1、 综合部 网络及信息安全管理1 / 11公司网络及信息安全管理现状及建议综合部 网络及信息安全管理2 / 11目录一、网络环境及设备介绍 .31、网络拓扑介绍。 .31.1、拓扑说明: 32、主要设备介绍。 .42.1、网络设备 42.2、服务器设备 4二、上网管控策略 .5三、主要应用系统介绍 .61、云之家办公 OA .62、 K3 系统 63、邮件系统 .74、备份服务器及文件共享 .85、 SVN 研发数据服务器 .8四、网络及信息安全管理面临问题 .81、桌面终端安全管理不到位。 .82、网络设备老化、设备资源不足 .9附录、公司 IT 运维相关费用 10综合部 网络及信息安全管理3
2、 / 11一、网络环境及设备介绍1、网络拓扑介绍。1.1、拓扑说明:公司唯一互联网出入口中国电信 IPCW 专网,总带宽 30M(上下行对等) 。配综合部 网络及信息安全管理4 / 11有 5 个公网 IP 地址,用于公司邮件系统及互联网应用。穗花赤岗生产基地互联专线为中国联通 30M 点对点传输专线,赤岗分部全部联网应用及互联网应用均通过此专线实现。固话业务为中国联通。穗花,赤岗两个分部可实现内部短号互打,总固话号码约 400 个。集团新 OAK 专线由网络公司(原集团属于兄弟公司)提供服务,用于科技公司到集团、市局的联网应用。2、主要设备介绍。2.1、网络设备可网管型网络交换机18 台,其
3、中 3560 系列 2 台,2960 系列 16 台,大部分使用年限已超过 10 年。 。互联网边界防火墙1 台,型号为天融信 NGFW4000-UF,2015 年投入使用。上网行为管理终端 AC。1 台,型号为深信服,2014 年投入使用。2.2、服务器设备 UPS 持续供电系统型号,山特 10KVM,2006 年投入使用,期间更换过一次电池,但总体后续供电能力不足。仅能满足紧急关机时长。HP DL 380 G74 台,2014 年投入使用。分别用于公司邮件系统、SVN 服务器、研发中心测试服务器、研发中心开发及数据库服务器。HP DL 380 G52 台,2013 年投入使用。分别为公司
4、K3 系统服务器备机、及财务部数据服务器。IBM X36501 台,2016 年投入使用,公司 K3 系统服务器。综合部 网络及信息安全管理5 / 11二、上网管控策略1、互联网访问及上网管控方面,通过天融信边界防火墙与深信服上网管理终端(AC)的配套使用实现全面管控。员工电脑实名登记并分配 IP 地址,启用 IP-MAC 地址绑定功能。设备具有自动收集保存微机上网行为数据功能,记录数可保存三个月以上。2、上网流量控制方面,设备基于多种应用的特征码,对大流量应用如 BT 下载、流媒体等进行分类限速。3、对 88.128.141.0/24 内网网段用户,实行白名单策略,白名单以外的互联网应用被禁
5、止访问;同时内网用户(我司目前共有 27 个用户开通内网接入权限) ,全部执行入域操作,实现集团自动推送重要补丁及病毒查杀功能。4、内网网段用户,白名单列表有:http:/ (公司邮件系统应用)https:/ (公司云之家办公 OA)5、非 141 内网网段用户(外网) ,经过实名登记并 IP-MAC 绑定后,视需要开通访问互联网权限;同时,通过在核心交换的上联端口启用 Trunk allowed 过滤特性,实现外网网段流量与 141 网段逻辑上的绝对隔离,外网流量无法访问集团任何网络。6、通过使用 ACL 访问控制列表,实现非 141 内网网段与 141 内网网段流量的应用层过滤;并同时实现
6、对 141 网段内特定 IP(共 27 个 IP)访问集团网络的目的。事实证明,此种方式的阻断与防火墙的隔离技术相比,存在一定的风险性。综合部 网络及信息安全管理6 / 11三、主要应用系统介绍1、云之家办公 OA云之家办公 OA(https:/)于 2017 年 8 月上线,最初由原项目管理中心运维,于 2018 年 6 月 1 日移交综合部运维,期间经历过一次较大的部门架构调整。云之家主要功能介绍:自有功能员工签到、请休假、会议室预订、免费云之家电话、公告、实时聊天、员工通信录、企业邮件绑定收发、同事圈(话题、新闻动态等)智能审批云之家支持根据公司实际需求定制适合公司的各类审批流程,目前已
7、经投入运行的智能审批流程有:零散采购审批、非工作日费用事前申请;已有企业开票代码的开票单、未有企业开票代码的开票单;特殊情况用车申请审批(非工作日用车) 、用车申请审批、请/休假申请;工作借支(对公) 、员工借支;信息协同单;运维难度及复杂性评级:主要工作量:流程监控、智能审批流程设计、流程调整2、 K3 系统K3 系统(192.168.100.168)于 2010 年由旧版金蝶财务系统升级而来,K3/ERP制造系统包括销售管理系统、计划管理系统、采购管理系统、车间管理系统、仓存管综合部 网络及信息安全管理7 / 11理系统(包括 E仓存系统) 、存货核算系统、成本管理系统和集团分销系统等共八
8、个子系统,跟踪企业(包括集团内部的)从销售计划到成本分析的生产经营全过程,综合反映企业日常生产经营活动存货、价值流转的物流和资金流循环流动轨迹,累积企业管理决策所需要的管理和控制信息,帮助企业将生产经营过程运作升华为完善的“数据信息决策控制考核”流程的全面企业管理。当前系统版本为金蝶 K3/ERP V12.0 精益版,系统当前已退出金蝶生命周期,但并不影响继续使用,由于系统存在较多问题,当前由第三方实施机构新赛公司帮助我司对 K3 系统进行优化改造工作。该系统的 ERP 管理员由综合部承担运维难度及复杂性评级:主要工作量:ERP 管理员需对此系统保持高密度高强度运维,例如:角色维护、系统日志管
9、理、用户权限管理、基础数据配置维护、服务器底层、中间层及数据管控、数据库管理及备份监控。3、邮件系统公司邮件系统(192.168.120.188)于 2009 年 12 月上线运行,系统版本为 magic mail 3.0,通过外购形式购入,整套系统部署在穗花二楼机房物理服务器上。基于RedHat 5 操作系统,为公司主要办公业务系统之一,并可与外界邮件系统互通。运维难度及复杂性评级:主要工作量:邮件病毒防范、邮件系统实时监控、反垃圾邮件处理、互联网恶意攻击防范、邮件数据管理。综合部 网络及信息安全管理8 / 114、备份服务器及文件共享备份服务器(192.168.100.158)主要用于对公
10、司邮件系统、SVN、K3 系统等重要业务系统进行数据备份。该系统服务器使用 symantec backup 专业备份软件备份数据,并同时提供文件共享服务(192.168.100.158) 。运维难度及复杂性评级:主要工作量:数据备份、备份计划执行情况跟踪、文件服务器的日常管理、病毒防范。5、 SVN 研发数据服务器SVN 服务器(192.168.100.60)为研发中心、配用电、综合能源部门的研发代码服务器,部署有 SVN、redmine、VSS 文件服务,为公司最重要数据服务器之一。运维难度及复杂性评级:主要工作量:SVN 权限分配管理、用户权限维护、数据磁盘日常监控管理、病毒防范、操作系统
11、运维管理、此系统数据非常重要,需高密码运维。四、网络及信息安全管理面临问题1、桌面终端安全管理不到位。我司现在在职人员约 250 人,设穗花、赤岗两个办公点,桌面终端登记的 IP 总量约 250 台。在应用系统方面,归口综合部管理的公司级应用系统有 4 套。根据南投集团科技信息部系统管理人员 150:1 的配置标准,当前公司仅配有 1综合部 网络及信息安全管理9 / 11名网络信息安全管理人员,加上公司级应用系统、上网安全设备、网管型交换机、边界防火墙的管理等工作,网络及信息安全管理人员身兼应用系统运维、网络安全运维、桌面终端运维等重任,长期处于高压状态,在运维中表现出应接不暇、顾此失彼的状态
12、。其中表现最直接的就是员工桌面终端的安全管理不到位,部分桌面终端完全由员工自行安装操作系统,导致多项安全措施落实不到位。针对以上,经过综合分析,给出以下两个建议:建议一:公司多配置一名系统维护人员,主要负责员工桌面终端的管理工作;建议二:通过外包服务方式,与服务商签署 IT 外包服务协议;首选服务商:科腾公司理由是科腾公司为集团属下,系统内兄弟公司,安全可靠度较高。但收费标准偏高,按每周总计两天/人次(赤岗、穗花每周各 1 人/次)驻点服务的收费标准,预计需 8 万元/年。按每周全职驻点服其他服务商:第三方服务商相比科腾公司,其收费优惠,相同的服务内空,预计需 5 万元/年。但由于各方面资质较
13、低的小型服务机构,在安全性、可靠性方面可能存隐患。应慎重选择。2、网络设备老化、设备资源不足公司有可网管型主干网络交换机 18 台,但其使用年限大部分均已超过 10 年,从网络设备 5 年设计使用寿命而言,这些设备因年限过大,损坏的风险性高。当前新形势下,网络信息安全变得尤为重要,据了解网络信息安全管理占公司整个安全生产总分的 30 分。根据南投集团科技信息部的建议,各业务公司应在南投集综合部 网络及信息安全管理10 / 11团专线出入口部署物理防火墙,以提高集团网、市局网络应用的管控性及安全性。但当前我司仅有一台部署于互联网边界的物理防火墙;集团专线直接接入到公司核心交换机,通过网络交换机的
14、 ACL、Trunk 等特性来实现集团、市局网络访问管理。相比于物理防火墙而言,这种技术特点存在一定的落后性,对网络隔离管理不够严密精准。针对以上,在老化设备应对方面,建议每年预设 5-10 万元预算,用于对公司网络设备、安全设备的更新换代;建议增加预算,加购一台物理防火墙(预计需 10-15 万元),部署于集团专线出入口。附录、公司 IT 运维相关费用主要费用开支一览表建设费用 运维续保费用 启用时间 品牌服务商赤岗穗花专线 点对点 30M 60000 元/年 2006 年 中国联通邮件系统 100000 元 15000 元/年 2009 年 MagicMail上网管理 AC 100000 元 15000 元/年 2015 年 深信服防火墙 100000 元 15000 元/年 2015 年 天融信互联网专线 30M IPCW 5IP 72000 元/年 2015 年 中国电信服务器 全部未续保 HP、IBM、huawei云之家 无 13000 元/年 2017 年 金蝶科技固定电话 无 103200 元/年 2006 年 中国联通新 OAK 专线 无 74400 元/年 2015 年 网络公司(穗能通)域名服务 无 500 元/年 2006 北京新网综合部 网络及信息安全管理11 / 11网络设备淘汰及更新换代建议每年预留 5-10 万元,用于设备的升级换代及新设备的购置。
