某集團網(wǎng)絡(luò)優(yōu)化管控方案課件

廣州**集團系統(tǒng)網(wǎng)絡(luò)存儲優(yōu)化方案****2018.09.25廣州**集團系統(tǒng)網(wǎng)絡(luò)存儲優(yōu)化方案****1一、網(wǎng)絡(luò)系統(tǒng)運維現(xiàn)狀：1、硬件:PC機163臺（含服務(wù)器5臺），網(wǎng)絡(luò)交換機：9臺（其他桌面接入小型交換機不計）；公司網(wǎng)支持10/100/1000Mbs；董事、財務(wù)--出口部為10/100Mbs；服務(wù)器：除Fileserver、4fang、Richmax外其他支持100/1000Mbs；2、運維系統(tǒng)：K3、Q5、用友、OA、HR、Richmax、4Fang；配套軟系統(tǒng)：SQLserver2012、2005、卡巴斯基殺毒軟件、Windows2008R2、office2007；3、PC端：系統(tǒng)---Windows（XP、win7、win10除品牌機外其他均為ghost版），應(yīng)用軟件均為破解版；4、防病毒系統(tǒng)：a、公司網(wǎng)絡(luò)后臺設(shè)立防火墻，PC端依靠免費殺毒軟件防毒；b、董事會、出口、財務(wù)網(wǎng)依靠PC端免費殺毒軟件防毒；5、組網(wǎng)：集團分三組獨立網(wǎng)絡(luò)；董事會-財務(wù)網(wǎng)絡(luò)、公司網(wǎng)、出口部網(wǎng)絡(luò)；6、網(wǎng)絡(luò)拓撲圖如下：一、網(wǎng)絡(luò)系統(tǒng)運維現(xiàn)狀：1、硬件:PC機163臺（含服務(wù)器5臺2二、網(wǎng)絡(luò)拓撲圖：Friewall策略管理服務(wù)器InternetInternetService-ServerLanswitchLanswitchLanswitchLanswitchLanswitchLanswitch共：112臺K3、Q5、T+、OA、HR、4fang、richmaxInternet路由器Lanswitch董事、財務(wù)---出口網(wǎng)絡(luò)共：46臺Internet公司網(wǎng)絡(luò)二、網(wǎng)絡(luò)拓撲圖：Friewall策略管理InternetIn3三、網(wǎng)絡(luò)、系統(tǒng)服務(wù)、安全性問題：1、網(wǎng)絡(luò)：a、三網(wǎng)獨立，文件數(shù)據(jù)共享不便；b、公司局域網(wǎng)支持1000Mbs，實際使用100Mbs；c、外網(wǎng)訪問與速度會出現(xiàn)短暫性訪問緩慢；d、WiFi連接過多，數(shù)據(jù)安全性不高且影響整體帶寬。2、系統(tǒng)服務(wù)安全性：a、全公司電腦獨立運行，管理權(quán)限開放，各類軟件隨意安裝，IT管理不便且影響電腦運行速度；b、數(shù)據(jù)共享安全系數(shù)不高，個人電腦使用壽命不長，數(shù)據(jù)丟失率高；c、USB開放、無數(shù)據(jù)加密；數(shù)據(jù)可隨意訪問、拷貝，個人電腦隨意可帶出；d、網(wǎng)絡(luò)管控不嚴，數(shù)據(jù)隨心發(fā)送；e、存儲安全性不高且分散，不利于公司掌控核心資料；f、版權(quán)問題；（電腦系統(tǒng)、office、開發(fā)與設(shè)計及其他軟件）。三、網(wǎng)絡(luò)、系統(tǒng)服務(wù)、安全性問題：1、網(wǎng)絡(luò)：4四、網(wǎng)絡(luò)優(yōu)化與解決方案：一、網(wǎng)絡(luò)方面：1、整合三個獨立網(wǎng)絡(luò)互聯(lián)；對公司帶寬使用率評估，確定需求帶寬量；2、嚴控公司上網(wǎng)行為與權(quán)限，各部提供外網(wǎng)需求名單與訪問權(quán)限，對上網(wǎng)需求不大且偶爾會使用的，可單獨開放，事后關(guān)閉，其他人員不予訪問外網(wǎng)；3、提升局域網(wǎng)絡(luò)速率，充分利用局域網(wǎng)資源。4、WiFi管理：a、WiFi網(wǎng)絡(luò)與公司網(wǎng)絡(luò)分離獨立，以確保公司網(wǎng)絡(luò)安全、滿足工作需求與公司網(wǎng)絡(luò)帶寬；部分區(qū)域確實需要公司wifi辦公，以實際情況處理。b、WiFi安裝與使用權(quán)限管理：WiFi名稱、密碼、安裝點、樓層統(tǒng)籌規(guī)劃，具體如下圖：c、嚴禁私人安裝WiFi，如：WiFi路由器、360類便易式WiFi等；（制度與技術(shù)管控）d、WiFi網(wǎng)絡(luò)管理方案：涉及車間區(qū)域WiFi，實行加密隱藏、IT專員專職管理連接與密碼，因公需求并申報批準方連接；辦公樓層、休息室加密公開WiFi名稱；除休息室外，所有WiFi全天嚴禁訪問娛樂、視頻、新聞等同類網(wǎng)站并通過技術(shù)層面管控；網(wǎng)絡(luò)管理制度添加WiFi條例；各部主管嚴格管控本部上網(wǎng)行為，嚴格保管WiFi密碼。四、網(wǎng)絡(luò)優(yōu)化與解決方案：一、網(wǎng)絡(luò)方面：5WiFi管控拓撲圖：Internet一樓二樓三樓四樓辦公樓**一樓二樓三樓四樓第三棟策略管理一樓WiFi安裝于采購、電子展廳門口通道，對一樓主要區(qū)域覆蓋二樓安裝于高新辦、人事、電子開發(fā)門口對二樓覆蓋三、四樓安裝有待批示**機房門口三樓辦公室、四樓休息室門口WiFi管控拓撲圖：Internet一樓二樓三樓四樓辦公樓*6五、網(wǎng)絡(luò)系統(tǒng)服務(wù)管理（一）：一、系統(tǒng)方面：1、搭建AD域控服務(wù)器，改單機服務(wù)模式為域控服務(wù)模式；有利如下：權(quán)限管控嚴謹、統(tǒng)一集中，利于系統(tǒng)統(tǒng)籌規(guī)劃；利用AD服務(wù)嚴格管控軟硬件私自安裝；用戶數(shù)據(jù)訪問安全性比單機高，文件共享權(quán)限劃分與安全更明確；桌面環(huán)境統(tǒng)一部署，有利于體現(xiàn)企業(yè)文化；防止用戶隨意更改系統(tǒng)設(shè)置；Windows高級應(yīng)用如：FTP文件服務(wù)、web網(wǎng)站、exchange、DNS、DHCP服務(wù)需要AD支撐；有利于防止惡意破壞系統(tǒng)、文件、非法入侵，降低中毒率；2、搭建FTP服務(wù)，構(gòu)建公司存儲服務(wù)器：集中管理公司文件、軟件，節(jié)約個人電腦空間、機械磁盤轉(zhuǎn)換固態(tài)，提高讀寫速度與效率；防止文件丟失與文件查找困難；有利于公司掌控重要文件，如：研發(fā)圖紙、技術(shù)文檔、核心文件、專利等；配合存儲服務(wù)，提高數(shù)據(jù)高可靠性與安全性；便捷辦公，加密訪問通道，有利于遠程辦公需求。五、網(wǎng)絡(luò)系統(tǒng)服務(wù)管理（一）：一、系統(tǒng)方面：7六、網(wǎng)絡(luò)系統(tǒng)服務(wù)管理（二）：

二、存儲與安全：1、利用AD域控、FTP賬戶安全級別與文件權(quán)限劃分，管控用戶賬戶，防止離職惡意刪除與破壞，提高數(shù)據(jù)存儲訪問安全；2、本地USB封堵，網(wǎng)絡(luò)安全管控減少數(shù)據(jù)外泄風(fēng)險；3、建立數(shù)據(jù)加密系統(tǒng),重點管控研發(fā)、核心資料、業(yè)務(wù)數(shù)據(jù)、財務(wù)、服務(wù)器數(shù)據(jù)拷貝、傳送、查看、打印、截圖等；4、IT專員協(xié)助，各部主管統(tǒng)計本部門數(shù)量容量大小，文件重要等級，有無需求自動備份，以便做存儲空間、文件種類與備份存儲規(guī)劃；5、存儲服務(wù)器防病毒軟件升級至專業(yè)版；6、依據(jù)文件重要等級進行自動備份；7、存儲服務(wù)器文件夾設(shè)置規(guī)劃如下（僅供參考）：A、部門為單位，設(shè)置個人文件夾；（所有人員做存儲空間分配）B、特殊文件設(shè)置獨立文件夾；C、公共文件、制度、通知等公開設(shè)置；8、桌面安全管控：即時通信管控，防止qq、msn、郵件外泄；文檔打印管控，防止重要文檔泄密；c.屏幕監(jiān)控，設(shè)備管理（USB，存儲卡）。六、網(wǎng)絡(luò)系統(tǒng)服務(wù)管理（二）：

二、存儲與安全：8七、網(wǎng)絡(luò)系統(tǒng)服務(wù)管理（三）：三、Exchange企業(yè)（內(nèi)部）郵箱：1、建設(shè)企業(yè)內(nèi)部郵箱，轉(zhuǎn)變工作信息交流與傳遞方式（qq、微信等），為數(shù)據(jù)傳遞安全與有跡可循提供便利，確保數(shù)據(jù)流通于公司內(nèi)部；2、利用AD賬戶做郵箱，便于同事間信息傳遞；3、減輕外網(wǎng)帶寬負擔(dān)（管控qq、微信傳遞數(shù)據(jù)）；4、有利于提升企業(yè)文化與信息化實力；5、數(shù)據(jù)達到安全等級，郵箱可對外使用；四、VPN（虛擬專線網(wǎng)）：1、VPN常用于總公司與分公司、出差在外遠程辦公，數(shù)據(jù)傳遞；2、架設(shè)VPN，有利于中山與廣州內(nèi)部數(shù)據(jù)交流；3、公司統(tǒng)一存儲、數(shù)據(jù)安全性高；七、網(wǎng)絡(luò)系統(tǒng)服務(wù)管理（三）：三、Exchange企業(yè)（內(nèi)部）9八：實施方案（一）：一、設(shè)備需求：1、AD域控、FTP、郵件服務(wù)等集成一臺服務(wù)器；2、存儲服務(wù)器；3、加密系統(tǒng)；4、VPN設(shè)備；二、實施：1、網(wǎng)絡(luò)架構(gòu)：a、整合合并公司三條網(wǎng)絡(luò)；b、優(yōu)化、管控公司網(wǎng)絡(luò)，上網(wǎng)權(quán)限與行為調(diào)整管控；c、WiFi綜合整改，管控統(tǒng)一安裝配置，嚴禁私人接入，提高網(wǎng)絡(luò)安全；2、系統(tǒng)服務(wù)架設(shè)：a、服務(wù)器系統(tǒng)需求：winserver2008R2以上企業(yè)版；殺毒軟件，office2007；b、AD域控:制定公司域名,搭建AD、FTP、Exchange服務(wù)；c、建AD用戶與組（制定用戶命名規(guī)則，可做企業(yè)郵箱用）；AD服務(wù)初步調(diào)試八：實施方案（一）：一、設(shè)備需求：10九、實施方案（二）：d、賬戶權(quán)限設(shè)定，用戶加入域環(huán)境；e、用戶桌面環(huán)境（無關(guān)軟件）處理，工作軟件安裝；f、賬戶安全、系統(tǒng)安全、文件訪問權(quán)限設(shè)定（實施b、c、d、e、f步驟前以下任務(wù)需各部配合完成）：賬戶權(quán)限劃分確認、審核；提供共享文件與訪問人員，權(quán)限明細表工作軟件確認表、審核；確定域名以及域名是否要申請備案，企業(yè)郵箱是否要外發(fā)，計算機名命名規(guī)則；（公司領(lǐng)導(dǎo)做批示與核定）3、存儲管控：各部核算現(xiàn)有重要文件大小，匯總估算存儲空間，需求文件訪問權(quán)限、存儲空間統(tǒng)計。存儲設(shè)備選擇（存儲空間、擴容、傳輸速率、虛擬化、磁盤陣列）；安全、加密系統(tǒng)選擇；加密用戶Key與數(shù)據(jù)文件核定，服務(wù)器、客戶端安裝調(diào)試，文件授權(quán)管控設(shè)定；（加密軟件以用戶數(shù)與模塊作收費標準）；存儲文件規(guī)劃，共享搭建，訪問權(quán)限設(shè)置，PC端存儲路徑、空間大小劃分設(shè)置；ERP、HR、OA、EXchange數(shù)據(jù)與存儲服務(wù)器存儲空間對接，解決該服務(wù)器存儲空間問題。4、Exchange企業(yè)（內(nèi)部）郵箱建設(shè)（對外？）：搭建企業(yè)郵箱系統(tǒng)；導(dǎo)入用戶賬戶，權(quán)限，用戶空間，郵箱大小設(shè)置，初步系統(tǒng)調(diào)試；客戶端安裝，投入使用；九、實施方案（二）：d、賬戶權(quán)限設(shè)定，用戶加入域環(huán)境；11十、實施方案（三）：

5、版權(quán)問題：系統(tǒng)方面：購買并登記系統(tǒng)KEY；更換電腦時，購買品牌機（自帶正版系統(tǒng)）軟件方面（2方法）：1、購買正版軟件授權(quán)；2、開發(fā)設(shè)計部門或人員禁用外網(wǎng)，提供公共電腦給予查詢資料；3、提高員工保密意識；6、VPN（虛擬專線）搭建：廣州、中山架設(shè)VPN設(shè)備；中山客戶端安裝，調(diào)試，培訓(xùn)使用；中山數(shù)據(jù)存儲設(shè)置與調(diào)試；7、管理規(guī)范與規(guī)章建設(shè)：網(wǎng)絡(luò)、系統(tǒng)管理規(guī)定修訂重申；文件安全管控、存儲規(guī)則制定；硬件管控規(guī)定規(guī)范；系統(tǒng)賬戶、文件權(quán)限、離職收回與注銷規(guī)則制定；十、實施方案（三）：

5、版權(quán)問題：12十一、工程造價估算：1、AD、exch