XX财政支付平台网络系统方案4261.docx
- 文档编号:30185309
- 上传时间:2023-08-05
- 格式:DOCX
- 页数:17
- 大小:115.60KB
XX财政支付平台网络系统方案4261.docx
《XX财政支付平台网络系统方案4261.docx》由会员分享,可在线阅读,更多相关《XX财政支付平台网络系统方案4261.docx(17页珍藏版)》请在冰豆网上搜索。
XX财政支付平台网络系统方案4261
网络系统
网络系统需求
根据前面项目的需求分析,并结合现有情况,奉贤区财政支付平台网络总体拓扑如图所示:
整个系统将部署在区政务外网区域:
支付平台网络拓扑
网络总体拓扑说明:
系统的接入主要由各个预算单位通过区政务外网实现,是一个范围较小、边界清晰的核心业务系统,该区域为系统的核心区域,内部有大量的重要数据(部分涉密),需要采用强化的安全手段保证系统安全,即该区域设计以安全性为核心。
整个网络通过一条1000MB带宽的光纤和政务外网连接。
本系统建设内容还包括,一级预算单位通过政务外网接入支付平台,通过利用MPLSVPN一级预算单位可以实现平台的安全通信;为部分财政内网用户提供应用。
本系统还需要和部署在财政内网的区财政局SMF系统实现数据交流。
通过在两个区域间添加两台前置机,以电子开关实现数据交换。
本系统还必须实现异地灾备,灾备地点为区政务外网核心机房。
整个财政支付平台采用以一台千兆防火墙为安全核心的网络架构,通过该千兆防火墙隔离WEB区域和核心服务器区域,保证网络的内部都可以得到防火墙的保护。
财政支付平台核心交换区域和核心交换设备采用一台具有多个业务槽位、支持冗余扩展的高性能核心网络交换机,以千兆以太网线接入千兆防火墙,提供稳定、高效的网络交换处理能力,保证在高峰时段也可以正常运行。
两台WEB服务器以千兆以太网线接入一台负载均衡设备,该负载均衡设备还承担SSL加速服务;该负载均衡服务器以千兆以太网线接入核心交换机。
数据库服务器、应用服务器和平台备份服务器通过千兆以太网线接入到核心交换机,由交换机承担数据交换的工作,充分发挥了交换机的数据交换能力,同时也避免了网络阻塞的发生。
数据库服务器2GB光纤通道接入光纤交换机,备份服务器通过2GB光纤通道接入光纤交换机,带库和磁盘阵列通过2GB光纤通道接入光纤交换机。
其他服务器通过千兆以太网线接入核心交换机。
网络逻辑设计与性能优化
VLAN划分
本系统适合使用固定端口的VLAN模式,依据服务器用途至少需要划分为,WEB,应用、数据库和管理区域四个VLAN。
IP地址规划
IP地址规划遵循以下原则:
✓IP地址的规划与划分应该考虑到业务发展,能够满足未来发展的需要;预留相应的地址段;
✓IP地址的分配需要有足够的灵活性,能够满足各种用户的接入;
✓IP地址的分配可以采用VLSM技术,以保证IP地址的利用效率;
✓充分合理利用已申请的地址空间,提高地址的利用效率。
✓在财政支付平台内部的IP分配主要用C类IP地址。
网络系统的IP分配
为了保证网络系统的IP管理便利,同时又保证系统发展的有序性,因此做好IP分配方案是及其重要的,其基本原则是:
✓服务器地址分配从小到大;
✓客户地址分配从小到大的;
✓网络设备分配从大到小的地址。
域名规划
财政支付平台的域名规划按照国家电子政务的统一原则进行,并满足上海市和奉贤区的相关规定。
链路负载均衡
财政支付平台通过一条线路与区政务外网连接,不进行链路负载均衡。
QoS服务质量保障
在本项目中,需要保证的重要应用主要是数据库及应用服务器区域的业务。
网络设备选型
在财政支付系统的建设过程中需要增加以下网络设备:
因为财政内网交换机端口已经接近饱和,需要添加一台汇聚交换机,用于接入财政内网数据库服务器和应用服务器。
需增加网络设备清单
设备名称
单位
数量
配置要求
核心交换机
(财政支付平台)
台
1
双电源,背板带宽96Gbps,包转发率72Mpps,48个10/100/1000MRJ45接口,4个SPF光纤模块插槽
汇聚交换机
(财政内网)
台
1
背板带宽32Gbps,包转发率38.7Mpps,48个10/100/1000MRJ45接口,4个SPF光纤模块插槽
服务器和存储系统
核心服务器规划
目前主流的B-S三层架构应用模式是采用3台服务器,一台为前端的Web服务器,一台应用服务器和另一台的数据库服务器作为后台,Web服务器可置于防火墙的DMZ区,而后台的应用服务器、数据库服务器则可置于防火墙保护中的内部网络。
前端Web服务器承载、实现Web发布,应用服务器负责应用实现,数据库服务器主要承载后端的数据库应用,实现访问时的数据库调用。
数据库服务器
平台的数据库服务器需要采用4个CPU的UNIX小型机,考虑到今后的业务发展,可配置较高档次的服务器。
本系统还有部分业务工作部署在财政内网,为保证这部分的应用需要在财政内网部署一台数据库服务器,为财政内网业务人员提供服务。
同时该服务器做为财政支付平台的冷备服务器,该服务器和支付平台服务器采用相同配置。
WEB服务器
需要采用2个CPU的PC服务器2台实现应用负载均衡。
应用服务器
需要采用新型PC服务器CPU,同时为了保证系统的高可用性,需要采用2个CPU的1台PCserver。
部分工作在财政内网的用户,由于财政内网和政务外网是物理隔离,因此需要一台独立的应用服务器为这些用户提供服务,需要采用2个CPU的1台PCserver。
服务器规划
在整个系统规划中,当然还包括一些服务器如:
网管服务器、防病毒服务器等。
由于这些服务器在整个系统架构中处于非核心地位,因此在性能方面要求有所降低,但还是要保证安全性及可靠性。
从业务类型及投资方面考虑,此类服务器均采用PC服务器。
存储设备
数据库服务器使用一台本地磁盘阵列作为数据存储。
采用一台磁带库来为整个系统内的重要数据进行备份,确保用户数据的安全。
磁盘存储系统主要存放的数据有数据库服务器数据、应用系统数据、WEB的数据等。
根据数据量估算5年数据不少于2TB(包括RAID及近线数据备份)。
本系统需要构建SAN架构,包括一台光纤交换机、一台带库、一台磁盘阵列。
磁盘存储
存储系统是内部信息系统的核心组成部分,担负着业务处理等极其重要的工作,而系统中的数据,更是核心中的核心,数据的安全性关系到整个系统能否正常的运行,最终关系到能否提供正常的服务。
所以对数据做好保护是至关重要的。
磁盘存储是保证提供正常服务的最后一道防线。
用户磁盘存储设备选型初期需要大概2TB左右容量,且要有强大的扩展能力,所选设备必须要有如下特点:
Ø经济型高性能:
系统具有较高的性价比;
Ø先进的性能:
先进的高速缓存技术通过先进的仲裁、缓冲和消除争用的例行程序显著地减少了高速缓存排队时间和存储系统延迟时间,因此可以满足不断增长的应用程序需求;
Ø最广泛的连接性:
对业界最广泛的开放系统以及大型机平台和操作系统的同步多主机支持,具有Ultra/Ultra2SCSI、ESCON、FICON和光纤通道(FC-AL或FC-SW)接口。
连接来自几乎所有UNIX、Windows2000/NT、大型机、PCLAN的存储;
Ø高可用性:
先进的高可用性功能包括数据路径、磁盘、通道和全局高速缓存控制器的完全冗余;具有完全的备用系统电池的冗余电源,等等。
Ø领先的业务连续性:
提供业界最先进的、经过时间检验的连续性软件--在全球的某些最不能容许风险的环境中已经实施了数万次。
Ø功能强大的软件套件:
配有一整套先进的存储管理软件。
磁带库
本项目使用价格较低的磁带作为完全备份的存储设备,同时结合利用SAN中的部分磁盘容量进行数据库的增量备份。
存储拓扑结构
存储拓扑结构图
本项目的系统结构如图所示:
数据库服务器和备份服务器接入光纤交换机;一台光纤交换机和一台带库及一台磁盘阵列组成一套独立SAN架构。
带库承担系统的完整备份工作,磁盘阵列承担数据存储工作和增量备份的存储工作。
需要设备
根据以上服务器及存储方面的硬件规划,建议配置如下:
服务器列表:
需增加存储服务器设备
设备名称
单位
数量
配置要求
数据库服务器(政务外网)
台
1
4*1.5GhzCPU;16GB内存;146GB*2内置磁盘;2GBFCport*2;1000MBethernet*2;
数据库服务器
(财政内网)
台
1
4*1.5GhzCPU;16GB内存;146GB*4内置磁盘;2GBFCport*2;1000MBethernet*2;
应用服务器财政
(政务外网)
台
1
XeonEM64TDualcore2.00GHzE5130*2;8GB内存;1000MBethernet*2;4*146GBSAS硬盘
应用服务器财政(财政内网)
台
1
XeonEM64TDualcore2.00GHzE5130*2;8GB内存;1000MBethernet*2;4*146GBSAS硬盘
WEB服务器
台
2
XeonEM64TDualcore2.00GHzE5130*2;8GB内存;1000MBethernet*2;2*146GBSAS硬盘
存储设备:
需增加存储设备
设备名称
单位
数量
配置要求
磁盘整列
台
1
双存储处理器,冗余电源,冷却,数据通道,无单点故障,支持热插拔,支持混合raid,多操作系统支持,2G缓存,缓存吞吐率每秒500MB,I/O处理50K/S,4个以上FC-SW端口,500GBSATA磁盘7个(raid0+1),可扩展,支持存储和备份软件管理。
带库
台
1
速率40MB/s,15盘200GB磁带
FCswitch
台
1
8个FCport,可扩展到16个FCport
系统软件
1.1数据库系统
数据库设计思想
作为一个大型系统的核心,数据库的选择非常关键,为保证系统运行的稳定,其产品必须具有以下的基本特性:
✧开放的系统结构
◆支持主流的硬件和操作系统平台
◆支持主流的交易类中间件产品
◆支持多种网络通信协议
◆支持多种拓扑逻辑
◆支持与其他数据源的集成
✧技术性能要求
◆支持ANSI/ISOSQL89,ANSI/ISOSQL92标准
◆支持中文双字节编码
◆支持1T以上的数据容量
◆具有资源管理机制
◆DBMS产品功能
◆提供存储过程和数据库触发器功能
◆提供并行处理功能
◆提供分布式操作功能(包括分布式查询、远程调用、交易完整性控制)
◆具备死锁处理能力
◆提供并发控制机制,比如行级锁
◆提供在线备份和恢复功能
◆提供数据库复制功能
◆提供审记功能
◆提供监控和管理功能
◆能提供从单CPU到SMP,Cluster和移植的扩展性
◆数据库产品必须符合NCSC的C2级的安全标准
所需数据库软件
所需数据库软件
设备名称
单位
数量
配置要求
数据库软件
套
1
50用户;用于Unix平台,支持大容量关系型数据库。
中间件系统
选择中间件产品要考虑以下几点:
1.产品的兼容性。
2.对标准规范的支持。
3.软件的可管理性及其易用性。
4.快速应用开发能力及其易用性。
5.可靠性。
6.对安全框架的支持。
7.可扩展性。
8.集成应用的可配置性。
9.处理效率。
综合考虑,选择基于J2EE技术架构的中间件平台,利用中间件平台构建应用集群,保证系统的高可靠性和可用性。
所需中间件软件
所需中间件软件
设备名称
单位
数量
配置要求
中间件软件
套
1
用于2CPU服务器上的J2EE应用服务器软件,要求支持oracle数据库。
系统备份要求
●准实时增量备份政务外网区域的数据,存储在磁盘阵列专用分区上
●每天对政务外网区域的数据作完全备份,存储在带库中。
●每天对政务外网区域的数据作完全备份,保存到政务外网核心机房的异地备份服务器中。
需要设备及软件
备份所需设备
设备名称
单位
数量
配置要求
BK服务器(财政支付平台)
台
1
XeonEM64TDualcore2.00GHz*2;4GB内存;1000MBethernet*2;2GB光纤通道*1
异地BK服务器
(政务外网核心机房)
台
1
XeonEM64TDualcore2.00GHz*2;4GB内存;1000MBethernet*2;
备份所需软件
设备名称
单位
数量
配置要求
存储备份软件
套
1
支持san,das等存储架构和UNIX,windows,linux,等服务器平台,以及oracle,sqlserver等数据库的存储与备份管理,支持快照和完整备份方式,同时支持磁盘和磁带的备份,同时支持基于光纤和ip网络的同步和异步镜像,支持多镜像源;支持san拓扑自动发现。
信息安全保障方案
防火墙
根据财政支付平台网络结构,在政务外网接入点设置防火墙。
政务外网区域:
在与政务外网接入处采用一台千兆防火墙进行防护,保证数据及应用的安全。
MPLSVPN
奉贤财政支付平台专网是本次奉贤区财政统一支付平台的数据中心,在奉贤财政支付平台专网上部署了大量的应用系统,存储备份系统等。
由于本次平台基于奉贤政务网的MPLS/VPN技术进行构建,所以,奉贤财政支付平台专网也必须融入该体系内。
选用支持MPLS技术的高性能防火墙作为PE设备,高性能核心交换机作为CE设备。
系统内部安全数据交换
财政支付平台为牵涉经济信息的网络系统,根据电子政务的相关规范,涉密网络系统必须与其它非涉密网络隔离,从而避免其它非涉密网络对系统的安全威胁。
为了保证核心系统的数据安全,财政支付平台政务外网区域与区财政局内网区域实行物理隔离。
本系统采用电子开关的方法来解决数据共享的问题。
数据交换的拓扑结构如下:
需要设备:
设备名称
单位
数量
配置要求
电子隔离开关
台
1
支持定时切换
数据交换服务器
台
1
XeonEM64TDualcore2.00GHz*1;2GB内存;1000MBethernet*2;
需要软件
设备名称
单位
数量
配置要求
隔离交换软件
套
1
支持数据加密传输
网络入侵检测与预警系统
在政务外网的接入点部署一套千兆IPS。
主机系统安全配置要求
主要操作系统的安全配置
财政支付平台主机使用的操作系统主要是NT和UNIX操作系统。
在经过严密的安全配置后,这两种操作系统才能达到较高的安全级别。
通过安全配置,NT和UNIX操作系统均可以达到C2级安全级别。
UNIX系统安全性配置
✧严密保护帐号口令
✧适当控制文件许可权和拥有权
✧定期检查安全日志和系统状态
✧慎重使用网络守护服务
✧终端安全性
✧注意信任关系的使用
✧限制用户的授权访问
✧服务器上服务的开放
WindowsNT系统安全性配置
✧严格用户帐号管理
✧用NTFS取代FAT
✧认真设置并正确利用审计系统
✧认真利用NT域管理及域之间的委托关系
✧及时安装最新的ServicePack
防病毒系统
本系统采用信息委统一采购的杀毒软件。
数据库安全
数据库对财政支付平台而言极其重要,因此对财政支付平台的数据库系统必须进行安全保护。
Ø防止物理性破坏
Ø保护远程连接的用户名和口令
Ø设置严格的数据库权限管理
Ø数据库备份
Ø辅助安全产品
可设置数据库扫描器,用于检验数据库设置上的弱点和漏洞,给出切实可行的专业安全修补方案。
数据安全的设计
财政支付平台中的数据是系统运行的基础,同时也是宝贵的信息资源,为了保护这些数据,在系统设计中采用以下方式:
1)磁盘镜像
对所有的存储磁盘构建磁盘镜像,包括raid1,raid10,整个系统的关键应用采用raid10,非关键应用采用raid1,保证数据安全
2)磁带备份
使用专用的备份服务器,定时备份系统内的关键数据。
SSL加密
本系统中的终端用户通过浏览器访问服务器。
建议在PKI安全体系的信任服务平台上,建立客户机与服务器之间的基于SSL协议的安全连接,并与基于公开密钥体制的信息认证技术相结合,以确保通信内容的机密性与私有性。
在建立安全连接时,对服务器进行身份验证,对客户机的认证可以根据系统具体的保密需求进行选择。
由于SSL被大部分WEB浏览器和WEB服务器所内置,也比较容易被应用。
本系统需要一台SSL加速设备,该设备同时承担两台WEBserver之间的应用负载均衡。
安全设备及软件清单
硬件设备
设备名称
单位
数量
配置要求
千兆火墙
台
1
2U机型;2个10/100/1000BASE-T端口;6个GBIC插槽
IPS
台
1
吞吐量(双向):
1200MBPS;延迟测试(US):
<100US;最大并发TCP会话数:
50万;每秒新增TCP会话数:
20万;最大包处理能力(UDP64字节)72万PPS;最大策略数:
2000
电子开关
台
1
支持定时自动连接
数据交换服务器
台
1
XeonEM64TDualcore2.00GHz*1;2GB内存;1000MBethernet*2;
SSL加速及应用负载均衡
台
1
4个GigabitCUPorts:
和2*GigabitFiberPorts(SFP-GBICMini),;提供SSLaccelerate服务
安全软件
设备名称
单位
数量
配置要求
防病毒软件
套
1
网络杀毒软件,支持25个用户,采用信息委统一采购的软件
隔离交换软件
套
1
支持数据加密传输
其他辅助设施和设备
需要增加3个机柜,同时为了提高管理效率,需要1套KVM设备。
土建及配套工程
另外,目前机房有12KV的UPS,不需要新购,必须对现有的UPS进行扩容和更换蓄电池。
接地与防雷现在的机房已经安装,需要再检测是否合格。
设备清单
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- XX 财政 支付 平台 网络 系统 方案 4261