施工企業(yè)LAN網(wǎng)絡(luò)安全綜合管理解決方案的實(shí)現(xiàn)

李 榮，李永鵬

(中國(guó)華西企業(yè)股份有限公司，四川成都610081)

1 項(xiàng)目概況

中國(guó)華西企業(yè)股份有限公司屬于大型國(guó)有股份公司，擁有房屋建筑工程施工總承包特級(jí)資質(zhì)及房地產(chǎn)開(kāi)發(fā)資質(zhì)，公司分布在兩個(gè)樓棟，其中A、B兩棟樓一層主要為工程部、市場(chǎng)部、成本部，二層為公司領(lǐng)導(dǎo)辦公室、總經(jīng)辦、人力資源部、總工辦、審計(jì)部、法律債權(quán)部、承包部、黨工部、房地產(chǎn)開(kāi)發(fā)部等，B樓為財(cái)務(wù)部，機(jī)關(guān)工作人員約300人。

1.1 硬件環(huán)境

辦公區(qū)工作人員均配備計(jì)算機(jī)一臺(tái)，其中筆記本終端17臺(tái)，臺(tái)式機(jī)終端112臺(tái)。配置參差不齊，經(jīng)調(diào)查CPU以單核及2.0 GHz以下雙核為主，硬盤容量160～300GB為主，內(nèi)存1 GB及以下偏多。

1.2 軟件環(huán)境

各工作終端均使用windows操作系統(tǒng)，經(jīng)調(diào)查各版本系統(tǒng)使用情況為：windows XP系統(tǒng)占77 %，windows7占3 %，windows 2000占20 %。

1.3 網(wǎng)絡(luò)環(huán)境

該公司網(wǎng)絡(luò)外網(wǎng)采用SDH專線和IPSEC VPN技術(shù)直接與集團(tuán)總部互聯(lián),LAN采用集團(tuán)公司統(tǒng)一規(guī)劃和分配的IP地址段，A、B樓分屬不同的兩個(gè)網(wǎng)段，地址末位由客戶端自行設(shè)置。

1.4 運(yùn)維狀態(tài)

由于前期沒(méi)有專門負(fù)責(zé)信息化建設(shè)的部門，LAN處于放任自流的狀態(tài)，沒(méi)有統(tǒng)一的信息化建設(shè)管理制度和機(jī)構(gòu)，對(duì)軟硬件及網(wǎng)絡(luò)管理未規(guī)范管理，LAN內(nèi)有多少臺(tái)終端、操作系統(tǒng)使用情況、應(yīng)用軟件配置及使用情況、網(wǎng)絡(luò)結(jié)構(gòu)及設(shè)備參數(shù)等均不明確，沒(méi)有相關(guān)統(tǒng)計(jì)臺(tái)賬，各部門計(jì)算機(jī)經(jīng)常發(fā)生終端軟硬件故障和數(shù)據(jù)丟失，網(wǎng)絡(luò)地址混亂，經(jīng)常發(fā)生IP沖突等網(wǎng)絡(luò)故障影響辦公，尤其是未建立數(shù)據(jù)保護(hù)機(jī)制，多次發(fā)生因故障造成的數(shù)據(jù)丟失。

2 項(xiàng)目需求

由于施工企業(yè)與IT行業(yè)的專業(yè)屬性，施工企業(yè)通常對(duì)信息化管理不重視或心有余而力不足，但LAN的管理作為信息化建設(shè)的基礎(chǔ)設(shè)施建設(shè)內(nèi)容，雖然未納入《建筑施工企業(yè)信息化評(píng)價(jià)標(biāo)準(zhǔn)》的考核范圍，但其作為信息化建設(shè)的基礎(chǔ)，從企業(yè)管理的角度已經(jīng)到了必須解決的地步，根據(jù)調(diào)查反饋的意見(jiàn)，本項(xiàng)目有以下需求：

(1)統(tǒng)一部署系統(tǒng)安全。由于專業(yè)差異，工作人員對(duì)于計(jì)算機(jī)安全體檢、殺毒、木馬、補(bǔ)丁理解和認(rèn)識(shí)有差異，或者不重視，或者雖重視但不知該如何選擇和操作，需要由專門的管理部門來(lái)統(tǒng)一實(shí)施系統(tǒng)安全管理。同時(shí)由于各終端獨(dú)自修漏洞、升級(jí)占用大量出口帶寬，影響正常的上網(wǎng)速度。

(2)統(tǒng)一進(jìn)行終端優(yōu)化。操作者對(duì)優(yōu)化的處理，經(jīng)常發(fā)生錯(cuò)誤操作導(dǎo)致系統(tǒng)發(fā)生故障，無(wú)法訪問(wèn)網(wǎng)絡(luò)或無(wú)法打印文檔等，正確的優(yōu)化可以使系統(tǒng)運(yùn)行效率大幅提高，由專門的管理部門來(lái)統(tǒng)一實(shí)施終端優(yōu)化可以實(shí)施統(tǒng)一的策略，同時(shí)節(jié)約各部門自行處理所占用的時(shí)間及網(wǎng)絡(luò)資源。

(3)統(tǒng)一進(jìn)行全網(wǎng)軟件管理。由于前期未統(tǒng)一管理，各部門以及機(jī)關(guān)與項(xiàng)目部應(yīng)用軟件采用了不同的品牌，或同一品牌但版本各不相同，經(jīng)常導(dǎo)致數(shù)據(jù)不能通用或運(yùn)行，發(fā)生兼容性問(wèn)題。對(duì)LAN各終端安裝的軟件進(jìn)行實(shí)時(shí)監(jiān)控，可以確保及時(shí)發(fā)現(xiàn)不滿足管理要求的軟件，并通知其及時(shí)卸載。

(4)集中自動(dòng)的資產(chǎn)管理。上百臺(tái)網(wǎng)絡(luò)終端由人工進(jìn)行統(tǒng)計(jì)將耗用大量的時(shí)間和精力而且無(wú)法保證數(shù)據(jù)的準(zhǔn)確性，且設(shè)備經(jīng)常發(fā)生變動(dòng)，人工監(jiān)測(cè)更不具有現(xiàn)實(shí)意義，集中和自動(dòng)進(jìn)行終端統(tǒng)計(jì)將大大提高工作效率。

(5)數(shù)據(jù)服務(wù)。各工作終端均將日常資料存放在各自的計(jì)算機(jī)上，硬盤故障或發(fā)生被盜后，計(jì)算機(jī)內(nèi)的資料全部丟失，損失巨大，迫切需要解決數(shù)據(jù)的備份和日常共享問(wèn)題。

(6)規(guī)范網(wǎng)絡(luò)環(huán)境管理。各終端IP地址經(jīng)常任意修改，任意接駁交換機(jī)和路由器，網(wǎng)線凌亂等嚴(yán)重影響了網(wǎng)絡(luò)正常運(yùn)行，急需規(guī)范化管理。

3 解決方案

根據(jù)項(xiàng)目需求的分析，并結(jié)合公司的LAN現(xiàn)狀選擇合適的軟硬件以滿足上述功能。

3.1 管理層面

LAN網(wǎng)絡(luò)安全的綜合管理作為專業(yè)性工作，應(yīng)建立相應(yīng)的管理制度，統(tǒng)一進(jìn)行規(guī)劃，并組建相應(yīng)的職能部門或設(shè)置專業(yè)崗位以負(fù)責(zé)具體實(shí)施。

3.2 軟件方案

軟件方案通常包括三種解決方式：自行開(kāi)發(fā)、共同合作開(kāi)發(fā)和直接選購(gòu)軟件。針對(duì)本項(xiàng)目特點(diǎn)，經(jīng)多方對(duì)比和選擇，最終選用國(guó)內(nèi)知名IT安全公司奇虎科技出品的360企業(yè)版安全系統(tǒng)。

360企業(yè)版安全系統(tǒng)具有以下四大特點(diǎn)：

(1)掌控全網(wǎng)安全。采用全球領(lǐng)先的云查殺，全網(wǎng)一鍵體檢，統(tǒng)一殺病毒、清木馬、修漏洞、修復(fù)各類危險(xiǎn)項(xiàng)、開(kāi)機(jī)加速、分發(fā)軟件、發(fā)送公告、流量監(jiān)控，企業(yè)網(wǎng)絡(luò)安全盡在掌控。

(2)全自動(dòng)智能化。全面的安全策略，自動(dòng)修復(fù)各類危險(xiǎn)項(xiàng)，一次配置安全無(wú)憂。圖表方式展示系統(tǒng)工作狀況，定時(shí)發(fā)送安全報(bào)告。

(3)功能強(qiáng)大齊全。包括系統(tǒng)安全、企業(yè)軟件管家、硬件資產(chǎn)管理三大組件，整體企業(yè)安全解決方案，全面超越傳統(tǒng)企業(yè)安全產(chǎn)品。

系統(tǒng)安全組件包括全網(wǎng)體檢、漏洞修復(fù)、病毒查殺、插件清理、開(kāi)機(jī)加速、危險(xiǎn)項(xiàng)修復(fù)等功能。實(shí)現(xiàn)了統(tǒng)一安全管理，通過(guò)控制中心，管理員可全面掌握終端的安全狀況，對(duì)全網(wǎng)終端實(shí)現(xiàn)統(tǒng)一管理。管理員可以為終端進(jìn)行統(tǒng)一的查殺病毒、修復(fù)漏洞和產(chǎn)品更新等操作，還可以為每個(gè)終端配置正確的安全策略，并能在出現(xiàn)問(wèn)題時(shí)及時(shí)收到報(bào)警通知，從而有效的防范病毒木馬入侵和黑客攻擊，避免木桶效應(yīng)的影響。

企業(yè)軟件管家組件包括全網(wǎng)軟件信息統(tǒng)計(jì)、終端流量統(tǒng)計(jì)、全網(wǎng)軟件分發(fā)等功能，大大提高企業(yè)信息化水平。惡意、未知軟件一目了然，簡(jiǎn)化了對(duì)終端電腦的管理，降低IT管理成本。

硬件資產(chǎn)管理組件包括全網(wǎng)IT硬件匯總統(tǒng)計(jì)、硬件變更丟失跟蹤和預(yù)警、硬件運(yùn)行狀態(tài)監(jiān)控功能，輕松管理企業(yè)硬件資產(chǎn)。便于管理員實(shí)時(shí)查看企業(yè)全網(wǎng)終端電腦的硬件配置，動(dòng)態(tài)了解資產(chǎn)情況，及時(shí)獲取各種硬件資產(chǎn)變更情況，方便財(cái)務(wù)審計(jì)，輕松構(gòu)建專業(yè)的企業(yè)硬件資產(chǎn)監(jiān)控與審計(jì)平臺(tái)。

使用360企業(yè)版，則可以通過(guò)控制中心的緩存數(shù)據(jù)，進(jìn)行二次分發(fā)，給內(nèi)網(wǎng)用戶集中升級(jí)，集中打補(bǔ)丁，從而在最大程度上減少升級(jí)、打補(bǔ)丁等聯(lián)網(wǎng)操作對(duì)企業(yè)網(wǎng)絡(luò)帶寬的占用。

(4)系統(tǒng)免費(fèi)使用，應(yīng)用廣泛。該系統(tǒng)全功能無(wú)限制，不限終端數(shù)，超過(guò)42萬(wàn)家企業(yè)選擇，覆蓋了各大中小型企業(yè)、政府機(jī)關(guān)、企事業(yè)單位，包括能源、金融、制造、教育、醫(yī)療、服務(wù)、IT等行業(yè)領(lǐng)域。國(guó)家商務(wù)部、新華社等均采用了該軟件作為安全服務(wù)。

3.3 硬件方案

通過(guò)在A樓內(nèi)網(wǎng)設(shè)置一臺(tái)服務(wù)器，運(yùn)行windows server 2008系統(tǒng)提供運(yùn)行360企業(yè)版安全系統(tǒng)并提供LAN文件備份和共享服務(wù)，儲(chǔ)存方案采用RAID1雙硬盤做磁盤陣列。

3.4 網(wǎng)絡(luò)優(yōu)化方案

對(duì)網(wǎng)絡(luò)布線進(jìn)行清理，采用綜合布線系統(tǒng)，清理各部門私拉亂接的網(wǎng)絡(luò)線纜和任意串接的交換機(jī)和路由器，全面調(diào)查網(wǎng)絡(luò)結(jié)構(gòu)和IP地址，并規(guī)范網(wǎng)絡(luò)環(huán)境。

4 方案實(shí)施

4.1 設(shè)立組織機(jī)構(gòu)

公司高度重視信息化建設(shè)工作，由總工程師辦公室負(fù)責(zé)公司的信息化建設(shè)管理，制定并發(fā)布了公司信息化建設(shè)管理制度，擬定了公司信息化建設(shè)規(guī)劃，并招聘設(shè)置一名信息化專員負(fù)責(zé)信息化工作。

4.2 網(wǎng)絡(luò)環(huán)境準(zhǔn)備

為了對(duì)原有網(wǎng)絡(luò)環(huán)境進(jìn)行了解，于2012年9月開(kāi)展了信息化建設(shè)問(wèn)卷調(diào)查，清理了公司的軟硬件配置及網(wǎng)絡(luò)設(shè)備情況。2013年一季度對(duì)全網(wǎng)IP地址進(jìn)行了專項(xiàng)調(diào)查統(tǒng)計(jì)，為規(guī)范網(wǎng)絡(luò)管理和運(yùn)行360安全系統(tǒng)做技術(shù)準(zhǔn)備。

對(duì)全網(wǎng)IP地址進(jìn)行了調(diào)查統(tǒng)計(jì)后，重新對(duì)各部門分配了IP地址，以保證網(wǎng)絡(luò)環(huán)境的正常運(yùn)行。在規(guī)劃和分配時(shí)應(yīng)考慮到有一定冗余量為以后人員的增加預(yù)留足夠的地址；同時(shí)由于各終端仍存在任意修改IP地址的情況，因此在網(wǎng)絡(luò)設(shè)備上啟動(dòng)了MAC綁定功能，將IP地址與網(wǎng)卡綁定在一起，有效控制了個(gè)人修改地址造成網(wǎng)絡(luò)沖突和混亂的發(fā)生。

A樓和B樓兩個(gè)不同的網(wǎng)段，均連接至上級(jí)核心交換機(jī)，經(jīng)技術(shù)人員專項(xiàng)設(shè)置后，可滿足跨網(wǎng)段互訪需求。

4.3 硬件配置

服務(wù)器的配置是本解決方案的重點(diǎn)。為了確保本方案的有效實(shí)現(xiàn)，設(shè)計(jì)采用Intel i5四核處理器、16 GB內(nèi)存、2塊1000 GB硬盤的主要配置參數(shù)，運(yùn)行windows server 2008系統(tǒng)、360企業(yè)版安全系統(tǒng)并提供LAN文件備份和共享服務(wù)足以滿足本項(xiàng)目需求。

360企業(yè)版對(duì)硬件環(huán)境的建議要求是CPU:Intel i5處理器(雙核以上)、內(nèi)存2GB以上、硬盤建議200G以上(需要下載補(bǔ)丁文件存放)。

4.4 軟件系統(tǒng)配置

服務(wù)器操作系統(tǒng)的配置本文不再進(jìn)行說(shuō)明，文件儲(chǔ)存?zhèn)浞莺凸蚕矸?wù)可啟用文件服務(wù)器功能實(shí)現(xiàn)，以下重點(diǎn)說(shuō)明360企業(yè)版安全系統(tǒng)的實(shí)施。

360企業(yè)版是基于C/S構(gòu)架的系統(tǒng)，包括控制中心和終端2個(gè)組成部分。控制中心和客戶端均部署在企業(yè)網(wǎng)內(nèi)部，系統(tǒng)構(gòu)架如圖1所示。

圖1 系統(tǒng)構(gòu)架

控制中心支持的軟件環(huán)境有Windows XP_SP3及以上、Windows Server 2003_SP2、Windows Server 2008、Windows Vista和Windows 7。終端支持的軟件環(huán)境除上述系統(tǒng)外還包括Windows 8。

360企業(yè)版系統(tǒng)的配置主要包括安裝控制中心、部署企業(yè)版終端、定時(shí)登錄控制中心查看各終端安全情況和下發(fā)統(tǒng)一殺毒、修復(fù)漏洞等策略，確保終端安全。具體請(qǐng)按照產(chǎn)品手冊(cè)操作。

控制中心是企業(yè)版的服務(wù)器端，部署在企業(yè)的內(nèi)部服務(wù)器上，包含三個(gè)功能模塊。

其中系統(tǒng)中心：和終端客戶端進(jìn)行通訊。接收終端的體檢信息、病毒信息、漏洞信息等上報(bào)；下發(fā)各種體檢、殺毒、打補(bǔ)丁等指令和策略。

管理平臺(tái)：提供基于B/S模式的管理平臺(tái)，管理員可以通過(guò)瀏覽器(IE、360瀏覽器等)進(jìn)行遠(yuǎn)程管理，查看全網(wǎng)的企業(yè)安全狀況、配置終端安全策略、軟件管理、硬件管理、配置企業(yè)版的運(yùn)行參數(shù)等。

升級(jí)服務(wù)：為終端提供病毒木馬庫(kù)和程序文件等的升級(jí)更新。360企業(yè)版有多種升級(jí)模式。

終端部署360企業(yè)版的終端程序，通訊管理模塊執(zhí)行和控制中心保持通訊，把終端的安全狀況報(bào)告給控制中心，從控制中心接收各種安全策略，執(zhí)行各種安全任務(wù)。

5 項(xiàng)目效果評(píng)價(jià)

本項(xiàng)目從啟動(dòng)準(zhǔn)備工作至系統(tǒng)上線歷時(shí)2個(gè)月時(shí)間。

在系統(tǒng)上線后對(duì)原始網(wǎng)絡(luò)環(huán)境的初始安全評(píng)分為56分，經(jīng)過(guò)系統(tǒng)運(yùn)行和管理后，目前系統(tǒng)安全評(píng)分已達(dá)到95分。

系統(tǒng)運(yùn)行后，網(wǎng)絡(luò)故障發(fā)生率降低了80 %，計(jì)算機(jī)運(yùn)行速度大幅提升，網(wǎng)絡(luò)速度改變效果明顯，工作效率得到提高，對(duì)公司信息化服務(wù)的滿意度由2012年的62 %提高到了現(xiàn)在的90 %，整個(gè)項(xiàng)目實(shí)現(xiàn)了系統(tǒng)安全、軟件管理、資產(chǎn)管理和文件服務(wù)的預(yù)期目標(biāo)，LAN網(wǎng)絡(luò)安全的綜合管理得以實(shí)現(xiàn)，得到了公司全體員工的高度認(rèn)可。

6 建議和說(shuō)明

(1)應(yīng)做好信息化建設(shè)總體規(guī)劃，以便按既定目標(biāo)和任務(wù)開(kāi)展相應(yīng)工作。

(2)應(yīng)注意加強(qiáng)網(wǎng)絡(luò)環(huán)境的管控。建議對(duì)網(wǎng)絡(luò)地址改造后進(jìn)行綁定，防止使用者擅自修改IP地址。LAN宜控制在一個(gè)網(wǎng)段內(nèi)，以減少跨網(wǎng)段給管理帶來(lái)的困擾，尤其是網(wǎng)絡(luò)環(huán)境復(fù)雜又沒(méi)有專業(yè)IT人員負(fù)責(zé)運(yùn)營(yíng)的網(wǎng)絡(luò)。

(3)服務(wù)器建議由取得微軟MCITP證書的專業(yè)人員進(jìn)行規(guī)劃、實(shí)施和運(yùn)維指導(dǎo)。

(4)運(yùn)用本方案對(duì)各計(jì)算機(jī)終端的要求可適當(dāng)放寬，若要考慮對(duì)各終端的硬件升級(jí)，建議在360企業(yè)版運(yùn)行后統(tǒng)一進(jìn)行，因?yàn)樵撓到y(tǒng)可以方便地自動(dòng)統(tǒng)計(jì)終端參數(shù)，便于根據(jù)統(tǒng)計(jì)情況制定統(tǒng)一的升級(jí)方案。

[1] 奇虎科技有限公司 360企業(yè)版使用手冊(cè)[M]

[2] JGJ/T 272-2012建筑施工企業(yè)信息化評(píng)價(jià)標(biāo)準(zhǔn)[S]