最详细的企业网络系统搭建方案(包括管理制度方案)教学文稿 下载本文

一、网络对办公环境造成的危害

随着Internet接入的普及和带宽的增加,一方面员工上网的条件得到改善,另一方面也给公司带来更高的网络使用危险性、复杂性和混乱,内部员工的不当操作等使信息维护人员疲于奔命。网络对办公环境造成的危害主要表现为:

1. 为给用户电脑提供正常的标准的办公环境,安装操作系统和应用软件已经耗费了信息管理中心人员一定的精力和时间,同时又难以限制用户安装软件,导致管理人员必须花费其50%以上的精力用于维护用户的PC系统,无法集中精力去开发信息系统的深层次功能,提升信息系统价值。

2. 由于使用者的防范意识普遍偏低,防毒措施往往不到位,一旦发生病毒感染,往往扩散到全网络,令网络陷于瘫痪状态,部分致命的蠕虫病毒利用TCP/IP协议的各种漏洞,使得木马、病毒传播迅速,影响规模大,导致网络长时间处于带毒运行,反复发作而维护人员。

3. 部分网站网页含有恶意代码,强行在用户电脑上安装各种网络搜索引擎插件、广告插件或中文域名插件等,增加了办公电脑大量的资源消耗,导致计算机反应缓慢;

4. 个别员工私自安装从网络下载安装的软件,这些从网络上下载的软件安装包多数附带各种插件、木马和病毒,并在安装过程中用户不知情的情况下强行安装在办公电脑上,增加了办公电脑大量的资源消耗,导致计算机反应缓慢,甚至被远程控制;

5. 局域网共享,包括默认共享(无意),文件共享(有意),一些病毒比如ARP通过广播四处泛滥,影响到整个片区办公电脑的正常工作;

6. 部分员工使用公司计算机上网聊天、听歌、看电影、打游戏,部分员工全天24小时启用P2P软件下载音乐和影视文件,由于flashget、迅雷和BT等软件并发线程多,导致大量带宽被部分员工占用,网络速度缓慢,导致应用软件系统无法正常开展业务,即便是严格的计算机使用管理制度也很难保障企业中的计算机只用于企业业务本身,PC的业务专注性、管控能力不强。

二、网络管理和维护策略

针对以上这些因素,我们可以通过域服务器来统一定义客户端机器的安全策略,规范,引导用户安全使用办公电脑。

域服务器的作用

1.安全集中管理 统一安全策略

2.软件集中管理 按照公司要求限定所有机器只能运行必需的办公软件。 3.环境集中管理 利用AD可以统一客户端桌面,IE,TCP/IP等设置

4.活动目录是企业基础架构的根本,为公司整体统一管理做基础 其它isa,exchange,防病毒服务器,补丁分发服务器,文件服务器等服务依赖于域服务器。

建立域管理

1,建立域控制器,并规定所有办公电脑必须加入域,接受域控制器的管理,同时严格控制用户的权限。汕尾发电厂的员工帐号只有标准user权限。不允许信息系统管理员泄露域管理员密码和本地管理员密码。

在如今各种流氓插件、广告插件、木马和病毒霸道横行的网络环境中,普通员工只具备标准的power user权限,实际上是对公环境有效的保护。

办公PC必须严格遵守OU命名规则,同时实现实名负责制。指定员工对该PC负责,这不但是固定资产管理的要求,也是网络安全管理的要求。对PC实施员工实名负责是至关重要的,一旦发现该员工电脑中毒和在广播病毒包,信息系统管理员能准确定位,迅速做出反应,避免扩大影响。

2:PC维护包干到户。

管理员在实际工作中可能存在拿本地管理员权限作为人情,这其实是一种自杀行为。任何一个具备管理管理员权限的员工,即使是管理员,使用Administrator权限上网,稍有不慎,便掉入网络陷阱。为避免这种情况,对PC维护人员,采取区域包干到户的管理,同时区域负责人的域用户帐号具备该区域内所有办公电脑本地管理员的权限;如果区域负责人他愿意增加本地电脑管理员权限,增加的风险和工作量将由他自己承担。所有办公电脑的本地管理员密码由域控制器负责人掌握、设定或变更。

3:在防火墙上只开放常用或业务系统需要的端口,如80、25、21、110、443,其它端口一律封锁,有效实施对P2P和BT软件的封锁。

4:接入网络的计算机必须接受信息中心的管理。通过在防火墙上设置相关的策略,允许经信息中心核准的某些IP组可以在本机上直接访问Internet,或某些IP组只能连接局域网的应用服务器,对于不遵守OU命名规则的机器IP和没有经过信息系统管理员授权的机器IP,不允许访问Internet和Intranet,只能单机使用。

5:建立WSUS服务器。WSUS是微软推出的免费的Windows更新管理服务,目前最新版本除了支持Windows系统(Windows 2000全系列、Windows XP全系列和Windows server 2003全系列)的更新管理外,还可以支持SQL Server、Exchange 2000/2003、Office XP/2003等系统的更新管理,并且在以后,WSUS将实现微软全系列产品的更新管理。在域服务器上通过组策略设定客户端PC的自动更新服务,。

6:建立防病毒服务器(比如诺顿),通过防病毒及时更新计算机的病毒库,增强整体的病毒抵御能力,及时消灭网内病毒。

7:启用组策略。检查用户的计算机是否具备了相应的安全策略。只有符合相应的安全策略的计算机才允许访问外部网络,不具备相应安全条件的用户计算机,不允许上网。这样从根本上提高了企业用户计算机的安全性,减少了企业用户遭受蠕虫、病毒、木马以及间谍软件的风险。

8:主干设备上做数据过滤,屏蔽掉非办公应用的数据流。

9:使用DameWare NT Utilities软件进行远程维护,实现快速的维护响应。

10:借助于入侵检测防御系统,使得管理员可以根据记录进行统计分析,发现有潜在危险的办公计算机,可以有针对性地进行预防性检查。

整体规划:最上面是单域zhongyu.com 下面创建OU:zydx Zydx下面创建以下几个OU Groups:这里是所有的部门 Users:这里是所有用户

Servers:服务器群,比如病毒服务器,补丁分发服务器,isa服务器 Mobiles:所有的移动电脑 Workstations:所有工作站

It:特殊组,一些管理员和特殊用户。

不同部门可以设置不同安全策略,以满足不同部门的办公需求,通用策略可以设置在根域上,特殊权限在不同部门分别做策略。用户及名称规划

所有用户均用工号及密码来登录域环境,域的加入可以做一个加入域的批处理,用户通过输入自己的用户名和密码既可登录到域服务器。

所有接入电脑必须严格遵守OU命名规则,即电脑名必须改为部门加工号,比如电脑部易小辉,则其计算机名为:dnb236294。当我们通过一些软件找到病毒机器时可以通过电脑名称快速定位电脑位置,通过工号可以及时联系责任人进行处理。

各部门用户加入各部门的组,便于用户管理及根据部门进行不同的策略设置

计算机帐户中删除多余用户,仅保留域用户及administrator,重命名管理员帐户,并且强制统一管理员密码,以便日后维护。

用户权限及策略规划

所有用户初始权限为power user 能正常访问本地所有资源,受限安装软件,禁止用户修改注册表,禁止修改TCP/IP,禁止修改计算机设置。

常用软件可以用软件分发来做,个别用户的特殊软件可以远程安装。近期使用计算机指派,文件服务器共享等方式,远期使用SMS.

具体的实施

具体技术方案包括: 1,需求收集。