欢迎访问发表云网!为您提供杂志订阅、期刊咨询服务!

数据中心机房方案大全11篇

时间:2022-10-19 12:31:08

绪论:写作既是个人情感的抒发,也是对学术真理的探索,欢迎阅读由发表云整理的11篇数据中心机房方案范文,希望它们能为您的写作提供参考和启发。

数据中心机房方案

篇(1)

伴随着互联网中的应用程序日渐丰富与多样化,数据中心的基础运行环境由原来的C/S架构逐渐向由通过网络设备互联的服务器集群的方面转型。因此,由传统的通过硬件、操作系统、操作系统之上的应用系统所组成的基础架构变得越来越复杂。然而,这越来越复杂的结果导致即将转型为数据中心的安全体系带来了更多的风险与困难,一些数据中心的安全策略配置不当或者不正确,往往都会给非法入侵者留下可被利用的后门或漏洞。尽管网络管理员、系统管理员、系统安全员等相关负责人都已经拥有相对较高的安全防护理念与意识,并通过不断架设安全设备来保障数据中心的安全性与健壮性,但对于层出不穷和日益完善的黑客攻击手段,这些传统的防御理念和措施仍不足以保障数据中心的安全。因此,管理集约化、精细化的产物——数据集中就应运而生。目前国内企业信息化建设、电子政务兴起都将倚靠数据集中的蓬勃发展。同时,数据大集中以及大数据的推动也必将倚靠数据中心的建设。作为网络中资源最密集的载体、数据交换最频繁的中心基础网络,数据中心无疑是一个充满发展前景的新星产业。然而,数据中心由于是大数据的集合,必然包含无数信息与机密,对于数据中心上的任何防护漏洞必将导致无法计算的损失,因此构筑一道完善且完整的安全防护体系将是其首要解决的问题。

一、现有数据中心安全分析

1.1 针对应用层面的攻击。应用层面的攻击方式包括缓冲区代码溢出、植入病毒、蠕虫攻击、植入后门木马等,其中,应用攻击中最典型的方式为蠕虫攻击。蠕虫是指"通过计算机网络进行自我复制的恶意程序,泛滥时可以导致网络阻塞和瘫痪"[1]。从本质上讲,蠕虫可以在网络中主动进行传播,进而对系统进行破坏,而病毒则需要手工干预,比如利用外部存储介质的读写、点击非法链接而被植入病毒。1.2 针对网络层面的攻击。在数据中心中针对网络层面的攻击主要包括分布式拒绝服务攻击(DDoS)、拒绝服务攻击(DoS)等。虽然DDOS/DOS存在由来已久,但其破坏力却仍然被网络管理员以及安全管理员所忌惮。最常见的DDOS攻击方法有ECF(Established Connection Flood)、SYN Flood和CPSF(Connection Per Second Flood)。DOS攻击程序有UDP反弹以及ICMP Smurf等方式。DDOS/DoS攻击利用了TCP/IP的开放性原则,即协议自身规定的从任意源地址向任意目标地址都可以发送数据包,导致DDOS/DOS利用合理的、海量的、不间断的服务请求来耗尽网络、系统等可利用的资源,使得合法用户无法获取正常的服务响应。随着分布式技术的不断的完善与改进,及时在网络和系统性能的大幅提升的今天,数以亿计的主机同时对某一网络系统发起攻击,造成的后果不言而喻,最直接的影响即使网络瘫痪、系统无法正常使用。1.3 针对网络基础设施的攻击。数据中心作为一个充满发展前景的新星产业。又是大数据的集合,其中包含了无数信息与机密数据,即使安全设备部署的再完善,如果内部管理不当,依然会被攻破,而且来自内部的攻击更具破坏性。企业内部的不法分子在充分了解数据中心的架构与部署的前提下,不仅可以通过黑客技术绕过防火墙,还可以凭借对网络构架的充分了解,通过嗅探技术、违规访问、攻击路由器/交换机设备等手段,访问非授权的数据,这将无疑对企业造成更为重大的损失。1.4 数据中心网络安全设计原则。由于数据中心承载着其上用户的所有机密数据、核心业务或核心技术,并且数据中心还为内部之间提供数据之间的交换与业务之间的交互。因此,在构建数据中心的网络安全时,要从以下几个方面进行合理规划与建设:1.4.1安全分区:要将数据中心的网络划分为各个不同的安全区域,同时确保不同区域之间未经许可不能访问,用户和客户机在对数据中心访问时只可以访问他可以访问的区域,禁止违规外联和非法访问以及恶性的入侵攻击。1.4.2性能保障:要通过建立高性能、可靠性高的网络环境,确保数据在网络中传输的完整性,同时可以利用CRC循环校验算法校验数据在网络中的丢失情况,使得数据在网络传输过程中加了双重保险。1.4.3技管并重:很多人会认为,只要技术上有了足够的保证,那么安全性必然有了保证。其实不然,正所谓系统的安全性保证都是三分靠技术,七分靠管理,技术层面设计得再优良,也要有与之对应的管理制度去推动。1.4.4新近原则:及时汲取当前最新的安全技术,以减轻安全管理的负担为目标,实现安全管理的自动化,同时减小因为人为管理认知上的漏洞对系统安全造成威胁。1.4.5平衡发展:在构建数据中心的时候要充分考虑今后业务和网络安全的共同协调发展,既要能满足今后业务的扩展,又要能够实现当前技术与未来新技术的无缝链接,避免只满足系统安全要求,而给业务发展带来障碍,或者为了扩展业务而忽视了安全建设的情况发生。

二、数据中心网络安全设计要求

2.1 物理安全设计要求

2.1.1 物理访问控制。机房存放着网络设备、服务器、办公环境以及信息系统的设备和存储数据的介质及相关设备场所,机房各出入口应安排专人负责,记录进入的人员,划分关键设备与非关键区域,区域之间通过玻璃隔断实现物理隔离,关键区域采用智能卡和指纹识别的门禁系统,对进入关键区域人员实现“双道”鉴别。2.1.2 温湿度控制。机房存放着不同业务系统的主机,由于主机在运行时会产生大量的热量,而保证良好机房环境的精密空调系统则成为不可获取的必备设施。而机房精密空调系统就是为了保证公司内部机房中的网络设备、安全设备、服务器等一系列硬件设施能够连续、稳定、可靠地运行,同时,精密空调系统还需要维持机房内恒温恒湿状态,防止静电现象的产生导致设备的损坏。2.1.3 电力供应。公司机房的其供电要求非常高,按照等级保护四级系统的要求应采用UPS不间断电源,以保证在机房断电的同时,通过UPS不间断的供电来保证机房内部实施的稳定、正常运行,为电力抢修赢得时间。同时其供配电系统应采用N+1冗余并机技术以实现空调设备、动力设备、照明设备、测试设备等设备的正常使用。2.1.4 动力环境监控系统。数据中心机房除了部署视频监控系统、UPS系统、消防系统、精密空调系统,还应该部署水敏感检测装置、红外告警装置等,且所有系统统一集成动力环境监控系统中,方便机房管理员有效了解温湿度、消防、电源、UPS等状态以及告警信息,及时对告警信息进行分析和处理。

2.2 网络安全设计要求

2.2.1 区域边界安全。应能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查;应逐步采用网络准入、终端控制、身份认证、可信计算等技术手段,维护网络边界完整性。安全区边界应当采取必要的安全防护措施,禁止任何穿越数据中心中不同业务之间边界的通用网络服务。 数据中心中的的业务系统应当具有高安全性和高可靠性,禁止采用安全风险高的通用网络服务功能。2.2.2 拒绝服务攻击。在数据中心中针对网络层面的攻击主要包括分布式拒绝服务攻击(DDoS)、拒绝服务攻击(DoS)等。虽然DDOS/DOS存在由来已久,但其破坏力却仍然被网络管理员以及安全管理员所忌惮。最常见的DDOS攻击方法有ECF(Established Connection Flood)、SYN Flood和CPSF(Connection Per Second Flood)。部署相关的网络安全设备,抵御DDOS/DOS的攻击。2.2.3 网络设备防护。实施工程师和客户之间存在不可或缺交流的问题,大部分实施工作以能够“通信”为原则,忽略网络设备安全防护的能力。设备应该关闭使用多余接口、采用SSH V2作为远程管理协议、为不同管理员分配不同权限的账号,实现“权限分离,多人账号管理”根据业务的要求,制定详细访问控制策略,提升网络设备的安全性。2.2.4 恶意代码防护。随着技术的快速,数据中心网络面临各种可能性的攻击。缓冲区代码溢出、植入病毒、蠕虫攻击、植入后门木马等,其中,应用攻击中最典型的方式为蠕虫攻击。蠕虫是指“通过计算机网络进行自我复制的恶意程序,泛滥时可以导致网络阻塞和瘫痪”[1]。在数据中心网络出口处部署恶意代码防护系统,防止计算机病毒、木马和蠕虫从网络边界处入侵而造成的传播破坏,对恶意代码进行检测和清除。2.2.5 入侵防护防御系统。随着业务系统发展的需要,WEB服务器需要暴露公网环境中,随时都面临被攻击的可能性。在DMZ边界部署入侵防御系统,能够阻止蠕虫、病毒、木马、拒绝服务攻击、间谍软件、VOIP攻击以及点到点应用滥用,制定详细入侵防范策略,修改默认策略,发生攻击行为时记录日志。

2.3 安全审计设计要求

2.3.1 日志服务器。日志可以帮助我们分析设备是否正常,网络是否健康,任何设备或系统都应该建立完整的日志系统。部署日志服务器,对交换机、路由器、安全及相关设备运行日志进行集中收集, 便于管理员了解网络运行情况以及方便故障排除。2.3.2 安全审计。数据中心部署审计平台网络设备的运行状况、网络流量、管理记录等进行监测和记录,记录时间、类型、用户、时间类型、事件是否成功等相关信息,利用审计平台生成的记录和报表进行定期分析,为了方便管理员能够及时准确地了解网络设备运行状况和发现网络入侵行为。

2.4 数据备份与恢复设计要求

涉及数据中心的业务相对比较重要,数据大而多,多存放于本地或异地容易容灾系统,一旦发生不可预见对的困难,影响范围广和后果难以估计。因此,数据中心必须具备备份与恢复检测,确认信息的完整性和可用性,确保数据能够及时恢复。数据备份与基本要求:(1)每天进行增加备份,每周进行全额备份;(2)应部署异地容灾系统,通过数据中心基础架构实现关键数据的异地备份;(3)与容灾中心进行异地备份要进行完整性校验,确保备份数据有效性;(4)数据须至少每个月进行恢复测试,以确保备份的有效性和备份恢复的可行性。

三、结束语

数据中心网络技术突破了传统的物理结构限制的壁垒,高效整合和利用了各项基础设施资源,为网络技术发展和虚拟化技术发展带来革命性突破,同时也给信息产业带来新的机遇。但新的技术总是伴随着新的安全隐患,而安全问题若不能得到合理解决将会阻碍其技术的发展,这需要在未来技术发展中深入分析和了解以寻求解决之道。数据中心建设过程中的网络安全是数据中心安全体系的最基本、也是最重要的环节,只有合理的设计网络安全规划方案,并提供持续安全加固的扩展性设计,才可以保证基础网络平台的安全性与可靠性。但要构建全方位、高安全的数据中心体系,还需要融合物理安全、网络安全、主机安全、数据安全、应用安全、以及管理制度等方面,从各种安全角度出发进行相应的安全规划,并不断完善数据中心的安全防范等级。

作者:冯国礼 李蓉 王晔 单位:国网宁夏电力公司信息通信公司

参考文献

篇(2)

(一)树立大数据审计的理念。将大数据审计的贯穿到每个审计项目中,不断研究新思路、新经验和新做法,以数据为核心,将数据分析与现场延伸调查相结合的方式,更精准的定位审计疑点,缩小核实范围,提高工作效率。

(二)充实大数据审计资源。定期采集包括财政、民生等使用较为频繁的数据资源;积极推动数据采集规范化建设;推动大数据审计方法库的构建,使计算机审计方法的应用更为便利、快捷。

(三)强化大数据审计队伍建设。运用计算机和大数据进行审计应动员全局力量,而不仅仅局限在计算机人员。加强复合型人才的培养,审计人员不仅要懂得数据库的知识,还要懂得审计实务;加强数据分析能力和业务知识的学习培训,提升综合素质。

二、提高大数据审计的措施

(一)前期数据调查

对全市各部门(单位)所运用的业务系统和业务数据进行调查了解,摸清各部门的业务数据内容及其存储情况,为采集业务数据和审计项目中可能涉及到跨部门数据关联做准备。接入用友财务统一核算软件审计端口,审计端口的接入更灵活、方便地为各审计组财务数据采集提供服务。

(二)积极配合项目组

在项目实施前积极与组长、主审进行沟通,如何开展计算机审计、项目组需要什么、项目所需要的数据、主审想得到的目的和结果。以确定审计方向和重点,并将相关的审计内容纳入到审计工作实施方案。在审计项目实施过程中,对审计方法、发现的疑点、采集到的数据方面存在的问题、以及审计思路的变化,及时与主审反馈,以调整审计方法和思路,并配合项目组核实疑点。

(三)参与重点项目

年初审计计划项目制定后,确定重点审计项目,加入到项目组中。除数据分析外,通过参与其他审计内容,熟悉财务知识、财经法规以及其他业务方面知识,尽快地提升自身业务能力,积累经验。今后审计工作中,运用自己的思路和方法开展审计。

(四)编写计算机审计方法

篇(3)

散热管理

NetAccess机柜系统的散热系统是由泛达和思科公司的专家团队共同努力,由PANDUIT实验室推出的可以充分满足用户新需求的革新产品,在实验室通过了思科系统长时间的严格测试。

NetAccess设计独特的线缆管理系统,插入式模块结构,两侧一定比例的空间预留和经过反复试验的具有科学比例孔距(前、后门密集通风网孔的通风面积均大于柜门面积的63%)的前后门设计,皆在充分保证机柜的散热功能,它可以保持机柜前后冷热气流的畅通,从而达到提高设备运行性能和保证稳定运行的目标。

侧出风散热设计

由于高密度核心交换机散热的特殊性,交换机的一侧距离机柜边缘需要有6英寸宽的空间,才能有效保证良好的气流环境。NetAccess侧出风导流装置,就是专为思科6509系列和MDS9513系列等核心交换机设计的,它可以有效地保证侧出热气流的散出,并让热气流导向机柜后部,避免热气流散向机柜内,有助于在整个机房内形成一个合理的冷热气流循环,在机房内部形成合理有效的冷热通道,并使冷热气流按一定速率对流。现代化机房解决散热的难题,同时做到节能降耗,这一点尤为重要。有数据表明,通过对机房气流组织以及空调系统的优化设计,可以使机房PUE(Power Usage Effectiveness)值从2.5降低到2.0左右,其效果非常显著。

开放式机架系统(OPEN RACK)不仅能够更好地实现设备散热,而且能够使布线管理更加灵活和便捷,使机房布局更加美观。

水冷门系统设计

水冷门系统是为数据中心更有效节省能源并提高能耗比而推出的又一款革新产品。水冷门系统由有着三十多年经验的机柜专家精心设计而成,经过了IBM等企业的长时间实验室测试,它至少能够为每个机柜降低20kW的热量。 传统高架地板结构的数据中心无法承受每个机柜15kW以上的功率消耗,所以我们常常在数据中心看到很多机柜只放了20U的服务器,并没有放满40U。采用水冷门系统后,可轻松将单个服务器机柜所能承载的功率从现在的平均6kW提高到26kW,它为局部高密度服务器的散热问题提供了一个非常有效的解决方案。

值得一提的是,目前机房设备的降温绝大多数都是采用空调系统漫散推送冷气的方式。为了使局部高热区域降温,整个空调系统的温度往往需要调得很低才能有效果。目前,我国数据中心的平均PUE(Power Usage Effectiveness)水平在2.5以上,而国外先进数据中心的PUE可以达到1.7。 也就是说,一个数据中心环境设施的能源消耗已经大大超过了IT设备所消耗的能源,随着IT设备密度的不断提高,这种趋势还在增加。有实验数据表明,通过使用冷水(Chill Water)循环冷却系统,至少可以提高20%的能源使用率。

水冷门系统采用单独的循环系统,由冷水(Chill Water)作为制冷剂,一台分布式压缩主机CDU(Cooling Distribution Unit)一般能够提供120kW到150kW的制冷量(个别产品最大能够提供300kW),即一台CDU能够控制最多六个水冷门机柜。CDU和每台机柜之间各有两根水管连接,一个为进水管,一个为出水管,通常安装在地板下方。CDU可以安装在机房内,其大小如同普通机柜,可采用机房内局部施工铺设水管,所以施工并不复杂,只需注意在弯曲处安装防漏装置,与强电电源线保持一定距离。

线缆管理

出色的线缆管理系统可以有效地避免线缆和电源线的拥挤。将接插区域和配电基础设施设计为交互式,能够保证机柜内部有足够的气流空间。

NetAccess机柜底部可以提供多达65%的区域面积用于地板下方线缆的走线。如果将封闭线缆以外的区域加盖盲板,就可以防止冷气由底部进入机柜,保证冷热气流沿着方向正确流动,大幅提高制冷效率。机柜顶部装有13块大小不等的挡板,可以方便拆卸,提供40%的区域面积供上走线系统进线,与上走线系统FiberRunner完美配合。

NetAccess机柜还可以灵活地配置垂直配线系统,充分利用机柜空间。在机柜侧面,可以安装4个1RU铜缆或者光缆配线架。它的好处是可以节省机柜空间,减少跳线弯曲和更方便地插拔跳线。

很多机柜没有足够的空间来容纳竖直线缆管理器。NetAccess机柜垂直理线系统和水平理线系统,可容纳多达400多根的加强型六类跳线(Cat6A),每个机柜单元(1RU)可以安装48根六类条线和六类模块。为实现高密度光纤接插,泛达公司提供了多种高密度的光纤配线盒, 能够实现在1RU机柜单元安装96芯LC、SC和ST光纤跳线及光纤模块。

机柜垂直理线系统和水平理线系统中包含独特的棘爪设计,能够充分保护和控制线缆的弯曲半径,可选配的绕线轴能够有效地管理跳线的余量部分,整个理线系统能够轻松地将密密麻麻的线缆整理得分门别类,井井有条,使整个机房显得极为美观,让投资者感到物有所值。

集成的接地系统

篇(4)

近年来,各大金融机构及各大国有企业均在大力推进信息化建设,数据中心成为了信息化的重要基础设施, 鉴于数据中心对安全的要求高,因此数据中心的安全防范系统设计至关重要,是一项复杂的系统工程,需要从物理环境和人为因素等各方面来全面的考虑,一般由视频安防监控系统、出入口控制系统、入侵报警系统、电子巡更系统、安全防范综合管理系统等系统组成。 

1 设计原则 

1)系统的防护级别与被防护对象的风险等级相适应;2)技防、物防、人防相结合,探测、延迟、反应相协调;3)满足防护的纵深性、均衡性、抗易损性要求;4)满足系统的安全性、可靠性、可维护性要求;5)满足系统的先进性、兼容性、可扩展性、经济性、适用性要求。 

安全防范系统是一个基于客户端/服务器,分布式的网络管理平台,通过信息共享、信息处理和控制互联实现各子系统的集中控制和管理。安全防范系统的故障应不影响各子系统的运行;某一子系统的故障应不影响其它子系统的运行。 

2 安全等级定义 

1)针对数据中心园区的不同功能区域,可将安全保障定义为4个安全保障等级区域 

(1)一级安全保障等级区:一般为数据机房楼内的模块机房及ecc区监控中心区域;(2)二级安全保障等级区:一般为数据机房楼机电设备区、动力保障区;(3)三级安全保障等级区:一般为运维办公区域;(4)四级安全保障等级区:一般为园区周界区域。 

2)对于不同的安全级别的区域选择不同的安全防范技术手段 

(1)一级安全保障等级区 

①数据机房所有模块机房门 

安装生物识别电子门禁、摄像监控设备、双鉴报警设备; 

所有出入口设防,门禁及红外报警系统联动,红外报警系统与摄像监控系统联动。 

②数据机房所有模块机房内 

按照设备机柜的排列方位安装摄像监控设备,设备间通道设防。 

(2)二级安全保障等级区 

①数据机房维护人员通道:安装内外双向读卡器的电子门禁锁;机电设备维修区的门安装单向门禁锁,设置在维修区的外侧;在消防疏散楼梯安装单向门禁锁,设置在楼梯间内侧; 

②数据机房所有的出入通道:安装双向读卡电子门禁、摄像监控设备、双鉴报警设备; 

③数据机房入口的安保室设置安保实时监控管理设施。 

(3)三级安全保障等级区 

①运维办公区安装单向门禁锁,配置视频监控,具体设计依据相关安防系统规范设计;②建议进入运维办公区或中央监控中心的第一通道,在进行身份定位的同时,进行身份鉴别;速通门刷卡通行+保安人员通过屏幕图像对比方式。 

(4)四级安全保障等级区 

整个园区用围栏与四周道路分隔开,并设防闯入和视频监控系统。在周边四个路口的围栏转角处设置防冲撞体,在出入口设置液压防冲撞装置。数据机房油罐区域四周布置一体化球机及电子围栏,进行不间断的自动跟踪摄像,并设置防入侵装置。 

3 视频安防监控系统 

1)视频安防监控系统根据数据中心园区的使用功能和安全防范要求,对建筑物内外的主要出入口、通道、电梯厅、电梯轿厢、园区周界及园区内道路、停车场出入口、园区接待处及其他重要部位进行实时有效的视频探测,视频监视,图像显示、记录和回放;2)目前,工程上对网络视频监控系统的设计有两种:全数字化的网络视频监控系统和半数字化的网络视频监控系统即前端摄像机为模拟摄像机,模拟视频信号通过编码器转换为数字信号进行传输的视频监控系统。ip数字监控系统是发展的趋势,但是现在国内市场还处于初级阶段,ip数字监控系统成本相对要高一些,两种方案各有利弊。 

4 出入口控制系统 

1)出入口控制系统即门禁系统作为数据中心园区安全防范系统的主要子系统。它担负两大任务,一是完成对进出数据中心园区各重要区域和各重要房间的人员进行识别、记录、控制和管理的功能;二是完成其内部公共区域的治安防范监控功能;2)系统要求能满足多门互锁逻辑判断、定时自动开门、刷卡防尾随、双卡开门、卡加密码开门、门状态电子地图监测、输入输出组合、反胁迫等功能需求。控制所有设置门禁的电锁开/关,实行授权安全管理,并实时地将每道门的状态向控制中心报告;3)通过管理电脑预先编程设置,系统能对持卡人的通行卡进行有效性授权(进/出等级设置),设置卡的有效使用时间和范围(允许进入的区域),便于内部统一管理。设置不同的门禁区域、门禁级别。

5 入侵报警系统 

1)根据相关规范、标准在数据中心园区的周界围墙、重要机房和重要办公室设置入侵报警探测器、紧急报警装置,系统采用红外和微波双鉴探测器、玻璃破碎探测器等前端设备,构成点、线、面的空间组合防护网络;2)周界围墙采用电子围栏或红外对射,地下油罐周界采用电子围栏及图像跟踪相结合的防范措施,重要机房、档案库、电梯间、室外出入口等设置双鉴探测器;3)对探测器进行时间段设定,在晚上下班时间,楼内工作人员休息时间及节假日设防,并与视频安防监控系统进行联动,有人出入时联动监视画面弹出,监测人员出入情况,及时发现问题防止不正常侵入,同时声光告警器告警。 

6 电子巡更系统 

在园区内采用在线式电子巡查系统。在主要通道及安防巡逻路由处设置巡更点,同时利用门禁系统相关点位作为相应的巡更点。 

7 安全防范综合管理系统 

利用统一的安防专网和管理软件将监控中心设备与各子系统设备联网,实现由监控中心对各子系统的自动化管理与监控。当安全管理系统发生故障时,不影响各子系统的独立运行。 

7.1 对安防各子系统的集成管理 

主要针对视频监控系统、出入口控制系统及入侵报警系统,在集成管理计算机上,可实时监视视频监控系统主机的运行状态、摄像机的位置、状态与图像信号;可实时监视出入口控制系统主机、各种入侵出入口的位置和系统运行、故障、报警状态,并以报警平面图和表格等方式显示所有出入口控制的运行、故障、报警状态。 

7.2 安防系统联动策略 

1)安保系统与门禁、照明等系统联动 

安保系统与门禁、照明、电梯、cctv、紧急广播、程控交换机等系统的高效联动。 

说明:当发生非法闯入时,门禁或入侵报警系统记录非法闯入信息,通过跨系统联动设置,打开相应的照明系统设备和安保系统设备,使非法闯入者无处容身。 

2)安保系统与消防系统之间联动 

安保系统与消防系统联动策略为:当大楼内某一区域发生火警时立即打开该区所有的通道门,其他区域的门仍处于正常工作状态,并将该区域的摄像机系统启动、置预置位、进行巡视,多媒体监控计算机报警,矩阵切换该图像到控制室的视频处理设备上,并将图像信号切换到指挥中心、公安监控室、消防值班室的监视器上进行显示。 

8 结论 

数据中心园区的综合安防管理,需要纵深考虑,包括了人防、物防及技防,设防管理仅是技术手段,制度的管理和执行才是重要的工作。 

 

参考文献: 

[1]安全防范工程技术规范 gb50348-2004. 

篇(5)

近年来,各大金融机构及各大国有企业均在大力推进信息化建设,数据中心成为了信息化的重要基础设施, 鉴于数据中心对安全的要求高,因此数据中心的安全防范系统设计至关重要,是一项复杂的系统工程,需要从物理环境和人为因素等各方面来全面的考虑,一般由视频安防监控系统、出入口控制系统、入侵报警系统、电子巡更系统、安全防范综合管理系统等系统组成。

1 设计原则

1)系统的防护级别与被防护对象的风险等级相适应;2)技防、物防、人防相结合,探测、延迟、反应相协调;3)满足防护的纵深性、均衡性、抗易损性要求;4)满足系统的安全性、可靠性、可维护性要求;5)满足系统的先进性、兼容性、可扩展性、经济性、适用性要求。

安全防范系统是一个基于客户端/服务器,分布式的网络管理平台,通过信息共享、信息处理和控制互联实现各子系统的集中控制和管理。安全防范系统的故障应不影响各子系统的运行;某一子系统的故障应不影响其它子系统的运行。

2 安全等级定义

1)针对数据中心园区的不同功能区域,可将安全保障定义为4个安全保障等级区域

(1)一级安全保障等级区:一般为数据机房楼内的模块机房及ECC区监控中心区域;(2)二级安全保障等级区:一般为数据机房楼机电设备区、动力保障区;(3)三级安全保障等级区:一般为运维办公区域;(4)四级安全保障等级区:一般为园区周界区域。

2)对于不同的安全级别的区域选择不同的安全防范技术手段

(1)一级安全保障等级区

①数据机房所有模块机房门

安装生物识别电子门禁、摄像监控设备、双鉴报警设备;

所有出入口设防,门禁及红外报警系统联动,红外报警系统与摄像监控系统联动。

②数据机房所有模块机房内

按照设备机柜的排列方位安装摄像监控设备,设备间通道设防。

(2)二级安全保障等级区

①数据机房维护人员通道:安装内外双向读卡器的电子门禁锁;机电设备维修区的门安装单向门禁锁,设置在维修区的外侧;在消防疏散楼梯安装单向门禁锁,设置在楼梯间内侧;

②数据机房所有的出入通道:安装双向读卡电子门禁、摄像监控设备、双鉴报警设备;

③数据机房入口的安保室设置安保实时监控管理设施。

(3)三级安全保障等级区

①运维办公区安装单向门禁锁,配置视频监控,具体设计依据相关安防系统规范设计;②建议进入运维办公区或中央监控中心的第一通道,在进行身份定位的同时,进行身份鉴别;速通门刷卡通行+保安人员通过屏幕图像对比方式。

(4)四级安全保障等级区

整个园区用围栏与四周道路分隔开,并设防闯入和视频监控系统。在周边四个路口的围栏转角处设置防冲撞体,在出入口设置液压防冲撞装置。数据机房油罐区域四周布置一体化球机及电子围栏,进行不间断的自动跟踪摄像,并设置防入侵装置。

3 视频安防监控系统

1)视频安防监控系统根据数据中心园区的使用功能和安全防范要求,对建筑物内外的主要出入口、通道、电梯厅、电梯轿厢、园区周界及园区内道路、停车场出入口、园区接待处及其他重要部位进行实时有效的视频探测,视频监视,图像显示、记录和回放;2)目前,工程上对网络视频监控系统的设计有两种:全数字化的网络视频监控系统和半数字化的网络视频监控系统即前端摄像机为模拟摄像机,模拟视频信号通过编码器转换为数字信号进行传输的视频监控系统。IP数字监控系统是发展的趋势,但是现在国内市场还处于初级阶段,IP数字监控系统成本相对要高一些,两种方案各有利弊。

4 出入口控制系统

1)出入口控制系统即门禁系统作为数据中心园区安全防范系统的主要子系统。它担负两大任务,一是完成对进出数据中心园区各重要区域和各重要房间的人员进行识别、记录、控制和管理的功能;二是完成其内部公共区域的治安防范监控功能;2)系统要求能满足多门互锁逻辑判断、定时自动开门、刷卡防尾随、双卡开门、卡加密码开门、门状态电子地图监测、输入输出组合、反胁迫等功能需求。控制所有设置门禁的电锁开/关,实行授权安全管理,并实时地将每道门的状态向控制中心报告;3)通过管理电脑预先编程设置,系统能对持卡人的通行卡进行有效性授权(进/出等级设置),设置卡的有效使用时间和范围(允许进入的区域),便于内部统一管理。设置不同的门禁区域、门禁级别。

5 入侵报警系统

1)根据相关规范、标准在数据中心园区的周界围墙、重要机房和重要办公室设置入侵报警探测器、紧急报警装置,系统采用红外和微波双鉴探测器、玻璃破碎探测器等前端设备,构成点、线、面的空间组合防护网络;2)周界围墙采用电子围栏或红外对射,地下油罐周界采用电子围栏及图像跟踪相结合的防范措施,重要机房、档案库、电梯间、室外出入口等设置双鉴探测器;3)对探测器进行时间段设定,在晚上下班时间,楼内工作人员休息时间及节假日设防,并与视频安防监控系统进行联动,有人出入时联动监视画面弹出,监测人员出入情况,及时发现问题防止不正常侵入,同时声光告警器告警。

6 电子巡更系统

在园区内采用在线式电子巡查系统。在主要通道及安防巡逻路由处设置巡更点,同时利用门禁系统相关点位作为相应的巡更点。

7 安全防范综合管理系统

利用统一的安防专网和管理软件将监控中心设备与各子系统设备联网,实现由监控中心对各子系统的自动化管理与监控。当安全管理系统发生故障时,不影响各子系统的独立运行。

7.1 对安防各子系统的集成管理

主要针对视频监控系统、出入口控制系统及入侵报警系统,在集成管理计算机上,可实时监视视频监控系统主机的运行状态、摄像机的位置、状态与图像信号;可实时监视出入口控制系统主机、各种入侵出入口的位置和系统运行、故障、报警状态,并以报警平面图和表格等方式显示所有出入口控制的运行、故障、报警状态。

7.2 安防系统联动策略

1)安保系统与门禁、照明等系统联动

安保系统与门禁、照明、电梯、CCTV、紧急广播、程控交换机等系统的高效联动。

说明:当发生非法闯入时,门禁或入侵报警系统记录非法闯入信息,通过跨系统联动设置,打开相应的照明系统设备和安保系统设备,使非法闯入者无处容身。

2)安保系统与消防系统之间联动

安保系统与消防系统联动策略为:当大楼内某一区域发生火警时立即打开该区所有的通道门,其他区域的门仍处于正常工作状态,并将该区域的摄像机系统启动、置预置位、进行巡视,多媒体监控计算机报警,矩阵切换该图像到控制室的视频处理设备上,并将图像信号切换到指挥中心、公安监控室、消防值班室的监视器上进行显示。

8 结论

数据中心园区的综合安防管理,需要纵深考虑,包括了人防、物防及技防,设防管理仅是技术手段,制度的管理和执行才是重要的工作。

参考文献

[1]安全防范工程技术规范 GB50348-2004.

篇(6)

1)园区周界宜采用防攀爬的围栏设计,数据中心区域临道路侧围栏宜采用混凝土防撞围栏,顶部布置电子围栏。2)园区主入口和机房区与办公区之间的联络通道口应设置液压升降防撞柱,防止车辆强行闯入。3)数据中心区域与园区其他区域的物理隔断宜结合绿化和地形布置,不宜采用简单的围栏设计。4)数据中心区域应实施严格的管理措施,并与园区的其他部分采取物理手段予以隔离,设置少量联络通道,通道口设置安检设施,仅授权人员才可进入。

2视频监控系统

视频监控系统是所有安全防范系统中最直观的,是能够让安保管理人员直接观察到安全防范区域现场状况的系统。视频监控系统对建筑物内外的主要出入口、通道、电梯厅、电梯轿厢、园区周界及园区内道路、停车场出入口、园区接待处及其他重要部位进行视频监视,实时地显示和记录被控现场或被控目标的详细情况,以便安保人员及时采取措施。视频监控系统对监控场所进行实时、有效地视频探测、监视、显示和记录,并具有报警和图像复核功能。同时,该系统还具有与入侵报警系统、出入口控制系统、火灾报警系统进行联动控制的功能,该系统还可与各数据中心的其他弱电子系统集成,以实现统一管理。视频监控系统由前端设备、传输介质、记录设备、显示设备、网络设备及中央控制设备组成。现场监控点主要包括摄像机、镜头、防护罩、安装支架等设备,分布在各监控区域。

2.1模拟视频监控系统和全数字视频监控系统的比较

随着技术的发展,视频监控系统从最初的模拟视频监控系统,逐渐融入了计算机技术、数字压缩技术和网络技术,如今已经发展成完善的数字视频监控系统。传统的模拟视频监控系统也称为闭路电视监控系统,英文缩写为CCTV。主要由系统前端的各类摄像机及其辅助设备(镜头、云台、电梯楼层显示器、防图1数据中心各区域安全防范等级关系高低防护级别主机房+ECC机电用房及IT人员通道其他区域建筑物外部区域实现联网,安防系统的信号同时接入数据中心监控中心(ECC)。数据中心区域及其支持区根据使用功能划分安全控制级别,数据中心区域根据用户需求和使用功能,不同安全防护级别的区域采取不同的安全防范技术措施并对各种拥有不同权限的人员进行相应授权。数据中心各区域安全防范等级关系如图1所示。护罩、支架等)、控制设备(矩阵及控制键盘)、显示设备(专业监视器)、图像记录设备(长延时录像机)等构成。为了将视频信号一分为二,还需要添加视频分配器。现在的全数字视频监控系统由系统前端的各类摄像机及其辅助设备(镜头、云台、防护罩、支架等)、控制设备(专业软件及服务器、工作站)、显示设备(专业监视器)、图像记录设备(磁盘阵列等各类网络存储设备)、传输网络(网络交换机及综合布线系统)等构成。1)从系统架构上来说,传统的模拟视频监控系统是星型结构,所有的摄像机都直接连接到视频管理矩阵,根据传输距离的不同可能会增加光端机等传输距离延伸设备。而数字视频监控系统的结构完全依赖于计算机网络系统,根据各个项目的具体情况(建筑物分布、监控点分布、网络架构等)会有所不同。传统的模拟视频监控系统在多客户端管理和多级管理方面有很大限制,而数字视频监控系统在这方面具有极大的灵活性,几乎不受限制。在结合计算机网络技术、软件技术和现代通信技术后,还能够在移动设备上(智能手机、平板电脑等)搭载软件客户端对数字视频监控系统进行管理、实时查看监控图像,这在传统的模拟系统上是无法想象的功能。2)在监控图像存储方面,模拟视频监控系统最初使用的是长延时录像机,采用盒式录像带作为存储介质。这样的存储方式在存储图像的清晰度、实时性和保存时间上都存在巨大缺陷。随着计算机和视频图像压缩技术的引入,硬盘录像机在模拟视频监控系统中得到了运用。虽然硬盘录像机的出现对长延时录像机+盒式磁带的存储方式存在弊端和缺陷有了一定程度的改善,但其在存储图像的安全性、存储方案的灵活性等方面还是未能完全解决,直到数字视频监控系统的出现,它在引入计算机系统的各类数据存储解决方案之后,其监控图像的储存功能需求才得到了比较好的满足。

2.2数据中心视频监控系统的设计

数据中心的视频监控系统建议采用全数字视频安防监控系统,实现远程监控、远程管理、网络传输、集中存储等系统功能,满足对监控系统功能的需求,真正实现智能视频。选择百万像素高清摄像机及标清摄像机作为视频图像采集设备,利用视频专用网络通过TCP/IP协议传输到控制中心,实现视频集中存储。视频传输接入层为千兆交换,主干与核心均为千兆交换的视频专网。

2.2.1系统架构全数字视频监控系统由IP数字摄像机+网络传输+网络存储+数字化管理(包括操作、管理、存储等)+视频解码+数字显示的分布式网络视频监控系统组成。视频监控系统前端采用720P网络摄像机。视频监控系统的存储采用专用磁盘阵列存储设备,录像数据保存周期至少为30天,重要数据单独存储,部分有需要的数据可自定义存储更长时间。普通数据以30天为一个存储周期,重要数据以90天为一个存储周期。系统设计应按客户要求及实际情况确定。视频监控系统的控制由管理主机通过网络管理。视频监控系统的显示采用硬解压的数字显示方式。

2.2.2前端设备摄像机采用网络摄像机,带自动增益控制、逆光补偿、电子高亮度控制等。IP摄像机采用交换机PoE供电方式,同时考虑为系统预留单独UPS各楼层供电方式。

2.2.3传输线缆和网络摄像机布线纳入安全防范网络的综合布线系统,采用6类非屏蔽铜缆。系统摄像机到弱电间交换机传输线缆采用6类非屏蔽铜缆百兆接入,管理服务器采用千兆以太网,以保障大流量的视频数据网络传输。机房建筑的摄像机视频信号汇聚到弱电间,通过光纤连接至保安监控室。

2.2.4视频管理设备通过视频处理服务器和磁盘阵列进行录像和回放及储存。

2.2.5安全防范管理平台通过安装在视频处理服务器上的安全防范平台软件集中对门禁、视频安全防范监控和报警系统进行集中管理。

2.2.6安全防范显示单元网络传输的视频信号传输到安全防范监控中心,再通过视频解码器输出图像到综合显示单元,拼接屏可通过拼接墙处理器进行拼接、分割显示。监控中心应为上一级安全防范监控中心和ECC预留接口,必要的视频监控信号可同时引至上一级安全防范监控中心和ECC。

3出入口控制系统

出入口控制系统也被称为门禁系统,是数据中心园区安全防范系统的主要子系统。通过机电技术、软件技术、计算机网络技术、通信技术的结合实现对区域通行系统的管理。出入口控制系统由前端设备(身份识别设备、门禁点管理设备、接口模块、输入/输出扩展设备等)、控制设备(门禁控制器)、管理设备(专业软件、服务器、工作站等)组成。出入口控制系统根据人员被允许进入的区域分配不同的授权权限,并通过身份识别设备进行身份辨识,只有经过授权的人才能进入受控区域。出入口控制系统对防范区域内的出入通道进行智能管理。各门禁控制单元一般由门禁控制器连接读卡器、电控锁、出门按钮、玻璃破碎按钮(内侧)、门磁等组件构成。门禁控制器安装位置应靠近控制点,不同安全等级门禁不可共用控制器。所有控制器均可自主工作,以免发生故障影响整个系统;出入数据中心均需通过门禁管理系统授权,根据用户需求、平面规划的人流、物流通道及不同防护区设置相应的门禁点。出入控制系统应能满足以下功能:多门互锁逻辑判断、定时自动开门、刷卡防尾随、双卡开门、卡加密码开门、门状态电子地图监测、输入/输出组合、反胁迫等功能需求。控制所有设置门禁的电锁开/关,实行授权安全管理,并实时将每道门的状态向控制中心报告;通过管理电脑预先编程设置,系统能对持卡人的通行卡进行有效授权(进/出等级设置),设置卡的有效使用时间和范围(允许进入的区域),便于内部统一管理。可设置不同的门域、门禁级别。可以与视频安防监控系统和入侵报警系统联动。

3.1数据中心应用的典型门禁系统功能

3.1.1双向刷卡门禁系统中最基础的门禁点设置为单向刷卡。但此种类型的门禁点只能管理从外部进入的人员,对于从内部退出的人员缺乏管理,如果有人尾随进入管理区域,则可以从内部自由外出,这在安全防范管理上是一个漏洞,因此,对于安保要求较高的区域应采用进出刷卡的门禁管理方式。

3.1.2身份识别之生物识别身份识别装置根据使用环境安保需求的不同可有多种选择。现在的身份认证技术手段分为两类,一类为IC、ID及采用其他技术卡片认证;另一类为生物认证手段。最常见的识别技术及设备就是各类读卡器及配套的卡片。此类完全依赖于技术手段的身份识别技术,由于存在身份凭证遗失及携带方面的问题,易被人冒用,因此出现了生物识别技术。生物识别技术的身份验证手段无疑在便携性、避免遗失、被冒用等方面有很大改进,但由于此技术采集的是人体特征,因此,随着人体体型特征的变化,生物特征也会随之变化,也会出现识别率方面的问题。而且有些生物识别技术对人体有一定程度上的伤害,在广泛使用上会有一定的限制。生物识别技术是利用人体的部分特征作为每个人的识别手段,现在常见的有指纹、掌型、人脸、声纹、虹膜、视网膜、静脉等几种。其中,视网膜认证对于人体健康有损害,极少采用。而指纹、虹膜容易被复制,安全性较低。掌型、声纹、人脸识别容易受人体体型变化影响,产生误报,因此应用也不广泛。而静脉识别由于其选用的生物特征隐藏于皮肤下,且不易改变,因而被广泛采用。

3.1.3多人认证多人认证是指对于同一个门禁点需要多个持卡人进行身份认证才能够通行。此种设置多用于银行金库的门禁点管理,主要是为了防止内部人员相互串通,因此需要多个部门的人员共同监管,为了实现此目标因而需要多人管理。最为常见的是双人刷卡,由于某灾备中心的安全要求高,因此选用了三人认证的门禁点通行认证方式。

3.1.4中心复核由于采用的身份认证存在被盗用或伪造的可能性(卡片被盗、生物识别被假冒等),因此,为了提高系统的安全性,在门禁管理上宜采用系统前端认证与中心视频复核持卡人身份的措施来提高门禁管理系统的安全性。此项功能需要配合视频健康系统来实现。

3.1.5多门互锁在一些安保等级要求很高的区域,为防止有不法人员乘门禁点开发之际强行闯入,需设置一个缓冲区域。在进入受保护的区域之前需要先进入缓冲区域。待进入缓冲区的门禁点正常关闭之后,才能打开受保护区域的门禁点。对于一个比较大的应用场景来说,门禁系统仅具备双门互锁功能是不够的,例如某在建的大型数据中心项目具备多门互锁功能,通过软件设置后就能够独立完成5门互锁,不再需要安保人员的人工操作。

3.1.6访客管理对于一个企业来说没有访客是不可能的,尤其对于数据中心这样安全等级要求非常高的场所,访客的管理也是一个非常重要的隐患。因此对于访客的管理也格外的重要,不能让来访人员随意的通行各门域,必须对其通行的门域进行管理,并由接待人员进行陪防,确保数据中心的安全。

3.2入侵报警系统

为了防止非法入侵,数据中心应设置入侵报警系统。系统由前端探测器、传输线缆、各类防区模块、报警主机和响应的管理软件构成。入侵报警系统采用报警主机+总线传输+分布式地址模块+前端报警设备的模式。入侵报警主机能设定分时段设防和撤防,可与视频安防监控系统联动,启动摄像机对现场情况进行录像。该系统可与各数据中心的其他弱电子系统集成,实现统一管理。同时,该系统还预留有与当地110报警中心联网的接口。入侵报警系统通常包括两个部分,即防盗报警系统和周界防范报警系统。防盗报警系统和周界防范报警系统都使用同款报警主机、管理软件。这两个系统都是采用技术手段对非法入侵进行探测并向安保人员进行报警,区别在于防盗报警系统主要是针对建筑物内部来,而周界防范报警则是针对一个区域的周界进行防范。前者防范的是一个个区域,而后者防范的是一条连续的线。在数据中心建筑内部,微波/红外双鉴探测器是最常用的前端报警探测设备。双鉴探测器布置在机房层入口,探测器连接到地址模块后以RS485总线方式连通到安全防范管理中心的报警主机上,报警主机通过TCP/IP接口接入安全防范网络,由报警系统管理工作站实现监控中心对报警系统的集中管理。在机房楼一层紧急出入口内侧及屋顶层设备用房内建议设置微波/红外双鉴入侵探测器。建议机房楼一层外墙窗户处设置玻璃破碎报警器等报警装置,进一步防止对重要区的非法入侵。防盗报警系统在建筑内使用的入侵探测设备除了各类红外、微波、玻璃破碎探测器外,还有紧急报警按钮、震动探测器、门窗磁等。

3.3周界防范技术手段

对于数据中心园区的围栏/围墙,周界防范报警是重要的安全防范技术措施。它防范的是一条线,有多种的技术手段防范入侵。设计人员应根据用户的具体情况选用适合的周界防范报警技术手段。

3.3.1红外对射探测器红外对射探测器都是成对设置,一个发射端一个接收端。发射端不间断的发射不可见的红外光束,由接收端接收。如果有物体遮挡了红外光束,则接收端就发出警报。从原理上我们可以很容易知道除了人以外的小鸟、树叶等遮挡了红外光束都会引发报警,误报率很高。此外阳光照射也会引发误报,因此该种探测器已经逐渐被淘汰。

3.3.2一体化红外光栅一体化红外光栅可以视为红外对射探测器的一种升级产品。红外对射通常是两光束或四光束,是可在墙头安装的小巧设备。而一体化红外光栅则是落地安装的柱状产品。通常来说,一体化红外光栅的高度都在2m以上,内部安装的红外对射光束可以根据用户需求,通过光束模块的增减调整,其报警的准确性和防范距离都远优于红外对射探测器。但其造价高昂,仅在核电等高安全等级的场所使用。

3.3.3高压脉冲电网高压脉冲电网是众多周界防范技术手段中唯一的主动防御技术。该技术是通过在围墙顶端平行设置间距为20cm左右的合金丝4~6根,通过发出高压脉冲电信号(600V~1200V、持续时间为十余毫秒)来防范和检测是否有入侵行为发生。如果有人直接触摸合金丝,则会遭受电击导致肢体暂时麻痹,从而终止入侵行为,如果合金丝被剪断或两根合金丝短路都会触发报警。此种技术具有造价低、有威慑力而防范效果较好等优势在近几年得到广泛使用。不过此技术会破坏景观,在一些对环境景观要求高的场合不宜使用。

3.3.4光纤震动探测器光纤震动探测器分为定位型和防区型两类,都要配合铁丝围栏或其他固定的物体使用。通过将光纤固定在铁丝围栏上,当有人翻越铁丝围栏或破坏铁丝围栏等入侵事件发生时,光纤会发生挤压、变形、震动。在系统终端管理软件上,通过智能算法就可以知道是哪个部位发生了挤压、变形、震动,从而准确知道入侵事件发生的位置。所不同的是依据其精确程度和应用场合的区别,可分为定位型和防区型两种。

3.3.5张力铁丝围栏同样的,张力铁丝也需要配合铁丝围栏使用。在铁丝围栏上间距为15~20cm水平布设张力铁丝,通过张力传感器来感应张力铁丝的张力。如果有人破开铁丝网入侵,则必然会影响张力铁丝的张力,从而引发张力传感器报警。此种技术的缺陷在于气候变化(温度引发的热胀冷缩、大风引起的铁丝围栏震动)可能引起的误报。

3.3.6微波对射探测器与红外对射探测器类似的微波对射探测器也是成对使用,采用一发一收两个终端。通过发射端发射的微波信号,在发射和接收端之间形成一个纺锤型的微波场。如有人通过该微波场则会干扰之前稳定的微波场,触发报警。微波对射探测器的抗天气干扰能力很强,但因造价较高仅在核电厂、军事基地等场合应用。

3.3.7震动电缆震动电缆也称麦克风电缆,需配合铁丝围栏或围墙栅栏使用。通过在铁丝围栏或围墙栅栏上安装震动感应电缆来检测入侵破坏行为产生的震动,从而引发报警。

3.3.8泄露电缆通过在地下埋设两根平行的埋地电缆(一发一收),形成一个立体的感应电磁场。如果有入侵者(车辆、行人)闯入该感应电磁场则会引起接收电缆收到的信号变化,如果超出设定的变化范围,则会触发报警。由于埋设在地下,泄露电缆工作时不受天气变化影响,对景观也没有破坏,但其造价较高。

3.3.9埋地压差探测系统埋地压差探测是依靠在地下20~25cm深处埋设两根平行的水管,正常情况下,由压差调节装置调节,保证两管的压力平衡。如果有入侵行为发生,其对地面产生的压力会导致两根水管中的压力产生变化。通过检测这两根水管所受压力,系统就可以判别是否有入侵行为发生。由于埋设在地下,压差探测系统工作时不受天气变化影响,对景观也没有破坏,但其造价较高。其缺陷在于仅适用于较为松软的地面环境,比如草地、沙石地、粘土地等。

3.3.10视频移动侦测技术视频移动侦测技术在模拟监控时代就已经出现,由于当时技术条件限制,该技术没有得到广泛发展及应用。随着模拟监控系统中引入硬盘录像机,在硬盘价格还较为高昂的情况下,出现了第一个比较普遍的移动侦测技术——视频动态侦测。该技术在监控画面中没有移动物体时不记录监控图像,从而节省硬盘空间。在现在看来,这只是一个非常低级、没有多少技术含量的动态侦测,无法与如今的视频移动侦测技术相提并论。视频移动侦测技术发展到了今天,其功能的丰富程度已经远远超过周界防范系统的需求。在周界防范的应用上,通过在周界围墙附近架设监控摄像机,对围墙实现无漏洞无死角的监控,并在系统后端通过软件对周界摄像机发来的监控图像进行分析以判断是否有人入侵或是干扰信号,如树枝晃动、小动物闯入等。

3.4巡更系统

巡更系统通常包括在线式和离线式两种。在线式巡更系统是通过在巡更路线上布设巡更信息点,每个信息点有独立的ID编号。巡更人员通过信息采集器采集信息点的编号,在与时间信息关联后,当巡更人员回到安保中心,将巡更采集到的数据信息上传到软件中,即可生成巡逻记录,判断是否有巡更时间过快、过慢、线路偏差、漏过巡更点等违规事件发生。从上面的描述可知,在巡更人员回到安保中心上传巡更记录之前是无法知道其巡更状态,因此就出现了在线式巡更系统。在线式巡更系统通常是利用门禁读卡器作为巡更点,巡逻人员手持巡更卡片在巡更点的读卡器上刷过,则安保中心的门禁管理软件界面上就会实时出现该条信息,所以在巡逻的过程中就可以得知安保人员是否存在巡逻违规的情况。由于门禁系统仅在建筑物内部或外墙上布设门禁点,因此在一些大范围的区域内想要通过门禁系统来实现在线巡更是不现实的,于是就出现了利用手机网络来传输巡更信息的在线式巡更系统。该种巡更系统广泛使用在输油管线巡逻中。巡更人员手持带有SIM卡的巡检器沿巡更路线巡逻,每经过一个巡更点时,读取的巡更点信息(巡更点ID、时间等)均通过短信息的方式通过手机通信网络传输回安保中心,从而实时的了解巡更人员是否按时、按线路进行巡逻。如果发现异常事件,也可与内置的事件信息匹配后及时发送回控制中心。

4安全防范集成管理系统

综合安全防范集成管理系统通过统一的系统平台将安全防范各个子系统联网,包括视频安防监控系统、入侵报警系统、出入口控制管理、电子巡更系统,均通过以太网集成,实现分控中心对相关建筑内整体信息的系统集成和自动化管理。安全防范信息综合管理系统具有标准、开放的通信接口和协议,以便进行综合系统集成,系统留有与公安110报警中心联网的通信接口。同时,系统作为整个园区安全防范系统的子系统,留有与园区安全防范系统联网的通信接口,可以实现部分信息的共享。系统集成平台具有快速的联动功能,可实现多种安全防范策略,包括视频图像管理、电子地图、历史图像查询、报警/事件与视频安防监控系统复核、远程管理及指挥等。安防各子系统之间的联动要求能够实现如下功能:1)出入口控制系统与视频安防监控系统联动:当发出报警后,系统自动联动相应的摄像机,在显示器上自动切换到该报警位置的图像,自动启动录像等。2)出入口控制系统与消防系统联动:发生紧急情况时,门禁系统能接受消防系统的联动信号,自动释放电子锁。3)入侵报警系统与视频安防监控系统联动:当探测器发出报警后,系统自动联动相应的摄像机,在显示器上自动切换到该报警位置的图像,自动启动录像等。4)入侵报警系统与门禁管理系统联动:对与报警事件相关的出入口通道联动控制(如关闭、不允许刷卡进出等)。

篇(7)

1 引言

随着技术完善和业务运营模式逐渐成形,数据增值业务给运营商及内容商带来丰厚的利润[1][2]。增值业务系统的网元结构常运行在多个不同的远端服务器,使用的操作系统差异较大。若采用系统相关FTP函数[3],则需针对不同系统分别开发,将带来繁重、复杂的系统兼容性难题。本文提出一种基于管道编程技术的数据传输方案,适用于多操作系统。

2 需求分析及关键技术

2.1 系统需求分析

数据增值业务系统包括业务系统、内容系统、信令终端、BOSS系统、短信/彩信网关等,组网结构如图1所示。增值系统涉及接口包括:(1)内容系统与业务系统接口;(2)业务系统与底层数据系统接口;(3)短信业务系统与短信网关接口;(4)业务系统与BOSS接口;(5)业务平台和网关接口。所提数据传输方案作用于上述接口,并由数据同步线程实现。

3 基于管道机制的数据传输方案

本方案涉及的关键技术包括文件传输协议FTP、管道编程机制。

3.1 关键技术

FTP是TCP/IP协议的一种具体应用,工作在OSI模型的第七层,TCP模型的第四层[4]。FTP支持两种工作方式[3]:主动模式、被动模式,如图2所示。主动模式中FTP客户端发送PORT命令到FTP服务器,被动模式中FTP客户端发送PASV命令到FTP Server。

管道是一种允许信息传递的通信机制[5],从管道“写入端”写入的数据可从“读取端”读回,从管道读取的数据总保持被写入时的顺序,可用于进程、线程通信[5]。

3.2 数据传输模块实现步骤及关键代码

所提基于管道编程机制的数据传输方案的关键步骤及其核心代码如下:

3.3 应用部署

4 结束语

本文方案基于管道编程机制,无需针对不同操作系统单独开发,适用于不同网元模块中多操作系统协作工作环境,运行稳定可靠,易于维护和扩充。

参考文献

[1]刘晓军,马睿,许建宏,增值业务综合网管系统的数据管理及数据采集方案,邮电设计技术,2009(11): 44-46.

[2]赵国峰,邓中亮,数据增值业务管理平台的设计, 计算机系统应用, 2007(5): 53-55.

[3]刘斌, 浅谈FTP服务器与安全研究, 消防界, 2016(4):76-78.

[4]张艺频, 张志斌, 赵咏, TCP与UDP网络流量对比分析研究, 计算机应用研究,2010(6):2192-2197.

[5]吴元保, 李桂香, 刘记平, 命名管道实现网络通信的编程方法, 微机发展, 1999(2): 15-18.

篇(8)

DOI:10.16640/ki.37-1222/t.2016.22.112

1 前言

随着IT技术的发展和“互联网+”战略的实施,保护信息系统和数据安全的需要也飞速增长,数据中心的安全建设需求愈发重要。而防火墙作为数据中心防护架构的关键防线,如何在数据中心内部稳定并高效的部署防火墙,成为当今数据中心安全建设的一个重要课题。一般来说,数据中心防火墙部署于数据中心的网络边界上,位于数据中心内部的服务器区域和外部访问用户区域之间,传统的网络层防火墙运行在TCP/IP协议栈上,通过对访问流量的TCP/IP报文进行预订策略的识别、过滤和转发来控制外部用户对数据中心内部服务器的访问权限,保护数据中心内部服务器免于非法用户的访问和入侵[1]。

2 NGFW介绍

随着网络技术的发展和防护需求的提升,传统的网络层防火墙由于工作在ISO网络七层架构的网络层,对数据包和流量的分析是基于网络层五元组(源/目的IP,源/目的端口和协议)的,由此也暴露出一些新问题:1)基于端口的识别方式对具体应用没有识别能力,导致非法应用可能借用知名端口穿过防火墙;2)基于IP的识别方式对DDoS、源地址仿冒攻击和对象IP地址不固定的移动端信息服务防范能力不足;3)对于应用层服务的检测、过滤和管理能力欠缺。

因此,业内各个厂家近年来都推出了下一代防火墙(Next Generation Fire Wall,NGFW)来代替传统防火墙,除了提供传统防火墙的防护方式外,同时提供以区分用户、应用和资源内容为防护手段和目标的新一代数据中心防护模式。

3 NGFW实施方案

在实际实施方案中,我们选用了华为公司的S12708三层交换机作为数据中心的网络核心和骨干[2],各个机柜的服务器通过二层VLAN连接到该数据中心交换机[3]。采用两块ET1D2FW00S00 NGFW下一代防火墙集成板卡作为安全防护核心。系统结构如图1所示:

该方案主要说明如下:1)两块S12708集成的NGFW Module做主备式部署,其GE0/0/1配置为心跳接口,当A板卡出问题后,防护系统自动切换到B板卡,消除单点故障;2)两块NGFW Module通过背板带宽,以一进一出两个虚拟20G接口的方式与S12708三层交换机做逻辑连接;3)两块NGFW Module上行链路做捆绑后与S12708数据中心交换机外网部分做路由互指,NGFW Module的默认路由指向S12708,S12708根据防火墙上实际部署的服务器网段做静态路由;4)两块防火墙的内向接口配置为内部服务器的网关,并且做VRRP以确保冗余切换,在内向接口上使用子接口区分不同VLAN。

4 具体关键配置

在对S12708进行完基础配置,使其联入互联网后,防火墙功能部分主要配置实施如下:1)将两块NGFW Module的GE0/0/1用网线直接连接,并配置其心跳线功能:

Module A:

interface GigabitEthernet0/0/1

ip address 10.0.0.1 255.255.255.252

hrp enable

hrp interface GigabitEthernet0/0/1 remote 10.0.0.2

Module B:

interface GigabitEthernet0/0/1

ip address 10.0.0.1 255.255.255.252

hrp enable

hrp interface GigabitEthernet0/0/1 remote 10.0.0.2

2)以新增VLAN51(VRRP=10.10.179.30)为例配置内网接口为服务器区域网关:

Module A:

vlan 51

hrp track active

interface Vlanif51

ip address 10.10.179.28 255.255.255.224

vrrp vrid 1 virtual-ip 10.10.179.30 active

interface GigabitEthernet1/0/0

portswitch

port link-type trunk

port trunk permit vlan 51

Module B:

vlan 51

hrp track active

interface Vlanif51

ip address 10.10.179.29 255.255.255.224

vrrp vrid 1 virtual-ip 10.10.179.30 standby

interface GigabitEthernet1/0/0

portswitch

port link-type trunk

port trunk permit vlan 51

3)配置两块NGFW Module和S12708之间的接口地址和互指路由后,内外网即可以互通。

配置完成后进行测试,将VLAN51下的服务器IP地址设置为10.10.179.0/27内地之后,可以ping通网关并正常上网。通过192.168.1.195和192.168.1.196可以进入防火墙板卡的配置接口或Web管理界面,以配置更详细的防火墙策略,实现对服务器的全面防护。

5 总结

较之独立防火墙设备的部署方式,集成式的防火墙板卡优化了与数据中心交换机的连接方式,节约了设备端口的同时,还提供了很大的双向连接带宽。同时充分利用了S12708上设备端口,减少了防火墙所需的设备下联端口。基于以上过程搭建的数据中心安全架构,具有很好的安全冗余性,并且除了提供了传统防火墙所具备的防功能外,还可以为数据中心提供反病毒、入侵防护、URL过滤、内容过滤、文件过滤、邮件过滤、应用行为控制等企业级应用层功能,经过多方面测试,具有较好的实际使用效果。

参考文献:

[1]陈麟,李焕洲,胡勇,戴宗坤.防火墙系统高可用性研究[J].四川大学学报(工程科学版),2005,31(01):126-129.

[2]HUAWEI USG6000系列&NGFW Module V100R001典型配置案例 [J].

篇(9)

随着网络的发展,网络中心成为了本单位的重要部门,中心机房是网络中心的重要部分,它的安全与数据安全直接影响着单位的正常工作。笔者根据多年的工作经验,就如何管理中心机房安全与保证数据的安全,总结几点意见,供同行参考。

一、设备安全隐患

中心机房的硬件设备主要由UPS电源、空调与加湿器、防雷、防火墙、服务器、磁盘阵列等设备组成。

1.电源安全隐患

在中心机房中,关键的设备是UPS电源,它的性能好坏直接影响所有设备的安全运行。在UPS的选择首先要从容量、备份考虑,容量大一些在长时间使用上,不至于电源长时间过热而产生故障,烧坏设备。其次从电压和频率上考虑,我国的电网质量不高,经常会出现谐波干扰、持续的高压或低压、频率不稳等,因此要选择适应范围大的UPS。最后从智能化上考虑,主要是方便操作与管理,具有远程监控报警,达到无人职守。

2.温度和湿度隐患

机房的温度应该保持在20℃±2℃,湿度保持在50%,这样的环境才能保证设备的正常运行,环境温度过高会使设备内部温度过高而降低使用寿命,严重会烧毁设备。湿度过低会产生静电而损坏设备,湿度过高又会造成短路。因此,在中心机房中必须装专用的精密空调和加湿器,来保证自动控制机房的温度和湿度,确保服务器、交换机等设备的安全运行。

3.雷电隐患

雷电是发生在因强对流而形成的雷雨云中和云地之间强烈瞬间放电现象,是一种严重的自然灾害。我国大部分地区都是雷电的多发区,所以机房的雷电防护显得尤为重要。机房雷电防护要有以下安全措施,一是直击雷防护,就是该建筑要属于三类防雷建筑,通过楼顶避雷网和地相连;二是电源线路雷电防护,要针对引入大楼内的电源线路进行保护;三是信号线路雷电防护;四是良好的接地系统,只要接地电阻满足最小要求,可以共用大楼的一个接地网。四是等电位连接防护。

4.静电隐患

机房的地板采用全钢防静电活动地板,地板的安装高度在20CM左右,地板应良好接地,这样能有效防止静电。

5.消防系统隐患

火灾是机房发生较大的灾害之一,为防止灾害的发生,有严格的管理制度和安全制度是不够的,在机房的消防系统的设施和施工都应严格遵守国家的有关消防法规和方针政策。计算机机房要从机房建筑报警和灭火设备及防火管理三个方面采取必要的防火措施。

另外,除以上的隐患外,在机房中还要注意对水、鼠、虫、尘等的防护。

二、数据安全与备份

计算机数据是我们最宝贵的财富之一,每个单位的数据往往都要由全体员工耗费成几年、甚至几十年的劳动,它的价值远远超过任何一项固定投资,数据的丢失往往都是不可挽回的,所以,数据的安全及如何对数据进行保护是任何一个信息化应用系统必须要考虑和解决的最重要的问题。

1.数据安全

硬盘是现在服务器重要的外部存储设备,可硬盘本身有一定的寿命,硬盘保存数据具有一定的风险,一旦硬盘的数据损坏,我们几年的工作就可能毁于一旦。为保证数据的安全,多采用RAID技术,RAID就是基于硬盘的提升存储性能和数据安全的技术。

RAID可以使很多磁盘同时进行数据传输,而这些磁盘驱动器在逻辑上又是一个磁盘驱动器,所以使用RAID可以达到单个磁盘驱动器几倍、几十倍甚至上百倍的速率。另外RAID还可以提供容错功能,容错阵列中如有单块硬盘出错,不会影响到整体的继续使用,高级RAID控制器还具有拯救功能。

RAID的级别很多,常用的有RAID0、RAID1、RAID0+1、RAID5等,各级别有着各自的优缺点,用户可以根据不同的需求来选择合适的级别。现在用的较多的是RAID5,RAID5是一种存储性能、数据安全和存储成本兼顾的存储解决方案。RAID5不对存储的数据进行备份,而是把数据和相对应的奇偶校验信息存储到组成RAID5的各个磁盘上,并且奇偶校验信息和相对应的数据分别存储于不同的磁盘上。当RAID5的一个磁盘数据发生损坏后,利用剩下的数据和相应的奇偶校验信息去恢复被损坏的数据。RAID只能允许在坏一块盘的情况下,数据是安全的。

为了使数据更加安全,通常还采用热备用,热备用(Hot Spare)是当一个正在使用的磁盘发生故障后,一个空闲、加电并待机的磁盘将马上代替此故障盘,此方法就是热备用。热备用磁盘上不存储任何的用户数据,最多可以有8个磁盘作为热备用磁盘。一个热备用磁盘可以专属于一个单一的冗余阵列或者它也可以是整个阵列热备用磁盘池中的一部分。而在某个特定的阵列中,只能有一个热备用磁盘。当磁盘发生故障时,控制器的固件能自动地用热备用磁盘代替故障磁盘,并通过算法把原来储存在故障磁盘上的数据重建到热备用磁盘上。数据只能从带有冗余的逻辑驱动器上进行重建(除了RAID 0以外),并且热备用磁盘必须有足够多的容量。系统管理员可以更换发生故障的磁盘,并把更换后的磁盘指定为新的热备用磁盘。通过热备用,阵列的磁盘在损坏两块的情况下还是安全的。

在安全的环境下,数据也会出现意外,如由于阵列的质量或其它原因,可能会出现两块或多个磁盘掉盘现象,如果我们没有做到实时备份,这样我们的数据就会丢失,这时我们也可以找专业恢复的工程师利用工具软件进行恢复。

2.数据备份

目前被采用最多的备份策略有完全备份、增量备份和差分备份三种。

(1)完全备份

就是每天对系统数据进行完全备份。这种备份策略的好处是:当发生数据丢失的灾难时,就可以恢复丢失的数据。然而它亦有不足之处。首先,由于每天都对整个系统进行完全备份,造成备份的数据大量重复。这些重复的数据占用了大量的空间,这对用户来说就意味着增加成本。其次,由于需要备份的数据量较大,因此备份所需的时间也就较长。对于那些业务繁忙、备份时间有限的用户和单位来说,选择这种备份策略是不明智的。并且,由于备份的时间间隔太小而造成的完全备份数目过多,造成硬件资源的大量浪费,也是很不必要的。

(2)增量备份

增量备份比完全备份快得多。在进行增量备份时,只有那些在上次完全或者增量备份后被修改了的文件才会被备份。正是由于这个原因,增量备份所需时间仅为完全备份的几分之一。为了确认一个文件是否在上次完全备份后被修改,备份软件会检查一个叫做归档位(arch ive bit)的设置项。当一个文件以任何形式被更改或者从一个位置拷贝到了另一个位置,归档位都会记录下这一变化,以便这个文件在下次备份时被包含在内。完全备份在进行前不会关心这些文件的归档位是否已经被设置,不过完全备份会在完成后清除归档位。任何在随后时间里被修改过的文件又会在归档位中记录下来。

(3)差量备份

差量备份不会在备份完成后清除归档块,而增量备份会在完成后清除归档块,这样就能避免有些文件不必要地再次被备份。使用归档块还能使用户真实地查看到那些文件需要备份。

速度更快的备份也需要付出有些代价——在这个情况下,就是恢复的时间。当从增量备份里恢复时,用户需要最近一次的完全备份和自此以后的所有增量备份。

总之,要高度重视计算机机房安全管理的重要性,以保障机房设备安全可靠运行为工作目标,不断学习探索机房安全管理技术,进而提高机房安全管理水平。坚持科学地应对机房安全隐患,就能最大限度地及时发现安全隐患并找到应对措施,最大限度地避免事故的发生,进而高效安全地服务。

篇(10)

中图分类号:TN915.1 文献标识码:A 文章编号:1674-7712 (2014) 12-0000-01

在数字通讯网络运行过程中,中心机要联系成百上千的网络终端,如何优化数字通信网络终端的布局,影响着中心机的运行效率和工作质量。科学合理的选择终端和中心机之间链路的连接是改进数字通信网络工作的重要步骤。随着科技的进步和社会的发展,数字通信网络的发展将会备受重视,为了实现数字通信网络终端的布局的优化和完善,下文提出了针对性的解决方案。

一、数字通信网络中设计注意事项

(一)限制流量

由于数字通讯网络线路的传输量是有限制的,如果无限制的接纳传输的信息量,当某条线路的处理工作增加时,线路上的信号传递达到饱和,一旦出现这种情况,信号的消耗量就会加大,信号的处理和使用效率便大大降低,影响数字网络通信的正常使用和优化发展,因此在优化布局设计时,要注意限制流量。

(二)控制终端数量

数字网络通信的工作过程,中心机要和数量庞大的终端机连接,本身的处理和工作压力就很大了,如果不断增加终端的个数,中心机的处理将会面临崩溃的境地,处理质量和效率会降低到相当低的水平,最终严重影响客户终端机的正常使用。因此控制终端数量才可以保障用户使用时的效率和质量水平。多点式的线路终端数量要少于承受最大量,其他的终端数量也要严格限制,保证数字通信的信息处理水平。

(三)延时限制

在数字网络通信运行中,信号的传播速度迅速,但是即使这样信号从信号源出发到达网络终端也要有时间上的延迟。时间的延迟出现在三个环节:信号传递过程中,在网络节点处需要处理时间,造成时间延时;信号在网络节点处的排队时间;信号自身在线路上的传输时间。通过以上对造成信号延迟原因的探究,我们认识到为了缩短信号消耗时间就要尽可能的减少线路中存在的网络节点,尽量使中心机和客户终端直接联系和传递信息。但是这样的方法会造成数字网络通信的成本提高,直接相连可以减少信号消耗,提高运行效率但是会增加大量的成本。延时限制是数字网络通信工作要处理的重要问题。

二、影响数字网络通信布局的原因

(一)设备可靠性大小

数字网络通信和人们生活息息相关,所以可靠性和安全性都是必不可少的优势。对于通信设备的可靠性要经过认真科学的推敲和测定,设备的可靠程度关系到数字网络通信事业的发展,要保证可靠性。就需要在建设网络终端时,要选择质量优和性能强的设备。

(二)干扰因素

在数据信息进行传播的过程中,会受到外界环境的干扰,信号的传播在受到干扰后会出现不稳定,影响到客户的使用。干扰产生的原因很多,有相邻干扰、数字网络通信系统自身产生和其他信号干扰因素,优化数字网络通信的布局,信号的稳定性才能保证。

(三)全面覆盖性差

进行数字网络通信建设要实现的是网络的全面覆盖,在建设过程中要不断扩大覆盖范围才是重中之重,当然在这个过程中还要注意保证质量。数字网络通信的覆盖首先应该实现地区性然后进行补充,尽量做到均匀覆盖。

三、数字网络通信终端优化方案

(一)优化处理的计算方法

在数字通信网络终端设计时都要经过严格的计算,以往的设计都是将链路集合和链路容量的确定区分开来,单独处理。在解链路集合时,假设容量已知,在确定连接结构之后,采用解析法进行全网链路数量的再分配。传统的算法不能够完全适应实际的需要和现实情况。在实际处理过程中,链路和容量都是未知的,并且链路成本和长度、容量为正比关系,信号的延时与容量大小成反比,要实现成本的最低化和信号延时的最小化,链路连接和容量并不是独立的,二者是关联很大的变化量,综合考虑才能得到最优结果。

为了计算的简便和效率及质量的提高,可以选择将网络进行分层,链路连接和容量分配同时进行,密切关注限制指标兵进行相应调整满足约束条件。为优化联接结构可采用分层联接法,从距离中心最远的层次开始和层内最短链路连接,这样可以避免离中心距离小的点先饱和远距离的点不能良好运行的问题。新算法应用的是联接和纷飞交错进行,分配和检查都是分片进行,及时发现有延时超过预定值也不用过多进行调整。这样的算法比以往的全网分配得到的结果更优。

(二)优化数字信息网络干扰项

数字信息网络信号传输过程中会出现干扰因素,影响信号的传递,要解决这一问题就要对干扰因素进行列举和分析,对于干扰因素的特点和特性进行分析和记录,同时要做好与其他部门的沟通工作,尽量避免干扰因素的扩大,本部门也要做好自身的规划,避免出现越战干扰情况影响到正常工作。去除干扰因素可以为数字信息网络发展贡献很大的力量。

(三)对数字信息网络设备进行管理

数字信息网络设备的好坏,关系到数字信息网络工作能否正常实施。对于设备要关注性能、质量和效率,对于关键系统设备的选择更是要格外重视,对于产品的服务和维修要多加注意。在设备使用中,要注意对设备的维修和保养,对设备的质量和安全进行跟踪和记录,对于可能出现的问题要做好应急方案,提高设备的使用率,对于老化的设备要及时更换,避免事故隐患。此外,加强数字信息网络设备管理,还要注意提高操作人员的业务素质和专业技能,操作的水平影响到工作的质量,因此,做好设备管理工作作用重大。

三、结束语

数字通信网络终端的布局优化设计是要尽可能控制好链路和链路的容量,同时还要减少投资成本,优化资源的使用。数字信息网络的发展离不开对其设计方案的优化和处理,我国的数字通信网络发展要不断改进方法,提高技术水平,满足大众的通信需求和社会发展的需要。

参考文献:

篇(11)

一、高职院校云计算数据中心建设需求分析

高职院校近几年来得到了迅猛发展,特别是自2006年国家支持建设100所示范高职院校以来,高职院校在校园信息化建设、IT实训基地建设等方面投入了大量资金,大大改善了IT相关专业和课程教学校内实训条件,符合高职教育对应用型、技能型人才培养所需实训条件建设的要求,为“工学结合”、“做教学”等教学组织与实施创造了良好的实训环境,也提高了校园网络服务教学管理的效益,但在传统的信息中心建设与管理、IT实训室建设与维护过程中大都遇到以下问题:

(1)几乎每年都要进行硬件采购、软件升级,做计划、招投标和建设周期较长,而且不断扩容的软硬件设施给学校增加了投资成本,并给网管人员带来越来越大的管理困难。

(2)服务器利用率低、运维成本高,多数服务器业务单一,系统维护、升级和扩容等都会带来业务暂停等问题。

(3)服务器间的兼容性差,原有系统迁移到新平台上,就会带来新老系统兼容等问题。

(4)存储设备数量多、架构不统一。学校大量各类资源分布存储在不同的存储网络上,既不利于业务管理、又存在信息共享困难等问题。

(5)信息中心大量IT资源对各二级部门的贡献不够,不能够发挥资源效益,以减少二级学院IT投资特别是计算机类机房的重复投资问题。

能否设计一种新的技术架构和运行管理平台来克服以上问题?

有,那就是构建基于虚拟化技术的云计算平台,建设一个集成统一的信息化服务数据中心[1],将学校有限的IT软硬件资源,通过虚拟化技术,构建成“无限”应用的各种资源池,利用云计算提供的SaaS(Software as a Service,软件即服务)、PaaS(Platform as a Service,平台即服务) 和IaaS(Infrastructure as a Service,架构即服务)三种服务模式,实现对客户“按需分配”,满足对学校IT资源的各种应用。

但由于云计算平台建设投入较大,技术与管理复杂,是目前制约高职院校云计算数据中心建设的一个主要原因。根据高职院校的办学特点,云计算数据中心建设可以按照私有云和共有云相结合的设计方案,采用SaaS 和PaaS服务模式为校内师生云客户端提供上课和实训所需的软件与工具在线服务,各二级学院或部门不再需要单独采购大量本地存储磁盘和预装教学需要的种类繁多的平台系统软件和开发工具,更不用担心服务器硬件扩展、软件升级等维护问题,计算机机房中上课所需要的课程资源、软件工具等均可存储在云计算数据中心,机房中的电脑和师生的移动设备如云终端设备、笔记本电脑等不再需要单独安装大量的软件资源,数据中心统一配备云服务专业技术团队负责维护和管理系统运行,这无疑会大大节省的学校在信息化机房建设的资金和时间投入,也大大提高了学校IT资源的整体效益。

二、云计算三种服务模式在数据中心建设中应用分析

目前,云计算服务模式由如下三种架构,用户可以根据自己的业务特点选择一种或多种服务模式,这里根据高职院校数据中心建设与师生需求特点简要分析这三种云计算服务模式的应用区别。

2.1 SaaS模式

SaaS的技术特点是:云数据中心根据云客户端的软件应用申请下发相应的软件系统和软件工具,对使用者来说,节省了在本地网络购置服务器硬件和软件以及应用授权上的开支,也无需单独安装工具和软件;而对云数据中心来说,只不过是一个客户应用请求而已,无需额外增加投资,只需下发一个服务即可。

譬如,学校计算机实训机房,可以根据课程所需要的软件环境,随时向云数据中心在线动态申请相应的软件,数据中心通过虚拟化桌面,给师生终端批量下发上课需要的教学与实训软件即可,完成教学和实训任务后可以随时释放这些应用,这无疑会大大减少二级部门在实训机房上的投资,也减轻了机房管理团队的工作压力。

2.2 PaaS模式

PaaS模式依赖于在云数据中心构建的一套完整的虚拟化平台为客户提供所需要的开发工具如Apache、MySQL、JBoss Application Server以及应用程序开发库和接口等资源,云客户端可以在线设计、创建、开发、部署以及管理自己的应用,但无需要管理这些平台运行环境。譬如,学校师生可以充分利用PaaS服务模式,无需搭建和管理自己的软件开发环境,只需在线申请使用云数据中心提供的多样性开发平台即可,这为师生从事软件开发以及项目研究提供了灵活丰富的资源平台。

2.3 IaaS模式

IaaS是以提供网络基础设施如CPU、内存、网络以及存储等IT资源作为服务形式,云用户可以向云数据中心申请这些软硬件资源,构建属于自己的虚拟运行平台,用户可以在该平台上部署运行自己的应用软件,并能够控制属于自己租约的IT资源。譬如,学校可以针对某些课程构建专门的实训室,通过申请IaaS,二级学院可以拥有自助式服务模式,在该平台上通过云计算中心提供的基础设施,构建一套适合上课和实训的虚拟实训室,既能够满足正常上课和实训需要,又能提供师生软件项目研发等需要。

三、虚拟化技术在数据中心建设中的应用分析

虚拟化,就是通过虚拟化软件在一台计算机或服务器物理主机上虚拟出多台可以同时运行多种操作系统的逻辑主机,如图1所示,每台虚拟的逻辑主机上的应用系统可以相互独立地运行。虚拟化技术实现了对IT软硬件资源的动态按需分配、灵活规划调度、虚拟机间资源共享等功能,大大提高了对IT资源利用效率[2]。

在学校云计算数据中心部署虚拟化,可实现对学校信息化基础设施等资源的利用、减少软硬件采购资金的重复投入、节省机房空间、提高设备集成性、减少能耗、降低管理成本、缩短建设周期等。利用虚拟化技术,将一组物理硬件资源组织成为逻辑上的资源池(Resurce Pool),并通过管理平台,实现动态、均衡分配资源池中资源,也可根据业务需求和业务重要程度预设服务策略,通过监控资源池的使用情况,智能地为虚拟机调配资源,从而实现对IT资源的有效、高效利用和管理。

四、基于虚拟化技术的云计算数据中心建设方案

学校在进行云计算数据中心设计时,应抛弃传统的计算、存储和网络架构模式,将计算与交换集成在一个统一的网络平台上,实现网络融合、减少网络汇聚与接入层的分段,在统一的管理域内,利用数据交换核心,减少I/O适配器、布线及设备,实现交换、存储与高性能数据计算,并实现对云数据中心软硬件资源的集中管理。主要建设模块包括:

4.1云计算基础架构

云计算基础架构是利用虚拟化技术,对服务器资源、存储与灾备系统、网络设施等进行有机整合,形成虚拟化计算资源池、存储资源池、网络资源池等共享资源平台,对云客户端实现需支付服务、自动分发部署,并具备容灾热备、异构迁移等功能。

4.2云计算运营行管理平台

云计算数据中心由大量的物理与虚拟化IT资源,为了保障整体系统的正常运行,必须构建一套对这些IT资源进行统一运行监控、资源调度、服务支付、故障处理、计费记账、性能优化、配置修改、安全策略等管理平台,使日常运维、管理、控制等更加科学、有效和及时。

图2是学校云计算数据中心网络架构拓扑[2]图。

1、虚拟化基础架构设计

(1)虚拟化计算资源池设计

计算虚拟化即服务器虚拟化,是通过虚拟化操作系统来实现的。在服务器节点或服务器资源池上,安装虚拟软件系统如vSphere,对宿主服务器的CPU、内存、网卡以及I/O等进行虚拟化处理,安装多个可运行不同操作系统的逻辑服务器(如图3所示),并根据业务划分安装相应的应用软件和工具,如此,一台物理服务器就似乎变成了多台服务器在运行,从而大大提高了计算资源的利用率,降低了采购和建设成本,增强了系统的配置灵活性和可用性。

设计要点:

1)企业级刀片服务器控制箱,配备冗余电源、风扇和机箱管理模块,内置FCoE交换机,配置足够的内部10Gb服务器端口和万兆SFP+模块。

2)物理服务器配置足够的CPU和内存,支持虚拟化集群,以保障虚拟化平台的构建。

3)多路虚拟CPU(vSMP),以快速部署批量并发云端用户的服务请求。

4)在线添加虚拟CPU(vCPU), 虚拟内存(vMemory)和虚拟磁盘(vDisk),保证系统无间断运行。

5)支持在线虚拟机间、虚拟机与物理机间业务迁移,实现对业务动态调控、负载均衡处理。

6)支持Windows、Linux等主流操作系统,并兼容VMWare、Hyper-V、RHEL-KVM以及华为等业界主流虚拟化运行管理平台

(2)存储资源池设计

存储资源池是云计算数据中心建设的重要内容,是提供云端信息服务、数据存储与管理、数据共享与检索以及数据灾备的重要平台。采用光纤存储系统SAN架构,配置冗余高速背板带宽的光纤交换机,满足不同云计算用户的访问。设计要点:

1)具有高速缓存的SAS磁盘阵列控制器,支持多种RAID方式,具有在线动态调整LUN的容量、在线修改RAID级别等功能。

2)支持FC、NAS、iSCSI应用以及配置10Gb/s FCoE、8Gb/s FC光纤通道等端口。

3)支持固态硬盘(SSD)、高速硬盘(比如15000转)、高容量SATA硬盘

4)实现数据在不同LUN之间的动态、在线无中断数据迁移

5)具备定期增量备份(Incremental Backup)、全量备份(Full Backup)和差异备份(Differential Backup)等备份方式。

6)基本的硬件冗余,如缓存、处理器、适配器卡、电源及风扇等。

(3)桌面虚拟化设计

桌面虚拟化[4]是云客户端共享云数据中心资源的重要应用平台,是云数据中心根据用户业务需要,对大批量并发用户动态、统一或个性化下发桌面应用的手段,包括桌面操作系统、应用程序等应用,减少客户端预装系统,使用户云端设备成为瘦客户端(Thin Client),网管人员可以通过专业化管理工具如VMware vCenter实现对云平台上的客户端集中管理。设计要点包括:

1)可按用户不同业务,将一朵“大云”切分成多个逻辑“子云”,各“子云”在资源申请与分配、生成与交付等管理流程,可独立于上层“大云”系统门户,以增强服务支付的灵活性。

2)虚拟桌面系统能够支持多种前端协议,如HP RGS、PCOIP、RDP等。

3)支持内置企业级数据库功能,虚拟桌面无需再购买第三方的数据库管理系统

4)能够快速分发应用程序,并可以运行在PC、移动终端、云终端等不同操作系统平台上,能够转换成EXE或MSI格式,方便用户个性化应用和分发(如计算机机房内部)。

2、 统一交换网络设计

随着10GB以太网应用的普及,基于FCoE和无损10GB以太网技术已经在云计算数据中心建设中被采用,为实现将SAN存储数据流、计算数据流和普通交换数据流整合到一个统一网络交换平台提供了较充裕的带宽,既降低了网络建设的复杂度与投资,又能满足大量云客户端对高带宽、低延迟、安全性和可靠性的需求。核心交换机和存储交换机SAN应配置足够的10GB网络端口,用于与计算资源池中的服务器、存储资源池中控制器、连接,并具备跨机箱10GB智能堆叠、支持FCoE协议等。

3、统一管理系统设计

虚拟化数据中心IT资源庞大,为了便于资源管理、动态调配,需要一套功能强大的云管理工具平台,实现对数据中心的计算资源池、网络资源池、存储资源池的统一管理、优化和协调,并具备虚拟桌面分发、资源运行监控、安全策略配置及资源优化等功能,从而提高对云计算数据中心运行管理的自动化和智能化。

4、 安全策略

传统安全措施仍需要在云计算中心进行强化,包括防火墙安全策略、入侵防御系统IPS、VPN隧道技术、防病毒软件、数据灾备、接入认证等措施,保障前端网络的接入安全。但在虚拟化运行平台上,由于大量虚拟化系统的应用以及大量云端用户开放性地接入数据中心,这就对网络安全提出了更高的要求,因此,数据中心安全方案可以选择基于虚拟化技术平台的深度安全管理软件,如趋势科技的Deep Security、VMware的VMware vShield等,保障后端虚拟化系统和各种资源池的运行安全。

五、结语

以往校园数据中心建设、业务扩展等都需要重新进行大量软硬件的采购预算,即使是一个业务量也要走一遍从申报计划、制定标书、招投标、采购等一系列建设流程,大量这类“单个业务”占据了不少软硬件资源,利用率低下,运行成本和管理成本高。

因此,采用虚拟化和云计算技术,只需在原有系统上添加一套虚拟计算和服务即可。譬如,过去每年都要投入大量人力、物力、时间等规划建设计算机实训室或升级原有计算机实训室的运行平台,如今,利用云计算数据中心,采用SaaS或PaaS模式,二级学院随时可以构建教学实训环境,并且随时得到最新应用系统,让各二级学院计算机相关实训室由“有型”变得“无型”、由固定变成可移动。

参 考 文 献

[1]孟凡立 徐明 张慰.基于云计算的高校数据中心设计与实现[J].现代教育技术.2012(3)99-103