公司网络及信息安全管理现状及建议

综合部网络及信息安全管理1/11公司网络及信息安全管理现状及建议综合部网络及信息安全管理2/11目录一、网络环境及设备介绍.......................................................................................................................................................31、网络拓扑介绍。.........................................................................................................................................................31.1、拓扑说明：..............................................................................................................................................................32、主要设备介绍。.........................................................................................................................................................42.1、网络设备..........................................................................................................................................................42.2、服务器设备......................................................................................................................................................4二、上网管控策略...................................................................................................................................................................5三、主要应用系统介绍...........................................................................................................................................................61、云之家办公OA...........................................................................................................................................................62、K3系统........................................................................................................................................................................63、邮件系统.....................................................................................................................................................................74、备份服务器及文件共享.............................................................................................................................................85、SVN研发数据服务器.................................................................................................................................................8四、网络及信息安全管理面临问题.......................................................................................................................................81、桌面终端安全管理不到位。.....................................................................................................................................82、网络设备老化、设备资源不足.................................................................................................................................9附录、公司IT运维相关费用................................................................................................................................................10综合部网络及信息安全管理3/11一、网络环境及设备介绍1、网络拓扑介绍。1.1、拓扑说明：公司唯一互联网出入口——中国电信IPCW专网，总带宽30M（上下行对等）。配有综合部网络及信息安全管理4/115个公网IP地址，用于公司邮件系统及互联网应用。穗花——赤岗生产基地互联专线——为中国联通30M点对点传输专线，赤岗分部全部联网应用及互联网应用均通过此专线实现。固话业务——为中国联通。穗花，赤岗两个分部可实现内部短号互打，总固话号码约400个。集团新OAK专线——由网络公司（原集团属于兄弟公司）提供服务，用于科技公司到集团、市局的联网应用。2、主要设备介绍。2.1、网络设备可网管型网络交换机——18台，其中3560系列2台，2960系列16台，大部分使用年限已超过10年。。互联网边界防火墙——1台，型号为天融信NGFW4000-UF，2015年投入使用。上网行为管理终端AC。——1台，型号为深信服，2014年投入使用。2.2、服务器设备UPS持续供电系统——型号，山特10KVM，2006年投入使用，期间更换过一次电池，但总体后续供电能力不足。仅能满足紧急关机时长。HPDL380G7——4台，2014年投入使用。分别用于公司邮件系统、SVN服务器、研发中心测试服务器、研发中心开发及数据库服务器。HPDL380G5——2台，2013年投入使用。分别为公司K3系统服务器备机、及财务部数据服务器。IBMX3650——1台，2016年投入使用，公司K3系统服务器。综合部网络及信息安全管理5/11二、上网管控策略1、互联网访问及上网管控方面，通过天融信边界防火墙与深信服上网管理终端（AC）的配套使用实现全面管控。员工电脑实名登记并分配IP地址，启用IP-MAC地址绑定功能。设备具有自动收集保存微机上网行为数据功能，记录数可保存三个月以上。2、上网流量控制方面，设备基于多种应用的特征码，对大流量应用如BT下载、流媒体等进行分类限速。3、对88.128.141.0/24内网网段用户，实行白名单策略，白名单以外的互联网应用被禁止访问；同时内网用户（我司目前共有27个用户开通内网接入权限），全部执行入域操作，实现集团自动推送重要补丁及病毒查杀功能。4、内网网段用户，白名单列表有：(公司邮件系统应用)（公司云之家办公OA）5、非141内网网段用户（外网），经过实名登记并IP-MAC绑定后，视需要开通访问互联网权限；同时，通过在核心交换的上联端口启用Trunkallowed过滤特性，实现外网网段流量与141网段逻辑上的绝对隔离，外网流量无法访问集团任何网络。6、通过使用ACL访问控制列表，实现非141内网网段与141内网网段流量的应用层过滤；并同时实现对141网段内特定IP（共27个IP）访问集团网络的目的。事实证明，此种方式的阻断与防火墙的隔离技术相比，存在一定的风险性。综合部网络及信息安全管理6/11三、主要应用系统介绍1、云之家办公OA云之家办公OA（）于2017年8月上线，最初由原项目管理中心运维，于2018年6月1日移交综合部运维，期间经历过一次较大的部门架构调整。云之家主要功能介绍：自有功能员工签到、请休假、会议室预订、免费云之家电话、公告、实时聊天、员工通信录、企业邮件绑定收发、同事圈（话题、新闻动态等）智能审批云之家支持根据公司实际需求定制适合公司的各类审批流程，目前已经投入运行的智能审批流程有：零散采购审批、非工作日费用事前申请；已有企业开票代码的开票单、未有企业开票代码的开票单；特殊情况用车申请审批（非工作日用车）、用车申请审批、请/休假申请；工作借支（对公）、员工借支；信息协同单；运维难度及复杂性评级：★★★主要工作量：流程监控、智能审批流程设计、流程调整2、K3系统K3系统（192.168.100.168）于2010年由旧版金蝶财务系统升级而来，K3/ERP制造系统包括销售管理系统、计划管理系统、采购管理系统、车间管理系统、仓存管理综合部网络及信息安全管理7/11系统（包括E－仓存系统）、存货核算系统、成本管理系统和集团分销系统等共八个子系统，跟踪企业（包括集团内部的）从销售计划到成本分析的生产经营全过程，综合反映企业日常生产经营活动存货、价值流转的物流和资金流循环流动轨迹，累积企业管理决策所需要的管理和控制信息，帮助企业将生产经营过程运作升华为完善的“数据→信息→决策→控制→考核”流程的全面企业管理。当前系统版本为金蝶K3/ERPV12.0精益版，系统当前已退出金蝶生命周期，但并不影响继续使用，由于系统存在较多问题，当前由第三方实施机构——新赛公司帮助我司对K3系统进行优化改造工作。该系统的ERP管理员由综合部承担运维难度及复杂性评级：★★★★★主要工作量：ERP管理员需对此系统保持高密度高强度运维，例如：角色维护、系统日志管理、用户权限管理、基础数据配置维护、服务器底层、中间层及数据管控、数据库管理及备份监控。3、邮件系统公司邮件系统（192.168.120.188）于2009年12月上线运行，系统版本为magicmail3.0，通过外购形式购入，整套系统部署在穗花二楼机房物理服务