基于測繪應用的數據中心設計與實現

張 磊 邵金強 張 麗 史洋勛

（貴州省地礦局測繪院 貴州 貴陽 550018）

在信息安全方面， 地理信息的安全性直接關系到國家及區域安全， 加強地理信息行業數據及系統的安全性建設成為迫切的要求，除了遵循相關法律外，通過硬件建設提升地理信息的安全性和完備性也顯現的尤為重要。 本文將以此展論述：

1 原數據存儲狀況分析

1.1 原有信息環境特點

該單位原有應用系統有業務數據庫，OA 系統， 操作系統為WindowsXP、Windows 2003 等，常用數據庫為MS SQL；涉密終端機器約50 臺，3 臺老式塔式服務器，組建的小型局域網較多，但全院未形成整體的高效局域網；全院范圍內電子數據缺少統一的大容量存儲介質和一體化管理，業務數據都是單獨存放在單臺服務器上的，備份保護是部分通過純手工方式備份、有一部分未做任何備份措施，存儲和備份模式存在很大弊端；涉密數據除制度管理約束外缺少信息技術的保障，全院的信息化建設還處于初級狀態。

1.2 主要問題

目前，貴州省地礦測繪院負責全省范圍內測繪業務，測繪數據對其有相當重要的作用，因此系統及數據不能出現任何故障，必須保證業務系統的連續性和防范業務系統數據的丟失。而現行信息環境具有如下問題：

1）原有數據生產中主要是單機存儲，無網絡備份，無版本控制，容易因人為因素，造成數據的混亂或丟失；

2）測繪數據在提交后，都是在日常使用的機器上和移動存儲設備上進行保存，在拷貝手段和保密性上都存在一定的隱患；

3）受PC 機硬件性能限制，在進行海量空間數據處理和分析過程中，耗時耗力而極大的影響工作效率，對于高性能運算服務器需求更加迫切；

4）在內部管理軟件的應用和部署，缺少一定的發布平臺，以擴展現行業務領域，同時滿足自身的版本管理等相關需求；

5）備份空間處于人工維護狀態，隨著備份數據的增加，備份副本難以管理，無形中增加維護工作量。

2 建設基本要求及擬采用技術

2.1 建設基本要求

充分保證數據的安全性和系統的穩定性；

實現對財務及人事OA 系統的植入和歷史數據的遷移；

滿足全院的數據存儲及備份需求， 并滿足相應的服務器系統建設：

千兆網絡到桌面，網絡規模新建為50-100 信息點；

歷史數據目前4T，每年2T 增長，本期建設應滿足五年內需求，并具有較好的可擴展性；

按照標準化機房進行建設。

2.2 擬采用的關鍵技術

1）防火墻技術

從該院全網范圍看，按飛地邊界部署規則，需要有防火墻進行隔離。

2）備份及容災技術

該數據中心的建設中，成果數據的安全性是核心，須通過備份及容災等相關技術，實現對數據的安全存儲，并利用保護策略，實現數據的更高安全保障。

3）版本控制技術

該數據中心的建設中， 過程數據的控制性和可恢復性也不容忽視，采用版本控制技術，對測繪數據生產中的數據進行過程性標記，以保證相應過程數據的安全性和互操作性。

4）工作流技術

逐步引入工作流的理念，對整個數據的提交及歸檔流程進行信息化規范。

3 IDC 設計與實現

3.1 基本構想

除滿足常規數據中心布設的要求外，結合測繪應用的特點，本建設主要圍繞著測繪過程數據的版本管理，成果數據的備份容災，以及應用服務器、數據庫服務器和高性能計算服務器的展開。 建設中充分利用現有資源，構建基于SAN 架構的集中存儲模式，引入各類服務器提升各應用系統的效能和綜合安全性，并引入磁盤陣列和一體化存儲設備完成本地集中存儲體系建設，從而逐步實現備份及容災。

3.2 詳細設計及具體實施

3.2.1 整體結構

本數據中心基于防火墻、核心交換機、接入交換機構建的三層網絡， 通過IBM 高性能數據服務器接入EMC 主磁陣和愛數備份存儲柜，并聯高性能運算服務器等各類應用服務器，并通過6 類雙絞線接入千兆桌面。 大體布設如圖1 所示。

圖1 數據中心結構圖

3.2.2 網絡結構：

圖2 網絡結構圖

防火墻：因各個安全域的流量既需要互訪、又必須經過嚴格的訪問控制和隔離， 本次采用Secospace USG5000 系列統一安全網關，以保證方便的進行安全域劃分，容易擴展和管理，也提高了整體性能。

核心層：采用華為Quidway S9300 系列T 比特核心路由交換機作為核心交換機。 本次配置了S9303 含一個引擎、一個電源、48 個千兆電口，24 個千兆SFP 光接口，2 個多模光模塊，并通過光纖接往200 米開外的另一處辦公節點。

接入層：使用華為Quidway S5700 系列全千兆企業網交換機作為接入層交換機，以實現該層的分級設計，本次選用的S5700-52C-SI，交換容量為256G，完成千兆到桌面的部署，提升局域網的訪問速率和可靠性。

3.2.3 主要服務器

建立數據服務器連接數據存儲集群， 滿足全院的數據高效存取、備份及共享性， 提高數據存儲的可擴展性及安全性。 引入IBM X3755M37164I05 一臺作為數據服務器。

建立應用服務器，滿足全院內部管理系統的發布要求，同時可以考慮作為軟件測試服務器載體， 服務后期的業務擴展并提升工作效率。 引入兩臺IBMX3650M3 7945I25 作為WEB 及應用服務器。

建立運算服務器， 滿足中心內高性能計算及處理等工作需求，利用硬件的高性能提高工作效率，減少工作時間，從而節約成本。對原有3 臺IBM X3400 塔式服務器升級，通過負載均衡構建運算集群。

3.2.4 存儲及備份

引進國際領先的EMC 磁盤陣列VNXE3100， 此期配置滿足5 年使用的容量，考慮到磁盤陣列做了RAID5 技術后的容量，則此次配置在容量上配置為18T，做完RAID 后有14T 的容量，完全滿足3-5 年的容量需求。

為使數據能更加完善的得到備份容災保護，并降低方案成本，采用愛數的備份存儲一體化設備PX1200，與傳統的4S（Server+System+Backup Software+Storage）架構相比，更為合理和節省資源開銷。

3.2.5 配套設施

根據標準化機房的相應要求，機房還需配置UPS 及電池組，滿足4 小時供電；建立溫控、濕控及防雷等設備；同時建立門禁及監控設備保證機房安全性。[1-3]

3.2.6 安全性設計

數據中心構建上需要從以下三個層次進行安全設計：

設備級的安全：需要保證最容易成為最終攻擊目標的設備本身的安全；

網絡級的安全：通過進行用戶接入認證、授權和審計以防止非法的接入，進行傳輸加密以防止信息的泄漏和窺測，進行安全劃分和隔離以防止為授權的訪問等進行安全保證；

系統級的主動安全：智能的防御網絡必須在潛在威脅演變為安全攻擊之前加以措施，包括通過準入控制來使“健康”的機器才能接入網絡，通過事前探測即時分流來防止大規模DDoS 攻擊，進行全局的安全管理等。

3.3 相關策略

權限控制：按照IP、MAC、線路實現整體權限控制；通過部門、用戶、操作權限的綜合配置進行訪問和使用權限控制；專業的管理系統還設置相應的秘鑰進行權限控制；結合FTP、CVS、愛數等自帶功能進行權限控制。

存儲控制： 與權限相匹配外， 同時通過數據服務器的Windows Server 2008 相應權限設置和EMC 自帶功能結合相應的權限控制機制實現存儲控制，邏輯盤符相對獨立。

版本化控制：采用CVS 等版本控制工具，對數據處理過程目錄進行版本化控制，保證數據安全的同事，適度可以有助于業務的協作分工。

備份控制：通過愛數備份存儲柜實現對文件系統、應用系統和操作系統定時定模塊的備份策略，如對重要的業務系統的數據庫做數據不丟失的實時復制， 對邊緣業務系統的數據庫做數據庫的定時備份，保證業務系統的高安全性，制度控制：通過相應的流程化管理和制度約束，保障系統的正常運轉和安全性操作，從而保障數據中心的順利使用。

4 后期工作展望

本數據中心主要基于測繪行業的特點，圍繞數據的安全性和高性能處理上進行考慮，在后續的升級過程中，還需要逐步的考慮深化版本控制和容災思想，同時引入VMWare 等虛擬軟件提升性能，應用統一終端進行桌面安全管理等。

［1］中國電信[2005]658 號“關于印發中國電信IDC 產品規范：試行的通知”[S].

［2］Q/GDW345-2009 國家電網公司企業標準.國家電網公司信息機房評價規范[S].

［3］GB50174-2008 中華人民共和國國家標準.電子信息系統機房設計規范[S].