计算机网络更新改造方案精修订Word格式文档下载.docx
《计算机网络更新改造方案精修订Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《计算机网络更新改造方案精修订Word格式文档下载.docx(12页珍藏版)》请在冰豆网上搜索。
近20年过去了,我们没有看到中国企业管理水平质的飞跃,其中,除了技术能力局限的原因外,还有观念、认识方面的原因。
过去做MIS,更多地注重了对规范的、结构化的数据的管理,而且走入了用先进的技术手段模拟手工操作的误区。
模拟手工操作只有界面的友好程度、模拟的逼真程度的差别,不会有管理水平的提高。
而企业信息化管理系统所面向的对象是企业经营过程中所有可能产生的数据:
结构化与非结构化的、多媒体的等等;
企业信息化管理系统所直指的目标是物化科学的管理思想。
所以今天所谈的企业信息化管理系统较过去的MIS有更广泛、更深刻的意义。
当然,过去的MIS也为我们今天的企业信息化管理系统打下一个良好的基础,也就是说企业信息化管理系统的确很重要,同时实现企业信息化管理系统也并非遥不可及。
第一章公司电脑网络的建设目标
一、电脑网络的规范化、标准化
公司作为一个高新技术企业,公司的领导层,高瞻远瞩,确立了发展公司电脑网络、推进“信息化管理”的目标。
随着信息化浪潮的冲击,政府及各大企业,都相继完成了“管理信息化”改造。
所以,公司电脑网络的规范化、标准化建设,作为“管理信息化”的基础,可以说是迫在眉睫。
经过对公司现有电脑网络的规范化、标准化建设,可以提高网络的覆盖范围,减少网络的运行故障,降低电脑中心人员的维护工作压力,在为公司“管理信息化”建设打好基础的同时,还能够降低电脑网络的运行成本,将电脑中心的技术人员从繁琐的日常维护工作中解脱出来,更好的投入到公司“管理信息化”建设的工作当中来。
此外规范化、标准化的电脑网络,作为公司与外部信息世界沟通的桥梁,对公司形象的建立,其作用也是不可忽视的。
二、公司的企业信息化管理系统
随着市场经济的发展,市场竞争日趋激烈,企业管理现代化已成为各大企业提高竞争力的一个重要手段。
“信息化管理”、“电子商务”作为企业现代化管理的重要手段,也早已成为国际MBA的必修课程。
电脑网络的规范化、标准化改造,为“管理信息化”提供了一个良好的基础。
然而“管理信息化”作为一种现代、高效的管理手段,其实质,应该是一种管理模式,是思想、是理念。
所以,单单拥有相关的物质基础(硬件设施),是远远不够的,更重要的是在物质基础上,依照“管理信息化”模式,建立起来的上层建筑。
暨“企业信息化管理系统”。
由于长期以来陈旧观念的束缚,中国大陆的许多企业,在相当长的一个阶段中,对软件系统重要性的认识是相当不足的。
往往是只注重电脑设备的购买,大大忽视了“软件”,这种对企业管理具有极大促进作用的系统的开发投入。
使得许多企业的电脑系统,处于低水平使用状态。
而西方发达国家,早在20世纪50年代,就已经开始了电脑系统管理应用的开发。
并形成了一整套相关的理论和学说。
由此可见,以“管理信息化”为指导思想,建立企业信息化管理系统,是此次改造的重点之一。
公司“企业信息化管理系统”的实施目标主要包括,企业管理信息化和工业控制数字化两个方面。
通过合作开发“企业信息化管理系统”,以及推广相关的应用,其现实意义主要体现为以下几个方面:
对于公司的决策层:
可以第一时间,以高效、直观的方式反映公司的运作状况。
包括销售、财务、生产等一系列相关信息。
对于公司的管理层:
首先可以大大提高企业管理的效率,缩短对相关问题的反应和处理的时间。
其次,可以逐步将企业的管理从手工的、条块分割的管理模式,向智能化的、宏观系统的管理模式过渡。
最后,可以将公司管理人员从繁琐的日常管理工作当中解放出来,有更多的时间和精力投入公司的发展规划。
对于工程技术人员:
可以提供即时的工艺、质量、生产、设备使用情况的相关参数,便于及时的处理和分析相关问题,保证生产的高效进行。
另外,推广企业信息化管理系统,还可以提高各部门人员的工作效率,减少人才资源的浪费。
通过应用办公的新技术、新手段,还可以大大减少相关的办公费用。
三、公司电脑系统的管理机制
由于电脑信息产业的行业特点,相关电脑网络系统的管理,是一项复杂、细致、系统性和专业性很强的工作。
又由于,电脑网络系统的管理中心,是企业E世界的神经中枢,它的触角分布到企业的各个部门。
所以相应的管理工作,需要企业的各个部门的大力支持和配合。
为更好的开展工作,企业应该给予电脑中心相应的权利,并提升电脑中心的管理层次和权威。
第二章公司电脑网络建设存在的几个误区
随着企业规模的扩大,原有企业传统的“驻地”经营管理模式已经受到严重挑战,而大型跨地域、跨国集团公司的涌现,是的公司总部与分支机构、生产与销售、质量与服务的地理距离正在加大。
所以如何实现相关信息在这些机构和对象间高效、便捷、迅速、安全的传递,是现代化企业发展所面临的一个重大挑战。
而电脑网络的建设,正是解决这一问题的“灵丹妙药”。
因此,大凡跨国公司或跨地域集团公司,均拥有相当完善的跨地域企业网络系统,这也是近年来IT行业迅猛发展的一个重要原因。
要想在企业内部建立高效、便捷、迅速、安全的电脑网络系统,我认为,应该首先要改变大多数人对电脑网络的认识。
主要的误区包括以下几个方面
1.将电脑网络排除在生产系统之外
电脑网络作为一种新生事物,大多数人都存在认识不足的问题。
一般认为,电脑只是一种高级打字机,它的发展充其量也就是无纸化办公和自动化办公。
所以,至今仍然将电脑网络定义为非生产系统。
而这种错误的认识,往往是忽略了电脑的一个重要功能—数据采集和工业控制,完全割裂了自控与电脑网络的关系。
所以就造成了电脑网络与自动控制的人为分割。
这种概念倒退10年还可以理解,那时的自动控制还停留在模拟和数字电路时代。
而21世纪的今天,工业自动控制,早已进入了电脑时代,连冰箱彩电都采用了电脑控制技术,何况工业自动控制,所以这种观念可以说已经远远落后于时代了。
总之,在21世纪的今天,何谓自动控制是利用电子计算机也就是电脑进行控制;
何谓数据采集是利用电脑进行数据的收集和分析。
所有的设备及接口,都要遵循电脑的相关技术标准。
所以将电脑网络长期排除在生产系统之外,使得相关设备的采购和使用,无法得到相关电脑专业人员的指导和配合,不是设备的相应功能没有使用,就是功能的使用不完善。
另外,由于在设备采购时没有按照国际惯例附加相应的数据接口标准的条款,所以使得公司内部设备的接口标准混乱,为实现工业控制网络化带来了很大的障碍。
因此,重新认识计算机技术的作用,摆正电脑网络的位置,是企业自动化和信息化建设的前提和条件。
2.认为电脑网络不能带来经济效益,只能是个概念。
中国在20世纪80年代有一句口号“时间就是金钱,效率就是生命!
”。
电脑网络的经济效益主要就从这两个方面体现。
首先是时间,如果使用了企业信息化管理系统,由于信息数据的采集是实时进行的,信息系统又可以对历史数据进行保存,所以就能够及时准确的提供相应时段内工艺、原料、环境、设备的各项参数变化,大大缩小了查找问题的范围,缩短解决问题的周期,从而及早的恢复正常的生产,提高产品的合格率。
从一个侧面减少了企业的损失。
另外,公司技改、扩建后,很有可能分成两个厂区,如果实施了企业信息化系统,其中一个分厂出现问题,相关技术人员就可以通过远程网络,调用相关参数,通过视频会议系统召开会议,与现场技术人员沟通,并提供解决问题的方案。
这样既可以免去了技术人员出现场的时间,也可以不必为两个分厂分别设立两套相同的技术人员体系。
大大的节省了人力资源,减少了处理问题的时间。
其次是效率。
据个例子,现有公司现有的采购机制大都采用传统的模式,主要概括为以下两种模式:
1)快餐模式:
即需即买,就是生产过程中需要什么,就采购什么,这种模式看似合理,其实不然。
即需没有问题,但即买就很难实现,因为购买周期和到货时间,是不以我方意志为转移的。
所以往往会造成配件供应脱节,相关设备的生产停顿,经济上蒙受损失。
2)水库模式:
不管急不急用,只要下雨,我就蓄水,将来一定用的上。
这种方式可以避免相关设备的生产停顿。
但是,雨水是免费的,而采购的库存时要占用大量资金的,我司仓库积压的资金就有成百上千万之巨。
如果能够总结建厂十余年来的经验,参照国际通行的物流管理软件MRPII的标准,开发仓管系统,就能够压缩库存,提高资金使用率,解决以上问题。
这也就是国际和国内各大集团公司,大都采用电脑系统进行物流管理的重要原因。
至于企业信息化管理系统提高劳动生产率,减少人力资源的浪费,降低工资成本支出的功能也是不容忽视的。
总之,电脑技术的应用,虽然不能带来直接的经济效益,但是它的经济效益,是从缩短事务处理周期,提高工作效率,减少资金占用,降低工资成本等,一些侧面来形成的。
其巨大的作用应该是不容忽视的。
第三章电脑网络的总体规划
一、操作系统
从系统工程角度来看,其核心是大量的信息数据,而信息数据的采集,要花费大量的时间、人力和物力。
所以相关的信息及数据,可以说是来之不易和非常宝贵的。
我们认为,作为系统运行的坚实基础的操作系统,应该完全具备,稳定、高效、安全,三个特点。
具体描述如下:
1.数据中心系统:
数据中心,使整个系统数据处理和储存的核心,所以,该系统的稳定性、执行效率、数据安全性,决定了整个系统的使用效果。
是系统支撑平台的核心,所以在操作系统的选型上需要特殊考虑。
对于以上问题我们通过反复调研,现将选型结果及选型依据作如下阐述:
服务器操作系统:
MicrosoftWindows2000AdvancedServer
选型依据:
1)安全
操作系统作为一个应用环境的基础平台,它是否安全、可信是至关重要的。
微软在拥有源代码的同时,具备雄厚的专业技术,在提供多种安全机制的基础上,使用户的业务系统具有安全保障。
MicrosoftWindows2000AdvancedServer系统提供了标识与鉴别、自主存取控制、特权分配、审计等众多安全机制,可轻松地监视系统的活动、保护系统中的重要数据,使整个系统平台具有C2级安全特性,以满足政府、公安、国防等特定领域的安全需要,更好地发挥国产操作系统的安全优势。
2)中文
MicrosoftWindows2000AdvancedServer中提供了良好的中文支持:
中文的安装环境、使用环境和系统管理界面,配之以中文的《版本说明》、《安装指南》、《中文使用手册》、《系统管理》和《网络管理》,使用户可以更好地与MicrosoftWindows2000AdvancedServer进行沟通。
2.互联网接入系统:
由于互联网接入系统,主要用来进行数据信息的收集、发布,所以,对相应的处理能力不做过高要求。
采用MicrosoftWindows2000Server作为服务器操作系统,建立基于Ms-Windows2000的网络安全策略,确立身份认证机制,规范化内部网络的使用,杜绝由于非法下载和安装软件引起的网络安全问题。
在与互联网连接的节点上,安装NAT代理服务,有效控制内部用户访问互联网,和互联网用户访问内部网络。
杜绝外部网络对内部网络的攻击。
3.OA普通办公系统:
由于OA普通办公系统,大都采用邮件服务器作为后台,提供公文流转服务,对服务器系统的要求一般,所以,建议采用MS-Windows2000Server作为服务器操作系统,在此平台上,安装MicrosoftExchangeServer2000(或者NOTES)作为邮件服务器。
二、网络拓扑
1.网络结构
由于互联网接入系统直接接入国际互联网络,整个系统暴露于国际互联网之上,所以尽管实施相关的网络安全方案,采取了相关的安全措施,由于种种原因,还是有可能受到攻击。
此外,该应用系统,与数据中心和OA办公系统的联系多为静态更新。
所以在此建议,将其作为一个独立的体系。
与其他的应用系统作物理隔离。
对于数据中心和OA办公系统由于二者的数据交换,相对较为频繁,数据更新多为动态更新。
所以在此建议,将其二者作为一个网络体系,使用VLAN或身份认证机制进行软件隔离。
2.网络安全
近年来,我国的网络应用进入大发展阶段,随之而来的网络信息安全问题也日益突出,并逐渐成为社会性问题,不仅引起了政府机关、国家安全部门、金融机构等的重视,企事业单位和个人也都日益关注起来。
随着我国信息经济发展的大环境日臻完善,国家领导人已多次发出有关信息安全和网络安全的指示,主管部门也做了大量实质性的工作。
在国家技术监督局和其他主管部门的指导下,我国与国际标准靠拢的信息安全与网络安全技术和产品标准陆续出台,并于1997年8月建立了全国信息技术标准化技术委员会、信息技术安全技术委员会。
政府部门对信息系统的安全性是非常重视的,但由于没有全面的解决方案或安全建设经费不足,在一些行业的信息系统中仍存在较多的安全问题。
例如,部分计算机系统采用开放式的操作系统,安全级别较低,不能抵抗黑客的攻击与信息炸弹的攻击;
有些系统网络具有多路出口,对信息系统安全没有概念,完全没有安全措施,更谈不上安全管理与安全策略的制定;
有的行业的信息系统业务是在完全没有安全保障的情况下进行的。
国家电信事业飞速发展,在网络建设方面取得了巨大的成绩。
但是,国家通信网络的交换机及其通信设备有一部分由于没有经过安全检测,安全问题没有保证,这是由于安全检测工作建设的滞后于系统的建设造成的。
通信业务的计算机系统也多采用开放式的操作系统,安全级别相对较低,也缺乏附加安全措施。
这些系统同样不能抵抗黑客的攻击与信息炸弹的攻击。
金融领域的有些单位在系统采购时,没有采购安全系统或安全系统建设不完善,以至有些系统安全级别较低。
例如,个别商品交易所与证券公司采用的是微机网络系统,已经出现过被黑客攻击的情况,存在的问题相当严重。
鉴于网络安全的严峻形势,我们经过调研,提出以下方案:
●具体功能分析:
按照服务性质和管理区域划分,网络主要分为三大系统,系统内又可分为三个部分:
对于数据中心和OA办公系统:
1)内部网络:
提供内部用户网络通讯环境以及访问业务系统服务器应用;
2)DMZ网络:
将数据中心和OA办公系统服务器放于此处,以便防火墙可以对它们做完全的防护;
3)外部网络:
提供到数据中心和OA办公系统的连接。
对于互联网接入系统:
提供内部用户网络通讯环境以及访问INTERNET、公用WEB和相关互联网电子邮件服务器的应用;
将公用WEB和公用电子邮件服务器放于此处,以便防火墙可以对它们做完全的防护;
提供到Internet的连接。
●主要应用类型:
对于数据中心和OA办公系统包括:
1)内部数据通信应用。
2)内部访问数据中心和OA办公系统及其他业务服务。
3)提供数据中心和OA办公系统及其他业务服务。
4)提供互联网接入系统访问数据中心和OA办公系统及其他业务服务。
对于互联网接入系统系统包括:
内部数据通信应用。
内部访问Internet、WEB、Email及其他业务服务。
安全策略为先关闭全部服务和端口,再开放部分服务和端口。
●网络结构
根据目前及可以预见的网络状况和要求,我们设计了相应的网络安全解决方案。
1)本方案在互联网接入系统网络出口处的硬件防火墙上将现有网络划分为物理上相互独立的三个网段:
公共网段(Public_Nework)
停火区网段(DMZ_Network)
私有网段(Private_Network)
其中,公共网段提供面向Internet的广域网连接的访问支持;
停火区网段安放对外提供服务的WEB及Email服务器;
内部私有网段保障本地用户安全地访问外部网络资源,以及对停火区内的服务器设备进行更新和维护。
把所有的WEB及Email服务器都放在中立区,一来可以对他们实行统一的安全策略;
二来简化网络拓扑,方便维护。
由于采用交换机做连接设备,各个服务器都是独占100M的带宽,所以即便是要求最高的相关服务也不会有很多的迟滞。
采用交换机把它们连接成一个物理相连、逻辑分段的拓扑,对于出故障后的网络检测很有帮助;
而且也不会出现共享介质冲突的情况,最大限度的利用了资源。
另外,建议将服务器的相关地址网段改为私有网段地址,在防火墙上使用地址映射,这样当受到来自外部网络和内部客户群攻击的时候,攻击方由于无法确定服务器的地址,攻击的目标只限于防火墙,这样能够有效的防御攻击。
2)本方案利用在数据中心和OA办公系统服务器与主交换设备之间的硬件防火墙将现有网络划分为物理上相互独立的二个网段:
其中,公共网段提供面向数据中心和OA办公系统的访问支持;
停火区网段安放对外提供服务的数据中心和OA办公系统服务器。
把所有的数据中心和OA办公系统服务器都放在中立区,一来可以对他们实行统一的安全策略;
另外,建议将服务器的相关地址网段改为私有网段地址,在防火墙上使用地址映射,这样当受到来自办公系统网络和内部客户群攻击的时候,攻击方由于无法确定服务器的地址,攻击的目标只限于防火墙,这样能够有效的防御攻击。
●安全策略
目的:
1)划分安全区域。
2)制订安全策略,
3)包括用户访问控制,定义访问级别,确定服务类型。
4)审核和过滤,仅符合安全策略的访问和响应过程可以通过,拒绝其他访问请求。
5)建立帐号认证体系,经过帐号认证的用户才能够访问相应的网络资源和进行相关的操作。
安全区划分:
根据对用户需求的分析,内部网络可以划分为以下几个安全区域:
内部网段
中立网段
外部网段
分属三个安全区域的网段通过硬件防火墙进行互连。
No.
安全区域
安全级别
访问级别
1
低级
无。
提供网络连接。
2
公共网段
中级
外部可访问符合安全策略的网络资源;
内部可以更新和维护。
3
内部网段
高级
可自由访问外部网络资源;
对外不可见。
操作系统安全:
鉴于网络安全性的考虑,建议使用基于Mswindows2000的客户帐号验证体系,将相关服务器纳入帐号验证体系的保护之下,从网络操作系统底层上,杜绝由于操作系统漏洞导致的恶意攻击。
另外,建议将原有Mswindows98客户端升级到Mswindows2000-professional,建立相应的组安全策略,对客户端的应用软件安装、使用,通过服务器进行统一的分发和管理,避免由于用户自行下载和安装应用软件导致的相关网络安全问题。
此外,建议使用支持IEEE802.1P协议的网卡,方便windows2000-Server对网络通信进行统一管理。
通过制定相关安全策略,充分发挥操作系统的威力,使整个网络体系的安全达到美国国防部计算机安全标准C2级水平。
●防火墙配置方案:
1)使用NAT把DMZ区的服务器和内部端口影射到Firewall的对外端口;
2)允许Internet公网用户访问到DMZ区的应用服务:
httpWEB服务等;
3)允许DMZ区内的工作站与应用服务器访问Internet公网;
4)允许内部企业用户访问DMZ的应用服务:
http、https等;
5)允许内部企业用户访问或通过代理访问Internet公网;
6)禁止Internet公网非法用户入侵内部企业网络和DMZ区应用服务器;
7)禁止Internet公网用户对内部网络http、ftp、telnet、traceroute、rlogin等端口访问;
8)禁止DMZ区的公开服务器访问内部网络;
9)透明代理内含用户口令认证,并设置其访问权限;
10)设置防黑客或入侵监测的范围,实行实时入侵监测
3.防病毒系统:
1)在网络结构方面:
从第一层工作站、第二层服务器、第三层电子邮件服务器到第四层防火墙都应拥相应的防毒软件提供完整的、全面的防病毒保护,尤其是对电子邮件的防病毒,需要具有基于MSExchangServer最全面的解决方案。
2)在系统平台支持方面:
需要对各种操作系统提供全面的支持,如:
Windows95/98,WindowsNTWorkstation/Server,Windows2000,UNIX等。
3)在防病毒技术方面:
需要能够采用各种先进的反病毒技术,尤其在对付未知病毒和多态病毒方面,采用了各种先进的技术对其进行查杀,如:
启发式侦测技术(BloodhundTM),神经网络技术,打击技术(Striker32)和防宏病毒技术(MVP)等,要求产品不仅能查、杀各种未知病毒,还能修复被病毒感染的文件。
4)在防病毒软件和防病毒策略管理方面:
能够为网络防病毒提供统一的、集中的、智能的、自动化的、强制执行的有效管理方式。
5)在病毒定义码和扫描引擎升级方面:
要求采用模块化的升级方式,也就是说,用户每次升级都包括最新的病毒定义码和扫描引擎。
同时计算机在升级完最新的病毒定义码和扫描引擎后无需重新启动计算机.
6)在技术支持和服务方面:
要求有专门的人员和机构对用户出现的问题和新病毒提供快速及时的响应,并能迅速提供相应的解决方案。
7)
对新出现病毒的响应速度:
要求在获取病毒样本和提出相应的解决方案这个过程全部是自动的,对新病毒有较快的响应速度,可以把新病毒造成的危害尽量限制在最小的范围。
四、服务器体系拓朴图:
设备
数量
设备说明
Web服务器
品牌PC
DB/Email服务器
数
升级会员 