中软水利解决方案 -水利解决方案.doc
中软水利解决方案 -水利解决方案 水是人类生存和发展的生命线,是实现可持续发展的重要物质基础。随着国民经济持续发展、城市化进程加快和人民生活水平的不断提高,水资源问题越来越得到了人们的关注,并已在世界范围内引起高度重视。我国洪水、干旱和水资源环境问题比较突出并日趋严重。为了解决面临的水资源短缺、洪涝灾害频发、水质环境恶化等问题,近年来国家狠抓了金水工程、南水北调等大型系统的建设与实施,水利信息化在防汛抗旱、水资源、水土保持、水利信息公众服务等领域发挥着越来越重要的作用。目前水利信息化建设已经初具规模,中央、流域和大部分重点省都初步建成了 不同规模和功能的局域网。同时,还利用中国分组交换网组建了从流域、省、区市到中央的实时水情计算机广域网。尽管在防汛抗旱、电子政务、水资源、水土保持、水利工程、水利信息公众服务等领域都取得了很多成果,但是水利信息化建设还要继续加大投入和不断完善,全面提高指挥和决策能力,更好的为公众提供服务。 中国软件与技术服务股份有限公司 (简称 :中国软件、中软, 600536)作为水利整体解决方案提供商,一直将水利行业作为重点发展的战略领域之一。中国软件公司在全面解水利系统信息化建设需求的基础上,积极与全国水利行业的多个部 门合作,成功地解决了水利业务的各个层面的难题,并总结出一套符合水利行业信息化建设的解决方案 (其总体体系结构见图 1)。本行业的需求与我们的目标 : 本行业需求 :通过水利信息化建设,提高水利信息资源的开发应用能力与水平,达到全面提升指挥和决策能力的目的,从而更好的为公众服务。 我们的目标 :积极努力地参与水利系统的信息化建设,与广大水利伙伴真诚合作,为水利系统提供全面综合的解决方案和良好、周到的服务。 图 1:水利领域信息化总体体系结构 网络解决方案 水利信息系统的建设是一项复杂的系统工程,它包含了网络、主机、服务器、操作系统、数据库、应用系统等多个组成部分网络系统是整个系统信息交换互联的基础平台,如何构建一整套“稳定、高效、安全”的网络系统是进行信息化建设中所要面对的首要任务。 根据水利信息系统建设的实际需求,结合多年来公司设计了能够同时承载数据、语音、视频的水利信息信息 网络系统解决方案 (图 2) 图 2:承载数据、语音、视频的水利信息网络系统解决方案 具体包括 :三网合一技术体系、局域网系统、广域网系统、 VoIP 语音系统、视频会议系统和网络管理系统。 1、三网合一技术体系 水利信息系统的网络互联协议采用 TCP/IP,运行模式采用Internet/Intranet,局域网内的通信协议采用 TCP/IP、 IPX/SPX、 NetBEUI 等 ;水利信息系统中采用 H.323协议作为 VoIP语音系统、视频会议系统的互通协议。 2、局域网系统 (图 3) 图 3:局域网系统 局域网系统是水利信息系统日常运行的基本平台,必须高效、可靠,其方案设计 : *采用多层设计模型 :通过三层交换机将局域网划分为较小的二层 (Layer 2)分段,充分发挥三层 (Layer3)服务对广 播控制、安全控制、服务质量的强大功能。 *局域网主干技术选择 :千兆以太网的性价比较高,是目前局域网主干的主流技术。随着信息技术的发展和应用系统的实际需要,万兆核心骨干技术也已投入实际使用。 *虚网划分 :结合应用系统的功能进行虚网 (VLAN)的划分,以提高系统的运行效率和安全性。 *可靠性设计 :在网络中心设置 2 台以上的中心交换机,它们之间采用 2 ~ 4条主干链路进行互联,以提供高速、冗余的交换通道。楼层交换机采用 2 条上联链路分别接入不同的中心交换机,构成冗余连接,以消除网络系统的单点故障。 3、广域网系统 (图 4) 水利广域网系统是由各级水利单位构成的树形 (星形 )结构。 图 4:广域网 广域网系统是水利系统中各级单位之间进行数据、语音、视频通信的基础平台,必须具备良好的可靠性和安全性。广域网系统的设计主要包括以下几方面 : *带宽设计 :由于广域网带宽的高昂代价,必须对业务系统的需求进行认真的分析、计算,从而设计最佳的线路带宽。 *线路选型 :目前,可实际应用的广域网线路主要有 DDN、帧中继 (Frame Relay)、 ATM、 SDH、 ISDN、裸光纤 (城域网范围 )等,可根据当地线路的资源情况、不同类型线路的运行情况因地制宜进行选择。 *路由协议 :通常把 OSPF 作为主要的动态路由协议,同时采用静态路由协议作为辅助手段。 线路可靠性设计 :采用双线路 (可选择不同的电信营运商 )同时工作,分担网络负载。如果一条线路发生故障,其网络负载可自动切换到另一条线路上,继续维持网络的正常运行。 设备冗余设计 (图 5):中心节点及重要节 点配置两台路由器,采用冗余网关技术实现双机热备,防止出现单点故障。 图 5:设备冗余设计 4、 VoIP 语音系统 VoIP 语音系统的基本架构 (图 6)。 图 6:VoIP 语音系统的基本架构 网关 :主要实现 PSTN 网到 IP 网的转换。其主要功能包括 :ISDN 信令处理、H.323 协议功能、语音编码和解码和路由协议处理等功能。对外分别提供与 PSTN网连接的中继接口以及和 IP 网络连接的接口。 网守 :主要功能是用户认证、地址解析、带宽管理、路由管理、安全管理和区域管理。 电话终端 :与语音网关直接连接的普通模拟电话、与程控交换机连接的普通模拟电话、数字 IP 电话。 5、视频会议系统 视频会议系统 (图 7)的基本架构包括 :会议管理系统、网守、多点控制单元(MCU)和视频终端。 图 7:视频会议系统 根据水利系统会议场点较多且地域比较分散的特点,采用树形组网结构,将水利视频会议系统建成一个两级的视频会议系统,一级单位作为一级视频会议系统的中心,二级单位作为一级视频会议系统的终端 ;而二级单位又可 作为二级视频会议系统的中心,三级单位作为二级视频会议系统的终端。 6、网络管理系统 (1)、水利网络覆盖范围广、系统构成复杂,需要一套强有力的网络及系统管理工具,实现对系统及网络的管理和监控功能,保障水利系统各项业务应用的正常运行。网络管理系统的主要功能包括 : 配置管理 :网络拓扑结构的识别、显示,网络节点的配置与管理 ; 故障管理 :网络故障诊断、显示及通告 ; 性能管理 :网络流量、系统状态的监测、统计与分析 ; 安全管理 :属于计算机安全建设领域,通常单独对其进行考虑、设计 ; 计费管理 :在水利行业基本不需要计费管理。 (2)、为了更有效地帮助水利信息系统管理员对信息平台进行统一的监测和管理,中国软件公司结合网络管理系统建设的丰富实践经验,开发了中软信息平台运行维护系统 (图 8),主要实现以下系统功能 : 故障报警 :采集系统资源的工作状态,当系统出现故障时,以多种形式通知相关人员 ; 性能监测 :采集系统资源的工作状态并进行记录,提供对系统资源的性能分析和总结,同时可以根据设定的指标进行预警 ; 图 8:中软信息平台运行维护系统 (3)、中软信息平台运行维护系统的监测对象包括 : 网络设备 :包括路由器、交换机、防火墙等 ; 网络线路 :监测各类网络线路的连通性 ; 服务器 :监测各类服务器的工作状态,如 CPU 利用率、硬盘剩余空间等 ; 应用系统平台 :包括 Web、应用服务器、数据库、 DNS 等 ; 数据备份平台 :完成对主机、数据库数据的备份监测 ; 动力及环境平台 :监控机房内的通信电源,空调设备,环境信息,实现了真正意义上的遥测、遥信、遥控。 (4)、中软信息平台运行维 护系统的报警形式包括 :语音、电话、寻呼机、手机短信、电子邮件等,报警内容可以具体到故障设备、故障原因。 安全解决方案 水利系统作为国家的重要职能机关,其信息系统的安全性不容忽视。具体的安全风险突出表现为如下几个方面 : 物理安全 :设备故障、被盗、人为破坏,停电,自然灾害…… 网络安全 :数据传输时泄露、被破坏, Internet 接入…… 系统安全 :操作系统安全漏洞,计算机病毒…… 应用安全 :业务系统操作权限,黑客攻击…… 安全管理 :安全制度不健全,缺乏可操作性,责权不明… … 根据水利信息系统建设中对信息安全的实际需求,结合多年来承建信息安全系统和提供信息安全服务所积累的经验,中软设计了以安全需求为中心,服务、方案、产品及技术四位一体的综合性水利信息系统安全解决方案 (图 9)。 图 9:四位一体的综合性水利 信息系统安全解决方案 (1)、安全技术手段 对信息系统的安全需求的理解可以从多侧面、多角度入手。水利信息系统的安全体系应该是全方位的,而不仅仅是加密,也不仅仅是防火墙或其他安全 措施的简单堆砌,而应着眼于从安全性、可靠性、高效性、可控性、持续性等多方面落实。网络安全技术主要包括防火墙、防水墙、虚拟专用网 (VPN)、入侵检测系统 (IDS)、安全漏洞扫描、网络安全审计、防病毒系统等等,通过这些技术手段所能实现的安全管理包括 :访问控制与安全边界管理 ; 弱点漏洞与风险管理 ;入侵检测与防御 ;信息监控与入侵证据管理 ;通信链路安全 ;系统安全 ;数据与数据库安全 ;应用系统安全 ;个人桌面系统安全 ;身份认证与授权 ;集中安全管理 ;灾难恢复与备份和计算机病毒防治。 (2)、安全系统管理 基 于“安全不是技术,而是策略、技术与管理的综合”这一安全理念,虽然以上所有的安全设计都是保证信息系统安全的有效技术手段,但仅有这些还是不够的,任何安全系统都需要由人来操作和管理,因此,安全系统的管理更为重要。只有切实制定安全方面的相关制度,落实相关的具体执行措施,才能真正达到保护系统安全的最终目的。 数据中心解决方案 近年来,我国水利信息化的发展非常快,带动了水利应用系统的发展。从技术角度,水利应用系统的发展与实施将在以下几个方面对数据中心的建设产生了新的要求,这些都是水利业务模式的特点所决定的 :其一、多用户并发的效率要求,其二、大数据量的效率要求 其三、系统运行的稳定安全性要求。根据水利信息系统对数据中心建设的实际需求,结合多年来进行数据中心建设所积累的经验,中软设计了以 SAN 存储为主、以 NAS 存储为辅的综合性水利信息系统数据中心解决方案 (图 10)。 图 10: SAN/NAS 水利信息系统数据中心解决方案 1、主机系统选型与设计 主要包括,主机系统选型和高可用性设计。 (1)主机系统选型 作为应用系统运行和数据存储的关键设备,服务器系统是整个系统的核心,只有服务器系统高效、可靠和安全的工作才能保证整个系统的正常运行。结合中软在水利行业的多年集成实践和在水利应用系统建设中积累的经验,在主机设备选型中,应该遵循以下原则 :适用性和统一、可靠性和稳定性、可管理性和易维护性、可扩 展性和开放性、安全性与可集成性和保护用户投资。 (2)高可用性设计 在主机系统的方案设计中,除了选择容错设计较高的主机设备之外,还需要考虑主机系统的高可用 (High Availability)性设计。高可用系统具有经济、开放性好、配置灵活等优点,在进行水利信息系统建设时,可以根据实际情况进行分析设计。目前,常用的高可用设计有以下几种方式 : 空闲热备份方式 :定义一个节点为备份机,处于空闲等待状态或运行非关键应用,等待接替故障节点的磁盘和应用。 互为备份方式 :定义几个节点分别运行不同的关 键应用,它们之间互为备份机。 并发存取方式 :定义几个节点运行同一个关键应用,并且可以同时访问共享存储设备,在获得高可用性的同时,也显著提高了系统整体的性能。 2、存储与备份设计 水利行业的业务数据及办公数据均十分重要,因此需要进行数据存储及备份。目前,存储备份结构主要有 SAN 和 NAS,以及通过磁带或光盘对数据进行备份。各地水利单位可以根据自身的特点选择不同的存储产品构建自己的数据存储备份系统。 NAS(Network Attached Storage)模式 (图 11)以网络为中心,利用现有的网 络资源来接入专用的网络存储设备,而不是另外再部署光纤交换机网络来连接传统的存储设备。 图 11:NAS(Network Attached Storage)模式 NAS 以 LAN 为基础,使用 TCP/IP 协议进行通信,以文件的 I/O 方式进行数据传输。由于采用 NAS 的模式,文件系统放置于存储设备之上,用户的数据只要保存一个拷贝,即可被前端的各种类型的主机所使用,因此,具备主机无关性。对于数据量相对较小、对数据读取速度要求不是很苛刻的水利应用,可采用 NAS技术和产品。 图 12:SAN(Storage Area Networking)模式 SAN(Storage Area Networking)模式 (图 12)以数据存储为中心,采用可伸缩的网络拓扑结构,通过具有高传输速率的光通道直接连接,提供 SAN 内部任意节点之间的多路可选择的数据交换,并且将数据存储管理集中在相对独立的存储区域网内。 SAN 存储系统由光纤交换机、存储设备、备份设备和存储管理软件等组成,具有较强的可伸缩性。对于大数据量存储、需要实时访问数据的水利应用,推荐使用此方案进行数据的存储和备份。 与水利行业合作的成功案例 1、国家防汛抗旱指挥系统一期工程 全国骨干建设工程 2、北京市防汛抗旱及水资源指挥调度中心软件平台系统 3、“数字黄河”工程黄河数据中心一期建设工程 4、松辽委松花江洪水管理项目计算机网络工程 5、水利部机关 ADSL 网络建设工程 6、重庆市水利局机关办公网络建设工程 7、云南省水利厅计算机网络及安全初步设计 8、水利部水情数据传输及水情查询系统 9、水利气象云图 (极轨 )备份服务应用系统开发 10、青海水利厅计算机网络建设工程