机房整改方案

2023年5月1日发(作者：成都房屋装修公司排名)

XX机房整改方案

目录

一、 XX站整改项目说明 ............................... 1

二、 XX站整改项目目标 ............................... 2

三、 项目实施要求 ................................... 3

1、 可靠性： ...................................... 3

2、 环境保护： .................................... 3

3、 灵活性： ...................................... 3

4、 安全性： ...................................... 3

四、 施工方案简述 ................................... 3

第一部分 机房工程方案 ............................. 3

第二部分：机房装修设计及施工方案 .................. 4

第三部分 机房外缆整改及设备支座制作 ............... 6

五、 机房综合工程设计标准 ........................... 8

六、 效果图 ......................................... 8

一、 XX站整改项目说明

本次XX站机房整改项目主要涉及XXX二楼机房、话务机

房、电源机房等机房的整体维护。其中程控设备机房包含XXX

交换机、传输设备、配线架等核心汇聚设备。机房在多年的扩容

和新建工程施工过程中，遗留了较多的硬件施工问题，为实现标

准化机房建设实施本次整改项目。

目前主要问题为:新建机柜需增加设备底座、线缆布防不规

范、标签缺失、走线槽道缺失、外缆布防防护盒腐蚀、机房密闭

条件差等,为设备安全运行造成重大隐患，也为机房日常维护工

作带来了诸多困难。

二、 XX站整改项目目标

本次整改将主要针对机房现存硬件安装问题进行整改，从根

本上解决现存的硬件质量问题：

整改子方案涉及

1、 机房装修工程

2、 UPS配电系统整改

3、 机房照明系统整改

4、 接地系统整改

5、 综合布线系统整改

6、 增加温湿度监控系统

7、 机房设备整改方案建设

通过整改电源线、光纤、信号线等线缆的不规范布放，

做到线缆布放科学、安全、整齐、美观；通过设备运行环境

整改使机柜外观及内部设备防尘网干净、整洁，从而达到消

除通信安全隐患、便于机房日常维护的目的；通过机房维护

环境整改，实现标准化机房建设，确保设备维护环境达标；

整改完成后：

实施单位需汇总机房现场数据信息；

对机房设备数据资料更新统计和修订;

第2页

设备线缆标签整改；

为机房后期的日常维护、扩容和巡检工作提供准确的数据资料。

三、 项目实施要求

通过机房标准化整改考虑以下方面：

1、 可靠性：

设备纤缆改造充分考虑“三防"、“三护”，XX机房敷设相关

备用线缆;

2、 环境保护：

考虑机房环境的特殊性，选用相关防火阻燃材料；

3、 灵活性:

为节约资金，充分利旧原通信站线缆进行整改；

4、 安全性:

项目实施过程中对XX站相关技术资料做到严格保密，需签

订相关保密协议;

四、 施工方案简述

第一部分 机房工程方案

整体机房面积约XX平方米左右.XX设备机房、XX机房及电源机

房按国家标准B级机房设计和施工。

1、机房功能区划分:主机房设在二楼.按国家B级标准机房设计和施

工，按功能划分为XX机房、XX室、XX机房、电源机房、XX室五个

功能区。

2、机房装修使用：XX机房及XX机房采用防静电地板、微孔天花板、

第3页

无眩光灯管等材料、防火窗帘及敷设防静电漆。

3、机房配电系统：电源走线全部捋顺绑扎、重新制作标签、制作走

线槽道，并充分考虑机房电源插座的冗余,保证机房配电的安全。

4、机房防雷接地系统：机房接地和大楼接地共用，XX机房设备共地

整改,地板支脚采用铜带接地，直流接地电阻小于2欧姆.

5、机房控温系统：原有空调利旧，暖气计划采用装修包装或者更换

为新型彩钢暖气两种预案，加装温湿度检测仪表。

6、机房综合布线系统：要求整改厂家对机房进行了综合布线的设计,

在各个功能区域相应墙壁地面30厘米高度处设置了相应数量的有网

络信息点、电话点.

保证在每个机柜下方开凿相应的穿线孔（包括地板和线槽）。在

地板下均安装走线线槽，强电和弱电线槽相距30厘米以上。信号光

纤及中继线缆均整改后放入线槽敷设；

光纤布防:保护套管切口应光滑，否则要用绝缘胶布等做防割处

理；尾纤绑扎不应过紧，尾纤在线扣环中可抽动为宜，不能有扎痕;

布放后不应有其它电缆或物品压在上面。机柜内的过长尾纤应整齐盘

绕于盘纤盒内或绕成直径大于8cm的圈后固定。

7、保留原巡检系统涉及的巡检按钮操作板，施工时注意相关线缆的

防护；

第二部分：机房装修设计及施工方案

机房装饰：机房内放置有复杂的电子设备和通信设备,对装饰的

要求，主要是满足通信设备对机房提出的技术要求,在机房装饰艺术

第4页

上以既大方舒适，又满足其技术要求为原则.对装饰材料的选择要达

到吸音、防火、防潮、防变形、抗干扰、防静电等要求.装饰后，要

使整个机房色调柔和、通透宽敞、不压抑、舒适。以其达到现代化的

装饰水平和视觉效果.

后续附机房装修效果图：

1、机房高度设计

正常要求为装修后净空高度（指活动地板面至天花顶棚高度）

为2。3米～2。6米左右较为理想，这样既能满足人的视觉效果，不

致于使人感到压抑，又能减少空调的制冷量,以节约能源。

2、机房天花设计

考虑设备机房的技术要求以及机房高度要求，整个机房天花吊顶

选用全铝喷塑微孔天花板：色调柔和，不产生眩光、防火、防潮、易

清洁、吸音，照明灯具均匀分布于天花吊顶上。

施工要求：

（1)对吊顶部分进行防尘处理,刷防尘漆,确保天花基础部分不起尘.

（2）天花上部的照明线缆涉及线槽及天花板部份都要接地

机房防静电地板部分

1、防静电地板设计及选用标准

（1）抗静电地板电阻率：（10×107-10×108）Ω cm

（2）分布载荷：大于1500kg/m2.集中载荷：大于200kg/m2

（3)抗静电活动地板高度：350±20mm(地板下空间为送风静压箱）

2、地板材料选型

第5页

视厂家报价选择木质、铝合金防静电活动地板、钢质地板等种类；

建议采用：

复合抗静电地板，该防静电地板表面采用进口抗静电复合材料,

抗静电效果良好，此外还具有防火、防潮作用；该地板为无边地板，

配合精度高，且美观、整洁、耐用、其抗静电、耐磨、承受力等各项

指标均可与进口复合抗静电地板比美。

安装要求：建议机房防静电活动地板的安装高度为300mm左右，活动

地板下面可以有较大空间用作机房内的强弱电管线铺设和空调净压

箱使用.

3、防静电地板施工方案

首先对机房地面，作防尘、防水处理,再开始刷地台漆二遍，起防

潮、防霉作用,然后再刷防静电水泥漆一遍。

在地板安装中，施工人员需严格按照图纸设计，拉好对角线后再

安装地板，保证整体效果和配合精度.

地板板面标高300~350mm，具有足够空间形成地板下净压风库并

结合供配电系统的设计及施工。

在地板施工中，要求注意异形地板（如风口地板、走线地板、电

源插座安装地板等)的安装。另外需保证地板工程的防静电效果、接

地效果。

第三部分 机房外缆整改及设备支座制作

1、电缆缆绑扎整齐不交叉，路由合理，便于今后维护和扩容.

2、电缆表面不能有划伤,中间不允许有接头，转弯处应圆滑。

第6页

3、信号线和电源线分开绑扎，间距大于3CM.

4、电源线不允许盘绕，一般交流电源线和直流电源线分开绑扎

5、外缆接头处应加装防护箱；

电源线与其它线缆分开

走线出口处需进行胶泥封堵,并增加相应标示；

XX机房新增机柜缺失支座，安装完毕后另增加静电防护板，入

设备纤缆增加波纹管并做好防护；

安装细则：

机柜所有进出线孔应封闭处理，如采用小盖板的缝隙宽度不大于

第7页

1个盖板宽度，采用布袋式的袋口应绑扎紧固;采用塑胶件的出线口

大小切割应合适。现场也可采取整齐美观、绝缘、阻燃的材料进行可

靠封闭。

设备支座采用标准支座，安装后要求设备底座与防静电地板平

齐，并加装防静电防护板；

五、

机房综合工程设计标准

新机房按国家标准B级标准机房设计和规划。

本方案按机房建设方案依据标准（B级）设计，依据以下国家标准：

《中华人民共和国计算机信息系统安全保护条例》

《建筑与建筑群综合布线系统工程设计规范》(CECS72:97）

《电子计算机机房设计规范》 (GB 50057—1994）

《低压配电设计规范》（GB 50054—1995)

《电缆线路施工及验收规范》（GB 50168-1992)

《计算机机房用活动地板技术条件》(GB 6650—1986）

《通风与空调工程施工及验收规范》GBJ 243-1982

《工业企业通信接地设计规范》GBJ79-1985

《电气装置安装工程接地装置施工及验收规范》（GB 50169-1992）

六、 效果图

电源标签安装图

用户线标签安装图

8、 机房设备整改方案建设

8.1 优化后信息化建设拓扑图

第8页

8.2 IP地址及区域设计

根据本项目需求,本方案将重新设计IP地址编址，重设计网络区域结构.具

体如下:

区域 VLAN 安全域

外网 / 非信任域

办公区 独立VLAN1 独立安全域

领导区 独立VLAN2 独立安全域

应用区 独立VLAN200 独立安全域

数据库 独立VLAN500 独立安全域

文件存储 独立VLAN100 独立安全域

8.3 路由设计

本技术改造方案主要通过路由技术，采用静态路由技术引导数据流向走向，

分离业务流量，提升业务效率。

设备 网络地址 下一跳地址

防火墙 防火墙模式

防病毒 网关部署

网络行为审计系统 透明部署

ZTE三层交换 DHCP内网核心

入侵防御系统 透明部署

数据库审计系统 旁路部署

根据用户现场实际环境

规划

8。4 区域设计

本方案设计的网络结构呈现出区域化，层次化构架,主要目的是为了便于网

络管理、维护以及安全策略的针对性部署。各区域结构如下所述：

（1）Internet区域

Internet区域将原有启明防火墙部署为互联网防火墙，连接新增的100M光

纤链路，为档案局内网区域所有需要上网的终端和服务器提供Internet代

第9页

访问的防护，并设置相应管理策略，控制Internet访问权限和访问应用类

型，保证Internet安全访问的需求。

（2）楼层接入区域

楼层接入区域为如10.1。x。0/24网段，与原网络构架保持不变。其访问安

全策略主要由其他区域的网关防火墙根据源端进行设置。

（3）核心网区域

部署防病毒网关做为出口网关设备，具备高速转发的能力,在数据进行内外

网交换机的时候并发进行蠕虫病毒的防护和杀毒过滤，保证上网内网的安

全。满足82号令的要求进行网络综合行为的管控设计、存储日志的能力到

达60天以上,并且具备公安部门认证资质，在下一阶段安全评测做好基础服

务。

（4）服务器区域

服务器区域设计为如10。1。100。0/24网段，所有服务器网关指向核心交

换机服务器区区域接口，即如10.1.100.1。

服务器区域主要有档案信息化应用服务器、WEB服务器、信息化数据库服务

器、文件服务器、存储区域网络（SAN）设备等.

所有服务器流量均由山石网科入侵防御系统根据安全策略控制访问，开启

3000种入侵规则防护策略，应用防护策略。安全策略采用白名单方式，根据

源目IP地址以及目标端口进行设置，最大限度的保证外部区域对服务器区

域的安全访问.

（5）内容终端区域

开启此技术特有功能，有效对内网数据、设备接口进行控制

第10页

网络及终端安全设计方案

（二）网络系统拓扑图

（三）网络安全优化方案描述

1．网络综合行为审计与控制

网络的内容日益丰富,变得复杂、多样化。当今,互联网进入了应用级网络时代，大

量未知的内容和信息纷纷涌进网络，病毒、黑客攻击、内部员工泄密等防不胜防，然而

这些问题的本质是“管理”，如何管理员工上网行为，规范上网行为成为了每个企业首要

面临的问题。

目前，用户面临网络管理问题具体如下:

❖ 无法为员工的上网行为进行有效管理

随着业务不断的扩展，工作人员大大的扩充，现有的设备中已经无法满足公司的对

员工上网行为的管理.

❖ 关键业务流量无法保证,带宽受到严重堵塞

虽然企业有很高的带宽,可是网络还是常常造成拥堵,网络中存在着大量的P2P软

件，不能有效的管理和封堵，使得办公系统运转不顺畅，办公网页无法打开，严重影响

了正常业务的顺利进行。

❖ 发现异常流量无法有效定位

员工的不合理访问网络，带来多种隐患，导致网络中充斥着大量病毒（如ARP病毒）。

病毒在局域网内传输,制造网络攻击,常常造成网络的中断。

❖ 档案信息化机密数据的保密无法得到真正的保障

防火墙只能防御外部的侵袭，对于内部数据的泄露显得苍白无力，电子邮件、MSN/QQ

以及 BBS 论坛等网络应用固然给企业带来了网络化使用的方便同时也是造成公司机密

文档泄密的途径,必须进行必要的管理。

❖ 非法网站的访问带来了较多的法律风险

员工的上网不节制行为利用企业内部网络访问反动,色情，违反法律等网站,发表不

发的言论等，这些都会给企业带来负面影响以及要肩负起法律责任，需要对这种行为进

行限制。

第11页

❖ 上班做私事，利用局里网络享受上网娱乐，降低工作效率

员工在工作时间玩网络游戏、看网络电视、炒股等等,既占用公司正常业务流量也严重

影响了员工的工作效率,带来企业无形资产的损失.

涉及到的管理

➢ 带宽管理

如何令有限的带宽合理分配使用，需要上网行为管理提供精细网络带宽管理功能。可根

据主机（单 IP、IP 组、用户组）、服务（服务组）、应用程序、时间、URL、文件类型等不

同参数,提供灵活组合来实现带宽的预留、保障和限制.

➢ 控制风险管理

信息安全是一个复杂的系统工程。要实施一个完整的网络与信息安全体系,应包括一下

三个结合：

* 根据国家与企业切身情况制定相关网络管理规章制度，行政与技术部门切实规章制

度的落实。

＊ 网络安全技术的加入，如防火墙技术、网络防毒、身份认证、授权等。提供安全的

网络边界。

* 对上网行为进行审计和管理。提供实时监控企业网络安全状态、提供实时改变安全

策略的能力、对现有的安全漏洞进行查漏补缺等,以防患于未然。

➢ 合规管理

国家《互联网安全保护技术措施规定》、《信息安全等级保护》、《企业信息系统风险管理》

等安全指导，均对学校、政府、企业、银行互联网访问的控制、审计提出要求。

公安部33号令以及2006年3月1日颁布实施的公安部82号令，都对互联网使用单位

内部用户的上网行为提出了行为审计和记录的要求，尤其82号令要求互联网访问行为日志

“至少留存60天”。

➢ 行为管理

通过策略与日志,管理者可以跟踪网络中的任何操作。对用户上网行为操作做出规范管理,减

少内部泄密行为与病毒传播隔离。

2．防病毒网关系统

随着网络应用的不断发展，越来越多的木马入侵、病毒等攻击通过网络进行

实施及传播，病毒传播的范围广、速度快，对网络用户造成了难以估量的损害.

在金融网络中,由于内部网络与外界连接方式多样，联系业务众多，因此,在应用

中难免也存在木马、病毒及恶意程序等泛滥传播的情况。为了解决病毒及恶意程

序通过网络的传播问题，很多安全厂家，开始尝试发布病毒防护网关.但是，多

第12页

数设备厂商都遇到了一个很大的技术难题，就是网关病毒防护会消耗大量的网关

设备资源，而对数据的转发及处理造成很大的延时，成为数据快速转发的瓶颈，

降低网络使用效率。

Hillstone山石网科公司为了解决网络病毒传播及网关查杀毒性能瓶颈的

问题，提出了全新的第二代网关防毒设计理念,采用全新多核处理器+ASIC+高速

交换总线的硬件设计，结合基于并行流的杀毒机制，为了提高病毒查杀的识别能

力，整合了杀毒业内知名防毒公司病毒库，最终实现了高性能的网关病毒防护功

能。Hillstone山石网科产品的病毒防护功能主要有以下特性：

 基于64位多核处理器的设计架构，满足病毒防护对CPU和内存资源的

高需求。多核CPU及专业的64位专用安全系统，确保了CPU的高效性

能输出。

 基于并行流扫描机制的杀毒引擎,充分发挥硬件优势，确保病毒处理的

高性能。

 先进的多核CPU并行处理方式,硬件数据包重组，确保了高性能。

 基于流的多层压缩文件解压.确保对压缩文件中病毒的彻底查杀。

 整合成熟知名杀毒厂家病毒库的实时自动升级，确保了最短时间内，及

时的响应对最新病毒的查杀需求。

 支持对HTTP、FTP、POP3、SMTP和IMAP协议杀毒。能够及时发现多种

常用协议传输数据中的病毒,进行有效的处理

 中断传输会话、杀毒、日志记录等多种处理机制。对于发现有病毒传播

的数据流，可以设置多种处理方式。

 网关杀毒支持透明、路由、混合模式。可以满足各种网络环境部署需要。

 病毒防护功能开启时最大吞吐量达1.68G保证用户的主干链路数据传

输延时不会过大，可让用户放心使用Hillstone山石网科安全网关.

Hillstone山石网科的病毒过滤网关通过高性能、高可升级性解决方案，能

满足金融网络现今低延迟和低响应时间应用的需求。如果配合网络版防病毒软件

一起使用，这样为金融用户网络的病毒防护起到一个双保险的作用，效果更为显

著.

3．

部署内网安全方案详解:

〉> 信息保密管理：

IP-guard严格控制网络连接，综合考虑政府文件的各种存在

控制网络接入，保证访问安全

◇ 外部入侵检测：系统登记网络内计算机，即时检测是否有新计算机接入内网,对非法接

入的计算机进行阻止,限制个人电脑随意接入内网，防止外部计算机非法入侵对政府信

息网络造成的文件泄密与系统风险。

◇ 内部通讯控制：设定网内计算机相互通讯权限，有效控制不同部门间的网络访问，保证

需要保护的敏感计算机的安全.

状态与访问途径，全方位多角度的保证机密文件只在可控范围内流通，文件安全无懈可击。

第13页

控制外部设备,防止外设泄密

◇ 控制网内计算机外部设备的使用权限，包括存储设备、通讯设备、USB设备、网络设备

及其他主流的计算机外部设备,并可监控禁止新设备的使用，多种途径阻止外接设备造

成敏感文件外流

◇ 各类设备控制可细化到最小分类,如USB设备可细分键盘、鼠标、光驱、Modem等，最大

限度保证正常的设备应用

控制移动存储,防止U盘泄密

◇ 对指定移动存储设备中存取的文档进行自动透明加解密,U盘超出可信使用范围即无法

访问，保证机密文件即使不慎流出也不会泄露导致严重后果

◇ 分类管理内部流通的移动存储设备，只有经过认证加密的设备才可以在系统中使用，在

保证合理应用的同时防止敏感文档经由非法存储设备流出

控制文档操作,强化操作审计

◇ 灵活限定网内计算机对特定文件的操作权限,包括创建、访问、移动、修改、删除、重

命名等,防止敏感文件被泄露或删除

◇ 当有设定的非法操作出现时，自动报警并备份文档，防止文件被篡改或者删除而造成严

重后果

◇ 完整记录网内计算机文档操作，多种条件灵活查询，以便有重大事件发生时进行审计

◇ 定时记录客户端屏幕画面，支持输出为通用格式视频文件存档,便于在事件发生时直观

还原事件原貌

控制打印操作，防止打印泄密

◇ 严格控制打印机的使用权限，控制打印程序,防止敏感文件通过打印途径泄露的同时，

还可以管理打印消耗

◇ 多个项目详细记录打印操作，并可完整记录每次打印的映像图像，直观查看打印内容，

便于发生问题时追根溯源

控制外发工具,防止传输泄密

◇ 限制通过即时通讯工具如QQ、MSN等传输文件，支持在传输时进行备份以降低文件损失

风险，持续更新并支持绝大部分的即时通讯工具

◇ 控制邮件发送，阻止向不被允许的收件人发送邮件，控制附件的使用，支持在发送附件

时自动进行备份,降低文件损失风险

◇ 必要时也可禁止指定类别的IM及邮件程序的使用，即使改变程序名也继续有效,彻底杜

第14页

绝通过网络传输泄密的风险

﹡如需要，可提供即时通讯记录查看与邮件完整记录功能

>〉 系统应用管理：

IP—guard全面控制网内计算机应用程序与网络应用,完整的

管理应用程序,保持系统高效

审计为IT管理者提供依据,杜绝安全隐患，做到专机专用,专网专用，有效提升应用效率。

◇ 自动收集网内计算机运行的各类程序，分类管理客户端运行的应用程序，防止危险程序

运行带来的未知风险

◇ 合理限制某些与政务无关的应用程序的使用，如游戏、炒股等,符合政府内网专机专用

的要求，保持系统高效应用

◇ 对网内计算机程序运行状况进行统计,生成报表，为管理提升提供依据

﹡如需要，可提供客户端屏幕即时查看功能，方便管理

管理网页浏览，降低染毒及未知风险

◇ 控制网内计算机访问网站的范围，限制访问无关网页，完全禁止访问色情、暴力、反动

网页，预防病毒、木马等安全威胁及政治风险

◇ 策略设置灵活，支持黑名单和白名单，可以分时段、分类别进行控制

◇ 详细记录统计网内计算机网页浏览状况,生成直观图表，方便管理者发现问题

管理网络流量,高效利用带宽资源

◇ 限制客户端网络流量,禁止P2P下载、在线视听等无关网络应用，防治网络拥堵，保证

正常政务处理业务流量，使带宽资源得到最优利用

◇ 可针对时段、端口、IP地址等参数灵活控制，实现更加人性化的管理

◇ 统计客户端流量使用情况，迅速发现网络拥堵症结所在，为网络资源分配提供依据

>〉 维护与资产管理：

IP—guard加强集中管理，远程维护简化冗繁工作，轻松管

理补丁与漏洞，保证系统持续稳定；全面资产管理让国有资产绝不轻易流失。

简化系统管理，迅速排除故障

◇ 实时远程查看网内计算机进程、性能等运行状态，分析故障原因并进行远程协助,快速

排除故障，解决系统问题

◇ 支持远程连接操作网内计算机桌面,方便进行协助或者示范操作

◇ 支持文件在客户端与控制机间双向传送，方便内部沟通

便捷资产管理,保卫国有资产

第15页

◇ 即时监控网内计算机软硬件资产状态，包括硬件、操作系统、应用程序等,记录资产变

更，保证国有资产绝不流失

◇ 支持自定义管理非IT资产， 扩大资产管理的覆盖范围，查询便捷

强化补丁及漏洞管理，让系统无懈可击

◇ 集中扫描网内计算机补丁安装情况，及时下载并集中部署安装,保证系统安装最新补丁,

及时修补严重威胁漏洞

◇ 集中扫描网内计算机系统漏洞，包括权限、密码及系统设置等问题，提出改进建议，帮

助消除安全隐患

快捷软件分发，便利程序安装

◇ 便捷制作软件安装包，部署任务,分发到系统内各计算机并自动安装，大大减轻IT管理

人员逐机部署应用程序的负担，方便应用软件在内部的大规模应用

◇ 支持复制特定程序或文件到客户端，简化文件分发，加快信息传递

（四）使用产品选型

设备需求 品牌 参数 生产地

网络行为综合审计

系统

防病毒网关 山石 北京

内网安全系统 溢信 内网终端管控系统 广州

网神 北京

第16页

IT运维与库房机房环境动力安全

（一）建设目标

1．在中心机房和库房独立部署整体的机房动力和环境监

控.主要包括精密空调（或家用空调)、UPS运行状态监控、

温湿度、烟感和漏水监控、配电柜开关及市电监控。

2．对机房内运行的各应用系统平台的可用性、以及支撑

应用系统运行的网络设备、服务器、数据库等的运行状态进

行监控。

3．提供机房动力环境长期的监控报告,提供机房内各系

统及设备长期运行状态分析报告.

4．当不利的动力和环境状况出现时，当网内内各系统及

设备运行异常时能进行声音、监控屏幕弹出窗、手机短信、

电子邮件远程报警等各种手段的预警，以及在发生故障时进

行迅速的警告。

5．资产管理。可对设备的使用壮况如名称、型号、购买

日期、质保时间、使用人(处室）等提供在线管理。

（二）建设原则

第17页

1．安全生产的原则：

由于网络系统的重要性,各种技术方案、产品、客户化工作的实际实

施必须经过充分的测试和验证，并需精心设计实施方案，以保证不会

对用户现有网络的正常运行和业务系统的正常使用造成任何影响；同

时，应充分考虑工程实施过程中的回退和应急方案，以保证在最短时

间内恢复由于新系统的实施对网络造成的影响.

2．

开放性原则：

网络系统管理平台需要基于开放的管理平台,遵循业界标准，并提供

开放、灵活的信息交互及管理接口，能提供开发接口，方便扩展管理

功能，并且支持第三方厂商的应用集成，为产品的选型提供更高的灵

活性。

3．

可用性原则：

网络系统管理平台的部署不需对原有的网络系统结构、安全策略等方

面做较大修改和调整，对原有网络系统性能影响最小化,尽量少的占

用网络资源、被监控服务器资源不得超过现有资源的百分之五，可定

期自动清除“垃圾”文件和“垃圾"数据。

4．

健壮性原则

网络系统管理平台具有较强的免维护能力，能够长时间稳定运行，自

身维护要求简单，具有快速恢复功能。

第18页

5．

扩展性原则：

网络系统管理平台具有较强的扩展性，能够在包括管理范围、管理功

能、管理数量等方面提供灵活、多样的扩展能力。

6．

展示形式多样性原则:

网络系统管理平台能够对收集的数据进行分析处理,生成技术、运维

管理等层面的相关报表、视图等，根据不同级别用户的实际需求，提

供灵活、多样的展示形式，能提供中文界面。

7．

可定制原则：

提供灵活的部署方式，在客户化、管理策略、事件关联、报警方式、

报表生成、信息展示、管理流程等方面可以按实际需求进行定制，并

支持用户的二次开发。

8．

成熟优先、适度超前原则：

系统整体设计应该统一规范，模块设计清晰合理,通信接口明确透明,

能够有效地实现后台一体化管理。在此基础上，该网络管理系统应具

有适度的先进性。

（三）解决方案

1．监控系统简介

“飞思网巡”是创新和领先的IT运维管理硬件产品。“极简"的设计提供全网IP通信线

路，以及机房IP网络全面监控预警解决方案。内容包括DDN专线和VPN隧道等通信线路、

服务器的硬件和各种操作系统、数据库和应用系统、网络设备的运行状态和性能，IP和应

用流量分析,机房动力环境等。

“飞思网巡”系统为方便的全Web方式配置和管理,以“简约”设计为核心，使用简单,

第19页

运行安全稳定.系统为旁路接入用户IP网络中.它不改变任何网络结构，带来新的单点故障,

对网络带来不利影响,对监控管理目标影响极低。

系统具有全面的监控管理功能，主要对用户的机房网络基础设施和IT系统带来全面的

监控、管理、预警和运维能力。

2．架构

“飞思网巡"专用系统基于高效安全Linux内核，全web配置管理,运行更稳定可靠，监

控预警更快速准确。优化的核心程序，对网络带宽占用极低，同时对目标网络设备和服务器

性能影响极低。

系统主要由数据采集、数据储存和分析处理、B/S可视化人机界面、报警等模块组成,

并提供多种扩展组件。

系统架构

①数据采集模块

数据采集模块通过SNMP、WMI、SYSLOG、IPMI、各种应用层协议（ICMP、HTTP、FTP、

TELNET、SMTP、POP3等）及私有协议，对网络专线（DDN、VPN）、网络设备、服务器、各种

应用和数据库系统、机房环境等进行各种数据采集，提交到数据储存和分析模块处理.

②数据储存和分析模块

数据储存和分析处理模块对采集模块提交的的数据进行分析，确定监控目标的状态（正

常、一级和二级告警、错误等）,向B/S可视化人机界面模块提交状态信息。同时，将数据

储存到数据库中，提供接口供人机界面模块进行历史数据查询。

③B/S可视化人机界面模块

B/S可视化人机界面模块通过web对用户提供配置、管理和告警接口。用户通过web进

行系统配置、监控目标配置,查看网络拓扑图和监控目标的状态,查询历史数据生成详尽的性

能曲线图、故障和告警历史记录，生成报表.

人机界面也提供完整的管理员操作日志查询、配置备份和恢复、系统手动和自动升级等

多种管理功能。

④预警模块

预警模块通过人机界面的弹出窗口和声音进行声光预警，同时支持通过发送电子邮件和

手机短信等多种手段进行预警。

第20页

⑤扩展组件

系统提供流量分析、机房动力环境、设备日志储存管理等多种组件，根据需要可灵活

扩展。

 流量分析组件通过netflow/sflow/抓包分析等进行IP和应用流量统计、TOPN列表、

故障诊断、带宽容量规划决策等高级功能。

 机房动力环境组件结合动力和环境探测设备,可以实现对机房动力（市电）、环境参

数（温度、湿度、烟雾、漏水)和UPS、精密空调等智能设备的监控预警.

 日志储存服务组件通过SYSLOG协议接收和储存被监控的网络设备、服务器的日志.

提供查询和管理，快速发现和定位存在的设备和服务器安全事件，设置指定关键字

日志监控预警等高级功能。

3．建议方案

①机房方案图

中心机房和两小机房全面监控预警方案图

在中心机房和两小机房各部署一台 “飞思网巡”硬件设备,以及相应的环境监控设备。

如上图所示。

②主要应用价值

1. 实现对机房的各应用系统，以及支撑业务系统运行的网络、服务器、数据库、

机房动力和环境等基础设施的安全性、可靠性、稳定性和性能表现进行深入监

控，以及能提前预知故障和排除故障,避免对中心业务带来影响。主要内容为：

a) 机房动力环境：市电/UPS等动力情况,温度/湿度/烟雾/漏水等环境参数.

b) 应用系统：业务系统/OA/ERP/WEB/邮件系统/中间件等可用性、响应时间

和运行状态。

c) 网络设备：CPU/内存/Flash/端口状态和流量等.

d) 服务器：机箱、CPU温度/风扇转速/电源等硬件状态；CPU/内存/磁盘空

间/IO读写/网口状态和流量/进程服务等操作系统性能状态。

e) 数据库:表空间/响应速度等数据库性能指标.

f) 链路：上网专线/到异地DDN和VPN/互联链路的通断/丢包率/延时和流量

等。

g) 流量分析：通过netflow/sflow/抓包分析等进行IP和应用流量统计、TOPN

列表、故障诊断、带宽容量规划决策。

h) SYSLOG收集分析:集中管理网络设备/服务器等的日志信息,快速发现和

定位存在的设备和服务器安全事件。

i) 预警和管理：设置两级阀值，弹出窗口/电子邮件/短信预警，实现运维流

程管理。

2. 不断提升网络管理人员的工作效率，与服务器中心的整体发展要求相适应。

第21页

3. 通过监控系统对服务器定时关闭开启的能力,打造节能绿色机房。

③方案特点

“飞思网巡”硬件平台,是创新和领先的硬件产品，具有鲜明的特点，主要为：

1. 硬件产品，旁路接入，全web管理，简单易用。

2. 基于linux定制的专业操作系统，集成数据库，降低成本，不会感染病毒，长

时间不间断运行,高效安全.

3. 创新的“云技术”应用，实现可靠的分布式部署，集中监控。

4. 优化的数据采集程序设计，对带宽占用低、目标网络设备、服务器等性能占用

接近零。

5. 对服务器定时关闭开启的能力，打造节能绿色机房。

6. 加强的预警机制，多级阀值设定，电子邮件和短信通知准确迅速。

7. 模块化设计，定制支持能力更强。

4．产品选型

本项目建议选用专用硬件平台，通过跟高效和安全的Linux操作系统、模块化设计的软

件进行优化整合,形成的一体化产品具有更高的稳定性、性能，并且易于部署和维护。

中心机房（一套）

设备需求 品牌 参数 生产地

·全web配置管理，可视化图形界面，自定义首页，曲

线图循环播放展示。

·IP和网段自动扫描，自动分类，自动形成树形结构。

·手机短信、电子邮件、弹出窗口等多种种报警方式，

支持多级阀值设定。

·对DDN和VPN等链路的可用性、质量进行监控。

·对主流网络厂家的网络设备进行监控，包括ping存

活探测，cpu、内存、存储器空间、接口流量等运行状

态。对F5负载均衡设备业务性能提供深入支持。

·主流服务器厂商的服务器（支持IPMI协议）的硬件”IT运维管理与

状态进行监控，包括服务器内部环境温度、主板温度、机环动环监控飞思

CPU温度、CPU风扇转速、电源状态、电源电压、CPU系统

电压、CMOS电池容量等。并且可实现远程开关机等管

理功能.

·对Windows、Linux、AIX、HP—UX、Vmware ESX

（i)/vSphere等操作系统的服务器的ping存活、系统

资源（cpu、内存和磁盘空间）、接口流量、进程等进行

监控.

·支持对HTTP、HTTPS、FTP、Telnet、FTP、ICMP、IMAP、

Pop3、SMTP和任意TCP端口上的应用服务进行监控。

·对广泛应用的IIS、Apache、Nginx,以及Tomcat、

北京

第22页

Weblogic、WebSphere中间件等服务的详细运行状态和

性能参数进行监控。

·对Oracle、Mysql、SqlServer、DB2等主流数据库进

行表空间利用率、数据文件的每秒I/O操作、已连接的

用户数等众多参数进行监控。

·对机房温湿度、漏水、烟雾等环境参数，以及市电和

UPS等动力状况进行监控（需要额外的附加探头支持)。

·支持历史性能曲线、故障和通知历史记录、管理员操

作历史记录和报表功能，支持导出excel格式的报表。

·支持基于角色定义的分级权限管理

·支持自动网段扫描和智能向导配置，以及网络拓扑图

功能，支持导入机房真实图片及拓扑图.

·支持PING、Traceroute、CheckTCP、SNMPWALK、Ipmitool

等诊断工具.

·支持远程协助,提供在线帮助系统。

本次配置30个监控网元，3套温湿一体型传感器，1路

缆式水浸传感，2个烟雾传感器，1套三相智能电量检

测仪，1个开关量采集器，1路智能设备监控主机（精

密空调，1路智能设备监控主机（UPS），1个GSM短信

猫

详细描述如下：

监控系统主设备

“飞思网巡”IT运维管理1000型Web方式配置管理，采集网1 安装在机柜中。通过网线接入交

设备 （需支持络、服务器、数据库、机房换机。

监控动力和环境等基础设施等各

30IP) 种数据，分析数据，提供历

史记录和报表，发送电子邮

件、手机短信等报警信息。

网络型动力环境监控设备

APEM6300环境监控主机 可总线式接入最多8路1 APEM6300安装在机房入口处,并

TH3101（数字温湿一体型传将TH3101安装在需监测温湿度的

感器.如需接入超过8路,可地方。如墙壁和机柜位置。

定制).带3路开关量输入，APEM6300通过网线接入交换机。

可接入共3路漏水和烟雾监

控。带1路485接口.带液晶

显示。

数字温湿一体型传感器 TH3101数字温湿一体型传 3 APEM6300带3个TH3101.

区域漏水检测。含控制器，5803缆式水浸传感器 1 安装在精密空调主机周围.

引出线，（5米)感应线，终通过2根信号线接入环境主机的

止端,固定胶贴。 开关量端口。

感器

第23页

668烟雾传感器 离子型。 2 安装在机房2个需重点监测烟雾

的天花板上。

通过2根信号线接入环境主机的

开关量端口.

安装在配电柜内。 AJ34三相智能电量检测仪 液晶显示，485通信端口。1

通过2根信号线接入环境主机的测量三相四线制电力线路的

485端口。 电压、电流、频率、功率因

数、有功功率、无功功率、

总基波功率、总谐波功率，

有功电度、无功电度.

485通信端口。监控空气开D86开关量采集器 1 安装在配电柜内。

关状态。 通过2根信号线与AJ34三相智能

电量仪手拉手链接，最终接入环

境主机的485端口。

安装在精密空调控制板附近。 TS100智能设备监控主机 485通信端口及以太网口。1

通过2根信号线将485通信端口（精密空调） 监控精密空调运行状态.

连接精密空调485通讯端口。

通过网线将以太网口接入交换

机。

安装在UPS附近. TS100智能设备监控主机 RS—232通信端口及以太网1

通过UPS随机附带的串口线缆（如（UPS） 口。监控UPS运行状态。

不了解，需咨询UPS厂家)连接RS

—232通信端口与UPS智能通信

口。

通过网线将以太网口接入交换

机.

短信发送附件

GSM短信猫 用于发送预警短信。USB接1 通过USB线缆连接“飞思网巡”

口。 IT运维管理设备USB端口。

第24页

数据中心的存容灾备份与安全

（一）数据中心现状

（二）数据中心优化后方案

1．数据中心防入侵系统

在档案局服务器入口处处部署一套网络入侵防御系统，通过设置检测与阻断策略对流经

入侵防御系统的网络流量进行分析过滤，并对异常及可疑流量进行积极阻断，同时向管理员

通报攻击信息，从而提供对网络系统内部IT资源的安全保护。入侵防御系统能够在第一时

间阻断各种非法攻击行为，比如利用网络系统薄弱点进行的直接攻击和增加网络流量负荷造

成网络环境恶化的DoS攻击等。

保护关键业务

隔离企业内网攻击

hillstone网络入侵防御系统解决方案优势

1）它可以完成多种协议的格式解析

 按照协议来划分,没有协议特性的归入全端口检测

 当前支持６个协议 ：DNS、FTP、HTTP、POP3、SMTP、Telnet

 支持3000多个signature的检测

 结合应用识别模块可以检测非标准端口

2）对于HTTP的防护非常细致颗粒化

HTTP 防护分类：

 Web平台

 Web认证

 Web授权

 输入验证

 Web数据存储（例如SQL）

 XML Web服务

第25页

 Web应用管理

 Web客户端

 DOS

3）支持IPS在线模拟和IPS模式

 IPS在线模拟模式，仅提供协议异常和网络攻击行为的告警、日志功能,不对检出

攻击做reset、block操作。

 IPS模式，提供协议异常和网络攻击行为的告警、reset、阻断功能。

4）提供防御暴力破解功能，并在设定时间内阻断后续认证登陆尝试

 暴力破解，检测每分钟对多允许的登录(密码验证)尝试次数。如果超过配置阈值，

则根据用户配置的行为进行处理。

 对SMTP、POP3、FTP、Telnet协议提供暴力破解功能。

 暴力破解被认为是一个”Critical”级别事件。

5）对网络攻击事件分为Info、warning、critical三个安全级别，可根据

安全级别对网络攻击行为设定告警、重置及block的操作.

 安全级别设置三级,Information、Warning、Critical.

 用户针对不同安全级别可配置不同的操作，包括仅记录日志、重置连接、阻断攻

击IP或service。

6）提供服务器信息保护

 由于Web、Mail、FTP等服务器安全设置级别不高，可能在应用交互过程中泄露

服务器版本等重要信息,成为黑客进行入侵攻击的通道之一.

 IPS提供HTTP、SMTP、POP3、FTP服务器信息的保护功能，替换在应用交互中服

务器回应给客户端的信息。

第26页

7）提供协议异常和网络攻击行为的告警、reset、阻断功能

8）提供详细的攻击防护日志输出

9）提供详尽的在线帮助文档，帮助用户了解IPS检测出的网络攻击行为的

详细信息及解决方案

10）提供用户基于signature id、application、ip、user、zone、interface

的入侵次数统计集设置.用户可通过这些统计集从不同纬度分析网络攻击行为。

11）支持IPS特征库及IPS相关配置的双机热备功能

 支持IPS 特征库的批量及实时同步

 支持IPS相关配置的批量及实时同步

Hillstone山石网科入侵防御系统能够提供很好的内网攻击防护功能，结合来自网络

外部的攻击防护功能，能全面杜绝内网ARP、DDoS攻击和外部非可信网络的攻击，全面、高

效、安全的保护用户的网络，还用户一个安全、干净、舒适的信息环境.

高可靠性和稳定性

依靠积累多年被证实的专业硬件安全产品研发和市场经验，Hillstone山石网科入侵

防御系产品无论在软件还是硬件的稳定性和可靠性上都有了进一步提高。全面优化的软硬件

系统的稳定性和高可靠性为网络流量和网络攻击日益膨胀的xxx单位网络IT环境提供了强

大的保障。

最低的总体拥有成本

Hillstone山石网科入侵防御系提供了非常友好的使用和管理界面,部署简单、易于维

护和管理。灵活的特性可以满足不同用户不同应用环境的需求。独特创新的新一代网络安全

架构提供给用户最大化的可扩展能力，最大化地保护用户投资。

强健的专用实时操作系统

Hillstone山石网科入侵防御系采用了专用的64位实时并行操作系统——StoneOS，

其并行处理能力和模块化的结构易于集成和扩展更多的安全功能。针对新一代多核处理器进

行的全面优化和安全加固极大地提高了系统处理效率、稳定性和安全性。模块化和并行多任

务的处理机制，为Hillstone山石网科入侵防御系提供了极大的可扩展能力,包括支持更多

的核处理器和集成更多的安全功能。

强大的抗攻击能力

Hillstone山石网科入侵防御系的多核处理器具有天生的高性能内容安全处理能力，

第27页

结合专用定制操作系统,能够提供高性能的应用安全处理能力和更强的应用层抗攻击能力。

Hillstone山石网科入侵防御系每秒能够提供多达40万的TCP会话请求，具有超强的SYN

Flood抗攻击能力和DDoS抗攻击能力。

产品选型

设备需求 品牌 参数 生产地

入侵防御系统 山石网科 北京

2．数据中心数据审计

由于政府和企事业单位的数据库系统都实现了网络化访问，内部用户可以方便地利用内

部网络通过各种通讯协议进行刺探，获取、删除或者篡改重要的数据和信息。同时，一些内

部授权用户由于对系统不熟悉而导致的误操作也时常给数据库系统造成难以恢复的损失。此

外,对于使用IT外包和代维的大型机构而言,如何限制外部人员对数据库系统的访问权限也

是一个难题,外包方的技术工程师可能在开发数据库应用的时候留下后门或者幽灵帐号，为

将来侵入数据库系统埋下隐患。

另一方面，为了保护敏感信息、加强内控,国家强制机关和行业的主管部门相继颁布了

各种保护公民隐私，以及合规和内控方面的法律法规和指引，例如《企业内部控制基本规范》、

《银行业信息科技风险管理指引》、《证券公司内部控制指引》、《保险公司风险管理指引（试

行）》等.其中《中华人民共和国刑法(七）》第253条明确规定“国家机关或者金融、电信、

交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务

过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒

刑或者拘役，并处或者单处罚金。”此外，在国际上，美国政府针对上市公司的萨班斯（SOX）

法案、针对医疗卫生机构的HIPAA法案、针对联邦政府机构的FISMA法案,支付卡行业数

据安全标准（PCI DSS）都对信息保护和内控提出了严格的要求。这些条例和指引都要求对

网络中的重要数据库系统进行专门的安全审计.

可以说，随着安全需求的不断提升，网络安全已经从以防范外部入侵和攻击为主逐渐转

变为以防止内部违规和信息泄露为主了.

在这种情况下,政府和企事业单位迫切需要一款专门针对网络中数据库及其业务信息系

第28页

统进行全方位审计的系统。网神借助多年在安全管理领域的积累，推出了SecFox-NBA（业

务审计型），很好地满足了客户的安全审计需求。

网神SecFox-NBA（Network Behavior Analysis for Business Audit）网络行为审计系统(业

务审计型）通过对连接到重要业务系统（服务器、数据库、业务中间件、数据文件等）的数

据流进行采集、分析和识别，实时监视用户对业务系统的访问，记录、发现并及时制止用户

的误操作、违规访问或者可疑行为。

SecFox-NBA（业务审计型)能够对复杂网络环境下的各种数据库操作行为进行细粒度审

计。产品能够对运行在各种操作系统上的各种品牌数据库的操作进行记录并回放，审计的行

为包括DDL、DML、DCL，以及其它操作等行为；审计的内容可以细化到库、表、记录、

用户、存储过程、函数、调用参数,等等；不仅能够审计请求信息，也能够审计返回结果，

还支持操作内容回放。

SecFox-NBA（业务审计型）独有面向业务的安全审计技术,通过业务网络拓扑记录客户

业务网络中各种数据库、主机、web应用系统相互的关联性，审计人员可以根据业务网络的

变化快速查看业务网络中各个设备和整个业务网络的事件和告警信息。

SecFox—NBA(业务审计型)能够自动地或者在管理员人工干预的情况下对审计告警进

行各种响应,并与包括各种类型的交换机、路由器、防火墙、IDS、主机系统等在内的众多第

三方设备和系统进行预定义的策略联动，并能够实时阻断可疑的网络通讯，实现安全审计的

管理闭环.

SecFox-NBA（业务审计型）为客户提供了丰富的报表，使得管理人员能够从各个角度对业

务系统的安全状况进行审计，并自动、定期地产生报表。产品部署简便，不需要修改任何网

络结构和应用配置，不会影响用户的业务运行。

产品特点

SecFox—NBA 网络行为审计系统（业务审计型）的主要特点包括：

1) 全方位的数据库审计

2) 数据库操作实时回放

3) 多角度的业务审计

4) 应用服务实时监控

5) 资源转换与审计控制

6) 内置数据库防攻击策略

7) 快速响应和协同防御

第29页

8) 海量存储便于事后分析

9) 部署灵活简单易用

10) 详尽有效审计报表

多数据库系统及运行平台支持

SecFox—NBA（业务审计型）产品能够对多种操作系统平台下各个品牌、各个版本的数据

库进行审计。产品能够审计的数据库系统包括:

Oracle 8i / 9i / 10g / 11g

SQL Server 2000 / 2005 / 2008

IBM DB2 7.x / 8。x / 9。x

IBM Informix Dynamic Server 9。x /10。x /11.x

Sybase ASE12。x / 15。x

MySQL 4。x / 5。x /6.x

国产数据库，例如达梦、人大金仓等

产品能够审计的数据库运行平台包括:Windows、Linux、HP—UX、Solaris、AIX。

细粒度数据库操作审计

SecFox—NBA（业务审计型)能够深入细致地对数据库的各种操作及其内容进行审计，并且

能够用户通过各种方式访问数据库的行为.

系统审计的行为包括DDL、DML、DCL,以及其它操作等行为；审计的内容可以细化到库、

表、记录、用户、存储过程、函数、调用参数，等等。如下表所示：

操作行为 内容和描述

用户行为 数据库用户的登录、注销

数据定义语言CREATE，ALTER，DROP等创建、修改或者删除数据库对象(表、

（DDL）操作 索引、视图、存储过程、触发器、域，等等）的SQL指令

数据操作语言SELECT，DELETE，UPDATE，INSERT等用于检索或者修改数

（DML)操作 据的SQL指令

数据控制语言GRANT，REVOKE等定义数据库用户的权限的SQL指令

(DCL)操作

其它操作 包括EXECUTE、COMMIT、ROLLBACK等事务操作指令

系统不仅能够审计数据库操作请求，还能审计操作的返回结果,包括成功或者失败。如果失

败,能够审计到返回的错误码。

系统能够对各种访问数据库的途径进行监控和审计，参见下图：

如上图Oracle数据库审计所示，无论用户通过Oracle自带的企业管理控制台、PL/SQL命令

行、SQL＊PLUS进行访问，还是通过第三方的Quest TOAD（Tool for Oracle Application

Developers）工具访问，抑或通过中间件、浏览器、客户端程序/代理方式访问，等等,SecFox

—NBA（业务审计型）都能够进行审计。

特别地，如果被审计的数据库网络数据被加密处理了,SecFox—NBA（业务审计型）为用户

提供了一个通用日志采集器模块,借助该模块，系统能够自动的采集被审计数据库的日志信

息，并在审计中心对其进行归一化和关联分析.

此外，SecFox-NBA（业务审计型）还能够监测数据库系统所在主机的网络通讯，对该主机

的FTP、文件共享等协议进行审计，确保数据库系统上的数据安全。

可视化的数据库审计

SecFox-NBA（业务审计型）系统为用户提供了简介易用的操作界面,使得普通管理员就能够

第30页

对复杂的数据库系统进行审计.系统提供了多种可视化的审计手段，包括：

智能监控频道

智能监控频道为用户提供了一个从总体上把握企业和组织中所有数据库及其相关系统安全

情况的界面。每个频道包括多个监控窗口,可以显示多方面的安全信息,窗口可以缩放、可以

移动换位、可以更换布局、可以调台，显示管理员想看的内容。SecFox—NBA（业务审计

型）提供丰富的频道切换器，用户可以在不同的频道间切换。同时，用户也可以自定义频道，

包括自定义布局和展示内容.

行为分析图

用户可以对一段时间内的数据库操作指令进行行为分析，并生成行为分析图.行为分析图将

一段时间内的数据库操作按照不同的属性进行排列和连接,形象地展示在坐标轴上，让管理

员一目了然的看到操作所代表的用户（IP)行为。

业务拓扑图

通过网神独有的业务拓扑功能,可将业务系统中相关的数据库、主机、服务等对象以拓扑图

的方式展现出来。通过业务拓扑，用户能够直观地看到该业务系统的组成，并方便地查看业

务系统的告警信息和流量信息。

数据库操作实时回放

SecFox—NBA（业务审计型）对访问数据库、FTP、网络主机的各种操作进行实时、详细的

监控和审计,包括各种登录命令、数据操作指令、网络操作指令，并审计操作结果，支持过

程回放，真实地展现用户的操作.

传统的数据库或者网络审计系统都采用基于指令的操作分析（Command-based Record

Analysis）技术,可以显示出所有与数据库主机相关的操作,但是这些操作都是一条条孤立的指

令，无法体现这些操作之间的关联，例如是否是同一用户的操作、以及操作的时间先后，审

计员被迫从大量的操作记录中自行寻找蛛丝马迹,效率低下。借助网神独有基于会话的行为

分析（Session-based Behavior Analysis)技术，审计员可以对当前网络中所有访问者进行基于

时间的审查，了解每个访问者任意一段时间内先后进行了什么操作,并支持访问过程回放。

SecFox—NBA（业务审计型）真正实现了对“谁、什么时间段内、对什么（数据）、进行了

哪些操作、结果如何"的全程审计.

多角度的业务审计

对于用户而言，要保护核心数据，仅仅依靠对数据库的审计是不够的.内部人员违规操作的

途径有很多，有的是直接违规访问数据库，有的是登录到数据库所在的主机服务器上，有的

是透过FTP去下载数据库所在主机的重要数据文件，还有的是透过其他程序或者中间件系

统访问数据库。所以，必须对数据库、主机、HTTP协议、TELNET、FTP协议，网络流量、

中间件系统都进行审计，才能更加全面的发现违规、防止信息泄漏。这就是面向业务的安全

审计。

业务系统是由包括主机、网络设备、安全设备、应用系统、数据库系统等在内的多种IT资

源有机组合而成的。因此，面向业务的审计就要对构成业务系统的各个IT资源之间的访问

行为以及业务系统之间的操作的审计，这样才能真正反映出业务系统的安全状态。网神

SecFox—NBA（业务审计型）就是这样一个集成了数据库审计、主机审计、应用审计和网

络流量审计的面向业务的综合安全审计系统。

SecFox-NBA（业务审计型）产品采用多种方式来更深入具体地分析业务系统：

复杂环境支持：根据实际网络情况,系统管理员可以定义多个业务网络.

业务网络拓扑:系统能够记录客户业务网络中各种数据库、主机、web应用系统相互的关联

性，根据业务网络的变化可以快速查看业务网络中各个设备和整个业务网络的事件和告警信

息。

第31页

可视化行为分析：通过可视化的行为分析，可以清晰地定位访问源、访问目标服务器、应用

协议及其操作内容.

业务流量展现：系统能够展示出业务网络中各个节点（包括主机、无IP设备）在网络中的

应用层的流量分布情况，管理员可以根据业务网络流量优化业务网络。

三层架构的业务审计：现行的很多业务系统都是基于客户端/浏览器、应用服务器和数据库

的三层架构。单纯审计数据库,可能获取的用户名称和访问地址都是中间件的用户和地址，

难于定位访问源。采用基于业务的审计就可能化解这个问题，系统可以将客户端访问的服务，

中间件，数据库建立一个审计的业务，利用访问时间作为关联条件,将客户端访问和数据库

访问关联,通过可视化的行为分析，定位访问源。

应用服务实时监控

应用服务是企业和组织IT应用的核心，SecFox—NBA（业务审计型）采用先进的主动探测

监控方式,无需在应用服务系统中安装任何代理或软件，模拟应用数据直接监控这些应用服

务，一旦这些服务出现无法响应或响应太慢，将会触发事件告警及时通知管理员，管理员可

以迅速采取相应的措施。管理员可以根据自定义的时间段生成监控报表，报表可以另存为

HTML、EXCEL、文本、PDF等多种格式.通过这些报表可以了解应用服务的实际运行性能，

帮助管理员制定相关应变措施，帮助应用开发人员进行调整优化。

SecFox—NBA（业务审计型）可监控企业和组织的各类应用服务，包括各类数据库、中间

件等，不但可以监控这些应用和服务的状态和响应时间，还可以监控他们的详细性能指标，

例如Oracle数据库的表空间大小等,可以为管理员提供全面而详实的参考信息。

系统还提供监控快照功能，实时提供各种详细的监控指标。管理员可以在一个界面上查看所

有的监控信息，并了解之间的联系，而不是孤立地看待每个指标.系统提供图形和数据等多

种方式，便于管理员全面的了解和分析应用和业务的性能和故障。

资源转换与审计控制

SecFox—NBA(业务审计型)支持敏感信息的屏蔽，防止审计人员看到不归他管的敏感数据；

当用户所属角色没有敏感信息查看的权限时,则该用户在查看事件明细时,将无法查看【操作

内容】、【返回信息】、【原始消息】三个可能包含敏感内容的字段.

资源转换:将原始的SQL语句中某些字段以指定内容进行显示。包括：帐号资源、数据表资

源。此功能可自动将原始的SQL语句转换成用户一目了然的业务操作流程，以中文方式显

示审计内容中的重要字段，不仅方便数据库管理员，也方便非专业人员进行审计信息的查看。

内置数据库防攻击策略

SecFox-NBA（业务审计型）内置抗攻击策略，在识别出对数据库服务器进行攻击时记录相

关操作。用户可以手动设置报警，以便及时进行相应。典型的内置防攻击策略包括:

SQL insert 注入攻击

SQL exec 注入攻击

SQL update 注入攻击

IBM DB2数据库xmlquery缓冲区溢出尝试

Oracle安全备份命令exec_qr注入攻击

Oracle BEA WebLogic Apache连接器HTTP版本拒绝服务攻击

Oracle安全备份POST exec_qr注入攻击

Oracle安全备份msgid 0x901用户名字段缓冲区溢出尝试

快速响应和协同防御

SecFox-NBA（业务审计型）在识别出安全事故后，能够自动或者用户手工的对威胁进行响

应,采取安全对策，从而形成安全审计的闭环。

SecFox-NBA（业务审计型）能够对业务网中所有IP的流量进行分析，因而能够更为精确地

第32页

定位安全威胁，并对符合策略的告警事件进行阻断，实时自动阻止可疑行为。

在发生告警后，SecFox-NBA（业务审计型）可以通过电子邮件、SNMP Trap等方式对外发

出通告,能够执行预定义命令行程序，并将事件属性作为参数传递给该命令行程序.

SecFox-NBA(业务审计型）可通过与网络设备或安全设备共同协作来关闭威胁通信,以阻止正

在进行的攻击。SecFox-NBA（业务审计型）可以与众多第三方网络设备、安全设备进行联

动。例如，在发现攻击后，阻断网络交换机的端口,或者更改防火墙和入侵检测系统的安全

规则，阻止攻击的扩散和恶化。SecFox—NBA（业务审计型）支持与市场上大部分安全设

备和网络设备之间的策略联动。

此外,通过SecFox—NBA（业务审计型）与网神其他SecFox安全管理产品的综合使用，可

以实现完整的从安全风险监控、分析到决策的安全管理流程的闭环。

海量存储便于事后分析

SecFox-NBA（业务审计型）可以将采集到的所有数据包和告警信息统一存储起来，建立一

个企业和组织的集中事件存储系统，满足国家标准和法律法规中对于事件存储的强制性要

求，为安全事故增加追查取证的信息来源和依据。

SecFox—NBA（业务审计型)具有海量事件处理和存储的能力.单个SecFox—NBA（业务审

计型)系统能够以每秒6000条到24000条的规模接收数据包，能够在线存储10亿到40亿条

事件记录.加上系统的数据归档与离线存储功能，SecFox—NBA(业务审计型）能够存储的数

据量大小仅取决于服务器磁盘存储空间的大小。

SecFox-NBA（业务审计型）具有极强的存储扩展能力，产品自带500GB～2TB的存储空间，

用户亦可以在后期进行容量扩展，或者直接外接存储设备.

SecFox-NBA（业务审计型）在进行数据管理的时候，对数据存储算法进行了充分优化，使

得

使用小型数据库的情况下就达到了上述性能。此外，用户在使用本系统的时候，无需购买额

外的数据库管理系统和许可，也不必花费专门的精力去维护数据库，这些都大大降低了用户

的总拥有成本。

SecFox-NBA（业务审计型)提供多种事件存储策略,能够方便地进行事件备份和恢复.

SecFox—NBA（业务审计型)为管理员提供了强大的事后分析工具,使得管理员能够最大限度

地对这些事件进行深度挖掘,寻找潜在的安全威胁。

此外,SecFox—NBA（业务审计型)的事后分析功能可以协助管理员进行计算机取证分析，收

集外部入侵或者内部违规的证据。

部署灵活简单易用

SecFox—NBA（业务审计型）采用旁路侦听的方式进行工作，对业务网络中的数据包进行

应用层协议和流量分析与审计，就像真实世界的摄像机。利用网神先进的业务协议检测技术

（Business Protocol Inspection Technology）,SecFox—NBA（业务审计型）能够识别各类数据

库的访问协议、FTP协议、TELNET协议、VNC协议、文件共享协议，以及其它20多种应

用层协议，经过审计系统的智能分析，发现网络入侵和操作违规行为。同时，借助网神先进

的业务流量监测技术（Business Flow Inspection Technology）,SecFox-NBA(业务审计型）识

别网络中各种应用层协议的流量，及时发现流量违规和异常。

SecFox-NBA(业务审计型）部署十分方便，即插即用,不必对业务网络结构做任何更改，对业

务网络没有任何影响。SecFox—NBA（业务审计型）可以同时审计多个不同的网段；多个

系统可以级联，实现分布式部署,实现对大规模业务网络的审计。

系统部署后立竿见影，即可自动发现所侦听网络中的数据库访问行为。

详尽有效审计报表

SecFox— NBA（业务审计型）具有强大的报表分析功能。系统的报表分析引擎能从多种角

第33页

度多种维度对数据进行分析；能提供实时分析、历史分析等分析手段；能对比统计的结果，

分析数据的发展趋势；能将结果以图形方式（柱图、饼图、曲线图等)显示、打印;报告可用

PDF、HTML、Excel或RTF等格式存档.

SecFox- NBA（业务审计型）的报表报告生成系统灵活易用。它提供大量预定义的报表模板，

用户可使用预定义的报表模板生成报表。

SecFox- NBA（业务审计型）具备强大的自定义报表功能。用户可以通过报表编辑器，只需

4步，即可方便地自己定义各种复杂的报表，包括报表的内容、布局，以及运行调度设置,

满足企业和组织自身不断业务发展的需要.

SecFox— NBA（业务审计型）允许用户对报表生成进行日程规划,定期自动生成审计报表，

提供打印、导出以及邮件送达等服务，并根据计划归档报告，归档之后发送邮件通知.

SecFox—NBA（业务审计型）支持审计主机用户和数据库用户的行为趋势报表，可以生成

指定时间段用户行为趋势报表，包含用户的操作行为曲线，可以审计和分析用户的行为特点，

为决策分析和调查取证提供数据支持。

第34页

产品简介

产品组成

SecFox-NBA（业务审计型)产品仅包括硬件形态的审计器。产品采用B/S架构,管理员无需安

装任何客户端软件，通过IE浏览器登录审计器即可进行各种操作。管理员也可以将分布在

网络上的多个审计器的信息统一发送到SecFox安全管理中心，通过IE浏览器登录SecFox

安全管理中心进行集中审计。

Web控制台

平台 支持的操作系统 系统需求

Windows Microsoft Windows 2000 系列 —最低Pentium III 1。1GHz CPU

Microsoft Windows 2003系列 —至少512M内存

Microsoft Windows XP系列 —16位真彩，建议分辨率为1024×768以上

-Internet Explorer 7.0+

功能列表

功能点 说明

支持对包括MS SQL Server、Oracle、DB2、Sybase、MySQL、Infomix、达梦在

数据库及业务内的多种数据库，包括Windows、Unix、Linux、AIX在内的各种操作系统，包

服务审计范围 括WebShpere、WebLogic在内的中间件，以及VNC、FTP、HTTP、SMTP、POP3、

NETBIOS、TELNET、Web Service等各种网络通讯和数据访问协议进行审计

可审计数据库的DDL（数据定义语言)：例如Create、Alter、Dro等；DML（数

据操纵语言）:例如insert、delete、update、select等；DCL（数据控制语言）：例

如特权帐户执行的grant、deny、revoke等操作；以及其它操作:例如事务处理操

作、备份恢复操作、执行系统或者自定义存储过程等）.审计内容可以细化到域、

模式、库、表、视图、记录、字段、用户、存储过程、函数、绑定变量

系统能够记录数据操作请求的返回结果，包括成功和失败。如果返回失败信息，数据库返回记

则还能记录错误码 录审计

系统能够在审计员进行操作查询分析的时候隐藏敏感信息，例如涉及公司机密数据库敏感信

的重要字段对应的数值，避免因为安全审计本身出现信息泄露 息隐藏

数据库操作记

录审计

可审计VNC、Telnet、网上邻居和定制的主机协议的登录、注销和一般操作等行

为；可审计FTP协议的登录、注销和一般操作等行为，可以审计FTP操作的文

网络行为审计 件/目录名称;可审计HTTP协议的访问行为，并可以对URL进行基于正则表达

式的关键字匹配审计;可审计SMTP/POP3协议的访问行为，包括发件人、收件

人、邮件主题等内容

审计从三层到七层协议的流量,能够审计20种以上的应用层协议，包括IM、P2P、

HTTP、POP3、SMTP、DNS等。流量审计的内容包括数据包分布审计、流量分

布审计、应用协议流量审计、端口流量审计,用户可以进行协议分析、会话分析、

节点分析

管理员可以根据实际网络情况定义多个业务，并建立可视化的业务拓扑视图，

快速查看业务网络中各个设备和整个业务网络的事件和告警信息。用户对业务业务审计

拓扑进行编辑、拖放、连接等操作

系统能够对记录下来的数据库操作及其返回结果以会话为单位进行回放。回放

的时候能够显示当前会话的源、目的地址以及会话持续的时长

可以通过实时统计功能清楚看到业务网内部告警事件、活动会话、活动会话的

事件列表、被保护对象的访问情况，统计最近10分钟的数据

事件查询为用户提供了历史事件查询的手段，用户可以指定复杂的查询条件，事件查询

第35页

流量审计

操作回放

实时统计

快速检索到需要的事件信息，从而协助管理员进行计算机取证分析,收集外部访

问或者内部违规的证据

审计策略是系统的核心，它为系统的数据采集和分析引擎提供输入。系统对通

过引擎的数据包根据策略进行过滤,将符合策略的数据包供审计功能使用。用户

审计策略管理

可以自由定义审计策略，系统提供便捷的添加、修改、删除、导入、导出、启

用和禁用等策略管理功能

告警与响应管候，既可以设定审计的触发条件,也可以设定触发审计后的自动响应动作,告警后

理 可进行发送邮件、SNMP Trap、执行程序脚本、设备联动等响应动作。系统可以

告警规则包括系统预定义规则和用户自定义规则两大类，用户在制定规则的时

直接阻断可疑的网络通讯

内置大量报表报告，包括数据库报表、FTP报表、主机报表、综合报表，等等。

生成的报表图文并茂，报表可以按组管理，可以对报表生成进行日程规划，提

供打印、导出以及邮件送达等服务，并根据计划归档报告,归档之后发送邮件通审计报表

知。报告可用PDF、HTML、Excel、CSV或RTF等格式存档。用户可通过系统

内置的报表编辑器自定义各类报表

通过资源定义,用户可以建立安全领域的知识库，并建立业务相关的集合。例如

定义办公IP地址组、上班时间,等等。用户可以在告警规则中任意引用这些资源，

使得其各种设置操作真正基于业务和领域知识，而不是基础的端口、IP、时间等

原始信息

采用基于角色的权限管理机制,通过角色定义支持多用户访问。角色能够从设备

和功能两个维度进行定义，从而达到对每一台设备、每一项功能进行操作的控权限管理

制粒度

系统管理员可以通过系统管理中的系统配置对系统自身进行各种参数配置，包

括数据的备份与恢复、系统自身运行状态的监控、流量分析配置、SYSLOG服系统配置

务器配置、时间同步、系统升级，等等

事件处理性能 6000~24000条/秒,依据具体产品硬件型号而定

性能指标

数据保存时间 不少于6个月

浏览器并发连接

数

用户使用模式 无需安装客户端，使用IE浏览器访问管理中心

其他

部署方式

50个（即同一时刻可以有50个用户使用本系统）

可以独立部署，也可以级联部署、分布部署,还可以与LAS、

UMS集成

资源定义

3．数据中心的SAN存储（如图）

4．数据中心的容灾备份与演练系统

（1）迪备数据备份系统简介

鼎甲迪备（DBackup）是一套集本地备份和异地容灾为一体的，基于Web界

面的数据库备份管理软件.它通过Web界面为用户提供一个在任何操作系统平台

第36页

下都能运行的存储备份管理平台。它既可以使用自己的存储管理引擎来对企业内

部异构平台中不同数据库的数据和系统进行备份和灾难恢复，也可以整合客户已

有的其他主流厂商的存储管理软件,在不改变现有存储备份环境的前提下对企业

内部的分布式异构数据库进行统一的备份和灾难恢复管理.

鼎甲迪备可以对大型企业或者政府单位分布在各地的数据库的备份系统实

行分层次的统一管理和监控.只要在下级单位的备份服务器上安装一个很小的监

控执行代理，毋须改变其现有存储备份系统架构或安装新的介质库，上级单位就

可以利用Web界面通过企业内部网络或者通过互联网对下级单位的数据库备份

的策略和执行情况进行监控和管理。

除了能够对现有数据备份系统进行无干扰式整合和分布式统一管理以外,

鼎甲迪备还提供了一个分布式的介质管理模块和数据备份引擎，在现有的网络连

接基础上,对分布在不同地方的数据库进行备份及灾难恢复管理.除了传统的以

本地磁带或磁盘为备份目标的本地备份以外，鼎甲迪备还可以实现在有限网络带

宽条件下的异地容灾备份。

（2）迪备特点

 支持多种数据库的备份和灾难恢复

支持不同操作系统下的各种版本的Oracle数据库的备份和灾难恢复,

以及MS SQLServer数据库的备份和灾难恢复。

 支持有限网络带宽条件下的异地容灾

使用本地缓存、高度压缩、异步传输等独特技术，鼎甲迪备可以在有

限网络带宽的条件下，以最小的代价实现数据库的异地容灾。

 基于Web的控制平台，简单易用，不受时间空间限制

采用基于Web界面的操作平台，方便管理员在任何时间、任何地点对

企业数据库的备份和恢复进行实时监控和管理.

 统一管理，多级监控

一个企业无论有多少数据库系统，也不论这些系统分布在何地，系统

管理员都可以使用一个统一的Web界面对所有这些数据库系统进行备份管

理，鼎甲迪备还支持分级管理监控，对于有多级管理的企业和单位，上级单

位可以很方便的管理和监控下级单位的数据库备份和恢复情况，确保分布式

数据库系统的安全.

 支持用户制定策略，实现自动备份

用户可以根据数据库系统的特点和业务的需要，灵活制定备份策略,鼎

第37页

甲迪备将按照用户制定的策略自动运行备份作业，无须用户干预。

（3）迪备主要功能

 下级单位功能模块

1、数据备份管理

支持多种备份手段，支持完全备份，增量备份和差量备份。

完全备份：备份数据库中所有的数据、数据文件及其它相关文件。

增量备份（累积型增量备份）：增量备份的数据包含最近一次低级别或者更

低级别的备份以来所有改变过的数据块.

差量备份（差异型增量备份）：差量备份的数据包含最近一次同级或者低级

的备份以来改变过的数据块.

支持细粒度的备份,提供直观的树形显示界面，丰富的选择类型操作.可以单

独备份oracle数据库的控制文件、归档日志，表空间和数据文件。可以备份

SQLServer内的所有数据资源,包括所有数据库、单一文件组、单一文件或事

物日志。

支持自动备份，可以根据业务需要设定备份的时间和周期来实现自动备份.

2、数据恢复管理

支持多种恢复手段，其中包括自动恢复，按时间点恢复和灾难恢复。

自动恢复：当数据库不能打开时(不管是因为何种原因)，使用自动恢复功能

可以把数据恢复到最新的状态。

按时间点恢复:当用户因为某种原因需要把数据库恢复到以前某个状态时，

使用按时间点恢复，可以把数据库恢复到指定时间点的状态。

灾难恢复：当用户的数据库因为各种原因遭受严重的破坏而无法打开、甚至

数据库服务器都不可用时，使用灾难恢复功能可以将数据库恢复到最近一次

备份的状态.

3、设备管理

设置备份数据的存储路径，管理存储设备空间。

4、作业警报

可以集中查看已制定作业的执行情况，根据作业的消息和错误报警，可以快

速了解作业执行状态，发现失败的作业及其失败的原因,消息和错误报警也可

以以电子邮件的方式及时发送给管理员，避免遗漏重要数据的备份。

第38页

5、策略管理

可以制定可重复使用的备份和恢复策略.策略制定好以后，只要将具体的备份

作业和策略关联起来即可实现按策略备份和恢复。

6、作业设置

可以修改作业的执行时间和周期,可以修改与某作业相关联的作业模板，包

括修改作业模板描述、优先级、和存储设备等等。当修改某作业模板时,所

有与该作业模板关联的作业都要受到影响。可以查看作业详细信息和历史信

息摘要。

7、作业历史

可以查看作业历史的详细信息，包括服务器名称、数据库名称、作业创建

者、作业类型（备份作业，恢复作业）、作业执行结果、执行时间、设备名

称、优先级、作业执行时间及结束时间、作业资源、等等.

8、作业监视

监控作业的运行状态，可以查看某作业的详细信息，可以修改或删除作业。

9、报表管理

提供丰富的报表格式，方便用户了解数据库系统的整体运维状态和备份恢复

的完整历史状况.

10、管理员模块

管理登陆后,可以配置需要进行备份管理的数据库的相关信息，配置使用单

位信息，管理备份用户的帐号信息.

 上级单位功能模块

1、上级单位监控

监控所有下级单位的所有备份服务器上的当前作业（正在执行的作业、已计

划的作业、开始调度的作业）和已经设置的作业，查看作业是否已经完成;

查看所有下级单位的所有备份服务器上的作业历史；查看所有下级单位的所

有备份服务器在完成备份和恢复作业过程中所产生的警报；查看所有下级单

位所配置的作业策略、备份负责人的联系方式、等等。

2、 上下级单位关系配置

第39页

通过对备份服务器的角色配置，确定上下级单位的监控关系（一个上级单位

同时监控多个下级单位）.

（4）产品选型

设备需求 品牌 参数 生产地

数据备份与容灾演

练系统

鼎甲 广州

第40页