设备管理计算机系统技术方案Word下载.docx
《设备管理计算机系统技术方案Word下载.docx》由会员分享,可在线阅读,更多相关《设备管理计算机系统技术方案Word下载.docx(18页珍藏版)》请在冰豆网上搜索。
计算机设备、网络设备、网络系统应能适应将来技术发展的需要,以使本项目投资所形成的系统具有较长的生命期(保持在3-4年内不落后,并可支持8年以内的应用),这是衡量投资合理性的重要指标。
采取目前最先进的计算机软硬件技术,保证系统具有最良好的应用实效性、技术性能和大型管理系统对系统运行稳定性、高可靠性、高安全性及其良好的可维护性的要求,并提供足够的软硬件扩展接口,降低运行维护费用与自扩展所需要的成本。
第二章系统设计原则
2.1计算机网络设计原则
在设计首钢总公司机动部设备管理计算机网络系统时我们遵循了以下几个基本原则:
2.1.1技术先进性
在保证技术的成熟条件下,网络方案的设计采用先进的网络设备符合当前国内国际发展方向,具有国际标准的先进网络技术。
同时,选择拥有先进网络技术的厂商,为用户提供良好的服务及支持。
2.1.2可靠性
整个网络系统的设计考虑到了网络及相关设备厂家的选择、关键的存储设备使用RAID技术等可靠性因素。
2.1.3应用的实效性
本方案所采用的网络设备都是目前市场主流的网络设备,具有良好的性能价格比,以及软硬件操作的简单实用性。
2.1.4安全性
考虑到首钢总公司机动部设备管理计算机网络系统的工作性质,本网络系统对数据的安全性进行了防范。
系统可在较长时期内经受各种不可预见的数据毁坏事故,保证高比例的数据恢复能力,并在数据传输方面,以需者方知为原则,切实达到满足不同条件下的安全性要求。
2.1.5可扩充性和可升级性
网络系统的性能具备一定的超前性,随着网络技术和网络应用的不断发展,系统具有良好的可升级性,主干可平滑过渡到千兆以太网;
随着网络节点和用户的增加、网络带宽的增加,系统还具有良好的可扩充性。
设备能够保持在3-4年内不落后,并可支持8年以内的应用。
2.2管理信息系统设计原则
首钢总公司机动部设备管理信息系统在可靠性、安全性、先进性和实用性以及智能性等方面独具特色:
2.2.1可靠性
由于首钢总公司机动部设备管理系统要处理的数据量较大,任一时刻的系统故障都会影响对首钢设备的维护管理,这就要求系统具有高度的可靠性。
为了提高系统可靠性,我们在硬件方面采用具有容错功能的服务器及网络设备,选用双机备份及Cluster技术的硬件设备配置方案,出现故障时能够迅速恢复并有适当的应急措施;
每台设备均考虑可离线应急操作,设备间可相互替代;
在软件方面采用数据备份、数据恢复、数据日志、故障处理等系统故障对策。
采用网络管理、严格的系统运行控制等系统监控功能,全面提高系统的可靠性。
2.2.2先进性
采用当今国内、国际上先进和成熟的企业内部网Intranet技术,使新建立的系统能够最大限度地适应今后业务技术发展变化的需要。
系统结构是瘦客户机/服务器体系结构,保证了数据的一致性和安全性,利用网络交换技术、网管技术,通过智能化的网络设备及网管软件实现对传输信息网络系统的有效管理与控制,监控网络运行情况,及时排除网络故障和调整、平衡网上信息流量。
2.2.3实用性
实用性指能够最大限度地满足传输维护管理流程需要。
因为随着业务的发展,传输管理的科学化,标准化和规范化就显得更加重要。
系统设计将充分考虑传输管理人员当前各业务层次、各环节管理中数据处理的便利性和可用性,把满足传输管理人员维护管理作为第一要素进行考虑,采取总体设计、分步实施的技术方案。
在总体设计的前提下,系统实施中首先面向传输业务低层管理,稳步向中高层管理及传输网管理全面自动化过渡,这样做可以使系统始终与传输专业的实际需求紧密联系在一起,不但增加了系统的实用性,而且使系统将来更容易扩充并与办公自动化有关系统互联。
2.2.4安全性
数据的安全性对传输管理系统也是非常重要的,系统总体设计时,我们充分考虑这一点。
服务器操作系统平台基于MSWindowsNT4.0,数据库选用Oracle8I,两者都在安全性方面处于国际领先地位,这样可以使整个系统符合IS09000中的数据安全标准。
在应用系统层次通过操作权限控制、设备钥匙、密码控制、系统日志监督、数据更新严格凭证等多种手段防止系统数据被窃取和篡改。
界面操作采用用户名、口令管理,信息分级存放,用户权限等级管理和领导批阅电子签名管理等安全措施。
用户都有各自的名,不同用户的界面与功能各不相同,重要操作均有口令保护,并设有签名口令实现电子签名。
使用代理服务器,安装防火墙软件,保证了系统内部网络的安全性和保密性,控制外界对首钢Intranet网内资源的访问。
对重要数据,系统采取数据库管理和字节加密等方式来隔绝非授权用户(包括系统管理员)的访问。
2.2.5智能性
本系统在电路调度和障碍紧急调度方面,具有智能性。
根据给定条件自动配置管理方案,检验方案是否正确。
智能性极大方便传输维护和管理工作。
第三章网络系统结构及解决方案
3.1网络结构
本网络为一星型拓扑结构的网络,使用微机服务器,并设置数据服务器与WEB服务器。
网络系统可支持三级管理应用,即公司—下属企业—下属车间三级管理;
在下属企业实行两级管理,既可以是网络应用,也可以是单机应用。
下属企业与公司总部之间通过Internet或电话拨号实现远程数据通信。
整个部门网络采用快速以太网构成网络主干,整个网络系统为星型拓扑结构,网络交换中心配置2台3ComSuperStackII3300SM高性能带有百兆上联口的快速以太网交换机,它们之间实现堆叠,每一个交换机均提供24口10/100MB自适应快速以太网端口和1个1000MB端口。
其中,2台3ComSuperStackII3300SM交换机用以连接本部门的局域网信息点;
一台Cisco2509作为远程拨号访问服务器,通过MODEM池和PSTN线路连接到各远程局域网节点。
本系统的网络拓扑图见下图:
3.2网络设计原则的实现
根据首钢总公司机动部设备管理计算机网络系统建设的目标及应遵循原则,公司建设整个网络系统所采用的技术及解决方案如下:
3.2.1技术先进性
根据首钢总公司机动部设备管理计算机网络系统的需求和技术要求,整个部门系统构成一个快速以太网的高速交换网络平台,网络主干采用快速以太网技术。
网络主干选用3Com公司的以太网产品和解决方案,考虑到系统今后的发展以及适应将来整个系统主干可平滑过渡到千兆以太网。
快速以太网是随着网络技术的发展,在原有的以太网的基础上发展起来的新技术,它具备与原来以太网技术兼容性好、高带宽、简单应用的优点,同时也能提供服务质量和较强扩展性。
另外,它在网络的安全性和网络的性能方面都具有较大的优势,目前已经得到了广泛的应用。
3.2.2可靠性
首钢总公司机动部设备管理计算机网络系统是用于总公司机动部三个分系统设备技术管理系统、检修管理系统和备件管理系统之间的业务处理的一个计算机管理信息系统,对网络的可靠性有很高的要求。
为了保证首钢总公司机动部设备管理计算机网络系统的可靠性,拟采用以下几种方式保证系统的可靠性:
(1)主干采用世界知名厂家的网络设备;
(2)对于存储设备采用RAID技术,以保证系统数据的安全;
(3)对中心机房的主要设备配置UPS不间断电源,以应付断电、电压忽高忽低等现象。
3.2.3应用的实效性
本方案所采用的网络设备都是目前市场主流的网络设备,具有良好的性能价格比,以及软硬件操作的简单性和实用性。
3.2.4安全性
在首钢总公司机动部设备管理计算机网络系统中,网络系统的安全非常重要,特提出以下防范措施:
(1)网络的安全是本网络方案的一个重要的内容。
网络安全主要实现在TCP/IP及以下层次上控制,只有获得授权的用户与系统中允许他访问的节点,在指定的TCP或UDP端口上进行通信。
(2)构建一个安全的网络环境,就是针对非法入侵者采用的手段以及网络环境中存在的漏洞,并结合实际的网络环境,建立起一套安全的防范系统,补上系统中各个级别的漏洞,切断非法用户的入侵渠道。
安全网络是整个系统安全的第一层防护,在本系统中,网络安全通过以下三个方面来实现:
(1)网络设备安全;
(2)网络数据流控制;
(3)通信线路安全。
3.2.4.1网络设备安全。
要实现网络的安全,首先要保证网络设备本身的安全性。
在本系统中使用交换机、路由器、访问服务器和外部设备。
在路由器、交换机、访问服务器上,自身的安全措施包括console端口和Telnet访问限制、SNMP访问与CDP设备发现限制、配置文件保护等,具体实施内容包括:
要在设备上设定用户和口令,控制非特权方式和特权方式的访问权,并且通过设定口令的加密钥和网络设备的单向加密机制,使用权口令在配置中以加密方式出现,保证口令的安全性;
要设定访问空间时限,如果管理员在设定的一段时间内(如5秒)不使用,路由器等设备将自动终止访问连接;
在设备上配置访问控制表,限制内部网络上只有维护工作站和网管工作站可以登录该网络设备,同时限制所有来自Internet的用户对设备本身的访问(包括PING、Telnet、Discard、Echo、SNMP等);
限制内部网络上,只有网管工作站可以使用SNMP访问;
除了Telnet服务外,在设备上取消全部IP服务器功能,包括Rlogin、Rsh、HTTP服务器等;
利用访问控制表的LOG功能,定期检查是否有人试图攻击路由日历和防火墙等;
在与外部网络连接的广域网端口上,不运行CDP协议;
在WindowsNT或UNIX服务器上安装一个RADIUS服务程序,跟踪Internet上黑客对路由器配置的篡改活动;
严格管理所有路由器、交换机的配置的存放,如果是电子文本,注意其访问控制权;
保证所有网络设备的物理安全性,防止无关人员接触网络设备。
通过这些措施,本系统网络设备可以实现其正常运行,完成这些网络设备应该完成的功能,为其它的安全措施提供一个安全的基础。
3.2.4.2网络数据流的控制
在保证网络设备的基础上,可以通过控制电话的主叫号码\数据流的源和目的IP地址、数据流对应的TCP端口,实现网络数据流的控制,具体措施包括:
(1)在路由器上,采用CHAP、PAP协议验证对方路由器,中心不与未通过验证的路由器建立连接;
在路由器上,设定扩展的IP访问控制表,实现IP层、传输层的安全控制;
(2)对访问服务器的拔号设备和移动用户的访问,通过设置限制拔号的主叫号码,只有合法的ISDN或PSTN号码可以拔入到服务器上,并
升级会员 