集團IT信息化藍圖及集團IT網絡架構規(guī)劃方案

集團IT信息化藍圖及集團IT網絡架構規(guī)劃方案目錄

集團信息化目標藍圖1.集團IT藍圖規(guī)劃思路2.集團IT網絡架構規(guī)劃本次項目，將按照某著名企業(yè)的成熟方法論進行IT藍圖規(guī)劃藍圖規(guī)劃設計思路業(yè)務模式業(yè)務IT信息化藍圖規(guī)劃業(yè)務及信息化協同行業(yè)參考信息化需求業(yè)務目標戰(zhàn)略愿景業(yè)務架構基礎架構IT愿景項目群/項目總體實施計劃規(guī)劃實施保障實施預算業(yè)務戰(zhàn)略應用架構數據架構基礎架構治理架構信息安全業(yè)務架構345621應用架構數據架構治理架構承接第1階段梳理的信息化總體需求及業(yè)務架構，結合行業(yè)經驗，分析未來集團應用架構、數據架構、基礎設施架構和信息化治理架構，形成未來集團整體信息化藍圖。目錄

集團信息化目標藍圖1.集團IT藍圖規(guī)劃思路2.集團IT網絡架構規(guī)劃未來集團將對現有系統(tǒng)進行升級并不斷部署新的應用，打通公司所有系統(tǒng)，并與外部系統(tǒng)對接，實現信息的自由流動與共享，對IT基礎設施提出了相應要求可靠性能夠支撐應用系統(tǒng)順暢運行，減少中斷次數，使最終用戶有良好的體驗滿足業(yè)務處理的需要，具備提供24×7×365的全天候服務的能力開放性支持業(yè)界主流標準，用戶可自主選擇技術方案可擴展性按需擴展，隨著用戶數和模塊功能的增加而能夠進行水平擴展，保護現有投資至2020年系統(tǒng)整體架構不用進行大的變動，支持未來建設電子商務的需求；安全性要求能夠保證企業(yè)信息系統(tǒng)安全、數據安全高可用性具備容災能力，滿足業(yè)務連續(xù)性要求因此需要體系化地規(guī)劃相應的IT基礎架構，適應未來應用系統(tǒng)整體架構的建設需要，企業(yè)的IT基礎架構包括以下部分網絡局域網、廣域網、互聯網數據中心服務器、終端、存儲機房及相關設備容災備份備份與災難恢復信息安全業(yè)務架構應用架構基礎設施規(guī)劃基礎設施規(guī)劃主要包括數據中心規(guī)劃、網絡規(guī)劃、容災備份和信息安全規(guī)劃四部分.整理制作郎豐利1519行業(yè)最佳實踐集團實際情況內控要求某著名企業(yè)方法論技術發(fā)展與趨勢國際標準與規(guī)范未來架構演進路線現狀及建設建議集團信息化系統(tǒng)總體架構統(tǒng)計與

經營分析企業(yè)

門戶業(yè)務運營運網資源管理業(yè)務運營管理計劃調度管理戰(zhàn)略決策戰(zhàn)略及績效管理經營計劃與預算管理投資管理職能管理整車零部件分裝制造零部件分裝制造整車其他其他企業(yè)集成平臺數據共享平臺基礎設施平臺企業(yè)服務總線業(yè)務流程管理服務器網絡存儲容災與備份信息安全數據中心數據清洗數據交換三大

平臺三類

應用SRM供應商

關系

管理CRM客戶

關系

管理ERP綜合事務管理質量

管理銷售訂單管理技術/研發(fā)管理計費結算管理內控/審計與風險H.S.E.基礎數據管理IT服務

管理財務

管理設備管理采購

管理工程項目管理人力資源管理合同

管理成本

管理監(jiān)管服務

管理生產服務

管理運輸服務

管理關務服務

管理物流金融

服務管理倉儲服務

管理IT基礎設施架構規(guī)劃總體原則總體指導原則基礎設施架構體系以業(yè)務為導向，滿足當前業(yè)務需求，適應并保障未來業(yè)務發(fā)展基礎設施架構體系必須符合外部法律法規(guī)及相關規(guī)范的要求采用統(tǒng)一規(guī)劃、統(tǒng)一采購、統(tǒng)一建設、統(tǒng)一運維的方式，形成規(guī)模效益，結合虛擬化技術，降低公司信息化建設成本業(yè)務導向合規(guī)保障成本控制統(tǒng)籌集團信息化建設所需的技術資源，適當的利用外部信息化資源和云計算平臺資源共享系統(tǒng)冗余化采購標準化技術虛擬化資源共享化管理集中化IT基礎架構原則安全制度化架構某著名企業(yè)在IT基礎架構、IT安全建設過程中需要遵守的原則，形成合理的技術體系和管理制度，為業(yè)務發(fā)展提供信息化技術和信息化安全保障IT基礎架構規(guī)劃原則如何執(zhí)行IT基礎架構原則新的標準機房建成之后，將原有的服務器集中遷移到新的數據中心，進行統(tǒng)一管理在網絡設備/服務器/客戶端等采購中選擇固定的不超過3個供應商品牌，提高采購執(zhí)行的標準化程度應用服務器虛擬化技術，提高計算資源的共享化水平，降低投資成本，提升資源有效利用率，實現對資源需求的彈性支撐關鍵主機及網絡設備進行冗余化設計，減少單點故障給企業(yè)帶來的損失設計容災備份與災難恢復總體方案，完善容災備份與災難恢復計劃，制定容災備份與災難恢復計劃相關的管理辦法與實施細則參考完整的安全技術體系，建立信息安全管理制度和應急流程，逐步完善網絡安全、身份認證等安全系統(tǒng)管理集中化采購標準化技術虛擬化資源共享化系統(tǒng)冗余化安全制度化IT基礎設施的管理，包括數據中心、網絡、服務器、存儲、備份等集中由總部信息化部門負責IT基礎設施的硬件采購標準化，品牌選擇，包括服務器，客戶端等，不應超過3個供應商品牌應用服務器、存儲、客戶端、網絡的虛擬化技術，確保技術資源的靈活性、高可用性、安全性公司IT基礎設施資源完全共享，設備資源靈活調度，提高設備利用率和重用度，降低TCO在核心網絡設備，核心業(yè)務應用上上采用冗余技術，縮短宕機恢復時間，提高可靠性借鑒國際國內相關標準。通過明確的信息安全標準制度，使信息安全工作有據可依通暢的網絡是現代化企業(yè)生產運行和經營管理的基礎；集團的網絡規(guī)劃覆蓋總部和直屬單位，包含廣域網、局域網、互聯網、VPN及無線網五個方面廣域網：覆蓋全國所有直屬單位的廣域網局域網：業(yè)務單元高帶寬的局域網互聯網：與互聯網的連接VPN：通過VPN提供方便、安全的網絡接入無線網：為無線用戶提供無線接入服務總部園區(qū)網(數據中心)直屬單位網(分子公司等)以集團數據中心為核心、集團統(tǒng)一管控的二級網絡體系集團網路建設的現狀及問題廣域網集團廣域網分為三部分：1，通過專線直接與重慶本地分子公司形成廣域網；2，通過DMVPN與外地分子公司形成廣域網；3，通過長安網絡與各項目形成廣域網絡；通過線路備份保障暢通未通過防火墻分區(qū)進行屏蔽管理局域網核心交換設備為雙路千兆以太網架構，降低單點故障通過VLAN對網絡進行了分區(qū)管控，但網絡之間（辦公網和生產網、測試網）未通過防火墻進行隔離互聯網INTERNET出口經過防火墻,數據流量實施QOS；辦公和生產流量進行區(qū)分控制部署IDS設備，應對安全攻擊三個運營商多鏈路互備，降低互聯網連接中斷風險未劃分DMZ區(qū)域，系統(tǒng)安全性可能會受到威脅VPNIPSECVPN實施3des加密VPN設備只有一臺，可能會出現單點故障無線網安全上，WIFI實施802.1x+PEAP驗證對申請接入和使用沒有明確的制度規(guī)定，以及相應的懲罰措施；硬性建設1，采用了主流、先進的技術設備，考慮了效率、安全與投資的平衡，只是在某些細節(jié)上還存在進一步完善的空間軟性建設1，制度層面：一些管理制度、管理流程的制定和落實上存在欠缺2，集成層面：沒有統(tǒng)一監(jiān)控平臺，不同廠商設備采用不同方式監(jiān)控；網絡監(jiān)控平臺暫不具備報表功能。長期監(jiān)控數據分析困難，準確性較低3，人員層面：核心技術人員只有一個，存在技術風險建設現狀現狀分析網絡建設的一般性要求需求說明可靠性可靠的網絡是數據傳輸的保障，由于未來集團的各項業(yè)務應用都依賴于網絡的傳輸，因此要確保有足夠的帶寬和冗余，最大程度的保證網絡通暢和可靠安全性在網絡傳輸可靠的基礎上，要確保網絡數據的安全，防止外部的侵入以及數據的，這需要建立一整套的安全體系，具體請見安全規(guī)劃部分擴展性業(yè)務數據的帶寬要求會隨著業(yè)務的變化而變化的，當前的帶寬設計預測主要是為了滿足未來5年的業(yè)務需求，這就要求選擇專線時要考慮其可具有的擴展性，可以在業(yè)務高速增長時進行簡單帶寬擴展可管理性對網絡實行集中監(jiān)測、分權管理，統(tǒng)一分配帶寬資源，選用先進的網絡管理平臺，具有對設備、端口等進行管理、流量統(tǒng)計分析，提供故障自動報警高性價比高性能在考慮高性價比的基礎上，最大限度的考慮網絡性能的發(fā)揮，包括帶寬、網絡設備等先進性網絡的設計要基本體現當今網絡技術的先進水平，要盡可能的利用先進和成熟的技術，并符合網絡發(fā)展的趨勢標準化在園區(qū)網的設計中，無論是專線的選擇還是路由交換設備的選型以及路由協議等都要體現標準化的原則，或遵從標準化的趨勢QoS服務質量保證保證對統(tǒng)一的網絡帶寬資源進行合理調配，在網絡發(fā)生擁塞時，保障關鍵征管業(yè)務的傳輸，提供對數據傳輸的QoS以及優(yōu)先級控制，保證服務的質量投資保護在設計過程中要結合現狀充分考慮保護現有的投資，節(jié)省成本廣域網建設建議集團廣域網連接總體采用樹型拓撲結構；總部與各分支機構廣域網采用星型連接方式專線帶寬可以平滑升級；線路帶寬升級時，集團不需增加新的接口設備對于總部及各分子公司之間的網絡，使用多鏈路連接。多條鏈路向不同的運營商租用。鏈路帶寬根據實際業(yè)務量確定基于經濟考慮，對于部分規(guī)模較小的分支機構，可以考慮通過互聯網或VPN接入作為鏈路備份廣域網整體架構技術先進，但是規(guī)劃和管理仍有提升空間。例如：沒有完善的監(jiān)控體系，沒有建立基于ISO20000的運維架構等等局域網建設建議局域網建設和管理的主要挑戰(zhàn)是：1，提供服務器所需的帶寬，以平衡局域網的總體負荷，并隨著業(yè)務需要的調整而更新配置；2，支撐集團在五年內在應用上和業(yè)務量上大規(guī)模的增長局域網架構的典型特點。各局域網的布局和需求互不相同，但這些特點必須以滿足網絡需求、優(yōu)化網絡服務為宗旨：通過交換機控制，連到桌面的帶寬為100/1000M將交換機集中管理，實現云化，并通過虛擬網管理這些連接局域網設備必須符合開放原則，具有允升級的靈活性應使用便于管理的網絡中心和交換機，以利于中央網絡的管理使用TCP/IP作為主要的網絡協議用Cat-5E/6網線或光纜配線（單模）支撐未來的云計算局域網架構未來數據中心的云計算服務器組網規(guī)模超過一定數量之后，需要有支持IETF標準協議TRILL的交換機組成大二層網絡。傳統(tǒng)的三層組網模式超過兩百臺服務器丟包率上升，吞吐率下降底層配線中心底層配線中心數據中心核心局域網交換機建造配線分送中心底層配線中心局域網節(jié)點局域網節(jié)點局域網節(jié)點路由器園區(qū)網/廣域網連接局域網建設規(guī)劃集團局域網建設符合相關標準和規(guī)范，數據中心局域網采用雙星架構，形成接入、匯聚、核心的三層網絡層級；并根據不同的功能域進行了分區(qū)管理，降低核心交換流量，提升了整體性能建立網絡分區(qū)，例如生產區(qū)、開發(fā)測試區(qū)、日常辦公區(qū)等，區(qū)域間使用防火墻進行隔離部署公司的IP電話系統(tǒng)和視頻會議系統(tǒng)，實現基于網絡的通訊，節(jié)約成本數據流動局部化，僅跨區(qū)域的交換數據傳送到核心交換機，降低核心交換機的負荷隨著云計算服務器增加，需要將數據中心組網扁平化，采用TRILL的大二層網絡架構組網數據中心內以雙路萬兆以太網連接，生產區(qū)雙路接入層交換機，減少單點故障雙層防火墻間設置DMZ區(qū)，放置因特網服務器，提高內網安全性互聯網規(guī)劃要求與大多數公司類似，在集團，互聯某著名企業(yè)訊是在城域網中增長最快的一種通訊。如果管理不好，將導致如下問題：不合理或低效的連接安全隱患生產力的損失在技術方面，集團需要審查與業(yè)務合作伙伴通過互聯網對接的總體設計；在連接處需進行通訊分析，還應發(fā)展替代方案以優(yōu)化通訊。為實現這些目標，需要在園區(qū)網網絡中心建立統(tǒng)一的外部接入區(qū)，還應通過防火墻和代理服務器來實現網絡訪問控制；必須堅持由集團統(tǒng)一管理所有外部連接，以避免安全隱患。郎豐利整理制作?；ヂ摼W的必要性：1，與業(yè)務合作伙伴的緊密協作，通過互聯網（Internet）進行信息交流；2，基于互聯網的手持終端掃描設備的使用，在集團業(yè)務中發(fā)揮著重要的作用；互聯網的暢通已經是業(yè)務運轉必要條件Ethernet交換機Internet防火墻骨干網路由器交換機防火墻路由器互聯網規(guī)劃建議鏈路備份：鋪設兩條或以上出口鏈路，出口鏈路采用不同的互聯網服務供應商，互聯網接口統(tǒng)一管理。帶寬根據各應用系統(tǒng)實際需求情況進行估算并調整。住宅（宿舍）用戶網使用單獨的互聯網訪問出口，不能與公司集團廣域網有物理連接，保證廣域網的安全。某著名企業(yè)辦公需求可使用VPN等方式接入使用雙層防火墻架構保障信息安全。所有用戶和數據中心通過第一層防火墻連接到DMZ區(qū)的代理服務器，而代理服務器通過第二層防火墻連接到互聯網集團互聯網架構比較先進，建設充分考慮了可用性、安全性，例如雙鏈路接入、分層防火墻、IDS設備等；但也有一些不足，例如互聯網訪問速度較慢，有時存在斷線情況；基于互聯網的重要性，建議加強軟性建設：1，基于流量分析和業(yè)務量預測預估并規(guī)劃互聯網帶寬需求；2，定期從外網進行掃描，評估互聯網服務器安全性；3，培養(yǎng)網絡安全人才，做人才儲備和備份某著名企業(yè)辦公的解決方案-VPNVPN可以提供方便的某著名企業(yè)接入方案

通過VPN技術，可以解決某著名企業(yè)用戶或出差在外員工對企業(yè)網或外部網的遠程訪問。遠程訪問VPN能使這些用戶隨時、隨地以其所需的方式訪問企業(yè)資源；

其他業(yè)務合作伙伴也可以通過VPN技術迅速、方便地和集團集團建立數據連接；VPN可以提供低成本的某著名企業(yè)接入方案

提供通過Internet訪問公司網絡資源的方法，降低長途、大型ModemPool和技術支持的費用；VPN可以提供安全的某著名企