企業(yè)信息化平臺建設(shè)

1、企業(yè)信息化平臺建設(shè)備案登記號： 信息化平臺建設(shè)文件編號： 版 次： 受控狀態(tài)： 密 級： 編制/日期： 校對/日期： 審核/日期： DFS系統(tǒng)共享與訪問NTFS訪問FTP服務(wù)文檔加密現(xiàn)行的平臺 內(nèi)網(wǎng)安全打印管理內(nèi)網(wǎng)行為ERP應(yīng)用OA應(yīng)用應(yīng)用系統(tǒng)閉路監(jiān)控信息化平臺視頻會議安全網(wǎng)管防火墻三層交換身份認(rèn)證雙因素認(rèn)證規(guī)劃的平臺網(wǎng)絡(luò)審計安全審計主機審計入侵檢測入侵防御入侵防護 為了便于部門內(nèi)、部門間信息的傳輸和共享，應(yīng)公司需求搭建各種應(yīng)用級平臺，這里，我們稱之為信息化平臺。信息化平臺的建設(shè)包括現(xiàn)行的信息化建設(shè)和規(guī)劃中的信息化建設(shè)。 A現(xiàn)行的信息化建設(shè)主要包括：文件共享與訪問控制、內(nèi)網(wǎng)安全、應(yīng)用系統(tǒng)管理。

2、各平臺的建設(shè)和應(yīng)用情況下如下：一、文件共享與訪問控制1. DFS分布式文件系統(tǒng)。我們根據(jù)公司需求創(chuàng)建文件服務(wù)器。文件服務(wù)器作為企業(yè)級數(shù)據(jù)倉庫，將綜合部備份歸檔的各部門文件資料保存起來。在文件服務(wù)器中按各部門名稱創(chuàng)建文件夾。并將各部門的備份文件存放在對應(yīng)的部門文件夾下。在創(chuàng)建文件共享的時候結(jié)合了DFS分布式文件系統(tǒng)，將局域網(wǎng)內(nèi)所有電腦的共享文件夾映射到同一個目錄文件夾下，當(dāng)用戶需要訪問某部門共享文件夾時，直接連接共享服務(wù)器，此共享服務(wù)器利用分布式文件系統(tǒng)，將所有用戶的共享顯示出來，便于訪問者查看。2. NTFS文件訪問。在文件服務(wù)器中針對部門文件夾設(shè)置用戶訪問權(quán)限，這樣就保證了指定的用戶訪問指定

3、的文件夾，用戶在非授權(quán)的情況下無法訪問其他部門的文件。同時設(shè)置不同級別的訪問權(quán)限。如有的用戶只能獲得查看某文件的權(quán)限；有的用戶能獲得查看、修改的權(quán)限；甚至有的用戶能獲得創(chuàng)建、查看、修改和刪除的權(quán)限。我們根據(jù)不同部門不同人員的應(yīng)用來制訂不同的文件夾訪問權(quán)限。3. FTP上傳下載。在文件服務(wù)器上創(chuàng)建FTP，分別建立北京制度和常州制度文件夾，在FTP中創(chuàng)建公司所有人員的登陸帳戶，將員工目錄訪問地址分別指向到這兩個文件夾下，然后授予綜合部上傳、修改文件的權(quán)限，保證他們能夠?qū)⒐鞠嚓P(guān)制度上傳到北京或常州對應(yīng)文件夾下，這樣，所有FTP用戶都可以隨時登陸查看公司相關(guān)制度。二、內(nèi)網(wǎng)安全管理1. 文檔加密系統(tǒng)。

4、文檔加密系統(tǒng)通過控制臺下發(fā)策略，對指定類型的文件進(jìn)行加密，在這種策略下，文件被加密后，脫離控制臺所在的公司網(wǎng)絡(luò)將無法打開。同時，還可以添加禁止屏幕截圖策略、禁止USB存儲策略等，杜絕信息從以上源泄露。2. 打印管理系統(tǒng)。打印管理系統(tǒng)通過控制臺制訂打印策略，應(yīng)用策略后的電腦在用戶打印文件時，文件內(nèi)容將被記錄到打印控制臺中，管理員能隨時查看用戶打印的文件是否危害到公司的信息安全。在綜合部打印管理員電腦上安裝控制臺，設(shè)置打印監(jiān)控策略，使每次的打印作業(yè)都保存在打印控制臺中，若出現(xiàn)危及企業(yè)安全的打印行為，將可通過打印記錄追究相關(guān)人責(zé)任。在打印軟件中，可以設(shè)置打印紙張和成本，這樣，可以為綜合部做出每月、每

5、年的紙張成本核算，統(tǒng)計各部門的打印成本，有助于公司的成本核算和資源節(jié)約。3. 內(nèi)網(wǎng)行為管理。內(nèi)網(wǎng)管理軟件通過在控制臺制訂網(wǎng)頁過濾白名單、黑名單策略、程序運行策略，限制用戶訪問一些不良網(wǎng)站和游戲網(wǎng)站，并通過屏幕監(jiān)控和屏幕錄像手段防止不良員工泄露企業(yè)機密信息。三、應(yīng)用系統(tǒng)1. ERP系統(tǒng)。我公司使用速達(dá)ERP系統(tǒng)管理采購、生產(chǎn)、庫存整個生產(chǎn)環(huán)節(jié)過程中的各項種資源數(shù)據(jù)，由項目部制作生產(chǎn)計劃生成物料清單和生產(chǎn)任務(wù)單提供給采購部，采購部依此制作采購計劃單和采購訂單，采購到貨入庫后，制作采購收貨單和入庫單；進(jìn)行生產(chǎn)作業(yè)時，項目部制作生產(chǎn)領(lǐng)料單，到倉儲部領(lǐng)取原材料，倉儲部制作出庫單。產(chǎn)品生產(chǎn)完成，進(jìn)入待檢庫

6、，由質(zhì)管部檢查產(chǎn)品是否合格，若不合格，進(jìn)行相關(guān)處理，直到合格后，調(diào)入成品庫。這些流程都是應(yīng)用ERP單據(jù)的關(guān)聯(lián)實現(xiàn)的。我們使用了ERP系統(tǒng)后，整個生產(chǎn)過程變得規(guī)范化、信息化。2. OA系統(tǒng)。我公司使用金和OA系統(tǒng)實現(xiàn)企業(yè)中無紙化辦公，通過OA系統(tǒng)實現(xiàn)各個部門日記、計劃的編寫，便于上級領(lǐng)導(dǎo)即時查看。實現(xiàn)在系統(tǒng)中核算并審批三個公司的不同工資核算模式；實現(xiàn)在系統(tǒng)中提交資金計劃和差異的編寫及流程審批走向。以上這些模塊應(yīng)用，在現(xiàn)有的網(wǎng)絡(luò)環(huán)境下，滿足了綜合部的部分工作需求，保證了各部門間的信息互通和共享。在綜合部的工作范圍中，還有如下工作流程，希望能在我部門的幫助下實現(xiàn)。 在OA中實現(xiàn)辦公設(shè)施采購管理。OA

7、系統(tǒng)中有自帶的用品管理模塊，此模塊從用品登記入庫領(lǐng)用出庫歸還入庫，能詳細(xì)記錄辦公設(shè)施的循環(huán)使用過程。然而，綜合部提出，辦公設(shè)施從采購需求采購計劃采購收貨這一段入庫前的過程是空白的，希望有辦法在OA中實現(xiàn)。而我們通過對系統(tǒng)的了解，這個標(biāo)準(zhǔn)版OA系統(tǒng)還沒有此專門模塊，我們可以嘗試在業(yè)務(wù)擴展中自定義模塊，建設(shè)一個辦公設(shè)施采購過程，并與綜合部溝通，盡可能跟其預(yù)想中貼近。 在OA中實現(xiàn)整個招聘流程管理。我們已經(jīng)在OA中建好了用人申請、錄用申請各個模板，在流程設(shè)計中分別創(chuàng)建了用人申請、錄用申請的流程走向。針對這個模塊，我們要根據(jù)綜合部的需求，從招聘需求用人申請通知面試入職體檢錄用申請這些現(xiàn)實中的流程步驟將

8、用人申請和錄用申請兩個子流程做得連貫，盡可能將綜合部招聘計劃與OA中招聘計劃流程相符。 在OA中實現(xiàn)整個人事流程管理。在綜合部的人事管理中，包括員工從入職后到離職這一整個過程。根據(jù)綜合部的需求，我們可以在OA系統(tǒng)中實現(xiàn)從員工轉(zhuǎn)正員工調(diào)動員工離職這整人事變動過程。這每一過程模塊都可以創(chuàng)建對應(yīng)的OA流程走向，在與綜合部的溝通中，我們可以將這個人事流程不斷改進(jìn)，盡可能符合綜合部最初的需求。 在OA中實現(xiàn)訂餐管理和宿舍管理。在綜合部轄管的后勤中，后勤管理人員希望能夠有一個專門的模塊管理訂餐和宿舍。根據(jù)分析，訂餐的過程是：詢問各部門負(fù)責(zé)人當(dāng)日考勤人數(shù)統(tǒng)計就餐人數(shù)按人數(shù)訂餐。宿舍管理的過程是：當(dāng)事人提交出

9、差計劃綜合部存檔綜合部通知宿舍管理員宿舍管理員安排宿舍出差結(jié)束宿舍管理員統(tǒng)計水電數(shù)。這兩項工作我們只能嘗試在自定義模塊中創(chuàng)建表單，選擇不走流程的管理方式，僅限后勤人員使用。B規(guī)劃的信息化建設(shè)主要包括：安全網(wǎng)管、。身份認(rèn)證、安全審計、入侵防御。各平臺的建設(shè)計劃如下：一、安全網(wǎng)管安全網(wǎng)管的作用是：通過防火墻、網(wǎng)關(guān)技術(shù)與交換機應(yīng)用技術(shù)相結(jié)合，使用VPN、VLAN、端口監(jiān)測、流量分析和控制，最大程度的優(yōu)化和集中管理企業(yè)的網(wǎng)絡(luò)資源。1.juniper防火墻。我公司購買的juniper防火墻為最基本配置，在此配置下，防火墻具備路由、交換、VPN功能，還具備以往的防數(shù)據(jù)包攻擊功能，然而，對于防范其他比較強悍

10、的沖擊波、網(wǎng)絡(luò)風(fēng)暴及DDoS攻擊行為卻稍嫌不足。在此情況下，可以考慮給車間的juniper防火墻添購防攻擊、防垃圾郵件等模塊，用于增強車間局域網(wǎng)內(nèi)ERP服務(wù)器、OA服務(wù)器、郵箱服務(wù)器、ftp服務(wù)器的數(shù)據(jù)安全。2.三層交換機。為了有效的控制和集中管理企業(yè)的網(wǎng)絡(luò)資源，可以考慮購買管理級三層交換機，從網(wǎng)絡(luò)層著手，綁定各用戶IP，同時在交換機中做流量限制，控制用戶合理的使用網(wǎng)絡(luò)資源。同時在三層交換機中可以劃分VLAN，可以根據(jù)需要劃分不同的局域網(wǎng)，不同的局域網(wǎng)制訂不同的網(wǎng)絡(luò)資源訪問策略，還能保證在其中一個VLAN下出現(xiàn)病毒木馬時，不會感染到其他VLAN區(qū)。通過三層交換機實現(xiàn)如下功能： 可以方便地查看可

11、管理設(shè)備的配置信息，如System、Interface、IP Address、Routing、ARP、MAC Address等； 動態(tài)顯示交換機端口狀態(tài)、流量等信息，可以設(shè)置端口流量閥值，當(dāng)端口流量超過閥值時自動報警，幫助系統(tǒng)管理員監(jiān)視、分析網(wǎng)絡(luò)性能； 提供未知（未登記）IP地址、MAC地址列表,自動發(fā)現(xiàn)有未知受控終端接入的交換機端口，方便系統(tǒng)管理員發(fā)現(xiàn)非法入侵者； 實現(xiàn)交換機端口的打開和阻斷控制；自動識別網(wǎng)絡(luò)中所有設(shè)備的IP地址、MAC地址、設(shè)備名稱等基本設(shè)備信息； 動態(tài)顯示受控終端的當(dāng)前狀態(tài)，對各種不正常狀態(tài)(如IP和MAC地址隨意更改、關(guān)機、受控終端Ping不通、未知設(shè)備接入等)均提供聲

12、音報警和屏幕顯示報警； 可以按設(shè)備類型（如服務(wù)器、主機、打印機、交換機、路由器、網(wǎng)關(guān)）、vlan、子網(wǎng)、部門等方法對設(shè)備進(jìn)行分類管理，列表顯示出設(shè)備的名稱、所屬部門、IP地址、MAC地址、發(fā)現(xiàn)時間等信息； 可以根據(jù)交換機端口連接的工位對計算機進(jìn)行管理,方便網(wǎng)絡(luò)管理員迅速定位出現(xiàn)故障的計算機連接的交換機端口； 可以方便地查看受控終端的配置信息、審計日志信息，對受控終端進(jìn)行屏幕監(jiān)控；二、身份認(rèn)證系統(tǒng)公司目前使用的身份認(rèn)證基本上都是用戶登陸密碼，登陸密碼因為長期使用，容易被不法分子或不良員工盜用，導(dǎo)致信息資料泄露。為了提供企業(yè)信息安全水平，我們可以建設(shè)專業(yè)的身份認(rèn)證系統(tǒng)。1. 動態(tài)口令牌。動態(tài)口令是

13、根據(jù)特定算法生成不可預(yù)測的隨機數(shù)字組合，每個口令只能使用一次。動態(tài)口令牌是用來生成動態(tài)口令的終端設(shè)備，也稱動態(tài)令牌。動態(tài)口令認(rèn)證技術(shù)被認(rèn)為是目前能夠最有效解決用戶的身份認(rèn)證方式之一，使用動態(tài)口令主要有2個方面價值： （1）防止由于盜號而產(chǎn)生的財產(chǎn)損失。 （2）采用動態(tài)口令的單位無需忍受定期修改各種應(yīng)用系統(tǒng)登錄密碼的煩惱。2. USB KEY。基于USB Key的身份認(rèn)證方式是近幾年發(fā)展起來的一種方便、安全的身份認(rèn)證技術(shù)。它采用軟硬件相結(jié)合，很好地解決了安全性與易用性之間的矛盾。USB Key是一種USB接口的硬件設(shè)備，它內(nèi)置單片機或智能卡芯片，可以存儲用戶的密鑰或數(shù)字證書，利用USB Key內(nèi)

14、置的密碼算法實現(xiàn)對用戶身份的認(rèn)證。而對于我公司的服務(wù)器的密碼保護，我們可以建設(shè)雙因素身份認(rèn)證系統(tǒng)。我們的建設(shè)方法是：在為服務(wù)器設(shè)置靜態(tài)密碼的基礎(chǔ)上，使用動態(tài)口令牌或USB KEY，這樣將靜態(tài)密碼和口令牌動態(tài)生成的密碼相結(jié)合，在登陸各應(yīng)用級服務(wù)器時，必須經(jīng)過靜態(tài)密碼和動態(tài)口令牌雙重認(rèn)證，才能登陸服務(wù)器，保證了服務(wù)器的安全。三、安全審計安全審計是指根據(jù)一定的安全策略，通過記錄和分析歷史操作事件及數(shù)據(jù)，發(fā)現(xiàn)能夠改進(jìn)系統(tǒng)性能和系統(tǒng)安全的地方。我們應(yīng)該為企業(yè)建設(shè)安全審計系統(tǒng)，為企業(yè)建設(shè)安全審計的目的是：為保證網(wǎng)絡(luò)系統(tǒng)安全運行，保護數(shù)據(jù)的保密性、完整性及可用性不受損壞，防止有意或無意的人為錯誤，防范和發(fā)現(xiàn)

15、計算機網(wǎng)絡(luò)犯罪活動，除采取其他安全措施外，利用審計機制可以有針對性地對網(wǎng)絡(luò)運行的狀況和過程進(jìn)行記錄、跟蹤和審查，以從中發(fā)現(xiàn)安全問題。此外審計還能為制定網(wǎng)上信息過濾規(guī)則提供依據(jù)，如發(fā)現(xiàn)有害信息的網(wǎng)站后將其加入路由過濾列表，通過信息過濾機制拒絕接收一切來自過濾列表上IP地址的信息，將網(wǎng)上的某些站點產(chǎn)生的信息垃圾拒之門外。安全審計系統(tǒng)應(yīng)該是事前控制人員或設(shè)備的訪問行為，并能事后獲得直接電子證據(jù)，防止行為抵賴的系統(tǒng)。審計系統(tǒng)把可疑數(shù)據(jù)、入侵信息、敏感信息等記錄下來，作為取證和跟蹤使用。安全審計分為基于網(wǎng)絡(luò)的審計和基于主機的審計。前者包括對網(wǎng)絡(luò)信息內(nèi)容和協(xié)議的分析;后者包括對系統(tǒng)資源，如打印機、Mode

16、m、系統(tǒng)文件、注冊表文件等的使用進(jìn)行事前控制和事后取證，形成重要的日志文件。 建設(shè)安全審計的計劃如下：記錄、跟蹤系統(tǒng)運行狀況。利用審計工具，監(jiān)視和記錄系統(tǒng)的活動情況，記錄用戶登錄賬戶、登錄時間、終端以及所訪問的文件、存取操作等，并放人系統(tǒng)日志中保存在磁盤上，必要時可打印輸出,提供審計報告，使影響系統(tǒng)安全性的存取以及其他非法企圖留下線索，以便查出非法操作者；檢測各種安全事故。審計工具能檢測和判定對系統(tǒng)的攻擊，如多次使用錯誤口令登錄系統(tǒng)的嘗試，及時提供報警甚至自動處理，使系統(tǒng)安全管理人員能夠了解系統(tǒng)的運行情況，及時堵住非法入侵者。審計工具還能識別合法用戶的誤操作等；保存、維護和管理審計日志。由于審計日志記錄了審計、跟蹤、檢測各種安全事件的結(jié)果，是查找、分析網(wǎng)絡(luò)系統(tǒng)安全事件的客觀依據(jù)。四、入侵防御系統(tǒng)1入侵檢測。入侵檢測系統(tǒng)IDS對那些異常的、可能是入侵行為的數(shù)據(jù)進(jìn)行檢測和報警，告知使用者的網(wǎng)絡(luò)實時狀況，并提供響應(yīng)的解決、處理方法。2入侵防御。入侵防御系統(tǒng)IPS對那些被明確判斷為攻擊行為、會對網(wǎng)絡(luò)、數(shù)據(jù)造成危害的惡意行為進(jìn)行檢測和防御，降低或是減免使用者對異常狀況的