湖南省县级国土资源局数据中心与网络建设方案.doc

1、湖 南 省 县 级 国 土 资 源 局数 据 中 心 与 网 络 建 设 方 案湖南省国土资源厅信息化工作办公室二八 年 七 月目 录1. 前 言2. 目标任务2.1 基本目标2.2 配置要求3. 建设依据4. 建设内容5. 综合布线5.1 位置选择5.2 信息点和交换机5.3 布线设计5.4 主机房6. 网络系统6.1 总体结构6.2 网络结构6.3 网络核心层6.4 网络接入层6.5 服务器区（数据中心）7.安全系统7.1 安全配置7.2 安全管理8. 计算机机房8.1 机房装饰设计8.2 供、配电系统设计8.3 防雷系统设计9. 经费概算1、前言数据中心和网络系统是国土资源电子政务运行的

2、基础，是各级国土资源信息远程交换与共享的基础平台。全省国土资源工作会议上省厅明确要求今年底要实现省、市、县三级联网。国土资源部在2008 年 6 月召开的国土资源业务网建设研讨会上，也提出了 2008年年底实现我国中东部地区联网到县的基本要求。2、目标任务2.1 基本目标根据国土资源部和厅党组的要求，建设好县级国土资源数据中心和网络系统，在 2008 年底前实现国家、省、市、县四级联网，基本形成全省国土资源信息交换体系，为全省电子政务的运行提供基础保障。2.2 配置要求方案一：基本配置，主要配置以下内容：（1）至少保证 1 套与互联网物理隔离的内网，1 台路由器与市局联网；（2）至少配置 3

3、台内网服务器，其中数据库服务器配置 RAID和 2T 以上存储空间；（3）1 台物理隔离网闸保证联网安全，1 套网络版杀毒软件保证终端桌面安全；（4）具有基本防尘、防潮和控温的简易机房，1 组机柜存放设备，有简单的防雷措施；（5）每个办公室至少有 1 台可以上内网的计算机。方案二：标准配置，有条件的县局可以在基本配置的基础上加配以下设备：（1）有内外网物理隔离的两套局域网。（2）选配网管服务器、备份系统、SAN 存储网络等。（3）内网增配防火墙、内网安全管理等安全设备。（4）计算机配置双硬盘和物理隔离卡。3、建设依据计算机信息系统安全保护等级划分准则（GB 17859-1999）全国国土资源信

4、息网络系统建设规范电子政务工程技术指南电子政务保密管理指南湖南省金土工程一期建设方案市、县级国土资源数据中心建设指南建筑与建筑群综合布线系统工程设计规范（GB/T 50311-2000）建筑与建筑群综合布线系统验收规范 （GB/T 50313-2000）通信局（站）接地设计暂行技术规定 （YD/J 26-1989）4、建设内容1、综合布线。信息点分布和数量应能满足未来 10 年内的需求，避免短期内重复施工。网络主干基本配置选用超五类线，可选配置为光纤。水平线应符合超五类以上标准。光纤、水平线接口模块和面板需符合国家标准 GB/T 50311-2000 建筑与建筑群综合布线系统工程设计规范。选用

5、的电缆、光缆、各种联接器、跳线和配线等所有配件，均应符合 ISO/IEC 11801建筑物通用布线国际标准。内网和外网应分别布线，达到物理隔离和防电子辐射的技术要求。部分县市外网可用无线局域网，但要加强管理，严禁用于内网。根据国家有关保密规定，涉密内网的建设应该由具有涉密系统集成资质的公司实施。2、网络系统。国土资源局域网包括政务内网和政务外网两套局域网，按照国家保密要求建设，内外网严格物理隔离。数据中心所使用的局域网络为同级国土资源政务内网。政务内网用于运行内部办公系统、基础数据和业务数据存储管理，通过路由器和网闸接入国土资源信息专网，实现国家、省、市、县四级国土资源信息共享和交换。政务外网

6、接入国际互联网，为社会提供国土资源信息服务。有条件的或有自己的外网服务器的，须配防火墙。3、数据中心包括服务器和存储设备。服务器是数据中心的核心设备，提供数据存储、数据处理、网络应用、国土资源管理应用和其他服务。服务器可划分为数据库服务器、应用服务器、数据备份服务器、网管服务器等。数据存储备份系统用于存储和备份各类国土资源数据，使用数据库服务器上的阵列，有条件的县局可以采用磁盘阵列直接存储。4、安全系统。信息安全系统建设是系统安全运行的重要保证，包括防火墙、网闸、防病毒软件和相应的安全管理措施等。按照中华人民共和国国家标准计算机信息系统安全保护等级划分准则（GB 17859-1999），国土资

7、源内网局域网络应达到第三级安全标记保护级。入网的安全设备必须通过国家保密局、中国国家信息安全测评认证中心的认证和公安部的销售许可，并符合国家相关法律的规定。5、综合布线5.1 位置选择原则上应在办公大楼中间楼层选择合适面积的房间作为中心机房，如果承重达不到设计要求时，也可选在一楼。根据单根网线最大距离不超过 100 米的限制，在大楼的合适位置选择若干个配线间。5.2 信息点和交换机每间办公室至少保证一个内网点，外网点视条件许可自定。会议室保证内、外网各有24 个信息点。暂无条件建设两套网络的，原则上优先建设内网。所有的布线都应严格遵循图纸要求布设。信息点较少的县局可以采用 24 口交换机，信息

8、点较多的县局可选择有堆叠功能的48 口交换机。5.3 布线设计对于楼层超过 5 层，配线间至办公室信息点距离超过 100 米的，应该适当设置楼层配线间，网络主干采用千兆光缆，水平线缆采用超五类线或超五类屏蔽线。在距离较近的情况下，网络主干和水平线缆均采用超五类线或超五类屏蔽线。内网走线应安装有金属线槽，进入房间时，从线槽引出 PVC 线槽或金属槽（根据实际情况而定），以暗装方式沿墙壁而下（或上）到各个信息点。内网信息点和外网信息点应保持以下规定的距离。内网和外网综合布线应单独走线，并满足防辐射保护的要求：双屏蔽：相邻内网和外网线路的最小间距应大于 5cm；单屏蔽:相邻内网和外网线路的最小间距应

9、大于 15cm；不屏蔽: 相邻内网和外网线路的最小间距应大于 1m。内外网单独平行走线，保持距离，不能有交叉。5.4 主机房(1)可根据实际情况安装 12 台空调柜机（2）保持室内无尘或少尘，通风良好；（3）安装合适的消防系统；（4）至少有一扇窗口留作安全出口；（5）远离存放危险物品的场所和电磁干扰源（如发射机和电动机）；（6）设备间的地板负重能力应为 500kg/平方米；（7）在机房内应至少留有二个 220V 电压，电流 10A 单相三极电源插座。网络设备较多时，还应根据接线间内放置设备的供电需求，配有另外的双排插座的 20A 专用线路，线路不应与其他大型设备并联，确保对设备的供电及电源的质

10、量；（8） 根据设备的多少配置合适的机柜，内网设备和外网设备应该放置在不同的机柜中，并且保持机柜间足够的距离。6、网络系统6.1 总体结构网络结构根据具体情况选用星型拓扑结构，支持或扩展后能够支持三层交换技术。内部局域网应使用 TCP/IP 协议，所需 IP 地址要使用私有内部地址，内部的 IP 地址使用省厅分配的IP 地址段、必须由市局统一规划、统一配置。高配置网络主干的传输速率不低于 1000Mbit/s，到桌面的传输速率不低于 100Mbit/s；低配置网络主干传输速率不低于 100Mbit/s，百兆到桌面。网络服务器配置应当充分考虑用户数、并发用户数、使用率等指标。6.2 网络结构根据

11、层次模型的设计原则，将网络系统划分为核心层、接入层、服务器区三个部分。核心层提供整个网络的中心多层路由、交换能力；接入层为用户提供直接的接入，采用堆叠模式，具有更大的灵活性和可扩展性。核心层和接入层通过光纤或超五类线连接，接入层为用户提供100M 接入。服务器区为服务器提供高速的交换。由于采用简单的三级结构，使得网络结构简单清晰，易于维护和故障检查。6.3 网络核心层内、外网核心层有条件可以采用三层路由交换机，为接入层提供接入，内网通过路由器采用 SDH 专线方式接入国土资源业务内网。基本配置可不要核心交换机。参数指标如下表：表 1 网络核心层设备参数表内、外网核心交换机（选配） 三层交换机，

12、交换容量19Gbit/s，包转发率5Mpps，信息产业部入网许可证。路由器（内网） 支持 VRRP 协议，支持链路备份、链路捆绑、路由备份、多映像和多配置启动、拨号备份，提供 2 个 E1 接口，最大能提供不少于 8 个 E1 口。支持专线接入、多种 VPN 接入技术。6.4 网络接入层接入层为用户提供接入网络的能力，接入层将用户连接到 LAN 中，然后将 LAN 连接到网络的主干。接入层一方面要求和核心层保持高速可靠连接，另一方面汇聚大量的数据信息，也是部署网络策略的重要位置，以实现基于端口的安全性和提供“端到端”的 QoS 功能。接入层交换机通过千兆光纤或超五类双绞线上连至核心交换机。参数

13、指标如下表：表 2 网络接入层设备参数表内、外网接入层交换机24 或 48 个 10/100Base-TX 自适应端口，2 个 Combo 口，支持基于端口的 vlan，支持手动端口汇聚，二层协议支持GVRP、LACP、RSTP/MSTP、802.1x、MAC 地址认证，支持用户策略动态下发（包括 ACL、QOS、VLAN 等）；支持 IPV6、支持 SSH、支持 SNMPv1/v2/v3；信息产业部入网许可证。6.5 服务器区（数据中心）服务器是数据中心的核心设备，提供数据存储、数据处理、网络应用、国土资源管理应用和其他服务。服务器可划分为数据库服务器、应用服务器、数据备份服务器、数据交换服

14、务器等。服务器的配置应根据各类应用的不同规模和特点，并结合处理速度、存储容量、高可靠性、系统开放性、性价比等因素来进行选择。数据存储备份系统用于存储和备份各类国土资源数据。存储高配置采用磁盘阵列直接存储方式，低配置通过在数据库服务器上增加硬盘实现。其他服务器根据实际情况选配。服务器及存储备份系统主要性能指标如下表：表 3 服务器及存储备份设备参数表数据库服务器（基本配置）两颗四核 INTEL XEON CPU，主频2.4GHz,配置内存8GB；3146GB；100/1000M 服务器以太网卡；冗余电源。应用服务器（基本配置）两颗四核 INTEL XEON CPU，主频2.4GHz,配置内存8G

15、B；3146GB；100/1000M 服务器以太网卡；冗余电源。数据交换服务器（基本配置）两颗四核 INTEL XEON CPU，主频1.6GHz,配置内存4GB；373GB；100/10000M 服务器以太网卡；冗余电源。备份服务器（选配）两颗四核 INTEL XEON CPU，主频1.6GHz,配置内存4GB；373GB；100/1000M 服务器以太网卡；冗余电源。网管服务器（选配）两颗四核 INTEL XEON CPU，主频1.6GHz,配置内存4GB；373GB；100/1000M 服务器以太网卡；冗余电源。磁盘阵列（选配） 容量 10146GB 硬盘,光纤主机接口数据库服务器硬盘（

16、基本配置） 不采用磁盘阵列时，将数据库服务器硬盘改为 8 块 300G SAS 硬盘7.安全系统7.1 安全配置国土资源信息系统中的重要网络系统的安全配置应达到中华人民共和国国家标准计算机信息系统安全保护等级划分准则（GB 17859-1999）中规定的第二级系统审计保护级以上。按照国家保密局文件的要求，局域网与外部网 (Internet)之间在物理上应完全断开。入网的安全设备必须具有国家保密局、公安部、中国国家信息安全测评认证中心的技术鉴定、销售许可和产品评测等资质，并符合国家的相关规定。信息安全设备性能参数如下表所示：表 4 信息安全设备参数表隔离网闸（基本配置） 物理隔离网闸防火墙（可选

17、） 3 个百兆端口，10 万并发连接数，防火墙设备，管理端软件 1 套防病毒软件（可选） 网络版防病毒软件内网安全管理软件（可选） 阻止 USB 端口，阻止光驱、阻止非法外联配置网闸，部署在内网与市局连接的出口处，阻断广域网与内部网络间的 TCP/IP 协议及其他网络协议。配备防火墙，制定严格的安全策略实现内外网络或内部网络不同信任域之间的隔离与访问控制。实现单向或双向控制、可以针对时间、流量进行访问控制，过滤一些不安全服务。对一些高层协议实现较细粒的访问控制。防火墙具有一些应用代理的功能，能实现对高层应用的访问控制及安全过滤。配置防病毒软件，用户和系统管理员应针对具体情况采取预防病毒技术、检

18、测病毒技术和杀毒技术。配置内网安全管理软件，有效管理内网的客户机上的 U 盘、移动设备、光驱的使用，防止非法外联等。7.2 安全管理网络管理是网络系统稳定运行的重要保证。网络管理员应当做好系统记录，定期检查，发现问题，及时解决。网络系统自运行开始必须作好备份与恢复等应急措施，一旦系统出现问题能够及时恢复正常。网络管理员负责网络系统的备份与恢复的技术规划、实施和操作，并作好详细记录。管理员应对操作系统和数据库管理系统中进行系统运行记录和数据库运行记录的转储保存以备查。重要大型数据库必须运行于专门的服务器或工作站上，并异地备份。网络管理员应尽可能地改善网络系统的安全策略设置，尽量减少安全漏洞。关闭

19、不使用的服务，对不同级别的网络用户设置相应的资源访问权限。8. 计算机机房条件局限的县级机房只要满足 5.4 要求的主机房要求即可，有条件的县级机房可以做如下专业机房建设。8.1 机房装饰设计1 防尘处理：为满足计算机对含尘量的较高要求，除主材选用不起尘的材料外，地板下及吊顶内均作防尘处理。主机房的外窗进行防火玻璃封堵处理（保留外观）。2 防火处理：除主材采用非燃性或难燃性外，其它材料尽可能选用难燃性材料。不锈钢包框铯钾防火玻璃隔断地板下、吊顶上用双层、双面防火石膏板封堵，隔墙为轻钢龙骨防火石膏板隔断，所有隐蔽工程用的木质材料，均做防火处理，使机房整体防火性能得到很好的保证，疏散口设有醒目的紧

20、急出口标记，便于人员疏散。3 防水处理：专用空调机四周砌 30mm 挡水隔离带，并沿专用空调的四周安装漏水感应带，使地板下水患得到有效监控。4 保温处理：主机房地面做 20mm 厚橡塑板保温处理，并做镀锌钢板保护层，以防止因温差导致下层顶板结露。对于条件有限的机房，可安装 2 台柜式空调，并保证达到如下表的温度要求。表 5 机房空气环境设计参数夏季温度 232 冬季温度 202夏季湿度 5510% 冬季湿度 5510%温度变化率 5/小时 机房的环境是靠空调机来实现的。但是，机房的洁净度则要求做到以下几点：第一、机房要密封、墙体围护结构要清洁。第二、空调机设亚高效过滤网，并定期更换，从而保证机

21、房空气在不断循环中得以净化。8.2 供、配电系统设计根据国家机房建设的相关要求，以及国土资源局机房区的用电负荷、用电容量和负荷特点，建议有条件的县局在机房区配置一台2KVA 三进单出的 UPS 向计算机网络系统提供稳压、净化电源，保证1 小时在线式供电即可。8.3 防雷系统设计机房的防雷击电磁脉冲系统、接地系统直接关系到国土资源信息化系统的可靠运行和设备的安全，关系到计算机操作、维护人员的正常工作和健康，因此防雷击电磁脉冲系统、接地系统的设置应满足人身的安全及计算机设备正常运行的安全要求。本工程防雷击电磁脉冲系统安全防护措施主要有如下几点：外部防雷 包括避雷针、避雷带、引下线、接地极等等，其主

22、要的功能是为了确保建筑物本身免受直击雷的侵袭，将可能击中建筑物的雷电通过避雷针、避雷带、引下线等，安全泄放入大地。内部防雷系统 是为保护建筑物内部的设备以及人员的安全而设置的。通过在需要保护设备的前端安装合适的防雷器，使设备、线路与大地形成一个有条件的等电位体。将可能进入的雷电流阻拦在外，将因雷击而使内部设施所感应到的雷电流得以安全泄放入地，确保后接设备的安全。避雷带、引下线（建筑物钢筋）和接地等构成的外部防雷系统，主要是为了保护建筑物本体免受雷击引起的火灾事故及人身安全事故，而内部防雷系统则是防止感应雷和其他形式的过电压侵入设备造成损坏，这是外部防雷系统无法保证的。条件有限的县局做简易防雷亦

23、可。9. 经费概算县级国土资源信息化建设需投入经费详细清单如表 6、表 7：表 6：基本配置经费概算表（单位：万元）项目 配置 数量参考单价参考总价备注综合布线内网 信息点数量一般按 50个点0.04 2具体数量视情况而不同，包括配线柜（架）、线管（槽）等配件及施工费用。外网 信息点数量一般按 50个点0.04 2具体数量视情况而不同，包括配线柜（架）、线管（槽）等配件及施工费用网络设备路由器（内网）支持 VRRP 协议，支持链路备份、链路捆绑、路由备份、多映像和多配置启动、拨号备份，提供 2 个 E1 接口，最大能提供不少于 8 个 E1 口。支持专线接入、多种 VPN 接入技术。1 1 1

24、接入交换机24 或 48 个 10/100Base-TX 自适应端口，2 个 Combo 口，支持基于端口的vlan，支持手动端口汇聚，二层协议支持GVRP、LACP、RSTP/MSTP、802.1x、MAC地址认证，支持用户策略动态下发（包括 ACL、QOS、VLAN 等）；支持 IPV6、支持 SSH、支持 SNMPv1/v2/v3；信息产业部入网许可证。4 0.6 2.4具体数量视信息点的数量和分布情况而不同。数据中心系统数据库服务器两颗四核 INTEL XEON CPU，主频2.4GHz,配置内存8GB；3146GB；100/1000M 服务器以太网卡；冗余电源；Windows2003

25、 标准版。1 8 8应用服务器两颗四核 INTEL XEON CPU，主频2.4GHz,配置内存8GB；3146GB；100/1000M 服务器以太网卡；冗余电源；Windows2003 标准版。1 8 8数据交换服务器两颗四核 INTEL XEON CPU，主频1.6GHz,配置内存4GB；373GB；100/1000M 服务器以太网卡；冗余电源；Windows2003 标准版。1 5 5数据库服务器硬盘 8 块 300G SAS 硬盘 8 0.2 1.6机房装修 防静电地板、Ups、机房空调、防雷、各弱电间机柜等 1 5 5 信息安全系统隔离网闸 物理隔离网闸 1 3.5 3.5 其它台式

26、电脑 双核，主频2GHz，配置内存1G，硬盘 160G。 30 0.4 12具体数量视情况而定，每个办公室至少保证 1 台能够上内网的台式电脑。表 7：标准配置经费概算表（单位：万元）项目 配置 数量参考单价参考总价备注综合布线内网 信息点数量一般按 50 个点0.04 2具体数量视情况而不同，包括配线柜（架）、线管（槽）等配件及施工费用。外网 信息点数量一般按 50 个点0.04 2具体数量视情况而不同，包括配线柜（架）、线管（槽）等配件及施工费用网络设备内网核心交换机三层交换机，交换容量19Gbit/s，包转发率5Mpps，信息产业部入网许可证。（含网管软件）1 0.9 0.9路由器（内网

27、）支持 VRRP 协议，支持链路备份、链路捆绑、路由备份、多映像和多配置启动、拨号备份，提供 2 个 E1 接口，最大能提供不少于 8个 E1 口。支持专线接入、多种 VPN 接入技术。1 1 1外网核心、接入交换机24 个 10/100Base-TX 自适应端口，2 个Combo 口，支持基于端口的 vlan，支持手动端口汇聚，二层协议支持GVRP、LACP、RSTP/MSTP、802.1x、MAC 地址认证，支持用户策略动态下发（包括ACL、QOS、VLAN 等）；支持 IPV6、支持 SSH、支持 SNMPv1/v2/v3；信息产业部入网许可证。0.4 具体数量视信息点的数量和分布情况而

28、不同数据中心系统数据库服务器四颗四核 INTEL XEON CPU，主频2.4GHz,配置内存16GB；3146GB；100/1000M 服务器以太网卡；冗余电源；Windows2003 企业版。1 15 15应用服务器四颗四核 INTEL XEON CPU，主频2.4GHz,配置内存16GB；3146GB；100/1000M 服务器以太网卡；冗余电源；Windows2003 企业版。1 15 15数据交换服务器两颗四核 INTEL XEON CPU，主频1.6GHz,配置内存 4GB；373GB；100/1000M服务器以太网卡；冗余电源；Windows2003 标1 5 5准版。备份服务器

29、两颗四核 INTEL XEON CPU，主频1.6GHz,配置内存 4GB；373GB；100/1000M服务器以太网卡；冗余电源；Windows2003 标准版。1 5 5磁盘阵列 容量 10146GB 硬盘,光纤主机接口 1 20 20 机房装修 防静电地板、Ups、机房空调、防雷、各弱电间机柜等 1 8 8 信息安全系统防火墙 3 个百兆端口，10 万并发连接数，防火墙设备，管理端软件 1 套 1 4 4 隔离网闸 物理隔离网闸 1 3.5 3.5 防病毒软件 网络版， 200 用户 1 3 3 内网安全管理软件 阻止 USB 端口，阻止光驱、阻止非法外联 1 5 5网络管理软件 用于管理网络、服务器、应用系统 1 6 6其它台式电脑 双核，主频2GHz，配置内存1G，硬盘 160G。 30 0.4 12具体数量视情况而定，每个工作人员至少保证 1 台能够上内网的台式电脑。