解决方案IT部署专业版Word文件下载.docx
《解决方案IT部署专业版Word文件下载.docx》由会员分享,可在线阅读,更多相关《解决方案IT部署专业版Word文件下载.docx(13页珍藏版)》请在冰豆网上搜索。
目标对象
主要用途
《实施解决方案-IT部署》
蓝图设计-系统应用环境准备
IT信息技术部门
指导构建满足ERP系统应用要求的软硬件和网络、安全等IT环境
《实施解决方案-基础档案编码规则》
蓝图设计-基础数据准备
系统管理人员、基础档案管理人员
确定基础档案编码规则,指导基础档案管理人员据此进行基础档案编码
《实施解决方案-业务流程设计》
蓝图设计-业务解决方案初稿、系统建设-方案讨论&
方案确认
关键用户、系统管理人员、企业项目实施团队
确定企业关键业务应用方案和流程,指导各关键用户实施和执行企业关键业务。
《实施解决方案-实施价值分析总览》(可选)
蓝图设计-业务解决方案初稿
高层管理人员
用于高层方案展示与汇报,从企业整体管理角度向高层展现XX项目实施关键价值
《实施解决方案-客户化开发》
系统建设-二次开发
客户化开发人员、企业项目实施团队和对应关键用户
主要提供客户化开发概要需求与解决方案,供客户化开发人员分析与细化需求并开发
《实施解决方案-岗位及权限设置》
系统切换-系统切换准备
系统管理人员
明确ERP系统各种权限设置、定义时需要考虑、遵循的一些基本依据和原则,为岗位与人员权限设置提供一个整体的指导准则
《实施解决方案-系统参数配置手册》
记录环境和XX系统参数配置,指导系统管理人员进行公共系统参数设置与维护
《实施解决方案-IT部署》作为整体实施方案的关键组成部分,基于前期对XX公司的调研,以及确认的调研报告,同时结合ERP的管理思想和功能特点设计而成。
本方案由XXERP项目实施组编写完成,需要相关领导审阅确认并签字。
1.本方案依据业务调研分析整理加工而成,其中问题如果涉及多个部门及岗位,可由相关人员共同商讨确认。
2.本方案将尽量做到准确、详细、全面,报告中如有错误、不当、或遗漏的问题,请客户方予以纠正和补充。
3.此方案为以后实施工作的重要依据,需要用友和XX公司双方最终确认,如果需要变更内容,则必须由双方共同协商。
此文档一式两份,用友公司和XX公司各保留一份。
概述
一.1内容简介
本方案适用于“蓝图设计-系统应用环境准备”阶段,面向XX公司IT信息技术部门,重点阐述与ERP应用系统相匹配的IT部署逻辑和物理架构、安全架构方案,指导XX公司构建满足ERP系统应用要求的软硬件和网络、安全等IT环境。
一.2术语表
【如下示例】
名称
定义
HA
Highavailability,高可用性
NLB
NetworkLoadBalancing,网络负载均衡
……
第二章总体架构
二.1现状分析
【主要从管理现状、网络状况、地域分布等方面进行分析、归纳】
XXXX公司的网络条件一般,有部分的光纤通道,并结合DDN或者微波通道实行相互间互连,但对大批量、实时的数据传输要求无法有效保证,通道的可靠性相对较差。
公司下辖若干个地市公司,按照集中模式对用户进行管理,每个地市的管理用户数量中等(其中有一些地市用户相对较多),但由于地域相对较大,总体来说其管理用户非常高。
二.2总体结构图
【通过网络逻辑拓扑图,描述本企业的网络结构】
二.3总体结构说明
【阐明在本项目中,根据业务需求分析结果,所采用的服务器配置模式】
示例:
XX部署在公司内部数据中心,数据中心与局域网相连,数据中心通过Internet互联网对外开放资源,各外部分支机构的本地没有XX账套数据,通过互联网(包括:
VPN、WEB等方式)或其他方式访问XX业务数据。
在用户通过Internat和远程终端方式使用XX,此情况下推荐使用XX远程接入方式。
XX被集中部署,远程用户可以非常方便的使用部署在总部的XX产品。
二.4关键技术说明(可选)
【对本项目中采用的特殊技术进行详细说明,例如:
RAID配置,磁盘阵列,集群技术、缓存技术等,对于单台服务器为可选项】
第三章逻辑架构设计
三.1应用架构设计
【从系统功能需求的角度去清晰准确定义应用范围、功能及模块等】
三.1.1业务需求分析
【对业务系统的整体情况进行简单描述】
三.1.2业务模块说明
【对业务模块之间的联系和区别进行描述】
三.1.3应用架构部署设计
【根据项目要求,对所采用的部署模式进行描述】
三.2数据架构设计
【从系统数据需求的角度去准确定义数据分类、数据来源及数据部署,以实现系统数据的标准化、一致性、准确性和可靠性。
对于单台服务器为可选项】
三.2.1数据需求分析
【根据应用架构的分析结果,对数据层面进行分析】
三.2.2关键数据说明
【根据用户的需求分析和关键业务特征,阐述关键数据的特点和实现方法,例如:
基础数据,档案数据,报表数据,文档数据等】
三.2.3数据架构部署设计
【描述数据部署的方式,例如:
分布式,集中式,多数据库方式等】
第四章物理架构设计
【基于应用架构和数据架构,从系统具体实现角度提出系统总体的软硬件物理部署方式,为系统运行提供充足的平台资源。
】
四.1物理拓扑图(可选)
【通过硬件拓扑图,描述XX—ERP系统部署所需要的硬件结构和服务器之间的关系】
四.2应用服务器1
四.2.1硬件配置:
【参考“IT部署方案的要求”,建议在允许的情况下略有提升,CPU/内存/硬盘/网卡…,根据实际情况进行增删改】
硬件指标
具体说明
CPU主频及内核
内存类型和容量
硬盘类型和容量
网卡型号和数量
四.2.2操作系统:
【重要参数、补丁和配置方法,用表格的方式进行详细说明,配以截图】
参数
初始值
调整值
四.2.3杀毒软件与系统防火墙、
【重要参数、病毒库和配置方法,用表格的方式进行详细说明,配以截图】
四.2.4应用系统:
四.3应用服务器2(可选)
【参考“4.2.1应用服务器1”,适用于多应用服务器部署的情景下】
四.4数据库服务器1
四.4.1硬件配置:
【CPU/内存/硬盘/网卡…,根据实际情况进行增删改】
四.4.2操作系统:
四.4.3杀毒软件与系统防火墙
四.4.4数据库:
四.5数据库服务器2(可选)
【参考“4.2.3数据库服务器1”,适用于多应用服务器部署的情景】
四.6其他服务器(可选)
【本系统运行需要的其他服务器情况,例如:
RAS服务器、加密服务器等】
四.6.1硬件配置:
四.6.2操作系统:
四.6.3杀毒软件与系统防火墙
四.6.4应用软件系统
四.7备份系统
四.7.1数据备份要求
【根据业务要求,确定备份的方式、频率、路径、数据量等,以及RAID、HA等设置】
四.7.2备份方案策略
【备份和容灾采用的软件,以及实现方式和策略】
业务应用的备份内容包括系统备份、生产数据库备份、历史数据库备份、非结构化数据备份。
对于生产数据库的备份策略分为每天做增量备份,每周做差分备份,每月做全备份。
详细备份策略如下图(可以根据实际情况进行调整):
备份内容
服务器
备份介质
备份方法
备份时间
备份频率
保留周期
保留份数
系统备份
操作系统
全部服务器
NAS
手动
1月
3个月
1
数据库
数据库服务器
自动
1周
1个月
生产数据库备份
帐套数据(ufdata)
生产数据库
全备份
周日
2
差异备份
四.8存储系统(可选)
四.8.1存储需求分析
【根据业务要求和服务器的配置,确定数据存储设备的要求和配置】
业务应用存储容量主要是由以下部分组成:
信息档案数据、非结构化数据、历史数据等。
◆信息档案数据主要包括客户档案资料、信息档案数据等,信息档案数据量主要和客户数量有关。
根据数据模型设计,大用户数占总客户数的比例一般在4%,每户居民的信息档案数据大约为6KB,每户大用户信息档案数据大约为16KB。
考虑到客户档案数据的查询较多,索引按照数据量的50%进行计算。
以10万客户为单位,信息档案数据的容量大小为:
(总客户数×
(1-4%)×
6KB+总客户数×
4%×
16KB)×
(1+50%),大约为900MB。
◆非结构化数据主要包括合同、工程图纸等文档数据,非结构化数据在线保留2年。
根据实际经验统计,合同、工程图纸等非结构化数据,每保存两年的存储容量空间大约为2GB进行计算。
每2年的非结构化数据的存储容量为:
180×
12×
2+2000=45200M=44G
四.8.2存储容量和方式
【确定存储系统的大小,存储设备的基本参数,以及存储的方式等】
业务应用生产数据的特点是频繁访问、响应时间要求很快、性能要求较高,因此,对生产数据的存储磁盘阵列做RAID1+0,实际可利用空间为50%。
高可靠性考虑,磁盘阵列至少有2块热备盘。
非结构化数据的特点是访问频率不太高、响应时间要求一般,性能要求一般,并考虑到成本要求,非结构化数据的存储磁盘阵列做Raid5,实际可利用空间为n-1/n×
每块磁盘容量。
另外,磁盘阵列做RAID还需消耗10-15%的额外容量。
需求裸容量
≥1.5T
控制器数量
≥2个,每个控制器至少配置2个光纤通道
存储缓存容量
≥2G
后备电池
≥2小时
其他
冗余风扇、电源
四.8.3存储系统配置参数
【针对具体的存储设备参数进行设置】
四.9网络要求(可选)
【针对配置RAS的特殊要求,对网络设备和带宽的基础要求】
第五章安全架构设计(可选)
【从应用安全、数据安全、系统安全、网络安全、物理安全和安全运行及管理等方面对ERP业务应用的安全进行了说明】
五.1安全需求与风险分析
【结合业务情况、信息化应用情况,对XX运行环境的安全进行调研和分析】
作为公司业务开展、资金管理服务的承载平台,ERP系统在服务保证、信息安全、资金安全、生产安全等不同安全层面上提出了很高的要求,具体如下:
●通道和网络访问控制要求严格:
ERP业务应用中存在很多高风险的应用,如网上报销是面向互联网的应用,部分分公司使用的是公共通道,金融和非金融机构与本企业联网费用结算等,这些应用对通道和网络访问控制提出了更高的要求;
●身份认证、授权、审计和防抵赖要求严格:
如,ERP业务工作层次多,涉及到的人员复杂,和外部/内部单位存在大量数据交换;
以及生产、财务、物资等内部职能部门交换数据,对这些关键敏感数据和业务操作的安全防护需求很高;
●数据保密性和完整性要求严格:
如,银行联网交易数据,客户敏感信息等;
五.2安全原则与策略
五.2.1安全防护原则
【结合对业务应用的特点和要求,提出安全防护的原则,例如:
高效、合理、经济,易于实施等】
结合对ERP业务应用的特点和要求,安全防护的原则应该高效、合理、经济并易于实施:
●需求、风险、代价平衡分析的原则;
●多重保护原则;
●可评价性原则;
●具有先进性、合理性、实用性、可扩展性;
●技术与管理相结合原则。
五.2.2总体策略
【依据安全需求和安全风险分析的结果,在遵循上述安全防护原则的基础上,提出安全的建议】
依据安全需求和安全风险分析的结果,在遵循上述安全防护原则的基础上,ERP业务应用安全防护的总体策略为:
●分区部署:
对外遵循信息内外网隔离的原则,将ERP业务应用中涉及Internet的业务及其功能模块部署在信息外网。
加强对部署在信息外网应用的安全防护,避免ERP业务敏感信息的泄漏,以及成为黑客、计算机病毒的攻击目标和跳板。
对内理清ERP业务应用与外围借口模块之间的边界,针对不同的安全需求和安全风险,采取相应的安全措施。
●应用加固:
ERP业务应用的安全不能完全依赖基础环境和外围安全设备的安全来保证。
ERP业务应用自身具备有效的认证、授权和审计机制;
在权限分级和数据分类的基础上,能够对关键操作、敏感数据进行重点防护;
同时对外部攻击和滥用具备一定的检测和防御能力。
●多层防护:
针对不同的安全威胁和安全隐患,采用多种防护措施,多层次的加以保护,并加强不同层次之间的协同,建立一个完整的、纵深安全防护体系。
●注重管理:
“三分技术,七分管理”,完善安全防护的组织体系和制度建设,明确安全防护的责任与分工;
加强安全运维和安全审计工作,根据安全风险的变化,持续改进安全防护策略;
制定应急响应流程和事故处理流程,积极应对突发安全事件。
五.3应用安全设计
五.3.1用户和权限管理
【针对XX的用户的权限进行统一管理、细致分配并记录】
五.3.2数据安全
【保证重要数据在传输、存储和处理过程中的完整性、机密性和可用性】
业务数据是ERP业务应用正常运行的基础,必须确保业务数据在传输、处理、存储过程中的机密性、完整性和可用性。
我们可以将其分为三类:
●关键敏感数据数据,与重要客户的信息、资金流、资产流相关的数据
●普通业务数据,普通用户一般业务处理的数据
●公开数据,年度报表等公开发布的数据
针对上述业务数据及其分类情况,具体保护措施如下:
1、关键敏感数据
●关键敏感数据是应该做到:
登录认证、严格授权、传输加密、数据实时备份;
●认证必须采用强认证方式,如数字证书、一次性口令、生物设备等;
●采用严格授权管理,使数据和程序免受无权用户的恣意篡改;
2、普通业务数据
对于普通业务数据,原则上这些信息应该在公司内部安全保管,如果它需要在公共媒体上传输(如在internet上传输),应该先进行加密,然后再传输。
3、公开数据
公开数据是指年度报表等公开发布的数据。
对于公开数据信息,应该做到:
数据备份。
五.3.3系统安全
【从操作系统、数据库等基础软件角度阐述安全措施】
采用数据库服务器资源使用管理策略,防止某些用户的特定业务操作对服务器资源过度使用。
营销业务应用的多个业务模块应分别对应多个数据库用户,以实现上述资源管理功能。
同时通过数据库软件的安全功能特性为各个模块的数据库用户授与访问业务数据表、视图、存储过程等数据库对象的权限。
提供对外服务的Web服务器还需要进行安全加固,并通过防火墙、入侵检测等外围安全措施进行保护。
五.3.4网络安全
【从内网、外网、专网角度阐述安全措施】
应根据各部门的工作职能、重要性、所涉及信息的重要程度、访问者身份等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;
服务器分子网部署,采取网络层地址与数据链路层地址绑定措施,防止地址欺骗;
业务终端网络地址固定,尽可能避免使用DHCP。
在网络边界和重要网段(数据库服务器、应用服务器)部署入侵检测设备。
五.4管理安全建议
五.4.1安全防护组织机构
建立营销业务应用安全防护的组织机构,并将安全防护的责任落实到人,安全防护组织可以专职或者有运维人员兼职。
五.4.2安全管理规章制度
建立安全管理规章制度,具体包括:
安全防护策略管理,软件系统安全生命周期的管理,系统安全运维管理,安全审计与安全监控管理,以及口令管理、权限管理等。
五.4.3安全运行管理
定期对系统运行情况进行全面审计。
包括网络、主机、数据库等审计,业务应用审计等
五.4.4应急机制
结合系统备份和容灾方案,制定应急流程和灾难恢复流程
五.4.5安全培训与安全教育
对安全运行维护人员和管理人员进行安全培训,提高安全防护知识与技能;
对系统用户进行安全教育,了解安全防护策略,以及安全管理制度