一、項(xiàng)目背景

　　1、企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀

　　某集團(tuán)企業(yè)各公司分布于三個(gè)工業(yè)園區(qū)：總部G、工業(yè)園H及工業(yè)園K，這三個(gè)園區(qū)網(wǎng)絡(luò)相互獨(dú)立，各自建有內(nèi)部局域網(wǎng)，并有單獨(dú)的公網(wǎng)出口。隨著企業(yè)信息化項(xiàng)目建設(shè)的需要，現(xiàn)有網(wǎng)絡(luò)已無(wú)法滿(mǎn)足對(duì)數(shù)據(jù)安全的需要，問(wèn)題主要體現(xiàn)在以下幾個(gè)方面：

　　(1)各個(gè)工業(yè)園區(qū)互相獨(dú)立，網(wǎng)絡(luò)資源沒(méi)有得到充分的利用，對(duì)通過(guò)網(wǎng)絡(luò)傳輸?shù)纳婷軘?shù)據(jù)無(wú)加密措施；

　　(2)各個(gè)工業(yè)園區(qū)未部署專(zhuān)業(yè)防火墻進(jìn)行網(wǎng)絡(luò)防護(hù)，易受網(wǎng)絡(luò)攻擊和非法入侵，給網(wǎng)絡(luò)安全埋下隱患；

　　(3)各個(gè)工業(yè)園區(qū)均未實(shí)現(xiàn)對(duì)終端用戶(hù)電腦的統(tǒng)一管理，用戶(hù)可隨意修改注冊(cè)表、對(duì)文檔進(jìn)行拷貝及添加刪除軟件，也無(wú)法限制用戶(hù)對(duì)終端電腦硬件的拔插及更換，使得涉密數(shù)據(jù)易于流出；

　　(4)各個(gè)工業(yè)園區(qū)均未實(shí)現(xiàn)對(duì)員工網(wǎng)絡(luò)行為的有效管理，個(gè)別員工的網(wǎng)絡(luò)行為可能會(huì)給企業(yè)帶來(lái)不好的影響，如網(wǎng)絡(luò)泄密、辦公時(shí)間玩網(wǎng)絡(luò)游戲、BT下載吞噬網(wǎng)絡(luò)帶寬等；

　　(5)集團(tuán)公司未部署統(tǒng)一的防病毒軟件或設(shè)備，各個(gè)工業(yè)園區(qū)網(wǎng)絡(luò)也沒(méi)有進(jìn)行VLAN劃分，無(wú)法及時(shí)有效的阻止病毒的傳播和對(duì)病毒進(jìn)行查殺，無(wú)法抑制網(wǎng)絡(luò)廣播風(fēng)暴的形成，極易因個(gè)別設(shè)備故障或終端用戶(hù)的不當(dāng)操作造成整個(gè)網(wǎng)絡(luò)癱瘓。

　　2、需求分析

　　隨著網(wǎng)絡(luò)信息技術(shù)的發(fā)展，越來(lái)越多的企業(yè)利用信息技術(shù)來(lái)提高自身的行業(yè)競(jìng)爭(zhēng)力，以便于在充滿(mǎn)競(jìng)爭(zhēng)的市場(chǎng)中取得先機(jī)。隨著企業(yè)的進(jìn)一步發(fā)展，對(duì)企業(yè)信息化建設(shè)有了更深的需求，企業(yè)的快速發(fā)展離不開(kāi)高效的現(xiàn)代化管理與網(wǎng)絡(luò)信息化的應(yīng)用。

　　根據(jù)企業(yè)網(wǎng)絡(luò)現(xiàn)狀，結(jié)合考慮信息化建設(shè)的需要，本次網(wǎng)絡(luò)安全規(guī)劃主要涉及到以下五個(gè)方面：網(wǎng)絡(luò)互聯(lián)互通、網(wǎng)絡(luò)安全與防御、病毒防護(hù)、終端安全管理、上網(wǎng)行為管理。

　　3、建設(shè)原則

　　(1)可靠性與安全性

　　網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定可靠是應(yīng)用系統(tǒng)正常運(yùn)行的關(guān)鍵保證，通過(guò)虛擬專(zhuān)用網(wǎng)絡(luò)(VPN)技術(shù)、加密、防火墻等技術(shù)，并制訂統(tǒng)一的骨干網(wǎng)安全策略，整體考慮網(wǎng)絡(luò)平臺(tái)的安全性。

　　(2)技術(shù)先進(jìn)性和實(shí)用性

　　保證滿(mǎn)足應(yīng)用系統(tǒng)業(yè)務(wù)的同時(shí)，又要體現(xiàn)出網(wǎng)絡(luò)系統(tǒng)的先進(jìn)性。在網(wǎng)絡(luò)設(shè)計(jì)中要把先進(jìn)的技術(shù)與現(xiàn)有的成熟技術(shù)和標(biāo)準(zhǔn)結(jié)合起來(lái)，充分考慮到企業(yè)網(wǎng)絡(luò)應(yīng)用的現(xiàn)狀和未來(lái)發(fā)展趨勢(shì)。

　　(3)標(biāo)準(zhǔn)開(kāi)放性

　　支持國(guó)際上通用標(biāo)準(zhǔn)的網(wǎng)絡(luò)協(xié)議、國(guó)際標(biāo)準(zhǔn)的大型的動(dòng)態(tài)路由協(xié)議等開(kāi)放協(xié)議，有利于保證與其它網(wǎng)絡(luò)之間的平滑連接互通，以及將來(lái)網(wǎng)絡(luò)的擴(kuò)展。

　　(4)靈活性及可擴(kuò)展性

　　根據(jù)未來(lái)業(yè)務(wù)的增長(zhǎng)和變化，網(wǎng)絡(luò)可以平滑地?cái)U(kuò)容和升級(jí)，并在擴(kuò)容和升級(jí)過(guò)程中最大程度的減少對(duì)網(wǎng)絡(luò)架構(gòu)和現(xiàn)有設(shè)備的調(diào)整。

　　(5)可管理性

　　對(duì)網(wǎng)絡(luò)實(shí)行集中監(jiān)測(cè)、分權(quán)管理，并統(tǒng)一分配帶寬資源。選用先進(jìn)的網(wǎng)絡(luò)管理平臺(tái)，具有對(duì)設(shè)備、端口等的管理、流量統(tǒng)計(jì)分析，及可提供故障自動(dòng)報(bào)警。

　　(6)經(jīng)濟(jì)性

　　采用先進(jìn)、合理、實(shí)用的技術(shù)方案，配置性能價(jià)格比最佳的設(shè)備。

　　二、網(wǎng)絡(luò)安全規(guī)劃方案

　　1、網(wǎng)絡(luò)安全規(guī)劃

　　結(jié)合企業(yè)整體網(wǎng)絡(luò)需求，在原有的網(wǎng)絡(luò)架構(gòu)基礎(chǔ)上增加防火墻、核心交換機(jī)、上網(wǎng)行為管理系統(tǒng)、網(wǎng)絡(luò)殺毒系統(tǒng)、內(nèi)網(wǎng)管控系統(tǒng)，以搭建一個(gè)“高效的、安全的、可用的、可擴(kuò)展的、可管理”的信息化網(wǎng)絡(luò)平臺(tái)。

　　規(guī)劃后的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如下圖所示：
 

　　2、規(guī)劃方案說(shuō)明

　　(1)防火墻：在各個(gè)園區(qū)各部署一臺(tái)硬件防火墻，用于抵御外部的攻擊，保障網(wǎng)絡(luò)的穩(wěn)定，保護(hù)公司內(nèi)部運(yùn)行的應(yīng)用系統(tǒng)的安全性，也要滿(mǎn)足企業(yè)未來(lái)信息化建設(shè)的需要，保障業(yè)務(wù)的正常運(yùn)行。

　　該設(shè)備集成專(zhuān)業(yè)的VPN功能，通過(guò)VPN功能可使三個(gè)工業(yè)園區(qū)互聯(lián)形成一個(gè)大的局域網(wǎng)，而集團(tuán)的各種核心數(shù)據(jù)通過(guò)VPN加密傳輸，保證數(shù)據(jù)的完整性、保密性和準(zhǔn)確性，同時(shí)出差用戶(hù)可通過(guò)VPN撥入公司內(nèi)網(wǎng)。

　　(2)核心交換機(jī)：在各個(gè)園區(qū)各部署一臺(tái)核心交換機(jī)，以保證網(wǎng)絡(luò)主干的可靠性和穩(wěn)定性，為網(wǎng)絡(luò)中同時(shí)運(yùn)行的多種應(yīng)用與服務(wù)提供強(qiáng)有力的服務(wù)質(zhì)量保障；在核心交換上劃分虛擬局域網(wǎng)(VLAN)，將增強(qiáng)局域網(wǎng)的安全性，含有敏感數(shù)據(jù)的用戶(hù)組可與網(wǎng)絡(luò)的其余部分隔離，從而降低泄露機(jī)密信息的可能性，也可有效的防范廣播風(fēng)暴的形成。

　　(3)上網(wǎng)行為管理：在各個(gè)園區(qū)各部署一臺(tái)上網(wǎng)行為管理設(shè)備，規(guī)范員工的上網(wǎng)行為。防止員工在上班時(shí)間進(jìn)行對(duì)等網(wǎng)絡(luò)(P2P)下載、玩網(wǎng)絡(luò)游戲等影響網(wǎng)絡(luò)穩(wěn)定及工作效率的行為，同樣防止員工利用公司網(wǎng)絡(luò)發(fā)表非法言論，給公司帶來(lái)不好的影響。

　　(4)網(wǎng)絡(luò)版殺毒軟件：在總部部署一臺(tái)服務(wù)器，安裝殺毒軟件服務(wù)器端程序，在各個(gè)園區(qū)終端用戶(hù)電腦上安裝殺毒軟件的客戶(hù)端。網(wǎng)絡(luò)版殺毒軟件在滿(mǎn)足對(duì)病毒防范的同時(shí)，做到統(tǒng)一管理，保證病毒庫(kù)的及時(shí)升級(jí)。

　　(5)內(nèi)網(wǎng)管理系統(tǒng)：在總部部署一臺(tái)內(nèi)網(wǎng)管理系統(tǒng)服務(wù)器，各個(gè)園區(qū)終端電腦安裝內(nèi)網(wǎng)管理軟件的客戶(hù)端。通過(guò)內(nèi)網(wǎng)管理系統(tǒng)實(shí)現(xiàn)個(gè)人計(jì)算機(jī)(PC)資源的統(tǒng)一管理，應(yīng)用程序控制，禁止用戶(hù)隨意安裝卸載軟件，禁止用戶(hù)隨意修改注冊(cè)表和IP地址等，監(jiān)控終端機(jī)上的企業(yè)核心數(shù)據(jù)流轉(zhuǎn)方向(移動(dòng)存儲(chǔ)、即時(shí)聊天傳輸、郵件、網(wǎng)站上傳等等)，可對(duì)終端機(jī)進(jìn)行安全等級(jí)審計(jì)(病毒庫(kù)升級(jí)、操作系統(tǒng)漏洞補(bǔ)丁等)，加密控制，硬件改動(dòng)報(bào)警(換內(nèi)存、換硬盤(pán)、換CPU等給企業(yè)帶來(lái)?yè)p失)。

　　3、方案綜述

　　在保持各個(gè)園區(qū)現(xiàn)有網(wǎng)絡(luò)架構(gòu)的基礎(chǔ)上，充分利用園區(qū)現(xiàn)有網(wǎng)絡(luò)資源和設(shè)備，通過(guò)VPN模式實(shí)現(xiàn)各個(gè)園區(qū)的互聯(lián)互通，為后期信息化建設(shè)搭建一個(gè)統(tǒng)一運(yùn)行平臺(tái)，也保證了分廠(chǎng)工業(yè)園區(qū)與總部之間核心數(shù)據(jù)交換的安全性，對(duì)外網(wǎng)的訪(fǎng)問(wèn)仍通過(guò)本地出口，避免VPN通道因數(shù)據(jù)流量過(guò)多造成阻塞。

　　總部的網(wǎng)絡(luò)殺毒軟件服務(wù)器定期將最新病毒庫(kù)通過(guò)VPN向各園區(qū)終端電腦進(jìn)行推送，如果VPN通道擁擠，終端也可通過(guò)本地公網(wǎng)出口進(jìn)行聯(lián)網(wǎng)升級(jí)，及時(shí)、有效的防止病毒感染和傳播。

　　上網(wǎng)行為管理和內(nèi)網(wǎng)管控系統(tǒng)，從內(nèi)外網(wǎng)兩方面雙重規(guī)范終端用戶(hù)行為，保證了公司核心、關(guān)鍵數(shù)據(jù)的安全，提高了網(wǎng)絡(luò)資源的有效利用率，也提升了員工的工作效率。

　　本方案根據(jù)企業(yè)的網(wǎng)絡(luò)安全及內(nèi)、外網(wǎng)管控需求，構(gòu)建了一個(gè)以網(wǎng)絡(luò)信息安全為中心的高效的、安全的、可用的、可擴(kuò)展的、可管理的信息網(wǎng)絡(luò)。

　　三、結(jié)束語(yǔ)

　　通過(guò)本次網(wǎng)絡(luò)升級(jí)改造，實(shí)現(xiàn)了從終端計(jì)算機(jī)安全到最終的核心層網(wǎng)絡(luò)安全以及外地用戶(hù)遠(yuǎn)程訪(fǎng)問(wèn)安全，為未來(lái)公司網(wǎng)絡(luò)建設(shè)、生產(chǎn)信息化、辦公自動(dòng)化、集團(tuán)信息化管控、虛擬化、物聯(lián)網(wǎng)和云計(jì)算等打下了良好的基礎(chǔ)，取得了很好的效果。網(wǎng)絡(luò)和信息安全是并非一勞永逸，需要我們?cè)谝院蟮墓ぷ髦胁粩鄬W(xué)習(xí)，不斷改進(jìn)，爭(zhēng)取最大化的實(shí)現(xiàn)網(wǎng)絡(luò)與信息的安全運(yùn)行，為企業(yè)信息化項(xiàng)目建設(shè)提供一個(gè)堅(jiān)實(shí)的平臺(tái)。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴(lài)品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標(biāo)題：多廠(chǎng)區(qū)企業(yè)網(wǎng)絡(luò)安全規(guī)劃與設(shè)計(jì)

本文網(wǎng)址：http://www.oesoe.com/html/consultation/10839512014.html