维保方案 - 弱电智能化.docx-淘文阁

资源描述

《维保方案 - 弱电智能化.docx》由会员分享，可在线阅读，更多相关《维保方案 - 弱电智能化.docx（86页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、（一）服务原那么根据本工程要求提出多种方式结合的方法，力争最短时间内排除故障、恢复系统正常运行，同时兼顾服务质量管理并监控具体措施，并对所提供的服务质量和标准做出明确可量化的承诺。1.主动式服务1）定期预防性维护服务维护团队根据系统维护服务计划或用户要求为用户提供定期预防性维护服务。此类服务是有计划有步骤进行的, 目的是为了提高系统的可使用率和高可靠性，把系统故障的可能性降低到最低。在硬件维护方面，要求维护团队工程师每两周进行一-次现场例行检查，维护硬件设备，并替换那些虽然能够工作但不是很正常的部件，以防止系统崩溃的情况发生，防患于未然。2）系统运行健康检查提供一月一次的系统运

2、行健康检查，按计划由专家定期对主机系统性能进行诊断，根据结果出具性能诊断报告，并相适应地调整系统参数，使系统始终在最正确状态下运行。对可能出现的问题提供科学预测，并采取必要的预防和补救措施，防患于未然。线系统、集中监控系统、消防系统等。图纸如下:2403014220“1Mb500x8,+3.3。寸(N寸()aMW480x280+3.3 3500150卜5040024430机房精密空调、UPS及配电设施等环境监控系统相关设备的定期巡检，俣证正常运行需要。提供7*24小时应急抢修服务，通过定期测试、维护保证网络布线系统的运行状况。2）运维服务标准机房所有设备在规定使用期限内都要保持完好

3、。其标准是：各项性能良好，满足使用要求。电气指标符合标准。运行稳定、平安、可靠。技术资料、原始记录齐全。3）运维服务内容资产清查和管理:清查机房配电、空调、消防、机柜等设备，为每台设备建立档案、建立配置信息，并保持更新；绘制设备连接表、设备摆放图，并保持更新。i. 系统监控常规作业定期对系统进行健康性巡检，对设备的运行情况进行日常监控和预防性检查。确认设备运行状态，检查设备的日志记录情况并分析设备日志，排除故障隐患，确保系统健康平稳运行。1 .提供7*24小时应急抢修服务，通过定期测试、维护保证网络布线系统的运行状况。2 .供配电系统：除尘、合闸、分闸等；3 . UPS系统

4、：旁路测试、电池放电测试、日常清洁等、运行日志备份、报警记录备份、清除等；4 .空调系统：启停机、开清洗更换滤网、清洗更换加湿系统、清洁冷凝器等、漏水报警测试、运行日志备份，报警记录备份、清除等5 .管理系统：探头清洗、器件灵敏度、画面清晰度（不同照度情况下）、部件运行等、出入记录导出、备份，监控图像记录备份、清除，报警记录备份、清除等；6 .编制巡检报告，梳理并及时更新系统操作手册及相关文档。详见五、工程实施方案及保障措施（三）其他相关内容3.文档管理4）文档附件供配电及UPS系统故障排查、投入备用电源回路、关闭非重要回路等；根据新增设备安装数量测算实际耗电总功率，提出容

5、量配置方案。评估设备实际用电情况对配电屏和列头柜的容量影响，提出容量配置优化方案。评估设备投运后，UPS总容量是否满足一定的冗余度。确认设备使用电源必须符合国家标准，或经过CCC、 UL等认证。对于设备具备双电源接入接口的，其供电路由必须来自两路不同的UPS系统；如只有一套UPS系统的，其供电路由必须来自不同的配电柜对设备接电平安性、可靠性提出指导意见，为设备平安上电。为防止设备施工、调试过程中使用电源不当，对机房正在运行的设备产生影响，凡施工用电（如电烙铁、手电转、吸尘器等）、特殊照明以及客户的服务器通电试机等, 严禁在机架电插板上接用电源，只允许使用市电电源。ii

6、i. 空调系统故障排查、关闭局部机组以维持机房最低温湿度指标、关闭新风系统等；根据设备耗电量测算设备的发热量，评估客户设备对整个机房环境的影响。评估设备投运后，机房专用空调总容量、总台数是否满足一定的冗余度。根据设备发热情况选择合适的安装机柜、安装位置、和安装方式，防止热源过于集中，以利于调节相应空调送风口的冷气量。及时增加或调整环境监控采集点。评估空调系统冷量与风量、送风与回风、风管与风口设计均是否遵从GB50019-2003的规定。v. 动环监控系统故障排查、系统启动、部件更换等。IDC机房的视频监控、智能门禁、消防监控及其它环境监控系统，在网络监控中心集中监控的同时

7、，可以在IDC机房设置终端，纳入IDC机房现场值守管理。实时监测IDC机房的环境温度、湿度、烟感及门禁等参数。实时监测IDC机房使用的专用UPS系统、开关电源、蓄电池组、专业空调等智能设备主要的电气参数及告警参数。制定市电中断、高低压系统故障、UPS故障、发电机故障、空调系统故障等动力重大故障应急处理预案并定期组织演练。vi. 消电检系统故障排查、系统启动、部件更换等。消防系统主机每月测试一次，如有故障马上维修并记录。抽检各类报警点的报警功能。检查贮瓶间及防护区的工作环境、贮气瓶、选择阀、液体单向阀、高压软管、集流管、阀驱动装置、管网、喷嘴、紧急启动按钮、声光报警装置。

8、灭火剂贮存容器进行承重检查，灭火剂净重不得小于设计量的5%。检查平安出口、疏散通道、重要场所的应急照明或疏散指示标志。按安装数量的10%试验应急照明或疏散指示灯的工作照度和疏散照度。检查防火门、防火卷帘门周围有无门正常开启的障碍物，门能否处于正常启闭状态。检查送风、排烟机房的工作环境、送风机、排烟机电源控制柜、送风口、排烟口、防火阀等是否处于正常完好状态。vii. 服务响应1 .提供7X24小时的热线响应，5X8小时专职值班对系统进行监控。2 .填写设备服务处理单，描述服务要求、方案描述、处理过程、处理结果。viii. 调研评估对维护记录、配置记录、故障排查记录以及常见

9、问题等进行汇总，形成知识库4）备品备件实物管理为保证系统维护工作的正常进行，原那么上备品备件只能用于系统维护及突发事件的系统保障，不得随意挪作它用；特殊情况需要临时借用时，需经相关领导批准，借入或借出的备件要做好记录，及时归还。应设置专门场所作为备品备件实物存放仓库（下统称为备件库），并指定专人管理。备件库要求干燥、通风良好、温度适宜，并具备防水、防潮、防震、防风灾、防火等功能与相关设施，如配备抗静电护套等。对特殊要求的备品备件应放置在符合要求的地方。维护单位将备品备件放入专用库房妥善保管，保持备件外观完好清洁、编号清晰、功能正常，详细记录请领、使用情况，以备设备维护中心定

10、期抽查。维护人员因工作需要领用备件时，必须先填写“备品备件申请单”，经主管领导签字同意后领取；备件库管理员负责做好维护领用出库记录，在备件管理系统中做好记录，并由领用人签收；更换后的损坏件或未使用的备件可以在1个工作日内返还备件库，损坏件将注明故障现象或损坏原因, 备品备件仓库管理员做好损坏待修入库或领用归还入库记录。确保出入库的备件数量和类型一致。备品备件主要用于日常故障处理，维护人员仔细判断故障原因，合理使用备件，严禁滥用备件。在备件更换过程中需要注意正确安装、接线，严禁暴力拆装，防止由于人为原因导致备件破损、报废。更换下来的故障件亦妥善保管，需粘贴标签注明。备件更换完毕

11、后运维人员将进行检查测试, 确保其功能正常且安装工艺符合机房规范。备品备件的维护管理：一年以上一直未使用的备板需要进行定性检测，同时备件将随着当前网络的软硬件更新做相应的升级工作，以保证备板的可用性。备件的统计：备品备件管理员每月核对所管理备件库内的可用备件数量、送修数量、返修情况、借人借出情况、备件数量缺乏、长期未使用的备件种类及数量等做好统计，及时报相关领导。备件的盘存：备件库管理员至少每季度盘存一次，本地（部门）备品备件管理员做为监盘人员，确保台账记录的数量及状态与实物一致。备件库管理要求帐实一致、出入匹配、记录完整、配置经济（为配置方案提供数据）。及时将周转库中更换下来

12、的损坏硬件交还到备件库，同时领用可用备板，损坏备件统一返修。5）备品备件信息表具备充足的备品、配件，可及时向中心提供技术服务和备件服务，为本工程提供系统所必需的备件和易损件、消耗件、工具等（详见：备品备件信息表）。系统运行过程中如果发生硬件故障，保证用户在4小时内得到无故障设备。详细清单见附件局部：经费预算表。2.中心音视频运维指挥中心音视频的定期巡检，包括显示系统，会议系统, 扩声系统，信号处理矩阵等正常运行。通过定期测试、维护保证系统的运行状况。1）运维服务对象现有指挥中心音视频及配套软硬件系统详见（二）现状4.基础设施环境现状1）指挥中心环境情况ii指挥中心音视频系统。2）

13、运维服务标准指挥中心音视频设备集中监控实行7*24小时运行, 监控值班必须严格执行交接班制度。值班人员禁止关闭监控系统的可见可闻告警信号。值班人员及时响应故障或异常信息，及时进行预处理并记录在案。值班人员需对平台定期维护及检查。3）运维服务内容资产清查和管理：1 .清查指挥中心音视频设备，为每台设备建立档案，建立配置信息，并保持更新。2 .绘制系统拓扑图、设备连线表、机柜机架位置图等，并保持更新。”系统监控：定期对系统进行健康性巡检，对设备的运行情况进行日常监控和预防性检查。确认设备运行状态，检查设备的日志记录情况并分析设备日志，排除故障隐患，确保系统健康平稳运行。i. 常

14、规作业a)音视频设备1 .高清视频矩阵例行检查，矩阵输入输出信号卡检测, 提供故障后备件服务及返厂维修作业。2 .音频处理器例行检查.坐席电脑、工作站例行检查及维护3 .每月各类设备重启动及周边设备的故障排查和解决.定期硬盘录像机存储容量的查看及清理4 .定期高清视频矩阵重启动及线路故障的排查和修复b) LED电子显示屏系统1 .查看现场温度是否偏离22P,保证室内温度正常，以保证屏幕接缝拼接效果.定期对大屏幕光学设备做全面清洁处理2 .日常光学部件维护，防止提前老化.设备除尘3 .保障图形拼接控制器的稳定可靠运行.大屏幕拼接系统设备的参数设置和调整4 .大屏幕灯珠检测，损坏模组的维修及更换

15、，提供维修3）系统运行状况分析每季一次对系统的运行状况分析。提供本工程系统设备和PC服务器设备运行状态和性能的分析、评估服务，以提高系统的可靠性、可用性和整体性能。每年一次制定和完成详细的系统可用性、平安性、运行状况分析等预防性维护策略、报告和总结。2.纠错性维护/维修服务提供技术支持服务或到场维修服务。在部件服务方面，及时确认故障原因，并更换故障部件，恢复系统正常运行。解决系统软件问题，恢复系统软件正常运行，作系统备份，递交系统检查报告等。（二）标准依据制度是一种必须共同遵守的行为规范，是保证工作有序开展和任务圆满完成的基础。建立和健全设施运行维护的各项管理制度，对于维护

16、工作的顺利完成是必需的。依据以下标准，协助中心建立规范、科学、实用的维护制度。据国家相关法律规章、国家和行业相关标准、相关研究成果等资料进行本设计，具体如下：具体标准如下：电子信息系统机房设计规范（GB50174-2008）综合布线设计规范GB50311-2007期内备件服务故障检修及维护1 .系统设备故障排查及处理.依据设备故障对系统业务的影响建立分级处理机制2 .建立系统故障处理流程.建立一般故障处理流程3 .当设备出现故障，现场运维人员及时响应。一般故障 4小时内解决，如遇硬件故障需要更换硬件72小时内解决, 暂时无法解决的故障。iv. 服务响应1 .提供7X24小时的热线响应，5X

17、8小时专职值班对系统进行监控。2 .填写设备服务处理单，描述服务要求、方案描述、处理过程、处理结果等。v. 调研评估.对维护记录、配置记录、故障排查记录以及常见问题等进行汇总，形成知识库。3.中心IT设备运维和系统软件运维平台支撑软硬件主要包括PC服务器、存储、网络、安全设备及数据库软件、中间件等基础软硬件设施。1）运维服务对象平台各个计算机网络及应用系统硬件设备集中于葛布店指挥中心专用机房。详细见（二）现状4基础设施环境现状2）数据中心情况2）运维服务标准 IT通用设备集中监控实行7*24小时运行，监控值班将严格执行交接班制度。值班人员禁止关闭监控系统的可见可闻告警信号。值班

18、人员及时响应故障或异常信息，及时进行预处理并记录在案。值班人员对平台定期维护及检查。3）运维服务内容局端路由器、交换机、防火墙等接入设备运行状态，设备状态包括处理器板状态、端口状态、单板状态、CPU、内存利用率，风扇状态等。网络点到点丢包率及网络时延。主机系统的CPU、磁盘阵列、硬盘空间、内存利用率。主机系统的日志、应用进程。1.服务器维护服务器系统主要包括信息处目前在用的各类服务器: 数据库服务器、应用服务器、WEB/网管/备份服务器、门户网站、防病毒服务器等。具体服务内容包括：a）服务器硬件状态检查b）服务器硬件安装与调整c）服务器设备事件管理服务根据服务器的情况制订相应的

19、事件管理文档，由现场服务人员对服务器发生的事件进行记录、跟踪与分析，通过对事件的分析，及时发现服务器中存在的潜在问题，并进行解决或提出相应的解决方案。d）服务器性能监控每天由现场服务人员根据制定的性能监测模板对服务器的性能监控，监控的参数为服务器的CPU、memory, hdd、network,并根据各服务器的应用情况，分析出服务器性能的基本基准线。e）应用维护现场服务人员对这些应用进行定期的维护，对防病毒软件的防护状态与更新情况进行每天检查。f）服务器进程与服务检查g）服务器磁盘空间检查h）服务器系统漏洞修补i）系统配置与变更管理j）系统垃圾清理k）记录与报告服务器操作管理手册

20、服务器事故管理文档服务器监控报告服务器设备标识，配置记录服务器故障处理报告服务器运维分析报告应用系统故障处理报告服务器系统配置记录垃圾信息清理记录ii.存储设备维护存储系统平台主要包括：存储系统（接入存储网络的服务器客户端、存储交换机）、磁盘阵列、备份一体机等的管理和维护工作。具体服务内容包括：a）存储设备配置管理服务b）备份作业检查c）存储交换机日常状态检查维护d）存储设备事件管理服务e）备份及恢复策略制定f）备份介质管理g）备份软件维护h）备份数据恢复当系统出现异常数据丧失时，协同应用厂商，在信息中心的授权下，要求运维团队现场服务人员对相应的备份数据进行数据恢复，以快速保证与

21、恢复客户的应用。i）备份数据整理由于目前备份数据没有明确的管理制度，备份数据管理程无序化状态，对于备份数据的保存声明周期没有周密的限定计划，造成备份数据占用大量的存储空间，要求运维团队现场服务人员根据备份和存储数据的情况，提出数据整理频率计划，并同信息处进行数据的整理。J）存储设备运行维护运维团队现场服务人员对存储设备硬件状态监控，问题及时处理。k）记录与报告存储设备操作管理手册设备检修报告故障处理报告存储设备运维分析报告数据备份操作管理手册数据备份记录存储系统配置记录存储系统空间调整记录备份策略调整更新记录iii. 网络、平安设备维护网络、平安平台维护的目标是：通过网络、平

22、安系统管理服务，降低网络设备故障率，提高网络设备的运行性能。提高平台网络运行的稳定性、可靠性，以专业化运作模式解决平台各类信息系统信息化开展的需求。需要提供故障诊断、远程支持、现场支持、软件升级、设备搬迁、网络优化、网络巡检、现场培训、技术交流、网络平安、网络建设建议等服务。具体服务内容如下：a) 网络故障排查网络设备硬件状态检查b) 网络流量监测平安策略配置及配置优化c) 网络设备配置管理服务网络设备资料整理，配置参数整理d) 网络使用状况趋势分析及建议iv. 数据库系统维护数据库为Oracle,其维护服务内容主要包括:主要对数据库的基本状况进行检查，其中包含：检查 Oracle

23、实例状态，检查Oracle服务进程，检查Oracle 监听进程，共三个局部。a）数据库实例状态检查b）数据库表空间使用情况c）监控查看数据库的连接情况d）表空间使用情况和性能检查e）数据库告警日志检查分析f）数据库备份检查中间件维护中间件软件维护服务内容主要包括：a）数据维护数据备份b）系统日常维护中间件升级而对应用软件进行适应性更新与调测服务中间件维护操作手册及应急流程更新v. 终端设备的维护主要包括城市管理指挥分中心工作人员的台式电脑、笔记本电脑等，共计约18台。包括16套台式机和两个图形工作站，具体维护内容为:a）操作系统安装维护及补丁安装对终端用户的计算机的操作系统的安装与维

24、护请求进行响应；（操作系统安装介质由信息处提供）对终端用户的计算机的操作系统的补丁安装；在重装前协助终端用户进行计算机数据的备份。b）终端防病毒软件安装及升级对终端计算机的防病毒软件故障进行现场处理与解决；对其他用户的防病毒软件进行技术支持与问题解决。c）终端网络接入调整对终端计算机的网络连接的调整（不包括布线）。终端事件检查及排查对终端计算机的平安事件进行故障定位与排查；对终端计算机的故障事件进行故障定位与排查。d）通用办公软件安装提供对终端计算机的通用软件的安装；（通用软件包括office等办公软件，安装介质由信息处提供）提供对终端计算机的客户需求软件的安装。（软

25、件由用户提供）计算机使用规范制定计算机的使用规范，使用规范主要包括计算机的使用考前须知、U盘的使用考前须知、计算机使用的一些小常识等，该规范主要是帮助用户了解计算机的使用常识与技巧，减少故障的发生频率。该规范可做成相应的贴示张贴在终端用户计算机的显示器或机箱上。e）计算机安装操作规范计算机安装规范主要是对终端用户的计算机安装过程进行规范，规定相应的文件备份地点、分区大小、补丁安装、平安加固、软件安装等方面。通过制定相应的计算机安装操作规范，以规范与保证服务人员在服务过程中的服务质量。f）记录与报告计算机使用规范（贴示）；计算机安装操作规范；服务确认单；支持记录单；

26、故障处理报告。vi. 网络信息点维护a）根据信息点的编号，分别将编号的单数和双数规划为网络信息接口和语音接口，并统一建立信息点数据。通过中心的调研和了解，对各办公室的信息点做出适当调整和数据的修改。b）各处室接入期间，做好配合工作，包括楼层交换机调试、桌面跳线等。c）要求运维团队现场服务人员做好定期对网络信息点、配线架、理线架、终端模块的巡检工作。vii. 远程访问管理a）设备远程接入技术支持及数据操作；设备软硬件升级或关键数据修改；操作权限管理、网络防非法攻击的维护及网络维护平安管理。b）在远程网络技术支持及数据维护方案获得主管批准后，由维护人员翻开相关远程访问服务。c）远程

27、故障处理操作结束，或批准翻开远程访问的时间已结束，维护人员立即关闭相关设备上运行的远程访问服务。d）维护人员收集远程访问人员操作过程及数据修改情况，并提交上级主管备案。viii. 操作权限管理a）机房内的人员根据其工作范围和性质划分平安级别, 并根据级别制定相应的密码使用权限，密码管理由最高级别的人员负责。中华人民共和国消防法电力供电标准与内部控制管理制度全集电子政务外网使用管理规定ISO/IEC 9001:2008质量管理体系 IS0/IEC 20000:2005 IT 服务管理体系ITIL (Information Technology Infrastructure Libra

28、ry) 2.0 IT基础架构库终端设备的日常维护 ITSS (Information Technology Service Standards) 信息技术服务标准GB/T 20984-2007信息平安技术信息平安风险评估规范 GB/T 22080-2016信息技术平安技术信息平安管理体系要求GB/T 22081-2016信息技术平安技术信息平安控制实践指南 GB/T 18336-2015信息技术平安技术信息技术安全评估准那么ISO 17799信息平安管理体系实施细那么 ISO 27000信息平安管理体系(ISMS)要求ISO 13335信息平安管理指南 OWASP TOP 100WA

29、SP十大应用平安风险口令符合复杂化要求，即8位以上，包括英文、数字和符号。b）口令定期更换，并做好记录。d）紧急情况需要将口令临时开放给外商（或设备供应商、技术支持中心等）时，应由维护人员核对后，临时开放权限，处理完毕后及时收回，同时要求对方提供所有操作过程及数据修改对照的内容。X.业务系统软件运维a) 业务系统内容平台整合呈现了来自不同业务系统的海量数据，而为了高效有序管理各业务系统收集提取到的数据，业务系统管理软件应运而生，在此工程中，有如下业务系统软件需要同期运维b)系统软件运维内容资产清查和管理：清查各应用系统功能模块及版本号等信息，建立配置信息，如有升级保持更新。系

30、统监控：定期对系统进行健康性巡检，对设备的运行情况进行日常监控和预防性检查。确认系统运行状态，检查系统日志记录情况并分析日志，排除故障隐患，确保系统健康平稳运行。常规作业：根据系统业务需要及平安需求，维护服务范围包括：系统日常维护、数据库维护、已有程序维护、业务处理服务、业务运维方案编制、日常咨询服务、系统运行维护及故障诊断。软硬件的升级服务：对上述软件提供升级服务，包括系统维护、故障诊断、故障解决、BUG修补，提出升级建议和升级实施方案建议。根据客户系统的特点和运行现状，帮助用户在系统应用过程中不断的优化系统性能，以满足不断变化的业务开展情况。4.中心网络平安保障运维1）运维

31、服务对象业务系统为平台，针对单个信息系统的正常运行所需的平安服务包括风险评估、驻场基础平安服务、平安制度，根据实际需求的应急响应服务等。2）运维服务标准i. 平安性在本次运维服务方案的设计中，将从网络、系统、应用、运行管理、系统冗余等角度综合分析，采用先进的平安技术, 如下一代防火墙、加密技术、VPN、IPS等，为机房业务系统提供系统、完整的平安体系。确保系统平安运行。ii. 可靠性设计中将充分考虑业务系统运行的稳定、可靠性。从系统结构、网络结构、技术措施、设施选型等多方面进行综合考虑，以尽量减少系统中的单故障节点，实现7义24小时的不间断服务。保障软硬件的稳定性和可靠性；保障软

32、硬件的平安性和可恢复性；故障的及时响应与修复；硬件设备的维修服务；人员的技术培训服务；信息化建设规划、方案制定等咨询服务。3)运维服务内容风险评估风险评估的目的是了解和控制运行过程中的信息系统平安风险，运维阶段的风险评估是一种较为全面的风险评估。评估内容包括对真实运行的信息系统、资产、威胁、脆弱性等各方面。a) 资产评估：对真实环境下较为细致的评估，包括实施阶段采购的软硬件资产、系统运行过程中生成的信息资产、相关的人员与服务等。本阶段资产识别是前期资产识别的补充与增加；威胁评估：真实环境中的威胁分析，全面地评估威胁的可能性和影响程度。对非故意威胁产生平安事件的评估可以参照事故发

33、生率；对故意威胁主要由评估人员就威胁的各个影响因素做出专业判断；同时考虑已有控制措施；脆弱性评估：全面的脆弱性评估。包括运行环境下物理、网络、系统、应用、平安保障设备、管理的脆弱性。对于技术的脆弱性评估采取核查、扫描、案例验证、渗透性测试的方式验证脆弱性；对平安保障设备脆弱性评估时考虑平安功能的实现情况和平安措施本身的脆弱性。对于管理脆弱性采取文档、记录核查进行验证；风险计算：根据相关标准，对主要资产的风险进行定性或定量的风险分析，描述不同资产的风险高低状况。i. 驻场基础平安服务物理平安平台部署于中心，位于。，由基础建设、电力供应、空气调节、制冷系统、弱电系统、消防系统、监

34、控系统、系统管理服务等局部保障物理平安。网络平安建设利用旧中心现有网络平安建设成果。a) 网络平安平台部署双链路出口设备，解决多链路网络流量分担的问题，充分提高多链路的带宽利用率，提升网络链路的可靠性，保障链路和服务的高可用性；提供访问控制、入侵防护等传统防火墙平安功能，同时可对网络入侵防护提供主动的、实时的防护，可准确监测网络异常流量，自动对各类攻击性的流量；两台WEB应用防火墙旁路部署在核心交换机上，用于WEB 应用的流量分析或日志审计，监视并记录网络中的各类操作, 侦察系统中存在的现有和潜在的威胁，实时地综合分析出网络中发生的平安事件，包括各种外部事件和内部事件，应用关键

35、字实时跟踪分析技术，从发起者、访问时间、访问对象、访问方法、使用频率各个角度，提供丰富的统计分析报告，帮助用户在统一管理互联网访问日志的同时，及时发现平安隐患，协助优化网络资源的使用。两台APT平安沙箱部署在互联网出口，用于防范“零日” 攻击。b) 平安加固平安加固是指对在风险评估中发现的系统平安风险进行处理，按照级别不同，应该在相应时间内完成。平安加固的内容主要包括：（1）日常平安加固工作，主要是根据风险评估结果进行系统平安调优服务，根据系统运行需要适时调整各类设备及系统配置、合理规划系统资源、消除系统漏洞，提高系统稳定性和可靠性；（2）主动平安加固，在未出现平安事故之前就对

36、已经通报或者暴露出来的软件漏洞或最新病毒库更新，就主动进计划的升级和改进，从而防止出现平安事故。具体加固内容包括但不限于：账户策略、账户锁定策略、审核策略、NTFS、用户权限分配、系统服务策略、补丁管理、事件日志、应用软件的更新等。c) 主机平安(1)主机资源控制策略会话自动结束：当应用系统的通信双方中的一方在一段时间内未作任何响应，另一方应能够及时检测并自动结束会话，释放资源；会话限制：对应用系统的最大并发会话连接数进行限制，对一个时间段内可能的并发会话连接数进行限制, 同时对单个账户的多重并发会话进行限制，设定相关阈值，保证系统可用性。登陆条件限制：通过设定终端接入方式、网

37、络地址范围等条件限制终端登录。超时锁定：根据平安策略设置登录终端的操作超时锁定。用户可用资源阈值：限制单个用户对系统资源的最大或最小使用限度，保障正常合理的资源占用。对重要服务器的资源进行监视，包括CPU、硬盘、内存等。对系统的服务水平降低到预先规定的最小值进行检测和报警。提供服务优先级设定功能，并在安装后根据平安策略设定访问账户或请求进程的优先级，根据优先级分配系统资源。（2）系统访问控制策略启用访问控制功能：制定严格的访问控制平安策略，根据策略控制用户对应用系统的访问，特别是文件操作、数据库访问等，控制力度主体为用户级、客体为文件或数据库表级。权限控制：对于制定

38、的访问控制规那么要能清楚的覆盖资源访问相关的主体、客体及它们之间的操作。对于不同的用户授权原那么是进行能够完成工作的最小化授权，防止授权范围过大，并在它们之间形成相互制约的关系。账号管理：严格限制默认账户的访问权限，重命名默认账户，修改默认口令；及时删除多余的、过期的账户，防止共享账户的存在。a）虚拟化平安（1）虚拟化平安隔离同一物理机上不同虚拟机之间的资源隔离是VMM （虚拟机虚拟虚拟虚拟虚拟计算资源统一分配模块/货源育：cm、内存、aa 1。密尸废掘机进行*iivNic平安：禁止混杂模式：MAC. IP地址禁止修层次化的平安防护网络隔Mh vS-itch支持VLAN隔离展

39、次化QoS vSwitchr T- 访日控制；蔚于平安组能置平安策略，自动应用到各成员VK平安策日目日日0日日日 aaa基班设施隔离：符理平面、存储平面、业务平面物理网络隔离。虚拟化边界隔离：通过虚拟化防火墙实现数据中心的边界隔高和访问控制.提供ACL、Anti DoS, IPsec VPN等功能.虚拟化资源陷离：虚拟机之间通过V1.AN实现二以隔离.通过平安作用提供虚拟机级别的访问控制手段. 防止病毒、成胁在不同租户间扩散,防止威胁及延智能、伸性平安防护，VM漂移. 扩容无需人工配丸平安策略监视器）具备的基本特征之一，包括CPU、内存、内部网络隔离、磁盘I/O等的隔离，虚拟化

40、管理平台提供了以下虚拟机隔离措施。（2）虚拟化防火墙策略a）每个虚拟防火墙独立维护一组平安区域；b）虚拟防火墙可为用户提供私有的路由转发业务和安全服务。每个虚拟防火墙中可以包含三层接口、二层物理接口、三层VLAN子接口和二层Trunk接口 +VLAN。c） VPN实例与虚拟防火墙是对应的，它为虚拟防火墙提供相互隔离的VPN路由，与虚拟防火墙相关的信息主要包括：VPN路由以及与VPN实例绑定的接口。VPN路由将为转发来自与VPN实例绑定的接口的报文提供路由支持。d）平安实例为虚拟防火墙提供相互隔离的平安服务，同样与虚拟防火墙对应。平安实例具备私有的ACL规那么组和NAT地址池；平安实例

41、能够为虚拟防火墙提供地址转换、包过滤、ASPF和NAT ALG等私有的平安服务。（3）内存共享可配置虚拟机的内存由虚拟化管理平台统一管理，在虚拟化管理平台通过配置将同一物理服务器上多个虚拟机之间内存完全物理分隔，相互之间不存在内存复用，平安性最高。b）数据平安（1）数据访问控制a）用户和虚拟机镜像间的权限控制b）用户挂接卷进行权限确认c）对象存储（OBS）用户对象的访问控制（2）用户数据隔离通过虚拟化层实现虚拟机间存储访问隔离，严格隔离用户数据。（3）剩余信息保护a）存储资源重分配给VM之前进行完整的数据擦除b）存储的用户文件/对象删除后，对应的存储区进行完整的数据擦除或标识为只写（

42、只能被新的数据覆写），保证不被非法恢复。（4）数据备份与恢复PTES： Penetration Testing Execution Standard 渗透测试执行标准 OSSTMM开源平安测试方法ISSAF信息系统平安评估框架 NIST SP800美国国家技术标准研究院一信息平安标准系列基本的工作制度包括：机房管理制度值班和交接班制度平安防护管理制度维护作业计划管理制度进出机房管理制度资料管理制度资料保密制度机房用电及加电管理制度空调主机及水系统应急预案高低压配电应急预案仪表工具和备品备件管理制度日常行为规范等。a）业务数据备份依托管理指挥平台进行虚拟机镜像备份操作，保证业务

43、数据的一致性；b）对于核心交换设备、外部接入链路以及系统服务器进行双机、双线的冗余设计，保障从网络结构、硬件配置上满足不间断系统运行的需要。c）应用平安机房规划了互联网域和政务外网域，承载WWW、FTP等外部应用。（1）应用层DOS攻击防护WAF需要防护带宽及资源耗尽型拒绝服务攻击。XML DoS 攻击防护是对HTTP请求中的XML数据流进行合规检查，防止非法用户通过构造异常的XML文档对Web服务器进行DoS 攻击；Web虚拟服务通过部署WAF来管理多个独立的Web应用，各Web应用可采用不同的平安策略，可在不修改用户网络架构的情况下增加新的应用，为多元化的Web业务运营机构提供

44、显著的运营优势与便利条件；Web请求信息的平安过滤针对HTTP请求,WAF能够针对请求信息中的请求头长度、 Cookie个数、HTTP协议参数个数、协议参数值长度、协议参数名长度等进行限制。对于检测出的不合规请求，允许进行丢弃或返回错误页面处理；（2） Web敏感信息防泄露WAF应内置敏感信息泄露防护策略，可以灵活定义HTTP 错误时返回的默认页面，防止因为Web服务异常，而导致的敏感信息(如：Web服务器操作系统类型、Web服务器类型、 Web错误页面信息、银行卡卡号等)的泄露；Web业务的连续性a)保障网络的可用性：以降低网络故障、网络攻击、不合规网络协议传输对Web应用的影响为目

45、标，主要包含网络访问控制、代理模式部署、协议合规、应用层DoS防护等功能。b)保障Web应用的平安性：以Web平安防护为主要目标，主要包含HTTP/HTTPS应用防护、Web请求信息限制、Web 敏感信息防护、Cookie防篡改、网页防篡改、Web应用防护事件库升级等功能。c)保障Web应用的快速访问：以Web应用交付为主要目标，主要包含SSL卸载、多服务器负载均衡、Web服务器访问质量监控等功能。iii. 平安制度本工程信息平安系统平安管理制度层面设计主要是依据信息平安技术信息系统平安等级保护基本要求(GB/T 22239)中的管理要求而设计。a)平安管理制度根据平安管理制度的

46、基本要求制定各类管理规定、管理方法和暂行规定。从平安策略主文档中规定的平安各个方面所应遵守的原那么方法和指导性策略引出的具体管理规定、管理方法和实施方法，是具有可操作性，且必须得到有效推行和实施的制度。制定严格的制定与发布流程，方式，范围等，制度需要统一格式并进行有效版本控制；发布方式需要正式、有效并注明发布范围，对收发文进行登记。信息平安领导小组负责定期组织相关部门和相关人员对平安管理制度体系的合理性和适用性进行审定，定期或不定期对平安管理制度进行评审和修订，修订缺乏及进行改进。b) 平安管理机构根据基本要求设置平安管理机构的组织形式和运作方式，明确岗位职责；设置平安管理岗位，设立系统管理员、网络管理员、安全管理员等岗位，根据要求进行人员配备，配备专职平安员；成立指导和管理信息平安工作的委员会或领导小组，其最高领导由单位主管领导委任或授权；制定文件明确平安管理机构各个部门和岗位的职责、分工和技能要求。建立授权与审批制度；建立内外部沟通合作渠道；定期进行全面平安检查，特别是系统日常运行、系统漏洞和数据备份等。C)系统平安策略对人员权限进行分配，权限设定遵循最小授权原那么。管理员权限：维护系统，对数据库与服务器进行维护。系统管理员、数据库管理员权限别离，不能由同一人担任。普

展开阅读全文