xx省财政it运维项目建议书

ELECXX全省财政IT运维一体化解决方案技术建议书北京XX政务软件有限公司目录1项目背景52需求分析621信息化建设现状622存在的主要问题63项目建设目标831项目必要性832项目目标833项目价值分析9331面向领导决策者10332面向维护管理者1034项目建设原则114项目建设规模及功能1341项目范围1342整体技术方案13421监控数据统一展现14422告警事件处理15423数据统计分析16424与服务流程管理系统的接口1643系统架构175项目建设方案2051一期建设20511桌面终端入网规范系统20512桌面终端管理系统2352二期建设30521网络监控31522主机监控33523数据库监控34524中间件监控36525存储监控38526应用监控38527数据库审计4053三期建设41531服务台42532事件管理42533问题管理43534变更管理44535发布管理44536资产与配置管理45537知识管理46538外包管理46539项目管理475310公告管理476项目投资概算4961一期项目预算4962二期项目预算5063三期项目预算527项目经济效益和社会效益5471项目经济效益5472项目社会效益541需求分析11信息化建设现状目前XX全省财政厅、地市及所有区县信息化建设正在有序进行，财政一体化平台正在建设实施，省厅、9个地市及100多个区县的财政一体化平台服务器，业务系统等全部部署在省厅信息中心机房，系统庞大，设备众多，整个运维工作还处于手工处理阶段，难以有效保证整个IT技术架构及相关业务系统的正常、稳定运行。12存在的主要问题按照ITIL的服务理念和服务水平的成熟度要求，XX全省财政厅、地市及所有区县信息中心（以下简称信息中心）在信息技术的管理标准、服务流程和服务质量上还有待改善，目前的IT服务管理水准与实现信息技术资源共享、信息技术专业服务的要求相比较，还有一定差距。主要表现在桌面终端数量众多，全省财政系统及预算单位几万台桌面终端维护工作如打补丁、分发软件、操作系统问题、病毒传播等）等维护工作量巨大，终端系统软、硬件配置台帐不清；终端行为无法把握；外设无法控制；终端接入无法管理；终端安全无法保证，大量业务终端的问题往往导致了财政一体化大平台和其他业务系统无法正常使用。缺乏统一的集中监控与管理平台，对主机服务器、业务系统、存储系统、网络系统、安全等系统组成的复杂环境，当应用系统运行异常时难以快速判断和定位系统故障。缺乏统一的规范的有效的IT服务管理流程以及与其配套的管理制度，支持IT系统的运行维护和对外包公司的有效管理。对于日常故障和服务请求的处理，重大故障的处理，以及系统变更等运行维护工作，很难监督处理过程，改善处理效果，提高处理效率。对整个IT基础设施和服务的配置信息（包括硬件，软件，文档，合同，过程，人员等）缺乏全面有效的管理，跟踪和控制，不能为日常运行维护提供准确的信息。对事件和问题的管理比较被动，缺乏服务的前瞻性，不能形成从监控系统发现事件和问题到IT服务管理平台处理事件和问题的闭环工作流。存在的主要问题如下没有一体化的监控工具，监控方式过于分散，不利于故障的准确定位关键配置信息登记不完善，系统配置散乱，缺乏统一的管理IT资源管理混乱运维管理、故障处理效率低下类似问题屡屡发生知识分散、对运维人员技术要求越来越高升级变更后引起业务不稳定工作考核无法量化缺乏以客户为中心的运维模式2项目建设目标21项目必要性随着信息技术的飞速发展，XX全省财政厅、地市及所有区县的业务模式也发生了巨大变化，信息技术在业务中起着越来越重要的作用，越来越多的业务流程依赖IT技术，如何从技术和业务的双重视角对其进行有效管理，保障业务处理平台高效、安全、正常的运行，为用户日常办公、业务处理提供有力支撑成了众多运维人员常态工作。由于业务快速变化、用户环境日益复杂、IT应用日益繁多等因素导致了IT服务与实际业务需求脱钩，IT服务与业务部门的实际要求出现鸿沟。如何消除鸿沟、实现IT与业务的真正融合，成为众多IT运维人员的最终目标。目标的实现有赖于对IT服务进行良好的管理，由此催生了建设面向“IT服务”的运维服务管理一体化平台的需求，运维服务管理一体化平台立足于服务，建立以客户为中心，以流程为导向，从业务角度出发的全新的IT管理模式，通过整合IT服务与业务，提高了组织提供IT服务的能力，是真正实现这种服务管理的有效途径，能帮助用户最终实现IT与业务的融合。22项目目标本项目的建设目标为搭建XX全省财政厅、地市及所有区县IT运维监控管理一体化平台，在实现对桌面终端、网络、网络设备、服务器、数据库、中间件、应用系统、机房环境等内容的集中监控和管理以及业务核心数据的实时展示，从而实现运行维护队伍建设、运行维护技术平台建设、运行维护制度建设和运行维护流程建设四个方面的内容。完成对信息系统运行状态的全面监控和运行问题的及时处理，支持应用系统的安全、稳定、高效、持续运行。为建设运维为辅助的规范化、标准化、制度化的集中管理的运行维护体系打下坚实的基础。IT运维监控管理一体化平台具体的建设目标如下为保障XX省财政大平台的顺利上线及后期的正常使用，实现对成千上万台的业务终端PC的双实名制准入控制、保证接入终端的合法性，具备对通过准入控制接入的电脑终端进行健康体检，对操作系统和病毒库补丁一键修复功能，桌面终端的软硬件资产管理，移动存储介质管理，补丁分发、标准化管理，网络异常、端口、网站访问控制，非法外联管理，远程维护和行为审计。改进手段，实现主动监控、集中管理。以应用性能监控为核心，构建统一集成的系统资源监控系统，解决目前被动监控、被动服务的局面，实现对财政内网、网络设备、主机服务器、业务应用系统、机房环境等各类资源的主动监控、及时更新，为中心信息化建设和运行提供保障。实施故障预警，实现系统风险前移。对IT信息环境及各项业务系统尤其是重要业务系统的运行情况进行监控，根据实践建立灵活的事件管理机制，建立集中的告警分析处理和故障预警机制，使监控系统成为强有力的助手，能够在故障产生时进行快速定位，作到事前防范，动态掌握IT资源，提高利用效率。通过IT运维监控管理系统建设，实时了解掌握IT资源的使用情况，根据需要从整体角度考虑资源的配置、调剂和使用，提高资源的有效利用率。促进维护工作高效展开。推动运维工作流程规范化，提升工作效率。建立知识共享机制和主动查询、关联，为系统管理人员开展运维工作提供便利。适应管理特点，提供多层次展示。根据科技运维管理的需要，根据领导层、管理者、技术员等各个角色的工作侧重点，定制不同的展示界面。23项目价值分析项目的最终价值是将XX全省财政厅、地市及所有区县IT运维管理服务从分散、无序、被动、粗放、事后被动处理的服务型转化为集中、有序、主动、精细、事前预警、以业务为中心的运营型。保障IT基础架构稳定可靠运行,降低系统和业务应用宕机风险,提高运维支持和服务管理效率,优化运维流程、建立绩效体系,控制运维成本、改进决策过程，其具体价值体现在以下两方面231面向领导决策者全面了解IT运行维护情况（连通率、可用性、各类报表、故障分析）资产配置管理、理清资产台账梳理固化流程、建立运维规范、全面了解下属工作情况、持续提升运维管理水平外包管理（外包流程、合同、过程监控）辅助领导决策、降低成本232面向维护管理者全面监控IT基础架构运行、事前预警、确保网络不断、系统不瘫、数据不丢帮助快速定位问题，优化问题处理流程、提高支持效率、摆脱救火队员角色绩效及工作量统计分析、总结汇报有数据依据实现运维知识的积累、沉淀和共享，降低IT运维管理对个人的依赖各类性能及趋势报表，为优化IT环境提供科学依据24项目建设原则实用性和适用性原则实用性是衡量软件质量体系中最重要的指标，系统的设计从最开始就以适应于多种运行环境为前提，而且还具有应变能力，以适应未来变化的环境和需求。先进性与发展性原则采用最先进的计算机软件技术、现代通讯技术、多媒体展示等电子技术，保证系统的先进性和发展性。标准化与开放性原则系统的开发和技术符合开放性和标准化，数据规范、指标代码体系、接口标准均遵循国家和行业规范要求；系统能将建设成果以标准化文档的方式提交。安全与保密原则信息系统建设方案具有高可靠性，并对使用信息进行严格的权限管理。在技术上，采用严格的安全与保密措施，确保系统的可靠性、保密性和数据的一致性。在设计与软件开发中均采用安全保密措施。在应用规划上，通过建立统一的用户权限管理系统，以统一的规划保证系统安全的压力和强度。易用性原则系统具有统一界面操作风格、完善的在线帮助、完善的录入控制、人性化操作设计，其中大部分的操作可以通过直接操作即可掌握。灵活性原则系统具有良好的伸缩性，能够运用于复杂或简单的需求情况下。提供标准灵活的数据接口，便于和其他系统进行数据交互。3项目建设规模及功能31项目范围采用先进IT监测技术对XX全省财政厅、地市及所有区县的桌面终端、服务器、业务系统、网络、机房等IT基础架构的集中监控管理，并在此基础上构建一个平台化、智能化、高可靠性的IT运维管理与服务一体化平台，进行集中展现、集中告警处理、服务流程及资产管理、知识库、外包管理等内容。系统具有对于桌面终端、网络、安全设备、主机、存储设备、数据库、中间件、应用系统以及机房环境等的集中监测、性能采集及报警功能，建立XX全省财政厅、地市及所有区县IT运维服务管理流程、工作规范和各种规章制度，将技术、人员和流程有机地结合起来，提升整个信息部门的IT管理水平。32整体技术方案IT运维管理一体化平台应立足于提升XX全省财政厅、地市及所有区县的IT服务质量，融合了ITIL的事件管理、问题管理及变更与发布管理等核心IT服务管理流程，并集成了桌面管理及准入网络监控、系统及服务监控、数据库审计等管理数据和展现页面而形成的面向运维服务、集中监控和统一展现的综合IT服务管理平台。产品依托监控平台极强的视觉感知效果的展现界面，以业务服务管理为中心，将配置表单、工作流定义、集中监控、深度业务关联模型、配置信息同步等功能立体化地呈现给使用者，以期达到提高用户日常IT运维的规范化、流程化及自动化，量化运行质量和服务水平，提高IT系统运行效率，保障业务服务运行无忧的目标。系统将按照高起点、高标准、高质量的要求，建立以服务流程为驱动的运维管理一体化平台，实现人员、流程、工具三方面的完美结合，能够在帮助用户深耕基础架构、夯实基础之后，与用户一起建立遵循先进流程管理思想的ITIL理论，实现以服务流程驱动为导向的实用的“人管流程”。为用户带来“IT管理理念系统工具过程方法”的全新的IT服务管理组合，为用户提供包括管理流程与规范、业务及实施方法在内的全方位IT服务管理体系建设。321监控数据统一展现提供层级化，从全局到局部的综合的IT运维监控视图，包含网络、服务器、数据库、应用系统、业务应用等要素在内的全方位监控。以多种角度定制监控视图，在监控展现视图中，事件信息、性能信息、资产信息，统一展现在监控视图，在问题排错的过程中结合事件本身提供最大的信息，便于分析问题，解决问题。综合监控视图展现包括物理拓扑和逻辑拓扑等。按照不同级别的用户权限分层次地呈现所有被管理资源的拓扑结构。系统具有灵活的浏览、监视和编辑的功能，同时在性能、告警、配置等方面动态反映资源环境的变化。在拓扑节点上可以查看相应资源详细配置信息。系统支持以下监控视图网络拓扑图以地理视图、层次图等方式显示物理、逻辑网络拓扑结构；应用拓扑视图呈现从用户、应用系统到IT基础设施间的依赖关系；机房平面图提供机房内设备物理摆放位置的视图；机架视图提供设备在机架上物理摆放位置的视图；设备面板图对被管理的设备应以与设备同样的物理构成直观进行显示；安全设备视图支持查看所管理的安全设备、设备之间的关系以及安全设备的状态。综合监控视图具有以下功能可以根据不同级别的用户需要切换到不同的监控视图。能灵活定义设备间和关键应用模块间及其内部的逻辑依赖关系。可以根据节点间的依赖关系，由上至下迅速定位影响应用正常运行的故障根源。可以根据节点间的依赖关系，由下至上迅速了解节点故障对应用的影响程度。通过拓扑节点可以查看与节点相关的配置、性能、故障等信息。能够通过颜色变化或其他方式直观反映监控对象的健康状况。性能数据展现，可以查看设备、线路重要的性能参数和数据。资产信息展现，可以查看和设备、线路相关的资产信息及相关记录信息。322告警事件处理整个系统以告警事件为核心，将IT资源监控管理系统与流程管理系统有机的整合在一起。对各项IT资源监控可能产生的事件信息，进入事件管理模块进行统一分析处理；同时有选择的把事件自动转为工单送入服务流程系统。统一事件管理通过统一数据接口收集各类基础监控子系统的事件，通过统一的数据分析、加工、归并，汇聚到数据网络运维管理平台数据库中；对收集到的大量事件信息，通过基于动态规则脚本的事件分析引擎，对事件进行标准化、事件过滤和压缩，定位到真正的告警原因。管理员能够通过定义告警过滤条件和通知规则，订阅自己关心的告警信息。当告警发生时，自动以某种方式（如短信、邮件、声光等）发送到相关人员。提供故障排除的专家知识建议，能够不断积累管理员的实践经验，可以将故障分析信息和相关的解决方案进行记录。323数据统计分析提供各种运行分析和性能报告，监控管理人员能根据这些报告准确评估整个IT环境运行情况，及早发现故障隐患和评估威胁。可以实现标准报表的生成、查询功能，显示每天的运行情况一览表和各个系统的运行情况信息，对各种网络系统、主机/存贮设备、应用系统等各种指标进行日周月年等多种时段的统计分析，提供多种趋势、比较、排名、分布、连通率、主页及关键业务存活率等报表。同时，还能够通过用户的二次开发直接访问、查询数据库中的数据，自定义报表；提供图形方式（包括曲线图、直方图和饼图等）的呈现。可方便定制报表，报表可以定期自动生成，并可以产生HTML、PDF和EXCEL等文件格式。支持运维考核指标的自定义与自动生成。324与服务流程管理系统的接口1、事件接口与服务流程管理之间为双向接口，从功能角度可以分为以下几类（1）创建工单监控管理系统根据预先所定义的匹配规则，过滤出需要派发到服务管理系统的告警，然后自动地将告警信息传送到服务管理系统。运维值班人员根据告警信息创建工单。（2）工单反向确认告警当工单确认受理时，服务管理系统通过监控管理系统提供的接口进行反向操作，确认该工单对应的告警。（3）关闭工单当监控管理系统的告警自动恢复时，将自动触发已经生成还未受理的工单自动关闭。（4）工单反向清除告警当服务管理系统中工单完成处理关闭的同时，服务管理系统需要通过监控管理系统提供的接口反向对监控管理系统进行操作，清除该工单对应的告警。2、配置接口实现配置数据的同步，监控对象的状态信息和CMDB自动更新、同步，对各类IT资源基本配置信息的采集能够自动导入CMDB中，以确保配置管理数据库中的数据与实际生产环境一致。设备和线路的事件状态自动生成匹配过滤条件，实现监控和CMDB的整合。33系统架构IT运维监控管理一体化平台是一个层次化的架构，系统架构总体划分成采集监测层、功能层、管理层。不同层次有不同层次的管理目标，系统架构设计必须要遵循“松耦合度”原则，采用系统软件总线、SOA开发设计模式，以确保各功能模块的灵活性，适应个性化的需求以及未来的发展建设需求。IT运维监控管理系统架构系统核心技术如下1基于J2EE平台，B/S结构、MVC设计模式，面向SOA的体系架构，提供了面向服务的扩展接口。2IT服务管理和WEB20技术的融合，国内第一个面向WEB20的IT服务管理一体化平台。3采用PORTAL技术来融合业务、技术和服务管理，提供管理个性化。4通过MASHUP技术提供了与第三方WEB系统的有效整合。5提供单点登录SSO的支持。6提供基于FLEX展现方式的灵动视图编辑器，提供强大的动态业务定义能力，随需配置业务模块，具有自定义业务数据、业务规则、业务流程、表单和查询器的能力。内置的及动态表单设计器和流程设计工作流引擎，提供了流程和界面的客户化模版和自定义能力。7强大的动态配置管理库能力，依托ORACLE数据库，具备继承、组合、关联、约束、版本管理等能力。4项目建设方案41一期建设一期建设解决XX全省财政厅、地市及所有区县及预算单位、其它接入单位约30000台业务终端的网络安全管理规范、解决接入网络的用户及设备实名制问题、快速定位存在安全隐患的设备及违规的用户；对违规设备做强制性的修复；快速安全地修复操作系统漏洞；内网不同角色进行分区域访问控制；用户或设备入网、安检等事件做到有据可查。实现对桌面终端的准入控制、接入规范检查、访问权限控制、桌面资产统一管理、USB、光驱等外设管理控制、远程维护、终端用户行为审计、补丁管理软件分发、外设管理和非法外联、桌面安全策略的强制执行、桌面系统的标准化管理等。411桌面终端入网规范系统桌面终端入网规范系统是一套基于最先进的第三代准入控制技术的纯硬件网络准入控制设备，秉承“不改变网络、不装客户端”的特性，为您解决网络的合规性要求，达到“违规不入网、入网必合规”的管理规范，支持包括身份认证、友好WEB重定向引导、基于角色的动态授权访问控制、可配置的安全检查规范库、“一键式”智能修复、实名日志审计等功能，满足等级保护对网络边界、终端防护的相应要求，同时提供更高效的、智能式的网络准入防护功能。访问域的控制系统可以定义各种身份认证角色，每个角色中可以定义不同的安全检查参数（如操作系统补丁、病毒软件及病毒库、GUEST账户、系统共享资源、系统进程服务检查、屏幕保护设置、弱口令账户检查、系统时间、IP和MAC绑定、P2P软件安装、域用户、必须安装的软件、磁盘使用检查、网络端口检查、禁止安装软件检查、计算机名检查、垃圾文件检查、违规外联检查等），配置不同的安全检查规范；同时可以定义在安全检查通过之后可以访问域，安全检查不通过时可以访问的修复服务器域等；比如可以定义外部人员就算是安全检查通过也只能访问互联网（或内网特定服务器），不能访问内网其他资源；或者可以定义一定要经过身份认证者才可以接入到内网中。用户角色划分可以按照需求将两种用户划分为不同角色。每种角色执行不同的安全和访问控制策略。访问自动重定向新入网用户在访问网络时会被自动重定向到ASM设备的安检页面，终端用户可按照身份类型选择不同的用户角色进行登录，目前主要分为员工和来宾两种角色。根据用户选择角色类型的不同，ASM会自动执行相关的验证、安检、以及修复等操作。双实名制，保障人员与设备的双重合法性ASM入网规范管理系统在提供多样式的身份认证保障接入网络人员合法性的同时，也提供了对接入网络终端设备合法性的保障，从而加强内部网络的可控性，方便管理员对网络的统一管理。身份认证方式身份认证可以有效的杜绝非授权用户的非法接入，ASM目前支持对来宾和员工用户的身份两种角色用户的认证，且ASM支持多种身份认证系统（如EMAIL、AD、LDAP、UKEY等），可以有效的利用已有的用户名/密码系统进行身份的验证识别。安全隐患检查及修复功能身份认证通过以后的用户终端，会根据相应的安全策略进行安全扫描，ASM目前支持多达20余种安全检查项，可有效发现终端存在的各种安全隐患问题。接入设备的安全性检查对于入网终端提供了细致化的安全状态检测，包括各种防病毒软件版本、终端补丁漏洞、应用软件黑、白、红名单检测、非法外联、非法代理、异常流量、敏感操作行为检测等；优化的补丁检测技术，能在7秒内检测出终端补丁状况；支持市面上主流的防病毒软件，如瑞星、江民、金山毒霸、MCAFEE、NORTON、趋势、NOD32、卡巴斯基、FSECURE等；还支持基于资产、注册表项、桌面属性、本地安全策略、系统设置项、外设管理等非常细致化的检测项，为客户提供了更好的实用效果。与当前国内外10多种杀毒软件联动，如微软MSE、SYMANTEC、瑞星、MCAFEE等防病毒软件联动工作，不仅能检测防病毒软件的运行状况，还可以将杀毒软件版本、病毒库等做为检查项，强制用户必须安装指定的杀毒软件以及病毒定义必须最新。安全状态显示及修复安检结果将在WEB页面以评分和检查项的方式显示给用户，检查后不符合要求（如防病毒软件未装，必须安装的软件未安装等）的用户将被禁止访问核心服务器，只有通过WEB界面中的提示信息进行一键式智能修复或引导至修复区进行修复后重新进行安检，才能最终获得正常的访问权限，针对终端存在的各种安全问题，ASM还可进行人性化的修复工作。实现内网终端安全的“诊治”一条龙工作。严禁私接NAT转换的路由设备在管理网络内的任何一上网络信息节点上，如果员工私自把网络信息节点接到一个具有NAT转换的路由设备，比如无线路由，那么如何发现此类设备，并且严格禁止使用此类设备。严格使用管理员分配的IP参数在网络中IP代表一台设备的地址，在一个网络中希望使用固定的IP来代表终端的地址与身份，但是如何来控制终端一定使用管理员分配的IP地址呢如果他们使用了别人的IP地址，那么终端接入网络的时候就会受到隔离控制。412桌面终端管理系统桌面终端管理系统，由资产安全、应用安全、补丁安全、远程维护、安全检查及加固、外联安全、移动介质管理、网络安全、行为审计共9个模块组成。系统通过WEB方式对整个系统进行应用策略配置、下发，管理网络和查询报警数据，客户端接收到策略后自动执行并上报相关信息，方便管理员操作，不影响用户日常办公；支持基于局域网、广域网的国家、省、市、县多级级联管理模式；真正做到对内部网络的完全管理，强化网络管理员对计算机终端的控制。4121信息资产管理具有强大的资产管理功能，能够自动监测和管理终端计算机的各种软硬件资产信息硬件资产能自动监测终端计算机的运行状态，系统记录各计算机的CPU型号及主频、内存型号及大小、硬盘型号及大小、设备标识、主板信息、IP地址、计算机名、MAC地址、网卡型号和生产商、软件资产能够自动收集应用程序信息，包括操作系统和应用软件种类、版本号以及安装时间、计算机所在域、物理位置等信息。资产管理能够将用户信息（单位、部门等）和计算机信息（资产编号、IP等）进行对应，能够手工添加硬件的描述信息，能从采购时输入一直到接入网络、日常维修、一直到报废的信息描述。建立电子档案，形成“人机绑定，责任到人”的户籍式管理体系。4122远程管理系统管理员通过远程管理能够对网内终端计算机远程管理进程、共享文件夹、远程的重启、注销、锁定、解锁、关闭甚至卸载终端等操作，实现足不出办公室的办公模式，有效提高运维效率。系统同时提供了远程截屏的功能。远程维护系统远程维护功能对计算机进行远程查看和远程控制，配合消息交换功能，可以很好的让IT管理员进行远程故障的诊断和排除，很好的提高工作效率。系统远程管理功能支持客户端确认过程，没有用户的确认无法实现远程接管终端，终端远程服务也只是在需要的时候开启，使用动态密码保证远程服务的安全性。该方法很好的兼顾了终端系统用户的数据安全和隐私，确保终端计算机的安全性。远程设置系统管理员通过终端运维管理能够对终端机的网络属性进行设置，比如设定网络参数、修改计算机名称、工作组名称等。系统管理员还能通过终端管理对网络内终端机算计的IP地址/MAC地址的绑定，禁止用户私自更改IP地址。对私自更改IP地址的用户，可自动进行“自动恢复原IP地址、锁定计算机、隔离网络、自动关机”等处理远程消息系统提供远程消息功能，支持对在线、不在线的计算机按照分组、单机的方式发送消息。在线的计算机能实时收到管理员发出的消息，不在线的计算机在系统上线后能够马上收到管理员发出的消息。通过系统远程消息功能，管理员能够将通知、终端异常告警、友好提示等信息方便的传达给终端用户。4123软件分发管理能够支持可执行程序、MSI安装包或文档数据文件自动下发与安装；能够支持指定组范围、指定时间进行安装、能够指定客户端安装目录；并且支持其他程序、脚本的分发安装，提供打包工具，能够判断检测指定程序是否在运行，如果运行则提示系统需要升级提供一个提示对话框如果按确认则将指定程序退出开始安装，如果选择取消则不安装，如果未运行则马上开始安装。能够提供带参数运行程序包；能够指定执行安装之后是否重启、关闭机器；能够查询软件分发的详情与历史情况。同时能够支持后台运行功能，根据脚本后台安装的参数进行设置，通过脚本定义的参数让脚本或可执行程序在后台运行。4124策略管理管理员通过制定策略模版，强制实现被管终端安全策略的统一配置。策略模版是一组策略的集合，每个策略模版可以应用到一个部门（群组），并且默认的适用于该部门的所有下级部门。系统根据设定的安全策略，能够对终端计算机安全进行有效评估，并对终端进行加固。同时对终端策略后若出现违反策略的操作会分别生成相应的告警和日志，帮助管理员及时发现与事后追踪。主要的策略管理列表如下1外设管理对终端计算机的外设进行统一管理，启用或禁用光驱、软驱、USB全部接口、打印机、调制解调器、1394控制器、红外设备、无线网卡等。当禁用USB存储设备时，像USB打印机、USBKEY可以照常使用。外设管理策略在安全模式下同样生效；2黑白程序管理能够按全天或指定的时间对指定的程序进行禁止，或者采取反选，对指定的程序外的程序进行禁止；能够防止客户端通过修改文件名和目录的方式运行非法程序。3违规外联监控当部署了违规外联策略的客户机或者群组在终端设备通过MODEL、红外设备、无线设备或蓝牙设备等等方式违规接入INTERNET等行为，立即告警，系统会记录外联时间与目标地址，操作用户等等信息，同时会提供报警及数据查询等功能。当有违规外联现象发生时处理操作，可以提示、断线、报警等操作。4移动存储设备使用监控与管理USB设备策略能够对所有安装客户端主机的USB移动存储设备进行统一的管理，启用或禁用USB接口。需要指出的是，该策略在对USB接口进行管理时只对USB硬盘和U盘等存储接口进行管理，不会限制USB键盘和鼠标的使用。通过这样的手段来防止非法拷贝重要的数据。并且能够对拷贝的文件名进行审计。5黑白网站管理能够对用户访问的URL地址进行监控，并且能够按全天或指定的时间对指定的网站、域名进行禁止，或者采取反选，对指定的网站域名外的网站进行禁止；对用户访问的URL地址能够进行审计，帮助管理员进行事后查证。6流量控制策略提供对客户端计算机的流量审计与控制策略，通过控制策略，对终端用户的流量进行监控，可以限定客户端流入、流出、总流量大小及连接数、ICMP包数量等进行监测。当流量或连接数或包数超过预定的阀值时能够告警、断网、提示等操作。系统同时能够通过插件方式生成拓扑图，实现对终端流量的监控展现。7文档监测审计客户端用户登录事件、关机事件、打开窗口事件、操作文档事件等等一系列的操作事件日志都提供记录与查询。并且能够进行告警或上报服务器，方便日后审计。8终端病毒防范系统提供对ARP等病毒的防范，同时在出现安全问题时能够及时地发现并且根据策略远程阻断隔离。并且系统还提供与主流杀毒软件的联动，能够及时查看到客户端是否安装了杀毒软件、杀毒软件是否启动。若存在问题可以提示用户进行操作。9IP/MAC地址绑定实现IP地址/MAC地址的绑定，禁止用户私自更改IP地址。对私自更改IP地址的用户，可自动进行“自动恢复原IP地址、锁定计算机、隔离网络、自动关机”等处理。同时在有客户私自修改IP后会进行上报，管理员也可以进行事后的查看。10非法设备接入监测及拦截提供了安全接入控制功能，通过采用安全接入控制功能可以保证一些非法的或者外联的新机器无法接入到内部网络或者只有在经过信息安全管理人员的许可之后，才可以访问内网的内部网络资源，降低外来非法机器导致的内网信息安全风险。总结需求重要一点所有经过身份认证的MAC地址并且安装了客户端软件的机器可以接入网络，其他机器一律不能接到网络中来，在第一时间阻止该非法设备接入网络。11审核策略自动记录终端系统相关的安全日志和告警，并统一记录到服务器上，便于日后系统管理员跟踪审计。12用户登入策略禁止用户不输入用户名、密码就登录终端系统。在密码到期前提示用户更改密码。不显示上次使用的用户名。13清除残余信息在用户注销或开机时，自动清除IE上网的历史记录、OFFICE临时文件、回收站、COOKIE等临时文件。4125终端控制桌面管理系统终端操作为管理员提供了远程对网内终端计算机的锁定、解锁、注销、重启、关闭、卸载等功能。方便管理员对有问题的客户机进行限制访问、隔离网络的操作，能够有效防止有问题的机器成为病毒攻击目标，也能防止有问题的机器主动成为病毒传播的源头。锁定锁定某机器后，该机器当前操作用户将无法继续操作解锁对锁定机器解锁，该机器当前用户将恢复正常操作注销；对计算机执行注销操作重启对计算机执行重启操作关闭对计算机执行关闭操作卸载对指定客户端执行卸载操作，卸载后，该计算机所有数据将会被清除，且该机器不再接受系统管理，只有机器上重新安装客户端之后，该机器将重新加入管理。4126告警管理告警定制系统支持多种告警方式，比如声音、闪烁、EMAIL、短信等。告警分为多个级别，从轻到重依次分为警告、告警、自动恢复、隔离网络四个级别。管理员可以根据自身的情况，采用一种或多种告警方式。对于各类监控事件，可以根据重要程度不同，设置不同的告警级别，即不会造成海量的告警信息，又不会漏报。对于重大异常事件，系统支持自动恢复、隔离网络两种选项，可以在事件发生的第一时间，做出处理，避免事态的进一步扩大，影响整个网络的安全。告警查询对收集到的各种告警信息进行查看、定位、分析，找出事件潜在的危害，生成日志分析报告，供管理员参考。同时，提供多种查询条件，提供对告警信息进行搜索、分类和排序的能力。对于管理员已经查看过的信息，可以将告警信息设置为已阅读状态，避免已阅读的告警信息反复出现。4127报表管理系统提供对客户软硬件资产的查询功能，并且可以自定义字段，提供报表及打印功能报表查询中提供部门信息、硬件信息，根据不同的信息生成不同的报表。42二期建设二期建设完成XX全省财政厅、地市及所有区县网络、网络设备、主机服务器、存储设备、数据库、中间件、应用系统、机房环境的集中监控和统一展现、分析，监视并记录对数据库服务器的各类操作行为及返回信息，有效地弥补现有应用业务系统在数据库安全使用上的不足，为数据库系统的安全运行提供了有力保障。通过统一的管理系统对管辖内被监控对象的运行状况和系统性能进行实时的监控，将IT资产与业务应用相关联，并以图形化的方式直观地、层级化地展现出基础架构的IT资源故障对业务系统的影响程度。对于系统运行的异常表现及时报警，提供故障自动修复功能；同时预设性能监控阀值，以帮助在系统出现问题之前提前向管理人员发出预警。从而可以积极主动地发现问题，改变被动管理的局面，保障系统的高可用性。整个系统以事件为核心，将IT资源监控管理系统与流程管理系统有机地整合在一起。采用统一事件管理系统，对整个系统内的所有事件进行收集、关联分析和处理，部分事件自动采取修复动作。421网络监控4211拓扑发现内置先进的拓扑发现引擎（TDE），可通过SNMP、ICMP、NETBIOS、ARP、TRACEROUTE、TELNET等多种手段自动发现网络，实时动态跟踪网络拓扑变化的情况，支持众多国内外厂商设备的混合网络，可以有效发现广域网、城域网、局域网、VPN、VLAN、MPLS等不同类型的网络。4212骨干链路管理从业务角度对网络重要链路进行监测和分析，对链路的通断、负荷、健康度进行评估；自动跟踪链路的通断，并对链路的SLA进行管理。持续监视、报告网络链路的运行情况，发现异常及时告警和统计。4213设备管理通过多种手段监测重要设备性能参数，集中备份网络设备配置、汇总设备告警信息、实时展现核心设备网管动态信息。4214异常流量监控持续的流量分析通过采集快速分析当前网络的协议和会话，实现从端口到应用的广泛流量分析和统计。4215故障预警系统通过内置的告警事件分析引擎，对获取的各类告警事件进行实时的压缩、归并，在界面上进行显著的提示和拓扑标注，并通过各种方式及时通知管理人员。4216报表分析报表中心为管理人员提供了性能、告警、状态、资源多个角度的统计和分析报表，帮助用户量化网络的运维质量，更可通过丰富的数据来支持网络规划决策。4217网络拓扑级联通过分布部署与级联管理，可以很好的满足大规模网络中，不同区域间的管理需求。此时，还把各区域监测到的网管信息，如拓扑、资源、告警等，都汇聚到一个上级或中心。在方便中心随时掌握多个区域网络情况的同时，还可通过各区域间的横向对比，来达到集中管理的目的。422主机监控对应用系统的主机进行监控，支持对多种主流厂商的UNIX服务器、WINDOW和LINUX主机的监控管理。能够获取被管理对象的信息；可以根据不同情况设置不同报警级别和预警阀值，在系统出现临界状态，系统能自动报警。提供基于WEB的实时的图形化展示界面。对所有监控数据进行历史存档和查询。提供二次开发接口，允许自定义监控对象。具体的监控指标包括CPU系统态、用户态、等待IO态以及空闲态的百分比。内存物理内存、交换区、虚拟内存利用率。内置硬盘运行状态、读写速度、使用空间比率，磁盘的已使用空间与磁盘总空间的比率。网卡网络端口的流量，包括流入、流出量和错误的数据包数；网络端口是否被停用。进程能够实现对关键进程包括系统进程、数据库进程和业务应用进程的进程状态、进程资源占用情况、同名进程数、进程活动状态的监控；对内存使用最多的进程识别、消耗CPU最高进程的监控；文件系统存储空间和文件系统使用的比率，超过限定阀值及时报警。目录指定目录的大小、修改时间及包含文件个数。活动目录对活动目录帐号WINDOWS进行模拟登陆、验证帐户和密码是否有效。日志文件监测系统的事件和错误日志文件的变化情况，支持条件匹配查询。注册用户信息分析分析主机系统注册用户的帐号信息，包括用户说明、用户ID、用户组ID、主目录等。423数据库监控对应用系统的数据库进行监控，针对ORACLE提供以下主要监控功能基本信息采集监测数据库服务器的基本信息，包括实例状态、主机名、DB名称、DB版本、位长、并行状态、例程名、例程开始时间、限制模式、归档模式、归档路径、只读模式、是否使用SPFILE启动以及启动路径。数据库性能监测分析数据库各项基本性能指标，具体包括数据库游标数、会话数、锁总数、死锁数量、缓冲活动连接数、缓冲池命中率、CACHE命中率、进程内存利用率等。进程消耗资源信息监测已使用程序全局区、可用程序全局区百分比、已分配程序全局区、可用程序全局区。表空间监测监测数据库指定表空间的类型、使用量、可使用百分率、PSFI值、读写平均时间、空闲扩展大小、最大扩展大小、扩展次数、NEXT扩展大小。数据文件监测针对指定数据文件，分析其当前大小，以及读写次数、块数与所花时间。回滚段监测监测数据库指定回滚段的命中率、大小、压缩次数、扩展次数、一致更改率（一致更改量相对于一致获得数的比率）、等待次数、等待率、翻转次数、活动事务数和用户回滚率（用户回滚数占事务总数的比率）。工作队列监测显示工作队列中的过期作业数量、失败作业数量和破损作业数量。PGA配置监测分析PGA内存使用详情，具体包括当前PGA内存使用总计、完全在内存里完成的操作的字节数与所有完成的操作的字节数的比率、当前可被自动方式的工作区使用的内存总量、允许的最高PGA内存使用量、额外读写的字节数、溢出次数、完成字节数、空闲PGA内存总计、释放给操作系统的PGA内存量、已使用PGA内存总计、被分配PGA内存最大值、被分配PGA内存总计、当前已被自动方式的工作区使用的内存总量、能以手动方式的工作区使用的内存最大值、当前可被手动方式的工作区使用的内存总量和当前已被手动方式的工作区使用的内存总量。SGA配置监测监测数据库服务器SGA性能，高速缓冲区大小、重做日志缓冲区大小、共享池大小、数据字典缓存大小、共享库缓存大小、SQL缓存大小。会话监测针对数据库中的指定会话，分析该会话的会话ID、用户名、CPU占用时间、内存排序次数、提交次数、占用游标数、缓冲区命中率、扫描次数和读写次数。REDO信息监测分析REDO执行情况，获取IMMEDIATE请求LATCH失败数、IMMEDIATE请求LATCH成功数、IMMEDIATE请求失败与获得的百分比、WILLINGTOWAIT请求LATCH失败数、WILLINGTOWAIT请求LATCH成功数、WILLINGTOWAIT请求失败与获得的百分比、重做日志缓冲中用户进程不能分配空间的次数、归档重做日志文件的数目和重做条目的平均大小。UNDO信息监测计算快照太旧错误数与无空间次数。SQL执行效率监测显示该SQL语句、执行该SQL语句的用户、执行时间和使用内存。资源锁定监测监测数据库服务器中指定资源的锁定时长。命中率监测监测数据库服务器的高速缓存区命中率、共享库缓存区命中率、共享区字典缓存命中率、回退段等待次数与获取字数比率、磁盘排序与内存排序比率。碎片整理信息监测查看自由空间碎片索引比值。检查点分析统计发生检查点数和完成检查点数。424中间件监控对应用系统的中间件进行监控，针对WEBLOGIC提供以下主要监控功能基本信息采集采集WEBLOGIC中间件的基本信息与状态，采集内容有所在操作系统、操作系统版本、当前可用堆栈、堆栈大小、活动SOCKET连接数、重启次数、当前目录、运行状态、健康状况、服务器、WEBLOGIC版本、JAVAVENDOR、JAVA版本、服务监听端口和SSL端口信息。JCA监测监测连接池中JCA连接泄漏比例和连接池中JCA可用性百分比。JDBC性能监测检查JDBC连接的各项性能参数，具体包括连接池中JDBC连接数的可用性百分比、WEBLOGIC启动后的等待JDBC连接数的最大值、等待JDBC连接数、JDBC连接池容量、WEBLOGIC启动后的等待JDBC连接的最长时间、WEBLOGIC启动后的活动JDBC连接数的最大值、JDBC连接总数和活动JDBC连接数EJB信息监测监测EJB缓存个数、钝化次数、激活次数、事务提交次数、访问次数、事务超时次数和事务回滚次数。事务监测统计各类事务数量，具体包括全部的回滚事务数、全部的回滚事务包括回滚的、提交的、启发式的事务与已经处理的全部事务之比、应用程序错误导致回滚的事务与已经处理的全部事务之比、资源错误导致回滚的事务与已经处理的全部事务之比、系统错误导致回滚的事务与已经处理的全部事务之比、因应用程序错误而导致的事务回滚数、因资源错误而导致的事务回滚数、服务中每秒处理事务的数量和因系统错误而导致的事务回滚数。JVM性能监测JVM申请的堆栈大小和当前堆栈利用率。SERVLET性能显示SERVLET执行的最长时间、平均执行的时间、被调用的总次数和每秒请求调用速率。线程池监测查看线程队列中执行队列的当前等待请求数、线程队列中空闲数和线程队列中执行队列的服务请求总数。WEB应用监测监测WEB应用当前会话个数、会话最大值和会话总数。425存储监控通过界面整合第三方监控软件，实现对EMC、IBM、SUN等存储设备的监测，主要功能如下应能够对存储设备设备状态的硬盘状态、热备盘状态、存储CACHE状态等指标进行管理；应能够对存储CACHE的CACHE读命中率、CACHE写命中率等指标进行管理；应能够对存储阵列内IO性能分布的磁盘IO利用率等指标进行管理；可以读取磁盘阵列的存储配置容量、存储CACHE容量、存储采用RAID方式等配置数据进行产看；提供与厂家管理软件的集成接口。提供对备份软件的监测，主要功能如下备份服务的状态；备份任务的完成情况；备份数据量、备份介质的使用情况和状态；备份设备的故障；备份设备的性能。426应用监控应用监控在包含了上述的网络管理、硬件、操作系统、数据库系统、中间件系统等的监控的基础上，还可以以某个或某几个应用系统为单位进行针对性的监控和分类管理。对于新的应用系统能够方便的进行监控内容的定制和部署。4261应用系统视图管理以重要业务服务器系统为中心，系统提供图形化设计工具用于建立和展示从服务器到网络设备、各类应用的业务服务视图，在视图中能够自行根据管理需要定义各个组成部分的显示名称，并能在视图中显示各个组成部分的状态信息，一旦出现报警可以直接从视图中查看故障信息、相关配置信息。业务服务视图应包括如下信息包含与业务系统有关的所有设备，包含交换机、路由器、服务器、存储备份设备等；反映业务系统的真实运行状态，如服务器端的IP地址、服务器的性能状态、服务器的存储状态等；能够实现与相关的维护信息相关联，可以从视图中查询业务系统的维护人员等相关其他业务系统的维护信息。4262应用系统故障管理对应用系统做根源故障分析，如根源故障在业务系统内，报出根源故障，如根源故障在业务系统外，对引起的应用系统故障进行提示，并可追踪根源故障。在显示故障时，可以对故障进行排序，根源故障排在关联故障之前，所有的故障按照时间顺序排列，可以对事件进行检索。4263应用系统性能管理监控应用系统的关键进程和资源占用情况，当系统出现异常情况及时报警，从而及时掌握应用业务的运行状况，助定位应用系统的故障。对应用系统模拟业务操作，对于用户WEB模式的应用系统，能够模拟用户进行WEB登陆的方式对系统运行是否正常、能否正常响应等进行测试，进行客户的感受分析。427数据库审计数据库审计系统主要用于监视并记录对数据库服务器的各类操作行为及返回信息，并可以根据设置的规则，智能的判断出各种风险行为，并对违规行为进行报警（邮件、短信）等。有效地弥补现有应用业务系统在数据库安全使用上的不足，为数据库系统的安全运行提供了有力保障。采用目前业界最流行的B/S架构，用户可以方便的通过网络对系统的运行状况、数据库的受攻击程度进行操作、监控。采用B/S架构将很大程度上减少用户对系统成本的投入，其中包括维护成本。数据库审计主要特点支持旁路技术，不影响被保护数据库的性能；使用简单，不需要对被保护数据库进行任何设置；适用面广，可以支持ORACLE、MSSQLSERVER、SYBASE，DB2,INFORMIX,MYSQL等多类常用数据库；审计精细度高，可审计并还原SQL操作语句；可解析出SQL操作的返回信息；提供细粒度、灵活的审计规则和查询条件严格的权限管理机制，防止非授权用户修改数据；内置安全策略，自动识别各种典型攻击，并及时采取措施，更有力的保障数据库的安全运行。多级管理模式，一个数据库和服务器可以配置多个探测器，实现多个探测器同时采集数据的功能。43三期建设三期完成IT运维流程及资产配置（CMDB）管理，参照ITIL最佳实践，根据XX全省财政厅、地市及所有区县实际情况对运维管理工作流程进行优化，对服务管理进行改善，提高运维效率。建立一套标准的系统的运维管理流程，实现对值班管理、服务台、事件管理、问题管理、变更与发布管理、日常作业管理和所有信息化日常运行管理（包括IT外包管理）的流程化、规范化管理；整合内部信息系统的技术服务资源，进一步完善运维知识库建设，实现知识库共享，将知识库与流程结合，从而提