网络安全规划建议书v1.doc

《网络安全规划建议书v1.doc》由会员分享，可在线阅读，更多相关《网络安全规划建议书v1.doc（71页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、XXXX系统规划建议书运筹帷幄，持续安全XXXXXX信息化建设规划建议书 版本V1.1连云港大经网络工程有限公司第 70页 /共 70页目 录1信息系统现状41.1总体描述41.2需求调研42风险分析52.1可能面临的威胁影响52.1.1对资产产生的影响52.1.2对系统产生的影响82.1.3对业务产生的影响102.1.4对机构产生的影响123需求分析133.1系统规划133.1.1现状描述及分析133.1.2分析结论133.2核心网络系统分析143.3集团信息系统安全分析143.3.1服务器及数据存储问题143.3.2网络边界防护问题153.3.3网络链路安全问题153.3.4数据信息保护措

2、施153.3.5病毒防护问题153.3.6应用交付问题163.3.7应用审计和带宽管理问题163.3.8运维管理问题163.3.9分析结论174总体安全技术部署建议184.1数据存储及应用服务器解决方案184.1.1服务器产品选型及参数184.1.2解决方案说明204.1.3存储产品选型及参数264.1.4存储解决方案说明274.2网络边界安全建议284.2.1网络访问控制284.2.1.1产品推荐及参数294.2.1.2山石网科防火墙解决方案304.2.2入侵防御系统314.2.2.1产品推荐及参数324.2.2.2山石网科入侵防御解决方案334.2.3加密传输系统354.2.3.1产品推荐

3、374.2.3.2深信服VPN及加速解决方案384.2.4异地容灾备份系统404.2.4.1产品推荐及参数414.2.4.2备份及应用容灾解决方案414.2.5上网审计系统454.2.5.1产品推荐及参数454.2.5.2上网审计解决方案464.2.6WEB防护系统474.2.6.1产品推荐484.2.6.2网站安全防护解决方案484.2.7防病毒系统504.2.7.1网关防毒墙系统504.2.7.2防毒墙部署方案504.2.7.3产品推荐504.2.7.4趋势防病毒解决方案514.2.8流量控制系统534.2.8.1产品推荐及参数介绍534.2.8.2深信服流量管理功能介绍544.2.9负载

4、均衡系统574.2.9.1产品推荐及参数574.2.9.2深信服应用交付解决方案584.2.10运维管理系统604.2.10.1产品推荐及功能介绍624.3安全建设建议规划拓扑图675规划总结686清单691 信息系统现状1.1 总体描述XXXXXX集团有限公司是XXXXX公司。是闻名遐迩的“淮盐”主产地，总部位于XXXX。公司下辖XXXXXX，历史悠久。主要从事于XXXXXXX等生产经营，前景辉煌。随着企业规模的增加，以前的信息化管理已经不能很好的满足发展的需要了，随着企业规模的增加，信息化的更新也越来越显得重要。企业管理人员可以借助于信息化的建设更好的使企业的办公效率和人员管理方面变得简洁

5、。因此盐化集团领导深切的意识到这点，预借助企业管理系统来使得企业的不断发展变得更加有效。1.2 需求调研随着信息化程度的不断加深，机关或者企业单位对于信息化的使用程度也越来越高，越来越多的信息需要通过网络来进行交互，才能使得办公的效率不断提高。XXXXXX与下属十多家下属企业需要通过ERP系统建立起一套完善的机遇信息化的管理流程，才能够面对企业的不断发展所带来的问题。而且信息化的建设也会随之带来企业管理的效率，可以有效的降低企业的管理成本。根据XXXXXX信息系统建设的要求，需要实现以下两点要求1、 建成总部集团的数据中心，配备相关的硬件设备。2、 下属各企业需要通过某种方式加入到总部集团的管

6、理范围内，进行有效的远距离高效管理。我们将根据已有的信息化系统和对于未来建设的要求，为XXXXXX集团搭建安全的信息平台。2 风险分析2.1 可能面临的威胁影响ERP.BPM等信息系统面临着威胁，而系统本身又存在着相应的脆弱性，一旦条件成熟，安全威胁发生成为安全事件，就有可能对整个系统造成很大的影响。下面根据造成影响的不同程度和受到影响的不同对象来分析每一种威胁对资产、系统、业务以及机构产生的影响。2.1.1 对资产产生的影响在上述的描述中，将资产分为硬件资产、软件资产和数据资产。每一种威胁都会对不同的资产造成不同的影响。具体描述如下：用户身份的假冒可能会使服务器、终端设备、网络设备等硬件资产

7、受到一定程度的破坏，从而影响这些设备的正常运作。服务器、工作站等的破坏也会造成依赖于这些硬件设备存在的软件和数据资产遭受破坏，导致它们的不可用。对软件资产来说，这个威胁也会导致系统软件、业务应用软件、办公自动化软件和其他软件被破坏，影响软件的相关功能，甚至使软件不能运行。最后，这种威胁对数据资产发生的可能性最大，特别是ERP业务数据，一旦被非法用户假冒成功，其可用性、完整性和保密性都会遭受到破坏。应用程序的非授权使用主要会影响软件资产和数据资产。软件资产若遭受非授权使用，可能会影响软件的可靠性、稳定性和健壮性，破坏软件的重要功能。对数据资产来说，这种威胁可能会导致对受限文件的读取、对数据的未授

8、权操作等越权行为，造成重要数据的泄露、非法删除或更改。损害或破坏性程序的引入会给服务器、终端设备带来一定的硬件损伤，常见的如CIH病毒会导致主板损坏。对软件资产而言，这种威胁发生将破坏软件的正常运行，甚至导致系统死机，扰乱了工作和业务秩序。若数据资产遭受这种威胁，可能会导致数据的不可用、破坏和泄露。系统资源的不正当使用主要影响网络布线系统、电源空调照明等辅助设备和业务数据、办公数据等。就硬件资产而言，这个威胁会导致相关材料和设备的短缺和不正当损耗，不能满足XXXXXX集团工作和业务需要。就数据资产而言，这个威胁主要是职员滥用XXXXXX集团的信息资源，可能会使重要数据外泄，破坏了数据的保密性。

9、通信渗透对软件资产和数据资产会产生影响。整个信息系统是一个完整的网络系统，但这个网络并不一定是安全的，因此诸如黑客攻击等通信渗透威胁的影响不可忽视。对软件资产来说，这种威胁一旦发生，可能会造成软件系统的破坏，影响系统软件、ERP业务应用软件和办公软件的正常运行，严重时会使软件系统崩溃。数据资产受到这种威胁，可能会造成数据的破坏，特别对ERP业务数据，如果攻击的次数增多，甚至会使系统因承载能力不够而中断，从而使重要数据不可用时间较长。通信侦听主要是对ERP业务数据、办公自动化数据等应用类数据资产产生影响。引起通信侦听的主要原因是传输介质和协议不安全，非法用户通过搭线窃听、无线接听等方式，导致这些

10、重要数据的泄露，破坏数据的保密性。通信操纵影响着软件资产和数据资产。诸如错误的信息插入、故意的无序传送、故意的错误路由等操纵手段，会扰乱软件系统的运行秩序，使软件功能的正常发挥大受影响。对数据资产而言，这种威胁会导致数据的非法生成、变更、泄露、丢失和破坏，从而影响正常的数据处理和分析，妨碍相关的业务和工作。意外数据量的增大对ERP业务数据有影响。这种威胁发生后，可能会造成是某些业务数据的不可用时间较长，数据传输速度减慢，影响相关业务的正常进行。抵赖会对ERP业务数据有影响。这种威胁是合法用户对业务数据的否认，一旦这种事件发生，会影响数据的正确性，使部分重要数据暂时不可用，给整个ERP业务带来一

11、定的影响。连接失败影响着ERP业务数据和办公自动化数据等数据资产。连接失败是属于意外的威胁，是无法事先估计的，因此它的影响的程度弹性很大。它主要会导致数据不可用，甚至使数据被丢失或破坏，妨碍相应的工作和业务。恶意代码的嵌入对软件资产和数据资产有影响。这种通过网络途径进入的恶意代码，可以攻击到系统、ERP业务和办公自动化等软件，从而破坏了软件的功能，扰乱了系统的正常运行，甚至导致系统的瘫痪。对数据资产而言，这种威胁发生也会破坏数据的可用性、完整性和保密性，给相关的业务和工作造成较大的影响。意外错误的路线会对业务数据和办公数据等网络通信中传输的数据资产产生影响，可能导致这些数据的泄露、破坏或丢失以

12、及不可用，影响业务的正常运行。主机技术故障的威胁会使服务器的可用性受到影响，另外，依附在它上面的软件资产和数据资产也可能因此受到破坏，甚至造成数据的丢失。工作站技术故障的威胁会使终端设备的可用性受到影响，而且依附在它上面的软件资产和数据资产也会因此受到破坏或丢失。存储设备技术故障是针对数据资产而言的，这种威胁一旦发生，就会导致数据的丢失或破坏，从而影响整个工作和业务的正常进行。网络分布组件的技术故障发生，可能会影响到网络设备及传输中的业务数据和办公数据等，造成它们的不可用。网络管理/服务技术故障如果出现问题，如访问控制出错、网络协议出错，可能会导致数据资产的不可用或在传输中被破坏和泄露。网络接

13、口技术故障也是针对数据资产而言的，这种威胁若成为事件，可能会造成传输的业务数据和办公数据不可用时间较长。系统或网络软件故障对软件资产和数据资产都会产生影响。这些软件所有应用软件和重要业务数据的支撑平台，它们出现故障，可能会导致系统运行不正常，甚至是系统软件自身及应用软件和数据资产的不可用和破坏。电源故障如果成为事件，硬件资产可能会造成部分硬件的损坏，影响更大的是数据资产，因为断电的突然性，会导致数据丢失和不可用。空调故障，这种威胁发生后，可能对一些重要的硬件会造成某种程度的损伤，影响它们的正常工作。操作错误和维护错误是人为的原因，因此对所有硬件资产、软件资产和数据资产都会有影响。这种威胁发生，

14、会使硬件资产遭到不同程度的损坏。对软件资产同样，错误的操作会使软件受到破坏甚至不能再运行。数据资产是最重要，也最难恢复，用户操作错误严重时，会导致数据不可用、破坏或丢失。火灾、水灾和自然灾害对硬件资产、软件资产和数据资产也都会产生影响。这些事件意外的可能性较大，造成的后果也会很严重。它们发生后，硬件资产最先受到破坏，甚至是毁灭，从而依附于服务器或终端等的软件和数据也就不复存在，影响非常大。偷窃的威胁是对硬件资产和数据资产来说的，最终导致物理设备和数据资产的丢失，从而使整个系统和业务发生中断。人员故意损害是对硬件资产、软件资产和数据资产的威胁。一旦发生这种事件，可能造成的影响会很严重，使硬件资产

15、的硬件受损以至不可用，软件资产功能受破坏或不能再正常运行，使数据资产的可用性和完整性受到破坏，从而影响整个系统的正常运行。2.1.2 对系统产生的影响上述威胁一旦成为事件，对整个网络系统会造成不同程度的影响，具体分析如下：用户身份的假冒，这种威胁发生后可能会造成系统的某些硬件、软件方面的破坏或数据的不可用，从而引起整个网络系统不能正常运行，甚至中断。应用程序的非授权使用，是非法用户或特权小的用户的越权行为，这种事件发生后，可能使软件资产或数据资产遭受破坏，从而使系统的正常运行受到影响或发生中断。损害或破坏性程序的引入，会导致硬件的损坏，软件不能正常运行，可能表现在系统运行速度变慢，系统死机等状

16、况，从而造成系统的部分中断，甚至是整个系统的瘫痪。系统资源的不正当使用，可能会因数据量增加或网络线路容量的减少导致系统线路的堵塞，影响系统的运行速度。通信渗透，是通过网络对系统进行的攻击，不同的攻击类型对系统造成不同的影响，可能系统运行的正常性遭到破坏，也可能使整个系统中断。通信侦听是对数据的窃取，不会造成系统的破坏。通信操纵，是通过网络进入系统并进行破坏性的操作，不同的操纵类型可能对系统造成的的影响不同，一般只是单纯的影响系统正常运行，严重时也会使系统中断。意外数据量的增大是发生频率较大的威胁，这种威胁发生后，可能会导致系统运行速度减慢，网络线路阻塞甚至导致服务器CPU承载能力不够而死机，从

17、而使整个系统瘫痪。抵赖，一般是系统用户对自己的操作或未操作行为的否认，不会造成系统的破坏。连接失败，这种威胁发生后对系统影响很大，可能只是暂时使系统中断，也有可能造成系统中断很长时间。恶意代码的嵌入，这种通过网络通信的途径传播的破坏性代码，可能会破坏系统软件或业务应用软件，从而影响了系统的正常运行，如运行速度变慢，系统死机等。意外错误的路线，不会对系统的运行造成较大的影响。主机技术故障，即服务器出现故障，对系统的影响依赖于故障的大小，可能对系统正常运行影响轻微，也可能因故障严重导致系统中断。工作站技术故障，在这里指终端设备出现故障，如果仅仅是办公网的微机的问题，对整个系统的运行影响很小，如果是

18、其他中间设备出现问题，对系统的影响就要依赖于故障的大小了，可能对系统影响很小，也可能导致系统中断。存储设备技术故障，即存放的数据受到了破坏，或者不可用，或者丢失，而系统的运行离不开数据，所以只能导致系统的中断。网络分布组件技术故障，对系统的影响同样依赖于故障的严重程度，故障很小可能只是轻微的影响系统的正常运行，故障大就可能造成系统的中断。网络管理/服务技术故障，一般是指软件方面的网络管理/服务出现故障，如通讯协议出错，这对系统的正常运行影响较大。网络接口技术故障，这些网络系统的关键部位出现问题，对系统影响较大，可能不能正常运行，可能出现中断。系统或网络软件故障，对系统影响严重，轻的使系统运行出

19、错，严重时系统瘫痪。应用软件的故障，是应用软件中出现错误，同样对系统影响严重。电源故障，对系统运行影响严重。系统的运行离不开供电，因此电源一旦出现问题，系统即中断。空调故障，这种威胁发生后，可能对硬件方面造成某种程度的损伤，间接的影响了系统的正常运行。操作错误，一般小错误不会对系统造成特别严重的的影响，但也可能影响系统的正常运行，或发生暂时的系统中断。维护错误，同上面的错误，对系统影响一般。火灾，水灾及自然灾害，这些威胁发生后，可能整个网络系统至少发生中断，甚至是瘫痪，造成巨大的损失。偷窃，是非法用户对ERP机构硬件资产和数据资产的威胁，这些重要的资产一旦丢失，可能会使系统发生中断，影响系统正

20、常运行。人员不足，对系统的影响是间接的，系统发生的任何问题都需要足够的技术人员来维护，在关键时候人员的不足也会给XXXXXX集团造成巨大的损失。人员故意损害，对系统的影响是不可估量的，可能仅仅使系统的正常运行受到轻微影响，也可能造成整个系统的瘫痪。2.1.3 对业务产生的影响威胁发生后，对整个业务造成的影响是最关心的，即使影响很小，也要对此采取相应的措施。对于每种威胁所造成影响的具体分析如下：用户身份的假冒，这种威胁发生后，如果某项业务或多项业务的重要硬件、软件方面发生物理损坏，或者重要业务数据不可用，可能会造成这项业务或多项业务不能正常运行，甚至发生中断。另外，不同业务用户间的身份假冒也会对

21、业务的正常运行造成一定的影响。应用程序的非授权使用，可能会因软件资产或数据资产的破坏，影响各具体业务的正常运行，甚至使某些业务发生中断。损害或破坏性程序的引入，这种威胁发生机率较大，特别是对交互和资金清算业务影响较大，一旦造成硬件或软件的损坏，可能会使整个业务系统的运行发生中断，甚至瘫痪。系统资源的不正当使用，可能会因系统的运行速度受到影响而使各业务运行速度下降。通信渗透，是对网络系统的攻击，系统造成的影响不同，各业务所受到的影响也就不同，可能运行只受轻微影响，也可能造成整个业务系统中断。通信操纵，这种操纵手段一旦成功，对各业务影响都较大，可能使业务运行时发生错误，也可能使其中断。意外数据量的

22、增大是在业务量波动较大时发生频率较大的威胁，这种威胁发生后，可能会造成是ERP公文交换、内部邮件、网站等业务运行速度减慢，网络线路阻塞甚至导致服务器CPU承载能力不够而死机，从而使整个ERP业务受到严重影响。抵赖，一般是系统用户对自己的操作或未操作行为的否认，不会造成业务影响。连接失败，这种威胁发生后对各业务影响都很大，可能只是暂时中断，也有可能造成业务中断很长时间。恶意代码的嵌入，如果这种威胁发生，一旦破坏了系统软件或业务应用软件，可能会影响到各业务的正常运行，甚至导致业务中断和崩溃。意外错误的路线，可能使业务数据泄漏或丢失，从而影响了ERP业务的正常运行，但不会对业务造成太大的影响。网络分

23、布组件技术故障，对业务的影响依赖于故障的严重程度，故障很小可能只是轻微的影响业务的正常运行，故障大可能造成业务发生中断。网络管理/服务技术故障，一般是指软件方面的网络管理/服务出现故障，如系统访问控制出错、通讯协议出错等，这对各业务的正常运行影响较大，也可能会造成业务的运行出错。网络接口技术故障，这些网络系统的关键部位出现问题，对部分数据传输业务影响较大，可能不能正常运行，可能出现中断。系统或网络软件故障，对各业务影响严重，轻的使业务运行出错，严重时业务瘫痪。应用软件的故障，对业务影响严重，哪种软件出现故障，则哪种业务受到影响，可能会运行出错，也可能系统瘫痪。电源故障，对各业务影响严重。所有业

24、务的运行离不开供电，因此电源一旦出现问题，业务即中断。空调故障，对硬件方面造成某种程度的损伤，间接的影响了业务的正常运行。操作错误，一般小错误不会对业务造成特别严重的的影响，但也可能影响业务的正常运行，或发生暂时的业务中断。维护错误，同上面的操作错误，对业务的影响依赖于维护人员的错误程度。火灾，水灾及自然灾害，这些威胁发生后，可能会导致各种业务发生中断，甚至是瘫痪，造成巨大的损失。偷窃，可能造成硬件资产和数据资产的丢失，间接的影响了业务，导致业务发生中断，影响它的正常运行。人员不足，对业务的影响也是间接的，各ERP业务中发生的所有问题都需要足够的专业人员来维护，在关键时候人员的不足也会给XXX

25、XXX集团机构造成巨大的损失。人员故意损害，对各业务的影响是不可估量的，可能仅仅使业务的正常运行受到轻微影响，也可能造成整个业务的瘫痪，特别是公文交换系统出现问题，影响巨大。2.1.4 对机构产生的影响对XXXXXX集团的声誉或政绩影响较大的威胁有：用户身份假冒，损害或破坏性程序的引入，通信渗透，通信操纵，意外数据量的增大，抵赖，连接失败，恶意代码的嵌入，主机技术故障，存储设备技术故障，网络分布组件技术故障，网络接口技术故障，系统或网络软件故障，应用软件故障，电源故障，操作错误，维护错误，火灾，水灾，自然灾害，人员故意损害。对XXXXXX集团的声誉影响较小的威胁有：应用程序的非授权使用，系统资

26、源的不正当使用，通信侦听，意外错误的路线，工作站技术故障，网络管理/服务技术故障，空调故障，偷窃，人员不足。3 需求分析3.1 系统规划3.1.1 现状描述及分析为了使XXXXXX的信息化建设能够跟上XXXXXX对于企业的管理需求，XXXXXX应该增添一些相关的硬件设备，配合XXXXXX的内部管理制度，从而建成一套完整、先进的信息化系统。系统分析此次XXXXXX要建设一套适合于集团的ERP管理系统，该系统应该会包含人力资源管理、企业流程办公、物流系统、财务系统等多套企业管理其他，因此会产生大量的企业管理数据，而这些数据对于企业来说是属于机密的数据，因此需要加强对这些数据的安全管理问题。集团总部

27、预建设一套完整安全的信息中心，下属各企业通过不同权限访问至总部中心网络，可能过程中会遭遇到数据窃听、篡改等威胁，因此可能会由于一些潜在的威胁造成危害，从而使得企业造成一定的损失，因此需要加强对于数据的安全保护。另外，随着数字信息的不断膨胀以及数据的安全性，对于数据的备份要求越来越高，我们也需要对XXXXXX集团中心的数据实现异地灾备，防止由于天灾而引起机房整体设备损害导致数据丢失。因为我们知道，设备可以用钱购买，而数据丢失了则无法找回或者会花费数倍于设备的金钱来获得原始数据。在第二章节的分析中我们可以看到，任何信息系统都会面临到许多威胁，我们只有通过一系列的手段来加强安全措施，才可以更好的利用

28、信息化系统为企业服务，才能够保证信息化可以更加高效的产生效益。3.1.2 分析结论根据XXXXXX集团的信息建设的需求描述以及对网络中心的系统分析、安全性考虑，我们为XXXXXX集团中心网络搭建一个适合于集团的网络结构图。如下图所示。:图1：XXXXXX集团网结构图3.2 核心网络系统分析3.3 集团信息系统安全分析通过对XXXXXX集团网进行调研，结合各业务系统安全需求特点分析，对XXXXXX集团网络硬件平台搭建提出几点安全分析：3.3.1 服务器及数据存储问题XXXXXX集团有多种业务应用系统支撑平时业务运作，有大量的电子数据需要保存，如何搭建高速有效，大容量的数据运行的依赖环境也成为本次

29、信息系统建设的重要事情。如何为XXXXXX集团搭建高性能、先进的服务器存储架构也是本次信息系统建设的重中之重。因为保证服务器、存储的高稳定以及高性能运行才能更好的使运行其上的多种应用系统更好的为XXXXXX集团提供服务，提高生产效率。3.3.2 网络边界防护问题目前XXXXXX集团网络对于INTERNET来说属于透明无防范的，因为XXXXXX集团的数据安全级别较高，因此新建成的对于安全级别要求较高的集团网络是不合格的。根据风险测评机构给出的定义，除了内部的基础设备，与其他互联的任何网络都被视作风险来源。于是互联网对于XXXXXX集团来说是风险来源，XXXXXX集团应该利用边界防护设备过滤XXX

30、XXX集团与外网的数据交互，可以通过防火墙，入侵检测等设备过滤internet和下属企业单位对XXXXXX集团的访问。3.3.3 网络链路安全问题集团信息中心网络链路没有建立安全加密隧道。尤其数据在internet中传播的时候会存在许多不安全的因素，如果数据透明未加密的话可能就会很容易的被人窃取到，因此必须保证数据在安全加密的传输隧道中进行传输，这样才能更加的提高数据安全的级别。否则，数据有可能会在传输过程中被截取，而造成机密数据的丢失和泄露。对数据进行加密后即使数据被窃取，如果无密钥进行解密的话，数据对于获得者是无效的。3.3.4 数据信息保护措施我们知道安全是没有绝对的安全的，如果在防范未

31、果的情况下，数据确实出现丢失，而且这个时候我们又没有数据的备份，这个时候的损失可谓是无可弥补的了，因此我们不但应该要做好安全的防护措施，还应该做好应急措施。对数据进行异地容灾备份，这个时候无论发生天灾或人祸，我们在安全的级别上大大提高了数据的安全性。可以保证正本数据丢失、损坏的情况下能给得到恢复。3.3.5 病毒防护问题病毒攻击占日常普通攻击行为的比重约为70%，XXXXXX集团接收来自各机关单位的数据，很难避免在数据交互过程中病毒的入侵。一旦病毒侵入数字中心内部可能会造成数据的丢失，信息系统的瘫痪。因此XXXXXX集团应该把病毒阻止在XXXXXX集团前端，防止病毒的爆发而造成XXXXXX集团

32、的网络问题。XXXXXX集团与各单位相连接，为了防止病毒通过专网传播到XXXXXX集团核心业务区，本建议中使用防毒墙技术，提供对XXXXXX集团的病毒安全防护。建议在XXXXXX集团核心业务区前部署防病毒网关。3.3.6 应用交付问题大量的系统访问会使得部分服务器承受访问量较大，而另外一部分会比较空闲，对于新建成的集团中心网络，会有大量的服务器设备，如何保证各服务器发挥其最大功效，不会因为单台服务故障而造成业务系统中断？因此我们考虑通过应用交付技术使的服务器设备发挥最大功效，保证办公效率。3.3.7 应用审计和带宽管理问题随着Internet接入的普及和带宽的增加，一方面员工上网条件得到改善，

33、另一方面也给机构带来更高的网络使用危险性、复杂性和混乱性。据IDC调查发现，在上班工作时间非法使用邮件、浏览非法Web网站、进行音乐/电影等BT下载、在线收看流媒体的员工正在日益增加，令网络管理者头疼不已。IDC的数据统计显示，员工30%-40%的上网活动与工作无关；而来自色情网站访问统计的分析表明：70%的色情网站访问量发生在工作时间。而中国员工比其它地区的员工每周多花7.6小时使用IM、玩游戏、P2P软件或流媒体。互联网滥用，给中国企业、政府、高校、行业用户等各行业带来了巨大的损失。因此我们应该通过一些手段控制网络资源的正常使用，保证正常办公业务的带宽，才可以更好的让信息系统为企业服务。3

34、.3.8 运维管理问题随着信息系统的不断完善建设，IT管理人员将会面临越来越复杂的网络以及越来越多的网络设备，而随之带来了管理上的问题，IT管理人员需要对每一项设备进行观察监测，以面对信息系统出问题的时候如何进行解决。因此IT管理人员的工作量将会越来越繁重和复杂。也会因此带来IT管理工作的效率问题。因此如何对众多设备进行统一的监管，也是信息系统建设所需要面临和解决的一项重要问题。3.3.9 分析结论XXXXXX集团中心网络存在的网络安全隐患将直接影响到企业办公的安全和稳定。在上述分析中，通过在边界、传输路径、内部以及在管理上缺陷的部分做分析，多方位的保证XXXXXX集团网络系统的安全。“罗马不

35、是一天建成的”，安全也不是光靠设备就能完成的，还应该配合管理制度，人员的培训等多方面出发，保证信息系统的安全稳定运行。4 总体安全技术部署建议根据XXXXXX集团中心网络现状分析，我们提出了由多种安全技术和多层防护措施构成的一整套安全技术方案，具体包括：在网络层划分安全域，部署防火墙系统、上网审计系统、入侵防御系统；在系统层部署病毒防范系统，提供系统加固建议；具体建议如下：4.1 数据存储及应用服务器解决方案在此次应用服务器解决方案中，我们使用惠普刀片服务器来提供解决方案。其实在众多服务器解决方案中除了刀片解决方案之外还有类似于普通PC服务器以及小型机解决方案等多种应用解决方案。在类似于XXX

36、XXX集团基础应用中一般使用高端类似于小型机或者刀片服务器。在这里我们推荐使用刀片服务器的主要原因是：1、 刀片服务器的运算密度、存储密度大大高于小型机；2、 大规模刀片服务器集群可以做超级计算机系统，小型机不能，因为I/O能力不足。3、 小型机依赖于特定的软件环境和特定的电脑应用，刀片服务器则没有这个限制。4、 刀片服务器适合集中式和分布式的应用，小型机仅适合于集中式应用。5、 刀片服务器维护类似于普通PC服务器。而小型机应用水平较高，需要掌握特定的小型机维护技能才可以对小型机进行维护。4.1.1 服务器产品选型及参数根据需求分析调查推，我们推荐以下刀片服务器系列；产 品 型 号 描 述 数

37、 量应用服务器HP BL460c G7 E5620 6G 1P Svr（3台）标配一个4核 E5620 处理器 (2.40 GHz, 12MB L3 Cache, 80W, DDR3-1066, HT, Turbo 1/1/2/2)，可扩至二路处理器；标配 6 GB (3 x 2 GB) PC3-10600 (DDR3-1333) Registered DIMMs；12 个DIMM 插槽, 最大可扩展192G内存, 集成NC553i双端口 FlexFabric多功能万兆网卡,支持FCoE 和 iSCSI，集成iLO3远程管理，提供额外的10/100兆服务器管理端口给iLO 3远程管理；集成Sm

38、art Array P410i控制器（RAID 0/1），支持两个小尺寸SSD或者SAS或者SATA热插拔硬盘或者两个；提供2个I/O扩展槽；提供一个为安全设备使用的内部USB2.0端口，提供一个内部的SD-HC卡端口,提供一个内部 TPM 1.2 模块接口3HP BL460c G7 E5620 (2.40 GHz, 12MB L3 Cache, 80W) 第二个4核CPU3HP 2GB 2Rx8 PC3-10600R-9 Kit3146GB 10K SAS 6G 2.5双端口热插拔硬盘6QLogic QMH2462 4Gb 双通道FC主机适配卡3ERP服务器HP BL680c G7 E753

39、0 2P 16G Svr（3台）标配两颗6核 E7530 至强处理器 (6 core 1.86GHz, 12MB L3 cache, 5.86GT/s QPI, 105W)，可扩至四路处理器；标配 16GB (4 x 4 GB) DDR3-1033 Registered DIMMs；64个DIMM 插槽, 最大可扩展1TB内存, 集成6个NC553i 10GB双端口 FlexFabric多功能万兆网卡,支持FCoE .Flex-10 和iSCSI，集成iLO3远程管理，提供额外的10/100兆服务器管理端口给iLO 3远程管理；集成Smart Array P410i控制器（RAID 0/1），

40、支持4个小尺寸SSD或者SAS或者SATA热插拔硬盘；支持raid5，提供最多7个I/O扩展槽；提供一个为安全设备使用的内部USB2.0端口，提供一个内部的SD-HC卡端口,提供一个内部 TPM 1.2 模块接口3 HP BL680c G7 E7530 第一,三个CPU 6HP 146GB 6G SAS 15K双端口热插拔硬盘(G7用硬盘)9QLogic QMH2462 4Gb 双通道FC主机适配卡3网络互联模块HP BLC 1/10GB-F VC-Enet Module(1)*10GbE -CX4,(2)* 10GbE XFP, (2)*1GbE SFP,(4)*10/100/1000BAS

41、E-T 上行链路，可堆叠。所有端口全线速，包含VCM（Virtual Connect Manager）2HP B-series 8/12c BladeSystem SAN Switch8Gb 光纤交换机；12口可用；2*短波8Gb收发器；WebTools 许可；Zoning 许可；全光纤连接，支持文档；每机箱最多6个2HP 8Gb Shortwave B-series FC SFP+ 1 Pack4刀片机箱HP c7000 机箱（带单相电源箱，2个2400W电源模块，4个风扇，8个ICE 30天试用版License；带KVM）1HP BLc-class C7000机箱一个风扇模块6HP 240

42、0W高效电源（带2m IEC C20-C19 电源线）4HP 32A Core Only Corded PDU（输入IEC 309，输出4*IEC 320 C19）2 4.1.2 解决方案说明本次方案描述:客户可以根据自己的工作负载、数据量和投资规模选择自己的系统配置，也可以构成双机备份的配置、满足高可用性的需要。HP提供如下硬件系统配置供参考。建议采用HP新一代BladeSystem c-Class刀片服务器能够支持Integrity和基于x86架构处理器的服务器刀片的混合配置，提供高性能及最佳性价比，支持多操作系统，而且以3项创新技术帮助用户实现基础设施统一管理、节能和灵活的网络联接，成为

43、支持应用有力的武器。 HP BladeSystem C7000机箱上配置2个网络模块连接到核心交换机，2个光纤模块连接到外围的2个光纤磁盘阵列，能够实现系统的灵活性和高可用性，满足用户对于双机热备应用的需求。3台BL460C 2路服务器用于运行OA,MAIL,WEB等多种应用服务，3台BL680C 4路服务器用于ERP系统，后期更可以通过虚拟化手段，增加衍生应用，提高投资回报。设备选型介绍-为什么选择惠普刀片服务器 惠普刀片解决方案采用了业界市场占有率第一的刀片C-Class系列产片，刀片服务器专为大型企业数据中心而设计，HP工业标准服务器，采用经扩展的内存和 I/O，将继续提供功率高效的计算

44、能力，实现最大性能，适用于拥有庞杂应用的大型数据中心。降低数据中心相关成本相对于机架产品，刀片产品可节省：4倍的数据中心空间16倍的连线成本30%的散热成本50%的管理成本10%-20%的采购成本更高效更安全的故障迁移 传统的数据中心存在管理和扩展性能的局限性，刀片服务器全方位的优点已经使得该产品成为IT项目SERVER设备中的主流产品和趋势。硬件人力第三方数据中心硬件人力第三方数据中心64台2U机架式工作站及配套设备64台刀片式工作站及配套设备采购支出运营成本 以1U服务器为例，42U标准机柜可以摆放42台机架式服务器，而如果换成刀片服务器，一个42U机柜可以摆放多达64个，而且单个刀片服务

45、器的性能远超1U机架服务器。 刀片服务器将原有的设备进行了高度集成，在一个机箱内实现了多种产品整合，有效降低了采购成本。 在目前IT的日常管理中，最让管理员头疼的就是布线和检测，繁杂的线缆让人无从下手，刀片服务器强大的集成性能，使得线缆的数量实现最小化，简单清爽。 能源的智控化管理可以最大程度的体现在电费的支出上，一年节省30%的电费，对于投资人的资产实现了最大的保护。更加安全、稳定的架构-刀片系统创建新的模块化服务器架构，采用无需工具的机械设计，热插拔组件，增加系统冗余、和可靠性，高度冗余的电源，风扇，电源任意坏掉3个，风扇任意坏掉4个，整个机箱正常工作，I/O模块高度冗余，提供了8个i/o

46、插槽，满足各种网络需求和高可靠性要求。整合的基础设施可避免由于各种原因所造成的停机现象，诸如线缆、服务器、开关故障；人为配置错误、以及软件、电源和散热问题。解决这些问题的时间也可大幅度减少，每年计划内和计划外的停机时间可减少近100%；同时共用基础架构模块，可节省20%硬件成本；刀片系统采用了惠普独有的能量智控技术(Thermal Logic)的HP Active Cool风扇以及HP PARSEC体系结构，与传统机架式服务器相比，刀片服务器可在最需要冷却的地方获得最多的气流，而所需的电力也大为减少。事实上使用惠普(HP)能量智控技术(Thermal Logic)以及HP BladeSystem系统套件，不仅比相同数量的机架式服务器冷却所需气流降低50%且耗电减少30%统一管理平台刀片系统的统一管理平台对机房内的所有刀片设备进行远程统一监控和管理，进行全面的 系统状 态、远程控制、漏洞扫描和补丁管理，并能够进行自动的操作系统分发部署和电源管理。刀片服务器故障自动恢复：通过惠普独有的虚拟连接交换机加上IDVSE的软件，轻松实现硬件级别的故障自动恢复，大大降低了宕机时间，减少因为应用宕机而造成的损失。 4.1.3 存储产品选型及参数根据需求分析调查推，我们推荐一下存储解决方案；P2000FC 解决方案