业务系统及机房迁移方案

1、业务系统及机房迁移方案背景介绍迁移对象迁移流程迁移计划安全项目对接应急与突发预案采购清单背景介绍背景介绍arvato | EIS | Security Integration Service | 42022/8/6项目目标为提高生产效率，充分利用办公资源，节约能耗以及统一IT运维管理为出发点，计划将办公区内的数据中心内服务器、存储等IT设备及系统,统一搬迁至协会托管IDC机房。工作范围详细说明搬迁明细 IDC机房虚拟资源规划 相关资源申请 搬迁服务器硬件健康检查 设备连线标签 设备下架 设备打包搬迁 设备上架 设备加电状态检查 新机房网络规划 服务器IP地址更新服务范围包括 应用系统产品注册系

2、统会员服务系统报表中心微信报名（服务号）资产管理信息交互系统受托管理数据格式校验及报表展示功能微信报名（企业号） 硬件设备IBM服务器（10台左右）IBM V5000存储（1台）计划迁移设备/系统清单系统迁移清单序号系统名称甲方负责人立项时间上线时间开发商系统位置IP地址系统资源分配1产品注册系统潘冲2014年11月2015年1月携宁协会454台物理服务器，2*E5-2609v2 4C 2.5GHz，48G DDR3,12个300G 15k SAS，8GB HBA；2*E7-4820 2.0GHz，64G DDR3,8个300G 15k SAS，8GB HBA；已使用2.5T硬盘2会员服务系统

3、付伟2015年3月2015年10月联银通协会53624260.3536:1CPU,8G,200G(已经使用25G);0.24:1CPU,4G,250G(已经使用15G);0.26:1CPU,16G,200G(已经使用55G)3报表中心张奋涛2015年11月2016年1月携宁协会130.113：2CPU,8G,两个磁盘,C盘100G已使用25G，D盘400G已使用120G，操作系统2008；4微信报名（服务号）张奋涛2016年2月2016年3月携宁协会应用环境：3数据库服务器：223服务器：2CPU，4GB，一个100G磁盘，已使用18G，操作系统2008；22服务器同企业号服务器。5资产管理信

4、息交互系统张奋涛2015年8月2016年5月东软协会演示环境：828服务器：2CPU，10GB，一个100G磁盘，已使用30G，操作系统2008；6受托管理数据格式校验及报表展示功能蔡荣2016年3月2016年5月蔡荣、田野协会137微信报名（企业号）张奋涛2016年2月2016年3月携宁协会222服务器：2CPU，4GB，两个磁盘，C盘50G已使用25G，D盘60G已使用30G，操作系统2012；8教育培训系统潘冲2015年10月ATAN/A9网上调研田野2015年12月2016年1月问卷星N/A迁移流程迁移流程arvato | EIS | Security Integration Serv

5、ice | 82022/8/6数据迁移物理服务器迁移虚拟化管理策略调整业务系统迁移业务测试及文档交付迁移工作模型资源准备（计算、网络、存储、机柜）需求调研（业务、系统、网络、供应商）业务系统备份业务系统测试网络层配置调整监控系统策略调整供应商服务团队arvato | EIS | Security Integration Service | 92022/8/6需求调研系统资源调研协会数据中资源使用情况IDC资源使用情况网络调研IDC专线，Internet使用情况IDC局域网资源与划分协会内业务系统调研业务系统优先级业务系统使用情况供应商硬件供应商支持情况业务系统供应商支持情况arvato | E

6、IS | Security Integration Service | 102022/8/6资源准备机柜资源，依据迁移设备数量和安全项目设备知道机柜资源AB局域网资源，为内部业务系统分配单独区域，区分对内与对外的系统C专线扩容并增加一条协会到IDC专线E虚拟化资源，为协会内部业务系统准备对应的虚拟化资源资源准备DInternet资源，增加一条10M Internet线路，并对现有带宽进行升级迁移流程迁移流程arvato | EIS | Security Integration Service | 112022/8/6数据备份与迁移业务系统备份业务系统迁移业务系统测试相关服务器迁移服务器测试迁移

7、之前进行全备份操作优先迁移协会内部的虚拟机按照业务系统的优先级，先迁移优先级较低的系统业务系统测试相关服务器迁移存储迁移（作为备份存储使用）迁移后功能性能验证测试业务系统迁移步骤arvato | EIS | Security Integration Service | 122022/8/6业务测试与验收业务测试业务系统备份完整性测试业务系统迁移以后测试业务系统相关性测试项目验收业务系统与虚拟化系统交接相关文档交接整体项目交接项目验收迁移流程迁移计划迁移计划迁移计划细分arvato | EIS | Security Integration Service | 152022/8/6任务A机房整体搬

8、迁服务项目进度计划 合同签订 项目启动 系统调研 制定调研方案 现有机房设备物理调研 现有系统应用和网络调研 新机房环境调研 整理调研报告 搬迁方案详细设计 搬迁步骤详细设计 新机房网络系统详细设计 核心系统和存储系统数据迁移设计 现有系统配置调整设计 新机房物理部署设计 搬迁路线选择 搬迁方案评审和确认 环境准备及确认 新机房环境准备和确认 线缆和相关附件准备 运输工具和防护设施准备 环境准备确认任务B 系统搭建和配置调整 网络系统建设 新机房网络系统搭建 备用环境建设 新机房备用环境搭建 现有业务迁移 现有业务迁移至备用平台测试 现有业务正式迁移至备用平台 核心数据迁移 核心数据迁移测试

9、核心数据迁移 核心数据迁移验证 系统搬迁 现有设备标签准备 生产系统搬迁 各系统数据备份 各系统搬迁 搬迁后整理和维护 正式验收 文档整理 验收arvato | EIS | Security Integration Service | 162022/8/6组织结构欧唯特IT团队协会IT团队PMO 蔡荣系统工程师 付伟 网络工程师 李强 王钊 项目经理Fisker Liu安全团队Shi Long网络团队Fu Jianke系统及迁移团队Will Li，Li XinyongYang Baojie支持团队项目总监支持团队项目总监安全项目对接会员公司电信5M第三方系统华为USG6360 华为USG636

10、0 华为S5700 华为S5700 华为 RH2288H V3 博科BR-340-0008 浪潮AS 520E-M1 博科BR-340-0008 资管云OA办公系统会员服务系统网站平台私有云管理系统Internet联通20M华为 Metro 1000 Histone G3150 FW 流量控制深信服2050 VPN Huawei7706 IBM B24光交IBM V5000 华为 S5700S IBM 3650 IBM 3850 IBM 3850 虚拟化环境产品注册测试系统MCS视频会议录音服务器产品注册系统上海数据中心Internet专线北京数据中心区域协会内部区域11312迁移后数据中心边

11、界安全升级改造；迁移后Web应用系统安全升级改造；欧唯特信息安全服务；123数据中心网络边界安全升级改造方案arvato | EIS | Security Integration Service | 192022/8/6下一代威胁防御（高可用）会员公司电信第三方系统联通20M上海数据中心（未来）已知木马及恶意软件Http协议检查内部威胁阻断流量和事件大数据分析终端病毒防护应用服务器群办公终端下一代威胁防御产品选型-Check Pointarvato | EIS | Security Integration Service | 202022/8/6Check Point 企业安全需求选型工具“S

12、ecurity Power Unit”当前需求Check Point NGTP 4800IPS身份认证垃圾邮件病毒木马僵尸机应用控制Check Point Smart 205智能管理未来增长2015年“下一代威胁防御”排名Check Point下一代威胁防御产品部署说明arvato | EIS | Security Integration Service | 212022/8/6入侵防御僵尸网络上述Check Point NGTP 4800的部署方式与“城市商业银行资金清算中心数据中心”和“中国太平保险数据中心”的部署方式相同。Smart 205是专为CP NGTP设计的智能管理设备， Sma

13、rt 205提供SmartView Monitor，实时监控安全事件和用户行为；SmartLog，通过Google式搜索集中跟踪所有安全日志和安全活动；SmartEvent的统一事件分析功能可从混乱中确定关键的安全事件。电信5M华为USG6360 华为USG6360 华为 S5700S 华为 S5700S Check Point NGTP 4800Check Point NGTP 4800下一代威胁防御在生产网部署方式Check Point Smart 205智能管理Histone G3150 FW Huawei7706 办公网会员公司电信5M第三方系统华为USG6360 华为USG6360

14、华为S5700 华为S5700 华为 RH2288H V3 博科BR-340-0008 浪潮AS 520E-M1 博科BR-340-0008 资管云OA办公系统会员服务系统网站平台私有云管理系统Internet联通20M华为 Metro 1000 Histone G3150 FW 流量控制深信服2050 VPN Huawei7706 IBM B24光交IBM V5000 华为 S5700S IBM 3650 IBM 3850 IBM 3850 虚拟化环境产品注册测试系统MCS视频会议录音服务器产品注册系统上海数据中心Internet专线北京数据中心区域协会内部区域11312迁移后数据中心边界安

15、全升级改造；迁移后Web应用系统安全升级改造；欧唯特信息安全服务；123数据中心应用安全升级改造方案arvato | EIS | Security Integration Service | 232022/8/6联通20M华为 Metro 1000 Histone G3150 FW IPS流量控制Huawei7706 电信5M华为USG6360 华为S5700 华为S5700 浪潮AS 520E-M1 IBM V5000 移动终端应用层防火墙SQL注入跨站请求防止网站爬取虚拟补丁信誉机制全球取证慢速DDoS攻击应用程序防火墙产品选型- Impervaarvato | EIS | Securit

16、y Integration Service | 242022/8/6Application ServerWeb Application Firewall在线部署Application ServerVirtual Web Application Firewall虚拟部署旁路部署Application ServerWeb Application FirewallX4510 Web Application Firewall 防御应用层的DDoS攻击发现扫描和恶意勘察虚拟补丁与漏洞管理集成包括人民银行、招商银行、建设银行、中信证券、海通证券、国泰君安、太平洋保险、中国平安集团等大型的银行业金融机构均选

17、用了Imperva的WAF产品。会员公司电信5M第三方系统华为USG6360 华为USG6360 华为S5700 华为S5700 华为 RH2288H V3 博科BR-340-0008 浪潮AS 520E-M1 博科BR-340-0008 资管云OA办公系统会员服务系统网站平台私有云管理系统Internet联通20M华为 Metro 1000 Histone G3150 FW 流量控制深信服2050 VPN Huawei7706 IBM B24光交IBM V5000 华为 S5700S IBM 3650 IBM 3850 IBM 3850 虚拟化环境产品注册测试系统MCS视频会议录音服务器产品

18、注册系统上海数据中心Internet专线北京数据中心区域协会内部区域11312迁移后数据中心边界安全升级改造；迁移后Web应用系统安全升级改造；欧唯特信息安全服务；123漏洞管理引擎与安全防御设备集成arvato | EIS | Security Integration Service | 262022/8/6华为 Metro 1000 Histone G3150 FW IPS流量控制Huawei7706 电信5M华为USG6360 华为S5700 华为S5700 IBM V5000 漏洞管理引擎漏洞管理引擎与下一代威胁防御集成漏洞管理引擎与应用防火墙集成更新防御规则定义虚拟补丁弱口令多余账号

19、欧唯特信息安全服务arvato | EIS | Security Integration Service | 272022/8/6检查点110000+、漏洞库40000+、漏洞分类160+，无需干预；彻底扫描IPv4和IPv6网络环境中的数据库、应用程序、网络应用、网络设备和虚拟设备漏洞。Metaploit验证漏洞从而证明风险真实存在，并且优先级区别修补漏洞，避免了漏报和误报。将渗透性验证的结果推送给Nexpose，从而形成闭环的漏洞管理系统容。经验风险的欧唯特安全工程根据扫描和渗透性测试工具的结果，对中保资协网络中存在的漏洞进行加固和修补，不能修补的将采取更新和优化安全设备策略的方式防护。欧

20、唯特团队利用SmartView Monitor，实时监控安全事件和用户行为；SmartLog，跟踪所有安全日志和安全活动；SmartEvent的统一事件分析功能可从混乱中确定关键的安全事件。应急与突发预案备品备件搬迁备品备件对于搬迁过程中需要的临时线缆、辅料将由欧唯特公司统一提供。对于数量巨大的PC服务器和网络设备，欧唯特将准备一定数量的备机，以备万一。以下是我方提供的备品备件详细类型及数量：三层交换机：1-2台；PC服务器：2-3台；硬盘、内存、电源等备件若干防震材料及相关工具应急预案-物理层硬件故障应急预案 （1）发生服务器软件系统故障后，搬迁小组负责人会立即组织启动备份服务器，将数据导入

21、后，由备份服务器接管业务应用，并及时报告系统突发故障应急领导小组；同时安排相关责任人将故障服务器脱离网络，保存系统状态不变，取出系统镜像备份磁盘，保持原始数据。（2）发生网络设备或其他市面上较少的设备时，我们会联系预先联系过的原厂商，启动应急措施。（3）搬迁小组应根据系统突发故障应急领导小组的指令，在确认安全的情况下，重新启动故障服务器系统；重启系统成功，则检查数据丢失情况，利用备份数据恢复；若重启失败，联系相关硬件厂商，请求技术支援，作好技术处理。（4）处置结束后,搬迁小组应将事发经过、处置结果等在调查工作结束后一日内报告系统突发故障应急领导小组。应急预案-系统层系统业务数据损坏应急预案 （

22、1）发生业务数据损坏时，搬迁小组应及时报告系统突发故障应急领导小组，检查、备份业务系统当前数据。（2）搬迁小组负责调用备份服务器备份数据，若备份数据损坏，则调用磁带机中历史备份数据。（3）业务数据损坏事件超过 2小时后，搬迁小组应及时报告系统突发故障应急领导小组，及时通知业务部门以手工或其他方式（如搬迁前已备份为虚拟机）开展业务。（4）搬迁小组应待业务数据系统恢复后，检查历史数据和当前数据的差别，由相关系统业务员补录数据；重新备份数据，并写出故障分析报告，在调查工作结束后一日内报告系统突发故障应急领导小组。应急预案-网络层网络故障应急预案（1）在项目启动前期，欧唯特公司将为此项目设置网络组，由熟悉协会网络架构的工程师支持。 （2