一、網(wǎng)絡(luò)狀況分析
某廠的辦公網(wǎng)采用三層結(jié)構(gòu),即以信息中心機(jī)房交換機(jī)為核心層、各個(gè)分廠和處室機(jī)房的交換機(jī)為匯聚層,各分廠辦公室的交換機(jī)為接入層。網(wǎng)絡(luò)核心設(shè)備為H3CS7506R,下掛各層S3000S3600 交換機(jī),接入終端節(jié)點(diǎn)。另外,企業(yè)辦公網(wǎng)中的服務(wù)器,例如FTP 服務(wù)器、網(wǎng)站服務(wù)器、運(yùn)維服務(wù)器,數(shù)據(jù)庫服務(wù)器等等都聯(lián)接核心交換機(jī)S7506R,下層的終端節(jié)點(diǎn),可根據(jù)權(quán)限訪問服務(wù)器。
二、網(wǎng)絡(luò)安全分析
某廠的企業(yè)辦公網(wǎng)絡(luò)按照服務(wù)類型分為40 個(gè)子網(wǎng),即企業(yè)辦公子網(wǎng)、各個(gè)分廠和處室的子網(wǎng),互聯(lián)網(wǎng)等。各個(gè)子網(wǎng)有各自的安全等級(jí)和安全策略,可根據(jù)需求選擇是否互聯(lián)。下面對(duì)各子網(wǎng)的安全策略根據(jù)安全等級(jí)由高到低順序進(jìn)行說明。
(一)企業(yè)辦公網(wǎng)。(1)與其他各個(gè)分廠和處室的子網(wǎng)物理隔離;(2)與互聯(lián)網(wǎng)物理隔離;(3)嚴(yán)格的身份認(rèn)證和訪問控制策略;(4)病毒入侵防護(hù),部署殺毒、防毒系統(tǒng)。
(二)各分廠和處室的子網(wǎng)。主要分為2 個(gè)管理方式,其中重要敏感部門,比如人事處、設(shè)計(jì)部門、財(cái)務(wù)部門、規(guī)劃建設(shè)部門的子網(wǎng)參照以下:(1)與非密網(wǎng)物理隔離;(2)與其他各分廠和處室物理隔離;(3)與互聯(lián)網(wǎng)物理隔離;(4)形成信息孤島,只與本單位的各終端節(jié)點(diǎn)聯(lián)結(jié);(5)部署防毒、殺毒系統(tǒng)。另外以各個(gè)分廠,比如電裝分廠、機(jī)裝分廠、管加工分廠、生產(chǎn)管理部、生產(chǎn)保障部的子網(wǎng)參照以下:(1)與非密網(wǎng)聯(lián)結(jié)即和其他分廠互聯(lián);(2)與互聯(lián)網(wǎng)物理隔離;(3)部署防毒、殺毒措施。
(三)互聯(lián)網(wǎng)。(1)與非密網(wǎng)物理隔離;(2)部署防毒、殺毒措施。
三、網(wǎng)絡(luò)安全需求
企業(yè)辦公網(wǎng)安全需求主要有以下幾個(gè)方面:
(一)企業(yè)辦公網(wǎng)設(shè)備安全需求。辦公網(wǎng)內(nèi)的設(shè)備實(shí)體,如交換機(jī)、服務(wù)器、個(gè)人電腦等的管理存在安全隱患,如出現(xiàn)安全問題,將會(huì)造成較為嚴(yán)重的后果。公司辦公網(wǎng)核心設(shè)備和服務(wù)器在一個(gè)機(jī)房?jī)?nèi),均同時(shí)使用UPS。
(二)來自外部網(wǎng)絡(luò)的威脅。由于某廠企業(yè)辦公網(wǎng)與互聯(lián)網(wǎng)隔離,但是現(xiàn)在第三方工具層出不窮,3G 上網(wǎng)卡的設(shè)備比較普及,一些辦公網(wǎng)內(nèi)的終端用戶會(huì)與外部網(wǎng)連接,這些連接將集中威脅整個(gè)企業(yè)辦公網(wǎng)的各個(gè)層,內(nèi)部系統(tǒng)很容易造成攻擊。
(三)服務(wù)器安全需求。某廠的信息中心部署了多臺(tái)服務(wù)器,采用數(shù)據(jù)集中部署的方式,各個(gè)分廠或者處室的子網(wǎng)數(shù)據(jù)全部集中在信息中心的服務(wù)器上。FTP 文件服務(wù)器、企業(yè)郵件服務(wù)器、數(shù)據(jù)庫服務(wù)器、網(wǎng)站服務(wù)器都將強(qiáng)制訪問控制,對(duì)用戶身份進(jìn)行鑒別強(qiáng)化。另外服務(wù)器端也會(huì)安裝審計(jì)軟件。
(四)病毒預(yù)防需求。在部署病毒軟件產(chǎn)品時(shí),要保證軟件的穩(wěn)定、高效、升級(jí)時(shí)效性,另外對(duì)系統(tǒng)資源消耗要盡可能的小。病毒在企業(yè)網(wǎng)中存儲(chǔ)、感染模式各不相同,提出層層設(shè)防、步步防御、集中管控,以防為主,防治結(jié)合的企業(yè)防毒策略。
(五)訪問控制需求。在企業(yè)辦公網(wǎng)中資源共享是必然的,所以用戶認(rèn)證非常重要。訪問控制是網(wǎng)絡(luò)安全防護(hù)的主要策略。它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法占用和訪問。訪問控制的技術(shù)也涉及很多方面,包括網(wǎng)絡(luò)權(quán)限設(shè)置、入網(wǎng)訪問設(shè)置、目錄級(jí)控制以及屬性控制等多個(gè)方面。
四、物理安全方案的實(shí)現(xiàn)
物理安全是指在物理介質(zhì)層次上對(duì)存儲(chǔ)和傳輸?shù)木W(wǎng)絡(luò)信息安全進(jìn)行安全保護(hù)。是網(wǎng)絡(luò)信息安全的基礎(chǔ)保障。建立物理安全體系應(yīng)該從自然災(zāi)害、物理損壞、設(shè)備故障、電磁輻射、操作失誤等層面考慮。完善信息中心機(jī)房管理制度。
《企業(yè)辦公網(wǎng)機(jī)房管理制度》主要的規(guī)定如下:(1)嚴(yán)格執(zhí)行門禁制度,未經(jīng)允許人員一律不得入內(nèi);(2)機(jī)房?jī)?nèi)禁止堆放雜物,保證整個(gè)機(jī)房?jī)?nèi)的整潔;(3)機(jī)房?jī)?nèi)的設(shè)備、供電線路必須由專人負(fù)責(zé);(4)規(guī)范配備滅火器材;(5)機(jī)房?jī)?nèi)禁止亂拉電源線;(6)機(jī)房?jī)?nèi)的溫度必須嚴(yán)格控制,18—25℃最為安全。
五、網(wǎng)絡(luò)結(jié)構(gòu)安全方案的實(shí)現(xiàn)
前面對(duì)辦公網(wǎng)在網(wǎng)絡(luò)設(shè)備方面存在的問題進(jìn)行了詳細(xì)的分析,并提出了相應(yīng)的解決方案。下面從細(xì)分網(wǎng)絡(luò)減小廣播域、利用防火墻減小外部威脅、加強(qiáng)通信訪問控制、加強(qiáng)網(wǎng)絡(luò)設(shè)備自身的安全性。
將辦公網(wǎng)的IP 地址段(172.16.x.x255.255.255.0)根據(jù)各部門在S7506R 上劃分為51-55 位不等的網(wǎng)段。S7506R 為每個(gè)部門分配一個(gè)vlan,并配置對(duì)應(yīng)。因?yàn)樯婕懊孛,所以舉例說明幾家單位處室對(duì)應(yīng)的Vlan 和IP。
在組網(wǎng)過程中,三層所有交換機(jī)都進(jìn)行網(wǎng)管,分別通過control 口和telnet 進(jìn)行管理。每臺(tái)交換機(jī)都有唯一的IP 地址。比如核心S7506R 的IP 地址為172.16.255.1255.255.255.0,居裝分廠的兩臺(tái)匯聚層或接入層的交換機(jī)IP 地址為172.16.255.22255.255.255.0 和172.16.255.23255.255.255.0。對(duì)公司各部門終端計(jì)算機(jī)分配了IP,各個(gè)分廠及處室都有獨(dú)立的IP 地址段,利用vlan 進(jìn)行隔離或者互通。
通過對(duì)企業(yè)辦公網(wǎng)內(nèi)的子網(wǎng)的定義和對(duì)Vlan 控制來限制子網(wǎng)間的接點(diǎn)通信。同時(shí),利用網(wǎng)關(guān)的安全控制能力,可以限制終端的通信、應(yīng)用服務(wù),并加強(qiáng)用戶識(shí)別和訪問控制。隨著企業(yè)員工與員工之間,各個(gè)部門之間,部門與員工之間的信息交互越來越頻繁,信息傳輸?shù)陌踩猿蔀橐粋(gè)重要問題,共享的信息必須保證安全性,以防止有意、無意的破壞。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:企業(yè)辦公網(wǎng)的分析與組建
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/10839412364.html