集团网络建设方案 第1篇
1概述
设计行业信息化是世界经济和社会发展的趋势。近十年来设计行业随着国家经济的发展、业务规模及人员规模的快速增长,随之产生的管理需求不断增加,而依靠传统管理模式已无法满足需求。在“十二五”期间,国内建筑行业将加强信息基础设施建设,提高企业信息系统安全水平;同时项目管理软件等应用系统的普及率不断提高,逐步建立企业级的共享网络以及完善相关的信息化标准成了设计院必备的信息化要求。本文以上海浦东建筑设计研究院有限公司为案例,探讨设计院网络规划及管理方法。
上海浦东建筑设计研究院有限公司现已成为集建筑、市政、园林设计三位一体的综合设计企业。公司设有十个设计部门,六个行政部门。由于公司业务需要及公司发展需求,目前在全国各地设有八个分公司及两个办事处。
根据企业信息化建设目标和总体规划,原有的网络架构不能满足企业管理和信息化发展现状,例如单一VLAN的地址已经不够分配,缺乏有效的安全策略,主干网带宽只有百兆,随着设计专业软件的网络需求增加,越来越多的业务需要使用互联网络,因此需进行全面的网络规划和改造。
2现状需求分析
由于现有网络结构为单一的树状结构,容易出现单点故障而引起所有网络节点的正常运行;层次结构不清晰,导致无法集中管理设备,造成维护极为不便;设备较老、品牌较杂、设备兼容性较差,网络传输较慢,存在数据丢包现象;使用了大量的专业设计软件网络版,客户端和服务端的访问量与日俱增;设备无法控制网络流量,客户端访问互联网非常拥挤;无法有效避免ARP等局域网攻击;客户端操作系统补丁安装不完全,杀毒软件安装不统一。
所以整体改造分为两个主要方面:
(1)内部网络设备方面的改造:将现有的内网互联百兆主干网升级为千兆传输,在网络出口核心连接广域网处升级路由防火墙,更换现有的核心、楼层交换设备,按部门划分VLAN,实现流量监控。
(2)广域网及系统服务方面的改造:构建网络实现与分公司互通,部署网络行为管理,系统补丁分发,广域网带宽升级,建立企业统一通信邮箱,建立数据备份机制等。
3规划基本原则
基于对以上需求的深入理解,网络建设应遵循以下基本原则。
网络设备应首先满足网络中数据交换的要求,网络主干的通讯链路带宽能够满足应用对网络的性能要求。
通常网络的负载流量主要是从边缘设备到核心的数据交换。改善办公网络整体数据交换性能,应该是首先扩充主干交换机的交换性能,增加边缘设备到核心数据的通讯带宽,以改善整个网络的瓶颈,使得应用软件的性能和效率得到提高。除了考虑满足网络规模所要求的主干设备数据交换处理能力,以及边缘设备到核心的链路带宽外,对楼层交换机也有较高的性能要求。
网络设备的选择,尤其是网络核心设备,应该选择可以配置冗余部件,可以冗余备份,设备损坏部件的更换可以进行在线操作,这样可以使影响的时间降低到最小,以保证网络可以在任何时间、任何地点提供信息访问服务。与此同时,网络设备还要求采用主流技术、开放的标准协议,能够支持不同厂家、不同系列产品之间的相互无缝连接与通讯,减少设备互连的兼容问题以及网络维护的费用。
在满足现有规模的网络用户需求的同时,考虑到业务发展、规模的扩大,主干设备的选择应该具备强大的背板带宽,足够的负载容量。对于交换机来说,核心交换引擎应该在可以满足最大配置下,无阻塞地进行端口数据包交换,模块的扩充不影响交换性能。
通过将网络划分为虚拟网络VLAN网段,可以强化网络管理和网络安全,控制不必要的数据广播。
根据网络中工作组管理功能的划分可以突破共享网络中的地理位置限制,大大提高网络规划和重组的'管理功能。在同一个VLAN中客户端不论它们实际与哪个交换机连接,它们之间的通讯象在独立的交换机上一样。同一个VLAN中的广播只有VLAN中的成员才能听到,而不会传输到其他的VLAN中去。同时,若没有路由的话,不同VLAN之间不能相互通讯,这样增加了企业网络中不同部门之间的安全性。用户可以自由地在企业网络中移动办公,不论他在何处接入交换网络,他都可以与VLAN内其他用户自如通讯。
因此,划分VLAN既可以增加网络的灵活性,也可以有效地阻止VLAN内的大量非法广播,还能隔离VLAN之间的通讯,控制资源的访问权限,提高网络的安全性。同时在网络设备上应该可以进行基于协议、基于MAC地址、基于端口、基于IP地址的包过滤控制功能。
有效控制网络的访问。
合理的网络安全控制可以使应用环境中的信息资源得到有效保护。在进行安全方案设计时,应考虑网络物理是否安全、网络平台是否安全、系统是否安全、应用是否安全、管理是否安全的风险,对应采取相应的安全措施。这些风险与这个局域网的结构、系统应用、网络服务器等因素密切相关。
关键的应用服务器、主干网络设备,应该只有系统管理人员才有操作、控制的权力。应用客户端只有访问共享资源的权限,网络应该能够阻止任何的非法操作。使网络可以任意连接,又可以控制第二层、第三层控制网络的访问。同时,对连接用户身份的认证也是保障网络安全要考虑的重要内容。
4 网络改造规划设计
网络拓扑结构(图1)
整个网络安全设计分成内部网络和外部网络,通过一个防火墙隔离开来。防火墙上设置入侵监测和DOS攻击防护等安全防护特性,保证内部用户透明使用网络资源和拒绝外部非法未授权用户的探测和攻击。防火墙上设置xxx功能,用户可以通过使用IPSEC加密的安全通道连接到公司的防火墙,访问公司内部的网络。
此次网络改造主要针对网络交换机层,改造中需要更换一台核心交换机、一台汇聚交换机、若干台分布在各楼层的接入层设备。核心交换机采用H3C 5500-26C,设备具有24个千兆接口和4个SFP接口;汇聚交换机采用H3C 5100-16P,设备具有16个千兆接口及4个SFP接口;接入层交换机采用H3C3100-26TP-SI,具有24个10/100接口和2个千兆接口。
除了一台核心三层交换机,因核心机房还有若干应用服务器,为保证服务器高速连接到网络中,缓解核心交换机转发压力,设计通过一台5100-16P-SI交换机连接服务器组,与核心交换机的连接通过两路以太网线捆绑互联,保证设备间的高速、稳定通信。
楼层接入交换机通过布放的超五类以太网线与核心交换机连接,其连接方式同样使用两路以太网线捆绑,以使接人层交换机快速、稳定地与核心交换机互联,达到冗余备份、负载均衡。
此次改造所有以太网交换机互联均通过千兆接口。
VLAN规划
由于内部网络是由多个部门组成,按照应用部门之间需求进行统一通信控制,为了达到这种通信的要求,需要利用核心交换机对局域网进行VLAN划分,从而达到部门之间通信的安全性。
网络结构及功能初步规划包括以下几个方面:设备连接规划(千兆链路汇聚);VLAN规划(业务VLAN、管理VLAN);IP地址规划(设备管理IP、业务IP);DHCP服务器规划(多VLAN DHCP规划);接入层设备静态MAC+端口绑定(防止ARP欺骗);设备命名、管理服务、管理账号规划;内部路由设计;访问控制规划(VLAN间安全、业务安全)。
公司内部部门较多,按照设计必须每个VLAN对应一个网段地址,为节约地址、达到地址的唯一性、可扩展性,采用了C类地址;DHCP服务由核心交换机实现地址动态分配。
由于涉及到多VLAN的环境,将会导致局域网计算机在网上邻居看不到其他VLAN内的计算机,为解决设计部门间互访的要求,需将网络系统模式提升为AD模式,同时架设WINS服务。
工作在网络第二层的VLAN技术能将一组用户归纳到一个广播域当中,从而限制广播流量,提高带宽利用率。同时缺省情况下不同VLAN之间用户是不能相互访问的。通讯通过三层设备转发,这就便于实施访问控制,提高数据的安全性。
在网络用户VLAN规划方面,根据用户所属的部门,以及具体的网络应用权限来划分出设计部门,财务及管理部门,其他行政部门,机房设备等VLAN。
具体VLAN分配原则制定后,根据VLAN内用户分布情况,在交换机上安排相应的网络端口,在不同交换机之间,如果需要交换同一VLAN的数据和信息,则在交换机互联的端口上设置其工作在Trunk模式下,使其能转发带有标签的不同VLAN的数据包。
安全管理规划
结合实际情况,内网安全规划通过以下方法来预防及控制:按照部门或楼层等划分相应的VLAN,控制广播及病毒泛滥;对设备设置管理用户及密码,并定期更改;及时更新系统补丁和防病毒软件;通过IP+MAC+端口绑定未防止ARP攻击;通过利用防火墙对客户端进行访问策略限制,保证网络资源合理应用。
局域网内部路由,主要是为防火墙与内网多个网段之间建立通信,因为内网涉及多个网段,所以需要在三层交换机上面设置一条缺省路由到防火墙内网接口,同时在防火墙上需要设置一条聚合路由指向三层交换机。
内网客户端访问外端网将通过在防火墙上实现访问控制。防火墙将按照实际应用需求设置开放相应的服务策略。通过核心三层交换机和防火墙,定义相关的访问控制列表及策略。
在网络设备配置中,利用三层设备的ACL(访问控制列表)功能,保护那些对网络安全要求较高的主机、服务器以及特定的网段(例如财务)。ACL是手工配置在网络设备上面的一组判断条件,对于满足条件的数据包,设备进行“转发”或者“丢弃”的处理。ACL的主要作用是实施对网段的访问控制,针对数据包的源地址和目的网络地址的组合,通过在网络设备上配置访问控制过滤功能,提供网络管理人员对网络资源进行有效安全管理的技术。
预防网络中ARP病毒攻击,通过在接入层交换机上配置静态MAC+端口绑定,预先设定接入层交换机端口连接到哪台终端,以及终端网卡硬件MAC地址。
在服务器上安装ServerProtect产品,可以提供集中式多重网域安装及管理、远端安全管理、实时侦测并清除病毒、自动更新及传送病毒码文件等安全措施。在客户端PC机上安装OfficeScan产品,通过浏览器进行所有的设定及配置,可以提供远程安装、主控台集中管理客户端扫描及清毒、对客户端进行实时监护等安全措施。
集团网络建设方案 第2篇
一年来,在公司信息中心正确指导支持下,围绕公司年度网络安全和信息化工作会议精神和工作要求,不忘初心使命,砥砺奋进,努力开创企业信息化高质量发展新局面,卓有成效地在主体责任落实、网络安全、项目管理、创新能力、队伍建设、数据中心与数据质量、数字化工厂建设等方面开展探索和实践,均取得了较优成绩。现将20xx年来的主要工作自评总结汇报如下:
一、严格落实信息化工作主体责任
全年针对信息化工作点多面广,服务性和专业性都很强的特点,紧扣行业和公司信息化发展战略,“行业典范”、“窗口企业”的目标定位,在大局下思考和行动,切实担当创新和高质量发展的新使命和新责任,在政治和业务领域活学活用实学精干中推进各项工作。
一是召开厂党委会议,4月28日,利用会议和办公系统传达学习和部署落实了行业及公司20xx年网络安全和信息化领导小组会议、网络安全和信息化工作会精神,研究贯彻落实意见;厂党委会议上,研究部署和下发了本年度网络安全工作,明确了年度网络安全和信息化工作要点,纳入20xx年度工作目标考核方案,细化分解到月度重点工作任务清单,纳入季度和月度工作考核。全年从安全生产管理周例会督办项目完成情况和月(季)重点工作绩效督查情况来看,年度网络安全和信息化工作重点都得到了较好地贯彻和落实。
二是5月上旬制定并经多次讨论后,批次下发了《江西中烟工业有限责任公司井冈山卷烟厂网络安全与系统运维考核实施细则》,并于6月份开始实施考核。结合公司对企业年度信息化工作考核要求,全面梳理差距并迎头整改弥补差额事项。突出IT综合管理和治理方案,主要关注企业发展后劲、IT工作绩效和基础夯实工作。由于与绩效挂勾,增强了全员IT工作绩效意识,促进各项考核指标处于较好状态。从全年的生产管理周工作简报来看,全年MES系统、制丝管控系统、卷包数采系统、批次系统、能管系统、高架系统运行总体正常,实现了IT网络信息系统生产保障。批次管理系统各项数据完整,卷包车间数据准确率为,制丝车间数据准确率为100%,成品数据准确率为100%。其它各系统数据完整率也均处优良。
三是全年严格执行行业和公司网络安全检查要求以及企业管理体系文件要求组织开展了节假日期间和日常网络与信息系统安全检查排查与运维,全面推进了企业IT基础“1+2+2+N”运维模式文件体系架构和日常运用实践,确保了系统稳定。全年开展网络信息安全半年度、季度巡检、月度集中检查42次,营造了网络安全和数据安全良好生态,保持了网络安全系统及其设备设施、作业活动和作业环境处于正常有效状态。全年累计处理各类问题或故障53次,整改完成率100%。另外,今年8月如期开展了企业信息安全及计算机信息系统保密工作自查。目前,制度对接和检查执行的效果显现。
四是按照《烟草行业应对网络安全攻击基本防护措施》通知要求对敏感信息、资产状况、安全加固、实时监测和应急处置共五点开展自查工作,并向信息中心提交自查报告。在对敏感信息方面,及时响应国家或行业通报的网络安全情况,在完善平台技术架构与安全防范网络策略上,针对所负责的网络和系统进行日常系统“查缺补漏”工作。在充分利用IT资源方面,瞄准IT资源清晰、流程顺畅和数据管理目标,合理做好IT资源规划与利用,积极开展IT资产、网络安全、各管控系统潜能作用等专项管理诊断活动,进一步盘活现有资源、满足岗位需求、奠定IT资产管理规范基础,集成整合企业资源并形成合力,提升整体抗风险能力。年初、6月6日和9月,先后召开了各运维单位驻厂人员日常工作衔接专题会,日常衔接年度各外来运维单位工作。8月开展了IT基础专项管理诊断活动。1月和6月的管理体系外部审核和内部审核活动,3月、9月和12月三度组织IT资产(包括软件、文件)盘点清查整治和废旧利用和设备报废工作。在安全加固方面,按照网络安全等级保护制度,举一反三落实各项基础设施和管理工作,着重针对已定二级备案的《行业生产经营决策管理系统江西中烟井冈山卷烟厂分支系统》专项申报公司进行等保测评工作。针对办公网与生产网安全,实施了逻辑隔离工作。日常管理上采取技术手段将工控主机上的不必要USB、光驱等接口已禁掉,并对工控主机实施严格的访问控制。另外,加强了区域网络管理。在6月和12月先后检查拆除不合规的网络信息系统。对于生产区域无线网络,只允许PDA终端连接,手机笔记本等移动终端不得连接车间无线网络。各部门兼职网络安全信息员组织本部门检查排查是否存在私接无线路由器的情况。在实时监测方面,严格执行企业网络安全相关制度规范。实时监测防火墙等安全设备运行情况。每日对防火墙等网络安全设备进行实时监测,对发现的疑似攻击地址立即在防火墙上进行封禁处理。发现异常须及时报告。按照“先封堵再研判”原则先阻断网络连接,再对攻击行为进行溯源,并及时向公司信息中心报告有关情况。
五是根据人事变动和企业状况,重新成立了网络安全与信息化管理工作领导小组,下发了红头文件。进一步明确了分管网络安全工作领导班子成员及其组织工作主体责任。实现了内部资源整合。年初信息部门恢复单列部门,又鉴于今年员工1人借调支援商业公司系统开发、2人生育轮休的实际,内部采取轮岗交流与职责整合轮换作业方式组织开展企业信息化工作,促进年轻员工得到很好的锻炼。
二、突出抓好网络安全杜绝发生网络信息安全事件
全年抓好做好梳理网络安全隐患、检查治理与落实整改三个环节的工作,做到两个全覆盖,即覆盖所有部门、覆盖所有系统,确保不留死角不留隐患。由于采取“集中管控、分布防护”两手抓的方略,在信息系统整体防护的管理上取得了一定的成效,全年未发生一起网络信息安全事故。网络安全工作成效主要体现在:
一是进一步夯实网络安全基础工作。1月,开展了IT资产及信息网络安全专项管理诊断,瞄准“两化融合”和现有质量、环境及职业健康安全三标管理体系目标要求,严格落实网络安全责任制度,明确每个信息系统业务主管部门和运行维护部门具体职责。进一步优化完善了企业信息化系统运维保障工作机制,深入构建企业网络信息安全运维管理体系。全面梳理建立和实施各管控系统底层操作应用标准文件,使之满足企业IT运行的各项管理要求。9月通过了市_门等保工作检查与备案。6月6日和12月15日两度开展了系统账户和密码合规性、网络与信息系统漏洞自查整改活动。在开展排查“弱口令”和“扫漏洞”的网络安全问题整改活动中,全面针对弱口令、漏洞未修复等突出安全隐患进行整改。对未按要求设置密码的网络和IT服务器与终端机以及我厂自建信息系统的账号进行全面清查,对不符合要求的账户密码立即进行整改,将密码修改为字母、数字、特殊符号等3种以上组合且不少于8位,对存在漏洞的IT系统及时进行了修复。另外,在今年6月行业和吉安市11月开展的'两度网络安全应急演练中,均保持了网络安全和系统稳定,达到了预期效果。
二是编制实施了网络安全及各信息系统应急预案,按要求开展了季度演练与评价。全年按季开展了计算机网络与信息系统应急演练6次,涵盖中心机房、OA、MES、批次管理和物流系统等运行突发事件的处置和应急状态处置,均达到预期效果。其中,先后完成了《MES系统制丝工单下发不到制丝管控系统应急演练》、《计算机房精密空调初期起火现场应急演练》、《批次管理系统辅料冻结应急演练方案》、《设备故障导致片烟高架库无法出库应急演练》,且各活动记录齐全。
三是我厂办公网与生产网设计实行了逻辑隔离,明确了工控机的安全管理措施。同时,以执行和监督执行各项制度规范进一步得到巩固,全年未发生网络信息安全事件。全年从月(季)绩效考核的结果来看,没有出现由于软硬件故障,计算机病毒,工作失误,遭受人为破坏等原因影响本单位信息系统正常运行,也从未造成由于系统数据丢失、泄露、被篡改,以及业务中断超过4小时,产生不良影响或一定经济损失,严重影响生产和工作的其他情况。
四是根据公司《网络安全责任书》,我厂编制并与各部门签订了《网络安全责任书》,并在管理制度文件体系中明确了信息系统业务主管部门和运行维护部门网络安全责任。同时,加强了与建设合作单位的协同管理,任何项目开工前,首先做到了开展安全告知培训,签订相关安全(施工)协议,并按保密要求与本单位信息系统派驻运维人员签订《数据保密承诺函》,严守保密规定,较好地履行保密责任。
五是严格执行《井冈山卷烟厂计算机机房管理规定》等机房系列标准规范体系文件。每日对计算机机房进行日常巡检,每周对机房主要设备进行周检,并填写记录。对出现的故障进行分析并处理,将分析研判情况进行记录,并形成月度工作总结。在机房管理标准文件中,根据要求,明确网络与机房基础设施维保的通信联动应急保障制度。
六是数字化视频监控系统具有基本安全措施。按要求,监控网与生产网及办公网实施了逻辑隔离。日常根据各部门实际需求分配摄像头查看范围及权限,并且对分配账户均按要求设置了合规密码,合理发挥了数字化视频监控系统的作用。
三、严格推进项目管理各项工作
密切关注公司四大体系建设、数据中心系统建设和OA系统升级项目应用。以公司信息化规划为指导开展企业项目年度需求调研、项目申报、方案论证,关键技术咨询等工作。在年度预算项目批复文件下达之后,分解落实实施计划。一方面,瞄准目标,做好公司各在建重点项目和系统的技术对接,按要求开展实施与优化工作。另一方面,进一步强化企业内部信息技术消化,全面拓展工控安全分析预警、二维码识别物料、QCD、SPC等信息化技术在安全、质量、成本、考核,在过程控制与数据分析预警等方面的应用深度和广度,进一步夯实企业信息化技术基础,为生产制造过程大数据挖掘运用,精益生产和智能物联扩展应用奠定了良好基础。进一步促进企业在“两化融合”、“数字化智能工厂”建设架构与开发上继续发挥作用。通过上半年和下半年两度召开年度采购项目推进会,梳理了各项目采购流程规划和节点时间工作控制,有序推进了项目实施工作。截止11月,年度5个项目均按进度计划如期完成了实施任务。
20xx年我厂立项申报的5个项目均符合公司申报项目要求,保留了申报项目论证记录。按要求每季度的下个月10日前,将项目实施进度上报了信息中心。各项报送资料完整。贯彻落实规划“回头看”要求,制定实施了具体工作计划和方案,对近几年来重要信息化项目进行梳理、评估,有部署、有落实,有记录,并形成规划“回头看”报告。所有信息化项目均按公司档案管理要求保存完整的过程档案资料(包括但不限于采购、启动、需求调研、上线运行、验收等关键环节)及电子档案资料,并设置兼职管理人员。各个信息化项目均符合公司规定的“一项一卷”要求,保存了信息化项目过程档案资料及电子档。信息化项目公开招标项目比例在80%以上。未出现按季度上报信息化工作进展情况漏报迟报现象。
四、积极营造氛围,促进创新能力提升
全年围绕积极利用信息系统资源,创新系统应用途径,有效支撑本单位生产组织、质量管控、库存管理、降本增效等重点工作,以课题、小改小革等实践活动和各种业务及学术交流形式带动创新活力,推进企业精益和创新管理。在各项创新能力提升主题活动实践中,全年累计产生各项成果20余项。其中,5个课题成果正在等待公司和江西省各管理协会组织年终评比结果。
5个案例。梳理总结完成了《井冈山卷烟厂网络信息安全运维管理体系建设实践》、《二维码技术应用推广》、《基于检维修体系的信息化应用》、《基于制丝管控系统的防错预警机制应用》等案例。其中,有2个于今年4月和10月在公司年度信息化工作会和“创新引领高质量发展”信息化专题交流会上展开了交流研讨。
20xx年底,上报省企协参评创新课题3个,其中,年初从与推广第二十届江西省企业管理现代化创新成果通报中获悉,《基于信息化项目管理的工具运用与实践》和《精益合作生产批次管理系统的风险分析与应对》均荣获一等奖,《构建网络安全信息系统““1+2+2+N”运维模式》获二等奖。本厂取得《精益合作生产批次管理系统的风险分析与应对》创新成果,在广丰卷烟厂实现部分推广。
20xx年公司精益课题2个。其中,梳理总结完成了20xx年公司立项的《二维码技术应用推广》精益管理课题成果,并以A3报告进行了验收申报。全面完成了20xx年公司立项的《构建信息系统“1+2+2+N”运维模式》精益管理课题实践,该成果已经在2月18日公司《关于表彰20xx年度精益管理优秀课题、管理诊断优秀案例和企业管理先进个人的决定》中荣获了公司当年评比二等奖。今年扩展产生了《IT网络安全信息系统“1+2+2+N”运维模式》新成果。
今年注册QC课题2个。12月9日,召开部门QC活动小组专题会,全面总结了今年两个课题工作。另外,20xx年注册QC课题4个,完成企业QC课题成果3个,其中,《提高批次管理系统卷包投料扫码率》QC活动成果荣获20xx年度江西省第三十九次质量管理小组代表大会三等奖,另外两个QC课题成果荣获厂优秀奖2篇。于2月27日和5月8日,我厂相继在《东方烟草报》管理前沿发表了论文《数字化工厂背景下质量管理体系的信息化应用》和《浅谈企业信息化工作绩效的自主评估》。《数字化工厂背景下质量管理体系的信息化应用》荣获江西烟草优秀论文。发表在《江西烟草》总第148期论文增刊P49-P51。《抓住机遇有的放矢推进数字化工厂“两化融合”实践》荣获公司产业系统特等奖。最近报送了论文《试论信息化支撑推行企业绩效管理的思维方法》参评。
五、培养信息化专业团队,提升队伍整体素质
在企业内部,我厂积极营造了学习型团队良好氛围。突出实际需求,参与中国CIO高峰论坛,有选择性的把握学习内容和参与IT企业组织的信息化网络在线研讨,日常内部各类IT专业微信群的线上讨论。全年参与外派和开展了公司和企业13项调研活动,组织安排了南烟、广烟等兄弟单位9人来厂的IT交流或跟班学习。接待了安徽阜阳烟厂和江苏中烟来厂2次针对IT网络、批次管理系统建设和使用情况的经验交流。全年通过“学习强国”和“中国烟草网络学院”《网络安全培训》(专题版)两个网络平台487人达成和超额完成了规定的学习培训指标任务。全年6名年轻员工参加了国家软考,通过率100%。全年组织国家网络安全法集中培训(85人)、公司数据中心(75人)、公司新版OA(85人)、企业网络信息系统用户安全运维、操作应用、新增IT类标准体系文件培训与系统演练413人,全员IT培训率达80%以上,全面拓展信息技术在质量、安全、成本、考核等方面的深度应用和技能水平。
目前部门工作人员有高、中级职称及取得国家软考证书的人员比例为100%。在管控系统的维保工作,采取自主维保、外包人员驻场维保及远程维保相结合的方式。20xx年我厂能源管控、物流高架系统基本为本厂人员自主维保,卷包数采(8月24日)、MES(11月23日)等系统在自主维保后继续采取驻厂运维方式进行系统维保。
通过组织各类内部培训、系统演练,公司和外部交流,从中亲身体验信息化发展日新月异的变化,为融合技术创新、应用创新、模式创新与优化改善不断充电。不仅促进了企业信息技术消化、信息技术和应用人才培养工作,而且增强了自身素养和企业形象,逐步实现提供队伍高质量、高水平的信息化服务。
六、持续保持数据中心与数据质量,上报数据及时准确真实规范
根据行业和公司关于加强行业数据安全防范化解风险隐患有关工作,围绕落实《20xx年网络安全和信息化工作要点》要求,严防发生数据安全和公民个人信息泄露事件,六月,我厂根据《网络安全法》《电子商务法》等相关法律法规,组织开展了全面排查法律风险和信息系统数据风险工作,通过翻阅我厂信息化项目合同和现场应用,未发现存在违反《网络安全法》《电子商务法》等相关法律法规关于数据安全和公民个人信息保护规定的问题隐患;未使用移动APP等互联网应用系统;不存在对外托管信息系统和承载数据。同时,对驻厂运维人员的安全管理措施进行了检查和风险评估,经过排查,未发现存在擅自读取、存储、缓存、和使用数据(包括数据泄露)的问题隐患。对于存在IT与数据安全等3项主要风险隐患采取了管控措施和问题整改,加大了高风险漏洞和弱密码专项治理情况监管力度,增强大数据环境下防攻击、防泄露、防窃取的监测预警和应急处置能力,确保网络安全设备设施均处于正常工作状态并能实现部署该设备设施的设计要求,确保各项管理措施有效落实,促进数据中心日常运维数据高质量保障。全年上报生产经营决策管理系统的数据差错率为0,上报公司数据中心的数据做到了及时、准确、真实、规范,未出现上报数据不符合要求的情况。
七、推进项目管理与数字化工厂建设
为促进一体协同重点工作成效,今年3至4月,根据《井冈山卷烟厂信息化规划“回头看”工作计划及方案》,采取各系统自查和现场调研相结合的方式,从系统发挥的成效入手,着眼系统性、全局性、整体性等方面对异地技改新厂实施的项目,包括后来实施的批次管理项目,对数字化工厂建设建管用方面所做工作进行回顾和自查及全面梳理、评估。4月10日向公司提交了《井冈山卷烟厂数字化工厂建设和运行情况汇报》。在4月的年度公司信息化工作会、8月的管理诊断、9月的信息化专题调研和11月的公司信息化现场交流会上,均针对SPC管理平台建设、商业营销移动应用、质检离线数据采集完善、设备管理信息系统功能完善、MES智能生产制造、PBMS批次管理两个系统的二期建设和生产经营决策管理系统等保测评等及其相关的技术与方案优化提出了进一步的需求和设想。
集团网络建设方案 第3篇
我在某集团公司总部的网络中心工作,原办公区网是20xx年建成并投入使用的。随着公司经营生产的规模不断扩大,用户数量和应用量,都一直处于不断增长中,无论是网络规模、网络结构、设备档次,都无法满足现阶段的需求。在这个项目中,作为网络中心的负责人和技术骨干,我主要承担了网络整体规划与设计工作,并组织参与整个工程的招标、建设、监督、验收等工作。
在本次项目实施中,我们主要考虑以下几个关键因素:技术上可以平滑升级并具有一定的扩展性;公司核心网应具备稳定、高速、安全的特点;保护原有的投资、将原办公区网络设备降级使用,将其用到新网络的汇聚层和接入层,最大化现有投资的性价比。
一、结构化布线的方案
新办公区有三栋8层的办公大楼,分别是:主办公大楼、试验检测中心大楼、综合大楼。三栋大楼之间以8芯光缆实现互连。该网络工程要求办公楼内不的每台计算机都能够访问Internet,同时要求总部网与16个分公司实现xxx网络互联。我们在大楼进行结构化布线工程,以利于今后信息点的扩展。中心机房设在主办公楼四楼,采用集中走线的方式,网络主干采用8芯多模光纤1Gbps带宽,分支使用超五类非屏蔽双绞线,100Mbps带宽,双绞线的最长长度控制在90米之内,符合布线要求。根据实际需求,每间办公室布有3~4个信息点。
二、网络的层次结构方案
基于对原公司网的管理、应用方面的认识,同是参考主流技术和公司的需求,我们规划采用标准三层网络架构,以千兆以太网技术构建新办公区网络的核心层和汇聚层,接入层则采用10Mbps/100Mbps自适应技术。千兆以太网()技术可以保证和公司原有百兆以太网兼容,满足了现有网络应用的需求,并在技术上保持一定的先进性,并具备进一步发展的灵活性和扩展性。三层网络架构使得网络结构变得更加清晰,功能设计完备,同核心层提供充分的可达性和数据的高速交换;汇聚层可以隔离网络拓扑变化,隐藏核心层和接入层的细节,提供路由汇聚;接入层可以具体的实施相应的接入控制策略。
我们在内外网边界处放置一台Amaranten F1800千兆企业级防火墙,同它进行内x网访问控制及地址转换。内网核心层采用两台Cisco6509三层交换机,两台Cisco6509之间又用链路聚合技术实现负载均衡,并互为备用,构成一个具有强大交换能力和冗余备份的核心层网络。核心交换机置于办公主楼两中心机房,汇聚层交换机置于各楼宇设备间,采用Cisco C3750,核心层和汇聚层交接机形成路由环路,用OSPF协议实现各子网之间的路由计算。接入层则采用了Cisco2950可堆叠交换机,具有较高的端口密度和接入控制能力。
三、IP地址规划、VLAN分布、路由规划
IP地址的分配应能体现公司的组织机构情况,节约和有效利用IP地址。我公司网络用到时25个C类地址段,因为16个分公司的用户数都没超过200人,我们给每一个分公司分配一个C类的地址段,分公司再根据其内部具体情况可以进一步划分子网。公司总部用到9个C类地址段,IP地址分配按区域逐层分配,以汇聚层交换机可汇聚为原则。服务器及网络管理等设备采用静态IP地址,其他办公人员的计算机采用动态IP地址方式,这样的IP分配方式便于管理,减少IP冲突,最大限度利用了IP地址。电信ISP给我公司分配了16个公网IP地址,这些地址用作内外网地址映射和对外的服务器地址。
VLAN(虚拟局域网)的合理布局有利于抑制广播流量,提高网络安全性。将公司的财务部、人力部、工程部、经营部和其他部门分别划分到不同的VLAN,采用基于交换机端口方式的VLAN划分,并为服务器组、网络管理、内部数据存储服务划分门的VLAN。VLAN之间通过核心交换机Cisco 6509实现不同VLAN之间的通信。
路由的规划既要基于IP地址分配和网络的分层,又要实现稳定的'核心和高速的交换。在良好的IP地址分配策略、VLSM和VLAN配置下,路由表中的条目可达到最少,路由稳定、高效。我们在内部网络采用OSPF协议,实现各子网互访,在边界处进行内部网络路由重分布。
四、远程xxx访问的接入设计
为了实现总部与分公司网络的xxx互联,我们采用Juniper SA4000企业级xxx设备,用来验证和接入外网用户。SA4000是SSL xxx,它使大中型企业能够通过任何标准Web浏览器提供经济高效的远程接入。SA4000产品无需更改用户基础设施,提供丰富的接入权限管理功能,实现用户透明接入和资源共享。
五、网络安全设计
处于全网内外边界处的Amaranten F1800千兆企业级防火墙负责NAT和内外网之间的安全策略实施。FTP文件传输服务器、Mail服务器、Web服务器MZ区域中,公司内部数据存储服务器放入内部网,保证各种级别数据的安全,并在核心交换机Cisco 6509上设置相关的过滤机制来加强计算机安全性。
内网的应用的安全技术包括:服务器区访问控制、安全补丁服务器、网络版病毒服务器、主机系统安全、以及建立建全网络安全管理制度,并严格监督、执行。
六、网络管理
在网络管理方面,我们采用了基于HP OpenView IT管理方案,以此为架构,并在它的基础上,对某些功能进行二次开发,形成的方案是包括网络、设备、计算机系统、数据库、应用程序等多个管理工具的统一监控平台,把网络系统平台由被动管理转向主动管理,被动处理故障变为主动故障预警,使得制度通过网络管理平台得以具体体现,管理平台使制度被来格执行。
新办公区的网络按照规划实施,建成后各项技术指标验收合格,自投入运行以来,工作状态良好,满足了日常工作各方面的需求。