某集团网络优化管控方案-(2018.09)

****2018.09.25一、网络系统运维现状：1、硬件:PC机163台（含服务器5台），网络交换机：9台（其他桌面接入小型交换机不计）；公司网支持10/100/1000Mbs；董事、财务--出口部为10/100Mbs；服务器：除Fileserver、4fang、Richmax外其他支持100/1000Mbs；2、运维系统：K3、Q5、用友、OA、HR、Richmax、4Fang；配套软系统：SQLserver2012、2005、卡巴斯基杀毒软件、Windows2008R2、office2007；3、PC端：系统---Windows（XP、win7、win10除品牌机外其他均为ghost版），应用软件均为破解版；4、防病毒系统：a、公司网络后台设立防火墙，PC端依靠免费杀毒软件防毒；b、董事会、出口、财务网依靠PC端免费杀毒软件防毒；5、组网：集团分三组独立网络；董事会-财务网络、公司网、出口部网络；6、网络拓扑图如下：二、网络拓扑图：Friewall策略管理服务器InternetService-ServerLanswitchLanswitchLanswitchLanswitchLanswitchLanswitch共：112台K3、Q5、T+、OA、HR、4fang、richmax路由器Lanswitch董事、财务---出口网络共：46台Internet公司网络三、网络、系统服务、安全性问题：1、网络：a、三网独立，文件数据共享不便；b、公司局域网支持1000Mbs，实际使用100Mbs；c、外网访问与速度会出现短暂性访问缓慢；d、WiFi连接过多，数据安全性不高且影响整体带宽。2、系统服务安全性：a、全公司电脑独立运行，管理权限开放，各类软件随意安装，IT管理不便且影响电脑运行速度；b、数据共享安全系数不高，个人电脑使用寿命不长，数据丢失率高；c、USB开放、无数据加密；数据可随意访问、拷贝，个人电脑随意可带出；d、网络管控不严，数据随心发送；e、存储安全性不高且分散，不利于公司掌控核心资料；f、版权问题；（电脑系统、office、开发与设计及其他软件）。四、网络优化与解决方案：一、网络方面：1、整合三个独立网络互联；对公司带宽使用率评估，确定需求带宽量；2、严控公司上网行为与权限，各部提供外网需求名单与访问权限，对上网需求不大且偶尔会使用的，可单独开放，事后关闭，其他人员不予访问外网；3、提升局域网络速率，充分利用局域网资源。4、WiFi管理：a、WiFi网络与公司网络分离独立，以确保公司网络安全、满足工作需求与公司网络带宽；部分区域确实需要公司wifi办公，以实际情况处理。b、WiFi安装与使用权限管理：WiFi名称、密码、安装点、楼层统筹规划，具体如下图：c、严禁私人安装WiFi，如：WiFi路由器、360类便易式WiFi等；（制度与技术管控）d、WiFi网络管理方案：涉及车间区域WiFi，实行加密隐藏、IT专员专职管理连接与密码，因公需求并申报批准方连接；办公楼层、休息室加密公开WiFi名称；除休息室外，所有WiFi全天严禁访问娱乐、视频、新闻等同类网站并通过技术层面管控；网络管理制度添加WiFi条例；各部主管严格管控本部上网行为，严格保管WiFi密码。WiFi管控拓扑图：一楼二楼三楼四楼办公楼**一楼二楼三楼四楼第三栋策略管理一楼WiFi安装于采购、电子展厅门口通道，对一楼主要区域覆盖二楼安装于高新办、人事、电子开发门口对二楼覆盖三、四楼安装有待批示**机房门口三楼办公室、四楼休息室门口五、网络系统服务管理（一）：一、系统方面：1、搭建AD域控服务器，改单机服务模式为域控服务模式；有利如下：权限管控严谨、统一集中，利于系统统筹规划；利用AD服务严格管控软硬件私自安装；用户数据访问安全性比单机高，文件共享权限划分与安全更明确；桌面环境统一部署，有利于体现企业文化；防止用户随意更改系统设置；Windows高级应用如：FTP文件服务、web网站、exchange、DNS、DHCP服务需要AD支撑；有利于防止恶意破坏系统、文件、非法入侵，降低中毒率；2、搭建FTP服务，构建公司存储服务器：集中管理公司文件、软件，节约个人电脑空间、机械磁盘转换固态，提高读写速度与效率；防止文件丢失与文件查找困难；有利于公司掌控重要文件，如：研发图纸、技术文档、核心文件、专利等；配合存储服务，提高数据高可靠性与安全性；便捷办公，加密访问通道，有利于远程办公需求。六、网络系统服务管理（二）：二、存储与安全：1、利用AD域控、FTP账户安全级别与文件权限划分，管控用户账户，防止离职恶意删除与破坏，提高数据存储访问安全；2、本地USB封堵，网络安全管控减少数据外泄风险；3、建立数据加密系统,重点管控研发、核心资料、业务数据、财务、服务器数据拷贝、传送、查看、打印、截图等；4、IT专员协助，各部主管统计本部门数量容量大小，文件重要等级，有无需求自动备份，以便做存储空间、文件种类与备份存储规划；5、存储服务器防病毒软件升级至专业版；6、依据文件重要等级进行自动备份；7、存储服务器文件夹设置规划如下（仅供参考）：A、部门为单位，设置个人文件夹；（所有人员做存储空间分配）B、特殊文件设置独立文件夹；C、公共文件、制度、通知等公开设置；8、桌面安全管控：a.即时通信管控，防止qq、msn、邮件外泄；b.文档打印管控，防止重要文档泄密；c.屏幕监控，设备管理（USB，存储卡）。七、网络系统服务管理（三）：三、Exchange企业（内部）邮箱：1、建设企业内部邮箱，转变工作信息交流与传递方式（qq、微信等），为数据传递安全与有迹可循提供便利，确保数据流通于公司内部；2、利用AD账户做邮箱，便于同事间信息传递；3、减轻外网带宽负担（管控qq、微信传递数据）；4、有利于提升企业文化与信息化实力；5、数据达到安全等级，邮箱可对外使用；四、VPN（虚拟专线网）：1、VPN常用于总公司与分公司、出差在外远程办公，数据传递；2、架设VPN，有利于中山与广州内部数据交流；3、公司统一存储、数据安全性高；八：实施方案（一）：一、设备需求：1、AD域控、FTP、邮件服务等集成一台服务器；2、存储服务器；3、加密系统；4、VPN设备；二、实施：1、网络架构：a、整合合并公司三条网络；b、优化、管控公司网络，上网权限与行为调整管控；c、WiFi综合整改，管控统一安装配置，严禁私人接入，提高网络安全；2、系统服务架设：a、服务器系统需求：winserver2008R2以上企业版；杀毒软件，office2007；b、AD域控:制定公司域名,搭建AD、FTP、Exchange服务；c、建AD用户与组（制定用户命名规则，可做企业邮箱用）；AD服务初步调试九、实施方案（二）：d、账户权限设定，用户加入域环境；e、用户桌面环境（无关软件）处理，工作软件安装；f、账户安全、系统安全、文件访问权限设定（实施b、c、d、e、f步骤前以下任务需各部配合完成）：•账户权限划分确认、审核；•提供共享文件与访问人员，权限明细表•工作软件确认表、审核；•确定域名以及域名是否要申请备案，企业邮箱是否要外发，计算机名命名规则；（公司领导做批示与核定）3、存储管控：①各部核算现有重要文件大小，汇总估算存储空间，需求文件访问权限、存储空间统计。②存储设备选择（存储空间、扩容、传输速率、虚拟化、磁盘阵列）；③安全、加密系统选择；④加密用户Key与数据文件核定，服务器、客户端安装调试，文件授权管控设定；（加密软件以用户数与模块作收费标准）；⑤存储文件规划，共享搭建，访问权限设置，PC端存储路径、空间大小划分设置；⑥ERP、HR、OA、EXchange数据与存储服务器存储空间对接，解决该服务器存储空间问题。4、Exchange企业（内部）邮箱建设（对外？）：•搭建企业邮箱系统；•导入用户账户，权限，用户空间，邮箱大小设置，初步系统调试；•客户端安装，投入使用；十、实施方案（三）：5、版权问题：系统方面：购买并登记系统KEY；更换电脑时，购买品牌机（自带正版系统）软件方面（2方法）：1、购买正版软件授权；2、开发设计部门或人员禁用外网，提供公共电脑给予查询资料；3、提高员工保密意识；6、VPN（虚拟专线）搭建：•广州、中山架设VPN设备；•中山客户端安装，调试，培训使用；•中山数据存储设置与调试；7、管理规范与规章建设：•网络、系统管理规定修订重申；•文件安全管控、存储规则制定；•硬件管控规定规范；•系统账户、文件权限、离职收回与注销规则制定；十一、工程造价估算：1、AD、exchange、FTP服务器：IBM3650M52.1W；2、存储服务器：3.5W；3、VPN：广州、中山各一个，1.5W；4、UPS：2W；5、部分可能需要服务费用，预计5K6、加密软件因以客户端数量与购买模块计算费用，预计3W；以上均为查询预估价格，合计：11.6W，系统工程以实际造价为准。