多厂区企业网络安全规划与设计

　　一、项目背景

　　1、企业网络安全现状

　　某集团企业各公司分布于三个工业园区：总部G、工业园H及工业园K，这三个园区网络相互独立，各自建有内部局域网，并有单独的公网出口。随着企业信息化项目建设的需要，现有网络已无法满足对数据安全的需要，问题主要体现在以下几个方面：

　　(1)各个工业园区互相独立，网络资源没有得到充分的利用，对通过网络传输的涉密数据无加密措施；

　　(2)各个工业园区未部署专业防火墙进行网络防护，易受网络攻击和非法入侵，给网络安全埋下隐患；

　　(3)各个工业园区均未实现对终端用户电脑的统一管理，用户可随意修改注册表、对文档进行拷贝及添加删除软件，也无法限制用户对终端电脑硬件的拔插及更换，使得涉密数据易于流出；

　　(4)各个工业园区均未实现对员工网络行为的有效管理，个别员工的网络行为可能会给企业带来不好的影响，如网络泄密、办公时间玩网络游戏、BT下载吞噬网络带宽等；

　　(5)集团公司未部署统一的防病毒软件或设备，各个工业园区网络也没有进行VLAN划分，无法及时有效的阻止病毒的传播和对病毒进行查杀，无法抑制网络广播风暴的形成，极易因个别设备故障或终端用户的不当操作造成整个网络瘫痪。

　　2、需求分析

　　随着网络信息技术的发展，越来越多的企业利用信息技术来提高自身的行业竞争力，以便于在充满竞争的市场中取得先机。随着企业的进一步发展，对企业信息化建设有了更深的需求，企业的快速发展离不开高效的现代化管理与网络信息化的应用。

　　根据企业网络现状，结合考虑信息化建设的需要，本次网络安全规划主要涉及到以下五个方面：网络互联互通、网络安全与防御、病毒防护、终端安全管理、上网行为管理。

　　3、建设原则

　　(1)可靠性与安全性

　　网络系统的稳定可靠是应用系统正常运行的关键保证，通过虚拟专用网络(VPN)技术、加密、防火墙等技术，并制订统一的骨干网安全策略，整体考虑网络平台的安全性。

　　(2)技术先进性和实用性

　　保证满足应用系统业务的同时，又要体现出网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来，充分考虑到企业网络应用的现状和未来发展趋势。

　　(3)标准开放性

　　支持国际上通用标准的网络协议、国际标准的大型的动态路由协议等开放协议，有利于保证与其它网络之间的平滑连接互通，以及将来网络的扩展。

　　(4)灵活性及可扩展性

　　根据未来业务的增长和变化，网络可以平滑地扩容和升级，并在扩容和升级过程中最大程度的减少对网络架构和现有设备的调整。

　　(5)可管理性

　　对网络实行集中监测、分权管理，并统一分配带宽资源。选用先进的网络管理平台，具有对设备、端口等的管理、流量统计分析，及可提供故障自动报警。

　　(6)经济性

　　采用先进、合理、实用的技术方案，配置性能价格比最佳的设备。

　　二、网络安全规划方案

　　1、网络安全规划

　　结合企业整体网络需求，在原有的网络架构基础上增加防火墙、核心交换机、上网行为管理系统、网络杀毒系统、内网管控系统，以搭建一个“高效的、安全的、可用的、可扩展的、可管理”的信息化网络平台。

　　规划后的网络拓扑结构如下图所示：
 

　　2、规划方案说明

　　(1)防火墙：在各个园区各部署一台硬件防火墙，用于抵御外部的攻击，保障网络的稳定，保护公司内部运行的应用系统的安全性，也要满足企业未来信息化建设的需要，保障业务的正常运行。

　　该设备集成专业的VPN功能，通过VPN功能可使三个工业园区互联形成一个大的局域网，而集团的各种核心数据通过VPN加密传输，保证数据的完整性、保密性和准确性，同时出差用户可通过VPN拨入公司内网。

　　(2)核心交换机：在各个园区各部署一台核心交换机，以保证网络主干的可靠性和稳定性，为网络中同时运行的多种应用与服务提供强有力的服务质量保障；在核心交换上划分虚拟局域网(VLAN)，将增强局域网的安全性，含有敏感数据的用户组可与网络的其余部分隔离，从而降低泄露机密信息的可能性，也可有效的防范广播风暴的形成。

　　(3)上网行为管理：在各个园区各部署一台上网行为管理设备，规范员工的上网行为。防止员工在上班时间进行对等网络(P2P)下载、玩网络游戏等影响网络稳定及工作效率的行为，同样防止员工利用公司网络发表非法言论，给公司带来不好的影响。

　　(4)网络版杀毒软件：在总部部署一台服务器，安装杀毒软件服务器端程序，在各个园区终端用户电脑上安装杀毒软件的客户端。网络版杀毒软件在满足对病毒防范的同时，做到统一管理，保证病毒库的及时升级。

　　(5)内网管理系统：在总部部署一台内网管理系统服务器，各个园区终端电脑安装内网管理软件的客户端。通过内网管理系统实现个人计算机(PC)资源的统一管理，应用程序控制，禁止用户随意安装卸载软件，禁止用户随意修改注册表和IP地址等，监控终端机上的企业核心数据流转方向(移动存储、即时聊天传输、邮件、网站上传等等)，可对终端机进行安全等级审计(病毒库升级、操作系统漏洞补丁等)，加密控制，硬件改动报警(换内存、换硬盘、换CPU等给企业带来损失)。

　　3、方案综述

　　在保持各个园区现有网络架构的基础上，充分利用园区现有网络资源和设备，通过VPN模式实现各个园区的互联互通，为后期信息化建设搭建一个统一运行平台，也保证了分厂工业园区与总部之间核心数据交换的安全性，对外网的访问仍通过本地出口，避免VPN通道因数据流量过多造成阻塞。

　　总部的网络杀毒软件服务器定期将最新病毒库通过VPN向各园区终端电脑进行推送，如果VPN通道拥挤，终端也可通过本地公网出口进行联网升级，及时、有效的防止病毒感染和传播。

　　上网行为管理和内网管控系统，从内外网两方面双重规范终端用户行为，保证了公司核心、关键数据的安全，提高了网络资源的有效利用率，也提升了员工的工作效率。

　　本方案根据企业的网络安全及内、外网管控需求，构建了一个以网络信息安全为中心的高效的、安全的、可用的、可扩展的、可管理的信息网络。

　　三、结束语

　　通过本次网络升级改造，实现了从终端计算机安全到最终的核心层网络安全以及外地用户远程访问安全，为未来公司网络建设、生产信息化、办公自动化、集团信息化管控、虚拟化、物联网和云计算等打下了良好的基础，取得了很好的效果。网络和信息安全是并非一劳永逸，需要我们在以后的工作中不断学习，不断改进，争取最大化的实现网络与信息的安全运行，为企业信息化项目建设提供一个坚实的平台。

核心关注：拓步ERP系统平台是覆盖了众多的业务领域、行业应用，蕴涵了丰富的ERP管理思想，集成了ERP软件业务管理理念，功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理，全面涵盖了企业关注ERP管理系统的核心领域，是众多中小企业信息化建设首选的ERP管理软件信赖品牌。

转载请注明出处：拓步ERP资讯网http://www.toberp.com/

本文标题：多厂区企业网络安全规划与设计

本文网址：http://www.toberp.com/html/consultation/10839512014.html