大港石化公司网络精细化管理简单分析.docVIP

大港石化公司网络精细化管理简单分析 　　近年来随着网络信息的快速发展，大港石化公司的网络规模也日益扩大，再加上各种应用系统的推广使用，公司的网络结构变得日趋复杂。在这种情况下，如何保证公司网络安全、平稳、可靠运行、合理的利用全公司网络的软硬件资源，使公司的网络资源得到最大效益的发挥，成为了急需解决的当务之急。因而，对公司网络的精细化管理也变得极其重要。 　　一、网络管理中发现的问题 　　大港石化公司的网络资源包括路由器、交换机、防火墙等网络设备。应用系统包括MES系统、ERP系统、OA系统、邮箱系统等，各应用系统包含了大量的企业内部信息。由于网络信息规模比较大，在近些年的网络管理中发现了一些问题，不利于网络的平稳运行。 　　大港石化公司的网络分为内网和外网两个部分，不仅仅需要防止病毒的入侵，而且还要防止非法外联的入侵以保证内网信息的安全，这样对于网络安全的防护任务是比较大的。常见的网络安全问题有： 一是杀毒软件安装不符合要求导致病毒、木马的感染入侵；二是操作系统存在漏洞，没有及时打上补丁；三是电脑黑客的攻击；四是操作使用人员水平有限，安装简易的盗版系统，存在弱口令。 　　大港石化公司采用的是静态IP地址分派的方式。网络信息化的日益发达和各种办公系统的上线使日常的办公越来越离不开电脑网络，导致新增大量的IP地址。IP地址的紧张导致IP地址出现冲突，严重影响了办公的效率。由于IP地址的不记名制，出现电脑感染病毒、网络审计等不能进行有效的定位追踪。 　　二、现行网络精细化管理的方法 　　第一，采用三层网络结构。大港石化公司网络采取核心层——汇聚层——接入层三层网络结构，将复杂的网络分成三个层次。采用双机冗余热备的核心层交换机和上层高速网络进行交换，利用汇聚层交换机以减轻核心交换机的负荷压力，最后通过接入层交换机向公司网络提供数据服务。 　　第二，内网和外网链路分开。大港石化公司内网和外网分走不同的链路。中石油内部各种办公软件的使用需要内网提供数据，需要外联Internet网络则需要外网提供数据。外网链路出现意外不影响内网使用，而且内网采用了双链路，保障了正常办公不受影响。 　　第三，办公网和生产网的隔离。采用网闸技术，将办公网和生产网进行物理隔离，可以有效防止办公网对生产网发动攻击的可能性，保障了生产网络的安全，确保生产安全平稳运行。 　　第四，采用VLAN技术。VLAN即虚拟局域网。是通过将局域网内的设备逻辑地划分成一个个网段从而实现虚拟工作组的技术。利用VLAN技术，可以将不同子网中的用户进行逻辑分段处理，把不同地点、不同网络、不同用户组合在一起，置于同一个广播域中形成一个虚拟的网络环境。 　　第五，采用VPN技术。VPN即虚拟专用网络，是利用隧道技术和加密技术在公用网络中建立一个临时的、安全的连接。通过VPN技术，用户不需要装备专用的设备就可以安全地对企业内部专用网络进行远程访问。 　　第六，桌面安全管理系统的使用。2011年5月，中石油桌面安全管理系统正式上线。系统采用了赛门铁克公司的SEP11杀毒软件、Enforce 6100准入设备和北信源公司的VRV内网安全管理及补丁分发系统。 　　公司内部所有入网电脑必须按照中石油总部要求部署赛门铁克公司终端安全防护软件SEP 11（Symantec Endpoint Protection 11），杀毒软件病毒库可以自动更新，有效的抵御病毒、木马、蠕虫和间谍软件。同时在网络出口处部署赛门铁克公司网络准入控制设备Enforcer 6100，没有安装SEP11杀毒软件的电脑不能通过Enforcer 6100准入要求，不能对公司网络进行访问。通过准入控制的方式可以防止员工和外来访客接入公司网络带来的安全隐患。公司网络管理员登录策略管理服务器（Symantec Endpoint Protection Manager）对客户端制定策略并定期输出风险报告，对公司网络进行管理。 　　 　　图1 Symantec策略管理服务器主页面 　　公司内所有入网电脑注册了北信源终端安全管理产品VRV EDP（Enterprise desk planning），通过实名制的注册建立起网络资源信息管理库。公司网络管理员通过Web方式登录管理平台对整个系统进行应用策略配置，管理网络。大港石化公司还采用了BETA网络管理系统，可以通过IP地址追踪定位到终端电脑上层交换机的具体端口。在实名制管理信息库的基础上，网络管理员配合BETA系统对IP资源进行分配管理。 　　北信源VRV管理平台上可以进行内部网络连接阻断。一旦发现终端电脑感染病毒，可以第一时间追踪到具体使用人及其所在的办公区域。网络管理员通过VRV管理平台对其电脑进行关闭，同时利用BETA系统查找到其所在的交换机端口并关闭，避免病毒的进一步扩散。 　　北信源