机房整改方案

上传人:痛*** 文档编号:129858979 上传时间:2022-08-03 格式:DOC 页数:40 大小:189.50KB
返回 下载 相关 举报
机房整改方案_第1页
第1页 / 共40页
机房整改方案_第2页
第2页 / 共40页
机房整改方案_第3页
第3页 / 共40页
亲,该文档总共40页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述
精品文档,仅供学习与交流,如有侵权请联系网站删除XX机房整改方案目录一、XX站整改项目说明3二、XX站整改项目目标3三、项目实施要求41、可靠性:42、环境保护:43、灵活性:44、安全性:4四、施工方案简述4第一部分 机房工程方案4第二部分:机房装修设计及施工方案6第三部分 机房外缆整改及设备支座制作8五、机房综合工程设计标准10六、效果图11一、 XX站整改项目说明本次XX站机房整改项目主要涉及XXX二楼机房、话务机房、电源机房等机房的整体维护。其中程控设备机房包含XXX交换机、传输设备、配线架等核心汇聚设备。机房在多年的扩容和新建工程施工过程中,遗留了较多的硬件施工问题,为实现标准化机房建设实施本次整改项目。 目前主要问题为:新建机柜需增加设备底座、线缆布防不规范、标签缺失、走线槽道缺失、外缆布防防护盒腐蚀、机房密闭条件差等,为设备安全运行造成重大隐患,也为机房日常维护工作带来了诸多困难。二、 XX站整改项目目标本次整改将主要针对机房现存硬件安装问题进行整改,从根本上解决现存的硬件质量问题:整改子方案涉及1、 机房装修工程2、 UPS配电系统整改3、 机房照明系统整改4、 接地系统整改5、 综合布线系统整改6、 增加温湿度监控系统7、 机房设备整改方案建设通过整改电源线、光纤、信号线等线缆的不规范布放,做到线缆布放科学、安全、整齐、美观;通过设备运行环境整改使机柜外观及内部设备防尘网干净、整洁,从而达到消除通信安全隐患、便于机房日常维护的目的;通过机房维护环境整改,实现标准化机房建设,确保设备维护环境达标;整改完成后:实施单位需汇总机房现场数据信息;对机房设备数据资料更新统计和修订;设备线缆标签整改;为机房后期的日常维护、扩容和巡检工作提供准确的数据资料。三、 项目实施要求通过机房标准化整改考虑以下方面:1、 可靠性: 设备纤缆改造充分考虑“三防”、“三护”,XX机房敷设相关备用线缆;2、 环境保护: 考虑机房环境的特殊性,选用相关防火阻燃材料;3、 灵活性: 为节约资金,充分利旧原通信站线缆进行整改;4、 安全性: 项目实施过程中对XX站相关技术资料做到严格保密,需签订相关保密协议;四、 施工方案简述第一部分 机房工程方案 整体机房面积约XX平方米左右。XX设备机房、XX机房及电源机房按国家标准B级机房设计和施工。1、机房功能区划分:主机房设在二楼。按国家B级标准机房设计和施工,按功能划分为XX机房、XX室、XX机房、电源机房、XX室五个功能区。2、机房装修使用:XX机房及XX机房采用防静电地板、微孔天花板、无眩光灯管等材料、防火窗帘及敷设防静电漆。3、机房配电系统:电源走线全部捋顺绑扎、重新制作标签、制作走线槽道,并充分考虑机房电源插座的冗余,保证机房配电的安全。4、机房防雷接地系统:机房接地和大楼接地共用,XX机房设备共地整改,地板支脚采用铜带接地,直流接地电阻小于2欧姆。5、机房控温系统:原有空调利旧,暖气计划采用装修包装或者更换为新型彩钢暖气两种预案,加装温湿度检测仪表。6、机房综合布线系统:要求整改厂家对机房进行了综合布线的设计,在各个功能区域相应墙壁地面30厘米高度处设置了相应数量的有网络信息点、电话点。保证在每个机柜下方开凿相应的穿线孔(包括地板和线槽)。在地板下均安装走线线槽,强电和弱电线槽相距30厘米以上。信号光纤及中继线缆均整改后放入线槽敷设;光纤布防:保护套管切口应光滑,否则要用绝缘胶布等做防割处理;尾纤绑扎不应过紧,尾纤在线扣环中可抽动为宜,不能有扎痕;布放后不应有其它电缆或物品压在上面。机柜内的过长尾纤应整齐盘绕于盘纤盒内或绕成直径大于8cm的圈后固定。7、保留原巡检系统涉及的巡检按钮操作板,施工时注意相关线缆的防护;第二部分:机房装修设计及施工方案 机房装饰:机房内放置有复杂的电子设备和通信设备,对装饰的要求,主要是满足通信设备对机房提出的技术要求,在机房装饰艺术上以既大方舒适,又满足其技术要求为原则。对装饰材料的选择要达到吸音、防火、防潮、防变形、抗干扰、防静电等要求。装饰后,要使整个机房色调柔和、通透宽敞、不压抑、舒适。以其达到现代化的装饰水平和视觉效果。 后续附机房装修效果图:1、机房高度设计正常要求为装修后净空高度(指活动地板面至天花顶棚高度)为2.3米2.6米左右较为理想,这样既能满足人的视觉效果,不致于使人感到压抑,又能减少空调的制冷量,以节约能源。2、机房天花设计考虑设备机房的技术要求以及机房高度要求,整个机房天花吊顶选用全铝喷塑微孔天花板:色调柔和,不产生眩光、防火、防潮、易清洁、吸音,照明灯具均匀分布于天花吊顶上。施工要求:(1)对吊顶部分进行防尘处理,刷防尘漆,确保天花基础部分不起尘。(2)天花上部的照明线缆涉及线槽及天花板部份都要接地机房防静电地板部分1、防静电地板设计及选用标准(1)抗静电地板电阻率:(1010710108) cm(2)分布载荷:大于1500kg/m2。集中载荷:大于200kg/m2(3)抗静电活动地板高度:35020mm(地板下空间为送风静压箱)2、地板材料选型 视厂家报价选择木质、铝合金防静电活动地板、钢质地板等种类;建议采用:复合抗静电地板,该防静电地板表面采用进口抗静电复合材料,抗静电效果良好,此外还具有防火、防潮作用;该地板为无边地板,配合精度高,且美观、整洁、耐用、其抗静电、耐磨、承受力等各项指标均可与进口复合抗静电地板比美。安装要求:建议机房防静电活动地板的安装高度为300mm左右,活动地板下面可以有较大空间用作机房内的强弱电管线铺设和空调净压箱使用。3、防静电地板施工方案首先对机房地面,作防尘、防水处理,再开始刷地台漆二遍,起防潮、防霉作用,然后再刷防静电水泥漆一遍。在地板安装中,施工人员需严格按照图纸设计,拉好对角线后再安装地板,保证整体效果和配合精度。地板板面标高300350mm,具有足够空间形成地板下净压风库并结合供配电系统的设计及施工。在地板施工中,要求注意异形地板(如风口地板、走线地板、电源插座安装地板等)的安装。另外需保证地板工程的防静电效果、接地效果。第三部分 机房外缆整改及设备支座制作1、电缆缆绑扎整齐不交叉,路由合理,便于今后维护和扩容。2、电缆表面不能有划伤,中间不允许有接头,转弯处应圆滑。3、信号线和电源线分开绑扎,间距大于3CM。4、电源线不允许盘绕,一般交流电源线和直流电源线分开绑扎5、外缆接头处应加装防护箱;电源线与其它线缆分开走线出口处需进行胶泥封堵,并增加相应标示;XX机房新增机柜缺失支座,安装完毕后另增加静电防护板,入设备纤缆增加波纹管并做好防护;安装细则:机柜所有进出线孔应封闭处理,如采用小盖板的缝隙宽度不大于1个盖板宽度,采用布袋式的袋口应绑扎紧固;采用塑胶件的出线口大小切割应合适。现场也可采取整齐美观、绝缘、阻燃的材料进行可靠封闭。设备支座采用标准支座,安装后要求设备底座与防静电地板平齐,并加装防静电防护板;五、 机房综合工程设计标准 新机房按国家标准B级标准机房设计和规划。本方案按机房建设方案依据标准(B级)设计,依据以下国家标准:中华人民共和国计算机信息系统安全保护条例建筑与建筑群综合布线系统工程设计规范(CECS72:97)电子计算机机房设计规范 (GB 500571994)低压配电设计规范(GB 50054-1995)电缆线路施工及验收规范(GB 50168-1992)计算机机房用活动地板技术条件(GB 6650-1986)通风与空调工程施工及验收规范GBJ 243-1982工业企业通信接地设计规范GBJ79-1985电气装置安装工程接地装置施工及验收规范(GB 50169-1992)六、 效果图电源标签安装图用户线标签安装图8、 机房设备整改方案建设 8.1 优化后信息化建设拓扑图8.2 IP地址及区域设计根据本项目需求,本方案将重新设计IP地址编址,重设计网络区域结构。具体如下:区域VLAN安全域外网/非信任域办公区独立VLAN1独立安全域领导区独立VLAN2独立安全域应用区独立VLAN200独立安全域数据库独立VLAN500独立安全域文件存储独立VLAN100独立安全域8.3 路由设计本技术改造方案主要通过路由技术,采用静态路由技术引导数据流向走向,分离业务流量,提升业务效率。设备网络地址下一跳地址防火墙防火墙模式防病毒网关部署根据用户现场实际环境规划网络行为审计系统透明部署ZTE三层交换DHCP内网核心入侵防御系统透明部署数据库审计系统旁路部署8.4 区域设计本方案设计的网络结构呈现出区域化,层次化构架,主要目的是为了便于网络管理、维护以及安全策略的针对性部署。各区域结构如下所述:(1) Internet区域Internet区域将原有启明防火墙部署为互联网防火墙,连接新增的100M光纤链路,为档案局内网区域所有需要上网的终端和服务器提供Internet代访问的防护,并设置相应管理策略,控制Internet访问权限和访问应用类型,保证Internet安全访问的需求。(2) 楼层接入区域楼层接入区域为如10.1.x.0/24网段,与原网络构架保持不变。其访问安全策略主要由其他区域的网关防火墙根据源端进行设置。(3) 核心网区域部署防病毒网关做为出口网关设备,具备高速转发的能力,在数据进行内外网交换机的时候并发进行蠕虫病毒的防护和杀毒过滤,保证上网内网的安全。满足82号令的要求进行网络综合行为的管控设计、存储日志的能力到达60天以上,并且具备公安部门认证资质,在下一阶段安全评测做好基础服务。(4) 服务器区域服务器区域设计为如10.1.100.0/24网段,所有服务器网关指向核心交换机服务器区区域接口,即如10.1.100.1。服务器区域主要有档案信息化应用服务器、WEB服务器、信息化数据库服务器、文件服务器、存储区域网络(SAN)设备等。所有服务器流量均由山石网科入侵防御系统根据安全策略控制访问,开启3000种入侵规则防护策略,应用防护策略。安全策略采用白名单方式,根据源目IP地址以及目标端口进行设置,最大限度的保证外部区域对服务器区域的安全访问。(5) 内容终端区域开启此技术特有功能,有效对内网数据、设备接口进行控制网络及终端安全设计方案(二) 网络系统拓扑图(三) 网络安全优化方案描述1 网络综合行为审计与控制网络的内容日益丰富,变得复杂、多样化。当今,互联网进入了应用级网络时代,大量未知的内容和信息纷纷涌进网络,病毒、黑客攻击、内部员工泄密等防不胜防,然而这些问题的本质是“管理”,如何管理员工上网行为,规范上网行为成为了每个企业首要面临的问题。目前,用户面临网络管理问题具体如下:v 无法为员工的上网行为进行有效管理 随着业务不断的扩展,工作人员大大的扩充,现有的设备中已经无法满足公司的对员工上网行为的管理。v 关键业务流量无法保证,带宽受到严重堵塞 虽然企业有很高的带宽,可是网络还是常常造成拥堵,网络中存在着大量的P2P软件,不能有效的管理和封堵,使得办公系统运转不顺畅,办公网页无法打开,严重影响了正常业务的顺利进行。v 发现异常流量无法有效定位员工的不合理访问网络,带来多种隐患,导致网络中充斥着大量病毒(如ARP病毒)。病毒在局域网内传输,制造网络攻击,常常造成网络的中断。v 档案信息化机密数据的保密无法得到真正的保障防火墙只能防御外部的侵袭,对于内部数据的泄露显得苍白无力,电子邮件、MSN/QQ 以及 BBS 论坛等网络应用固然给企业带来了网络化使用的方便同时也是造成公司机密文档泄密的途径,必须进行必要的管理。v 非法网站的访问带来了较多的法律风险员工的上网不节制行为利用企业内部网络访问反动,色情,违反法律等网站,发表不发的言论等,这些都会给企业带来负面影响以及要肩负起法律责任,需要对这种行为进行限制。v 上班做私事,利用局里网络享受上网娱乐,降低工作效率员工在工作时间玩网络游戏、看网络电视、炒股等等,既占用公司正常业务流量也严重影响了员工的工作效率,带来企业无形资产的损失。涉及到的管理 带宽管理 如何令有限的带宽合理分配使用,需要上网行为管理提供精细网络带宽管理功能。可根据主机(单 IP、IP 组、用户组)、服务(服务组)、应用程序、时间、URL、文件类型等不同参数,提供灵活组合来实现带宽的预留、保障和限制。 控制风险管理信息安全是一个复杂的系统工程。要实施一个完整的网络与信息安全体系,应包括一下三个结合: * 根据国家与企业切身情况制定相关网络管理规章制度,行政与技术部门切实规章制度的落实。* 网络安全技术的加入,如防火墙技术、网络防毒、身份认证、授权等。提供安全的网络边界。* 对上网行为进行审计和管理。提供实时监控企业网络安全状态、提供实时改变安全策略的能力、对现有的安全漏洞进行查漏补缺等,以防患于未然。 合规管理国家互联网安全保护技术措施规定、信息安全等级保护、企业信息系统风险管理等安全指导,均对学校、政府、企业、银行互联网访问的控制、审计提出要求。公安部33号令以及2006年3月1日颁布实施的公安部82号令,都对互联网使用单位内部用户的上网行为提出了行为审计和记录的要求,尤其82号令要求互联网访问行为日志“至少留存60天”。 行为管理通过策略与日志,管理者可以跟踪网络中的任何操作。对用户上网行为操作做出规范管理,减少内部泄密行为与病毒传播隔离。2 防病毒网关系统随着网络应用的不断发展,越来越多的木马入侵、病毒等攻击通过网络进行实施及传播,病毒传播的范围广、速度快,对网络用户造成了难以估量的损害。在金融网络中,由于内部网络与外界连接方式多样,联系业务众多,因此,在应用中难免也存在木马、病毒及恶意程序等泛滥传播的情况。为了解决病毒及恶意程序通过网络的传播问题,很多安全厂家,开始尝试发布病毒防护网关。但是,多数设备厂商都遇到了一个很大的技术难题,就是网关病毒防护会消耗大量的网关设备资源,而对数据的转发及处理造成很大的延时,成为数据快速转发的瓶颈,降低网络使用效率。Hillstone山石网科公司为了解决网络病毒传播及网关查杀毒性能瓶颈的问题,提出了全新的第二代网关防毒设计理念,采用全新多核处理器+ASIC+高速交换总线的硬件设计,结合基于并行流的杀毒机制,为了提高病毒查杀的识别能力,整合了杀毒业内知名防毒公司病毒库,最终实现了高性能的网关病毒防护功能。Hillstone山石网科产品的病毒防护功能主要有以下特性:l 基于64位多核处理器的设计架构,满足病毒防护对CPU和内存资源的高需求。多核CPU及专业的64位专用安全系统,确保了CPU的高效性能输出。l 基于并行流扫描机制的杀毒引擎,充分发挥硬件优势,确保病毒处理的高性能。l 先进的多核CPU并行处理方式,硬件数据包重组,确保了高性能。l 基于流的多层压缩文件解压。确保对压缩文件中病毒的彻底查杀。l 整合成熟知名杀毒厂家病毒库的实时自动升级,确保了最短时间内,及时的响应对最新病毒的查杀需求。l 支持对HTTP、FTP、POP3、SMTP和IMAP协议杀毒。能够及时发现多种常用协议传输数据中的病毒,进行有效的处理l 中断传输会话、杀毒、日志记录等多种处理机制。对于发现有病毒传播的数据流,可以设置多种处理方式。l 网关杀毒支持透明、路由、混合模式。可以满足各种网络环境部署需要。l 病毒防护功能开启时最大吞吐量达1.68G保证用户的主干链路数据传输延时不会过大,可让用户放心使用Hillstone山石网科安全网关。Hillstone山石网科的病毒过滤网关通过高性能、高可升级性解决方案,能满足金融网络现今低延迟和低响应时间应用的需求。如果配合网络版防病毒软件一起使用,这样为金融用户网络的病毒防护起到一个双保险的作用,效果更为显著。3 部署内网安全方案详解: 信息保密管理:IP-guard严格控制网络连接,综合考虑政府文件的各种存在状态与访问途径,全方位多角度的保证机密文件只在可控范围内流通,文件安全无懈可击。控制网络接入,保证访问安全 外部入侵检测:系统登记网络内计算机,即时检测是否有新计算机接入内网,对非法接入的计算机进行阻止,限制个人电脑随意接入内网,防止外部计算机非法入侵对政府信息网络造成的文件泄密与系统风险。 内部通讯控制:设定网内计算机相互通讯权限,有效控制不同部门间的网络访问,保证需要保护的敏感计算机的安全。控制外部设备,防止外设泄密 控制网内计算机外部设备的使用权限,包括存储设备、通讯设备、USB设备、网络设备及其他主流的计算机外部设备,并可监控禁止新设备的使用,多种途径阻止外接设备造成敏感文件外流 各类设备控制可细化到最小分类,如USB设备可细分键盘、鼠标、光驱、Modem等,最大限度保证正常的设备应用控制移动存储,防止U盘泄密 对指定移动存储设备中存取的文档进行自动透明加解密,U盘超出可信使用范围即无法访问,保证机密文件即使不慎流出也不会泄露导致严重后果 分类管理内部流通的移动存储设备,只有经过认证加密的设备才可以在系统中使用,在保证合理应用的同时防止敏感文档经由非法存储设备流出控制文档操作,强化操作审计 灵活限定网内计算机对特定文件的操作权限,包括创建、访问、移动、修改、删除、重命名等,防止敏感文件被泄露或删除 当有设定的非法操作出现时,自动报警并备份文档,防止文件被篡改或者删除而造成严重后果 完整记录网内计算机文档操作,多种条件灵活查询,以便有重大事件发生时进行审计 定时记录客户端屏幕画面,支持输出为通用格式视频文件存档,便于在事件发生时直观还原事件原貌控制打印操作,防止打印泄密 严格控制打印机的使用权限,控制打印程序,防止敏感文件通过打印途径泄露的同时,还可以管理打印消耗 多个项目详细记录打印操作,并可完整记录每次打印的映像图像,直观查看打印内容,便于发生问题时追根溯源控制外发工具,防止传输泄密 限制通过即时通讯工具如QQ、MSN等传输文件,支持在传输时进行备份以降低文件损失风险,持续更新并支持绝大部分的即时通讯工具 控制邮件发送,阻止向不被允许的收件人发送邮件,控制附件的使用,支持在发送附件时自动进行备份,降低文件损失风险 必要时也可禁止指定类别的IM及邮件程序的使用,即使改变程序名也继续有效,彻底杜绝通过网络传输泄密的风险如需要,可提供即时通讯记录查看与邮件完整记录功能 系统应用管理:IP-guard全面控制网内计算机应用程序与网络应用,完整的审计为IT管理者提供依据,杜绝安全隐患,做到专机专用,专网专用,有效提升应用效率。管理应用程序,保持系统高效 自动收集网内计算机运行的各类程序,分类管理客户端运行的应用程序,防止危险程序运行带来的未知风险 合理限制某些与政务无关的应用程序的使用,如游戏、炒股等,符合政府内网专机专用的要求,保持系统高效应用 对网内计算机程序运行状况进行统计,生成报表,为管理提升提供依据如需要,可提供客户端屏幕即时查看功能,方便管理管理网页浏览,降低染毒及未知风险 控制网内计算机访问网站的范围,限制访问无关网页,完全禁止访问色情、暴力、反动网页,预防病毒、木马等安全威胁及政治风险 策略设置灵活,支持黑名单和白名单,可以分时段、分类别进行控制 详细记录统计网内计算机网页浏览状况,生成直观图表,方便管理者发现问题管理网络流量,高效利用带宽资源 限制客户端网络流量,禁止P2P下载、在线视听等无关网络应用,防治网络拥堵,保证正常政务处理业务流量,使带宽资源得到最优利用 可针对时段、端口、IP地址等参数灵活控制,实现更加人性化的管理 统计客户端流量使用情况,迅速发现网络拥堵症结所在,为网络资源分配提供依据 维护与资产管理:IP-guard加强集中管理,远程维护简化冗繁工作,轻松管理补丁与漏洞,保证系统持续稳定;全面资产管理让国有资产绝不轻易流失。简化系统管理,迅速排除故障 实时远程查看网内计算机进程、性能等运行状态,分析故障原因并进行远程协助,快速排除故障,解决系统问题 支持远程连接操作网内计算机桌面,方便进行协助或者示范操作 支持文件在客户端与控制机间双向传送,方便内部沟通便捷资产管理,保卫国有资产 即时监控网内计算机软硬件资产状态,包括硬件、操作系统、应用程序等,记录资产变更,保证国有资产绝不流失 支持自定义管理非IT资产, 扩大资产管理的覆盖范围,查询便捷强化补丁及漏洞管理,让系统无懈可击 集中扫描网内计算机补丁安装情况,及时下载并集中部署安装,保证系统安装最新补丁,及时修补严重威胁漏洞 集中扫描网内计算机系统漏洞,包括权限、密码及系统设置等问题,提出改进建议,帮助消除安全隐患快捷软件分发,便利程序安装 便捷制作软件安装包,部署任务,分发到系统内各计算机并自动安装,大大减轻IT管理人员逐机部署应用程序的负担,方便应用软件在内部的大规模应用 支持复制特定程序或文件到客户端,简化文件分发,加快信息传递(四) 使用产品选型设备需求品牌参数生产地网络行为综合审计系统网神北京防病毒网关山石北京内网安全系统溢信内网终端管控系统广州IT运维与库房机房环境动力安全(一) 建设目标1 在中心机房和库房独立部署整体的机房动力和环境监控。主要包括精密空调(或家用空调)、UPS运行状态监控、温湿度、烟感和漏水监控、配电柜开关及市电监控。2 对机房内运行的各应用系统平台的可用性、以及支撑应用系统运行的网络设备、服务器、数据库等的运行状态进行监控。3 提供机房动力环境长期的监控报告,提供机房内各系统及设备长期运行状态分析报告。4 当不利的动力和环境状况出现时,当网内内各系统及设备运行异常时能进行声音、监控屏幕弹出窗、手机短信、电子邮件远程报警等各种手段的预警,以及在发生故障时进行迅速的警告。5 资产管理。可对设备的使用壮况如名称、型号、购买日期、质保时间、使用人(处室)等提供在线管理。(二) 建设原则1 安全生产的原则:由于网络系统的重要性,各种技术方案、产品、客户化工作的实际实施必须经过充分的测试和验证,并需精心设计实施方案,以保证不会对用户现有网络的正常运行和业务系统的正常使用造成任何影响;同时,应充分考虑工程实施过程中的回退和应急方案,以保证在最短时间内恢复由于新系统的实施对网络造成的影响。2 开放性原则:网络系统管理平台需要基于开放的管理平台,遵循业界标准,并提供开放、灵活的信息交互及管理接口,能提供开发接口,方便扩展管理功能,并且支持第三方厂商的应用集成,为产品的选型提供更高的灵活性。3 可用性原则:网络系统管理平台的部署不需对原有的网络系统结构、安全策略等方面做较大修改和调整,对原有网络系统性能影响最小化,尽量少的占用网络资源、被监控服务器资源不得超过现有资源的百分之五,可定期自动清除“垃圾”文件和“垃圾”数据。4 健壮性原则网络系统管理平台具有较强的免维护能力,能够长时间稳定运行,自身维护要求简单,具有快速恢复功能。5 扩展性原则:网络系统管理平台具有较强的扩展性,能够在包括管理范围、管理功能、管理数量等方面提供灵活、多样的扩展能力。6 展示形式多样性原则:网络系统管理平台能够对收集的数据进行分析处理,生成技术、运维管理等层面的相关报表、视图等,根据不同级别用户的实际需求,提供灵活、多样的展示形式,能提供中文界面。7 可定制原则:提供灵活的部署方式,在客户化、管理策略、事件关联、报警方式、报表生成、信息展示、管理流程等方面可以按实际需求进行定制,并支持用户的二次开发。8 成熟优先、适度超前原则:系统整体设计应该统一规范,模块设计清晰合理,通信接口明确透明,能够有效地实现后台一体化管理。在此基础上,该网络管理系统应具有适度的先进性。(三) 解决方案1 监控系统简介“飞思网巡”是创新和领先的IT运维管理硬件产品。“极简”的设计提供全网IP通信线路,以及机房IP网络全面监控预警解决方案。内容包括DDN专线和VPN隧道等通信线路、服务器的硬件和各种操作系统、数据库和应用系统、网络设备的运行状态和性能,IP和应用流量分析,机房动力环境等。“飞思网巡”系统为方便的全Web方式配置和管理,以“简约”设计为核心,使用简单,运行安全稳定。系统为旁路接入用户IP网络中。它不改变任何网络结构,带来新的单点故障,对网络带来不利影响,对监控管理目标影响极低。系统具有全面的监控管理功能,主要对用户的机房网络基础设施和IT系统带来全面的监控、管理、预警和运维能力。2 架构“飞思网巡”专用系统基于高效安全Linux内核,全web配置管理,运行更稳定可靠,监控预警更快速准确。优化的核心程序,对网络带宽占用极低,同时对目标网络设备和服务器性能影响极低。系统主要由数据采集、数据储存和分析处理、B/S可视化人机界面、报警等模块组成,并提供多种扩展组件。系统架构 数据采集模块数据采集模块通过SNMP、WMI、SYSLOG、IPMI、各种应用层协议(ICMP、HTTP、FTP、TELNET、SMTP、POP3等)及私有协议,对网络专线(DDN、VPN)、网络设备、服务器、各种应用和数据库系统、机房环境等进行各种数据采集,提交到数据储存和分析模块处理。 数据储存和分析模块数据储存和分析处理模块对采集模块提交的的数据进行分析,确定监控目标的状态(正常、一级和二级告警、错误等),向B/S可视化人机界面模块提交状态信息。同时,将数据储存到数据库中,提供接口供人机界面模块进行历史数据查询。 B/S可视化人机界面模块B/S可视化人机界面模块通过web对用户提供配置、管理和告警接口。用户通过web进行系统配置、监控目标配置,查看网络拓扑图和监控目标的状态,查询历史数据生成详尽的性能曲线图、故障和告警历史记录,生成报表。人机界面也提供完整的管理员操作日志查询、配置备份和恢复、系统手动和自动升级等多种管理功能。 预警模块预警模块通过人机界面的弹出窗口和声音进行声光预警,同时支持通过发送电子邮件和手机短信等多种手段进行预警。 扩展组件 系统提供流量分析、机房动力环境、设备日志储存管理等多种组件,根据需要可灵活扩展。l 流量分析组件通过netflow/sflow/抓包分析等进行IP和应用流量统计、TOPN列表、故障诊断、带宽容量规划决策等高级功能。l 机房动力环境组件结合动力和环境探测设备,可以实现对机房动力(市电)、环境参数(温度、湿度、烟雾、漏水)和UPS、精密空调等智能设备的监控预警。l 日志储存服务组件通过SYSLOG协议接收和储存被监控的网络设备、服务器的日志。提供查询和管理,快速发现和定位存在的设备和服务器安全事件,设置指定关键字日志监控预警等高级功能。3 建议方案 机房方案图中心机房和两小机房全面监控预警方案图在中心机房和两小机房各部署一台 “飞思网巡”硬件设备,以及相应的环境监控设备。如上图所示。 主要应用价值1. 实现对机房的各应用系统,以及支撑业务系统运行的网络、服务器、数据库、机房动力和环境等基础设施的安全性、可靠性、稳定性和性能表现进行深入监控,以及能提前预知故障和排除故障,避免对中心业务带来影响。主要内容为:a) 机房动力环境:市电/UPS等动力情况,温度/湿度/烟雾/漏水等环境参数。b) 应用系统:业务系统/OA/ERP/WEB/邮件系统/中间件等可用性、响应时间和运行状态。c) 网络设备:CPU/内存/Flash/端口状态和流量等。d) 服务器:机箱、CPU温度/风扇转速/电源等硬件状态;CPU/内存/磁盘空间/IO读写/网口状态和流量/进程服务等操作系统性能状态。e) 数据库:表空间/响应速度等数据库性能指标。f) 链路:上网专线/到异地DDN和VPN/互联链路的通断/丢包率/延时和流量等。g) 流量分析:通过netflow/sflow/抓包分析等进行IP和应用流量统计、TOPN列表、故障诊断、带宽容量规划决策。h) SYSLOG收集分析:集中管理网络设备/服务器等的日志信息,快速发现和定位存在的设备和服务器安全事件。i) 预警和管理:设置两级阀值,弹出窗口/电子邮件/短信预警,实现运维流程管理。2. 不断提升网络管理人员的工作效率,与服务器中心的整体发展要求相适应。3. 通过监控系统对服务器定时关闭开启的能力,打造节能绿色机房。 方案特点“飞思网巡”硬件平台,是创新和领先的硬件产品,具有鲜明的特点,主要为:1. 硬件产品,旁路接入,全web管理,简单易用。2. 基于linux定制的专业操作系统,集成数据库,降低成本,不会感染病毒,长时间不间断运行,高效安全。3. 创新的“云技术”应用,实现可靠的分布式部署,集中监控。4. 优化的数据采集程序设计,对带宽占用低、目标网络设备、服务器等性能占用接近零。5. 对服务器定时关闭开启的能力,打造节能绿色机房。6. 加强的预警机制,多级阀值设定,电子邮件和短信通知准确迅速。7. 模块化设计,定制支持能力更强。4 产品选型本项目建议选用专用硬件平台,通过跟高效和安全的Linux操作系统、模块化设计的软件进行优化整合,形成的一体化产品具有更高的稳定性、性能,并且易于部署和维护。中心机房(一套)设备需求品牌参数生产地”IT运维管理与机环动环监控系统飞思全web配置管理,可视化图形界面,自定义首页,曲线图循环播放展示。IP和网段自动扫描,自动分类,自动形成树形结构。手机短信、电子邮件、弹出窗口等多种种报警方式,支持多级阀值设定。对DDN和VPN等链路的可用性、质量进行监控。对主流网络厂家的网络设备进行监控,包括ping存活探测,cpu、内存、存储器空间、接口流量等运行状态。对F5负载均衡设备业务性能提供深入支持。主流服务器厂商的服务器(支持IPMI协议)的硬件状态进行监控,包括服务器内部环境温度、主板温度、CPU温度、CPU风扇转速、电源状态、电源电压、CPU电压、CMOS电池容量等。并且可实现远程开关机等管理功能。对Windows、Linux、AIX、HP-UX、Vmware ESX(i)/vSphere等操作系统的服务器的ping存活、系统资源(cpu、内存和磁盘空间)、接口流量、进程等进行监控。支持对HTTP、HTTPS、FTP、Telnet、FTP、ICMP、IMAP、Pop3、SMTP和任意TCP端口上的应用服务进行监控。对广泛应用的IIS、Apache、Nginx,以及Tomcat、Weblogic、WebSphere中间件等服务的详细运行状态和性能参数进行监控。对Oracle、Mysql、SqlServer、DB2等主流数据库进行表空间利用率、数据文件的每秒I/O操作、已连接的用户数等众多参数进行监控。对机房温湿度、漏水、烟雾等环境参数,以及市电和UPS等动力状况进行监控(需要额外的附加探头支持)。支持历史性能曲线、故障和通知历史记录、管理员操作历史记录和报表功能,支持导出excel格式的报表。支持基于角色定义的分级权限管理支持自动网段扫描和智能向导配置,以及网络拓扑图功能,支持导入机房真实图片及拓扑图。支持PING、Traceroute、CheckTCP、SNMPWALK、Ipmitool等诊断工具。支持远程协助,提供在线帮助系统。本次配置30个监控网元,3套温湿一体型传感器,1路缆式水浸传感,2个烟雾传感器,1套三相智能电量检测仪,1个开关量采集器,1路智能设备监控主机(精密空调,1路智能设备监控主机(UPS),1个GSM短信猫北京详细描述如下:监控系统主设备“飞思网巡”IT运维管理设备1000型(需支持监控30IP)Web方式配置管理,采集网络、服务器、数据库、机房动力和环境等基础设施等各种数据,分析数据,提供历史记录和报表,发送电子邮件、手机短信等报警信息。1安装在机柜中。通过网线接入交换机。网络型动力环境监控设备APEM6300环境监控主机可总线式接入最多8路TH3101(数字温湿一体型传感器。如需接入超过8路,可定制)。带3路开关量输入,可接入共3路漏水和烟雾监控。带1路485接口。带液晶显示。1APEM6300安装在机房入口处,并将TH3101安装在需监测温湿度的地方。如墙壁和机柜位置。APEM6300通过网线接入交换机。TH3101数字温湿一体型传感器数字温湿一体型传感器3APEM6300带3个TH3101。5803缆式水浸传感器区域漏水检测。含控制器,引出线,(5米)感应线,终止端,固定胶贴。1安装在精密空调主机周围。通过2根信号线接入环境主机的开关量端口。668烟雾传感器离子型。2安装在机房2个需重点监测烟雾的天花板上。通过2根信号线接入环境主机的开关量端口。AJ34三相智能电量检测仪液晶显示,485通信端口。测量三相四线制电力线路的电压、电流、频率、功率因数、有功功率、无功功率、总基波功率、总谐波功率,有功电度、无功电度。1安装在配电柜内。通过2根信号线接入环境主机的485端口。D86开关量采集器485通信端口。监控空气开关状态。1安装在配电柜内。通过2根信号线与AJ34三相智能电量仪手拉手链接,最终接入环境主机的485端口。TS100智能设备监控主机(精密空调)485通信端口及以太网口。监控精密空调运行状态。1安装在精密空调控制板附近。通过2根信号线将485通信端口连接精密空调485通讯端口。通过网线将以太网口接入交换机。TS100智能设备监控主机(UPS)RS-232通信端口及以太网口。监控UPS运行状态。1安装在UPS附近。通过UPS随机附带的串口线缆(如不了解,需咨询UPS厂家)连接RS-232通信端口与UPS智能通信口。通过网线将以太网口接入交换机。短信发送附件GSM短信猫用于发送预警短信。USB接口。1通过USB线缆连接“飞思网巡”IT运维管理设备USB端口。数据中心的存容灾备份与安全(一) 数据中心现状(二) 数据中心优化后方案1 数据中心防入侵系统在档案局服务器入口处处部署一套网络入侵防御系统,通过设置检测与阻断策略对流经入侵防御系统的网络流量进行分析过滤,并对异常及可疑流量进行积极阻断,同时向管理员通报攻击信息,从而提供对网络系统内部IT资源的安全保护。入侵防御系统能够在第一时间阻断各种非法攻击行为,比如利用网络系统薄弱点进行的直接攻击和增加网络流量负荷造成网络环境恶化的DoS攻击等。保护关键业务隔离企业内网攻击hillstone网络入侵防御系统解决方案优势1) 它可以完成多种协议的格式解析l 按照协议来划分,没有协议特性的归入全端口检测 l 当前支持个协议 :DNS、FTP、HTTP、POP3、SMTP、Telnet l 支持3000多个signature的检测l 结合应用识别模块可以检测非标准端口 2) 对于HTTP的防护非常细致颗粒化HTTP 防护分类:l Web平台 l Web认证 l Web授权 l 输入验证 l Web数据存储(例如SQL) l XML Web服务 l Web应用管理 l Web客户端 l DOS 3) 支持IPS在线模拟和IPS模式l IPS在线模拟模式,仅提供协议异常和网络攻击行为的告警、日志功能,不对检出攻击做reset、block操作。l IPS模式,提供协议异常和网络攻击行为的告警、reset、阻断功能。4) 提供防御暴力破解功能,并在设定时间内阻断后续认证登陆尝试l 暴力破解,检测每分钟对多允许的登录(密码验证)尝试次数。如果超过配置阈值,则根据用户配置的行为进行处理。l 对SMTP、POP3、FTP、Telnet协议提供暴力破解功能。l 暴力破解被认为是一个”Critical”级别事件。 5) 对网络攻击事件分为Info、warning、critical三个安全级别,可根据安全级别对网络攻击行为设定告警、重置及block的操作。l 安全级别设置三级,Information、Warning、Critical。l 用户针对不同安全级别可配置不同的操作,包括仅记录日志、重置连接、阻断攻击IP或service。6) 提供服务器信息保护l 由于Web、Mail、FTP等服务器安全设置级别不高,可能在应用交互过程中泄露服务器版本等重要信息,成为黑客进行入侵攻击的通道之一。l IPS提供HTTP、SMTP、POP3、FTP服务器信息的保护功能,替换在应用交互中服务器回应给客户端的信息。 7) 提供协议异常和网络攻击行为的告警、reset、阻断功能8) 提供详细的攻击防护日志输出9) 提供详尽的在线帮助文档,帮助用户了解IPS检测出的网络攻击行为的详细信息及解决方案10) 提供用户基于signature id、application、ip、user、zone、interface的入侵次数统计集设置。用户可通过这些统计集从不同纬度分析网络攻击行为。11) 支持IPS特征库及IPS相关配置的双机热备功能l 支持IPS 特征库的批量及实时同步l 支持IPS相关配置的批量及实时同步Hillstone山石网科入侵防御系统能够提供很好的内网攻击防护功能,结合来自网络外部的攻击防护功能,能全面杜绝内网ARP、DDoS攻击和外部非可信网络的攻击,全面、高效、安全的保护用户的网络,还用户一个安全、干净、舒适的信息环境。l 高可靠性和稳定性依靠积累多年被证实的专业硬件安全产品研发和市场经验,Hillstone山石网科入侵防御系产品无论在软件还是硬件的稳定性和可靠性上都有了进一步提高。全面优化的软硬件系统的稳定性和高可靠性为网络流量和网络攻击日益膨胀的xxx单位网络IT环境提供了强大的保障。l 最低的总体拥有成本Hillstone山石网科入侵防御系提供了非常友好的使用和管理界面,部署简单、易于维护和管理。灵活的特性可以满足不同用户不同应用环境的需求。独特创新的新一代网络安全架构提供给用户最大化的可扩展能力,最大化地保护用户投资。l 强健的专用实时操作系统Hillstone山石网科入侵防御系采用了专用的64位实时并行操作系统StoneOS,其并行处理能力和模块化的结构易于集成和扩展更多的安全功能。针对新一代多核处理器进行的全面优化和安全加固极大地提高了系统处理效率、稳定性和安全性。模块化和并行多任务的处理机制,为Hillstone山石网科入侵防御系提供了极大的可扩展能力,包括支持更多的核处理器和集成更多的安全功能。l 强大的抗攻击能力Hillstone山石网科入侵防御系的多核处理器具有天生的高性能内容安全处理能力,结合专用定制操作系统,能够提供高性能的应用安全处理能力和更强的应用层抗攻击能力。Hillstone山石网科入侵防御系每秒能够提供多达40万的TCP会话请求,具有超强的SYN Flood抗攻击能力和DDoS抗攻击能力。产品选型设备需求品牌参数生产地入侵防御系统山石网科北京2 数据中心数据审计由于政府和企事业单位的数据库系统都实现了网络化访问,内部用户可以方便地利用内部网络通过各种通讯协议进行刺探,获取、删除或者篡改重要的数据和信息。同时,一些内部授权用户由于对系统不熟悉而导致的误操作也时常给数据库系统造成难以恢复的损失。此外,对于使用IT外包和代维的大型机构而言,如何限制外部人员对数据库系统的访问权限也是一个难题,外包方的技术工程师可能在开发数据库应用的时候留下后门或者幽灵帐号,为将来侵入数据库系统埋下隐患。另一方面,为了保护敏感信息、加强内控,国家强制机关和行业的主管部门相继颁布了各种保护公民隐私,以及合规和内控方面的法律法规和指引,例如企业内部控制基本规范、银行业信息科技风险管理指引、证券公司内部控制指引、保险公司风险管理指引(试行)等。其中中华人民共和国刑法(七)第253条明确规定“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。”此外,在国际上,美国政府针对上市公司的萨班斯(SOX)法案、针对医疗卫生机构的HIPAA法案、针对联邦政府机构的FISMA法案,支付卡行业数据安全标准(PCI DSS)都对信息保护和内控提出了严格的要求。这些条例和指引都要求对网络中的重要数据库系统进行专门的安全审计。可以说,随着安全需求的不断提升,网络安全已经从以防范外部入侵和攻击为主逐渐转变为以防止内部违规和信息泄露为主了。在这种情况下,政府和企事业单位迫切需要一款专门针对网络中数据库及其业务信息系统进行全方位审计的系统。网神借助多年在安全管理领域的积累,推出了SecFox-NBA(业务审计型),很好地满足了客户的安全审计需求。网神SecFox-NBA(Network Behavior Analysis for Business Audit)网络行为审计系统(业务审计型)通过对连接到重要业务系统(服务器、数据库、业务中间件、数据文件等)的数据流进行采集、分析和识别,实时监视用户对业务系统的访问,记录、发现并及时制止用户的误操作、违规访问或者可疑行为。SecFox-NBA(业务审计型)能够对复杂网络环境下的各种数据库操作行为进行细粒度审计。产品能够对运行在各种操作系统上的各种品牌数据库的操作进行记录并回放,审计的行为包括DDL、DML、DCL,以及其它操作等行为;审计的内容可以细化到库、表、记录、用户、存储过程、函数、调用参数,等等;不仅能够审计请求信息,也能够审计返回结果,还支持操作内容回放。SecFox-NBA(业务审计型)独有面向业务的安全审计技术,通过业务网络拓扑记录客户业务网络中各种数据库、主机、web应用系统相互的关联性,审计人员可以根据业务网络的变化快速查看业务网络中各个设备和整个业务网络的事件和告警信息。SecFox-NBA(业务审计型)能够自动地或者在管理员人工干预的情况下对审计告警进行各种响应,并与包括各种类型的交换机、路由器、防火墙、IDS、主机系统等在内的众多第三方设备和系统进行预定义的策略联动,并能够实时阻断可疑的网络通讯,实现安全审计的管理闭环。SecFox-NBA(业务审计型)为客户提供了丰富的报表,使得管理人员能够从各个角度对业务系统的安全状况进行审计,并自动、定期地产生报表。产品部署简便,不需要修改任何网络结构和应用配置,不会影响用户的业务运行。产品特点SecFox-NBA 网络行为审计系统(业务审计型)的主要特点包括:1) 全方位的数据库审计2) 数据库操作实时回放3) 多角度的业务审计4) 应用服务实时监控5) 资源转换与审计控制6) 内置数据库防攻击策略7) 快速响应和协同防御8) 海量存储便于事后分析9) 部署灵活简单易用10) 详尽有效审计报表多数据库系统及运行平台支持SecFox-NBA(业务审计型)产品能够对多种操作系统平台下各个品牌、各个版本的数据库进行审计。产品能够审计的数据库系统包括:Oracle 8i / 9i / 10g / 11gSQL Server 2000 / 2005 / 2008IBM DB2 7.x / 8.x / 9.xIBM Informix Dynamic Server 9.x /10.x /11.xSybase ASE12.x / 15.xMySQL 4.x / 5.x /6.x国产数据库,例如达梦、人大金仓等产品能够审计的数据库运行平台包括:Windows、Linux、HP-UX、Solaris、AIX。细粒度数据库操作审计SecFox-NBA(业务审计型)能够深入细致地对数据库的各种操作及其内容进行审计,并且能够用户通过各种方式访问数据库的行为。系统审计的行为包括DDL、DML、DCL,以及其它操作等行为;审计的内容可以细化到库、表、记录、用户、存储过程、函数、调用参数,等等。如下表所示:操作行为内容和描述用户行为数据库用户的登录、注销数据定义语言(DDL)操作CREATE,ALTER,DROP等创建、修改或者删除数据库对象(表、索引、视图、存储过程、触发器、域,等等)的SQL指令数据操作语言(DML)操作SELECT,DELETE,UPDATE,INSERT等用于检索或者修改数据的SQL指令数据控制语言(DCL)操作GRANT,REVOKE等定义数据库用户的权限的SQL指令其它操作包括EXECUTE、COMMIT、ROLLBACK等事务操作指令系统不仅能够审计数据库操作请求,还能审计操作的返回结果,包括成功或者失败。如果失败,能够审计到返回的错误码。系统能够对各种访问数据库的途径进行监控和审计,参见下图:如上图Oracle数据库审计所示,无论用户通过Oracle自带的企业管理控制台、PL/SQL命令行、SQL*PLUS进行访问,还是通过第三方的Quest TOAD(Tool for Oracle Application Developers)工具访问,抑或通过中间件、浏览器、客户端程序/代理方式访问,等等,SecFox-NBA(业务审计型)都能够进行审计。特别地,如果被审计的数据库网络数据被加密处理了,SecFox-NBA(业务审计型)为用户提供了一个通用日志采集器模块,借助该模块,系统能够自动的采集被审计数据库的日志信息,并在审计中心对其进行归一化和关联分析。此外,SecFox-NBA(业务审计型)还能够监测数据库系统所在主机的网络通讯,对该主机的FTP、文件共享等协议进行审计,确保数据库系统上的数据安全。可视化的数据库审计SecFox-NBA(业务审计型)系统为用户提供了简介易用的操作界面,使得普通管理员就能够
展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 管理文书 > 施工组织


copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!