版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
集团网络组建方案分析与设计实用文档(实用文档,可以直接使用,可编辑优秀版资料,欢迎下载)
集团网络组建方案分析与设计实用文档(实用文档,可以直接使用,可编辑优秀版资料,欢迎下载)目录一《网络工程实践》目的及要求二问题陈述三需求分析四设计原则和总体规划五详细设计六结果及测试七总结及展望一《网络工程实践》目的及要求网络工程是指按计划进行的网络综合性工作。网络工程实践培养学生掌握网络工程的基本理论与方法以及计算机技术和网络技术等方面的知识,能运用所学知识与技能去分析和解决相关的实际问题。成为可在信息产业以及其他国民经济部门从事各类网络系统和计算机通信系统研究、教学、设计、开发等工作的高级科技人才。通过《网络工程实践》课程的学习,系统地掌握计算机网络和通信网技术领域的基本理论、基本知识;掌握各类网络系统的组网、规划、设计、评价的理论、方法与技术;获得计算机软硬件和网络与通信系统的设计、开发及应用方面良好的工程实践训练,特别是应获得较大型网络工程开发的初步训练。二问题陈述大明集团是一家高科技股份制企业,成立于1996年,总部位于广东省广州市。主要产品有太阳能热水器、全玻璃真空管、太阳能热水系统、温屏节能玻璃等四大系列。大明集团以其产品的不断创新和过硬的质量,多次获得消费者信得过产品、专利创新奖等国家级奖项。该集团共用系列信息系统:一套oa系统,一套生产管理信息系统,一套财务系统,一个对外宣传的网站。大明集团按照地理位置,分为3块第一区域:总部,位于广州市天河区,租用某甲级写字楼3层第一层:前台接待处,行政管理经理办公室,行政管理办公室,人力资源办公室;财务部经理办公室,财务部办公室;第二层:营销管理经理办公室,内贸部办公室,外贸部办公室第三册:董事长办公室,总经理办公室,会议室第二区域:北方销售及售后中心,位于北京市朝阳区,租用某甲级写字楼3第一层:中心销售主任办公室,内贸部办公室,外贸部办公室第二层;中心售后主任办公室,售后办公室,中心财务主任办公室,财务办公室第三层:中心主任办公室,行政办公室,会议室第三区域:生产中心,位于广州市番禺区大石镇.办公楼:第1层:生产管理部(主任室,管理1,管理2,管理3,管理4)第2层:财务部(主任室,管理会计,成本会计,出纳)第3层:销售部(主任室,内贸部,外贸部),售后部(主任室,售后1部,售后2部)第4层:质管部(主任室,质管1部,质管2部,质管3部,质管4部)第5层:生产中心(总经理室,副总经理1,副总经理2)行政管理部(主任室,行政管理1,行政管理2)科技楼:第1层:研发中心主任室,实验中心主任室,中心机房(总控室)第2层:研发1部,研发2部第3层:研发3部,研发4部第4层:实验1部,实验2部第5层:实验3部,实验4部接待楼:共6层,1—2层产品展示区,3-5层培训住宿,6层会议室第1—2层,分4个产品展示区,每层约200平米第3—5层,每层12个房间,标准双人间,用于培训、接待第6层,大会议室宿舍楼1:共6层,每层12个房间,每个房间4人宿舍楼2:共6层,每层12个房间,每个房间4人宿舍楼3:共6层,1—3层,每层12个房间,每个房间2人4—6层,每层12个房间,每个房间1人厂房1:共2层,每层面积400平米,每层约80人工作厂房2:共2层,每层面积400平米,每层约80人工作厂房3:共2层,每层面积400平米,每层约80人工作厂房4:共2层,每层面积400平米,每层约80人工作仓库1:共2层,每层面积400平米,每层约20人工作仓库2:共2层,每层面积400平米,每层约20人工作三需求分析**集团网络建设具体需求如下:1)网络应该拥有高速的Internet接入出口;2)网络必须能提供DNS、WWW、FTP、E—mail、等多项Internet服务;3)网络能实现企业范围内的自动办公和管理,以及信息资源的共享;4)只有财务处才可以访问财务系统;5)整个企业主干网络实现千兆传输,而楼内根据需要选择千兆或百兆,做到百兆到桌面;6)网络能够使企业总部园区和各分支机构的网络实现安全可靠的传输;7)网络要求达到一定级别的安全性,确保信息资源的可用性和安全性;8)网络在管理上拥有灵活的、安全的管理模式,做到分级别、分权限、分地点的管理;四设计原则和总体规划 1、设计原则**集团的信息化建设是对于各项业务正常稳定进行的保证,信息化网络的设计必须充分考虑企业对使用的技术和设备的要求,要遵循功能性、实用性、兼容性、前瞻性、安全性、扩展性和经济性的原则。1)遵循以企业功能性需求为前提坚持以**集团具体需求为网络方案设计的根本和前提,同时也要注重源于目前需求而又高于目前求的原则,注意用专业化的技术思想进行集团网络的规划与设计,确保网络的实用性、先进性和便于扩展性.2)追求高性价比的原则选择最好的设备不一定是最佳的方案。成本因素也是一个方案设计必须考虑的问题,选择设备时必须考虑性价比,采用性价比高的设备的方案才是一个优秀的方案.3)设备选型兼顾原则设备选型应满足**集团对现代化管理手段的要求;满足集团信息化网络建设的要求;所选设备在国际上保持技术先进性;供应商有良好的商业信誉和优质的售后服务。4)技术应用全面原则在技术应用方面,应全面考虑其实用性、先进性、开放性、可扩充性、可靠性、安全保密性及友好性。5)坚持标准原则**集团网络的设计和施工,均要严格遵循国际和国家标准。要着眼未来,要与日后技术的发展相适应5)坚持标准原则**集团网络的设计和施工,均要严格遵循国际和国家标准。要着眼未来,要与日后技术的发展相适应。2、总体规划**集团网络建设建议采用企业级网络模型的多层次化结构;1)整体网络规划分为集团园区、下属分支机构区、服务提供商边缘功能区。企业园区网络采用三层结构;服务提供商边缘提供到服务提供商所实施服务的连接,通过使用不同的WAN和ISP,服务提供商边缘功能区能够促成与其他网络的通信。2)网络平台建议采用拥有与外网连接的高速Internet接入;3)服务器及网络服务系统。要实现DNS、WWW、FTP、E—mail、数据库等基本网络应用以及企业应用系统服务。4)全面的系统安全。应对企业网络进行全面的系统安全设计,包括防火墙、网络防病毒、入侵检测、数据的灾难性恢复等。5)综合布线系统应该采用在技术上处于领导地位,产品成熟稳定,具有极佳应用效果的公司的布线系统和材料。五详细设计综合布线总部一楼:100个信息点;二楼:100个信息点;三楼:100个信息点;生产中心办公楼:100个信息点;科技楼:100个信息点;接待楼:100个信息点;宿舍楼:800个信息点厂房:100个信息点;仓库:100个信息点;售后中心一楼:100个信息点;二楼:100个信息点;三楼:100个信息点;根据上述分析可知,企业园区共有1900个信息点,外加无线WIFI接入.2、网络总体结构图从图中可以看到,企业两个个外部分支机构将通过VPN连接成一个统一的企业内联网,满足企业对网络统一管理的要求。3、层次化的网络模型设计当今网络非常复杂,且对实现组织目标至关重要.商业对网络带宽、可靠性以及功能的要求越来越高。使用清晰的网络分层模型模式,将设计方案划分为模块化组或层。划分为多个层后,每一层都重点提供某些功能,通过这种方式简化了设计,也简化了部署和管理。并采用分布式交换网络设计方案,以达到可拓展、可靠性高、可用性强、响应快、效率高、适应性强以及访问容易,同时安全性高,管理容易等要求。本次《网络工程实践》我们采用层次化的网络模型设计5、网络技术选择VLAN与TRUNK链路 VTP的设计 STP的设计PPP的设计DHCP的设计 EthernetChannel设计 VLAN间路由设计 交换机的设置 路由协议 OSPF区域的划分 广域网部分的设计VPN(虚拟专用网)6、网络IP地址与VLAN规划企业园区IP地址段VLAN号默认网关公有地址总部服务器172.16.0。0172.16。0。254202.202。202。4财务办172.17.0。020172.17。0。254二楼172.23。0.070172.23。0。254三楼172。18.0。010172。10.0。254生产中心财务部172.19。0.050172。19。0.254202.202.202。2其他30172.20。0。254售后中心财主办172.21。0.06054其他172。22。0.040172。22。0.2547、网络设备选型核心层交换机核心层的设备选型考虑核心层应采用两个多层交换机作为网络的核心,以提供可扩展性能、出色的智能性和广泛的特性,要求满足最为严格的中大型企业部署对于构建模块化、永续、可扩展、安全的第二层或第三层解决方案的需求。并凭借千兆以太网或万兆以太网接口、铜线和光纤媒体传输,以及广泛的广域网和城域网接口支持,提供任意网络核心层所需的灵活性.此方案选用思科的WS—C6506—E多层交换机作为核心层交换机。图18思科WS-C6506—E多层交换机CiscoCatalyst6500和6500-E系列使用户可获得最高生产率,增强了运营控制,从而为企业园区和电信运营商网络中的IP通信及应用供应设立了新标准。作为重要的智能、多层模块化思科交换机,Catalyst6500系列提供了安全、融合的端到端服务,范围涵盖配线间、核心网络、数据中心和WAN边缘.CiscoCatalyst6500适用于希望降低总拥有成本(TCO)的大型企业和电信运营商,它提供了前所未有的投资保护,并在几种机箱配置和LAN、WAN及城域网(MAN)接口上提供了出色的可扩展性能和端口密度。Catalyst6500系列具有6插槽机箱,配备了范围最为广泛的集成多业务模块,包括多千兆位网络安全、内容交换、和网络分析模块。CiscoCatalyst6500系列不但能为企业和电信运营商提供市场领先的服务、性能、端口密度和可用性,还能提供无与伦比的投资保护能力,包括:最长的网络正常运行时间--利用CiscoIOS软件模块化、平台、电源、交换管理引擎、交换矩阵和集成网络服务冗余性,提供1~3秒的状态化故障切换,提供应用和服务连续性统一在一起的融合网络环境,减少关键业务数据和服务的中断.全面的网络安全性--将切实可行的数千兆位级思科安全解决方案集成到现有网络中,包括入侵检测、防火墙、VPN和SSL.可扩展性能--利用分布式转发架构提供高达400mpps的转发性能。能够适应未来发展并保护投资的架构--在同一种机箱中支持三代可互换、可热插拔的模块,以提高IT基础设施利用率,增大投资回报,并降低总拥有成本;操作一致性--3插槽、6插槽、9插槽和13插槽机箱配置使用相同的模块、CiscoIOS软件、CiscoCatalyst操作系统软件以及可以部署在网络任意地方的网络管理工具。卓越的服务集成和灵活性--将安全、无线局域网服务和内容等高级服务与融合网络集成在一起,提供从10/100和10/100/1000以太网到万兆以太网,从DS0到OC—48的各种接口和密度,并能够在任何项目中部署端到端地执行。汇聚层交换机接入层交换机服务器接入和外网接入交换机防火墙设备预算费用列表:名称型号数量(台)单价(元)总价接入层交换机TP—LINKTL-SF1024L136107930汇聚层交换机思科WS—C3560-24TS—S41400056000核心层交换机思科WS—C506-E12100021000外网接入交换机思科WS—C3750G-125—S22200044000服务器接入交换机思科WS—C3750G-125—S12200022000防火墙思科CISCOASA5510-BUN-K931300039000总价1899309、核心设备配置1)划分VLANSwitch(vlan)#vlan10namezongbuVLAN10modified:Name:zongbuSwitch(vlan)#exitSwitch#conftSwitch(config)#intvlan102)三层交换机动态分配ipDHCPSwitch(config)#intvlan10Switch(config)#ipdhcppoolzbSwitch(dhcp-config)#network172.18。0.0255。255。0.0Switch(dhcp-config)#dns—server172.16。0。13)将三层交换机端口转换层三层端口Switch#conftSwitch(config)#interfaceFastEthernet0/1Switch(config—if)#noswitchportSwitch(config-if)#ipaddress255。255。255。04)Vlan中继协议VTP三层交换机中:Switch#vlandatabaseSwitch(vlan)#vtpdomainsenyaSwitch(vlan)#vtpserver二层交换机中:Switch>enSwitch#vlandatabaseSwitch(vlan)#vtpdomainsenyaSwitch(vlan)#vtpclient5)双链路聚三层交换机1Switch(config)#interfaceFastEthernet0/4Switch(config—if)#channel—group1modeonSwitch(config—if)#switchporttrunkencapsulationdot1qSwitch(config-if)#switchportmodetrunkSwitch(config)#interfaceFastEthernet0/5Switch(config-if)#channel—group1modeonSwitch(config-if)#switchporttrunkencapsulationdot1qSwitch(config—if)#switchportmodetrunkSwitch(config—if)#exitSwitch(config)#vtpdomainHSRPSwitch(config)#vtpmodeserverSwitch(config)#vtppasswordzheng三层交换机2Switch(config)#interfaceFastEthernet0/4Switch(config—if)#channel-group1modeonSwitch(config-if)#switchporttrunkencapsulationdot1qSwitch(config-if)#switchportmodetrunkSwitch(config)#interfaceFastEthernet0/5Switch(config—if)#channel—group1modeonSwitch(config-if)#switchporttrunkencapsulationdot1qSwitch(config—if)#switchportmodetrunkSwitch(config-if)#exitSwitch(config)#vtpdomainHSRPSwitch(config)#vtpmodeclientSwitch(config)#vtppasswordzheng6)STP生成树协议三层交换机1Switch(config)#spanning-treevlan10rootprimarySwitch(config)#spanning—treevlan20rootprimarySwitch(config)#spanning-treevlan70rootprimary三层交换机2Switch(config)#spanning—treevlan10rootsecondarySwitch(config)#spanning-treevlan20rootsecondarySwitch(config)#spanning-treevlan70rootsecondary7)ospf配置Switch(config)#routerospf1Switch(config-router)#network172。18.0。00.0.255。255area1Switch(config—router)#network172。17。0。00。0。255.255area1Switch(config—router)#network172.23。0。055area1Switch(config-router)#network192.168。1。00。0。0。255area18)ACL配置Switch(config)#access—list101denyicmp172。23.0.00。0。255.255host172.16。0.3Switch(config)#access—list101denyicmp172。20.0。00。0.255。255host172.16.0。3Switch(config)#access—list101denyicmp172。22。0.00.0。255。255host172.16.0。3Switch(config)#access-list101permitipanyanySwitch(config)#intg0/1Switch(config-if)#ipaccess-group101out9)动态NAT配置(防火墙)Router(config)#interfaceFastEthernet0/0Router(config—if)#ipnatinsideRouter(config)#interfaceSerial0/1/1Router(config-if)#ipnatoutsideRouter(config—if)#interfaceSerial0/1/0Router(config-if)#ipnatoutsideRouter(config)#ipnatinsidesourcelist1poolzongRouter(config)#ipnatinsidesourcestatic172。16.0.1202.202。202。1Router(config)#ipnatinsidesourcestatic172.16。0.3202。202.202。1Router(config)#ipnatinsidesourcestatic172。16.0。4202.202。202.1Router(config)#ipnatinsidesourcestatic202。202.202。1静态NAT配置Router(config)#ipnatinsidesourcestatic172。16.0。2202。202。202。410)PPP数据链路层协议配置路由器zongbuzongbu(config)#interfaceSerial0/1/0zongbu(config—if)#encapsulationpppzongbu(config—if)#pppauthenticationchapzongbu(config—if)#noshutzongbu(config—if)#exitzongbu(config)#usernameshengchapasswordzheng路由器shengchazongbu(config)#interfaceSerial0/1/0zongbu(config—if)#encapsulationpppzongbu(config—if)#pppauthenticationchapzongbu(config—if)#noshutzongbu(config—if)#exitzongbu(config)#usernamezongbupasswordzheng11)VPN配置zongbu(config)#aaanew-modelzongbu(config)#aaaauthenticationloginVPNAUTHgroupradiuslocalzongbu(config)#aaaauthorizationnetworkVPNAUTHlocalzongbu(config)#cryptoisakmppolicy10zongbu(config—isakmp)#encraes256zongbu(config—isakmp)#authenticationpre—sharezongbu(config-isakmp)#group2zongbu(config-isakmp)#cryptoisakmpclientconfigurationgroupDAMINGzongbu(config-isakmp-group)#keyDAMINGAkeyalreadyexistsforgroupDAMINGzongbu(config-isakmp-group)#poolVPNCLIENTSzongbu(config-isakmp—group)#cryptoipsectransform-setmytransesp—3desesp-sha—hmaczongbu(config)#cryptodynamic-mapmymap10zongbu(config-crypto—map)#settransform—setmytranszongbu(config-crypto—map)#reverse-routezongbu(config—crypto—map)#cryptomapmymapclientauthenticationlistVPNAUTHzongbu(config)#cryptomapmymapisakmpauthorizationlistVPNAUTHzongbu(config)#cryptomapmymapclientconfigurationaddressrespondzongbu(config)#cryptomapmymap10ipsec-isakmpdynamicmymapzongbu(config)#ipsshversion1PleasecreateRSAkeys(ofatleast768bitssize)toenableSSHv2.zongbu(config)#ints0/1/0zongbu(config-if)#cryptomapmymapzongbu(config—if)#iplocalpoolVPNCLIENTS0010.2。1.200%IPaddressrangeoverlapswithpool:VPNCLIENTSzongbu(config)#radius—serverhost172.16.0。3auth-port1645keyzhengzongbu(config)#ints0/1/1zongbu(config—if)#cryptomapmymapzongbu(config)#radius-serverhost172。16。0.3auth-port1645keyzhengzongbu(config)#linecon0zongbu(config—line)#loginzongbu(config—line)#linevty04zongbu(config-line)#login六结果及测试动态获取ip2.财办的电脑可以访问财务系统,其他的不可以访问3,外网不能访问内网(防火墙)4,WLAN功能(密码设为12345678)5。VPN功能七总结及展望本次网络实训课程中,我们遇到许多不同的问题和困难,但也从中学到许多知识,和学习,交流,合作的方法。如实现ACL的过程中由于其中deny与permit语句的一些操作的失败,我们一开始总是实现不了ACL,经过反复的尝试,上网查询有关资料,向其他组的同学请教,最终发现我们deny与permit语句顺序搞错了.因为这个小小的错误使我们忙了几乎一天多。由此得到的教训是以后要注重细节,不可马虎。实现防火墙功能,划分VLAN,IP规划一开始也有类似情况.另一方面,多与与其他组的同学交流也是很有必要的。例如,我们在与其他组同学的交流中知道CiscoPacketTracer中的File中的OpenSamples有不少有用的例子,并且可以将其代码在Config的GlobalSettings可通过Export导出。这无疑是非常有用的,但我们是比较晚才知道由此功能,所以这也是一种遗憾.另外,组内成员的频繁讨论是非常重要的。不同的思路,建议的相互交织,碰撞,都是解决问题和发现问题的好方法.本次实训最大的缺点就是我们开始的时间相对较迟,使得原先可以实现或完善的功能不能在老师检查时呈现出来。所以,今后若有类似的大作业,要早点开始动工。还有,对原来基础理论知识的掌握的不够扎实也是我们的一个不足之处,以后也要打好书本的理论基础,使得进行项目设计时不会常常出现回头翻看某些基本概念的事。总之,在今后的其他课程的学习中要以此次实训中的不足为教训,要先学好书本的基础理论知识,辨析清楚一些容易混淆的概念;多与同学交流,探讨,相互促进学习;不可忽视细节;提高查阅资料的能力;多从其他新的角度思考问题,勇于尝试与创新。第三节项目公司管理机制3。1项目公司组织机构图在董事会之上应增设股东会一项3.2项目公司管理机构岗位设置一览表3.3.项目公司管理机构说明项目公司管理机构由决策层、经营管理层和执行层构成,董事会股东是项目公司的最高权利机构,即项目公司的决策层,决定项目公司的一切重大事宜;项目公司总经理、经营经理、建设经理、设计经理等组成经营管理层,在董事会的授权下,执行董事会的决策,履行《BT投资建设合同》责任和义务,组织项目实施;在经营管理层的领导下,由各专业人员组成项目公司执行层,即:财务部、综合管理部、采购部、工程部、合约部、环保安全部、接口管理部、设计部、技术质量部等,分布承担各专业责任,在一个共同的目标下开展工作。形成一个完整的管理体系。3.4经营管理机构职责3.4。1项目公司董事会股东会是项目公司的最高权力机构,决定项目公司的一切重大事宜,包括但不限于:项目公司的章程审批,修订;项目公司注册资本金的增加减少;项目总投资概算和重大设计变更的批准;项目建设总控计划的批准;重大合同事项订立和变更;项目经营管理层人员的批准和任命。董事会由股东会选举产生。经营管理层由董事会聘任。项目公司总经理执行董事会决议,负责项目公司日常工作,包括但不限于:主持项目公司经营管理工作,执行董事会决议;拟定项目公司经营计划、财务计划;制定项目投融资、建设、方案;拟定项目公司内部机构设置方案、规章制定和人员配置方案;聘任和解除由董事会聘任和解除以外的人员;经董事会授权的其他事项。3.4。3项目公司(经营)副总经理:协助总经理和领导有关专业人员完成项目公司各项工作,主管项目公司采购部、合约部,包括但不限于:项目施工总承包和专业分包合同文件编制及管理;专业分包、重大设备、材料采购招标工作;法律事物管理;组织按法定程序完成项目建设前期各项报建手续。项目公司(工程)副总经理协助总经理和领导有关专业人员完成项目公司各项工作,主管项目公司工程部、前期部、接口管理部,包括但不限于:项目进度计划制定和落实;合同执行计划和落实;接口管理方案制定和落实;接口控制文件编制和落实;年、季、月度计划和落实;年、季、月度计划执行情况报告。3.45项目公司(经济)副总经理协助总经理和领导一个专业人员完成项目公司各项工作,主管项目公司财务部、预算部,包括但不限于:制定项目公司财务计划并组织实施;制定项目投融资计划并组织实施;项目全过程财务管理;工程造价、成本控制;资金往来管理;组织编写财务报表。项目公司(管理)副经理协助总经理和领导有关专业人员完成项目公司各项工作,主管项目公司人事行政部、安全保卫部、信息管理部,包括但不限于:负责人事、劳动、行政、安全保卫工作;拟定项目公司内部机构设置方案、基本管理制定以及人员编制计划并组织实施;拟定项目公司具体规章制度并组织实施;拟定安全保卫方案并组织实施;负责项目公司信息、档案管理;负责项目公司与政府、社会等有关部门的协调工作;项目公司固定资产管理;3.4。7项目公司(技术)经理协助总经理和领导有关专业技术人员完成项目公司各项工作,包括但不限于:制定设计代位管理方案和落实;制定设计总包和设计分包的管理框架并落实;设计合同订立和执行;设计合理化建议的评定和实施;设计变更的管理和协调;新技术、新工艺的论证;设计文件的管理。3。5项目公司各部门职责采购部制定重要材料设备采购招标计划并组织实施;制定重要(指项目公司无相应资质的专业项目)的招标计划并组织实施;根据工程总进度计划,制定重要材料、设备加工订货、供货计划并组织落实;按法定程序完成项目建设前期各项报建手续.3。5。2合约部项目施工总承包和专业分包合同文件的编制并组织签约;合同文件管理;合同洽商管理;索赔管理;法律纠纷管理.3.5。3工程部制定施工组织总体方案并组织实施;制定前期工作计划并组织实施;制定施工进度计划并组织实施;制定施工人力、机械与设备配置方案并组织实施;编制施工进度报告并按要求上报有关部门;古泽生产统计报表、报告工作.3。5。4前期工作部接管由北京市轨道交通建设管理完成的本项目征地及房屋拆迁的现场;对市政管线末端予以维护、对现场埋地线路绘制成图,对地下管线进行维护和管理;永久、半永久性水准电、坐标点交接;组织施工现场市政管线改移;组织进行现场围墙施工,完成场地内“七通一平”、员工宿舍、办公用房等实施建设。3.5。5接口管理部制定接口管理计划并组织实施;组织召开接口协调会议;按业主要求协调和配合通车和试运行各项工作;填报接口管理表。3。5。6人事行政部项目公司人事管理,包括人员调配、工资标准与劳动条件、员工健康与安全以及为员工提供必要设施等;固定资产管理,项目公司购置的设备、办公设施等;协调管理,组织和安排项目公司接受北京市发展和改革委员会、北京市建委、北京市轨道交通指挥部、北京市交通委员会、北京市奥运工程总指挥部办公室等有关部门的管理协调;对业主服务承诺的落实;项目公司规章制度建立与管理;行政事务管理。3。5。7安全环保部制定施工安全卫生计划并组织实施;施工安全检查、分析与改善;制定灾害预防计划及紧急应变计划书并组织实施;制定环境保护措施并组织落实;施工现场清理工作的检查与管理;施工现场治安工作的检查与管理;施工现场化石与文物的管理。信息管理部建设信息的收集、管理和分布;项目公司内部网络建设和管理;项目建设文件、档案管理;项目公司与业主、政府有关部门的信息传递。财务部投资、融资落实;制定月、季、年度的建设资金使用计划;管理项目公司建设资金专用账户;如期完成项目公司注册资本金工作;资金往来及合同款项支付;成本核算管理;项目公司投资及财务统计报表。3。5。10预算部投资估算、预算、结算、决算等管理;经济变更管理;重要材料设备采购合同价款审核;专业分包合同价款审核。设计部按业主要求设施设计代位管理;制定设计管理计划并组织实施;设计审查和批准管理;设计进度变更管理;设计变更管理;设计文件管理;组织编写竣工图.3。5。12技术质量部建立质量保证体系并组织落实;施工技术方案审定;施工质量管理与检查;施工质量文件管理;工程创优工作管理;质量事故处理;项目建设管理4.1管理目标:投资目标:通过管理措施,有效控制建设投资,使工程总造价控制在经董事会批准和经项目业主审定的预算额内,并通过采取先进管理经验、先进施工技术等降低工程造价。质量目标:4.1。3工期目标:4。1.4现场管理目标:严格执行国家和北京市关于现场文明施工的各项规定,争创“市级文明安全工地”.安全目标:以人为本,做好安全预控、实施全过程、全员安全管理,实现“零死亡"目标。4。1.6环保目标:按照ISO14000的标准,实现绿色施工、使现场环境最大限度的清洁、安静、舒适。4.2管理重点通过大量的工程实践我们认为,在这样大型综合建设实施过程中,各项管理工作错综复杂千头万绪,互相牵制,如果不抓住重点和关键环节,不分出轻重缓急,对工程进度和质量会产生负面影响,风险也会伴随出现。因此必须突出重点,强化管理,保证工程建设的目标实现。4。2。1管理工作的重点为:设计代位管理、各项工作接口管理、集成系统管理、施工总承包管理、重要材料设备管理、系统测试和试运行管理。4.2。2在工作安排流程中的管理重点为:项目建设前期工作管理、计划体系管理、合同网络系统管理、工程质量体系管理、工程造价与成本控制管理以及安全及环境控制管理。4。3.主要管理措施和手段为确保地铁奥运支线工程建设工期落实、质量达标、资金到位和文明安全施工“双达标”,在项目建设管理中做到计划体系落实、质量体系落实、合同责任落实、建设标准落实、安全生产落实并保证信息渠道畅通,使项目建设始终规范、有序进行。4。3。1计划管理体系项目公司对项目建设进度全过程控制和管理,在各单项过程总体计划的前提下,制定合理、可行的建设总体进度计划、施工总体部署;各单项工程的实施要服从整体计划安排,尽可能按工程进度要求开展各项工作,共同实现项目建设整体控制计划;为此,项目公司在地铁奥运执行建设管理中推行四计划体系:一级计划:由项目公司组织各单项工程项目经理部共同编制确认的项目建设进度总控制计划,内容涵盖地铁奥运支线全部建设没戏的所有关系到总体进度的里程碑控制点。二级计划:由各单项工程项目经理部、项目监理、设计方共同确认的项目进度总控制计划,内容涵盖单项工程建设整个过程所有影响进度的工作,突出业主及总承包的职能和责任。三级计划:由各单项工程各专业分包编制,并由总承包汇总,监理核定的专业工程施工网络计划(仅限一级分包),主要目的划分流水、协调专业内施工与顺序。四级计划:由总承包汇总各分包人编制的涵盖各专业施工内容的短周期施工计划,(如月/周工程综合计划及专项工程综合计划),突出专业施工间的施工流动安排及对施工场地的占用。项目公司内部亦推行编制的月/周计划体系,依据前述项目进度总控计划进度要求并结合当前项目实际编制,将BT工作任务分配到每一责任单位及责任人,并列出应实现的进度要求。4。3.2质量管理体系项目公司对项目建设工程质量进行全面控制和管理,确保招标人规定的技术标准和质量要求的落实。建立完整的质量目标体系,制定切实可行的质量保证措施,实施质量管理体系,技术保证体系;加强过程监控,制定并严格执行可靠的质量控制流程。实施分级管理,项目公司作为管理和监督机构,各施工项目经理部、设计、监理、专业分包对工程质量实行多层次、全方位的质量控制和管理;严格履行质量验收程序,强制推行集中检查、自检互检、平行检验以及质量预警等有效措施;对施工中的新技术、新工艺等重大技术问题和施工中难点推行论证、指导,会同有关部门确立解决方案;严格施工管理,进入工程建设的各承包商,必须具备相应资质且是ISO9000体系的达标企业;实行施工质量现场挂牌制、质量问题报告/通报制和质量奖罚制.4。3.3建立合同网络体系在合同管理中,严格遵守中国法律、法规,遵循国际惯例,坚持以合同为主线,充分发挥合同的灵魂作用,依法对项目法人合同、总承包合同、设计和监理合同和特殊专业合同进行严格管理。建立分类合同管理体系,协调各类合同之间的相互各项、制约关系;建立项目的重大合同(如总承包合同、复杂和特殊专业合同、总要材料、设备采购合同等)严格履行招标投标程序;根据工程进度,定期对合同的履约情况进行检查,确保工程顺利进行;协调解决合同执行过程中的投诉、争议,对影响到项目进展的合同争议,提出重点解决方案;聘请法律专家,为合同的执行提供法律保证。4。3.4建立接口管理体系;(根据接口计划补充内容)为积极落实招标人提出的接口管理原则,以实现地铁奥运支线整个项目(含BT项目和非BT项目)如时、如质的完成,建立完整接口管理保证体系.重要材料设备采购招标投标管理在项目建设管理中,严格执行招标投标程序,保证各项工作在法制的轨道上进行,项目公司将对项目建设重要材料设备采购及特殊专业分包等依法进行公开招标投标。(详见第十三章《重要材料及设备的采购招标方案》4。3。6财务管理体系项目公司为确保资金按时到位充分发挥效益,同时防止浪费和避免不必要的经济损失。工程造价及有关融资方案一经审定后就要在工程建设中严格执行,不随意突破或变更。此外,对建设期管理费也要严格控制,厉行节约.4。3.6。1项目公司将严格执行工程建设资金的计划、预算、调配、使用及相关的此外管理方案,并根据董事会股东会批准的各项目费用预算进行管理。建立项目投资控制总计划及资金预算管理体系,通过必要的信息沟通渠道,保证建设资金的落实及到位,并及时协调解决资金存在的问题,确保项目顺利进行;4。3.6.2编制项目资金流量计划(包括资金流量总计划和季度、月度资金流量计划)和资金使用计划;4。3。6.3统计项目实际成本,并将实际成本与预算成本进行动态比较,合理遇见可能存在的问题,为财务方面的决策通过事实依据;4。3.6.4为尽量减少任何对项目公司不利的索赔机会,严格合同管理和招标工作。并以合同为依据,实施包括对总包、指定分包和供应商的索赔或反索赔,最大程度地保护项目公司的利益不受伤害.工程总承包管理根据招标文件规定“本工程可由中标人或中标人中具有相应资质的企业采用施工总承包的方式承担"。本项目联合体成员北京建工集团有限责任公司和北京长城贝尔芬格伯格建设工程,分别具有施工总承包特级、房地产开发一级、市政公用工程一级、装修一级等多项资质,经联合体商定,若项目中标将由北京建工集团有限责任公司和北京长城贝尔芬格伯格建筑工程组成的“施工总承包联合体”承担工程总承包(该公司业绩和资质详见第一卷).项目公司将与总承包联合体签订总承包合同,明确总承包的责任、权利和义务,在实施过程中,监督管理总承包方在合同规定期限内,按合同要求,组织参与施工建设各方完成建设任务,并做好项目验收、试运行、保驾和移交等各项工作.4。3.8专业承包商的选择与管理本项目设计的专业承包商数量众多,项目公司将严格按照政府有关法规、规定,按照专业承包的选择标准及法定程序选择符合项目要求的合格专业承包商.建立一套完整的专业承包管理制度和有效协调办法,将专业承包管理纳入到整个项目的管理程序中.专业承包商的选择标准:具备专项承包一级资质、通过ISO9002国际质量体系和ISO14001国际环境认证,专业商的业绩和现在的生产、经营能力必须满足本项目的相应要求。对应项目公司不具备相应资质且在投标时也无指定的分包商承担的专业工程,项目公司将依法进行公开招标,择优选择有资质、有能力的承包商进行分包。4.3。9控制建设投资的主要管理办法以项目目标、合同安排、采购计划、项目公司资源投入计划等为基础,编制整个项目的预算成本;在项目实施过程中对项目预算成本进行动态控制,时刻关注项目预算成本和项目实际成本的差异并就差异的原因进行分析,定期就项目预算成本执行情况向甲方提交书面报告;建立并维护合约商务及成本方面的动态资料库和台账,为最终的竣工审计创造良好的前置条件。以合同为依据,设定工程款申请、审批和支付的工作程序和标准化的工作表格;以合同为依据,审查针对各承包商的付款计划;按照标准工作程序和付款计划,审查各承包商提交的付款申请,包括付款文件编制或审核、完成工作量的测量或核定、合同外工作量的审定等;建立并随时更新支付台账,使项目公司董事会和北京地铁十号线投资有限责任公司(必要时)在任何时候可以掌握最新的项目支付情况建立有效的安全生产管理体系,明确各级、各方责任制.4。3。10安全管理检查“以人为本”,在项目建设中,实施全过程安全管理和全员安全意识,全面贯彻国务院《建设工程安全生产管理条例》。落实北京市建委、北京市劳动局发布的《北京市建筑施工现场安全保护基本标准》,明确项目设施建设过程安全,使用工程安全。实施全过程安全管理、检查、监控;实施安全生产报批/备案制度,项目公司要求承包商应在项目开工前15天,将“保证安全施工措施"报市项目公司备案,对特殊专业及危险性较大的施工重点部位,应编制“专项施工方案”,并于开工前15天报项目公司审批;建立安全生产风险管理机制。4。3。11风险管理为有效预防、控制和及时处置建设风险,项目公司将成立风险管理和应急小组和制定风险管理制度和应急预案.同时要求施工承包商、设计承包商等由熟悉也、懂得法律、善于发现风险、发现风险的人员组成风险管理小组,在项目建设过程中对项目进行风险预测,提出风险预测报告,并组织专业人员确立应对风险措施,编写《风险分析报告》.建立风险应急制度,根据项目特点制度实施办法.要求项目承包商每月和根据项目情况不定期提出《风险管理计划》、《风险预测》、《风险评估》报告以及重要风险因素处置方案,并随同每月工程统计报表报项目公司,项目公司对其进行分析和必要落实后报送业主/项目监管机构。对风险预测报告进行分析和组织专家论证,确立处置方案,项目公司负责对重要风险组织有关机构和技术专家进行风险评估和论证,制定规避和处置风险措施,必要时可利用政府行政或法律手段,降低或避免风险对项目建设带来的影响.4。3。12建立会议制度和报告制度4。3.12。1会议制度(1)工程协调会:每个月定期召开一次会议,听取参加项目建设的有关单位和各部门关于项目建设进展情况的汇报,协调解决各方面及建设过程中出现的问题,特别是项目各接口之间的矛盾。工程协调会由项目公司总经理和建设经理主持召开,由会议召集部门提出会议内容预告、做好会议记录(会议记录包括会议议题、会议参与人员签名、会议内容记录、会议结论/决议、重大议题讨论等),进行会后落实和次会检查,发现问题及时解决。(2)方案研讨会:针对设计方案、重大施工方案、施工技术难点、新材料新技术应用等专题,组织召开方案研讨会,并对研讨过程进行管理,对于一些重大方案的确定,将组织相关专业的专家参与,并邀请项目监管机构共同决策。(3)安全生产会:在项目建设过程中,定期或不定期召开安全生产经验交流会和现场评审会,表彰先进、交流经验、消除安全隐患。督促各参建单位严格安全制定,杜绝重大安全事故发生。4。3.12.2报告制度和重大事项的决策(1)报告制度项目公司并要求各参加项目建设的各单位,建立完整的月度报告、季度报告和年度报告制度,以便项目公司、项目监管机构及政府有关部门及时掌握项目工作状态,协调和解决已经出现和潜在出现的问题,推进项目建设工作顺利进行。报告程序是由项目施工总承包单位于次月5日前汇总各施工项目经理部及各分包单位等的情况呈报项目公司,项目公司直接委托的的专业承包商的报告在次月5日前直接呈报项目公司,在上述报告基础上,由项目公司进行审定汇总后进行存档并向项目监管监管报告和必要时报送政府有关部门。报告内容主要内容包括:—《BT工程招标文件》第三卷“工程规范和技术要求"中规定的月度、季度、年度报告内容;—合同执行情况;—完成工程量累计曲线表;—预算和实际投资曲线表;—进度完成情况;—工程写真照片;-专业分包合同签约情况;-重要材料、设备加工定货情况;—动力使用情况;—设备投入情况;—重大事件记录;-其他。(2)重大事项决策对项目的建设标准、使用功能、建设成本、建设进度、工程质量等产生重大影响定义为重大事项,包括:重大设计变更、合同网络、成本总控制计划及年度资金使用计划、施工进度总控制计划、施工总承包合同、设计总承包合同、重要材料设备采购招标等。(重大事项决策流程如同所示)项目公司财务、人事等方面的运营管理模式5.1项目公司财务管理模式5。1.1项目公司的财务会计按照中华人民共和国财政部制定的企业会计制度及相关规定办理,项目公司按照中国的有关法律和法规缴纳各项税金.项目公司按照中国有关税法规定代职工扣缴个人所得税。5.1。3项目公司按照中国法律规定提前储备基金,企业发展基金及职工福利奖励基金。5。1.4项目公司在中国境内设立工程建设资金专户,项目公司的一切记账凭证、单据、报表、账簿用中文书写,以人民币记账货币.项目公司对其外币收支做出清楚记账,提交董事会的财务报表须另行提供英文译件。项目公司将接受并积极配合招标人对工程建设资金专户监管,在项目建设过程中,项目公司按月向招标人提供银行对账单、工程进度款的支付情况说明等相关资料.项目公司的年度财务会计报告的审计由一家在中国注册设立的会计师事务所进行,审计结果报项目公司董事会、总经理、副总经理。5.1。7在不影响项目公司正常经营情况下,股东各方有权自行聘请国内外中介机构对项目公司的财务进行审计,但审计结果仅供进行审计委托项目公司方自行参考,对项目公司及股东方没有约束力。5.1。8在不迟于下一季度首月的20日前和会计年度的月底前天,由项目公司总会计师组织编制上一季度和上一年度的资产负债表、损益表、现金流量表,并提交董事会审查通过。项目公司的外汇事宜,按《中华人民共和国外汇管理条例》和有关外汇管理的法律、法规及合资企业法律法规办理.5。1.10项目公司在中国境内由人民币和外币经营业务的商业银行开立人民币账户(即基本账户),由总经理和总会计师负责管理银行账户,并向董事会报告有关情况。项目公司所有收入均应支付到项目公司的基本账户或经董事会批准的其他人民币账户中。在中国有关外币及账户管理的法律、法规许可范围内,项目公司在外汇管理局批准允许经营外币业务的银行开立外币账户,项目公司的所有外币收支将通过所开立的外币账户存入和支出。5.2项目公司人事运行管理模式人力资源配置原则是充分发挥项目公司股东单位优秀专业管理人才的优势和潜力,并综合考虑项目公司各类管理工作阶段性特点,根据岗位的需求和特殊专业需求采取公开招聘的方式补充。在既保证项目建设需要,提高项目管理专业化水平和综合协调能力的前提下,达到有效降低工程成本的目的。5。2。2实施动态管理5。2.2.1项目公司的组织机构以专业化管理合理配置,根据全过程项目管理各个不同阶段工作重点和特点,对人力资源配置适时进行适应性调整。5。2.2.2公司高级管理人员,含总经理、副总经理、总工程师、总会计师由项目公司董事会任命.公司各部门经理,由总经理进行招聘考核后,报董事会批准后由总经理聘用。5。2.2。3一般管理人员在不同岗位上实现合理调配,由各部门经理会同人事部经理对有关人员进行考核后,由总经理批准聘用。5.2。3为规范公司的人事管理,建立人事管理制度,包括员工的聘用、任免、解职、服务、奖惩、待遇考核、福利等管理制度.该管理制度待项目公司成立后由人事部制定.5。2。4劳动管理,项目公司按照中国有关外商投资企业劳动管理的法律、法规,与员工个人订立劳动合同,劳动合同订立后,报当地劳动管理部门备案。5。2。5项目公司依据《中华人民共和国工会法》及其他中国法律法规的规定,建立临时工会组织,开展工会活动。集团集团公司网络安全设计方案一。方案概述集团公司网络规模日益扩大,下属几十家分公司都将与集团实现联网,使用一套集团财务系统。根据IT规划要求,为有效保障公司网络畅通、数据安全,集团公司需要构建一个严密的整体的网络安全系统。该系统包括四个主要方面:(一)设计网络系统优化方案及建立网络系统持续完善机制(二)建立智能化数据容灾系统(三)建立高效全面的病毒预防系统(四)建立科学合理的管理制度体系二.方案实现目标通过该系统的建设实现以下功能目标实现集团对网络病毒的统一防护,让网络管理人员可以清晰的管理到内部病毒防护系统的部署情况,有病毒爆发时可以及时确定病毒发作范围,并可以直接进行隐患清除工作,集团可以统一部署和执行安全防护策略。对集团机房较为重要的服务器和应用系统进行容灾备份,当服务器故障时,可以有效的快速启动替代系统,并在故障清除后快速恢复系统和数据。对于集团数据库系统,因关联使用的用户多且分布各不同下属单位,应使用有效措施来防范数据库的使用安全,防范数据被恶意使用或篡改,.因集团机房部署不同部门和下属公司的服务器,各部门都需要运维自己的服务器,有必要对服务器的使用进行安全审计和使用记录,防范来自使用服务器带来的风险.三.安全产品推荐选型项目品牌型号实现目标企业版防病毒趋势OfficeScan全网病毒统一防护和统一安全管理服务器容灾备份NOVELLPlateSpinForge对服务器进行实时灾备,服务器故障时实现紧急替代和快速恢复数据库审计安恒DAS—AC1000对数据库使用进行安全审计,防护对数据库的恶意侵入和篡改保垒机齐治SHTERM-L4对使用机房内服务器的人员的使用行为进行规范管理和审计记录,防范服务器内部使用风险。四.方案简述(1)网络拓扑图(2)信息安全设备物理分布图(3)产品说明:1、IT运维堡垒机接在核心交换机上,通过细粒度的安全管控策略,保证企业的服务器、网络设备、数据库、安全设备等安全可靠运行,降低人为安全风险,避免安全损失,保障企业效益;管理员可直观方便的监控各种访问行为,能够及时发现违规操作、权限滥用等。2、数据库审计设备接在核心交换机上,全面记录数据库访问行为,识别越权操作等违规行为,并完成追踪溯源;检测数据库配置弱点、发现SQL注入等漏洞、提供解决建议;为数据库安全管理与性能优化提供决策依据;提供符合法律法规的报告,满足等级保护、企业内控等审计要求。3、OfficeSan服务器接入核心交换机上,OfficeScan可以根据大同公司的自己的要求进行策略部署,并针对未来而设计的弹性架构,可让您透过插件来自定义您的威胁防护与数据保护。4、Forge设备部署在核心交换机,可同时对25台服务器做备份,一旦一台或多台生产服务器出现故障,该应用即刻在Forge上运行接管业务。五.方案子系统介绍趋势科技网络版防病毒软件–OfficeScan趋势科技的OfficeScan网络版防病毒产品将管理,配置与部署的功能集中到服务器端(Officescan服务器端)。透过Officescan服务器端的Web接口的管理主控台,管理人员可以从网络上的任何地点,来管理和设置全公司的防毒策略(每一台计算机都安装了Officescan客户端防病毒软件),并且也能迅速响应各种紧急事件。综合性的防护能力:免受病毒,特洛伊,蠕虫和现在的间谍软件的攻击,同时具备防火墙和入侵检测的能力;支持防护策略的自动/手动配置:有效控制病毒扩散(通过主控服务器,在设定的时间段内,关闭所有客户机的共享文件,特定端口,保护文件或文件夹不被病毒修改);防火墙策略应用程序的备用服务器:客户计算机可能无法连接到防毒墙网络版服务器,但仍可连接到您指定的备用防毒墙网络版服务器上,以提供防火墙策略更新。集成专杀工具:病毒专杀工具和客户端防病毒软件无缝集成,专杀工具的扫描引擎和病毒码可以自动更新,完全摆脱传统防病毒软件需要独立使用专杀工具,并且每一个病毒都有特定的专杀工具,造成数量巨大;防御间谍软件和其他类型的灰色软件:防毒墙网络版可以帮助保护您的计算机远离被趋势科技视为灰色软件的各种威胁和损害,包括众所周知的类型-间谍软件;临界间谍软件/灰色软件例外列表:防毒墙网络版可能将特定类型的文件识别为灰色软件,尽管您计算机上合法的应用程序可能需要使用这些文件。为防止防毒墙网络版将这些文件识别为灰色软件,可以配置应用于所有扫描类型的临界间谍软件/灰色软件例外列表.实时更新病毒日志:方便而简单的配置管理与实时报告;自动更新:先进的自动更新技术,无须管理员与用户的手动操作,不需要重新启动;支持客户端自行上互联网更新防毒组件;灵活的更新代理设置:通过设定网络中任意计算机做为病毒码更新源,将其它计算机指定到该计算机更新,以节省网络带宽。对低带宽网络环境特别有效;检测为安装防病毒软件的计算机:支持网段扫描侦测尚未安装OfficeScan的用户机;强大的数据库管理:支持将纪录数据导入SQL服务器方便数据分析与管理;灵活的客户端迁移:支持在客户端可以在不同的OfficeScan服务器中转移,不需重新安装;定位病毒源头病毒:客户机的排行榜功能,帮助网管了解毒源、善后处理、报告领导;支持多种WebServer:IIS和Apache;部署建议:Officescan可以针对Windows全系列防范病毒。趋势科技网络版防病毒软件的组织架构为:通过一台Officescan服务器去远程的控制和管理局域网内部,甚至广域网中Officescan客户端。Officescan客户端可以通过多种方式安装到计算机上:通过网页远程自动下载安装;通过制作Officescan客户端安装包安装;通过共享文件夹方式安装通过集成Windows域自动安装客户端通过微软SMS安装;如此部署OfficeScan就可以为网络内部计算机提供综合性的安全防护,免受病毒,特洛伊,蠕虫和现在的间谍软件的攻击,以及具备防火墙和入侵检测的能力。从根本上对应用层的病毒文件以及网络层的病毒数据包进行防护,同时防护各种对于计算机的攻击。NovellPlateSpinForge服务器灾备保护产品方案Novell®PlateSpin®Forge是一个整合式的系统恢复硬件设备,通过采用内置虚拟化技术来保护实际物理和虚拟服务器工作负载.在生产服务器停止运转或发生故障时,工作负载可在PlateSpin®Forge恢复环境中快速通电,并继续正常运行,直到生产环境恢复.采用单台PlateSpinForge设备可保护和恢复最多达25个物理和虚拟工作负载.使用PlateSpinForge,客户可以保护多个地理位置分散的多达25台服务器的工作负载,并在服务器出现故障时予以快速恢复。通过使用PlateSpinForge综合恢复平台,客户能够更好地保护更多的工作负载,但无需支付高昂的复制硬件或冗余操作系统授权许可费用。PlateSpinForge不需要通过成本高昂的一对一硬件和软件冗余保护数据中心资产,从而实现了革命性的业务持续性。生产服务器可备份到虚拟机,而成本只是传统灾难恢复解决方案的一部分,而且可以更快、更轻松地实现恢复。除了标准文件类复制外,高速块级复制允许企业客户保护高级业务工作负载(如电子邮件和数据库服务器)。有效增加传输可确保仅源数据文件变化被复制到PlateSpinForge远程恢复环境中,从而减少了广域网的使用并使各大组织能够在最少数据丢失情况下有效满足数据恢复点目标(RPO)。快速容易的故障恢复计划和过程的完整性使用PlateSpinForge可实现对服务器工作负载以多达28个历史恢复点的方式进行保护备份,只需单击测试恢复按钮,即可快速容易地测试备份和恢复计划的完整性。在进行故障恢复测试时,可选择保护备份的任一快照并且在一个隔离的专用内部网中启动运行。这允许用户快速确认恢复计划和相关业务服务,而又不至于中断生产服务器工作负载。一旦确认故障恢复计划,PlateSpinForge将屏弃测试过程中在恢复工作负载快照上发生的任何变化,并恢复工作负载复制。基于WEB浏览器方式的多种监控、报告和操作报警进行控制。PlateSpinForg提供基于Web方式的单一管理界面,便于IT运营专家随时查看其保护计划状况并管理、监控和报告所有工作负载保护事宜。在生产服务器停机或发生故障时,PlateSpinForge将以电子邮件方式自动警示管理员。通过个人计算机、Blackberry®或其它移动装置点击电子邮件内的链接可执行上下文相操作。多种报告功能可使管理员和业主清楚地掌握保护资源的使用方式。用户可报告实际对抗目标恢复时间和恢复点目标、复制窗口和数据传输速率。保护日志显示成功的复制和恢复测试,从而提供了满足定制服务级协议或合规性所需的审计能力.PlateSpinForge提供一个始终存在仪表盘,可让IT操作专家随时观察其保护计划状况,并管理、监控和报告所有的工作负载保护和恢复事宜一键故障恢复和灵活的灾难恢复方案单击运行恢复工作负载,可根据需要将其恢复到相同或不同的硬件。在生产服务器停机或发生故障时,通过单击故障恢复可快速恢复受保护的工作负载——仅重新连接会话,并且PlateSpinForge将验收工作负载。当生产环境恢复时,该工作负载可继续在PlateSpinForge恢复设备上正常运行。一旦生产环境联机,PlateSpinForge还可提供灵活的工作负载恢复方案。如果原始生产服务器修好并且硬件无损坏,用户可通过一个虚拟到物理(V2P)工作负载转移操作将工作负载从虚拟恢复环境移回到原始硬件服务器。如果原始硬件不能修好,用户可通过一个V2P转移操作将工作负载转移到新的硬件服务器上。还可轻易将工作负载移到生产虚拟环境中。灵活的硬件独立式恢复意味着新硬件可以为不同品牌、型号或配置。齐治运维操作管理系统通过Shterm的部署,可以有效的解决运维部门当前运维过程中存在的各种问题:以堡垒方式,形成统一的运维入口,实现运维操作的唯一路径;引入主从帐号管理概念,使用户认证与系统授权分开,从而有效解决系统帐号共享使用,带来的身份不唯一的问题;基于用户、设备、系统帐号、协议类型、登录规则的严格访问控制设置,有效规避了非授权访问带来的问题;密码托管和自动改密,使得密码管理规范能有效落地,避免了因人员的流动还会导致设备密码存在外泄的风险;能完整记录运维人员的操作过程,当系统因人为操作导致故障的时候,能够快速定位故障原因和责任人;可以满足等保、SOX、ISO270001、BS7799等安全规范对运维操作管理的要求。(1)总设计思路因为操作的风险来源于各个方面,所以必须要从能够影响到操作的各个层面去降低风险。齐治运维操作管理系统(Shterm)采用操作代理(网关)方式实现集中管理,对身份、访问、审计、自动化操作等统一进行有效管理,真正帮助用户最小化运维操作风险.集中管理是前提:只有集中以后才能够实现统一管理,只有集中管理才能把复杂问题简单化,分散是无法谈得上管理的,集中是运维管理发展的必然趋势,也是唯一的选择。身份管理是基础:身份管理解决的是维护操作者的身份问题。身份是用来识别和确认操作者的,因为所有的操作都是用户发起的,如果我们连操作的用户身份都无法确认,那么不管我们怎么控制,怎么审计都无法准确的定位操作责任人.所以身份管理是基础。访问控制是手段:操作者身份确定后,下一个问题就是他能访问什么资源、你能在目标资源上做什么操作.如果操作者可以随心所欲访问任何资源、在资源上做任何操作,就等于没了控制,所以需要通过访问控制这种手段去限制合法操作者合法访问资源,有效降低未授权访问所带来的风险。操作审计是保证:操作审计要保证在出了事故以后快速定位操作者和事故原因,还原事故现场和举证。另外一个方面操作审计做为一种验证机制,验证和保证集中管理,身份管理,访问控制,权限控制策略的有效性。自动运维是目标:操作自动化是运维操作管理的终极目标,通过让该功能,可让堡垒机自动帮助运维人员执行各种常规操作,从而达到降低运维复杂度、提高运维效率的目的.(2)操作网关方式部署集中管理是实现运维操作安全管理的首要前提。针对当前核心设备分散管理的现状,集中管理倡导的是一种统一管理的理念.集中管理是未来运维操作安全管理的必然趋势。实现集中管理,关键点在于对用户原有的运维环境不造成任何影响。综合各种部署方案,我们采用了“操作堡垒机”的部署方式。(3)用好共享账号在当前的运维环境中,普遍存在操作者身份无法识别的安全隐患。这主要是由操作者共享使用核心设备上的系统账号造成的。设备数量达到一定规模,必然会使用到共享账号。共享账号就是多人共同使用同一个存在于设备上的系统账号,使用共享账号会让整体账号的数量最少。但是仅仅依赖系统上的单一系统账号,无法既能区分用户身份,又能完成工作角色的定位。如何准确的区分用户身份和工作角色,进而实现操作者和具体的操作过程一一对应?Shterm将账号的用户身份确认和系统工作角色功能分离,在Shterm上增加了用户账号,完成用户的身份确认。原来系统上的账号依然存在,但是作用只是完成工作角色授权的工作账号。用户登录Shterm是采用唯一的用户账号,然后根据工作角色的需要,转换成系统账号登录到被管理设备上。这样既能够保证整体账号数量最少,管理方便;同时又能够实现对用户、工作角色的双重定位。当用户加入、离职或岗位变动,当代维人员和原厂商进行维护的时候,只需要在Shterm上变更该用户账号即可,对系统上的系统账号没有任何影响。代维人员维护系统并不需要知道用户系统的最高权限的系统帐号密码,这样大大降低了管理风险.原厂商进行临时维护的时候只需要临时分配一个用户账号,当使用结束后该账号会自动回收,减少了账号管理的成本.(4)访问控制规则目前,用户只要知道用户名和密码就可以任意访问任意设备,这种现状必然会带来“未授权访问的安全风险”.部署了Shterm后,情况就发生了变化。Shterm逻辑上成为了用户登录的唯一入口,因为入口唯一,访问控制很容易配置了。相同工作任务的集合可以放置在一个访问规则组里,当用户岗位、职责改变时,对用户相关联的组、系统权限、可访问设备通过Web的勾选,很容易调整。根据工作内容的需要,可以配置不同的许可或禁止的登录策略。既可以设定固定日期的登录策略,也可以设定固定时间间隔的策略,还可以设定一天中指定时间段的策略,并且能够针对具体的地址段进行控制。Shterm的访问控制列表可以让用户一目了然的知道某台设备上允许哪些用户登录。某台设备上的系统账号有多少个用户可以使用.另一方面,从安全运维的角度分析,权限控制策略是从操作的层面上,降低高危操作所带来的安全风险:对于使用Telnet/SSH等协议进行远程管理的设备(各种网络设备和Unix服务器),操作权限的多少取决于用户可以执行的命令。所以,针对操作指令的控制才是核心。对于服务器设备操作,Shterm可以对服务器的超级用户root操作权限进行控制,即使是root用户,权限也是受限制的,可以限制root用户只能执行某些操作(白名单)和无法执行某些操作(黑名单)。当多人同时使用一个root账号时,Shterm可以对同一个系统账号进行操作权限再分配,保证使用同一个root账号的不同用户拥有不同的操作指令权限,彻底解决了共享root账号权限一致的情况,真正实现细粒度的操作权限控制。对于网络设备操作,Shterm可以保证即使多个用户在进入enable状态的时候,提供高于网络设备系统更好级别的控制力度,保证每一个用户的操作指令都能严格受到控制。对于操作权限的控制意味着我们从被动接受用户输入到了主动控制。对于用户的操作可以有3种执行状态:允许执行,拒绝执行,禁止执行.对于高危命令(删除,重起,关机等)可以实时告警,一旦高危操作触发,会立即给相关人员发送告警邮件,保证用户在第一时间内知道高危操作是否对系统造成了影响。(5)完整操作审计运维操作审计是整个Shterm解决方案的重要组成部分。管理员确定了以操作网关方式来部署,解决了之前共享账号的问题,配置了访问规则,明确了操作权限,那么最后也是最重要的就是操作和操作审计。Shterm支持的运维操作方式和相应的操作审计基本涵盖了目前企业日常运维所涉及到的绝大部分操作模式,包括字符会话、图形会话、WebClient会话、文件传输、Oracle数据库操作审计等等。对不同会话采用不同的审计方式针对字符会话,Shterm的审计功能会完全记录所有会话内的输入输出,并可以使用模式方式对这些输入输出进行查询以定位操作时间节点和操作内容。对于图形会话要采用全程的录像和键盘鼠标操作的记录,并在图形会话回放的过程中同步的显示出来。对于WebClient方式的操作会话,也是目前非常主流的一种操作模式,Shterm可以利用对于图形会话的审计方式来审计WebClient方式的会话,即,既包括了图形录像也包括了键盘鼠标记录,并且可以如图形会话一样,键盘输入信息可以进行完全的检索以便快速定位一个较长的审计录像.针对文件传输,FTP、SFTP之类的上传下载,Shterm支持全部的信息记录,包含时间,人员,IP等等信息。对于Oracle数据库的操作审计,采用跳板机和应用发布的方式,能够把图形方式操作中的数据库语句全部完成的审计到Shterm平台内.此外,Shterm对审计人员本身也有严格要求,一方面,对审计人员的审计操作,Shterm有严格的记录,审计管理员何时查阅了某个会话操
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 3.5.2 神经调节的结构基础(第一课时)教学设计-2023-2024学年济南版生物七年级下册
- 综合管廊防水防腐工程施工方案及技术措施
- 6.2 制作数字作品 第一课时(教案)三年级下册信息技术苏科版2023
- 5《应对自然灾害》 第二课时 教学设计道德与法治六年级下册统编版
- 2025-2026学年瓶盖教学目标设计
- 2025-2026学年巧妙移动教学设计
- 4.6 循环结构程序设计实例教学设计中职信息技术(信息科技)编程语言基础-C语言(第5版)高教版
- 2026年国学知识竞赛题库题及答案
- 农家乐景观改造施工方案及技术措施
- 2026年中小学生健康知识竞赛题库(附答案)
- 2025年上海市青浦区社区工作者招聘笔试试题及答案详解
- 2026辽宁沈阳盛京金控投资集团有限公司招聘4人参考题库带答案详解AB卷
- 2026江苏苏州工业园区苏相合作区管理委员会机关人员招聘9人模拟试卷含答案详解(夺分金卷)
- 2026年职业技能大赛CAD机械设计技能竞赛理论考试重点试题库
- 2026暑假离校前校长在全体教职工大会上讲话:圆满收官迎暑假凝心聚力再出发
- 2026年广东省惠州市惠城区中考模拟道德与法治试题(含答案)
- 骨代谢疾病诊疗中国指南(2026 版)
- 昆明空港投资开发集团有限公司2026年招聘笔试题库
- 2026年江苏省南通市如皋市初中毕业、升学模拟考试试题英语 含答案
- 汉坦病毒临床分型与诊疗方案
- 2026年首都机场招聘笔试试题及答案解析
评论
0/150
提交评论