还剩63页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
网络信息系统技术方案建议书(硬件集成部分)www.sysvs.com/bbsit售前论坛2011年11月IT售前论坛TOC\o1-4\h\z第一章总则
41.1关于本方案建议书
41.2A集团综合信息系统现状
41.3A集团综合信息系统建设目标4第二章建设原则
52.1先进性
52.2标准性
52.3兼容性
62.4可升级和可扩展性
62.5安全性
62.6可靠性
62.7易操作性6第三章网络系统方案
73.1广域网设计
73.
1.1需求分析
73.
1.2广域网规划
83.
1.3网络互连设计
93.
1.
2.1带宽分配
93.
1.
2.2QOS设计
103.
1.
2.3网络设备选型
123.
1.
2.4网络部署
123.
1.
2.5VPN设计
143.
1.
2.6网络管理15第四章网络安全方案
164.1安全设计
164.
1.1防火墙技术
174.
2.
1.1防火墙选型
174.
2.
1.2技术细节
174.
2.
1.3防火墙部署
244.
2.2入侵检测
244.
2.
2.1入侵检测技术
254.
2.3防病毒设计
274.
2.
4.1产品选型
304.
2.
4.2防病毒部署32第五章主机方案
365.1主机选型原则
365.2小型机选型与设计
375.
2.1IBMP650介绍
375.3双机热备
435.
3.1系统故障分析
445.
3.2HACMP功能及双机原理
445.4PC服务器选型47第六章工程管理与实施
476.1工程督导
476.
1.1工作目标
476.
1.2内容
486.
1.
2.1详细工程计划
486.
1.
2.2基于工程计划协调工程进展
486.
1.
2.3工程管理
486.
1.
2.4人力资源和设备资源的统一管理
486.
1.
2.5统一协调
496.
1.3工程管理计划
496.
1.4工程协调会
496.2工程实施进度一览表
506.3每一个具体工程阶段的详细描述
516.
3.1开箱验收
516.
3.2安装环境验收
516.
3.3设备的现场安装
516.
3.
3.1硬件安装
516.
3.
3.2软件安装
526.
3.
3.3参数配置
526.
3.
3.4现场故障维修
526.
3.
3.5网络升级的技术支持
526.
3.4单节点测试与验收
526.
3.5系统初验和系统试运行
536.
3.6系统终验
536.
3.7在合同设备保修期内的技术支持
546.
3.
7.1技术支持概念
546.
3.
7.2技术人员的培养
546.
3.
7.3技术支持的构架
546.
3.
7.4灵活有效的技术支持通信环境
556.
3.
7.5有效的技术支持措施55第七章网络培训计划
567.1培训规划
577.2培训目的
577.3培训方式
577.4培训对象
587.5培训教师
587.6培训课程
587.
6.1课程列表58第八章维护和支持
618.1服务的级别
618.2硬件支持服务62第九章结束语63第一章总则
1.1关于本方案建议书然而“功欲善其事,必先利其器”,A集团深刻认识到业务要发展、必须提高企业内部核心竞争力、而建立一个方便快捷安全的通信网络综合信息支撑系统,已迫在眉睫,A公司作为一个致力于企业信息化和系统集成的高科技公司非常荣幸参与A集团综合网络信息系统的建设,希望能尽自己的全力来施展我们的专长来实现A集团网络信息系统的建设
1.2A集团综合信息系统现状目前,A集团尚未在全公司建立统一的企业信息管理系统,主要是在总公司及七大区域性公司之间通过远程异步数据传动方式(Modem对拔)进行数据采集和邮件传递,共有二十余个基于LotusDomino/Notes
4.6开发的数据模块在应用A集团拟建的企业信息系统将是覆盖整个A集团的专业化网络信息管理系统该系统将建立一个统一的企业办公、协同运作及管理支撑综合平台,提高办公效率、提高信息综合利用和提高企业管理水平,从而提高企业经济效益A集团信息系统的建设最终将达到以下目标1以先进成熟的计算机技术和建筑技术为主要手段,把A集团信息系统建成一个覆盖全集团的包括综合办公和各专业管理系统在内的支撑建筑行业的辅助管理系统,建立一个统一的企业办公及运作支撑综合平台,以提高办公效率和企业管理水平,提高信息分析处理能力,从而提高企业经济效益2为A集团员工、客户、合作伙伴提供各种方便快捷的交流形式,提高服务质量,增强A集团竞争力3加强知识管理,建立企业自身的知识库
1.3A集团综合信息系统建设目标A集团信息系统主要提供电子邮件服务、日常办公管理、财务管理、行业业务流程处理和知识管理功能根据A集团目前发展状况,预计到2005年底共有上网员工约为1000名,2008年底约为2000名A集团综合信息系统建设,本着“实用、先进、升级简便、扩充性好、开放性好”的五项基本原则进行根据公司的实际情况和具体的应用需求及行业的特点,采用分期分阶段的实施在项目实施过程中,以少花钱多办事为原则,每期的投资都应有继承性本期项目的目标是建立如下系统
(1)建立连通A集团内部各组织机构的网络平台;
(2)建立一个安全、稳定、高效的网络运行空间;
(3)建立通用办公系统及邮件系统;
(4)建立财务管理系统;
(5)内部网站、网络视频会议、BBS交流协作环境的建设;
(6)建立适合建筑行业的综合业务管理系统;
(7)加强知识管理,建立企业自身的知识库;本系统的建设能满足未来5年内的业务需求的升级,第二章建设原则多业务网络系统方案以实现以上功能为基本要求,在设计上力求做到既要采用国际上先进的技术,又要保证系统的安全可靠性和实用性具体来讲,其设计遵循以下原则
2.1先进性系统的主机系统、网络平台、数据库系统、应用软件均应使用目前国际上较先进、较成熟的技术,符合国际标准和规范;
2.2标准性所采用技术的标准化,可以保证网络发展的一致性,增强网络的兼容性,以达到网络的互连与开放为确保将来不同厂家设备、不同应用、不同协议连接,整个网络从设计、技术和设备的选择,必须支持国际标准的网络接口和协议,以提供高度的开放性 全面支持IEEE工业标准
802.1d,
802.1p,
802.1q,
802.1x,
802.3,
802.3u,
802.3z;支持路由协议IP的RIPV1/2,OSPF,BGP-4;信令标准H.323RTP/CRTP.支持IPsec、L2TP、GRE、MPLS-VPN规范 支持多址广播协议IGMP,DVMRP,PIM-DM,PIM-SM; 网络管理协议SNMP,RMON,RMON2;
2.3兼容性跟踪世界科技发展动态,网络规划与现有光纤传输网及将要改造的分配网有良好的兼容,在采用先进技术的前提下,最大可能地保护已有投资,并能在已有的网络上扩展多种业务
2.4可升级和可扩展性随着技术不断发展,新的标准和功能不断增加,网络设备必须可以通过网络进行升级,以提供更先进、更多的功能在网络建成后,随着应用和用户的增加,核心骨干网络设备的交换能力和容量必须能作出线性的增长设备应能提供高端口密度、模块化的设计以及多种类接口、技术的选择,以方便未来更灵活的扩展
2.5安全性由于系统和其它系统连接,因此,考虑系统的安全性是一个非常重要的方面应采用设有安全控制的网关设备相连,使用VPN技术和防火墙等
2.6可靠性本系统是7x24小时连续运行系统,从硬件和软件两方面来保证系统的高可靠性硬件可靠性系统的主要部件采用冗余结构,如传输方式的备份,提供备份组网结构;主要的计算机设备(如数据库服务器),采用CLUSTER技术支持双机或多机高可用结构;配备不间断电源等软件可靠性充分考虑异常情况的处理,具有强的容错能力、错误恢复能力、错误记录及预警能力并给用户以提示;并具有进程监控管理功能,保证各进程的可靠运行数据库系统应网络结构稳定性当增加/扩充应用子系统时,不影响网络的整体结构以及整体性能,对关键的网络连接采用主备方式,已保证数据的传输的可靠性本系统应具有较强的容灾容错能力,具有完善的系统恢复和安全机制;
2.7易操作性提供中文方式的图形用户界面,简单易学,方便实用优良的性能价格比系统应着重考虑和满足以上的设计要求第三章网络系统方案该系统包括36个网络节点互连方案、线路备份、内部局域网的建设
3.1广域网设计目前A集团在全国有36处公司极其分支机构,可以分为3类1公司总部(数量1)、2区域性公司及本部(数量7)、3分公司及事业部(数量28)
3.
1.1需求分析如下表在全国A集团有36个节点,其分布如下公司名称所属类别所在地用户数备注集团总部总公司杭州100总部A一建区域性公司东阳50区域性公司A二建区域性公司杭州100区域性公司A三建区域性公司上海100区域性公司A四建区域性公司北京50区域性公司A五建区域性公司西安100区域性公司A六建区域性公司武汉50区域性公司A七建区域性公司广州50区域性公司集团本部总公司东阳50同A一建共金华分公司分公司金华隶属A一建义东分公司分公司义乌隶属A一建温州分公司分公司温州隶属A一建衢州分公司分公司衢州隶属A一建宁波分公司分公司宁波隶属A二建嘉兴分公司分公司嘉兴隶属A二建南京分公司分公司南京隶属A三建合肥分公司分公司合肥隶属A三建天津分公司分公司天津隶属A四建内蒙分公司分公司呼和浩特隶属A四建青海分公司分公司西宁隶属A五建甘肃分公司分公司酒泉隶属A五建湖南分公司分公司长沙隶属A六建江西分公司分公司南昌隶属A六建A高级中学子公司东阳子公司杭州天翔房产公司子公司杭州子公司A房产开发公司子公司东阳子公司西安亚东房产公司子公司西安子公司湖南天翔房产公司子公司长沙子公司上海亚东房产公司子公司上海子公司华天装饰有限公司子公司杭州子公司安装工程有限公司子公司杭州子公司海外工程事业部事业部北京隶属总公司装饰事业部事业部杭州隶属总公司房地产投资事业部事业部上海隶属总公司交通工程事业部事业部杭州隶属总公司项目部项目部分布各地在建项目约500个
3.
1.2广域网规划根据前面的需求分析考虑到网络的收敛性经济与安全等因素我们建议采用星型结构的拓扑这样可以充分利用带宽资源整个网络采用3级结构一级节点为集团总部共1个,二级节点为区域性公司及本部共7个,三级节点为其他分公司及事业部共28个,广域网规划如下在相应的一级节点和二级节点相应的局域网内部署入侵检测和防火墙,来保证系统的安全
3.
1.3网络互连设计根据网络互连的需求分析,以及广域网规划,我们建议从以下几个方面来考虑网络的设计带宽分配、QOS设计、路由设计、IP地址分配、网络部署等
3.
1.
2.1带宽分配为了支持A集团多业务系统的可持续发展,考虑的经济组网的原则,我们来分析该集团目前和将来的业务属性、和业务逻辑等因素对网络链路的需求,同时也是设备选型的一个依据A集团目前有或将要有的业务有全公司的上网需求、财务系统、视频会议、公司的办公自动化系统、建筑行业的综合业务管理系统、邮件系统、知识库系统的建设等的建设以上数据涉及到保密、实时流媒体等数据传输要求,我们从链路选型、带宽计算两方面来确定所需的带宽链路选型目前比较常使用的数据链路业务可以是DDN、FR、ISDN DDN专线接入向用户提供的是永久性的数字连接,沿途不进行复杂的软件处理,因此延时较短,避免了传统的分组网中传输协议复杂、传输时延长且不固定的缺点;DDN专线接入采用交叉连接装置,可根据用户需要,在约定的时间内接通所需带宽的线路,信道容量的分配和接续均在计算机控制下进行,具有极大的灵活性和可靠性,使用户可以开通各种信息业务,传输任何合适的信息,因此,DDN专线接入在多种接入方式中深受用户的青睐DDN专线接入的主要优点能提供高性能的点到点通信通信保密性强,特别适合金融、保险等保密性要求高的客户需要;传输质量高,网络时延小,通信速率可根据用户需要按N*64Kbps选择;信道固定分配,充分保证了通信的可靠性,保证用户的带宽不会受其他用户的影响;用户通过这条高速的国际互联网通道,可构筑自己的Internet、E-mail等应用系统;用户网络的整体接入使局域网内的PC均可共享互联网资源;用户可免费得到多个Internet合法IP地址及域名;用户可实现每天24小时全天候的信息发布,即用户可建立自己的Web站点,向国际互联网发布自己的信息或提供信息服务;用户可通过防火墙等技术保护内部网络免受不良侵害本期A集团要实现的业务当中,有数据业务(邮件、公文流转、互联网、内部系统、数据查询)和流媒体业务(视频会议等)由于整个网络环境为TCP/IP框架下,对于数据业务这类非实时业务来讲,网络自身可以实现数据重传恢复机制,对带宽的需求不是很大,而流媒体业务这类实时业务来讲,必须具备两个因素才可以在IP环境下实现的比较好
(1)具备一定的带宽,达到理想的传输环境,理论上传输一路MPEG视频为384K,如果采用双向视频会议必须具备大于2*384=768K的带宽
(2)网络具备一定的QOS机制(关于QOS在QOS设计里详细介绍)从一级节点到二级节点带宽计算如下(按两路视频会议和2000人上网计算)二级节点平均分配的人数为2000/7=286人;根据Gartner统计数据分析,一个企业一般只有10%-20%的人并发上网或发邮件,我们按15%计算,即二级节点并发上传或下载数据的人数为286*15%=43人;一般24K/秒的速度数据能确保2秒钟正常打开网页,即二级节点需要广域网链路基本带宽为43*24K=1028K由于视频会议不是经常开,当视频会议必要是可以通过QOS优先级别抢占1028K带宽中的768K我们建议采用1024K带宽为一级节点到二级的节点带宽,可以满足到未来2008年的需求如果需要额外的视频带宽可以即使方便的向电信申请,而不必更换网络设备的模块从一级节点到互联网带宽计算如下(2000人上网计算)到2008年,上网人数将达到2000人,根据Gartner统计数据分析,一个企业一般只有10%-20%的人并发上网或发邮件,我们按15%计算,即二级节点并发上传或下载数据的人数为2000*15%=300人;一般24K/秒的速度数据能确保2秒钟正常打开网页,即二级节点需要广域网链路基本带宽为300*24K=7200K在2008年左右可以申请10M电路,而不会添加用户端设备,完全满足需求,目前我们可以考虑2M电路就可以满足了
3.
1.
2.2QOS设计由于考虑到整个综合业务网络信息系统的可靠性和可用性,那么一个质量保证的体系结构是必须具备的,这也是一个设备选型的必须考虑的地方,要实现网络的稳定质量,最先考虑的就是什么业务对整个网络系统的服务质量最关心,在这里最关键的就是视频会议和数据语音,这两种业务才是最关心服务质量的,视频会议系统一般全面支持H.323和T.120标准来完成视频、音频、数据的集中和转发同样,在我们国家,像联通等语音电话采用的是H.323协议,当然也有像北电的基于软交换功能的语音系统,但是都是要求对时间比较敏感的协议,如UDP,RTP,CRTP等,所以QOS是一定要保证的,除了数字线路的服务质量以外,就是要考虑接入服务器的QOS功能了1.先进先出(FIFO)先进先出提供了基本的存贮转发功能,也是目前Internet使用最广泛的一种方式,它在网络拥塞时存贮分组,在拥塞解除时按分组到达顺序转发分组是默认的排队方法,因此不需要配置缺点是不提供QoS功能,对突发数据流在传输时间要求严格时,应用程序会引起过多的延迟,并对突发性的存在包丢失的连接公平性较差,对上层的TCP快速恢复的效率也较低2.优先级排队算法(priorityQueuing,PQ)优先级排队算法是禁止其它流量的前提下,授权一种类型的流量通过,使用优先级排队给路由接口上传输的数据分配优先级,当有空闲路由时,路由就来回扫描所有队列,将高优先队列数据发出,只有当高优先级队列空了以后,才能为低优先级服务,如果优先级队列满,则扔掉数据包,路由器不处理,优先级排队适用于网络链路不断阻塞的情况 PQ的带宽分配独立于数据包大小因此它在没有牺牲统计利用的情况下提供另外的公平性,与端到端的拥塞控制机制可以较好的协同,它的缺点在于实现起来很复杂,需要每个数据流的排队处理,每个流状态统计,数据包的分类以及包调度的额外开销等3.定制排队定制排队是为允许具有不同最低带宽和延迟要求的应用程序共享网络而设计的定制排队为不同的协议分配不同的队列空间,并以循环方式处理队列为特定的协议分配较大的队列空间可以提高其优先级定制排队比优先级更为“公平”在可能发生拥塞的地方使用定制排队可以提供保证的带宽定制排队可以保证为每一个特定的通信类型得到固定部分的可用带宽,同时在链路紧张的情况下,避免数据包企图占用超出预分配量限制的可能4.加权公平排队(Weightfairqueuing,WFQ) 加权公平排队用于减少延迟变化,为数据流提供可预测的吞吐量和响应时间目标是为轻载网络用户和重载网络用户提供公平一致的服务保证低权值的响应时间与高权值的响应时间一致 加权公平排队是一种基于数据流的排队算法,它能识别交互式应用的数据流,并将应用的数据流调度到队列前部,以减少响应时间WFQ与定制排队和优先排队不同能自动适应不断变化的网络通信环境,几乎不需要配置5.随机先期检测(randomearlydetection,RED) 前面介绍的排队机制是基本的拥塞控制策略尽管这些技术对控制拥塞是必须的但它们对避免拥塞现象的发生都显得无能为力 随机先期检测监视网上各点的通信负载,如果拥塞增多,就随机丢弃一些分组,当源分布点检测到通信丢失,降低传输速率RED可以在各连接之间获得较好的公平性,对突出业务适应性较强6.加权随机先期检测(weightedrandomearlydetection,WRED) 加权随机先期检测是将RED与优先级排队结合起来,这种结合为高优先级分组提供了优先通信处理能力,当某个接口开始出现拥塞时,它有选择地丢弃较低优先级的通信,而不是简单地随机丢弃分组 总之,在传统TCP拥塞控制中,结合IP层拥塞控制算法,将是完善Internet拥塞控制最有效的途径
3.
1.
2.3网络设备选型设备的选型对整个网络系统的质量十分重要,A公司做为一个成熟的系统集成商,有一套科学而有效的质量管理体系,首先,要考虑用户的需求、售后服务、关键应用、特殊应用、质量保证、网络属性、目前系统系统结构等几个方面来考虑现在国内的著名网络设备的供应商主要有三家Cisco3COM和华为其中3COM的路由器设备在中国使用不是十分广泛,同时网络产品以交换机为主要产品,在其他网络产品方面力量相对其他两家厂商稍弱华为作为中国重要的网络产品供应商,产品线齐全,种类多档次较齐全在,中国市场有一定的占有率,价格比较便宜,主要是通常的网络应用环境,在VPN、VOIP和其他复杂应用中比较少Cisco做为全球最大的网络设备供应商,在路由器和交换机领域的成果有目共睹,它的产品应用在世界各个角落,在中国也广为使用Cisco产品线齐全,从小型的SOHO用路由器和交换机到大型骨干路由器、交换机一应俱全同时产品端口密度高,同一产品具有多种不同配置方案有利于产品的多功能化如VOIP、VPN等它拥有许多独创的技术如ISL、NetFlow、FastEtherChannel等,对系统今后的演进和发展有很大好处,而在IP广域互连上,CISCO具有最大的优势,同时由于Cisco完整的产品线为用户提供了丰富的选择余地,Cisco网络设备的优秀兼容性也为和其他公司产品互连提供了可靠的保证在售后方面,CISCO也做的很好,在A集团综合网络信息系统中原有设备大部分为CISCO产品,考虑到网络的平滑性,和维护方便等各个原因,特别是特殊应用QOS的保证方面,VPN特性方面、安全方面等,比其他两个厂家都要成熟和更多的案例,针对本次项目我们推荐CISCO高可用的产品在实现系统的网络支撑平台
3.
1.
2.4网络部署杭州A集团总部一级节点作为核心节点具备如下功能:汇接二级7个节点的数据终结VPN隧道我们建议采用CISCO最新高性能路由器CISCO374-VPN/K9作为核心路由器模块化Cisco3700系列应用服务路由器充分利用了Cisco
1700、2600和3600系列路由器针对WAN访问、语音网关和拨号应用等而配备的可选的网络模块NM、WAN接口卡WIG和高级集成模块AIM此外,Cisco3725和Cisco3745这两个Cisco3700平台引进一种新的、可提供更广泛接口的高密度服务模块HDSM配备四个NM插槽的Cisco3745路由器取消了在每一对相邻NM插槽之间的中心导轨,因此可以采用两个HDSM,而不是四个NM配备两个NM插槽的Cisco3725路由器可在它所配备的两个NM插槽之一中采用一个HDSM,并仍可在剩余的NM插槽内采用一个NM采用新的HDSM之后,Cisco3700系列路由器就能够集成更高端口密度和新的高性能服务了支持VPN提供7个广域网接口和一个Internet广域网口通过高级集成模块AIM-VPN-HP来实现VPN加密隧道的发起与终结CISCO3745本身集成了3个WIC卡,我们可以通过提供2个NM-2W模块,配置2个WIC-2T,和1个WIC-1T,共8个,其中7个接入二级节点,另外一个可以作为Internet接驳,Internet接驳速率暂时定为2M,将来可以通过升级到10M如图所示在本次项目中,CISCO3745-VPN/K9最大可以同时支持2000个Tunnels,即便是2008年全体上网人数同时与总部通信,都没有任何问题;局域网采用天融信防火墙NGFW4000-S来实现阻隔某些端口的入侵和非法探测,提供详细的日志与审计功能,该防火墙也可以跟入侵检测系统天阗500联动,动态检测黑客的入侵并禁用相应端口,在防火墙的DMZ部署WEB服务器供外部访问,详细描述见网络安全设计对于三级节点的VPN接入就可以支持多种方式了,最经济的方式就是采用SITETOClient方式,由CISCO自带的VPNClient(支持多种操作系统)通过拨号或通过专线、ISDN、FR等方式访问VPN,由对端的VPN网关提供认证,具体方式见下面章节VPN设计整体拓扑如下所示
3.
1.
2.5VPN设计VPN(虚拟专网)是利用公共网络资源如公用电信网为客户组建专用网的一种技术,它通过对网络数据进行封包和加密传输,在公网上传输私有数据,达到私有网络的安全级别,从而利用公网构筑专网(即VPN)它是一种逻辑上的专用网络,向用户提供专用网络所具有的功能,但本身却不是一个独立的物理网络本次项目中根据前面规划在一级节点与二级节点之间部署端到到端VPN SiteTOSite,结构为星型结构HUB-SPOKE在二级节点与三级节点部署端到点方式VPN SiteTOClint在本次项目应用中考虑到传输的有视频、语音、数据3类信息,各类信息对网络环境都有一定的要求,特别是VPN环境下的实现更是比较复杂,我们采用CISCO
3745、2621XMVPN多应用服务器可以支持V3PN,即能在IPsec隧道上实现视频、语音、数据3类信息的封装,而保证IP中的QOS特性不改变,从而保证数据的IP连贯应用这个过程多用户来讲是透明的在CISCO
3745、2621XM中,提供
12.213T或以上版本的IOS,支持IPSec提供DES和3DES的AdvancedEncryptionStandardAES,新型的AES支持128-bitkeydefault和192-bitkey或256-bitkey.提供更加复杂更加安全的应用如图所示通过以上设计可以保证原来的QOS机制在网络中一直启用,保证网络的平滑考虑到网络规模的变大,如将来可能需要建立新的办事处或地域性分公司,这样添加的路由器可能会对基于传统IPsec方式的VPN造成一定的影响,我们可以采用IPsec+GRE(通用路由封装)技术来实现基于IP路由收敛的VPN技术,这样,路由的更新可以完全透过2层VPN来实现,这对用户来讲是完全透明的,一旦A集团的规模发生巨大的变化,网络拓扑方式要变化如构成MESH方式或节点数大大增加,我们可以完全在不更改设备的情况下建立基于MPLSVPN,CISCO3745完全可以设置PE路由器,而CISCO2621可以相应地设置为CE路由器,这样整个核心VPN网络就从2层VPN直接升级到3层IPVPN构架来了在二级节点与三级节点采用端到点方式VPN SiteTOClient对于3级节点加入到集团VPN当中来,就非常方便了,我们购买的CISCO3745和CISCO2621VPN路由器,随机附带了一份CD,包含了Client端IPsec程序,该程序非常简单大部分的设置都是预定义的,VPN访问策略和配置可以直接从相应所属的二级或一级VPNGateway(这里是3745或2621路由器)直接下载,目前VPNClient可以支持如下系统Windows95OSR2+98MENT
4.02000XPLinuxIntelSolarisUltraSparc-3264bitandMACOSX
10.
110.2Jaguar
3.
1.
2.6网络管理在本方案中采用了CISCO的解决方案,对于网络的管理,我们建议采用CISCOWORKS2000CiscoWorks2000服务管理解决方案建构在第3层结构基础之上,包括可远程安装的数据收集应用、CiscoIOS的内嵌式技术以及一整套融合了业界最先进的评估服务和定额引擎的应用软件该解决方案的构件包括管理引擎1110(ME1110)——可在网络中远程安装,是具有极高扩展性和灵活性的数据收集解决方案ME1110是专为收集Cisco设备的度量数据而设计,并允许在数据收集需求增长的情况下暂停管理服务器来安装新的ME1110设备服务保障代理——一种用来确定度量数据服务级别的技术,以验证度量数据是否符合服务级别的要求鉴于服务保障代理技术已内嵌于CiscoIOS软件中,因此它是随时可用的,并且对网络基础设施的费用几乎不会构成任何影响服务级别管理器——建构于开放的XML应用程序接口基础上,可提供给合作伙伴以用于第三方的应用集成----CiscoWorks2000服务管理解决方案使网络经理能够验证他们为广域连接和网络服务提供的服务级别它将基于标准的开放式管理应用程序接口、Cisco内嵌式IOS代理、可扩展服务级别的管理应用与第三方产品相结合,从而具有了端到端服务级检查和全面管理能力因此,客户现在可以完全放心地使用这些新的应用,比如VoIP、IP电话、虚拟专网和电子商务解决方案等,可轻松地获得不同的服务和更好的终端用户满意度,执行同时监视多个服务级协议,调试并改进网络以及定制故障报告与此同时,第三方应用开发人员和系统集成人员能够连续地获得有关网络层的数据,并对定义和收集到的服务级度量信息进行标准化第四章网络安全方案
4.1安全设计网络面临的安全威胁大体可分为两种一是对网络数据的威胁;二是对网络设备的威胁这些威胁可能来源于各种因素可能是源于网络外部的,也可能是内部人员造成的;总结起来,最主要威胁是来自外部和内部人员的恶意攻击和入侵,这是企业信息化等顺利发展的最大障碍基于VPN的网络基本上安全了,但是考虑到Internet的应用,内部人员的网络入侵、资料盗取、恶意破坏,病毒入侵等因素,综合的安全设计还是必要的,我们建议针对这些因素提出如下安全防护措施
1、防火墙技术
2、IDS入侵检测系统
3、防病毒系统
4、备份(关于备份的配置,我们在主机设计里描述)
4.
1.1防火墙技术防火墙是一种成熟的技术目前防火墙的功能也越来越强大技术越来越统一考虑到企业信息系统的安全级别在选型上注重国产的具备一定的应用案例选型原则如下:
4.
2.
1.1防火墙选型由于网络信息化系统网络安全的重要性,并结合网络信息化系统信息安全工作的实际条件及情况,我们确定如下选型原则防火墙必须具有自我系统保护能力防火墙必须具有强大NAT转换功能防火墙支持各类加密算法和VPN功能防火墙的端口是可扩展的防火墙产品应提供避免或禁止内外网络用户进入系统的手段,即使对安全管理员而言,也应遵循对系统操作的最小授权原则防火墙产品硬件/软件必须具备经国家授权部门测试认证的安全等级防火墙产品遇故障工作失效,系统应自动转为缺省禁止状态防火墙产品必须至少具有履行所需安全服务的最小能力防火墙产品所采用的技术,不单纯追求先进、完善,而必须保证实用和成熟性,相关技术标准应采用、引用和接近国家标准防火墙产品的接入不影响原网络拓扑结构,防火墙产品的运行最小影响原网络系统的运行效率防火墙产品如果涉及密码技术的使用,必须获得国家密码管理委员会办公室的立项和鉴定批准;防火墙产品如涉及密码算法必须按国家密码委员会办公室的规定进行申请和使用防火墙产品须经过国家信息安全产品认证机构的认证通过以上分析,我们建议采用国内著名防火墙厂商天融信防火墙的产品NGFW4000,其强大的性能处理和全面的控制规则得到诸多企业和企业的青睐
4.
2.
1.2技术细节采用独创的最新最先进的技术--核检测技术,即基于OS内核的会话检测技术,在OS内核实现对应用层访问控制它相对于包过滤和应用代理防火墙来讲,不但更加成功地实现了对应用层的细粒度控制,同时,更有效保证了防火墙的性能采用独创的先进的设计思想--面向资源的进行设计,对不同对象的具体的组成资源,如文件、防火区域、节点对象、协议类型、应用行为、应用类型、管理端口协议等,直接进行控制,极大的提高了安全性,并保证了配置的方便性先进独特的防火墙策略体系--面向资源的防火墙策略体系建立独立的防火区域,通过中央管理接口、管理端口协议、不同节点对象(网络邻居、自定义网路、防火墙所在子网等)、协议类型、应用行为等不同资源配置策略,使防火墙的策略配置更加简单,且便于维护分层式管理结构防火墙的管理采用集中的层次管理结构,实现“防火墙—防火区--对象—资源”的安全策略定义结构配置简单、配置安全性高;管理简单、维护方便;更好的保证了性能支持TOPSEC技术体系的核心技术支持TOPSEC技术体系的核心技术,可以实现防火墙、IDS、病毒防护系统、信息审计系统等的互通与联动,并支持TopsecManager综合管理系统和SAS安全审计系统适用更广泛的网络及应用环境支持众多网络通信协议和应用协议,如DHCP、VLAN、ADSL、IPX、RIP、ISL、
802.1Q、Spanningtree、DECnet、NETBEUI、IPSEC、PPTP、AppleTalk、H.
323、BOOTP、pppoe协议等,使4000防火墙适用网络的范围更加广泛,保证用户的网络应用方便用户扩展IP宽带接入及IP电话、视频会议、VOD点播等多媒体应用支持多种工作模式可以支持透明、路由和混合工作模式其中,独创的混合模式源于天融信网络接口物理实现技术和天融信专用安全协议实现,并在NGFW4000中进行了重新设计和实现,进一步得到了优化,方便适用于复杂网络结构和应用的接入支持远程集中管理可通过安全的认证及管理信息的加密传输实现全局防火墙设备的集中管理实现统一的安全政策布署,保证整个系统的安全策略的一致性,提高整个系统的安全强度NGFW4000的主要配置和管理都是基于GUI(GraphicUserInterface)方式的,管理主机只需安装专门的管理软件,就可以在不同操作系统平台、不同地域对防火墙进行配置和管理支持负载均衡和双机备份支持两台防火墙之间的双机备份和负载均衡;支持多台服务器之间的负载均衡不但更好的适用不同的网络环境,且更好的提供高性能和保证可靠性支持服务器的负载均衡NGFW4000防火墙可以支持一个服务器阵列,这个阵列经过防火墙对外表现为单台的机器,防火墙将外部来的访问在这些服务器之间进行均衡,同时可以识别出故障的服务器图表1防火墙的负载均衡技术防火墙自身的负载均衡NGFW4000支持负载均衡功能,可以在高带宽的网络环境中有效的提高性能,同时负载均衡还实现了接口之间的备份,当A机器的某个接口故障时,B机器的相应接口可以接管它的工作,同时A机器的其他接口仍然正常地工作双机备份为了保证网络的高可用性与高可靠性,NGFW4000提供了双机备份功能,即在同一个网络节点使用两个配置相同的防火墙正常情况下一个处于工作状态,为主防火墙,另一个处于备份状态,为从防火墙当主防火墙发生意外down机、网络故障、硬件故障等情况时,主从防火墙自动切换工作状态,从防火墙代替主防火墙正常工作,从而保证了网络的正常使用切换过程不需要人为操作和其他系统的参与,切换时间可以以秒计算同时NGFW4000还实现了状态传送协议STP,当一台防火墙故障时,这台防火墙上的连接不需要重新建立就可以透明地迁移到另一台防火墙上,用户不会觉察到图表2防火墙双机备份多层次分布式带宽管理带宽管理完全虚拟了网络带宽应用的实际环境,并实现多层次的分布式管理模式,避免了单层集中管理的缺点;而且,可以实现带宽分层、带宽分级、带宽分配、带宽优化等管理,优化网络资源的应用,提高网络资源应用效率NGFW4000能够允许管理员定义任意两个网络对象之间通信时的最大带宽,而且带宽可以是分层的,例如部门带宽下面有小组带宽然后是个人带宽等,可以防止带宽被滥用,保证重要的通信的顺畅具体如下图所示图表3分布式管理支持多种身份认证支持多种身份认证支持,如OTP、RADIUS、S/KEY、SECUREID、TACACS/TACACS+、口令方式、数字证书(CA),更好更广泛的实现了用户鉴别和访问控制更强的防御功能在内核上实现对病毒防护,内容过滤(如HTTP、FTP等)和入侵检测(IDS)功能,其中的入侵检测功能,防火墙4000不但有内置的IDS功能,还可以和IDS实现联动这不但提高了安全性,而且保证了性能深层日志及灵活、强大审计分析功能提供丰富的日志信息,用户可根据特定的需要进行日志选项(不做日志、日志会话(即传统的日志)、日志命令)独创的网络实时监测信息,可详细审计命令级操作,便于入侵行为的分析和追踪大大提高防火墙的审计分析的有效性一个安全防护体系中的审计系统的作用是记录安全系统发生的事件、状态的改变历史、通过该节点的符合安全策略的访问和不符合安全策略的企图,使管理员可以随时审核系统的安全效果、追踪危险事件、调整安全策略进行信息审计的前提是必须有足够的多的日志信息NGFW4000提供了非常强大的日志功能,用户可以根据需要对不同的通讯会话记录不同的日志NGFW4000的审计日志包括如下两个部分日志会话、日志命令日志会话也就是传统的防火墙日志,负责记录通讯时间、源地址、目的地址、源端口、目的端口、字节数、是否允许通过日志会话信息用来进行流量分析已经足够,但是用来进行安全性分析还远远不够;应用层日志命令在日志会话的基础之上记录下各个应用层命令及其参数,比如HTTP请求及其要取的网页名;访问日志则是在应用层命令日志的基础之上记录下用户对网络资源的访问,它和应用层日志命令的区别是应用层日志命令可以记录下大量的数据,有些用户可能不需要,如协商通信参数过程等例如针对FTP协议,日志会话只记录下读、写文件的动作;日志命令则是在访问日志的基础之上,记录如用户发送的邮件,用户取下的网页等天融信新一代防火墙产品可以根据用户的不同需要对不同的访问策略做不同的日志,例如有一条访问策略允许外界用户取FTP服务器上的文件,如果做命令日志,用户就可以知道到底是哪些文件被取走了
4.14管理安全、方便灵活防火墙4000经过简单的配置即可接入网络进行通信和访问控制,GUI管理界面提供了清晰的管理结构,每一个管理结构元素包含了丰富的控制元和控制模型对所有管理加密(支持SSL和SSH),并进行严格的审计,实现了真正的安全远程管理同时,可以支持SNMP与当前通用的网络管理平台兼容,如HPOpenview等,方便管理和维护优秀的性价比强大完善的功能、优秀的性能、高的稳定性和可靠性,及方便扩展VPN、IDS、认证、计费、审计等安全服务,体现了优秀的性价比,可有效地保护客户投资独立的防火区域NGFW4000防火墙的每个物理接口对应一个独立的防火区域,每个区域的安全策略只对该区域有效每个区域可以单独设置自己的默认安全策略,所有对该区域的访问都将匹配与该区域对应的安全策略也可以设定是否允许从该区域PING、TELNET防火墙面向资源的管理机制NGFW4000中采用面向各种对象的不同组成资源的管理机制对象是由许多种资源组成的实体,规则建立在这种实体的基础上资源的概念比对象控制更加细化,简化了用户规则,使规则更为直观;同时,提高了配置管理员的效率,提高了配置的灵活性NGFW4000提供了很多种资源,如,网络节点、子网、第三方用户、用户数据库、防火区域、端口协议、文件资源、VLAN、特殊端口支持透明接入NGFW4000支持透明接入将NGFW4000配置为透明工作模式,无需更改用户网络的拓扑结构就能接入用户网络中,用户网络中的主机也无需更改任何网络配置就能通过防火墙进行访问(当然是要在防火墙规则允许的情况下)透明接入极大的方便了防火墙的接入,同时并不降低网络的安全性NGFW4000还能工作在透明和路由的混合模式下,更能适应各种不同网络环境的接入多级过滤的立体访问控制为保证系统的安全性和提高防护能力,增强控制的灵活性,NGFW4000采用了多级过滤措施以基于OS内核的会话检测技术为核心,在IP层提供基于状态检测的分组过滤,可以根据网络地址、网络协议以及TCP、UDP端口进行过滤;在应用层通过重写通讯会话的部分或者全部提供对高层应用协议命令、访问路径、内容、访问的文件资源的过滤;同时还直接支持第三方认证服务器提供用户级的鉴别和过滤控制NGFW4000的多级过滤形成了立体的全面的访问控制机制强大的地址转换能力NGFW4000拥有强大的地址转换能力NGFW4000同时支持正向、反向地址转换,能为用户提供完整的地址转换解决方案正向地址转换用于使用保留IP地址的内部网用户通过防火墙访问公众网中的地址时对源地址进行转换NGFW4000支持依据源或目的地址指定转换地址的静态NAT方式和从地址缓冲池中随机选取转换地址的动态NAT方式,两种方式总共可以有多达32个的不同转换地址,可以满足绝大多数网络环境的需求对公众网来说,访问全部是来自于防火墙转换后的地址,并不认为是来自内部网的某个地址,能够有效的隐藏内部网络的拓扑结构等信息同时内部网用户共享使用这些转换地址,自身使用保留IP地址就可以正常访问公众网,有效的解决了全局IP地址不足的问题内部网用户对公众网提供访问服务(如Web、FTP服务等)的服务器如果是保留IP地址,或者想隐藏服务器的真实IP地址,都可以使用NGFW4000的反向地址转换来对目的地址进行转换公众网访问防火墙的反向转换地址,由内部网使用保留IP地址的服务器提供服务,同样既可以解决全局IP地址不足的问题,又能有效的隐藏内部服务器信息,对服务器进行保护NGFW4000提供端口映射和IP映射两种反向地址转换方式,端口映射安全性更高、更节省全局IP地址,IP映射则更为灵活方便透明应用代理NGFW4000提供对常用高层应用服务(HTTP、FTP、SMTP、POP
3、NNTP)的透明代理用户不需要在自己的主机上作任何的有关代理服务器的设置,只需管理员在防火墙上配置相关的规则,用户通过防火墙进行的上述应用访问就会由防火墙进行代理,这些配置对用户来说完全是透明的,极大的方便了用户使用代理同时NGFW4000还对上述服务做了更详细控制,如HTTP对命令(GET、POST、HEAD、DELETE、OPTION、PUT、TRACE等)和URL以及脚本类型进行过滤,FTP对命令(GET、PUT)及访问路径进行控制,SMTP、POP3对收发信人进行控制,NNTP对命令(POST、GROUP)以及新闻组进行控制,这使得用户使用代理访问Internet更为安全内嵌VPN功能支持NGFW4000内建了VPN的主要功能用户启用NGFW4000的VPN功能,就能够与VPN体系中的其它网关VPN、Windows客户端、当然也包括另外的启用了VPN功能的NGFW4000互通,建立加密隧道进行加密通信,形成虚拟专用网在异地局域网间通过互联网提供安全可靠的网络使用环境在功能上就相当于一台VPN的网关VPN与一台NGFW4000两台设备组合起来,在硬件上仅为一台设备,而且由于是内建的功能支持,功能间的结合更加平滑易用安全服务器网络(SSN)保护NGFW4000采用多穴主机体系,可以定义某个接口连接的网络为安全服务器网络(SSN——SecurityServerNetwork),将提供信息访问服务的服务器安装于该网络区域内,与内、外网络从物理上隔离开来,并提供专门的安全保护NGFW4000提出的SSN概念有别于传统的所谓DMZ停火区模式,它是一种更为积极的安全防护理念一般情况下,SSN主机不允许主动向内、外网发起连接请求,只允许向内、外网回应其请求数据包;外网用户也只能访问SSN上的主机,不能访问内部网主机即SSN与外部网之间受防火墙保护,同时SSN与内部网之间也受防火墙保护,即使SSN受破坏,内部网络仍处于防火墙保护之下同时NGFW4000提供的SSN保护功能针对用户最常提供的Web访问服务进行专门保护,能定时检查SSN区Web服务器,进行校验,一旦发现服务器被入侵修改,能够根据备份的信息及时恢复服务器内容,将服务器被入侵修改造成的影响减至最小支持SSL、SSH安全管理为了便于管理员的管理,NGFW4000除了支持本地管理以外,还提供远程登陆管理和基于Web方式的管理为了保证远程管理的安全性,NGFW4000不论是对管理员还是管理过程都采取了一系列安全措施对远程管理员提供了基于OTP机制的管理员认证、管理员主机限定和同时只能有一个管理员登陆的限制为了防止远程管理过程被监听和修改,还支持基于SSH的远程登陆管理和基于SSL的Web方式管理,将管理主机和防火墙之间的通讯进行加密以保证安全支持SNMP(简单网络管理协议)目前在计算机网络中应用最为广泛的网络管理标准是SNMP(简单网络管理协议)防火墙作为一种网络安全访问控制的基础网络设备,为它提供一种标准的网络管理方式是有必要的,NGFW4000就提供了对这个标准协议的支持为了更好地支持网络集中管理,NGFW4000提供了对SNMP的v
1、v
2、v2c、v3等不同版本的支持,并与当前通用的网络管理平台兼容,如HPOpenview、Ciscoworks等,可以通过这些管理平台对防火墙的运行状况进行监控,并接收通过SNMPTRAP发送的报警信息,帮助网络管理员找出并纠正TCP/IP互联网中的故障为了避免由于SNMP本身的安全性上的缺陷而导致防火墙本身的安全性受到威胁,系统仅允许网管系统查询信息,而不允许改变防火墙的配置简单方便的配置备份与恢复NGFW4000提供简单方便的配置文件管理,管理员可通过Web界面进行配置文件的备份、下载、删除、恢复和上载用户可以随时手工备份防火墙的配置文件,可以将备份结果下载到本地管理主机中保存,也可以将备份上载回防火墙进行恢复还原用户定制特殊功能支持NGFW4000使用模块化设计,用户可以根据需要,通过网络下载相应的模块,通过升级程序增加新的功能还可依据用户的特定安全需求定制特殊功能支持动态IP地址NGFW4000支持运行DHCP、BOOTP等协议的动态主机,让用户在管理方便的同时不损失安全性对于使用DHCP服务器来动态分配IP地址的网络环境,很难使用IP地址来进行访问控制,因为网络中的主机没有固定的静态IP地址,此时的解决方式有两种一种是让防火墙自己来充当DHCP服务器进行IP地址的分配,此时防火墙自身可以知道主机的动态IP地址,从而进行访问控制,但是在这种方式下,防火墙内部必须开启DHCP服务,这不仅会增加防火墙的额外负荷,更为严重的是防火墙自身启动过多的服务会影响自身的安全性另一种方式是防火墙自身不充当DHCP服务器,而是在客户端主机上安装一个开机自动运行的小软件,每次在主机开机后,自动将主机获取的动态IP地址传递给防火墙,这样就可以对指定的主机进行访问控制了天融信新一代防火墙产品使用的就是后一种方式来解决对DHCP环境的支持的源、目地址路由功能天融信新一代防火墙产品采用一种特殊的路由技术,一般的路由技术只根据目标地址来做出路由选择,而网络卫士防火墙4000则根据通讯的源地址和目标地址来做出路由选择这种源目地址路由技术可以很好的适应有多个网络出口的环境比如对于某些教育系统的网络可能同时有两条互联网出口,一条是通过教育网的线路连接到Internet,另外一条就是申请电信的线路直接连接到互联网如图所示对于这种环境为了更好的利用带宽,让网络中的部分终端走教育网的出口,另外一部分终端走电信线路,这样可以很好的利用现有的带宽资源,不会造成带宽的浪费,但是在这种网络环境下,如果防火墙不支持源目的地址路由技术就很难实现,因为到互联网的目标地址都是一样的,只是来源不一样
4.
2.
1.3防火墙部署采用NGFW4000防火墙支持IP分组管理功能,能够防御源路由攻击、IP碎片包攻击、DNS/RIP/ICMP攻击、SYN等多种攻击防火墙系统可以检测到对网络或内部主机的多种拒绝服务攻击,提供透明代理功能防火墙提供应用级代理,对常用高层应用(HTTP、FTP、SMTP、POP
3、NNTP)提供详细控制支持IP/MAC地址绑定,提供自动查询MAC地址功能支持IPsec隧道完全满足A集团的需求并发连接数达到40万提供3个10/100端口最大支持6口10/100M端口,同时NGFW4000支持负载均衡功能,可以进行多台防火墙部署,也可以单独部署,满足企业多样化的需求
4.
2.2入侵检测本次系统建设考虑到内外网络的安全,采用一个合理的入侵检测系统也是对整个资源的保护得到一个良好的补充网络面临的安全威胁大体可分为两种一是对网络数据的威胁;二是对网络设备的威胁这些威胁可能来源于各种各样的因素可能是有意的,也可能是无意的;可能是来源于企业外部的,也可能是内部人员造成的;可能是人为的,也可能是自然力造成的总结起来,大致有下面几种主要威胁1非人为、自然力造成的数据丢失、设备失效、线路阻断2人为但属于操作人员无意的失误造成的数据丢失3来自外部和内部人员的恶意攻击和入侵前面两种的预防与传统电信网络基本相同,最后一种是当前Internet网络所面临的最大威胁,是电子商务、企业上网工程等顺利发展的最大障碍,也是企业网络安全策略最需要解决的问题入侵检测系统IntrusionDetectionSystemIDS是一种保护自己免受黑客攻击的网络安全技术入侵检测技术可以帮助系统对付网络攻击,扩展系统管理员的安全管理能力包括安全审计、监视、进攻识别和响应,提高信息安全基础结构的完整性它从计算机网络系统中的关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象入侵检测被认为是防火墙之后的第二道安全闸门,它在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护同时,针对不同用户的不同需求,IDS不应仅提供入侵检测的基本功能,它还应该涵盖到网络内容分析、网络病毒源分析、过滤不良网页等功能,处理能力应该达到千兆网络的入侵检测IDS从根本上作为一种网络可疑行为检测的工具,其用户群是非常大的其中有电信行业的高速网络用户,也有普通大型企业用户,还有中小型企业以及学校等小规模用户这些用户群采用IDS的根本目的就是为了检测网络中的可疑行为并且进行告警、响应以及记录
4.
2.
2.1入侵检测技术入侵检测系统采用如下技术强大的网络访问控制功能入侵检测系统采用了一套规则库来定义什么用户能够访问什么网络资源,确定仅有授权的用户才能够访问网络资源大规模的入侵特征库入侵检测系统实时地在网络流量中察看是否包含入侵行为入侵升级文件能够快速及时地进行在线升级,让特征库随时保持最新最全强大的碎片重组能力和抗入侵能力能够有效发现和阻拦碎片攻击和IDS入侵攻击自身抗攻击能力入侵检测系统能够进行隐藏IP设置,保证自身不会受到黑客的攻击,保证自身的安全性强大的攻击特征自定义功能管理员能够随时利用入侵检测系统提供的正则表达式对最新出现的攻击方式进行特征定义和方法,非常方便和灵活细致入微的数据包分析功能入侵检测系统能够在二进制级别对数据包进行特征定义和匹配,分析隐藏的攻击手段管理员能够采用该措施对攻击行为进行自定义强大的网络安全设备联动能力入侵检测系统目前能够同CheckPointFirewall-1/NG、Nokia全系列防火墙、eTrust防火墙、思科路由器以及所有采用OPSEC标准的防火墙进行联动即入侵检测系统一旦发现入侵行为,便能够马上通知这些防火墙动态修改安全策略,对外来入侵在第一时间进行有效的拦截高负载网络下的高性能采用专用的数据处理机制让其即使在高流量下也能够准确发现网络入侵行为支持全交换网络环境网络利用情况纪录入侵检测系统提供了基于最终用户明、应用程序等进行跟踪和记录网络使用情况的功能这大大有利于提升网络策略的规划,并且提供了准确的网络利用情况报告入侵记录和分析为收集入侵信息并归纳入库分析提供了一套完整有效的机制集成了防病毒引擎入侵检测系统采用KILL防病毒引擎来检查网络流量中是否包含病毒特别是在目前的情况下,网络病毒已经成为一种最流量的病毒,而且最近又出现了新旧的病毒组合,如求职信病毒和CIH病毒的组合,结合了旧病毒强大的破坏性和新病毒传播快速的特点,对网络安全造成了极大的威胁网络病毒流传检测功能对网络病毒的及时检测和防护是非常有必要的强大的报表能力:预置上百种报表模版,提供类似于网络入侵数量统计、入侵类型统计、入侵源统计以及传播网络病毒的前几名以及每种行为的详细报表分析等内容采用CrystalReports专业报表格式,能够生成包括HTML、Word、Excel、LotusNotes、Txt等十余种格式的报表报表扩展能力支持Webtrends、Telemate等专业报表软件接口,并且提供丰富的API功能强大的报警功能能够通过电子邮件、寻呼、NT事件日志、消息框、SNMPTrap、打印机等等预定义的功能进行告警,用户还能够通过提供的接口方便地自定义保警方式,如通过短消息报警远程管理功能远程用户能够通过拨号方式访问、察看并且监控入侵检测系统的运行情况在紧急情况下,管理员能够在家里对入侵检测系统进行管理和入侵分析中央管理机制入侵检测系统提供了强大的中央管理和策略分发机制当一个网络分布于不同的地理位置的时候,管理员仅仅需要在每一个位置安装相应的检测引擎,就能够集中在中央管理台进行管理策略的定义、分发以及入侵库的升级等工作在本次项目中,我们建议在集团总部采用启明星辰的入侵检测系统天阗500,在地域性公司采用天阗100,这两款设备都是网络型入侵检测系统,通过旁路方式全面侦听网上信息流,动态监视网络上流过的所有数据包,通过检测和实时分析,及时甚至提前发现非法或异常行为通过采取告警、阻断和在线帮助等事件响应方式,以最快的速度阻止入侵事件的发生网络型入侵检测系统能够全天候进行日志记录和管理,进行离线分析,对特殊事件进行智能判断和回放网络型入侵检测的主要优点如下按网段检测,方便实施和部署;旁路方式监听,对入侵者和业务网络透明存在;不占用网络带宽资源和其它业务主机的系统资源;可以实现和其它安全设备之间的紧密配合在天阗控制中心可以实时与IDS通信,记录状态信息等,控制中心是个高性能的管理系统,它能控制位于本地或远程的多个网络探测引擎的活动,集中制定和配置策略,提供统一的数据管理和实时告警管理它能显示详细的入侵告警信息如入侵者的IP地址、攻击特征,对事件的响应提供在线帮助,以最快的方式阻止入侵事件的发生另外,它还能全面的接收和管理日志,以便进行事后分析并形成综合报告
4.
2.3防病毒设计随着数字技术及Internet技术的日益发展,病毒技术也在不断发展提高它们的传播途径越来越广,传播速度越来越快,造成的危害越来越大,几乎到了令人防不胜防的地步很多企业机构在建立了一个完整的网络平台之后,急需一个切实可行的防病毒解决方案,来确保整个企业的业务数据不受到病毒的破坏,日常工作不受病毒的侵扰那么,如何在做到防病毒万无一失呢?我们将从企业网络的典型结构、典型应用以及现代病毒利用网络特征的传播趋势来解决这些问题
一、企业网络的典型结构现代化企业计算机网络是在一定的硬件设备系统构架下对各种信息数据进行收集、处理加工和汇总的综合应用体系目前大多数的企业网络都具有大致相似的体系结构,这种体系结构的相似性表现在网络的底层基本协议构架、操作系统、通讯协议以及高层企业业务应用上,这就为通用的企业网络防病毒软件提供了某种程度的可以利用的共性从网络底层基本构架上,尽管不同的企业可能选择千差万别的联网设备,网络结构的复杂程度从简单的对等节点网络到三层交换复杂网络,但差不多全都是以太网结构,及基于IEEE
802.2和IEE
802.3规范事实已经证明,这是一种成熟、经济的桌面应用网络方案目前应用最多的是一种交换到桌面的10M/100M快速以太网从网络的应用模式上看,现代企业网络都是基于一种叫做服务器/客户端的计算模式,及由服务器来处理关键性的业务逻辑和企业核心业务数据,客户端机器处理用户界面以及与用户的直接交互服务器是网络的中枢和信息化核心,具有高性能、高可靠性、高可用性、I/O吞吐能力强、存储容量大、连网和网络管理能力强等特点客户端机器从硬件上没有特殊的要求,一般普通PC机就可以胜任企业网络往往有一台或多台主要的业务服务器,在此之下分布着众多客户机或工作站,以及不同的应用服务器根据不同的任务和功能服务,典型的服务器应用类型有文件服务器、邮件服务器、Web服务器、数据库服务器和应用服务器等从操作系统上看,企业网络的客户端基本上都是Windows平台,中小企业服务器一般采用WinNT/2000系统,部分行业用户或大型企业的关键业务应用服务器采用Unix操作系统Win平台的特点是价格比较便宜,具有良好的图形用户界面;而Unix系统的稳定性和大数据量可靠处理能力使得它更适合与关键性业务应用从通讯协议上看,目前企业网络绝大部分采用TCP/IP协议TCP/IP本来是一种Internet的通讯协议,但是主流操作系统和绝大部分应用软件的支持以及它本身的发展,已经使得它足以承担从企业局域网到Internet的主要通讯协议重任当然,为了管理的方便或某些特殊的需求,在企业局域网上常见的协议也包括NetBIOS、IPX/SPX等
二、企业网络的典型应用当前,企业网络主要应用于文件和打印服务共享、办公自动化系统、企业业务(MIS)系统、Internet应用等领域文件和打印共享是企业建网的最初目的,也是计算机网络的最基本应用有了网络,文件再也不用通过软盘拷来拷去,同时大文件的交换、应用程序共享等也变得方便,工作组的全体成员可以在自己的计算机上使用共享的打印机办公自动化(OA)应用企业网络应用达到了一定的层次,就需要一种更加方便的内部通讯和消息传送机制,以及工作流程在计算机上的体现和基于网络的协同工作机制,对办公信息也更加要求规范化和一致化,而且能够将所有的办公文档汇集在一起,方便地进行统计和查找,按照不同的权限设置在企业成员之间共享基于这些需求建立起来的应用系统,就是企业的办公自动化(OA)应用目前的OA应用系统大都建立在一种叫做群件的软件平台上,最流行的群件软件有Lotus公司的Domino/Notes系统以及微软的Exchange/OutLook系统企业管理信息系统(MIS)企业信息管理系统是能对企业管理的各种信息进行收集、分析、储存、传输、维护,为企业管理提供决策信息,是一个利用现代计算机信息及网络技术进行企业综合管理的系统工程MIS与OA的区别在于MIS系统管理的是高度结构化,数据粒度比较小的业务信息,比如财务数据,它的长项在于数据实时的统计查询和灵活的报表生成;而OA管理的是非结构化的数据,包括大规模的文本、图像、声音等,它的长项在于规范工作成员之间的工作流程和促进交流与协作企业应用MIS和OA系统进行业务数据管理和工作流程管理,这些系统都充分地利用了网络的数据交换特征,大量的文档、结构化或非结构化的业务数据通过网络来传输和处理这种频繁和大规模的文件、数据交换也为病毒通过网络传播大开了便利之门企业Internet应用企业需要收发Internet邮件,浏览外部网页,发布自己的企业信息所有这些都需要企业内部网络与Internet之间连接的畅通无阻畅通的Internet连接使得企业方便地获取和发布信息的同时,也为病毒的乘虚而入创造了条件总之,企业应用需要网络的便利信息交换特性,病毒也可以充分利用网络的特性来达到它的传播目的企业在充分地利用网络进行业务处理时,就不得不考虑企业的病毒防范问题,以保证关系企业命运的业务数据完整不被破坏
三、病毒在企业网内部的传播过程目前,互联网已经成为病毒传播最大的来源,电子邮件和网络信息传递为病毒传播打开了高速的通道企业网络化的发展也有助于病毒的传播速度大大提高,感染的范围也越来越广可以说,网络化带来了病毒传染的高效率,而病毒传染的高效率也对防病毒产品提出了新的要求近
一、二年,全球的企业网络经历了网络病毒的不断侵袭“爱虫”、“探险者”(Explore)、Matrix病毒可以算是大名鼎鼎了这些病毒几乎一夜之间让世界为之震惊,唤醒了人们对于网络防毒的重视我们以RemoteExplore、Matri、LOVELETTER三个典型病毒为例,来说明网络病毒如何在通过Internet进入企业网络并在内部快速传播
①病毒RemoteExplore算是网络病毒的“先驱者”,它于98年爆发,至今是病毒发展历史中的一个重要标志RemoteExplore病毒通过盗取WINDOWSNT域管理员的帐号进行传播如果一个具有管理员身份的用户执行了染毒的程序,该病毒便以服务(Service)的方式驻留内存,取名为“RemoteExplore”,并在染毒系统中安装文件\winnt\system32\drivers\ie403r.sys这时,另一台NT机器只要用同一管理员帐号登录到染毒的机器中,该病毒就可以感染WINNT局域网附加网络驱动器中的文件当病毒被激活后,它便在共享的网络驱动器上随机选择一个文件夹,感染除.dll或.tmp扩展名的文件外的所有其他文件,连一些DOS下的EXE文件同样难逃厄运……
②病毒Matrix(还有许多别名)在2000年8月发源于德国,在当时它是一个危险级数相当高的病毒该病毒之所以能够在全球范围内广泛且快速传播,是由于它具有网络蠕虫的特性,即利用INTERNET和局域网进行传播该病毒以邮件附件的形式传播当接收者打开附件,该病毒便在网络系统内安装文件到c:\windows目录下,然后将系统内的WSOCK
32.DLL删除,把WSOCK
32.MTX更名为WSOCK
32.DLL这样,受感染系统在发送邮件时增加自动发送附件的功能,附件即为蠕虫的副本此外,病毒还能对网上邻居中的所有可用资源(映像驱动器)进行搜索,以便能够同本机进行文件传输,从而达到感染网络中其它机器的目的病毒通过创建wininit.ini文件,在每次系统启动后自动运行另外,被安装的文件MTX_.EXE还能够将系统连接到指定的站点,并下载新的病毒插件,以完成自身更新
③病毒LOVELETTER于2000年5月发源于菲律宾“爱虫”病毒可谓家喻户晓,它在全世界制造的恐慌给人们留下了深刻的教训“爱虫”病毒最大的特点是通过EMAIL和IRC快速传播在通过电子邮件传播时,它不放过地址簿中的每一个地址,而且,邮件的主题还是具有诱惑性的“ILOVEYOU”附件为LOVE-LETTER-FOR-YOU.TXT.VBS,一旦用户打开附件,病毒便进行感染搜索outlook地址簿、IRC连接、发送带有病毒的邮件、通过IRC感染其它用户……本机系统被感染后,爱虫病毒开始查找所有相连接的固定和移动的驱动器,用自身代码覆盖扩展名为vbs、vbe、js、jse、css、wsh、sct和hta的所有文件而对于jpg、jpeg文件,爱虫病毒不仅用病毒代码覆盖原文件,还添加.vbs扩展名……从上面典型病毒传播方式可以看出,现代病毒在企业网络内部之所以能够快速而广泛传播,是因为它们充分利用了网络的特点一般来说,计算机网络的基本构成包括网络服务器和网络节点站(包括有盘工作站,无盘工作站和远程工作站)计算机病毒一般首先通过有盘工作站传播到软盘和硬盘,然后进入网络,进一步在网上的传播具体来说,其传播方式有如下几种
①病毒直接从有盘站拷贝到服务器中;
②病毒先传染工作站,在工作站内存驻留等运行网络盘内程序时再传染给服务器;
③病毒先传染工作站,在工作站内存驻留,在运行时直接通过映像路径传染到服务器;
④如果远程工作站被病毒侵入,病毒也可以通过通讯中数据交换进入网络服务器中由以上病毒在网络上传播方式可以看出,在网络环境下,网络病毒除了具有可传播性、可执行性、破坏性、可触发性等计算机病毒的共性外,还具有一些新的特点
①感染速度快在单机环境下,病毒只能通过软盘从一台计算机带到另一台,而在网络中则可以通过网络通讯机制进行迅速扩散
②扩散面广由于病毒在网络中扩散非常快,扩散范围很大,不但能迅速传染局域网内所有计算机,还能在瞬间通过远程工作站将病毒传播到千里之外
③传播的形式复杂多样计算机病毒在网络上一般是通过“工作站-服务器-工作站”的途径进行传播的,但传播的形式复杂多样
④难于彻底清除单机上的计算机病毒有时可通过删除带毒文件、低级格式化硬盘等措施将病毒彻底清除而企业网络中,只要有一台工作站未能消毒干净,就可能使整个网络重新被病毒感染,甚至刚刚完成清除工作的一台工作站就有可能被网上另一台带毒工作站所感染
⑤破坏性大网络上病毒将直接影响网络的工作,轻则降低速度,影响工作效率,重则使网络崩溃,破坏服务器信息,使多年工作毁于一旦
4.
2.
4.1产品选型具体来说,企业管理者对网络防毒方面应该重点考虑以下几个方面,这就涉及到防毒软件的选型这也是网络防病毒软件应该具有的功能
1、病毒查杀能力病毒查杀能力是最容易引起用户注意的产品参数可查杀病毒的种数固然是多多益善,但也要关注它对实际流行病毒的查杀能力因为用户是要用它查杀可能染上的病毒,有些病毒虽然曾流行过,但却是我们今后不会再遇上的
2、对新病毒的反应能力对新病毒的反应能力是考察一个防病毒软件好坏的重要方面这一点主要从三个方面衡量软件供应商的病毒信息搜集网络、病毒代码的更新周期和供应商对用户发现的新病毒的反应周期通常,防病毒软件供应商都会在全国甚至全世界各地建立一个病毒信息的收集、分析和预测网络,使其软件能更加及时、有效地查杀新出现的病毒因此,这一搜集网络多少反映了软件商对新病毒的反应能力病毒代码的更新周期各个厂商也不尽相同,有的一个周更新一次,有的半个月而供应商对用户发现的新病毒的反应周期不仅体现了厂商对新病毒的反应速度,实际上也反映了厂商对新病毒查杀的技术实力
3、病毒实时监测能力按照统计,目前的病毒中最常见的是通过邮件系统来传输,另外还有一些病毒通过网页传播这些传播途径都有一定的实时性,用户无法人为地了解可能感染的时间因此,防病毒软件的实时监测能力显得相当重要应该说,目前绝大多数该类软件都拥有这一功能,但实时监测的信息范围仍值得注意
4、快速、方便的升级企业级防病毒软件对更新的及时性需求尤其突出多数反病毒软件采用了Internet进行病毒代码和病毒查杀引擎的更新,并可以通过一定的设置自动进行,尽可能地减少人力的介入值得一提的是,这种升级信息也需要和安装一样能方便地“分发”到各个终端
5、智能安装、远程识别由于局域网中,服务器、客户端承担的任务不同,在防病毒方面的要求也不大一样因此在安装时如果能够自动区分服务器与客户端,并安装相应的软件,这对管理员来说是将一件十分方便的事远程安装、远程设置,这也是网络防毒区分单机防毒的一点这样做可以大大减轻管理员“奔波”于每台机器进行安装、设置的繁重工作,即可以对全网的机器进行统一安装,又可以有针对性的设置
6、管理方便,易于操作系统的可管理性是系统管理员尤其需要注意一个简单的例子是防病毒软件的参数设置管理员从系统整体角度出发对各台计算机上的设置,如果各员工随意修改自己使用的计算机上防毒软件参数,可能会造成一些意想不到的漏洞,使病毒趁虚而入另外,管理者需要随时随地地了解各台计算机病毒感染的情况,并借此制定或调整防病毒策略因此,生成病毒监控报告等辅助管理措施将会有助于防病毒软件应用更加得心应手一些防病毒软件采用了远程管理的措施,把企业用户的防病毒管理由专业防病毒厂商的控制中心专门管理,从而降低用户企业的管理难度
7、对现有资源的占用情况防病毒程序进行实时监控都或多或少地要占用部分系统资源,这就不可避免地要带来系统性能的降低尤其是对邮件、网页和FTP文件的监控扫描,由于工作量相当大,因此对系统资源的占用较大如一些单位上网速度感觉太慢,有一部分原因是防病毒程序对文件“过滤”带来的影响另一个是升级信息的交换,下载和分发升级信息都将或多或少地占用网络带宽但这一影响比起其它方面来说要小得多,多数产品每次升级信息包的数据不过几百KB而已
8、系统兼容性系统兼容性并不是仅仅选购防病毒软件时需要考虑的事,而是买绝大多数软件时都必须考虑的因素不同的是,防病毒软件的一部分常驻程序如果跟其它软件不兼容将会带来更大的问题
9、软件的价格就价格来说,企业级防病毒软件大多是按照网络规模来确定初次购买和后继的升级费用的初次购买后,软件商一般会提供一定时期的免费升级,而此后的升级及服务如何收费也需做到心中有数不同的选购参数对不同的用户有不同的权重企业机构可以根据具体系统的情况确定哪一因素作为购买时最重要的参考
10、软件商的实力软件商的实力一方面指它对现有产品的技术支持和服务能力,另一方面是指它的后续发展能力因为企业级防毒软件实际是用户企业与防病毒厂商的长期合作,企业实力将会影响这种合作的持续性,从而影响到用户企业在此方面的投入成本而Mcafee的产品作为国际一流的杀毒软件,满足了以上的需求,在本次集成项目-安全部分中我们考虑Mcafee的AVD版本,提供51客户端,包括客户端软件VirusScan、服务器端产品NetShield、邮件服务器GroupShield、网关产品WebShield及EPO集中管理控制的产品
4.
2.
4.2防病毒部署根据A集团的网络拓扑结构和防病毒要求,在充分考虑可行性的基础上,在整个A集团内部网络防病毒管理架构方面,我们建议采用分级管理、多重防护的管理架构,具体包含以下几个方面的内容McAfee主动病毒防护采用先进技术,确保企业安全主动病毒防护是McAfeeSecurity的综合战略,能够确保企业尽可能早地防御新型病毒的攻击,帮助IT安全管理人员在遭受病毒攻击时快速关闭“漏洞之窗”它是对传统的基于病毒码的扫描技术的补充,此种技术被McAfeeSecurity著名的防毒解决方案所采用,并贯穿于整个McAfeeSecurity产品系列之中如前图2所示,下面一节对McAfeeSecurity主动病毒防护战略的各个阶段以及相关产品进行了详细介绍T-前6个月病毒漏洞评估与客户机锁定在论及企业安全时,要强调的第一定律就是为了对病毒进行管理,必须能够对它进行测量;在建立安全策略前,必须要对所有网络设备的基本数据进行收集,并对它们所存在的病毒漏洞进行评估这一步可以由McAfeeThreatScan™来完成,它可以提供主动的桌面和服务器病毒漏洞检测功能还可以帮助管理员发现网络中易受病毒攻击、已经受到感染的或者未经保护的设备、应用和操作系统与其它网络安全产品不同,ThreatScan能够通过定时病毒漏洞扫描和更新病毒码来主动保护网络免遭混合病毒的攻击无需由安全专家操作,ThreatScan就能够主动扫描和报告那些未受保护、未被管理、已经被感染或者是容易遭受病毒攻击的设备这样,通过识别易受病毒攻击的设备、应用和操作系统,以及发现未受保护的、为网络感染大开方便之门的‘无赖’设备,即可以帮助公司实现更高层次的防毒保护和策略一致性利用ThreatScan,企业就可以实现从对感染的被动响应到对混合病毒主动防御的转变,从而缩小“漏洞之窗”ThreatScan可以主动识别众多的安全漏洞,包括易遭攻击的设备易遭攻击的应用被感染的设备特定病毒的安全威胁普通种类漏洞的安全威胁在病毒扫描之前,须对网络中的每台设备进行物理检查,以弥补潜在的安全漏洞仅仅为了发现网络中的故障点,有一些方法或工具还要求丰富的安全专业知识或定义从而使管理员会面临两难困境既要节省时间,又要降低病毒发作成本ThreatScan支持定时扫描,使用通过McAfeeePolicyOrchestrator™(ePO)管理的代理程序来查明新连接到网络的设备利用ePO,ThreatScan代理程序可以被很方便地部署到企业网络的战略要点,轻松实现对新设备的远程检测ePolicyOrchestrator是McAfeeSecurity的管理平台,能够对整个企业进行安全监视和部署解决方案,将大量数据转化为业务可用的信息它的可管理授权特性使企业保护更加轻松ePO还可以提供深入企业网络的可视性,并能够在瞬间将升级文件部署到整个网络之中利用ePO的综合策略管理、图形报告以及软件部署,管理员可以在管理策略和配置ThreatScan和McAfeeDesktopFirewall™保护的同时,生成翔实的针对McAfeeSecurity产品以及Symantec的桌面和服务器防毒产品的图形报告ePolicyOrchestrator的单服务器模式可以扩展到250000个用户管理员有众多的强大功能选项可以选择,可按机器或组来设置策略策略能够通过一个单一控制台来根据需要进行更改,以适应不断变化的病毒和网络环境这同样适用于发作管理通过部署针对整个企业的AutoUpdate、手动扫描以及生成详尽的图形报告以定位入口点和识别传播模式,ePolicyOrchestrator能够立即对普通病毒和混合病毒发作作出反应这种协调的响应模式可以加速更新过程,并通过关闭“漏洞之窗”来协助阻止病毒的传播ePO的高级报告功能可以将网络事件与业务可用的补救措施关联起来有很多管理工具只能够简单地生成大量数据,管理员必须对这些数据进行分类处理后才能找出特定的网络问题ePolicyOrchestrator可以对经常被问及的两个有关病毒感染的问题作出回答,即,“我受到保护了吗?”;“我被感染了吗?”利用ePO,管理员可以对计算机是否更新了最新的病毒定义和扫描引擎作出确认还可获得范围广泛的定制图表,其中包括3-D条形图、饼形图、线形图以及表格等最后,ePolicyOrchestrator允许IT用户通过互联网来管理混合病毒安全,甚至包括没有连接企业网络的远程用户或办公室任何互联网连接都允许ePolicyOrchestrator的代理程序和服务器进行通讯,这个功能实现了对移动用户的无缝管理甚至可以远程连接管理员控制台客户机锁定功能是由市场领先的桌面防火墙和入侵检测软件解决方案McAfeeDesktopFirewall所提供的DesktopFirewall允许对所有进出企业的通讯进行检测,并根据集中定义的地址、端口、协议以及应用策略来允许或拒绝连接DesktopFirewall将市场领先的桌面防火墙与入侵检测软件相结合,可以有效抵御恶意代码和黑客的攻击同时,它还可以扮演桌面通讯‘巡警’的角色,在允许已知通讯连接到桌面的同时阻止来自黑客、恶意代码、分布式拒绝服务攻击以及有漏洞或未授权应用的破坏性通讯一个分布式入侵检测系统IDS可以提供了第一道防线来封堵常见的黑客攻击,阻止特洛伊木马、拒绝服务攻击以及其他病毒;同时,分布式防火墙可以提供第二道防线,它具有强大的信息包过滤和应用层策略增强功能DesktopFirewall可以通过在攻击之前锁定桌面设备和服务器来缩小“漏洞之窗”DesktopFirewall有一个最受欢迎的特色,即简便的可视化可管理性通过ePolicyOrchestrator,DesktopFirewall操作能够设置为对用户透明,检查计算机上进出的通讯然后根据地址、端口、协议以及应用策略来允许或封堵连接这些策略可由用户或管理员设置DesktopFirewall可以保护桌面设备免遭来自企业网内外的攻击,并能够在恶意代码攻击刚刚进入企业周边设备时就将之‘封杀’恶意代码可以借助于一次WEB站点访问入侵桌面设备,再对网络上的其他计算机发动攻击;DesktopFirewall可以检测出未授权的入侵和应用连接,将之封堵后记录有关事件,并通过ePolicyOrchestrator报告给管理员ePO还可以提供集中式管理,包括安装、日常管理、报告以及策略锁定等功能T-前3个月针对新型病毒的高级检测和垃圾邮件保护如今的病毒能够以惊人的速度和破坏性发动攻击,使得企业随时都暴露在遭受攻击的危险之中所有McAfeeSecurity防毒产品中均内置有高级启发式和通用检测技术,通过提供不低于40%的新型未知病毒高级保护功能,它可以最大限度地缓解企业的安全风险,缩小“漏洞之窗”严格的独立测试和实际使用都证实McAfeeSecurity的高级检测功能可以在各方面产生效益,消除了紧急病毒定义文件下载和分发的需求、减少了用户宕机时间、降低了病毒清除成本启发式分析涉及到对文件代码的检查过程以判断它是否包含与病毒类似的指令如果与病毒类似的指令超过一定数量,则该指令就被标识为可能的病毒,并要求用户提供样本作进一步的分析McAfeeSecurity将正面的与反面的启发式方案作了平衡,所谓的反面启发式方案是指文件所包含的指令绝对不是病毒指令McAfeeSecurity的启发式检测技术经过微调,可以有效避免误警报的问题通用检测和清除涉及到对病毒定义文件的仔细描述,以便能够将特定病毒系列的所有变体捕获当其他非常相似的病毒变体(只所以相似是因为‘成功’的病毒最有可能被复制和模仿)出现时,McAfeeSecurity用户早已得到了保护通过病毒定义文件(DAT)控制的通用检测技术还支持清除功能WebShield解决方案具有高可扩展特性,一台设备的扫描能力就可以达到每小时160000封电子邮件或者每秒2MBHTTP通讯多台WebShield设备能自动分担负载,从而提供高可用性和故障恢复功能因此,WebShield可以提供优异的反垃圾邮件功能,而垃圾邮件是全球公司都为之头痛的问题除了传播病毒,这种令人讨厌的垃圾电子邮件还可能因其不恰当的内容使企业卷入法律纠纷,并且会分散用户的注意力,使其生产效率下降根据通讯和合作研究方面的专业咨询公司FerrisResearch在2003年1月公布的报告,垃圾邮件在2003年将会使美国公司增加超过100亿美元的成本该报告指出,“它(垃圾邮件)的数量在过去九个月里翻了一番我们目前尚未发现这种趋势将会减弱的证据”报告的结论还包括垃圾邮件在2002年为美国公司带来的成本为89亿美元垃圾邮件在2002年为欧洲公司带来的成本为25亿美元WebShield有三层防御体系来抵御垃圾邮件的攻击首先,利用MAPS(收费服务)或ORDB(免费服务)等来自第三方供应商的实时黑洞列表,WebShield设备的垃圾邮件检测功能可以确保对来自已知垃圾邮件源的电子邮件的封堵其次,如果企业没有订购黑洞列表,系统管理员也可以自行创建包括类似垃圾邮件词组定义的内容过滤规则最后,WebShield还支持白名单邮件域(可以接受的邮件列表)覆盖取代黑名单邮件域的功能WebShield的反中转功能可以避免组织在不知情的情况下被用作转发垃圾电子邮件的中转站最后,免责声明功能可以用来在外发电子邮件末尾插入标准的免责声明,以协助加强公司的法律和安全策略此外,McAfeeSpamKiller系列产品还提供了适用于服务器和桌面设备的垃圾邮件封杀功能结合具有高垃圾邮件检测率的SpamAssassin™引擎和低误警报率的特性,SpamKiller建立了一个能够在一系列测试的基础上对电子邮件打分的等级评定系统它的准确度非常高,可以捕获95%以上的垃圾邮件,同时误检测率低于
0.05%SpamKiller产品系列通过一个五层的垃圾邮件检测方法对McAfeeSecurity的主动方案作了加强规则设置检测SpamAssassin引擎是一个基于分数的过滤器,其相关的规则集包含若干种类的750余种规则,如报头规则、正文规则以及信息结构规则等每一种规则都与一个或正或负的分数相关带有负分数的规则表明了合法邮件的属性,带有正分数的规则则表明了垃圾邮件的属性相加后,这些分数可针对每封电子邮件给出一个“总体垃圾邮件级别”SpamKiller的管理器即根据分数来判断一封电子邮件是否应归类为垃圾邮件,并将其发送到用户的垃圾邮件文件夹或可选服务器的垃圾邮件文件夹中启发式检测在其基于分数的规则下,SpamAssassin引擎使用了大量的启发式检测方法来识别可能的垃圾邮件启发式检测使用一系列内部测试来判断邮件属于垃圾邮件的可能性,每一项测试都附有一个点值来降低误警报率这些方法包括报头分析、正文分析以及对垃圾邮件发送者伪装信息正文所用结构技巧的分析内容过滤SpamKiller的内容过滤功能可以用来帮助识别电子邮件中包括的能够表明垃圾邮件属性的关键词或词组管理员或用户能够向有关数据库中增加词或词组,比如“XXX”、“免费”、“优惠按揭”等等这个功能是对产品所提供的规则集的一种补充白名单与黑名单与WebShield类似,SpamKiller也支持黑白名单功能它可以提供额外的双层多用途黑白名单功能管理员可以在服务器层设置标准,使用全球白名单和黑名单设置来判断发给组织中某人的电子邮件是否是垃圾邮件,而用户则可以在桌面定义自己的白名单或黑名单条目这个功能特别重要,因为一个用户或公司也许会被某机构或个人视为垃圾邮件源,但其他人则可能需要来自他们的邮件例如,律师事务所是不愿意错失任何一封来自客户的电子邮件的如果一个合作伙伴正在处理一个有关Viagra的案子,则她就不得不接受来自这位客户的电子邮件通过创建自己的白名单,她即可以对来自特定域或客户的电子邮件‘放行’自动学习SpamAssassin引擎能够记忆用户所收邮件的特征,解释有关信息并调整电子邮件的(垃圾邮件)得分,这一过程又被称为“自动白名单列表”(auto-whitelisting)自动学习功能可以为每一个发送者发送的电子邮件给出一个总体垃圾邮件得分的统计分布,并使用这个数据来调整未知发送者发送来的新信息的总体垃圾邮件得分第五章主机方案
5.1主机选型原则主机服务器系统选型应遵守如下原则开放性采用开放系统可获得如下好处用户可移植性应用可移植性相互可操作性UNIX系统是目前全球范围公认的开放系统和工业标准可靠性选用主机平台支持高可用集群技术可扩展性由于电信业务的发展非常迅速,要求服务器系统具有较强的性能扩充能力,应支持如下升级途径原机扩充(内存、硬盘扩大)、纵向升级(升级CPU)、横向升级(增加CPU个数)、增加节点数目
5.2小型机选型与设计针对本次项目我们建议采用小型机作为集团总部用中心服务器目前流行的小型机有:IBMP系列HPpa-riscservers系列SUNFire系列而SUN目前在电子商务中应用比较少,目前集团总部的应用从小规模逐渐向中高端规模升级对性能扩展的要求都比较高涉及的数据都比较安全对可用性的要求也是非常高的在目前UNIX应用中IBMP系列主要应用于电子商务如:ERP、CRM、BI、银行证券交易等系统,P系列pSeries650服务器采用了IBM先进、开放和可扩展的UNIX操作系统AIX5LAIX5L在可靠性、可用性和安全性等方面具有现实价值,适合电子商务应用性能,被人们普遍认为是系统和网络管理领域最先进的技术,AIX5L提供的Java技术、网络功能和增强的可扩展性,既适用于管理单个服务器,又适用于管理大型、复杂的电子商务设备基于万维网的远程管理工具控制和监视关键资源,如适配器和网络可用性、文件系统状态和处理器工作负荷AIX5L还包括WorkloadManager,是系统即使在高峰负荷期间,也能确保关键应用程序的响应速度而HPpa-riscservers系列也主要是面对电子商务,高级Web主机托管,CRM,供应链管理,ERP,企业智能,以及高性能技术计算而开发的,而在国内主要应用于电信计费与采集,在与IBM机型同一档次做TPC-C值测试中,IBMP系列要稍高一点针对目前集团多业务应用对处理性能TPCC值要求比较高,我们建议采用IBMP650做SAN构架存储,通过SAN构架完全提升企业存储的需求,支持多类操作系统和不同层面的存储要求,主机采用双CPU,数据库为ORACLE9!企业版,双机软件为IBM预装的HACMP,可以管理多个节点的集群配置见设备清单
5.
2.1IBMP650介绍最佳的性能价格比以往,为了满足随需应变的业务需求选择合适的中端UNIX服务器时往往需要采取折衷的方式企业在价格和支持可靠性、灵活性和性能等关键部件之间难以取舍但现在有了IBMpSeries650,企业再也无需在二者之间作出取舍了同时又不牺牲关键任务应用要求的性能、可靠性和功能的电子商务基础架构IBM针对这种需求创造了pSeries650,它是IBM产品线中的一员,这款先进的服务器可以帮助企业降低成本,提高效率和加速企业向随需应变的电子商务转型IBM向来不主张为了节省成本而降低产品的功能和可靠性,因此,在我们最先进的中端服务器之一的pSeries650的设计上,每个部件都物尽其用pSeries650采用了业界最强劲的64-位芯片-POWER4+-是POWER4微处理器系列的第二代产品此外,pSeries650与高端pSeries690服务器一样地延续了主机特有的自主计算可靠性、可用性和可维护性RASp系列650特别适用中小企业,及从事关键业务处理的大型企业的分支机构,如企业资源计划ERP、供应链管理SCM、客户关系管理CRM和商业智能BI在电子商务应用方面,pSeries650完全可以作为一款具有高可靠性和可用性的B2B网络服务器源于最佳部件pSeries650服务器的结构极其紧凑-可配置2到8个处理器-具有
1.2或
1.45GHz、64位处理器速度和从2GB到64GB的主内存它以中端服务器的价格,提供了高端服务器具备的性能和容量,具有极佳的性能体积比pSeries650系列650融合了IBM领先芯片技术领域取得的最新成果,即对POWER4芯片进行了改进设计的POWER4+微处理器这些采用了铜绝缘硅SOI的芯片是世界上最快的64位处理器之一POWER4技术是IBM为UNIX服务器提供的增强SMP-on-a-chip设计每个芯片由两个共享
1.5MBL2高速缓存的处理器组成,并安装在处理器卡上此外,卡上还有L3高速缓存L3高速缓存有利于更快地将信息从系统内存器传送到应用程序,使每个处理器卡的带宽最高可达
15.4GB/秒8路系统最高可达
61.9GB/秒处理器卡与系统存储器封装在一起,构成处理器,这种封装单元将每个组件保护在坚固的结构中,使可靠性更强这种设计可使系统升级极大简化插上具有L3高速缓存和内存的两路处理器板,可使机器最高扩展至8路系统每两路系统支持多达16GB内存每增加一个两路处理器板内存可增加16GB系统其余部分的设计也是与POWER4+处理器难以置信的速度相匹配的对于8路配置,pSeries650总内存带宽可达
25.6GB/秒此外,总I/O带宽为16GB/秒系统结构、速度和功能由此达到了完美的组合,实现高效、低成本的数据共享和应用处理量分区使系统迅速响应变化IBM逻辑分区技术可以根据工作负荷调配资源,提高系统利用率,降低系统总拥有成本,同时也为操作系统提供了稳定的独立运行环境pSeries650系统最多可划分为8个独立的逻辑服务器或分区,每个逻辑服务器或分区有自己独立的内存、处理器、I/O和AIX5L或Linux操作系统的副本pSeries650将使用两种操作系统的应用整合到一个单独的平台上,使系统的可利用率得到提高,为管理单个的服务器上的多种负荷的动态变化提供了更强的灵活性,降低了复杂性,从而大大的节约了管理成本通过单一的界面-HardwareManagementConsoleforpSeries系统管理员可以根据业务要求和应用程序的需要,按照任意的组合分配和管理系统资源这种专用的工作站可用于定义和管理分区的处理器,内存和I/O资源的分配动态逻辑分区是AIX5L
5.2版本的一项功能,它甚至可以在不重新启动有关分区的情况下,重新分配系统资源,并利用被解除分区的一个或多个分区的资源创建新的分区未使用的I/O扩展PCI插槽和磁盘拖架也可以随系统操作一起添加到新的创建的分区中IBM的动态分区功能意味着可以更快的更改分区,企业从而可以更快速的响应需求的变化pSeries650支持逻辑分区LPAR和动态逻辑分区系统最多可分为8个独立的虚拟服务器或分区,每个分区都有自己的AIX5L操作系统HardwareManagementConsoleforpSeries是用于定义和管理每个分区的处理器、内存和I/O资源分配的专用工作站逻辑分区技术可以根据工作负荷调配资源,提高系统利用率,进而降低系统总拥有成本,为应用系统提供了出色的灵活性逻辑分区技术还可允许开发人员同时运行和测试不同版本的应用程序或操作系统AIX5L版本支持的动态逻辑分区可使系统管理员动态更改分区配置-而不需要中断系统操作-以满足工作负荷需求变化,使系统可用性大大提高功能强大,结构紧凑pSeries650服务器为解决难以预期的增长需求,提供了非凡的配置灵活性pSeries650包括统19英寸工业标准机柜安装的系统机箱8U-EIA单位,机箱中包括处理器、高速缓存、内存、PCI-X适配器槽、热插拔磁盘槽、两个热插拔介质插槽和其它集成控制器每台pSeries650系统可安装在IBM7014-T0036U或T4242U或OEM19英寸机柜中系统可以选择额外配置7311-D10I/O抽屉并排装入4U高的机柜空间内,从而增加PCI/PCI-X-插槽扩充数量,或者选配7311-D204UI/O抽屉可增加额外的PCI-X插槽扩充数量和热插拔磁盘插槽系统最多可支持8个I/O抽屉pSeries650的标准配置中有7个PCI-X适配器插槽-总带宽为4GB/秒-均安装在一个系统机箱内每个7311-D10I/O抽屉可增加6个适配器插槽;每个7311-D20可增加7个适配器插槽因此pSeries650的插槽总数最多可达63个,I/O带宽最高可达16GB/秒所有插槽均可热插;pSeries650和7311-D10插槽也可以随意交换,因此在客户添加或拆下适配器时,不必将I/O机箱移到维修位置-也不会因此中断系统操作pSeries650还配置有可恢复PCI总线,以保证奇偶错误不导致系统故障pSeries650服务器提供了4个可安装
36.4GB、
73.4GB或
146.8GB驱动器的热插拔内置磁盘槽,使总磁盘存储容量高达
587.2GB连接7311-D20可增加12个附加磁盘槽,使存储容量达
1.7TB一个满配的pSeries650加上8个7311-D20可有
14.6TB的联机磁盘存储容量外置磁盘存储器也可装如机柜中,例如IBM2104ExpandableStoragePlusUltraSCSI和IBM2105EnterpriseStorageServer均是可提供高可靠性、高性能、可热插拔的TB级磁盘存储器装入机柜的pSeries650系统和I/O机箱数量极其灵活,使每平方英尺占地面积内的计算和I/O能力大大提高在最高配置中,一台pSeries650服务器的系统机箱由8个
1.45GHzPOWER4+处理器和8个7311-D20I/O抽屉组成,共占40个EIA单位40U机柜空间(系统机箱占8U,每个I/O机箱占4U)这种配置可拥有63个适配器槽和100个磁盘槽根据连接的I/O抽屉数,一个T00机柜最多可装4台pSeries650系统,T42机柜最多可装5台P系列650系统保证业务持续运作许多源于IBM自主运算的创新-为自主运算勾画的蓝图-使pSeries的可靠性、可管理性和可维护性得以实现旨在创建一个能够响应意外容量要求或系统故障,同时缓解关键技能、软件和服务/支持费用压力的智能化IT基础架构为增强可用性,每台pSeries650服务器都有一个集成服务处理器,用于持续监视系统的运行状况此功能通常可以在故障呈现给用户之前检测硬件内部的错误状态,自动拨接到IBM服务中心然后,如果需要维修,服务器则自动开始动态再分配以排除故障因此,自动监视功能可以帮助企业减少代价昂贵的宕机,减少管理开支和服务支持成本第一次故障数据获取FFDC识别并记录系统故障的来源和根本原因,防止再发生诊断时无法再现的间发性故障FFDC旨在通过实时识别故障部件防止宕机和缩短维修时间,同时也有利于增强pSeries卓越的系统可用性为防止主存储器和L2/L3缓存错误导致系统关闭,检错与纠错(ECC)内存既检测单位错误,也检测双位错误,并能动态纠正所有单位错误-作为Chipkill内存的补充,提高可靠性此外,pSeries650还包括备用主存储器芯片通过一形称为位导航指令的技术,当多位存储错误超过临界值时,备用芯片可被动态激活,取代有故障的存储器芯片IBMChipkill存储技术可检查和纠正大多数多位错误它可以防止内存出现故障,有助于防止代价昂贵的系统存储器故障,提高pSeries可靠性事实上,IBM研究表明,具有Chipkill内存的系统因内存故障导致宕机的可能性比没有使用此类技术的系统低100倍pSeries650服务器还有对系统关键资源进行动态重分配的功能,包括处理器和PCI-X总线槽等在其中某一部件发生故障或故障即将发生时,该功能能够使故障部件动态脱机该部件负载的工作量自动重新分配到其它处理器,避免操作中断如果系统必须重新启动,则启动时不再包括已解除分配的部件,从而避免故障重复出现故障部件的更换可以安排在正常的系统维护时进行,以减少系统和应用宕机时间pSeries650系统机箱和I/O抽屉、冗余热插电源和冷却风扇也同样具有可靠性和可用性特点,更换十分容易,而且不影响系统操作环境监测功能--如可在超过正常温度时能提高风扇转速的温度监测功能-通过保持系统稳定运行所需的环境提高系统可靠性为达到近乎持续的可用性,可用IBM的HighAvailabilityClusterMultiprocessingHACMP软件将2到32台pSeries650服务器群集在一起HACMP有助于降低系统和应用程序宕机时间,从而为高可用性奠定良好基础-高可用性是关键业务环境的基本要素通过群集实现随需应变的可用性集群是为提高性能、可扩展性和可用性而设计的一种先进的计算技术,可使多台服务器互连成为一个计算资源IBMCluster1600是为提高随需应变环境中的可用性、可扩展性和性能而设计的,具有可管理性,能连续存取关键商务数据和应用程序,通过使新旧技术共存等措施保护投资特别适于需共享数据和提高作业处理能力的不同工程和科学工作负荷,解决大型、复杂的高性能运算问题,托管极其庞大而又不断增长的公司数据库开放的电子商务标准pSeries650服务器采用了IBM先进、开放和可扩展的UNIX操作系统AIX5LAIX5L在可靠性、可用性和安全性等方面具有现实价值,适合电子商务应用性能,被人们普遍认为是系统和网络管理领域最先进的技术AIX5L提供的Java技术、网络功能和增强的可扩展性,既适用于管理单个服务器,又适用于管理大型、复杂的电子商务设备基于万维网的远程管理工具控制和监视关键资源,如适配器和网络可用性、文件系统状态和处理器工作负荷AIX5L还包括WorkloadManager,是系统即使在高峰负荷期间,也能确保关键应用程序的响应速度pseries650展示了IBM通过开放标准提供应用灵活性的承诺除增强Java的可扩展性和性能外,AIX5L还提供了应用编程接口(APIs),使流行的Linux开放源代码应用程序通过简单的重新编译便可在AIX5L上运行AIXToolboxforLinuxApplications,为重新编译提供了实用工具、编辑器、调试程序及其它应用开发工具应用选择更加广泛IBMeServer产品线,为想在随需应变的世界中取得成功的企业提供了从选择、创建到实施应用所需的卓越的灵活性为此,IBM提供了业内应用范围最广的平台和操作系统IBM致力于工业标准、跨平台技术-这些技术都是灵活的电子商务基础架构的核心对与中间件--包括DB2,UniversalDatabaseWebsphereApplicationServer和MQSeries的支持-意味着随着业务的不断发展企业无需再固守在一个单一的平台上企业通过接受开放标准,可以低成本、灵活地部署应用管理随需应变业务IBM产品线拥有一套综合产品和资源的支持,它们在IT实施的每个阶段都能产生价值除应用了基于芯片技术、集群和多平台设计等IBM创新外,pSeries650还利用了灵活的随需应变容量需分配功能,是当今最具扩展性和快速适应性的服务器之一在随需应变领域为解决电子商务的复杂性和迅速增长提供一种比较容易的方法购买pSeries
6501.45GHz系统时可订购随需应变容量升级(CUoD)功能,从而可在需要时激活附加处理器及内存至于费用,CUoD允许客户在购买服务器时预装附加容量并根据需要逐渐激活这些附加资源,来满足业务增长和工作负荷的需求pSeries650最多可安装6个CUoD
1.45GHz处理器,以后每次可以激活2个处理器最多可安装56GBCUoD内存,以后每次激活4GB动态逻辑分区可以实现无缝激活通过根据需求的增长添加容量,客户可以十分方便和经济地实现扩展,来满足市场需求启用/关闭pSeries
6501.45GHz处理器的随需应变容量的功能,还为企业提供了应对业务高峰的能力该功能类似于借计卡,可成对暂时激活储备处理器用户仅为需要时所需的处理能力付费,这样就使pSeries650服务器在支持意外高峰工作负荷的方面性能超群在CUoD和AIX5Lv
5.2环境中,一种称为DynamicProcessorSparing的可用性功能,可使待用处理器处于动态备用状态当故障处理器达到错误临界值时,可以激活待用处理器,以保持性能和增强系统可用性当故障处理器能够恢复使用时,备用处理器回到待用CuoD资源池IBMGlobalFinancing为随需应变的电子商务提供了广泛的贷款销售业务以帮助企业节省开支满足多变的业务需求此外,IBMGlobalServices专家可以提供商务和IT咨询、商业转型和总体系统管理服务及定制电子商务解决方案IBM的支持IBM为pSeries650系统提供全球性服务和支持1年基本保修期为端对端服务,包括AIX5L操作系统支持、硬件维修、人工电话硬件支持和电话跟踪在基本硬件保修期内,提供5x8的专业现场服务,上述保修可以升级为24x7x365的服务模式
5.3双机热备近几年计算机技术及互联网发展迅速,越来越多的传统应用被转移至计算机和互联网上,信息化进程正逐步地改变着人们的生活,电子商务与我们的联系越来越紧密,用户对系统的持续运行能力的要求越来越高在我们继续进行信息化建设的同时如何保障用户系统的高可用性维持用户的商务活动不间断成为我们必须面对的问题高可用性是指系统无论是硬件或是软件失效,保证客户应用服务不间断的能力高可用性软件简单的说是两种功能的综合监控功能、切换功能,其基本工作原理是服务器间通过软件监控服务器,当某服务器硬件或是软件失效,软件的切换功能发生作用将中断服务器的工作在指定服务器上启动起来使服务器的工作得以继续高可用性软件从功能上分可以分为热备、容错两种,细分为双机热备、双机容错、集群热备、集群容错热备与容错的区别在于容错软件是应用级的监控,而热备是主机级的监控容错软件有着比热备软件更高的不间断性
5.
3.1系统故障分析运行停顿的原因按出现频率的顺序Source:GartnerGroupStrategicAnalysisReport“StrategiestoIncreaseLANAvailability”1996停顿原因大致可分为7类(见上表)
①按计划的硬件、操作系统的维护,如增加硬盘、操作系统补丁等;
②应用失效,如数据库出错等;
③操作员出错,如误操作等人为错误;
④操作系统故障,如操作系统死机等;
⑤硬件故障,如硬盘、网卡损坏等;
⑥断电(没有UPS);
⑦自然灾害,如火灾、地震、洪水等从上面的说明我们可以看出,在停顿原因中软件的因素占到了绝大多数,而硬件原因只占其中的以小部分原因,而按计划的硬件、操作系统的维护是系统停机的最大原因
5.
3.2HACMP功能及双机原理用于AIX的高可用性群集多处理(HACMPforAIX)是一种控制应用程序,它在使用高效群集内置的增强扩展性(ES)特征是可以链接多达32个RS/6000服务器或SP节点群集服务器或节点允许对数据进行并行访问,可以提供关键商业应用所要求的冗余性和容错性HACMP提供了图形用户界面工具来帮助用户高效的安装、配置和管理群集更重要的是,HACMP在配置和使用方面也很灵活单处理器、对称多处理器(SMPs)和SP节点多可以集成到高效群集中您可以混合匹配系统大小和性能级别以及网络适配器和磁盘子系统以满足您的应用程序、网络和磁盘性能需要HACMP群集可以按几种方式配置以满足不同类型的处理要求并行访问模式适合于所有处理器多必须在相同工作负载下运行并共享相同数据的环境在交互备份模式中,处理器共享工作负载并互相备份闲置备用设备允许用一个节点备份群集器中的其他节点无论您选择哪种方式,HACMP都可以提供数据访问和备份方案来帮助优化应用程序的执行和扩展能力,同时有助于防止代价很高的关机或停机HACMP还允许服务费器群集针对应用程序恢复和重启动进行配置,通过冗余性保护您的关键商业应用使用RS/6000群集技术的HACMP/ES计划性停机事件可能占据整个系统停机的大部分HACMP允许通过并行执行硬件、软件和其他维护活动时计划性停机减至最小,同时应用程序可以在其他节点上继续运行可以将服务从一个群集节点移动至另一个群集节点,完成维护工作后再返回意外停机有以下两方面的原因硬件和软件HACMP可以AIX操作系统提供的设备一起保护您的操作不受硬件故障的影响,即自动将服务从一个故障节点移动至其他群集节点导致节点故障的软件故障可以通过HACMP检测,但中断系统操作而不会引起系统故障或挂起的软件故障则需要使用以RS/6000群集技术(RSCT)为代表的下一代可用性技术利用RSCT的事件管理组件,可以检测到由于软件操作所引起的问题,如进程失败或系统资源耗尽,并且在它们引起重大故障之前采取相应的措施使用RSCT,业界最好的高可用性解决方案将更加完善HACMP/ES允许用户按照以前的方式保护完整的软件底层结构您不必再为那些困扰您的偶然的、无法预料的或吹毛求疵的软件问题担心HACMP/ES可以见空检测并处理这些故障,使系统保持正常运行HACMP/ES可以配置为处理数百起系统事件除了这种高级保护方案外,RSCT还允许HACMP/ES支持多达32个节点HACMP/ES也可使你查明其他问题所在允许使用可得到的标准部件的最高水准,同时提供保护,以免硬件损坏及完成即时维修HACMP的其他功能HACMP提供于安装、配置和系统管理任务的工具选项利用AIX系统管理接口工具(SMIT)或可视化系统管理器(VSM)GUI为了使配置过程自动化,您可以复制现有的群集首先使用群集点快照工具捕捉到的信息,然后使用快速配置工具来复制其他站点的配置利用动态重配置功能,可以添加或删除群集资源如处理器、适配器、磁盘子系统和应用软件,而不须终止群集的运行另外HACAP支持滚动升级,不用关闭应用程序即可将群集升级到新版本的HACMP或操作系统利用群集单点控制功能(C-SPOC),可以在群集中的任意节点执行常用的群集管理任务利用HAView功能,您可以使用TivoliTMENetViewForAIX图形化网络管理接口从单个节点监控网络中的群集及其组件HACMP的并行资源管理器在高可用群集中提供对共享磁盘多达八路的并行访问,允许用户调整切换期间发行的动作以适应自己的商业需要HACMP能够很好地与并行数据库产品如IBMDB2UDB一起工作,建立松散耦合的并行群集,进而提供高层系统可用性数据可以分配或划分到多达32个节点上,以便得到扩展性最好的群集性能和高可用性对于NFS环境,HACMP提供了用于AIX的HANFS该功能可以将两个AIX系统定义为一个高效的NFS服务器,消除了单点故障该服务器可以避免硬件和软件停机以及许多计划性停机,这些故障可能使单个系统NFS服务器变得不可使用在SP群集中,您的数据得到了麻省理工学院开放软件基金(MIT/OSF)著名的Kerberos协议的保护如上图所示:采用IBMHA软件与IBMAIX无缝集成完全可以实现Active-ActiveActive-Standy等多种热备模式保证5个9的高可用性能
5.4PC服务器选型PC机服务器一般主要考虑如下几个指标稳定性、可扩展性、应用范围、售后服务,在业界口碑比较好的品牌机中IBM、HP、DELL都计较好,而IBM在三者之中是出类拔萃的,新推出的Xseries屡获大奖,特别是稳定性和应用范围在国内是最多的,售后服务有全国国内都有蓝快的支持,解决了用户的后顾之忧我们推荐IBM作为PC服务器的首选,在本次项目中建议采用X235作为集团总部的WIN2000服务器,采用X205作为WEB服务器配置见设备清单第六章工程管理与实施
6.1工程督导
6.
1.1工作目标要按时、保质地完成A集团综合网络信息系统工程的网络项目,必须进行有效的工程督导A公司具备一套行之有效的工程督导程序,可以从根本上保证工程按时、保质地完成该程序包括设计细化认证、人力资源管理、产品和材料管理、工程和技术档案管理、以及成本控制所有相关的技术资料和操作手册将及时提供给A集团综合网络信息系统工程的各级管理人员,以便他们及时掌握和了解这些技术
6.
1.2内容A公司将向A集团综合网络信息系统工程的网络项目组提供一个行之有效的工程督导方案和详细的工程实施计划,将为A集团综合网络信息系统工程的网络项目组建一个工程实施支持小组,其中包括项目经理、高级工程咨询人员、以及技术工程师为了实现工程督导的目标,具有良好的技术背景和工程经验的工程专家将被任命为项目经理,项目经理将负责计划和督导整个工程的实施在整个工程实施期间,项目经理将全面负责处理和协调在工程实施中所遇到的各方面工作工程督导包括以下具体内容
6.
1.
2.1详细工程计划根据实际安装条件、设备生产期限、人力资源状况、传输系统状况和其它各种现实因素,项目经理全面规划一个符合实际情况的工程进度计划,其中包括各阶段的具体工作内容、各阶段完成工作的定义以及里程碑的定义在得到A集团综合网络信息系统工程网络项目组有关方面的同意之后,项目经理将对整个工程进展进行协调,并在保证工期、质量和降低成本的前提下对工程各个阶段采取必要的督导和控制
6.
1.
2.2基于工程计划协调工程进展项目经理将负责收集有关产品到货、运输、开箱、现场准备、安装进展、用户对公司技术人员的反应等有关信息在分析所有有关的信息之后,如果认为某些因素会导致工程无法顺利进展,项目经理将负责采取必要的措施项目经理将全权负责工程进展的督导和调整,以确保整个工程的全面完成
6.
1.
2.3工程管理项目经理将召集A公司的技术工程师,以形成一个详细的工程管理计划在得到A集团综合网络信息系统工程网络项目组有关方面的同意之后,项目经理将组织有效的人力资源完成工程实施的各项技术资料、并对具体细节加以修正
6.
1.
2.4人力资源和设备资源的统一管理项目经理将负责对工程实施中所有人力资源、设备资源、测试仪器资源统一调配
6.
1.
2.5统一协调项目经理将负责统一协调双方(A集团综合网络信息系统工程和A公司)的工程合作关系在必要时,项目经理将向A集团综合网络信息系统工程提出召集项目工程讨论会的请求
6.
1.3工程管理计划在整个工程实施中,会遇到许多大范围的、交叉相关的工程技术问题,A公司将采用有效的措施以确保所有交叉相关的细节在设备进行现场安装和割接以前进行预处理这种工作程序将取决于工程管理计划文件的准确性和详细性该计划是在项目经理和有关技术工程师对工程细节进行详细研究、对所有安装现场进行详细调查之后所产生的关键性技术文件工程管理计划文件包括以下内容《系统详细设计说明书》《网络拓扑结构和节点配置详细技术说明》《设备命名及IP地址划分》《节点工作详细说明》《基于里程碑的工程进度表技术说明》《网络同步计划》《根据A集团综合网络信息系统工程网络项目组具体技术需求进行参数设定的技术说明》该工程管理计划将始终贯彻于整个工程实施过程之中,并且是整个工程实施的基本技术文件按照该文件的精神和具体内容对整个工程中各个具体工程细节进行微调以确保整个工程能够顺利、按时完成在各个安装地点的负责设备安装、调试与割接的技术人员可以根据该技术文件的内容基于具体情况灵活处理各类技术问题,但又可确保整个工程实施的整体性
6.
1.4工程协调会工程能否顺利实施的一个重要因素是A集团综合网络信息系统工程负责该项目的各级工程管理人员和A公司能够密切地进行合作相互之间的合作和理解是工程实施成功的一个重要基石通过工程协调会的方式可以为参与A集团综合网络信息系统工程网络工程的各方面人员有机会面对面地交流各自工作的进展状况为了确保整个工程的顺利实施,我们衷心希望A集团综合网络信息系统工程网络项目组有关方面的负责人员能够对工程协调会提供有利的支持,并且能够出席工程重要阶段的工程协调会议以便A公司能够通过该工程协调会向A集团综合网络信息系统工程网络项目组有关方面提出需要协调和帮助的请求
6.2工程实施进度一览表在充分考虑到A集团综合网络信息系统工程对工程实施进度的需求和与其相关的其它需求的基础上,A公司根据在实施网络工程的经验,对A集团综合网络信息系统工程网络工程的实施进度提出以下建议(仅供参考,非准确进度表)工程进度时间表(以周为单位)里程碑第1-3周第四周第5-6周第7周第8-10周第11周合同生效设备生产集中培训FOB运输CIF运输设备入关程序设备国内运输提交设备安装环境需求报告提交工程管理计划设备安装现场督导设备安装环境验收在设备现场的安装、测试、提交网络系统初验程序和试运行考核标准建议书在上述工程进度表中的许多阶段,A集团综合网络信息系统工程网络项目组的配合将起到关键的作用,诸如设备出厂后的测试验收、安装地现场环境的准备情况、设备入关程序的完成状况、设备在国内的运输状况,等等这些工程进度阶段的拖延将导致所有后续工程阶段的滞后
6.3每一个具体工程阶段的详细描述
6.
3.1开箱验收在设备安装之前,用户和A公司的代表将负责依照合同设备清单对运抵的设备进行清点和验收
6.
3.2安装环境验收在合同生效后,A公司将利用一个月的时间完成对设备安装现场的督导工作,其中包括对A集团综合网络信息系统工程网络项目组就设备安装现场的准备工作进行指导,形成设备安装现场的验收报告,以明确设备安装现场是否已经满足设备安装条件在合同生效后一周内,A公司的将负责向A集团综合网络信息系统工程有需要安装网络设备的各级机构分发有关设备安装环境需求报告这样,A集团综合网络信息系统工程将有五周的时间做安装现场的环境准备工作在得到A集团综合网络信息系统工程网络项目组业已完成设备安装现场环境准备的书面通知之后,A公司将派送富有经验的工程师对具体安装现场进行督导和验收,以确保设备到货之后能够顺利进行安装设备安装现场的验收和督导包括对现场所有与设备安装有关的环境进行测试和验收根据A公司在中国实施大规模网络系统的经验,下述环境因素较重要现有传输网络结构和接口现有缆线布局和配线排布局设备安装地建筑物强度电路设备状况机架空间和可利用机架状况电源能力和地线排布局A集团综合网络信息系统工程对设备安装所能提供的具体支持(设备支持、人力支持、管理支持、技术支持,等等)具体设备安装构想和方式
6.
3.3设备的现场安装A公司将负责对合同中所提到的所有网络产品进行安装
6.
3.
3.1硬件安装在完成设备安装现场的督导和验收之后,根据工程进度计划,设备将开始逐步抵达相应的设备安装地A公司根据以往在中国实施大范围网络工程的经验,设备的硬件安装也将依次进行,以便缩短硬件安装时间在设备上电以前,机柜需要按照设计要求到位设备的电源配置将根据预先验收的现场电压进行调整机柜内所有冷却系统必须正常运转在此基础上,设备上架连线
6.
3.
3.2软件安装现场工程师将确认软件版本和固件程序的版本,同时确保与前期已安装过的节点设备在软件版本和固件程序版本上的一致性如果需要,可以通过电子下载的方式使整个网络系统在软件版本上保持一致
6.
3.
3.3参数配置为了确保设备安装的顺利和按时,A公司将对安装现场所有需要与合同设备端接的电缆以及接口进行测试,并对布线达成协议,其中包括双方同意的终端点的具体位置;所有配线排的物理布线图;所有电缆终端器的测试;利用仪器对所有相关电缆进行100%测试;所有测试结果将做为现场安装的参考技术资料,并由双方签字
6.
3.
3.4现场故障维修如果设备在现场安装的过程中出现故障,A公司的现场工程师将和A集团综合网络信息系统工程的工程师一起对故障设备进行维修,使之恢复正常和A集团综合网络信息系统工程的网络工程师一起对设备故障进行维修可以使这些工程师在A公司现场工程师的帮助下逐步具备现场维修的实际经验
6.
3.
3.5网络升级的技术支持Cisco公司为了保证设备的先进性,在软件、硬件和固件的升级上比起其它网络设备厂商较为频繁所以,A公司将提供现场软件、硬件和固件升级的技术支持,保证A集团综合网络信息系统工程的网络系统在软件、硬件和固件的版本上保持一致
6.
3.4单节点测试与验收在每一个节点完成设备安装之后,A公司的现场工程师将和A集团综合网络信息系统工程的技术人员一起进行该节点的测试验收工作这样,A集团综合网络信息系统工程的技术人员可以接手该节点的工作在完成设备安装之后,A公司将为A集团综合网络信息系统工程提供一整套设备测试程序该测试程序不但用于设备验收测试,而且做为系统初验的附属技术文件该程序的基本步骤如下上电后,系统诊断程序将对系统中的每一个功能模块进行诊断冗余测试包括对控制处理器系统、电源系统、以及系统背板这些测试将用来保证整个设备在冗余和骨干模块上完全符合合同规定的功能模拟断电将是测试设备配置的一个内容,以证明整个设备具有自恢复功能
6.
3.5系统初验和系统试运行一旦所有合同节点完成测试,A公司将和A集团综合网络信息系统工程的技术人员一起进行整个合同系统的初验测试有关整个网络系统初验的具体细节将由A公司和A集团综合网络信息系统工程网络项目组在完成所有节点割接之前进行详细讨论一个月的系统试运行将在系统初验之后开始
6.
3.6系统终验当整个网络系统进入试运行期,A公司将向A集团综合网络信息系统工程网络项目组提供行之有效的技术支持以确保整个网络的稳定运营在此同时,A公司将通过这些具体的技术支持帮助A集团综合网络信息系统工程的操作人员熟悉和掌握这些设备与技术另外,做为选项,A公司还可以向A集团综合网络信息系统工程网络项目组提供其它技术支持,以提高整个网络系统的运行效能系统试运行期对整个网络系统而言是一个非常重要的时期在此期间,由于多种因素的影响,可能会出现一些意想不到的设备问题和人为故障,而这些问题一般在系统开始运行时不会马上出现,而且许多技术问题是和技术人员的具体操作有关由于A集团综合网络信息系统工程的技术人员对Cisco设备不够熟悉,所以这些技术问题一般需要在A公司和CISCO公司的技术人员指导下才能够解决系统试运行期对A集团综合网络信息系统工程的技术人员而言是逐步熟悉和掌握A公司所提供的新设备和新技术的重要时期在系统试运行期间,A公司将提供必要的现场技术支持,并尽全力帮助A集团综合网络信息系统工程的技术人员解决有关技术问题同时通过定期维护以避免设备故障的发生另外,A公司将帮助A集团综合网络信息系统工程网络的技术人员提高他们的技术水平,以便通过他们的努力使A集团综合网络信息系统工程网络项目组的运行更加高效在通过一个月的系统试运行而无重大设备故障的情况下,A公司将和A集团综合网络信息系统工程一起进行系统终验
6.
3.7在合同设备保修期内的技术支持
6.
3.
7.1技术支持概念A公司相信高效的技术支持是我公司业务成功的基础,同样也是A集团综合网络信息系统工程网络系统处于良好运营状态的重要保证A公司可以为A集团综合网络信息系统工程提供从如何有效利用带宽直至全天侯网络监控的所有技术支持A公司技术支持机构的高效取决于三点对技术人员的培养、高质量的设备、以及遍布全国的网络体系
6.
3.
7.2技术人员的培养A公司在组建技术支持小组时即开始对技术工程师的培养,所有参加技术支持小组的工程师必须掌握设备技术知识、群体工作方式以及用户支持技巧 技术支持工程师还经常进行交叉培训,使其了解其它部门的技术知识比如现场技术支持工程参加技术支持中心工程师培训、而技术支持中心工程师参加现场支持技术培训,这样使这些工程师能够相互了解各自的工作方式和技术,以便增加这些工程师对远程和现场支持的了解所有这些课程的目的是为了提高我公司的技术工程师对用户进行技术支持的水准和效率
6.
3.
7.3技术支持的构架技术支持机构如同公司信誉,而用户正是基于这种信誉来选择产品因为向产品供应商采购产品只是一时一事,而依赖于供应商对设备的技术支持则是长期合作的主要内容正是基于该观点,A公司甚至在新产品研制和开发阶段就开始考虑对该产品进行技术支持的构架通过电话拨号或利用以太网端口通过Telnet链路层进入网络系统技术工程师可以联接到任何节点进行故障排除工作,如同该技术工程师亲临现场一样Cisco的所有设备均可以通过这种方式与设备的自诊断功能联接起来设备内的诊断插件将不断地进行设备性能自检和背板自检,以便确定将会影响节点设备性能的潜在故障这些自检功能和设备的冗余功能相结合,确保了Cisco公司设备可以将影响节点设备正常运行的故障减少到最低限度安装在设备中的许多计数器和计时器同样也能帮助现场工程师快速地确定故障发生的原因另外,通过故障翻译器将设备中的故障代码翻译成语言这些措施都将帮助技术工程师早排除故障,从而降低技术支持的成本
6.
3.
7.4灵活有效的技术支持通信环境在保修期内,A公司将提供灵活、有效的技术支持我公司在北京的技术支持中心配备有近十名技术工程师他们将提供技术咨询、故障诊断、故障排除、以及现场支持等具体的技术支持工作A集团综合网络信息系统工程网络部门可以通过电话、寻呼机、电子邮件或传真等方式与该中心联系所有电话、电子邮件和传真将被记录并跟踪,直至故障或技术问题得以解决为止对于每一个电话、电子邮件或传真,该中心将会提供一个唯一登记号以便进行跟踪和处理◆电话和寻呼机我公司向A集团综合网络信息系统工程网络部门提供不间断的电话或寻呼机服务一旦我公司通过电话或寻呼机接收到有关的技术支持请求,我公司将在四小时内予以响应并通过电话解答A集团综合网络信息系统工程网络部门的技术问题◆电子邮件除了电话和寻呼机通信方式以外,A集团综合网络信息系统工程网络部门可以通过电子邮件方式和A公司技术部联络在这种情况下,A公司同样会在四小时之内对技术支持的请求予以应答,并且根据技术问题的内容迅速提供各种解决问题的建议和方案首先,A公司技术部将通过故障排除记录数据库寻找相同的故障解决方案的记录如果此故障曾经在世界某地的节点上发生过,则该数据库将有相应的记录A公司技术部的工程师将在十分短的时间内调出该记录,并把排除该故障的技术方案记录通过电子邮件提交A集团综合网络信息系统工程网络维护部门如果此故障在故障排除记录数据库中没有记录,A公司技术部的工程师将通过思科系统有限公司技术支持网络体系得到公司有关专题技术小组的远程支持、通过远程诊断的方式对具体节点的故障进行更进一步的诊断,随时向A集团综合网络信息系统工程网络关部门通报故障诊断和排除情况如果有必要,A公司技术部将在得到故障报告后八小时内向A集团综合网络信息系统工程网络维护部门提交派出现场技术支持工程师的通知,以便A集团综合网络信息系统工程网络维护部门能够进行相应的配合,及时排除故障,使设备恢复正常运行状态◆传真A集团综合网络信息系统工程网络维护部门也可以通过传真向A公司技术部提交需要技术支持的请求
6.
3.
7.5有效的技术支持措施根据A公司在国内的经验,下面的具体技术支持措施将会对A集团综合网络信息系统工程网络项目组具有实际意义◆远程技术支持A公司技术支持工程师将通过国际互联网的向A集团综合网络信息系统工程网络项目组下属具体部门和人员提供远程技术支持◆预先硬件更换一旦A公司技术部确认是硬件故障,A公司将启动预先硬件更换程序我公司将立即通过快递将需要的硬件模块直接寄往节点安装地如果有必要,现场技术支持工程师将会立即前往故障节点安装地当完成硬件模块更换并且节点设备进入正常运行状态之后,故障模块由A集团综合网络信息系统工程网络维护部门负责寄回北京保税库◆现场技术支持一旦节点设备出现严重故障,而且通过远程诊断确认必须进行现场故障排除的话,A公司技术部将根据具体技术支持工程师的工作地点、以及科联集成技术支持伙伴的技术支持工程师的工作地点,以最快的方式调动有关工程师赶赴故障现场同时,将及时通知A集团综合网络信息系统工程网络维护部门做好相应的准备工作拨号咨询A集团综合网络信息系统工程网络维护部门可以用拨号方式通过Internet得到相应的技术咨询A公司将会对A集团综合网络信息系统工程网络项目组提出的技术问题给予及时的答复◆软件维护为了确保整个网络系统的正常运行,A公司通过网管中心向A集团综合网络信息系统工程网络项目组提供软件维护技术支持◆软件升级通过网管中心,A公司可以帮助A集团综合网络信息系统工程网络项目组上的所有节点实施软件同步升级,从而保证A集团综合网络信息系统工程的网络系统在功能上一直处于世界领先地位◆备品备件根据A公司在全国范围内网络系统的技术支持经验,我们建议A集团综合网络信息系统工程网络项目组存储一定数量的备品备件,以确保可以立即更换坏损的模块这种备品备件是对A公司预先更换硬件程序的一个必要补充,这样可以不必由于邮递问题而影响节点故障的排除和恢复第七章网络培训计划A公司十分重视为客户提供高水平的技术培训我们认为,做好培训工作是本工程的重要工作之一不会用或不熟练,再好的软件,也不会取得成功A公司与是美国启迪培训公司保持者良好的合作关系,A公司建有一个设施完备的培训教室,常年提供高级的技术培训服务根据我们以往对这类项目工程的培训经验,为了使得用户更加充分了解和掌握设备的性能和功能以利于系统的使用和维护我们将针对日常操作和系统维护两种不同的目的组织两种不同层次的培训另外A公司还会安排定期和不定期的专门技术培训,我们可以提供免费名额供用户有选择参加
7.1培训规划本项目是A集团的重点工程,A公司公司将本着服务A信息化的原则,通过有效的培训手段为项目成功提供保障培训工作可分为技术培训和系统使用培训两类,根据“A集团信息系统”各建设阶段的不同需要,以网上培训,热线支持,集中培训和现场培训的方式实施培训工作接受培训的人员在培训后能独立完成相应的技术工作保证我方实施的工程项目能够作到“交钥匙”工程,“用户满意”项目在系统运行和推广期间若用户有培训要求,我方将秉着为客户服务的原则,利用我方资源,协调外部资源,协助委托方完成相关培训
7.2培训目的在项目实施过程中,本着全面共享知识与经验的宗旨,除贯穿实施全过程的用户传帮带外,还会针对工程中的软硬件设备配置提出一整套系统的培训方案,以达到如下目的通过对甲方技术协作及系统运行维护人员的培训,使甲方其能够切实理解和掌握操作系统、网络系统、网络安全等各种基础知识,熟练管理以及维护操作,保证系统完工后能够正常运转,并得到优化的执行通过对系统使用者的操作培训,使其熟练使用业务系统,充分发挥系统的作用
7.3培训方式培训方式采用集中培训,现场培训,网上培训,热线支持和发放宣传材料等相结合的方式,针对不同层次的人员,开设不同的培训课程集中培训方式分别针对系统管理员、系统维护人员和系统操作人员,开设集中培训课程重点是系统维护人员和系统操作人员,采用集中授课的方式,进行培训现场培训方式重点针对系统管理员,通过在现场的施工和培训,深层次的掌握系统各设备的使用、维护、故障检修和各种日常操作等热线支持方式在系统初运行的一年内通过A公司服务热线提供即时操作咨询
7.4培训对象根据项目实施经验,我们将人员分成两大类-技术人员---即在实施A集团信息系统建设项目中将主要参与全过程实施的各专业工程师与技术开发人员和系统维护人员-操作用户---即用户群体中所有与信息系统相关人员包括领导
7.5培训教师根据不同的培训内容,由A公司联合软硬件厂家及合作伙伴供同配备相应的培训教师,为了保证培训的深度和层次有下面背景的专业人员提供培训服务教师职责资深工程师具有深厚理论基础及实际工作经验的技术专家,提供高层次的咨询高级工程师在项目的实施过程中作为团队领导,对整个过程完整把握,具有丰富的实施经验工程师参与项目的成员专业讲师具有不同认证资格的专业讲师
7.6培训课程本次培训,我们提供丰富的培训课程,包括技术培训(网络、主机、操作系统、安全、开发技术、集成等)
7.
6.1课程列表说明,参加高级别的人员要选修低级别的培训,如参加高级别的人课程要选修中级、初级课程初级课程编号课程名称培训对象培训时间小时FUN-NET网络基础路由基础、VLAN基础、VPN基础、QOS基础、上机技术人员及相关部门其它人员自愿参加24FUN-Sec安全基础(防火墙知识、防病毒知识、入侵检测知识、安全集中控制、上机)技术人员及相关部门其它人员自愿参加36FUN-AIX主机基础(AIX基础、TCP/IP管理、SHELL、编程环境、HA安装维护)技术人员及相关部门其它人员自愿参加24FUN-DB数据库基础(SQL基础、用户管理、权限管理、基本优化)技术人员及相关部门其它人员自愿参加12中级课程编号课程名称培训对象培训时间小时OPR-NET1路由技术理论RIP、RIP
2、IGRP、EIGRP、OSPF、BGP2上机(路由)3VLAN
802.1Q桥接、VLAN规划4上机(VLAN)5WAN设计(FR、ISDN、DDN)6上机(WAN)7VPN设计IPsec、GRE、L2TP、MPLS-VPN8上机(VPN)9网络诊断10上机(网络诊断)系统维护人员32(含12小时上机)OPR-Sec1高级协议处理技术和攻击防护装置(包括上机)2访问控制设定和内容过滤(包括上机)3身份鉴定代理服务器设置(包括上机)4IDS部署(包括上机)5IDS功能实现(包括上机)安全和系统人员36(含12小时实验)DEV-AIXAIX5LTCP/IPADMINISTRATIONAIX5lBASICSAIX5LSYSTEMADMINISTRATIONKORNSHELLPROGRAMMINGAU28AIXVERSION5LPERFORMANCEMANAGEMENTAIXVERSION5LSECURITYAIXHACMPSYSTEMHACMPINSTALLATIONIMPLEMENTATIONHACMPProblemDeterminationandRecoveryRS/6000SPOVERVIEWPLANNINGANDINSTALLATION系统和开发人员36含12小时实验OPR-DBORACLE9!特性与基础数据库体系结构启动与关闭用SQL进行基本数据库访问用PL/SQL对数据库访问编程使用JDBC开发Java数据库应用程序使用SQLJ开发Java数据库应用程序表/视图/序列生成器/同义词/索引基本数据库管理(包含上机)数据库系统与开发、操作人员36含12小时实验高级-专题培训课程编号课程名称培训对象培训时间小时ADV-NET大规模路由设计基于IPsec+GERVPN设计IP组播技术与实现IOS安全特性与实现项目负责人,网络管理,相关部门技术负责人12(含4小时上机)ADV-SecIDS结构体系防火墙与IDS联动技术项目负责人,CSO,8小时(含四小时上机)ADV-AIXADVANCEDSYSTEMADMINISTRATIONAIX故障诊断工具和技术HACMPFORORACLE,项目负责人,数据库主管、CIO12小时(含6小时上机)ADV-DBORACLEPrograming项目负责人,数据库主管、CIO8小时上机第八章维护和支持在系统交付A集团使用之后,A公司将提供后期的维护服务或系统支持服务A公司将为A集团提供一年的维护期服务在此期间我们将对CISCO设备,按有效服务期提供新的版本升级超过维护服务期后,A公司可为A集团提供不同方式的系统支持服务
8.1服务的级别系统支持服务有四种级别,如下表中所示A集团可根据自身的实际情况进行选择紧急情况系统中的关键设备发生故障而导致在线网络全部瘫痪或者全部应用或者关键应用发生瘫痪在这种情况下,A公司和客户须承诺提供专职的资源以排除故障高优先级系统部分发生瘫痪以及对全部应用或者关键性应用产生关键性的影响在这种情况下,A公司和客户须承诺提供专职的资源以排除故障普通优先级系统部分瘫痪或者显著降级到不可接受的水平在这种情况下,A公司和客户需要承诺在正常商业时间中提供专职的资源以解决出现的问题低优先级系统轻微受损或者明显地对客户的运行很少或者没有影响在这种情况下,A公司和客户将承诺在正常的商业时间中提供资源以便将服务恢复到令人满意的水平,或者按要求提供帮助信息响应时间紧急高优先级普通优先级低优先级1小时工程师工程师2小时高级工程师工程师4小时支持专家高级工程师工程师8小时技术指导支持专家高级工程师24小时地区经理技术指导支持专家高级工程师48小时总经理地区经理技术指导支持专家72小时管理指导总经理地区经理技术指导
8.2硬件支持服务我们的硬件支持服务将对合同中的所有硬件系统提供业界最优秀的技术支持和维修服务为了满足A集团的各种应用需求,硬件支持服务将在保证系统正常运行的同时尽可能提高系统的性能硬件支持服务具有如下标准特征硬件支持——15日内故障硬件设备替换完整的服务——到达设备现场后,我们的工程师将提供连续服务,直到故障被排除,设备恢复正常运行为止工程的改善——我们将在确保最佳性能和兼容性的前提下,进行适当的工程改进升级管理——对于那些非常复杂的硬件问题,我们将与A集团的有关人员密切合作,对系统逐步升级预防性的硬件维护——我们的工程师将定期对系统进行诊断,根据需要排除故障,并调整有关部件现场环境调查——我们的工程师将定期监视设备现场运行环境的变化,并向A集团的系统管理员提出必要的改进建议5×8小时电话服务——对于低于特优级的支持服务事项,用户每天8小时都可以拨通热线服务电话,我们的应答中心将全部记录您的电话内容,并在下一工作日通知有关人员7×24小时电话服务——对于高优级的支持服务事项,用户每天24小时都可以拨通热线服务电话,我们的工程师将做出立即响应,协助A集团的有关人员对故障作应急处理第九章结束语A公司作为一个国内知名的高科技公司,非常荣幸的参与A集团关于------A集团综合网络信息系统工程的招标工作,A公司将提供业界最优秀的设计方案和最科学的管理队伍来迎接挑战www.sysvs.com/bbsit售前论坛经典婚庆主持词炮竹声声贺新婚欢声笑语迎嘉宾. 尊敬各位来宾各位领导各位亲朋好友先生们女士们活泼可爱的小朋友们大家好! 好歌好语好季节好人好梦好姻缘. 来宾们今天是公元****年**月**日农历六月初八是良辰吉日在这大吉大利吉祥喜庆的日子里我们怀着十二分的真诚的祝福相聚在***酒楼一楼婚宴大厅共同庆贺***先生与***小姐新婚典礼.首先我们给予掌声的恭喜大家都知道结婚是人生中的一件大事而婚礼更是人生中最幸福神圣的时刻尤其婚礼上浪漫温馨高雅别致的婚礼仪式以及亲朋好友的良好祝愿会给新人一生永远带来最美好的回忆.各位亲朋好友我是本次婚礼庆典的主持人***.今天我十分荣幸地接受新郎新娘的重托步入这神圣而庄重的婚礼殿堂为新郎***新娘***的婚礼担任司仪之职.让我们在这里共同见证一对新人人生中最幸福神圣美好的一刻! 真是: 百鸟朝凤凤求凰龙凤呈祥喜洋洋. 让我们用掌声祝贺他们祝福新人 凤凰展翅迎朝晖恩爱鸳鸯比翼飞. 携手同步知心人共创宏图献真情. 郎才女貌天作美洞房花烛喜成双. 在神圣的婚礼进行曲中一对新人手挽手肩并肩缓缓步入婚礼大厅.脸上充满了无比幸福的笑容让我们用掌声与鲜花给予一对新人最诚挚的祝福.婚姻是人生大事结婚典礼对青年男女来说是一生中最重要的时刻. 你也笑我也笑亲朋好友齐来到. 天也新地也新众星捧月迎新人. 新郎新娘台上站甜蜜感觉涌心间. 风风雨雨牵手过今天喜结美姻缘. 亲朋好友齐相聚欢欢喜喜来贺喜. ***天仙配幸福的生活比蜜甜. 在这个激动人心的美好时刻作为婚庆司仪首先请允许我代表新郎新娘以及新郎新娘的双方家长对今天百忙当中来参加婚礼的各位来宾各位亲朋好友的光临表示最诚挚的谢意和热烈的欢迎谢谢大家!欢迎你们! 婚礼对每一个新婚的人而言都是神圣浪漫唯美和经典的随着神圣的婚礼进行曲奏响英俊的新郎和美丽的新娘在掌声与祝福声中缓缓的步上红地毯那是万众瞩目的一瞬那是梦寐以求的一瞬那是凝结爱的万语千言的一瞬那是最激动人心的一瞬一同迷醉在尘世间最美妙的气氛里. 爱情是古老而年轻的话题也是不朽的人生主题.许多人已经拥有更多人正在追求今天这两位新人从有过初恋时月上柳梢头人约黄昏后的热烈心跳到也有热恋中冷落清秋伤别离的难舍难分经历了似水柔情如梦佳期的苦苦期盼品尝过相知不渝永结金兰的浪漫温馨终于迎来这携手共赴红地毯的幸福时刻.啊!美丽的新娘这一刻整个世界因你而多姿多采英俊萧洒的新郎这一刻整个宇宙而为你祝福祝福你们在这鲜花绽开的时候祝福你们在这神圣庄重的幸福时刻. 首先由我介绍一下二位新人站在我身边这位英俊潇洒的男子就是我们今天的新郎官***先生掌声恭喜新郎不仅风度翩翩气质不凡而且忠厚诚实为人和善是一位才华出众的好青年.大家往我们新郎身上看新郎今天是新洗的脸新刷的牙新刮的胡子新理的发新衬衣新领带新买的皮鞋脚下踩新背心新西服里边还穿了一条新内裤新郎浑身上下全是新新郎心情喜盈盈.大家给点掌声.旁边这位美丽迷人漂亮温柔的女子就是我们今天的新娘子***小姐.掌声恭喜介绍新娘大家看我们的新娘人家眉毛好眼睛好鼻子好嘴巴好耳朵好脸蛋好最关键还是人家心眼好温馨小姐温文而雅贤惠大方青春高洁性情端庄诚实可靠心地善良遇事豁达外柔内刚新郎你真有眼光.新娘不仅温柔体贴漂亮可爱而且手巧能干心灵纯洁是一位可爱的好姑娘.二位新人的结合我可以用八个字来形容在合适不过那就是珠联壁合佳偶天成或郎才女貌天生一对!大家一起说是不是各位嘉宾各位朋友二位新人经过甜蜜的恋爱耐心的等待终于在法律的保护下正式结为幸福伴侣.茫茫人海芸芸众生中 让我们为幸福的恋人起舞,为快乐的爱侣歌唱,为火热的爱情举杯,愿他们的人生之路永远洒满爱的阳光,好,各位来宾,亲爱的朋友们,今天的新婚庆典议式就暂时告一个段落,那么,接下来咱们要进行的是喝喜酒大赛,今天咱们的老东家准备了一些薄酒淡菜不呈敬意,那么在开局之前呢送我们在座的所有来宾一副对联上联是吃,吃尽天下美味不要浪费,下联是喝,喝尽人间美酒不要喝醉,横批是赵本山的一句至理名言吃好喝好!那么最后呢也祝愿我们在场的所有来宾所有的朋友们家庭幸福,生活美满,身体健康,万事如意!。