一、網絡狀況分析

　　某廠的辦公網采用三層結構，即以信息中心機房交換機為核心層、各個分廠和處室機房的交換機為匯聚層，各分廠辦公室的交換機為接入層。網絡核心設備為H3CS7506R，下掛各層S3000S3600 交換機，接入終端節點。另外，企業辦公網中的服務器，例如FTP 服務器、網站服務器、運維服務器，數據庫服務器等等都聯接核心交換機S7506R，下層的終端節點，可根據權限訪問服務器。

　　二、網絡安全分析

　　某廠的企業辦公網絡按照服務類型分為40 個子網，即企業辦公子網、各個分廠和處室的子網，互聯網等。各個子網有各自的安全等級和安全策略，可根據需求選擇是否互聯。下面對各子網的安全策略根據安全等級由高到低順序進行說明。

　　(一)企業辦公網。(1)與其他各個分廠和處室的子網物理隔離；(2)與互聯網物理隔離；(3)嚴格的身份認證和訪問控制策略；(4)病毒入侵防護，部署殺毒、防毒系統。

　　(二)各分廠和處室的子網。主要分為2 個管理方式，其中重要敏感部門，比如人事處、設計部門、財務部門、規劃建設部門的子網參照以下：(1)與非密網物理隔離；(2)與其他各分廠和處室物理隔離；(3)與互聯網物理隔離；(4)形成信息孤島，只與本單位的各終端節點聯結；(5)部署防毒、殺毒系統。另外以各個分廠，比如電裝分廠、機裝分廠、管加工分廠、生產管理部、生產保障部的子網參照以下：(1)與非密網聯結即和其他分廠互聯；(2)與互聯網物理隔離；(3)部署防毒、殺毒措施。

　　(三)互聯網。(1)與非密網物理隔離；(2)部署防毒、殺毒措施。

　　三、網絡安全需求

　　企業辦公網安全需求主要有以下幾個方面：

　　(一)企業辦公網設備安全需求。辦公網內的設備實體，如交換機、服務器、個人電腦等的管理存在安全隱患，如出現安全問題，將會造成較為嚴重的后果。公司辦公網核心設備和服務器在一個機房內，均同時使用UPS。

　　(二)來自外部網絡的威脅。由于某廠企業辦公網與互聯網隔離，但是現在第三方工具層出不窮，3G 上網卡的設備比較普及，一些辦公網內的終端用戶會與外部網連接，這些連接將集中威脅整個企業辦公網的各個層，內部系統很容易造成攻擊。

　　(三)服務器安全需求。某廠的信息中心部署了多臺服務器，采用數據集中部署的方式，各個分廠或者處室的子網數據全部集中在信息中心的服務器上。FTP 文件服務器、企業郵件服務器、數據庫服務器、網站服務器都將強制訪問控制，對用戶身份進行鑒別強化。另外服務器端也會安裝審計軟件。

　　(四)病毒預防需求。在部署病毒軟件產品時，要保證軟件的穩定、高效、升級時效性，另外對系統資源消耗要盡可能的小。病毒在企業網中存儲、感染模式各不相同，提出層層設防、步步防御、集中管控，以防為主，防治結合的企業防毒策略。

　　(五)訪問控制需求。在企業辦公網中資源共享是必然的，所以用戶認證非常重要。訪問控制是網絡安全防護的主要策略。它的主要任務是保證網絡資源不被非法占用和訪問。訪問控制的技術也涉及很多方面，包括網絡權限設置、入網訪問設置、目錄級控制以及屬性控制等多個方面。

　　四、物理安全方案的實現

　　物理安全是指在物理介質層次上對存儲和傳輸的網絡信息安全進行安全保護。是網絡信息安全的基礎保障。建立物理安全體系應該從自然災害、物理損壞、設備故障、電磁輻射、操作失誤等層面考慮。完善信息中心機房管理制度。

　　《企業辦公網機房管理制度》主要的規定如下：(1)嚴格執行門禁制度，未經允許人員一律不得入內；(2)機房內禁止堆放雜物，保證整個機房內的整潔；(3)機房內的設備、供電線路必須由專人負責；(4)規范配備滅火器材；(5)機房內禁止亂拉電源線；(6)機房內的溫度必須嚴格控制，18—25℃最為安全。

　　五、網絡結構安全方案的實現

　　前面對辦公網在網絡設備方面存在的問題進行了詳細的分析，并提出了相應的解決方案。下面從細分網絡減小廣播域、利用防火墻減小外部威脅、加強通信訪問控制、加強網絡設備自身的安全性。

　　將辦公網的IP 地址段(172.16.x.x255.255.255.0)根據各部門在S7506R 上劃分為51-55 位不等的網段。S7506R 為每個部門分配一個vlan，并配置對應。因為涉及秘密，所以舉例說明幾家單位處室對應的Vlan 和IP。
 

　　在組網過程中，三層所有交換機都進行網管，分別通過control 口和telnet 進行管理。每臺交換機都有唯一的IP 地址。比如核心S7506R 的IP 地址為172.16.255.1255.255.255.0，居裝分廠的兩臺匯聚層或接入層的交換機IP 地址為172.16.255.22255.255.255.0 和172.16.255.23255.255.255.0。對公司各部門終端計算機分配了IP，各個分廠及處室都有獨立的IP 地址段，利用vlan 進行隔離或者互通。

　　通過對企業辦公網內的子網的定義和對Vlan 控制來限制子網間的接點通信。同時，利用網關的安全控制能力，可以限制終端的通信、應用服務，并加強用戶識別和訪問控制。隨著企業員工與員工之間，各個部門之間，部門與員工之間的信息交互越來越頻繁，信息傳輸的安全性成為一個重要問題，共享的信息必須保證安全性，以防止有意、無意的破壞。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://m.guhuozai8.cn/

本文標題：企業辦公網的分析與組建

本文網址：http://m.guhuozai8.cn/html/consultation/10839412364.html