IT部門年終工作計(jì)劃

1、上海電力修造總廠IT部門年終工作匯報(bào)總結(jié)Contents一.建立CRM系統(tǒng)31.1需求調(diào)研31.2功能分析31.3系統(tǒng)集成4二.建立OA系統(tǒng)52.1需求調(diào)研52.2功能分析62.3系統(tǒng)集成6三.建立DM桌面管理系統(tǒng)73.1需求調(diào)研73.2功能分析83.3系統(tǒng)集成8四.網(wǎng)絡(luò)架構(gòu)改造94.1現(xiàn)狀分析94.2網(wǎng)絡(luò)改造目標(biāo)104.3實(shí)施方案10五.對(duì)VPN安全性的改進(jìn)方案125.1改進(jìn)方案125.2部署和配置方案135.3智能卡部署流程135.4方案結(jié)論14六.落實(shí)部署雙網(wǎng)隔離方案156.1方案評(píng)估156.1.1投資巨大156.1.2影響工作效率156.1.3部分業(yè)務(wù)受到影響166.2實(shí)施計(jì)劃166.

2、3系統(tǒng)集成16七.日常系統(tǒng)維護(hù)工作187.1網(wǎng)絡(luò)系統(tǒng)規(guī)劃及合理化建議187.2存儲(chǔ)備份系統(tǒng)的服務(wù)187.3電子郵件系統(tǒng)的服務(wù)187.4網(wǎng)絡(luò)防毒系統(tǒng)的服務(wù)187.5構(gòu)建企業(yè)虛擬災(zāi)難恢復(fù)環(huán)境187.6分支機(jī)構(gòu)支持18一. 建立CRM系統(tǒng)上海電力修造總廠（以下簡(jiǎn)稱“總廠”）一直在使用進(jìn)銷存系統(tǒng)+ERP系統(tǒng)對(duì)銷售進(jìn)行管理，但逐漸發(fā)現(xiàn)該系統(tǒng)的功能無法適應(yīng)企業(yè)的發(fā)展需求，尤其是客戶數(shù)據(jù)的管理，進(jìn)銷存系統(tǒng)根本無法根據(jù)實(shí)際需要，提出與之相配套的客戶數(shù)據(jù)中心，不能記錄企業(yè)在市場(chǎng)營(yíng)銷與銷售過程中和客戶發(fā)生的各種交互行為，以及各類有關(guān)活動(dòng)的狀態(tài)，根據(jù)實(shí)際需要，提出各類數(shù)據(jù)模型，為后期的分析和決策根據(jù)實(shí)際需要，提出支

3、持。公司管理層在看到原有系統(tǒng)的不足導(dǎo)致企業(yè)無法實(shí)現(xiàn)預(yù)期的目標(biāo)后，遂決定引入CRM的實(shí)施顧問公司，協(xié)助總廠建立CRM系統(tǒng)以增強(qiáng)企業(yè)的核心競(jìng)爭(zhēng)力。1.1 需求調(diào)研在CRM系統(tǒng)的實(shí)施顧問對(duì)總廠的銷售現(xiàn)狀和未來市場(chǎng)定位進(jìn)行了各項(xiàng)調(diào)研和分析后，IT部門配合CRM開發(fā)公司，對(duì)現(xiàn)有進(jìn)銷存的應(yīng)用系統(tǒng)作了全面了解和評(píng)估，然后以此為基礎(chǔ)制訂了CRM系統(tǒng)在以下幾個(gè)方面的重大改進(jìn)目標(biāo)：1. 提高銷售業(yè)績(jī)和效率：系統(tǒng)需要規(guī)定銷售代表的拜訪數(shù)量2. 定位正確的目標(biāo)客戶：系統(tǒng)根據(jù)銷售代表的拜訪結(jié)果進(jìn)行統(tǒng)計(jì)，從而對(duì)目標(biāo)客戶進(jìn)行優(yōu)化3. 傳遞正確的信息：規(guī)范銷售代表的活動(dòng)區(qū)域以及負(fù)責(zé)的產(chǎn)品領(lǐng)域，強(qiáng)化拜訪的針對(duì)性和范圍4. 開展

4、正確的銷售活動(dòng)：系統(tǒng)針對(duì)不同地區(qū)、客戶自動(dòng)調(diào)整拜訪量和頻率，方便銷售代表安排每日行程，并根據(jù)實(shí)際需要，提出正確的數(shù)據(jù)以便對(duì)銷售代表進(jìn)行業(yè)績(jī)考核1.2 功能分析同時(shí)IT部門還協(xié)助CRM實(shí)施顧問公司，按照總廠銷售部門的業(yè)務(wù)特點(diǎn)及用戶的使用習(xí)慣，再融入CRM先進(jìn)的戰(zhàn)略管理思想的同時(shí)，充分結(jié)合總廠本土化實(shí)施的需求，按照“以客戶為中心，以流程為導(dǎo)向，保障客戶信息安全，開發(fā)平臺(tái)隨需而變”的原則，制訂了CRM系統(tǒng)的基本模塊。包括： 1. 我的桌面 2. 客戶管理 3. 營(yíng)銷管理 4. 銷售管理 5. 服務(wù)管理 6. 產(chǎn)品管理 7. 知識(shí)管理8. 統(tǒng)計(jì)分析 9. 公告管理 10. 流程管理 11. 系統(tǒng)管理

5、1.3 系統(tǒng)集成最后，IT部門通過對(duì)當(dāng)前業(yè)務(wù)需求及業(yè)務(wù)未來發(fā)展規(guī)模的評(píng)估，為CRM系統(tǒng)的硬件及網(wǎng)絡(luò)性能做出了合理的計(jì)算，由此作為CRM系統(tǒng)的硬件、軟件及網(wǎng)絡(luò)運(yùn)行環(huán)境的選擇依據(jù)。最后在系統(tǒng)集成商的配合下，完成了整個(gè)環(huán)境的部署。二. 建立OA系統(tǒng)“總廠”原來使用電子郵件作為內(nèi)部溝通工具，同時(shí)建立了一個(gè)內(nèi)部網(wǎng)站用來發(fā)布企業(yè)重要信息。但是，在實(shí)際工作中，依然有大量的紙質(zhì)文件需要處理，依然需要依賴大量的手工工作，隨著業(yè)務(wù)的發(fā)展和企業(yè)信息化建設(shè)的需要，企業(yè)管理層逐步意識(shí)到現(xiàn)有的傳統(tǒng)辦公模式存在許多阻礙生產(chǎn)和管理效率提升的問題： 1 傳統(tǒng)辦公事務(wù)工作的繁瑣、重復(fù)勞動(dòng)和檢索不便。2 使用紙質(zhì)文件，造成大量時(shí)間

6、、紙張和耗材的浪費(fèi)，效率低下。3 信息流轉(zhuǎn)不暢通造成的高溝通成本，低響應(yīng)速度。4 任務(wù)分配的不明確，缺少協(xié)作和反饋。5 員工的經(jīng)驗(yàn)和知識(shí)缺乏積累和共享不能使企業(yè)迅速提升。6 缺乏依據(jù)造成領(lǐng)導(dǎo)層的決策困難。為解決上述問題，總廠急需在內(nèi)部建立一個(gè)知識(shí)共享與辦公協(xié)作平臺(tái)（簡(jiǎn)稱OA系統(tǒng)），通過信息發(fā)布、電子郵件、手機(jī)短信、在線聯(lián)系等手段，加強(qiáng)員工之間的溝通協(xié)作、文檔及資源的共享、工作流程的審批以及企業(yè)文化的營(yíng)造,全面提升和優(yōu)化信息化的服務(wù)能力和應(yīng)用水平。2.1 需求調(diào)研IT部門在企業(yè)內(nèi)部搜集了各個(gè)部門對(duì)辦公OA系統(tǒng)的需求分析，然后對(duì)市場(chǎng)的主流OA系統(tǒng)作了細(xì)致的功能調(diào)研，最后在OA軟件開發(fā)商的協(xié)助下，制

7、訂了OA系統(tǒng)如下的實(shí)現(xiàn)目標(biāo)：1 采用OA電子自動(dòng)化的管理手段，使辦公效率極大的提高，基本實(shí)現(xiàn)公文、簽報(bào)和審批等電子化，大量減少辦公用紙數(shù)量,從而降低管理成本。 2 通過OA知識(shí)管理系統(tǒng)，企業(yè)員工在內(nèi)部網(wǎng)上學(xué)習(xí)到管理規(guī)范，各部門工作流程、產(chǎn)品知識(shí)、客戶及企業(yè)競(jìng)爭(zhēng)的知識(shí)、各個(gè)部門的培訓(xùn)教材、企業(yè)的發(fā)展現(xiàn)狀和方向 分析等。通過圖書館、檔案管理、信息發(fā)布、數(shù)據(jù)中心等有關(guān)知識(shí)，逐步形成一個(gè)資源豐富、內(nèi)容分類、主題相關(guān)、協(xié)作互通的知識(shí)庫(kù)。 3 通過辦公平臺(tái)，將其它系統(tǒng)中各種流程事務(wù)融合進(jìn)來。如財(cái)務(wù)系統(tǒng)中的費(fèi)用報(bào)銷。同時(shí)，OA辦公自動(dòng)化可以作為一個(gè)統(tǒng)一的入口實(shí)現(xiàn)對(duì)其它各種業(yè)務(wù)的綜合查詢。2.2 功能分析技術(shù)

8、上述的實(shí)現(xiàn)目標(biāo)，IT部門和OA軟件開發(fā)商共同制訂了總廠OA系統(tǒng)的規(guī)劃方案，包括5大平臺(tái)、33個(gè)功能模塊（包括24個(gè)基礎(chǔ)模塊，9個(gè)可選模塊）。方案要求在充分滿足當(dāng)前客戶需求的基礎(chǔ)上，系統(tǒng)必須實(shí)現(xiàn)模塊化，能夠根據(jù)管理的要求進(jìn)行擴(kuò)容和升級(jí)，并且在軟件平臺(tái)上具有一定的先進(jìn)性和前瞻性。2.3 系統(tǒng)集成最后，總廠選擇了使用上級(jí)集團(tuán)公司的OA平臺(tái)產(chǎn)品，并沒有構(gòu)建自主的OA系統(tǒng)。但是IT部門前期所做的各項(xiàng)內(nèi)部需求、外部產(chǎn)品、技術(shù)調(diào)研工作，很好地滿足了總廠對(duì)OA辦公自動(dòng)化平臺(tái)及技術(shù)的全面理解，為后期系統(tǒng)的平穩(wěn)上馬做好了各項(xiàng)技術(shù)準(zhǔn)備。三. 建立DM桌面管理系統(tǒng)“總廠”擁有大約800臺(tái)桌面電腦（含筆記本電腦），20

9、00年開始就采用Symantec網(wǎng)絡(luò)防毒軟件進(jìn)行覆蓋全公司的病毒預(yù)防和檢測(cè)，同時(shí)針對(duì)公司重要部門的信息安全，也采用了例如VLAN隔離，和用戶登錄計(jì)算機(jī)限制，以及嚴(yán)格限制USB設(shè)備使用等的多種防控手段。但是這些技術(shù)手段一直未能有效形成一個(gè)統(tǒng)一的管理平臺(tái)，每項(xiàng)管理措施都具有自己的管理方法和策略，不僅加大了IT部門管控的難度，也增加了認(rèn)為錯(cuò)誤導(dǎo)致的安全漏洞。隨著企業(yè)業(yè)務(wù)的擴(kuò)大，對(duì)互聯(lián)網(wǎng)的依賴程度也日漸增加，同時(shí)業(yè)務(wù)活動(dòng)所帶來的對(duì)外交往和交流的日益頻繁，都對(duì)知識(shí)型經(jīng)濟(jì)下的信息資產(chǎn)的機(jī)密性提出了更高的挑戰(zhàn)。從2007年開始，IT部門在提高業(yè)務(wù)開展保障能力的基礎(chǔ)上，開始尋求統(tǒng)一的技術(shù)平臺(tái)來解決因?yàn)E用計(jì)算機(jī)

10、帶來的各種危害和損失。該平臺(tái)需要能夠?qū)崿F(xiàn)我們以下的關(guān)鍵目標(biāo)：1 防止機(jī)密數(shù)據(jù)泄漏，保障信息安全2 規(guī)范計(jì)算機(jī)使用行為，提高生產(chǎn)力3 靈活架構(gòu)企業(yè)系統(tǒng)，實(shí)現(xiàn)集團(tuán)控制3.1 需求調(diào)研通過和總廠領(lǐng)導(dǎo)、重要部門主管的研討，我們總結(jié)并歸納了當(dāng)前內(nèi)部IT體系內(nèi)急需解決的幾個(gè)重要問題，并將此作為后續(xù)市場(chǎng)調(diào)研的主要方向。同時(shí)，IT部門結(jié)合多年來在“總廠”實(shí)行桌面電腦管理時(shí)所遇到的各種瓶頸，實(shí)地觀看了多家公司的產(chǎn)品演示，其中包括軟件、硬件等不同的管理形式。在了解桌面管理系統(tǒng)的未來發(fā)展方向和當(dāng)前主流技術(shù)、產(chǎn)品的前提下，從中規(guī)劃出適合我們企業(yè)特點(diǎn)的桌面電腦管理范圍。1 限制使用計(jì)算機(jī)的各種外部設(shè)備，如USB存儲(chǔ)設(shè)備

11、、USB設(shè)備、光驅(qū)、軟盤、打印機(jī)等，禁止非法復(fù)制和傳送數(shù)據(jù)2 阻絕未授權(quán)的非法外來計(jì)算機(jī)與企業(yè)內(nèi)部網(wǎng)絡(luò)共享或通訊3 鎖定IP/Mac地址，限制員工隨意修改IP地址，修改IP地址會(huì)有警報(bào)日志4 實(shí)時(shí)記錄各計(jì)算機(jī)/服務(wù)器的屏幕活動(dòng)畫面，支持同時(shí)多屏幕同時(shí)查看，并保存屏幕活動(dòng)記錄5 支持異地多點(diǎn)監(jiān)控，協(xié)助企業(yè)管理各地分支機(jī)構(gòu)運(yùn)作情況3.2 功能分析結(jié)合需求調(diào)研結(jié)果，基于我們對(duì)該平臺(tái)在未來的功能模塊和部署范圍不斷擴(kuò)充的展望，我們最終挑選了基于軟件模式的桌面管理平臺(tái)。同時(shí)選擇了首要實(shí)現(xiàn)的主要功能，如下圖紅色部分。3.3 系統(tǒng)集成最后，總廠選擇了使用上級(jí)集團(tuán)公司所推薦的桌面電腦管理平臺(tái)。在實(shí)際部署過程中，

12、IT部門根據(jù)我廠的系統(tǒng)管理原則，選擇了三元管理架構(gòu)。其中：1 客戶端的基本功能包括：n 定時(shí)采集資料并保存n 定時(shí)將采集的數(shù)據(jù)傳送到服務(wù)器n 響應(yīng)控制臺(tái)發(fā)出的監(jiān)視請(qǐng)求，傳送實(shí)時(shí)的屏幕快照信息n 根據(jù)系統(tǒng)的設(shè)置控制計(jì)算機(jī)和用戶的操作2 服務(wù)器的基本功能包括：n 定時(shí)搜索網(wǎng)絡(luò)，管理所有代理模塊計(jì)算機(jī)，并向代理模塊傳遞相關(guān)的設(shè)置和策略n 收集代理模塊的采集的數(shù)據(jù)，并將其保存到數(shù)據(jù)庫(kù)中n 備份歷史資料n 根據(jù)實(shí)際需要，提出方便靈活的歷史記錄管理、查看、歸檔、搜索等功能3 控制臺(tái)的基本功能包括：1 實(shí)時(shí)獲取受監(jiān)視計(jì)算機(jī)的屏幕快照等信息n 對(duì)單個(gè)或?qū)σ唤M目標(biāo)機(jī)進(jìn)行實(shí)時(shí)監(jiān)視，并可以輪流顯示多個(gè)目標(biāo)機(jī)的屏幕快

13、照n 設(shè)置監(jiān)視和控制規(guī)則n 查看并播放記錄在服務(wù)器端的歷史記錄n 查詢特定機(jī)器特定時(shí)刻的歷史記錄四. 網(wǎng)絡(luò)架構(gòu)改造“總廠”于2006年搬遷完成后，截止2008年，許多網(wǎng)絡(luò)設(shè)備已經(jīng)接近查過硬件保修期，同時(shí)原來結(jié)構(gòu)中的一些問題也逐漸暴露出來。下圖是總廠的網(wǎng)絡(luò)拓?fù)浜?jiǎn)圖。從圖上可以看出：1. 3560-31為網(wǎng)絡(luò)核心交換機(jī)，所有的數(shù)據(jù)都將使用此設(shè)備進(jìn)行交換，然后再通過防火墻連接到互聯(lián)網(wǎng)，同時(shí)它也連接著大部分的服務(wù)器。2. VLAN2為設(shè)計(jì)部門使用網(wǎng)絡(luò)，VLAN2的網(wǎng)絡(luò)端口過于分散，散布在3560-3134四臺(tái)交換機(jī)上。3. 3560-32和3560-33連接到廠區(qū)，為6個(gè)生產(chǎn)車間根據(jù)實(shí)際需要，提出網(wǎng)絡(luò)

14、接入。4.1 現(xiàn)狀分析1 當(dāng)核心交換機(jī)3560-31出現(xiàn)故障n 整個(gè)網(wǎng)絡(luò)處于癱瘓狀態(tài)，n 所有的計(jì)算機(jī)都無法訪問到互聯(lián)網(wǎng)n 所有的計(jì)算機(jī)都無法訪問服務(wù)器，n 所有的計(jì)算機(jī)無法進(jìn)行網(wǎng)絡(luò)工作。2 設(shè)計(jì)部的網(wǎng)絡(luò)端口在網(wǎng)絡(luò)中分布過于散亂n 不利于VLAN的故障排查，因?yàn)橥瑫r(shí)涉及到交換機(jī)和IP地址段n 不利于對(duì)設(shè)計(jì)部的網(wǎng)絡(luò)維護(hù)和管理。n 四臺(tái)交換機(jī)中任意一臺(tái)發(fā)生故障都可能影響到設(shè)計(jì)部門，故障概率過高3 3560-32和3560-33交換機(jī)也存在單點(diǎn)故障問題n 當(dāng)交換機(jī)3560-32出現(xiàn)故障時(shí)，l 閥門車間、焊條事業(yè)部、熱加工車間和熱加工車間2，無法訪問互聯(lián)網(wǎng)l 閥門車間、焊條事業(yè)部、熱加工車間和熱加工車

15、間2，無法訪問服務(wù)器n 當(dāng)交換機(jī)3560-33出現(xiàn)故障時(shí)l 實(shí)驗(yàn)車間、警衛(wèi)室、裝配車間和金工車間，無法訪問互聯(lián)網(wǎng)l 實(shí)驗(yàn)車間、警衛(wèi)室、裝配車間和金工車間，無法訪問服務(wù)器n 交換機(jī)3560-32和3560-33出現(xiàn)故障時(shí)，將出現(xiàn)大面積的計(jì)算機(jī)無法訪問互聯(lián)網(wǎng)和服務(wù)器。4.2 網(wǎng)絡(luò)改造目標(biāo)對(duì)以上的問題，網(wǎng)絡(luò)應(yīng)達(dá)到如下的目標(biāo)，以提高網(wǎng)絡(luò)的可用性和可靠性：1 3560-31交換機(jī)的故障問題高網(wǎng)絡(luò)的可用性，可以在短時(shí)間內(nèi)恢復(fù)網(wǎng)絡(luò)，對(duì)網(wǎng)絡(luò)核心設(shè)備（3560-31）根據(jù)實(shí)際需要，提出備機(jī)。2 設(shè)計(jì)部的網(wǎng)絡(luò)分布散亂問題將重要的部分（設(shè)計(jì)部），在設(shè)備上進(jìn)行集中在一個(gè)或兩個(gè)交換機(jī)上，方便管理和維護(hù)。3 3560-3

16、2和3560-33交換機(jī)的故障問題對(duì)3560-32和3560-33進(jìn)行相互備份，使生產(chǎn)環(huán)境的網(wǎng)絡(luò)提高網(wǎng)絡(luò)可用性。4.3 實(shí)施方案為實(shí)現(xiàn)以上的目標(biāo)，特進(jìn)行如下更新，以解決當(dāng)前的問題。1 為交換機(jī)3560-31根據(jù)實(shí)際需要，提出備機(jī)1.1 購(gòu)置一臺(tái)新的交換機(jī)，與當(dāng)前的3560-31的型號(hào)相同（WS-C3560G-24PS），同樣需要根據(jù)實(shí)際需要，提出4個(gè)SPF光纖模塊。1.2 將當(dāng)前的3560-31的系統(tǒng)刷新到新購(gòu)置的交換機(jī)上。1.3 當(dāng)正在使用3560-31交換機(jī)出現(xiàn)故障時(shí)，將新購(gòu)置的交換機(jī)替換出現(xiàn)故障的3560-31交換機(jī)，然后將網(wǎng)線重新插好，大約在半小時(shí)內(nèi)即可解決網(wǎng)絡(luò)故障。2 將VLAN3集

17、中在一個(gè)或兩個(gè)交換機(jī)上。1.4 購(gòu)置一臺(tái)2960（型號(hào)為WS-C2960-24TC-L）交換機(jī)1.5 將這臺(tái)2960交換機(jī)命名為2960-35，管理IP設(shè)置為10.130.249.351.6 把2960-35交換機(jī)連接到3560-31交換機(jī)上1.7 設(shè)置上聯(lián)口為Trunk1.8 設(shè)置其他的所有端口為：Access模式，屬于VLAN31.9 將連接到3560-31，3560-32，3560-33交換機(jī)的VLAN3端口的網(wǎng)線，全部連接到2960交換機(jī)上3 對(duì)3560-32和3560-33進(jìn)行相互備份1.10 在上個(gè)步驟（如2.6）完成之后，3560-32和3560-33交換機(jī)上將空出15個(gè)端口。1

18、.11 更改3560-32設(shè)置：1.11.1 將7，8，9，10，14，15號(hào)端口加入到VLAN2中1.11.2 設(shè)置17，18，19，20號(hào)端口為Trunk1.12 更改3560-33設(shè)置：1.12.1 將2，3，4，5，10號(hào)端口加入到VLAN2中1.12.2 將17，18，19，20號(hào)端口的網(wǎng)線換到2，3，4，5上1.12.3 設(shè)置17，18，19，20號(hào)端口為Trunk1.13 將3750-34交換機(jī)上，連接到VLAN2的網(wǎng)線（即15，16，17，21，22，23端口上的網(wǎng)線），連接到3560-32交換機(jī)（7，8，9，10，14，15號(hào)端口）上。1.14 當(dāng)3560-32交換機(jī)壞掉時(shí)，

19、可以將光纖使用光電轉(zhuǎn)換器（如3.7），連接到3560-33交換機(jī)的17，18，19，20號(hào)端口上1.15 當(dāng)3560-33交換機(jī)壞掉時(shí)，如3.5，然后連接到3560-32上1.16 購(gòu)置4臺(tái)光電轉(zhuǎn)換器，以備步驟3.5使用。注：3560-32和3560-33同時(shí)壞的可能性很小經(jīng)過改造后，新的網(wǎng)絡(luò)拓?fù)錈o論是從結(jié)構(gòu)的合理性還是故障的可保障性上講都有了巨大提高。 五. 對(duì)VPN安全性的改進(jìn)方案目前“總廠”的多個(gè)分支結(jié)構(gòu)和出差人員都可以通過VPN（虛擬專用網(wǎng)）訪問并操作位于南匯總廠服務(wù)器上的關(guān)鍵數(shù)據(jù)和資料，遠(yuǎn)程辦公的效果已經(jīng)完全得以體現(xiàn)和落實(shí)。覆蓋全公司的遠(yuǎn)程網(wǎng)絡(luò)業(yè)已構(gòu)建完畢。但是在看到遠(yuǎn)程辦公效果的同

20、時(shí)，我們也必須意識(shí)到目前所存在的許多不安全隱患，并應(yīng)及早修補(bǔ)漏洞，以免后患。首先，基于公網(wǎng)的虛擬專用網(wǎng)(VPN)能夠?yàn)槠髽I(yè)以較低的費(fèi)用實(shí)現(xiàn)安全的網(wǎng)絡(luò)通信。在VPN的實(shí)施中，如何在不降低安全性的同時(shí)管理大量VPN用戶是擺在系統(tǒng)管理員面前的重要問題：VPN連接的設(shè)置，密碼的發(fā)布/撤銷，以及解決用戶遺忘密碼等等工作往往是一個(gè)工作認(rèn)真的管理員的噩夢(mèng)，也給企業(yè)帶來工作效率的損失以及額外的管理方面的開銷。其次，目前我們僅僅依賴用戶帳號(hào)、口令來限制和管理用戶的遠(yuǎn)程訪問，本身就帶有極大的危險(xiǎn)性。由于賬號(hào)、口令在保管方面非常難以控制，容易外泄，而這些機(jī)密信息在外泄過程中又不會(huì)留下任何蛛絲馬跡，網(wǎng)絡(luò)管理員非常難以

21、審計(jì)到底是誰在使用某個(gè)用戶帳號(hào)，結(jié)果就會(huì)造成竊取了賬號(hào)和密碼的入侵者大搖大擺進(jìn)入公司總網(wǎng)絡(luò)，在沒有任何阻攔下隨意竊取、破壞核心資料，而給企業(yè)造成不可估量的損失。5.1 改進(jìn)方案IT部門從2008年開始著手準(zhǔn)備提高VPN系統(tǒng)的訪問認(rèn)證模式，即僅采用用戶名和密碼的一元認(rèn)證法。這種因?yàn)橛脩糁皇褂靡阎赖男畔碓L問網(wǎng)絡(luò)，過于簡(jiǎn)單，而且企業(yè)也無法集中控制。所以在新的方案中，我們決定為每個(gè)用戶配發(fā)數(shù)字證書，并將數(shù)字證書作為認(rèn)證憑據(jù)保存在可以隨身攜帶的電子鑰匙USB Key上，這種方式已經(jīng)被證明是目前最好、最安全、最易用的VPN認(rèn)證方式。其次，電子USB Key的認(rèn)證方式采用雙因子認(rèn)證方式，將用于認(rèn)證的用戶

22、資料預(yù)先存儲(chǔ)于USB Key內(nèi)。無論用于認(rèn)證的是傳統(tǒng)的密碼還是數(shù)字證書，都能夠?qū)⑵浔４嬖赨SB Key內(nèi)。在認(rèn)證時(shí)需要插入U(xiǎn)SB Key才能完成認(rèn)證，這樣極大的方便了VPN連接在認(rèn)證過程中的安全性。最后，建立VPN連接的全部參數(shù)可以由管理員事先保存在USB Key內(nèi)，將USB Key插入到計(jì)算機(jī)，即可建立連接，無需用戶干預(yù)。如果VPN需要預(yù)先撥號(hào)建立Internet連接才能啟動(dòng)，USB Key也能夠存儲(chǔ)用于建立Internet撥號(hào)的賬號(hào)，并在建立VPN連接之前自動(dòng)駁接Internet。整個(gè)過程同樣無需用戶干預(yù)，極大的方便了用戶的使用。通過采用多元身份驗(yàn)證系統(tǒng)來加固VPN系統(tǒng)的認(rèn)證模式，可以彌補(bǔ)

23、過去僅僅依賴密碼這種一元身份驗(yàn)證的缺陷，新的用戶驗(yàn)證要求包括： l 用戶知道的信息，如密碼或個(gè)人識(shí)別碼 (PIN)。 l 用戶擁有的信息，如硬件令牌或智能卡。 通過使用智能卡及其關(guān)聯(lián)的 PIN碼，就可以根據(jù)實(shí)際需要，提出可靠和安全的雙重身份驗(yàn)證。首先用戶必須有他們的智能卡，一旦遺失，可以立刻通知管理員進(jìn)行銷毀。同時(shí)，其他人員即使獲得智能卡，如果不知道PIN碼，也無法問網(wǎng)絡(luò)資源。如果連續(xù)5次錯(cuò)誤地入PIN碼，就會(huì)被系統(tǒng)鎖死，只有管理員才能解鎖。這種雙重身份驗(yàn)證要求大大降低了未經(jīng)授權(quán)訪問網(wǎng)絡(luò)的可能性。同時(shí)使用智能卡作為身份驗(yàn)證憑據(jù)，不但能有效大大提高系統(tǒng)的安全性，還具有易操作、易攜帶、易維護(hù)等特點(diǎn)

24、。5.2 部署和配置方案以下是IT部門規(guī)劃的新的遠(yuǎn)程VPN訪問系統(tǒng)的部署方案和技術(shù)l 準(zhǔn)備 CA 來頒發(fā)智能卡證書l 將證書部署到智能卡l 為智能卡身份驗(yàn)證配置 VPN 服務(wù)器l 配置路由和遠(yuǎn)程訪問服務(wù)以接受 EAP 身份驗(yàn)證l 為智能卡身份驗(yàn)證配置遠(yuǎn)程訪問策略l 啟用 EAP 以及遠(yuǎn)程訪問策略l 為智能卡身份驗(yàn)證配置 VPN 客戶端l 配置當(dāng)前連接以使用智能卡身份驗(yàn)證l 使用連接管理器為智能卡身份驗(yàn)證配置 VPN 客戶端5.3 智能卡部署流程l 注冊(cè)代理安裝Enrollment Agent證書l 注冊(cè)代理代表客戶從CA申請(qǐng)SmartCard Logon證書l 注冊(cè)代理制作客戶端使用的智能卡l

25、 客戶端安裝CA根證書到信任的認(rèn)證機(jī)構(gòu)l 客戶端建立使用智能卡撥號(hào)的pptp vpnl VPN撥號(hào)到RAS進(jìn)行雙向認(rèn)證，RAS到DC進(jìn)行用戶認(rèn)證。5.4 方案結(jié)論但是由于電力公司在2008年5月末推出了局內(nèi)單位實(shí)施雙網(wǎng)隔離的要求，考慮到我們當(dāng)前的VPN遠(yuǎn)程訪問和上級(jí)公司要求有所沖突，雙網(wǎng)隔離后，VPN網(wǎng)絡(luò)將需要經(jīng)過重大改造才能重新使用（其投入費(fèi)用不低于雙網(wǎng)隔離方案費(fèi)用），因此，我們停止了VPN遠(yuǎn)程網(wǎng)絡(luò)的安全改造計(jì)劃，轉(zhuǎn)而進(jìn)行電力公司雙網(wǎng)隔離方案的實(shí)施論證。六. 落實(shí)部署雙網(wǎng)隔離方案2008年初，電力局已經(jīng)按照國(guó)家關(guān)于部屬企業(yè)必須嚴(yán)格執(zhí)行內(nèi)、外網(wǎng)隔離的精神和指令開始在局內(nèi)大力推行該方案的實(shí)施，特

26、別是進(jìn)入7月后，伴隨著奧運(yùn)的來臨，這股網(wǎng)絡(luò)安全控制的潮流更有兇猛不可抵擋的趨勢(shì)，單單是局里下發(fā)的有關(guān)這方面的指導(dǎo)文件已經(jīng)多達(dá)數(shù)份，可見上面重視程度之高。最后，經(jīng)過“總廠”領(lǐng)導(dǎo)批示，我廠決定在電力局專網(wǎng)與我們現(xiàn)在所使用的內(nèi)部網(wǎng)之間實(shí)施物理隔離，以預(yù)防互聯(lián)網(wǎng)上的病毒攻擊以及黑客入侵事故。6.1 方案評(píng)估由此，“總廠”在2008年6月份也已經(jīng)開始了詳細(xì)的調(diào)研工作，以期方案能夠在順利地、平穩(wěn)地在我們企業(yè)內(nèi)進(jìn)行實(shí)施。但是據(jù)7月和服務(wù)商上海旭升科技工程有限公司所做的一份調(diào)查，再進(jìn)行了全方位的實(shí)施評(píng)估后，我們發(fā)現(xiàn)形勢(shì)比較嚴(yán)峻。由于我們的外向型企業(yè)特征，為雙網(wǎng)隔離方案在我們內(nèi)部的推行造成許多不利因素，特別是使

27、用上的沖突將給實(shí)際工作帶來許多不便。我們隨后在進(jìn)行了詳細(xì)的調(diào)研工作，詳細(xì)列舉了方案實(shí)施后所帶來的諸多不便。6.1.1 投資巨大目前兩個(gè)方案中，無論是從無線方案，還是有線方案，僅僅網(wǎng)絡(luò)設(shè)備的投資預(yù)算都超過1015萬（由于無線設(shè)備的覆蓋率在大樓內(nèi)的尚未得到精確測(cè)試，因此目前尚無法計(jì)算最終采用的無線設(shè)備數(shù)量），這其中不包括因此而增加的計(jì)算機(jī)、打印機(jī)設(shè)備（按照最少使用人數(shù)，大約需要增加40臺(tái)計(jì)算機(jī)和5打印機(jī)，預(yù)算30萬左右）和服務(wù)器管理設(shè)備（至少需要一臺(tái)管理用服務(wù)器，預(yù)算1萬元）。因此項(xiàng)目總投入大致為4050萬。1) 無線方案預(yù)算雖高，但是由于牽涉線路的重新鋪設(shè)工作較少，施工量可以通過增加無線接入點(diǎn)進(jìn)

28、行有效控制，因此作為首選方案。2) 有線方案雖然預(yù)算略低，但是由于牽涉到新的網(wǎng)絡(luò)布線，因此會(huì)對(duì)原有大樓的線路作大規(guī)模的改動(dòng)，從而影響大樓內(nèi)部的整體裝修和布局，因此只作為本次“雙網(wǎng)隔離項(xiàng)目”的備用方案。6.1.2 影響工作效率雙網(wǎng)隔離實(shí)施后，會(huì)給現(xiàn)有工作人員帶來巨大壓力和工作上的不便，從而出現(xiàn)工作效率有可能短期明顯下降的可能性。1) 工作效率將在兩個(gè)網(wǎng)絡(luò)不斷切換中大大降低。在我們這樣經(jīng)營(yíng)性的企業(yè)中，大量的人員都需要訪問互聯(lián)網(wǎng)，對(duì)網(wǎng)絡(luò)的依賴度遠(yuǎn)勝于行政機(jī)關(guān)。一旦雙網(wǎng)隔離，日常的工作就必須分別在不同的位置操作和進(jìn)行。譬如需要發(fā)送給客戶的資料，需要在辦公網(wǎng)絡(luò)編輯后，再?gòu)?fù)制到新的網(wǎng)絡(luò)進(jìn)行傳遞；同樣，客戶

29、郵件過來的資料也必須從新的網(wǎng)絡(luò)接收后，再?gòu)?fù)制到辦公網(wǎng)絡(luò)處理，從而才能共享給其他人員。這種不斷在兩個(gè)網(wǎng)絡(luò)中切換的工作模式將大大影響工作速度，降低效率。2) 工作質(zhì)量可能因網(wǎng)絡(luò)切換而出現(xiàn)明顯下降。由于我們目前的網(wǎng)絡(luò)辦公平臺(tái)已經(jīng)建立多年，工作人員已經(jīng)充分享用了網(wǎng)絡(luò)所帶來的便利，業(yè)已習(xí)慣利用網(wǎng)絡(luò)來共享資料、傳輸文件。一旦雙網(wǎng)隔離，勢(shì)必造成許多工作將在不同的網(wǎng)絡(luò)進(jìn)行，這種異步的工作模式不僅會(huì)給工作造成巨大的心理壓力，迫使其要異常注意哪些文件已經(jīng)切換到辦公網(wǎng)絡(luò)，哪些文件尚再等待處理，更為關(guān)鍵的是這些文件在不斷的切換過程中，極有可能發(fā)生遺漏、錯(cuò)誤刪除或者被其他人員不當(dāng)更新的嚴(yán)重操作失誤，這些失誤會(huì)大大降低我

30、們的工作質(zhì)量，進(jìn)而造成不可估量的損失。6.1.3 部分業(yè)務(wù)受到影響1) 對(duì)依賴電子郵件進(jìn)行資料交流的人員及部門造成重大不利影響。雙網(wǎng)隔離后，企業(yè)內(nèi)部郵件的收發(fā)、Internet外部電子郵件的收發(fā)將被隔離成兩個(gè)區(qū)域，以前沒有毫無阻隔的郵件交流也要使用文件方式一封一封地在兩個(gè)網(wǎng)絡(luò)之間復(fù)制交換，或者通過IT人員定期將各自網(wǎng)絡(luò)的郵件數(shù)據(jù)進(jìn)行復(fù)制交換，從而保證內(nèi)、外內(nèi)子郵件能夠融合在一起，以便于查收和回顧。由于電子郵件已經(jīng)成為我們和外部一個(gè)必不可少的交流管道，因此這樣的切換勢(shì)必影響我們閱讀、檢查電子郵件的整體效率，給實(shí)際工作帶來很多麻煩，影響溝通和交流的效率，甚至?xí)斐稍S多工作上的失誤。2) 給市場(chǎng)、銷

31、售等主要對(duì)外業(yè)務(wù)部門的網(wǎng)絡(luò)信息的搜集處理帶來很多不便。企業(yè)行為中非常重要的市場(chǎng)信息的捕獲和查詢已經(jīng)完全依賴Internet，雙網(wǎng)隔離后，那些對(duì)互聯(lián)網(wǎng)依賴度較重的部門可能因此受到更多的影響。原有靈活、簡(jiǎn)便的“查詢”“歸檔”“共享交流”“檢查回顧”這個(gè)流程會(huì)變得復(fù)雜繁瑣，資料需要從一個(gè)網(wǎng)絡(luò)移動(dòng)到另外一個(gè)網(wǎng)絡(luò)才能歸檔和共享，由此帶來的影響可能降低工作積極性，進(jìn)而造成這些部門失去原本應(yīng)有的靈活性。6.2 實(shí)施計(jì)劃7月后關(guān)于電力局雙網(wǎng)隔離方案的論證報(bào)告遞交并討論后，根據(jù)我企業(yè)的實(shí)際情況，IT部門提出了分步驟實(shí)施電力局雙網(wǎng)隔離方案的計(jì)劃，建議分步實(shí)施“雙網(wǎng)隔離方案”，希望將此方案的推行影響降低到最低點(diǎn)，并逐漸在工作中適應(yīng)該計(jì)劃所造成的影響和變化。l 首先，搭建雙網(wǎng)隔離的網(wǎng)絡(luò)環(huán)境。鋪設(shè)無線網(wǎng)絡(luò)為新的互聯(lián)網(wǎng)絡(luò)，保留目前網(wǎng)絡(luò)作為辦公網(wǎng)絡(luò)。如果有條件的話，在某一個(gè)非關(guān)鍵部門進(jìn)行試點(diǎn)，縮小影響，待全部成熟后，進(jìn)而逐漸推行