1、EISEIS|Security Security Integration ServiceIntegration Service业务系统及机房迁移方案1.背景介绍2.迁移对象3.迁移流程4.迁移计划5.安全项目对接6.应急与突发预案7.采购清单背景介绍背景介绍arvato|EIS|Security Integration Service|42022-9-18项目目标为提高生产效率,充分利用办公资源,节约能耗以及统一IT运维管理为出发点,计划将办公区内的数据中心内服务器、存储等IT设备及系统,统一搬迁至协会托管IDC机房。工作范围详细说明搬迁明细n IDC机房虚拟资源规划n 相关资源申请n 搬迁服
2、务器硬件健康检查n 设备连线标签n 设备下架n 设备打包搬迁n 设备上架n 设备加电状态检查n 新机房网络规划n 服务器IP地址更新服务范围包括n 应用系统n产品注册系统n会员服务系统n报表中心n微信报名(服务号)n资产管理信息交互系统n受托管理数据格式校验及报表展示功能n微信报名(企业号)n 硬件设备nIBM服务器(10台左右)nIBM V5000存储(1台)计划迁移设备/系统清单系统迁移清单序号序号系统名称系统名称甲方负责人甲方负责人立项时间立项时间上线时间上线时间开发商开发商系统位置系统位置IPIP地址地址系统系统资源分配资源分配1产品注册系统潘冲2014年11月2015年1月携宁协会1
3、92.168.0.3192.168.2.3454台物理服务器,2*E5-2609v2 4C 2.5GHz,48G DDR3,12个300G 15k SAS,8GB HBA;2*E7-4820 2.0GHz,64G DDR3,8个300G 15k SAS,8GB HBA;已使用2.5T硬盘2会员服务系统付伟2015年3月2015年10月联银通协会192.168.0.353624260.3536:1CPU,8G,200G(已经使用25G);0.24:1CPU,4G,250G(已经使用15G);0.26:1CPU,16G,200G(已经使用55G)3报表中心张奋涛2015年11月2016年1月携宁协
4、会192.168.0.1130.113:2CPU,8G,两个磁盘,C盘100G已使用25G,D盘400G已使用120G,操作系统2008;4微信报名(服务号)张奋涛2016年2月2016年3月携宁协会应用环境:192.168.0.23数据库服务器:192.168.0.2223服务器:2CPU,4GB,一个100G磁盘,已使用18G,操作系统2008;22服务器同企业号服务器。5资产管理信息交互系统张奋涛2015年8月2016年5月东软协会演示环境:192.168.0.2828服务器:2CPU,10GB,一个100G磁盘,已使用30G,操作系统2008;6受托管理数据格式校验及报表展示功能蔡荣2
5、016年3月2016年5月蔡荣、田野协会192.168.0.1137微信报名(企业号)张奋涛2016年2月2016年3月携宁协会192.168.0.2222服务器:2CPU,4GB,两个磁盘,C盘50G已使用25G,D盘60G已使用30G,操作系统2012;8教育培训系统潘冲2015年10月ATAN/A9网上调研田野2015年12月2016年1月问卷星N/A迁移流程迁移流程迁移流程arvato|EIS|Security Integration Service|82022-9-18数据迁移物理服务器迁移虚拟化管理策略调整业务系统迁移业务测试及文档交付迁移工作模型资源准备(计算、网络、存储、机柜)
6、需求调研(业务、系统、网络、供应商)业务系统备份业务系统测试网络层配置调整监控系统策略调整供应商服务团队arvato|EIS|Security Integration Service|92022-9-18需求调研需求调研 协会数据中资源使用情况 IDC资源使用情况系统资源调研 IDC专线,Internet使用情况 IDC局域网资源与划分网络调研 业务系统优先级 业务系统使用情况协会内业务系统调研供应商 硬件供应商支持情况 业务系统供应商支持情况arvato|EIS|Security Integration Service|102022-9-18资源准备机柜资源,依据迁移设备数量和安全项目设备知
7、道机柜资源AB局域网资源,为内部业务系统分配单独区域,区分对内与对外的系统C专线扩容并增加一条协会到IDC专线E虚拟化资源,为协会内部业务系统准备对应的虚拟化资源资源准备DInternet资源,增加一条10M Internet线路,并对现有带宽进行升级迁移流程迁移流程迁移流程迁移流程arvato|EIS|Security Integration Service|112022-9-18数据备份与迁移业务系统备份业务系统迁移业务系统测试相关服务器迁移服务器测试迁移之前进行全备份操作优先迁移协会内部的虚拟机按照业务系统的优先级,先迁移优先级较低的系统业务系统测试相关服务器迁移存储迁移(作为备份存储使
8、用)迁移后功能性能验证测试业务系统迁移步骤arvato|EIS|Security Integration Service|122022-9-18业务测试与验收业务测试 业务系统备份完整性测试 业务系统迁移以后测试 业务系统相关性测试项目验收 业务系统与虚拟化系统交接 相关文档交接 整体项目交接 项目验收迁移流程迁移流程迁移计划迁移计划迁移计划细分arvato|EIS|Security Integration Service|152022-9-18任务任务A A机房整体搬迁服务项目进度计划 合同签订 项目启动 系统调研 制定调研方案 现有机房设备物理调研 现有系统应用和网络调研 新机房环境调研
9、整理调研报告 搬迁方案详细设计 搬迁步骤详细设计 新机房网络系统详细设计 核心系统和存储系统数据迁移设计 现有系统配置调整设计 新机房物理部署设计 搬迁路线选择 搬迁方案评审和确认 环境准备及确认 新机房环境准备和确认 线缆和相关附件准备 运输工具和防护设施准备 环境准备确认任务任务B B 系统搭建和配置调整 网络系统建设 新机房网络系统搭建 备用环境建设 新机房备用环境搭建 现有业务迁移 现有业务迁移至备用平台测试 现有业务正式迁移至备用平台 核心数据迁移 核心数据迁移测试 核心数据迁移 核心数据迁移验证 系统搬迁 现有设备标签准备 生产系统搬迁 各系统数据备份 各系统搬迁 搬迁后整理和维护
10、 正式验收 文档整理 验收arvato|EIS|Security Integration Service|162022-9-18组织结构欧唯特IT团队协会IT团队PMO 蔡荣系统工程师 付伟 网络工程师 李强 王钊 项目经理Fisker Liu安全团队Shi Long网络团队Fu Jianke系统及迁移团队Will Li,Li XinyongYang Baojie支持团队项目总监支持团队项目总监安全项目对接会员公司电信5M第三方系统华为USG6360 华为USG6360 华为S5700 华为S5700 华为 RH2288H V3 博科BR-340-0008 浪潮AS 520E-M1 博科BR-
11、340-0008 资管云OA办公系统 会员服务系统网站平台 私有云管理系统InternetInternet联通20M华为 Metro 1000 Histone G3150 FW 流量控制深信服2050 VPN Huawei7706 IBM B24光交IBM V5000 华为 S5700S IBM 3650 IBM 3850 IBM 3850 虚拟化环境产品注册测试系统MCS视频会议录音服务器产品注册系统上海数据中心InternetInternet专线北京数据中心区域协会内部区域1 11 13 31 12 2迁移后数据中心边界迁移后数据中心边界安全升级改造;安全升级改造;迁移后Web应用系统安全
12、升级改造;欧唯特信息安全服务;1 12 23 3数据中心网络边界安全升级改造方案arvato|EIS|Security Integration Service|192022-9-18下一代威胁防御(高可用)会员公司电信第三方系统联通20M上海数据中心(未来)已知木马及恶意软件Http协议检查内部威胁阻断流量和事件大数据分析终端病毒防护应用服务器群办公终端下一代威胁防御产品选型-Check Pointarvato|EIS|Security Integration Service|202022-9-18Check Point 企业安全需求选型工具“Security Power Unit”当前需求C
13、heck Point NGTP 4800IPS身份认证垃圾邮件病毒木马僵尸机应用控制Check Point Smart 205智能管理未来增长2015年“下一代威胁防御”排名Check Point下一代威胁防御产品部署说明arvato|EIS|Security Integration Service|212022-9-18入侵防御僵尸网络上述Check Point NGTP 4800的部署方式与“城市商业银行资金清算中心数据中心”和“中国太平保险数据中心”的部署方式相同。Smart 205是专为CP NGTP设计的智能管理设备,Smart 205提供SmartView Monitor,实时监控
14、安全事件和用户行为;SmartLog,通过Google式搜索集中跟踪所有安全日志和安全活动;SmartEvent的统一事件分析功能可从混乱中确定关键的安全事件。电信5M华为USG6360 华为USG6360 华为 S5700S 华为 S5700S Check Point NGTP 4800Check Point NGTP 4800下一代威胁防御在生产网部署方式Check Point Smart 205智能管理Histone G3150 FW Huawei7706 办公网会员公司电信5M第三方系统华为USG6360 华为USG6360 华为S5700 华为S5700 华为 RH2288H V3
15、博科BR-340-0008 浪潮AS 520E-M1 博科BR-340-0008 资管云OA办公系统 会员服务系统网站平台 私有云管理系统InternetInternet联通20M华为 Metro 1000 Histone G3150 FW 流量控制深信服2050 VPN Huawei7706 IBM B24光交IBM V5000 华为 S5700S IBM 3650 IBM 3850 IBM 3850 虚拟化环境产品注册测试系统MCS视频会议录音服务器产品注册系统上海数据中心InternetInternet专线北京数据中心区域协会内部区域1 11 13 31 12 2迁移后数据中心边界安全升
16、级改造;迁移后迁移后WebWeb应用系统安全升级改造;应用系统安全升级改造;欧唯特信息安全服务;1 12 23 3数据中心应用安全升级改造方案arvato|EIS|Security Integration Service|232022-9-18联通20M华为 Metro 1000 Histone G3150 FW IPS流量控制Huawei7706 电信5M华为USG6360 华为S5700 华为S5700 浪潮AS 520E-M1 IBM V5000 移动终端应用层防火墙SQL注入跨站请求防止网站爬取虚拟补丁信誉机制全球取证慢速DDoS攻击应用程序防火墙产品选型-Impervaarvato|
17、EIS|Security Integration Service|242022-9-18Application ServerWeb Application Firewall在线部署Application ServerVirtual Web Application Firewall虚拟部署旁路部署Application ServerWeb Application FirewallX4510 Web Application Firewall 防御应用层的DDoS攻击发现扫描和恶意勘察虚拟补丁与漏洞管理集成包括人民银行、招商银行、建设银行、中信证券、海通证券、国泰君安、太平洋保险、中国平安集团等大型
18、的银行业金融机构均选用了Imperva的WAF产品。会员公司电信5M第三方系统华为USG6360 华为USG6360 华为S5700 华为S5700 华为 RH2288H V3 博科BR-340-0008 浪潮AS 520E-M1 博科BR-340-0008 资管云OA办公系统 会员服务系统网站平台 私有云管理系统InternetInternet联通20M华为 Metro 1000 Histone G3150 FW 流量控制深信服2050 VPN Huawei7706 IBM B24光交IBM V5000 华为 S5700S IBM 3650 IBM 3850 IBM 3850 虚拟化环境产品
19、注册测试系统MCS视频会议录音服务器产品注册系统上海数据中心InternetInternet专线北京数据中心区域协会内部区域1 11 13 31 12 2迁移后数据中心边界安全升级改造;迁移后Web应用系统安全升级改造;欧唯特信息安全服务;1 12 23漏洞管理引擎与安全防御设备集成arvato|EIS|Security Integration Service|262022-9-18华为 Metro 1000 Histone G3150 FW IPS流量控制Huawei7706 电信5M华为USG6360 华为S5700 华为S5700 IBM V5000 漏洞管理引擎漏洞管理引擎与下一代威胁
20、防御集成漏洞管理引擎与应用防火墙集成更新防御规则定义虚拟补丁弱口令多余账号欧唯特信息安全服务arvato|EIS|Security Integration Service|272022-9-18检查点110000+、漏洞库40000+、漏洞分类160+,无需干预;彻底扫描IPv4和IPv6网络环境中的数据库、应用程序、网络应用、网络设备和虚拟设备漏洞。Metaploit验证漏洞从而证明风险真实存在,并且优先级区别修补漏洞,避免了漏报和误报。将渗透性验证的结果推送给Nexpose,从而形成闭环的漏洞管理系统容。经验风险的欧唯特安全工程根据扫描和渗透性测试工具的结果,对中保资协网络中存在的漏洞进行
21、加固和修补,不能修补的将采取更新和优化安全设备策略的方式防护。欧唯特团队利用SmartView Monitor,实时监控安全事件和用户行为;SmartLog,跟踪所有安全日志和安全活动;SmartEvent的统一事件分析功能可从混乱中确定关键的安全事件。应急与突发预案备品备件搬迁备品搬迁备品备件备件对于搬迁过程中需要的临时线缆、辅料将由欧唯特公司统一提供。对于数量巨大的PC服务器和网络设备,欧唯特将准备一定数量的备机,以备万一。以下是我方提供的备品备件详细类型及数量:三层交换机:1-2台;PC服务器:2-3台;硬盘、内存、电源等备件若干防震材料及相关工具应急预案-物理层硬件故障应急预案硬件故障
22、应急预案 (1)发生服务器软件系统故障后,搬迁小组负责人会立即组织启动备份服务器,将数据导入后,由备份服务器接管业务应用,并及时报告系统突发故障应急领导小组;同时安排相关责任人将故障服务器脱离网络,保存系统状态不变,取出系统镜像备份磁盘,保持原始数据。(2)发生网络设备或其他市面上较少的设备时,我们会联系预先联系过的原厂商,启动应急措施。(3)搬迁小组应根据系统突发故障应急领导小组的指令,在确认安全的情况下,重新启动故障服务器系统;重启系统成功,则检查数据丢失情况,利用备份数据恢复;若重启失败,联系相关硬件厂商,请求技术支援,作好技术处理。(4)处置结束后,搬迁小组应将事发经过、处置结果等在调
23、查工作结束后一日内报告系统突发故障应急领导小组。应急预案-系统层系统业务数据损坏应急预案系统业务数据损坏应急预案 (1)发生业务数据损坏时,搬迁小组应及时报告系统突发故障应急领导小组,检查、备份业务系统当前数据。(2)搬迁小组负责调用备份服务器备份数据,若备份数据损坏,则调用磁带机中历史备份数据。(3)业务数据损坏事件超过 2小时后,搬迁小组应及时报告系统突发故障应急领导小组,及时通知业务部门以手工或其他方式(如搬迁前已备份为虚拟机)开展业务。(4)搬迁小组应待业务数据系统恢复后,检查历史数据和当前数据的差别,由相关系统业务员补录数据;重新备份数据,并写出故障分析报告,在调查工作结束后一日内报
24、告系统突发故障应急领导小组。应急预案-网络层网络故障网络故障应急预案应急预案(1)在项目启动前期,欧唯特公司将为此项目设置网络组,由熟悉协会网络架构的工程师支持。(2)若发现IP地址切换后网络不通,网络小组按流程检查系统IP/VLAN是否正确;连接同网段设备以及网关试验,如果不能连接则检查网络交换机端是否连接和配置正确。(3)如果各项网络配置及联系方式正确,采用备份网络设备测试,排查设备自身问题,直到问题解决。采购清单软硬件一次性采购arvato|EIS|Security Integration Service|342022-9-18项目项目描述描述数量数量华为NAS系统替换协会内部现有的IB
25、M V5000存储(最小需求3.5T)1IBM V5000存储磁盘为IBM V5000存储配满磁盘12华为核心交换机数据中心核心交换机扩容2华为路由器备用专线使用2博科光纤交换机数据中心光纤交换机扩容2服务器HBA卡协会内部服务器HBA卡扩容8备份软件数据中心备份软件1月度资源采购arvato|EIS|Security Integration Service|352022-9-18项目项目描述描述数量数量IDC机柜采购世纪互联16A机柜4备用专线10M1互联网线路扩容5M升级到10M,新增16个公网IP1主专线扩容10M升级到20M1人力资源arvato|EIS|Security Integration Service|362022-9-18项目项目描述描述人天人天系统调研制定调研方案现有机房设备物理调研现有系统应用和网络调研数据中心机房环境调研5搬迁方案详细设计搬迁步骤详细设计数据中心网络系统详细设计核心系统和存储系统数据迁移设计搬迁方案评审和确认10环境准备及确认数据中心环境准备和确认线路和相关软硬件采购运输工具和防护设施准备5系统迁移网络系统建设备份数据迁移业务系统迁移业务系统测试物理硬件迁移20项目验收文档整理验收5ThanksThanks
