数据中心安全策略的体系架构与功能设计
一、数据中心建设的安全策略
1.数据中心安全策略的体系架构
数据中心安全的内容已从原来的保密性和完整性扩展为信息的可用性、核查性、真实性、抗抵赖性以及可靠性等范围,更涉及到包括计算机硬件系统、操作系统、应用程序以及与应用程序相关联的计算机网络硬件设施和数据库系统等计算机网络体系的方方面面,具体架构如图1所示。
从图1中可以看出,数据中心建设的安全策略包括4层:硬件安全防护层、数据安全检测层、数据隔离恢复层和数据安全备份层。
2.数据中心安全策略的功能设计
2.1.硬件安全防护层
数据中心建设的硬件安全主要采用的策略包括高速带宽、服务器负载平衡以及防火墙的使用。
(1)高速带宽(High Speed Bandwidth)
为了使数据中心在激烈的计算机网络竞争中处于领先地位,高质量的网络连接是维持高质量数据中心的基本要素。为避免因计算机网络带宽的共享问题产生冲突而降低数据中心的功能和效率,应该为数据中心的管理者和使用者提供最大限度的利用带宽。
(2)服务器负载平衡(Server Load Balancing)
单一的服务器不能满足数据中心日益增加的用户访问量、数据资源和信息资源。数据中心的应用系统采用了3层结构,数据中心中大量复杂的查询、重复的计算以及动态超文本网页的生成都是通过服务器来实现的,而服务器的速度一直都是数据中心数据处理速度的“瓶颈”。为了满足ISP/ICP的需求,提高数据
中心服务器的访问性能,数据中心建设采用了服务器负载均衡的先进技术。网络负载均衡器是一个非常重要的计算机网络产品,利用一个IP资源就可以根据用户的要求产生多个虚拟的IP服务器,按照一定协议能够使它们协调一致地工作。不同的用户或者不同的访问请求可以访问到不同的服务器,使得多个服务器可以同时并行工作,提高服务器的访问性能。如果当计算机“黑客”攻击某台服务器而导致该服务器的系统瘫痪时,负载均衡器和负载均衡技术会关闭其与该系统的连接,将其访问分流到其他服务器上,保证了数据中心持续稳定的工作。
(3)防火墙(Firewall)
防火墙技术是位于Internet之间或者内部网络之间以及Internet与内部网络之间的计算机网络设备或计算机中的一个功能模块,主要由硬件防火墙与软件防火墙按照一定的安全策略建立起来的有机组成体,目的在于保护内部网络或计算机主机的安全。原则上只有在内部网络安全策略中合法的通信量才能顺利进出防火墙。具体功能包括保护数据的完整性、保护网络的有效性和保护数据的精密性。防火墙的使用便于数据中心硬件资源和软件资源集中的安全管理,安全策略的强制执行,从而降低了计算机网络的脆弱性,提高了数据中心的安全保密性。
2.2.数据安全检测层
数据安全检测层包括数据的入侵检测和数据与安全审计两大功能,主要完成隐患数据和操作进不来以及隐患数据和操作查得出的任务。
(1)入侵检测(Intrusion Detection)
数据的入侵检测是一种积极的安全防护技术,是继防火墙之后的第二道安全闸门,是把数据中心的关口前移,对入侵行为进行安全检测,让存在安全隐患的数据不能进入到数据中心,主要通过收集和分析用户的网络行为;安全日志、审计规则和数据;网络中计算机系统中的若干关键点的信息,检查进入数据中心以及数据中心内部的操作、数据是否违反安全策略以及是否存在被攻击的迹象。主要采用模式匹配、统计分析和完整性分析3种分析策略。数据中心建设的入侵检测采用的是公共入侵检测框架(CIDF),其具体架构如图2所示。入侵检测系统可以根据对数据和操作的分析,检测出数据中心是否受到外部或者内部的入侵和攻击。
(2)安全审计(Security Auditing)
数据安全审计的作用是审计和检查出危害数据中心的操作和数据。数据安全审计系统是数据中心中的一个独立的应用系统,主要针对数据中心内部的各种安全隐患和业务风险,根据既定的审计规则(数据审计字典)对数据中心系统运行的各种操作和各种数据进行跟踪记录,采用误用检测技术、异常检测技术以及数据挖掘技术审计和检测数据中心存在的安全漏洞以及安全漏洞被利用的方式。
安全审计系统主要采用分层的思想进行构建,具体结构如图3所示。安全审计系统的目标是随着数据入侵检测技术的不断成熟,安全审计系统知识库、规则库以及审计数据库的不断完善,最终实现对数据中心各种操作和数据的实时与准实时的审计和处理,达到数据中心安全防范的整体目标。
2.3.数据隔离恢复层
数据隔离恢复层是对数据中心中的隐患或者不安全数据和操作进行的相关处理,包括数据隔离和数据恢复,主要目的是将隐患或者不安全数据和操作赶出数据中心,以保证数据中心的安全。
(1)数据隔离(Data Isolation)
为了避免隐患或者不安全数据和操作造成的数据受损范围的扩大,当发现数据中心存在隐患或者不安全数据和操作时,必须进行数据隔离,禁止所有用户对相关数据的请求,在数据修复之后解除隔离,从而有效地避免在数据恢复阶段由于数据共享导致的数据中心受损范围的扩大,包括物理隔离技术和软件隔离技术两个层面。主要策略包括以下方面:
①隔离的完整性
数据隔离仅对受损数据有效,而不影响用户合法的数据请求,同时,数据隔离的粒度要尽可能的小,数据项级别要达到元组级或者元素级。
②隔离的有效性
除了受损数据恢复进程,任何用户请求都不能直接访问受损数据,即使是
请求中子查询操作也应该被隔离。
③隔离的效率
隔离数据不需占用太多的系统空间资源,同时,受损数据的隔离应具有较高的执行效率,且不会对数据中心的系统性能造成较大的影响。
(2)数据恢复(Data Reconstruction)
数据隔离恢复层应该具有较强的自愈性,能够及时自动修复受损的数据,以保证数据中心系统的稳定性和数据的完整性。
2.4.数据安全备份层
数据的安全备份是数据中心容灾的基础,是指防止数据中心的数据由于操作失误、系统故障或者恶意攻击而导致的丢失,将数据全部或部分复制的过程。为了保证数据的安全,在数据中心中通常使用两个或者多个数据库,互为主、备用,包括数据库的实时同步和数据库的备份两个方面。
(1)实时同步(Real-time Synchronization)
数据库的实时同步主要是指根据需要使数据库操作持部分或者完全一致。数据库的实时同步有两种实现方式:一种是根据数据库中的访问日志,采用镜像技术使主用数据库与备用数据库中的数据保持绝对一致,当主用数据库发生故障或损坏时,备用数据库可以自动代替其功能,并作为恢复主用数据库的数据源。这种方式往往比较适合同一种类型的数据库,并且数据库的数据结构完全一致的情况。如果要把这种数据库的同步方式应用于不同类型的数据库或者是不同的数据结构时都会遇到困难。另一种实现方式是通过分析主、备用数据库中的内容,找出之问的差异,并将差异部分的记录写入对方数据库中,达到数据同步的目的。这种方式对数据库的类型以及数据库的数据结构没有严格要求,这是因为当数据从一个数据库中调出,在写入另一数据库中之前,可以做适当的数据类型转换,从而实现数据库中的数据一致。而且还可以使用ODBC接口来访问数据库,因而,这种数据库同步的实现方式可以适用于各种类型数据库以及各种数据结构的数据库之间的数据同步。
(2)数据库备份(Data Backup)
常用的数据备份方式有定期磁盘(光盘)备份数据、远程数据库备份、网络
数据镜像和远程镜像磁盘。数据中心建设主要采用网络备份方式,网络备份主要通过专业的数据存储管理软件结合相应的硬件和存储设备来实现,采用如下策略和手段:
①完全备份
每天对数据中心的数据进行完全备份,保证数据库的实时同步,主要优点是数据恢复及时、完整,缺点是备份繁琐、费时,且占用大量的空间资源。
②增量备份
指定每周的一天进行一次完全备份,其余时间只进行新增或者修改数据的备份,主要优点是节省备份时间和空间资源,缺点是数据恢复比较麻烦。
③差分备份
指定每周的一天进行一次完全备份,其余时间只进行所有与这天不同数据的备份,差分备份可以较好地避免完全备份和增量备份带来的缺陷。
在数据中心的建设中,通常是综合使用以上3种策略,即每周一至周六进行差分备份或者增量备份,每周日进行完全备份,每月、每季与每年进行一次数据库的完全备份。
这里针对当前数据中心建设中出现的安全隐患和安全风险,对数据中心建设的数据问题安全进行深入细致的研究和分析,提出了4层架构的数据安全策略。该安全策略对保护数据中心数据的稳定性、可靠性、抗抵赖性和安全性提供了较强的理论指导意义。
数据中心架构建设计方案建议书 1、数据中心网络功能区分区说明 功能区说明 图1:数据中心网络拓扑图 数据中心网络通过防火墙和交换机等网络安全设备分隔为个功能区:互联网区、应用服务器区、核心数据区、存储数据区、管理区和测试区。可通过在防火墙上设置策略来灵活控制各功能区之间的访问。各功能区拓扑结构应保持基本一致,并可根据需要新增功能区。 在安全级别的设定上,互联网区最低,应用区次之,测试区等,核心数据区和存储数据区最高。 数据中心网络采用冗余设计,实现网络设备、线路的冗余备份以保证较高的可靠性。 互联网区网络 外联区位于第一道防火墙之外,是数据中心网络的Internet接口,提供与Internet高速、可靠的连接,保证客户通过Internet访问支付中心。 根据中国南电信、北联通的网络分割现状,数据中心同时申请中国电信、中国联通各1条Internet线路。实现自动为来访用户选择最优的网络线路,保证优质的网络访问服务。当1条线路出现故障时,所有访问自动切换到另1条线路,即实现线路的冗余备份。
但随着移动互联网的迅猛发展,将来一定会有中国移动接入的需求,互联区网络为未来增加中国移动(铁通)链路接入提供了硬件准备,无需增加硬件便可以接入更多互联网接入链路。 外联区网络设备主要有:2台高性能链路负载均衡设备F5 LC1600,此交换机不断能够支持链路负载,通过DNS智能选择最佳线路给接入用户,同时确保其中一条链路发生故障后,另外一条链路能够迅速接管。互联网区使用交换机可以利用现有二层交换机,也可以通过VLAN方式从核心交换机上借用端口。 交换机具有端口镜像功能,并且每台交换机至少保留4个未使用端口,以便未来网络入侵检测器、网络流量分析仪等设备等接入。 建议未来在此处部署应用防火墙产品,以防止黑客在应用层上对应用系统的攻击。 应用服务器区网络 应用服务器区位于防火墙内,主要用于放置WEB服务器、应用服务器等。所有应用服务器和web服务器可以通过F5 BigIP1600实现服务器负载均衡。 外网防火墙均应采用千兆高性能防火墙。防火墙采用模块式设计,具有端口扩展能力,以满足未来扩展功能区的需要。 在此区部署服务器负载均衡交换机,实现服务器的负载均衡。也可以采用F5虚拟化版本,即无需硬件,只需要使用软件就可以象一台虚拟服务器一样,运行在vmware ESXi上。 数据库区
数据中心安全建设方案
数据中心安全解决方案
目录 第一章解决方案 (2) 1.1建设需求 (2) 1.2建设思路 (2) 1.3总体方案 (3) 1.3.1 IP准入控制系统 (4) 1.3.2 防泄密技术的选择 (6) 1.3.3 主机账号生命周期管理系统 (6) 1.3.4 数据库账号生命周期管理系统.. 7 1.3.5 令牌认证系统 (7) 1.3.6 数据库审计系统 (8) 1.3.7 数据脱敏系统 (8) 1.3.8 应用内嵌账号管理系统 (9) 1.3.9 云计算平台 (12) 1.3.10 防火墙 (13) 1.3.11 统一安全运营平台 (13) 1.3.12 安全运维服务 (15) 1.4实施效果 (15) 1.4.1 针对终端接入的管理 (15) 1.4.2 针对敏感数据的使用管理 (16) 1.4.3 针对敏感数据的访问管理 (17) 1.4.4 针对主机设备访问的管理 (17)
1.4.5 针对数据库访问的管理 (18) 1.4.6 针对数据库的审计 (19) 1.4.7 针对应用内嵌账号的管理 (21) 1.4.8 安全运营的规范 (21) 1.4.9 针对管理的优化 (22) 第二章项目预算及项目要求 (23) 2.1项目预算 (23) 2.1.1 项目一期预算 (23) 2.1.2 一期实现目标 (24) 2.2项目要求 (25) 2.2.1 用户环境配合条件 (25)
第一章解决方案 1.1建设需求 XXX用户经过多年的信息化建设,各项业务都顺利的开展起来了,数据中心已经积累了很多宝贵的数据,这些无形的资产比硬件资产还重要,但它们却面临着非常大的安全挑战。 在早期的系统建设过程中,大多用户不会考虑数据安全、应用安全层面的问题,经过多年的发展,数据中心越来越庞大,业务越来越复杂,但信息安全完全没有配套建设,经常会发生一些安全事件,如:数据库的表被人删除了、主机密码被人修改了、敏感数据泄露了、特权账号被第三方人员使用等等情况,而这些安全事件往往都是特权用户从后台直接操作的,非常隐蔽,这时候往往无从查起。 其实,信息安全建设在系统的设计初期开始,就应该要介入,始终贯穿其中,这样花费的人力物力才是最小。当一个系统建成后,发现问题了,回头再来考虑安全建设,这样投入的成本将会变得最大。 1.2建设思路 数据中心的安全体系建设并非安全产品的堆砌,它是一个根据用户具体业务环境、使用习惯、安全策略要求等多个方面构建的一套生态体系,涉及众多的安全技术,实施过程需要涉及大量的调研、咨询等工作,还会涉及到众多的安全厂家之间的协调、产品的选型,安全系统建成后怎么维持这个生态体系的平衡,是一个复杂的系统工程,一般建议分期投资建设,从技术到管理,逐步实现组织的战略目标。 整体设计思路是将需要保护的核心业务主机包及数据库围起来,与其他网络区域进行逻辑隔离,封闭一切不应该暴漏的端口、IP,在不影响现有业务的情况下形成数据孤岛,设置固定的数据访问入口,对入口进行严格的访问控制及审计。由之前的被动安全变为主动防御,控制安全事故的发生,对接入系统
计算机数据中心机房系统设计方案 (模板)
目录 1.机房设计方案 6 1.1概述 6 1.1.1概述 6 1.1.2工程概述说明 6 1.1.3设计原则7 1.1.4建设内容实施7 1.1.5设计依据8 1.1.6引用标准8 1.1.7设计指标9 1.1.9设计思想及特点11 1.1.10绿色数据中心建设12 1.2装饰装修工程14 1. 2.1机房的平面布局和功能室的划分14 1.2.2装修材料的选择14 1.2.3机房装饰的特殊处理17 1.3供配电系统(UPS系统)18 1. 3.1供配电系统设计指标18 1.3.2供配电系统构成20 1.3.3供配电系统技术说明20 1.3.4供配电设计21 1.3.5电池22 1.4通风系统(新风和排风)22 1. 4.1设计依据22
1.4.2设计目标22 1.4.3设计范围22 1.4.4新风系统22 1.4.5排烟系统23 1.4.6风幕机系统23 1.5精密空调系统23 1.5.1机房设备配置分析23 1.6防雷接地系统25 1.6.1需求分析25 1.6.2系统设计25 1.7综合布线系统26 1.7.1系统需求分析26 1.7.2机房布线方案27 1.7.3子系统主要技术说明27 1.8门禁系统28 1.8.1需求分析28 1.8.2系统设计28 1.9机房视频监控29 1.9.1项目概述29 1.9.2设计原则29 1.9.3总体目标30 1.9.4设计依据30 1.9.5机房视频监控规划31 1.10环境集中监控系统33 1.10.1概述33 1.10.2设备监控分析33 1.10.3机房动环设备集中监控平台一套35
XX数据中心信息系统安全建设项目 技术方案
目录1.项目概述4 1.1.目标与范围4 1.2.参照标准4 1.3.系统描述4 2.安全风险分析5 2.1.系统脆弱性分析5 2.2.安全威胁分析5 2.2.1.被动攻击产生的威胁5 2.2.2.主动攻击产生的威胁5 3.安全需求分析7 3.1.等级保护要求分析7 3.1.1.网络安全7 3.1.2.主机安全8 3.1.3.应用安全9 3.2.安全需求总结9 4.整体安全设计10 4.1.安全域10 4.1.1.安全域划分原则10 4.1.2.安全域划分设计11 4.2.安全设备部署12 5.详细安全设计13 5.1.网络安全设计13 5.1.1.抗DOS设备13 5.1.2.防火墙14 5.1.3.WEB应用安全网关15 5.1.4.入侵防御16
5.1.5.入侵检测17 5.1. 6.安全审计18 5.1.7.防病毒18 5.2.安全运维管理19 5.2.1.漏洞扫描19 5.2.2.安全管理平台19 5.2.3.堡垒机21 6.产品列表21
1.项目概述 1.1.目标与范围 本次数据中心的安全建设主要依据《信息安全技术信息安全等级保护基本要求》中的技术部分,从网络安全,主机安全,应用安全,来对网络与服务器进行设计。根据用户需求,在本次建设完毕后XX数据中心网络将达到等保三级的技术要求。 因用户网络为新建网络,所以本次建设将完全按照《信息安全技术信息安全等级保护基本要求》中技术部分要求进行。 1.2.参照标准 GB/T22239-2008《信息安全技术信息安全等级保护基本要求》 GB/T 22239-2008《信息安全技术信息安全等级保护基本要求》 GB/T 22240-2008《信息安全技术信息系统安全等级保护定级指南》 GB/T 20270-2006《信息安全技术网络基础安全技术要求》 GB/T 25058-2010《信息安全技术信息系统安全等级保护实施指南》 GB/T 20271-2006《信息安全技术信息系统安全通用技术要求》 GB/T 25070-2010《信息安全技术信息系统等级保护安全设计技术要求》 GB 17859-1999《计算机信息系统安全保护等级划分准则》 GB/Z 20986-2007《信息安全技术信息安全事件分类分级指南》 1.3.系统描述 XX数据中心平台共有三个信息系统:能源应用,环保应用,市节能减排应用。 企业节点通过企业信息前置机抓取企业节点数据,并把这些数据上传到XX 数据中心的数据库中,数据库对这些企业数据进行汇总与分析,同时企业节点也可以通过VPN去访问XX数据中心的相关应用。
机房新风系统设计方案 空调与新风系统,是运行环境的保障。高可靠的机房设备运行环境,包括温度、湿度、洁净度。计算机场地系统终年是在恒温恒湿条件下运行的。只有窗户密封才能保证系统温、湿度正常运行。机房里的计算机设备要产生大量的热量,而且对环境中的灰尘数量有严格的要求,这些都对空调系统提出了更高的要求。为使机房保持恒定的温度和湿度,需要选用机房专用的精密空调。同时机房还必须补充新风,自然界的新风只有通过新风系统处理后才能进入机房,形成内部循环,并对新风进行过滤,使之达到一定的净化要求。 一、为什么要装机房新风系统 机房精密空调系统的使用功能是为保证机房设备能够连续、稳定、可靠地运行,需要排出机房内设备及其它热源所散发的热量,维持机房内恒温恒湿状态,并控制机房的空气含尘量。为此要求机房精密空调系统具有送风、回风、加热、加湿、冷却、减湿和空气净化的能力,机房精密空调系统是保证良好机房环境的最重要设备,应采用恒温恒湿精密空调系统来满足新风系统的需求。 目前机房新风系统已经受到了人们的关注,特别是一些大型机房,一般都装有新风系统,还有一些网吧也开始安装新风系统,所以现在我们去一些高档网吧或者休闲区,不会感到一股燥热难受的气息,这是因为它们装了机房新风系统,24小时保持室内通风换气。 二、机房新风工作原理
工作原理:当室内空调回风和室外新风分别成正交叉方式经热交换器时,由于平隔板两侧气流存在着温度差和水蒸汽分压力差,两股气流间同时产生热传质,引起全热交换过程。当安装在系统上的全热交换器在夏季运行时,新风从空调回风中获得冷量,使温度降低;同时被回风干燥,是新风从空调回风中获得热能,使温度升高,同时被回风加湿。 三、机房新风系统作用 机房新风换气系统主要有两个作用:其一给机房提供足够的新鲜空气,和维持机房对外的正压差。新排风系统的风管及风口位置应配合空调系统和室内结构来合理布局。
数据中台之结构化大数据存储设计 一.前言 任何应用系统都离不开对数据的处理,数据也是驱动业务创新以及向智能化发展最核心的东西。这也是为何目前大多数企业都在构建数据中台的原因,数据处理的技术已经是核心竞争力。在一个完备的技术架构中,通常也会由应用系统以及数据系统构成。应用系统负责处理业务逻辑,而数据系统负责处理数据。 传统的数据系统就是所谓的『大数据』技术,这是一个被创造出来的名词,代表着新的技术门槛。近几年得益于产业的发展、业务的创新、数据的爆发式增长以及开源技术的广泛应用,经历多年的磨炼以及在广大开发者的共建下,大数据的核心组件和技术架构日趋成熟。特别是随着云的发展,让『大数据』技术的使用门槛进一步降低,越来越多的业务创新会由数据来驱动完成。 『大数据』技术会逐步向轻量化和智能化方向发展,最终也会成为一个研发工程师的必备技能之一,而这个过程必须是由云计算技术来驱动以及在云平台之上才能完成。应用系统和数据系统也会逐渐融合,数据系统不再隐藏在应用系统之后,而是也会贯穿在整个业务交互逻辑。传统的应用系统,重点在于交互。而现代的应用系统,在与你交互的同时,会慢慢的熟悉你。数据系统的发展驱动了业务系统的发展,从业务化到规模化,再到智能化。 业务化:完成最基本的业务交互逻辑。 规模化:分布式和大数据技术的应用,满足业务规模增长的需求以及数据的积累。 智能化:人工智能技术的应用,挖掘数据的价值,驱动业务的创新。 向规模化和智能化的发展,仍然存在一定的技术门槛。成熟的开源技术的应用能让一个大数据系统的搭建变得简单,同时大数据架构也变得很普遍,例如广为人知的Lambda架构,一定程度上降低了技术的入门门槛。但是对数据系统的后续维护,例如对大数据组件的规模化应用、运维管控和成本优化,需要掌握大数据、分布式技术及复杂环境下定位问题的能力,仍然具备很高的技术门槛。 数据系统的核心组件包含数据管道、分布式存储和分布式计算,数据系统架构的搭建会是使用这些组件的组合拼装。每个组件各司其职,组件与组件之间进行上下游的数据交换,而不同模块的选择和组合是架构师面临的最大的挑战。 本篇文章主要面向数据系统的研发工程师和架构师,我们会首先对数据系统核心组件进行拆解,介绍每个组件下对应的开源组件以及云上产品。之后会深入剖析数据系统中结构化数据的存储技术,介绍阿里云Tablestore选择哪种设计理念来更好的满足数据系统中对结构化数据存储的需求。 二.数据系统架构 1.核心组件
第1章数据仓库建设 1.1数据仓库总体架构 专家系统接收增购项目车辆TCMS或其他子系统通过车地通信传输的实时或离线数据,经过一系列综合诊断分析,以各种报表图形或信息推送的形式向用户展示分析结果。针对诊断出的车辆故障将给出专家建议处理措施,为车辆的故障根因修复提供必要的支持。 根据专家系统数据仓库建设目标,结合系统数据业务规范,包括数据采集频率、数据采集量等相关因素,设计专家系统数据仓库架构如下: 数据仓库架构从层次结构上分为数据采集、数据存、数据分析、数据服务等几个方面的内容: 数据采集:负责从各业务自系统中汇集信息数据,系统支撑Kafka、Storm、Flume
及传统的ETL采集工具。 数据存储:本系统提供Hdfs、Hbase及RDBMS相结合的存储模式,支持海量数据的分布式存储。 数据分析:数据仓库体系支持传统的OLAP分析及基于Spark常规机器学习算法。 数据服务总线:数据系统提供数据服务总线服务,实现对数据资源的统一管理和调度,并对外提供数据服务。 1.2数据采集 专家系统数据仓库数据采集包括两个部分内容:外部数据汇集、内部各层数据的提取与加载。外部数据汇集是指从TCMS、车载子系统等外部信息系统汇集数据到专家数据仓库的操作型存储层(ODS);内部各层数据的提取与加载是指数据仓库各存储层间的数据提取、转换与加载。 1.2.1外部数据汇集 专家数据仓库数据源包括列车监控与检测系统(TCMS)、车载子系统等相关子系统,数据采集的内容分为实时数据采集和定时数据采集两大类,实时数据采集主要对于各项检测指标数据;非实时采集包括日检修数据等。 根据项目信息汇集要求,列车指标信息采集具有采集数据量大,采集频率高的特点,考虑到系统后期的扩展,因此在数据数据采集方面,要求采集体系支持高吞吐量、高频率、海量数据采集,同时系统应该灵活可配置,可根据业务的需要进行灵活配置横向扩展。 本方案在数据采集架构采用Flume+Kafka+Storm的组合架构,采用Flume和ETL 工具作为Kafka的Producer,采用Storm作为Kafka的Consumer,Storm可实现对海量数据的实时处理,及时对问题指标进行预警。具体采集系统技术结构图如下:
1.1 建设思路 数据中心的安全体系建设并非安全产品的堆砌,它是一个根据用户具体业务环境、使用习惯、安全策略要求等多个方面构建的一套生态体系,涉及众多的安全技术,实施过程需要涉及大量的调研、咨询等工作,还会涉及到众多的安全厂家之间的协调、产品的选型,安全系统建成后怎么维持这个生态体系的平衡,是一个复杂的系统工程,一般建议分期投资建设,从技术到管理,逐步实现组织的战略目标。 整体设计思路是将需要保护的核心业务主机包及数据库围起来,与其他网络区域进行逻辑隔离,封闭一切不应该暴漏的端口、IP,在不影响现有业务的情况下形成数据孤岛,设置固定的数据访问入口,对入口进行严格的访问控制及审计。由之前的被动安全变为主动防御,控制安全事故的发生,对接入系统的人员进行有效的认证、授权、审计,让敏感操作变得更加透明,有效防止安全事件的发生。 在访问入口部署防火墙、账号生命周期管理系统、数据加密系统、令牌认证系统、审计系统等安全设施,对所有外界向核心区域主机发起的访问进行控制、授权、审计,对流出核心区域的批量敏感数据进行加密处理,所有加密的数据将被有效的包围在安全域之内,并跟踪数据产生、扭转、销毁的整个生命周期,杜绝敏感数据外泄及滥用行为。 为了保证XXX用户的业务连续性,各安全子系统都采用旁路的方式部署到网络当中,其中账号生命周期管理系统、审计系统、数据库都采用双机的模式,以提供自身的高可靠性;加密系统、特权账号生命周期管理系统、令牌认证系统都建议部署在VMware云计算平台上,利用VMware 强大的服务器虚拟化能力为防泄密系统提供良好的可靠性与可扩展性保证。
1.2 建设需求 XXX用户经过多年的信息化建设,各项业务都顺利的开展起来了,数据中心已经积累了很多宝贵的数据,这些无形的资产比硬件资产还重要,但它们却面临着非常大的安全挑战。 在早期的系统建设过程中,大多用户不会考虑数据安全、应用安全层面的问题,经过多年的发展,数据中心越来越庞大,业务越来越复杂,但信息安全完全没有配套建设,经常会发生一些安全事件,如:数据库的表被人删除了、主机密码被人修改了、敏感数据泄露了、特权账号被第三方人员使用等等情况,而这些安全事件往往都是特权用户从后台直接操作的,非常隐蔽,这时候往往无从查起。 其实,信息安全建设在系统的设计初期开始,就应该要介入,始终贯穿其中,这样花费的人力物力才是最小。当一个系统建成后,发现问题了,回头再来考虑安全建设,这样投入的成本将会变得最大。 1.3 总体方案 信息安全系统整体部署架构图
目录 编制说明 (4) 一、编制依据 (5) 二、工程概况 (6) 三、施工总平面布臵及说明 (8) 四、施工准备 (9) 1. 现场准备 (9) 2. 技术准备 (9) 3. 劳动力准备 (10) 4. 材料准备 (11) 5. 机械设备准备 (12) 五、施工部署 (12) 1. 工程项目组织机构 (12) 2. 各部门职责 (13) 3. 总体部署原则 (15) 4. 施工协调管理: (16) 5. 协调方式 (17) 6. 施工垃圾处理: (18) 7. 施工临时用电计划 (18) 六、工程施工计划及其说明 (21) 1. 进度计划保证措施 (21)
2.技术工人需用计划( 见表6-1) (21) 3.主要施工机械设备需用计划(见表6-3、表6-4) (22) 4.节约计划(降低成本措施) (23) 5.技术节约措施 (24) 七、主要工程项目的施工程序和施工方法 (26) 1.总施工工艺流程 (26) 2.机房内吊顶板施工方法 (26) 3.墙面彩钢板施工工艺 (27) 4.玻璃隔墙安装施工工艺 (27) 5.抗静电活动地板铺设施工工艺 (28) 6.玻化砖铺设施工工艺 (29) 7.电气安装施工工艺: (30) 8.空调工程安装施工工艺 (41) 9.机房集中监控弱电系统工程施工程序及要求: (43) 10.综合布线系统施工方案及工艺要求 (44) 11.机房监控工程: (49) 12.KVM系统施工方案及工艺要求: (51) 13.消防报警系统工艺流程 (53) 八、工程质量管理目标 (54) 1.质量方针 (54) 2.质量目标 (55) 3.工期目标 (55)
常见的大数据平台架构设计思路 近年来,随着IT技术与大数据、机器学习、算法方向的不断发展,越来越多的企业都意识到了数据存在的价值,将数据作为自身宝贵的资产进行管理,利用大数据和机器学习能力去挖掘、识别、利用数据资产。如果缺乏有效的数据整体架构设计或者部分能力缺失,会导致业务层难以直接利用大数据大数据,大数据和业务产生了巨大的鸿沟,这道鸿沟的出现导致企业在使用大数据的过程中出现数据不可知、需求难实现、数据难共享等一系列问题,本文介绍了一些数据平台设计思路来帮助业务减少数据开发中的痛点和难点。 本文主要包括以下几个章节: 本文第一部分介绍一下大数据基础组件和相关知识。第二部分会介绍lambda架构和kappa架构。第三部分会介绍lambda和kappa架构模式下的一般大数据架构第四部分介绍裸露的数据架构体系下数据端到端难点以及痛点。第五部分介绍优秀的大数据架构整体设计从第五部分以后都是在介绍通过各种数据平台和组件将这些大数据组件结合起来打造一套高效、易用的数据平台来提高业务系统效能,让业务开发不在畏惧复杂的数据开发组件,无需关注底层实现,
只需要会使用SQL就可以完成一站式开发,完成数据回流,让大数据不再是数据工程师才有的技能。 一、大数据技术栈 大数据整体流程涉及很多模块,每一个模块都比较复杂,下图列出这些模块和组件以及他们的功能特性,后续会有专题去详细介绍相关模块领域知识,例如数据采集、数据传输、实时计算、离线计算、大数据储存等相关模块。 二、lambda架构和kappa架构 目前基本上所有的大数据架构都是基于lambda和kappa 架构,不同公司在这两个架构模式上设计出符合该公司的数据体系架构。lambda 架构使开发人员能够构建大规模分布式数据处理系统。它具有很好的灵活性和可扩展性,也对硬件故障和人为失误有很好的容错性,关于lambda架构可以在网上搜到很多相关文章。而kappa架构解决了lambda架构存在的两套数据加工体系,从而带来的各种成本问题,这也是目前流批一体化研究方向,很多企业已经开始使用这种更为先进的架构。 Lambda架构
高效实现数据仓库的七个步骤 数据仓库和我们常见的RDBMS系统有些亲缘关系,但它又有所不同。如果你没有实施过数据仓库,那么从设定目标到给出设计,从创建数据结构到编写数据分析程序,再到面对挑剔的用户的评估,整个过程都会带给你一种与以往的项目完全不同的体验。一句话,如果你试图以旧有的方式创建数据仓库,那你所面对的不是预算超支就是所建立的数据仓库无法良好运作。 在处理一个数据仓库项目时需要注意的问题很多,但同时也有很多有建设性的参考可以帮助你更顺利的完成任务。开放思维,不断尝试新的途径,对于找到一种可行的数据仓库实现方法来说也是必需的。 1. 配备一个全职的项目经理或你自己全面负责项目管理 在通常情况下,项目经理都会同时负责多个项目的实施。这么做完全是出于资金和IT资源方面的考虑。但是对于数据仓库项目的管理,绝对不能出现一人身兼数个项目的情况。由于你所处的领域是你和你的团队之前没有进入过的领域,有关数据仓库的一切-数据分析、设计、编程、测试、修改、维护-全都是崭新的,因此你或者你指派的项目经理如果能全心投入,对于项目的成功会有很大帮助。 2. 将项目管理职责推给别的项目经理 由于数据仓库实现过程实在是太困难了,为了避免自虐,你可以在当前阶段的项目完成后就将项目管理职责推给别的项目经理。当然,这个新的项目经理一定要复合第一条所说的具有全职性。为什么要这么做呢?首先,从项目经理的角度看,数据仓库实施过程的任何一个阶段都足以让人身心疲惫。从物理存储设备的开发到Extract-Transform-Load的实现,从设计开发模型到OLAP,所有阶段都明显的比以前接触的项目更加困难。每个阶段不但需要新的处理方法、新的管理方法,还需要创新性的观点。所以将管理职责推给别的项目经理不但不会对项目有损害,还可以起到帮助作用。 3.与用户进行沟通 这里所讲的内容远比一篇文章本身要重要的多。你必须明白,在数据仓库的设计阶段,那些潜在用户自己也不清楚他们到底需要数据仓库为他们做什么。他们在不断的探索和发现自己的需求,而你的开发团队也在和客户的接触中做着同样的事情。更加频繁的与客户接触,多做记录,
数据中心安全建设方案The document was prepared on January 2, 2021
数据中心安全解决方案
目录
第一章解决方案 1.1建设需求 XXX用户经过多年的信息化建设,各项业务都顺利的开展起来了,数据中心已经积累了很多宝贵的数据,这些无形的资产比硬件资产还重要,但它们却面临着非常大的安全挑战。 在早期的系统建设过程中,大多用户不会考虑数据安全、应用安全层面的问题,经过多年的发展,数据中心越来越庞大,业务越来越复杂,但信息安全完全没有配套建设,经常会发生一些安全事件,如:数据库的表被人删除了、主机密码被人修改了、敏感数据泄露了、特权账号被第三方人员使用等等情况,而这些安全事件往往都是特权用户从后台直接操作的,非常隐蔽,这时候往往无从查起。 其实,信息安全建设在系统的设计初期开始,就应该要介入,始终贯穿其中,这样花费的人力物力才是最小。当一个系统建成后,发现问题了,回头再来考虑安全建设,这样投入的成本将会变得最大。 1.2建设思路 数据中心的安全体系建设并非安全产品的堆砌,它是一个根据用户具体业务环境、使用习惯、安全策略要求等多个方面构建的一套生态体系,涉及众多的安全技术,实施过程需要涉及大量的调研、咨询等工作,还会涉及到众多的安全厂家之间的协调、产品的选型,安全系统建成后怎么维持这个生态体系的平衡,是一个复杂的系统工程,一般建议分期投资建设,从技术到管理,逐步实现组织的战略目标。 整体设计思路是将需要保护的核心业务主机包及数据库围起来,与其他网络区域进行逻辑隔离,封闭一切不应该暴漏的端口、IP,在不影响现有业务的情况下形成数据孤岛,设置固定的数据访问入口,对入口进行严格的访问控制及审计。由之前的被动安全变为主动防御,控制安全事故的发生,对接入系统
工业产品环境适应性公共技术服务平台信息化系统建设方案
1. 平台简介 工业产品环境适应性公共技术服务平台是面向工业企业、高校、科研机构等提供产品/材料环境适应性技术服务的平台。平台服务内容主要包括两部分,一是产品环境适应性测试评价服务,一是产品环境适应性大数据服务。测试评价服务是大数据的主要数据来源和基础,大数据服务是测试评价服务的展示、延伸和增值服务。工业产品环境适应性公共技术服务平台服务行业主要包括汽车、光伏、风电、涂料、塑料、橡胶、家电、电力等。 平台的测试评价服务依据ISO 17025相关要求开展。测试评价服务涉及2个自有实验室、8个自有户外试验场和超过20个合作户外试验场。见图1 图1环境适应性测试评价服务实验室概况
平台的大数据服务,基于产品环境适应性测试评价获取的测试数据以及相关信息,利用数据分析技术,针对不同行业提供产品环境适应性大数据服务,包括但不限于: (1)产品环境适应性基础数据提供; (2)产品环境适应性调研分析报告; (3)产品环境适应性分析预测; (4)产品环境适应性技术规范制定; 2. 信息化系统概述 信息化系统由两个子系统构成,即产品环境适应性测试评价服务管理系统和产品环境适应性大数据服务数据库系统。两个系统紧密关联,大数据系统的主要数据来源于测试评价服务产生的测试数据和试验相关信息,大数据服务是测试评价服务的展示、延伸和增值服务。 信息化系统的整体框架详见图2. 3. 产品环境适应性测试评价服务管理系统 3.1建设内容 (1)测试评价业务的流程化和信息化 实现从来样登记、委托单下达、测试评价记录上传、报告审批、印发到样品试毕处理、收费管理等全流程电脑信息化管理;同时实现电子签名、分类统计、检索、自动提醒、生成报表等功能。 (2)实验室/试验场管理信息化
智能新风系统及送风优化节能施工 一、IDC机房环境要求 根据《中国电信数据中心机房电源、空调环境设计规范(暂行)》,机房环境规定如下: 1、以通信行业标准规定的通信设备(交换设备、传输设备、数据网络设备)的正常使用环境要求为基础,确定数据中心机房的环境要求。 2、机房环境温湿度要求:AA级、A级机房温度为21-25℃,相对湿度40%-70%;B、C级机房温度为18-28℃,相对湿度40%-70%,温度变化率小于5℃/h,且不结露。 3、机房洁净度要求。机房内灰尘粒子应为非导电、非导磁及无腐蚀的粒子。灰尘粒子浓度应满足: (1)直径大于等于0.5μm的灰尘粒子浓度≤18000粒/升; (2)直径大于等于5μm的灰尘粒子浓度≤300粒/升。
二、设计依据及节能诊断 2.1 设计依据 《电子计算机机房设计规范》 《中国电信数据中心机房电源、空调环境设计规范(暂行)》 《中国电信数据中心机房电源、空调环境验收规范(暂行)》 《数据中心机房空气调节系统的设计与运行维护》 2.2 负荷计算 根据IDC 机房的负荷特点,四楼、六楼负荷为200kW ,预配置四台智能通风机组,五楼负荷为50kW ,预配置单台智能通风机组,单台机组需承担的负荷为50kW ,则新风量: 1492510 1.0051.250 3600T C 3600W Q p =???=?= ρm 3/h 故机组的设计风量为15000 m 3/h 。
三、节能改造方案 3.1 改造方案 考虑到本项目工程存在的问题,结合现场情况,拟采用智能新风系统,结合优化送风方案,在室内外温差大于10℃时,运行本系统可停开现有机房空调,预计年节电率可达60%左右,具体方案如下: 3.1.1本系统采用智能新风系统,直接利用室外新风对室内进行降温;在新风引入口加设自洁式过滤器,减少引用新风对机房带来的洁净度的威胁。 3.1.2未做精确送风的机房气流组织采取下送上回的方式,将处理后的空气送到列间的下方,优化气流组织;安装有风管精确送风的机房,将新风系统的送风并入机房原有送风系统,统一按需送入指定位置。 3.1.3采用智能新风技术克服了自然冷源利用时空间的局限性,同时配合智能温湿度控制和中效过滤技术,提高了系统的节能效果和安全性。 3.2 系统原理说明 本方案采用机房智能新风系统进行新风换气、降温,其作用原理如图2所示,系统包括自洁式滤筒、混合段、活性炭过滤段、亚高效过滤段、送风段等,根据室内外环境温湿度参数系统分为三种工况运行。 图2 智能系统系统原理示意图 表1 MZT系列设备参数表 型号送风量 (m3/h)排风量 (m3/h) 显冷量 (kW) 功率 (kW) 外形尺寸 (W×D×H,mm) 过滤等级 MZT-50 15000 13000 50 3.55 1500×750×1850 三级备注:1、电力室排风为送风量的105%,即排风为15750m3/h;2、三级过滤为初效过滤、活性炭(除硫)过滤和亚高效过滤。
存储架构 三种常见架构:DAS DAS、、NAS NAS、 、SAN 在数据存储中,存储设备与服务器的连接方式通常有三种形式:1、存储设备与服务器直接相连接--DAS;2、存储设备直接联入现有的TCP/IP 的网络中NAS; 3、将各种存储设备集中起来形成一个存储网络,以便于数据的集中管理--SAN。 1、什么是直接附属存储(、什么是直接附属存储(DAS DAS DAS)? )?DAS(Direct Attached Storage,直接附属存储),也可称为SAS(Server-Attached Storage,服务器附加存储)。DAS 被定义为直接连接在各种服务器或客户端扩展接口下的数据存储设备,它依赖于服务器,其本身是硬件的堆叠,不带有任何存储操作系统。在这种方式中,存储设备是通过电缆(通常是SCSI 接口电缆)直接到服务器的,I/O(输入/输入)请求直接发送到存储设备。DAS 适用于以下几种环境: 1)服务器在地理分布上很分散,通过SAN(存储区域网络)或NAS(网络直接存储)在它们之间进行互连非常困难; 2)存储系统必须被直接连接到应用服务器; 3)包括许多数据库应用和应用服务器在内的应用,它们需要直接连接到存储器上,群件应用和一些邮件服务也包括在内。
典型DAS 结构如图所示: 对于多个服务器或多台PC 的环境, 使用DAS 方式设备的初始费用可能比较 低,可是这种连接方式下,每台PC 或 服务器单独拥有自己的存储磁盘,容量 的再分配困难;对于整个环境下的存储 系统管理,工作烦琐而重复,没有集中管理解决方案。所以整体的拥有成本(TCO)较高。目前DAS 基本被NAS 所代替。 2、什么是网络附属存储(、什么是网络附属存储(NAS NAS NAS)? )?NAS NAS((Network Attached Storage Storage:网络附属存储) :网络附属存储)是一种将分布、独立的数据整合为大型、集中化管理的数据中心,以便于对不同主机和应用服务器进行访问的技术。按字面简单说就是连接在网络上,具备资料存储功能的装置,因此也称为“网络存储器”。它是一种专用数据存储服务器。它以数据为中心,将存储设备与服务器彻底分离,集中管理数据,从而释放带宽、提高性能、降低总拥有成本、保护投资。其成本远远低于使用服务器存储,而效率却远远高于后者。NAS (Network Attached Storage,网络附属存储),是一种专业的网络文件存储及文件备份设备,或称为网络直联存储设备、网络磁盘阵列。NAS 存储的特点
数据中心建设方案 信息技术有限公司 目录 第1章方案概述 (2) 1.1. 建设背景 (3) 1.2. 当前现状 (4)
1.3. 建设目标 (5) 第2章方案设计原则 (7) 2.1. 设计原则 (7) 22 设计依据 (8) 第3章数据中心方案架构 (9) 3.1数据中心架构设计 (9) 3.2大数据处理设计 (16) 3.3大数据存储设计 (23) 3.4安全设计 (25) 3.5平台搭建实施步骤 (30) 3.6物理架构设计 (31) 第4章数据中心网络方案组成 (34) 4.1. 防火墙设计 (34) 4.2. 接入层设计 (34) 4.3. 网络拓扑 (35) 第5章数据中心基础设施方案组成 (36) 5.1. 机柜系统设计 (36) 5.2. 制冷系统设计 (38) 5.3. 供配电系统设计 (43) 5.4. 模块监控系统设计 (47) 第6章运维方案 (53) 6.1. 技术和售后服务 (53) 6.2. 售后服务项目 (53) 6.3. 售后服务项目内容 (53) 方案概述 “百年大计,教育为本”,教育行业是我国经济发展的关键命脉之一,伴随着数据集中在教育业信息化的逐渐展开,数据中心在企业和信息化的地位越来越重要。教育数据中心建设已成为教育机构信息化趋势下的必然产物。教育数据中心作为承载教育机构业务的重要IT基础设施,承担着教育机构稳定运行和业务创新的重任。在教育机构新型客户服务模式下,数据中心需要更高效地支持后台业务和信息共享需求,同时要24小时不间断的提供服务,支持多种服务手段。 这对教育数据中心的资源整合,全面安全,高效管理和业务连续性提出更高的要求。
现代化数据中心的建设与设计 数据中心的基础设施是计算机机房建设的很重要的环节。计算机机房工程不仅 集建筑、电气、安装、网络等多个专业技术于一体,更需要丰富的工程实施和 管理经验。计算机机房设计与施工的优劣直接关系到机房内计算机系统是否能 稳定可靠地运行,是否能保证各类信息通讯畅通无阻。由于计算机机房的环境 必须满足计算机等各种电子设备和工作人员对温度、湿度、洁净度、电磁场强度、噪音干扰、安全保安、防漏、电源质量、振动、防雷和接地等要求。因此,一个合格的现代化计算机机房,应该是一个安全可靠、舒适实用、节能高效和 具有可扩充性的具有绿色理念的现代化机房。一个现代化的数据中心建设一般 应包括以下几个方面:装饰装修系统工程、供配电系统工程、空调和新风系统 工程、建筑智能化系统工程、防雷系统工程以及消防系统工程等。而每个系统 工程又由若干个子系统构成,每个子系统又由若干个单项工程组成。正是由这 些不可再分的单项工程共同组成了一个复杂的数据中心的有机体。 1 装饰装修系统 1.1 设计理念 机房内的装饰设计从风格上一般力求简洁、明快;从使用功能上吊顶和地板可拆卸以便维护,甚至有的用户要求墙面也要做到可拆卸;从功能分区上要遵循机房使用的一些基本需求,如更衣室、缓冲间、主机房、维修间、备品备件室、监控中心、参观走廊等都是必备的功能划分;从平面布局上力求合理和实用;从 层高的考虑上不可一味追求大空间,这样会加大空调的配置,也不能太过低矮 会造成压抑等不适感,同时过矮的情况下如果摆放机柜过密还会影响机柜操作 区域的照度;层高一般宜在2400mm左右,不宜高于3000mm,不宜低于2200mm. 1.2 设计要点 (1)隔断的设计 为了保证机房内不出现内柱,机房建筑常采用大跨度结构。针对计算机系 统的不同设备对环境的不同要求,便于空调控制、灰尘控制、噪音控制和机房 管理,往往采用玻璃隔断墙将大的机房空间分隔成较小的功能区域。机房外门 窗多采用防火防盗门窗,机房内门窗一般采用无框大玻璃门,这样既保证机房 的安全,又保证机房有通透、明亮的效果。 (2)地面设计
1项目综述 1.1项目背景 为了保障基于“健康云”、“智慧云”的XX数据中心,天融信公司依据公安部《关于开展信息系统等级保护安全建设整改工作的指导意见》公信安[2009]1389号)的要求,贯彻“通过组织开展信息安全等级保护安全管理制度建设、技术措施建设和等级测评,落实等级保护制度的各项要求,使信息系统安全管理水平明显提高,安全防能力明显增强,安全隐患和安全事故明显减少,有效保障信息化健康发展,维护国家安全、社会秩序和公共利益”的方针,为XX数据中心需要在规划、建设和使用相关信息系统的同时对信息安全也要同步建设,全面开展信息安全等级保护建设整改工作。 1.2安全目标 XX的信息安全等级保护建设工作的总体目标是: “遵循国家信息安全等级保护有关法规规定和标准规,通过全面开展信息安全等级保护定级备案、建设整改和等级测评工作,进一步实现对整个新建云平台的信息系统安全管理体系和技术防护体系,增强信息安全保护意识,明确信息安全保障重点,落实信息安全责任,切实提高系统信息安全防护能力,为整个云平台的顺利建设和信息化健康发展提供可靠保障。” 具体目标包括 (1)体系建设,实现按需防御。通过体系设计制定等级方案,进行安全技术体系、安全管理体系和安全运维体系建设,实现按需防御。 (2)安全运维,确保持续安全。通过安全监控、安全加固等运维手段,从事前、事中、事后三个方面进行安全运行维护,实现持续性按需防御的安全需求。 (3)通过合规性建设,提升XX云平台安全防护能力,保障系统信息安全,同时满足国家等级保护的合规性要求,为信息化工作的推进保驾护航。
1.3建设围 本方案的设计围覆盖XX的新建云平台基础设施服务系统。安全对象包括: ●云安全:虚拟化环境中的虚拟化平台及其相关虚拟化网络、虚拟化主机 的安全防护; ●云外安全:虚拟化环境以外的网络接入,核心交换,存储备份环境。 1.4建设依据 1.4.1国家相关政策要求 (1)《中华人民国计算机信息系统安全保护条例》(国务院147号令); (2)《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003] 27号); (3)《关于信息安全等级保护工作的实施意见》(公通字[2004]66号); (4)《信息安全等级保护管理办法》(公通字 [2007]43号); (5)《信息安全等级保护备案实施细则》(公信安[2007]1360号); (6)《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技[2008]2071号); (7)《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号)。 1.4.2等级保护及信息安全相关国家标准 (1)《计算机信息系统安全保护等级划分准则》(GB17859-1999); (2)《信息安全技术信息系统安全等级保护实施指南》(GBT 25058-2010); (3)《信息安全技术信息系统安全保护等级定级指南》(GB/T22240-2008); (4)《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008); (5)《信息安全技术信息系统等级保护安全设计技术要求》(GB/T 25070-2010); (6)《信息安全技术信息系统安全等级保护测评要求》;
以及热密度 标准化管理处编码[BBX968T-XBB8968-NNJ668-MM9N]
数据中心新风系统设计以及热密度数据中心新风系统设计 数据中心新风主要为提高数据中心内空气质量,保持正压,以及保证人正常工作的需求。 每人$40m3/h; 维持机房正压所需的新风量(主机房对走廊或其它房间之间的正压N5Pa、对室外的正压^lOPa) o 数据中心应确定一个适宜的新风量,新风量过小或过大不能满足机房温、湿度和洁净度的要求。建议按维持数据中心所需正压值和每人>40m3/h两项中的较大值计算新风量。维持机房正压所需新风量较难计算。要维持机房对走廊(或其它房间)的正压N5Pd,则通过机房门窗等缝隙的出风速度事s,新风量应为缝隙总面积与出风速度的乘积;山于缝隙总面积很难计算,因此维持机房正压所需的新风量亦难于计算。 山于维持机房正压所需新风量难以计?算,根据经验及参照洁净室的设讣,可按1-2次换气/h 来讣算新风量。若机房四周围护结构的密封性较好,可采用$1次换气/h来讣算新风量;若密封性较差,可适当提高换气次数并采取密封措施。最有效并且节能的办法是对四周围护结构采取密封措施,特别应注意活动地板下和吊顶内的密封,所有穿过机房用护结构的管线敷设后均应将孔洞封堵严密防止漏风。 新风量大的优点在于: 1)较易维持机房的正压;2)可供给工作人员较多的新鲜空气。 缺点在于: 1)在我国许多地区,夏季新风热、湿负荷均较大,若新风量大,将会给空调系统增加较大的
负担;例如夏季若将5000m3/h新风处理到机房内的状态(温度23°C、相对湿度55%),北京地区需冷负荷,上海地区需冷负荷72kWo 2)在较寒冷的地区,若冬季新风量大,所需的加湿量和加热量均较大。例如冬季若将 5000m3/h新风处理到机房内的状态(温度20°C、相对湿度55%),北京地区需加湿量h;大型机房专用空调机每台的加湿量仅8-10kg/h,若新风量大将给空调系统增加很大负担。在较寒冷的地区,冬季若直接将大量新风未经加热直接送入机房,当新风温度低于机房露点温度时易引起结露现象,此时须将新风加热后再送入;若新风量大,所需加热量大,造成能源的浪费。 3)新风量大,所需新风过滤器数量多,初投资和维护工作量均较大。 新风量小的优点在于: 1)夏季处理新风所需空调负荷小,冬季所需加湿量和加热量亦小,节省初投资和运行能量;2)所需新风过滤器数量少,初投资和运行维护费用均较小。 新风量小的缺点在于: 1)较难维持机房所需的正压值。若机房正压值低其至是负压,机房的温湿度和洁净度很 难维持;