移动警务安全管理平台建设方案.doc

《移动警务安全管理平台建设方案.doc》由会员分享，可在线阅读，更多相关《移动警务安全管理平台建设方案.doc（30页珍藏版）》请在三一办公上搜索。

1、移动警务安全管理平台建设方案目 录第一章系统概述11.1建设背景11.2建设目标11.3总体要求21.4建设标准和依据21.5技术要求21.6建设内容3第二章系统设计42.1系统拓扑结构设计42.1.1拓扑结构图42.1.2系统设计要点52.2系统流程72.3系统层次结构图9第三章系统功能113.1移动警务安全管理平台123.1.1用户管理133.1.2业务注册与管理153.1.3终端管理153.1.4数据统计分析163.2统一客户端163.2.1开机首启动163.2.2启动抓拍163.2.3定位163.2.4权限划分173.2.5参数设置173.2.6一键拨号183.2.7联网实时监测203

2、.2.8应用商城213.2.9设备管理23第四章与现有系统对接方案244.1对接内容244.2.统一认证入口244.2.1系统部署254.2.2系统安全254.2.3应用系统接入264.3统一客户端启动应用274.3.1应用启动功能屏蔽274.3.2所有应用注册至统一客户端实现28第五章系统性能指标29第六章主要设备清单及配置306.1应用服务器306.2数据库服务器306.3配置列表306.4认证服务器、应用服务器、负载均衡服务器参考配置316.5数据库服务器参考配置316.6缓存服务器参考配置31第七章系统软件及预算327.1统一客户端327.2警务安全管理平台33第一章 系统概述1.1建

3、设背景目前，我省省厅和各地市公安局已先后建成5个移动警务平台，并分别建设了各自移动警务业务应用系统，主要是实现手机终端查询比对等应用。按照公安部下发的移动警务系统安全技术规范，各地的移动警务业务应用系统（前置机）均部署在外网，只能满足本地接入用户应用需要，难以达到省厅党委提出的“大集中，大整合，高共享”的信息化建设思路。我省现有的移动警务平台安全解决方案，主要是通过USB KEY或安全TF卡配合移动警务安全接入平台，实现用户身份认证、数据加密、专用网络通道等多重手段保障移动通信的安全，但对于移动警务终端设备 移动警务终端设备：本方案中所提到的所有移动警务终端设备均基于Android系统开发，方

4、案下文不再另行通知的使用管理仍然存在缺陷，根据公安部下发的移动警务安全管理规定要求，移动警务终端设备必须专机专用，且不允许借给他人使用，但目前安全接入平台不具备对于移动警务终端的管理功能。1.2建设目标通过本项目将各地移动警务业务应用系统通过专线进行区域互联，以实现各地业务应用系统资源共享。同时开发全省统一安全管理平台，实现各地移动警务业务集中管理、终端接入安全管理、终端统一策略下发，全省移动警务应用统一接入客户端等安全管理功能。1.3总体要求l 安全性：严格依照移动警务B/S应用安全接入规范和公安信息移动接入应用系统建设技术指导书要求进行移动警务应用系统及安全平台升级建设。l 可靠性：本系统

5、的应用更关系到各地已建移动警务系统是否能够正常使用，必须能保证24小时不间断正常运行。l 实用性：应用系统设计开发应尽量考虑一线民警户外工作的实际情况，客户端软件设计应尽可能简化用户操作，终端信息收集、安全策略下发通过后台进行，尽量不需要通过用户进行操作；安全平台软件设计应尽可能让民警在操作不受影响的情况下对用户行为进行监督和管理。l 经济型：在满足本方案各种要求的前提下，尽可能保留原系统的各种投入，特别是安全设备应最大程度地与原有设备兼容配合使用。l 无缝接入：本平台设计中涉及的安全技术与产品均遵循无缝接入原则，系统设计上要求不改变已建的移动警务部署网络结构和系统配置。1.4建设标准和依据

6、l 移动警务B/S应用安全接入规范l 公安信息公网移动接入及应用系统建设技术指导书l 公安无线接入系统安全管理暂行办法l 公安信息移动接入及应用系统建设技术指导书管理暂行规定l 移动警务安全管理规定l 公安信息通信网边界接入平台安全规范（试行）l 关于进一步加强公安信息通信网日常安全管理工作机制建设的通知l 关于公安信息通信网边界接入平台集中管理系统升级有关工作的通知1.5技术要求针对目前存在的问题，对全省各地市移动警务终端接入公安网的请求进行统一的入网请求控制管理和应用管理，通过统一客户端统一所有移动警务终端设备的入网请求，后台系统统一审核、管理全省统一应用、特色应用并自动推送至前端移动警务

7、终端设备上。该平台是以安全策略为驱动，以统一平台的方式将接入公安内网的移动警务设备进行统一监控、配置和管理，按照PDR安全模型的“保护-检测-响应”工作流程循环检测，采用多种安全技术实现了对内网全方位、多层次的安全防护。按照“保护-检测-响应”的工作流程逐步完善终端安全防护策略，确定系统安全、有效的一系列信息及相互逻辑关系，并进行相关知识库的管理。本平台的使用，可以提高信息网络的安全管理水平，极大地增强网络安全整体防范和预警能力，使信息系统更好地位社会服务。1.6建设内容本项目为系统集成项目。l 软件：统一客户端（移动警务终端设备）：统一客户端均安装在前端移动警务终端设备上，统一管理网络接入，

8、按指定策略安装应用等。移动警务安全管理平台（应用服务器）：统一检测移动警务终端设备运行状况，制定应用策略、依据制定的策略下发应用等。l 硬件：省厅应用服务器（外网）省级应用服务器（内网）省级管理平台服务器省级缓存服务器省级数据库服务器第二章 系统设计2.1系统拓扑结构设计2.1.1拓扑结构图移动警务安全管理平台的拓扑结构如下图2.1所示。图2.1 拓扑结构图在公安外网，由各地市的VPN身份认证服务器和地市警务通前置服务器、省级应用服务器组成，负责警员身份认证、地级市特色应用下发、地级市特色请求外网处理等功能。业务流程简介：1. 各地市移动警务终端利用网络运营商的专用APN接入点接入VPN网络；

9、2. 统一客户端开机启动则自动连接省厅应用服务器认证终端设备，只有终端设备自带的TF卡证书编号、SIM卡IMSI编号、手机串号IMEI、警员身份通过应用服务器认证成功后才能正常登入移动警务终端设备的统一客户端。3. 通过身份认证后，关于各地级市的特色应用相关交互信息请求发送至各地市移动警务应用前置服务器，统一客户端的交互信息请求发送至省级应用服务器；4. 请求信息通过各地移动警务平台的边界网关的代理后，到达各地市应用服务器，由地市应用服务器统一响应处理。2.1.2系统设计要点1. 身份认证机制移动警务终端接入平台时需遵循严格的身份验证机制，终端在每次接入平台需要警员身份认证（包括警员编号、密码

10、），警员身份认证通过后终端会自动跟后台系统匹配终端设备的TF卡证书编号、SIM卡IMSI编号、手机串号IMEI，只有三号匹配成功，即三号均为后台系统授权的终端设备才能正常启动登入界面。 2. PDR安全策略PDR即Protection（保护）、Detection（检测）、Response（响应），是入侵检测的一种模型，具有体系完整，功能清晰的特点。（1） 保护l 安全规则的制定：在安全策略规则的基础上再做细则；l 系统安全的配置：针对现有的网络环境的系统配置，安装各种必要的补丁，提高安全策略级别；l 安全措施的采用：安装防毒软件、防火墙（软/硬）。（2）检测采取各式各样的安全防护措施并不意味着

11、网络系统的安全性就得到了100的保障，网络状况是变化无常的，面临这样的问题更多的是要采取有效的手段对网络进行实时监控。l 异常临视：系统发生不正常情况。如：服务停止，无法正常登陆，服务状态不稳定等；l 模式发现：对已知攻击的模式进行发现。（3）响应在发现了攻击企图或者攻击之后，需要系统及时地进行反应：l 报告：无论系统的自动化程度多高，都需要管理员知道是否有入侵事件发生；l 记录：必须将所有的情况记录下来，包括入侵的各个细节以及系统的反映；l 反应：进行相应的处理以阻止进一步的入侵；l 恢复：清除入侵造成的影响，使系统正常运行。响应所包含的报告与取证等非技术因素删除，实际上的响应就意味着进一步

12、防护。3. 事件数据库加密保护机制移动警务终端安全管理平台采用PKI机制进一步确保系统安全性。平台采用数字签名的加密技术PKI机制保护系统的主要执行文件、数据文件、配置文件、日志文件。平台通过建立严格的日志记录机制，记录系统启动与关闭情况和系统工作情况，实现对系统的配置文件、临时文件、工作数据文件、日志文件的加密处理，增强系统的安全性。2.2系统流程图2.2 系统流程l 移动终端启动统一客户端，统一客户端会通过三所提供的VPN拨号SDK（首次拨号需要APN设置）， 统一客户端会把该SDK集成进来，实现公安网统一客户端内部拨号；l 拨号成功的话，统一客户端会弹出警员登入对话框，要求输入警员编号、

13、密码；l 如果统一客户端的VPN拨号不成功，则无法正常启动统一客户端；l 如果警员输入正确的警员编号及密码，则统一客户端会根据警员编号自动到后台系统匹配当前终端设备的TF卡证书编号、SIM卡IMSI编号、手机串号IMEI（三码）；l 如果警员首次登入统一客户端，则系统在判断警员编号首次登入时，会自动记录下该警员的三码、保存在省级应用服务器上；l 如果警员编号非首次登陆，系统在匹配完警员编号后会自动匹配终端设备三码信息，如果三码不匹配，则无法正常启动统一客户端；l 如果三码匹配成功，则完成了统一客户端的认证过程，登入统一客户端系统界面；l 省级应用服务器将根据制定的下发策略、对相应的请求终端设备

14、依据警员权限配置相应的应用，如：外设管理、互联网禁用、WiFi禁用、警务统一应用、数据推送、定位、首启动抓拍、应用商城等；l 各地级市的终端可以依据权限访问相应的特色应用；l 特色应用通过各地级市TBSG接入各地级市的应用服务器，完成应用的数据交互。2.3系统层次结构图图2.4系统层次结构图l 前置服务层：各地市有自己的前置服务层，每个前置服务层的接口、标准可能各不相同，但是功能都是主要用于逻辑层业务，实现终端页面展现处理结果；l 移动警务安全管理平台：各地市各厂家部署移动警务应用之前，必须使用统一客户端，经过在管理平台注册、审核通过后方可使用。移动警务安全管理平台需要统一VPN 拨号服务为支

15、撑，以实现安全管理、运行管理、统一终端界面和系统管理等功能，最终达到统一综合管理移动警务应用的目标；l 省级应用服务层：省级应用服务层针对各地级市终端设备发送过来的VPN登入请求做统一认证处理，检测终端设备的用户认证、三码认证，按照严格的认证机制响应用户请求认证；l 应用服务层：应用服务器主要用于数据处理与分析；l 数据层：主要包括了应用数据库、设备数据库、注册信息数据库以及备份数据库。其中应用数据库用于对系统中各种安全性的一系列数据信息的存储管理；设备数据库用于存储系统中所涉及的所有设备数据；注册信息数据库用于存储用户信息以及用户注册等相关信息；备份数据库用来防止发生故障或者其他异常事件时备

16、份数据层里面的各种数据信息。第三章 系统功能移动警务安全管理平台功能主要包括用户管理、终端管理、统一客户端、系统运行管理及数据统计分析。用户管理包括准入管理、权限管理和操作日记等，通过注册管理、用户身份认证、终端接入认证实现安全性管理；终端管理包括策略检测、应用审核以及信息自动推送等功能，实现对不同厂商移动警务终端管理；整合所有现有客户端，通过权限划分，参数设置、一键拨号以及设备管理，实现统一的客户端。移动警务安全管理平台可对用户注册申请、业务操作请求进行审核与控制，实时监控各地市移动警务的使用情况并进行数据统计分析，支持不同形式图表的展示与数据导出。系统功能结构图： 图3.1 系统功能结构3

17、.1移动警务安全管理平台l PGIS实时更新终端设备定位信息：确定当前移动终端设备在PGIS地图上的具体经纬度信息。l 制定终端设备策略：后台系统根据警员权限等级制定相应的应用策略，并实现统一下发策略到各地级市前端移动警务终端。l 权限管理：对警员查询数据的范围、数据的录入、修改、删除等权限进行控制，做到每个警员只能查询到自己职责范围内允许查看到的信息数据。l 信息推送：实现后台系统实时对前端警务终端设备推送信息。3.1.1用户管理3.1.1.1准入管理本系统采用了PKI技术，支持可公开验证并无法仿冒的数字签名，从而在支持可追究的服务上具有不可替代的优势。这种可追究的服务也为原发数据完整性提供

18、了更高级别的担保，增加系统的安全管理。因此进入系统需要验证信息包含警员编号和密码、终端设备的TF卡证书编号、SIM卡IMSI编号、手机串号IMEI。这些信息填写需要时间较多，可以设置绑定这些信息的一键功能外加身份证确认，减少用户确认时间。准入管理包括了注册管理、警员身份认证管理和移动警务终端接入认证管理。l 注册管理各地级市的移动警务终端在对公安内网服务平台进行信息发布、信息查询反馈等服务请求时，都需在移动警务安全管理平台进行申请注册。注册申请信息包括警员编号、警员相关信息（单位、联系方式等）、终端设备的TF卡证书编号、SIM卡IMSI编号、手机串号IMEI以及有关业务系统的一些属性信息，除了

19、警员编号和部分业务系统的属性信息需要手动填写以外，其他的信息都由系统自动获取。只有注册成功的认证警员，才能通过身份认证证书进行下一步的功能操作。服务管理平台可以对注册申请的业务系统的信息进行新增、修改、查询和删除等功能。平台支持分级审核制度，可由各地市管理员审核各自地市的注册申请l 用户身份认证管理已注册成功的警员，通过注册的警员认证证书和终端设备信息，即可登录移动警务安全管理平台统一客户端。若系统验证通过，则可进入进行下一步的功能操作。l 终端接入认证管理由于该平台业务操作涉及到机密数据，需要实行严格的终端接入验证，只有指定的硬件终端设备，才能通过注册成功的警员编号和密码登陆该平台进行移动执

20、法工作。3.1.1.2权限管理平台对移动警务终端警员的权限进行统一管理，对警员在统一客户端上使用警务通用应用进行权限控制，对警员访问的接口进行权限控制。做到每个警员只能操作自己职责范围内允许操作的数据。同时，在平台上，也对登陆用户进行权限控制，省厅管理员统一审核所有应用，对统计分析等数据的查看也进行权限控制。1、管理平台用户权限可配置：新应用审核，消息推送，统计数据查看，操作日志，设备管理等平台功能都进行统一管理，不同用户登陆平台，有不同的平台功能。2、警员可安装的通用应用可配置：应用商城中的警务通用应用，依据警员配置权限，具备权限的才能访问应用商城中相应的应用。3、接口访问可配置：对警员安装

21、的应用访问的接口（如全国八大库、六合一接口等）也进行管理，也就是说，对于一个完整的应用，警员要同时拥有安装该应用的权限和访问该应用接口的权限，才能正常的使用这个应用。4、客户端功能可配置：开机首启动，默认启用；启动抓拍，默认启用；定位，默认不启用；一键拨号，默认启用；联网状态实时监控，默认启用；3.1.1.3操作日志系统记录警员访问过系统的业务或者内网地址，生成操作日志并存档。平台通过建立严格的日志记录机制，记录系统启动与关闭情况和系统工作情况，实现对系统的配置文件、临时文件、工作数据文件、日志文件的加密处理，增强系统的安全性。通过该功能可以设置平台操作的相关参数，包括基础数据、服务器IP、警

22、员数等，并能对系统日志进行管理。警员登录系统后进行的日常操作、非法操作以及系统出现的异常问题会记录在数据库中。通过查看系统后台日志，可以查询到设备终端接入内网数据库的时间。3.1.2业务注册与管理3.1.3终端管理3.1.3.1策略管理省厅可对地级市不同的移动警务终端用户安装何种应用、外设管理、互联网禁用、WiFi禁用、警务统一应用、数据推送、定位、首启动抓拍、应用商城进行规定，本系统支持省级应用服务器审核前端终端设备是否按照策略使用警务终端。3.1.3.2应用审核省厅需要专门的审核人员针对第三方提交的APK应用进行统一审核，审核的条件包含：检测应用是否有警员认证、VPN拨号、应用必须注册到统

23、一客户端由统一客户端启动应用等。3.1.3.3信息自动推送系统可以实现对相关的警务通知信息、群发信息、紧急信息的统一自动推送至各地级市移动警务终端中，便于第一时间统一通知以及发布警务信息。3.1.4数据统计分析3.1.4.1警务终端系统使用数量统计统计各地市移动警务终端在用数量及日常使用情况，并支持不同形式图表的展示与数据导出。3.1.4.2警务终端系统业务请求统计统计各地市移动警务终端业务请求情况，主要包括信息录入、信息查询等不同操作情况。3.2统一客户端3.2.1开机首启动Android系统启动后，系统会发出“Android.Intent.Action.BOOT_COMPLETED”广播，

24、统一客户端通过接收这个广播，并把优先级设置为最高，即可实现开机首启动，并且比其他程序先收到这个广播消息。客户端软件启动后，屏蔽操作系统桌面，使用只能使用统一客户端提供的桌面进行操作，避免警员直接进入移动警务终端操作系统桌面，进行其他非公安业务的操作。3.2.2启动抓拍登入统一客户端时，系统会自动判断移动警务终端是否带内置前置摄像设备，具备前置摄像功能的移动警务终端则自动启动摄像头对启动统一客户端的警员抓拍，并连同登入日志上传至服务器备份。3.2.3定位统一客户端提供了两种定位机制：GPS定位：GPS定位功能前提是警务终端设备具备内置GPS设备或者外置GPS设备方可使用该GPS定位功能，可通过平

25、台软件实时查看终端设备具体方位，并在平台PGIS地图上实时展现出来。基站定位：需要运营商的支持，警务终端设备随机SIM卡结合运营商基站定位实现定位功能。3.2.3.1基站定位基站定位方式有多种不同的定位技术包括Cell-Id、AOA、TOA、DTOA、AFLT、E-OTD、ODTOA等。其中Cell-Id定位技术（也称COO小区定位技术）应用最广，且对终端和网络几乎没有要求，实现起来简单容易，国内三大运营商均支持此种方式，故基站定位采用Cell-Id定位技术。另外电信运营商除了提供Cell-Id方式外还提供精度更高的AFLT定位方式。3.2.3.2GPS定位GPS定位是目前定位精确、应用最为广

26、泛的定位技术，但是使用GPS定位存在三个问题：一是硬件初始化（首次搜索卫星）时间较长，需要几分钟至十几分钟；二是GPS卫星信号穿透力弱，容易受到建筑物、树木等的阻挡而影响定位精度；三是终端设备开启GPS设备接收位置信息会加快消耗终端电量。3.2.4参数设置通过该功能可以设置用户的接入点等参数，设置移动警务终端设备上网的一系列参数，可以导入默认的上网参数等。3.2.5一键拨号由于终端设备接入公安内网需经过专用网络通道拨号，再经过VPN身份认证、TBSG网关认证、终端安全管理平台服务器认证等各道关卡，操作步骤繁琐，导致警员体验较差。同时，整个接入内网过程中，所涉及的厂商、硬件设备等各种因素复杂，不

27、利于问题排除。因此，实现一键拨号功能，既能更进一步保障安全，又能够极大的减少移动警务终端设备操作麻烦。图3.3 VPN拨号流程图1：警务终端设备开机，自动启动统一客户端后台服务；2：警务终端设备启动统一客户端应用界面，输入警员编号及密码；3：警员输入警员编号及密码，点击登入统一客户端，终端设备开始VPN拨号流程；4：根据APN设置，开启专网拨号，如果拨号失败则统一客户端启动失败；5：如果拨号成功，初始化完成，程序加载网卡，加载失败则统一客户端启动失败；6：网卡加载成功，统一客户端自动读取配置文件，获取IP地址和端口信息，获取配置如果失败则统一客户端启动失败；7：统一客户端把数字证书发送到VPN

28、认证服务器认证，认证不通过则统一客户端启动失败；8：数字证书合法，建立加密通道，此时拨号尚未成功，进入移动警务终端设备信息认证，并开始计时；9：把警员编号密码、警务终端设备TF卡编号、警务终端设备SIM卡IMSI编号、警务终端手机串号IMEI发送到应用服务器器认证，认证不通过则统一客户端启动失败；10：认证成功，计时时间小于设置的延时时间，则系统认为拨号成功、认证通过，如果认证失败或者超过延时时间，则系统断开VPN拨号，拨号失败。3.2.6联网实时监测为了保障警员在使用移动警务终端设备过程中，均能够在终端安全管理平台的监管之下，系统需实时检测其联网状态。若非正常情况下断开联网，则系统自动重拨。

29、同时，系统将在服务器端完成联网日志记录管理。3.2.6.1联网状态检测系统从两个方面来保证终端不会连接到外网：l 心跳机制：通过客户端与公安内网的服务器端定时进行信息交互的方式实时检测，即当信息交互连续失败三次时，系统则将其认定为非公安网连接状态。l 实时侦测：监听Android系统的网络改变，一旦接收到网络改变通知，且改变后的网络不是公安网，则自动关闭当前网络，并切换到公安网3.2.6.2自动重拨在用户未做断开网络连接操作的情况下，设备由于3G信号较弱等其他原因，被检测为处于断网状态。此时，系统将根据参数设置自动重新拨号。3.2.6.3联网日志服务器端根据联网状态检测中，统一客户端与后台应用

30、服务器之间的交互响应情况，获取该设备的上线时间、下线时间等信息，并将该信息与终端设备的证书编号绑定，作为一条完整的日志信息记录保存至数据库中。3.2.7应用商城图3.4 应用商城结构模式1.终端设备初始状态主要包含了统一业务、认证管理、外设管理、网络管理、应用管理、定位管理、开机首启动、启动拍照等功能应用；2.省厅应用管理服务器包含了旧的APK应用统一升级改造，以及遵照新制定的协议开发新的应用；3.移动警务终端由统一客户端访问省厅应用管理服务器，可按警务通用、本地特色应用、应用更新等形式依据用户认证信息不同获取相应应用。图3.5应用商城注册流程l 第三方应用开发商需要依据统一规范对现有程序改造

31、，对新开发的应用也必须严格遵照统一规范开发；l 开发或改造好的应用APK需要管理人员对此审核并发布到应用商城，审核包括用户认证审核、VPN拨号审核、应用必须注册到统一客户端由统一客户端启动应用；l 审核通过的应用通过省级边界网关，依据下发策略将应用下发到各移动警务终端设备上。3.2.8设备管理l 设备统计通过该功能可以对移动警务设备进行登记备案、设备管理等功能，详细记录在用移动警务终端设备的使用情况等。l 蓝牙打印机、二代身份证阅读器等设备参数设置功能通过该功能可以进行蓝牙打印机、二代身份证阅读器参数设置功能，参数初始化功能，实现对打印机、阅读器等设备管理功能。l WiFi、文件传输通过该功能

32、可以关闭WiFi、禁止文件传输、禁止互联网访问权限等，加强终端设备对信息的保密。第四章 与现有系统对接要求4.1对接要求依据系统安全性需要，本对接方案以警务终端所有应用均需要由统一客户端启动的原则，需要对第三方提交的所有移动警务终端应用APK做统一审核及启动接口改造，以此提出以下两点对接要求：对接要求一：为移动警务终端所有应用提供一个统一登录认证的入口，避免前端移动警务终端访问多个应用时重复登录。对接要求二：避免Android系统存在绕开统一客户端直接进入应用的接口，删除系统快捷方式，所有应用均注册到统一客户端，由统一客户端统一启动应用。第五章 系统性能指标表5.1 系统性能指标项目指标安全保

33、障措施身份认证、证书绑定权限控制原则注册认证才可进入系统故障恢复时间5小时内负荷性能负荷时不出现明显性能下降接口XML标准协议系统工作温度无加热、散热装置时，-10+60系统工作湿度95+40，无凝结第六章 主要设备清单及配置6.1应用服务器参考某一市警员4000人，一天按24小时、8小时一班计算，按照1500人同时使用率30%、使用中并发请求未返回15%计算，并发请求数65-70；参考应用系统使用2倍峰值，最大并发请求数130-140；全省9地市所有警员应用4万人范围，并发请求数650-700左右；参考应用系统使用2倍峰值，最大并发请求数1300-1400；通过Web负载均衡方式，并采用轮询

34、云计算扩展，在一地市部署，可以使用2台PC服务器完成应用系统WebService构建,并支持未来32台服务器负载均衡。6.2数据库服务器参考应用系统警员一地市、全省上线考虑，采用国际顶级数据库软件提供商甲骨文公司Oracle 11G R2企业版、并部署到Linux Redhat企业版，在保证365*24小时不间断工作情况下，也为未来数据库动态负载均衡扩展进行前驱性考虑。在1300-1400并发请求下，保持数据库服务器CPU 50%低水位，以便对2倍峰值的请求进行预先性预留。6.3配置列表名称终端数/数量说明认证服务器40,000终端/2台支持负载数据库服务器40,000终端/1台支持负载缓存服

35、务器40,000终端/1台支持负载应用服务器（内）40,000终端/5台应用服务器的个数需要根据应用系统的个数作相应调整应用服务器（外）40,000终端/2台应用服务器的个数需要根据认证警务终端设备数量作相应调整6.4认证服务器、应用服务器、负载均衡服务器参考配置配置类型配置参数说明服务器E5645*2 16GB内存 300G*1SAS硬盘 RAID5 DVD 675W单电源Windows Server 2008 R2X64Internet 信息服务管理器 7.5X64.Net Framewrok 4.0X64Diskeeper 2011 EntX64Oracle WebLogic 12cX6

36、4Apache Tomcat 7.0.26X64Oracle Java JDK 7X64Oracle Java J2EE 6X646.5数据库服务器参考配置配置类型配置参数说明服务器E7-4807*4 64GB内存 600GB*2SAS硬盘 RAID5 DVD 1975W双电源Linux RedHat 5.6企业版X64Oracle 11G R2企业版X64Oracle Golden Gate【参考】X64Oracle Java JDK 1.6X64Oracle Java J2EE 6X646.6缓存服务器参考配置配置类型配置参数说明服务器E5645*2 64GB内存 300G*1SAS硬盘 RAID5 DVD 675W单电源Oracle Java JDK 7X64Oracle Java J2EE 6X64Libevent 2.0X64Memcached 1.4X64F5 BIG-IP 【参考】独立硬件