第一篇:企业网络管理制度及解决方案
企业网络管理制度及解决方案
企业网络的通畅一直是企业需要解决的重要问题,网络的堵塞,对一般员工而言,只是抱怨几句,然后叫来网管,在网管的协助下稍有改观,不过依然达不到自己认为的速度,网管知道是有人在下载,可以如果利用路由器将所有的电脑分配网速,那对于真正需要快网速的人来说太慢了,影响正常办公,然而,对领导而言,如果过慢的网速影响了他自己的上网需求时,无疑,网管就成了领导的发泄对象了,所以企事业单位的网管不是那么好做的。
网管在企业网络管理的工作中,并不是孤军奋战的,借助相关的企业网络管理设备,可以使自己的网站轻松简单需要,同时也可以更好的解决各种网络问题。例如万任UniERM网络流量综合管理系统不仅可以有效控制办公室的电脑上网行为,而且可以有效保护内网安全、防范内网攻击,拥有企业级防火墙、负载均衡、企业网络流量控制等功能,这些都是企业网管在工作中非常需要的功能。
企业网络管理设备可管理局域网内的所有联网电脑,全面有效地控制局域网内员工上班时间的所有不规范上网行为,万任UniERM网络流量综合管理系统就可以有效限制p2p下载,禁止点对点下载,控制ftp上传下载,禁止qq登录,限制skype在线聊天,有效分配带宽,禁止个别员工因下载引起的qq带宽不均衡,禁止所有的在线游戏,限制客户端游戏,禁止炒股,限制大智慧,封堵炒股软件等等功能强大,可以轻松控制整个局域网的上网行为。
企业的网络管理除了配置像万任UniERM网络流量综合管理系统这样的企业网络管理设备外,明确的网络使用制度也是必不可少的,对员工的上网行为规范要落实到实处。
企业的网络卡、堵、慢问题一直是个老大难,企业扩大带宽等措施都没有明显的改善,所以企业网络管理设备是一个不错的选择,选择好的网络管理设备,把企业的网络管理做好,不仅为企业节约了扩大带宽的成本,也能提高资源利用率和员工的工作效率。
第二篇:企业网络建设整体解决方案
大型企业网络工程解决方案,本方案是一个典型的实际工程可以根据需要和可能,参照此方案灵活应用。
一、企业网络设计(1)主干网设计
采用千兆以太网技术。千兆以太网技术特点是具有高速数据传输带宽,基本能满足高速交换及多媒体对服务质量的要求。易于网络升级、易于维护、易于管理,具有良好的价格比。
传输介质。千兆传输距离500m以内采用50/125多模光缆;千兆传输距离大于500m、小于5000m时采用9/125单模光缆;百兆传输距离2000m以内采用50/125多模光缆;百兆传输距离大于2000m采用9/125单模光缆。
交换机。主干交换机的基本要求:机箱式结构,便于扩展;支持多种网络方式,如快速以太网、千兆以太网等;高性能,高背板带宽及中心交换吞吐量;支持第二、第三交换,支持各种IP应用;高可靠性设计,如多电源/管理模块、热插拔;丰富的可管理能力等。
中心机房配置企业级交换机作为网络中心交换机。为实现网络动态管理和虚拟局域网,在中心交换机上配置第三层交换模块和网络监控模块。主干各结点采用1000Mbps连接,服务器采用双网卡链路聚合200Mbps连接,客户采用交换式10/1000Mbps连接。(2)楼宇内局域网设计
要求采用支持802.1Q的10/100Mbps工作组以太网交换机,交换机的数据依据用户端口数、可靠性及网管要求配置网络接入交换机,使10/100Mbps流量接至桌面。(3)接入Internet设计
Internet接入系统由位于网络中心的非军事区(DMZ)交换机、WWW服务、E-mail服务、防火墙、路由器、Internet光纤接入组成。(4)虚拟局域网VLAN设计
通过VLAN将相同业务的用户划分在一个逻辑子网内,既可以防止不同业务的用户非法监听保密信息、又可隔离广播风暴。不同子网的通信采用三层路由交换完成。
各工作组交换机采用基于端口的VLAN划分策略,划分出多个不同的VLAN组,分隔广播域。每个VLAN是一个子网,由子网中信息点的数量确定子网的大小。
同样在千兆/百兆以太网上联端口上设置802.1Q协议,设置通信干道(Truck),将每个VLAN的数据流量添加标记,转发到主干交换机上实现网络多层交换。(5)虚拟专用网VPN设计
如果公司跨地区经营,自己铺设专线不划算,可以通过Internet采用VPN数据加密技术,构成企业内部虚拟专用网。(6)网络拓扑结构。这部分待续
二、网络安全性设计
网络系统的可靠与安全问题:
a.物理信息安全,主要防止物理通路的损坏和对物理通路的攻击(干扰等)。
b.链路层的网络安全需要保证通过网络链路传送的数据不被GG。主要采用划分VLAN、加密通信等手段。
c.网络层的安全需要保证网络只给授权的客户使用授权的服务,保证网络路由正确,避免被拦截或监听。
d.操作系统安全要求保证客户资料、操作系统访问控制的安全,同时能够对该操作系统上的应用进行审计。
e.应用平台的安全要求保证应用软件服务,如数据库服务、电子邮件服务器、Web服务器、ERP服务器的安全。
(1)物理安全
机房要上锁,出入人员要严加限制。注意不可让人从天花板、窗户进入房间。
机房电力要充足、制冷要合适,环境要清洁。
从工作站到配线柜的配线应该布在偷听设备接触不到的地方。配线不应该直接布在地板或天花板上,而应该隐藏在线槽或其他管道里。
应该包括诸如火灾、水灾等自然灾害后的恢复流程。如美国911世贸中心崩塌,大多数公司的数据得不到恢复。
(2)防火墙
防火墙应具管理简单、功能先进等特点,并且能够保证对所有系统实施“防弹”保护。一个优秀的防火墙具有内网保护、灵活的部署、非军事区(DMZ)范围的保护、TCP状态提醒、包过滤技术、TCP/IP堆栈保护、网络地址翻译、VPN等功能。
(3)网络病毒
在网络中心主机安装一台网络病毒控制中心服务器,该服务器既要与Internet相连,又要与企业内网相连。该服务器通过Internet每每更病毒代码及相关文件,企业内部网络中的服务器、客户时刻处于网络病毒控制中心服务的监控下,更新本机的病毒代码库及相文件,对计算机的所有文件和内存实施动态、实时、定时等多种病毒防杀策略,以确保网络系统安全。
(4)网络容错
集群技术。一个服务器集群包含多台拥有共享数据存储空间的服务器,各服务器之间通过内部局域网进行相互通信。当其中一台服务器发生故障时,它所运行的应用程序将由其他的服务器自动接管。在大多数情况下,集群中所有的计算机都拥有一个共同的名称,集群系统内任意一台服务器都可被所有的网络用户所使用。
(5)安全备份与灾难恢复
企业信息管理最重要的资产不是网络硬件,而是网络运行的数据。
理想的备份系统是在软件备份的基础上增加硬件容错系统,使网络更加安全可靠。实际上,备份不仅仅是文件备份,而是整个网络的一套备份体系。备份应包括文件备份和恢复,数据库备份和恢复、系统灾难恢复和备份任务管理。
(6)网络入侵检测、报警、审计技术
入侵检测系统(IDS-Intrusin Detection System)执行的主要任务包括:监视、分析用户及系统活动;审计系统构造和弱点;识别、反映已知进攻的活动模式,向相关人士报警;统计分析异常行为模式;评估重要系统和数据文件的完整性;审计、跟踪管理操作系统,识别用户违反安全策略的行为。
常见的IDS产品有ISS的RealSecure、CA公司的eTrust、Symantec的NetProwler、启明星辰公司的天阗、上海金诺的网安、东软的网眼等。
(7)局域网信息的安全保护技术
密码采用9位以上,每周修改1次
采用多层交换网络的虚拟网划分技术,防止在内部网监听数据
采用NTFS磁盘分区加密技术,使网上邻居只能是信任用户
采用Windows域控制技术,对网络资源实行统一管理
采用SAN(Storage Area Network存储区域网络)与NAS(Network Attached Storage网络连接存储)保护数据。
SAN技术允许将独立的存储设备连接至一台或多台服务器,专用于服务器,而服务器则控制了网络其他部分对它的访问。
NAS将存储设备直接连接至网络,使网络中的用户和网络服务器可以共享此设备,网络对存储设备的访问则由文件管理器这一类设备进行管理。
利用SAN结合集群技术提高系统可靠性、可扩充性和抗灾难性;利用NAS文件服务统一存放管理全公司桌面系统数据。
(8)网络代理
采用Proxy对访问Internet实行统一监控。限制用户访问的时间、访问的内容、访问的网址、访问的协议等等,同时对用户的访问进行审计。
(9)邮件过滤技术。
采用具有过滤技术邮件管理系统,一般是针对“主题词”、“关键字”、“地址(IP、域名)”等信息过滤,防止非法信息的侵入。
(10)重视网络安全的教育,提高安全意识。
三、综合布线与机房设计
1.把服务器、UPS、防火墙、路由器及中心交换机放置在中心机房,把各子系统的配线柜设置在各子系统所在的楼层。
2.楼宇间光缆敷设
采用4芯以上的单模或多模室外金属光缆架空或埋地敷设。
3.楼宇内UTP布线
采用AMP超五类UTP电缆、AMP超五类模块、AMP信息面板、配线架、AMP超五类UTP跳线实现垂直系统、水平子系统、工作区的布线。
4.机房装修
(1)地板。铺设抗静电三防地板,规格600*600*27,板面标高0.20m,地板应符合GB6650-82《计算机机房用活动地板技术条件》
(2)吊顶。轻钢龙骨铝合金架顶棚、顶部矿棉吸声板饰面。
(3)墙面。涂刮防防瓷、墙壁面刷乳胶漆。
(4)窗户。加装塑钢推拉窗、木制窗帘盒、亚麻竖百叶窗帘。
(5)出入门。安装铝合金玻璃隔断推拉门。
(6)照明。采用高效格栅双管日光灯嵌入安装。
(7)配电。机房配电采用三相五线制,多种电源(动力三相380V、普通220V和UPS输出220V)配电箱。为UPS、空调机、照明等供电。配电箱设有空气开关,线路全部用铜芯穿PVC管。
(8)接地。根据要求设计接地系统,其直流接地电阻小于1Ω、工作保护地和防雷地接地电阻小于4Ω。为保证优良的接地性能,采用JD—1型接地和化学降阻剂,此外,考虑机房抗静电的需求,对抗静电活动地板进行可靠的接地处理,以保证设备和工作人员的安全要求。
(9)空调。主机房3P柜机;分机房1.5壁挂式空调机。
5.UPS后备电源。
采用分散保护,集中管理电源的策略,考虑APC公司提供的电源解决方案。
四、企业网应用系统
1.应用服务器。IBM服务器首选,当然,也可以采用高档PC机,PC机的优点是便于更新换代。
2.软件平台。采用Windows 2003(主要使用Domain域控制器,集成DNS服务),Redhat 9.0,Solaris 9.0(在unix/linux上运行Oracle数据库,SAP/R3系统,基于Lotus Domino/Notes的OA系统)
3.数据库系统。采用Oracle大型数据库,或SQL Server2000数据库。
4.OA办公系统。基于Lotus Domino/Notes的OA系统,Lotus Domino集成Email/HTTP等服务。
5.企业管理综合软件ERP。采用SAP/R3系统,一步解决未来企业国际化问题;或是用友ERP—U8系统。
6.网络存储系统。
五、网络系统管理
1.交换机、路由器管理。设备均是Cisco产品,使用Cisco Works 2000。
2.网络综合管理。HP OpenView集成网络管理和系统管理。OpenView 实现了网络运作从被动无序到主动控制的过渡,使IT部门及时了解整个网络当前的真实状况,实现主动控制。OpenView系统产品包括了统一管理平台、全面的服务和资产管理、网络安全、服务质量保障、故障自动监测和处理、设备搜索、网络存储、智能代理、Internet环境的开放式服务等丰富的功能特性。
3.桌面系统管理。LanDesk工作站配置和管理工具,利用它的远程控制、远程软件分发和软件计量功能可以节省大量的时间。本方案是一个典型的大型企业网络工程解决方案,实际工程可以根据需要和可能,参照此方案灵活应用。
一、企业网络设计
(1)主干网设计
采用千兆以太网技术。千兆以太网技术特点是具有高速数据传输带宽,基本能满足高速交换及多媒体对服务质量的要求。易于网络升级、易于维护、易于管理,具有良好的价格比。
传输介质。千兆传输距离500m以内采用50/125多模光缆;千兆传输距离大于500m、小于5000m时采用9/125单模光缆;百兆传输距离2000m以内采用50/125多模光缆;百兆传输距离大于2000m采用9/125单模光缆。
交换机。主干交换机的基本要求:机箱式结构,便于扩展;支持多种网络方式,如快速以太网、千兆以太网等;高性能,高背板带宽及中心交换吞吐量;支持第二、第三交换,支持各种IP应用;高可靠性设计,如多电源/管理模块、热插拔;丰富的可管理能力等。
中心机房配置企业级交换机作为网络中心交换机。为实现网络动态管理和虚拟局域网,在中心交换机上配置第三层交换模块和网络监控模块。主干各结点采用1000Mbps连接,服务器采用双网卡链路聚合200Mbps连接,客户采用交换式10/1000Mbps连接。
(2)楼宇内局域网设计
要求采用支持802.1Q的10/100Mbps工作组以太网交换机,交换机的数据依据用户端口数、可靠性及网管要求配置网络接入交换机,使10/100Mbps流量接至桌面。
(3)接入Internet设计
Internet接入系统由位于网络中心的非军事区(DMZ)交换机、WWW服务、E-mail服务、防火墙、路由器、Internet光纤接入组成。
(4)虚拟局域网VLAN设计
通过VLAN将相同业务的用户划分在一个逻辑子网内,既可以防止不同业务的用户非法监听保密信息、又可隔离广播风暴。不同子网的通信采用三层路由交换完成。
各工作组交换机采用基于端口的VLAN划分策略,划分出多个不同的VLAN组,分隔广播域。每个VLAN是一个子网,由子网中信息点的数量确定子网的大小。
同样在千兆/百兆以太网上联端口上设置802.1Q协议,设置通信干道(Truck),将每个VLAN的数据流量添加标记,转发到主干交换机上实现网络多层交换。
(5)虚拟专用网VPN设计
如果公司跨地区经营,自己铺设专线不划算,可以通过Internet采用VPN数据加密技术,构成企业内部虚拟专用网。
(6)网络拓扑结构。这部分待续
二、网络安全性设计
网络系统的可靠与安全问题:
a.物理信息安全,主要防止物理通路的损坏和对物理通路的攻击(干扰等)。
b.链路层的网络安全需要保证通过网络链路传送的数据不被GG。主要采用划分VLAN、加密通信等手段。
c.网络层的安全需要保证网络只给授权的客户使用授权的服务,保证网络路由正确,避免被拦截或监听。
d.操作系统安全要求保证客户资料、操作系统访问控制的安全,同时能够对该操作系统上的应用进行审计。
e.应用平台的安全要求保证应用软件服务,如数据库服务、电子邮件服务器、Web服务器、ERP服务器的安全。
(1)物理安全
机房要上锁,出入人员要严加限制。注意不可让人从天花板、窗户进入房间。
机房电力要充足、制冷要合适,环境要清洁。
从工作站到配线柜的配线应该布在偷听设备接触不到的地方。配线不应该直接布在地板或天花板上,而应该隐藏在线槽或其他管道里。
应该包括诸如火灾、水灾等自然灾害后的恢复流程。如美国911世贸中心崩塌,大多数公司的数据得不到恢复。
(2)防火墙
防火墙应具管理简单、功能先进等特点,并且能够保证对所有系统实施“防弹”保护。一个优秀的防火墙具有内网保护、灵活的部署、非军事区(DMZ)范围的保护、TCP状态提醒、包过滤技术、TCP/IP堆栈保护、网络地址翻译、VPN等功能。
(3)网络病毒
在网络中心主机安装一台网络病毒控制中心服务器,该服务器既要与Internet相连,又要与企业内网相连。该服务器通过Internet每每更病毒代码及相关文件,企业内部网络中的服务器、客户时刻处于网络病毒控制中心服务的监控下,更新本机的病毒代码库及相文件,对计算机的所有文件和内存实施动态、实时、定时等多种病毒防杀策略,以确保网络系统安全。
(4)网络容错
集群技术。一个服务器集群包含多台拥有共享数据存储空间的服务器,各服务器之间通过内部局域网进行相互通信。当其中一台服务器发生故障时,它所运行的应用程序将由其他的服务器自动接管。在大多数情况下,集群中所有的计算机都拥有一个共同的名称,集群系统内任意一台服务器都可被所有的网络用户所使用。
(5)安全备份与灾难恢复
企业信息管理最重要的资产不是网络硬件,而是网络运行的数据。
理想的备份系统是在软件备份的基础上增加硬件容错系统,使网络更加安全可靠。实际上,备份不仅仅是文件备份,而是整个网络的一套备份体系。备份应包括文件备份和恢复,数据库备份和恢复、系统灾难恢复和备份任务管理。
(6)网络入侵检测、报警、审计技术
入侵检测系统(IDS-Intrusin Detection System)执行的主要任务包括:监视、分析用户及系统活动;审计系统构造和弱点;识别、反映已知进攻的活动模式,向相关人士报警;统计分析异常行为模式;评估重要系统和数据文件的完整性;审计、跟踪管理操作系统,识别用户违反安全策略的行为。
常见的IDS产品有ISS的RealSecure、CA公司的eTrust、Symantec的NetProwler、启明星辰公司的天阗、上海金诺的网安、东软的网眼等。
(7)局域网信息的安全保护技术
密码采用9位以上,每周修改1次
采用多层交换网络的虚拟网划分技术,防止在内部网监听数据
采用NTFS磁盘分区加密技术,使网上邻居只能是信任用户
采用Windows域控制技术,对网络资源实行统一管理
采用SAN(Storage Area Network存储区域网络)与NAS(Network Attached Storage网络连接存储)保护数据。
SAN技术允许将独立的存储设备连接至一台或多台服务器,专用于服务器,而服务器则控制了网络其他部分对它的访问。
NAS将存储设备直接连接至网络,使网络中的用户和网络服务器可以共享此设备,网络对存储设备的访问则由文件管理器这一类设备进行管理。
利用SAN结合集群技术提高系统可靠性、可扩充性和抗灾难性;利用NAS文件服务统一存放管理全公司桌面系统数据。
(8)网络代理
采用Proxy对访问Internet实行统一监控。限制用户访问的时间、访问的内容、访问的网址、访问的协议等等,同时对用户的访问进行审计。
(9)邮件过滤技术。
采用具有过滤技术邮件管理系统,一般是针对“主题词”、“关键字”、“地址(IP、域名)”等信息过滤,防止非法信息的侵入。
(10)重视网络安全的教育,提高安全意识。
三、综合布线与机房设计
1.把服务器、UPS、防火墙、路由器及中心交换机放置在中心机房,把各子系统的配线柜设置在各子系统所在的楼层。
2.楼宇间光缆敷设
采用4芯以上的单模或多模室外金属光缆架空或埋地敷设。
3.楼宇内UTP布线
采用AMP超五类UTP电缆、AMP超五类模块、AMP信息面板、配线架、AMP超五类UTP跳线实现垂直系统、水平子系统、工作区的布线。
4.机房装修
(1)地板。铺设抗静电三防地板,规格600*600*27,板面标高0.20m,地板应符合GB6650-82《计算机机房用活动地板技术条件》
(2)吊顶。轻钢龙骨铝合金架顶棚、顶部矿棉吸声板饰面。
(3)墙面。涂刮防防瓷、墙壁面刷乳胶漆。
(4)窗户。加装塑钢推拉窗、木制窗帘盒、亚麻竖百叶窗帘。
(5)出入门。安装铝合金玻璃隔断推拉门。
(6)照明。采用高效格栅双管日光灯嵌入安装。
(7)配电。机房配电采用三相五线制,多种电源(动力三相380V、普通220V和UPS输出220V)配电箱。为UPS、空调机、照明等供电。配电箱设有空气开关,线路全部用铜芯穿PVC管。
(8)接地。根据要求设计接地系统,其直流接地电阻小于1Ω、工作保护地和防雷地接地电阻小于4Ω。为保证优良的接地性能,采用JD—1型接地和化学降阻剂,此外,考虑机房抗静电的需求,对抗静电活动地板进行可靠的接地处理,以保证设备和工作人员的安全要求。
(9)空调。主机房3P柜机;分机房1.5壁挂式空调机。
5.UPS后备电源。
采用分散保护,集中管理电源的策略,考虑APC公司提供的电源解决方案。
四、企业网应用系统
1.应用服务器。IBM服务器首选,当然,也可以采用高档PC机,PC机的优点是便于更新换代。
2.软件平台。采用Windows 2003(主要使用Domain域控制器,集成DNS服务),Redhat 9.0,Solaris 9.0(在unix/linux上运行Oracle数据库,SAP/R3系统,基于Lotus Domino/Notes的OA系统)
3.数据库系统。采用Oracle大型数据库,或SQL Server2000数据库。
4.OA办公系统。基于Lotus Domino/Notes的OA系统,Lotus Domino集成Email/HTTP等服务。
5.企业管理综合软件ERP。采用SAP/R3系统,一步解决未来企业国际化问题;或是用友ERP—U8系统。
6.网络存储系统。
五、网络系统管理
1.交换机、路由器管理。设备均是Cisco产品,使用Cisco Works 2000。
2.网络综合管理。HP OpenView集成网络管理和系统管理。OpenView 实现了网络运作从被动无序到主动控制的过渡,使IT部门及时了解整个网络当前的真实状况,实现主动控制。OpenView系统产品包括了统一管理平台、全面的服务和资产管理、网络安全、服务质量保障、故障自动监测和处理、设备搜索、网络存储、智能代理、Internet环境的开放式服务等丰富的功能特性。
3.桌面系统管理。LanDesk工作站配置和管理工具,利用它的远程控制、远程软件分发和软件计量功能可以节省大量的时间。
第三篇:石化企业网络整体解决方案
石化企业网络整体解决方案
发挥作用
关键词:网络 方案 石化企业
随着科技的迅猛发展,石化企业越来越广泛地采用信息技术,使其成为挖潜增效、赢得市场竞争胜利的重要途径。网络整体解决方案是石化企业信息化工程的重要基础设施,其目标是建设一个先进、可靠、安全的信息通信平台,支
持数据、话音和图像交换,实现传真、图片和电视会议等多种通信业务,覆盖所有网络应用,并具有完备的网络管理系统,能为用户建立面向未来的信息高速公路。
一石化企业网络建设目标
1.石化企业流程特点
石化以原油和天然气为主要原料,生产出燃料、润滑油、石蜡等产品,满足社会需要,同时谋求企业最大经济效益。其流程是连续生产,规模宏大,由许多内部复杂关联的单元操作模块组成,单元模块间由物料流、能量流及设备的相互连接而组成不同石化过程流程。
2.石化企业数据分类
石化企业网上数据,总体上包括:工艺流程数据、油品质量数据、油品罐存数据、公用工程数据、设备管理数据、经营管理数据和办公自动化数据等。特别是现场生产数据,实时性很强,要求较高通信速率,一般在几秒内刷新几千点以上的实时数据。工业电视监控系统视频则要求每秒25幅画面以上的通信速率,才能保证良好的画面效果。
3.光缆覆盖企业全部区域
到目前为止,石化企业的计算机应用,一般都走过了起步、探索和发展3个阶段,经历了单项开发、微机局域网和管理信息系统建设3个过程。在此基础上的网络整体解决方案,光缆敷设一定要覆盖企业全部区域,才能充分发挥出计算机信息系统在企业生产经营和管理决策上实实在在的重要作用,使企业管理模式有一个较大变革。
4.完成生产和管理各项服务职能
石化企业网络建设目的,是搭建信息应用平台,为生产和管理构造一个适应竞争发展的模式,最大限度提高经济效益。在这个宏观思想指导下,所建立起来的网络系统须能支持完成生产和管理各项服务职能,如生产管理、工艺管理、计划管理、计量管理、财务管理、设备管理、储运管理、工程管理、销售管理、工业电视、视频会议、流程模拟、过程控制优化、电子商务、办公自动化和决策支持等。
5.满足企业CIMS和ERP建设需要
网络系统是石化企业信息化建设的重要基础设施,应从企业全局出发,建成一个高起点、有水平、方便使用和管理、易于升级的网络系统,以期满足企业CIMS和ERP建设需要。其建设原则应定位在:统筹规划,分步实施;集中建设,分级管理;共同开发,资源共享;不断优化,滚动发展。
二石化企业网络建设方案
1.网络设计原则
由于网络技术发展十分迅速,产品更新换代日趋缩短,所以方案设计时须采用先进、成熟技术,确保网络结构、设备和软件具有较长生命周期,保护用户投资。同时,要兼顾产品性价比,以适应石化企业信息应用发展需要。网络应充分设计的重要因素:(1)网络实施可行性;(2)性能优异性;(3)使用方便性;(4)可靠性;(5)安全性;(6)生存性;(7)可管理性。
2.主干网类型
主干网连接各部门局域网网段,连接企业级服务器及各种远程网络设备,负责处理网间数据量传输,是石化企业全网数据交换枢纽。为此,要求主干网具有高速交换数据能力、良好技术升级特性和较强稳定可靠性,同时支持多种网络环境、通用网管协议和向未来网络技术平滑过渡。网络主干设计不仅要考虑结构合理,有利于网络分段(分组)、性能优化和安全控制,同时还要考虑原有网络基础设施的充分利用,方便日常维护。目前,石化企业主干网的选型,多以ATM和星型结构的千兆快速以太网为主流。
3.网络模型确定
网络模型是指在确定网络(以太网、FDDI、ATM、快速以太网络等)技术以及网络速率基础上,网络设备、网段的连接方式。就石化企业来说,分公司和下属二级生产企业的信息点总和约几千点,大体可分成3层:第一层为核心层,位于分公司计算机中心机房;第二层为中心层,位于下属二级企业计算机中心机房;第三层为接入层,包括分公司机关处室、下属二级企业管理部门及车间办公室和仪表控制室。核心层是网络高速交换主干、整个分公司信息管理枢纽,应具有高性能、高可靠性和3层交换的能力。中心层是下属二级企业生产数据管理中心,应具有较强数据交换能力,支持3层交换,基本解决二级企业路由,使二级企业信息管理相对
独立,同时减少了分公司核心交换机数据处理压力。接入层为最终用户,是10/100M交换式以太网端口到桌面。
二级企业网络又可分成多级节点拓扑结构:其计算中心为中心节点;1000M主干抵达地为一级节点;企业领导层、单独组网的主要处室(如财务处、机动处、销售处、人事劳资处等)和车间办公室为二级节点;非独立组网的机关处室、仪表
室和车间下属各组为三级节点。节点选择原则有3条:重要程度、地理位置、所管理工作站数量。
对石化企业来说,生产管理的一个十分显著特点,是需实时监控生产装置的流程参数和动态了解公用工程物料能耗数据。对仪表室DCS和微机监测系统采集信息的上网,应通过单设的工控机实现,目的是为避免网络部分闪失给生产装置造成不良影响。DCS、微机监测系统和工控机间的数据交换,在软件上通过DDE或OPC实现。
4.网络拓扑结构
地区石化企业网络拓扑结构一般分为两层:分公司层和下属分厂层。分公司层用于构造分公司机关信息系统网络平台;组建连接下属各分厂的网络管控中心;负责和中石油、Internet对外的统一接口。而下属分厂层,作为分公司整体网络组成部分,则应充分满足分厂和分公司信息化的全部需求。其具体网络拓扑结构见图所示。
5.网络设备选型
网络设备(交换机、集线器、路由器、接口卡和网管软件等)的选择原则,是依据石化企业网络拓扑结构要求,参照其功能、性能、容量和价格等综合因素而确定。
在这一网络设备选择原则的指导下,建议选用主流网络设备厂家Cisco和3COM公司产品,因其都拥有全线网络产品,性价比良好,有着强大技术支持和售后服务能力,并对网络扩展和升级不存在后顾之忧,不仅能使石化企业有效解决网络应用问题,且可降低维护成本,提升企业管理水平。以选用Cisco网络产品为例:分公司核心层主交换机可选用Cisco6000系列产品(如Cisco6506);二级企业中心层主交换机可选用Cisco4000系列产品(如Cisco4006),一级节点网络设备可采用Cisco2900系列产品(如Cisco2912、2924、2948),二级和三级节点可采用Cisco2950等网络设备。
6.网络服务器选择
服务器的选择对一个网络系统来说至关重要,它应具有较强稳定性、可靠性、保密性和安全性,同时方便操作和维护,充分考虑系统的扩充和发展。一般来说,系统主服务器可采用档次较高的SUN服务器,其他如生产(实时)数据服务器、Domino(办公自动化)服务器、代理服务器、域名服务器和拨号服务器等则可采用HP服务器。拨号服务器功能主要用于企业内部临时性办公地点以及领导外出工作时上网之用,通过Modem与拨号路由器实现拨号上网的用户对企业内部网络的访问。
7.域名的划分
传统域名的划分采用WindowsNT中WI和D相结合的方式,为系统每台设备都设置域名,不仅增加网络广播信息流量,加重网络负担,降低网络性能,且不利于域名系统的维护。现在修正如下:(1)按照分公司规定域名划分方法进行厂级域名规划;(2)取消WI系统;(3)不对分厂级以下的系统进行域名设置。
8.IP地址的分配
IP地址的划分采用分公司分配的IP地址段,分厂在此基础上进行IP地址的分配。IP地址是企业宝贵的计算机软资源,其合理划分对于网络性能优化、安全管理、正常维护都具有重要意义。IP地址的划分,必须在对网络进行全面调研的基础上,根据网段/子网划分原则、网络安全需求以及未来发展进行科学设计。
9.与Internet连接
随着Internet技术的飞速发展和普及,企业如何通过建立自己的Internet/Intranet来获得丰富的信息资源,更好服务于生产经营,以获得更大利润,现已变得越来越迫切,访问Internet事实上已成为石化企业网络功能的重要组成部分。与Internet连接,是由接入路由器、防火墙和入侵监测设备组成。为统一管理,Internet对外出口应设在分公司,由其信息中心统一控制和配置资源。分厂作为分公司下属生产企业,它与因特网的连接是通过分公司宽带出口实现的。Internet用户的开户管理和邮件管理等,也统一纳入分公司管理之下,由其信息中心来控制具体实施。如有必要,下属分厂也可根据信息中心统一划分的网段地址建立自己的动态地址分配服务器(DHCP)。
10.网络管理软件
网络管理是确保网络正常工作的重要手段,它决定某一特定段信息量,管理一个应用应怎样使用客户内存,以至跟踪某台特定设备的工作是否正常。网络管理一般包括流量、应用程序和设备管理。如Cisco网管软件CiscoView,能出色地承担起网络管理职能;3COM公司Tracend网管软件,也可为该公司的互连设备提供动态网络配置信息和运行状态信息,具有强有力的监视功能。
11.防火墙和防病毒
确保网络安全的基本方法是采用防火墙。简单讲,防火墙是用来控制信息流,通常防火墙都设置在网络基础设施的入口或出口。目前有3类包含不同过滤特性的防火墙:包过滤、网络过滤和应用网关。在确定选择防火墙时,应首先检查环境中可用的信息流控制,主要指通信方向、通信来源、IP地址、端编号、认证和应用内容等。Cisco公司SecurePIX和CA公司的eTrustFire防火墙产品,都具有相当好保护性能,用以保护整个网络业务资源。防火墙设置应由分公司统一设置。
计算机病毒给网络应用带来了相当大的威胁,在网络环境中的防病毒措施与在单机环境下有着很大程度的不同。在网络系统中,须根据对病毒流入网络系统根源的分析,制定全方位、多平台网络防病毒方案。目前部分石化企业采用网络版NortonAntiVirus(企业版),定时对全网络用户查毒杀毒,收到较好效果。
12.数据备份
石化企业的生产、经营、管理和决策数据大都存储在网络环境的服务器中,网络数据安全性极为重要,一旦被破坏或丢失,将对企业正常运行带来重大影响,甚至造成难以弥补的损失。因此,数据备份是网络建设中不可缺少的组成部分。在传统磁带数据备份基础上,适时推出的NAS(网络连接存储)和SAN(存储区域网络)技术,正成为网络数据备份的主流。
三石化企业网络建设环境
1.机房环境设计
好范文版权所有
(1)温度:夏季22℃±2℃,冬季20℃±2℃;(2)湿度:45~65;(3)照明:距地面0.8m处>300Lx;(4)噪声:<70db;(5)电磁:≯800A/m。
2.系统供电设计
(1)电压波动范围-5~ 5,频率变化范围-0.2Hz~ 0.2Hz,波形失真率≤±5;(2)采用U,其容量选用设备容量之和的1.5倍。
3.系统防雷击设计
需配置有效的防雷击隔离器(GB50174-93计算机机房防雷设计规范)。
4.接地设计
(1)交流工作地的接地电阻≯4Ω(2)安全保护地的接地电阻≯4Ω(3)信号地和屏蔽地的接地电阻≯3Ω(4)防雷保护地的接地电阻≯4Ω。
四石化企业网络建设实施
1.符合实际的路由设计
符合实际的路由设计是企业网络系统成功的基础。路由设计是一件十分细致的工作,在大量和反复调研基础上,完成详尽的文档,包括路由走向图和路由明细表。它遵照网络拓扑结构的具体要求,结合企业地理环境的具体情况,因地制宜地采取合理路由方式。路由设计首先考虑利用现有电话通信水泥管井,然后利用仪表和计量槽盒,最大限度减少地下直接掩埋或架空敷设。
2.采用结构化布线
先进的网络系统很重要的一点体现在网络的结构化、合理化、规范化上,以免制约企业网向更高层次的网络建设发展。石化企业网络一般分为建筑群间和楼内布线。公司和分厂之间,以及厂区内的主干,采用光缆;办公楼以及车间内部,铺设超五类双绞线。光缆敷设要根据现场实际情况因地制宜采取合理方式。在网络介质选择上,1000M主干采用单模光纤,其他网段采用多模光纤,为保证网络安全和可靠运行,单模光纤使用6芯(2/3作为备用),多模光纤使用4芯(1/2作为备用)。
3.充分利用原有网络资源好范文版权所有
石化企业的计算机应用工作起步较早,各单位网络建设也都实现了不同程度的应用。现在所提出的网络整体方案,一定要考虑充分利用原有网络资源。其利用是多方面的,光缆、用户工作站、集线器都可利用,交换机也可降级利用。这不仅仅是资金上的节省,而且也是人们心理上的期望。
4.工程组织和实施
(1)组织管理
项目工程领导小组、光缆敷设管理小组、网络性能优化管理小组、网络安全实施管理小组、文档资料管理小组。
(2)进度安排
设备采购、光缆敷设、设备安装与调试、系统联调及试运行、系统性能技术测试、交付文档资料、项目验收。
(3)质量管理
(a)项目工程领导小组,负责项目方案敲定、人员安排、进度掌握和甲乙双方间的协调;
(b)光缆敷设管理小组,负责光缆敷设,确保工程遵循技术规范、按照进度时间要求完成施工;
(c)网络性能优化管理小组,负责工程竣工前对网络性能测试,并进行优化调试;
(d)网络安全实施管理小组,负责实施网络安全策略,实现防火墙和防病毒的落实,确保网络安全和保密;
(e)文档资料管理小组,负责提供完整和实用的文档资料,以备网络日常的管理和维护。
(4)费用预算
光缆及网络交换设备费用、光缆敷设工程费用、网络管理软硬件费用、网络安全管理软硬件费用、网络防病毒软硬件费用、网络性能测试费用。
(5)技术培训
(6)测试验收
(7)文档资料
工程进度一览表、网络拓扑结构图、光缆敷设路由设计图、网络域名划分表、网络IP地址分配表、硬件接线明细表、光缆布线工程测试报告。
第四篇:企业网络信息安全解决方案
企业网络信息安全解决方案
一、信息安全化定义
企业信息安全管理即针对当前企业面临的病毒泛滥、黑客入侵、恶意软件、信息失控等复杂的应用环境制定相应的防御措施,保护企业信息和企业信息系统不被未经授权的访问、使用、泄露、中断、修改和破坏,为企业信息和企业信息系统提供保密性、完整性、真实性、可用性、不可否认性服务。简而言之,使非法者看不了、改不了信息,系统瘫不了、信息假不了、行为赖不了。
二、企业信息安全管理现状
当前企业在信息安全管理中普遍面临的问题:
(1)缺乏来自法律规范的推动力和约束;
(2)安全管理缺乏系统管理的思想。被动应付多于主动防御,没有做前期的预防,而是出现问题才去想补救的办法,不是建立在风险评估基础上的动态的持续改进的管理方法;
(3)重视安全技术,忽视安全管理。企业愿意在防火墙等安全技术上投资,而相应的管理水平、手段没有体现,包括管理的技术和流程,以及员工的管理;
(4)在安全管理中不够重视人的因素;(5)缺乏懂得管理的信息安全技术人员;
(6)企业安全意识不强,员工接受的教育和培训不够。
三、企业信息安全管理产品
建立完善的企业信息安全管理系统,必须内外兼修,一方面要防止外部入侵,另一方面也要防范内部人员泄密可能。所以在选择企业信息安全管理产品时,必须是一个完整的体系结构。目前,在市场上比较流行,而又能够代表未来发展方向的安全产品大致有以下几类:用户身份认证,如静态密码、动态密码(短信密码、动态口令牌、手机令牌)、USB KEY、IC卡、数字证书、指纹虹膜等。
防火墙
即访问控制系统,它在内部网络与不安全的外部网络之间设置障碍,阻止外界对内部资源的非法访问,防止内部对外部的不安全访问。但它其本身可能存在安全问题,也可能会是一个潜在的瓶颈。
安全路由器
由于WAN连接需要专用的路由器设备,因而可通过路由器来控制网络传输。通常采用访问控制列表技术来控制网络信息流。
安全服务器
安全服务器主要针对一个局域网内部信息存储、传输的安全保密问题,其实现功能包括对局域网资源的管理和控制,对局域网内用户的管理,以及局域网中所有安全相关事件的审计和跟踪。
安全管理中心
由于网上的安全产品较多,且分布在不同的位置,这就需要建立一套集中管理的机制和设备,即安全管理中心。它用来给各网络安全设备分发密钥,监控网络安全设备的运行状态,负责收集网络安全设备的审计信息等。
入侵检测系统(IDS)
入侵检测,作为传统保护机制(比如访问控制,身份识别等)的有效补充,形成了信息系统中不可或缺的反馈链。
入侵防御系统(IPS)
入侵防御,入侵防御系统作为IDS很好的补充,是信息安全发展过程中占据重要位置的计算机网络硬件。
安全数据库
由于大量的信息存储在计算机数据库内,有些信息是有价值的,也是敏感的,需要保护。安全数据库可以确保数据库的完整性、可靠性、有效性、机密性、可审计性及存取控制与用户身份识别等。
数据容灾设备
数据容灾作为一个重要的企业信息安全管理体系中的一个重要补救措施,在整个企业信息安全管理体系中有着举足轻重的作用。数据容灾设备包括数据恢复设备、数据复制设备、数据销毁设备等。目前应用较多的数据容灾设备包括效率源HD Doctor、Data Compass数据指南针、Data Copy King硬盘复制机、开盘机等。
编辑本段企业信息安全管理对策 1.网络管理
一般企业网与互联网物理隔离, 因而与互联网相比, 其安全性较高, 但在日常运行管理中我们仍然面临网络链路维护、违规使用网络事件等问题, 具体而言:
(1)在IP 资源管理方面, 采用IP MAC 捆绑的技术手段防止用户随意更改IP 地址和随意更换交换机上的端口。这分两种情况实现, 第一种情况是如果客户机连在支持网管的交换机上的, 可以通过网管中心的管理软件, 对该交换机远程实施Port Security 策略, 将客户端网卡MAC 地址固定绑在相应端口上。第二种情况是如果客户机连接的交换机或集线器不支持网管, 则可以通过Web 网页调用一个程序, 通过该程序把MAC 地址和IP 地址捆绑在一起。这样, 就不会出现IP 地址被盗用而不能正常使用网络的情况。
(2)在网络流量监测方面, 可使用网络监测软件对网络传输数据协议类型进行分类统计, 查看数据、视频、语音等各种应用的利用带宽, 防止频繁进行大文件的传输, 甚至发现病毒的转移及传播方向。
2.服务器管理
常见应用服务器安装的操作系统多为Windows 系列,服务器的管理包括服务器安全审核、组策略实施、服务器的备份策略。服务器安全审核是网管日常工作项目之一, 审核的范围包括安全漏洞检查、日志分析、补丁安装情况检查等, 审核的对象可以是DC、Exchange Server、SQL Server、IIS 等。
在组策略实施时, 如果想使用软件限制策略, 即哪些客户不能使用哪个软件, 则需要把操作系统升级到Windows 2003 Server。服务器的备份策略包括系统软件备份和数据库备份两部分, 系统软件备份拟利用现有的专用备份程序, 制定一个合理的备份策略, 如每周日晚上做一次完全备份, 然后周一到周五晚上做增量备份或差额备份;定期对服务器备份工作情况等。
3.客户端管理
对大多数单位的网管来说, 客户端的管理都是最头痛的问题, 只有得力的措施才能解决这个问题, 这里介绍以下几种方法:
1)将客户端都加入到域中, 这一点很重要, 因为只有这样, 客户端才能纳入管理员集中管理的范围。
2)只给用户以普通域用户的身份登录到域, 因为普通域用户不属于本地Administrators 和Power Users 组, 这样就可以限制他们在本地计算机上安装大多数软件(某些软件普通用户也可以安装)。当然为了便于用户工作, 应通过本地安全策略, 授予他们“关机”和“修改系统时间”等权利。
3)实现客户端操作系统补丁程序的自动安装。4)实现客户端防病毒软件的自动更新。
5)利用SMS 对客户端进行不定期监控, 发现不正常情况及时处理。
4.数据备份与数据加密
由于应用系统的加入, 各种数据库日趋增长, 如何确保数据在发生故障或灾难性事件情况下不丢失, 是当前面临的一个难题。这里介绍四种解决方法: 第一种解决办法是用磁带机或硬盘进行数据备份。该办法价格最低, 保存性最强, 不足之处是备份的只是某个时间点。第二种方案是采用本地磁盘阵列来分别实现各服务器的本地硬盘数据冗余。第三种方案是采用双机容错方式, 两台机器系统相互备份, 应用层数据全部放在共享的磁盘阵列柜中, 这种方式能解决单机故障或宕机的问题, 同时又能防止单个硬盘故障导致的数据丢失, 但前期投资较大。第四种方案是采用NAS 或SAN 来实现各服务器的集中区域存储, 实现较高级别的磁盘等硬件故障的数据备份, 但是成本较高, 一般不能防止系统层的故障, 如感染病毒或系统崩溃。考虑到网络上非认证用户可能试图旁路系统的情况, 如物理地“取走”数据库, 在通信线路上窃听截获。对这样的威胁最有效的解决方法就是数据加密, 即以加密格式存储和传输敏感数据。发送方用加密密钥, 通过加密设备或算法, 将信息加密后发送出去。接收方在收到密文后, 用解密密钥将密文解密, 恢复为明文。如果传输中有人窃取,他只能得到无法理解的密文, 从而对信息起到保密作用。
5.病毒防治
对防病毒软件的要求是: 能支持多种平台, 至少是在Windows 系列操作系统上都能运行;能提供中心管理工具, 对各类服务器和工作站统一管理和控制;在软件安装、病毒代码升级等方面, 可通过服务器直接进行分发, 尽可能减少客户端维护工作量;病毒代码的升级要迅速有效。在实施过程中, 本单位以一台服务器作为中央控制一级服务器, 实现对网络中所有计算机的保护和监控, 并使用其中有效的管理功能, 如: 管理员可以向客产端发送病毒警报、强制对远程客户端进行病毒扫描、锁定远程客产端等。正常情况下, 一级服务器病毒代码库升级后半分钟内, 客户端的病毒代码库也进行了同步更新。
四、企业网络、信息安全解决方案 1)大型企业
大型企业部门林立,相当一部分会在外地有分支机构,业务系统普遍采用建设虚拟专网的方式,起到外部分支访问总部数据的通道和安全加密作用。传统的网络安全设备基本都已经部署,比如防火墙,可以把企业访问互联网的风险降低,但是大型企业的网络、信息安全威胁主要来源于恶意的攻击行为和企业员工有意、无意的操作行为,致使业务系统不能正常使用,或者机密数据外泄,对企业的网络安全,信息保密造成很大的威胁,拥有功能强大的上网行为管理设备、入侵检测系统和防泄密系统能有效杜绝各个环节可能出现的不安全隐患,保障业务系统的政策正常安全运行和企业机密数据的安全。
建议大型企业在网络中部署:防火墙、IDS、上网行为管理、防泄密系统、VPN、安全服务器等。
2)中型企业
中型企业基本已具备完整的网络体系,但是企业的信息化技术力量相对大型企业可能薄弱一点,对于员工的上网行为和电脑操作行为可能要求得不会太严格,即使向员工制定了一定的管理制度,也会在制度的执行过程中因为人为的因素而变成一纸空文,所以用硬件设备来保障和规范网络、信息的安全尤为重要,中型企业的网络、信息安全威胁主要来源于外网的攻击、内部网络使用的不规范导致的木马、病毒等安全威胁。
建议中型企业部署:防火墙、IDS、路由器、上网行为管理、防泄密系统等。
3)小型企业
小型企业在人员规模、基础建设、资金实力等方面都相对落后于大中型企业,但是在发展阶段的小型企业,对网络、信息的安全问题同样不能忽视,目前各式各样的聊天工具、视频网站、网游、P2P下载等,都会直接影响到员工的工作效率,并且占用了大部分的带宽,使得业务系统和正常的工作无法得到保障,且小型企业一般不会配置专业的网管人员,这就是有的小型企业配置了好的电脑,够用的宽带,但是仍然有大部分员工一直抱怨总是不能上网,或者上网太慢,邮件发不出去等问题。从综合实力来讲,小型企业在网络、信息安全方面的投入会比较有限,建议企业配置中低端的安全设备,防火墙,上网行为管理,以研发和设计为主的企业对于防泄密系统的部署还是有必要的。
第五篇:企业网络管理制度
XX科技有限公司
★
综字2009第(005)号
XX科技计算机及网络设备管理制度(修订)
第一章 总则
第一条 为正确使用计算机及网络产品,及时发现设备故障,延长设备使用寿命,保护公司财产,加强对公司计算机网络的安全保护,维护计算机网络的正常运作特制定本制度。
第二条 本制度所涉及产品的界定:
A. 计算机是指为公司内部员工使用的PC机(包括CPU、硬盘、内存、机箱、显示器、网卡、键盘和鼠标。主机板和显示卡由本公司提供,如非特殊需要不配备光驱和软驱。)
B. 网络设备是指公司内部使用的服务器、网络交换机、路由器、集线器、以及网络接入设备等。
C. 计算机其他配件是指公司备用的光驱、软驱等。
D. 附带软件包括计算机驱动盘、系统安装盘、程序安装盘等。
第二章 公司计算机环境
第三条 计算机及网络产品使用 A.公司所有计算机及其内部配件和网络产品均由网管人员粘贴公司标签,除已借用的笔记本电脑外,一律不得拿出公司。
B.如工作需要需将公司计算机等拿出公司,员工须到行政部门说明情况,由行政内勤开具出门证明,并报信息管理部备案。
C.电脑或网络出现故障后不得私自打开机箱进行拆卸,统一由专业计算机维护人员进行检修。公司员工不得随意打开计算机机箱。如因工作需要打开机箱者,应有直接上级同意并通知信息管理部,由网管人员打开机箱;机器整理完毕,信息管理员为其重新粘贴公司标签。
D.计算机在使用过程中未经他人许可严禁随意拷贝、修改及删除他人计算机的资源。
E.公司每位员工对自己的工作电脑既有使用的权利又有保护的义务。任何的硬件损坏必须给出损坏报告,说明损坏原因,不得擅自更换。公司会视实际情况进行处理。
F.软件维修人员不保证一定能够解决由于员工自己安装的软件所引起的问题,除非能够在标准平台上重复所出现的问题。
第四条 计算机及网络产品的维修
A.公司员工发现所使用得计算机或网络产品出现硬件故障后应及时向综合管理部提出维修申请。
B.网络管理员在接到申请后,须在一个小时内做出响应。
C.如果员工的计算机在提出申请后一个工作日内仍不能修好,网管人员须暂调其他备用机器以保证该员工工作的正常进行。
D.在维修处理过程中,网管人员应查阅该机器的采购和维修纪录,确认出现故障的硬件是否在维修期内以享受免费维修。E.如果配件已无法维修,网管人员应调配其他备用配件或按照采购制度购买新配件进行更换,更换后对领用清单进行相应修改。
F.服务运营中心提供对工作电脑的软硬件技术支持服务,包括诊断,故障排除和维修。
第五条 损坏责任的承担
A.自然损坏:凡属于计算机原有的质量问题、超过使用年限等等非人为因素造成的损坏;
B.个人原因损坏:凡属于人为因素,例如摔打、撞击等等造成的损坏。
C.凡属自然损坏的,维修费用由公司承担;属个人原因损坏的,维修费用由个人承担。
D.机型过于陈旧无维修价值时,由信息管理部经理申请整机核销,经总经理助理批准后报财务备案,并将该机其他有用部件作为维修配件。
E.如工作人员不按规定操作,造成不良后果的,将按有关规定,由操作者承担相应责任,并追究部门负责人的有关责任。
第六条 公共打印机的管理
A.公共打印使得所有员工更便于访问集中控制的打印资源。
B.在公司内部由专人负责管理公共打印机环境。公司公共打印机资源为:前台黑白打印机所有人可以访问,除必须打印和与工作相关的资料外,不得打印其他无关内容;核心彩色打印机为公司商务部门投标专用打印设备,除公司指定专人可以使用此打印机打印资料外,其他任何人未经管理部许可不得使用此打印机或借用别人电脑使用此打印机打印任何形式的内容。
第三章 信息安全控制
第七条 安全管理 A、未经网管批准,任何人不得改变网络拓扑结构,网络设备布置,服务器、路由器配置和网络参数。
B、任何人不得进入未经许可的计算机系统更改系统信息和用户数据。
C、公司局域网上任何人不得利用计算机技术侵占用户合法利益,不得制作、复制和传播妨害公司稳定的有关信息。
D、各部门定期对本部门计算机系统和相关业务数据进行备份以防发生故障时进行恢复。
E.公司购买新的软件产品或自己开发的软件产品,安装使用前一定要生产厂家的专家技术人员来厂进行培训,只有经过培训合格者,方能取得此软件的操作权限。
F.必须严格按照操作规程工作,做好个人机器内重要数据的备份。计算机原则上由专人负责操作维护,不得串用设备。下班后必须按程序关闭主机和其他设备,切断电源。
G.工作人员必须自觉遵守有关保密制度,保密文件资料不得提供共享。各操作人员应防止操作口令对外泄密。不得把重要的软件或光盘随意外借,不得为外单位人员拷贝公司机密软件。未经公司领导同意,外来人员不得随意进入机房和使用本单位的电脑及网络设备。
H.非中心人员,谢绝进入机房。有特殊需要的,须经机房管理员或负责人同意后,方可进入。
I.中心各电脑终端IP地址由网络管理员统一规划、设置。若需改变的,都必须向网络管理员提出申请,严禁私自改动。
第八条 病毒的防治管理
A、任何人不得在公司的局域网上制造传播任何计算机病毒,不得故意引入病毒。
B、使用者发现病毒应立即向网络管理员报告以便获得及时处理。
C、网络服务器的病毒防治由网络管理员负责。D、各部门应定期对各自使用的计算机杀毒(周期为一周)如发现计算机有病毒时,应及时清除,清除不了的病毒,要及时上报。管理员应及时升级病毒库,并提示各部门对杀毒软件进行在线升级。
第九条 信息安全
A.员工应对在自己公司电脑内公司机密信息的安全负责,当需暂时离开座位时必须立即启动屏幕保护程序并带有密码。
B.员工有责任正确地保护分配给本人的所有计算机帐户。
C.每台公司电脑内必须安装反病毒软件并启动实时扫描程序。服务运营中心可以提供最新的杀毒软件及最新数据更新文件。
D.不得安装有可能危及公司计算机网络的任何软件,如实有需要进行软件测试的必须将计算机脱离公司计算机网络进行单机操作。任何人不得在未经管理部门许可的情况下,利用公司网络进行测试。
E.任何对公司内部计算机网络的黑客行为是绝对禁止的,一经查实将按公司有关规定严肃处理。
F.公司提供的互联网访问服务只能被使用在与公司业务有关的方面,否则一经查实将按公司有关规定严肃处理。公司提供的互联网访问服务只在每个工作日的早上8:30至晚上5:30有效。
第十条 聊天上网
A.工作期间员工不得使用QQ、MSN、POPO聊天等工具(只限于与客户、供应商沟通工作)。一经查实将按公司有关规定严肃处理。
B.工作时间内严禁工作人员在计算机上进行与工作无关的操作,不准聊天、玩游戏,或看影视、听音乐、看股票行情及其它与工作无关活动。不得使用来路不明或未经杀毒的盘片。一经查实将按公司有关规定严肃处理。C.工作期间避免使用占用大量带宽的下载工具下载软件如迅雷,快车,BT等,由于公司带宽有限,确实因工作需要下载软件的,请自觉限制带宽或利用休息时间进行下载。
D.公司将不定期抽查计算机上网记录和聊天记录,如发现违反本制度的,视情节轻重给予通报批评、纪律处分。构成犯罪的,由司法机关依法追究刑事责任。
第十一条 网站及BBS管理
任何人员不得利用本公司网站泄露秘密,不得侵犯国家、社会、集体利益和其他公民的合法权益,不得利用网站及BBS制作、复制和传播下列信息:网络管理员必须检查链接网站、个人主页的信息内容,若发现其包含有害信息的应及时取消其链接。网络管理员必须定期检查网站内容及BBS论坛发表内容,若发现其包含有害信息的必须及时删除和取消其用户资格,有违反法律法规的应及时交予公安部门查处。
(一)煽动抗拒、破坏宪法和法律、行政法规实施的;
(二)煽动颠覆国家政权、推翻社会主义制度的;
(三)煽动分裂国家、破坏国家统一的;
(四)煽动民族仇恨、民族歧视,破坏民族团结的;
(五)捏造或者歪曲事实,散布谣言,扰乱社会秩序的;
(六)宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪的;
(七)公然侮辱他人或者捏造事实诽谤他人的,或者进行其他恶意攻击的;
(八)损害国家机关信誉的;
(九)其他违反宪法和法律行政法规的;
(十)进行商业广告行为的。第十二条 帐户密码管理
每个员工拥有一个公司内部域成员帐户,一个电子邮件帐户。新员工申请以上帐户时需要向网络管理员提供中英文姓名,部门,职位等信息,网络管理员将在一天内将帐户信息通知其本人。
(一)说明
所有员工只需设置域帐户的密码,因为电子邮件帐户是通过域帐户认证的;除此之外所有员工必须在所使用的计算机中设置开机密码和屏幕保护密码。
(二)设定
一些新且复杂的计算机密码破解工具已经出现,这将会对公司产生一系列危险。为了保护公司的信息资产,对于密码新的更复杂的要求正在产生。这会使我们的帐户更难以被破解。
(三)更改
A.建议每90天更改一次密码。
B.不要使用已用过的旧密码。
C.同时更改你所有的密码。
D.如果愿意,你可以为所有系统设置相同的密码,但此密码必须十分可靠。
(四)注意
A.密码中大小写字母意义不同,例如”pass#%word”不同于”Pass#%WoRd”。
B.不要把密码写下来。
C.不要把密码告诉任何人。
第十三条 电子邮件管理
(一)说明
公司提供的电子邮件只是用于与公司业务有关的方面。禁止传播任何不合适的笑话,幸运链信件或攻击性言论,否则公司将给予纪律处分。发送与公司业务无关的内容也是一种错误使用公司资源的行为。
(二)规定
A.每个电子邮件信箱不得超过200M。
B.单封电子邮件不得超过10MB。
C.请所有员工自觉备份自己邮箱的邮件,每天及时收电子邮件,网络管理员会不定期的按照以下规则清理信箱系统,以保证公司电子邮件系统不会过载。
D.删除超过三个月的邮件。
F.删除容量接近临界空间的邮件。
电子邮件,附件和其它文件夹项目应该服从存档的要求和规定,即它们只能保留到与内容有关的公司业务结束的时候。为了帮助满足这些要求以及增强对公司计算机消息系统的支持,员工必须定时将信箱各部分按以下规则存档:
A.发件箱 30天
B.收件箱 30天
C.已发邮件 30天
D.草稿 15天
E.垃圾邮件 15天
F.已删除邮件 15天 严格遵循这些存档规则可以改善公司电子邮件系统的稳定性,并且减少对于系统维护的开销。
个人文件夹是存放在个人计算机的本地硬盘上的,所以不需存档。
第四章 附则
第十四条 任何使用本公司计算机网络的人员必须遵循此制度。
第十五条 本公司计算机网络管理员:
第十六条 网络管理员的职责
A、制定网络建设及网络发展规划,确定网络安全及资源共享策略。
B、负责公用网络实体,如服务器、交换机、集线器、防火墙、网关、配线架、网线、接插件等的维护和管理。
C、负责服务器和系统软件的安装、维护、调整及更新。
D、负责网络账号、邮件管理、资源分配、数据安全和系统安全。
E、监视网络运行,调整网络参数,调度网络资源,保持网络安全、稳定、畅通。F、负责系统备份和网络数据备份;负责各部门电子数据资料的整理和归档。G、保管网络拓扑图、网络接线表、设备规格及配置单、网络管理记录、网络运行记录、网络检修记录等网络资料。
H、每天对机房进行巡检,定期对本公司网络的效能和各电脑性能进行评价,提出网络结构、网络技术和网络管理的改进措施。
I、应不定期的查看网络系统,监视和分析系统的运行情况,确保计算机系统网络的正常运行。
J、中心管理的所有服务器、交换机、路由器的用户名和密码口令为绝密资料,由网络管理员负责,必须妥善保管,不得泄漏内容。
第十七条 本制度由XX科技有限公司负责解释
第十八条 本制度自公布之日起执行
二○○九年七月二十一日
拟
稿:
审 核:
签 发: 发送部门:公司各部门 呈报部门:总经理室
点击咨询 