大型网络应用技术方案 157页

1.82 MB
2022-04-22 11:54:07 发布

大型网络应用技术方案

关闭预览

157页
当前文档由用户上传发布，收益归属用户

下载提示
文本预览

1、本文档共5页，可阅读全部内容。
2、本文档内容版权归属内容提供方，所产生的收益全部归内容提供方所有。如果您对本文有版权争议，可选择认领，认领后既往收益都归您。
3、本文档由用户上传，本站不保证质量和数量令人满意，可能有诸多瑕疵，付费之前，请仔细先通过免费阅读内容等途径辨别内容交易风险。如存在严重挂羊头卖狗肉之情形，可联系本站下载客服投诉处理。
文档侵权举报电话：19940600175。

'大型网络应用技术方案前言本技术方案书以****的业务系统需求为导向，结合**企业深入的调研、多年的系统集成经验以及**企业软件开发人员对K3/ERP业务系统的理解编制而成。本技术方案书包含四部分，其主要内容如下：第一部分《综述及总体规划》这部分内容介绍了招投标双方；对方案内容进行概述；介绍本方案书遵循的工程技术规范；分析项目现状以及应用系统需求，根据项目现状和应用系统的需求的分析结果提出项目的总体规划。第二部分《系统平台设计》这部分内容为本方案书的主体，分别从网络系统设计（网络中心和全省广域网）、主机存储系统设计、安全与辅助系统（包括网络安全系统、防病毒系统、数据备份系统、不间断电源系统以及安全管理）设计以及呼叫中心平台等四方面对**公司系统平台的建设进行方案设计。系统平台的设计以第一部分分析出的应用系统需求为向导，以总体规划为提纲，设计了一个完全符合招标要求和应用系统需求的系统平台。第三部分《项目管理体系和服务》这部分内容是根据招标文件对本项目的要求，主要从项目实施组织、实施计划、项目培训以及**技术服务承诺，新惠普、东软、华为原厂的技术服务内容等方面加以说明。第四部分《附件》这部分内容包括系统平台所需软硬件产品简介和招标文件要求写入技术方案中的工程进度时间表。157 第一部分综述及总体规划简述：本部分包括三章，第一章为综述，概括介绍了本技术方案的基本内容以及遵循的工程技术规范；第二章重点分析了项目现状和需求，提出了项目的建设目标和建设内容，以及**企业对本项目的理解；第三章总体规划是整个技术方案的纲领和基础。157 第一章综述1.1项目名称项目名称：***单位网络项目，以下简称“网络项目”。1.2招投标双方项目业主：***单位，以下简称**公司。应标商（投标人）：****软件开发有限公司1.3方案概述本技术方案书是以招标文件中的附件一《技术规范及要求》中确定的系统设计原则、系统技术要求以及项目建设所需的设备和软件的基本要求为基础，结合**企业对本项目的需求调研以及对本项目的理解而制定。鉴此，**企业郑重向业主单位提供符合成本和质量要求的技术方案。根据招标文件中《招标货物一览表》所涉及的内容，我们将本项目的建设内容分为四个部分：l网络系统建设包含广域网系统、中心局域网系统、Internet接入建设、网络管理系统建设l主机系统建设包含数据库主机系统、磁盘存储系统建设l安全与辅助系统建设包含防火墙系统、入侵检测系统、漏洞扫描、数据备份系统、防病毒系统以及电源系统（UPS）的建设l呼叫中心建设省**公司使用800电话建立全省统一呼叫中心系统。客户利用电话向配送中心实157 现各类盐的订购并具备语音客户投诉建议功能。与金碟ERP系统无缝挂接，系统要求稳定、可靠、功能强大、便于扩充、兼容性好，灵活性好。本节将概要介绍技术方案的基本内容。1.1.1项目现状和需求分析对于本项目的设计应以应用系统的需求为基础，需求分析有利于项目设计围绕应用系统展开。同时，系统现状的分析有利于了解**公司现有的信息化资源，有利于系统平台建设充分利用现有资源。在本技术方案书的第二章，我们详细的分析了**公司的项目现状和项目需求，该部分的分析为本技术方案书提供了详细的应用系统需求数据和系统现状数据。1.1.2总体规划设计通过认真分析项目招标要求，我们认为，**公司ERP管理系统从系统平台和应用系统关系的逻辑结构上看，“系统平台建设”项目总体可以分为网络系统、主机系统、安全与辅助系统和呼叫中心四个部分，整个架构集中体现：网络系统为应用提供多种接入方式；主机系统为应用提供数据的集中；安全与辅助系统贯穿在于整个应用过程中，为应用提供相应的安全措施和辅助措施；呼叫中心为各个客户提供灵活方便的客户定单采购服务。第三章总体规划中将详细介绍相关内容，主要包括总体设计原则、集成要求、系统平台和应用系统关系以及IP资源规划等等。1.1.3网络系统设计网络系统为**公司的业务系统提供多种接入方式，是系统平台建设的重要部分。本技术方案的第四章，规划了一个以应用系统对网络系统的需求为基础，完全满足“系统平台建设的总体设计原则”和招标文件要求的“系统技术要求”的网络系统平台。1.1.4主机系统设计主机系统运行**公司业务和办公自动化系统，并为业务办公系统提供数据集中，是157 系统平台建设的核心部分。本技术方案的第五章以应用系统需求分析得出的数据为基础，以“系统平台建设的总体设计原则”和招标文件要求的“系统系统要求”为指导，设计了一个具备技术先进性、运行稳定性、平台可扩展性的主机系统。1.1.1安全与辅助系统设计在本方案的第六章，**企业将为**公司规划、设计一个科学的安全与辅助系统，为**公司的应用系统保驾护航，为整个应用系统的切实实用化奠定基础。我们提出的是一个完整的安全体系，而并非简单的安全产品堆砌，我们也将因此为**公司真正建立起一个高安全性、高可靠性的系统平台。1.2工程技术规范设计本技术方案应遵循有关工程技术规范标准，主要包括国标和**有关质量管理标准、通信行业标准和公安部网络安全标准等三个部分。主要参考的规范文件如下所述。1.2.1质量管理标准GB/T19001质量管理体系要求（idtIS09000：2000）1.2.2通信行业标准lYD/T1123-2001综合交换机技术规范lYD/T1130-2001基于IP网的信息点播业务技术要求lYD/T1131-2001基于包的多媒体通信系统的呼叫信令协议及媒体流打包技术lYD/T1132-2001防火墙设备技术要求lYD/T1133-2001数据通信名称术语lYD/T1141-2001千兆以太网交换机测试方法lYD/T761-95词汇——维护术语和定义lYD/T849-1996开放系统互连安全体系结构lYD5036-97智能网工程设计暂行规定lYD/T819-1996数据传输链路和系统的性能分配及限值157 lYD/T802-1996消息处理系统消息存储抽象服务定义lYD5037-97中国公用计算机互联网工程设计暂行规定1.1.1公安部网络安全标准lGA163-1997计算机信息系统安全专用产品分类原则lGA216.1-1999计算机信息系统安全产品部件第一部分：安全功能检测lGB17859-1999计算机信息系统安全保护等级划分准则lGB/T17900-1999网络代理服务器的安全技术要求lGB/T18018-1999路由器安全技术要求lGB/T18019-1999信息技术包过滤防火墙安全技术要求lGB/T18020-1999信息技术应用级防火墙安全技术要求1.2致谢我们真诚地感谢***单位给予**企业这次参与方案设计以及投标机会，真诚地感谢**公司办公室人员在我们调研中对我们不足的批评；真诚地感谢各位领导和专家审阅本方案。第二章项目现状和需求分析本章主要对**公司信息化建设现状和在建应用系统以及规划中应用系统的特点、需157 求进行分析。通过对项目现状的分析我们能够掌握**公司的信息系统资源，本方案书将充分利用现有资源，以保证现有设备的合理利用，避免不必要的投资。需求分析得出的数据是整个系统平台构建的基础，整个系统平台将以应用系统需求为引导。1.1项目背景***单位是国有独资企业，是**唯一依法从事**生产经营管理的专业性公司，一直致力于推动我省**持续、稳定、健康发展。九十年代以来，公司以食盐加碘消除碘缺乏病为已任，组织、落实食盐专营政策，建立起规范的食盐生产、流通秩序，建立起覆盖全省的食盐销售网络；公司坚持"以盐为主、多种经营、全面发展"方针，兴办各类实体，具备较强的经济实力；公司坚持改革开发、"两个文明"一起抓，连续两届（1997-1998年、1999年-2000年）获省直机关文明单位。目前**公司已经正在实施金蝶K3/ERP系统，整个系统覆盖了财务管理、工程项目管理、进销存管理以及办公自动化系统等。本次项目的建设就是为目前已开发完成的K3/ERP系统以及将来电子商务的应用系统建立公用的系统平台。1.2本项目建设内容本项目的主要建设内容包括：（1）网络系统l省公司网络交换机（中心局域网系统）建设l省公司以及分公司VPN接入设备（广域网VPN系统）建设（2）主机系统l中心数据库服务器（主机系统）建设包含相应的系统软件安装。l应用服务器服务器（主机系统）建设l磁盘存储阵列系统建设l数据备份系统建设157 包括数据备份服务器、磁带自动加载机、备份管理和灾难恢复选件的建设。（3）网络安全l网络防火墙建设l入侵检测系统建设l漏洞扫描系统建设l防病毒系统建设（4）呼叫中心l呼叫中心系统建设（5）电源系统lUPS系统我们将网络安全系统和电源系统统称为安全与辅助系统，我们将在本方案建议书的第四章《网络系统设计方案》、第五章《主机系统设计方案》和第六章《安全与辅助系统》对以上各系统的建设提出详细的解决方案。1.1**企业对本项目的理解从**公司系统平台的总体规划中，我们认为，**公司本次系统平台建设的目的，不单是为开发中的K3业务办公系统提供运行环境支持，更是为后期的电子商务等应用系统奠定基础。系统平台搭建成功，可以配合**公司各项业务系统，实现**公司对业务数据的集中化管理，以及完成整个业务系统的信息化建设，借此提高公司的管理水平和工作效率，获得良好的经济效益和社会效益。**企业凭籍脚踏实地的作风，通过长达十年不懈努力，在机关、企业、事业单位拥有大量系统集成客户，我们有信心有实力，集中企业优势资源，提高创新，将**公司系统平台建设成为一个技术领先、经济实用、国内一流的计算机系统平台。157 1.1系统现状信息化现状的分析是技术方案设计的基础，充分了解各种资源现状有助于更好地保护投资，避免浪费。本节详细描述**公司网络资源、应用系统现状，**企业在技术方案设计中将会充分考虑系统软、硬件设备资源保护问题。1.1.1网络资源现状网络资源资源包括：布线系统、局域网、Internet连接、计算机设备、网络设备、专线等，其现状描述见下表：网络资源项目现状描述大楼布线系统省公司办公地点在福州金皇大厦15楼，目前已经完成综合布线以及机房装修等。局域网目前公司局域网较为简单，主要通过HUB连接Internet连接采用电信ADSL（无固定IP）接入国际互联网。计算机设备目前省公司拥有计算机近40台，一台办公自动化服务器、一台财务数据库服务器，各分公司和子公司目前拥有计算机数量为数不多。网络设备省公司目前通过CISCO交换机实现内部计算机网络互连，一台CISCO2610实现泉州等分公司远程拨号访问。专线无1.1.2应用系统现状**公司目前正在使用的应用系统主要包括：三维办公自动化系统、财务系统，正在开发的应用系统主要包括金碟K3/ERP业务系统：办公自动化，总帐、采购管理、固定资产、集团控制等模块。157 第一章总体规划根据前述需求分析，本章提出了系统平台的建设目标、设计原则，以及招标文件157 中的“系统技术要求”，并指出了系统平台与应用系统之间的关系，从而规划出了系统平台的拓扑结构。本章是整个技术方案的总体技术建议，是整个方案的纲领和基础，后续的各部分设计内容将围绕本章相应内容逐步展开。1.1系统平台建设目标根据上一章的分析，我们为**公司“系统平台”的建设目标总体定位如下：项目建设目标网络系统l根据**公司不同业务的特点，主要采用VPN接入技术，充分考虑接入设备和链路的安全、可靠性，通过对**公司网络的整体规划，实现**公司业务系统的数据传输、数据共享等。l综合采用目前国际流行的局域网技术（VLAN、SPANNING-TREE、IP-MAC地址绑定、GE、802.ad等）建设一个高速、安全、可靠、经济、可扩展的局域网，为**将来的信息系统的发展和业务的拓展奠定良好的基础。l实现与Internet安全互联，为将来**公司的互联网业务（电子商务）的发展奠定基础。主机系统l结合新业务系统的特点，充分考虑数据的安全性和系统的可靠性，建立一个易于维护、便于推广同时具有较高性能和较强扩展能力的主机系统。安全及辅助系统l建立“多层次、全方位”的系统安全和辅助系统，包含防火墙系统、网络防病毒系统、数据备份系统、电源（UPS）系统。1.2总体设计原则为了实现系统建设目标，结合上述的明确定位，以及招标文件的要求，我们为该项目确定如下总体设计原则：157 原则描述先进性应尽可能采用国际先进的Internet/Intranet技术、网络技术、主机集成技术、系统安全保障技术，将项目建设成具有国内同行业领先水平的信息化系统平台。开放性考虑到将来发展需要及扩充性能要求，在设备选择及联网方案上一定要坚持开放性原则，在通信协议选择上尽量采用国际标准，系统软件尽量采用的流行、通用系统软件。稳定性主机系统应采用高可用性技术，保证系统能长期稳定的不间断运行，采用流行、成熟、稳定、先进的操作系统、数据库等系统软件平台，保证系统的稳定性。网络系统应采用目前业界较为可靠的网络设备，网络系统的关键设备应尽量做到实时冗余特性，关键链路应具备冗余链路。安全性没有安全性保障，就没有有应用价值的信息化应用系统。系统平台应该在网络安全、数据安全以及其它辅助设备（如：电源系统）等各个环节都需采取有力的安全保证措施，从而保证网络的安全，数据的安全性、一致性和数据传输的稳定性以及系统的可靠。可扩展性系统建设不仅要着眼于现在，而且要放眼未来，因此，系统平台的建设不仅要满足现在的要求，而且要具有向未来技术平滑过渡的能力。即：该系统的建立一定要具备良好的可扩展性，当信息量上升、网络规模扩大时，可方便地将服务器及其他网络设备进行升级服务，满足日益增长的业务需求，最大限度保护投资。可管理性网络的使用及管理以简便、易于操作、方便实用为准则，降低系统管理、维护成本，提高系统的可管理性。经济实用性设备的选型在考虑可扩展性和先进性的同时要兼顾经济性，尽量减少不必要的投资；物理链路在满足目前业务需求和未来业务发展所需的前提下，不必一味追求高带宽，造成带宽资源的浪费和投资的浪费。总体设计原则的实现详见第四章《网络系统设计方案》以及第五章《主机系统设计方案》中的“系统特性”小节。157 1.1系统技术要求上一小节提出了系统平台的总体设计原则，系统技术要求是总体设计原则的具体体现，下表列出了招标文件提出的系统平台集成要求。要求描述高可用性要求保证**公司信息平台的主机、网络设备、通信链路的高可靠性，保证生产及管理信息系统能不间断运行。安全性要求**省公司以及各分公司和子公司的网络需要接入国际互联网，因此需要采取措施防止外部黑客和网络病毒的入侵。网络管理要求系统平台的管理人员能够对网络系统进行监控，及时了解网络状态及其使用情况。搞好网络的规划（含IP地址划分），以利于将来网络的管理。网络接入要求根据**业务的特点，采用VPN等网络接入技术，并充分考虑接入链路的安全性、可靠性、经济性。数据备份要求应提供完善的备份策略和灾难恢复计划，能对业务及生产数据的备份、恢复实现集中的数据管理。实现系统数据本地异地的备份和恢复。经济性要求充分考虑**信息平台投入的经济性和今后扩充和升级的费用。系统管理和维护的费用力求最低。设备兼容性要求在**信息平台的设备选型时，必须考虑现有在用设备的兼容性，保证现有设备能够继续使用，以节省投资。1.2系统平台和应用系统关系的逻辑结构图从《项目背景》以及《系统平台建设内容》中我们已经论述了**公司公司要建设的系统平台内容，该系统平台是**公司应用系统的支撑平台。目前已开发的应用系统和将来将要建立的应用系统都将以该平台作为基础，下图较好的反映了系统平台和应用系统之间的关系。157 从上图中我们可以看到，**公司各业务部门使用各业务应用系统软件，通过网络平台访问主机系统以及建立在主机系统上的数据库平台，而系统的安全与辅助平台应贯穿于整个业务逻辑流程。1.1系统平台拓扑结构系统平台包含网络系统、主机系统和安全与辅助系统。系统平台设计的基本要求就是要体现3.2小节和3.3小节提出的系统平台的总体设计原则和系统技术要求。下图是系统平台拓扑结构：157 157 从上图可以体现，系统平台主要包含主机部分、网络部分、以及安全和辅助系统（部分安全和辅助系统设备不在此图中体现，详见《安全和辅助系统设计方案》）网络部分包含广域网部分和局域网部分，广域网部分针对不同接入单位的特点灵活采用了多种接入技术（包括：INTERNET专线、VPN接入、ISDN备份线路等），并充分考虑了设备的可靠性，链路的安全性、可靠性和经济性。局域网部分采用三层交换机构建**公司总部的局域网，充分分析了局域网建设的需求，采用了多种先进技术构建中心局域网。详细设计方案见本方案建议书的《网络系统设计方案》。主机部分主要包含中心数据库服务器和数据备份服务器，中心数据库服务器采用群集（热备）方式构建，既保证数据库服务器的高可用性（稳定性），又体现了其经济性和可扩展性。详细设计方案见本方案建议书的《主机系统设计方案》。安全和辅助系统采用了多种技术手段对系统平台的网络安全和数据安全、电源系统安全进行了保障。真正实现了事前、事中、事后全方位的安全和辅助系统。详细设计方案见本方案建议书的《安全与辅助系统设计方案》。呼叫中心主要包含工控机、语音卡以及RJ-CTJ呼叫中心系统，整个系统提供与K3/ERP系统业务的连接，实现了从传统手工定货到电话自动定货、语音投诉等功能。详细设计见本方案建议书的《呼叫中心设计方案》157 第二部分系统平台设计简述：本部分共分三章，包括网络系统设计方案、主机系统平台设计方案、安全与辅助系统设计方案以及呼叫中心设计方案。157 第一章网络系统设计规划方案**总公司的网络系统平台是**总公司系统平台数据传输的基础，将来系统数据均在这个平台上传输。因此，构件一个稳定可靠、安全、可管理、可扩展、经济、多种接入方式并存的网络系统平台是极为关键的，以下我们将结合第二章《项目现状和需求分析》以及第三章《总体规划》的要求进行网络系统方案的设计。将包含：广域网系统的整体规划、广域网系统设计方案、中心局域网系统设计方案、Internet接入设计方案和网络管理系统设计四个部分。1.1网络系统建设目标**总公司网络系统是将来系统应用软件正常运转的基础，建设一个能够适应C/S、B/S、应用数据传送、数据信息共享、Internet等多种要求，具有较高的可靠性、较强的网络管理能力、具备良好的扩充性、使用周期长的信息网络系统。其建设目标：l建立网络中心，对整个网络进行统一的管理；l根据**总公司不同业务的特点，采用多种接入技术（宽带、VPN、ISDN），充分考虑接入链路的安全、可靠性，通过对**公司网络系统的整体规划，实现**公司业务系统的数据传输、数据共享等；l综合采用目前国际流行的局域网技术（VLAN、SPANNING-TREE、IP-MAC地址绑定、GE、802.ad等）建设一个高速、安全、可靠、可扩展、跨越总公司各个部门的局域网络，并设置网络中心，为将来**公司的局域网应用打下良好的基础；l实现与Internet安全互联，并充分考虑与业务数据传输的安全隔离，为将来**总公司的互联网业务的发展奠定基础；l系统应具备相当的先进性，能够适应未来几年内业务发展的需要；l在保证当前应用的前提下，同时保证系统的可扩展能力，避免不必要的投资。l系统必须是可靠的，应综合考虑各种因素，防止网络系统瘫痪造成的损失；l系统应保证安全性，防止信息的非法泄漏和非法窃取；157 1.1广域网系统的整体规划**公司与下属各单位的广域网建设是整个业务系统集中式管理的前提，是应用系统的广域网平台。为了使各个业务子系统能够稳定的运行，就要求广域网平台建设必须结合各接入单位的业务特点和业务规模特点，实现灵活、稳定、安全、可靠、经济实用的广域网接入。以下我们就广域网接入方式、广域网接入带宽、广域网互连设备等方面进行规划。根据标书要求广域网接入技术采用宽带、ADSL以及ISDN等VPN技术实现，在此不做重复说明。1.1.1广域网接入方式的规划通过以上关于广域网接入技术的规划，结合前述**公司业务分布的介绍，以下我们就不同业务系统的应用单位采用何种广域网接入方式实现广域网连接进行规划。1.1.1.1系统接入方式的规划根据**公司业务特点以及单位分布情况，结合对用户调研，我们将对各类型的单位接入方式进行规划。详见下表：接入单位类别典型单位建议接入方式总部省**公司（福州）建议采用专线方式进行接入，考虑到业务的关键性，同时要求考虑备份链路和互联网接入要求，结合以上我们对广域网接入技术的分析我们建议采用VPN方式接入（10M宽带和2MADSL接入互联网）。10M作为全省业务传输、2M作为省公司内部上网使用以及10M线路备份。工作站数量较多且有局域网福州、莆田、泉州、厦门以及晶辉山庄等共17家建议采用VPN（采用10M或ADSL接入互联网）方式接入。采用该方式具有较低的链路成本和较高的传输速率。采用手工ISDN线路备份。157 工作站数量很少，且无内部局域网主要包括各支公司等建议采用单机VPN方式接入（采用电话/ISDN拨号方式接入互联网）。采用该方式具有较低的链路成本，拨号至互联网每分钟费用为0.04元（8169），带宽可达56K。1.1.1.1备用链路选择对于备用链路的选择我们应该针对不同的情况进行分析，我们将需要备用链线路的接入单位分为两种情况，第一类为全省业务数据中心，主要包括省公司。第二类为有内部局域网的各分公司。l省公司考虑到省公司作为全省的数据业务中心，省公司同时提供10M宽带和2MADSL到Internet的连接，通过VPN技术与各节点访问，两条线路分别与后面的各自大网关连接，可以保证所有单位的双链路访问。l分公司等（17家）其业务量不大，我们建议采用ISDN做为手工备用链路接入。1.1.1.2总结根据我们上面的分析我们可以总结出，**公司的广域网接入方式主要以VPN接入方式为主。（包含单机拨号VPN接入方式和ADSLVPN接入方式）1.1.2广域网互联设备选型结合以上广域网接入方式分析，我们将设备选型分为省公司和分支机构（公司）接入设备选型。以下我们将一一介绍。1.1.2.1省公司端产品选型广域网中心端的设备选型包含VPN接入。我们应该考虑以下原则：l选用的设备应具备较高的可靠性，设备应具有冗余特性。157 l由于VPN组网需要借助互联网，因此设备的选型应该考虑网络的安全性。l由于防火墙产品的VPN应用目前比较成熟，可以考虑将VPN接入在防火墙产品上实现，这样既保证了网络的安全又满足了VPN接入的需求l设备应该具有较高的性价比，由于确定了中心端的VPN接入设备后，接入端的产品选型将参照中心端进行。因此，除了应当考虑到中心端VPN接入设备的性价比外还应当考虑到VPN组网过程中的接入端的产品性价比。l应该具备较高的可扩展性（主要指VPN隧道接入数量），以便于将来业务的拓展。l由于VPN接入设备涉及网络的安全，因此应该尽量考虑选择国产产品。基于以上几点因素我们建议采用当今国内应用比较广泛的东软NetEyeFW4032-FE4-V网络防火墙（带VPN功能）作为中心端VPN接入设备，具体配置如下：设备型号数量配置备注NetEye（东软）FW4032-FE4-V网络防火墙（带VPN功能）22U机箱PIII1.13GCPU×1256M内存40GIDE硬盘INTEL100M网卡×4高速VPN模块IC卡/5用户客户端软件包1套管理端软件1套此产品适用于企事业单位和机构Internet出口处以及大型企业的VPN网关。注意：此版本产品支持DMZ（非军事化区）设置，支持TRUNK。两台东软FW4032-FE4-V防火墙同时工作，一台防火墙主要作为VPN（主）接入，另一台防火墙实现VPN（备）接入和Internet接入，当主VPN防火墙出现故障后将自动切换到备防火墙使用，能保证省公司有两个出口供各分支机构（分公司）访问。1.1.1.1分支机构（公司）产品选型1）分支机构VPN接入设备选型根据前述分支机构的VPN接入方式有两种方式：l采用ADSL连入互联网构建VPN接入l采用拨号方式连入互联网构建VPN接入在进行分支机构VPN接入设备选型选型时，要重点考虑以下因素：157 l应选择和中心VPN设备兼容的VPN接入设备l应该考虑设备的稳定性lVPN构建网络的优势是灵活、经济，因此在设备选型时应考虑设备的性价比。lVPN方式接入必须连入互联网，因此网络的安全性要重点考虑以下我们分别介绍针对不同VPN接入方式的产品选型。采用ADSL连入互联网构建VPN接入的设备配置(每接入点配置)设备型号数量配置备注NeteyeSG500-FE2-V171U机箱CIII850CPU×1256M内存32MDOMINTELPRO100S网卡×1灵巧网关-以太网卡/ADSL-具有VPN功能和内置的防火墙功能，性价比极高ADSLModem17由电信提供ISDNModem17由电信提供采用拨号方式连入互联网构建VPN接入设备配置：设备型号数量备注NetEye防火墙VPN客户端100带有个人防火墙功能PSTNModem或ISDNModem100自备157 1.1广域网系统设计方案1.1.1广域网总体拓扑示意图1.1.2广域网网络建设方案描述**总公司广域网建设基于OSI体系及TCP/IP协议的互联网络，建立**总公司和下157 属单位二级计算机信息网络系统。在广域网通讯中主要采用VPN通讯传输加密、访问控制、链路备用、ISDN接入等技术手段，进行广域网接入，同时防止非法访问，保证网络及信息的安全和管理。VPN接入包括10M宽带接入、ADSL连入互联网构建VPN和采用Modem单机拨号连入互联网构建VPN三种方式。1.1.1.1省公司VPN构建省公司中心网络有两条线路与Internet连接，一条为10M宽带，一条为2MADSL。网络中心配置两台东软防火墙（Neteye4032FE4－V），每台防火墙均提供4个以太网端口，支持VPN功能。两台防火墙各自负责自己的相关数据业务，启用不同的安全策略。防火墙设计如下：设备名称功能设计Neteye4032FE4－V-1通过10M宽带与Internet连接，作为全省VPN大网关，接受全省各地的VPN访问。外部端口与电信宽带连接内部端口分别与中心两台华为SR6503交换机连接，防火墙与内部网络实现主备链路互为备份。Neteye4032FE4－V-2通过2MADSL宽带与Internet连接，作为省公司内部上网使用，同时作为全省VPN大网关的备份，但Neteye4032FE4－V-1或线路出现故障时自动起用，接受全省各地的VPN访问。提供将来电子商务平台使用。外部端口与电信宽带连接内部端口与中心一台华为SR6503交换机连接满足内部用户上网使用。整个设计思路如下：基层各单位在正常情况下通过对Neteye4032157 FE4－V-1大网关的请求实现与省公司连接，当10M线路或防火墙出现故障时候，各分公司的灵巧网关将使用事先配置好的备用VPN通道实现与中心Neteye4032FE4－V-2备份大网关的连接，从而实现中心VPN端设备永不停机，达到线路冗余目的。Neteye4032FE4－V-2正常情况主要用于内部用户internet的访问。业务流量和INTERNET单独分开，分别定制不同的安全策略，最大限度内保证业务系统的稳定，可靠。1.1.1.1各分公司等VPN设备构建（17个）这17个单位主要采用ADSL接入，并使用ISDN作为线路备份。以下我们简要介绍其设计方案：接入单位通过NeteyeSG500-FE2V（灵巧网关）上连接的ADSLModem拨号接入Internet后,NeteyeSG500-FE2V和中心端的NetEyeFW4032-FE4-V-1网络防火墙之间将建立一条128位加密的虚拟数据通道，从而实现和总部的网络连接。在虚拟数据通道上传输的数据均是经过加密的，可以充分保证数据传输过程的安全性，同时并不影响接入单位对互联网的访问。当ADSLModem出现故障后，将手工切换到ISDNModem,灵巧网关重新拨号即可。NeteyeSG500-FE2V内置基于状态检测的防火墙固定策略，能够有效地保证互联网访问的安全性。整个设计思路如下：各基层单位的灵巧网关与省公司的两个VPN大网关分别建立VPN通道，正常情况灵巧网关与省公司的Neteye4032FE4－V-1建立连接，当Neteye4032FE4－V-1或线路出现故障后灵巧网关将启用VPN备份通道，与省公司Neteye4032FE4－V-2大网关建立连接。各基层单位通过灵巧网关不但可以实现对省公司业务的访问，还可以安全访问INTERNET系统。1.1.1.2单机或移动办公VPN接入采用Modem（或ISDN）拨号接入的用户先拨号接入Internet，再通过东软VPN客户端软件和中心的VPN防火墙进行连接，形成一条128位加密的虚拟数据通道，从而157 实现和总部的网络连接。在虚拟数据通道上传输的数据均是经过加密的，可以充分保证数据传输过程的安全性。为了保证单机的安全性，这时不能进行互联网的访问，只允许进行VPN连接。整个设计思路如下：VPN客户端除具有VPN拨入功能外，还具有防火墙功能，防止客户端被黑客攻击等。当省公司VPN大网关出现故障后，客户端可以重新对省公司VPN备份大网关拨入即可。1.1中心局域网系统设计方案1.1.1中心局域网实现的功能中心局域网是**总公司总部的信息平台，是**总公司总部的数据传输平台及广域网数据汇集的中心网络平台，在局域网建设中应该满足以下功能：实现功能功能说明计算机设备、网络产品的互连一个局域网首先应该是内部工作站和服务器以及其他网络产品的连接平台，对于工作站和服务器的接入应该综合考虑设备的不同特性，关键的服务器（尤其是数据库服务器）接入应该考虑采用较高的接入带宽。虚拟局域网（VLAN）对于一个局域网性能的优化相当关键，优化性能的途径非常多，VLAN是较为重要的手段。其主要优点有：l优化了网络传输性能l灵活的网络设置l增强了网络的安全性基于局域网的网络安全一个局域网除了要保证基本的接入功能和性能优化的同时，还应该具有网络的安全性。设备和链路冗余数据库服务器连接在中心局域网，数据库服务器的网络连接应该做到高速、可靠，因此交换机设备和链路的冗余应该是局域网实现的重要功能之一。157 1.1.1局域网建设方案描述**总公司局域网系统是**公司的中心信息平台，因此局域网系统的设计应该充分分析系统的瓶颈所在，在考虑系统的先进性的同时，还应注重局域网系统的经济性、可靠性（运行稳定性）、安全性。以下我们在骨干交换机堆叠与冗余电源设计、局域网网络连接、内部虚拟局域网建设、局域网的网络安全几个方面进行论述。1.1.1.1局域网网络结构图内网整体结构为二级星型网络结构，主干采用基于光纤信道的千兆以太网技术。结构图如下：157 从图中可以看出，网络主干中心为两台华为的QuidwayS6503路由交换机，两台主干交换机之间通过千兆以太网带宽捆绑聚集技术，提供高达4G的互联通道，形成网络主干设备群，构建起一个高速、强壮、可靠的网络核心。为了实现主干设备、服务器群的高速网络连接，两台交换机配置模块说明如下：157 序号模块名称用途QuidwayS6503（主交换机）148端口百兆以太网电接口交换板(RJ45)每个模块提供48个10/100Mbps自适应的以太网接口，用于与用户工作站、中心机房工作站、开发和培训环境工作站等设备的网络连接，以及与防火墙、入侵检测、漏洞扫描等连接。28端口千兆以太网电接口交换板(RJ45)主要用于关键数据库服务器、应用服务器的连接3交换路由板－iSalienceI（带4个GX千兆模块）交换机引擎板，通过两根光纤与QuidwayS6503（备交换机）的GX端口连接，实现两台交换机的高速互连QuidwayS6503（备交换机）448端口百兆以太网电接口交换板(RJ45)每个模块提供48个10/100Mbps自适应的以太网接口，用于与关键数据库服务器、应用服务器、用户工作站、中心机房工作站、开发和培训环境工作站等设备的网络连接，以及与防火墙、入侵检测、漏洞扫描等连接5交换路由板－iSalienceI（带4个GX千兆模块）交换机引擎板，通过两根光纤与QuidwayS6503（主交换机）的GX端口连接，实现两台交换机的高速互连由于QuidwayS6500对VLAN以及路由交换的支持，通过虚拟网的划分，可以将内网的网络根据部门和层次划分成若干子网，形成“网中网”，各个子网之间通过路由交换技术实现信息的共享和网络互联，这样各个子网的广播及多播信息不会蔓延到无关的子网中，从而对广播信息进行有效的控制，提高网络利用率，同时也可以初步保证网络的安全性。157 1.1.1.1局域网的网络安全针对局域网的网络安全我们可以采用以下措施进行保障。l划分虚拟网（VLAN）通过划分VLAN的方式，我们可以把局域网上的数据流限制在某个确定的范围内，而在该范围以外的计算机将不能收到在该虚拟网（VLAN）内部传输的任何数据和信号。l端口－MAC－IP地址绑定端口－MAC地址的绑定是实现限制用户范围的又一个措施，通过在相应的网络设备端口上设置MAC地址绑定，我们可以防止该端口被其它主机盗用。同时我们可以在骨干交换机上将IP地址和MAC地址进行绑定，这样我们就可以限定某个端口上必须连接特定的计算机和配置特定的IP地址信息才能接入局域网。l对IP地址的过滤在骨干交换机和路由器上可设置针对IP地址的访问控制列表，防止非法TCP/IP工作站入侵重要的VLAN或重要的服务器。对于访问控制列表的配置可以针对的IP源和IP目的，也就是说可以控制特定IP的源访问特定IP的目的。例如我们可以设置对于财务VLAN内的计算机对外的访问均允许，而其它VLAN的计算机只有符合访问控制列表规定的才能访问财务VLAN内的主机。l对应用的过滤同时访问控制列表技术还可以对某些应用进行过滤，如FTP，TELNET，PAD，HTTP等应用。结合以上的网络安全机制可以初步保证局域网内部的网络安全。当然，针对局域网内部的安全还有一些其它方面的技术，我们将在第六章《安全与辅助系统设计方案》中进行详细论述。1.2INTERNET接入设计方案我们在VPN接入设计中已经介绍了，采用了东软（Neteye4032FE4－V）防火墙系统构建VPN接入和Internet接入。对于Internet的接入，网络的安全性极为重要，因为，Internet的环境相对局域网和内部广域网更为复杂。因此，对于防火墙的安全策略157 配置极为重要，有关防火墙的部署和策略配置的详细设计方案详见第六章中的6.4.1.4小节《防火墙部署建议和策略配置》。1.1IP地址的规划在网络规划中，IP地址方案的设计至关重要，好的IP地址方案不仅可以减少网络负荷，还能为以后的网络扩展打下良好的基础。系统平台建成后，**公司的网络具备一定的规模，IP地址规划的混乱将造成网络管理的混乱，并将影响将来网络规模的拓展。IP地址的规划应了解相关IP地址规划的相关知识，确立IP地址规划的原则。1.1.1IP地址规划的相关知识IP地址用于在网络上标识唯一一台机器。根据RFC791的定义，IP地址由32位二进制数组成(四个字节)，表示为用圆点分成每组3位的12位十进制数字(xxx.xxx.xxx.xxx)每个3位数代表8位二进制数(一个字节)。由于1个字节所能表示的最大数为255，因此IP地址中每个字节可含有0～255之间的值。但0和255有特殊含义，255代表广播地址：IP地址中0用于指定网络地址号(若0在地址末端)或结点地址(若0在地址开始)。例如，192.168.32.0指网络192.168.32.0，而0.0.0.62指网络上结点地址为62的计算机。根据IP地址中表示网络地址字节数的不同将IP地址划分为三类，A类，B类，C类。A类用于超大型网络(百万结点)，B类用于中等规模的网络(上千结点)，C类用于小网络(最多254个结点)。A类地址用第一个字节代表网络地址，后三个字代表结点地址。B类地址用前两个字节代表网络地址，后两个字节表示结点地址。C类地址则用前三个字节表示网络地址，第四个字节表示结点地址。网络设备根据IP地址的第一个字节来确定网络类型。A类网络第一个字节的第一个二进制位为0；B类网络第一个字节的前两个二进制位为10；C类网络第一个字节的前三位二进制位为110。换算成十进制可见A类网络地址从1～127，B类网络地址从128～191，C类网络地址从192～223。224～239间的数有时称为D类，239以上的网络号保留。子网掩码用于找出IP地址中网络及结点地址部分。子网掩码长32位，其中1表示网络部分，0表示结点地址部分。A类，B类，C类网络的子网掩码，如一个结点IP157 地址为192.168.202.195，子网掩码255.255.255.0，表示其网络地址为192.168.202，结点地址为195。有时为了方便网络管理，需要将网络划分为若干个网段。为此，必须打破传统的8位界限，从结点地址空间中“抢来”几位作为网络地址。具体说来，建立子网掩码需要以下两步：1、确定运行IP的网段数2、确定子网掩码首先，确定运行IP的网段数。在确定了IP网段数后，再确定从结点地址空间中截取几位才能为每个网段创建一个子网络号。方法是计算这些位数的组合值。比如，取两位，有四种组合(00、01、10、11)，取三位有八种组合(000、001、010、011、100、101、110、111)。在这些组中须除去全0和全1的组合，因为在IP协议中规定了全0和全1的组合代表了网络地址和广播地址，所以如果我们需要将C类网络(192.168.123.0)划分为4个网段，需要截取结点地址的前3位作为网络地址，与之对应的子网掩码就是255.255.255.224(11111111.11111111.11111111.11100000)，将此子网掩码用到地址192.168.123.0上得到的值。可见，采用以上子网络方案，每个子网络有30个结点地址。通过从结点地址空间中截取几位作为网络地址的方法，可将网络划分为若干网段，方便了网络管理。1.1.1**公司系统平台IP地址规划原则对于**公司IP地址的规划我们建议采用以下原则：l根据**公司内部单位的组织结构和业务性质进行地址的划分，以利于对IP地址的管理。**公司各单位按照组织结构可以分为三类：机关职能部门、直属单位、合资合作参股单位。建议组织结构类似的单位采取连续地址段分配。l根据**公司的网络规模大小和将来的业务拓展可能，我们建议采用A类保留地址段进行规划，以利于将来网络的拓展。l为了便于网络主机设备的地址管理，建议各机构根据网络主机设备数量的不同，确定固定的网络设备和主机设备地址范围。如：服务器地址固定为所分配地址段的前15－20位，网络设备地址采用分配地址段的后15－20位，网关地址采用广157 播地址的前一位等等。l结合各机构规模大小和计算机数量的不同，确定不同的IP掩码大小，以利于IP地址的合理利用。l应该保留一定的IP地址以便于将来网络规模的拓展。l由于**公司的网络和Internet相连，因此，应该采用互联网保留地址段进行地址规划。1.1.1**公司系统平台IP地址规划下表是我们对**公司IP地址进行的初步规划，采用A类保留地址段（10.x.x.x）当然，该规划只是一个初步规划，将来可以在预留的地址中进行规划。单位Ip地址范围子网掩码备注省公司总部10.10.0.1-10.10.2.254255.255.255.0服务器地址10.10.0.1-20，网络设备地址10.10.1.201-254，通过掩码进行VLAN地址的规划分公司福州分公司10.10.3.1-10.10.4.254同上各支公司通过掩码进一步细分莆田分公司10.10.3.5-10.10.6.254同上同上泉州分公司10.10.7.1-10.10.8.254同上同上厦门分公司10.10.9.1-10.10.10.254同上同上漳州分公司10.10.11.1-10.10.12.254同上同上龙岩分公司10.10.13.1-10.10.14.254同上同上三明分公司10.10.15.1-10.10.16.254同上同上南平分公司10.10.17.1-10.10.18.254同上同上宁德分公司10.10.19.1-10.10.20.254同上同上10.10.21.1-10.10.30.254将来分公司使用合资子公司省**进出口公司10.10.31.1-254同上晶惠碘盐厂10.10.32.1-254同上晶辉山庄10.10.33.1-254同上秀屿**装运站10.10.34.1-254同上厦门盐管处10.10.35.1-254同上10.10.36.1-10.10.45.254将来使用参股公司中盐****有限公司10.10.46.1-254同上157 控股公司省银华房地产公司10.10.47.1-254同上平潭晶岚轻化有限公司10.10.48.1-254同上泉港晶海轻化有限公司10.10.49.1-254同上厦门闽盐镭射全息图像有限公司10.10.50.1-254同上1.1网络系统特性网络系统的设计原则严格遵照第三章《总体规划》中总体设计原则和招标文件标书中规定《系统技术要求》，具体的说就是网络系统的设计应满足技术先进性、经济实用性、系统开放性、运行稳定性、数据安全性、平台可扩展性、系统可管理性等要求。以下我们总结一下网络系统的特性。1.1.1技术先进性1.1.1.1广域网系统的先进性l设备的先进性采用了业界领先的东软VPN防火墙构建广域网系统。NetEye防火墙VPN的主要技术优势包括：强大的网络与信息安全保护功能、专用的硬件及增强安全性的操作系统保证系统性能与安全、严密的、基于PKI／KMC架构的密钥管理框架、清晰简洁的密钥管理流程、直观明了的加密隧道设置与管理等等。l广域网接入的先进性广域网接入根据接入单位业务类型、规模大小、地理位置的不同，采用了多种网络接入技术（包含VPN接入、拨号备用等），专线接入采用帧中继链路接入，传输效率高，传输质量好，采用访问控制列表对专线接入有初步的安全保障；VPN接入方式具有较强的灵活性，通过128位数据加密保障了数据传输的安全性。157 1.1.1.1局域网系统的先进性整个内网网络采用千兆以太网做为主干，集成了先进的网络交换、路由交换、虚拟网、QoS等网络技术，保证了整个网络系统能够适应现在乃至未来几年的网络发展，为应用系统提供先进的网络平台。局域网建设主要采用了以下多种先进技术：l先进的路由交换技术中心骨干（三层）交换机采用L2/L3层交换技术，用于数据库服务器、备份服务器、防病毒服务器、内部客户机、广域网设备、防火墙等设备接入。核心采用高速IP路由交换技术，完成IP数据包的快速处理和转发。lVLAN技术VLAN技术具备优化网络传输性能、灵活的网络设置、增强网络的安全性等先进性能。lGE（千兆）技术数据库服务器局域网接入采用了GE（千兆）技术，充分保证了接入的高带宽。l基于局域网安全技术采用了VLAN划分、端口－IP－MAC的绑定、应用的过滤、IP地址的过滤等先进的局域网安全技术。lPortTrunk(802.ad)技术接入层交换机以及数据库服务器采用PortTrunk（802.ad）技术与中心骨干交换机互连，既保证了交换机、数据库服务器与骨干交换机之间的高速连接，又具备连接链路的负载均衡以及冗余特性的特性（单条连接链路的中断不会造成数据通信的中断）。1.1.1.2先进的多线路INTERNET连接本方案设计采用两台防火墙构建VPN、Internet接入，这两台防火墙实分别与INTERNET连接，正常情况下分别处理各自的数据业务，但又互为备份。157 1.1.1经济实用性**公司网络系统主要分为广域网系统和局域网系统，广域网系统的设计应针对不同使用单位的不同特点，有甄别地进行接入方式的设计和产品的选择，而不是盲目追求高性能和高带宽；局域网系统的设计应在满足当前应用的前提下，充分分析网络瓶颈所在，采用先进的局域网技术，尽可能的优化网络的性能，而不是盲目追求采用高档设备。1.1.1.1广域网系统的经济实用性广域网系统的经济实用性主要体现在以下几点：l设备选择的经济实用性VPN接入设备采用NetEyeFW4032-FE4-V系列防火墙，将来的分支机构VPN接入可以采用单机接入方式和NeteyeSG500-FE2V，SG500具有极高的性价比，避免采用了昂贵的路由器设备，同时在性能上优于采用路由器构建VPN方式。l链路选择的经济实用性设备的投资是一次性的，而广域网链路是长期租用。因此，在满足使用要求的前提下应尽量节省租用链路的投资成本。通过充分分析**公司应用系统对广域网接入的需求，本方案根据接入单位的不同规模、不同的业务特点、不同的地理位置，采用了不同的接入方式（包括不同的VPN接入方式、ISDN备用链路等），力求做到在满足使用要求的前提下，尽量节省链路的投资成本。1.1.1.2局域网系统的经济实用性网络方案的设计不仅考虑到其先进性，同时在设计过程中贯穿与**公司的具体情况相结合这一主线，而不是盲目地一味追求网络的先进性，同时考虑到网络实际的应用水平，以满足应用为目标，避免技术环境过于超前造成投资浪费。在方案设计中，实用性包含两个层次：紧扣满足网络系统的需求、目标这一主题，根据系统的规模和将建成的应用环境157 进行设计，既在网络结构、网络系统功能满足应用的需求，建立先进的、安全的、开放的、可靠的、可管理的、可扩充的网络系统，又严格区分主、备用设备，根据使用情况对网络设备进行合理的配置，避免资金的浪费。合理利用省公司原有的网络设备资源，将原有淘汰下的设备经过重新整合后加以使用，充分满足外网的需求，也保障了原有设备投资的可持续利用能力。1.1.1系统开放性网络系统的开放性主要体现在网络协议的开放性和设备选型的开放性。1.1.1.1协议的开放性本技术方案书的网络部分主要采用了以下标准协议。l网络承载协议全网均采用目前互联网上通用TCP/IP协议。l广域网协议广域网采用的主要协议Frame-relay（帧中继）、ISDN等l局域网协议局域网采用的主要协议有IEEE802.3系列：IEEE802.3u（FastEthernet快速以太网）、802.3q（GigabitEthernet千兆以太网）；802.ad(PortTrunk)；VLAN标准协议802.1q；生成树协议（STP）l简单网络管理协议（SNMP）......1.1.2运行稳定性运行的稳定性是本方案的重要特性之一，本方案采用了众多技术以保障网络系统的稳定性，网络系统的稳定性主要表现在设备的运行稳定性、冗余设备和冗余链路的157 设计。1.1.1.1设备的运行稳定性设备的运行稳定性是本方案设计的最大特色之一，在保证了使用需求和经济性的要求的前提下，兼顾了设备的运行稳定性。首先，本次采用的所有网络设备均具备较好的稳定性。其次，局域网交换机均配置了冗余电源，最后所有关键设备具备冗余设备，关键链路具备冗余链路。1.1.1.2冗余设备的设计l广域网设备的冗余省公司采用两台VPN大网关实现各单位的VPN访问，两台设备既各自独立又互为备份。l局域网设备的冗余局域网骨干交换机采用两台QuidwayS6503，两台交换机采用带宽汇聚技术实现连接，并采用802.ad技术分别和数据库服务器以及接入层交换机连接，单台QuidwayS6503故障不会造成网络传输的中断。1.1.1.3冗余链路的设计为了保证网络的可靠性，我们认为仅从物理设备进行冗余备份考虑是不够的，必须进行传输链路的冗余设计，才能保证网络的不间断传输。l当省公司主VPN大网关出现故障时，远程用户将自动启用备用VPN通道，实现与备VPN大网关的连接。l数据库服务器和分别和骨干交换机之间的连接采用802.ad技术，即保证提高了连接的带宽（实现和骨干交换机的2G连接），又做到了负载均衡和链路冗余。l主VPN大网关通过两条线路分别和中心两条主备交换机连接，防止防火墙到交换机之间的单点故障。l各分公司通过ADSL和ISDN手工备份，实现对省公司的多种手段访问。157 1.1.1安全性系统没有安全性的保障就谈不上系统的实用化，广义的系统安全性包括网络的安全性、数据的安全性和辅助设施的安全性。**公司向来重视系统的安全性建设，并在系统安全方面具有丰富的集成经验。在本方案书的第六章《安全和辅助系统设计方案中》我们设计了一套完善、全面的安全系统，而并非安全设备的简单堆砌。除了在第六章中提到的安全措施外，在网络系统的设计中我们也利用网络设备的自身特性采用了一系列的安全手段以保证系统的安全，其主要措施如下：1.1.1.1访问控制访问控制包括三部分：网络设备自身的访问控制、网络的隔离和地址绑定。l网络设备自身的访问控制网络设备的配置和管理均需要进行访问控制，东软VPN防火墙的采用管理控制台进行防火墙管理，密码和用户名在网络上传输均进行证书加密。l网络的隔离：在骨干交换机上通过访问控制列表（ACL）对不同网段（VLAN）之间的访问进行限制、对网段之间（或主机之间）的访问方式（如telnet、ping、ftp等应用）进行限制、对网段(VLAN)之间的路由进行限制；同时也可以在二层交换机上通过VLAN进行隔离。l地址绑定在网络中综合采用基于接入层交换机的MAC地址和端口绑定、路由交换机的IP/MAC/端口绑定机制，限制工作站通过唯一的端口、唯一的地址上网，从而提高网络的安全性能和审计能力。1.1.1.2VLAN的设计和实现VLAN就是在传统的LAN上进行细化，将一个LAN划分成多个LAN，这么做主要是减少以太网LAN上广播包过多的问题。因为以太网的机制决定了LAN的性能好坏很大程度上取决于广播包的多少，当一个平面LAN的广播包数量达到25%时，网络的性能将会下降很多。VLAN技术很好地缩小了广播范围，减少了广播包的数量。157 由于VLAN在第二层（链路层）的隔离作用，在一定程度上起到了网络隔离的作用。也就是说，在无第三层路由连通的情况下，VLAN之间是无法通讯的。根据VLAN的隔离作用，可以根据不同部门、不同应用等多种情况划分VLAN，以实现不同VLAN之间的安全性。也可以人为手工设置VLAN之间的过滤，即通过在CiscoCatalyst3750上设置第三层的IPFilter来保证。1.1.1.1Internet连接的网络安全性对于Internet的网络安全性设计，我们采用了多种措施，主要包括防火墙系统设计、入侵检测系统设计等等。详见本方案建议书的第六章《安全与辅助系统设计方案》。1.1.2平台可扩展性我们在2.7小节分析了将来应用系统对应用平台的性能需求，随着将来应用系统的扩展，网络系统的可扩展性要求也较高，因此我们认为对于扩展性应该重点论述。本方案建议书中的网络系统方案的可扩展性主要表现在以下几个方面：1.1.2.1广域网系统的可扩展将来系统平台广域网部分包含VPN接入方式lVPN接入的可扩展性随着应用系统的扩展，VPN接入要求将进一步增长。中心东软VPN防火墙最大支持248*1024个以上的隧道并发接入，可以轻松适应将来的VPN接入的增长。1.1.2.2局域网系统的可扩展将来局域网内部的计算机和网络设备数量可能会有一定的增长，要求局域网能够适应这一增长。对于局域网的扩展可以通过增加骨干交换机堆叠和增加接入层交换机两种方式。l骨干交换机的可扩展性本方案中心交换机采用机箱式设计，将来可以根据业务需要增加相应的模块即可。157 1.1.1.1Internet接入的可扩展对于Internet接入，在本次系统平台的建设中主要体现在**公司总部对互联网的访问。随着将来**公司Internet应用的拓展，**公司将对外提供Internet服务，如：WEB服务、电子邮件服务、FTP服务等。将来这部分应用的拓展只需启用东软防火墙的DMZ接口，建立DMZ区域，建立相应的DMZ策略，就能轻松实现。详见第六章中的《防火墙部署建议和策略配置》小节。157 第一章主机系统设计方案随着将来**公司业务系统的应用，业务数据都将集中在**公司的数据中心的主机系统中，主机系统的核心为数据库主机系统。因此，以下我们将着重依据**总公司业务特点进行数据库主机系统设计。对数据备份服务器、防病毒服务器建设略作论述。1.1主机系统需求分析根据我们在第二章《项目现状和需求分析》中的论述，我们认为数据库主机系统的设计应该考虑以下主要因素。数据库主机系统是将来**总公司应用系统的数据中心，它存储所有的应用数据，此次应用系统建设的体系结构主要采用了目前较为先进的J2EE技术架构，并且各应用体系针对不同的业务平台，面对不同的服务对象，所以其可靠性、安全性、高性能以及可扩展性是构建数据库主机系统和应用服务器的重点同时，为了满足现有业务和将来业务的发展，以及系统平台的其他需求，还应该建设相应的数据备份服务器、防病毒服务器、DNS服务器。1.2主机系统的建设目标**总公司主机系统是将来新系统应用软件正常运转的基础，主机系统的建设本着统一领导、统一规划、统一标准、共同建设的指导原则，力图建设一个能够适应C/S、B/S、大型数据库系统、INTERNET等多种要求，具有较高的可靠性、较强的系统推广能力、良好的扩充性、使用周期长的主机系统。其建设目标：l综合采用目前国际流行的主机系统技术（双机热备、多CPU处理、SAN、磁盘RAID技术、磁盘阵列等），建设一个具备先进、安全、可靠、可扩展、经济等特性的主机系统，为将来应用系统的拓展等打下良好的基础；l系统应具备相当的先进性，能够适应未来业务发展的需要；l系统必须是可靠的，应综合考虑各种因素，防止主机系统瘫痪造成的损失；l系统应保证安全性，防止信息的非法泄漏和非法窃取；157 l在保证当前应用的前提下，同时保证系统的可扩充性和扩展能力，避免不必要的投资。l充分考虑将来的系统推广，选择易于推广的主机平台和数据库平台。1.1主机系统分布图**公司的主机系统主要包含数据库主机、应用服务器主机备份服务器、防病毒服务器，这些服务器群建立在防火墙的内网区域。1.2关键服务器系统设计方案在结合数据库主机系统需求分析和业务应用系统对数据库主机系统的要求分析，我们建议采用双机热备方式构建数据库服务器和应用服务器集群，两台数据库服务器157 分别运行MSSQL和DOMINO数据库，两台应用服务器分别运行WEB和ApusicApp服务。根据标书要求，我们配置了两台HPDL740数据库服务器，一台作为MSSQL数据库服务器、另外一台作为DOMINO数据库服务器；配置了两台HPDL560应用服务器，一台运行WEB服务、另外一台运行Apusic（金蝶应用服务器）。采用光通道交换机构建SAN体系，具体实现方式为：每台HPDL服务器配置一块光纤通道卡，分别连接HP8口光通道交换机，光纤通道交换机集成在MSA1000磁盘阵列内部。光通道交换机和MSA1000共同组成了SAN体系。服务器操作系统使用现今流行Windows2000AdvanceServer操作系统，数据库采用MQSQL企业版数据库和DOMINO文档数据库，并采用Windows2000AdvanceServer内置的群集管理器作为建立SQL和DOMINO的双机热备群集系统的群集软件。设计说明l每台数据库服务器配置两块10/100/1000M网卡，采用802.ad技术将两块网卡进行绑定，并虚拟出一块网卡（配置一个IP地址）对外提供网络服务。l四台服务器均安装Windows2000AdvanceServer操作系统，并通过Windows2000AdvanceServer内置的群集管理器构建双机热备群集系统。l在双机热备方式下，在任何一台机器出现故障时，数据库处理系统自动切换到另一台主机上运行，用户就可以转向另外一台机器，对同一文件进行存取，从整体上提高了系统的可靠性、可用性；此种配置保证了主机系统单点失效转移，不致由于单点主机失效造成系统的瘫痪。lMSA1000运用了独特的先进数据保护（ADG）技术，这种RAID技术使系统能够承受硬盘同时出现两个故障，而不会导致停机或丢失数据。lMSA1000采用基于Internet的阵列配置实用程序（ACU-XE）和基于浏览器的接口,使用户能够从中央位置监视和配置存储；虚拟复制器软件（SANworksVirtualReplicator）能够帮助管理存储的动态扩展，它通过创建一系列逻辑块和分配分区，使服务器认为他拥有自己的硬盘。此外，该软件还支持即时快速复制，复制内容可保存在磁盘或备份设备中，从而简化了备份/恢复操作。配置清单：157 数据库服务器（HPDL740）两台配置描述处理器每台配置四个IntelXeonMP2.0GHz/1MB内存每台配置4GBDDRECC内存，带有先进的ECC功能内置硬盘驱动器配置2块36G硬盘光盘驱动器24xIDE光驱（通用介质托架）网络控制器HPNC7781PCI-X千兆位网卡（内嵌）10/100/1000WOL（局域网唤醒）*2，10/100MNetwork网卡一块存储控制器（RAID卡）SmartArray5iPlus控制器(集成在系统板上)数据库服务器（HPDL560）两台配置描述处理器每台配置两个IntelXeon2.8GHz/2MB内存每台配置4GBDDRECC内存，带有先进的ECC功能内置硬盘驱动器配置2块36G硬盘光盘驱动器24xIDE光驱（通用介质托架）网络控制器HPNC7781PCI-X千兆位网卡（内嵌）10/100/1000WOL（局域网唤醒）*2，10/100MNetwork网卡一块存储控制器（RAID卡）SmartArray5iPlus控制器(集成在系统板上)SAN系统配置描述磁盘阵列配置双控制器MSA1000磁盘阵列柜一台硬盘配置8个36GB10KSCSIU320UNIHDDALL硬盘光纤通道交换机配置SANSwitch2/8-EL(8口2G光纤交换机)1台157 光纤通道卡每台主机配置1块FCA21012G接口光纤通道卡1.1其他服务器构建建议其他服务器主要包括数据备份服务器、防病毒服务器以及网络管理服务器等，这些服务器基本上采用原有的PC服务器来承担这些任务，在此不加以详细说明。数据备份系统的设计方案详见第六章《安全与辅助系统设计方案》中的《数据备份系统》。1.2主机系统特性主机系统的设计原则严格遵照第三章《总体规划》中总体设计原则和招标文件中规定《系统技术要求》，具体的说就是主机系统的设计应满足技术先进性、经济实用性、系统开放性、运行稳定性、数据安全性、平台可扩展性、系统可管理性等要求。以下我们总结一下主机系统的特性。1.2.1技术先进性主机系统的技术先进性主要体现在高性能的服务器、先进的SAN存储体系、先进的群集系统三个方面。1.2.1.1高性能服务器数据库服务器采用HPDL系列PC服务器，作为HP新型的服务器系列产品，其先进性主要体现在：l采用HP企业级架构，提供强大的性能l4/8路内存交叉读取l增强型ECC内存保护功能，如内存镜像、在线内存保护、热插拔内存等l热插拔PCI-X插槽l热插拔驱动器托架和冗余风扇157 l业界领先的持续运行时间、灵活部署特性l集成的Lights-Out（iLO），提供虚拟管理功能l创新性诊断照明1.1.1.1先进的SAN存储体系SAN是一个专有的、集中管理的信息基础结构，它支持各服务器和存储之间任意的点到点的连接，SAN集中体现了功能分拆的思想，提高了系统的灵活性和数据的安全性。SAN以数据存储为中心，采用可伸缩的网络拓扑结构，通过具有较高传输速率的光通道连接方式，提供SAN内部任意节点之间的多路可选择的数据交换，并且将数据存储管理集中在相对独立的存储区域网内。在多种光通道传输协议逐渐走向标准化并且跨平台群集文件系统投入使用后，SAN最终将实现在多种操作系统下，最大限度的数据共享和数据优化管理，以及系统的无缝扩充。我们在主机系统中部署了SAN存储系统，充分利用了SAN的特点，将数据存储移到了后端，采用了一个专门的系统来完成，对数据进行了有效RAID保护，提升数据存储的可管理性、可维护性、安全性、可靠性。它具有如下特点：l既具有单通道的特点，又具有网络的特点，它是把各相关设备连接到网络结构上的一种高速通道；l光纤通道最大优点是速度快，它可以给各服务器提供接近于每一设备处理速度的吞吐量；l协议无关性，它有很好的通用性，是一种通用传输机制。适用范围广，可大大提高数据存储的性能价格比。1.1.1.2先进的集群系统集群就是由一些互相连接在一起的计算机构成的一个并行或分布式系统。从外部来看，它们仅仅是一个系统，对外提供统一的服务。在设计中，我们引入了基于Win2000AdvanceServer的集群系统。SQL/DOMINO数据库服务器引入了Win2000集群技术。当任一节点出现硬件或软件故障时，当前运行在该节点上的应用程序会由群集服务移往其它无故障节点并被重新启动。由于群集服务使用共享磁盘设置，因此，在故障应急期间将不会有数据丢157 失。通过WIN2000集群系统的实施，可以：l减少计划外的停机时间：共享磁盘解决方案与群集服务功能配合使用能够大大减少由意外故障导致的停机时间。l使用滚动升级支持来平稳地部署升级：确保在不影响应用的前提下实现透明升级，通过先将应用程序移往另一个节点，然后在原节点上进行升级，最后再将应用程序移回原节点这一系列操作，能够在不使应用程序脱机的情况下进行硬件、软件甚至操作系统的升级。l部署所依赖的应用程序：群集服务受许多具有群集识别能力的应用程序的支持，而这些应用程序涵盖了众多的功能与供应厂家，如Oracle、BEA、Lotus、等等。l在工业标准硬件上进行部署：通过在标准PC服务器和存储硬件上部署使用群集服务功能的群集系统，避免使用昂贵且需要经常进行专利更替的高可用性解决方案，可使有关成本费用保持在较低水平上。lWindows2000操作系统的群集服务易于安装和使用。配合一个充分改进的安装向导程序，群集服务安装程序仅需10次以下的鼠标点击即可完成对第一个群集节点的设定，而第二个节点的设定则仅需不到4次点击。1.1.1经济实用性在方案设计中，我们紧扣充分满足应用需求这一主题，根据应用系统的特点，合理选择和配置服务器系统、存储系统、集群系统和数据库系统，不要一味追求高性能。其主要体现如下：l在本方案书中我们根据业务系统的不同特点，详尽的分析了应用系统对主机系统资源的需求，根据分析出的数据合理的配置了主机系统，保证所设计的系统能够贴合于实际的应用情况，提供高性能、高可靠、良好的开放性、高可扩展、高可管理的主机系统平台。l对原有服务器本技术方案书中也建议了其新的使用功能，可以继续为系统平台提供相应的服务，有效的利用了系统资源，减少了投资成本。157 1.1.1运行稳定性我们认为运行的稳定性就是指系统的可靠性，**公司系统平台中的主机系统担负着数据中心的重要功能，因此，主机系统应具备极强的运行稳定性。我们设计的主机系统平台可靠性主要体现在服务器自身体系结构设计的可靠（稳定）性、存储系统设备的可靠（稳定）性、集群系统的可靠（稳定）性保障等个方面1.1.1.1服务器可靠性HPDL系列服务器的可靠性特征：l在线内存备援保护，内存镜像，热插拔内存lActive™PCI-X插槽：热增加和热插拔适配器l热插拔驱动器托架和冗余风扇：无需给服务器断电即可替换l热插拔冗余电源l带有备用电池写高速缓存启动程序（集成在系统板上）的SmartArray5iPlus控制器（双通道、Ultra3）l创新性诊断照明，QuickFind™诊断显示屏–能够准确显示出服务器的所有主要子系统（PCI-XI/O、内存、CPU、冗余冷却、连锁装置和热循环设备），并可即时显示出出现故障的设备。l动态扇区修复和驱动器参数跟踪（使用SmartArray控制器）l冗余/适应性负载平衡网卡支持l冗余ROMl自动服务器恢复-2（ASR-2）1.1.1.2存储系统可靠性方案设计中，通过对SAN存储系统的配置提供以下可靠性保障：l采用了高品质的8口SAN光通道交换机，光通道交换机集成在MSA1000内部。lSAN存储介质采用了HPMSA1000，通过光纤链路与光纤通道交换机相连，提供了高可用性模式，支持透明的故障恢复l通过ADG（AdvancedDataGuarding）RAID技术的实施，提供广泛的数据保护选157 项，RAIDADG技术能够提高读性能，使系统能够承受硬盘同时出现两个故障，而不会导致停机或丢失数据。l利用冗余和可交换部件，如电源供应和风扇，保证高可靠性1.1.1.1数据库主机系统网络连接的可靠性我们在第四章的4.4.4.3小节《局域网网络连接方案》中，设计了通过802.ad技术实现与QuidwayS6503骨干交换机的连接。采用该方式进行的网络连接，即使单台骨干交换机、单条连接链路失效也不会造成数据库服务器的网络通信中断。1.1.1.2集群系统可靠性对于重要的业务支撑，如数据库系统，我们在系统设计时提供集群方式来保证系统的可靠性，通过服务分布、双机热备的实施，在主服务器出现意外故障时，备用服务器能够全面接管应用，为系统提供连续的应用保障。1.1.2安全性将来的**公司的数据库服务器系统是**公司的数据中心，因此数据库服务器的数据安全极其重要。首先，在网络系统中我们采用了一系列的手段进行了访问的控制，重点包含数据库主机的安全；其次，**公司向来重视系统的安全性建设，并在系统安全方面具有丰富的集成经验。在本方案书的第六章《安全和辅助系统设计方案中》我们设计了一套完善、全面的安全系统，并对安全体系提出了建议。1.1.3平台可扩展性我们在分析了将来应用系统对应用平台的性能需求，随着将来应用系统的扩展，主机系统的可扩展性要求也较高。在本章节我们已经介绍了系统平台主机系统的建设方案，以下我们重点介绍一下该主机系统的可扩展性。157 1.1.1.1数据库主机的可扩展能力扩展性项目HPDL740HPDL560CPU扩展能力本期配置4个xeonMP2.0GCPU可扩展至8个本期配置2个xeonMP2.8GCPU可扩展至4个内存扩展能力本期配置4GECC内存可扩展至32G本期配置4GECC内存可扩展至16G1.1.1.2SAN存储系统的可扩展能力数据爆炸性增长造成了严重的IT资源短缺问题。MSA1000为在整个SAN中扩展存储容量奠定了坚实基础。采用MSA1000可以拓展至3TB的存储能力。1.1.1.3集群系统的可扩展能力采用Windows2000AdvanceServer构建群集系统，每个集群最多4个节点（本次采用2个节点），支持多点互为备份。1.1.2系统可管理性方案设计中，无论是服务器、存储、集群都提供了简单、便捷的管理手段。1.1.2.1服务器可管理性HPDL系列PC服务器的可管理性：l集成的Lights-Out（iLO）标准管理，集成的Lights-Out（iLO）高级软件包（支持先进特性，如图形远程控制台和虚拟软驱，作为独立选件提供）；lCompaqInsightManager7；l开机密码、键盘密码、软盘驱动器控制、磁盘启动控制、网络服务器模式、安全调节、串行接口控制、管理员密码、磁盘配置锁定、热插拔访问安全性、可拆卸磁盘驱动器，以及可拆卸CD-ROM驱动器；157 l基于ROM的设置实用程序（RBSU）、集成管理日志（IML）、离线备份处理器能力。1.1.1.1SAN的可管理性MSA1000存储系统具备以下主要可管理特性：l远程配置和管理基于Internet的阵列配置实用程序（ACU-XE）和基于浏览器的接口使用户能够从中央位置监视和配置存储。l简化备份与恢复虚拟复制器软件（SANworksVirtualReplicator）能够帮助管理存储的动态扩展，它通过创建一系列逻辑块和分配分区，使服务器认为他拥有自己的硬盘。此外，该软件还支持即时快速复制，复制内容可保存在磁盘或备份设备中，从而简化了备份/恢复操作。157 第一章安全与辅助系统设计方案作为**公司业务系统的支撑系统，“系统平台建设”工程项目的安全性是关系业务系统生命力的决定性要素，也是系统实用性的基础。本章我们将结合**总公司计算机系统的安全风险分析，以及**总公司的安全的实际需求，提出多层次的网络安全体系结构，确保系统的高安全性、高保密性。1.1**公司系统平台的安全风险分析**公司系统平台的关键部分包括骨干网络设备、接入网络设备、各种服务器、数据库等。以**总公司信息中心为主节点，通过VPN等方式与分支机构相连。分支机构通过网络将数据传送至**总公司信息中心后台的数据库，主要包括业务系统以及办公自动化系统。这些局域网或单机通过专用链路联成一体。各种不同的系统之间具有相对的独立性，而且各自具有不同的安全要求，而各关键系统又具有不同的安全风险。**公司倡导的系统安全不仅仅是安全产品的简单堆砌，而是“多层次、全方位”的安全体系，我们在安全体系的构建过程中不仅会进行安全产品的合理配置，还会对**公司系统平台中存在的安全风险进行详细分析，对用户提出整体的安全建议。1.1.1路由/交换设备的安全分析路由器和交换机是**总公司网络的核心部件，路由器和交换机的安全将直接影响整个网络的安全。下面以路由器、交换机可能存在的主要安全风险：l路由器、交换机缺省情况下只使用简单的口令验证用户身份，并且远程TELNET登录时以明文传输口令。一旦口令泄密路由器将失去所有的保护能力。l路由器、交换机口令的弱点没有计数器功能，所以每个人都可以不限次数的尝试登录口令，在口令字典等工具的帮助下很容易破解登录口令。l每个管理员都可能使用相同的口令，因此，路由器、交换机对于谁曾经作过什么修改，系统没有跟踪审计的能力。l路由器、交换机实现的某些动态路由协议存在一定的安全漏洞，有可能被恶意的157 攻击者利用来破坏网络的路由设置，达到破坏网络或为攻击作准备的目的。路由/交换设备的安全建议对于路由/交换设备建议采用以下安全措施：l合理配置路由器的口令、密码并且对用户权限进行区分。l采用访问控制手段设定允许进行路由/交换设备配置、管理的IP。l尽可能采用复杂的路由/交换设备密码等等。1.1.1数据库系统安全分析**公司的数据库系统采用SQL数据库，因此，数据库系统的安全也是系统安全的重要一环。数据库系统是存储重要信息的场所并担负着管理这些数据信息的任务。数据库的安全问题，在数据库技术诞生之后就一直存在，并随着数据库技术的发展而不断深化。不法份子或者恶意竞争者利用已有的或者更加先进的技术手段通常对数据库进行伪造数据库中的数据，损坏数据库，窃取数据库中的数据。如何保证和加强数据库系统的安全性和保密性对于**网络的正常、安全运行至关重要。我们将将来**总公司后台数据库系统分成两个部分：一部分是数据库，按照一定的方式存取各业务数据。一部分是数据库管理系统（DBMS），它为用户及应用程序提供数据访问，同时对数据库进行管理，维护等多种功能。数据库系统有如下特点：l客体较多；l数据生存周期长，对维护要求高；l涉及到信息在不同粒度的安全，即客体具有层次性和多项性；l在DBMS中受到保护的客体可能是复杂的逻辑结构，若干复杂的逻辑结构可能映射到同一物理数据客体上，即客体逻辑结构与物理结构的分离；l数据库的安全与数据语法有关；l应该考虑对特殊推理攻击的防范，即客体之间的信息相关性较大；数据库系统的安全建议：l保障业务数据库系统的保密性。我们通常可以采取下面的措施：ü数据库系统的用户身份识别：保证每个用户是合法的，且是可以识别的；157 ü数据库系统的访问控制：控制主体对客体的访问，拒绝非授权访问，防止信息泄露；ü统计数据库对推理攻击的防范：数据库中存放的数据往往具有统计意义，入侵者往往利用已经公开的，安全级别相对低的数据来推断出安全级别高的机密信息；ü数据库系统的可审计性：即对非法用户的入侵行为及信息的泄露与破坏的情况能够跟踪审计；ü防止数据库系统中隐蔽信道的攻击；l保障业务数据库系统的完整性。我们通常采取下面措施：ü数据库系统的物理完整性：保障数据库物理存储介质以及物理运行环境的正确与不受到侵害；ü数据库系统的逻辑完整性：包括数据库逻辑结构完整性和数据库主码完整性两个方面；ü数据库系统的元素完整性：保障给客体数据元素的合法性，有效性，正确性，一致性，可维护性，以及防止非授权修改与破坏；l保障业务数据库系统的可用性。它需要保障数据库系统资源可以存储，易于使用，方便操作，界面友好等。如何维护**总公司数据库安全，需要建立一整套的数据库基本安全框架。l用户分类：不同类型的用户应该授予不同的数据库访问，管理权限。比如：数据库系统登录权限，资源管理权限，数据库管理员权限，远程访问权限等。l数据分类：对每类用户他能够使用的数据库是不同的，要进行数据库分类。不同的用户访问不同的数据库系统。l审计功能：DBMS提供审计功能对维护数据库的安全是十分重要的，它用来监视各用户对数据库施加的动作。可以通过用户审计和系统审计两种方式来发现数据库使用过程中出现的问题，从而找到安全隐患。l数据库扫描：利用数据库安全扫描软件可以对数据库的安全状况进行完整的分析，并给出修补漏洞，增强安全性的建议。周期性的对数据库进行这种扫描可以降低人为造成的（有意或无意的）数据库的安全风险。157 l对于非常机密的数据，可以考虑以加密的形式存储数据。l数据库备份与恢复：因为数据在存储，传输过程中可能出现故障，同时计算机系统本身也可能发生一些意料之外的事情，如果没有事先采取数据备份措施，将会导致惨重的损失。因此数据库的备份与恢复也是数据库的一个安全功能，它必须提供。数据库系统的备份可以采取多种方式进行。详细可参考6.4.4《数据备份系统设计》。1.1.1WindowsNT（Windows2000）系统的安全分析**公司出于系统开放性和系统的易于推广的原因，采用Windows2000系统构建服务器的操作系统，而Windows系列操作系统存在一定的安全隐患，所以将来**公司应该做好Windows2000系统的安全防护。WindowsNT的安全机制的基础是所有的资源和操作都受到选择访问控制的保护，可以为同一目录的不同文件设置不同的权限。这是NT的文件系统的最大特点。NT的安全机制不是外加的，而是建立在操作系统内部的，可以通过一定的设置使文件和其他资源免受在存放的计算机上工作的用户和通过网络接触资源的用户的威胁（破坏、非法的编辑等等）。安全机制甚至包含基本的系统功能，例如设置系统时钟。对用户帐号、用户权限及资源权限的合理组合，可以有效地保证安全性。通过一系列的管理工具，以及对用户帐号，口令的管理，对文件、数据授权访问，执行动作的限制，以及对事件的审核可以使WindowsNT达到C2级安全。但是，由于WindowsNT系统的复杂性，以及系统的生存周期比较短，系统中存在大量已知和未知的漏洞，一些国际上的安全组织已经发布了大量的安全漏洞，其中一些漏洞可以导致入侵者获得管理员的权限，而另一些漏洞则可以被用来实施拒绝服务攻击。下面列举了一些可以导致入侵的严重的安全漏洞：lWindowsNT所采用的存储数据库和加密过程导致了一系列严重的安全漏洞。NT把用户信息和加密口令保存于NTRegistry中的SAM文件中，即安全帐户管理(SecurityAccountsManagement)数据库。由于采用的算法的原因，NT口令比UNIX口令更加脆弱，更容易受到一本简单字典的攻击。能解码SAM数据库并能破解口令的工具有：PWDump和NTCrack。这些工具可以很容易在Internet上得到。黑客可以利用这些漏洞来破译一个或多个DomainAdministrator帐户的口令，并且对NT157 域中所有主机进行破坏活动。l大量漏洞可以使入侵者在主机上或通过网络获取SAM数据库的拷贝。如系统中的备份操作员，服务器操作员，以及所有具有备份特权的人员可以直接拷贝SAM数据库；一些远程入侵工具可以利用WindowsNT的网络共享协议SMB的一些未公开的命令下载SAM数据库等等。WindowsNT系统的安全建议由于NT操作系统所存在的安全问题，在一个未加保护的WindowsNT服务器运行企业的核心业务是会存在相当大的风险的。建议采取的安全措施包括：l使用防火墙屏蔽除应用系统本身以外的不必要的其他服务；l使用增强的身份验证产品（如基于Token的双因素验证技术）代替系统本身的口令验证机制；l在作为服务器存在的系统上使用访问控制软件实施强制的安全策略；l及时安装操作系统厂商提供的“补丁”程序；l根据国际安全组织的建议及时修补安全漏洞。1.1.1来自互联网的安全风险分析随着Internet的发展，企业上网在我国也成了一种趋势，最初企业上网的含义指的是企业有自己的主页，但很快人们发现这种层次对企业深层次的环节如生产、销售、营销并没有什么太大的促进作用，于是企业慢慢地过渡到比较高的层次，建立自己的网站与局域网，并且与Internet连接，使企业的上下游伙伴及驻地机构、办事处都能实时了解企业的信息，即过渡到了电子商务的初级阶段。将来**公司也将建立自己的电子商务应用系统，企业内部网也打开了通往Internet的一个窗口，企业在享受Internet带来的好处的同时，也面临着一定的风险，因为Internet上存在很多的危险。互联网上存在着各种各样的危险，这种危险可能是恶意的，也可能是非恶意的，如因失误而造成的事故；恶意的危险又分为理智型的(如故意偷取企业机密)和非理智型的(如毁坏企业的数据)。总的说来，比较典型的危险主要包括如下几个方面：l软硬件设计故障导致网络瘫痪如防火墙意外瘫痪而导致失效，以致安全设置形同虚设；由于内外部人员同时访问导致服务器负载过大以致死机、严重者导致数据丢失等等；157 l黑客入侵和攻击一些不坏好意的人(黑客)强行闯入企业网实施破坏；冒充合法的用户进行企业网内部，偷盗企业机密信息和破坏企业形象等等；黑客入侵的常用手法主要有：通过黑客软件对企业Internet服务主机进行扫描，得到关于该主机的相关信息，如：主机名、操作系统类型版本、开放了什么类型的服务等等，再通过以上信息分析出系统存在的漏洞，采用针对该漏洞的攻击和入侵方法对该主机进行攻击；还有部分黑客利用网络协议的特点或漏洞对系统进行攻击，例如DDOS等；给系统植入木马程序，为系统开放后门等等。l敏感信息泄露企业内部的敏感信息被入侵者偷看，导致这种状况的有几种原因，如寻径错误的电子邮件、配置错误的访问控制列表，没有严格地设置好不同用户的访问权限等等；l信息删除有时网管员对安全权限设置不当，导致某些怀有恶意的人故意破坏企业商业机密的完整性以及向竞争对手故意泄露商业机密等等。1.1.1来自计算机病毒的安全风险分析计算机病毒的威胁是来自多方面的，主要有以下主要途径：l互联网将来的**业务系统与互联网有直接通道，虽然中间有防火墙验证数据的合法性，但仍会受到来自互联网以HTTP、SMTP、FTP等数据流为载体的潜在病毒的威胁。l内部局域网中的工作站及文件服务器都会受到病毒的感染，病毒的攻击方式多种多样，有通过局域网传播、传统介质(光盘、软盘等)传播等等，一旦受到感染，便会迅速传播，会给日常的工作和生产带来极大的威胁。另外，可能还存在私自拨号上网的客户端，从互联网感染病毒。l邮件服务器电子邮件已成为病毒传播的最大载体，任一与外界有邮件往来的邮件服务器如果157 没有采取有效的病毒防护措施，极易受到攻击，并会导致病毒在企业内部网中快速传播。其实邮件服务器本身不会受到邮件病毒的破坏，只是转发染毒邮件至客户信箱中，但是当客户机染毒并产生几何数量级的信件时，邮件服务器会由于在短时间内需转发大量邮件而导致性能迅速下降，直至宕机。l广域网建设完成后的**总公司网络系统将包含总公司、分公司、子公司等网络节点，并且业务是自上而下的垂直分布，这就增加了病毒通过广域网进行传播的可能。l来自外网的感染将来随着**总公司业务的发展，可能存在和外来的企业客户以及银行等的网络互联，互相之间存在数据往来。这使得病毒可能通过外来的网络连入进行传播。1.1.1电源中断的风险分析一次大面积的电源中断，不仅会造成设备的停机，应用的中断，而且容易造成设备硬件的损坏。因此，应当采取相应的措施防止电源中断给**总公司的系统应用带来不可估计的损失。1.2多层次、全方位的安全体系针对系统平台安全风险分析，我们的安全体系将如何应对？我们所构建的网络安全系统并不是防火墙、入侵检测、网络防病毒等系统的简单堆砌，而是贯彻了“多层次、全方位”的设计原则，综合考虑系统平台中可能存在的安全隐患，并通过安全系统各个组成部分之间的联动关系，确保网络安全万无一失。以下是针对“系统平台”安全风险分析，安全体系的对应措施：安全风险类型安全体系应对措施157 路由/交换设备的安全风险1)采用访问控制列表功能将不需要参与路由器、交换机管理的网络地址段的Telnet应用过滤；2)严格管理路由器、交换机密码，并尽量采用比较复杂的密码；合理配置路由器、交换机；数据库系统的安全风险1)保障业务数据库系统的保密性；2)保障业务数据库系统的完整性；3)保障业务数据库系统的高可用性，如：配置集群系统；4)进行用户权限分类，不同权限的用户进行不同权限的操作；5)进行应用系统数据分类；6)设置审计功能；7)建立数据备份系统；进行数据库备份与恢复；……NT系统的安全风险1)使用防火墙屏蔽除应用系统本身以外的不必要的其他服务；2)使用增强的身份验证产品代替系统本身的口令验证机制；3)使用操作系统访问控制软件实施强制的安全策略；4)及时自查NT系统存在的安全漏洞，及时安装Microsoft提供的NT“补丁”程序；修补安全漏洞；5)建立入侵检测系统；……来自互联网的安全风险1)合理配置安全产品策略；2)关闭没有必要的系统服务；3)健全企业内部的安全机制，合理设置安全权限；4)及时自查NT系统存在的安全漏洞，发现漏洞及时进行修补；5)配置成熟的网络安全产品如：防火墙等；6)建立入侵检测系统；7)漏洞扫描系统；……来自病毒的安全风险建立完善的网络防病毒体系。电源中断的风险建立UPS体系。根据上表我们分析得出，除了加黑字体列出的部分可以通过合理的配置或者增强安全管理可以解决外，其余的系统均是**总公司“系统平台”安全体系需要补充建立的安全机制。157 以下的章节我们就针对安全体系中需要补充建立的的安全机制来进行论述，共有防火墙系统、入侵检测系统、网络防病毒系统、数据备份系统、UPS系统。1.1网络安全体系结构图1.2安全与辅助系统设计方案1.2.1防火墙系统设计1.2.1.1防火墙系统建设目标l网络安全的屏障157 一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。防火墙同时可以保护网络免受基于路由的攻击。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。l强化网络安全策略通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。l对网络存取和访问进行监控审计如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。l防止内部信息的外泄通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴露了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger、DNS等服务。1.1.1.1防火墙安全技术的比较本小节就市场上各种防火墙产品采用的技术进行简单分析和比较.1）包过滤型（PacketFilter）防火墙技术包过滤型防火墙技术是一种传统的防火墙技术。主要分为安装在路由器上的软件包过滤防火墙和硬件包过滤防火墙，它们的原理和主要特点如下：包过滤通常安装在路由器上，并且大多数商用路由器都提供了包过滤的功能。包157 过滤是一种保安机制，它控制哪些数据包可以进出网络而哪些数据包应被网络拒绝。网络中的应用虽然很多，但其最终的传输单位都是以数据包的形式出现，这种做法主要是因为网络要为多个系统提供共享服务。例如，文件传输时，必须将文件分割为小的数据包，每个数据包单独传输。每个数据包中除了包含所要传输的内容，还包括源地址、目标地址。数据包是通过互联网络中的路由器，从源网络到达目的网络的。路由器接收到的数据包就知道了该包要去往何处，然后路由器查询自身的路由表，若有去往目的的路由，则将该包发送到下一个路由器或直接发往下一个网段；否则，将该包丢掉。与路由器不同的是，包过滤防火墙，除了判断是否有到达目的网段的路由之外，还要根据一组包过滤规则决定是否将包转发出去。硬件型包过滤防火墙，前一种包过滤防火墙实际上是路由器的一个选件，CISCO路由器或者其他相应的软件实现包过滤功能，但是现在专有的硬件型防火墙产品加载在内部和外部网络接口之间，采用专有的OS系统，这样的防火墙产品可以根据需要加载不同的安全策略，它的作用主要是为了维护网络安全，而不需要实现如同路由器一样其他的功能。这样的防火墙产品更加容易实现更多和更复杂的安全策略。现在大多数包过滤防火墙都是一种硬件型防火墙。包过滤技术可以允许或禁止某些包在网络上传递，它依据以下的判断：l将包的目的地址作为判断l将包的源地址作为判断l将包的传送协议（端口号）作为判断。一般，在进行包过滤判断时一般不关心包的具体内容。包过滤只能让我们进行类似以下情况的操作，如：l不让任何工作站从外部网用Telnet登录。l允许任何工作站使用SMTP往内部网发电子邮件。但包过滤不能允许我们进行如下的操作，如：l允许用户使用FTP，同时还限制用户只可读取文件不可写入文件。l允许某个用户使Telnet登录而不允许其他用户进行这种操作。l包过滤系统处于网络的IP层和TCP层，而不是应用层，所以它无法在应用层的具体操作进行任何过滤。以FTP为例，FTP文件传输协应用中包含许多具体的操作，157 如读取操作、写入操作、删除操作等。再有，包过滤系统不能识别数据包中的用户信息。包过滤的优点：l因为包过滤防火墙工作在IP和TCP层，所以处理包的速度要比代理式防火墙快；l提供透明的服务，用户不用改变客户端程序；l适应多种网络环境；l具有透明接入的功能，很多时候不需要更改网络的拓扑结构；l功能强大，能够对各种应用协议进行过滤；l针对协议能够做得更加底层。包过滤的缺点：因为只涉及到TCP/IP层，很难实现针对具体协议内容的过滤，所以与代理型防火墙（应用层网关）相比，它提供安全级别相对低。2）代理服务型（ProxyService）代理系统一般安装并运行在双宿主机上。双宿主机是一个被取消路由功能的主机，与双宿主机相连的外部网络与内部网络之间在网络层是被断开的。这样做的目的是使外部网络无法了解内部网络的拓扑。这与包过滤防火墙明显不同，就逻辑拓扑而言，代理型比包过滤型更安全。由于内部网络和外部网络在网络层是断开的，所以要实现内外网络之间的应用通讯就必须在网络层之上。代理系统是工作在应用层，代理系统是客户机和真实服务器之间的中介，代理系统完全控制客户机和真实服务器之间的流量，并对流量情况加以记录。目前，代理服务防火墙产品一般还都包括包过滤功能。下面简要介绍代理服务的工作原理。代理服务防火墙按如下标准步骤对接收的数据包进行处理：(1)接收数据包(2)检查源和目标地址(3)检查请求类型(4)调用相应的程序(5)对请求进行处理代理的优点157 l针对某一特殊应用他能够提供比包过滤防火墙高的安全级别；l代理型防火墙可以配置成唯一的可被外部看见的主机，这样可以保护内部主机免受外部主机的攻击。代理的缺点l代理的速度比包过滤慢。随着因特网络技术的发展，不论在速度还是安全上都要求防火墙技术更新，现在市场上出现了基于上下文的动态包过滤防火墙和自适应代理防火墙。这两种防火墙分别对传统的包过滤和代理服务防火墙技术进行了技术更新。l功能单一，代理服务器只能针对某特殊应用进行分析处理，其需要的系统庞大，针对大型而存在多种复杂的应用系统是不适合的。而且它只针对TCP协议上的各种应用开发对于一个具有多种网络应用的环境而言具有许多不方便的地方。l代理服务器自身的安全性很难得到保证，因为代理服务器往往需要提供IP地址，同时对内和外提供相应的代理服务，由于任何代理服务都存在安全隐患，而这样的隐患可能是客户长时间不能发现的。l代理服务器通常要更改系统的拓扑结构，对于调整系统是不方便的，特别是对于一个复杂的系统使用是十分不方便的。l不能实现用户的许多特殊要求的功能。3）基于数据流的状态监控防火墙为了克服包过滤模式和应用代理型防火墙明显的安全性和性能不足的的问题,一些先进的防火墙厂商推出了状态包过滤的概念。在包过滤技术的基础上，结合应用代理的概念，通过基于上下文的动态包过滤模块检查，增强了安全性检查。它不再只是分别对每个进来的包简单地就地址进行检查，状态检测防火墙在网络层截获进来的包，直到足够的数量，以便能够确定此试图连接的有关“状态”。然后用防火墙系统内核中“专用的检查模块”对这些包进行检查。安全决策所需的相关状态信息经过这个“专用的检查模块”检查之后，记录在动态状态表中，以便对其后的数据包通讯进行安全评估。经过检查的包穿过防火墙，在内部与外部系统之间建立直接的联系。因此，我们推荐**总公司的防火墙体系构建采用基于数据流的状态监控防火墙。157 1.1.1.1**总公司防火墙产品的选型通过**总公司存在的安全风险分析，结合防火墙安全技术介绍，我们建议在**公司网络中采用东软NetEyeFW4032-FE4-V网络防火墙。将来**总公司防火墙的作用主要功能为内部计算机通过防火墙对Internet进行访问和将来部分内部主机通过防火墙对Internet提供服务（WEB和FTP等，在DMZ区域扩展）。NetEyeFW4032-FE4-V具备4块100M网卡，具有DMZ区域和VPN功能，适合**总公司的Internet连接与扩展以及VPN接入的需求；该系列防火墙具有NetEye防火墙的高可靠性、高自身安全性的特性。NetEye防火墙提供了丰富的身份认证、授权和访问控制功能，对防火墙访问用户可以提供一次性口令认证功能；对防火墙管理者提供了三级管理角色划分：用户管理员、安全员和审计员。同时，该款产品同时具备系统同时支持Flash盘和18G大硬盘，好处是本身防火墙系统软件写入Flash盘中，克服突然掉电后硬盘损坏导致系统不可用的缺陷；同时支持日志文件写入硬盘，支持长时间、大数据量的日志记录，便于进行日志统计和分析。该防火墙支持30万并发连接数，可同时连接512个VPN隧道。基于以上分析，我们认为FW4032-FE4-V系列产品完全可以满足**总公司的Internet安全需求和不断增长的Internet访问的需求以及VPN接入需求。1.1.1.2防火墙部署建议和策略配置我们建议在将来的**网络防火墙采用如下方式进行部署：l区域一：Internet出口区域(外网区域)这是构成网络Internet部分的区域，与这部分相连的是ISP提供的Internet线路。保护目标：构成**公司网络路由器和交换机l区域二：高速局域网服务器群区域（DMZ区域，该区域目前暂时没有启用，将来**公司对外提供WEB服务器或其他互联网服务时启用）157 包含各种连接到区域一上的服务器，如WEB、Mail等。保护目标：提供Internet服务的服务器l区域三：内部局域网区域（内网区域）连接的是内部局域网的交换机、路由器、内部计算机、及服务器等。保护目标：内部局域网的交换机、路由器、内部计算机、及数据库服务器等。防火墙策略配置：建议**网络防火墙采用如下策略部署l两台防火墙同时处于工作状态实现Internet接入服务以及VPN接入服务。两台防火墙的所建立的VPN隧道数一样。l防火墙（NetEyeFW4032-FE4-V-1）的两个内网端口分别连接两台QuidwayS6503骨干交换机，设置为内网模式（成为内部局域网区域）；采用路由方式和Internet出口区域连接，采用NAT方式实现内部计算机对外部的访问。防火墙（NetEyeFW4032-FE4-V-2）的一个内网端口连接到QuidwayS6503主交换机上。l两台防火墙的外网端口连接ISP线路，设置成外网模式，（Internet出口区域），采用路由方式连接内部安全子网，采用包过滤规则限制对内网的访问；l将防火墙（NetEyeFW4032-FE4-V-1）的DMZ端口连接交换机和提供Internet服务的服务器，可以断开进入DMZ的路由，只是分别将DMZ子网的服务器通过反向NAT映射到外网中，只开放提供服务的服务端口（例如WWW、FTP、DNS、POP3、SMTP等等服务端口），这样服务器就处于防火墙的保护之下，并且隐藏了自己的真实IP地址；（将来**公司对外提供互联网服务后配置该策略）l可采用防火墙提供的身份认证、授权和访问控制功能，对防火墙访问用户进行一次性口令认证，这样可以对不同的用户群和用户进行控制和审计，可以对不同的用户授予不同的权限，并且留下互联网访问的记录以便审计。l采用防火墙提供的MAC地址绑定功能可以防止上网IP的盗用；l开启防火墙和东软入侵检测系统的联动策略，当入侵检测系统检测到入侵行为后，将通知防火墙对入侵行为进行阻断。（入侵检测系统的设计详见本章的《入侵检测系统设计》）以上策略只是**公司针对多年的防火墙部署经验提出的部署建议，当然策略的部署是很灵活的可以根据具体情况进行灵活配置。157 1.1.1入侵检测系统设计1.1.1.1网络入侵检测系统简介网络入侵检测系统如同银行大楼无处不在的电子监控系统，它采用旁路方式全面侦听网上信息流，动态监视网络上流过的所有数据包，进行检测和实时分析，从而实时甚至提前发现非法或异常行为，并且执行报警、阻断等功能，对事件的响应提供在线帮助，以最快的方式阻止入侵事件的发生。并且能够全面的记录和管理日志，进行离线分析，对特殊事件提供智能判断和回放功能。基于网络的入侵检测系统主要用于实时监控网络关键路径的信息。1.1.1.2网络入侵检测系统建设目标l入侵行为的检测**总公司的入侵检测系统部署时，需要将其检测引擎端口连接的骨干交换机端口和防火墙内网连接骨干交换机端口进行镜像。这样，凡是流过防火墙内网端口的数据包将被入侵检测系统检测，发现入侵行为将进行告警、纪录。l强化网络安全策略防火墙的策略配置可能不尽合理，容易留下网络安全方面的漏洞，通过部署入侵检测系统能够检测到防火墙策略中疏忽的安全隐患，从而完善防火墙策略。l作为防火墙功能的补充选择入侵检测系统时应该尽量选择和防火墙产品能够进行联动的产品，这样当入侵检测系统发现攻击行为后能够通知防火墙，防火墙将生成动态规则对入侵行为进行阻断。1.1.1.3入侵检测系统选择我们建议入侵检测系统采用和中心防火墙相同厂家的产品，这样可以启用防火墙和入侵检测系统的联动策略，因此我们建议选用东软NetEyeIDS2100-FE2入侵检测系统。通过该入侵检测系统，为网络安全提供“事中”的报警和审计机制。其功能如下：l先进的数据流截取和重组技术采用专用的接口直接从操作系统内核快速截取数据包，高效进行数据流重组，157 以数据流为对象进行分析。轻松处理分片和乱序数据包。l强大的攻击事件检测和防御可对1000多种攻击进行检测，报警,记录，切断。并可方便的升级以检测最新的攻击。l高效的网络应用恢复可对HTTP,SMTP,POP3,FTP,TELENT等协议进行恢复和重放，并可自定义协议，便于扩充。l完整的网络事件记录可对网络中发生的所有事件进行记录，是完整的网络审计日志。l灵活的查询，报表功能可对网络中的攻击事件，访问记录进行灵活的查询，并可根据查询结果输出优美的报表。l丰富的辅助工具集成网络嗅探器和扫描器等网络分析工具，便于管理员查看当前网络状况，分析网络问题。l实时的网络连接察看，切断功能实时查看网络当前连接状况，对可疑连接可立即切断，最大限度的保证用户的安全。l简便的管理客户/服务器结构提供便于使用的图形界面来进行远程管理。自动进行自身的数据和策略的默认维护，不需人为干预,使用极其简便。内置权限管理，方便不同权限的用户进行不同的操作。l全面的网络信息收集采取多种方法全面收集网络用户信息，方便管理员快速了解当前网络用户状态。l多样的报警方法用户可选择界面显示，记录到数据库。发送电子邮件等不同的方式进行报警。l和东软防火墙进行联动入侵检测系统检测到入侵行为后，如果配置了和防火墙的联动策略，入侵检测系统将通知防火墙对入侵行为进行阻断。157 1.1.1.1入侵检测系统的部署NeteyeIDS2100-FE2的部署结构图如下：将连接NeteyeIDS2100-FE2检测引擎的主交换机端口和防火墙内网端口所连接的主交换机端口进行镜像。这样通过防火墙进出**公司内部网络的数据都将被NeteyeIDS2100-FE2入侵检测系统不间断监控，在重组网络数据流的基础上，根据规则判断、统计分析是否有异常事件发生，并及时报警和响应。同时记录网络中发生的所有事件，以便事后重放和分析查看是否有入侵行为。采用NeteyeIDS2100-FE2可以和Neteye系列防火墙实现联动。当NeteyeIDS2100-FE2检测到入侵行为时，会通知防火墙并采用事先定制的规则对入侵行为进行157 阻断。1.1.1漏洞扫描系统设计所谓“知己知彼，百战百胜”，在网络安全领域，作为防御者，用户不可能完全地知己知彼，但利用漏洞扫描工具，可以知道自己的网络和其他设备是否存在已知的漏洞，在可能的情况下尽量修补。实际上，漏洞扫描工具还是一个模拟攻击工具，对于DoS(拒绝服务)攻击，漏洞扫描工具会使有这些漏洞的主机服务停止或死机，而模拟的这些攻击也是攻击者的攻击，这样，通过漏洞扫描，用户可以在一定的程度上知己知彼。我们建议用户在选用漏洞扫描系统时参考以下依据：是否通过国家的各种认证。目前国家对安全产品进行认证工作的权威部门包括：公安部信息安全产品测评中心、国家信息安全产品测评中心、解放军安全产品测评中心、国家保密局测评认证中心。漏洞数量和升级速度漏洞数量当然是考查产品的重要指标，但是最新漏洞的数量、漏洞更新和升级的方法，升级的频率更为重要。产品本身的安全性该产品的源代码是否为国内拥有？扫描软件所运行的操作系统平台是否安全？该产品的抗攻击性能如何？是否支持国际CVE标准是否支持分布式扫描1.1.2网络防病毒系统设计1.1.2.1概述在6.1小节《**总公司系统平台的安全风险分析》计算机病毒的安全风险分析中我们论述了将来的**公司网络面临的病毒威胁主要来自Internet、邮件系统传播、广域网、内部局域网以及外网接入。以下我们详细论述**公司针对以上可能的病毒传播途径全面、系统的解决方案。我们将先期建立公司总部计算机的防病毒系统，将来如有需要可以157 扩展建立全网（包括分支机构）的防病毒系统。1.1.1.1防病毒系统的建设目标我们认为**公司防病毒系统应该实现如下功能：l全方位防病毒采用先进的防毒产品，确保**总公司总部计算机网络系统具有最佳的病毒防护能力。在**总公司总部计算机网络中所有可能的病毒攻击点或通道中设置对应的防病毒软件，通过这种全方位的、多层次的防毒系统配置，使公司总部网络免遭病毒的侵入和危害。l简易的安装和配置操作防毒产品的安装和设置应尽量简易，充分考虑**公司总部系统数据、文件的安全可靠性，所选产品与现系统具有良好的一致性和兼容性，以及最低的系统资源占用，保证不对现有系统运行产生不良影响。在安装防病毒软件（服务器、客户端）后不需要重新启动计算机，就能启动防病毒服务。l可管理性企业日益重视其IT环境的总体拥有成本（TCO）。在有限的人力资源情况下，要管理好防病毒系统的安装、升级、配置和工作报告是一个非常繁琐的事，能够让管理员可以不论何时何地，都可以从一个集中管理控制台对整个防毒系统进行监控管理和维护。l软件的可升级性可升级能力是衡量防病毒系统是否具有生命力的重要指标。防毒软件的特点是随着各类新病毒的出现而必须尽快进行升级，其中包括病毒代码、扫描引擎以及产品自身的升级补丁。而升级的过程应做到尽量对使用者透明，且（特别是程序版本升级）不需要停机或重新启动系统。l系统的可扩展性在信息时代，企业的信息系统都处于飞速膨胀的过程之中。防病毒系统也应适应企业的发展趋势，自身具有较大的可扩展能力，充分保护用户的现有投资，适应**总公司计算机系统发展的需要。本次工程将先期建立公司总部的防病毒系统，将来可以扩展到全网的防病毒系统。l对病毒的快速反映选用产品应具备对多种压缩格式文件、多层压缩文件的病毒检测。应用经由国家157 公安部和ICSA（国际计算机安全协会）技术认证的扫描引擎，保证对包括各种宏病毒、变体病毒和黑客程序等具有最佳的病毒侦测率，除对已知病毒具备全面的侦防能力，对未知病毒亦有良好的侦测能力。因此对于整个网络而言，需要采取综合的防护措施，构筑全方位的安全保护系统，才能得到真正有效的系统安全。针对以上防病毒体系构建目标，根据标书要求，防病毒软件必须采用瑞星，下面我们就采用该产品提出建设意见。1.1.1.1防病毒产品部署针对**公司网络系统以及今后系统扩充中对防毒技术的整体需求分析，我们建议配置如下。瑞星网络版防病毒解决方案，瑞星杀毒软件网络版整个体系结构安装实施简单、管理方便，完美满足企业防病毒整体管理需求，并结合瑞星国际领先的反病毒引擎、全球病毒监测网、快速应急反映能力以及瑞星强有力的服务网络，保证了用户信息系统彻底摆脱病毒困扰在网络防毒系统中，可以构建群件（邮件）防毒、服务器防毒、工作站防毒、网关防毒共四条防线，同时安装中央控管系统，对整个防毒系统实现集中管理与更新。根据**总公司实际情况，我们建议配置50个用户（用于公司总部网络）具体部署如下表所示：序号产品系列安装地点1TMCM防毒中央控管系统局域网内一台NT/2000服务器上2ForWindows服务器防毒系统中所有的WindowsNT/2000服务器以及本地或远程所有客户端3ForDomino群件（邮件）防病毒安装在**公司的群件（邮件）服务器上157 以上为**公司建议配置清单，**公司可以根据原有购买情况决定购买。1.1.1.1防病毒系统所达到的效果l整体防毒通过相关产品集中控管，层层设防，将病毒隔杀在所有可能发生的区域。l有效控制病毒传播母体对**总公司总部网络内的所有服务器进行全面防护，斩断病毒在服务器内的寄生及传播。l杀毒不影响客户端正常使用对所有的客户机进行全面防护，彻底消除病毒对客户机的破坏，保证所有员工都有一个干净、安全的平台。l自动升级，统一管理所有防毒软件的升级、防毒策略的制定，通过控管系统集中实现，一方面保证所有防毒软件得到即时更新，另一方面保证整个防毒策略的一致。同时生成整个**总公司统一的病毒报告日志，便于系统管理人员即时对病毒发现情况进行掌握，制定更加有效的网络平台安全使用策略。1.1.1.2防病毒系统功能说明采用“层层设防，集中控管”的网络防毒体系结构，其中包括客户工作站、文件服务器、以及集中控管工具的完整防毒产品线，为该体系结构的贯彻实施提供了切实保证，将所有病毒都拒之于**总公司“系统平台”以外。省公司防病毒系统示意图：157 广域网部署建议：157 1.1.1数据备份系统设计数据是将来**总公司网络中心最为宝贵的财富，要保证业务持续的运作和成功，就要保护基于计算机的信息。人为的错误，硬盘的损毁、电脑病毒、自然灾难等等都有可能造成数据的丢失，给企业造成无可估量的损失。对于**总公司网络中心，由于单位自身的特殊性，计算机系统业务数据丢失更是一场大灾难，会导致系统文件、业务数据的丢失，业务将难以正常进行。这时，最关键的问题在于如何尽快恢复计算机系统和数据，使其能正常运行。**总公司网络中心数据库服务器，集中了所有业务数据。数据的安全性关系到整个系统能否正常运行，最终关系到**总公司网络中心业务能否提供正常的服务。所以对信息系统的数据做好备份是至关重要的，是保证提供正常服务的最后一道防线。一套行之有效的网络数据备份系统是保证系统数据高安全性、高可靠性的关键因素。在规划系统时，我们应根据本项目要求以及数据存储和备份技术的发展现状，充分考虑各种因素，设计一个完善的数据存储管理和备份方案，以预防数据损坏，并保证在发生系统故障或数据损坏的情况下，能够及时、完整地恢复。本方案正是经过了对软、硬件产品的综合考察而提出的。我们力图提供完备、智能化、易管理的数据备份环境，简洁、可靠的灾难恢复机制。157 本章将通过分析备份系统目标入手，为整个系统建立一套由备份系统平台、备份存储介质和备份软件等构成的多平台网络数据存储和备份方案，并建议性地提出了一个由完全备份、增加备份、差分备份和归档备份等多种方式构成的备份体系，以及一套完善、科学的备份策略。1.1.1.1备份系统建设目标制定一套行之有效的存储备份管理解决方案，对各类数据进行统一备份和集中管理，保证灾难发生时可以迅速准确地恢复，是保证系统具有高可靠性的关键因素。这个存储备份管理解决方案将力求实现以下目标：（1）应用数据的全自动备份l将手工操作自动化，尽量减少系统操作人员及管理人员的工作量l压缩备份时间，增加备份效率l在整个备份过程中将人为干预尽可能降为零，使数据备份工作制度化、科学化l消除备份过程中因操作不当导致的严重损失l生成远程保留的为灾难恢复目的介质（2）选用适合的存储设备及存储介质l寻找合适的存储设备及存储介质，以满足对数据容量及备份时间的需求，提供备份效率l多平台、多服务器网络共享存储设备资源，数据统一管理，保证数据安全性l易于今后的硬件升级及扩容，保护用户投资（3）对介质的有效管理l增加软件限制，防止读写操作错误l保留介质内容的电子记录l对数据形成分门别类的介质存储，使数据管理更加细致、科学l自动校检介质，确保介质上的数据安全无误（4）现实数据的集中管理l按备份服务器形成数据中心，对各种应用系统及其它信息数据形成集中的备份，减少每个应用人员的工作负担，免除客户端备份的投资l形成数据管理策略，保证全系统一致的数据安全性157 （5）现实数据的自动恢复l应用人员可容易地自动恢复文件的误删除l维护人员可以自动恢复损坏的整个文件系统（6）建立历史数据归档l保留大量历史数据到电子介质，为各种应用的升级保存历史资料。（7）灾难恢复计划l当小到数据库破坏，大到火灾、地震的灾难发生时，进行有效处理，有效保护用于灾难恢复的数据1.1.1.1本地备份系统产品配置l备份软件采用VeritasBusinessServerl使用一台服务器担任备份服务器（安装备份系统服务器端软件），操作系统安装Windows2000，负责整个备份系统的管理，包括备份策略的制订、备份工作的调度、备份数据机的保存、数据恢复等。备份服务器通过SCSI接口和SCSI线连接磁带机，并通过备份软件进行磁带机中机械手和磁带驱动器的控制。备份服务器安装在远端，通过网络和数据中心连接。l采用HPStorageWorks1/8autoloaderLTO（傲群）磁带自动加载机，通过SCSI接口直接连到备份服务器。(备份服务器采用**公司原有设备)l有备份需求的服务器上安装客户端代理（RemoteAgent）和打开文件选项(Openfile)，根据备份策略中定义的时间，自动将文件型数据通过网络备份到磁带机，需要时进行恢复，无须人工干预。lMSSQL数据库服务器安装SQL数据库备份代理(SQLAgent)，实现在线数据库备份和恢复。lDOMINO数据库服务器安装DOMINO数据库备份代理(DOMINOAgent)，实现在线数据库备份和恢复。l在备份服务器上安装灾难恢复组件，在SQL数据库服务器上安装远程灾难恢复选件以便在发生灾难后迅速的恢复服务器的操作系统和重要数据。l呼叫中心主机系统由于系统软件尚未确认，所以在此没有加以考虑。但可在后续加以考虑。157 **公司数据备份软件产品配置表序号产品名数量用途1NetBackupBusinesServer,WindowsNT/2000,v4.5,License1备份软件服务器端2NetBackupBusinesServerDatabaseAgents,WindowsNT/2000,MicrosoftSQLServerAgent,v4.5,License1SQL备份代理（安装在SQL服务器上）3NetBackupBusinesServerDatabaseAgents,WindowsNT/2000,LotusNotesAgent,v4.5,License1DOMINO备份代理（安装在DOMINO服务器上）4NetBackupBusinesServerOptions,WindowsNT/2000,OpenTransactionManagerOption,v4.5BasicSupport,1YrRegionalBusinessHours4打开文件备份代理(OpenFile)5NetBackupBusinesServerOptions,Cross-Platform,2ndDrive/Robotics,v4.5,License1磁带驱动（安装在备份服务器上）1.1.1.1异地备份系统产品配置（建议）异地远程容灾方案的核心是两个关键技术：数据容灾(即数据备份)和应用的远程切换（即在发生灾难时，应用可以很快在异地切换）。总体来讲，数据备份可以分为两种方式，一是离线（off-line）备份，即把数据备份到磁带上；一种是在线（on-line）备份，实际上是一种同步的数据复制。应用的远程切换则可以及时实现备份中心和数据中心的切换。顾名思义，异地远程容灾的数据中心和备份中心在距离上足够远，当数据中心遭受破坏时不会影响到备份中心。同时还要保证两地的数据同步，这样才能实现“容灾”。157 VERITAS软件公司是世界领先的存储管理软件供应商。其推出的异地容灾解决方案基于各种操作系统，采用先进的数据复制核心技术和管理软件，可以帮助用户轻松应对数字灾难。该方案有以下突出优势：远程数据同步复制VERITAS实现了远程同步复制。VERITAS的远程同步复制包括两个部分:网络连接和优秀的复制管理软件。对于网络连接，如果距离不超过40公里，VERITAS的容灾方案会采用光纤连接，如果是两个异地城市，则采用E1/T1连接。VERITAS的数据复制管理软件（VolumeReolication）,通过广域网连接，可向远程备份系统进行逻辑卷复制，确保系统数据的高度可用。VolumeReolication采用可靠的连接和监听协议，保证了远程备份站点与本地逻辑卷数据的一致性，为用户关键应用的灾难备份和恢复提供了有效的手段。广域网集群管理为了监测数据中心应用系统的运行情况，并能够在灾难发生时实现应用系统从数据中心到备份中心的切换，VERITAS研发了专门的GlobalClusterManager(GCM)软件来进行多集群的管理和应用系统容灾。他可以与VERITASClusterServer有机集成，管理多达32个地域的VCS集群系统，实时监控每个VCS的运行状况。如果某个地域发生灾难或故障，GCM会马上监测到，并根据策略自动或手工快速将应用系统切换到远程的备份中心。其简单的图形界面，也方便了系统的管理和维护。通过以上分析介绍，为实现省**公司本、异地的数据备份最好办法就是直接在两地通过光纤连接（非数据传输，是存储的概念），通过光纤将异地的磁带机直接连接到本地的备份服务器，这样当备份服务器在执行本地备份往本地带机写数据时会同时往异地的带机上写数据，达到本地、异地同时备份的目的。如果我们受光纤线路限制，也可以直接采用本地数据备份，磁带异地运输解决方案，即在本地完成数据备份后就将磁带转移到安全的地方。157 1.1.1.1备份系统备份策略数据备份的目的是为了在数据丢失后或系统发生灾难、系统崩溃后数据的及时恢复和系统重建。数据备份策略的设定将直接影响灾难发生后系统正常运转状态和恢复速度，我们应根据网络状况、数据情况、各种应用系统运作及恢复要求等因素制定科学、合理的备份策略。在考虑备份策略时，我们考虑了：l应使备份的数据有多个不同时期的备份，以便恢复某一时间段的数据。l恢复时不要使用过多的磁带，以免过程繁琐。l应使不同时间段内的数据保存一段时间，使得可以恢复较为古老版本的数据。l要节省磁带介质。l每天做的备份要少用时间。l要尽量减少数据恢复使用的时间。目前常用的备份策略如下：磁带以池为单位进行管理，不同的磁带池负责不同德磁带备份工作。这种方式使用每天-“儿子”，每星期-“父亲”和每月-“祖父”的备份设置。给一周中每天备份的磁带贴上标签，例如：周一到周四的工作时间，通常每天的备份设定为增量备份，使用“儿子”组的磁带介质。它依靠它的标签在每星期的固定天重复使用，例如每周对这些磁带进行轮换，则这些磁带上的数据就可以保存一周，最多每月轮换一次，即最多五个星期的磁带被打上象“星期一”、“星期二”这样的标签，这些磁带上的数据可以保存一个月。每周做一次全备份，假设定在每周五进行，使用“父亲”组磁带介质，这些介质每月轮换一次，标签为“第一周”、“第二周”，如果我们使用一套“祖-父-子”磁带介质，则这些磁带上的介质可以保存一个月。每个月的最后一个工作日做一个本月的全备份，使用“祖父”组磁带介质，如果我们使用一套“祖-父-子”磁带介质，则这些磁带上的数据可以保存一个月。这些增量备份和全备份可能使用一卷以上的磁带介质，以StorageWorks1/8autoloader使用的LTO磁带为例，一卷LTO磁带非压缩容量为100GB，压缩后可以达到200GB，如果备份的数据超过200GB，则要使用一卷以上的磁带做增量备份或全备份。157 1.1.1UPS系统设计我们在6.1小节提到了电源中断对**公司系统平台带来的风险，因此，我们建议建立UPS系统，以对**总公司的网络设备、主机设备进行全面的电源保护1.1.1.1UPS技术简介UPS是指停电供电系统。这种产品的出现和最初阶段的应用，也正是为了某些重要部门，诸如工业自控系统、数据通讯系统、航空管理、医用控制等，在电网发生故障时，维持连续不断的供电。但是，什么是电源故障呢？可以笼统地讲，凡是由于电源的原因而造成的负载（设备乃至整个网络系统）发生程序错误、数据丢失、设备故障甚至损坏的，都应该归结为电源故障。这些故障包括：电网电压过压、欠压、瞬时跌落、失压、故障停电；由于用电环境和传输系统造成的各种干扰；由于自然环境（主要是雷电）造成干扰和设备的损坏等。为了全面而有效地解决电源问题，现在的UPS，特别是中大型UPS，已经不只是一台电网停电后可以继续向负载供电的整机产品。随着UPS技术的进一步发展，它应该成为一个小型的，或者说局部的高度可靠、性能齐全、高度智能化的供电中心。一台UPS应该包括我们传统概念上的以下环节和功能：能在各种复杂的电网环境下运行；在运行中不会对供电电网产生其它附加的干扰；它们的输出电性能指标应该是全面的、高质量的，能满足负载的各种要求；UPS本身应有很高的效率，有接近实际电网的输出能力，是一台高度可靠的节能设备；使用维护要很方便，要求UPS是一台智能化很高的设备，有高度智能化的自检功能，自动显示、报警、状态记忆功能，以及通讯功能；UPS不仅向由它直接供电的各种硬件设备提供全面的保护，还应该向它们所运行的软件以及数据传输途径提供安全可靠的保护，这就意味着，UPS应配置相应的电源监控软件，SNMP（网络管理协议）管理器，使其具有远程管理能力，使用户可执行UPS与网络管理平台之间的监控和数据通讯操作。1.1.1.2UPS的选型原则对UPS的选择应考虑以下主要因素：157 l对电网的要有较强的适应能力这就是说，所配置的UPS在当地电网条件下必须能正常运行，并且不对电网产生不良影响。这方面的性能指标包括：允许电网电压幅值变化的范围；UPS输入功率因数；UPS输入电流的谐波成份；允许电网电压频率变化范围；允许电网的不平衡度（三相）和波形失真度。要求UPS能适应电网情况，要求UPS不去干扰和破坏电网。l满足负载要求的UPS常规输出指标这方面指的是要满足负载要求，并改善供电质量的一般性输出指标，这些指标包括：输出电压稳定精度；输出电压波形失真度；输出电压不平衡度；频率跟踪能力（范围）和跟踪速率；市电掉电时的转换时间；市电掉电后的继续供电维持时间；抗干扰配置和抗干扰功能；市电恢复后电池再充电能力。l较强的输出能力和可靠性对于使用者来说，要求UPS尽可能有真实的电网输出能力和可靠性，否则，它就会影响负载的运行，甚至构成新的故障源。输出指标是负载的要求，但更重要的是这些指标直接反映了UPS的可靠性，实际上是可靠性的量化指标，这些指标包括：运行效率；输出电流峰值系数（周期性峰值负载）；输出电流浪涌系数（非周期性峰值负载）；输出过载能力；输出功率因数；冷启动能力。l智能管理和通信功能自动检测、显示、报警，以及运行参数的设置功能；本地智能管理接口（串口RS232或者继电器干点接口）；网络管理，专用电源监控软件，支持SNMP网管器，可支持的管理平台及相应的认证；网络通讯，支持基于TCP／IP之上的网络信息传送；基于公用网通讯，支持基于公用电话网的信息传送。lUPS自身的可靠性UPS自身应该具备冗余特性，避免由于UPS自身的故障造成电源供应故障。1.1.1.1**公司UPS的选型根据我们对以上UPS选型原则的分析我们建议**公司系统平台选用1台山特城堡C6K，可以提供4小时、6千瓦不间断供电，可以满足省公司中心设备供电要求。157 第一章呼叫中心系统设计呼叫中心（CallCenter，也经常被称为客户服务中心）是一种综合信息服务系统，是基于电话/传真、计算机等通信办公设备而建立的一种交互式电信增值系统。利用计算机智能资源和网络上丰富的数据信息资源，向客户提供各种信息和电话增值服务。省**公司将使用800电话建立其呼叫中心系统。**公司下级配送中心和二级经销商可利用电话实现各类盐的订购并具备语音客户投诉建议功能。具体流程建议如下：用户通过电话拨入系统按“1”进入业务订购按“2”投诉留言按“9”提供系统帮助输入您的客户帐号和密码输入要留言邮箱号听取系统帮助内容听取业务流程类别留言，按任意键结束留言输入定货数量及相关信息进入个人设置流程退出系统谢谢您的使用请挂机按1按2按#图：用户使用总流程157 第三部分项目管理体系及服务简述：主要对**企业项目管理体系以及项目组织、实施、培训、售后服务安排等方面进行详细说明。157 第一章**项目管理策略和体系1.1项目管理范围项目是由一连串相互关联的事物构成，它有明确的起始日期和结束日期，并由来自不同的组织结构的人员参与，在有限的时间、开销、资源条件下，在保证一定质量的前提下，完成既定的目标。正是因为项目有这样的内在特点，项目管理就显得格外重要。项目管理范围包括：项目的定义和组织项目的计划项目的跟踪和管理这三者的工作内容如下表：项目管理范围要素工作内容项目的定义和组织帮助确定对业务目标的共识，项目的可行性分析，确定项目的监理、财政来源、估计预算、项目组成员的组成策略及项目管理委员会。帮助定义项目组各个成员的角色和责任，确定双方的项目负责人，确定项目最终认可人员，确定所有项目子承包人员及外部咨询人员的联系及责任。项目的计划产生工作清单（WBS：WorkBreakdownStructure）制定初步时间表，确定项目里程碑在时间表、项目范围和资源方面作权衡风险评估和制定风险管理计划项目的跟踪和管理收集项目的状态信息分析项目的时间表、项目范围和资源的使用情况计划和采用相应的应变措施进行项目沟通和项目变动管理进行项目配置管理通报项目进展情况和问题上报管理157 项目的验收和完工项目完成后的总结1.1项目进度与质量管理1.1.1项目跟踪和控制以下是项目跟踪和控制的手段：会议主题频率会议描述项目启动会议一次项目启动，项目组成员介绍，分配各自职责，明确提交报告第一阶段内部进度汇报会议每周一次项目负责人对项目总监汇报项目进程及正在解决的问题第一阶段项目工作委员会议两周一次项目负责人向项目工作委员会汇报项目进程、更新的项目计划及讨论未解决的问题第二阶段公司进度会议每周一次各小组负责人向项目负责人汇报工作进程及正在解决的问题提交报告的复查会议必要时项目终结会议一次标明项目的结束1.1.2主要文档的签署基本文档文档签署的时间合同和建议书合同签署后项目实施计划书完成项目的起始阶段后质量保证计划书完成项目的起始阶段后软件需求规格说明书客户代表和项目负责人确认同意157 系统设计说明书项目负责人确认同意（或附加客户代表同意）确认测试计划项目负责人确认同意确认测试结果项目负责人确认同意系统维护手册客户代表和项目负责人确认同意用户手册客户代表和项目负责人确认同意培训资料项目负责人确认同意1.1.1版本控制关于版本控制的要点如下：所有文档的版本号标记为主.次。格式：主.次。比如：系统规定1.2。文档草案的起始编号为0.1，在对该文档进行第一次审核是时引用该初始编号。在正式提交给用户前的复查过程中，可能会产生临时版本。文档的临时版本号也将依照同样的版本控制。文档的所有更新将会记录在文档的“修正”一节中，除非需要对文档的各个版本进行归档，一般仅归档文档的最终版本。关于项目的开销、进度计划、过程变化、组织结构变化等变更，将被归类为主要变更，否则归类为次要变更。1.1.2文档系统文档的归档工作将在质量管理系统的指导下进行。文档控制和传播文档控制和传播将在质量管理系统的指导下进行。在着手准备文档前，对于转包商提供的文档报告的格式会进行必要的调整，使之符合统一的要求。问题处理流程问题处理流程在质量管理系统的指导下进行。157 变化控制流程变化控制流程在质量管理系统的指导下进行。项目需求变更管理项目管理的关键组成之一是项目需求变更管理。项目需求管理是一种管理的方法，其过程包括对项目需求变更的正式复查和最终批准。1.1.1.1项目需求变动管理概述项目需求变动是不可避免的。通过对项目需求变动的管理，项目组可以争取做到：由适当的管理层复查和批准变动项目变更的需求有一个统一的接受点客户代表和项目组从一个统一的入口获得批准的变动不可低估项目需求变动管理带来的好处，项目需求变动管理带来的好处主要体现在以下几个方面：更好地控制由需求变动对整个项目最终结果的影响更好地控制由需求变动对整个项目在时间、资源、开销、质量的影响更好地在项目组成员间进行沟通技巧方面更加智慧减少对需求变动的误解屏蔽那些琐碎的变动提供书面的审核依据项目组依据以下原则评估需求变更的开销：是否提高系统的质量是否需要对变更引起的其他开销进行调整变动的必要性对项目实施日期的影响157 对项目以定资源的影响1.1.1.1变化控制委员会变化控制委员会负责批准/否则的请求。变化控制委员会的成员应来自客户和项目组。在项目负责人无法独立决定项目变动的情况下，项目指导委员会也可能和控制委员会一起来决定是否批准改变动。1.1.1.2变化控制管理过程项目需求的变动和项目中遇到的问题都可能引起项目或系统的变动。两种类型的变动都应采用同样的变化控制管理。起过程如下图所示。实际的过程可能引起按照合同进行了优化：1.1.1.3标准的变化随着行业标准的不断变化，关心用户最终成果的厂家也总是在为用户升级产品以满足新的行业标准。我们公司及其合作伙伴也遵循行业的标准。其产品也会随着行业标准的改进而改进，每个产品都有独立的开发、支持及发布计划。和公司签定支持合同的客户对于产品升级的对象。这同样是用于公司提供的第三方产品，应为这些厂家都是其相应领域内的领先者。除此以外，在行业标准发生重大变化时，客户可以通过向公司购买附加的集成服务以适应新的标准。157 问题变动请求提出变动请求决定问题/变动的范围对系统开销、计划进度、体系架构/集成界面是否有影响将请求提交项目负责人可以解决请求提供执行计划、终结变动请求上交给指导委员会向质量控制工程师提交归档请求需求类型问题报告/向项目实施负责人汇总对计划进度有影响对系统开销有影响对体系架构有影响YesNo1.1项目各阶段实施情况1.1.1项目计划在计划阶段，我们将建立实施过程指导项目组的步骤。用户和公司的项目经理一157 起制定一个可执行工作计划。在做计划之前，需要先回顾一下用户的业务目标，然后进行评估。如何在现有的时间、资源和预算的情况下运做才能达到用户的业务目标。项目经理把工作计划介绍给每位成员，引导他们相互协助达成共同的目标。在实施期间，制定工作的范围和期限，作为整个项目组共同的参考标准，有利于互相协助和交流。1.1.1.1目的实施策略的目的是计划本项目业务和技术上的运作。1.1.1.2目标实施策略阶段的目标是：与项目组沟通项目实施的期望目标；建立一个工作计划；项目的归档、策略和术语；确定项目组织、员工组成和各自的责任；基于假设和相应的风险评估开始相应的实施。1.1.1.3主要可提交的内容可提交的内容描述范围、目标和术语为项目的继续实施作基本的和框架性的描述，这包括项目范围、结构性的高层战略、教育、设计和转换、项目组组织架构的定义、项目的主要目标等方面。项目工作计划项目工作计划是行动、策略和项目进展的跟踪机制。它会不断地通知所有成员项目运行情况。从项目工作计划中所得的附加好处有时间、目标、主要任务、项目资源、实际预算花费。157 1.1.1.1成功的关键因素计划阶段成功的关键因素包括：用户全职的项目经理；公司和用户组成的高级项目管理委员会；公司和用户之间正式的伙伴关系。1.1.2系统分析在分析阶段，公司的技术顾问将对现有的程序做测试，以了解用户的业务情况。在分析阶段中，用户将对其财务、操作、技术、行政流程进行研究以确保对流程的彻底了解，并在公司如何运转上双方达成一致意见。项目组将收集技术、最终用户和管理业务流程方面的信息和要求来建立业务模型，公司将给出应用层次分类，并开始描述所需的客户化内容。1.1.2.1目的确定业务和技术方面的要求以提出解决方法的架构。1.1.2.2目标分析阶段的目标是：在项目组中对业务和技术达成一个共识收集用户环境资料在关键的应用决策方面培训项目组建议一个概念性的实施和技术架构1.1.2.3主要可提交的内容分析阶段主要可提交的内容是：157 可提交的内容描述现今的基本流程文件收集用户业务流程信息和相关的数据业务需求文件总结整理用户组织的各个层面的业务需求，包括信息流和材料业务流程建立基于新业务需求的信息流和材料1.1.1.1成功的关键因素分析阶段成功的关键因素是：用户相关人员参与相关的培训和教育课程；对用户的业务流程达成深入地共同的认识；项目组理解公司应用系统和用户所处的行业。1.1.2系统设计在设计阶段，项目组成员创建解决办法，旨在不断地满足在分析阶段获得的业务应用需求。项目组首先考虑运用标准的公司应用系统，支持业务所需。必要时需建立标准系统的扩展系统。项目组需仔细审查这些方案。在功能、支持、效益和开发费用等诸方面平衡后做出选择。一些方案需在报表、报告、程序方面作些小修改。项目组会自行解决公司产品和用户需求之间差距。小组必须根据需求分析设计方案，包括对所需部分的一般性描述和对每个客户模块的估计。估计体现在开发的每个阶段：分析、设计、建立、测试和升级。用户在进一步的设计工作开始前审查并同意客户化的方法和估计的结果。1.1.2.1目的设计阶段的目的是建立一个最适宜的解决方法以满足用户现在将来的业务需求。1.1.2.2目标157 培训项目组；根据分析阶段的业务需求对应公司应用模块；发现两者之间的差距，并予以解决；估计解决上述问题所需的附加工作量和费用；如果建议的解决方案在客户化的范围之内，进行系统设计、建立。1.1.1.1主要可提交的内容设计阶段主要可提交的内容是：可提交的内容描述培训过的项目组项目组成员参加应用系统的培训并理解产品的功能系统设计说明书对所有客户化程序的高水平设计，为转换和接口提供经批准的文档系统测试计划按照创建阶段的业务系统测试方法测试屏幕和每一个步骤1.1.1.2成功的关键因素编制更改和可接收的解决方案以适应用户的流程；产品专家和技术专家建议适合的解决方案；及早发现项目中的障碍。1.1.2编码、调试、创建在编码、调试和创建阶段，项目组将建立所有被认可的用户要求。业务系统将测试通过所有在设计阶段设计的业务解决方案。所有的客户程序、转换记录和接口都将在创建阶段编码、测试。在创建后期将提供一个测试过的可执行的业务系统解决方法。并证明最后的系统将会满足业务目标。在创建期间项目组应把前面阶段建立的计划、程序和相关资料整理编辑成册，作157 为用户手册和技术支持资料，以供给最终用户、分析人员和操作者在系统转换和实际操作时使用。项目组还将培训用的材料整理成永久的参考手册。项目组将依照用户采用的程序和数据，利用这些参考手册来做全体范围的培训。1.1.1.1目的创建阶段的目的是建构、测试、确定整个系统的解决方案，并在用户业务流程的进展过程中，提供手册指导最终用户和支持项目组成员。1.1.1.2目标创建阶段的目标包括：根据设计的描述建立程序模块；把标准的客户模块统一到单一的业务解决方案中；根据业务目标来校验系统；收集汇编参考资料以支持用户扩展需求；建立能使用户独立使用应用系统的手册；建立操作手册，包括如何解决一般的程序问题和灾难补救措施；确保手册是通俗易懂的。1.1.1.3主要可提交的内容创建阶段主要可提交的内容是：可提交的内容描述完成用户要求完整测试客户模块、接口和转换程序业务系统测试结果记录成功的业务系统测试和推荐改进整个业务的解决方案系统证明系统测试接收证明157 系统操作手册系统管理员运用系统操作手册来进行备份、程序恢复、审查和控制需求用户程序手册用户手册包括标准的操作程序，介绍如何运用修改程序和新的处理最终用户培训资料培训材料介绍新的产品系统给所有的最终用户1.1.1.1成功的关键因素创建阶段成功的关键因素是：完成和细化设计；业务系统帮助转换设计目标；一个能保证系统建立和测试的稳定的开发环境；熟悉特定开发环境的工具；适当的配置开发环境；清楚的测试目标和接受标准；相当水平的用户和项目组；把设计的变化体现在最终的文件中；程序和培训资料已由用户的最终用户输入；所有备份和防御措施已被测试过并由用户IT部门批准；依承诺完成文档；有效地配置时间和资源；技术记录人员介入；文档的认证。1.1.2系统转换所有实施的因素都必须能成功地转换到产品的实际运行中。技术小组配置产品的运行环境和数据转换的同时，项目组培训最终用户。转换阶段到产品切换时结束，此后最终用户将新系统下完成自己的工作。157 转换阶段对项目组，特别是最终用户来说是最头疼的事，因为在产品能正常运行之前，他们必须保持新旧系统同时运行。因此，管理控制这些变化，缓冲由此造成的对用户的任何冲动就成为了首要任务。实现准备和计划有助于转换阶段的顺利完成。1.1.1.1目的让公司、系统和人员开始适应新的企业管理系统1.1.1.2目标转换阶段的目标是：使整个公司接受新的企业管理系统；根据转换计划准备产品的运行环境；指导用户的最终用户操作新业务程序；流程和组织架构实施革新；成功地移植到产品运行环境；提供产品支持。1.1.1.3主要可提交的内容转换阶段主要可提交的内容是：可提交的内容描述用户培训培训应用系统实施所涉及的所有员工，使之能运用他们职责范围内的系统功能产品运行环境安装产品运行环境，并准备应用系统的设置和数据转换数据转换数据所有静态和动态的数据并确保其正确性157 1.1.1.1成功的关键因素转换阶段关键的成功因素为：得到高级管理层对改变流程和组织的同意；最终用户得到有效的培训；数据转换程序保证数据在计划的同时内准确的转换；正确的安装产品所需的软硬件设备。1.1.2系统支持支持阶段从转换阶段一结束就开始，涵盖了所有的产品系统的支持工作，也包括一些特殊的产品任务。在支持期间我们通过同项目目标比较起来来审查业务改进程度，同计划比较来审查实施状况，同预期比较来审查系统性能。系统的精化和修改是在尽量不影响最终用户的情况下慎重进行的。1.1.2.1目的监控和优化产品系统，并计划将来的改进。1.1.2.2目标目标如下：衡量实际实现：优化系统以反应业务的变化；决定业务和技术将来的方向；主要可提交的内容。157 1.1.1.1主要可提交的内容支持阶段主要可提交的内容是：可提交的内容描述绩效评价评价产品系统是否满足所有目标的需求157 第一章本项目实施组织1.1项目组织方式由公司和用户方共同配合，联合进行项目的实施。参与双方是项目成败的共同责任人。参与方的全部组织机构都是项目的有关机构，并对相应工作承担责任。1.2项目组织机构由用户机构、公司项目机构联合组成的项目联合工作机构如下图所示：项目领导小组验收组项目执行小组网络建设小组呼叫中心小组支持维护小组质量监控小组行政支援小组主机建设小组157 1.1项目组织机构职责项目参与方的所有机构均可能是项目组织结构。项目参与方的人员有可能专职项目组，有可能阶段性地加入项目组。角色人员构成职责项目领导小组·**与**双方高级领导人员各1-2人。·**与**双方项目经理（即项目执行小组组长）各1人。·组长由**方人员担任，副组长由**企业人员担任。l领导本项目的实施，决定本项目的人事，总体工作计划的审核；l听取各个项目实施小组的工作汇报，组织监督开发工作；l负责协调合同方和**公司及各原厂商的合作关系，监督和控制工程进度，负责每一阶段中重大问题的最后决策；l在每一阶段结束后必要时召集阶段成果会审和审批阶段成果；l调整不合理的业务制度，管理体制乃至组织机构。l掌握技术方向，制订总体需求方案和技术方案；l制订工程的总体实施时间进度表；l拟定各组的工作任务，计划和进度安排；l负责项目的日常管理工作，监督进度的实施情况；l努力在计划进度内保质保量完成各项规定任务；验收小组·在阶段验收或最终验收前夕由项目领导小组负责临时组建。·验收小组的成员由**方和**企业双方提供。·组长由**方人员担任，副组长由**企业人员担任。·根据双方确定的验收标准及验收程序进行：项目的阶段验收和项目顺利运行的最终验收。·生成验收报告，提交领导小组审批。157 项目执行小组·**企业项目经理任组长，**方项目经理任副组长。·成员还应包括应用改进小组、推广培训小组、支持维护小组、质量监控小组的各位组长。·根据项目进展及工作要求制定工作计划，并监督实施，控制进度。·协调项目组内人员的分工合作，分配资源，以及与其他合作公司协调，如金蝶等网络建设小组·为项目执行小组成员，主要包括**网络资深工程师、华为资深工程、东软安全工程师等人员组成见下面说明。主机建设小组·为项目执行小组成员，主要包括**主机资深工程师、HP资深主机工程师等人员组成见先面说明。·负责与金蝶工程一起完成中心数据库、应用服务器安装等任务，协助金蝶完成业务数据的移植等工作。呼叫中心小组·为项目执行小组成员，主要包括**RJ-CTI研发工程师人员组成·根据工作计划和总体方案以及详细设计实施计划书完成项目建设内容，并提供详细实施文档·通过调研完成呼叫中心与K3/ERP后台数据的连接处理等157 质量监控小组·由**企业一名管理人员担任组长。·由有管理经验、熟悉ISO9001管理规范的人员组成。·依据**企业质量体系要求（或其他由双方共同认可的标准或规定），对项目过程中的质量管理进行监控。协助进行阶段评审。·对发现的质量隐患进行纠正。·负责阶段测试及集成测试。·定期向项目执行小组作出工作监控报告。指出存在问题，提出解决方案。·兼职负责配置管理，制定项目的配置管理计划。·依照计划实施配置管理，进行配置标识和追踪；使整个工程中的每一变化情况受控；使项目的各工作组都能及时得到项目进行的最新资料。·按照各类文档产生期限收集整理各类文档；控制文档格式；编制文档清单；管理文档版本；管理文档借阅；负责与用户交接。支持维护小组·主要由网络小组和主机小组人员抽调1-3名及**方1-2名组成。·负责日常运行全面维护。·解决运行中遇到的各种技术问题。·提供严重问题的现场响应服务。·建立值班制度；建立运行档案；履行各种维护承诺。行政支援小组·由**和**企业双方的后勤、财务人员组成。·按项目要求及时准备实施场地及条件。·为项目组人员在通讯、交通、进出工作场地等方面提供便利条件。·在项目实施过程中及早筹款，按合同规定的日期付款。·负责采购项目日常所需物资。说明：网络建设小组职责：任务目标l网络设备的到货验收l网络设备的安装调试l与用户原有各种PC机，网络设备的联结157 l完成与现有网络系统的集成l网络设备的测试与验收技术组长的职责l与用户配合，组织所有网络设备的到货验货工作l有预见性地为每期下一个阶段准备好必要的网络设备工作环境l牵头与全体组员一起完成系统的详细实施方案l负责与主机实施小组的技术交流l负责组内技术人员与业务人员的工作配合l负责组内日常技术工作l制订组内每一阶段的细致工作计划，落实到具体人头，规定完成时间，并作完成结果检查l与全体组员一起进行安装调试，并对组员的工作质量负责l根据项目领导小组的测试验收计划制订本组相应的行动方案l负责试运行及推广阶段的技术安排和支持工作业务组长的职责l配合技术组长完成项目领导小组交办的各项任务l负责确定所有网络设备的到货地点、验货接收工作l负责与其它组相关业务作法的交流l负责组内业务人员的日常工作安排l负责制订组内每一个阶段的业务工作计划l负责网络设备系统的功能测试和验收l负责测试阶段本组业务人员的测试活动组织l负责试运行阶段本组的实际动作主机建设小组职责：任务目标l主机设备的到货验收l主机设备的安装调试l与用户原有各种主机、PC机、打印机和网络设备的联结157 l完成与现有主机系统的集成l主机设备的测试与验收技术组长的职责l与用户配合，组织所有主机设备的到货验货工作l有预见性地为每期下一个阶段准备好必要的主机设备工作环境l牵头与全体组员一起完成系统的详细实施方案l负责与网络实施小组的技术交流l负责组内技术人员与业务人员的工作配合l负责组内日常技术工作l制订组内每一阶段的细致工作计划，落实到具体人头，规定完成时间，并作完成结果检查l与全体组员一起进行安装调试，并对组员的工作质量负责l根据项目领导小组的测试验收计划制订本组相应的行动方案l负责试运行及推广阶段的技术安排和支持工作业务组长的职责l配合技术组长完成项目领导小组交办的各项任务l负责确定所有主机设备的到货地点、验货接收工作l负责与其它组相关业务操作的交流l负责组内业务人员的日常工作安排l负责制订组内每一个阶段的业务工作计划l负责主机设备系统的功能测试和验收的文档工作l负责测试阶段本组业务人员的测试活动组织l负责试运行阶段本组的工作安排l负责起草本组系统的最终验收报告1.1项目实施人员本项目实施人员基本情况及其在本项目中分工和工作时间说明如下：157 机构名称人员组成简介项目领导小组候伟公司总经理陈明平公司技术总监，曾参与、负责多个大型应用、集成项目的实施，扎实的理论基础，在系统分析、结构设计以及电子政务项目实施方面有着丰富的经验。验收小组陈明平康三营项目执行小组康三营集成部部门经理，本项目中将担任项目经理，负责项目的协调、控制和管理以及系统设计和总体设计工作。网络建设小组吴维隆集成部资深工程，，负责、参与过多个大中型项目的系统集成工作，在网络系统实施、规划等方面有着丰富的经验，本项目中将作为网络建设组组长，负责网络系统、服务器系统实施工作王秋琳集成部网络工程师，参与多个项目实施维护工作林智力集成部网络工程师，参与多个大型广域网项目实施维护工作华为资深工程师由原厂家提供东软资深工程师由原厂家提供主机建设小组廖长宝工程中心总经理，曾参与过多个大中型项目的系统集成工作。本项目中将参与服务器系统的实施、调试和培训工作。王秋琳兼157 HP资深工程师由原厂家提供呼叫中心小组牛健锋产品研发中心研发工程师，主要负责RJ-CTI呼叫中心产品设计、开发等工作。支持维护小组林智力兼林智力兼质量监控小组陈明平兼倪时龙项目负责人行政支援小组林晶商务助理第一章本项目实施计划157 1.1设备到货及项目进度安排根据项目各分步骤的工作量估算以及我们对网络工程的经验，我们制定项目实施进度计划表。根据在以往同类项目的工程经验，可以保证在设备定购到货后，在1个月内完成本系统的网络工程。**公司承诺设备在合同签定后1个月内全部交齐。项目进度安排：任务１-1011-2021-3031-4041-5051-60项目准备设备定货用户需求调研详细设计/工程计划书电信线路确认省公司系统安装网络调试主机安装各节点安装系统联调/数据迁移文档生成用户培训系统试运行30天系统初步验收试运行后，且验收通过10天内项目质保期项目验收后3年任务说明：157 任务编号1名称项目准备工期（天）3起始条件：签定合同,安排人员等内容：建立项目小组，统一作息时间和加班制度实施安排：后勤人员组甲方配合：确定有关部门配合人员，建立联系方法建立项目领导小组和信息部配合人员提交结果：项目人力资源表文档内容：项目成员名单，领导小组成员名单，场地确定。任务编号2名称设备定货工期（天）30起始条件：签定合同,内容：向设备厂家订购设备实施安排：****软件开发有限公司甲方配合：提交结果：文档内容：设备定货合同任务编号3名称用户需求调研工期（天）5起始条件：签定合同,安排人员等内容：调研用户网络需求实施安排：网络实施小组甲方配合：确定有关部门配合人员，提出需求提交结果：**公司网络系统需求报告文档内容：用户系统现状，用户应用对网络的需求。157 任务编号4名称网络详细设计工期（天）8起始条件：签定合同,项目组成立内容：设计省**公司网络系统实施安排：网络实施小组甲方配合：确定有关部门配合人员，提出修正意见提交结果：省**公司网络系统详细设计报告文档内容：网络拓扑、协议支持、VLAN划分、地址管理等。任务编号5名称网络安装工期（天）50起始条件：签定合同,项目组成立，设备到货内容：根据网络详细设计，安装网络设备。实施安排：网络实施小组甲方配合：确定有关部门配合人员，配合设备安装工作提交结果：省**网络设备安装报告文档内容：设备安装地点，系统连接图等。任务编号6名称网络调试工期（天）10起始条件：签定合同,项目组成立，设备到货，设备安装完成内容：按网络详细设计要求，配置网络设备实施安排：网络实施小组甲方配合：提交结果：省**网络设备调试报告文档内容：设备端口/VLAN划分等参数配置。157 任务编号8名称主机安装工期（天）20起始条件：签定合同,项目组成立内容：安装主机及相应应用软件实施安排：主机实施小组甲方配合：提交结果：省**主机系统安装报告文档内容：主机配置清单、安装步骤任务编号　9名称文档生成工期（天）45起始条件：签定合同,项目组成立内容：对工程各个阶段进行文档整理实施安排：网络实施小组、主机实施小组甲方配合：提交结果：各阶段文档文档内容：各阶段文档，包括需求调研、详细设计、设备安装等任务编号10名称用户培训工期（天）10起始条件：签定合同,安排人员，设备安装启动内容：培训用户，以便对系统进行日常维护实施安排：后勤组157 甲方配合：确定有关配合人员，提交结果：省**用户培训计划报告文档内容：用户培训教材及文档。任务编号11名称系统试运行工期（天）30起始条件：签定合同,安排人员，设备安装启动内容：省**网络系统进入试运行阶段实施安排：甲方配合：配合系统进入试运行阶段提交结果：省**网络系统试运行报告。文档内容：省**网络系统试运行报告。任务编号12名称系统验收工期（天）5起始条件：工程完成，试运行结果良好内容：省**网络系统验收实施安排：组织验收小组，对省**网络系统验收甲方配合：组织验收小组提交结果：省**网络系统初步验收报告。文档内容：省**网络系统初步验收报告。1.1项目实施1.1.1项目的实施步骤***单位网络项目涉及面广，覆盖了主机系统、SAN157 存储系统、数据库系统、广域网系统以及数据备份等，为了准确、按时、按质、按量完成好整个项目的实施，**公司将制定详尽、周密的实施计划及相关文档资料，并将严格按实施计划完成对项目的实施。实施步骤任务描述1．方案认证在多次研讨和技术交流基础上，进行方案论证，最终确定设备选型，为项目的实施作准备。2．商务谈判及合同签定、财务安排在方案得到确认，经商务谈判双方达成一致意见后，根据要求、进度、方案及财务安排及其它事宜形成合同，该合同在项目中具有总体约束力及权威性。合同签定后，项目领导小组组织财务安排。3．实施计划及相关文档资料的制定为了保证省**网络项目的顺利实施，将根据合同制定项目实施的整体详尽的计划，在总体时间上进行统筹安排，作出详细的阶段划分，制定详细的阶段计划及相关文档资料，以利于在项目实施进程中有效的监督，考核各项工作进度。工程最终实施将严格按实施计划进行。4．系统整体设计方案为保证项目的顺利实施，达到技术转移，将形成内容丰富、书写严密的设计文档。整体设计方案是在方案确定、合同签定之后产生的正式文件。它包括用户需求及需求分析书、方案设计思路、系统组织形式及结构、系统设备的物理接线图、配置清单、技术服务方案等。5．硬件及网络安装调试严格按照实施计划及整体设计对硬件设备及网络进行安装调试。在工作过程中，将对**公司有关技术人员进行现场培训，形成安装文本、系统操作说明等一系列文档，保证技术转移的顺利进行。6．验收验收工作将分阶段进行。主机及网络设备到货验收硬件及网络安装调试完毕的验收试运行后进行系统的终验。157 （所有验收均提供验收报告。）7．试运行及运行系统初验后投入试运行，系统终验后投入运行8．系统交付系统正常运行后，我公司将全面移交项目实施过程中的各种相关文档。1.1.1项目实施文档建立为了保障项目实施的顺利完成，项目实施将分阶段进行，并建立每阶段完整的实施文档资料。实施阶段阶段文档文档内容说明1项目准备省**网项目人力资源表项目成员名单，领导小组成员名单，场地确定。2用户需求调研省**网络系统需求报告用户系统现状，用户应用对网络的需求。3网络详细设计省**网络系统详细设计报告网络拓扑、协议支持、VLAN划分、地址管理等。4网络安装省**网络设备安装报告网络设备安装地点，系统连接图等。5网络调试省**网络设备调试报告网络设备端口/VLAN划分等参数配置。6网管系统调试省**网管系统安装报告网管系统安装、配置等。7主机安装省**主机系统安装报告主机配置清单、安装步骤8用户培训省**用户培训计划报告用户培训教材及文档。9系统初步验收省**网络系统初步验收报告。省**网络系统初步验收报告。10系统试运行省**网络系统试运行报告。省**网络系统试运行报告。11建立售后服务文档**公司售后服务文档**公司售后服务文档157 1.1.1网络系统实施网络系统的施工是网络工程中最重要的组成部分。网络设备的安装情况不仅直接影响到工程的进度，甚至会影响到整个项目是否成功。在网络工程施工开始之前，**公司将与客户方的工程领导小组共同确认项目的主要实施阶段，并与客户方项目组一起，共同制定《工程计划书》，详细规定各阶段所要完成的主要任务。计划书将规定网络系统的调试和安装的：详细步骤，包括时间、地点和责任人人力资源的协调和分配物力资源的协调和分配《工程计划书》是网络工程的调试、安装、测试、验收等各项工作的主要依据。必要时，经双方同意，可以通过各阶段的有关会议备忘录对调试和安装的步骤进行调整。任何一个网络工程的实施都至少包括两部分的工作：逻辑设计与物理实现。首先，**公司将根据客户方的需求规化设计网络结构及参数（逻辑设计）。然后根据逻辑设计连接、配置、调试网络设备（物理实现）。根据**公司多年的实际网络集成经验，网络系统的调试与安装通常应该分以下几个步骤进行：网路系统的详细逻辑设计模拟建网调试网络设备的安装网络系统的详细逻辑设计网络系统的详细设计是指在签定工程合同之后，模拟测试开始之前，以双方的项目小组为基础，双方的技术人员共同确定整个网络系统的逻辑设计方案，该方案涉及到全部的网络设备，并具体到每一台网络设备和每一个物理端口的配置，产生《实施方案书》。网络设备参数配置是否合理，关系着将来网络能否正常开通及其运行效率。对不同类型的网络，需要配置的参数也不尽相同，通常来讲，网络逻辑设计方案可能包括以下内容：网间传输协议的选择路由协议的选择和设计网络地址的分配路由器参数的确定157 网络管理系统参数的确定其他网络设备、网络链路的参数配置以上的设计完成之后，将形成《网络系统详细设计说明书》，作为进一步实现设备的调试和安装的技术基础。全部网络设备加电测试网络设备加电测试主要是为了检测是否有到货即坏（DOA）的设备，如发现问题可及时解决，确保整个工程能够按期完成。同时，加电测试也为网络模拟调试做了必要的准备。加电测试包括：设备自检，缺省配置下软件运行状况检测。模拟建网调试及连通性测试1、集中模拟调试必要时，在双方约定的地点进行网络设备的集中模拟调试。也说是说在试验室中建立一个模拟网络，来模拟真实的网络环境。在模拟环境中，根据已经确定的参数集中配置网络设备，而不是先安装设备，然后分散配置。这样做可以：及早发现问题，解决问题。在模拟环境中就可以发现将来实际安装可能遇到的问题，减少实际安装过程中的不确定性因素。安装简单，无需现场配置，做到“即插即用”（PlugandPlay），提高工作效率。有利于对用户进行现场培训。广域网防火墙的连通性。系统软件的更新能力及系统配置信息的存储和回载。在集中模拟测试阶段，如果发现在运输过程中损坏的或者工作不正常的模块或设备，**公司负责修理或更换。这样就不会留下潜在的隐患，影响到将来网络的运行。2、所有设备按照网络实施方案的配置测试调试的内容包括：将所有设备按照实际网络应用要求及设计进行参数配置，并连接至模拟环境上测试通过。调整网络设备配置参数以适应主机服务器连接入网，如条件许可，可配合应用系统在模拟网络环境下的调试。这一部分的调试报告可用于完善《网络系统详细议计说明书》的内容。157 根据《网络系统详细设计说明书》，对所有网络设备加贴标签。标签上应标明设备名称、设备编号、安装位置、IP地址、子网掩码、缺省网关等内容。调试结束以后，《网络系统详细设计说明书》成为正式的设计文档。在以后的实际安装过程中，如果没有绝对的必要，将不再修改该说明书。在模拟测试阶段将安排2-3次现场培训。网络设备的安装在本工程中，以**公司为主进行网络工程中全部网络设备的安装，提供安装所必须的安装材料。安装的内容包括：在网络管理中心机房进行的网络设备的安装网络设备与布线系统的连接网络系统的整体调试网络中心网管系统的安装调试安装的过程将遵照先主干、后分支的顺序进行。在安装的过程中，还可以安排安装现场培训。实际的安装步骤将根据《工程计划书》进行，每台网络设备的参数和网路管理系统的参数配置将根据《网络系统详细设计说明书》进行。1.1.1主机系统实施1现场环境的准备现场环境主要是指系统安装地点的电源，地线，空调，操作空间等；系统到货前，**公司根据主机型号及其对环境的要求制定“现场环境需求表”，与最终用户一起确认现场环境满足系统安装的最低要求。2系统拆箱验货主机系统到达指定安装地点后，**公司与最终用户一起开箱，检查货物的包装和运输过程中有可能发生的损坏；根据合同书中的定货清单验货，确认到货的完整性，签定“主机系统货物检验清单”;若发现系统中有损坏部件或缺货，由**公司及时与原厂商联系催货和更换。3系统加电自检确认系统到货齐全后，根据主机的型号，由**公司根据原厂商的技术标准制定“系统加电检测确认表”，共同进行系统各部件的加电检测工作；若发现系统中有损坏或不能正常工作的部件，由**157 公司及时与原厂商联系更换。4系统软件安装一：操作系统的安装及配置根据最终用户和上层软件的需求，安装和配置系统软件。二：数据移植根据最终用户和上层软件的需求，与软件开发商共同完成数据移植等。1.1系统测试及项目验收方案网络项目的最终测试和验收是整个项目实施中至关重要的一环。是对项目成功与否的检验，关系着客户将要接管使用的是不是一个安全、可靠的网络。本着对客户负责的态度，**公司对项目的施工和验收采取高标准、严要求的管理办法，严格按照程序进行。项目的最终验收分以下几项主要内容：网络、主机设备到货验收（验货）网络及主机设备功能验收系统功能验收用户应用测试验收交付工程文档1.1.1网络及主机设备的到货验收**公司保证按照合同规定的时间将设备运到合同中指定的地点，与客户方技术人员一起，逐一开箱检查设备外观是否有损坏，型号是否正确，数量是否齐全等。同时，登记设备的型号、数量、序列号，最终形成《网络设备到货清单》，经双方签字，通过验收。1.1.2网络及主机设备功能验收在试验室中建立模拟的网络环境，模仿实际的网络环境和应用环境。在模拟环境中，对所有网络设备进行集中配置，观察其工作状态，检栓其功能，确信网络设备能够达到设计功能。测试完毕，**157 公司负责整理设备功能验收测试报告。交付客户审阅，双方签字，通过验收。1.1.1系统功能验收网络及主机系统安装完毕，**公司将与客户方技术人员一起对整个网络功能进行功能测试。包括：Pingftptelnet主机系统功能测试其他合同要求的测试内容1.1.2用户应用测试用户验收完毕，翌日开始由客户方对网络系统进行应用测试，为期5天。**公司将指派专人负责应用测试，在测试过程中如果出现故障，将给予及时排除解决。通常情况下网络平均无故障时间大于测试时间的90％，则认为测试合格。最终我们将按照合同规定的标准进行测试。由于是在测试期，建议用户不要在网络上进行关系重大的业务活动。测试结束，**公司负责整理用户应用测试报告，交客户方检查，确认无误后，双方签字，通过验收。1.1.3支付工程文档项目的前述验收完成之后，**公司负责向客户方提交以下的工程文档，主要包括：《网络设备详细配置说明书》《验货清单》《工程进度报告》《设备安装记录》《设备使用及维护说明书》《验收报告》157 项目验收完毕，用户接管使用的将是一个各方面性能满足要求，经得起实践检验的网络系统。第一章本项目培训计划157 培训的目的主要是使管理和使用系统的人员不仅对整个系统有足够的认识，而且能完全胜任所承担的工作，确保整个系统安全可靠地运行，并达到最大效益。为此，我们针对人员各自的工作性质，对不同职责的工作人员分类进行专门培训，使他们掌握一定的专业技能和一定的开发能力。我们将提供多种培训课程和按客户所需要的各种深度、广度的产品和技术知识讲座。由本公司富有经验的技术工程师对相关技术人员进行针对性的培训。我们的技术人员和培训教师随时准备为客户职员提供技术支持和最新技术信息。1.1.1培训计划针对省**项目的实际应用情况及各种人员的计算机应用水平等因素，我们制定如下的培训计划：客户方在购买了网络设备和网络管理系统之后，需要对有关的技术人员进行技术培训。**公司能够为客户提供全方位的培训服务。根据培训的内容可以将培训分为以下几类：系统专业培训我方为省**公司免费提供3名由专家在福州提供网络安全、主机系统等系统管理培训。具体时间和地点由双方在《工程计划书》中体现。一般维护培训由我公司的资深工程师，在现场进行技术培训。结合本项目实际情况提供的设备，针对客户网络管理员的现场技术培训。1.1.2培训课程课号课程名称地点Windows集群系统管理福州/用户现场主机、网络存储系统网络产品介绍网络产品配置互联网设计介绍TCP/IP网络设计数据库系统概述Veritas数据备份VPN组网设计157 第一章客户服务体系——技术服务、支持、保修1.1规范的客户服务体系“以客户为中心”是**企业的重要经营理念。为了真正切实贯彻这一理念，保证对客户问题及时响应、规范服务，公司建立了一套科学、合理的客户服务体系，这也是企业管理的重要环节。157 派员提供维护服务，填写现场工作报告⑤④③②①服务响应反馈现场工作报告存档认可服务，现场工作报告签字协调意见反馈协调意见咨询下达任务书下达任务书服务要求反馈提出服务要求用户项目经理或技术总监软件支持工作组负责人系统支持工作组负责人**企业客户服务中心**企业的客户服务流程如下图：说明如下（下述流程的每个环节都有时间要求）：第一环：公司客户服务中心定期向客户了解系统的运行情况，了解系统的服务需求，并提供各种技术文档；当客户的系统出现运行故障或其它影响性能的问题时，及时向**企业客户服务中心提出服务要求。第二环：客户服务中心根据客户的意见记录将问题反映给公司技术总监，总监在确定问题的类型后，把协调处理意见反馈给客户服务中心。第三环：客户服务中心根据技术总监的意见下达任务书，交给相关的软件支持工作组负责人或系统支持组负责人。第四环：负责人在收到任务书后安排专职工程师赴工作现场填写工作报告并提供维护服务。维护完成后由客户验收，这是一个客户与工程师就成功维护循环交流的过程。维护通过后请客户提供工作确认。第五环：维护工程师完成任务后向负责的组长汇报工作情况，相关组长把现场工作报告送客户中心存档，以提高服务工作的可追溯性和可延续性，并实现服务经验、技术经验的共享。1.1客户服务方式1.1.1电话、传真和电子邮件电话、传真和电子邮件支持服务方式没有次数限制，只要省**公司网络的系统存在问题，请即刻拨打**软件的服务中心电话；由**企业技术工程师远程指导省**157 公司的工程师解决问题，并通过电子邮件报告系统故障说明，直至将问题解决为止，若本方式未能解决问题，将采用远程拨入、现场服务等方式。1.1.1网站服务**软件的企业网站上开设有客户服务和技术支持专栏，网址为，用户可以下载有关文档、补丁程序、更新软件，并可以与我们技术人员在线交互。1.1.2远程拨入分析伴随着计算机技术的发展，网络技术也在发生着日新月异的变革。新的技术规范不断成熟，网络带宽在不断地扩展，联网的设备与上网的人数也在不断地增加，所有这些变革都使人们越来越体会到“地球村”的真正含义，同时也使传统的设备维护方式发生了重大的变化——远程服务的比重在不断增加。在传统的设备维护概念中，现场支持是解决问题的主要手段，而在新的技术条件下，远程支持是排除故障的第一步，而且是非常重要的一步。而且，在时效上远程支持也明优于现场支持模式，统计数据表明，在IT行业中有不低于70％的系统失败属于软件故障，其中绝大部分可以通过远程方式解决，因此说远程服务是提高服务工作效率，节省维护费用的有力手段。而现在的网络发展也使这一手段成为可能，在用户允许的前提下，我们的工程师将通过远程拨入方式，快速而直接地对系统进行诊断与故障排除。因此当电话支持不足以解决问题或故障情况比较复杂时，我们的技术人员将在甲方技术人员的协助下，通过远程登录的方式登录进入甲方的局域网。我们的技术人员在甲方技术人员的协助下确定故障原因，找出解决问题并排除问题的办法。1.1.3快速的现场服务**企业作为一集团公司，在北京、深圳、广州、上海、郑州、**各地区均有自己的分公司及办事机构，当省**公司网络系统的系统被确诊为系统故障，而无法通过电话/电子邮件方式、远程拨入分析等手段解决时，我们的现场工程师会带上相应的系统工具和软件立即赶赴现场进行紧急维护。**企业承诺在1~4小时之内到达现场，将系统故障时间降低到最小。快速现场服务在系统验收后的三年内采用，之后的服务将根据**157 软件提供的服务级别，双方另行约定。1.1.1与厂家合作我们将以厂商的技术支持服务中心为后盾。遇到疑难问题时，我们负责与设备厂商的技术服务中心联系，在厂商系统专家的配合下，解决系统故障。1.1.2修补程序发布**软件通过服务计划，定期发放针对省**公司网络系统和所采用产品的修补程序，使系统能正常运行。修补程序可以从**企业网站上获得。1.1.3定期访问交流在省**公司网络系统在运行的过程中，**企业将对省**公司定期进行访问交流，对整个系统进行运行质量评估，用户应积极配合，主要有以下几点原因：有些问题是潜在的，如能及早发现，将大大延长系统的无故障运行时间有些问题是很细小的，往往被忽视，**企业会根据自己的经验，提出相应的建设建议有时系统并无明显故障，但运行性能不理想，**企业会提出系统配置改进或扩展方案，供用户参考基于以上原则，**企业将和省**公司约定访问交流制度，同时为贵公司送上以下内容；系统运行平台常规检查系统运行质量评估报告**企业对省**公司网络系统运行的建议最新产品介绍与业界动态信息其他用户的经验教训157 1.1**售后服务承诺**公司有着丰富的软件开发和大型系统集成经验，针对***单位网络项目，我们作出如下郑重承诺：试运行期支持：（1）系统试运行期间专人在现场指导使用人员的操作；（2）现场排除系统试运行过程中出现的硬件故障及软件故障，对于易出现问题的设备提供备用件；（3）提供7*24小时热线电话，接受**公司的随时咨询；（4）应技术人员的要求，随时讲解系统的结构及设计，包括硬件性能、系统软件、备份结构特点。质保期售后服务：（1）所有硬件三年原厂7X24含硬件更换和维护服务。（2）生产厂家在国内有备件仓库。（3）提供系统验收之日起三年的质量保证期。（4）接到**公司的维修维护请求后0.5小时内响应，福州市区1小时到达现场，外地4小时到达现场。（5）为**公司提供维护热线电话和7x24的技术咨询服务；（6）在质量保证期内每个季度为省**公司出一次本季度的系统故障统计分析报告，为招标方的维护工作提供理由充分的参考依据；质保期过后服务：（1）**公司将终身免费提供用户电话技术支持、咨询服务。（2）在质保期过后，如果**公司需要，**公司将以优惠条件提供后续付费现场服务等。157 1.1新惠普售后服务承诺1免费安装及调试服务按照用户要求，我公司将按照用户方的标准将货物运送到各安装地点现场，并由资深工程师根据前期制定的方案进行安装、调试、试运行和验收。我公司将配合用户进行各地现场的实际勘测，按照用户的要求制订各项设计、安装、施工、调试、验收等方案，并提供各种必要的依据标准。2免费质保期间服务157 设备交货并验收合格后，就进入了免费质保期的范畴。我们为所有设备提供的免费服务期为该产品厂商提供的保修年限。在这段时间里，我公司将为用户提供如下服务内容(不再向用户收取额外费用)：2.1热线电话支持服务7x24小时直线技术支持服务，我公司将向用户提供一个7x24小时轮值的手机号码，在任何情形下向用户提供及时的技术支持服务和咨询。2.2现场服务我公司将为所有设备提供为期1年的现场服务，当电话热线支持不能解决问题的时候立即派遣工程师赴现场提供服务。现场服务的响应时间是4个小时2.3故障升级处理故障升级及处理程序。我公司内部根据ISO9001-2000的规范建立了一套故障升级系统，在出现紧急故障或故障超时未解决时该系统能迅速升级，调动更高级别的资源，确保及时解决故障。2.4快速备件更换服务我公司利用与众多厂商长期合作的关系，与厂商商谈针对用户实际情况的维修维护备件最佳解决方案，确保备件能够在最短时间内更换。2.5主动式维护巡查服务157 除了传统的被动式维修维护服务，我公司还特意向用户提供主动式维护服务。公司技术服务部门以及质检部会在一定的周期内定期或不定期对用户进行主动的巡查，主动上门为用户做一些维护保养的工作，了解用户设备的使用情况、故障情况、产品质量情况、服务质量情况等，并为用户设备的使用及管理提出实质性的建议，使设备的故障率降低，令维修维护工作变成互动式。2.6质量跟踪服务我公司为了保证产品和服务的质量，严格按照ISO9001-2000的标准成立了质检部，对所有质量问题包括产品和服务等进行有效的监控，并对所有投诉作出实质性的响应。2.7统计服务我公司可向用户提供我公司进行服务的有关设备的维修维护统计，作为用户选择产品及确定维修方案的依据3保修期后的服务在保修期后，我公司仍然可以为所有的硬件设备及整套系统提供维护及保修的服务，可以对全部的计算机、服务器及网络设备进行过期续保。经我公司维修后的设备，继续享有对原保修期的承诺。例如维修后距保修期结束不足三个月，维修的部件自修复之日起保修三个月，届时请出具有效的维修记录。属于下列情况的机器（包括部件）故障或损坏，不在保修之列，请您选择有偿维修服务。1、机器、部件已经超出保修期而没有续保；用户未按说明书要求，错误安装、保管及使用造成的产品故障或损坏；2、非厂家授权机构、人员安装、修理、更改或拆卸造成的机器故障或损坏3、因使用非厂家部件导致的机器故障或损坏；4、因意外因素或人为原因（包括计算机病毒、操作失误、划伤、搬运、磕碰、输入不合适的电压等）导致的机器故障或损坏；157 5、因使用非标准或未公开发行的软件造成的机器故障或损坏；6、因自然灾害等不可抗力（如地震、火灾等）原因造成的产品故障或损坏；惠普支持及保修1.PC服务条款：整机三年保修；3年上门服务；8年维修配件保障，只收取成本费；7X24小时热线电话支持三年免费上门现场维修,4小时内赶到现场,如有需要,将协助用户提供应急备机。免费售前、售中上门技术支持和免费培训、讲座。每月向技术部提供最新配置资料；产品变更时，至少提前一个月通知技术部2.报修方式：1）一般情况:请联系惠普在**移动的服务商,详见后面的”服务商服务承诺”或也可事先指定一家当地的惠普金牌服务点，进行专门服务2）紧急情况:请联系惠普**电信服务专员：(800-8105959)3．维修技术人员情况157 惠普维修网中的每个工程师均必须经过惠普培训认证后方可为用户提供服务，即认证上岗。惠普服务大学为维修工程师设计了周密的培训计划。我们的培训周期频繁，保证每个新入网的工程师能及时得到培训；我们的培训多层次化，对工程师的认证有初级、中级、高级，保证工程师技术能力的不断提高；我们的培训设备齐全，做到实物教，保证了高技术含量；此外还设有维修网经理培训，为基层管理配备十八般武艺。惠普升级中心资深的升级工程师和产品工程师为维修一线工程师提供强有力的技术后盾，当工程师遇到疑难问题时，可以随时得到升级中心的支持。惠普随时为维修网成员提供最新的技术资料，并把各地维修工程师在维修中碰到的问题汇编成册，以“维修通讯”和WEB的形式让全国的维修工程师在最快的时间内分享经验，并运用到以后的支持服务中。同时，我们为维修商专门开发了网页，在惠普与维修中心之间建立了快捷的信息通道，使技术传递更加便捷。4.服务流程服务由惠普全国统一协调,无论在的哪一个营业点出现问题,均能获得惠普全国性的服务资源支持.您遇到问题时，找惠普)惠普客户支持中心硬件问题：8008105959软件问题：010-65645959专人跟踪您的维修记录，直到您的问题得到及时、满意的解决。(CloseLoopManagement)系统通过识别大用户代码，优先处理您的维修单。金牌服务确认函中的联系电话或当地惠普授权维修中心(电话详见惠普授权维修中心联系一览表)如对惠普维修中心或800服务等各方面不满意,可以直接联系惠普工行服务专员:王晓芳010-65643906,13901186613当遇到解决不了的问题时，进入快速升级流程。(EscalationProcess)157 5.定期主动服务：为减少由于用户维护不当而造成的使用事故，把隐患尽早消除，惠普公司将在项目实施的后的每半年一次，派专人对各级用户对系统的使用情况主动进行现场调查、咨询，以及时发现、解决用户使用中遇到的各种问题，并在每次调查咨询后作一份调查分析报告供用户参考。报告的内容包括：检查并清除计算机病毒;升级应用程序总结惠普的支持服务；分析客户的运行环境并提出建议；讨论惠普的支持服务内容并提出改进；回顾以往支持的质量，了解用户新的要求；向用户提供系统运行管理建议；157 总结硬件软件网络服务请求解决结果，发现潜在问题；制定新的服务支持活动计划；提供新的技术手册；提供系统改进建议方案以适应用户新业务需求6.惠普公司售后服务体系简介对于用户而言，由于解决方案设计合理性问题，可能直接影响到工程应用中网络激光打印机、大幅面喷墨打印机、PC、服务器等各种设备性能的充分发挥，进一步影响他们对惠普产品的信心。因此，根据用户的实际情况，为其提供完善的解决方案，也同样是十分重要的。而对于用户的售后服务，就更不能忽视了。1）．结构完整的服务中国唯一：惠普技术支持与服务在1994年7月就荣获ISO9002国际认证，而且一直保持至今。领先使用世界最先进的热线支持ACD电话实时管理系统，保证每个客户及时得到服务。2）．体系齐全的服务管理最完善的维修网络：全国已经拥有100多个维修点，覆盖近60个城市，采用网络化计算机辅助管理，遵循ISO9002质量规范。157 言行一致，长期承诺：备件库现有十多个，98年底开始投资几百万美金在30个城市建立相当规模的备件库。3）.技术领先的服务惠普公司早在1981年就在中国创建了服务机构，至今已经在业界独享17年的IT服务经验；而且从98年起，惠普公司将每1-2个月增设一个新的服务分支机构，这一策略将不断延续。今天，惠普公司已经建立了真正面向客户的Internet综合服务网站。4）多样、快速、准确的服务98年惠普在10个城市对主要信息产品提供了1小时立等可取送修服务。惠普提供完善的保修升级服务，可以从一年标准保修可升级为三年保修。承诺热线服务准确率高达90%，让客户一次联系就能得到准确的解答。1.1东软技术支持和售后服务承诺安全实施总流程服务品质的保证来自于精湛的技术和丰富的服务经验，更重要的是来自于科学的管理。东软在1997年在国内软件企业中率先通过ISO9001质量认证，同时在国内软件企业中率先在软件开发中使用CMM认证，并在2003年6月获得国内第一个CMM5级认证证书。2000年东软获得世界权威质量认证机构挪威船级社（DNV）颁发的新版ISO9001:2000质量认证证书，2000157 年东软首批获得国家信息产业部计算机系统集成一级资质认证，理所当然，我们对安全服务过程中的每一个环节也严格进行必要的制度控制。先进的技术固然重要，优质的服务也是必不可少的，用户需要的不仅仅是将先进的产品买回家，他们更需要的是如何使这些产品发挥更好的作用、如何得到更多的帮助，从而能够使他们的网络真正安全。因此用户的网络安全要得到保证，必须有一流的产品和一流的服务，只有这两者的相互配合，相互作用，才能为用户提供一个整体的、立体的、有效的安全解决方案。157 沈阳东软软件股份有限公司是国内首家上市的专业软件公司，从事过多项大型系统集成项目的建设，具有强大技术力量和丰富的售后服务经验。在以往的工作中，东157 软公司以可靠的质量和牢固的信誉为基础，与客户始终保持良好的合作关系。目前，东软公司已经建立了一套完整的技术支持和售后服务体系，在人员、技术和服务等多方面完全可以满足客户的需要。东软软件股份有限公司依靠已经建立的覆盖全国的技术支持和售后服务队伍，针对重点客户，可以组织专门的客户服务小组，提供及时优质的技术咨询、技术培训、技术实施、技术支持、维护支持等综合服务。服务体系东软拥有自己特色的三层客户服务体系，在北京和沈阳设客户服务咨询中心，由受过高级培训的系统工程师对大区提供技术咨询和支持，在北京、深圳、上海、长沙、成都、西安、沈阳等重要城市设大区服务中心，大区服务中心对大区所辖办事处提供技术支持，办事处工程师在各级服务中心工程师的协助下为本地用户提供服务。全国客户服务中心和大区服务中心工程师也可以为用户直接提供服务。咨询和服务东软公司为客户提供长期而全面的免费技术咨询服务，内容包括：网络安全问题咨询、安全产品介绍、系统配置说明、安全策略的制定、日常维护常见疑难问题解答、网络安全技术更新材料。各种安全产品的现场安装，内容包括：安全体系设计、安全策略制定分析、安全产品的现场安装、客户的现场培训等。系统的现场运行维护，内容包括：系统故障分析、故障排除等。系统更新升级为了保证系统能够满足客户网络信息系统不断膨胀的业务需求，东软公司始终紧跟时代发展，时刻关注网络安全领域的最新技术发展，并不断地将最新技术应用到产品中去，同时也可以在客户提出需求后按照客户的要求对系统硬件、系统软件、应用软件进行升级，确保应用系统的先进水平。157 1.1华为技术支持和售后服务承诺见华为授权函说明。157 第四部分附件简述：第四部分为系统平台相关软硬件产品简介。157 第一章系统平台相关软硬件产品简介1.1主机系统1.1.1HPDL740服务器见附页。157 1.1.1HPDL560服务器见附页。157 1.1.1智能阵列集群存储系统SmartArrayClusterStorageHP简单经济的两节点集群共享存储解决方案，是工业标准服务器集群或直连SCSI存储系统的最佳选择。智能阵列集群存储系统作为两节点集群的共享存储系统，在SCSI的经济性基础上，为集群系统提供数据的可靠性。没有光纤存储系统的昂贵投资，它不仅满足您对高可用系统数据保护的初期要求，更可以支持向光纤存储局域网的平滑升级，以满足将来业务增长的要求。智能阵列集群存储系统在阵列卡、风扇、电源等的冗余特性能够保证数据更高的可用性，优势概览：冗余阵列控制器、风扇、电源等，减少宕机时间支持RAIDADG和带电池的缓存，更大限度保护数据易于配置和管理，使用ArrayConfigurationUtility(ACU)和InsightManagement系列阵列控制器固件自动复制同步支持通用热插拔AIT和DAT磁带机易于实施，低成本，减少初期投资，SmartArray优势数据兼容性--任何时候当客户需要更高性能、容量或提高可用性时，SmartArray阵列都能够支持简单、轻松升级。全线的SmartArray阵列控制器都能够做到向前兼容能够识别以前的数据格式和阵列信息，使得升级和替换变得异常轻松。客户还能够将数据（包括阵列信息）从DAS（服务器直连存储，包括内部和外接直连阵列）无缝升级到SmartArray集群存储系统，保护客户在硬盘上的投资。数据移植和DtS技术--SmartArray架构提供快速简单的移植方式，由SmartArray集群存储系统升级到ModularSANArray1000(MSA1000).。将SCSI的集群存储升级到SAN，只需简单地将SmartArray控制器换为StorageWorksMSA1000控制器，加上157 光纤I/O模块和光纤交换机，而无需对硬盘或数据做任何改变，这就是我们所说的DtS(DAS-to-SANt技术)不仅能够升级到SAN，SmartArray集群存储系统还支持原有SmartArray系列阵列控制器上的服务器硬盘数据的无缝移植一致的配置和管理工具–所有SmartArray系列都可以通过统一的配置和管理工具ArrayConfigurationUtility(ACU)和InsightManagement系列产品特性可选冗余控制器标配128MB电池后备的缓存，可升级到512MBRAID0,1,1+0,5和ADG支持在线RAID级别迁移，在线容量增长，在线备盘，在线改变条带集大小等冗余控制器时，支持控制器固件的自动复制同步157 1.1数据备份系统1.1.1磁带自动加载机（HPAutoloader1/8）产品特性l经济适用以与单个驱动器相当的价格实现备份过程的自动化l可靠实现持续备份，自动更换磁带l机柜优化占用最少的机柜空间l高效允许IT资源进行手动备份，以完成其它关键任务l紧凑2U机型中可容纳8盘磁带和1个驱动器l发展使您轻松从单个磁带机过渡到自动磁带产品l兼容适用于主流服务器、操作系统和备份软件规格驱动器数量1 Ultrium驱动器插槽数量8最大存储容量(假定压缩比为2:1)800GB(本机);1.6TB(压缩)最大持续数据传输率(假定压缩比为2:1)15MB/s(本机;30MB/s(压缩)支持的介质Ultrium(傲群)1代介质；HPUltrium(傲群)或LTOUltrium(傲群)清洗带接口LVDSWideUltra2SCSI,16比特，68针HD连接器可靠性250,000平均无故障周期(MCBF)157 外形尺寸(长×宽×高)3.34×16×24英寸(85×406×610毫米)重量26磅(12千克)电源要求100-127VAC或200-240VAC,50-60Hz1.1.1备份管理机灾难恢复选件（VeritasBusinessServer）见附页。1.2网络安全系统1.2.1中心VPN产品（NetEyeFW4032-FE4-V）NetEyeFW4032-FE4–V具有四个10/100M网络端口，支持VLAN划分，支持300,000的并发连接(最高可调整到50万），，10/100BASE-T×4，具有VPN模块，支持248*1024个VPN加密隧道。NetEyeVPN技术特色l采用标准的AH和ESP协议，保证IP包的机密性与完整性，用户可以自由选择加密或认证服务。l集成强大的的防火墙功能，采用透明的流过滤技术，兼具包过滤的性能以及代理防火墙的应用级安全性。l安全隧道的链路设备映射技术及实时监控功能，使得VPN网络的设置与工作状态一目了然。l严密的、基于PKI的密钥管理框架，清晰简洁的密钥管理流程，使得系统具有极佳的扩展性与灵活性。l智能的"One-Click"技术(一次键入技术)和"一点即连"的特性使得VPN网络管理更加流畅轻松。相关安全参数l加密算法：国密办批准使用的128位对称加密算法；l认证方式：1024位RSA数字签名认证方式；l杂凑（哈希）算法：国密办批准使用的杂凑算法；157 l密钥管理方案：基于PKI的密钥管理方案l密钥协商协议：基于IKE协议和Diffie-Hellman算法的密钥协商协议；l支持的安全协议：TCP/IP、IPSec、ESP/AH。功能特点l流过滤实现动态保护网络安全流过滤机制是NetEye防火墙3.0的一大特色，NetEye防火墙3.1保留了这一个特色，并对其性能、稳定性进行了进一步的优化，NetEye防火墙3.2对流过滤引擎进行了优化，进一步提高了性能和稳定性，同时丰富了应用级插件、安全防御插件，并且提升了开发相应插件的速度。网络安全本身是一个动态的，其变化非常迅速，每天都有可能有新的攻击方式产生。安全策略必须能够随着攻击方式的产生而进行动态的调整，这样才能够动态的保护网络的安全。基于状态包过滤的流过滤体系结构，具有动态保护网络安全的特性。例如，由于新的SQLSERVER蠕虫病毒的出现，使很多企业网络、甚至Internet骨干网络陷入瘫痪，但是用了NetEye防火墙的企业，受益于流过滤体系结构的保护，及时获得了相应的应用保护升级包，使得在保证SQLSERVER正常应用的同时，有效的保护了网络免受蠕虫病毒的困扰。NetEye防火墙的安全响应小组对于新的攻击方式时刻进行跟踪，并第一时间发布解决方案，NetEye网络安全实验室对于新的攻击方式进行深入地研究，找到攻击的特征及深层次的原理，NetEye应用开发小组及时的开发NetEye应用升级包，使NetEye防火墙能够有效的抵御各种新的攻击，动态保障网络安全。l扩展协议支持　　该功能是对原有NetEye防火墙3.0动态规则特性的完善，使其更容易扩展，用户可以通过简单的下载、升级模块，达到对新的复杂应用的支持。这也是流过滤体系结构优良可扩展性的体现。由于现在的应用协议日益繁多，每天都可能有新的应用协议产生，某些应用协议并不仅仅使用一个连接和一个端口，往往是通过一系列相关联的连接完成一个应用层的操作。防火墙推出之时很难能够支持所有的应用，这就要求防火墙能够有很好的可扩展性，以便将来能够根据需要进行扩展。在流过滤的平台基础上，我们可以方便、快捷的进行应用级插件的开发和升级，使防火墙可以不断适应新的应用协议。现在支持的这种应用协议包括FTP，RTSP，PNM，H.323、Oracle数据库访问等。l简单易用VPN157 集成的VPN功能，采用标准的IPSec协议，支持NAT穿越，可以应用于ADSL、ISDN、拨号、DDN等多种网络环境，基于PKI的密钥管理架构、人性化的虚拟通道设置，有效提高了VPN的部署灵活性、可扩展性，大大降低了部署、维护的成本。可以方便、快捷的部署各种形式的VPN应用，包括企业内部的VPN，用于连接企业的各个分支机构；企业外部的VPN，用于企业与其合作伙伴等企业外部的组织进行连接；拨号VPN，用于连接在各地的移动办公，家庭办公人员安全的接入企业网络。是国密办批准生产、销售的VPN产品(SJW20网络密码机)。完善的VPN产品线，使得我们可以适合于大规模的部署。l网络永不间断NetEye防火墙3.2的硬件采用了由Intel专门为东软设计生产的设备，其硬件体系结构完全采用了Intel用于电信级的服务器的标准，同时设备的关键部件，CPU、内存、电源等部件完全冗余。保证了系统的高可靠性运行。NetEye防火墙3.2提供了带内、带外的双重控制通道，具有最短仅需一秒的双机热备自动切换功能，保证了网络的永不间断。另外，NetEyeFW3.2对FW3.1的图形管理界面(GUI)、身份认证、审计、双向网络地址转换（NAT）、事件报警、支持VLANTrunk、IP与MAC地址绑定、流量管理、网络实时监控、支持SNMP、多播协议的支持等功能也进行了多方面的优化，使得系统的稳定性进一步的提高。1.1.1灵巧网关SG500-FE2V·主要功能 1. 提供DHCP服务，提供给小型网络自动分配IP的功能； 2. 自动完成密钥协商并启用加密隧道；　　3. 支持基本的NAT功能；　　4. 支持SOCKS代理；　　5. 自动检测并阻止PingofDeath、SYNFlood、LANDAttack等DoS攻击；　　6. 可以自动通过外网卡、Modem拨号、ISDN、ADSL或DDN等设备完成到ISP的连接，并在这个连接上建立与总部VPN网关的加密通道；　　7. 通道建立后自动实施内网到Internet、内网到总部服务器的两个NAT157 规则，客户的本地网络对总部完全隐藏，不需要为实现互连而重新部署；　　8. 采用简单的图形用户界面，所有的功能集中在统一的管理器中；　　9. 具有液晶屏配置功能，可以进行基本的灵巧网关配置操作；　　10. 提供日志与审计功能；　·性能与安全参数　　－加密性能（最高加密等级：AH认证、ESP加密认证）＞40Mbps　　－加密和认证算法：国密办特许专用算法；　　－加密方式：硬件高速加密卡　　－密钥管理方案：基于PKI的密钥管理方案　　－密钥协商协议：国际标准的IKE密钥协商协议；　　－RSA算法密钥长度1024bit　　－对称加密算法密钥长度128bit1.1.1入侵检测系统（NetEyeIDS2100A-FE2）支持1600多种攻击和入侵模式的检测，自带数据库，大容量存储空间（60G以上），两个10/100BASE-T。主要功能l攻击检测利用数据流智能重组，轻松处理分片和乱序数据包。综合使用模式匹配，异常识别，统计分析，协议分析，行为分析等多种方法综合检测1500种以上的攻击与入侵行为。l内容恢复针对几种常用的应用协议（HTTP、157 FTP、SMTP、POP3、TELNET）数据连接的内容恢复的功能，能够完全记录通信的过程与内容，并将其回放。并可自定义协议，便于扩充。此功能对于了解攻击者的攻击过程，监控内部网络中的用户是否滥用网络资源,发现未知的攻击具有很大的作用。l网络审计记录网络中发生的所有连接，是完整的网络审计日志。系统特性l先进的数据流截取和重组技术采用专用的接口直接从操作系统内核快速截取数据包，高效进行数据流重组，以数据流为对象进行分析。轻松处理分片和乱序数据包。l强大的攻击事件检测和防御可对1500多种攻击进行检测，报警,记录，切断。并可方便的升级以检测最新的攻击。l高效的网络应用恢复可对HTTP,SMTP,POP3,FTP,TELNET等协议进行恢复和重放，并可自定义协议，便于扩充。l完整的网络审计可对网络中发生的所有事件进行记录，并可自动备份，是完整的网络审计日志。l灵活的查询，报表功能可对网络中的攻击事件，访问记录进行灵活的查询，并可根据查询结果输出优美的报表。l丰富的辅助工具集成网络嗅探器和扫描器等网络分析工具，便于管理员查看当前网络状况，分析网络问题。l实时的网络连接察看切断功能实时查看网络当前连接状况，对可疑连接可立即切断，最大限度的保证用户的安全。l简便的管理客户/服务器结构，提供便于使用的图形界面来进行远程管理。自动进行自身的数据和策略的默认维护，不需人为干预,使用极其简便。内置权限管理，方便不同权限的用户进行不同的操作。l全面的网络信息收集157 采取多种方法全面收集网络用户信息，方便管理员快速了解当前网络用户状态。l多样的报警方法用户可选择界面显示，声音报警，记录到数据库。发送电子邮件，与防火墙联动等不同的方式进行报警。1.1中心网络交换机1.1.1路由交换机QuidwayS6503Quidway®S6503以太网交换机是面向IP城域网、大型企业网及园区网用户的系列大容量、高密度、模块化的二/三层线速以太网交换产品，主要可作为企业的核心交换机或城域网区域汇聚层交换机。 QuidwayS6503产品特性Quidway®S6503以太网交换机的设计基于分布式处理的设计思想，依托于华为公司拥有自主知识产权的VRP （VersatileRoutingPlatform，通用路由平台）网络操作系统，提供完备的动态路由协议、VLAN（VirtualLANs，虚拟局域网）控制、流量交换、QoS（QualityofService，服务质量）保证、网络管理等机制，拥有强大的业务控制和用户管理能力。系统同时提供中英文双语界面，方便用户操作。◎ 运营级可靠性设计系统采用分布式结构，所有单板支持热插拔。S6503系列交换机支持交流电源（AC）和直流电源（DC）两种供电方式。此外，为保证系统的健壮性，S6503157 系列交换机支持电源模块的负载均衡、热插拔、故障检测及N:1冗余备份。◎丰富的功能特性S6503系列交换机的背板采用高速背板设计技术，交换容量达64Gbit/s。S6500系列采用华为专利的弹性资源调配系统技术，可实现从中心交换单元到业务处理板通道带宽的动态调整，用户可根据不同的处理板、不同的业务、不同的工作组配置不同的通道带宽，使得整个网络的灵活性更高，从而实现系统背板、交换引擎带宽、性能的最优分布；华为VRP™3.x网络操作系统支持，提供丰富的网络特性功能。◎提供STP/RSTP避免环路冗余S6500系列以太网交换机所实现的快速生成树协议（RSTP）是生成树协议的优化版。其“快速”体现在网络设备或链路变化期间，“树根”端口和指定的端口进入转发状态的延时在某种条件下大大缩短，从而缩短了网络拓扑稳定的时间。◎支持IGMPSnooping尽量减少报文的转发范围，避免非组成员收到组内多播流量；◎支持802.3ad端口聚合实现任意端口聚合，在可以将若干个FE端口或GE端口汇聚到一起，以实现大容量交换机之间或者交换机与骨干路由器及服务器群之间的高速连接。◎能够抑制广播风暴配置了广播风暴抑制后，可以对VLAN上的广播流量进行监控，当广播流量的带宽超过配置的限度时，交换机将在该VLAN上过滤超出的流量，保证网络的业务，使广播所占的流量比例降低到合理的范围。◎支持基本的TCP/IP协议栈及常规应用协议◎支持静态路由管理员手工配置，简化网络配置，提高网络性能；◎支持丰富的路由协议RIP、OSPF、IntegratedIS-IS及BGP4，以适应不同的网络环境要求；提供不同子网VLAN的三层互通功能；◎支持ARP、DHCPDelay功能；◎支持IGMP组播协议及PIM-DM、PIM-SM等组播路由协议。◎系列化超级引擎S6503系列交换机全面采用基于新一代ASIC技术的Salience™系列交换路由引擎。该系列引擎将2/3/4层线速转发与丰富的QoS、ACL特性结合在一起，是组建高可靠、低时延的核心网络的重要保障。在设计上，Salience™系列交换路由引擎的交换网采用负荷分担方式，全面提升单板可靠性。157 iSalience™为高集成引擎，该系列引擎在Salience™引擎的基础上可提供少量的业务接口，用户可根据需要选配4口千兆业务扣板。（该系列引擎仅适用于S6503）◎强大的DiffServ/QOS保障：◎提供了基于端口和基于流的流量限制(CommittedAccessRate)；◎提供强大的流分类（TrafficClass）能力;用户可根据实际需要为不同的用户群组或不同的业务类型分配不同的队列优先级，带宽控制（以64Kpbs为步长单位进行调整）；◎提供Diffserv支持，可以根据2、3、4层特性，调整IPDSCP域，为骨干网络实现基于DSCP的IP转发提供支撑；◎提供基于数据流（Flow，根据2、3、4层报文头的信息确定）的带宽共享算法，保证每一个通信应用均可获得公平的流量分配，保证了各主机之间通信的公平性；◎提供WRR（WeightedRoundRobin）队列调度策略；◎提供RED（RandamEarlyDetection/Discard）丢弃策略；◎可配置的802.1p优先级映射规则，可根据IPDSCP信息，802.1p信息，VLAN信息，2/3层转发表信息，配置出报文（OutgoingPacket）的802.1p优先级；◎可配置的队列优先级规则，可根据IPDSCP信息，802.1p信息，VLAN信息，2/3层转发表信息，配置转发队列优先级；◎完善的安全机制提供L2/3/4流规则过滤；用户分级管理和口令保护；提供多种用户认证方式：本地/Radius/802.1x认证；支持OSPF、RIPv2及BGPv4的报文明文及MD5密文认证；支持SNMPv3的加密和认证。◎实用的网络管理S6503系列以太网交换机提供中/英文双语界面，支持多种配置方式、命令行配置、HGMP配置及网管配置。在命令行配置方式下，用户可以通过Console口对交换机进行本地配置或通过Telnet登录对交换机进行本地或远程配置。S6500系列以太网交换机对TelnetServer和TelnetClient服务都提供支持。HGMP配置方式是指利用华为公司开发的二层私有协议HGMP（HuaweiGroupManagementProtocol，华为组管理协议）实现管理设备（如：MA5200157 以太网接入管理系统）对S6500系列以太网交换机的集中管理，完成交换机配置和配置响应消息的传递。S6503系列以太网交换机支持符合SNMPV3协议标准的iManagerQuidview网管系统平台，可通过统一的平台实现对交换机充分有效的管理，该网管系统采用多语言图形界面，操作直观方便。该系统同时还可以提供拓扑管理、配置管理、故障管理、安全管理、性能管理等功能。此外，S6500系列以太网交换机也支持RMON、SMON。 S6503以太网交换机系统特性：项目描述外形尺寸（宽×高×深）19英寸机柜式结构，482.6×352.8×450（mm）重量（满插板）≤60kg必配单板类型交换路由处理板可选业务单板槽位数量4Salience™系列路由交换引擎iSalience™ISalience™I可选业务单板类型4端口千兆以太网GBIC业务扣板4端口10/100/1000BaseT千兆以太网业务扣板8端口千兆以太网电口业务板8端口千兆以太网GBIC光口业务板48端口百兆以太网电口业务板24端口百兆以太网光口（多模）业务板24端口百兆以太网光口（单模）业务板千兆多模GBIC光接口模块(850nm,550m,SC)千兆单模GBIC光接口模块(1310nm,10km,SC)千兆单模GBIC光接口模块(1310nm,30km,SC)千兆单模GBIC光接口模块(1550nm,40km,SC)千兆单模GBIC光接口模块(1550nm,70km,SC)千兆单模GBIC光接口模块(1550nm,100km,SC)接口线缆介质类型及最大传输距离100BASE-TX2对5类非屏蔽双绞线（支持100m）或2对屏蔽双绞线（支持100m）100BASE-FX-MM-SR多模光纤（短距，支持2km）100BASE-FX-SM-IR单模光纤（中距，支持15km）10/100/1000BASE-T157 4对5类非屏蔽双绞线（支持100m）1000BASE-SX-MM-SR多模光纤（短距，支持550m）1000BASE-LX-SM-IR单模光纤（中距，支持10km）1000BASE-LX-SM-LR单模光纤（长距，支持30km，40Km）1000BASE-LX-SM-VLR单模光纤（超长距，支持70km,100km）风扇框数量1输入电压AC：100V~240V，47~63HzDC：-60V~-48V系统最大功耗（满插板）260/550W工作环境温度0℃~40℃工作环境相对湿度5%~85%MTBF100000hMTTR≤3h S6500系列以太网交换机业务特性：业务描述系统容量备板容量60Gbit/s交换容量64Gbit/s包转发率24/48Mpps所有业务板端口均支持线速转发（转发时延<10μs）端口自协商端口支持速率和双工工作方式的自协商交换模式存储转发（StoreandForward）模式MAC地址表地址自学习符合IEEE802.1D标准；支持端口锁定地址表规格最多支持32K个MAC（MediaAccessControl，媒体访问控制）地址STP/RSTP支持生成树/快速生成树协议，符合IEEE802.1D/802.1w标准流控支持符合IEEE802.3x标准的流控方式（全双工流控）支持Back-pressureBasedFlowControl（半双工背压式流控）链路汇聚可以支持最多包含16个FE（FastEthernet，快速以太网）端口的线速汇聚组可以支持最多两组、每组最多含8个GE（GigabitEthernet157 ，千兆以太网）端口的线速汇聚支持交换机到交换机、交换机到服务器的端口汇聚VLAN最多支持4K个符合IEEE802.1Q标准的VLAN支持基于端口的VLAN支持GARP（GenericAttributeRegistrationProtocol，通用属性注册协议）及GVRP（GARPVLANRegistrationProtocol，GARPVLAN注册协议）支持VTP（VLANTrunkProtocol，VLAN捆绑协议）支持基于端口的VLANTrunk支持VLAN间路由广播风暴抑制支持VLAN上的广播风暴抑制网络协议支持TCP/IP协议栈ARP（AddressResolutionProtocol，地址解析协议）DHCP（DynamicHostConfigurationProtocolRelay，动态主机配置协议）RelayIP地址表最多支持32K个IP地址转发表项IP路由静态路由RIP（RoutingInformationProtocol，路由信息协议）V1/V2OSPF（OpenShortestPathFirst，开放式最短路径优先）V2IntegratedIS-IS（IntermediateSystemtoIntermediateSystemintra-domainroutinginformationexchangeprotocol，中间系统-中间系统域内路由信息交换协议）BGP（BorderGatewayProtocol，边界网关协议）V4组播GMRP（GARPMulticastRegistrationProtcol，GARP多播注册协议）IGMP（InternetGroupManagementProtocol，因特网组管理协议）IGMPSnoopingPIM-DM（ProtocolIndependentMulticast-DenseMode，密集模式的与协议无关组播路由协议）PIM-SM（ProtocolIndependentMulticast-SparseMode，稀疏模式的与协议无关组播路由协议）AAA与安全支持符合IEEE802.1x标准的接入用户认证支持本地认证和RADIUS认证用户分级管理和口令保护支持ACL（AccessControlList，访问控制列表），支持二、三、四层信息过滤（基于端口、源/目的MAC157 地址的帧过滤，基于源/目的IP地址和上层协议类型的报文过滤等等）支持对OSPF、RIPV2及BGPV4报文的明文认证和MD5密文认证支持SNMPV3的加密认证可靠性支持VRRP（VirtualRouterRedundancyProtocol，虚拟路由器冗余协议）QoS支持带宽管理（基于端口、MAC地址、IP地址、TCP/UDP端口号、ToS/Diffserv值和CAR），流控的粒度为64kbit/s支持优先级（基于VLAN端口、IEEE801.1P、ToS/Diffserv、根据流分类设置优先级的CoS）每端口8个发送队列支持FIFO（FirstInFirstOut，先入先出）、PQ（PriorityQueuing，优先级队列）等队列调度算法支持流分类系统软件的加载与升级支持通过XModem协议实现加载升级支持通过FTP（FileTransferProtocol，文件传输协议）、TFTP（TrivialFileTransferProtocol，简单文件传输协议）实现加载升级系统配置/系统管理提供中/英文双语界面支持CLI（CommandLineInterface，命令行接口）的配置方式支持通过Console（控制台）端口进行配置支持通过Telnet进行本地/远程配置支持通过Modem拨号进行远程配置支持基于SNMP（SimpleNetworkManagementProtocol，简单网络管理协议）V3的华为iManagerQuidView网管系统支持RMON（RemoteMonitoring，远端监视）的1/2/3/9组MIB支持SMON（SwitchMonitoring，交换机监视）支持Web管理支持HGMP（HuaweiGroupManagementProtocol，华为组管理协议）V2支持系统日志支持分级告警系统维护支持告警/调试信息的过滤、输出、统计支持Ping、Trace等维护诊断工具支持通过Modem拨号、Telnet登录等方式进行远程维护157'

大型网络应用技术方案 157页

大型网络应用技术方案

您可能关注的文档

相关文档

最近下载