（5）重庆长江电工工业有限责任公司技术方案.doc

兵装集团成本管理项目 -重庆长江电工工业有限责任公司 技术方案1项目背景11企业自身需求。随着信息时代的到来，企业必将不可抗拒的加速进入信息网络时代。在现代化企业中，信息管理工作在企业中将发挥越来越重要的作用。企业信息工作，主要是指进行生产经营和执行决策所需要的资料、数据的收集、加工、传递、存储等管理工作。把企业物流的管理提高到对企业信息流的管理来控制企业的运作。及时提供给领导决策所需的多方面的信息和生产现场实际情况12集团公司要求1关于推进2008年财务信息化工作的通知（兵财200812号）重点单位必须在10月底完成五系统的完善工作，并在11月底以前实现各系统的应用集成。凡纳入集团公司合并范围的子公司，无论级次均按集团公司财务信息化工作要求，不断深入与完善财务信息系统。2关于对2008年财务信息化工作实施计划的批复（兵财200823号）近日，收悉各单位上报的财务信息化工作实施计划，财务部结合各单位实际情况，经研究，决定对各单位财务信息化工作实施计划给予批复，各单位要严格按照关于推进2008年财务信息化工作的通知（兵财200812号）统筹安排本单位2008年财务信息化工作，认真执行本批复内容（具体见附件）。2设计原则21实用性 在网络设计中，首先要考虑的是实用性，使之易操作、易管理和维护并且易于用户掌握和学习使用。其次要考虑对现有设备和资源的充分利用，采用成熟的网络通信技术和设备，保证原有的投资。22可扩展性 网络规划既要以现实需要为出发点，又要考虑长远发展的需要和潜在的扩充，尽可能采取先进而使网络带宽性能不仅适应现在的需要，还可以满足未来几年数据量的要求。23经济性 以较高的性能价格比构建系统，使资金的产出投入比达到最佳。能以较低的成本、较少的人员投入来维持系统运转，达到高效能与高效益。24安全性 操作系统、数据库系统、网络设备、应用系统和网络连接的复杂性、多样性和脆弱性使得其面临的安全威胁多种多样，因此要从各个层面上做好相关的技术防护措施。25需求、风险、代价平衡 对任一网络来说，不可能达到绝对安全。对一个网络要先进行实际分析，对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后才制定规范和措施，确定本系统的安全策略。保护成本、被保护信息的价值必须平衡。对任何信息系统，绝对安全难以达到，也不一定是必要的，安全保障体系设计要正确处理需求、风险与代价的关系，做到安全性与可用性相容，做到技术上可实现，组织上可执行。3需求分析31系统定级：企业内部级32建设目标：在现有的网络资源上进行改造，所有部门既能保证以原有互联网的端口，又能保证财务部，物流部，采购部，市场部，党政办五个部门能上成本管理系统。系统实现后，企业将实现从采购订单、到货、入库、发票、应付结算、在库管理、生产领料出库、产品完工入库、销售订单、提单、提货出库、发票、应收结算全过程的管理，实现业务系统与财务核算的一体化，提供实际执行信息，实现分析、考核、管理的目标 。33信息点：在信息点的分布上，我们原则是在能满足各使用部门的业务需要的前提下，尽量精简信息点，目前只考虑了应用最多的五个部门。这种相对集中的管理办法既可以节约经费，又方便日后运行管理。以下为信息点分布表：序号 使用部门 信息点数目 备注1 党政办 2 2 物流部 63 采购部 64 市场部 45 财务部 6合计 24 个4实施方案41 已有网络资源状况 车间非涉密办公网分布示意图(图1)中心交换机1 2 3 4 5 6 7 8 9 101工房117工房216工房309工房221工房1号门卫107工房4号门卫102工房2号门卫104工房122工房3号门卫215工房其中 ：图中细线部分为六芯单模光纤，粗线部分为六芯室外多模光纤 办公大楼非涉密办公网分布示意图（图2）中心交换机 10 11 12 13 14 15 16七楼六楼五楼四楼三楼二楼八楼PC42网络拓扑结构图在网络的整体规划上，我们尽量做到“物尽其用”。并且让原有的办公网与成本管理系统的运行并行不悖，充分发挥现有网络资源的功效，省去了网络综合布线、机房建设、网络设备等投资。以下是我们设计出的网络拓扑结构图：网络拓扑结构图（图3）注：图中粉红色部分为已有的网络资源，剩余部分为本次项目需新增加的设备。图1图2图3中的中心交换机为同一台交换机，型号为CISCO 6506，位于计算机中心机房机柜中，它是我们非涉密办公网的核心交换机，它有16个光纤接口，通过1至16 端口连接到办公大楼各楼层交换机和每一台工房交换机，然后连到各终端。43 机房建设中心机房内放置大量的计算机设备、网络通讯设备、监控设备等，因此需要一个非常严格的操作环境，更重要的是保证系统的正常运作。因此，机房的基本结构组合必须达到以下目的及水准。既要与现代化的计算机通讯设备相匹配，又能通过精良、独特的设计构思，真正体现“现代、高雅、美观、适用”的整体形象。 机房选用现有的计算机中心机房，由于该房间在建设非涉密办公网时，已经按相关技术规范建设好了防火，防雷，红外线监控等系统。机柜选用计算机中心机房中备用的机柜，并将新购的服务器，交换机，防火墙等设备按标准安装在机柜中。 另外，我们需要把图1中的端口67 和图2 中的端口101214（也就是采购部，物流部，财务部，市场部，党政办五个部门对应的交换机端口）从中心交换机上拔下来，接入到图三的成本系统核心交换机上。这样一来，成本核心交换机端口到光纤配线架的距离增加了，因此需要按成本核心交换机摆放的位置重新做光纤跳线。44综合布线根据综合布线设计原则，布线系统由工作区子系统、水平子系统、管理子系统、垂直子系统、设备间子系统和楼群子系统构成。在非涉密办公网建设方案中已经充分考虑了整个系统的可靠性、传输特性和可扩充性。我们已经拥有了一套较为完善的综合布线系统。但部分部门已有的信息点的个数不足，需考虑从新增几个点，可直接从工房交换机接入，具体为：物流部（10个），采购部（10）。财务部，党政办，市场部信息点已经足够，无须考虑只需要把采购部，物流部，财务部，市场部，党政办等部门的端口连入到成本管理系统，就保证了整个网络的连通性。 45安全措施451由于成本管理系统与Internet连接上，因此加强网络的安全性非常有必要。我们新增了天融信入侵检测，防火墙等网络安全产品，有效的抵制了外来的攻击。同时我们部署了一台网管服务器，能够使管理员对网络的运行情况了如指掌。452我们将根据实际情况确定上网端口和上成本管理系统的端口，预先规划好IP地址，并采取VLAN划分，访问控制，端口 IP MAC地址绑定等技术手段防止未授权的用户互访。453在内网安全管理的设计中，采用整体内网解决方案，将以“保密规定”为指导，安元（Chinasec）可信网络安全平台来作为技术支撑，以瑞星杀毒软件中小企业版为辅助,保障内部网络的安全与统一管理。Chinasec内网安全解决方案以全面整体的思路与技术结合安元产品解决所有内部安全性问题，以安元四大系统，可认网络认证系统、可信网络保密系统、可信网络监控系统、可信数据保密系统相结合；首先对内部所有数据资源进行主动保护或加密，然后事前进行控制，事中监控，后事审计来达到内部数据的一个安全性，同时结合瑞星杀毒软件，保护好内部病毒的流动感染；利用安元系统的VCN，很好的保护好各部门之间的数据安全互访，员工U盘的访问控制，及所有PC外设使用的安全性；从所有能泄密的地方进行阻止；打造一个可信的安全平台。5产品选型网络产品及网络安全产品是搭架整个网络的平台，选用合适系统的产品不但可以提升网络的性能安全等，还可以为企业节约大笔资金。因此我们较多选用国外知名公司的成熟产品，具体考虑如下：1、很好的产品知名度2高性价比2、在本行业领域是领先者（悠久的历史和技术的领导者）3、有成熟的产品和完整的产品线可供选择5、有成功的案例6、完整的供应渠道重庆长江电工工业有限责任公司成本管理系统设备明细序号类型型号配置及功能报价数量价格1成本服务器IBM X3850 M2企业级服务器外观结构:机架式处理器类型:Intel Xeon MP E7330标称主频(MHz):2400，配2颗CPU最大处理器数量:4标准内存容量:4GB1块 146G SAS硬盘900001900002网管服务器IBM X3650设备类型:部门级服务器外观结构:机架式处理器类型:Intel Xeon E5450标称主频(MHz):3000最大处理器数量:2标准内存容量:2GB300001300003存储阵列IBM TotalStorage DS3400(1726-42X)平均传输率：400MB/s1GB-2GB缓存1000000小时个主机光纤通道（bps/2Gbps/4Gbps）支持RAID 0,1,3,5,10单机磁盘数量16个企业级硬盘，300G，15000转，SAS（RAID5）460001460004HBA光纤卡IBMFC 2GB双端口,装于服务器对外连接（含光纤线缆）6600166005UPS电源山特在线式UPS10KVA半小时200001200006服务器备份软件IBM Tivoli Storage ManagerIBM Tivoli Storage Manager依靠存储备份以及离线存储的数据拷贝，有效保护您的企业数据，同时可保护上百台运行不同操作系统的计算机。400001400007入侵检测天融信(Topsentry 3000)系统是北京天融信公司获得多项国际、国内安全认证与奖项的新一代入侵检测与防护系统。它采用多重检测、多层加速、SSL加密访问检测等多项天融信独创安全技术，致力于降低IDS的误报率、漏报率，提高IDS的分析能力，达到线速的包捕获率，并加强IDS对蠕虫攻击等功能.2U机型；标配2个10/100/1000BASE-T端口(可以用作扩展和监听）+1个10/100BASE-TX管理端口2个GBIC插槽2U机型；标配2个10/100/1000BASE-T端口(可以用作扩展和监听）+1个10/100BASE-TX管理端口+2个GBIC插槽23000012300008防火墙天融信NGFW4000-UF（TC5044）企业级防火墙 无用户限制 1000M 最大配置为8个接口,包括4个SFP插槽、4个10/100/1000BASE-T接口强大的抗DOS/DDOS攻击能力；准确的蠕虫、后门、木马、漏洞、间谍软件、Web攻击防御能力；繁多的垃圾应用、流行P2P/IM、热门游戏的过滤控制能力；智能的VIDP功能：针对不同的网络环境和安全需求，制定不同的防御规则和响应方式等18000011800009核心交换机H3C S5510-24F应用类型：企业级交换机应用层级：三层背板带宽：48Gbps包转发率：35.71Mbps支持VLAN ，支持静态路由和缺省路由；支持RIPv1/v2，RIPng；支持OSPFv1/v2，OSPFv3；支持策略路由，等价路由；支持 VRRP/VRRPv3支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、四层端口、协议类型、VLAN等ACL；支持用户自定义ACL3对多模模块，2对单模模块3000013000010内网安全软件Chinasec1900100个点19000011杀毒软件瑞星100个点6100012操作系统WINDOWS 2003 SERVER68001套680013网络线安普超5类屏蔽双绞线18002