|
目錄 1. 單位信息化建設(shè)現(xiàn)狀分析 1.1 網(wǎng)絡(luò)性能風(fēng)險 1.2 管理功能風(fēng)險 1.3 網(wǎng)絡(luò)安全風(fēng)險 1.4 數(shù)據(jù)安全風(fēng)險 1.5 訪問身份識別風(fēng)險 1.6 信息化支撐環(huán)境風(fēng)險 2. 需求分析 2.1 網(wǎng)絡(luò)及管理需求分析 2.2 網(wǎng)絡(luò)安全需求分析 2.3 數(shù)據(jù)安全需求分析 2.4 訪問身份識別認證需求分析 2.5 信息化支撐環(huán)境建設(shè)需求分析 3. 規(guī)劃思路 4. 建設(shè)目標(biāo) 4.1 總體目標(biāo) 4.2 網(wǎng)絡(luò)建設(shè) 4.3 網(wǎng)絡(luò)安全建設(shè) 4.4 數(shù)據(jù)安全建設(shè) 4.5 訪問身份識別認證建設(shè) 4.6 信息化支撐環(huán)境建設(shè) 4.6.1 一體化智能機房支撐環(huán)境建設(shè) 4.6.2 超融合私有云平臺支撐環(huán)境建設(shè) 5. 解決方案 5.1 企業(yè)信息化總體規(guī)劃網(wǎng)絡(luò)拓撲圖 5.2 近期網(wǎng)絡(luò)改造拓撲圖 6. 規(guī)劃預(yù)算 6.1 企業(yè)信息化總體規(guī)劃建設(shè)預(yù)算 6.2 近期網(wǎng)絡(luò)改造建設(shè)預(yù)算 7. 實施步驟
1. 單位信息化建設(shè)現(xiàn)狀分析近期通過對XXX企業(yè)運營(集團)有限公司(以下簡稱XXX企業(yè))的財務(wù)系統(tǒng)及辦公系統(tǒng)進行巡檢�����,分別對上述系統(tǒng)的運行環(huán)境���、運行的狀態(tài)以及設(shè)備的健康情況都做了一次全面的檢測。 通過這次巡檢�����,發(fā)現(xiàn)XXX企業(yè)的網(wǎng)絡(luò)性能和管理功能缺失����、網(wǎng)絡(luò)安全保護缺失、數(shù)據(jù)網(wǎng)安風(fēng)險����、訪問身份識別缺失�����、信息化運行支撐環(huán)境缺失等重要的生產(chǎn)風(fēng)險�。以下分別詳細說明上述風(fēng)險情況���。 1.1網(wǎng)絡(luò)性能風(fēng)險XXX企業(yè)目前的財務(wù)系統(tǒng)使用的兩臺服務(wù)都是接入到一臺傻瓜交換機�,性能不足�����。影響業(yè)務(wù)處理效率�����,會導(dǎo)致數(shù)據(jù)傳輸瓶頸�,日后業(yè)務(wù)量增加會造成系統(tǒng)卡頓,正常業(yè)務(wù)無法開展����。 1.2管理功能風(fēng)險由于傻瓜交換機只做簡單的數(shù)據(jù)轉(zhuǎn)發(fā),不能設(shè)置VLAN�����、訪問控制策略、QOS等高級的網(wǎng)絡(luò)管理功能�����,不具備管理性��。網(wǎng)絡(luò)一出現(xiàn)故障根本無從查起�,隨著單位業(yè)務(wù)的擴大,數(shù)據(jù)訪問規(guī)模也不斷增加這將是致命的風(fēng)險���。 1.3網(wǎng)絡(luò)安全風(fēng)險網(wǎng)絡(luò)中沒有防火墻����,對于網(wǎng)絡(luò)邊界控制無法有效保護�����。黑客容易攻擊內(nèi)網(wǎng)��,癱瘓服務(wù)器�����,導(dǎo)致業(yè)務(wù)中斷��。內(nèi)網(wǎng)電腦和服務(wù)器沒有安裝網(wǎng)絡(luò)版的殺毒軟件只有單機版軟件�����,防護能力比較弱不能統(tǒng)一管理�。存在病毒爆發(fā)的風(fēng)險較高,如勒索病毒攻擊���,造成單位經(jīng)濟損失���。 1.4數(shù)據(jù)安全風(fēng)險目前備份計劃采用本機備份和手工拷貝的方式進行備份存儲,沒有實現(xiàn)異地備份要求�。萬一發(fā)生突發(fā)情況,容易導(dǎo)致數(shù)據(jù)損壞難以及時恢復(fù)��。手工拷貝的數(shù)據(jù)管理層面上不規(guī)范容易丟失���,也依賴人員的日常工作效率���,存在備份不及時的情況。無法實現(xiàn)數(shù)據(jù)容災(zāi)業(yè)務(wù)切換本地數(shù)據(jù)損壞或突然災(zāi)害,數(shù)據(jù)全部永久丟失��。 1.5訪問身份識別風(fēng)險財務(wù)數(shù)據(jù)服務(wù)器訪問是直接通過互聯(lián)網(wǎng)打開網(wǎng)址訪問�,外網(wǎng)用戶和未經(jīng)授權(quán)的用戶都可以直接訪問到這個財務(wù)業(yè)務(wù)的網(wǎng)址,這些都沒有經(jīng)過授權(quán)身份驗證���,導(dǎo)致網(wǎng)上訪問未授權(quán)人員隨意訪問����,容易造成業(yè)務(wù)數(shù)據(jù)容易遭篡改����、刪除以及泄露等。 1.6信息化支撐環(huán)境風(fēng)險從目前設(shè)備存放環(huán)境��,例如OA和合同服務(wù)器存放地點環(huán)境較為惡劣且不符合國家對信息化機房標(biāo)準(zhǔn)的規(guī)范��,沒有防雷����、防盜、消防等安全措施�。以及不符合國家等保建設(shè)要求。信息資產(chǎn)難以保障穩(wěn)定運行�,例如;盜竊�����、雷擊損壞�、火災(zāi)損壞。不符合國家《網(wǎng)絡(luò)安全法》的建設(shè)要求���,單位的相關(guān)責(zé)任人承擔(dān)法律責(zé)任的風(fēng)險���。 
上述風(fēng)險的存在多是由于單位在長期的經(jīng)營過程中逐步積累下來,因為信息化的建設(shè)都是跟隨單位的業(yè)務(wù)發(fā)展而推進����,大多是因地制宜有什么條件上什么系統(tǒng)的現(xiàn)象。也是國內(nèi)企業(yè)信息化建設(shè)的通病����,重建設(shè)輕設(shè)計,“頭痛醫(yī)頭��,腳痛醫(yī)腳“的情況�����。大量的企業(yè)信息化建設(shè)往往最容易忽視的就是信息化的頂層設(shè)計和整體規(guī)劃,忽略了企業(yè)業(yè)務(wù)飛速發(fā)展的可能以至于信息建設(shè)嚴重滯后于企業(yè)的發(fā)展�。導(dǎo)致了上述風(fēng)險的出現(xiàn)。 2.需求分析2.1網(wǎng)絡(luò)及管理需求分析根據(jù)現(xiàn)有業(yè)務(wù)以及企業(yè)未來發(fā)展對帶寬需求的分析�����,以及技術(shù)上千兆以太網(wǎng)技術(shù)更為規(guī)范�、更為穩(wěn)定可靠,并且最為廣泛應(yīng)用的特點��,因此要求網(wǎng)絡(luò)交換機的主干鏈路采用千兆端口鏈路�����。同時要求使用較高性能的交換機做為服務(wù)器接入交換機����,未來可以配置更高性能的路由交換機做為核心交換機以承載整個企業(yè)網(wǎng)絡(luò)的數(shù)據(jù)業(yè)務(wù)流量。針對各種應(yīng)用��,有多種的保護機制��,如劃分VLAN����、MAC地址綁定�、配合ACL等具體技術(shù)提升整個網(wǎng)絡(luò)的可管理性���。 2.2網(wǎng)絡(luò)安全需求分析首先在確保目前系統(tǒng)的邊界訪問保護安全的前提下,在網(wǎng)絡(luò)出口部署防火墻����,應(yīng)對傳統(tǒng)網(wǎng)絡(luò)攻擊和高級威脅,實現(xiàn)網(wǎng)絡(luò)安全域隔離��、精細化訪問控制���、高效威脅防護和高級威脅檢測等功能����。同時對出口的流量及訪問做審計����,以滿足《網(wǎng)絡(luò)安全法》對上網(wǎng)日志留存審計的要求。 在上述基礎(chǔ)上再考慮安全等級保護的建設(shè)任務(wù)�。用以滿足公安部等保2.0相應(yīng)等級的基本要求,綜合平衡風(fēng)險與資金投入�����,以技術(shù)保障為基礎(chǔ)、以管理運營為抓手����、以監(jiān)測預(yù)警為核心、以協(xié)同響應(yīng)為目標(biāo)的網(wǎng)絡(luò)安全防御體系并落地為具體的安全需求���,包括安全物理環(huán)境�、安全網(wǎng)絡(luò)通信��、安全區(qū)域邊界���、安全管理中心���、安全管理制度、安全管理機構(gòu)��、安全管理人員�����、安全建設(shè)管理�����、安全運維管理各個層面的安全需求,將安全需求轉(zhuǎn)化為可以實現(xiàn)的技術(shù)防護�、安全管理措施,安全運營手段��,設(shè)計合理的安全建設(shè)方案���。建設(shè)“可信、可控��、可管”的安全體系�����,從而實現(xiàn)以安全保應(yīng)用����,用安全促應(yīng)用的最終目標(biāo)。 2.3數(shù)據(jù)安全需求分析為了實現(xiàn)核心業(yè)務(wù)的持續(xù)運行��,保障企業(yè)業(yè)務(wù)的穩(wěn)定發(fā)展��。本項目要求建設(shè)數(shù)據(jù)備份解決方案����,在出現(xiàn)服務(wù)器數(shù)據(jù)存儲硬件或軟件錯誤時����,比如服務(wù)器硬盤損壞�、數(shù)據(jù)中毒、遭遇誤刪誤改���、丟失等情況下�����,業(yè)務(wù)系統(tǒng)能有一份額外的數(shù)據(jù)實現(xiàn)數(shù)據(jù)的可恢復(fù)性�����,確保應(yīng)用系統(tǒng)的安全�����,同時實現(xiàn)核心業(yè)務(wù)數(shù)據(jù)的連續(xù)性保護���,避免數(shù)據(jù)丟失時間過長。 數(shù)據(jù)備份需求: 實現(xiàn)對核心數(shù)據(jù)的連續(xù)保護���,以確保在發(fā)生邏輯錯誤時,可以將數(shù)據(jù)恢復(fù)至上一個正確的時刻。能夠?qū)崿F(xiàn)系統(tǒng)數(shù)據(jù)任意時間點的恢復(fù),時間精度為微秒級��,避免出現(xiàn)數(shù)據(jù)大量丟失��。 災(zāi)備數(shù)據(jù)可以不通過恢復(fù)直接使用,方便進行數(shù)據(jù)驗證,確保數(shù)據(jù)可用性。
解決客戶通過互聯(lián)網(wǎng)使用電腦及智能終端遠程辦公���、專網(wǎng)環(huán)境辦公等場景的未授權(quán)和安全接入問題��。實現(xiàn)客戶安全接入企業(yè)內(nèi)部業(yè)務(wù)系統(tǒng)����,如財務(wù)、OA��、合同管理系統(tǒng)等�。在滿足客戶的身份安全、傳輸加密����、訪問授權(quán)���、日志追溯等多種安全需求基礎(chǔ)上進行高強度鏈路加密和多維度身份認證��。 2.5信息化支撐環(huán)境建設(shè)需求分析信息化支撐環(huán)境包括數(shù)據(jù)中心機房以及數(shù)據(jù)中心私有云基礎(chǔ)設(shè)施�����。企業(yè)數(shù)據(jù)中心機房主要是用于存放企業(yè)核心信息化設(shè)備的場所��,就是企業(yè)信息化的中樞���。數(shù)據(jù)中心機房的是集建筑,室內(nèi)裝修�����,配電,空調(diào)��,安全防范���,防雷接地����,計算機網(wǎng)絡(luò)等多個專業(yè)于一體的系統(tǒng)工程。機房系統(tǒng)設(shè)計與施工的優(yōu)劣����,直接關(guān)系到機房內(nèi)企業(yè)信息化系統(tǒng)(如財務(wù)系統(tǒng)����、OA系統(tǒng)����、合同管理系統(tǒng)等)是否穩(wěn)定可靠運行���。因此����,構(gòu)建一個高可用性的機房環(huán)境�����,才能保證企業(yè)信息系統(tǒng)軟硬件和數(shù)據(jù)免受外界因素的干擾�,確保各項業(yè)務(wù)安全順暢運行�。 數(shù)據(jù)中心私有云基礎(chǔ)設(shè)施通過超融合軟件、超融合一體機等產(chǎn)品來承載用戶業(yè)務(wù)��,構(gòu)筑云化演進的基石�,降低用戶初步建設(shè)云數(shù)據(jù)中心的復(fù)雜度與成本。同時針對企業(yè)多種業(yè)務(wù)應(yīng)用大規(guī)模上云的用戶���,通過超融合基礎(chǔ)架構(gòu)�,構(gòu)建的不同資源池承載不同類型的業(yè)務(wù)���,同時解決業(yè)務(wù)安全分級與業(yè)務(wù)連續(xù)性保障的問題�。未來針對數(shù)據(jù)中心私有云建設(shè)需求,以超融合為IT基礎(chǔ)架構(gòu)�����,完善私有云建設(shè)����,包括云管體系、云安全體系����、并初步構(gòu)建容器云與應(yīng)用商店等,以提升IT的管理能力與效率����。 3.規(guī)劃思路企業(yè)信息化的建設(shè)堅持“統(tǒng)一規(guī)劃、分布實施�、自主應(yīng)用、資源整合����、數(shù)據(jù)共享、網(wǎng)絡(luò)安全合規(guī)”的指導(dǎo)思想。 統(tǒng)一規(guī)劃 企業(yè)信息化的建設(shè)是一個龐大的系統(tǒng)工程�、涉及數(shù)據(jù)中心技術(shù)、網(wǎng)絡(luò)技術(shù)�、計算機技術(shù)、通訊技術(shù)��、數(shù)據(jù)庫技術(shù)���、網(wǎng)絡(luò)安全技術(shù)和軟件技術(shù)等多個方面。具有投資大���、建設(shè)難�����、周期長�����、涉及部門和人員多等特點�。必須站在學(xué)校的層面高度����,整體規(guī)劃;保證統(tǒng)一的數(shù)據(jù)標(biāo)準(zhǔn)、統(tǒng)一技術(shù)路線��、統(tǒng)一基礎(chǔ)架構(gòu)和統(tǒng)一組織管理�。避免傳統(tǒng)信息化建設(shè),重建設(shè)�、輕規(guī)劃導(dǎo)致的各自為戰(zhàn)、應(yīng)用孤島和數(shù)據(jù)孤島的問題����。 分布實施 企業(yè)信息化建設(shè)周期長、投入大�,涉及需求調(diào)研、方案論證�、系統(tǒng)選型、部署與集成��、人員培訓(xùn)�����、應(yīng)用推廣��、運行反饋�、修改完善等多個過程。所以整體建設(shè)必須統(tǒng)籌安排����,分布實施����,確保進度和質(zhì)量�����,降低失敗風(fēng)險����。企業(yè)信息化建設(shè)的核心目的是應(yīng)用和數(shù)據(jù)共享�。應(yīng)使企業(yè)的各個智能部門的實現(xiàn)管理信息化,讓上下級部門之間溝通更便捷���;平級部門之間數(shù)據(jù)共享交換���;提高企業(yè)決策的科學(xué)性和民主性;提升智能部門管理的高效性和服務(wù)性�;為企業(yè)管理人員和員工提供個性化的綜合信息服務(wù)。 實用性和經(jīng)濟性 信息化設(shè)計應(yīng)始終貫徹面向應(yīng)用�����,注重實效的方針,堅持實用���、經(jīng)濟的原則����,建設(shè)辦公網(wǎng)信息化建設(shè)的網(wǎng)絡(luò)擴展系統(tǒng)�����,保護用戶的投資�。 先進性和成熟性 既要采用先進的概念、技術(shù)和方法��,又要注意結(jié)構(gòu)���、設(shè)備�、工具的相對成熟����。不但能反映當(dāng)今的先進水平,而且具有發(fā)展?jié)摿?,能保證在未來若干年內(nèi)占主導(dǎo)地位,保證此網(wǎng)絡(luò)建設(shè)的領(lǐng)先地位����,并隨時進行擴展和升級���。 高可靠 穩(wěn)定可靠是信息正常流動的保證也是網(wǎng)絡(luò)設(shè)計基本的原則。設(shè)計中應(yīng)采用高可靠性的網(wǎng)絡(luò)產(chǎn)品和冗余鏈路��、制定完備的網(wǎng)絡(luò)備份策略來滿足可靠性的要求���,使網(wǎng)絡(luò)具有故障自愈的能力��??煽啃栽O(shè)計不僅包括網(wǎng)絡(luò)設(shè)備���、鏈路等物理設(shè)計的可靠性,同時包括路由等邏輯設(shè)計的可靠性��。 高性能 網(wǎng)絡(luò)規(guī)劃設(shè)計和設(shè)備選型時����,要注意消除鏈路帶寬、節(jié)點轉(zhuǎn)發(fā)性能等瓶頸����;選擇高性能����、高帶寬的網(wǎng)絡(luò)設(shè)備�����,保障全網(wǎng)高速線速轉(zhuǎn)發(fā)�。 高安全 隨網(wǎng)絡(luò)的不斷發(fā)展,安全問題已日益引起廣泛的關(guān)注�,為保證網(wǎng)絡(luò)的具有良好的安全性,需系統(tǒng)地����、有條理地進行全面規(guī)劃,充分地����、全方位地考慮安全需求和特性。針對網(wǎng)絡(luò)內(nèi)部的各種應(yīng)用�,有多種的保護機制,如劃分VLAN�����、MAC地址綁定�����、配合ACL等具體技術(shù)提升整個網(wǎng)絡(luò)的安全性。 可擴展性 設(shè)計構(gòu)架具有可擴展性���,為業(yè)務(wù)的發(fā)展打下良好基礎(chǔ)�����。業(yè)務(wù)的發(fā)展對網(wǎng)絡(luò)的需求是不斷變化的�,網(wǎng)絡(luò)應(yīng)用系統(tǒng)為了滿足這些需求也會隨之變化����。面對不斷變化的情況和需求,網(wǎng)絡(luò)應(yīng)當(dāng)能夠作出快速和有效的反應(yīng)���。因此����,網(wǎng)絡(luò)必須具備良好的可擴展性��,應(yīng)支持核心業(yè)務(wù)系統(tǒng)的不斷擴展�����,適應(yīng)未來業(yè)務(wù)的發(fā)展和變化�。同時,網(wǎng)絡(luò)結(jié)構(gòu)應(yīng)當(dāng)能夠變化���,具有靈活的伸縮能力���,網(wǎng)絡(luò)設(shè)備可以擴充和升級。 開放性 技術(shù)選擇必須符合相關(guān)國際標(biāo)準(zhǔn)及國內(nèi)標(biāo)準(zhǔn)�����,避免個別廠家的私有標(biāo)準(zhǔn)或內(nèi)部協(xié)議����,確保網(wǎng)絡(luò)的開放性和互連互通,滿足信息準(zhǔn)確��、安全��、可靠�、優(yōu)良交換傳送的需要;開放的接口�,支持良好的維護、測量和管理手段����,提供網(wǎng)絡(luò)統(tǒng)一實時監(jiān)控的遙測�����、遙控的信息處理功能����,實現(xiàn)網(wǎng)絡(luò)設(shè)備的統(tǒng)一管理�。 易管理 “三分建設(shè),七分運維”����,運維管理是信息化的基礎(chǔ),需要實現(xiàn)動態(tài)實時的全程監(jiān)控管理��,通過圖形化軟件�,實現(xiàn)設(shè)備配置、設(shè)備監(jiān)控��、鏈路監(jiān)控����,軟件升級等工作��,提升運維管理效率。 4. 建設(shè)目標(biāo)4.1總體目標(biāo)通過企業(yè)信息化建設(shè)���,構(gòu)建可以滿足企業(yè)長期持續(xù)發(fā)展的應(yīng)用架構(gòu)�;通過企業(yè)信息化建設(shè)框架為應(yīng)用系統(tǒng)建設(shè)提供良好的支撐和服務(wù)���。建設(shè)完整統(tǒng)一、技術(shù)先進����、全面覆蓋、高可靠、高性能��、高效穩(wěn)定�、安全可靠�����、可擴展的企業(yè)信息化系統(tǒng)����。消除信息孤島和應(yīng)用孤島��。以信息化建設(shè)手段為抓手����,適度超前規(guī)劃建設(shè)�����。全面護航XXX企業(yè)未來業(yè)務(wù)發(fā)展對信息化的需求���。 4.2網(wǎng)絡(luò)建設(shè)網(wǎng)絡(luò)交換機采用高性能千兆三層以太網(wǎng)交換機�����,該系列交換機采用全新的硬件架構(gòu)設(shè)計,搭載專用的模塊化操作系統(tǒng)�����,提供更大的表項規(guī)格���、更快的硬件處理性能����、更便捷的操作使用體驗。高性能交換機可以為大型網(wǎng)絡(luò)匯聚��、中小型網(wǎng)絡(luò)核心提供了高性能��、完善的端到端的服務(wù)質(zhì)量��、靈活豐富的安全設(shè)置���,有效滿足高速����、安全����、智能的企業(yè)網(wǎng)需求。 4.3網(wǎng)絡(luò)安全建設(shè)通過對前述網(wǎng)絡(luò)的邊界風(fēng)險與需求分析�����,在單位網(wǎng)絡(luò)出口的網(wǎng)絡(luò)層進行訪問控制需部署防火墻產(chǎn)品��,可以對所有流經(jīng)防火墻的數(shù)據(jù)包按照嚴格的安全規(guī)則進行過濾,將所有不安全的或不符合安全規(guī)則的數(shù)據(jù)包屏蔽����,杜絕越權(quán)訪問,防止各類非法攻擊行為���。同時可以和內(nèi)網(wǎng)安全管理系統(tǒng)����、網(wǎng)絡(luò)入侵檢測系統(tǒng)等進行安全聯(lián)動����,為網(wǎng)絡(luò)創(chuàng)造全面縱深的安全防御體系�����。 防火墻能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性,并通過過濾不安全的服務(wù)而降低風(fēng)險�����。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻����,所以網(wǎng)絡(luò)環(huán)境變得更安全。防火墻同時可以保護網(wǎng)絡(luò)免受基于路由的攻擊���,如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻可以拒絕所有以上類型攻擊的報文并通知防火墻管理員����。 通過以防火墻為中心的安全方案配置,能將所有安全軟件(如口令�����、加密����、身份認證��、審計等)配置在防火墻上��。與將網(wǎng)絡(luò)安全問題分散到各個主機上相比���,防火墻的集中安全管理更經(jīng)濟�����。例如在網(wǎng)絡(luò)訪問時�����,一次一密口令系統(tǒng)和其它的身份認證系統(tǒng)完全可以不必分散在各個主機上���,而集中在防火墻一身上。 未來隨著企業(yè)業(yè)務(wù)的發(fā)展��,對網(wǎng)絡(luò)安全的防護也會隨著信息資產(chǎn)的不斷增加而增加��?���?梢越Y(jié)合《網(wǎng)絡(luò)安全法》以及《安全等級保護》2.0的要求,對企業(yè)的網(wǎng)絡(luò)系統(tǒng)進行網(wǎng)絡(luò)安全等級保護的建設(shè)����。等保安全防護建設(shè)包括“一個中心,三重保護(安全管理中心����、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界以及安全計算環(huán)境)“以及物理安全防護����。同時建立相應(yīng)安全管理制度。 4.4數(shù)據(jù)安全建設(shè)根據(jù)需求和業(yè)務(wù)特點�����,在私有備份容災(zāi)云平臺方案的設(shè)計中�,我們從以下幾點出發(fā),作為方案設(shè)計的原則����,從而保證整個方案的針對性和合理性。 ? 符合行業(yè)技術(shù)潮流和發(fā)展方向 軟件產(chǎn)品符合國際主流的技術(shù)和發(fā)展方向����,具有很長的技術(shù)壽命。 ? 具有云備份架構(gòu)的體系結(jié)構(gòu) 基于云架構(gòu)的體系結(jié)構(gòu)具有極強的平臺可擴展性和可擴充性�。 ? 支持未來應(yīng)用系統(tǒng)的可擴展性 通過模塊化的擴展支持未來可能投入使用的應(yīng)用系統(tǒng),減少額外投資���。 ? 盡量減少對正常的業(yè)務(wù)系統(tǒng)的影響 備份容災(zāi)云的實施盡量少的影響正常的業(yè)務(wù)系統(tǒng)��。 ? 全面性 要求方案首先要能夠備份和管理現(xiàn)有所有環(huán)境,從異構(gòu)的環(huán)境���、異構(gòu)平臺和異構(gòu)應(yīng)用都能提供一體化的備份和恢復(fù)�,從操作系統(tǒng)��、應(yīng)用數(shù)據(jù)庫到文件數(shù)據(jù)���,可以提供統(tǒng)一的管理�����,與現(xiàn)有設(shè)備兼容����,并能兼容流行廠商的存儲設(shè)備與方案�����。全面性直接決定了方案的可行性�。 ? 數(shù)據(jù)恢復(fù)的可靠性 備份的數(shù)據(jù)系統(tǒng)具有可靠的恢復(fù)能力。 ? 系統(tǒng)的安全性 備份系統(tǒng)能夠提供全面的安全體系��,從生產(chǎn)數(shù)據(jù)、備份數(shù)據(jù)和備份系統(tǒng)的管理都應(yīng)該具有高可靠的安全保障體系���,保證數(shù)據(jù)的安全。 4.5訪問身份識別認證建設(shè)通過部署VPN多功能網(wǎng)關(guān)實現(xiàn)用戶在任何時間�����、任何地點��、使用任何終端都能安全地接入業(yè)務(wù)系統(tǒng)�。它以IPSEC/SSLVPN二合一網(wǎng)關(guān)作為基礎(chǔ),通過構(gòu)建一套平臺�����,幫助用戶節(jié)省大量的IT建設(shè)開支��,還可以統(tǒng)一地管理用戶的身份���、權(quán)限和接入設(shè)備��,監(jiān)控系統(tǒng)環(huán)境是否安全����。只需簡單的鼠標(biāo)操作即可完成配置,無需專業(yè)人員維護���。還可以對VPN隧道內(nèi)的流量進行查看和控制����,建立起可視化的VPN網(wǎng)絡(luò)�����,為通過VPN開展的關(guān)鍵業(yè)務(wù)提供保障�。 同時多功能網(wǎng)關(guān)還能實現(xiàn)上網(wǎng)行為管理——規(guī)范上網(wǎng)行為,保障信息安全�。可對用戶的上網(wǎng)行為進行精細化管理����,支持HTTPS審計,網(wǎng)頁內(nèi)容/搜索引擎訪問過濾���、可針對QQ等聊天工具���、郵件、論壇、微博等進行內(nèi)容安全審計��,并生成審計報表�,保障企業(yè)信息安全。從而符合《網(wǎng)絡(luò)安全法》對上網(wǎng)日志記錄審計的要求��。 4.6信息化支撐環(huán)境建設(shè)4.6.1 一體化智能機房支撐環(huán)境建設(shè)隨著企業(yè)內(nèi)部網(wǎng)絡(luò)���、通信和計算機系統(tǒng)的大規(guī)模應(yīng)用和發(fā)展,作為其核心的各種機房的重要性越來越突出��。機房的動力���、環(huán)境設(shè)備��,如配電�、不間斷電源���、空調(diào)�����、消防����、監(jiān)控、防盜報警等子系統(tǒng)���,必須時刻保證能夠提供系統(tǒng)正常運行所需的環(huán)境����。 機房的性能和能耗比將成為機房評估的一個重要指標(biāo)�����。隨著節(jié)能意識的加強�����,各種節(jié)能措施將被實施����,如高效率UPS(尤其在負載率的運行狀態(tài))、圍護結(jié)構(gòu)的絕熱處理�、低傳熱系數(shù)玻璃的采用等。另外���,針對目前采用的房間內(nèi)開放式制冷模式的"冷庫式"機房����,在有些應(yīng)用場合將被采用房間內(nèi)密閉空間的封閉式制冷模式的"冰箱式"機房所替代,用以減少或消除圍護結(jié)構(gòu)的能耗�、提高制冷效率。 "機柜就是機房"的概念逐漸被接受����。這是從"IT微環(huán)境"或機柜是模塊化的機房環(huán)境這方面考慮機房的作用,井以此為出發(fā)點來規(guī)劃�����、設(shè)計機房的模式��。設(shè)計思路上“選址--布局--機房設(shè)備(指UPS��、空調(diào)等)擺放--機柜擺放”的設(shè)計邏輯將完全逆轉(zhuǎn)�。 "一體化機房"或"整體機房"概念將被實施�。標(biāo)準(zhǔn)化的、定制化的����、預(yù)生產(chǎn)的、組件式(或稱積木式)的���、整體設(shè)計的機房構(gòu)建(或稱"搭建")模式將越來越普及��,尤其是針對中小型機房用戶��。 
4.6.2 超融合私有云平臺支撐環(huán)境建設(shè)
伴隨著數(shù)據(jù)與業(yè)務(wù)的集中�,傳統(tǒng)數(shù)據(jù)中心的硬件架構(gòu)已經(jīng)無法滿足業(yè)務(wù)的快速上線和靈活的業(yè)務(wù)部署。本次私有云平臺數(shù)據(jù)中心建設(shè)項目推薦使用企業(yè)級云方案��,即通過“超融合架構(gòu)”方案��,基于分布式云數(shù)據(jù)中心架構(gòu)�����,通過軟件定義的方式實現(xiàn)全新的IT基礎(chǔ)架構(gòu)����,通過服務(wù)器虛擬化將所有X86的計算資源池化、通過網(wǎng)絡(luò)虛擬化構(gòu)建出適合虛擬機遷移的大二層環(huán)境�、最后通過兼容分布式虛擬存儲和各類外置存儲實現(xiàn)存儲空間的融合,同時提供完整的安全和災(zāi)備方案��。 平臺具備良好的擴展能力��,滿足數(shù)據(jù)中心長期發(fā)展的要求�����。根據(jù)業(yè)務(wù)的發(fā)展預(yù)測,平臺系統(tǒng)定期按照適度預(yù)留的原則進行建設(shè)����,能在規(guī)定時間內(nèi)快速響應(yīng)新的用戶,新的業(yè)務(wù)的新增要求���。滿足資源的隨時隨地按需分配����,需要建立一個靈活的硬件基礎(chǔ)架構(gòu)���。硬件基礎(chǔ)架構(gòu)通常由虛擬的服務(wù)器池��、共享的存儲系統(tǒng)、網(wǎng)絡(luò)和硬件管理軟件組成��。 企業(yè)私有云平臺計算運行管理平臺的核心功能是自動為用戶提供服務(wù)器���、存儲以及相關(guān)的系統(tǒng)軟件和應(yīng)用軟件����。用戶、管理員和其他人員能通過 Web 界面使用該功能��。 自動化的部署流程不僅能做到“隨需應(yīng)變”��,適應(yīng)用戶的需求����,而且能夠帶來以下好處:引入技術(shù)和創(chuàng)新的時間縮短,設(shè)計�����、采購和構(gòu)建硬件和軟件平臺的人力成本降低�,以及通過提高現(xiàn)有資源的利用率和復(fù)用率節(jié)省成本。 5.解決方案5.1企業(yè)信息化總體規(guī)劃網(wǎng)絡(luò)拓撲圖
XXX企業(yè)信息化建設(shè)總體規(guī)劃建設(shè)包括一體化智能機房���、超融合私有云平臺����、高性能智能化網(wǎng)絡(luò)����、網(wǎng)絡(luò)安全等保系統(tǒng)以及異地災(zāi)備系統(tǒng)等。 5.2近期網(wǎng)絡(luò)改造拓撲圖
根據(jù)XXX企業(yè)現(xiàn)在網(wǎng)絡(luò)信息化建設(shè)的現(xiàn)狀�����,近期急需改造的部分包括增加網(wǎng)絡(luò)邊界防火墻預(yù)防網(wǎng)絡(luò)攻擊;增加VPN多功能網(wǎng)關(guān)用于確保外部訪問是經(jīng)過安全加密及認證授權(quán)的�����,杜絕非授權(quán)人員通過網(wǎng)絡(luò)訪問財務(wù)系統(tǒng)���。同時記錄單位內(nèi)部上網(wǎng)日志確保符合《網(wǎng)絡(luò)安全法》的要求�;增加一臺高性的核心交換機確保網(wǎng)絡(luò)訪問性能���,確保不造成網(wǎng)絡(luò)訪問瓶頸����;以及實現(xiàn)對網(wǎng)絡(luò)的精細管理�����,包括設(shè)置VLAN�、訪問控制���、MAC地址綁定等����。在內(nèi)部網(wǎng)絡(luò)增加一套終端安全管理系統(tǒng)用以統(tǒng)一的終端電腦安全管理,如統(tǒng)一的殺毒����、病毒庫升級、補丁管理���、信息資產(chǎn)統(tǒng)計等����,從而防止網(wǎng)絡(luò)病毒在終端電腦上感染暴發(fā)��。最后是增加一臺本地的備份一體�����,對核心財務(wù)數(shù)據(jù)進行實時自動的備份����,解決數(shù)據(jù)丟失的后顧之憂。 6. 規(guī)劃預(yù)算6.1企業(yè)信息化總體規(guī)劃建設(shè)預(yù)算序號 | 項目 | 內(nèi)容 | 預(yù)算(萬元) | 1 | 一體化智能機房 | 含機房土建工程����、裝修工程���、電氣工程、環(huán)境控制工程�����、防火工程����、應(yīng)急電源工程、弱電工程等(按50平米建設(shè)) | 80 | 2 | 超融合私有云平臺 | 含超融合一體機����、私有云平臺軟件、數(shù)據(jù)中心交換機�、超融合安全軟件等(以四個計算節(jié)點計算) | 65 | 3 | 高性能智能化網(wǎng)絡(luò) | 含性能雙冗余核心交換機、匯聚交換機�、接入交換機。WIFI6高速無線網(wǎng)絡(luò)�,實現(xiàn)千兆到桌面,萬兆骨干互聯(lián)局域網(wǎng) | 50 | 4 | 網(wǎng)絡(luò)安全等保系統(tǒng) | 含安全邊界防護���、安全通訊保護��、安全計算環(huán)境保護以及安全管理中心�����,物理安全保護等�����。二級安全測評(按二級等保建設(shè)) | 75 | 5 | 異地災(zāi)備系統(tǒng) | 含異地機房建設(shè)�����、網(wǎng)絡(luò)安全��、災(zāi)備一體機等 | 85 |
|
| 合計 | 355 |
6.2近期網(wǎng)絡(luò)改造建設(shè)預(yù)算序號 | 產(chǎn)品名稱 | 產(chǎn)品描述 | 單價 | 數(shù)量 | 總價 | 1 | 防火墻 | 多核AMP+架構(gòu)�����,網(wǎng)絡(luò)層吞吐量8G�����,并發(fā)連接≥230萬�����,每秒新建連接數(shù)15萬���, 標(biāo)準(zhǔn)2U機箱����,冗余電源��,標(biāo)準(zhǔn)配置6個10/100/1000M自適應(yīng)電口����,4個SFP插槽,另有1個接口板卡擴展插槽�,1個Console口,支持液晶屏��;配置128GB SSD固態(tài)硬盤存儲�;含三年硬件維保服務(wù),需選配特征庫升級����。 |
| 1 |
| 2 | 核心交換機 | 28個10/100/1000M自適應(yīng)電口,4個復(fù)用的SFP接口(SFP為千兆/百兆口)����,4個1G/10G SFP+光口��,2個模塊化電源插槽 |
| 1 |
| 3 | 70W交流電源模塊�,支持1+1電源冗余 |
| 2 |
| 4 | VPN多功能網(wǎng)關(guān) | 固化8個千兆電口����,固化1個千兆光口����,固化1個萬兆光,2G內(nèi)存��,內(nèi)置1T硬盤��,1U尺寸����,并發(fā)帶機數(shù)500(集成狀態(tài)防火墻/安全域,若需要網(wǎng)監(jiān)對接功能�,請單獨下單網(wǎng)監(jiān)對接功能授權(quán),RG-EG-WJ-LIS) |
| 1 |
| 5 | 終端安全軟件 | 病毒查殺引擎包括云查殺引擎、鯤鵬(含AVE引擎)�、Behavioral腳本引擎(QEX)、QVM等引擎���,支持多引擎的協(xié)同工作對病毒�、木馬、等進行查殺���,提供主動防御系統(tǒng)防護等功能����。(含50個終端�,5個服務(wù)器) |
| 1 |
| 6 | 備份一體機 | 1、標(biāo)配具備Windows�����、Linux�����、環(huán)境下數(shù)據(jù)庫備份功能��,包括SQL Server��、Exchange Server�����、AD��、Orcale,Oracle RAC��,DB2��,MySQL等應(yīng)用的增量備份和熱備份�,不限制服務(wù)器備份授權(quán)數(shù)量
2、標(biāo)準(zhǔn)配置無需安裝代理���,對主流服務(wù)器虛擬化五大平臺浪潮InCloud、VMware�����、華三CAS�����、華為Fusion系列��,深信服IT云產(chǎn)品的服務(wù)器虛擬化的可以直接將備份的虛擬機數(shù)據(jù)掛載給虛擬化平臺進行恢復(fù)����,減少數(shù)據(jù)恢復(fù)時間,且虛擬機自動發(fā)現(xiàn)���,自動備份����,不需要手工新增
3、配置操作系統(tǒng)保護功能����,對Windows、Linux操作系統(tǒng)保護功能�,當(dāng)系統(tǒng)崩潰后,無論是PC還是帶Raid環(huán)境的服務(wù)器�,都可以完整的恢復(fù),具備以AES256位加密算法對備份數(shù)據(jù)進行加密�����,確保備份數(shù)據(jù)無泄密風(fēng)險
4�����、基于各類數(shù)據(jù)庫接口備份��,保障數(shù)據(jù)庫一致性��,非基于磁盤轉(zhuǎn)換拷貝方式��。具備備份策略,完全備份��、增量備份�����、差異備份多種備份方式相結(jié)合的備份策略��。 |
| 1 |
|
|
|
|
| 小計 |
|
| 基礎(chǔ)維保服務(wù) | 設(shè)備開局調(diào)試��,遠程技術(shù)支持��、遠程問題處理���、在線技術(shù)支持、軟件更新支持�、標(biāo)準(zhǔn)保修 |
| 1 |
|
|
|
|
| 總計 |
|
7. 實施步驟階段 | 時間 | 建設(shè)內(nèi)容 | 第一階段 | 2021年四季度 | 近期網(wǎng)絡(luò)改造建設(shè)部分 | 第二階段 | 2022年擇機 | 企業(yè)信息化總體規(guī)劃建設(shè)部分 |
我對各位讀者朋友的唯一請求就是:點擊右下角的“在看”以及點贊。
|
