施工企業LAN網絡安全綜合管理解決方案的實現

李 榮，李永鵬

(中國華西企業股份有限公司，四川成都610081)

1 項目概況

中國華西企業股份有限公司屬于大型國有股份公司，擁有房屋建筑工程施工總承包特級資質及房地產開發資質，公司分布在兩個樓棟，其中A、B兩棟樓一層主要為工程部、市場部、成本部，二層為公司領導辦公室、總經辦、人力資源部、總工辦、審計部、法律債權部、承包部、黨工部、房地產開發部等，B樓為財務部，機關工作人員約300人。

1.1 硬件環境

辦公區工作人員均配備計算機一臺，其中筆記本終端17臺，臺式機終端112臺。配置參差不齊，經調查CPU以單核及2.0 GHz以下雙核為主，硬盤容量160～300GB為主，內存1 GB及以下偏多。

1.2 軟件環境

各工作終端均使用windows操作系統，經調查各版本系統使用情況為：windows XP系統占77 %，windows7占3 %，windows 2000占20 %。

1.3 網絡環境

該公司網絡外網采用SDH專線和IPSEC VPN技術直接與集團總部互聯,LAN采用集團公司統一規劃和分配的IP地址段，A、B樓分屬不同的兩個網段，地址末位由客戶端自行設置。

1.4 運維狀態

由于前期沒有專門負責信息化建設的部門，LAN處于放任自流的狀態，沒有統一的信息化建設管理制度和機構，對軟硬件及網絡管理未規范管理，LAN內有多少臺終端、操作系統使用情況、應用軟件配置及使用情況、網絡結構及設備參數等均不明確，沒有相關統計臺賬，各部門計算機經常發生終端軟硬件故障和數據丟失，網絡地址混亂，經常發生IP沖突等網絡故障影響辦公，尤其是未建立數據保護機制，多次發生因故障造成的數據丟失。

2 項目需求

由于施工企業與IT行業的專業屬性，施工企業通常對信息化管理不重視或心有余而力不足，但LAN的管理作為信息化建設的基礎設施建設內容，雖然未納入《建筑施工企業信息化評價標準》的考核范圍，但其作為信息化建設的基礎，從企業管理的角度已經到了必須解決的地步，根據調查反饋的意見，本項目有以下需求：

(1)統一部署系統安全。由于專業差異，工作人員對于計算機安全體檢、殺毒、木馬、補丁理解和認識有差異，或者不重視，或者雖重視但不知該如何選擇和操作，需要由專門的管理部門來統一實施系統安全管理。同時由于各終端獨自修漏洞、升級占用大量出口帶寬，影響正常的上網速度。

(2)統一進行終端優化。操作者對優化的處理，經常發生錯誤操作導致系統發生故障，無法訪問網絡或無法打印文檔等，正確的優化可以使系統運行效率大幅提高，由專門的管理部門來統一實施終端優化可以實施統一的策略，同時節約各部門自行處理所占用的時間及網絡資源。

(3)統一進行全網軟件管理。由于前期未統一管理，各部門以及機關與項目部應用軟件采用了不同的品牌，或同一品牌但版本各不相同，經常導致數據不能通用或運行，發生兼容性問題。對LAN各終端安裝的軟件進行實時監控，可以確保及時發現不滿足管理要求的軟件，并通知其及時卸載。

(4)集中自動的資產管理。上百臺網絡終端由人工進行統計將耗用大量的時間和精力而且無法保證數據的準確性，且設備經常發生變動，人工監測更不具有現實意義，集中和自動進行終端統計將大大提高工作效率。

(5)數據服務。各工作終端均將日常資料存放在各自的計算機上，硬盤故障或發生被盜后，計算機內的資料全部丟失，損失巨大，迫切需要解決數據的備份和日常共享問題。

(6)規范網絡環境管理。各終端IP地址經常任意修改，任意接駁交換機和路由器，網線凌亂等嚴重影響了網絡正常運行，急需規范化管理。

3 解決方案

根據項目需求的分析，并結合公司的LAN現狀選擇合適的軟硬件以滿足上述功能。

3.1 管理層面

LAN網絡安全的綜合管理作為專業性工作，應建立相應的管理制度，統一進行規劃，并組建相應的職能部門或設置專業崗位以負責具體實施。

3.2 軟件方案

軟件方案通常包括三種解決方式：自行開發、共同合作開發和直接選購軟件。針對本項目特點，經多方對比和選擇，最終選用國內知名IT安全公司奇虎科技出品的360企業版安全系統。

360企業版安全系統具有以下四大特點：

(1)掌控全網安全。采用全球領先的云查殺，全網一鍵體檢，統一殺病毒、清木馬、修漏洞、修復各類危險項、開機加速、分發軟件、發送公告、流量監控，企業網絡安全盡在掌控。

(2)全自動智能化。全面的安全策略，自動修復各類危險項，一次配置安全無憂。圖表方式展示系統工作狀況，定時發送安全報告。

(3)功能強大齊全。包括系統安全、企業軟件管家、硬件資產管理三大組件，整體企業安全解決方案，全面超越傳統企業安全產品。

系統安全組件包括全網體檢、漏洞修復、病毒查殺、插件清理、開機加速、危險項修復等功能。實現了統一安全管理，通過控制中心，管理員可全面掌握終端的安全狀況，對全網終端實現統一管理。管理員可以為終端進行統一的查殺病毒、修復漏洞和產品更新等操作，還可以為每個終端配置正確的安全策略，并能在出現問題時及時收到報警通知，從而有效的防范病毒木馬入侵和黑客攻擊，避免木桶效應的影響。

企業軟件管家組件包括全網軟件信息統計、終端流量統計、全網軟件分發等功能，大大提高企業信息化水平。惡意、未知軟件一目了然，簡化了對終端電腦的管理，降低IT管理成本。

硬件資產管理組件包括全網IT硬件匯總統計、硬件變更丟失跟蹤和預警、硬件運行狀態監控功能，輕松管理企業硬件資產。便于管理員實時查看企業全網終端電腦的硬件配置，動態了解資產情況，及時獲取各種硬件資產變更情況，方便財務審計，輕松構建專業的企業硬件資產監控與審計平臺。

使用360企業版，則可以通過控制中心的緩存數據，進行二次分發，給內網用戶集中升級，集中打補丁，從而在最大程度上減少升級、打補丁等聯網操作對企業網絡帶寬的占用。

(4)系統免費使用，應用廣泛。該系統全功能無限制，不限終端數，超過42萬家企業選擇，覆蓋了各大中小型企業、政府機關、企事業單位，包括能源、金融、制造、教育、醫療、服務、IT等行業領域。國家商務部、新華社等均采用了該軟件作為安全服務。

3.3 硬件方案

通過在A樓內網設置一臺服務器，運行windows server 2008系統提供運行360企業版安全系統并提供LAN文件備份和共享服務，儲存方案采用RAID1雙硬盤做磁盤陣列。

3.4 網絡優化方案

對網絡布線進行清理，采用綜合布線系統，清理各部門私拉亂接的網絡線纜和任意串接的交換機和路由器，全面調查網絡結構和IP地址，并規范網絡環境。

4 方案實施

4.1 設立組織機構

公司高度重視信息化建設工作，由總工程師辦公室負責公司的信息化建設管理，制定并發布了公司信息化建設管理制度，擬定了公司信息化建設規劃，并招聘設置一名信息化專員負責信息化工作。

4.2 網絡環境準備

為了對原有網絡環境進行了解，于2012年9月開展了信息化建設問卷調查，清理了公司的軟硬件配置及網絡設備情況。2013年一季度對全網IP地址進行了專項調查統計，為規范網絡管理和運行360安全系統做技術準備。

對全網IP地址進行了調查統計后，重新對各部門分配了IP地址，以保證網絡環境的正常運行。在規劃和分配時應考慮到有一定冗余量為以后人員的增加預留足夠的地址；同時由于各終端仍存在任意修改IP地址的情況，因此在網絡設備上啟動了MAC綁定功能，將IP地址與網卡綁定在一起，有效控制了個人修改地址造成網絡沖突和混亂的發生。

A樓和B樓兩個不同的網段，均連接至上級核心交換機，經技術人員專項設置后，可滿足跨網段互訪需求。

4.3 硬件配置

服務器的配置是本解決方案的重點。為了確保本方案的有效實現，設計采用Intel i5四核處理器、16 GB內存、2塊1000 GB硬盤的主要配置參數，運行windows server 2008系統、360企業版安全系統并提供LAN文件備份和共享服務足以滿足本項目需求。

360企業版對硬件環境的建議要求是CPU:Intel i5處理器(雙核以上)、內存2GB以上、硬盤建議200G以上(需要下載補丁文件存放)。

4.4 軟件系統配置

服務器操作系統的配置本文不再進行說明，文件儲存備份和共享服務可啟用文件服務器功能實現，以下重點說明360企業版安全系統的實施。

360企業版是基于C/S構架的系統，包括控制中心和終端2個組成部分。控制中心和客戶端均部署在企業網內部，系統構架如圖1所示。

圖1 系統構架

控制中心支持的軟件環境有Windows XP_SP3及以上、Windows Server 2003_SP2、Windows Server 2008、Windows Vista和Windows 7。終端支持的軟件環境除上述系統外還包括Windows 8。

360企業版系統的配置主要包括安裝控制中心、部署企業版終端、定時登錄控制中心查看各終端安全情況和下發統一殺毒、修復漏洞等策略，確保終端安全。具體請按照產品手冊操作。

控制中心是企業版的服務器端，部署在企業的內部服務器上，包含三個功能模塊。

其中系統中心：和終端客戶端進行通訊。接收終端的體檢信息、病毒信息、漏洞信息等上報；下發各種體檢、殺毒、打補丁等指令和策略。

管理平臺：提供基于B/S模式的管理平臺，管理員可以通過瀏覽器(IE、360瀏覽器等)進行遠程管理，查看全網的企業安全狀況、配置終端安全策略、軟件管理、硬件管理、配置企業版的運行參數等。

升級服務：為終端提供病毒木馬庫和程序文件等的升級更新。360企業版有多種升級模式。

終端部署360企業版的終端程序，通訊管理模塊執行和控制中心保持通訊，把終端的安全狀況報告給控制中心，從控制中心接收各種安全策略，執行各種安全任務。

5 項目效果評價

本項目從啟動準備工作至系統上線歷時2個月時間。

在系統上線后對原始網絡環境的初始安全評分為56分，經過系統運行和管理后，目前系統安全評分已達到95分。

系統運行后，網絡故障發生率降低了80 %，計算機運行速度大幅提升，網絡速度改變效果明顯，工作效率得到提高，對公司信息化服務的滿意度由2012年的62 %提高到了現在的90 %，整個項目實現了系統安全、軟件管理、資產管理和文件服務的預期目標，LAN網絡安全的綜合管理得以實現，得到了公司全體員工的高度認可。

6 建議和說明

(1)應做好信息化建設總體規劃，以便按既定目標和任務開展相應工作。

(2)應注意加強網絡環境的管控。建議對網絡地址改造后進行綁定，防止使用者擅自修改IP地址。LAN宜控制在一個網段內，以減少跨網段給管理帶來的困擾，尤其是網絡環境復雜又沒有專業IT人員負責運營的網絡。

(3)服務器建議由取得微軟MCITP證書的專業人員進行規劃、實施和運維指導。

(4)運用本方案對各計算機終端的要求可適當放寬，若要考慮對各終端的硬件升級，建議在360企業版運行后統一進行，因為該系統可以方便地自動統計終端參數，便于根據統計情況制定統一的升級方案。

[1] 奇虎科技有限公司 360企業版使用手冊[M]

[2] JGJ/T 272-2012建筑施工企業信息化評價標準[S]