搜索
制制造造业业网网络络解解决决方方案案天天津津中中环环半半导导体体股股份份有有限限公公司司案案例例((一一))天天津津中中环环半半导导体体公公司司网网络络建建设设背背景景企业的战略和它盈利的能力是最重要的,即商业模式和能运用这两种工具与时俱进的企业决策是最重要的。企业信息化除了为了节约成本,还有其他的目的,因为信息化的投入不能简单认为是一种成本问题,而是为了客户创造更大的价值,也就是为客户增加新的价值,而且可以实现信息沟通、资源共享。企业需要快速对市场需求做出响应。这个问题的关键就要看企业的价值定位是什么,企业的战略是否与信息化战略相匹配、相协调、相吻合,企业的战略有成本型、流程型、战略型,还有强调个性的差异型,因此不能简单地说信息化就是为了节省成本,企业为了适应客观环境的变化,必须依靠现代信息技术、网络技术等高新技术和资源,通过信息网络和计算机技术构成新的平台,来提高企业综合运作能力,实现技术创新、管理创新、组织创新、制度创新。企业的信息化,首先应该站在企业战略目标的高度来考虑,必须依据企业的经营、营销竞争战略考虑,从企业的实际出发,来制定企业实施信息化的总体规划。这样企业的信息化才能站在企业战略目标的高度和长远发展的全局上,系统的、全面的、统筹兼顾来思考问题,才能真正从企业实际出发,从需求出发。因此,围绕企业的战略目标,长远规划而形成的业务、流程、组织、策略才是合理的。信息化的建设过程就是企业依据客户的需求来指导、规范企业的所有行为,也是企业进行内部改革的过程,改革那些不适应现代企业制度,不适应对市场快速反应的旧的管理体制、管理制度。实施ERP的过程也是理顺供货渠道与供应商关系、客户关系的时期规范秩序,整肃内部,建立各种内控约束规范,清理一切不适应市场竞争的需要的陈规旧习;内聚人心、外树形象;建立对市场快速反应满足客户需求的机制,强化客户关系管理,协调客户,巩固老客户发展新客户,服务好重点客户,使供货渠道变粗、变短、变快、变畅。天津中环半导体股份有限公司是生产半导体分立器件的专业厂家,是天津市高新技术企业。公司现有员工924人,其中工程技术人员280人。公司在引进国外先进技术的基础上,通过消化吸收、自主创新,掌握了产品的核心技术,不断开发出新产品,自主开发的产品产值率达95%以上。1994年公司通过了ISO9002:1994质量体系认证,2003年又通过了ISO9001:2000质量体系认证。产品质量达到了国际先进水平,经济效益连续多年在国内同行业中名列前茅。2004年完成股份制改造并于2004年7月16日创立天津中环半导体股份有限公司。公司主要产品有高压硅堆、硅整流二极管、硅桥式整流器、微波炉用高压硅堆、工业用特种硅堆等。广泛应用于行输出变压器、彩色电视机、显示器、微波炉、空气清新机、空调器、洗衣机、程控交换机、各种电源以及其它电子设备。年生产能力在10亿支以上,年销售额超过2亿元。产品行销全国并远销海外21个国家和地区。高压硅堆产销量跃居世界第2位,国际市场占有率达到17%,国内市场占有率达到43%。硅整流二极管、硅桥式整流器在国内彩电市场的占有率分别达到20%和50%以上。基于公司信息化发展的需要,天津中环半导体公司开始建设企业网络的项目。((二二))天天津津中中环环半半导导体体公公司司网网络络建建设设重重点点天津中环半导体公司网络改造项目中需要解决的问题主要有:接入问题随着用户接入密度增大,网络安全威胁越来越大,因此网络改造必须考虑安全接入和上网行为控制。病毒攻击网络病毒频繁暴发,攻击力越来越大,传播速度越来越快,造成的后果也日益严重。网络病毒攻击造成网络拥塞、交换机性能下降甚至宕机,影响网络正常业务以及用户正常上网,关键业务无法保障,有用户报告网络速度变得越来越慢,这就是网络中有病毒存在的最显著现象。其它安全问题其它的安全问题主要有IP地址的滥用以及外来人员私自接入网络。((三三))天天津津中中环环半半导导体体公公司司网网络络建建设设方方案案在企业网建设的网络技术选择中,要遵循简单易用、管理方便、成本适中、性能很好的原则,基于此,采取千兆以太网技术进行企业网的建设,实现千兆主干、百兆到桌面的网络覆盖,以满足企业网种种应用的需求。整个网络系统采用了二层的架构:核心、汇聚层和接入层。核心层采取了两台锐捷网络高性能的面向十万兆平台开发的模块化路由交换机RG–S8606,可以平滑的升级到十万兆,接入采用S2150G安全智能交换机。出口采用1600防火墙,对于进出网络的数据进行安全检测在整个网络系统中,部署了锐捷全网络安全解决方案GSN,彻底解决ARP攻击问题,同时对网络的安全性有了极大的提高。((四四))天天津津中中环环半半导导体体公公司司网网络络特特点点及及优优势势分分析析网网络络稳稳定定性性作为企业网络,其主要目的就是为了能更加快捷、高效的为企业提供服务,所以其稳定性显得尤为重要,在网络设计中,主要采取了以下措施:核核心心交交换换机机双双引引擎擎、、双双电电源源设设计计在RG-S8606上,配置了双管理模块、双电源,将核心交换机的故障可能性减到最低,保证了核心的稳定性。GGSSNN全全网网安安全全系系统统::1.用户身份管理第一阶段:GSN帮助客户建立成熟可靠的网络身份管理体系,确保入网用户身份的合法有效,将非法用户隔离在内网大门之外。该阶段主要涉及的产品为RG-SAM、RG-SU及RG-S21/29/32/37系列安全接入/汇聚交换机。入网用户身份验证GSN建立起一套统一的身份管理模式,对每一个试图对接入内网的用户,都要经过GSN系统的身份合法性验证,包括用户的账号、密码、IP等关键信息。只有当用户提供了合法有效的身份信息之后,才能允许正常接入并使用网络。用户身份唯一性保障GSN通过对用户身份信息的六大元素:用户名、密码、用户IP、用户MAC、交换机IP、交换机端口进行灵活的绑定,实现用户身份←→用户PC←→物理位置的紧密关联,保障入网用户身份合法可靠。Windows域身份管理系统兼容GSN支持LDAP协议,可以与Windows域管理系统、OpenLDAP或其它支持LDAP的身份认证系统实现无缝结合,对用户的身份信息进行统一管理。实现两套系统共用一套用户身份信息的效果,有效利用现有成熟的身份管理体系,大大减少系统整体管理与部署的成本。2.终端安全防护第二阶段:在确保入网用户身份的合法可靠之后,GSN通过建立用户终端安全防护体系,确保入网用户主机终端的安全。该阶段主要涉及的产品为RG-SMP、RG-SAM、RG-SU及RG-S21/29/32/37系列安全接入/汇聚交换机。另外可能还包含杀毒软件、微软WSUS自动更新服务等各种第三方安全系统。第三方杀毒软件联动经常出现这种问题:虽然网络管理部门已经作出了入网用户必须安装杀毒软件的规定,但缺乏强制手段保障规则的有效实施,用户往往视而不见。网络管理员需要耗费大量精力来处理各种因为病毒等事件造成的网络问题。GSN能够通过和第三方杀毒软件的联动,强制入网用户必须正常安装、运行指定的杀毒软件。对于常见的杀毒软件(瑞星、诺顿、卡巴斯基、McAfee、NOD32等),还能够检测其病毒库是否已经更新到指定版本。对于杀毒软件检测未通过的用户,将被GSN视情况进行警告、隔离处理。利用自动修复的功能,还能对用户进行杀毒软件和补丁包的自动下发,帮助用户安装并更新杀毒软件。(目前已经和瑞星、金山达成了合作意向,后续版本中可以实现和杀毒软件的强联动,支持对染毒用户进行隔离处理等功能)与微软WSUS联动进行Windows补丁更新WSUS是微软提供的免费Windows补丁自动更新系统,GSN能够与内网的WSUS服务器进行联动,引导用户使用WSUS的服务进行Windows补丁自动更新,帮助内网的用户主机及时更新操作系统补丁,避免因为操作系统漏洞带来的安全隐患威胁。主机安全性规则验证GSN提供了丰富的主机安全性规则,可以对用户进行灵活的主机管理:强制安装/禁止安装指定的应用程序;强制运行/禁止运行指定的进程;强制开启/禁止开启指定Windows系统服务;用户系统注册表管理。基于用户身份的访问权限控制GSN能够根据用户的身份为用户下发指定的访问权限。例如,一般职员禁止访问存放重要资料的数据服务器;财务人员能够访问财务管理系统,但访问外网受限,等等。能够充分而灵活的满足用户对访问权限管理的需求。用户主机信息学习GSN部署范围内的用户主机信息,能够自动的通过RG-SU客户端学习上来,包括用户的操作系统信息、硬件环境信息、以及主机上安装的应用软件信息。并能根据主机信息生成详细的图形报表,以直观的方式为管理员进行呈现。3.网络通信安全防护第三阶段:在保障入网用户身份、主机合法安全之后,GSN将帮助用户在内网建立起网络通信防护体系,对网络数据流进行实时监控,侦测并隔离危险网络行为。该阶段主要涉及的产品为RG-SMP、RG-SAM、RG-SU及RG-S21/29/32/37系列安全接入/汇聚交换机,以及RG-IDS100/500/2000系列入侵检测系统。网络安全事件检测用户身份和主机安全检测并非万能,例如简单的ping大包行为,不会被杀毒软件拦截,也难以通过主机规则来管理,如果不加控制,也会给网络造成巨大危害。只有保证网络通信数据的合法有效,才能真正保证内网的整体安全。GSN通过与RG-IDS入侵检测系统联动,对IDS检测到的网络安全事件进行统一的收集,对每一种安全事件都提供了详细的描述、说明信息,并可将发生的安全事件关联至具体用户身份进行审计,为网络管理者提供可靠的依据。网络安全事件响应与处理对于IDS上报的安全事件,GSN能够根据规则对相应的攻击者进行自动地警告、隔离处理,及时将攻击事件在源头掐灭,避免个别攻击者的恶意行为危害其它内网用户。全网ARP欺骗立体防御GSN方案整合了目前业内理念最领先的全网立体防御ARP欺骗功能,从可能遭受ARP欺骗攻击的三个层面出发全面防治ARP欺骗带来的危害:网关:自动学习并添加认证用户的可信任ARP表项,确保网关获取真实可靠的用户ARP信息。接入交换机:在接入端口上自动学习并绑定用户的真实IP-MAC对应信息,将伪造的非法ARP报文直接在端口上丢弃,防止恶意攻击者对正常用户进行欺骗。RG-SU客户端:在客户端PC上自动绑定对应网关的真实信息,避免用户遭到恶意欺骗。防防扫扫描描在RG-S8606和RG-S2150G上,均启用了网络防扫描功能,一旦发现恶意用户在使用CStool等网络扫描工具对网络中的用户、网络设备、服务器进行扫描攻击,RG-S8606和RG-S2150G会自动隔离这些IP地址,保证网络系统的安全。防防DDooss//DDDDooss攻攻击击现在,很多的网络攻击都是来自网络系统内部,常见的Dos/DDos攻击对网络系统中的每一个元素的资源消耗都是巨大的,比如Hgod、dsniff都能够对网络中的任何目标发起攻击,使得被攻击者很快就因资源消耗过大而死机。在RG-S8606和RG-S2150G上,启用防Dos/DDos攻击功能,将来自内网的安全威胁减到最低。防防病病毒毒网络病毒一直是困扰用户的一个历史性问题,现在,由于在RG-S8606和S2150G上部署丰富的安全控制策略,将常见的、对网络危害巨大的各种病毒拒之门外,保证了网络的安全。网网络络高高性性能能整个网络的核心交换机RG-S6806E具有1.6T的背板带宽,595Mpps的包转发率,具有很高的网络性能。SPOH技术设计:RG-S8606采用了独特的SPOH设计技术,通过在交换机的每一个端口上增加一个FFP(快速过滤处理器),专门用来处理ACL和QOS,使得当RG-S6806E上启用上述大量安全功能的时候,整个交换机的性能丝毫不受到影响。LPM+HDR技术:RG-S8606采用了LPM+HDR技术,对于基于路由扫描的攻击将彻底防御。三平面分离:将数据平面、控制平面、管理平面分离,大大提升设备的可靠性。(五)项目实施效果评估网络自建立以来,一直稳定运行,实现了企业网的安全稳定运行和方便高效的管