版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
中石化BP合资公司IT整合项目-基础应用中石化BP合资公司IT整合项目-基础应用文档信息项目名称:中石化BP合资公司IT整合项目-基础应用项目阶段规划与方案制定项目经理:版本1.0编写:编写日期2004-11-5校对:校对日期分发列表发送者日期电话/传真接收者所需操作截止日期电话/传真*所需操作:批准,回顾,通知,存档,参加会议,其他(请注明)版本记录版本号版本日期修改者描述文件名
修改历史版本日期修改内容1.02004年11月4日初始版本
TOC\o"1-3"\h\z第1章 背景介绍 11.1项目背景 11.2需求分析与设计规划 2第2章 网络通讯架构 32.1网络设备命名规范 32.2IP地址分配 42.2.1 总体规范 42.3局域网的规划与实施 52.3.1 局域网规划 52.3.2 局域网设备软硬件配置 122.3.3 局域网主要配置范例 122.4广域网的规划与实施 162.4.1 广域网拓扑图 162.4.2 广域网路由器软硬件配置 172.4.3 防火墙软硬件配置 182.4.4 广域网实施 182.4.5 广域网设备主要配置范例 192.5网络设备部分服务的关闭 21第3章 服务器技术架构 233.1服务器系统功能 233.2服务器功能概述 233.2.1 AD/DNS服务器 233.2.2 File/Printer/DHCP服务器 243.2.3 Exchange后端和前端服务器 243.2.4 Symantec/BDC/DNS服务器 243.2.5 WTS服务器 243.3服务器数据备份 253.3.1 服务器数据备份系统 253.3.2 服务器数据备份策略 263.4服务器操作系统-微软WindowsServer2003 273.5消息和协作服务-微软Exchange2003 283.6服务器病毒防治方案-SymantecAntiVirus企业版 29第4章 机房设备与摆放 304.1机房电源 304.1.1 设备功率估算表 304.2机柜设备摆放图 31第5章 信息系统管理标准和实施策略 345.1目标概述 345.2适用范围 345.3标准实施审计与检查 345.4服务器硬件配置标准 345.5WindowsServer2003配置标准 355.5.1 软件技术标准 355.5.2 命名标准 355.5.3 安全标准 385.5.4 软件配置标准 395.6Windows2003服务器安全标准 405.6.1 服务器配置安全标准 405.6.2 服务器上服务的安全标准 405.6.3 内置用户和服务帐户安全标准: 415.6.4 文件和组许可权限标准 415.6.5 系统审计日志标准 415.6.6 系统备份和恢复标准 415.7电子邮件系统配置标准 425.7.1 命名标准 425.7.2 设置规范 425.7.3 技术标准 435.8计算机病毒防治规范 445.9客户端计算机硬件配置标准 445.10客户端计算机软件配置标准 44第6章 项目实施 466.1安装步骤 466.1.1 防火墙安装步骤 466.1.2 路由器安装步骤 466.1.3 交换机安装步骤 466.1.4 服务器安装步骤 466.1.5 客户端安装步骤 476.2进度安排 476.3项目管理 486.3.1 XXX项目管理方法论 486.3.2 项目管理原则 486.3.3 项目管理的目标 496.3.4 项目管理规范 496.3.5 项目实现 506.3.6 项目执行 526.4知识转移与用户培训 536.5项目文档 546.5.1 系统和安装文档 546.5.2 配置管理文档 556.5.3 系统运行和维护文档 556.5.4 系统检验文档 556.5.5 技术文档 556.5.6 系统管理员和用户培训手册 556.6系统验收 55第7章 售后服务 567.1安装后的服务 567.1.1 硬件维护 567.1.2 系统关怀 567.1.3 外派工程师 567.2服务组织及构架 567.3服务流程 57第8章 附件 588.1公司介绍 58ShanghaiChinadreamInformationTech.Co.,LtdPAGEPAGE33Room502,Block68No.475,ChengshanRoad,PudongNewArea,Shanghai电话:86-21-50560271背景介绍项目背景BP集团公司包括原英国石油、阿莫科、阿科和嘉实多等公司,是集石油天然气勘探开发、炼油与营销、化工及天然气与发电于一身的一体化能源公司。它是世界上最大的石油与石油化工集团之一,公司总部设在伦敦。全球雇佣超过十万员工,业务遍及世界百余个国家。到目前为止,BP已在中国投资约40亿美元,拥有独资合资企业20多家,直接雇员和控股公司雇员超过1000人,是在华投资最大的能源公司。BP集团的四大核心业务从上游的石油及天然气生产,天然气及发电到下游的石油化工,油品营销等都在中国有广泛的开展。其业务已从70年代初期的产品销售扩展到石油天然气生产、炼油、油站、航空油料、液化石油气、化工及天然气与发电各个领域,地域涵盖东北、华北、华东、华南及中西部各个地区。中国石油化工股份有限公司(以下简称“中国石化”)是一家上中下游一体化、石油石化主业突出、拥有比较完备销售网络、境内外上市的股份制企业。中国石化是中国最大的一体化能源化工公司,主要从事石油与天然气勘探开发、开采、销售;石油炼制、石油化工、化纤、化肥及其它化工的生产与产品销售、储运;石油、天然气管道运输;石油、天然气、石油产品、石油化工及其它化工产品和其它商品、技术的进出口、代理进出口业务;技术、信息的研究、开发、应用。是中国最大的石油产品(包括汽油、柴油、航空煤油的批发和零售)生产商和供应商,是中国最大的主要石化产品(包括中间石化产品、合成树脂、合成纤维单体及聚合物、合成纤维、合成橡胶和化肥)生产商和供应商,也是第二大原油生产商。为了更好的发挥两家企业的优势,做到优势互补,BP和中国石化决定在浙江合资成立中石化碧辟(浙江)石油公司,在浙江全省提供加油站业务。公司总部设在杭州,此外在宁波等地设有分公司。为了业务开展和运作,需要实施一系列的IT应用,包括基础设施,财务系统,加油站零售管理系统等。本项目即为该公司提供整合的IT基础设施和服务。XXX凭借自身完善的技术力量和服务水准,为中石化BP提供全面解决方案,包括硬件平台的架设,应用软件的实施,以及整个系统的维护和技术支持需求分析与设计规划设计实施一个技术先进、数据安全、性能稳定、扩展灵活的网络系统成为我们该项目的基本目标。根据我们对客户的了解和对能源石化行业的深刻理解,以及我们丰富的业务经验,我们认为本项目的需求主要在以下几个方面;在中石化BP杭州总公司构建一个中心办公网络,该网络为公司总部的业务提供基本的信息技术服务,包括目录服务、文件与打印服务、电子邮件服务等。该中心网络核心采用千兆三层交换,桌面接入采用百兆交换,且所有网络交换设备需要冗余,提高网络的可靠性。采用虚拟局域网(VLAN)提高网络的性能和可管理性。将中石化浙江省总公司网络、宁波分公司网络和该中心网络通过广域网实现互联互通,同时将该中心网络与互联网联通从而中心网络的用户可以访问互联网。使用防火墙提供网络互联的安全性。由于BP上海有些员工需要访问中石化BP的某些应用,例如财务系统,但BP上海的网络与中石化的网络并没有直接互联,所以需要设立终端服务,并且将终端服务器放置在与互联网连接的防火墙的非军事区域(DMZ),这样可以较好的满足安全性要求。
服务器技术架构服务器系统功能服务器系统全部采用HP的DL或ML系列服务器。HP是业界最大的服务器生产厂家,具有全方位的产品线和快速服务网络。以下是服务器的功能和配置列表,所有的服务器配置了ILO远程控制功能,可以实现远程监控和唤醒.所有服务器还配置了SmartArray磁盘阵列卡,可以对磁盘做阵列控制和冗余保护.服务器型号对照表功能和服务型号CPU内存硬盘扩展性操作系统AD/DNSDL380G3X3.06*22G36G*512G内存,6HDWindows2003标准版File/Print/DHCPML570R02X3.0*22G72G*2,146G*632G,14HDWindows2003标准版VeritasExchange后端ML570R02X3.0*44G72G*2,146G*632G,14HDWindows2003标准版,Exchange2003标准版Symantec/BDC/DNSDL380G3X3.06*22G36G*512G内存,6HDWindows2003标准版,Nortonantivirus9.0enterpriseExchange前端/DNSDL380G3X3.06*22G36G*512G内存,6HDWindows2003标准版Exchange2003标准版WTS服务器DL360G3X3.06*12G72G*28G内存,2HDWindows2003标准版,终端服务零管系统DL380G3X3.06*22G36G*512G内存,6HDWindows2003标准版浪潮财务系统ML570R02X3.0*48G72G*2,146G*432G,14HDWindows2003标准版服务器功能概述AD/DNS服务器作为中石化BP(浙江)石油有限公司的域服务器,并提供AD(活动目录)服务,通过设置用户组和用户帐号的不同的权限,控制用户的登录和相关资源的共享.用户登录的帐户信息里设置登录脚本,映射网络盘符等。另外在内部开启DNS服务,作为对内部用户域的DNS解析以及支持活动目录。File/Printer/DHCP服务器结合AD的域控制器,设置相应的文件目录权限,不同的部门用户设置对相应目录的访问权限(完全,只读等).部门间的某些用户需要访问其他部门文件时也可以开启相关权限.打印机的共享,可以根据部门设置共享权限,每个部门根据需要配置一台或几台网络打印机,供本部门员工共享打印.为了方便管理和维护,开启DHCP服务,用户登录后自动获得IP地址.由于还需要对部门分VLAN和子网,因此需要在DHCP上设置不同的地址段,使得不同子网的用户可以获得本网段的地址.Exchange后端和前端服务器作为后台用户帐户和mail数据库的存放.前端服务器放置在DMZ的区域,作为mail进出的网关提供smtp的服务并转发外网到内网用户的POP3请求.这样把前端网关和后台用户数据库分离开来,既提高了处理性能,又降低了安全风险,把来自外网的请求都传送到DMZ来处理。Symantec/BDC/DNS服务器该服务器作为病毒服务器来使用,有几个功能作为防病毒服务器端提供全网的病毒管理,包括病毒库的检测和分发结合域帐号信息的控制台管理,网关级的病毒查杀,对进出的数据包进行查杀病毒.结合ExchangeServer查杀邮件.客户端的病毒库自动升级策略和后台查杀病毒,便于统一管理和保持全网病毒库版本一致性.BDC和备用DNS是作为对主DC服务器的备份,当主DC服务器出现故障时,可以把BDC升级为DC,并继续提供DNS等相应服务.BDC还需定期同步DC的数据,确保数据的一致性.WTS服务器由于BP上海的某些员工需要访问中石化BP(浙江)的一些数据,比如财务服务器等,在BP的通用策略上并没有把这部分用户连进来,所以单独设置了一个WTS服务器作为WindowsTerminalServer来使用,利用基于Win2003的终端服务,使得远程用户利用远程控制的客户端登录到该WTS上进行相关的访问和查询.由于并发用户比较少,目前只配置了10个客户端的license访问,服务器的CPU也只配了1个,以后可以扩充到2个.服务器数据备份服务器数据备份系统对于任何企业来说,确保数据的完整和安全是头等大事,我们在本方案中推荐了HP的傲群LTO磁带机,压缩后可以备份400G的数据容量.并且推荐了VeritasBackupexec9.0企业版备份软件,配置了RemoteAgent,ExchangeAgent,OpenfileAgent和DisasterRecoveryAgent.该磁带机可以连接到File服务器上,备份file数据,AD配置,,Exchange数据库.RemoteAgent可以备份网络中其他服务器中的数据,旨在扩展网络数据保护和优化数据传送,以适应Windows服务器的需求,包括提供本地注册表与系统状态信息的备份。ExclusiveAgentAccelerator技术通过在客户机提供源级压缩和分布式处理技术,实现最大化备份和恢复性能,由此减少网络通信量,最大限度地增加数据吞吐量。ExchangeAgent用于信息附件的单实例存储、增量/差异邮箱备份和各种公用文件夹的恢复,不仅提供细粒性,而且将加快ExchangeServers的备份与恢复。在恢复期间执行邮箱和用户账户的自动化重建,将进一步优化恢复过程,并以更快的速度使数据和用户恢复在线.OpenFileAgent适用于本地和远程服务器文件正在使用期间,该选件将保证为它们提供保护。它能够在处理打开的文件,并能够与BackupExec实现无缝结合。用户不需要知道哪些文件提前打开了,只要点击鼠标,就能够简单地设置一个使用该选件进行的预定备份。另外,先进的技术还将整合检测和使用替换型固定快照等功能,例如基于windows.NETServer的MicrosoftVolumeSnapshotService(VSS),或VERITASVolumeManagerFlashSnap,以增强应用可用性。DisasterRecoveryAgent未雨绸缪是在发生灾难时,保证关键任务数据可用性的重要因素。新型数据复制特性将自动创建任何备份媒体的辅助拷贝,以便在不同的数据保留期内,维护现场和非现场拷贝。这是灾难恢复数据管理的理想选择。IntelligentDisasterRecovery,即智能灾难恢复选件在Windows.NET和WindowsXP,直接整合微软的自动系统恢复(ASR)功能,为Windows服务器提供全面的灾难恢复功能。除此之外,IntelligentDisasterRecovery选件还直接与日常备份相整合,为本地和远程Windows服务器提供基于向导的灾难恢复。它可以通过磁盘、CD/RW或引导磁带,启动恢复过程。因此,不需要重新安装操作系统,就能够实现系统恢复。系统文件可以通过最近的全面备份、增量备份、差异备份或工作集备份实现恢复。服务器数据备份策略我们使用祖父-父亲-儿子轮转备份策略来备份数据。结合每日,每星期,每月和季度的备份,可以把数据恢复到不同的时间点。祖父-父亲-儿子方法这个计划使用三套磁带,每日,每星期和每月的备份。为了执行祖父父亲儿子旋转规划,一般将需要十二套磁带介质。“儿子”代表每日的备份,用4个磁带作为每天的增量备份,并贴上星期1到星期4的标签,这些磁带将被用来执行每日的增量备份,并且可以恢复到标签上写的那天的数据.第二套叫做”父亲”的最多提供5个weekly的备份.它执行的是全备份,在磁带上贴上week1到week5的标签,可以恢复标签上对应的week的每月的数据(monthly).最后一套的三个磁带,称为“祖父”,被用来在每个月底做一次全备份,并且可以回复到每季度的数据(quarterly).祖父-父亲-儿子轮转计划的图解如下图服务器操作系统-微软WindowsServer2003WindowsServer2003是在Windows2000经过考验的可靠性、可伸缩性、经济性和可管理性的基础上构建的,为加强联网应用程序、网络和XMLWeb服务的功能(从工作组到数据中心)提供了一个高效的结构平台。WindowsServer2003是一个多任务操作系统,它能够按照需要,以集中或分布的方式处理各种服务器角色。其中的一些服务器角色包括文件和打印服务器、Web服务器和Web应用程序服务器、邮件服务器、终端服务器、远程访问/虚拟专用网络(VPN)服务器、目录服务器、域名系统(DNS)、动态主机配置协议(DHCP)服务器和WindowsInternet命名服务(WINS)、流媒体服务器。活动目录存储了有关网络上对象的信息,并且通过提供目录信息的逻辑分层组织,使管理员和用户易于找到该信息。WindowsServer2003为活动目录带来了很多改善措施,使其使用起来更通用、更可靠,也更经济。在WindowsServer2003中,活动目录提供了增强的性能和可伸缩性。它允许您更加灵活地设计、部署和管理组织的目录。随着桌面计算机、膝上电脑和便携式设备上计算量的不断增大,维护分布式个人计算机网络的实际成本也显著增加了。通过自动化来减少日常维护是降低操作成本的关键。WindowsServer2003新增了几套重要的自动管理工具来帮助实现自动部署,包括Microsoft软件更新服务(SUS,SoftwareUpdateServices)和服务器配置向导。新的组策略管理控制台(GPMC)使得管理组策略更加容易,从而使更多的组织能够更好地利用活动目录服务及其强大的管理功能。此外,命令行工具使管理员可以从命令控制台执行大多数任务。WindowsServer2003在存储管理方面引入了新的增强功能,这使得管理及维护磁盘和卷、备份和恢复数据以及连接存储区域网络(SAN,StorageAreaNetworks)更为简易和可靠。MicrosoftWindowsServer2003的终端服务组件构建在Windows2000终端组件中可靠的应用服务器模式之上。终端服务使您可以将基于Windows的应用程序或Windows桌面本身传送到几乎任何类型的计算设备上-包括那些不能运行Windows的设备。消息和协作服务-微软Exchange2003现在的商业环境中,企业要想获得成功,必须拥有强大的信息创建、存储和共享基础结构,同时还应拥有可快速和智能地响应这些信息的工具。Exchange2000Server使这些问题迎刃而解--它可与MicrosoftWindowsServer2003无缝集成,提供了业界领先的可靠性和伸缩性与无与匹敌的易管理性,为各种规模的企业提供了下一代的消息和协作。Exchange与其客户端软件——MicrosoftOutlook®2003一起提供了高度可靠的、可伸缩的、易于管理的通信和协作基础架构。其创新性的新型MicrosoftWeb存储系统可以将Exchange的可靠性和可伸缩性与Web的易访问性和开放性组合在一起,从而提供了一个强大的知识存储库和商业应用平台。Exchange2000ConferencingServer为数据、音频及视频会议服务提供了一个数据平台,为新的协作用途奠定了坚实的基础。Exchange2003完全利用了Windows2003活动目录的强大功能,允许系统管理员创建一个企业目录,该目录是所有用户、组、权限、配置数据、网络登录、文件及Web共享等的单一管理点。活动目录是一个具有高可伸缩性的企业级目录服务,它使用Internet标准基础建立,并在操作系统级上与Exchange完全集成在一起。Exchange2003与MicrosoftInternetInformationServices紧密集成在一起,用于提供高性能的Internet邮件协议(SMTP、POP等)、通过OutlookWebAccess客户端对Exchange的Web浏览器访问、一个完整的Web应用平台。存储组是Exchange2003中的一个新概念。存储组是共享同一事务日志集,即单一管理、备份和恢复点的数据库组合。每个存储组都可以失败过载到群集服务器对的另一台服务器上,只要它们停止响应。存储组使用Exchange系统管理器插件进行定义。您可以在每个存储组中创建多个数据库,您甚至可以创建多存储组。这意味着同一Exchange2000服务器上可以存在许多独立的数据库(参看以下的多消息数据库)。存储组是备份单位,它允许管理员备份整个存储组,因此只有系统事务日志集的一个副本必须被写入磁带中。但是,每个数据库都可以在所有其他数据库仍处于联机状态并为其他用户提供服务时单独进行恢复。您可以利用备份进行快速恢复,该操作将影响到最小数量的用户。服务器病毒防治方案-SymantecAntiVirus企业版SymantecAntiVirus企业版是一个全面的防病毒解决方案,可以为Internet和电子邮件网关、网络服务器和工作站提供多层的企业级的防护。该产品结合获奖技术和Symantec的全球响应基础设施,可以提供高性能、可伸缩的防护,使病毒威胁止步于网络之外。此外,该解决方案使管理员能够阻止不受欢迎的电子邮件内容,如垃圾邮件。SymantecAntiVirus企业版结合了业界领先的技术和支持以保护所有网络层,企业无需再费力构建多供应商安全解决方案。通过SymantecSystemCenter™中央管理控制台,IT经理不仅能够轻松部署防病毒解决方案,而且还能够创建、执行和更新策略,从而确保在任何时间都能够跨越多个平台,在企业范围正确部署网络服务器和工作站。采用集中式管理控制台,管理员还能够对网络进行审核、确定哪些节点未受到保护,容易受到病毒攻击,哪些节点已由SymantecAntiVirus企业版、McAfee®VirusScan®、TrendMicroOfficeScan™ComputerAssociates®或其他优选第三方防病毒产品保护。SymantecAntiVirus采用DigitalImmuneSystem™,可以自动扫描、检测和隔离新病毒,提供快速、可靠和完全自动的防护。此外,Symantec独有的跨层NAVEX™技术提供了无需重新部署软件或重启系统即可更新病毒和引擎扩展的能力,因而最大限度地增加了系统正常运行时间,并有效降低了拥有成本。为了提高速度和安全性,新版本采用了较小的病毒定义文件和多线程服务器分装。Symantec获奖的解决方案兼容Windows®2003和Netware®安全控制台,并支持64位Intel®Itanium™2处理器,可以在企业迁移到最新技术时提供不间断的防护。与所有Symantec安全产品一样,SymantecAntiVirus企业版由世界领先的Internet安全研究和支持组织Symantec安全响应中心提供支持。
机房设备与摆放机房电源为了保证整个系统的不间断运行,需采用不间断电源,提供整个机房设备的电源。建议采用美国APC公司的SmartUPS系列。根据初步估算,可以采用4台SU5000VA(约3750W×4=15000W)的UPS容量,并且可以通过外挂电池箱达到断电后维持60分钟的要求。UPS放置在机柜里,电池可以统一叠放在机房的地板上.设备功率估算表UPS1提供的设备电源:名称功率(瓦)数量小计(瓦)ML570R2180011800DL380G3100011000LTO1001100显示器+KVM1501150小计3050UPS2+UPS3提供的设备电源:ML570R2180023600DL380G3100022000DL360G36501650小计6250UPS4提供的设备电源:名称功率(瓦)数量小计(瓦)Cisco4507100022000Cisco37453651365Cisco29508003240CiscoPIX502100显示器+KVM1501150小计2855
机柜设备摆放图
信息系统管理标准和实施策略目标概述为了总公司的信息技术部门能够快速有效的对公司的计算机系统提供升级,修复和安装安全补丁等服务,对公司的信息系统进行集中化管理,中石化碧辟(浙江)石油有限公司在全公司统一实施基于Intel/Windows的标准化计算机环境,包括服务器和客户端。标准的计算机环境确保了公司标准化的IT服务规范可以实施,对所有机器可以集中远程管理,即使用户在外旅行也可获得公司IT支持与服务,同时降低了企业在IT系统管理方面的总体拥有成本(TOC-TotalOwnershipCost)。为了这些目标,特制定以下信息系统管理标准和实施策略。适用范围这些管理标准和实施策略适用于中石化碧辟(浙江)石油有限公司内所有连接到公司企业网基于Intel/Windows的服务器和客户端计算机,以及相关的网络设备包括路由器、交换机和防火墙等。此外由于某些原因某些设备需要更高配置则不适用本管理标准和实施策略。标准实施审计与检查总公司的信息技术部门会定期使用系统管理基础架构中的相关功能进行信息系统资产和配置统计并将不符合标准的项目统计出来送交相关部门处理。每年总部IT部门会对整个公司的IT系统进行全面的检查审计以确保公司IT系统安全可靠运行。服务器硬件配置标准平台标准硬件平台惠普服务器。采购使用惠普签订的GFA协议。系统内存基础服务器(DC,WINS,DNS)和exchange服务器至少2GB。所有其他服务器:至少256MB。BIOS/Firmware升级至厂商提供的最新版本。系统硬盘基础服务器(DC,WINS,DNS):系统盘需要硬盘镜像(RAID1)。非基础服务器(F&P,Application):基于应用和站点的要求。数据硬盘基础服务器(DC,WINS,DNS):磁盘阵列(RAID5)。非基础服务器(F&P,Application):基于应用和站点的要求。远程管理如果需要,配置远程控制卡并且连接到网络上。本地磁带备份设备DLTIVWindowsServer2003配置标准软件技术标准项目标准操作系统MicrosoftWindows2003Server或者AdvancedServer补丁微软网站获得页面文件大小物理内存的2.5倍互联网浏览器InternetExplorer数据存取微软DataAccess–MDAC服务器管理程序CompaqInsightManagerAgentsMicrosoftWindowsManagementInstrumentation(WMI)MicrosoftOperationsManagerEnterpriseConfigurationManagerMicrosoftWindowsSoftwareInstaller(MSI)AltiriseXpressClient(Win2000Serversonly)WindowsTerminalServices(RemoteAdminMode)RemoteInsightBoard(RIB)–mandatoryforDC’s防病毒SymantecAntiVirus企业版登录脚本登陆脚本可以根据需要自行制定。命名标准项目标准活动目录域名域空间在公司目录树(AD.BP-SINOPEC.COM)内BSn.AD.BP-SINOPEC.COM(n=number)例如BS1.AD.BP-SINOPEC.COMExtranet域名第三方域名空间信任公司或者被公司信任Xnn.EXTRANET.BP-SINOPEC.COM(n=number)例如X01.EXTRANET.BP-SINOPEC.COM服务器名称服务器必须根据功能正确命名服务器必须置于正确的组织单元OrganizationUnit(OU).<域名><分支机构><功能><编号>域名=上级域名(3个字符)分支机构=分支机构名字(2个字符)功能=服务器功能代码(2个字符)编号=3位数字(不足3位前面补充0)例如:BS1HZDC001=在杭州的域控制器001号BS1HZEX002=在杭州的ExchangeServer002号BS1HZIS001=在杭州的文件打印服务器001号测试机器:在机器名后面添加-tst
培训机器:在机器名后面添加-trn非域名服务器或者虚拟服务器R<区域><分支机构><类别><编号>R=常量区域=区域代码(2个字符)分支机构=分支机构名字(2个字符)功能=服务器功能代码(2个字符)编号=3位数字(不足3位前面补充0)例如:RZJHZPA001=在浙江杭州的代理集群(虚拟服务器)RZJHZ3D002=在浙江杭州的3-DNS控制器组织单元(OU)在公司活动目录内所有的对象应该放置在适当的组织单元(容器)内域控制器放置于:DomainControllers\rRR\sss服务器放置于:Servers\<SL>\rRR\ss用户,工作站组放置于:Client\rRR\sss\Users或者Client\Rrr\sss\Workstations角色组放置于:Client\rRR\ss\RoleGroups数据组放置于:Client\rRR\ss\DataGroups传统组放置于:Client\rRR\ss\LegacyGroups其中,<SL>=服务链接关键字(例如IFP)rRR=区域代码(例如rZJ)ss=分支机构代码(例如HZ)用户帐户名称所有用户必须使用他们自己唯一的帐号名称。用户帐户必须在整个活动目录是唯一的。用户名最长为8个字符,姓氏的拼音中截取前4个字符,名字的拼音中截取前4个字符。如果用户名不唯一则用顺序编号取代最后一个或两个字符。例如用户王旭明,其帐号就是wangxumi或者wangxum1。用户帐户不能授予拨入权限。用户全名用户全名决定用户在电子邮件系统的地址簿中如何显示,因此正确定义帐户全名非常重要。用户全名在帐户细节中定义。<姓氏>,<名字>[(公司或组织名字)][]=可选,在必要时使用例如:Wang,XumingWang,Xuming(IT)用户描述用户描述在帐户细节中定义。分支机构,部门远程拨入帐户远程拨入帐户仅能远程连接网络,不能访问网络资源和应用。在标准的用户名前加前缀–remote-例如:-remote-wangxumi管理员帐户管理员帐户用来对服务器进行管理。在标准的用户名前加前缀–adm-,管理员帐户不能授予远程拨入权限。例如–adm-wangxumi服务帐户服务帐户用来控制后台服务和应用访问系统,这些访问是非交互的。服务帐户名字按照以下格式:-svc-<SL>-<ss/ccc/rRR>-Function其中SL采用下列代码IFP=基础架构EXH=Exchange邮件服务SMS=SystemsManagement系统管理WEB=IISWeb服务WTS=Windows终端服务ss/ccc/rRR表示服务帐户确切范围(分支机构/区域/集群)例如-svc-ifp-hz-backup(杭州分公司基础架构备份服务)
-svc-exh-hz-backup(杭州分公司Exchange邮件服务器的备份服务)服务帐户不能授予拨入全些且不能用作服务器登录。总部或者分部IT部门负责掌握相关的服务帐户的密码。角色组角色组是以前全局组的替代,通常用于小组,部门,或者用于邮件分发和资源访问的职能小组或者项目组。角色组放置于以下容器/组织单元中:Client\rRR\ss\RoleGroups角色组的命名规则如下:G<SS>/<BBU>/<SS><BBU><Description>G=常量,角色组名字前缀SS=2字符分支机构BBU=3字符组织或者部门名字SSBBU=2字符分支机构名字之后跟3字符部门名字Description=角色组的描述数据组数据组用来提供对资源的访问,并且必须和网络资源相关联。所有数据组放置于以下容器、组织单元中:Client\rRR\ss\DataGroups数据组的命名规则如下:D<SS><Resourcename><accesslevel>D=常量,数据组名字前缀SS=2字符分支机构Resourcename=共享资源名字AccessLevel=访问资源的权限类别访问权限类别:FC完全控制NA不得存取RW读写RO只读LA列出所有文件和文件夹LD仅仅列出数据文件LF仅仅列出文件夹SP特殊访问权限(根据具体情况定义)数据共享共享提供对网络资源的访问共享名描述了共享资源的含义和用途。共享访问权限和数据组访问权限一样打印队列<SITE>P<NUMBER>Site=分支机构代码P=打印机名称中常量编号=3位数字,不满3位用0补足。所有打印机应当在活动目录中注册。安全标准项目标准基本设置所有服务器应当根据相关硬件标准和软件标准进行配置,并且属于相关域和活动目录。仅仅被批准的应用可以在服务器中使用。安全设置客人帐户必须被禁用。域管理员帐户必须改名成一个和普通用户名类似的名字。帐户名称和密码必须唯一,密码和用户名不得相同。入侵锁定监测应当设置成最多5次登录且所定设置为永久锁定。最少密码长度:普通用户帐户=最少8个字符远程拨入帐户=最少12个字符且要随机生成。管理员帐户=最少14个字符且要复杂服务帐户=最少14个字符且要复杂域审计标准:登录/登出–失败文件和对象访问–失败用户和组管理–成功和失败安全策略改变–成功和失败系统重新启动和关闭–成功和失败进程跟踪–无共享资源访问权限应该明确定义,主要对数据组的定义事件日志应当设置为64k大小并且保留35天循环。所有分区的文件系统是NTFS。服务器物理上接触应该严格控制,特别是域控制器。软件配置标准项目标准名称解析名称解析对于确保用户正确访问网络资源非常重要。MSDomainNameService(DNS)用于基于主机的名称解析和动态注册。MSWindowsInternetNamingService(WINS)用于NETBIOS名称解析。客户端IP地址所有连接到公司企业网的服务器和客户机都必须有一个有效的TCP/IP地址以保证可以正常访问网络资源。MSDynamicHostConfigurationProtocol(DHCP)客户端IP地址采用DHCP动态分配。每个分支机构至少2个DHCP服务器Windows2003服务器安全标准服务器配置安全标准操作系统的补丁和修复程序必须及时使用,参照微软WINDOWS更新网站。系统必须禁止自动登录。如果不需要,定时服务(AT)必须被禁止。“关机”选项必须在登录对话框中被禁止。最近一次登录的用户的名字不得显示在登录对话框内。必须去除以下部件:OS/2子系统,POSIX子系统,OS/2目录。配置服务器尽量使用NTLMv2认证,在客户端要求下只用LM认证。以下警告信息必须在登录对话框中显示:“警告–仅授权用户可以使用”“中石化碧辟(浙江)石油有限公司及其附属机构拥有系统和数据的产权。未经许可使用该系统是违法行为并可能导致法律后果。任何对该系统的访问都可能被监控。”服务器上不得安装和该服务器功能无关的软件及应用。任何和服务器以及服务器上运行的服务所涉及的密码必须使用复杂密码。另外服务器上安装的软件和应用要用文档记录,每隔6个月需要检查这些软件和应用是否仍然需要。服务器上服务的安全标准仅仅需要的服务被安装使用,任何不需要的服务必须关闭。简单TCP/IP协议不得安装。缺省SNMP社区标识符必须根据其所在的分支机构或者区域设置为相应的标识符。SNMP代理必须设置为只发送或者接受激发阀值至相应已知设备。文件传输协议服务必须禁用。如果需要必须使用SERV-U等产品。TELNET服务必须禁用。内置用户和服务帐户安全标准:必须禁用内置的来宾帐户,同时来宾帐户必须设置复杂健壮密码。将管理员帐户改名为类似普通用户的名字,同时管理员帐户必须设置复杂健壮密码。创建一个虚假的没有任何权限的名为“Administrator”的帐户,同时设置一个复杂健壮密码。这个帐户用来观察对系统试图攻击和未经授权的访问的情况。所有不再需要的用户或者应用帐户必须被禁用或者删除。禁用帐户必须设置健壮密码。服务帐户(例如微软SQL服务器)密码不得为空且设置为一个健壮密码。内置的用户和服务帐户的密码必须保存在一个安全的地方,未经许可的人员不得接触。健壮密码必须符合下列规则:至少14个字符不得包含帐户名。必须包含大写和小写字符。所有密码必须保存在一个安全的地方,仅仅许可人员可以接触。文件和组许可权限标准所有系统分区必须是NTFS文件系统。所有的共享资源必须用本地组对权限做出明确设置。缺省的“everyone”权限必须去除。“完全控制”权限不得使用,最高权限只能是“改变”。如果没有合适的用户组则使用“认证用户”。所有用于软件分发的共享目录必须设置为只读,“everyone”用户组对此必须设置“noaccess”权限。限制匿名用户访问本地安全授权信息。仅仅管理员才可以远程访问系统的注册表信息。禁止来宾和匿名进程访问事件记录信息。系统审计日志标准确保任何未经授权针对服务器和共享资源的访问企图被记录,所有公司的WindowsServer2003的系统日志和审计策略必须做如下配置:登录/登出 失败文件和对象存取失败用户和组管理成功和失败安全策略改变成功和失败重新启动和关闭系统成功和失败进程跟踪无事件记录的大小需设置为64000KB且为在需要时覆盖。系统备份和恢复标准必须将每个服务器系统的紧急修复盘放置于一个安全的地方。在每次系统配置变动后必须生成一个新的紧急修复盘。以前的紧急修复盘也需要保留在安全的地方直到不再需要。日常备份必须根据系统和应用的需要而执行,所有备份的媒介如备份磁带必须保存在一个安全的地方。备份周期和备份保留周期必须根据应用和业务需要而制定。电子邮件系统配置标准命名标准项目标准邮箱名称和用户登录活动目录的用户名相同雇员显示名称姓氏,名字(比如Zhang,Yue)非雇员显示名称姓氏,名字(公司名称)(比如Zhang,Yue(DT))分发列表(D/L)G<分支机构><列表名称>(比如GNBIT)包括外部地址的分发列表G<分支机构><列表名称>(Ext)(比如GNBITSupport(Ext))预约安排的资源帐户R<分支机构><资源名称>(比如RNB1410会议室)SMTP地址userid@电子邮件组织名称BP-SINOPEC分支机构名称2个字符描述,比如HZ服务器名称Exchange2000服务器:3个字符域名,2个字符分支机构,EX###标识符。(例如BS1HZEX001)设置规范项目标准邮件大小限制2.5MB,MaxCompression选项激活用来增加实际的邮件大小。邮件格式RichText(RTF)自动转发邮件至互联网禁止。在GAL中第三方地址仅仅在多于一个员工需要的情况下存在。仅当分发列表或者PF读取需要才被允许存在于GAL。第三方目录同步禁止。连接第三方标准按照以下顺序:用SMTP协议走公共网络用SMTP协议走Extranet*采用SMTP协议用私有网络直接互联*采用其他网关(例如MSmail,MHS,CCmail,etc)用私有网络直接互联.*先要与第三方签署私有网络互联协议利用企业网络为第三方与第三方提供电子邮件传输禁止通过与第三方的连接协议为第三方之间提供电子邮件传输服务。向大型或分支机构的分发列表发送邮件控制或者限制可向这个分发列表发送邮件的帐号。电话号码格式标准+国家代码(地区代码)电话号码(例如+86(21)5109-6700)同时内部分机号码置于首要位置,外部号码为次要,首先拨打内部号码。缺省时间计划存取只读。信息拥有者公司拥有所有数据。监测和披露信息的权利公司保留监测和需要时披露信息的权利。SMTP网关内容检查防止垃圾邮件系统会检查外来信息并自动删除垃圾邮件。连锁信件和游戏信件禁止。参与列表服务仅仅作为商业用途。传输机密信息可在企业内部网络传输,对外传输则要加密。迁移至X.509传输绝密信息采用KMS加密在企业内部网络传输,对外传输则用委托。迁移至X.509信息日志最少保留一周。数据备份必须有每天在线备份,最少保留最近4周的数据。通用或工作头衔的邮箱必须有IT部门的批准和对应的业务拥有者。技术标准项目标准邮件服务器Windows2003服务器运行Exchange2003邮件客户端Outlook2003进度/日历客户端Outlook2003电子表格基于网页的表格。客户端访问服务器协议MAPI是标准,只有当MAPI无法使用才可使用POP3/IMAP4/HTML。目录访问协议MAPI/LDAP邮箱存取仅仅支持指定的客户端,不支持其他客户端。仅仅在标准客户端无法使用时可使用非标准客户端,例如PALM。PF读取新闻讨论组客户端用NNTP,WebConnector(OWA)采用HTML。NNTP新闻讨论组同步仅仅用于企业内部的新闻讨论。搜索引擎通过Exchange2000搜索邮箱,通过SiteServer搜索PFSMTP网关病毒防范采用SymantecAntiVirusforSMTP检查所有和第三方往来的信件。Exchange邮件服务器病毒防范采用SymantecAntiVirusforExchange计算机病毒防治规范范围实施规范服务器Symantec企业版服务器组件必须安装,并且升级服务必须开机自动启动。客户端Symantec企业版客户端必须安装,并且升级服务必须开机自动启动。Exchange服务器SymantecAntiVirus企业版必须安装,并且升级服务必须激活。电子邮件网关Symantec企业版forSMTPGateway必须安装,并且升级服务必须激活。管理代理企业网内所有基于Intel/Windows的计算机上必须安装并且激活管理代理。这样可以确保中石化碧辟(浙江)石油有限公司计算机病毒防治规范在所有机器上得到执行。SymantecWebSecurity建议在网关服务器安装,HTTP和FTP的内容过虑和病毒扫描防病毒产品更新与升级所有区域的域控制器必须参与域同步以确保获得总部提供的最新的病毒特征文件和用户登录脚本,同时设置所有防病毒产品的更新服务从相关服务器中获得更新文件。客户端计算机硬件配置标
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 联网报警服务合同范例
- 水库改造施工合同范例
- 4s店买卖合同范例
- 务工合同范例建筑
- 米油盐购销合同范例
- 盖板合同范例
- 交运股合同范例
- 喜相逢购车合同范例
- 铜陵学院《机械优化设计及应用》2023-2024学年第一学期期末试卷
- 通化医药健康职业学院《痕迹信息系统应用》2023-2024学年第一学期期末试卷
- GB/T 44547-2024精细陶瓷断裂韧性试验方法单边V形切口梁(SEVNB)法
- 合肥长鑫存储在线测评题2024
- 2024秋期国家开放大学《西方行政学说》一平台在线形考(任务一至四)试题及答案
- 培训学校组织管理制度
- GB/T 44298-2024智能网联汽车操纵件、指示器及信号装置的标志
- 软件研发部绩效考核方案三篇
- 像工程师那样 教学设计-2023-2024学年科学五年级上册苏教版
- 2024至2030年中国SPA行业市场消费调研及投融资战略咨询报告
- 成语故事《打草惊蛇》故事简介
- GB 1002-2024家用和类似用途单相插头插座型式、基本参数和尺寸
- 2024年国家开放大学电大《文学概论》机考2套网络课题库及答案4-图文
评论
0/150
提交评论