《集团公司网络改造方案建议书》由会员分享,可在线阅读,更多相关《集团公司网络改造方案建议书(16页珍藏版)》请在金锄头文库上搜索。
1、核工业集团公司-网络改造方案建议书第 1 页/共 16 页集团公司网络改造方案建议书核工业集团公司-网络改造方案建议书第 2 页/共 16 页目录1.网络出口安全问题.32.网络带宽管理问题.33.网络架构问题.64.无线网络覆盖问题.65.桌面运维管理问题.75.服务器数据安全问题.93.预算清单.10核工业集团公司-网络改造方案建议书第 3 页/共 16 页1.1.网络出口安全问题网络出口安全问题集团公司网络出口设备应配备 1 台华为路由器,该产品主要用于集团公司上网用户的 IP 地址转换,外网光纤链路为电信 50M,由于路由器未提供安全功能模块,集团公司的网络安全受到很大危险,同时集团公
2、司的销售人员在出差时需远程访问公司内网业务系统,现有设备没有防火墙、入侵检测、VPN 等功能,某些功能需要购买软件授权才可以实现。急需对全集团公司网络安全进行改造。解决方案:新购一台网络安全网关 UTM,该产品具备高级功能,同时提供VPN、AV、IDP 等多种功能,UTM 区别于传统防火墙,能分析网络 3-4 层数据报文,自带的规则库能识别 90%的病毒,阻止非法的网络攻击,如非法扫描,漏洞探测,僵尸网络,暴力破解等。通过配置 SSL VPN 可以实现远程用户以安全的虚拟通道连接到集团公司内网访问业务系统,SSL VPN 支持在手机、电脑终端任意访问,不再限制用户的访问终端类型。公司领导可以在
3、家、出差,上下班路上,轻松连接到内网进行相关工作流程的签发,实现了智能终端设备的安全移动办公。2.2.网络带宽管理问题网络带宽管理问题集团公司网络基础平台 2013 年建设完成,互联网接入电信带宽 50M,现阶段对用户上网的行为,上网的带宽,访问的应用没有任何安全控制,如:员工上网在论坛发帖,评论、转发,撰写法 X 功,非法言论,因公司没有相应的管控设备,无法定位和查看是发送者身份,将会给集团公司造成很大负面影响。公安部 82 号令,要求能够记录终端用户访问网站的日志,对外发的内容可以进行审计以及关键字过滤。解决方案:解决方案:新采购一台上网行为管理设备,部署在机房,可以实现对陕西核工业集团公
4、司网络带宽管理、网络行为管理,通过该设备可以配置相应的流量管理策略,可基于用户角色或者时间段来分配带宽管理策略。控制 P2P 下载、在线应用,通过部署了上网行为管理设备,可以灵活、有效的控制和解决陕西核工业集团公司网络带宽及用户访问行为,提升网络安全,实现网络可视化管理。上网行为管理设备有如下四大主要功能特点:核工业集团公司-网络改造方案建议书第 4 页/共 16 页1、内容过滤;2、应用控制;3、带宽管理;4、内容审计;核工业集团公司-网络改造方案建议书第 5 页/共 16 页核工业集团公司-网络改造方案建议书第 6 页/共 16 页3.3.网络架构问题网络架构问题集团公司基础网络建设处于起
5、步阶段,新购置一台千兆三层的核心交换机,新购的核心交换机配置为用户终端网关设备,通过虚拟局域网(VLAN)技术按照楼层的办公区域划分不同的 VLAN,不同的 VLAN 之间不能直接访问,通过三层交换机的路由实现了不同 VLAN 的互访,配置了 VLAN 之后,即使有终端机器感染网络病毒产生的广播报文只在本部门 VLAN 内广播,不会影响其他部门 VLAN,这样大大降低了病毒对网络影响的范围,保护了内网的安全性。核心交换机的强大的背板带宽和包转发率能保证用户的数据请求无阻塞的完成转发,没有网络瓶颈。4.4.无线网络覆盖问题无线网络覆盖问题集团公司办公楼共 11 层,几乎每个办公室都需要无线接入的
6、需求,公司员工的笔记本、手机都有访问无线用于移动办公,访客室、会议室都要求接入无线。现阶段无线接入是通过购买了家用型磊科无线路由器产品来实现的。购买的无线路由器需要逐个安装调试,按照这样的发展趋势,办公楼出现了非常多的家用型无线设备。出现常见的问题有:无线信号不稳定、频繁掉线、相互之间干扰严重、无法集中统一管理所有无线设备、无线网络安全无法控制,非法设备抢占空口资源,管理员经常奔波于每个办公室处理无线连接问题。解决方案:解决方案:1. 简单高效的 AC+瘦 AP 网络架构针对集团公司需要对网络设备实行统一管理的要求,采用了 AC+瘦 AP 网络架构,并结合功能强大的华为 eSight 无线网管
7、功能,不仅可以做到 AP 的统一配置和集中管理,从无线网络配置、故障定位和快速恢复等方面,全面提升无线网络的运维管理效率,让公司网络管理方既省心又省力;另一方面,在 AC 射频管理中采用华为自研的高级优化算法,实现无线覆盖的快速调整和优化,保证无线网络性能。2. 内外网统一的无线访问通过 VAP/SSID,设置内外网为一张物理网络,并且安全隔离出内网、外网,极大的简化了布线成本和对施工的要求;并且易于维护,支撑未来的业务扩展。核工业集团公司-网络改造方案建议书第 7 页/共 16 页3. 稳定可靠的无线连接通过双频、自动信道选择调整、高可靠的无线网络设计,保障集团公司网络干扰小,信号稳定,单设
8、备故障不影响业务等,实现稳定的无线办公环境。5.5.桌面运维管理问题桌面运维管理问题集团公司计算终端约 30 台,当前企业在对人员的管理主要是基于传统的桌面进行管理,主要采用微软组策略或者第三方的管理软件或硬件对终端桌面进行控制,例如: 禁止 USB 口,防止用户利用 USB 设备拷贝数据 禁止蓝牙和红外设备,防止用户通过蓝牙和红外设备传输数据 对数据进行加密,防止文件外泄造成信息外流但是这些手段并不能很好地解决当前问题,仍然存在以下风险: 目前需要第三方的软件禁止 USB 访问,但是都在客户端实现,具有技术背景的开发人员可以绕开软件,通过 USB 设备将数据拷贝出来 目前的的软件对蓝牙和红外
9、设备的管理能力有限 对数据进行加密,开发人员可以通过各种手段进行反向破解 移动设备的普及使得用户可以不通过传统存储设备,利用蓝牙和红外将数据传输到手机等设备上 用户也可以通过将硬盘 PC 上拆卸下来,带走通过其他 PC 进行拷贝,而这些手段实施也存在以下的问题和局限:当前解决方案都是在客户端实现,而开发人员可以通过各种手段将并不处于管理员可控范围内的客户端上的数据拷贝出来;开发人员使用桌面上各种应用的行为无法记录,对于不合理行为无法进行控制;采用多种软硬件技术进行管控,成本高,效果差,像补丁一样对各个潜在风险进行修补,无法根本上解决问题;为了满足业务需求,目前开发人员都必须得在企业进行开发,占
10、用企业大量的设备,场地,整个开发成本高。使用虚拟桌面解决方案可以很好地解决上述问题:使用虚拟桌面解决方案可以很好地解决上述问题: 由于虚拟桌面是基于服务器计算的模式,所有的计算都是发生在服务器上,即运行在服务器上的虚拟操作系统(xp,vista,windows 7) ,所有数据都在服务器上产生,所以可以从根本上控制数据的访问和使用,核工业集团公司-网络改造方案建议书第 8 页/共 16 页即通过策略限制将产生的数据存储在本地磁盘,USB 设备上。 利用远程访问协议高效性,以及对数据的安全访问机制,开发团队可以通过网络包括 vpn 网络远程进行开发,而无需在企业规定的开发场地,占用大量的资源。
11、通过提供虚拟桌面,企业无需为开发方的团队提供设备,或者对这些设备进行全面管理和支持,可以让开发方使用自己的设备,只需要网络进行管理,访问受控的、安全的、开发虚拟桌面。开发环境被分为可控的虚拟开发环境与物理的自有环境,在满足开发人员的特殊需求同时,能够管控开发环境,减少企业 IT 人员的管理复杂性。 可以利用服务器的资源动态进行调整,满足用户的需求,而不需要采购新的 PC 满足需求。 虚拟桌面最大限度共享资源,大大降低能源消耗和碳排放量。当然虚拟桌面解决方案本身实施中也有一些需要克服的障碍: 需要采用虚拟桌面的解决方案,将传统的桌面计算转换到服务器计算,所以需要投入一定数量的服务器与软件 已有的
12、投入的桌面由于计算压力的调整,可能无法充分发挥其计算能力 虚拟桌面方案需要网络的支持,实现不受地域的访问,当然对于企业的应用开发,网络连接是最起码的基础要求 由于桌面使用方式产生了一定的变化,需要对用户的使用习惯进行调整 由于在工作过程中,虚拟桌面也是需要连接到网络进行工作的,所以虚拟桌面本身并不能解决数据通过网络传输外泄的风险,但是由于只有这一条潜在外泄通道,企业 IT 管理人员可以通过网络工具和设备来对网络进行管理,解决这一问题 从整体对比来看,虚拟桌面解决方案从数据安全的角度,相对于传统本地桌面,从成本,管理,安全和环保层面,都有很大优势,而且已经成为了未来趋势。核工业集团公司-网络改造方案建议书第 9 页/共 16 页5.5.服务器数据安全问题服务器数据安全问题集团公司现应配备联想服务器 1 台,用于支撑公司财务系统运行,财务数据保存在服务器本地硬盘。财务报表等数据是集团公司最机密的信息,一旦服务器系统损坏或者硬盘故障,将面临集团公司无法访问财务系统,严重情况下将会导致数据丢失。同时现有服务器只承载了一个业务系统,服务器的 CPU,内存等物理资源长期利用率在 3%以下,造成资源了极大浪费,但因为现有的服务器建设架构无法提高服务器硬件资源利用率
