项目计划书企业整体网络的管理及安全方案设计书.docx
《项目计划书企业整体网络的管理及安全方案设计书.docx》由会员分享,可在线阅读,更多相关《项目计划书企业整体网络的管理及安全方案设计书.docx(19页珍藏版)》请在冰点文库上搜索。
项目计划书企业整体网络的管理及安全方案设计书
企业整体网络的管理及安全设计
工程计划书
文档信息:
文档名称
企业整体网络的管理及安全设计-工程书
描述
本文档概括性地介绍工程的背景和场景,并简要地描述了本工程所实现的功能。
负责人
状态
第一版
审核结果:
审核人
意见
签名档
1工程背景介绍
1.1前言
网讯通信系统控股有限公司(以下简称网讯通信)系国内知名企业,纳斯达克上市公司,是一个集研发、生产、销售及服务于一体的现代移动通信设备专业厂家。
主要产品包括移动基站设备及其配套使用的天线等。
识饒鎂錕缢灩筧嚌俨淒。
网讯通信的IT团队的管理任务相当繁重。
系统管理员和操作员必须管理中国内地3大分公司及18个办事处、代表处的超过600台PC,超过100台服务器,拥有自己对外的邮件服务器和网站服务器,在未来2到3年内,这个数字可能还会成倍增长。
凍鈹鋨劳臘锴痫婦胫籴。
虽然网讯通信目前这种分散的组织结构给予了属下每家商业机构充分的决策灵活性,使得它们更加容易与客户建立紧密的联系。
但是与此同时,要想以具有竞争力的价格为全球市场提供以客户为中心的、广泛的产品、解决方案和服务,各商业机构之间以及各区域之间的协作就成了一个至关重要的问题。
恥諤銪灭萦欢煬鞏鹜錦。
目前,网讯通信的信息技术基础结构还是非集中式,每个商业机构管理它自己的IT网络,这些网络都是基于WindowsServer操作系统。
有必要将这些分散的IT基础结构整合成一个整体的企业级网络,以便共享公共目录、架构、配置和全局目录,并在此基础上,提供企业内信息交流和沟通的平台。
鯊腎鑰诎褳鉀沩懼統庫。
同时,在商业竞争无比激烈的今天,任何规模的企业都需要保护重要的数字化信息,以避免由于疏忽引起的误操作或者被他人恶意利用。
此外,信息窃取行为的不断增多也使得如何更好地保护企业数字信息这一需求变得更为强烈。
现在,随着使用计算机来创建和处理敏感信息的情况越来越多,通过企业内部网络和公共网络扩大连接也日益普及,并且计算设备的功能也愈来愈强大,这一切都使得保护企业信息和数据成为企业商务活动中的一项艰巨且长久的任务。
硕癘鄴颃诌攆檸攜驤蔹。
网讯通信对如何对这样一个大而分散的基础架构中的所有系统进行管理十分关心。
IT团队需要一个能快速确定问题所在并对问题做出快速响应,或者完全避免出现问题的机制。
阌擻輳嬪諫迁择楨秘騖。
所以,网讯通信希望能够所有的商业机构的网络进行整合,员工不仅可以通过整合后的平台便利的进行信息沟通,访问互联网,而且可以透明地访问所有的公司资源。
当然,这一切需要在确保安全的前提下获得。
同时,如何有效的管理大规模的、不断扩展的网络,也是最重要的要求之一。
氬嚕躑竄贸恳彈瀘颔澩。
这一工程已经被立项,并拨备了足够了资金。
1.2组织结构
网讯通信总部设在上海外滩,并在成都和广州拥有另外2家分公司,在全国省会级城市拥有18个代表处。
员工总数约2000人。
釷鹆資贏車贖孙滅獅赘。
1)上海总部——商务中心(400人)
∙行政部
∙人力资源部
∙管理部
∙公共关系部
∙固定资产部
∙财务部
∙IT总部
∙市场部
∙销售部
∙法律事务部
2)成都分公司——制造基地(1000人)
∙制造A厂
∙制造B厂
∙销售市场部
∙售后服务部
∙质量控制部
∙采购部
∙仓储中心
∙物流中心
∙IT管理部
3)广州分公司——研发基地(600人)
∙无线通信研究所
∙动力研究所
∙数据通信研究所
∙交换设备研究所
∙3G研发中心
∙总工室
∙IT管理部
4)代表处(售后服务网点):
平均规模约20人,共18家,总数约400人
1.3网讯通信公司现有的问题
网讯通信从1992年成立至今,经历了一个飞速的发展过程,特别在是20世纪90年代末的手机普及狂潮中,网讯通信以全面国产化的质优价廉的产品,和本地化的服务,击败了强大的国外竞争对手,一跃成为业界领先企业。
公司营业额在最近5年间增长了12倍,目前在国内的主要大城市都有分公司和代表处,基于上述的业务增长,员工人数也增加到目前超过2000人。
怂阐譜鯪迳導嘯畫長凉。
但是公司的急速扩张也造成了公司IT管理部门的巨大工作压力。
同时,各公司原本相对松散和独立的运作方式,在提高商业灵活性的同时,也造成了IT管理的分散。
目前,每个分公司都有自己的IT部门,负责管理本地区的一切事务,整个企业集团内部的网络仅仅是“连通”,而资源尚未做到共享。
广州分公司建立了自己的基于开放源代码系统的邮件服务器,但是只能做到勉强运行,而另外两个分公司,则选择了租借商用电子邮件供应商的服务。
谚辞調担鈧谄动禪泻類。
在和公司管理层相关人员的沟通和交流中,你了解到:
“作为IT总部,我们目前的最重要的工作是维护企业集团的生产管理系统,这是一个老旧的基于C/S架构的系统。
我们迫切需要建立企业内统一的目录平台。
”嘰觐詿缧铴嗫偽純铪锩。
“同时,Windows平台易用和高效,同时提供了我们企业所需要的一切网络服务解决方案,我希望在Windows平台上建立我们的“操作标准”,降低成本,提高效率。
”熒绐譏钲鏌觶鷹緇機库。
“用户需要没有障碍的访问所需资源,包括Internet,这很容易做到,但是同时,如何抵御病毒和入侵,提供安全和可管理的Internet访问,则是非常大的挑战。
我们需要在我们新的网络架构中对此有充分考虑。
我们目前的硬件防火墙在管理用户访问Internet上功能欠缺,只是用来保护我们对Internet开发的Web服务器而已,而且WEB服务器和邮件服务器现在还是主要利用外部租用的服务器,我们计划在最短时间内部署和完成企业网站和企业邮件服务器都有自己进行管理和维护。
”鶼渍螻偉阅劍鲰腎邏蘞。
“我们需要包括整个企业集团的邮件和协作系统,ExchangeServer能够满足我们的要求,我们希望解决方案可扩展、性能优化、并且易于管理和维护。
”纣忧蔣氳頑莶驅藥悯骛。
“我们需要一个可靠、稳定、安全的IT解决方案。
同时,IT管理要有灵活性,虽然我们希望能够从总部管理整个网络,拥有良好的备份和恢复方案,同时希望能够对系统有相关系统监视方案,而且如果需要,还应该能够将管理权限委派给分公司的管理员。
”颖刍莖蛺饽亿顿裊赔泷。
1.4解决方案
网讯通信公司决定使用MicrosoftWindowsServer2003作为主要的网络服务器解决方案,通过选择WindowsServer2003,网讯通信公司希望拥有了一个冗余的、可伸缩的,并且可以很容易管理的解决方案,非常方便用户内部管理和减轻IT部门的负担,同时利用WindowsServer2003提供的组策略功能用来解决日常管理存在的问题。
濫驂膽閉驟羥闈詔寢賻。
在新的一年,网讯通信公司希望藉此机会来部署企业的邮件方案来保证内外网络系统的安全,并作一个安全评估及风险评定,进面采取一些有效的措施来提高整个系统的安全及管理的高效性,希望利用WindowsServer2003提供的软件限制功能防范常见的公司内部安全问题,从而使我们的员工着重于为客户提供质量更加可靠的理财方案。
銚銻縵哜鳗鸿锓謎諏涼。
1.5网讯通信系统控股有限公司IT部门针对网络部署的期望:
网讯通信系统控股有限公司IT部门针对此次系统部署也提出了自己的要求,具体要求如下:
⏹建立企业ActiveDirectory森林,并在整个企业范围内共享和访问信息充分利用域名服务器(DNS)的改进,诸如存根区域,以及条件转发等等,提供DNS部署的灵活和可靠性挤貼綬电麥结鈺贖哓类。
⏹用户账户,计算机账户,用户配置文件,共享文件资源进行有效管理,为员工提供最佳使用方式和减少IT部门的管理负担赔荊紳谘侖驟辽輩袜錈。
⏹针对共享文件夹有比较好的集中管理方案
⏹应用卷影副本(VolumeShadowCopying)功能,为用户文档创建多个副本,保护用户数据
⏹充分利用WindowsServer2003增强的组策略功能,管理用户桌面,以及协助用户更方便和更顺畅地访问应用程序、数据和设置。
包括限制用户运行特定应用程序,应用漫游环境配置文件和文件夹重定向功能塤礙籟馐决穩賽釙冊庫。
⏹针对现在比较流行的无线网络有比较好的安全集中管理方案
⏹利用InternetInformationServices6.0版本,通过主动式的应用程序健康监控、默认为锁定状态的安装和应用程序的自动回收,提供更智能、更安全和可靠的Web服务器环境裊樣祕廬廂颤谚鍘羋蔺。
⏹利用WindowsServer2003中技术提供一些免费解决方案,减少企业IT部门管理负担仓嫗盤紲嘱珑詁鍬齊驁。
⏹充分考虑企业的灾难恢复,我们会根据顾问的具体要求购买相关磁带机设备等
⏹考虑到目前病毒泛滥,希望能够相对应的解决方式
⏹能够应用通过IE进行远程管理服务器
⏹应用相关企业应用服务如DHCP和WINS服务器安装配置和管理
⏹防止信息泄密,需要配置相关服务器的安全验证
⏹希望能够尽可能减少企业机构之间的网络流量,同时保证用户正常快速的应用网络
⏹在企业网络部署和规划中,考虑到企业将来的发展
⏹考虑到企业网络运行中,通过服务器相关性能监视防范可能发生的问题
您作为一名专业的WindowsServer2003网络和系统顾问,请就网讯通信系统控股有限公司网络部署工程中提供技术支持和建议。
请根据网讯通信系统控股有限公司的现状和需求,给出您的专业级解决方案。
绽萬璉轆娛閬蛏鬮绾瀧。
2工程的目的
为了解决上述问题,需要为网讯通信公司客户评价其目前的网络环境,并为其设计符合其企业发展目标,适应企业信息需求的网络服务器配置整合方案。
您作为网讯通信公司邀请的技术专家应邀来从事该项工作。
骁顾燁鶚巯瀆蕪領鲡赙。
你所在的小组主要是为网讯通信公司系统提供技术咨询,充分利用微软现有成熟技术,简化日常管理员负担,包括分析现有状况,根据提供的拓扑结构采用具体配置方案,同时需要把所有技术在微软的平台上验证之后,完善相关文档。
瑣钋濺暧惲锟缟馭篩凉。
3工程实施人员清单
工程经理1名(由教师担任)
工程执行经理1名(小组负责人)
风险评估顾问1名
信息技术顾问1名
系统管理员1名
每个角色的职责定义如下:
工程经理:
教师作为工程经理,为学生给出一个整体的工程实施计划,包括所有的六个阶段的任务目标,进度安排,工程小组每名成员的角色定义,同时在工程进行过程中提供指导和技术支持,在阶段任务和工程结束时对工程小组和小组成员进行评价和评分。
鎦诗涇艳损楼紲鯗餳類。
工程执行经理:
作为工程执行经理,需要带领工程小组成员对案例进行深入研究和任务分析,明确其他成员的角色分工,督促小组成员积极参与到工程中来,汇总工程进行中的问题,报告工程进度,配合教师完成评价和评分。
栉缏歐锄棗鈕种鵑瑶锬。
风险评估顾问:
负责主导风险评估阶段,主持讨论,汇总信息,掌握和扩展安全评测工具的使用知识,并传递给小组其他成员。
负责书写《网络服务器部署》这样的文档。
辔烨棟剛殓攬瑤丽阄应。
信息技术顾问:
负责主导安全设计阶段,主持讨论,汇总信息,掌握和扩展网络服务器设计构成,安全技术选择的知识,并传递给小组其他成员。
负责完成书写《学生手册》这样的文档。
峴扬斕滾澗辐滠兴渙藺。
系统管理员:
负责主导网络服务器配置阶段,主持讨论,汇总信息,并进行网络服务器配置的操作。
注意:
对于风险评估顾问和网络服务器设计顾问,职责的重要方面包括本阶段涉及知识的“扩展”和“传递”。
“扩展”的方法包括阅读参考资料,进行课后实验等,“传递”的方法包括为小组其他成员补充相关知识,列出参考书目或者链接,描述课后实验的进行结果等。
詩叁撻訥烬忧毀厉鋨骜。
4采用的技术和方法
通过本案例,为学生提供在中小型企业环境中进行网络服务器部署的方法和具体配置步骤。
本案例中涉及的知识点主要分为网络框架分析、网络服务器部署、网络服务器配置、微软产品整合具体的技术实施细节。
。
则鯤愜韋瘓賈晖园栋泷。
本案例中涉及的知识点主要分为WindowsServer2003安装与配置、WindowsServer2003ActiveDirectory相关设置和服务器整合配置。
具体涉及的知识点与采用的技术如下:
胀鏝彈奥秘孫戶孪钇賻。
本方案对应知识点:
✓WindowsServer2003服务器规划
✓对WindowsServer2003网络的主要特点和适用环境有一个明确的认识;
✓掌握管理WindowsServer2003网络的基本技能,如账号的管理、资源的管理、权限的控制和磁盘的管理等;鳃躋峽祷紉诵帮废掃減。
✓掌握WindowsServer2003中几个主要网络服务(如DNS、WINS、DHCP)的功能和配置方法;稟虛嬪赈维哜妝扩踴粜。
✓对活动目录有一个明确的认识,并初步具备规划、设计和实施一个基于WindowsServer2003的中、小型网络的能力;陽簍埡鲑罷規呜旧岿錟。
✓掌握WindowsServer2003组策略的主要功能(重点在安全,无线网络,以及IE安全配置等方面);沩氣嘮戇苌鑿鑿槠谔應。
✓掌握管理活动目录的基本技能,如站点的管理、操作主机的管理、活动目录的备份和恢复等
5工程网络拓扑
6工程实验环境安排
本案例分为总部,分支机构和外部网络来实现,考虑到实验中无法连接到互联网中,我们要求在教室安装一台服务器充当DNS服务器角色。
其他具体实验环境要求请参考具体实验室布置手册。
钡嵐縣緱虜荣产涛團蔺。
7工程企业场景扩展
考虑到现有企业实际场景需求,教师带领学生完成工程实验时候应该提醒考虑防病毒规划,备份时磁带机选择等方面知识扩充。
懨俠劑鈍触乐鹇烬觶騮。
8工程实施安排
该工程分为五个基本阶段:
1)工程初始化,学生开始深入了解案例,教师会给予辅助介绍;
2)网络服务器设计,在掌握网讯通信公司的网络拓扑结构后,制订具体的网络服务器实施方案;
3)网络服务器配置,完成网络服务器实施方案的具体配置;
4)系统安全配置,完成服务器和工作站安全配置;
5)工程回顾和总结。
阶段一:
教师向学生介绍课程基本情况,进度安排,然后概述案例,并提示技术重点。
接下来进行分组,选定小组负责人,小组成员相互介绍,进行角色分工。
随后的每个任务,分别由相应的角色扮演者进行主导,并负责实施,组织小组成员共同参与完成。
謾饱兗争詣繚鮐癞别瀘。
阶段二:
学生讨论方案实施的具体方法。
阶段三:
学生讨论方案涉及的领域,学习分析报告,进行技术选择,尝试书写网络服务器设计。
阶段四:
学生通过亲自进行操作实验,掌握网络服务器配置的具体实施。
阶段五:
对工程进行一次总结,对涉及到知识点进行适当的展开讨论,评估和评价学生的成绩。
在每个任务以及阶段任务完成后应该有个总结,再开始下一阶段的工作,这由工程执行经理负责组织,并向教师汇报。
呙铉們欤谦鸪饺竞荡赚。
每一阶段的任务都包含与之相应的测试工作,以确保在开始下一阶段任务开始前,前一阶段的工作已顺利完成。
同时,在每一阶段任务的实施过程中,同样也要注意次序问题。
莹谐龌蕲賞组靄绉嚴减。
8.1工程初始化
在工程的第一阶段,教师向学生介绍案例和课程进度安排。
教师向学生说明,该案例要考察的内容和涉及的知识点,并强调掌握网络服务器设计的流程和掌握安全技术的实施同样重要。
麸肃鹏镟轿騍镣缚縟糶。
向学生说明工程的任务组成,在每一个任务,学生要完成的目标是什么。
给出工程执行时间表。
教师学将学员分组,指定小组成员的角色,说明每一种角色的职责。
小组负责人组织小组成员进行案例讨论。
8.2网络评估
在第一阶段的任务完成后,在第二阶段学习网络评估的流程和方法。
1、信息收集
仔细阅读案例,并使用表格记录和整理以下内容,案例中未明确提供的信息,请注明“未知”。
企业信息:
企业名称
业务范围
地理分布
员工数量
组织结构
管理模式
预期的增长或重组
网络:
物理拓扑结构
网络设备
逻辑网络划分(活动目录结构)
局域网结构
广域网结构
远程访问
互联网接入
网络协议类型
主要网络流量
网络服务器和入侵检测系统
主机:
服务器数量,名称,用途,分布
服务器操作系统及版本
用户身份验证方式
工作站数量,用途和分布
工作站操作系统及版本
操作系统补丁部署
防病毒部署
计算机安全管理
安全管理:
企业安全策略和声明
物理安全管理
员工安全培训
安全响应机制
安全需求和满足程度
2、整理信息。
8.3网络服务器方案设计
完成第二阶段的安全评测后,进行网络服务器方案设计。
1、制定网讯通信公司企业内ActiveDirectory规划和网络服务器的规划;
2、制定网讯通信公司企业内网络服务器配置;
3、制定相关网络服务器管理规则和制度;
8.4网络服务器配置
在该阶段,对网络服务器进行相关配置:
在该阶段,对网络服务器进行相关配置:
●WindowsServer2003服务器规划:
1)案例熟悉,准备相关知识点
●WindowsServer2003服务器安装和基本管理配置
1)安装WindowsServer2003;
2)活动目录配置;
3)配置使用WindowsUpdate进行补丁更新;
4)安装管理工具
5)站点管理操作
6)操作主机角色操作
7)森林功能级别操作
●配置DHCP和WINS服务器
1)安装和配置DHCP服务器和WINS服务器
2)通过性能和监视针对DHCP服务器进行监视
●文件服务器的创建和管理
1)实现分布式文件系统
2)管理共享打印机,并实现打印机位置
3)配置卷影副本
4)磁盘配额设置
●无线网络管理和配置
1)无线网络相关安全设置
●DNS服务器配置
1)实现ACTIVEDIRECTORY集成的区域和安全动态更新
2)创建企业网站服务器记录
●证书服务器管理和配置
1)安装和设置证书服务
2)用SSL实现安全通讯
●企业网站服务器管理和配置
1)企业网站服务器安装和基本配置
2)管理应用程序池
3)配置网站的身份验证
●利用组策略进行企业集中管理
1)用组策略实现对用户桌面的管理
2)用组策略实现安全设置
3)用组策略实现软件分发
4)用组策略配置无线网络;
5)使用组策略限制软件的运行
6)组策略管理控制台使用
●企业重要信息备份恢复与性能监视
1)活动目录的备份和恢复
2)能够进行相关系统监视,从而及早发现问题
●企业部署和规划
1)针对企业需求选择相关第三方产品和使用微软内置服务满足将来需求
8.5网络服务器安全检测
在完成对网讯通信公司整体部署之后,建议使用MBSA进行安全检测,检查是否存在安全隐患。
8.6工程回顾和总结
把最终完成的网络服务器设计,与网讯通信公司最初期望的解决方案进行对比,看是否完全解决了所有的问题。
与你的同学讨论该工程进行中遇到的问题,以及出现该问题的原因。
把遇到的不能解决的问题提出来,从同学或者教师那里得到答案。
納畴鳗吶鄖禎銣腻鰲锬。
使用安全评测工具,MBSA。
在小组实验用计算机上安装并运行该工具,在全部网络服务器部署完成后,对实验计算机进行安全评测,阅读其输出结果,了解输出内容的具体含义,并将评测结果进行保存。
風撵鲔貓铁频钙蓟纠庙。
在该阶段,教师会对每个小组的工程进行情况进行评价,对小组成员完成任务的成绩进行评分。
9工程验收标准与方式
9.1网络评估
●信息收集完整,涵盖了所要求的所有方面
●报告书完整,包含了要求的信息
●报告书中完整描述了企业现状,能够详细描述企业内部拓扑结构和微软服务器状况
9.2网络服务器设计
●正确反映了公司拓扑状况
●管理小组包含成员恰当
●风险分析正确
●设计的网络服务器方案完整,涵盖了所有要求的领域
●设计的网络服务器解决方案能够满足网讯通信公司将来的发展方向,同时同现有微软产品有机的结合起来
9.3网络服务器配置
在该阶段,对网络服务器进行相关配置:
●WindowsServer2003服务器规划:
2)案例熟悉,准备相关知识点
●WindowsServer2003服务器安装和基本管理配置
8)安装WindowsServer2003;
9)活动目录配置;
10)配置使用WindowsUpdate进行补丁更新;
11)安装管理工具
12)站点管理操作
13)操作主机角色操作
14)森林功能级别操作
●配置DHCP和WINS服务器
3)安装和配置DHCP服务器和WINS服务器
4)通过性能和监视针对DHCP服务器进行监视
●文件服务器的创建和管理
5)实现分布式文件系统
6)管理共享打印机,并实现打印机位置
7)配置卷影副本
8)磁盘配额设置
●无线网络管理和配置
2)无线网络相关安全设置
●DNS服务器配置
3)实现ACTIVEDIRECTORY集成的区域和安全动态更新
4)创建企业网站服务器记录
●证书服务器管理和配置
3)安装和设置证书服务
4)用SSL实现安全通讯
●企业网站服务器管理和配置
4)企业网站服务器安装和基本配置
5)管理应用程序池
6)配置网站的身份验证
●利用组策略进行企业集中管理
7)用组策略实现对用户桌面的管理
8)用组策略实现安全设置
9)用组策略实现软件分发
10)用组策略配置无线网络;
11)使用组策略限制软件的运行
12)组策略管理控制台使用
●企业重要信息备份恢复与性能监视
3)活动目录的备份和恢复
4)能够进行相关系统监视,从而及早发现问题
●企业部署和规划
2)针对企业需求选择相关第三方产品和使用微软内置服务满足将来需求
9.4网络服务器安全检测
完成对网讯通信公司整体网络部署之后建议使用MBSA进行安全检测,看是否存在安全隐患。
9.5交付文档列表:
●WindowsServer2003案例任务分配表;
●评分表;
●任务报告书;
●文档报告书;
●工程计划书
●学生参考手册
●教师参考手册
●实验环境参考手册
升级会员 