企业局域网站安全防范的几点体会2免费猫

企业局域网站安全防范的几点体会

苏州金螳螂建筑装饰有限公司 信息部主任 马 文 一、金螳螂企业网络概况 金螳螂企业局域网是一个信息点较为密集的千兆局域网络系统，它所联接的现有数百个信息点为在整个企业内办公的各部门提供了一个快速、方便的信息交流平台。同时, 通过专线与Internet连接，提供WEB，邮件，FTP服务；通过安全高效的VPN网络，实现国内各分公司、各项目工程部、移动办公人员通过因特网从远程安全地访问总公司内部网络。高速交换技术的采用、灵活的网络互连为整个金螳螂提供了快速、方便、灵活的通信平台的同时也为网络的安全带来了更大的风险。因此，金螳螂企业在信息化规划时，也建立起了一套完整、可操作的网络安全解决方案，实现对局域网全面的安全管理。 二、金螳螂网络安全规划 在计算机网络日益成为日常办公不可或缺的工具时，计算机网络安全也引起了我们的高度重视。金螳螂企业在进行网络安全规划时，综合考虑企业局域网的特点，根据产品的性能、价格、潜在的安全风险进行综合考虑，提出了金螳螂企业的网络安全解决方案，希望和大家一起交流和探讨。 ● 将安全策略、硬件防火墙、漏洞扫描、入侵检测等方法结合起来，构成一个统一的防御系统 ● 通过网络版防毒墙，对网关、邮件、服务器、工作站由中央控制台统一控制和管理，实现全网统一防病毒 ● 通过网络管理软件和硬件防火墙结合的方法，监控网络运行状况和内部工作站通过USB，邮件、因特网等方式窃取数据 ● 制定详细严格的数据备份、灾难恢复策略，保证数据和网络系统的安全。 ● 定期进行漏洞扫描，审计跟踪；定期查看网管软件、网络版防毒墙、防火墙日志，及时发现问题，解决问题 三、金螳螂网络安全解决方案 1．网络结构 在分析金螳螂企业局域网的安全风险时，金螳螂企业局域网按访问区域可以划分为三个主要的区域：内部网络、VPN区域、Internet区域。 内部网络：按照所属的部门、职能、安全重要程度分为以下子网：中心服务器子网、设计子网、投标子网、办公子网。在网络安全方案设计中，我们基于安全的重要程度和要保护的对象，通过三层交换机将整个局域网划分为四个虚拟局域网（VLAN）即：中心服务器子网、设计子网、投标子网、办公子网。 VPN区域：金螳螂企业各分公司、各工程项目部、移动办公人员通过VPN远程安全访问总公司内部网络。采用VPN方式访问公司网络，安全稳定，实施效果好。 Internet区域：将提供WEB，邮件，FTP服务的公共服务器架设在防火墙的DMZ区中，与内部网络隔离，避免公开服务器的安全风险扩散到内部网络。 2．内部网络安全措施 网络安全系统是建立在网络系统之上的，网络结构的安全是网络安全系统成功建立的基础。在整个网络结构的安全方面，金螳螂企业局域网采用以下网络安全防范方面的措施来建立我们的网络安全体系。 ● 访问控制：制订严格的管理制度，我们建立了相应的《帐号及口令管理规范》、《用户权限管理制度》。 ● 内外网隔离：在内部网与外部网之间，设置防火墙实现内外网的隔离与访问控制，通过交换机的VLAN实现将不同功能和安全级别的子网分开。 ● VPN平台：结合金螳螂企业的实际需求，对实施效果、成本和风险，硬件和网络方案等进行了充分的调研和论证后，金螳螂企业建立了整个企业的VPN网络平台。采用VPN方式访问公司网络，安全稳定，实施效果好。 ● 网络安全检测：任何系统得安全都是相对的，没有一个网络操作系统是绝对安全的，我们定期对网络系统进行安全性分析，对问题及时发现并修正。 ● 审计与监控：审计是记录用户使用计算机网络系统进行所有活动的过程，它是提高安全性的重要工具。我们通过硬件防火墙管理软件，可以实时监控网络流量、VPN用户使用情况，审计用户上网、收发邮件等情况。通过网络管理软件，我们可以对整个局域网进行监控，发现问题及时防范。 ● 网络防病毒：通过网络版防毒墙，对网关、邮件、服务器、工作站由中央控制台统一控制和管理，实现全网统一防病毒。合理设置邮件服务器和网络版防毒墙，防止垃圾邮件；定期上网查看最新流行病毒，查看系统漏洞，升级系统补丁。 ● 网络备份系统：制定详细严格的数据备份策略，并且数据备份有专人负责。 ● 重要数据备份：如设计、投标资料，财务数据，通过备份软件定期自动备份到磁带库。数据还原我们可以还原到每日，每周，每月，每年的数据。 系统备份：利用备份软件远程定期备份服务器系统。一旦网络系统瘫痪或出错，我们可以迅速恢复网络系统。 双机热备：对于重要服务器应用采用双机热备技术，比如我们的OA系统，邮件系统，AD服务器，我们采用双机热备技术，保证数据的安全和稳定性，即使在一台服务器出错情况下，其中另一台服务器也可以迅速接管那一台服务器的工作。 ● 安全管理 为了保护网络的安全性，除了在网络设计上增加安全服务功能，完善系统的安全保密措施外，安全管理规范也是网络安全所必须的。安全管理策略一方面从纯粹的管理上即安全管理规范来实现，另一方面从技术上建立高效的管理平台（包括网络管理和安全管理）。安全管理策略主要有：定义完善的安全管理模型；建立长远的并且可实施的安全策略；彻底贯彻规范的安全防范措施；建立恰当的安全评估尺度，并且进行经常性的规则审核。当然，还需要建立高效的管理平台。 安全管理原则 多人负责原则：信息部门需要有一个系统主管，负责规划网络安全和分配网络安全工作，系统主管下面设置若干系统管理员，每一项与安全有关的活动，必须有两人或多人负责。这些人应是系统主管指派的，他们忠诚可靠，能胜任此项工作；他们应该签署工作情况记录以证明安全工作已得到保障。 任期有限原则：一般地讲，任何人最好不要长期担任与安全有关的职务，以免使他认为这个职务是专有的或永久性的。为遵循任期有限原则，信息部门人员不定期地循环任职，并规定对工作人员进行轮流培训，以使任期有限制度切实可行。 职责分离原则：信息部门人员不要打听、了解或参与职责以外的任何与安全有关的事情，除非系统主管批准。 安全管理的实现 信息部门应根据管理原则和该系统处理数据的保密性，制定相应的管理制度或采用相应的规范。具体工作是： a．根据工作的重要程度，确定该系统的安全等级 b．根据确定的安全等级，确定安全管理的范围 c．制订相应的机房管理制度，对于安全等级要求较高的系统，要实行分区控制，限制工作人员出入与己无关的区域。出入管理可采用证件识别或安装自动识别登记系统，采用磁卡、身份卡等手段，对人员进行识别、登记管理。 d．制订严格的操作规程，比如建立和注销帐号、数据备份、电脑调配等 e．操作规程要根据职责分离和多人负责的原则，各负其责，不能超越自己的管辖范围。 f．制订完备的系统维护制度 g．对系统进行维护时，应采取数据保护措施，如数据备份等。故障的原因、维护内容和维护前后的情况要详细记录。 h．制订应急措施，要制定系统在紧急情况下，如何尽快恢复的应急措施，使损失减至最小。 基础网络的应用带来实用高效的信息环境平台 深圳极尚建筑装饰设计工程有限公司 总经理 倪 阳 针对装饰企业信息化建设的现状，我们通过自身信息化建设的工作实践，并在结合本企业经营管理思路的推行应用过程中有了一些体会和初步的认识，也逐渐形成了自己的一些看法，现与大家共同交流和研讨。 观点一：我们企业信息化建设所用到的技术并不一定需要最先进的，但关键要适合企业运作的特定阶段，为企业现实运作服务，提高工作效率，降低营运成本。庞大先进的软硬件系统如不匹配特定管理要求和阶段，会影响企业的正常的运作方式，而其本身的成本也是相当高的。 企业推广信息化建设在不同类型、不同规模的企业是不同的。且成熟的应用领域更偏重业务范围定性、定量明确的企业，如生产型企业有固定的产品生产经营模式，成熟的销售网络系统和管理模式。装饰企业则不同，特别是偏重设计类型的公司其运作方式也不尽相同，而不同的公司又都有自己特定的做法。总的情况看来，目前国内的软硬件市场也很少看到符合我们行业的整体性解决方案。因此我们的信息化建设从一开始就应该是从适合我们经营现实的角度出发，建立一个高效、低耗的企业信息交换平台，这个平台将在企业经营管理和持续发展中起到桥梁的作用。而不会因其相对较高的成本和维护费用成为企业经营的拖累。 观点二：中小企业在发展信息化进程中由于自身及市场要素的不确定性多且变数较大，不同于大型企业那样可以制定相对确定的阶段目标，因此我们信息化工作的开展只能从最基本的信息化统计应用开始，在基础信息框架搭建好后再试图去灵活组合应用已积累的共享信息资源。 网络信息平台的搭建有两种方式，自上而下与自下而上。我们通常是会采取后一种方式，由简单而扎实的信息基础工作开始，注重经验的积累，如输入管理理念、文件信息，工作流程、过程记录统计等。因此，我们较快地实施了管理过程无纸化计划，实现了异地轻松管理、控制、协调业务流程的理想。 观点三：信息化不单纯是一种技术手段，更多的应该跟企业的经营管理、文化建设、体制机制的完善融合在一起，并形成一种互动的持续发展关系。 信息化建设不应该只是通过技术手段，改变企业原有的经营模式从而跟上所谓的信息化进程的脚步。它应该是潜移默化地在企业原有经营秩序没有被打乱的情况下，循序渐进地改变着企业，影响着员工的行为方式，让大家觉得信息化所运用的手段成为工作习惯，甚至成为一种生活方式的同时，企业的信息化建设也在逐步地进行、展开并健康发展着。 总之，我们企业很早就敏感的意识到电脑网络对当代社会的影响和意义，这种革命的紧迫性使得我们一开始就在“找死”和“等死”之间求生存，拼命搭上这班“快车”，不能被信息时代所抛弃。回想这个过程，感到很值得回味。当初，我们早就建立了局域网，当时只是设计制图人员在用电脑，随着技术的逐渐普及我们的行政、工程人员开始使用电脑，办公也实现了电子化。我们的局域网络也在逐步的扩大，我们建立了数据服务器到后来通过虚拟VPN手段，实现了城市之间分支机构、项目组的互联，信息交换逐步完善。 不过我们很快发现这一切技术上的变化更新，只不过是实现了企业经营管理的电子化而已，这样的变化并不是我们独有的，庞大的网络只是实现了我们工作期间的文件交换而已，并没有更多的用途，就像花费巨资建立的高速公路，结果发现只有拖拉机在跑。诺大的网络空间成为巨大的浪费。通过集思广益，我们认为带有浓厚技术色彩的网络，能为公司的经营管理和文化建设等方面带来聚变。 随后，我们建立了公司内部的web服务器，开通了局域网论坛，并设立了经营管理、如新技术新材料库、设计论坛、员工论坛、休闲娱乐等专门区域。如此，公司通知、指示，员工抒发感想、提出建议等空间瞬间扩大，以前只能每月在企业内部《简报》上发表一次文章的员工，现在可以即兴发挥了。 但是，新技术很快改变了这种时效性不够强的交流形式，一个基于局域网的即时通信软件被安装到每一个人的电脑上，即时的、点对点交流成为可能，并且互传管理文件、设计文件等。特别是在设计过程中，大量的项目现场照片和相关意向概念图片、参考图片资料在筛选、整理编辑工作变得简单和轻松自如。最让人难忘的是：几年来我们与美国RTKL设计公司合作几个在上海、大连、武汉、深圳大的设计项目时，大量的图形文件是通过越洋传递信息的，除了时间差的因素外，彼此都感到很便捷，我们相信今后的信息传递速度会更快。在整个网络信息建设过程中我们也加强了各类文件的安全管理，增加了私密性保护措施，实现不同权限系统内的文件共享。同时，我们还定期进行网络系统信息知识培训、培养信息化专业性人才，落实各部门、各项目的月、年工作计划系统编制，宏观调控及保证实施的制定与输入，包括合同编制、保存，客户跟踪回访信息纪录。严格规定函件接收与发送程序、分类存档，为此信息系统建设逐渐完备，工作变得简单，有效率，有效益。 值得欣慰的是，我们在以下几个方面取得了明显的工作绩效，从而逐步建立完善的企业核心竞争力体系。 网站的市场推广 网站建设 公司同时注册了，artmost.com以及同名的.com.cn和.cn的域名，还有“倪阳”“极尚”“中意坊”等网络实名，以保护企业各个品牌在网络上的唯一身份。 公司建立网站后随即通过行业协会及相关网站的链接，推广了公司的形象和业务，也成为一个企业信息对外发布的平台。网站除公司介绍外，更重要的是有一个作品发布和管理的平台。完全实行网上发布招聘信息，人力召集和储备，向潜在客户展示我公司的设计和施工实力，并通过英文版将公司推向海外市场展示。的确，公司网站发布几年来，我们赢得了好多项目，而且有几个具有重要影响和意义的项目，如深圳工业展览馆的前期策划设计、东莞巨无霸的华南MAII商业空间设计等项目。 利用网络轻松实现客户沟通 建立ftp站 ftp站的建立增进了，企业内部和企业与各个合作伙伴之间的文件传递，我们为每一个客户和合作伙伴开设账号，达到文件传递的安全性。 比如，设计方案完成后，将其放在ftp服务器的此客户专署目录下，客户来这里取文件、查看、审定、确认，到我们进行下一步设计，中间不需要人力往返，大大节约了时间和资金，其方便性得到广大客户的认可。 项目视频数字化的制作与推广 项目完工后，我们会为项目拍摄视频片断，如地产类对不同户型、不同客户定位、不同风格的设计进行精选角度拍摄并配词、配音、配乐，渲染项目功能、空间、环境、风格等的说服力和艺术性效果。 针对这些视频精选片断，通过与网站配套的VOD服务器，向互联网展示我们的作品，同时以VCD的形式送给客户，调动客户的想象力，让客户能更多地感受到项目的感染力。 网络技术重塑了企业文化的活力 一些技术手段的应用，对我们的企业文化建设所带来的改变也是显而易见的。首先表现在我们内部沟通方面，我们企业迄今创办了六十多期的《简报》是我们员工发表文章、观点、评论的一个重要平台，它是月刊的形式，因此它的机动性、即时性就很弱，公司建立内部论坛以来这个情况被彻底改变，现在可以随时到论坛发表，而且其他的员工可以回复讨论。企业的一些经营管理的问题也可以在这里由大家参与意见，拓宽了企业与员工沟通。也使员工创作的灵感不至于被《简报》一个月的发表期所磨灭，成为员工之间汇集思想，交流情感的方式，变成一个工作生活中不可缺少的组成部分。大家在其中共享成功的喜悦、人生的感悟、思维的凝练、认知的提高，“她”真正把“文化”融入进了企业的内涵。另外，公司历年来组织的集体旅游、娱乐、聚餐、生日庆贺、重要会议、庆典等活动都由专人拍摄数码照片，然后整理、归档到公司服务器中，大家可以随时欣赏、回味，对发扬员工团队精神，新员工入司教育均起到了良好的作用和效果。 我们很感谢员工为公司付出的辛勤劳动，同时也感谢在他们身后支持、鼓励他们的亲人。因此，我们通过技术手段把他们“请”到公司元旦晚会的现场，来表达他们对企业、对员工的期望、寄托和感触。 2004年元旦前夕公司几位骨干出差，一个由企业员工组成的特别采访小组分别先后来到了几位骨干家中完成了对其家人的采访，并以DV记录了全过程并独立完成编导、剪接、制作工作。元旦晚会上，在没有任何前兆的情况下，特别节目开始了，母亲对儿子的期望，妻子的支持，儿子的天真可爱，突然在投影屏幕中展示在他们的面前，这些真实的纪录是他们以前不曾看到、听到、想到的，同时也为全体员工留下了深刻印象。最后，我们把晚会的全过程用DV录制下来，做成VCD，发送给每一位员工，让每一位员工亲属都有机会感受到企业的文化气氛，使得亲属们对员工的工作更有信心，更支持他们，也更支持了我们的企业。 回顾六年来我们使用网络技术的经历过程，一方面是可喜可贺，另一方面我们也感到对网络技术运用的局限和困惑。我们希望在夹缝中求生存的这种方式通过企业自身实力的提升和网络技术、软硬件开发水平的提升得到一个全方位高一层次的发展提升机遇，我们同时也希望全行业的网络技术应用管理水平能力程度能够成为当代信息社会的最大受益者之一。

尊严故事会

长征的故事

波尔山羊养殖技术

唐菖蒲的种植技术