About Project:
近年来, 各个集团对信息化建设工作高度重视, 集团各位领导在多次重要场合都提及到了要加强全集团的信息化建设工作,要以信息化管控为抓手, 更好地支撑集团的战略管控、财务管控和业务发展。
背景 | BACKGROUND
中铁南方投资集团有限公司属中国中铁全资二级子公司,下属不少于7个项目管理平台,集团IT基础平台已建设近7年,作为承担集团各类办公业务和数据服务。随着信息化建设的深入发展、业务所需资源不断增加以及 IPv6 的普及,安全已然面临严峻挑战、问题日渐突出,管控运维难度高,另一方面为响应国家 IPv6 建设改造趋势,以进一步完善现有 IT 基础架构。
挑战 | CHALLENGE
- 核心与接入交换机运行年限久远,故障率高,一旦发生故障整个网络将面临瘫痪风险;
- 服务器前端防火墙单机旁路部署,流量审计不全面且存在单点故障;
- 网络出口缺少专业网络负载均衡设备,多条出口链路带宽无法充分利用;
- 文档并未进行安全性加密,数据随意上下载,容易导致信息泄露从而损失公司利益;
- 中铁南方随着建设项目越来越多,数据量越来越大,而且都分散于各个PC终端,项目资料的存放共享非常不便;
- 现有集团总部大厦机房IT设备众多,平台界面分散,缺少可视化管理与自动化管理手段,各个监控数据与IT管理脱节无法统一,出现故障现象难以快速定位;
- 目前分支机构采用IPsec VPN与总部互联,网络互连质量和可靠性较差,同时缺乏链路状态可视化,无法实时了解链路质量,网络故障,也很难快速定位故障,给运维人员解决问题带来不便。
解决方案 | SOLUTION
- 采用两台堆叠交换机替换现有思科核心交换设备,各个区域新增汇聚交换机与防火墙,实现区域之间防火墙安全加固与隔离;
- 替换现有接入设备,完成 Portal 认证;
- 新增负载均衡设备,实现内外网络及各业务系统 IPv6 访问,同时提高外网带宽利用率,进行智能选路负载、加速及链路状态可视化;
- 现有数据中心超融合设备新增万兆网卡,以便接入万兆网络;
- 数据安全性保障, 采用终端安全管控软件实现保障重要文件加密、移动介质管控、各类外设使用权限、审计文档操作行为等,在数据传输使用的各个环节保障安全;
- 建设一套统一的数据资料存放共享平台,在统一保存数据,确保数据安全的同时,通过精细化的权限管控,保障数据不泄露;
- 部署智慧运维平台进行告警的快速分析与定位,并提供大屏展示,实现可视化管理与自动化管理等;
- 分支总部部署 SDWAN 设备进行广域网优化升级,实现分支安全、稳定、快速接入总部,总部集中管控分支网络,解决客户网络互联质量差及无法快速定位故障等问题。
客户收益 | BENEFITS
- 核心与接入交换机两两堆叠,提高可靠性。
- 保证访问效果最佳、三条线路都要充分利用、某条线路发生故障不影响用户正常上网,有效提高利用率与可靠性。
- 通过制定各种管控策略,对终端的各种泄密途径、行为进行合规控制,杜绝信息通过各种传输途径(如U盘、聊天、邮件等)泄露出去,有效保护企业商业机密。
- 针对企业的核心数据,需要通过加密手段,从数据源头进行保护。数据一旦加密,在企业内部授信区域可正常流通,一旦非法带离企业,则无法使用或以乱码形式呈现,从而有效防止核心数据泄漏。
- 统一的数据资料存放共享平台采用全面的权限管理机制,确保文件及数据库的安全管理。对于访问权限机制采用基于角色和基于对象的权限管理模式,保证安全性。
- 智慧运维平台对IT基础架构统一监控,实现网络资源管理平台的运维自动化功能,给运维人员减少极大的工作量。
- Sd-wan通过云化集中管理平台构建了广域网运营中心,以地图和拓扑的形式,展现分支的在线离线、资源负载度、健康度等信息,可以批量编辑和下发管控策略到全网设备,而且实现了SD-WAN拓扑健康可视化,可以看到每个虚拟隧道的丢包、时延、繁忙度,真正的实现了全网可视可控。