第一,整体结构
综合水管控平台支持主流操作系统、Web中间件、数据库产品等第三方标准中间产品的开发运行环境,具有较强的环境适应性、兼容性和扩展性。平台的技术架构图如下:

采集层:包括硬件平台和软件平台架构,屏蔽差异,实现上层应用的平台无关性,提高系统兼容性。主干管网水质监测仪、前端传感器、河流水质监测站、液位计、流量计、河长APP、监督执法管理系统、泵站管理系统完成管网水质、管网状态、河道水质、河长巡查的数据采集和汇总。
服务层:服务层是运行在基础数据集合上,以软件为核心,对平台的应用进行操作和控制的环境。采集层需要解决IT资源的虚拟化和自动化管理,服务层需要解决如何基于采集层提供高可用、可扩展、易管理的中间件平台,包括设备数据访问服务、业务系统数据访问服务、GIS地图服务、数据存储服务、系统日志服务和数据分析服务。
应用层:应用层主要负责具体服务的逻辑处理,通过服务和基础功能的应用,完成具体服务的日常处理,如管网管控可视化、舆情监测可视化、气象监测可视化、河长评估可视化、后台数据管理等。
表示层:提供可快速扩展应用功能的分布式B/S应用客户端;提供一个方便快捷,可以随时随地办理业务的微信应用,满足用户多样化的操作体验需求。
网络安全:管理平台的网络安全、信息安全、行为审计安全,确保平台的数据安全可靠。
环境保护标准和规范:对于体系建设过程管理、质量管理、人员管理和风险控制,需要制定符合本项目实际情况的规章制度。对于关键应用和数据,要遵循国家发布的环境保护信息管理系统的开发标准、编码标准、联网标准和接口标准。
第二,功能架构
三。部署架构
网络部署分为两个级别:
数据采集层。即水环境综合管控平台的管理子系统、舆情监测子系统、气象监测子系统、河长考核子系统和后台管理子系统分别部署在县级生态环境局政务云中,与传感器、COD仪等自动监测数据采集器及相关应用平台连接,获取监测数据。
集成门户层。即水环境综合管控平台门户,部署在政务云中,对采集的基础监测数据进行分析,形成可视化的综合门户展示。
四。系统安全设计
按照安全防护的技术要求,根据物理安全、网络安全、主机安全、应用安全、数据安全的要求,从逻辑隔离、安全域划分和访问控制、安全审计、入侵防御、身份认证、病毒和恶意代码防护、网络设备等方面对平台进行防护。
1.物理安全设计
本项目各系统运行在信息中心机房,各水质监测设备部署在河道和检查井附近。物理位置选择、物理访问控制、防盗防损、防雷、防火、防水防潮、防静电和电磁防护应根据相关安全防护要求进行规划和设计。
2.网络安全设计
网络结构安全
网络结构的安全性是网络安全的前提和基础。平台要合理规划网络,在业务焦点和业务服务器之间建立安全路径。划分不同的网段或VLAN;根据工作职能、各部门的重要性和所涉及信息的重要性;承载重要业务系统和数据的重要网段不能与外部系统直接连接,需要与其他网段隔离,划分为单独的区域。
网络保护
为了提高网络设备的自身安全性,保证各种网络应用的正常运行,平台的网络设备采取了一系列加固措施,包括:
A.对登录网络设备的用户进行认证,用户名唯一;
b .限制网络设备管理员的登录地址;
C.身份信息必须具有不易被冒用的特征,密码设置必须有3个以上的字符,长度应不少于8位,并定期更换;
D.具有登录失败处理功能,失败后采取结束会话、限制非法登录次数、网络登录超时自动注销等措施;
边境出入控制
在运营商互联网网络出口部署防火墙系统产品,可以按照严格的安全规划过滤所有流经防火墙的数据包,屏蔽所有不安全或不符合安全规划的数据包,防止非授权访问,防止各类非法攻击。
针对网络中不同区域之间的访问,采用防火墙和VLAN分割进行控制。
3.主机安全设计
识别
为了提高主机系统的安全性,保证各种应用的正常运行,平台的主机系统需要一系列的加固措施,包括:
A.识别和标识登录操作系统和数据系统的用户,并确保用户名的唯一性。
B.根据基本要求配置用户名/密码,密码应超过3个字符。长度应不少于8位,并定期更换。
C.开启登录失败处理功能,登录失败后结束会话。限制非法登录次数和自动注销等措施。
D.远程管理时应启用SSH等管理方法,对管理数据进行加密,防止被网络窃听。
加固措施
平台主机系统的访问控制策略需要一系列的强化措施,包括:
A.项目服务器手动加固,包括:限制默认账户的访问权限,重命名系统默认账户,修改账户默认密码,删除操作系统和数据库中过期或冗余的账户,禁用无用账户或共享账户;根据管理用户的角色分配权限,实现管理用户的权限分离,只授予管理用户所需的最低权限;启用访问控制功能,根据安全策略控制用户对资源的访问。
b .在防火墙上设置不同网段和不同用户对服务器的访问控制权限;
C.关闭操作系统打开的默认共享,对要打开的共享和共享文件夹设置不同的访问权限,对操作系统的重要文件和目录设置权限要求。
D.设置不同的管理员来管理服务器,包括系统管理员、安全管理员、安全审计员等。实现操作系统特权用户的权限分离,并在其工作范围内为每个帐户设置最低权限。比如系统管理员只能维护系统,安全管理员可以智能配置策略和设置安全设置,安全审计员只能维护审计信息等。
系统安全审计
根据平台主机系统的安全审计,需要部署主机监控审计系统进行系统安全审计,包括:
A.审计功能包括文件操作审计、外部设备操作审计、非法外联审计、IP地址变更审计、服务和流程审计等。
B.审计范围覆盖服务器上的每一个操作系统用户和数据库用户,包括系统中重要的安全相关事件,如重要的用户行为、系统资源的异常使用和重要系统命令的使用。
C.审计记录包括事件的日期、时间、类型、主体标识、客体标识和结果等。
D.防止审计记录被意外删除、修改或覆盖等。同时根据记录的数据,进行统计分析,生成详细的审计报告。
残留信息保护
将采取以下措施保护平台主机系统的剩余信息:
A.对于服务器,定期手动清理主机系统中的残留信息,确保数据不被恶意恢复,信息不被泄露。
B.定期清理文件、文件夹和磁盘剩余的空空间。
C.确保用户认证信息所在的存储室空在被释放或重新分配给其他用户之前被清空。
D.确保系统中的文件、目录和数据库记录所在的存储空空间在被释放或重新分配给其他用户之前被清空。
入侵预防
针对平台主机系统的入侵防御,采取以下措施:
系统遵循最小安装的原则,只安装需要的组件和应用,并通过设置升级服务器保持系统补丁及时更新。
6.资源控制

对平台的资源控制采取以下措施:
A.在防火墙上配置详细的访问控制策略,限制终端的访问模式和网络地址访问。
b、根据安全策略,设置登录终端的操作超时锁定,并设置终端登录超时时长。
C.限制单个用户对系统资源的最大或最小使用量。根据用户的工作需求,在满足其工作需求的范围内,修改用户的权限,设置资源使用屋。对于服务器和终端计算机,使用root用户登录操作系统,修改每个帐户的权限,使用chmod命令修改系统资源的权限。
4.数据安全和备份恢复的设计
平台的管理数据和认证信息主要为系统管理员提供服务,有保密性和完整性要求,可以通过SSL访问管理在传输过程中实现;存储的机密性和完整性要求只能通过数据库安全加固来实现,在条件允许的情况下可以升级到更安全的数据库版本。
对于办公和业务系统的远程访问,可以通过SSL访问管理实现传输过程中的机密性和完整性要求;存储的机密性和完整性要求只能通过数据库安全加固来实现,在条件允许的情况下可以升级到更安全的数据库版本。
配置备份设备,制定安全可靠的备份策略,定期自动备份各系统数据,制定数据备份和恢复检查制度,定期检查备份数据的有效性和可用性。
动词 (verb的缩写)运维体系建设
围绕“管理、业务、服务”三个层次,以运维流程和服务评估为导向,在政务网中搭建各子系统的运维管理平台,实现业务系统运行环境及其基础支撑的可见性、可测性、可控性和可管理性,达到设备故障主动监控的目的, 日常维护的规范化管理和运维服务的量化考核,提升系统整体运维管理水平,构建高效、快捷、安全的系统。
运维服务涉及当前项目各部分的建设,包括网络设备运维、传输线路运维、监控设备运维等。系统的整体运行和维护由项目建设单位控制,项目建设单位协调和管理不同部分的运行和维护。
1、系统运行维护内容
由于本项目系统规模较大,在保证质量、实用性和先进性的前提下,除了更经济的方案外,更重要的是保证系统的长期应用和长期运行方案。以往的系统建设往往侧重于系统建设的前期,忽略了后期的运维投入,导致建设了一个庞大的集成系统。但由于运维跟不上,系统应用大打折扣,甚至系统瘫痪。这个项目不同于小规模的监控项目,如果只考虑建设,不考虑长期的运维,无法保证系统的长期应用。如果系统建设只考虑设备厂商提供的质量保证服务,是无法维持已建系统的长期运行的。通常情况下,设备厂商提供有限的系统设备保修,而忽略了系统长期运行所需的运维支持,导致系统无法长期高效运行,甚至在一定时间后无法应用。
运营主要是关于硬件、软件、网络、培训等方面的管理,以及必要的管理制度、人员配备和相关成本管理。当然,具体的保养内容与选择的模式有关。
2.系统运行管理
主要指整个系统的管理和维护。重点是采取有效措施维护系统的稳定运行,包括运行环境、网络系统、主机系统和数据库系统的配置、运行维护、故障检测、升级和恢复。
运行环境维护管理,包括机房、空调度设备、UPS不间断电源、通信线路、综合布线系统等的维护管理。
网络维护管理,包括设备配置、故障诊断、维护和保养;网络接入管理主要包括系统网络节点接入、骨干环网接入等。网络运维,主要包括双机系统维护、业务应用系统维护、数据库系统、操作系统、中间件系统等系统运行状态维护和备份、综合布线系统维护。
系统升级管理,包括网络设备升级、主机系统升级、数据库升级、防火墙设备升级、存储系统升级、备份系统升级等。
局域网内用户电脑的管理和维护,包括故障诊断、换板、修改配置等。,保证客户端计算机和应用系统的正常运行。
3.数据备份和恢复管理
数据备份管理包括数据库系统数据备份、音视频数据备份、各种业务应用系统数据备份、设备和系统主要配置文件备份、备份数据有效性检查等。
数据恢复管理,根据可行的数据恢复计划恢复关键数据。
4.系统安全管理
系统安全主要指系统设备的物理安全、网络系统安全和信息安全等。系统安全管理和维护主要包括:
网络安全设备管理和升级维护,如防火墙等网络安全设备的故障诊断、维护、调试和故障排除,服务器、路由器、中心交换机等关键设备的系统级安全检查和升级维护;
网络安全设备的运行管理主要包括访问策略的制定、修改、配置、变更等维护,安全级别的设置和调整,安全日志保护;
网络防病毒系统的维护和管理,包括防病毒代码和引擎的及时更新,服务器和客户端的软件更新;
以及系统和网络设备的漏洞扫描和入侵检测,定期开展关键设备的安全检查和入侵检测,及时修补漏洞;
信息安全管理,针对不同应用系统中产生的大量信息,根据其重要性或保密性要求,进行信息分类,采取不同的数据备份和数据恢复措施。
5.业务应用系统的运行管理和维护
业务应用系统的运维是运维管理的重点内容,也是制约系统应用和发展水平的关键因素。要求管理和维护人员熟悉各种业务,以及相应应用系统的使用和维护,以此作为应用单位和系统开发单位之间的纽带。系统的运行、管理和维护包括以下内容:
应用软件的升级开发,包括功能增加、需求变更、流程变更、修改升级等。
应用软件的可维护性开发,包括bug修复、需求变更等。
应用技术支持,包括人员权限的使用和维护,数据的修正和修改,软件使用技术培训,多媒体信息的综合应用和应用,以及使用技术支持等。
系统建设和规划,包括安全管理、建设规划和应用规划;
应用过程中的其他问题及其实时处理,如需求调查等。
不及物动词运维相关系统建设
建立运维相关制度,规范运维操作,明确部门职责、人员配置、运维范围、操作规程等。与系统运维相关,从而为具体工作提供依据。
1.负责操作和维护的部门
成立系统运维部,主要由专业工程师组成。其主要职责包括:建立健全系统运行维护规章制度,并保证规章制度的实施。对系统运行实施全时段、全时段监控,建立完整的运行维护记录。确保系统安全平稳运行,快速处理和解决系统故障。为用户提供培训和技术支持。不断优化结构,更新设备,升级应用,提高系统运行效率。没有专门运维部门的单位,要明确职责,指定部门或人员负责。
2.操作和维护规章制度
根据各单位、各部门的实际情况,制定必要的规章制度并贯彻执行。一般来说包括:系统运行管理规定,涉及日常启动、关闭、值班、日记、培训、技术指导、硬件更新和软件升级、安全保密责任和应急措施等。机房管理系统,涉及环境,权限等。各种用户资料、系统数据等文件应妥善保管,作为规章制度的必要参考。
3.操作和维护模式
运营模式直接关系到具体的运营模式、工作内容、成本等。一般有内部自维护、外部人员维护和外包,可以根据具体情况分析选择。
内部维护
是指在组织内部建立一个维护团队,进行日常维护工作。这种方法要求有相应的技术人员、相关工具、相关软件、设备备件、备品备件等。在单位,哪个要求更高,适合内部技术力量较好的单位。
借调和聘用的技术人员。
单位尝试向社会借用或聘请临时人员,从事系统运行中的计算机等设备维护等低技术、重复性工作,以缓解信息中心人员少、工作量大的矛盾。这种方式虽然可以在一定程度上缓解核心管理技术人员短缺的矛盾,但是大量的工作还得由信息中心来维护,系统可靠运行的压力和风险依然存在。
外购
维护外包是指将系统的部分或全部运维外包给专业公司,由专业公司完成相应的维护工作。这种方式是针对单位技术人员不足的情况,可以有效解决日常维护问题,也是目前流行的趋势。外包的关键在于外包服务公司的选择。我们应该仔细考虑地区、技术、人员、资金等方面来选择合适的外包公司。
七。项目运营和维护概念
1.注意整个过程
系统的运行维护是系统建成后的工作。但秉承“大运维”的理念,需要在规划建设阶段就树立运维意识,为运维创造条件。
2.网络安全是运维的重中之重。
任何时候都要把系统安全作为重中之重,重点考虑和实施。

3.重视网络基础设施的运维衔接。
说到网络基础设施,要注意与网络基础设施的运维衔接。
4.注重信息资源的维护。
通过定期备份等方式保护系统运行过程中产生的各类有效数据。重要数据可以通过远程备份冗余来保护。
对系统运行过程中产生的各种有效数据进行分类整理,使数据成为支持系统、辅助领导决策的有用知识。


