【正文】 據(jù)匯總后報送給省電信公司財(cái)務(wù)部。目前沒有購買久其公司的維護(hù)支撐服務(wù)。目前的經(jīng)營分析主要通過各業(yè)務(wù)部門手工提取數(shù)據(jù)進(jìn)行加工分析后形成經(jīng)營分析報告。該系統(tǒng)技術(shù)架構(gòu)比較先進(jìn)，功能基本滿足該公司的業(yè)務(wù)需求，由于為自己開發(fā)的系統(tǒng)，維護(hù)支撐、軟件功能升級都比較便利。工程公司的業(yè)務(wù)類型:工程施工，部分施工、維護(hù)，也是采用自行開發(fā)的一套系統(tǒng)來支撐業(yè)務(wù)。u 在接入Internet方面，部分子公司保留有Internet出口，部分終端可其它方式訪問Internet，存在網(wǎng)絡(luò)安全隱患。u 網(wǎng)絡(luò)中連接有為數(shù)眾多的終端，大多終端安裝有防病毒軟件。 **集團(tuán)企業(yè)信息化系統(tǒng)需求分析 網(wǎng)絡(luò)需求分析結(jié)合**集團(tuán)的1T現(xiàn)狀及本省的06一09年IT總體規(guī)劃需求，擬在**集團(tuán)有限公司集團(tuán)總部建設(shè)一中心點(diǎn)，作為中心機(jī)房，通過中心點(diǎn)與全市5個上市子公司之間組建辦公網(wǎng)。如下圖:圖IT基礎(chǔ)設(shè)施建設(shè)實(shí)施關(guān)鍵點(diǎn)1. 明確應(yīng)用系統(tǒng)的硬件及網(wǎng)絡(luò)帶寬需求評估未來5年**的應(yīng)用系統(tǒng)的IT環(huán)境需求，包括妥種主機(jī)設(shè)備、網(wǎng)絡(luò)帶寬、電源容量、存儲容量等需求，在機(jī)房設(shè)計(jì)施工時預(yù)留足夠的余量。內(nèi)外網(wǎng)隔離方案是安全的一個重要基礎(chǔ)，現(xiàn)在采用物理隔離方案的安全性最高，但是會給應(yīng)用系統(tǒng)的部署和使用帶來不便。異地備份方案采用在子公司機(jī)房部署備份服務(wù)器的方式。異地備份機(jī)房選用郵科公司智能網(wǎng)機(jī)房。5. 網(wǎng)絡(luò)實(shí)施包括專線線路、 ADSLVPN線路、樓內(nèi)線路的施工、調(diào)測，施工進(jìn)度依賴線路提供商和綜合布線進(jìn)度，必須做好工程質(zhì)量監(jiān)督和進(jìn)度監(jiān)督。設(shè)備的選型將考慮未來5年的性能需求增長，將以當(dāng)前需求的200%的性能參數(shù)配置主機(jī)設(shè)備，此外主機(jī)設(shè)備留有等量的擴(kuò)展空間。第二章**集團(tuán)企業(yè)信息化現(xiàn)狀新的財(cái)務(wù)系統(tǒng)最好能夠和現(xiàn)有在用系統(tǒng)的操作習(xí)慣比較一致。對未來的系統(tǒng)無法提出有深度的需求，因此本次人力資源管理系統(tǒng)應(yīng)該具備最核心的功能，兼顧性價比，系統(tǒng)一邊建設(shè)一邊培訓(xùn)，通過成熟系統(tǒng)向現(xiàn)有的人力資源管理人員灌輸先進(jìn)的人力資源管理理念，固化并統(tǒng)一全省的人力資源管理制度。 門戶、0A系統(tǒng)從現(xiàn)狀看，**的以系統(tǒng)建設(shè)也是參差不齊的，大部分專業(yè)公司對以系統(tǒng)的需求不是非常強(qiáng)烈。由于大部分專業(yè)公司還沒有建設(shè)以系統(tǒng)，因此考慮本次所有子公司的以系統(tǒng)在選型上和**一致。當(dāng)子公司新產(chǎn)生的本地化需求不能在現(xiàn)有系統(tǒng)上進(jìn)行配置或二次開發(fā)來滿足時，才考慮在子公司單獨(dú)部署以系統(tǒng)。**集團(tuán)、設(shè)計(jì)院、郵科公司、工程公司都擁有自己的公司網(wǎng)站，但是功能簡單，且連最簡單的互相鏈接都沒有。第一期通過統(tǒng)一的門戶系統(tǒng)、統(tǒng)一門戶域名、統(tǒng)一郵箱域名的方式進(jìn)行門戶建設(shè)，同時把以、經(jīng)營分析、報表軟件等通過門戶系統(tǒng)進(jìn)行集成，提供單點(diǎn)登錄、統(tǒng)一鑒權(quán)功能，把系統(tǒng)建設(shè)、維護(hù)集中在**，這樣可以方便將來的維護(hù)、升級，同時最大限度降低對各子公司的IT能力的要求。我**各專業(yè)公司層面則第二章**集團(tuán)企業(yè)信息化現(xiàn)狀己經(jīng)建立了部分業(yè)務(wù)運(yùn)營支撐系統(tǒng)。我**未建立統(tǒng)一、獨(dú)立的業(yè)務(wù)管理系統(tǒng)，在業(yè)務(wù)運(yùn)營支撐系統(tǒng)方面，主要是以專業(yè)公司為主進(jìn)行自行建設(shè)。**在組織架構(gòu)等工作陸續(xù)完成后，將逐步加強(qiáng)對業(yè)務(wù)的管理。 企業(yè)信息化管理**沒有專門的IT組織，也沒有設(shè)置企業(yè)信息化崗位。各專業(yè)公司根據(jù)各自需求自行建設(shè)IT系統(tǒng)，導(dǎo)致重復(fù)投資問題，如很多專業(yè)公司自行建設(shè)或準(zhǔn)備建設(shè)的人力資源管理系統(tǒng)。其次，**將盡快設(shè)置工IT相關(guān)崗位，同時在各子公司中抽調(diào)一部分IT人員組成IT虛擬團(tuán)隊(duì)，統(tǒng)一協(xié)調(diào)整個**范圍的企業(yè)信息化建設(shè)。 安全需求分析第二章**集團(tuán)企業(yè)信息化現(xiàn)狀 物理安全風(fēng)險分析網(wǎng)絡(luò)物理安全是整個網(wǎng)絡(luò)系統(tǒng)安全的前提。l 電源故障造成設(shè)備斷電以至操作系統(tǒng)引導(dǎo)失敗或數(shù)據(jù)庫信息丟失。l 電磁輻射可能造成數(shù)據(jù)信息被竊取或偷閱。 鏈路傳輸風(fēng)險分析**集團(tuán)網(wǎng)絡(luò)的各個局域網(wǎng)如果采用的是UTP非屏蔽布線方式，則存在網(wǎng)絡(luò)信息通過電磁輻射泄露的可能。以上種種不安全因素都對網(wǎng)絡(luò)構(gòu)成嚴(yán)重的安全威脅。這種物理網(wǎng)絡(luò)上互聯(lián)互通給數(shù)據(jù)的互聯(lián)互通帶來了事實(shí)上的可能性。其次，各系統(tǒng)的互聯(lián)互通會使得跨系統(tǒng)的攻擊和病毒傳播成為可能，帶來極大的安全隱患。假如內(nèi)部網(wǎng)絡(luò)的一臺機(jī)器安全受損(被攻擊或者被病毒感染)，就會同時影響在同一網(wǎng)絡(luò)上的許多其他系統(tǒng)。如果系統(tǒng)內(nèi)部局域網(wǎng)絡(luò)與系統(tǒng)外部網(wǎng)絡(luò)間沒有采取一定的安全防護(hù)措施，內(nèi)部網(wǎng)絡(luò)容易造到來自外部網(wǎng)絡(luò)的一些不懷好意的入侵者的攻擊。l 入侵者通過網(wǎng)絡(luò)監(jiān)聽等先進(jìn)手段獲得內(nèi)部網(wǎng)用戶的用戶名、口令等信息，進(jìn)而假冒內(nèi)部合法身份進(jìn)行非法登錄，竊取內(nèi)部網(wǎng)重要信息。l 發(fā)送大量包含惡意代碼或病毒程序的郵件。來自機(jī)構(gòu)內(nèi)部局域網(wǎng)的威脅包括:l 誤用和濫用關(guān)鍵、敏感數(shù)據(jù)和計(jì)算資源。如果工作人員發(fā)送、接收和查看攻擊性材料，可能會形成敵意的工作環(huán)境，從而增大內(nèi)耗。安全管理員有意透露其用戶名及口令。內(nèi)部人員在上班時間玩游戲，看視頻等。l 通訊線路故障可能是由于電信提供的遠(yuǎn)程線路的中斷，也可能發(fā)生在局域網(wǎng)中。目前計(jì)算機(jī)在網(wǎng)絡(luò)中的身份是以IP地址作為自己的標(biāo)識的。缺乏判斷通訊對象是否是惡意的網(wǎng)絡(luò)身份假冒者的技術(shù)手段，是目前網(wǎng)絡(luò)中存在的安全風(fēng)險。當(dāng)從一個安全區(qū)域(子網(wǎng))訪問另一個安全保護(hù)要求不同的區(qū)域(子網(wǎng))時，存在對不應(yīng)訪問的數(shù)據(jù)、交易與系統(tǒng)服務(wù)操作的危險。種種因素都將網(wǎng)絡(luò)安全構(gòu)成很大的威脅。操作系統(tǒng)的安裝以正常工作為目標(biāo)，一般很少考慮其安全性。從安全角度考慮，其表現(xiàn)為裝了很多用不著的功能模塊，開放了很多不必開放的端口，其中可能隱含了安全風(fēng)險。這些安全漏洞都將存在重大安全隱患。如果進(jìn)行安全配置，比如，填補(bǔ)安全漏洞，關(guān)閉一些不常用的服務(wù)，禁止開放一些不常用而又比較敏感的端口等，那么入侵者要成功進(jìn)行內(nèi)部網(wǎng)是不容易，這需要相當(dāng)高的技術(shù)水平及相當(dāng)長時間。第二章**集團(tuán)企業(yè)信息化現(xiàn)狀 應(yīng)用的安全風(fēng)險分析應(yīng)用系統(tǒng)的安全涉及很多方面。應(yīng)用的安全性也是動態(tài)的。n 資源共享的安全風(fēng)險**集團(tuán)網(wǎng)絡(luò)內(nèi)部有自動化辦化系統(tǒng)。由此就可能存在著:員工有意、無意把硬盤中重要信息目錄共享，長期暴露在網(wǎng)絡(luò)鄰居上，可能被外部人員輕易偷取或被內(nèi)部其他員工竊取并傳播出去造成泄密，因?yàn)槿鄙俦匾脑L問控制策略。Web是電子業(yè)務(wù)的發(fā)布板，與其他服務(wù)器連接在一起，對Web服務(wù)器的攻擊容易波及其他的網(wǎng)絡(luò)服務(wù)器和設(shè)備。數(shù)據(jù)庫服務(wù)器的安全風(fēng)險包括:數(shù)據(jù)庫服務(wù)器的管理員口令過于簡單，非授權(quán)用戶的訪問，通過口令猜測獲得系統(tǒng)管理員權(quán)限，數(shù)據(jù)庫服務(wù)器本身存在漏洞容易受到攻擊等。n 電子郵件系統(tǒng)的安全風(fēng)險內(nèi)部網(wǎng)用戶可通過拔號或其它方式進(jìn)行電子郵件發(fā)送和接收這就存在被黑客跟蹤或收到一些特洛伊木馬、病毒程序等，由于許多用戶安全意識比較淡薄，對一些來歷不明的郵件，沒有警惕性，給入侵者提供機(jī)會，給系統(tǒng)帶來不安全因至素。病毒程序可以通過網(wǎng)上下載、電子郵件、使用光盤或軟盤、人為投放等傳播途徑潛入內(nèi)部網(wǎng)。網(wǎng)絡(luò)中一旦有一臺主機(jī)受病毒感染，則病毒程序就完全可能在極短的時間內(nèi)迅速擴(kuò)散，傳播到網(wǎng)絡(luò)上的所有主機(jī)，可能造成信息泄漏、文件丟失、機(jī)器死機(jī)等不安全因素。2. 內(nèi)部管理人員或員工責(zé)任不清，使用相同的用戶名、口令，導(dǎo)致權(quán)限管理混亂，信息泄密。4. 機(jī)房重地卻是任何人都可以進(jìn)進(jìn)出出，來去自由。5. 內(nèi)部不滿的員工有的可能熟悉服務(wù)器、小程序、腳本和系統(tǒng)的弱點(diǎn)。如傳出至關(guān)重要的信息、錯誤地進(jìn)入數(shù)據(jù)庫、刪除數(shù)據(jù)等等。管理是網(wǎng)絡(luò)中安全得到保證的重要組成部分，是防止來自內(nèi)部網(wǎng)絡(luò)入侵必須的部分。即除了從技術(shù)上下功夫外，還得依靠安全管理來實(shí)現(xiàn)。因此，我們在進(jìn)行安全設(shè)計(jì)和選擇安全產(chǎn)品時，必須將對網(wǎng)絡(luò)和系統(tǒng)的性能的影響的考慮放在重要的位置 安全管理策略網(wǎng)絡(luò)安全關(guān)鍵基礎(chǔ)之一就是構(gòu)成企業(yè)總體信息安全方案的綜合策略。從全局管理角度來看，我們制訂了全局的安全管理策略。從人員管理角度來看，實(shí)現(xiàn)統(tǒng)一的用戶角色劃分策略，制定一系列的管理規(guī)范。**集團(tuán)網(wǎng)絡(luò)的安全管理策略是保證網(wǎng)絡(luò)安全的核心。一個良好的安全管理策略應(yīng)包括如下內(nèi)容:l 計(jì)算機(jī)技術(shù)購買指南:該指南中應(yīng)指明哪些安全特征是必須的。l 隱私政策:制定監(jiān)控電子郵件、記錄鍵盤敲擊及訪問用戶文件的可接受的隱私程度。該政策應(yīng)提供外部連接、數(shù)據(jù)通訊、連接設(shè)備到網(wǎng)絡(luò)、增加新軟件到系統(tǒng)等操作指南，同時也應(yīng)包括通知信息(例如連接后應(yīng)提示合法使用的說明，而不僅僅顯示“歡迎，’)。該政策應(yīng)包括審計(jì)功能，以及處理安全事件的程序指南(即檢測到可疑事件發(fā)生后，應(yīng)找誰負(fù)責(zé)等問題的處理步驟)。該政策應(yīng)包括遠(yuǎn)程訪問的認(rèn)證指南及認(rèn)證設(shè)備(如一次性口令及生成這些口令的設(shè)備)的使用說明。如果系統(tǒng)被入侵，用戶根據(jù)這個聲明所述，就可以知道系統(tǒng)在多長時間內(nèi)可以恢復(fù)。l 信息技術(shù)系統(tǒng)及網(wǎng)絡(luò)維護(hù)政策:說明內(nèi)部及外部的維修人員如何處理訪問技術(shù)。輕松的氣氛或采用匿名報告的方式可以鼓勵員工報告違規(guī)行為。 訪問控制策略訪問控制的目的是控制信息的訪問。訪問控制策略應(yīng)按照業(yè)務(wù)及安全要求控制信息及業(yè)務(wù)程序的訪問，訪問控制策略應(yīng)包括以下內(nèi)容:l 每個業(yè)務(wù)應(yīng)用系統(tǒng)的安全要求。l 信息發(fā)布及授權(quán)的策略，例如:安全級別及原則，以及信息分類的需要。l 關(guān)于保護(hù)訪問數(shù)據(jù)或服務(wù)的相關(guān)法律或任何合同規(guī)定。l 在分布式及互聯(lián)的環(huán)境中，管理所有類別的連接的訪問權(quán)限。不安全地連接到網(wǎng)絡(luò)服務(wù)會影響整個機(jī)構(gòu)的安全，所以，只能讓用戶直接訪問己明確授權(quán)使用的服務(wù)。**集團(tuán)網(wǎng)絡(luò)應(yīng)根據(jù)信息密級和信息重要性劃分安全域，在安全域與非安全域之間用安全保密設(shè)備進(jìn)行隔離和訪問控制。通常將**集團(tuán)網(wǎng)絡(luò)重要服務(wù)器所在的子網(wǎng)和重要的工作子網(wǎng)分別劃分為單