【中型企业信息化建设完整方案】 什么是信息化建设
来源:入团申请书 发布时间:2020-04-03 点击:
公司信息化初步建设方案
本文档分析企业信息化应用现状和需求,提出完整的企业信息化建设框架,并给出系统改造和建设的详细技术方案。
目
录
文 档 说 明 3
第一章 项目概述 4
第二章 信息化建设基础架构 5
1. 统一门户服务平台 5
2. 企业应用系统 5
3. 办公自动化系统 6
4. 协同工作环境 6
5. 基础架构服务 6
6. 统一安全服务 6
7. 网络支撑环境 7
第三章 网络支撑环境建设方案 8
1. 建设目标 8
2. 开放式综合布线系统 8
3. 企业网络核心交换、路由系统 16
4. 企业中心网络存储系统 22
5. 中心机房建设 25
第四章 基础架构服务建设方案 42
1. 建设目标 42
2. 技术方案 42
3. 系统功能 45
第五章 协同工作环境建设方案 46
1. 建设目标 46
2. 企业邮件服务建设 46
3. 即时通讯服务建设 47
4. 集团电话建设 52
第六章 统一安全服务建设方案 74
1. 建设目标 74
2. 用户访问控制系统建设 74
3. 主机安全系统建设(病毒查杀) 96
4. 网络安全系统建设 99
5. 数据备份系统建设 103
6. 安防监控系统建设 105
第七章 信息化目标拓扑结构 112
1. 应用系统拓扑结构 112
2. 网络拓扑结构 112
第八章 项目概算 113
第九章 服务支持 115
1. 服务支持概述 115
2. 主要服务内容 115
3. 基本服务方式 116
4. 基本服务流程 117
第一章 项目概述
XX有限公司信息化建设方案是以网络为基础,利用先进的信息化手段和工具,实现从环境(包括硬件设备、办公室等)、资源(如办公文档、图纸、控制信息等)到活动(管理、服务、办公等)的全面智能化、数字化,提升传统公司运营的效率,扩展传统公司经营的功能,最终实现公司管理的全面信息化。从而达到提高公司管理水平和效率的目的。
XX有限公司信息化建设方案按照功能可以划分为以下四大功能:
u 统一的网络支撑环境:通过对企业现有网络的优化和改造,为上层信息化应用提供可靠的通讯保障;
u 统一的基础架构服务平台:提供目录服务、用户管理、终端管理、网络服务等基础服务的平台支持;
u 统一的数据资源服务:建立业务共享数据库,将CRM、ERP、HR等业务系统的业务数据库进行整合和集中存储管理
u 协同工作环境:综合运用内部电子邮件、企业即时消息平台、集团电话灯多种技术构造安全、畅通、便捷的协同工作平台支持;
u 统一安全服务:,建立一套对包括安数据安全、应用安全、系统安全、网络安全、物理安全等不同方面进行全方位防护的安全管理基础服务的平台支持。
第二章 整体设计
1. 基础架构
XX有限公司基础架构体系由统一门户服务平台、企业应用系统、办公自动化系统、协同工作环境、基础架构服务、数据资源共享服务、网络支撑环境和统一安全服务八大体系共同构成。
XX有限公司基础架构图如下:
1.1 统一门户服务平台
统一门户服务平台包括外部门户与内部门户两大系统,外部门户是在原有企业网站的基础上建设的综合对外门户,以提供各类业务服务和信息服务;内部门户为综合办公门户,是企业内部业务应用、事务应用和资源访问的统一入口。
1.2 企业应用系统
企业应用系统为根据企业生产业务需求,量身定制的给类业务系统应用,通常包括决策级应用、管理级应用和业务及应用三个层面,实现了企业业务的信息化和智能化。
1.3 办公自动化系统
办公自动化(OA)系统可实现企业内部各部门之间以及与合作单位之间办公信息的收集、流转与共享。实现公文运转、信息发布、会议管理、档案管理、消息快递、系统管理、电子新闻、电子论坛和电子公告等诸多功能。该系统的运行将极大地提高了日常办公效率。
1.4 协同工作环境
协同工作环境是企业信息化应用的基础,通过建立一个协作信息服务平台来增强企业内部员工间的信息交流,其主要功能包括:实时的电子邮件交流、日程安排、会议安排、即时消息、视频网络会议等。
1.5 数据资源共享服务
对现有的各业务系统数据进行整合,建立统一的企业共享数据库,加强各业务系统的综合管理,转变原有的分散数据存储和管理为集中存储管理模式,对共享数据进行统一存储,提高数据集成、共享水平,方便数据访问和提取。同时,利用跨业务平台的综合数据查询和统计报表可对领导统筹规划,战略决策提供大量的数据支持,充分发挥已有数据的价值。
1.6 基础架构服务
基础架构服务提供应用支撑功能,包括企业信息资源目录服务、用户身份管理,权限管理,文件管理,统一数据服务等基础功能服务。通过基础架构服务可以便捷地实现统一地组织与管理网络内的服务器和客户端。从管理层面,基础架构服务的建设将信息化环境的管理由松散方式变为集中管理的方式,减轻日常管理维护负担,提升信息化基础能力。从用户层面基础架构服务实现了单一的网络身份验证,确保可以快速的访问组织内部的各种资源。
同时在基础架构服务的基础上,可以开发针对企业网络管理需求的组策略集合,在整个网络范围内或针对不同管理单位实施定制化的信息管理策略。通过使用组策略可以便捷的统一设置各种软件、计算机和用户策略。
1.7 统一安全服务
统一安全服务是通过各类安全防护技术和平台的综合应用,建立一套对包括数据安全、应用安全、系统安全、网络安全、物理安全等不同方面进行全方位防护的纵深安全防护体系。利用统一安全服务,可以灵活的制定策略,根据工作时间与不同部门的工作特点来规定不同的访问限制,监控流入、流出的数据内容。可以跟踪与记录所有与账号信息相关的网络操作,动态生成报表等功能来加强对于专网的安全控制,确保整个系统的安全性。
1.8 网络支撑环境
网络支撑环境是企业各类信息系统应用的基础通讯平台,涉及到了网络拓扑、通讯设备、通讯软件等多方面内容。
综合考虑到企业现有信息化基础,以及项目周期和成本,本项目主要涉及到协同工作环境、基础架构服务、网络支撑环境和统一安全服务四大体系的建设工作。本期项目的成功实施将为企业未来深层次化的信息化应用奠定基础。
2. 建设策略
结合企业信息化现状和业务需求,秉着解决业务急需、急用先建、分批投入、降低风险的原则,XX有限公司信息化建设项目采用分期分阶段建设策略。本期重点完成网络支撑环境、基础架构服务、数据资源共享服务、协同工作环境和统一安全服务的建设或改造工作。基于本阶段的项目成果,后期逐步在各类应用系统、统一门户服务等方面进行建设和扩展。
第三章 网络支撑环境建设方案
1. 建设目标
网络支撑环境建设主要包括开放式综合布线系统建设,企业核心交换、路由架构建设、企业中心网络存储、中心机房建设四项建设任务。
2. 开放式综合布线系统
XX有限公司信息化建设工程综合布线系统设计在考虑整个公司内现有主干管线及将来实际需要的业务性质及所提供的达标服务水平的前提下,使系统满足企业现代使用及发展的要求,做到当前技术先进并为企业发展留有相应的余量。
开放式布线系统是通过使用符合布线系统标准的物理传输介质,使用相同的低压接插件,连接所有相同的终端和设施,并通过使用不同的跳线和适配器来实现不同供应商提供的设备之间的通信和数据处理。
开放式布线系统是以一套单一的标准布线系统,把程控交换机、电脑、各种周边设备综合集成为一个功能齐全的通讯网络系统,并提供一个开放性结构平台,能使于任何不同工业标准的设备在这个系统中运行,以满足众多的日常需要,如:
(1) 模拟和数字IP语音系统。
(2) 高速及低速的数字传输。
(3) 传真机和图形终端机以及绘图的资料传送或图像传输。
(4) 办公室电视电话会议与安全系统的监控信号。
(5) 建筑物中的各种楼宇自控的信号等等。
开放式布线系统具有以下特点:
(1) 先进性:开放式布线系统的模块化设计与传统配线之间有本质的区别,开放式布线系统能够通过有效的管理,方便地组合、转换成不同结构的网络系统,传统的布线系统只能依据网络拓扑结构,更改网络系统必须重新布线,重复投资。
(2) 可靠性:开放式布线系统使用的材料均需符合国际和国内认可的有关标准,经过严格的检验而出品,因而均有质量保证的许诺,一般使用期为10年。
(3) 扩展性:根据开放式布线系统的设计思想,该布线系统充分考虑对未来设备的变更和移动,最大限度地满足不断变动的需要。
(4) 灵活性:根据开放式布线系统的设计思想,可以随时任意地构造网络,以满足不断发展的网络需要。
(5) 兼容性:根据开放式布线系统的设计规范,该系统可以支持任何符合国际标准的网络厂商设备,为使用者提供最充分的选择余地。
2.1 综合布线系统设计、改造方案
本次设计中考虑到水平、垂直、工作区、管理区布线子系统已经在初期装修时完成了相应的预埋,故而最大利用现有布线系统,完善功能成为首要任务。设备间子系统由于原有设备陈旧,且采用极为不规范的配线整合方式,日常维护极为不便。
根据整体改造的特点及最大限度保护投资的建设原则,计划重新对现有网络布线及电话通讯布线进行改造。设备间子系统位于办公楼首层机房,该系统是综合布线系统的汇聚层。系统包括主干网络设备,PBX,计算机服务器,语音主配线架、数据主配线架及设备连线等。主要功能是将计算机服务器,PBX,网络设备等公用弱电设备连接到主配线架上 。梳理所有线路,进行有效的标识。最终使得所有布线稳定、可靠的支撑所有终端与网络服务提供端的连接。
2.2 产品选型
2.2.1 产品选型原则
全球生产布线系统产品的著名厂商就有90家左右,每家的产品都有其特色,而不是说哪一家的任何产品都是最好的。所以我们选择产品的原则是如下几条:
n 选择满足EIA/TIA TSB-36的电缆线;
n 选择满足EIA/TIA TSB-40的接插件;
n 最好的性能价格比和最高的工程质量;
n 最容易安装和维护。
这里选择康普的六类布线产品。
2.2.2 产品类别的选择
布线产品的多样性,给布线系统的设计带来很多的可能性,有了这些可选性,也就产生了业内人士的争论。目前,在布线产品类别的选择上有两方面的争论,一是屏蔽与非屏蔽,二是增强5类、6类与7类,根据大楼的使用特点,设计中建议使用六类非屏蔽系统。
屏蔽系统可以提高系统的抗干扰及辐射能力,但它也存在以下几个主要不足:
要使屏蔽系统真正发挥作用,必须进行终端至线缆插件的全过程屏蔽。且屏蔽应该有360度的接触,给施工带来很大的难度,如果屏蔽质量不好,反而会使系统的传输指标下降。
屏蔽系统的造价高出非屏蔽系统的20%以上。
屏蔽层破坏了线缆的电容和电感偶合,是线缆的平衡性下降,衰减增长。
屏蔽系统无测试标准和手段,无法检测系统的好坏。
我们考虑到办公楼的干扰场强不是很大,且线缆设计走金属线槽(有一定的屏蔽作用),所以选择非屏蔽系统。
随着计算机网络与通信的不断扩大,以及相关技术的发展,用户对传输线路的要求越来越高,布线厂商在推出5类后相继推出了5E、6类及7类,各厂家的标准不一致,使业内有些混乱,因此,布线委员会正在修改布线标准。
第二版的ISO/IEC11801把cat5/class D系统按照CAT5E重新定义,以确保系统均能运行千兆位以太网,为了保护大楼的投资,我们建议选用6类。
2.2.3 设备配置
n 六类UTP线缆:
u 具有每线对隔离的骨架结构,以减少线对信号传输干扰和增加物理机械抗性,保证系统的传输性能。
u 紧护套结构,以保证施工前后的性能保持一致。
u 传输信能参数符合并超过标准:ANSI / TIA / EIA 568B.2-1 Category 6,ISO / IEC 11801:2002 (Edition 2) Class E, CENELEC EN50173:2002 (Edition 2) Category 6
u 支持6个连接和短信道
u 线对采用一字隔离
u 重量:25.6 lbs / 305 m
u 外皮厚度:0.56 mm
u 外径:5.89 mm
u 最大拉力:25 lbs (11.34 kg)
u 工作温度:-4°F 到 140°F(-20℃到 60℃)
u 线规:23 AWG
u NVP(fastest pair @ 10 MHz):69%
u UL 认证:CMR
u 颜色:浅蓝色
u 最差100米6个连接全程信道性能保证,提供UL性能认证证书。
n 六类模块式配线架:
u 配线架端口:24或48口,自带理线器
u 安装方式:19英寸机柜式安装
u 卡接线规范围:22-26AWG
u 最少卡接次数:750次
u 打线方式:T568A或B
u 标签:自带明显数据或语音标签
u 安装要求:可翻转型,前面施工和维护管理
u 工作温度范围:-10至60度
n 快接式数据配线架
u 规格:24口六类非屏蔽 RJ45配线架。
u 标准:符合ISO/IEC 11801:2002 Ed2.0。TIA/EIA 568-B.2
u 卡接次数≥750次。
u 端接寿命≥150次,支持T568A或T568B国际标准线序。
u 机架式安装,配线架可安装文字标识条,方便布线标签维护。
n 110语音配线架
u 规格:100对机架式110跳线架,19英寸1HU。
u 标准:ISO/IEC 11801:2002 Ed2.0。TIA/EIA 568-B.2
u 安装:机架式安装。
u 模块化设计单元内部的连接终端,用于连接水平布线和电信机柜内线缆之间的连接,只需增减IDC模块即可。
n 室内铜缆大对数:
u 线规:24AWG,铜芯线径0.51mm
u 类别:EIA\TIA-568B
u 最大直流阻抗:9.38欧姆
u 工作温度范围:-20 至 60度
u 外皮:UL认证NEC的CMR阻燃级别
u 外皮颜色:灰色
u 线对: 100对
n 六类非屏蔽铜缆跳线:
u 类别:原厂正品,六类
u 规格:多股线,软跳线
u 芯数:8芯
u 外皮:CMR阻燃
u 插拔次数:大于750次
u 长度:7或9英尺
u 工作温度:-10至60度
n 机架
u 规格:600*600mm*42U
u 材质:冷扎钢板
u 开放式支架
u 采用全拆装式组装结构
u 高容量过线槽双面过数功能,U数刻度,布线管理井然有序
u 预设空间前后走线位
u 可载200KG重量
u 多样化组合
u 配备承重板和电源条
2.2.4 部署环境建议
这里我们主要针对设备间的设备环境,安装条件和连接方式作以简要的说明。按照标准的设计要求,设备间尤其是要集中放设备的设备间,应尽量满足下面的要求:
n 室温应保持在18℃至27℃之间,相对湿度保持在30%—55%;
n 保持室内无尘或少尘,通风良好,亮度至少达30英尺—烛光;
n 安装合适的消防系统(如采用湿型消防系统,不要把喷头直接对准电气设备);
n 提供合适的门锁,至少要有一扇窗口留作安全出口;
n 尽量远离存放危险物品的场所;
n 设备间的高度应至少2.55米高度的无障碍空间,门的大小至少为高2.1×宽0.9m,地板负重能力至少应为500Kg/平方米。另外对于K.I.S.S系统的要求,应在配线间安装布线硬体的墙壁上覆盖涂有阻燃漆的3/4英寸(合1.9cm)的木板。设备间的大小完全取决于安装的电气设备的空间要求。
n 另外,在主、分配线间,还要有供放置设备的设备柜,其大小可按设备的尺寸而定,一般采用木质或玻璃材料制成。在设备间尽量将设备柜放在靠近竖井的位置,在柜子上方应装有通风口用于设备通风;亦可采用设备架,但要同时做好防尘的考虑。
2.3 完成效果
根据结构化布线方式完成整体机房布线效果如下图所示:
3. 企业网络核心交换、路由系统
3.1 需求分析
XX有限公司网络现采用则勤防火墙作为网关设备,两台D-link桌面型24口10/100MB交换机作为客户端接入设备,没有上网行为管理器且不具备网络攻击防御的能力。随着业务增长,网络交换处理的压力持续增加,加之客户端数量增加网络威胁越来越成为网络管理的关键性问题。此外,在上班时间,员工利用网络管理制度不健全的现状,大量浏览与工作无关的网页,使用IM通讯工具导致工作效率低下,造成企业资源的严重浪费。因而,健壮、健全的企业网络和完善的网络管理能力成为企业首要解决的问题。
3.2 系统概述
本次方案中的网络解决方案总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性系统为原则,以及考虑到技术的先进性、成熟性,并采用模块化的设计方法,为将来企业搬迁及网络升级打好基础,提高网络设备整体的可利用率。整体组网图如下所示:
3.3 总体设计原则
XX有限公司信息化建设需满足全方位的数据共享、应用网络优化、网络安全等多种保障手段提供不间断转发、不间断升级、优雅重启、等多种高可靠技术,在提高用户生产效率的同时,保证了网络最大正常运行时间,从而降低了客户的总拥有成本(
TCO),提供全面的性能保障服务,使网络安全可靠,从而实现管理、多媒体数字以及办公自动化,提供可增值可管理的业务,必须具备高性能、高安全性、高可靠性,可管理、可增值特性以及开放性、兼容性、可扩展性。
n 高带宽
本次网络系统建设,为了保障全网的高速转发,各网络系统的组网设计的无瓶颈性,方案设计要充分考虑到,同时要求核心交换机具有高性能、高带宽的特性,整网的核心交换要求能够提供无瓶颈的数据交换。
n 可行性和适应性
系统既要保证技术上的可行性和良好的性价比,又要具有对今后社会和经济发展的适应性。
n 先进性和成熟性
系统设计既要采用先进的概念、技术和方法,又要注意结构、设备、工具的相对成熟。不但能反映当今的先进水平,而且具有发展潜力,能保证在未来若干年内占主导地位,并能顺利地过渡到下一代技术。
n 开放性和标准性
为了满足系统所选用的技术和设备的协同运行能力、系统投资的长期效应以及系统功能不断扩展的需求,必须要求系统的开放性和标准性。
n 可靠性和稳定性
在考虑技术先进性和开放性的同时,还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及维修能力等方面着手,确保系统运行的可靠性和稳定性。
n 安全性和保密性
在系统设计中,既考虑信息资源的充分共享,更要注意信息的保护和隔离,因此系统应分别针对不同的应用和不同的通信环境,采取不同的措施,包括系统安全机制、数据存取的权限控制等。
n 可扩展性和易维护性
系统应采用先进、成熟、实用的主流技术,进行系统的优化集成设计。系统软、硬件配置采用模块化、开放式结构,以适应系统灵活组网,扩展和系统能力提升的需要。
n 高效节能
实现各系统的有机互联,资源共享,信息共享,具有正确应对突发事件的响应能力;提高设备利用率,降低能耗,节约能源,实现现代化的科学管理。
3.4 核心交换机设计
本次项目中核心交换机采用思科两台48口千兆接入交换机3750G进行双机冗余堆叠部署,该产品是一款创新交换机,通过将业界领先的易用性和可堆叠交换机的最高永续性相结合,提高了LAN的运行效率。并且此产品系列是下一代桌面交换机的代表,采用了Cisco StackWise技术,这一32-Gbps堆叠互联使客户可以逐个交换机地构建统一、高度永续的交换系统。
对于中型企业机构来说, Cisco 3750G产品通过提供配置灵活性、支持融合网络模式及自动进行智能网络服务配置,简化了融合应用的部署,并可针对不断变化的业务需求进行调整。此外,该产品针对高密度千兆位以太网部署进行了优化,包括多种交换机,以满足接入、汇聚或小型网络骨干连接需求。
Cisco 3750G
主要特点及优势:
n 易于使用—“即插即用”配置
工作中的堆叠可进行自管理和自配置。在添加或拆除交换机时,主交换机自动将堆叠上运行的Cisco IOS®软件版本加载到新交换机上,加载全局配置参数,并更新所有路由表来反映变化。更新同时普遍地应用于堆叠的所有成员。
Cisco Catalyst 3750系列可将9个交换机堆叠为单一逻辑单元,共提供468个以太网或PoE 10/100端口,或468个以太网10/100/1000端口或PoE 10/100/1000端口,或是9个万兆位以太网端口。随着网络需求的发展,能以任意组合添加10/100、 10/100/1000和万兆位以太网端口。
n 通过降低运营成本而实现投资回报
对全局配置参数的Cisco IOS软件版本自动检查和加载提供了第一级的运营时间节约。在发生停运时实现第二级节约。当您将一个发生故障的交换机从现有交换机堆叠中拆除,并将其换为另一交换机时,主交换机将认为这是一次维护停运,无需用户干预,即可自动重载以前交换机的端口级配置。这使 IT经理可让远程地点的当地人员执行维护任务,而不必花费大量成本地派遣技术人员前往现场。
n 混合和匹配交换机类型—随您对网络的扩展而付费
堆叠可用Cisco Catalyst 3750交换机的任意组合来创建。需混合10/100和10/100/1000端口、PoE和布线室汇聚功能的客户可以逐步开发接入环境,只为他们所需的性能付费。当需要增加上行链路容量时,您可方便地升级您的带宽,只需向堆叠添加一个万兆位以太网版本,另外,您也可在现有光纤上将您的千兆位以太网链路升级为万兆位以太网。
n 可用性—第二层和第三层的不间断性能
Cisco Catalyst 3750系列提高了可堆叠交换机的可用性。每个交换机既可作为主控制器,也可作为转发处理器运行。堆叠中的每个交换机都可作为主交换机,为网络控制创建了一个1:N可用性体系。万一有一个设备发生故障,其他所有设备会继续转发流量,维持运行。
n 智能组播—为融合网络提高新效率水平
凭借Cisco StackWise技术,Cisco Catalyst 3750效率为视频等组播应用提供了更高效率。每个数据分组仅被在背板上处理一次,从而为更多数据流提供更为有效的支持。
n 出色的服务质量—以线速在整个堆叠上提供
Cisco Catalyst 3750系列以千兆位以太网速度提供了使一切顺畅运行的智能服务-其速度甚至达到了普通网速的10倍。业界领先的标记、分类和排队机制为数据、话音和视频流量提供了最佳性能-且均以线速提供。
n 网络安全性—对于接入环境的精细控制
Cisco Catalyst 3750系列支持用于连接和接入控制的全面安全特性集,包括ACL、身份验证、端口级安全性,以及带802.1x 和扩展、基于身份的网络服务。这一全面的特性集不仅有助于防御外部攻击,而且还可保护网络免遭“中间人”攻击,这是当前业务环境中的一个主要安全问题。
n 简单的IP管理—多个交换机,一个地址
每个Cisco Catalyst 3750系列堆叠都作为单一对象管理,采用单一IP地址。对于故障检测、VLAN创建和修改、网络安全及QoS控制等活动,进行单一IP管理。
n 巨型帧—支持高要求应用
Cisco Catalyst 3750系列支持10/100/1000配置中的巨型帧,用于需极大型帧的高级数据和视频应用。Catalyst 3750 系列在硬件中支持IPv6路由,可实现最高性能。随着网络设备的增多,对于更大型编址和更高安全性的需求日益关键,Catalyst 3750系列将作好满足这些需求的准备。
n 标准PoE支持—顺畅地添加IP通信
Cisco Catalyst 3750和3750G PoE支持思科IP电话和Cisco Aironet?无线LAN (WLAN) 接入点,以及任意符合IEEE 802.3af标准的终端设备。Catalyst 3750和3750G 24端口版本可同时支持24个15.4W的全加电PoE端口,实现最高水平的受电设备支持。48端口版本的功率可支持24个15.4W端口、48个7.7W端口,或是它们的任意组合。
n 万兆位以太网支持—为千兆位以太网部署增加上行链路带宽
Cisco Catalyst 3750系列允许网络管理员在其布线室或GRID集群中逐步添加符合IEEE 802.3ae标准的万兆位以太网连接,进一步增强和优化千兆位以太网网络。这为希望使用其现有光纤设施、向交换堆叠添加上行链路带宽容量的客户,以及想为应用和用户提供最高性能的客户提供了投资保护。
n 管理选项
Cisco Catalyst 3750系列(图 5)提供了一个用于具体配置的出色命令行界面 (CLI),和一个可根据预设模板快速配置的、基于Web的工具,Cisco Network Assistant 软件。此外,CiscoWorks支持Catalyst 3750系列的网络级管理。
3.5 Inernet出口及VPN设计
租用电信运营商10M光纤连接作为办公网Internet出口,10M带宽可完全满足员工上网,以及外部访问的带宽需求。
在企业网Internet出口处部署VPN接入设备,出差员工和办公人员即可在远程利用Internet网络安全的连入企业网络,访问企业资源和系统完成业务工作,实现远程办公。
3.6 网络安全出口及边沿停火区(DMZ)设计
为了满足企业门户外部访问、内部通信和安全保密等多重需求,在外网边沿设计边沿停火区域(DMZ),将企业门户、邮件系统等允许外部访问的服务器单独接在该区端口,使整个需要保护的外部网络接在信任区端口后,不允许任何来自Internet的访问,这样来自外网的访问者可以访问DMZ中的服务,但不可能接触到存放在内网中的单位机密或私人信息等,即使DMZ中服务器受到破坏,也不会对内网中的机密信息造成影响。
4. 企业中心网络存储系统
4.1 需求分析
XX企业是一家以设计研发为依托的生产制造企业,公司从事汽车车轮检测设备研发与生产,由于属于非标行业,公司拥有大量产品图纸、设计文档。采用传统将文件分散存储于客户端机器的方式,协同工作极为不便,且当人员流失时,相关的资料亦可能流失。对于敏感数据,无法实现访问的审计与权限控制。因而,一套可靠、健壮的企业网络存储系统显得尤为重要。且该系统将成为数据安全备份的主要载体。
4.2 产品选型
Synology® RackStation RS2212+/RS2212RP+ 提供了具有高效能、可扩充,且功能完整的网络存储方案,满足企业的各种需求,得以更有效率地运行下列工作:集中化保护数据、简化数据管理方式,以及花费最少的建置与管理时间就能快速扩充存储容量。Synology RS2212+/RS2212RP+ 随附 Synology 的 3 年有效保修服务。
n 每秒 200.73 MB 以上的读取速度、每秒 194.32 MB 以上的写入速度1
n 可用 Synology RX1211/RX1211RP 扩充至 22 颗硬盘
n CPU 被动式散热技术及系统风扇备援机制
n 具有双网络埠,支持故障移转及 Link Aggregation
n 支持 Windows® AD 及 ACL
n 符合 VMware®、Citrix®、Microsoft® Hyper-V® 标准
n 操作系统为 Synology DiskStation Manager (DSM)
Synology RS2212+
4.3 存储产品功能
n 体验高速数据传输效能
在启动 Link Aggregation 的环境中,设置为 RAID 5 的 Synology RS2212+/RS2212RP+ 可提供平均每秒 200.73 MB 以上的读取速度和每秒 194.32 MB 以上的写入速度1。Synology RS2212+/RS2212RP+ 为需要处理大量数据的应用程序提供高效能的存储系统,并支持扩充存储空间的能力。
n 为企业必备的应用程序提供高稳定性
企业需要有坚强的后盾才能处理至关重要的任务。Synology RS2212+/RS2212RP+ 提供的高数据可得性可确保您在需要数据时都能立即存取。双网络端口故障移转及硬盘热插入功能可确保系统在更换硬盘或网络故障的情况下,仍可继续提供服务。
针对系统的心脏 --- CPU,RS2212+/RS2212RP+ 导入了被动式散热技术的结构,让系统不再依赖单颗处理器散热风扇,也能减少重要组件失效导致整台机器故障的情况。当系统侦测到风扇故障的情况时,内建的备援机制可让正常运作的风扇保持旋转来为系统散热,也可在置换故障风扇之前让系统继续运作。这样不仅有效阻绝系统损坏的可能性,也大大强化系统的可得性。
n 强大且经济实惠的高扩充性,最多可达 88TB
当 Synology RS2212+/RS2212RP+ 的存储容量接近上限时,您可使用 Synology RX1211/RX1211RP 轻易地扩充容量。Synology RS2212+/RS2212RP+ 使用特别设计的接线连接到 RX1211/RX1211RP 上,此接线可传送 SATA 讯号并确保最佳传输效能。Synology RX1211/RX1211RP 可直接扩充 Synology RS2212+/RS2212RP+ 上现有的存储容量,最多可达 88TB 的存储空间。
n 适用于企业环境
Windows ADS 整合功能可让 Synology RS2212+/RS2212RP+ 轻松快速地融入现有的企业网络环境,无须在 Synology RS2212+/RS2212RP+ 上重新建立使用者账号。「用户家目录」功能可为管理者省去为大量使用者一一建立私人共享文件夹的麻烦。
RS2212+/RS2212RP+ 的 Windows ACL 支持功能可提供更精密的访问控制功能及更有效率的权限设置方式,IT 人员可藉由熟悉的 Windows 使用接口在 RS2212+/RS2212RP+ 上配置文件案及文件夹的访问权限。Windows ACL 的权限设置可套用至各种存取方式,包含 AFP、FTP、File Station、NFS 及 WebDAV。这样可让权限设置更为安全,也让 IT 人员不用再担心安全上是否有漏洞。
n iSCSI 及虚拟主机支持功能
DSM 的 iSCSI 支持功能可让 Synology RS2212+/RS2212RP+ 为虚拟主机服务器 (VMware、Hyper-V 及 Citrix) 提供完美的存储空间解决方案。对于没有布建 SAN 环境的企业来说,这是最理想的替代方案。价格合理且符合成本效益的 iSCSI 可让中小企业使用者将存储空间整合成数组式的数据中心,并让服务器将这些存储空间视为本机连接的硬盘。
n 功能完整的企业应用程序
Synology RS2212+/RS2212RP+ 的运作平台是知名的操作系统 Synology DSM,其具备专为中小型企业设计的完整应用程序及功能。完整的网络协议支持功能确保 Windows、Mac® 及 Linux® 等平台之间能够毫无差池地共享文件。
互联网的文件存取通过加密的 FTP 服务器以及网页接口的文件总管:Synology File Station,变得更为简单好用。HTTPS、防火墙及 IP 自动阻止等支持功能,可确保互联网上的文件分享受到高规格安全等级的保护。
Synology RS2212+/RS2212RP+ 丰富的附加功能可取代多款网络硬设备。Synology Web Station 支持 PHP/MySQL® 网页内容,可让您在一台 Synology RS2212+/RS2212RP+ 上架设多达 30 个网站。Synology Surveillance Station 提供集中化的管理接口,可让您部署网络摄影机来保卫办公室环境。RS2212+/RS2212RP+ 的Mail Server功能可与邮件软体 (例如 Mac Mail 或 Windows Outlook®) 搭配使用,至于 USB 打印机共享的功能可为办公室环境共享打印资源,大幅精简企业成本。
n 节能设计
Synology RS2212+/RS2212RP+ 的设计与开发皆以节能为考虑。相较于一般的存储服务器,RS2212+/RS2212RP+ 消耗较少的电源。网络唤醒及多重开关机排程的支持功能可进一步减少耗电量及营运成本。硬盘休眠能让您指定硬盘停止存取多久之后进入休眠,此举不仅节省了大量的能源,更延长了硬盘的使用寿命。
所有的 Synology 产品都是使用符合 RoHS 标准的组件所制造,包装也是采用回收材料。对同样身为世界公民的Synology而言,持续开发出更好的方法让产品对环境冲击降到最低是我们重要的企业使命之一。
5. 中心机房建设
5.1 需求分析
XX中心机房位于厂区办公楼一层中心配电室,由于缺乏前期建厂时对IT信息管理的总体规划,故而,机房设计并未考虑在总体建厂预算中。现阶段中心机房并未设置配线机柜、服务器机柜,而是将设备全部集中于一个600*600网络机柜内。为了配合整体信息化建设,中心机房建设将成为至关重要的环节,因而合理的配线系统、UPS、空调通风散热系统将成为主要考虑的建设内容。
5.2 中心机房建设概述
随着计算机系统技术和设备的不断更新换代,安装计算机设备的场地技术,即机房工程也在不断地推陈出新。所采用的新材料、设备、工艺和技术,其目的是为了更好地保证机房的温度、湿度、洁净度、照度、防静电、防干扰、防震动、防雷电、及时监控等,能充分满足计算机设备的安全可靠地运行,延长计算机系统使用寿命的要求,同时又要给系统管理员创造一个舒适、典雅的环境。因此,在设计上要求充分考虑设备布局、功能划分、整体效果、装饰风格,体现现代机房的特点和风貌。
5.3 中心机房建设技术方案
5.3.1 配电系统设计概要
n 设计要点
u 机房内用电设备供电电源均为三相五线制及单相三线制,采用双回路供电。
u 用电设备作接地保护,并入土建配电系统。
u 机房用电设备、配电线路装置过流过载两段保护,同时配电系统各级之间有选择性地配合,配电以放射式向用电设备供电。
u 机房配电系统所用电线为阻燃聚氯乙烯绝缘导线,敷设喷塑桥架、镀锌铁管及金属软管。
u 机房的设备供电和空调照明供电分为两个独立回路,其中设备供电由UPS提供并按设备总用电量的1.3倍进行预留,而空调照明用电由市电提供并按空调设备的要求供配。
u 空调照明部分采用机房专用配电箱来完成,它接到总配电室送过来的市电电源,通过总电源开关,输出到分支回路中。
u 机房内的配电系统考虑了与应急照明系统的自动切换。
u 该机房电源进线正常时由市电供电,市电故障时由UPS供电,进线直接引入机房专用配电柜总输入开关。
u 机房设计了一个市电配电箱,对机房的市电进行配电,配电箱为机房专用标准配电箱,配备ABB低压开关。柜内配有市电备用回路,安装防雷保护器。
u 根据企业弱电核心机房的实际情况和未来网络设备扩容的需要,我们建议为网络中心机房选配一台10KVA UPS,它的延迟时间有30分钟,充分保证相关机房设备的电源供给。
u 机房所有插座均采用普通电源插座和弹起式铜插座,普通电源插座安装在墙壁上,弹起式电源插座安装在防静电地板上,美观大方。
n UPS设备介绍
停电时,Smart真在线UPS能提供网络机的后备电池电源,以保护数据的安全。在安装了随机附带的PowerChute plus软件后,无论您是否在场,都能在电池完全耗尽之前,安全储存数据,并关闭台式机或服务器的操作系统。
通过Smart真在线UPS高级的实时多级浪涌意志和噪音过滤,您的硬件得到了保护、系统的寿命得以延长。Novell已承认Smart真在线UPS无需附加外部电压调节器的优点,认为这个系统是网络保护的最佳选择。
Smart真在线UPS的保护功能提高了您的工作效率,稳定的输出电压和频率可以满足负载长时间稳定、可靠的运行。
APC的UPS都具有在先进的性能。CellGuard智能电池管理,能提高整套系统的可靠性、延长电池后备时间。
SmartSlot内置附件插槽允许你安装备选附件来增强您的APC Smart真在线UPS管理功能。PowerChute plus软件能提供广泛的UPS电源管理和诊断功能。QuickSwap用户可更换电池系统允许您现场更换电池,更换的同时系统仍可保持供电状态并正常运行。
APC Smart真在线UPS是文件服务器、微机、UNIX中心处理单元、互联网集线器、电信系统和其他关键性应用设备的完美的不间断电源供应系统。
u 雷电及浪涌保护,保护您的硬件
在ANSI/IEEE 587 A类和B类的测试中,APC Smart真在线UPS的浪涌保护性能比任何隔离式浪涌抑制器都好,它的测试数据已达到UL的最佳保护额定值。
u 网络及电网电压调节防止假信号
全天候EMI/RFI过滤器防止线炉噪音导致的数据错误。Smart真在线UPS无需附加外接电压调节器,便可满足用户对网络保护的要求。
u 正弦波输出适合敏感负载
APC Smart真在线UPS的正弦波输出为所有的负载提供了兼容保证。
u 旁路运行功能保证系统更长时间稳定运行
APC Smart真在线UPS可以运行在旁路状态,当负载严重超载或主机内部发生严重故障时,主机可以通过旁路为负载提供电源,保证重要业务更长时间不间断运行。
u CellGuard智能电池管理系统意味着延长电池寿命
由于具有精密的FastCharge电池充电系统,以及真实负载电池自动测试功能,Smart-UPS的可靠性得以提高。冗余充电过量保护及连续无脉冲充电性能,可有效延长电池寿命。
u 智能通讯接口增加了自动的系统安全关闭功能
一旦安装了APC Smart真在线UPS,它就可以与服务器通过串行通讯端口连接起来,在服务器上安装并运行PowerChute plus软件,执行自动安全关机功能。停电事故可能发生在夜里、周末或系统管理人员离开大楼的时候,这就使得自动安全关机功能显得至关重要。Smart真在线UPS的通讯端口能在大多数主流操作系统平台如Novell Netware, IBM OS/2, Microsoft Windows NT, UNIX等环境下,自动安全关闭系统。您还可以使用APC的PowerChute plus软件管理UPS电源并诊断电源问题。
u Smart真在线UPS的过载能力
l On-line状态下的过载能力
当Smart真在线UPS的负载大于其额定功率的107%且持续时间超过4秒钟时,UPS将发出声音报警。如果负载电流大于125%且持续过载,则UPS将持续工作1分钟,如果负载为150%过载时,主机可以持续工作30秒,然后转入旁路运行
l On-battery状态下的过载能力
当Smart真在线UPS工作于电池状态时,它通常不支持持续的过载,而是在2到5秒钟内关闭。但是,如果负载不大于UPS额定功率的150%且其持续时间小于1秒钟时,Smart真在线UPS可正常工作。
u Smart真在线UPS内部工作温度和冷却风扇的运转
用户可以通过APC的PowerChute plus软件轻松地监控Smart真在线UPS的内部工作温度。这一温度值被记录在PowerChute的数据日志(PWRCHUTE.DAT)中,同时在PowerChute plus用户界面的主窗口中显示。这一测量的精确度为±5%。UPS器件内部的升温受不同因素的影响,这既包括外界环境温度,又包括UPS为之供电的负载,但是与UPS工作在在线状态还是电池状态下无关。
当UPS在在线状态,环境温度为25℃时,正常的工作温度大约是45℃(113℉)。这一温度会随着机内充电器和输出变压器向外提供功率的增加而升高。在最差的情况下,也就是电池在高环境温度(40℃)下放电和满负载工作,机内的温度不应超过75℃(167℉)。所有不同型号的Smart真在线UPS,如1000VA,2000VA型号都有冷却风扇。风扇冷却在四种正常情况下进行,虽然这四种情况很少出现。如下所示:
l 无论何时,只要UPS工作在电池供电状态下,风扇就会工作。
l 当UPS的内部环境温度超过60℃(140℉)时,风扇工作。冷却至50℃(122℉)时,风扇关闭。
l 当输出负载超过UPS额定负载的75%时,风扇开始工作。在输出负载少于额定负载的 75%时,风扇关闭。
l 当机器内部充电器给电池充电时,风扇工作。
Smart真在线UPS应在环境温度为0℃ ~ +40℃(32℉ ~ 104℉)的情况下工作。
注意:在Smart真在线UPS的四周必须留出2英寸(5cm)以上的空间以保持良好的空气流通。
5.3.2 空调工程设计
为使机房的主要设备和管理操作人员有一个良好的工作环境,并使其能够安全、可靠地运行,发挥其最大的工作效率,就要提供一个符合其运行标准要求的机房环境。这就对机房空气的制冷、制热、加湿、去湿、滤尘有严格的标准要求。设备运行情况、使用寿命与工作环境有密切关系,温度、湿度、洁净度就是工作环境的关键因素。
机房冷负荷计算
计算机机房属于重要的计算机中心。机房内有严格的温、湿度要求,机房内按国标GB2887-89《计算机场地安全要求》的规定配置空调设备:
级别
项目
A级
夏季
冬季
24±2°C
20±2°C
相对湿度
45%~65%
温度变化率
(5(C/h并不得结露
同时,主机房区的噪声声压级小于70分贝
主机房内要维持正压,与室外压差大于9.8帕
送风速度不小于3米/秒
在表态条件下,主机房内大于0.5微米的尘埃不大于10000粒/升
为使机房能达到上述要求,应采用精密空调机组才能满足要求。
考虑到整体造价,原先探讨的机柜直接散热InRow空调不予采用。
n 艾默生DataMate3000系列风冷型机房专用空调
DataMate3000系列风冷型专用空调可应用于中、小型计算机房、设备间等场所的精密环境调节,机组采用先进的设计理念,经过精密空调专业实验室严格测试,具有高效节能、稳定、长寿命的运行特点,并且具有恒温恒湿调节功能,可满足IT、电力、交通等不同行业的精密环境调节需求。
DataMate3000系列风冷型机房专用空调
n 产品特点
u 大风量、小焓差设计,适合机房主设备散热特点,为主设备提供连续、稳定的温湿度环境;
u 高显热比、高能效的制冷系统设计,采用Emerson Copeland 品牌涡旋压缩机;
u 可设置的、独特的经济运行模式,可选择经济模式运行;
u 室外机风机采用无极全调速控制,确保系统运行更健康、更节能、更低噪声;
u 可选配节能卡组件,实现更高节能效果;
u 占地面积小,100% 全正面维护;
u 易使用、易维护,适应力强,室外机监测及设定功能;
u 气流丢失检测及告警功能;
u 智能稳定的恒温恒湿功能;
u 全中文大屏幕显示,具有多级密码保护、专家故障诊断功能;
u 具备来电自启动功能,并可设置延时启动时间;
u 配备标准RS485 监控接口;
u 灵活的主备机切换功能,实现机组自动切换及轮值功能;
u 按照每年365 天,每天24 小时连续运行长寿命设计,高稳定性,低维护量;、
u 超宽输入电压范围,多种电源保护功能;
u 极强的环境适应能力:冷凝器标准配置满足-15℃~ +45℃的室外温度环境
u 配置低温冷凝器可满足-34℃~ +45℃的室外温度环境,确保北方地区冬季机房制冷需求;
u 可选配电源防雷器,提供更为可靠的安全保证;
u 可直接在室内机的显示屏上读取室外机风机输入电压百分比、管路压力信息,监测更加全面,更易判断整机运行状态的健康性;
u 可检测由于风机故障、过滤网堵塞等原因造成风量异常减少的信息;
u 在计算机上安装后可远程监视DataMate3000 机房空调运行状态,设定机房空调的开关、温度、告警重要等级等,可实现邮件通知告警、短信通知告警(需选配短信告警器)。
5.3.3 机柜系统
结合近年来IT设备的发展趋势,为保证客户的数据中心满足先进设备24小时连续运行的高可用性要求,方案考虑机房建设的可用性、灵活可变化、设备的美观、整齐化以及可维修性,并在统一TCP/IP的网络平台上实现机房设备的“统一管理和预警”功能。
结合用户机房情况,合理使用空间,使建设的机房具备标准化、智能化的设计,真正达到容错目的,同时具备和谐统一的布局,美观的造型提升了机房形象和档次。
n APC AR3100机柜参数
u 标准19英寸,600mm宽,42U高,1070mm深,高1991mm
u 全开孔前、后门, 圆孔, 良好的通风性能,67%开孔率
u 双开后门, 方便设备安装及维护
u 前后门均可快速拆卸
u 前后门均带门锁
u 侧板可快速拆卸
u 双侧侧板均带锁, 与门锁采用同一钥匙
u 专用布线通道,提供高效、方便的布线功能
u 专用配电通道,可直接挂接无工具安装PDU
u 12个进线口, 方便进线\布线
u 含4个重载脚轮
u 含4个调平支腿
u 静态承重1300公斤
u 可多台并柜使用, 每组两个侧板
u 独特顶部走线设计
u 黑色
APC AR3100
n APC机柜系统 方案说明
APC NetShelter 机柜,具有先进的增强热量管理、综合完善的线缆管理和有效的电源分配方案,安装使用方便,并保证了机柜设备的兼容性,专门为满足今天及未来数据中心环境需要而设计的新一代、高品质机柜解决方案,它为标准的19英寸机架式设备提供安全、可靠和灵活的安装空间, 可广泛应用于金融、电信等领域,如IDC、ISP和其他机架式设备应用场合。
APC“全能机柜”解决方案提供如下性能:
u 安全、可靠的高性能NetShelter机柜
u 丰富的机柜附件
u 机柜专业配电方案:机架式PDU
u 机柜双路冗余电源自动转换功能
u 机柜电源远程管理
u 机柜环境、安全管理
APC“全能机柜”的特点:
u 先进的热量管理技术
l NetShelter机柜全通风前、后门采用“超级网孔”设计
l 提供业界最高67%的通风面积
l 每U空间具有20in2的开放空间(前后门)
l 全面满足要求苛刻的服务器散热的需要
u 红外拍照热量管理对比图
普通服务器机柜
APC服务器机柜
玻璃前门, 通风后门, 带顶部风机
全通风前后门, 无风机
3100 watts
3100 watts
服务器最高温度50℃ (123 0F)
服务器最高温度 35℃ (95 0F)
前
后
前
后
u 完善的线缆管理
l 多达12个线缆入口,满足高密度布线安装的需要
l 独特的顶部走线的创意,适合各种机放环境的需要
l 机柜后部“专用布线通道”设计,数据、电源线缆各行其道,更安全更可靠
u 专业的电源分配设计
NetShelter机柜专业的电源分配设计,为机柜应用提供各种类型可靠的电源分配方案,并提供独特的机柜级别负载电流指示及电流远程监视功能。
u 良好的兼容性
NetShelter机柜灵活、中立的结构设计,兼容主流厂商的机架式服务器、网络设备产品,满足用户在一个机柜中选装各种最好性能产品的需要。
5.3.4 KVM切换器
为了能够对服务器系统的集中监控与管理,采用业界先进的KVM系统,该系统除了能够实现在中心服务器机房查看相应的服务器外,亦可实现远程透过互联网查看企业的服务器运转。
ATEN KL1508Ai LCD KVM
ATEN KL1508Ai双滑轨LCD KVM多电脑切换器,为一组控制设备,其允许从一组控制端(键盘、显示器、鼠标)安全控管高达8台电脑;其整合了LCD屏幕、键盘及触控板于抽拉式的机体内,并可安装于机架上。
LCD屏幕及键盘/触控板模块可以独立抽拉,为了提高您机房内空间使用的效率,当键盘/触控板模块不需要使用时,可以将其推回收好,并展开轻薄的LCD屏幕 – 靠在机架上,以方便监控电脑的运作状态。
KL1508Ai支持IP联机,可让本地及远程的操作者监控及访问其所连接的电脑,由于KL1508Ai使用TCP/IP通讯协议,因此使用者可以通过连网的电脑 – 无论该电脑在大楼任何地方、在街道上或甚至在地球另一端,都可访问KL1508Ai。
体积小、高密度的RJ-45连接头及Cat 5e/6连接设计,提供简便、有效率的布线方式,通过KVM转换连接线连接电脑,可让PC、Mac、Sun电脑与串口设备在同个架构下混合使用。
为了提高使用的便利性,背板上提供一组键盘、鼠标及屏幕的连接端口,可让您从本地控制端管理切换器;另外,键盘模块上额外的USB鼠标连接端口,可让您使用外接式鼠标以取代触控板。
此外,其所提供的进阶功能包含可同时显示高达16组电脑影像输出的分割画面模式,及可让身处各地的登入使用者便利、快速沟通的信息板,KL1508Ai是机房管理最佳的解决方案。
其功能特点为:
n 硬件
u 整合KVM控制端与17/19寸LCD液晶屏幕于单一双滑轨机体内
u 单一控制端可管理多达8台的服务器
u 支持菊式串接额外15台切换器,以从单一控制端控管高达128台电脑
u 1个独立的通道,可供KVM Over IP远程访问
u RJ-45连接接口及Cat 5e/6布线设计,可有效地节省空间
u 具备自动转换功能的电脑端模块设计*,可弹性通过各种接口组合(PS/2、USB、Sun及串口)管理所有类型的服务器
u 外接式控制端连接端口 - 可通过另一组外接式控制端 (屏幕、USB或PS/2键盘、以及USB或PS/2鼠标) 管理LCD KVM多电脑切换器所连接的服务器
u 跨平台支持 - PC、Mac、Sun及串口设备
u 支持外接式USB鼠标
u 双滑轨机体,体积高度小于1U,可于1U的机架空间内轻松操作
u 双滑轨设计 – LCD屏幕与键盘/鼠标触控板可分别独立抽拉
u LCD模块可展开至120度,以提供更舒适的检视角度
u 控制端锁定功能 - 在不使用控制端时可将其安全固定在原来位置
u LCD电源按键有助于节省能源,并延长屏幕的使用寿命
u 兼容的KVM多电脑切换器: KH1508A/KH1516A, KH0116, ACS1208A/ACS1216A, CS1708A/CS1716A, KH1508/KH1516
n 管理功能
u 提供多达64组使用者账号 – 支持多达32位使用者同时从远程登入
u 支持终止联机功能 – 管理者可终止正在运行的连线作业
u 电脑端模块ID:可储存连接端口信息,让管理人员将服务器重新连接到不同连接端口时,无需重新设定电脑端模块及KVM多电脑切换器
u 连接端口分享模式支持多位使用者共同访问一台服务器
u 连接Power Over the NET™远程电源管理设备,以进行远程电源控制
u 可与ALTUSEN CC2000管理软件整合使用
u 支持事件日志及Windows操作系统的日志服务器
u 本地日志记录
u 支持固件更新
u 支持IPv6
n 简易使用者界面
u 可通过按键、热键模式、OSD(屏幕选单)及浏览器界面轻松切换电脑
u 本地控制端、browser-based及AP GUIs提供统一的多国语言界面,减少使用者训练时间及提高工作效率
u 支持多平台的客户端系统(Windows, Mac OS X, Linux, Sun)
u 支持多种浏览器: Internet Explorer、Chrome、Firefox、Safari、Opera、Mozilla、Netscape
u 以网页技术所发展的浏览界面,管理者不需先安装Java软件包即可执行管理工作
u 支持分割画面模式(Panel Array Mode™)
u 键盘广播功能* – 键盘输入信号可复制到所有连接的服务器上
n 先进的安全机制
u 支持远程验证机制: RADIUS, LDAP, LDAPS及MS Active Directory
u 支持128位SSL数据加密及1024位RSA认证以确保浏览器登入的安全性
u 弹性化加密设计,使用者可分别为键盘/鼠标,屏幕及虚拟媒体数据选择56位DES、168位3DES、256位AES、128位RC 4的任何组合或随机的加密方式
u 支持IP/MAC过滤功能,强化安全防护
u 可对使用者及群组设定访问与控管服务器的权限
n 虚拟远程桌面窗口
u 可调整视频质量及视频公差(tolerance)以最佳化数据传输速度;单色色深设定,临界值及信号干扰设定,可让使用者在低频宽的情况下压缩数据流量大小以达到最佳的传输量
u 支持全屏幕显示或可调式窗口显示
u 远程使用者间可通过信息板功能相互沟通
u 鼠标动态同步显示功能(Mouse DynaSync™) – 自动同步化远程及本地的鼠标光标
u 支持多国语言屏幕键盘
u BIOS层级访问
第四章 基础架构服务建设方案
1. 建设目标
目前XX企业计算机和用户等网络资源由用户自主管理,这给整个网络和各类信息资源的安全运营和管理带来很大风险。因此,本方案拟建立统一的目录服务和用户权限管理机制。
目录服务使用了一种结构化的数据存储方式,并以此作为基础对目录信息进行逻辑的分层组织。通过目录服务可以便捷地实现统一地组织与管理网络内的服务器和客户端。从管理层面,目录服务的建设将信息化环境的管理由松散方式变为集中管理的方式,减轻日常管理维护负担,提升信息化基础能力。从用户层面,目录服务实现了单一的网络身份验证,确保可以快速的访问组织内部的各种资源。
针对目录服务以上优点,计划在企业内网中部属目录服务,将企业网内所有资源编制索引目录,提高信息资源访问速度,同时统一配置访问用户权限设置,实现现有网络用户和各类资源的统一目录管理。
2. 技术方案
2.1 方案选型
XX有限公司基础架构服务拟采用windows 2008 R2活动目录方案,通过活动目录加强计算机安全和桌面管理,并为进一步部署其他高层等打下坚实的基础架构。我们选择的
Windows Server 2008 R2活动目录产品融合了一些新的技术特点,这些特点包括:
(1)DNS 集成
活动目录使用域名系统( Domain Name System ,简称 DNS )。这使得运行在 TCP/IP 网络上的计算机可以识别和连接另一台计算机。 DNS 域和 Windows Server 2008 R2的域自然而有机的结合在一起,使得整个目录结构成树型分布,具有了 DNS 的层次感觉,也使得 Windows Serever 2008 R2 系统能够支撑庞大的目录结构,是的目录对象涵盖了整个网络元素:用户,计算机,打印机,共享文件夹,应用程序,管理策略等。
(2)目录定位服务
通过 DNS 服务中的 Service Resource Record ( SRV RR )记录公布提供目录服务的服务器地址, SRV RR 中的附加信息指出了服务器的优先权及重要度,使得客户可以选择他们所需要的最好的服务器。 DNS 记录也可以集成到目录中,随着目录复制而达到 DNS 复制的目的。
(3)全局唯一的用户名
在域内一个用户对象只能有一个用户主名,而这个用户名是可以用username@domainname 表示的,就好比一个用户的 mail 地址一样。正是具有了这个特性,才能够实现在企业内只要一套用户认证系统就可以实现所有应用系统的单一认证问题。
(4)可扩展性
活动目录是可扩展的,就是说管理员可以向模式中添加新的对象类,也可以向已经存在的对象类添加新的属性。模式包括每一个对象类和对象类属性的定义,它们可以存储在目录中。例如,可以向用户对象添加购买机构属性,然后可以将用户的购买机构范围做为用户帐号的一部分进行存储。
(5)灵活的查询
用户和管理员可以使用 " 开始 " 菜单上的 " 查询 " 命令、桌面上的 " 我的网络 " 图标或者 " 活动目录用户和计算机连接 " 插件来根据对象的属性快速的查找网络上的对象。
(6)身份联合
ADFS (活动目录身份联合)提供了基于 Web 的 extranet 验证/授权、单一签名登陆 (SSO) 和针对 Windows Server 环境的联合的身份服务,从而提高了在涉及 B2C extranet、intracompany (多森林的) 联盟和 B2B internet 联盟的场景中、现有活动目录部署的价值。
(7)基于策略的管理
组策略是在初始化时对计算机或者用户进行的配置。所有的小组策略设置都包含在组策略对象( Group Policy Object ,简称 GPO )中,它可以应用于活动目录站点、域或组织单元中。 GPO 设置确定对目录对象和域资源的访问、哪些资源域是用户可以访问的以及这些资源域应该如何使用。
2.2 森林规划
森林是Windows 2008 AD域的集合。每个活动目录的实施将至少有一个森林,森林的数量取决于公司的组织架构。在本项目中,建议采用单一森林,在单森林的模式即能满足对公司计算机安全和管理需要。单一森林环境易于建立和维护,森林间的域自动建立双向可传递内部信任关系,不要求手动建立外部信任配置。
2.3 域的规划
根据企业目前的基础管理需求,我们建议,企业Windows 2008 AD域逻辑结构可以采用“单森林、单域”的结构设计。同时利用Windows 2008内置DNS服务进行域名解析,域名为CMPTJ.COM。单域结构的主要优势如下:
(1) 集中管理整个企业的安全策略。
(2) 集中管理整个企业的组策略。
(3) 完全利用组织单元反映企业的管理结构。
(4) 当企业机构重组时可以非常灵活的进行调整。
(5) 当资源和用户需要在组织机构内迁移时可以非常灵活的调整。
(6) 相对其它方案,可以使用较少的域控制器。
(7) 简单的名字空间设计– 只需要1个DNS名字后缀.
(8) 用户在查找AD内的信息时相对简单。
(9) 单一的组策略更容易实施。
2.4 OU结构规划
组织单元(OU)是一个用来在域中创建分层管理单位的容器。在域中创建OU结构时,必须注意始终按照“谁管理什么”的原则,从IT管理的需要出发,划分管理模型的结构。本次实施方案中将OU按照公司组织机构的结构进行规划设计,例如:人事部、财务部、管理部等。各部门的OU组策略由企业计算机管理员进行统一配置管理,即权力不在下放。初步OU规划与企业组织机构一致:
2.5 域控制器规划
在企业内网中共架设两台域控制器,以便互为备份,以避免单台域控制器出现故障后,造成所有用户身份数据和网络管理数据丢失。其中一台域控制器充当架构操作主机(
Schema Master)、域命名操作主机(Domain Naming Master)、PDC模拟器(PDC Emulator)和RID Master,以及结构操作主机(Infrestructure Master)角色。
2.6 站点结构的设计
由于企业网络环境比较简单,属于典型的局域网环境,本方案建议采用单站点结构。
2.7 AD FSMO主机角色设计
活动目录的Flexible Single-Master Operations机制用于避免对活动目录的更改发生冲突。总共有5个FSMO角色需要被管理。
(1)Schema Master:森林中只有一个。指定一台DC用于接受活动目录Schema
的更改。这台机器应该属于森林根域,用于保证正确地访问控制。
(2)Domain Naming Master:当增加、删除域时,处理对域目录树的更新。Schema和Domain Naming master应当在同一台服务器上。Domain naming master应该在一台GC上。
(3)PDC Emulator:处理早期版本客户端(如NT4)的口令更新,接受紧急口令锁定复制等。本台服务器在用户的域环境中会处理大量的请求,必须非常可靠。
(4)RID Master:维护RIDs (Relative IDs) 缓冲池,用于生成安全账户(用户、组、计算机)。对于比较大的域,RID master和PDC emulator应该分处不同服务器。
(5)Infrastructure Master:用于更新跨域的引用,必须不能在GC上。
在用户的环境中,相应的角色将被安排到以下的服务器:
C1
Schema Master,Domain Naming Master ,GC
C2
PDC Emulator,RID Master,Infrastructure Master
2.8 DNS设计
建议在内部网络设置DNS服务器。DNS服务器都将DNS数据放在本地的AD数据库中,但是作为独立的Application Partition来参加域控制器之间的目录复制(Directory Replication) 仍而同步DNS数据库。
所有域控制器都将自己设为首选的DNS服务器,将另一台域控制器设为次选的DNS服务器。每个物理区域的客户端将通过DHCP,将第一台域控制器的DNS设为首选,将另一台域控制器的DNS设为次选。
每台DNS服务器将设置转发(forwarder),将本地ISP的DNS服务器设为转发器.将所有非内部网的域名解析请求转发至Internet上。
基本上企业内所有的客户端都将通过DNS来进行名称解析,包括登入域和访问文件服务器或其他客户端。每一个加入域的客户端都通过动态注册在DNS服务器上注册自己的主机记录(A)和指针记录(PTR)。管理员在服务器上可以轻松的了解所有客户端的注册情况。此外,客户端在访问Inetnet时,可以依靠ISP的DNS转发,来对非内网地址的服务器进行必要的名称解析。
2.9 个人帐号和口令管理
个人账号可以分为两类:
(1)第一类为普通账号,采用一人一号的方式,为每一位员工建立自己的账号。当员工加入或者离开时,按照一定的规则增加或者删除用户的账号。
(2)第二类为特殊账号,通常并属于某一位员工,而是为了满足某些特殊的功能,比如系统管理、匿名访问等等。
(3)每个个人账号都有一个口令来保护,为了防止口令被盗用和攻击,我们将在整个域中启用相应的密码策略以保证每个密码都符合一定的复杂度,具体要求如下:
a)长度不得小于7个字符
b) 必须包含大写和小写字母
c)必须包含特殊字符(例如:~!@#$%^&*()_+)
该部分的设定,需要须由用户的IT管理人员根据自己整个企业的实际情况来进行制定。
(4)个人账号的命名规则
用户名称将使用中文名,帐号名称为: 采用姓名的拼音全称,如有重复则在末尾加用户所在部门名称的首字母,若有重复则在末尾加数字以示区别。
例如:
姓名
拼音
帐号名
张三{人事部}
ZHANGSAN
ZhangsangHR
2.10 计算机账号管理
所有加入到域中的计算机都需要一个计算机账号,通过该帐号,我们可以对计算机的各种配置进行管理。
服务器帐号:
Server Name:xxx
xxx
xx共八位.前三位为SVR表示该计算机为服务器.
中间表示为服务器主要功能 ( 比如:DC=Domain Controller; MAIL=mail Server; FILE=File Server ),最后为服务器编号. 如Svrdc01,Svrfile工作站(PC)帐号: PC Name: xxx xxx xx 前三位;部门代码如 (TPM,OMD,FND,HAD,QMD); 中间部分为员工姓名拼音简称(声母部分) 如 TG,LH,
等; 后两位为序号,例如: TPM TG 01 OMD MZ 02 PT-PUBLIC-01 注:员工姓名简称标定详细和员工姓名等需不用户具体商讨.
2.11 组策略设计
在Windows Server中,策略是一组规则的集合,这些规则包括了一般的管理任务,比如用户设置管理、应用软件管理和其它有关的规则。通过将这些规则(策略)应用于企业用户和计算机,可以实现自动的用户设置、软件管理和其他一些管理功能,仍而降低系统管理员的管理负担。
设计组策略时,我们需要同时考虑两个目标:
1)结构清晰,便于管理和修改。制定组策略时,应该不企业的组织机构、管理模式相一致,使得管理员可以容易的对组策略进行维护和修改。
2)高效。组策略的实施会对机器启动的时间产生一定的影响,我们必须加以考虑。我们应该尽量减少组策略对登录时间的影响。
通过在用户部署组策略,可以实现以下基本的管理要求:
(1) 系统方面的设置
项目
要求
桌面
使用统一的设置
(2) 安全方面的设置
项目
要求
口令更改日期
定期更改提示
控制面板访问
只允许显示指定图标
注册表访问
禁止
本地登录
禁止(所有本地用户)
注意:更加详细的管理策略设定,须由用户的IT管理人员根据自己企业的实际情况来进行制定。
3. 系统功能
Active Directory 是 Windows Server的目录服务。它存储着网络上各种对象的有关信息,包括人、计算机、打印机、应用程序、其他网络的信息,这样易于管理员和用户查找及使用。Active Directory 目录服务采用结构化的数据存储作为目录信息的逻辑局次结构的基础。Active Directory服务为组织、管理和控制网络上的资源提供基础构造和功能,它广泛支持各种Internet标准协议。
3.1 安全、统一的目录服务机制
目录服务提供一定空间,用于存储与于基于网络的实体相关的信息,例如应用程序、文件、打印机和人员。同时,该服务也提供用于命名、描述、定位、存取、管理及保证独立资源信息安全性的一致性方法。
采用安全、统一的目录服务机制的突出优势除了安全性外,还可实现“单一口令认证”(SSO,Single Signing On)功能。
单一口令认证是指企业用户在企业内部网络中只需登陆一次,就决定了其可能允许的操作,和可能存取的信息。
同时,为将不同的系统结合在一起并增强目录及管理任务,活动目录提供了一个中枢集成点。上述功能是依靠将Windows Server目录特性通过诸如LDAP、ADSI、JADSI及MAPI等基于标准的接口尽数开放来实现的,因此,公司能够加强现有的目录,并开发具备目录功能的应用程序和基础结构。
活动目录的益处能够向Windows环境的外延扩展。活动目录中的开放同步机制确保了Windows平台上众多应用程序和设备的互操作性。例如,对LDAP、JADSI及ADSI接口的本地支持使诸如Cisco、SAP、BAAN、及3COM等领先供应商能够将其产品不活动目录相集成,以提供对跨平台产品简化与强大的管理功能。
3.2 严格、周密的客户端桌面管理
在实现严格的安全、统一的目录服务机制的同时,活动目录(AD)给我们带来的优势还在不对客户端桌面系统进行严格、周密的统一控制、管理。
由于相对来说对桌面的管理较忽视,导致了大部分的病毒来源于内部用户的误操作,或安装了带病毒的软件。同时,很多企业IT人员的日常工作是帮助内部用户排忧解难,而这些又来源于内部用户对自己所属计算机配置的随意修改。
严格的桌面管理策略可以仍根本上杜绝上述想象,我们可以通过Windows Server
内嵌的 AD技术,并结合组策略(Group Policy)根据不同用户级别、使用范围进行细粒度的用户桌面控制,如:关闭普通用户对重要配置的修改能力、以及安装不必要的软件的能力、限制其登录桌面的显示界面等。仍而达到对客户端桌面实施严格、周密的管理。
4. 产品选型
本方案建议采用Windows 2008 R2系统作为活动目录系统平台。
鉴于活动目录服务是核心基础管理服务,操作频繁、访问量大、性能和可靠性要求均较高。所以建议采用高端服务器HP DL580 G7。
HP ProLiant DL580 G7(584084-AA1)(高端服务器)
类型
企业级机架式服务器
结构
4U
处理器型号
Xeon X7560
8核2270MHz
处理器数量/最大配置
4
缓存
24MB
内存类型
PC3-10600E DDR3
内存容量/最大配置
64GB(16x4GB)/1TB
硬盘
15K SATA/SAS/SSD热插拔硬盘
硬盘容量/最大配置
4块146G/4TB
磁盘阵列卡
1个智能阵列 P410i/1GB FBWC内置Smart Array P410i/1GB FBWC阵列控制器
RAID 支持
集成 RAID-0、RAID-1、RAID-5(因型号而异)
网络控制器
集成NC375i四端口1GbE多功能网卡
热插拔组件
电源、风扇、内存、硬盘驱动器和 PCI-X 适配器
管理工具
HP Insight Control 套件 24x7 支持
带 iLO 高级软件包的 Insight Control (iLO 3)
电源
标配4个1200W 热插拔冗余电源
有限保修
3年现场有限保修
第五章 数据资源共享服务
1. 建设目标
建立泽西矿产业务共享数据库,对共享数据进行统一存储,提高数据集成、共享水平,方便数据访问和提取。将CRM、ERP、HR业务系统的业务数据库进行整合和集中存储管理,针对这种全新的数据组织方式,配备专门的部门负责共享数据库的管理维护。
2. 技术方案
2.1 数据库迁移
信息系统数据迁移需要考虑的因素很多,比如操作系统类别、数据库类型、版本、数据结构、数据规模、最小允许宕机时间等等。
对于本项目,满足下列条件:
(1)操作系统一致
(2)数据库类型一致,均为Microsoft SQL Server,但版本有所差别
对于数据结构相同的数据迁移,常见有两种方式:先备份再恢复的方式和数据库文件分离与附加的方式。但无论哪种方式,均需要在不同数据库服务器之间,对数据文件或者备份文件进行拷贝和复制,因此我们建议在数据库迁移时尽可能减少数据库文件大小,便于进行处理,减少文件复制的耗时。
(1)备份与恢复
备份就是指对SQL Server数据库及其他相关信息进行拷贝,数据库备份记录了在进行备份这一操作时数据库中所有数据的状态,如果数据库因以外而损坏,这些备份文件将在数据库恢复时被用来恢复数据库。
恢复就是把遭受破坏、丢失的数据或出现错误的数据库恢复到原来的正常状态,这一状态就是有备份决定的。
(2)分离与附加
在SQL Server运行时,在Windows中不能直接移动SQL Server数据库文件,如果想移动SQL Server数据库文件,就要将数据库文件从SQL Server服务器中分离出去,分离后SQL Server服务器上不再有该数据库。
附加数据库的工作是分离数据库的逆操作,通过附加数据库,可以将没有加入SQL Server服务器的数据库文件加到服务器中。
一般来讲,数据库的分离与附加操作比备份与还原的数据库迁移方式要更迅速、便捷。通过分离数据库可以将数据库与服务器分离。附加数据库就是将存放在硬盘上的数据库文件加入到SQL Server服务器中。对于数据规模比较大的数据库迁移,我们建议采用这种方式进行。
在SQL Server中,每个数据库的数据库文件分为数据和日志两个文件。旧系统经过长时间运行,一般来说数据库的日志文件均比较巨大。如果最初按照SQL Server默认参数建立数据库的话,日志文件按照10%的增量递增扩展,将占用很大磁盘空间。
我们建议在做数据库迁移之前,根据用户需要,对数据库的日志文件进行清空、截断和收缩。这样一来一般数据库的日志文件大小可以缩小至几兆。在这里我们需要提醒用户的是,一旦进行了日志的清空、截断和收缩并且丢失了数据库的当前时间点备份,那么数据库自从上一次备份以来的数据将不可还原,这是尤其要注意的。因此一般我们建议用户在对日志文件进行上述处理时,需要做一次完整数据库备份。
2.2 共享数据库性能优化
2.2.1 性能影响因素
常见的影响数据访问速度的因素,有以下几种:
(1) 没有索引或者没有用到索引
数据库索引就像书籍中目录一样,使用户在访问数据库数据时,不必遍历所有数据就可以找到需要的数据。创建索引后,可以保证每行数据的唯一性,极大地提高数据检索效率,这是一中牺牲空间换取性能的方法。没有索引或者没有用到索引是数据访问速度慢最常见的因素,也是程序设计的一个缺陷所在。
(2) I/O吞吐量小,形成了瓶颈效应
I/O吞吐量是影响数据访问速度的客观因素(硬件因素)。在一定的硬件环境下,利用优化的部署方案可适当提高I/O吞吐量。
(3) 没有创建计算列导致查询不优化
计算列是一个比较特殊的列,不填写任何设计类型,用户不可以改变该列的值。计算列的值是通过一定的函数公式等以另一个或多个列的值为输入值计算出的结果。如果没相应的计算列,在一些数据查询的时候需要对已有数据进行计算,从而浪费一部分性能。
(4) 内存不足
对数据库数据的查询访问毫无疑问会占用大量的内存空间,当内存不足的情况下,数据的访问速度会受到明显的影响甚至访问出现超时情况,是影响数据访问速度的客观因素。
(5) 网络速度慢
网络速度慢是影响数据访问速度的客观因素。可通过提高网络访问的位宽来解决。
(6) 查询出的数据量过大
当查询出的数据量过大时,内存的占用、系统时间的占用等都影响数据访问的速度。可以采用多次查询、定位查询、和查询数据量控制来解决。
(7) 锁或者死锁
锁或者死锁在数据库数据访问时会造成访问者等待时间过程或者永久无法获取到资源。这是查询慢最常见的因素之一,是程序设计的缺陷,要尽量避免。
(8) 返回不必要的行和列
在一般的数据查询中,都尽可能多的获取数据信息,这样造成了不必要的数据遍历,大大的增加了数据访问的响应的时间。所以在一般的查询中,尽量查询少的行和列,将数据遍历时间降到最低以满足数据输出需求。
(9) 查询语句不够优化
在数据查询访问过程中,使用最频繁的是使用自定义的查询语句进行数据输出的。所以编写优化的查询语句能够很大程度上提高数据查询访问的速度。
2.2.2 性能优化
数据库性能优化主要是提高数据访问的速度,即提高数据库响应速度的性能指标。性能优化主要分为主观因素和客观因素两部分的优化。这里主要针对影响性能的客观因素进行优化。
(1)主观因素优化
主观因素主要是指服务器的硬件环境。主要优化有以下几个方面:
n 把数据、日志、索引放到不同的I/O设备上,增加读取速度,数据量越大,提高I/O吞吐量越重要;
n 纵向、横向分割表,减少表的尺寸(sp_spaceuse);
n 升级硬件;
n 提高网络访问速度;
n 扩大服务器的内存;配置虚拟内存:虚拟内存大小应基于计算机上并发运行的服务进行配置,一般设置为物理内存的1.5倍;如果安装了全文检索功能,并打算运行Microsoft搜索服务以便执行全文索引和查询,可考虑将虚拟内存大小设置为至少计算机中物理内存的3倍;
n 增加服务器CPU个数;其中并行处理比串行处理更需要资源。SQL SERVER根据系统负载情况决定最优的并行等级,复杂的需要消耗大量的CPU的查询适合并行处理。不过更新操作UPDATE、INSERT、DELETE不能进行并行处理。
(2)客观因素优化
客观因素主要指的是由于设计和开发中存在的缺陷和漏洞;主要优化有以下几个方面:
n 优化索引
根据查询条件建立优化的索引、优化访问方式,限制结果集的数据量。注意填充因子要适当(最好是使用默认值0)。索引应该尽量小,使用字节数小的列建里索引(参照索引的创建),不要对有限的几个值的字段建立单一索引(如性别字段)。
如果使用LIKE进行查询的话,简单的使用INDEX是不行的,全文索引又太耗费空间。LIKE ‘N%’使用索引,LIKE ‘%N’不使用索引。用LIKE‘%N%’查询时,查询耗时和字段值总长度成正比,所以不能用CHAR类型而采用VARCHAR。对于字段的值很长的字段建立全文索引。
重建索引DBCC REINDEX,DBCC INDEXDEFRAG,收缩数据和日志DBCC SHRINKDB,DBCC SHRINKFILE。设置自动收缩日志,对与大的数据库不要设置数据库自动增长,它会降低服务器的性能。
n 数据库部署优化
DB SERVER和APPLICATION SERVER分离,OLTP和OLAP分离。使用分区视图。分布式分区视图可用于实现数据库服务器联合体,联合体是一组分开管理的服务器,他们互相协作分担系统的处理负荷。
A、在实现分区视图之前,必须先水平分区表。B、在创建成员表后,在每个服务器上定义一个分布式分区视图,并且每个视图具有相同的名称。这样引用分布式分区视图名的查询可以在任何一个成员服务器上运行。系统操作如同每个成员服务器都有一个原始表的复本一样,不过每个服务器上其实只有一个成员表和一个分布式分区视图。数据的位置对应用程序是透明的。
3. 系统功能优势
业务共享数据库主要包括CRM数据库、ERP数据库、HR数据库等。通过各业务子系统数据库的集中存储管理,可提供以下功能优势:
(1)物理集中存储,降低维护成本
转变原有的分散数据存储和管理为物理上集中存储,逻辑上统一管理的模式,对共享数据进行统一存储,提高数据集成、共享水平,方便数据访问和提取。
(2)数据统一管理
大大提升数据资源的安全性、可靠性和可用性,以及数据库系统运行效率。便于建立统一的管理制度、标准和流程。
(3)全局访问
业务信息应用建立全局的数据视图,实现共享数据的集中性、逻辑访问整体性、数据管理自治性和协调性、数据存储的冗余性和透明性以及事务管理的分布性。
(4)性能优化
集中的数据存储和管理更便于在存储级和物理级进行数据库底层优化。
4. 产品选型
由于业务共享数据库是企业的核心数据库,为企业的大量应用提供数据支持,事务操作频繁、数据访问量大、稳定性、可靠性、安全性等方面均有较高的要求,同时考虑到和需要进行数据复制集成的现有各专项业务数据库的软件兼容问题,所以建议采用SQL Server 2008企业版数据库管理系统。
(1)服务器主机
鉴于业务共享数据库是水务数据中心的核心数据库,并发数高、访问量大、性能和可靠性要求均较高。所以建议采用高端服务器HP DL580 G7。
HP ProLiant DL580 G7(584084-AA1)(高端服务器)
类型
企业级机架式服务器
结构
4U
处理器型号
Xeon X7560
8核2270MHz
处理器数量/最大配置
4
缓存
24MB
内存类型
PC3-10600E DDR3
内存容量/最大配置
64GB(16x4GB)/1TB
硬盘
15K SATA/SAS/SSD热插拔硬盘
硬盘容量/最大配置
4块146G/4TB
磁盘阵列卡
1个智能阵列 P410i/1GB FBWC内置Smart Array P410i/1GB FBWC阵列控制器
RAID 支持
集成 RAID-0、RAID-1、RAID-5(因型号而异)
网络控制器
集成NC375i四端口1GbE多功能网卡
热插拔组件
电源、风扇、内存、硬盘驱动器和 PCI-X 适配器
管理工具
HP Insight Control 套件 24x7 支持
带 iLO 高级软件包的 Insight Control (iLO 3)
电源
标配4个1200W 热插拔冗余电源
有限保修
3年现场有限保修
(2)-存储设备
HP P2000FC 双控磁盘阵列柜
HP P2000FC 双控
产品名称
规格
数量
P2000 G3
磁盘柜
HP StorageWorks P2000 LFF 3.5”磁盘存储机箱
2个阵列控制器槽位,带12颗3.5寸硬盘插槽,冗余电源
1
P2000 G3
FC单控制器
HP StorageWorks P2000 G3 FC磁盘存储控制器,2 GB缓存;每个控制器有2个8Gb Fibre Channel 端口;最大支持64个主机;集成64个快照及卷拷贝;
2
HP HBA 卡
FC2142SR
4GB PCI-e HBA单通道
2
HP 光纤跳线
5米LC-LC 多模光纤通道电缆
2
HP 硬盘
HP P2000 300GB 6G 15K rpm 3.5英寸双端口SAS硬盘
8
第六章 协同工作环境建设方案
1. 建设目标
协同工作环境建设主要包括企业邮件服务和集团电话两项建设任务。
2. 企业邮件服务建设
2.1 技术方案
2.1.1 方案选型
泽西矿产企业目前共有邮箱用户110个左右,邮件系统采用第三方服务平台。为了提高企业形象和邮件系统服务能力和管理能力们建议采用占全球企业邮件62%市场份额的邮件系统——微软Exchange Server 2010,采用集中部署的方式实施<客户名称>的电子邮件系统。Exchange Server 2010 可以提供丰富的访问功能、内置安全防护以及企业级的管理平台。采用Exchange Server 2010电子邮件系统,既能满足企业在业务、应用、信息和基础设施建设方面的现状,也能满足<客户名称>在对管理方面对邮件系统的要求,实现面向泽西矿产最终用户的,易于管理维护,高可靠性和安全的电子邮件系统。。
2.1.2 域名确定
外网邮箱域名建议采用CMPTJ.COM,待客户最后确定。
2.1.3 存储设计
Exchange有Single instance storage的存储特性,即一份较大的邮件如发给1000个人,则其实际所占存储空间仅为存储一份邮件的空间,而不是像其它那样采用较落后浪费存储空间的存储结构。
(10) 邮件系统正常运行存储
Exchange Server 2010中的存储容量主要包括邮箱用户分配的空间、邮件日志空间、邮件索引空间、保留已删除邮件所占空间和系统运行预留空间。
除了附件之外,用户可能在其邮箱中存储了太多的电子邮件、语音邮件和传真邮件。如果用户存储了大量电子邮件、语音邮件、传真邮件和附件,则必须限制为每个用户邮箱分配的存储空间,从而减少对运行 Exchange Server 2010 的计算机的存储需求。大型邮箱存储经常会导致备份和还原的时间较长。大型邮箱存储还可能会影响 Exchange 环境的可用性和可靠性。因此,建议您控制用户邮箱的大小,以避免耗尽 Exchange 服务器上的存储空间。如果用户没有配置存储配额或配置的存储配额较大,则可能会占满 Exchange 服务器上的磁盘驱动器。通过为用户邮箱启用并配置存储配额可以避免该情况。默认情况下,开始第一次安装时,每个新邮箱数据库都包含以下默认限制:
l 警告 - 1991680 KB
l 禁止发送 - 2097152 KB
l 禁止发送/接收 - 2411520 KB
配置了存储配额之后,如果超过了存储限制,将向已启用邮箱的用户发出警告或禁止其发送或接收电子邮件。可以使用默认的存储限制,也可以设置自己的存储限制来控制用户邮箱中可以存储的数据量。
(11) 泽西邮件系统此次限制每个用户的存储空间为2000M
则邮件系统对空间的需求可简单计算如下:
总体存储需求=每用户分配的空间*用户总数+日志空间+索引空间+保留已删除邮件所占空间+预留空间
每用户分配的空间*用户总数=2000M *120 = 240G
索引空间+保留已删除邮件所占空间+预留空间 大约为用户邮箱的20% ,即:
索引空间+保留已删除邮件所占空间+预留空间 =
240G * 20%
= 48G
按每周备份计算,日志空间为一周邮件大小的2倍左右,约为100G
合计邮件存储空间约为:240+48+100=388G
对Exchange而言,其存储是动态增长的,即不会在系统一运行的时候就固定占用240G空间。当大多数用户未接近其邮箱配额时,数据库将占用较少空间。随着用户不断接收/发送邮件,其邮箱大小将不断增加,整个Exchange数据库的大小会随着用户的邮箱变大而不断变大。当所有用户的邮箱大小都接近其邮箱配额,即2000M时,整个邮件数据库占用的空间也将接近240G。
当已经使用完预定义的240G空间后,即所有用户都到达邮件容量的限额2000M后,管理员可以增加磁盘的容量,并为有需要的用户分配更多的邮箱容量。
2.1.4 邮箱设计
(1) 邮箱的属性
内部员工(经过批准后),均可建立邮箱。为了便于查找和管理,对于每个邮箱,部分属性是需要在建立账号或邮箱的时候必须要填写。
(1) 姓
(2) 名
(3) 显示名称
(4) 别名
(5) 城市
(6) 省份
(7) 工作职务
(8) 办公室
(9) 电话
(10) 上级领导
(11) SMTP地址
(2) 邮箱存储位置
在邮件系统的存储设计上,为了方便管理我们建议采用单一存储组方式。
(3) 邮箱协议支持
对于每一个邮箱,通常可以支持以下几种协议:
1. HTTP/HTTPS: Hypertext Transfer Protocol
2. POP3:Post Office Protocol version 3
3. IMAP4:Internet Message Access Protocol version 4
4. MAPI:Messaging Application Program Interface
5. ActivcSync:移动设备使用的邮件访问方式
(4) 服务器策略
服务器策略是可以影响整个服务器的参数,因为考虑到服务器中的各个存储的参数不同,所以暂时不设置服务器策略。
(5) 邮箱存储策略
§ 邮箱默认的公共存储:Public folder Policy
§ 每周三、周六凌晨23点到次日3点进行数据库磁盘碎片整理
§ 每个邮箱容量超过1900M的时候发出警告
§ 邮箱最大容量是2000M
§ 发送接收邮件的最大为100M
§ 每天凌晨5点检查邮箱大小,发送警告信息
2.1.5 邮箱客户端规划
Exchange Server 2010支持多种类型的客户端,使得用户无论在什么地方都可以方便,快捷地访问到邮件系统。并且,客户的邮件、联系人、日程、任务等数据和设置信息如邮件规则全部都存储于服务器上,无论使用哪种客户端,都可以获得一致的用户体验。
Exchange Server 2010可以支持的客户端包括:
(1) Outlook客户端
使用Outlook 2003可以获得最为强大和丰富的功能,包括本地缓存模式、本地的地址簿、共享日历、联系人等。
(2) Outlook Web Access(简称OWA)
通过浏览器(如IE)可以直接访问邮件系统,Outlook Web Access几乎提供了Outlook客户端的全部功能。
(3) POP3或IMAP客户端
任何支持POP3/SMTP协议的客户端如Outlook Express或者IMAP客户端都可以访问本系统
(4) Exchange ActiveSync
ActivySync提供对Windows Mobile操作系统支持的智能设备如Pocket PC和Smartphone等的支持。
2.1.6 服务器部署与安全性
采用单台邮箱服务器方案,服务器部署在企业内网,整个邮件系统建立合理的网络安全方案,具有一定的反垃圾邮件功能,利用专门的备份系统实现用户、邮件数据网络备份和还原。
2.2 系统功能优势
2.2.1 手机直推邮件
无须额外服务器和服务,Exchange Server 2010 默认支持手机(如智能手机、Pocket PC等)实时获取和更新用户邮件、日程安排和联系人的信息。服务器一有新邮件抵达,立刻推送至手机上。结合移动办公解决方案,管理人员可以摆脱计算机的束缚,直接在手机上批复公文。
2.2.2 统一消息
Exchange Server 2010不再只是存放邮件、日程信息和联系人,组织的语音留言和传真也都可以被Exchange Server 2010统一管理起来。用户只需要通过访问收件箱,就可以访问到邮件、日程安排、联系人、语音留言和传真。同时,Exchange Server 2010还是一个会听话并且能说话的邮件系统。用户可以通过普通电话来访问邮件系统,并语音控制它读取邮件或者日程安排。Exchange Server 2010会依据邮件的编码选择合适的语言将邮件内容由文字转换成语音的方式,通过电话读给用户听。
2.2.3 为法规遵循和邮件保留所提供的邮件记录功能
安全,法规遵循和邮件保留是邮件系统规则管理的核心。邮件记录是法规遵循的一个重要组成部分。某些管理规则需要具备对邮件组用户所收到的邮件进行审计的功能,该功能对于组织的内部策略或审计非常有用。Exchange Server 2010记录的邮件可以保存在Exchange数据库中,SharePoint站点或者可以发送到任何由第三方邮件记录公司使用的外部SMTP地址。在Exchange Server 2010中,可以通过设定记录范围来决定记录哪些邮件。设定的范围可以是单个邮箱、一个邮件分发组,一个数据库或者整个组织。语音邮件信息和未接来电提醒可以排除在记录之外。而且一份邮件记录的详细报告包括了诸如收件栏,发件栏,抄送栏,密送栏的信息和邮件组信息,以及其它元数据。
2.2.4 最佳的可用性
提高Exchange邮箱服务器可用性的一个方法(不再是唯一方法了)是使用Exchange群集技术。使用两个或多个节点组成一个Windows群集,由Exchange提供冗余服务器,这样如果一个节点或一个节点上的服务出现故障,其它节点可以进行接管并继续提供Exchange服务。Exchange群集技术中Exchange服务是冗余的,但Exchange邮箱数据库却不是。因此,Exchange群集技术是通过对Exchange服务增加冗余来提高可用性;到目前为止,数据库的冗余只能使用第三方的硬件或软件解决方案。Exchange Server 2010提供了新的群集选项,它允许服务和数据库在出现故障时都转移到某个被动节点,因而同时提供了对服务和数据库的备份。Exchange Server 2010使用了相同的群集技术在多个节点间复制数据库,它也允许一台单独的服务器在本地复制其数据库,提供了本地信息存储的最新副本,如果主数据库宕掉,可以用该副本进行安装。
2.2.5 内置多引擎的防病毒系统
对于用户自行管理和维护的病毒防护,反病毒软件提供商和客户可以从Exchange Server 2010提供的新的传输代理API中获益。通过该API,软件提供商可以编写反病毒代理来与Exchange内建的传输代理直接交互。因为信息是通过边缘传输服务器或中心传输服务器进入组织的,传输服务器可以调用反病毒代理来检查信息并过滤那些包含病毒的信息。
Exchange Server 2010还提供了一个全面的反病毒解决方案。Exchange Server的Forefront Security 为Exchange边缘传输角色、中心传输角色和邮箱角色提供了全面的病毒保护功能。Exchange Server的Forefront Security使用带有内容过滤功能的多重扫描引擎,提供了层次化的保护来抵御带有病毒的信息。
2.2.6 内置豪华垃圾邮件过滤组件
Exchange Server 2010扩展了早先版本Exchange的反垃圾邮件功能提供了多层保护措施,以多种不同的方式来阻止垃圾邮件。
(5) 安全发件人集合:为了减少将合法邮件误判为垃圾邮件的概率,Outlook用户创建的安全发件人列表会传送到中心传输服务器,然后再传送到边缘传输服务器(在DMZ区中),来自这些用户的消息将会被直接路由进入组织。
(6) Outlook电子邮戳:Outlook 2010可以为每一封邮件创建一个问题和答案,这称为邮戳,它被附加到每一封要发出的邮件中。邮戳的创建和解密需要花费一定的CPU周期。垃圾邮件发送者通常没有时间或计算资源来把每一个复杂的问题和答案附加到数千封要发出的邮件中,所以他们不会使用问题和答案。因此,当Exchange接收到一封带有邮戳的邮件时,Exchange会通过验证它的问题和答案来判断邮件是否是垃圾邮件。邮戳越复杂,邮件是垃圾邮件的可能性就越小。
(7) 垃圾邮件隔离:除了Outlook和OWA客户端带的Outlook垃圾邮件隔离功能外,现在管理员可以复查并隔离可疑的垃圾邮件。然后从隔离的邮件中删除或释放用户的邮件。
(8) 发件人的信誉:发件人的信誉是动态分析并更新的。当边缘服务器侦测到来自某一域的相应趋势时,它会采取具体的行动来处理,包括隔离信息或拒绝信息进入企业内网。
(9) 边缘服务器上的内容过滤:当垃圾邮件发送者改变策略并使用新的方法来避免被检测时,这时垃圾邮件内容过滤器会自动更新来保持对垃圾邮件的控制,因此它可以保护您的组织,而不会增加您的工作量。
2.2.7 多种访问方式,一致的使用体验
在Exchange Server 2010强大的移动特性的支持下,用户可以通过Outlook客户端、Web浏览器、手机、普通电话、POP3或者IMAP4客户端来访问和管理自己的邮件、日程安排、任务和联系人。所有这些客户端,无论从用户界面、操作方式还是从提供的功能来看都和Outlook非常接近,这不仅为用户提供了良好的使用体验,同时也减轻了企业的系统维护和管理人员的培训工作量。
(1) Outlook:使用Outlook可以获得最为强大和丰富的功能,包括本地缓存模式、本地的全球地址簿、共享日历、联系人等。无论在线还是脱机都可以正常工作。当用户在外出差时,还可使用Outlook无处不在功能在局域网外安全地连接Exchange服务器。
(2) Web 浏览器(Outlook Web Access):通过Web浏览器(如IE)就可以直接访问Exchange,Outlook Web Access提供了Outlook客户端的98%的功能,如收件人地址的自动完成功能、日程安排通过鼠标拖拽就可更改日程时间等。
(3) 智能掌上设备:
(4) 普通电话:通过Exchange Server 2010新增的强大的统一消息功能,用户既可以在邮箱中接收到自己的语音留言和传真,还可以通过普通电话来访问自己的邮箱,让Exchange Server 2010为您读出你的新邮件、语音留言和日程安排,并可以用声音控制Exchange Server 2010发语音留言、变更日程安排和拨打联系人电话。
(5) POP3和IMAP4客户端:Exchange Server 2010支持传统的POP3和IMAP4客户端访问方式。
2.2.8 保证复杂网络环境下用户的使用体验
优化的握手协议和数据压缩能够减小网络数据流量,给窄带环境下的用户更流畅的使用体验;Outlook的Exchange缓存模式能够自动在离线/在线状态间切换,减少对用户工作的打断;Exchange Server 2010独有的Outlook无处不在功能使得企业不必部署VPN/RAS也能让外网(例如在家或出差)的用户能够使用Outlook安全地连接到位于企业内网的Exchange邮件服务器,而开放的端口仅仅是80/443(HTTP/HTTPS)。
2.2.9 强大的日程管理功能
(1) 用户可以通过日程管理功能简化并自动化对人员与资源的日程安排。
(2) 日程助手:日程助手根据与会人员和资源的日程安排分析他们的忙闲状态,以颜色编码的用户界面显示全自动的为会议发起人建议举行会议的日期和时间。
(3) 日历助手运行在Exchange 2010服务器上,不需要任何最终用户的交互,它将收件人日历中的会议请求标记为临时请求,一直到用户提交该请求为止。同时,日历助手会删除同一个会议请求的历史版本,确保了您邮箱中的日历请求是最新版本的。
(4) 资源预定助手 也运行在Exchange 2010服务器上,不需要任何最终用户的交换,它管理着资源的可用性并允许使用资源策略,如可用的小时数和日程权限。
2.2.10 Web方式查看文档
包含在 Outlook Web Access 2010中,它能把多种文档格式——包括Microsoft Word,Microsoft Excel,Microsoft PowerPoint以及PDF文件——从它们原来的格式转换为HTML格式,这样即使客户端没有安装创建文档的应用软件,也可以在客户端浏览器中查看它们。这一功能使用户可以在几乎任何一台机器上获得高效的生产力并保证所查看文档的安全性,甚至是在公共计算机上,因为Outlook Web Access会在用户退出或会话超时时删除HTML文档。
2.2.11 在垃圾邮件和病毒到达您的组织之前进行防护
微软还可以通过微软®Exchange Hosted Filtering服务为您的组织提供反垃圾和反电子邮件病毒保护。该服务是微软®Exchange Hosted Services服务套件的一部分,通过Exchange Hosted Filtering服务,您可以获得与使用了带有Forefront Security的边缘服务器同样的效益,但是对这些服务的管理是由微软来完成的。在信息到达您的组织之前会对它们进行垃圾邮件和病毒的清理。Exchange Hosted Filtering使用多重过滤为您的企业提供主动保护,使企业远离垃圾邮件、病毒、仿冒和违规的电子邮件的影响。
2.2.12 消息传输和认证的安全性
(1) Exchange Server 2010使用SMTP在组织内部的Exchange服务器之间传输信息。所有在Exchange Server 2010组织内传输的信息缺省就是加密的。服务器与服务器间的传输使用传输层安全协议(TLS),Outlook的连接使用加密的远程过程调用(RPC),客户端访问(Outlook Web Access,微软
® Exchange ActiveSync®和Web服务)使用SSL协议。这种方法阻止了欺骗并保护了信息的机密性。
(2) Kerberos认证服务用来进行认证,简化的安全传输层协议用来进行加密。TLS在Exchange Server 2010中进行了简化,因为它使用自身指定的SSL认证。因为每一台Exchange服务器都自动配置了SSL证书,内部的Exchange服务器不仅能用SSL对信息进行加密,而且可以加密发送给外部SMTP服务器的消息进行加密,只要接收邮件的外部SMTP服务器也被配置为可以使用TLS收发信息即可。
2.2.13 简化Exchange的管理
Exchange Server 2010的一个主要目标是使Exchange管理员的工作变得更简单和更高效。日复一日的维护,监控和故障排除工作在小型或大型组织中可能会成为一种负担。Exchange Server 2010提供了新的工具和特性,旨在简化Exchange的管理,以满足服务等级协议(Service Level Agreements)的要求,并通过预先维护和监控避免问题的产生。
(1) 改进管理方式的工具:Exchange Server 2010引入了一个基于模块服务器角色的架构,以解决企业对于改变信息的需求。同样,Exchange Server 2010包含了一个新的图形化管理工具。Exchange 管理控制台是一个基于Microsoft 管理控制台 (MMC) 的工具,它反映了架构的变化,可以对服务器角色进行独立管理,可以实现新的管理模型,而无需管理组或路由组。
(2) 强大的脚本工具——Exchange管理外壳程序:Exchange管理控制台使用了一个功能强大的脚本技术,叫作Exchange 管理外壳程序。Exchange 管理外壳程序基于Windows PowerShellTM技术,它是一个命令行工具,您可以通过它操作功能强大的命令集,这些命令集由动词-名词对组成。通过PowerShell,您可以用最少的代码编写复杂的任务脚本或者在外壳程序提示符下交互式地执行任务。凭借外壳程序,您可以通过执行命令来访问并影响许多不同的资源,包括邮箱数据库,注册表以及Active Directory。
2.3 产品选型
由于邮件系统是企业协同工作的核心系统,为企业的大量应用提供数据支持,事务操作频繁、数据访问量大、稳定性、可靠性、安全性等方面均有较高的要求,所以建议采用Exchange 2010标准版服务器软件。
推荐硬件配置如下:
3. 集团电话建设
随着信息技术和通信技术的日益发展、通信工具的不断普及,现代生活中人们的通信方式越来越多样化。企业员工在处理工作时,要面对多种通讯工具,包括电话座机、手机通话、手机短信、传真、电子邮件、即时通讯软件等。每天,人们要用手机与他人保持联系,通过电话检查语音信箱中是否有新的留言,上网查询是否收到新的电子邮件,通过传真机来收发传真……。工作越来越繁琐,人与人的沟通变得越来越复杂,而效率的提升却并不明显,企业如何增强自身的通讯能力,以提升企业的竞争力,让员工更有效率的工作,并缩短与客户之间的沟通距离便成为当前急需解决的问题。面对如此问题,能否找出一种方法来把这些通信手段结合到一个公共平台,以简化我们的生活、提高沟通的效率呢?
于是一种新的业务模式应运而生,那就是统一消息业务,它能将不同的信息技术和网络结合起来,将语音、传真、移动短消息、电子邮件等所有信息在同一位置存储和管理,用户可在任何时间、任何地点通过电话、传真、手机、PC等任何一种通信设备发送与接收信息,按用户自己最有效的方式管理信息,从而提高效率和消息的获取率、节约成本和时间。而通过灵活智能的信息管理方式,可使得信息服务更加个性化和智能化。
3.1 需求分析
XX企业电话通讯主要依托于联通30路电话进线直通于办公室桌面,未设计企业级电话交换机,因此无法实现电脑话务台与分级导航,随企业壮大和在行业中领导地位建立,已经无法提升企业整体对外形象。此外,外线过多亦增加整体电话租费成本。
配合企业统一通讯平台建立的需求,一套完整的UC统一通讯平台,成为当务之需。
3.2 系统概述
针对目前企业的具体需求,结合收敛中继线路的需求,我们特提供以下针对性的统一消息解决方案——UC Server。
UC Server是集成各种通讯方式(电话、传真、手机、语音留言、短信、电子邮件和即时消息),并对各种信息加以智能管理、转换、分发、存储的新一代实时通讯系统。
UC Server提供用户在一个集成的信箱里管理不同媒体的信息,它可以存储转发来自各种终端的各种类型的信息, 如语音、电子邮件、传真、短消息(SMS) 、即时消息(Instant Message)等,用户可以随时随地通过电话、传真机、PC机(通过Internet网络)、手机及PDA设备收发信息。用户按自己最有效的方式管理信息,从而提高效率和消息的获取率、节约成本和时间。而通过灵活智能的信息管理方式,可使得信息服务更加个性化和智能化。
3.3 系统特点与优势
UC Server具有如下优势或好处:
(一) 员工可以通过UC Server受益:
n 所有信息和数据一目了然,不管是在电脑、电话还是手机上。
n 所有数据和信息存储在统一平台,便于存储和查询。
n 熟悉的用户界面,不用培训就可使用。
n 离开办公室后任然能使用。
n 提升个体工作效率。
(二) 企业可以通过UC Server受益:
n 降低管理和沟通成本。
n 提升企业整体工作效率。
n 加快业务流程,减少决策时间。
n 加快响应速度,提高客户满意度。
n 紧密集成企业业务系统,有效提升企业竞争力。
(三) 统一各种消息:用户的所有通信信息统一存储在一个信箱中,只须用一个账号接入系统,就可以获取所有信息。
(四) 统一管理:对各种通信以及信息进行集中简单的管理。
(五) 强大的兼容性:兼容大多数企业现有信息系统,建立系统时将保留企业原有的系统和设备。
(六) 安全高效的传真收发技术。
n 数据保存在数据库中,数据安全有保障。
n 数据分为前台和后台存储,保证数据一致性。
n 支持国外和国内多种品牌和型号的高速传真板卡、SIP传真。
n 多种文件的格式转换技术。支持Office文档、pdf、html、rtf、txt、jpg、gif 等多种文件格式。
(七) 安全的用户管理和验证技术。
n 集成Windows用户验证机制。
n 单点登录技术。
n 多级的组织结构管理。
(八) 先进的语音合成技术和文本朗读技术(TTS)。将用户邮件正文中的文本以及txt、doc等附件合成为语音,并在电话中播放给用户听,同时可直接播放附件中的语音文件。
(九) 与邮件服务器的通信基于POP3、SMTP、IMAP、ESMTP等国际标准的邮件协议,支持多种邮件服务器的邮件收发。
(十) 通讯融合,兼容多种通信协议。如:E1、SS7、模拟、ISDN、H.323、SIP、SMPP、CMPP、SGIP等,将各类通讯渠道(电话、传真、Internet、GPRS、Email、VoIP、SMS、VoiceMail 等)接入的信息统一排队、统一管理、统一发布。
(十一) 媒体资源共享。通讯渠道共享媒体资源(语音、传真、数据),如在Web服务上实现语音服务,在短消息上实现Email等。
3.4 系统结构
UC Server系统全景图
UC Server拓扑图
3.5 AVAYA IP Office简介
AVAYA IP Office围绕基本语音通信需求,充分利用内置融合功能,并借助功能强大的统一应用,为您的用户和客户提供了卓越智能通信。它能够简化流程,优化系统之间的信息交换,创造简洁、高效的通信体验。
AVAYA IP Office适用于下设多个办公地点的企业,为此类企业提供了独特的站点间功能与特性透明性。企业可以连接最多32个站点,让所有IP Office设备彼此无缝通信。您不但能消除站点间通话成本、共享消息、话务员、办公室通讯录等,还能从单一界面管理全部系统,或是经济高效的快速架设远程分支站点,避免全配置办公室所需的不必要的高额投入。电话系统联网能力和办公室之间的消息系统共享在减少企业前期投入的同时,还有助于提高长期工作效率。
AVAYA一贯致力于帮助世界各地的不同规模企业利用通信促进销售增长,降低运营开支,在此过程中自身也成长为企业通信系统的全球领袖厂商。作为一套多用途融合通信解决方案,IP Office将传统语音通信系统的出色可靠性与易用性同IP语音通信解决方案的丰富应用和强大优势集于一身,可协助企业降低成本,提高效率,提升客户服务水平。
CF卡插槽 (内置语音信箱和保留音乐)
最大 8 扩展模块
LAN/WAN (Ethernet)
功能锁插槽
外接继电器接口
外接保留音乐
通用插槽 (4)
IP Office 500 v2外观
IP Office融合通信的优势
3.6 系统功能
3.6.1 电话功能
n 来电弹屏
当用户的分机(包括模拟分机、数字分机、IP分机)和UC Server中的账号进行绑定设置后,电话就能和UC Server统一起来了。
当有电话拨入你的分机时,在UC客户端会有来电弹屏提示,自动根据来电主叫查找地址簿中的联系人信息并显示在弹屏界面。
n 添加联系人和电话备注
如果是新客户来电,您可以点击上图中的“”添加联系人信息,如下图:
添加联系人
如果您需要对此次通话进行备注记录,可在通话历史记录中选择记录后添加,如下图:
n 电话状态
可以在组织架构中看到电话分机的状态,表示话机空闲,表示忙线,表示振铃,表示通话中。如下图:
电话分机状态
n 拨打电话
您可以在组织架构中点击联系人的电话图标,然后在弹出菜单中选择拨打的电话号码即可开始呼叫,如下图:
右键菜单拨打电话
您还可以通过输入外部联系人的号码实现电话或手机外呼,通话中,可实现保持、转接电话等功能。如下图:
电话拨号
如果外部联系人的资料已添加到通讯录中,可以直接点击联系人列表后面的话机图标开始拨号。如上图所示。
n 代接电话
可以实现代接其他同事正在振铃的电话。
n 电话会议
通过选择联系人可以实现邀请式电话会议,或参加会议的人员拨入会议室的电话号码实现拨入式电话会议。(该功能需要电话交换机的会议授权和参数设置)
n 电话记录
所有接听、外拨和未接电话将被自动记录,方便随时查询,如下图所示:
可以在类型中选择“”来查看全部的历史通话记录,如下图:
n 回拨电话
在查询来电记录的页面,可以查询出近期的电话记录,选择电话记录后右键菜单实现电话回拨。如下图:
n 语音导航
使用IPO语音导航可以对企业总机和客服热线进行引导,同时也可以通过借助第三方IVR设备实现自动外呼功能。还可以通过IVR实现分机无人接听转手机,分机忙线转语音信箱留言等功能。借助第三方的TTS软件,还可以通过IVR实现语音听邮件、短信等功能。
具体功能如下:
u 呼叫类:
可实现来话应答、挂机释放、电话呼出、取消呼出、发送后续被叫号码、分配坐席、取消分配坐席、模拟外线拍叉簧指令、电话转接、与对方通话、监听对方通话、强插对方通话、结束通话、设置变声(变女声、变男生、机器人声)、噪声抑制、音量增减、设置会话通道号、发送消息到电脑坐席、发送短消息、话务员登录、话务员退出、取ACD队列信息等功能。
u 录音放音类:
可实现DTMF按键收码、放音规则定义、ASR规则定义、改变放音音量、单文件放音、多文件放音、合成串放音(日期、时间、金额、数字、数值、字母、TTS合成文本等)、多语音合成放音、文本串转语音、文本文件转语音、发送DTMF、
会议室放音、提示“嘀”音、会议录音、发送信令、发送FSK、播放信号音等功能。
u 通道交换类:
可实现通道连接(单向、双向、彩话)、三方通话等功能。
u 电话会议类:
可实现创建会议、加入会议、加入会议密码、释放会议资源、退出会议等功能。
u 数据库操作类:
可实现访问多种类型的数据库(如SQLServer、ORACLE、SYBASE、MySQL、ACCESS、DBF、Excel)、查询数据操作、关闭数据库、根据字段序号取字段值操作、前一记录、后一记录、首记录、末记录、移动记录、插入记录操作、修改记录操作、删除改记录操作、开始计费、自动写话单、根据字段名称取字段值操作、执行存储过程操作、取存储过程输出参数值、根据余额取最大通话时长、外部数据通信查询指令(调用外部数据网关)、读数据表当前记录等功能。
u 业务逻辑类:
可以实现子窗口调用、响应事件指令、条件跳转指令、If条件转移指令、产生事件、建立/释放互斥指令、外部窗口调用等功能。
u 文件操作类:
可以实现检查文件路径、创建/删除文件路径、取文件个数、取文件名、改
文件名、拷贝文件、删除文件、打开/关闭文本文件、读/写文本文件等功能。
u 收发传真类:
可以实现发送传真、接收传真等功能
3.6.2 传真
能实现电子传真的发送与接收,并支持群发传真,内部转发传真,定时发送传真,发送传真带封页、页面等功能。接收到的传真可以根据来电号码、拨入的DTMF分机、传真机名称、通道、条形码等方式自动分发到用户信箱。
发送传真页面
接收传真页面
3.6.3 邮件
可直接发送邮件、群发邮件,直接从地址簿中选择Email 发送邮件,接收。
并处理邮件。可以和pop3/smtp标准邮箱集成,也可以和Exchange和Domino Note邮件服务器等集成。
发送邮件
接收邮件
3.6.4 短信
(本项目为选件,需配备短信猫)。
支持短信猫和短信平台(SP),实现短信发送、群发,从地址簿选择群组发送,也支持导入号码文件直接发送。
短信发送
注意:短信功能为可选模块,目前需要使用短信猫等硬件或运营商的短信平台通道才能实现。
3.6.5 录音
能对分机的通话全程录音,可对录音文件进行查询、听取、质检、下载等。
3.6.6 语音留言
分机忙线时,如果不需要直接转到手机,可以提示对方留言。您可以通过Web的收件箱收听这个语音留言,也可以通过电话听取留言。
3.6.7 地址簿管理
将客户资料的各种联系方式整合在一起提供给电话、传真、邮件、短信等业务。可将联系人分为公共、部门、个人、共享等组类型。公共联系人可隐藏信息。提供私人电话薄功能,可以共享给其他用户或部门、也可追加到公共电话薄中。联系人的导入导出功能将使用户更方便的管理通信录。可以直接查找联系人电话拨号。地址簿信息加密存储 ,防止外泄。如下图:
3.6.8 消息提醒
传真、邮件、短信等发送成功或失败,传真、邮件、短信等接收成功均有消息提醒。如下图:
3.6.9 用户同步
支持LDAP协议,可以从AD同步组织架构和用户信息,包括用户的账号、邮件、电话、传真等信息。也可以从OA\CRM\ERP等系统中同步用户数据。同步的方式一般为WebService接口调用或者访问数据库表。可以设置同步时间定时同步。
同时也支持UC与业务系统之间的用户同步。用户只需要在业务系统中添加,无须在UC中再次添加组织架构和用户。
3.6.10 统一消息
使用UC Server后,可以实现传真、短信、邮件、语音留言、及时消息等之间的统一消息,并且可以根据设置选择不同的媒体接收、处理。
例如重要电话未接,可将该号码通过短信通知到用户手机,或者座机无人应答时将来电转接到手机。发送传真成功时给接收方发送短信提醒,发送传真失败时自动以邮件方式发送。可以实现邮件方式发送、接收传真,接收到的传真可以直接以Email方式转发。可以将文字转换成语音格式,也可以将语音转换成文字信息处理。传真、邮件、语音留言接收后可以通过消息提醒,可以发送短信提醒,也可以通过语音通知提醒。还可以将语音留言文件发送到指定的Email信箱等。
3.7 UC系统环境要求
3.7.1 语音交换平台系统
本解决方案中,我们采用AVAYA公司的IP OFFICE 500融合通信服务器来构建呼叫中心的语音交换平台。
Avaya IP Office产品系列旨在通过简单但是功能强大的通信工具,解决家庭办公环境、小型办公环境和中型企业所面对的复杂通信难题。
今天的商家致力于寻求高性价比的途径,以追上不断变化的技术脚步。随着技术的进步,其价格变得越来越可承受,使得中小型企业能够向VoIP解决方案过渡。这一理想的解决方案可满足目前的传统混合语音及数据系统的需求,同时可支持IP,以满足您对未来下一代服务的要求。Avaya IP Office是一种一体化的解决方案,提供了数据路由和电话应用。与其它传统的PBX或纯IP解决方案不同,IP Office可保护您现有的投资,填补介于过去的电路交换PBX同未来的纯IP解决方案之间的空隙。IP解决方案的应用会带来许多公认优势,它可降低企业的总体通信成本。此外,IP Office还可为CRM、CTI及远程工作等应用提供轻松接入,协助您更好的服务于您的顾客,吸引和维持高质量的联系。VoIP还可用于从几个小型分支机构轻松创建虚拟企业,使企业能够以更小的本地代价无缝提供卓越的客户服务。
在向纯VoIP环境迁移的过程中还存在一些风险。选择有经验的、业绩良好的厂商至关重要,这可以保证可靠性和语音的质量。此外,最终解决方案可提供同传统语音及数据网络的互操作性也是非常重要的。
Avaya在通信领域长期居于领导地位,包括在财富500强企业及许多政府机构中高百分比应用的全面电话特性。Avaya™ IP Office提供了开箱即用的真正的融合解决方案,包括:
n 全面PBX 及Key System功能
n T1/PRI和模拟网络中继选件
n 共享、安全高速互联网访问(最高2 Mpbs)
n 基于标准的IP电话
n H323网闸和网关
n QSIG 网络
n 语音及数据呼叫的智能呼叫路由
n 互联网 或分支到分支路由,包括NAT和DHCP 的IP地址共享
n LDAP 客户端支持
n 传统电话和/或IP电话(硬件电话和软件电话)
n 办公室管理器管理工具
n 内置的最高2个64方会议资源
n 中小企业呼叫中心灵活的解决方案
AVAYA呼叫中心解决方案是以交换机和计算机电话集成技术(CTI)为核心,并结合了自动语音应答系统,数据库技术的现代呼叫中心解决方案。它可以提供多种接入手段和通信方式,包括传统电话、传真、电子邮件、因特网浏览、手机、短消息等几乎所有现存于电信和Internet的应用形式,客户可通过多种接入方式进入呼叫中心,享受呼叫中心提供的多种服务。
作为全球呼叫中心领域的公认领导者,AVAYA提供了一整套功能丰富的呼叫中心产品,在本次项目中,我们所提供的主要产品包括:
n 功能设计先进的呼叫中心电话接入平台IP Office 500 V2交换机,它单机最大支持3E1,190个分机;
n 交换机内置的功能丰富的呼叫中心软件包(ACD);
n 用于计算机电话集成解决方案的AVAYA
CT中间件产品TAPI。
本次系统方案设计采用集中控制管理,集中接入和处理的设计思路,将来根据业务的需要还可以增加远程座席。
系统的主要组成情况如下:
n 采用AVAYA IP Office 500 V2交换机作为语音通信系统的核心接入交换平台。
n 在AVAYA IP Office 500 V2交换机上配置1块16路模拟中继模块提供中继与PSTN网络联接,建议:如果运营商处条件具备,最好申请一条30B+D的数字中继。
n 开放AVAYA IP Office 500 CTI接口,以便联接第三方的数据系统及业务应用;与第三方的联接采用IP的方式。
n AVAYA IP Office 500 系统内置语音导航、语音留言、2个64方电话会议及大量的办公通讯功能。
n 配备38路模拟用户接口及8路数字用户接口,总容量46门。
3.7.2 统一通讯系统硬件环境(500用户以内)
名称
描述
备注
CPU
Xeon E5506 2.13GHz
双核CPU
内存
4GB
DDR3
硬盘
500GB
建议配置1T或2T硬盘
网卡
百/千兆网卡
设置内网固定IP地址
插槽
PCI插槽为PCI、PCI-X,不支持PCI-E
最低2个PCI插槽,用于插语音卡和传真卡
机器类别
机架式
服务器为2U高度,工控机为4U
机型
工控机如研华610H等
服务器需要更换PCI插槽为PCI-X
3.7.3 软件环境
名称
描述
备注
操作系统
Windows 2003中文企业版
32位
数据库
Mysql5.1
免费
办公软件
Office 2007
完整安装
Web服务器
Tomcat 6.0
浏览器
IE8.0或更高
FTP服务器
IIS自带FTP或FileZilla_Server
第七章 统一安全服务建设方案
1. 建设目标
统一安全服务主要包括用户访问控制、主机安全、网络安全、数据备份、安防监控五项建设任务。
2. 用户访问控制系统建设
2.1 需求分析
XX企业现阶段网络汇集采用单纯路由、交换模式,路由出口采用10M光纤引入作为主要网络访问出口,内部并未实施上网行为管理系统,用户端IP地址可以自由获取,没有任何管控,且在网络接入层采用家用路由器作为工作区子系统的汇集设备,所有用户都可自由访问互联网,且IM通讯工具使用频繁,多数员工利用网络失控的状态在上班时间做大量与工作无关的事情,企业整体工作效率低。因而,构建合理的企业上网管理平台成为当务之急。这样企业就能够合理利用互联网资源,提升企业IT使用水平。
2.2 系统概述
根据以上需求,综合考虑上网行为管理产品的稳定性、可靠性、易维护性等特点决定采用深信服上网行为管理系统作为企业核心上网行为管理的核心部件。
深信服AC系列上网行为管理产品作为中国上网行为管理领域的第一品牌,可助您实现对互联网访问行为的全面管理。深信服上网行为管理产品凭借强大的功能和简便的操作, 可在网页过滤、行为控制、流量管理、防止内网泄密、防范法规风险、互联网访问行为记录、上网安全等多个方面为您提供最有效的解决方案。
深信服科技在IDC中国发布的2010年下半年中国安全内容管理市场(上网行为管理市场)报告中占有率达到40%,在2009年占有率达到33.8%,蝉联市场占有率第一。
深信服上网行为管理为您解决以下问题:
n 防止带宽资源滥用
深信服AC系列上网行为管理产品通过基于应用类型、网站类别、文件类型、用户/用户组、时间段等的细致带宽分配策略限制P2P、在线视频、大文件下载等不良应用所占用的带宽,保障OA、ERP等办公应用获得足够的带宽支持,提升上网速度和网络办公应用的使用效率。
n 防止无关网络行为影响工作效率
深信服AC系列上网行为管理产品可基于用户/用户组、应用、时间等条件的上网授权策略可以精细管控所有与工作无关的网络行为,并可根据各组织不同要求进行授权的灵活调整,包括基于不同用户身份差异化授权、智能提醒等。
n 记录上网轨迹满足法规要求
深信服AC系列上网行为管理产品可以帮助组织详尽记录用户的上网轨迹,做到网络行为有据可查,满足组织对网络行为记录的相关要求、规避可能的法规风险。
n 管控外发信息,降低泄密风险
深信服AC系列上网行为管理产品充分考虑网络使用中的主动泄密、被动泄密行为,从事前防范、事中告警、事后追踪等多方面防范泄密,为组织保护信息资产安全,降低网络风险。
n 掌握组织动态、优化员工管理
深信服AC系列上网行为管理产品通过风险智能报表来自动发现存在离职风险或有工作效率问题的员工,并通过关键字报表和热贴报表来反映员工思想动态。风险智能报表能够自动提示管理者关注离职倾向、泄密风险、工作效率降低等员工管理风险,而关键字报表和热贴排行等报表将有助于组织深入了解员工的思想动态,并以此为基础实施组织文化建设、制度改进等针对性措施,从而提高员工管理水平。
n 为网络管理与优化提供决策依据
深信服AC系列上网行为管理产品提供了丰富的网络可视化报表,能够提供详细报告让管理者清晰掌握互联网流量的使用情况,找到造成网络故障的原因和网络瓶颈所在,从而对精细化管理网络并持续加以优化提供了有效依据。
n 防止病毒木马等网络风险
通过部署深信服AC系列上网行为管理产品,利用其内置的危险插件和恶意脚本过滤等创新技术过滤挂马网站的访问、封堵不良网站等,从源头上切断病毒、木马的潜入,再结合终端安全强度检查与网络准入、DOS防御、ARP欺骗防护等多种安全手段,实现立体式安全护航,确保组织安全上网。
n 低成本且有效推行IT制度
深信服AC系列上网行为管理产品能够实现用户网络权限的细致分配以及带宽的优化管理,通过事前精细规范、事中智能提醒、事后报表呈现等手段实现有效管理;通过将是否具备上网权限与用户对IT制度的遵从情况进行绑定,强制要求用户遵从组织IT制度里的各项细则规定(如必须安装指定的杀毒软件或桌面管理软件等),并且可以根据组织要求进行各种智能提醒,通过创新技术的应用,让IT管理制度融入每位用户的日常工作中。
2.3 系统的特点与优势
2.3.1 上网行为管理系统的特点
n 优化带宽管理,提升用户上网体验
AC能帮助组织管理者透彻了解组织当前、历史带宽资源使用情况,并据此制定带宽管理策略,验证策略有消息。不但可以在工作时间保障核心用户、核心业务所需带宽,限制无关业务对资源的占用,亦可以在带宽空闲时实现动态分配,以实现资源的充分利用。基于不同时间段、不同对象、不同应用的管道式流控,能有效保障用户的上网体验,保障网络的稳定性。
n 管控网络应用,提高员工工作效率
AC数据中心能帮助组织管理者透彻了解员工的网络行为内容和行为分布情况。借助AC的管理功能,管理员能实现分时间段、基于用户、基于应用、基于行为内容的网络行为控制,据此限制员工上班时间的无关网络行为,减少员工因效率低下带来的加班、离职、薪金浪费、额外薪金支出等问题。管理员使用AC数据中心可自定义“员工工作效率报表”,作为员工工作效率考核的辅助依据。
n 管控上网权限,实现职位与权限匹配
使用AC,管理员能依据组织架构建立用户身份认证体系,并采用分时间段、基于用户、基于应用、基于行为内容的网络行为控制,从而实现员工职位职责与上网权限的匹配,如限制研发部门不得使用webmai外发邮件、上班时间不能使用IM聊天工具,限制财务人员不能访问不受信网站,等等。以此减少越权访问和权限滥用的现象,防止泄密和不良舆论风险。
n 防范信息泄露,保障组织信息安全
互联网的普及让网络泄密和网络违法行为层出不穷。如果员工利用组织网络发生泄密或违法行为,而如果又没有证据,无法找到直接责任人,IT部门将成为该事件压力的承担者。使用AC,能帮助管理员实现基于内容的外发信息过滤,管控文件、邮件发送行为,对网络中的异常流量、用户异常行为及时发起告警,更有数据中心保留相关日志,风险智能报表发现潜在的泄密用户,实现“事前预防、事发拦截、事后追查”。
n 过滤不良信息,规避管理与法律风险
互联网资源极大丰富,亦良莠不齐。AC能帮助管理员过滤违法、违规不良网页、含有不良关键字的网络信息,防止用户不慎访问不受信的网站带来法律风险。对于内网用户的外发信息行为,AC基于内容的外发信息过滤能帮助管理员及时拦截不良言论,或者在特殊时期采用“允许看帖不允许发帖、允许收邮件不允许发邮件”的特殊管控手段,最大程度的减少舆论风险给组织形象声誉带来影响。
n 优化上网环境,提升上网安全
网络犯罪日益善用伪装:利用社交网络散播,仿冒可信网站,将访问合法网站的用户
“重定向”到非法网站,假冒可信软件如防病毒软件、插入非法软件,通过恶意广告、垃圾博客、恶意点对点文件传播等等。对此,AC支持过滤危险插件和恶意脚本,防止用户终端访问被挂载的网页而染毒,对于已中毒的终端,AC会检测网络中的异常流量如木马流量、端口扫描行为、标准端口中的非标准流量,并自动封锁并发起告警,提升局域网安全。
n 支撑IT管理,优化组织IT环境
“三分制度、七分管理”,缺乏技术手段支撑的管理制度就像一道没有装锁的门,只能依赖人工值守或被管理者的自觉遵守。越来越多的IT管理员意识到,必须选择适合组织IT环境的技术手段,才不会让管理制度流于形式,AC有效支撑组织的IT管理,帮助规范网络,减少IT管理员的无谓工作量,优化组织IT环境。
2.3.2 上网行为管理系统的技术优势
n SSL内容识别与管理
AC拥有专利技术“基于网关、网桥防范网络钓鱼网站的方法”(专利号ZL200710072997.1)具有对SSL加密内容的完全管控能力,支持识别、管控、审计经由SSL加密的内容,如支持基于关键字过滤SSL加密的搜索行为、发帖行为、网页浏览行为,审计SSL加密行为如邮件发送行为,为组织打造坚固无漏洞的管理。
n P2P智能识别技术
P2P(peer-to-peer)应用的兴起直接导致P2P软件及其版本的爆炸性增长,如何对P2P行为进行全面有效的管控成为业界的难题之一。基于IP、端口、种子等封堵方式费时费力且达不到理想效果。AC的深度内容检测技术对常用P2P软件进行识别;AC的P2P智能识别技术实现对加密P2P、不常见和未来将出现的P2P的彻底识别,为管理员提供了全面、高效的P2P行为管控手段。
能够全面识别P2P行为是进一步管控的基础。对P2P的管控包括封堵和流控两方面,既可全面禁止指定用户使用P2P软件,也可允许其使用但对P2P行为占用的带宽资源进行限制和管理,从而既优化带宽资源的使用,又为员工提供了人性化的管理方式。
n 免审计Key功能
总裁、高层领导网络访问行为,财务部收发的邮件等关乎组织机密信息,怎样避免记录此类用户的网络行为?业界多数方案是通过将敏感用户划分到指定用户组,通过设备配置界面的勾选,避免对这些用户网络行为的审计。但如果“非善意”人员私下重新配置设备对敏感用户又进行行为记录,怎么办?
AC正是考虑到用户可能面临的以上风险和威胁,推出了“免审计Key”功能。
在AC上为总裁等重要人员创建帐户时使用DKEY认证,并勾选“启用DKEY防监控”选项,为总裁生成“免审计Key”。总裁使用“免审计Key”认证后,AC从底层免除对总裁的所有记录。如果“非善意”人员私下取消AC配置界面上“启用DKEY防监控”选项,总裁再插入“免审计Key”后系统会自动弹出警告,且禁止总裁访问网络,彻底保障信息安全。
n 网络准入规则
AC的网络准入规则通过对客户端的评估来实现网络访问控制,并更好的维护网络安全防线。NAR的设计意义在于三个方面:
u 仅靠网络边缘的外围设备已经无法保证安全性。
u 边缘网关设备无法防止来自局域网内部的滥用、攻击和破坏。
u 客户端的安全级别往往难以保证:使用版本陈旧的操作系统、不及时更新补丁、长时间不更新防火墙和杀毒软件等,都成为局域网安全中的“短板”。
鉴于此,AC网络准入规则技术通过对端点安全评估和访问控制实现全方位安全防护。不能满预设要求的接入端点,禁止其访问互联网或允许访问但提交报告给管理员做后续处理。通过AC的网络准入规则,修补内网安全短板,避免病毒、木马等轻易感染内网主机,便于组织推行统一的IT政策。该准入规则允许管理者手工添加和定制,从而可以管理几乎所有终端在线状态,使端点安全和网关安全紧密结合,为组织构筑统一的安全防御体系。
n 外发文件深度识别
存心的泄密者往往会将外发文件的后缀名修改/删除,或者加密/压缩该文件,然后通过HTTP、FTP、Email附件等形式外发。仅仅实现对外发文件的审计和记录显然无法弥补由于泄密而给组织带来的损失,单纯的基于文件扩展名过滤外发文件、过滤外发Email邮件也无法应对以上风险。鉴于此SANGFOR AC的外发文件深度识别技术基于文件特征能够识别超过一千种以上的文件类型,基于特征而非扩展名彻底遏制存心泄密者的外发泄密文件行为,保护组织的信息资产安全。
n 数据中心认证key
员工、领导的上网行为日志已经通过AC数据中心实现海量存储,但如何鉴别访问数据中心的管理员的身份,避免行为日志被滥用(如员工的MSN聊天内容被传播、领导的Email内容被张贴到互联网上等)而产生的个人隐私侵犯、机密日志泄漏等问题,是组织IT管理者和内网员工普遍关心的问题之一。
SANGFOR AC管理员分级管理功能可实现A管理员登录数据中心后只能审计、查看A用户组的行为日志,同时配发启用数据中心认证Key功能后,如果没有该“数据中心认证Key”,A管理员登录数据中心后只能查看统计、趋势等概要信息,只有插入“数据中心认证Key”后A管理员才能审计、查询A用户组的MSN聊天内容、Email正文等详细日志信息。通过将该“数据中心认证Key”锁入领导抽屉将实现行为日志审计查询权限的严格控制。
n 异常流量感知
随用户互联网访问、移动存储设备的使用、以及局域网内其他终端的感染导致用户终端设备往往存在木马、间谍软件、远程控制软件等威胁。此类恶意软件为了藏匿自己的行踪往往通过常用的TCP 80、443、25、110等端口与互联网控制端交互数据,这使得组织的信息安全、资产安全、网络安全等无法保障。SANGFOR AC的异常流量感知技术正是对于以上异常流量行为进行识别并报警,帮助IT管理者主动发现组织内网潜藏的安全威胁,提升组织内网可靠性和可用性。
2.4 上网行为管理产品功能
2.4.1 身份认证
n 映射组织行政结构
为了给不同用户、不同部门授予差异化的互联网访问、控制、审计权限,需要规划和建立组织的用户分组结构。
一般组织均有自己的行政结构,AC可以完全按照组织的行政结构建立树形用户分组,实现父组、子组等多层嵌套的要求。在完成用户组的创建后,即可创建用户,并将用户分配到指定的用户组中,以实现网络访问权限的授予与继承。用户创建的过程简单方便,除手工输入帐户方式外,AC能够根据OU或Group读取AD域控服务器上用户组织结构,并保持与AD的自动同步,方便管理员管理。
此外,AC支持账户自动创建功能,依据管理员分配好的IP段与用户组的对应关系,基于新用户的源IP地址段自动将其添加到指定用户组、同时绑定IP/MAC,并继承管理员指定的网络权限。管理员亦可将用户信息编辑成Excel、TXT文件,过AC的账户导入功能更加快捷的创建用户和分组信息。
用户帐号还支持有效期限定,账号过期则自动失效,支持多人共用同一帐号等,丰富的帐号策略使得管理员可以根据实际情况自由地合理调整。
n 建立身份认证体系
有效区分用户,是部署差异化授权和审计策略、有效防御身份冒充、权限扩散与滥用等的管理基础。
AC支持丰富的身份认证方式:
u 本地认证:Web认证、用户名/密码认证、IP/MAC/IP-MAC绑定
u 第三方认证:AD、LDAP、Radius、POP3、PROXY等;
u 双因素认证:USB-Key认证;
u 单点登录:AD、POP3、Proxy、HTTP POST等;
u 强制认证:强制指定IP段的用户必须使用单点登录(如必须登录AD域等)
丰富的认证方式,帮助组织管理员有效区分用户,建立组织身份认证体系,进而形成树形用户分组,映射组织行政结构,实现用户与行为的一一对应,方便管理员实施上网行为管理解决方案。
AC支持为未认证通过的用户分配受限的互联网访问权限,将通过Web认证的用户重定向至显示指定网页,方便组织管理员发布通知。
2.4.2 应用权限管理
n 应用控制策略
u 识别是管理的基础
网络应用极其丰富,尤其随着大量社交型网络应用的出现,用户将个人网络行为带入办公场所,由此引发各种管理和安全问题。
识别是管理的基础,全面的应用识别帮助管理员透彻了解网络应用现状和用户行为,保障管理效果。
AC多种应用识别技术,全面识别各种应用,进而有效管控和审计。主要包括:
1) URL识别: AC内置千万级静态URL库、支持基于关键字管控、网页智能分析系统IWAS从容应对互联网上数以万亿的网页、SSL内容识别技术;
2) 应用规则识别库:AC拥有国内最大的应用识别库,该库由深信服应用规则研发团队定期维护,保证库处于最新状态;该库支持360种以上网络主流应用,680条以上规则 能识别40种以上IM、50种以上P2P/P2P流媒体、100种以上游戏、20种以上OA、15种以上网银、20种以上股票行情软件、15种以上股票交易软件、10种以上木马、10种以上代理软件;
3) 文件类型识别:识别并过滤HTTP、FTP、mail方式上传下载的文件,即使删除文件扩展名、篡改扩展名、压缩、加密后再上传,AC同样能识别和报警;
4) 深度内容检测:IM聊天、在线炒股、网络游戏、在线流媒体、P2P应用、Email、常用TCP/IP协议等,基于数据包特征精准识别,且支持管理员自行定义新规则,以及深信服科技及时更新和快速响应;
5) 智能识别:种类泛滥的P2P行为,静态“应用识别规则”已经捉襟见肘,通过P2P智能识别,识别不常见、未来可能出现的P2P行为,进而封堵、流控和审计。
通过强大的应用识别技术,无论网页访问行为、文件传输行为、邮件行为、应用行为等AC都能帮助组织实现对上网行为的封堵、流控、审计等管理。
u 上网策略对象化
AC支持完美映射组织的行政结构,管理员可依据组织结构添加管理策略。上网策略对象化,同一条上网策略可被多个用户/用户组复用,同一用户/用户组可关联使用多条策略,实现策略和用户/用户组的双向关联,方便管理员调整。对于父组、子组的
上网策略不仅仅支持基于生效时间、用户/用户组、应用类型,支持模板形式复制,更支持策略有效期,管理员可手动设定策略的过期时间,逾期自动失效,有效实现策略的回收管理。此外,AC支持将策略的查看、编辑权限分配给指定管理员,实现策略的分级管理。
u 灵活的授权
AC支持基于生效时间、用户/用户组、应用类型的授权,帮助组织实现上网权限与工作职责的匹配,防止越权访问与泄密风险,一方面管控与业务无关的上网行为,提升员工工作效率,一方面过滤不良信息、阻止异常行为,防止法律与泄密风险。
AC更兼顾了管理与人性化的需求,对于某些不便添加权限控制策略的部门或者是企业文化较为宽松的组织,AC提供了“智能提醒”功能,管理员可设定允许特定用户使用指定应用的时长、流速,一旦用户使用指定应用的时长、速度超限后,AC自动弹出提醒窗口,提醒用户注意违规行为,敦促用户自觉规范,达到促进自我管理的目的,减少管理带来的摩擦。
n Web应用控制
u URL访问控制
网页浏览是员工主要互联网行为之一,尤其随着大量社交型网站的出现,用户将个人网络行为带入办公场所,由此引发各种管理与安全问题。
在URL过滤方面,AC采用“静态URL库+URL智能识别+云系统”三重识别体系。
首先,AC内置千万级预分类URL地址库,该库由深信服URL研发小组专人负责维护,收集新增网页并经由人工审核分类,包含互联网上数十种分类站点,覆盖了95%以上用户访问量最高的网址。
其次,互联网网页容量爆炸性增长,Google声称互联网独立网址超过一万亿个,如微博等新的网址每天层出不穷,静态URL库不足以有效应对。因此,AC支持基于内容关键字的过滤手段,可基于管理员指定的多关键字过滤用户搜索行为、网页访问行为、发帖行为等。更提供了人工智能的网页智能分析系统(Intelligent Webpage Analysis System, IWAS)能够根据已知网址、正文内容、关键字、代码特征等对网进行学习和智能分类,真正帮助组织完善网页访问行为的管理。
再次,互联网上数万台AC组成了一个庞大的云网络,自动收集上报新增的、不在已识别URL库中的网页,经深信服URL研发小组复核后,加入URL库中。
以上三重识别体系保证了AC设备的URL识别率,保障了管理员实施URL控制策略的有效性。
u SL内容管理
SSL (Secure Socket Layer)协议,被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输,利用数据加密技术,可确保数据在网络上之传输过程中不会被截取及窃听。正因为如此,一方面,越来越多的网页使用SSL加密,如Google搜索、Gmail、QQ邮箱、bbs甚至赌博网站,而因为采用了加密技术,普通的管理产品无法对其内容进行识别管理,别有用心的用户可以利用这一缺陷绕过管理,通过SSL加密邮件、BBS、论坛发布的反动言论或者是向外发送组织的机密信息,导致管理漏洞;另一方面,互联网上存在大量伪造的网上银行、网上购物页面,此类网页利用了网银、网上购物等普遍采用第三方权威机构颁发的数字证书以实现SSL加密的特性,伪造虚假证书以骗取用户信任,警惕性不高的用户容易在毫不知情的情况下泄露自己的账户信息,导致直接或间接的经济损失。
AC可以对SSL网站提供的数字证书进行深度验证,包括该证书的根颁发机构、证书有效期、证书撤销列表、证书持有人的公钥、证书签名等,防止采用非可信颁发机构数字证书的钓鱼网站蒙骗用户,此功能亦应用于过滤SSL加密的色情、反动站点,证券炒股站点等。此外,
更重要的,AC拥有专利技术“基于网关、网桥防范网络钓鱼网站的方法”(专利号ZL200710072997.1)具有对SSL加密内容的完全管控能力,支持识别、管控、审计经由SSL加密的内容,如支持基于关键字过滤SSL加密的搜索行为、发帖行为、网页浏览行为,审计SSL加密行为如邮件发送行为,为组织打造坚固无漏洞的管理。
u 代理翻墙管控
许多组织统一采用Microsoft ISA、CCproxy、Sygate等代理服务器上网,也有的组织明文规定禁止内网用户私用代理上网,但仍有用户将浏览器等应用配置公网服务器、私装代理软件代理他人上网,甚至使用自由门、无界浏览器、IPN等加密代理行为。由于防火墙等设备对内网用户的管理是基于目的地址和端口的,无法有效区分正常上网的流量和通过代理服务器上网的员工流量。
对于如上情况,AC的深度内容检测技术能有效识别用户数据中包含的代理上网流量,通过代理识别模块可以识别从用户端发送到达代理服务器之间的应用数据,进而对用户的网络行为进行管控和记录。
n 文件传输控制
利用网络来进行文件传输是许多用户每天的必修课,而在文件传输过程中存在种种管理和安全隐患,如用户通过不可信的下载源下载了带毒文件、在文件打包外发过程中不慎夹带了涉密文件、终端因为中毒或被黑客控制主动发起外发文件行为而用户对此茫然无知,有意泄密者甚至会将外发文件的后缀名修改、删除,或者加密、压缩该文件,然后通过HTTP、FTP、Email附件等形式外发。
AC支持管控文件外发行为,如仅允许用户从指定的可信的下载站点下载文件而封堵其他站点,基于关键字、文件类型控制上传/下载行为,封堵QQ/MSN等IM传文件,允许使用webmail收邮件而禁止发送邮件等。其中,仅仅实现对外发文件的审计和记录显然无法挽回泄密已经给组织造成的损失,单纯的基于文件扩展名过滤外发文件、外发Email也无法应对以上风险。鉴于此AC的文件类型深度识别技术能基于特征能够识别文件类型,即便存在修改、删除外发文件后缀名,或者加密、压缩文件文件外发的行为,AC也能发现并且告警,保护组织的信息资产安全。
n 邮件收发控制
Email不仅是组织重要的沟通方式之一,同时也是最常见的泄密方式。AC支持基于关键字、收发地址、附件类型/个数/大小过滤外发邮件,对于将文件修改后缀名、删除后缀名,或者压缩、加密后作为Email附件外发,试图躲过拦截与审查的行为,AC能够识别并进行报警。同时,对于所有收发的webmail、Email邮件AC都可以全面记录并完整还原原邮件,并通过数据中心方便管理员对邮件日志进行查询、审计、报表统计等操作。
一般的,传统设备处理泄密邮件时只能将其拷贝存储留作证据,但泄密邮件已经外发,损失已经造成。对此,AC的邮件延迟审计技术(Postponed Sending after Audit, PSA),支持基于用户、邮件标题、正文、附件等特征拦截泄密邮件,并自动通知审核人员人工审核后再外发,将敏感邮件阻挡于内网。内网用户发送Email邮件时,在终端上看到已经成功发送的邮件,实际上已被全部转存至邮件缓冲区。指定的邮件审核人员会获得邮件通知,经人工审核后,才允许符合组织安全规定的Email邮件发送到互联网上,而不符合要求
的Email则被截留并作为追究责任的依据,有效实现了对泄密邮件的封堵,保护了组织的敏感信息的安全性。
2.4.3 带宽管理
n 流量可视化
带宽有限,应用无限——组织不断地扩展互联网出口带宽,但仍然感觉不充裕,一旦内网存在网络行为不规范、滥用带宽资源的用户,IT管理员的工作就会饱受抱怨:网络太慢、业务系统访问迟缓、页面迟迟打不开、邮件发送缓慢等。
对此,AC为IT管理员提供了网络流量可视化方案,登陆AC控制台后,管理员可以查看出口流量曲线图、当前流量TOP N应用、用户流量排名、当前网络异常状况(包括DOS攻击、ARP欺骗等)等信息,直观了解当前网络运行状况。
此外,数据中心(Network Database Center,NDC)对内网用户的各种网络行为流量进行记录、审计,借助图形化报表直观显示统计结果等,帮助管理员了解流量TOP N用户、TOP N应用等,并自动形成报表文档,定时发送到指定邮箱,让IT管理员轻松掌控用户网络行为分布和带宽资源使用等情况,了解流控策略效果,为带宽管理的决策提供准确依据。
如果您是一位大型机构的CIO或CEO,您需要面对的问题将远不止这些,而AC数据中心的功能需要您亲身体验和掌握。当您面对数据中心的Web页面,通过几次鼠标点击就发现网络及管理中存在的问题时,您将感受到领先技术带来的极富乐趣的用户体验。
n 流量管理
当您了解了带宽的使用情况,并对带宽进行优化和分配后,我们即将对用户
(组)的上网行为做进一步的管理和控制。
u 多线路复用和智能选路
很多组织拥有电信、网通等两条以上互联网出口链路,如何同时复用多条链路并做到流量的负载均衡与智能分担?通过AC特有的多线路复用及带宽叠加技术,AC复用多条链路形成一条互联网总出口,提升整体带宽水平。再结合多线路智能选路专利技术(专利号:ZL200610061591.9),AC将出网流量自动匹配最佳出口。
u 基于应用/网站/文件类型的智能流量管理
有限的带宽资源如何分配给不同部门/用户、不同应用,如何保障核心用户核心业务带宽,限制网络杀手如BT迅雷等等占用资源?AC可以基于不同用户(组)、出口链路、应用类型、网站类型、文件类型、目标地址、时间段进行细致的带宽划分与分配。从而保证领导视频会议的带宽而限制员工P2P的带宽、保证市场部访问行业网站的带宽而限制研发部访问新闻类网站的带宽、保证设计部传输CAD文件的带宽而限制营销部传输RMVB文件的带宽。精细智能的流量管理既防止带宽滥用,提升带宽使用效率。
u 多级父子通道嵌套技术
AC采用“基于队列的流控技术”,即建立管道,将不同的控制对象分配到不同的管道里。该技术的好处是控制灵活,大通道中可以多层嵌套小管道,分别基于不同的用户、时间、应用协议、网站、文件类型等对象建立不同的通道,对于结构复杂又希望实现差异化控制的组织来说可以做到更为精确的控制。
以一个实例来说明效果,假设我们要对一个出口带宽为1G(由数条线路组成)的高校做带宽管理,产品以网桥模式部署:
l 物理线路->虚拟线路:桥模式下建立虚拟线路,可分别映射外网物理线路;
l 父通道->二级子通道->三级子通道
将出口1000M按规模划分给下属3个校区:300M、300M、400M;
其中,A校区拥有300M出口,并为A校区设置分级IT管理员,允许根据校区内研究室、学院规模分配带宽;
l 子通道->虚拟子通道:每条通道可根据应用/文件/网站类型等进一步划分成虚拟通道;
A校区IT管理员为某研究生实验室(30人规模)分配带宽,将4M线路“动态”分配给上网用户(人数在0~30之间随意波动),并限定单用户下行不超过200Kb,其中每个人的P2P下载不超过50%,总线路的P2P应用不超过30%。
u 动态带宽分配
组织管理员往往既希望在网络应用高峰期保障核心用户、核心业务带宽,限制无关应用占用资源,又希望在带宽空闲时实现资源的充分利用。为此,AC支持带宽的“自由竞争”与“动态分配”,除了基于父子通道进行流量控制之外,还可以根据在线的用户数量将带宽动态分配给在线用户,如4M的线路,可以动态分配给5个或者20个在线用户使用,从而实现带宽资源的充分利用。
u P2P的智能识别与灵活控制
通过封IP、端口等管控“带宽杀手”P2P应用的方式极不彻底。加密P2P、不常见P2P、新P2P工具等让众多P2P管理手段束手无策。AC凭借P2P智能识别技术,不仅识别和管控常用P2P、加密P2P,对不常见和未来将出现的P2P亦能管控。
对于某些企业文化较为宽松的组织,完全封堵P2P可能实施困难, AC的P2P流量控制技术能限制指定用户的P2P所占用的带宽,既允许指定用户使用P2P,又不会滥用带宽,充分满足管理的灵活性。
2.4.4 日志记录与报表分析
n 日志记录
近年来,一方面随着国家为了净化互联网环境,逐步建立对互联网行业发展的市场规范,监管力度不断增强,另一方面,组织出于自身信息安全保护的需求如防止信息资产泄密、预防舆论风险、保留安全事件的相关证据,以及管理上的要求,如考核员工的网络工作效率、分析网络应用情况、提供管理依据等,对于行为记录方案的需求日益明确。
内网用户的所有上网行为AC都能够记录以满足公安部82号令的要求。AC可针对不同用户(组)进行差异化的行为记录和审计,包括网页访问行为、网络发帖、邮件Email、文件传输、游戏行为、炒股行为、在线影音、P2P下载等行为,并且包含该行为的详细信息等。
近年来信息防泄密方案备受组织管理员关注,内网员工无意或有意将组织机密信息泄露到互联网甚至竞争对手,或向论坛BBS发布不负责的言论、网络造谣等,将给组织带来泄密和法律风险。AC不仅能基于关键字过滤、记录员工通过Mail(包括Webmail)、BBS、Blog、QQ空间等工具发布的网络言论,还能实时报警。
对于使用HTTP、FTP、mail等方式传送文件所引发的风险(如将研发部的核心代码发送出去),首先AC可以禁止用户使用HTTP、FTP上传下载指定类型的文件,对于上传的文件AC也可以全面记录文件内容,做到有据可查。而外发Email潜在的泄密风险通过AC的邮件延迟审计(Postponed Sending after Audit , PSA)技术,根据管理员预设条件,将潜在的泄密邮件先拦截,经人工审核后再发送,保障组织信息资产安全。但存心的泄密者通常会更改文件后缀名、删除后缀名、压缩、加密等,再通过Email外发、或通过HTTP、FTP上传,AC对以上行为同样可以识别并及时报警。
n 报表分析
大型组织可能在短短60天就产生数百G行为日志,仅仅实现日志的海量审计尚不足以帮助组织管理员透彻了解网络状况,而通过AC独立数据中心丰富报表工具,管理员可以根据组织的现实情况和关注点定制、定期导出所需报表,形成网络调整依据、组织网络资源使用情况报告、员工工作情况报告,等。报表工具主要包括:
u 内置超过60多种报表模板,并支持自定义报表,管理员可手动设定时间、用户对象、应用对象、报表周期等;
u 对比报表:汇总对比、指定用户组/指定用户的对比、指定时间的对比等;
u 统计模板:上网流量/行为/时间统计、病毒信息统计、关键字报表、网络热帖报表、热门论坛报表、外发文件行为报表、危险行为报表;
u 智能报表:管理员可手动设定基于行为特征的风险智能报表,如离职风险报表、工作效率报表、泄密风险报表、异常思想倾向报表,等;
u 趋势:流量趋势、行为趋势、IM趋势、邮件趋势、炒股趋势等;
u 查询工具:流量查询、行为查询、时间查询、病毒日志查询、安全日志查询、操作日志查询等;
u 内容检索:网页搜索、邮件搜索、IM搜索、关键字搜索、Webmail/BBS搜索等
n 日志与隐私的平衡
对用户网络行为的记录一直是一个颇有争议的话题,许多组织管理员对于部署行为记录方案可能遭遇的管理阻力和舆论阻力表示担忧,主要来自“如何避免对关键人员(如组织高层领导)的过度记录”、“如何实现对日志的保护和保密”、“如何控制对日志的访问和查看权限”三方面,并希望方案提供商能给出合理的解决方法。
对此,AC正是考虑到用户可能面临的以上风险和威胁,推出了“免审计Key”功能。
在AC上为总裁等重要人员创建帐户时使用DKEY认证,并勾选“启用DKEY防监控”选项,为总裁生成“免审计Key”。总裁使用“免审计Key”认证后,AC从底层免除对总裁的所有记录。如果“非善意”人员私下取消AC配置界面上“启用DKEY防监控”选项,总裁再插入“免审计Key”后系统会自动弹出警告,且禁止总裁访问网络,彻底保障信息安全。
而如何防止非授权人员访问数据中心并窥探或恶意传播他人上网行为日志,甚至导致员工对IT管理员的误解和埋怨?AC的“数据中心认证Key”技术,保证只有插入该key的管理员才能审计他人行为日志,否则将只能查看统计报表、趋势图线等,确保日志不被滥用。
2.4.5 安全防护
n 终端安全
网络世界中安全事件数量急剧攀升,内网中断、不稳定将直接影响用户的上网行为,所以需要AC保证网关自身安全,并强化内网可靠性、可用性。
u 防火墙
AC内置基于状态检测技术的企业级防火墙,对进出组织的数据包提供过滤和控制。NAT(Network Address Translation)功能,代理内网员工上网和实现静态端口映射。
u 网关防病毒
AC的网关防病毒功能集成知名厂商的防病毒引擎(防病毒引擎每天自动升级),从源头对HTTP、FTP、SMTP、POP3等协议流量中进行病毒查杀,亦可查杀压缩包(zip,rar,gzip等)中的病毒。
u 终端安全级别检测
借助网络准入规则专利技术(专利号ZL200510037455.1),AC将按照管理员要求检查每位员工防病毒软件安装、运行、更新情况、操作系统版本、补丁情况、注册表键值、终端程序运行情况、终端目录盘下文件情况等,不满足预设安全级别的终端将不允许访问互联网,从而提升整个内网的可靠性和可用性。
n 网络准入控制
近年来,在企业网中,新的安全威胁层出不穷,给组织带来各种风险:
虽然大多数组织都制定了身份认证与授权制度,并采用技术手段实现基于用户身份与职权的访问权限分配。但是,对于用户终端设备的安全状况却缺乏“评估”与“管理”,尤其当来自外部网络的终端设备可以随意接入内网时,内网的其他用户由于未得到适当的保护而暴露在巨大的安全隐患面前;
病毒、蠕虫、间谍软件等各种形式的恶意软件成为企业网中大量安全事故的根源,他们引起系统崩溃、网络瘫痪,造成系统中断、数据泄密、收入损失、数据损坏,给机构业务带来巨大影响;
在企业网中,任何一台安全状态不佳的终端都可能成为整个网络的安全短板,即使是最值得信赖的用户也有可能无意间通过已被感染的终端,或者在业务访问、娱乐访问中不慎引入风险;已感染的终端除了在内网中不断寻找下一个受害者,并使其感染之外,甚至可能将终端上存储的资料不断外发,落入不法分子之手;
即便组织投入大量资金购买防病毒软件、防病毒网关等安全防护设备,安全意识不足的用户却不理会管理员的一再强调,任由系统漏洞存在、不安装防病毒软件或不及时升级病毒库;而管理员靠人工查找、隔离、修复这些不符合安全策略的终端不但费时、费力、低效,且治标不治本;
风险除了来自网络应用,用户私自使用3G、无线、路由器等在组织规定的上网线路之外的非法外联线路,将办公用电脑带离办公地点,通过USB口随意读取移动存储设备、拷贝组织机密文件,不受限制地通过网络外发文件等等行为,埋下数据泄密事件的隐患。
据此,深信服科技推出了轻量级NAC(网络准入控制)解决方案,,只需在出口处部署一台硬件网关,通过向内网终端自动推送一个轻量级的客户端控件,即可实现对接入内网终端的网络准入控制和安全隔离,执行安全级别检查,限制非法外联线路,禁用USB拷贝功能。
实施深信服NAC方案的客户能够允许符合安全策略的可信终端访问内网其他设备、访问网络,对不符合安全策略的终端强制实施策略,以加强终端的主动防御能力。NAC帮助客户构建“终端+网关”的双向安全机制,提高网络的整体安全级别,降低泄密风险。
n 危险插件恶意脚本过滤
网络犯罪非法获利大,对组织网络的安全威胁也是日新月异,并且更加善用伪装:利用社交网络散播,仿冒可信网站,将访问合法网站的用户“重定向”到非法网站,假冒可信软件如防病毒软件、插入非法软件,通过恶意广告、垃圾博客、恶意点对点文件传播等等。当用户发现时,用户端已经被安装恶意插件,被强迫浏览黑客指定的网站,或者被利用攻击某个站点,终端信息已被外发,损失已造成。
究其根源,在于用户访问不可信的资源,如现在非常流行的是通过浏览器自动安装ActiveX控件来进行恶意插件的传播。AC通过对 ActiveX控件的签名进行过滤,防止不被信任的插件安装到内网机器当中,从而解决通过IE浏览器乱装控件的问题,起到保护内网安全的作用。还有形形色色的病毒、木马,而这些危害绝大部分都是危险脚本造成的。 AC通过对内网用户访问的网页脚本进行特征识别,在脚本下载到浏览器执行前进行拦截,从而起到保护内网安全的作用。
u 危险插件过滤
l 能识别那些下载文件是会自动安装的插件,包括所有通过浏览器自动下载的文件。
l 能根据插件白名单对插件进行过滤,内置常用安全插件列表供用户选择,还可以自定义白名单(支持插件名称、证书名称和域名)。
l 能根据插件证书的合法性进行过滤,包括:检查插件签名是否过期,对插件签名进行证书链控制。
l 能记录控件过滤日志,包括被过滤控件名称及被拒绝的原因,并能在数据中心查出来。
l 能够实现二次提示,第一次出现时做拦截,第二次实现时给出提示)。
u 恶意脚本过滤功能:
l 可以过滤注册表的写操作;
l 可以过滤文件的写操作;
l 过滤危险对象和危险调用;
l 能够实现二次提示,第一次出现时做拦截,第二次实现时给出提示)。
除此之外,终端用户和IT管理员必须在自我防护方面始终保持警惕:坚持将软件更新至最新版本、部署全面的端点安全产品、保持警觉并采用高强度密码策略、采用网络准入技术鉴定并隔离不同安全级别的终端,定期对网络流量进行审视等。
n 异常流量控制
随U盘等潜入组织内网的木马、间谍软件等为了隐藏自己,通常会通过常用的TCP 80、443、25、110等端口泄漏内网机密数据及接受黑客控制。传统设备防火墙等解决方案在开放了常用端口后并不能识别该端口中传输的数据及内容,组织的信息资产安全如何保障?黑客远程控制内网终端形成僵尸网络如何避免?AC的异常流量感知技术能够识别常用端口中的如上异常流量,并能够实时报警,帮助IT管理员掌控您的网络,防范风险。
2.5 XX上网行为管理产品部署模式
根据现阶段XX企业的网络特点,和综合考虑部署的易用性,可维护性,决定以单网桥模式部署该系统。
AC以网桥模式部署在组织网络中,如同连接在出口网关和内网交换机之间的“智能网线”,实现对内网用户上网行为的流量管理、行为控制、日志审计、安全防护等功能。网桥模式适用于不希望更改网络结构、路由配置、IP配置的组织。
部署方式:
n AC的WAN口同出口网关LAN口相连,为AC分配一个网桥IP,该IP和出口网关LAN口在同一网段;
n LAN口(DMZ口)同核心交换机连接;
n 局域网内的任何网络设备和PC都不需要更改IP地址。
3. 主机安全系统建设(病毒查杀)
3.1 技术方案
(1)方案选型
主机安全系统建设(病毒查杀)建议采用Symantec Endpoint Protection解决方案。
Symantec Endpoint Protection 让企业能够采用更为有效的整体方法,来保护笔记本电脑、台式机和服务器等端点。其中结合了五种基本安全技术,可针对各种已知威胁和未知威胁主动提供最高级别的防护,这些威胁包括病毒、蠕虫、特洛伊木马、间谍软件、广告软件、Rootkit和零日攻击。该产品将业界领先的防病毒软件、反间谍软件和防火墙与先进的主动防护技术集成到一个可部署代理中,通过中央管理控制台进行管理。而且,管理员可以根据他们的具体需要,轻松禁用或启用上述任何技术。
(2)产品部署模式
Symantec Endpoint Protection Manager从光盘直接安装,Symantec Endpoint Protection客户端可以用以下几种方法进行部署:
u 从Symantec Endpoint Protection Manager管理控制台推送客户端。
u 由Symantec Endpoint Protection Manager管理控制台导出客户端安装包,用客户端安装包直接安装,或放在共享文件夹中,网络中其它计算通访问共享文件夹进行安装。
u 由迁移布署向导进行由老版本到新版本升级安装,或直接推送新的客户端。
结合企业现有的网络环境,本方案建议采用从Symantec Endpoint Protection Manager管理控制台推送客户端的部署模式。
(3)产品部署结构
本方案建议采用Symantec Endpoint Protection小型部署结构,小型部署结构可以使用内嵌的Sybase数据库,对1000点以下的客户端结构有较好的支持,要支持 1,000 个以上的客户端,就需要考虑购买并安装 Microsoft SQL Server。每个使用 Microsoft SQL Server 的 Symantec Endpoint Protection Manager 最多可支持 50,000 个客户端。
3.2 系统功能
(1)统一管理控制台
Symantec Endpoint Protection 提供通过一个统一控制台管理所有服务的功能,让管理员可通过整体方法来管理端点安全。通过使用 Symantec Endpoint Protection Manager,控制台管理员可以创建和管理各种策略、将策略分配给代理、查看日志并运行端点安全活动报告。它通过图形报告、集中日志记录和阈值警报等功能提供全面的端点可见性。统一控制台不仅简化了端点安全管理,而且还提供了出色的操作效能,如集中软件更新、策略更新、报告和许可维护。该控制台采用企业级的管理架构,可进行扩展以适合最高要求的环境。它可以提供对管理任务的更细致控制,同时简化并统一管理工作以降低总拥有成本。它采用灵活的管理结构,可以根据不同管理员的角色和职责,为他们授予不同级别的管理系统访问权限。另外,它支持从
ActiveDirectory 导入 Organization Units,而且可与 SMS 等领先软件部署工具一起工作,可为管理员进一步增强管理功能。
(2)集成的端点防护方法
Symantec Endpoint Protection 提供全面的多层端点防护方法。该产品将Symantec AntiVirus™ 与高级威胁防御相结合,可以为笔记本、台式机和服务器提供无与伦比的恶意软件防护能力,这些已知和未知的恶意软件包括病毒、蠕虫、特洛伊木马、间谍软件和广告软件。它甚至可以防御复杂攻击,这些攻击能够躲避传统的安全措施,如 Rootkit、零日攻击和不断变化的间谍软件。
Symantec Endpoint Protection还提供了久经考验的主动防护技术,能够保护端点免遭目标性攻击以及之前没有发现的未知攻击侵扰。它包括即刻可用的主动防护技术以及管理控制功能;主动防护技术能够自动分析应用程序行为和网络通信,以检测并阻止可疑活动,而管理控制功能让管理员能够拒绝对企业来说被视为高风险的特定设备和应用程序活动。这些功能甚至可以根据用户位置阻止特定操作。
(3)全面的端点安全
Symantec Endpoint Protection 将一流的防护机制无缝结合到一个代理中,可提供最全面的端点安全:
u 防病毒软件/反间谍软件
u 网络威胁防护
u 主动威胁防护
(4)应用程序和设备控制
Symantec Endpoint Protection 还结合了设备和应用程序控制功能,让管理员能够拒绝被认为存在高风险的特定设备和应用程序活动,使企业能够根据用户位置禁止特定的操作。设备控制技术让管理员能够决定并控制允许哪些设备连接端点。例如,它可以锁定端点,禁止便携硬盘、CD 刻录机、打印机或其它 USB 设备连接到系统,以防止将机密信息从系统复制到其中。禁止设备连接的功能还可以帮助防止端点受来自上述设备以及其它设备的病毒感染。
3.3 产品选型
主机病毒查杀系统需用主流的Symantec Endpoint Protection系统。
主机病毒查杀系统硬件配置推荐如下:
4. 网络安全系统建设
本次网络项目建设为了保证整体网络的安全可靠,因此在网络的出口部分部署了一台ASA安全防火墙进行内外网的有效安全过滤。
思科ASA系列自适应安全设备是思科推出的下一代防火墙安全解决方案,它是提供了新一代的安全性和VPN服务的模块化平台。企业可以根据特定需求定购不同版本,做到逐步购买、按需部署,灵活方便地实现安全功能的扩展。
为了确保网络安全,以往企业通常购入一系列专用型安全设备,造成投入成本大、部署繁复、管理复杂的局面。而融合多种安全功能于一身的思科ASA5500,具备保护企业投资、降低总体安全运行成本、方便部署、易于管理的巨大优势。
ASA 5510 防火墙
本次XX有限公司网络建设中在网络整体出口部分部署的Cisco ASA 5510防火墙自适应安全设备是能够为从中小企业到大型企业的各类环境提供新一代安全性和VPN服务的模块化安全平台。Cisco ASA 5510 防火墙能为企业提供全面的服务,而且这些服务都可以根据客户对防火墙、入侵防御(IPS)、Anti-X和VPN的要求而特别定制。
Cisco ASA 5510防火墙的各种功能能够在适当的位置提供适当的安全服务,因而能为企业提供卓越的安全保护。每个版本都包含一套特殊的Cisco ASA 服务,以满足企业网络内特殊环境的要求。随着每个位置安全需求的满足,整体网络安全性也得到了提升。
由于 Cisco ASA 5510防火墙支持一个平台上的标准化,因而能降低整体安全运作成本。统一配置环境不仅简化了管理,还降低了人员培训成本。另外,该防火墙的通用硬件平台还有助于降低备件成本。
每个台防火墙的内置功能都能满足特定的企业环境需求:
防火墙功能:使企业能够安全、可靠地部署关键业务应用和网络。独特的模块化设计能够提供卓越的投资保护,降低运作成本。
IPS功能:通过一组防火墙、应用安全性和入侵防御服务,防止关键业务服务器和基础设施遭受蠕虫、黑客及其它威胁的袭击。
Anti-X功能:利用全面的安全服务套件,为小型站点或远程站点的用户提供保护。企业级防火墙和VPN服务提供到公司网络的安全连接。来自 Trend Micro 的业内领先的Anti-X服务能够防止客户端系统遭受恶意Web站点以及病毒、间谍软件和诱骗等基于内容的威胁侵袭。
该产品的主要特点如下:
n 用户化:
根据公司政策和具体接入需要,个性化安全系统。
n 灵活性:
随着公司的成长和变化,您能方便地添加新功能或从一台设备升级至另一台设备。
n 高级安全性:
充分利用内容安全、加密、身份验证、授权和入侵防御等方面的最新技术。
n 简单易行:
使用一台设备即可轻松进行安装、管理和监控。
n 高级网络功能:
设置虚拟专用网络 (VPN),以确保移动和远程工作人员安全的访问公司资源,或基于职责在合作伙伴及其它办事处之间创建 VPN。
n 强大的攻击防范能力
能防御DoS/DDoS攻击(如CC、SYN flood、DNS Query Flood、SYN Flood、UDP Flood等)、ARP欺骗攻击、TCP报文标志位不合法攻击、Large ICMP报文攻击、地址扫描攻击和端口扫描攻击等多种恶意攻击,同时支持黑名单、MAC绑定、内容过滤等先进功能。
n 丰富的VPN特性
集成IPSec、L2TP、GRE和SSL等多种成熟VPN接入技术,保证移动用户、合作伙伴和分支机构安全、便捷的接入。
n 全面NAT应用支持
提供多对一、多对多、静态网段、双向转换 、Easy IP和DNS映射等NAT应用方式;支持多种应用协议正确穿越NAT,提供DNS、FTP、H.323、NBT等NAT ALG功能。
n 全面的认证服务
支持本地用户、RADIUS、TACACS等认证方式,支持基于PKI/CA体系的数字证书(X.509格式)认证功能。支持基于用户身份的管理,实现不同身份的用户拥有不同的命令执行权限,并且支持用户视图分级,对于不同级别的用户赋予不同的管理配置权限。
n 集中管理与审计
提供各种日志功能、流量统计和分析功能、各种事件监控和统计功能、邮件告警功能。
5. 数据备份系统建设
5.1 技术方案
(1)备份目标确定
由于Exchange邮件系统中具有大量需要保护的数据,所以建议建立专门的数据备份系统对Exchange邮件系统进行备份,另外备份系统也可以对企业当中其他的关键数据存储进行保护。
(2)方案选型
数据备份系统建议采用Symantec Backup Exec 2010 解决方案,该方案为企业提供了可靠的 Windows 服务器备份和恢复解决方案。通过集成的重复数据删除和归档技术,可以在帮企业轻松保护更多数据的同时,降低存储成本和管理成本。通过这款 Windows 服务器备份软件,不仅可以减少业务中断情况,并且可以确保虚拟或物理系统上的重要信息始终受到保护并可在几秒钟内进行恢复。
(3)备份策略的制定
为了充分实现整个邮件系统的高可用性,我们我们初步计划采用每周一次邮件存储的完全备份,每天一次邮件存储日志的备份,为保证归档日志完整,备份集中保留归档日志的两份不同副本,要求备份集保留一个月。
(4)备份存储设备的选择
以前许多公司采用单驱动器备份,即手工磁带备份,在操作和管理上存在许多问题:
u 需频繁更换磁带,备份的准确性和完整性不能保证。
u 操作复杂,速度慢,影响系统的总体效率和自动化水平。
u 操作人员需要耗费大量时间进行备份操作。
u 磁带只起存放数据的功能,不易实现归档、异地存放及规范化管理。
有鉴于此,本方案建议采用先进的NAS存储方案。NAS 是一种采用直接与网络介质相连的特殊设备实现数据存储的机制。由于这些设备都分配有 IP 地址,所以客户机通过充当数据网关的服务器可以对其进行存取访问,甚至在某些情况下,不需要任何中间介质客户机也可以直接访问这些设备。NAS设备非常易于部署。可以使NAS主机、客户机和其他设备广泛分布在整个企业的网络环境中。NAS可以提供可靠的文件级数据整合,因为文件锁定是由设备自身来处理的。同时NAS应用于高效的文件共享任务中,例如UNIX中的NFS和Windows NT中的CIFS,其中基于网络的文件级锁定提供了高级并发访问保护的功能。
(5)备份服务器的选择
鉴于数据备份过程对备份服务器的整体系统压力较大,同时也为了今后更好地将备份系统扩展到企业当中的其它的网络系统、业务系统和数据库系统。我们推荐采用一台中档服务器,专门作为备份服务器。
5.2 系统功能
5.2.1 邮件系统备份
利用 Exchange Agent,无需单独管理或专用硬件即可将 Microsoft Exchange Server 数据库备份与网络备份相集成。Exchange Agent 提供以下功能:
(1)备份系统无需使用单独的管理或专用硬件即可将 Microsoft Exchange Server数据库备份与网络备份相集成。
(2)备份系统为 Exchange Server 提供持续的数据保护,并且凭借正在申请专利的全面恢复技术,消除了 Exchange 备份作业的日常备份需求,同时仍然能够在几秒钟之内恢复单个邮箱、邮件和文件夹,从而使数据保护发生了巨大变化。
(3)度恢复技术 (GRT),为使用信息存储备份的邮件和文件夹提供了改进的备份和恢复性能。通过 GRT,可以从信息存储的完全、复制和增量备份恢复各个邮箱、邮件和公共文件夹。管理员无需进行邮箱(或 MAPI)备份,从而显著减少了保护 Exchange 所需的备份数量、时间和成本。
(4)Exchange Server 的持续备份。备份作业提供到信息存储的任何即时点的完整恢复,包括最新的完整事务处理日志。
(5)全面恢复技术,增强的 Exchange 代理可以通过单个完整备份进行全面恢复,而无需多个 Exchange 备份。
(6)全面恢复备份作业轻松存储到远程或可移动磁盘驱动器,或异地存储到光纤通道或 iSCSI SAN 环境
(7)或恢复作业选择存储组的功能,或为备份和恢复作业选择存储组中的一个或多个数据库的功能。
(8)快照备份恢复到一个恢复存储组。
5.2.2 数据库备份
借助 Symantec Backup Exec Agent for Microsoft SQL Server (SQL Agent),网络管理员可以对连接到网络的 SQL 安装执行备份和还原操作。SQL 数据库备份能够与网络备份集成在一起,而不必单独进行管理或使用专门的硬件。SQL Agent 提供对以下项的支持:
(1) 数据库、事务处理日志、差异、文件组备份以及数据库恢复和替换。
(2) 主数据库的自动还原。
(3) Intelligent Disaster Recovery Option 自动进行 SQL Server 的灾难恢复过程。
(4) 将 SQL 数据库还原到备用位置。
(5) 自动还原选择和选项检查,可用于在运行还原作业之前测试当前 SQL Server 的还原选择和作业选项的有效性。
(6) 在备份操作期间热备份 SQL 数据库副本。通过这项功能,可以将正由 SQL 数据库发送到介质的实际数据流的副本定向到本地目录,以供将来使用。
(7) 备份多个实例。
(8) 与 Symantec Backup Exec Advanced Disk-based Backup Option (ADBO) 和Advanced Open File Option (AOFO) 相集成。ADBO 和 AOFO 是 Backup Exec的独立附加组件。使用 ADBO 和 AOFO 可以缩短还原时间并减轻备份对服务器的影响。
(9) 对每个备份和还原作业进行数据库一致性检查 (DBCC),包括只对数据库的物理一致性进行快速数据库一致性检查。
(10) 完全、批量日志记录和简单恢复模式。在简单恢复模式下,日志文件中不存储事务副本,这可以禁止运行事务处理日志备份。因此,可以将数据库恢复到上一个备份点,但无法将数据库还原到故障点或特定即时点。
(11) 将事务处理日志还原到特定即时点,或者还原到指定事务(如果使用日志标记)。
5.3 产品选型
备份系统选择目前世界排名第一的企业级自动化集中备份系统Symantec Backup Exec 2010,并配置Symantec Backup Exec Agent for Microsoft Exchange Server和Symantec Backup Exec Agent for Microsoft SQL Server
选件。
备份服务器硬件配置推荐如下:
6. 安防监控系统建设
6.1 监控系统现状
XX现阶段厂区及办公楼监控采用模拟监控方案,采用分布式部署方法,分别在传达室、制造厂房内及办公楼中心机房部署了三台海康威视硬盘录像机,由于部署时间较长,选用的摄像机及硬盘录像机老化情况严重,且不支持高清观看。由于企业安防监控对于企业日常安防、人员查看有着至关重要的作用,因此,一套支持高清观看且能应对恶劣环境的监控方案将成为当务之需。
6.2 设计原则
系统的建设将在追求性能优越、经济实用的前提下,应遵循技术先进、功能齐全、性能稳定、节约成本的原则。力图使该系统真正成为符合企业管理实际应用的信息平台。并综合考虑维护及操作因素,并将为今后的发展、扩建、改造等因素留有扩充的余地。系统设计时追求“五个统一”,努力寻找统一的最佳结合点和切入点:
(12) 实用性与经济性的统一
坚持实用性第一的原则。系统应能最大限度地满足连锁行业系统各项监控业务要求、满足系统管理人员和使用人员的业务需求,能适应新技术的发展,同时还应努力降低建设费用,选择技术成熟和性能稳定、性价比高的产品,并尽可能地利用好现有设备,减少浪费。
(13) 合理性与先进性的统一
系统方案的设计严格遵循系统工程的设计准则,在系统的合理性与技术的先进性之间取得均衡。应努力追求整个系统功能的科学合理性,防止片面追求某一局部的高指标与先进性。在保证整个系统功能和性能的前提下,最大限度地采用成熟、可继承、具备广阔发展前景的先进技术。
(14) 标准化与开放性的统一
系统设计尽量采用标准化、模块化设计并严格遵守相关技术的国际、国内和行业标准,以确保系统之间的开放透明性和系统之间的互连互通。考虑到整个系统是分期建设的,系统设计时,对有扩展要求的子系统,在设计和选用设备时,应在对未来业务的增长和扩容进行科学预测基础上进行余量设计,预留扩容和发展的空间。
(15) 可靠性和安全性的统一
整个系统采用具有高可靠性的总体设计,选用的设备自身应具有较高的安全可靠性,关键设备或关键部件应采取备份冗余设计,选用安全机制完善、安全级别较高的系统软件,使用具有可靠功能的专用网络安全产品。
(16) 易管理性和易维护性的统一
系统应易于管理和维护,借助网管、系统自诊断程序等专门工具,可方便地监控网络或其它设备的运行状态,以便及时解决出现的问题;计算机网络等信息基础设施的设计应采用简洁易用的体系结构,以降低系统运行维护费用。为确保产品的售后服务,应选用技术成熟的国内品牌产品。
系统的建设将在追求性能优越、经济实用的前提下,应遵循技术先进、功能齐全、性能稳定、节约成本的原则。力图使该系统真正成为符合企业管理实际应用的信息平台。并综合考虑维护及操作因素,并将为今后的发展、扩建、改造等因素留有扩充的余地。系统设计时追求“五个统一”,努力寻找统一的最佳结合点和切入点:
(17) 实用性与经济性的统一
坚持实用性第一的原则。系统应能最大限度地满足连锁行业系统各项监控业务要求、满足系统管理人员和使用人员的业务需求,能适应新技术的发展,同时还应努力降低建设费用,选择技术成熟和性能稳定、性价比高的产品,并尽可能地利用好现有设备,减少浪费。
(18) 合理性与先进性的统一
系统方案的设计严格遵循系统工程的设计准则,在系统的合理性与技术的先进性之间取得均衡。应努力追求整个系统功能的科学合理性,防止片面追求某一局部的高指标与先进性。在保证整个系统功能和性能的前提下,最大限度地采用成熟、可继承、具备广阔发展前景的先进技术。
(19) 标准化与开放性的统一
系统设计尽量采用标准化、模块化设计并严格遵守相关技术的国际、国内和行业标准,以确保系统之间的开放透明性和系统之间的互连互通。考虑到整个系统是分期建设的,系统设计时,对有扩展要求的子系统,在设计和选用设备时,应在对未来业务的增长和扩容进行科学预测基础上进行余量设计,预留扩容和发展的空间。
(20) 可靠性和安全性的统一
整个系统采用具有高可靠性的总体设计,选用的设备自身应具有较高的安全可靠性,关键设备或关键部件应采取备份冗余设计,选用安全机制完善、安全级别较高的系统软件,使用具有可靠功能的专用网络安全产品。
(21) 易管理性和易维护性的统一
系统应易于管理和维护,借助网管、系统自诊断程序等专门工具,可方便地监控网络或其它设备的运行状态,以便及时解决出现的问题;计算机网络等信息基础设施的设计应采用简洁易用的体系结构,以降低系统运行维护费用。为确保产品的售后服务,应选用技术成熟的国内品牌产品。
6.3 需求分析
XX企业工厂园区的视频监控及综合管理平台系统建设是一个综合项目,建设的目的是实现集中管理,提高系统的智能化、管理的科学化,提升风险管控能力和应对突发事件的处理能力。
工厂园区可采用总控中心和分控中心相结合的两级控制模式,总控中心与分控中心之间通过综合管理平台的主控端与客户端的方式进行系统管理及授权认证等,视频监控系统采用总控中心流媒体转发集中存储,视频信号通过流媒体服务器转发至各分控中心客户端。我们将从企业工厂园区的实际需求出发,通过严谨的设计和施工,建立起高效的、全方位、全天候的、立体化的安全防范网络,使整个企业工厂园区处在严密监控之中。安全管理人员通过此高科技手段,能实时掌握企业工厂园区区域内的人流、物流的动态变化,能随时记录、调用有关信息,能进行有针对性的管理,同时还可通过系统掌握的信息与其它智能化相关系统联动,起到确保整个企业工厂园区的安全和正常运转的作用。
建设企业工厂园区视频监控及综合管理系统的目的主要还在以下几个方面:
n 防止外部和内部的物品失窃;
n 生产和库存、安全及事故分析;
n 对知识产权的保护;
n 产品质量控制和生产流程的优化;
n 对环境污染的监控。
根据企业工厂园区的特性和设计原则及标准的要求,对于企业工厂园区视频监控系统的需求分析如下:
n 建设全方位、全天候的视频监控系统,监控范围覆盖出入口、办公楼、各类厂房操作车间、库房、重要路口等,以满足企业工厂园区安全管理的需求;
n 能够通过视频监控系统对企业的生产情况及在线监测仪器的运行情况进行实时监控和记录,并为相关人员在事后处理中提供证据。
n 通过远程视频监控系统对上述监控点的情况进行实时监控,做好风险事故的防范与监管。
n 通过远程视频监控系统,各级生产部门领导都能实时的看到现场的情况,做到事前监督。
n 领导可以通过手机客户端,进行实时视频预览、云台控制等,加强信息交互的及时性与有效性。
n 根据实际情况,可有目的建设部分报警系统并与视频联动,也可采用智能行为分析系统,以减少监视人员工作量并提高效率。
n 可实现同一图像多点同时观看,有利于统一指挥和多点同时监管。
n 满足多线路需求,满足设备通过各种网络方式接入,可以通过内网固定IP地址接入,也可以通过动态IP地址接入;
n 视频监控中心管理软件满足实时监控、录像回放与下载、电子地图、智能分析、设备远程统一配置和管理、流媒体负载均衡、具备级联模块、丰富的对外接口等功能;
n 对现有的视频监控系统进行有效集成,集成时充分考虑即有系统的现状,最大限度地利用原系统资源,避免重复投资,从而减少项目集成成本的投入;
6.4 参考拓扑
由于此次设计并未实地考察现场情况,故而仅给出常规工厂监控的示意拓扑,仅供参考。
6.5 功能设计
根据本企业行业的特点、设计目标的要求,结合需求分析,先列出如下功能设计:
n 实时监控功能:采用海康威视的高品质摄像机,获得监控区域内清晰的实时监控图像,各种型号系统的摄像机满足连锁店不同监控点的监控需求,实现24小时不间断监控。
n 录像存储功能:可以选择前端存储和中心存储两种模式,前端摄像的视频信号接入硬盘录像机存储数据,达到前端存储的需要,录像保存时间达到15天以上,以供事后调查取证;也可安装存储服务器和存储设备,适合大容量多通道并发的中心存储需求。
n 管理功能:管理人员或授权访问人员,能通过访问监控系统,实时预览监控画面、回放历史监控图像、下载监控资料、远程配置管理设备等;
n 分布式部署和预留扩展接口:满足今后监控点位的增加的需要。
6.6 前端监控点设计
n 出入口摄像机
出入口是人员出入的场所,需在每个门口设置监控点,安装摄像机时需考虑夜晚的光线很差,并且要求每监控点要看清楚进出人员的样貌。本系统设计固定红外摄像机,实时记录出入人员信息。红外摄像机负责24小时监控整个场景,满足系统无盲区的要求。
n 办公区域监控摄像机
办公区域监控目标相对明确、光线变化不大,效果要求清晰。
n 工厂车间监控摄像机
货架区域监控目标明确、光线变化相对不大,效果相对要求比较清晰。
n 库房监控摄像机
仓库监控目标范围比较广、光线变化也比较大,效果相对要求比较清晰,需要360度监控无盲区。
第八章 项目概算
序号
待建系统
价格估算
备
注
1
开放式综合布线系统
80670
主要包含:网线、六类网络配线架、110电话配线架、PDU电源、成品网络跳线、成品电话跳线等。
2
网络核心交换及路由系统
139400
主要包含:网络主交换机、网络防火墙及路由、上网行为管理。
3
网络存储系统
41729
主要包含:网络存储器、存储硬盘。
4
中心机房建设
114400
主要包含:静电地板敷设、配电箱建设、精密空调、服务器机柜、KVM切换器等。
5
基础服务系统
321100
主要包含:企业目录服务器、企业邮件服务器、共享数据库服务器、企业安全服务器、企业数据库、企业数据备份等。
6
安防监控系统
60380
主要包含:网络硬盘录相机、红外枪式摄像机、球形快速摄像机及安装辅料等。
7
集团电话系统
130000
主要包含:AVAYA IP OFFICE 500混合型电话交换机、UC统一通讯平台。
总该算价格:887679元
第九章 服务支持
1. 服务支持概述
为了最大限度的保证客户利益,保证实施的方案能够满足客户最终的需求,保证客户的原有投资,提高客户的投资收益率(ROI)。我公司为客户提供了长期的完善的支持服务。
我支持服务为客户的关键业务系统和应用程序环境提供一整套咨询支持服务的解决方案。我支持服务可以帮助您的机构避免问题的发生,并最大限度地降低风险,提高系统的性能,使你能够更加有效地为你的客户和用户服务。我支持服务系统工程师能够提供各种各样的技术援助或支持流程来帮助您管理和维护您的应用系统。
针对上文所述的信息化建设方案,特提供如下服务。
2. 主要服务内容
n 基本网络设备维护
n 域控制器的维护和调优
n 域控制器常见问题的解决
n Exchange 服务器的维护和调优
n Exchange 邮件系统常见问题的解决
n SQL Server服务器的维护和调优
n Symantec Endpoint Protection系统的维护和调优
n Symantec Endpoint Protection系统常见问题的解决
n 备份系统的的维护和调优
n 活动目录的灾难恢复
n Exchange 邮件系统的灾难恢复
3. 基本服务方式
n 首次现场实施
本方案的实施由我工程师严格按照成熟的项目管理和实施流程,依次完成:
u 企业需求分析、
u 具体实施方案设计
u 实施方案测试
u 网络环境改造
u 服务器硬件调试
u 系统软件安装配置
u 系统性能检测和调优
在每一个项目里程碑向客户提供详细、完整的技术文档。力求以最短的时间高质量的实现系统实施目标。具体实施方案由我工程师和用户经协商后确定。
n 例行巡检服务
我技术工程师亲临用户现场,监测用户系统运行状况、健康状态。同时与客户进行面对面的交流探讨,完成预防性的维护工作,及时发现和解决出现的问题,对系统整体性能进行优化,保证整个系统稳定高效运行。协助客户建立新的信息系统应用,减轻对客户技术上的要求和维护压力。该服务以每一个月在用户现场进行一次的方式进行,在用户系统出现紧急问题的情况下,以紧急现场服务的方式体现(提前进行例行巡检)。在工作过程中,用户必须协助我公司的工程师对系统进行相关的维护和管理工作。
n 紧急现场服务
在系统出现紧急情况下,如数据丢失、系统崩溃等突发情况,需要立即进行灾难恢复时;或者针对客户在系统运行中出现的故障,工程师认为通过电话热线无法解决问题,就会根据客户的要求提供现场技术支持。现场技术支持包括故障诊断、提交解决方案、系统参数恢复、重装系统等服务。
现场技术支持的服务时间为星期一至星期五上午9:00至下午5:00,法定假日除外。非紧急事件响应时间为下一工作日,紧急事件响应时间为3小时。我工程师将以最快速度赶赴现场,对问题进行调查、分析,以最快的速度对问题进行解决,将用户损失减少到最低,同时,执行定期的巡检任务。其中紧急现场服务每年以12次为限。
n 日常技术咨询
在法定工作日的上午9:00至下午5:00,本公司将为服务有效期内的用户提供热线服务。客户可以咨询本方案涉及系统中的各类问题的解决方法,报告系统运行状况,询问文件说明,寻求技术指导。我方相关技术人员将接受用户指定联系人的电话或E-mail对用户的问题进行相关分析,提出看法和解决意见。当在电话中不能马上解决客户的问题时,工程师会记录在客户的服务档案中,然后在最短的时间内寻求解决方案,至回电给客户。在解决问题的过程中,不论通话次数多少,当工程师认为已为客户提供解决问题的方案时,即视为一个事件完成。您的问题将以“技术支持请求”的形式记录于我客户支持系统中,由专门工程师负责。
4. 基本服务流程
我们的目标是为客户提供最全的软件产品和最实用的集成软件解决方案。要达到这个目标,我们必须对客户以及市场需求有所回应,所以我们向客户承诺提供高质量的技术支持服务,保证客户可以得到不同方式下的及时有效的技术问题解答。
推荐访问:完整 企业信息化建设 方案推荐文章
- mydream英语作文50词 [mydream英语作文带翻译100词]
- 来一场说走就走的异国求学旅途,瑞士留学的正确打开方式! 说走就走的旅途图片
- 【简单的英语下册句子练习,适合小学一年级】补充句子一年级下册
- 七年级奥数不等式测试题及答案:初一数学不等式练习题
- [2018年公安院校在天津招生政策解读]2018年公安院校天津招生分数线
- 【初三奥数垂径定理练习题】垂径定理练习题
- 2018吉林延边中考作文题目:有你的地方就有风景|有你的地方就有风景作文题目
- 2018宁夏师范类大学排名_宁夏所有大学排名2018
- 我的爱好英语作文带翻译 [我的爱好英语作文带翻译三篇]
- 有你的地方就有风景作文题目 2018吉林通化中考作文题目:有你的地方就有风景