中建五局信息系统优化设计及维护技术建议书.doc

‘中建五局’
信息系统优化设计及维护
技术建议书
2010-01-18
1 项目概述 4
项目背景 4
项目需求 5
2 项目现状 6
网络拓扑图 6
现状描述 6
系统风险分析 7
网络及安全 7
应用及其他问题 9
3 系统规划与设计 10
设计原则 10
网络优化设计原则 10
安全防护设计原则 11
设计方案 12
安全区域及边界划分 12
区域隔离设计 13
互联网出口优化设计 13
流量管理及行为审计 14
防病毒体系设计 14
VPN网络设计 14
外派机构接入要求 15
4 系统测试与优化 17
测试 17
测试准入条件: 17
测试: 17
调优 17
网络调优: 17
主机调优: 17
存储调优: 17
数据库调优: 17
Websphere调优: 17
5 系统监控 18
18
: 18
: 18
6 系统运维 18
18
: 18
: 18
公司资质、人员资质、案例介绍 18
公司资质: 18
人员资质: 18
案例介绍: 18
项目概述
项目背景
中建五局驻外机构目前有8家二级分公司、10余家三级分公司和众多项目部,二级机构包括长沙、山东、北京、广东、辽宁、成都、河南等,人数在150左右,三级机构人数在50人左右,各项目部人员在15人左右。机构人员众多、信息化程度参差不齐、人员信息化水平普遍不高。同时我局已经引进了ERP系统,各项业务都需要逐步切换到该系统之上,但是硬件、软件、人员等各种各样的因素制约了ERP系统的顺利推行。为了发挥ERP的作用,提升企业的信息化,需要对现有网络系统进行优化设计。
项目需求
项目总体遵循低成本、高质量、高效率、技术实用、易于实施的原则。
此次‘信息系统优化设计及维护项目’的三个主要目标:
在我局现有的网络基础条件的基础上,针对我局各分支机构与总部之间的信息网络系统进行整体规划与设计,要求技术先进、安全实用、性价比合理;
提出网络优化、及安全规划方案,构建符合中建五局的网络安全体系结构;
提供我局IT系统的详细测试方案,包括网络、主机、存储、数据库、系统软件的负载压力测试、稳定性测试、及各种条件下的系统性能情况;
并提供优化方案并实施系统优化;
系统监控及设备维护。
项目现状
网络拓扑图
整个网络的拓扑结构如下图所示:
现状描述

核心设备是H3C7506E,配备Salience VI交换路由引擎,一块40端口千兆电口+8端口光口板;
汇聚设备H3C7503E-S4台;
接入设备27台H3C E152交换机;
出口一个电信100M公网联路作为主联路,一个10M作为备份,一个2M专线连接到北京中建总公司;
一台方正FA-8000防火墙和一台方正PineApp防毒墙
NOD32防病毒软件

4台应用服务器,三台HP580做集群为应用服务器,一台HP的RX8640的小机做数据库服务器,一个EAV4400磁盘阵列作数据存储。

目前只装了协同平台、项目管理及用友的NC5。正在使用的为人力资源。

ORACLE 10g数据库。
系统风险分析
网络及安全
缺少安全区域的划分和业务隔离保护
目前,在中建五局还没有对业务进行安全区域的划分,业务隔离,不同的业务系统安全策略和要求都不一样,很难进行统一的威胁防御措施的部署,因此首先需要进行网络安全域的划分和隔离,这是安全设计的重要前提和基本准则。
远程用户访问缺少安全的接入手段
随着公司信息化建设不断完善以及ERP软件的推行,中建五局各区域公司、项目部的业务逐渐整合到ERP系统,这类应用直接利用公网传输公司的机密信息,如何提供安全、保密的VPN接入是中建五局网络面临的挑战之一。
缺少访问控制和网络准入措施
目前缺乏严格的网络访问控制和准入机制,对于中建五局,完全是一个开放的网络,中建五局下属公司众多,外驻机构人员较为复杂,迫切需要实施访问控制和网络准入和访问审计,建立身份认证、授权体系。
无整体的病毒防护体系
在中建五局出口部署了方正熊猫防毒墙设备,但是在桌面系统上,没有部署防病毒系统,无法防护病毒对于终端的入侵,同时缺乏专门的病毒管理、监