【正文】 CNZMPLSVPN線路，因此我們建議采用一臺(tái)思科公司的 Cisco28n路由器作為**CE，讓各各實(shí)業(yè)分公司用戶可以高速、安全、穩(wěn)定地訪問(wèn)**集團(tuán)中心機(jī)房的應(yīng)用服務(wù)器及訪問(wèn)集團(tuán)機(jī)房應(yīng)用服務(wù)器。 中國(guó)實(shí)業(yè)集團(tuán)與**集團(tuán)公司的連接采用CNZ將**集團(tuán)與集團(tuán)互連。2. **與遠(yuǎn)程移動(dòng)辦公用戶的連接對(duì)于互聯(lián)網(wǎng)用戶、遠(yuǎn)程移動(dòng)辦公人員采用 LZtPoyerIpse。有4個(gè)千兆GE接口，和1個(gè)100M以太接口。l 中心機(jī)房采用CNZ電路與中國(guó)實(shí)業(yè)集團(tuán)總公司和各實(shí)業(yè)分公司建立連接，滿足帶寬及時(shí)延要求。非計(jì)劃停機(jī)將會(huì)對(duì)業(yè)務(wù)運(yùn)行、對(duì)外服務(wù)形象等造成巨大的影響，對(duì)處于激烈競(jìng)爭(zhēng)環(huán)境下的運(yùn)營(yíng)企業(yè)造成沉重的打擊。l **集團(tuán)中心機(jī)房:采用CNZ電路連接，保證網(wǎng)絡(luò)連接的安全。l **集團(tuán)、各實(shí)業(yè)分公司網(wǎng)絡(luò)用戶訪問(wèn)企業(yè)信息化應(yīng)用系統(tǒng)時(shí)，都提供了統(tǒng)一 、授權(quán)、行為審計(jì)。l 采用功能強(qiáng)大的網(wǎng)絡(luò)管理系統(tǒng)，增強(qiáng)對(duì)設(shè)備和應(yīng)用的系統(tǒng)。 財(cái)務(wù)狀況監(jiān)控，財(cái)務(wù)狀況分析。人事管理、崗位及工作信息管理。統(tǒng)計(jì)查詢報(bào)表，人力資源分析。功能域5. 對(duì)外網(wǎng)站 企業(yè)上市信息披露 企業(yè)形象宣傳 企業(yè)產(chǎn)品宣傳 人力招聘信息 遠(yuǎn)程辦公支持6. 對(duì)內(nèi)門戶:單點(diǎn)登陸整合以系統(tǒng)整合郵箱系統(tǒng)整合久其報(bào)表系統(tǒng)實(shí)現(xiàn)初步的知識(shí)管理資產(chǎn)管理 業(yè)務(wù)管理和運(yùn)營(yíng)支撐系統(tǒng)采用其報(bào)表系統(tǒng)作為業(yè)務(wù)統(tǒng)一管理和分析系統(tǒng)。第三章**集團(tuán)企業(yè)信息化及安全整體解決方案 安全建設(shè) 網(wǎng)絡(luò)邊界安全防護(hù)網(wǎng)絡(luò)層的安全性首先由路由器做初步保障。**集團(tuán)信息網(wǎng)服務(wù)器，首先通過(guò)二層交換機(jī)接入到主備用ASA5550防火墻，由防火墻控制所有用戶的訪問(wèn)權(quán)限，關(guān)閉非使用端口，開(kāi)啟服務(wù)器所承載以、財(cái)務(wù)、人力應(yīng)用服務(wù)需要使用的端口。與地市分公司的 InternetVPN采用 CiscoASA552O防火墻，同時(shí)提供撥號(hào)VPN接入，外網(wǎng)訪問(wèn)通過(guò) AmarantenF60O防火墻控制后接入公網(wǎng)網(wǎng)絡(luò)，同時(shí)提供備用撥號(hào)VPN接入。連接至防火墻的不同網(wǎng)段之間的互訪均需將到對(duì)方或經(jīng)過(guò)對(duì)方到其它地方的路由指向防火墻的相應(yīng)接口，防火墻制定合理的策略保證合法和必要的訪問(wèn)，拒絕非法入侵。l 不良關(guān)鍵字:所有包含**集團(tuán)網(wǎng)絡(luò)用戶自定義不良關(guān)鍵字(如“法輪功”)的網(wǎng)頁(yè)將被屏蔽l 網(wǎng)頁(yè)分類:靦 arantenF600將上億萬(wàn)個(gè)網(wǎng)頁(yè)分成了幾十個(gè)類別(如政治、經(jīng)濟(jì)、色情、暴力等)，**集團(tuán)網(wǎng)絡(luò)用戶只需要在FortiGate上設(shè)置阻斷某一類站點(diǎn)(如色情、暴力類網(wǎng)站)便可批量屏蔽不良網(wǎng)站。它在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。l 識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)替。對(duì)一個(gè)成功的入侵檢測(cè)系統(tǒng)來(lái)講，它不但可使系統(tǒng)管理員時(shí)刻了解網(wǎng)絡(luò)系統(tǒng)的任何變更，還能給網(wǎng)絡(luò)安全策略的制訂提供指南。實(shí)時(shí)地顯示、監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)流量并記入日志。實(shí)時(shí)檢測(cè)、攔截并跟蹤黑客入侵行為檢測(cè)、攔截并通過(guò)各種方式(手機(jī)短信息、e朋i1，etc)發(fā)布警告信息給系統(tǒng)管理員。第三章**集團(tuán)企業(yè)信息化及安全整體解決方案對(duì)于千兆網(wǎng)絡(luò)的完善支持。遠(yuǎn)程監(jiān)控和集中控制。提供針對(duì)不同的攻擊行為的詳細(xì)信息和對(duì)策。檢測(cè)e一11(信息體和附件)并可以通過(guò)關(guān)鍵字的匹配進(jìn)行阻斷(保證保密或機(jī)密信息不泄漏)?？刂铺囟ǖ姆?wù)器、客戶端和服務(wù)(協(xié)議)，如果需要可以定義規(guī)則阻斷非法連接。第三章**集團(tuán)企業(yè)信息化及安全整體解決方案數(shù)據(jù)交換詳細(xì)信息報(bào)告，包括e一mail(正文/附件)、Web一mail、Telnet、Ftp和遠(yuǎn)程登錄等等。報(bào)告功能，實(shí)時(shí)或定期的網(wǎng)絡(luò)使用情況的詳細(xì)信息報(bào)告。管理訪問(wèn)未授權(quán)的網(wǎng)頁(yè)(包括色情、娛樂(lè)和股票信息等)的信息?？刂菩畔ⅰz測(cè)/保護(hù)/警告根據(jù)入侵檢測(cè)規(guī)則阻斷非法網(wǎng)絡(luò)流量，發(fā)布警告和報(bào)告(通過(guò)報(bào)警、e一mail、移動(dòng)電話)給網(wǎng)絡(luò)管理人員。簡(jiǎn)便的安裝和方便的操作(集成了S/W和H/W)。支持追蹤黑客，定位黑客的攻擊位置。本地或遠(yuǎn)程的服務(wù)器服務(wù)的用戶信息。從而達(dá)到對(duì)網(wǎng)絡(luò)實(shí)現(xiàn)立體縱深、多層次保護(hù)的目的。l 評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性。這些通過(guò)以下工作來(lái)實(shí)現(xiàn):l 監(jiān)視、分析用戶及系統(tǒng)活動(dòng)。l AmarantenF600防火墻擁有強(qiáng)大的日志功能，可以對(duì)網(wǎng)絡(luò)訪問(wèn)、入侵、病毒、內(nèi)容過(guò)濾等信息進(jìn)行詳細(xì)的記錄。2. 對(duì)網(wǎng)絡(luò)流量進(jìn)行精確的控制，對(duì)一個(gè)或一組IP地址、端口、應(yīng)用協(xié)議第三章**集團(tuán)企業(yè)信息化及安全整體解決方案既可以通過(guò)設(shè)置保留帶寬保證應(yīng)用的最小帶寬，又可以設(shè)置最大帶寬防止對(duì)網(wǎng)絡(luò)資源的過(guò)度占用，還可以通過(guò)設(shè)置網(wǎng)絡(luò)應(yīng)用的優(yōu)先級(jí)將網(wǎng)絡(luò)帶寬在不同應(yīng)用之間進(jìn)行合理分配，使網(wǎng)絡(luò)效率達(dá)到最優(yōu)化。通過(guò)制定相應(yīng)的安全策略，防火墻允許合法訪問(wèn)，拒絕無(wú)關(guān)的服務(wù)和非法入侵。在內(nèi)網(wǎng)防火墻之外采用兩臺(tái)。分隔網(wǎng)段的特性往往要求路由器處于網(wǎng)絡(luò)的邊界上。 企業(yè)信息化管理根據(jù)實(shí)業(yè)集團(tuán)公司信息化建設(shè)的總體設(shè)計(jì)，需要對(duì)公司全網(wǎng)路由器、VPN設(shè)備進(jìn)行及時(shí)有效的配置，監(jiān)控和管理，我們采用思科公司提供的 CiscoworksVMS網(wǎng)絡(luò)管理系統(tǒng)。 門戶、OA系統(tǒng)功能域.部署模式 本次以系統(tǒng)的實(shí)施將采用**集中部署的模式進(jìn)行，通過(guò)配置各子公司的以流程來(lái)實(shí)現(xiàn)子公司的以系統(tǒng)覆蓋 門戶系統(tǒng)建設(shè) 企業(yè)門戶功能域包括企業(yè)信息展現(xiàn)(內(nèi)部門戶)和企業(yè)網(wǎng)站(外部門戶)兩個(gè)功能模塊。合同管理。 資金管理，大額支出管理關(guān)聯(lián)交易系統(tǒng).部署模式集中部署，各子公司遠(yuǎn)程登錄本系統(tǒng)使用。 資產(chǎn)管理。l 選用國(guó)際知名品牌的設(shè)備和系統(tǒng)，技術(shù)和服務(wù)有保證。l 各實(shí)業(yè)分公司接入安全性:采用CNZ電路連接，與**集團(tuán)中心機(jī)房連接通訊，保障數(shù)據(jù)和應(yīng)用的安全性。借助融合型防火墻、入侵防御系統(tǒng)(IPS)和網(wǎng)絡(luò)Anti一X服務(wù)，能夠提供主動(dòng)威脅防御功能、在網(wǎng)絡(luò)受到威脅之前就能及時(shí)阻擋攻擊，控制網(wǎng)絡(luò)行為和應(yīng)用流量，并提供靈活的VPN連接。第三章**集團(tuán)企業(yè)信息化及安全整體解決方案2. 高可靠性、穩(wěn)定性l **集團(tuán)公司信息系統(tǒng)是集團(tuán)公司的信息傳送平臺(tái)和信息處理樞紐，作為關(guān)鍵的財(cái)務(wù)系統(tǒng)、人力資源等業(yè)務(wù)系統(tǒng)及網(wǎng)絡(luò)平臺(tái)設(shè)備，可靠性是最重要的。vPN對(duì)，支持500個(gè) WEBVPN對(duì)，可擴(kuò)展至2500個(gè) WEBVPN對(duì)。3. 網(wǎng)絡(luò)用戶的安全認(rèn)證**信息化應(yīng)用系統(tǒng)涉及多個(gè)分公司的應(yīng)用用戶，用戶人數(shù)較多，為有效管理用戶的訪問(wèn)行為，審計(jì)用戶相關(guān)訪問(wèn)信息，在**采用單點(diǎn)登錄認(rèn)證，后期增加以認(rèn)證。CNZ電路有保密性能好，傳輸速率高，信道利用率高，網(wǎng)絡(luò)時(shí)延小等特點(diǎn)。與遠(yuǎn)程移動(dòng)辦公用戶連接方面，因?yàn)橐捎肰PN的連接方式，我們建議采用思科公司的 ASA5520自適應(yīng)安全設(shè)備讓遠(yuǎn)程移動(dòng)辦公用戶可以安全訪問(wèn)實(shí)業(yè)集團(tuán)中心機(jī)房應(yīng)用服務(wù)器。外網(wǎng)WEB服務(wù)器接在 AmarantenF600防火墻DMZ區(qū)，對(duì)外開(kāi)啟 tep80服務(wù)。第三章**集團(tuán)企業(yè)信息化及安全整體解決方案服務(wù)器端使用兩塊網(wǎng)卡橋接，對(duì)外使用網(wǎng)絡(luò)橋連接網(wǎng)絡(luò)設(shè)備，首先通過(guò)二層交換機(jī)接入到主備用ASA555O防火墻，由防火墻控制所有用戶的訪問(wèn)權(quán)限，關(guān)閉非使用端口，開(kāi)啟服務(wù)器所承載以、財(cái)務(wù)、人力應(yīng)用服務(wù)需要使用的端口。根據(jù)**信息化IT規(guī)劃總體架構(gòu)及**目前IT系統(tǒng)現(xiàn)狀， **集團(tuán)網(wǎng)絡(luò)拓?fù)鋱D以下為**集團(tuán)整體網(wǎng)絡(luò)規(guī)劃拓?fù)鋱D:網(wǎng)絡(luò)拓?fù)鋱D **集團(tuán)整體網(wǎng)絡(luò)概述**集團(tuán)公司網(wǎng)絡(luò)整體從安全、穩(wěn)定、高速和服務(wù)質(zhì)量(QoS)方面考慮，采用CNZ電路與SitetoSiteVPN結(jié)合的方式組網(wǎng)。能防止網(wǎng)絡(luò)的非法訪問(wèn)，保護(hù)關(guān)鍵數(shù)據(jù)不被非法竊取、篡改或泄露。為此，制定一套完整、可行的事件救援及災(zāi)難恢復(fù)的計(jì)劃對(duì)于企業(yè)來(lái)說(shuō)是非常重要的。 備份與恢復(fù)策略主要設(shè)備、軟件、數(shù)據(jù)、電源等都應(yīng)有備份，并有技術(shù)措施和組織措施能夠在較短時(shí)間內(nèi)恢復(fù)系統(tǒng)運(yùn)行。我們從預(yù)防病毒、檢測(cè)病毒和殺毒考慮網(wǎng)絡(luò)的網(wǎng)絡(luò)安全。在功能上，安全掃描工具可以大規(guī)模減少安全管理員的手工勞動(dòng)，有利于保持全網(wǎng)安全政策的統(tǒng)一和穩(wěn)定。并把這些信息集中報(bào)告給數(shù)據(jù)中心的集中管理控制臺(tái)。入侵監(jiān)控是對(duì)入侵行為的檢測(cè)和控制。 網(wǎng)絡(luò)安全監(jiān)控與入侵檢測(cè)策略網(wǎng)絡(luò)安全監(jiān)控可以測(cè)試企業(yè)所實(shí)施的安全控制是否有效。在同一安全域中，根據(jù)信息的密級(jí)和信息重要性進(jìn)行分割和訪問(wèn)控制。網(wǎng)絡(luò)訪問(wèn)控制用于控制內(nèi)部及外部聯(lián)網(wǎng)服務(wù)的訪問(wèn)，以確?？梢栽L問(wèn)網(wǎng)絡(luò)或網(wǎng)絡(luò)服務(wù)的用戶不會(huì)破壞這些網(wǎng)絡(luò)服務(wù)的安全。l 不同系統(tǒng)及網(wǎng)絡(luò)之間的訪問(wèn)控制及信息分類策略的一致性。訪問(wèn)控制是對(duì)用戶進(jìn)行文件和數(shù)據(jù)操作權(quán)限的限制，主要防范用戶的越權(quán)訪問(wèn)。該政策其中一項(xiàng)重要說(shuō)明是講述企業(yè)是否允許進(jìn)行遠(yuǎn)程操作，以及對(duì)這類訪問(wèn)的控制方法；l 違規(guī)報(bào)告政策:指明哪類違規(guī)行為應(yīng)該報(bào)告(例如個(gè)人隱私及安全、內(nèi)部及外部)以及向誰(shuí)報(bào)告。l 可用性聲明:使用戶對(duì)系統(tǒng)的可用性有所了解。l 責(zé)任政策:指出用戶、操作人員及管理人員的職責(zé)。該指南可作為企業(yè)購(gòu)買產(chǎn)品的參考之一。從資源管理角度來(lái)看，實(shí)現(xiàn)資源的統(tǒng)一配置和管理。第二章**集團(tuán)企業(yè)信息化現(xiàn)狀 安全管理策略安全管理貫穿在安全的各個(gè)層次實(shí)施。責(zé)權(quán)不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險(xiǎn)。利用網(wǎng)絡(luò)開(kāi)些小玩笑，甚至破壞。3. 內(nèi)部管理人員或員工把內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)、管理員用戶名及口令以及系