第一篇:企業網絡管理制度及解決方案
企業網絡管理制度及解決方案
企業網絡的通暢一直是企業需要解決的重要問題,網絡的堵塞,對一般員工而言,只是抱怨幾句,然后叫來網管,在網管的協助下稍有改觀,不過依然達不到自己認為的速度,網管知道是有人在下載,可以如果利用路由器將所有的電腦分配網速,那對于真正需要快網速的人來說太慢了,影響正常辦公,然而,對領導而言,如果過慢的網速影響了他自己的上網需求時,無疑,網管就成了領導的發泄對象了,所以企事業單位的網管不是那么好做的。
網管在企業網絡管理的工作中,并不是孤軍奮戰的,借助相關的企業網絡管理設備,可以使自己的網站輕松簡單需要,同時也可以更好的解決各種網絡問題。例如萬任UniERM網絡流量綜合管理系統不僅可以有效控制辦公室的電腦上網行為,而且可以有效保護內網安全、防范內網攻擊,擁有企業級防火墻、負載均衡、企業網絡流量控制等功能,這些都是企業網管在工作中非常需要的功能。
企業網絡管理設備可管理局域網內的所有聯網電腦,全面有效地控制局域網內員工上班時間的所有不規范上網行為,萬任UniERM網絡流量綜合管理系統就可以有效限制p2p下載,禁止點對點下載,控制ftp上傳下載,禁止qq登錄,限制skype在線聊天,有效分配帶寬,禁止個別員工因下載引起的qq帶寬不均衡,禁止所有的在線游戲,限制客戶端游戲,禁止炒股,限制大智慧,封堵炒股軟件等等功能強大,可以輕松控制整個局域網的上網行為。
企業的網絡管理除了配置像萬任UniERM網絡流量綜合管理系統這樣的企業網絡管理設備外,明確的網絡使用制度也是必不可少的,對員工的上網行為規范要落實到實處。
企業的網絡卡、堵、慢問題一直是個老大難,企業擴大帶寬等措施都沒有明顯的改善,所以企業網絡管理設備是一個不錯的選擇,選擇好的網絡管理設備,把企業的網絡管理做好,不僅為企業節約了擴大帶寬的成本,也能提高資源利用率和員工的工作效率。
第二篇:企業網絡建設整體解決方案
大型企業網絡工程解決方案,本方案是一個典型的實際工程可以根據需要和可能,參照此方案靈活應用。
一、企業網絡設計(1)主干網設計
采用千兆以太網技術。千兆以太網技術特點是具有高速數據傳輸帶寬,基本能滿足高速交換及多媒體對服務質量的要求。易于網絡升級、易于維護、易于管理,具有良好的價格比。
傳輸介質。千兆傳輸距離500m以內采用50/125多模光纜;千兆傳輸距離大于500m、小于5000m時采用9/125單模光纜;百兆傳輸距離2000m以內采用50/125多模光纜;百兆傳輸距離大于2000m采用9/125單模光纜。
交換機。主干交換機的基本要求:機箱式結構,便于擴展;支持多種網絡方式,如快速以太網、千兆以太網等;高性能,高背板帶寬及中心交換吞吐量;支持第二、第三交換,支持各種IP應用;高可靠性設計,如多電源/管理模塊、熱插拔;豐富的可管理能力等。
中心機房配置企業級交換機作為網絡中心交換機。為實現網絡動態管理和虛擬局域網,在中心交換機上配置第三層交換模塊和網絡監控模塊。主干各結點采用1000Mbps連接,服務器采用雙網卡鏈路聚合200Mbps連接,客戶采用交換式10/1000Mbps連接。(2)樓宇內局域網設計
要求采用支持802.1Q的10/100Mbps工作組以太網交換機,交換機的數據依據用戶端口數、可靠性及網管要求配置網絡接入交換機,使10/100Mbps流量接至桌面。(3)接入Internet設計
Internet接入系統由位于網絡中心的非軍事區(DMZ)交換機、WWW服務、E-mail服務、防火墻、路由器、Internet光纖接入組成。(4)虛擬局域網VLAN設計
通過VLAN將相同業務的用戶劃分在一個邏輯子網內,既可以防止不同業務的用戶非法監聽保密信息、又可隔離廣播風暴。不同子網的通信采用三層路由交換完成。
各工作組交換機采用基于端口的VLAN劃分策略,劃分出多個不同的VLAN組,分隔廣播域。每個VLAN是一個子網,由子網中信息點的數量確定子網的大小。
同樣在千兆/百兆以太網上聯端口上設置802.1Q協議,設置通信干道(Truck),將每個VLAN的數據流量添加標記,轉發到主干交換機上實現網絡多層交換。(5)虛擬專用網VPN設計
如果公司跨地區經營,自己鋪設專線不劃算,可以通過Internet采用VPN數據加密技術,構成企業內部虛擬專用網。(6)網絡拓撲結構。這部分待續
二、網絡安全性設計
網絡系統的可靠與安全問題:
a.物理信息安全,主要防止物理通路的損壞和對物理通路的攻擊(干擾等)。
b.鏈路層的網絡安全需要保證通過網絡鏈路傳送的數據不被GG。主要采用劃分VLAN、加密通信等手段。
c.網絡層的安全需要保證網絡只給授權的客戶使用授權的服務,保證網絡路由正確,避免被攔截或監聽。
d.操作系統安全要求保證客戶資料、操作系統訪問控制的安全,同時能夠對該操作系統上的應用進行審計。
e.應用平臺的安全要求保證應用軟件服務,如數據庫服務、電子郵件服務器、Web服務器、ERP服務器的安全。
(1)物理安全
機房要上鎖,出入人員要嚴加限制。注意不可讓人從天花板、窗戶進入房間。
機房電力要充足、制冷要合適,環境要清潔。
從工作站到配線柜的配線應該布在偷聽設備接觸不到的地方。配線不應該直接布在地板或天花板上,而應該隱藏在線槽或其他管道里。
應該包括諸如火災、水災等自然災害后的恢復流程。如美國911世貿中心崩塌,大多數公司的數據得不到恢復。
(2)防火墻
防火墻應具管理簡單、功能先進等特點,并且能夠保證對所有系統實施“防彈”保護。一個優秀的防火墻具有內網保護、靈活的部署、非軍事區(DMZ)范圍的保護、TCP狀態提醒、包過濾技術、TCP/IP堆棧保護、網絡地址翻譯、VPN等功能。
(3)網絡病毒
在網絡中心主機安裝一臺網絡病毒控制中心服務器,該服務器既要與Internet相連,又要與企業內網相連。該服務器通過Internet每每更病毒代碼及相關文件,企業內部網絡中的服務器、客戶時刻處于網絡病毒控制中心服務的監控下,更新本機的病毒代碼庫及相文件,對計算機的所有文件和內存實施動態、實時、定時等多種病毒防殺策略,以確保網絡系統安全。
(4)網絡容錯
集群技術。一個服務器集群包含多臺擁有共享數據存儲空間的服務器,各服務器之間通過內部局域網進行相互通信。當其中一臺服務器發生故障時,它所運行的應用程序將由其他的服務器自動接管。在大多數情況下,集群中所有的計算機都擁有一個共同的名稱,集群系統內任意一臺服務器都可被所有的網絡用戶所使用。
(5)安全備份與災難恢復
企業信息管理最重要的資產不是網絡硬件,而是網絡運行的數據。
理想的備份系統是在軟件備份的基礎上增加硬件容錯系統,使網絡更加安全可靠。實際上,備份不僅僅是文件備份,而是整個網絡的一套備份體系。備份應包括文件備份和恢復,數據庫備份和恢復、系統災難恢復和備份任務管理。
(6)網絡入侵檢測、報警、審計技術
入侵檢測系統(IDS-Intrusin Detection System)執行的主要任務包括:監視、分析用戶及系統活動;審計系統構造和弱點;識別、反映已知進攻的活動模式,向相關人士報警;統計分析異常行為模式;評估重要系統和數據文件的完整性;審計、跟蹤管理操作系統,識別用戶違反安全策略的行為。
常見的IDS產品有ISS的RealSecure、CA公司的eTrust、Symantec的NetProwler、啟明星辰公司的天闐、上海金諾的網安、東軟的網眼等。
(7)局域網信息的安全保護技術
密碼采用9位以上,每周修改1次
采用多層交換網絡的虛擬網劃分技術,防止在內部網監聽數據
采用NTFS磁盤分區加密技術,使網上鄰居只能是信任用戶
采用Windows域控制技術,對網絡資源實行統一管理
采用SAN(Storage Area Network存儲區域網絡)與NAS(Network Attached Storage網絡連接存儲)保護數據。
SAN技術允許將獨立的存儲設備連接至一臺或多臺服務器,專用于服務器,而服務器則控制了網絡其他部分對它的訪問。
NAS將存儲設備直接連接至網絡,使網絡中的用戶和網絡服務器可以共享此設備,網絡對存儲設備的訪問則由文件管理器這一類設備進行管理。
利用SAN結合集群技術提高系統可靠性、可擴充性和抗災難性;利用NAS文件服務統一存放管理全公司桌面系統數據。
(8)網絡代理
采用Proxy對訪問Internet實行統一監控。限制用戶訪問的時間、訪問的內容、訪問的網址、訪問的協議等等,同時對用戶的訪問進行審計。
(9)郵件過濾技術。
采用具有過濾技術郵件管理系統,一般是針對“主題詞”、“關鍵字”、“地址(IP、域名)”等信息過濾,防止非法信息的侵入。
(10)重視網絡安全的教育,提高安全意識。
三、綜合布線與機房設計
1.把服務器、UPS、防火墻、路由器及中心交換機放置在中心機房,把各子系統的配線柜設置在各子系統所在的樓層。
2.樓宇間光纜敷設
采用4芯以上的單模或多模室外金屬光纜架空或埋地敷設。
3.樓宇內UTP布線
采用AMP超五類UTP電纜、AMP超五類模塊、AMP信息面板、配線架、AMP超五類UTP跳線實現垂直系統、水平子系統、工作區的布線。
4.機房裝修
(1)地板。鋪設抗靜電三防地板,規格600*600*27,板面標高0.20m,地板應符合GB6650-82《計算機機房用活動地板技術條件》
(2)吊頂。輕鋼龍骨鋁合金架頂棚、頂部礦棉吸聲板飾面。
(3)墻面。涂刮防防瓷、墻壁面刷乳膠漆。
(4)窗戶。加裝塑鋼推拉窗、木制窗簾盒、亞麻豎百葉窗簾。
(5)出入門。安裝鋁合金玻璃隔斷推拉門。
(6)照明。采用高效格柵雙管日光燈嵌入安裝。
(7)配電。機房配電采用三相五線制,多種電源(動力三相380V、普通220V和UPS輸出220V)配電箱。為UPS、空調機、照明等供電。配電箱設有空氣開關,線路全部用銅芯穿PVC管。
(8)接地。根據要求設計接地系統,其直流接地電阻小于1Ω、工作保護地和防雷地接地電阻小于4Ω。為保證優良的接地性能,采用JD—1型接地和化學降阻劑,此外,考慮機房抗靜電的需求,對抗靜電活動地板進行可靠的接地處理,以保證設備和工作人員的安全要求。
(9)空調。主機房3P柜機;分機房1.5壁掛式空調機。
5.UPS后備電源。
采用分散保護,集中管理電源的策略,考慮APC公司提供的電源解決方案。
四、企業網應用系統
1.應用服務器。IBM服務器首選,當然,也可以采用高檔PC機,PC機的優點是便于更新換代。
2.軟件平臺。采用Windows 2003(主要使用Domain域控制器,集成DNS服務),Redhat 9.0,Solaris 9.0(在unix/linux上運行Oracle數據庫,SAP/R3系統,基于Lotus Domino/Notes的OA系統)
3.數據庫系統。采用Oracle大型數據庫,或SQL Server2000數據庫。
4.OA辦公系統。基于Lotus Domino/Notes的OA系統,Lotus Domino集成Email/HTTP等服務。
5.企業管理綜合軟件ERP。采用SAP/R3系統,一步解決未來企業國際化問題;或是用友ERP—U8系統。
6.網絡存儲系統。
五、網絡系統管理
1.交換機、路由器管理。設備均是Cisco產品,使用Cisco Works 2000。
2.網絡綜合管理。HP OpenView集成網絡管理和系統管理。OpenView 實現了網絡運作從被動無序到主動控制的過渡,使IT部門及時了解整個網絡當前的真實狀況,實現主動控制。OpenView系統產品包括了統一管理平臺、全面的服務和資產管理、網絡安全、服務質量保障、故障自動監測和處理、設備搜索、網絡存儲、智能代理、Internet環境的開放式服務等豐富的功能特性。
3.桌面系統管理。LanDesk工作站配置和管理工具,利用它的遠程控制、遠程軟件分發和軟件計量功能可以節省大量的時間。本方案是一個典型的大型企業網絡工程解決方案,實際工程可以根據需要和可能,參照此方案靈活應用。
一、企業網絡設計
(1)主干網設計
采用千兆以太網技術。千兆以太網技術特點是具有高速數據傳輸帶寬,基本能滿足高速交換及多媒體對服務質量的要求。易于網絡升級、易于維護、易于管理,具有良好的價格比。
傳輸介質。千兆傳輸距離500m以內采用50/125多模光纜;千兆傳輸距離大于500m、小于5000m時采用9/125單模光纜;百兆傳輸距離2000m以內采用50/125多模光纜;百兆傳輸距離大于2000m采用9/125單模光纜。
交換機。主干交換機的基本要求:機箱式結構,便于擴展;支持多種網絡方式,如快速以太網、千兆以太網等;高性能,高背板帶寬及中心交換吞吐量;支持第二、第三交換,支持各種IP應用;高可靠性設計,如多電源/管理模塊、熱插拔;豐富的可管理能力等。
中心機房配置企業級交換機作為網絡中心交換機。為實現網絡動態管理和虛擬局域網,在中心交換機上配置第三層交換模塊和網絡監控模塊。主干各結點采用1000Mbps連接,服務器采用雙網卡鏈路聚合200Mbps連接,客戶采用交換式10/1000Mbps連接。
(2)樓宇內局域網設計
要求采用支持802.1Q的10/100Mbps工作組以太網交換機,交換機的數據依據用戶端口數、可靠性及網管要求配置網絡接入交換機,使10/100Mbps流量接至桌面。
(3)接入Internet設計
Internet接入系統由位于網絡中心的非軍事區(DMZ)交換機、WWW服務、E-mail服務、防火墻、路由器、Internet光纖接入組成。
(4)虛擬局域網VLAN設計
通過VLAN將相同業務的用戶劃分在一個邏輯子網內,既可以防止不同業務的用戶非法監聽保密信息、又可隔離廣播風暴。不同子網的通信采用三層路由交換完成。
各工作組交換機采用基于端口的VLAN劃分策略,劃分出多個不同的VLAN組,分隔廣播域。每個VLAN是一個子網,由子網中信息點的數量確定子網的大小。
同樣在千兆/百兆以太網上聯端口上設置802.1Q協議,設置通信干道(Truck),將每個VLAN的數據流量添加標記,轉發到主干交換機上實現網絡多層交換。
(5)虛擬專用網VPN設計
如果公司跨地區經營,自己鋪設專線不劃算,可以通過Internet采用VPN數據加密技術,構成企業內部虛擬專用網。
(6)網絡拓撲結構。這部分待續
二、網絡安全性設計
網絡系統的可靠與安全問題:
a.物理信息安全,主要防止物理通路的損壞和對物理通路的攻擊(干擾等)。
b.鏈路層的網絡安全需要保證通過網絡鏈路傳送的數據不被GG。主要采用劃分VLAN、加密通信等手段。
c.網絡層的安全需要保證網絡只給授權的客戶使用授權的服務,保證網絡路由正確,避免被攔截或監聽。
d.操作系統安全要求保證客戶資料、操作系統訪問控制的安全,同時能夠對該操作系統上的應用進行審計。
e.應用平臺的安全要求保證應用軟件服務,如數據庫服務、電子郵件服務器、Web服務器、ERP服務器的安全。
(1)物理安全
機房要上鎖,出入人員要嚴加限制。注意不可讓人從天花板、窗戶進入房間。
機房電力要充足、制冷要合適,環境要清潔。
從工作站到配線柜的配線應該布在偷聽設備接觸不到的地方。配線不應該直接布在地板或天花板上,而應該隱藏在線槽或其他管道里。
應該包括諸如火災、水災等自然災害后的恢復流程。如美國911世貿中心崩塌,大多數公司的數據得不到恢復。
(2)防火墻
防火墻應具管理簡單、功能先進等特點,并且能夠保證對所有系統實施“防彈”保護。一個優秀的防火墻具有內網保護、靈活的部署、非軍事區(DMZ)范圍的保護、TCP狀態提醒、包過濾技術、TCP/IP堆棧保護、網絡地址翻譯、VPN等功能。
(3)網絡病毒
在網絡中心主機安裝一臺網絡病毒控制中心服務器,該服務器既要與Internet相連,又要與企業內網相連。該服務器通過Internet每每更病毒代碼及相關文件,企業內部網絡中的服務器、客戶時刻處于網絡病毒控制中心服務的監控下,更新本機的病毒代碼庫及相文件,對計算機的所有文件和內存實施動態、實時、定時等多種病毒防殺策略,以確保網絡系統安全。
(4)網絡容錯
集群技術。一個服務器集群包含多臺擁有共享數據存儲空間的服務器,各服務器之間通過內部局域網進行相互通信。當其中一臺服務器發生故障時,它所運行的應用程序將由其他的服務器自動接管。在大多數情況下,集群中所有的計算機都擁有一個共同的名稱,集群系統內任意一臺服務器都可被所有的網絡用戶所使用。
(5)安全備份與災難恢復
企業信息管理最重要的資產不是網絡硬件,而是網絡運行的數據。
理想的備份系統是在軟件備份的基礎上增加硬件容錯系統,使網絡更加安全可靠。實際上,備份不僅僅是文件備份,而是整個網絡的一套備份體系。備份應包括文件備份和恢復,數據庫備份和恢復、系統災難恢復和備份任務管理。
(6)網絡入侵檢測、報警、審計技術
入侵檢測系統(IDS-Intrusin Detection System)執行的主要任務包括:監視、分析用戶及系統活動;審計系統構造和弱點;識別、反映已知進攻的活動模式,向相關人士報警;統計分析異常行為模式;評估重要系統和數據文件的完整性;審計、跟蹤管理操作系統,識別用戶違反安全策略的行為。
常見的IDS產品有ISS的RealSecure、CA公司的eTrust、Symantec的NetProwler、啟明星辰公司的天闐、上海金諾的網安、東軟的網眼等。
(7)局域網信息的安全保護技術
密碼采用9位以上,每周修改1次
采用多層交換網絡的虛擬網劃分技術,防止在內部網監聽數據
采用NTFS磁盤分區加密技術,使網上鄰居只能是信任用戶
采用Windows域控制技術,對網絡資源實行統一管理
采用SAN(Storage Area Network存儲區域網絡)與NAS(Network Attached Storage網絡連接存儲)保護數據。
SAN技術允許將獨立的存儲設備連接至一臺或多臺服務器,專用于服務器,而服務器則控制了網絡其他部分對它的訪問。
NAS將存儲設備直接連接至網絡,使網絡中的用戶和網絡服務器可以共享此設備,網絡對存儲設備的訪問則由文件管理器這一類設備進行管理。
利用SAN結合集群技術提高系統可靠性、可擴充性和抗災難性;利用NAS文件服務統一存放管理全公司桌面系統數據。
(8)網絡代理
采用Proxy對訪問Internet實行統一監控。限制用戶訪問的時間、訪問的內容、訪問的網址、訪問的協議等等,同時對用戶的訪問進行審計。
(9)郵件過濾技術。
采用具有過濾技術郵件管理系統,一般是針對“主題詞”、“關鍵字”、“地址(IP、域名)”等信息過濾,防止非法信息的侵入。
(10)重視網絡安全的教育,提高安全意識。
三、綜合布線與機房設計
1.把服務器、UPS、防火墻、路由器及中心交換機放置在中心機房,把各子系統的配線柜設置在各子系統所在的樓層。
2.樓宇間光纜敷設
采用4芯以上的單模或多模室外金屬光纜架空或埋地敷設。
3.樓宇內UTP布線
采用AMP超五類UTP電纜、AMP超五類模塊、AMP信息面板、配線架、AMP超五類UTP跳線實現垂直系統、水平子系統、工作區的布線。
4.機房裝修
(1)地板。鋪設抗靜電三防地板,規格600*600*27,板面標高0.20m,地板應符合GB6650-82《計算機機房用活動地板技術條件》
(2)吊頂。輕鋼龍骨鋁合金架頂棚、頂部礦棉吸聲板飾面。
(3)墻面。涂刮防防瓷、墻壁面刷乳膠漆。
(4)窗戶。加裝塑鋼推拉窗、木制窗簾盒、亞麻豎百葉窗簾。
(5)出入門。安裝鋁合金玻璃隔斷推拉門。
(6)照明。采用高效格柵雙管日光燈嵌入安裝。
(7)配電。機房配電采用三相五線制,多種電源(動力三相380V、普通220V和UPS輸出220V)配電箱。為UPS、空調機、照明等供電。配電箱設有空氣開關,線路全部用銅芯穿PVC管。
(8)接地。根據要求設計接地系統,其直流接地電阻小于1Ω、工作保護地和防雷地接地電阻小于4Ω。為保證優良的接地性能,采用JD—1型接地和化學降阻劑,此外,考慮機房抗靜電的需求,對抗靜電活動地板進行可靠的接地處理,以保證設備和工作人員的安全要求。
(9)空調。主機房3P柜機;分機房1.5壁掛式空調機。
5.UPS后備電源。
采用分散保護,集中管理電源的策略,考慮APC公司提供的電源解決方案。
四、企業網應用系統
1.應用服務器。IBM服務器首選,當然,也可以采用高檔PC機,PC機的優點是便于更新換代。
2.軟件平臺。采用Windows 2003(主要使用Domain域控制器,集成DNS服務),Redhat 9.0,Solaris 9.0(在unix/linux上運行Oracle數據庫,SAP/R3系統,基于Lotus Domino/Notes的OA系統)
3.數據庫系統。采用Oracle大型數據庫,或SQL Server2000數據庫。
4.OA辦公系統。基于Lotus Domino/Notes的OA系統,Lotus Domino集成Email/HTTP等服務。
5.企業管理綜合軟件ERP。采用SAP/R3系統,一步解決未來企業國際化問題;或是用友ERP—U8系統。
6.網絡存儲系統。
五、網絡系統管理
1.交換機、路由器管理。設備均是Cisco產品,使用Cisco Works 2000。
2.網絡綜合管理。HP OpenView集成網絡管理和系統管理。OpenView 實現了網絡運作從被動無序到主動控制的過渡,使IT部門及時了解整個網絡當前的真實狀況,實現主動控制。OpenView系統產品包括了統一管理平臺、全面的服務和資產管理、網絡安全、服務質量保障、故障自動監測和處理、設備搜索、網絡存儲、智能代理、Internet環境的開放式服務等豐富的功能特性。
3.桌面系統管理。LanDesk工作站配置和管理工具,利用它的遠程控制、遠程軟件分發和軟件計量功能可以節省大量的時間。
第三篇:石化企業網絡整體解決方案
石化企業網絡整體解決方案
發揮作用
關鍵詞:網絡 方案 石化企業
隨著科技的迅猛發展,石化企業越來越廣泛地采用信息技術,使其成為挖潛增效、贏得市場競爭勝利的重要途徑。網絡整體解決方案是石化企業信息化工程的重要基礎設施,其目標是建設一個先進、可靠、安全的信息通信平臺,支
持數據、話音和圖像交換,實現傳真、圖片和電視會議等多種通信業務,覆蓋所有網絡應用,并具有完備的網絡管理系統,能為用戶建立面向未來的信息高速公路。
一石化企業網絡建設目標
1.石化企業流程特點
石化以原油和天然氣為主要原料,生產出燃料、潤滑油、石蠟等產品,滿足社會需要,同時謀求企業最大經濟效益。其流程是連續生產,規模宏大,由許多內部復雜關聯的單元操作模塊組成,單元模塊間由物料流、能量流及設備的相互連接而組成不同石化過程流程。
2.石化企業數據分類
石化企業網上數據,總體上包括:工藝流程數據、油品質量數據、油品罐存數據、公用工程數據、設備管理數據、經營管理數據和辦公自動化數據等。特別是現場生產數據,實時性很強,要求較高通信速率,一般在幾秒內刷新幾千點以上的實時數據。工業電視監控系統視頻則要求每秒25幅畫面以上的通信速率,才能保證良好的畫面效果。
3.光纜覆蓋企業全部區域
到目前為止,石化企業的計算機應用,一般都走過了起步、探索和發展3個階段,經歷了單項開發、微機局域網和管理信息系統建設3個過程。在此基礎上的網絡整體解決方案,光纜敷設一定要覆蓋企業全部區域,才能充分發揮出計算機信息系統在企業生產經營和管理決策上實實在在的重要作用,使企業管理模式有一個較大變革。
4.完成生產和管理各項服務職能
石化企業網絡建設目的,是搭建信息應用平臺,為生產和管理構造一個適應競爭發展的模式,最大限度提高經濟效益。在這個宏觀思想指導下,所建立起來的網絡系統須能支持完成生產和管理各項服務職能,如生產管理、工藝管理、計劃管理、計量管理、財務管理、設備管理、儲運管理、工程管理、銷售管理、工業電視、視頻會議、流程模擬、過程控制優化、電子商務、辦公自動化和決策支持等。
5.滿足企業CIMS和ERP建設需要
網絡系統是石化企業信息化建設的重要基礎設施,應從企業全局出發,建成一個高起點、有水平、方便使用和管理、易于升級的網絡系統,以期滿足企業CIMS和ERP建設需要。其建設原則應定位在:統籌規劃,分步實施;集中建設,分級管理;共同開發,資源共享;不斷優化,滾動發展。
二石化企業網絡建設方案
1.網絡設計原則
由于網絡技術發展十分迅速,產品更新換代日趨縮短,所以方案設計時須采用先進、成熟技術,確保網絡結構、設備和軟件具有較長生命周期,保護用戶投資。同時,要兼顧產品性價比,以適應石化企業信息應用發展需要。網絡應充分設計的重要因素:(1)網絡實施可行性;(2)性能優異性;(3)使用方便性;(4)可靠性;(5)安全性;(6)生存性;(7)可管理性。
2.主干網類型
主干網連接各部門局域網網段,連接企業級服務器及各種遠程網絡設備,負責處理網間數據量傳輸,是石化企業全網數據交換樞紐。為此,要求主干網具有高速交換數據能力、良好技術升級特性和較強穩定可靠性,同時支持多種網絡環境、通用網管協議和向未來網絡技術平滑過渡。網絡主干設計不僅要考慮結構合理,有利于網絡分段(分組)、性能優化和安全控制,同時還要考慮原有網絡基礎設施的充分利用,方便日常維護。目前,石化企業主干網的選型,多以ATM和星型結構的千兆快速以太網為主流。
3.網絡模型確定
網絡模型是指在確定網絡(以太網、FDDI、ATM、快速以太網絡等)技術以及網絡速率基礎上,網絡設備、網段的連接方式。就石化企業來說,分公司和下屬二級生產企業的信息點總和約幾千點,大體可分成3層:第一層為核心層,位于分公司計算機中心機房;第二層為中心層,位于下屬二級企業計算機中心機房;第三層為接入層,包括分公司機關處室、下屬二級企業管理部門及車間辦公室和儀表控制室。核心層是網絡高速交換主干、整個分公司信息管理樞紐,應具有高性能、高可靠性和3層交換的能力。中心層是下屬二級企業生產數據管理中心,應具有較強數據交換能力,支持3層交換,基本解決二級企業路由,使二級企業信息管理相對
獨立,同時減少了分公司核心交換機數據處理壓力。接入層為最終用戶,是10/100M交換式以太網端口到桌面。
二級企業網絡又可分成多級節點拓撲結構:其計算中心為中心節點;1000M主干抵達地為一級節點;企業領導層、單獨組網的主要處室(如財務處、機動處、銷售處、人事勞資處等)和車間辦公室為二級節點;非獨立組網的機關處室、儀表
室和車間下屬各組為三級節點。節點選擇原則有3條:重要程度、地理位置、所管理工作站數量。
對石化企業來說,生產管理的一個十分顯著特點,是需實時監控生產裝置的流程參數和動態了解公用工程物料能耗數據。對儀表室DCS和微機監測系統采集信息的上網,應通過單設的工控機實現,目的是為避免網絡部分閃失給生產裝置造成不良影響。DCS、微機監測系統和工控機間的數據交換,在軟件上通過DDE或OPC實現。
4.網絡拓撲結構
地區石化企業網絡拓撲結構一般分為兩層:分公司層和下屬分廠層。分公司層用于構造分公司機關信息系統網絡平臺;組建連接下屬各分廠的網絡管控中心;負責和中石油、Internet對外的統一接口。而下屬分廠層,作為分公司整體網絡組成部分,則應充分滿足分廠和分公司信息化的全部需求。其具體網絡拓撲結構見圖所示。
5.網絡設備選型
網絡設備(交換機、集線器、路由器、接口卡和網管軟件等)的選擇原則,是依據石化企業網絡拓撲結構要求,參照其功能、性能、容量和價格等綜合因素而確定。
在這一網絡設備選擇原則的指導下,建議選用主流網絡設備廠家Cisco和3COM公司產品,因其都擁有全線網絡產品,性價比良好,有著強大技術支持和售后服務能力,并對網絡擴展和升級不存在后顧之憂,不僅能使石化企業有效解決網絡應用問題,且可降低維護成本,提升企業管理水平。以選用Cisco網絡產品為例:分公司核心層主交換機可選用Cisco6000系列產品(如Cisco6506);二級企業中心層主交換機可選用Cisco4000系列產品(如Cisco4006),一級節點網絡設備可采用Cisco2900系列產品(如Cisco2912、2924、2948),二級和三級節點可采用Cisco2950等網絡設備。
6.網絡服務器選擇
服務器的選擇對一個網絡系統來說至關重要,它應具有較強穩定性、可靠性、保密性和安全性,同時方便操作和維護,充分考慮系統的擴充和發展。一般來說,系統主服務器可采用檔次較高的SUN服務器,其他如生產(實時)數據服務器、Domino(辦公自動化)服務器、代理服務器、域名服務器和撥號服務器等則可采用HP服務器。撥號服務器功能主要用于企業內部臨時性辦公地點以及領導外出工作時上網之用,通過Modem與撥號路由器實現撥號上網的用戶對企業內部網絡的訪問。
7.域名的劃分
傳統域名的劃分采用WindowsNT中WI和D相結合的方式,為系統每臺設備都設置域名,不僅增加網絡廣播信息流量,加重網絡負擔,降低網絡性能,且不利于域名系統的維護。現在修正如下:(1)按照分公司規定域名劃分方法進行廠級域名規劃;(2)取消WI系統;(3)不對分廠級以下的系統進行域名設置。
8.IP地址的分配
IP地址的劃分采用分公司分配的IP地址段,分廠在此基礎上進行IP地址的分配。IP地址是企業寶貴的計算機軟資源,其合理劃分對于網絡性能優化、安全管理、正常維護都具有重要意義。IP地址的劃分,必須在對網絡進行全面調研的基礎上,根據網段/子網劃分原則、網絡安全需求以及未來發展進行科學設計。
9.與Internet連接
隨著Internet技術的飛速發展和普及,企業如何通過建立自己的Internet/Intranet來獲得豐富的信息資源,更好服務于生產經營,以獲得更大利潤,現已變得越來越迫切,訪問Internet事實上已成為石化企業網絡功能的重要組成部分。與Internet連接,是由接入路由器、防火墻和入侵監測設備組成。為統一管理,Internet對外出口應設在分公司,由其信息中心統一控制和配置資源。分廠作為分公司下屬生產企業,它與因特網的連接是通過分公司寬帶出口實現的。Internet用戶的開戶管理和郵件管理等,也統一納入分公司管理之下,由其信息中心來控制具體實施。如有必要,下屬分廠也可根據信息中心統一劃分的網段地址建立自己的動態地址分配服務器(DHCP)。
10.網絡管理軟件
網絡管理是確保網絡正常工作的重要手段,它決定某一特定段信息量,管理一個應用應怎樣使用客戶內存,以至跟蹤某臺特定設備的工作是否正常。網絡管理一般包括流量、應用程序和設備管理。如Cisco網管軟件CiscoView,能出色地承擔起網絡管理職能;3COM公司Tracend網管軟件,也可為該公司的互連設備提供動態網絡配置信息和運行狀態信息,具有強有力的監視功能。
11.防火墻和防病毒
確保網絡安全的基本方法是采用防火墻。簡單講,防火墻是用來控制信息流,通常防火墻都設置在網絡基礎設施的入口或出口。目前有3類包含不同過濾特性的防火墻:包過濾、網絡過濾和應用網關。在確定選擇防火墻時,應首先檢查環境中可用的信息流控制,主要指通信方向、通信來源、IP地址、端編號、認證和應用內容等。Cisco公司SecurePIX和CA公司的eTrustFire防火墻產品,都具有相當好保護性能,用以保護整個網絡業務資源。防火墻設置應由分公司統一設置。
計算機病毒給網絡應用帶來了相當大的威脅,在網絡環境中的防病毒措施與在單機環境下有著很大程度的不同。在網絡系統中,須根據對病毒流入網絡系統根源的分析,制定全方位、多平臺網絡防病毒方案。目前部分石化企業采用網絡版NortonAntiVirus(企業版),定時對全網絡用戶查毒殺毒,收到較好效果。
12.數據備份
石化企業的生產、經營、管理和決策數據大都存儲在網絡環境的服務器中,網絡數據安全性極為重要,一旦被破壞或丟失,將對企業正常運行帶來重大影響,甚至造成難以彌補的損失。因此,數據備份是網絡建設中不可缺少的組成部分。在傳統磁帶數據備份基礎上,適時推出的NAS(網絡連接存儲)和SAN(存儲區域網絡)技術,正成為網絡數據備份的主流。
三石化企業網絡建設環境
1.機房環境設計
好范文版權所有
(1)溫度:夏季22℃±2℃,冬季20℃±2℃;(2)濕度:45~65;(3)照明:距地面0.8m處>300Lx;(4)噪聲:<70db;(5)電磁:≯800A/m。
2.系統供電設計
(1)電壓波動范圍-5~ 5,頻率變化范圍-0.2Hz~ 0.2Hz,波形失真率≤±5;(2)采用U,其容量選用設備容量之和的1.5倍。
3.系統防雷擊設計
需配置有效的防雷擊隔離器(GB50174-93計算機機房防雷設計規范)。
4.接地設計
(1)交流工作地的接地電阻≯4Ω(2)安全保護地的接地電阻≯4Ω(3)信號地和屏蔽地的接地電阻≯3Ω(4)防雷保護地的接地電阻≯4Ω。
四石化企業網絡建設實施
1.符合實際的路由設計
符合實際的路由設計是企業網絡系統成功的基礎。路由設計是一件十分細致的工作,在大量和反復調研基礎上,完成詳盡的文檔,包括路由走向圖和路由明細表。它遵照網絡拓撲結構的具體要求,結合企業地理環境的具體情況,因地制宜地采取合理路由方式。路由設計首先考慮利用現有電話通信水泥管井,然后利用儀表和計量槽盒,最大限度減少地下直接掩埋或架空敷設。
2.采用結構化布線
先進的網絡系統很重要的一點體現在網絡的結構化、合理化、規范化上,以免制約企業網向更高層次的網絡建設發展。石化企業網絡一般分為建筑群間和樓內布線。公司和分廠之間,以及廠區內的主干,采用光纜;辦公樓以及車間內部,鋪設超五類雙絞線。光纜敷設要根據現場實際情況因地制宜采取合理方式。在網絡介質選擇上,1000M主干采用單模光纖,其他網段采用多模光纖,為保證網絡安全和可靠運行,單模光纖使用6芯(2/3作為備用),多模光纖使用4芯(1/2作為備用)。
3.充分利用原有網絡資源好范文版權所有
石化企業的計算機應用工作起步較早,各單位網絡建設也都實現了不同程度的應用。現在所提出的網絡整體方案,一定要考慮充分利用原有網絡資源。其利用是多方面的,光纜、用戶工作站、集線器都可利用,交換機也可降級利用。這不僅僅是資金上的節省,而且也是人們心理上的期望。
4.工程組織和實施
(1)組織管理
項目工程領導小組、光纜敷設管理小組、網絡性能優化管理小組、網絡安全實施管理小組、文檔資料管理小組。
(2)進度安排
設備采購、光纜敷設、設備安裝與調試、系統聯調及試運行、系統性能技術測試、交付文檔資料、項目驗收。
(3)質量管理
(a)項目工程領導小組,負責項目方案敲定、人員安排、進度掌握和甲乙雙方間的協調;
(b)光纜敷設管理小組,負責光纜敷設,確保工程遵循技術規范、按照進度時間要求完成施工;
(c)網絡性能優化管理小組,負責工程竣工前對網絡性能測試,并進行優化調試;
(d)網絡安全實施管理小組,負責實施網絡安全策略,實現防火墻和防病毒的落實,確保網絡安全和保密;
(e)文檔資料管理小組,負責提供完整和實用的文檔資料,以備網絡日常的管理和維護。
(4)費用預算
光纜及網絡交換設備費用、光纜敷設工程費用、網絡管理軟硬件費用、網絡安全管理軟硬件費用、網絡防病毒軟硬件費用、網絡性能測試費用。
(5)技術培訓
(6)測試驗收
(7)文檔資料
工程進度一覽表、網絡拓撲結構圖、光纜敷設路由設計圖、網絡域名劃分表、網絡IP地址分配表、硬件接線明細表、光纜布線工程測試報告。
第四篇:企業網絡信息安全解決方案
企業網絡信息安全解決方案
一、信息安全化定義
企業信息安全管理即針對當前企業面臨的病毒泛濫、黑客入侵、惡意軟件、信息失控等復雜的應用環境制定相應的防御措施,保護企業信息和企業信息系統不被未經授權的訪問、使用、泄露、中斷、修改和破壞,為企業信息和企業信息系統提供保密性、完整性、真實性、可用性、不可否認性服務。簡而言之,使非法者看不了、改不了信息,系統癱不了、信息假不了、行為賴不了。
二、企業信息安全管理現狀
當前企業在信息安全管理中普遍面臨的問題:
(1)缺乏來自法律規范的推動力和約束;
(2)安全管理缺乏系統管理的思想。被動應付多于主動防御,沒有做前期的預防,而是出現問題才去想補救的辦法,不是建立在風險評估基礎上的動態的持續改進的管理方法;
(3)重視安全技術,忽視安全管理。企業愿意在防火墻等安全技術上投資,而相應的管理水平、手段沒有體現,包括管理的技術和流程,以及員工的管理;
(4)在安全管理中不夠重視人的因素;(5)缺乏懂得管理的信息安全技術人員;
(6)企業安全意識不強,員工接受的教育和培訓不夠。
三、企業信息安全管理產品
建立完善的企業信息安全管理系統,必須內外兼修,一方面要防止外部入侵,另一方面也要防范內部人員泄密可能。所以在選擇企業信息安全管理產品時,必須是一個完整的體系結構。目前,在市場上比較流行,而又能夠代表未來發展方向的安全產品大致有以下幾類:用戶身份認證,如靜態密碼、動態密碼(短信密碼、動態口令牌、手機令牌)、USB KEY、IC卡、數字證書、指紋虹膜等。
防火墻
即訪問控制系統,它在內部網絡與不安全的外部網絡之間設置障礙,阻止外界對內部資源的非法訪問,防止內部對外部的不安全訪問。但它其本身可能存在安全問題,也可能會是一個潛在的瓶頸。
安全路由器
由于WAN連接需要專用的路由器設備,因而可通過路由器來控制網絡傳輸。通常采用訪問控制列表技術來控制網絡信息流。
安全服務器
安全服務器主要針對一個局域網內部信息存儲、傳輸的安全保密問題,其實現功能包括對局域網資源的管理和控制,對局域網內用戶的管理,以及局域網中所有安全相關事件的審計和跟蹤。
安全管理中心
由于網上的安全產品較多,且分布在不同的位置,這就需要建立一套集中管理的機制和設備,即安全管理中心。它用來給各網絡安全設備分發密鑰,監控網絡安全設備的運行狀態,負責收集網絡安全設備的審計信息等。
入侵檢測系統(IDS)
入侵檢測,作為傳統保護機制(比如訪問控制,身份識別等)的有效補充,形成了信息系統中不可或缺的反饋鏈。
入侵防御系統(IPS)
入侵防御,入侵防御系統作為IDS很好的補充,是信息安全發展過程中占據重要位置的計算機網絡硬件。
安全數據庫
由于大量的信息存儲在計算機數據庫內,有些信息是有價值的,也是敏感的,需要保護。安全數據庫可以確保數據庫的完整性、可靠性、有效性、機密性、可審計性及存取控制與用戶身份識別等。
數據容災設備
數據容災作為一個重要的企業信息安全管理體系中的一個重要補救措施,在整個企業信息安全管理體系中有著舉足輕重的作用。數據容災設備包括數據恢復設備、數據復制設備、數據銷毀設備等。目前應用較多的數據容災設備包括效率源HD Doctor、Data Compass數據指南針、Data Copy King硬盤復制機、開盤機等。
編輯本段企業信息安全管理對策 1.網絡管理
一般企業網與互聯網物理隔離, 因而與互聯網相比, 其安全性較高, 但在日常運行管理中我們仍然面臨網絡鏈路維護、違規使用網絡事件等問題, 具體而言:
(1)在IP 資源管理方面, 采用IP MAC 捆綁的技術手段防止用戶隨意更改IP 地址和隨意更換交換機上的端口。這分兩種情況實現, 第一種情況是如果客戶機連在支持網管的交換機上的, 可以通過網管中心的管理軟件, 對該交換機遠程實施Port Security 策略, 將客戶端網卡MAC 地址固定綁在相應端口上。第二種情況是如果客戶機連接的交換機或集線器不支持網管, 則可以通過Web 網頁調用一個程序, 通過該程序把MAC 地址和IP 地址捆綁在一起。這樣, 就不會出現IP 地址被盜用而不能正常使用網絡的情況。
(2)在網絡流量監測方面, 可使用網絡監測軟件對網絡傳輸數據協議類型進行分類統計, 查看數據、視頻、語音等各種應用的利用帶寬, 防止頻繁進行大文件的傳輸, 甚至發現病毒的轉移及傳播方向。
2.服務器管理
常見應用服務器安裝的操作系統多為Windows 系列,服務器的管理包括服務器安全審核、組策略實施、服務器的備份策略。服務器安全審核是網管日常工作項目之一, 審核的范圍包括安全漏洞檢查、日志分析、補丁安裝情況檢查等, 審核的對象可以是DC、Exchange Server、SQL Server、IIS 等。
在組策略實施時, 如果想使用軟件限制策略, 即哪些客戶不能使用哪個軟件, 則需要把操作系統升級到Windows 2003 Server。服務器的備份策略包括系統軟件備份和數據庫備份兩部分, 系統軟件備份擬利用現有的專用備份程序, 制定一個合理的備份策略, 如每周日晚上做一次完全備份, 然后周一到周五晚上做增量備份或差額備份;定期對服務器備份工作情況等。
3.客戶端管理
對大多數單位的網管來說, 客戶端的管理都是最頭痛的問題, 只有得力的措施才能解決這個問題, 這里介紹以下幾種方法:
1)將客戶端都加入到域中, 這一點很重要, 因為只有這樣, 客戶端才能納入管理員集中管理的范圍。
2)只給用戶以普通域用戶的身份登錄到域, 因為普通域用戶不屬于本地Administrators 和Power Users 組, 這樣就可以限制他們在本地計算機上安裝大多數軟件(某些軟件普通用戶也可以安裝)。當然為了便于用戶工作, 應通過本地安全策略, 授予他們“關機”和“修改系統時間”等權利。
3)實現客戶端操作系統補丁程序的自動安裝。4)實現客戶端防病毒軟件的自動更新。
5)利用SMS 對客戶端進行不定期監控, 發現不正常情況及時處理。
4.數據備份與數據加密
由于應用系統的加入, 各種數據庫日趨增長, 如何確保數據在發生故障或災難性事件情況下不丟失, 是當前面臨的一個難題。這里介紹四種解決方法: 第一種解決辦法是用磁帶機或硬盤進行數據備份。該辦法價格最低, 保存性最強, 不足之處是備份的只是某個時間點。第二種方案是采用本地磁盤陣列來分別實現各服務器的本地硬盤數據冗余。第三種方案是采用雙機容錯方式, 兩臺機器系統相互備份, 應用層數據全部放在共享的磁盤陣列柜中, 這種方式能解決單機故障或宕機的問題, 同時又能防止單個硬盤故障導致的數據丟失, 但前期投資較大。第四種方案是采用NAS 或SAN 來實現各服務器的集中區域存儲, 實現較高級別的磁盤等硬件故障的數據備份, 但是成本較高, 一般不能防止系統層的故障, 如感染病毒或系統崩潰。考慮到網絡上非認證用戶可能試圖旁路系統的情況, 如物理地“取走”數據庫, 在通信線路上竊聽截獲。對這樣的威脅最有效的解決方法就是數據加密, 即以加密格式存儲和傳輸敏感數據。發送方用加密密鑰, 通過加密設備或算法, 將信息加密后發送出去。接收方在收到密文后, 用解密密鑰將密文解密, 恢復為明文。如果傳輸中有人竊取,他只能得到無法理解的密文, 從而對信息起到保密作用。
5.病毒防治
對防病毒軟件的要求是: 能支持多種平臺, 至少是在Windows 系列操作系統上都能運行;能提供中心管理工具, 對各類服務器和工作站統一管理和控制;在軟件安裝、病毒代碼升級等方面, 可通過服務器直接進行分發, 盡可能減少客戶端維護工作量;病毒代碼的升級要迅速有效。在實施過程中, 本單位以一臺服務器作為中央控制一級服務器, 實現對網絡中所有計算機的保護和監控, 并使用其中有效的管理功能, 如: 管理員可以向客產端發送病毒警報、強制對遠程客戶端進行病毒掃描、鎖定遠程客產端等。正常情況下, 一級服務器病毒代碼庫升級后半分鐘內, 客戶端的病毒代碼庫也進行了同步更新。
四、企業網絡、信息安全解決方案 1)大型企業
大型企業部門林立,相當一部分會在外地有分支機構,業務系統普遍采用建設虛擬專網的方式,起到外部分支訪問總部數據的通道和安全加密作用。傳統的網絡安全設備基本都已經部署,比如防火墻,可以把企業訪問互聯網的風險降低,但是大型企業的網絡、信息安全威脅主要來源于惡意的攻擊行為和企業員工有意、無意的操作行為,致使業務系統不能正常使用,或者機密數據外泄,對企業的網絡安全,信息保密造成很大的威脅,擁有功能強大的上網行為管理設備、入侵檢測系統和防泄密系統能有效杜絕各個環節可能出現的不安全隱患,保障業務系統的政策正常安全運行和企業機密數據的安全。
建議大型企業在網絡中部署:防火墻、IDS、上網行為管理、防泄密系統、VPN、安全服務器等。
2)中型企業
中型企業基本已具備完整的網絡體系,但是企業的信息化技術力量相對大型企業可能薄弱一點,對于員工的上網行為和電腦操作行為可能要求得不會太嚴格,即使向員工制定了一定的管理制度,也會在制度的執行過程中因為人為的因素而變成一紙空文,所以用硬件設備來保障和規范網絡、信息的安全尤為重要,中型企業的網絡、信息安全威脅主要來源于外網的攻擊、內部網絡使用的不規范導致的木馬、病毒等安全威脅。
建議中型企業部署:防火墻、IDS、路由器、上網行為管理、防泄密系統等。
3)小型企業
小型企業在人員規模、基礎建設、資金實力等方面都相對落后于大中型企業,但是在發展階段的小型企業,對網絡、信息的安全問題同樣不能忽視,目前各式各樣的聊天工具、視頻網站、網游、P2P下載等,都會直接影響到員工的工作效率,并且占用了大部分的帶寬,使得業務系統和正常的工作無法得到保障,且小型企業一般不會配置專業的網管人員,這就是有的小型企業配置了好的電腦,夠用的寬帶,但是仍然有大部分員工一直抱怨總是不能上網,或者上網太慢,郵件發不出去等問題。從綜合實力來講,小型企業在網絡、信息安全方面的投入會比較有限,建議企業配置中低端的安全設備,防火墻,上網行為管理,以研發和設計為主的企業對于防泄密系統的部署還是有必要的。
第五篇:企業網絡管理制度
XX科技有限公司
★
綜字2009第(005)號
XX科技計算機及網絡設備管理制度(修訂)
第一章 總則
第一條 為正確使用計算機及網絡產品,及時發現設備故障,延長設備使用壽命,保護公司財產,加強對公司計算機網絡的安全保護,維護計算機網絡的正常運作特制定本制度。
第二條 本制度所涉及產品的界定:
A. 計算機是指為公司內部員工使用的PC機(包括CPU、硬盤、內存、機箱、顯示器、網卡、鍵盤和鼠標。主機板和顯示卡由本公司提供,如非特殊需要不配備光驅和軟驅。)
B. 網絡設備是指公司內部使用的服務器、網絡交換機、路由器、集線器、以及網絡接入設備等。
C. 計算機其他配件是指公司備用的光驅、軟驅等。
D. 附帶軟件包括計算機驅動盤、系統安裝盤、程序安裝盤等。
第二章 公司計算機環境
第三條 計算機及網絡產品使用 A.公司所有計算機及其內部配件和網絡產品均由網管人員粘貼公司標簽,除已借用的筆記本電腦外,一律不得拿出公司。
B.如工作需要需將公司計算機等拿出公司,員工須到行政部門說明情況,由行政內勤開具出門證明,并報信息管理部備案。
C.電腦或網絡出現故障后不得私自打開機箱進行拆卸,統一由專業計算機維護人員進行檢修。公司員工不得隨意打開計算機機箱。如因工作需要打開機箱者,應有直接上級同意并通知信息管理部,由網管人員打開機箱;機器整理完畢,信息管理員為其重新粘貼公司標簽。
D.計算機在使用過程中未經他人許可嚴禁隨意拷貝、修改及刪除他人計算機的資源。
E.公司每位員工對自己的工作電腦既有使用的權利又有保護的義務。任何的硬件損壞必須給出損壞報告,說明損壞原因,不得擅自更換。公司會視實際情況進行處理。
F.軟件維修人員不保證一定能夠解決由于員工自己安裝的軟件所引起的問題,除非能夠在標準平臺上重復所出現的問題。
第四條 計算機及網絡產品的維修
A.公司員工發現所使用得計算機或網絡產品出現硬件故障后應及時向綜合管理部提出維修申請。
B.網絡管理員在接到申請后,須在一個小時內做出響應。
C.如果員工的計算機在提出申請后一個工作日內仍不能修好,網管人員須暫調其他備用機器以保證該員工工作的正常進行。
D.在維修處理過程中,網管人員應查閱該機器的采購和維修紀錄,確認出現故障的硬件是否在維修期內以享受免費維修。E.如果配件已無法維修,網管人員應調配其他備用配件或按照采購制度購買新配件進行更換,更換后對領用清單進行相應修改。
F.服務運營中心提供對工作電腦的軟硬件技術支持服務,包括診斷,故障排除和維修。
第五條 損壞責任的承擔
A.自然損壞:凡屬于計算機原有的質量問題、超過使用年限等等非人為因素造成的損壞;
B.個人原因損壞:凡屬于人為因素,例如摔打、撞擊等等造成的損壞。
C.凡屬自然損壞的,維修費用由公司承擔;屬個人原因損壞的,維修費用由個人承擔。
D.機型過于陳舊無維修價值時,由信息管理部經理申請整機核銷,經總經理助理批準后報財務備案,并將該機其他有用部件作為維修配件。
E.如工作人員不按規定操作,造成不良后果的,將按有關規定,由操作者承擔相應責任,并追究部門負責人的有關責任。
第六條 公共打印機的管理
A.公共打印使得所有員工更便于訪問集中控制的打印資源。
B.在公司內部由專人負責管理公共打印機環境。公司公共打印機資源為:前臺黑白打印機所有人可以訪問,除必須打印和與工作相關的資料外,不得打印其他無關內容;核心彩色打印機為公司商務部門投標專用打印設備,除公司指定專人可以使用此打印機打印資料外,其他任何人未經管理部許可不得使用此打印機或借用別人電腦使用此打印機打印任何形式的內容。
第三章 信息安全控制
第七條 安全管理 A、未經網管批準,任何人不得改變網絡拓撲結構,網絡設備布置,服務器、路由器配置和網絡參數。
B、任何人不得進入未經許可的計算機系統更改系統信息和用戶數據。
C、公司局域網上任何人不得利用計算機技術侵占用戶合法利益,不得制作、復制和傳播妨害公司穩定的有關信息。
D、各部門定期對本部門計算機系統和相關業務數據進行備份以防發生故障時進行恢復。
E.公司購買新的軟件產品或自己開發的軟件產品,安裝使用前一定要生產廠家的專家技術人員來廠進行培訓,只有經過培訓合格者,方能取得此軟件的操作權限。
F.必須嚴格按照操作規程工作,做好個人機器內重要數據的備份。計算機原則上由專人負責操作維護,不得串用設備。下班后必須按程序關閉主機和其他設備,切斷電源。
G.工作人員必須自覺遵守有關保密制度,保密文件資料不得提供共享。各操作人員應防止操作口令對外泄密。不得把重要的軟件或光盤隨意外借,不得為外單位人員拷貝公司機密軟件。未經公司領導同意,外來人員不得隨意進入機房和使用本單位的電腦及網絡設備。
H.非中心人員,謝絕進入機房。有特殊需要的,須經機房管理員或負責人同意后,方可進入。
I.中心各電腦終端IP地址由網絡管理員統一規劃、設置。若需改變的,都必須向網絡管理員提出申請,嚴禁私自改動。
第八條 病毒的防治管理
A、任何人不得在公司的局域網上制造傳播任何計算機病毒,不得故意引入病毒。
B、使用者發現病毒應立即向網絡管理員報告以便獲得及時處理。
C、網絡服務器的病毒防治由網絡管理員負責。D、各部門應定期對各自使用的計算機殺毒(周期為一周)如發現計算機有病毒時,應及時清除,清除不了的病毒,要及時上報。管理員應及時升級病毒庫,并提示各部門對殺毒軟件進行在線升級。
第九條 信息安全
A.員工應對在自己公司電腦內公司機密信息的安全負責,當需暫時離開座位時必須立即啟動屏幕保護程序并帶有密碼。
B.員工有責任正確地保護分配給本人的所有計算機帳戶。
C.每臺公司電腦內必須安裝反病毒軟件并啟動實時掃描程序。服務運營中心可以提供最新的殺毒軟件及最新數據更新文件。
D.不得安裝有可能危及公司計算機網絡的任何軟件,如實有需要進行軟件測試的必須將計算機脫離公司計算機網絡進行單機操作。任何人不得在未經管理部門許可的情況下,利用公司網絡進行測試。
E.任何對公司內部計算機網絡的黑客行為是絕對禁止的,一經查實將按公司有關規定嚴肅處理。
F.公司提供的互聯網訪問服務只能被使用在與公司業務有關的方面,否則一經查實將按公司有關規定嚴肅處理。公司提供的互聯網訪問服務只在每個工作日的早上8:30至晚上5:30有效。
第十條 聊天上網
A.工作期間員工不得使用QQ、MSN、POPO聊天等工具(只限于與客戶、供應商溝通工作)。一經查實將按公司有關規定嚴肅處理。
B.工作時間內嚴禁工作人員在計算機上進行與工作無關的操作,不準聊天、玩游戲,或看影視、聽音樂、看股票行情及其它與工作無關活動。不得使用來路不明或未經殺毒的盤片。一經查實將按公司有關規定嚴肅處理。C.工作期間避免使用占用大量帶寬的下載工具下載軟件如迅雷,快車,BT等,由于公司帶寬有限,確實因工作需要下載軟件的,請自覺限制帶寬或利用休息時間進行下載。
D.公司將不定期抽查計算機上網記錄和聊天記錄,如發現違反本制度的,視情節輕重給予通報批評、紀律處分。構成犯罪的,由司法機關依法追究刑事責任。
第十一條 網站及BBS管理
任何人員不得利用本公司網站泄露秘密,不得侵犯國家、社會、集體利益和其他公民的合法權益,不得利用網站及BBS制作、復制和傳播下列信息:網絡管理員必須檢查鏈接網站、個人主頁的信息內容,若發現其包含有害信息的應及時取消其鏈接。網絡管理員必須定期檢查網站內容及BBS論壇發表內容,若發現其包含有害信息的必須及時刪除和取消其用戶資格,有違反法律法規的應及時交予公安部門查處。
(一)煽動抗拒、破壞憲法和法律、行政法規實施的;
(二)煽動顛覆國家政權、推翻社會主義制度的;
(三)煽動分裂國家、破壞國家統一的;
(四)煽動民族仇恨、民族歧視,破壞民族團結的;
(五)捏造或者歪曲事實,散布謠言,擾亂社會秩序的;
(六)宣揚封建迷信、淫穢、色情、賭博、暴力、兇殺、恐怖、教唆犯罪的;
(七)公然侮辱他人或者捏造事實誹謗他人的,或者進行其他惡意攻擊的;
(八)損害國家機關信譽的;
(九)其他違反憲法和法律行政法規的;
(十)進行商業廣告行為的。第十二條 帳戶密碼管理
每個員工擁有一個公司內部域成員帳戶,一個電子郵件帳戶。新員工申請以上帳戶時需要向網絡管理員提供中英文姓名,部門,職位等信息,網絡管理員將在一天內將帳戶信息通知其本人。
(一)說明
所有員工只需設置域帳戶的密碼,因為電子郵件帳戶是通過域帳戶認證的;除此之外所有員工必須在所使用的計算機中設置開機密碼和屏幕保護密碼。
(二)設定
一些新且復雜的計算機密碼破解工具已經出現,這將會對公司產生一系列危險。為了保護公司的信息資產,對于密碼新的更復雜的要求正在產生。這會使我們的帳戶更難以被破解。
(三)更改
A.建議每90天更改一次密碼。
B.不要使用已用過的舊密碼。
C.同時更改你所有的密碼。
D.如果愿意,你可以為所有系統設置相同的密碼,但此密碼必須十分可靠。
(四)注意
A.密碼中大小寫字母意義不同,例如”pass#%word”不同于”Pass#%WoRd”。
B.不要把密碼寫下來。
C.不要把密碼告訴任何人。
第十三條 電子郵件管理
(一)說明
公司提供的電子郵件只是用于與公司業務有關的方面。禁止傳播任何不合適的笑話,幸運鏈信件或攻擊性言論,否則公司將給予紀律處分。發送與公司業務無關的內容也是一種錯誤使用公司資源的行為。
(二)規定
A.每個電子郵件信箱不得超過200M。
B.單封電子郵件不得超過10MB。
C.請所有員工自覺備份自己郵箱的郵件,每天及時收電子郵件,網絡管理員會不定期的按照以下規則清理信箱系統,以保證公司電子郵件系統不會過載。
D.刪除超過三個月的郵件。
F.刪除容量接近臨界空間的郵件。
電子郵件,附件和其它文件夾項目應該服從存檔的要求和規定,即它們只能保留到與內容有關的公司業務結束的時候。為了幫助滿足這些要求以及增強對公司計算機消息系統的支持,員工必須定時將信箱各部分按以下規則存檔:
A.發件箱 30天
B.收件箱 30天
C.已發郵件 30天
D.草稿 15天
E.垃圾郵件 15天
F.已刪除郵件 15天 嚴格遵循這些存檔規則可以改善公司電子郵件系統的穩定性,并且減少對于系統維護的開銷。
個人文件夾是存放在個人計算機的本地硬盤上的,所以不需存檔。
第四章 附則
第十四條 任何使用本公司計算機網絡的人員必須遵循此制度。
第十五條 本公司計算機網絡管理員:
第十六條 網絡管理員的職責
A、制定網絡建設及網絡發展規劃,確定網絡安全及資源共享策略。
B、負責公用網絡實體,如服務器、交換機、集線器、防火墻、網關、配線架、網線、接插件等的維護和管理。
C、負責服務器和系統軟件的安裝、維護、調整及更新。
D、負責網絡賬號、郵件管理、資源分配、數據安全和系統安全。
E、監視網絡運行,調整網絡參數,調度網絡資源,保持網絡安全、穩定、暢通。F、負責系統備份和網絡數據備份;負責各部門電子數據資料的整理和歸檔。G、保管網絡拓撲圖、網絡接線表、設備規格及配置單、網絡管理記錄、網絡運行記錄、網絡檢修記錄等網絡資料。
H、每天對機房進行巡檢,定期對本公司網絡的效能和各電腦性能進行評價,提出網絡結構、網絡技術和網絡管理的改進措施。
I、應不定期的查看網絡系統,監視和分析系統的運行情況,確保計算機系統網絡的正常運行。
J、中心管理的所有服務器、交換機、路由器的用戶名和密碼口令為絕密資料,由網絡管理員負責,必須妥善保管,不得泄漏內容。
第十七條 本制度由XX科技有限公司負責解釋
第十八條 本制度自公布之日起執行
二○○九年七月二十一日
擬
稿:
審 核:
簽 發: 發送部門:公司各部門 呈報部門:總經理室
點擊咨詢 