MIS系统网络平台设计要求

第一章 MIS软件系统技术要求

1.1 系统的总体框架

电厂信息管理系统（MIS）的总体框架如图3.1所示。 数据网关及 单向隔离设备 经营管 理系统

图3.1 电厂信息管理系统（MIS）总体框架 物流管理系统 设备管理系统 运行管理系统 行政事务管理系统 系统管理和维护 应用系统 防火墙 路由器 防火墙 SIS系统 集团网 外部网 数据库 计算机网络平台 电 厂 信 息 管 理 系 统 的 使 用 人 员 1.2 子系统划分

根据对电厂生产经营和管理过程的分析，子系统基本划分如图3.2所示。

第二章 MIS系统网络平台设计要求

2.1 设计原则

网络系统是日后支持MIS、办公自动化、管理、宣传以及其它各种业务应用系统运行的基础设施，为了确保这些应用系统的正常运行和系统扩展性，本系统建设时必须遵循如下几方面的原则：

1. 成熟性：

采用成熟、先进且经过严格实践检验的技术和产品。 2. 安全性：

在网络系存统的设计方案中，要求制定一套完善的网络信息安全措施，绝对保证数据在传输和储过程完整和安全，做到不丢失、不损坏、不泄露。

3. 高可靠（用）性及强大容错能力

我们建设的信息网络系统支持电厂生产经营管理信息、办公自动化、教育及其它业务应用的运行，所有设备必须能达到长时间不间断无故障运行，同时网络设计应保持一定数量的冗余以保证整体系统的高可靠性和高可用性。

4. 高带宽、大容量

基于数据、软件集中管理的应用模式以及综合布线的结构，主干应选用支持高带宽大容量的网络技术。

5. 易管理、易维护

系统应具有强有力的网络管理手段，可方便地对网络资源进行集中配置与调整。 6. 易扩展

随着网络应用系统规模的不断扩大，系统应能在不影响网络用户使用的前提下方便扩充网络规模。

7. 便于向更新技术的升级与衔接

通过增加或更换网络设备的个别模块或软件即可方便地升级到更高的主干速率、新的网络连接方式等。

8. 标准化

采用支持国际标准及工业标准化的产品，能与当今世界上主要网络厂商的主流产品互连。

2.2 技术线路

1. 采用成熟而先进的技术；

2. 采用可信赖的、完善的安全控制措施，注意通信保密、网络安全和数据安全，建立

完善的网络安全管理系统；

3. 统一技术规范、标准和设备选型，统一组织实施； 4. 网络采用高速网络技术；

5. 根据需要按业务功能或部门的划分来组织虚拟子网（VLAN），支持跨接虚拟子网，

从而达到减少流量，实现安全、方便管理的目的；

6. 整个网络主要运行TCP/IP通信协议，加强网络的安全性、可靠性和可管理性； 7. 以标准化为基础实现系统的开放性、可扩展性，增强网络的互联能力； 8. 注意避免出“瓶颈”效应，重要的设备、线路都有备份，保证网络可靠运行； 9. 采用可靠、先进、高效、功能丰富的网络管理设备。

2.3 系统功能

MIS网络平台系统的基本功能和服务如下： 1. 为电厂所需计算机网络通信提供基础设施； 2. 生产经营的现代化管理； 3. 信息查询和交流； 4. 电子邮件收发； 5. 文件传输；

6. 软件系统及硬件设备共享； 7. 多媒体教学（视频信息）实时调用； 8. 能够与国际互联网相连等。 9. 与SIS系统安全连接，查看生产信息 10. 与集团公司多媒体网络连接 11. 与财务、档案、物资系统连接

12. 与工程信息系统连接

2.4 设备技术要求

1.投标人提供的产品必须满足本节所描述的计算机硬件设备及外设配置要求，这是项目单位提出的设备最低配置要求，投标人必须根据本项目的实际需求，列出合理和必需的设备配置和报价的建议，并明确说明每个设备的用途、类型。

2.投标人所提供的所有设备须完全满足本文所述规格。除特定外接设备外，所有需要的硬件需配齐以构成一套实用系统。如果投标人所列出的计算机硬件设备及外部设备的配置建议，当实际采购时其软、硬件有任何遗漏（包括招标书中未列出而系统集成又需要的软硬件），则系统集成需要时投标人必须免费提供，项目单位将不再支付任何费用。

3.硬件设备的性能应达到或超过表中所列技术指标。投标人在响应建议中必须列出具体数值。如果投标人只注明“符合”或“满足”，将被视为“不符合”。从而可能导致严重影响评标结果。

4.投标人必须提供产品配置清单和报价。

5.投标人所提供的所有硬件设备必须是正规渠道的新产品，且在性能及质量方面能提供可靠证明。

6.投标人若非设备原始生产厂家，所提供的任何设备必须直接来源于原厂家并有原厂家的证明文件。

7. 中标人对整个系统提供由原硬件、软件厂家三年可靠及连续的软件升级、现场服务和技术支持。

2.4.1 核心层交换机技术要求

具有三层交换能力的高可用性和高可靠性的双核心交换机,同时可以满足将来业务增长时，对数据交换处理容量扩展的要求。 具体满足以下要求：

●

核心层交换机要求选用Cisco Catalyst 6500系列及以上档次路由交换机，或华为S6500系列及以上档次路由交换机，背板容量>=384G，其他要求不变。 ●

应采用分布式处理结构：所有接口卡应具有三层处理能力，可以本地处理数据包，包括：封套、路由表查找、QoS处理等，交换引擎采用非阻塞设计，投标方

在应标书中提供分布式交换引擎及队列管理的详细说明： ●

背板交换容量：>=128Gbps；支持二层、三层线速转发，包转发量：在帧长64字节的条件下>=90Mpps; ●

配置单CPU、支持交换矩阵冗余、冗余控制器件、冗余接口模块、冗余电源和风扇，所有冗余组件支持热插拨； ● ●

插槽式交换机，可用插槽数>=6槽；

千兆以太网端口支持1000Base-T，1000Base-SX，1000Base-LX，1000Base-ZX；百兆以太网端口支持10/100Bsae-T，100Base-FX； ●

支持交换机多链路捆绑技术，以保证可以在线路冗余的情况下，进一步实现2条物理链路的负载均衡； ● ●

要求冗余的组件具有故障备用切换功能及热插拨功能；

可通过包过滤、存取控制列表措施实施安全策略，并对所有违规数据包进行跟踪和记录； ● ● ● ● ●

网络设备的配置信息应能下载和自动恢复；

支持IEEE802.1q VLAN Trunk，可跨交换机划分VLAN； 具有很高的端口密度，便于今后业务的扩展和网络的升级

可提供网络控制机制、有扩展升级的能力，与现有的流行网络设备兼容； 支持IEEE 802.1p优先，支持三层DiffServ（RFC 2474和2475），IP ToS优先，并支持802.1p到DiffServ的映射； ● ●

每个端口的硬件队列数目大于等于5个，以保证网络QoS的实施； 投标方应解释业务优先级的定义模式，尤其是基于应用的优先级的具体实现机制。

支持的网络协议包括：

● ● ● ●

用户现有的需接入的网络设备和服务器设备所需要的协议TCP/IP。 支持Windows /UNIX平台，提供Web管理支持；

通过网管提供整个网络的Vlan管理和配置，可控制到端口；

提供包括所有本次供货范围内的网络设备的集中式管理，包括：拓扑呈现、配置管理、端对端性能管理、故障管理、安全管理、网络Vlan的配置，网管能提供各VLAN的逻辑视图和相关目录信息，并提供网络图和配置信息的功能。应支持web和GUI界面。

2.4.2 汇聚层交换机技术要求

●

接入交换机要求选用Cisco Catalyst 2950系列及以上档次，或华为S3000系列及以上档次，其他要求不变。 ● ● ● ● ● ●

24 个及以上100M端口+和2 个及以上1000M 端口。 提供完全动态的IP路由。

在速度上要求能在每个全双工端同时达到在线吞吐量。 支持堆叠。

背板带宽≥8.8Gbps。

支持二层交换、支持VLAN 、VoIP技术和IGMP各版本协议和其它主流网络协 议。支持网络服务质量(QoS)和多播管理。 ● ● ●

适应性强，对环境没有特别的要求，办公环境即可。 集成网管软件，使用方便，可控制到端口。

对于信息点小于8个的楼宇，可以选择100M上联方式

2.4.3 服务器要求

2.4.3.1 服务器选型原则

（1） 高可靠性； （2） 高性能；

（3） 可扩展性及兼容性； （4） 性能价格比。

2.4.3.2 服务器硬件可靠性方案

（1） 主服务器采用高可用性的冗余系统；

（2） 硬盘采用双卡双盘的双工技术和RAID卡控制的多级别的RAID技术； （3） CPU：采用多CPU冗余；

（4） 网卡：采用多网卡及相应网络拓扑备份连接。

（5） 硬盘的热插拔与RAID卡支持下的硬盘在线修复和配置。

2.4.3.3 数据库服务器要求

数据库服务器配置两台主机进行冗余互备份或采用容错服务器，提出如下最低配置要求：

国外知名品牌

数据库服务器要求选用IBM小型机（P5-550及以上档次，或SUN小型机V440及以上档次）。CPU标配不低于2路，可扩充至4路；内存标配不低于4G，可扩充至64G。其他指标不变。

处理能力：>30000tpmc或>3000SPECWEB99；

CPU：至少2路RISC 64bits，单CPU主频≥1.45GHz，L3高速缓存64MB（ECC）； 系统总线：>2.4GB/s,I/O总线：> 1GB/s； 内存：4 GB，Cache 4M; 内置磁盘：2块146G SCSI硬盘 网络接口：1000MB网卡≥2 安装UNIX操作系统。 存储配置要求：

我们因考虑和采纳“集中存储、分布处理”的设计思路。采用存储域网络（SAN，Storage Area Network）的技术，将存储设备单独管理，各服务器共享使用该区域内的存储。为了确保接MIS系统的全天候运行，在集中存储器上一般存储大容量数据和备份数据。其它数据由各主机的内置磁盘负担。

设计单位要有详尽的数据量分析，并据此提出详细的设备配置方案。 存储阵列1个： ＳＡＮ支持；

设备兼容性能强，能支持广泛的操作系统，如UNIX（包括IBM AIX、SUN SOLORIS、HP-UX、COMPAQ TRU64等）、LINUX和WINDOWS等，能支持不同型号服务器主机；

设备可靠性能强，使用冗余硬件、镜像写高速缓存以及“磁盘”RAID-5和RAID-10保护；

通过光纤通道支持与连接主机之间的快速数据传输，通过光纤交换机可以与多台主机连接；

支持多台服务器同时连接，能分配每台服务器独立的物理存储区；

初装配置磁盘总容量>700GB；

自带存储管理软件，效率高，具有比较完善的管理功能，可连续监控存储系统状况和性能；

光纤交换机2台：单个8口，每端口提供至少2Gbps吞吐量。 网络备份软件：

支持基于ＳＡＮ技术的存储备份； 支持多平台系统； 具有良好的图形界面方式；

胜任大规模的海量存储系统的备份需要，备份效率高，速度快；

集中式管理：能对全网的备份策略进行统一管理，可以监控所有备份作业，也可以修改备份策略。所有数据可以备份到相连的任意一台磁带库内。

全自动的备份：能够根据用户的实际需求，定义备份数据，制订备份计划和时间表，系统能根据计划自动启动备份作业，无需人工干预。

支持基于数据库的备份和恢复：对于运行中的数据库执行在线备份，能够将需要的数据从庞大的数据库文件中抽取出来进行备份。在维护数据库可用性的同时，还能够提供自动高可靠性的数据保护和快速恢复。支持全备、增量备份等多种备份方式。

在线式的索引：备份系统能为每天的备份建立在线式的索引，当用户需要恢复时，只需点取在线式索引中需要恢复的文件或数据，该系统就会自动进行文件的恢复。

备份系统对每一个用于作备份的磁带自动加入一个电子标签，同时在软件中提供了识别标签的功能。

归档管理功能强。

2.4.3.4 应用服务器要求

要求为机架式安装，每台最低配置要求： 国际知名品牌

MIS应用服务器根据招标方技术放案需要选用，一般要求选用IBM或Dell 2U 机架服务器，其它配置要求不变。

一般配置2个CPU，并视其功能需要适当考虑服务器的升级能力

处理器：Intel Xeon MP processor 主频≥2.60GHz 内存：≥1024M 硬盘：≥73G×2

网卡：10/100/1000M两块 支持RAID技术

操作系统：Windows 2000/2003 server

考虑更换原OA和万方数据服务器共计两台，要求内存<=4G,硬盘>=400G，其余要求同上。

数据库和mis 服务器项要求投标方至少提供两种品牌配置方案及报价，并以报价高的一种方案参与总体报价、其它放案作为参考方案。

2.5 网络方案设计说明

2.5.1 方案设计概述

1、采用千兆第三层交换技术为核心的主干网络

两台第三层路由交换机组成千兆以太骨干核心。极大的保证了网络带宽，同时做到了网络的冗余备份，而且通过交换机提供的线速路由，最大限度地解决了虚网间的通信瓶颈，使网络具有极高的性能。

2、二级交换子系统与核心的连接

二级交换机实现与网络中心的千兆连接，极大提高的网络的整体性能，同时支持端

口级虚网划分。

3、用户接入子系统选择全交换方式

交换方式采用交换机使用户端交换100M/10M到桌面，对于信息点少于8个的楼

宇，我们利用光纤收发器接100M 交换机实现100M到桌面

2.5.2 网络设备连接说明

网络中心暂设在综合办公楼中心机房，在其内有两台中心交换机，中心交换机自身通过

4条1000M链路相连，形成核心交换环。同时在综合办公楼放置二级交换机，组成堆叠组，每个堆叠组通过2条1000M链路分别连接两台中心交换机，利用SMLT技术，形成2000M链路上联，同时又互为冗余备份，极大的保障了网络的安全性。

其他楼点放置二层交换机，自身堆叠，通过2条1000M链路分别连接两台中心交换机，利用SMLT技术，形成2000M链路上联，同时又互为冗余备份，不会因为任一设备或者线路的问题影响网络的联通性能。

整个网络构成一个高速的星型结构骨干网络，为即将出现的管理应用提供可扩展性。其传输通信的能力可达1000Mbps。并且网络基于NortelNetworks的第三层交换和网络管理技术，同时具备完整的IP线速路由功能和超高速的包转发率，为网络主干提供了极大的带宽，减少了广播影响，能够满足对时延敏感的多媒体应用需求。

在设计方案的同时考虑在2×300MW机组的新建办公楼落成后转移中心点，将新办公楼作为星型网络的中心，方案要易于变更，尽量减少变更时对用户的影响，在出具本次方案的同时出具变更方案。

2.5.3 信息中心机房及其他设备

信息中心机房设置在综合办公楼，此机房为临时机房，以后将随着新办公楼的落成进行搬迁，所以招标方需考虑对电缆等设备的预留。信息中心机房考虑将所有硬件设备安装在设备机柜中。投标方应根据信息中心机房所有设备的情况，对中心机房的设备布置进行规划，提供相应的设备机柜、电源配线柜、连接电缆等。投标方负责对机房按规范进行装修，提供装修方案，编制装修材料及设备（文件柜、空调等）清单。

2.5.3.1 电源要求

MIS系统的主要设备放置在信息中心机房，信息中心机房由投标方提供电源分配柜，招标方提供两路交流380V土10％，50HZ土1HZ 的电源，一路来自照明电源，一路来自厂动力电源。投标方提供1套不间断电源（UPS）装置作为大唐洛阳热电有限责任公司信息中心机房电源，并提供UPS与配电柜之间连接的电缆。

2.5.3.2信息中心机房UPS电源

投标方应为MIS的核心设备提供两路电源切换和UPS电源装置，以保证服务器的数据不因电源故障而造成丢失，两路电源切换时间应为毫秒级。

MIS内部各网络设备、接口设备、数据库服务器、功能站和网络管理站设备等的供电

由投标方自行负责分配，分配时要考虑到原有的UPS电源。投标方在投标书中应设计整套MIS电源系统配置图（UPS出线配置）。

不间断电源（UPS）装置应满足以下技术参数： （1）额定功率：12KVA

（2）输入电压：两回路 AC380 Vi 109三相四线 （3）最大可配置功率11，200瓦特 （4）满载时有效率 91％ （5）功率因数：＞0．95

（6）工作频率：50 HZ＋／－3 HZ（自动感应） （7）输出电压：AC220 Vt％ （8）旁路转换：采用静态开关，＜4ms （9）平均无故障时间：25万小时

（10）外部电源消失后UPS供电时间≥4小时 （11）UPS应含远程监控软件

2.5.3.3电子装置机柜和接线

投标方应提供中心机房所有设备的机柜，机柜的数量及内部配件由投标方进行配置，但主要机柜应在DELL或IBM两个厂家中选择。在服务器机柜内需配置一台15寸液晶显示器及一套键盘鼠标（光电鼠标）。机柜内部设备供电统一通过集中供电装置供电。对于安装在各个点的交换机应提供壁挂式机柜，机柜高度为6U，带风扇。

（1）电子装置机柜的外壳防护等级，室内应为NEMA12，室外应为NEMA4。 （2）机柜门应有导电门封垫条，以提高抗射频干扰（RFI）能力。柜门上不应装设任何系统部件。

（3）机柜的设计应满足电缆由柜底引入的要求，通讯电缆连接采用光纤、五类或六类双绞线插头，其它电缆采用端子排连接。

（4）散热的电源装置，提供排气风扇和内部循环风扇。排气风扇和内部循环风扇均应易于更换。

（5）所提供的主要机柜内应装设温度检测开关，当温度过高时进行报警。 （6）装有风扇的机柜均应提供易于更换的空气过滤器。

（7）机柜内的设备布置应合理并考虑安装、检修、布线和散热的空间。

（8）机柜内的每个通讯接口都应有清晰的标志，并与图纸和接线表相符。

（9）应提供MIS系统内设备之间互联的光纤、双绞线（包括两端的接触件）等以及与下层控制网络连接的通讯光纤，这些通讯电缆应符合IEEE防火标准。 （10）投标方在技术资料中说明机柜和柜内组件的消防要求。

2.5.4信息中心环境要求

（1）符合国标有关电子设备间的各项标准。

（2）按发热量平衡加适当余量确定工作空调机的容量，并设容量相同的备用空调机，电源取自不同的电源系统，备用空调机采用温度自动控制启动和手动启动并行触发启动机制。任一空调机是处于工作状态或备用状态可由人工任意设定。

（3）防静电地板高度≥250mm。，铺设前地面必须彻底清洁，按有关工艺要求涂刷环保型油漆完全固化。接地系统采用铜材制作。地板下需走线的位置布置走线槽，避兔走线零乱。 （4）配备抽湿机和加湿机，保证设备工作在合适的相对湿度下。

（5）中心UPS设输入电源失电告警、电池组失电告警和UPS故障告警，信号送信息中心值班人员。

（6）由于UPS的发热量较大，特别要考虑好通风冷却。采用轴流风机正压排风，设双风机，互为备用，出风口设自动关闭的百叶风门，进风口设多层金属网夹3层及以上过滤布，避免灰尘大量进入，造成设备故障。

2.6 网络优化设计

2.6.1 VLAN的划分

对网络进行如下的VLAN划分： VLAN1： 管理人员（含网管） VLAN2： 生产人员 VLAN3： 三产人员 VLAN4： 运行专用 VLAN5： 其他

2.6.2 网络安全设计

1、交换机要具有控制台的口令和登录权限的控制，支持5种级别的访问：Read Only,Layer2 Read write、layer3 read write、read write、read write(all)，每种级别的访问权限依次提高，可以通过不同的口令限制进行保护。

2、访问数据包/帧的源地址（IP地址、MAC地址）限制。

3、通过设置访问控制列表，限制网段或单个主机队网络设备（交换机）的访问。 4、TCP/UDP端口限制，对关键应用进行保护。

5、网络的隔离，主要在三层交换机上通过访问控制列表队不同网段之间的访问进行限制、对网段之间（或主机之间）的访问方式（如telnet,ping,ftp 等）进行限制、对网段之间的路由进行限制；同时也可以在二层交换机上通过VLAN进行隔离。

2.6.3 QoS实现设计

当数据包进入网络时，由边缘接入交换机根据不同应用在以太网帧头(802.1p包头)标记不同级别的802.1p标记位。数据帧在接入交换机输出端口输出时，根据802.1p标记进行优先级设定，不同优先级数据进入不同的队列，保证网络关键应用的QoS。

当数据帧到达主干网交换机后，在入口端读取以太网数据帧头的802.1p标记信息，然后根据802.1p信息，对IP数据包进行Diffserv的相应优先级标记，然后经交换矩阵送到相应的输出端口；输出端口的ASIC芯片，根据DSCP标记进行分类，通过8个硬件优先级队列保证高优先级数据先输出。反之，由主干交换机到接入二级交换机的数据帧，同样可以通过由Diffserv到802.1p的映射获得相应优先级。这样，就保证了数据在网路中传输的端到端的QoS.

2.7 网络系统管理

2.7.1 网络管理的必要性

网络系统规模的日益扩大和网络应用水平的不断提高，一方面使得网络维护成为网络管理的重要问题之一，例如排除网络故障困难，维护成本上升等。另一方面也使网络的性能成为人们关注的重点。一般的方法是通过增强网络的静态配置来提高性能，例如增强网络服务器的处理能力，采用FDDI/CDDI、100BASE网络主干、网络交换、ATM（异步传输模式）等技术扩展网络的带宽等；实际上，采取网络运行中的负载平衡等动态措施更能提高网络的性能。通过静态或动态措施提高的网络性能分别称为网络的静态性能和动态性能。动态性能的提高可以通过网络管理系统即“网管系统”加以解决。

2.7.2 网管系统实现的功能

1、配置管理 配置管理的目的在于随时了解网络系统的拓扑结构，所交换的信息，包括连接静态设定的和连接后动态更新的。

配置管理包括客体管理、状态管理和关系管理等三个方面。

客体管理是指对网络系统中的物理设备的管理，网管系统应当保证在其中能够完全地显示系统中所有的网络设备。

状态管理是指网络设备运行状态的显示，应当能够根据客体管理数据库的数据来显示每台设备的状态，包括设备的开关及每个端口的状态。

关系管理是指对网络系统中所有网络设备间的关系进行管理，如网络与虚拟网（VLAN）的划分等，同时可以对网络设备及端口进行设定。

2、性能管理 性能管理包括工作负荷监测、概要功能、软件管理功能和时间管理等功能。

性能管理中最重要的一点就是工作负荷的管理，前面说过提高网络性能有两种方法，即动态性能提高和静态性能提高。动态性能的提高关键在于工作负荷的平衡，性能管理中能以动态实时图形的方式直观地显示网络设备工作负荷情况，以便及时作出调整。

3、故障管理 故障管理负责对系统运行中的对异常情况的检测、隔离和更正。故障管理包括告警报告、事件报告管理、日志控制功能、测试管理功能、可信度及诊断测试分类等五个方面，它是保障整个网络系统可靠运行的基础。

4、安全管理 安全管理包括安全特性的管理和管理信息的安全。

安全特性的管理提供安全的服务，以及安全机制的变化的控制，直至物理场地、人员的安全、病毒防范措施、操作过程的连续性，灾难恢复措施的计划与实施等内容。管理信息的安全是保障管理信息自身的安全。

安全管理包括安全报告告警功能、安全审计跟踪功能以及访问控制的客体和属性等功能。

5、计帐管理 计费管理的目的是使服务提供者提供一致的方式表示、记录和报告计费信息，并且能和

其他服务提供者交换计费信息。

2.7.3 网管选型原则

在选择一个较为理想的网络管理系统时，应考虑到当前的网络需求以及将来网络发展需要并从以下几个方面来衡量一个管理软件的优劣。

1、企业管理系统 此系统必须有能力管理网络中所有网络设备，它应满足以下几个要求： ? 多协议支持 ? 可集成支持 ? 集成界面支持

2、多厂商支持 在同一个网络系统中不可能完全都使用一个厂家的网络设备，对于多厂家的网络产品，网管系统应能管理，特别应能支持带SNMP的设备，因为这种支持SNMP的网络设备占市场很大的比例。

3、多操作平台支持 管理系统应能在DOS/WINDOWS操作系统、UNIX操作系统等平台上使用。

4、管理信息库的支持 网管系统应该有一个网络数据库，可以使上层应用能分享这些网络信息。数据库定义了一系列API。最好的方法能把数据库与网络设备图形集成在一起，这对用户来说操作起来比较方便。

5、开放性支持 对于用户来说，一个好的管理系统，应该是对外开放的，管理应用可以使用任何资源及进程，即使是其他网络应用的进程，用户也能进行横向调用。

6、网络设备的自动查找支持

网络系统应具有查找网络设备的能力，即无SNMP的设备也能由网管发现并自动配置。

2.8 入侵防护方案

入侵监测和预防，可对企业网络进行实时监控、自动或手动切断网络连接、孤立堵塞网络主机、防止

ARP欺骗、入侵检测功能、支持防火墙的互动

2.9 网络防病毒方案

我厂现有KJLL安全胄甲6.0网络版（150用户，无服务器、客户端区别），考虑升级之KJLL安全胄甲7.1网络版，或采用趋势企业版（价格应不高于KJLL升级方案，服务器1—2个，客户端500以上）。

2.9.1 传播途径

来自桌面PC机，并通过网络传送的计算机病毒，同时也是病毒入侵的第一级点。 来自系统内部各类服务器，并通过文件共享和文件收发而传送的计算机病毒，是网络系统重点进行病毒防护的核心信息资源。来自Interent或远程互连网的Download文件的病毒侵害及恶意的Java、ActiveX小程序的威胁，以及通过E-Mail的附加文档所传送的计算机病毒。所以，控制Internet 入口处的病毒侵入，就抑制了最主要的病毒源。

2.9.2 防护层次

基于以上情况，这就要求病毒防护系统能适合于各种操作系统、各种运行环境和防护各种类型的病毒。为此我们建议选择多层次的病毒防卫体系。多层次的网络防病毒防卫体系包括：客户端的防病毒系统、服务器的防病毒系统、Internet的防病毒系统。

1、客户端的防病毒系统： 根据统计，50%以上的病毒是通过软盘进入系统，因此对桌面系统的病毒应严加防范。客户端的防病毒系统的产品包括：

（1）桌面防病毒产品，可运行在DOS、Windows 3.x 、Windows 95、Windows NT、Mac 和OS/2等平台上。

（2）自动更新病毒特征代码。通过Internet连接到厂家所指定的站点自动更新病毒特征代码。更新方式可采用推送或下载。

（3）保护桌面系统免受恶意Java 和 ActiveX小程序的破坏。

对所有桌面病毒软件进行集中管理的管理服务。此管理服务负责对所有桌面分发防病毒软件、更新防病毒特征代码或对桌面进行查病毒操作。

2、服务器的防病毒系统： 如果服务器被感染，其感染文件将成为病毒感染的源头，它们会迅速从桌面感染发展到

整个网络的病毒爆发。因此，基于服务器的病毒保护已成为当务之急。服务器的防病毒系统的产品包括：

（1）Netware、Windows NT和UNIX平台上的防病毒软件。

（2）Microsoft Exchange，Lotus Notes/Domino群件服务器的防病毒方案。 （3）自动更新病毒特征代码。通过Internet连接到厂家所指定的站点自动更新病毒特征代码。更新方式可采用推送或下载。

对所有桌面病毒软件进行集中管理的管理服务。此管理服务负责对所有桌面分发防病毒软件、更新防病毒特征代码或对桌面进行查病毒操作。

3、Internet的防病毒系统 根据ICSA的报告，电脑感染病毒的来源有超过20%是通过网络下载文档感染，另外有26%是经电子邮件的附加文档所感染，连入Internet，很有可能受到来自Internet下载文件的病毒侵害及恶意的Java、ActiveX小程序的威胁。Internet的防病毒系统要部署在Internet应用网关上：它对全部收发的电子邮件进行病毒扫描；对HTTP，SMTP，FTP等应用所传输的信息或文件进行病毒扫描。

目前迫在眉睫的工作是保护整个系统的的完整性，建立安全的网络逻辑结构，为今后的实施应用完整性和用户完整性奠定坚实的基础。

系统的完整性是对信息系统的保护，主要是从上之下建立一个完整有效的病毒防护体系，重点对PC机工作站点、各类服务器和Internet网关进行多层次分级的病毒防护，部署整体的防护措施，巩固和完善网络安全及管理系统，使网络系统能更安全、更有效的运行。

4、总体上单位网络病毒防护方案包括以下几个主要方面： （1）各个工作站点PC系统网络病毒防护需求。 （2）各应用业务系统服务器网络病毒防护需求。

（3）远程互联系统之间及Internet网关的网络病毒防护需求。

（4）建立一个完善的病毒防护管理体系，负责病毒软件的自动分发、自动升级、集中配置和管理、统一事件和告警处理、保证整个单位范围内病毒防护体系的一致性和完整性。

以上几个方面均有不同的病毒防护需求，单一的防病毒软件远不能满足以上的复杂要求，每种应用会有不同的防护需求，要求建立不同的安全策略，但同时，向不同的应用运行在同一个网络上—样，管理应具有统一的界面，防病毒也应该是—个统一全面的解决方案。

2.9.3 管理模式

根据电厂的网络结构和具体要求，在整个网络防病毒管理方面，采取集中和统一管理的方式，也就是说，在整个网络中建立统一管理机制,采用统一和集中的管理模式，采用统一的防病毒策略和防病毒管理制度。统一设置防病毒管理模式，实现灵活的、高效率的、集中式管理。

2.9.4管理制度

1. 配备相应的安全管理人员负责整个网络安全的目常管理及维护。 2. 制定相应的机房上机管理制度。 3. 强制实施统一的防病毒策略。 4. 及时更新升级最新的病毒定义码。 5. 不要随意使用盗版软件和盗版光盘。

2.10 UPS系统设计

UPS设计说明：

根据中心机房交换机和服务器设备的功率，考虑UPS系统最佳运行状态下的输出负载比例，中心机房配置一台UPS，给服务器和交换设备供电。

UPS配置管理卡，对主机设备进行管理（当UPS不能为设备正常供电时，远程关闭主机服务器系统）。

本文来源：https://www.bwwdw.com/article/djc.html