1、编号：工咨甲12420070003深圳美术馆新馆、深圳第二图书馆项目可行性研究报告（修编）第三册（共四册）深圳第二图书馆信息化系统专篇深圳市华伦投资咨询有限公司二一九年一月项目名称：深圳美术馆新馆、深圳第二图书馆项目-深圳第二图书馆信息化系统专篇建设单位：深圳市建筑工务署编制单位：深圳市华伦投资咨询有限公司项目负责人：张 丽监审人：夏春霞编制人员：张 丽吴 晏雷 勇孙允上夏国田深圳第二图书馆信息化系统专篇目 录第1章项目概述11.1项目情况11.1.1项目名称11.1.2项目背景11.1.3系统总体定位21.1.4建设目标及内容31.1.5投资金额31.1.6相对于深圳市发展改革委关于深圳市图2、书馆调剂书库可行性研究报告的批复（深发改20141070号）关于信息化的调整。31.2编制依据4第2章现状介绍及需求分析52.1现状介绍52.1.1深圳图书馆概况52.1.2深圳图书馆网络系统现状52.1.3深圳图书馆服务器与存储系统现状72.1.4深圳图书馆应用系统现状92.2需求分析102.2.1总体需求102.2.2业务需求102.2.3基础支撑需求112.2.4安全需求15第3章总体设计方案163.1设计思路163.2设计原则173.3系统总体设计183.3.1总体框架183.3.2系统功能模块架构193.3.3网络架构设计19第4章分部设计方案224.1读者服务软件系统224.1.13、须迁移或升级的平台或系统274.1.2须引进或合作开发的系统404.2基础支撑系统建设784.2.1机房系统建设方案784.2.2服务器系统、存储系统、备份系统1124.2.3网络及安全系统设计1264.2.4办公区与读者区终端系统146第5章信息化系统投资估算1765.1投资估算范围及依据1765.1.1投资估算范围1765.1.2估算依据及参考资料1765.2信息化系统投资估算汇总表1765.3投资估算分项表1785.3.1读者服务软件系统估算清单1785.3.2基础支撑设备估算清单179I第1章 项目概述1.1 项目情况1.1.1 项目名称深圳美术馆新馆、深圳第二图书馆项目-深圳第二图书4、馆信息化系统专篇微信：1115955733，朋友圈送资料，淘宝搜店铺名：建筑后浪1.1.2 项目背景2003年下半年，深圳市文化局首次在全国提出建设“图书馆之城”的新思路，即把深圳建成为一个没有边界的大图书馆网，以全市已有、在建和将建的图书馆网点和数字网络为基础，联合各图书情报系统，建立覆盖全城、服务全民的文献信息资源共享网络，实现图书馆网点星罗棋布、互通互联、资源共享，为市民提供功能完善、方便快捷的图书馆服务，达到提供丰富资讯、支持终身学习、丰富文化生活的目的。深圳第二图书馆信息化工程与深圳第一图书馆(后称深圳图书馆)信息化工程为一整体工程，两者互作补充亦相辅相成。从实现路径上来看，深圳第二5、图书馆信息化工程是“图书馆之城”建设的基础设施和新的增长点，深圳图书馆计算机网络基础设施中网络交换与网络安全设施是馆舍运营必备基础设施不可迁移，服务器与存储系统已经较为陈旧已无迁移必要，且“图书馆之城”信息化平台ULAS需要从软件架构到支撑平台架构整体重构，重构过程中还需确保全市图书馆业务的连续性不可中断。综合考虑，规划深圳第二图书馆信息化系统作为“十四五”以后深圳图书馆和“图书馆之城”的主要信息化系统数据中心、生产中心。深圳第二图书馆信息化系统将首先满足深圳第二图书馆基本业务、场馆管理与服务的需要，同时作为“图书馆之城”网络数据中心，深圳图书馆信息化系统则作为灾备中心。将“图书馆之城”的主要6、业务系统将悉数迁移到深圳第二图书馆，建立在新的计算机网络基础设施之上。软件部分一部分为迁移，一部分需要升级，一部分通过引进与开发的方式搭建。深圳第二图书馆信息化系统正式启用后，深圳图书馆信息化系统将通过改造，在满足本馆基本业务、场馆管理与服务的需要的同时，作为“图书馆之城”灾备中心、研发测试中心。1.1.3 系统总体定位深圳第二图书馆信息化工程的总体定位是建设深圳市“图书馆之城”高可靠数据中心，“图书馆之城”智能化文献仓储与物流中心，智慧型图书馆服务中心，数字资源保障与服务中心。深圳第二图书馆信息化工程是在现有深圳图书馆信息化项目建设、数字化研究的基础上，通过引入最新的IT技术，对新建的深圳第7、二图书馆馆舍内的计算机网络设施、信息化设备、图书馆业务系统和深圳第二图书馆专业化管理系统进行统一规划，充分发挥两者的技术优势和特点，共同搭建起一个专业性、自动化、数字化、全开放的信息化平台。详细如下：l 满足“深圳第二图书馆”信息化系统网络接入与网络安全要求；（二馆基础设施）l 满足“深圳第二图书馆”馆内常规业务、服务、场馆运营管理的信息化需求；（二馆基础设施）l 满足“图书馆之城”统一服务、统一采编的信息化需求；（图书馆之城）l 满足“图书馆之城”文献仓储管理与物流中心管理的信息化管理需求；（图书馆之城）l 满足“图书馆之城”成员馆各类业务拓展API访问服务需求；（图书馆之城）l 满足“城市8、街区24小时自助图书馆”运行管理的信息化需求；l 满足“深图”和“图书馆之城”网站与移动服务信息化需求；（深图+图书馆之城）l 满足“深圳第二图书馆”和“图书馆之城”数据挖掘、智慧型服务信息化需求；（深图+图书馆之城）l 满足“深图”和“图书馆之城”数字资源建设、组织与服务信息化需求；（深图+图书馆之城）1.1.4 建设目标及内容1.1.4.1 建设目标图书馆是搜集、整理、收藏图书资料以供人阅览、参考的机构，图书馆有保存人类文化遗产、开发信息资源、参与社会教育等职能。深圳第二图书馆通过引进、迁移、升级、开发观众服务系统，实现图书馆的开放、便利与快捷，传播文化、丰富市民的文化生活。为实现“图书馆9、之城”的建设添砖加瓦。它们还使图书馆工作的标准化和规范化达到了新的水平。1.1.4.2 建设内容深圳第二图书馆信息化系统建设主要包括读者服务软件系统和基础支撑服务建设。（1） 深圳第二图书馆软件系统的建设主要包括两部分： 须迁移或升级的平台或系统：深圳图书馆一馆目前已稳定运行的平台、系统或功能。 须引进或合作开发的软件系统：深圳第二图书馆为实现读者对智慧型图书馆服务的需求，通过引进或合作开发方式创新功能。（2） 深圳第二图书馆的基础支撑系统主要包括机房系统建设、服务器及存储、网络建设、办公区与服务区终端建设。1.1.5 投资金额深圳第二图书馆信息化系统投资估算金额为4524.30万元人民币。110、.1.6 相对于深圳市发展改革委关于深圳市图书馆调剂书库可行性研究报告的批复（深发改20141070号）关于信息化的调整。深圳第二图书馆（原深圳市图书馆调剂书库）于2014年8月12日取得可研批复（深发改20141070号），批复的信息化系统投资估算为1873.18万元。因项目定位标准提高，建筑面积增加，本次信息化系统申报费用增加，详细如下表：表 11相对批复调整对比表序号深圳第二图书馆信息化系统金额（万元）调剂书库信息化系统金额（万元）调整金额（万元）1读者服务软件系统450.00 调剂书库软件平台28.00 422.00 2图书馆机房工程535.00 调剂书库机房工程220.07 314.11、93 3网络交换设备547.00 网络交换设备199.38 347.62 4网络安全设备295.00 网络安全设备105.00 190.00 5服务器存储系统1444.00 服务器与存储系统924.00 520.00 6灾备系统281.00 调剂书库灾备中心206.00 75.00 7读者服务系统专用设备782.33 调剂书库专用系统146.80 635.53 8读者服务系统系统集成费（软硬件的5%）189.97 系统集成费43.93 146.04 9合计4524.30 1873.18 2651.12 主要调整内容说明：1.软件系统部分在调剂书库软件平台的基础上增加了其它相关读者服务系统；2.12、根据业务系统承载要求，调整了基础承载设备的配置。1.2 编制依据 深圳市发展改革委关于深圳市图书馆调剂书库可行性研究报告的批复（深发改20141070号）； 深圳市发展和改革委员会关于深圳市图书馆调剂书库项目调整事项意见的复函（深发改函20161847号）； 电子信息系统机房设计规范GB50174-2008； 数据中心设计规范（GB50174-2017）； 安全防范系统验收规则GA 3082001； 深圳市“图书馆之城”建设规划（2016-2020）； 深圳图书馆提供的相关设计方案资料； 图书馆信息化系统相关调研资料。第2章 现状介绍及需求分析2.1 现状介绍2.1.1 深圳图书馆概况深圳图书13、馆信息化系统主要是2005年建新馆时一次性投资建设的，使用年限总体超过9年。深圳图书馆信息化系统不仅承载着本馆5万平米馆舍、6百万馆藏的管理与服务，建立了数字资源服务系统，以及网站门户、移动平台、三微平台、语音服务平台等服务系统，近年来还搭建起支撑全市“图书馆之城”统一服务的技术平台、城市街区24小时自助图书馆系统，引入了“深圳市科技文献信息服务平台”的服务和国家数字图书馆推广工程资源，至今逐渐支撑起2个市级图书馆、10个区级图书馆、111个区属分馆、230台自助图书馆（市属）、58台自助图书馆（区属）的全天候服务，读者服务事务的处理量2017年达3257万条，网站页面浏览2600万次。20114、1年，通过“深圳市科技文献信息服务平台”项目，对核心交换机和防火墙进行了更新。2017年，通过“读者服务基础设备更新项目”，对核心存储系统、接入层交换机、无线网络、读者服务电脑四部分内容进行了更新。但图书馆信息化系统ULAS与核心服务器架构始终没有契机能够得到有效的整体提升更新，面对“图书馆之城”各项业务的快速发展，以及读者对智慧型图书馆服务的，已经出现了可靠性危机与扩展瓶颈。2.1.2 深圳图书馆网络系统现状2.1.2.1 外部接入l 电信IP城域网光纤接入：两条200M光纤接入；l 电信MPLS-VPN光纤接入：两条100M光纤接入（一主一备）；l 政府专网光纤接入：一条100M政务内网光15、纤，一条100M政务外网光纤；l 国图数字图书馆推广工程接入为一条155M带宽光纤；l 中国移动短信服务光纤接入：一条2M带宽光纤；2.1.2.2 网络结构图图 21深圳图书馆网络架构示意图2.1.2.3 主要网络交换与网络安全设备深圳图书馆主要网络设备包括核心交换机、防火墙、楼层交换机、网络哨兵、流量控管设备、无线网络设备等，列表如下：表 21主要网络及安全设备清单设备类型设备型号数量（台）设备放置点内网核心交换机H3C S7510E2中心机房DMZ核心交换机H3C S7506E2中心机房汇聚层交换机H3C S56001中心机房接入层交换机华为 S572030各楼层弱电井交换机Quidway16、 S55161中心机房交换机H3C S51006中心机房外防火墙Junifer SRX34002中心机房短信防火墙H3C F1000-A1中心机房内防火墙HillStone G31502中心机房流量控管设备深信服M6500-SG1中心机房入侵防御设备深信服AF-17501中心机房安全设备网络哨兵2中心机房堡垒机圣博润堡垒机1中心机房VPN设备Sangfor SSL VPN1中心机房无线控制器NAC-62502中心机房无线POESW-5010和SW-502412各楼层弱电井无线APSundray AP100各楼层2.1.3 深圳图书馆服务器与存储系统现状2.1.3.1 服务器系统现状深图目前拥有17、IBM小型机13台、PC服务器67台，列表如下：表 22现有服务器清单名称机型数量应用年限小型机IBM P69022台机组成HA集群、图书馆之城核心数据库系统(主）、(从）；13台均已使用超过12年；IBM P5702采编中心系统（LACC） (1a)、专题资源建设 (1b)、BC专用系统(2b)、图书馆之城统一服务和馆藏建设管理系统 (3a)；IBM P5703图书馆之城统计分析服务器、深图网站nginx服务器集群IBM P6702测试及开发服务器；IBM P5202联合采编网络系统（UACN），核心数据库备份还原服务器。IBM P6302备用及测试服务器；小计共13台IBM小型机运行AIX18、操作系统PC服务器IBM X36506音像资料管理系统、自助图书馆系统、共享工程网站、图书馆之城平台B/S前端、自助借还服务系统（馆内）；其中17台已使用超过12年（IBM 346及260）；18台已使用超过9年（IBM 3650、3610、3250M2、3650M2等）；9台已使用超过7年（IBM 3690及3650M3）IBM X36108电子报纸阅读机管理系统、OPAC系统（Lucene）、自助图书馆内部业务管理系统、公共图书馆研究院网站、博看电子期刊系统、博文光盘系统；自助图书馆监控代理服务器，vcenter管理服务器IBM X 34616电子数据库服务器*6、VOD点播服务器*3，馆19、外VOD服务器、Mail服务器、TRS服务器、UES服务器、百链发现服务器，行政部专用服务器。Dilas测试服务器。IBM Xseries 2601备份管理；IBM X3250 M23IDS（设备报废）、自工部管理网站、自助图书馆监控服务；IBM X3650 M21OA服务器IBM X3650 M37自助图书馆服务系统3、自助图书馆服务系统4、自助图书馆服务系统（远望谷）、自助图书馆监控系统（远望谷）、自助图书馆读报系统，API服务器，网站源代码管理服务器。IBM X3690 X52唯一标识符服务器、统一用户认证服务器（均为数字图书馆推广工程专用）华为 v24855DSG服务器*2，Mysql20、服务器，电子数据库服务器*2华为 v58851虚拟机服务器深信服aserver-21002虚拟机服务器集群深信服 aserver-23002虚拟机服务器集群深信服 VDS-65506云桌面专用服务器*6戴尔 R7303信息开发部专用服务器，电子数据库服务器*2浪潮 NF5280M42电子数据库服务器*2浪潮 NF5270M42深圳图书馆主网站集群小计共67台中低端PC服务器运行windows或linux操作系统服务器整体情况陈旧，所有IBM品牌的服务器均使用超过7年以上，数量高达39台，更有17台服务器使用年限已有12年之久；故障率上升，开始出现维保困难现象，这与深图“图书馆之城”数据中心的定21、位不符，特别是核心数据库服务器、中间件服务器开始出现性能下降、扩展瓶颈、可靠性下降的问题，亟待解决。2.1.3.2 存储系统现状深图目前拥有不同类型的存储系统6套，累计容量392T，列表如下：表 23现有存储系统清单序号名称有效容量架构类型存储数据使用年限1HP存储系统35TBFC SANApabi、万方、网上办公厅等电子数据库12年2H3C存储系统64TBFC SANIP SAN自建专题数据库、博看数据库、博云数据库9年3华赛存储系统46TBFC SAN、电子报纸、共享工程、维普等电子数据库7年4华为存储系统（5500T）80TBFC SAN超星、中文在线、皮书、北大法宝等电子数据库、VOD22、资源。4年5华为存储系统（5500V3）67TBFC SANCNKI、DSG容灾备份、流量控管、服务器虚拟化存储等等1年6华为存储系统（18500）100TBFC SAN、IP SANOracle（图书馆之城统一服务和馆藏建设管理系统核心数据库）、UACN数据库、LACC数据库、网站数据、快照、公务空间。2年以上存储系统中有3套原厂保修期均已过，设备老化在逐年加重，目前主要依靠第三方进行维护服务。存储总容量也严重不足，只能限制资源装入的年限，对读者使用和资产保存造成影响。2.1.4 深圳图书馆应用系统现状深图目前在运行的主要应用系统详细情况列表如下：表 24现有应用系统清单系统名称环境系统名称23、环境图书馆之城统一服务平台Aix统一认证系统Linux馆藏资源建设系统Aix电子数据库镜像服务系统Windows专题资源建设与服务平台Aix数字报刊服务系统Windows粤港澳联合目录Linux数字资源馆外访问系统Linux短信服务系统Windows数字资源管理系统Linux电话服务系统Windows移动数字资源服务系统Windows图书馆自助服务系统（自助复印、自助借还、自助办证）Linux电子剪报系统（包含采集与加工）Windows流媒体服务系统Windows自助图书馆服务系统Linux电子阅览室管理系统Windows自助图书馆监控系统Linux视障服务系统Windows自助图书馆电子报纸24、服务Windows图书馆导览系统Windows邮件系统Linux共享工程网站Windows文档服务系统Windows深圳图书馆网站Aix办公自动化系统Aix个人数字图书馆Aix固定资产管理系统WindowsOPAC服务系统（含Lucene全文检索、封面）Linux楼宇智能化管理系统Windows实时咨询系统Linux网络管理系统Windows网站统计系统Linux无线网络管理系统Windows数据交换与接口系统（与深圳文献港、各区图书馆等交换数据）Linux桌面管理系统Windows随书光盘管理服务系统Windows防病毒系统Windows网站安全系统(WAF)Windows存储管理系统Win25、dows接入“深圳文献港”Linux备份管理系统Windows联机编目中心Linux2.2 需求分析2.2.1 总体需求l 迁移深圳图书馆已有软件平台及数据中心至深圳第二图书馆；l “图书馆之城”统一服务、统一资源建设的信息化需求；l 为“图书馆之城”成员馆的各类拓展业务提供API服务；l 市图书馆“城市街区24小时自助图书馆”与分馆业务的信息化需求；l 深圳图书馆常规业务工作、读者服务、场馆运营管理的信息化需求；l 深圳图书馆网上服务信息化需求，包括门户网站、微平台、移动APP等；l 满足深圳图书馆数字资源建设、组织、服务与保存功能需求；2.2.2 业务需求2.2.2.1 系统迁移或升级需求26、对于深圳图书馆目前已稳定运行的平台、系统或功能进行迁移或升级，深圳第二图书馆须配备相应服务器、网络、存贮规划，无软件建设或引进经费。2.2.2.2 引进或合作开发新系统功能需求深圳第二图书馆为实现读者对智慧型图书馆服务的需求，需引进或合作开发方式创新功能，详细如下：2.2.2.2.1 网站系统重构需求深圳图书馆自2006年以来即采用前端负载均衡板+后端双IBM P570服务器网站架构，12年以来运行稳定。但近来存在的问题也较多且稳定性下降，因此需要在深圳第二图书馆新构网站系统，以提高网站稳定性和可靠性。2.2.2.2.2 电子阅览室系统改造需求电子阅览室系统为深圳图书馆自行研发ULAS系统的重27、要组成部分，已在深圳图书馆及图书馆之城各区图书馆稳定运行10余年。目前为读者现场排队刷证取号上机模式。因此需要在目前图书馆之城微服务平台基础上，实现微信一键登录排队功能，提供非现场排队模式。进一步为读者提供服务便利，同时提供更加高效的电子阅览室服务。并对不遵守规则的读者予以违规记录处理。2.2.2.2.3 大数据挖掘分析需求深圳图书馆作为龙头馆，需要以“图书馆之城”中心数据为基础，积极开展“大数据”挖掘与研究，并探索利用“大数据”技术提升服务质量、控制数据质量、优化业务流程的方法及意义。2.2.2.2.4 智慧平台需求由于受限于物理网络、物联网等基础设施建设，深圳图书馆对智慧服务转型进行了一系28、列探索并取得一定成果。因此希望在深圳第二图书馆的建设中，借助于成熟的物联网体系，建设一套智慧平台，实现读者智慧服务。2.2.2.2.5 应用日志审计需求深圳图书馆目前的ULAS系统采用关键事务日志记录入库，随着智慧图书馆应用的纵深发展，关键事务记录的维度捉襟见肘，不断扩展关键事务概念范围费时费力。深圳第二图书馆的ULAS系统升级改造已包含应用日志全维度记录数据仓库的建设方案，随之而来的问题是海量数据的存贮与管理，以及如何有效利用。因此需要通过引进系统+定制开发。在全日志系统记录入库的基础上实现全系统日志审计，为应用系统运维、性能分析、安全保护提供可靠的支撑。2.2.2.2.6 应用系统安全管理29、需求目标，应用系统安全受到了来自网站、数据、日志分散等方面的挑战，因此需要建设一套应用系统安全管理平台，实现应用系统安全管理的方便性和可靠性。2.2.3 基础支撑需求2.2.3.1 机房需求深圳第二图书馆数据中心必须满足计算机、电子设备和工作人员对温度、湿度、洁净度、电磁场强度、噪声干扰、安全保安、防漏水漏电、电源质量、振动、防雷和接地等要求，将建设一个安全可靠、舒适实用、节能高效和具有可扩充性的数据中心,实现以下目标 参照数据中心设计规范（GB50174-2017）定义的B级数据中心标准建设； 机房功能区域分区清晰，各个区域有效衔接； 实现数据中心机房无人值守，兼顾可靠性和运维效率； 采用模30、块化机房设计，便于系统后期运维与扩容； 采用标准产品与材料，避免现场施工的复杂性与质量的不确定性； 采用环保材料与节能新技术，建设绿色数据中心； 适应云计算与大数据时代的业务变化和要求。2.2.3.2 性能需求深圳第二图书馆服务器与存储系统建设，应首先能够有效支撑深圳图书馆中心馆和深圳第二图书馆的日常业务，为深圳图书馆提供高效、稳定运行运行平台，考虑未来510年的业务发展需要，同时兼顾降低总体投入成本，提高运维管理效率的要求。计算业务应用对信息系统的存储、处理和传输能力要求，分别对应着分类存储能力、数据交易能力和通信传输能力，通过存储量（GB、TB、PB等测算）、并发处理能力（通过tpc_C值31、，tmpC测算）、通信带宽（M/S，KM/S，GM/S）等来测算。2.2.3.2.1 系统性能分析深圳图书馆自主研发的“图书馆之城中心管理系统”ULAS支持全市各级638家公共图书馆、249台城市街区自助图书馆以及35台自助书香亭的服务，基于物联网、机器学习、云计算、区块链、大数据智能分析等新一代信息技术，可实现系统满足如下技术指标：（1）可靠性：系统需提供7*24的不间断服务；（2）请求响应：500并发持续压力测试6万请求，请求平均时耗500ms；（3）统计分析速度：常规统计分析请求响应时间1秒，复杂统计分析请求响应时间5分钟；（4）数据库并发：数据库支持超过2000个用户的并发访问能力；（32、5）访问并发：系统具备不少于5000个访问并发的能力。2.2.3.2.2 计算处理量分析目前ULAS包括六大系统模块，历史处理量年均增长约30%，考虑深图二馆建成后5-10年规划，预计系统处理量应按目前5-20倍计算。其中API接口服务作为所有系统模块汇聚层，近2年来处理量呈现每年2-3倍增长，考虑5-7年左右高速增长期，按25=32倍估算其最终处理量。历史系统处理量及深图二馆预计处理量峰值见下表：历史处理量峰值深图二馆预计处理量峰值（5-10年）网站服务1800/分18000/分自助服务200/分1000/分API接口服务2000/分64000/分统一采编服务200/分1000/分中心管理系33、统200/分1000/分非核心应用系统100/分500/分合计85500/分总体系统的峰值处理量（每分钟）：85500次/分钟。根据ULAS应用系统开发的经验，每次信息的处理涉及到状态判断、业务逻辑流、数据存储等操作，平均来看，每次请求处理平均约为10次数据库操作。ULAS系统做全应用日志档案数据仓库记录，并进入数据挖掘、分类、聚类、清洗、机器学习等所占用CPU计算能力较高，约为基本操作的两倍，系统每分钟处理的OLTP数为：85500（10+20）=2565000。一般参照软件处理能力与计算机厂商公布的tpmC值之间的比例关系为1:5。系统CPU的工作时间不应该超过80%，否则系统性能会明显下34、降。通常将 CPU的工作时间低于70%时，系统表现比较稳定。这部分CPU工作时间还要包括一部分处理系统任务的时间，以及应对突然出现的爆发性峰值，按照80%计算。那么，剩余的CPU工作时间是20%。系统的处理能力应达到：2565000/（70%20%）5 = 91607143 tpmC。根据TPC国际组织公布的测试结果，HP DL580 G7配置4路12核Intel Xeon X7560 2.26GHz的CPU时，其TPC-C=1807347 tpmC；基础值=1807347/4/8/2.26=24991；配置12核Xeon 2.3GHz的CPU个数为：91607143/24991/12/2.335、=132个。若购买双CPU服务器则供需要132/2=66台。2.2.3.3 数据存储需求根据深圳图书馆信息化系统的主要应用软件和主要业务量，考虑到中高端存储系统政府指导使用年限为10年，因此以今后8年的数据增长量预测（考虑到3年建设周期，实际仅规划了未来5年，即2021年至2026年的存储空间），总计需要两套存储系统，一套为高性能存储系统，一套为大容量存储系统；有效存储空间分别为76TB和450TB，具体需求如下：表 25高性能存储系统容量需求清单数据目前数据量（T）年增数据（T）未来8年数据增量（T）核心数据库618应用日志218服务器虚拟化数据30216公务空间618小计44532合计7636、表 26大容量存储系统容量空间数据库目前数据量（T）年增数据（T）未来8年数据增量（T）CNKI45864维普35648Apabi电子书518超星电子书21432中文在线118皮书、列国志118网上报告厅61.512博看数据库15324博云随书光盘25540VOD818其他20216小计18233.5268合计450按照70%的磁盘阵列与文件系统损耗估算，总计需要裸容量110TB和650TB。2.2.3.4 灾备需求深圳图书馆信息化系统承担着全馆各服务区的读者服务，包括借还服务、OPAC、自助服务、电子阅览室等，同时为加入“图书馆之城”统一服务的全市220个图书馆、遍布全市的200台自助图书馆37、提供365天24小时不间断服务，深图网站、深图微平台、深图语音电话服务中心也都高度依赖信息化系统。一旦该信息化平台出现故障，就会影响到全馆、全市图书馆的服务。建设容灾系统对深圳图书馆最为核心的业务系统建立异地应用级容灾，要求容灾系统在必要时对深圳图书馆核心业务系统完全接管和回切的能力，从而保障全市图书馆服务的连续性和可靠性。2.2.3.5 网络需求深圳第二图书馆信息化工程与深圳图书馆信息化工程为一个整体工程，两者互作补充亦相辅相成。深圳第二图书馆信息化工程是“图书馆之城”建设的基础设施和新的增长点，是在现有深圳图书馆信息化项目建设、数字化研究的基础上，通过引入最新的IT技术，对新建的深圳第二图38、书馆馆舍内的计算机网络设施、信息化设备、图书馆业务系统和深圳第二图书馆专业化管理系统进行统一规划，充分发挥两者的技术优势和特点，共同搭建起一个专业性、自动化、数字化、全开放的信息化平台。2.2.4 安全需求根据国家信息安全等级保护相关规定要求，需按照国家信息安全等级保护第二级保护制度相关规定进行设计和实施。针对本项目的信息资源的安全级别的特点，系统需提供安全可靠的数据传输机制来保证数据的安全存储、传输和查看。应用系统安全需对系统资源的有效性进行控制，管理和控制不同等级用户对信息资源和服务资源具有什么权限，需要提供用户和服务器间的双向身份认证、信息和服务资源的访问控制和访问资源的加密，并通过审计39、和记录机制，确保服务请求和资源访问的防护。第3章 总体设计方案3.1 设计思路l 统筹规划、分期实施本着“统筹规划、分期实施”的原则进行系统整体设计和分期实施，系统设计将充分考虑后期扩容等可能的建设要求。结合深圳“图书馆之城”统一管理平台、深圳文献港、馆际互借平台、联合参考咨询平台以及其他资源平台体系进行统一规划和设计，以资源整合和互联互通服务为切入点，采用轻量级模块化框架和先进成熟的平台引擎，最大化地提高系统可靠性和扩展性。l 互联互通，资源共享的原则考虑到资源共享，减少重复建设的原则，本项目建设充分深圳市公共图书馆现有的信息化的规划和现有资源利旧，充分利用现已建设的公共网络环境和应用资源。40、充分考虑互连互通服务需求，加强纵向与深圳市各级街道、社区图书馆、横向与各区图书馆之间的联动和协同，整合资源，建立高效、通畅的信息资源共建共享体系，构建深圳市图书馆之城云服务中心。l 需求导向和注重实效的原则注重平台的便捷、实用性，充分考虑深圳市公共图书馆的工作特性和操作流程构建系统业务流程，同时立足于图书馆工作的应用特点，满足常态和非常态应急业务需要，建设“实用、管用、好用”的云服务平台。l 技术创新和深化应用的原则针对公共图书馆业务类型繁杂、发展不均衡的特点，采用国内外成熟先进技术，提高系统先进性和适用性。利用深圳图书馆在协同调度、大数据、云平台、物联网、智慧联动等方面的应用成果，研究并开创41、具有实用价值的深圳图书馆之城云服务中心系统，提升深圳市公共图书馆平台服务能力。l 强化措施和统一规范的原则以国家、广东省、以及深圳市的相关建设规范标准和管理制度为参照，根据公共图书馆服务应用特点，明确云服务中心相关业务、技术标准和规范内容，建立健全标准化的建设体系和长期发展方案，为各区、街道、社区图书馆工作提供有价值的参考意见，有效提高云服务中心的实效性。3.2 设计原则l 高集成性和兼容性的原则采用一体化的设计理念和开放式系统架构，选用标准化的网络、通讯、图像、视频接口和协议，提高系统兼容性；建设图书馆之城开放API接口平台，确保系统具备良好的兼容性和可扩展性。采用先进的系统集成和数据交换技42、术，建立统一的数据规范和标准统建数据共享中心数据，综合考虑外部系统接口实现业务功能的整合。l 可扩展性和易维护性的原则在本项目系统设计时考虑一定的前瞻性，充分考虑系统升级、扩容、扩充和维护的可行性；并针对本系统涉及用户多、业务繁杂的特点，充分考虑如何大幅度提高业务处置的响应速度以及统计汇总的速度和精度。l 先进性和成熟性的原则在本项目系统设计时充分应用先进和成熟的技术，满足建设的要求，把科学的管理理念和先进的技术手段紧密结合起来，提出先进合理的业务流程；系统将使用先进成熟的技术手段和标准化产品，使系统具有较高性能，符合当今技术发展方向，确保系统具有较强的生命力，有长期的使用价值，符合未来的发展43、趋势。l 可靠性和稳定性的原则在设计时采用了先进成熟的平台技术，在安全体系建设和系统切换等各方面考虑周到、切实可行，建成的系统将安全可靠，稳定性强，把各种可能的风险降至最低。l 安全性和保密性的原则在系统设计把安全性放在首位，既考虑信息资源的充分共享，也考虑了信息 的保护和隔离；系统在各个层次对访问都进行了控制，设置了严格的操作权限；通过身份认证、授权、系统日志、系统监控、系统容错、数据加密等多种技术手段保障系统和数据的安全性、可审计性。3.3 系统总体设计3.3.1 总体框架图 31系统框架图系统总体架构遵循“图书馆之城”统一规划方案及标准，深圳市各公共图书馆及高校图书馆资源发现统一由“深圳44、文献港负责”，构建统一认证及授权访问系统解决各馆之间资源互访问题。所有应用基于“图书馆之城开放API平台”搭建，在保证充分的开放性和规范性同时，实现数据与UI分离，同一数据接口可以实现完全不同风格的UI。云服务中心是包含Paas（平台即服务）与Saas（软件即服务）双重功能的综合私有云，图书馆之城成员馆可依据自身情况选择切入方案，做到低成本规范性使用。技术架构力图建立资源、馆员、读者、物联网与智慧化之间的有机联系。馆员着力打造物联网与智慧化建设，从繁冗的日常工作中解放出来，而物联网与智慧化建设反促馆员积极突破服务创新，实现为读者找资源，为资源找读者。3.3.2 系统功能模块架构图 32系统功能45、模块图从系统功能来看，所有系统应用都应基于API平台开发，保证每一个功能接口的唯一性。开发平台应建立独立开发测试环境，对每一个进入生产环境的系统和功能进行规范性测试。安全平台负责应用系统安全，保证应用稳定高效运行。3.3.3 网络架构设计深圳第二图书馆网络的物理架构如图所示。图 33网络架构图网络组网结构说明：微信：1115955733，朋友圈送资料，淘宝搜店铺名：建筑后浪l 网络出口由高性能出口防火墙网关设备和链路负载均衡设备搭配协同工作实现。高性能出口防火墙网关设备具备全面的网络安全防御能力，并且具有高性能的NAT功能；同时链路负载均衡设备针对深圳第二图书馆出口多线路实现多线路负载，以提高46、深圳第二图书馆网络多线路资源的利用率。l 核心层核心层由两台高性能核心交换机组成，通过万兆光纤进行IRF冗余配置，提高业务的稳定可靠性。核心交换机承载全网所有的流量，利用虚拟化技术，建立逻辑隔离的网络通道，实现不同业务之间无干扰地稳定运行。l DMZ区DMZ区主要提供外网的合法访问。包括提供公共用户访问的公开网站，以及对应的读者服务。DMZ区提供了一个区域放置公共服务器，从而又能有效地避免一些互联应用需要公开，而与内部安全策略相矛盾的情况发生。l 汇聚层汇聚层将众多的接入设备和大量用户经过一次汇聚后再接入到核心层，扩展核心层接入用户的数量。汇聚层由两台高性能汇聚交换机组成，进行IRF冗余堆叠。47、l 接入层由接入交换机和AP组成，提供深圳第二图书馆用户有线和无线的各类终端实现网络接入。接入层交换机采用市场上主流接入交换机，支持智能堆叠，堆叠后逻辑上虚拟为一台设备，具有统一的表项和管理。第 184 页第4章 分部设计方案4.1 读者服务软件系统读者服务软件系统包括网站平台、自助平台、API平台、采编平台、大数据平、管理平台、智慧平台、其它平台、数据库、开发及安全等部分，本次项目建设根据业务要求，将主要业务系统将悉数迁移到深圳第二图书馆，建立在新的计算机网络基础设施之上。同时为实现读者对智慧型图书馆服务的需求，将引进或合作开发方一些软件系统及功能，详细如下表：平台应用系统子系统/模块功能简48、述建设模式拟部署地点已开发/引进/需升级/迁移需引进需开发深图二馆网站平台深圳图书馆网站网站门户与后台CMS需要改版升级统一认证系统读者统一认证门户OPAC门户OPAC门户与后台书目、馆藏信息查询书目扩展信息揭示服务大数据联动“我的图书馆”读者个人业务网上办理非书光盘系统随书光盘数字化使用参考咨询系统网上参考咨询填单咨询、课题服务实时参考咨询聊天窗口咨询，机器人自动应答数字资源管理系统数字资源管理系统ERM管理各种类数字资源数字资源馆外访问控制数字资源馆内访问控制数字资源统计分析电子数据库系统电子数据库镜像系统及访问控制购置各类电子数据库独立平台视频服务系统VOD点播馆内视频点播门户流媒体服务49、馆外视频点播支持视频直播视频直播服务支持移动服务系统移动服务门户微信、支付宝、移动版网站自助平台自助图书馆系统自助图书馆中心管理系统自助图书馆管理平台自助图书馆自助服务系统自助图书馆通用云服务图书馆之城自助服务系统自助借还系统购置专用设备10自助办证系统购置专用设备2自助复印系统购置专用设备5自助打印系统购置专用设备2API平台图书馆之城开放API系统基本接口读者接口流通接口请求接口馆际互借接口知识库接口监控接口大数据接口短信接口专题接口批量数据接口支付接口采编平台图书馆之城统一采编系统订购管理验收管理分编管理装订管理系统管理大数据平台监控及大数据挖掘分析云监控及报警系统网站统计系统开源大数据50、统计分析系统前端UI（EasyLod）、API大数据挖掘系统数据规范、整合、清洗及挖掘系统管理平台“图书馆之城”中心管理系统统一服务图书馆之城中心管理系统专题资源建设与发布支付及结算系统图书馆之城统一支付与结算移动支付系统微信、支付宝支付系统应用日志审计系统其他平台电话语音服务系统电话语音服务短信系统短信服务系统短信提醒、通知服务电子阅览室系统电子阅览室系统UACNUACN联机编目办公自动化系统OA办公自动化系统员工培训管理、档案管理缺失读者咨询知识库OA论坛固定资产管理点餐系统智慧平台智慧图书馆平台智慧馆内读者服务空间管理场馆、坐席预约管理智能语音机器人自动智能应答、指引智慧信息墙信息发布和51、互动馆内智能位置感知及推送室内定位和信息推送馆内空间服务指引（2D/3D)楼层空间服务指引城市图书馆导航服务图书馆找书导航数据库核心数据库核心数据库系统专题数据库系统网站数据库系统非核心数据库MYSQL数据库系统其他数据库系统（SqlServer、Mongodb、ElasticSearch平台）数据库系统灾备（4节点）开发及安全应用系统安全管理平台安全扫描检测服务及风险评估数据库审计及告警系统网站内容监控系统应用层传输加密系统（多系统）WAF防火墙开发运维管理及测试平台源代码版本管理系统开发及维护管理源码及文件备份系统开发及内部测试系统4.1.1 须迁移或升级的平台或系统须迁移或升级的平台或系52、统为深圳图书馆一馆目前已稳定运行的平台、系统或功能，深圳第二图书馆须配备相应服务器、网络、存贮规划，无软件建设或引进经费。4.1.1.1 网站平台4.1.1.1.1 深圳图书馆门户网站包括深圳图书馆网站、图书馆之城网站及公共图书馆研究院网站及各自后台管理CMS系统，以及统一用户和认证系统。统一认证系统应用于门户网站、图书馆自动化系统、资源发现系统以及跨库检索系统等领域，主要解决图书馆内多个数字资源的统一认证、图书馆数字资源服务与图书馆其它服务的统一认证以及多个图书馆之间的数字资源统一认证等问题。4.1.1.1.2 OPAC门户OPAC管理系统主要包括三大模块，包括书目、馆藏数据检索模块、读者操53、作模块和随书光盘系统模块。检索模块主要是让读者可以随时随地查看书目数据、馆藏数据分布，查询具体图书所在；读者操模块主要是让读者进行图书馆网上业务操作，例如预约、预借、续借、查看借阅史、发表书评、参考咨询等；随书光盘模块主要解决随书光盘数字借阅，实体光盘保障留存的问题。4.1.1.1.3 参考咨询系统包括填单咨询、原文传递（索取）、课题服务、人工咨询、在线咨询、在线机器人应答咨询等功能。咨询服务系统从本质上就是要使一般咨询相互关联，知识共享；使原文传递更加及时、顺畅；使课题服务有案可查，可定期实施和重复利用。4.1.1.1.4 数字资源管理系统包括数字资源管理系统（ERMS）、数字资源馆外访问系54、统、数字资源馆内访问系统以及数字资源统计系统。电子资源管理系统ERMS是指用于管理电子资源的选择、采购、授权许可、维护、评估、经费信息、知识产权和采购成本分析等工作流程以及相关信息的系统。馆外访问和馆内访问系统提供读者从馆外和馆内访问数字资源的统一入口，以利于访问控制、数据采集挖掘和统计分析。4.1.1.1.5 电子数据库系统深圳购置各类电子数据库独立平台，为深圳图书馆读者提供数字资源服务。电子数据库系统需要在系统使用的便捷性和服务方式的多样性方面加强，同时在与图书馆自动化系统集成、统一服务系统互通方面要更方便，提升电子资源的全方位管理和利用水平。4.1.1.1.6 视频服务系统视频资源服务系55、统主要用来解决图书馆中保存在录像带、磁带、CD、VCD、DVD 等载体上的，包括网络多媒体信息资源的制作、发布、播放与管理等问题。目前常见的视频服务系统从技术上可以分为基于流媒体技术和基于P2P技术两类。主流的流媒体技术有Microsoft的Windows Media、RealNetworks的RealSystem和Apple的QuickTime等。为防止服务器瓶颈，实现大量用户并发等问题，网络视频服务可基于P2P技术搭建系统。4.1.1.1.7 移动服务系统图书馆之城移动服务提供基于定位系统的查找附近图书馆、二维码读者证、馆藏书目查询、文献预借转借、图书快递到家、新书预约借、活动日历、移动阅56、读与移动支付等主要功能。项目主要特色: 1.七大平台构建“图书馆之城”统一移动服务，支持用户多渠道访问；2.全国首创扫码登录模式，全市240台自助图书馆及主要区级图书馆均可使用；3.覆盖面广，面向全市读者服务；4.实时发布图书馆服务大数据等动态信息；5.移动支付方式灵活，提供微信、支付宝扫码付与现场当面付；6.统一认证，使用便捷，一次登录，永久绑定。4.1.1.2 自助平台4.1.1.2.1 图书馆之城自助服务系统自助服务系统是以读者为中心，借助于计算机、网络、触摸屏、感应设备等现代化设备，为读者提供的人性化、便捷的自我服务模式，是当前乃至未来一段时期公共图书馆读者服务的主流和支柱。自助服务系57、统一般以自助服务设备和自助服务软件系统为核心，并通过标准协议(如SIP2/NCIP)或图书馆系统的专用接口与自动化管理系统实现数据交互。按功能可分为自助办证、自助借还、自助复印、自助上机与打印、多媒体阅读机等。4.1.1.2.2 自助图书馆系统自助图书馆系统被誉为“第三代图书馆”，是近几年兴起、发展并投入应用服务的一种新型公共文化服务体系。自助图书馆系统提供的就近服务让读者可以享受到人性化的阅读便利，并可有效延伸图书馆的服务时间、扩大覆盖范围，提升服务效能。截至2017年底，深圳市共有249台自助图书馆为全市市民提供图书配送、预约服务。4.1.1.3 API平台深圳“图书馆之城”统一服务API58、共提供12个模块工90余个功能接口，涵盖大部分图书馆业务。使用到API平台的有各种PC端系统，自助服务系统和移动端应用系统。如各区馆的微信公众号，网站，电话服务，自助服务设备，物流公司等等几十个使用方，并通过他们辐射到了全市读者。图 41图书馆之城开放API平台服务模式4.1.1.4 采编平台包括订购、验收、分编、装订、系统管理等模块。目前深圳“图书馆之城”采用统一采编模式，各区图书馆可在本地镜像库中完成本馆采访、编目、验收等工作，书目数据经查重合并后进入中央书目库，为全市读者提供服务。2017年深圳图书馆推出“新书直通车”服务后，统一采编平台与业务平台紧密联系起来，每天均为线上读者提供新书采59、购直送服务。4.1.1.5 大数据平台4.1.1.5.1 云监控及报警系统对深圳市“图书馆之城”数据中心以及分布在各馆的应用服务器进行监控，包括CPU、内存、进程等。技术要点是配置相关服务器参数，并对接报警系统。服务器异常自动触发短信报警。4.1.1.5.2 网站统计系统遵循Google Analytics标准对对深圳图书馆网站访问量进行专业统计。4.1.1.5.3 大数据统计系统已开发完成并在用的为统服务模块，包括网点分量、读者分量与文献分量，分别揭示读者借还书数据在地点（网点）维度、读者所属馆维度、文献所属馆维度的不同归属。如深圳图书馆读者在南山区借了一本宝安区图书馆的书，则深圳图书馆读者60、分量借书+1，南山图书馆网点分量借书+1，宝安图书馆文献分量借书+1。4.1.1.5.4 大数据挖掘系统采用Oracle作为核心数据仓库，兼顾性能和稳定性。对于数据开放的开源系统，采用Oracle的database link技术挖掘Sql Server、Mysql等异构数据库的数据。对于数据不开放的第三方系统，则采用接口汇聚技术挖掘相关数据。对于网页等非结构化数据，则采用开源软件nutch等爬取入库。数据挖掘服务器具有唯一性、汇聚性的特点。所有的大数据服务接口都从唯一的数据挖掘服务器获取全部数据，不可连接其他的服务器获取任何数据，即任何待发布数据都必须通过数据挖掘服务器的挖掘才能使用。规定挖掘61、服务器的唯一性有利于简化网络、应用架构，有效降低总体网络流量。4.1.1.6 管理平台4.1.1.6.1 统一服务系统各类读者服务系统均需要通过统一服务系统实现统一的服务管理、权限控制、违章处罚。统一服务系统必须不断升级和优化，不断提高对外界环境的适应性，引入各类先进技术，融合各种有效平台，使之真正成为图书馆信息化管理的核心系统。统一服务系统是区域图书馆一体化服务的核心系统，科学的体系架构不仅可以支撑起多馆的基本服务，更可建筑在区域图书馆云技术平台之上，推动区域图书馆科技应用的全面发展。4.1.1.6.2 专题资源建设与发布系统专题资源建设是图书馆数字化建设的重要组成部分，也是图书馆开展专题信62、息服务的基础。通过将本地区、本单位特色资源建成专题数据库，在保存地区特色文化、特色信息的基础上，为开展特色资源服务创造条件。公共图书馆一般通过图书馆自动化系统、数字资源共建平台，或其他产品进行专题资源库开发。4.1.1.6.3 支付及结算系统支持全市个区图书馆馆际结算，包括押金结算、预付款结算、欠款结算、行政收入核算、收支明细帐等功能。4.1.1.6.4 移动支付系统支持读者手机网站扫码支付、手机直接支付、服务台出示付款码支付3种方式，并全面支持微信/支付宝双平台支付。4.1.1.7 其他平台4.1.1.7.1 电话语音系统电话/语音服务系统为搭建读者与图书馆之间的语音交互平台，解决咨询的中常63、见问题，提供电话/语音方式的图书馆基本服务。电话/语音服务系统采用自动语音导航，可为读者提供通知公告、自动应答服务、人工咨询服务，在非工作时间提供录音服务等。4.1.1.7.2 短信系统目前应用最为广泛的移动服务。通过短信平台，利用手机接收/发送用户定制的信息，包括各种提醒信息、业务办理指引信息、参考咨询信息、各种指令信息等。4.1.1.7.3 电子阅览室系统公共图书馆一方面需要为读者提供数字资源服务空间，包括学习空间、研究空间、休闲空间等；另一方面由于版权的问题，馆内访问依然是电子资源服务最有效率的路径。大多数公共图书馆对电子阅览室实行分区管理模式，包括馆藏信息检索服务、数字文献资源存取服务64、光盘文献资源浏览服务、馆藏互联网信息服务、视频点播服务等，管理软件能对不同区域的机器设备设置不同的参数，实现对客户端PC的设备管理、信息管理、程序管理，并提供资源导航和打印服务。4.1.1.7.4 联机编目系统编目是图书馆基础业务工作，联机编目平台则是较早出现的“云”应用，是“共享”理念的典型代表。联机编目平台对于减少重复的编目工作、提高编目效率和质量发挥了重要作用。在现代公共图书馆科技应用体系中，联机编目平台仍将发挥其重要作用，成为推进区域公共图书馆服务一体化和保证图书馆书目数据质量的重要平台，同时也成为向图书馆提供各类数据服务的中心。4.1.1.7.5 办公自动化系统办公自动化系统是基于65、工作流概念的内部业务管理系统，以方便、快捷地共享信息，高效协同工作为目标，同时作为基础性业务档案，以促进图书馆业务信息化、规范化管理。办公自动化系统也是图书馆内部工作网站，通常包括通知公告、办文管理、档案管理及电子出版物等部分，其中办文管理是核心，档案管理是配套。深圳图书馆办公自动化系统包括OA系统、读者咨询知识库、OA论坛、固定资产管理、员工点餐系统等。4.1.1.8 数据库平台数据库平台是图书馆最为核心的系统。数据库管理系统包括核心服务、缓存控制、数据字典、日志服务等，主要为图书馆各类应用系统提供数据定义、数据存取、数据库运行管理、数据库的建立和维护、数据库传输等服务。微信：111595566、733，朋友圈送资料，淘宝搜店铺名：建筑后浪4.1.1.8.1 核心数据库图3-15构建核心数据库之上的图书馆各应用系统可根据各自特性，选择适合的数据库系统接口，如ODBC、JDBC、OCI等方式访问数据库的核心服务。图书馆应尽量选择同一类型的数据库管理系统来构建图书馆的各类应用系统，合理利用数据库的数据类型、存储形式，实现有效、合理的应用系统数据架构。同时，善于利用数据库系统的相关特性，通过优化应用系统的数据结构、重新规范业务逻辑（分表）、索引优化等措施，提高应用系统的访问存储效率。4.1.1.8.2 非核心数据库非核心数据库包括MYSQL、SQL Server、MongoDB、Lucene67、Solr、ElasticSearch等。利用数据库系统的功能和特性，在核心数据库基础上实现数据的二次重组、深层次数据挖掘、远程数据备份是图书馆提升数据中心服务能力的重要措施。在实际应用中，常通过定时同步等机制将数据库的馆藏数据自动导入Lucene索引中，由Solr/Lucene代替底层数据库系统提供检索结果。这样既减轻了数据库系统的负载，也提高了检索效率。4.1.1.8.3 数据库灾备节点深圳图书馆目前采用迪思杰数据同步技术搭建2个实时备份节点，一个异地备份节点，数据更新达到秒级同步。同步节点应用与数据统计、挖掘分析等日常业务，有效分流了核心生产数据库服务器的业务压力。4.1.2 须引进或合68、作开发的系统须引进或合作开发的系统为深圳第二图书馆重点提升创新项目，需服务器、网络、存贮资源支持，以及相应的软件引进、合作开发费用。4.1.2.1 网站系统重构网站系统经费主要用于架构改造与新网站建设。架构改造主要包括由原来的单LB带2台WEB服务器，升级为双LB+2台WEB服务器+1台WEB后台服务器，LVS+Nginx+KeepAlived应用健康检查组成的高可用架构。安全架构也同步升级，网站前台与后台彻底分离，前台静态化进行网站防篡改改造，后端做自动化更新改造。架构改造涉及网站重做，应包含新网站UI设计、后台程序重做费用。4.1.2.1.1 背景及现存问题深圳图书馆自2006年以来即采用69、前端负载均衡板+后端双IBM P570服务器网站架构，12年以来运行稳定。但近来存在的问题也较多且稳定性下降，主要问题有：l 前端负载均衡板具备网络层级负载均衡及故障切换机制，应用级别健康检查缺失；l 双WEB服务器更新较繁琐，虽能使用NFS磁盘共享解决，但仍存在UserFiles（后台上传文件）的单点故障问题；l 深图网站2006年每年仅百万级别访问量，而目前PC版网站已在2000万访问量/年左右，2017年移动网站全面上线后访问量超过PC版网站，网站服务器性能及稳定性已呈逐年下降趋势，2018年初多次出现服务器进程号超过1500万的情况。目前计划的统一认证（OAuth2.0）、微信API授70、权（获取ACCESS_TOKEN）、扫码登录服务均不支持双服务器结构，两台服务器配置不尽相同，仍存在一定单点故障。4.1.2.1.2 性能分析及要求l 新网站UI设计及后台程序重构；l 并发需求：深圳图书馆网站目前每天访问量在10余万PV，属中小型网站对硬件网络压力不大，未来5-10年考虑日均300万PV并发压力；l 性能需求：2000并发TCP连接下，HTTP请求平均响应时间低于200ms；请求响应时间超过1秒的的请求数占比不超过5%；l 可用性需求：软件更新/维护不停服务（对于移动支付及移动平台等可用性要求较高的应用7*24小时不间断）硬件维护视具体情况停止服务处理（发现/响应时间5分钟内71、，修复时间30-60分钟内）网络壅塞情况下服务器TCP连接数不超过1000，TOMCAT活动线程数不超过200l 立体安全防护架构，核心权限提升多物理链路隔离验证，从防护、恢复、发现3方面最大限度提高网站防护攻击、防篡改能力l 敏捷运维需求：应用发布、更新、运维、故障定位统一管理，简化图书馆之城运维节点管理，集中到1-2个更新节点统一发布，同时建设新功能/重要补丁渐进式更新迭代机制；l 监控及统计：实时监控各个应用服务量数据变化，及时核算所需资源量级并调整，以适应创新服务高速变化的特点。挖掘网站访问数据，进入大数据挖掘分析平台，建立网站访问与ULAS系统读者之间的关联；l 日志收集分析：建设网72、站访问日志收集、分析、查询、归档系统，进一步开发网站访问数据仓库，实现创新回溯建设功能。4.1.2.1.3 网站架构改造2台后端高性能服务器（RS=realserver）以及2台高性能前端服务器做负载均衡（LB=LoadBalance）及应用健康（Nginx健康检查）检查服务器，共4台服务器共同构建网站高可用架构。4.1.2.1.4 新网站UI设计及重做按新架构重做网站程序，并设计全新UI，迁移所有数据至新系统，包括深圳图书馆网站、图书馆之城网站、公共图书馆研究院网站3个网站，共100多项功能模块，因不涉及功能上的升级扩展，具体功能此处省略。4.1.2.1.5 OPAC门户改造按新架构重做OP73、AC门户站点，包括全新UI，数据迁移，以及书目检索、馆藏揭示等深化设计及实现。本模块依赖“图书馆之城开放API”平台提供的馆藏实时揭示能力。4.1.2.1.6 高可用前端采用Nginx负载均衡后端的2台WEB服务器。并实现应用级健康检查：l 更新程序时秒级切换至另一台服务器（返回404等错误立即转至另一台服务器）l 网络壅塞/Tomcat服务停止，一分钟3次连接超时即切换至另一台服务器Weba与Webb完全相同且不可相互访问，无依赖关系避免产生网络连接。Weba与Webb与更新节点间单向访问，亦无依赖关系。Cacti实时监控服务器TCP连接数、Tomcat活动线程数，超过警戒值短信报警。4.174、.2.1.7 敏捷运维l 网站更新点：包括深图网站、图书馆之城网站、公共图书馆研究院网站、专题资源l ULAS更新点：包括图书馆之城中心管理系统ULAS，以及OPAC检索、MyLibrary查询、参考咨询等。l 网站运维服务器限制于馆内物理网络，ULAS运维服务器须接入VPN互联l 运维需求由云监控系统、数据挖掘分析、创新服务共同驱动l 采用Redhat Linux开源/自有软件实现网页防篡改机制。4.1.2.1.8 安全保障l 网站前台架设于发布节点，对用户只读l 网站后台架设于更新节点，对发布节点只读，对运维可写l 实时监控发布点变化，发现文件修改立即调取rsync同步更新点文件进行恢复l75、 自动化文件、数据、代码的实时/差时备份机制，定时备份各个时间节点的文件数据以备灾难恢复l 7*24小时不间断智能监控l 短信报警通知功能（一般问题）l 人工电话报警通知（严重问题）l 严重问题关停处理机制及演练4.1.2.2 电子阅览室系统改造电子阅览室费用为微信排队取号改造升级。主要功能模块包括：4.1.2.2.1 微信排队功能前端l 微信排队功能：读者可关注微信公众号进行阅览室排队，可取消，每天只能取消3次，读者参加排队不来上机则记违规一次，3次违规停权3个月；读者可挑选机位进行排队；l 微信扫码排队功能：在相应阅览区使用微信扫码，即可加入排队序列；l 微信通知功能：即将排到的机位，提前76、10分钟通知读者，读者到指定机位等候上机。4.1.2.2.2 排队功能管理后端排队管理后端在现有管理程序基础上升级，主要新增的功能有：l 通知功能：人工通知读者上机l 违规功能：对不遵守微信排队规则的读者予以记违规处理l 大屏幕展示：大屏幕显示实时现有机位使用情况，并显示提醒最近可以上机的读者姓名（*号屏蔽），以及证号末尾3位数。4.1.2.3 大数据挖掘及分析系统4.1.2.3.1 项目背景“大数据”技术在国内外图书馆已经得到广泛应用。国外图书馆推进大数据的实践主要有以下几种：一是建立知识服务社区，实体行为智能分析引擎。如美国HPP公司将大数据用来分析电子图书读者阅读习惯和爱好，构建知识服务77、社区实体行为智能分析引擎，从而有针对性地开展服务，取得了较好的效果。这是国内外首例将大数据技术应用于图书馆实践的尝试。二是开放馆藏资源。如哈佛大学图书馆将大数据的服务引入图书馆实践，向读者公布包含书目数据、地图、手稿、音视频等在内73家图书馆提供的1200多万种资料，并在美国数字公共图书馆中提供下载服务。三是积极开展大数据项目的研究。如美国“Library Journal”举办“Future of the Academic Library Symposium：ETexts Big Data，and Access”学术研讨会。四是争取专项经费改善基础设施。如2009年8月，JHU(约翰霍普金斯)78、大学图书馆得到NSF一项2000万美元的资助，构建一座数据研究基础设施(Data Conservancy)，用来管理过去从教学和科研中产生的海量增长的数字资源。五是组建数据咨询小组，设立信息专员。如JHU(约翰霍普金斯)大学图书馆在合作项目中选择既有学科背景，又善于合作的馆员担任信息专员，提供协同嵌入服务以及参加文献评述、合成与数据摘录等工作。大数据在国外应用如火如荼的时候，国内图书馆也开展了大数据的研究和应用。图书馆理论界早在2012 年由武汉大学图书馆学专家陈传夫教授在图书馆主题论坛上做了大数据时代的数字图书馆的专题报告。2012 年11 月在南开大学召开了“大数据时代的机遇、挑战与责任”79、的研讨会。深圳图书馆作为龙头馆，以“图书馆之城”中心数据为基础，积极开展“大数据”挖掘与研究，研制开发出“图书馆之城云监控中心”和“图书馆之城数据分析与监控平台”2套系统，并探索利用“大数据”技术提升服务质量、控制数据质量、优化业务流程的方法及意义。4.1.2.3.2 性能要求大数据挖掘分析系统主要在现有系统架构上，以合作开发或模块引进的方式，建设以Hadoop分布式计算为主要技术手段的大数据挖掘分析系统。功能包括升级现有的E统相关功能，新增E衍、E视、E报等功能模块，重点提供深层次挖掘分析功能。l 多维度数据挖掘、聚类、整合l 智能数据清洗l 深层次数据分析l 建设读者档案数据仓库（读者画像80、）l 建设资源档案数据仓库（资源画像）l 建设图书馆业务模型数据仓库l 建设关联规则数据仓库，应用机器学习技术挖掘隐性关系l 利用大数据技术推动图书馆业务全面智慧转型l 数据统计、分析需求生命周期敏捷化管理l 普通数据统计响应时间1秒，复杂数据分析响应时间不超过15秒4.1.2.3.3 数据规范、整合、清洗及挖掘系统建设以Hadoop分布式计算为主要技术手段的大数据挖掘分析系统，一台服务器继承原先的Oracle数据挖掘系统，5台服务器搭建Hadoop分布式计算为主要技术手段的大数据挖掘分析系统，数据采集服务器采用虚拟服务器解决，实现大数据规范、整合、清洗及挖掘。图 42预想系统架构图主要功能包81、括： 数据采集建模抽样：抽样数据的标准，一是相关性、二是可靠性、三是有效性。包括质量把控和实时采集。 数据整理、数据探索对所抽样的样本数据进行探索、审核和必要的加工处理，是保证最终的挖掘模型的质量所必须的。 数据质量分析：检查原始数据中是否存在脏数据。包括缺失值分析、异常值分析、数据一致性分析。 数据特征分析：在质量分析后可通过绘制图标、计算某种特征量等手段进行特征分析。 数据清洗 数据清洗主要是删除原始数据集中的无关数据、重复数据、平滑噪音数据，刷选调与挖掘主题无关的数据，处理缺失值，异常值等。 缺失值通过删除、插补或不处理，异常值通过删除、提取现有变量填补等方式处理。 数据变换 数据变换主82、要是对数据进行规范化处理，将数据转换成“适当”形势，以适用与挖掘任务与算法的需要。 数据规约 数据规约产生更小但保持元数据完整性的新数据集。提高效率。主要包括属性规约和数值规约。 数据集成 数据来源往往分布在不同的数据源中，数据集成就是将数据源合并存在一个一致性的数据存储。 构建模型，模型评价及发布样本抽取完并经预处理，对本次建模进行确认，是分类、聚合、关联规则、时序模式或者职能推荐，以便后续选用哪种算法进行模型构建。这一步是核心环节。针对图书馆行业的数据挖掘应用，挖掘建模主要基于关联规则算法的动态书目资源推荐、基于聚类算法的读者价值分析、基于分类与预测算法的图书借阅预测、基于整体优化的图书馆83、网点选址等。为了确保模型有效，需要对其进行测试评价，目的找出一个最好的模型。 为了有效判断一个越策模型的性能表现，需要一组没有参与预测模型建立的数据集，并在该数据集上评价预测模型的精准率。模型发布包括模型部署及模型重构等。4.1.2.3.4 E统从图书馆服务、读者数据、文献利用、文献资源4个角度全面揭示图书馆的服务情况。图书馆服务是从服务角度出发的统计，按服务的属性（实际发生的地点、服务类型、服务时间等）进行数据挖掘，不包含服务对象（读者）和服务内容（文献）的属性。读者数据是从读者角度出发的统计，按读者属性（年龄层次、文化程度、工作单位、居住地点等）进行数据挖掘，以揭示不同读者的行为习惯。文献84、利用是从文献角度出发的统计，按文献属性（文献作者、出版年、所属馆等）进行数据挖掘，揭示不同文献的利用情况。此处图书馆用“文献馆”标识。文献资源是从馆藏建设角度，揭示馆藏文献现状，历年入藏文献结构等。对于“某某图书馆”这个概念而言，在图书馆服务统计中，意指发生于“某某图书馆”地点的借书操作，而并非指借的文献属于“某某图书馆”，更不是指借书的是“某某图书馆”的读者，用“服务馆”或“成员馆”标识。而在文献利用统计中，则指文献属于“某某图书馆”，用“文献馆”标识，以明确概念异性。4.1.2.3.5 E衍大数据的多维信息结构无法使用类似中图法的线性结构来描述。E衍试图在大数据中找出不同视角之间的联系，功85、能主要包括解决“图书馆之城中跨馆借还所占比重”、“图书查询量和借阅量之间是否存在联系”、“是否能按借书的特征将读者归类”等。在发现数据的相关性之后，使用数学工具建立回归模型，即可对实际的服务工作提供有参考价值的预测。4.1.2.3.6 E视（云监控及报警系统）监控管理不仅仅是“图书馆之城”高可用的重要保障，也是日常服务和工作的一扇窗户。E视分为“视服务”、“视设备”、“视系统”3部分，力求将一个多维度的图书馆服务体系以直观的形式展现出来。其中“视设备”借助开源软件定制开发已稳定运行，届时迁移至新馆即可，“视服务”、“视系统”2个模块须引进并定制开发。在发现故障时，能在最短时间内响应并处理。同时86、自动发现偏离正常值的数据，并报告给相关工作人员，力图将故障扼杀在摇篮中。图书馆系统的高可用中人为的干预是不可或缺的，一个无须人为干预的全自动高可用系统是不存在的。假设服务系统A在监控系统B的监控下高可用，那么B必定不高可用，若再加一个监控系统C对B监控，则B高可用，但C不高可用，这样就在逻辑上形成死循环，整体高可用成为一个永远达不到的目标。E视的作用就是将监控系统与管理人员紧密联系到一起，以最少的代价换取整体系统的高可用。4.1.2.3.7 E报“图书馆之城”的大数据是一个多维的信息宇宙，在其中旅游的图书馆员即使努力规划行程，也难免会走一些弯路，收获一些并不需要的信息。E报可以将有用的统计图表87、分析结果、监控通知等汇总起来形成报告存档。4.1.2.3.8 统计分析UI设计需求不同的人有不同的使用统计结果的需求，须提供三种不同的统计UI应对不同的使用者。u 统计模式引入抽象的主副分量概念标识不同的细分粒度，这是相对的高阶统计UI。如上图所示，主分量为月，副分量为空，则总计4个成员馆的借书总量。主分量为月，副分量为成员馆，则以4条折线对比4个成员馆的借书量。如上图所示，副分量也可按服务点粒度进行细分对比。从理论上来说，任何一个拥有一维主分量的统计结果都可以按照不同的副分量（二维细分粒度）进行细分比较，从而发现数据趋势变化的真实细节。u 模板模式统计设计模式相对门槛较高，也需要相应的培训88、才能使用，对于普通工作人员来说，使用系统设定好的统计模板，就能得出相应的统计结果。如上图所示，选择“借阅量年同比”模板后，其主副分量分别设为“月”和“年”。u 报告模式对于无须使用统计系统，只查看统计结果的使用者（如各级馆领导）提供报告模式。报告是一批统计图的汇总，用于说明一系列有统计意义的问题。如上图所示，报告可编辑为图文样式进行发布，是统计结果的精华汇总。馆领导角色通过查看形成的统计分析报告，对接OA系统形成业务意见。在报告模式中，统计图设置功能可以对自定义统计图样式，包括主标题、副标题，每条线（柱）的颜色等变量，以应对不同的统计需求。4.1.2.3.9 统计分析结果利用权限在“图书馆之城89、”应用模式下，为保证数据安全，必须严格控制统计数据的获取权限。系统分3级控制统计数据的使用权限保证数据安全并制定系统级别的敏感数据隐私保护策略。u 中心/成员馆级中心/成员馆级权限控制是EasyLod基础权限系统，凌驾于操作员角色权限之上。中心（馆）可从纯技术层面出发获取全部统计结果，成员馆（包括中心馆）在默认情况下能获取全市流通统计结果和本馆读者、文献统计结果。以最大限度保护各成员馆业务数据私密性，同时中心（馆）又能从宏观技术角度协调各分馆业务。如图所示，以成员馆身份登录的操作员默认只能统计本馆文献利用数据。u 总分馆级“图书馆之城”有以区图书馆为首的总分馆，和深圳图书馆-自助图书馆体系2个90、总分馆架构。在统计分析平台上，课题组重点考虑图书馆之城整体情况，同时为各个总馆所辖图书馆提供数据分析平台。u 操作员角色级采用用户、角色、权限3级架构精细化管理“图书馆之城”每个操作员的统计权限。从业务角度分为采访、典藏、流通、活动、自助图书馆等不同角色，从职责角度分为数据统计员、统计校验员、统计发布员等角色。每个统计员的操作均被限制在特定的权限池中，以最大限度地保证“图书馆”之城的数据安全。u 系统级别数据隐私保护与互联网个人用户隐私保护的概念类似，数据分析结果同样有隐私保护的问题存在。不够完善存在歧义的统计报告、因某种不可抗力产生的必然负面统计结果、因图书馆宣传推广策略暂时需要保密的统计结91、果都属于EasyLod数据隐私保护的范围。从系统层级上限制统计报告只能被创建者和创建者指定的工作人员查看，同时对于各成员馆文献、读者现状，文献入藏量，以及工作人员统计数据等从开放API服务层级限制非本馆人员查阅，以实现最大化的数据隐私保护。4.1.2.3.10 统计分析流程管理现代图书馆统计分析工作不是简单的使用系统，而是一套严谨细致的工作流程。如上图所示，统计设计员负责统筹设计全部统计模板，统计员利用统计模板负责各个时间段的统计数据汇总，并将有意义的统计结果编辑形成报告，最后提交给馆领导等最终使用者。馆领导可根据统计报告做出批示，修改意见通过统计员反馈给统计设计员，统计设计员利用EasyLo92、d的统计设计模式，制定出新的统计模板或者修改现有的统计模板以应对新的需求。在整个统计工作流程中，3个角色相互依赖、相互影响、相互制约，共同推进大数据应用向纵深发展。4.1.2.4 智慧平台智慧平台经费主要为基于“图书馆之城开放API平台”，合作开发特色智慧应用。4.1.2.4.1 项目背景传统的图书馆服务主要以读者基本借还需求为中心，借助新媒体平台重新推出web2.0下已有的各项服务，比较单向。当代公共图书馆智慧转型，着力于新媒体，图书馆业务，读者三位一体的有机结合，以图书馆+物联网+智能化设备的模式，从用户体验出发，不仅可以实现基本的业务功能，还可以24小时不间断提供服务，解决读者的各类问题93、，为读者在借阅过程中节约更多的时间，进一步提升用户体验。同时将工作人员从重复劳动中解放出来，让馆员为读者提供更加优良的服务。深圳图书馆对智慧服务转型进行了一系列探索并取得一定成果，包括发现身边的自助图书馆、数据深层次分析、 网上机器人应答等方面。但受限于物理网络、物联网等基础设施建设，图书馆各个资源的全面连接尚未建立，未能形成资源与读者间的有机智能连接。4.1.2.4.2 功能要求l 在ULAS软件平台建设和图书馆的各楼层服务区域的传感网建设基础上，实现图书馆资源互联互通；图书馆中所有资源对读者开放，包括图书、期刊、数据库、阅览座椅、电脑、电子图书等所有资源均可以揭示和发现，并保证其可获取性，94、做到“所见即所得”。l 以开放API接口平台为基础，实现图书馆各类业务系统之间的数据采集、发现、整合；实现图书馆读者服务系统、业务应用系统、行政办公系统、消防管理系统、安全管理监控系统、楼宇智能系统、客流管理系统及资产管理系统等全部系统的联动。l 通过移动媒体、数据整合汇总、导航地图、移动定位等技术，构建智能化环境，实现人与资源、人与人之间的联通、互动和协调；实现读者服务的知识发现与聚类分析，读者和馆员之间形成无界互通，图书馆的资源、馆员与读者可以随时、随地实现主动的指引、知识推送及互动。l 建设统一的智慧化管理和资源发布平台，实现资源的实时管理和信息的共享、发布，以及跨平台资源发布点的统一管95、理；智慧图书馆融入智慧城市乃至智慧国家，成为智慧地球中的智慧结点。智慧平台将构建符合公共智能标准、规范的通道，保证信息安全。性能及兼容性、安全性、开放性需求：l 软件在安装、配置、升级、维护等管理方面应该简单快捷l 系统应具备易操作的特点，实用高效l 系统应具备强大的容错、数据恢复与稳定运行的能力l 系统应易于扩展和升级，能够根据用户的具体需求快速、方便地定制、扩展原系统的功能l 系统应经过完善的设计和充分的测试运行，具备在较长时间内连续无故障的运行能力l 系统应提供全面、有效的系统安全机制。l 提供标准化开放接口，能与其他系统无缝对接。l 请求平均响应时间500ms。4.1.2.4.3 馆内96、读者服务空间管理空间管理是对图书馆的“空间资源”提供系统化的管理和服务规划。空间管理的数据可如下定义：l 空间类型：活动室、研究室、会议室、办公室、服务区、阅览室、书库、报告厅。l 坐席类型：普通坐席、智慧坐席。l 预约方式：按时段、按场次。l 活动类型：讲座、展览、活动。或依赖系统接口转换从图书馆门户网站后台获取。l 请求状态：待受理、已接受、完成、拒绝、超期取消、自行取消。空间管理的基本功能包括区域管理、预约管理、分配管理、传感网管理、设备管理、证件管理、监控管理和接口管理。4.1.2.4.4 智能语音机器人为定制式的语音机器人交互设备，可引导读者进行语音交互对话，支持自然语言理解，提供语97、音导航和指引。l 前台功能语音交互导航：依据知识库内容要点，理解读者面对面提出的对话语音，然后进行答复和指引。机器人的问题库可进行自主学习和训练。在线文献检索：提供检索入口，为读者提供语音式的搜索，通过触摸式的交互电脑指引出来，关键词可进行自助学习和训练。读者互动：定制的机器人外型，提供表情变化、打招呼、指路等简易互动。l 后台功能输入端口：支持语音输入及界面输入、读者画像输入、动作输入、位置输入。知识库管理：基于目前的知识库系统，增加智能语音机器人专有知识库系统，对接自然语言分析模块，自然语言分析：具备自然语言分析模块，语言倾向性分析功能。并具备对接深圳图书馆知识库本体的能力。4.1.2.498、.5 智慧信息墙为定制式的大型拼接展示窗/屏，放置在图书馆的主要入口处，提供信息展播、资源浏览、读者互动等功能。其主要功能包括：n 信息发布：提供图书馆的活动、资源、新闻、服务信息、在馆服务信息等一切可公布信息的展示画面，采用图形化的方式进行发布；提供信息的登陆入口，包括二维码、地址等信息，允许读者快速的了解和参与服务体验。u 信息交互：提供各种可交互资源，允许读者通过触摸、扫一扫推送等方式进行资源的点播与发布，可进行信息的弹屏与心得交流。u 后台管理：提供信息布局设计，信息点接口管理，信息规范校验，敏感词过滤等功能。4.1.2.4.6 馆内智能位置感知及推送基于移动服务技术、WIFI室内定位99、技术对读者进行馆内定位，结合读者大数据画像系统给读者推送当前位置附近读者可能感兴趣的图书、期刊、活动、服务等信息。并对推荐效果进行跟踪评价，形成长期的不断完善机制，不断推进馆内阵地服务深入发展。主要功能模块包括：u WIFI指纹定位算法：相似度定位或三角定位，要求精度3-5米；u WIFI指纹数据库管理：存贮WIFI指纹数据库并能及时更新；u 室内位置变化通知：读者从一个区域进入另一区域时，发送系统通知消息。u 读者室内位置数据分析：读者最常去的区域，读者停留时间最长的区域，热点区域时段分析等。4.1.2.4.7 馆内空间服务指引为集成式的触摸交互设备，集成大型触摸一体机、凭条打印机、RFID100、阅读器等设施，为读者提供信息浏览、服务指引、个人信息查询、自助预约及打印等服务，规划为30台设备以内。u 自助查询与预约：刷RFID读者证后，查询个人预约信息和借阅信息等，自助打印服务凭证。u 信息交互：提供图书馆的新闻公告、活动报道、服务指南、资源分布、服务规则等信息点击浏览，便于读者快速了解图书馆的各种服务和资源。4.1.2.4.8 城市图书馆导航服务基于移动服务平台和GPS定位技术，结合读者大数据画像系统给读者推送当前位置附近读者可能感兴趣的图书、期刊、活动、服务等信息，并提供导航至相应图书馆、街道馆、社区馆、服务点的功能。并对导航路线、推荐效果进行跟踪评价，形成长期的不断完善机制，不断101、推进“图书馆之城”全城服务创新深入发展。本项主要为基于“图书馆之城开放API平台”合作开发。u GPS指纹定位算法：提供H5定位接口，全面支持微信、支付宝，并对接百度导航APP进行导航；u 位置变化通知：读者从一个图书馆/服务点进入另一图书馆/服务点时，发送系统通知消息。u 读者位置数据分析：读者最常去的图书馆或服务点，读者停留时间最长的图书馆，热点图书馆时段分析等。4.1.2.5 应用日志审计系统通过引进系统+定制开发。在全日志系统记录入库的基础上实现全系统日志审计，为应用系统运维、性能分析、安全保护提供可靠的支撑。4.1.2.5.1 项目背景深圳图书馆目前的ULAS系统采用关键事务日志记录102、入库，随着智慧图书馆应用的纵深发展，关键事务记录的维度捉襟见肘，不断扩展关键事务概念范围费时费力。深圳第二图书馆的ULAS系统升级改造已包含应用日志全维度记录数据仓库的建设方案，随之而来的问题是海量数据的存贮与管理，以及如何有效利用。4.1.2.5.2 功能要求l 全应用日志数据无损入库，永不删除，全日志可回溯l 敏感事件发现、自动通知及项目管理l 监管应用行为，对应用系统架构提供性能、稳定性建议l 为应用安全架构建设打基础l 对接大数据挖掘平台，提供全维度数据仓库l 对接ULAS V系统智能模块，实现应用系统智能嵌入式管控4.1.2.5.3 系统架构系统架构如下图所示：图 43应用日志审计系103、统架构图网络引擎：是审计系统的核心组件，主要负责处理对数据库访问流量及SQL语句的解析，包括流量采集加速、数据捕获、协议识别、协议解析、SQL语句重写与分类、数据库入侵检测等功能模块；审计中心：主要负责对审计日志、告警等信息的检索、分析和报表统计；WEB控制台：包括策略管理、网络管理、数据库管理、数据维护、日志管理、账号管理等配置模块。4.1.2.5.4 产品功能 应用系统漏洞攻击检测在CVE上公开了2000多个数据库安全漏洞，这些漏洞给入侵者敞开了大门。数据库厂商会定期推出数据库漏洞补丁，出于数据库打补丁工作的复杂性和应用稳定型的考虑，无法及时更新补丁。本系统提供了漏洞攻击检测功能，在数据库104、外的网络层创建了一个安全层，在用户在无需补丁情况下，完成数据库漏洞防护。 监控大规模数据泄露和篡改本系统针对不同的数据库用户，提供敏感表的操作权限、访问行数和影响行数的监控，以及限制NO WHERE查询和更新操作的监控，从而避免大规模数据泄露和篡改。 语句管理与敏感数据本系统通过SQL语法分析构建动态模型，形成信任语句和敏感语句管理，对信任语句语句正常执行，对敏感语句进行进行及时告警。 SQL注入检测本系统通过对SQL语句进行注入特征描述，完成对SQL注入行为的检测。系统提供缺省SQL注入特征库；系统提供定制化的扩展接口。 用户权限细粒度管理本系统对于数据库用户提供比DBMS系统更详细的虚拟权105、限监控。监控策略包括：用户+操作+对象+时间。在操作中增加了Update Nowhere、delete Nowhere等高危操作；控规则中增加返回行数和影响行数因素。 审计动作审计行为是对数据库访问行为的记录，分为：“普通审计”和“告警审计”。普通审计将针对所有的数据库访问行为都将记录到本系统的存储中；告警审计是对发现的高风险行为记录到告警存储中，提供特殊的查询和检索接口。告警通知是对当前检测到的高风险数据库访问行为，及时通知到最终用户，通知方式包括：syslog、snmp、邮件和短信。 全面精细审计分析本系统提供全面详细审计记录，告警审计和会话事件记录，并在此基础上实现了内容丰富的审计浏览、106、访问分析和问题追踪，提供实时访问首页统计图。本系统通过对捕获的SQL语句进行精细SQL语法分析,并根据SQL行为特征和关键词特征进行自动分类，系统访问SQL语句有效“归类”到几百个类别范围内，完成审计结果的高精确和高可用分析。 实时运行监控提供系统级监控统计图，帮助用户直观监控当前审计系统所处【风险分布】、【会话统计】和【SQL分布】风险分布、会话统计、SQL分布功能截图 风险、语句、会话统计分析本系统提供多维度的审计检索功能，分别从风险、语句和会话三个层面完成统计与检索查询功能，并支持多层级钻取，帮助用户高效的锁定风险目标。【风险】的主要功能是对被保护的应用系统、数据库进行各种风险结果的查询107、及分析，主要包含以下几种：敏感语句、SQL注入、漏洞攻击、风险操作。风险的结果与策略管理中的规则是息息相关的，根据策略管理中配置的规则会产生相应的风险。图 44风险统计功能截图【语句】记录了本系统审计到的所有数据库语句记录，基于语句分析可以清晰的对数据库访问的各类sql语句进行分类查询、分析。分析方式包括：sql统计、语句检索、模板检索、失败sql、TopSQL、新型语句。【会话分析】是对应用系统、数据库的所有SESSION行为进行分类统计、分析和追踪，包括会话统计、会话检索、失败登录、活跃会话、应用会话五个功能模块。通过会话分析功能是基于数据库通讯会话做线索分析，可以快速的进行风险定位，提高108、应用系统风险分析的效能。 报表展示功能【报表】功能是审计日志大数据系统化分析的具体表现形式。利用审计报告、周期报送的报表功能将审计日志和风险分析中所要体系的数据库安全趋势做更加直观的表现。帮助安全管理人员更加便捷、深入的剖析数据库运行风险。本系统提供系统级统计报表（全库表）和数据库单库统计报表。报表结构，包括：1 概况2 总体访问情况3 性能情况 Sql压力 会话压力 访问量排名前10语句模板清单 平均耗时排名前10语句模板清单4 会话分布情况 不同源IP的新增会话 不同源会话的并发会话 不同源IP&用户的新增会话 不同源IP&用户的失败会话 不同源IP&用户的并发会话5 语句分布状况图 按照109、访问类型的分布 不同源IP的语句统计表和图 不同源IP的成功语句与失败语句统计表和图(失败量语句量前十和其他) 失败语句分布6 风险分布状况 风险命中统计表和图 不同源IP的风险分布统计表和图 高危风险的规则命中清单 应用系统自动发现出于易用性考虑，为方便用户实施：采用自动审计识别机制。旁路监听网卡无需配置，协议自动识别。免于用户操作。 支持多应用系统审计，采用双重数据库添加方式： 应用系统手动添加 ：手动添加被审计数据库对象。应用系统自动发现 ：在一定时间内容持续性的发现镜像到的数据库信息。应用系统会纳入数据库【自动发现】列表，帮助用户自动发现需审计的数据库对象。通过产品网卡自动识别机制和应110、用系统自动发现功能，可以免于用户部署，即插即用完成应用系统审计操作。4.1.2.5.5 方案价值l 满足合规要求：帮助用户满足等保、分保等合规要求；l 提高监管能力：全面、准确地展示、汇报应用系统访问情况、安全风险和执行效率，方便管理员全方位掌控数据库运行情况，提高对应用系统安全监管的能力；l 加快响应速度：实时记录、分析和统计应用系统访问行为和安全风险的告警信息，方便管理员在应用系统安全事件发生后第一时间采取管控措施，加快对应用系统安全事件的响应速度；l 解决追责难题：准确的应用用户关联优势，切实、有效地解决了应用系统架构中，安全事件发生后精准定位、追责到人的难题。4.1.2.6 应用系统安111、全管理平台4.1.2.6.1 项目背景 网站安全面临的挑战目前，互联网安全威胁来源开始从传统的网络和系统层，转向以恶意代码（Malware）为代表的应用层，攻击者已经形成了明显的“地下产业链”，从个人、小团队的攻击行为转向了经济利益驱动、有组织的攻击行为。作为互联网的“门户”网站，其安全问题也日益严峻，例如SQL注入攻击、XSS攻击、DDOS攻击、网站挂马、页面篡改、敏感内容等等，这些网络攻击行为极大地困扰着网站提供者，给深圳市图书馆形象、信息网络甚至核心业务造成严重的破坏，导致了机构门户的形象受损和公信力的下降。而由于传统网站安全评估工作中所采用Web应用漏洞扫描工具在扫描规模、页面爬取和分112、析、检测结果关联分析等方面存在局限性，并且其无法做到高频率的风险监测。对于承担网站监管与安全治理责任的机构来说，针对类型复杂、数量众多的网站群如何进行安全监测，如何第一时间发现某个站点的安全事件，如何有效地对大量的站点群进行监测数据的汇总分析和统计，如何反映所有被监测站点风险分布的总体状况，成为新的难题。传统的网站安全监管方式通常是采用Web应用安全扫描工具周期性的对网站进行安全扫描与评估，然后根据评估结果进行安全加固和风险管理。这种安全检查工作是一种静态的检查工作，能够反映站点被检查那一时期站点的安全问题，但是缺少风险的持续监测性。例如，通常情况下一个网站一周甚至一个月做一次安全检查，而对于113、网站挂马、网站篡改等事件通常都是突发性事件，持续时间短，但是网站挂马事件、网站篡改事件一旦产生，将会给深圳市图书馆形象、信息网络甚至核心业务造成严重的破坏。而通过每周或者每月一次的安全检查并不能够第一时间发现这些已经产生的严重风险事件并做出相应的处理工作。 分散化日志带来的挑战安全领域的特点，即他和现有的所有层面的IT技术和产品都有关联，他和网络技术、主机操作系统、应用软件、人为管理、个人PC、服务器、内容安全、电话网等所有领域都有关系，因此几乎没有一个厂商能够将自己的安全产品覆盖到所有领域，安全有无数的细分领域：防火墙、入侵检测、扫描器、SSO、审计、补丁管理、集中认证、一次性口令、LDAP114、加密存储、链路层加密、防毒、内容安全、sniffer、forensics、PKI、安全服务、策略管理等等，每个领域都有一个最强大的厂商，在这样一个零散的环境中，你必须面对每个厂商不同的管理界面和终端，这是一个非常大的挑战。 安全产品部署的过程中，最为严重和突出的现象是会出现大量的安全事件，一个标准的网络入侵监测系统采用缺省的策略，在一个百兆的链接上每天可能产生超过千万数量的事件，分散的数据常常让我们的安全产品变得没有任何意义，即使经过调整和优化的策略，也充斥着无意义数据和误报。入侵监测等安全产品也正是因为这种原因被人诟病，有些无效数据是由安全产品的机制自身导致的，他本身无法彻底解决该问题，深115、圳市图书馆面临的难题是，必须减少但不丢失安全事件，这样才能让我们对安全产品的管理变得可能和有效率。每种设备类型的日志格式都不相同，各有各的表达，即时是表达同一件事情，也都有各自的表达方式。例如同样的登录失败信息，防火墙中的描述和主机操作系统中的描述格式就可能根本不相同。这迫使审计人员去了解每种设备类型的格式 数据安全带来的挑战互联网、云计算、物联网等新技术的应用，催生了量子级的数据增长，数据安全面临前所未有的挑战!我国信息安全已从终端安全、网络安全，发展到数据安全建设阶段。数据安全的核心是对“数据”全方位的安全防护，其产品及解决方案直接涉及国家和企业的核心机密。一场新的数据安全技术变革，已经来116、临12306大量用户身份信息泄露，知名连锁酒店海量开房信息泄露，数千万人社保信息泄露，网易、支付宝、携程宕机导致大量用户信息泄露权威机构预测2019年数据泄露造成的损失将达2万亿美元，这些数据安全挑战已充分论证数据安全是当前的主要矛盾，数据安全建设需要高度重视。各行各业的业务数据几乎都存储在数据库中，数据库安全是直接针对数据主要载体进行防护的，是数据安全时代的核心需求。数据库同时是各种信息的集散地，它处于组织网络信息安全防御中心，是“兵家必争之地“。如果说金钱不一定是数字，但数字就是金钱。数据库面临的严峻挑战，概括起来主要表现在以下三个层面：管理层面：主要表现为人员的职责、流程有待完善，内部员117、工的日常操作有待规范，第三方维护人员的操作监控失效等等，致使安全事件发生时，无法追溯并定位真实的操作者。技术层面：现有的数据库内部操作不明，无法通过外部的任何安全工具(比如：防火墙、IDS、IPS等)来阻止内部用户的恶意操作、滥用资源和泄露贵单位机密信息等行为。审计层面：现有的依赖于数据库日志文件的审计方法，存在诸多的弊端,比如:数据库审计功能的开启会影响数据库本身的性能、数据库日志文件本身存在被篡改的风险，难于体现审计信息的真实性。伴随着数据库信息价值以及可访问性提升，使得数据库面对来自内部和外部的安全风险大大增加，如违规越权操作、恶意入侵导致机密信息窃取泄漏，但事后却无法有效追溯和审计。深118、圳市图书馆很多对外服务数据都是直接数据库，并且各个分馆都直接通过VPN可以直接访问到中心数据库，对谁调取了相应数据或者修改了数据库的信息，目前都是一个盲区，有非常大的安全隐患。4.1.2.6.2 功能要求l 核心数据安全保障l 单点漏洞爆发体系防御l 应用系统加固l 网络层、应用层、数据库层全应用层级加密l 应用层扫描防护l 应用防篡改能力l 应用智能防御策略部署及实施4.1.2.6.3 安全扫描检测服务及风险评估主要为定期检测深图2馆网站及相关应用系统风险，并协助及时修复，形成风险评估报告，协助网站等级保护评测。u 协助深圳2馆修补加固信息系统安全；协助对网站和重要对外应用系统的修复加固；协119、助对重要应用系统、服务器和数据库等修复加固；对重要网络设备、安全设备进行安全审计分析；u 完成深圳市政府和深圳市文体旅游局对深圳图书馆信息安全绩效评估要求的相关工作；u 在深圳2馆信息化建设和运维过程中，对于安全产品、安全技术、管理制度等问题，提供安全咨询建议和方案。如：新建/改造系统安全咨询、等级保护测评咨询、安全管理规范咨询、安全事件取证咨询等；u 对深圳2馆提供安全防范技术措施落实情况核查与优化、应急预案建设与演练、公众服务系统安全修复、安全培训等安全服务。u 为深圳2馆工作人员提供专业的信息安全培训，培训需建具有可操作性、专业性等要求。u 微信：1115955733，朋友圈送资料，淘宝120、搜店铺名：建筑后浪4.1.2.6.4 数据库审计及告警系统u 语句管理与敏感数据本系统通过SQL语法分析构建动态模型，形成信任语句和敏感语句管理，对信任语句语句正常执行，对敏感语句进行进行及时告警。u 审计功能审计功能是对数据库访问行为的记录，分为：“普通审计”和“告警审计”。普通审计将针对所有的数据库访问行为都将记录到本系统的存储中；告警审计是对发现的高风险行为记录到告警存储中，提供特殊的查询和检索接口。告警通知是对当前检测到的高风险数据库访问行为，及时通知到最终用户，通知方式包括：syslog、snmp、邮件和短信。u 全面精细审计分析提供全面详细审计记录，告警审计和会话事件记录，并在此基121、础上实现了内容丰富的审计浏览、访问分析和问题追踪，提供实时访问首页统计图。通过对捕获的SQL语句进行精细SQL语法分析,并根据SQL行为特征和关键词特征进行自动分类，系统访问SQL语句有效“归类”到几百个类别范围内，完成审计结果的高精确和高可用分析。4.1.2.6.5 应用层传输加密系统深圳图书馆已全面采用HTTPS在网络层加密传输，杜绝黑客在网路中间截获报文的风险。但HTTP作为开放协议，仍然无法规避URL层面带来的风险。应用URL重写加密技术对URL进行加密是解决问题的有效途径。对没有搜索引擎搜索需求的核心应用如统一认证、图书馆之城中心管理系统等应采用URL应用层加密，进一步杜绝黑客在应用122、层面的扫描。主要功能包括：u 前台：应用层URL加密传输：应用层URL重写访问：应用层安全防护功能：主要包括参数危险字符过滤等u 后台：URL加密模块配置：可实时热加载模块或卸载模块系统性能监控分析：监控实时系统性能，以及网站平均响应时间统计分析功能：对网站系统流量进行分析。4.1.2.6.6 WAF防火墙-应用系统安全平台 全网资产视角安全平台可透视深圳市图书馆的全网资产，用站点树来展示资产列表，直观展示资产清单及各资产的属性，如状态、协议类型、IP地址、端口等。同时，将资产所用的安全策略各种安全规则的集合视为资产的属性之一，并以模板的方式保存。策略模版可以在IP+端口不同、业务环境相似的站123、点之间被方便的复用。 细致高效的规则体系规则是WAF识别和阻止已知攻击的基础检测方法，规则库应基于多年网络安全研究积累，高度细化，基于规则的防护功能包括：l Web服务器漏洞防护l Web插件漏洞防护l 爬虫防护l 跨站脚本防护l SQL注入防护l LDAP注入防护l SSI指令防护l XPATH注入防护l 命令行注入防护l 路径穿越防护l 远程文件包含防护在细化多种规则的同时，安全平台也引入了众多机制保证规则的精准、有效。1. 前导字符网络中合法流量占主体，引入前导码机制，通过前导码的简单字符串的匹配，对流量进行预筛选，提高检测效率。2. 不同检测位置支持灵活的检测对象定义，包括任意的HTT124、P头部字段，HTTP BODY字段，支持各种检测运算。3. 多种检测条件的逻辑组合支持多个检测条件的逻辑组合，以支持复杂规则的定义。4. 自定义规则提供贴近于自然语言、支持复杂场景描述的自定义规则，能作用于具体的URL上，大大提高了规则的有效性和精准度。5. 独立的规则升级通过编译式运行的规则库，安全平台还须分离规则升级和系统升级。 多层次的防护机制基于用户资产分层的特性，将防护层级进行细分：默认防护层作用于站点对象；自定义防护层则作用于详细资产，即具体的URL。此外，在专注于Web应用防护的同时，应具备抗DDoS算法和多种应用层抗DDoS技术，可防护各类带宽资源耗尽型DDoS和应用层DDoS125、，实时阻断攻击流量，从网络层面确保Web业务的可用性及连续性。在DDoS攻击流量超过服务器的处理能力时，专业Anti-DDoS设备ADS还能形成联合防护方案，借助ADS的专业防护能力完成攻击流量的牵引和清洗。 智能学习白名单黑名单规则即内置及自定义的规则是在防护Web安全时的强大知识依托，然而，黑名单体系固有的“事后更新”特点使其仅仅能解决已知问题，在应对0day漏洞防护时显得略为滞后，且由于未参考深圳市图书馆环境的业务逻辑，在防护效果上也无法做到精准。自学习+白名单机制可弥补了黑名单防护体系的固有缺点，有效增强了0day漏洞的防护能力和精准防护能力。安全平台基于统计学方法的自学习技术，分析用126、户行为和指定URL的HTTP请求参数，能将站点的业务逻辑完整的呈现出来，协助管理员构建正常的业务流量模型，形成白名单规则。在防护顺序上，安全平台先利用黑名单规则解决已知安全风险，在用自学习、白名单作为黑名单规则的补充解决业务逻辑层面的安全风险， 使安全防护体系更完整，进一步贴近了深圳市图书馆业务环境，在应对0day漏洞时也更加快速、精准、有效。而这种防护顺序的设计，避免了依赖白名单机制而带来的设备上线需要长时间的学习业务、且业务模型变动时策略调整频繁等缺点，上线就能即插即用、零配置防护。 透明部署、即插即用安全平台应提供灵活的部署模式，包括常见使用的“即插即用-透明部署”，这种模式下不需要对当127、前网络和应用环境进行任何改变，部署方便快捷。同时，在这种模式下还提供缺省防护策略和缺省网络接口配置等功能，可以将设备上线时间缩短至半小时之内。此外，安全平台还应提供路由旁路；流量牵引模式和反向代理模式。路由旁路流量牵引模式能减少单点故障，没有额外的流量转发开销，能达到性能最优；反向代理模式的部署位置灵活，WAF和Web服务器可以不在一个安全区域中，该模式已经被国内外用户运用在云WAF业务模式中。 网站内容监控网站安全监测服务是一款托管式服务。无需安装任何硬件或软件，无需改变目前的网络部署状况，无需专门的人员进行安全设备维护及分析日志。只需将深圳市图书馆网站域名告知安全服务工作人员，获得授权后即128、可享受724小时的远程网站安全监测服务。一旦发现深圳图书馆的网站存在风险状况，安全专家团队会第一时间通知深图运维人员，并提供专业的安全解决建议。除此之外，经验丰富的安全专家团队会定期为深圳市图书馆出具周期性的综合评估报告，整体掌握网站的风险状况及安全趋势。 智能检测机器学习与语义分析基于规则和表达式对攻击行为进行判断和过滤的安全设备已无法满足当下复杂多变的网络环境，漏报和误报的情况难免会发生。安全平台应通过使用机器学习方法的攻击检测机制，对海量的攻击样本进行学习构建模型，引入误报率更低、性能更优的智能检测引擎，降低传统规则防护难以调和的漏报率和误报率。4.1.2.6.7 方案价值l Web承载129、的交互式应用是数据库的门户，攻击者经常通过SQL注入等方法入侵数据库，造成数据泄露。安全平台能检查HTTP请求的各个字段，用精炼的规则对攻击实施过滤，加上HTTP协议合规检查、状态码过滤等机制，降低数据泄露风险。l DDoS攻击对Web服务可用性的威胁最大，安全平台集成专业DDoS防护功能，包括多种动态防护算法，可以在线过滤DDoS攻击，与SQL注入防护等功能一起使用，提供从网络层到应用层的攻击过滤，支撑Web服务可用性。l 自动化攻击工具能构造大规模的恶意访问，给Web应用稳定性造成很大危害。安全平台系统支持多种Web访问控制，可以满足不同用户的需求，包括URL访问控制、自动化攻击工具识别、130、控制非法文件上传和下载、阻止盗链和爬虫等。用户访问站点时，如果遭受CSRF攻击，用户就会对该站点失去信任。因此，保护Web客户端也是Web服务提供者的责任和关切。安全平台可以提供CSRF防护、XSS防护、Cookie签名和加密等安全策略，保护Web客户端。4.2 基础支撑系统建设计算机网络系统深化设计主要围绕深圳第二图书馆建设目标，与深圳图书馆整体业务系统密切关联，在满足读者需求、办公需求及各项业务系统需求的前提条件下，搭建安全、高效、节能环保并具有前瞻性的计算机网络系统，保障深圳第二图书馆整体业务的良好运转。4.2.1 机房系统建设方案深圳第二图书馆数据中心必须满足计算机、电子设备和工作人员131、对温度、湿度、洁净度、电磁场强度、噪声干扰、安全保安、防漏水漏电、电源质量、振动、防雷和接地等要求，将建设一个安全可靠、舒适实用、节能高效和具有可扩充性的数据中心。机房装修及防雷接地等建设不在本方案中设计，在建筑智能化中设计。数据中心机房初步规划面积为300平方米，将分为四个区域：主机房、辅助区、支持区以及行政管理区。主机房用于服务器、网络设备、存储等各项设备的安装及运行，见图中的红色区域。辅助区用于电电子信息设备和软件的安装、调试、维护、运行监控和管理，主要包括维修室、备品库、监控室，见图中的绿色区域。支持区为主机房、辅助区提供动力支持和安全保障，主要包括配电及UPS室、空调机房室、消防设施132、室，见图中的黄色区域。行政管理区用于日常行政管理及设备维护商对设备进行维护管理，主要包括办公室和值班室，见图中的蓝色区域。数据中心的建设将按照不同功能划分为多个子项目进行分项设计，具体包括：供配电(包括UPS不间断电源)系统、环境系统(包括精密空调和新风系统)、封闭式冷通道系统、综合布线系统、KVM集中操控系统、气体消防系统、动力环境监控系统、运维管理系统。4.2.1.1 供配电(包括UPS不间断电源)系统主机房区、UPS电源室、非标区等所有区域的动力配电、机房内电缆铺设、照明和应急等。机房市电建设内容考虑满足当前使用需求及远景规划部分的需求预留。机房供电使用双线线供电架构，由大楼配电房提供2133、路市电，机房服务器、网络设备、小型机及安全监控设备等全部使用UPS不间断电源系统进行供电，UPS为150KVA 2N系统，精密空调、照明、插座等其他市电负载由双路市电ATS切换后供电。4.2.1.1.1 设计指标机房内的供配电系统指标(参考国家计算机机房建设标准)n 电源频率：50HZ0.2HZ；n 电源电压：380V/220V5V；n 电源波形失真率：小于或等于5；n 噪音：68dB(主机操作人员位置；计算机停机测试)；n 照度：机房500LX；辅助房间300LX；应急照明50LX；n 照明系统无眩光；无频闪；无噪音；n 直流接地电阻小于或等于1欧姆，零地电压小于1伏；n 交流工作接地系统接134、地电阻小于4欧姆；n 计算机系统安全保护接地电阻以及静电接地电阻小于4欧姆；4.2.1.1.2 总体要求配电系统包括UPS配电系统、精密空调配电系统、照明配电及其它动力配电系统，为机房提供安全、可靠的电力供应。机房用电来自大楼总配电房馈电柜，设计2路主干线为250A，两路市电分别于大楼柴油发电机做切换，在其中一路市电断电后，柴油机对该路进行切换供电。机房供配电区设两个市电总输入配电柜，分别给为机房内UPS（不间断供电电源）、机房空调、照明、其他市电负载等设备供电。UPS输出到服务器等IT设备，选用UPS输出精密配电柜进行电源分配和供电管理，实现对每台机柜用电监控管理，提高供电系统的可靠性和易管135、理性。 机房进线电源采用三相五线制，机房内用电设备供电电源均为单相三线制。4.2.1.1.3 技术方案4.2.1.1.3.1 机房供配电机房供配电系统采用双母线设计，由大楼负一层配电房2个抽屉开关分别引两路电缆做为机房市电总输入，任意一路母线掉电时，另外一路母线据可以承担机房所有负载。两路母线电缆至机房供配电区分别接入A、B市电配电柜，市电配电柜给两台UPS分别提供输入，同时提供2路输出至精密空调市电配电柜，精密空调市电配电柜经过ATS切换后给机房精密空调、市电照明、市电插座等供电。2台UPS系统逆变输出至主机房精密配电柜，主机房区设备机柜使用精密配电柜进行电源分配和供电管理，实现对每台机柜用136、电监控管理，提高供电系统的可靠性和易管理性。操作间、UPS插座、应急照明以及气体消防等均由一体化UPS系统直接供电。图 45机房配电架系统图4.2.1.1.3.2 UPS系统机房UPS系统是组织重要的供电保障设备，它可以保障计算机系统在停电之后继续工作一段时间以使用户能够紧急存盘，使用户不致因停电而影响工作或丢失数据。由于数据中心对系统稳定性要求很高，建议采用在线式UPS。与在线互动式或后备式UPS相比，在线式UPS能够为负载提供更佳的电源环境，无论从稳压输出范围、频率范围，乃至市电模式与电池模式零转换时间等方面考虑，在线式均是最佳的UPS结构。因此，重要的设备，或是对电力环境要求苛刻的设备几137、乎都应选用在线式UPS。机房UPS系统所涉及到的设备主要包括：网络交换设备、网络安全设备、服务器、存储设备等，具体功率如下：表 41UPS容量估算表序号设备数量单机功率（W）总功率（W）1核心交换机4200040002汇聚交换机2100020003接入交换机1230036004小型机450002000052U服务器5810005800064U服务器62000120007光纤交换机23006008存储系统4200080009磁带库13000300010其他设备150005000小计（W）：116200UPS容量（KVA）：200 考虑到UPS系统设计需要留出30%50%余量，功率因素0.8，需要138、约200KVA容量的UPS。根据机房的供配电总体设计方案要求，机房UPS不间断电源系统采用2N架构设计方案。UPS系统建设采取2台模块化UPS主机，单台UPS主机本期配置250KVA容量，UPS模块为N+1冗余配置，单机有效容量为200KVA，保证在一个模块故障时不影响UPS负载容量，未来可扩容至300KVA有效容量。两台UPS并机构成的双母线2N供电系统，整个系统提供负载容量200KVA。正常工作下，两路母线分别带自己的计算机系统负载，因此，正常工作时两套母线系统会各自带有50%的负载。当其中一个系统供电总线上的任何设备或电缆需要维护时，其负载可切换至另一个系统供电。由此，做到了点对点的冗余139、，极大增加了整个系统的可靠安全性。UPS配置后备铅酸蓄电池组，每台UPS满载后备时间为1小时，2N系统下满载后备时间为2个小时。4.2.1.1.3.3 照明系统及插座 照度主机房按电子信息系统机房设计规范（GB50174-2008）要求，照度为500Lx,电源室及其它辅助功能间照度不小于300Lx,机房疏散指示灯、安全出口标志灯照度大于1Lx,应急备用照明照度不小于50Lx。 灯具灯具选用LED灯带,灯带规格为200*1200，除节能环保外,长条形灯具组成的光带,更能体现机房的整体格局,灯具正常照明电源由市电和UPS电源分别供给，由市电总柜的开关、主机房精密配电柜控制。 插座插座电源由市电和U140、PS电源分别供给， 安装于主机房区域四周墙面，由市电总柜的开关、主机房精密配电柜控制。4.2.1.1.4 设备产品性能和技术要求4.2.1.1.4.1 配电柜技术要求项目参数工程特性尺寸（高宽深）基础尺寸： 20006001200工作温度（）5+40 工作湿度（RH）5%95% 运输/贮存温度（）40+70 外壳防护等级IP20 进出线方式上进上出维护方式前操作后维护安装方式可支持防静电地板和水泥地面安装电气特性额定工作电压（V AC）380/400/415 额定绝缘电压（V AC）690 额定频率（Hz）50/60 额定工作电流（A）IT 配电输入：160/250 空调配电输入：160/25141、0IT 配电输入方式单路 MCCB 输入：160A/3P 单路 MCCB 输入：250A/3P 双路 MCCB 输入：2160A/3P 双路 MCCB 输入：2250A/3P 空调配电输入方式单路 MCCB 输入：160A/3P 单路 MCCB 输入：250A/3P 双路 MCCB 输入：2160A/3P 双路 MCCB 输入：2250A/3P ATS 输入：2160A/4P 输出开关（标准配置）IT 配电支路：最大 48 路（单相）或 16 路（三相），每个支路支持最大电流 40A空调配电支路：最大 16 路（三相），每个支路支持最大电流 63A照明开关双路输入：10A/1P6 单路输入：1142、0A/1P3防雷C 级；标称放电电流 In（8/20s）=20kA，最大放电电流 Imax（8/20s）=40kA；电压保护水平 Up（20kA 8/20S）1.8kV（L-N）/1.0kV（N-PE）监控功能检测三相输入电压、电流、频率、有功功率、无功功率、电能、功率因数、温度等通讯方式支持 Modbus TCP 协议、Modbus RTU 协议。4.2.1.1.4.2 UPS系统要求 UPS系统整体要求n UPS主机要求为模块化UPS，模块化UPS类型应为在线式双变换式，制式为三相输入，三相输出。，并可支持多机架并联；功率模块支持热插拔，当功率模块故障时，应及时退出系统而不能影响其他模块正143、常工作，不允许输出中断。n 模块化UPS系统应采用集中旁路方式，旁路模块应支持热插拔，应内置维修旁路。应支持SELF-LOAD功能，以便在未接到设备之前实现自测。n 市电模式下，UPS系统效率在40%负载时应达到96%。ECO模式下，UPS系统效率应达到99%，需提供第三方权威测试报告，如泰尔、TUV等 UPS主机设备外观与结构要求n 机箱镀层牢固，漆面匀称，无剥落、锈蚀及裂痕等现象；机箱表面平整，所有标牌、标记、文字符号应清晰、正确、整齐；各种开关便于操作，灵活可靠，重要开关如旁路控制开关、紧急关机开关要有防护装置和警示标志。n 机柜配电母排要求具有绝缘防护。n 抗震性能：电源设备应取得电信144、设备抗震性能检测合格证，满足YD 5096-2005通信用电源设备抗震性能检测规范的要求，并满足设备安装地点的抗震设防要求。n 通风散热：电源结构设计应有利于自然通风和散热。 技术要求n UPS不间断电源系统是模块化的N+X系统，具有在线扩容能力。本次要求UPS功率为200KVA。n UPS模块不小于50KVA。n 主机单机最大可扩容到250KVA。n 系统总效率96%，提高整机效率，减少客户运营开支，提供第三方权威机构认证测试报告。n UPS应具有防雷装置，能承受差共模都按照6kV/2内阻要求、波形8/20(1.2/50)us,交流输入端能满足D级防雷的要求(差模5KA共模5KA)，减少雷击145、损坏可能性，保证UPS与后级设备。n 风扇故障时应发出声光告警，并且模块的风扇有冗错设计。 系统可用性（MTBF与MTTR）n 系统平均无故障间隔时间：UPS系统在正常使用环境条件下，平均无故障间隔时间（MTBF）应不小于43万小时（不含蓄电池）。n UPS系统有效的使用年限应不少于10年。滤波电容的有效使用年限应不小于UPS系统的使用年限。 人机交互与监控性能UPS系统应具有人机交互性能，应支持中/英文界面，参数设置与人工操作应满足如下要求：n 参数设置：监控模块和参数设置开放，具备密码分级权限保护，设置参数支持掉电存储功能。n 人工操作：重要操作进行密码保护和警示提醒；异常情况下具备人工干146、预的操作方式。UPS系统应具备RS232或RS485/422、FE(SNMP通讯口)、干接点接口及环境监控传感器接口，并提供与通信接口配套使用的通信线缆和各种告警信号输出端子，通信协议应符合YD/T 1363.3的要求，系统应具有下列主要功能：n 实时监控系统的工作状态：系统正常工作方式/电池逆变/旁路供电、过载、蓄电池放电电压低、蓄电池充放电状态、市电故障、功率模块状态（正常/故障退出）、UPS系统故障和运行状态记录；n 采集和存储系统运行参数：主输入电压、旁路输入电压、输出电压、输出电流、输出频率、输出电流、蓄电池电压、充/放电电流；显示精度应符合YD/T 1363.1的要求；n 完善的电147、池管理功能UPS系统应支持电池节数可调，具有定期对电池组进行自动浮充、均充转换、自动温度补偿、电池组放电及记录功能； 保护功能当异常出现时，UPS应具有如下保护功能，并发出告警。n 交流输入过、欠电压保护n 当UPS系统输入电压超出允许变化范围时，UPS系统应自动转为电池供电；当输入电压恢复到正常范围之内时，UPS系统应自动从电池逆变转为正常工作方式。n UPS系统旁路输入电压允许变化范围可设置，上限可设为10、15、20，下限可设为-15、-20、-30。n 输出短路保护，输出负载短路时，UPS系统应自动关闭输出，同时发出声光告警。n 过温度保护，功率模块内部温度达到保护设定值时，功率模块应148、能自动告警并保护而退出系统，当故障排除后应能自动恢复工作。n 电池电压低保护，当UPS系统在电池逆变工作方式时， 电池电压降至保护点时，应发出声光告警， 电池停止供电。n 当电池放电终止关机后市电恢复，系统具备自动和手动重新启动功能。n 输出过欠压保护，UPS系统逆变输出电压超过设定过、欠电压值时，应发出声光告警并转为旁路供电。n 模块熔断器（或断路器）保护，功率模块为限制某些故障进一步扩大，模块内应设置输入输出熔断器（或断路器）等保护功能。n 告警记录等历史信息应完整，包含历史事件的属性、描述、开始时间、结束时间，支持随时刷新及在系统完全无电状态下自动保存；告警记录不可删除且信息存储数量不少149、于1000条。4.2.1.1.4.3 电缆n 符合中国国家标准, 具有国家质量监督检验检疫总局颁发的产品质量免检证书。n 电线电缆应有国家认可的质量检测机构的检验合格报告和“3C”认证。n 用优质铜材，含铜量不低于99.95%。n 电线、电缆的绝缘材料必须符合电压等级和设计要求。n 电缆终端头应是定型产品，与电缆采用同一产品，附件齐全，封套必须与电缆规格尺寸匹配，应紧裹电缆及其各条导线。套管应完好无损，不得有裂纹和损伤，并应有合格证和实验数据纪录。n WDZA-YJY：交联聚乙烯绝缘、聚烯烃护套无卤低烟A类阻燃电力电缆。要求材料不含卤素，燃烧时产生的烟尘较少并且具有阻止或延缓火焰蔓延。n 多芯150、电缆成缆线芯应有非吸湿性阻燃填充，填充材料应无卤、低烟、阻燃，并与电缆的工作温度相适应，对绝缘材料无有害影响。4.2.1.2 环境系统4.2.1.2.1 总体要求本系统建设包括精密空调系统、新风系统。精密空调系统主要是给机房提供一个恒温恒湿的环境， 进行精确的温度和湿度控制，为机房设备稳定运行提供有力的保障；新风系统主要是给机房提供足够新鲜空气，为运维人员创造良好工作环境；维持机房对外正压差，避免粉尘进入，保证机房洁净度；新风化学处理，消除硫化物等对设备有损害物质。基于维护的可行性，主机房、供配电及UPS房将使用下送风上回风制冷方式精密空调系统。机房的新风系统使用专用的新风设备,新风设备具备送151、回风一体,新风系统与排风系统共用,在发生事故时,新风系统也可以作为排风系统,节省投资。4.2.1.2.2 技术方案4.2.1.2.2.1 精密空调系统本次机房工程的主机房区、供配电区及UPS室需设置机房专用恒温恒湿精密空调。本设计方案精密空调热负荷的计算将参考基于功率及面积法和经验参考法来计算精密空调的负载需求。功率及面积法：Qt=Q1+Q2 其中，Qt 总制冷量（KW），Q1 室内设备负荷（=设备总负载0.8），Q2 环境热负荷（=0.120.18kW/m2 机房面积）经验参考法：机 房参 数电信交换机房、移动基站350-500W / m2传输机房250-350 W / m2IDC数据中心 152、800-1500W / m2计算机机房、控制中心350-500W / m2精密加工车间300-350W / m2标准检测室、校准中心 250-300W / m2UPS和电池室、动力机房300-350W / m2深圳第二图书馆主机房的面积为140 m2,设备总负载约为120KW，按照功率及面积法，主机房的热负荷约为120KW，按照经验参考法，主机房的热负荷约为210KW。因此机房热负荷大致按照150KW计算，需配置总制冷量不小于150KW的精密空调设备。供配电区及UPS室的面积为80 m2,按照经验参考法，主机房的热负荷约为30KW，需配置总制冷量不小于30KW的精密空调设备考虑配电隔离以及后期153、业务扩展设备增长的需求，按照冗余设计的原则，主机房按照总制冷量为200KW来配置，采用N+1的架构，需要3台100KW制冷量空调；供配电区及UPS室按照总制冷量为50KW来配置，采用N+1的架构，需要 2台50KW制冷量空调。为防止进水管爆裂及空调漏水，应设计围堰排水系统，所有空调底座四周应做防水围堰，围堰通过沟槽引向排水地漏。空调进水排水管也应敷设于沟槽与围堰内。为保证进水管承受较大压力，空调进水管应使用国标铜管材质。4.2.1.2.2.2 新风系统主机房安装1台吊顶式全热交换新风机，新/排风量为3000m3/h以上；采用新风换气机作事故排风，出口设防雨百叶。新风机具有双向换气的功能和特点，154、向室内提供新鲜空气的同时，将室内的污浊空气排出室外，使新风与排风进行全热交换，营造清新，健康的环境。标准配置顶尖的过滤器，根据需要可选择活性炭过滤器，紫外线杀菌灯，以过滤掉SO2、NH3、苯等有害物质，保证室内空气的洁净要求物初步处理。4.2.1.2.3 设备产品性能及技术要求4.2.1.2.3.1 房间级精密空调技术要求 房间级精密空调的技术指标 本次选型空调机组主要技术指标要求如下表：表 42选型技术明细表总冷量(Kw)送风方式风量（m3/h）加湿量（kg/h）室内机尺寸（宽深高mm）1100下送风240004.522309951975250下送风120004.513309951975注.155、机组的制冷量是在冷凝温度45（干球温度），室内温度24，相对湿度50%的条件下测定的。 房间级精密空调的机械性能n 外观工艺、检查：机柜表面喷涂均匀、无破损；信号灯、开关、测量显示装置布局合理。n 操作及维修安全、方便。n 结构工艺：部件排列合理、整齐；导线颜色和截面合理，布放平整；接插件牢固；进出线符合工程需要；具备抗震措施。n 标牌、标记：应平整清晰。 房间级空调机组的电气性能n 机房专用空调机组的的电气性能应符合IEC标准n 输入电压允许波动范围：220/380V +10% -10%n 频率：50HZ 2HZ 房间级空调机组的适应环境n 温度：室内 -10 +30 室外 -30 +45n156、 湿度：95%RH 房间级空调机组的温度、湿度控制性能n 机房专用空调应能按要求自动调节室内温、湿度，具有制冷、加热、加湿、除湿等功能。n 温度调节范围：+17 +28n 温度调节精度： 1 ，温度变化率20000h监控系统硬件的平均故障间隔时间MTBF100000h平均故障修复时间MTTR 10,000 流/秒；4.2.1.7.8 易用性和可维护性 管理平台底层操作系统应具备安全性和可靠性，要求基于Linux/Unix系统内核； 系统部署和使用具备易用性。采用软硬件一体化的集成方案，能够实现系统稳定、快速实施、快速培训、减少人员投入； 提供开箱即用的自动化配置。通过“自动发现”和“自动发现监157、测器”功能能够自动配置基础监测对象。4.2.1.7.9 扩展功能 管理平台最少支持六个网口，可以接多个逻辑隔离的区域； 管理平台自身具有成熟的HA（高可用性）解决方案； 支持与常用的ITIL平台通接，支持手动/自动上传告警生成工单，当ITIL平台完成处理后，需要与监控平台形成闭环；4.2.2 服务器系统、存储系统、备份系统4.2.2.1 服务器系统方案4.2.2.1.1 服务器部署设计服务器系统根据深圳图书馆应用架构规划及需求。核心数据库服务器将采用2台高并发性能的小型机，通过ORACLE数据库软件集群并行工作，为深圳第二图书馆主要业务系统提供强大的数据库后台支持。核心业务服务器将采用22台高158、端PC服务器。主要由6台高性能PC服务器构成，配合VMware虚拟化软件将6台服务器整合成一个大的虚拟化资源池，由其上的虚拟机运行相关业务系统，实现深圳第二图书馆业务的快速部署、简化管理，同时配合虚拟化中心软件，实现虚拟机的统一管理，与快速故障切换。深圳第二图书馆的应用系统部署详见下表：表 43服务器需求清单类型小型机中端服务器高端服务器虚拟机存储（TB）物理机深圳第二图书馆网站网站门户与后台CMS20统一认证系统2基础数据库核心数据库系统210专题数据库系统网站数据库系统MYSQL数据库系统2其他数据库系统1数据库系统灾备（4节点）14大数据挖掘系统6采编联合采编系统4视频服务系统VOD点播159、3流媒体服务视频直播自助图书馆自助服务系统自助图书馆通用云服务82图书馆之城开放API系统4OPAC门户OPAC门户与后台2书目扩展信息揭示服务非书光盘系统1虚拟机ULAS统一服务4专题资源建设与发布1“我的图书馆”支付及结算系统应用日志审计系统（多系统）110移动支付系统数字资源管理数字资源管理系统ERM3数字资源馆外访问控制数字资源馆内访问控制数字资源统计分析电子数据库电子数据库镜像系统及访问控制10500参考咨询系统网上参考咨询实时参考咨询1OA办公自动化系统1读者咨询知识库OA论坛固定资产管理点餐系统电话语音服务平台电话语音服务1移动服务平台移动服务门户短信系统短信服务系统1自助图书馆160、系统自助图书馆中心管理系统3自助图书馆自助服务系统2图书馆之城自助服务系统自助借还系统自助办证系统自助复印系统自助打印系统综合管理云监控及报警系统1网站统计系统1大数据统计分析系统1智慧图书馆平台智慧馆内读者服务空间管理1智能语音机器人1智慧信息墙1馆内智能位置感知及推送1馆内空间服务指引（2D/3D)1城市图书馆导航服务1开发运维管理及测试平台源代码版本管理系统1开发及维护管理源码及文件备份系统开发及内部测试系统6应用系统安全管理平台安全扫描检测服务及风险评估1数据库审计及告警系统1网站内容监控系统应用层传输加密系统（多系统）1网络管理系统1无线网络管理系统1DHCP系统1NTP系统1DNS161、系统1防病毒系统1存储管理系统1邮件系统1文档服务系统1备份管理系统1日志管理系统1服务虚拟化管理系统1固定资产管理系统1总计3830635204.2.2.1.2 设备选型1. 小型机8个4.1GHz Power8 处理器;256GB DDR3 1600MHz 内存；4个600GB 15KRPM内置硬盘；1个DVD-RAM;4张双端口16Gbps主机光纤卡，；4张4端口千兆电口网卡；增加了IO扩展柜,AIX 7.0企业版操作系统,powerVM标准版3年软硬件原厂维保。2. 中端PC服务器2颗英特尔至强处理器，256G DDR4 RDIMM内存，2块通用600GB-SAS硬盘，1块RAID卡-162、RAID0,1,5,6,10,50,60，4个千兆网口(电口)，1块 HBA卡-16Gb-双端口-SFP+(含2个多模光模块)，冗余电源风扇。3. 高端PC服务器2颗英特尔至强处理器，512G DDR4 RDIMM内存，6块通用600GB-SAS硬盘，1块RAID卡-RAID0,1,5,6,10,50,60，6个千兆网口(电口)，2块 HBA卡-16Gb-双端口-SFP+(含4个多模光模块)，冗余电源风扇。4. 超融合（虚拟化）服务器4颗英特尔至强处理器，1T DDR4 RDIMM内存，6块通用400GB-SSD硬盘，1块RAID卡-RAID0,1,5,6,10,50,60，6个千兆网口(电口163、)，2块 HBA卡-16Gb-双端口-SFP+(含4个多模光模块)，冗余电源风扇，含虚拟化软件及授权。4.2.2.2 存储系统方案4.2.2.2.1 存储设计根据深圳第二图书馆系统总体架构，存储系统分为两套。一套为深圳第二图书馆核心存储系统，主要针对IO吞吐量较大的业务系统使用，重点储存管理型数据和重要的原始数据，配置较多高性能SAS磁盘；一套为深圳第二图书馆资源与应用存储系统主要配合部署在虚拟化服务器的各类应用，包括电子数据库资源，IO吞吐量相对较少，以大容量SATA盘为主。两套存储具备存储虚拟化功能，可以实现统一管理，与两台光纤交换机构成一个独立的SAN存储区域网。结合以上整体存储现状以及164、需求，综合考虑图书馆核心存储数据量大，结构复杂，业务在线以及快速增长，资源与应用存储系统数据量大，对性能要求不高等因素，所以在整体核心存储部署上可以从以下几个方面综合评估：整体存储架构：为了实现图书馆整体数据整合，对于核心存储架构的部署必须符合软件定义的融合存储的发展趋势，以应对复杂的数据的可用性，可靠性以及灵活性存储控制器结构：对于整体业务处理需要高效的存储控制器进行支撑，整体存储控制器部署的数量，控制器的结构等都会对复杂的应用环境产生很大的影响存储Cache：对于复杂的业务快速响应，提升整体Cache命中率在整体存储体系中占有很重要的作用，在存储建设上也需要很好的考量存储磁盘部署：对于数据165、而言，都是存放在后端磁盘上的，整体磁盘的性能以及部署方式，都决定了存储的可用性以及可靠性存储软件特性：通过软件定义整合当前存储资源，不仅有利于存储空间的有效利用，整体降低用户的整体拥有成本（TCO）整体存储可靠性：在核心存储评估上，对于高可靠性有着很高的要求，决定了数据和业务的连续性IOPS：整体核心存储的性能情况可以通过整体的IOPS进行评估，保证复杂业务的快速在线响应云存储体系：保证对于未来业务快速增长的支撑，整体架构具有云存储池化的特性，保证整体数据的生命周期的有效管理4.2.2.2.2 设备选型4.2.2.2.2.1 光纤交换机指标名称具体要求端口数量48端口端口速率16Gb模块48个166、16Gb短波SFP授权48端口全激活电源双电源（热插拔）4.2.2.2.2.2 核心存储系统技术指标具体要求磁盘阵列总体机架式、模块化、SAN存储。产品档次采用中高端存储产品线中的产品。总体要求灵活的配置能力、友好的管理界面、强大的系统功能、较强的扩展能力SAN存储管理软件对SAN存储设备实现存储划分、存储访问路径划分与隔离、存储区域与存储访问路径授权等支持存储设备资源的动态配置与管理体系结构采用中高端企业级存储架构，提供SAN存储节点/控制器之间高可用可负载均衡的集群。存储设备应具备多控制器的扩展架构，对于未来的业务增长提供可以扩充的足够处理能力。ASIC芯片控制器除主CPU以外，要求配置专167、用ASIC芯片，用于处理Raid计算，数据分流等控制器节点配置4个SAN存储节点或控制器,配置控制器中处理器数量8主机连接支持FC、iSCSI等协议硬盘配置配置50块600G SSD硬盘112块900G 10k rpm SAS硬盘最大硬盘数量960块主处理器处理芯片八核CPU缓存实际配置512GB具备断电后的缓存数据保护功能磁盘阵列前/后端口支持8Gb/s FC主机接口，最大可扩展24个支持ISCSI主机接口；实际配置前端口8个；实际配置8个；后端口速率6Gb SAS接口RAID级别支持支持RAID 0/1/5/6支持硬盘种类SAS硬盘、SLC SSD固态硬盘硬盘混插支持硬盘混插技术数据克隆软168、件配置阵列内数据克隆软件（当前硬盘容量的卷克隆许可）精简配置软件配置阵列内部经济配置（Thin Provisioning）软件（当前硬盘容量的精简配置许可）数据复删软件支持阵列内数据复删技术，提高存储利用率软件要求图形化资源管理软件，满足当前配置容量管理的许可LUN屏蔽软件磁盘阵列连接PC服务器的许可数量256台磁盘阵列连接UNIX服务器的许可数量256台在线资源调整支持通过磁盘阵列自带功能或软件，提供在线调整卷大小、存储介质支持数据分层存储，可以在SSD、15K、10K、7.2K硬盘之间动态迁移数据支持精简卷功能，支持在线卷的精简配置管理。快照功能同一卷支持快照数量2000个LUN/卷功能最169、大LUN/卷的数量30000个LUN/卷大小16TB数据复制支持同步和异步数据复制。支持与最高端/档次产品间进行数据复制要求满足未来异地数据容灾的需求，支持本地及远程的数据复制功能。具备快速恢复所有本地或异地备份数据的能力在控制器上配置基于IP复制的端口，无需通过路由设备即可实现FC-IP的复制转换兼容性要求存储系统应能与主流厂家的操作系统，包括AIX、HPUX、Linux、Windows、VMware等能支持用户现有的服务器设备能实现与各种主机、网络设备互联可靠性要求所有硬件设备本身应具有高可靠性，防止单点故障，支持不间断的运行，关键部件需要具有高容错能力。4.2.2.2.2.3 资源与应用170、存储系统指标名称具体要求控制框2U,双控制器, 双交流电源,缓存实际配置128GB接口模块8*16Gb FC模块扩展接口模块8*10Gb ETH I/O模块(Base-T)硬盘31个8TB 7.2K RPM NL SAS硬盘单元(3.5)硬盘框硬盘框(4U,交流,3.5,级联模块,24盘位,不包含硬盘单元,DAE22435U4)软件多路径软件许可4.2.2.3 备份系统4.2.2.3.1 建设目标针对深圳图书馆数据中心现有的各类系统应用环境，尽量兼顾各业务系统应用的特点，以及操作平台和软件版本的多样性，采用一套专业的数据保护系统，实现全面的保护以及核心应用系统的备份容灾，达到核心业务系统数据的171、零丢失，业务系统能在短时间内（分钟级）快速接管，保障业务不中断。备份系统的建设应实现以下目标 ：n 提供实时的数据复制保障，确保在各种故障发生的情况下数据的完整性。同时可实现应用的远程容灾；n 业务快速接管功能；n 支持异构存储和异构服务器平台；n 可基于标准的LAN网络和SAN网络进行数据复制，同时采用智能化带宽缩减技术来实现对带宽需求的空前降低；n 利用快照及录像可以允许恢复到任一时间点的数据状态；n 企业级高可用及可扩展性支持；n 提供完整的异地灾备技术n 远程数据的可用性支持；n 便捷的配置恢复以及任何应用的适应性。4.2.2.3.2 技术方案4.2.2.3.2.1 系统结构设计基于深172、圳图书馆应用系统现状以及需求分析，并对数据量进行考虑，规划部署一台火星舱数据保护系统用于数据备份保护，并配置一台物理磁带库作为二级备份使用。从下图可以看出，系统的配置简单、结构清晰。图 46备份系统架构图如上图所示，备份系统采用旁路接入，不改变整体IT网络架构，在前端应用服务器上安装分流器，对业务进行CDP持续数据保护。n 备份容灾设备以带外（旁路）的方式接入，不需要改变现有网路的架构，联入LAN网络，对文件，应用系统域、数据存储域进行跨域的集中数据保护管理，数据库服务器和文件，应用服务器也联入LAN网络，实现LAN备份方式。n 持续数据保护（CDP）：当需要作持续数据保护的应用服务器，在应用173、系统进行数据的写入操作时，备份容灾设备会截取这些写入操作（每I/O），并把该写入操作在继续其正常写入的同时并行地写入到备份容灾设备设备上，并且对生产服务器性能影响可以忽略不计。n 所有保护数据均存储在备份容灾设备内。以便于数据的集中管理、维护和保存。n 备份容灾设备的持续数据保护，可以使生产服务器数据零丢失，当生产存储出现问题时，可以通过火星舱卷挂载功能，进行数据的快速挂载恢复（分钟级），当数据库服务器出现问题时，可通过火星舱接管系统功能，进行应用级的快速接管，保障业务连续不中断。n 备份容灾设备的持续数据保护，可实现任意时间点的回退，当发生误删除、表结构损坏，或者逻辑性错误时，可以通过I/O174、记录，使数据回退到上一次正确的时间点，解决服务器数据的逻辑性错误。同时可通过I/O记录，将数据恢复到另外一台服务器上，实现保护数据的灾难演练、挖掘、查询、分析等。4.2.2.3.2.2 方案部署火星舱的部署十分方便快捷，部署时不改变现有系统的网络架构，也不会影响到其他业务的正常运行。部署方式如下：1、将火星舱数据保护设备和接管系统接入LAN网络中,并激活持续数据保护和接管功能功能，与被保护的服务器进行调配，实现业务的持续数据保护功能。保护的数据均存储至火星舱存储设备中。2、将业务服务器接入机房的LAN网络，在各个业务服务器中安装火星舱持续数据保护设备中的“数据分流器”模块，负责将服务器的数据备175、份和复制至火星舱，通过定时备份和CDP持续数据保护进行数据保护。4.2.2.3.3 设备选型4.2.2.3.3.1 一体化备份设备 功能要求：n 一体化解决本地提供了定时备份、CDP持续数据保护和容灾容灾等多维度的保护方式，用户可以自由选择数据恢复的位置及方式。一套设备即可将备份服务器、备份管理软件、存储介质三者合一，降低后续的维护成本，从而提高系统的整体性价比。并且部署简单，插入网线后进行简单配置后即可开始使用。n 异构存储的全面支持支持各种品牌及各种连接方式的存储设备数据保护，从DAS到iSCSI和FC，都能为用户的数据保驾护航。n D2D2T备份提供D2D2T备份功能，以及磁带驱动器共享176、机械手控制等设备控制功能，用户可根据不同数据重要程度，有选择性的将其备份至物理磁带中，且可以备份多份，从而满足用户数据长期保存的要求。n 统一方便的系统管理采用了全图形化管理方式，支持集中式存储管理，可以通过网络中任意主机的浏览器便可以管理，用户的全部数据都可以在简单的设置后受到完善的本地和异地保护。n 灾备演练方便快捷具有灵活的灾备数据提取和验证机制，任何演练都可以方便进行，保证了整个数据保护体系的一致性确认以及应急流程的完善和应急人员的专业化。n 重复数据删除具备重复数据删除能力，它会将所要备份的数据拆分为若干个数据块，对这些数据块进行冗余检查，将其与已经存在于存储介质上的数据进行比对，177、对于重复的数据只保存一份，此方式不仅能极大的节省客户的磁盘空间，也能缩短备份与恢复的时间，最大限度的节省客户的经济成本与时间成本。n 备份模式可实现跨网段、跨防火墙的以太网数据备份，更能够对SAN环境提供的良好支持，实现LAN-Free（光纤）、磁盘驱动器共享、灾难恢复等高端备份应用需求，解决了应用支撑平台集中数据备份、磁带数据容灾备份等问题。n 备份策略备份策略的灵活定制，包括：全备份、增量备份、差分备份等多种备份方式；提供基于日历、天、星期、月等周期性的自动备份功能，同时支持在特定情况下由客户触发的手动或脚本触发的自动备份； 硬件要求：n 3U机架式，800W（1+1）冗余电源，两颗64位178、8核处理器,64GB高速缓存；384GB内存，配备20块 6T容量 企业级 7200转磁盘,2个千兆以太网接口，2块8Gb目标模式双端口光纤通道卡，2块多模光纤双端口万兆以太网卡(SFP)，2条FC光线线缆(5米)，配一个3U机架式存储扩展箱（16个热插拔盘位；550W（1+1）冗余电源，包含相应的接口卡以及线缆）；n 含FC磁盘阵列功能，iSCSI磁盘阵列功能，NAS功能，虚拟主机功能；n 含远程复制模块，两台火星舱设备之间可实现本地或异地的数据同步。n 含CDP功能模块及容量授权n 内嵌企业级备份软件；备份功能主模块，100TB备份授权；CDP功能模块，10TB备份授权；虚拟磁带库功能主模179、块 for UNIX，内含120TB虚拟磁带库授权（FC/iSCSI）；n 配置相应数量的磁带驱动器使用授权；配置无限数量的数据迁移器使用授权；n 配置远程备份代理模块；配置备份对象复制选件；n 配置场地授权的Windows、Linux版本的文件代理模块，操作系统代理模块和数据库代理模块；n VMware ESX虚拟机高级备份模块。4.2.2.3.3.2 物理磁带库 硬件要求n 配置两个LT06驱动器（每个驱动器读写速度为160MB/S）。n 配置40盒LT06磁带（每盒磁带非压缩容量2.5TB）。n 配置两盒清洁带n 8Gbps光纤接口n 最大可支持18个LT06 驱动器。n 最大可支持40180、0个数据带槽位4.2.2.4 灾备系统4.2.2.4.1 环境介绍深圳第二图书馆核心业务系统主要由核心数据库集群与核心应用系统集群两部分构成，深圳图书馆核心数据库集群承载全市所有公共图书馆的数据运算。为保障全市图书馆业务的正常开展，分担核心数据库系统运行负担以及降低核心数据库系统的运行风险，增加核心数据库的可靠性和稳定性，深圳图书馆2005年就选择了oracle 9i（版本为9.2.0.8）为核心数据库系统，并采用小型机双机HA运行环境。深圳第二图书馆核心应用系统集群主要运行图书馆之城统一服务平台、自助图书馆服务系统、深圳图书馆网站、OPAC系统、自助服务系统、采编管理系统等重要业务系统服务软181、件或中间件。深圳图书馆核心业务应用级远程容灾对象主要包含如下生产系统： 灾备对象应用名称机型数量系统环境深图核心数据库集群图书馆之城数据库系统（Oracle）IBM P6902台AIX、HA深图核心应用系统集群图书馆之城统一服务平台IBM X36502台LINUX自助图书馆服务系统IBM X36505台LINUX深圳图书馆网站门户IBM P5702台AIXOPAC检索系统IBM X36102台LINUX自助服务系统IBM X36502台LINUX容灾系统包含如下建设内容：l 搭建异地灾备中心l 与深圳图书馆现行系统进行数据同步；l 利用灾备中心数据搭建统计分析环境，满足数据挖掘与统计分析工作的182、需要；l 进行灾备中心切换与回切测试演练，建立准确的切换流程和回切流程。容灾系统应不影响生产系统性能、可随时进行容灾演练、30分钟从远程容灾中心恢复生产运行、内置网络带宽优化功能、内置数据压缩/加密功能、支持多对一的异地容灾架构等。4.2.2.4.2 灾备中心技术方案为实现深图核心业务系统的应用级灾备，灾备中心系统应部署能够接管核心业务的基本存储系统、数据库服务器和主要应用服务器，其性能和运行环境应与现行系统基本一致，数量满足最基本的需要。灾备拟引进数据同步技术，将深圳图书馆核心业务系统的数据同步到灾备中心系统，时差为秒级。针对现运行系统的情况，设计采用一台小型机作为灾备的核心数据库服务器，安183、装Oracle数据库系统，以及深圳图书馆核心业务的相关环境，同时安装数据库同步复制软件，与现运行系统实施数据同步；同时设计4台PC服务器，采用虚拟化模式，作为图书馆之城中心管理系统、OPAC系统、自助服务系统、自助图书馆系统软件平台的灾备，以便能够接管全市公共图书馆的主要业务。灾备中心系统的数据库服务器、主要应用系统服务器均通过光纤交换机连接至深圳第二图书馆核心存储系统，以充分保证核心业务对存储系统高IO吞吐率的要求。灾备方案部署在机房相对独立物理空间，通过一台独立的汇聚层交换机实现灾备系统的单独组网，数据库同步复制数据流经过向运营商租用的VPN专线实现数据同步和应用切换，应用级容灾切换后利用184、自身的Internet接入对外提供各项服务。图 47灾备系统架构图灾备中心组成如下：序号系统名称用途类型数量系统环境1灾备数据库服务器图书馆之城数据库系统灾备小型机1台AIX2Oracle数据库用于数据库服务器软件1套3同步复制软件实现核心数据库异地灾备软件1套4灾备PC服务器图书馆之城统一服务平台PC服务器4台LINUX自助图书馆服务系统深圳图书馆网站门户OPAC深圳图书馆自助服务系统4.2.2.4.3 产品选型4.2.2.4.3.1 小型机指标具体要求CPU8个4.1GHz Power8 处理器内存256GB DDR3 1600MHz 内存硬盘4个600GB 15KRPM光驱1个DVDHB185、A8*16Gbps主机光纤卡网卡4*4光纤网卡电源冗余电源操作系统AIX 7.0企业版操作系统4.2.2.4.3.2 数据同步软件指标具体要求复制数据访问要求复制同步期间，复制数据库可用于实时查询、备份、数据抽取等操作。集群环境支持：提供应用于集群环境的客户端模块，支持多平台集群服务器环境。需支持的群集系统为MC、SERVICEGUARD、HACMP等。应用环境支持：软件的安装、运行不需要调整数据库、操作系统的参数配置。在线全同步要求：要求在不停业务/不停机的情况下对数据库全同步及增量同步操作。数据库对象支持：支持常见的数据库对象，如Table，Table Partition，Index，Fu186、nction，Procedure，Synonym，Sequence，Trigger，Package，Package Body等。同步时间延迟要求：= 5秒。对源端CPU占用要求：= 3.0%。4.2.2.4.3.3 灾备PC服务器指标具体要求CPU2颗至强14核CPU内存16*32GB DDR4内存硬盘6个600GB SAS硬盘光驱1个DVD阵列卡支持Raid 0/1/5/10/50HBA2*16Gbps主机光纤卡网卡6个电口网卡电源冗余电源操作系统Linux4.2.3 网络及安全系统设计深圳第二图书馆信息化工程与深圳图书馆信息化工程为一个整体工程，两者互作补充亦相辅相成。深圳第二图书馆信息化187、工程是“图书馆之城”建设的基础设施和新的增长点，是在现有深圳图书馆信息化项目建设、数字化研究的基础上，通过引入最新的IT技术，对新建的深圳第二图书馆馆舍内的计算机网络设施、信息化设备、图书馆业务系统和深圳第二图书馆专业化管理系统进行统一规划，充分发挥两者的技术优势和特点，共同搭建起一个专业性、自动化、数字化、全开放的信息化平台。4.2.3.1 布点说明综合布线系统通讯中心设在深圳第二图书馆一层UPS配电房和机房内。弱电竖井一共设计了分配线间18个，分别位于一至六层南北两侧弱电竖井内和地下一层至三层南北两侧弱电竖井内。深圳第二图书馆信息点规划其中,信息点：1865个，语音点：400个，AP点21188、5个。以下是各楼层信息点初步划分楼层网络语音APB33020B23020B137615L164022040L21663240L32481430L44107630L51103430L61941430小计1865400215合计24804.2.3.2 有线网络系统4.2.3.2.1 网络架构设计原则 高性能深圳第二图书馆的网络将成为提供多种业务的统一网络平台，并为不同的业务提供服务质量保证（QoS）。因此，应充分考虑将来业务量的增大，保证当前及今后一定时期内网络的高效与通畅。 可扩展性随着应用规模的发展，网络系统应该能灵活方便地进行硬件或软件系统的扩展和升级。层次化将深圳第二图书馆网络划分为核心层189、汇聚层、接入层。每层功能清晰，架构稳定，易于扩展和维护。 可靠性和安全性作为信息系统应用的依赖和基础，要求网络系统连续安全可靠地运行，所以在网络系统结构设计中选用高可靠性网络产品，合理设计网络架构，网络关键部分制定可靠的网络备份策略，对于重要的网络节点采用先进可靠的容错技术，以保证网络系统具有故障自愈的能力。 可管理性和可维护性为了易于管理，可选择适用于全网的网管软件来管理网络。为了便于维护，应尽可能选取集成度高、模块可通用的产品。4.2.3.2.2 网络逻辑架构设计如图所示，深圳第二图书馆网络的逻辑架构分为以下几个部分。l 出口防火墙出口防火墙除了要保证深圳第二图书馆内外网的数据传输，还需190、要保证边界安全。l 服务器及存储区部署服务器和应用系统的区域。为深圳第二图书馆网络内部和外部用户提供数据和应用服务。l 网络管理区对接入用户进行认证，对网络设备、服务器等进行管理的区域。l 核心层核心层负责全网的高速互联，一般不部署具体的业务。核心网络需要实现带宽的高利用率和网络故障的快速收敛。l 汇聚层汇聚层将众多的接入设备和大量用户经过一次汇聚后再接入到核心层，扩展核心层接入用户的数量。l 接入层负责将各种终端接入到网络，通常由以太网交换机组成。对于某些终端，可能还要增加特定的接入设备，例如无线接入的AP设备。l 终端应用层包含深圳第二图书馆的各种终端设备，例如PC机、打印机、分拣设备、移191、动书车、摄像头等等。4.2.3.2.3 网络实体架构设计对应逻辑架构，深圳第二图书馆网络的物理架构如图所示。图 48网络架构图网络组网结构说明：l 网络出口由高性能出口防火墙网关设备和链路负载均衡设备搭配协同工作实现。高性能出口防火墙网关设备具备全面的网络安全防御能力，并且具有高性能的NAT功能；同时链路负载均衡设备针对深圳第二图书馆出口多线路实现多线路负载，以提高深圳第二图书馆网络多线路资源的利用率。l 核心层核心层由两台高性能核心交换机组成，通过万兆光纤进行IRF冗余配置，提高业务的稳定可靠性。核心交换机承载全网所有的流量，利用虚拟化技术，建立逻辑隔离的网络通道，实现不同业务之间无干扰地稳192、定运行。深圳图书馆核心层采用两台高性能核心交换机，网关起在核心交换机，数据流跑在数据链路层，简单高效的架构最大化网络的交换性能。参考深圳图书馆的核心层架构，深圳第二图书馆网络核心层拟采用两台新版的高性能核心交换机，网关起在各区域的汇聚交换机，核心层交换机只提供数据交换，这样可保证全网的高速数据流交换无瓶颈。l 服务器及存储区部署服务器和应用系统的区域。为深圳第二图书馆内部和外部用户提供数据和应用服务。l DMZ区DMZ区主要提供外网的合法访问。包括提供公共用户访问的公开网站，以及对应的读者服务。DMZ区提供了一个区域放置公共服务器，从而又能有效地避免一些互联应用需要公开，而与内部安全策略相矛盾193、的情况发生。参考深圳图书馆目前DMZ区的网络设备配置，深圳第二图书馆DMZ区拟采用两台性能较高的汇聚交换机作为服务器及存储的网络接入，通过万兆端口上联防火墙。l 汇聚层汇聚层将众多的接入设备和大量用户经过一次汇聚后再接入到核心层，扩展核心层接入用户的数量。汇聚层由两台高性能汇聚交换机组成，进行IRF冗余堆叠。深圳第二图书馆的内网区域支持馆舍内员工、读者及书库业务的运转，对数据交流效率有较高要求，拟采用两台高性能的汇聚交换机，万兆上联，于汇聚交换机内起网关，把内网区域的数据流量放在内网区域交换，以此减轻核心层交换机的压力。l 接入层由接入交换机和AP组成，提供深圳第二图书馆用户有线和无线的各类终194、端实现网络接入。接入层交换机采用市场上主流接入交换机，支持智能堆叠，堆叠后逻辑上虚拟为一台设备，具有统一的表项和管理。深圳图书馆的馆舍七层，承担主要业务功能的楼层共六层，使用了三十台楼层接入交换机。参考深圳图书馆网络采用的接入交换机数量，深圳第二图书馆主体建筑共九层，每层两个弱电井，地面每个弱电井内拟需要3台接入交换机，地下三层共配置4台接入交换机，全馆需要40台网络接入交换机。弱电井内的交换机通过智能堆叠逻辑上虚拟为一台设备，万兆上联汇聚交换机。服务器区域交换机分为两部分，IPSAN交换机及接入交换机，其中IPSAN交换机需要2台，机柜系统共三排服务器机柜，每排服务器机柜需要4台接入交换机。195、服务器区域共需接入交换机14台。4.2.3.2.4 网络接入深圳第二图书馆的网络接入主要有以下几种：l 互联网接入：由于深圳第二图书馆本身存在业务管理系统，也需要对外服务，因此必须接入互联网。作为数字资源的保存与服务中心，如果接入运营商较为单一，网上服务质量因不同用户体验有差异，同时也存在着单点故障的隐患，因此深圳第二图书馆宜引入多家运营商接入，并通过链路负载均衡设备为线上服务提供高可用保障。深圳图书馆目前互联网接入采用两条200M带宽光纤，总带宽400M，考虑到深圳第二图书馆中心机房未来作为深圳市图书馆之城的数据中心，对带宽要求更高，建议深圳第二图书馆互联网接入采用两条500M带宽光纤，引入196、多家运营商接入，采用一条中国电信的500M光纤及一条中国联通的500M光纤，通过负载均衡设备提供最优化出口网络服务。l VPN网接入：由于深圳第二图书馆与深圳图书馆存在着密切联系，深圳图书馆、“图书馆之城”、自助图书馆都采用VPN网互联，因此也必须同一个VPN网。深圳图书馆VPN网络采用两条100M带宽 MPLS VPN，一条在用一条备用，实际使用带宽为100M，深圳第二图书馆将来拟采用两条200M带宽 MPLS VPN，双线热备，一条断线另一条自动切换，保证图书馆之城及自助图书馆业务的24小时不间断。l 政府机关外网接入：在“深圳市科技文献信息服务平台”项目中，各馆数字资源是通过政府机关外网197、互访，且深圳科技图书馆与深圳图书馆之间是通过政府机关外网实现统一服务的，作为图书馆之城统一服务的容灾中心，深圳第二图书馆也必须接入政府机关外网。深圳图书馆现有的政务机关外网接入带宽为100M，深圳第二图书馆接入政府机关外网的带宽拟向电子政务资源中心申请200M，以满足各方通过政府机关外网接入深圳第二图书馆数据中心的需求。4.2.3.2.5 设备选型1. 核心交换机交换容量47.36Tbps，包转发率7200Mpps ，2块48端口十兆/百兆/千兆以太网电接口板(EA,RJ45)，1块24端口百兆/千兆以太网光接口板(EC,SFP)，1块32端口万兆以太网光接口板(X2S,SFP+)，35个光模198、块-SFP+-10G-多模模块(850nm,0.3km,LC)，4个2200W交流电源模块。2. 汇聚交换机交换容量57.92 Tbps，包转发率8400Mpps，支持48个10/100/1000BASE-T端口,支持4个10G/1G BASE-X SFP+端口,支持1个接口模块扩展插槽,AC电源供电，配置4个SFP+万兆模块(850nm,300m,LC)3. 接入交换机交换容量598Gbps；包转发率252Mpps；48个10/100/1000Base-T以太网端口,4个万兆SFP+,配4个光模块-SFP+-10G-多模模块(850nm,0.3km,LC)，单子卡槽位,含2个150W交流电源199、.4.2.3.3 无线网络系统4.2.3.3.1 需求分析本次无线网络建设是针对深圳第二图书馆进行网络覆盖，需要实现图书馆内读者阅览区、报告厅、会议室、办公区及书库的无线信号全覆盖，能承载内部员工无线办公需求以及读者的上网需求。图书馆无线网络大部分流量为读者网络访问数据，其中包括普通网页浏览、社交软件流量、音视频数据、图书馆数据库访问下载等。随着移动业务的发展，图书馆也将推广更多的移动业务，移动终端数据流量将快速增长，对设备处理能力和网络带宽也相应增大。因此AP和POE间通过千兆网络连接，POE上联楼层交换机万兆接入核心，控制器双机部署，实现热备冗余，增加网络可靠性，避免单点故障。4.2.3.200、3.2 网络拓扑-结构1） 无线控制器双机搭建，主备模式；旁挂在核心交换机上，对全馆AP和终端进行统一管控、策略下发等。2） POE交换机接入楼层交换机；AP水平千兆接入POE，通过POE交换机供电4.2.3.3.3 网络拓扑-数据流向数据转发模式：集中转发。所有的数据都要发到AC集中处理后由AC再转发出去。数据帧管理帧4.2.3.3.4 场景部署方案1） 少于10人的办公室区域：场景特点：区域较小，接入用户数固定，数量较小。部署方案：部署面板AP，容量满足，方便部署；2） 多于10人的报告厅及开放阅览区：场景特点：空旷，终端数较多，单台AP接入用户多、流量较大部署方案：部署吸顶式AP。在良好201、上网体验下，每个AP满足60人并发、120人接入，有效覆盖半径30-40米。3） 书库：场景特点：书架密集，阻挡多，但使用率低部署方案：在通道处部署吸顶式AP。4） 室外：场景特点：空旷，人数多，覆盖距离远部署方案：部署室外AP4.2.3.4 网络安全系统4.2.3.4.1 防火墙系统互联网充满各式各样的威胁，包括恶意的网络攻击和入侵、病毒传播、木马注入等等，作为深圳第二图书馆的出口，必须具有极高的安全设计，以保证内网安全和稳定。互联网的安全威胁主要集中在病毒、蠕虫、恶意代码，网页篡改，垃圾邮件等方面，对外发布网站也常常成为攻击目标。深圳第二图书馆网络出口将采用一体化检测机制的防火墙，将基于区202、域的安全策略控制、反病毒功能、UTRL过滤等安全特性集成于一体，形成立体的威胁防御解决方案。深圳图书馆目前在网络出口架设两台高性能防火墙，有效隔离来自互联网的网络威胁，在内网区域VPN入口处架设两台应用防火墙，有效隔离来自VPN对端可能的网络攻击。参考深圳图书馆的防火墙架设，深圳第二图书馆拟采用四台防火墙，两台一组双机热备，一组架设在网络出口，一组架设在VPN入口处，分别隔离互联网及VPN对端的网络威胁，保障内部网络的稳定运行。4.2.3.4.2 入侵防御系统入侵防御功能主要可以防护应用层的攻击或入侵，例如缓冲区溢出攻击、木马、后门攻击、蠕虫等。IPS（入侵防御系统）可以通过监控或者分析系统事203、件，检测应用层攻击和入侵，并通过一定的响应方式，实时地中止入侵行为。深圳第二图书馆拟采购的IPS需符合以下几点：支持直路/旁路部署方式，支持针对不同流量配置不同的防护措施支持对应用层报文进行深度解析支持进行报文分片重组和TCP流重组之后再进行威胁检测支持海量的签名库，支持自定义签名超低的签名误报率深圳图书馆目前采用两台IPS（入侵防御系统）设备，分别架设在网络出口和VPN入口处，通过直连方式接在对应的防火墙后面，防护应用层的攻击或威胁，与防火墙形成互补，组合成一个全方位的网络安全防御体系。调剂出库拟采用两台性能较高的IPS设备，同样架设在网络出口及VPN入口处，与防火墙组合互补，有效防御来自外204、部各网络层的攻击和威胁。4.2.3.4.3 远程访问安全系统远程访问在深圳第二图书馆最重要的两个场景，一个是与深圳图书馆的整体网络互联互通，一个是个体用户因为出差或者其他原因，需要在外网访问内网的资源或者办公系统。VPN设备是一个非常具有性价比的安全解决方案。其易用性，安全性在全球的各个行业环境中都得到了使用。利用互联网的资源实现灵活VPN组网一般有IPSec VPN和SSL VPN两种方式。深圳第二图书馆实施方案中拟采用SSL VPN的方式。SSL VPN是以SSL/TLS协议为基础，利用标准浏览器都内置支持SSL/TLS的优势，对其应用功能进行扩展的新型VPN。在保证通信安全性的基础上，S205、SL VPN实现了更加细致的访问控制能力，大大增强了对内网的安全保护。同时，SSL VPN通信基于标准TCP/IP，因而不受NAT限制，能够穿越防火墙，使用户在任何地方都能够通过SSL VPN网关代理访问内网资源，使得远程安全接入更加灵活简单。另外，使用SSL VPN访问B/S应用时不需要安装任何客户端软件，只要用标准的浏览器就可以实现对内网Web资源的访问，省去了客户端的繁琐的维护和支持工作，不仅极大地解放了IT管理员的时间和精力，更提高了远程接入人员的工作效率，节省了企业的培训和IT服务费用。参考深圳图书馆现有的VPN设备，预计新购VPN设备需支持2000以上并发用户数，同时配置800个并206、发用户授权。4.2.3.4.4 防病毒系统在网络的安全区配置一台服务器部署防病毒系统服务器端，在管理终端部署客户端程序。由服务器端对所有客户端进行统一监控和管理，其中包括统一部署安全策略、病毒码/反病毒引擎、集中收集日志和生成病毒事件报告等。4.2.3.4.4.1 功能要求整合性的计算机安全防护软件，提供给计算机防病毒、防间谍软件、网页信誉安全评估等安全防护功能，甚至包括对漏洞防护和数据包深度检查的扩展功能。与网页信誉库联动，防病毒客户端能对终端计算机上网浏览的网页站点进行安全评估，实时保护终端计算机不受恶意网站的威胁。集成专杀工具，能够自动病毒专杀工具和客户端防病毒软件无缝集成，专杀工具的扫207、描引擎和病毒码可以自动更新，完全摆脱传统防病毒软件需要独立使用专杀工具，并且每一个病毒都有特定的专杀工具，造成数量巨大。简便的部署，提供多种安装和部署方式，如网页安装、远程自动安装、脚本安装、硬盘镜像安装、客户端打包安装等。能够方便地将将客户端软件部署到各个终端计算机，同时还提供自动卸载其他常见防毒软件，方便程序的升级和替换。病毒源准确定位，通过防病毒日志可准确定位网络中哪台计算机是感染病毒，并对感染源病毒的计算机进行远程自动清除，有效解决了由于网络中个别计算机感染病毒而给带来的恐慌。病毒爆发防御服务，当发现网络中有新病毒而厂家还没有提供最新病毒码的“空窗期”，管理员根据病毒行为提前对通讯端口208、感染文件进行锁定，控制病毒感染范围，降低最新病毒造成的损害。通过特定辅助工具，帮助管理员判断出网络中的病毒防护漏洞，如哪些计算机安装了防毒软件、哪些计算机防毒代码没有升级等，即使终端用户在第一次完成防毒产品的安装，以后重新安装操作系统，管理员也能快速察觉，尽可能地避免网络病毒利用防护管理上的弱点进行攻击。集中式管理、配置设置和报表功能，基于B/S管理方式，管理员可以在任何时间和任何地点使用浏览器登录即可管理控制台，执行软件更新、变更防毒配置和处理紧急状况。4.2.3.4.4.2 病毒码更新服务器端病毒码更新可以实现全自动或半自动的效果，即：全自动，集中控管平台从互联网的升级站点自动增量更新，209、各防病毒服务器配置策略自动从集中控管平台自动增量更新。半自动，集中控管平台无法从互联网的升级站点自动增量更新，需要在官方网站下载升级文件再以手工的方式更新到集中控管平台，各防病毒服务器配置策略自动从集中控管平台自动增量更新。根据网络应用环境现状，可以采取半自动方式。客户端病毒码更新方式同时支持三种更新方式：1、主动分发：管理端升级后，自动按增量分发至被管理的每一台在线客户端，非在线客户端一旦接入网络，即可立即；2、“拉”方式更新：可以配置客户端自行从服务器端通过“拉”的方式获得更新，这种情况适合NAT环境；3、自行上Internet更新：客户机可以直接上Internet获得更新，支持移动办公的210、防护要求。4.2.3.4.4.3 技术要求1) 具备病毒爆发防御功能。当最新病毒爆发时，可在病毒代码未完成之前自动对网络中的病毒传播端口、共享等进行关闭，切断病毒传播途径，预防最新病毒的攻击。2) 具备Web信誉评估功能，包含HTTPS通信扫描，结合云安全架构自动识别并屏蔽恶意站点，阻止病毒自动更新。3) 支持区域性病毒码和全球病毒码两种病毒码，在中国需提供为中国用户客制化的中国本地病毒码（China Patten）。4) 支持云安全扫描和传统病毒码扫描两种运行方式。5) 支持与微软AD的集成，可套用AD的分组方式，方便管理，可分配AD的组和用户不同的服务器管理权限，可监视和管理AD内计算机的211、安全状态。6) 支持对USB、软驱、光驱、网络共享的使用权限进行控制。7) 客户端要能够支持Windows Embedded POSReady 2009、Windows Embedded Enterprise、Windows10全系列版本、Windows 7全系列版本、Windows Vista 、Wincows XP、Windows Server Core 2008、Windows Server 2012。8) 通过设置将桌面虚拟器的扫描和特征码的更新作业排程，防止发生网络、CPU 和存储器冲突。9) 利用初始母版和白名单技术，记录扫描的缓存文件，从而缩短虚拟桌面的扫描时间。10) 具备个人212、防火墙功能，可对多种协议数据包进行阻挡，可对网络中异常浏览进行监控。11) 防病毒管理必须提供Web管理方式；管理通讯采取加密措施。12) 一台管理服务器支持的客户端数量不少于50,000台，体现管理卓越性能。13) 不需要人工辅助，客户端集成“病毒专杀”工具，“病毒专杀”工具必须支持目前最流行的新型态病毒。管理控制台可以直接控制实现客户端恢复动作。14) 可赋予客户端对“预设扫描”的控制权限，比如延迟扫描、跳过扫描、停止扫描等。15) 具备远程病毒集中清除功能。可对网络中感染病毒的计算机进行远程自动清除，无需知道计算机的物理位置，无需到客户端逐一清除病毒。16) 对于蠕虫、特洛伊木马等恶意程213、序的专杀工具能够随产品在线自动更新，无需手动下载。17) 采用智能型扫描机制，能够以文件真正格式作扫描，通过文件头的真实信息而不是简单的通过文件扩展名来识别文件的类型，以提高扫描效率。18) 病毒处理方式必须支持智能式的处理方式。根据不同的病毒类型，采取不同的处理策略。19) 防病毒产品必须要支持网络病毒识别码，网络病毒识别码与传统的病毒代码不同，网络病毒识别码能够识别网络病毒攻击行为。在客户端实现网络病毒的封包过滤。20) 具备病毒源准确定位功能，快速查获病毒出处（Virus/Malware Logs里有一列“Infection Source”）。21) 管理端病毒代码及引擎升级可通过多种方214、式，如直接通过Internet；通过升级工具直接升级以满足大多内网用户升级的需要（TMUT）。22) 客户端软件提供多种方式的分发、安装方法。必须支持WEB安装方式、SMS安装方式、MSI程序打包安装方式、共享安装等。23) 产品安装、卸载、代码或引擎升级均无需重新启动操作系统。24) 客户端产品防毒服务关闭和产品卸载均需提供密码保护功能，预防防毒系统漏洞的出现。25) 可对客户端进行逻辑分组，对不同的客户端实行不同的防毒管理策略。26) 支持对COMLPT端口、IEEE 1394 接口、图像处理设备、红外设备、调制解调器、PCMCIA 卡、打印影屏幕键的使用权限进行控制。27) 具备数据资产215、控制，可保护组织的数据资产免遭意外或故意泄漏。数据资产控制允许管理员执行以下操作： 定义要保护的数据资产（正规表达式、关键字、文档属性）， 创建用于限制或机密阻止通过网络通道（Email、FTP、HTTP、HTTPS、IM、SMB、Webmail）以及系统通道（数据记录器、对等应用程序、PGP加密、打印机、可移动储存、同步软件、剪贴板）传输数据资产的策略， 按照以建立的标准强制执行合规。28) 管理控制台具备集于小组件平台架构（Widget Framework）的定制化仪表盘，可让管理员弹性定制专属的管理介面，体现高效管控及提高可视性。29) 能够有效防御高级持续威胁（APT）的攻击，通过联动216、机制禁止客户机对命令与控制服务器的外联。30) 必须具备终端位置感知功能，针对客户端处于内、外网能够部署不同的策略。4.2.3.4.5 远程访问安全系统远程访问在深圳第二图书馆最重要的两个场景，一个是与深圳图书馆的整体网络互联互通，一个是个体用户因为出差或者其他原因，需要在外网访问内网的资源或者办公系统。VPN设备是一个非常具有性价比的安全解决方案。其易用性，安全性在全球的各个行业环境中都得到了使用。利用互联网的资源实现灵活VPN组网一般有IPSec VPN和SSL VPN两种方式。深圳第二图书馆实施方案中拟采用SSL VPN的方式。SSL VPN是以SSL/TLS协议为基础，利用标准浏览器都217、内置支持SSL/TLS的优势，对其应用功能进行扩展的新型VPN。在保证通信安全性的基础上，SSL VPN实现了更加细致的访问控制能力，大大增强了对内网的安全保护。同时，SSL VPN通信基于标准TCP/IP，因而不受NAT限制，能够穿越防火墙，使用户在任何地方都能够通过SSL VPN网关代理访问内网资源，使得远程安全接入更加灵活简单。另外，使用SSL VPN访问B/S应用时不需要安装任何客户端软件，只要用标准的浏览器就可以实现对内网Web资源的访问，省去了客户端的繁琐的维护和支持工作，不仅极大地解放了IT管理员的时间和精力，更提高了远程接入人员的工作效率，节省了企业的培训和IT服务费用。参考深218、圳图书馆现有的VPN设备，预计新购VPN设备需支持2000以上并发用户数，同时配置800个并发用户授权。4.2.3.4.6 堡垒机堡垒机是在一个特定的网络环境下，为了保障网络和数据不受来自外部和内部用户的入侵和破坏，而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动，以便集中报警、及时处理及审计定责的安全设备。堡垒机综合了运维管理和安全性的融合，切断了终端计算机对网络和服务器资源的直接访问，而是采用协议代理的方式，接管了终端计算机对网络和服务器的访问。因此堡垒机能够拦截非法访问和恶意攻击，对不合法命令进行命令阻断，过滤掉所有对目标设备的非法访问行为。深圳第二219、图书馆拟采用一台较高性能的堡垒机直连到核心交换机，支持双机热备、网卡冗余，对100个资源数进行统一登录、资源授权、命令控制和审计。4.2.3.4.7 设备选型1. 防火墙标准2U机架式设备，自带冗余双电源。整机处理性能16Gbps，并发连接数400万，并发数25万。自带千兆电接口6个，千兆光接口4个，万兆光接口4个2. 入侵防御系统标准机架式1U设备,标配8个10/100/1000 Base-T千兆电口，并含2个高速USB2.0接口，1个RJ45串口，整机吞吐量8Gbps，七层吞吐1.5Gbp，并发连接数1,000,000。3. 远程办公接入（VPN）标准1U机架式设备，SSL最大加密流量20220、0Mbps，SSL最大并发用户数大于800，每秒新建连接用户数90个以上，自带千兆电接口4个。4. 堡垒机标准机架式1U设备，并发会话数字符协议不低于700，可管理资源数100个资源数（基于IP地址），并支持licence扩展，CPU性能1.8GHz，配置叁块1T 2.5英寸10K RPM 6Gbps SAS热插拔硬盘，4个千兆电口，配置495W双电源模块。4.2.3.5 网络管理系统4.2.3.5.1 全局及链路负载均衡负载均衡设备需同时具备全局负载均衡功能与链路负载均衡功能，其中全局负载均衡功能实现深圳第二图书馆数据中心与深图1馆数据中心的应用级灾备，链路负载均衡实现不同运营商链路的智能选221、择。链路负载均衡设备针对网络资源实现精细化的管理和优化，从而让网络资源发挥出最大的利用率，以增加用户上网体验。多ISP出口线路有多种方式以提高线路出口的利用率，包含ISP选路和智能出站负载均衡。ISP选路针对不同的ISP地址实现针对性的出口选路，在多运营商出口场景中实现最短路由。智能出站负载均衡是指如果到达目的地有多条带宽不同但优先级相同的链路，则流量会根据带宽按比例分担到每条链路上，这样所有链路可根据带宽不同而分担不同比例的流量，使流量转发更合理。深圳第二图书馆拟在互联网出口处部署两台负载均衡设备，用于保证多ISP的多链路负载均衡，保证链路可用性和可靠性。4.2.3.5.2 网管软件对于网络222、运维人员而言，日常维护工作不仅繁杂，而且工作量大，涉及的工作内容包括监控拓扑对象、监控网元、配置网元、监控业务、诊断故障、监控性能、查看资源、报表生成等。而网络管理系统可以准确、快捷的提供运维人员所需要的信息，大大减轻运维人员的工作量。通过网络管理系统丰富的管理功能和灵活多样的维护手段，可以轻松实现网络日常维护。深圳第二图书馆项目拟采购新一代的智能网络管理软件，针对网内的复杂网络管理需求，网络管理方案需要达成以下目标：实现集中管理网络中的路由器、交换机、WLAN、AR和防火墙设备，同时可以对第三方设备进行监控，实现全网设备统一管理。提供拓扑管理、故障管理、性能管理功能、配置管理等基本功能，满足223、网络的基本运维需求。提供网络流量分析功能，可以识别用户或主机的流量信息，了解网络流量的分配情况，实现网络流量的精细化管理，保障网络流量的合理高效利用。提供WLAN无线网络管理功能，实现有线无线统一管理和无线网络可视化管理，支持无线网络故障定位功能和终端定位功能，支持无线网络入侵检测和频谱分析功能，实现无线网络业务管理的同时，可以对无线网络的环境和安全进行监控。提供大量的报表模板，用户可以根据需求实现各种资源统计，满足运维需求。提供安全策略管理功能，可以批量快速配置防火墙等设备的安全策略。提供日志管理分析功能，可以收集设备的syslog等日志，并进行系统分析，发现网络的安全事件并直观展现安全事件224、的发展趋势。提供VPN管理能力，可以对MPLS VPN提供可视化的管理，支持端到端的故障定位能力，快速定位和解决网络故障。支持基于域的管理权限控制。给不同的用户分配不同的管理权限，保障网络的管理安全。基于组件化的设计，网络规模可以平滑扩展，功能组件可以按照需求选择，可以满足网络的扩容和升级带来的新的管理需求，保护现网投资。4.2.3.5.3 上网行为管理系统互联网上存在各种资源，网络出口需要对互联网资源进行必要的过滤，将其中的非法内容，特别是涉及到黄赌毒的内容进行过滤，以对读者使用网络资源提供完善的保障，同时也符合法律法规的要求。同时，互联网行为牵涉到方方面面，如果缺乏监管，将对正常的工作和学225、习带来极大的安全隐患，并且根据国家公安部82号令的要求，各独立网络需要对上网行为日记进行记录，以配合违法追溯。为了实现对网络行为的审计，满足国家相关法律法规要求，在网络骨干部署上网行为管理设备，对全网网络行为进行审计非常有必要。同时，互联网出口带宽资源是有限的，而深圳第二图书馆馆舍拥有大量的用户，如果不进行精细化的流量控制策略，那么在流量无止境抢占的情况下，所有人的上网体验都会变得非常糟糕。深圳第二图书馆项目拟采购一台高性能的上网行为管理设备，架设在防火墙与核心交换机之间，对全网上网流量进行分析和记录，把用户认证的信息，包括用户账号，动态获得的IP地址对应关系也一并传递到安全设计系统，从而实现226、完整的行为记录。同时，对网络资源实现精细化的管理和优化，让网络资源发挥出最大的利用率，以增加读者和员工的上网体验。4.2.3.5.4 应用性能管理系统应用性能管理系统可以对图书馆的关键业务应用进行监测、优化，通过监测和诊断复杂应用程序的性能问题，来保证软件应用程序的良好运行(预期的服务)，从而提高图书馆应用的可靠性和质量，保证读者得到更优异的服务 。深圳第二图书馆拟采用一台较高性能的APM设备，旁挂模式部署，对整体的网络结构不造成任何影响，以端到端的应用管理为核心，分别从真实用户体验管理、应用拓扑自动发现与可视化、用户自定义业务分析、应用组件深度监控和IT 运营分析这五个方面来提高软件应用程序227、的可靠性和质量。4.2.3.5.5 自建服务器为了提升应用服务器的效率，方便内网的管理，深圳第二图书馆拟自建以下几个服务器： NTP服务器：NTP服务器是用来使计算机时间同步化的一种协议，可提供高精准度的时间校正，而且能通过加密确认来防止恶毒的协议攻击。 DHCP服务器：DHCP称为动态主机配置协议，DHCP服务允许工作站连接到网络并且自动获取一个IP地址。配置DHCP服务的服务器可以为每一个网络客户提供一个IP地址、子网掩码、缺省网关、一个WINS服务器的IP地址，以及一个DNS服务器的IP地址。 DNS服务器：DNS是计算机域名系统的缩写，它是由域名解析器和域名服务器组成的。域名服务器是指228、保存有该网络中所有主机的域名和对应IP地址，并具有将域名转换为IP地址功能的服务器。 日志服务器：深圳第二图书馆拟为防火墙、IPS等网络安全及管理设备搭建一台日志服务器，管理员可以通过查找日志服务器中的告警日志来检查错误发生的原因，或者寻找受到攻击时攻击者留下的痕迹。 网管服务器：深圳第二图书馆拟为网络管理系统搭建一台网管服务器，通过网管服务器上部署的网络管理软件，管理员可以直观了解计算机和互联网使用情况的大数据，而网络管理软件提供的详实报告可以帮助制定合理的IT策略并付诸实施，防范敏感数据泄漏，引导员工合理使用计算机和互联网，提升IT应用效率。4.2.3.5.6 设备选型4.2.3.5.6.229、1 全局及链路负载均衡吞吐性能6Gbps；并发性能800万；4层新建性能20万以上；7层新建性能40万以上；默认网口配置6个千兆电口,4个千兆光口，内存8GB；硬盘500GB;尺寸2U，冗余电源4.2.3.5.6.2 网管软件eSight 平台-标准版(含100节点)，eSight 敏捷报表管理组件，eSight 网管系统物理软件包，eSight RH2288H V3服务器(1*E5-2620 V3 6核 CPU,1*8GB内存,2*300GB 2.5inch硬盘,DVD-RW,4*GE,2*460W 电源,滑道)。4.2.3.5.6.3 上网行为管理标准2U机架式设备，自带冗余双电源。整机处230、理性能2Gbps，并发连接数135万以上，用户规模数1万以上。自带千兆电接口6个，千兆光接口2个。4.2.3.5.6.4 应用性能管理系统标准机架式1U设备，支持流量200Mbps，最大设备监控数超过200个，最大系统监控数超过200个，最大Oracle监控数超过20个，支持自定义规则做健康探测，支持Web应用性能监控。4.2.4 办公区与读者区终端系统4.2.4.1 读者自助服务系统4.2.4.1.1 总体需求读者自助服务系统包括自助借还书机、自助办证机、RFID流通工作站、RFID标签转换站、RFID典藏工作站、RFID安全门、自助打印复印扫描系统等。深圳图书馆现有馆舍5万平方米，配备了自231、助借还书机17台，自助办证机2台，RFID流通工作站36套，RFID标签转换站2套，RFID典藏工作站8台，RFID安全门19扇，自助打印复印系统一套，含1台打印机及7台复印机，电子报纸阅读系统一套，含4台终端设备。深圳第二图书馆拟建设馆舍6.6万平方米，相对于原馆舍，面积更大，功能更全面，布局更合理。为了满足图书馆业务的整体需求，本设计方案将参照原馆舍的设备数量，对各功能区域设备进行预估，对不足之处加以补充，具体设备数量需求如下：n 嵌入式自助借还书机8台，放于24小时自助服务区。n 9目的地小型分拣系统一套，配合33个还书箱。n 自助借还书机需要配置15台，6台放在少儿区，三楼4台、四楼4232、台、1台预留。n 自助办证机配置2台，建议摆放于总服务台附近。6台嵌入式自助借还书机n RFID流通工作站40套，RFID标签转换站2套，RFID典藏工作站8台，RFID安全门20扇。n 自助打印复印系统一套，含3台打印复印扫描一体机及软件。n 电子报纸阅读系统一套，含4台终端设备。4.2.4.1.2 技术方案及设备性能要求4.2.4.1.2.1 小型分拣系统小型分拣系统放置与深圳第二图书馆24小时自助服务区，包含嵌入式自助借还书机、分拣线、还书箱三部分组成。24小时自助服务器部署8台。要求穿墙式自助还书设备，带单分拣传输机构。分拣时所需时间短，处理一本仅需几秒钟时间，具有结构紧凑、故障率低、233、修改灵活方便、维护简便、抗干扰能力强，整机效率高等特点，可大大降低操作人员的劳动强度，提高分拣的正确率，便于操作人员使用。推车式还书箱是读者在进行自助还书后，存放图书的周转箱，需配置33个。4.2.4.1.2.2 自助借还书机自助借书机提供自助借书、还书和查询功能，可对粘有RFID标签的图书和RFID读者证进行识别。自助借还书机的类型及参数：产品名称图片参数自助借还书机1. 尺寸：700mm * 610mm *1650mm (长*宽*高)2. 设备净重：100kg3. 供电输入：AC 220V，50Hz，额定功率 130W4. 机体材质：冷轧钢板，汽车烤漆工艺5. 分体式：上下分体式构造,可不234、配底座，直接布置在桌面上6. 主触摸显示屏：21 寸 1680*1050 竖屏，对比度 1500:1，红外触摸技术7. 工控电脑：四核 CPU，4G DDR3，500G HDD，Windows 7 专业版8. 打印机：80mm 热敏打印机，自动进纸切纸9. 密码键盘：屏幕虚拟密码键盘10. LED 引导:图书区、卡证区、打印机都配有 LED 灯用于引导操作11. 电子锁(打印仓)：可刷 RFID 卡打开打印仓门，实现无钥匙换纸12. 氛围灯：机体底部绕有 LED 氛围灯13. 能与深圳图书馆的系统兼容。调节式智慧借还书机1. 尺寸： 600mm * 560mm * 1600mm (长*宽*高)235、2. 设备净重： 100kg3. 供电输入： AC 220V，50Hz，额定功率 130W4. 还书容量： 200本，每本尺寸不超过 350mm * 350mm * 60mm5. 主触摸显示屏： 21.5寸一体机， 1920*1080分辨率；四核 CPU，4G DDR3，500G HDD，Windows 7 专业版6. 密码键盘：屏幕虚拟键盘7. 整体外观：采用竖立式结构，机体配备LED灯光带，屏幕配备多维度触摸屏调节支架，能适应不同的身高和角度进行操作。8. 机身需内置快捷还书书箱，简单易维护。9. 能与深圳图书馆的系统兼容。4.2.4.1.2.3 自助办证机自助办证机拥有读者刷身份证办证、236、查询、充值、缴费等功能，下表为自助办证机的类型及参数：产品名称参数自助办证机1. 提供自助办证，信息查询，费用扣缴2. 供电输入： AC 220V，50Hz，额定功率 130W3. 工作环境：温度 050，相对湿度 5%95%，室内 4. 机体材质：冷轧钢板，汽车烤漆工艺5. 主触摸显示屏：21 寸 1680*1050 竖屏，对比度 1500:1，红外触摸技术6. 工控电脑：四核 CPU，4G DDR3，500G HDD，Windows 7 专业版7. 网络：支持有线/无线配备外置天线8. LED 引导(卡证区)：身份证和读者证区配有 LED 灯用于引导操作 9. LED 引导(打印口)：打印237、口出纸时 LED 闪灯提示读者取纸 10. 电子锁(打印仓)： 可刷 RFID 卡打开打印仓门，实现无钥匙换纸 11. 氛围灯：机体底部绕有 LED 氛围灯 12. 发卡机 ：大于等于120 张13. 收钞机：大于等于 500 张 14. 摄像头：配备两个摄像头，屏幕上方 1 个拍读者，收钞口 1 个拍收钞行为；720P 以上15. 能与深圳图书馆的系统兼容4.2.4.1.2.4 RFID流通工作站RFID流通工作站用于馆员标签加工和辅助流通业务的处理，下表为其参数：产品名称参数RFID流通工作站1. 工作频率/遵循标准：13.56MHz/ ISO15693、ISO18000-32. 规格尺寸238、：约占0.163. 天线材质：铝合金和塑胶，表面 UV 喷漆4. 设备净重：5.5kg5. 额定功率2W6. 识读性能：读写距离可达15cm以上，10本/次7. RFID阅读器、天线采用可拆装模式，可通过简单的硬件更换实现设备升级。8. 能与深圳图书馆的系统兼容4.2.4.1.2.5 RFID标签转换站RFID标签转换站用于标签批量的加工和数据转换，下表为其参数：产品名称参数RFID标签转换站1. 规格尺寸：355mm*280mm*350mm（长*宽*高）2. 机体材质：优质冷轧钢板，表面喷塑处理3. 设备净重：6kg4. 适用标签：成卷纸质标签5. 转换效率：3000 pcs/H6. 通讯接239、口：RS2327. 供电要求：AC 220V，50Hz8. 能与深圳图书馆的系统兼容4.2.4.1.2.6 RFID典藏工作站RFID典藏工作站能对图书进行数据采集，盘点，整理，上架，下架等操作，下表为其参数：产品名称参数RFID典藏工作站机体材质：优质冷轧钢板，表面喷塑处理2.设备净重：50kg3.触摸显示屏：19 寸显示器（竖屏） 1440*900 或更高，红外触摸技术4.工控电脑：四核 CPU，4G DDR3，64G SSD(或更高)，Windows 7 专业版5.有线网络：千兆自适应网口6.无线网络：标配：802.11n 无线网络模块7.电池：铁锂电池，60AH，续航时间不小于 6 小240、时8.RFID图书识读能力：单次清单成功率可达95%以上9.供电要求：AC 220V，50Hz10.续航时间：6H11.能与深圳图书馆的系统兼容4.2.4.1.2.7 RFID安全门RFID安全门对RFID标签上锁状态的防盗检测，声光报警。下图为其参数：产品名称参数RFID安全门1.规格尺寸(单门): 760mm*140mm*1770mm（长*宽*高）2.机体材质：透明亚克力3.设备净重(单门)：33.5kg4.工作频率/遵循标准：13.56MHz/ ISO15693、ISO18000-35.供电要求：AC 220V，50Hz6.额定功率：20W7.工作温度：0508.通道宽度 ：最大900m241、m 4.2.4.1.2.8 自助打印复印扫描系统自助打印复印扫描系统包括打印复印扫描一体机及配套的软件。读者可通过验证读者证进行自助打印复印扫描的操作，可通过读者证、微信、支付宝扣费。1) 打印功能：读者可通过两种方式进行打印。A、微信公众号打印：支持集成在图书馆微信公众号上，直接通过手机即可提交打印任务。B、PC端打印：PC端支持免驱动打印和安装驱动打印两种模式。免驱动打印是通过打开指定网页，即可直接在PC上提交打印文件，该模式只支持word、excel、ppt、txt、jgp、png、pdf七种格式的文件。安装驱动打印，过程和正常的打印机完全一样，只是多了一个步骤，在打印时，自动弹出登陆框242、，要求输入读者证号和密码，身份验证通过后，即可打印PC上的任何格式文件。读者用以上任一方式提交打印任务后，在任一台打印复印一体机上进行读者证认证，然后一体机上会显示打印任务，确认打印页数后，通过读者证或者微信扫描扣费后即可打印。2) 复印功能：读者通过认证读者证后，即可对需要复印的文件进行复印。一般采用一页一页的扫描复印，读者输入复印份数后，进行读者证或者微信扫描扣费即可复印。3) 扫描功能：读者在打印复印一体机上进行读者证认证后，可对文件进行免费扫描。扫描后文件可自动发送到读者在“我的图书馆”中注册所留下的邮箱内，也可在一体上手动输入一邮箱，文件会自动发送至该邮箱内。4) 设备参数下表为建议243、的打印复印扫描一体机的设备参数：复印功能内存4GB(最大4GB)硬盘160GB(可用空间128GB)扫描分辨率600 x 600 dp1预热时间24秒首页输出时间彩色5.7秒，黑白4.4秒连续复印速度(A4)黑白：45cpm，彩色：45cpm机器重量132kg纸盘容量标准：500张4层手送纸盘 90张 选配：大容量纸盘B1：2030张 最大：4120张（4个纸盘机型大容量纸盘B1）输出纸的容量第二搂纸盒：250张(A4 LEF)中夹搂纸盒：250张(A4 LEF)打印功能打印分辨率12002400dpiPDL标准：PCL5，PCL6选配：Adobe PostScript 3TM连接能力标配：以244、太网100BASE-TX/10BASE-T，USB2.0扫描功能扫描速度黑白：80ppm，彩色：80ppm扫描分辨率600600dpi，400400dpi。300300dpi，200200 dpi连接能力标配：以太网100BASE-TX/10BASE-T扫描存储扫描到邮件，文件夹，电脑/服务器（使用FTP/SMB协议）4.2.4.1.2.9 电子报纸阅读系统电子报纸阅读系统提供给读者使用多媒体报刊阅读系统，实现在同一设备上快速阅览多达上百种的书刊资料，满足读者获取各类信息资源的需求。 电子报纸阅读系统由阅读系统和硬件两部分构成，阅读系统提供最新最全面的多媒体报刊资源，硬件将由大尺寸的触摸屏一体245、机提供给读者更舒适的阅览环境。电子报纸阅读系统参考型号及设备参数：设备名称功能参数整体硬件配置1. 整体集成需求：采用平躺式结构，集成工控机、电源控制模块，整机集成工业控制计算机、触摸屏模块、电源控制模块等。2. 触摸显示屏：46寸红外六点触摸液晶屏；亮度300cd/；分辨率1920*1080；符合触摸体系标准，性能稳定、技术成熟、使用可靠；需为LG品牌工业级高性能液晶屏。3. 主机：CPU ：Intel 酷睿i5 4460/主板：技嘉GA-H81M-Ds2/硬盘：1T 7200转64M SATA 6Gb/s/内存：金士顿4GB DDR3 1600 /显卡：影驰GT730虎将 1G/电源：50246、0W 服务器电源4. 机柜：高强度1.2mm冷轧钢材模具制造、表面金属细纹烤漆、独立电源管理、多媒体音响控制系统、具有优良的防锈、防静电、防电磁屏蔽功能5. 电源：AC220V10%,50Hz 最大功耗 280W6. 网络功能：标准RJ45接口，无线网卡；软件功能1. 报纸数据检索：每日报纸数据保证能随时检索阅读，支持往期报纸回顾功能，采用日历的形式展现；点击往期回顾按钮，系统弹出日期选择页面，使用者根据自己的需要选择相应的报纸发行日期即可。同时产品保留了 “回到今天”按钮，便于读者回到当前日期进行阅读。2. 报纸内容传输服务：传输过程无需人工干预，保证报刊数据在第一时间被用户检索到供读者使用247、。报纸不会出现延时到第二天才可能被检索，支持报纸分类，支持单种单机分类体系。3. 开机后自动运行多媒体报刊阅读系统。软件系统索引导航功能完善，版面简洁，可进行快速版面选择，具备放大缩小版面功能，按钮美观大方，可点击报纸版面进行拖动浏览，读者无法随意退出至桌面或对软件本身进行修改。系统可设置定时开关机，设备日常工作基本无需人工干预。4. 报纸选择：支持读者在触摸屏上进行报纸选择，报纸列表的展现以最新报纸的头版版面缩略图为导航，读者通过触摸点击选择需要阅读的报纸，同时可触摸点击“下一页”“上一页”导航按钮进行报纸列表翻页的操作，也可以直接滑动屏幕进行翻页。5. 浏览报刊：读者选择阅读某份报纸，触摸248、屏通过“双页浏览”模式展现报纸各版面缩略图，读者可通过触摸点击“下一版”“上一版”按钮、版面导航进行报纸翻页操作，或通过触摸移动方式进行翻页阅读。读者在阅读当天的最新报纸，还可以通过日历导航阅读往期报纸。报纸浏览效果必须为原版原式，保证电子报的展示效果与纸报相同。6. 快照阅读：读者在浏览版面全图时，如希望详细阅读版面中的具体文章，可触摸点击希望详细阅读的文章区域，界面支持多点交互，两个手指可以手势放大缩小，在阅读报刊快照内容时，双指合拢或张开来对报刊内容进行放大或缩小，也可使用手指双击屏幕进行操作。7. 在线阅读：当读者选择系统中的报纸后，可通过点击页面上的来源网址，对报纸进行报纸网站在线的249、阅读。软件需内嵌浏览器插件，可通过在线的方式，进入报纸的官方网站进行报纸阅读，并可以分享阅读8. 报纸搜索：支持多种维度搜索功能。可按拼音首字母快速检索，通过点击报纸的拼音首字母，快速定位报纸的名称，展示备选框，在模糊定位的基础上支持精准查询；按地图地区搜索，展示为地图，通过手势点击地图上的区域，可查看该地区下的全部报纸；按分类搜索，通过报纸本身的分类属性进行检索，分为晨报、日报、晚报等14个分类，点击后查看该分类下全部的报纸内容。9. 其他功能：提交网址按钮，供使用者将所需的报纸连接提供给运营商，为用户提供更多的来自互联网的资源。点击提交网址按钮，页面弹出提交框，用户可以将需要添加的报纸资源250、网址输入，点击提交按钮，系统自动将信息发送至运营商。提交信息通过运营商验证后，即可增加新的报纸资源10. 报纸推荐：系统会自动罗列出阅读点击量较高的或者用户通过配置管理预设置顶的报纸列表，您可以选择感兴趣的报纸或期刊进入阅读界面。在网络环境不稳定的情况下，系统自动罗列出本地已存储的相关报纸，即使在网络断开的情况下，操作人员也可以查询以往报纸，在网络恢复情况下系统会第一时间自动更新报纸，保证设备长时间的稳定运行。这样大大降低了本系统对网络依赖的局限性。系统根据报纸数据更新情况，推荐阅读的报纸；也可根据用户需求通过修改配置文件自定义设置推荐的报纸。11. 产品使用细节支持如下功能：A. 页面整体感251、观：索引界面，可以将最新报纸的头版版面缩略图为页面，并具备推荐报纸功能；大按钮，界面简介。B. 可以进行快速版面选择、具备版面缩小放大功能，可以拖动版面进行浏览。C. 可以根据日期浏览往期报纸。D. 能够通过滑动报纸版面进行翻页，便于操作。E. 开机后自动运行多媒体读报软件系统。F. 读报软件不能随意退出，不能随意修改设置文件。G. 报纸可以按类型、区域、拼音字母进行快速检索。其中区域需以中国地图显示。H. 拥有后台管理，可在触摸屏上播放通知、新闻、天气预报。I. 开放软件接口，全方面支持各种定制开发，与其他软件兼容性好。J. 软件具有可扩展性，例如可以添加期刊阅读等功能。软件配置1. 数据实252、时检索并传输，满足读者对新闻时效性的要求2. 手动触摸报纸大图浏览，真实的数字读报感受3. 数字报展示界面清晰简洁，便捷的读者操作阅读体验4. “单套数据，多分辨率展示”，满足不同触摸屏尺寸的要求5. 报纸均展示全部版面和文章，便于图书馆机构进行完整报纸的收藏和内容知识检索。6. 报纸检索系统的展示平台能提供按报纸、按地区、按分类、按拼音等多条件的检索功能。7. 所有被检索的报纸均提供在线原始版面，读者可以通过版面图定位并点击进入相关版面，实现原版原式的报纸翻阅。8. 支持大于300份报纸的垂直搜索服务阅读。读者可以通过版面图定位并点击进入相关文章，实现原版原式的报纸翻阅。9. 可支持增加期刊253、阅读功能。10. 系统运行环境需求：预装正版windows 7中文家庭高级版（或更高）64位操作系统，一机一号。报纸更新1. 所有报纸开机后自动更新。2. 所有报纸结合报纸的发布时间（早报/晚报），后台自动更新最新报纸。4.2.4.2 计算机终端4.2.4.2.1 总体需求计算机终端根据业务类型分为三类，包括读者用机、OPAC查询机以及业务办公用机。具体来说，读者用机主要用于馆内电子阅览室，为读者提供网上信息查询、VOD点播、数字资源阅览等；OPAC查询机主要用于为读者提供馆藏检索、书籍预借、电子书阅览等功能服务；业务办公用机主要满足于各部门日常业务工作需求，包括日常行政工作、书刊采编和典藏保254、障工作、读者服务工作、参考咨询工作、网络和计算机设备维护等。4.2.4.2.2 设备选型分析4.2.4.2.2.1 计算机设备类型分析随着电脑设计、生产、组装技术的发展，一体机电脑和笔记本电脑越来越普遍，相对于台式电脑，它在能保证一定性能的同时，更加节省空间、能耗，且外观更加时尚，但可扩展性和个性化相对较差。而云桌面终端则在部署、管理、能耗、维护方面比台式电脑和一体机电脑更具优势，但性能方面由配置的服务器性能和终端模块决定，高配置成本较高。工作站性能最为稳定，但价格最高。下表为各类计算机全方位的对比。云桌面一体机台式机笔记本工作站性价比高中中低低可扩展性(硬件)低中高中高兼容性(软件)中高高高255、高快速部署能力高中低高中集中管理维护易中难易中占用空间小中大小大能耗低中高低高便携性高中低高低4.2.4.2.2.2 图书馆业务功能分析图书馆业务功能主要分为四大块：服务、管理、保障、扩展。一、 服务：读者服务、书刊借阅服务、数字资源服务、参考咨询服务、阅读推广服务。 图书馆各类服务都要使用到图书馆之城中心管理系统，对系统兼容性要求较高；电子阅览室分布集中，宜集中管理维护。二、 管理：档案管理、人事管理、财务管理、安全管理。主要是Office文档操作，对CPU多线程处理能力、内存容量要求较高。其中人事管理和财务管理对系统兼容性要求较高。三、 保障：后勤保障、技术保障、典藏保障。技术保障主要是对全馆设备、系统的管理与维护，负责软件开发和测试，对电脑整体性能要求都较高。后勤保障和典藏保障主要是Office文档操作，对CPU多线程处理能力要求较高。四、 拓展：图书馆事业发展业务、信息开发业务。主要是Office文档操作，对CPU多线程处理能力要求较高。4.2.4.2.2.3 设备选型