.
.
公司网络及信息安全管理现状及建议
.
目录
一、网络环境及设备介绍 ............................................................................................................................................................................... 3
1、网络拓扑介绍。 ................................................................................................................................................................................. 3 1.1、拓扑说明: ....................................................................................................................................................................................... 3 2、主要设备介绍。 ................................................................................................................................................................................. 4
2.1、网络设备 .................................................................................................................................................................................. 4 2.2、服务器设备 .............................................................................................................................................................................. 4
二、上网管控策略 ............................................................................................................................................................................................. 5 三、主要应用系统介绍 .................................................................................................................................................................................... 6
1、云之家办公OA ................................................................................................................................................................................... 6 2、K3系统 .................................................................................................................................................................................................. 6 3、邮件系统 ............................................................................................................................................................................................... 7 4、备份服务器及文件共享 ................................................................................................................................................................... 8 5、SVN研发数据服务器 ........................................................................................................................................................................ 8 四、网络及信息安全管理面临问题 ............................................................................................................................................................. 8
1、桌面终端安全管理不到位。 .......................................................................................................................................................... 8 2、网络设备老化、设备资源不足 ...................................................................................................................................................... 9 附录、公司IT运维相关费用 ....................................................................................................................................................................... 10
.
.
一、网络环境及设备介绍
1、网络拓扑介绍。
1.1、拓扑说明:
公司唯一互联网出入口——中国电信IPCW专网,总带宽30M(上下行对等)。配
.
.
有5个公网IP地址,用于公司邮件系统及互联网应用。
穗花——赤岗生产基地互联专线——为中国联通30M点对点传输专线,赤岗分部全部联网应用及互联网应用均通过此专线实现。
固话业务——为中国联通。穗花,赤岗两个分部可实现内部短号互打,总固话号码约400个。
集团新OAK专线——由网络公司(原集团属于兄弟公司)提供服务,用于科技公司到集团、市局的联网应用。
2、主要设备介绍。 2.1、网络设备
可网管型网络交换机——18台,其中3560系列2台,2960系列16台,大部分使用年限已超过10年。。
互联网边界防火墙——1台,型号为天融信NGFW4000-UF,2015年投入使用。 上网行为管理终端AC。——1台,型号为深信服,2014年投入使用。
2.2、服务器设备
UPS持续供电系统——型号,山特10KVM,2006年投入使用,期间更换过一次电池,但总体后续供电能力不足。仅能满足紧急关机时长。
HP DL 380 G7——4台,2014年投入使用。分别用于公司邮件系统、SVN服务器、研发中心测试服务器、研发中心开发及数据库服务器。
HP DL 380 G5——2台,2013年投入使用。分别为公司K3系统服务器备机、及财务部数据服务器。
IBM X3650——1台,2016年投入使用,公司K3系统服务器。
.
.
二、上网管控策略
1、互联网访问及上网管控方面,通过天融信边界防火墙与深信服上网管理终端(AC)的配套使用实现全面管控。员工电脑实名登记并分配IP地址,启用IP-MAC地址绑定功能。设备具有自动收集保存微机上网行为数据功能,记录数可保存三个月以上。
2、上网流量控制方面,设备基于多种应用的特征码,对大流量应用如BT下载、流媒体等进行分类限速。
3、对88.128.141.0/24内网网段用户,实行白名单策略,白名单以外的互联网应用被禁止访问;同时内网用户(我司目前共有27个用户开通内网接入权限),全部执行入域操作,实现集团自动推送重要补丁及病毒查杀功能。
4、内网网段用户,白名单列表有: .mailkge./ (公司邮件系统应用)
https://.yunzhijia./ (公司云之家办公OA)
5、非141内网网段用户(外网),经过实名登记并IP-MAC绑定后,视需要开通访问互联网权限;同时,通过在核心交换的上联端口启用Trunk allowed过滤特性,实现外网网段流量与141网段逻辑上的绝对隔离,外网流量无法访问集团任何网络。
6、通过使用ACL访问控制列表,实现非141内网网段与141内网网段流量的应用层过滤;并同时实现对141网段内特定IP(共27个IP)访问集团网络的目的。事实证明,此种方式的阻断与防火墙的隔离技术相比,存在一定的风险性。
.
公司网络及信息安全管理现状及建议
