xx省财政it运维项目可行性研究报告(word文档)Word文档下载推荐.docx

1、 知识分散、对运维人员技术要求越来越高 升级变更后引起业务不稳定 工作考核无法量化 缺乏以客户为中心的运维模式 第 48 页 共 48 页2 项目建设目标2.1 项目必要性随着信息技术的飞速发展，XX 全省财政厅、地市及所有区县的业务模式也发生了巨大变化，信息技术在业务中起着越来越重要的作用，越来越多的业务流程依赖 IT 技术，如何从技术和业务的双重视角对其进行有效管理，保障业务处理平台高效、安全、正常的运行，为用户日常办公、业务处理提供有力支撑成了众多运维人员常态工作。由于业务快速变化、用户环境日益复杂、IT 应用日益繁多等因素导致了 IT 服务与实际业务需求脱钩，IT 服务与业务部门的实际

2、要求出现鸿沟。如何消除鸿沟、实现 IT 与业务的真正融合，成为众多 IT 运维人员的最终目标。目标的实现有赖于对 IT 服务进行良好的管理，由此催生了建设面向“IT 服务”的运维服务管理一体化平台的需求，运维服务管理一体化平台立足于服务，建立以客户为中心，以流程为导向，从业务角度出发的全新的 IT 管理模式，通过整合 IT 服务与业务，提高了组织提供 IT 服务的能力，是真正实现这种服务管理的有效途径，能帮助用户最终实现 IT 与业务的融合。2.2 项目目标本项目的建设目标为：搭建 XX 全省财政厅、地市及所有区县 IT 运维监控管理一体化平台，在实现对桌面终端、网络、网络设备、服务器、数据库

3、、中间件、应用系统、机房环境等内容的集中监控和管理以及业务核心数据的实时展示，从而实现运行维护队伍建设、运行维护技术平台建设、运行维护制度建设和运行维护流程建设四个方面的内容。完成对信息系统运行状态的全面监控和运行问题的及时处理，支持应用系统的安全、稳定、高效、持续运行。为建设运维为辅助的规范化、标准化、制度化的集中管理的运行维护体系打下坚实的基础。IT 运维监控管理一体化平台具体的建设目标如下：为保障 XX 省财政大平台的顺利上线及后期的正常使用，实现对成千上万台的业务终端 PC 的双实名制准入控制、保证接入终端的合法性，具备对通过准入控制接入的电脑终端进行健康体检，对操作系统和病毒库补丁一

4、键修复功能， 桌面终端的软硬件资产管理，移动存储介质管理，补丁分发、标准化管理，网 络异常、端口、网站访问控制，非法外联管理，远程维护和行为审计。改进手段，实现主动监控、集中管理。以应用性能监控为核心，构建统一集成的系统资源监控系统，解决目前被动监控、被动服务的局面，实现对财政内网、网络设备、主机服务器、业务应用系统、机房环境等各类资源的主动监控、及时更新，为中心信息化建设和运行提供保障。实施故障预警，实现系统风险前移。对 IT 信息环境及各项业务系统尤其是重要业务系统的运行情况进行监控，根据实践建立灵活的事件管理机制，建立集中的告警分析处理和故障预警机制，使监控系统成为强有力的助手，能够在故

5、障产生时进行快速定位，作到事前防范，动态掌握 IT 资源，提高利用效率。通过 IT 运维监控管理系统建设，实时了解掌握 IT 资源的使用情况，根据需要从整体角度考虑资源的配置、调剂和使用， 提高资源的有效利用率。促进维护工作高效展开。推动运维工作流程规范化，提升工作效率。建立知识共享机制和主动查询、关联，为系统管理人员开展运维工作提供便利。适应管理特点，提供多层次展示。根据科技运维管理的需要，根据领导层、管理者、技术员等各个角色的工作侧重点，定制不同的展示界面。2.3 项目价值分析项目的最终价值是将 XX 全省财政厅、地市及所有区县 IT 运维管理服务从分散、无序、被动、粗放、事后被动处理的服

6、务型转化为集中、有序、主动、精细、事前预警、以业务为中心的运营型。保障 IT 基础架构稳定可靠运行,降低系统和业务应用宕机风险,提高运维支持和服务管理效率,优化运维流程、建立绩效体系,控制运维成本、改进决策过程，其具体价值体现在以下两方面：2.3.1 面向领导决策者 全面了解 IT 运行维护情况（连通率、可用性、各类报表、故障分析） 资产配置管理、理清资产台账 梳理固化流程、建立运维规范、全面了解下属工作情况、持续提升运维管理水平 外包管理（外包流程、合同、过程监控） 辅助领导决策、降低成本2.3.2 面向维护管理者 全面监控 IT 基础架构运行、事前预警、确保网络不断、系统不瘫、数据不丢 帮

7、助快速定位问题，优化问题处理流程、提高支持效率、摆脱救火队员角色 绩效及工作量统计分析、总结汇报有数据依据 实现运维知识的积累、沉淀和共享，降低 IT 运维管理对个人的依赖 各类性能及趋势报表，为优化 IT 环境提供科学依据2.4 项目建设原则l 实用性和适用性原则实用性是衡量软件质量体系中最重要的指标，系统的设计从最开始就以适应于多种运行环境为前提，而且还具有应变能力，以适应未来变化的环境和需求。l 先进性与发展性原则采用最先进的计算机软件技术、现代通讯技术、多媒体展示等电子技术， 保证系统的先进性和发展性。l 标准化与开放性原则系统的开发和技术符合开放性和标准化，数据规范、指标代码体系、接

8、口 标准均遵循国家和行业规范要求；系统能将建设成果以标准化文档的方式提交。l 安全与保密原则信息系统建设方案具有高可靠性，并对使用信息进行严格的权限管理。在技术上，采用严格的安全与保密措施，确保系统的可靠性、保密性和数据的一致性。在设计与软件开发中均采用安全保密措施。在应用规划上，通过建立统一的用户权限管理系统，以统一的规划保证系统安全的压力和强度。l 易用性原则系统具有统一界面操作风格、完善的在线帮助、完善的录入控制、人性化操作设计，其中大部分的操作可以通过直接操作即可掌握。l 灵活性原则系统具有良好的伸缩性，能够运用于复杂或简单的需求情况下。提供标准灵活的数据接口，便于和其他系统进行数据交

9、互。3 项目建设规模及功能3.1 项目范围采用先进 IT 监测技术对 XX 全省财政厅、地市及所有区县的桌面终端、服务器、业务系统、网络、机房等 IT 基础架构的集中监控管理，并在此基础上构建一个平台化、智能化、高可靠性的 IT 运维管理与服务一体化平台，进行集中展现、集中告警处理、服务流程及资产管理、知识库、外包管理等内容。系统具有对于桌面终端、网络、安全设备、主机、存储设备、数据库、中间件、应用系统以及机房环境等的集中监测、性能采集及报警功能，建立 XX 全省财政厅、地市及所有区县 IT 运维服务管理流程、工作规范和各种规章制度，将技术、人员和流程有机地结合起来，提升整个信息部门的 IT

10、管理水平。3.2 整体技术方案IT 运维管理一体化平台应立足于提升 XX 全省财政厅、地市及所有区县的IT 服务质量，融合了 ITIL 的事件管理、问题管理及变更与发布管理等核心 IT 服务管理流程，并集成了桌面管理及准入网络监控、系统及服务监控、数据库审计等管理数据和展现页面而形成的面向运维服务、集中监控和统一展现的综合 IT 服务管理平台。产品依托监控平台极强的视觉感知效果的展现界面，以业务服务管理为中心，将配置表单、工作流定义、集中监控、深度业务关联模型、配置信息同步等功能立体化地呈现给使用者，以期达到提高用户日常 IT 运维的规范化、流程化及自动化，量化运行质量和服务水平，提高 IT

11、系统运行效率，保障业务服务运行无忧的目标。系统将按照高起点、高标准、高质量的要求，建立以服务流程为驱动的运维管理一体化平台，实现人员、流程、工具三方面的完美结合，能够在帮助用户深耕基础架构、夯实基础之后，与用户一起建立遵循先进流程管理思想的ITIL 理论，实现以服务流程驱动为导向的实用的“人管流程”。为用户带来“IT 管理理念+系统工具+过程方法”的全新的 IT 服务管理组合，为用户提供包括管理流程与规范、业务及实施方法在内的全方位 IT 服务管理体系建设。3.2.1 监控数据统一展现提供层级化，从全局到局部的综合的 IT 运维监控视图，包含网络、服务器、数据库、应用系统、业务应用等要素在内的

12、全方位监控。以多种角度定制监控 视图，在监控展现视图中，事件信息、性能信息、资产信息，统一展现在监控 视图，在问题排错的过程中结合事件本身提供最大的信息，便于分析问题，解 决问题。综合监控视图展现包括物理拓扑和逻辑拓扑等。按照不同级别的用户权限分层次地呈现所有被管理资源的拓扑结构。系统具有灵活的浏览、监视和编辑的功能，同时在性能、告警、配置等方面动态反映资源环境的变化。在拓扑节点上可以查看相应资源详细配置信息。系统支持以下监控视图： 网络拓扑图：以地理视图、层次图等方式显示物理、逻辑网络拓扑结构； 应用拓扑视图：呈现从用户、应用系统到 IT 基础设施间的依赖关系； 机房平面图：提供机房内设备物

13、理摆放位置的视图； 机架视图：提供设备在机架上物理摆放位置的视图； 设备面板图：对被管理的设备应以与设备同样的物理构成直观进行显示； 安全设备视图：支持查看所管理的安全设备、设备之间的关系以及安全设备的状态。综合监控视图具有以下功能： 可以根据不同级别的用户需要切换到不同的监控视图。 能灵活定义设备间和关键应用模块间及其内部的逻辑依赖关系。 可以根据节点间的依赖关系，由上至下迅速定位影响应用正常运行的故障根源。 可以根据节点间的依赖关系，由下至上迅速了解节点故障对应用的影响程度。 通过拓扑节点可以查看与节点相关的配置、性能、故障等信息。 能够通过颜色变化或其他方式直观反映监控对象的健康状况。

14、性能数据展现，可以查看设备、线路重要的性能参数和数据。 资产信息展现，可以查看和设备、线路相关的资产信息及相关记录信息。3.2.2 告警事件处理整个系统以告警事件为核心，将 IT 资源监控管理系统与流程管理系统有机的整合在一起。对各项 IT 资源监控可能产生的事件信息，进入事件管理模块进行统一分析处理；同时有选择的把事件自动转为工单送入服务流程系统。统一事件管理通过统一数据接口收集各类基础监控子系统的事件，通过统一的数据分析、加工、归并，汇聚到数据网络运维管理平台数据库中；对收集到的大量事件信息，通过基于动态规则脚本的事件分析引擎，对事件进行标准化、事件过滤和压缩，定位到真正的告警原因。管理员

15、能够通过定义告警过滤条件和通知规则，订阅自己关心的告警信息。当告警发生时，自动以某种方式（如短信、邮件、声光等）发送到相关人员。提供故障排除的专家知识建议，能够不断积累管理员的实践经验，可以将故障分析信息和相关的解决方案进行记录。3.2.3 数据统计分析提供各种运行分析和性能报告，监控管理人员能根据这些报告准确评估整个 IT 环境运行情况，及早发现故障隐患和评估威胁。可以实现标准报表的生成、查询功能，显示每天的运行情况一览表和各个系统的运行情况信息，对各种网络系统、主机/存贮设备、应用系统等各种指标进行日周月年等多种时段的统计分析，提供多种趋势、比较、排名、分布、连通率、主页及关键业务存活率等

16、报表。同时，还能够通过用户的二次开发直接访问、查询数据库中的数据，自定义报表；提供图形方式（包括曲线图、直方图和饼图等）的呈现。可方便定制报表，报表可以定期自动生成，并可以产生 html、pdf 和excel 等文件格式。支持运维考核指标的自定义与自动生成。3.2.4 与服务流程管理系统的接口1、事件接口与服务流程管理之间为双向接口，从功能角度可以分为以下几类：（1） 创建工单：监控管理系统根据预先所定义的匹配规则，过滤出需要派发到服务管理系统的告警，然后自动地将告警信息传送到服务管理系统。运维值班人员根据告警信息创建工单。（2） 工单反向确认告警：当工单确认受理时，服务管理系统通过监控管理系

17、统提供的接口进行反向操作，确认该工单对应的告警。（3） 关闭工单：当监控管理系统的告警自动恢复时，将自动触发已经生成还未受理的工单自动关闭。（4） 工单反向清除告警：当服务管理系统中工单完成处理关闭的同时，服务管理系统需要通过监控管理系统提供的接口反向对监控管理系统进行操作， 清除该工单对应的告警。2、配置接口实现配置数据的同步，监控对象的状态信息和 CMDB 自动更新、同步，对各类 IT 资源基本配置信息的采集能够自动导入 CMDB 中，以确保配置管理数据库中的数据与实际生产环境一致。设备和线路的事件状态自动生成匹配过滤条件，实现监控和 CMDB 的整合。3.3 系统架构IT 运维监控管理一

18、体化平台是一个层次化的架构，系统架构总体划分成采集监测层、功能层、管理层。不同层次有不同层次的管理目标，系统架构设计必须要遵循“松耦合度” 原则，采用系统软件总线、SOA 开发设计模式，以确保各功能模块的灵活性， 适应个性化的需求以及未来的发展建设需求。IT 运维监控管理系统架构系统核心技术如下：1. 基于 J2EE 平台，B/S 结构、MVC 设计模式，面向 SOA 的体系架构， 提供了面向服务的扩展接口。2. IT 服务管理和 WEB2.0 技术的融合，国内第一个面向 WEB2.0 的 IT 服务管理一体化平台。3. 采用 Portal 技术来融合业务、技术和服务管理，提供管理个性化。4.

19、 通过 Mashup 技术提供了与第三方 WEB 系统的有效整合。5. 提供单点登录 SSO 的支持。6. 提供基于 flex 展现方式的灵动视图编辑器，提供强大的动态业务定义能力，随需配置业务模块，具有自定义业务数据、业务规则、业务流程、表单和查询器的能力。内置的及动态表单设计器和流程设计工作流引擎， 提供了流程和界面的客户化模版和自定义能力。7. 强大的动态配置管理库能力，依托 Oracle 数据库，具备继承、组合、关联、约束、版本管理等能力。4 项目建设方案4.1 一期建设一期建设解决XX全省财政厅、地市及所有区县及预算单位、其它接入单位约30000台业务终端的网络安全管理规范、解决接入

20、网络的用户及设备实名制问题、快速定位存在安全隐患的设备及违规的用户；对违规设备做强制性的修复；快速安全地修复操作系统漏洞；内网不同角色进行分区域访问控制；用户或设备入网、安检等事件做到有据可查。实现对桌面终端的准入控制、接入规范检查、访问权限控制、桌面资产统一管理、USB、光驱等外设管理控制、远程维护、终端用户行为审计、补丁管理软件分发、外设管理和非法外联、桌面安全策略的强制执行、桌面系统的标准化管理等。4.1.1 桌面终端入网规范系统桌面终端入网规范系统是一套基于最先进的第三代准入控制技术的纯硬件网络准入控制设备，秉承“不改变网络、不装客户端”的特性，为您解决网络的合规性要求，达到“违规不入

21、网、入网必合规”的管理规范，支持包括身份认证、友好 WEB 重定向引导、基于角色的动态授权访问控制、可配置的安全检查规范库、“一键式”智能修复、实名日志审计等功能，满足等级保护对网络边界、终端防护的相应要求，同时提供更高效的、智能式的网络准入防护功能。 访问域的控制系统可以定义各种身份认证角色，每个角色中可以定义不同的安全检查参数（如：操作系统补丁、病毒软件及病毒库、guest 账户、系统共享资源、系统进程服务检查、屏幕保护设置、弱口令账户检查、系统时间、IP 和 MAC 绑定、P2P 软件安装、域用户、必须安装的软件、磁盘使用检查、网络端口检查、禁止安装软件检查、计算机名检查、垃圾文件检查、

22、违规外联检查等），配置不同的安全检查规范；同时可以定义在安全检查通过之后可以访问域，安全检查 不通过时可以访问的修复服务器域等；比如可以定义外部人员就算是安全检查通过也只能访问互联网（或内网特定服务器），不能访问内网其他资源；或者可以定义一定要经过身份认证者才可以接入到内网中。 用户角色划分可以按照需求将两种用户划分为不同角色。每种角色执行不同的安全和访问控制策略。 访问自动重定向新入网用户在访问网络时会被自动重定向到 ASM 设备的安检页面，终端用户可按照身份类型选择不同的用户角色进行登录，目前主要分为员工和来宾两种角色。根据用户选择角色类型的不同，ASM 会自动执行相关的验证、安检、以及修

23、复等操作。 双实名制，保障人员与设备的双重合法性ASM 入网规范管理系统在提供多样式的身份认证保障接入网络人员合法性的同时，也提供了对接入网络终端设备合法性的保障，从而加强内部网络的可控性，方便管理员对网络的统一管理。 身份认证方式身份认证可以有效的杜绝非授权用户的非法接入，ASM 目前支持对来宾和员工用户的身份两种角色用户的认证，且 ASM 支持多种身份认证系统（如Email、AD、LDAP、UKey 等），可以有效的利用已有的用户名/密码系统进行身份的验证识别。 安全隐患检查及修复功能身份认证通过以后的用户终端，会根据相应的安全策略进行安全扫描，ASM 目前支持多达 20 余种安全检查项，

24、可有效发现终端存在的各种安全隐患问题。 接入设备的安全性检查对于入网终端提供了细致化的安全状态检测，包括各种防病毒软件版本、终端补丁漏洞、应用软件黑、白、红名单检测、非法外联、非法代理、异常流量、敏感操作行为检测等；优化的补丁检测技术，能在 7 秒内检测出终端补丁状况；支持市面上主流的防病毒软件，如：瑞星、江民、金山毒霸、McAfee、Norton、趋势、NOD32、卡巴斯基、F-Secure 等；还支持基于资产、注册表项、桌面属性、本地安全策略、系统设置项、外设管理等非常细致化的检测项，为客户提供了更好的实用效果。与当前国内外 10 多种杀毒软件联动，如：微软 MSE、Symantec、瑞星

25、、McAfee 等防病毒软件联动工作，不仅能检测防病毒软件的运行状况，还可以将杀毒软件版本、病毒库等做为检查项，强制用户必须安装指定的杀毒软件以及病毒定义必须最新。安全状态显示及修复安检结果将在 web 页面以评分和检查项的方式显示给用户，检查后不符合要求（如防病毒软件未装，必须安装的软件未安装等）的用户将被禁止访问核心服务器，只有通过 web 界面中的提示信息进行一键式智能修复或引导至修复区进行修复后重新进行安检，才能最终获得正常的访问权限，针对终端存在的各种安全问题，ASM还可进行人性化的修复工作。实现内网终端安全的“诊治”一条龙工作。 严禁私接 NAT 转换的路由设备在管理网络内的任何一

26、上网络信息节点上，如果员工私自把网络信息节点接到一个具有 NAT 转换的路由设备，比如无线路由，那么如何发现此类设备， 并且严格禁止使用此类设备。 严格使用管理员分配的 IP 参数在网络中 IP 代表一台设备的地址，在一个网络中希望使用固定的 IP 来代表终端的地址与身份，但是如何来控制终端一定使用管理员分配的 IP 地址呢？如果他们使用了别人的 IP 地址，那么终端接入网络的时候就会受到隔离控制。4.1.2 桌面终端管理系统桌面终端管理系统，由资产安全、应用安全、补丁安全、远程维护、安全检查及加固、外联安全、移动介质管理、网络安全、行为审计共 9 个模块组成。系统通过 Web 方式对整个系统

27、进行应用策略配置、下发，管理网络和查询报警数据，客户端接收到策略后自动执行并上报相关信息，方便管理员操作，不影响用户日常办公；支持基于局域网、广域网的国家、省、市、县多级级联管理模式；真正做到对内部网络的完全管理，强化网络管理员对计算机终端的控制。4.1.2.1 信息资产管理具有强大的资产管理功能，能够自动监测和管理终端计算机的各种软硬件资产信息： 硬件资产能自动监测终端计算机的运行状态，系统记录各计算机的 CPU 型号及主频、内存型号及大小、硬盘型号及大小、设备标识、主板信息、IP 地址、计算机名、MAC 地址、网卡型号和生产商、 软件资产能够自动收集应用程序信息，包括操作系统和应用软件种类

28、、版本号以及安装时间、计算机所在域、物理位置等信息。 资产管理能够将用户信息（单位、部门等）和计算机信息（资产编号、IP 等）进行对应，能够手工添加硬件的描述信息，能从采购时输入一直到接入网络、日常维修、一直到报废的信息描述。建立电子档案，形成“人机绑定，责任到人” 的户籍式管理体系。4.1.2.2 远程管理系统管理员通过远程管理能够对网内终端计算机远程管理进程、共享文件夹、远程的重启、注销、锁定、解锁、关闭甚至卸载终端等操作，实现足不出办公室的办公模式，有效提高运维效率。系统同时提供了远程截屏的功能。 远程维护系统远程维护功能对计算机进行远程查看和远程控制，配合消息交换功能， 可以很好的让 IT 管理员进行远程故障的诊断和排除，很好的提高工作效率。系统远程管理功能支持客户端确认过程，没有用户的确认无法实现远程接管终端， 终端远程服务也只是在需要的时候开启，使用动态密码保证远程服务的安全性。该方法很好的兼顾了终端系统用户的数据安全和隐私，确保终端计算机的安全 性。 远程设置系统管理员通