信息系统基础建设

相关设计方案

某客车公司现有信息网络系统存在的问题及改造

根据对该公司的实地考察和现有设备方面的研究，可以将存在的问题归纳成以下四类问题：
     1、整体网络结构和管理问题
     2、网络防病毒问题
     3、系统软件平台的使用和规划问题
     4、数据备份问题
     以下就这四类问题的分析和解决方案简述如下
1.整体网络结构和管理问题改造概述

现有网络结构存在的问题：
   （1）现有网络结构是二层结构，没有充分利用现有设备的潜在功能，也没有采用Vlan划分，是造成现有网络网速过慢的重要原因之一。
    （2）办公室二楼共有将近100台电脑，但上连到中心交换机的带宽只有100M，平均分配到每台机的带宽只有区区1M，这是造成这些电脑在跨网访问和上网速度过慢的原因。
    （3）技术部也将近有80台电脑，但上连到中心交换机的带宽也只有100M，平均分配到每台机的带宽只有1M多，这是造成这些电脑在跨网访问和上网速度过慢的原因。
    （4）采用ISA服务器的方式连接Internet，而且目前没有相关的防护措施，容易造成该台服务器出现问题，而导致整个网络无法连接互联网的问题。

   根据以上分析，本着最佳性价比的原则，最合理利用现有设备，我们提出以下改造方案：
    （1）、因目前的中心交换机 3COM SuperStack 3 Switch 4924还有一个可扩展槽位，所以购买一块3COM SuperStack Switch 4900 4端口1000Base-SX的千兆光纤模块，使中心交换具有千兆光纤接口。
    （2）、将目前没有利用好的FMS 726及FMS 726S提升为二级交换机，购买4块Netgear 1000Base-SX GBIC光纤模块(产品编号：AGM721F)，使该两台交换机具有2G上连中心交换机的能力。
    （3）、在中心机房和办公楼二楼之间新布1条100米的6芯多模光纤，其中四芯用于现有的网络连接，另2芯备用。
    （4）、目前在中心机房和技术部之间已有一条四芯光纤，但目前仅用了其中的两芯，需要将另外两芯也用起来作为上连线路。
    （5）、因目前所有的网络设备中，三级交换机JFS 524不具有支持VLAN的功能，只有三台，即3COM SuperStack 3 Switch 4924、Netgear FMS 726、FMS 726S具有VLAN功能，所以改造完成后，本网络可以具有在二级端口的VLAN功能，但不具备到桌面的VLAN划分。采用VLAN的划分，能提高目前的带宽利用率。
    （6）、购买一台专业的阿姆瑞特防火墙AS-F100-NP，替换目前的ISA服务器，提高上网的稳定性，并可以提供高性能的VPN和防火墙功能，而且还节约购买成本和维护成本。
    （7）、将目前在技术部的三台服务器转移到中心机房统一管理。

2.网络防病毒问题改造概述

 潜在病毒威胁分析：
   （1）外部 – 某客车公司网络系统与Internet有直接通道，虽然中间有防火墙验证数据的合法性，但仍会受到来自互联网数据流为载体的潜在病毒的威胁，特别是蠕虫病毒的入侵。
    （2）内部 – 局域网中的各种应用服务器、客户机都会受到病毒的传播，病毒的攻击方式多种多样，有通过局域网传播、传统介质(光盘、软盘等)传播等等，一旦受到感染，便会迅速传播，会给日常的工作和生产带来极大的威胁。
    （3） 邮件服务器 – 电子邮件已成为病毒传播的最大载体，任一与外界有邮件往来的邮件服务器如果没有采取有效的病毒防护措施，极易受到攻击，并会导致病毒在企业内部网中快速传播。其实邮件服务器本身不会受到邮件病毒的破坏，只是转发染毒邮件至客户信箱中，但是当客户机染毒并产生几何数量级的信件时，邮件服务器会由于在短时间内需转发大量邮件而导致性能迅速下降，直至当机。同时，垃圾邮件的问题也成为每一个管理人员不得不面对的难题。
    （4） 带宽消耗 – 高速传播和具有网络攻击能力的病毒，能占用有限的网络带宽，导致网络瘫痪。CodeRed、蠕虫王、冲击波等病毒就是典型导致网络瘫痪的病毒，能导致网络交换机、路由器、服务器严重过载瘫痪。
    （5） 信息被窃 – 网络病毒在发作后常常在造成直接破坏的同时，还会释放后门程序，一旦重要服务器中毒，就有可能带来核心技术的泄漏，如果核心技术资料被竞争对手获取，将可能造成严重的后果；
    （6）   间接损失 – 病毒造成的间接损失可能更大，病毒造成的事故对某客车公司的影响是直接导致公司信息资产损失，可能影响开发运营。而病毒事故对公司造成信誉损伤可能更严重，一次病毒引起网络故障可能造成公司的信任度严重下降，从而影响正常工作的开展。

 防病毒改造方案：
    我们选择了Symantec AntiVirus Corporate Edition 10.2的200个许可作为某客车公司的网络防病毒方案。主要基于以下理由：
   （1） Symantec AntiVirus不仅具备业界领先的企业工作站和网络服务器的恶意软件实时防护功能，还结合了基于 Web 的图形报告及集中式管理和控制功能。 副作用修复可以在安全遭到破坏期间使系统保持正常运行。 集中式配置和部署减轻了管理负担并降低了开销。集成的响应内容有助于最大限度地延长系统的正常运行时间。
   （2） 该网络中有一台Exchange Server 2003的邮件服务器，本来应该考虑邮件防病毒模块，但基于成本最小化的原则，而且考虑到该邮件服务器只是内部邮件服务器，在每台机都安装了防病毒软件后，网络内的病毒爆发机会会大大减少，所以在内部邮件服务上不安装邮件防病毒模块应该是安全的。

3.系统软件平台的使用和规划问题改造概述

某客车公司系统软件平台存在的问题
   （1）目前只使用工作组的模式，所以在网络资源管理和使用上存在不少问题，也不便于网络的管理
   （2）目前网络内部署了Exchange Server 2003内部邮件系统一套，但运行情况不理想。
某客车公司系统软件平台改造方案
   （1） 基于成本的考虑，采购一套 Windows Server 2003 作为实施Windows Active Directory，以及对网络用户和资源管理的平台。
   （2） 仍采用目前部署的Exchange Server 2003内部邮件系统，但对其设置和管理进行调整，以满足企业需要。
   （3） 安全性通过登录身份验证以及目录对象的访问控制集成在Active Directory之中。通过单点网络登录，管理员可以管理分散在网络各处的目录数据和组织单位，经过授权的网络用户可以访问网络任意位置的资源。基于策略的管理则简化了网络的管理，即便是那些最复杂的网络也是如此。 Active Directory通过对象访问控制列表以及用户凭据保护其存储的用户帐户和组信息。因为Active Directory不但可以保存用户凭据，而且可以保存访问控制信息，所以登录到网络上的用户既能够获得身份验证，也可以获得访问系统资源所需的权限。例如，在用户登录到网络上的时候，安全系统首先利用存储在Active Directory中的信息验证用户的身份。然后，在用户试图访问网络服务的时候，系统会检查在服务的自由访问控制列表（DCAL）中所定义的属性。 因为Active Directory允许管理员创建组帐户，管理员得以更加有效地管理系统的安全性。例如，通过调整文件的属性，管理员能够允许某个组中的所有用户读取该文件。通过这种办法，系统将根据用户的组成员身份控制其对Active Directory中对象的访问操作。

4.数据备份问题改造概述

 数据备份存在的问题：
    （1） 数据不集中，服务器分布在两个地方，目前只有简单的光盘备份
    （2） 没有形成数据备份制度
 数据备份改造方案:
    （1）将装有关键数据和资料的服务器均搬到中心机房进行集中管理
    （2）基于成本的考虑，本方案不采用专业的数据备份系统，只采用服务器本身的数据备份功能进行备份和恢复，备份介质采用平时用硬盘，每周用光盘和磁带进行备份。
    （3）建立一套完整的数据备份规章制度，提高员工的数据安全知识和责任感。

5.改造实施步骤及施工计划

（1）合同签定：2个工作日
（2）线路资源、用户、网络资源现状评测：2个工作日
（3）光纤布线：2个工作日
（4）网络调试及防火墙安装：2个工作日
（5）Windows Server 2003调试、AD建立和规划、Exchange Server 2003调试：3个工作日
（6）网络防病毒安装：1个工作日
（7）数据备份规划和培训：1个工作日
（8）系统培训：1个工作日
合计共约14个工作日

6.风险评估及避免风险的措施

本网络改造存在以下几点风险
     （1）网络设备风险
     风险描述：现有网络设备是否完好，特别是中心交换机3Com 4924、Netgear FSM726、FSM726S等三台交换机的槽位是否可用。
     采取的措施：在开工前进行详细的调查。如3COM的槽位有问题，则需要更换中心交换机；如果Netgear FSM726、FSM726S的槽位有问题，则及时联系Netgear服务商保修（该设备有5年的保修期）
     （2）光纤线路风险
     风险描述：本次改造中，会将从中心机房到技术部的光纤连接带宽升级，即从100M升到2G，需要采用4芯光纤，对光纤是否满足技术指标存在风险。
     采取的措施：在开工前进行详细的调查。如发现该段光纤布置不符合规范、或出现断芯现象，则需进行重新铺设光纤。
     （3）软件盗版的风险
     风险描述：因目前公司中主要还是使用盗版软件，特别是作为邮件服务器的Exchange Server 2003也是盗版，存在一定的技术和法律风险。
     采取措施：对客户端的软件，建议公司在适当的时候进行正版化，在成本允许的前提下，对服务器上的软件建议马上正版化。 

7.改造实施后的效果说明

1、网络结构更加合理、网速大幅度提高
    （1）本次改造将目前的二级结构改造成三级结构，并采用了Vlan技术，使网络速度和效率提升，管理方便
    （2）本次改造将中心机房到技术部和办公楼二楼的带宽从100M扩充到2G，该两处电脑访问服务器和其他网段的带宽提高了20倍，已可以满足集中管理的要求，但因对双绞线线路未改造，所以对本网段的防问速度应该和现在相当。
2、网络安全性大大提高
    （1）本次改造引入了专业的防火墙，避免了非法访问和DOS、Ddos攻击，对外网的访问进行控制，从而提高的内网的安全性；同时该防火墙提供带宽管理的功能，可以对有限的带宽进行分配，避免造成业务数据被堵塞的风险；该防火墙具有40M的VPN速率交换，使出差用户远程可以安全访问内网。
    （2）本次改造部署了趋势科技的网络防病毒，可以有效的抵制病毒的侵害，而且该产品提供一个统一的管理平台，使系统管理员能随时定位企业病毒的所在，从而提高反病毒的效率。
    （3）本次改造导入了数据备份的制度，使贵公司的关键数据更加安全。
3、网络管理方便性大大提高
    （1）、本次将目前的工作组模式改造成Windows Server 2003的Active Directory的管理模式，必将大大提高系统管理的方便性和安全性
    （2）、使用AD的方式，也将使Exhange Server 2003的管理更加方便。