机房作业整改工作计划方案.doc

/XX 机房整改方案第 2 页目录一、一、XX 站整改项目说明.3二、XX 站整改项目目标.3三、项目实施要求 .41、 可靠性：.42、 环境保护：.43、 灵活性：.44、 安全性：.4四、施工方案简述 .4第一部分 机房工程方案 .4第二部分：机房装修设计及施工方案 .6第三部分 机房外缆整改及设备支座制作 .8五、机房综合工程设计标准 .10六、效果图 .11第 3 页一、一、 XX 站整改项目说明本次 XX 站机房整改项目主要涉及 XXX 二楼机房、话务机房、电源机房等机房的整体维护。其中程控设备机房包含 XXX交换机、传输设备、配线架等核心汇聚设备。机房在多年的扩容和新建工程施工过程中，遗留了较多的硬件施工问题，为实现标准化机房建设实施本次整改项目。目前主要问题为：新建机柜需增加设备底座、线缆布防不规范、标签缺失、走线槽道缺失、外缆布防防护盒腐蚀、机房密闭条件差等，为设备安全运行造成重大隐患，也为机房日常维护工作带来了诸多困难。二、 XX 站整改项目目标本次整改将主要针对机房现存硬件安装问题进行整改，从根本上解决现存的硬件质量问题：整改子方案涉及1、机房装修工程2、UPS 配电系统整改3、机房照明系统整改4、接地系统整改5、综合布线系统整改6、增加温湿度监控系统7、机房设备整改方案建设通过整改电源线、光纤、信号线等线缆的不规范布放，第 4 页做到线缆布放科学、安全、整齐、美观；通过设备运行环境整改使机柜外观及内部设备防尘网干净、整洁，从而达到消除通信安全隐患、便于机房日常维护的目的；通过机房维护环境整改，实现标准化机房建设，确保设备维护环境达标；整改完成后：实施单位需汇总机房现场数据信息；对机房设备数据资料更新统计和修订；设备线缆标签整改；为机房后期的日常维护、扩容和巡检工作提供准确的数据资料。三、 项目实施要求通过机房标准化整改考虑以下方面：1、可靠性：设备纤缆改造充分考虑“三防” 、 “三护” ，XX 机房敷设相关备用线缆；2、环境保护：考虑机房环境的特殊性，选用相关防火阻燃材料；3、灵活性：为节约资金，充分利旧原通信站线缆进行整改；4、安全性：项目实施过程中对 XX 站相关技术资料做到严格保密，需签订相关保密协议；第 5 页四、 施工方案简述第一部分第一部分 机房工程方案机房工程方案 整体机房面积约 XX 平方米左右。XX 设备机房、XX 机房及电源机房按国家标准 B 级机房设计和施工。1、机房功能区划分：主机房设在二楼。按国家 B 级标准机房设计和施工，按功能划分为 XX 机房、XX 室、XX 机房、电源机房、XX 室五个功能区。2、机房装修使用：XX 机房及 XX 机房采用防静电地板、微孔天花板、无眩光灯管等材料、防火窗帘及敷设防静电漆。3、机房配电系统：电源走线全部捋顺绑扎、重新制作标签、制作走线槽道，并充分考虑机房电源插座的冗余，保证机房配电的安全。4、机房防雷接地系统：机房接地和大楼接地共用，XX 机房设备共地整改，地板支脚采用铜带接地，直流接地电阻小于 2 欧姆。5、机房控温系统：原有空调利旧，暖气计划采用装修包装或者更换为新型彩钢暖气两种预案，加装温湿度检测仪表。6、机房综合布线系统：要求整改厂家对机房进行了综合布线的设计，在各个功能区域相应墙壁地面 30 厘米高度处设置了相应数量的有网络信息点、电话点。保证在每个机柜下方开凿相应的穿线孔（包括地板和线槽） 。在地板下均安装走线线槽，强电和弱电线槽相距 30 厘米以上。信号光纤及中继线缆均整改后放入线槽敷设；光纤布防：保护套管切口应光滑，否则要用绝缘胶布等做防割第 6 页处理；尾纤绑扎不应过紧，尾纤在线扣环中可抽动为宜，不能有扎痕；布放后不应有其它电缆或物品压在上面。机柜内的过长尾纤应整齐盘绕于盘纤盒内或绕成直径大于 8cm 的圈后固定。7、保留原巡检系统涉及的巡检按钮操作板，施工时注意相关线缆的防护；第二部分：机房装修设计及施工方案第二部分：机房装修设计及施工方案 机房装饰：机房内放置有复杂的电子设备和通信设备，对装饰的要求，主要是满足通信设备对机房提出的技术要求，在机房装饰艺术上以既大方舒适，又满足其技术要求为原则。对装饰材料的选择要达到吸音、防火、防潮、防变形、抗干扰、防静电等要求。装饰后，要使整个机房色调柔和、通透宽敞、不压抑、舒适。以其达到现代化的装饰水平和视觉效果。后续附机房装修效果图：1、机房高度设计正常要求为装修后净空高度（指活动地板面至天花顶棚高度）为 2.3 米2.6 米左右较为理想，这样既能满足人的视觉效果，不致于使人感到压抑，又能减少空调的制冷量，以节约能源。2、机房天花设计考虑设备机房的技术要求以及机房高度要求，整个机房天花吊顶选用全铝喷塑微孔天花板：色调柔和，不产生眩光、防火、防潮、易清洁、吸音，照明灯具均匀分布于天花吊顶上。施工要求：第 7 页（1）对吊顶部分进行防尘处理，刷防尘漆，确保天花基础部分不起尘。（2）天花上部的照明线缆涉及线槽及天花板部份都要接地机房防静电地板部分1、防静电地板设计及选用标准（1）抗静电地板电阻率：（10×10710×108） cm（2）分布载荷：大于 1500kg/m2。集中载荷：大于 200kg/m2（3）抗静电活动地板高度：350±20mm（地板下空间为送风静压箱）2、地板材料选型视厂家报价选择木质、铝合金防静电活动地板、钢质地板等种类；建议采用：复合抗静电地板，该防静电地板表面采用进口抗静电复合材料，抗静电效果良好，此外还具有防火、防潮作用；该地板为无边地板，配合精度高，且美观、整洁、耐用、其抗静电、耐磨、承受力等各项指标均可与进口复合抗静电地板比美。安装要求：建议机房防静电活动地板的安装高度为 300mm 左右，活动地板下面可以有较大空间用作机房内的强弱电管线铺设和空调净压箱使用。3、防静电地板施工方案首先对机房地面，作防尘、防水处理，再开始刷地台漆二遍，起防潮、防霉作用，然后再刷防静电水泥漆一遍。第 8 页在地板安装中，施工人员需严格按照图纸设计，拉好对角线后再安装地板，保证整体效果和配合精度。地板板面标高 300350mm，具有足够空间形成地板下净压风库并结合供配电系统的设计及施工。在地板施工中，要求注意异形地板（如风口地板、走线地板、电源插座安装地板等）的安装。另外需保证地板工程的防静电效果、接地效果。第三部分第三部分 机房外缆整改及设备支座制作机房外缆整改及设备支座制作1、电缆缆绑扎整齐不交叉，路由合理，便于今后维护和扩容。2、电缆表面不能有划伤，中间不允许有接头，转弯处应圆滑。3、信号线和电源线分开绑扎，间距大于 3CM。4、电源线不允许盘绕，一般交流电源线和直流电源线分开绑扎5、外缆接头处应加装防护箱；电源线与其它线缆分开第 9 页走线出口处需进行胶泥封堵，并增加相应标示；XX 机房新增机柜缺失支座，安装完毕后另增加静电防护板，入设备纤缆增加波纹管并做好防护；安装细则：机柜所有进出线孔应封闭处理，如采用小盖板的缝隙宽度不大于 1 个盖板宽度，采用布袋式的袋口应绑扎紧固；采用塑胶件的出线口大小切割应合适。现场也可采取整齐美观、绝缘、阻燃的材料进行可靠封闭。设备支座采用标准支座，安装后要求设备底座与防静电地板平齐，并加装防静电防护板；第 10 页五、机房综合工程设计标准 新机房按国家标准 B 级标准机房设计和规划。本方案按机房建设方案依据标准（B 级）设计，依据以下国家标准：中华人民共和国计算机信息系统安全保护条例建筑与建筑群综合布线系统工程设计规范 （CECS72:97）电子计算机机房设计规范 （GB 500571994）低压配电设计规范 （GB 50054-1995）电缆线路施工及验收规范 （GB 50168-1992）计算机机房用活动地板技术条件 （GB 6650-1986）通风与空调工程施工及验收规范GBJ 243-1982工业企业通信接地设计规范GBJ79-1985第 11 页电气装置安装工程接地装置施工及验收规范 （GB 50169-1992）六、 效果图电源标签安装图用户线标签安装图第 12 页8、机房设备整改方案建设8.1 优化后信息化建设拓扑图第 13 页8.28.2 IPIP 地址及区域设计地址及区域设计根据本项目需求，本方案将重新设计 IP 地址编址，重设计网络区域结构。具体如下:区域区域VLANVLAN安全域安全域外网/非信任域办公区独立 VLAN1独立安全域领导区独立 VLAN2独立安全域应用区独立 VLAN200独立安全域数据库独立 VLAN500独立安全域文件存储独立 VLAN100独立安全域8.38.3 路由设计路由设计本技术改造方案主要通过路由技术，采用静态路由技术引导数据流向走向，分离业务流量，提升业务效率。设备设备网络地址网络地址下一跳地址下一跳地址 防火墙防火墙模式 防病毒网关部署 网络行为审计系统透明部署 ZTE 三层交换DHCP 内网核心 入侵防御系统透明部署 数据库审计系统旁路部署根据用户现场实际环境 规划8.48.4 区域设计区域设计本方案设计的网络结构呈现出区域化，层次化构架，主要目的是为了便于网络管理、维护以及安全策略的针对性部署。各区域结构如下所述：第 14 页（1 1）InternetInternet 区域区域Internet 区域将原有启明防火墙部署为互联网防火墙，连接新增的 100M 光纤链路，为档案局内网区域所有需要上网的终端和服务器提供 Internet 代访问的防护，并设置相应管理策略，控制 Internet 访问权限和访问应用类型，保证 Internet 安全访问的需求。（2 2）楼层接入区域楼层接入区域楼层接入区域为如 10.1.x.0/24 网段，与原网络构架保持不变。其访问安全策略主要由其他区域的网关防火墙根据源端进行设置。（3 3）核心网区域核心网区域部署防病毒网关做为出口网关设备，具备高速转发的能力，在数据进行内外网交换机的时候并发进行蠕虫病毒的防护和杀毒过滤，保证上网内网的第 15 页安全。满足 82 号令的要求进行网络综合行为的管控设计、存储日志的能力到达 60 天以上，并且具备公安部门认证资质，在下一阶段安全评测做好基础服务。（4 4）服务器区域服务器区域服务器区域设计为如 10.1.100.0/24 网段，所有服务器网关指向核心交换机服务器区区域接口，即如 10.1.100.1。服务器区域主要有档案信息化应用服务器、WEB 服务器、信息化数据库服务器、文件服务器、存储区域网络(SAN)设备等。所有服务器流量均由山石网科入侵防御系统根据安全策略控制访问，开启3000 种入侵规则防护策略，应用防护策略。安全策略采用白名单方式，根据源目 IP 地址以及目标端口进行设置，最大限度的保证外部区域对服务器区域的安全访问。第 16 页（5 5）内容终端区域内容终端区域开启此技术特有功能，有效对内网数据、设备接口进行控制网络及终端安全设计方案网络及终端安全设计方案（2 2）网络系统拓扑图网络系统拓扑图第 17 页（3 3）网络安全优化方案描述网络安全优化方案描述1 1网络综合行为审计与控制网络综合行为审计与控制网络的内容日益丰富，变得复杂、多样化。当今，互联网进入了应用级网络时代，大量未知的内容和信息纷纷涌进网络，病毒、黑客攻击、内部员工泄密等防不胜防，然而这些问题的本质是“管理” ，如何管理员工上网行为，规范上网行为成为了每个企业首要面临的问题。目前，用户面临网络管理问题具体如下：无法为员工的上网行为进行有效管理无法为员工的上网行为进行有效管理随着业务不断的扩展，工作人员大大的扩充，现有的设备中已经无法满足公司的对员工上网行为的管理。关键业务流量无法保证，带宽受到严重堵塞关键业务流量无法保证，带宽受到严重堵塞虽然企业有很高的带宽，可是网络还是常常造成拥堵，网络中存在着大量的 P2P 软件，不能有效的管理和封堵，使得办公系统运转不顺畅，办公网页无法打开，严重影响了正常业务的顺利进行。发现异常流量无法有效定位发现异常流量无法有效定位第 18 页员工的不合理访问网络，带来多种隐患，导致网络中充斥着大量病毒（如 ARP 病毒）。病毒在局域网内传输，制造网络攻击，常常造成网络的中断。档案信息化机密数据的保密无法得到真正的保障档案信息化机密数据的保密无法得到真正的保障防火墙只能防御外部的侵袭，对于内部数据的泄露显得苍白无力，电子邮件、MSN/QQ 以及 BBS 论坛等网络应用固然给企业带来了网络化使用的方便同时也是造成公司机密文档泄密的途径，必须进行必要的管理。非法网站的访问带来了较多的法律风险非法网站的访问带来了较多的法律风险员工的上网不节制行为利用企业内部网络访问反动，色情，违反法律等网站，发表不发的言论等，这些都会给企业带来负面影响以及要肩负起法律责任，需要对这种行为进行限制。上班做私事，利用局里网络享受上网娱乐，降低工作效率上班做私事，利用局里网络享受上网娱乐，降低工作效率员工在工作时间玩网络游戏、看网络电视、炒股等等，既占用公司正常业务流量也严 重影响了员工的工作效率，带来企业无形资产的损失。涉及到的管理涉及到的管理带宽管理带宽管理如何令有限的带宽合理分配使用，需要上网行为管理提供精细网络带宽管理功能。可根据主机(单 IP、IP 组、用户组)、服务(服务组)、应用程序、时间、URL、文件类型等不同参数，提供灵活组合来实现带宽的预留、保障和限制。控制风险管理控制风险管理信息安全是一个复杂的系统工程。要实施一个完整的网络与信息安全体系，应包括一下三个结合：* 根据国家与企业切身情况制定相关网络管理规章制度，行政与技术部门切实规章制度的落实。* 网络安全技术的加入，如防火墙技术、网络防毒、身份认证、授权等。提供安全的网络边界。* 对上网行为进行审计和管理。提供实时监控企业网络安全状态、提供实时改变安全策略的能力、对现有的安全漏洞进行查漏补缺等，以防患于未然。 合规管理合规管理国家互联网安全保护技术措施规定 、 信息安全等级保护 、 企业信息系统风险管理等安全指导，均对学校、政府、企业、银行互联网访问的控制、审计提出要求。第 19 页公安部 33 号令以及 2006 年 3 月 1 日颁布实施的公安部 82 号令，都对互联网使用单位内部用户的上网行为提出了行为审计和记录的要求，尤其 82 号令要求互联网访问行为日志“至少留存 60 天” 。行为管理行为管理 通过策略与日志，管理者可以跟踪网络中的任何操作。对用户上网行为操作做出规范管理， 减少内部泄密行为与病毒传播隔离。2 2防病毒网关系统防病毒网关系统随着网络应用的不断发展，越来越多的木马入侵、病毒等攻击通过网络进 行实施及传播，病毒传播的范围广、速度快，对网络用户造成了难以估量的损 害。在金融网络中，由于内部网络与外界连接方式多样，联系业务众多，因此， 在应用中难免也存在木马、病毒及恶意程序等泛滥传播的情况。为了解决病毒 及恶意程序通过网络的传播问题，很多安全厂家，开始尝试发布病毒防护网关。 但是，多数设备厂商都遇到了一个很大的技术难题，就是网关病毒防护会消耗 大量的网关设备资源，而对数据的转发及处理造成很大的延时，成为数据快速 转发的瓶颈，降低网络使用效率。 Hillstone 山石网科公司为了解决网络病毒传播及网关查杀毒性能瓶颈的 问题，提出了全新的第二代网关防毒设计理念，采用全新多核处理器+ASIC+高 速交换总线的硬件设计，结合基于并行流的杀毒机制，为了提高病毒查杀的识 别能力，整合了杀毒业内知名防毒公司病毒库，最终实现了高性能的网关病毒 防护功能。Hillstone 山石网科产品的病毒防护功能主要有以下特性： 基于 64 位多核处理器的设计架构，满足病毒防护对 CPU 和内存资源的 高需求。多核 CPU 及专业的 64 位专用安全系统，确保了 CPU 的高效性 能输出。 基于并行流扫描机制的杀毒引擎，充分发挥硬件优势，确保病毒处理 的高性能。 先进的多核 CPU 并行处理方式，硬件数据包重组，确保了高性能。 基于流的多层压缩文件解压。确保对压缩文件中病毒的彻底查杀。 整合成熟知名杀毒厂家病毒库的实时自动升级，确保了最短时间内， 及时的响应对最新病毒的查杀需求。 支持对 HTTP、FTP、POP3、SMTP 和 IMAP 协议杀毒。能够及时发现多种 常用协议传输数据中的病毒，进行有效的处理 中断传输会话、杀毒、日志记录等多种处理机制。对于发现有病毒传 播的数据流，可以设置多种处理方式。 网关杀毒支持透明、路由、混合模式。可以满足各种网络环境部署需 要。 病毒防护功能开启时最大吞吐量达 1.68G 保证用户的主干链路数据传 输延时不会过大，可让用户放心使用 Hillstone 山石网科安全网关。 Hillstone 山石网科的病毒过滤网关通过高性能、高可升级性解决方案， 能满足金融网络现今低延迟和低响应时间应用的需求。如果配合网络版防病毒第 20 页软件一起使用，这样为金融用户网络的病毒防护起到一个双保险的作用，效果 更为显著。3 3部署内网安全方案详解：部署内网安全方案详解：>> 信息保密管理信息保密管理：IP-guard 严格控制网络连接，综合考虑政府文件的各种存在状态与访问途径，全方位多角度的保证机密文件只在可控范围内流通，文件安全无懈可击。控制网络接入，保证访问安全 外部入侵检测：系统登记网络内计算机，即时检测是否有新计算机接入内网，对非法接入的计算机进行阻止，限制个人电脑随意接入内网，防止外部计算机非法入侵对政府信息网络造成的文件泄密与系统风险。第 21 页 内部通讯控制：设定网内计算机相互通讯权限，有效控制不同部门间的网络访问，保证需要保护的敏感计算机的安全。控制外部设备，防止外设泄密 控制网内计算机外部设备的使用权限，包括存储设备、通讯设备、USB 设备、网络设备及其他主流的计算机外部设备，并可监控禁止新设备的使用，多种途径阻止外接设备造成敏感文件外流 各类设备控制可细化到最小分类，如 USB 设备可细分键盘、鼠标、光驱、Modem 等，最大限度保证正常的设备应用控制移动存储，防止 U 盘泄密 对指定移动存储设备中存取的文档进行自动透明加解密，U 盘超出可信使用范围即无法访问，保证机密文件即使不慎流出也不会泄露导致严重后果 分类管理内部流通的移动存储设备，只有经过认证加密的设备才可以在系统中使用，在保证合理应用的同时防止敏感文档经由非法存储设备流出控制文档操作，强化操作审计 灵活限定网内计算机对特定文件的操作权限，包括创建、访问、移动、修改、删除、重命名等，防止敏感文件被泄露或删除 当有设定的非法操作出现时，自动报警并备份文档，防止文件被篡改或者删除而造成严重后果 完整记录网内计算机文档操作，多种条件灵活查询，以便有重大事件发生时进行审计 定时记录客户端屏幕画面，支持输出为通用格式视频文件存档，便于在事件发生时直观还原事件原貌控制打印操作，防止打印泄密 严格控制打印机的使用权限，控制打印程序，防止敏感文件通过打印途径泄露的同时，还可以管理打印消耗 多个项目详细记录打印操作，并可完整记录每次打印的映像图像，直观查看打印内容，便于发生问题时追根溯源第 22 页控制外发工具，防止传输泄密 限制通过即时通讯工具如 QQ、MSN 等传输文件，支持在传输时进行备份以降低文件损失风险，持续更新并支持绝大部分的即时通讯工具 控制邮件发送，阻止向不被允许的收件人发送邮件，控制附件的使用，支持在发送附件时自动进行备份，降低文件损失风险 必要时也可禁止指定类别的 IM 及邮件程序的使用，即使改变程序名也继续有效，彻底杜绝通过网络传输泄密的风险如需要，可提供即时通讯记录查看与邮件完整记录功能>> 系统应用管理：IP-guard 全面控制网内计算机应用程序与网络应用，完整的审计为 IT 管理者提供依据，杜绝安全隐患，做到专机专用，专网专用，有效提升应用效率。管理应用程序，保持系统高效 自动收集网内计算机运行的各类程序，分类管理客户端运行的应用程序，防止危险程序运行带来的未知风险 合理限制某些与政务无关的应用程序的使用，如游戏、炒股等，符合政府内网专机专用的要求，保持系统高效应用 对网内计算机程序运行状况进行统计，生成报表，为管理提升提供依据如需要，可提供客户端屏幕即时查看功能，方便管理管理网页浏览，降低染毒及未知风险 控制网内计算机访问网站的范围，限制访问无关网页，完全禁止访问色情、暴力、反动网页，预防病毒、木马等安全威胁及政治风险 策略设置灵活，支持黑名单和白名单，可以分时段、分类别进行控制 详细记录统计网内计算机网页浏览状况，生成直观图表，方便管理者发现问题管理网络流量，高效利用带宽资源 限制客户端网络流量，禁止 P2P 下载、在线视听等无关网络应用，防治网络拥堵，保第 23 页证正常政务处理业务流量，使带宽资源得到最优利用 可针对时段、端口、IP 地址等参数灵活控制，实现更加人性化的管理 统计客户端流量使用情况，迅速发现网络拥堵症结所在，为网络资源分配提供依据>> 维护与资产管理：IP-guard 加强集中管理，远程维护简化冗繁工作，轻松管理补丁与漏洞，保证系统持续稳定；全面资产管理让国有资产绝不轻易流失。简化系统管理，迅速排除故障 实时远程查看网内计算机进程、性能等运行状态，分析故障原因并进行远程协助，快速排除故障，解决系统问题 支持远程连接操作网内计算机桌面，方便进行协助或者示范操作 支持文件在客户端与控制机间双向传送，方便内部沟通便捷资产管理，保卫国有资产 即时监控网内计算机软硬件资产状态，包括硬件、操作系统、应用程序等，记录资产变更，保证国有资产绝不流失 支持自定义管理非 IT 资产， 扩大资产管理的覆盖范围，查询便捷强化补丁及漏洞管理，让系统无懈可击 集中扫描网内计算机补丁安装情况，及时下载并集中部署安装，保证系统安装最新补丁，及时修补严重威胁漏洞 集中扫描网内计算机系统漏洞，包括权限、密码及系统设置等问题，提出改进建议，帮助消除安全隐患快捷软件分发，便利程序安装 便捷制作软件安装包，部署任务，分发到系统内各计算机并自动安装，大大减轻 IT 管理人员逐机部署应用程序的负担，方便应用软件在内部的大规模应用第 24 页 支持复制特定程序或文件到客户端，简化文件分发，加快信息传递（4 4）使用产品选型使用产品选型设备需求设备需求品牌品牌参数参数生产地生产地网络行为综合审计 系统网神北京防病毒网关山石北京内网安全系统溢信内网终端管控系统广州第 25 页ITIT 运维与库房机房环境动力安全运维与库房机房环境动力安全（1 1）建设目标建设目标1在中心机房和库房独立部署整体的机房动力和环境监控。主要包括精密空调（或家用空调） 、UPS 运行状态监控、温湿度、烟感和漏水监控、配电柜开关及市电监控。2对机房内运行的各应用系统平台的可用性、以及支撑应用系统运行的网络设备、服务器、数据库等的运行状态进行监控。3提供机房动力环境长期的监控报告，提供机房内各系统及设备长期运行状态分析报告。4当不利的动力和环境状况出现时，当网内内各系统及设备运行异常时能进行声音、监控屏幕弹出窗、手机短信、电子邮件远程报警等各种手段的预警，以及在发生故障时进行迅速的警告。5 5资产管理。可对设备的使用壮况如名称、型号、购买日期、质保时间、使用人（处室）等提供在线管理。（2 2）建设原则建设原则第 26 页1 1安全生产的原则：安全生产的原则：由于网络系统的重要性，各种技术方案、产品、客户化工作的实际实施必须经过充分的测试和验证，并需精心设计实施方案，以保证不会对用户现有网络的正常运行和业务系统的正常使用造成任何影响；同时，应充分考虑工程实施过程中的回退和应急方案，以保证在最短时间内恢复由于新系统的实施对网络造成的影响。2开放性原则：开放性原则：网络系统管理平台需要基于开放的管理平台，遵循业界标准，并提供开放、灵活的信息交互及管理接口，能提供开发接口，方便扩展管理功能，并且支持第三方厂商的应用集成，为产品的选型提供更高的灵活性。3可用性原则：可用性原则：网络系统管理平台的部署不需对原有的网络系统结构、安全策略等方面做较大修改和调整，对原有网络系统性能影响最小化，尽量少的占用网络资源、被监控服务器资源不得超过现有资源的百分之五，可定期自动清除“垃圾”文件和“垃圾”数据。4健壮性原则健壮性原则网络系统管理平台具有较强的免维护能力，能够长时间稳定运行，自身维护要求简单，具有快速恢复功能。第 27 页5扩展性原则：扩展性原则：网络系统管理平台具有较强的扩展性，能够在包括管理范围、管理功能、管理数量等方面提供灵活、多样的扩展能力。6展示形式多样性原则：展示形式多样性原则：网络系统管理平台能够对收集的数据进行分析处理，生成技术、运维管理等层面的相关报表、视图等，根据不同级别用户的实际需求，提供灵活、多样的展示形式，能提供中文界面。7可定制原则：可定制原则：提供灵活的部署方式，在客户化、管理策略、事件关联、报警方式、报表生成、信息展示、管理流程等方面可以按实际需求进行定制，并支持用户的二次开发。8成熟优先、适度超前原则：成熟优先、适度超前原则：系统整体设计应该统一规范，模块设计清晰合理，通信接口明确透明，能够有效地实现后台一体化管理。在此基础上，该网络管理系统应具有适度的先进性。（3 3）解决方案解决方案1 1监控系统简介监控系统简介“飞思网巡”是创新和领先的 IT 运维管理硬件产品。 “极简”的设计提供全网 IP 通信 线路，以及机房 IP 网络全面监控预警解决方案。内容包括 DDN 专线和 VPN 隧道等通信线路、 服务器的硬件和各种操作系统、数据库和应用系统、网络设备的运行状态和性能，IP 和应第 28 页用流量分析，机房动力环境等。 “飞思网巡”系统为方便的全 Web 方式配置和管理，以“简约”设计为核心，使用简 单，运行安全稳定。系统为旁路接入用户 IP 网络中。它不改变任何网络结构，带来新的单 点故障，对网络带来不利影响，对监控管理目标影响极低。 系统具有全面的监控管理功能，主要对用户的机房网络基础设施和 IT 系统带来全面的 监控、管理、预警和运维能力。2 2架构架构“飞思网巡”专用系统基于高效安全 Linux 内核，全 web 配置管理，运行更稳定可靠， 监控预警更快速准确。优化的核心程序，对网络带宽占用极低，同时对目标网络设备和服 务器性能影响极低。 系统主要由数据采集、数据储存和分析处理、B/S 可视化人机界面、报警等模块组成， 并提供多种扩展组件。第 29 页系统架构1 1 数据采集模块数据采集模块数据采集模块通过 SNMP、WMI、SYSLOG、IPMI、各种应用层协议 （ICMP、HTTP、FTP、TELNET、SMTP、POP3 等）及私有协议，对网络专线（DDN、VPN） 、网 络设备、服务器、各种应用和数据库系统、机房环境等进行各种数据采集，提交到数据储 存和分析模块处理。2 2 数据储存和分析模块数据储存和分析模块数据储存和分析处理模块对采集模块提交的的数据进行分析，确定监控目标的状态 （正常、一级和二级告警、错误等） ，向 B/S 可视化人机界面模块提交状态信息。同时，将 数据储存到数据库中，提供接口供人机界面模块进行历史数据查询。第 30 页3 3B/SB/S 可视化人机界面模块可视化人机界面模块B/S 可视化人机界面模块通过 web 对用户提供配置、管理和告警接口。用户通过 web 进行系统配置、监控目标配置，查看网络拓扑图和监控目标的状态，查询历史数据生成详 尽的性能曲线图、故障和告警历史记录，生成报表。 人机界面也提供完整的管理员操作日志查询、配置备份和恢复、系统手动和自动升级 等多种管理功能。4 4 预警模块预警模块预警模块通过人机界面的弹出窗口和声音进行声光预警，同时支持通过发送电子邮件 和手机短信等多种手段进行预警。5 5 扩展组件扩展组件系统提供流量分析、机房动力环境、设备日志储存管理等多种组件，根据需要可灵活 扩展。 流量分析组件通过 netflow/sflow/抓包分析等进行 IP 和应用流量统计、TOPN 列 表、故障诊断、带宽容量规划决策等高级功能。 机房动力环境组件结合动力和环境探测设备，可以实现对机房动力（市电） 、环境 参数（温度、湿度、烟雾、漏水）和 UPS、精密空调等智能设备的监控预警。 日志储存服务组件通过 SYSLOG 协议接收和储存被监控的网络设备、服务器的日志。 提供查询和管理，快速发现和定位存在的设备和服务器安全事件，设置指定关键 字日志监控预警等高级功能。第 31 页3 3建议方案建议方案1 1 机房方案图机房方案图中心机房和两小机房全面监控预警方案图在中心机房和两小机房各部署一台 “飞思网巡”硬件设备，以及相应的环境监控设备。 如上图所示。2 2 主要应用价值主要应用价值1.实现对机房的各应用系统，以及支撑业务系统运行的网络、服务器、数据库、 机房动力和环境等基础设施的安全性、可靠性、稳定性和性能表现进行深入 监控，以及能提前预知故障和排除故障，避免对中心业务带来影响。主要内第 32 页容为： a)机房动力环境：市电/UPS 等动力情况，温度/湿度/烟雾/漏水等环境参 数。 b)应用系统：业务系统/OA/ERP/WEB/邮件系统/中间件等可用性、响应时间 和运行状态。 c)网络设备：CPU/内存/Flash/端口状态和流量等。 d)服务器：机箱、CPU 温度/风扇转速/电源等硬件状态；CPU/内存/磁盘空 间/IO 读写/网口状态和流量/进程服务等操作系统性能状态。 e)数据库：表空间/响应速度等数据库性能指标。 f)链路：上网专线/到异地 DDN 和 VPN/互联链路的通断/丢包率/延时和流 量等。 g)流量分析：通过 netflow/sflow/抓包分析等进行 IP 和应用流量统计、 TOPN 列表、故障诊断、带宽容量规划决策。 h)SYSLOG 收集分析：集中管理网络设备/服务器等的日志信息，快速发现 和定位存在的设备和服务器安全事件。 i)预警和管理：设置两级阀值，弹出窗口/电子邮件/短信预警，实现运维 流程管理。 2.不断提升网络管理人员的工作效率，与服务器中心的整体发展要求相适应。 3.通过监控系统对服务器定时关闭开启的能力，打造节能绿色机房。3 3 方案特点方案特点“飞思网巡”硬件平台，是创新和领先的硬件产品，具有鲜明的特点，主要为： 1.硬件产品，旁路接入，全 web 管理，简单易用。 2.基于 linux 定制的专业操作系统，集成数据库，降低成本，不会感染病毒， 长时间不间断运行，高效安全。 3.创新的“云技术”应用，实现可靠的分布式部署，集中监控。 4.优化的数据采集程序设计，对带宽占用低、目标网络设备、服务器等性能占 用接近零。 5.对服务器定时关闭开启的能力，打造节能绿色机房。 6.加强的预警机制，多级阀值设定，电子邮件和短信通知准确迅速。 7.模块化设计，定制支持能力更强。4 4产品选型产品选型本项目建议选用专用硬件平台，通过跟高效和安全的 Linux 操作系统、模块化设计的 软件进行优化整合，形成的一体化产品具有更高的稳定性、性能，并且易于部署和维护。第 33 页中心机房（一套）中心机房（一套）设备需求设备需求品牌品牌参数参数生产地生产地”IT 运维管理 与机环动环监 控系统飞思·全 web 配置管理，可视化图形界面，自定义首页， 曲线图循环播放展示。 ·IP 和网段自动扫描，自动分类，自动形成树形结构。·手机短信、电子邮件、弹出窗口等多种种报警方式， 支持多级阀值设定。 ·对 DDN 和 VPN 等链路的可用性、质量进行监控。 ·对主流网络厂家的网络设备进行监控，包括 ping 存 活探测，cpu、内存、存储器空间、接口流量等运行状 态。对 F5 负载均衡设备业务性能提供深入支持。 ·主流服务器厂商的服务器（支持 IPMI 协议）的硬件 状态进行监控，包括服务器内部环境温度、主板温度、 CPU 温度、CPU 风扇转速、电源状态、电源电压、CPU 电压、CMOS 电池容量等。并且可实现远程开关机等管 理功能。 ·对 Windows、Linux、AIX、HP-UX、Vmware ESX(i) /vSphere 等操作系统的服务器的 ping 存活、系统资 源（cpu、内存和磁盘空间） 、接口流量、进程等进行 监控。 ·支持对 HTTP、HTTPS、FTP、Telnet、FTP、ICMP、IMAP、Pop3 、SMTP 和任意 TCP 端口上的应用服务进行监控。 ·对广泛应用的 IIS、Apache、Nginx，以及 Tomcat、Weblogic、WebSphere 中间件等服务的详细 运行状态和性能参数进行监控。 ·对 Oracle、Mysql、SqlServer、DB2 等主流数据库 进行表空间利用率、数据文件的每秒 I/O 操作、已连 接的用户数等众多参数进行监控。 ·对机房温湿度、漏水、烟雾等环境参数，以及市电 和 UPS 等动力状况进行监控（需要额外的附加探头支 持） 。 ·支持历史性能曲线、故障和通知历史记录、管理员 操作历史记录和报表功能，支持导出 excel 格式的报 表。 ·支持基于角色定义的分级权限管理 ·支持自动网段扫描和智能向导配置，以及网络拓扑 图功能，支持导入机房真实图片及拓扑图。 ·支持 PING、Traceroute、CheckTCP、SNMPWALK、Ipmitool 等诊断工具。 ·支持远程协助，提供在线帮助系统。北京第 34 页本次配置 30 个监控网元，3 套温湿一体型传感器，1 路缆式水浸传感，2 个烟雾传感器，1 套三相智能电量 检测仪，1 个开关量采集器，1 路智能设备监控主机 （精密空调，1 路智能设备监控主机（UPS） ，1 个 GSM 短信猫详细描述如下：详细描述如下：监控系统主设备监控系统主设备“飞思网巡”IT 运维管理 设备1000 型 （需支持 监控 30IP）Web 方式配置管理，采集网 络、服务器、数据库、机房 动力和环境等基础设施等各 种数据，分析数据，提供历 史记录和报表，发送电子邮 件、手机短信等报警信息。1安装在机柜中。通过网线接入交 换机。网络型动力环境监控设备网络型动力环境监控设备APEM6300 环境监控主机可总线式接入最多 8 路 TH3101（数字温湿一体型传 感器。如需接入超过 8 路， 可定制） 。带 3 路开关量输 入，可接入共 3 路漏水和烟 雾监控。带 1 路 485 接口。 带液晶显示。1APEM6300 安装在机房入口处，并 将 TH3101 安装在需监测温湿度 的地方。如墙壁和机柜位置。 APEM6300 通过网线接入交换机。TH3101 数字温湿一体型传 感器数字温湿一体型传感器3APEM6300 带 3 个 TH3101。5803 缆式水浸传感器区域漏水检测。含控制器， 引出线， （5 米）感应线，