KJLXX2XZ-01集团公司信息化建设实施细则课案(共16页).doc

精选优质文档-倾情为你奉上文件代码KJLXX2XZ-01版 次1.0受控状态非受控页 数11 凯捷利集团有限公司Kaijieli Group 集团及各子公司信息化建设与管理实施细则编制部门签发日期发布日期实施日期批准人审核人会签人拟制人发送范围抄报：集团经营班子主送：集团全单位前言局域网是一个高速、稳定、安全、可靠、成熟的高性能系统。随着建设公司的不断发展和应用水平的提高，对局域网系统的需求也会不断增长，这对局域网的先进性、标准性、开放性、可扩展性、可升级性提出了很高的要求，同时还要满足易管理和易维护的管理需求。同时建设公司需要通过接入公网，成为整个信息高速高路的一个结点，开放性地融入全球信息网络。建设公司办公区信息接入点将通过局域网实现对Internet的统一访问。整个方案设计应体现以下特点：u 方案全部满足使用要求，在此基础上结合建设公司的具体应用情况以及功能需求，对局域网的先进性、易用性、可扩展性、开放性、安全可靠性、成熟稳定性、易维护管理性等因素进行综合考虑，系统全部选用高性能设备；u 整个局域网方案采用核心层和汇聚层两级局域网结构，核心层与汇聚层都采用百兆主干，保证了系统整体的高性能和高可靠性；u 系统均采用先进、成熟、安全、可靠、标准的技术和设备。能够满足建设公司近期与远期的发展需要。设备供应商是国内知名厂家或公司，信誉好，服务体系健全。u 重视网络与信息安全的管理。要解决好生产实时控制系统与管理信息系统、内部网络与外部网络、企业网与因特网等关键边界点的安全防护工作。建立包括各种应急恢复预案防范措施和网络实时安全监视技术措施的完整网络安全体系。1建设目标从信息化实施细则和目标来分析，大漕泾项目具体要求对网络建设要满足以下业务要求：11满足项目部在整个工程建设管理过程中，对计算机信息化所提出的各方面的需求。12建立内部域，实现计算机管理和项目部内部快捷、安全、可靠的数据共享和交流；对重要数据共享等，应严格控制好安全权限。13实现项目部与项目公司、各主标段施工单位、监理公司、设计工代等单位之间较快捷、安全、可靠的数据访问和连接，又具有比较安全的隔离措施；项目部、监理公司、设计工代等单位，办公场所将放置在同一区域内的，因此考虑将以上单位的所有计算机安排在同一个局域网，但对监理公司、工代的所有计算机将采用同一个网络底层交换机接入，设置与项目部字段不同的IP地址，底层交换机连接到布置在机房内的三层交换机上，与项目部的网络划分成不同的VLAN,来保证与项目部计算机之间物理上的隔离和数据的连接，以保证项目部计算机信息的安全性。14项目部与各主要施工单位之间的数据连接，考虑由施工单位的机房放光纤到项目部的机房，并将光纤连接到三层交换机，与我们划分成不同的VLAN。施工单位将通过这种形式来访问我们的P3E/C，PAP系统，WEB系统。15满足PAP工程建设管理信息系统、P3 E/C项目管理软件、工业监控、视频会议、项目部网站运行和发布等功能的要求。16具有较大的外网带宽，能够远程登陆，并能实现与上海本部、各项目部之间建立较快的数据交流。7与外网不仅要求具有物理上隔离和逻辑上连通的功能，还要具有VPN互连功能。18项目部内选用百兆带宽方案，现在的网络接点都对十兆和百兆带宽自适应，在费用上基本没有差别，为此所有的交换机必须选用百兆交换机；19防火墙开通VPN功能，可实现项目部与上海本部之间，项目部与项目部之间的安全互访；也可保证无论何时何地，只要计算机能够连上Internet，项目部员工就可以通过VPN的移动客户端服务，接入项目部或公司上海本部的内网进行正常的办公操作（为保证正常接入的速度，建议最好使用宽带接入）。110 建立数据备份机制，确保数据安全；111为了确保网络安全，对防火墙、三层交换机等设备安装调试要确保网络安全。112 各项目IP地址段应由上海本部统一分配。2系统规划21设计原则设计目标：l 先进性、实用性和易用性为了确保系统具有较长的生命周期，保护投资，在系统软硬件配置上，要综合考虑实用化目标、投资、以及国际计算机技术发展的趋势等因素，进行规划。l 稳定性、可持续发展和经济性系统建设考虑到系统以后的扩充和变化，保持系统的可扩展性，采用成熟、稳定、性能价格比高、扩展能力强的产品。l 开放性、标准性和可扩展性局域网络系统不仅是一个内部网络，同时要接入Internet，因此所使用的操作系统、网络通讯协议和接口必须符合国际标准，符合技术发展的潮流，以保持系统具有较强的互联能力，具有开放性和可扩展性。l 安全性、可靠性和可维护性系统具有很高的可靠性和安全性。尽量降低系统维护的难度和要求，方便用户日后的应用、管理和维护。建成的网络应该满足总体建设目标及以下需求：l 采用三层交换技术，整个局域网系统分为两级：核心层、汇聚层；l 核心层到汇聚层的网络带宽不低于百兆的高速互通；l 支持多媒体应用系统，提供高宽带，保证对实时数据流的传输；l 网络提供安全可靠的保证手段，以保证数据在局域网内安全传输；l Internet统一出口带宽为10M；22总体网络结构网络建设层次清晰，可以采用核心层和汇聚层两层结构，核心层到汇聚层的网络带宽不低于千兆，汇聚层到各楼层信息点的网络带宽不低于百兆（根据实际网络规模，核心层到汇聚层的网络带宽可以不低于百兆）。核心层及汇聚层网络支持多种千兆以太网接口（千兆多模、千兆电口）以及链路聚合技术，实现主干链路的高速互通。在计算机机房设核心交换机。局域网通过1台防火墙（路由模式）实现Internet接入。为保证网络的安全，不受到来自外网的攻击，在网络边界采用防火墙设备进行网络的保护。随着人员增加，网络可以通过新增接入层交换机，即可简单、方便实现扩充，保证未来使用。总部网络拓扑图如下：项目网络拓扑图如下：具体规划如下： 1中心交换机采用cisco 3550，各单位之间划分VLAN，做到隔离和互相访问策略配置。普通交换机为D-LINK 1024R+。 2所有服务器采用DELL 2950。主要使用三台服务器，使用windows 2000 server系统。 3防火墙使用东软产品，做到包过滤，NAT转换等服务。 4所用单位通过一条电信宽带连接到internet。 5. 所有座位模块接口直接安装在座位上。同时预留备用信息点。23 网络及硬件根据总部要求和项目具体情况进行规划，项目局域网络主要采用下列硬件设备：l 服务器：三台，主要有数据库服务器、WEB及文件服务器、域控制服务器，为项目网络提供服务和管理、存放数据库、文件资料等。l 防火墙：为项目网络提供上网、对外服务转换、控制管理等管理。l 三层交换机：CISCO3550，为项目各单位提供VLAN网络划分、控制和管理。l 普通交换机：D-LINK 1024 R+。l 其他：UPS、视频切换器、机柜、磁带机、打印机、扫描仪等。24 IP地址规划及DNS、DHCP在建设局域网时，为了保证建设公司网络系统建设的完整性和延续性，IP地址的规划应当统筹考虑，根据公司本部划分的网络段及网络的整体结构和规模来规划全网的IP地址。为简化局域网上IP地址的管理，建议局域网采用DHCP和固定IP结合方式，实现IP地址、网关、DNS服务器的自动分配，普通用户只需接到网络上，不经过任何配置就可以正常使用，大大简化了管理员的工作。DHCP要求配置在运行稳定可靠的服务器上，否则一旦出现故障，会影响所有使用动态地址分配的用户的使用。25网络安全为了保证项目内各单位之间业务沟通上需要，同时保证各单位之间安全，采用三层交换机进行VLAN划分，既可以保证各单位之间隔离又能实现互相访问。为了保证网络的高可用性与高可靠性，在局域网的Internet出口处配置1台防火墙。防火墙是设置在不同网络（如可信任的内部网和不可信任的外部网）或网络安全域之间的一系列部件组合。它是不同网络或网络安全域之间信息的唯一出口，能根据企业的安全政策，通过对IP地址、TCP/UDP端口等各个级别的详细配置控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施，作为局域网络安全的屏障，其主要目标是保护局域网络资源，强化网络安全策略；防止内部信息泄露和外部入侵；提供对网络资源的访问控制；提供对网络活动的审计、监督等功能。26公网接入技术为了访问Internet，需将局域网与Internet进行互联，以满足局域网高速、安全、可靠的与Internet进行互通。为了满足项目网络需要，项目可以采用10M光纤接入，对网络响应速度等做具体要求，同时要求拥有5个以上固定公网IP。27局域网建设 根据网络规划，结合以前项目部局域网建设的经验，按照项目部具体实际情况，进行大漕泾项目部局域网建设具体有以下几个方面：l 组网详细方案；完成网络拓扑结构图；l 选定局域网软、硬件配置；l 对项目信息点进行统计规划；l 根据办公室建筑设计图，完成网络线路设计，完成工程图纸；l 工程建设及设备调试。 注意：为了保证数据传输，对双绞线要求采用超5类线，对于距离比较远的地方和施工单位，要求采用光纤接入。3网络及硬件配置31 服务器配置项目部共配置3台服务器：l 主域及文件控制器一台（Xeon 3.0GHz/1GB/146GB）作为主域控制器和文件服务器。安装WIN2000 SERVER操作系统，要求安装最新补丁包，主要配置域和文件共享服务，同时配置DNS、WINS服务，主要为域、网站和管理信息系统服务。对文件共享权限要严格控制。l 数据库服务器一台（Xeon 3.0GHz/1GB/146GB）作为P3E/C软件和PAP系统的数据库服务器。安装WIN2000 SERVER操作系统，要求安装最新补丁包，安装SQL SERVER数据库系统，给数据库安装最新补丁，然后建立P3E/C和PAP系统数据库。l WEB服务器一台（Xeon 3.0GHz/1GB/146GB）作为P3的WEB环境发布、工业监控系统和项目内部网站的服务器。32 防火墙配置防火墙和VPN认证设备的型号使用与上海本部一致的型号、规格，具体为东大阿派软件公司生产的,具有IP sec VPN功能的NetEye FW4032-FE4-V系列的防火墙。用于ISP网络接入，防止网络攻击，设置网络访问规则，对网络内外互访进行安全控制，用于VPN连接。防火墙是在项目部局域网和Internet之间架设的网络隔离设备，通过对内网与外网之间交换数据的过滤，彻底保证内网的安全性，同时防火墙还具有路由和NAT功能，可进行内网和外网之间的地址转换和路由转换。具体要配置包过滤、地址转换、VPN等主要几个用途。33 三层交换机配置三层交换是在二层交换的基础上增加了路由模块功能的交换机，它又和简单的路由功能有区别，路由器实现的的是OSI网络层的数据路由，存在网络瓶颈问题，数据的路由转发不能以较快速度发送。而三层交换通常能够在居域网内以线速度进行交换，比一般路由器速度快10-100倍。它的基于网络层的VLAN网络分段功能能够使局域网广播风暴控制在VLAN之内，使得其不能在居域网蔓延，降低网络负载。在VLAN之间可以设定访问控制过滤的规则，能使其具有特定地址信息的接口的控制能力，既可以允许VLAN之间特定信息流通过，也可以阻止某个子网内用户访问特定信息。配置cisco 3550一台，作为整个局域网的核心交换机，用于接入防火墙，内网交换机接入，提高整体网络吞吐量，设置网络VLAN策略，实现业主、工程公司、监理、承包商之间更好的信息传输。根据项目需要和要求划分几个VLAN，把端口分配给各VLAN，各VLAN之间不能互相访问，但要能访问工程公司的PAP、P3E/C、网站等要求能访问的服务器，每个VLAN地址做为各网段计算机的网关，设置默认路由到防火墙等，也可以设置三层端口。34 VPN调试防止外部网络对内部网络的攻击，实现数据传输的安全和加密功能，利用公有的网络达到私有网络的效果。最终使中电投工程工程公司总部与各项目部之间连接成一个虚拟的局域网。全部VPN连接工作完成后将关闭公司总部和各项目PAP服务器的外网发布、将对知识库的连接全部采用内网地址，避免外网用户非法访问内网。对应用服务只保留WEB服务器、邮件服务器、即时消息服务器的外网发布。所以外网用户或局域网用户出差时使用PAP系统将通过VPN的移动客户端完成，内网用户将使用VPN网关，VPN网关将各个项目与总部之间连城一个局域网，使合法用户在各个项目之间的访问变得更安全和便捷。VPN(Virtual Private Network) 它指的是以公用开放的网络(如Internet)作为基本传输媒体，通过加密和验证网络流量来保护在公共网络上传输的私有信息不会被窃取和篡改，从而向最终用户提供类似于私有网络(Private Network)性能的网络服务技术。Firewall+VPNInternetFirewall+VPN35 网络及其他硬件l 磁带机：为了保证数据安全，对数据做好备份是十分重要的，采用磁带机进行备份。l 普通交换机：采用10M/100M自适应普通交换机，如D-LINK等。l UPS：配置UPS系统主要是考虑突然停电时，能满足对服务器数据的保存和服务器正常关闭等要求，对个人计算机将不作保护，因此可以选用容量较小的UPS系统，具体为3kW，2小时的UPS 。l 视频切换器：为了在机柜上好放置和节省硬件投资，几台服务器共用显示器、键盘和鼠标。l 投影仪：为项目开会和培训等提供投影所用。l 打印机：选择一台网络激光打印机作为主力打印机，应支持网络和双面打印，也可以根据实际情况选择l 扫描仪：工程资料有许多资料需要扫描，因此配备一台质量较好的扫描仪，具体可选用1200×2400dpi的分辨率，具有自动进纸功能的型号，建议为HP5550C或HP7450。l 机柜：放置机房内的网络设备、服务器等。4工业监控系统拟在施工现场设置2-3个视频监控点，通过视频的实时采集和远程传输，为各级管理人员远程掌握现场实况及全天候的现场监控提供技术支持。同时视频数据的记录和保存可为今后的现场追溯提供宝贵的历史资料。在上海本部网站上建立工业监控中心，进行管理和控制，做到统一管理、统一登陆，任意查看。同时在网站上建立项目监控设备运行情况。其用户级别理论上可设置0255级，系统默认提供的是ADMIN（0级）拥有全部功能权限和最高控制权、GUEST（255级）最低浏览权。实际运用拟增加以下几个级别：CPI（10级）集团公司领导层使用；CPIECB(20级)工程公司领导层用；CPIECBP（30级）工程公司项目部领导层、业主及其他授权用户用；加上默认的2级，一共有5个用户级别，当多个级别的用户同时登录监控系统时，高级别的用户将拥有对云台的控制权，低级别的用户只能被动浏览。为保持帐号口令的安全管理，系统管理员将不定期地修改口令，各级用户使用时若发现口令失效，可致电系统管理员重新获取。主要实施步骤：l 安装调试视线路远近预计需1周左右（实际工期会拉得较长，因为各个点的安装是分别进行的，且要受到现场施工条件的制约）。l 同时需落实管沟开挖线缆敷设的施工任务和工业监控支架制作任务。l 为了保证视频质量，线路要求采用光纤传输。注意事项：l 为确保合理布局，项目主管部门对摄像机的一些技术性能，比如焦距、视角、分辨率、抗干扰性等的实际效果要有一定的感性认识，监控点的设置要提早规划勘测，这样才能提出符合工程实际的布置方案，争取一步到位。5视频、电话会议系统51视频会议设备配置各项目在会议室配置一台ZION3000视频服务器、一体球机、软件及加密狗等，由上海本部统一布置，各项目统一集成到视频会议中心，在后台进行统一设置和管理。各项目做好会议室设备安装、灯光调整等工作。通过防火墙转换对外提供服务。视频会议时，通过公司网站入口登陆视频会议系统，进行会议。52电话会议设备配置各项目在会议室配置一台电话终端设备，由上海本部统一布置。各项目做好会议室设备安装、灯光调整等工作。通过防火墙转换对外提供服务。电话会议时，使用终端拨入会议系统，进行会议。也可通过手机、固定电话等接入会议系统，进行会议。53 会场要求会场装修和家具宜采用浅色、偏暖色调。会场内不要使用室外光，所有窗户应用深色窗帘遮挡。使用人工光源时，推荐使用色温为的三基色灯，且不要与日光灯混装。发言席后不要放置复杂景物，否则将增加拍摄画面的信息量，影响视频压缩编码效果。为了保证收看到的图像清晰，各会场采用投影机作为会议的显示设备，对投影仪的选型必须具有VGA输入接口和视频输入接口。麦克风输入到调音台，调音台需将音频输出输入到功放和视频终端，所以调音台必须有两个音频输出接口。并且对音频输出需<22.5dB，最好可调节。各会场均需要提供宽带网络接入，并具有合法IP地址。当用户确定会场后，应在相应的地方布置网络线路并能与远端会场连通，同事提供至少3个接口的电源插口。6. 数据备份61数据备份工程建设过程中产生大量的数据，如P3数据库数据、PAP数据库数据、文件数据、财务数据、网页数据、现场监控数据等等，将通过磁带机备份系统完成安全备份，下面是主要的备份机制，详细情况将另外制定项目部网络安全管理规定。l PAP数据：每天三次差异备份，下午下班后一次完全备份，在硬盘上保留七天，晚上再备份到磁带机。l Web数据：每天晚上一次完全备份，再备份到磁带机。l P3E/C数据：每天晚上一次完全备份，在硬盘上保留最近7天的数据，再备份到磁带机。l 文件服务器数据：每月末光盘或磁带机备份。l 对于操作系统和其他数据（服务器和防火墙的日志）每周5晚上进行磁带机备份，保留90天。l 对光盘、磁带机等存储介质内的数据应进行定时恢复演练和可靠性测试。对数据库等重要备份数据要求一个星期进行一次，对其他备份数据一个月必须进行一次。62 部门数据备份对于各部门、个人重要数据，每个人也要及时做好备份，以防止数据意外丢失，可以在文件服务器上设置部门备份文件夹供各部门备份数据。每个星期对部门备份数据备份到磁带机内， 其他重要资料数据同样可以在服务器上设置专门备份文件夹。63 重新安装计算机数据备份对任何计算机或服务器进行操作系统重装或任何硬盘格式化时必须由用户对重要数据备份进行确认。备份方式可以采用：l 备份到他人计算机上l 备份到服务器上l 备份到移动硬盘等设备上7病毒防范及网络安全71计算机病毒防范杀毒软件将统一使用赛门铁克公司的网络版杀毒软件（8.6版），以满足在项目局域网涉及范围内的病毒防范需求。由工程公司上海本部捆绑购买150个客户端。对操作系统要求安装最新补丁程序。对最新病毒情况要及时了解，做好防范工作，发布病毒防范警报。主要实施步骤：l 在服务器上安装杀毒软件服务器端程序l 每台计算机上安装客户端程序l 定期升级病毒库l 定期查杀病毒l 发布病毒警报72重要设备密码管理制度（服务器、防火墙、中心交换机）l 对于服务器域管理员密码、防火墙设置密码及中心交换机密码，其长度应超过八位，不应使用与个人信息有关的文字，用数字、字母及符号共同组成密码；l 知道密码的人员仅限于网络管理员，网络管理员不应将密码告知其他无关人员；l 密码需要定期更换，以防止因密码长期不变而被攻破，在更换前网络管理员应协商确定新的密码，更新以域管理员帐号启动的相关服务的密码。密码的更换周期应视网络安全情况而定。l 对拥有域管理员权限的网络管理员帐号，使用该帐号的人员应注意密码安全问题。73 文件安全 对服务器上共享文件要严格设置共享及安全权限，特别是重要及财务等数据。 主要注意点：l 对于公用文件，如安装程序，可以设置对每个人共享，但是对任何人都只能是只读权限。l 对于如部门备份这样的共享文件夹，对于里面各部门的备份文件夹一定要设置层层安全的文件访问权限和读写权限。l 对于十分重要数据，建议最好不要共享，如果共享也要采用隐藏共享的方法进行共享，权限严格控制。74网络安全通过防火墙、三层交换机等技术手段实现网络安全的保障，确保项目部与外界、各参建单位之间实现物理上隔离和逻辑上的连通。l 内部网段之间安全：在局域网发展的过程中，安全性和互通性一直比较难实现，两者之间存在对立统一的关系，特别对于内部网络上的安全很难控制和把握。当所有计算处于同一个网络，如果内部其中一台计算机被恶意的入侵者控制，整个网络就完全暴露了，而要实现内部用户隔离也是一个困难问题，如果只是简单的设置限制用户访问或密码访问，内部用户只要使用简单的黑客工具就可以轻易实现访问数据，恶意内部用户入侵可能如捅破一层纸一样轻易实现。但是如果把所有计算机分配在不同的局域网网段中，让两个子网之间使用专用路由器连接，那么两个网段之间的数据共享也成了一个难题，而且使用路由器连接造成网段之间出现瓶颈问题。三层交换机的出现解决了这一难题，使得局域网交换能够实现安全数据交换。三层交换是在二层交换的基础上增加了路由模块功能的交换机，它又和简单的路由功能有区别，路由器实现的的是OSI网络层的数据路由，存在网络瓶颈问题，数据的路由转发不能以较快速度发送。而三层交换通常能够在居域网内以线速度进行交换，比一般路由器速度快10-100倍。它的基于网络层的VLAN网络分段功能能够使局域网广播风暴控制在VLAN之内，使得其不能在局域网蔓延，降低网络负载。在VLAN之间可以设定访问控制过滤的规则，能使其具有特定地址信息的接口的控制能力，既可以允许VLAN之间特定信息流通过，也可以阻止某个子网内用户访问特定信息。l 内部网段和外部网段之间安全：防火墙技术是一个使得内部网络和外部internet网络之间物理隔离的一种技术，它是内部网和外部网之间的分界点，其通过检查经过防火墙的出站入站连接实现数据包的过滤和控制，并监控记录所有出站入站活动信息，对非安全的连接提供警告，阻止内部网络信息的泄露。基于流过滤规则的neteye防火墙，其包含所有一般的包过滤防火墙功能，应用级网关防火墙功能以及状态包防火墙功能，另外防火墙本身内含了VPN功能。防火墙具有防御SYN FLOODING，LAND FLOODING，UDP FLOODING，IP分片攻击等洪水攻击具有阻断能力，并能够阻断黑客工具的恶意扫描，防止系统信息的泄露。防火墙使用特殊的IP协议指纹栈,消除了TCP/IP协议指纹栈本身的缺陷，消除了潜在协议风险，并能够躲避高级扫描软件通过对协议栈进行分析来确定系统的操作系统类型和版本等信息，保证防火墙本身的安全。防火墙本身带有的VPN数据加密（DES,3DES,RC4等加密方式）和身份认证多样性（RADIUS,Kerbose,TACACS/TACACS+,数字证书等认证方式），可以让外部移动办公人员可以通过认证服务器以加密认证方式远程接入项目局域网网络，保证外部移动办公连接入站的安全。同时利用VPN（虚拟专用网络）技术实现项目部与工程公司上海本部之间，项目部与项目部之间的安全互访，并为公司员工利用互联网，在出差期间异地接入公司的内网进行正常的办公操作提供技术条件。l 防火墙、三层交换机安全设置 对于内部服务器对外提供服务，应该在防火墙中严格设置端口开放，对于包过滤规则也应严格控制，确保内部网络对外部安全。三层交换机要制定安全的访问控制规则，应该让VLAN之间访问有安全访问规则控制。主要实施步骤：l 规划好内部网络、外部网络安全控制规则。l 在设置网络设备时按安全规则执行。l 日常做好防火强安全管理和维护工作。专心-专注-专业