一、項目背景
1、企業(yè)網絡安全現狀
某集團企業(yè)各公司分布于三個工業(yè)園區(qū):總部G、工業(yè)園H及工業(yè)園K,這三個園區(qū)網絡相互獨立,各自建有內部局域網,并有單獨的公網出口。隨著企業(yè)信息化項目建設的需要,現有網絡已無法滿足對數據安全的需要,問題主要體現在以下幾個方面:
(1)各個工業(yè)園區(qū)互相獨立,網絡資源沒有得到充分的利用,對通過網絡傳輸的涉密數據無加密措施;
(2)各個工業(yè)園區(qū)未部署專業(yè)防火墻進行網絡防護,易受網絡攻擊和非法入侵,給網絡安全埋下隱患;
(3)各個工業(yè)園區(qū)均未實現對終端用戶電腦的統(tǒng)一管理,用戶可隨意修改注冊表、對文檔進行拷貝及添加刪除軟件,也無法限制用戶對終端電腦硬件的拔插及更換,使得涉密數據易于流出;
(4)各個工業(yè)園區(qū)均未實現對員工網絡行為的有效管理,個別員工的網絡行為可能會給企業(yè)帶來不好的影響,如網絡泄密、辦公時間玩網絡游戲、BT下載吞噬網絡帶寬等;
(5)集團公司未部署統(tǒng)一的防病毒軟件或設備,各個工業(yè)園區(qū)網絡也沒有進行VLAN劃分,無法及時有效的阻止病毒的傳播和對病毒進行查殺,無法抑制網絡廣播風暴的形成,極易因個別設備故障或終端用戶的不當操作造成整個網絡癱瘓。
2、需求分析
隨著網絡信息技術的發(fā)展,越來越多的企業(yè)利用信息技術來提高自身的行業(yè)競爭力,以便于在充滿競爭的市場中取得先機。隨著企業(yè)的進一步發(fā)展,對企業(yè)信息化建設有了更深的需求,企業(yè)的快速發(fā)展離不開高效的現代化管理與網絡信息化的應用。
根據企業(yè)網絡現狀,結合考慮信息化建設的需要,本次網絡安全規(guī)劃主要涉及到以下五個方面:網絡互聯(lián)互通、網絡安全與防御、病毒防護、終端安全管理、上網行為管理。
3、建設原則
(1)可靠性與安全性
網絡系統(tǒng)的穩(wěn)定可靠是應用系統(tǒng)正常運行的關鍵保證,通過虛擬專用網絡(VPN)技術、加密、防火墻等技術,并制訂統(tǒng)一的骨干網安全策略,整體考慮網絡平臺的安全性。
(2)技術先進性和實用性
保證滿足應用系統(tǒng)業(yè)務的同時,又要體現出網絡系統(tǒng)的先進性。在網絡設計中要把先進的技術與現有的成熟技術和標準結合起來,充分考慮到企業(yè)網絡應用的現狀和未來發(fā)展趨勢。
(3)標準開放性
支持國際上通用標準的網絡協(xié)議、國際標準的大型的動態(tài)路由協(xié)議等開放協(xié)議,有利于保證與其它網絡之間的平滑連接互通,以及將來網絡的擴展。
(4)靈活性及可擴展性
根據未來業(yè)務的增長和變化,網絡可以平滑地擴容和升級,并在擴容和升級過程中最大程度的減少對網絡架構和現有設備的調整。
(5)可管理性
對網絡實行集中監(jiān)測、分權管理,并統(tǒng)一分配帶寬資源。選用先進的網絡管理平臺,具有對設備、端口等的管理、流量統(tǒng)計分析,及可提供故障自動報警。
(6)經濟性
采用先進、合理、實用的技術方案,配置性能價格比最佳的設備。
二、網絡安全規(guī)劃方案
1、網絡安全規(guī)劃
結合企業(yè)整體網絡需求,在原有的網絡架構基礎上增加防火墻、核心交換機、上網行為管理系統(tǒng)、網絡殺毒系統(tǒng)、內網管控系統(tǒng),以搭建一個“高效的、安全的、可用的、可擴展的、可管理”的信息化網絡平臺。
規(guī)劃后的網絡拓撲結構如下圖所示:
2、規(guī)劃方案說明
(1)防火墻:在各個園區(qū)各部署一臺硬件防火墻,用于抵御外部的攻擊,保障網絡的穩(wěn)定,保護公司內部運行的應用系統(tǒng)的安全性,也要滿足企業(yè)未來信息化建設的需要,保障業(yè)務的正常運行。
該設備集成專業(yè)的VPN功能,通過VPN功能可使三個工業(yè)園區(qū)互聯(lián)形成一個大的局域網,而集團的各種核心數據通過VPN加密傳輸,保證數據的完整性、保密性和準確性,同時出差用戶可通過VPN撥入公司內網。
(2)核心交換機:在各個園區(qū)各部署一臺核心交換機,以保證網絡主干的可靠性和穩(wěn)定性,為網絡中同時運行的多種應用與服務提供強有力的服務質量保障;在核心交換上劃分虛擬局域網(VLAN),將增強局域網的安全性,含有敏感數據的用戶組可與網絡的其余部分隔離,從而降低泄露機密信息的可能性,也可有效的防范廣播風暴的形成。
(3)上網行為管理:在各個園區(qū)各部署一臺上網行為管理設備,規(guī)范員工的上網行為。防止員工在上班時間進行對等網絡(P2P)下載、玩網絡游戲等影響網絡穩(wěn)定及工作效率的行為,同樣防止員工利用公司網絡發(fā)表非法言論,給公司帶來不好的影響。
(4)網絡版殺毒軟件:在總部部署一臺服務器,安裝殺毒軟件服務器端程序,在各個園區(qū)終端用戶電腦上安裝殺毒軟件的客戶端。網絡版殺毒軟件在滿足對病毒防范的同時,做到統(tǒng)一管理,保證病毒庫的及時升級。
(5)內網管理系統(tǒng):在總部部署一臺內網管理系統(tǒng)服務器,各個園區(qū)終端電腦安裝內網管理軟件的客戶端。通過內網管理系統(tǒng)實現個人計算機(PC)資源的統(tǒng)一管理,應用程序控制,禁止用戶隨意安裝卸載軟件,禁止用戶隨意修改注冊表和IP地址等,監(jiān)控終端機上的企業(yè)核心數據流轉方向(移動存儲、即時聊天傳輸、郵件、網站上傳等等),可對終端機進行安全等級審計(病毒庫升級、操作系統(tǒng)漏洞補丁等),加密控制,硬件改動報警(換內存、換硬盤、換CPU等給企業(yè)帶來損失)。
3、方案綜述
在保持各個園區(qū)現有網絡架構的基礎上,充分利用園區(qū)現有網絡資源和設備,通過VPN模式實現各個園區(qū)的互聯(lián)互通,為后期信息化建設搭建一個統(tǒng)一運行平臺,也保證了分廠工業(yè)園區(qū)與總部之間核心數據交換的安全性,對外網的訪問仍通過本地出口,避免VPN通道因數據流量過多造成阻塞。
總部的網絡殺毒軟件服務器定期將最新病毒庫通過VPN向各園區(qū)終端電腦進行推送,如果VPN通道擁擠,終端也可通過本地公網出口進行聯(lián)網升級,及時、有效的防止病毒感染和傳播。
上網行為管理和內網管控系統(tǒng),從內外網兩方面雙重規(guī)范終端用戶行為,保證了公司核心、關鍵數據的安全,提高了網絡資源的有效利用率,也提升了員工的工作效率。
本方案根據企業(yè)的網絡安全及內、外網管控需求,構建了一個以網絡信息安全為中心的高效的、安全的、可用的、可擴展的、可管理的信息網絡。
三、結束語
通過本次網絡升級改造,實現了從終端計算機安全到最終的核心層網絡安全以及外地用戶遠程訪問安全,為未來公司網絡建設、生產信息化、辦公自動化、集團信息化管控、虛擬化、物聯(lián)網和云計算等打下了良好的基礎,取得了很好的效果。網絡和信息安全是并非一勞永逸,需要我們在以后的工作中不斷學習,不斷改進,爭取最大化的實現網絡與信息的安全運行,為企業(yè)信息化項目建設提供一個堅實的平臺。
核心關注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理,全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域,是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文標題:多廠區(qū)企業(yè)網絡安全規(guī)劃與設計
本文網址:http://www.guhuozai8.cn/html/consultation/10839512014.html