第一篇:企业网络系统集成方案设计
生产型公司网络系统集成方案设计
概
要
本文介绍了一个完整的生产型公司网络的系统集成方案,包括项目前期的需求分析,总体设计,局部网络设计,综合布线系统以及项目实施步骤等过程,详细地记录了整个方案的实施。
目 录
第一章 前言.......................................1.1 公司网络系统建设目标.................................................................................1.2 用户具体需求.................................................................................................1.3 公司系统建设原则.........................................................................................1.3.1 先进性.................................................................................................1.3.2 标准性.................................................................................................1.3.3 兼容性.................................................................................................1.3.4 可升级和可扩展性.............................................................................1.3.5 安全性.................................................................................................1.3.6 可靠性.................................................................................................1.3.7 易操作性.............................................................................................1.3.8 可管理性.............................................................................................第二章 综合布线方案..............................2.1 需求分析.........................................................................................................2.2 综合布线系统的结构.....................................................................................2.3 系统总体设计.................................................................................................2.4 系统结构设计描述.........................................................................................第三章 网络设计方案..............................3.1 网络设计需求.................................................................................................3.2 公司园区结构示意图.....................................................................................3.3 总体方案设计策略.........................................................................................3.4 网络设备选型.................................................................................................3.4.1 选型原则.....................................................................................................3.4.2 核心层交换机.............................................................................................3.4.3 接入层交换机...........................................................................................3.5 路由交换技术部分设计...................................................错误!未定义书签。第四章 Windows服务器解决方案.....................4.1 WEB服务器、Mail服务器选型..................................................................4.2 FTP服务器角色:配置文件服务器.............................................................第五章 工程实施方案.............................第六章 网络存储方案.............................第七章 技术支持服务.............................7.1售后服务内容................................................................................................7.2保证售后服务质量的措施............................................................................项目总结..........................................致 谢...........................................参考文献..........................................
1.3 公司系统建设原则
1.3.1 先进性
随着计算机应用的不断普及和发展,计算机系统对网络性能的要求已经并将继续不断提高,高带宽、低延迟是对交换网络设备的基本要求。网络交换设备应该提供从数据中心到楼层配线间直至桌面的高速网络连接,交换机必须具备无阻塞交换能力。综合考虑先进性和成熟性,结合实际应用需求,市教育城域网可采用千兆以太网、快速以太网作为主干技术连接数据中心和各学校交换机,采用千兆以太网、快速以太网或以太网接口连接服务器和客户机。
1.3.2 标准性
在当今流行的Internet / intranet 计算方式下,应用系统将以大量客户机同时访问少量服务器为特征,要求网络交换机必须具有有效的主动式拥塞管理功能,以避免通常出现在服务器网络接口处的拥塞现象,杜绝数据包的丢失。
以硬件交换为特征的多层交换技术已经在越来越多的局域网网络系统中取代传统路由器成为网络的主干技术,作为一种成熟的先进技术应在市教育城域网网络中得到应用。
1.3.3 兼容性
不同厂商的网络设备应能彼此兼容,以保证企业网络的正常、高效地运行。为保证网络系统的开放性,网络中的主干交换设备应该能够支持基于国际标准或工业界事实标准的ATM、FDDI、快速以太网、千兆以太网等各种链路接口技术,能够在必要的时候与外部开放系统顺利实现互联。
1.3.4 可升级和可扩展性
为了将来能顺利实现技术升级,选用的设备应有支持千兆以太网、ATM OC-12等前沿技术的能力,以便技术成熟时配备。
由于计算机技术和应用范围的不断进步和发展,而网络技术又是其中进步最快的一个分支,计算机网络系统的建设不仅要考虑当前的网络连接需求,还必须考虑到计算机系统不断扩大而提出的网络系统扩展和升级的需求和网络通信技术本身的快速进步所提供的提升网络系统容量和性能的可能性。为了使网络系统能够在尽可
第二章 综合布线方案
2.1 需求分析
企业综合布线系统应满足以下几个需求: 1.开放性
结构化布线系统由于采用开放式体系结构,符合各种国际上主流的标准,对所有符合通信标准的计算机设备和网络交换设备厂商是开放的,也就是说,结构化布线系统的应用与所用设备的厂商无关。而且对所有通信协议也是开放的。2.灵活性
物理上为星型拓扑结构。因此所有设备的开通、增加或更改无需改变布线系统,只需变动相应的网络设备以及必要的跳线管理即可。系统组网也可灵活多样,各部门既可以独立组网,又可以方便的互连,为合理的进行信息共享和信息交流创造了必要的条件。3.可靠性
结构化布线系统采用高品质材料和组合压接技术,构成一个高标准的信息通道。所有器件经过UL、CAS、ISO认证。经过专用仪器设备测试的每条信息通道可以保证其电气性能。可以支持100Base-T及ATM的应用。星型拓扑结构实现了点到点端接,任何一条线路故障不会影响其它线路的运行。从而保证了系统的可靠运行。采用相同的传输介质可互为备用,提高了系统的冗余。4.先进性
建筑物综合布线系统采用光纤与双绞线混合布线,并且符合国际通信标准,形成一套完整的、极为合理的结构化布线系统。超五类或超五类屏蔽双绞线布线系统使数据的传输速率达到155Mbps、622Mbps、1000Mbps,对于特殊用户的需求,光纤可到桌面,干线子系统和建筑群子系统中光纤的应用,使传输距离达2公里以上。为今后计算机网络和通信的发展奠定了基础。同时物理星形的布线方式使交换式网络的应用成为可能。
2.4 系统结构设计描述
Internet连接企业总部路由器,从路由器连接一条线路到PIX防火墙,PIX防火墙之后就是一个三层交换机。在三层交换机上连接有企业的服务器群,以及之后的汇聚层交换机。
整个局域网络采用多层数据交换原则设计,这样的设计方案使得整个局域网的运维管理,以及网络故障排除变的更加简单,减少了网络管理员的工作负责性,并且使未来的升级变的更简单且迅速。
核心区块主要负责以下几个工作: 提供交换区块间的连接;
提供到其他区块(比如广域网区块)的访问; 尽可能快的交换数据桢或数据包;
建议将主设备间设在主楼网络中心。由于核心层设备处于整个网络中是最关键的地位,任何故障都可能造成整个系统的瘫痪,因此设备的选型十分重要。从可靠性和安全性出发,结合价格因素的考虑。
汇聚层设计
汇聚层主要负责以下几个工作 实现安全以及路由策略 实现核心层的流量重分布 实现QOS服务质量控制
处于在汇聚层需要实现诸多的策略控制,对于交换机的应用要求较高。
置ACL访问控制列表以保证员工对企业网络的正常使用。
3.4 网络设备选型 3.4.1 选型原则
企业网络建设应该以应用为核心,在设计中充分考虑到教育管理和数据交换的要求,并且网络技术上应该具有一定的先进性,同时还要为以后的扩展留有一定的空间。
3.4.2 核心层交换机
主要参数 交换机类型 应用层级 传输速率 端口结构 端口数量 交换方式 背板带宽 包转发率 VLAN支持 QOS支持 网管功能 电源电压 环境标准
千兆以太网交换机 三层
10Mbps/100Mbps/1000Mbps/10000Mbps 非模块化 28 存储-转发 520Gbps
274Mpps,IPv6包转发速率:230Mpps 支持 支持
增强安全功能、DHCP、网络配置和管理基本功能,网管SysLog,SFlow功能,异常监测和故障检查功能,集中网管软件
交流:110V-240V,50-60Hz(+/-3Hz)RPS(直流 in 12V)工作温度:0-50℃,工作湿度:5-90%(无冷凝)
随着网络中多媒体的应用越来越多,这类应用对服务质量的要求较高,本网络系统应能保证QoS,以支持这类应用。
网络系统应具有良好的安全性,由于网络连接园区内部所有用户,安全管理十分重要。网络具有防止及便于捕杀病毒功能。应支持VLAN的划分,并能在VLAN之间进行第三层交换时进行有效的安全控制,以保证系统的安全性。校区网络与校园网相连后具有“防火墙”过滤功能,以防止网络黑客入侵网络系统。可对接入因特网的各网络用户进行权限控制。
安全性是网络设计要考虑的最重要的因素之一,设计中充分考虑了网络的安全性,具体体现在以下几个方面:
(1)通过VLAN的划分,限制了不同VLAN之间的互访,从而保证了不同网络之间不会发生未经授权的非法访问。
(2)在核心节点可提供基于地址的Access-list,以控制用户对于关键资源的访问。通过在汇聚和核心交换机上设置VLAN路由以及访问过滤,保证了在VLAN之间只有被允许的访问才能发生,而未经授权的访问都会被禁止。
(3)通过对上网的安全教育,提高安全意识,特别是增强计算机操作人员的密码管理意识,以防止由于操作员密码有意无意泄露给他人而造成的损失。
(4)制定严格的安全制度,包括人员审查制度、岗位定职定责制度、使用计算机的权限制度以及防病毒制度,从制度上保证网络安全性得以实现。
(5)可以对所有的重要事件进行Log,这样方便网络管理员进行故障查找;(6)可以对所有的Telnet以及SNMP的访问进行限制,从而最大程度地保证汇聚层系统地安全。
(7)可以在接入层中通过限制MAC地址的访问提高网络安全。
Mail服务器:
IBM System x3650 M3(7945I01)
产品类别 产品结构 CPU类型 CPU频率 处理器描述 机架式 2U Xeon E5506 2130MHz
标配1个Xeon E5506处理器
最大处理器数量 2 制程工艺 CPU核心 扩展槽 内存类型 内存大小 内存带宽/描述 内存插槽数量 最大内存容量 硬盘大小 硬盘最大容量 内部硬盘架数 磁盘阵列卡 45纳米
四核(Gainestown)4个PCI-Express 二代插槽 DDR3 4GB
DDR3 RDIMM 18 192GB 146GB 8TB
最多16个2.5英寸热插拔 SAS/SATA 或固态硬盘驱动器 ServeRAID M1015阵列卡,支持RAID0、1
IBM IMM, Virtual Media Key 用于可选的远程呈现支持、预测故障分析、诊断LED、光通路诊断、服务器自动重启、IBM Systems Director 和 IBM Systems Director Active Energy Manager、IBM ServerGuide
Microsoft Windows Server 2008 R2 和 2008 Red Hat Enterprise Linux SUSE Linux Enterprise Server VMware ESXi 4.0 嵌入式虚拟化管理程序 管理工具
系统支持
第五章 工程实施方案
图5-1 网络工程实施方案
需求分析以后进行总体设计,之后进行项目实施计划。综合布线设计将持续两天,在综合布线设计开始一天后,进行网络设备选择以及服务器选择的任务。在三个任务结束后,开始网络设备的调试。紧接着开始网络存储方案的设计,最后完成文档整理及答辩。
第七章 技术支持服务
7.1售后服务内容
为了使客户具备基本的网络后期维护的专业知识,从而在对计算机系统的投资中获得最大效益,本公司负责想用户提供网络维护培训,由具有高度专业技术知识的网络工程师进行讲授。
7.2保证售后服务质量的措施
针对已签合同,公司将根据用户具体问题提供详细而周密的技术服务,以确保用户的问题得到及时有效的解决,技术服务形式如下:
电话咨询
应确信免费提供每周5天/每天8小时不间断的电话支持服务,解答用户在系统使用、维护过程中遇到的问题,及时提出解决问题的建议和操作方法;
远程在线诊断和故障排除
在保修期内,对于电话咨询无法解决的问题,工程师经用户授权可通过电话线或Internet远程登录到用户网络系统进行免费的故障诊断和排除;
现场响应
在保修期内,自收到用户书面的服务请求起48小时内,若以上两种服务形式仍不能解决问题,可派工程师赴现场进行免费的故障处理。
和约服务
若用户需要以上三种服务承诺之外的其他服务,可根据用户具体要求经双方协商签订服务和约,工程师将按照约定向客户提供服务;
原厂商服务
用户可通过本公司或直接向原厂商购买收费服务。由于在技术资料、手段和备件供应方面的优势,原厂商可以向用户提供更加可靠的服务保障。
致 谢
本综合实训项目是在XX老师悉心指导下完成的,他对本次实训工作倾注了大量的心血。三周来,XX老师深厚的专业背景、严谨的治学态度、平易宽厚的人格作风使我受益匪浅。感谢你们对我的悉心教诲,使我顺利地完成了实训任务,在实训任务完成之际,衷心感谢XX老师对我的关心和培养!
感谢我同组同学及同班同学的帮助和关心!最后向审阅技术报告的老师致以深深的谢意!
第二篇:某企业网络系统集成工程投标书
某企业网络系统集成工程投标书
【实践目的】
通过实践掌握系统集成项目招投标的有关方法和步骤,学会书写网络系统集成工程投标书。了解唱标报告和有关投标函文件。能根据需要确定投标书的经济、商务和技术部分详细内容。本次实践的主要目的是:
1、了解招投标函的有关格式和内容;
2、投标书的组成;
3、项目投标管理的内容、管理过程及投标的两个关键点;
【实践内容与步骤】
以某企业为例,企业Intranet内部网系统是一个集计算机技术、网络通讯技术、数据库管理技术为一体的大型网络系统。它以管理信息为主体,连接生产、经营、维护、运营子系统,是一个面向企业日常业务、立足生产、面向社会服务,辅助领导决策的计算机信息网络系统。实践内容:
经过调研某企业的需求,写出该企业网络工程投标书。
实践步骤:
根据要求,按照网络设计规范,进行分部分设计网络系统集成工程投标书;
【实践效果】
通过实践,使学生初步掌握书写网络系统集成工程投标书所要进行的步骤和方法;如何进行经济、商务和技术部分设计,同时在招标书中,如何规划用户网络的规模、网络系统的分阶段招标以及网络工程总体设计的思路。
【扩展练习】
有条件的话,可以在指导老师的带领下,进行有关到网络集成公司实战。
实训七:综合布线工程验收
【实践目的】
通过训练要求:掌握现场验收的内容和过程,掌握验收文档的内容。
【实践内容与步骤】
由老师带领监理员、项目经理、布线工程师(学生充当)对工程施工质量进行现场验收,对技术文档进行审核验收。
A、实训内容:
1、现场验收
2、文档验收
B、实训步骤:
(一)、现场验收
1、工作区子系统验收
1)线槽走向、布线是否美观大方,符合规范。
2)信息座是否按规范进行安装。
3)信息座安装是否做到一样高、平、牢固。
4)信息面板是否都固定牢靠。
5)标志是否齐全。
2、水平干线子系统验收
1)槽安装是否符合规范。
2)槽与槽,槽与槽盖是否接合良好。
3)托架、吊杆是否安装牢靠。
4)水平干线与垂直干线、工作区交接处是否出现裸线?有没有按规范去做。
5)水平干线槽内的线缆有没有固定。
6)接地是否正确。
3、垂直干线子系统验收
垂直干线子系统的验收除了类似于水平干线子系统的验收内容外,要检查楼层与楼层之间的洞口是否封闭,以防火灾出现时,成为一个隐患点。线缆是否按间隔要求固定?拐弯线缆是否留有孤度?
4、管理间、设备间子系统验收
1)检查机柜安装的位置是否正确;规定、型号、外观是否符合要求。
2)跳线制作是否规范,配线面版的接线是否美观整洁。
5、线缆布放
1)线缆规格、路由是否正确。
2)对线缆的标号是否正确。
3)线缆拐弯处是否符合规范。
4)竖井的线槽、线固定是否牢靠。
5)是否存在裸线。
6)竖井层与楼层之间是否采取了防火措施。
6、架空布线
1)架设竖杆位置是否正确。
2)吊线规格、垂度、高度是否符合要求。
3)卡挂钩的间隔是否符合要求。
7、管道布线
1)使用管孔、管孔位置是否合适。
2)线缆规格。
3)线缆走向路由。
4)防护设施。
(二)、技术文档验收
1、FLUKE的UTP认证测试报告(电子文档即可)
2、网络拓朴图
3、综合布线逻辑图
4、信息点分布图
5、机柜布局图
6、配线架上信息点分布图
【扩展练习】
作为一名工程的设计者,请为某公司设计一个合理的综合布线工程验收方案。
第三篇:企业网络安全方案设计
信息安全课程设计
企业网络安全方案的设计企业网络安全方案设计
摘 要:在这个信息技术飞速发展的时代,许多有远见的企业都认识到很有必要依托先进的IT技术构建企业自身的业务和运营平台来极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。本文主要通过安全体系建设原则、实例化的企业整体网络安全方案以及该方案的组织和实施等方面的阐述,为企业提供一个可靠地、完整的方案。
关键词: 信息安全、企业网络安全、安全防护
一、引言
随着国内计算机和网络技术的迅猛发展和广泛普及,企业经营活动的各种业务系统都立足于Internet/Intranet环境中。但随之而来的安全问题也在困扰着用户。Internet所具有的开放性、国际性和自由性在增加应用自由度的同时,对安全提出了更高的要求。一旦网络系统安全受到严重威胁,甚至处于瘫痪状态,将会给企业、社会、乃至整个国家带来巨大的经济损失。应此如何使企业信息网络系统免受黑客和病毒的入侵,已成为信息事业健康发展所要考虑的重要事情之一。
一般企业网络的应用系统,主要有WEB、E-mail、OA、MIS、财务系统、人事系统等。而且随着企业的发展,网络体系结构也会变得越来越复杂,应用系统也会越来越多。但从整个网络系统的管理上来看,通常包括内部用户,也有外部用户,以及内外网之间。因此,一般整个企业的网络系统存在三个方面的安全问题:
(1)Internet的安全性:随着互联网的发展,网络安全事件层出不穷。近年来,计算机病毒传播、蠕虫攻击、垃圾邮件泛滥、敏感信息泄露等已成为影响最为广泛的安全威胁。对于企业级用户,每当遭遇这些威胁时,往往会造成数据破坏、系统异常、网络瘫痪、信息失窃,工作效率下降,直接或间接的经济损失也很大。
(2)企业内网的安全性:最新调查显示,在受调查的企业中60%以上的员信息安全课程设计
企业网络安全方案的设计工利用网络处理私人事务。对网络的不正当使用,降低了生产率、阻碍电脑网络、消耗企业网络资源、并引入病毒和间谍,或者使得不法员工可以通过网络泄漏企业机密,从而导致企业数千万美金的损失。所以企业内部的网络安全同样需要重视,存在的安全隐患主要有未授权访问、破坏数据完整性、拒绝服务攻击、计算机病毒传播、缺乏完整的安全策略、缺乏监控和防范技术手段、缺乏有效的手段来评估网络系统和操作系统的安全性、缺乏自动化的集中数据备份及灾难恢复措施等。
(3)内部网络之间、内外网络之间的连接安全:随着企业的发展壮大及移动办公的普及,逐渐形成了企业总部、各地分支机构、移动办公人员这样的新型互动运营模式。怎么处理总部与分支机构、移动办公人员的信息共享安全,既要保证信息的及时共享,又要防止机密的泄漏已经成为企业成长过程中不得不考虑的问题。各地机构与总部之间的网络连接安全直接影响企业的高效运作。
二、以某公司为例,综合型企业网络简图如下,分析现状并分析需求:
信息安全课程设计
企业网络安全方案的设计
图说明 图一 企业网络简图
对该公司的信息安全系统无论在总体构成、信息安全产品的功能和性能上也都可能存在一定的缺陷,具体表现在:
(1)系统性不强,安全防护仅限于网络安全,系统、应用和数据的安全存在较大的风险。
(2)原有的网络安全产品在功能和性能上都不能适应新的形势,存在一定的网络安全隐患,产品亟待升级。
(3)经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。
(4)计算机应用系统涉及越来越多的企业关键数据,这些数据大多集中在公司总部数据中心,因此有必要加强各计算机应用系统的用户管理和身份的认证,加强对数据的备份,并运用技术手段,提高数据的机密性、完整性和可用性。
由以上分析可知该公司信息系统存在较大的风险,信息安全的需求主要体现在如下几点:
(1)某公司信息系统不仅需要安全可靠的计算机网络,也需要做好系统、应用、数据各方面的安全防护。为此,要加强安全防护的整体布局,扩大安全防护的覆盖面,增加新的安全防护手段。
(2)网络规模的扩大和复杂性的增加,以及新的攻击手段的不断出现,使某公司计算机网络安全面临更大的挑战,原有的产品进行升级或重新部署。(3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求,为此要加快规章制度和技术规范的建设,使安全防范的各项工作都能够有序、规范地进行。
(4)信息安全防范是一个动态循环的过程,如何利用专业公司的安全服务,做好事前、事中和事后的各项防范工作,应对不断出现的各种安全威胁,也是某公司面临的重要课题。
三、设计原则
安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行,避免重复投入、重复建设,充分考虑整体和局部的利益。具体如下: 1.标准化原则 信息安全课程设计
企业网络安全方案的设计2.系统化原则 3.规避风险原则 4.保护投资原则 5.多重保护原则 6.分步实施原则
四、企业网络安全解决方案的思路
1.安全系统架构
安全方案必须架构在科学网络安全系统架构之上,因为安全架构是安全方案设计和分析的基础。
随着针对应用层的攻击越来越多、威胁越来越大,只针对网络层以下的安全解决方案已经不足以应付来自应用层的攻击了。举个简单的例子,那些携带着后门程序的蠕虫病毒是简单的防火墙VPN安全体系所无法对付的。因此我们建议企业采用立体多层次的安全系统架构。这种多层次的安全体系不仅要求在网络边界设置防火墙VPN,还要设置针对网络病毒和垃圾邮件等应用层攻击的防护措施,将应用层的防护放在网络边缘,这种主动防护可将攻击内容完全阻挡在企业内部网之外。2.安全防护体系
信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终。如图二所示:
图说明 图二 网络与信息安全防范体系模型 信息安全课程设计
企业网络安全方案的设计3.企业网络安全结构图
通过以上分析可得总体安全结构应实现大致如图三所示的功能:
图说明 图三
总体安全结构图
五、整体网络安全方案
1.网络安全认证平台
证书认证系统无论是企业内部的信息网络还是外部的网络平台,都必须建立在一个安全可信的网络之上。目前,解决这些安全问题的最佳方案当数应用PKI/CA数字认证服务。PKI(Public Key Infrastructure,公钥基础设施)是利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系,它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障,向用户提供完整的PKI/CA数字认证服务。通过建设证书认证中心系统,建立一个完善的网络安全认证平台,能够通过这个安全平台实现以下目标:
1)身份认证(Authentication):确认通信双方的身份,要求通信双方的身份不能被假冒或伪装,在此体系中通过数字证书来确认对方的身份。信息安全课程设计
企业网络安全方案的设计
2)数据的机密性(Confidentiality):对敏感信息进行加密,确保信息不被泄露,在此体系中利用数字证书加密来完成。
3)数据的完整性(Integrity):确保通信信息不被破坏(截断或篡改),通过哈希函数和数字签名来完成。
4)不可抵赖性(Non-Repudiation):防止通信对方否认自己的行为,确保通信方对自己的行为承认和负责,通过数字签名来完成,数字签名可作为法律证据。2.VPN系统
VPN(Virtual Private Network)虚拟专用网,是将物理分布在不同地点的网络通过公用骨干网(如Internet)连接而成的逻辑上的虚拟专用网。和传统的物理方式相比,具有降低成本及维护费用、易于扩展、数据传输的高安全性。
通过安装部署VPN系统,可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体,通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道,使得合法的用户可以安全的访问企业的私有数据,用以代替专线方式,实现移动用户、远程LAN的安全连接。
集中的安全策略管理可以对整个VPN网络的安全策略进行集中管理和配置。
3.网络防火墙
采用防火墙系统实现对内部网和广域网进行隔离保护。对内部网络中服务器子网通过单独的防火墙设备进行防护。其网络结构一般如下:
图说明 图四 防火墙
此外在实际中可以增加入侵检测系统,作为防火墙的功能互补,提供对监控信息安全课程设计
企业网络安全方案的设计网段的攻击的实时报警和积极响应等功能。4.病毒防护系统
应强化病毒防护系统的应用策略和管理策略,增强勤业网络的病毒防护功能。这里我们可以选择瑞星网络版杀毒软件企业版。瑞星网络杀毒软件是一个专门针对网络病毒传播特点开发的网络防病毒软件,通过瑞星网络防病毒体系在网络内客户端和服务器上建立反病毒系统,并且可以实现防病毒体系的统一、集中管理,实时掌握、了解当前网络内计算机病毒事件,并实现对网络内的所有计算机远程反病毒策略设置和安全操作。5.对服务器的保护
在一个企业中对服务器的保护也是至关重要的。在这里我们选择电子邮件为例来说明对服务器保护的重要性。
电子邮件是Internet上出现最早的应用之一。随着网络的快速发展,电子邮件的使用日益广泛,成为人们交流的重要工具,大量的敏感信息随之在网络上传播。然而由于网络的开放性和邮件协议自身的缺点,电子邮件存在着很大的安全隐患。
目前广泛应用的电子邮件客户端软件如 OUTLOOK 支持S/MIME(Secure Multipurpose Internet Mail Extensions),它是从 PEM(Privacy Enhanced Mail)和 MIME(Internet 邮件的附件标准)发展而来的。首先,它的认证机制依赖于层次结构的证书认证机构,所有下一级的组织和个人的证书由上一级的组织负责认证,而最上一级的组织(根证书)之间相互认证,整个信任关系基本是树状的。其次,S/MIME 将信件内容加密签名后作为特殊的附件传送。保证了信件内容的安全性。下图五是邮件系统保护的简图(透明方式): 信息安全课程设计
企业网络安全方案的设计
图说明
图五
邮件系统保护 6.关键网段保护
企业中有的网段上传送的数据、信息是非常重要的,应此对外应是保密的。所以这些网段我们也应给予特别的防护。简图如下图六所示。
图说明
图六
关键网段的防护 7.日志分析和统计报表能力
对网络内的安全事件也应都作出详细的日志记录,这些日志记录包括事件名称、描述和相应的主机IP地址等相关信息。此外,报表系统还应自动生成各种形式的攻击统计报表,形式包括日报表,月报表,年报表等,通过来源分析,目信息安全课程设计
企业网络安全方案的设计标分析,类别分析等多种分析方式,以直观、清晰的方式从总体上分析网络上发生的各种事件,有助于管理人员提高网络的安全管理。8.内部网络行为的管理和监控
除对外的防护外,对网络内的上网行为也应该进行规范,并监控上网行为,过滤网页访问,过滤邮件,限制上网聊天行为,阻止不正当文件的下载。企业内部用户上网信息识别度应达到每一个URL请求和每一个URL请求的回应。通过对网络内部网络行为的监控可以规范网络内部的上网行为,提高工作效率,同时避免企业内部产生网络安全隐患。因此对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。
桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起,形成一个整体,是针对客户端安全的整体解决方案。分别有以下几种系统:
1)电子签章系统
利用非对称密钥体系保证了文档的完整性和不可抵赖性。采用组件技术,可以无缝嵌入OFFICE系统,用户可以在编辑文档后对文档进行签章,或是打开文档时验证文档的完整性和查看文档的作者。
2)安全登录系统
安全登录系统提供了对系统和网络登录的身份认证。使用后,只有具有指定智能密码钥匙的人才可以登录计算机和网络。用户如果需要离开计算机,只需拔出智能密码钥匙,即可锁定计算机。
3)文件加密系统
文件加密应用系统保证了数据的安全存储。由于密钥保存在智能密码钥匙中,加密算法采用国际标准安全算法或国家密码管理机构指定安全算法,从而保证了存储数据的安全性。
则内网综合保护简图如下图七所示: 信息安全课程设计
企业网络安全方案的设计
图说明
图七
内网综合保护 9.移动用户管理系统
对于企业内部的笔记本电脑在外工作,当要接入内部网也应进行安全控制,确保笔记本设备的安全性。有效防止病毒或黑客程序被携带进内网。10.身份认证的解决方案
身份认证是指计算机及网络系统确认操作者身份的过程。基于PKI的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USB Key是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USB Key内置的密码算法实现对用户身份的认证。
基于PKI的USB Key的解决方案不仅可以提供身份认证的功能,还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的层次关系和逻辑联系构成的综合性安全技术体系,从而实现上述身份证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。
六、方案的组织与实施方式
由以上的分析及设计,可知网络与信息安全防范体系流程主要由三大部分组成:攻击前的防范、攻击过程中的防范和攻击后的应对。具体的安全管理贯穿全信息安全课程设计
企业网络安全方案的设计流程图,如图八所示。安全管理贯穿全流程图不仅描述了安全防范的动态过程,也为本方案的实施提供了借鉴。
图说明
图八 安全管理贯穿全流程图
因此在本方案的组织和实施中,除了工程的实施外,还应重视以下各项工作:
(1)在初步进行风险分析基础上,方案实施方应进行进一步的风险评估,明确需求所在,务求有的放矢,确保技术方案的针对性和投资的回报。
(2)把应急响应和事故恢复作为技术方案的一部分,必要时可借助专业公司的安全服务,提高应对重大安全事件的能力。
(3)该方案投资大,覆盖范围广,根据实际情况,可采取分地区、分阶段实施的方式。
(4)在方案实施的同时,加强规章制度、技术规范的建设,使信息安全的日常工作进一步制度化、规范化。
七、总结
本设计以某公司为例,分析了网络安全现状,指出目前存在的风险,随后提出了一整套完整的解决方案,涵盖了各个方面,从技术手段的改进,到规章制度的完善;从单机系统的安全加固,到整体网络的安全管理。也希望通过本方案的信息安全课程设计
企业网络安全方案的设计实施,可以建立较完善的信息安全体系,有效地防范信息系统来自各方面的攻击和威胁,把风险降到最低水平。
第四篇:企业网络安全方案设计---
海南经贸职业技术学院信息技术系
︽ 网 络
安
案 全
例 ︾
设
计
报
告
题 目 企业网络安全方案的设计
学 号 1***
班 级 11级网络1 班
姓 名 XXX
指导老师 XXX
要解决的几个关键问题
目录
摘 要:.......................................................................................................2
一、引言....................................................................................................2
二、以某公司为例,综合型企业网络简图如下,分析现状并分析需求:.....................................................................................................................3
三、设计原则............................................................................................4
四、企业网络安全解决方案的思路........................................................5
(一)安全系统架构..........................................................................5
(二)安全防护体系..........................................................................5
(三)企业网络安全结构图..............................................................6
五、整体网络安全方案............................................................................7
(一)网络安全认证平台..................................................................7
(二)VPN系统................................................................................7
(三)网络防火墙..............................................................................8
(四)病毒防护系统..........................................................................8
(五)对服务器的保护......................................................................9
(六)日志分析和统计报表能力....................................................10
(七)内部网络行为的管理和监控..............................................11
(八)身份认证的解决方案............................................................12
六、方案的组织与实施方式..................................................................12
七、总结..................................................................................................13 教师评语:..............................................................................................14
要解决的几个关键问题
设计企业网络安全方案
摘 要:
随着互联网的不断更新与发展,它给我们带来了极大的利益和方便。但是,随着互联网的空前发展以及互联网技术的普及,使我们面临另外提个困境:私人数据、重要的企业资源以及政府机密等信息被暴露在公共网络空间之下,伴随而来的网络安全问题越来越引起人们的关注。计算机系统一旦遭受破坏,将给使用单位造成重大经济损失,并严重影响正常工作的顺利开展。加强企业网络安全工作,是一些企业建设工作的重要工作内容之一。
关键词: 信息安全、企业网络安全、安全防护
一、引言
随着互联网的空前发展以及互联网技术的不断普及,企业的重要数据信息都被暴露在公共网络空间下,很容易丢失或者被一些不法人士获取。由于黑客的攻击、病毒的入侵、以及人为操作的不当等,都有可能威胁到重要信息数据,这些危害也越来越受到人们的重视。因此,根据企业的实际情况建立一套切实可行的安全网络方案来改善这个情况,如何使企业信息网络系统免受黑客和病毒的入侵,使企业的数据机密信息得以保护,并且可以保证企业的网络顺畅的工作,有助于公司的长远发展。
网络安全技术是指致力于解决诸如如何有效进行介入控制,以及如何保证数据传输的安全性的技术手段,主要包括物理的安全分析技术,网络结构安全分析技术,系统安全分析技术,管理安全分析技术,以及其他的安全服务和安全机制策略。
21世纪全世界的计算机都将通过Internet联到一起,信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在。当人类步入21世纪这一信息社会,网络社会的时候,我国将建立起一套完整的网络安全体系,特别是从政策上和法律上建立起有中国自己特色的网络安全体系。
网络安全产品有以下几大特点:第一,网络安全来源于安全策略与技术的多 2
要解决的几个关键问题
样化,如果采用一种统一的技术和策略也就不安全了;第二,网络的安全机制与技术要不断地变化;第三,随着网络在社会各方面的延伸,进入网络的手段也越来越多,因此,网络安全技术是一个十分复杂的系统工程。为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业。
信息安全是国家发展所面临的一个重要问题。对于这个问题,我们还没有从系统的规划上去考虑它,从技术上、产业上、政策上来发展它。政府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到,发展安全产业的政策是信息安全保障系统的一个重要组成部分,甚至应该看到它对我国未来电子 化、信息化的发展将起到非常重要的作用。
二、以某公司为例,综合型企业网络简图如下,分析现状并分析需求:
图说明 图一 企业网络简图
要解决的几个关键问题
(一)对该公司的信息安全系统无论在总体构成、信息安全产品的功能和性能上也都可能存在一定的缺陷,具体表现在:
(1)系统性不强,安全防护仅限于网络安全,系统、应用和数据的安全存在较大的风险。
(2)原有的网络安全产品在功能和性能上都不能适应新的形势,存在一定的网络安全隐患,产品亟待升级。
(3)经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。
(4)计算机应用系统涉及越来越多的企业关键数据,这些数据大多集中在公司总部数据中心,因此有必要加强各计算机应用系统的用户管理和身份的认证,加强对数据的备份,并运用技术手段,提高数据的机密性、完整性和可用性。
(二)由以上分析可知该公司信息系统存在较大的风险,信息安全的需求主要体现在如下几点:
(1)某公司信息系统不仅需要安全可靠的计算机网络,也需要做好系统、应用、数据各方面的安全防护。为此,要加强安全防护的整体布局,扩大安全防护的覆盖面,增加新的安全防护手段。
(2)网络规模的扩大和复杂性的增加,以及新的攻击手段的不断出现,使某公司计算机网络安全面临更大的挑战,原有的产品进行升级或重新部署。(3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求,为此要加快规章制度和技术规范的建设,使安全防范的各项工作都能够有序、规范地进行。
(4)信息安全防范是一个动态循环的过程,如何利用专业公司的安全服务,做好事前、事中和事后的各项防范工作,应对不断出现的各种安全威胁,也是某公司面临的重要课题。
三、设计原则
安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行,避免重复投入、重复建设,充分考虑整体和局部的利益。具体如下: 1.技术先进性原则 2.系统性原则
要解决的几个关键问题
3.管理可控性原则 4.技术与管理相结合原则 5.多重保护原则 6.系统可伸缩性原则 7.测评认证原则
四、企业网络安全解决方案的思路
(一)安全系统架构
一个网络系统的安全建设通常包括许多方面,包括物理安全、数据安全、网络安全、系统安全、安全管理等,而一个安全系统的安全等级,又是按照木桶原理来实现的。根据企业各级内部网络机构、广域网结构、和三级网络管理、应用业务系统的特点,安全方案必须架构在科学网络安全系统架构之上,因为安全架构是安全方案设计和分析的基础。
随着针对应用层的攻击越来越多、威胁越来越大,只针对网络层以下的安全解决方案已经不足以应付来自应用层的攻击了。举个简单的例子,那些携带着后门程序的蠕虫病毒是简单的防火墙VPN安全体系所无法对付的。因此我们建议企业采用立体多层次的安全系统架构。这种多层次的安全体系不仅要求在网络边界设置防火墙VPN,还要设置针对网络病毒和垃圾邮件等应用层攻击的防护措施,将应用层的防护放在网络边缘,这种主动防护可将攻击内容完全阻挡在企业内部网之外。
(二)安全防护体系
信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终。如图二所示:
要解决的几个关键问题
图说明 图二 网络与信息安全防范体系模型
(三)企业网络安全结构图
通过以上分析可得总体安全结构应实现大致如图三所示的功能:
图说明 图三
总体安全结构图
要解决的几个关键问题
五、整体网络安全方案
(一)网络安全认证平台
证书认证系统无论是企业内部的信息网络还是外部的网络平台,都必须建立在一个安全可信的网络之上。目前,解决这些安全问题的最佳方案当数应用PKI/CA数字认证服务。PKI(Public Key Infrastructure,公钥基础设施)是利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系,它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障,向用户提供完整的PKI/CA数字认证服务。通过建设证书认证中心系统,建立一个完善的网络安全认证平台,能够通过这个安全平台实现以下目标:
1.身份认证(Authentication):确认通信双方的身份,要求通信双方的身份不能被假冒或伪装,在此体系中通过数字证书来确认对方的身份。
2.数据的机密性(Confidentiality):对敏感信息进行加密,确保信息不被泄露,在此体系中利用数字证书加密来完成。
3.数据的完整性(Integrity):确保通信信息不被破坏(截断或篡改),通过哈希函数和数字签名来完成。
4.不可抵赖性(Non-Repudiation):防止通信对方否认自己的行为,确保通信方对自己的行为承认和负责,通过数字签名来完成,数字签名可作为法律证据。
(二)VPN系统一个完全私有的网络可以解决许多安全问题,因为很多恶意攻击者根本无法进入网络实施攻击。但是,对于一个普通的地理覆盖范围广的企业或公司,要搭建物理上私有的网络,往往在财政预算上是不合理的。VPN技术就是为了解决这样一种安全需求的技术。
VPN的英文全称是“Virtual Private Network”,翻译过来就是“虚拟专用网络”。顾名思义,虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买路由器等硬件设备。
要解决的几个关键问题
集中的安全策略管理可以对整个VPN网络的安全策略进行集中管理和配置。
(三)网络防火墙
采用防火墙系统实现对内部网和广域网进行隔离保护。其网络结构一般如下:
图说明 图四 防火墙
安装好专业切功能强劲的防火墙,来有效防御外来黑客病毒等方面的攻击。在两个网络之间加强访问控制的一整套装置,是内部网络与外部网络之间的安全防范系统通常安装在内部网络与外部网络的链接点上。所有来自internet(外部网)的传输信息或从内部网络发出的信息都必须穿过防火墙。
入侵行为的发觉。它通过对计算机网络或计算机系统中若干关键点收集信息,并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。行进入侵检测的软件与硬件的组合便是入侵监测系统。与其他安全产品不同的是,入侵检测系统需要更多的智能,它必须可以将得到的数据进行分析,并得出有用的结果。一个合格的入侵检测系统能大大简化管理员的工作,保证网络安全的运行。
(四)病毒防护系统
基于单位目前网络的现状,在网络中添加一台服务器,用于安装IMSS。
要解决的几个关键问题
1.邮件防毒。采用趋势科技的ScanMail for Notes。该产品可以和Domino的群件服务器无缝相结合并内嵌到Notes的数据库中,可防止病毒入侵到LotueNotes的数据库及电子邮件,实时扫描并清除隐藏于数据库及信件附件中的病毒。可通过任何Notes工作站或Web界面远程控管防毒管理工作,并提供实时监控病毒流量的活动记录报告。ScanMail是Notes Domino Server使用率最高的防病毒软件。
2.服务器防毒。采用趋势科技的ServerProtect。该产品的最大特点是内含集中管理的概念,防毒模块和管理模块可分开安装。一方面减少了整个防毒系统对原系统的影响,另一方面使所有服务器的防毒系统可以从单点进行部署,管理和更新。
3.客户端防毒。采用趋势科技的OfficeScan。该产品作为网络版的客户端防毒系统,使管理者通过单点控制所有客户机上的防毒模块,并可以自动对所有客户端的防毒模块进行更新。其最大特点是拥有灵活的产品集中部署方式,不受Windows域管理模式的约束,除支持SMS,登录域脚本,共享安装以外,还支持纯Web的部署方式。
4.集中控管TVCS。管理员可以通过此工具在整个企业范围内进行配置、监视和维护趋势科技的防病毒软件,支持跨域和跨网段的管理,并能显示基于服务器的防病毒产品状态。无论运行于何种平台和位置,TVCS在整个网络中总起一个单一管理控制台作用。简便的安装和分发代理部署,网络的分析和病毒统计功能以及自动下载病毒代码文件和病毒爆发警报,给管理带来极大的便利。
(五)对服务器的保护
服务器的安全对企业来说是至关重要的,近几年来,服务器遭遇“黑手”的风险越来越大,就最近服务器遭遇病毒、黑客攻击的新闻不绝于耳。首先,这些恶意的攻击行为,旨在消耗服务器资源,影响服务器的正常运作,甚至攻击到服务器所在网络瘫痪。还有一方面,就是入侵行为,这种大多与某些利益有关联,有的涉及到企业的敏感信息,有的是同行相煎。
目前广泛应用的电子邮件客户端软件如 OUTLOOK 支持S/MIME(Secure Multipurpose Internet Mail Extensions),它是从 PEM(Privacy Enhanced Mail)和 MIME(Internet 邮件的附件标准)发展而来的。首先,它的认证机制依赖于层次 9
要解决的几个关键问题
结构的证书认证机构,所有下一级的组织和个人的证书由上一级的组织负责认证,而最上一级的组织(根证书)之间相互认证,整个信任关系基本是树状的。其次,S/MIME 将信件内容加密签名后作为特殊的附件传送。保证了信件内容的安全性。下图五是邮件系统保护的简图(透明方式):
图说明
图五
邮件系统保护
(六)日志分析和统计报表能力
所有的网站统计报告都是相同的么?日志分析与实时统计分析工具报告和追踪网站的活动都有着很大的区别。因为他们收集不同的信息,所以提供的报告也许并不一致。实时统计工具的优势在于跟踪访问者行为和精确的页面浏览量统计。
如果很清楚的理解这些工具是怎样进行统计的,您将能更好的理解两种报告的差异,并协调使用不同的数据,从而帮助您在营销和市场活动中做出更有效的决定。
对网络内的安全事件也应都作出详细的日志记录,这些日志记录包括事件名称、描述和相应的主机IP地址等相关信息。此外,报表系统还应自动生成各种 10
要解决的几个关键问题
形式的攻击统计报表,形式包括日报表,月报表,年报表等,通过来源分析,目标分析,类别分析等多种分析方式,以直观、清晰的方式从总体上分析网络上发生的各种事件,有助于管理人员提高网络的安全管理。
(七)内部网络行为的管理和监控
内部网络行为监管审计系统是在网络整体安全解决方案的基础上,综合了党政机关内部网络的安全需求,采取多层架构、分布式设计,可满足党政机关以及企事业单位对保障数据、信息的安全性及完整性的迫切要求。对内部网络行为的管理监控结果有效,审计结果取证完整、记录可信。以下是几种系统:
1.监控中心控制台
运行在Windows2000各种版本/Windows XP下,对系统安全策略进行统一管理与发布,对系统的安全设备及配置进行统一管理,对系统的日志进行审计、分析、报告,对安全事件进行应急响应和处理,可随机抽查网络内受控主机的屏幕信息并可记录和回放。2.身份认证识别服务器
运行在Windows2000 Server版本下,采用一次一变的动态口令,有效的解决了一般静态口令易截取、易窃听、易猜测等安全隐患,用于内部网使用人员的身份管理和网络安全管理员身份的认证控制。3.受控主机代理
运行在Windows2000各种版本/Windows XP下,根据监控中心控制台设置的策略规则(包括登录策略、文件策略、一机两用策略、屏幕监控策略、输入输出策略等),实时进行信息采集,阻止违规操作,将违规操作报警到控制台。4.邮件监控器代理
运行在Windows2000各种版本下,安装在邮件服务器中,根据监控中心控制台设置的邮件策略规则,根据时间段、计算机的IP地址、Email地址进行阻止、报警,将违规操作报警到控制台。5.网络感应器代理
运行在Windows2000各种版本/Windows XP下,采集网络中的信息流量,根据控制台的要求,将采集的网络信息流量上传到控制台,进行审计统计。并可实时检测出网络内非法接入的其它设备。
要解决的几个关键问题
则内网综合保护简图如下图七所示:
图说明
图七
内网综合保护
(八)身份认证的解决方案
身份认证是指计算机及网络系统确认操作者身份的过程。基于PKI的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USB Key是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USB Key内置的密码算法实现对用户身份的认证。
基于PKI的USB Key的解决方案不仅可以提供身份认证的功能,还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的层次关系和逻辑联系构成的综合性安全技术体系,从而实现上述身份证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。
六、方案的组织与实施方式
由以上的分析及设计,可知网络与信息安全防范体系流程主要由三大部分组成:攻击前的防范、攻击过程中的防范和攻击后的应对。具体的安全管理贯穿全 12
要解决的几个关键问题
流程图,如图八所示。安全管理贯穿全流程图不仅描述了安全防范的动态过程,也为本方案的实施提供了借鉴。
图说明
图八 安全管理贯穿全流程图
因此在本方案的组织和实施中,除了工程的实施外,还应重视以下各项工作:
(1)在初步进行风险分析基础上,方案实施方应进行进一步的风险评估,明确需求所在,务求有的放矢,确保技术方案的针对性和投资的回报。
(2)把应急响应和事故恢复作为技术方案的一部分,必要时可借助专业公司的安全服务,提高应对重大安全事件的能力。
(3)该方案投资大,覆盖范围广,根据实际情况,可采取分地区、分阶段实施的方式。
(4)在方案实施的同时,加强规章制度、技术规范的建设,使信息安全的日常工作进一步制度化、规范化。
七、总结
本课程设计以某公司为例,分析了网络安全现状,重点提出了管理技术和维护技术。随着现在的发展,网络的不安全因素很多,网络管理和维护尤其重要,指出目前存在的风险,随后提出了一整套完整的解决方案,涵盖了各个方面,从
要解决的几个关键问题
技术手段的改进,到规章制度的完善;从单机系统的安全加固,到整体网络的安全管理。也希望通过本方案的实施,可以建立较完善的信息安全体系,有效地防范信息系统来自各方面的攻击和威胁,把风险降到最低水平。
教师评语:
第五篇:企业物流方案设计(精选)
企业物流方案设计
对于物流规划来说,战略的分析虽然不是物流规划自身的重点,而是作为规划的输入。小编为大家整理的企业物流方案设计,喜欢的朋友不要错过了。
企业物流方案设计1 随着公司产品市场的精细化操作,公司客户数量骤增,目前从公司直接发货的有300多家。因为公司发货物流一直是以客户指定物流为主,导致目前承运公司产品的物流有近百家。合作物流家数太多,导致财务月结对账工作繁琐、客户垫付运费核销无法核实管控、仓库送货网点多配送麻烦等等问题。另外,我司的产品承运业务量分散,在大部分合作的物流公司,我们业务量小,属于其小客户,在同这些物流公司合作的工程中没有很强的话语权,无法得到物流公司的最好的服务和最优惠的价格。
精选物流公司,选择实力强、辐射范围大、管理规范、服务好的几家物流公司做为产品承运业务长期合作伙伴,提高我司在物流公司合作过程中的话语权及物流供应链信息的掌控权。在公司物流费用费比不显著增加的情况下,让我司客户享受到更加满意的物流送货服务,让启蒙积木更快、更安全抵达全国各个市场,同时,提高仓库配送货的效率,减轻财务物流对账单对账付款工作量。
第一步、找出澄海大型的物流公司,并寻求报价;
第二步,对比各大型物流公司在各个省份的报价,优选出实力强、辐射范围大、管理规范的物流公司,优先选择同公司正在合作的大型物流公司进行更加深入的合作;
第三步,讲全国分为、东北、西北、西南、华北、华中、华东、华南等七个片区。找到5-10家大型物流公司进行全覆盖;
第四步,针对偏远区域及地级市,大型物流公司中转难度大的地方,用中通快运、德邦等进行补充以确保产品在途时间合理、客户享受到送货上门的服务。
广东省:中通快运
东北三省:京达物流
西南、西北:云贵物流
华北、华中:
华东:
苏浙沪:
企业物流方案设计2 大连高新家电室内有限公司于XX年12月底在沈阳建成投产生产基地,其所产产品将覆盖鞍山、辽阳、丹东、大连等地销售所需,沈阳物流配送有限公司特提供沈阳基地及辽西、辽南地区物流项目建议书,为其在鞍山、辽阳、丹东、大连及其他县级县市的物流提供销售供应链解决方案及物流全程服务。
本项目的目的是为大连家电在顾客和经销商中树立一流的高质量的物流服务及企业形象。作为大连家电的主要物流服务提供者,沈阳物流期望降低成本、提高顾客服务水平。沈阳物流意识到大连家电期望提高其运行效率,为顾客提供高质量的产品和服务,沈阳物流为此提供在有效成本水平内,能够满足甚至超出其期望的解决方案。
沈阳物流理解大连仓储的项目目标是:
满足其在鞍山、辽阳、丹东、大连等地的业务增长计划和操作能力;
供应链的灵活性和产生规模经济的能力,改善存货的控制和可见性;
集中管理时间与精力于核心事务,而不是在物流方面;
在辽西南地区,通过与有资质的公司缔结物流战略伙伴关系,来运作仓储业务。
为在开始时将运作影响降到最低限度,沈阳物流建议在开始实施阶段用影子管理的办法。在整个实施过程中,沈阳物流将用最适合的方法与大连家电分析讨论,以便成功地接管物流业务,谋求作业利益最大化。
为支持大连家电预计的销售增长,提供灵活的供应链,改进存货控制,沈阳物流将接管以下工作:
沈阳生产基地产品通过汽运直发经销商的运输工作;
沈阳生产基地产品通过火车直发经销商及中转仓工作;
辽阳、鞍山、丹东等地中转仓的建立、产品的保管、收发、装卸、短倒等工作;
辽阳、鞍山、丹东等接收的沈阳生产基地的产品配送到经销商的运输工作。
配送方案包括建立新的车队,该车队由沈阳物流提供配送的车辆组成及工作中的应急预案。
作为大连家电的主要物流提供者,沈阳物流将负责:
管理动作灵活、有效、透明的供应链;
检查和实施改进生产效率的方法;
加强“最少存货”供应链原则的应用;
提供存货的最大透明度;
增加使用“水准基点技术”;
使返还货、死存货、损坏和损失最小;
充分利用存货控制系统;
充分利用设备和空间;
必要时,协调或启动应急预案解决运输和配送功能;
和大连家电紧密合作,以保证满足甚至超出大连家电的满意水平;
进一步提出改进建议。
大连家电企业的为断发展壮大,必须寻求与有专业水准的物流服务提供者建立长期战略联盟关系,以服务于大连家电的包括:
1)辽西南地区的中转仓;
2)配送服务的供应链。
大连家电的“具体要求”包括:
加强企业在市场中的地位;
与领先物流提供者合作;
提高操作能力与效益,满足业务增长的需要;
充分利用供应链信息技术;
提供可靠、一致的顾客服务;
改进仓库的使用,增强配送能力、提高生产率;
沈阳物流的仓储和配送将使大连家电各市销售:
满足大连家电各市区销售的增长需要;
节省管理时间,为大连家电集中主要业务,即管理、销售产品;
取得目前的操作明显效益,提高售服务水平;
在物流方面为大连家电提供能在同行中保持领先的工具;
大连家电和沈阳物流共同减少成本;
保持满足未来需求的灵活性;
改进存货控制;
接受具体、及时和准确的管理信息。
其他方面的要求包括:
帮助大连家电协调短期和长期物流战略目标的能力,如降低物流总成本,增加业务进程的速度,改进资金管理;
根据要求进行管理和汇报;
保证所有的运作符合“健康和安全”条例;
保持对顾客需要变化作出快速反应的灵活性;
密切沟通、及时汇报,以便大连家电以事实为基础作出管理决策;
不断改进运作,保证取得效率,使顾客服务水平达到甚至超过期望达到的或同行最好的服务水平;
对长期互惠的伙伴关系的承诺。
相信下面的建议书已能够满足所有大连家电的要求,根据提供的数据,能够预期建议书中指定的服务,所需的成本为:
1、基地至火车站运费、火车发运费、各地汽车配送费。
2、各地中转仓费用根据所需面积及当地综合费用。
3、资源保管费。
沈阳物流有许多有经验的物流专业人员,必要时可利用他的专业知识来实施相关计划。根据了解的数据和沈阳物流观察所得的资料,项目的主要要求与任务是配送运输和仓库作业取得“最佳实践”并提高生产率,下面的控制过程和程序是为实现项目的主要任务面设计的。沈阳物流将在这些关键的过程中安排和培训职员。
过程
1、沈阳生产基地火车运输;
根据大连家电的销售计划申请车皮计划,车皮计划申请成功率95%以上,确保准时发出;
按大连家电要求安排运输车辆准时到成品库装车运到火车站;
办理发运手续及保险;
2、沈阳生产基地直接配送到经销商;
根据大连家电指示,进行发货与定单通知、定单处理;
送货;
货物在途跟踪,进行全程物流监控,向大连家电进行信息交换;
处理各运输事故、货物箱损、货损,协调销售与经销商之间关系;
信息流服务,包括产品品质、包装、销售、同行业状况、市场占有、经销商报怨、顾客消费等。
3、多点配送
商品运送路线涵盖所有沈阳——大连铁路线
商品运送路线涵盖沈阳——大连各高速公路线,以确保物流的准时无误。
沈阳物流将承包所有沈阳至大连的物流活动,将对所有从沈阳至大连的业务进行代理。从而弥补一切人为因素造成的配送误差,随时可对大连家电的缺货进行补货。
4、各中转仓管理及配送;
接受来自各地的货物到仓库,管理存货;
把货物放在储存地区;
根据大连家电指示,进行发货与定单通知、定单处理,包括分拣、检查和制作单证;
把货物放到沈阳物流管理的运输工具上;
必要时,把货物放到货盘上,将待送货物加固包装;
送货;
处理各运输事故、货物箱损、货损,协调销售与经销商之间关系;
信息流服务,包括产品品质、包装、销售、同行业状况、市场占有、经销商报怨、顾客消费等。
处理从经销商到中转仓的退货。
准确配送率:95%以上。
沈阳物流提供资源:
提供运输、仓储、物料搬运设施和所需的劳动力;
提供仓库安全保障;
提供完成指定工作所需的信息技术。
提供完成指定工作所需的一定数量资金垫款。
人力资源
管理结构:沈阳物流将指定一位有经验的“合同经理”全面负责管理大连家电的合同。该“合同经理”专门负责与大连家电公司联系,负责合同实施的各个方面,并负责保证大连家电对业务合作的满意。
人员变化:该项目管理、运作人员因工作需要调离该项目前需向大连家电征求意见并保证不会因人员变动影响项目运作质量,若工作中管理、运作人员不符合要求,大连家电对具体人员有建议撤换权。
合同汇报
各中转仓和配送经理向“合同经理”汇报,“合同经理”将与大连家电的工作人员配合,有效地实施计划。我们建议合同中使用如下的“关键表现指示”
准时送货;
准确分拣;
通过能力;
执行小组:沈阳物流公司执行小组的主要高级人员在运作实施、信息解释、人力资源管理、财务等方面都有自己的专长和经验。
信息技术
项目中沈阳物流公司使用所有的电子数据传送所需的计算机设备和通讯设备的费用都由沈阳物流公司支付。
主要假设
起草这个建议时,中转仓和配送操作是建立在下面假设的基础上的:
总的假设:
(1)所有生产量、运输量、中转量均来源于沈阳物流公司了解的数据;
(2)沈阳物流公司将获得关于仓储和这一地区的配送车辆的操作与财务信息;
(3)产品由大连家电投保,仓库的保险由仓库所有人投保,沈阳物流公司对所有放在仓库的货物负有公共责任,并为公司拥有的资产投保;
(4)货物属于电器类;
(5)大连家电公司将和沈阳物流公司共同努力减少库存。
信息技术-存货控制系统的假设:
大连家电公司和沈阳物流公司共同在各自当前的信息系统上开发存货控制系统链接数据交据,在供应链中改进存货透明度;
所有建立和正在运行的电子数据传递所需的计算机设备和通讯的费用由各自使用各自支付;
沈阳物流公司不承担大连家电公司的计算机设备停工责任;
大连家电公司派员参加每月汇报工作会议;
可以提供有经验的人员和培训信息系统人员。
配送假设:
所有的配送频率均根据大连家电的数据作出。沈阳物流公司强调配送分析根据每次配送的货物平均数和具体的配送频率来进行;
配送车队包括3至20吨车,根据要求,额外的能力可以从沈阳物流公司现有车队中或市场中获得;
所有的费用,即保险费、注册费、路桥费、燃料费、汽油费、轮胎费、和运输工具的清洗费、和维修费都包括在内;
车辆限制假设:市区内配送可以由散件及数吨组成,长途车一般以10吨以上发运,小吨位货运可以发零担;
大连家电公司的经销商接到送货通知后,必须配备适当的人员接收所有的白天、夜间送货。
中转仓的假设:
大连家电公司将积极减少“死存货”与退货,以协助仓库空间的利用和生产率的提高;
地点是:由大连家电公司确定,沈阳物流公司根据委托建立;
各中转仓面积按大连家电公司要求及沈阳物流公司以专业角度提供建议建立;
仓库将能适应标准五五型堆放,无污染、潮湿,空气中粉尘小;
有足够的空间来进行有效的包装加工和旺季扩容临时储存;
根据假定的产量、通过量和运送效率,设计了配送车队。
运送:配关车队在夜间、在城市或内环线内部采用24小时运送货物。
通过引进新设备、配送车队、专业的管理经验及信息系统,沈阳物流公司将提高生产率,使得大连家电公司的物流成本最优。这可以通过以下措施达到:
好的管理实践;
关闭目前低效率、服务差的中转仓;
新的配送车队。
建议书不仅可用来管理增长的业务,而且还是关于沈阳物流公司集中整个配送作业的总体规划。这一战略将能更好地控制大连家电公司的服务水平和存货成本。
过渡期的作业:沈阳物流公司在全面实现辽西南地区大配送之前,应公开讨论分区域操作的可能性。临时可采用的办法是先行运作,由辽阳、鞍山、丹东等分公司按合同要求标准接管大连家电公司现有业务,公司的主要业务力量用于满足沈阳基地辐射至周边地区的汽车运输业务及火车发运业务,待辽西南地区所有的运行点建立完成,再按要求进行统一管理、调配。
这样的运作,可使大连家电获得的利益在于:
明年销售量成倍增长得到及早的物流支持;
受到以规模经济运作低成本高效率优质服务的效益;
节省各省区相应物流人工费用的开支;
降低了市场经营风险。
对于沈阳物流来说,以严格的操作、有效的反应为基础,管理大连家电的销售供给链。为此,它将热心于和大连家电结为业务伙伴,共享物流机会。
物流方案依赖于中转仓选址、配送方案的设计、完成工作的组织安排和企业的整体实力等,这些都会影响总成本和效率。沈阳物流公司将在以下方面投入资产资源及管理资源:
布局:根据销售所需安排各地所需中转仓,尽可能做到动用公司各地分公司行政关系资源延长货物在火车站停顿时间,对接车皮配送,不安排中转仓,使费用最省。
运输:根据里程及市场行情比对分析火车运输、汽车运输等成本,做到费用最省安排。
存储:根据运载、需求、物理特征、存货水平、类型、重量、批量、先进先出,引入影响效率机会的系统。
发送:为了保证装货的完整性,将对所有定单进行仔细、全面检查。
对于其他不可预测项及运输到点的不确定性,沈阳物流公司把它作为偶然与可变的部分。
资源水平:沈阳物流将抽调物流专业人员致力该项目的具体实施,最终成员和核心业务能力成员将组成执行小组,公司在固定资产、货币资金方面作承诺保证。
物料搬运设备:目前各地方的物料搬运设备,基本能满足工作需要,在将开设新点的地方,沈阳物流公司承诺投入,以满足工作所需。
配送概况:沈阳物流认为配送效率是由销售量、经销商的分布决定的。我们设想配送方式将是直送门店、整车和沿线多点卸货的组合。这里的问题一般是经销商劳动力协调的问题。沈阳物流建议采用一个特定的沟通计划以便实现协调。沈阳物流建议和大连家电合作,尤其在优化“送货时间”、提高工具的利用率以及减少物流总费用等方面。
运输工具:由沈阳物流提供运输工具,提供灵活的操作能力,满足运量变化的需要。在运量增加期间,沈阳物流将采取必要措施维持因定费用的最低比例,同时确保服务质量。
沈阳物流把合作关系看成一种特别安排的商业关系,这种关系基于相互信任、坦诚相待、共担风险、共享利益。这样可以形成战略竞争优势,使得商业表现比单个公司更强。
沈阳物流承诺和大连家电不断合作,为其顾客提供高质量的服务。为达到这个目标,沈阳物流承诺贡献必要的管理资源,来了解大连家电所处的行业。