中石化BP合資公司IT整合項(xiàng)目－基礎(chǔ)應(yīng)用

中石化BP合資公司IT整合項(xiàng)目－基礎(chǔ)應(yīng)用中石化BP合資公司IT整合項(xiàng)目－基礎(chǔ)應(yīng)用文檔信息項(xiàng)目名稱:中石化BP合資公司IT整合項(xiàng)目－基礎(chǔ)應(yīng)用項(xiàng)目階段規(guī)劃與方案制定項(xiàng)目經(jīng)理:版本1.0編寫:編寫日期2004-11-5校對(duì):校對(duì)日期分發(fā)列表發(fā)送者日期電話/傳真接收者所需操作截止日期電話/傳真*所需操作：批準(zhǔn)，回顧，通知，存檔，參加會(huì)議，其他（請(qǐng)注明）版本記錄版本號(hào)版本日期修改者描述文件名

修改歷史版本日期修改內(nèi)容1.02004年11月4日初始版本

TOC\o"1-3"\h\z第1章 背景介紹 11.1項(xiàng)目背景 11.2需求分析與設(shè)計(jì)規(guī)劃 2第2章 網(wǎng)絡(luò)通訊架構(gòu) 32.1網(wǎng)絡(luò)設(shè)備命名規(guī)范 32.2IP地址分配 42.2.1 總體規(guī)范 42.3局域網(wǎng)的規(guī)劃與實(shí)施 52.3.1 局域網(wǎng)規(guī)劃 52.3.2 局域網(wǎng)設(shè)備軟硬件配置 122.3.3 局域網(wǎng)主要配置范例 122.4廣域網(wǎng)的規(guī)劃與實(shí)施 162.4.1 廣域網(wǎng)拓?fù)鋱D 162.4.2 廣域網(wǎng)路由器軟硬件配置 172.4.3 防火墻軟硬件配置 182.4.4 廣域網(wǎng)實(shí)施 182.4.5 廣域網(wǎng)設(shè)備主要配置范例 192.5網(wǎng)絡(luò)設(shè)備部分服務(wù)的關(guān)閉 21第3章 服務(wù)器技術(shù)架構(gòu) 233.1服務(wù)器系統(tǒng)功能 233.2服務(wù)器功能概述 233.2.1 AD/DNS服務(wù)器 233.2.2 File/Printer/DHCP服務(wù)器 243.2.3 Exchange后端和前端服務(wù)器 243.2.4 Symantec/BDC/DNS服務(wù)器 243.2.5 WTS服務(wù)器 243.3服務(wù)器數(shù)據(jù)備份 253.3.1 服務(wù)器數(shù)據(jù)備份系統(tǒng) 253.3.2 服務(wù)器數(shù)據(jù)備份策略 263.4服務(wù)器操作系統(tǒng)－微軟WindowsServer2003 273.5消息和協(xié)作服務(wù)－微軟Exchange2003 283.6服務(wù)器病毒防治方案－SymantecAntiVirus企業(yè)版 29第4章 機(jī)房設(shè)備與擺放 304.1機(jī)房電源 304.1.1 設(shè)備功率估算表 304.2機(jī)柜設(shè)備擺放圖 31第5章 信息系統(tǒng)管理標(biāo)準(zhǔn)和實(shí)施策略 345.1目標(biāo)概述 345.2適用范圍 345.3標(biāo)準(zhǔn)實(shí)施審計(jì)與檢查 345.4服務(wù)器硬件配置標(biāo)準(zhǔn) 345.5WindowsServer2003配置標(biāo)準(zhǔn) 355.5.1 軟件技術(shù)標(biāo)準(zhǔn) 355.5.2 命名標(biāo)準(zhǔn) 355.5.3 安全標(biāo)準(zhǔn) 385.5.4 軟件配置標(biāo)準(zhǔn) 395.6Windows2003服務(wù)器安全標(biāo)準(zhǔn) 405.6.1 服務(wù)器配置安全標(biāo)準(zhǔn) 405.6.2 服務(wù)器上服務(wù)的安全標(biāo)準(zhǔn) 405.6.3 內(nèi)置用戶和服務(wù)帳戶安全標(biāo)準(zhǔn): 415.6.4 文件和組許可權(quán)限標(biāo)準(zhǔn) 415.6.5 系統(tǒng)審計(jì)日志標(biāo)準(zhǔn) 415.6.6 系統(tǒng)備份和恢復(fù)標(biāo)準(zhǔn) 415.7電子郵件系統(tǒng)配置標(biāo)準(zhǔn) 425.7.1 命名標(biāo)準(zhǔn) 425.7.2 設(shè)置規(guī)范 425.7.3 技術(shù)標(biāo)準(zhǔn) 435.8計(jì)算機(jī)病毒防治規(guī)范 445.9客戶端計(jì)算機(jī)硬件配置標(biāo)準(zhǔn) 445.10客戶端計(jì)算機(jī)軟件配置標(biāo)準(zhǔn) 44第6章 項(xiàng)目實(shí)施 466.1安裝步驟 466.1.1 防火墻安裝步驟 466.1.2 路由器安裝步驟 466.1.3 交換機(jī)安裝步驟 466.1.4 服務(wù)器安裝步驟 466.1.5 客戶端安裝步驟 476.2進(jìn)度安排 476.3項(xiàng)目管理 486.3.1 XXX項(xiàng)目管理方法論 486.3.2 項(xiàng)目管理原則 486.3.3 項(xiàng)目管理的目標(biāo) 496.3.4 項(xiàng)目管理規(guī)范 496.3.5 項(xiàng)目實(shí)現(xiàn) 506.3.6 項(xiàng)目執(zhí)行 526.4知識(shí)轉(zhuǎn)移與用戶培訓(xùn) 536.5項(xiàng)目文檔 546.5.1 系統(tǒng)和安裝文檔 546.5.2 配置管理文檔 556.5.3 系統(tǒng)運(yùn)行和維護(hù)文檔 556.5.4 系統(tǒng)檢驗(yàn)文檔 556.5.5 技術(shù)文檔 556.5.6 系統(tǒng)管理員和用戶培訓(xùn)手冊 556.6系統(tǒng)驗(yàn)收 55第7章 售后服務(wù) 567.1安裝后的服務(wù) 567.1.1 硬件維護(hù) 567.1.2 系統(tǒng)關(guān)懷 567.1.3 外派工程師 567.2服務(wù)組織及構(gòu)架 567.3服務(wù)流程 57第8章 附件 588.1公司介紹 58ShanghaiChinadreamInformationTech.Co.,LtdPAGEPAGE33Room502,Block68No.475,ChengshanRoad,PudongNewArea,Shanghai電話：86-21-50560271背景介紹項(xiàng)目背景BP集團(tuán)公司包括原英國石油、阿莫科、阿科和嘉實(shí)多等公司，是集石油天然氣勘探開發(fā)、煉油與營銷、化工及天然氣與發(fā)電于一身的一體化能源公司。它是世界上最大的石油與石油化工集團(tuán)之一,公司總部設(shè)在倫敦。全球雇傭超過十萬員工，業(yè)務(wù)遍及世界百余個(gè)國家。到目前為止，BP已在中國投資約40億美元，擁有獨(dú)資合資企業(yè)20多家，直接雇員和控股公司雇員超過1000人，是在華投資最大的能源公司。BP集團(tuán)的四大核心業(yè)務(wù)從上游的石油及天然氣生產(chǎn)，天然氣及發(fā)電到下游的石油化工，油品營銷等都在中國有廣泛的開展。其業(yè)務(wù)已從70年代初期的產(chǎn)品銷售擴(kuò)展到石油天然氣生產(chǎn)、煉油、油站、航空油料、液化石油氣、化工及天然氣與發(fā)電各個(gè)領(lǐng)域，地域涵蓋東北、華北、華東、華南及中西部各個(gè)地區(qū)。中國石油化工股份有限公司（以下簡稱“中國石化”）是一家上中下游一體化、石油石化主業(yè)突出、擁有比較完備銷售網(wǎng)絡(luò)、境內(nèi)外上市的股份制企業(yè)。中國石化是中國最大的一體化能源化工公司，主要從事石油與天然氣勘探開發(fā)、開采、銷售；石油煉制、石油化工、化纖、化肥及其它化工的生產(chǎn)與產(chǎn)品銷售、儲(chǔ)運(yùn)；石油、天然氣管道運(yùn)輸；石油、天然氣、石油產(chǎn)品、石油化工及其它化工產(chǎn)品和其它商品、技術(shù)的進(jìn)出口、代理進(jìn)出口業(yè)務(wù)；技術(shù)、信息的研究、開發(fā)、應(yīng)用。是中國最大的石油產(chǎn)品（包括汽油、柴油、航空煤油的批發(fā)和零售）生產(chǎn)商和供應(yīng)商，是中國最大的主要石化產(chǎn)品（包括中間石化產(chǎn)品、合成樹脂、合成纖維單體及聚合物、合成纖維、合成橡膠和化肥）生產(chǎn)商和供應(yīng)商，也是第二大原油生產(chǎn)商。為了更好的發(fā)揮兩家企業(yè)的優(yōu)勢，做到優(yōu)勢互補(bǔ)，BP和中國石化決定在浙江合資成立中石化碧辟（浙江）石油公司，在浙江全省提供加油站業(yè)務(wù)。公司總部設(shè)在杭州，此外在寧波等地設(shè)有分公司。為了業(yè)務(wù)開展和運(yùn)作，需要實(shí)施一系列的IT應(yīng)用，包括基礎(chǔ)設(shè)施，財(cái)務(wù)系統(tǒng)，加油站零售管理系統(tǒng)等。本項(xiàng)目即為該公司提供整合的IT基礎(chǔ)設(shè)施和服務(wù)。XXX憑借自身完善的技術(shù)力量和服務(wù)水準(zhǔn)，為中石化BP提供全面解決方案，包括硬件平臺(tái)的架設(shè)，應(yīng)用軟件的實(shí)施，以及整個(gè)系統(tǒng)的維護(hù)和技術(shù)支持需求分析與設(shè)計(jì)規(guī)劃設(shè)計(jì)實(shí)施一個(gè)技術(shù)先進(jìn)、數(shù)據(jù)安全、性能穩(wěn)定、擴(kuò)展靈活的網(wǎng)絡(luò)系統(tǒng)成為我們該項(xiàng)目的基本目標(biāo)。根據(jù)我們對(duì)客戶的了解和對(duì)能源石化行業(yè)的深刻理解，以及我們豐富的業(yè)務(wù)經(jīng)驗(yàn)，我們認(rèn)為本項(xiàng)目的需求主要在以下幾個(gè)方面；在中石化BP杭州總公司構(gòu)建一個(gè)中心辦公網(wǎng)絡(luò)，該網(wǎng)絡(luò)為公司總部的業(yè)務(wù)提供基本的信息技術(shù)服務(wù)，包括目錄服務(wù)、文件與打印服務(wù)、電子郵件服務(wù)等。該中心網(wǎng)絡(luò)核心采用千兆三層交換，桌面接入采用百兆交換，且所有網(wǎng)絡(luò)交換設(shè)備需要冗余，提高網(wǎng)絡(luò)的可靠性。采用虛擬局域網(wǎng)(VLAN)提高網(wǎng)絡(luò)的性能和可管理性。將中石化浙江省總公司網(wǎng)絡(luò)、寧波分公司網(wǎng)絡(luò)和該中心網(wǎng)絡(luò)通過廣域網(wǎng)實(shí)現(xiàn)互聯(lián)互通，同時(shí)將該中心網(wǎng)絡(luò)與互聯(lián)網(wǎng)聯(lián)通從而中心網(wǎng)絡(luò)的用戶可以訪問互聯(lián)網(wǎng)。使用防火墻提供網(wǎng)絡(luò)互聯(lián)的安全性。由于BP上海有些員工需要訪問中石化BP的某些應(yīng)用，例如財(cái)務(wù)系統(tǒng)，但BP上海的網(wǎng)絡(luò)與中石化的網(wǎng)絡(luò)并沒有直接互聯(lián)，所以需要設(shè)立終端服務(wù)，并且將終端服務(wù)器放置在與互聯(lián)網(wǎng)連接的防火墻的非軍事區(qū)域(DMZ)，這樣可以較好的滿足安全性要求。

服務(wù)器技術(shù)架構(gòu)服務(wù)器系統(tǒng)功能服務(wù)器系統(tǒng)全部采用HP的DL或ML系列服務(wù)器。HP是業(yè)界最大的服務(wù)器生產(chǎn)廠家，具有全方位的產(chǎn)品線和快速服務(wù)網(wǎng)絡(luò)。以下是服務(wù)器的功能和配置列表,所有的服務(wù)器配置了ILO遠(yuǎn)程控制功能,可以實(shí)現(xiàn)遠(yuǎn)程監(jiān)控和喚醒.所有服務(wù)器還配置了SmartArray磁盤陣列卡,可以對(duì)磁盤做陣列控制和冗余保護(hù).服務(wù)器型號(hào)對(duì)照表功能和服務(wù)型號(hào)CPU內(nèi)存硬盤擴(kuò)展性操作系統(tǒng)AD/DNSDL380G3X3.06*22G36G*512G內(nèi)存,6HDWindows2003標(biāo)準(zhǔn)版File/Print/DHCPML570R02X3.0*22G72G*2,146G*632G,14HDWindows2003標(biāo)準(zhǔn)版VeritasExchange后端ML570R02X3.0*44G72G*2,146G*632G,14HDWindows2003標(biāo)準(zhǔn)版,Exchange2003標(biāo)準(zhǔn)版Symantec/BDC/DNSDL380G3X3.06*22G36G*512G內(nèi)存,6HDWindows2003標(biāo)準(zhǔn)版,Nortonantivirus9.0enterpriseExchange前端/DNSDL380G3X3.06*22G36G*512G內(nèi)存,6HDWindows2003標(biāo)準(zhǔn)版Exchange2003標(biāo)準(zhǔn)版WTS服務(wù)器DL360G3X3.06*12G72G*28G內(nèi)存,2HDWindows2003標(biāo)準(zhǔn)版,終端服務(wù)零管系統(tǒng)DL380G3X3.06*22G36G*512G內(nèi)存,6HDWindows2003標(biāo)準(zhǔn)版浪潮財(cái)務(wù)系統(tǒng)ML570R02X3.0*48G72G*2,146G*432G,14HDWindows2003標(biāo)準(zhǔn)版服務(wù)器功能概述AD/DNS服務(wù)器作為中石化BP（浙江）石油有限公司的域服務(wù)器，并提供AD(活動(dòng)目錄)服務(wù),通過設(shè)置用戶組和用戶帳號(hào)的不同的權(quán)限，控制用戶的登錄和相關(guān)資源的共享.用戶登錄的帳戶信息里設(shè)置登錄腳本,映射網(wǎng)絡(luò)盤符等。另外在內(nèi)部開啟DNS服務(wù)，作為對(duì)內(nèi)部用戶域的DNS解析以及支持活動(dòng)目錄。File/Printer/DHCP服務(wù)器結(jié)合AD的域控制器,設(shè)置相應(yīng)的文件目錄權(quán)限,不同的部門用戶設(shè)置對(duì)相應(yīng)目錄的訪問權(quán)限(完全,只讀等).部門間的某些用戶需要訪問其他部門文件時(shí)也可以開啟相關(guān)權(quán)限.打印機(jī)的共享,可以根據(jù)部門設(shè)置共享權(quán)限,每個(gè)部門根據(jù)需要配置一臺(tái)或幾臺(tái)網(wǎng)絡(luò)打印機(jī),供本部門員工共享打印.為了方便管理和維護(hù),開啟DHCP服務(wù),用戶登錄后自動(dòng)獲得IP地址.由于還需要對(duì)部門分VLAN和子網(wǎng),因此需要在DHCP上設(shè)置不同的地址段,使得不同子網(wǎng)的用戶可以獲得本網(wǎng)段的地址.Exchange后端和前端服務(wù)器作為后臺(tái)用戶帳戶和mail數(shù)據(jù)庫的存放.前端服務(wù)器放置在DMZ的區(qū)域,作為mail進(jìn)出的網(wǎng)關(guān)提供smtp的服務(wù)并轉(zhuǎn)發(fā)外網(wǎng)到內(nèi)網(wǎng)用戶的POP3請(qǐng)求.這樣把前端網(wǎng)關(guān)和后臺(tái)用戶數(shù)據(jù)庫分離開來,既提高了處理性能,又降低了安全風(fēng)險(xiǎn),把來自外網(wǎng)的請(qǐng)求都傳送到DMZ來處理。Symantec/BDC/DNS服務(wù)器該服務(wù)器作為病毒服務(wù)器來使用,有幾個(gè)功能作為防病毒服務(wù)器端提供全網(wǎng)的病毒管理,包括病毒庫的檢測和分發(fā)結(jié)合域帳號(hào)信息的控制臺(tái)管理,網(wǎng)關(guān)級(jí)的病毒查殺,對(duì)進(jìn)出的數(shù)據(jù)包進(jìn)行查殺病毒.結(jié)合ExchangeServer查殺郵件.客戶端的病毒庫自動(dòng)升級(jí)策略和后臺(tái)查殺病毒,便于統(tǒng)一管理和保持全網(wǎng)病毒庫版本一致性.BDC和備用DNS是作為對(duì)主DC服務(wù)器的備份,當(dāng)主DC服務(wù)器出現(xiàn)故障時(shí),可以把BDC升級(jí)為DC,并繼續(xù)提供DNS等相應(yīng)服務(wù).BDC還需定期同步DC的數(shù)據(jù),確保數(shù)據(jù)的一致性.WTS服務(wù)器由于BP上海的某些員工需要訪問中石化BP（浙江）的一些數(shù)據(jù),比如財(cái)務(wù)服務(wù)器等,在BP的通用策略上并沒有把這部分用戶連進(jìn)來,所以單獨(dú)設(shè)置了一個(gè)WTS服務(wù)器作為WindowsTerminalServer來使用,利用基于Win2003的終端服務(wù),使得遠(yuǎn)程用戶利用遠(yuǎn)程控制的客戶端登錄到該WTS上進(jìn)行相關(guān)的訪問和查詢.由于并發(fā)用戶比較少,目前只配置了10個(gè)客戶端的license訪問,服務(wù)器的CPU也只配了1個(gè),以后可以擴(kuò)充到2個(gè).服務(wù)器數(shù)據(jù)備份服務(wù)器數(shù)據(jù)備份系統(tǒng)對(duì)于任何企業(yè)來說,確保數(shù)據(jù)的完整和安全是頭等大事，我們在本方案中推薦了HP的傲群LTO磁帶機(jī),壓縮后可以備份400G的數(shù)據(jù)容量.并且推薦了VeritasBackupexec9.0企業(yè)版?zhèn)浞蒈浖?配置了RemoteAgent,ExchangeAgent,OpenfileAgent和DisasterRecoveryAgent.該磁帶機(jī)可以連接到File服務(wù)器上,備份file數(shù)據(jù),AD配置,,Exchange數(shù)據(jù)庫.RemoteAgent可以備份網(wǎng)絡(luò)中其他服務(wù)器中的數(shù)據(jù),旨在擴(kuò)展網(wǎng)絡(luò)數(shù)據(jù)保護(hù)和優(yōu)化數(shù)據(jù)傳送，以適應(yīng)Windows服務(wù)器的需求，包括提供本地注冊表與系統(tǒng)狀態(tài)信息的備份。ExclusiveAgentAccelerator技術(shù)通過在客戶機(jī)提供源級(jí)壓縮和分布式處理技術(shù)，實(shí)現(xiàn)最大化備份和恢復(fù)性能，由此減少網(wǎng)絡(luò)通信量，最大限度地增加數(shù)據(jù)吞吐量。ExchangeAgent用于信息附件的單實(shí)例存儲(chǔ)、增量/差異郵箱備份和各種公用文件夾的恢復(fù)，不僅提供細(xì)粒性，而且將加快ExchangeServers的備份與恢復(fù)。在恢復(fù)期間執(zhí)行郵箱和用戶賬戶的自動(dòng)化重建，將進(jìn)一步優(yōu)化恢復(fù)過程，并以更快的速度使數(shù)據(jù)和用戶恢復(fù)在線.OpenFileAgent適用于本地和遠(yuǎn)程服務(wù)器文件正在使用期間，該選件將保證為它們提供保護(hù)。它能夠在處理打開的文件，并能夠與BackupExec實(shí)現(xiàn)無縫結(jié)合。用戶不需要知道哪些文件提前打開了，只要點(diǎn)擊鼠標(biāo)，就能夠簡單地設(shè)置一個(gè)使用該選件進(jìn)行的預(yù)定備份。另外，先進(jìn)的技術(shù)還將整合檢測和使用替換型固定快照等功能，例如基于windows.NETServer的MicrosoftVolumeSnapshotService(VSS)，或VERITASVolumeManagerFlashSnap,以增強(qiáng)應(yīng)用可用性。DisasterRecoveryAgent未雨綢繆是在發(fā)生災(zāi)難時(shí)，保證關(guān)鍵任務(wù)數(shù)據(jù)可用性的重要因素。新型數(shù)據(jù)復(fù)制特性將自動(dòng)創(chuàng)建任何備份媒體的輔助拷貝，以便在不同的數(shù)據(jù)保留期內(nèi)，維護(hù)現(xiàn)場和非現(xiàn)場拷貝。這是災(zāi)難恢復(fù)數(shù)據(jù)管理的理想選擇。IntelligentDisasterRecovery，即智能災(zāi)難恢復(fù)選件在Windows.NET和WindowsXP，直接整合微軟的自動(dòng)系統(tǒng)恢復(fù)(ASR)功能，為Windows服務(wù)器提供全面的災(zāi)難恢復(fù)功能。除此之外，IntelligentDisasterRecovery選件還直接與日常備份相整合，為本地和遠(yuǎn)程Windows服務(wù)器提供基于向?qū)У臑?zāi)難恢復(fù)。它可以通過磁盤、CD/RW或引導(dǎo)磁帶，啟動(dòng)恢復(fù)過程。因此，不需要重新安裝操作系統(tǒng)，就能夠?qū)崿F(xiàn)系統(tǒng)恢復(fù)。系統(tǒng)文件可以通過最近的全面?zhèn)浞荨⒃隽總浞?、差異備份或工作集備份?shí)現(xiàn)恢復(fù)。服務(wù)器數(shù)據(jù)備份策略我們使用祖父-父親-兒子輪轉(zhuǎn)備份策略來備份數(shù)據(jù)。結(jié)合每日，每星期，每月和季度的備份，可以把數(shù)據(jù)恢復(fù)到不同的時(shí)間點(diǎn)。祖父-父親-兒子方法這個(gè)計(jì)劃使用三套磁帶,每日，每星期和每月的備份。為了執(zhí)行祖父父親兒子旋轉(zhuǎn)規(guī)劃，一般將需要十二套磁帶介質(zhì)。“兒子”代表每日的備份,用4個(gè)磁帶作為每天的增量備份,并貼上星期1到星期4的標(biāo)簽,這些磁帶將被用來執(zhí)行每日的增量備份,并且可以恢復(fù)到標(biāo)簽上寫的那天的數(shù)據(jù).第二套叫做”父親”的最多提供5個(gè)weekly的備份.它執(zhí)行的是全備份,在磁帶上貼上week1到week5的標(biāo)簽,可以恢復(fù)標(biāo)簽上對(duì)應(yīng)的week的每月的數(shù)據(jù)(monthly).最后一套的三個(gè)磁帶，稱為“祖父”,被用來在每個(gè)月底做一次全備份,并且可以回復(fù)到每季度的數(shù)據(jù)(quarterly).祖父-父親-兒子輪轉(zhuǎn)計(jì)劃的圖解如下圖服務(wù)器操作系統(tǒng)－微軟WindowsServer2003WindowsServer2003是在Windows2000經(jīng)過考驗(yàn)的可靠性、可伸縮性、經(jīng)濟(jì)性和可管理性的基礎(chǔ)上構(gòu)建的，為加強(qiáng)聯(lián)網(wǎng)應(yīng)用程序、網(wǎng)絡(luò)和XMLWeb服務(wù)的功能（從工作組到數(shù)據(jù)中心）提供了一個(gè)高效的結(jié)構(gòu)平臺(tái)。WindowsServer2003是一個(gè)多任務(wù)操作系統(tǒng)，它能夠按照需要，以集中或分布的方式處理各種服務(wù)器角色。其中的一些服務(wù)器角色包括文件和打印服務(wù)器、Web服務(wù)器和Web應(yīng)用程序服務(wù)器、郵件服務(wù)器、終端服務(wù)器、遠(yuǎn)程訪問/虛擬專用網(wǎng)絡(luò)(VPN)服務(wù)器、目錄服務(wù)器、域名系統(tǒng)(DNS)、動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP)服務(wù)器和WindowsInternet命名服務(wù)(WINS)、流媒體服務(wù)器。活動(dòng)目錄存儲(chǔ)了有關(guān)網(wǎng)絡(luò)上對(duì)象的信息，并且通過提供目錄信息的邏輯分層組織，使管理員和用戶易于找到該信息。WindowsServer2003為活動(dòng)目錄帶來了很多改善措施，使其使用起來更通用、更可靠，也更經(jīng)濟(jì)。在WindowsServer2003中，活動(dòng)目錄提供了增強(qiáng)的性能和可伸縮性。它允許您更加靈活地設(shè)計(jì)、部署和管理組織的目錄。隨著桌面計(jì)算機(jī)、膝上電腦和便攜式設(shè)備上計(jì)算量的不斷增大，維護(hù)分布式個(gè)人計(jì)算機(jī)網(wǎng)絡(luò)的實(shí)際成本也顯著增加了。通過自動(dòng)化來減少日常維護(hù)是降低操作成本的關(guān)鍵。WindowsServer2003新增了幾套重要的自動(dòng)管理工具來幫助實(shí)現(xiàn)自動(dòng)部署，包括Microsoft軟件更新服務(wù)(SUS，SoftwareUpdateServices)和服務(wù)器配置向?qū)?。新的組策略管理控制臺(tái)(GPMC)使得管理組策略更加容易，從而使更多的組織能夠更好地利用活動(dòng)目錄服務(wù)及其強(qiáng)大的管理功能。此外，命令行工具使管理員可以從命令控制臺(tái)執(zhí)行大多數(shù)任務(wù)。WindowsServer2003在存儲(chǔ)管理方面引入了新的增強(qiáng)功能，這使得管理及維護(hù)磁盤和卷、備份和恢復(fù)數(shù)據(jù)以及連接存儲(chǔ)區(qū)域網(wǎng)絡(luò)(SAN,StorageAreaNetworks)更為簡易和可靠。MicrosoftWindowsServer2003的終端服務(wù)組件構(gòu)建在Windows2000終端組件中可靠的應(yīng)用服務(wù)器模式之上。終端服務(wù)使您可以將基于Windows的應(yīng)用程序或Windows桌面本身傳送到幾乎任何類型的計(jì)算設(shè)備上－包括那些不能運(yùn)行Windows的設(shè)備。消息和協(xié)作服務(wù)－微軟Exchange2003現(xiàn)在的商業(yè)環(huán)境中，企業(yè)要想獲得成功，必須擁有強(qiáng)大的信息創(chuàng)建、存儲(chǔ)和共享基礎(chǔ)結(jié)構(gòu)，同時(shí)還應(yīng)擁有可快速和智能地響應(yīng)這些信息的工具。Exchange2000Server使這些問題迎刃而解--它可與MicrosoftWindowsServer2003無縫集成，提供了業(yè)界領(lǐng)先的可靠性和伸縮性與無與匹敵的易管理性，為各種規(guī)模的企業(yè)提供了下一代的消息和協(xié)作。Exchange與其客戶端軟件——MicrosoftOutlook?2003一起提供了高度可靠的、可伸縮的、易于管理的通信和協(xié)作基礎(chǔ)架構(gòu)。其創(chuàng)新性的新型MicrosoftWeb存儲(chǔ)系統(tǒng)可以將Exchange的可靠性和可伸縮性與Web的易訪問性和開放性組合在一起，從而提供了一個(gè)強(qiáng)大的知識(shí)存儲(chǔ)庫和商業(yè)應(yīng)用平臺(tái)。Exchange2000ConferencingServer為數(shù)據(jù)、音頻及視頻會(huì)議服務(wù)提供了一個(gè)數(shù)據(jù)平臺(tái)，為新的協(xié)作用途奠定了堅(jiān)實(shí)的基礎(chǔ)。Exchange2003完全利用了Windows2003活動(dòng)目錄的強(qiáng)大功能，允許系統(tǒng)管理員創(chuàng)建一個(gè)企業(yè)目錄，該目錄是所有用戶、組、權(quán)限、配置數(shù)據(jù)、網(wǎng)絡(luò)登錄、文件及Web共享等的單一管理點(diǎn)。活動(dòng)目錄是一個(gè)具有高可伸縮性的企業(yè)級(jí)目錄服務(wù)，它使用Internet標(biāo)準(zhǔn)基礎(chǔ)建立，并在操作系統(tǒng)級(jí)上與Exchange完全集成在一起。Exchange2003與MicrosoftInternetInformationServices緊密集成在一起，用于提供高性能的Internet郵件協(xié)議（SMTP、POP等）、通過OutlookWebAccess客戶端對(duì)Exchange的Web瀏覽器訪問、一個(gè)完整的Web應(yīng)用平臺(tái)。存儲(chǔ)組是Exchange2003中的一個(gè)新概念。存儲(chǔ)組是共享同一事務(wù)日志集，即單一管理、備份和恢復(fù)點(diǎn)的數(shù)據(jù)庫組合。每個(gè)存儲(chǔ)組都可以失敗過載到群集服務(wù)器對(duì)的另一臺(tái)服務(wù)器上，只要它們停止響應(yīng)。存儲(chǔ)組使用Exchange系統(tǒng)管理器插件進(jìn)行定義。您可以在每個(gè)存儲(chǔ)組中創(chuàng)建多個(gè)數(shù)據(jù)庫，您甚至可以創(chuàng)建多存儲(chǔ)組。這意味著同一Exchange2000服務(wù)器上可以存在許多獨(dú)立的數(shù)據(jù)庫（參看以下的多消息數(shù)據(jù)庫）。存儲(chǔ)組是備份單位，它允許管理員備份整個(gè)存儲(chǔ)組，因此只有系統(tǒng)事務(wù)日志集的一個(gè)副本必須被寫入磁帶中。但是，每個(gè)數(shù)據(jù)庫都可以在所有其他數(shù)據(jù)庫仍處于聯(lián)機(jī)狀態(tài)并為其他用戶提供服務(wù)時(shí)單獨(dú)進(jìn)行恢復(fù)。您可以利用備份進(jìn)行快速恢復(fù)，該操作將影響到最小數(shù)量的用戶。服務(wù)器病毒防治方案－SymantecAntiVirus企業(yè)版SymantecAntiVirus企業(yè)版是一個(gè)全面的防病毒解決方案，可以為Internet和電子郵件網(wǎng)關(guān)、網(wǎng)絡(luò)服務(wù)器和工作站提供多層的企業(yè)級(jí)的防護(hù)。該產(chǎn)品結(jié)合獲獎(jiǎng)技術(shù)和Symantec的全球響應(yīng)基礎(chǔ)設(shè)施，可以提供高性能、可伸縮的防護(hù)，使病毒威脅止步于網(wǎng)絡(luò)之外。此外，該解決方案使管理員能夠阻止不受歡迎的電子郵件內(nèi)容，如垃圾郵件。SymantecAntiVirus企業(yè)版結(jié)合了業(yè)界領(lǐng)先的技術(shù)和支持以保護(hù)所有網(wǎng)絡(luò)層，企業(yè)無需再費(fèi)力構(gòu)建多供應(yīng)商安全解決方案。通過SymantecSystemCenter?中央管理控制臺(tái)，IT經(jīng)理不僅能夠輕松部署防病毒解決方案，而且還能夠創(chuàng)建、執(zhí)行和更新策略，從而確保在任何時(shí)間都能夠跨越多個(gè)平臺(tái)，在企業(yè)范圍正確部署網(wǎng)絡(luò)服務(wù)器和工作站。采用集中式管理控制臺(tái)，管理員還能夠?qū)W(wǎng)絡(luò)進(jìn)行審核、確定哪些節(jié)點(diǎn)未受到保護(hù)，容易受到病毒攻擊，哪些節(jié)點(diǎn)已由SymantecAntiVirus企業(yè)版、McAfee?VirusScan?、TrendMicroOfficeScan?ComputerAssociates?或其他優(yōu)選第三方防病毒產(chǎn)品保護(hù)。SymantecAntiVirus采用DigitalImmuneSystem?，可以自動(dòng)掃描、檢測和隔離新病毒，提供快速、可靠和完全自動(dòng)的防護(hù)。此外，Symantec獨(dú)有的跨層NAVEX?技術(shù)提供了無需重新部署軟件或重啟系統(tǒng)即可更新病毒和引擎擴(kuò)展的能力，因而最大限度地增加了系統(tǒng)正常運(yùn)行時(shí)間，并有效降低了擁有成本。為了提高速度和安全性，新版本采用了較小的病毒定義文件和多線程服務(wù)器分裝。Symantec獲獎(jiǎng)的解決方案兼容Windows?2003和Netware?安全控制臺(tái)，并支持64位Intel?Itanium?2處理器，可以在企業(yè)遷移到最新技術(shù)時(shí)提供不間斷的防護(hù)。與所有Symantec安全產(chǎn)品一樣，SymantecAntiVirus企業(yè)版由世界領(lǐng)先的Internet安全研究和支持組織Symantec安全響應(yīng)中心提供支持。

機(jī)房設(shè)備與擺放機(jī)房電源為了保證整個(gè)系統(tǒng)的不間斷運(yùn)行，需采用不間斷電源，提供整個(gè)機(jī)房設(shè)備的電源。建議采用美國APC公司的SmartUPS系列。根據(jù)初步估算，可以采用4臺(tái)SU5000VA(約3750W×4＝15000W)的UPS容量，并且可以通過外掛電池箱達(dá)到斷電后維持60分鐘的要求。UPS放置在機(jī)柜里,電池可以統(tǒng)一疊放在機(jī)房的地板上.設(shè)備功率估算表UPS1提供的設(shè)備電源：名稱功率（瓦）數(shù)量小計(jì)（瓦）ML570R2180011800DL380G3100011000LTO1001100顯示器+KVM1501150小計(jì)3050UPS2+UPS3提供的設(shè)備電源：ML570R2180023600DL380G3100022000DL360G36501650小計(jì)6250UPS4提供的設(shè)備電源：名稱功率（瓦）數(shù)量小計(jì)（瓦）Cisco4507100022000Cisco37453651365Cisco29508003240CiscoPIX502100顯示器+KVM1501150小計(jì)2855

機(jī)柜設(shè)備擺放圖

信息系統(tǒng)管理標(biāo)準(zhǔn)和實(shí)施策略目標(biāo)概述為了總公司的信息技術(shù)部門能夠快速有效的對(duì)公司的計(jì)算機(jī)系統(tǒng)提供升級(jí)，修復(fù)和安裝安全補(bǔ)丁等服務(wù)，對(duì)公司的信息系統(tǒng)進(jìn)行集中化管理，中石化碧辟（浙江）石油有限公司在全公司統(tǒng)一實(shí)施基于Intel/Windows的標(biāo)準(zhǔn)化計(jì)算機(jī)環(huán)境，包括服務(wù)器和客戶端。標(biāo)準(zhǔn)的計(jì)算機(jī)環(huán)境確保了公司標(biāo)準(zhǔn)化的IT服務(wù)規(guī)范可以實(shí)施，對(duì)所有機(jī)器可以集中遠(yuǎn)程管理，即使用戶在外旅行也可獲得公司IT支持與服務(wù)，同時(shí)降低了企業(yè)在IT系統(tǒng)管理方面的總體擁有成本（TOC-TotalOwnershipCost）。為了這些目標(biāo)，特制定以下信息系統(tǒng)管理標(biāo)準(zhǔn)和實(shí)施策略。適用范圍這些管理標(biāo)準(zhǔn)和實(shí)施策略適用于中石化碧辟（浙江）石油有限公司內(nèi)所有連接到公司企業(yè)網(wǎng)基于Intel/Windows的服務(wù)器和客戶端計(jì)算機(jī)，以及相關(guān)的網(wǎng)絡(luò)設(shè)備包括路由器、交換機(jī)和防火墻等。此外由于某些原因某些設(shè)備需要更高配置則不適用本管理標(biāo)準(zhǔn)和實(shí)施策略。標(biāo)準(zhǔn)實(shí)施審計(jì)與檢查總公司的信息技術(shù)部門會(huì)定期使用系統(tǒng)管理基礎(chǔ)架構(gòu)中的相關(guān)功能進(jìn)行信息系統(tǒng)資產(chǎn)和配置統(tǒng)計(jì)并將不符合標(biāo)準(zhǔn)的項(xiàng)目統(tǒng)計(jì)出來送交相關(guān)部門處理。每年總部IT部門會(huì)對(duì)整個(gè)公司的IT系統(tǒng)進(jìn)行全面的檢查審計(jì)以確保公司IT系統(tǒng)安全可靠運(yùn)行。服務(wù)器硬件配置標(biāo)準(zhǔn)平臺(tái)標(biāo)準(zhǔn)硬件平臺(tái)惠普服務(wù)器。采購使用惠普簽訂的GFA協(xié)議。系統(tǒng)內(nèi)存基礎(chǔ)服務(wù)器(DC,WINS,DNS)和exchange服務(wù)器至少2GB。所有其他服務(wù)器：至少256MB。BIOS/Firmware升級(jí)至廠商提供的最新版本。系統(tǒng)硬盤基礎(chǔ)服務(wù)器(DC,WINS,DNS)：系統(tǒng)盤需要硬盤鏡像(RAID1)。非基礎(chǔ)服務(wù)器(F&P,Application)：基于應(yīng)用和站點(diǎn)的要求。數(shù)據(jù)硬盤基礎(chǔ)服務(wù)器(DC,WINS,DNS)：磁盤陣列(RAID5)。非基礎(chǔ)服務(wù)器(F&P,Application)：基于應(yīng)用和站點(diǎn)的要求。遠(yuǎn)程管理如果需要，配置遠(yuǎn)程控制卡并且連接到網(wǎng)絡(luò)上。本地磁帶備份設(shè)備DLTIVWindowsServer2003配置標(biāo)準(zhǔn)軟件技術(shù)標(biāo)準(zhǔn)項(xiàng)目標(biāo)準(zhǔn)操作系統(tǒng)MicrosoftWindows2003Server或者AdvancedServer補(bǔ)丁微軟網(wǎng)站獲得頁面文件大小物理內(nèi)存的2.5倍互聯(lián)網(wǎng)瀏覽器InternetExplorer數(shù)據(jù)存取微軟DataAccess–MDAC服務(wù)器管理程序CompaqInsightManagerAgentsMicrosoftWindowsManagementInstrumentation(WMI)MicrosoftOperationsManagerEnterpriseConfigurationManagerMicrosoftWindowsSoftwareInstaller(MSI)AltiriseXpressClient(Win2000Serversonly)WindowsTerminalServices(RemoteAdminMode)RemoteInsightBoard(RIB)–mandatoryforDC’s防病毒SymantecAntiVirus企業(yè)版登錄腳本登陸腳本可以根據(jù)需要自行制定。命名標(biāo)準(zhǔn)項(xiàng)目標(biāo)準(zhǔn)活動(dòng)目錄域名域空間在公司目錄樹(AD.BP-SINOPEC.COM)內(nèi)BSn.AD.BP-SINOPEC.COM(n=number)例如BS1.AD.BP-SINOPEC.COMExtranet域名第三方域名空間信任公司或者被公司信任Xnn.EXTRANET.BP-SINOPEC.COM(n=number)例如X01.EXTRANET.BP-SINOPEC.COM服務(wù)器名稱服務(wù)器必須根據(jù)功能正確命名服務(wù)器必須置于正確的組織單元OrganizationUnit(OU).<域名><分支機(jī)構(gòu)><功能><編號(hào)>域名=上級(jí)域名(3個(gè)字符)分支機(jī)構(gòu)=分支機(jī)構(gòu)名字(2個(gè)字符)功能=服務(wù)器功能代碼(2個(gè)字符)編號(hào)=3位數(shù)字(不足3位前面補(bǔ)充0)例如:BS1HZDC001=在杭州的域控制器001號(hào)BS1HZEX002=在杭州的ExchangeServer002號(hào)BS1HZIS001=在杭州的文件打印服務(wù)器001號(hào)測試機(jī)器：在機(jī)器名后面添加-tst

培訓(xùn)機(jī)器：在機(jī)器名后面添加-trn非域名服務(wù)器或者虛擬服務(wù)器R<區(qū)域><分支機(jī)構(gòu)><類別><編號(hào)>R=常量區(qū)域=區(qū)域代碼(2個(gè)字符)分支機(jī)構(gòu)=分支機(jī)構(gòu)名字(2個(gè)字符)功能=服務(wù)器功能代碼(2個(gè)字符)編號(hào)=3位數(shù)字(不足3位前面補(bǔ)充0)例如：RZJHZPA001=在浙江杭州的代理集群(虛擬服務(wù)器)RZJHZ3D002=在浙江杭州的3-DNS控制器組織單元(OU)在公司活動(dòng)目錄內(nèi)所有的對(duì)象應(yīng)該放置在適當(dāng)?shù)慕M織單元（容器）內(nèi)域控制器放置于：DomainControllers\rRR\sss服務(wù)器放置于:Servers\<SL>\rRR\ss用戶，工作站組放置于:Client\rRR\sss\Users或者Client\Rrr\sss\Workstations角色組放置于:Client\rRR\ss\RoleGroups數(shù)據(jù)組放置于:Client\rRR\ss\DataGroups傳統(tǒng)組放置于:Client\rRR\ss\LegacyGroups其中，<SL>=服務(wù)鏈接關(guān)鍵字(例如IFP)rRR=區(qū)域代碼(例如rZJ)ss=分支機(jī)構(gòu)代碼(例如HZ)用戶帳戶名稱所有用戶必須使用他們自己唯一的帳號(hào)名稱。用戶帳戶必須在整個(gè)活動(dòng)目錄是唯一的。用戶名最長為8個(gè)字符，姓氏的拼音中截取前4個(gè)字符，名字的拼音中截取前4個(gè)字符。如果用戶名不唯一則用順序編號(hào)取代最后一個(gè)或兩個(gè)字符。例如用戶王旭明，其帳號(hào)就是wangxumi或者wangxum1。用戶帳戶不能授予撥入權(quán)限。用戶全名用戶全名決定用戶在電子郵件系統(tǒng)的地址簿中如何顯示，因此正確定義帳戶全名非常重要。用戶全名在帳戶細(xì)節(jié)中定義。<姓氏>,<名字>[(公司或組織名字)][]=可選，在必要時(shí)使用例如：Wang，XumingWang,Xuming(IT)用戶描述用戶描述在帳戶細(xì)節(jié)中定義。分支機(jī)構(gòu)，部門遠(yuǎn)程撥入帳戶遠(yuǎn)程撥入帳戶僅能遠(yuǎn)程連接網(wǎng)絡(luò)，不能訪問網(wǎng)絡(luò)資源和應(yīng)用。在標(biāo)準(zhǔn)的用戶名前加前綴–remote-例如：-remote-wangxumi管理員帳戶管理員帳戶用來對(duì)服務(wù)器進(jìn)行管理。在標(biāo)準(zhǔn)的用戶名前加前綴–adm-,管理員帳戶不能授予遠(yuǎn)程撥入權(quán)限。例如–adm-wangxumi服務(wù)帳戶服務(wù)帳戶用來控制后臺(tái)服務(wù)和應(yīng)用訪問系統(tǒng)，這些訪問是非交互的。服務(wù)帳戶名字按照以下格式：-svc-<SL>-<ss/ccc/rRR>-Function其中SL采用下列代碼IFP=基礎(chǔ)架構(gòu)EXH=Exchange郵件服務(wù)SMS=SystemsManagement系統(tǒng)管理WEB=IISWeb服務(wù)WTS=Windows終端服務(wù)ss/ccc/rRR表示服務(wù)帳戶確切范圍(分支機(jī)構(gòu)/區(qū)域/集群)例如-svc-ifp-hz-backup(杭州分公司基礎(chǔ)架構(gòu)備份服務(wù))

-svc-exh-hz-backup(杭州分公司Exchange郵件服務(wù)器的備份服務(wù))服務(wù)帳戶不能授予撥入全些且不能用作服務(wù)器登錄?？偛炕蛘叻植縄T部門負(fù)責(zé)掌握相關(guān)的服務(wù)帳戶的密碼。角色組角色組是以前全局組的替代，通常用于小組，部門，或者用于郵件分發(fā)和資源訪問的職能小組或者項(xiàng)目組。角色組放置于以下容器/組織單元中:Client\rRR\ss\RoleGroups角色組的命名規(guī)則如下：G<SS>/<BBU>/<SS><BBU><Description>G=常量，角色組名字前綴SS=2字符分支機(jī)構(gòu)BBU=3字符組織或者部門名字SSBBU=2字符分支機(jī)構(gòu)名字之后跟3字符部門名字Description=角色組的描述數(shù)據(jù)組數(shù)據(jù)組用來提供對(duì)資源的訪問，并且必須和網(wǎng)絡(luò)資源相關(guān)聯(lián)。所有數(shù)據(jù)組放置于以下容器、組織單元中：Client\rRR\ss\DataGroups數(shù)據(jù)組的命名規(guī)則如下：D<SS><Resourcename><accesslevel>D=常量，數(shù)據(jù)組名字前綴SS=2字符分支機(jī)構(gòu)Resourcename=共享資源名字AccessLevel=訪問資源的權(quán)限類別訪問權(quán)限類別：FC完全控制NA不得存取RW讀寫RO只讀LA列出所有文件和文件夾LD僅僅列出數(shù)據(jù)文件LF僅僅列出文件夾SP特殊訪問權(quán)限（根據(jù)具體情況定義）數(shù)據(jù)共享共享提供對(duì)網(wǎng)絡(luò)資源的訪問共享名描述了共享資源的含義和用途。共享訪問權(quán)限和數(shù)據(jù)組訪問權(quán)限一樣打印隊(duì)列<SITE>P<NUMBER>Site=分支機(jī)構(gòu)代碼P=打印機(jī)名稱中常量編號(hào)=3位數(shù)字，不滿3位用0補(bǔ)足。所有打印機(jī)應(yīng)當(dāng)在活動(dòng)目錄中注冊。安全標(biāo)準(zhǔn)項(xiàng)目標(biāo)準(zhǔn)基本設(shè)置所有服務(wù)器應(yīng)當(dāng)根據(jù)相關(guān)硬件標(biāo)準(zhǔn)和軟件標(biāo)準(zhǔn)進(jìn)行配置，并且屬于相關(guān)域和活動(dòng)目錄。僅僅被批準(zhǔn)的應(yīng)用可以在服務(wù)器中使用。安全設(shè)置客人帳戶必須被禁用。域管理員帳戶必須改名成一個(gè)和普通用戶名類似的名字。帳戶名稱和密碼必須唯一，密碼和用戶名不得相同。入侵鎖定監(jiān)測應(yīng)當(dāng)設(shè)置成最多5次登錄且所定設(shè)置為永久鎖定。最少密碼長度：普通用戶帳戶=最少8個(gè)字符遠(yuǎn)程撥入帳戶=最少12個(gè)字符且要隨機(jī)生成。管理員帳戶=最少14個(gè)字符且要復(fù)雜服務(wù)帳戶=最少14個(gè)字符且要復(fù)雜域?qū)徲?jì)標(biāo)準(zhǔn)：登錄/登出–失敗文件和對(duì)象訪問–失敗用戶和組管理–成功和失敗安全策略改變–成功和失敗系統(tǒng)重新啟動(dòng)和關(guān)閉–成功和失敗進(jìn)程跟蹤–無共享資源訪問權(quán)限應(yīng)該明確定義，主要對(duì)數(shù)據(jù)組的定義事件日志應(yīng)當(dāng)設(shè)置為64k大小并且保留35天循環(huán)。所有分區(qū)的文件系統(tǒng)是NTFS。服務(wù)器物理上接觸應(yīng)該嚴(yán)格控制，特別是域控制器。軟件配置標(biāo)準(zhǔn)項(xiàng)目標(biāo)準(zhǔn)名稱解析名稱解析對(duì)于確保用戶正確訪問網(wǎng)絡(luò)資源非常重要。MSDomainNameService(DNS)用于基于主機(jī)的名稱解析和動(dòng)態(tài)注冊。MSWindowsInternetNamingService(WINS)用于NETBIOS名稱解析?？蛻舳薎P地址所有連接到公司企業(yè)網(wǎng)的服務(wù)器和客戶機(jī)都必須有一個(gè)有效的TCP/IP地址以保證可以正常訪問網(wǎng)絡(luò)資源。MSDynamicHostConfigurationProtocol(DHCP)客戶端IP地址采用DHCP動(dòng)態(tài)分配。每個(gè)分支機(jī)構(gòu)至少2個(gè)DHCP服務(wù)器Windows2003服務(wù)器安全標(biāo)準(zhǔn)服務(wù)器配置安全標(biāo)準(zhǔn)操作系統(tǒng)的補(bǔ)丁和修復(fù)程序必須及時(shí)使用，參照微軟WINDOWS更新網(wǎng)站。系統(tǒng)必須禁止自動(dòng)登錄。如果不需要，定時(shí)服務(wù)（AT）必須被禁止?！瓣P(guān)機(jī)”選項(xiàng)必須在登錄對(duì)話框中被禁止。最近一次登錄的用戶的名字不得顯示在登錄對(duì)話框內(nèi)。必須去除以下部件：OS/2子系統(tǒng),POSIX子系統(tǒng),OS/2目錄。配置服務(wù)器盡量使用NTLMv2認(rèn)證，在客戶端要求下只用LM認(rèn)證。以下警告信息必須在登錄對(duì)話框中顯示：“警告–僅授權(quán)用戶可以使用”“中石化碧辟（浙江）石油有限公司及其附屬機(jī)構(gòu)擁有系統(tǒng)和數(shù)據(jù)的產(chǎn)權(quán)。未經(jīng)許可使用該系統(tǒng)是違法行為并可能導(dǎo)致法律后果。任何對(duì)該系統(tǒng)的訪問都可能被監(jiān)控?！狈?wù)器上不得安裝和該服務(wù)器功能無關(guān)的軟件及應(yīng)用。任何和服務(wù)器以及服務(wù)器上運(yùn)行的服務(wù)所涉及的密碼必須使用復(fù)雜密碼。另外服務(wù)器上安裝的軟件和應(yīng)用要用文檔記錄，每隔6個(gè)月需要檢查這些軟件和應(yīng)用是否仍然需要。服務(wù)器上服務(wù)的安全標(biāo)準(zhǔn)僅僅需要的服務(wù)被安裝使用，任何不需要的服務(wù)必須關(guān)閉。簡單TCP/IP協(xié)議不得安裝。缺省SNMP社區(qū)標(biāo)識(shí)符必須根據(jù)其所在的分支機(jī)構(gòu)或者區(qū)域設(shè)置為相應(yīng)的標(biāo)識(shí)符。SNMP代理必須設(shè)置為只發(fā)送或者接受激發(fā)閥值至相應(yīng)已知設(shè)備。文件傳輸協(xié)議服務(wù)必須禁用。如果需要必須使用SERV-U等產(chǎn)品。TELNET服務(wù)必須禁用。內(nèi)置用戶和服務(wù)帳戶安全標(biāo)準(zhǔn):必須禁用內(nèi)置的來賓帳戶，同時(shí)來賓帳戶必須設(shè)置復(fù)雜健壯密碼。將管理員帳戶改名為類似普通用戶的名字，同時(shí)管理員帳戶必須設(shè)置復(fù)雜健壯密碼。創(chuàng)建一個(gè)虛假的沒有任何權(quán)限的名為“Administrator”的帳戶，同時(shí)設(shè)置一個(gè)復(fù)雜健壯密碼。這個(gè)帳戶用來觀察對(duì)系統(tǒng)試圖攻擊和未經(jīng)授權(quán)的訪問的情況。所有不再需要的用戶或者應(yīng)用帳戶必須被禁用或者刪除。禁用帳戶必須設(shè)置健壯密碼。服務(wù)帳戶（例如微軟SQL服務(wù)器）密碼不得為空且設(shè)置為一個(gè)健壯密碼。內(nèi)置的用戶和服務(wù)帳戶的密碼必須保存在一個(gè)安全的地方，未經(jīng)許可的人員不得接觸。健壯密碼必須符合下列規(guī)則：至少14個(gè)字符不得包含帳戶名。必須包含大寫和小寫字符。所有密碼必須保存在一個(gè)安全的地方，僅僅許可人員可以接觸。文件和組許可權(quán)限標(biāo)準(zhǔn)所有系統(tǒng)分區(qū)必須是NTFS文件系統(tǒng)。所有的共享資源必須用本地組對(duì)權(quán)限做出明確設(shè)置。缺省的“everyone”權(quán)限必須去除?！巴耆刂啤睓?quán)限不得使用，最高權(quán)限只能是“改變”。如果沒有合適的用戶組則使用“認(rèn)證用戶”。所有用于軟件分發(fā)的共享目錄必須設(shè)置為只讀，“everyone”用戶組對(duì)此必須設(shè)置“noaccess”權(quán)限。限制匿名用戶訪問本地安全授權(quán)信息。僅僅管理員才可以遠(yuǎn)程訪問系統(tǒng)的注冊表信息。禁止來賓和匿名進(jìn)程訪問事件記錄信息。系統(tǒng)審計(jì)日志標(biāo)準(zhǔn)確保任何未經(jīng)授權(quán)針對(duì)服務(wù)器和共享資源的訪問企圖被記錄，所有公司的WindowsServer2003的系統(tǒng)日志和審計(jì)策略必須做如下配置：登錄/登出 失敗文件和對(duì)象存取失敗用戶和組管理成功和失敗安全策略改變成功和失敗重新啟動(dòng)和關(guān)閉系統(tǒng)成功和失敗進(jìn)程跟蹤無事件記錄的大小需設(shè)置為64000KB且為在需要時(shí)覆蓋。系統(tǒng)備份和恢復(fù)標(biāo)準(zhǔn)必須將每個(gè)服務(wù)器系統(tǒng)的緊急修復(fù)盤放置于一個(gè)安全的地方。在每次系統(tǒng)配置變動(dòng)后必須生成一個(gè)新的緊急修復(fù)盤。以前的緊急修復(fù)盤也需要保留在安全的地方直到不再需要。日常備份必須根據(jù)系統(tǒng)和應(yīng)用的需要而執(zhí)行，所有備份的媒介如備份磁帶必須保存在一個(gè)安全的地方。備份周期和備份保留周期必須根據(jù)應(yīng)用和業(yè)務(wù)需要而制定。電子郵件系統(tǒng)配置標(biāo)準(zhǔn)命名標(biāo)準(zhǔn)項(xiàng)目標(biāo)準(zhǔn)郵箱名稱和用戶登錄活動(dòng)目錄的用戶名相同雇員顯示名稱姓氏,名字（比如Zhang,Yue）非雇員顯示名稱姓氏，名字（公司名稱）（比如Zhang,Yue(DT)）分發(fā)列表(D/L)G<分支機(jī)構(gòu)><列表名稱>(比如GNBIT)包括外部地址的分發(fā)列表G<分支機(jī)構(gòu)><列表名稱>(Ext)(比如GNBITSupport(Ext))預(yù)約安排的資源帳戶R<分支機(jī)構(gòu)><資源名稱>(比如RNB1410會(huì)議室)SMTP地址userid@電子郵件組織名稱BP-SINOPEC分支機(jī)構(gòu)名稱2個(gè)字符描述，比如HZ服務(wù)器名稱Exchange2000服務(wù)器:3個(gè)字符域名,2個(gè)字符分支機(jī)構(gòu)，EX###標(biāo)識(shí)符。(例如BS1HZEX001)設(shè)置規(guī)范項(xiàng)目標(biāo)準(zhǔn)郵件大小限制2.5MB，MaxCompression選項(xiàng)激活用來增加實(shí)際的郵件大小。郵件格式RichText(RTF)自動(dòng)轉(zhuǎn)發(fā)郵件至互聯(lián)網(wǎng)禁止。在GAL中第三方地址僅僅在多于一個(gè)員工需要的情況下存在。僅當(dāng)分發(fā)列表或者PF讀取需要才被允許存在于GAL。第三方目錄同步禁止。連接第三方標(biāo)準(zhǔn)按照以下順序：用SMTP協(xié)議走公共網(wǎng)絡(luò)用SMTP協(xié)議走Extranet*采用SMTP協(xié)議用私有網(wǎng)絡(luò)直接互聯(lián)*采用其他網(wǎng)關(guān)(例如MSmail,MHS,CCmail,etc)用私有網(wǎng)絡(luò)直接互聯(lián).*先要與第三方簽署私有網(wǎng)絡(luò)互聯(lián)協(xié)議利用企業(yè)網(wǎng)絡(luò)為第三方與第三方提供電子郵件傳輸禁止通過與第三方的連接協(xié)議為第三方之間提供電子郵件傳輸服務(wù)。向大型或分支機(jī)構(gòu)的分發(fā)列表發(fā)送郵件控制或者限制可向這個(gè)分發(fā)列表發(fā)送郵件的帳號(hào)。電話號(hào)碼格式標(biāo)準(zhǔn)+國家代碼(地區(qū)代碼)電話號(hào)碼(例如+86(21)5109－6700)同時(shí)內(nèi)部分機(jī)號(hào)碼置于首要位置，外部號(hào)碼為次要，首先撥打內(nèi)部號(hào)碼。缺省時(shí)間計(jì)劃存取只讀。信息擁有者公司擁有所有數(shù)據(jù)。監(jiān)測和披露信息的權(quán)利公司保留監(jiān)測和需要時(shí)披露信息的權(quán)利。SMTP網(wǎng)關(guān)內(nèi)容檢查防止垃圾郵件系統(tǒng)會(huì)檢查外來信息并自動(dòng)刪除垃圾郵件。連鎖信件和游戲信件禁止。參與列表服務(wù)僅僅作為商業(yè)用途。傳輸機(jī)密信息可在企業(yè)內(nèi)部網(wǎng)絡(luò)傳輸，對(duì)外傳輸則要加密。遷移至X.509傳輸絕密信息采用KMS加密在企業(yè)內(nèi)部網(wǎng)絡(luò)傳輸，對(duì)外傳輸則用委托。遷移至X.509信息日志最少保留一周。數(shù)據(jù)備份必須有每天在線備份，最少保留最近4周的數(shù)據(jù)。通用或工作頭銜的郵箱必須有IT部門的批準(zhǔn)和對(duì)應(yīng)的業(yè)務(wù)擁有者。技術(shù)標(biāo)準(zhǔn)項(xiàng)目標(biāo)準(zhǔn)郵件服務(wù)器Windows2003服務(wù)器運(yùn)行Exchange2003郵件客戶端Outlook2003進(jìn)度/日歷客戶端Outlook2003電子表格基于網(wǎng)頁的表格?？蛻舳嗽L問服務(wù)器協(xié)議MAPI是標(biāo)準(zhǔn)，只有當(dāng)MAPI無法使用才可使用POP3/IMAP4/HTML。目錄訪問協(xié)議MAPI/LDAP郵箱存取僅僅支持指定的客戶端，不支持其他客戶端。僅僅在標(biāo)準(zhǔn)客戶端無法使用時(shí)可使用非標(biāo)準(zhǔn)客戶端，例如PALM。PF讀取新聞?dòng)懻摻M客戶端用NNTP，WebConnector(OWA)采用HTML。NNTP新聞?dòng)懻摻M同步僅僅用于企業(yè)內(nèi)部的新聞?dòng)懻?。搜索引擎通過Exchange2000搜索郵箱，通過SiteServer搜索PFSMTP網(wǎng)關(guān)病毒防范采用SymantecAntiVirusforSMTP檢查所有和第三方往來的信件。Exchange郵件服務(wù)器病毒防范采用SymantecAntiVirusforExchange計(jì)算機(jī)病毒防治規(guī)范范圍實(shí)施規(guī)范服務(wù)器Symantec企業(yè)版服務(wù)器組件必須安裝，并且升級(jí)服務(wù)必須開機(jī)自動(dòng)啟動(dòng)?？蛻舳薙ymantec企業(yè)版客戶端必須安裝,并且升級(jí)服務(wù)必須開機(jī)自動(dòng)啟動(dòng)。Exchange服務(wù)器SymantecAntiVirus企業(yè)版必須安裝,并且升級(jí)服務(wù)必須激活。電子郵件網(wǎng)關(guān)Symantec企業(yè)版forSMTPGateway必須安裝,并且升級(jí)服務(wù)必須激活。管理代理企業(yè)網(wǎng)內(nèi)所有基于Intel/Windows的計(jì)算機(jī)上必須安裝并且激活管理代理。這樣可以確保中石化碧辟（浙江）石油有限公司計(jì)算機(jī)病毒防治規(guī)范在所有機(jī)器上得到執(zhí)行。SymantecWebSecurity建議在網(wǎng)關(guān)服務(wù)器安裝,HTTP和FTP的內(nèi)容過慮和病毒掃描防病毒產(chǎn)品更新與升級(jí)所有區(qū)域的域控制器必須參與域同步以確保獲得總部提供的最新的病毒特征文件和用戶登錄腳本，同時(shí)設(shè)置所有防病毒產(chǎn)品的更新服務(wù)從相關(guān)服務(wù)器中獲得更新文件?？蛻舳擞?jì)算機(jī)硬件配置標(biāo)