北京数字档案馆(电子文件中心)网络系统建设概述.docVIP

北京数字档案馆(电子文件中心)网络系统建设概述 　　网络系统是北京数字档案馆的重要组成部分和基础环节，安全稳定的网络系统为用户访问北京数字档案馆的资源提供良好的链接通道和安全稳定运行的平台支撑，为档案数字资源的交互、传输提供服务保障。 　　一、建设目标 　　北京数字档案馆网络构建三个服务平台，分别提供相应层级数字档案信息资源利用共享服务。一是面向档案馆工作人员和来馆利用档案人员内部局域网利用服务平台；二是面向本级党政机关各立档单位的政务外网电子文件归档和档案信息共享平台；三是面向广大社会公众和进行馆际交流的互联网公共档案信息服务平台。 　　二、建设原则 　　北京数字档案馆网络系统的建设遵循统一规划、统一实施的指导思想，既满足当前需求，又充分考虑将来整个网络系统的投资保护和新应用的支持。设计及实施充分遵循采用标准、开放的网络技术，网络具有可扩充性、可管理性、高可靠性、前瞻性的原则。 　　三、功能设计 　　VLAN规划 　　北京数字档案馆网络借助VLAN技术，结合局馆处室职能及业务需求，进行子网划分，隔绝广播风暴，保证网络安全。其中互联网部分划分为13个VLAN，政务外网部分划分为12个VLAN，内部局域网划为11个VLAN。 　　IP地址规划 　　IP地址的合理分配是保证网络顺利运行和网络资源有效利用的关键。为了规范IP地址，减少路由表，网络系统的编址方案利用无类别域间路由选择和可变长子网掩码技术，结合北京数字档案馆各业务系统使用情况及局馆处室职能对网络IP地址段进行规划分配，提高网络性能，方便管理。 　　其中互联网划为5个网段，分别为馆址各处室办公网段，数据处理/利用处网段，馆址领导办公/服务器管理网段，局址领导办公/保留网段，局址各处室办公网段；政务外网6个网段，分别为馆址各处室办公网段，数据处理/利用处网段，馆址领导办公/服务器管理网段，保留网段，局址领导办公/保留网段，局址各处室办公网段；内部局域网11个网段，分别为数字化加工处理网段、档案查询处理网段、调归卷处理网段、整编处办公网段、网管处办公网段、服务器管理网段、预留网段、，安全处理网段，备用管理网段、服务器管理网段。 　　QoS设计 　　网络系统设计统一采用IP Precedence优先权技术，划分优先级，根据数据包的优先权值，通过拥塞管理机制和队列机制对各个优先级分别提供不同级别的QoS服务。每种应用根据其自身应用特点，被分配至相应的优先级别。 　　实施QoS的根本目的是确保网络信息能够及时获得所需要的网络带宽，并在此基础上完成管理信息的传送。针对网络信息流量的内容及特点，制定如下QoS策略： 　　1.关键业务数据如数据处理域、办公域数据要给予最高优先级保证，在任何情况下都要确保业务数据及时可靠地传送； 　　2.保证应用服务器的正常使用，如应用服务域各项应用，不但不允许数据丢失，同时对延时的要求也非常高，将其定义为次高优先级； 　　3.一般性应用属于非业务的数据流量，其数据包最长，对延时并不敏感，但是不允许数据丢失，在保证前述业务流量的前提下，同时保证此类业务的正常通过，因此将其定义为普通优先级； 　　4.所有未定义的流量则被置为最低优先级； 　　5.另外，QoS设计将具有审批权限的人员的IP优先级置高，保证具有审批权限人员的带宽需求。 　　四、网络设计 　　整个网络系统分为互联网、政务外网和内部局域网，其中内部局域网与政务外网、互联网物理隔离，政务外网与互联网逻辑隔离，市馆与区档案馆之间通过VPN技术连接实现互访。政务外?W核心层按照万兆、档案业务专网核心层按照千兆设计。 　　政务外网与互联网 　　政务外网采用两层结构设计，即核心层和接入层。核心层部署2台万兆以太网交换机采用双机热备方式实现设备冗余，并通过配置负载均衡协议和动态路由协议实现交换机之间的链路冗余及流量分担。为保证网络安全，在核心层部署漏洞扫描系统、入侵检测系统、网络审计系统，做到安全隐患及时发现，危险行为及时终止，非法操作详细记录。接入层部署以太网交换机分别连接北京数字档案馆不同业务域。按照业务域的不同功能要求配置不同策略。在DMZ域和政务外网公共服务域的网络出口各部署应用负载均衡器实现负载均衡；在数据库处理域前部署数据库审计系统，确保系统的数据安全，同时满足等保3级要求。 　　使用具有路由功能的交换机接入互联网，为了保证链路的可用性，储备一台具有路由功能的交换机作为冷备设备。部署防病毒网关，上网行为管理、流量控制器和网络入侵防护系统NIPS，满足网络流量管理和安全保障的需求。 　　内部局域网 　　内部局域网也采用两层架构，即核心交换层、接入层。核心层部署2台千兆以太网交换机采用双机热备方式实现设备冗余，并通过配置负载均衡协议和动态路由协议实现交换