網絡改造方案-

黃岡礦業(yè)網絡改造方案內蒙古萬德系統集成有限責任公司2021

目錄1 用戶需求分析 -2-1.1 項目改造內容 -2-1.2 項目設計原則 -3-1.2.1 設計原則 -3-1.2.2 建設原則 -5-1.3 項目設計思想 -5-2 項目整體解決方案 -6-2.1 網絡現狀 -6-2.1.1 現網拓撲 -6-2.1.2 網絡存在問題 -6-2.2 改造建議 -7-2.2.1 改造拓撲及描述 -7-2.2.2 改造后優(yōu)勢 -8-3 網絡系統 -8-3.1 組網方案 -8-3.1.1 組網拓撲 -8-3.1.2 分層網絡設計 -9-3.1.3 IP地址規(guī)劃 -10-3.1.4 IPv4地址規(guī)劃 -12-3.1.5 IPv4路由規(guī)劃 -13-3.1.6 Vlan設計 -13-3.2 網絡優(yōu)化系統 -16-3.2.1 上網行為管理 -16-3.2.2 網絡安全審計 -19-4 安全與管理系統 -21-用戶需求分析內蒙古黃崗礦業(yè)有限責任公司的前身是內蒙古赤峰黃崗鐵礦，1993年籌建，1996年投產，是克旗人民政府下屬的全民所有制企業(yè)。2021年3月23日，中共克旗委第66次會議決定，企業(yè)改制為有限責任公司。公司更名為“內蒙古黃崗礦業(yè)有限責任公司”，由集通公司以承債的方式購買企業(yè)的主要產權，控股經營企業(yè)。2021年4月20日各方簽定《關于設立內蒙古黃崗礦業(yè)有限責任公司協議書》規(guī)定：注冊資本總額為2400萬元人民幣。2021年9月15日，中共克旗委第38次常委會議決定，同意內蒙古黃崗礦業(yè)有限責任公司增資擴股，由包頭鋼鐵（集團）有責任公司控股。同時根據《內蒙古黃崗礦業(yè)有限責任公司章程修整案》的規(guī)定，增設包頭鋼鐵（集團）有限責任公司為新任股東。增設股東后的內蒙古黃崗礦業(yè)有限責任公司股東為6個，注冊資本金為8139萬元，即包頭鋼鐵（集團）有限責任公司出資人民幣5000萬元，占注冊資本金的61.4%，內蒙古集通鐵路有限責任公司出資人民幣1679萬元，占注冊資本金的20.6%，克什克騰旗人民政府出資人民幣660萬元，占注冊金的8.1%，內蒙古赤峰地質礦產勘察開發(fā)院出資人民幣646萬元，占注冊資本金的7.9%，克旗農電局出資人民幣65萬元，占注冊資本金的0.8%，自然人出資人民幣89萬元，占注冊金的1.2%。2021年9月22日，內蒙古黃崗礦業(yè)有限責任公司股東會2021年第一次臨時會議同意克旗政府把自己擁有的公司6%的股份以600萬元人民幣的價格協議轉讓給蓮池控股，克旗政府的股東比例由8.1%減至2.1%。其他股東的股權比例不變。2021年8月，在克旗旗委政府的協調下，由內蒙古黃崗礦業(yè)有限責任公司將仍在三區(qū)邊緣地帶采礦的“克旗黃崗礦業(yè)有限責任公司”以1500萬元的價格收購。從此，形成了黃崗一，二，三，四區(qū)由內蒙古黃崗礦業(yè)有限責任公司獨家采選的局面。項目改造內容本次項目針對現網存在的問題，提出改造及完善建議。尤其針對出口安全及內網互聯作出詳細描述。項目設計原則設計原則設計原則是系統設計時必須要考慮的總體原則，它必須滿足系統設計目標中的要求，遵循系統性整體性、先進性和可擴充性原則，建立經濟合理、資源優(yōu)化的系統設計方案。系統平臺作為黃岡礦業(yè)的一項重要的基礎設施，為用戶總體規(guī)劃和技術要求提供保障，以便為用戶提供一個先進、靈活、可靠、基于標準的多業(yè)務、多應用平臺，不僅能夠滿足目前各種業(yè)務和應用要求，同時可為今后的發(fā)展及其業(yè)務、應用提供良好的擴展支持能力。因此，我們在進行方案設計時，應遵循以下設計原則。先進性與合理性相結合的原則在本項目方案設計中，應“立足現在，著眼未來”，在保證技術成熟及性能穩(wěn)定的前提下，順應主流技術的發(fā)展趨勢，充分采用當今國內、國際上最先進的計算機軟硬件技術和設備，使本項目系統能夠最大限度地適應今后技術發(fā)展和業(yè)務發(fā)展變化的需要。其中，采用的系統結構應當是先進的、開放的體系結構?？煽啃院头€(wěn)定性相結合的原則為保證黃岡礦業(yè)各項業(yè)務和應用順利進行，網絡系統和IT基礎平臺必須具有較高的可靠性和穩(wěn)定性，要對網絡結構、網絡設備、服務器設備、配套設備和環(huán)境設施等多個方面進行高可靠性、高穩(wěn)定性的系統設計與配置。首先，在設備選型上要選擇成熟、可靠、穩(wěn)定的產品；其次，要在系統整體結構與連接方式上對可靠性和穩(wěn)定性進行充分考慮，要采用切實有效的系統冗余備份方式，提供高效的自愈能力，并在采用硬件備份、設備冗余等可靠性、穩(wěn)定性技術的基礎上，采用相關的軟件技術提供較強的管理控制機制和事故監(jiān)控手段，從而充分保障系統是持續(xù)可用的。實用性和可管理性相結合的原則應采用成熟、實用的技術滿足當前的應用需求，同時兼顧其它應用及系統發(fā)展的運行需求，盡可能延續(xù)原有的設備、并保證與原有系統兼容。同時，應使用先進且實用的技術以適應更高的數據、信息的傳輸、處理需要，使整個系統在一段時期內保持技術的先進性，并具有良好的發(fā)展?jié)摿?，以適應未來信息化的發(fā)展和技術升級的需要。可擴展性和開放性相結合的原則為保證本項目系統符合當今技術飛速發(fā)展的趨勢，并滿足系統發(fā)展的需要，在方案設計中必須充分考慮網絡和服務器系統將來的擴展能力。其中，網絡必須能夠根據信息化的不斷深入發(fā)展，方便地擴展覆蓋范圍、擴大網絡容量和提高網絡各層次節(jié)點的功能。本項目系統這種工程應具備與多種協議的計算機通信網絡互連互通的能力，因此為確保本項目系統基礎設施的作用可以充分發(fā)揮，在結構上必須真正實現開放，采用基于國際開放式的標準，包括各種廣域網、局域網、計算機，堅持統一規(guī)劃的原則，從而為未來的業(yè)務發(fā)展奠定基礎。安全性和保密性相結合的原則安全性是本項目系統運行的生命線，在本方案設計中應給予充分考慮。國家對信息安全問題十分重視，信息產業(yè)部、中辦機要局、國家密碼管理委員會等有關部門對網絡的信息安全問題制定了許多相應法規(guī)、規(guī)定，如《中華人民共和國保守國家秘密法》、《計算機信息系統保密暫行規(guī)定》、《涉及國家秘密的通信辦公自動化和計算機信息系統審批暫行辦法》等。本項目的安全性方案應嚴格按照信息安全主管部門的有關規(guī)定設計，使本項目系統成為一個安全的通信平臺，并確保系統信息傳輸的安全。本項目安全體系方案設計的原則是：1、整個系統必須是一個嚴密的安全體系；2、采取的安全措施不能影響整個網絡的運行效率；3、系統設計應具有完善的安全管理機制，以保證網絡和數據的安全；4、保證各個環(huán)節(jié)的安全保密，統籌規(guī)劃；5、安全方案的制訂和實施應遵循國家系統安全的相關規(guī)定。建設原則建設應遵循如下指導原則：統一領導，統一規(guī)劃，統一標準。以應用帶發(fā)展，以效益促應用，分步實施，逐步完善。網絡結構穩(wěn)定，易于升級、擴展；應用系統靈活，易于共享、溝通。網絡安全，信息保密，穩(wěn)定可靠，高效運行。綜合考慮整體性、實用性、先進性和經濟性。利用現有資源滿足業(yè)務急需，保持持續(xù)發(fā)展。管理運行體系與工程建設同步進行。項目設計思想1、組建安全、可靠、快速的三層匯聚交換網絡。2、采用先進、成熟的技術3、保證原有系統的完整性和業(yè)務不中斷4、舊系統的搬遷和新舊系統的無縫融合，軟硬件應平滑過渡和升級5、采用高可靠、可擴展的設備和架構項目整體解決方案網絡現狀現網拓撲網絡存在問題防火墻承擔安全策略及路由NAT功能，X86架構的CPU不能滿足用戶及出口帶寬的增長，造成網速變慢甚至CPU超負荷后斷網。核心交換機未啟用三層功能，網關在防火墻上，內網用戶通信流量再次轉嫁至防火墻。用戶上網行為不能監(jiān)控，員工帶寬不能限制，造成資源浪費。礦區(qū)之間使用光電轉換器的不可靠連接，增加了故障率。用戶普遍使用TP-LINLK作為接入設備，不方便管理。安全策略、路由協議等較落后，不滿足現網需求。改造建議改造拓撲及描述二區(qū)新增核心路由及核心交換機，新增上網行為管理設備。一區(qū)、三區(qū)、四區(qū)、尾礦新增匯聚交換機。原有接入交換機作為用戶接入設備，原設備均利舊使用，不造成資源浪費。內網安全策略、路由協議均重新規(guī)劃。改造后優(yōu)勢新增路由器啟用NAT功能、分擔防火墻壓力，防火墻只做安全策略。新增核心交換機啟用三層功能，劃分VLAN，優(yōu)化內網環(huán)境并提供光接口。替換所有光電轉換器為光接入交換機，較少線路故障率。原設備均利舊使用，不造成資源浪費。新增用戶行為及審計功能。合理化的帶寬分配，不會因員工下載造成網速緩慢。重新調試的網絡策略更適于現在使用情況。網絡系統組網方案網絡做為一個系統的傳輸平臺，它為業(yè)務系統提供了可靠傳輸通道，是業(yè)務系統的支撐系統，是一個系統的路，是一個單位信息化的基礎。組網拓撲目前，組網的拓撲結構設計中通常采用三種結構：星型、網狀和部分網狀結構。拓樸結構星型結構（Star）：星型結構是指所有的外圍設備通過單一鏈路連接到處于網絡中心的核心設備上。星型結構的優(yōu)點是節(jié)約線路開支，網絡結構簡單，易于增容與維護；但對中心設備與連接鏈路有依賴性，容易出現單點故障，要求中心節(jié)點必須保證高可靠性。在網絡絡設計中，針對主干框架的選擇應充分考慮網絡性能、維護難易程度以及可靠性等因素，同時也要考慮系統的性價比，從而權衡利弊，作出最為符合實際情況的結構方案。分層網絡設計優(yōu)良的拓撲結構是網絡穩(wěn)定、可靠運行的基礎。一個大規(guī)模的局域網絡系統往往被分為幾個較小的部分，它們之間既相對獨立又互相關聯，這種化整為零的做法是分層進行的。通常網絡拓撲的分層結構包括三個層次，即核心層、分布層和接入層。每一層都有其自身的規(guī)劃目標：核心層處理高速數據流，其主要任務是數據包的交換。分布層負責聚合路由路徑，收斂數據流量。接入層將流量饋入網絡，執(zhí)行網絡訪問控制，并且提供相關邊緣服務。網絡大都是依照上面的分層原則設計的星型以太網，配合各種最新的技術如VLAN、TRUNK、Qos等，極大地提高了網絡的性價。其邏輯結構如下圖所示：IP地址規(guī)劃IP地址的合理規(guī)劃是網絡設計中的重要一環(huán)，大型計算機網絡必須對ＩＰ地址進行統一規(guī)劃并得到實施。IP地址規(guī)劃的好壞，影響到網絡路由協議算法的效率，影響到網絡的性能，影響到網絡的擴展，影響到網絡的管理，也必將直接影響到網絡應用的進一步發(fā)展。在網絡設計中IP編址方案的設計非常重要，它將直接影響網絡的運行效率。為了使網絡達到最高的運行效率，在設計IP編址方案時要遵從以下原則：1、IP地址分層設計IP地址分層設計是指在分配IP地址時參考物理網絡設計的層次結構和網絡應用的邏輯層次結構，按層次劃分IP地址。在分層設計中將地址按層次化結構進行分配，可有效避免隨機分配所帶來的地址浪費的可能性，使IP地址資源得到最有效的利用。在網絡設計中，我們都要盡可能使路由表保持簡潔，由于使用分層地址設計，使得路由總結技術的使用成為可能，它意味著計算路由和查找路由表時占用路由器CPU時間的減少、路由內存需求的減少。2、使用變長子網掩碼變長子網掩碼（VLSM）是指一個網絡可以分層次配置不同的掩碼。把一個網分成多個子網時，變長子網掩碼解決了子網數和主機數的可能沖突，保證更大的靈活性。如果沒有VLSM，一個子網掩碼只能提供給所有子網，可能造成不必要的地址浪費。VLSM還帶來另外的好處就是可以更好地使用路由總結，VLSM允許在地址分配中使用更多的層次，從而在路由表中更好地使用路由總結。3、路由總結在大型的、復雜的互聯網絡中，可能存在成百上千的網絡地址；在這種環(huán)境下，通常路由表中不需要包括所有這些路由。路由總結是通過使用單一的總結性地址來表示一系列網絡號從而減少路由器所必須包含的路由數目的方法。路由總結的使用可以降低路由器內存的占用和路由協議的網絡流量占用率。使用路由總結的另外一個好處就是它可以隔離其它分區(qū)域內的拓撲結構的變化，也就是說，如果網絡中某一部分區(qū)域的拓撲結構發(fā)生變化，而它的總結地址沒有改變，那么它的結構變化帶來的路由信息的更新將不會傳到網絡的其他分區(qū)域，從而提高整個網絡的可靠性。4、盡可能使用保留地址段內部網不需要與INTERNET網絡直接連接，IANA預見到了這個問題，并預留了A、B和C的一些網絡號，以提供給內部網使用。這些預留地址如下所示：ClassAClassB16個B類地址ClassC256個C類地址任何組織都可以在他們的內部網中使用這些地址，同時這些地址將不會出現在INTERNET中，這樣這些組織如果需要連入INTERNET的話，他們可以通過出口路由器地址轉換功能與INTERNET上的主機通訊，而不需要重新設定內部網絡地址。IP地址空間分配，要與網絡拓撲層次結構相適應，既要有效地利用地址空間，又要體現出網絡的可擴展性和靈活性，同時能滿足路由協議的要求，以便于網絡中的路由聚類，減少路由器中路由表的長度，減少對路由器CPU、內存的消耗，提高路由算法的效率，加快路由變化的收斂速度，同時還要考慮到網絡地址的可管理性。具體分配時要遵循以下原則：唯一性：一個IP網絡中不能有兩個主機采用相同的IP地址；簡單性：地址分配應簡單易于管理，降低網絡擴展的復雜性，簡化路由表項連續(xù)性：連續(xù)地址在層次結構網絡中易于進行路徑疊合，大大縮減路由表，提高路由算法的效率可擴展性：地址分配在每一層次上都要留有余量，在網絡規(guī)模擴展時能保證地址疊合所需的連續(xù)性靈活性：地址分配應具有靈活性，以滿足多種路由策略的優(yōu)化，充分利用地址空間。主流的IP地址規(guī)劃方案分為純公網地址、純私網地址和混合網絡地址三種。IPv4地址規(guī)劃地址編碼規(guī)范建議校園（城域）網的IP地址進行嚴格的編碼，每位代表不同的含義。其編碼規(guī)則（舉例如下）為：通過地址標識可以清楚地區(qū)分出IP地址地來源，便于路由匯聚和訪問控制。從上表中我們也可以看出，通過我們的規(guī)劃，我們能從IP地址分析出IP地址的來源、用途等，這將為網絡的維護帶來方便。具體的IP地址定義將結合實際情況確定。IP地址使用可以采用靜態(tài)或動態(tài)的方式，可以開啟網絡設備或服務器DHCP協議，對于固定IP地址用戶，需要針對標識符（MAC地址）設定保留IP地址。IPv4路由規(guī)劃整個骨干網絡采用動態(tài)路由協議，動態(tài)協議在整個骨干網中不會引起路由回環(huán)，利于骨干網的健壯性，也可以根據準旗教育局采用動態(tài)路由加靜態(tài)路由方式。在匯聚與核心之間采用動態(tài)路由的方式，動態(tài)路由的方式可以減少網絡中心人員的維護量。動態(tài)只在核心骨干中進行運行這樣大大減少了骨干節(jié)點之間動態(tài)協議的收斂周期，在實際的應用的過程當中可以提高穩(wěn)定性。Vlan設計隨著網絡的迅速發(fā)展，用戶對于網絡數據通信的安全性提出了更高的要求，諸如防范黑客攻擊、控制病毒傳播等，都要求保證網絡用戶通信的相對安全性；傳統的解決方法是給每個客戶分配一個VLAN和相關的IP子網，通過使用VLAN，每個客戶被從第2層隔離開，可以防止任何惡意的行為和Ethernet的信息探聽。。在交換機上基于端口劃分VLAN時，可以在同一交換機劃分多個VLAN，也可跨主干劃分同一個VLAN，網絡中應盡量使用本地VLAN的劃分方法，并通過Trunk鏈路實現多個VLAN的跨主干連接，最終通過中心/核心/匯聚交換機的路由功能實現VLAN之間的通信。對VLAN進行集中管理的技術中，可以使用GVRP協議。GVRP（GARPVLANRegistrationProtocol，GARPVLAN注冊協議）是GARP的一種應用，它基于GARP的工作機制，維護交換機中的VLAN動態(tài)注冊信息，并傳播該信息到其它的交換機中。所有支持GVRP特性的交換機能夠接收來自其它交換機的VLAN注冊信息，并動態(tài)更新本地的VLAN注冊信息，包括當前的VLAN成員、這些VLAN成員可以通過哪個端口到達等。而且所有支持GVRP特性的交換機能夠將本地的VLAN注冊信息向其它交換機傳播，以便使同一交換網內所有支持GVRP特性的設備的VLAN信息達成一致。GVRP傳播的VLAN注冊信息既包括本地手工配置的靜態(tài)注冊信息，也包括來自其它交換機的動態(tài)注冊信息。GVRP在IEEE802.1Q標準文本中有詳細的表述。GVRP的主要作用是在802.1QTrunk口上實現提供802.1Q兼容的VLAN修剪與動態(tài)VLAN創(chuàng)建。使用GVRP，交換機可以和其它使用GVRP的交換機交換VLAN配置信息，在802.1QTrunk鏈路上修剪不需要的廣播和未知的單播流量，動態(tài)創(chuàng)建和管理VLAN。VLAN在交換機上的實現方法，可以大致劃分為4類:1）.基于端口劃分的VLAN

這種劃分VLAN的方法是根據以太網交換機的端口來劃分，比如交換機的1~4端口為VLAN

10，5~17為VLAN

20，18~24為VLAN30，當然，這些屬于同一VLAN的端口可以不連續(xù)，如何配置，由管理員決定，如果有多個交換機，例如，可以指定交換機1的1~6端口和交換機2的1~4端口為同一VLAN，即同一VLAN可以跨越數個以太網交換機，根據端口劃分是目前定義VLAN的最廣泛的方法，IEEE802.1Q規(guī)定了依據以太網交換機的端口來劃分VLAN的國際標準。這種劃分的方法的優(yōu)點是定義VLAN成員時非常簡單，只要將所有的端口都指定義一下就可以了。它的缺點是如果VLAN

A的用戶離開了原來的端口，到了一個新的交換機的某個端口，那么就必須重新定義。2）．基于MAC地址劃分VLAN這種劃分VLAN的方法是根據每個主機的MAC地址來劃分，即對每個MAC地址的主機都配置他屬于哪個組。這種劃分VLAN的方法的最大優(yōu)點就是當用戶物理位置移動時，即從一個交換機換到其他的交換機時，VLAN不用重新配置，所以，可以認為這種根據MAC地址的劃分方法是基于用戶的VLAN，這種方法的缺點是初始化時，所有的用戶都必須進行配置，如果有幾百個甚至上千個用戶的話，配置是非常累的。而且這種劃分的方法也導致了交換機執(zhí)行效率的降低，因為在每一個交換機的端口都可能存在很多個VLAN組的成員，這樣就無法限制廣播包了。另外，對于使用筆記本電腦的用戶來說，他們的網卡可能經常更換，這樣，VLAN就必須不停的配置。3）.基于網絡層劃分VLAN這種劃分VLAN的方法是根據每個主機的網絡層地址或協議類型(如果支持多協議)劃分的，雖然這種劃分方法是根據網絡地址，比如IP地址，但它不是路由，與網絡層的路由毫無關系。它雖然查看每個數據包的IP地址，但由于不是路由，所以，沒有RIP，OSPF等路由協議，而是根據生成樹算法進行橋交換，這種方法的優(yōu)點是用戶的物理位置改變了，不需要重新配置所屬的VLAN，而且可以根據協議類型來劃分VLAN，這對網絡管理者來說很重要，還有，這種方法不需要附加的幀標簽來識別VLAN，這樣可以減少網絡的通信量。這種方法的缺點是效率低，因為檢查每一個數據包的網絡層地址是需要消耗處理時間的(相對于前面兩種方法)，一般的交換機芯片都可以自動檢查網絡上數據包的以太網禎頭，但要讓芯片能檢查IP幀頭，需要更高的技術，同時也更費時。當然，這與各個廠商的實現方法有關。4）．根據IP組播劃分VLANIP

組播實際上也是一種VLAN的定義，即認為一個組播組就是一個VLAN，這種劃分的方法將VLAN擴大到了廣域網，因此這種方法具有更大的靈活性，而且也很容易通過路由器進行擴展，當然這種方法不適合局域網，主要是效率不高。5）．推薦的VLAN劃分方式及邏輯圖根據用戶應用的實際情況和我們多年的系統集成經驗推薦VLAN的劃分方式可以是按照基于端口的劃分?？梢园凑詹块T的不同劃分不同的VLAN，比如財務部門VLAN，人事部門VLAN,存儲網絡VLAN等，推薦的邏輯示意圖如下：網絡優(yōu)化系統安裝完畢后，隨系統的運行，新業(yè)務數據流的增加、原有業(yè)務數據的調整，其要應用設備運行效率會有所變化。系統的運行效率與系統各部分的參數有很大的關系，系統性能調優(yōu)是一個重要的工作，及時地為用戶做系統性能調整，是一項必要的服務。我公司會對黃岡礦業(yè)網絡系統在定期或不定期的巡檢的同時進行系統性能的調化，也可以是在用戶提出性能優(yōu)化的要求時，我公司派出相應的工程師進行系統的優(yōu)化。上網行為管理何謂上網行為管理？幫助互聯網用戶控制和管理對互聯網的使用，包括對網頁訪問過濾、網絡應用控制、帶寬流量管理、信息收發(fā)審計、用戶行為分析。為什么要管理上網行為“隨著互聯網的發(fā)展，它已經到了必須控制和管理的時代，因為網上充滿了錯誤的信息、虛假的信息，和非民主的力量。”蒂姆?伯納斯?李（互聯網之父）水能載舟亦能覆舟!互聯網一方面能夠幫助企業(yè)提高生產力、促進企業(yè)發(fā)展；另一方面也在企業(yè)管理、工作效率、信息安全、法律遵從、IT投資等方面給企業(yè)提出了嚴峻的問題與挑戰(zhàn)。網速為什么越來越慢？在辦公室里經常會聽到有人抱怨“網速為什么這么慢？”，幾乎所有的企業(yè)都存在這樣的問題。那么企業(yè)花錢租用的10M甚至100M帶寬都被用在哪里了？為什么帶寬不斷擴充，而網速并沒有明顯改善？真相：帶寬資源也許正被濫用!根據聯通公司發(fā)布的一份調查顯示：以迅雷、BT、eDonkey、KaZaA等為代表的P2P應用，消耗了40%以上的有效網絡帶寬。而在企業(yè)租用的有限帶寬里，充斥著大量P2P下載、網絡電視等應用流量，導致大量帶寬被非工作應用所占用。而且，由于P2P的應用特征，使得企業(yè)高額投資的帶寬成了互聯網公共服務。誰？在什么時間？可以擁有多少帶寬資源？可以使用哪些網絡應用？問題2：網絡安全事故為什么防不勝防？“堵漏洞、砌高墻、防外攻、防內賊，防不勝防”，防火墻越“砌”越“高”，入侵檢測越做越復雜，病毒庫越來越龐大，身份系統層層設保，卻依然無法應對層出不窮網絡安全威脅，難道那么多安全產品都是擺設？真相：安全隱患來自內部員工!無論如何豪華的防線，一個漏洞就可以毀滅所有一切。MetaGroup發(fā)布研究報告稱：“持續(xù)增長的安全威脅源自您的員工”。內部人員通過互聯網與外部通訊時，可能會引入含有惡意的或者攻擊性的內容，如若未能得到監(jiān)測和控制，這將成為企業(yè)的一大隱患。并且充滿誘惑的網絡資源往往是風險的發(fā)源地。誰？在什么時間？是否可以上網？是否阻止訪問可能含有安全風險的網絡內容？問題3：辦公室為成了免費網吧!據一項調查顯示，普通企業(yè)員工每天的互聯網訪問活中40％與工作無關，對色情等非法網站的訪問量70％都發(fā)生在工作時間。上班時間“上網休閑”已經成為普遍現象，聊天、游戲、炒股、購物、BBS、電影、博客等無時無刻不在搶占正常的工作時間，辦公室因此淪為不需要花錢的“網吧”。誰？在什么時間？可以用什么應用？不可以訪問什么網站？約束員工在互聯網上的行為，其實是在幫助員工匡正工作行為，丟棄不好的習慣，成為一個專業(yè)、敬業(yè)的職業(yè)人，這對員工自身的職業(yè)發(fā)展也是大有裨益的。問題4：企業(yè)要為員工的網絡行為背黑鍋嗎？目前，大部分企業(yè)內部員工上網并不受限制，但是他們在網上做了什么？對外發(fā)了什么信息？企業(yè)完全不知情，也無記錄可查詢，這就給企業(yè)埋下了巨大的法律風險。某企業(yè)被當地公安局網絡監(jiān)察處執(zhí)行嚴厲處罰，原因是查出該企業(yè)內有員工在網上發(fā)布了違反法律的信息，但是無法查出是哪位員工所為，最后企業(yè)只得為這名“幕后英雄”背黑鍋。那么在這種情況下，企業(yè)必須為員工的個人網絡行為負責嗎？誰？在什么時間？以何種方式？對外發(fā)了什么信息？發(fā)給了誰？問題5：發(fā)現內部網絡問題后不能快速的找到根源？當出口擁塞，網絡訪問異常時，只能通過網絡層面的的設備分析原因，簡單的插拔網線，復位設備，以希圖問題解決。但本質，內在的源頭無法定位。IT系統追求的的是性價比，一位的遷就會隱藏更大的隱患，我們需要專業(yè)的洞悉網絡問題應用源頭的能力，能夠分析問題的普遍性，嚴重性，共通性。利用上網行為管理產品能夠做到：哪些人群的應用異常？哪些行為在單位內最普遍？哪些部門隱患最突出？上網行為管理的實施步驟洞悉－＞管控－＞駕馭step1:企業(yè)要做好上網行為管理，必須先洞悉企業(yè)內使用互聯網的過程中存在哪些問題？因為不同企業(yè)面臨的問題不同，需要先了解到底有哪些問題？step2:然后分析問題的根源，再制定有針對性的策略管控問題；上網行為管理策略必須是有針對性的、個性化的，這樣才能符合不同企業(yè)本身的管理制度、企業(yè)文化等的要求和需求；step3:最后通過審計報表了解問題解決的程度和效果，再根據報表做管理策略優(yōu)化，進而達到駕馭互聯網、實現上網行為管理的價值。上網行為管理主要功能網頁訪問過濾互聯網上的網頁資源非常豐富，如果員工長時間訪問如色情、賭博、病毒等具有高度安全風險的網頁，以及購物、招聘、財經等與工作無關的網頁，將極大的降低生產效率。通過上網行為管理產品，用戶可以根據行業(yè)特征、業(yè)務需要和企業(yè)文化來制定個性化的網頁訪問策略，過濾非工作相關的網頁。網絡應用控制聊天、看電影、玩游戲、炒股票等等，互聯網上的應用可謂五花八門，如果員工長期沉迷于這些應用，也將成為企業(yè)生產效率的巨大殺手，并可能造成網速緩慢、信息外泄的可能。通過上網行為管理產品，用戶可以制定有效的網絡應用控制策略，封堵與業(yè)務無關的網絡應用，引導員工在合適的時間做合適的事。帶寬流量管理P2P下載、在線游戲、在線看電影電視等都在搶占著有限的帶寬資源。面對日益緊張的帶寬資源，除了增加預算擴充帶寬以外，企業(yè)還可以選擇合理化分配和管理帶寬。通過上網行為管理產品，用戶可以制定精細的帶寬管理策略，對不同崗位的員工、不同網絡應用劃分帶寬通道，并設定優(yōu)先級，合理利用有限的帶寬資源，節(jié)省投入成本。信息內容審計發(fā)郵件、泡BBS、寫B(tài)log、聊IM已經司空見慣，然而信息的機密性、健康性、政治性等問題也隨之而來。通過上網行為管理產品，用戶可以制定全面的信息收發(fā)監(jiān)控策略，有效控制關鍵信息的傳播范圍，以及避免可能引起的法律風險。上網行為分析隨著互聯網上的活動愈演愈烈，實時掌握員工互聯網使用狀況可以避免很多隱藏的風險。通過上網行為管理產品，用戶可以實時了解、統計、分析互聯網使用狀況，并根據分析結果對管理策略做調整和優(yōu)化。網絡安全審計系統的主要目標是：幫助企業(yè)管理者更好的管理企業(yè)內部的重要信息資料，提高員工的工作效率；其次是：協助IT主管便捷的管理日益增長的PC運營維護和安全管理需求。內網安全管理系統主要功能和作用程序功能功能描述管理作用一、管理類功能：禁用設備可禁止電腦外部設備的使用。包括：USB存儲設備、光驅、通訊設備、打印設備等等；可以只允許使用公司指定的U盤；同時也可以禁止修改IP地址。根據風險評估，制定事前預防策略，對相應的設備進行禁止，預防文件泄密?？梢造`活的開啟設備，不影響員工的正常使用。禁止應用程序可以對指定的程序進行禁止。對工作之外的程序進行禁止，如工作時間禁止玩游戲、聊天、BT下載等程序，提高工作效率。上網限制可對指定的網站進行禁止，或者采取反選，對指定的網站外的網站進行禁止。防止內部員工濫用網絡資源，隨意且長時間的訪問與工作無關的網站，導致工作效率的低下。屏幕快照并保留記錄可以看到網絡內員工正在操作計算機的最新畫面，可以查看到網內員工操作過的歷史畫面，并連續(xù)播放歷史畫面。方便管理者進行網絡行為的巡視，發(fā)現違規(guī)行為，及時糾正?？梢圆榭匆郧暗钠聊挥涗?，進行事后追查。（可選項功能）。聊天內容監(jiān)控對msn、qq等聊天工具的聊天內容進行監(jiān)控方便管理者對員工互聯網聊天行為進行管理，避免員工上班時間過度聊與工作無關內容。（可選項功能）文檔操作痕跡記錄可以詳細的記錄每個員工在本機及網絡上操作過的文件，包括訪問、創(chuàng)建、復制、移動、改名、刪除、恢復以及文檔打印等記錄。員工對電腦操作行為的痕跡得到監(jiān)控，為泄密行為的事中發(fā)現，事后追查提供了幫助，彌補了電子文檔安全管理中的最薄弱環(huán)節(jié)。報警規(guī)則可設置硬件或軟件信息變化的報警規(guī)則，設置某個或某類文件的各種操作報警規(guī)則。對泄密者添加泄密設備（如：閃存、移動硬盤等）實現及時報警，對相應的文件或某個類型文件的操作實現及時報警，為安全事件發(fā)生后進行及時管理提供幫助。外來電腦接入管理通過設置禁止外來電腦訪問內部局域網共享資源、內部重要的服務器。有效的防止外來計算機侵入單位內部就局域網，可根據需要靈活的設置外來計算機跟網內計算機的通訊方向。刪除網絡共享可以及時查看和刪除網絡內任意計算機的網絡共享文件夾。員工往往因為工作需要設置共享文件夾，然而有時員工由于疏忽未能及時關閉共享，導致共享文件很容易被別有用心的員工或外來計算機竊取。鎖定計算機可以鎖定網絡內任意計算機的鍵盤和鼠標操作。若發(fā)現網內計算機有非法操作，可以及時的采取行動，對非法行為進行及時控制，避免非法行為的繼續(xù)，挽回損失。應用程序報告可分時間段查看某個員工打開某個應用程序的全部時間和活動的時間，以及所占的百分比?？梢钥陀^的評估員工使公司電腦的情況和效率，方便進行員工的行為管理評估。訪問網站報告可時間段查看某個員工打開每個網站的全部時間和活動時間，以及所占的百分比。可以客觀的評估出員工訪問網站的情況和效率，查看員工的上網行為，方便進行員工的網絡行為管理。二、網絡維護