巡查系統。在主要通道及安防巡邏路由處設置巡更點,同時利用門禁系統相關點位作為相應的巡更點。
7 安全防范綜合管理系統
利用統一的安防專網和管理軟件將監控中心設備與各子系統設備聯網,實現由監控中心對各子系統的自動化管理與監控。當安全管理系統發生故障時,不影響各子系統的獨立運行。
7.1 對安防各子系統的集成管理
主要針對視頻監控系統、出入口控制系統及入侵報警系統,在集成管理計算機上,可實時監視視頻監控系統主機的運行狀態、攝像機的位置、狀態與圖像信號;可實時監視出入口控制系統主機、各種入侵出入口的位置和系統運行、故障、報警狀態,并以報警平面圖和表格等方式顯示所有出入口控制的運行、故障、報警狀態。
7.2 安防系統聯動策略
1)安保系統與門禁、照明等系統聯動
安保系統與門禁、照明、電梯、cctv、緊急廣播、程控交換機等系統的高效聯動。
說明:當發生非法闖入時,門禁或入侵報警系統記錄非法闖入信息,通過跨系統聯動設置,打開相應的照明系統設備和安保系統設備,使非法闖入者無處容身。
2)安保系統與消防系統之間聯動
安保系統與消防系統聯動策略為:當大樓內某一區域發生火警時立即打開該區所有的通道門,其他區域的門仍處于正常工作狀態,并將該區域的攝像機系統啟動、置預置位、進行巡視,多媒體監控計算機報警,矩陣切換該圖像到控制室的視頻處理設備上,并將圖像信號切換到指揮中心、公安監控室、消防值班室的監視器上進行顯示。
8 結論
數據中心園區的綜合安防管理,需要縱深考慮,包括了人防、物防及技防,設防管理僅是技術手段,制度的管理和執行才是重要的工作。
參考文獻:
[1]安全防范工程技術規范 gb50348-2004.
篇(5)
近年來,各大金融機構及各大國有企業均在大力推進信息化建設,數據中心成為了信息化的重要基礎設施, 鑒于數據中心對安全的要求高,因此數據中心的安全防范系統設計至關重要,是一項復雜的系統工程,需要從物理環境和人為因素等各方面來全面的考慮,一般由視頻安防監控系統、出入口控制系統、入侵報警系統、電子巡更系統、安全防范綜合管理系統等系統組成。
1 設計原則
1)系統的防護級別與被防護對象的風險等級相適應;2)技防、物防、人防相結合,探測、延遲、反應相協調;3)滿足防護的縱深性、均衡性、抗易損性要求;4)滿足系統的安全性、可靠性、可維護性要求;5)滿足系統的先進性、兼容性、可擴展性、經濟性、適用性要求。
安全防范系統是一個基于客戶端/服務器,分布式的網絡管理平臺,通過信息共享、信息處理和控制互聯實現各子系統的集中控制和管理。安全防范系統的故障應不影響各子系統的運行;某一子系統的故障應不影響其它子系統的運行。
2 安全等級定義
1)針對數據中心園區的不同功能區域,可將安全保障定義為4個安全保障等級區域
(1)一級安全保障等級區:一般為數據機房樓內的模塊機房及ECC區監控中心區域;(2)二級安全保障等級區:一般為數據機房樓機電設備區、動力保障區;(3)三級安全保障等級區:一般為運維辦公區域;(4)四級安全保障等級區:一般為園區周界區域。
2)對于不同的安全級別的區域選擇不同的安全防范技術手段
(1)一級安全保障等級區
①數據機房所有模塊機房門
安裝生物識別電子門禁、攝像監控設備、雙鑒報警設備;
所有出入口設防,門禁及紅外報警系統聯動,紅外報警系統與攝像監控系統聯動。
②數據機房所有模塊機房內
按照設備機柜的排列方位安裝攝像監控設備,設備間通道設防。
(2)二級安全保障等級區
①數據機房維護人員通道:安裝內外雙向讀卡器的電子門禁鎖;機電設備維修區的門安裝單向門禁鎖,設置在維修區的外側;在消防疏散樓梯安裝單向門禁鎖,設置在樓梯間內側;
②數據機房所有的出入通道:安裝雙向讀卡電子門禁、攝像監控設備、雙鑒報警設備;
③數據機房入口的安保室設置安保實時監控管理設施。
(3)三級安全保障等級區
①運維辦公區安裝單向門禁鎖,配置視頻監控,具體設計依據相關安防系統規范設計;②建議進入運維辦公區或中央監控中心的第一通道,在進行身份定位的同時,進行身份鑒別;速通門刷卡通行+保安人員通過屏幕圖像對比方式。
(4)四級安全保障等級區
整個園區用圍欄與四周道路分隔開,并設防闖入和視頻監控系統。在周邊四個路口的圍欄轉角處設置防沖撞體,在出入口設置液壓防沖撞裝置。數據機房油罐區域四周布置一體化球機及電子圍欄,進行不間斷的自動跟蹤攝像,并設置防入侵裝置。
3 視頻安防監控系統
1)視頻安防監控系統根據數據中心園區的使用功能和安全防范要求,對建筑物內外的主要出入口、通道、電梯廳、電梯轎廂、園區周界及園區內道路、停車場出入口、園區接待處及其他重要部位進行實時有效的視頻探測,視頻監視,圖像顯示、記錄和回放;2)目前,工程上對網絡視頻監控系統的設計有兩種:全數字化的網絡視頻監控系統和半數字化的網絡視頻監控系統即前端攝像機為模擬攝像機,模擬視頻信號通過編碼器轉換為數字信號進行傳輸的視頻監控系統。IP數字監控系統是發展的趨勢,但是現在國內市場還處于初級階段,IP數字監控系統成本相對要高一些,兩種方案各有利弊。
4 出入口控制系統
1)出入口控制系統即門禁系統作為數據中心園區安全防范系統的主要子系統。它擔負兩大任務,一是完成對進出數據中心園區各重要區域和各重要房間的人員進行識別、記錄、控制和管理的功能;二是完成其內部公共區域的治安防范監控功能;2)系統要求能滿足多門互鎖邏輯判斷、定時自動開門、刷卡防尾隨、雙卡開門、卡加密碼開門、門狀態電子地圖監測、輸入輸出組合、反脅迫等功能需求。控制所有設置門禁的電鎖開/關,實行授權安全管理,并實時地將每道門的狀態向控制中心報告;3)通過管理電腦預先編程設置,系統能對持卡人的通行卡進行有效性授權(進/出等級設置),設置卡的有效使用時間和范圍(允許進入的區域),便于內部統一管理。設置不同的門禁區域、門禁級別。
5 入侵報警系統
1)根據相關規范、標準在數據中心園區的周界圍墻、重要機房和重要辦公室設置入侵報警探測器、緊急報警裝置,系統采用紅外和微波雙鑒探測器、玻璃破碎探測器等前端設備,構成點、線、面的空間組合防護網絡;2)周界圍墻采用電子圍欄或紅外對射,地下油罐周界采用電子圍欄及圖像跟蹤相結合的防范措施,重要機房、檔案庫、電梯間、室外出入口等設置雙鑒探測器;3)對探測器進行時間段設定,在晚上下班時間,樓內工作人員休息時間及節假日設防,并與視頻安防監控系統進行聯動,有人出入時聯動監視畫面彈出,監測人員出入情況,及時發現問題防止不正常侵入,同時聲光告警器告警。
6 電子巡更系統
在園區內采用在線式電子巡查系統。在主要通道及安防巡邏路由處設置巡更點,同時利用門禁系統相關點位作為相應的巡更點。
7 安全防范綜合管理系統
利用統一的安防專網和管理軟件將監控中心設備與各子系統設備聯網,實現由監控中心對各子系統的自動化管理與監控。當安全管理系統發生故障時,不影響各子系統的獨立運行。
7.1 對安防各子系統的集成管理
主要針對視頻監控系統、出入口控制系統及入侵報警系統,在集成管理計算機上,可實時監視視頻監控系統主機的運行狀態、攝像機的位置、狀態與圖像信號;可實時監視出入口控制系統主機、各種入侵出入口的位置和系統運行、故障、報警狀態,并以報警平面圖和表格等方式顯示所有出入口控制的運行、故障、報警狀態。
7.2 安防系統聯動策略
1)安保系統與門禁、照明等系統聯動
安保系統與門禁、照明、電梯、CCTV、緊急廣播、程控交換機等系統的高效聯動。
說明:當發生非法闖入時,門禁或入侵報警系統記錄非法闖入信息,通過跨系統聯動設置,打開相應的照明系統設備和安保系統設備,使非法闖入者無處容身。
2)安保系統與消防系統之間聯動
安保系統與消防系統聯動策略為:當大樓內某一區域發生火警時立即打開該區所有的通道門,其他區域的門仍處于正常工作狀態,并將該區域的攝像機系統啟動、置預置位、進行巡視,多媒體監控計算機報警,矩陣切換該圖像到控制室的視頻處理設備上,并將圖像信號切換到指揮中心、公安監控室、消防值班室的監視器上進行顯示。
8 結論
數據中心園區的綜合安防管理,需要縱深考慮,包括了人防、物防及技防,設防管理僅是技術手段,制度的管理和執行才是重要的工作。
參考文獻
[1]安全防范工程技術規范 GB50348-2004.
篇(6)
1)園區周界宜采用防攀爬的圍欄設計,數據中心區域臨道路側圍欄宜采用混凝土防撞圍欄,頂部布置電子圍欄。2)園區主入口和機房區與辦公區之間的聯絡通道口應設置液壓升降防撞柱,防止車輛強行闖入。3)數據中心區域與園區其他區域的物理隔斷宜結合綠化和地形布置,不宜采用簡單的圍欄設計。4)數據中心區域應實施嚴格的管理措施,并與園區的其他部分采取物理手段予以隔離,設置少量聯絡通道,通道口設置安檢設施,僅授權人員才可進入。
2視頻監控系統
視頻監控系統是所有安全防范系統中最直觀的,是能夠讓安保管理人員直接觀察到安全防范區域現場狀況的系統。視頻監控系統對建筑物內外的主要出入口、通道、電梯廳、電梯轎廂、園區周界及園區內道路、停車場出入口、園區接待處及其他重要部位進行視頻監視,實時地顯示和記錄被控現場或被控目標的詳細情況,以便安保人員及時采取措施。視頻監控系統對監控場所進行實時、有效地視頻探測、監視、顯示和記錄,并具有報警和圖像復核功能。同時,該系統還具有與入侵報警系統、出入口控制系統、火災報警系統進行聯動控制的功能,該系統還可與各數據中心的其他弱電子系統集成,以實現統一管理。視頻監控系統由前端設備、傳輸介質、記錄設備、顯示設備、網絡設備及中央控制設備組成。現場監控點主要包括攝像機、鏡頭、防護罩、安裝支架等設備,分布在各監控區域。
2.1模擬視頻監控系統和全數字視頻監控系統的比較
隨著技術的發展,視頻監控系統從最初的模擬視頻監控系統,逐漸融入了計算機技術、數字壓縮技術和網絡技術,如今已經發展成完善的數字視頻監控系統。傳統的模擬視頻監控系統也稱為閉路電視監控系統,英文縮寫為CCTV。主要由系統前端的各類攝像機及其輔助設備(鏡頭、云臺、電梯樓層顯示器、防圖1數據中心各區域安全防范等級關系高低防護級別主機房+ECC機電用房及IT人員通道其他區域建筑物外部區域實現聯網,安防系統的信號同時接入數據中心監控中心(ECC)。數據中心區域及其支持區根據使用功能劃分安全控制級別,數據中心區域根據用戶需求和使用功能,不同安全防護級別的區域采取不同的安全防范技術措施并對各種擁有不同權限的人員進行相應授權。數據中心各區域安全防范等級關系如圖1所示。護罩、支架等)、控制設備(矩陣及控制鍵盤)、顯示設備(專業監視器)、圖像記錄設備(長延時錄像機)等構成。為了將視頻信號一分為二,還需要添加視頻分配器。現在的全數字視頻監控系統由系統前端的各類攝像機及其輔助設備(鏡頭、云臺、防護罩、支架等)、控制設備(專業軟件及服務器、工作站)、顯示設備(專業監視器)、圖像記錄設備(磁盤陣列等各類網絡存儲設備)、傳輸網絡(網絡交換機及綜合布線系統)等構成。1)從系統架構上來說,傳統的模擬視頻監控系統是星型結構,所有的攝像機都直接連接到視頻管理矩陣,根據傳輸距離的不同可能會增加光端機等傳輸距離延伸設備。而數字視頻監控系統的結構完全依賴于計算機網絡系統,根據各個項目的具體情況(建筑物分布、監控點分布、網絡架構等)會有所不同。傳統的模擬視頻監控系統在多客戶端管理和多級管理方面有很大限制,而數字視頻監控系統在這方面具有極大的靈活性,幾乎不受限制。在結合計算機網絡技術、軟件技術和現代通信技術后,還能夠在移動設備上(智能手機、平板電腦等)搭載軟件客戶端對數字視頻監控系統進行管理、實時查看監控圖像,這在傳統的模擬系統上是無法想象的功能。2)在監控圖像存儲方面,模擬視頻監控系統最初使用的是長延時錄像機,采用盒式錄像帶作為存儲介質。這樣的存儲方式在存儲圖像的清晰度、實時性和保存時間上都存在巨大缺陷。隨著計算機和視頻圖像壓縮技術的引入,硬盤錄像機在模擬視頻監控系統中得到了運用。雖然硬盤錄像機的出現對長延時錄像機+盒式磁帶的存儲方式存在弊端和缺陷有了一定程度的改善,但其在存儲圖像的安全性、存儲方案的靈活性等方面還是未能完全解決,直到數字視頻監控系統的出現,它在引入計算機系統的各類數據存儲解決方案之后,其監控圖像的儲存功能需求才得到了比較好的滿足。
2.2數據中心視頻監控系統的設計
數據中心的視頻監控系統建議采用全數字視頻安防監控系統,實現遠程監控、遠程管理、網絡傳輸、集中存儲等系統功能,滿足對監控系統功能的需求,真正實現智能視頻。選擇百萬像素高清攝像機及標清攝像機作為視頻圖像采集設備,利用視頻專用網絡通過TCP/IP協議傳輸到控制中心,實現視頻集中存儲。視頻傳輸接入層為千兆交換,主干與核心均為千兆交換的視頻專網。
2.2.1系統架構全數字視頻監控系統由IP數字攝像機+網絡傳輸+網絡存儲+數字化管理(包括操作、管理、存儲等)+視頻解碼+數字顯示的分布式網絡視頻監控系統組成。視頻監控系統前端采用720P網絡攝像機。視頻監控系統的存儲采用專用磁盤陣列存儲設備,錄像數據保存周期至少為30天,重要數據單獨存儲,部分有需要的數據可自定義存儲更長時間。普通數據以30天為一個存儲周期,重要數據以90天為一個存儲周期。系統設計應按客戶要求及實際情況確定。視頻監控系統的控制由管理主機通過網絡管理。視頻監控系統的顯示采用硬解壓的數字顯示方式。
2.2.2前端設備攝像機采用網絡攝像機,帶自動增益控制、逆光補償、電子高亮度控制等。IP攝像機采用交換機PoE供電方式,同時考慮為系統預留單獨UPS各樓層供電方式。
2.2.3傳輸線纜和網絡攝像機布線納入安全防范網絡的綜合布線系統,采用6類非屏蔽銅纜。系統攝像機到弱電間交換機傳輸線纜采用6類非屏蔽銅纜百兆接入,管理服務器采用千兆以太網,以保障大流量的視頻數據網絡傳輸。機房建筑的攝像機視頻信號匯聚到弱電間,通過光纖連接至保安監控室。
2.2.4視頻管理設備通過視頻處理服務器和磁盤陣列進行錄像和回放及儲存。
2.2.5安全防范管理平臺通過安裝在視頻處理服務器上的安全防范平臺軟件集中對門禁、視頻安全防范監控和報警系統進行集中管理。
2.2.6安全防范顯示單元網絡傳輸的視頻信號傳輸到安全防范監控中心,再通過視頻解碼器輸出圖像到綜合顯示單元,拼接屏可通過拼接墻處理器進行拼接、分割顯示。監控中心應為上一級安全防范監控中心和ECC預留接口,必要的視頻監控信號可同時引至上一級安全防范監控中心和ECC。
3出入口控制系統
出入口控制系統也被稱為門禁系統,是數據中心園區安全防范系統的主要子系統。通過機電技術、軟件技術、計算機網絡技術、通信技術的結合實現對區域通行系統的管理。出入口控制系統由前端設備(身份識別設備、門禁點管理設備、接口模塊、輸入/輸出擴展設備等)、控制設備(門禁控制器)、管理設備(專業軟件、服務器、工作站等)組成。出入口控制系統根據人員被允許進入的區域分配不同的授權權限,并通過身份識別設備進行身份辨識,只有經過授權的人才能進入受控區域。出入口控制系統對防范區域內的出入通道進行智能管理。各門禁控制單元一般由門禁控制器連接讀卡器、電控鎖、出門按鈕、玻璃破碎按鈕(內側)、門磁等組件構成。門禁控制器安裝位置應靠近控制點,不同安全等級門禁不可共用控制器。所有控制器均可自主工作,以免發生故障影響整個系統;出入數據中心均需通過門禁管理系統授權,根據用戶需求、平面規劃的人流、物流通道及不同防護區設置相應的門禁點。出入控制系統應能滿足以下功能:多門互鎖邏輯判斷、定時自動開門、刷卡防尾隨、雙卡開門、卡加密碼開門、門狀態電子地圖監測、輸入/輸出組合、反脅迫等功能需求。控制所有設置門禁的電鎖開/關,實行授權安全管理,并實時將每道門的狀態向控制中心報告;通過管理電腦預先編程設置,系統能對持卡人的通行卡進行有效授權(進/出等級設置),設置卡的有效使用時間和范圍(允許進入的區域),便于內部統一管理。可設置不同的門域、門禁級別。可以與視頻安防監控系統和入侵報警系統聯動。
3.1數據中心應用的典型門禁系統功能
3.1.1雙向刷卡門禁系統中最基礎的門禁點設置為單向刷卡。但此種類型的門禁點只能管理從外部進入的人員,對于從內部退出的人員缺乏管理,如果有人尾隨進入管理區域,則可以從內部自由外出,這在安全防范管理上是一個漏洞,因此,對于安保要求較高的區域應采用進出刷卡的門禁管理方式。
3.1.2身份識別之生物識別身份識別裝置根據使用環境安保需求的不同可有多種選擇。現在的身份認證技術手段分為兩類,一類為IC、ID及采用其他技術卡片認證;另一類為生物認證手段。最常見的識別技術及設備就是各類讀卡器及配套的卡片。此類完全依賴于技術手段的身份識別技術,由于存在身份憑證遺失及攜帶方面的問題,易被人冒用,因此出現了生物識別技術。生物識別技術的身份驗證手段無疑在便攜性、避免遺失、被冒用等方面有很大改進,但由于此技術采集的是人體特征,因此,隨著人體體型特征的變化,生物特征也會隨之變化,也會出現識別率方面的問題。而且有些生物識別技術對人體有一定程度上的傷害,在廣泛使用上會有一定的限制。生物識別技術是利用人體的部分特征作為每個人的識別手段,現在常見的有指紋、掌型、人臉、聲紋、虹膜、視網膜、靜脈等幾種。其中,視網膜認證對于人體健康有損害,極少采用。而指紋、虹膜容易被復制,安全性較低。掌型、聲紋、人臉識別容易受人體體型變化影響,產生誤報,因此應用也不廣泛。而靜脈識別由于其選用的生物特征隱藏于皮膚下,且不易改變,因而被廣泛采用。
3.1.3多人認證多人認證是指對于同一個門禁點需要多個持卡人進行身份認證才能夠通行。此種設置多用于銀行金庫的門禁點管理,主要是為了防止內部人員相互串通,因此需要多個部門的人員共同監管,為了實現此目標因而需要多人管理。最為常見的是雙人刷卡,由于某災備中心的安全要求高,因此選用了三人認證的門禁點通行認證方式。
3.1.4中心復核由于采用的身份認證存在被盜用或偽造的可能性(卡片被盜、生物識別被假冒等),因此,為了提高系統的安全性,在門禁管理上宜采用系統前端認證與中心視頻復核持卡人身份的措施來提高門禁管理系統的安全性。此項功能需要配合視頻健康系統來實現。
3.1.5多門互鎖在一些安保等級要求很高的區域,為防止有不法人員乘門禁點開發之際強行闖入,需設置一個緩沖區域。在進入受保護的區域之前需要先進入緩沖區域。待進入緩沖區的門禁點正常關閉之后,才能打開受保護區域的門禁點。對于一個比較大的應用場景來說,門禁系統僅具備雙門互鎖功能是不夠的,例如某在建的大型數據中心項目具備多門互鎖功能,通過軟件設置后就能夠獨立完成5門互鎖,不再需要安保人員的人工操作。
3.1.6訪客管理對于一個企業來說沒有訪客是不可能的,尤其對于數據中心這樣安全等級要求非常高的場所,訪客的管理也是一個非常重要的隱患。因此對于訪客的管理也格外的重要,不能讓來訪人員隨意的通行各門域,必須對其通行的門域進行管理,并由接待人員進行陪防,確保數據中心的安全。
3.2入侵報警系統
為了防止非法入侵,數據中心應設置入侵報警系統。系統由前端探測器、傳輸線纜、各類防區模塊、報警主機和響應的管理軟件構成。入侵報警系統采用報警主機+總線傳輸+分布式地址模塊+前端報警設備的模式。入侵報警主機能設定分時段設防和撤防,可與視頻安防監控系統聯動,啟動攝像機對現場情況進行錄像。該系統可與各數據中心的其他弱電子系統集成,實現統一管理。同時,該系統還預留有與當地110報警中心聯網的接口。入侵報警系統通常包括兩個部分,即防盜報警系統和周界防范報警系統。防盜報警系統和周界防范報警系統都使用同款報警主機、管理軟件。這兩個系統都是采用技術手段對非法入侵進行探測并向安保人員進行報警,區別在于防盜報警系統主要是針對建筑物內部來,而周界防范報警則是針對一個區域的周界進行防范。前者防范的是一個個區域,而后者防范的是一條連續的線。在數據中心建筑內部,微波/紅外雙鑒探測器是最常用的前端報警探測設備。雙鑒探測器布置在機房層入口,探測器連接到地址模塊后以RS485總線方式連通到安全防范管理中心的報警主機上,報警主機通過TCP/IP接口接入安全防范網絡,由報警系統管理工作站實現監控中心對報警系統的集中管理。在機房樓一層緊急出入口內側及屋頂層設備用房內建議設置微波/紅外雙鑒入侵探測器。建議機房樓一層外墻窗戶處設置玻璃破碎報警器等報警裝置,進一步防止對重要區的非法入侵。防盜報警系統在建筑內使用的入侵探測設備除了各類紅外、微波、玻璃破碎探測器外,還有緊急報警按鈕、震動探測器、門窗磁等。
3.3周界防范技術手段
對于數據中心園區的圍欄/圍墻,周界防范報警是重要的安全防范技術措施。它防范的是一條線,有多種的技術手段防范入侵。設計人員應根據用戶的具體情況選用適合的周界防范報警技術手段。
3.3.1紅外對射探測器紅外對射探測器都是成對設置,一個發射端一個接收端。發射端不間斷的發射不可見的紅外光束,由接收端接收。如果有物體遮擋了紅外光束,則接收端就發出警報。從原理上我們可以很容易知道除了人以外的小鳥、樹葉等遮擋了紅外光束都會引發報警,誤報率很高。此外陽光照射也會引發誤報,因此該種探測器已經逐漸被淘汰。
3.3.2一體化紅外光柵一體化紅外光柵可以視為紅外對射探測器的一種升級產品。紅外對射通常是兩光束或四光束,是可在墻頭安裝的小巧設備。而一體化紅外光柵則是落地安裝的柱狀產品。通常來說,一體化紅外光柵的高度都在2m以上,內部安裝的紅外對射光束可以根據用戶需求,通過光束模塊的增減調整,其報警的準確性和防范距離都遠優于紅外對射探測器。但其造價高昂,僅在核電等高安全等級的場所使用。
3.3.3高壓脈沖電網高壓脈沖電網是眾多周界防范技術手段中唯一的主動防御技術。該技術是通過在圍墻頂端平行設置間距為20cm左右的合金絲4~6根,通過發出高壓脈沖電信號(600V~1200V、持續時間為十余毫秒)來防范和檢測是否有入侵行為發生。如果有人直接觸摸合金絲,則會遭受電擊導致肢體暫時麻痹,從而終止入侵行為,如果合金絲被剪斷或兩根合金絲短路都會觸發報警。此種技術具有造價低、有威懾力而防范效果較好等優勢在近幾年得到廣泛使用。不過此技術會破壞景觀,在一些對環境景觀要求高的場合不宜使用。
3.3.4光纖震動探測器光纖震動探測器分為定位型和防區型兩類,都要配合鐵絲圍欄或其他固定的物體使用。通過將光纖固定在鐵絲圍欄上,當有人翻越鐵絲圍欄或破壞鐵絲圍欄等入侵事件發生時,光纖會發生擠壓、變形、震動。在系統終端管理軟件上,通過智能算法就可以知道是哪個部位發生了擠壓、變形、震動,從而準確知道入侵事件發生的位置。所不同的是依據其精確程度和應用場合的區別,可分為定位型和防區型兩種。
3.3.5張力鐵絲圍欄同樣的,張力鐵絲也需要配合鐵絲圍欄使用。在鐵絲圍欄上間距為15~20cm水平布設張力鐵絲,通過張力傳感器來感應張力鐵絲的張力。如果有人破開鐵絲網入侵,則必然會影響張力鐵絲的張力,從而引發張力傳感器報警。此種技術的缺陷在于氣候變化(溫度引發的熱脹冷縮、大風引起的鐵絲圍欄震動)可能引起的誤報。
3.3.6微波對射探測器與紅外對射探測器類似的微波對射探測器也是成對使用,采用一發一收兩個終端。通過發射端發射的微波信號,在發射和接收端之間形成一個紡錘型的微波場。如有人通過該微波場則會干擾之前穩定的微波場,觸發報警。微波對射探測器的抗天氣干擾能力很強,但因造價較高僅在核電廠、軍事基地等場合應用。
3.3.7震動電纜震動電纜也稱麥克風電纜,需配合鐵絲圍欄或圍墻柵欄使用。通過在鐵絲圍欄或圍墻柵欄上安裝震動感應電纜來檢測入侵破壞行為產生的震動,從而引發報警。
3.3.8泄露電纜通過在地下埋設兩根平行的埋地電纜(一發一收),形成一個立體的感應電磁場。如果有入侵者(車輛、行人)闖入該感應電磁場則會引起接收電纜收到的信號變化,如果超出設定的變化范圍,則會觸發報警。由于埋設在地下,泄露電纜工作時不受天氣變化影響,對景觀也沒有破壞,但其造價較高。
3.3.9埋地壓差探測系統埋地壓差探測是依靠在地下20~25cm深處埋設兩根平行的水管,正常情況下,由壓差調節裝置調節,保證兩管的壓力平衡。如果有入侵行為發生,其對地面產生的壓力會導致兩根水管中的壓力產生變化。通過檢測這兩根水管所受壓力,系統就可以判別是否有入侵行為發生。由于埋設在地下,壓差探測系統工作時不受天氣變化影響,對景觀也沒有破壞,但其造價較高。其缺陷在于僅適用于較為松軟的地面環境,比如草地、沙石地、粘土地等。
3.3.10視頻移動偵測技術視頻移動偵測技術在模擬監控時代就已經出現,由于當時技術條件限制,該技術沒有得到廣泛發展及應用。隨著模擬監控系統中引入硬盤錄像機,在硬盤價格還較為高昂的情況下,出現了第一個比較普遍的移動偵測技術——視頻動態偵測。該技術在監控畫面中沒有移動物體時不記錄監控圖像,從而節省硬盤空間。在現在看來,這只是一個非常低級、沒有多少技術含量的動態偵測,無法與如今的視頻移動偵測技術相提并論。視頻移動偵測技術發展到了今天,其功能的豐富程度已經遠遠超過周界防范系統的需求。在周界防范的應用上,通過在周界圍墻附近架設監控攝像機,對圍墻實現無漏洞無死角的監控,并在系統后端通過軟件對周界攝像機發來的監控圖像進行分析以判斷是否有人入侵或是干擾信號,如樹枝晃動、小動物闖入等。
3.4巡更系統
巡更系統通常包括在線式和離線式兩種。在線式巡更系統是通過在巡更路線上布設巡更信息點,每個信息點有獨立的ID編號。巡更人員通過信息采集器采集信息點的編號,在與時間信息關聯后,當巡更人員回到安保中心,將巡更采集到的數據信息上傳到軟件中,即可生成巡邏記錄,判斷是否有巡更時間過快、過慢、線路偏差、漏過巡更點等違規事件發生。從上面的描述可知,在巡更人員回到安保中心上傳巡更記錄之前是無法知道其巡更狀態,因此就出現了在線式巡更系統。在線式巡更系統通常是利用門禁讀卡器作為巡更點,巡邏人員手持巡更卡片在巡更點的讀卡器上刷過,則安保中心的門禁管理軟件界面上就會實時出現該條信息,所以在巡邏的過程中就可以得知安保人員是否存在巡邏違規的情況。由于門禁系統僅在建筑物內部或外墻上布設門禁點,因此在一些大范圍的區域內想要通過門禁系統來實現在線巡更是不現實的,于是就出現了利用手機網絡來傳輸巡更信息的在線式巡更系統。該種巡更系統廣泛使用在輸油管線巡邏中。巡更人員手持帶有SIM卡的巡檢器沿巡更路線巡邏,每經過一個巡更點時,讀取的巡更點信息(巡更點ID、時間等)均通過短信息的方式通過手機通信網絡傳輸回安保中心,從而實時的了解巡更人員是否按時、按線路進行巡邏。如果發現異常事件,也可與內置的事件信息匹配后及時發送回控制中心。
4安全防范集成管理系統
綜合安全防范集成管理系統通過統一的系統平臺將安全防范各個子系統聯網,包括視頻安防監控系統、入侵報警系統、出入口控制管理、電子巡更系統,均通過以太網集成,實現分控中心對相關建筑內整體信息的系統集成和自動化管理。安全防范信息綜合管理系統具有標準、開放的通信接口和協議,以便進行綜合系統集成,系統留有與公安110報警中心聯網的通信接口。同時,系統作為整個園區安全防范系統的子系統,留有與園區安全防范系統聯網的通信接口,可以實現部分信息的共享。系統集成平臺具有快速的聯動功能,可實現多種安全防范策略,包括視頻圖像管理、電子地圖、歷史圖像查詢、報警/事件與視頻安防監控系統復核、遠程管理及指揮等。安防各子系統之間的聯動要求能夠實現如下功能:1)出入口控制系統與視頻安防監控系統聯動:當發出報警后,系統自動聯動相應的攝像機,在顯示器上自動切換到該報警位置的圖像,自動啟動錄像等。2)出入口控制系統與消防系統聯動:發生緊急情況時,門禁系統能接受消防系統的聯動信號,自動釋放電子鎖。3)入侵報警系統與視頻安防監控系統聯動:當探測器發出報警后,系統自動聯動相應的攝像機,在顯示器上自動切換到該報警位置的圖像,自動啟動錄像等。4)入侵報警系統與門禁管理系統聯動:對與報警事件相關的出入口通道聯動控制(如關閉、不允許刷卡進出等)。
篇(7)
1 引言
隨著技術完善和業務運營模式逐漸成形,數據增值業務給運營商及內容商帶來豐厚的利潤[1][2]。增值業務系統的網元結構常運行在多個不同的遠端服務器,使用的操作系統差異較大。若采用系統相關FTP函數[3],則需針對不同系統分別開發,將帶來繁重、復雜的系統兼容性難題。本文提出一種基于管道編程技術的數據傳輸方案,適用于多操作系統。
2 需求分析及關鍵技術
2.1 系統需求分析
數據增值業務系統包括業務系統、內容系統、信令終端、BOSS系統、短信/彩信網關等,組網結構如圖1所示。增值系統涉及接口包括:(1)內容系統與業務系統接口;(2)業務系統與底層數據系統接口;(3)短信業務系統與短信網關接口;(4)業務系統與BOSS接口;(5)業務平臺和網關接口。所提數據傳輸方案作用于上述接口,并由數據同步線程實現。
3 基于管道機制的數據傳輸方案
本方案涉及的關鍵技術包括文件傳輸協議FTP、管道編程機制。
3.1 關鍵技術
FTP是TCP/IP協議的一種具體應用,工作在OSI模型的第七層,TCP模型的第四層[4]。FTP支持兩種工作方式[3]:主動模式、被動模式,如圖2所示。主動模式中FTP客戶端發送PORT命令到FTP服務器,被動模式中FTP客戶端發送PASV命令到FTP Server。
管道是一種允許信息傳遞的通信機制[5],從管道“寫入端”寫入的數據可從“讀取端”讀回,從管道讀取的數據總保持被寫入時的順序,可用于進程、線程通信[5]。
3.2 數據傳輸模塊實現步驟及關鍵代碼
所提基于管道編程機制的數據傳輸方案的關鍵步驟及其核心代碼如下:
3.3 應用部署
4 結束語
本文方案基于管道編程機制,無需針對不同操作系統單獨開發,適用于不同網元模塊中多操作系統協作工作環境,運行穩定可靠,易于維護和擴充。
參考文獻
[1]劉曉軍,馬睿,許建宏,增值業務綜合網管系統的數據管理及數據采集方案,郵電設計技術,2009(11): 44-46.
[2]趙國峰,鄧中亮,數據增值業務管理平臺的設計, 計算機系統應用, 2007(5): 53-55.
[3]劉斌, 淺談FTP服務器與安全研究, 消防界, 2016(4):76-78.
[4]張藝頻, 張志斌, 趙詠, TCP與UDP網絡流量對比分析研究, 計算機應用研究,2010(6):2192-2197.
[5]吳元保, 李桂香, 劉記平, 命名管道實現網絡通信的編程方法, 微機發展, 1999(2): 15-18.
篇(8)
DOI:10.16640/ki.37-1222/t.2016.22.112
1 前言
隨著IT技術的發展和“互聯網+”戰略的實施,保護信息系統和數據安全的需要也飛速增長,數據中心的安全建設需求愈發重要。而防火墻作為數據中心防護架構的關鍵防線,如何在數據中心內部穩定并高效的部署防火墻,成為當今數據中心安全建設的一個重要課題。一般來說,數據中心防火墻部署于數據中心的網絡邊界上,位于數據中心內部的服務器區域和外部訪問用戶區域之間,傳統的網絡層防火墻運行在TCP/IP協議棧上,通過對訪問流量的TCP/IP報文進行預訂策略的識別、過濾和轉發來控制外部用戶對數據中心內部服務器的訪問權限,保護數據中心內部服務器免于非法用戶的訪問和入侵[1]。
2 NGFW介紹
隨著網絡技術的發展和防護需求的提升,傳統的網絡層防火墻由于工作在ISO網絡七層架構的網絡層,對數據包和流量的分析是基于網絡層五元組(源/目的IP,源/目的端口和協議)的,由此也暴露出一些新問題:1)基于端口的識別方式對具體應用沒有識別能力,導致非法應用可能借用知名端口穿過防火墻;2)基于IP的識別方式對DDoS、源地址仿冒攻擊和對象IP地址不固定的移動端信息服務防范能力不足;3)對于應用層服務的檢測、過濾和管理能力欠缺。
因此,業內各個廠家近年來都推出了下一代防火墻(Next Generation Fire Wall,NGFW)來代替傳統防火墻,除了提供傳統防火墻的防護方式外,同時提供以區分用戶、應用和資源內容為防護手段和目標的新一代數據中心防護模式。
3 NGFW實施方案
在實際實施方案中,我們選用了華為公司的S12708三層交換機作為數據中心的網絡核心和骨干[2],各個機柜的服務器通過二層VLAN連接到該數據中心交換機[3]。采用兩塊ET1D2FW00S00 NGFW下一代防火墻集成板卡作為安全防護核心。系統結構如圖1所示:
該方案主要說明如下:1)兩塊S12708集成的NGFW Module做主備式部署,其GE0/0/1配置為心跳接口,當A板卡出問題后,防護系統自動切換到B板卡,消除單點故障;2)兩塊NGFW Module通過背板帶寬,以一進一出兩個虛擬20G接口的方式與S12708三層交換機做邏輯連接;3)兩塊NGFW Module上行鏈路做捆綁后與S12708數據中心交換機外網部分做路由互指,NGFW Module的默認路由指向S12708,S12708根據防火墻上實際部署的服務器網段做靜態路由;4)兩塊防火墻的內向接口配置為內部服務器的網關,并且做VRRP以確保冗余切換,在內向接口上使用子接口區分不同VLAN。
4 具體關鍵配置
在對S12708進行完基礎配置,使其聯入互聯網后,防火墻功能部分主要配置實施如下:1)將兩塊NGFW Module的GE0/0/1用網線直接連接,并配置其心跳線功能:
Module A:
interface GigabitEthernet0/0/1
ip address 10.0.0.1 255.255.255.252
hrp enable
hrp interface GigabitEthernet0/0/1 remote 10.0.0.2
Module B:
interface GigabitEthernet0/0/1
ip address 10.0.0.1 255.255.255.252
hrp enable
hrp interface GigabitEthernet0/0/1 remote 10.0.0.2
2)以新增VLAN51(VRRP=10.10.179.30)為例配置內網接口為服務器區域網關:
Module A:
vlan 51
hrp track active
interface Vlanif51
ip address 10.10.179.28 255.255.255.224
vrrp vrid 1 virtual-ip 10.10.179.30 active
interface GigabitEthernet1/0/0
portswitch
port link-type trunk
port trunk permit vlan 51
Module B:
vlan 51
hrp track active
interface Vlanif51
ip address 10.10.179.29 255.255.255.224
vrrp vrid 1 virtual-ip 10.10.179.30 standby
interface GigabitEthernet1/0/0
portswitch
port link-type trunk
port trunk permit vlan 51
3)配置兩塊NGFW Module和S12708之間的接口地址和互指路由后,內外網即可以互通。
配置完成后進行測試,將VLAN51下的服務器IP地址設置為10.10.179.0/27內地之后,可以ping通網關并正常上網。通過192.168.1.195和192.168.1.196可以進入防火墻板卡的配置接口或Web管理界面,以配置更詳細的防火墻策略,實現對服務器的全面防護。
5 總結
較之獨立防火墻設備的部署方式,集成式的防火墻板卡優化了與數據中心交換機的連接方式,節約了設備端口的同時,還提供了很大的雙向連接帶寬。同時充分利用了S12708上設備端口,減少了防火墻所需的設備下聯端口。基于以上過程搭建的數據中心安全架構,具有很好的安全冗余性,并且除了提供了傳統防火墻所具備的防功能外,還可以為數據中心提供反病毒、入侵防護、URL過濾、內容過濾、文件過濾、郵件過濾、應用行為控制等企業級應用層功能,經過多方面測試,具有較好的實際使用效果。
參考文獻:
[1]陳麟,李煥洲,胡勇,戴宗坤.防火墻系統高可用性研究[J].四川大學學報(工程科學版),2005,31(01):126-129.
[2]HUAWEI USG6000系列&NGFW Module V100R001典型配置案例 [J].
篇(9)
隨著網絡的發展,網絡中心成為了本單位的重要部門,中心機房是網絡中心的重要部分,它的安全與數據安全直接影響著單位的正常工作。筆者根據多年的工作經驗,就如何管理中心機房安全與保證數據的安全,總結幾點意見,供同行參考。
一、設備安全隱患
中心機房的硬件設備主要由UPS電源、空調與加濕器、防雷、防火墻、服務器、磁盤陣列等設備組成。
1.電源安全隱患
在中心機房中,關鍵的設備是UPS電源,它的性能好壞直接影響所有設備的安全運行。在UPS的選擇首先要從容量、備份考慮,容量大一些在長時間使用上,不至于電源長時間過熱而產生故障,燒壞設備。其次從電壓和頻率上考慮,我國的電網質量不高,經常會出現諧波干擾、持續的高壓或低壓、頻率不穩等,因此要選擇適應范圍大的UPS。最后從智能化上考慮,主要是方便操作與管理,具有遠程監控報警,達到無人職守。
2.溫度和濕度隱患
機房的溫度應該保持在20℃±2℃,濕度保持在50%,這樣的環境才能保證設備的正常運行,環境溫度過高會使設備內部溫度過高而降低使用壽命,嚴重會燒毀設備。濕度過低會產生靜電而損壞設備,濕度過高又會造成短路。因此,在中心機房中必須裝專用的精密空調和加濕器,來保證自動控制機房的溫度和濕度,確保服務器、交換機等設備的安全運行。
3.雷電隱患
雷電是發生在因強對流而形成的雷雨云中和云地之間強烈瞬間放電現象,是一種嚴重的自然災害。我國大部分地區都是雷電的多發區,所以機房的雷電防護顯得尤為重要。機房雷電防護要有以下安全措施,一是直擊雷防護,就是該建筑要屬于三類防雷建筑,通過樓頂避雷網和地相連;二是電源線路雷電防護,要針對引入大樓內的電源線路進行保護;三是信號線路雷電防護;四是良好的接地系統,只要接地電阻滿足最小要求,可以共用大樓的一個接地網。四是等電位連接防護。
4.靜電隱患
機房的地板采用全鋼防靜電活動地板,地板的安裝高度在20CM左右,地板應良好接地,這樣能有效防止靜電。
5.消防系統隱患
火災是機房發生較大的災害之一,為防止災害的發生,有嚴格的管理制度和安全制度是不夠的,在機房的消防系統的設施和施工都應嚴格遵守國家的有關消防法規和方針政策。計算機機房要從機房建筑報警和滅火設備及防火管理三個方面采取必要的防火措施。
另外,除以上的隱患外,在機房中還要注意對水、鼠、蟲、塵等的防護。
二、數據安全與備份
計算機數據是我們最寶貴的財富之一,每個單位的數據往往都要由全體員工耗費成幾年、甚至幾十年的勞動,它的價值遠遠超過任何一項固定投資,數據的丟失往往都是不可挽回的,所以,數據的安全及如何對數據進行保護是任何一個信息化應用系統必須要考慮和解決的最重要的問題。
1.數據安全
硬盤是現在服務器重要的外部存儲設備,可硬盤本身有一定的壽命,硬盤保存數據具有一定的風險,一旦硬盤的數據損壞,我們幾年的工作就可能毀于一旦。為保證數據的安全,多采用RAID技術,RAID就是基于硬盤的提升存儲性能和數據安全的技術。
RAID可以使很多磁盤同時進行數據傳輸,而這些磁盤驅動器在邏輯上又是一個磁盤驅動器,所以使用RAID可以達到單個磁盤驅動器幾倍、幾十倍甚至上百倍的速率。另外RAID還可以提供容錯功能,容錯陣列中如有單塊硬盤出錯,不會影響到整體的繼續使用,高級RAID控制器還具有拯救功能。
RAID的級別很多,常用的有RAID0、RAID1、RAID0+1、RAID5等,各級別有著各自的優缺點,用戶可以根據不同的需求來選擇合適的級別。現在用的較多的是RAID5,RAID5是一種存儲性能、數據安全和存儲成本兼顧的存儲解決方案。RAID5不對存儲的數據進行備份,而是把數據和相對應的奇偶校驗信息存儲到組成RAID5的各個磁盤上,并且奇偶校驗信息和相對應的數據分別存儲于不同的磁盤上。當RAID5的一個磁盤數據發生損壞后,利用剩下的數據和相應的奇偶校驗信息去恢復被損壞的數據。RAID只能允許在壞一塊盤的情況下,數據是安全的。
為了使數據更加安全,通常還采用熱備用,熱備用(Hot Spare)是當一個正在使用的磁盤發生故障后,一個空閑、加電并待機的磁盤將馬上代替此故障盤,此方法就是熱備用。熱備用磁盤上不存儲任何的用戶數據,最多可以有8個磁盤作為熱備用磁盤。一個熱備用磁盤可以專屬于一個單一的冗余陣列或者它也可以是整個陣列熱備用磁盤池中的一部分。而在某個特定的陣列中,只能有一個熱備用磁盤。當磁盤發生故障時,控制器的固件能自動地用熱備用磁盤代替故障磁盤,并通過算法把原來儲存在故障磁盤上的數據重建到熱備用磁盤上。數據只能從帶有冗余的邏輯驅動器上進行重建(除了RAID 0以外),并且熱備用磁盤必須有足夠多的容量。系統管理員可以更換發生故障的磁盤,并把更換后的磁盤指定為新的熱備用磁盤。通過熱備用,陣列的磁盤在損壞兩塊的情況下還是安全的。
在安全的環境下,數據也會出現意外,如由于陣列的質量或其它原因,可能會出現兩塊或多個磁盤掉盤現象,如果我們沒有做到實時備份,這樣我們的數據就會丟失,這時我們也可以找專業恢復的工程師利用工具軟件進行恢復。
2.數據備份
目前被采用最多的備份策略有完全備份、增量備份和差分備份三種。
(1)完全備份
就是每天對系統數據進行完全備份。這種備份策略的好處是:當發生數據丟失的災難時,就可以恢復丟失的數據。然而它亦有不足之處。首先,由于每天都對整個系統進行完全備份,造成備份的數據大量重復。這些重復的數據占用了大量的空間,這對用戶來說就意味著增加成本。其次,由于需要備份的數據量較大,因此備份所需的時間也就較長。對于那些業務繁忙、備份時間有限的用戶和單位來說,選擇這種備份策略是不明智的。并且,由于備份的時間間隔太小而造成的完全備份數目過多,造成硬件資源的大量浪費,也是很不必要的。
(2)增量備份
增量備份比完全備份快得多。在進行增量備份時,只有那些在上次完全或者增量備份后被修改了的文件才會被備份。正是由于這個原因,增量備份所需時間僅為完全備份的幾分之一。為了確認一個文件是否在上次完全備份后被修改,備份軟件會檢查一個叫做歸檔位(arch ive bit)的設置項。當一個文件以任何形式被更改或者從一個位置拷貝到了另一個位置,歸檔位都會記錄下這一變化,以便這個文件在下次備份時被包含在內。完全備份在進行前不會關心這些文件的歸檔位是否已經被設置,不過完全備份會在完成后清除歸檔位。任何在隨后時間里被修改過的文件又會在歸檔位中記錄下來。
(3)差量備份
差量備份不會在備份完成后清除歸檔塊,而增量備份會在完成后清除歸檔塊,這樣就能避免有些文件不必要地再次被備份。使用歸檔塊還能使用戶真實地查看到那些文件需要備份。
速度更快的備份也需要付出有些代價——在這個情況下,就是恢復的時間。當從增量備份里恢復時,用戶需要最近一次的完全備份和自此以后的所有增量備份。
總之,要高度重視計算機機房安全管理的重要性,以保障機房設備安全可靠運行為工作目標,不斷學習探索機房安全管理技術,進而提高機房安全管理水平。堅持科學地應對機房安全隱患,就能最大限度地及時發現安全隱患并找到應對措施,最大限度地避免事故的發生,進而高效安全地服務。
篇(10)
省級教育數據中心建設是金教工程建設重要的一環,部領導對此項工作高度重視,國家也在財政上給予了大力的支持。同時,為保障其建設的規范性,日前教育部還印發了由教育管理信息中心編寫的《省級教育數據中心建設指南》,指導地方數據中心建設。各省也對此項工作非常重視,力爭此次難得的機遇,推動地方教育信息化工作的開展。
根據各省市建設方案的編寫情況,預計今年9月中旬將完成全部省級教育數據中心建設方案的評審。評審要點具體如下。
一、應用集成部分
應有應用集成的概念和思路,并有具體應用集成的內容,以便教育部下發的業務信息系統能夠順利安裝部署并集成運行。
1. 應包含的建設內容
* 教育管理綜合服務門戶的建設;
* 綜合數據展示系統建設;
* 統一用戶管理認證系統建設;
* 數據共享交換平臺建設;
* 公共軟件平臺集成;
* 應用系統集成實施(門戶集成、用戶集成、數據展示集成、服務集成)。
2.應采購的產品及服務
* 綜合門戶系統平臺;
* 統一用戶認證管理系統;
* 數據共享交換平臺;
* 目錄服務;
* GIS地理信息系統;
* 商業智能及報表工具;
* ESB企業服務總線(含在應用支撐平臺中下發);
* 內容管理軟件(非結構化數據管理)。
二、運行環境部分
1.硬件環境能否滿足國家教育管理信息系統在省級運行需要。硬件包括數據庫服務器,Web應用、中間件服務器,存儲,網絡帶寬等。
2.基礎軟件環境能否滿足國家教育管理信息系統在省級運行需要,基礎軟件包括Oracle RAC、紅旗Linux、Vmware、Weblogic,關注是否采購了,采購的數量夠不夠。
3.組織實施方面能否滿足要求。包括是否考慮總集成、應用支撐服務平臺、教育基礎數據庫的相關工作和預算,建設進度安排能否滿足業務系統在省級部署的要求。2013年年底前滿足部署中小學生學籍信息管理系統、學前教育管理信息系統、中職學生信息管理系統、學生資助信息管理系統、教師信息管理系統,2014年6月前滿足所有系統部署。
三、安全部分
1.是否按照等級保護要求進行安全設計,關鍵點主要包括:
①是否明確數據中心基礎環境的安全等級(三級);
②安全設計是否覆蓋安全技術、安全管理兩個層面,安全技術和管理措施是否滿足等級保護三級要求;
2.是否按照教育部總體要求進行安全設計,關鍵點包括:
①網絡整體架構設計是否合理,是否為國家教育管理信息系統設置獨立安全區域;
②為保障國家、省兩級的互聯互通及安全工作的統一部署,建設方案中安全運行維護管理系統、應用安全監測與預警平臺、安全工作管理平臺、數據存儲加密服務平臺(原名:密碼安全服務平臺)、IPSec VPN和SSL VPN等關鍵安全產品是否按照教育部要求統一技術配置。
3.教育部要求對安全咨詢設計工作單獨立(子)項,并在系統建設完成后進行等級保護測評,需要關注建設方案中是否為安全咨詢服務及等級保護測評兩項工作做出預算。
四、教育CA部分
1.在建設方案的需求分析中,應對本省的教育電子證書應用規模進行初步的分析;
2.建設內容應明確“教育數字認證省級服務系統”的建設任務,在后續建設方案中,作為“安全技術體系”的建設內容之一,與物理安全、網絡安全、安全監管等技術體系的建設在同一級別的標題進行闡述;
3.機房建設內容中應增加“教育數字認證省級服務系統”專用機房區域的建設內容。“教育數字認證省級服務系統”的機房區域面積不小于30平方米,與其他機房區域通過指紋+IC卡門禁進行隔離,部署有24小時視頻監控系統;
篇(11)
一、高職院校云計算數據中心建設需求分析
高職院校近幾年來得到了迅猛發展,特別是自2006年國家支持建設100所示范高職院校以來,高職院校在校園信息化建設、IT實訓基地建設等方面投入了大量資金,大大改善了IT相關專業和課程教學校內實訓條件,符合高職教育對應用型、技能型人才培養所需實訓條件建設的要求,為“工學結合”、“做教學”等教學組織與實施創造了良好的實訓環境,也提高了校園網絡服務教學管理的效益,但在傳統的信息中心建設與管理、IT實訓室建設與維護過程中大都遇到以下問題:
(1)幾乎每年都要進行硬件采購、軟件升級,做計劃、招投標和建設周期較長,而且不斷擴容的軟硬件設施給學校增加了投資成本,并給網管人員帶來越來越大的管理困難。
(2)服務器利用率低、運維成本高,多數服務器業務單一,系統維護、升級和擴容等都會帶來業務暫停等問題。
(3)服務器間的兼容性差,原有系統遷移到新平臺上,就會帶來新老系統兼容等問題。
(4)存儲設備數量多、架構不統一。學校大量各類資源分布存儲在不同的存儲網絡上,既不利于業務管理、又存在信息共享困難等問題。
(5)信息中心大量IT資源對各二級部門的貢獻不夠,不能夠發揮資源效益,以減少二級學院IT投資特別是計算機類機房的重復投資問題。
能否設計一種新的技術架構和運行管理平臺來克服以上問題?
有,那就是構建基于虛擬化技術的云計算平臺,建設一個集成統一的信息化服務數據中心[1],將學校有限的IT軟硬件資源,通過虛擬化技術,構建成“無限”應用的各種資源池,利用云計算提供的SaaS(Software as a Service,軟件即服務)、PaaS(Platform as a Service,平臺即服務) 和IaaS(Infrastructure as a Service,架構即服務)三種服務模式,實現對客戶“按需分配”,滿足對學校IT資源的各種應用。
但由于云計算平臺建設投入較大,技術與管理復雜,是目前制約高職院校云計算數據中心建設的一個主要原因。根據高職院校的辦學特點,云計算數據中心建設可以按照私有云和共有云相結合的設計方案,采用SaaS 和PaaS服務模式為校內師生云客戶端提供上課和實訓所需的軟件與工具在線服務,各二級學院或部門不再需要單獨采購大量本地存儲磁盤和預裝教學需要的種類繁多的平臺系統軟件和開發工具,更不用擔心服務器硬件擴展、軟件升級等維護問題,計算機機房中上課所需要的課程資源、軟件工具等均可存儲在云計算數據中心,機房中的電腦和師生的移動設備如云終端設備、筆記本電腦等不再需要單獨安裝大量的軟件資源,數據中心統一配備云服務專業技術團隊負責維護和管理系統運行,這無疑會大大節省的學校在信息化機房建設的資金和時間投入,也大大提高了學校IT資源的整體效益。
二、云計算三種服務模式在數據中心建設中應用分析
目前,云計算服務模式由如下三種架構,用戶可以根據自己的業務特點選擇一種或多種服務模式,這里根據高職院校數據中心建設與師生需求特點簡要分析這三種云計算服務模式的應用區別。
2.1 SaaS模式
SaaS的技術特點是:云數據中心根據云客戶端的軟件應用申請下發相應的軟件系統和軟件工具,對使用者來說,節省了在本地網絡購置服務器硬件和軟件以及應用授權上的開支,也無需單獨安裝工具和軟件;而對云數據中心來說,只不過是一個客戶應用請求而已,無需額外增加投資,只需下發一個服務即可。
譬如,學校計算機實訓機房,可以根據課程所需要的軟件環境,隨時向云數據中心在線動態申請相應的軟件,數據中心通過虛擬化桌面,給師生終端批量下發上課需要的教學與實訓軟件即可,完成教學和實訓任務后可以隨時釋放這些應用,這無疑會大大減少二級部門在實訓機房上的投資,也減輕了機房管理團隊的工作壓力。
2.2 PaaS模式
PaaS模式依賴于在云數據中心構建的一套完整的虛擬化平臺為客戶提供所需要的開發工具如Apache、MySQL、JBoss Application Server以及應用程序開發庫和接口等資源,云客戶端可以在線設計、創建、開發、部署以及管理自己的應用,但無需要管理這些平臺運行環境。譬如,學校師生可以充分利用PaaS服務模式,無需搭建和管理自己的軟件開發環境,只需在線申請使用云數據中心提供的多樣性開發平臺即可,這為師生從事軟件開發以及項目研究提供了靈活豐富的資源平臺。
2.3 IaaS模式
IaaS是以提供網絡基礎設施如CPU、內存、網絡以及存儲等IT資源作為服務形式,云用戶可以向云數據中心申請這些軟硬件資源,構建屬于自己的虛擬運行平臺,用戶可以在該平臺上部署運行自己的應用軟件,并能夠控制屬于自己租約的IT資源。譬如,學校可以針對某些課程構建專門的實訓室,通過申請IaaS,二級學院可以擁有自助式服務模式,在該平臺上通過云計算中心提供的基礎設施,構建一套適合上課和實訓的虛擬實訓室,既能夠滿足正常上課和實訓需要,又能提供師生軟件項目研發等需要。
三、虛擬化技術在數據中心建設中的應用分析
虛擬化,就是通過虛擬化軟件在一臺計算機或服務器物理主機上虛擬出多臺可以同時運行多種操作系統的邏輯主機,如圖1所示,每臺虛擬的邏輯主機上的應用系統可以相互獨立地運行。虛擬化技術實現了對IT軟硬件資源的動態按需分配、靈活規劃調度、虛擬機間資源共享等功能,大大提高了對IT資源利用效率[2]。
在學校云計算數據中心部署虛擬化,可實現對學校信息化基礎設施等資源的利用、減少軟硬件采購資金的重復投入、節省機房空間、提高設備集成性、減少能耗、降低管理成本、縮短建設周期等。利用虛擬化技術,將一組物理硬件資源組織成為邏輯上的資源池(Resurce Pool),并通過管理平臺,實現動態、均衡分配資源池中資源,也可根據業務需求和業務重要程度預設服務策略,通過監控資源池的使用情況,智能地為虛擬機調配資源,從而實現對IT資源的有效、高效利用和管理。
四、基于虛擬化技術的云計算數據中心建設方案
學校在進行云計算數據中心設計時,應拋棄傳統的計算、存儲和網絡架構模式,將計算與交換集成在一個統一的網絡平臺上,實現網絡融合、減少網絡匯聚與接入層的分段,在統一的管理域內,利用數據交換核心,減少I/O適配器、布線及設備,實現交換、存儲與高性能數據計算,并實現對云數據中心軟硬件資源的集中管理。主要建設模塊包括:
4.1云計算基礎架構
云計算基礎架構是利用虛擬化技術,對服務器資源、存儲與災備系統、網絡設施等進行有機整合,形成虛擬化計算資源池、存儲資源池、網絡資源池等共享資源平臺,對云客戶端實現需支付服務、自動分發部署,并具備容災熱備、異構遷移等功能。
4.2云計算運營行管理平臺
云計算數據中心由大量的物理與虛擬化IT資源,為了保障整體系統的正常運行,必須構建一套對這些IT資源進行統一運行監控、資源調度、服務支付、故障處理、計費記賬、性能優化、配置修改、安全策略等管理平臺,使日常運維、管理、控制等更加科學、有效和及時。
圖2是學校云計算數據中心網絡架構拓撲[2]圖。
1、虛擬化基礎架構設計
(1)虛擬化計算資源池設計
計算虛擬化即服務器虛擬化,是通過虛擬化操作系統來實現的。在服務器節點或服務器資源池上,安裝虛擬軟件系統如vSphere,對宿主服務器的CPU、內存、網卡以及I/O等進行虛擬化處理,安裝多個可運行不同操作系統的邏輯服務器(如圖3所示),并根據業務劃分安裝相應的應用軟件和工具,如此,一臺物理服務器就似乎變成了多臺服務器在運行,從而大大提高了計算資源的利用率,降低了采購和建設成本,增強了系統的配置靈活性和可用性。
設計要點:
1)企業級刀片服務器控制箱,配備冗余電源、風扇和機箱管理模塊,內置FCoE交換機,配置足夠的內部10Gb服務器端口和萬兆SFP+模塊。
2)物理服務器配置足夠的CPU和內存,支持虛擬化集群,以保障虛擬化平臺的構建。
3)多路虛擬CPU(vSMP),以快速部署批量并發云端用戶的服務請求。
4)在線添加虛擬CPU(vCPU), 虛擬內存(vMemory)和虛擬磁盤(vDisk),保證系統無間斷運行。
5)支持在線虛擬機間、虛擬機與物理機間業務遷移,實現對業務動態調控、負載均衡處理。
6)支持Windows、Linux等主流操作系統,并兼容VMWare、Hyper-V、RHEL-KVM以及華為等業界主流虛擬化運行管理平臺
(2)存儲資源池設計
存儲資源池是云計算數據中心建設的重要內容,是提供云端信息服務、數據存儲與管理、數據共享與檢索以及數據災備的重要平臺。采用光纖存儲系統SAN架構,配置冗余高速背板帶寬的光纖交換機,滿足不同云計算用戶的訪問。設計要點:
1)具有高速緩存的SAS磁盤陣列控制器,支持多種RAID方式,具有在線動態調整LUN的容量、在線修改RAID級別等功能。
2)支持FC、NAS、iSCSI應用以及配置10Gb/s FCoE、8Gb/s FC光纖通道等端口。
3)支持固態硬盤(SSD)、高速硬盤(比如15000轉)、高容量SATA硬盤
4)實現數據在不同LUN之間的動態、在線無中斷數據遷移
5)具備定期增量備份(Incremental Backup)、全量備份(Full Backup)和差異備份(Differential Backup)等備份方式。
6)基本的硬件冗余,如緩存、處理器、適配器卡、電源及風扇等。
(3)桌面虛擬化設計
桌面虛擬化[4]是云客戶端共享云數據中心資源的重要應用平臺,是云數據中心根據用戶業務需要,對大批量并發用戶動態、統一或個性化下發桌面應用的手段,包括桌面操作系統、應用程序等應用,減少客戶端預裝系統,使用戶云端設備成為瘦客戶端(Thin Client),網管人員可以通過專業化管理工具如VMware vCenter實現對云平臺上的客戶端集中管理。設計要點包括:
1)可按用戶不同業務,將一朵“大云”切分成多個邏輯“子云”,各“子云”在資源申請與分配、生成與交付等管理流程,可獨立于上層“大云”系統門戶,以增強服務支付的靈活性。
2)虛擬桌面系統能夠支持多種前端協議,如HP RGS、PCOIP、RDP等。
3)支持內置企業級數據庫功能,虛擬桌面無需再購買第三方的數據庫管理系統
4)能夠快速分發應用程序,并可以運行在PC、移動終端、云終端等不同操作系統平臺上,能夠轉換成EXE或MSI格式,方便用戶個性化應用和分發(如計算機機房內部)。
2、 統一交換網絡設計
隨著10GB以太網應用的普及,基于FCoE和無損10GB以太網技術已經在云計算數據中心建設中被采用,為實現將SAN存儲數據流、計算數據流和普通交換數據流整合到一個統一網絡交換平臺提供了較充裕的帶寬,既降低了網絡建設的復雜度與投資,又能滿足大量云客戶端對高帶寬、低延遲、安全性和可靠性的需求。核心交換機和存儲交換機SAN應配置足夠的10GB網絡端口,用于與計算資源池中的服務器、存儲資源池中控制器、連接,并具備跨機箱10GB智能堆疊、支持FCoE協議等。
3、統一管理系統設計
虛擬化數據中心IT資源龐大,為了便于資源管理、動態調配,需要一套功能強大的云管理工具平臺,實現對數據中心的計算資源池、網絡資源池、存儲資源池的統一管理、優化和協調,并具備虛擬桌面分發、資源運行監控、安全策略配置及資源優化等功能,從而提高對云計算數據中心運行管理的自動化和智能化。
4、 安全策略
傳統安全措施仍需要在云計算中心進行強化,包括防火墻安全策略、入侵防御系統IPS、VPN隧道技術、防病毒軟件、數據災備、接入認證等措施,保障前端網絡的接入安全。但在虛擬化運行平臺上,由于大量虛擬化系統的應用以及大量云端用戶開放性地接入數據中心,這就對網絡安全提出了更高的要求,因此,數據中心安全方案可以選擇基于虛擬化技術平臺的深度安全管理軟件,如趨勢科技的Deep Security、VMware的VMware vShield等,保障后端虛擬化系統和各種資源池的運行安全。
五、結語
以往校園數據中心建設、業務擴展等都需要重新進行大量軟硬件的采購預算,即使是一個業務量也要走一遍從申報計劃、制定標書、招投標、采購等一系列建設流程,大量這類“單個業務”占據了不少軟硬件資源,利用率低下,運行成本和管理成本高。
因此,采用虛擬化和云計算技術,只需在原有系統上添加一套虛擬計算和服務即可。譬如,過去每年都要投入大量人力、物力、時間等規劃建設計算機實訓室或升級原有計算機實訓室的運行平臺,如今,利用云計算數據中心,采用SaaS或PaaS模式,二級學院隨時可以構建教學實訓環境,并且隨時得到最新應用系統,讓各二級學院計算機相關實訓室由“有型”變得“無型”、由固定變成可移動。
參 考 文 獻
[1]孟凡立 徐明 張慰.基于云計算的高校數據中心設計與實現[J].現代教育技術.2012(3)99-103
