【正文】 CNZMPLSVPN線路，因此我們建議采用一臺思科公司的 Cisco28n路由器作為**CE，讓各各實業(yè)分公司用戶可以高速、安全、穩(wěn)定地訪問**集團(tuán)中心機(jī)房的應(yīng)用服務(wù)器及訪問集團(tuán)機(jī)房應(yīng)用服務(wù)器。 中國實業(yè)集團(tuán)與**集團(tuán)公司的連接采用CNZ將**集團(tuán)與集團(tuán)互連。2. **與遠(yuǎn)程移動辦公用戶的連接對于互聯(lián)網(wǎng)用戶、遠(yuǎn)程移動辦公人員采用 LZtPoyerIpse。有4個千兆GE接口，和1個100M以太接口。l 中心機(jī)房采用CNZ電路與中國實業(yè)集團(tuán)總公司和各實業(yè)分公司建立連接，滿足帶寬及時延要求。非計劃停機(jī)將會對業(yè)務(wù)運(yùn)行、對外服務(wù)形象等造成巨大的影響，對處于激烈競爭環(huán)境下的運(yùn)營企業(yè)造成沉重的打擊。l **集團(tuán)中心機(jī)房:采用CNZ電路連接，保證網(wǎng)絡(luò)連接的安全。l **集團(tuán)、各實業(yè)分公司網(wǎng)絡(luò)用戶訪問企業(yè)信息化應(yīng)用系統(tǒng)時，都提供了統(tǒng)一 、授權(quán)、行為審計。l 采用功能強(qiáng)大的網(wǎng)絡(luò)管理系統(tǒng)，增強(qiáng)對設(shè)備和應(yīng)用的系統(tǒng)。 財務(wù)狀況監(jiān)控，財務(wù)狀況分析。人事管理、崗位及工作信息管理。統(tǒng)計查詢報表，人力資源分析。功能域5. 對外網(wǎng)站 企業(yè)上市信息披露 企業(yè)形象宣傳 企業(yè)產(chǎn)品宣傳 人力招聘信息 遠(yuǎn)程辦公支持6. 對內(nèi)門戶:單點登陸整合以系統(tǒng)整合郵箱系統(tǒng)整合久其報表系統(tǒng)實現(xiàn)初步的知識管理資產(chǎn)管理 業(yè)務(wù)管理和運(yùn)營支撐系統(tǒng)采用其報表系統(tǒng)作為業(yè)務(wù)統(tǒng)一管理和分析系統(tǒng)。第三章**集團(tuán)企業(yè)信息化及安全整體解決方案 安全建設(shè) 網(wǎng)絡(luò)邊界安全防護(hù)網(wǎng)絡(luò)層的安全性首先由路由器做初步保障。**集團(tuán)信息網(wǎng)服務(wù)器，首先通過二層交換機(jī)接入到主備用ASA5550防火墻，由防火墻控制所有用戶的訪問權(quán)限，關(guān)閉非使用端口，開啟服務(wù)器所承載以、財務(wù)、人力應(yīng)用服務(wù)需要使用的端口。與地市分公司的 InternetVPN采用 CiscoASA552O防火墻，同時提供撥號VPN接入，外網(wǎng)訪問通過 AmarantenF60O防火墻控制后接入公網(wǎng)網(wǎng)絡(luò)，同時提供備用撥號VPN接入。連接至防火墻的不同網(wǎng)段之間的互訪均需將到對方或經(jīng)過對方到其它地方的路由指向防火墻的相應(yīng)接口，防火墻制定合理的策略保證合法和必要的訪問，拒絕非法入侵。l 不良關(guān)鍵字:所有包含**集團(tuán)網(wǎng)絡(luò)用戶自定義不良關(guān)鍵字(如“法輪功”)的網(wǎng)頁將被屏蔽l 網(wǎng)頁分類:靦 arantenF600將上億萬個網(wǎng)頁分成了幾十個類別(如政治、經(jīng)濟(jì)、色情、暴力等)，**集團(tuán)網(wǎng)絡(luò)用戶只需要在FortiGate上設(shè)置阻斷某一類站點(如色情、暴力類網(wǎng)站)便可批量屏蔽不良網(wǎng)站。它在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進(jìn)行監(jiān)測，從計算機(jī)網(wǎng)絡(luò)系統(tǒng)中收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。l 識別反映已知進(jìn)攻的活動模式并向相關(guān)人士報替。對一個成功的入侵檢測系統(tǒng)來講，它不但可使系統(tǒng)管理員時刻了解網(wǎng)絡(luò)系統(tǒng)的任何變更，還能給網(wǎng)絡(luò)安全策略的制訂提供指南。實時地顯示、監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)流量并記入日志。實時檢測、攔截并跟蹤黑客入侵行為檢測、攔截并通過各種方式(手機(jī)短信息、e朋i1，etc)發(fā)布警告信息給系統(tǒng)管理員。第三章**集團(tuán)企業(yè)信息化及安全整體解決方案對于千兆網(wǎng)絡(luò)的完善支持。遠(yuǎn)程監(jiān)控和集中控制。提供針對不同的攻擊行為的詳細(xì)信息和對策。檢測e一11(信息體和附件)并可以通過關(guān)鍵字的匹配進(jìn)行阻斷(保證保密或機(jī)密信息不泄漏)?？刂铺囟ǖ姆?wù)器、客戶端和服務(wù)(協(xié)議)，如果需要可以定義規(guī)則阻斷非法連接。第三章**集團(tuán)企業(yè)信息化及安全整體解決方案數(shù)據(jù)交換詳細(xì)信息報告，包括e一mail(正文/附件)、Web一mail、Telnet、Ftp和遠(yuǎn)程登錄等等。報告功能，實時或定期的網(wǎng)絡(luò)使用情況的詳細(xì)信息報告。管理訪問未授權(quán)的網(wǎng)頁(包括色情、娛樂和股票信息等)的信息?？刂菩畔?。檢測/保護(hù)/警告根據(jù)入侵檢測規(guī)則阻斷非法網(wǎng)絡(luò)流量，發(fā)布警告和報告(通過報警、e一mail、移動電話)給網(wǎng)絡(luò)管理人員。簡便的安裝和方便的操作(集成了S/W和H/W)。支持追蹤黑客，定位黑客的攻擊位置。本地或遠(yuǎn)程的服務(wù)器服務(wù)的用戶信息。從而達(dá)到對網(wǎng)絡(luò)實現(xiàn)立體縱深、多層次保護(hù)的目的。l 評估重要系統(tǒng)和數(shù)據(jù)文件的完整性。這些通過以下工作來實現(xiàn):l 監(jiān)視、分析用戶及系統(tǒng)活動。l AmarantenF600防火墻擁有強(qiáng)大的日志功能，可以對網(wǎng)絡(luò)訪問、入侵、病毒、內(nèi)容過濾等信息進(jìn)行詳細(xì)的記錄。2. 對網(wǎng)絡(luò)流量進(jìn)行精確的控制，對一個或一組IP地址、端口、應(yīng)用協(xié)議第三章**集團(tuán)企業(yè)信息化及安全整體解決方案既可以通過設(shè)置保留帶寬保證應(yīng)用的最小帶寬，又可以設(shè)置最大帶寬防止對網(wǎng)絡(luò)資源的過度占用，還可以通過設(shè)置網(wǎng)絡(luò)應(yīng)用的優(yōu)先級將網(wǎng)絡(luò)帶寬在不同應(yīng)用之間進(jìn)行合理分配，使網(wǎng)絡(luò)效率達(dá)到最優(yōu)化。通過制定相應(yīng)的安全策略，防火墻允許合法訪問，拒絕無關(guān)的服務(wù)和非法入侵。在內(nèi)網(wǎng)防火墻之外采用兩臺。分隔網(wǎng)段的特性往往要求路由器處于網(wǎng)絡(luò)的邊界上。 企業(yè)信息化管理根據(jù)實業(yè)集團(tuán)公司信息化建設(shè)的總體設(shè)計，需要對公司全網(wǎng)路由器、VPN設(shè)備進(jìn)行及時有效的配置，監(jiān)控和管理，我們采用思科公司提供的 CiscoworksVMS網(wǎng)絡(luò)管理系統(tǒng)。 門戶、OA系統(tǒng)功能域.部署模式 本次以系統(tǒng)的實施將采用**集中部署的模式進(jìn)行，通過配置各子公司的以流程來實現(xiàn)子公司的以系統(tǒng)覆蓋 門戶系統(tǒng)建設(shè) 企業(yè)門戶功能域包括企業(yè)信息展現(xiàn)(內(nèi)部門戶)和企業(yè)網(wǎng)站(外部門戶)兩個功能模塊。合同管理。 資金管理，大額支出管理關(guān)聯(lián)交易系統(tǒng).部署模式集中部署，各子公司遠(yuǎn)程登錄本系統(tǒng)使用。 資產(chǎn)管理。l 選用國際知名品牌的設(shè)備和系統(tǒng)，技術(shù)和服務(wù)有保證。l 各實業(yè)分公司接入安全性:采用CNZ電路連接，與**集團(tuán)中心機(jī)房連接通訊，保障數(shù)據(jù)和應(yīng)用的安全性。借助融合型防火墻、入侵防御系統(tǒng)(IPS)和網(wǎng)絡(luò)Anti一X服務(wù)，能夠提供主動威脅防御功能、在網(wǎng)絡(luò)受到威脅之前就能及時阻擋攻擊，控制網(wǎng)絡(luò)行為和應(yīng)用流量，并提供靈活的VPN連接。第三章**集團(tuán)企業(yè)信息化及安全整體解決方案2. 高可靠性、穩(wěn)定性l **集團(tuán)公司信息系統(tǒng)是集團(tuán)公司的信息傳送平臺和信息處理樞紐，作為關(guān)鍵的財務(wù)系統(tǒng)、人力資源等業(yè)務(wù)系統(tǒng)及網(wǎng)絡(luò)平臺設(shè)備，可靠性是最重要的。vPN對，支持500個 WEBVPN對，可擴(kuò)展至2500個 WEBVPN對。3. 網(wǎng)絡(luò)用戶的安全認(rèn)證**信息化應(yīng)用系統(tǒng)涉及多個分公司的應(yīng)用用戶，用戶人數(shù)較多，為有效管理用戶的訪問行為，審計用戶相關(guān)訪問信息，在**采用單點登錄認(rèn)證，后期增加以認(rèn)證。CNZ電路有保密性能好，傳輸速率高，信道利用率高，網(wǎng)絡(luò)時延小等特點。與遠(yuǎn)程移動辦公用戶連接方面，因為要采用VPN的連接方式，我們建議采用思科公司的 ASA5520自適應(yīng)安全設(shè)備讓遠(yuǎn)程移動辦公用戶可以安全訪問實業(yè)集團(tuán)中心機(jī)房應(yīng)用服務(wù)器。外網(wǎng)WEB服務(wù)器接在 AmarantenF600防火墻DMZ區(qū)，對外開啟 tep80服務(wù)。第三章**集團(tuán)企業(yè)信息化及安全整體解決方案服務(wù)器端使用兩塊網(wǎng)卡橋接，對外使用網(wǎng)絡(luò)橋連接網(wǎng)絡(luò)設(shè)備，首先通過二層交換機(jī)接入到主備用ASA555O防火墻，由防火墻控制所有用戶的訪問權(quán)限，關(guān)閉非使用端口，開啟服務(wù)器所承載以、財務(wù)、人力應(yīng)用服務(wù)需要使用的端口。根據(jù)**信息化IT規(guī)劃總體架構(gòu)及**目前IT系統(tǒng)現(xiàn)狀， **集團(tuán)網(wǎng)絡(luò)拓?fù)鋱D以下為**集團(tuán)整體網(wǎng)絡(luò)規(guī)劃拓?fù)鋱D:網(wǎng)絡(luò)拓?fù)鋱D **集團(tuán)整體網(wǎng)絡(luò)概述**集團(tuán)公司網(wǎng)絡(luò)整體從安全、穩(wěn)定、高速和服務(wù)質(zhì)量(QoS)方面考慮，采用CNZ電路與SitetoSiteVPN結(jié)合的方式組網(wǎng)。能防止網(wǎng)絡(luò)的非法訪問，保護(hù)關(guān)鍵數(shù)據(jù)不被非法竊取、篡改或泄露。為此，制定一套完整、可行的事件救援及災(zāi)難恢復(fù)的計劃對于企業(yè)來說是非常重要的。 備份與恢復(fù)策略主要設(shè)備、軟件、數(shù)據(jù)、電源等都應(yīng)有備份，并有技術(shù)措施和組織措施能夠在較短時間內(nèi)恢復(fù)系統(tǒng)運(yùn)行。我們從預(yù)防病毒、檢測病毒和殺毒考慮網(wǎng)絡(luò)的網(wǎng)絡(luò)安全。在功能上，安全掃描工具可以大規(guī)模減少安全管理員的手工勞動，有利于保持全網(wǎng)安全政策的統(tǒng)一和穩(wěn)定。并把這些信息集中報告給數(shù)據(jù)中心的集中管理控制臺。入侵監(jiān)控是對入侵行為的檢測和控制。 網(wǎng)絡(luò)安全監(jiān)控與入侵檢測策略網(wǎng)絡(luò)安全監(jiān)控可以測試企業(yè)所實施的安全控制是否有效。在同一安全域中，根據(jù)信息的密級和信息重要性進(jìn)行分割和訪問控制。網(wǎng)絡(luò)訪問控制用于控制內(nèi)部及外部聯(lián)網(wǎng)服務(wù)的訪問，以確保可以訪問網(wǎng)絡(luò)或網(wǎng)絡(luò)服務(wù)的用戶不會破壞這些網(wǎng)絡(luò)服務(wù)的安全。l 不同系統(tǒng)及網(wǎng)絡(luò)之間的訪問控制及信息分類策略的一致性。訪問控制是對用戶進(jìn)行文件和數(shù)據(jù)操作權(quán)限的限制，主要防范用戶的越權(quán)訪問。該政策其中一項重要說明是講述企業(yè)是否允許進(jìn)行遠(yuǎn)程操作，以及對這類訪問的控制方法；l 違規(guī)報告政策:指明哪類違規(guī)行為應(yīng)該報告(例如個人隱私及安全、內(nèi)部及外部)以及向誰報告。l 可用性聲明:使用戶對系統(tǒng)的可用性有所了解。l 責(zé)任政策:指出用戶、操作人員及管理人員的職責(zé)。該指南可作為企業(yè)購買產(chǎn)品的參考之一。從資源管理角度來看，實現(xiàn)資源的統(tǒng)一配置和管理。第二章**集團(tuán)企業(yè)信息化現(xiàn)狀 安全管理策略安全管理貫穿在安全的各個層次實施。責(zé)權(quán)不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險。利用網(wǎng)絡(luò)開些小玩笑，甚至破壞。3. 內(nèi)部管理人員或員工把內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)、管理員用戶名及口令以及系