DOC《技术要求》

(高可靠性) 安全节点2:主要指内部办公网终端 安全节点3:主要指内部办公网服务器区(高安全区) 安全节点4:主要指台内专业网 各安全节点根据需要分别采用不同的手段进行安全防护(方案由各投标人根据各产品特点进行设计). 建设目标: 在新闻中心搬迁工程中,计算机系统建设目标分别如下: 专业网方面:单独进行招标,不列入本项目中. 内部办公网方面: 在面向台内的应用管理系统方面,包括:结合新闻中心的建设,将新闻中心建设过程中实施的监控及物业管理等系统接入电视台内部办公网;

结合电视台的搬迁,将原部署在制作基地的设备管理系统、财务管理等系统搬迁到新闻中心;

结合传媒集团办公网的进度,建设佛山电视台的办公自动化(OA)系统;

在互联网方面:更新网站的设备并将网站从制作基地搬迁到新闻中心;

在终端接入方面:建设全台交换机系统,包括核心交换机、高安全区交换机和楼层用户终端接入交换机等;

通过光纤接入传媒集团计算机办公系统;

通过光纤接入五区内部网办公系统. 数据转存系统方面: 在本方案中,为了保证电视台制播业务的安全,电视台专业网与外部其它网络处于物理隔离状态,但部分内部办公网的用户需要应用到专业网的数据.为此需要通过网闸等技术手段,建立从专业网到内部办公网的单向数据传输通道. 安全节点:通过安全设备,提供包括防病毒、防入侵、网络负载均衡等安全防护. 由于病毒和入侵手段的多样化,通过以上的安全手段并不能完全杜绝网络安全隐患的发生,但是可以在一定程度发生防护使用并阻止病毒的蔓延,防止系统全面崩溃,并为网管进行安全防范提供必要的时间.因此,在安全策略方面采用如下的措施: 对专业网和内部办公网高安全区主要针对数据安全和运行安全进行防范,既保证系统的高可用性和高稳定性,也保证数据的安全性. 对内部办公网的用户终端应在系统可用性和安全性间寻求平衡,在防止系统出现影响到专业网及内部网高安全区的不安全因此,及大面积网络瘫痪的前提下,可允许部分用户发生网络安全问题. 内部办公网计算机系统部分 内部办公网计算机系统将成为电视台本部在新闻中心进行计算机应用的主要平台,它包括:交换机、服务器和计算机安全系统三大部分. 内部办公网系统结构: 本系统包括三个外部互联网接入,分别为:远程拔号(PSTN)接入、电信互联网100M接入和禅通互联网100M接入 三路接入通过网络线路优化器,合并为统一链路,提供合计200M互联网接入带宽 在链路负载均衡设备后部署安全网关,对于来自于互联网的病毒,垃圾邮件和网站不良内容做过滤,该安全网关是工作在桥模式下. 在接下来部署两台防火墙做双机热备,与核心层主备交换机一起形成高可靠性系统,由于防火墙设备启用了路由功能,因此它的角色很重要,所以采用双机热备技术,保证高可靠性,同时也提供防止互联网入侵能力. 网站位于防火墙的DMZ区,接入百兆以太网24口交换机1台,网站WEB服务器2台(主备同步负载均衡)、WEB均衡转发服务器1台(兼网站内容更新管理服务器)、数据库服务器1台、网站视频采集服务器4台、电子邮件服务器1台、流媒体服务器1台.以太网交换机通过QOS功能对服务器进行带宽分配.在安全方面,网站与内部办公网分别使用IDS两个端口提供防入侵功能,并通过垃圾邮件过滤网关对邮件服务器进行垃圾邮件过滤.(对外提供服务的相关服务器接入核心层交换机保证数据包的快速转发) 防火墙在内网设2个端口,分别对应主备内部办公网核心交换机,通过链路聚合方式,向内部网用户提供访问互联网的通道 内部办公网核心交换机主备各1台,以千兆以太网(铜缆)进行交换机负载均衡.每交换机下连:安全区(6路千兆网线)、高安全区防火墙(1路千兆网线)、楼层配线接入交换机(27路千兆光纤)、传媒集团办公网接入(1路千兆光纤)和五区办公网接入(1路千兆光纤),建议采用具备32个千兆光纤接口和16个千兆以太接口的骨干核心级交换机.内部办公网核心交换机通过QOS功能对下辖各网络接口进行带宽分配、通过VLAN划分子网、通过第三层交换控制子网间的互访. 连接内部办公网核心交换机的安全区,包括IDS(入侵检测,2个端口,一个对内部办公网1个对网站)、防病毒服务器、网络管理系统服务器和桌面管理系统服务器 高安全区防火墙采用千兆4端口防火墙,2路分别连接主备核心交换机、2路(DMZ)分别连接高安全区服务器汇聚交换机.该防火墙使用透明方式连接两个网,如防火墙产生故障,只需把核心交换机与高安全区服务器汇聚交换机连即可恢复对高安全区的访问.同时,防火墙还负责保护高安全区不受未授权用户的恶意访问. 高安全区内设千兆以太网交换机2台(主备各1),每台千兆以太网交换机配置24个千兆以太端口,进行跨交换机汇聚(绑定),提供主备冗余交换机负载均衡,通过QOS服务对服务器进行带宽分配. 高安全区内含转存系统数据接收服务器,该服务器通过服务器上的网卡连接网闸,通过网闸单向接收从专业网向内部办公网发送的数据. 网闸作为一个非TCP/IP协议族的单向传输工具,应配置为只能通过网闸主机上的Console端口进行配置,不能通过网络进行配置. 高安全区内还包括佛山电视台内部办公网的管理用服务器,现在阶段主要包括:OA系统数据库服务器、OA系统应用服务器、备份服务器、设备管理系统服务器等,以后将视新增系统新增服务器如财务管理系统、人力资源管理系统等. 楼层接入交换机通过千兆光纤连接到核心交换机上,电视台大楼1区共12层24个交换机间,2区共3个交换机间,合计27个,每个交换机间视使用人数分别配置48口或24口百兆以太交换机(其中:新闻中心、节目中心、行政中心和技术中心楼层各交换机间配48口百兆交换机1台,其余各交换机间配置24口百兆交换机1台),另有部分交换机用于扩展,合计共需配置48口百兆交换机8台,24口百兆交换机32台.每层交换机作为一个VLAN与其它楼层交换机分隔,共设15个VLAN段. 传媒集团办公网接入通过防火墙分别与内部办公网核心交换机连接. 五区办公网接入通过防火墙分别与内部办公网核心交换机连接. 因IT技术发展迅速,设备更新换代速度快,未来还有Ipv6等新技术的引入将导致计算机网络系统的重大变革,而佛山电视台计算机系统的发展是逐渐进行的,因此电视台内部办公网计算机系统建设应本着统一规划、分步实施的方式进行,并在实施过程中注意根据实际需要和技术发展状况进行调整. 如图所示,内部办公网系统结构如下: 交换机系统: 1)功能:新闻中心电视台大楼中,交换机系统提供全台网络访问平台. 2)需求情况: 电视台内计算机系统对于交换机系统的需求为: 内部办公网服务器集群需要千兆以太网连接核心交换机,以获取较大的接入带宽和访问能力,内部办公网通过磁盘阵列提供高带宽的数据读写操作. 内部办公网与专业网之间通过网闸进行单向数据传输. 内部办公网核心交换机到楼层交换机之间以千兆光纤进行数据交换. 楼层交换机到用户终端之间以百兆以太网交换机进行连接,但终端盒到楼层配线间之间采用超六类网线进行布线,如有必要只需要更换接入交换机即可升级到千兆. 3)设计思路 佛山电视台新闻中心交换机系统采用骨干层/接入层两层结构方式,其中: 骨干层(包括核心交换机和汇聚交换机):核心交换机是网络的高速交换主干,应具有如下特性:可靠性、高效性、冗余性、容错性、可管理性、适应性、低延时性等.在 本方案中,采用主备骨干级大型千兆光纤/铜缆以太交换机,具有平滑升级到万兆平台的能力.核心交换机采用了单交换引擎、双电源备份,主备核心交换机进行冗余备份和负载均衡.汇聚交换机是网络接入层到核心层的中介,就是工作站接入核心层前先做汇聚,以减轻核心层设备的负荷,在本方案中该层包括高安全区汇聚交换机,采用主备冗余的二层千兆交换机,支持跨交换机的汇聚(绑定)能力,以达到提高效率、降低核心层设备负荷的作用. 接入层向本地网段提供工作站接入.为简化网络结构,降低网络成本,接入层将通过千兆光纤直接连接骨干层核心交换机,采用百兆以太网线与用户工作站连接(布线采用超六类,如需要扩容到千兆级接入只需要更换接入交换机即可).接入层交换机选择二层交换机,无须支持三层交换技术. 按计算机系统整体设计思路,将服务器集群区域(高安全区)划分为单独VLAN,对该区域的设备采取主备冗余、集群、数据备份等技术手段,以及千兆防火墙、防病毒软件等安全手段提高该区域的安全性,以提升该区域的安全性. 在VLAN的划分上,采用跨网段、跨交换机、基于端口配置的MAC地址绑定划分方式,全台内部办公网采用A类保留地址,按楼层和应用划分VLAN,分别对应内部网核心交换机网段,内部网服务器集群(高安全区)网段、内部办公网楼层接入网段(按每楼层1个网段)、外部互联网接入网段、传媒集团接网段、五区远程接入网段、安全节点网段等.交换机跟据MAC地址锁定终端在交换机上对应的端口和IP地址,防止外来计算机接入台内计算机系统. 因受大楼结构及布线距离限制,新闻中心电视台大楼布线方式将采用光纤作为计算机中心机房到楼层配线间的物理连接方式,以及采用非屏蔽网线作为楼层配线间到用户端口的物理连接方式. 如图所示,系统结构如下: 设备清单如下: 序号 内容 数量 技术要求