公司网络整改 方案(精选8篇)
由于公司最初设计的上网安全管理有漏洞,现做以下整改:
1、装好网络防火墙及带有审计特色的相关软件和硬件,做好网络安全防护,定期检查是否有安全隐患。同时做好内部网络数据安全的管理。
2、公司网络管理者,拥有所有权限,用于检查网络运行情况,查看所有数据,控制网络内所有计算机软硬件的安装和卸载等。
3、对于有上互联网需求的电脑以及相关人员,我们要根据“谁使用谁负责”的原则来控制单位电脑上互联网的数量并签订责任状。一定要按照公安部门的要求做好网络安全管理工作。
4、加强宣传教育,强化网络安全意识。定期向单位员工发布国家网络安全管理的有关政策、法规,加强宣传力度,增强员工的网络安全意识,提高做好网络安全工作的主动性和自觉性。
5、此整改方案已报公司领导审批通过。
今后将继续努力,巩固工作成果,积极探索研究新时期网络信息安全管理工作的新情况、新问题,力争网络信息安全工作再上新台阶。
明珠网络有限公司是一家专业从事网络、存储产品代理销售和信息项目整体方案解决的国家二级系统集成商,公司地址在广州,随着办公信息化、自动化的需求,各部门间为提高办公效率,促进信息交流,适应现代化办公的要求,需要组建一个完善的企业办公局域网。
2 需求概况
2.1 公司组织结构和管理模式及相关业务概况
公司组织结构如下:
1)财务部
2)工程部
3)销售部
4)行政部
5)人事部
6)董事会
2.2 网络系统的整体规划
2.2.1 网络规模
建设适合大中企业的互连接入网络。
1)需要CISCO 6509交换机1台、二层交换机7台、服务器6台、客户机60台、1块FWSM防火墙模块、1块VPN模块等。
2)公司所有员工通过6509交换机能接入并访问互联网。
3)公司的计算机以部门为单位实现隔离。
4)公司出差员工通过VPN访问公司内部网络。
5)公司构建FTP、DHCP、WEB、DNS、BBS、E—MAIL、财务管理系统、人事管理系统、视频会议等服务器。
2.2.2 网络设备
设备选型应满足以下几个条件:
1)设备满足未来3~5年用户需求的变化。
2)由国内外知名厂商生产,技术指标先进,采用模块化设计结构。
3)综合考虑用户需求并符合经济性、适用性原则。
4)至少支持100Mbps以太网端口。
5)网络系统的总存储量、各客户机的存储量以及相应内存容量等应考虑一定的冗余度。
2.3 系统需求概况
2.3.1 系统管理
互联网系统是公司跟外界的一条重要信息交互通道,要求具有快速高效以及运行稳定的特点,同时,要对员工用户帐户进行相应的控制和管理,并提供完善的日志功能。
1)用户安全、帐户管理
2)用户权限管理
3)网络访问控制
4)事件日志
2.3.2 相关系统软件及应用软件的选择原则
1)主流操作系统:Red Hat Enterprise Linux 5和Windows Server 2003。
2)使用Windows Server 2003构建以下服务:WEB、FTP、邮件服务器、财务管理系统、人事管理系统、视频会议等服务器。
3)使用Linux构建以下服务:BBS、DNS、DHCP等。
2.3.3 工程投资
表1是部分硬件及软件产品的清单和报价。
3 项目设计原则
根据本网络系统的特点和用户要求,我们的设计原则是:
1)可靠性──系统具备网络诊断、测试和在线故障恢复能力,关键设备、线路能做到实时备份和自动故障切换。
合计:222500元人民币
2)标准化──网络技术发展迅速,不能盲目求新,必须以符合国际标准为准则,选择技术已经成熟、标准化的产品,这是保护投资、易于维护的基础。
3)扩展能力──充分考虑到目前的业务需求和今后长时间内业务发展的需要,系统可方便地实现升级。当将来采用新技术(如ATM)时原有设备能继续使用,只需增加有限的模块和设备,保护原来的投资。而且,中国港湾建设总公司有些业务部门应用系统的研制开发,可能会安排在本系统之后,将来随着业务的发展,还可能有新的业务部门出现,本系统应该能够适应和容纳这种变化。
4)开放性──网络体系结构与系统应用各自独立,与服务器、工作站的操作模式无关,支持各种通讯协议,各种数据库和客户机/服务器以及Internet/Intranet的应用,并能方便地和其它机构、企业的主机和网络互连通讯。
5)灵活性──拓扑结构必须灵活,便于进行网络的管理和调整。
6)可维护性──网络系统便于管理和维护,配置功能强大的网络管理系统,实现集中维护和检测。
7)严密的安全控制和保密性能──系统提供必要的安全保护手段,防止由于操作人员的失误以及系统的意外故障而造成数据丢失或破坏;同时能防止系统外部的侵入和操作人员的非法操作,系统的信息安全性要求达到C2级标准。
8)经济性──一次性投资,长年受益,维护费用低,使整体性价比达到最优。
9)先进性──支持任务优先级的划分,具有适当的多媒体应用支持。
10)工程建设按照相关国家标准实施。
4 项目设计方案
4.1 网络拓扑图
系统网络拓扑图如图1所示。
4.2 项目设计方案具体描述
网络的主要结构是以一台CISCO W-C6509-E的高端交换机为核心,安装在办公楼的主机房,为了保证系统的高可靠性,我们采用主交换机机箱冗余电源,避免了电源单点故障造成的系统瘫痪,因为电源模块故障是设备故障发生率最高的部分。6509具有9个模块插槽,其中1个槽用来插千兆引擎模块(WS-X6K-SUP1A-MSFC),用来管理整个交换机,并作数据包的路由和转发,该模块可以实现冗余热备份(支持HSRP),实现系统更高的可靠性。1个槽用来插12口千兆以太网模块,用于连接各个部门交换机。1个槽用来插防火墙模块,用来保证整个网络的安全性。1个槽用来插IP安全(IPSec)VPN模块,便于外出办公人员远程访问公司内部网络。同时,为了部门与部门之间的安全考虑,在6509上划分若干个VLAN,如服务器群、行政部门、工程部门、财务部等各划一个VLAN。同时,管理员组直接连接到6509上,这样可以很方便得对网络进行管理。6509机箱上的其余插槽用于将来网络扩展。Catalyst6509交换机具有背板带宽高(32G,6500系列可扩至256G)、高速三层交换(15M,6500系列可扩至150M)、端口密度大(130个千兆端口)、扩展能力强等优势。
在其他各个联网部门,我们采用6台Cisco WS-C2960-24TT-L交换机和1台Cisco Catalyst 2960G-24TC交换机作为交换机平台,Cisco WS-C2960-24TT-L交换机有24个10/100以太网端口和2个10/100/1000固定以太网上行链路端口;1机架单元(RU)。Cisco Catalyst 2960G-24TC有20个10/100/1000以太网端口,其中4个为双介质端口;可以完全满足该网络的要求,是典型的高性能桌面交换解决方案。
为了防止网络中的大量广播信息包产生广播风暴,同时也为了系统管理的需求,我们根据需要对核心交换机划分若干VLAN,制定交换机的各个端口属于那些VLAN,然后根据需要制定相应的VLAN之间的路由策略,在CISCO 6509的MSM上配置路由,既要满足性能的要求,又要满足安全性的要求。
网络的对外出口(Internet)接入设备采用Cisco 6509路由器模块,用1个以太端口用来连接6509外网段(Internet网段),另外申请了两个公网IP地址,一个用于内部PC客户端访问Internet。一个用于外部网络访问内部服务器。
由于各部门的距离不远,所以各交换机之间我们采用了千兆以太网相连,各PC客户端通过百兆以太网接入二层交换机(服务器使用了千兆以太网接入)。在6509上有一个光纤接口模块,我们通过光纤接口用光纤连接到Internet,并申请了10M的带宽,满足了公司日常业务的进行。
4.3 局域网主要技术分析
1)千兆以太网技术
千兆以太网构筑于以太网协议之上,但是其速度比快速以太网增加10倍,达到1000Mbps或1Gbps。该协议在1998年6月实现标准化,有可能成为高速局域网主干和服务器连接领域的一种主要协议。千兆以太网和普通以太网从数据链路层以上是相同的,它通过将IEEE802.3以太网和ANSI X3T11光纤信道技术结合起来,使速率增加到1Gbps。千兆以太网标准利用了现有光纤信道的高速物理层接口技术的优点。
2)VLAN技术
基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、带宽问题。传统的共享介质的以太网和交换式的以太网中,所有的用户在同一个广播域中,会引起网络性能的下降,浪费可贵的带宽;而且对广播风暴的控制和网络安全只能在第三层的路由器上实现。VLAN还能减少因网络成员变化所带来的开销。在添加、删除和移动网络成员时,不用重新布线,也不用直接对成员进行配置。
3)第三层交换技术
三层交换技术的出现,解决了局域网中网段划分之后网段中的子网必须依赖路由器进行管理的局面,解决了传统路由器低速、复杂所造成的网络瓶颈问题。第三层交换技术的实现可以分成两类:一类可以归结为“一次路由,多次交换”,这类技术的实现占大多数;另一类是基于高性能硬件的线速路由器。一个具有三层交换功能的设备,是一个带有第三层路由功能的第二层交换机,但它是两者的有机结合,而不是简单地把路由器设备的硬件及软件叠加在局域网交换机上。
4.4 服务器架设方案
1)服务器选型方案
公司内部所有服务器均使用了IBM System X3400(7976I15),该款服务器标配一颗Intel Xeon DP E5420处理器,核心频率为2.5G,12MB二级缓存,支持英特尔64位内存扩展技术;ATI RN50 16MB的显示芯片。标配2条2×1G PC2-5300 DDR2 SDRAM(Chipkill)全缓冲内存,最大支持内存容量为32GB。这里建议用户加配1GB内存,以保持每颗处理器核心能够独享1GB内存,保证了服务器的运行速度。
存储方面,服务器集成了ATA控制器,标配146G SAS HDD硬盘,最大支持1TB容量的SATA硬盘。集成RAID 0、1、10,可选的阵列卡支持到RAID 5模式,此外还有6个扩展插槽。接口有2个串口、2个USB 2.0(后面)、2个USB 2.0(前面)、1个并口、1个千兆以太网接口(RJ-45)、1个系统管理接口(RJ-45)、还有三个冷却风扇。外设方面,IBM System x3400带有一个CD-ROM光驱,并且集成了千兆以太网接口。IBM System X3400服务器仅万元的售价使其具备了显著的价格优势,5U塔式结构尽管占用托管空间较大,却带来了无与伦比的可扩展性。
2)服务器主要技术分析
为了满足公司日常的需要,在这里我们为公司架设了各类服务器,有FTP服务器、WEB服务器、BBS服务器、DHCP服务器、DNS服务器、邮件服务器等等。接下来我们会简单得进行介绍。
(1)DNS服务器技术
DNS(Domain Name System,域名系统)为Internet上的计算机提供名称(如“www.dzz.com”的域名)到地址(如“192.168.6.2”的IP地址)的映射服务,以用于域名解析。
(2)HCP服务器技术
DHCP,即动态主机分配协议(Dynamic Host Configuration Protocol,DHCP)从原有的BootP协议发展而来,用于对多个客户计算机集中分配IP地址以及IP地址相关的信息的协议,这样就能将IP地址和TCP/IP的设置统一管理起来,而避免不必要的地址冲突,节省了网络管理员手工设置和分配地址的麻烦。
(3)Web服务器技术
Web服务(Web Service)是基于XML和HTTPS的一种服务,其通信协议主要基于SOAP,服务的描述通过WSDL,通过UDDI来发现和获得服务的元数据。WEB服务器也称为WWW(WORLD WIDE WEB)服务器,主要功能是提供网上信息浏览服务。
IBM WebSphere:WebSphere Application Server是一种功能完善、开放的Web应用程序服务器,是IBM电子商务计划的核心部分,它是基于Java的应用环境,用于建立、部署和管理Internet和Intranet Web应用程序。这一整套产品进行了扩展,以适应Web应用程序服务器的需要,范围从简单到高级直到企业级。
BEA WebLogic:BEA WebLogic Server是一种多功能、基于标准的web应用服务器,为企业构建自己的应用提供了坚实的基础。各种应用开发、部署所有关键性的任务,无论是集成各种系统和数据库,还是提交服务、跨Internet协作,起始点都是BEA Web Logic Server。由于它具有全面的功能、对开放标准的遵从性、多层架构、支持基于组件的开发,基于Internet的企业都选择它来开发、部署最佳的应用。
APACHE:apache仍然是世界上用的最多的Web服务器,市场占有率达60%左右。它源于NCSAhttpd服务器,当NCSA WWW服务器项目停止后,那些使用NCSA WWW服务器的人们开始交换用于此服务器的补丁,这也是apache名称的由来(pache补丁)。世界上很多著名的网站都是Apache的产物,它的成功之处主要在于它的源代码开放、有一支开放的开发队伍、支持跨平台的应用(可以运行在几乎所有的Unix、Windows、Linux系统平台上)以及它的可移植性等方面。
(4)FTP服务器技术
FTP(File Transfer Protocol),是文件传输协议的简称。用于Internet上的控制文件的双向传输。同时,它也是一个应用程序(Application)。用户可以通过它把自己的PC机与世界各地所有运行FTP协议的服务器相连,访问服务器上的大量程序和信息。FTP的主要作用,就是让用户连接上一个远程计算机(这些计算机上运行着FTP服务器程序)察看远程计算机有哪些文件,然后把文件从远程计算机上拷到本地计算机,或把本地计算机的文件送到远程计算机去。
(5)邮件服务器
电子邮件是因特网上最为流行的应用之一。如同邮递员分发投递传统邮件一样,电子邮件也是异步的,也就是说人们是在方便的时候发送和阅读邮件的,无须预先与别人协同。与传统邮件不同的是,电子邮件既迅速,又易于分发,而且成本低廉。
(6)BBS服务器技术
在搭建BBS服务器时,我们使用的软件是Discuz!,他是康盛创想(北京)科技有限公司(英文简称Comsenz)推出的一套通用的社区论坛软件系统,用户可以在不需要任何编程的基础上,通过简单的设置和安装,在互联网上搭建起具备完善功能、很强负载能力和可高度定制的论坛服务。Discuz!的基础架构采用世界上最流行的web编程组合PHP+MySQL实现,是一个经过完善设计,适用于各种服务器环境的高效论坛系统解决方案。
4.5 网络管理方案
在本方案中,我们选择了Cisco公司的CiscoWorks2000来管理整个公司的网络。
1)CiscoWorks2000功能介绍:
Cisco公司的CiscoWorks2000是专门为中小企业设计的管理软件。CiscoWorks2000作为全面的网络管理软件,基于SNMP业界标准,利用业界领先的Cisco IOS软件的强大嵌入式特性,在不同的异构型网络内提供全面的Cisco解决方案管理。
CiscoWorks2000系列产品的特点:
1)支持以太网和快速以太网,灵活方便,可适应大多数企业的要求。
2)安装、配置和管理简单方便,支持CiscoWorks和Cisco View等网络管理软件。
3)支持硬件加密卡,完成数据加密时,不影响路由性能。
4)保护用户的投资。
5)模块化的体系结构,具有良好的可扩展性。
6)保证各种服务的传输质量。
7)支持语音、数据和传真的集成,节省长途电信费用,促进新的应用产生。
4.6 网络安全策略
对于一个新建网络系统,我们通过了以下途径来实现网络安全:
(1)划分多个VLAN
在本网络系统中,为了保证整个网络系统的安全性,实现各个部门的隔离,我们运用了VLAN技术。即在核心交换机上将属于以上几个子系统的计算机分别划分到不同的VLAN中去。
(2)ACL
访问控制列表(ACL)可以根据用户自身的特征来确定用户对各种资源的访问权限,控制用户对系统资源的范文,维护系统的机密性、完整性和可用性。在Cisco IOS中,访问控制表还可以进一步提供更详细的安全策略控制。比如:基于物理端口、MAC地址、特定应用和数据类型的过滤控制。
(3)防火墙
防火墙是一种网络级的访问控制技术,它通过在内部网与外部网(公共网)之间设立一道屏障,控制进出的交通,达到保护内部网络资源的目的。
服务器是网络系统核心,服务器故障意味着整个网络的瘫痪,对于实时性要求很强的网络而言,这种事故造成的损失将是不可估量的,因此要求服务器有以下功能:
1)完善的容错能力:在电源、硬盘、阵列卡、内存保护、CPU电源模块、PCI总线上实现在线冗余。
2)带电热插拔技术:保证易损部件的更换与维护不影响系统的运行。
3)智能I/O技术:对重负荷的I/O卡,如1000M网卡、高速硬盘卡,采用按最新I20规范设计的智能通道卡,减轻主CPU的压力,优化总线传输,增加I/O吞吐能力。
4)良好的扩充性:保证在应用增加时只需扩充服务器计算能力与存储能力便可保证应用的升级,而勿需再增加服务器。
(4)双机热备技术
双机热备包括广义与狭义两种。
从广义上讲,就是对于重要的服务,使用两台服务器,互相备份,共同执行同一服务。当一台服务器出现故障时,可以由另一台服务器承担服务任务,从而在不需要人工干预的情况下,自动保证系统能持续提供服务。
从狭义上讲,双机热备特指基于active/standby方式的服务器热备。服务器数据包括数据库数据同时往两台或多台服务器写,或者使用一个共享的存储设备。在同一时间内只有一台服务器运行。当其中运行着的一台服务器出现故障无法启动时,另一台备份服务器会通过软件诊测(一般是通过心跳诊断)将standby机器激活,保证应用在短时间内完全恢复正常使用。
(5)防病毒技术
(a)对公司网络中PC机的病毒防护
个人PC机位于企业防毒体系中的最底层,对企业计算机用户来说,也是最后的一道防线。考虑到网络中PC机的数量问题,为了很块得实施防病毒策略,日后的维护和更新工作,我们使用了趋势推出了Office Scan企业授权版,它们具有如下特点:
1)通过服务器自动分发客户端工作站防毒软件,大大简化了安装过程。
2)自动识别客户机操作系统并下载和安装相应的防毒程序,支持多种作业平台的工作站。
3)通过服务器设置统一的防毒策略,获取完整的病毒活动报表,实施集中的病毒码和程序更新。
4)设有密码保护功能,防止企业内用户随意卸载病毒监控程序,从而形成企业网络的病毒“后门”。
5)储存所有工作站硬盘引导区记录,以备工作站引导区遭受病毒破坏后的紧急救援。
(b)对公司网络中服务器的病毒防护
服务器是网络的核心,在日常的使用中,它会遭受大量引导型病毒、DOS病毒以及宏病毒等的攻击,更为常见的是,由于文件服务器为网络中所有的工作站提供文件资源共享,所以很可能会成为病毒的隐身寄居场所,进而将病毒扩展到网络所有机器上。为此,我们使用了趋势科技的LDVP(LANDesk Virus Protect)。
作为防毒体系结构中的服务器端产品,ServerProtect的实时病毒监控功能,远程安装、远程调用功能,病毒码自动更新功能以及病毒活动日志、多种报警通知方式等,为企业内文件服务器的病毒防护提供了最大便利和效能。
(c)邮件服务器的病毒防护
随着企业内部电子邮件应用日益普及,病毒入侵的管道又增加了一个。所以,病毒完全可以利用电子邮件来进行传播。所以我们不得不重视对邮件服务器的病毒防护。除了对公司所有员工进行安全培训之外,我们还使用了趋势科技的ScanMail系列防病毒产品,使网络防毒体系结构中又增加了一道关卡,确保其安全。
5 本方案特点
(1)高带宽、高性能
在本方案中,核心层使用了高端的三层交换机,实现了快速转发,主干交换为1000M、100M交换到桌面,并且采用了快速/千兆以太网通道,使网络带宽的100M/1G之间自由选择。
(2)可靠性高
充分考虑到系统对可靠性的要求,整个网络系统设计时,核心设备、重要模块、电源、线路等均采用了冗余设计,这些均为消除系统单点故障提供了可能性。
(3)网络更安全
整个网络应用了各种安全策略,安装了各种安全软件,使网络更加安全、可靠。
(4)可管理
所选用的各种网络设备,包括CISCO 6509、CISCO 2960等均支持SNMP简单网络管理,可通过Cisco公司的网管软件CiscoWorks对网络设备实现动态管理和配置。
(5)灵活性高、可扩展性
核心交换机预留了一部分插槽,等到有新的系统需要加入网络中时,可以增加相应的模块,直接和核心交换机连接。CISCO6509具有9个插槽,能灵活得配置模块来满足各种不同的需求,无需对网络拓扑做任何改动。
(6)先进性
CISCO公司是网络界的龙头老大,其产品覆盖了最新的各种档次的交换机和路由器。本方案选用的产品都是属于CISCO功能完善和强大的产品。而本方案中所使用的容错和冗余技术也是一种先进和有效的技术,可以满足网络的日常应用。
6 项目进度安排
根据该公司网络的具体要求和特点,将工程项目实现分为四个阶段:
第一阶段:工程设计和准备阶段---5天;
第二阶段:网络设备安装、调试阶段---25天;
第三阶段:网络测试、验收---5天;
第四阶段:网络正常投入使用。
7 系统测试和验收
1)测试验收内容
连通性测试
网络功能测试
2)测试验收步骤
测试验收工作主要包括如下几方面:
(1)测试验收方案的设计
测试验收方案由工程项目设计工作组在总体方案设计和项目实施方案设计时设计制定,必须得到双方的认可,并经审核后方为有效。
(2)项目测试验收
双方在项目实施的第三阶段(项目测试验收阶段),严格按照测试验收方案进行整体测试和验收工作,包括编制测试验收方案,进行测试和验收以及提交测试和验收报告等。
(3)提交测试和验收报告
项目测试和验收完成后,编制项目测试和验收报告,提交给甲方审核。
8 技术支持与培训
1)技术支持
卖方应向购买方提供足够的技术支持和培训课程,保证系统运行后的正常运转。提供24小时的热线支持,保障系统正常运行,在系统发生重大故障时,卖方技术人员应在24小时内到达事故现场。
2)设备保修
网络产品:高端(6509)保修三年;低端(PIX/3500/2600等)保修一年;
服务器:保修三年;
外设及其他:保修一年。
3)相关培训
为保证本项目的顺利实施,以及在项目建设结束后,能使网络系统充分发挥其作用,需要对用户技术人员进行有关内容的培训。
(1)售前培训
时间:5天;
地点:由我方按照实际情况安排;
内容:Cisco交换机/路由器原理及配置;
IBM System X3400系列服务器培训。
(2)现场培训
时间:与工程实施进度同步;
地点:用户施工现场;
内容:Cisco交换机/路由器软硬件配置;
IBM System X3400系列服务器培训。
摘要:该论文首先就明珠公司网设计建设的相关知识技术要求作了必要的介绍,然后基于工程建设实际,重点就综合设计实施方案的主干网组网技术、网拓朴结构、协议标准、网络系统平台等多方面展开论述,并给出具体的实施方案和设备选型。经使用验证,具有良好的可靠性、可扩展性、经济实用性。
关键词:设计目标,原则,需求分析,设计实施方案
参考文献
[1]清华万博.LINUX服务器操作系统[M].北京:清华万博,2006:222.
[2]鸟哥.鸟哥的LINUX私房菜-服务器架设篇[M].北京:机械工业出版社,2008:661.
[3]周国添.LINUX系统高级管理员实训手册[M].广州:广东省新闻出版社,2006:153.
1958年9月,《北京市总体规划说明(草稿)》有这样的表述:“故宫要着手改建。”《规划说明》具体提出:“把天安门广场、故宫、中山公园、文化宫、景山、北海、什刹海、积水潭、前三门护城河等地组织起来,拆除部分房屋,扩大绿地面积,使成为市中心的一个大花园,在节日作为百万群众尽情欢乐的地方。”但是“三年困难”迫使这一计划搁浅。
1963年2月,故宫改建计划被再度提起。北京市城市规划设计研究院前副院长董光器在《古都北京五十年演变录》一书中,印出一张1963年的北京城区布局方案图,显示天安门、端门、故宫皆被拆除改建为大型公共建筑,景山下设“主席府”,故宫内建“党中央大楼”。1966年“文化大革命”爆发,中共北京市委被打倒,故宫改建计划被列为中共北京市委要给刘少奇盖宫殿的“罪证”。
紫禁城并未获得安宁。“文革”时期出台的故宫“整改方案”是在太和殿前竖立两座大标语牌,一东一西,高度超过38米高的太和殿,用它压倒“王气”;太和殿宝座要扳倒,加封条;在宝座台上塑持枪农民的像,枪口对准被推翻的皇帝……方案还提出要把一切代表封建意识的宫殿、门额全部拆掉。1967年5月26日,周恩来总理派北京卫戍区一营进驻故宫博物院,实行军事保护,使故宫免遭直接破坏。(本报综合)
一、整改目标
1.对党员中的先进性典型的宣传,要做到党员和群众人人受教育、受激励,真正发挥模范党员的榜样作用。
2.入党积极分子的学习教育要做到制度化、经常化。
3.2021年经营创收不够好的部门,在2022年打开创收新局面。
4.公司党组织机构进一步健全,基层组织建设明显加强。
二、整改措施
1.利用《公司简报》、《公司通讯》大力宣传***等典型的先进事迹,使模范党员的宣传广泛深入,发挥典型示范作用。责任人:**。
2.将入党积极分子纳入到先进性教育的学习活动之中。今后在讲党课等党员教育中吸收入党积极分子参加,并做到制度化。责任人:各党小组负责人(组建新的基层支部后由各支部书记负责)。
3.加强分类指导和重点支持,争取使个别创收效益不够好的部门完成2022年创收计划。时限:12月25日以前。责任人:***。
4.在集团党委及相关部门的支持和帮助下,重点加强新整合的事业中心的基层组织建设。公司成立党总支,在各中心和部门中相应组建基层党支部,从而健全公司的党组织机构,保证党组织各项工作的正常开展。时限:2022年8月末以前。责任人:***。
5.完成**项目建设工作。设备到位后抓紧进行安装调试,并争取在今年7月末实现运行。责任人:***。
一、指导思想
以“三个代表'重要思想为指导,全面贯彻落实科学发展观,坚持以人为本的工作方针,坚持标本兼治,综合治理,以查促纠、以查促建的方针,通过加强教育、完善制度、强化管理、创新机制,切实加强行业作风建设,构建和谐的干群关系,维护人民群众的合法权益,推动公司工作再上新台阶。
二、整改内容
一是公司职工福利待遇较低;二是机关工作人员工作态度较差;三是干部职工岗位责任制方面,存在一些制度落实不到位现象;四是在近期职工休年假方面,存在环节繁琐、流程复杂现象;五是干群之间存在沟通不到位现象;
三、整改措施
(一)福利待遇较低的问题
公司将在下步工作中,节约各项办公经费,集中各项费用解决职工福利较低的问题。如施工用手套由原来的一月2双改为一月3双,逢重大节假日组织员工开展各项文化娱乐活动。
(二)机关工作人员工作态度较差问题
加强素质教育和培训,改变工作思路,完善工作制度,创新工作模式,制定严格的奖罚制度。从思想上树立文明服务的工作目标。
(三)加强岗位责任制落实不到位的问题
严格执行以岗位责任制为中心内容的各项规章制度,认真履行各级各类人员岗位职责,加强制度管理,层层落实责任。各科室具体负责本科室人员的考核,进一步分管经理一中队长一职工的层级管理,做到工作到位,责任到人。
(四)职工休假的问题
严格按照上级文件精神,简化各项审批制度,经调查,对符合休假条件的职工,在不耽误工作的情况下分组分批进行轮休。
(五)干部职工沟通不到位问题
加强干部职工沟通,定期召开群众通报会,遇到重大事件,严格按照“重大事件通告制度”及时进行通知公示,在第一事件让职工群众了解公司各项工作动态及上级党委近期工作目标。
四、整改要求
(一)加强组织领导,落实整改责任
按照整改分工表,各科室及主要负责人要对号入座,同时,按照”谁主管、谁负责'的原则,层层抓落实。在整改中要突出重点,坚持"六不放过'原则,即原因不查清不放过,问题不整改不放过,教训不接受不放过,责任不追究不放过,人员不处理不放过,制度不健全不放过。对查找出来的问题即查即改,边查边改。对一些能够及时解决的问题,切实做到不等、不拖、不推,立即整改;对因合理原因不能解决的问题,做好耐心细致的解释工作,赢得职工的理解和支持。
(二)巩固整改成果,建立长效机制
坚持以发展的眼光巩固评议结果,从实际出发,针对存在的问题,对现有相关规章制度要进行认真梳理,及时进行修订和完善,建立长效机制,防止 政风行
深圳维佳元创科技有限公司 http://
目录
第一章 工程概况说明............................................................2
1、总述........................................................................2
2、建设方案标准................................................................3
3、国内有关标准................................................................3 第二章 机房整改方案...........................................................4
1、现有网络存在的问题..........................................................4
2、网络整改的目标..............................................................4
3、网络整改的原则..............................................................5
4、管理子系统..................................................................5 第三章 机房整治解决方案.........................................................8
第一章 工程概况说明
1、总述
随着互联网应用越来越广泛,网络安全始终是人们需要解决的大 问题,提高互联网用户计算机网络的可靠性和安全性应该成为当务之 急。相关资料显示,美国在网络安全投入方面,占整个网络建设的 15% ~ 20%,而中国还不到 1%。国内网络安全专家尤其提醒政府机关和企业要关注网络安全问题,否则将根本无法保证内网信息安全。如今,我们已越来越发觉,我们必须联接网络,无论是 Internet、www、电子邮件、网上办公等等,“联接”令我们受益匪浅,当你已进入了互联网时代,你将很难再离开网络,但与此同时,我们也正受到日益严重的来自网络的安全威胁,诸如网络的数据窃贼、黑客的侵袭、病毒发布者,甚至系统内部的泄密者。尽管我们正在广泛地使各种复杂的软件技术,如防火墙、代理服 务器、侵袭探测器、通道控制机制,但是由于这些技术都是基于软件 的保护,是一种逻辑机制,这对于逻辑实体(即黑客或内部用户)而 言是可能被操纵的,即由于这些技术的极端复杂性与有限性,这些在线分析技术无法提供某些组织(如军队、军工、政府、金融、研究院、电信以及企业)提出的高度数据安全要求。
国家保密局在 2000 年 1 月 1 日发布并施行了 计算机信息系统国际联网保密管理规定 》,《 规定中第二章第六条明确规定:
“凡是涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相联接,必须实行物理隔离”。
2、建设方案标准
在提出解决方案时我们遵循了以下标准: 国际标准: ANSI/TIA/EIA568A 美国商用建筑综合布线标准
ANSI/TIA/EIA569-A 美国商业建筑布线系统通道,空间标准 TSB-67 UTP布线系统现场测试标准 TSB75 开放办公室布线系统标准 TSB-72 集中式光纤布线系统标准 * ANSI/TIA/EIA 568-A-5 美国增强五类布线系统标准 *EMC 电磁兼容性有关标准
*EN55022 欧洲信息技术设备的无线电干扰特性极限值和测量方法 其它:IEC,CCITT,FCC, ITU-T,CSA, AUSTEL,JIS,UL等
3、国内有关标准
YD/T926.1-1997 大楼通信综合布线系统标准(邮电部行业标准)GB/T 50311-2000《建筑与建筑群综合布线系统工程设计规范》 GB/T 50312-2000 《建筑与建筑群综合布线系统工程施工及验收规范》 YD/T 1013-1999 “综合布线系统电气特性通用测试方法”
第二章 机房整改方案
1、现有网络存在的问题
目前网络线路凌乱、病毒现象严重、权限管理混乱、Internet连接不稳定等,主要总结为以下几个问题: 1.1 网络组成无专用机柜,理线不清;
1.2 线路标示不明确,无线路走向标示图,节点标示不明确; 1.3 与Internet连接无任何安全措施,网络中病毒传播现象严重;使用简易路由器接口,Internet网络经常断线;
1.4 网络中IP地址使用不规范,名字解析失效,无法用计算机名进行内部网络互访;
1.5 Internet访问权限不受控制,BT一类网络下载工具滥用,造成网速慢、不稳定;
1.6 无线路由器存在问题,部分电脑连接无线无法上网。1.7 计算机使用人员无安全意识、无保密意识,没有明确的计算机使用管理规范管理制度。
2、网络整改的目标
综合上述的几点问题,公司网络的整改在现有设备的基础上,采用先进的系统集成技术和管理模式,实现一个高效的办公网络体系。公司内部形成高效、畅通、安全的网络体系,初步实现公文管理、资源共享、打印管理的电子化、网络化。对外连接到Internet,使公司保持
与外界先进事物以及合作伙伴,公司客户的密切联系。
为了保证基本网络的安全性、稳定性,建设一个快速、高效、通畅、安全的公司办公网络,为公司办公自动化作准备,整改后的网络架构必须具备以下几点:
a.实用性,网络系统应实用、满足应用为主,不追求最高、最新; b.安全可靠性,同时考虑应用系统的设计、网络系统的设计、硬件设备的选型配置几个方面,以确保数据的安全;
c.兼容性与可扩展性,要采用成熟的技术,保证当前网络系统可以在广泛的设备上使用,具备更新与升级的能力;
d.经济性,在满足功能与性能的基础上的性能与价格比最优; e.易管理性,随着网络规模和复杂程度的增加,网络系统的管理故障排除将成为较难的事情,针对各种设备都应选用易管理或具备管理功能的。
3、网络整改的原则
本次网络整改必须按照统一规划、着眼未来、注重实效的原则,兼顾先进性和实用性,尽量采用先进的技术以提高系统的效率和可靠性,还要结合公司特点,避免造成不必要的浪费。
4、管理子系统
在布线系统中,网络应用的变化会导致连接点的移动、增加和变化。一旦没有标识或使用了不恰当的标识,都会使最终用户不得不付出更
高的维护费用来解决连接点的管理问题。所以,越来越多的用户都认识到了标识系统对于综合布线的重要性。建立和维护标识系统的工作贯穿于布线的建设、使用及维护过程中。
布线系统中有五个部分需要标识:线缆(电信介质)、通道(走线槽/管)、空间(设备间)、端接硬件(电信介质终端)和接地。五者的标识相互联系,互为补充,而每种标识的方法及使用的材料又各有各的特点。像线缆的标识,要求在线缆的两端都进行标识,严格的话,每隔一段距离都要进行标识,而且要在维修口、接合处、牵引盒处的电缆位置进行标识。空间的标识和接地的标识要求清晰、醒目,让人一眼就能注意到。配线架和面板的标识除应清晰、简洁易懂外,还要美观。从材料上和应用的角度讲,线缆的标识,尤其是跳线的标识要求使用带有透明保护膜(带白色打印区域和透明尾部)的耐磨损、抗拉的标签材料,像乙烯基这种适合于包裹和伸展性的材料最好。这样的话,线缆的弯曲变形以及经常的磨损才不会使标签脱落和字迹模糊不清。另外,套管和热缩套管也是线缆标签的很好选择。面板和配线架的标签要使用连续的标签,材料以聚酯的为好,可以满足外露的要求。由于各厂家的配线架规格不同,有六口的、四口的,所留标识的宽度也不同,所以选择标签时,宽度和高度都要多加注意。4.1标识位置
a)电缆标识—水平和主干子系统电缆在每一端都要标识。
b)跳接面板/110块标识—每一个端接硬件都应该标记一个标识符。
c)插座/面板标识—每一个端接位置都要被标记一个标识符。d)路径标识—路径要在所有位于通信柜、设备间或设备入口的末端进行标识。
e)空间标识—所有的空间都要求被标识。f)结合标识—每一个结合终止出要进行标识。4.2标识类型
粘贴型—粘贴标签应满足UL969中规定的清晰、磨损和附着力的要求。还应满足UL969中规定的室内一般外露使用的要求。插入型—插入标签应满足UL969中规定的清晰、磨损性和一般外露要求。设备外的标签应满足UL969中列出的室内和室外的要求。插入标签根据标记单元,在正常操作和使用情况下应牢固地放置到位。4.3应用上的标识 A、电缆标识
水平和主干子系统电缆在每一端都要标识。推荐用标签贴于电缆的每一端而优于只是给电缆作标志。作为适当的管理,额外的电缆标识可以被要求在中间的位置,像管道的末端,主干的接合处,检修口和牵引盒。
B、跳接面板/110块标识
每一个端接硬件或它的标签都应该标记一个标识符。位于工作区域的连结硬件的重复的标签是可选的。例如,如果一个连接器的标识符被电缆使用的话,那么面板或箱子就不需要用一个分开的标识符。C、出口/面板标识
每一个端接位置标签都要被标记一个标识符。每一个端接位置标签都要被标记一个标识符,但是在高密度的端接位置作标识是不切实际的。在这种情况,标识符将被分配到每一个端接硬件单元和实际的端接位置,这将由硬件单元的习惯用法来决定。在工作区的末端标识也可以包括电缆另一端端接位置的标识符和电缆标识符。D、路径标识
路径要在所有位于通信柜、设备间或设备入口的末端进行标识。另外,在中间位置或是路径平均的分配点上作标识时非常好的。封闭的环形路径(像电缆盘的环形)要在平均间隔上作标识。
第三章 机房整治解决方案
1.XX公司局域网内约有100台左右电脑终端,局域网网络规
一、K公司信息系统现状
(一) 计算机网络
K公司现有计算机500余台, 通过内部网相互连接, 根据公司统一规划, 设置了防火墙。在内部网络中, 各计算机在同一网段, 通过交换机连接。
(二) 应用系统
经过多年的积累, K公司的计算机应用已基本覆盖了经营管理的各个环节, 包括各种应用系统和办公自动化系统。随着计算机网络的进一步完善, 计算机应用也由数据分散的应用模式转变为数据日益集中的模式。
(三) 信息安全现状
为保障计算机网络的安全, K公司实施了计算机网络安全项目, 基于当时对信息安全的认识和安全产品的状况, 信息安全的主要内容是网络安全, 部署了防火墙、防病毒服务器等网络安全产品, 极大地提升了公司计算机网络的安全性, 这些产品在此后防范网络攻击事件、冲击波等网络病毒攻击以及网络和桌面日常保障等方面发挥了很大的作用。
二、风险与需求分析
(一) 风险分析
通过对K公司信息系统现状的分析, 可得出以下结论:一是对计算机应用系统的依赖性增强, 计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大, 网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。二是计算机应用系统涉及越来越多的企业关键数据, 这些数据大多集中在公司总部数据中心, 因此有必要加强各计算机应用系统的用户管理和身份的认证, 加强对数据的备份, 并运用技术手段, 提高数据的机密性、完整性和可用性。
通过对现有的信息安全体系的分析, 也可以看出:随着计算机技术的发展、安全威胁种类的增加, K公司的信息安全无论在总体构成、信息安全产品的功能和性能上都存在一定的缺陷, 具体表现在两个方面:一是安全防护仅限于网络安全, 系统、应用和数据安全存在较大的风险。目前实施的安全方案主要集中于网络安全, 对于系统和应用的安全防范缺乏技术和管理手段。二是原有的网络安全产品在功能和性能上都不能适应新的形势, 存在一定的网络安全隐患, 产品亟待升级。
(二) 需求分析
如前所述, K公司信息系统存在较大的风险, 信息安全的需求主要体现在以下几点。一是息系统不仅需要安全可靠的计算机网络, 也需要做好系统、应用、数据各方面的安全防护。为此, 要加强安全防护的整体布局, 扩大安全防护的覆盖面, 增加新的安全防护手段。二是规模的扩大和复杂性的增加, 以及新的攻击手段的不断出现, 使K公司计算机网络安全面临更大的挑战, 需对原有的产品进行升级或重新部署。三是网络的复杂性对安全管理提出了更高的要求, 为此要加快规章制度和技术规范的建设, 使安全防范的各项工作都能够有序、规范地进行。四是安全防范是一个动态循环的过程, 如何利用专业公司的安全服务, 做好事前、事中和事后的各项防范工作, 应对不断出现的各种安全威胁, 也是K公司面临的重要课题。
三、防病毒技术
对于企业网络及网内大量的计算机, 各种病毒更是防不胜防, 如宏病毒和变形病毒。彻底清除病毒, 必须采用多层的病毒防护体系。企业网络防病毒系统采用多层的病毒防卫体系和层次化的管理结构, 即在企业信息中心设防病毒控制台, 通过该控制台控制各二级网络中各个服务器和工作站的防病毒策略, 监督整个网络系统的防病毒软件配置和运行情况, 并且能够进行相应的调整和管理:在较大的下属子公司设置防病毒服务器, 负责防病毒策略的设置、病毒代码分发等工作。其中信息中心控制台作为中央控制台负责控制各分控制台的防病毒策略, 采集网络中所有客户端防毒软件的运行状态和配置参数, 对客户端实施分组管理等。管理员可以通过管理员客户端远程登录到网络中的所有管理服务器上, 实现对整个网络的管理。根据需要各个管理服务器还可以由专门的区域管理员管理。管理服务器负责收集网络中的客户端的实时信息, 分发管理员制定的防毒安全策略等。
四、防毒墙技术
防毒墙是一种形象的说法, 其实它是一种由计算机硬件和软件的组合, 使互联网与内部网之间建立起一个安全网关 (scurity gateway) , 从而抵御网络外部安全威胁, 保护内部网络免受非法用户的侵入, 它是一个把互联网与内部网 (局域网或城域网) 隔开的屏障, 控制客户机和真实服务器之间的通讯, 主要包括以下几方面的功能:隔离不信任网段间的直接通讯;拒绝非法访问;系统认证;日志功能。
五、入侵检测系统
入侵检测系统 (IDS) 是一种为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术, 是对防火墙的必要补充, 它可以对系统或网络资源进行实时检测, 及时发现恶意入侵者或识别出对计算机的非法访问行为, 并对其进行隔离, 并能收集可以用来诉讼的犯罪证据。
六、性能监控及故障分析
性能监控和故障分析就是利用计算机的网络接口截获目的地址为其他计算机的数据报文的一种技术。该技术被广泛应用于网络维护和管理方面, 它自动接收着来自网络的各种信息, 通过对这些数据的分析, 网络管理员可以了解网络当前的运行状况, 以便找出所关心的网络中潜在的问题。
七、网络系统的安全评估
网络安全性之所以这么低的一个主要原因就是系统漏洞。譬如管理漏洞、软件漏洞、结构漏洞、信任漏洞。采用安全扫描技术与防火墙、安全监控系统互相配合来检测系统安全漏洞。
网络安全漏洞扫描系统通常安装在一台与网络有连接的主机上。系统中配有一个信息库, 其中存放着大量有关系统安全漏洞和可能的黑客攻击行为的数据。扫描系统根据这些信息向网络上的其他主机和网络设备发送数据包, 观察被扫描的设备是否存在与信息库中记录的内容相匹配的安全漏洞。扫描的内容包括主机操作系统本身、操作系统的配置、防火墙配置、网路设备配置以及应用系统等。通过网络扫描, 系统管理员可以及时发现网路中存在的安全隐患, 并加以必要的修补, 从而减小网络被攻击的可能。
八、机防护系统
在一个企业的网络环境中, 大部分信息是以文件、数据库的形式存放在服务器中的。但无论是UNIX还是Windows 9X/NT/2K, 都存在着这样和那样的安全薄弱环节, 存放在这些机器上的关键业务数据存在着被破坏和窃取的风险。因此, 对主机防护提出了专门的需求。
通过主机防护系统可以集中维护多台异构平台的用户、组合安全策略, 以简化安全管理工作。
通过以上几种安全措施的实施, 从系统级安全到桌面级安全, 从静态访问控制到动态入侵检测主要层面:方案覆盖网络安全的事前弱点漏洞分析修正、事中入侵行为监控响应和事后信息监控取证的全过程, 从而全面解决企业的信息安全问题, 使企业网络避免来自内外部的攻击, 防止病毒对主机的侵害和在网络中的传播。使整个网络的安全水平有很大程度的提高。
摘要:信息安全是企业在信息时代面临的新问题, 为此, 企业应进行风险与需求分析, 采取防病毒技术、防毒墙技术、入侵检测系统、性能监控技术及故障分析、网络系统安全评估措施。
一、部门结构:
财务兼后勤部 市场部 营销部
二、人员架构:
财务兼后勤部——赵志安 胡兵彬 市场部——曹端林 何斌 李锦 营销部——刘鸣丁小君龚谭 龚金萍
三、组织架构安排:
为彰显公司人员组织架构清晰,权责分明,使各项工作均能准确无误的落实到个人,特拟以下职级架构: 李金融—— 曹端林市场部——何斌、李锦
销售部——刘鸣、丁小君、龚谭、龚金萍
赵志安 胡兵彬
四、市场营销部工作安排细节:
1、市场部
a、负责外部客户及经销商开发;
b、做好外部客户资源统计,并与销售部做好及时的对接;
c、负责落实各类大小型活动的策划并拟稿成案,及时执行;
注:具体执行流程见《外部客户接待回访建议》
2、销售部
就目前现状而言,销售部应提高积极性,增强责任心及加强团队合作精神,改变精神面貌,做到有章可循是首要解决的问题。
a、加快销售部门人员的配备(现2名销售顾问,欲招至4人,其中1人兼信息员)b、重申展厅纪律,重塑接待形象,杜绝员工懈怠每天的工作;
c、做好每日电话资源的跟进工作(不少于20个/人/天);
附:建议细化外部客户成交提成方案——若销售顾问跟踪外部客户电话时发现意向客户应及时登记并第一时间告知相应开发专员,令其进行贴身跟踪服务并引入展厅洽谈,带成交后双方各获15%提成。如是转介绍客户,则跟踪的销售顾问不计提成,但计当月的任务量。预计每人当月任务量为5台/月,业绩另计,综合考评。完成当月5台销售任务量员工,则全月享有25%提成,若超额完成任务三台以上,则享有当月30%提成。
d、收紧价格,严谨定制报价体系,完善价格“流程化”机制;
e、调车员需每半月预作价格报价单,不得将底价直接报与销售员,在提车前须告知销售经理提车时间,在填写好提车单并经财务及领导签字后方可打款。同时,要去报所提车辆的随车资料齐全;
【公司网络整改 方案】推荐阅读:
网络安全整改方案07-01
网络公司年度总结07-12
你是公司的网络管理员06-11
公司网络推广员个人简历07-07
联想公司的网络营销策略分析06-25
网络公司办公室上半年工作总结07-09
网络机房搬迁方案06-03
网络新闻专题方案07-26
现代网络宣传策划方案06-19
网络营销方案提要06-26
