《XX省财政IT运维项目建议书.doc》由会员分享,可在线阅读,更多相关《XX省财政IT运维项目建议书.doc(51页珍藏版)》请在三一办公上搜索。
1、XX全省财政IT运维一体化解决方案技术建议书20115北京XX政务软件有限公司目 录1项目背景52需求分析62.1信息化建设现状62.2存在的主要问题63项目建设目标83.1项目必要性83.2项目目标83.3项目价值分析93.3.1面向领导决策者103.3.2面向维护管理者103.4项目建设原则114项目建设规模及功能134.1项目范围134.2整体技术方案134.2.1监控数据统一展现144.2.2告警事件处理154.2.3数据统计分析164.2.4与服务流程管理系统的接口164.3系统架构175项目建设方案205.1一期建设205.1.1桌面终端入网规范系统205.1.2桌面终端管理系统2
2、35.2二期建设305.2.1网络监控315.2.2主机监控335.2.3数据库监控345.2.4中间件监控365.2.5存储监控385.2.6应用监控385.2.7数据库审计405.3三期建设415.3.1服务台425.3.2事件管理425.3.3问题管理435.3.4变更管理445.3.5发布管理445.3.6资产与配置管理455.3.7知识管理465.3.8外包管理465.3.9项目管理475.3.10公告管理476项目投资概算496.1一期项目预算496.2二期项目预算506.3三期项目预算527项目经济效益和社会效益547.1项目经济效益547.2项目社会效益541 需求分析1.1
3、信息化建设现状目前XX全省财政厅、地市及所有区县信息化建设正在有序进行,财政一体化平台正在建设实施,省厅、9个地市及100多个区县的财政一体化平台服务器,业务系统等全部部署在省厅信息中心机房,系统庞大,设备众多,整个运维工作还处于手工处理阶段,难以有效保证整个IT技术架构及相关业务系统的正常、稳定运行。1.2 存在的主要问题按照ITIL的服务理念和服务水平的成熟度要求,XX全省财政厅、地市及所有区县信息中心(以下简称信息中心)在信息技术的管理标准、服务流程和服务质量上还有待改善,目前的IT服务管理水准与实现信息技术资源共享、信息技术专业服务的要求相比较,还有一定差距。主要表现在:桌面终端数量众
4、多,全省财政系统及预算单位几万台桌面终端维护工作(如打补丁、分发软件、操作系统问题、病毒传播等)等维护工作量巨大,终端系统软、硬件配置台帐不清;终端行为无法把握;外设无法控制;终端接入无法管理;终端安全无法保证,大量业务终端的问题往往导致了财政一体化大平台和其他业务系统无法正常使用。缺乏统一的集中监控与管理平台,对主机服务器、业务系统、存储系统、网络系统、安全等系统组成的复杂环境,当应用系统运行异常时难以快速判断和定位系统故障。缺乏统一的规范的有效的IT服务管理流程以及与其配套的管理制度,支持IT系统的运行维护和对外包公司的有效管理。对于日常故障和服务请求的处理,重大故障的处理,以及系统变更等
5、运行维护工作,很难监督处理过程,改善处理效果,提高处理效率。对整个IT基础设施和服务的配置信息(包括硬件,软件,文档,合同,过程,人员等)缺乏全面有效的管理,跟踪和控制,不能为日常运行维护提供准确的信息。对事件和问题的管理比较被动,缺乏服务的前瞻性,不能形成从监控系统发现事件和问题到IT服务管理平台处理事件和问题的闭环工作流。存在的主要问题如下: 没有一体化的监控工具,监控方式过于分散,不利于故障的准确定位 关键配置信息登记不完善,系统配置散乱,缺乏统一的管理 IT资源管理混乱 运维管理、故障处理效率低下 类似问题屡屡发生 知识分散、对运维人员技术要求越来越高 升级变更后引起业务不稳定 工作考
6、核无法量化 缺乏以客户为中心的运维模式 2 项目建设目标2.1 项目必要性随着信息技术的飞速发展,XX全省财政厅、地市及所有区县的业务模式也发生了巨大变化,信息技术在业务中起着越来越重要的作用,越来越多的业务流程依赖IT技术,如何从技术和业务的双重视角对其进行有效管理,保障业务处理平台高效、安全、正常的运行,为用户日常办公、业务处理提供有力支撑成了众多运维人员常态工作。由于业务快速变化、用户环境日益复杂、IT应用日益繁多等因素导致了IT服务与实际业务需求脱钩,IT服务与业务部门的实际要求出现鸿沟。如何消除鸿沟、实现IT与业务的真正融合,成为众多IT运维人员的最终目标。目标的实现有赖于对IT服务
7、进行良好的管理,由此催生了建设面向“IT服务”的运维服务管理一体化平台的需求,运维服务管理一体化平台立足于服务,建立以客户为中心,以流程为导向,从业务角度出发的全新的IT管理模式,通过整合IT 服务与业务,提高了组织提供IT服务的能力,是真正实现这种服务管理的有效途径,能帮助用户最终实现IT与业务的融合。2.2 项目目标本项目的建设目标为:搭建XX全省财政厅、地市及所有区县IT运维监控管理一体化平台,在实现对桌面终端、网络、网络设备、服务器、数据库、中间件、应用系统、机房环境等内容的集中监控和管理以及业务核心数据的实时展示,从而实现运行维护队伍建设、运行维护技术平台建设、运行维护制度建设和运行
8、维护流程建设四个方面的内容。完成对信息系统运行状态的全面监控和运行问题的及时处理,支持应用系统的安全、稳定、高效、持续运行。为建设运维为辅助的规范化、标准化、制度化的集中管理的运行维护体系打下坚实的基础。IT运维监控管理一体化平台具体的建设目标如下:为保障XX省财政大平台的顺利上线及后期的正常使用,实现对成千上万台的业务终端PC的双实名制准入控制、保证接入终端的合法性,具备对通过准入控制接入的电脑终端进行健康体检,对操作系统和病毒库补丁一键修复功能,桌面终端的软硬件资产管理,移动存储介质管理,补丁分发、标准化管理,网络异常、端口、网站访问控制,非法外联管理,远程维护和行为审计。改进手段,实现主
9、动监控、集中管理。以应用性能监控为核心,构建统一集成的系统资源监控系统,解决目前被动监控、被动服务的局面,实现对财政内网、网络设备、主机服务器、业务应用系统、机房环境等各类资源的主动监控、及时更新,为中心信息化建设和运行提供保障。实施故障预警,实现系统风险前移。对IT信息环境及各项业务系统尤其是重要业务系统的运行情况进行监控,根据实践建立灵活的事件管理机制,建立集中的告警分析处理和故障预警机制,使监控系统成为强有力的助手,能够在故障产生时进行快速定位,作到事前防范,动态掌握IT资源,提高利用效率。通过IT运维监控管理系统建设,实时了解掌握IT资源的使用情况,根据需要从整体角度考虑资源的配置、调
10、剂和使用,提高资源的有效利用率。促进维护工作高效展开。推动运维工作流程规范化,提升工作效率。建立知识共享机制和主动查询、关联,为系统管理人员开展运维工作提供便利。适应管理特点,提供多层次展示。根据科技运维管理的需要,根据领导层、管理者、技术员等各个角色的工作侧重点,定制不同的展示界面。2.3 项目价值分析项目的最终价值是将XX全省财政厅、地市及所有区县IT运维管理服务从分散、无序、被动、粗放、事后被动处理的服务型转化为集中、有序、主动、精细、事前预警、以业务为中心的运营型。保障IT基础架构稳定可靠运行,降低系统和业务应用宕机风险,提高运维支持和服务管理效率,优化运维流程、建立绩效体系,控制运维
11、成本、改进决策过程,其具体价值体现在以下两方面:2.3.1 面向领导决策者 全面了解IT运行维护情况(连通率、可用性、各类报表、故障分析) 资产配置管理、理清资产台账 梳理固化流程、建立运维规范、全面了解下属工作情况、持续提升运维管理水平 外包管理(外包流程、合同、过程监控) 辅助领导决策、降低成本2.3.2 面向维护管理者 全面监控IT基础架构运行、事前预警、确保网络不断、系统不瘫、数据不丢 帮助快速定位问题,优化问题处理流程、提高支持效率、摆脱救火队员角色 绩效及工作量统计分析、总结汇报有数据依据 实现运维知识的积累、沉淀和共享,降低IT运维管理对个人的依赖 各类性能及趋势报表,为优化IT
12、环境提供科学依据2.4 项目建设原则l 实用性和适用性原则实用性是衡量软件质量体系中最重要的指标,系统的设计从最开始就以适应于多种运行环境为前提,而且还具有应变能力,以适应未来变化的环境和需求。l 先进性与发展性原则采用最先进的计算机软件技术、现代通讯技术、多媒体展示等电子技术,保证系统的先进性和发展性。l 标准化与开放性原则系统的开发和技术符合开放性和标准化,数据规范、指标代码体系、接口标准均遵循国家和行业规范要求;系统能将建设成果以标准化文档的方式提交。l 安全与保密原则信息系统建设方案具有高可靠性,并对使用信息进行严格的权限管理。在技术上,采用严格的安全与保密措施,确保系统的可靠性、保密
13、性和数据的一致性。在设计与软件开发中均采用安全保密措施。在应用规划上,通过建立统一的用户权限管理系统,以统一的规划保证系统安全的压力和强度。l 易用性原则系统具有统一界面操作风格、完善的在线帮助、完善的录入控制、人性化操作设计,其中大部分的操作可以通过直接操作即可掌握。l 灵活性原则系统具有良好的伸缩性,能够运用于复杂或简单的需求情况下。提供标准灵活的数据接口,便于和其他系统进行数据交互。3 项目建设规模及功能3.1 项目范围采用先进IT监测技术对XX全省财政厅、地市及所有区县的桌面终端、服务器、业务系统、网络、机房等IT基础架构的集中监控管理,并在此基础上构建一个平台化、智能化、高可靠性的I
14、T运维管理与服务一体化平台,进行集中展现、集中告警处理、服务流程及资产管理、知识库、外包管理等内容。系统具有对于桌面终端、网络、安全设备、主机、存储设备、数据库、中间件、应用系统以及机房环境等的集中监测、性能采集及报警功能,建立XX全省财政厅、地市及所有区县IT运维服务管理流程、工作规范和各种规章制度,将技术、人员和流程有机地结合起来,提升整个信息部门的IT管理水平。3.2 整体技术方案IT运维管理一体化平台应立足于提升XX全省财政厅、地市及所有区县的IT服务质量,融合了ITIL的事件管理、问题管理及变更与发布管理等核心IT服务管理流程,并集成了桌面管理及准入网络监控、系统及服务监控、数据库审
15、计等管理数据和展现页面而形成的面向运维服务、集中监控和统一展现的综合IT服务管理平台。产品依托监控平台极强的视觉感知效果的展现界面,以业务服务管理为中心,将配置表单、工作流定义、集中监控、深度业务关联模型、配置信息同步等功能立体化地呈现给使用者,以期达到提高用户日常IT运维的规范化、流程化及自动化,量化运行质量和服务水平,提高IT系统运行效率,保障业务服务运行无忧的目标。系统将按照高起点、高标准、高质量的要求,建立以服务流程为驱动的运维管理一体化平台,实现人员、流程、工具三方面的完美结合,能够在帮助用户深耕基础架构、夯实基础之后,与用户一起建立遵循先进流程管理思想的ITIL理论,实现以服务流程
16、驱动为导向的实用的“人管流程”。为用户带来“IT管理理念+系统工具+过程方法”的全新的IT服务管理组合,为用户提供包括管理流程与规范、业务及实施方法在内的全方位IT服务管理体系建设。3.2.1 监控数据统一展现提供层级化,从全局到局部的综合的IT运维监控视图,包含网络、服务器、数据库、应用系统、业务应用等要素在内的全方位监控。以多种角度定制监控视图,在监控展现视图中,事件信息、性能信息、资产信息,统一展现在监控视图,在问题排错的过程中结合事件本身提供最大的信息,便于分析问题,解决问题。综合监控视图展现包括物理拓扑和逻辑拓扑等。按照不同级别的用户权限分层次地呈现所有被管理资源的拓扑结构。系统具有
17、灵活的浏览、监视和编辑的功能,同时在性能、告警、配置等方面动态反映资源环境的变化。在拓扑节点上可以查看相应资源详细配置信息。系统支持以下监控视图: 网络拓扑图:以地理视图、层次图等方式显示物理、逻辑网络拓扑结构; 应用拓扑视图:呈现从用户、应用系统到IT基础设施间的依赖关系; 机房平面图:提供机房内设备物理摆放位置的视图; 机架视图:提供设备在机架上物理摆放位置的视图; 设备面板图:对被管理的设备应以与设备同样的物理构成直观进行显示; 安全设备视图:支持查看所管理的安全设备、设备之间的关系以及安全设备的状态。综合监控视图具有以下功能: 可以根据不同级别的用户需要切换到不同的监控视图。 能灵活定
18、义设备间和关键应用模块间及其内部的逻辑依赖关系。 可以根据节点间的依赖关系,由上至下迅速定位影响应用正常运行的故障根源。 可以根据节点间的依赖关系,由下至上迅速了解节点故障对应用的影响程度。 通过拓扑节点可以查看与节点相关的配置、性能、故障等信息。 能够通过颜色变化或其他方式直观反映监控对象的健康状况。 性能数据展现,可以查看设备、线路重要的性能参数和数据。 资产信息展现,可以查看和设备、线路相关的资产信息及相关记录信息。3.2.2 告警事件处理整个系统以告警事件为核心,将IT资源监控管理系统与流程管理系统有机的整合在一起。对各项IT资源监控可能产生的事件信息,进入事件管理模块进行统一分析处理
19、;同时有选择的把事件自动转为工单送入服务流程系统。统一事件管理通过统一数据接口收集各类基础监控子系统的事件,通过统一的数据分析、加工、归并,汇聚到数据网络运维管理平台数据库中;对收集到的大量事件信息,通过基于动态规则脚本的事件分析引擎,对事件进行标准化、事件过滤和压缩,定位到真正的告警原因。管理员能够通过定义告警过滤条件和通知规则,订阅自己关心的告警信息。当告警发生时,自动以某种方式(如短信、邮件、声光等)发送到相关人员。提供故障排除的专家知识建议,能够不断积累管理员的实践经验,可以将故障分析信息和相关的解决方案进行记录。3.2.3 数据统计分析提供各种运行分析和性能报告,监控管理人员能根据这
20、些报告准确评估整个IT环境运行情况,及早发现故障隐患和评估威胁。可以实现标准报表的生成、查询功能,显示每天的运行情况一览表和各个系统的运行情况信息,对各种网络系统、主机/存贮设备、应用系统等各种指标进行日周月年等多种时段的统计分析,提供多种趋势、比较、排名、分布、连通率、主页及关键业务存活率等报表。同时,还能够通过用户的二次开发直接访问、查询数据库中的数据,自定义报表;提供图形方式(包括曲线图、直方图和饼图等)的呈现。可方便定制报表,报表可以定期自动生成,并可以产生html、pdf和excel等文件格式。支持运维考核指标的自定义与自动生成。3.2.4 与服务流程管理系统的接口1、 事件接口与服
21、务流程管理之间为双向接口,从功能角度可以分为以下几类:(1)创建工单:监控管理系统根据预先所定义的匹配规则,过滤出需要派发到服务管理系统的告警,然后自动地将告警信息传送到服务管理系统。运维值班人员根据告警信息创建工单。(2)工单反向确认告警:当工单确认受理时,服务管理系统通过监控管理系统提供的接口进行反向操作,确认该工单对应的告警。(3)关闭工单:当监控管理系统的告警自动恢复时,将自动触发已经生成还未受理的工单自动关闭。(4)工单反向清除告警:当服务管理系统中工单完成处理关闭的同时,服务管理系统需要通过监控管理系统提供的接口反向对监控管理系统进行操作,清除该工单对应的告警。2、 配置接口实现配
22、置数据的同步,监控对象的状态信息和CMDB自动更新、同步,对各类IT资源基本配置信息的采集能够自动导入CMDB中,以确保配置管理数据库中的数据与实际生产环境一致。设备和线路的事件状态自动生成匹配过滤条件,实现监控和CMDB的整合。3.3 系统架构IT运维监控管理一体化平台是一个层次化的架构,系统架构总体划分成采集监测层、功能层、管理层。不同层次有不同层次的管理目标,系统架构设计必须要遵循“松耦合度”原则,采用系统软件总线、SOA开发设计模式,以确保各功能模块的灵活性,适应个性化的需求以及未来的发展建设需求。IT运维监控管理系统架构系统核心技术如下:1. 基于J2EE平台,B/S结构、MVC设计
23、模式,面向SOA的体系架构,提供了面向服务的扩展接口。2. IT服务管理和WEB2.0技术的融合,国内第一个面向WEB2.0的IT服务管理一体化平台。3. 采用Portal技术来融合业务、技术和服务管理,提供管理个性化。4. 通过Mashup技术提供了与第三方WEB系统的有效整合。5. 提供单点登录SSO的支持。6. 提供基于flex展现方式的灵动视图编辑器,提供强大的动态业务定义能力,随需配置业务模块,具有自定义业务数据、业务规则、业务流程、表单和查询器的能力。内置的及动态表单设计器和流程设计工作流引擎,提供了流程和界面的客户化模版和自定义能力。7. 强大的动态配置管理库能力,依托Oracl
24、e数据库,具备继承、组合、关联、约束、版本管理等能力。4 项目建设方案4.1 一期建设一期建设解决XX全省财政厅、地市及所有区县及预算单位、其它接入单位约30000台业务终端的网络安全管理规范、解决接入网络的用户及设备实名制问题、快速定位存在安全隐患的设备及违规的用户;对违规设备做强制性的修复;快速安全地修复操作系统漏洞;内网不同角色进行分区域访问控制;用户或设备入网、安检等事件做到有据可查。实现对桌面终端的准入控制、接入规范检查、访问权限控制、桌面资产统一管理、USB、光驱等外设管理控制、远程维护、终端用户行为审计、补丁管理软件分发、外设管理和非法外联、桌面安全策略的强制执行、桌面系统的标准
25、化管理等。4.1.1 桌面终端入网规范系统桌面终端入网规范系统是一套基于最先进的第三代准入控制技术的纯硬件网络准入控制设备,秉承“不改变网络、不装客户端”的特性,为您解决网络的合规性要求,达到“违规不入网、入网必合规”的管理规范,支持包括身份认证、友好WEB重定向引导、基于角色的动态授权访问控制、可配置的安全检查规范库、“一键式”智能修复、实名日志审计等功能,满足等级保护对网络边界、终端防护的相应要求,同时提供更高效的、智能式的网络准入防护功能。 访问域的控制系统可以定义各种身份认证角色,每个角色中可以定义不同的安全检查参数(如:操作系统补丁、病毒软件及病毒库、guest账户、系统共享资源、系
26、统进程服务检查、屏幕保护设置、弱口令账户检查、系统时间、IP和MAC绑定、P2P软件安装、域用户、必须安装的软件、磁盘使用检查、网络端口检查、禁止安装软件检查、计算机名检查、垃圾文件检查、违规外联检查等),配置不同的安全检查规范;同时可以定义在安全检查通过之后可以访问域,安全检查不通过时可以访问的修复服务器域等;比如可以定义外部人员就算是安全检查通过也只能访问互联网(或内网特定服务器),不能访问内网其他资源;或者可以定义一定要经过身份认证者才可以接入到内网中。 用户角色划分可以按照需求将两种用户划分为不同角色。每种角色执行不同的安全和访问控制策略。 访问自动重定向新入网用户在访问网络时会被自动
27、重定向到ASM设备的安检页面,终端用户可按照身份类型选择不同的用户角色进行登录,目前主要分为员工和来宾两种角色。根据用户选择角色类型的不同,ASM会自动执行相关的验证、安检、以及修复等操作。 双实名制,保障人员与设备的双重合法性ASM入网规范管理系统在提供多样式的身份认证保障接入网络人员合法性的同时,也提供了对接入网络终端设备合法性的保障,从而加强内部网络的可控性,方便管理员对网络的统一管理。 身份认证方式身份认证可以有效的杜绝非授权用户的非法接入,ASM目前支持对来宾和员工用户的身份两种角色用户的认证,且ASM支持多种身份认证系统(如Email、AD、LDAP、UKey等),可以有效的利用已
28、有的用户名/密码系统进行身份的验证识别。 安全隐患检查及修复功能身份认证通过以后的用户终端,会根据相应的安全策略进行安全扫描,ASM目前支持多达20余种安全检查项,可有效发现终端存在的各种安全隐患问题。 接入设备的安全性检查对于入网终端提供了细致化的安全状态检测,包括各种防病毒软件版本、终端补丁漏洞、应用软件黑、白、红名单检测、非法外联、非法代理、异常流量、敏感操作行为检测等;优化的补丁检测技术,能在7秒内检测出终端补丁状况;支持市面上主流的防病毒软件,如:瑞星、江民、金山毒霸、McAfee、Norton、趋势、NOD32、卡巴斯基、F-Secure等;还支持基于资产、注册表项、桌面属性、本地
29、安全策略、系统设置项、外设管理等非常细致化的检测项,为客户提供了更好的实用效果。与当前国内外10多种杀毒软件联动,如:微软MSE、Symantec、瑞星、McAfee等防病毒软件联动工作,不仅能检测防病毒软件的运行状况,还可以将杀毒软件版本、病毒库等做为检查项,强制用户必须安装指定的杀毒软件以及病毒定义必须最新。安全状态显示及修复安检结果将在web页面以评分和检查项的方式显示给用户,检查后不符合要求(如防病毒软件未装,必须安装的软件未安装等)的用户将被禁止访问核心服务器,只有通过web界面中的提示信息进行一键式智能修复或引导至修复区进行修复后重新进行安检,才能最终获得正常的访问权限,针对终端存
30、在的各种安全问题,ASM 还可进行人性化的修复工作。实现内网终端安全的“诊治”一条龙工作。 严禁私接NAT转换的路由设备在管理网络内的任何一上网络信息节点上,如果员工私自把网络信息节点接到一个具有NAT转换的路由设备,比如无线路由,那么如何发现此类设备,并且严格禁止使用此类设备。 严格使用管理员分配的IP参数在网络中IP代表一台设备的地址,在一个网络中希望使用固定的IP来代表终端的地址与身份,但是如何来控制终端一定使用管理员分配的IP地址呢?如果他们使用了别人的IP地址,那么终端接入网络的时候就会受到隔离控制。4.1.2 桌面终端管理系统桌面终端管理系统,由资产安全、应用安全、补丁安全、远程维
31、护、安全检查及加固、外联安全、移动介质管理、网络安全、行为审计共9个模块组成。系统通过Web方式对整个系统进行应用策略配置、下发,管理网络和查询报警数据,客户端接收到策略后自动执行并上报相关信息,方便管理员操作,不影响用户日常办公;支持基于局域网、广域网的国家、省、市、县多级级联管理模式;真正做到对内部网络的完全管理,强化网络管理员对计算机终端的控制。4.1.2.1 信息资产管理具有强大的资产管理功能,能够自动监测和管理终端计算机的各种软硬件资产信息: 硬件资产能自动监测终端计算机的运行状态,系统记录各计算机的CPU型号及主频、内存型号及大小、硬盘型号及大小、设备标识、主板信息、IP地址、计算
32、机名、MAC地址、网卡型号和生产商、 软件资产能够自动收集应用程序信息,包括操作系统和应用软件种类、版本号以及安装时间、计算机所在域、物理位置等信息。 资产管理能够将用户信息(单位、部门等)和计算机信息(资产编号、IP等)进行对应,能够手工添加硬件的描述信息,能从采购时输入一直到接入网络、日常维修、一直到报废的信息描述。建立电子档案,形成“人机绑定,责任到人”的户籍式管理体系。4.1.2.2 远程管理系统管理员通过远程管理能够对网内终端计算机远程管理进程、共享文件夹、远程的重启、注销、锁定、解锁、关闭甚至卸载终端等操作,实现足不出办公室的办公模式,有效提高运维效率。系统同时提供了远程截屏的功能
33、。 远程维护系统远程维护功能对计算机进行远程查看和远程控制,配合消息交换功能,可以很好的让IT管理员进行远程故障的诊断和排除,很好的提高工作效率。系统远程管理功能支持客户端确认过程,没有用户的确认无法实现远程接管终端,终端远程服务也只是在需要的时候开启,使用动态密码保证远程服务的安全性。该方法很好的兼顾了终端系统用户的数据安全和隐私,确保终端计算机的安全性。 远程设置系统管理员通过终端运维管理能够对终端机的网络属性进行设置,比如设定网络参数、修改计算机名称、工作组名称等。系统管理员还能通过终端管理对网络内终端机算计的IP地址/MAC地址的绑定,禁止用户私自更改IP地址。对私自更改IP地址的用户
34、,可自动进行 “自动恢复原IP地址、锁定计算机、隔离网络、自动关机”等处理 远程消息系统提供远程消息功能,支持对在线、不在线的计算机按照分组、单机的方式发送消息。在线的计算机能实时收到管理员发出的消息,不在线的计算机在系统上线后能够马上收到管理员发出的消息。通过系统远程消息功能,管理员能够将通知、终端异常告警、友好提示等信息方便的传达给终端用户。4.1.2.3 软件分发管理能够支持可执行程序、MSI安装包或文档数据文件自动下发与安装;能够支持指定组范围、指定时间进行安装、能够指定客户端安装目录;并且支持其他程序、脚本的分发安装,提供打包工具,能够判断检测指定程序是否在运行,如果运行则提示系统需
35、要升级提供一个提示对话框如果按确认则将指定程序退出开始安装,如果选择取消则不安装,如果未运行则马上开始安装。能够提供带参数运行程序包;能够指定执行安装之后是否重启、关闭机器;能够查询软件分发的详情与历史情况。同时能够支持后台运行功能,根据脚本后台安装的参数进行设置,通过脚本定义的参数让脚本或可执行程序在后台运行。4.1.2.4 策略管理管理员通过制定策略模版,强制实现被管终端安全策略的统一配置。策略模版是一组策略的集合,每个策略模版可以应用到一个部门(群组),并且默认的适用于该部门的所有下级部门。系统根据设定的安全策略,能够对终端计算机安全进行有效评估,并对终端进行加固。同时对终端策略后若出现
36、违反策略的操作会分别生成相应的告警和日志,帮助管理员及时发现与事后追踪。主要的策略管理列表如下:(1) 外设管理:对终端计算机的外设进行统一管理,启用或禁用光驱、软驱、USB全部接口、打印机、调制解调器、1394控制器、红外设备、无线网卡等。当禁用USB存储设备时,像USB打印机、USB-Key可以照常使用。外设管理策略在安全模式下同样生效;(2) 黑白程序管理:能够按全天或指定的时间对指定的程序进行禁止,或者采取反选,对指定的程序外的程序进行禁止;能够防止客户端通过修改文件名和目录的方式运行非法程序。(3) 违规外联监控:当部署了违规外联策略的客户机或者群组在终端设备通过model、红外设备
37、、无线设备或蓝牙设备等等方式违规接入Internet等行为,立即告警,系统会记录外联时间与目标地址,操作用户等等信息,同时会提供报警及数据查询等功能。当有违规外联现象发生时处理操作,可以提示、断线、报警等操作。(4) 移动存储设备使用监控与管理:USB设备策略能够对所有安装客户端主机的USB移动存储设备进行统一的管理,启用或禁用USB接口。需要指出的是,该策略在对USB接口进行管理时只对USB硬盘和U盘等存储接口进行管理,不会限制USB键盘和鼠标的使用。通过这样的手段来防止非法拷贝重要的数据。并且能够对拷贝的文件名进行审计。(5) 黑白网站管理:能够对用户访问的url地址进行监控,并且能够按全
38、天或指定的时间对指定的网站、域名进行禁止,或者采取反选,对指定的网站域名外的网站进行禁止;对用户访问的url地址能够进行审计,帮助管理员进行事后查证。(6) 流量控制策略:提供对客户端计算机的流量审计与控制策略,通过控制策略,对终端用户的流量进行监控,可以限定客户端流入、流出、总流量大小及连接数、icmp包数量等进行监测。当流量或连接数或包数超过预定的阀值时能够告警、断网、提示等操作。系统同时能够通过插件方式生成拓扑图,实现对终端流量的监控展现。(7) 文档监测审计:客户端用户登录事件、关机事件、打开窗口事件、操作文档事件等等一系列的操作事件日志都提供记录与查询。并且能够进行告警或上报服务器,
39、方便日后审计。(8) 终端病毒防范:系统提供对arp等病毒的防范,同时在出现安全问题时能够及时地发现并且根据策略远程阻断隔离。并且系统还提供与主流杀毒软件的联动,能够及时查看到客户端是否安装了杀毒软件、杀毒软件是否启动。若存在问题可以提示用户进行操作。(9) IP/MAC地址绑定:实现IP地址/MAC地址的绑定,禁止用户私自更改IP地址。对私自更改IP地址的用户,可自动进行 “自动恢复原IP地址、锁定计算机、隔离网络、自动关机”等处理。同时在有客户私自修改ip后会进行上报,管理员也可以进行事后的查看。(10) 非法设备接入监测及拦截:提供了安全接入控制功能,通过采用安全接入控制功能可以保证一些
40、非法的或者外联的新机器无法接入到内部网络或者只有在经过信息安全管理人员的许可之后,才可以访问内网的内部网络资源,降低外来非法机器导致的内网信息安全风险。总结需求重要一点:所有经过身份认证的MAC地址并且安装了客户端软件的机器可以接入网络,其他机器一律不能接到网络中来,在第一时间阻止该非法设备接入网络。(11) 审核策略:自动记录终端系统相关的安全日志和告警,并统一记录到服务器上,便于日后系统管理员跟踪审计。 (12) 用户登入策略:禁止用户不输入用户名、密码就登录终端系统。在密码到期前提示用户更改密码。不显示上次使用的用户名。(13) 清除残余信息:在用户注销或开机时,自动清除IE上网的历史记
41、录、Office临时文件、回收站、Cookie等临时文件。4.1.2.5 终端控制桌面管理系统终端操作为管理员提供了远程对网内终端计算机的锁定、解锁、注销、重启、关闭、卸载等功能。方便管理员对有问题的客户机进行限制访问、隔离网络的操作,能够有效防止有问题的机器成为病毒攻击目标,也能防止有问题的机器主动成为病毒传播的源头。 锁定:锁定某机器后,该机器当前操作用户将无法继续操作 解锁:对锁定机器解锁,该机器当前用户将恢复正常操作 注销;对计算机执行注销操作 重启:对计算机执行重启操作 关闭:对计算机执行关闭操作 卸载:对指定客户端执行卸载操作,卸载后,该计算机所有数据将会被清除,且该机器不再接受系
42、统管理,只有机器上重新安装客户端之后,该机器将重新加入管理。4.1.2.6 告警管理 告警定制系统支持多种告警方式,比如声音、闪烁、email、短信等。告警分为多个级别,从轻到重依次分为:警告、告警、自动恢复、隔离网络四个级别。管理员可以根据自身的情况,采用一种或多种告警方式。对于各类监控事件,可以根据重要程度不同,设置不同的告警级别,即不会造成海量的告警信息,又不会漏报。对于重大异常事件,系统支持自动恢复、隔离网络两种选项,可以在事件发生的第一时间,做出处理,避免事态的进一步扩大,影响整个网络的安全。 告警查询对收集到的各种告警信息进行查看、定位、分析,找出事件潜在的危害,生成日志分析报告,
43、供管理员参考。同时,提供多种查询条件,提供对告警信息进行搜索、分类和排序的能力。对于管理员已经查看过的信息,可以将告警信息设置为已阅读状态,避免已阅读的告警信息反复出现。4.1.2.7 报表管理系统提供对客户软硬件资产的查询功能,并且可以自定义字段,提供报表及打印功能报表查询中提供部门信息、硬件信息,根据不同的信息生成不同的报表。4.2 二期建设二期建设完成XX全省财政厅、地市及所有区县网络、网络设备、主机服务器、存储设备、数据库、中间件、应用系统、机房环境的集中监控和统一展现、分析,监视并记录对数据库服务器的各类操作行为及返回信息,有效地弥补现有应用业务系统在数据库安全使用上的不足,为数据库
44、系统的安全运行提供了有力保障。通过统一的管理系统对管辖内被监控对象的运行状况和系统性能进行实时的监控,将IT资产与业务应用相关联,并以图形化的方式直观地、层级化地展现出基础架构的IT资源故障对业务系统的影响程度。对于系统运行的异常表现及时报警,提供故障自动修复功能;同时预设性能监控阀值,以帮助在系统出现问题之前提前向管理人员发出预警。从而可以积极主动地发现问题,改变被动管理的局面,保障系统的高可用性。整个系统以事件为核心,将IT资源监控管理系统与流程管理系统有机地整合在一起。采用统一事件管理系统,对整个系统内的所有事件进行收集、关联分析和处理,部分事件自动采取修复动作。4.2.1 网络监控4.
45、2.1.1 拓扑发现内置先进的拓扑发现引擎(TDE),可通过 SNMP、ICMP、NetBIOS、ARP、Traceroute、 Telnet 等多种手段自动发现网络,实时动态跟踪网络拓扑变化的情况,支持众多国内外厂 商设备的混合网络,可以有效发现广域网、城域网、局域网、VPN、VLAN、MPLS 等不同类型 的网络。4.2.1.2 骨干链路管理从业务角度对网络重要链路进行监测和分析,对链路的通断、负荷、健康度进行评估; 自动跟踪链路的通断,并对链路的 SLA 进行管理。持续监视、报告网络链路的运行情况,发现异常及时告警和统计。4.2.1.3 设备管理通过多种手段监测重要设备性能参数,集中备份
46、网络设备配置、汇总设备告警信息、 实时展现核心设备网管动态信息。4.2.1.4 异常流量监控持续的流量分析通过采集快速分析当前网络的协议和会话,实现从端口到应用的广 泛流量分析和统计。4.2.1.5 故障预警系统通过内置的告警事件分析引擎,对获取的各类告警事件进行实时的压缩、归并,在界面上进行显著的提示和拓扑标注,并通过各种方式及时通知管理人员。4.2.1.6 报表分析报表中心为管理人员提供了性能、告警、状态、资源多个角度的统计和分析 报表,帮助用户量化网络的运维质量,更可通过丰富的数据来支持网络规划决策。4.2.1.7 网络拓扑级联通过分布部署与级联管理,可以很好的满足大规模网络中,不同区域
47、间的管理需求。此时,还把各区域监测到的网管信息,如拓扑、资源、告警等,都汇聚到一个 上级或中心。在方便中心随时掌握多个区域网络情况的同时,还可通过各区域间的横向 对比,来达到集中管理的目的。4.2.2 主机监控对应用系统的主机进行监控,支持对多种主流厂商的Unix服务器、Window和Linux主机的监控管理。能够获取被管理对象的信息;可以根据不同情况设置不同报警级别和预警阀值,在系统出现临界状态,系统能自动报警。提供基于WEB的实时的图形化展示界面。对所有监控数据进行历史存档和查询。提供二次开发接口,允许自定义监控对象。具体的监控指标包括: CPU:系统态、用户态、等待IO态以及空闲态的百分比。 内存:物理内存、交换区、虚拟内存利用率。 内置硬盘:运行状态、读写速度、使用空间比率,磁盘的已使用空间与磁