某集团网络优化管控方案-(2018.09)

WiFi管控拓扑图：
策略管理
三、四楼 安装有待 批示
四楼
四楼
三楼
二楼 一楼 办公楼 二楼安装于高新办、 人事、电子开发门 口对二楼覆盖 一楼WiFi安装于采 购、电子展厅门口 通道，对一楼主要 区域覆盖
**机房门口
三楼
二楼 一楼
三楼办公室、 四楼休息室门 口
**
第三栋
五、网络系统服务管理（一）：
十、实施方案（三）：
5、版权问题： 系统方面：购买并登记系统KEY；更换电脑时，购买品牌机（自带正版系统） 软件方面（2方法）：1、购买正版软件授权；2、开发设计部门或人员禁用外网，提供公共 电脑给予查询资料；3、提高员工保密意识； 6、VPN（虚拟专线）搭建： • 广州、中山架设VPN设备； • 中山客户端安装，调试，培训使用； • 中山数据存储设置与调试； 7、管理规范与规章建设： • 网络、系统管理规定修订重申； • 文件安全管控、存储规则制定； • 硬件管控规定规范； • 系统账户、文件权限、离职收回与注销规则制定；
九、实施方案（二）：
d、账户权限设定，用户加入域环境； e、用户桌面环境（无关软件）处理，工作软件安装； f、账户安全、系统安全、文件访问权限设定（实施b、c、d、e、f步骤前以下任务需各部配合完成）： • 账户权限划分确认、审核； • 提供共享文件与访问人员，权限明细表 • 工作软件确认表、审核； • 确定域名以及域名是否要申请备案，企业邮箱是否要外发，计算机名命名规则；（公司领导做批示与核定） 3、存储管控： ① 各部核算现有重要文件大小，汇总估算存储空间，需求文件访问权限、存储空间统计。 ② 存储设备选择（存储空间、扩容、传输速率、虚拟化、磁盘阵列）； ③ 安全、加密系统选择； ④ 加密用户Key与数据文件核定，服务器、客户端安装调试，文件授权管控设定；（加密软件以用户数与模块作 收费标准）； ⑤ 存储文件规划，共享搭建，访问权限设置，PC端存储路径、空间大小划分设置； ⑥ ERP、HR、OA、EXchange数据与存储服务器存储空间对接，解决该服务器存储空间问题。 4、Exchange企业（内部）邮箱建设（对外？）： • 搭建企业邮箱系统； • 导入用户账户，权限，用户空间，邮箱大小设置，初步系统调试； • 客户端安装，投入使用；
**** 2018.09.25
一、网络系统运维现状：
1、硬件:PC机163台（含服务器5台），网络交换机：9台（其他桌面接入小型交换机不计）；公司网支 持10/100/1000Mbs；董事、财务--出口部为10/100Mbs；服务器：除File server、4fang、Richmax外其 他支持100/1000Mbs； 2、运维系统：K3、Q5、用友、OA、HR、Richmax、4Fang；配套软系统：SQL server 2012 、2005、 卡巴斯基杀毒软件、Windows 2008 R2、office 2007；
Service-Server
Lan switch
共：112台
三、网络、系统服务、安全性问题：
1、网络： a、三网独立，文件数据共享不便； b、公司局域网支持1000Mbs，实际使用100Mbs； c、外网访问与速度会出现短暂性访问缓慢； d、WiFi连接过多，数据安全性不高且影响整体带宽。 2、系统服务安全性： a、全公司电脑独立运行，管理权限开放，各类软件随意安装，IT管理不便且影响电脑运行速度； b、数据共享安全系数不高，个人电脑使用寿命不长，数据丢失率高； c、USB开放、无数据加密；数据可随意访问、拷贝，个人电脑随意可带出； d、网络管控不严，数据随心发送； e、存储安全性不高且分散，不利于公司掌控核心资料； f、版权问题；（电脑系统、office、开发与设计及其他软件）。
一、系统方面： 1、搭建AD域控服务器，改单机服务模式为域控服务模式；有利如下： 权限管控严谨、统一集中，利于系统统筹规划； 利用AD服务严格管控软硬件私自安装； 用户数据访问安全性比单机高，文件共享权限划分与安全更明确； 桌面环境统一部署，有利于体现企业文化； 防止用户随意更改系统设置； Windows高级应用如：FTP文件服务、web网站、exchange、DNS、DHCP服务需要AD支撑； 有利于防止恶意破坏系统、文件、非法入侵，降低中毒率； 2、搭建FTP服务，构建公司存储服务器： 集中管理公司文件、软件，节约个人电脑空间、机械磁盘转换固态，提高读写速度与效率； 防止文件丢失与文件查找困难； 有利于公司掌控重要文件，如：研发图纸、技术文档、核心文件、专利等； 配合存储服务，提高数据高可靠性与安全性； 便捷办公，加密访问通道，有利于远程办公需求。
b. 文档打印管控，防止重要文档泄密；c.屏幕监控，设备管理（USB，存储卡）。
七、网络系统服务管理（三）：
三、Exchange企业（内部）邮箱：
1、建设企业内部邮箱，转变工作信息交流与传递方式（qq、微信等），为数据传递安全与有迹可 循提供便利，确保数据流通于公司内部；
2、利用AD账户做邮箱，便于同事间信息传递； 3、减轻外网带宽负担（管控qq、微信传递数据）； 4、有利于提升企业文化与信息化实力； 5、数据达到安全等级，邮箱可对外使用； 四、VPN（虚拟专线网）：
十一、工程造价估算：
1、AD、exchange、FTP服务器：IBM3650 M5 2.1W； 2、存储服务器：3.5W； 3、VPN：广州、中山各一个，1.5W； 4、UPS：2W； 5、部分可能需要服务费用，预计5K 6、加密软件因以客户端数量与购买模块计算费用，预计3W； 以上均为查询预估价格，合计：11.6W，系统工程以实际造价为准。
3、PC端：系统---Windows（XP、win7、win10除品牌机外其他均为ghost版），应用软件均为破解版；
4、防病毒系统：a、公司网络后台设立防火墙，PC端依靠免费杀毒软件防毒；b、董事会、出口、财务 网依靠PC端免费杀毒软件防毒； 5、组网：集团分三组独立网络；董事会-财务网络、公司网、出口部网络； 6、网络拓扑图如下：
1、VPN常用于总公司与分公司、出差在外远程办公，数据传递；
2、架设VPN，有利于中山与广州内部数据交流； 3、公司统一存储、数据安全性高；
八：实施方案（一）：
一、设备需求： 1、AD域控、FTP、邮件服务等集成一台服务器； 2、存储服务器； 3、加密系统； 4、VPN设备； 二、实施： 1、网络架构： a、整合合并公司三条网络； b、优化、管控公司网络，上网权限与行为调整管控； c、WiFi综合整改，管控统一安装配置，严禁私人接入，提高网络安全； 2、系统服务架设： a、服务器系统需求：win server 2008 R2以上企业版；杀毒软件，office 2007； b、AD域控:制定公司域名,搭建AD、FTP、Exchange服务； c、建AD用户与组（制定用户命名规则，可做企业邮箱用）；AD服务初步调试
六、网络系统服务管理（二）：
二、存储与安全：
1、利用AD域控、FTP账户安全级别与文件权限划分，管控用户账户，防止离职恶意删除与破坏，提 高数据存储访问安全； 2、本地USB封堵，网络安全管控减少数据外泄风险；
3、建立数据加密系统,重点管控研发、核心资料、业务数据、财务、服务器数据拷贝、传送、查看、 打印、截图等；
4、IT专员协助，各部主管统计本部门数量容量大小，文件重要等级，有无需求自动备份，以便做存 储空间、文件种类与备份存储规划；
5、存储服务器防病毒软件升级至专业版；
6、依据文件重要等级进行自动备份； 7、存储服务器文件夹设置规划如下（仅供参考）： A、部门为单位，设置个人文件夹；（所有人员做存储空间分配） B、特殊文件设置独立文件夹；C、公共文件、制度、通知等公开设置； 8、桌面安全管控： a. 即时通信管控，防止qq、msn、邮件外泄；
四、网络优化与解决方案：
一、网络方面： 1、整合三个独立网络互联；对公司带宽使用率评估，确定需求带宽量； 2、严控公司上网行为与权限，各部提供外网需求名单与访问权限，对上网需求不大且偶尔会使用 的，可单独开放，事后关闭，其他人员不予访问外网； 3、提升局域网络速率，充分利用局域网资源。 4、WiFi管理： a、WiFi网络与公司网络分离独立，以确保公司网络安全、满足工作需求与公司网络带宽；部分区 域确实需要公司wifi办公，以实际情况处理。 b、WiFi安装与使用权限管理：WiFi名称、密码、安装点、楼层统筹规划，具体如下图： c、严禁私人安装WiFi，如：WiFi路由器、360类便易式WiFi等；（制度与技术管控） d、WiFi网络管理方案： 涉及车间区域WiFi，实行加密隐藏、IT专员专职管理连接与密码，因公需求并申报批准方连接； 办公楼层、休息室加密公开WiFi名称； 除休息室外，所有WiFi全天严禁访问娱乐、视频、新闻等同类网站并通过技术层面管控； 网络管理制度添加WiFi条例；各部主管严格管控本部上网行为，严格保管WiFi密码。
二、网络拓扑图：
Internet Internet
Friewall
ቤተ መጻሕፍቲ ባይዱ
公司网络
路由器
董事、财务---出口网络
策略管理 服务器
Lan switch
Lan switch
Lan switch
Lan switch
Lan switch
Lan switch
K3、Q5、T+、OA、HR、4fang、richmax
共：46台