一、項目背景
1、企業(yè)網(wǎng)絡安全現(xiàn)狀
某集團企業(yè)各公司分布于三個工業(yè)園區(qū):總部G、工業(yè)園H及工業(yè)園K,這三個園區(qū)網(wǎng)絡相互獨立,各自建有內部局域網(wǎng),并有單獨的公網(wǎng)出口。隨著企業(yè)信息化項目建設的需要,現(xiàn)有網(wǎng)絡已無法滿足對數(shù)據(jù)安全的需要,問題主要體現(xiàn)在以下幾個方面:
(1)各個工業(yè)園區(qū)互相獨立,網(wǎng)絡資源沒有得到充分的利用,對通過網(wǎng)絡傳輸?shù)纳婷軘?shù)據(jù)無加密措施;
(2)各個工業(yè)園區(qū)未部署專業(yè)防火墻進行網(wǎng)絡防護,易受網(wǎng)絡攻擊和非法入侵,給網(wǎng)絡安全埋下隱患;
(3)各個工業(yè)園區(qū)均未實現(xiàn)對終端用戶電腦的統(tǒng)一管理,用戶可隨意修改注冊表、對文檔進行拷貝及添加刪除軟件,也無法限制用戶對終端電腦硬件的拔插及更換,使得涉密數(shù)據(jù)易于流出;
(4)各個工業(yè)園區(qū)均未實現(xiàn)對員工網(wǎng)絡行為的有效管理,個別員工的網(wǎng)絡行為可能會給企業(yè)帶來不好的影響,如網(wǎng)絡泄密、辦公時間玩網(wǎng)絡游戲、BT下載吞噬網(wǎng)絡帶寬等;
(5)集團公司未部署統(tǒng)一的防病毒軟件或設備,各個工業(yè)園區(qū)網(wǎng)絡也沒有進行VLAN劃分,無法及時有效的阻止病毒的傳播和對病毒進行查殺,無法抑制網(wǎng)絡廣播風暴的形成,極易因個別設備故障或終端用戶的不當操作造成整個網(wǎng)絡癱瘓。
2、需求分析
隨著網(wǎng)絡信息技術的發(fā)展,越來越多的企業(yè)利用信息技術來提高自身的行業(yè)競爭力,以便于在充滿競爭的市場中取得先機。隨著企業(yè)的進一步發(fā)展,對企業(yè)信息化建設有了更深的需求,企業(yè)的快速發(fā)展離不開高效的現(xiàn)代化管理與網(wǎng)絡信息化的應用。
根據(jù)企業(yè)網(wǎng)絡現(xiàn)狀,結合考慮信息化建設的需要,本次網(wǎng)絡安全規(guī)劃主要涉及到以下五個方面:網(wǎng)絡互聯(lián)互通、網(wǎng)絡安全與防御、病毒防護、終端安全管理、上網(wǎng)行為管理。
3、建設原則
(1)可靠性與安全性
網(wǎng)絡系統(tǒng)的穩(wěn)定可靠是應用系統(tǒng)正常運行的關鍵保證,通過虛擬專用網(wǎng)絡(VPN)技術、加密、防火墻等技術,并制訂統(tǒng)一的骨干網(wǎng)安全策略,整體考慮網(wǎng)絡平臺的安全性。
(2)技術先進性和實用性
保證滿足應用系統(tǒng)業(yè)務的同時,又要體現(xiàn)出網(wǎng)絡系統(tǒng)的先進性。在網(wǎng)絡設計中要把先進的技術與現(xiàn)有的成熟技術和標準結合起來,充分考慮到企業(yè)網(wǎng)絡應用的現(xiàn)狀和未來發(fā)展趨勢。
(3)標準開放性
支持國際上通用標準的網(wǎng)絡協(xié)議、國際標準的大型的動態(tài)路由協(xié)議等開放協(xié)議,有利于保證與其它網(wǎng)絡之間的平滑連接互通,以及將來網(wǎng)絡的擴展。
(4)靈活性及可擴展性
根據(jù)未來業(yè)務的增長和變化,網(wǎng)絡可以平滑地擴容和升級,并在擴容和升級過程中最大程度的減少對網(wǎng)絡架構和現(xiàn)有設備的調整。
(5)可管理性
對網(wǎng)絡實行集中監(jiān)測、分權管理,并統(tǒng)一分配帶寬資源。選用先進的網(wǎng)絡管理平臺,具有對設備、端口等的管理、流量統(tǒng)計分析,及可提供故障自動報警。
(6)經(jīng)濟性
采用先進、合理、實用的技術方案,配置性能價格比最佳的設備。
二、網(wǎng)絡安全規(guī)劃方案
1、網(wǎng)絡安全規(guī)劃
結合企業(yè)整體網(wǎng)絡需求,在原有的網(wǎng)絡架構基礎上增加防火墻、核心交換機、上網(wǎng)行為管理系統(tǒng)、網(wǎng)絡殺毒系統(tǒng)、內網(wǎng)管控系統(tǒng),以搭建一個“高效的、安全的、可用的、可擴展的、可管理”的信息化網(wǎng)絡平臺。
規(guī)劃后的網(wǎng)絡拓撲結構如下圖所示:
2、規(guī)劃方案說明
(1)防火墻:在各個園區(qū)各部署一臺硬件防火墻,用于抵御外部的攻擊,保障網(wǎng)絡的穩(wěn)定,保護公司內部運行的應用系統(tǒng)的安全性,也要滿足企業(yè)未來信息化建設的需要,保障業(yè)務的正常運行。
該設備集成專業(yè)的VPN功能,通過VPN功能可使三個工業(yè)園區(qū)互聯(lián)形成一個大的局域網(wǎng),而集團的各種核心數(shù)據(jù)通過VPN加密傳輸,保證數(shù)據(jù)的完整性、保密性和準確性,同時出差用戶可通過VPN撥入公司內網(wǎng)。
(2)核心交換機:在各個園區(qū)各部署一臺核心交換機,以保證網(wǎng)絡主干的可靠性和穩(wěn)定性,為網(wǎng)絡中同時運行的多種應用與服務提供強有力的服務質量保障;在核心交換上劃分虛擬局域網(wǎng)(VLAN),將增強局域網(wǎng)的安全性,含有敏感數(shù)據(jù)的用戶組可與網(wǎng)絡的其余部分隔離,從而降低泄露機密信息的可能性,也可有效的防范廣播風暴的形成。
(3)上網(wǎng)行為管理:在各個園區(qū)各部署一臺上網(wǎng)行為管理設備,規(guī)范員工的上網(wǎng)行為。防止員工在上班時間進行對等網(wǎng)絡(P2P)下載、玩網(wǎng)絡游戲等影響網(wǎng)絡穩(wěn)定及工作效率的行為,同樣防止員工利用公司網(wǎng)絡發(fā)表非法言論,給公司帶來不好的影響。
(4)網(wǎng)絡版殺毒軟件:在總部部署一臺服務器,安裝殺毒軟件服務器端程序,在各個園區(qū)終端用戶電腦上安裝殺毒軟件的客戶端。網(wǎng)絡版殺毒軟件在滿足對病毒防范的同時,做到統(tǒng)一管理,保證病毒庫的及時升級。
(5)內網(wǎng)管理系統(tǒng):在總部部署一臺內網(wǎng)管理系統(tǒng)服務器,各個園區(qū)終端電腦安裝內網(wǎng)管理軟件的客戶端。通過內網(wǎng)管理系統(tǒng)實現(xiàn)個人計算機(PC)資源的統(tǒng)一管理,應用程序控制,禁止用戶隨意安裝卸載軟件,禁止用戶隨意修改注冊表和IP地址等,監(jiān)控終端機上的企業(yè)核心數(shù)據(jù)流轉方向(移動存儲、即時聊天傳輸、郵件、網(wǎng)站上傳等等),可對終端機進行安全等級審計(病毒庫升級、操作系統(tǒng)漏洞補丁等),加密控制,硬件改動報警(換內存、換硬盤、換CPU等給企業(yè)帶來損失)。
3、方案綜述
在保持各個園區(qū)現(xiàn)有網(wǎng)絡架構的基礎上,充分利用園區(qū)現(xiàn)有網(wǎng)絡資源和設備,通過VPN模式實現(xiàn)各個園區(qū)的互聯(lián)互通,為后期信息化建設搭建一個統(tǒng)一運行平臺,也保證了分廠工業(yè)園區(qū)與總部之間核心數(shù)據(jù)交換的安全性,對外網(wǎng)的訪問仍通過本地出口,避免VPN通道因數(shù)據(jù)流量過多造成阻塞。
總部的網(wǎng)絡殺毒軟件服務器定期將最新病毒庫通過VPN向各園區(qū)終端電腦進行推送,如果VPN通道擁擠,終端也可通過本地公網(wǎng)出口進行聯(lián)網(wǎng)升級,及時、有效的防止病毒感染和傳播。
上網(wǎng)行為管理和內網(wǎng)管控系統(tǒng),從內外網(wǎng)兩方面雙重規(guī)范終端用戶行為,保證了公司核心、關鍵數(shù)據(jù)的安全,提高了網(wǎng)絡資源的有效利用率,也提升了員工的工作效率。
本方案根據(jù)企業(yè)的網(wǎng)絡安全及內、外網(wǎng)管控需求,構建了一個以網(wǎng)絡信息安全為中心的高效的、安全的、可用的、可擴展的、可管理的信息網(wǎng)絡。
三、結束語
通過本次網(wǎng)絡升級改造,實現(xiàn)了從終端計算機安全到最終的核心層網(wǎng)絡安全以及外地用戶遠程訪問安全,為未來公司網(wǎng)絡建設、生產(chǎn)信息化、辦公自動化、集團信息化管控、虛擬化、物聯(lián)網(wǎng)和云計算等打下了良好的基礎,取得了很好的效果。網(wǎng)絡和信息安全是并非一勞永逸,需要我們在以后的工作中不斷學習,不斷改進,爭取最大化的實現(xiàn)網(wǎng)絡與信息的安全運行,為企業(yè)信息化項目建設提供一個堅實的平臺。
核心關注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理,全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域,是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標題:多廠區(qū)企業(yè)網(wǎng)絡安全規(guī)劃與設計
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/10839512014.html