中石化BP合資公司IT整合項目－基礎應用中石化BP合資公司IT整合項目－基礎應用文檔信息項目名稱:中石化BP合資公司IT整合項目－基礎應用項目階段規劃與方案制定項目經理:版本1.0編寫:編寫日期2004-11-5校對:校對日期分發列表發送者日期電話/傳真接收者所需操作截止日期電話/傳真*所需操作：批準，回顧，通知，存檔，參加會議，其他（請注明）版本記錄版本號版本日期修改者描述文件名

修改歷史版本日期修改內容1.02004年11月4日初始版本

TOC\o"1-3"\h\z第1章 背景介紹 11.1項目背景 11.2需求分析與設計規劃 2第2章 網絡通訊架構 32.1網絡設備命名規范 32.2IP地址分配 42.2.1 總體規范 42.3局域網的規劃與實施 52.3.1 局域網規劃 52.3.2 局域網設備軟硬件配置 122.3.3 局域網主要配置范例 122.4廣域網的規劃與實施 162.4.1 廣域網拓撲圖 162.4.2 廣域網路由器軟硬件配置 172.4.3 防火墻軟硬件配置 182.4.4 廣域網實施 182.4.5 廣域網設備主要配置范例 192.5網絡設備部分服務的關閉 21第3章 服務器技術架構 233.1服務器系統功能 233.2服務器功能概述 233.2.1 AD/DNS服務器 233.2.2 File/Printer/DHCP服務器 243.2.3 Exchange后端和前端服務器 243.2.4 Symantec/BDC/DNS服務器 243.2.5 WTS服務器 243.3服務器數據備份 253.3.1 服務器數據備份系統 253.3.2 服務器數據備份策略 263.4服務器操作系統－微軟WindowsServer2003 273.5消息和協作服務－微軟Exchange2003 283.6服務器病毒防治方案－SymantecAntiVirus企業版 29第4章 機房設備與擺放 304.1機房電源 304.1.1 設備功率估算表 304.2機柜設備擺放圖 31第5章 信息系統管理標準和實施策略 345.1目標概述 345.2適用范圍 345.3標準實施審計與檢查 345.4服務器硬件配置標準 345.5WindowsServer2003配置標準 355.5.1 軟件技術標準 355.5.2 命名標準 355.5.3 安全標準 385.5.4 軟件配置標準 395.6Windows2003服務器安全標準 405.6.1 服務器配置安全標準 405.6.2 服務器上服務的安全標準 405.6.3 內置用戶和服務帳戶安全標準: 415.6.4 文件和組許可權限標準 415.6.5 系統審計日志標準 415.6.6 系統備份和恢復標準 415.7電子郵件系統配置標準 425.7.1 命名標準 425.7.2 設置規范 425.7.3 技術標準 435.8計算機病毒防治規范 445.9客戶端計算機硬件配置標準 445.10客戶端計算機軟件配置標準 44第6章 項目實施 466.1安裝步驟 466.1.1 防火墻安裝步驟 466.1.2 路由器安裝步驟 466.1.3 交換機安裝步驟 466.1.4 服務器安裝步驟 466.1.5 客戶端安裝步驟 476.2進度安排 476.3項目管理 486.3.1 XXX項目管理方法論 486.3.2 項目管理原則 486.3.3 項目管理的目標 496.3.4 項目管理規范 496.3.5 項目實現 506.3.6 項目執行 526.4知識轉移與用戶培訓 536.5項目文檔 546.5.1 系統和安裝文檔 546.5.2 配置管理文檔 556.5.3 系統運行和維護文檔 556.5.4 系統檢驗文檔 556.5.5 技術文檔 556.5.6 系統管理員和用戶培訓手冊 556.6系統驗收 55第7章 售后服務 567.1安裝后的服務 567.1.1 硬件維護 567.1.2 系統關懷 567.1.3 外派工程師 567.2服務組織及構架 567.3服務流程 57第8章 附件 588.1公司介紹 58ShanghaiChinadreamInformationTech.Co.,LtdPAGEPAGE33Room502,Block68No.475,ChengshanRoad,PudongNewArea,Shanghai電話：86-21-50560271背景介紹項目背景BP集團公司包括原英國石油、阿莫科、阿科和嘉實多等公司，是集石油天然氣勘探開發、煉油與營銷、化工及天然氣與發電于一身的一體化能源公司。它是世界上最大的石油與石油化工集團之一,公司總部設在倫敦。全球雇傭超過十萬員工，業務遍及世界百余個國家。到目前為止，BP已在中國投資約40億美元，擁有獨資合資企業20多家，直接雇員和控股公司雇員超過1000人，是在華投資最大的能源公司。BP集團的四大核心業務從上游的石油及天然氣生產，天然氣及發電到下游的石油化工，油品營銷等都在中國有廣泛的開展。其業務已從70年代初期的產品銷售擴展到石油天然氣生產、煉油、油站、航空油料、液化石油氣、化工及天然氣與發電各個領域，地域涵蓋東北、華北、華東、華南及中西部各個地區。中國石油化工股份有限公司（以下簡稱“中國石化”）是一家上中下游一體化、石油石化主業突出、擁有比較完備銷售網絡、境內外上市的股份制企業。中國石化是中國最大的一體化能源化工公司，主要從事石油與天然氣勘探開發、開采、銷售；石油煉制、石油化工、化纖、化肥及其它化工的生產與產品銷售、儲運；石油、天然氣管道運輸；石油、天然氣、石油產品、石油化工及其它化工產品和其它商品、技術的進出口、代理進出口業務；技術、信息的研究、開發、應用。是中國最大的石油產品（包括汽油、柴油、航空煤油的批發和零售）生產商和供應商，是中國最大的主要石化產品（包括中間石化產品、合成樹脂、合成纖維單體及聚合物、合成纖維、合成橡膠和化肥）生產商和供應商，也是第二大原油生產商。為了更好的發揮兩家企業的優勢，做到優勢互補，BP和中國石化決定在浙江合資成立中石化碧辟（浙江）石油公司，在浙江全省提供加油站業務。公司總部設在杭州，此外在寧波等地設有分公司。為了業務開展和運作，需要實施一系列的IT應用，包括基礎設施，財務系統，加油站零售管理系統等。本項目即為該公司提供整合的IT基礎設施和服務。XXX憑借自身完善的技術力量和服務水準，為中石化BP提供全面解決方案，包括硬件平臺的架設，應用軟件的實施，以及整個系統的維護和技術支持需求分析與設計規劃設計實施一個技術先進、數據安全、性能穩定、擴展靈活的網絡系統成為我們該項目的基本目標。根據我們對客戶的了解和對能源石化行業的深刻理解，以及我們豐富的業務經驗，我們認為本項目的需求主要在以下幾個方面；在中石化BP杭州總公司構建一個中心辦公網絡，該網絡為公司總部的業務提供基本的信息技術服務，包括目錄服務、文件與打印服務、電子郵件服務等。該中心網絡核心采用千兆三層交換，桌面接入采用百兆交換，且所有網絡交換設備需要冗余，提高網絡的可靠性。采用虛擬局域網(VLAN)提高網絡的性能和可管理性。將中石化浙江省總公司網絡、寧波分公司網絡和該中心網絡通過廣域網實現互聯互通，同時將該中心網絡與互聯網聯通從而中心網絡的用戶可以訪問互聯網。使用防火墻提供網絡互聯的安全性。由于BP上海有些員工需要訪問中石化BP的某些應用，例如財務系統，但BP上海的網絡與中石化的網絡并沒有直接互聯，所以需要設立終端服務，并且將終端服務器放置在與互聯網連接的防火墻的非軍事區域(DMZ)，這樣可以較好的滿足安全性要求。

服務器技術架構服務器系統功能服務器系統全部采用HP的DL或ML系列服務器。HP是業界最大的服務器生產廠家，具有全方位的產品線和快速服務網絡。以下是服務器的功能和配置列表,所有的服務器配置了ILO遠程控制功能,可以實現遠程監控和喚醒.所有服務器還配置了SmartArray磁盤陣列卡,可以對磁盤做陣列控制和冗余保護.服務器型號對照表功能和服務型號CPU內存硬盤擴展性操作系統AD/DNSDL380G3X3.06*22G36G*512G內存,6HDWindows2003標準版File/Print/DHCPML570R02X3.0*22G72G*2,146G*632G,14HDWindows2003標準版VeritasExchange后端ML570R02X3.0*44G72G*2,146G*632G,14HDWindows2003標準版,Exchange2003標準版Symantec/BDC/DNSDL380G3X3.06*22G36G*512G內存,6HDWindows2003標準版,Nortonantivirus9.0enterpriseExchange前端/DNSDL380G3X3.06*22G36G*512G內存,6HDWindows2003標準版Exchange2003標準版WTS服務器DL360G3X3.06*12G72G*28G內存,2HDWindows2003標準版,終端服務零管系統DL380G3X3.06*22G36G*512G內存,6HDWindows2003標準版浪潮財務系統ML570R02X3.0*48G72G*2,146G*432G,14HDWindows2003標準版服務器功能概述AD/DNS服務器作為中石化BP（浙江）石油有限公司的域服務器，并提供AD(活動目錄)服務,通過設置用戶組和用戶帳號的不同的權限，控制用戶的登錄和相關資源的共享.用戶登錄的帳戶信息里設置登錄腳本,映射網絡盤符等。另外在內部開啟DNS服務，作為對內部用戶域的DNS解析以及支持活動目錄。File/Printer/DHCP服務器結合AD的域控制器,設置相應的文件目錄權限,不同的部門用戶設置對相應目錄的訪問權限(完全,只讀等).部門間的某些用戶需要訪問其他部門文件時也可以開啟相關權限.打印機的共享,可以根據部門設置共享權限,每個部門根據需要配置一臺或幾臺網絡打印機,供本部門員工共享打印.為了方便管理和維護,開啟DHCP服務,用戶登錄后自動獲得IP地址.由于還需要對部門分VLAN和子網,因此需要在DHCP上設置不同的地址段,使得不同子網的用戶可以獲得本網段的地址.Exchange后端和前端服務器作為后臺用戶帳戶和mail數據庫的存放.前端服務器放置在DMZ的區域,作為mail進出的網關提供smtp的服務并轉發外網到內網用戶的POP3請求.這樣把前端網關和后臺用戶數據庫分離開來,既提高了處理性能,又降低了安全風險,把來自外網的請求都傳送到DMZ來處理。Symantec/BDC/DNS服務器該服務器作為病毒服務器來使用,有幾個功能作為防病毒服務器端提供全網的病毒管理,包括病毒庫的檢測和分發結合域帳號信息的控制臺管理,網關級的病毒查殺,對進出的數據包進行查殺病毒.結合ExchangeServer查殺郵件.客戶端的病毒庫自動升級策略和后臺查殺病毒,便于統一管理和保持全網病毒庫版本一致性.BDC和備用DNS是作為對主DC服務器的備份,當主DC服務器出現故障時,可以把BDC升級為DC,并繼續提供DNS等相應服務.BDC還需定期同步DC的數據,確保數據的一致性.WTS服務器由于BP上海的某些員工需要訪問中石化BP（浙江）的一些數據,比如財務服務器等,在BP的通用策略上并沒有把這部分用戶連進來,所以單獨設置了一個WTS服務器作為WindowsTerminalServer來使用,利用基于Win2003的終端服務,使得遠程用戶利用遠程控制的客戶端登錄到該WTS上進行相關的訪問和查詢.由于并發用戶比較少,目前只配置了10個客戶端的license訪問,服務器的CPU也只配了1個,以后可以擴充到2個.服務器數據備份服務器數據備份系統對于任何企業來說,確保數據的完整和安全是頭等大事，我們在本方案中推薦了HP的傲群LTO磁帶機,壓縮后可以備份400G的數據容量.并且推薦了VeritasBackupexec9.0企業版備份軟件,配置了RemoteAgent,ExchangeAgent,OpenfileAgent和DisasterRecoveryAgent.該磁帶機可以連接到File服務器上,備份file數據,AD配置,,Exchange數據庫.RemoteAgent可以備份網絡中其他服務器中的數據,旨在擴展網絡數據保護和優化數據傳送，以適應Windows服務器的需求，包括提供本地注冊表與系統狀態信息的備份。ExclusiveAgentAccelerator技術通過在客戶機提供源級壓縮和分布式處理技術，實現最大化備份和恢復性能，由此減少網絡通信量，最大限度地增加數據吞吐量。ExchangeAgent用于信息附件的單實例存儲、增量/差異郵箱備份和各種公用文件夾的恢復，不僅提供細粒性，而且將加快ExchangeServers的備份與恢復。在恢復期間執行郵箱和用戶賬戶的自動化重建，將進一步優化恢復過程，并以更快的速度使數據和用戶恢復在線.OpenFileAgent適用于本地和遠程服務器文件正在使用期間，該選件將保證為它們提供保護。它能夠在處理打開的文件，并能夠與BackupExec實現無縫結合。用戶不需要知道哪些文件提前打開了，只要點擊鼠標，就能夠簡單地設置一個使用該選件進行的預定備份。另外，先進的技術還將整合檢測和使用替換型固定快照等功能，例如基于windows.NETServer的MicrosoftVolumeSnapshotService(VSS)，或VERITASVolumeManagerFlashSnap,以增強應用可用性。DisasterRecoveryAgent未雨綢繆是在發生災難時，保證關鍵任務數據可用性的重要因素。新型數據復制特性將自動創建任何備份媒體的輔助拷貝，以便在不同的數據保留期內，維護現場和非現場拷貝。這是災難恢復數據管理的理想選擇。IntelligentDisasterRecovery，即智能災難恢復選件在Windows.NET和WindowsXP，直接整合微軟的自動系統恢復(ASR)功能，為Windows服務器提供全面的災難恢復功能。除此之外，IntelligentDisasterRecovery選件還直接與日常備份相整合，為本地和遠程Windows服務器提供基于向導的災難恢復。它可以通過磁盤、CD/RW或引導磁帶，啟動恢復過程。因此，不需要重新安裝操作系統，就能夠實現系統恢復。系統文件可以通過最近的全面備份、增量備份、差異備份或工作集備份實現恢復。服務器數據備份策略我們使用祖父-父親-兒子輪轉備份策略來備份數據。結合每日，每星期，每月和季度的備份，可以把數據恢復到不同的時間點。祖父-父親-兒子方法這個計劃使用三套磁帶,每日，每星期和每月的備份。為了執行祖父父親兒子旋轉規劃，一般將需要十二套磁帶介質。“兒子”代表每日的備份,用4個磁帶作為每天的增量備份,并貼上星期1到星期4的標簽,這些磁帶將被用來執行每日的增量備份,并且可以恢復到標簽上寫的那天的數據.第二套叫做”父親”的最多提供5個weekly的備份.它執行的是全備份,在磁帶上貼上week1到week5的標簽,可以恢復標簽上對應的week的每月的數據(monthly).最后一套的三個磁帶，稱為“祖父”,被用來在每個月底做一次全備份,并且可以回復到每季度的數據(quarterly).祖父-父親-兒子輪轉計劃的圖解如下圖服務器操作系統－微軟WindowsServer2003WindowsServer2003是在Windows2000經過考驗的可靠性、可伸縮性、經濟性和可管理性的基礎上構建的，為加強聯網應用程序、網絡和XMLWeb服務的功能（從工作組到數據中心）提供了一個高效的結構平臺。WindowsServer2003是一個多任務操作系統，它能夠按照需要，以集中或分布的方式處理各種服務器角色。其中的一些服務器角色包括文件和打印服務器、Web服務器和Web應用程序服務器、郵件服務器、終端服務器、遠程訪問/虛擬專用網絡(VPN)服務器、目錄服務器、域名系統(DNS)、動態主機配置協議(DHCP)服務器和WindowsInternet命名服務(WINS)、流媒體服務器。活動目錄存儲了有關網絡上對象的信息，并且通過提供目錄信息的邏輯分層組織，使管理員和用戶易于找到該信息。WindowsServer2003為活動目錄帶來了很多改善措施，使其使用起來更通用、更可靠，也更經濟。在WindowsServer2003中，活動目錄提供了增強的性能和可伸縮性。它允許您更加靈活地設計、部署和管理組織的目錄。隨著桌面計算機、膝上電腦和便攜式設備上計算量的不斷增大，維護分布式個人計算機網絡的實際成本也顯著增加了。通過自動化來減少日常維護是降低操作成本的關鍵。WindowsServer2003新增了幾套重要的自動管理工具來幫助實現自動部署，包括Microsoft軟件更新服務(SUS，SoftwareUpdateServices)和服務器配置向導。新的組策略管理控制臺(GPMC)使得管理組策略更加容易，從而使更多的組織能夠更好地利用活動目錄服務及其強大的管理功能。此外，命令行工具使管理員可以從命令控制臺執行大多數任務。WindowsServer2003在存儲管理方面引入了新的增強功能，這使得管理及維護磁盤和卷、備份和恢復數據以及連接存儲區域網絡(SAN,StorageAreaNetworks)更為簡易和可靠。MicrosoftWindowsServer2003的終端服務組件構建在Windows2000終端組件中可靠的應用服務器模式之上。終端服務使您可以將基于Windows的應用程序或Windows桌面本身傳送到幾乎任何類型的計算設備上－包括那些不能運行Windows的設備。消息和協作服務－微軟Exchange2003現在的商業環境中，企業要想獲得成功，必須擁有強大的信息創建、存儲和共享基礎結構，同時還應擁有可快速和智能地響應這些信息的工具。Exchange2000Server使這些問題迎刃而解--它可與MicrosoftWindowsServer2003無縫集成，提供了業界領先的可靠性和伸縮性與無與匹敵的易管理性，為各種規模的企業提供了下一代的消息和協作。Exchange與其客戶端軟件——MicrosoftOutlook?2003一起提供了高度可靠的、可伸縮的、易于管理的通信和協作基礎架構。其創新性的新型MicrosoftWeb存儲系統可以將Exchange的可靠性和可伸縮性與Web的易訪問性和開放性組合在一起，從而提供了一個強大的知識存儲庫和商業應用平臺。Exchange2000ConferencingServer為數據、音頻及視頻會議服務提供了一個數據平臺，為新的協作用途奠定了堅實的基礎。Exchange2003完全利用了Windows2003活動目錄的強大功能，允許系統管理員創建一個企業目錄，該目錄是所有用戶、組、權限、配置數據、網絡登錄、文件及Web共享等的單一管理點。活動目錄是一個具有高可伸縮性的企業級目錄服務，它使用Internet標準基礎建立，并在操作系統級上與Exchange完全集成在一起。Exchange2003與MicrosoftInternetInformationServices緊密集成在一起，用于提供高性能的Internet郵件協議（SMTP、POP等）、通過OutlookWebAccess客戶端對Exchange的Web瀏覽器訪問、一個完整的Web應用平臺。存儲組是Exchange2003中的一個新概念。存儲組是共享同一事務日志集，即單一管理、備份和恢復點的數據庫組合。每個存儲組都可以失敗過載到群集服務器對的另一臺服務器上，只要它們停止響應。存儲組使用Exchange系統管理器插件進行定義。您可以在每個存儲組中創建多個數據庫，您甚至可以創建多存儲組。這意味著同一Exchange2000服務器上可以存在許多獨立的數據庫（參看以下的多消息數據庫）。存儲組是備份單位，它允許管理員備份整個存儲組，因此只有系統事務日志集的一個副本必須被寫入磁帶中。但是，每個數據庫都可以在所有其他數據庫仍處于聯機狀態并為其他用戶提供服務時單獨進行恢復。您可以利用備份進行快速恢復，該操作將影響到最小數量的用戶。服務器病毒防治方案－SymantecAntiVirus企業版SymantecAntiVirus企業版是一個全面的防病毒解決方案，可以為Internet和電子郵件網關、網絡服務器和工作站提供多層的企業級的防護。該產品結合獲獎技術和Symantec的全球響應基礎設施，可以提供高性能、可伸縮的防護，使病毒威脅止步于網絡之外。此外，該解決方案使管理員能夠阻止不受歡迎的電子郵件內容，如垃圾郵件。SymantecAntiVirus企業版結合了業界領先的技術和支持以保護所有網絡層，企業無需再費力構建多供應商安全解決方案。通過SymantecSystemCenter?中央管理控制臺，IT經理不僅能夠輕松部署防病毒解決方案，而且還能夠創建、執行和更新策略，從而確保在任何時間都能夠跨越多個平臺，在企業范圍正確部署網絡服務器和工作站。采用集中式管理控制臺，管理員還能夠對網絡進行審核、確定哪些節點未受到保護，容易受到病毒攻擊，哪些節點已由SymantecAntiVirus企業版、McAfee?VirusScan?、TrendMicroOfficeScan?ComputerAssociates?或其他優選第三方防病毒產品保護。SymantecAntiVirus采用DigitalImmuneSystem?，可以自動掃描、檢測和隔離新病毒，提供快速、可靠和完全自動的防護。此外，Symantec獨有的跨層NAVEX?技術提供了無需重新部署軟件或重啟系統即可更新病毒和引擎擴展的能力，因而最大限度地增加了系統正常運行時間，并有效降低了擁有成本。為了提高速度和安全性，新版本采用了較小的病毒定義文件和多線程服務器分裝。Symantec獲獎的解決方案兼容Windows?2003和Netware?安全控制臺，并支持64位Intel?Itanium?2處理器，可以在企業遷移到最新技術時提供不間斷的防護。與所有Symantec安全產品一樣，SymantecAntiVirus企業版由世界領先的Internet安全研究和支持組織Symantec安全響應中心提供支持。

機房設備與擺放機房電源為了保證整個系統的不間斷運行，需采用不間斷電源，提供整個機房設備的電源。建議采用美國APC公司的SmartUPS系列。根據初步估算，可以采用4臺SU5000VA(約3750W×4＝15000W)的UPS容量，并且可以通過外掛電池箱達到斷電后維持60分鐘的要求。UPS放置在機柜里,電池可以統一疊放在機房的地板上.設備功率估算表UPS1提供的設備電源：名稱功率（瓦）數量小計（瓦）ML570R2180011800DL380G3100011000LTO1001100顯示器+KVM1501150小計3050UPS2+UPS3提供的設備電源：ML570R2180023600DL380G3100022000DL360G36501650小計6250UPS4提供的設備電源：名稱功率（瓦）數量小計（瓦）Cisco4507100022000Cisco37453651365Cisco29508003240CiscoPIX502100顯示器+KVM1501150小計2855

機柜設備擺放圖

信息系統管理標準和實施策略目標概述為了總公司的信息技術部門能夠快速有效的對公司的計算機系統提供升級，修復和安裝安全補丁等服務，對公司的信息系統進行集中化管理，中石化碧辟（浙江）石油有限公司在全公司統一實施基于Intel/Windows的標準化計算機環境，包括服務器和客戶端。標準的計算機環境確保了公司標準化的IT服務規范可以實施，對所有機器可以集中遠程管理，即使用戶在外旅行也可獲得公司IT支持與服務，同時降低了企業在IT系統管理方面的總體擁有成本（TOC-TotalOwnershipCost）。為了這些目標，特制定以下信息系統管理標準和實施策略。適用范圍這些管理標準和實施策略適用于中石化碧辟（浙江）石油有限公司內所有連接到公司企業網基于Intel/Windows的服務器和客戶端計算機，以及相關的網絡設備包括路由器、交換機和防火墻等。此外由于某些原因某些設備需要更高配置則不適用本管理標準和實施策略。標準實施審計與檢查總公司的信息技術部門會定期使用系統管理基礎架構中的相關功能進行信息系統資產和配置統計并將不符合標準的項目統計出來送交相關部門處理。每年總部IT部門會對整個公司的IT系統進行全面的檢查審計以確保公司IT系統安全可靠運行。服務器硬件配置標準平臺標準硬件平臺惠普服務器。采購使用惠普簽訂的GFA協議。系統內存基礎服務器(DC,WINS,DNS)和exchange服務器至少2GB。所有其他服務器：至少256MB。BIOS/Firmware升級至廠商提供的最新版本。系統硬盤基礎服務器(DC,WINS,DNS)：系統盤需要硬盤鏡像(RAID1)。非基礎服務器(F&P,Application)：基于應用和站點的要求。數據硬盤基礎服務器(DC,WINS,DNS)：磁盤陣列(RAID5)。非基礎服務器(F&P,Application)：基于應用和站點的要求。遠程管理如果需要，配置遠程控制卡并且連接到網絡上。本地磁帶備份設備DLTIVWindowsServer2003配置標準軟件技術標準項目標準操作系統MicrosoftWindows2003Server或者AdvancedServer補丁微軟網站獲得頁面文件大小物理內存的2.5倍互聯網瀏覽器InternetExplorer數據存取微軟DataAccess–MDAC服務器管理程序CompaqInsightManagerAgentsMicrosoftWindowsManagementInstrumentation(WMI)MicrosoftOperationsManagerEnterpriseConfigurationManagerMicrosoftWindowsSoftwareInstaller(MSI)AltiriseXpressClient(Win2000Serversonly)WindowsTerminalServices(RemoteAdminMode)RemoteInsightBoard(RIB)–mandatoryforDC’s防病毒SymantecAntiVirus企業版登錄腳本登陸腳本可以根據需要自行制定。命名標準項目標準活動目錄域名域空間在公司目錄樹(AD.BP-SINOPEC.COM)內BSn.AD.BP-SINOPEC.COM(n=number)例如BS1.AD.BP-SINOPEC.COMExtranet域名第三方域名空間信任公司或者被公司信任Xnn.EXTRANET.BP-SINOPEC.COM(n=number)例如X01.EXTRANET.BP-SINOPEC.COM服務器名稱服務器必須根據功能正確命名服務器必須置于正確的組織單元OrganizationUnit(OU).<域名><分支機構><功能><編號>域名=上級域名(3個字符)分支機構=分支機構名字(2個字符)功能=服務器功能代碼(2個字符)編號=3位數字(不足3位前面補充0)例如:BS1HZDC001=在杭州的域控制器001號BS1HZEX002=在杭州的ExchangeServer002號BS1HZIS001=在杭州的文件打印服務器001號測試機器：在機器名后面添加-tst

培訓機器：在機器名后面添加-trn非域名服務器或者虛擬服務器R<區域><分支機構><類別><編號>R=常量區域=區域代碼(2個字符)分支機構=分支機構名字(2個字符)功能=服務器功能代碼(2個字符)編號=3位數字(不足3位前面補充0)例如：RZJHZPA001=在浙江杭州的代理集群(虛擬服務器)RZJHZ3D002=在浙江杭州的3-DNS控制器組織單元(OU)在公司活動目錄內所有的對象應該放置在適當的組織單元（容器）內域控制器放置于：DomainControllers\rRR\sss服務器放置于:Servers\<SL>\rRR\ss用戶，工作站組放置于:Client\rRR\sss\Users或者Client\Rrr\sss\Workstations角色組放置于:Client\rRR\ss\RoleGroups數據組放置于:Client\rRR\ss\DataGroups傳統組放置于:Client\rRR\ss\LegacyGroups其中，<SL>=服務鏈接關鍵字(例如IFP)rRR=區域代碼(例如rZJ)ss=分支機構代碼(例如HZ)用戶帳戶名稱所有用戶必須使用他們自己唯一的帳號名稱。用戶帳戶必須在整個活動目錄是唯一的。用戶名最長為8個字符，姓氏的拼音中截取前4個字符，名字的拼音中截取前4個字符。如果用戶名不唯一則用順序編號取代最后一個或兩個字符。例如用戶王旭明，其帳號就是wangxumi或者wangxum1。用戶帳戶不能授予撥入權限。用戶全名用戶全名決定用戶在電子郵件系統的地址簿中如何顯示，因此正確定義帳戶全名非常重要。用戶全名在帳戶細節中定義。<姓氏>,<名字>[(公司或組織名字)][]=可選，在必要時使用例如：Wang，XumingWang,Xuming(IT)用戶描述用戶描述在帳戶細節中定義。分支機構，部門遠程撥入帳戶遠程撥入帳戶僅能遠程連接網絡，不能訪問網絡資源和應用。在標準的用戶名前加前綴–remote-例如：-remote-wangxumi管理員帳戶管理員帳戶用來對服務器進行管理。在標準的用戶名前加前綴–adm-,管理員帳戶不能授予遠程撥入權限。例如–adm-wangxumi服務帳戶服務帳戶用來控制后臺服務和應用訪問系統，這些訪問是非交互的。服務帳戶名字按照以下格式：-svc-<SL>-<ss/ccc/rRR>-Function其中SL采用下列代碼IFP=基礎架構EXH=Exchange郵件服務SMS=SystemsManagement系統管理WEB=IISWeb服務WTS=Windows終端服務ss/ccc/rRR表示服務帳戶確切范圍(分支機構/區域/集群)例如-svc-ifp-hz-backup(杭州分公司基礎架構備份服務)

-svc-exh-hz-backup(杭州分公司Exchange郵件服務器的備份服務)服務帳戶不能授予撥入全些且不能用作服務器登錄。總部或者分部IT部門負責掌握相關的服務帳戶的密碼。角色組角色組是以前全局組的替代，通常用于小組，部門，或者用于郵件分發和資源訪問的職能小組或者項目組。角色組放置于以下容器/組織單元中:Client\rRR\ss\RoleGroups角色組的命名規則如下：G<SS>/<BBU>/<SS><BBU><Description>G=常量，角色組名字前綴SS=2字符分支機構BBU=3字符組織或者部門名字SSBBU=2字符分支機構名字之后跟3字符部門名字Description=角色組的描述數據組數據組用來提供對資源的訪問，并且必須和網絡資源相關聯。所有數據組放置于以下容器、組織單元中：Client\rRR\ss\DataGroups數據組的命名規則如下：D<SS><Resourcename><accesslevel>D=常量，數據組名字前綴SS=2字符分支機構Resourcename=共享資源名字AccessLevel=訪問資源的權限類別訪問權限類別：FC完全控制NA不得存取RW讀寫RO只讀LA列出所有文件和文件夾LD僅僅列出數據文件LF僅僅列出文件夾SP特殊訪問權限（根據具體情況定義）數據共享共享提供對網絡資源的訪問共享名描述了共享資源的含義和用途。共享訪問權限和數據組訪問權限一樣打印隊列<SITE>P<NUMBER>Site=分支機構代碼P=打印機名稱中常量編號=3位數字，不滿3位用0補足。所有打印機應當在活動目錄中注冊。安全標準項目標準基本設置所有服務器應當根據相關硬件標準和軟件標準進行配置，并且屬于相關域和活動目錄。僅僅被批準的應用可以在服務器中使用。安全設置客人帳戶必須被禁用。域管理員帳戶必須改名成一個和普通用戶名類似的名字。帳戶名稱和密碼必須唯一，密碼和用戶名不得相同。入侵鎖定監測應當設置成最多5次登錄且所定設置為永久鎖定。最少密碼長度：普通用戶帳戶=最少8個字符遠程撥入帳戶=最少12個字符且要隨機生成。管理員帳戶=最少14個字符且要復雜服務帳戶=最少14個字符且要復雜域審計標準：登錄/登出–失敗文件和對象訪問–失敗用戶和組管理–成功和失敗安全策略改變–成功和失敗系統重新啟動和關閉–成功和失敗進程跟蹤–無共享資源訪問權限應該明確定義，主要對數據組的定義事件日志應當設置為64k大小并且保留35天循環。所有分區的文件系統是NTFS。服務器物理上接觸應該嚴格控制，特別是域控制器。軟件配置標準項目標準名稱解析名稱解析對于確保用戶正確訪問網絡資源非常重要。MSDomainNameService(DNS)用于基于主機的名稱解析和動態注冊。MSWindowsInternetNamingService(WINS)用于NETBIOS名稱解析。客戶端IP地址所有連接到公司企業網的服務器和客戶機都必須有一個有效的TCP/IP地址以保證可以正常訪問網絡資源。MSDynamicHostConfigurationProtocol(DHCP)客戶端IP地址采用DHCP動態分配。每個分支機構至少2個DHCP服務器Windows2003服務器安全標準服務器配置安全標準操作系統的補丁和修復程序必須及時使用，參照微軟WINDOWS更新網站。系統必須禁止自動登錄。如果不需要，定時服務（AT）必須被禁止。“關機”選項必須在登錄對話框中被禁止。最近一次登錄的用戶的名字不得顯示在登錄對話框內。必須去除以下部件：OS/2子系統,POSIX子系統,OS/2目錄。配置服務器盡量使用NTLMv2認證，在客戶端要求下只用LM認證。以下警告信息必須在登錄對話框中顯示：“警告–僅授權用戶可以使用”“中石化碧辟（浙江）石油有限公司及其附屬機構擁有系統和數據的產權。未經許可使用該系統是違法行為并可能導致法律后果。任何對該系統的訪問都可能被監控。”服務器上不得安裝和該服務器功能無關的軟件及應用。任何和服務器以及服務器上運行的服務所涉及的密碼必須使用復雜密碼。另外服務器上安裝的軟件和應用要用文檔記錄，每隔6個月需要檢查這些軟件和應用是否仍然需要。服務器上服務的安全標準僅僅需要的服務被安裝使用，任何不需要的服務必須關閉。簡單TCP/IP協議不得安裝。缺省SNMP社區標識符必須根據其所在的分支機構或者區域設置為相應的標識符。SNMP代理必須設置為只發送或者接受激發閥值至相應已知設備。文件傳輸協議服務必須禁用。如果需要必須使用SERV-U等產品。TELNET服務必須禁用。內置用戶和服務帳戶安全標準:必須禁用內置的來賓帳戶，同時來賓帳戶必須設置復雜健壯密碼。將管理員帳戶改名為類似普通用戶的名字，同時管理員帳戶必須設置復雜健壯密碼。創建一個虛假的沒有任何權限的名為“Administrator”的帳戶，同時設置一個復雜健壯密碼。這個帳戶用來觀察對系統試圖攻擊和未經授權的訪問的情況。所有不再需要的用戶或者應用帳戶必須被禁用或者刪除。禁用帳戶必須設置健壯密碼。服務帳戶（例如微軟SQL服務器）密碼不得為空且設置為一個健壯密碼。內置的用戶和服務帳戶的密碼必須保存在一個安全的地方，未經許可的人員不得接觸。健壯密碼必須符合下列規則：至少14個字符不得包含帳戶名。必須包含大寫和小寫字符。所有密碼必須保存在一個安全的地方，僅僅許可人員可以接觸。文件和組許可權限標準所有系統分區必須是NTFS文件系統。所有的共享資源必須用本地組對權限做出明確設置。缺省的“everyone”權限必須去除。“完全控制”權限不得使用，最高權限只能是“改變”。如果沒有合適的用戶組則使用“認證用戶”。所有用于軟件分發的共享目錄必須設置為只讀，“everyone”用戶組對此必須設置“noaccess”權限。限制匿名用戶訪問本地安全授權信息。僅僅管理員才可以遠程訪問系統的注冊表信息。禁止來賓和匿名進程訪問事件記錄信息。系統審計日志標準確保任何未經授權針對服務器和共享資源的訪問企圖被記錄，所有公司的WindowsServer2003的系統日志和審計策略必須做如下配置：登錄/登出 失敗文件和對象存取失敗用戶和組管理成功和失敗安全策略改變成功和失敗重新啟動和關閉系統成功和失敗進程跟蹤無事件記錄的大小需設置為64000KB且為在需要時覆蓋。系統備份和恢復標準必須將每個服務器系統的緊急修復盤放置于一個安全的地方。在每次系統配置變動后必須生成一個新的緊急修復盤。以前的緊急修復盤也需要保留在安全的地方直到不再需要。日常備份必須根據系統和應用的需要而執行，所有備份的媒介如備份磁帶必須保存在一個安全的地方。備份周期和備份保留周期必須根據應用和業務需要而制定。電子郵件系統配置標準命名標準項目標準郵箱名稱和用戶登錄活動目錄的用戶名相同雇員顯示名稱姓氏,名字（比如Zhang,Yue）非雇員顯示名稱姓氏，名字（公司名稱）（比如Zhang,Yue(DT)）分發列表(D/L)G<分支機構><列表名稱>(比如GNBIT)包括外部地址的分發列表G<分支機構><列表名稱>(Ext)(比如GNBITSupport(Ext))預約安排的資源帳戶R<分支機構><資源名稱>(比如RNB1410會議室)SMTP地址userid@電子郵件組織名稱BP-SINOPEC分支機構名稱2個字符描述，比如HZ服務器名稱Exchange2000服務器:3個字符域名,2個字符分支機構，EX###標識符。(例如BS1HZEX001)設置規范項目標準郵件大小限制2.5MB，MaxCompression選項激活用來增加實際的郵件大小。郵件格式RichText(RTF)自動轉發郵件至互聯網禁止。在GAL中第三方地址僅僅在多于一個員工需要的情況下存在。僅當分發列表或者PF讀取需要才被允許存在于GAL。第三方目錄同步禁止。連接第三方標準按照以下順序：用SMTP協議走公共網絡用SMTP協議走Extranet*采用SMTP協議用私有網絡直接互聯*采用其他網關(例如MSmail,MHS,CCmail,etc)用私有網絡直接互聯.*先要與第三方簽署私有網絡互聯協議利用企業網絡為第三方與第三方提供電子郵件傳輸禁止通過與第三方的連接協議為第三方之間提供電子郵件傳輸服務。向大型或分支機構的分發列表發送郵件控制或者限制可向這個分發列表發送郵件的帳號。電話號碼格式標準+國家代碼(地區代碼)電話號碼(例如+86(21)5109－6700)同時內部分機號碼置于首要位置，外部號碼為次要，首先撥打內部號碼。缺省時間計劃存取只讀。信息擁有者公司擁有所有數據。監測和披露信息的權利公司保留監測和需要時披露信息的權利。SMTP網關內容檢查防止垃圾郵件系統會檢查外來信息并自動刪除垃圾郵件。連鎖信件和游戲信件禁止。參與列表服務僅僅作為商業用途。傳輸機密信息可在企業內部網絡傳輸，對外傳輸則要加密。遷移至X.509傳輸絕密信息采用KMS加密在企業內部網絡傳輸，對外傳輸則用委托。遷移至X.509信息日志最少保留一周。數據備份必須有每天在線備份，最少保留最近4周的數據。通用或工作頭銜的郵箱必須有IT部門的批準和對應的業務擁有者。技術標準項目標準郵件服務器Windows2003服務器運行Exchange2003郵件客戶端Outlook2003進度/日歷客戶端Outlook2003電子表格基于網頁的表格。客戶端訪問服務器協議MAPI是標準，只有當MAPI無法使用才可使用POP3/IMAP4/HTML。目錄訪問協議MAPI/LDAP郵箱存取僅僅支持指定的客戶端，不支持其他客戶端。僅僅在標準客戶端無法使用時可使用非標準客戶端，例如PALM。PF讀取新聞討論組客戶端用NNTP，WebConnector(OWA)采用HTML。NNTP新聞討論組同步僅僅用于企業內部的新聞討論。搜索引擎通過Exchange2000搜索郵箱，通過SiteServer搜索PFSMTP網關病毒防范采用SymantecAntiVirusforSMTP檢查所有和第三方往來的信件。Exchange郵件服務器病毒防范采用SymantecAntiVirusforExchange計算機病毒防治規范范圍實施規范服務器Symantec企業版服務器組件必須安裝，并且升級服務必須開機自動啟動。客戶端Symantec企業版客戶端必須安裝,并且升級服務必須開機自動啟動。Exchange服務器SymantecAntiVirus企業版必須安裝,并且升級服務必須激活。電子郵件網關Symantec企業版forSMTPGateway必須安裝,并且升級服務必須激活。管理代理企業網內所有基于Intel/Windows的計算機上必須安裝并且激活管理代理。這樣可以確保中石化碧辟（浙江）石油有限公司計算機病毒防治規范在所有機器上得到執行。SymantecWebSecurity建議在網關服務器安裝,HTTP和FTP的內容過慮和病毒掃描防病毒產品更新與升級所有區域的域控制器必須參與域同步以確保獲得總部提供的最新的病毒特征文件和用戶登錄腳本，同時設置所有防病毒產品的更新服務從相關服務器中獲得更新文件。客戶端計算機硬件配置標