《{客户管理}南客服网络安全及综合运维管理平台可研报告》由会员分享,可在线阅读,更多相关《{客户管理}南客服网络安全及综合运维管理平台可研报告(44页珍藏版)》请在金锄头文库上搜索。
1、附件3信息化项目可行性研究报告项目名称:国家电网客户服务中心南方分中心网络安全及IT综合运维管理平台优化项目 申报单位(盖章):项目负责人:编 制:校 核审 核:批 准: 年 月 日目 录1总论31.1主要依据31.2主要原则42项目必要性52.1网络安全方面52.2IT运维管理方面73项目需求分析103.1网络安全需求分析103.1.1网络安全现状103.1.2存在问题分析123.1.3优化提升建议133.2IT综合运维管理需求分析163.2.1IT运维管理现状163.2.2存在问题分析183.2.3优化提升建议分析204项目方案254.1网络改造方案254.1.1项目目标和范围254.1.
2、2项目建设方案254.1.3项目实施计划284.2运维管理优化提升方案304.2.1项目目标和范围304.2.2项目建设方案314.2.3项目实施计划445主要设备材料清册455.1编制说明455.2主要设备材料表456估算书467项目效益分析491 总论1.1 主要依据国家电网客户服务中心南方分中心(简称客服南中心)自投运以来,承担了国家电网公司14个省级用户的服务工作,随着信息化水平的不断提高,对客服南中心现有的信息安全和IT运维管理提出了更高要求。国家电网公司信息系统安全管理办法中要求,为提高公司信息系统整体安全防护水平,实现信息系统安全的可控、能控、在控,需坚持“分区、分级、分域”总体
3、防护策略,执行信息系统安全等级保护制度并继续不断优化改良。国家电网公司2012年信息通信工作会议提出,要加快构建信息通信一体化管理、建设和运维体系。因此,为保证客服南中心信息系统持续、稳定、可靠运行,有必要对现有安全防护体系进行优化和提升,并建设一套统一的IT综合运维管理平台。1.2 主要原则根据客服南中心IT基础设施建设和IT综合运维管理需求,结合信息化技术发展的趋势,整体设计遵循以下原则:实用性:主要技术和产品必须具有成熟、稳定、实用的特点,既要便于用户使用,又要便于系统管理。稳定性:系统需具备高度的稳定性,支持应急保护机制,内置或者外置掉电保护装置等,保证网络不会因为设备故障而中断。高可
4、靠性:充分考虑容错和备份能力,最大限度地支持系统的可靠运行。安全性:要对系统自身具有良好的安全性,能够抵御针对自身的安全威胁,同时提供备份和恢复机制,对管理权限实行分组管理分组授权。先进性:系统设计要采用成熟可靠的体系和软件硬件产品,应支持对主流技术、协议和标准的升级,以及有完备的技术支持团队。扩展性:系统应支持灵活组网和网络改扩建的需要,能够快速部署和随网络结构进行调整,并无需改动平台主体结构和功能。经济性:在充分利用现有资源的情况下,最大限度地降低网络管理系统的总体投资,有计划、有步骤地实施。2 项目必要性2.1 网络安全方面目前客服南中心的网络安全设备主要部署在信息内、外网出口处,信息内
5、网出口部署有防火墙及入侵检测系统,信息外网出口部署有防火墙及上网行为系统。现网运行的防火墙及入侵检测系统为原有设备利旧,且均已过保。其中信息内、外网出口的防火墙设备仅支持包过滤检测技术,不支持状态检测及流量识别,无法更好的满足应用层攻击防护;信息内网的入侵检测系统仅能对网络攻击行为进行监测,无法提供L2-L7层的主动安全防御。此外数据中心业务未部署防火墙进行横向域边界防护,仅通过ACL进行防护。因此,在当前信息安全形势日趋严峻的情况下,迫切需要对现有信息内、外网的网络安全设备进行优化提升,以确保客服南中心信息化业务的安全开展。2.2 IT运维管理方面国网客服中心客服南中心现有监控平台对于网络设
6、备、服务器、存储设备、机房动环及数据库、中间件与应用服务等的监控范围有限,无法做到集中化统一运维管理,发生故障时需要在不同平台间切换排查,难以做到故障的快速准确定位,增加了运维人员在运维时的工作难度,难以满足当下的运维管理要求。现有运维平台无法从业务角度对重要的业务系统进行监控,不支持服务器虚拟化管理、存储管理、智能巡检、机房三维可视、网络设备配置自动备份、IP地址管理等功能。针对以上存在的不足,有必要对目前的运维管理进行整合优化,部署一套IT综合运维管理平台以满足客户需求。3 项目需求分析3.1 网络安全需求分析3.1.1 网络安全现状1) 网络架构现状国网客服中心客服南中心于2015年建成
7、投运,园区共建设有信息内网/语音网、视频网、信息外网三张独立网络,其中信息内网/语音网、信息外网现状如下:(1) 信息内网/语音网图3-1 信息内网/语音网(组网拓扑)核心层:由2台S12500系列交换机组成,目前未实现虚拟化整合,内网和语音业务共享核心层设备。汇聚层:数据中心和坐席区分别部署2台S10508交换机,并部署内网及语音网业务网关。接入层:数据中心中各功能区分别采用2台S7500E交换机,提供数据中心业务接入;坐席区每个楼层东、西配线间部署S5500交换机,提供坐席终端接入。内网及语音局域网设备均通过横向虚拟化(或堆叠)技术,实现了本地无环路二层网络。呼叫业务的A、B平台分别部署在
8、中山路机房和客服南中心机房。语音业务流量统一从客服南中心出口出去,中山路机房设有应急专线。(2) 信息外网图3-2 信息外网(组网拓扑)核心层:由2台S10508交换机组成,实现横向虚拟化堆叠。汇聚层:各楼宇设置汇聚交换机汇聚楼内接入设备。接入层:提供信息外网业务终端接入。外网出口串接上网行为管理及防火墙设备。客服南中心2台外网CE分别与北园区外网CE互联,实现主、备出口线路冗余。2) 安全防护设备部署情况(1)信息内网/语音网信息内网出口部署启明星辰USG-FW-12016S(利旧)防火墙2台,作为整个信息内网的纵向边界安全防护设备。信息内网/语音网互联区中2台核心交换设备(S12510X及
9、S12518)分别旁挂1台启明星辰NIDS 9060S(利旧)入侵检测设备,对经互联区转发的的所有数据报文进行监视,检测网络攻击行为。(2)信息外网信息外网出口部署启明星辰USG-FW-4600S(利旧)防火墙2台,作为整个信息外网的纵向边界安全防护设备。信息外网出口部署迪普UAG 3000上网行为管理,用于网络应用流量分析及控制、上网行为记录及访问控制。3.1.2 存在问题分析1) 信息内网存在问题:信息内网出口防火墙为原有设备利旧,已运行超过5年,存在设备老化现象,经常出现双机配置无法同步的问题,需及时更换,以消除隐患。数据中心业务系统横向域边界未部署专用防火墙设备进行安全防护,仅在业务交
10、换机上通过部署访问控制列表的方式实现,存在ACL条目数量受限、安全防护性能有限、管理维护复杂等问题,无法保证核心业务系统的安全性;信息内网部署入侵检测系统仅能对网络攻击行为进行监测,无法提供L2-L7层的主动安全防御。2) 信息外网存在问题:信息外网出口防火墙为原有设备利旧,已运行超过5年,且仅支持包过滤检测,不具备状态检测功能,在灵活性和安全性方面存在不足。信息外网出口未部署入侵防御系统,无法提供L2-L7层的主动安全防御。3.1.3 优化提升建议鉴于客服南中心现有网络安全设备部署存在的问题,依据国家电网公司信息化“SG186”工程安全防护总体方案,对客服南中心网络安全防护体系进行整体优化提
11、升。1) 安全防护整体架构图3-3安全域及安全边界示意图安全防护整体架构:信息内网、信息外网边界部署防火墙、入侵防御设备进行安全防护;三级系统独立成域,二级系统统一成域。信息内网纵向边界:替换现有信息内网纵向边界防火墙,新增信息内网纵向边界入侵防御。信息外网互联网边界:替换信息外网互联网边界防火墙,新增信息外网互联网边界入侵防御。信息内网横向域边界:增加信息内网数据中心中各业务系统横向域边界防火墙,对数据中心业务进行整体防护。2) 信息内网/语音网优化方案图3-4信息内网/语音网优化示意图信息内网出口通过一体化框式设备集成高性能防火墙插卡、入侵防御插卡的方式,替换现有防火墙及入侵检测,提供L2
12、-L7层的全面安全防护;硬件板卡通过虚拟化堆叠方式部署,简化网络架构,实现高可靠性;一体化框式设备预留适当的槽位数量,提供未来业务扩展能力。数据中心内部部署高性能防火墙设备,提供各业务系统横向域边界安全防护能力;设备通过虚拟化堆叠技术部署,简化网络架构,实现高可靠性;采用虚拟防火墙技术,为各二、三级业务系统提供独立的安全域防护,组网逻辑架构清晰,易于维护。3) 信息外网优化方案图3-5信息外网优化示意图信息外网出口通过一体化框式设备集成高性能防火墙插卡、入侵防御插卡的方式,替换现有启明星辰防火墙,提供L2-L7层的全面安全防护;硬件板卡通过虚拟化堆叠方式部署,简化网络架构,实现高可靠性;一体化
13、框式设备预留适当的槽位数量,提供未来业务扩展能力。3.2 IT综合运维管理需求分析3.2.1 IT运维管理现状国网客服中心客服南中心于2015年建成投运,主要负责江苏、黑龙江等14个省级用户的客服工作,是集呼叫运行、运营监控、科技研发及后勤辅助等为一体的综合性供电服务平台。客服南中心的IT基础设施及相应的信息业务系统的运维管理目前是采用多套运维管理平台,具体现状如下:1) 网络管理国网客服南方分中心信息内网/语音网、视频网及信息外网中网络设备主要包括交换机、路由器、防火墙、IDS、负载均衡、上网行为管理等,其中信息内网/语音网有210台网络设备,视频网有42台网络设备,信息外网有48台网络设备
14、。网络管理现状如下: 信息内网/语音网中部署了一套H3C智能巡检管家(试用版),周期性对网络设备运行状态进行巡检,输出分析报告及改进建议; 现有信息内网/语音网网络设备通过北塔网管软件进行网络运行状态监控; 网络配线通过一套电子配线管理系统实现机房配线可视化管理; 信息内网/语音网中部署了一套科来网络回溯分析系统,对各种网络性能和应用性能的关键参数进行实时分析,捕获并保存网络流量数据,具备对其进行数据挖掘和回溯分析的能力。2) 应用与服务器管理:国网客服南方分中心目前共有服务器210台,其中呼叫A平台52台,呼叫B平台55台,测试平台44台,云桌面系统28台,外网系统12台,其它及备用19台。
15、 为能及时获得各服务器的运行状态,通过 Host Monitor 对服务器进行实时监控; 服务器目前主要通过北塔网管软件基于SNMP协议获取服务器状态信息; 对于服务器的资产管理主要通过IMS系统进行人工维护和更新; 呼叫平台服务器的关键业务进程通过“IT资源监控”和SCI控制台结合起来进行运维监控; 对服务器具体的配置管理主要通过KVM进行远程维护; 服务器磁盘、RAID和电源等硬件状态目前主要通过巡检人员到机房查看设备状态进行确认; 通过LogBase日志管理系统进行运维审计方面的工作;3) 存储管理:国网客服南方分中心目前共有3套存储网络,分别应用在呼叫A平台、呼叫B平台和云桌面系统,管理现状如下: 呼叫A平台的IBM DS8800和云桌面系统的IBM DS8870通过各自的HMC控制台进行巡检和管理; 3套存储网络中的6台SAN交换机(IBM B80、B81和B82各2台)依靠设备状态指示灯判断存储网络链路情况;
