一、項目背景

　　1、企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀

　　某集團(tuán)企業(yè)各公司分布于三個工業(yè)園區(qū)：總部G、工業(yè)園H及工業(yè)園K，這三個園區(qū)網(wǎng)絡(luò)相互獨立，各自建有內(nèi)部局域網(wǎng)，并有單獨的公網(wǎng)出口。隨著企業(yè)信息化項目建設(shè)的需要，現(xiàn)有網(wǎng)絡(luò)已無法滿足對數(shù)據(jù)安全的需要，問題主要體現(xiàn)在以下幾個方面：

　　(1)各個工業(yè)園區(qū)互相獨立，網(wǎng)絡(luò)資源沒有得到充分的利用，對通過網(wǎng)絡(luò)傳輸?shù)纳婷軘?shù)據(jù)無加密措施；

　　(2)各個工業(yè)園區(qū)未部署專業(yè)防火墻進(jìn)行網(wǎng)絡(luò)防護(hù)，易受網(wǎng)絡(luò)攻擊和非法入侵，給網(wǎng)絡(luò)安全埋下隱患；

　　(3)各個工業(yè)園區(qū)均未實現(xiàn)對終端用戶電腦的統(tǒng)一管理，用戶可隨意修改注冊表、對文檔進(jìn)行拷貝及添加刪除軟件，也無法限制用戶對終端電腦硬件的拔插及更換，使得涉密數(shù)據(jù)易于流出；

　　(4)各個工業(yè)園區(qū)均未實現(xiàn)對員工網(wǎng)絡(luò)行為的有效管理，個別員工的網(wǎng)絡(luò)行為可能會給企業(yè)帶來不好的影響，如網(wǎng)絡(luò)泄密、辦公時間玩網(wǎng)絡(luò)游戲、BT下載吞噬網(wǎng)絡(luò)帶寬等；

　　(5)集團(tuán)公司未部署統(tǒng)一的防病毒軟件或設(shè)備，各個工業(yè)園區(qū)網(wǎng)絡(luò)也沒有進(jìn)行VLAN劃分，無法及時有效的阻止病毒的傳播和對病毒進(jìn)行查殺，無法抑制網(wǎng)絡(luò)廣播風(fēng)暴的形成，極易因個別設(shè)備故障或終端用戶的不當(dāng)操作造成整個網(wǎng)絡(luò)癱瘓。

　　2、需求分析

　　隨著網(wǎng)絡(luò)信息技術(shù)的發(fā)展，越來越多的企業(yè)利用信息技術(shù)來提高自身的行業(yè)競爭力，以便于在充滿競爭的市場中取得先機(jī)。隨著企業(yè)的進(jìn)一步發(fā)展，對企業(yè)信息化建設(shè)有了更深的需求，企業(yè)的快速發(fā)展離不開高效的現(xiàn)代化管理與網(wǎng)絡(luò)信息化的應(yīng)用。

　　根據(jù)企業(yè)網(wǎng)絡(luò)現(xiàn)狀，結(jié)合考慮信息化建設(shè)的需要，本次網(wǎng)絡(luò)安全規(guī)劃主要涉及到以下五個方面：網(wǎng)絡(luò)互聯(lián)互通、網(wǎng)絡(luò)安全與防御、病毒防護(hù)、終端安全管理、上網(wǎng)行為管理。

　　3、建設(shè)原則

　　(1)可靠性與安全性

　　網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定可靠是應(yīng)用系統(tǒng)正常運行的關(guān)鍵保證，通過虛擬專用網(wǎng)絡(luò)(VPN)技術(shù)、加密、防火墻等技術(shù)，并制訂統(tǒng)一的骨干網(wǎng)安全策略，整體考慮網(wǎng)絡(luò)平臺的安全性。

　　(2)技術(shù)先進(jìn)性和實用性

　　保證滿足應(yīng)用系統(tǒng)業(yè)務(wù)的同時，又要體現(xiàn)出網(wǎng)絡(luò)系統(tǒng)的先進(jìn)性。在網(wǎng)絡(luò)設(shè)計中要把先進(jìn)的技術(shù)與現(xiàn)有的成熟技術(shù)和標(biāo)準(zhǔn)結(jié)合起來，充分考慮到企業(yè)網(wǎng)絡(luò)應(yīng)用的現(xiàn)狀和未來發(fā)展趨勢。

　　(3)標(biāo)準(zhǔn)開放性

　　支持國際上通用標(biāo)準(zhǔn)的網(wǎng)絡(luò)協(xié)議、國際標(biāo)準(zhǔn)的大型的動態(tài)路由協(xié)議等開放協(xié)議，有利于保證與其它網(wǎng)絡(luò)之間的平滑連接互通，以及將來網(wǎng)絡(luò)的擴(kuò)展。

　　(4)靈活性及可擴(kuò)展性

　　根據(jù)未來業(yè)務(wù)的增長和變化，網(wǎng)絡(luò)可以平滑地擴(kuò)容和升級，并在擴(kuò)容和升級過程中最大程度的減少對網(wǎng)絡(luò)架構(gòu)和現(xiàn)有設(shè)備的調(diào)整。

　　(5)可管理性

　　對網(wǎng)絡(luò)實行集中監(jiān)測、分權(quán)管理，并統(tǒng)一分配帶寬資源。選用先進(jìn)的網(wǎng)絡(luò)管理平臺，具有對設(shè)備、端口等的管理、流量統(tǒng)計分析，及可提供故障自動報警。

　　(6)經(jīng)濟(jì)性

　　采用先進(jìn)、合理、實用的技術(shù)方案，配置性能價格比最佳的設(shè)備。

　　二、網(wǎng)絡(luò)安全規(guī)劃方案

　　1、網(wǎng)絡(luò)安全規(guī)劃

　　結(jié)合企業(yè)整體網(wǎng)絡(luò)需求，在原有的網(wǎng)絡(luò)架構(gòu)基礎(chǔ)上增加防火墻、核心交換機(jī)、上網(wǎng)行為管理系統(tǒng)、網(wǎng)絡(luò)殺毒系統(tǒng)、內(nèi)網(wǎng)管控系統(tǒng)，以搭建一個“高效的、安全的、可用的、可擴(kuò)展的、可管理”的信息化網(wǎng)絡(luò)平臺。

　　規(guī)劃后的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如下圖所示：
 

　　2、規(guī)劃方案說明

　　(1)防火墻：在各個園區(qū)各部署一臺硬件防火墻，用于抵御外部的攻擊，保障網(wǎng)絡(luò)的穩(wěn)定，保護(hù)公司內(nèi)部運行的應(yīng)用系統(tǒng)的安全性，也要滿足企業(yè)未來信息化建設(shè)的需要，保障業(yè)務(wù)的正常運行。

　　該設(shè)備集成專業(yè)的VPN功能，通過VPN功能可使三個工業(yè)園區(qū)互聯(lián)形成一個大的局域網(wǎng)，而集團(tuán)的各種核心數(shù)據(jù)通過VPN加密傳輸，保證數(shù)據(jù)的完整性、保密性和準(zhǔn)確性，同時出差用戶可通過VPN撥入公司內(nèi)網(wǎng)。

　　(2)核心交換機(jī)：在各個園區(qū)各部署一臺核心交換機(jī)，以保證網(wǎng)絡(luò)主干的可靠性和穩(wěn)定性，為網(wǎng)絡(luò)中同時運行的多種應(yīng)用與服務(wù)提供強(qiáng)有力的服務(wù)質(zhì)量保障；在核心交換上劃分虛擬局域網(wǎng)(VLAN)，將增強(qiáng)局域網(wǎng)的安全性，含有敏感數(shù)據(jù)的用戶組可與網(wǎng)絡(luò)的其余部分隔離，從而降低泄露機(jī)密信息的可能性，也可有效的防范廣播風(fēng)暴的形成。

　　(3)上網(wǎng)行為管理：在各個園區(qū)各部署一臺上網(wǎng)行為管理設(shè)備，規(guī)范員工的上網(wǎng)行為。防止員工在上班時間進(jìn)行對等網(wǎng)絡(luò)(P2P)下載、玩網(wǎng)絡(luò)游戲等影響網(wǎng)絡(luò)穩(wěn)定及工作效率的行為，同樣防止員工利用公司網(wǎng)絡(luò)發(fā)表非法言論，給公司帶來不好的影響。

　　(4)網(wǎng)絡(luò)版殺毒軟件：在總部部署一臺服務(wù)器，安裝殺毒軟件服務(wù)器端程序，在各個園區(qū)終端用戶電腦上安裝殺毒軟件的客戶端。網(wǎng)絡(luò)版殺毒軟件在滿足對病毒防范的同時，做到統(tǒng)一管理，保證病毒庫的及時升級。

　　(5)內(nèi)網(wǎng)管理系統(tǒng)：在總部部署一臺內(nèi)網(wǎng)管理系統(tǒng)服務(wù)器，各個園區(qū)終端電腦安裝內(nèi)網(wǎng)管理軟件的客戶端。通過內(nèi)網(wǎng)管理系統(tǒng)實現(xiàn)個人計算機(jī)(PC)資源的統(tǒng)一管理，應(yīng)用程序控制，禁止用戶隨意安裝卸載軟件，禁止用戶隨意修改注冊表和IP地址等，監(jiān)控終端機(jī)上的企業(yè)核心數(shù)據(jù)流轉(zhuǎn)方向(移動存儲、即時聊天傳輸、郵件、網(wǎng)站上傳等等)，可對終端機(jī)進(jìn)行安全等級審計(病毒庫升級、操作系統(tǒng)漏洞補(bǔ)丁等)，加密控制，硬件改動報警(換內(nèi)存、換硬盤、換CPU等給企業(yè)帶來損失)。

　　3、方案綜述

　　在保持各個園區(qū)現(xiàn)有網(wǎng)絡(luò)架構(gòu)的基礎(chǔ)上，充分利用園區(qū)現(xiàn)有網(wǎng)絡(luò)資源和設(shè)備，通過VPN模式實現(xiàn)各個園區(qū)的互聯(lián)互通，為后期信息化建設(shè)搭建一個統(tǒng)一運行平臺，也保證了分廠工業(yè)園區(qū)與總部之間核心數(shù)據(jù)交換的安全性，對外網(wǎng)的訪問仍通過本地出口，避免VPN通道因數(shù)據(jù)流量過多造成阻塞。

　　總部的網(wǎng)絡(luò)殺毒軟件服務(wù)器定期將最新病毒庫通過VPN向各園區(qū)終端電腦進(jìn)行推送，如果VPN通道擁擠，終端也可通過本地公網(wǎng)出口進(jìn)行聯(lián)網(wǎng)升級，及時、有效的防止病毒感染和傳播。

　　上網(wǎng)行為管理和內(nèi)網(wǎng)管控系統(tǒng)，從內(nèi)外網(wǎng)兩方面雙重規(guī)范終端用戶行為，保證了公司核心、關(guān)鍵數(shù)據(jù)的安全，提高了網(wǎng)絡(luò)資源的有效利用率，也提升了員工的工作效率。

　　本方案根據(jù)企業(yè)的網(wǎng)絡(luò)安全及內(nèi)、外網(wǎng)管控需求，構(gòu)建了一個以網(wǎng)絡(luò)信息安全為中心的高效的、安全的、可用的、可擴(kuò)展的、可管理的信息網(wǎng)絡(luò)。

　　三、結(jié)束語

　　通過本次網(wǎng)絡(luò)升級改造，實現(xiàn)了從終端計算機(jī)安全到最終的核心層網(wǎng)絡(luò)安全以及外地用戶遠(yuǎn)程訪問安全，為未來公司網(wǎng)絡(luò)建設(shè)、生產(chǎn)信息化、辦公自動化、集團(tuán)信息化管控、虛擬化、物聯(lián)網(wǎng)和云計算等打下了良好的基礎(chǔ)，取得了很好的效果。網(wǎng)絡(luò)和信息安全是并非一勞永逸，需要我們在以后的工作中不斷學(xué)習(xí)，不斷改進(jìn)，爭取最大化的實現(xiàn)網(wǎng)絡(luò)與信息的安全運行，為企業(yè)信息化項目建設(shè)提供一個堅實的平臺。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://m.guhuozai8.cn/

本文標(biāo)題：多廠區(qū)企業(yè)網(wǎng)絡(luò)安全規(guī)劃與設(shè)計

本文網(wǎng)址：http://m.guhuozai8.cn/html/consultation/10839512014.html