企業信息化建設安全解決方案第PAGE企業信息化建設安全解決方案第33頁企業信息化建設安全解決方案目錄前言 1概述 1安全體系 1本文研究內容 2**集團企業信息化現狀 2**集團企業信息化現狀 2**集團現狀 錯誤！未定義書簽。**集團信息化現狀 2主要系統現狀及存在問題 3其他問題 4**集團企業信息化系統需求分析 4網絡需求分析 4系統需求分析 5安全需求分析第二章**集團企業信息化現狀 7安全管理策略 10**集團企業信息化及安全整體解決方案 13**企業信息規劃總體方案 13系統設計原則及進度安排 13**集團網絡拓撲圖 13**集團整體網絡概述 13網絡建設 14中心機房及其配套設施建設 14中國實業集團與**集團公司的連接 14各實業分公司網絡與**集團公司連接 14網絡建設方案總結 14系統建設 16財務系統 16人力資源管理系統 16門戶、OA系統 16門戶系統建設 17業務管理和運營支撐系統 17企業信息化管理 17安全建設 17網絡邊界安全防護 17入侵檢測與防御 18安全漏洞掃描和評估 20防病毒系統 20終端監控與管理 21結束語 22論文工作總結 22本方案不足之處 22企業信息化建設安全解決方案第PAGE企業信息化建設安全解決方案第2222頁前言概述國內企業的信息化建設也經歷了幾起幾落，取得了一些成績，也積累了一些經驗教訓。在發展的同時，各企業也不同程度上產生了信息孤島，信息集成的優勢還沒有發揮出來，阻礙了企業信息化的發展，并在相當程度上抵消了網絡技術帶給我們的便利和效率。如果我們把分析信息系統集成問題的著眼點放在基礎數據信息流上，通過基礎數據信息流將企業各部門的主要功能“穿起來”，而不是根據現有部門的功能來考慮信息系統的集成問題，就可以建立起既具有穩定性，又具有靈活性的全企業集成1T十二分數據”，信息系統的實施是建立在完善的基礎數據之上的，而信息系統的成功運行則是基于對基礎數據的科學管理。因此，理順企業的數據流是企業信息化建設成功的關鍵之一。信息化建設是對企業管理水平進行量化的過程，企業的管理水平是信息化的基礎。管理是一種思路，這種思路可以用數字來表示，當這些數字形成數據流時，也就表示了這一管理思想的過程，理順了數據流也等于理順了管理。ITIT的軟件產品。企業信息化就是利用技術的手段將先進的企業管理思想融入企業的經營管理中，在這個過程中將最終實現對財務、物流、業務流程、成本核算、客戶關系管理及供應鏈管理等各個環節的科學管理。因此要明確部門間哪些數據需要共享，哪些數據要上報企業領導，哪些部門需要獲取外部的知識或信息，企業的哪些數據需要對外發布和宣傳，哪些數據需要保密，子公司要與總公司交換哪些數據等等。當數據流理順后，相應的業務管理流程也就一目了然，管理流程也就理順了。圖l一l安全體系網絡安全是一個綜合的系統工程，需要考慮涉及到的所有軟硬件產品環節。網絡的總體安全取決于所有環節中的最薄弱環節，或者說如果有一個環節出了問題，其總體安全就得不到保障，這也就是所謂的木桶效應，一個由一根根木條釘成的水桶，它的盛水量是由其最短的那根木條決定的，網絡安全正是如此，其設計、實施必須要有全面的考慮，否則就會得不到保障。網絡安全也是個長期的過程，是個不斷完善的過程，不能說買了幾個產品就一勞永逸的解決了所有的安全問題，需要不斷對現有系統進行安全評估，發現新的安全問題，另外也要跟蹤最新的安全技術，及時調整自己的安全策略。通常安全設計需要參照如下模式:圖安全模式網絡安全不單是單點的安全，而是整個系統的安全，需要從物理、鏈路、網略，加強業務網安全措施。本文研究內容本課題源于**集團企業信息化建設這一項目。目前**集團各子公司各自組網，使用各自的以辦公系統。為了適應市場的不斷發展和激烈競爭，提高福建電信實業公司的服務水平和服務質量，增強對新業務的支撐能力和反應速度，滿足客戶需求的不斷變化和發展，要求建立一個統一的對外平臺。現在互聯網處于開放的狀態，網上充斥著各種信息，病毒、惡意攻擊、竊取公司機密等等屢見不鮮，由于**集團與各子公web同時抗擊各種非法攻擊和干擾，保證網絡安全可靠。**集團企業信息化現狀**集團企業信息化現狀**集團信息化現狀描述……主要系統現狀及存在問題描述……門戶網站、企業郵箱系統目前**用電信的服務器或硬盤空間。各子公司的網站和實業公司的網站系統之間沒有進行“超鏈”。**司的郵箱系統都是主機托管或租用電信的郵箱服務。人力資源管理系統目前所有子公司都沒有單獨完整的人力資源管理系統，部分公司目前使用的人80HRC/S2都強烈希望集團能夠盡快提供一套統一的人力資源管理系統。財務管理系統、報表系統K/3C/S2等)。目前沒有購買久其公司的維護支撐服務。經營分析系統目前包括**IT要通過各業務部門手工提取數據進行加工分析后形成經營分析報告。業務運營支撐系統其業務。該系統技術架構比較先進，功能基本滿足該公司的業務需求，由于為自己開件開發、系統集成、電信業務支撐服務、生產銷售、工程服務、工程設計，目前沒有IT其他問題統資源利用和性能指標缺乏實時的、集中的監控管理機制;InternetInternetInternet，存在網絡安全隱患;的口令管理機制，認證方式不可靠。一監控和管理，系統管理員維護工作量較大并且復雜。**集團企業信息化系統需求分析網絡需求分析結合**1T0609IT**5IT圖IT基礎設施建設實施關鍵點明確應用系統的硬件及網絡帶寬需求5**IT容量、存儲容量等需求，在機房設計施工時預留足夠的余量。安全方案設計nternet集團企業信息化現狀統，采取各種安全措施、備份措施，包括物理安全和人為操作安全。內外網隔離方案是安全的一個重要基礎，現在采用物理隔離方案的安全性最高，但是會給應用系統的部署和使用帶來不便。考慮到現有的網絡安全設備以及技術方案比較成熟，安全強度足夠高，并且應用上需要支持遠程辦公，本次建設將不采用物理隔離方式。異地備份方案采用在子公司機房部署備份服務器的方式。機房選址選定**機房作為中心機房，該機房具有較大的擴展空間。異地備份機房選用郵科公司智能網機房。UPS、增加空調設備等現有機房的市電容量不足，沒有專用空調，未配備統一的UPS，因此需要在本次建設統一考慮。網絡實施包括專線線路、ADSLVPN線路、樓內線路的施工、調測，施工進度依賴線路提供商和綜合布線進度，必須做好工程質量監督和進度監督。設備采購、安裝IT庫軟件盡量選用同一種，中間件也盡量選用相同廠家的同一版本，這樣便于管理和維護，也可以共享主機平臺，但是對設備的可靠性和性能要求較高，并且需要考慮系統5200%性能參數配置主機設備，此外主機設備留有等量的擴展空間。系統需求分析:財務系統**集團與各子公司財務業務統一，軟件統一，這是本次的財務系統的集中部署的最有利條件。第二章**集團企業信息化現狀新的財務系統最好能夠和現有在用系統的操作習慣比較一致。人力資源管理系統**目前在人力資源管理系統上基本處于一片空白，在業務上也處于比較原始的人事管理水平。對未來的系統無法提出有深度的需求，因此本次人力資源管理系統應該具備最核心的功能，兼顧性價比，系統一邊建設一邊培訓，通過成熟系統向現有的人力資源管理人員灌輸先進的人力資源管理理念，固化并統一全省的人力資源管理制度。當人力資源管理達到相當水平后，結合我省的實際情況，人力資源管理部門人員必然會提出一些新的需求，這些需求通過對系統進行二次開發來滿足。門戶、0A系統從現狀看，**的以系統建設也是參差不齊的，大部分專業公司對以系統的需求不是非常強烈。但是從管理上看，0A管理部門是必須的。由于大部分專業公司還沒有建設以系統，因此考慮本次所有子公司的以系統在選型上和**一致。為了降低系統的推進難度，第一期只在**部署統一的0A產生的本地化需求不能在現有系統上進行配置或二次開發來滿足時，才考慮在子公司單獨部署以系統。以系統在選型時必須考慮良好的接口開放性和二次開發支撐能力。**集團、設計院、郵科公司、工程公司都擁有自己的公司網站，但是功能簡單，且連最簡單的互相鏈接都沒有。**需要一個統一的門戶來有效整合各子公司的品牌資源，做統一的形象推廣。第一期通過統一的門戶系統、統一門戶域名、統一郵箱域名的方式進行門戶建設，同時把以、經營分析、報表軟件等通過門戶系統進行集成，提供單點登錄、統一鑒權功能，把系統建設、維護集中在**，這樣可以方便將來的維護、升級，同時最大限度降低對各子公司的IT能力的要求。業務管理和運營支撐系統**目前基本沒有業務管理和業務運營支撐系統，規劃中要建立**數據中心，收集業務統計相關數據的建設需求。我**各專業公司層面則第二章**集團企業信息化現狀己經建立了部分業務運營支撐系統。業務管理和業務運營支撐上，實業和主業之間存在顯著差異:主業的業務同質性相當高，而實業則是一個復雜的、多業務類型的集團企業。我**未建立統一、獨立的業務管理系統，在業務運營支撐系統方面，主要是以專業公司為主進行自行建設。**層面目前對于業務管理和業務運營支撐沒有強烈的系統支撐需求，考慮到實業本身多業務、多行業的特征，并且**對專業公司主要是進行投資管控，我省業務運營支撐系統以專業公司為主來進行建設比較合理，一方面能夠盡可能的貼近專業公司自身的需求，不是為建系統而建系統:另一方面**公司對專業公司的管理主要是投資類型的管控，而非運營類型管控，因此**沒有必要對專業公司的業務運營做過多的管理和干涉，否則容易造成捆住專業公司手腳的局面。**在組織架構等工作陸續完成后，將逐步加強對業務的管理。本期建設完成后，將在**層面建立合同協調服務系統，主要對專業公司的合同信息、合同狀態等做實時了解。企業信息化管理**ITITITIT1TITITIT致重復投資問題，如很多專業公司自行建設或準備建設的人力資源管理系統。因此，我們本次企業信息化建設能集中的系統就集中，不能集中的才考慮由專業公司自行建設，但是由**進行指導選型。其次，**ITITIT**范圍的企業信息化建設。在系IT安全需求分析第二章**集團企業信息化現狀物理安全風險分析網絡物理安全是整個網絡系統安全的前提。安全以人為本，如果管理不善或一些不可抗力的因數的存在，**集團網絡的物理環境可能存在如下的風險:地震、水災、火災等環境事故造成整個系統毀滅;電源故障造成設備斷電以至操作系統引導失敗或數據庫信息丟失;設備被盜、被毀造成數據丟失或信息泄漏;電磁輻射可能造成數據信息被竊取或偷閱;報警系統的設計不足可能造成原本可以防止但實際發生了的事故。鏈路傳輸風險分析**UTP通過電磁輻射泄露的可能。**構成嚴重的安全威脅。網絡結構的安全風險分析來自外部網絡的安全威脅出于業務的需要，**InternetInternet單位網絡可以與**其次，各系統的互聯互通會使得跨系統的攻擊和病毒傳播成為可能，帶來極大的安全隱患。**集團網絡中的服務器及各人主機上都有涉密信息。假如內部網絡的一臺機器安全受損(被攻擊或者被病毒感染)，就會同時影響在同一網絡上的許多其他系統。透過網絡傳播，還會影響到與本系統網絡有連接的外單位網絡。如果系統內部局域網絡與系統外部網絡間沒有采取一定的安全防護措施，內部網絡容易造到來自外部網絡的一些不懷好意的入侵者的攻擊。如:入侵者通過漏洞掃描、SnifferIPTCP內部合法身份進行非法登錄，竊取內部網重要信息;PING超負荷工作以至拒絕服務甚至系統癱瘓;發送大量包含惡意代碼或病毒程序的郵件。內部局域網的安全威脅據調查在已有的網絡安全攻擊事件中約70%是來自內部網絡的侵犯。來自機構內部局域網的威脅包括:是沒有訪問關鍵系統權限的員工因誤操作而進入關鍵系統，由此而造成的數據泄露、偷竊、損壞或刪除將給企業帶來很大的負面影響;如果工作人員發送、接收和查看攻擊性材料，可能會形成敵意的工作環境，從而增大內耗;密信息傳播出去;內部人員在上班時間玩游戲，看視頻等。較復雜，第二章**用而安全性不佳。IPTCP/IP，IP信息在局域網和廣域網中傳輸，都存在被竊聽和篡改的危險。當從一個安全區域易與系統服務操作的危險。種因素都將網絡安全構成很大的威脅。系統的安全風險分析所謂系統安全通常是指網絡操作系統、應用系統的安全。操作系統的安裝以正全角度考慮，其表現為裝了很多用不著的功能模塊，開放了很多不必開放的端口，其WindowsUNIX全漏洞都將存在重大安全隱患。但是從實際應用上，系統的安全程度跟對其進行安全配置及系統的應用面有很大關系，操作系統如果沒有采用相應的安全配置，則其是漏洞百出，掌握一般攻擊技術的人都可能入侵得手。如果進行安全配置，比如，填補安全漏洞，關閉一些不常用的服務，禁止開放一些不常用而又比較敏感的端口等，那么入侵者要成功進行內部網是不容易，這需要相當高的技術水平及相當長時間。因此應正確估價自己的網絡風險并根據自己的網絡風險大小作出相應的安全解決方案。第二章**集團企業信息化現狀應用的安全風險分析應用系統的安全涉及很多方面。應用系統是動態的、不斷變化的。應用的安全性也是動態的。這就需要我們對不同的應用，檢測安全漏洞，采取相應的安全措施，降低應用的安全風險。資源共享的安全風險**件共、打印機共享等。由此就可能存在著:員工有意、無意把硬盤中重要信息目錄共享，長期暴露在網絡鄰居上，可能被外部人員輕易偷取或被內部其他員工竊取并傳播出去造成泄密，因為缺少必要的訪問控制策略。系統的安全風險**WebWeb身存在漏洞容易受到攻擊，網頁被篡改，WebWebWeb數據庫服務器的安全風險**集團網絡內部的很多應用是基于數據庫的。數據庫服務器的安全風險包括:數據庫服務器的管理員口令過于簡單，非授權用戶的訪問，通過口令猜測獲得系統管理員權限，數據庫服務器本身存在漏洞容易受到攻擊等。數據庫中數據由于意外(硬件問題或軟件崩潰)而導致不可恢復，也是需要考慮的安全問題。電子郵件系統的安全風險內部網用戶可通過拔號或其它方式進行電子郵件發送和接收這就存在被黑客跟蹤或收到一些特洛伊木馬、病毒程序等，由于許多用戶安全意識比較淡薄，對一些來歷不明的郵件，沒有警惕性，給入侵者提供機會，給系統帶來不安全因至素。病毒侵害的安全風險網絡是病毒傳播的最好、最快的途徑之一。病毒程序可以通過網上下載、電子郵件、使用光盤或軟盤、人為投放等傳播途徑潛入內部網。因此，病毒的危害第二章**集團企業信息化現狀的不可以輕視的。網絡中一旦有一臺主機受病毒感染，則病毒程序就完全可能在極短的時間內迅速擴散，傳播到網絡上的所有主機，可能造成信息泄漏、文件丟失、機器死機等不安全因素。管理的安全分析管理方面的安全隱患包括:單，導致很容易破解;息泄密;息傳播給外人帶來信息泄漏風險;入侵的條件;這些都將給網絡造成極大的安全風險。管理是網絡中安全得到保證的重要組成部分，是防止來自內部網絡入侵必須的部分。責權不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。即除了從技術上下功夫外，還得依靠安全管理來實現。性能需求由于安全控制的原理和特點，加上了安全的防護手段之后，多多少少會對網絡和系統帶來性能的影響。因此，我們在進行安全設計和選擇安全產品時，必須將對網絡和系統的性能的影響的考慮放在重要的位置安全管理策略網絡安全關鍵基礎之一就是構成企業總體信息安全方案的綜合策略。第二章**集團企業信息化現狀安全管理策略安全管理貫穿在安全的各個層次實施。從全局管理角度來看，我們制訂了全局的安全管理策略;從技術管理角度來看，實現安全的配置和管理;從人員管理角度來看，實現統一的用戶角色劃分策略，制定一系列的管理規范;從資源管理角度來看，實現資源的統一配置和管理。**集團網絡的安全管理策略是保證網絡安全的核心。安全管理策略的實施需要工作人員和領導的支持。一個良好的安全管理策略應包括如下內容:購買產品的參考之一;隱私政策:制定監控電子郵件、記錄鍵盤敲擊及訪問用戶文件的可接受的隱私程度;訪問政策:制定用戶、操作人員及管理人員的訪問權限，用來保護資產不被盜用。南，同時也應包括通知信息(例如連接后應提示合法使用的說明，而不僅僅顯示“歡迎，’);驟);訪問的認證指南及認證設備(如一次性口令及生成這些口令的設備)的使用說明;可用性聲明:使用戶對系統的可用性有所了解。如果系統被入侵，用戶根據這個聲明所述，就可以知道系統在多長時間內可以恢復。聲明應提及冗余及恢復的解決方法，列出操作時間及因維護而造成的停機時間，以及網絡發生故障時的負責人是誰;信息技術系統及網絡維護政策:說明內部及外部的維修人員如何處理訪問技術。該方法；違規報告政策:指明哪類違規行為應該報告(例如個人隱私及安全、內部及外部)以策還應包括企業發生安全事故后應對外界詢問的指南，及指明企業信息的保密程度，即哪些信息不應向外界披露。訪問控制策略訪問控制的目的是控制信息的訪問。訪問控制是對用戶進行文件和數據操作權限的限制，主要防范用戶的越權訪問。訪問控制策略應按照業務及安全要求控制信息及業務程序的訪問，訪問控制策略應包括以下內容:每個業務應用系統的安全要求;確認所有與業務應用系統有關的信息;信息發布及授權的策略，例如:安全級別及原則，以及信息分類的需要;不同系統及網絡之間的訪問控制及信息分類策略的一致性;關于保護訪問數據或服務的相關法律或任何合同規定;一般作業類的標準用戶訪問配置;在分布式及互聯的環境中，管理所有類別的連接的訪問權限。網絡訪問控制用于控制內部及外部聯網服務的訪問，以確保可以訪問網絡或網絡服務的用戶不會破壞這些網絡服務的安全。不安全地連接到網絡服務會影響整個機構的安全，所以，只能讓用戶直接訪問己明確授權使用的服務。這種安全控制對連接敏感或重要業務的網絡，或連接到在高風險地方(例如不在安全管理及控制范圍的公用或外部地方)的用戶尤其重要。**安全保密設備進行隔離和訪問控制;在同一安全域中，根據信息的密級和信息重要性進行分割和訪問控制。通常將**集團網絡重要服務器所在的子網和重要的工作子網分別劃分為單獨的安全域。當局域與遠程網絡連接時，通常在局域網與遠程網絡之間的接口處配置安全保密產品。(如防火墻、保密網關等)進行網絡邊界安全保護，第二章**DDNPSTN網絡安全監控與入侵檢測策略網絡安全監控可以測試企業所實施的安全控制是否有效。同時，安全監控是檢測系統及網絡是否有可疑或不正常的通訊的有效辦法。這個步驟用于檢測網絡的潛在漏洞或非授權行為，同時，它可以提醒管理人員網絡現有的安全隱患及應采取什么樣的防護措施。一旦企業系統發生安全事故，管理人員應依據監控系統所提供的警示，為的檢測和控制。入侵檢測作為一種積極主動的安全防護技術，從網絡安全立體縱它可在網絡系統受到危害之前攔截和響應入侵。我們通過在**追查攻擊的來源提供基本數據。并把這些信息集中報告給數據中心的集中管理控制臺。漏洞掃描與風險評估策略從信息安全的角度看，漏洞掃描是網絡安全防御中的一項重要技術，其原理手工勞動，有利于保持全網安全政策的統一和穩定。計算機病毒防治策略WNDOWS二章**之一。我們從預防病毒、檢測病毒和殺毒考慮網絡的網絡安全。安全審計策略安全審計有助于對入侵進行評估，是提高安全性的重要工具。審計信息對于確定是否有網絡攻擊的情況發生，以及確定問題和攻擊源都非常重要。通過對安全事件的不斷收集與積累并且加以分析，可以為發現可能的破壞性行為提供有力的證據。備份與恢復策略主要設備、軟件、數據、電源等都應有備份，并有技術措施和組織措施能夠在較短時間內恢復系統運行。如果日常工作對涉密系統的依賴性特別強，則建立遠程的應急處理和災難恢復中心。我們考慮的備份主要包括數據備份、服務器備份、線路備份等幾個方面。實時響應和恢復策略我國的許多企業單位對防范天災人禍有一套成型的體系，對于網絡安全的災難事件卻通常會手足無措。為此，制定一套完整、可行的事件救援及災難恢復的計劃對于企業來說是非常重要的。災難恢復的步驟應包括測試救援程序的有效性(是否對可疑的通訊及事故作出反應)、在事故發生后，企業如何分析事故的發生過程、程序如何迅速恢復、如何減少企業的損失等。第三章**集團企業信息化及安全整體解決方案**集團企業信息化及安全整體解決方案**企業信息規劃總體方案系統設計原則及進度安排**集團的整體網絡在設計中遵循以下原則:良好的擴展能力:包括業務網點的擴展、業務量和業務種類的擴展。露。使數據具有極高的可靠性。高度的可靠性，網絡在連接失敗時能有遷回路由，并有效地消除單點失效的隱患。可升級性:改造后的網絡在向更新的技術升級時，能保護現有的投資。根據**IT**IT**集團網絡拓撲圖以下為**集團整體網絡規劃拓撲圖:**集團整體網絡概述

網絡拓撲圖**集團公司網絡整體從安全、穩定、高速和服務質量(QoS)SitetoSiteVPNVPN接。在分公司和省公司都部署相應的PE設備。**集團公司網絡采用雙線路備份，通過采用 CNZMPLSvPN做為與集團公司和地市實業分公司的首選網絡連接，采用InternetVPN做為備用線路連接集團公司和地市實業分公司。第三章**集團企業信息及安全整體解決方案服務器端使用兩塊網卡橋接，對外使用網絡橋連接網絡設備，首先通過二層交換機接入到主備用ASA555O防火墻，由防火墻控制所有用戶的訪問權限，關閉非使用端口，開啟服務器所承載以、財務、人力應用服務需要使用的端口。DDMZ換機做路由控制，接入本大樓內分公司網絡及實業本部網絡，由其控制訪問服務器、VPNInternetVPNC1scoASA552O墻，同時提供撥號VPN接入，外網訪問通過燦眼rantenF60O防火墻控制后接入公網網絡，同時提供備用撥號VPN接入。外網WEB服務器接在AmarantenF600防火墻區，對外開啟 tep80http服務。網絡建設中心機房及其配套設施建設因為需要采用兩種接入方式，因此我們在**集團中心機房采用以下設備核心路由器。與各分實業公司的連接方面，因為要使用 CNZMPLSVPN線路，因此我們建議采用一臺思科公司的Cisco28n路由器作為**CE，讓各各實業分公司用戶可以高速、安全、穩定地訪問**集團中心機房的應用服務器及訪問集團機房應用務器。VPN采用思科公司的ASA5520Internet中國實業集團與**集團公司的連接CNZ**CNZ能好，傳輸速率高，信道利用率高，網絡時延小等特點。各實業分公司網絡與**集團公司連接**集團與各實業分公司辦公用戶的連接各實業分公司需要與**集團中心機房建立高速穩定的連接，因此采用一臺CISCO28nRJ451CNZInternetVPN，滿足鏈路備份使用。**與遠程移動辦公用戶的連接對于互聯網用戶、遠程移動辦公人員采用 LZtPoyerIpse。VPN結合的方式組網建設成本比較低，信息安全也得到有效保障。網絡用戶的安全認證**信息化應用系統涉及多個分公司的應用用戶，用戶人數較多，為有效管理用戶的訪問行為，審計用戶相關訪問信息，在**采用單點登錄認證，后期增加以認證。網絡建設方案總結兼容性和擴展性該系統具備良好的兼容性和擴展性，具體表現在以下各方面:VPN4GE1100M5005000IPSe。vPN500WEBVPN2500WEBVPN**集團公司的廣域網安全接入的較長時間內的需求。CNZ及時延要求。各實業分公司采用一臺CISCO28nRJ451電路占用一條，InternetVPN**集團企業信息化及安全整體解決方案高可靠性、穩定性**7X24成沉重的打擊。安全性**集團中心機房網絡部分:中心機房采用自適應安全設備作廣域網的核心安全設VPN(AIM)結合在一起。借助融合型防火墻、入侵防御系統(IPS)AntiXVPNVPN**CNZPS性及對**集團內部網絡的全面安全的保護。CNZ**數據和應用的安全性。遠程移動辦公用戶的接入安全性:使用**LZtpoverIpsecVPNVPN和應用在鏈路層的安全性。**CIScoACS4.0易維護性**集團公司信息平臺建設完成后，有多個應用系統在平臺上運行，并有多種廣域網的接入方式，中心機房的網絡和設備數量多，本方案提供統一的網絡管理系統CIScoworkSVMSVPN**安全整體解決方案備等作監控和管理，提供信息平臺的綜合管理的功能。選用國際知名品牌的設備和系統，技術和服務有保證。網絡和設備品牌盡量統一，易于維護和管理。采用功能強大的網絡管理系統，增強對設備和應用的系統。系統建設財務系統**ERPNC5.0功能域1、財務基礎核算(總帳、應收應付、合并報表等);2、資產管理;3、現金流管理;4、財務狀況監控，財務狀況分析;5、預算管理(編制、執行、結果);6、資金管理，大額支出管理7、關聯交易系統.部署模式集中部署，各子公司遠程登錄本系統使用。人力資源管理系統功能域12、人事管理、崗位及工作信息管理;3、薪酬、考核管理;4、合同管理;5、組織管理;6、統計查詢報表，人力資源分析;7、招聘管理.部署模式集中部署，各子公司遠程登錄本系統使用。門戶、OA系統功能域.部署模式本次以系統的實施將采用**集中部署的模式進行，通過配置各子公司的以流程來實現子公司的以系統覆蓋門戶系統建設企業門戶功能域包括企業信息展現(內部門戶)和企業網站(外部門戶)兩個功能模塊。辦公及輔助管理功能域主要包括文件公務流轉、企業郵箱、知識管理、資產管理四個功能模塊。功能域對外網站企業形象宣傳對內門戶:單點登陸整合郵箱系統整合久其報表系統資產管理業務管理和運營支撐系統采用其報表系統作為業務統一管理和分析系統。.功能域.部署模式集中部署，各子公司遠程登錄本系統使用。企業信息化管理根據實業集團公司信息化建設的總體設計，需要對公司全網路由器、VPN行及時有效的配置，監控和管理，我們采用思科公司提供的CiscoworksVMS(VPN)的Web(IPS)，保護企業的生產率和降低運營成本。第三章**集團企業信息化及安全整體解決方案安全建設網絡邊界安全防護網絡層的安全性首先由路由器做初步保障。路由器一般用于分隔網段。分隔網段的特性往往要求路由器處于網絡的邊界上。通過配置路由器訪問控制列表(AcL)，可以將其用作一個“預過濾器”，篩分不要的信息流，路由器的ACL只能作為防火墻系統的一個重要補充，對于復雜的安全控制，只能通過防火墻系統來實現。**集團信息網服務器，首先通過二層交換機接入到主備用ASA5550防火墻，由防火墻控制所有用戶的訪問權限，關閉非使用端口，開啟服務器所承載以、財務、人力應用服務需要使用的端口。在此道防火墻建立DMZ區，連接省電信公司收發公文的轉接器，建立一高于DMZ區低于內網的管理區，用于管理機的接入。在內網防火墻之外采用兩臺。1sco3750三層交換機做路由控制，接入本大樓內分公司網絡及實業本部網絡，由其控制訪問服務器、分公司VPN及外網路由。與地市分公司的InternetVPN采用CiscoASA552O防火墻，同時提供撥號VPN接入，外網訪問通過AmarantenF60O防火控制后接入公網網絡，同時提供備用撥號VPN接入。外網WEB服務器接在枷arantenF600防火墻眼Z區，對外開啟 tep80http服務。通過制定相應的安全策略防火墻允許合法訪問，拒絕無關的服務和非法入侵。防火墻的安全策略可以基于系統、網絡、域、服務、時間、用戶、認證、數據內容、地址翻譯、地址欺騙、同步攻擊和拒絕服務攻擊等等。連接至防火墻的不同網段之間的互訪均需將到對方或經過對方到其它地方的路由指向防火墻的相應接口，防火墻制定合理的策略保證合法和必要的訪問，拒絕非法入侵。我們通過配置AmarantenF600防火墻實現以下功能:IPInternet。IP**集級將網絡帶寬在不同應用之間進行合理分配，使網絡效率達到最優化。通過三種方式過濾不良內容，包括:URLURL不良關鍵字:所有包含**被屏蔽網頁分類:靦arantenF600情、暴力等)，**FortiGateIP/匿名中繼代理列表(RBL/ORDBL)、MIME頭、關鍵字等多項反垃圾郵件技術在網絡層和內容層為**郵件，以凈化帶寬，減輕郵件服務器負擔，提高**DcNAmarantenF600過濾等信息進行詳細的記錄。入侵檢測與防御入侵檢測幫助系統對付網絡攻擊，擴展系統管理員的安全管理能力(包括安全審計、監視、攻擊識別和響應)，提高信息安全基礎結構的完整性。它在不影響網絡性能的情況下能對網絡進行監測，從計算機網絡系統中收集信息，并分析這些信息，看看網絡中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測作為一種積極主動地安全防護技術，對內部攻擊、外部攻擊及時做出響應，包括阻塞網絡連接、記錄事件和報警等，在網絡系統受到危害之前攔截和響應入侵，第三章**集團企業信息化及安全整體解決方案被認為是防火墻之后的第二道安全閘門。這些通過以下工作來實現:監視、分析用戶及系統活動;系統構造和弱點的審計;識別反映已知進攻的活動模式并向相關人士報替;異常行為模式的統計分析;評估重要系統和數據文件的完整性;操作系統的審計跟蹤管理，并識別用戶違反安全策略的行為。對一個成功的入侵檢測系統來講，它不但可使系統管理員時刻了解網絡系統實現立體縱深、多層次保護的目的。實時監控或最近的網絡數據監控。實時地顯示、監控網絡數據流量并記入日志。每小時網絡數據流量記入日志，顯示并提供詳細的信息。本地或遠程的服務器服務的用戶信息。網絡負載容量和系統狀態的實時顯示。實時檢測、攔截并跟蹤黑客入侵行為檢測、攔截并通過各種方式(手機短信息、eetc)發布警告信息給系統管理員。支持各種規則配置保證檢測和阻止黑客入侵。支持webemailwebmailS/WH/W)。獨立安裝的系統保證更好地防御安全入侵。遠程監控和集中控制。支持和(IAP)控制中心的通訊交流。檢測/保護/布警告和報告(通過報警、email、移動電話)給網絡管理人員。提供黑客的不同信息(目的、黑客行為、攻擊嘗試的數量、解決辦法、黑客攻擊的起止時間等等)。提供針對不同的攻擊行為的詳細信息和對策。提供詳盡的黑客文件來定位黑客位置。e11(和附件)并可以通過關鍵字的匹配進行阻斷(保證保密或機密信息不泄漏)。記錄Telnet，FtPPCemail(正文/附件)、Webmail、Telnet、Ftp間、單個記錄/IPIPIP和每個服務(端口)情況設置攔截端口。日志設置，網絡數據實時監控設置。入侵檢測與防御解決方案利用在線式IPS和旁路式IDS實現。安全漏洞掃描和評估安全漏洞掃描產品能夠最全面的評估企業范圍內的所有網絡服務、防火墻、應用服務器、數據庫服務器等系統的安全狀況，找出存在的安全漏洞，按照高中底三種協議的網絡設備，包括服務器、路由器交換機、工作站、網絡打印機、防火墻等，通過模擬黑客攻擊手法，探測網絡設備存在的弱點，提醒安全管理員，及時完善安全策略，降低安全風險。只需在**集團公司中心機房配置一臺機器上安裝上漏洞掃描器即BDNS務器、數據庫服務器、等進行基于網絡的掃描。系統掃描器通過對企業內部操作系統安全弱點的全面分析幫助組織管理安全風險。系統掃描比較一個組織規定的安全策略和實際的主機配置來發現潛在的安全風險，包括缺少安全補丁、詞典中中可猜中的口令，不適當的用戶權限、不正確的系統登陸權限、不安全的服務配置和代表攻擊的可Console/AgentConsole，AgentConsoleAgent則，通過運用審核程序來提供有關安全風險和位置的簡明報告。利用數據庫掃描器定期地通過網絡快速、方便地掃描數據庫，去檢查數據庫特有的安全漏洞，全面評估所有的安全漏洞和認證、授權、完整性方面的問題。數據庫掃描器目前支持的數據庫類型有 :MSSQLServer、ora。le和Sybase等。只需在一臺PC上安裝上數據庫掃描器可通過網絡對數據庫實施安全漏洞檢測。計劃配置一臺便攜式筆記本電腦安裝漏洞掃描軟件，從不同的網絡位置掃描**集團中心機房所有的應用服務器、交換機路由器、防火墻等聯網設備，該筆記本電腦還可以同時安裝系統掃描器的Console以及數據庫掃描器。防病毒系統通過對病毒在網絡中存儲、傳播、感染的各種方式和途徑進行分析，結合當代企業網絡的特點，在網絡安全的病毒防護方面應該采用“多級防范，集中管理，以防為主、防治結合”的動態防毒