公司网络及信息安全管理

现状及建议

目录

一、网络环境及设备介绍 3

1、网络拓扑介绍。 3

1.1、拓扑说明： 3

2、主要设备介绍。 4

2.1、网络设备 4

2.2、服务器设备 4

二、上网管控策略 5

三、主要应用系统介绍 6

1、云之家办公OA 6

2、K3系统 6

3、邮件系统 7

4、备份服务器及文件共享 8

5、SVN研发数据服务器 8

四、网络及信息安全管理面临问题 8

1、桌面终端安全管理不到位。 8

2、网络设备老化、设备资源不足 9

附录、公司IT运维相关费用 10

一、网络环境及设备介绍

1、网络拓扑介绍。

1.1、拓扑说明：

公司唯一互联网出入口——中国电信IPCW专网，总带宽30M（上下行对等）。配有5个公网IP地址，用于公司邮件系统及互联网应用。

穗花——赤岗生产基地互联专线——为中国联通30M点对点传输专线，赤岗分部全部联网应用及互联网应用均通过此专线实现。

固话业务——为中国联通。穗花，赤岗两个分部可实现内部短号互打，总固话号码约400个。

集团新OAK专线——由网络公司（原集团属于兄弟公司）提供服务，用于科技公司到集团、市局的联网应用。

2、主要设备介绍。

2.1、网络设备

可网管型网络交换机——18台，其中3560系列2台，2960系列16台，大部分使用年限已超过10年。。

互联网边界防火墙——1台，型号为天融信NGFW4000-UF，2015年投入使用。

上网行为管理终端AC。——1台，型号为深信服，2014年投入使用。

2.2、服务器设备

UPS持续供电系统——型号，山特10KVM，2006年投入使用，期间更换过一次电池，但总体后续供电能力不足。仅能满足紧急关机时长。

HP DL 380 G7——4台，2014年投入使用。分别用于公司邮件系统、SVN服务器、研发中心测试服务器、研发中心开发及数据库服务器。

HP DL 380 G5——2台，2013年投入使用。分别为公司K3系统服务器备机、及财务部数据服务器。

IBM X3650——1台，2016年投入使用，公司K3系统服务器。

二、上网管控策略

1、互联网访问及上网管控方面，通过天融信边界防火墙与深信服上网管理终端（AC）的配套使用实现全面管控。员工电脑实名登记并分配IP地址，启用IP-MAC地址绑定功能。设备具有自动收集保存微机上网行为数据功能，记录数可保存三个月以上。

2、上网流量控制方面，设备基于多种应用的特征码，对大流量应用如BT下载、流媒体等进行分类限速。

3、对88.128.141.0/24内网网段用户，实行白名单策略，白名单以外的互联网应用被禁止访问；同时内网用户（我司目前共有27个用户开通内网接入权限），全部执行入域操作，实现集团自动推送重要补丁及病毒查杀功能。

4、内网网段用户，白名单列表有：

http://www.mailkge.com/ (公司邮件系统应用)

https://www.yunzhijia.com/ （公司云之家办公OA）

5、非141内网网段用户（外网），经过实名登记并IP-MAC绑定后，视需要开通访问互联网权限；同时，通过在核心交换的上联端口启用Trunk allowed过滤特性，实现外网网段流量与141网段逻辑上的绝对隔离，外网流量无法访问集团任何网络。

6、通过使用ACL访问控制列表，实现非141内网网段与141内网网段流量的应用层过滤；并同时实现对141网段内特定IP（共27个IP）访问集团网络的目的。事实证明，此种方式的阻断与防火墙的隔离技术相比，存在一定的风险性。

三、主要应用系统介绍

1、云之家办公OA

云之家办公OA（https://www.yunzhijia.com）于2017年8月上线，最初由原项目管理中心运维，于2018年6月1日移交综合部运维，期间经历过一次较大的部门架构调整。云之家主要功能介绍：

自有功能

员工签到、请休假、会议室预订、免费云之家电话、公告、实时聊天、员工通信录、企业邮件绑定收发、同事圈（话题、新闻动态等）

智能审批

云之家支持根据公司实际需求定制适合公司的各类审批流程，目前已经投入运行的智能审批流程有：

零散采购审批、非工作日费用事前申请；

已有企业开票代码的开票单、未有企业开票代码的开票单；

特殊情况用车申请审批（非工作日用车）、用车申请审批、请/休假申请；

工作借支（对公）、员工借支；

信息协同单；

运维难度及复杂性评级：★★★

主要工作量：流程监控、智能审批流程设计、流程调整

2、K3系统

K3系统（192.168.100.168）于2010年由旧版金蝶财务系统升级而来，K3/ERP制造系统包括销售管理系统、计划管理系统、采购管理系统、车间管理系统、仓存管理系统（包括E－仓存系统）、存货核算系统、成本管理系统和集团分销系统等共八个子系统，跟踪企业（包括集团内部的）从销售计划到成本分析的生产经营全过程，综合反映企业日常生产经营活动存货、价值流转的物流和资金流循环流动轨迹，累积企业管理决策所需要的管理和控制信息，帮助企业将生产经营过程运作升华为完善的“数据→信息→决策→控制→考核”流程的全面企业管理。

当前系统版本为金蝶K3/ERP V12.0精益版，系统当前已退出金蝶生命周期，但并不影响继续使用，由于系统存在较多问题，当前由第三方实施机构——新赛公司帮助我司对K3系统进行优化改造工作。

该系统的ERP管理员由综合部承担

运维难度及复杂性评级：★★★★★

主要工作量：ERP管理员需对此系统保持高密度高强度运维，例如：角色维护、系统日志管理、用户权限管理、基础数据配置维护、服务器底层、中间层及数据管控、数据库管理及备份监控。

3、邮件系统

公司邮件系统（192.168.120.188）于2009年12月上线运行，系统版本为magic mail 3.0，通过外购形式购入，整套系统部署在穗花二楼机房物理服务器上。基于RedHat 5操作系统，为公司主要办公业务系统之一，并可与外界邮件系统互通。

运维难度及复杂性评级：★★★★

主要工作量：邮件病毒防范、邮件系统实时监控、反垃圾邮件处理、互联网恶意攻击防范、邮件数据管理。

4、备份服务器及文件共享

备份服务器（192.168.100.158）主要用于对公司邮件系统、SVN、K3系统等重要业务系统进行数据备份。该系统服务器使用symantec backup 专业备份软件备份数据，并同时提供文件共享服务（\\192.168.100.158）。

运维难度及复杂性评级：★★★

主要工作量：数据备份、备份计划执行情况跟踪、文件服务器的日常管理、病毒防范。

5、SVN研发数据服务器

SVN服务器（192.168.100.60）为研发中心、配用电、综合能源部门的研发代码服务器，部署有SVN、redmine、VSS文件服务，为公司最重要数据服务器之一。

运维难度及复杂性评级：★★★

主要工作量：SVN权限分配管理、用户权限维护、数据磁盘日常监控管理、病毒防范、操作系统运维管理、此系统数据非常重要，需高密码运维。

四、网络及信息安全管理面临问题

1、桌面终端安全管理不到位。

我司现在在职人员约250人，设穗花、赤岗两个办公点，桌面终端登记的IP总量约250台。在应用系统方面，归口综合部管理的公司级应用系统有4套。

根据南投集团科技信息部系统管理人员150：1的配置标准，当前公司仅配有1名网络信息安全管理人员，加上公司级应用系统、上网安全设备、网管型交换机、边界防火墙的管理等工作，网络及信息安全管理人员身兼应用系统运维、网络安全运维、桌面终端运维等重任，长期处于高压状态，在运维中表现出应接不暇、顾此失彼的状态。其中表现最直接的就是员工桌面终端的安全管理不到位，部分桌面终端完全由员工自行安装操作系统，导致多项安全措施落实不到位。

针对以上，经过综合分析，给出以下两个建议：

建议一：公司多配置一名系统维护人员，主要负责员工桌面终端的管理工作；

建议二：通过外包服务方式，与服务商签署IT外包服务协议；

首选服务商：科腾公司

理由是科腾公司为集团属下，系统内兄弟公司，安全可靠度较高。但收费标准偏高，按每周总计两天/人次（赤岗、穗花每周各1人/次）驻点服务的收费标准，预计需8万元/年。按每周全职驻点服

其他服务商：第三方服务商

相比科腾公司，其收费优惠，相同的服务内空，预计需5万元/年。但由于各方面资质较低的小型服务机构，在安全性、可靠性方面可能存隐患。应慎重选择。

2、网络设备老化、设备资源不足

公司有可网管型主干网络交换机18台，但其使用年限大部分均已超过10年，从网络设备5年设计使用寿命而言，这些设备因年限过大，损坏的风险性高。

当前新形势下，网络信息安全变得尤为重要，据了解网络信息安全管理占公司整个安全生产总分的30分。根据南投集团科技信息部的建议，各业务公司应在南投集团专线出入口部署物理防火墙，以提高集团网、市局网络应用的管控性及安全性。但当前我司仅有一台部署于互联网边界的物理防火墙；集团专线直接接入到公司核心交换机，通过网络交换机的ACL、Trunk等特性来实现集团、市局网络访问管理。相比于物理防火墙而言，这种技术特点存在一定的落后性，对网络隔离管理不够严密精准。

针对以上，在老化设备应对方面，建议每年预设5-10万元预算，用于对公司网络设备、安全设备的更新换代；

建议增加预算，加购一台物理防火墙(预计需10-15万元)，部署于集团专线出入口。

附录、公司IT运维相关费用

主要费用开支一览表