孚日集团改造方案书

编号密级孚日集团股份有限公司网络改造方案编写青岛友讯通用数码有限公司审核2目录一、公司介绍......................................................................................3二、公司现状......................................................错误!未定义书签。1．信息安全...................................................错误!未定义书签。2．网络状态和上网行为管理......................错误!未定义书签。3．服务器升级...............................................错误!未定义书签。三、改造与建议..................................................错误!未定义书签。1．信息化安全改造......................................错误!未定义书签。1．1方案设计......................................错误!未定义书签。1．2产品介绍......................................错误!未定义书签。2．上网行为管理和流量负载均衡..............错误!未定义书签。2．1方案设计......................................错误!未定义书签。2．2产品介绍......................................错误!未定义书签。3．服务器升级..............................................错误!未定义书签。3．1方案设计......................................错误!未定义书签。3．2产品介绍......................................错误!未定义书签。3一、公司介绍孚日集团股份有限公司是以家用纺织品为主兼营农药化工、热电、光伏等多元化产业的大型企业集团，是中国规模最大、出口金额最多的专业从事中高档巾被系列产品、床上用品、装饰布系列产品生产和销售的现代化家用纺织品生产厂商。公司股票于2006年11月在深交所上市。公司现拥有全球一流水平的染色、织造、印花及整理包装等各类生产设备，已形成棉纺加工、家用纺织产品制造、国内外销售一体化的完备产业链，产品通过质量、环境、安全健康等系列国际认证，主要销往日本、美国、欧洲等十几个国家和地区，自1999年以来，公司出口数量和出口金额一直名列全国同行业第一位。公司曾先后荣获“全国出口商品质量稳定企业”、“全国守合同重信用企业”、“山东省质量管理奖”、“山东省先进民营企业”、“山东省高新技术企业”等荣誉。是北京２００８年奥运会家纺类产品的特许生产和零售商。“孚日”商标为中国驰名商标；“孚日”牌毛巾系列、装饰布艺系列产品荣获“中国名牌”，并双双获得“国家质量免检”称号；“孚日”牌毛巾系列产品被商务部评为“重点培育和发展的中国出口名牌”。4二、公司现状1、信息安全对电脑用户权限未作控制，所有用户都使用本机管理员登陆电脑，很多重要文件都是开放式共享，无法制定统一的集团管理策略，无法有效管控一些信息敏感部门的机密资料，员工可以轻易将机密资料以邮件或者物理拷贝的形式将资料带出，用于非法用途，使公司蒙受巨大损失。2、网络状态和上网行为管理公司内部网络全部百兆共享到桌面，公司间千兆光纤直连，网络比较畅通，但是出口为网通百兆共享，百兆无法满足公司近千台电脑的带宽需求，造成网络缓慢、时断时续的现象；同时存在着一些员工上班期间看电影、玩游戏、炒股及浏览与工作无关的网站，造成不良影响；当前公司内部的网络接入无任何限制，任何外来人员都可接入公司网络，访问公司程序，对公司的数据安全造成隐患。3、服务器升级目前公司拥有财务物流、人事、销售、海关报关等10余套5应用系统，其对应的服务器都是采购04年左右，由于使用站点数和功能的增加，已不能满足运行要求，如物流系统出现了做一张单据需要等待10分钟左右的情况，造成工作效率低下。4、当前公司网络使用制度还不完善，出现一些使用和管理上的混乱；部分公司或部门独立实施应用系统或增加网络设备，造成系统繁多，不统一。6三、建议与改造1.信息安全改造1.1方案设计1.2产品介绍72.上网行为管理和流量负载均衡2.1方案设计第一，合理利用VLAN技术;管理好网络设备集团总部与工业园区之间采用千兆光纤互连，保障了集团内部网络畅通，他们之间通过TRUNK的方式或者直接采用三层路由的方式，就能够确保数据的安全有效传输。在局域网中按部门划分VLAN，就是不同的部门具有不同的访问权限，减少不必要的流量充斥在网络中，规避某些部门VLAN，限定他们只能访问指定的部门VLAN数据，或者禁止其连接互连网，这样做就能够有效地提高网络使用效率，减少数据被窃取的机会，不仅如此，这样能够减少减轻病毒及ARP攻击的范围和程度。在对网络进行规划的过程中，我们一定要考虑到一点，那就是网络设备的可管理和易管理性，由于孚日集团拥200台左右的网络交换设备，如此之多的网络设置势必在管理起来显得力不从心，基于此，我们在后期选择设备时应该尽量选择可管理交换机，比如支持SNMP管理方式，结合孚日集团实际情况，实现核心与汇聚设备高可管理性，接入设备由不可管理逐步向可管理逐步更新过度。第二，加强网络行为管理；保障出口带宽合理使用孚日集团网络采用的是单一出口结构，即同一台设备连接到一个ISP供应商，所租用线路带宽是100M光纤线路，使用中不可避免遇到带宽不够，网络数据传输延迟大等状况。一方面（因此）我们要对内部网络数据进行有效的行为管理，限制某些工作之外的流量通过网络，比如：在工作时间进行BT下载，8观看电影，玩网络游戏等等，这些行为都能占用大量的网络带宽，造成网络堵塞，同时下载的电影或软件又可能被病毒所感染，进而更加剧了网络性能的恶化，造成上网浏览网页速度慢，局域网数据传输慢等状况。采用H3C行为管理软件，能够有效的监控好网络，管理好网络，将网络控制在合理的使用范围内，通过强制性措施就能够限制用户使用大部分软件，对当前大多数的软件都具有良好可管理性。另一方面，为了提高网络整体带宽，在原来网络的基础上要再增加一条100M光纤线路，使孚日集团有两条对外连接的线路，这样的好处是非常明显的，增加100M光纤线路不仅能提高内部上网的访问速度，通过结合9500上的负载均衡模块，实现双线路负载均衡的功效，比如：网通线路与电信线路并存，通过负载均衡模块，我们就能够实现从网通进入的数据返回时还是选择网通线路，而不是走电信。92.2产品介绍对于要接入安全网络的用户，EAD解决方案首先要对其进行身份认证，通过身份认证的用户进行终端的安全认证，根据网络管理员定制的安全策略进行包括病毒库更新情况、系统补丁安装情况、软件的黑白名单、U盘外设使用情况、软硬件资产信息等内容的安全检查，根据检查的结果，EAD对用户网络准入进行授权和控制。通过安全认证后，用户可以正常使用网络，与此同时，EAD可以对用户终端运行情况和网络使用情况进行审计和监控。EAD解决方案对用户网络准入的整体认证过程如下图所示：组网模型10如下图所示，EAD组网模型图中包括智能客户端、联动设备、EAD安全策略服务器和第三方服务器。智能客户端：是指安装了H3CiNode智能客户端的用户接入终端，负责身份认证的发起和安全策略的检查。联动设备：是指用户网络中的交换机、路由器、VPN网关等设备。EAD提供了灵活多样的组网方案，联动设备可以根据需要灵活部署在各层比如网络接入层和汇聚层。EAD安全策略服务器：它要求和联动设备路由可达。负责给客户端下发安全策略、接收客户端安全策略检查结果并进行审核，向联动设备发送网络访问的授权指令。第三方服务器：是指补丁服务器、病毒服务器和安全代理服务器等，被部署在隔离区中。当用户通过身份认证但安全认证失败时，将被隔离到隔离区，此时用户能且仅能访问11隔离区中的服务器，通过第三方服务器进行自身安全修复，直到满足安全策略要求。终端准入控制(行为管理)解决方案（EAD）目前，在企业网络中，用户的终端计算机不及时升级系统补丁和病毒库、私设代理服务器、私自访问外部网络、滥用企业禁用软件的行为比比皆是，脆弱的用户终端一旦接入网络，就等于给潜在的安全威胁敞开了大门，使安全威胁在更大范围内快速扩散，进而导致网络使用行为的“失控”。保证用户终端的安全、阻止威胁入侵网络，对用户的网络访问行为进行有效的控制，是保证企业网络安全运行的前提，也是目前企业急需解决的问题。网络安全从本质上讲是管理问题。H3C终端准入控制（EAD，EnduserAdmissionDomination）解决方案从控制用户终端安全接入网络的角度入手，整合网络接入控制与终端安全产品，通过智能客户端、安全策略服务器、网络设备以及第三方软件的联动，对接入网络的用户终端强制实施企业安全策略，严格控制终端用户的网络使用行为，有效地加强了用户终端的主动防御能力，为企业网络管理人员提供了有效、易用的管理工具和手段。EAD特点：全方位准入控制12EAD解决方案提供完善的接入控制，可以支持局域网、广域网、VPN、无线各种接入方式，支持包括HUB在内的各种复杂网络、思科等异构网络环境下的部署，保证从任何地点、任何方式下的接入安全。严格的身份认证除基于用户名和密码的身份认证外，EAD还支持支持智能卡、数字证书认证，增强身份认证的安全性。同时，EAD支持多元素绑定，如帐号、MAC地址、IP地址、所在VLAN、接入设备IP、接入设备端口、无线SSID、QinQ等。完备的安全状态评估根据管理员配置的安全策略，用户可以进行的安全认证检查包括终端病毒库版本检查、终端补丁检查、终端安装的应用软件检查、代理及拨号配置、多网卡检查、注册表管理、操作系统密码管理等；EAD客户端支持和瑞星、江民、金山、Symantec、MacAfee、TrendMicro、安博士、卡巴斯基等国内外主流病毒厂商联动，同时为了更好的满足客户的需求，也支持与微软SMS、LANDesk、BigFix等业界高端的桌面安全产品的配合使用。例如已经购买微软的桌面管理工具SMS的用户，EAD可以与SMS配合，由EAD实现终端用户的准入控制，由SMS实现各种Windows环境下用户的桌面管理需求：资产管理、补丁管理、软件分发和安装等。基于用户的准入控制在用户终端通过病毒、补丁等安全信息检查后，EAD可基于用户的角色，向联动设备下发事先配置的接入控制策略，按照用户角色权限规范用户的网络使用行为。终端用户的所属13VLAN、ACL访问策略等安全措施均可由管理员统一配置实施，即使是在HUB环境，也可区分不同的用户并执行不同的控制。灵活方便的执行模式EAD按照网络管理员配置的安全策略区别对待不同身份的用户，定制不同的安全检查和处理模式，包括监控模式、提醒模式、隔离模式和下线模式。用户可以根据自己的实际需要，为VIP客户、内部员工、外来访客等不同人群，定义不同的安全策略执行方式。全面的ARP攻击防御EAD解决方案通过ARP网关地址自动下发、自动绑定的功能，使终端用户免受ARP欺骗攻击的影响，同时提供了ARP攻击报文过滤、ARP异常流量检测等控制措施，杜绝恶意用户的ARP攻击行为。桌面资产管理EAD解决方案实现了对终端资产全方位的监控和管理，可以对终端软硬件使用情况、变更情况进行监控，同时还支持终端资产的配置管理和软件的统一分发、远程协助、桌面防火墙管理，帮助客户更有效地管理企业的桌面资产。U盘审计及外设管理EAD解决方案可以对U盘和外设的访问过程进行监控，可以查看重要文件通过U盘拷贝时，有无存在不当使用行为。EAD还提供了对U盘和其他外设的管理功能，可