大型能源集团公司信息化规划(三)基础设施信息安全及组织规划最新课件.ppt

1、XX大型能源集团信息化规划三大型能源集团信息化规划三 （基础设施信息安全及组织规划）（基础设施信息安全及组织规划）目录目录 1 第二阶段工作概述 应用系统架构规划 数据架构规划 2 3 4 IT基础设施与信息安全架构规划基础设施与信息安全架构规划 4.1 4.2 IT基础设施架构设计基础设施架构设计 信息安全架构设计 5 信息化组织与管控架构规划 2 2 IT基础设施总体架构基础设施总体架构 IT基础设施架构包括五个部分的内容：?数据中心资源、网络系统、基础应用系统、计算机机房、IT运维管理 数据中心资源数据中心资源 服务器 存储 容灾备份 网络管理系统 IT运维管理运维管理 网络系统网络系统

2、 企业广域网 企业局域网 无线网络 IT设备监控系统 安防监控 基础应用系统基础应用系统 视频会议 计算机机房计算机机房 供电系统 空调系统 消防系统 机房环境监测 IT运维服务系统 3 3 数据中心资源数据中心资源-服务器存储资源池服务器存储资源池 决策支持决策支持 经营管理经营管理 业务运作业务运作 全面预算管理全面预算管理 ERP MES 业务综合决策分析业务综合决策分析 财务合并报表财务合并报表 设备管理设备管理 主数据管理主数据管理 工程项目管理工程项目管理 企业绩效管理企业绩效管理 客户关系管理客户关系管理 生产应急指挥生产应急指挥 应应用用系系统统 数数据据中中心心资资源源 现有

3、服务器 服务器资源池服务器资源池 本地 数据 备份 现有存储 存储资源池存储资源池 异异 地地 数数 据据 灾灾 备备 4 4 数据中心资源数据中心资源-服务器存储资源池服务器存储资源池 服务器服务器 资源池资源池 将多台服务器组成一个集群，在此集群中根据应用系统需求划分虚拟化资源。提高硬件可靠性和资源将多台服务器组成一个集群，在此集群中根据应用系统需求划分虚拟化资源。提高硬件可靠性和资源使用率。其思路是将几种重要的资源池化：使用率。其思路是将几种重要的资源池化：CPU 池、内存池、存储池，池化的模型可以很方便地进池、内存池、存储池，池化的模型可以很方便地进行管理和扩展，并降低运行维护成本。业

4、务软件或者行管理和扩展，并降低运行维护成本。业务软件或者OS的视角看到的还是一台传统的服务器，有的视角看到的还是一台传统的服务器，有CPU、内存、硬盘、网卡等。、内存、硬盘、网卡等。存储存储 资源池资源池 将多台服务器组成一个集群，形成存储资源池。提高可靠性。将多台服务器组成一个集群，形成存储资源池。提高可靠性。存储资源池部署以使用共享存储为主，分布式对象存储作为补充。根据存储资源池部署以使用共享存储为主，分布式对象存储作为补充。根据XXX集团及下属企业现有基础集团及下属企业现有基础设施环境，推荐以下部署模式：设施环境，推荐以下部署模式：IPSAN或或FCoE（以太网光纤通道）模式，可以利用网

5、络交换机，无（以太网光纤通道）模式，可以利用网络交换机，无需单独建设光纤存储网络，成本适中，性能适中。需单独建设光纤存储网络，成本适中，性能适中。5 5 数据中心资源数据中心资源-服务器存储资源池建设过程服务器存储资源池建设过程 现有服务器存储模式现有服务器存储模式 新建服务器存储资源池模式新建服务器存储资源池模式 应用A 应用B 应用C 应用D 应用E 服务器A 服务器B 服务器资源池 存储A 存储B 存储资源池 XXX集团现状下，应用系统使用独有服务器模式。对于XXX集团及下属企业新建应用系统，采用资源池模式进行建设。在下一阶段的信息化建设过程中，传统服务器存储模式与新建资源池模在下一阶段

6、的信息化建设过程中，传统服务器存储模式与新建资源池模式可以同时存在，各自独立运行。式可以同时存在，各自独立运行。6 6 数据中心资源数据中心资源-服务器存储资源池建设过程（续）服务器存储资源池建设过程（续）传统模式与资源池模式共存并逐步转化传统模式与资源池模式共存并逐步转化 应用A 完全资源池化数据中心完全资源池化数据中心 应用B 应用C 应用D 应用E 应用A 应用B 应用C 应用D 应用E 服务器A 存储A 服务器资源池 服务器资源池 存储资源池 存储资源池 随着信息化系统的不断建设，最终实现完全资源池化的云模式数据中心。传统服务器与存储逐步淘汰，应用与数据向资源池迁移。服务器与存储资源池

7、随着业务量的增加逐步扩建。根据信息化调研情况，由于根据信息化调研情况，由于XXX集团各数据中心服务器与存储硬件使用时间较长，在更新换集团各数据中心服务器与存储硬件使用时间较长，在更新换代过程中逐步从传统服务器向资源池进行迁移。最终实现完全资源池化的数据中心。代过程中逐步从传统服务器向资源池进行迁移。最终实现完全资源池化的数据中心。7 7 数据中心资源数据中心资源-数据灾备数据灾备 根据根据XXX集团的信息化现状和需求可先建设数据级灾备；集团的信息化现状和需求可先建设数据级灾备；后续根据信息化发展情况，再逐步实现应用级灾备。后续根据信息化发展情况，再逐步实现应用级灾备。?通过在异地建立一份数据复

8、制的方式保证数据的安全性，当本地工作系统出现不可恢复的物理故障时，容灾系统提供可用的数据。数据级容灾是容灾的基础形式 数据级数据级 灾备灾备 由于只需要考虑数据的复制由于只需要考虑数据的复制和存放，不需要考虑备用系和存放，不需要考虑备用系统。实现起来相对简单，投统。实现起来相对简单，投资也较少。资也较少。应用级灾备还需要考虑数据应用级灾备还需要考虑数据复制的完全性、数据的一致复制的完全性、数据的一致性、数据的完整性、网络的性、数据的完整性、网络的通畅性、容灾切换的性能影通畅性、容灾切换的性能影响、应用软件的适应性改造响、应用软件的适应性改造等问题，以及为保证业务运等问题，以及为保证业务运行的所

9、需设备、环境、人员行的所需设备、环境、人员及其相应的管理。及其相应的管理。实现起来实现起来比较复杂，投资较大。比较复杂，投资较大。8 8?应用级容灾能保证业务的连续性。在数应用级灾备应用级灾备 据级容灾的基础上，建立备份的应用系统环境，当本地工作系统出现不可恢复的物理故障时，容灾系统提供可用的数据和应用系统。数据中心资源数据中心资源-本地备份本地备份 目前只有纳溪数据中心（目前只有纳溪数据中心（XXX公司股份）有本地数据备份系统，下一阶段各数据中心需公司股份）有本地数据备份系统，下一阶段各数据中心需先建设本地数据备份系统。先建设本地数据备份系统。数据中心数据中心 XX 数据中心数据中心 xx

10、数据中心数据中心 xx 数据中心数据中心 xx 数据中心数据中心 本地备份现状本地备份现状 下一阶段建设下一阶段建设 异地备份现状异地备份现状 无本地备份系统无本地备份系统 建设本地数据备份系统建设本地数据备份系统 无异地备份无异地备份 有本地数据备份系统有本地数据备份系统 无异地备份无异地备份 无本地备份系统无本地备份系统 建设本地数据备份系统建设本地数据备份系统 无异地备份无异地备份 无本地备份系统无本地备份系统 建设本地数据备份系统建设本地数据备份系统 无异地备份无异地备份 集团云中心集团云中心 有本地备份系统有本地备份系统 由华为云中心维护由华为云中心维护 华为异地备份华为异地备份 9

11、 9 数据中心资源数据中心资源-异地灾备异地灾备 根据根据XXX公司信息系统规划，异地数据灾备采用公司信息系统规划，异地数据灾备采用 暖备份方式暖备份方式。实现数据每日定时传输，实现数据的异步备份。实现数据每日定时传输，实现数据的异步备份。同步容灾：有距离限制同步容灾：有距离限制 2 1 3 4 RPO：0s，两个镜像完全相同，两个镜像完全相同 异步容灾：无距离限制异步容灾：无距离限制 3 1 4 2 RPO：从：从30min到数小时，定期到数小时，定期更新目标更新目标 灾备恢复 自动 自动 手动 手动 数据备份需求 实时同步复制(100KM)实时同步复制(100KM)同上 容灾模式 双活 热

12、备份 暖备份 冷备份 可靠性方案 集群+负载均衡 集群(cluster)人工干预 人工强干预 10 10 数据中心资源数据中心资源-异地灾备异地灾备 异异 地地 灾灾 备备 方方 向向 1 华为云中心部署应用系统数据，华为云中心部署应用系统数据，备份至备份至XXX集团数据中心。集团数据中心。2 3 集团部署应用系统数据，集团部署应用系统数据，下属企业部署应用系统数据，下属企业部署应用系统数据，备份至备份至XXX集团数据中心。集团数据中心。备份至华为云中心。备份至华为云中心。11 11 数据中心资源数据中心资源-数据灾备数据灾备 数据中心数据中心 本地备份本地备份 异地备份异地备份 异地备份地点

13、异地备份地点 第一步第一步 建设本地备份系统建设本地备份系统 XXX集团集团 数据中心数据中心 XX 数据中心数据中心 本地数据备份本地数据备份 异地数据备份异地数据备份 华为云中心华为云中心 本地数据备份本地数据备份 异地数据备份异地数据备份 XXX集团数据中心集团数据中心 第二步第二步 建设集团数据中心建设集团数据中心 xx 数据中心数据中心 xx 数据中心数据中心 xx 数据中心数据中心 本地数据备份本地数据备份 异地数据备份异地数据备份 XXX集团数据中心集团数据中心 第三步第三步 建设异地备份建设异地备份 本地数据备份本地数据备份 异地数据备份异地数据备份 XXX集团数据中心集团数据

14、中心 本地数据备份本地数据备份 异地数据备份异地数据备份 XXX集团数据中心集团数据中心 集团云中心集团云中心 华为本地备份系统华为本地备份系统 异地数据备份异地数据备份 XXX集团数据中心集团数据中心 根据先本地备份，根据先本地备份，再异地备份的建再异地备份的建设顺序，逐步实设顺序，逐步实现现XXX集团应用集团应用数据备份。数据备份。12 12 网络系统网络系统-集团局域网集团局域网 将局域网根据功将局域网根据功能不同划分区域能不同划分区域 各区域网络设备各区域网络设备均双机冗余结构均双机冗余结构部署部署 服务器区建设资服务器区建设资源池模式的服务源池模式的服务器与存储器与存储 办公网络区根

15、据办公网络区根据楼层及楼层平面楼层及楼层平面结构部署有线与结构部署有线与无线网络无线网络 13 13 网络系统网络系统-集团局域网集团局域网 XXX集团暂无集团层面的数据中心，在下一阶段发展中，需建设集团层面数据中心。XXX集团数据中心局域网建设集团数据中心局域网建设 内容内容 现状现状 下一阶段建设下一阶段建设 核心区核心区 核心交换机 服务器 无 无 无 无 无 无 无 无 无 无 无 部署双机冗余 部署服务器资源池 部署存储资源池 部署本地/异地数据备份系统 部署双机冗余 部署双机冗余 根据楼层部署 部署 部署根据楼层及平面结构 部署双机冗余 部署双机冗余 服务器存储区服务器存储区 存储

16、 数据备份系统 汇聚交换机 汇聚交换机 办公网络区办公网络区 接入交换机 无线控制器 无线AP 互联网区互联网区 外联区外联区 路由器 路由器 14 14 网络系统网络系统-企业局域网企业局域网 将局域网根据功将局域网根据功能不同划分区域能不同划分区域 各区域网络设备各区域网络设备均双机冗余结构均双机冗余结构部署部署 服务器区建设资服务器区建设资源池模式的服务源池模式的服务器与存储器与存储 办公网络区根据办公网络区根据楼层及楼层平面楼层及楼层平面结构部署有线与结构部署有线与无线网络无线网络 生产调度区根据生产调度区根据楼层及楼层平面楼层及楼层平面结有线网络结有线网络 生产车间区根据生产车间区根

17、据车间及车间平面车间及车间平面结构有线及无线结构有线及无线网络网络 15 15 网络系统网络系统-XXX公司股份局域网公司股份局域网 XXX公司股份公司有基础局域网络，但结构与功能性上需进一步完善。XXX公司股份局域网建设公司股份局域网建设 内容内容 现状现状 下一阶段建设下一阶段建设 核心区核心区 核心交换机 服务器 存储 数据备份系统 汇聚交换机 汇聚交换机 1台 传统架构 传统架构 本地备份 1台 1台 双机冗余 现有架构+服务器资源池 现有架构+存储资源池 本地/异地数据备份系统 双机冗余 双机冗余 部署 根据楼层及平面结构 双机冗余 双机冗余 根据车间平面结构部署 双机冗余 双机冗余

18、 服务器存储区服务器存储区 办公网络区办公网络区 接入交换机 无线控制器 无线AP 汇聚交换机 接入交换机 汇聚交换机 接入交换机 无线AP 路由器 路由器 根据楼层部署 无 无 1台 根据楼层部署 1台 根据车间部署 无 1台 无 生产调度区生产调度区 生产车间区生产车间区 互联网区互联网区 上联区上联区 16 16 网络系统网络系统-XX股份中心局域网股份中心局域网 XX股份公司有基础局域网络，但结构与功能性上需进一步完善。天华股份局域网建设天华股份局域网建设 内容内容 现状现状 下一阶段建设下一阶段建设 核心区核心区 核心交换机 服务器 存储 数据备份系统 汇聚交换机 汇聚交换机 接入交

19、换机 无线控制器 1台 传统架构 传统架构 无 1台 1台 根据楼层部署 无 双机冗余 现有架构+服务器资源池 现有架构+存储资源池 本地/异地数据备份系统 双机冗余 双机冗余 部署 服务器存储区服务器存储区 办公网络区办公网络区 无线AP 生产调度区生产调度区 无 1台 根据楼层部署 1台 根据车间部署 无 1台 无 根据楼层及平面结构 双机冗余 双机冗余 根据车间平面结构部署 双机冗余 双机冗余 汇聚交换机 接入交换机 汇聚交换机 接入交换机 无线AP 路由器 路由器 生产车间区生产车间区 互联网区互联网区 上联区上联区 17 17 网络系统网络系统-XX局域网局域网 ZZ公司有基础局域网

20、络，网络稳定性上有重大缺陷，结构与功能性需进一步完善。煤气化公司局域网建设煤气化公司局域网建设 内容内容 现状现状 下一阶段建设下一阶段建设 核心区核心区 核心交换机 服务器 存储 数据备份系统 汇聚交换机 汇聚交换机 接入交换机 无线控制器 1台 传统架构 传统架构 无 1台 1台 根据楼层部署 无 双机冗余 现有架构+服务器资源池 现有架构+存储资源池 本地/异地数据备份系统 双机冗余 双机冗余 部署 服务器存储区服务器存储区 办公网络区办公网络区 无线AP 生产调度区生产调度区 无 1台 根据楼层部署 1台 根据车间部署 无 无 无 根据楼层及平面结构 双机冗余 双机冗余 根据车间平面结

21、构部署 双机冗余 双机冗余 汇聚交换机 接入交换机 汇聚交换机 接入交换机 无线AP 路由器 路由器 生产车间区生产车间区 互联网区互联网区 上联区上联区 18 18 网络系统网络系统-XX局域网局域网 XX基础局域网络，网络较为稳定，结构与功能性需进一步完善。古叙煤田局域网建设古叙煤田局域网建设 内容内容 现状现状 下一阶段建设下一阶段建设 核心区核心区 核心交换机 服务器 存储 数据备份系统 汇聚交换机 汇聚交换机 接入交换机 无线控制器 无线AP 1台 传统架构 传统架构 无 1台 1台 根据楼层部署 有 根据楼层及平面结构部署 双机冗余 现有架构+服务器资源池 现有架构+存储资源池 本

22、地/异地数据备份系统 双机冗余 双机冗余 服务器存储区服务器存储区 办公网络区办公网络区 互联网区互联网区 上联区上联区 路由器 路由器 1台 无 双机冗余 双机冗余 19 19 网络系统网络系统-XX公司局域网公司局域网 XX公司有基础网络，下一阶段需完善企业局域网。宁夏和宁公司局域网建设宁夏和宁公司局域网建设 内容内容 现状现状 下一阶段建设下一阶段建设 核心区核心区 核心交换机 服务器 存储 数据备份系统 汇聚交换机 汇聚交换机 接入交换机 无线控制器 无线AP 汇聚交换机 接入交换机 双机冗余 服务器资源池 存储资源池 本地/异地数据备份系统 双机冗余 双机冗余 根据楼层部署 部署 根

23、据楼层及平面结构 双机冗余 根据楼层部署 服务器存储区服务器存储区 办公网络区办公网络区 生产调度区生产调度区 汇聚交换机 生产车间区生产车间区 双机冗余 根据车间部署 根据车间平面结构部署 双机冗余 双机冗余 接入交换机 无线AP 路由器 路由器 互联网区互联网区 上联区上联区 20 20 网络系统网络系统-企业无线网络企业无线网络 根据XXX集团及下属各企业现有有线IP网络，建设覆盖办公楼宇和生产车间的的无线网络。整个网络将全面支撑起办公和生产环境中各种移动化应用。AC设备设备?无线无线+移动移动 PoE交换机交换机?PoE交换机交换机 随地接入，移动性随地接入，移动性 弹性满足实际带宽和

24、弹性满足实际带宽和用户数需求用户数需求 接入交换机接入交换机 无线无线AP 无线无线AP 安全安全+移动移动?办公楼宇办公楼宇 有线无线覆盖网络有线无线覆盖网络 工业园区工业园区 无线覆盖网络无线覆盖网络?访客接入方便、安全访客接入方便、安全 访客区域内部用户隔访客区域内部用户隔离，限制互访离，限制互访 无线终端接入无线终端接入 21 21 网络系统网络系统-企业广域网企业广域网 XXX集团公司自建有四个数据中心，即：1、2、3、4。这四个数据中心均采用传统技术架构，独立部署，分别支持各自的应用系统，相互之间没有直接物理链路，可通过VPN方式进行访问 XXX集团及下属企业均通过互联网访问华为云

25、中心。XXX集团数据中心集团数据中心 1数据中心数据中心 2数据中心数据中心 3数据中心数据中心 4数据中心数据中心 部分应用迁移 用户用户?用户用户?用户用户?XXX公司股份公司/集团总部 XXX公司绿源醇业公司 XX化学公司 XX公司 XX XXX公司程建设公司 XX资产经营公司 XXXX XXX 用户用户?集团总部 XXXX （泸州市高新园区）（泸州市高新园区）用户用户?华为云数据中心华为云数据中心 集团总部 XXXXX 22 22 网络系统网络系统-企业广域网企业广域网 现状现状 各数据中心之间没有物理链路连接，使用VPN等互联网方式访问。以集团公司数据中心为中心，下属各企业以及华为云

26、中心均通过一条运营商专线连接到集团数据中心，实现星型互连网络。第一阶段建设第一阶段建设 第二阶段建设第二阶段建设 待集团及下属各数据中心局域网建设完善后，将第一阶段单条专线连接的模式，升级为双运营商链路的冗余模式。提高链路的带宽和可靠性。23 23 基础应用系统基础应用系统-视频会议系统视频会议系统 目标目标 通过高清视频会议系统，建立企业可视化会通过高清视频会议系统，建立企业可视化会议系统，议系统，“面对面面对面”的交流，良好的沟通，的交流，良好的沟通，大大提高工作效率。而且可以参与到长城能大大提高工作效率。而且可以参与到长城能化总部组织的视频会议中。化总部组织的视频会议中。视频会议室视频会

27、议室 会商会议室会商会议室 集团公司集团公司 主要内容主要内容?运营商专线运营商专线 部署部署MCU、录播系统和视频会议终端等设、录播系统和视频会议终端等设备；备；在各个视频会议室部署视频会议终端、高在各个视频会议室部署视频会议终端、高清摄像头、麦克、显示设备等。清摄像头、麦克、显示设备等。视频会议室视频会议室?视频会议室视频会议室 下属企业下属企业 1 下属企业下属企业 N 24 24 基础应用系统基础应用系统-视频会议系统视频会议系统 多功能会议系统是可以满足召开各种本地会议、演讲、报告、培训、多媒体会议等活动等需要的平台，集显示系统、会议系统、音频系统、中控系统、摄像系统、录播系统、灯光

28、系统为一体。灯光系统灯光系统 显示系统显示系统 摄像系统摄像系统 音频系统音频系统 录播系统录播系统 中控系统中控系统 桌面升降屏桌面升降屏 会议系统会议系统 25 25 基础应用系统基础应用系统-视频会议系统视频会议系统 集团公司视频会议按照多功能会议系统标准建设，实现视频会议主会场、控制分会场、录音录像等会议功能。下属二级企业按照分会场标准建设，实现参与会议功能。三级企业根据需求安装视频会议电脑端软件参与会议。XXX集团视频会议系统建设集团视频会议系统建设 XXX集团集团集团集团 集团公司集团公司 XXX公司股份公司股份 XXX XXX 二级企业二级企业 XXXX XXXX XXXXXX

29、三级企业三级企业 建设 建设 建设 电脑软件终端 建设 建设 建设 建设 建设 建设 建设 建设 建设 会议系统会议系统 建设 建设 建设 建设 摄像系统摄像系统 建设 建设 建设 建设 显示系统显示系统 建设 建设 建设 建设 中控系统中控系统 建设 录播系统录播系统 建设 音频系统音频系统 会议室装修会议室装修 建设 建设 建设 建设 建设 26 26 基础应用系统基础应用系统-安防监控安防监控 目标目标 建设一套性能合理、先进、实用、可靠、稳建设一套性能合理、先进、实用、可靠、稳定和可扩展的视频监控系统。为企业提供对定和可扩展的视频监控系统。为企业提供对厂区相关区域、场所进行厂区相关区域

30、、场所进行24小时全天候监控，小时全天候监控，及时发现可疑事件并在造成损失前进行处理；及时发现可疑事件并在造成损失前进行处理；如果事件发生，可以通过回放录像资料回顾如果事件发生，可以通过回放录像资料回顾事件发生时现场实际情况，尽最大可能挽救事件发生时现场实际情况，尽最大可能挽救损失。损失。主要建设内容主要建设内容?监监控控中中心心 监控平台监控平台 移动客户端移动客户端 数据存储数据存储 监控大屏幕监控大屏幕?集团层面建设统一视频监控平台系统；集团层面建设统一视频监控平台系统；统一监控平台实现移动端功能；统一监控平台实现移动端功能；集团及下属各企业分别建设监控中心；集团及下属各企业分别建设监控

31、中心；集团及下属企业办公楼宇目前已有监控摄集团及下属企业办公楼宇目前已有监控摄像头部署，对监控死角进行补充，对财务像头部署，对监控死角进行补充，对财务室、档案室等重要区域进行重点监控；室、档案室等重要区域进行重点监控；下属企业生产区根据需要部署监控摄像头；下属企业生产区根据需要部署监控摄像头；IP 网网 络络 监监控控终终端端 集团公司集团公司办公楼宇办公楼宇摄像头摄像头 下属企业下属企业办公楼宇办公楼宇摄像头摄像头 下属企业下属企业生产园区生产园区摄像头摄像头 27 27 基础应用系统基础应用系统-安防监控安防监控 监控中心监控中心 操作员操作员 大屏幕大屏幕 数字矩阵数字矩阵 统一监控平台

32、统一监控平台 录像存储录像存储 远程监控远程监控 IP网络网络 移动监控移动监控 PC客户端客户端 PAD 客户端客户端 手机客户端手机客户端 道路监控道路监控 楼层楼层/出入口监控出入口监控 无线监控无线监控 生产园区监控生产园区监控 28 28 计算机机房计算机机房 视视频频监监控控 环环境境监监控控 空空调调通通风风 消消防防系系统统 电电气气系系统统 综综合合布布线线 装装饰饰装装修修 门门禁禁系系统统 29 29 计算机机房计算机机房 根据行业通用机房国家标准根据行业通用机房国家标准 电子信息系统机房设计规范电子信息系统机房设计规范GB50174-2008 根据根据XXX集团信息化基

33、础现状集团信息化基础现状 A A级级 机房机房 B B级级?A级为容错型，在系统需要运行期级为容错型，在系统需要运行期间，其场地设备不应因操作失误、间，其场地设备不应因操作失误、设备故障、外电源中断、维护和检设备故障、外电源中断、维护和检修而导致电子信息系统运行中断。修而导致电子信息系统运行中断。?机房机房 C C级级 机房机房 B级为冗余型，在系统需要运行期级为冗余型，在系统需要运行期间，其场地设备在冗余能力范围内，间，其场地设备在冗余能力范围内，不应因设备故障而导致电子信息网不应因设备故障而导致电子信息网络系统运行中断。络系统运行中断。?C级为基本型，在场地设备正常运级为基本型，在场地设备

34、正常运行情况下，应行情况下，应 保证电子信息网络保证电子信息网络系统运行不中断。系统运行不中断。XXX集团数据中心，适用于集团数据中心，适用于B级机房建设标准级机房建设标准 XXX公司股份、公司股份、XXX、XXX适适用于用于 B级机房建设标准级机房建设标准 2数据中心、三级企业机房，数据中心、三级企业机房，适用于适用于C级机房建设标准级机房建设标准 30 30 计算机机房计算机机房-国家标准及行业通行规定国家标准及行业通行规定 电子计算机机房设计规范电子计算机机房设计规范 GB50174-93 电子计算机机房施工及验收规范电子计算机机房施工及验收规范 SJ/T30003-93 电子计算机房设

35、计规范电子计算机房设计规范 GB 50174-93 计算站场地技术要求计算站场地技术要求 GB 2887-89 计算站场地安全要求计算站场地安全要求 GB 9361-88 计算机机房用活动地板技术条件计算机机房用活动地板技术条件 GB 6650-86 电子计算机机房施工及验收规范电子计算机机房施工及验收规范 SJ/T30003 项目设计、施工符合项目设计、施工符合”低压配电设计规范低压配电设计规范 GB50054-95 供配电系统设计规范供配电系统设计规范 GB50052-95 高层民用建筑设计防火规范高层民用建筑设计防火规范 GB50045-95 室内装饰工程质量规范室内装饰工程质量规范 Q

36、B 1838-93 建筑物综合布线规范建筑物综合布线规范 ISO11801 电气装置安装工程接地装置施工及验收规范电气装置安装工程接地装置施工及验收规范 50169-92 通风与空调工程施工与验收规范通风与空调工程施工与验收规范 GB50243-97 建筑物综合布线系统检测验收规范建筑物综合布线系统检测验收规范 DB44/114-2000 电子计算机机房设计电子计算机机房设计规范规范GB50174-93、电子计算机机房施工电子计算机机房施工及验收规范及验收规范SJ/T30003-93”中的中的要求。要求。在进行系统设计时还遵在进行系统设计时还遵循了这些行业通用标准循了这些行业通用标准和规定。和

37、规定。31 31 IT运维管理运维管理 运维门户运维门户网站网站 用户 用户 用户 运运行行监监控控系系统统综合展现综合展现 运行监控与呼叫中心（一线支持）运行监控与呼叫中心（一线支持）呼呼叫叫中中心心系系统统运运维维服服务务管管理理系系统统 监控管理监控管理 运维工单管理（二线支持）运维工单管理（二线支持）服务器 网络 基础应用 运维管理对象（服务器、网络、基础应用等）运维管理对象（服务器、网络、基础应用等）32 32 IT运维管理运维管理?统一运维电话，向用户提供统一的服务窗口，通过语音提示、坐席排队等多种方式拉近与用户的距离，改善用户体验。?通过录音，监督坐席的服务质量，提升服务水平。?

38、实时监控基础设施各系统的运行状态，有故障或隐患及时报警并通过手机短信通知工程师，快速进行处理；提高故障处理效率。?通过监控，实现了运维工作从“救火”到“防患于未然”、“被动运维”到“主动运维”的转变。?实现了用户申报、监控告警、内部运维等所有运维事件，问题深入分析、系统变更等的全部登记，和对所有工单的跟踪，提高工作效率；?通过后续的统计分析，深入挖掘运维存在的问题，优化资源配置，对日常的运维工作安排有很重要的指导意义。1 呼叫中心系统呼叫中心系统 运行监控系统运行监控系统 2 3 运维服务管理系统运维服务管理系统 4 运维门户网站运维门户网站?提供在线故障申报、工单状态跟踪、知识共享、资料下载

39、等多种服务，丰富了用户服务方式，也可促进用户自我学习，处理简单电脑故障；?运维团队内部实现了运维资料、运维知识的共享，促进运维技术人员共同进步。上述四个平台通过集成，形成一个有机的整体，逐步建立起一套以上述四个平台通过集成，形成一个有机的整体，逐步建立起一套以流程管理流程管理（业务流程管理）为线索，将具体的（业务流程管理）为线索，将具体的监控监控（包括网络、主（包括网络、主机、存储、系统软件、应用软件的管理），并用机、存储、系统软件、应用软件的管理），并用服务等级管理服务等级管理（SLA）来考核的）来考核的IT综合服务支撑系统综合服务支撑系统。33 33 IT运维管理运维管理 运维流程概图运维

40、流程概图 (以事件管理为主线以事件管理为主线)事件工单统事件工单统 计报表计报表 重大问题重大问题 处理报告处理报告 监控监控 用户用户 申报事件申报事件 1、创建事件工单、创建事件工单 2、尝试解决、尝试解决 3、事件分类、事件分类 4、事件定级、事件定级 5、二线运维二线运维 知识库知识库 PRM会议记录会议记录 手机短信手机短信 变更通知变更通知 会议记录会议记录 问题跟踪记录表问题跟踪记录表 变更申请表变更申请表 S1 开始开始 S2 S3 S4 事件通告事件通告 紧急变更紧急变更 事件升级事件升级 危机会议危机会议 回访确认回访确认 问题管理问题管理 系统变更系统变更 一线、二线解决

41、一线、二线解决(平滑转移平滑转移)关闭关闭 事件事件“解决解决”（服务恢复）（服务恢复）创建工单创建工单 以事件为管理主线，根据问题影响程度将事件分为以事件为管理主线，根据问题影响程度将事件分为S1、S2、S3、S4四个级别。四个级别。1、S1/S2事件事件 2、重复性的、重复性的S3/S4事件事件 3、超时未关闭工单、超时未关闭工单 34 34 目录目录 1 第二阶段工作概述 应用系统架构规划 数据架构规划 2 3 4 IT基础设施与信息安全架构规划基础设施与信息安全架构规划 4.1 4.2 IT基础设施架构设计 信息安全架构设计信息安全架构设计 5 信息化组织与管控架构规划 35 35 信

42、息安全总体架构信息安全总体架构 参照信息安全技术 信息系统安全等级保护基本要求 GB/T 22239 的规定，信息安全的总体架构包括：信息安全技术、信息安全管理体系、信息安全运营管理三大部分 信息安全技术架构信息安全技术架构 1 3 2 信息安全管理体系信息安全管理体系 信息安全策略网络安全 应用安全 数据安全 主机安全 终端安全 物理安全?区域划分?防火墙?远程接入?入侵检测?准入控制?身份认证?授权管理?日志审计?代码安全?软件容错?数据保密?完整性保护?备份恢复?文档安全?安全加固?访问控制?日志审计?系统升级?桌面管理?病毒防护?补丁升级?外设安全?机房门禁?机房监控?电磁屏蔽?机房环

43、境 信息安全运维组织信息安全运行机制信息安全运营管理信息安全运营管理 信息资产风险管理日常安全运维管理安全监控与事件响应安全检查与审核1 2 3 结合结合XXX公司的现状情况，信息安全将重点加强网络安全、终端安全和应用安全建设公司的现状情况，信息安全将重点加强网络安全、终端安全和应用安全建设 36 36 网络安全网络安全 区域划分区域划分 防火墙防火墙 远程接入远程接入 入侵检测入侵检测 准入控制准入控制 37 37 网络安全网络安全-准入控制准入控制 准入控制系统的功能准入控制系统的功能 你安全吗？你安全吗？你可以做你可以做什么？什么？身份认证身份认证 接入请求接入请求 安全认证安全认证 合

44、法用户合法用户 合格用户合格用户 不合格不合格 进入隔离区进入隔离区 强制加固强制加固 动态授权动态授权 核心网络核心网络 不同用户享不同用户享受不同的网受不同的网络使用权限络使用权限 非法用户非法用户 拒绝入网拒绝入网 你是谁？你是谁？隔离区隔离区 38 38 终端安全终端安全-终端安全管理系统终端安全管理系统 1、XXX集团终端安全需建设桌面管理、病毒防护、补丁升级、外设接入等方面的防护功能；集团终端安全需建设桌面管理、病毒防护、补丁升级、外设接入等方面的防护功能；2、由集团公司统一采购终端安全管理系统；、由集团公司统一采购终端安全管理系统；3、终端安全管理系统自上而下推广，分级部署；、终

45、端安全管理系统自上而下推广，分级部署；桌面管理桌面管理 病毒防护病毒防护 补丁升级补丁升级 外设接入外设接入 39 39 终端安全终端安全-终端安全管理系统终端安全管理系统 终端管理系统基本功能结构图终端管理系统基本功能结构图 资产资产 管理管理 移动介移动介 质管理质管理 安全检安全检 查加固查加固 软件软件 管理管理 网络网络 管理管理 行为行为 检测检测 硬件资产登记注册硬件资产登记注册 介质注册管理介质注册管理 密码安全性密码安全性 注册表键值注册表键值 软件分发软件分发 网络异常检测网络异常检测 文件操作审计文件操作审计 软件资产登记注册软件资产登记注册 介质非法接入检测介质非法接入

46、检测 异常进程监控异常进程监控 非法启动项检查非法启动项检查 反反ARP攻击攻击 邮件收邮件收/发审计发审计 资产变更管理资产变更管理 读写权限控制读写权限控制 共享目录检查共享目录检查 软件黑软件黑/白名单白名单 网站黑名单网站黑名单 信息浏览、发布审计信息浏览、发布审计 进程统计进程统计 补丁安装情况检查补丁安装情况检查 非法外联监控非法外联监控 病毒库升级检查病毒库升级检查 软件防火墙软件防火墙 40 40 应用安全应用安全 通过应用通过应用安全网关安全网关与堡垒机与堡垒机的协作，的协作，实现代码实现代码安全、数安全、数据安全和据安全和日志审计日志审计的功能。的功能。41 41 应用安全

47、应用安全 1、XXX集团新建数据中心按照应用安全要求建设；2、下属各企业应用安全建设及建设步骤如下；3、XX公司新建网络参照其他下属单位应用安全结构建设；XXXXXX公司股份公司股份 XXXX股份股份 XXXX股份股份 XXXX股份股份 XXXX公司公司 第一阶段第一阶段 建设建设 1 1、集团建设统一身份认证系统，各企业分级部署，实现身份认证功能；、集团建设统一身份认证系统，各企业分级部署，实现身份认证功能；2 2、各企业数据中心分别部署堡垒机，保障服务器与应用系统安全；、各企业数据中心分别部署堡垒机，保障服务器与应用系统安全；3 3、各企业数据中心分别部署应用安全网关，实现应用日志审计功能

48、；、各企业数据中心分别部署应用安全网关，实现应用日志审计功能；第二阶段第二阶段 建设建设 4 4、扩展统一身份认证系统功能，实现权限划分与管理功能；、扩展统一身份认证系统功能，实现权限划分与管理功能；5 5、各企业数据中心分别部署数据库防火墙，实现代码安全保障；、各企业数据中心分别部署数据库防火墙，实现代码安全保障；42 42 应用安全应用安全-身份认证系统身份认证系统 集团统一部署身份认证系统，实现身份的统一认证、单点登录功能，企业所有的信息系统用户账户是一个的有机整体，使得企业信息系统的管理和使用安全、便捷，统一身份管理系统作为企业的一项基础IT资源，为企业将来信息化发展提供强有力的支撑，

49、同时提升企业的IT管理能力 43 43 应用安全应用安全-应用安全网关应用安全网关 XXX集团各企业在服务器区部署应用安全网关，保障企业自建应用系统的安全。实现日志审计，行为记录，代码安全，数据库安全的功能。应用安全网关应用安全网关 44 44 安全管理体系安全管理体系 1?提供管理信息安全的方针和支持 信息安全管理体系最核心内容是组织、策略、机制，使用下述信息安全管理体系最核心内容是组织、策略、机制，使用下述11个个安全域的安全域的37个安全类别来整体管理与控制安全体系个安全类别来整体管理与控制安全体系 1.信息安全策略信息安全策略 2.信息安全组织信息安全组织 3.资产管理资产管理 4.人

50、力人力 5.物理与物理与环境安全环境安全 7.访问控制访问控制 9.信息安全事件管理信息安全事件管理 10.业务连续性管理业务连续性管理 11.符合性符合性 6.通信与通信与操作管理操作管理 8.信息信息系统获系统获得、开得、开发与维发与维护护?访问控制的商业需求?用户访问管理?用户责任 7?网络接入控制?操作系统接入控制?应用接入控制?检测系统接入和使用?移动计算和远程办公?系统的安全需求?应用系统的安全 8?密码控制?系统文件的安全?开发和支持过程的安全?报告信息安全事件和弱点 9?信息安全事故的管理和改进 10?灾备中心的建设 2?信息安全基础设施 3?资产责任?信息分类?第三方访问的安