系统集成 2015-10-12 14:37
华远科技将竭诚为您提供专业的系统集成解决方案和技术服务!
思科高级认证代理商、H3C区域金牌代理商、锐捷商业金牌合作伙伴、Netapp认证代理商、IBM高级认证代理商、宏杉科技认证代理商、EMC核心业务合作伙伴、HDS存储授权合作伙伴、VMware虚拟化产品合作伙伴、CommVault产品行业合作伙伴、Array应用交付产品合作伙伴、艾默生机房设备代理商、东软安全产品金牌代理商、康普布线产品高级代理商、惠普商用信息产品金牌经销、Oracle金牌合作伙伴
我公司自行编制的《系统集成方案及部分典型案例汇编》内容如下:
第一篇 信息系统集成解决方案
第1章 综合布线系统
1.1 系统概要
综合布线是一种模块化的、灵活性极高的建筑物内或建筑群之间的信息传输通道。通过它可使话音设备、数据设备、交换设备及各种控制设备与信息管理系统连接起来,同时也使这些设备与外部通信网络相连。包括建筑物外部网络或电信线路的连接点与应用系统设备之间的所有线缆及相关的连接部件。综合布线由不同系列和规格的部件组成,其中包括:传输介质、相关连接硬件(如配线架、连接器、插座、插头、适配器)以及电气保护设备等。这些部件可用来构建各种子系统,它们都有各自的具体用途,不仅易于实施,而且能随需求的变化而平稳升级。
1.2 系统结构
综合布线系统一般采用模块化星型拓扑结构,用于传输语音、数据、图像以及各类控制信号。综合布线系统的结构可分6个独立的子系统(模块)。
1、工作区子系统
工作区子系统由终端设备到信息插座的连线和适配器。
2、水平布线子系统
水平布线子系统将电缆从楼层配线架连接到各用户工作区的信息插座上,一般处在同一楼层。
3、垂直干线子系统
垂直干线子系统由各楼层配线架与主配线架间的铜缆或光缆组成,或二者混用。它是综合布线系统的神经中枢,其主要功能是将主配线架系统与各楼层配线架系统连接起来。
4、管理子系统
管理子系统由楼层配线架组成。其主要功能是将垂直干缆线与各楼层水平布线子系统相连接。布线系统的优势和灵活性主要体现在管理子系统上,只要简单地跳一下线就可完成任何一个结构化布线系统的信息插座以对任何一类智能系统的连接,极大地方便了线路重新布局和网络终端的调整。
5、设备间子系统
设备间子系统由主配线架和各公共设备组成。它的主要功能是将各种公共设备与主配线架连接起来。该子系统还包括电气保护装置等。
6、建筑群子系统
该子系统是将一个建筑物中的主配线架延伸到另外一些建筑物的主配线架的连接系统。与垂直子系统类似,通常采用光缆或铜缆连接。它是整个布线系统的一部分(包括传输介质)并支持提供楼群之间通信所需的硬件,其中有电缆、光缆和防止电缆的浪涌电压进入建筑物的电气保护设备。
1.3 常用传输介质
非屏蔽双绞线(UTP)
屏蔽双绞线(STP/ScTP)
光缆(单模/多模)
同轴线
1.4 布线标准与网络带宽
| 布线标准 |
信号频率 |
支持的网络类型 |
数据速率 |
使用线对 |
| 超5类 |
100MHz |
10BASE-T |
10Mbps |
2 |
| 100BASE-T4 |
100Mbps |
4 |
||
| 100BASE-TX |
100Mbps |
2 |
||
| 100VG-AnyLAN |
100Mbps |
4 |
||
| ATM-155 |
155Mbps |
2 |
||
| 1000BASE-T |
1000Mbps |
4 |
||
| 6类 |
250MHz |
1000BASE-TX |
1000Mbps |
4 |
| 7类 |
600MHz |
10G以太网 |
10Gbps |
4 |
1.5 参照的设计标准
目前,综合布线系统的产品较多,其产品的设计、制造、安装和维护中所遵循的基本标准主要有两种,一种是美国标准ANSI/EIA/TIA 568A/B:《商务建筑电信布线标准》,ANSI/TIA/EIA 568-A 至 A5,以及ANSI/TIA/EIA 568-B.1 至B.3。另一种是国际标准化组织/国际电工委员会标准ISO/IEC 11801:《信息技术----用户房屋综合布线》。目前该标准有三个版本:ISO/IEC 11801:1995、ISO/IEC 11801:2000、ISO/IEC 11801:2000+。
第2章 数字监控系统
2.1 系统概要
监控系统的基础功能是“监、控、查、管”,对任何监控系统而言,在性价比允许的情况下,看得清楚,控制灵活,存储可靠,回放清晰,管理方便都是最主要的需求。值得注意的是,安防系统除了视频监控以外,还有很多其他安防应用,如报警、门禁、周界控制等,这些应用都同属于安防系统的有机组成。如何实现这些安防系统与监控系统的融合,也成为当前监控建设的一个热点。
2.2 用户需求
如何从架构上保证稳定可靠、高质量的实现监控规模的不断扩大?
如何对海量复合化的视频信息进行可靠存储和有效管理?
如何确保重要图像信息显示、存储的高清画质和低时延切换控制?
如何充分融合数字视频、存储、网络和软件技术,通过软件叠加新的功能,保持系统功能的可延展性?
2.3 解决方案
数字监控是监控应用的数字化和IP化,并进一步实现各种应用的有机融合。前端视频采集设备依然采用传统摄像机通过编码器将视频信号转换成TCP/IP封装的网络数字信号,通过局域网或广域网将数字信号传输到监控中心,并可通过解码器将数字信息还原成模拟信号,在电视墙等设备上进行显示。
数字监控系统拥有标准的开放式架构,可以使用户原有的监控系统通过增加少量的设备即可在不改变用户原有监控架构的情况下将用户的原有监控纳入到数字监控的管理中来,最大限度的保护了用户的原有投资。
使用数字化的集成监控中心使得监控系统的管理、使用变得更为简单,更为安全,更人性化。
2.4 数字监控主要功能
基本视频监控功能,实时监控、检索回放、远程控制、GIS电子地图
对讲功能:中心发起对讲、前端发起对讲。
数字矩阵功能:组切换、群切换、报警联动切换、特殊事件联动切换。
报警联动功能:业务报警和系统告警。
门禁联动功能,可以和图像监控系统联动,当发生门禁报警和门禁刷卡时,支持图像弹出、存储和拍照等功能。
2.5 参照的设计标准
《民用闭路监视电视系统工程技术规范》(GB 50198-94)、《安全防范工程程序与要求》(GA/T75-94)、《防盗报警控制器通用技术条例》(GB12663-91)、《公安部风险等级和防护级别的规定》、公安部《公共安全防范工程验收施工标准》 GA/75-94。
第3章 企业融合通信系统
3.1 系统概述
通信是企业得以生存发展的基础,用户需求的不断变化、与上游供应商和下游合作伙伴的密切合作,使每一个企业都需要一套运转良好的通信系统来保证信息的畅通。传统的企业通信包括语音通话、手机短信、即时消息、邮件、传真等,但每个通信系统独立建设,使用的终端也各不相同,员工不仅需要在各种通信系统间来回切换,而且不能按照企业自身需求提供业务的定制。不仅耗费了企业通信费用,而且降低了生产效率,大大约束了企业良性发展。
3.2 用户需求
为了降低企业运营成本、简化管理、提高工作效率,使企业在市场竞争中轻装上阵,就必须整合各种通信手段。从通信方式上看,企业通信可以分为实时通信和非实时通信两类,实时通信包括基本的电话互通、多媒体会议、可视通信;非实时通信包括了即时消息、语音信箱、传真信箱,以及不同格式消息间的转换;而这一切又是以企业或个人的通讯录数据库为核心。整合企业通信系统的目标,就是要用一套融合的通信系统来实现上述所有的企业通信业务。
3.3 解决方案
企业传统通信系统相互割裂,通过PTSN网络提供语音、传真,使用移动网络提供语音、短信等业务,而使用Internet实现E-Mail、Web、即时消息等应用。
新兴的IP融合通信解决方案,可以将PSTN、移动、Internet等网络分别提供的业务统一在企业IP网络之上,为企业提供集语音、传真、消息、会议、OA等业务于一体的通信业务。
企业融合通讯解决方案,在同一网络上融合语音、数据和视频信息,解决了传统PBX语音服务和IP网络数据服务分离问题。企业融合通讯解决方案构建在企业现有IP数据网络之上, 以集中式管理方式提供企业全网范围内的呼叫控制以及管理, 业务控制和信令分离使得用户在管理上更加简单透明, 极大的节省了日常维护费用和降低了维护难度。并使得客户可以在任意地方实现IP语音数据接入,使得企业分布式办公的不再因为物理空间隔离而无法实现。
企业融合通讯解决方案可以提供:呼叫中心、统一消息、语音通信、电话会议、协同工作, 语音留言、网站链接等更广泛、更高效、更经济的应用模式,最大程度上保护了企业的投资。
3.4 方案特点
三网合一:语音,数据,视频的完美结合,在LAN/WAN上提供统一的、实时的话音和数据通信,节省了布线的成本,方便了网络的维护, 极大的提高了企业工作效率。
大容量:单机支持5000用户线,整网用户线可以达到20万线
丰富业务:多达200余种的语音业务
强大的系统功能:自动话务员、统一消息、语音信箱、电话会议、呼叫细节报告等皆为标准配置,无需单独付费。
软件电话终端:具有与智能电话终端丝毫不差的功能,安装于普通PC机器上,使桌面更为简洁;在线通知能力和语音、视频、数据协同工作能力满足分布办公需求。
第4章 智能卡系统
4.1 系统概要
智能能卡系统是利用当今世界通行的计算机和智能卡技术开发的一套感应式智能卡应用系统。主要包括:考勤系统、门禁系统、消费系统、停车管理系统、水控系统等。
4.2 用户需求
以智能卡技术为核心,以计算机和通信技术为手段,提供一套“实用、方便、可靠、先进、经济、性能稳定”的智能一卡通系统。可以方便地实现人员出入控制,考勤和门禁数据采集、统计和信息查询过程自动化、停车管理收费电子化以及食堂售饭电子化、用水控制等功能。
4.3 解决方案
目前智能卡系统采用的感应卡主要分为两种:一种是只读不能写的ID卡、另一种是可写数据的IC卡。
前端设备:前端设备主要包括考勤机、门禁机、考勤门禁一体机、消费机、停车场智能票箱、道闸等。
通讯传输:目前一卡通系统通讯分为实时通讯与分散通讯。实时通讯就是在一次刷卡事件的处理过程中,同后台数据库进行实时通讯,系统对网络和后台操作系统的依赖性强,适用于单独的考勤和简单门禁系统。分散通讯由管理软件负责集中处理有关卡片、人员,分析记录、统计结果;前端设备,读卡判断各种输入信号,独立完成刷卡事件、判断权限、输出控制信号。对于消费系统或复杂的需要写卡的考勤、门禁系统,建议使用分散通讯技术。
通讯的协议主要分为485总线控制协议与TCP/IP协议。
中心软件:目前一卡通软件主要分为网络版和单机版两种。单机版软件数据不能共享只能单机使用。网络版软件可以安装客户端与服务器联接可以共享数据库。当单人管理多个子系统时可使用单机版软件。当多人管理不同的子系统时建议使用网络版软件。
4.4 系统拓扑图
4.5 用户受益
该系统在提高内部的管理效率、节约人力成本方面具有无法比拟的优点。
第5章 LED大屏幕显示系统
5.1 系统概要
目前LED显示屏作为新一代的信息传播媒体,已经成为城市信息现代化建设的标志。随着社会经济的不断进步,以及LED显示技术的不断完善,人们对LED显示屏的认识越来越深入,其应用领域也越来越广泛。
以LED为发光器件的显示屏可广泛用于车站、机场的旅客引导,车次、航班的显示;金融股票的行情显示、百货公司、体育场馆、展览馆、医院、企业等公共广告宣传、新闻发布。
5.2 LED显示屏分类方式
1、按显示颜色分为:单色(单红色或单绿色)、双基色(红色、绿色)、全彩(红、绿、蓝三基色)。
2、按使用功能分为:纯文字显示屏、多媒体视频显示屏。
3、按使用环境分为:室内显示屏、室外显示屏、半室外显示屏。
4、按发光点直径分为(单/双基色屏):Ф3mm、Ф3.7mm、Ф4.8mm、Ф5.0mm、Ф8.0mm等;按发光点间距分为(全彩屏)P6mm、P7.6mm、P10mm、P12mm、P14mm、P16mm、P20mm、P22mm、P25mm、P30mm、P40mm等。
5.3 LED屏观看距离
| 室内屏 |
Φ3.0mm |
Φ3.75mm |
Φ5mm |
Φ8mm |
| 最小观看距离(米) |
4 |
4.8 |
7.6 |
10 |
| 最佳观看距离(米) |
12 |
14.4 |
22.8 |
30 |
| 室外屏 |
P6mm |
P7.6mm |
P10mm |
P12mm |
| 最小观看距离(米) |
6 |
7.6 |
10 |
12 |
| 最佳观看距离(米) |
18 |
22.8 |
30 |
42 |
5.4 LED显示屏技术特点
采用动态扫描技术,画面稳定、无杂点,图像效果细腻、清晰;动画效果生动、多样;视频效果流畅逼真
维修方便:模块化设计,安装,维护 方便。(可带电维修)
质量优良:采用进口发光材料,高品质IC芯片,无噪声大功率电源
格式灵活:可由用户任意编排显示模式
内容丰富:可显示文字、图表、图像、动画、视频信息
信息量大:显示的信息不受限制
系统拓扑图
第6章 计算机机房系统
6.1 系统概要
随着计算机系统技术和设备的不断更新换代,安装计算机设备的场地技术,即机房工程也在不断地推陈出新。在设计上要求充分考虑设备布局、功能划分、整体效果、装饰风格,体现现代机房的特点和风貌。
6.2 用户需求
随着计算机事业的发展和计算机技术的广泛应用,使得那些依赖计算机及通讯系统的行业存在着潜在的风险,怎样确保计算机设备安全、高效的运行,并且怎样给从事计算机操作的人员创造良好的工作环境,这个问题越来越被人们所重视。计算机设备不同于其他的机器设备,计算机设备对运行环境有较高的要求。机房环境除满足计算机设备对温度、湿度、空气的洁净度、电源质量、接地地线、电磁场和振动等技术要求外,还必须满足在机房中工作的人员对照度、空气质量、噪声的要求。计算机属于贵重精密设备,用于重要部门时,又属于关键和脆弱的工作中心,是安全保卫的重点,因此对消防和安全防范也有较高的要求。
6.3 解决方案
机房场地环境建设是一项复杂、涉及技术面广泛的综合性的系统工程,它横跨多项专业系统:如装修系统、电气系统、空调新风系统、消防系统、集中监控系统(包括门禁系统、闭路电视监视系统,场地设备监控系统)等。
装修工程,包括:天花吊顶、活动地板、墙面、隔断、门、保温层等。
电气工程,包括:配电柜、UPS、照明、防雷、接地等。
空调环境工程,包括:精密空调、新风机等。
消防工程,机房应设气体灭火系统和火灾自动报警系统,常用灭火剂为七氟丙烷、气溶胶、CO2等。
弱电工程,包括:环境监控系统、图像监控系统、门禁系统等。
6.4 相关标准
《电子计算机机房设计规范》(GB50174-93)
《计算站场地技术要求》(GB2887-89)
《计算站场地安全技术》(GB9361-88)
《计算机机房用活动地板的技术要求》(GB6650-86)
《电子计算机机房施工及验收规范》(SJ/T30003)
《通风与空调工程施工及验收规范》GB50243-97
《供配电系统设计规范》GB50052-92
《低压配电装置及线路设计规范》GBJ54-83
《建筑物防雷设计规范》GB50057-94
《电子设备雷击保护导则》GB7450-87
《电气装置安装工程及验收规范》GBJ232-83
《气体灭火系统施工及验收规范》GB50265-97
《电气装置安装工程接地装置施工及验收规范》(GB50169-92)
《七氟丙烷(HFC-227e)洁净气体灭火系统设计规范》DBJ15-23-1999
第7章 视讯会议综合解决方案
7.1 系统概述
视讯会议技术实现了语音、图像、数据等信息综合在一起的远距离传输,使人们在进行异地交流时利用视讯技术既可以听到对方的声音,又可以看到对方的活动图像和胶片内容,大大增强了异地交流的亲切感和临场感,提高了企业的管理和决策效率,充分发挥出视频会议真实、高效、实时的优点,为人们提供了一种简便而有效的协同工作手段。
7.2 组网结构
视讯会议系统的组网结构,从整体上看有两种组网结构:点对点组网结构和多点会议组网结构。
点对点视讯会议系统只涉及到两个会议终端系统,其组网结构简单,不需要MCU。
多点视讯会议系统,必须设置一台或多台MCU(多点控制设备)。MCU通常设置在网络节点处,实现音频、视频、数据信令等数字信号的混合和切换(分配)。
7.3 系统功能
分组会议:支持同时召开多组会议,各组会议互不干扰。
多画面合成和混音:系统支持画面合成和智能混音。画面合成有1+1、1+2、1+3、4等多种形式,配合智能混音可以达到实现会议讨论,达到身处同一会议室的效果。
双流功能:系统支持标准的H.239双视频流协议,可以把两路图像同时传到远端。通过双流功能,可以把培训老师的图像和课件资料同时送到远端,增强培训的生动性、实时性,实现远程培训。提供VGA接口(支持1024×768的分辨率),可以直接把电脑数据导入系统,使远端会场收看电脑画面。
桌面会议和电话接入:提供基于软件的桌面终端,可以无缝接入本系统。终端具备电话接入,出差人员可通过普通电话机或手机参加会议,收听会议并进行会议发言。
横幅和字幕功能:MCU和终端具备丰富的字幕功能,字幕位置、颜色、形式、字体等可动态设置。可应用于会议通知,传达会议要求和重要事宜。
穿防火墙、NAT,智能丢包重发、QOS、带宽自适应,高稳定性、高安全性。
第8章 多媒体录播系统
8.1 系统概要
多媒体录播产品可以非常方便地实现会议、培训、教学的记录与传播,成为近年来政府、企业、学校等机构信息化建设的热点。
8.2 用户需求
多媒体会议/培训光盘制作、会议/培训网络直播、网络课件制作、网络精品课程建设、网络教学资源积累、网络远程教学、微格教学、教学评估、教育技术实验室。
8.3 解决方案
录播整体解决方案由三个层面构成:
1、设备层:设备层为录播整体解决方案的核心层,通过提供多种架构的录播产品来满足用户在各种场景下可视化信息记录与传播的核心需求,即录制、直播、点播。
2、管理层:管理层为整体解决方案的扩展层,通过提供多种管理平台及软件组成录播产品的外围支撑体系,来满足围绕核心需求的更高层面的用户需求,如扩展、融合、统一。
3、用户层:用户层为整体解决方案的基础层,旨在为用户提供各种灵活多样、简单易用的各种资源访问及获取方式。
8.4 方案特点
1、丰富的产品线,满足用户多样需求。
录播整体解决方案围绕“可视化信息记录与传播”的核心需求,从设备层到管理层提供了多种架构、多个系列的录播产品和丰富的外围支撑平台,丰富的产品线可全方位满足用户在各种场景各种规模下的可视化信息记录与传播的需要。
2、强大的多种信号组合录播模式
录播产品支持多路AV和VGA信号的任意组合录播,最多可扩展支持6路,可满足手术示教等复杂场景下多路可视化信息记录与传播的需求。
3、高清视频、高清音频
支持高清视频(720P/1080i/1080P)信号及双声道立体声高清音频(AAC-LC)编码,为用户带来提供震撼的高清视听享受。
4、低延时
录播产品采用最新的高性能DSP处理芯片实现信号采集,配合嵌入式操作系统的实时性,超强的处理能力可使信号的编码及传送瞬间完成,确保在实时直播时的极低延时(一般情况下小于0.5s)。
8.5 系统拓扑图
第9章 数据通信基础网络
9.1 系统概要
作为现代企业的重要组成部分,网络在企业的日常运作中起着非常重要的作用,支撑着各项业务的开展。企业的信息化建设伴随着经济的成长不断完善,网络规模日益增长,网络应用逐渐增加,企业的日常办公对网络的依赖也越来越大。因此,企业对网络的可用性、可靠性、安全性、可管理性等都提出了更高的要求。
企业网络建设的目标是在经济实用、稳定可靠的基础、量体裁衣、易于扩充等指导原则下,建设一个集计算机技术、网络通讯技术、数据库管理技术为一体的大型网络系统。它以管理信息技术为主体,连接生产、经营、维护和运行子系统,是一个面向日常业务、立足生产、面向社会服务、辅助领导决策的计算机信息网络系统。
9.2 用户需求
网络技术先进性和实用性
采用标准化、开放的网络技术
网络的高可靠性
网络的可扩展性
网络的安全性
网络的可管理性
9.3 解决方案
将基础网络拆分为三个部分:企业园区网、企业网边缘、服务提供商边缘。其中,企业园区网采用标准的三层网络架构,将企业内部网络划分为核心层、汇聚层和接入层;企业网边缘用于为企业提供Internet接入以及远程接入等功能;服务提供商边缘包含了各服务提供商提供的线路。
企业园区网包含三个部分:核心层、汇聚层和接入层。其中,接入层为用户提供到桌面的连接,同时负责基本的接入过滤功能;汇聚层为接入层设备提供汇聚、路由选择、包过滤、策略控制等服务;核心层提供快速的数据交换。
对于网络中的重要设备应在网络设计上考虑冗余和备份,减少单点故障对整个网络的影响。在考虑设备选型和网络设计时也应该充分考虑到核心设备、关键性设备,电源,引擎,链路等方面的冗余性。如下图所示:
9.4 名词解释
第二层交换:第二层交换严格集中在数据链路层,也就意味着第二层交换机只能根据MAC地址对数据包进行交换。术语“二层交换”暗指交换机所转发的数据帧不会以任何方式被修改(QoS与VLAN Tag除外)。
第三层交换机:第三层交换机包括第三层路由选择功能。目前很多第三层交换机都能够使用路由选择协议来制定最优的转发策略,例如BGP、RIP、OSPF、EIGRP等。第三层交换机不仅能够执行PIM多播,而且还能够使用HSRP / VRRP协议获得冗余。
第10章 数据通信网络安全
10.1 系统概要
网络安全是一项系统工程,在网络的边界、内部、终端都需要应用一系列的安全解决方案,才能构建一个完整的安全网络。边界防护解决方案在整个网络的安全部署中扮演着至关重要的角色,优秀的边界防护解决方案可以极大地减少安全威胁在网络之间的传播,可以提供网络边界双向数据流的监控信息,可以用简明的方式实现设备的统一管理。
10.2 用户需求
从用户体验的角度来讲,边界防护解决方案将可以明显减少用户网络数据感染病毒、业务被黑客破坏、重要信息被窃取等等安全事件。
网络划分安全区域后,在不同信任级别的安全区域之间就形成了网络边界。跨边界的攻击种类繁多、破坏力强,虽然采用了防火墙、防病毒、IDS等传统的安全防护手段,但是以下问题仍然困扰着用户:
- 如何应对层出不穷的DDoS、病毒、蠕虫、页面篡改等攻击
- 设备在不断增多,人员不断增加,如何解决安全的统一管理问题
边界防护解决方案,是针对边界安全防护的最佳方案。方案由安全网关、入侵防御系统和安全管理平台组成。安全网关防火墙融合2-4层的包过滤、状态检测等技术,配合4-7层的入侵防御系统,实现全面的2-7层安全防护,有效地抵御了非法访问、病毒、蠕虫、页面篡改等攻击;并通过安全管理平台对安全网关、入侵防御系统以及网络设备进行统一安全管理。
防火墙与网络层面的入侵防护(Network IPS)
为网络边缘提供保护,包括安全防御与入侵防护等
核心设备NetFlow采集
为核心交换机提供NetFlow采集服务,NetFlow的信息可以用于流量分析与网络故障诊断
网络准入控制
使用网络基础设施对试图访问网络计算资源的所有设备执行安全策略检查,从而限制病毒、蠕虫和间谍软件等威胁损害网络安全性
主机层面的入侵防护(HIPS)
在主机操作系统上,利用基于行为的安全机制防范针对主机的恶意活动,实现防蠕虫、防木马等功能
安全分析响应系统
集中汇总了来自各种网络设备、安全设备、主机、应用以及网络流量(NetFlow)的日志和事件,为用户提供一个由实时热点、事故、攻击路径和具体调查组成的拓扑图,可使用户完全了解事件,从而立即确认有效威胁
上网日志记录与分析
能够有效的对网络行为进行监控,管理人员使用该软件能够随时了解本单位的互联网使用状况,能够统计部门和个人某段时间内的互联网使用情况
10.3 解决方案
集成了包过滤和状态检测技术的防火墙,对不同信任级别的安全区域制定相应安全策略,防止非授权访问。可在防火墙设备上部署防病毒、网流分析等业务模块; IPS集成漏洞库、专业病毒库、协议库的IPS产品,特征库数量已达上万种,并保持不断更新,能精确实时地识别并防御蠕虫、病毒、木马等网络攻击。通过对防火墙和IPS的有机结合和功能互补,为用户提供2-7层的全面安全防护,有效的抵御来自网络边界的各种安全风险。
最近调查显示,NetFlow的采用率正在不断上升。NetFlow能够为用户提供有关特定应用在哪里被使用、为什么被使用、被如何使用以及被谁使用,以及这种使用有可能如何影响网络的信息。NetFlow提供IP源地址、IP目的地址 、源端口、目的端口、三层协议类型和服务级别信息。
几年来,服务提供商一直使用NetFlow。它们一直被NetFlow的如下特点所吸引:它在大型WAN环境里所具有的伸缩能力;它能够帮助支持对等点上的最佳传输流;它可用来进行建立在单项服务基础之上的基础设施最优化评估;它在解决服务和安全问题方面所表现出来的价值;它能够为服务计费提供基础。
NetFlow所具备的捕获异常通信流量的能力对于蠕虫、拒绝服务攻击以及其他与安全相关的问题的报警很有价值。此外,第三方产品也通过诸如应用服务器映射和旨在根据广泛的WAN部署进行调整的包分析技术之类的方法,提高了NetFlow识别独特应用数据流的能力。NetFlow/IPFIX所具备的与众不同的特点就是它的内在优势:能够利用当前基础设施捕获大型的且通常是分布式网络上的普遍存在的连接特定的通信行为。
网络准入控制(NAC) 进行了专门设计,可确保为访问网络资源的所有终端设备(如PC、笔记本电脑、服务器、智能电话或PDA等)提供足够保护,以防御网络安全威胁。作为著名防病毒、安全性和管理产品制造商共同参与的市场领先的计划,NAC引起了媒体、分析公司及各规模机构的广泛关注。
通过运行NAC,只要终端设备试图连接网络,网络访问设备(LAN、WAN、无线或远程访问设备)都将自动申请已安装的客户端或评估工具提供终端设备的安全资料。随后将这些资料信息与网络安全策略进行比较,并根据设备对这个策略的符合水平来决定如何处理网络访问请求。网络可以简单地准许或拒绝访问,也可通过将设备重新定向到某个网段来限制网络访问,从而避免暴露给潜在的安全漏洞。此外,网络还能隔离的设备,它将不符合策略的设备重新定向到修补服务器中,以便通过组件更新使设备达到策略符合水平。
间谍软件可以被黑客和身份窃贼用于记录敏感信息,例如用户名、密码和信用卡帐号,或者窃取敏感的公司信息。信息失窃是企业面临的最主要的安全挑战之一,可能会造成严重的财务损失。比间谍软件更为常见的广告软件包含了与免费软件捆绑的营销程序,旨在为用户的计算机提供弹出广告,将用户转移到某个向广告软件开发商提供许可的搜索引擎。
HIPS采取了一种预防性的方法,利用基于行为的安全机制防范针对主机的恶意活动。破坏性活动会被检测和拦截,不管存在什么类型的间谍软件或广告软件 ,HIPS是预防信息失窃解决方案的重要组成部分。
与只能提供单点防护(而且只有在特征已知时)的其他技术相比,HIPS可以在入侵的所有阶段主动防范对主机的破坏,从而提供多层防御。HIPS采用了独特的设计,可以在特征未知的情况下防范新型攻击。
当某个应用试图执行某个操作时,HIPS会按照应用的安全策略检查该操作,就是否允许操作继续执行实时制定一个“允许”或者“拒绝”决策,判断是否应当记录该操作请求。安全策略是一组由IT或安全管理员分配的、用于单独或者在整个企业的范围内保护服务器和台式机的规则。这些规则为用户提供了一个安全的网站浏览环境。HIPS可以通过在服务器和台式机的缺省策略中汇总多种用于部署分布式防火墙、操作系统锁定和完整性保障、恶意移动代码防护和审核事件搜集功能的安全策略,提供针对间谍软件和广告软件的深入防御功能。
网络安全响应分析系统对网络和安全设备进行统一管理,通过对海量信息的采集、分析、关联、汇聚和统一处理,实时输出分析报告,帮助管理员及时地对网络安全状况进行分析与决策。
ISA Server 2006 是一种集成的边缘安全网关产品,在使您的用户对应用系统和数据进行快速而安全的远程访问的同时,有助于保护您的 IT 环境免受来自基于 Internet 的威胁。
基于Microsoft ISA Server的上网行为管理系统,能够有效的对Web浏览,FTP下载,电子邮件收发等网络行为进行监控。管理人员使用该软件能够随时了解本单位的互联网使用状况:能够实时查看到当前正在进行的网络传输;能够统计部门和个人某段时间内的互联网使用情况,计算出相应的流量和上网时间,并能够简单计费;还能够对所有进出内外网的电子邮件进行监控和备份。
第11章 网络行为监管解决方案
11.1 用户需求
互联网上的应用层出不穷,P2P技术、即时通讯、网络游戏、在线炒股等应用极大的丰富了用户的个人生活,但是如果在工作时间使用这些软件,就会造成带宽滥用、工作效率下降、安全隐患等一系列的问题。因此针对用户的行为监管解决方案,就需要能深入识别用户行为,细粒度的进行控制。传统的解决方案只能进行比较粗放的控制,无法满足日益变化的各种应用。
11.2 解决方案
行为监管解决方案能同时对用户行为进行管理、控制和审计,采用应用控制网关ACG、防火墙、安全管理平台组成,通过行为识别、行为控制、行为审计三个方面,实现对用户上网行为的监管,并且通过不断升级的特征库,可以及时的识别各种新的应用。
- 应用控制网关,可针对P2P/IM、网络游戏、炒股、非法网站访问等行为,进行精细化识别和控制,有效解决带宽滥用、访问非法网站感染病毒等问题。
- 安全管理平台,可对应用控制网关检测出的网络安全事件进行深入分析并输出审计报告,同时收集防火墙发送的NAT日志,帮助管理员全面了解用户行为和流量趋势,为加强整网安全、满足合规性要求提供决策依据,并且能够与用户管理平台联动,准确获得用户信息。
- 用户管理平台,对接入用户进行身份认证,从而能够准确识别接入网络的用户。
11.3 方案特点
全面的P2P/IM应用控制:通过应用控制网关,可精确识别BT、电驴、迅雷、MSN、QQ、Yahoo Messenger、PPLive等近百种P2P/IM应用,可基于时间、用户、区域、应用协议,通过告警、限速、阻断等手段进行灵活控制,保证网速的正常和业务不被影响。
用户非法行为管理:应用控制网关采用先进的分析技术,能对网络多媒体、网络游戏、炒股等应用进行识别与控制,提高员工工作效率。通过URL过滤等访问控制策略,控制非法应用,过滤非法网站,规范用户上网行为。
基于用户的应用流量分析及行为审计:进行用户身份认证后,用户管理平台上记录用户接入信息,当安全管理平台进行应用流量分析及行为审计时,能够通过联动用户管理平台深入分析到明确的接入用户的身份信息,为管理员进行流量管理提供有力依据。
11.4 应用价值
行为监管解决方案,可以为用户带去以下商业价值:
1、流量控制:针对网络中的各种P2P流量进行阻断或限流的操作,防止由于P2P造成带宽的滥用和网络的堵塞,保证合法业务的正常开展。
2、提高工作效率:针对即时通讯聊天、网络游戏、在线炒股等行为的控制,可以避免员工在工作时间做与工作无关的事情,让员工专心于工作,提高工作效率。
3、病毒抵御:许多的非法网站包含各种恶意代码,用户一旦访问很容易感染各种病毒。通过对非法网站的过滤,可以避免感染病毒。
4、网站访问监控:过滤色情、赌博、反动等非法网站,同时可对通过论坛、邮件传播的反动言论进行过滤和监控,避免由此造成的政治问题。
5、合规要求:管理员可通过对用户行为的分析和审计,了解网络应用状况,在发生问题后可以追根朔源,满足公安部82号令要求。
6、易于部署:行为监管解决方案部署在网络出口,无需在PC机上安装客户端软件,无需更改主机配置,就可进行用户行为监管。
在互联网越来越普及,应用越来越丰富的今天,通过行为监管解决方案,帮助用户合理的分配网络资源,提供高效而又安心的网络环境,规范用户上网行为,满足国家的法律法规要求。
第12章 数据安全系统解决方案
12.1 系统概要
随着计算机、存储设备及网络的快速发展,电子信息已经成为企业重要信息载体,我们的沟通方式也越来越多样化,如邮件、即时消息、移动存储等等,但在提高我们工作效率及质量的同时,也带来了新的问题,如何在信息技术高速发展及人才频繁流动的今天保证我们的系统及企业信息安全。病毒防护、外部访问控制、内外网物理隔离以及其它针对外部网络的访问控制系统,难以解决内部的信息安全问题,数据备份、灾难恢复可以防止系统损坏造成信息丢失,但内部人员可以轻松地将计算机中的机密信息通过各种方式泄露出去,这种数据流失给企业造成的损失是致命的,也是更难防范的。
12.2 用户需求
技术人员频繁的流动,如何保证企业中核心的技术资料不会流失?员工出差、加班需带走大量的企业核心数据,如何保证不会泄露出去?企业间的合作越来越紧密,如何保证给到合作单位数据的安全?如何防止内部人员有意或无意中造成企业的经营、财务等机密文件扩散?超级黑客突破防火墙是否就可以拿到企业核心数据?
12.3 解决方案
通过在服务器端安装加密和管理程序、在客户端安装客户端程序,在不知不觉中用户保存的文档自动加密,加过密的文档在企业内部流通一切正常,对于非法流出企业的文件,打开时看到的只是乱码文件,确保了企业数据的安全。
系统结构图如下:
12.4 用户受益
企业的知识财产是无价的,通过上述解决方案的实施,可以为企业修建一道严密的防御体系,时时刻刻守护着企业宝贵的知识财产。
第13章 数据存储系统
13.1 系统概述
计算机的主存储器不能同时满足存取速度快、存储容量大和成本低的要求,在计算机中必须有速度由慢到快、容量由大到小的多级层次存储器,以最优的控制调度算法和合理的成本,构成具有性能可接受的存储系统。
13.2 用户需求分析
信息以爆炸式速度快速增长,并且越来越多的信息在业务/任务中起到关键性作用!大部分数据中心的信息增长率平均都在50%和60% 之间。而且没有下降的趋势,虽然增长率不变,但基数却是最初的指数倍,十年之后,我们就得用EB(千兆兆字节)来衡量容量了。如何安全高效的储存这些业务的关键性数据?
13.3 解决方案
数据存储是有效解决问题的最佳方式,目前流行的存储方法:
- 网络连接存储 (NAS),用于共享和协作高可用性文件
- 内容寻址存储 (CAS),用于存储和检索固定内容(即,最终形式的信息,如归档的电子邮件和 MRI)
- 存储区域网络 (SAN),用于需要优化的事务处理性能的业务和技术应用程序
对于需要存储区域网络、网络连接存储、内容寻址存储或各种组合的需求,通过集成所有三种技术,使其在存储环境下实现无缝协同运行。
SAN方式用以整合孤立的服务器:
- 使用 SAN,可通过光纤通道/或 iSCSI 在数据中心、部门或远程位置进行部署。
- 能够支持多个应用程序层。
- 可通过 FC 或 iSCSI 整合 DAS 存储。
- 支持主要的备份应用程序。
- 可进行本地和远程复制。
NAS可分为以下两种:
- 集成版 NAS,将 NAS 头部和专用存储合并到同一解决方案包中。
- 网关版 NAS,指的仅是 NAS 头部,这些平台都可以访问外部存储器。网关版 NAS 允许后端存储在 NAS 和开放主机之间共用,提高了存储利用率并且整合了管理。网关版 NAS 非常适合于现已经拥有 SAN的用户。
CAS 用于文件系统归档以及连接不同的应用程序源:
内容寻址存储也可以连接到 IP 网络。它不是基于数据块或文件,而是基于对象和内容地址。专用于以活动归档的形式运行,整合需要联机存储的少量活动数据,这样需要时可以更轻松地检索。因此 CAS 本身也是一项技术,可以整合某种类型的信息。
第14章 数据备份与容灾系统
14.1 系统概述
数据备份是数据高可用的最后一道防线,其目的是为了系统数据崩溃时能够快速的恢复数据。虽然它也算一种容灾方案,但这种容灾能力非常有限,因为传统的备份介质也在机房中统一管理,一旦整个机房出现了灾难,如火灾、盗窃和地震等灾难时,这些备份介质也随之销毁,起不到任何容灾功能。
真正的数据容灾是异地的,避免传统冷备份所具有先天不足,它能在灾难发生时,全面、及时地恢复整个系统。无论是采用哪种容灾方案,数据备份还是最基础的,没有备份的数据,任何容灾方案都没有现实意义。但光有备份是不够的,容灾也必不可少。
14.2 用户需求
下图看出导致数据丢失或损坏的风险无处不在,如何保护我们脆弱的数据,成为IT管理人员头疼的问题。
14.3 解决方案
数据备份和数据容灾无疑是解决以上问题的切实可行的方法。数据备份和数据容灾有很多的方法和方式可以实现,但无论哪种方式,均需软件和硬件相结合,如下图:
基于网络的备份(如下图):
基于SAN的虚拟磁带库备份解决方案:
数据容灾使用数据归档、重复数据删除、数据备份、快照、虚拟带库等多种技术以最佳方式解决传输带宽、时间等多方面的要求。 最终使得数据安全、可靠、完整的传输到远程的容灾中心。其整个结构如下图:
第15章 数据中心的虚拟化
15.1 系统概要
虚拟化正成为数据中心广泛应用的技术。虚拟化可以有效减少服务器数量的增加速度,简化服务器管理,同时明显提高服务器利用率、网络灵活性和可靠性。通过虚拟化技术的使用,用户将可能将多种应用整合到少量企业级服务器上而仍然保持高可靠性和灵活性,从而提升IT系统适应业务变化的能力。
15.2 用户需求
数据中心运行的应用越来越多,但很多应用都相互独立,而且在使用率低下、相关隔绝的不同环境中运行。每个应用都追求性能的不断提高,使得数据中心拥有多种操作系统、计算平台和存储系统。造成了数据中心的运行效率低下,在现有的资金条件下无法提高各个系统的安全性,资源使用率低下等问题,这些问题成为数据中心管理者头疼的问题。如多个应用能在同一台服务器上运行将根本解决以上的问题,但是多种业务集成在一台服务器上,安全如何保证?而且不同的业务对服务器资源也有不同的需求,如何保证各个业务资源的正常运作?
15.3 解决方案
为了解决这些问题,虚拟化应运而生了。虚拟化指用多个物理实体创建一个逻辑实体,或者用一个物理实体创建多个逻辑实体。实体可以是计算、存储、网络或应用资源。虚拟化的实质就是“隔离”,将不同的业务隔离开来,彼此不能互访,从而保证业务的安全需求;将不同的业务的资源隔离开来,从而保证业务对于服务器资源的要求。虚拟化实现方式就是将物理服务器、操作系统、及其应用程序“打包”为一个档案-可移动的虚拟机(VM)。
简单讲就是一个物理服务器上运行多个虚拟机,这些虚拟机共享底层硬件,从应用的角度看就像是一个物理服务器,有自己的操作系统,cpu, memory, nic, storage,虚拟的资源。其实,也就是将物理服务器、操作系统、及其应用程序“打包”为一个档案, 称为虚拟机(VM),虚拟机是可移动的,可以提高服务器的利用率;同虚拟机支持操作系统的和数据的备份、实施更加灵活。
15.4 虚拟化的特性与优势
虚拟化的特性:
- 分区,在单一物理服务器上同时运行多个虚拟机
- 隔离,在同一服务器上的虚拟机之间相互隔离
- 封装,整个虚拟机都保存在文件中,而且可以通过移动和复制这些文件的方式来移动和复制该虚拟机
- 相对于硬件独立,无需修改即可在任何服务器上运行虚拟机
虚拟化的优势:
虚拟化前
- 每台主机一个操作系统
- 软件硬件紧密地结合
- 在同一主机上运行多个应用程序通常会遭遇沖突
- 系统的资源利用率低
- 硬件成本高昂而且不够灵活
虚拟化后
- 打破了操作系统和硬件的互相依赖
- 通过封装到虚拟机的技术, 管理操作系统和应用程序为单一的个体
- 强大的安全和故障隔离
- 虚拟机是独立于硬件的, 它们能在任何硬件上运行
第16章 桌面系统的虚拟化
16.1 系统概要
桌面虚拟化技术简单说就是将分散的桌面操作系统及应用集中到数据中心,由后台服务器定制出不同的虚拟环境,而终端用户则通过浏览器连接服务器,通过特定的协议来获取希望得到的虚拟环境。数据中心的服务器根据不同的需求和权限保存了用户所需的环境镜像,为其分发包括操作系统和个性化应用。此时,IT管理人员拥有了在数据中心集中管理桌面应用、对桌面应用实现统一配置与管理的能力。不同职位和岗位的员工将获得相应的个性化界面,而所有的操作都是在虚拟环境下完成的,本地终端并不需要很强的计算能力,而数据视定制策略会部分或全部回传到数据中心。
16.2 用户需求
PC机硬件和用户分布广泛,而且用户在访问桌面环境时的位置无关性要求越来越高。在这种情况下,集中化的PC机管理极其困难。虽然PC机硬件成本相对较低,但却常常抵不过高昂的PC机管理与支持成本。软件部署、更新以及打补丁都属于随时都要进行的PC机管理工作。由于需要针对各种各样的PC机配置进行部署测试与审核,这种管理实属劳动密集型工作。而标准化的缺乏,再加上需要支持人员亲临现场来提供故障处理支持,同样也提高了支持成本。如何确保PC机上的数据能够成功得到备份,如何在PC机故障或者文件丢失时能够对这些数据进行恢复。这个问题实在棘手。即使数据成功地得到了备份,PC机的失窃风险仍然会威胁到重要数据的保密性。
16.3 解决方案
桌面虚拟化可以解决这些难题。桌面虚拟化使企业能够集中管理完整隔离的台式机环境,这些环境易于管理并始终处于可用状态,可以通过Internet连接从任何位置安全地访问。
客户可向周围移动虚拟机,与移动文件非常类似。客户会建立一个虚拟机的集合,即此处显示的虚拟台式机。每个虚拟机都具备拥有所有必需软件的完整PC环境。IT部门通常将这些虚拟台式机存储到 SAN中,并从中心位置对其进行管理。管理软件会跟踪虚拟台式机,确定哪些在特定服务器上,并对它们进行调配,可使桌面系统实现高可用性和灾难恢复。
当最终用户访问分配的台式机时,他们会使用像远程桌面这样的远程显示软件来连接。用户管理 API 会处理最终用户 PC 或瘦客户端与虚拟台式机之间的连接仲裁和会话管理。最终用户会连接到已配置了某些策略(例如使用的最长连接时间)的指定虚拟台式机。远程连接通过加密和密码保护进行安全保护。
最终用户会看到台式机环境的窗口,将其作为真正的 PC 桌面使用。所有的 CPU 活动在数据中心完成,而非最终用户的 PC。
16.4 桌面虚拟化的优势
- 利用集中式封装文件可更轻松地管理桌面
- 可为桌面用户提供刚好足够的服务器
- 在服务器之间无缝移动独立于硬件的桌面
- 桌面完全隔离,同时无需更改应用程序
- 具有以前不具备的桌面灾难恢复功能
第17章 链路负载均衡解决方案
17.1 系统概要
在网络中心的外网链路上,一般会建议引入两个独立的ISP线路(比如电信和联通)用于连接Internet,一般在Internet线路和防火墙之间可以部署一台链路负载均衡产品用于链路的优化。
通过链路负载分担功能,能够对具备多链路的数据中心提供链路负载分担功能,解决多链路下流量分担的问题,并实现故障链路的自动切换,保持对终端用户的透明。
17.2 解决方案
通过链路负载分担功能的应用,能够充分利用多条链路资源,使访问用户得到最佳的访问链路效果。首先链路负载均衡产品能够智能对这类访问请求进行判断,当用户对此类IP地址的资源发起访问时,能够通过预先判断多条链路的运行状况和带宽利用情况,使内部用户通过最快的链路进行此类应用的访问,在保证用户访问质量的前提下,最大程度的利用两条链路资源,避免了链路拥塞情况或一条链路空闲而另一条链路很繁忙的情况发生。并且当多条链路中的任何一条出现故障时,产品能够即时发现,并将接下来的用户访问请求自动转发到另一条正常的链路中,而用户在访问过程中不会感觉到链路切换的变化,真正实现了链路冗余和智能故障切换功能。
- 策略路由
可以设置基于用户数据包源IP/Port、目标IP/Port的策略路由,通过该功能可以人为的对特殊的流量进行规划,比如某个应用系统需要比较高的数据传输带宽,而多条Internet链路的带宽存在不均衡性,管理员可以选择一条带宽更高的链路承载这个应用的数据流量。
- Dynamic Detect Method(动态路径选择算法)
为了优化流出的流量,链路负载均衡产品还为流出的流量实施最快响应时间运算。如果内部主机要访问某一Internet站点,可能通过一个运营商的路径比通过其他运营商的路径有效。因此,可以提供最短响应时间算法,为流出到某一个站点的流量选择最佳的运营商路径,保证数据最快到达目的地。
互联网用户访问网站服务器流量的优化
链路负载均衡首先会将网站服务器在电信和联通线路上各映射出一个可供用户访问的地址。
而当Internet用户如果访问内部的网站等服务器时,客户端会向链路负载均衡产品发起对服务器域名的DNS请求。链路负载均衡产品,能够自动判断访问用户是从哪个网络发起的访问请求,并进行智能域名解析功能实现:根据用户所处的网络是联通或电信网络,智能的返回给用户相同网络的域名解析结果IP,保证用户能够通过最优的链路访问应用系统。
依靠链路负载均衡产品针对相同的网站域名返回不同的IP值,确保电信用户通过电信线路访问网站服务器,而联通用户会通过联通线路访问网站服务器。在保证了访问速度的同时,充分利用了各个链路的资源。
链路负载均衡产品支持的丰富的链路负载均衡算法,可以根据以下的原则来返回DNS请求:
- Round Robin
顺序的将多个ISP的IP地址作为每次用户解析请求的返回值。
- Weighting Round Robing
为每个ISP的IP地址设定一个加权值,并根据加权值顺序的选择多个ISP的IP地址作为每次用户解析请求的返回值,权值大的ISP的IP地址被选择的次数多。通过此算法,企业可以在多条带宽不同的链路间合理分配流量,带宽高的链路权值大,因此承载的流量就高。
- Shortest Response Time
对于流入的流量,使用与流出流量相同的最短响应时间判断机制,选择最佳的流入流量传输路径,进行最终的解析地址。
- Source IP-Based Routing
根据企业网络的特点,还提供基于每个数据流的源IP地址的路由选择算法。会检查每个用户解析请求的源IP地址是否属于预先设定的一个地址范围,若是,则选择某一个ISP的IP地址作为该次用户解析请求的返回值。通过此算法,企业可以设定源IP地址属于电信范围的,通过电信的链路流入,其他流量则通过另一条链路流入。
其他链路优化功能
- 运营商Internet接入链路网关健康检查
在多Internet出口网络中的一个主要作用是检测运营商链路的可用性,即健康状况。因此,链路负载均衡产品提供了通过ARP的方法检查运营商链路网关状态的功能,从而保证多条数据链路的正常,提高服务质量。
- 路径健康检查
访问Internet的可靠性不仅仅是由运营商网关路由器提供的链路状况决定的,而是由整个数据流经的路径决定。因此,链路负载均衡产品提供了路径健康检查的功能,从而保证整条数据路径的正常,提高服务质量。例如用户可以设置透过某运营商的路由器同时去检查运营商上游的某个网络设备状态。只有当所有这些网络设备都无法检测通过时才会认为该链路已经DOWN掉,然后APV可以将用户所有流量导向到其它可用链路,从而继续保持客户连接。
通过链路负载均衡产品提供的链路状态报表,可以很直观的了解链路使用的相关信息。
第18章 服务器负载均衡解决方案
18.1 需求分析
服务器负载均衡技术在现有网络结构之上能够提供一种廉价、有效、透明的方法,用以扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性,其价值在于建立有效的负载均衡机制与健康检查机制。在方案的整体规划和设计时必须考虑到各个应用系统服务器群的优化和高可用性保障,主要是指以下几点:
1、使数据始终以一个稳定、安全的方式处理系统,即便存在单台服务器不能提供服务时,仍能保持整体服务器群数据的完整性。通过服务器负载均衡技术,使整体应用持续稳定运行,即便发生单点或多点故障仍然能够保证正常提供服务。
2、使整个网络环境能够更好的被管理,负载均衡设备本身需要提供容灾集群(cluster)功能、服务器集群共享、应用和后台服务器方便维护等特点。
3、在保证数据完整性的同时,提供持续运行的能力,并实现当用户量的增大时,在不影响应用的情况下,通过按需增加后台服务器或数据库服务器的方式,响应用户负载的增加。
18.2 解决方案
服务器系统建议通过应用优化器为核心来优化,两台应用优化器分别通过旁路的方式连接到核心交换机上。这两台设备互为冗余,同时又负载分担。
在服务器故障切换方面,通过多台服务器与应用优化器产品的负载分担功能和安全冗余增强功能相结合,实现稳定可靠的功能实现。
应用优化器产品对服务器实现了服务负载分担功能和应用性能增强功能。当服务器组中的所有应用服务器均正常提供服务,应用优化器设备能够隐藏后台各个服务器组的IP地址和拓扑结构,仅向访问用户提供有限的一个或几个IP地址和端口,以供用户进行访问。
在服务器组均能够正常提供服务时,应用优化器设备能够根据预先配置,将用户访问请求发送到后台最合适的应用服务器上进行处理,在实现了将大量访问负载分担到多台服务器上进行处理的同时,还可以通过增加服务器数量的方式来提高整个服务器群的处理能力和响应速度。
而服务器系统中的任何一台或几台服务器需要离线进行维护或出现故障时,应用优化器设备能够通过预先配置的多种智能健康检查机制,及时发现不能正常处理应用的应用服务器,并将接下来的用户访问请求发送到其它能够正常处理的服务器上,从而避免了由于某台服务器的故障而影响了整体业务的提供,保证了服务器系统的高可用性。
- 非持续性算法(Non-Persistent):一个客户端的不同的请求可能被分配到一个实服务组中的不同的实服务器上进行处理。主要有:轮循算法、最少连接算法、响应速度算法等。
- 持续性算法(Persistent):从一个特定的客户端发出的请求都被分配到一个实服务组中的同一个实服务器上进行处理。主要包括:
应用优化器通过对服务器的实时健康检查,保证数据流量会自动绕过故障服务器或不可用服务器。当应用优化器的健康检测机制,检测到服务器重新恢复正常以后,将使该服务器可以自动回到服务器群之中,所有这些服务器故障的处理,对进行操作的用户是完全透明的。
- 实时监控服务器应用系统的状态,并智能屏蔽故障应用系统;
- 实现多台服务器的负载均衡,提升系统的可靠性;
- 可以监控和同步服务器提供的内容,确保客户获取到准确可靠的内容;
- 提供服务器在线维护和调试的手段。
基于内存的反向代理Cache功能。通过Cache功能的应用,应用优化器系列产品能够在内存中以数据包的形式缓存各个子系统服务器页面中所有可以被Cache住的内容。当用户访问请求发送到应用优化器时,如果应用优化器内存Cache中的内容能够匹配用户的访问请求则直接由应用优化器来响应用户的访问,从而避免了对后台服务器的负载压力;在减小了后台服务器负载的同时,提高了对用户的响应速度和系统整体的处理能力。
应用优化器的Cache功能可以有效地解决增加或更换服务器的问题,同时又能减轻服务器的负担,提高性能。将应用优化器放在各个子系统服务器的前端,使静态的内容由应用优化器提供的Cache功能响应用户的请求,服务器仅处理动态的内容,可以在节约40%带宽的情况下,最大化的提高网络用户访问各个子系统的速度。
主要作用是为了改善现有系统的总体性能,其技术原理是自动实现HTTP 1.0到HTTP 1.1的转换;TCP/IP协议栈在处理长连接时具有更好的性能;将Web流量的多个短连接合并为一个长连接,改善了服务器的性能。
采用(连接复用)技术后的效果比较:
采用Connection Multiplexing(连接复用)技术,其优点在于:
- 加快了与后台服务器之间的TCP/UDP连接处理速度。
- 改善了服务器的性能。
第二篇 信息系统集成项目近年成功案例
第1章 南通市政务中心信息化系统
1.1 引言
南通市政务中心信息化系统项目建设的总体目标是运用信息技术、网络技术,基于南通市电子政务基础应用支撑平台,构建起包括网上协同审批系统、网上公共服务系统、网上招投标系统和电子监察系统等多功能、高效便捷的公众服务、政务办理和电子监察平台,从而实现行政审批等事项真正的在线办理和监察。
1.2 用户概况
南通市政务中心是拥有集政策咨询、行政办事、执法监督于一体的办事大厅。具有248个独立窗口,可受理近千项行政许可(审批)事项和办事服务事项。由于中心入驻单位众多、办理事项种类繁多,因此构建一个功能强大的信息系统是政务中心是否能形成真正意义上的“一窗式”受理、“一站式”服务、“一条龙”审批、“一门式”收费和“一表式”申报的关键系统。
1.3 用户需求
按照市委市政府的统一部署和要求,南通市政务中心整体搬迁至市民服务中心新址,整体建设水平要达到“全省领先,全国先进”。其中信息化建设作为中心的运行基础尤为重要。主要考虑从行政审批管理系统、便民服务系统、智能管理系统、软硬件支撑平台等四个方面全面加强中心的信息化建设,有力提升中心的行政效能和服务能力。
1.4 方案设计
在本次南通市政务中心信息化建设方案以网络建设为基础平台,由于应用的特殊性共建设了电子政务内网、电子政务外网、专网、语音网和数字视频监控网五套相互独立的网络系统。依托这五套强大的计算机网络系统在此之上构建了桌面计算机系统、排队叫号系统、多媒体信息发布系统、数字视频监控系统、公共广播系统、会议系统、考勤与门禁系统以及行政审批管理系统,并将行政审批管理系统、多媒体信息发布系统和排队叫号系统进行了完美的整合。
1、计算机网络系统:分为内、外、专、语音、视频监控五套相互独立的网络系统,均采用全冗余的三层架构,通过智能三层交换机可实现对全网的控制,包括根据区域或用途进行网段划分,对各网段之间的互访进行控制。接入交换机采用双光纤上联方式分别连接到主备汇聚交换机,汇聚交换机点通过光纤模块与中心机房主备核心交换机互联,尽可能的减少网络系统的单点故障,保证网络系统运行的高可靠性。
2、视频监控系统:在各个监控点安装网络摄像机(高清枪型网络摄像机1080P或720P)采集现场图像,图像清晰度可以达到1080P(1920×1080)或720P(1280× 720)。网络摄像机用双绞线通过RJ45以太网接口接入视频监控局域网。在各个监控点安装拾音器采集现场声音。拾音器的声音输出通过RVVP电缆传输,接入到对应视频监控点的网络摄像机的音频输入接口(Line In接口)。网络摄像机可以将现场的图像和声音进行混合编码压缩,通过视频监控局域网传输到大楼监控中心。在大楼的监控中心部署安装一套VM5500视频监控管理平台。VM5500视频监控管理平台负责全系统的服务请求响应(实时视频监看、云台控制、语音对讲、电子地图、录像检索\回放\下载…)、系统管理(设备管理、设备监测、权限管理、组织划分…)。监控中心根据实际的监控视频录像存储要求,配置网络存储磁盘阵列提供海量的存储空间,实现全系统的视频录像集中存储。
3、行政审批管理系统与信息发布系统、排队叫号系统完美整合:本次方案中对三系统进行统一的中间数据库的定义,实现了统一的使用界面,实时的系统更新,将排队叫号信息、服务人员信息、办事信息、办事评价信息在信息发布系统中实时发布,并实现了将评价信息、办事情况实时的反馈到行政审批管理系统和电子监察中,并通过电子监察系统在电子监察室内实现实施监管。
4、紧急广播及背景音乐系统:系统主要为各公共区域提供背景音乐广播。正常情况下可以对大楼的公共区域在休息时间播放优美的音乐,当有火灾时,消防系统送出紧急信号,可自动播放事先录好的广播,按区疏散人群。
5、会议扩声、演示系统:基于多功能会议的特点,我们设计了会议与音乐两种模式,不同的模式声音采用不同的处理方式。系统配备了发言、扩声、视频、中控等系统设备、对所有设备统一管理、满足功能需求,操作简单。
1.5 方案优势及特点
- 可靠性
要求在产品选择、系统设计、系统集成等诸多方面全面而认真地考虑系统的可靠性问题。为了突出可靠性原则,对产品的选择均应经过详细的论证和比较,同时在系统方案设计时需将可靠性列在考虑因素首位。
- 安全性
系统总体设计应从各个角度、各个方面充分考虑整个系统的安全性。布线和网络的设计上需考虑到信息系统的重要性,将相关网络物理隔离以确保信息系统的安全性,同时弱电系统中所有的重要操作必须绝对留痕,以规范管理。
- 可管理性
充分考虑到用户专业人员的数量情况,使用户内部管理人员能集中管理各个系统,能方便直观地对各个系统进行配置和调整,提高管理效率,减少管理成本。
- 可扩充性
南通市新政务中心由于入驻单位的增加及各项管理工作的不断发展,对于信息化系统的需求也将不断扩大。根据这一点,不论是在控制点数范围,还是在布线的扩充功能等,都应充分考虑。以目前合理的投资水平下,尽可能求得未来可发展可扩充的最大空间。
- 经济适用性
在系统设计时一定要坚持经济适用性原则,既不是仅从经济方面考虑而忽略了系统的先进性、稳定性和齐备的功能,也不是一味追求先进性而忽略了是否与用户的管理思想、工作流程以及实际应用情况相吻合。在设计中的原则应在确保系统成熟稳定的基础上,尽可能采用先进的技术,以提高系统的整体性价比。且在设计中,不但考虑系统实施所需要的初期投资的经济性,也考虑系统的后期的运行费用、维护费用的经济性,达到整个系统综合费用的最优化。
1.6 主要产品清单
| 类别 |
品牌 |
数量 |
描述 |
| 计算机网络系统 |
华为 |
1 |
内外网交换系统 |
| 数字监控系统 |
H3C |
1 |
高清摄像机、监控平台 |
| 排队叫号系统 |
艾瑞儿 |
1 |
|
| 信息发布系统 |
星际 |
1 |
|
| 广播设备 |
3A |
1 |
定时广播主机、吸顶音箱 |
| 会议系统 |
台电、松下 |
1 |
数字会议、投影机 |
1.7 项目实施效果及用户评价
项目实施完成后在南通市政务中心内建立一个以审批服务为核心的,与实际业务和应用基础相适应,集政务公开、预申报及审批流程处理、信息交换及与部门内部审批业务系统集成等功能于一体的行政审批综合管理信息平台,实现信息共享、网上流转、协同审批、实时监察、信息分析、绩效评估、日常办公等功能为一体的交互式、可视化的网上行政审批和电子监察系统。从而进一步规范各项审批程序,缩减报批时间,加强政务公开,提高工作效率。并通过与电子监察平台的有机集成,为电子监察提供基础数据,从技术上规范政府行政行为,增强政府的服务意识和公仆意识,优化投资软环境,构建与经济发展相适应的政府服务机构和服务机制,从而进一步强化对行政审批全过程的监督。
1.8 项目图片
第2章 南通公交智能调度系统平台
2.1 引言
随着城市规模的逐渐扩大,城市公交客流增长明显。为更好的为公交乘客提供优质的服务,根据南通市目前公交线路及车辆运营状况,建立一套完善的公交车GPS智能运营调度系统显得非常迫切和重要。该系统不仅能极大地提高公交车内乘车环境安全性,同时也能对公交车驾驶员规范操作进行实时监控,有利于减少安全行车隐患,降低安全行车风险。
2.2 用户概况
南通市公共交通总公司是南通唯一从事市(郊)区客运交通的公用事业型骨干企业,拥有营运车辆679台,营运线路65条,日发车次6100多个,全年客运量9000余万人次,年行驶里程3500万公里,公交停车场16个,撬装式加油站4座,自动化洗车台4个,万人拥有公交车11.4标台,公交出行分担率12.7%。南通公交线路全部实行了无人售票和IC卡电子收费系统,线路不断向城市功能区和交通不便的农村延伸,已形成了郊区、开发区、旅游区、市区、新村、学校、车站、繁华商业区等多个便捷的公交线网,成为纵横东西南北、辐射城乡八方的南通市客运大动脉。
2.3 用户需求
南通公交智能运营调度管理,包括:GPS智能调度系统、ERP管理系统、OA系统、公交IC卡系统、车载及场站监控系统、电子站牌系统,是集先进的GPS卫星定位技术、3G无线通讯技术、GIS地理信息技术、网络通讯技术、计算机技术、电子技术、自动控制技术、软件技术为一体的高科技项目,是公交实现生产调度信息化、自动化、智能化的高科技管理平台。
本项目实现公交GPS智能调度系统通用设备平台(硬件+系统软件)、ERP系统通用设备平台(硬件+系统软件)、车载3G视频监控及后台系统平台、场站视频监控系统平台、电子站牌系统、调度中心大屏幕显示。
2.4 方案设计
南通公交信息系统由以下应用系统组成:GPS智能调度系统、ERP管理系统、OA系统、公交IC卡系统、车载及场站监控系统、电子站牌系统、调度中心大屏及电视墙系统。
系统设备平台组成:
1、主机系统(IBM小型机及服务器)
2、存储系统(磁盘阵列、SAN交换机)
3、备份系统(磁带库、备份软件)
4、网络系统(网络安全设备、路由交换设备)
5、系统软件(操作系统、数据库)
6、车载3G视频监控、场站视频监控系统平台(平台硬件及软件)
7、电子站牌系统(平台硬件及软件)
8、其他(运维管理、附属设备等)
GPS智能调度系统,由两台IBM P520小型机、三台IBM X3650服务器、一台IBM B24光纤交换机、一台IBM DS4700光纤存储、一台IBM TS3100磁带库(与ERP系统共用),以及Windows 2008 Server操作系统、Oracle 10g数据库、网络设备等组成。
ERP管理系统,由两台IBM P520小型机、两台IBM X3650服务器、一台IBM B24光纤交换机、一台IBM DS4700光纤存储、一台IBM TS3100磁带库(与GPS系统共用),以及Windows 2008 Server操作系统、Oracle 10g数据库、网络设备等组成。
车载3G视频监控系统,由车载监控设备(支持3G实施传输的车载硬盘录像机、4台车载摄像机)、注册服务器、设备状态监控服务器、中心管理服务器、流媒体转发服务器、存储服务器组成。
2.5 方案优势及特点
公交视频监控系统通过车载音视频摄录装置将车内、外监控信息实时摄录存储于车载存储设备中。司机可通过车载终端的报警装置实现数据主动上传(通过3G无线网络)或通过公交智能调度系统中的GPS车载终端中相关营运参数的设计自动激活数据上传(通过3G网络)。同时,监控中心也可根据需要利用3G无线网络对特定车辆进行音视频、图片上传或点播。所有这些监控音视频除了能被公交总公司、及所属各营运公司共享使用外,还能方便地满足市应急指挥中心等应急处置和管理调度的视频信号联网的要求。当发生紧急事件时,可为现场指挥提供音视频及图片。另外,车载存储设备中存储的音视频数据能方便的通过相关设备下载。
公交电子站牌采用实时动态显示的LED显示屏,并且在站牌上安装了监控摄像机,可向线路各电子站牌发出最近线路及车辆到达的距离信息。电子站牌可分为三大块,最上层是该公交站点的站名,中间一层是动态显示信息的LED显示屏,最下方是途经该站点的公交线路示意图。新型公交电子站牌的主要便民服务功能有三项:一是站距预报,乘客通过实时滚动的电子显示屏能及时获悉途径该站点线路距离本站的距离;二是辅助智能调度,通过安装的监控摄像机,主管部门能及时了解站点的具体信息,进行实时监控从而进行合理的调度;三是实时监控系统,可以为维持社会治安、打击偷、盗等犯罪行为提供重要依据。
2.6 主要产品清单
| 类别 |
品牌 |
数量 |
描述 |
| 小型机 |
IBM |
4 |
P520,4-CORE 4.7GHz POWER6 |
| 光纤存储 |
IBM |
2 |
DS4700,2.4T光纤硬盘 |
| 光纤交换机 |
IBM |
2 |
B24 |
| 磁带库 |
IBM |
1 |
TS3100 |
| 备份软件 |
IBM |
1 |
Tivoli Storage Manager |
| 服务器 |
IBM |
9 |
X3650M2 |
| 核心交换机 |
H3C |
1 |
S7506E |
| 车载监控系统 |
三利 |
722 |
3G车载硬盘录像机、车载显示器、车载摄像机 |
| 场站监控系统 |
H3C |
1 |
VM5500 IP数字监控平台 |
| 电子站牌 |
定制 |
84 |
LED站距发布、3G视频监控 |
2.7 项目实施效果及用户评价
公交车载智能系统有利于维护南通城市公共交通治安稳定,打击和震慑公交车上扒窃等违法犯罪活动,提高公交司乘人员服务品质和工作效率,预防和扼止各类案件(事故)的发生,建立重要的公交治安安全防范机制。并且解决了资料实时保存和事故取证的难题,保障工作人员和乘客的双方利益。
据公交领导介绍,车载系统的应用,使得调度人员时刻都能够直观、全面地掌握车辆调度运行的各种状态及参数,实时、清晰的调度管理界面使工作效率大大提高,特别在处理紧急事故时可以借助各类实时数据以及视频监控图像,快速做出判断,及时处置。
2.8 项目图片