需求分析
----河南省通信公司平顶山市分公司是由原平顶山市邮电局经过1998年11月邮电分营、无线寻呼剥离和1999年7月通信重组、移动通信剥离后成立的。目前,公司下辖全本地网7个营业区,其中包含汝州市等6个县(市)通信分公司,全市公网电话用户60多万户。主要业务包括本地电话、光缆传输,无线市话、数据通信等,以及互联网接入、电子邮件、语音信箱、宽带网、ADSL等新兴业务。
----近年来,公司先后建设了九七系统、本地网管系统、本地营销账务系统、112自动处理系统、180投诉及回访服务系统、电话自动缴费卡系统等项目。大大改善了公司的服务形象,提高了市场竞争能力。随着业务支撑和网络设备投资的迅速增加,公司的确大大提升了市场地位,但另一方面又带来了网络系统的稳定性、安全性方面的崭新课题。与此同时,也由于互联网的日益普及,网上存在安全隐患。所有这些都对公司各个运营支撑系统的稳定性、安全性也提出了严峻的挑战。
----原来,由于缺少对小型机服务器和网络设备运行状况的集中监控和高度智能化的管理手段,业务支撑和网络管理人员无法实时地观测和监控服务器、网络节点、端口线路等各方面的运行状况,只能依靠人工及传统经验去判断、被动地解决故障,而对大量潜在的网络故障隐患无法提前改进和防范。比如,某一个线路发生了故障,管理员只能够凭借经验大致判断到故障的位置和网段,并且常常耗费相当大的人力和时间进行逐个排查和检测,往往不得不经常奔波于各个业务部门和分支机构之间。对于业务繁忙的运营服务商来说,每耽误一分钟都意味着巨大的经济和名誉损失。另外,我们公司既有HP、SUN、SGI等品牌UNIX服务器,也有基于NT系统的PC服务器和众多的桌面电脑,众多的服务器和各种复杂系统也急需实现智能化集中管理。同时,随着互联网的日渐普及和黑客的盛行,企业内部网络每天都可能会面临不明身份和来源的黑客攻击,一旦麻痹大意就有可能导致外界非法入侵或内部人员的恶意破坏,甚至于出现重大故障、崩溃和服务停顿
----现在,我们比以往任何时候都更加关注网络、主机以及服务的性能优化和安全性,日益认识到没有高度智能化、集中统一的安全管理系统解决方案,难以确保我们在网络、主机和服务的安全和高效运转。因此,我们非常希望能够找到一种集中化、高效率、安全的网络和管理软件系统,用来对网络和系统运行数据进行收集、分析、统计和处理,用来对分布式的网络环境进行实时的监控和管理,以保证整个网络和系统的稳定、可靠、安全、高效运行。
解决方案
--根据公司对业务支撑和网络管理迫切需求,我们选择了具有国际领先水平的美国CA公司Unicenter基础架构管理解决方案和eTrust安全管理解决方案。CA公司的专家对我们的需求进行了认真考察,经过我方工程师仔细讨论,根据我们的主机服务器和网络设备组网情况,制定了一个一揽子解决方案。最终我们采用了如下图所示的管理方案。
 |
一、网络管理:
----我们采用了CA的Unicenter 3.0 Network & System Management、Unicenter Advanced Network Operations及Unicenter Performance Management,对其企业网络进行整体的监控和管理。
----Unicenter能够自动发现、更新、生成和维护网络拓扑结构,形成网络模型,包括网络节点的自动发现、网络设备的定位及网络拓扑结构的动态更新。所有被发现的现有设备信息都存储在Unicenter的通用对象存储库中,在二维或三维的图形视图界面中,将所发现的网络拓扑结构和设备状态显示给用户以便监控。通过对网络拓扑结构图和设备状态的监控,管理员能够及时发现网络结构中的错误,或者发现用户私自增加和改动的网络连接。
----在自动生成网络拓扑结构图的基础上,Unicenter能够自动对网络节点和设备的状态进行定期轮询(Status Polling),以实时监控网络中所有资源的状态,及线路和设备的运行状况和故障情况,轮询的间隔可根据管理需要随时进行调整。
----另外,Unicenter实现了对网络性能的监控(包括实时与历史的监控)及故障报警,在采集和汇总大量原始数据的基础上,Unicenter的性能管理自动生成直观、易懂的性能报表,管理员可以通过对报表的分析得出扩充容量以提高性能的时机与方式。
----与其它网络管理解决方案不同之处在于,Unicenter不仅可以对支持标准SNMP(简单:网管协议)的设备进行直接管理,还能够对不支持SNMP协议的网络设备和进行管理,以及对第三方(如CISCO)网络设备管理软件的集成,极大地扩展了设备管理的范围。
二、系统管理:
----公司要同时处理大量业务,如:申请登记、业务处理、收费销账、查询话费、拨号上网、收发Email、计费出账等诸多业务,一旦出现系统响应时间过长,甚至出现系统故障、主机宕机,都将极大地影响用户的正常通信,影响到通信公司的正常业务运行和服务质量。CA的Unicenter 3.0 Network & System Management和Unicenter Performance Management,为我们搭建起的一个稳定、可靠的集中化网络和系统管理平台。
----在我们的系统中,需要对UNIX服务器的整体运行状况、重要进程的运行状态、系统和应用日志的记录情况进行监控,并根据需要定义报警门限,当某个参数进过门限值时,Unicenter能够自动通知网络管理员,并执行预定义的操作(如寻呼管理人员、调用命令和程序等)进行声、光报警。通过对Unix、Windows NT、Windows 95/98等不同操作系统下的服务器的系统性能的监控,如CPU和内存的资源占用情况的实时监控,管理人员能够方便地识别性能瓶颈、消耗过多资源的元组,观察系统参数对性能的影响、设置需要报警的阀值参数,并最终形成详细的资源状况报告。
三、系统安全和网络安全管理
一系统拥有极多的用户,同时也给系统带来了极大的安全隐患。例如,由于UNIX向外界提供的许多缺省服务如Telnet、FTP、DNS、POP3等,非法入侵者可以对同一账号进行长时间的攻击而不会被系统发现。为了保证系统的安全、可靠及高效运行,必须对UNIX服务器及整个企业内部网实施更为严密的安全管理。
----我们实施的CA eTrust安全管理解决方案包括防火墙、入侵监测和授权管理等几个方面。eTrust Firewall(防火墙)为系统构建起一道隔离企业内部网与外网之间的安全屏障,在企业内部网络统一实施安全策略,保护所有任务的关键型资源。另外,eTrust Intrusion Detection(IDS,入侵监测)能够实时侦测和阻止外来的非法入侵和攻击,侦测Java/ActiveX的恶意代码,保护用户的企业不会出现内部滥用和生产力的下降。
----通过eTrust Access Control,能够对UNIX服务器进行集中化的安全管理。它具有完善的口令管理功能,可以进行策略化的集中管理,分割超级用户的权限,基于时间授权,并通过事件管理功能和安全数据库对系统安全违规事件进行监控及生成审计报表。通过强制访问控制机制对资源和用户进行分层管理,如文件、进程、终端等等,将用户和资源按照各自对应的安全级别,如公开级、保密级、绝密级等进行分级,从而使企业的系统安全级别大大提高,防止黑客通过各种手段对通信业务的攻击,并防止内部员工对网络安全的无意破坏。
四、数据库管理
----通过对数据库的监测与管理,Unicenter Database Performance Management for Distributed RDBMS能够对我们内部的Oracle、DB2等数据库的运行情况进行监控、报警及自动处理,监控数据库引擎的关系参数,如数据库系统的文件存储空间、系统资源的使用率、配置情况、数据库当前的各种锁资源情况、监控数据库进程的状态、进程所占内存空间等。当数据库性能和资源达到门限值时,系统能够自动发出警告和错误信息,并将错误信息发送到Unicenter的总控台,促使数据库管理员及时采取措施。
五、桌面PC资产管理
----我们内部有两百台桌面PC机及前台服务终端,这些PC机发挥着直接面对用户、向用户提供服务的重要作用,因此,对桌面PC的管理极其重要的。通过Unicenter Asset Management,可以对各种不同操作系统和平台的PC桌面机(DOS、Windows 3.X、Windows 95/98、Windows NT、Windows 2000、OS/2等)、Macintosh、Netware甚至Unix工作站进行管理。系统能够自动检测客户机的详细硬件、软件及网络配置,保存重要的配置文件,监测特定软件的使用,从而降低客户机的总拥有成本(TCO),提高最终用户的生产效率。
----另外,我们还应用了Unicenter Remote Control和Unicenter Software Delivery,实现了中央服务器对分散在各部门和分支机构的服务器的远程控制和软件分发。由于我们的桌面PC散布在各个部门和业务点,对这些PC桌面机的管理、配置、操作一直是很繁杂和困难的工作。通过Unicenter Remote Control,可以采用多种方式对远程机器进行监控和接管。软件分发功能使得管理员可以按照制定好的策略,对不同的PC机进行远程软件安装和升级等操作,而不必到散布在各地的PC机上逐一安装,既省时省力,同时又极大地提高了升级和维护的效率。
实施效果
----通过实施CA公司的Unicenter和eTrust解决方案,我们的整个网络环境中的所有服务器、网络设备和桌面PC机整合成为一个稳定、安全的网络体系,实现了集中管理、远程控制、安全防护等目的。
----由于Unicenter能够进行网络设备的自动发现和自动生成拓朴结构图,我们的业务支撑和网络管理员现在只须从直观的图形管理界面上,就可以及时、准确地掌握全方位的网络运行状况,实现了对网络设备及性能的实时监控,从而极大地降低了整个网络和系统的故障发生率,故障后的平均响应和解决时间均得到了极大的改善。
----同时,对系统及桌面PC机的集中管理,使得系统的稳定性极大地提高,管理人员不再需要奔波于各地的服务器和PC机,就能够进行软件分发、远程维护、远程控制等操作,极大地提高了管理人员的效率。
----在网络安全方面,由于实施了CA的eTrust网络安全解决方案,构建起企业内部网与外部网之间的坚实防护体系,使网络的各个端口都能免受病毒和非法入侵者的袭击。同时,由于有了访问控制管理功能,能够自动识别通信分公司的领导和业务支撑和网络管理人员的权限,极大地加强了网络的安全性能和管理能力。 总体评价
----CA公司的Unicenter和eTrust解决方案,性能优越、功能完善,为平顶山市通信公司的企业内部网络建立起了一个集中、统一、稳定、安全的网络和系统管理平台,在使用过程中,我们业务支撑和网络部门的管理人员切身感受到了由于实施CA的Unicenter和eTrust而带来的高效率管理功能,为减少和及时发现网络和线路故障,监控和管理通信分公司内几十台服务器和其它PC桌面机的系统运行状况,保证通信、计费等关键业务的正常、稳定运行,提高服务质量和服务水平起到了重要作用。
附:我们实施CA的解决方案模块:
 |
