论文部分内容阅读
摘 要:随着采油厂网络规模的迅速扩大,网络系统的性能与安全问题日益突出,管理难度日益增大。为了保证网络系统基础设施的安全稳定运行,从全局出发规范IT运维管理流程,构建高可用、高可靠的采油厂信息资源管理、运行、监控体系,提高采油厂网络系统安全性能和精细管理水平。
关键词:网络;系统;虚拟化;监控;备份
1 背景
随着采油厂网络、服务器及数据库系统规模的不断扩大和应用范围的不断扩展,信息系统管理的复杂性和开放性的特点日益突出,由此而产生的信息安全问题越来越受到人们普遍的关注,并逐渐成为信息化工作的难点和重点。
信息安全体系建设是一项复杂的系统工程,从IT系统的底层(网络设备、链路、主机)到高层(操作系统、应用、业务),从全局、全过程出发规范IT运维管理流程,构建高可用的、可持续发展的采油厂信息安全体系。
2 建设目标
采油厂信息安全体系建设目标是:建立以人为本、可控可管的安全管理体系,以需求为导向、流程化管理的运维服务体系,以提升防预能力、恢复能力和适应能力为后备保障的数据容灾与恢复体系,全方位保障采油厂的机房与物理线路安全、网络安全、系统安全和应用安全。构建采油厂信息安全的总体框架,夯实信息安全基础。包含以下几个方面的建设:
3建设内容
为了保证采油厂信息系统的安全可靠运行,我们在硬件监控体系、资源优化、数据备份、业务管理信息化等方面开展工作,确保设备设施的不间断工作,数据安全有保障,IT运维业务高质高效运行。
3.1整合优化服务器虚拟化资源
利用VMWARE虚拟化平滑迁移、硬件资源动态分配、高可用性等先进特性,配置动态迁移和高可用性集群,避免硬件故障造成应用系统停机。通过建立虚拟服务器平台,重新分配服务器、存储和其他资源,可以获得更高的效率,降低运行成本,确保整个服务器系统的潜力得到全面的发掘。
在每台服务器上都安装配置VMware套件,在单个物理服务器上,可以运行多个虚拟服务器,而每一个虚拟服务器,从功能、性能和操作方式上,等同于传统的单台物理服务器。
通过逐步迁移旧服务器上的应用到虚拟机里,把负载较轻的应用迁移到虚拟机里,把服务器转为对资源需求更多的应用,使资源配置更合理,减少系统发生问题的几率,新上的一些应用部署在虚拟机里,减少服务器购置数量。
3.2部署综合网管系统
建立网络监控平台,实时采集各种网络设备、服务器、应用系统中间件(IIS、Tomcat)以及数据库(Oracle、SQLServer)的性能数据,形成集约化的监控和报警机制。
通过部署即插即用的硬件IT架构监测管理设备,对用户的IT架构环境进行 7×24 小时不间断的监测,监测范围包括:网络交换机、路由器,防火墙、服务器、数据库、操作系统、中间件、软件、服务、网站、进程、端口、日志文件和用户自定义的脚本和SNMP监测。
3.3建设数据存储自动备份机制
对现有存储资源进行整合,建设集中、统一的存储备份管理平台,为各个业务系统提供集中、统一的存储和备份服务,提高存储、备份性能以及数据的安全保障和系统管理水平,保证各业务系统数据安全和各业务系统的正常稳定运行。
我们通过部署备份软件对机房的重要服务器全部实施自动化备份。覆盖从桌面到数据中心以及UNIX, Windows, Linux, 甚至NetWare的不同IT环境。为数据保护和容灾提供单一、集中的管理工具,充分利用高级的磁盘保护技术,同时保护用户在磁带上的投资,广泛的支持主流操作系统、数据库和存储硬件。通过实施自动化备份,我们为数据安全又增加了一道可靠的防线。采油厂重要服务器基本都已覆盖自动化备份。
3.4优化部署机房环境
升级ups系统,机房电源间保证可靠的制冷设备,使重要设备不会因温度发生问题,完善防雷建设和供电的稳定性,降低因雷击,电涌造成的设备损坏。
我们用先进的高频ups系统来替代现有的ups。它的优势有输入功率因数高,本身功耗小,对外干扰小,体积小重量轻,全数字技术,对电网的适应能力强。提高效率5%以上,大大减少不必要的能源损耗。在重要机房配备两台空调,在一台发生问题时,另一台可临时工作,保证机房时刻处于稳定的温度。
全厂17个三级网络结点完成机房的整理和UPS电源(延时4-6小时)的配备,140个光缆接入点完成防雷部署,从防雷室外接地、电源空开、防浪涌保护、等电位联接、RJ-45网线防护五个方面采取防雷保护措施。
3.5升级主干网络架构
随着企业的发展,采油厂的网络规模也在日益壮大。在一个中小型网络向大型网络转变的过程中,主要的一个变化就是企业对于网络的稳定性要求更高。但是与之相反,随着网络的复杂程度提高,其可用性是在逐渐下降的。我们从以下几个方面提高网络的高可靠性。
(1)主干网络环路的建设
传统的光纤网络采用的是主干通讯的方式,中间的任何一条链路断掉,至少会影响连接中的一个区域,给网络的安全性带来隐患。网络环路的建立,是采油厂企业网向电信级网络迈进的一个重要标志,从整体上提升网络的扩展性以及光缆故障的容灾能力和恢复能力。
(2)优化网络介质、结构、配置
借助多方力量,共享建设成果,经过近几年的努力,采油厂基层站点实现全光纤通信。采用跳接或直联的方式,实现了采油厂16个源点采集三级单位与厂核心交换机的一级联接,所有机关直属单位与厂核心交换机的一级联接,四级网络单点至上联三级汇聚点的一级联接,采油厂网络介质和结构得到了大规模的优化。三、四级网络汇聚点的单口收发器向集成机槽过渡,使设备故障率大大下降,网络稳定性大大提升。在三级交换机上配置STP协议,避免了网络回路广播风暴对主干网络的影响。
3.6落实信息安全管理制度
信息安全管理制度的制定及工作流程和规范的制定;信息安全故障处理及应急预案的制定和演练;信息安全相关责任人的培训和学习。
4系统应用情况及创新点
4.1应用情况
项目运行以来,减少了物理服务器及PC机10余台,机房电力消耗得到了较好的控制,重要厂级数据库服务器提速近20倍,可靠性大大提高。应用数据库服务器的更新、自动备份软件和监控软件的应用,减少了工作强度,确保了数据可靠性,IT基础设施的维护及时率提高、故障率下降。
4.2 技术创新点
(1)虚拟化技术在服务器中的应用
虚拟化技术充分发挥了现有硬件的高性能,提高了资源利用率,减少了设备购置成本和电力消耗,更提供了高可用性。
(2)集中监控平台的应用
监控软件在采油厂的应用实施,提高了设备巡检效率,及时发现设备,应用系统的问题所在,从被动应付问题到主动解决问题,提高了用户满意度。
(3)自动备份系统的建设
自动备份软件的使用,提高了备份效率,减少了恢复系统所用时间,保证了数据安全。
(4)网络冗余的建设
光纤环路的建设,链路聚合的建设,大幅度提高了采油厂企业网的通讯可靠性,为信息系统的使用提供了可靠的保障。
參考文献:
[1]曹天杰等编著计算机系统安全高等教育出版社
[2]冯元等编著计算机网络安全基础 科学出版社
关键词:网络;系统;虚拟化;监控;备份
1 背景
随着采油厂网络、服务器及数据库系统规模的不断扩大和应用范围的不断扩展,信息系统管理的复杂性和开放性的特点日益突出,由此而产生的信息安全问题越来越受到人们普遍的关注,并逐渐成为信息化工作的难点和重点。
信息安全体系建设是一项复杂的系统工程,从IT系统的底层(网络设备、链路、主机)到高层(操作系统、应用、业务),从全局、全过程出发规范IT运维管理流程,构建高可用的、可持续发展的采油厂信息安全体系。
2 建设目标
采油厂信息安全体系建设目标是:建立以人为本、可控可管的安全管理体系,以需求为导向、流程化管理的运维服务体系,以提升防预能力、恢复能力和适应能力为后备保障的数据容灾与恢复体系,全方位保障采油厂的机房与物理线路安全、网络安全、系统安全和应用安全。构建采油厂信息安全的总体框架,夯实信息安全基础。包含以下几个方面的建设:
3建设内容
为了保证采油厂信息系统的安全可靠运行,我们在硬件监控体系、资源优化、数据备份、业务管理信息化等方面开展工作,确保设备设施的不间断工作,数据安全有保障,IT运维业务高质高效运行。
3.1整合优化服务器虚拟化资源
利用VMWARE虚拟化平滑迁移、硬件资源动态分配、高可用性等先进特性,配置动态迁移和高可用性集群,避免硬件故障造成应用系统停机。通过建立虚拟服务器平台,重新分配服务器、存储和其他资源,可以获得更高的效率,降低运行成本,确保整个服务器系统的潜力得到全面的发掘。
在每台服务器上都安装配置VMware套件,在单个物理服务器上,可以运行多个虚拟服务器,而每一个虚拟服务器,从功能、性能和操作方式上,等同于传统的单台物理服务器。
通过逐步迁移旧服务器上的应用到虚拟机里,把负载较轻的应用迁移到虚拟机里,把服务器转为对资源需求更多的应用,使资源配置更合理,减少系统发生问题的几率,新上的一些应用部署在虚拟机里,减少服务器购置数量。
3.2部署综合网管系统
建立网络监控平台,实时采集各种网络设备、服务器、应用系统中间件(IIS、Tomcat)以及数据库(Oracle、SQLServer)的性能数据,形成集约化的监控和报警机制。
通过部署即插即用的硬件IT架构监测管理设备,对用户的IT架构环境进行 7×24 小时不间断的监测,监测范围包括:网络交换机、路由器,防火墙、服务器、数据库、操作系统、中间件、软件、服务、网站、进程、端口、日志文件和用户自定义的脚本和SNMP监测。
3.3建设数据存储自动备份机制
对现有存储资源进行整合,建设集中、统一的存储备份管理平台,为各个业务系统提供集中、统一的存储和备份服务,提高存储、备份性能以及数据的安全保障和系统管理水平,保证各业务系统数据安全和各业务系统的正常稳定运行。
我们通过部署备份软件对机房的重要服务器全部实施自动化备份。覆盖从桌面到数据中心以及UNIX, Windows, Linux, 甚至NetWare的不同IT环境。为数据保护和容灾提供单一、集中的管理工具,充分利用高级的磁盘保护技术,同时保护用户在磁带上的投资,广泛的支持主流操作系统、数据库和存储硬件。通过实施自动化备份,我们为数据安全又增加了一道可靠的防线。采油厂重要服务器基本都已覆盖自动化备份。
3.4优化部署机房环境
升级ups系统,机房电源间保证可靠的制冷设备,使重要设备不会因温度发生问题,完善防雷建设和供电的稳定性,降低因雷击,电涌造成的设备损坏。
我们用先进的高频ups系统来替代现有的ups。它的优势有输入功率因数高,本身功耗小,对外干扰小,体积小重量轻,全数字技术,对电网的适应能力强。提高效率5%以上,大大减少不必要的能源损耗。在重要机房配备两台空调,在一台发生问题时,另一台可临时工作,保证机房时刻处于稳定的温度。
全厂17个三级网络结点完成机房的整理和UPS电源(延时4-6小时)的配备,140个光缆接入点完成防雷部署,从防雷室外接地、电源空开、防浪涌保护、等电位联接、RJ-45网线防护五个方面采取防雷保护措施。
3.5升级主干网络架构
随着企业的发展,采油厂的网络规模也在日益壮大。在一个中小型网络向大型网络转变的过程中,主要的一个变化就是企业对于网络的稳定性要求更高。但是与之相反,随着网络的复杂程度提高,其可用性是在逐渐下降的。我们从以下几个方面提高网络的高可靠性。
(1)主干网络环路的建设
传统的光纤网络采用的是主干通讯的方式,中间的任何一条链路断掉,至少会影响连接中的一个区域,给网络的安全性带来隐患。网络环路的建立,是采油厂企业网向电信级网络迈进的一个重要标志,从整体上提升网络的扩展性以及光缆故障的容灾能力和恢复能力。
(2)优化网络介质、结构、配置
借助多方力量,共享建设成果,经过近几年的努力,采油厂基层站点实现全光纤通信。采用跳接或直联的方式,实现了采油厂16个源点采集三级单位与厂核心交换机的一级联接,所有机关直属单位与厂核心交换机的一级联接,四级网络单点至上联三级汇聚点的一级联接,采油厂网络介质和结构得到了大规模的优化。三、四级网络汇聚点的单口收发器向集成机槽过渡,使设备故障率大大下降,网络稳定性大大提升。在三级交换机上配置STP协议,避免了网络回路广播风暴对主干网络的影响。
3.6落实信息安全管理制度
信息安全管理制度的制定及工作流程和规范的制定;信息安全故障处理及应急预案的制定和演练;信息安全相关责任人的培训和学习。
4系统应用情况及创新点
4.1应用情况
项目运行以来,减少了物理服务器及PC机10余台,机房电力消耗得到了较好的控制,重要厂级数据库服务器提速近20倍,可靠性大大提高。应用数据库服务器的更新、自动备份软件和监控软件的应用,减少了工作强度,确保了数据可靠性,IT基础设施的维护及时率提高、故障率下降。
4.2 技术创新点
(1)虚拟化技术在服务器中的应用
虚拟化技术充分发挥了现有硬件的高性能,提高了资源利用率,减少了设备购置成本和电力消耗,更提供了高可用性。
(2)集中监控平台的应用
监控软件在采油厂的应用实施,提高了设备巡检效率,及时发现设备,应用系统的问题所在,从被动应付问题到主动解决问题,提高了用户满意度。
(3)自动备份系统的建设
自动备份软件的使用,提高了备份效率,减少了恢复系统所用时间,保证了数据安全。
(4)网络冗余的建设
光纤环路的建设,链路聚合的建设,大幅度提高了采油厂企业网的通讯可靠性,为信息系统的使用提供了可靠的保障。
參考文献:
[1]曹天杰等编著计算机系统安全高等教育出版社
[2]冯元等编著计算机网络安全基础 科学出版社