能源行业信息系统网络整体优化设计方案Word格式文档下载.docx

能源行业信息系统网络整体优化设计方案Word格式文档下载.docx

《能源行业信息系统网络整体优化设计方案Word格式文档下载.docx》由会员分享，可在线阅读，更多相关《能源行业信息系统网络整体优化设计方案Word格式文档下载.docx（51页珍藏版）》请在冰豆网上搜索。

1.1项目背景

一、能源行业面临的挑战

能源行业按照客户类型划分为石油石化、电力、煤炭矿产等，近年来客户为加强业务系统信息化建设，各个大型能源企业信息管理部门纷纷出台了各种针对信息系统建设要求规范，依据的标准包括ISO17799《信息安全管理实施细则》、ISO27001《信息安全管理体系规范》、萨班斯（SOX）法案等，其中某些企业同时制定了针对本公司内部的信息安全管理制度和规范，包括《网络安全规划》、《网络管理办法》、《网络系统建设策略》、《计算机信息系统安全管理暂行规定》、《应用信息系统安全设计规范》、《计算机网络互联网接口安全建设规范》、《总部桌面计算机运行维护管理办法》、《信息系统关键岗位安全管理办法》以及《关于加强对外网站及网站信息发布管理的暂行规定》等。

可见各个企业已经十分重视信息安全，纷纷加大信息科技管理方面的投入力度。

　　二、信息化是能源工业合理利用资源，实现可持续发展的重要途径

中国能源工业为了提高产品质量、减少废次品、降低成本、合理组织生产、能源综合利用、清洁化生产、管理流程优化、最大限度地满足客户个性化的需求，需要以信息技术为手段、以管理创新、技术创新、制度创新为动力，改造落后装备，实现生产过程自动化、管理信息化。

信息化为中国能源工业走新型工业化道路提供了重要机遇。

特别是在资源开发和利用中，使用先进的信息技术能够实现优化设计、制造和管理，通过对各种生产和消费过程进行数字化、智能化的实时监控，大大降低各种资源的消耗。

对于中国能源企业来说，信息化是企业合理利用资源、降低资源消耗的重要途径。

　　应用信息技术还可以在能源企业生产管理诸多方面发挥促进作用。

例如：

信息化能够为企业实现全面的、实时的、动态的监测和管理各种资源提供现代化手段，这些资源包括保证企业生产安全运营的水、电、煤、气、油以及原材料，能源信息管理系统、环保污染监控系统已经在能源企业得到应用；

数据库技术可以对这些资源消耗量进行分析预测并作出预报预警，网络和通信技术可以将位于远程数据采集点的资源消耗的数据实时采集到信息系统中，进行统计分析；

通过产销系统和制造执行系统的运行，保证产品质量，减少废次品，以销定产，以产定料，压缩库存，合理资源调配，避免能源和资源的浪费，提高资源／能源的综合利用率；

设备管理系统能够对设备的检点维修状况进行动态管理，防止设备未及时检修造成资源的跑冒滴漏现象发生；

智能化仪表将各种资源使用情况准确记录下来等等，信息技术已经被广泛地应用于能源企业的各个环节并将发挥更大的作用。

能源企业要积极利用信息技术在资源、环境领域的应用，推进绿色制造和清洁生产，合理利用资源，保护生态环境。

这是我们在资源、能源缺乏的情况下推动能源工业化进程的良好途径。

1.2项目目的

本方案依据与XXXX工程师的交流沟通，将对XXXX网络做出系统的全面优化设计。

其目的在于构建XXXX整体网络安全体系架构，部署网络安全策略，保证XXXX的网络安全、系统管理都能有机整合。

第2章行业现状

信息安全是对信息基础设施、应用系统或信息内容的可靠性、保密性、完整性、可用性、可控性或不可否认性进行保障和保护，是一项涉及到人员、技术、管理、运行维护等多方面、多层次、多角度、复杂的系统工程。

信息安全工作在能源行业的信息化进程中，得到了各级领导和职能部门的高度重视，各位领导同志在每年信息能源作会议上都会特别强调，在信息化建设过程中，要始终把安全问题放在首位，趋利避害。

信息安全主要包括三个方面：

一是信息内容的安全，做到数据和文件安全传输和存储，不泄密，不丢失，不损坏。

二是信息系统的安全，既要做到网络运行畅通、稳定、可靠，又要防止病毒及黑客侵入，提高保密性。

三是信息管理的安全，做到安全制度严密，控制措施有效，无人泄密。

能源行业的业务系统主要包括ERP系统、物流系统、配送系统、零售系统、门户网站、客户管理系统、勘探系统、冶炼系统、营销系统等，各类不同的行业客户在信息系统建设和使用过程中都会遇到诸如物理层、网络架构、终端和操作系统、应用系统、核心业务数据等多方面的安全和优化问题，因此我们的方案主要针对以上各个方面。

第3章信息系统现状及需求分析

3.1信息系统现状

3.1.1网络结构现状

XXXX信息系统现有网络拓扑图如图1.1所示：

图1.1XXXX信息现有系统网络拓扑图

3.1.2信息系统现状

XXXX网络系统目前市区厂区网络和开发区厂区网络组成，两个厂区使用2M专线进行互联。

在开发区厂区网络中，接入一条10M带宽的互联网链路，互联网边界部署了一台LinkTrust80防火墙，局域网网络使用星形接入方式，使用HP5308XL交换机作为核心交换节点，根据办公楼、综合楼、中控楼等在核心交换机上划分不同VLAN，还有一台一卡通服务器直接接入核心交换机。

在市区厂区网络中，接入一条100M带宽的互联网链路，互联网边界部署了一台LinkTrust100防火墙，局域网网络使用星形接入方式，使用华为6503交换机作为核心交换节点，目前网络中有财务系统服务器、ERP系统（负责单位进销存）服务器、ERP系统数据备份服务器、文件服务器（采用共享方式）以及作为对外发布的FTP服务器。

XXXX共有三百多台电脑，两个厂区分别采用星形组网方式，使用Vlan来防范网络间恶意攻击与破坏。

通过划分VLAN子网，缩小了广播域，通过交换机把关键部门和其他部门或者把所有的部门划分到不同的VLAN内，实现部门间的逻辑隔离，避免了避免了广播风暴的产生，也可以防范网络间恶意攻击与破坏。

提高交换网络的交换效率，保证网络稳定，提高网络安全性。

3.2信息系统安全现状分析

XXXX信息化建设从无到有，经历了迅速建立与逐步改善的过程，在队伍建设、信息技术基础设施建设、应用系统的开发完善等方面取得了显著成绩，随着网络技术的不断发展，信息量的增加，网络规模的扩大，数据量，业务量的增加，网络安全方面的建设却显得滞后了。

并且随着业务的不断增长和网络威胁的不断增多，XXXX的网络已经不能满足在现代高威胁网络环境下的安全需求。

现有的系统网络缺乏完整的安全防护体系。

目前的设备很难对用户的互联网访问进行有效的控制，导致网络极易感染病毒，网络大部分带宽被与工作无关的应用长期占用，严重影响单位的正常业务的运行。

对互联网访问的内容无法实现有效的控制及审计。

网络安全产品如防火墙、入侵检测、防病毒系统、终端管理、VPN系统等系统应用得还比较少，网络安全管理体系还未形成。

另外针对已经部署的产品和系统合理有效的配置使用，使其充分发挥其安全防护作用方面，以及在对于突发性内外部恶意攻击等非常规的安全事件的快速有效响应所需的技术和管理措施方面，都还需要做进一步的工作。

根据充分的调查研究，XXXX的信息系统安全建设的需求有以下四个方面：

1、网络安全

<

1>

市区厂区和开发区厂区分别使用各自的互联网链路，每条互联网边界均部署了一台防火墙系统。

这两台防火墙作分别提供XXXX两个厂区的用户上网和对外发布应用服务，随着上网用户和发布应用服务的增多，防火墙的负载将越来越来大，现有防火墙可能成为网络瓶颈。

2>

开发区厂区的一卡通服务器和客户机间没有安全防护措施，客户机对服务器可以进行任何操作。

因为很多客户机可以上网，极易感染木马、病毒，客户机也可能会感染或攻击服务器，影响服务器应用的正常使用，造成难以估计的损失。

因此需要加强用户对服务器的访问控制。

同时市区厂区的财务系统服务器、ERP系统服务器、文件服务器等应用和客户机之间也缺乏安全防护措施。

对外发布供外网用户使用的FTP服务器等应用也缺乏必要的安全保护措施。

3>

缺乏异常流量、恶意流量监控、审计和防御机制，现如今网络上存在着大量的不法黑客以及许多异常流量，对异常流量监测可以了解当前有哪些人通过非法的手段或途径访问了我们的系统或网络，及时了解网络的健康状态，通过这些信息可以采取一些相应的手段去解决问题，我们在采取法律手段时也无法提供了依据和证据。

4>

XXXX驻外办事处、出差等移动用户需要和总部实现数据共享，目前只能通过设置地址映射访问公网IP地址，由于驻外办事处和移动用户与服务器之间的数据通讯都是通过公网进行的，数据传输时无法做到数据的加密，无法保证通过公网进行传输的业务数据和敏感信息不被非法窃取、篡改，无法确保通信双方身份的真实性无法保证数据的传输安全。

2、系统安全

随着XXXX网络系统规模的迅速扩张，对终端管理系统的需求也随之增加。

一方面，个人电脑、服务器和移动设备的数量正在随着XXXX网络应用规模的不断扩大而快速增加；

另一方面，各种应用软件和补丁更新换代速度加快，来自企业内、外部的网络攻击也日益猖獗；

终端用户擅装非法软件、擅自更改IP地址、擅自变更硬件配置、非法访问互联网、非法内联等问题的存在，却没有一套有效的辅助性管理工具，依然沿用传统的手工作业模式，缺乏采用统一策略下发并强制策略执行的机制，进行桌面安全监管、行为监管、系统监管和安全状态检测，实现对局域网内部桌面系统的管理和维护，能有效保护用户系统安全和机密数据安全。

XXXX网络系统中部署众多的网络设备、安全设备、服务器、应用系统和数据库系统，这些系统在工作过程中将有针对性地记录各种网络运行日志，这些日志对于监控用户的网络安全状态，分析安全发展趋势，有着重要的意义，是用户网络安全管理的重要依据。

但是，由于各网络安全产品一般独立工作、各自为战，产生的安全事件信息也是格式不一，内容不同，且数量巨大，导致安全管理员难于对这些信息进行综合分析，对网络中各种安全事件也就无法准确识别、及时响应，以致直接影响整个安全防御体系效能的有效发挥。

ERP系统作为XXXX进销存应用系统，其数据关系到整个XXXX业务的运行，为最大化保证业务的连续性，ERP系统服务器主机应采取可靠的冗余备份机制，确保在线业务处理和数据访问过程不会因为服务器系统故障而中断。

在内网系统中，还没有配置一套整体的防病毒体系，对于现的网络环境来说无疑是给病毒的入侵埋下了极大的隐患。

5>

缺乏信息安全管理平台，通过信息安全平台集中同时实时的了解设备，服务器的运行状态和系统资源使用情况，大大提高了运维的效率，防止由于管理人员的遗漏造成问题解决的不及时。

网络中的各产品之间没有联系，给管理工作带来了一定的难度，难以发挥应有的整体效果。

另外利用目前的管理手段在网络审计、入侵检测和病毒监测等网络管理工具的使用过程中，对发现的违规操作或感染病毒的计算机，不能快速、准确定位，不能及时阻断有害侵袭并快速查出侵袭的设备和人员。

3、应用安全

<

目前XXXX文件服务器采用网上邻居共享访问的方式，文件服务器共享的资源可以被公司所有用户进行查看、下载、编辑、删除等动作，文件服务器缺乏用户认证机制，文件服务器数据缺乏安全性、私密性。

另外使用网上邻居共享方式常会出现客户系统无法访问文件服务器的问题，通过网上邻居传输文件时使用netbios协议，然而现在有很多蠕虫病毒利用netbios协议的端口扫描网络主机漏洞、传输病毒文件，使病毒扩散到整个网络，最终导致系统崩溃、网络瘫痪，业务无法正常开展。

4、数据安全

ERP系统作为XXXX进销存应用系统，其数据关系到整个XXXX业务的运行，其重要性不言而喻，目前ERP系统数据通过网络备份到另一台服务器上，使用硬盘作为数据备份存储介质故障率很高，存在很大的数据安全风险。

另外财务系统也存在数据备份的问题。

第4章总体安全目标

为了防止互联网上的非法访问、恶意攻击和病毒传播等各种安全威胁对XXXX信息系统造成影响，我们将采用一系列安全措施来对XXXX信息系统提供必要的安全保护，使包含网络通讯、操作系统、