xx省财政it运维项目可行性研究报告(word文档)Word文档下载推荐.docx
《xx省财政it运维项目可行性研究报告(word文档)Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《xx省财政it运维项目可行性研究报告(word文档)Word文档下载推荐.docx(48页珍藏版)》请在冰点文库上搜索。
知识分散、对运维人员技术要求越来越高
升级变更后引起业务不稳定
工作考核无法量化
缺乏以客户为中心的运维模式
……
第48页共48页
2项目建设目标
2.1项目必要性
随着信息技术的飞速发展,XX全省财政厅、地市及所有区县的业务模式也发生了巨大变化,信息技术在业务中起着越来越重要的作用,越来越多的业务流程依赖IT技术,如何从技术和业务的双重视角对其进行有效管理,保障业务处理平台高效、安全、正常的运行,为用户日常办公、业务处理提供有力支撑成了众多运维人员常态工作。
由于业务快速变化、用户环境日益复杂、IT应用日益繁多等因素导致了IT服务与实际业务需求脱钩,IT服务与业务部门的实际要求出现鸿沟。
如何消除鸿沟、实现IT与业务的真正融合,成为众多IT运维人员的最终目标。
目标的实现有赖于对IT服务进行良好的管理,由此催生了建设面向“IT服务”的运维服务管理一体化平台的需求,运维服务管理一体化平台立足于服务,建立以客户为中心,以流程为导向,从业务角度出发的全新的IT管理模式,通过整合IT服务与业务,提高了组织提供IT服务的能力,是真正实现这种服务管理的有效途径,能帮助用户最终实现IT与业务的融合。
2.2项目目标
本项目的建设目标为:
搭建XX全省财政厅、地市及所有区县IT运维监控
管理一体化平台,在实现对桌面终端、网络、网络设备、服务器、数据库、中间件、应用系统、机房环境等内容的集中监控和管理以及业务核心数据的实时展示,从而实现运行维护队伍建设、运行维护技术平台建设、运行维护制度建设和运行维护流程建设四个方面的内容。
完成对信息系统运行状态的全面监控和运行问题的及时处理,支持应用系统的安全、稳定、高效、持续运行。
为建设运维为辅助的规范化、标准化、制度化的集中管理的运行维护体系打下坚实的基础。
IT运维监控管理一体化平台具体的建设目标如下:
为保障XX省财政大平台的顺利上线及后期的正常使用,实现对成千上万台的业务终端PC的双实名制准入控制、保证接入终端的合法性,具备对通过准入控制接入的电脑终端进行健康体检,对操作系统和病毒库补丁一键修复功能,桌面终端的软硬件资产管理,移动存储介质管理,补丁分发、标准化管理,网络异常、端口、网站访问控制,非法外联管理,远程维护和行为审计。
改进手段,实现主动监控、集中管理。
以应用性能监控为核心,构建统一集成的系统资源监控系统,解决目前被动监控、被动服务的局面,实现对财政内网、网络设备、主机服务器、业务应用系统、机房环境等各类资源的主动监控、及时更新,为中心信息化建设和运行提供保障。
实施故障预警,实现系统风险前移。
对IT信息环境及各项业务系统尤其是重要业务系统的运行情况进行监控,根据实践建立灵活的事件管理机制,建立集中的告警分析处理和故障预警机制,使监控系统成为强有力的助手,能够在故障产生时进行快速定位,作到事前防范,
动态掌握IT资源,提高利用效率。
通过IT运维监控管理系统建设,实时了
解掌握IT资源的使用情况,根据需要从整体角度考虑资源的配置、调剂和使用,提高资源的有效利用率。
促进维护工作高效展开。
推动运维工作流程规范化,提升工作效率。
建立知识共享机制和主动查询、关联,为系统管理人员开展运维工作提供便利。
适应管理特点,提供多层次展示。
根据科技运维管理的需要,根据领导层、管理者、技术员等各个角色的工作侧重点,定制不同的展示界面。
2.3项目价值分析
项目的最终价值是将XX全省财政厅、地市及所有区县IT运维管理服务从分散、无序、被动、粗放、事后被动处理的服务型转化为集中、有序、主动、精细、事前预警、以业务为中心的运营型。
保障IT基础架构稳定可靠运行,降低系统和业务应用宕机风险,提高运维支持和服务管理效率,优化运维流程、建立绩效体系,控制运维成本、改进决策过程,其具体价值体现在以下两方面:
2.3.1面向领导决策者
全面了解IT运行维护情况(连通率、可用性、各类报表、故障分析)
资产配置管理、理清资产台账
梳理固化流程、建立运维规范、全面了解下属工作情况、持续提升运维管理水平
外包管理(外包流程、合同、过程监控)
辅助领导决策、降低成本
2.3.2面向维护管理者
全面监控IT基础架构运行、事前预警、确保网络不断、系统不瘫、数据不丢
帮助快速定位问题,优化问题处理流程、提高支持效率、摆脱救火队员角色
绩效及工作量统计分析、总结汇报有数据依据
实现运维知识的积累、沉淀和共享,降低IT运维管理对个人的依赖
各类性能及趋势报表,为优化IT环境提供科学依据
2.4项目建设原则
l实用性和适用性原则
实用性是衡量软件质量体系中最重要的指标,系统的设计从最开始就以适应于多种运行环境为前提,而且还具有应变能力,以适应未来变化的环境和需求。
l先进性与发展性原则
采用最先进的计算机软件技术、现代通讯技术、多媒体展示等电子技术,保证系统的先进性和发展性。
l标准化与开放性原则
系统的开发和技术符合开放性和标准化,数据规范、指标代码体系、接口标准均遵循国家和行业规范要求;
系统能将建设成果以标准化文档的方式提交。
l安全与保密原则
信息系统建设方案具有高可靠性,并对使用信息进行严格的权限管理。
在技术上,采用严格的安全与保密措施,确保系统的可靠性、保密性和数据的一致性。
在设计与软件开发中均采用安全保密措施。
在应用规划上,通过建立统一的用户权限管理系统,以统一的规划保证系统安全的压力和强度。
l易用性原则
系统具有统一界面操作风格、完善的在线帮助、完善的录入控制、人性化操作设计,其中大部分的操作可以通过直接操作即可掌握。
l灵活性原则
系统具有良好的伸缩性,能够运用于复杂或简单的需求情况下。
提供标准灵活的数据接口,便于和其他系统进行数据交互。
3项目建设规模及功能
3.1项目范围
采用先进IT监测技术对XX全省财政厅、地市及所有区县的桌面终端、服务器、业务系统、网络、机房等IT基础架构的集中监控管理,并在此基础上构建一个平台化、智能化、高可靠性的IT运维管理与服务一体化平台,进行集中展现、集中告警处理、服务流程及资产管理、知识库、外包管理等内容。
系统具有对于桌面终端、网络、安全设备、主机、存储设备、数据库、中间件、应用系统以及机房环境等的集中监测、性能采集及报警功能,建立XX全省财政
厅、地市及所有区县IT运维服务管理流程、工作规范和各种规章制度,将技术、人员和流程有机地结合起来,提升整个信息部门的IT管理水平。
3.2整体技术方案
IT运维管理一体化平台应立足于提升XX全省财政厅、地市及所有区县的
IT服务质量,融合了ITIL的事件管理、问题管理及变更与发布管理等核心IT服务管理流程,并集成了桌面管理及准入网络监控、系统及服务监控、数据库审计等管理数据和展现页面而形成的面向运维服务、集中监控和统一展现的综合IT服务管理平台。
产品依托监控平台极强的视觉感知效果的展现界面,以业务服务管理为中
心,将配置表单、工作流定义、集中监控、深度业务关联模型、配置信息同步等功能立体化地呈现给使用者,以期达到提高用户日常IT运维的规范化、流程化及自动化,量化运行质量和服务水平,提高IT系统运行效率,保障业务服务运行无忧的目标。
系统将按照高起点、高标准、高质量的要求,建立以服务流程为驱动的运维管理一体化平台,实现人员、流程、工具三方面的完美结合,能够在帮助用户深耕基础架构、夯实基础之后,与用户一起建立遵循先进流程管理思想的
ITIL理论,实现以服务流程驱动为导向的实用的“人管流程”。
为用户带来“IT管理理念+系统工具+过程方法”的全新的IT服务管理组合,为用户提供包括管理流程与规范、业务及实施方法在内的全方位IT服务管理体系建设。
3.2.1监控数据统一展现
提供层级化,从全局到局部的综合的IT运维监控视图,包含网络、服务器、数据库、应用系统、业务应用等要素在内的全方位监控。
以多种角度定制监控视图,在监控展现视图中,事件信息、性能信息、资产信息,统一展现在监控视图,在问题排错的过程中结合事件本身提供最大的信息,便于分析问题,解决问题。
综合监控视图展现包括物理拓扑和逻辑拓扑等。
按照不同级别的用户权限分层次地呈现所有被管理资源的拓扑结构。
系统具有灵活的浏览、监视和编辑的功能,同时在性能、告警、配置等方面动态反映资源环境的变化。
在拓扑节点上可以查看相应资源详细配置信息。
系统支持以下监控视图:
网络拓扑图:
以地理视图、层次图等方式显示物理、逻辑网络拓扑结构;
应用拓扑视图:
呈现从用户、应用系统到IT基础设施间的依赖关系;
机房平面图:
提供机房内设备物理摆放位置的视图;
机架视图:
提供设备在机架上物理摆放位置的视图;
设备面板图:
对被管理的设备应以与设备同样的物理构成直观进行显示;
安全设备视图:
支持查看所管理的安全设备、设备之间的关系以及安全设备的状态。
综合监控视图具有以下功能:
可以根据不同级别的用户需要切换到不同的监控视图。
能灵活定义设备间和关键应用模块间及其内部的逻辑依赖关系。
可以根据节点间的依赖关系,由上至下迅速定位影响应用正常运行的故障根源。
可以根据节点间的依赖关系,由下至上迅速了解节点故障对应用的影响程度。
通过拓扑节点可以查看与节点相关的配置、性能、故障等信息。
能够通过颜色变化或其他方式直观反映监控对象的健康状况。
性能数据展现,可以查看设备、线路重要的性能参数和数据。
资产信息展现,可以查看和设备、线路相关的资产信息及相关记录信息。
3.2.2告警事件处理
整个系统以告警事件为核心,将IT资源监控管理系统与流程管理系统有机的整合在一起。
对各项IT资源监控可能产生的事件信息,进入事件管理模块进行统一分析处理;
同时有选择的把事件自动转为工单送入服务流程系统。
统一事件管理通过统一数据接口收集各类基础监控子系统的事件,通过统一的数据分析、加工、归并,汇聚到数据网络运维管理平台数据库中;
对收集到的大量事件信息,通过基于动态规则脚本的事件分析引擎,对事件进行标准化、事件过滤和压缩,定位到真正的告警原因。
管理员能够通过定义告警过滤条件和通知规则,订阅自己关心的告警信息。
当告警发生时,自动以某种方式(如短信、邮件、声光等)发送到相关人员。
提供故障排除的专家知识建议,能够不断积累管理员的实践经验,可以将故障分析信息和相关的解决方案进行记录。
3.2.3数据统计分析
提供各种运行分析和性能报告,监控管理人员能根据这些报告准确评估整个IT环境运行情况,及早发现故障隐患和评估威胁。
可以实现标准报表的生成、查询功能,显示每天的运行情况一览表和各个系统的运行情况信息,对各种网络系统、主机/存贮设备、应用系统等各种指标进行日周月年等多种时段的统计分析,提供多种趋势、比较、排名、分布、连通率、主页及关键业务存活率等报表。
同时,还能够通过用户的二次开发直接访问、查询数据库中的数据,自定义报表;
提供图形方式(包括曲线图、直方
图和饼图等)的呈现。
可方便定制报表,报表可以定期自动生成,并可以产生html、pdf和
excel等文件格式。
支持运维考核指标的自定义与自动生成。
3.2.4与服务流程管理系统的接口
1、事件接口
与服务流程管理之间为双向接口,从功能角度可以分为以下几类:
(1)创建工单:
监控管理系统根据预先所定义的匹配规则,过滤出需要派发到服务管理系统的告警,然后自动地将告警信息传送到服务管理系统。
运维值班人员根据告警信息创建工单。
(2)工单反向确认告警:
当工单确认受理时,服务管理系统通过监控管理系统提供的接口进行反向操作,确认该工单对应的告警。
(3)关闭工单:
当监控管理系统的告警自动恢复时,将自动触发已经生成还未受理的工单自动关闭。
(4)工单反向清除告警:
当服务管理系统中工单完成处理关闭的同时,服务管理系统需要通过监控管理系统提供的接口反向对监控管理系统进行操作,清除该工单对应的告警。
2、配置接口
实现配置数据的同步,监控对象的状态信息和CMDB自动更新、同步,对各类IT资源基本配置信息的采集能够自动导入CMDB中,以确保配置管理数据库中的数据与实际生产环境一致。
设备和线路的事件状态自动生成匹配过滤
条件,实现监控和CMDB的整合。
3.3系统架构
IT运维监控管理一体化平台是一个层次化的架构,系统架构总体划分成采集监测层、功能层、管理层。
不同层次有不同层次的管理目标,系统架构设计必须要遵循“松耦合度”原则,采用系统软件总线、SOA开发设计模式,以确保各功能模块的灵活性,适应个性化的需求以及未来的发展建设需求。
IT运维监控管理系统架构
系统核心技术如下:
1.基于J2EE平台,B/S结构、MVC设计模式,面向SOA的体系架构,提供了面向服务的扩展接口。
2.IT服务管理和WEB2.0技术的融合,国内第一个面向WEB2.0的IT服务管理一体化平台。
3.采用Portal技术来融合业务、技术和服务管理,提供管理个性化。
4.通过Mashup技术提供了与第三方WEB系统的有效整合。
5.提供单点登录SSO的支持。
6.提供基于flex展现方式的灵动视图编辑器,提供强大的动态业务定义
能力,随需配置业务模块,具有自定义业务数据、业务规则、业务流程、表单和查询器的能力。
内置的及动态表单设计器和流程设计工作流引擎,提供了流程和界面的客户化模版和自定义能力。
7.强大的动态配置管理库能力,依托Oracle数据库,具备继承、组合、关联、约束、版本管理等能力。
4项目建设方案
4.1一期建设
一期建设解决XX全省财政厅、地市及所有区县及预算单位、其它接入单位约30000台业务终端的网络安全管理规范、解决接入网络的用户及设备实名制问题、快速定位存在安全隐患的设备及违规的用户;
对违规设备做强制性的修复;
快速安全地修复操作系统漏洞;
内网不同角色进行分区域访问控制;
用户或设备入网、安检等事件做到有据可查。
实现对桌面终端的准入控制、接入规范检查、访问权限控制、桌面资产统一管理、USB、光驱等外设管理控制、远程维护、终端用户行为审计、补丁管理软件分发、外设管理和非法外联、桌面安全策略的强制执行、桌面系统的标准化管理等。
4.1.1桌面终端入网规范系统
桌面终端入网规范系统是一套基于最先进的第三代准入控制技术的纯硬件网络准入控制设备,秉承“不改变网络、不装客户端”的特性,为您解决网络的合规性要求,达到“违规不入网、入网必合规”的管理规范,支持包括身份认证、友好WEB重定向引导、基于角色的动态授权访问控制、可配置的安全检查规范库、“一键式”智能修复、实名日志审计等功能,满足等级保护对网络
边界、终端防护的相应要求,同时提供更高效的、智能式的网络准入防护功能。
访问域的控制
系统可以定义各种身份认证角色,每个角色中可以定义不同的安全检查参数(如:
操作系统补丁、病毒软件及病毒库、guest账户、系统共享资源、系统进程服务检查、屏幕保护设置、弱口令账户检查、系统时间、IP和MAC绑
定、P2P软件安装、域用户、必须安装的软件、磁盘使用检查、网络端口检查、禁止安装软件检查、计算机名检查、垃圾文件检查、违规外联检查等),配置不同的安全检查规范;
同时可以定义在安全检查通过之后可以访问域,安全检查不通过时可以访问的修复服务器域等;
比如可以定义外部人员就算是安全检查通过也只能访问互联网(或内网特定服务器),不能访问内网其他资源;
或者可以定义一定要经过身份认证者才可以接入到内网中。
用户角色划分
可以按照需求将两种用户划分为不同角色。
每种角色执行不同的安全和访问控制策略。
访问自动重定向
新入网用户在访问网络时会被自动重定向到ASM设备的安检页面,终端用户可按照身份类型选择不同的用户角色进行登录,目前主要分为员工和来宾两种角色。
根据用户选择角色类型的不同,ASM会自动执行相关的验证、安检、以及修复等操作。
双实名制,保障人员与设备的双重合法性
ASM入网规范管理系统在提供多样式的身份认证保障接入网络人员合法性
的同时,也提供了对接入网络终端设备合法性的保障,从而加强内部网络的可控性,方便管理员对网络的统一管理。
身份认证方式
身份认证可以有效的杜绝非授权用户的非法接入,ASM目前支持对来宾和员工用户的身份两种角色用户的认证,且ASM支持多种身份认证系统(如
Email、AD、LDAP、UKey等),可以有效的利用已有的用户名/密码系统进行身份的验证识别。
安全隐患检查及修复功能
身份认证通过以后的用户终端,会根据相应的安全策略进行安全扫描,
ASM目前支持多达20余种安全检查项,可有效发现终端存在的各种安全隐患问题。
接入设备的安全性检查
对于入网终端提供了细致化的安全状态检测,包括各种防病毒软件版本、终端补丁漏洞、应用软件黑、白、红名单检测、非法外联、非法代理、异常流量、敏感操作行为检测等;
优化的补丁检测技术,能在7秒内检测出终端补丁状况;
支持市面上主流的防病毒软件,如:
瑞星、江民、金山毒霸、
McAfee、Norton、趋势、NOD32、卡巴斯基、F-Secure等;
还支持基于资产、注册表项、桌面属性、本地安全策略、系统设置项、外设管理等非常细致化的检测项,为客户提供了更好的实用效果。
与当前国内外10多种杀毒软件联动,如:
微软MSE、Symantec、瑞星、
McAfee等防病毒软件联动工作,不仅能检测防病毒软件的运行状况,还可以将杀毒软件版本、病毒库等做为检查项,强制用户必须安装指定的杀毒软件以及病毒定义必须最新。
安全状态显示及修复
安检结果将在web页面以评分和检查项的方式显示给用户,检查后不符合要求(如防病毒软件未装,必须安装的软件未安装等)的用户将被禁止访问核心服务器,只有通过web界面中的提示信息进行一键式智能修复或引导至修复区进行修复后重新进行安检,才能最终获得正常的访问权限,针对终端存在的各种安全问题,ASM 还可进行人性化的修复工作。
实现内网终端安全的“诊治”一条龙工作。
严禁私接NAT转换的路由设备
在管理网络内的任何一上网络信息节点上,如果员工私自把网络信息节点接到一个具有NAT转换的路由设备,比如无线路由,那么如何发现此类设备,并且严格禁止使用此类设备。
严格使用管理员分配的IP参数
在网络中IP代表一台设备的地址,在一个网络中希望使用固定的IP来代表终端的地址与身份,但是如何来控制终端一定使用管理员分配的IP地址呢?
如果他们使用了别人的IP地址,那么终端接入网络的时候就会受到隔离控制。
4.1.2桌面终端管理系统
桌面终端管理系统,由资产安全、应用安全、补丁安全、远程维护、安全
检查及加固、外联安全、移动介质管理、网络安全、行为审计共9个模块组成。
系统通过Web方式对整个系统进行应用策略配置、下发,管理网络和查询报
警数据,客户端接收到策略后自动执行并上报相关信息,方便管理员操作,不影响用户日常办公;
支持基于局域网、广域网的国家、省、市、县多级级联管理模式;
真正做到对内部网络的完全管理,强化网络管理员对计算机终端的控制。
4.1.2.1信息资产管理
具有强大的资产管理功能,能够自动监测和管理终端计算机的各种软硬件资产信息:
硬件资产
能自动监测终端计算机的运行状态,系统记录各计算机的CPU型号及主频、内存型号及大小、硬盘型号及大小、设备标识、主板信息、IP地址、计算机名、
MAC地址、网卡型号和生产商、
软件资产
能够自动收集应用程序信息,包括操作系统和应用软件种类、版本号以及安装时间、计算机所在域、物理位置等信息。
资产管理
能够将用户信息(单位、部门等)和计算机信息(资产编号、IP等)进行对应,能够手工添加硬件的描述信息,能从采购时输入一直到接入网络、日常维修、一直到报废的信息描述。
建立电子档案,形成“人机绑定,责任到人”的户籍式管理体系。
4.1.2.2远程管理
系统管理员通过远程管理能够对网内终端计算机远程管理进程、共享文件夹、远程的重启、注销、锁定、解锁、关闭甚至卸载终端等操作,实现足不出办公室的办公模式,有效提高运维效率。
系统同时提供了远程截屏的功能。
远程维护
系统远程维护功能对计算机进行远程查看和远程控制,配合消息交换功能,可以很好的让IT管理员进行远程故障的诊断和排除,很好的提高工作效率。
系统远程管理功能支持客户端确认过程,没有用户的确认无法实现远程接管终端,终端远程服务也只是在需要的时候开启,使用动态密码保证远程服务的安全性。
该方法很好的兼顾了终端系统用户的数据安全和隐私,确保终端计算机的安全性。
远程设置
系统管理员通
升级会员 