电网客户服务中心信息化项目可行性研究报告书.pdf-得力文库

资源描述

《电网客户服务中心信息化项目可行性研究报告书.pdf》由会员分享，可在线阅读，更多相关《电网客户服务中心信息化项目可行性研究报告书.pdf（44页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、附件 3 信息化工程可行性研究报告工程名称:国家电网客户服务中心南方分中心网络安全及 IT综合运维经管平台优化工程申报单位（盖章）：工程负责人：编制：校核审核：批准：年月日目录 1 总论 3 1.1 主要依据 3 1.2 主要原则 4 2 工程必要性 5 2.1 网络安全方面 5 2.2IT 运维经管方面 7 3 工程需求分析 10 3.1 网络安全需求分析 10 3.1.1 网络安全现状 10 3.1.2 存在问题分析 12 3.1.3 优化提升建议 13 3.2IT 综合运维经管需求分析 16 3.2.1IT 运维经管现状 16 3.2.2 存在问题分析 18 3.2

2、.3 优化提升建议分析 20 4 工程技术方案 25 4.1 网络改造技术方案 25 4.1.1 工程目标和范围 25 4.1.2 工程建设技术方案 25 4.1.3 工程实施计划 28 4.2 运维经管优化提升技术方案 30 4.2.1 工程目标和范围 30 4.2.2 工程建设技术方案 31 4.2.3 工程实施计划 44 5 主要设备材料清册 45 5.1 编制说明 45 5.2 主要设备材料表 45 6 估算书 46 7 工程效益分析 49 1 总论 1.1 主要依据国家电网客户服务中心南方分中心（简称客服南中心）自投运以来，承担了国家电网公司 14 个省级用户的服务工作，随着信息

3、化水平的不断提高，对客服南中心现有的信息安全和 IT 运维经管提出了更高要求。国家电网公司信息系统安全经管办法中要求，为提高公司信息系统整体安全防护水平，实现信息系统安全的可控、能控、在控，需坚持“分区、分级、分域”总体防护策略，执行信息系统安全等级保护制度并继续不断优化改良。国家电网公司 2012 年信息通信工作会议提出，要加快构建信息通信一体化经管、建设和运维体系。因此，为保证客服南中心信息系统持续、稳定、可靠运行，有必要对现有安全防护体系进行优化和提升，并建设一套统一的 IT 综合运维经管平台。1.2 主要原则根据客服南中心 IT 基础设施建设和 IT 综合运维经管需求，结合信息化技术

4、发展的趋势，整体设计遵循以下原则：实用性：主要技术和产品必须具有成熟、稳定、实用的特点，既要便于用户使用，又要便于系统经管。稳定性：系统需具备高度的稳定性，支持应急保护机制，内置或者外置掉电保护装置等，保证网络不会因为设备故障而中断。高可靠性：充分考虑容错和备份能力，最大限度地支持系统的可靠运行。安全性：要对系统自身具有良好的安全性，能够抵御针对自身的安全威胁，同时提供备份和恢复机制，对经管权限实行分组经管分组授权。先进性：系统设计要采用成熟可靠的体系和软件硬件产品，应支持对主流技术、协议和规范的升级，以及有完备的技术支持团队。扩展性：系统应支持灵活组网和网络改扩建的需要，能够快速部署和随网络

5、结构进行调整，并无需改动平台主体结构和功能。经济性：在充分利用现有资源的情况下，最大限度地降低网络经管系统的总体投资，有计划、有步骤地实施。2 工程必要性 2.1 网络安全方面目前客服南中心的网络安全设备主要部署在信息内、外网出口处，信息内网出口部署有防火墙及入侵检测系统，信息外网出口部署有防火墙及上网行为系统。现网运行的防火墙及入侵检测系统为原有设备利旧，且均已过保。其中信息内、外网出口的防火墙设备仅支持包过滤检测技术，不支持状态检测及流量识别，无法更好的满足应用层攻击防护；信息内网的入侵检测系统仅能对网络攻击行为进行监测，无法提供 L2-L7 层的主动安全防御。此外数据中心业务未部署防火

6、墙进行横向域边界防护，仅通过 ACL 进行防护。因此，在当前信息安全形势日趋严峻的情况下，迫切需要对现有信息内、外网的网络安全设备进行优化提升，以确保客服南中心信息化业务的安全开展。2.2 IT 运维经管方面国网客服中心客服南中心现有监控平台对于网络设备、服务器、存储设备、机房动环及数据库、中间件与应用服务等的监控范围有限，无法做到集中化统一运维经管，发生故障时需要在不同平台间切换排查，难以做到故障的快速准确定位，增加了运维人员在运维时的工作难度，难以满足当下的运维经管要求。现有运维平台无法从业务角度对重要的业务系统进行监控，不支持服务器虚拟化经管、存储经管、智能巡检、机房三维可视、网络设

7、备配置自动备份、IP 地址经管等功能。针对以上存在的不足，有必要对目前的运维经管进行整合优化，部署一套 IT 综合运维经管平台以满足客户需求。3 工程需求分析 3.1 网络安全需求分析 3.1.1 网络安全现状 1)网络架构现状国网客服中心客服南中心于 2015 年建成投运，园区共建设有信息内网/语音网、视频网、信息外网三张独立网络，其中信息内网/语音网、信息外网现状如下：(1)信息内网/语音网图 3-1 信息内网/语音网（组网拓扑）核心层：由 2 台 S12500 系列交换机组成，目前未实现虚拟化整合，内网和语音业务共享核心层设备。汇聚层：数据中心和坐席区分别部署 2 台 S10508

8、交换机，并部署内网及语音网业务网关。接入层：数据中心中各功能区分别采用 2 台 S7500E 交换机，提供数据中心业务接入；坐席区每个楼层东、西配线间部署 S5500 交换机，提供坐席终端接入。内网及语音局域网设备均通过横向虚拟化（或堆叠）技术，实现了本地无环路二层网络。呼叫业务的A、B平台分别部署在中山路机房和客服南中心机房。语音业务流量统一从客服南中心出口出去，中山路机房设有应急专线。(2)信息外网图 3-2 信息外网（组网拓扑）核心层：由 2 台 S10508 交换机组成，实现横向虚拟化堆叠。汇聚层：各楼宇设置汇聚交换机汇聚楼内接入设备。接入层：提供信息外网业务终端接入。外网出口串接上

9、网行为经管及防火墙设备。客服南中心 2 台外网 CE 分别与北园区外网 CE 互联，实现主、备出口线路冗余。2)安全防护设备部署情况（1）信息内网/语音网信息内网出口部署启明星辰 USG-FW-12016S（利旧）防火墙 2 台，作为整个信息内网的纵向边界安全防护设备。信息内网/语音网互联区中 2 台核心交换设备（S12510X 及S12518）分别旁挂 1 台启明星辰 NIDS 9060S（利旧）入侵检测设备，对经互联区转发的的所有数据报文进行监视，检测网络攻击行为。（2）信息外网信息外网出口部署启明星辰 USG-FW-4600S（利旧）防火墙 2 台，作为整个信息外网的纵向边界安全防护

10、设备。信息外网出口部署迪普 UAG 3000 上网行为经管，用于网络应用流量分析及控制、上网行为记录及访问控制。3.1.2 存在问题分析 1)信息内网存在问题：信息内网出口防火墙为原有设备利旧，已运行超过 5 年，存在设备老化现象，经常出现双机配置无法同步的问题，需及时更换，以消除隐患。数据中心业务系统横向域边界未部署专用防火墙设备进行安全防护，仅在业务交换机上通过部署访问控制列表的方式实现，存在ACL 条目数量受限、安全防护性能有限、经管维护复杂等问题，无法保证核心业务系统的安全性；信息内网部署入侵检测系统仅能对网络攻击行为进行监测，无法提供 L2-L7 层的主动安全防御。2)信息外网存在问

11、题：信息外网出口防火墙为原有设备利旧，已运行超过 5 年，且仅支持包过滤检测，不具备状态检测功能，在灵活性和安全性方面存在不足。信息外网出口未部署入侵防御系统，无法提供 L2-L7 层的主动安全防御。3.1.3 优化提升建议鉴于客服南中心现有网络安全设备部署存在的问题，依据国家电网公司信息化“SG186”工程安全防护总体技术方案，对客服南中心网络安全防护体系进行整体优化提升。1)安全防护整体架构图 3-3 安全域及安全边界示意图安全防护整体架构：信息内网、信息外网边界部署防火墙、入侵防御设备进行安全防护；三级系统独立成域，二级系统统一成域。信息内网纵向边界：替换现有信息内网纵向边界防火墙

12、，新增信息内网纵向边界入侵防御。信息外网互联网边界：替换信息外网互联网边界防火墙，新增信息外网互联网边界入侵防御。信息内网横向域边界：增加信息内网数据中心中各业务系统横向域边界防火墙，对数据中心业务进行整体防护。2)信息内网/语音网优化技术方案图 3-4 信息内网/语音网优化示意图信息内网出口通过一体化框式设备集成高性能防火墙插卡、入侵防御插卡的方式，替换现有防火墙及入侵检测，提供 L2-L7 层的全面安全防护；硬件板卡通过虚拟化堆叠方式部署，简化网络架构，实现高可靠性；一体化框式设备预留适当的槽位数量，提供未来业务扩展能力。数据中心内部部署高性能防火墙设备，提供各业务系统横向域边界安全防

13、护能力；设备通过虚拟化堆叠技术部署，简化网络架构，实现高可靠性；采用虚拟防火墙技术，为各二、三级业务系统提供独立的安全域防护，组网逻辑架构清晰，易于维护。3)信息外网优化技术方案图 3-5 信息外网优化示意图信息外网出口通过一体化框式设备集成高性能防火墙插卡、入侵防御插卡的方式，替换现有启明星辰防火墙，提供 L2-L7 层的全面安全防护；硬件板卡通过虚拟化堆叠方式部署，简化网络架构，实现高可靠性；一体化框式设备预留适当的槽位数量，提供未来业务扩展能力。3.2 IT 综合运维经管需求分析 3.2.1 IT 运维经管现状国网客服中心客服南中心于 2015 年建成投运，主要负责江苏、黑龙江等

14、14 个省级用户的客服工作，是集呼叫运行、运营监控、科技研发及后勤辅助等为一体的综合性供电服务平台。客服南中心的IT 基础设施及相应的信息业务系统的运维经管目前是采用多套运维经管平台，具体现状如下：1)网络经管国网客服南方分中心信息内网/语音网、视频网及信息外网中网络设备主要包括交换机、路由器、防火墙、IDS、负载均衡、上网行为经管等，其中信息内网/语音网有 210 台网络设备，视频网有 42 台网络设备，信息外网有 48 台网络设备。网络经管现状如下：信息内网/语音网中部署了一套 H3C 智能巡检管家（试用版），周期性对网络设备运行状态进行巡检，输出分析报告及改进建议；现有信息内网/语音网

15、网络设备通过北塔网管软件进行网络运行状态监控；网络配线通过一套电子配线经管系统实现机房配线可视化经管；信息内网/语音网中部署了一套科来网络回溯分析系统，对各种网络性能和应用性能的关键参数进行实时分析，捕获并保存网络流量数据，具备对其进行数据挖掘和回溯分析的能力。2)应用与服务器经管：国网客服南方分中心目前共有服务器 210 台，其中呼叫 A 平台52 台，呼叫 B 平台 55 台，测试平台 44 台，云桌面系统 28 台，外网系统 12 台，其它及备用 19 台。为能及时获得各服务器的运行状态，通过 Host Monitor 对服务器进行实时监控；服务器目前主要通过北塔网管软件基于 SNMP

16、协议获取服务器状态信息；对于服务器的资产经管主要通过 IMS 系统进行人工维护和更新；呼叫平台服务器的关键业务进程通过“IT 资源监控”和 SCI控制台结合起来进行运维监控；对服务器具体的配置经管主要通过 KVM 进行远程维护；服务器磁盘、RAID 和电源等硬件状态目前主要通过巡检人员到机房查看设备状态进行确认；通过 LogBase 日志经管系统进行运维审计方面的工作；3)存储经管：国网客服南方分中心目前共有 3 套存储网络，分别应用在呼叫 A平台、呼叫 B 平台和云桌面系统，经管现状如下：呼叫 A 平台的 IBM DS8800 和云桌面系统的 IBM DS8870 通过各自的 HMC 控制台

17、进行巡检和经管；3 套存储网络中的 6 台 SAN 交换机（IBM B80、B81 和 B82 各 2 台）依靠设备状态指示灯判断存储网络链路情况；呼叫B平台的曙光DS800主要依靠设备状态指示灯判断设备运行情况，通过经管口在 WEB 界面进行设备运行状态检查和配置经管。4)机房环境经管国网客服南方分中心在南中心设有 1 个主机房，其中 UPS 室和电池室各 2 个，接入机房 11 个，机房使用深圳共济的机房经管系统进行监控经管。主机房通过共济机房经管系统实现门禁监控、视频监控、温湿度监控、入侵检测、漏水检测、资产经管及配电柜开关检测；接入机房只对视频系统进行监控；电池室主要实现门禁系统监控

18、、视频监控、电池监控；UPS 室主要实现门禁、视频、电量统计、漏水检测及温湿度监控共济机房经管系统是单独运行和经管，和其它经管系统未进行对接。3.2.2 存在问题分析根据运维经管现状分析，国网客服南方分中心目前 IT 基础设备较多，网络、服务器、存储、机房环境等均通过不同的运维经管平台各自进行经管，无法实现统一集中的经管调度，当出现问题时难以定位问题根源，没有统一的信息化经管平台，影响运维经管效率。1)监控经管方面问题缺乏统一监管平台:国网客服南方分中心目前针对网络设备、服务器、系统应用、中间件、机房环境配有北塔网管、H3C 智能巡检管家、IMS、IT 资源监控、机房经管监控系统等多套经

19、管平台，各平台相互独立，无法做到统一集中经管，增加运维工作难度。不支持业务视角运维经管:现有运维平台无法从业务角度对重要的业务系统所涉及到的 IT 基础设施进行整体监控，无法及时发现业务运行潜在问题及性能瓶颈，在业务系统发生故障时，无法进行故障的快速准确定位。虚拟化平台监控能力不足：现有监控平台不支持虚拟化监控经管，对云桌面、测试平台等虚拟化环境无法进行实时有效的监控经管。无法自动备份网络配置信息:目前网管系统无法实现对网络设备配置信息进行自动备份和配置比对，仅通过人工方式不定期对设备配置进行备份，无法保证设备配置备份的及时性和准确性。网管软件存在告警延迟:现有北塔网管平台存在的告警延迟问题，

20、影响日常运维监控经管，迫切需要对 IT 基础设施的重要性能指标加强告警监控经管，使其能够在第一时间将告警信息通过弹窗、邮件、短信、微信等多种方式通知给运维人员。无法实现机房三维可视化经管:现有的经管平台无法实现机房虚拟场景和设备真实数据相结合,设备运行状态及告警信息不能直观呈现，无法快速定位设备位置。2)运维经管方面问题未集成智能巡检工具：现有运维平台缺少对 IT 基础设施及机房环境进行日常巡检的功能，大量重复繁重的人工日常巡检任务增加人力成本和发生错误的可能性，无法满足运维经管的巡检需求。巡检工作是否富有成效和值班员巡检的准确性难以保证；缺少资源及配置经管的功能模块：运维经管人员主要依靠

21、传统的技术手段（如 EXCEL 表格等）对网络设备资料进行经管，如交换机端口信息表、IP 地址经管表、设备配置备份等，必须通过手动维护，无法保证信息更新的及时性和准确性。现有监控经管报表生成模块不足：现有运维平台缺少表报模块，无法对于设备和线路等的关键指标生成日、周、月的表报，当发生问题要回查数据时,由于没有报表的支持，需要通过查看海量数据的方式去发现故障点，费时费力。缺少存储网络的监控模块:存储网络中的 DS8800、DS8870、DS800 和 SAN 交换机等设备的监控经管只能依靠运维人员到机房通过设备厂商的经管系统进行巡检和维护，经管效率低，设备告警信息不能及时发现。3.2.3 优化提

22、升建议分析针对目前客服南方分中心运维经管方面存在的不足，结合我公司在国网体系内各单位多年的运维经验，提出相关优化建议：1)部署统一集中的运维经管平台：建设统一门户式的综合运维经管平台实现对网络、服务器、存储、数据库、中间件、应用服务与机房环境等的统一经管，避免烟囱式多经管系统的建设与维护，提升整体运维效率；综合运维经管平台采用技术手段屏蔽信息系统各组成部分的技术差异，采用友好的图形化经管界面直观展现信息系统的各部分的实时运转状态，通过引入直观的可视界面、易行的可控手段，给予信息运维经管部门全局的经管视角，做到对信息系统各部分运行状况的全面掌控和及时了解，降低了经管难度，达到了经管的实时性和有

23、效性。2)建立基于业务视角的运维经管模式：对核心的应用系统，从业务的角度将系统架构、底层基础部件与业务进行关联，形成业务监控展示系统；实现基于业务视角的精细化运维经管，及时发现业务运行潜在问题及性能瓶颈，对业务故障进行快速准确定位；系统从业务的角度进行 IT 系统的经管与维护，将复杂的、海量的技术信息以业务的方式呈现给用户，把业务系统的可用性、性能和状态，与底层 IT 系统构架和部件关联起来，提供一个以业务为核心的 IT 综合运维经管平台，支撑业务的运营，同时可以提供基于用户体验的业务监控。在业务系统出现问题时，IT 运维人员可从系统提供的业务服务架构下找到故障的根本原因，并可从物理位置拓扑

24、定位到故障设备所在位置，快速解决故障。3)机房三维可视化：将 3D 仿真技术应用在机房监控，实现机房虚拟场景和设备真实数据相结合,设备运行状态及告警信息的直观呈现，快速定位设备位置，提升运维经管效率。机房监控信息可视化系统是一个综合利用计算机网络技术、自动控制技术、新型传感技术等构成的计算机网络。第一步：系统将集成原有的机房动力和环境设备等设备（如：配电、UPS、空调、温湿度、漏水、烟雾、视频、门禁等系统）。第二步：将机房内所有的 IT 信息和通信设备立体与平面有机结合，建设能够立体、直观、全方位的展示机房运行情况的综合展示图：机房立体视图机柜立体视图 4)经管功能完善：增加智能巡检、IP

25、地址经管、配置经管、虚拟化经管等功能模块来提升工作效率，减轻运维人员压力；5)提升告警能力：通过强大的告警模块，及时响应设备性能指标与系统日志所产生的故障告警信息，通过声光、短息、邮件或微信等多种手段准确及时的告知运维人员。IT 综合运维经管平台可提供全方位的服务经管思路，通过该平台，能够采用规范数据采集方式取得各种经管参数，实现对数据交换平台、主机、数据库、中间件以及应用经管的实时监控，经管人员在业务层能查看所有关键信息，并通过各层监控来融合经管功能。4 工程技术方案 4.1 工程目标和范围本工程计划将在内、外网外联区出口，内网数据中心边界各新采购 2 台防火墙，共需 6 台高性能防火墙

26、。在内网核心交换区、外网外联区出口各新采购 2 台入侵防御系统 IPS，共需 4 台 IPS。本次国家电网客服中心南方分中心运维经管平台优化提升工程，计划在国网客服南中心部署一套统一集中的运维经管平台。通过该平台实现对交换机、路由器、防火墙、IPS、负载均衡、服务器、终端、光纤交换机、存储、机房动环等集中经管监控，从业务视图、物理拓扑图与机房视图三个角度多方位、多层次地展现建设成效，业务逻辑与网络结构；建设完成的统一集中的运维经管平台能够实现网络资源、业务系统、机房动环、虚拟化平台的统一集中经管，并具备智能巡检、各类告警、配置智能备份、各类业务报表、IP 地址经管等功能。4.2 工程建设技术方

27、案 4.2.1 网络安全优化技术方案（一）技术技术方案：1)超融合安全体系架构本次技术方案设计中，信息内网、信息外网出口区域的安全架构设计为难点，互联网边界通常面临众多安全需求，如防火墙、入侵防御检测、负载均衡、综合审计、流量控制与分析等，采用传统的独立盒式设备串接部署会有明显的短板，如：单点故障、性能瓶颈、运维经管困难、无法平滑扩容等。鉴于此，本次采用高度融合一体化安全网关（框式形态）如下图示：图 4-1 融合式设备简化结构示意图通过融合安全网关部署，可避免单点故障、性能瓶颈，可实现功能、性能的平滑扩容，同时整机提供一个 IP 地址一个经管界面，极大简化了运维工作量。未来出口区域的盒式

28、退役，可通过在机框内增加业务插卡的形式实现互联网出口的全融合。2)L2L7 层虚拟化技术技术方案中采用的虚拟化技术包括 N:1 虚拟化、1:M 虚拟化和 N:M虚拟化。（1）N:1 虚拟化如下图 1 示，传统的网络虚拟化技术主要局限在 L2/3 层备，多台交换机级联实现统一的控制平面和分布式转发；而 L4-L7 层还基本以双机 HA 为主。此外，防火墙、IPS 等串行或旁挂在 L2/L3 网络中，需要复杂的数据流引导和回注，且各设备独立完成数据拆包和协议解读，大量重复工作耗损网络性能、加大网络延时。图 4-2 传统 L2-L7 层部署技术方案采用 L2-L7 层 N:1 虚拟化技术后，交

29、换、路由、安全等同类型设备全部虚拟化为一个逻辑设备，创新性的实现了跨机框业务模块虚拟化。通过虚拟化组实现数据流统一规划，一次解读多次复用，在吞吐量、新建连接数、并发连接数等各项性能指标上，为单台设备的数倍，彻底去除网络中的性能瓶颈。图 4-3 N:1 虚拟化部署技术方案（2）1:M 虚拟化 1:M 虚拟化可实现在单个物理的或逻辑的系统上提供多个实体。以防火墙为例，1:M 虚拟化将一台设备在逻辑上划分成多台虚拟防火墙，每台虚拟防火墙都可以被看成是一台完全独立的防火墙设备，可拥有独立的经管员、安全策略和物理资源等。每个虚拟防火墙之间相互独立，且能够实现防火墙的全部特性。1:M 虚拟化实现将大规模

30、的硬件资源转换为灵活匹配业务的虚拟服务资源。图 4-4 1:M 虚拟化示意图（3）N:M 虚拟化 N:M 虚拟化将 N 物理设备虚拟化为一个虚拟化组，系统性能为所有 N 个物理设备性能的总和，随后根据需要虚拟化组再次虚拟化为 M个逻辑设备，实现物理资源的灵活重组。经 N:M 虚拟化形成资源池后，系统可根据需要动态提供不同粒度、不同类型的网络、安全、应用交付等服务。4.2.2 IT 综合运维经管平台技术方案 4.2.2.1 网络资源经管建成的 IT 综合运维经管平台，做到对交换机、路由器、防火墙、IPS、负载均衡、服务器、终端、光纤交换机、存储、机房动环等的中式经管，并以物理拓扑图进行集中展现

31、，实现统一的 IT 综合运维经管。系统可以迅速搜索整个网络内的所有节点、支持多厂商的设备组成的“混合”网络，智能分析网络拓扑结构，自动勾画出整个网络的真实物理拓扑图，真实反映用户实际网络的部署情况，并实时动态反映路由器、三层交换机、交换机、服务器、PC 机、链路等的运行情况，让用户即时直观的了解网络的运行情况。并且直观地反映设备的分布情况、负载状况和设备属性，以及线路的实时流量；通过颜色显示负载和流量的压力，主动告诉用户关注点应在哪里，动态告诉用户可能的故障隐患。4.2.2.2 业务系统监控业务监控包括了网络、主机、应用、服务等组件，综合运维经管平台能够将复杂的 IT 资源转化为简单的业务视

32、图，使我们从业务的角度监控相应的 IT 资源环境，当业务系统发生故障时，问题就会反应在该业务提供的服务上面，实现快速定位故障，维护业务系统的正常使用，保障生产环境的高效、安全、稳定。业务总览一览各个业务服务状态；与网络视图、机房视图、告警等模块关联，可一键查看相关信息。业务监控业务状态的实时监控业务监控图形化快速定位影响业务状态的组件及时查看受到影响的业务单位业务分析快速查看业务产生的告警；通过多个指标衡量业务的健康状态；可查询相关的具体告警事件，进行根源分析。4.2.2.3 机房动环经管将现有机房动环监控平台与其进行对接整合，实现动环设备与网络设备、服务器、存储等的综合监控

33、，做到一站式监控，当动环设备、网络设备、服务器、存储发生故障时可以快速定位到对应机房位置，减轻运维人员的运维任务，保障机房环境与设备的安全。机房监控信息可视化系统是一个综合利用计算机网络技术、自动控制技术、新型传感技术等构成的计算机网络。第一步：系统将集成原有的机房动力和环境设备等设备（如：配电、UPS、空调、温湿度、漏水、烟雾、视频、门禁等系统）。第二步：将机房内所有的IT 信息和通信设备立体与平面有机结合，建设能够立体、直观、全方位的展示机房运行情况的综合展示图：机房拓扑直观反映设备运行和使用状态，机柜的颜色变化，直接反映了是否有设备等发生事件，再深入可查找到哪个机柜哪台设备有问题。实时展

34、示机房效果，机柜内设备发生告警及状态变动时可在机柜上体现。4.2.2.4 智能巡检随着企业信息化应用的日益深入，为了确保信息化应用正常开展所进行的例行性巡检工作已变得非常必要，大多数企业的巡检还停留于人工方式，且巡检工作所涉及点多面广、经管对象种类丰富、指标繁多、相应的工作量也是非常可观的，单纯依靠人力已难以胜任，有限的人力资源和繁重巨大和工作量之间的矛盾日益突出，加之巡检工作的许多内容技术含量低、且重复和繁琐，对经管人员来说没有营养，很难引起兴趣并调动其工作积极性，对有限的人力资源也是一个巨大的浪费，加之人工巡检存在漏、错、巡检不到位等弊端，导致潜在隐患未必能够及时被发现从而错过了排除故障

35、的最佳时机，在工作中处于被动的事后抢救、修复的不利局面。切实采取有效措施和手段，扭转巡检经管工作中的不利局面、变被动为主动，改善巡检经管工作的成效，最大限度减少隐患、确保信息系统持续稳定、可靠的正常运转方面发挥关键作用并做出突出贡献，已成为企业信息部门核心目标和非常迫切的任务。IT 综合运维经管平台，集成对 IT 基础设施及机房环境进行日常巡检的功能，减轻运维人员冗余繁重的日常巡检工作，保证网络环境正常、有序、安全运转，提升工作效率，达到运维经管的巡检自动化需求。4.2.2.5 虚拟化经管 IT 综合运维经管平台集成虚拟化经管功能，通过添加虚拟中心同步获取虚拟设备信息，并以虚拟视图的形式直观地

36、展现给客户，实现企业对于虚拟化经管统一监控的需求。本次工程建设可视化虚拟环境经管，从网络视角实现 ESX/ESXi 主机、虚拟机、数据存储的经管，以颜色变化方式展现 ESX/ESXi 主机、虚拟机、数据存储、网络健康特性。同时，IT 综合运维经管平台可以对 vCenter、集群、ESX/ESXi 主机、虚拟机、数据存储的详细指标进行监控，针对虚拟化系统提供了性能、可用性、配置的监控。直观展现虚拟化系统的状态，以及被虚拟主机的可用性。提供内存缩减量、CPU 使用率、内存使用率、磁盘读/写速度、网络数据接收/发送速度、资源池内虚拟机配置内存大小、虚拟机之间共享内存等详细指标。提供可视化虚拟环境经管

37、，支持的经管，以图表的方式进行展现。4.2.2.6 告警经管 IT 综合运维经管平台集成丰富的告警功能，通过邮件、微信、短信及声光等方式能使用户第一时间接到告警，让系统的经管从被动变为主动，有效地预防故障发生。通过告警明感度、告警过滤等多种技术手段，屏蔽不重要的告警信息，避免告警泛滥，帮助运维人员能够将精力集中关键问题上，准确定位故障源并快速处理。故障经管的设置是一项繁琐而细致的功能，对于一个新手来说，一旦设置错误，有可能会造成资源监控指标不合理，频繁产生不必要的报警等等。凭借多年的网管经验，产品提供了一键恢复默认值的按钮，方便您及时恢复到最佳的设置，为您的策略设置提供一个基准参照指标。故障

38、经管支持监控资源的批量监控，可以用一条策略，经管一种类型的设备。在策略经管中，批量监控与统一经管是类似的，您可以设置一条策略，如 AIX 主机的策略，将所有网络资源中的所有 AIX 主机都归到这条策略中，只要使用一条策略，就可以对多台同类型的设备进行策略指定和发布。产品提供灵活的报警定义，可满足各种业务需求。经管人员可以根据监控需要，定义故障事件是否触发报警、发送给哪个角色或人员、以及发送的时间段。组合告警组合告警支持灵活的告警条件组合，对相互之间有关联的事件进行分析，过滤出重要告警，抑制“告警风暴”的发生。帮助用户精确的判定故障，减少告警的次数，提高告警的有效性。告警规则经管员可设置多种

39、报警方式，当事故发生时，不仅以传统方式邮件方式通知用户，还可通过邮件、短信、桌面告警（产品 Alert）等多种报警方式，全面及时的通知用户。如果在一定时间段内，事故仍没有解决，升级到更高层次用户，自动寻求更强的解决力度例如，数据库服务器不可用时，报警至数据库经管员，但 24 小时后数据库仍未恢复使用，可报警升级至公司领导。领导可调集更多资源，加大解决力度，从而迅速排解事故。报警应急响应 IT 综合运维经管平台不仅可在系统产生告警事件时以邮件、短信、客户端软件等方式通知经管员，还可进行报警应急响应，并支持联动策略。IT 经管员可以预先定义好报警联动策略，当某种类型的故障产生时，自动的触发策略以

40、相应动作，这个动作可以是启动或停止进程、服务或业务程序，还可以是一个用户指定的脚本程序，可提供对计算机操作系统的关闭、重启等操作。报警通知方式产品在系统产生告警事件时，可通过如下几种方式来报警：邮件报警短信报警产品 Alert 报警声光设备 Syslog 通知外部程序通知 Http 调用企业微信通知同时产品具备分级报警功能，产品软件可以根据产生故障来源的重要程度不同采用不同的告警方式，并且可以自定义故障告警的信息模板。针对某些重要告警事件长时间得不到解决的现象，产品还提供了告警升级功能。当问题出现几个小时，系统经管员还没有解决的情况下，系统会发送告警通知上一级领导。4.2.2.7

41、配置经管网络设备中配置信息为关键资源，需要进行实时监听，定期备份，差异比较。综上考虑，根据用户需求开发出配置经管解决技术方案，系统平台支持配置脚本的方式，对网络设备配置信息定制备份规则。IT 综合运维经管平台通过 SSH 安全登录方式对网络设备的配置进行采集，通过系统定时对配置信息进行对比。当网络配发生变化时，保留上一份配置规则，并自动备份当前设备配置信息，多份规则可进行比对查看，保障网络安全稳定。4.2.2.8 报表经管 IT 综合运维经管平台集成丰富报表功能，根据实际需求定制报表模板，对于网络环境中的告警故障信息、设备性能指标、线路流量信息定期生成报表，作为后期网络改造、维护依据，保障

42、业务环境中各项数据的安全。4.2.2.9 IP 地址经管本次系统建设地址簿经管功能，是实现对 IP 地址资源空间经管的有效手段，它通过对全网设备的扫描，快速的生成一张“IP/MAC所在设备所在端口PC 主机名称端口状态操作系统”等用户信息的表，通过该表您可以快速的对 IP 地址进行定位，并且通过相应的告警设置，发现网络中存在的非法 IP 和非法设备。4.3 工程实施计划（一）工程环境：客服南中心基础网络系统已经建成；各节点设备所在机房的基础环境具备。（二）工程人员：工程人员主要涉及：安徽省电力公司科技信息部、信通公司。（三）工程进度：第一阶段时间 2016 年 45 月，进行工程的可研

43、编制和评审。第二阶段时间 2016 年 67 月，技术方案编制和评审。第三阶段时间 2016 年 89 月，完成设备采购。机房基础环境建设具备设备安装条件。第四阶段时间 2016 年 10 月，完成实施，主要包括硬件安装设软件调试。对工程建设所涉及到的子网进行基础资料的收集整理，制定好网络切换技术方案。按照工程合同内容进行设备验收。安装、调试设备，进行各项功能测试。进行网络的调试工作，在调试过程中可将各项重要业务切换到备用网络通道上，在联调工作结束后，将各项业务切换回改造后的信息网络。制定网络流程的监控分析策略，进行网络流程的分析与测试，解决现存的网络故障。第五阶段 2016 年 11

44、月底，完成验收。进行试运行工作，检查系统的运行状况、性能、稳定性是否达到了预期效果，并根据监测情况适当调整完善网络。收集整理工程资料，完成工程验收。5 主要设备材料清册 5.1 编制说明此次工程采购设备及软件均属于国网客服中心招标采购的设备，目前估算主要设备、材料价格参照国家电网公司近期同类工程招标价计列。5.2 主要设备材料表客服南中心网络安全改造工程，共需 6 台防火墙，4 台入侵防御系统 IPS。主要设备材料清单如下：类型技术参数数量（台）防火墙吞吐量 40Gbps，双主控、双电源，配置不 4 个万兆光口，24 个千兆光口。4 个可扩展插槽。3 年协议库升级服务。6 入侵防御系

45、统吞吐量 12Gbps，配置不少于 4GE口、4 SFP+万兆光，4 个可扩展插槽，3 年攻击特征库、病毒库升级服务。4 客服南中心运维经管优化提升国网客服中心客服南中心综合网管建设工程评审核定估算总表单位：万元序号工程或费用名称建筑工程费设备购置费安装工程费其他费用合计各项占工程投资%单位投资 (元/KVA)一内网监控平台及环境监控平台 75 75 二运维流程经管平台 105 105 三其他费用工程投资 180 180 各类费用占工程投资的比例 6 估算书（一）投资估编制原则 1客服南中心网络安全改造工程投资估算由设备购置费、安装工程费等几部分组成。2设备购置费

46、用参照近期同类工程招标价格计列。3工程划分及取费规范执行依据 2009 年版20kV 及以下配电网工程建设预算编制与计算规范。4定额采用20kV 及以下配电网工程预算定额（2009 年版）。5.根据投资方要求，本工程不计取其他费用。（二）投资估算核定评审确定该建设工程可研投资估算为 287.944 万元。附表:投资估算总表客服南中心网络安全改造建设工程评审核定估算总表单位：万元序号工程或费用名称建筑工程费设备购置费安装工程费其他费用合计各项占工程投资%单位投资(元/KVA)一网络安全设备 278.144 9.8 二机房配套设施建设三其他费用工程投资各类费用占

47、工程投资的比例 7 工程效益分析建设客服南中心安全体系架构，极大的提升了中心信息系统的健壮性、可靠性及安全性。采用最新技术的高性能防火墙，能够保证未来 3 至 5 年的技术领先和性能保障，使得安全不在成为网络的瓶颈，同时保持高可扩展性，未来可实现平滑的性能和功能扩容，降低 TCO。在隔离范围上，不仅实现了网络层的隔离，更创新地实现了 L27 隔离，隔离更为彻底。同时实现方式非常简单，避免了传统逻辑隔离技术的极其复杂的配置、运维，同时网络建设、运维经管成本大幅降低，使信息维护人员有更多的时间关注业务系统的建设。本次改造和安全设计完全符合等保关于结构安全、访问控制、安全审计、边界完整性检查、入侵防范与恶意代码防范等方面的要求，充分满足等级保护中网络安全部分建设规范。建设国网客户中心客服南中心综合网管平台，可以有效的提高运维效率，保障网络的可靠性和可用性。综合网管平台的部署，简化了网络经管的复杂度，降低了网络运维的难度，实现了网络的“高可靠”、“高性能”和“高扩展能力”，为国网客户中心客服南中心业务系统提供了一个坚实的基础网络平台。综合网管平台的不是，可以实现服务成本可计量、业务效益可衡量，合理引导业务需求，减少无效业务需求数量，在提升关键需求支撑水平的同时降低无效投资；稳定系统版本，持续提升系统能力，降低建设及维护成本，提高企业总体投资效率。

展开阅读全文