《食品药品监管信息化顶层设计服务项目网络工程总体方案》由会员分享,可在线阅读,更多相关《食品药品监管信息化顶层设计服务项目网络工程总体方案(53页珍藏版)》请在金锄头文库上搜索。
1、广西食品药品监管信息化顶层设计服务项目信息工程总体方案第一分册 网络工程总体方案广西壮族自治区食品药品监督管理局 大连圣达信息工程有限公司 武汉国泰智城科技有限公司2014年12月广西食品药品监管信息化顶层设计-网络工程总体方案文档编号GXFDA-IRP/TD-1版本号V1.00保密等级机密编制时间25/12/2014项目主管领导:韦 波 广西食品药品监督局局长周广能 广西食品药品监督局副局长(正厅级)张剑波 广西食品药品监督局副局长文东旭 广西食品药品监督局副局长李勇强 广西食品药品监督局副局长贺志刚 广西食品药品监督局副局长杨家庆 广西食品药品监督局驻局纪检组组长业务负责人:唐春桂 政策法
2、规处副处长胡振洲 食品生产处处长黎展翔 食品流通处处长黎英辉 食品餐饮处副调研员高 辉 药品注册处处长阮 斌 药品生产处副处长梁春光 药品流通处副处长、调研员万 秋 保健食品化妆品监管处处长凌紫毅 医疗器械处处长廖桂兰 稽查局副局长罗大盛 应急管理处副处长刘 东 科技标准与监测评价处调研员胡 振 人事处副处长 黃显云 规划财务处副处长 李雄科 药品流通处副处长、行政审批办副主任覃忠于 药品不良反应监测中心主任韦广辉 食品药品审评查验中心主任梁建宜 食品药品投诉举报中心副主任(主持工作)张国飞 食品药品信息与监控中心正科级干部 方案编写单位:大连圣达信息工程有限公司武汉国泰智城科技有限公司项目技
3、术总顾问:高复先教授 中国系统工程学会信息系统工程专业委员会副主任委员 项目负责人:甲方:曾华林 广西食品药品监管局办公室主任沈宏睿 广西食品药品监管局信息中心主任韦宇巍 广西食品药品监管局信息中心常务副主任乙方:欧阳余山 项目经理,大连圣达信息工程有限公司 陈建 项目总监,武汉国泰智城科技有限公司本方案编写人员:陈建、王云鹏、张阳目 录方案概述.1一、设计依据2二、网络规划22.1 接入用户分析22.1.1网络情况分析22.2 接入方式优化42.2.1内网接入优化方案42.2.2外网接入优化方案52.3网络增值服务系统建设62.3.1. 虚拟主机云服务6三、网络综合管理63.1网络安全管理6
4、3.1.1信息安全威胁分析63.1.2安全建设原则113.1.3网络安全模型123.1.4网络安全策略143.2 网络故障管理173.2.1故障预防173.2.2故障排除183.3 网络监控管理193.3.1主要内容193.3.2用户连接监控21四、数据存储与备份214.1数据存储与备份需求214.1.1数据量估算214.1.2存储性能要求234.1.3备份系统性能要求234.2数据存储与备份方案234.2.1设备选型234.3数据灾备方案244.3.1容灾系统的提出244.3.2容灾系统建设原则264.3.3容灾备份系统建设要求274.3.4容灾备份系统建设内容274.3.5灾难恢复基本模式
5、27五、主机与服务器规划285.1主机与服务器技术方案285.1.1. 系统配置方案285.1.2. 主机服务器选型29六、配套工程建设306.1相关附属工程建设30七、网络设备运行维护317.1网络设备运行管理制度317.1.1食药监网络管理运行维护工作的基本目标317.1.2网络管理维护工作的基本原则317.1.3方案内容327.2网络管理软件337.2.1基本功能要求337.2.2主流软件的选择34八、网络工程建设34九、投资预算与风险分析379.1网络工程总体预算情况379.1.1 编制范围379.1.2 编制依据379.1.3 概算年度分解379.2网络工程主要预算项目分解379.2
6、.1 项目预算费用明细构成表379.2.2 设备购置清单389.2.3 商品软件购置清单449.2.4 培训服务报价459.2.5 各类接入费用报价469.3网络工程风险分析46方案概述目前,广西食品药品监管局(以下简称:食药监)计算机网络已经投入使用若干年,在食药监管理中发挥出了十分重要的作用。二级单位与行政单位通过内部网络部分实现信息的数据传输与利用,但随着信息化应用的不断深入,食药监管理和决策信息化对现有的网络环境提出更高、更多的要求。根据食药监信息化建设水平,结合自身网络现状,对本局的网络资源配置和利用进行进一步提升,构建现代化的网络基础设施,支撑并服务于本局的数据中心建设。本方案作为
7、食药监信息资源整合和应用系统规划的信息工程实施方案的重要组成部分网络工程实施方案,充分利用信息资源规划的数据流分析、数据模型和数据标准等成果,融合先进的网络与通信技术,在产品采购上注重性价比分析,选择经济实用、性能稳定的产品,同时考虑后期产品技术风险和维护服务质量,构建满足当前需求和适应未来升级的现代化的网络基础设施。考虑到本方案作为食药监数据中心建设的网络技术支持工程的辅助性方案,因此本方案的编写力求简洁,以支撑和服务于数据中心各期建设任务要求为目标,对于网络规划设计、网络管理、未来网络安全和容灾备份等网络功能提升方面,给出相应的建设性意见供参考。一、设计依据1、 2011-2015年药品电
8、子监管工作规划国家食品药品监督管理局, 二一二年二月二十七日;2、 广西食品药品安全监管信息化建设工程实施方案(桂政办发2012291号)3、 食品药品监管总局关于发布食品药品监管信息化标准体系等十项标准的通知(食药监科201416号),国家食品药品监督管理总局,2014年2月14日。4、 “十二五”国家政务信息化工程建设规划(发改高技20121202号)5、 国家电子政务工程建设项目可行性研究报告编制要求,国家发展和改革委员会第55 号令,2007 年9 月;6、 关于加强信息资源开发利用工作的若干意见,中办发200434号;7、 2006-2020年国家信息化发展战略,中办发200611号
9、;8、 国家电子政务总体框架,国务院信息化工作办公室2006年3月;9、 标准化“十一五”发展规划,国家标准化管理委员会,2006年;10、 电子政务业务流程设计方法通用规范,国标GB/T 19487-2004;11、 电子政务信息资源目录体系,国标 GB/T 21063.1-2007 16;12、 电子政务信息资源交换体系,国标GB/T 21062.1-2007 14;二、网络规划2.1 接入用户分析2.1.1网络情况分析食药监已建成办公局域网、国家食品药品监督总局专网、自治区人民政府办公业务资源网、自治区党委机要网4套网络。目前机房为新办公大楼新建机房,按照A类标准建设,计算机网络安装三级
10、信息安全等级保护建设,总面积为150平方米。机房有各类机架式、刀片式等服务器约30台,磁盘存储4套。网络中心有1台H3C的SR6608路由器作为对外的出口路由器,2台万兆核心H3C交换机S10508为总交换中心,其中核心交换、路由设备通过VRRP协议实现双机冗余主备。物理链路实现了网络主干万兆,千兆到桌面。拓扑结构如下图:图2.1 广西药监外网核心结构H3C核心路由器SR6608通过专线连接到互联网;另外各市县药监系统通过专线的形式连接到该路由器;国家和广西区不良反应系统通过安全防护区连接到该路由器。各楼层通过AP实现无线接入,并由楼层接入交换机实现汇聚。图2.2 广西药监内网核心结构内网由H
11、3C的MSR3040作为对外出口路由器通过专线实现与国家食品药品监督局和政府办公网的连接。核心交换机S7506E通过防火墙插卡实现防火墙域间访问控制等功能,并通过链路聚合上连到核心路由器MSR3040。通过VRRP协议实现双机冗余,从而实现对接入设备的高可靠性。核心交换机下带楼层接入交换机,负责各楼层台式办公电脑的接入;并通过服务器接入交换机实现内网办公电脑对内网服务器群的访问。2.2 接入方式优化2.2.1内网接入优化方案如现状所述,食药监内网核心层所使用的2台核心交换机均为高端企业级产品,其性能能够继续满足路由交换能力需求,且设备运行较为稳定。但是,目前网络核心层存在的问题是:除了核心层交
12、换采用了2台交换机冗余配置,中心的核心节点路由器只有单台设备,极易形成单点故障。因此,为增强核心层的可靠性,本工程将进行网络核心层结构改造,实现核心层路由器的双机冗余配置。新增一台H3C路由器 MSR3040,2台H3C路由器和2台H3C的S7506E形成“口”字形组网结构。这4台设备使用OSFP动态路由协议.楼层接入的路由采用静态路由指向核心交换机S7506E,并使用前缀列表(Prefix)注入(Redirect)到OSPF路由协议。为防止专线单条故障导致业务中断,建议新增的路由器需要通过各新增的一条专线与国家食品药品监督局和政府办公网进行连接。内网应用服务器群的接入交换机为单台,容易产生单
13、点故障。建议新增一台交换机,服务器一个网卡的2个网口分别连接到2台接入交换机,并且这2个网口做绑定成一个逻辑接口。2台接入交换机之间为防止网络风暴,不用网线连接,VRRP心跳走核心交换机的互联口。此外,考虑到内网应用服务器与数据库服务器或存储之间的访问安全控制,建议新增2台内网数据库服务器接入交换机,将各系统的数据库或存储下挂在此交换机,接入方式类似应用服务器的接入。2.2.2外网接入优化方案目前外网核心层采用了2台交换机冗余配置,但是核心节点路由器只有单台设备,极易形成单点故障。因此,为增强核心层的可靠性,本工程将进行网络核心层结构改造,实现核心层路由器的双机冗余配置。建议新增一台H3C路由
14、器SR5608,2台H3C路由器和2台H3C的S7506E形成“口”字形组网结构。这4台设备使用OSFP动态路由协议.目前外网出口路由器SR5608连接有出公网以及专线连接各市县药监系统、国家和广西区不良反应系统等业务,未能实现业务安全域的隔离。因此建议将各市县药监系统以及国家、广西区不良反应挂到核心交换机S10508下。由于核心交换机有防火墙插卡,具备防火墙功能,因此可以为这几个系统分别建立不同的安全域,通过域间访问控制实现安全控制。为防止专线单条故障导致业务中断,建议新增的路由器需要通过各新增的一条专线与各市县药监系统网进行连接。内部应用服务器群的接入交换机为单台,容易产生单点故障。建议新增一台交换机,服务器一个网卡的2个网口分别连接到2台接入交换机,并且这2个网口做绑定成一个逻辑接口。2台接入交换机之间为防止网络风暴,不用网线连接,VRRP心跳走核心交换机的互联口。此外,考虑到内部应用服务器与数据库服务器或存储之间的访问安全控制,建议新增2台内网数据库服务器接入交换机,将各系统的数据库或存储下挂在此交换机,接入方式类似应用服务器的接入。2.3网络增值服务系统建设1.2.2.1.2
