企业信息化平台建设

1、备案登记号：信息化平台建设文件编号:版 次：受控状态：密 级：编制/日期：校对/日期：审核/日期：0A应用应用系统入侵检测入侵防御入侵防护为了便于部门内、部门间信息的传输和共享，应公司需求搭建各种应用级平台，这里,我们称之为信息化平台。信息化平台的建设包括现行的信息化建设和规划中的信息化建设A.现行的信息化建设主要包括： 文件共享与访问控制、内网安全、应用系统管理。各 平台的建设和应用情况下如下:、文件共享与访问控制1. DFS分布式文件系统。我们根据公司需求创建文件服务器。文件服务器作为企业级 数据仓库，将综合部备份归档的各部门文件资料保存起来。在文件服务器中按各部门名称 创建文件夹。并将各

2、部门的备份文件存放在对应的部门文件夹下。在创建文件共享的时候 结合了 DFS分布式文件系统，将局域网内所有电脑的共享文件夹映射到同一个目录文件夹 下，当用户需要访问某部门共享文件夹时，直接连接共享服务器，此共享服务器利用分布 式文件系统，将所有用户的共享显示出来，便于访问者查看。2. NTFS文件访问。在文件服务器中针对部门文件夹设置用户访问权限，这样就保证了指定的用户访问指定的文件夹，用户在非授权的情况下无法访问其他部门的文件。同时 设置不同级别的访问权限。如有的用户只能获得查看某文件的权限；有的用户能获得查看、修改的权限；甚至有的用户能获得创建、查看、修改和删除的权限。我们根据不同部门不

3、同人员的应用来制订不同的文件夹访问权限。3. FTP上传下载。在文件服务器上创建FTP,分别建立北京制度和常州制度文件夹， 在FTP中创建公司所有人员的登陆帐户，将员工目录访问地址分别指向到这两个文件夹下， 然后授予综合部上传、修改文件的权限，保证他们能够将公司相关制度上传到北京或常州 对应文件夹下，这样，所有 FTP用户都可以随时登陆查看公司相关制度。二、内网安全管理1. 文档加密系统。文档加密系统通过控制台下发策略，对指定类型的文件进行加密， 在这种策略下，文件被加密后，脱离控制台所在的公司网络将无法打开。同时，还可以添 加禁止屏幕截图策略、禁止 USB存储策略等，杜绝信息从以上源泄露。2

4、. 打印管理系统。打印管理系统通过控制台制订打印策略， 应用策略后的电脑在用户 打印文件时，文件内容将被记录到打印控制台中，管理员能随时查看用户打印的文件是否 危害到公司的信息安全。在综合部打印管理员电脑上安装控制台，设置打印监控策略，使 每次的打印作业都保存在打印控制台中，若出现危及企业安全的打印行为，将可通过打印 记录追究相关人责任。在打印软件中，可以设置打印纸张和成本，这样，可以为综合部做 出每月、每年的纸张成本核算，统计各部门的打印成本，有助于公司的成本核算和资源节 约。3. 内网行为管理。内网管理软件通过在控制台制订网页过滤白名单、黑名单策略、程 序运行策略，限制用户访问一些不良网站

5、和游戏网站，并通过屏幕监控和屏幕录像手段防 止不良员工泄露企业机密信息。三、应用系统1. ERP系统。我公司使用速达ERP系统管理采购、生产、库存整个生产环节过程中的各项种资源数据，由项目部制作生产计划生成物料清单和生产任务单提供给采购部，采购 部依此制作采购计划单和采购订单，采购到货入库后，制作采购收货单和入库单；进行生 产作业时，项目部制作生产领料单，至怆储部领取原材料，仓储部制作出库单。产品生产 完成，进入待检库，由质管部检查产品是否合格，若不合格，进行相关处理，直到合格后， 调入成品库。这些流程都是应用 ERP单据的关联实现的。我们使用了 ERP系统后，整个生 产过程变得规范化、信息化

6、。2. OA系统。我公司使用金和0A系统实现企业中无纸化办公，通过 0A系统实现各个 部门日记、计划的编写，便于上级领导即时查看。实现在系统中核算并审批三个公司的不 同工资核算模式；实现在系统中提交资金计划和差异的编写及流程审批走向。以上这些模块应用，在现有的网络环境下，满足了综合部的部分工作需求，保证了各 部门间的信息互通和共享。在综合部的工作范围中，还有如下工作流程，希望能在我部门 的帮助下实现 在0A中实现办公设施采购管理。OA系统中有自带的用品管理模块，此模块从用品 登记一入库一领用一出库一归还一入库，能详细记录办公设施的循环使用过程。然而，综 合部提出，办公设施从采购需求一采购计划一

7、采购收货这一段入库前的过程是空白的，希 望有办法在0A中实现。而我们通过对系统的了解，这个标准版0A系统还没有此专门模块， 我们可以尝试在业务扩展中自定义模块，建设一个办公设施采购过程，并与综合部沟通， 尽可能跟其预想中贴近。 在0A中实现整个招聘流程管理。我们已经在0A中建好了用人申请、录用申请各个 模板，在流程设计中分别创建了用人申请、录用申请的流程走向。针对这个模块，我们要 根据综合部的需求，从招聘需求-用人申请一通知面试一入职体检一录用申请这些现实中的流程步骤将用人申请和录用申请两个子流程做得连贯，尽可能将综合部招聘计划与0A中招聘计划流程相符。 在0A中实现整个人事流程管理。 在综合

8、部的人事管理中，包括员工从入职后到离 职这一整个过程。根据综合部的需求，我们可以在0A 系统中实现从员工转正一员工调动- 员工离职这整人事变动过程。 这每一过程模块都可以创建对应的 0A 流程走向，在与综合部 的沟通中，我们可以将这个人事流程不断改进，尽可能符合综合部最初的需求。 在0A中实现订餐管理和宿舍管理。 在综合部辖管的后勤中，后勤管理人员希望能 够有一个专门的模块管理订餐和宿舍。根据分析，订餐的过程是：询问各部门负责人当日 考勤人数-统计就餐人数-按人数订餐。宿舍管理的过程是：当事人提交出差计划-综合 部存档综合部通知宿舍管理员宿舍管理员安排宿舍出差结束宿舍管理员统计水电数。这两项工

9、作我们只能尝试在自定义模块中创建表单，选择不走流程的管理方式，仅限 后勤人员使用。B.规划的信息化建设主要包括： 安全网管、。身份认证、安全审计、入侵防御。各平 台的建设计划如下:、安全网管安全网管的作用是：通过防火墙、网关技术与交换机应用技术相结合，使用VPNVLAN 端口监测、流量分析和控制，最大程度的优化和集中管理企业的网络资源。1. juniper防火墙。我公司购买的juniper防火墙为最基本配置，在此配置下，防火墙 具备路由、交换、VPN功能，还具备以往的防数据包攻击功能，然而，对于防范其他比较 强悍的冲击波、网络风暴及 DDoS攻击行为却稍嫌不足。在此情况下，可以考虑给车间的ju

10、niper防火墙添购防攻击、防垃圾邮件等模块，用于增强车间局域网内ERP服务器、0A服务器、邮箱服务器、ftp服务器的数据安全。2. 三层交换机。为了有效的控制和集中管理企业的网络资源，可以考虑购买管理级三层交换机，从网络层着手，绑定各用户IP，同时在交换机中做流量限制，控制用户合理的 使用网络资源。同时在三层交换机中可以划分VLAN可以根据需要划分不同的局域网，不同的局域网制订不同的网络资源访问策略，还能保证在其中一个VLANT出现病毒木马时，不会感染到其他VLAN区。通过三层交换机实现如下功能： 可以方便地查看可管理设备的配置信息，如System、In terface、IP Address

11、、Routing、ARP MAC Address等； 动态显示交换机端口状态、流量等信息，可以设置端口流量阀值，当端口流量超过 阀值时自动报警，帮助系统管理员监视、分析网络性能； 提供未知（未登记）IP地址、MAC地址列表，自动发现有未知受控终端接入的交换机端口，方便系统管理员发现非法入侵者； 实现交换机端口的打开和阻断控制；自动识别网络中所有设备的IP地址、MAC地址、设备名称等基本设备信息; 动态显示受控终端的当前状态， 对各种不正常状态（如IP和MAC地址随意更改、关机、受控终端Ping不通、未知设备接入等）均提供声音报警和屏幕显示报警； 可以按设备类型（如服务器、主机、打印机、交换机、

12、路由器、网关） 、vlan、子网、部门等方法对设备进行分类管理，列表显示出设备的名称、所属部门、IP地址、MAC地址、发现时间等信息； 可以根据交换机端口连接的工位对计算机进行管理，方便网络管理员迅速定位出现 故障的计算机连接的交换机端口； 可以方便地查看受控终端的配置信息、审计日志信息，对受控终端进行屏幕监控；二、身份认证系统公司目前使用的身份认证基本上都是用户登陆密码，登陆密码因为长期使用，容易被 不法分子或不良员工盗用，导致信息资料泄露。为了提供企业信息安全水平，我们可以建 设专业的身份认证系统。1.动态口令牌。动态口令是根据特定算法生成不可预测的随机数字组合，每个口令只能使用一次。动态

13、口令牌是用来生成动态口令的终端设备，也称动态令牌。动态口令认证技术被认为是目前能够最有效解决用户的身份认证方式之一，使用动态口令主要有2个方面价值：（1）防止由于盗号而产生的财产损失。（2）采用动态口令的单位无需忍受定期修改各种应用系统登录密码的烦恼2. USB KEY。基于USB Key的身份认证方式是近几年发展起来的一种方便、安全 的身份认证技术。它采用软硬件相结合，很好地解决了安全性与易用性之间的矛盾。 USB Key是一种USB接口的硬件设备，它内置单片机或智能卡芯片，可以存储用户的 密钥或数字证书，利用USB Key内置的密码算法实现对用户身份的认证。而对于我公司的服务器的密码保护，

14、我们可以建设双因素身份认证系统。我们的 建设方法是：在为服务器设置静态密码的基础上，使用动态口令牌或USB KEY这样将静态密码和口令牌动态生成的密码相结合，在登陆各应用级服务器时，必须经过静 态密码和动态口令牌双重认证，才能登陆服务器，保证了服务器的安全。三、安全审计安全审计是指根据一定的安全策略，通过记录和分析历史操作事件及数据，发现能够 改进系统性能和系统安全的地方。我们应该为企业建设安全审计系统，为企业建设安全审计的目的是：为保证网络系统安全运行，保护数据的保密性、完整性及可用性不受损坏，防止有意或无意的人为错误， 防范和发现计算机网络犯罪活动，除采取其他安全措施外，利用审计机制可以有

15、针对性地 对网络运行的状况和过程进行记录、跟踪和审查，以从中发现安全问题。此外审计还能为 制定网上信息过滤规则提供依据，如发现有害信息的网站后将其加入路由过滤列表，通过 信息过滤机制拒绝接收一切来自过滤列表上IP地址的信息，将网上的某些站点产生的信息垃圾拒之门外。安全审计系统应该是事前控制人员或设备的访问行为，并能事后获得直接 电子证据，防止行为抵赖的系统。审计系统把可疑数据、入侵信息、敏感信息等记录下来， 作为取证和跟踪使用。安全审计分为基于网络的审计和基于主机的审计。前者包括对网络信息内容和协议的分析；后者包括对系统资源，如打印机、Modem系统文件、注册表文件等的使用进行事 前控制和事后

16、取证，形成重要的日志文件。建设安全审计的计划如下： 记录、跟踪系统运行状况。利用审计工具，监视和记 录系统的活动情况，记录用户登录账户、登录时间、终端以及所访问的文件、存取操作等， 并放人系统日志中保存在磁盘上， 必要时可打印输出，提供审计报告，使影响系统安全性的 存取以及其他非法企图留下线索，以便查出非法操作者；检测各种安全事故。审计工具能 检测和判定对系统的攻击，如多次使用错误口令登录系统的尝试，及时提供报警甚至自动 处理，使系统安全管理人员能够了解系统的运行情况，及时堵住非法入侵者。审计工具还 能识别合法用户的误操作等；保存、维护和管理审计日志。由于审计日志记录了审计、跟 踪、检测各种安全事件的结果，是查找、分析网络系统安全事件的客观依据。四、入侵防御系统1 入侵检测。入侵检测系统IDS对那些异常的、可能是入侵行为的数据进行检测和报警， 告知使用者的网络实时状况，并提供响应的解决、处理方法。2 入侵防御。入侵防御系统IPS对那些被明确判断为攻击行为、会对网络、数据造成危害 的恶意行为进行检测和防御，降低或是减免使用者对