企业网络改造综合项目规划方案专项方案可编辑

企业网络改造计划方案8月

目录第1章. 项目概述 21.1. 项目背景 21.2. 项目建设需求 21.3. 建设目标 3第2章. 系统计划要求 42.1. 高可靠要求 42.2. 高性能要求 42.3. 易管理性要求 42.4. 安全性要求 42.5. 可扩展性要求 52.6. 实用性和优异性要求 52.7. 经济性要求 5第3章. 系统总体设计 6第4章. 基础平台具体计划 94.1. 网络系统 94.1.1. 系统设计目标 94.1.2. 系统设计标准 94.1.3. 整体网络计划 94.1.4. 分区设计详解 114.1.5. 网络协议设计 164.1.6. 设备选型提议 214.2. 安全系统 224.2.1. 系统设计目标 224.2.2. 系统设计标准 224.2.3. 安全体系结构 234.2.4. 子系统计划 254.2.5. 设备选型提议 29

项目概述项目背景伴随**企业信息技术发展，作为信息载体网络系统存在问题日益严重：网络负载加大、网络带宽不足、网络安全问题严重、应用系统增加，多网融合需求迫切、网络终端不受控等。这就需要对现有网络系统进行改造，以满足**企业信息技术发展需求。项目建设需求在利用**企业现有网络资源基础上加以改造，改造后网络需要满足以下需求：依据用户对业务系统访问要求，将现有各个业务子网在网络关键层面进行整合，以达成单个用户能够访问不一样子网资源，并经过一定安全策略，确保各个子网之间数据和业务安全。优化现有网络规模，设置网络汇聚节点，最终形成以销售部、自动化部自动化车间、轧钢总降、一炼、二炼、一轧、二轧等七个部位为主汇聚点，覆盖全企业、部门、车间生产区域。实现整个企业网络架构分等级安全管理。建立结构化网络安全系统，全部用户经过认证方法接入企业网络，访问自己对应网络资源或系统。实现网络终端受控，关键岗位终端行为管理，确保终端规范化操作。实现服务器及存放资源有效利用，建立关键服务器区域安全防护提升运行能力。将现相关键服务器，如产销系统、新老线MES系统、设备管理系统、远程计量、人事、原料采购、调度、质量等服务器集中统一管理。实现L2系统在网络中隔离，确保L2系统安全稳定运行。建设目标此次网络改造计划方案关键包含：网络系统，安全系统建设。各个系统功效概述以下：网络系统：尽可能利用现有网络接入条件和机房环境条件，对现有网络系统进行全方面改造升级，实现生产网、宽带网、设备网之间融合接入，简化网络逻辑架构。安全系统：依据网络总体架构和安全需求，设计布署安全防御体系（包含网络层、系统层、应用层等各层次），各业务系统安全防范和服务体系，并实现集中安全管理。

系统计划要求系统计划要求以下：高可靠要求为确保业务系统不间断正常运行，整个系统应有足够冗余，设备发生故障时能以热备份、热切换和热插拔方法在最短时间内加以修复。可靠性还应充足考虑系统性价比，使整个网络含有一定容错能力，降低单点故障，网络关键和关键单元设备支持双机备份。高性能要求关键网络提供可确保服务质量和充足带宽，以适应大量数据传输包含多媒体信息传输。整个系统在中国三到五年内保持领先水平，并含有长足发展能力，以适应未来网络技术发展。易管理性要求考虑到系统建设后期维护和管理需要，在方案设计中充足考虑各个设备和系统可管理性，并能够满足用户个性化管理定制需要。网站各系统易于管理，易于维护，操作简单，易学，易用，便于进行配置和发觉故障。安全性要求对于内部网络和外部访问安全必需高度重视，设计布署可靠系统安全处理方案，避免安全隐患。设计采取防攻击、防篡改等技术方法。制订安全应急预案。管理和技术并重，全方位构建整个安全保障体系。可扩展性要求对**信息化建设计划要长远考虑，不仅满足目前需要，并在扩充模块后满足可预见需求，考虑本期系统应用和以后网络发展，便于向更新技术升级和衔接。留有扩充余量，包含端口数和带宽升级能力。实用性和优异性要求系统建设首先要从系统实用性角度出发，未来信息传输全部将依靠于数据网络系统，所以系统设计必需含有很强实用性，满足不一样用户信息服务实际需要，含有很高性能价格比，能为多个应用系统提供强有力支持平台。经济性要求此次系统建设中，要充足考虑原有系统资源有效利用，发挥原有设备资源价值。要本着以最少建设成本，最少改造成本，连续取适当期及未来建设最大利益。

系统总体设计此方案设计将遵照优异性、实用性、可靠性、易管理性、安全性、扩展性、经济性标准，为实现**数据集中处理方法，构建统一融合网络系统，能支持全企业范围内高可靠实时网络连接。依据**网络改造建设需求，此次方案设计网络平台系统总体示意图以下：**网络改造总体拓扑图 注：图中橙色字体设备为此次新增设备。具体描述：网络系统设计整体网络结构根据不一样安全等级，关键分为出口区域、DMZ区域、中心服务器集群区域、关键交换区域、生产网接入区域、能源网接入区域、远程计量网接入区域及其它网络接入区域。作为整个网络关键业务区域，采取两台高端关键交换机双机热备方法，确保关键业务正常开展。同时，依据业务关键程度对全厂网络进行分区、并进行可靠安全隔离，避免关键程度较低业务对关键程度高关键业务造成影响。生产网接入区域，关键以现有生产网接入设备为主、另外融合了宽带网和设备网接入设备。依据现有网络结构及用户需求，设置新网络汇聚节点，形成以销售部、自动化部自动化车间、轧钢总降、一炼、二炼、一轧、二轧等七个部位为主汇聚点，覆盖全企业、部门、车间生产区域。上述七个汇聚节点关键下联现有生产网接入设备，同时，将原宽带网和设备网接入设备融入，构建统一网络接入平台，不再反复建网。新网络平台融合了，生产网数据访问和外网互联需求，使用同一终端即可实现内外网同时访问功效。计划统一中心服务器集群区域，将现有生产网、设备管理系统、人事系统中运行服务器，划到同一逻辑区域。考虑到新关键交换高性能，将全部服务器直接接到关键交换，经过关键区域安全设备来确保访问安全。使全厂全部用户终端全部经过关键交换来对各个业务系统进行统一访问。设计新互联网出口区域，设置出口防火墙、上网行为管理、负载均衡等安全设备，确保全厂用户上网安全。原有生活区用户不再和办公区使用同一出口上网，生活区用户使用单独出口设备连接互联网。构建DMZ区域，将WWW、DNS、MAIL等需要同时服务内外网用户服务器放到该区域，设置VPN、负载均衡等设备确保服务安全。能源网和远程计量网因为是独立运行物理网络，不在此次网络改在范围。但此次我们新增关键交换，在性能、稳定性、处理能力方面，全部有能力负载未来其它多个网络融合。安全系统设计此次**网络改造项目建设将考虑怎样建设多层次、纵深防御系统。另外，要加强安全管理工作和安全应急工作。经过布署防火墙确保网络边界安全，确保网络层安全；布署入侵检测系统实现内网安全状态实时监控；布署防病毒系统预防病毒入侵，确保主机安全；布署网络监控系统对网络进行监控；布署抗攻击系统抵御来自外界InternetDoS/DDoS攻击；布署漏洞扫描系统对系统主机、网络设备脆弱性进行分析；布署时钟系统使系统时钟同时；布署单点登录系统方便用户在多个系统间自由穿梭，无须反复输入用户名和密码来确定身份；布署统一认证系统对不一样应用系统进行统一用户认证，经过统一用户认证平台提供一个单一用户登陆入口；布署安全管理平台实现系统内安全事件统一管理。我们要经过对应安全技术建设一套包含物理层、网络层、主机层、应用层和管理层等多个方面完整网络安全体系。

基础平台具体计划网络系统系统设计目标网络系统建设总体目标，是要建立统一融合、覆盖全企业范围内、高速高可靠网络平台，以支持数据集中处理运行模式。系统设计标准网络系统包含四大部分，一是出口区域，实现企业用户上网需求；二是服务器区域，对**现有业务系统主机存放进行统一管理；三是关键交换区域，实现全企业全部功效区域互联互通；四是二级接入区域，对整个网络现实状况进行重新计划，形成新汇聚节点，将生产网、宽带网、设备管理、人事系统统一融合到新管理网络中，实现单一终端对全部业务系统统一访问。网络系统有良好扩展性，确保网络在建设发展过程中业务和系统规模能够不停地扩大。网络线路及关键、关键设备有冗余设计。关键设备和关键设备确保高性能、高可靠性、大数据吞吐能力。网络系统设计充足考虑系统安全性。整体网络计划根据结构化、模块化设计标准，实现高可用、易扩展、易管理建设目标。网络整体拓扑以下图所表示： 注：图中橙色字体设备为此次新增设备。根据“模块化”设计标准，需要对**整体网络结构进行分区设计。依据**企业业务情况，各区域业务系统布署描述以下：关键交换区：此区域用于实现各分区之间数据交互，是数据中心网络平台关键枢纽。出口区域：互联网出口，企业员上网，对外公布企业信息，承载电子商务等业务系统。中心服务器区：此区域布署关键业务服务器，包含MES、OA、人事、安全管理等应用系统。网络汇聚区：实现企业办公楼、各分厂等汇聚网络接入，二级单位能够经过该接入区域实现对业务系统访问。接入交换区：全厂接入设备连接区域，该区域用于连接终端用户和企业关键交换网络，是网络中最广泛网络设备。分区设计详解关键交换区设计此次网络改造，提议新增两台高性能关键交换机作为**网络关键。关键层作为整个**网络关键处理层，连接各分布层设备和**关键服务器区，关键层应采取两台高性能三层交换机采取互为冗余备份方法实现网络关键高速数据交换机，同时，两台关键设备和分布层各设备连接，确保每台分布层设备分别和两台关键层设备含有网络连接，经过链路冗余和设备冗余设计，确保整个关键层高可靠性。两台关键设备之间应最少确保2Gbps全双工速率要求，并能平滑升级到10Gbps。关键区是整个平台枢纽。所以，可靠性是衡量关键交换区设计关键指标。不然，一旦关键模块出现异常而不能立即恢复话，会造成整个平台业务长时间中止，影响巨大。互联网出口区设计**和外网出口区域，现在是经过建立独立宽带网，实现办公区和生活区经过统一出口访问外网。在此次网络改造中，我们计划把生活区上网和办公区上网隔离开，经过不一样出口访问外网。改造后生活区网络拓扑结果以下图所表示： 如上图所表示，此次生活区网络改造会增加新防火墙和负载均衡设备，作为生活区网络安全管理设备，经过单独出口设备连接到互联网。 改在后厂区互联网出口区域，以下图所表示： 如上图所表示，工作区网络改造一样会增加新防火墙和负载均衡设备，和上网行为管理等安全设备，作为生活区网络安全管理设备，经过单独出口设备之间连接到互联网。 出口区域除了网络出口设备外，还包含一个DMZ区域，用于将WWW、DNS、MAIL等，需要同时服务内、外网用户服务器放到该区域，中心服务器区设计计划统一中心服务器集群区域，将现有生产网、设备管理系统、人事系统中运行服务器，划到同一逻辑区域。该区域物理上为一个区域接入到关键，而逻辑上能够再划分为多个业务应用区，依据业务属性不一样能够划分为生产服务器区（如ERP等）、办公服务器区（如OA等）、管理服务器区（如IT运维、管理等系统）等。考虑到新关键交换高性能，将全部服务器直接接到关键交换，经过关键区域安全设备来确保访问安全。使全厂全部用户终端全部经过关键交换来对各个业务系统进行统一访问。网络汇聚区设计网络汇聚区域，依据现有网络结构及用户需求，设置新网络汇聚节点，形成以销售部、自动化部自动化车间、轧钢总降、一炼、二炼、一轧、二轧等七个部位为主汇聚点，覆盖全企业、部门、车间生产区域。该区域网络设备关键以现有生产网汇聚设备为主、另外融合了宽带网和设备网汇聚设备，同时考虑现有汇聚设备性能不能满足需求情况，新增高新能汇聚设备。汇聚层设备经过双链路方法和关键层两台关键交换设备相连，同时，为保障网络健壮性，和便于各个分厂区之间数据交互，各个分厂区汇聚交换机之间也有线路直连。各汇聚节点和关键层连接，应全部采取1000Mbps或1000Mbps以上连接方法，分布层设备实现本区域内各Vlan路由处理和安全限制。接入层部分 网络汇聚节点关键下联现有生产网接入设备，同时，将原宽带网和设备网接入设备融入，构建统一网络接入平台，不再反复建网。新网络平台融合了，生产网数据访问和外网互联需求，使用同一终端即可实现内外网同时访问功效。接入层设备和分布层设备经过1000M光纤或双绞线方法连接，在用户量较少分节点能够采取100M上联方法，和各终端用户连接通常采取100M或1000M双绞线方法。生产网中其它办公楼及分厂区网络接入，经过自动化车间和轧钢总降等汇聚节点，接入到新数据网络中。各个分厂区网络接入情况以下图所表示：自动化车间汇聚网络拓扑图轧钢总降汇聚网络拓扑图网络协议设计IP地址和VLAN计划IP地址是网络设计工作中关键一环，使用IP地址不妥会造成路由表庞大、难以布署安全控制、地址重合问题、地址空间耗尽等问题，会给网络运行带来很大麻烦。为了让**网络建设项目顺利进行，我们提议**网络采取以下IP地址计划标准进行合适改善：为企业各个二级单位、应用业务、数据中心采取统一计划，统一分配，统一管理地址设计标准，避免重合地址出现。设定专门步骤和人员对全企业网络地址进行统计和权限管理。尽可能采取私有地址进行IP地址分配。私有地址就是我们熟知三类网络地址，分别是A类网中~55范围，B类网中~55范围，C类网中～55范围。整网地址计划思绪可根据以下方法设计，如10.X.Y.Z，X为不一样厂区进行标示，Y为该厂区内不一样业务或应用进行标示，Z为主机地址位。同一个区域内部，使用连续IP子网进行IP地址分配。比如，厂区A内需要有4个C类网络，为了满足地址汇聚需要，应该为连续C类网络。比如：/24、/24、/24和/244个网络能够汇聚成/22。在定义测试区安全策略时，不用将4个网段同时定义成ACL，使用一条ACL就能够包含全部网络。使用可变长掩码计划网络地址，依据IP地址使用对象特点，布署不一样长度子网掩码。比如，应用网段IP地址，能够采取C类网地址，掩码为24位；区域设备之间互连地址能够采取29位掩码。不一样主机实际网关IP地址和HSRP使用IP地址应该在整个数据中心统一，使用相同方法配置，比如：整个厂区均采取X.X.X.1作为主机实际网关IP地址，HSRP采取X.X.X.254为HSRP网关地址。网络互连地址采取IP地址网段头两个可用地址，关键侧设备接口配置奇数地址，边缘侧设备接口配置偶数地址。比如，设备A和设备B互连，采取/29网段为互连地址，该网段头两个可用地址为和，设备A为关键设备，配置奇数地址，设备B为边缘设备，配置偶数地址。网络设备配置环回地址（32位掩码地址），用于网络管理和日志管理。VLAN关键用于将局域网环境划分为多个逻辑网络，从而降低广播风带来影响，也可提升网络可管理性和安全性。提议在此次网络建设中可根据以下标准对新建VLAN及原有VLAN进行合适调整和修改。VLANID计划可根据应用业务、工作部门、厂区位置等方法定义，这里提议根据原有网络计划方法进行。VLANID能够是2-4096任意数字，为了方便标示和管理，提议ID和IP网段地址相关联。如/24–VLAN10;/24—VLAN20;/24—VLAN30等。VLAN计划避免反复，全网VLAN静态手动分配（在根交换机），统一管理和统计。动态路由协议对一个大网络来说，选择一个适宜路由协议是很关键，不合适选择有时对网络是致命，路由协议对网络稳定高效运行、网络在拓朴改变时快速收敛、网络带宽充足有效利用、网络在故障时快速恢复、网络灵活扩展全部有很关键影响。现在存在路由协议有：RIP(v1&v2)、OSPF、IGRP、EIGRP、IS-IS、BGP等，依据路由算法性质，它们可分为两类：距离矢量(DistanceVector)协议(RIP/IGRP/EIGRP)和连接状态(LinkState)协议(OSPF/IS-IS)。可用于大规模网络同时又基于标准IGP路由协议有OSPF和IS-IS。两种路由协议均是基于链路状态计算最短路径路由协议；采取同一个最短路径算法（Dijkstra）。考虑到产品对OSPF和IS-IS支持成熟性和OSPF和IS-IS工程经验，提议采取OSPF做为**网络主用动态路由协议。作为链路状态协议，OSPF特征以下：经过维护一个链路状态数据库，使用基于DijkstraSPF路由算法。使用Hello包来建立和维护路由器之间邻接关系。使用域（area）来建立两个层次网络拓扑。含有域间路由聚合能力。无类（classless）协议。经过选举指派路由器（DesignedRouter）来替换网络广播。含有认证能力。OSPF是一套链路状态路由协议，路由选择改变基于网络中路由器物理连接状态和速度，改变被立即广播到网络中每一个路由器。每个路由器计算到网络每一目标一条路径，创建以它为根路由拓扑结构树，其中包含了形成路由表基础最短路径优先树（SPF树）。下图是OSPF分Area状态。OSPFArea分界处于路由器上，图所表示，部分接口在一个Area内，部分接口在其它Area内，当一个OSPF路由器接口分布在多个Area内时，这个路由器就被称为边界路由器（ABR）。每个路由器仅和它们自己区域内其它路由器交换LSA。Area0被作为主干区域，全部区域必需和Area0相邻接。在ABR（区域边界路由器，AreaBorderRouter）上定义了两个区域之间边界。ABR和Area0和另一个非主干区域最少分别有一个接口。OSPF许可自治系统中路由根据虚拟拓扑结构配置，而不需要根据物理互连结构配置。不一样区域能够利用虚拟链路连接。许可在无IP情况下，使用点到点链路，节省IP空间。OSPF是一个高效而复杂协议，路由器运行OSPF需要占用更多CPU资源。下面从层次能力、稳定性、扩展性和可管理性四个方面对OSPF进行介绍：层次能力经过areas支持层次化边界在router内链路状态数据库（LSDB）来自网络或路由器LSA尺寸—64KBto5000条链路限制稳定性依靠路由设计和实现大型网络中使用展现增强趋势扩展性使用扩展TLV编码策略新扩展需开发时间管理性企业网中大范围使用可借鉴经验较多此次网络建设项目，我们提议在各个区域之间开始布署OSPF动态路由协议。因为接入交换机多数为二层交换机，无法一次实现路由到用户边界改造，所以此次仅将各个区域关键交换开启路由进程，以后可逐步实现全网路由建设。各个区域在此次设计中全部布署高性能三层交换机，这些交换机需含有完整路由支持功效。区域间关键设备组建OSPF协议骨干area，未来在大范围布署动态路由协议时，可考虑将各个厂区划分为area1，area2等等，能够充足做到基于area路由汇总和控制。互联网区域可根据需要，合适采取静态路由方法完成园区网和外网连通。未来可逐步增加路由范围，逐步演变为路由到用户边界形式。

设备选型提议华为产品选型方案产品类型选型提议配置描述数量备注关键交换机华为S12808背板带宽：32Tbps；包转发率：9600Mpps；8个业务槽位；支持基于Layer2、Layer3、Layer4优先级等组合流分类支；电源功率：≤10800W；2华为S9306背板带宽：6Tbps；包转发率：1152Mpps；扩展模块：6个业务槽位；支持基于Layer2协议；安全管理：802.1x认证1生活区宽带网关键交换机汇聚交换机华为S632424个GESFP/10GESFP+端口,双电源槽位,含USB接口，交流供电；转发性能:715M；交换容量:960G；2华为S532420个10/100/1000Base-T，4个千兆Combo口分交流供电和直流供电两种机型,支持RPS12V冗余电源，支持USB口,交换容量48G14华三产品选型方案产品类型选型提议配置描述数量备注关键交换机H3CS12508机箱，主控板，8端口万兆光口板，48端口千兆电口板，流量分析业务板，冗余电源2H3CS10508机箱，主控引擎，48口千兆电口板，48口千兆光口板，4端口万兆光口板，防火墙业务板，冗余电源1生活区宽带网关键交换机汇聚交换机H3CS7506E机箱，双SalienceVI引擎，2*24口千兆电口板，12口千兆光口板，冗余电源2H3CS5500H3CS5500-52C-EI-以太网交换机主机(48GE+4SFPCombo+2Slots)，4个单模SFP模块14安全系统系统设计目标此次**网络改造项目建设目标是经过建立完善安全体系，在网络安全，主机安全和应用安全三个层面上，搭建一套立体安全架构。这么能够实现抵御各个层面攻击，预防病毒入侵等功效。同时进行主机风险评定和安全加固服务，提前屏蔽漏洞风险。并经过安全管理平台实现安全审计功效，做到事件追踪。系统设计标准整体性标准建设**安全系统时应充足考虑各个层面原因，总体计划各个出入口网关安全策略。此次**网络改造项目充足考虑各个步骤，包含设备、软件、数据等，它们在网络安全设计中是很关键。只有从系统整体角度去看待和分析才可能得到有效，可行方法。适应性及灵活性标准伴随互联网技术高速发展，对网络安全策略需求会不停改变，所以此次布署安全策略必需能够伴随网络等系统性能及安全需求改变而改变，要做到轻易适应、轻易修改。一致性标准一致性标准只要指安全策略布署应和其它系统实施工作同时进行，方案整体安全架构要和网络平台结构相结合。安全系统设计思想应该贯穿在整个网络平台设计中，表现整体平台一致安全性。需求、风险、代价平衡标准对网络要进行实际研究（包含任务、性能、结构、可靠性、可维护性等），并对网络面临威胁及可能负担风险和付出代价进行定性和定量相结合分析，然后制订规范和方法，确定系统安全策略。易操作性标准安全方法需要人去完成，假如方法过于复杂，对人要求过高，本身就降低了安全性；同时方法采取不能影响系统正常运行。多重保护标准此次**安全系统要建立一个多重保护系统，各层保护相互补充，当一层保护被攻破时，其它层保护仍可保护信息安全。经济性标准在满足**系统安全需求前提下，选择经济实用软硬件设备，方便节省投资，即选择高性能价格比设备；同时，应该充足挖掘现有系统软硬件设备使用潜力，尽可能以最低成原来完成安全系统建设。安全体系结构**网络系统安全区域划分示意图以下：**网络系统安全区域划分如上图所表示，**网络系统划分为多个安全区域，分别为：出口区域、DMZ区域、管理网接入区域、中心服务器区域和关键交换区。其中，出口区域和DMZ区域设备可访问Internet，部分设备也可由Internet访问，但均不可由公网直接路由到，安全等级为中；管理网接入求负责企业二级接入网络同中心服务器及出口区域数据交互，安全等级为高；中心服务器区域设备为**关键数据，在公网不能够访问，内网用户只能经授权后访问特定服务，安全等级最高。 接入层安全等级如上图所表示：管理网中，能够上外网Internet接入终端安全等级低；只能访问管理网业务系统接入终端，安全等级较高。子系统计划网络隔离系统出口防火墙经过布署两台千兆出口防火墙实现Internet和**内网隔离。两台防火墙一主一备，提升出口可靠性。出口防火墙划分内外网之间访问策略为：内网到公网基础不做限制，关键是考虑到内网上网终端上网需求，另有些设备需要到公网升级；公网到备内网只针对DMZ区域开放对应端口（如80）。布署在出口区域设备如有和内网关键服务器通讯需求，在出口防火墙上对这些需求打开对应IP和端口。内网防火墙经过内网防火墙实现关键内网区域之间隔离。因为数据流较大，两台防火墙采取双活方法工作，不一样业务数据流分别经过不一样防火墙，实现数据流动态分担。实现安全同时兼顾传输效率。布署内网防火墙后，要针对业务情况制订特定访问策略，策略制订完成后只开放特定主机IP和服务端口，其它访问一律严禁。入侵检测系统**网络系统需在网络关键位置布署入侵防御系统（IPS）。提议在网络前端关键设备布署两台IPS设备。可监控内网和公网之间数据交互、公网对DMZ区域访问数据、监控接入/DMZ区域终端对关键内网数据交互。漏洞扫描系统为了预防网站被黑客入侵，需要在网络系统中布署漏洞扫描系统，经过漏洞扫瞄系统能够定时对网络系统进行安全性分析，发觉并修正存在弱点和漏洞。漏洞扫瞄系统是管理员监控网络通信数据流、发觉网络漏洞并处理问题有力工具。针对本系统网络设计，我们将漏洞扫瞄系统布署在关键内网管理区域，使漏洞扫描系统能够尽可能不受限制对待评定系统进行访问。漏洞扫描系统布署后，将会对**各个业务系统和安全系统设备进行扫描，依据扫描评定结果能够立即发觉系统漏洞并立即采取方法。安管平台系统安全管理审计工作作为安全体系关键组成部分，需要布署安全管理平台系统。其中安全管理平台服务器布署在**关键内网管理区域，由防火墙提供保护，外网用户不许可访问该服务器。被管对象和安全管理平台服务器有数据传输，它们之间要路由可达。此次安全管理平台需要管理关键服务器和全部安全设备，搜集日志后并做出分析，分出告警等级。也能够经过声光电或邮件、短信等方法报警，立即提醒管理员。防病毒系统防病毒系统建设首先要依据此次系统设计总体结构，从网络中业务系统模式和关键可能感染病毒系统和区域进行设计和考虑。经过分析**网络系统特点，能够总结病毒感染路径以下：部分服务器如windows平台轻易受到病毒攻击；企业内部职员若有访问互联网权限，则可能感染网络病毒，并经过HTTP、FTP等流量把病毒和恶意移动代码带入网站；经过U盘传输病毒；多种蠕虫病毒主动地经过网络传输。从以上分析入手，本系统病毒防范工作必需从病毒防护主体着手，依据她们之间访问关系施加防护及病毒监控。此次方案防病毒系统采取防病毒网关和网络防病毒系统相互结合方法，建立完整防病毒体系。其中防病毒网关服务可集成在出口防火墙上，在内网布署网络防病毒系统，实现对系统中关键服务器和内部终端进行病毒防护，严防病毒感染关键服务器和终端后造成业务系统受病毒影响。统一用户/身份管理用户是IT系统中各类活动实体，如人、组织、虚拟团体等。用户管理是指在IT系统中对用户和权限控制，包含了身份管理、用户授权、用户认证等，身份管理是基础，用户授权和认证是之上服务。身份是一个实体区分于其它实体特征，IT系统中身份通常指一个人在信息系统中抽象，也能够是硬件、组织等实体抽象，是属于一个特定实体属性集合。身份属性含有部分特点：往往是较短数据元素如名称、邮件、电话、照片、数字证书等。身份管理就是产生和维护身份属性过程，也是管理不一样实体之间关系能力。身份管理（IdentityManagement）是用户管理(UserAdministration)一部分。统一用户管理（UUM）就是对不一样应用系统进行统一用户认证，经过统一用户认证平台提供一个单一用户登陆入口。用户在操作系统域登陆时经过统一用户管理平台认证，就含有了使用相关应用权利。同时统一用户管理平台还提供对长时间无应用操作超时重认证功效，愈加可靠确保安全。统一用户管理为用户提供多个登陆手段，包含传统口令登陆和安全性能更高CA、USBKey等，使用户在使用统一身份认证平台上有更灵活选择。在认证手段上，统一用户管理提供支持LDAP/AD协议认证中心管理，支持多个认证中心认证，确保用户信息安全、可靠。单点登录单点登录（SSO，SingleSign-on）是一个方便用户访问多个系统技术，用户只需在登录时进行一次注册，就能够在多个系统间自由穿梭，无须反复输入用户名和密码来确定身份。单点登录实质就是安全上下文（SecurityContext）或凭证（Credential）在多个应用系统之间传输或共享。当用户登录系统时，用户端软件依据用户凭证（比如用户名和密码）为用户建立一个安全上下文，安全上下文包含用于验证用户安全信息，系统用这个安全上下文和安全策略来判定用户是否含有访问系统资源权限。现在业界已经有很多产品支持SSO，但各家SSO产品实现方法也不尽相同。如经过Cookie统计认证信息，经过Session共享认证信息。Cookie是一个用户端机制，它存放内容关键包含：名字、值、过期时间、路径和域，路径和域合在一起就组成了Cookie作用范围，所以用Cookie方法可实现SSO，但域名必需相同；Session是一个服务器端机制，当用户端访问服务器时，服务器为用户端创建一个惟一SessionID，以使在整个交互过程中一直保持状态，而交互信息则可由应用自行指定，所以用Session方法实现SSO，不能在多个浏览器之间实现单点登录，但却能够跨域。