服务器与存储中心局域网核心交换机三层交换机通信服务器定位服务器

图4-2集中式网络结构示意图

4.1.5.2 服务器与存储

采用多台高性能的刀片式服务器作为GIS数据库服务、RS数据服务器、MIS数据库服务器、应用服务器和备份服务器。

采用1台磁盘阵列互为镜像做为大容量存储系统，并采用双控制器，搭建后台的SAN网络环境，满足数据的高速传输及备份性能的需求，提供存储设备、磁带库和服务器的双链路接入，提高可用性，提供充足的端口和解决存储管理中任何单点故障，实现LAN-free备份和服务器与存储资源的整合。

数据库服务器：采用刀片式服务器，在条件允许的情况下建议采用小型机双机系统，采用集群与负载均衡策略配置。

应用服务器：采用刀片式服务器集群方案，一是考虑可靠性，二是考虑可扩展。

12

配置说明：每台服务器配置2块HBA卡连接SAN交换机，同时配置千兆网卡接入核心交换机；数据库服务器和应用服务器均作集群及负载均衡，将来视情况不断进行扩展；1台服务器作为备份服务器。

通信服务器负责实现与手机、GPS终端等的通信联系，定位数据服务器负责接收和处理GPS定位信息。

通信服务器、定位数据服务器均由专线接入。 4.1.5.3 网络设备配置

a. 中心交换机

核心层是输电设施巡检巡修综合管理平台网络系统的主干。其上承载了众多服务、应用系统，有大量的服务器，各个应用系统之间可以划分不同的VLAN进行逻辑隔离。网络中心作为公共服务平台应用服务系统和数据传输枢纽，需要高性能、高可用性和安全性。

在中心部署两台48口千兆核心交换机，采用全分布式的线速转发方式，并支持扩展到万兆级别。配置实现双设备、双核心；双电源冗余互备，支持热插拔。

b. 二级交换机

在骨干层部署二级交换机，通过光纤连接机房的集群交换机。二级交换机应具有有三层交换功能，并在输电中心的各个业务职能节点之间可以划分不同的VLAN进行逻辑隔离。

c. 路由器

路由器是建立局域网与广域网连接的桥梁。采用两台企业级路由器互为备份。 所谓的路由器自身的备份技术是为了解决路由器由于自身硬件（如内存、CPU）或软件IOS的某种故障或局域端口的故障，所连接局域设备的端口或线路的故障所导致的网络瘫痪的问题。

路由器的备份要求至少有一台与正在工作的主路由器功能相同的路由器，在主路由器瘫痪的情况下，以某种方式代替主路由器，为局域网用户提供路由服务。

d. 入侵检测与漏洞扫描设备

入侵检测是防火墙的合理补充，帮助系统对付网络攻击，特别是来自于防火

13

墙内部的恶意攻击，它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供 对内部攻击、外部攻击和误操作的实时保护。

网络漏洞扫描器通过远程检测目标主机TCP/IP不同端口的服务，记录目标给予的应答，来搜集目标主机上的各种信息，然后与系统的漏洞库进行匹配，如果 满足匹配条件，则认为安全漏洞存在；或者通过模拟黑客的攻机手法对目标主机进行攻击，如果模拟攻击成功，则认为安全漏洞存在。

主机漏洞扫描器则通过在主机本地的代理程序对系统配置、注册表、系统日志、文件系统或数据库活动进行监视扫描，搜集它们的信息，然后与系统的漏洞库进行比较，如果满足匹配条件，则认为安全漏洞存在

4.1.6 安全性设计

4.1.6.1 设备安全设计

根据需求，设备的安全性设计主要体现在以下几个方面： a. 应用系统安全

系统设计时首先要提供身份认证和访问控制，防止内部人员（也就是合法用户）滥用权力。并且要有安全审计和数据灾难备份手段。用户对系统进行重要的和不可修复的操作时系统需要完整记录用户的操作日志，并提供一定的容错能力，保证在系统故障时可以恢复数据。

b. 计算机主机系统安全

在整个系统网络中，各主机都通过网络互相连接，因此要保证操作系统安全。每台主机需要安装必要的杀毒软件，并去除不必要的配置，保证操作系统的安全运行。

c. 网络安全

在整个系统的局域网络中，既需要保证正常数据的网络带宽，也要保证不发生网络灾难。系统网络需要部署防火墙和入侵检测系统。

d. 环境安全

14

系统、机房、设备地线布设到位，注意屏蔽体接地，电缆屏蔽层接地、电缆印制板接地等。

为使机柜、监控台的机壳、插箱、屏蔽盒等达到好的屏蔽效果，在结构设计中，使机壳很好地电联接是十分重要的。

系统结构合理布局，易互相干扰的设备拉开一定的距离，对某些易受干扰的信号走线采取单独布线。

路由器、交换机、服务器、工作站等设备及工作环境安排人员定期打扫。 4.1.6.2 信息安全设计 4.1.6.2.1 系统安全体系结构

由于本系统涉及军事应用的敏感性，存在非法访问和蓄意破坏的可能性。因此为了保护我方信息，保证信息的机密性、完整性、可用性，防止信息的泄密、扩散、破坏和非授权访问，应需要建立相应的信息安全系统。系统安全层次结构见下图所示。

服务器应用层1.安全管理应用和系统安全策略设置2.特定任务应用中的安全机制3.公共安全应用（E-Mail、FTP、DB应用）4.应用层用户认证授权服务器、访问控制5.端端加密安全应用编程接口客户端应用层API应用平台操作系统安全服务API应用平台操作系统安全服务1.操作系统安全策略2.可核查性：用户身份认证，审计与告警3.可信系统接口（系统安全通用支撑模块）4.访问权限控制（操作系统、数据库）5.防病毒软件网络接口1.VPN技术 2.可信网络接口 3.路由访问控制4.包过滤防火墙 5.双穴主机防火墙网络接口 图 4.1-3系统安全层次结构图

随着信息技术的发展，非法入侵者入侵技术将不断提高，手段也将日益翻新，这是建立安全系统面临的最大问题。系统安全机制的建立是一个持续不断的过程，存在于系统的整个生命周期内。在系统的设计研制过程中，不仅要统一考虑，周密设计，建立严密的安全机制，同时，也要建立安全机制的持续完善制度，保

15