NECC-NHJC-05-2015

重点用能单位能耗在线监测系统

省级节点机房与硬件配置规范

（修订稿）

国家节能中心

2015年4 月修订 

前  言

为贯彻落实国务院《“十二五”节能减排规划》（国发[2012]40号）和《2014-2015年节能减排低碳发展行动方案》（国办发[2014]23号）的有关要求，指导重点用能单位能耗在线监测系统建设，国家节能中心组织制定了重点用能单位能耗在线监测总体架构规范、基础数据定义规范、国家节点与省级节点通信规范、能耗监测端设备与系统平台通信规范、省级节点机房与硬件配置规范、能耗监测端设备功能规范、能源品种数据采集规范、系统安全规范等8项技术规范，以及部分行业能耗在线监测数据采集技术指南。本规范主要用于指导重点用能单位能耗在线监测系统省级数据中心建设工作，规范省级节点电子信息系统硬件的建设标准，确保电子信息系统设备安全、可靠地运行，做到技术先进、经济合理、安全适用、节能环保。

国家节能中心根据重点用能单位能耗在线监测系统试点建设情况，组织对2014年8月发布的《重点用能单位能耗在线监测省级节点机房与硬件配置规范（试行）》进行了修订，形成了本指南。本指南自2015年5月1日起实施。

本指南主要起草单位：国家节能中心、中国电子工程设计院。参加起草单位：煤炭工业太原设计研究院。

 

目  录

1适用范围2

2规范性引用文件2

3机房建设要求2

4服务器配置要求3

5存储配置要求3

6网络配置要求3

6.1  DMZ 区-接入交换机4

6.2核心业务区-核心交换机4

6.3核心业务区-接入交换机4

7安全设备配置要求5

7.1防火墙5

7.2堡垒主机5

7.3网络安全审计系统5

7.4漏洞扫描6

7.5入侵检测系统（IDS）6

7.6身份认证网关6

7.7  WEB 防火墙（WAF ）设备7

7.8  SSL VPN 网关7

 

重点用能单位能耗在线监测系统

省级节点机房与硬件配置规范

1适用范围

本规范规定了省级数据中心服务器、存储、网络硬件的配置标准及性能参数等几方面内容，适用于重点用能单位能耗在线监测系统中省级数据中心机房电子信息系统服务器、存储、网络硬件建设。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本适用于本文件：

GB 50174        电子信息系统机房设计规范 

GB/T 2887       电子计算机场地通用规范

GB 9361         电子计算站场地安全要求 

GB 6650         电子计算机机房用活动地板技术条件

SJ/T 30003       电子计算机机房施工及验收规范

GB 50052        供配电系统设计规范

GB 50054        低压配电设计规范

GB 14050        系统接地的形式及安全技术要求

JGJ/T 16         民用建筑电气设计规范

GB 50311        综合布线系统工程设计规范

YD/T 1099       以太网交换机技术要求

3机房建设要求

省级节点机房建设应满足等保二级要求，参照《电子信息系统机房设计规范》(GB50174-2008)及相关规范及标准建设。

机房电气、环境、空调、消防、安防等配套设施参照B级机房要求建设。

机房关键设备按冗余要求配置，在设备冗余能力范围内，不会因为设备故障和维护需要，而导致数据中心信息系统运行中断。机房基本参数列举如下：

1)供配电系统：N+1；

2)机房环境温度：18~27℃（冷通道）；

3)机房湿度：35%~60%；

4)空调制冷系统：N+1；

5)接地：采用联合接地系统，接地电阻<1Ω；

6)安保系统：设置视频监控及出入口控制系统；

7)机房设洁净气体灭火系统；

8)零地电压小于2V。

4服务器配置要求

1)服务器应选用当前国际上先进的、主流的机型，要具有较高的性能价格比，同时系统必须符合标准化，开放式系统互连的原则，易于开发维护，还要具有较强的网络通信和数据库管理功能和较强的扩充能力，建议选用国产服务器；

2)服务器支持SMP 对称多处理方式和Cluster方式；

3)服务器的设计必须确保其高效、可靠及安全性(如带 ECC 校验，对数据的奇偶校验，热切换等)，同时又能大大简化维护工作；

4)服务器要具有良好的性能，具有较高的TPS值；

5)服务器在设计上最好采用模块化及通用件设计，易于扩充，以胜任网络及应用的扩展；

6)服务器厂商具有良好的售后服务和技术支持；

7)虚拟化宿主机每台服务器内存应不低于128G，CPU不低于2颗，每颗CPU不少于6核。

5存储配置要求

1)存储阵列控制器，需配置RISC架构双活控制器，需具有独立的RAID校验芯片；

2)前端主机接口，配置≥8个8Gb/s FC端口，支持扩展≥4个1Gb的iSCSI端口； 

3)磁盘列阵配置容量应满足监测数据需求及未来10年内的扩展性要求。

4)磁盘扩展能力，最大可扩展磁盘数量 ≥110块；

5)RAID级别支持，支持RAID 0/ 1/ 1+0/ 3/ 5/ 6； 

6)支持磁盘类型，支持SAS，NL_SAS 及SSD（固态硬盘）等类型；

7)需配置后备锂电池，支持BBU、flash、控制器缓存镜像等三重数据保护；

8)需支持后台介质扫描、RAID级别在线迁移、LUN在线扩容，需支持卷快照、卷复制、卷远程镜像功能，需支持自动精简功能；

9)需配置相应数量的路径冗余软件，并支持I/O通道故障切换和链路负载均衡（Windows/Linux）；

10)需配置冗余电源,风扇；

11)需支持 Windows、Linux、UNIX等操作系统。

6网络配置要求

交换机、防火墙不宜为同一品牌。所有需要的设备均应从设备性能、可靠性、协议、安全性、服务质量、易管理性、可扩展性等方面考虑。

6.1DMZ 区-接入交换机

1)支持堆叠的三层交换机，全部端口支持千兆，支持 10GE 扩展模块；

2)整机 10/100/1000M 电接口≥48，10GE光纤接口≥2；

3)单台支持可扩展插槽≥ 1 个，扩展模块支持在线热拔插；

4)交换容量不低于 160Gbps；

5)转发性能不低于 120Mpps，要求实现端口全线速交换转发；

6)MAC 地址表不低于 32K，支持 MAC 地址自动学习和老化；

7)支持 4K 个 VLAN，支持基于 MAC/协议/IP 子网/策略/端口的 VLAN；

8)支持静态路由、RIP V1/2、OSPF、IS-IS、BGP；

9)双电源，可插拔，交流供电；

10)端口配置：48 个10/100/1000BASE-T端口。 

6.2核心业务区-核心交换机

1)要求为框式交换机，业务插槽不少于 3 个；

2)交换容量不低于 540Gbps；

3)转发性能不低于 360Mpps，要求实现端口全线速交换转发；

4)支持 VLAN 交换，支持 QinQ、增强型灵活QinQ；

5)支持 MAC 地址自动学习和老化；

6)支持 RIP、OSPF、ISIS、BGP等 Ipv4 动态路由协议；

7)支持 RIPng、OSPFv3、ISISv6、BGP4+等Ipv6动态路由协议；

8)支持组播、MPLS、QoS功能；

9)一体化总装机箱,双主控板,双交流电源；

10)端口配置：48 个GE 电口。

6.3核心业务区-接入交换机

1)支持堆叠的三层交换机，全部端口支持千兆，支持 10GE 扩展模块整机；

2)10/100/1000M 电接口≥48，10GE光纤接口≥2；

3)单台支持可扩展插槽≥ 1个，扩展模块支持在线热拔插交换容量不低于 160Gbps 转发性能不低于120Mpps，要求实现端口全线速交换转发 MAC 地址表不低于 32K；

4)支持MAC地址自动学习和老化；

5)支持 4K个VLAN；

6)支持基于 MAC/协议/IP子网/策略/端口的 VLAN支持静态路由、RIP V1/2、OSPF、IS-IS、BGP 双电源，可插拔，交流供电；

7)端口配置：48个 10/100/1000BASE-T 端口。 

7安全设备配置要求

    不同种类安全设备不宜采用同一厂家产品。

7.1防火墙

1)百兆防火墙，采用专用设计的硬件平台，支持冗余电源；

2)每秒新建会话能力不少于 35k；

3)最大并发连接数不少于 30 万；

4)最大吞吐量不低于 4G；

5)最大 IPS 吞吐量不少于 1G；

6)最大访问控制策略不少于 20000条；

7)具有访问控制，IPS 防护，应用层攻击保护功能；

8） 支持远程管理，维护。

8)要求设备配置 6 个千兆电接口；

9)配置内存>=2GB。

7.2堡垒主机

1)含单交流电源，2*USB 接口，1*RJ45 串口，1*GE 管理口，4*GE电口，不小于2T SATA 硬盘。缺省授权管理 100 台设备；

2)支持证书、口令、短信、动态字符等多种认证方式，可基于角色和安全等级的动态授权；

3)支持虚拟网关和虚拟防火墙；

4)可支持不少于500 个并发用户。

7.3网络安全审计系统

1)含交流冗余电源，模标准配置提供一路监听，支持对未注册的用户终端实施自动阻断网络的功能；

2)支持对用户的进程审计、服务审计、主机资源审计、主机端口审计、主机账号审计、主机文件操作审计；

3)支持客户端媒体介质控制，并进行日志记录与审计；

4)支持客户端 IP 与MAC 绑定控制管理；

5)支持吞吐量≥1.0Gbps；

6)并发会话数≥80 万；

7)并发用户数≥2000；

8)设备接口≥4 个千兆电口；

9)磁盘容量不小于 500G。

7.4漏洞扫描

1)含交流单电源，1*RJ45串口，1*GE管理口，4个 10M/100M/1000M 自适应以太网电口扫描口，标准配置提供 1 路授权扫描端口，IP 点授权，授权可扫描总数量不多于 512 个无限制范围的 IP 地址或域名，支持能对扫描目标的安全脆弱性进行全面检查，检查内容包括缺少的安全补丁、暴露的危害信息、不安全的服务配置等；

2)漏洞库的数量应不低于2000 条，支持国际 CVE标准；应支持对主流数据库包括：Sybase、SQLServer、Oracle、MySql、DB2 等的扫描检测功能；

3)支持的最大并发扫描 IP 应不少于 30 个，单个IP的最大并发扫描线程应不少于30个，单个IP 的平均扫描时间不大于 30 秒，扫描 IP 数量 500 以上。

7.5入侵检测系统（IDS）

1)百兆入侵检测系统，>4个 10/100M以太网口，1个异步控制口；

2)含交流冗余电源模块，2*USB 接口，1*RJ45 串口，2*GE 管理口；

3)漏洞特征库能够自动或者手动升级；

4)IPS 防护对像包括了防护服务器和防护客户端两种，防护的类型包括了蠕虫、木马、后门、DoS、DDoS 攻击探测、扫描、间谍软件、利用漏洞的攻击、缓冲区溢出攻击、协议异常、 IPS逃逸攻击等；IPS 能够对应用服务器信息进行隐藏，并且能够对服务器进行扫描，从而评估服务器对漏洞的防护能力。 

7.6身份认证网关

1)最大并发连接数400；

2)最大新建连接数60 次/秒；每秒完成交易数(TPS)1000次/秒；

3)最大流量不小于50Mbps；

4)系统可以设置是否需要用户提交用户证书；

5)系统可以自动、动态更新黑名单，不需要重新启动服务，支持LDAP、HTTP 等多种方式更新，支持B64、DER 等多种格式；

6)系统可以拥有多个站点证书，不同的服务可以拥有不同的站点证书；

7)一个 SSL 服务中可同时配置多条证书链，验证不同 CA 的用户证书；

8)支持格尔、CFCA、SHECA 及多数省级 CA 中心数字证书；

9)系统可以将用户证书信息包括扩展项信息传送给应用系统；

10)支持B/S 应用；支持FTP、telnet、远程桌面以及通用的C/S 应用，系统可以创建多个 SSL 服务，保护不同的应用服务，也可以采用同一个SSL 服务保护多个应用服务（需客户端）；

11)系统将真正应用服务的地址隐藏，用户仅知道网关地址；

12)在有防火墙NAT 映射的情况下正常访问有重定向的网站；

13)不少于4*GE 电口。

7.7WEB 防火墙（WAF ）设备

1)标准配置含 SQL 注入/XSS 防护、WEB 常规攻击防护、扫描防护、Cookie安全防护、URL ACL、CSRF 防护、HTTP 协议防护、ARP 欺骗防护、非法下载防护、非法上传防护、Web内容安全防护、网页盗链、爬虫防护等功能。

2)提供网页篡改防护以及服务器侧恶意代码过滤功能。

3)含交流单电源，1*RS232 串口，1*FE 管理口，4*100/1000M  自适应电口（Bypass）标准配置提供 1 路电口WAF 防护，支持BYPASS。

7.8SSL VPN 网关

1)SSL/IPSec 一体化设备，支持第三方数字证书认证，支持硬件加速，能够同时运行SSL 和IPSec 两种VPN 业务，提供C\S 应用支持；

2)支持SSL VPN加密速度≥200Mbps；

3)SSL VPN 并发用户数≥800；

4)SSL VPN 每秒新建用户数≥90；

5)IPSec VPN 加密速度≥280Mbps；

6)IPSec VPN 隧道数≥4000；

7)IPSec VPN 并发客户端数≥4000；

8)支持虚拟化远程应用发布

9)支持单点登录功能（SSO）；

10)网络接口≥4 个千兆电口。 

7.9数据库安全审计系统(建议）

1)电源硬件冗余，配置双交流电源；

2)性能指标，检测能力≥1000Mbps；

3)最大并发TCP连接数≥100万；

4)每秒新增TCP并发连接数≥30万；

5)支持对不少于2000在线用户进行审计；

6)端口配置≥4个10/100/1000M电口； 

7)≥4个千兆光口（SFP）；

8)系统要求，模块化设计，具有良好的可扩展性；

9)旁路方式或透明方式接入网络；

10)审计引擎支持不同的操作系统类型（Windows、Linux、Unix等）；

11)支持同时审计多种数据库及跨多种数据库平台操作; 支持审计ORALCE、SQL SERVER、MY SQL、DB2、Sybase、Postpresql等各类主流数据库系；

12)系统应支持基于IP地址、时间、用户/用户组、数据库用户名、数据库类型、数据库表名、字段名、关键字等组合数据库审计策略；

13)应支持实时审计用户对数据库系统所有操作，如：登录、注销、插入、删除、执行存储过程、用户自定义操作等，支持分析、提取SQL语句中绑定变量，并可完全监测还原SQL操作语句包括源IP地址、目的IP地址、访问时间、MAC地址、数据库用户名、客户端类型、数据库操作类型、数据库表名、字段名等；

14)支持对邮件系统的审计，支持SMTP、POP3、WEBMAIL等协议，支持基于邮箱地址、邮件主题、邮件内容、附件名的关键字审计功能；

15)日志管理，支持按时间、级别、源\目的IP、源\目的MAC、协议名、源\目的端口为条件进行查询；

16)支持日志自动备份；

17)支持日志归并；

18)具备分级管理功能，满足分级管理的要求；

19)支持对审计数据的多种查询方式；

20)提供多种形式的审计报表，数据格式报表可以保存为excel、文本、Word、HTML等多种格式；

21)具备对外接口，可将审计结果上报给安全管理平台或其它安全产品。