【原】某企業(yè)運(yùn)營(yíng)（集團(tuán)）有限公司信息化建設(shè)規(guī)劃方案

目錄

1.     單位信息化建設(shè)現(xiàn)狀分析

    1.1      網(wǎng)絡(luò)性能風(fēng)險(xiǎn)

    1.2      管理功能風(fēng)險(xiǎn)

    1.3      網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

    1.4      數(shù)據(jù)安全風(fēng)險(xiǎn)

    1.5      訪問(wèn)身份識(shí)別風(fēng)險(xiǎn)

    1.6      信息化支撐環(huán)境風(fēng)險(xiǎn)

2.     需求分析

    2.1      網(wǎng)絡(luò)及管理需求分析

    2.2      網(wǎng)絡(luò)安全需求分析

    2.3      數(shù)據(jù)安全需求分析

    2.4      訪問(wèn)身份識(shí)別認(rèn)證需求分析

    2.5      信息化支撐環(huán)境建設(shè)需求分析

3.     規(guī)劃思路

4.     建設(shè)目標(biāo)

    4.1      總體目標(biāo)

    4.2      網(wǎng)絡(luò)建設(shè)

    4.3      網(wǎng)絡(luò)安全建設(shè)

    4.4      數(shù)據(jù)安全建設(shè)

    4.5      訪問(wèn)身份識(shí)別認(rèn)證建設(shè)

    4.6      信息化支撐環(huán)境建設(shè)

    4.6.1       一體化智能機(jī)房支撐環(huán)境建設(shè)

    4.6.2       超融合私有云平臺(tái)支撐環(huán)境建設(shè)

5.     解決方案

    5.1      企業(yè)信息化總體規(guī)劃網(wǎng)絡(luò)拓?fù)鋱D

    5.2      近期網(wǎng)絡(luò)改造拓?fù)鋱D

6.     規(guī)劃預(yù)算

    6.1      企業(yè)信息化總體規(guī)劃建設(shè)預(yù)算

    6.2      近期網(wǎng)絡(luò)改造建設(shè)預(yù)算

7.     實(shí)施步驟

1. 單位信息化建設(shè)現(xiàn)狀分析

近期通過(guò)對(duì)XXX企業(yè)運(yùn)營(yíng)（集團(tuán)）有限公司（以下簡(jiǎn)稱XXX企業(yè)）的財(cái)務(wù)系統(tǒng)及辦公系統(tǒng)進(jìn)行巡檢，分別對(duì)上述系統(tǒng)的運(yùn)行環(huán)境、運(yùn)行的狀態(tài)以及設(shè)備的健康情況都做了一次全面的檢測(cè)。

通過(guò)這次巡檢，發(fā)現(xiàn)XXX企業(yè)的網(wǎng)絡(luò)性能和管理功能缺失、網(wǎng)絡(luò)安全保護(hù)缺失、數(shù)據(jù)網(wǎng)安風(fēng)險(xiǎn)、訪問(wèn)身份識(shí)別缺失、信息化運(yùn)行支撐環(huán)境缺失等重要的生產(chǎn)風(fēng)險(xiǎn)。以下分別詳細(xì)說(shuō)明上述風(fēng)險(xiǎn)情況。

1.1網(wǎng)絡(luò)性能風(fēng)險(xiǎn)

XXX企業(yè)目前的財(cái)務(wù)系統(tǒng)使用的兩臺(tái)服務(wù)都是接入到一臺(tái)傻瓜交換機(jī)，性能不足。影響業(yè)務(wù)處理效率，會(huì)導(dǎo)致數(shù)據(jù)傳輸瓶頸，日后業(yè)務(wù)量增加會(huì)造成系統(tǒng)卡頓，正常業(yè)務(wù)無(wú)法開(kāi)展。

1.2管理功能風(fēng)險(xiǎn)

由于傻瓜交換機(jī)只做簡(jiǎn)單的數(shù)據(jù)轉(zhuǎn)發(fā)，不能設(shè)置VLAN、訪問(wèn)控制策略、QOS等高級(jí)的網(wǎng)絡(luò)管理功能，不具備管理性。網(wǎng)絡(luò)一出現(xiàn)故障根本無(wú)從查起，隨著單位業(yè)務(wù)的擴(kuò)大，數(shù)據(jù)訪問(wèn)規(guī)模也不斷增加這將是致命的風(fēng)險(xiǎn)。

1.3網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

網(wǎng)絡(luò)中沒(méi)有防火墻，對(duì)于網(wǎng)絡(luò)邊界控制無(wú)法有效保護(hù)。黑客容易攻擊內(nèi)網(wǎng)，癱瘓服務(wù)器，導(dǎo)致業(yè)務(wù)中斷。內(nèi)網(wǎng)電腦和服務(wù)器沒(méi)有安裝網(wǎng)絡(luò)版的殺毒軟件只有單機(jī)版軟件，防護(hù)能力比較弱不能統(tǒng)一管理。存在病毒爆發(fā)的風(fēng)險(xiǎn)較高，如勒索病毒攻擊，造成單位經(jīng)濟(jì)損失。

1.4數(shù)據(jù)安全風(fēng)險(xiǎn)

目前備份計(jì)劃采用本機(jī)備份和手工拷貝的方式進(jìn)行備份存儲(chǔ)，沒(méi)有實(shí)現(xiàn)異地備份要求。萬(wàn)一發(fā)生突發(fā)情況，容易導(dǎo)致數(shù)據(jù)損壞難以及時(shí)恢復(fù)。手工拷貝的數(shù)據(jù)管理層面上不規(guī)范容易丟失，也依賴人員的日常工作效率，存在備份不及時(shí)的情況。無(wú)法實(shí)現(xiàn)數(shù)據(jù)容災(zāi)業(yè)務(wù)切換本地?cái)?shù)據(jù)損壞或突然災(zāi)害，數(shù)據(jù)全部永久丟失。

1.5訪問(wèn)身份識(shí)別風(fēng)險(xiǎn)

財(cái)務(wù)數(shù)據(jù)服務(wù)器訪問(wèn)是直接通過(guò)互聯(lián)網(wǎng)打開(kāi)網(wǎng)址訪問(wèn)，外網(wǎng)用戶和未經(jīng)授權(quán)的用戶都可以直接訪問(wèn)到這個(gè)財(cái)務(wù)業(yè)務(wù)的網(wǎng)址，這些都沒(méi)有經(jīng)過(guò)授權(quán)身份驗(yàn)證，導(dǎo)致網(wǎng)上訪問(wèn)未授權(quán)人員隨意訪問(wèn)，容易造成業(yè)務(wù)數(shù)據(jù)容易遭篡改、刪除以及泄露等。

1.6信息化支撐環(huán)境風(fēng)險(xiǎn)

從目前設(shè)備存放環(huán)境，例如OA和合同服務(wù)器存放地點(diǎn)環(huán)境較為惡劣且不符合國(guó)家對(duì)信息化機(jī)房標(biāo)準(zhǔn)的規(guī)范，沒(méi)有防雷、防盜、消防等安全措施。以及不符合國(guó)家等保建設(shè)要求。信息資產(chǎn)難以保障穩(wěn)定運(yùn)行，例如；盜竊、雷擊損壞、火災(zāi)損壞。不符合國(guó)家《網(wǎng)絡(luò)安全法》的建設(shè)要求，單位的相關(guān)責(zé)任人承擔(dān)法律責(zé)任的風(fēng)險(xiǎn)。

上述風(fēng)險(xiǎn)的存在多是由于單位在長(zhǎng)期的經(jīng)營(yíng)過(guò)程中逐步積累下來(lái)，因?yàn)樾畔⒒慕ㄔO(shè)都是跟隨單位的業(yè)務(wù)發(fā)展而推進(jìn)，大多是因地制宜有什么條件上什么系統(tǒng)的現(xiàn)象。也是國(guó)內(nèi)企業(yè)信息化建設(shè)的通病，重建設(shè)輕設(shè)計(jì)，“頭痛醫(yī)頭，腳痛醫(yī)腳“的情況。大量的企業(yè)信息化建設(shè)往往最容易忽視的就是信息化的頂層設(shè)計(jì)和整體規(guī)劃，忽略了企業(yè)業(yè)務(wù)飛速發(fā)展的可能以至于信息建設(shè)嚴(yán)重滯后于企業(yè)的發(fā)展。導(dǎo)致了上述風(fēng)險(xiǎn)的出現(xiàn)。

2.需求分析

2.1網(wǎng)絡(luò)及管理需求分析

根據(jù)現(xiàn)有業(yè)務(wù)以及企業(yè)未來(lái)發(fā)展對(duì)帶寬需求的分析，以及技術(shù)上千兆以太網(wǎng)技術(shù)更為規(guī)范、更為穩(wěn)定可靠，并且最為廣泛應(yīng)用的特點(diǎn)，因此要求網(wǎng)絡(luò)交換機(jī)的主干鏈路采用千兆端口鏈路。同時(shí)要求使用較高性能的交換機(jī)做為服務(wù)器接入交換機(jī)，未來(lái)可以配置更高性能的路由交換機(jī)做為核心交換機(jī)以承載整個(gè)企業(yè)網(wǎng)絡(luò)的數(shù)據(jù)業(yè)務(wù)流量。針對(duì)各種應(yīng)用，有多種的保護(hù)機(jī)制，如劃分VLAN、MAC地址綁定、配合ACL等具體技術(shù)提升整個(gè)網(wǎng)絡(luò)的可管理性。

2.2網(wǎng)絡(luò)安全需求分析

首先在確保目前系統(tǒng)的邊界訪問(wèn)保護(hù)安全的前提下，在網(wǎng)絡(luò)出口部署防火墻，應(yīng)對(duì)傳統(tǒng)網(wǎng)絡(luò)攻擊和高級(jí)威脅，實(shí)現(xiàn)網(wǎng)絡(luò)安全域隔離、精細(xì)化訪問(wèn)控制、高效威脅防護(hù)和高級(jí)威脅檢測(cè)等功能。同時(shí)對(duì)出口的流量及訪問(wèn)做審計(jì)，以滿足《網(wǎng)絡(luò)安全法》對(duì)上網(wǎng)日志留存審計(jì)的要求。

在上述基礎(chǔ)上再考慮安全等級(jí)保護(hù)的建設(shè)任務(wù)。用以滿足公安部等保2.0相應(yīng)等級(jí)的基本要求，綜合平衡風(fēng)險(xiǎn)與資金投入，以技術(shù)保障為基礎(chǔ)、以管理運(yùn)營(yíng)為抓手、以監(jiān)測(cè)預(yù)警為核心、以協(xié)同響應(yīng)為目標(biāo)的網(wǎng)絡(luò)安全防御體系并落地為具體的安全需求，包括安全物理環(huán)境、安全網(wǎng)絡(luò)通信、安全區(qū)域邊界、安全管理中心、安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理、安全運(yùn)維管理各個(gè)層面的安全需求，將安全需求轉(zhuǎn)化為可以實(shí)現(xiàn)的技術(shù)防護(hù)、安全管理措施，安全運(yùn)營(yíng)手段，設(shè)計(jì)合理的安全建設(shè)方案。建設(shè)“可信、可控、可管”的安全體系，從而實(shí)現(xiàn)以安全保應(yīng)用，用安全促應(yīng)用的最終目標(biāo)。

2.3數(shù)據(jù)安全需求分析

為了實(shí)現(xiàn)核心業(yè)務(wù)的持續(xù)運(yùn)行，保障企業(yè)業(yè)務(wù)的穩(wěn)定發(fā)展。本項(xiàng)目要求建設(shè)數(shù)據(jù)備份解決方案，在出現(xiàn)服務(wù)器數(shù)據(jù)存儲(chǔ)硬件或軟件錯(cuò)誤時(shí)，比如服務(wù)器硬盤損壞、數(shù)據(jù)中毒、遭遇誤刪誤改、丟失等情況下，業(yè)務(wù)系統(tǒng)能有一份額外的數(shù)據(jù)實(shí)現(xiàn)數(shù)據(jù)的可恢復(fù)性，確保應(yīng)用系統(tǒng)的安全，同時(shí)實(shí)現(xiàn)核心業(yè)務(wù)數(shù)據(jù)的連續(xù)性保護(hù)，避免數(shù)據(jù)丟失時(shí)間過(guò)長(zhǎng)。

數(shù)據(jù)備份需求：

• 實(shí)現(xiàn)對(duì)核心數(shù)據(jù)的連續(xù)保護(hù)，以確保在發(fā)生邏輯錯(cuò)誤時(shí)，可以將數(shù)據(jù)恢復(fù)至上一個(gè)正確的時(shí)刻。能夠?qū)崿F(xiàn)系統(tǒng)數(shù)據(jù)任意時(shí)間點(diǎn)的恢復(fù)，時(shí)間精度為微秒級(jí)，避免出現(xiàn)數(shù)據(jù)大量丟失。

• 災(zāi)備數(shù)據(jù)可以不通過(guò)恢復(fù)直接使用，方便進(jìn)行數(shù)據(jù)驗(yàn)證，確保數(shù)據(jù)可用性。

解決客戶通過(guò)互聯(lián)網(wǎng)使用電腦及智能終端遠(yuǎn)程辦公、專網(wǎng)環(huán)境辦公等場(chǎng)景的未授權(quán)和安全接入問(wèn)題。實(shí)現(xiàn)客戶安全接入企業(yè)內(nèi)部業(yè)務(wù)系統(tǒng)，如財(cái)務(wù)、OA、合同管理系統(tǒng)等。在滿足客戶的身份安全、傳輸加密、訪問(wèn)授權(quán)、日志追溯等多種安全需求基礎(chǔ)上進(jìn)行高強(qiáng)度鏈路加密和多維度身份認(rèn)證。

2.5信息化支撐環(huán)境建設(shè)需求分析

信息化支撐環(huán)境包括數(shù)據(jù)中心機(jī)房以及數(shù)據(jù)中心私有云基礎(chǔ)設(shè)施。企業(yè)數(shù)據(jù)中心機(jī)房主要是用于存放企業(yè)核心信息化設(shè)備的場(chǎng)所，就是企業(yè)信息化的中樞。數(shù)據(jù)中心機(jī)房的是集建筑，室內(nèi)裝修，配電，空調(diào)，安全防范，防雷接地，計(jì)算機(jī)網(wǎng)絡(luò)等多個(gè)專業(yè)于一體的系統(tǒng)工程。機(jī)房系統(tǒng)設(shè)計(jì)與施工的優(yōu)劣，直接關(guān)系到機(jī)房?jī)?nèi)企業(yè)信息化系統(tǒng)（如財(cái)務(wù)系統(tǒng)、OA系統(tǒng)、合同管理系統(tǒng)等）是否穩(wěn)定可靠運(yùn)行。因此，構(gòu)建一個(gè)高可用性的機(jī)房環(huán)境，才能保證企業(yè)信息系統(tǒng)軟硬件和數(shù)據(jù)免受外界因素的干擾，確保各項(xiàng)業(yè)務(wù)安全順暢運(yùn)行。

數(shù)據(jù)中心私有云基礎(chǔ)設(shè)施通過(guò)超融合軟件、超融合一體機(jī)等產(chǎn)品來(lái)承載用戶業(yè)務(wù)，構(gòu)筑云化演進(jìn)的基石，降低用戶初步建設(shè)云數(shù)據(jù)中心的復(fù)雜度與成本。同時(shí)針對(duì)企業(yè)多種業(yè)務(wù)應(yīng)用大規(guī)模上云的用戶，通過(guò)超融合基礎(chǔ)架構(gòu)，構(gòu)建的不同資源池承載不同類型的業(yè)務(wù)，同時(shí)解決業(yè)務(wù)安全分級(jí)與業(yè)務(wù)連續(xù)性保障的問(wèn)題。未來(lái)針對(duì)數(shù)據(jù)中心私有云建設(shè)需求，以超融合為IT基礎(chǔ)架構(gòu)，完善私有云建設(shè)，包括云管體系、云安全體系、并初步構(gòu)建容器云與應(yīng)用商店等，以提升IT的管理能力與效率。

3.規(guī)劃思路

企業(yè)信息化的建設(shè)堅(jiān)持“統(tǒng)一規(guī)劃、分布實(shí)施、自主應(yīng)用、資源整合、數(shù)據(jù)共享、網(wǎng)絡(luò)安全合規(guī)”的指導(dǎo)思想。

統(tǒng)一規(guī)劃

企業(yè)信息化的建設(shè)是一個(gè)龐大的系統(tǒng)工程、涉及數(shù)據(jù)中心技術(shù)、網(wǎng)絡(luò)技術(shù)、計(jì)算機(jī)技術(shù)、通訊技術(shù)、數(shù)據(jù)庫(kù)技術(shù)、網(wǎng)絡(luò)安全技術(shù)和軟件技術(shù)等多個(gè)方面。具有投資大、建設(shè)難、周期長(zhǎng)、涉及部門和人員多等特點(diǎn)。必須站在學(xué)校的層面高度，整體規(guī)劃；保證統(tǒng)一的數(shù)據(jù)標(biāo)準(zhǔn)、統(tǒng)一技術(shù)路線、統(tǒng)一基礎(chǔ)架構(gòu)和統(tǒng)一組織管理。避免傳統(tǒng)信息化建設(shè)，重建設(shè)、輕規(guī)劃導(dǎo)致的各自為戰(zhàn)、應(yīng)用孤島和數(shù)據(jù)孤島的問(wèn)題。

分布實(shí)施

企業(yè)信息化建設(shè)周期長(zhǎng)、投入大，涉及需求調(diào)研、方案論證、系統(tǒng)選型、部署與集成、人員培訓(xùn)、應(yīng)用推廣、運(yùn)行反饋、修改完善等多個(gè)過(guò)程。所以整體建設(shè)必須統(tǒng)籌安排，分布實(shí)施，確保進(jìn)度和質(zhì)量，降低失敗風(fēng)險(xiǎn)。企業(yè)信息化建設(shè)的核心目的是應(yīng)用和數(shù)據(jù)共享。應(yīng)使企業(yè)的各個(gè)智能部門的實(shí)現(xiàn)管理信息化，讓上下級(jí)部門之間溝通更便捷；平級(jí)部門之間數(shù)據(jù)共享交換；提高企業(yè)決策的科學(xué)性和民主性；提升智能部門管理的高效性和服務(wù)性；為企業(yè)管理人員和員工提供個(gè)性化的綜合信息服務(wù)。

實(shí)用性和經(jīng)濟(jì)性

信息化設(shè)計(jì)應(yīng)始終貫徹面向應(yīng)用，注重實(shí)效的方針，堅(jiān)持實(shí)用、經(jīng)濟(jì)的原則，建設(shè)辦公網(wǎng)信息化建設(shè)的網(wǎng)絡(luò)擴(kuò)展系統(tǒng)，保護(hù)用戶的投資。

先進(jìn)性和成熟性

既要采用先進(jìn)的概念、技術(shù)和方法，又要注意結(jié)構(gòu)、設(shè)備、工具的相對(duì)成熟。不但能反映當(dāng)今的先進(jìn)水平，而且具有發(fā)展?jié)摿Γ鼙ＷC在未來(lái)若干年內(nèi)占主導(dǎo)地位，保證此網(wǎng)絡(luò)建設(shè)的領(lǐng)先地位，并隨時(shí)進(jìn)行擴(kuò)展和升級(jí)。

高可靠

穩(wěn)定可靠是信息正常流動(dòng)的保證也是網(wǎng)絡(luò)設(shè)計(jì)基本的原則。設(shè)計(jì)中應(yīng)采用高可靠性的網(wǎng)絡(luò)產(chǎn)品和冗余鏈路、制定完備的網(wǎng)絡(luò)備份策略來(lái)滿足可靠性的要求，使網(wǎng)絡(luò)具有故障自愈的能力。可靠性設(shè)計(jì)不僅包括網(wǎng)絡(luò)設(shè)備、鏈路等物理設(shè)計(jì)的可靠性，同時(shí)包括路由等邏輯設(shè)計(jì)的可靠性。

高性能

網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)和設(shè)備選型時(shí)，要注意消除鏈路帶寬、節(jié)點(diǎn)轉(zhuǎn)發(fā)性能等瓶頸；選擇高性能、高帶寬的網(wǎng)絡(luò)設(shè)備，保障全網(wǎng)高速線速轉(zhuǎn)發(fā)。

高安全

隨網(wǎng)絡(luò)的不斷發(fā)展，安全問(wèn)題已日益引起廣泛的關(guān)注，為保證網(wǎng)絡(luò)的具有良好的安全性，需系統(tǒng)地、有條理地進(jìn)行全面規(guī)劃，充分地、全方位地考慮安全需求和特性。針對(duì)網(wǎng)絡(luò)內(nèi)部的各種應(yīng)用，有多種的保護(hù)機(jī)制，如劃分VLAN、MAC地址綁定、配合ACL等具體技術(shù)提升整個(gè)網(wǎng)絡(luò)的安全性。

可擴(kuò)展性

設(shè)計(jì)構(gòu)架具有可擴(kuò)展性，為業(yè)務(wù)的發(fā)展打下良好基礎(chǔ)。業(yè)務(wù)的發(fā)展對(duì)網(wǎng)絡(luò)的需求是不斷變化的，網(wǎng)絡(luò)應(yīng)用系統(tǒng)為了滿足這些需求也會(huì)隨之變化。面對(duì)不斷變化的情況和需求，網(wǎng)絡(luò)應(yīng)當(dāng)能夠作出快速和有效的反應(yīng)。因此，網(wǎng)絡(luò)必須具備良好的可擴(kuò)展性，應(yīng)支持核心業(yè)務(wù)系統(tǒng)的不斷擴(kuò)展，適應(yīng)未來(lái)業(yè)務(wù)的發(fā)展和變化。同時(shí)，網(wǎng)絡(luò)結(jié)構(gòu)應(yīng)當(dāng)能夠變化，具有靈活的伸縮能力，網(wǎng)絡(luò)設(shè)備可以擴(kuò)充和升級(jí)。

開(kāi)放性

技術(shù)選擇必須符合相關(guān)國(guó)際標(biāo)準(zhǔn)及國(guó)內(nèi)標(biāo)準(zhǔn)，避免個(gè)別廠家的私有標(biāo)準(zhǔn)或內(nèi)部協(xié)議，確保網(wǎng)絡(luò)的開(kāi)放性和互連互通，滿足信息準(zhǔn)確、安全、可靠、優(yōu)良交換傳送的需要；開(kāi)放的接口，支持良好的維護(hù)、測(cè)量和管理手段，提供網(wǎng)絡(luò)統(tǒng)一實(shí)時(shí)監(jiān)控的遙測(cè)、遙控的信息處理功能，實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的統(tǒng)一管理。

易管理

“三分建設(shè)，七分運(yùn)維”，運(yùn)維管理是信息化的基礎(chǔ)，需要實(shí)現(xiàn)動(dòng)態(tài)實(shí)時(shí)的全程監(jiān)控管理，通過(guò)圖形化軟件，實(shí)現(xiàn)設(shè)備配置、設(shè)備監(jiān)控、鏈路監(jiān)控，軟件升級(jí)等工作，提升運(yùn)維管理效率。

4. 建設(shè)目標(biāo)

4.1總體目標(biāo)

通過(guò)企業(yè)信息化建設(shè)，構(gòu)建可以滿足企業(yè)長(zhǎng)期持續(xù)發(fā)展的應(yīng)用架構(gòu)；通過(guò)企業(yè)信息化建設(shè)框架為應(yīng)用系統(tǒng)建設(shè)提供良好的支撐和服務(wù)。建設(shè)完整統(tǒng)一、技術(shù)先進(jìn)、全面覆蓋、高可靠、高性能、高效穩(wěn)定、安全可靠、可擴(kuò)展的企業(yè)信息化系統(tǒng)。消除信息孤島和應(yīng)用孤島。以信息化建設(shè)手段為抓手，適度超前規(guī)劃建設(shè)。全面護(hù)航XXX企業(yè)未來(lái)業(yè)務(wù)發(fā)展對(duì)信息化的需求。

4.2網(wǎng)絡(luò)建設(shè)

網(wǎng)絡(luò)交換機(jī)采用高性能千兆三層以太網(wǎng)交換機(jī)，該系列交換機(jī)采用全新的硬件架構(gòu)設(shè)計(jì)，搭載專用的模塊化操作系統(tǒng)，提供更大的表項(xiàng)規(guī)格、更快的硬件處理性能、更便捷的操作使用體驗(yàn)。高性能交換機(jī)可以為大型網(wǎng)絡(luò)匯聚、中小型網(wǎng)絡(luò)核心提供了高性能、完善的端到端的服務(wù)質(zhì)量、靈活豐富的安全設(shè)置，有效滿足高速、安全、智能的企業(yè)網(wǎng)需求。

4.3網(wǎng)絡(luò)安全建設(shè)

通過(guò)對(duì)前述網(wǎng)絡(luò)的邊界風(fēng)險(xiǎn)與需求分析，在單位網(wǎng)絡(luò)出口的網(wǎng)絡(luò)層進(jìn)行訪問(wèn)控制需部署防火墻產(chǎn)品，可以對(duì)所有流經(jīng)防火墻的數(shù)據(jù)包按照嚴(yán)格的安全規(guī)則進(jìn)行過(guò)濾，將所有不安全的或不符合安全規(guī)則的數(shù)據(jù)包屏蔽，杜絕越權(quán)訪問(wèn)，防止各類非法攻擊行為。同時(shí)可以和內(nèi)網(wǎng)安全管理系統(tǒng)、網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)等進(jìn)行安全聯(lián)動(dòng)，為網(wǎng)絡(luò)創(chuàng)造全面縱深的安全防御體系。

防火墻能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過(guò)過(guò)濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過(guò)精心選擇的應(yīng)用協(xié)議才能通過(guò)防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，如IP選項(xiàng)中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻可以拒絕所有以上類型攻擊的報(bào)文并通知防火墻管理員。

通過(guò)以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認(rèn)證、審計(jì)等）配置在防火墻上。與將網(wǎng)絡(luò)安全問(wèn)題分散到各個(gè)主機(jī)上相比，防火墻的集中安全管理更經(jīng)濟(jì)。例如在網(wǎng)絡(luò)訪問(wèn)時(shí)，一次一密口令系統(tǒng)和其它的身份認(rèn)證系統(tǒng)完全可以不必分散在各個(gè)主機(jī)上，而集中在防火墻一身上。

未來(lái)隨著企業(yè)業(yè)務(wù)的發(fā)展，對(duì)網(wǎng)絡(luò)安全的防護(hù)也會(huì)隨著信息資產(chǎn)的不斷增加而增加。可以結(jié)合《網(wǎng)絡(luò)安全法》以及《安全等級(jí)保護(hù)》2.0的要求，對(duì)企業(yè)的網(wǎng)絡(luò)系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全等級(jí)保護(hù)的建設(shè)。等保安全防護(hù)建設(shè)包括“一個(gè)中心，三重保護(hù)（安全管理中心、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界以及安全計(jì)算環(huán)境）“以及物理安全防護(hù)。同時(shí)建立相應(yīng)安全管理制度。

4.4數(shù)據(jù)安全建設(shè)

根據(jù)需求和業(yè)務(wù)特點(diǎn)，在私有備份容災(zāi)云平臺(tái)方案的設(shè)計(jì)中，我們從以下幾點(diǎn)出發(fā)，作為方案設(shè)計(jì)的原則，從而保證整個(gè)方案的針對(duì)性和合理性。

? 符合行業(yè)技術(shù)潮流和發(fā)展方向

軟件產(chǎn)品符合國(guó)際主流的技術(shù)和發(fā)展方向，具有很長(zhǎng)的技術(shù)壽命。

? 具有云備份架構(gòu)的體系結(jié)構(gòu)

基于云架構(gòu)的體系結(jié)構(gòu)具有極強(qiáng)的平臺(tái)可擴(kuò)展性和可擴(kuò)充性。

? 支持未來(lái)應(yīng)用系統(tǒng)的可擴(kuò)展性

通過(guò)模塊化的擴(kuò)展支持未來(lái)可能投入使用的應(yīng)用系統(tǒng)，減少額外投資。

? 盡量減少對(duì)正常的業(yè)務(wù)系統(tǒng)的影響

備份容災(zāi)云的實(shí)施盡量少的影響正常的業(yè)務(wù)系統(tǒng)。

? 全面性

要求方案首先要能夠備份和管理現(xiàn)有所有環(huán)境,從異構(gòu)的環(huán)境、異構(gòu)平臺(tái)和異構(gòu)應(yīng)用都能提供一體化的備份和恢復(fù)，從操作系統(tǒng)、應(yīng)用數(shù)據(jù)庫(kù)到文件數(shù)據(jù)，可以提供統(tǒng)一的管理，與現(xiàn)有設(shè)備兼容，并能兼容流行廠商的存儲(chǔ)設(shè)備與方案。全面性直接決定了方案的可行性。

? 數(shù)據(jù)恢復(fù)的可靠性

備份的數(shù)據(jù)系統(tǒng)具有可靠的恢復(fù)能力。

? 系統(tǒng)的安全性

備份系統(tǒng)能夠提供全面的安全體系，從生產(chǎn)數(shù)據(jù)、備份數(shù)據(jù)和備份系統(tǒng)的管理都應(yīng)該具有高可靠的安全保障體系，保證數(shù)據(jù)的安全。

4.5訪問(wèn)身份識(shí)別認(rèn)證建設(shè)

通過(guò)部署VPN多功能網(wǎng)關(guān)實(shí)現(xiàn)用戶在任何時(shí)間、任何地點(diǎn)、使用任何終端都能安全地接入業(yè)務(wù)系統(tǒng)。它以IPSEC/SSLVPN二合一網(wǎng)關(guān)作為基礎(chǔ)，通過(guò)構(gòu)建一套平臺(tái)，幫助用戶節(jié)省大量的IT建設(shè)開(kāi)支，還可以統(tǒng)一地管理用戶的身份、權(quán)限和接入設(shè)備，監(jiān)控系統(tǒng)環(huán)境是否安全。只需簡(jiǎn)單的鼠標(biāo)操作即可完成配置，無(wú)需專業(yè)人員維護(hù)。還可以對(duì)VPN隧道內(nèi)的流量進(jìn)行查看和控制，建立起可視化的VPN網(wǎng)絡(luò)，為通過(guò)VPN開(kāi)展的關(guān)鍵業(yè)務(wù)提供保障。

同時(shí)多功能網(wǎng)關(guān)還能實(shí)現(xiàn)上網(wǎng)行為管理——規(guī)范上網(wǎng)行為，保障信息安全。可對(duì)用戶的上網(wǎng)行為進(jìn)行精細(xì)化管理，支持HTTPS審計(jì)，網(wǎng)頁(yè)內(nèi)容/搜索引擎訪問(wèn)過(guò)濾、可針對(duì)QQ等聊天工具、郵件、論壇、微博等進(jìn)行內(nèi)容安全審計(jì)，并生成審計(jì)報(bào)表，保障企業(yè)信息安全。從而符合《網(wǎng)絡(luò)安全法》對(duì)上網(wǎng)日志記錄審計(jì)的要求。

4.6信息化支撐環(huán)境建設(shè)

4.6.1 一體化智能機(jī)房支撐環(huán)境建設(shè)

隨著企業(yè)內(nèi)部網(wǎng)絡(luò)、通信和計(jì)算機(jī)系統(tǒng)的大規(guī)模應(yīng)用和發(fā)展，作為其核心的各種機(jī)房的重要性越來(lái)越突出。機(jī)房的動(dòng)力、環(huán)境設(shè)備，如配電、不間斷電源、空調(diào)、消防、監(jiān)控、防盜報(bào)警等子系統(tǒng)，必須時(shí)刻保證能夠提供系統(tǒng)正常運(yùn)行所需的環(huán)境。

機(jī)房的性能和能耗比將成為機(jī)房評(píng)估的一個(gè)重要指標(biāo)。隨著節(jié)能意識(shí)的加強(qiáng)，各種節(jié)能措施將被實(shí)施，如高效率UPS(尤其在負(fù)載率的運(yùn)行狀態(tài))、圍護(hù)結(jié)構(gòu)的絕熱處理、低傳熱系數(shù)玻璃的采用等。另外，針對(duì)目前采用的房間內(nèi)開(kāi)放式制冷模式的"冷庫(kù)式"機(jī)房，在有些應(yīng)用場(chǎng)合將被采用房間內(nèi)密閉空間的封閉式制冷模式的"冰箱式"機(jī)房所替代，用以減少或消除圍護(hù)結(jié)構(gòu)的能耗、提高制冷效率。

"機(jī)柜就是機(jī)房"的概念逐漸被接受。這是從"IT微環(huán)境"或機(jī)柜是模塊化的機(jī)房環(huán)境這方面考慮機(jī)房的作用，井以此為出發(fā)點(diǎn)來(lái)規(guī)劃、設(shè)計(jì)機(jī)房的模式。設(shè)計(jì)思路上“選址--布局--機(jī)房設(shè)備(指UPS、空調(diào)等)擺放--機(jī)柜擺放”的設(shè)計(jì)邏輯將完全逆轉(zhuǎn)。

"一體化機(jī)房"或"整體機(jī)房"概念將被實(shí)施。標(biāo)準(zhǔn)化的、定制化的、預(yù)生產(chǎn)的、組件式(或稱積木式)的、整體設(shè)計(jì)的機(jī)房構(gòu)建(或稱"搭建")模式將越來(lái)越普及，尤其是針對(duì)中小型機(jī)房用戶。

4.6.2 超融合私有云平臺(tái)支撐環(huán)境建設(shè)

伴隨著數(shù)據(jù)與業(yè)務(wù)的集中，傳統(tǒng)數(shù)據(jù)中心的硬件架構(gòu)已經(jīng)無(wú)法滿足業(yè)務(wù)的快速上線和靈活的業(yè)務(wù)部署。本次私有云平臺(tái)數(shù)據(jù)中心建設(shè)項(xiàng)目推薦使用企業(yè)級(jí)云方案，即通過(guò)“超融合架構(gòu)”方案，基于分布式云數(shù)據(jù)中心架構(gòu)，通過(guò)軟件定義的方式實(shí)現(xiàn)全新的IT基礎(chǔ)架構(gòu)，通過(guò)服務(wù)器虛擬化將所有X86的計(jì)算資源池化、通過(guò)網(wǎng)絡(luò)虛擬化構(gòu)建出適合虛擬機(jī)遷移的大二層環(huán)境、最后通過(guò)兼容分布式虛擬存儲(chǔ)和各類外置存儲(chǔ)實(shí)現(xiàn)存儲(chǔ)空間的融合，同時(shí)提供完整的安全和災(zāi)備方案。

平臺(tái)具備良好的擴(kuò)展能力，滿足數(shù)據(jù)中心長(zhǎng)期發(fā)展的要求。根據(jù)業(yè)務(wù)的發(fā)展預(yù)測(cè)，平臺(tái)系統(tǒng)定期按照適度預(yù)留的原則進(jìn)行建設(shè)，能在規(guī)定時(shí)間內(nèi)快速響應(yīng)新的用戶，新的業(yè)務(wù)的新增要求。滿足資源的隨時(shí)隨地按需分配，需要建立一個(gè)靈活的硬件基礎(chǔ)架構(gòu)。硬件基礎(chǔ)架構(gòu)通常由虛擬的服務(wù)器池、共享的存儲(chǔ)系統(tǒng)、網(wǎng)絡(luò)和硬件管理軟件組成。

企業(yè)私有云平臺(tái)計(jì)算運(yùn)行管理平臺(tái)的核心功能是自動(dòng)為用戶提供服務(wù)器、存儲(chǔ)以及相關(guān)的系統(tǒng)軟件和應(yīng)用軟件。用戶、管理員和其他人員能通過(guò) Web 界面使用該功能。

自動(dòng)化的部署流程不僅能做到“隨需應(yīng)變”，適應(yīng)用戶的需求，而且能夠帶來(lái)以下好處：引入技術(shù)和創(chuàng)新的時(shí)間縮短，設(shè)計(jì)、采購(gòu)和構(gòu)建硬件和軟件平臺(tái)的人力成本降低，以及通過(guò)提高現(xiàn)有資源的利用率和復(fù)用率節(jié)省成本。

5.解決方案

5.1企業(yè)信息化總體規(guī)劃網(wǎng)絡(luò)拓?fù)鋱D

XXX企業(yè)信息化建設(shè)總體規(guī)劃建設(shè)包括一體化智能機(jī)房、超融合私有云平臺(tái)、高性能智能化網(wǎng)絡(luò)、網(wǎng)絡(luò)安全等保系統(tǒng)以及異地災(zāi)備系統(tǒng)等。

5.2近期網(wǎng)絡(luò)改造拓?fù)鋱D

根據(jù)XXX企業(yè)現(xiàn)在網(wǎng)絡(luò)信息化建設(shè)的現(xiàn)狀，近期急需改造的部分包括增加網(wǎng)絡(luò)邊界防火墻預(yù)防網(wǎng)絡(luò)攻擊；增加VPN多功能網(wǎng)關(guān)用于確保外部訪問(wèn)是經(jīng)過(guò)安全加密及認(rèn)證授權(quán)的，杜絕非授權(quán)人員通過(guò)網(wǎng)絡(luò)訪問(wèn)財(cái)務(wù)系統(tǒng)。同時(shí)記錄單位內(nèi)部上網(wǎng)日志確保符合《網(wǎng)絡(luò)安全法》的要求；增加一臺(tái)高性的核心交換機(jī)確保網(wǎng)絡(luò)訪問(wèn)性能，確保不造成網(wǎng)絡(luò)訪問(wèn)瓶頸；以及實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的精細(xì)管理，包括設(shè)置VLAN、訪問(wèn)控制、MAC地址綁定等。在內(nèi)部網(wǎng)絡(luò)增加一套終端安全管理系統(tǒng)用以統(tǒng)一的終端電腦安全管理，如統(tǒng)一的殺毒、病毒庫(kù)升級(jí)、補(bǔ)丁管理、信息資產(chǎn)統(tǒng)計(jì)等，從而防止網(wǎng)絡(luò)病毒在終端電腦上感染暴發(fā)。最后是增加一臺(tái)本地的備份一體，對(duì)核心財(cái)務(wù)數(shù)據(jù)進(jìn)行實(shí)時(shí)自動(dòng)的備份，解決數(shù)據(jù)丟失的后顧之憂。

6. 規(guī)劃預(yù)算

6.1企業(yè)信息化總體規(guī)劃建設(shè)預(yù)算

6.2近期網(wǎng)絡(luò)改造建設(shè)預(yù)算

7. 實(shí)施步驟

我對(duì)各位讀者朋友的唯一請(qǐng)求就是：點(diǎn)擊右下角的“在看”以及點(diǎn)贊。