南客服網(wǎng)絡(luò)安全及IT綜合運維管理平臺可研報告V11

附件3信息化項目可行性研究報告項目名稱:國家電網(wǎng)客戶服務(wù)中心南方分中心網(wǎng)絡(luò)安全及IT綜合運維管理平臺優(yōu)化項目申報單位（蓋章）：項目負責(zé)人：編制：校核審核：批準：年月日目錄1總論31.1主要依據(jù)31.2主要原則42項目必要性52.1網(wǎng)絡(luò)安全方面52.2IT運維管理方面73項目需求分析103.1網(wǎng)絡(luò)安全需求分析103.1.1網(wǎng)絡(luò)安全現(xiàn)狀103.1.2存在問題分析123.1.3優(yōu)化提升建議133.2IT綜合運維管理需求分析163.2.1IT運維管理現(xiàn)狀163.2.2存在問題分析183.2.3優(yōu)化提升建議分析204項目方案254.1網(wǎng)絡(luò)改造方案254.1.1項目目標和范圍254.1.2項目建設(shè)方案254.1.3項目實施計劃284.2運維管理優(yōu)化提升方案304.2.1項目目標和范圍304.2.2項目建設(shè)方案314.2.3項目實施計劃445主要設(shè)備材料清冊455.1編制說明455.2主要設(shè)備材料表456估算書467項目效益分析49總論主要依據(jù)國家電網(wǎng)客戶服務(wù)中心南方分中心（簡稱客服南中心）自投運以來，承擔(dān)了國家電網(wǎng)公司14個省級用戶的服務(wù)工作，隨著信息化水平的不斷提高，對客服南中心現(xiàn)有的信息安全和IT運維管理提出了更高要求?！秶译娋W(wǎng)公司信息系統(tǒng)安全管理辦法》中要求，為提高公司信息系統(tǒng)整體安全防護水平，實現(xiàn)信息系統(tǒng)安全的可控、能控、在控，需堅持“分區(qū)、分級、分域”總體防護策略，執(zhí)行信息系統(tǒng)安全等級保護制度并繼續(xù)不斷優(yōu)化改良。國家電網(wǎng)公司2012年信息通信工作會議提出，要加快構(gòu)建信息通信一體化管理、建設(shè)和運維體系。因此，為保證客服南中心信息系統(tǒng)持續(xù)、穩(wěn)定、可靠運行，有必要對現(xiàn)有安全防護體系進行優(yōu)化和提升，并建設(shè)一套統(tǒng)一的IT綜合運維管理平臺。主要原則根據(jù)客服南中心IT基礎(chǔ)設(shè)施建設(shè)和IT綜合運維管理需求，結(jié)合信息化技術(shù)發(fā)展的趨勢，整體設(shè)計遵循以下原則：實用性：主要技術(shù)和產(chǎn)品必須具有成熟、穩(wěn)定、實用的特點，既要便于用戶使用，又要便于系統(tǒng)管理。穩(wěn)定性：系統(tǒng)需具備高度的穩(wěn)定性，支持應(yīng)急保護機制，內(nèi)置或者外置掉電保護裝置等，保證網(wǎng)絡(luò)不會因為設(shè)備故障而中斷。高可靠性：充分考慮容錯和備份能力，最大限度地支持系統(tǒng)的可靠運行。安全性：要對系統(tǒng)自身具有良好的安全性，能夠抵御針對自身的安全威脅，同時提供備份和恢復(fù)機制，對管理權(quán)限實行分組管理分組授權(quán)。先進性：系統(tǒng)設(shè)計要采用成熟可靠的體系和軟件硬件產(chǎn)品，應(yīng)支持對主流技術(shù)、協(xié)議和標準的升級，以及有完備的技術(shù)支持團隊。擴展性：系統(tǒng)應(yīng)支持靈活組網(wǎng)和網(wǎng)絡(luò)改擴建的需要，能夠快速部署和隨網(wǎng)絡(luò)結(jié)構(gòu)進行調(diào)整，并無需改動平臺主體結(jié)構(gòu)和功能。經(jīng)濟性：在充分利用現(xiàn)有資源的情況下，最大限度地降低網(wǎng)絡(luò)管理系統(tǒng)的總體投資，有計劃、有步驟地實施。項目必要性網(wǎng)絡(luò)安全方面目前客服南中心的網(wǎng)絡(luò)安全設(shè)備主要部署在信息內(nèi)、外網(wǎng)出口處，信息內(nèi)網(wǎng)出口部署有防火墻及入侵檢測系統(tǒng)，信息外網(wǎng)出口部署有防火墻及上網(wǎng)行為系統(tǒng)?，F(xiàn)網(wǎng)運行的防火墻及入侵檢測系統(tǒng)為原有設(shè)備利舊，且均已過保。其中信息內(nèi)、外網(wǎng)出口的防火墻設(shè)備僅支持包過濾檢測技術(shù)，不支持狀態(tài)檢測及流量識別，無法更好的滿足應(yīng)用層攻擊防護；信息內(nèi)網(wǎng)的入侵檢測系統(tǒng)僅能對網(wǎng)絡(luò)攻擊行為進行監(jiān)測，無法提供L2-L7層的主動安全防御。此外數(shù)據(jù)中心業(yè)務(wù)未部署防火墻進行橫向域邊界防護，僅通過ACL進行防護。因此，在當前信息安全形勢日趨嚴峻的情況下，迫切需要對現(xiàn)有信息內(nèi)、外網(wǎng)的網(wǎng)絡(luò)安全設(shè)備進行優(yōu)化提升，以確?？头现行男畔⒒瘶I(yè)務(wù)的安全開展。IT運維管理方面國網(wǎng)客服中心客服南中心現(xiàn)有監(jiān)控平臺對于網(wǎng)絡(luò)設(shè)備、服務(wù)器、存儲設(shè)備、機房動環(huán)及數(shù)據(jù)庫、中間件與應(yīng)用服務(wù)等的監(jiān)控范圍有限，無法做到集中化統(tǒng)一運維管理，發(fā)生故障時需要在不同平臺間切換排查，難以做到故障的快速準確定位，增加了運維人員在運維時的工作難度，難以滿足當下的運維管理要求?，F(xiàn)有運維平臺無法從業(yè)務(wù)角度對重要的業(yè)務(wù)系統(tǒng)進行監(jiān)控，不支持服務(wù)器虛擬化管理、存儲管理、智能巡檢、機房三維可視、網(wǎng)絡(luò)設(shè)備配置自動備份、IP地址管理等功能。針對以上存在的不足，有必要對目前的運維管理進行整合優(yōu)化，部署一套IT綜合運維管理平臺以滿足客戶需求。項目需求分析網(wǎng)絡(luò)安全需求分析網(wǎng)絡(luò)安全現(xiàn)狀網(wǎng)絡(luò)架構(gòu)現(xiàn)狀國網(wǎng)客服中心客服南中心于2015年建成投運，園區(qū)共建設(shè)有信息內(nèi)網(wǎng)/語音網(wǎng)、視頻網(wǎng)、信息外網(wǎng)三張獨立網(wǎng)絡(luò)，其中信息內(nèi)網(wǎng)/語音網(wǎng)、信息外網(wǎng)現(xiàn)狀如下：信息內(nèi)網(wǎng)/語音網(wǎng)圖3-1信息內(nèi)網(wǎng)/語音網(wǎng)（組網(wǎng)拓撲）核心層：由2臺S12500系列交換機組成，目前未實現(xiàn)虛擬化整合，內(nèi)網(wǎng)和語音業(yè)務(wù)共享核心層設(shè)備。匯聚層：數(shù)據(jù)中心和坐席區(qū)分別部署2臺S10508交換機，并部署內(nèi)網(wǎng)及語音網(wǎng)業(yè)務(wù)網(wǎng)關(guān)。接入層：數(shù)據(jù)中心中各功能區(qū)分別采用2臺S7500E交換機，提供數(shù)據(jù)中心業(yè)務(wù)接入；坐席區(qū)每個樓層?xùn)|、西配線間部署S5500交換機，提供坐席終端接入。內(nèi)網(wǎng)及語音局域網(wǎng)設(shè)備均通過橫向虛擬化（或堆疊）技術(shù)，實現(xiàn)了本地?zé)o環(huán)路二層網(wǎng)絡(luò)。呼叫業(yè)務(wù)的A、B平臺分別部署在中山路機房和客服南中心機房。語音業(yè)務(wù)流量統(tǒng)一從客服南中心出口出去，中山路機房設(shè)有應(yīng)急專線。信息外網(wǎng)圖3-2信息外網(wǎng)（組網(wǎng)拓撲）核心層：由2臺S10508交換機組成，實現(xiàn)橫向虛擬化堆疊。匯聚層：各樓宇設(shè)置匯聚交換機匯聚樓內(nèi)接入設(shè)備。接入層：提供信息外網(wǎng)業(yè)務(wù)終端接入。外網(wǎng)出口串接上網(wǎng)行為管理及防火墻設(shè)備?？头现行?臺外網(wǎng)CE分別與北園區(qū)外網(wǎng)CE互聯(lián)，實現(xiàn)主、備出口線路冗余。安全防護設(shè)備部署情況（1）信息內(nèi)網(wǎng)/語音網(wǎng)信息內(nèi)網(wǎng)出口部署啟明星辰USG-FW-12016S（利舊）防火墻2臺，作為整個信息內(nèi)網(wǎng)的縱向邊界安全防護設(shè)備。信息內(nèi)網(wǎng)/語音網(wǎng)互聯(lián)區(qū)中2臺核心交換設(shè)備（S12510X及S12518）分別旁掛1臺啟明星辰NIDS9060S（利舊）入侵檢測設(shè)備，對經(jīng)互聯(lián)區(qū)轉(zhuǎn)發(fā)的的所有數(shù)據(jù)報文進行監(jiān)視，檢測網(wǎng)絡(luò)攻擊行為。（2）信息外網(wǎng)信息外網(wǎng)出口部署啟明星辰USG-FW-4600S（利舊）防火墻2臺，作為整個信息外網(wǎng)的縱向邊界安全防護設(shè)備。信息外網(wǎng)出口部署迪普UAG3000上網(wǎng)行為管理，用于網(wǎng)絡(luò)應(yīng)用流量分析及控制、上網(wǎng)行為記錄及訪問控制。存在問題分析信息內(nèi)網(wǎng)存在問題：信息內(nèi)網(wǎng)出口防火墻為原有設(shè)備利舊，已運行超過5年，存在設(shè)備老化現(xiàn)象，經(jīng)常出現(xiàn)雙機配置無法同步的問題，需及時更換，以消除隱患。數(shù)據(jù)中心業(yè)務(wù)系統(tǒng)橫向域邊界未部署專用防火墻設(shè)備進行安全防護，僅在業(yè)務(wù)交換機上通過部署訪問控制列表的方式實現(xiàn)，存在ACL條目數(shù)量受限、安全防護性能有限、管理維護復(fù)雜等問題，無法保證核心業(yè)務(wù)系統(tǒng)的安全性；信息內(nèi)網(wǎng)部署入侵檢測系統(tǒng)僅能對網(wǎng)絡(luò)攻擊行為進行監(jiān)測，無法提供L2-L7層的主動安全防御。信息外網(wǎng)存在問題：信息外網(wǎng)出口防火墻為原有設(shè)備利舊，已運行超過5年，且僅支持包過濾檢測，不具備狀態(tài)檢測功能，在靈活性和安全性方面存在不足。信息外網(wǎng)出口未部署入侵防御系統(tǒng)，無法提供L2-L7層的主動安全防御。優(yōu)化提升建議鑒于客服南中心現(xiàn)有網(wǎng)絡(luò)安全設(shè)備部署存在的問題，依據(jù)國家電網(wǎng)公司信息化“SG186”工程安全防護總體方案，對客服南中心網(wǎng)絡(luò)安全防護體系進行整體優(yōu)化提升。安全防護整體架構(gòu)圖3-3安全域及安全邊界示意圖安全防護整體架構(gòu)：信息內(nèi)網(wǎng)、信息外網(wǎng)邊界部署防火墻、入侵防御設(shè)備進行安全防護；三級系統(tǒng)獨立成域，二級系統(tǒng)統(tǒng)一成域。信息內(nèi)網(wǎng)縱向邊界：替換現(xiàn)有信息內(nèi)網(wǎng)縱向邊界防火墻，新增信息內(nèi)網(wǎng)縱向邊界入侵防御。信息外網(wǎng)互聯(lián)網(wǎng)邊界：替換信息外網(wǎng)互聯(lián)網(wǎng)邊界防火墻，新增信息外網(wǎng)互聯(lián)網(wǎng)邊界入侵防御。信息內(nèi)網(wǎng)橫向域邊界：增加信息內(nèi)網(wǎng)數(shù)據(jù)中心中各業(yè)務(wù)系統(tǒng)橫向域邊界防火墻，對數(shù)據(jù)中心業(yè)務(wù)進行整體防護。信息內(nèi)網(wǎng)/語音網(wǎng)優(yōu)化方案圖3-4信息內(nèi)網(wǎng)/語音網(wǎng)優(yōu)化示意圖信息內(nèi)網(wǎng)出口通過一體化框式設(shè)備集成高性能防火墻插卡、入侵防御插卡的方式，替換現(xiàn)有防火墻及入侵檢測，提供L2-L7層的全面安全防護；硬件板卡通過虛擬化堆疊方式部署，簡化網(wǎng)絡(luò)架構(gòu)，實現(xiàn)高可靠性；一體化框式設(shè)備預(yù)留適當?shù)牟畚粩?shù)量，提供未來業(yè)務(wù)擴展能力。數(shù)據(jù)中心內(nèi)部部署高性能防火墻設(shè)備，提供各業(yè)務(wù)系統(tǒng)橫向域邊界安全防護能力；設(shè)備通過虛擬化堆疊技術(shù)部署，簡化網(wǎng)絡(luò)架構(gòu)，實現(xiàn)高可靠性；采用虛擬防火墻技術(shù)，為各二、三級業(yè)務(wù)系統(tǒng)提供獨立的安全域防護，組網(wǎng)邏輯架構(gòu)清晰，易于維護。信息外網(wǎng)優(yōu)化方案圖3-5信息外網(wǎng)優(yōu)化示意圖信息外網(wǎng)出口通過一體化框式設(shè)備集成高性能防火墻插卡、入侵防御插卡的方式，替換現(xiàn)有啟明星辰防火墻，提供L2-L7層的全面安全防護；硬件板卡通過虛擬化堆疊方式部署，簡化網(wǎng)絡(luò)架構(gòu)，實現(xiàn)高可靠性；一體化框式設(shè)備預(yù)留適當?shù)牟畚粩?shù)量，提供未來業(yè)務(wù)擴展能力。IT綜合運維管理需求分析IT運維管理現(xiàn)狀國網(wǎng)客服中心客服南中心于2015年建成投運，主要負責(zé)江蘇、黑龍江等14個省級用戶的客服工作，是集呼叫運行、運營監(jiān)控、科技研發(fā)及后勤輔助等為一體的綜合性供電服務(wù)平臺?？头现行牡腎T基礎(chǔ)設(shè)施及相應(yīng)的信息業(yè)務(wù)系統(tǒng)的運維管理目前是采用多套運維管理平臺，具體現(xiàn)狀如下：網(wǎng)絡(luò)管理國網(wǎng)客服南方分中心信息內(nèi)網(wǎng)/語音網(wǎng)、視頻網(wǎng)及信息外網(wǎng)中網(wǎng)絡(luò)設(shè)備主要包括交換機、路由器、防火墻、IDS、負載均衡、上網(wǎng)行為管理等，其中信息內(nèi)網(wǎng)/語音網(wǎng)有210臺網(wǎng)絡(luò)設(shè)備，視頻網(wǎng)有42臺網(wǎng)絡(luò)設(shè)備，信息外網(wǎng)有48臺網(wǎng)絡(luò)設(shè)備。網(wǎng)絡(luò)管理現(xiàn)狀如下：信息內(nèi)網(wǎng)/語音網(wǎng)中部署了一套H3C智能巡檢管家（試用版），周期性對網(wǎng)絡(luò)設(shè)備運行狀態(tài)進行巡檢，輸出分析報告及改進建議；現(xiàn)有信息內(nèi)網(wǎng)/語音網(wǎng)網(wǎng)絡(luò)設(shè)備通過北塔網(wǎng)管軟件進行網(wǎng)絡(luò)運行狀態(tài)監(jiān)控；網(wǎng)絡(luò)配線通過一套電子配線管理系統(tǒng)實現(xiàn)機房配線可視化管理；信息內(nèi)網(wǎng)/語音網(wǎng)中部署了一套科來網(wǎng)絡(luò)回溯分析系統(tǒng)，對各種網(wǎng)絡(luò)性能和應(yīng)用性能的關(guān)鍵參數(shù)進行實時分析，捕獲并保存網(wǎng)絡(luò)流量數(shù)據(jù)，具備對其進行數(shù)據(jù)挖掘和回溯分析的能力。應(yīng)用與服務(wù)器管理：國網(wǎng)客服南方分中心目前共有服務(wù)器210臺，其中呼叫A平臺52臺，呼叫B平臺55臺，測試平臺44臺，云桌面系統(tǒng)28臺，外網(wǎng)系統(tǒng)12臺，其它及備用19臺。為能及時獲得各服務(wù)器的運行狀態(tài)，通過HostMonitor對服務(wù)器進行實時監(jiān)控；服務(wù)器目前主要通過北塔網(wǎng)管軟件基于SNMP協(xié)議獲取服務(wù)器狀態(tài)信息；對于服務(wù)器的資產(chǎn)管理主要通過IMS系統(tǒng)進行人工維護和更新；呼叫平臺服務(wù)器的關(guān)鍵業(yè)務(wù)進程通過“IT資源監(jiān)控”和SCI控制臺結(jié)合起來進行運維監(jiān)控；對服務(wù)器具體的配置管理主要通過KVM進行遠程維護；服務(wù)器磁盤、RAID和電源等硬件狀態(tài)目前主要通過巡檢人員到機房查看設(shè)備狀態(tài)進行確認；通過LogBase日志管理系統(tǒng)進行運維審計方面的工作；存儲管理：國網(wǎng)客服南方分中心目前共有3套存儲網(wǎng)絡(luò)，分別應(yīng)用在呼叫A平臺、呼叫B平臺和云桌面系統(tǒng)，管理現(xiàn)狀如下：呼叫A平臺的IBMDS8800和云桌面系統(tǒng)的IBMDS8870通過各自的HMC控制臺進行巡檢和管理；3套存儲網(wǎng)絡(luò)中的6臺SAN交換機（IBMB80、B81和B82各2臺）依靠設(shè)備狀態(tài)指示燈判斷存儲網(wǎng)絡(luò)鏈路情況；呼叫B平臺的曙光DS800主要依靠設(shè)備狀態(tài)指示燈判斷設(shè)備運行情況，通過管理口在WEB界面進行設(shè)備運行狀態(tài)檢查和配置管理。機房環(huán)境管理國網(wǎng)客服南方分中心在南中心設(shè)有1個主機房，其中UPS室和電池室各2個，接入機房11個，機房使用深圳共濟的機房管理系統(tǒng)進行監(jiān)控管理。主機房通過共濟機房管理系統(tǒng)實現(xiàn)門禁監(jiān)控、視頻監(jiān)控、溫濕度監(jiān)控、入侵檢測、漏水檢測、資產(chǎn)管理及配電柜開關(guān)檢測；接入機房只對視頻系統(tǒng)進行監(jiān)控；電池室主要實現(xiàn)門禁系統(tǒng)監(jiān)控、視頻監(jiān)控、電池監(jiān)控；UPS室主要實現(xiàn)門禁、視頻、電量統(tǒng)計、漏水檢測及溫濕度監(jiān)控共濟機房管理系統(tǒng)是單獨運行和管理，和其它管理系統(tǒng)未進行對接。存在問題分析根據(jù)運維管理現(xiàn)狀分析，國網(wǎng)客服南方分中心目前IT基礎(chǔ)設(shè)備較多，網(wǎng)絡(luò)、服務(wù)器、存儲、機房環(huán)境等均通過不同的運維管理平臺各自進行管理，無法實現(xiàn)統(tǒng)一集中的管理調(diào)度，當出現(xiàn)問題時難以定位問題根源，沒有統(tǒng)一的信息化管理平臺，影響運維管理效率。監(jiān)控管理方面問題缺乏統(tǒng)一監(jiān)管平臺:國網(wǎng)客服南方分中心目前針對網(wǎng)絡(luò)設(shè)備、服務(wù)器、系統(tǒng)應(yīng)用、中間件、機房環(huán)境配有北塔網(wǎng)管、H3C智能巡檢管家、IMS、IT資源監(jiān)控、機房管理監(jiān)控系統(tǒng)等多套管理平臺，各平臺相互獨立，無法做到統(tǒng)一集中管理，增加運維工作難度。不支持業(yè)務(wù)視角運維管理:現(xiàn)有運維平臺無法從業(yè)務(wù)角度對重要的業(yè)務(wù)系統(tǒng)所涉及到的IT基礎(chǔ)設(shè)施進行整體監(jiān)控，無法及時發(fā)現(xiàn)業(yè)務(wù)運行潛在問題及性能瓶頸，在業(yè)務(wù)系統(tǒng)發(fā)生故障時，無法進行故障的快速準確定位。虛擬化平臺監(jiān)控能力不足：現(xiàn)有監(jiān)控平臺不支持虛擬化監(jiān)控管理，對云桌面、測試平臺等虛擬化環(huán)境無法進行實時有效的監(jiān)控管理。無法自動備份網(wǎng)絡(luò)配置信息:目前網(wǎng)管系統(tǒng)無法實現(xiàn)對網(wǎng)絡(luò)設(shè)備配置信息進行自動備份和配置比對，僅通過人工方式不定期對設(shè)備配置進行備份，無法保證設(shè)備配置備份的及時性和準確性。網(wǎng)管軟件存在告警延遲:現(xiàn)有北塔網(wǎng)管平臺存在的告警延遲問題，影響日常運維監(jiān)控管理，迫切需要對IT基礎(chǔ)設(shè)施的重要性能指標加強告警監(jiān)控管理，使其能夠在第一時間將告警信息通過彈窗、郵件、短信、微信等多種方式通知給運維人員。無法實現(xiàn)機房三維可視化管理:現(xiàn)有的管理平臺無法實現(xiàn)機房虛擬場景和設(shè)備真實數(shù)據(jù)相結(jié)合,設(shè)備運行狀態(tài)及告警信息不能直觀呈現(xiàn)，無法快速定位設(shè)備位置。運維管理方面問題未集成智能巡檢工具：現(xiàn)有運維平臺缺少對IT基礎(chǔ)設(shè)施及機房環(huán)境進行日常巡檢的功能，大量重復(fù)繁重的人工日常巡檢任務(wù)增加人力成本和發(fā)生錯誤的可能性，無法滿足運維管理的巡檢需求。巡檢工作是否富有成效和值班員巡檢的準確性難以保證；缺少資源及配置管理的功能模塊：運維管理人員主要依靠傳統(tǒng)的技術(shù)手段（如EXCEL表格等）對網(wǎng)絡(luò)設(shè)備資料進行管理，如交換機端口信息表、IP地址管理表、設(shè)備配置備份等，必須通過手動維護，無法保證信息更新的及時性和準確性?，F(xiàn)有監(jiān)控管理報表生成模塊不足：現(xiàn)有運維平臺缺少表報模塊，無法對于設(shè)備和線路等的關(guān)鍵指標生成日、周、月的表報，當發(fā)生問題要回查數(shù)據(jù)時,由于沒有報表的支持，需要通過查看海量數(shù)據(jù)的方式去發(fā)現(xiàn)故障點，費時費力。缺少存儲網(wǎng)絡(luò)的監(jiān)控模塊:存儲網(wǎng)絡(luò)中的DS8800、DS8870、DS800和SAN交換機等設(shè)備的監(jiān)控管理只能依靠運維人員到機房通過設(shè)備廠商的管理系統(tǒng)進行巡檢和維護，管理效率低，設(shè)備告警信息不能及時發(fā)現(xiàn)。優(yōu)化提升建議分析針對目前客服南方分中心運維管理方面存在的不足，結(jié)合我公司在國網(wǎng)體系內(nèi)各單位多年的運維經(jīng)驗，提出相關(guān)優(yōu)化建議：部署統(tǒng)一集中的運維管理平臺：建設(shè)統(tǒng)一門戶式的綜合運維管理平臺實現(xiàn)對網(wǎng)絡(luò)、服務(wù)器、存儲、數(shù)據(jù)庫、中間件、應(yīng)用服務(wù)與機房環(huán)境等的統(tǒng)一管理，避免煙囪式多管理系統(tǒng)的建設(shè)與維護，提升整體運維效率；綜合運維管理平臺采用技術(shù)手段屏蔽信息系統(tǒng)各組成部分的技術(shù)差異，采用友好的圖形化管理界面直觀展現(xiàn)信息系統(tǒng)的各部分的實時運轉(zhuǎn)狀態(tài)，通過引入直觀的可視界面、易行的可控手段，給予信息運維管理部門全局的管理視角，做到對信息系統(tǒng)各部分運行狀況的全面掌控和及時了解，降低了管理難度，達到了管理的實時性和有效性。建立基于業(yè)務(wù)視角的運維管理模式：對核心的應(yīng)用系統(tǒng)，從業(yè)務(wù)的角度將系統(tǒng)架構(gòu)、底層基礎(chǔ)部件與業(yè)務(wù)進行關(guān)聯(lián)，形成業(yè)務(wù)監(jiān)控展示系統(tǒng)；實現(xiàn)基于業(yè)務(wù)視角的精細化運維管理，及時發(fā)現(xiàn)業(yè)務(wù)運行潛在問題及性能瓶頸，對業(yè)務(wù)故障進行快速準確定位；系統(tǒng)從業(yè)務(wù)的角度進行IT系統(tǒng)的管理與維護，將復(fù)雜的、海量的技術(shù)信息以業(yè)務(wù)的方式呈現(xiàn)給用戶，把業(yè)務(wù)系統(tǒng)的可用性、性能和狀態(tài)，與底層IT系統(tǒng)構(gòu)架和部件關(guān)聯(lián)起來，提供一個以業(yè)務(wù)為核心的IT綜合運維管理平臺，支撐業(yè)務(wù)的運營，同時可以提供基于用戶體驗的業(yè)務(wù)監(jiān)控。在業(yè)務(wù)系統(tǒng)出現(xiàn)問題時，IT運維人員可從系統(tǒng)提供的業(yè)務(wù)服務(wù)架構(gòu)下找到故障的根本原因，并可從物理位置拓撲定位到故障設(shè)備所在位置，快速解決故障。機房三維可視化：將3D仿真技術(shù)應(yīng)用在機房監(jiān)控，實現(xiàn)機房虛擬場景和設(shè)備真實數(shù)據(jù)相結(jié)合,設(shè)備運行狀態(tài)及告警信息的直觀呈現(xiàn)，快速定位設(shè)備位置，提升運維管理效率。機房監(jiān)控信息可視化系統(tǒng)是一個綜合利用計算機網(wǎng)絡(luò)技術(shù)、自動控制技術(shù)、新型傳感技術(shù)等構(gòu)成的計算機網(wǎng)絡(luò)。第一步：系統(tǒng)將集成原有的機房動力和環(huán)境設(shè)備等設(shè)備（如：配電、UPS、空調(diào)、溫濕度、漏水、煙霧、視頻、門禁等系統(tǒng)）。第二步：將機房內(nèi)所有的IT信息和通信設(shè)備立體與平面有機結(jié)合，建設(shè)能夠立體、直觀、全方位的展示機房運行情況的綜合展示圖：機房立體視圖機柜立體視圖管理功能完善：增加智能巡檢、IP地址管理、配置管理、虛擬化管理等功能模塊來提升工作效率，減輕運維人員壓力；提升告警能力：通過強大的告警模塊，及時響應(yīng)設(shè)備性能指標與系統(tǒng)日志所產(chǎn)生的故障告警信息，通過聲光、短息、郵件或微信等多種手段準確及時的告知運維人員。IT綜合運維管理平臺可提供全方位的服務(wù)管理思路，通過該平臺，能夠采用標準數(shù)據(jù)采集方式取得各種管理參數(shù)，實現(xiàn)對數(shù)據(jù)交換平臺、主機、數(shù)據(jù)庫、中間件以及應(yīng)用管理的實時監(jiān)控，管理人員在業(yè)務(wù)層能查看所有關(guān)鍵信息，并通過各層監(jiān)控來融合管理功能。項目方案項目目標和范圍本項目計劃將在內(nèi)、外網(wǎng)外聯(lián)區(qū)出口，內(nèi)網(wǎng)數(shù)據(jù)中心邊界各新采購2臺防火墻，共需6臺高性能防火墻。在內(nèi)網(wǎng)核心交換區(qū)、外網(wǎng)外聯(lián)區(qū)出口各新采購2臺入侵防御系統(tǒng)IPS，共需4臺IPS。本次國家電網(wǎng)客服中心南方分中心運維管理平臺優(yōu)化提升項目，計劃在國網(wǎng)客服南中心部署一套統(tǒng)一集中的運維管理平臺。通過該平臺實現(xiàn)對交換機、路由器、防火墻、IPS、負載均衡、服務(wù)器、終端、光纖交換機、存儲、機房動環(huán)等集中管理監(jiān)控，從業(yè)務(wù)視圖、物理拓撲圖與機房視圖三個角度多方位、多層次地展現(xiàn)建設(shè)成效，業(yè)務(wù)邏輯與網(wǎng)絡(luò)結(jié)構(gòu)；建設(shè)完成的統(tǒng)一集中的運維管理平臺能夠?qū)崿F(xiàn)網(wǎng)絡(luò)資源、業(yè)務(wù)系統(tǒng)、機房動環(huán)、虛擬化平臺的統(tǒng)一集中管理，并具備智能巡檢、各類告警、配置智能備份、各類業(yè)務(wù)報表、IP地址管理等功能。項目建設(shè)方案網(wǎng)絡(luò)安全優(yōu)化方案技術(shù)方案：超融合安全體系架構(gòu)本次方案設(shè)計中，信息內(nèi)網(wǎng)、信息外網(wǎng)出口區(qū)域的安全架構(gòu)設(shè)計為難點，互聯(lián)網(wǎng)邊界通常面臨眾多安全需求，如防火墻、入侵防御檢測、負載均衡、綜合審計、流量控制與分析等，采用傳統(tǒng)的獨立盒式設(shè)備串接部署會有明顯的短板，如：單點故障、性能瓶頸、運維管理困難、無法平滑擴容等。鑒于此，本次采用高度融合一體化安全網(wǎng)關(guān)（框式形態(tài)）如下圖示：圖4-1融合式設(shè)備簡化結(jié)構(gòu)示意圖通過融合安全網(wǎng)關(guān)部署，可避免單點故障、性能瓶頸，可實現(xiàn)功能、性能的平滑擴容，同時整機提供一個IP地址一個管理界面，極大簡化了運維工作量。未來出口區(qū)域的盒式退役，可通過在機框內(nèi)增加業(yè)務(wù)插卡的形式實現(xiàn)互聯(lián)網(wǎng)出口的全融合。L2~L7層虛擬化技術(shù)方案中采用的虛擬化技術(shù)包括N:1虛擬化、1:M虛擬化和N:M虛擬化。（1）N:1虛擬化如下圖1示，傳統(tǒng)的網(wǎng)絡(luò)虛擬化技術(shù)主要局限在L2/3層備，多臺交換機級聯(lián)實現(xiàn)統(tǒng)一的控制平面和分布式轉(zhuǎn)發(fā)；而L4-L7層還基本以雙機HA為主。此外，防火墻、IPS等串行或旁掛在L2/L3網(wǎng)絡(luò)中，需要復(fù)雜的數(shù)據(jù)流引導(dǎo)和回注，且各設(shè)備獨立完成數(shù)據(jù)拆包和協(xié)議解析，大量重復(fù)工作耗損網(wǎng)絡(luò)性能、加大網(wǎng)絡(luò)延時。圖4-2傳統(tǒng)L2-L7層部署方案采用L2-L7層N:1虛擬化技術(shù)后，交換、路由、安全等同類型設(shè)備全部虛擬化為一個邏輯設(shè)備，創(chuàng)新性的實現(xiàn)了跨機框業(yè)務(wù)模塊虛擬化。通過虛擬化組實現(xiàn)數(shù)據(jù)流統(tǒng)一規(guī)劃，一次解析多次復(fù)用，在吞吐量、新建連接數(shù)、并發(fā)連接數(shù)等各項性能指標上，為單臺設(shè)備的數(shù)倍，徹底去除網(wǎng)絡(luò)中的性能瓶頸。圖4-3N:1虛擬化部署方案（2）1:M虛擬化1:M虛擬化可實現(xiàn)在單個物理的或邏輯的系統(tǒng)上提供多個實體。以防火墻為例，1:M虛擬化將一臺設(shè)備在邏輯上劃分成多臺虛擬防火墻，每臺虛擬防火墻都可以被看成是一臺完全獨立的防火墻設(shè)備，可擁有獨立的管理員、安全策略和物理資源等。每個虛擬防火墻之間相互獨立，且能夠?qū)崿F(xiàn)防火墻的全部特性。1:M虛擬化實現(xiàn)將大規(guī)模的硬件資源轉(zhuǎn)換為靈活匹配業(yè)務(wù)的虛擬服務(wù)資源。圖4-41:M虛擬化示意圖（3）N:M虛擬化N:M虛擬化將N物理設(shè)備虛擬化為一個虛擬化組，系統(tǒng)性能為所有N個物理設(shè)備性能的總和，隨后根據(jù)需要虛擬化組再次虛擬化為M個邏輯設(shè)備，實現(xiàn)物理資源的靈活重組。經(jīng)N:M虛擬化形成資源池后，系統(tǒng)可根據(jù)需要動態(tài)提供不同粒度、不同類型的網(wǎng)絡(luò)、安全、應(yīng)用交付等服務(wù)。IT綜合運維管理平臺方案網(wǎng)絡(luò)資源管理建成的IT綜合運維管理平臺，做到對交換機、路由器、防火墻、IPS、負載均衡、服務(wù)器、終端、光纖交換機、存儲、機房動環(huán)等的中式管理，并以物理拓撲圖進行集中展現(xiàn)，實現(xiàn)統(tǒng)一的IT綜合運維管理。系統(tǒng)可以迅速搜索整個網(wǎng)絡(luò)內(nèi)的所有節(jié)點、支持多廠商的設(shè)備組成的“混合”網(wǎng)絡(luò)，智能分析網(wǎng)絡(luò)拓撲結(jié)構(gòu)，自動勾畫出整個網(wǎng)絡(luò)的真實物理拓撲圖，真實反映用戶實際網(wǎng)絡(luò)的部署情況，并實時動態(tài)反映路由器、三層交換機、交換機、服務(wù)器、PC機、鏈路等的運行情況，讓用戶即時直觀的了解網(wǎng)絡(luò)的運行情況。并且直觀地反映設(shè)備的分布情況、負載狀況和設(shè)備屬性，以及線路的實時流量；通過顏色顯示負載和流量的壓力，主動告訴用戶關(guān)注點應(yīng)在哪里，動態(tài)告訴用戶可能的故障隱患。業(yè)務(wù)系統(tǒng)監(jiān)控業(yè)務(wù)監(jiān)控包括了網(wǎng)絡(luò)、主機、應(yīng)用、服務(wù)等組件，綜合運維管理平臺能夠?qū)?fù)雜的IT資源轉(zhuǎn)化為簡單的業(yè)務(wù)視圖，使我們從業(yè)務(wù)的角度監(jiān)控相應(yīng)的IT資源環(huán)境，當業(yè)務(wù)系統(tǒng)發(fā)生故障時，問題就會反應(yīng)在該業(yè)務(wù)提供的服務(wù)上面，實現(xiàn)快速定位故障，維護業(yè)務(wù)系統(tǒng)的正常使用，保障生產(chǎn)環(huán)境的高效、安全、穩(wěn)定。業(yè)務(wù)總覽一覽各個業(yè)務(wù)服務(wù)狀態(tài)；與網(wǎng)絡(luò)視圖、機房視圖、告警等模塊關(guān)聯(lián)，可一鍵查看相關(guān)信息。業(yè)務(wù)監(jiān)控業(yè)務(wù)狀態(tài)的實時監(jiān)控業(yè)務(wù)監(jiān)控圖形化快速定位影響業(yè)務(wù)狀態(tài)的組件及時查看受到影響的業(yè)務(wù)單位業(yè)務(wù)分析快速查看業(yè)務(wù)產(chǎn)生的告警；通過多個指標衡量業(yè)務(wù)的健康狀態(tài)；可查詢相關(guān)的具體告警事件，進行根源分析。機房動環(huán)管理將現(xiàn)有機房動環(huán)監(jiān)控平臺與其進行對接整合，實現(xiàn)動環(huán)設(shè)備與網(wǎng)絡(luò)設(shè)備、服務(wù)器、存儲等的綜合監(jiān)控，做到一站式監(jiān)控，當動環(huán)設(shè)備、網(wǎng)絡(luò)設(shè)備、服務(wù)器、存儲發(fā)生故障時可以快速定位到對應(yīng)機房位置，減輕運維人員的運維任務(wù)，保障機房環(huán)境與設(shè)備的安全。機房監(jiān)控信息可視化系統(tǒng)是一個綜合利用計算機網(wǎng)絡(luò)技術(shù)、自動控制技術(shù)、新型傳感技術(shù)等構(gòu)成的計算機網(wǎng)絡(luò)。第一步：系統(tǒng)將集成原有的機房動力和環(huán)境設(shè)備等設(shè)備（如：配電、UPS、空調(diào)、溫濕度、漏水、煙霧、視頻、門禁等系統(tǒng)）。第二步：將機房內(nèi)所有的IT信息和通信設(shè)備立體與平面有機結(jié)合，建設(shè)能夠立體、直觀、全方位的展示機房運行情況的綜合展示圖：機房拓撲直觀反映設(shè)備運行和使用狀態(tài)，機柜的顏色變化，直接反映了是否有設(shè)備等發(fā)生事件，再深入可查找到哪個機柜哪臺設(shè)備有問題。實時展示機房效果，機柜內(nèi)設(shè)備發(fā)生告警及狀態(tài)變動時可在機柜上體現(xiàn)。智能巡檢隨著企業(yè)信息化應(yīng)用的日益深入，為了確保信息化應(yīng)用正常開展所進行的例行性巡檢工作已變得非常必要，大多數(shù)企業(yè)的巡檢還停留于人工方式，且巡檢工作所涉及點多面廣、管理對象種類豐富、指標繁多、相應(yīng)的工作量也是非常可觀的，單純依靠人力已難以勝任，有限的人力資源和繁重巨大和工作量之間的矛盾日益突出，加之巡檢工作的許多內(nèi)容技術(shù)含量低、且重復(fù)和繁瑣，對管理人員來說沒有營養(yǎng)，很難引起興趣并調(diào)動其工作積極性，對有限的人力資源也是一個巨大的浪費，加之人工巡檢存在漏、錯、巡檢不到位等弊端，導(dǎo)致潛在隱患未必能夠及時被發(fā)現(xiàn)從而錯過了排除故障的最佳時機，在工作中處于被動的事后搶救、修復(fù)的不利局面。切實采取有效措施和手段，扭轉(zhuǎn)巡檢管理工作中的不利局面、變被動為主動，改善巡檢管理工作的成效，最大限度減少隱患、確保信息系統(tǒng)持續(xù)穩(wěn)定、可靠的正常運轉(zhuǎn)方面發(fā)揮關(guān)鍵作用并做出突出貢獻，已成為企業(yè)信息部門核心目標和非常迫切的任務(wù)。IT綜合運維管理平臺，集成對IT基礎(chǔ)設(shè)施及機房環(huán)境進行日常巡檢的功能，減輕運維人員冗余繁重的日常巡檢工作，保證網(wǎng)絡(luò)環(huán)境正常、有序、安全運轉(zhuǎn)，提升工作效率，達到運維管理的巡檢自動化需求。虛擬化管理IT綜合運維管理平臺集成虛擬化管理功能，通過添加虛擬中心同步獲取虛擬設(shè)備信息，并以虛擬視圖的形式直觀地展現(xiàn)給客戶，實現(xiàn)企業(yè)對于虛擬化管理統(tǒng)一監(jiān)控的需求。本次項目建設(shè)可視化虛擬環(huán)境管理，從網(wǎng)絡(luò)視角實現(xiàn)ESX/ESXi主機、虛擬機、數(shù)據(jù)存儲的管理，以顏色變化方式展現(xiàn)ESX/ESXi主機、虛擬機、數(shù)據(jù)存儲、網(wǎng)絡(luò)健康特性。同時，IT綜合運維管理平臺可以對vCenter、集群、ESX/ESXi主機、虛擬機、數(shù)據(jù)存儲的詳細指標進行監(jiān)控，針對虛擬化系統(tǒng)提供了性能、可用性、配置的監(jiān)控。直觀展現(xiàn)虛擬化系統(tǒng)的狀態(tài)，以及被虛擬主機的可用性。提供內(nèi)存縮減量、CPU使用率、內(nèi)存使用率、磁盤讀/寫速度、網(wǎng)絡(luò)數(shù)據(jù)接收/發(fā)送速度、資源池內(nèi)虛擬機配置內(nèi)存大小、虛擬機之間共享內(nèi)存等詳細指標。提供可視化虛擬環(huán)境管理，支持的管理，以圖表的方式進行展現(xiàn)。告警管理IT綜合運維管理平臺集成豐富的告警功能，通過郵件、微信、短信及聲光等方式能使用戶第一時間接到告警，讓系統(tǒng)的管理從被動變?yōu)橹鲃?，有效地預(yù)防故障發(fā)生。通過告警明感度、告警過濾等多種技術(shù)手段，屏蔽不重要的告警信息，避免告警泛濫，幫助運維人員能夠?qū)⒕嘘P(guān)鍵問題上，準確定位故障源并快速處理。故障管理的設(shè)置是一項繁瑣而細致的功能，對于一個新手來說，一旦設(shè)置錯誤，有可能會造成資源監(jiān)控指標不合理，頻繁產(chǎn)生不必要的報警等等。憑借多年的網(wǎng)管經(jīng)驗，產(chǎn)品提供了一鍵恢復(fù)默認值的按鈕，方便您及時恢復(fù)到最佳的設(shè)置，為您的策略設(shè)置提供一個基準參照指標。 故障管理支持監(jiān)控資源的批量監(jiān)控，可以用一條策略，管理一種類型的設(shè)備。在策略管理中，批量監(jiān)控與統(tǒng)一管理是類似的，您可以設(shè)置一條策略，如AIX主機的策略，將所有網(wǎng)絡(luò)資源中的所有AIX主機都歸到這條策略中，只要使用一條策略，就可以對多臺同類型的設(shè)備進行策略指定和發(fā)布。產(chǎn)品提供靈活的報警定義，可滿足各種業(yè)務(wù)需求。管理人員可以根據(jù)監(jiān)控需要，定義故障事件是否觸發(fā)報警、發(fā)送給哪個角色或人員、以及發(fā)送的時間段。組合告警組合告警支持靈活的告警條件組合，對相互之間有關(guān)聯(lián)的事件進行分析，過濾出重要告警，抑制“告警風(fēng)暴”的發(fā)生。幫助用戶精確的判定故障，減少告警的次數(shù)，提高告警的有效性。告警規(guī)則管理員可設(shè)置多種報警方式，當事故發(fā)生時，不僅以傳統(tǒng)方式郵件方式通知用戶，還可通過郵件、短信、桌面告警（產(chǎn)品Alert）等多種報警方式，全面及時的通知用戶。如果在一定時間段內(nèi)，事故仍沒有解決，升級到更高層次用戶，自動尋求更強的解決力度例如，數(shù)據(jù)庫服務(wù)器不可用時，報警至數(shù)據(jù)庫管理員，但24小時后數(shù)據(jù)庫仍未恢復(fù)使用，可報警升級至公司領(lǐng)導(dǎo)。領(lǐng)導(dǎo)可調(diào)集更多資源，加大解決力度，從而迅速排解事故。報警應(yīng)急響應(yīng)IT綜合運維管理平臺不僅可在系統(tǒng)產(chǎn)生告警事件時以郵件、短信、客戶端軟件等方式通知管理員，還可進行報警應(yīng)急響應(yīng)，并支持聯(lián)動策略。IT管理員可以預(yù)先定義好報警聯(lián)動策略，當某種類型的故障產(chǎn)生時，自動的觸發(fā)策略以相應(yīng)動作，這個動作可以是啟動或停止進程、服務(wù)或業(yè)務(wù)程序，還可以是一個用戶指定的腳本程序，可提供對計算機操作系統(tǒng)的關(guān)閉、重啟等操作。報警通知方式產(chǎn)品在系統(tǒng)產(chǎn)生告警事件時，可通過如下幾種方式來報警：郵件報警短信報警產(chǎn)品Alert報警聲光設(shè)備Syslog通知外部程序通知Http調(diào)用企業(yè)微信通知同時產(chǎn)品具備分級報警功能，產(chǎn)品軟件可以根據(jù)產(chǎn)生故障來源的重要程度不同采用不同的告警方式，并且可以自定義故障告警的信息模板。針對某些重要告警事件長時間得不到解決的現(xiàn)象，產(chǎn)品還提供了告警升級功能。當問題出現(xiàn)幾個小時，系統(tǒng)管理員還沒有解決的情況下，系統(tǒng)會發(fā)送告警通知上一級領(lǐng)導(dǎo)。配置管理網(wǎng)絡(luò)設(shè)備中配置信息為關(guān)鍵資源，需要進行實時監(jiān)聽，定期備份，差異比較。綜上考慮，根據(jù)用戶需求開發(fā)出配置管理解決方案，系統(tǒng)平臺支持配置腳本的方式，對網(wǎng)絡(luò)設(shè)備配置信息定制備份規(guī)則。IT綜合運維管理平臺通過SSH安全登錄方式對網(wǎng)絡(luò)設(shè)備的配置進行采集，通過系統(tǒng)定時對配置信息進行對比。當網(wǎng)絡(luò)配發(fā)生變化時，保留上一份配置規(guī)則，并自動備份當前設(shè)備配置信息，多份規(guī)則可進行比對查看，保障網(wǎng)絡(luò)安全穩(wěn)定。報表管理IT綜合運維管理平臺集成豐富報表功能，根據(jù)實際需求定制報表模板，對于網(wǎng)絡(luò)環(huán)境中的告警故障信息、設(shè)備性能指標、線路流量信息定期生成報表，作為后期網(wǎng)絡(luò)改造、維護依據(jù)，保障業(yè)務(wù)環(huán)境中各項數(shù)據(jù)的安全。IP地址管理本次系統(tǒng)建設(shè)地址簿管理功能，是實現(xiàn)對IP地址資源空間管理的有效手段，它通過對全網(wǎng)設(shè)備的掃描，快速的生成一張“IP/MAC－所在設(shè)備－所在端口－PC主機名稱－端口狀態(tài)－操作系統(tǒng)”等用戶信息的表，通過該表您可以快速的對IP地址進行定位，并且通過相應(yīng)的告警設(shè)置，發(fā)現(xiàn)網(wǎng)絡(luò)中存在的非法IP和非法設(shè)備。項目實施計劃（一）項目環(huán)境：客服南中心基礎(chǔ)網(wǎng)絡(luò)系統(tǒng)已經(jīng)建成；各節(jié)點設(shè)備所在機房的基礎(chǔ)環(huán)境具備。（二）項目人員：項目人員主要涉及：安徽省電力公司科技信息部、信通公司。（三）項目進度：第一階段時間2016年4~5月，進行項目的可研編制和評審。第二階段時間2016年6~7月，方案編制和評審。第三階段時間2016年8~9月，完成設(shè)備采購。機房基礎(chǔ)環(huán)境建設(shè)具備設(shè)備安裝條件。第四階段時間2016年10月，完成實施，主要包括硬件安裝設(shè)軟件調(diào)試。對項目建設(shè)所涉及到的子網(wǎng)進行基礎(chǔ)資料的收集整理，制定好網(wǎng)絡(luò)切換方