信息化基础建设合理化意见.docx

集团网络建设合理化建议 9 / 9集团网络建设合理化建议IT管理部韦江洲2012年6月7日目录1 IT运维现状描述31.1 网络基础31.2 服务器与客户端：31.3 信息安全32 集团网络管理现状所出现的问题43 IT管理部提出的解决方案54 建议在集团中部署AD管理。74.1 硬件需求74.2 网络需求84.3 部署时间及工作计划85 AD部署计划安排86 其他附件96.1 集团的网络详细部署方案详96.2 集团部署AD的必要性91 IT运维现状经一段时间的了解，现对集团的IT运维状况做一简单描述：1.1 网络基础 核心业务：集团各公司需要访问OA管理系统、财务管理系统。 布线系统：集团办公楼、各分公司、项目组都未实现规范化的办公网络架构，目前仍主要采用简单的ADSL接入加hub/switch为附近的电脑提供接入。（除南益集团拥有一个4M光钎接入。但核心交换机也属快速交换机） Internet接入：主要还是采用ADSL2M-4M接入。 外网部署：对外开放5:8080为OA提供外网接入。1.2 服务器与客户端： 目前1台HP（塔式）服务器，OA与U8公用。 客户端大部分使用GHOST的winxp系统，无法确定电脑上已安装的软件情况、无法确定系统补丁安装情况。1.3 信息安全 客户端电脑未安装统一的网络防病毒软件，部分安装有360、金山毒霸等个人版的杀毒软件，具备一定的防病毒能力。2 集团网络管理现状出现的问题1、 OA服务器部署在南益集团，集团总部及各下属集团、分公司需通过互联网访问OA系统的方式受HTTP技术所限，连接速度和数据安全完全得不到保证。2、 各汇聚点的布线系统混乱，机房中无配线架也未做任何标记，查线困难。3、 电脑没有进行统一的权限管理，电脑使用者对电脑系统有完全的控制权限，用户可从网上下载程序并安装到电脑上使用。不恰当的软件使用会造成电脑系统不堪使用、系统不稳定、病毒肆虐等不良后果。这些不良后果必将大大增加IT维护人员的工作量，同时也降低了员工工作效率，乃至会因为盗版因素而导致工厂遭受巨大的法律风险。4、 没有统一的防杀毒软件，即使安装360、金山毒霸等杀毒软件，但此类针对个人用户的软件对计算机系统的设置有较大的改变，特别是因用户对计算机系统的了解有限，会禁用一些必要的服务，因此不太适合在企业环境中使用。5、 应用结合不紧密，如果每个应用系统都有一套独立的登录验证体系，当管理系统体系日益完善后，必将带来管理上的不便。6、 缺乏标准的电脑命名，用户的命名规则和网络资源等的命名规范则基本没有。7、 缺乏对服务器和域的安全体系的考虑。8、 没有有效及规范的安全管理措施：如禁止在公司机器上玩电脑游戏，及使用一些非法软件，对一些资源的权限控制没有有效手段。9、 没有明确使用者和IP地址的对应关系。当网络出现故障时，IT维护人员无法快速定位故障源，从而导致网络很难及时恢复正常使用。10、 地址分配混乱，服务器IP地址和用户IP地址混杂、用户IP地址未按一定规则划分。11、 Windows操作系统的自身BUG需要IT维护人员不定期的更新微软发布的各类补丁，而当前的电脑系统一般无法自动更新，即使能够更新，全厂的电脑如果都从Internet上下载补丁也必将大大消耗带宽资源。3 IT管理部提出的解决方案为实现工厂的信息化管理这一战略部署，结合当前及未来一段时间内的信息化建设需求，建筑良好的网络环境，我们因着手解决以上问题，通过对网络的重新规划和部署，以实现以下目标：1、 建设集团私有网络连接，将所有子集团、分公司的电脑纳入局域网和VPN中，实现统一的联网业务且提高信息安全性。2、 统一规划IP地址的分配，通过VLAN技术将网络逻辑上细化为多个相对较小的网络，按照职能部门、地域范围等方式进行划分。3、 通过部署AD，来实现全厂统一的便于实现网络资源（文件及打印共享）的控制管理、可靠的软件分发、补丁升级、桌面环境和安全策略的控制等功能，以降低IT的维护成本。另外基于AD的复制功能，可轻易的实现域的扩展，为今后实施进一步的信息应用奠定基础，从而满足集团未来发展的需要。4、 部署DNS、DHCP、WINS等服务，建立高可用性、高可靠性和安全的企业网络应用架构。5、 对用户的电脑权限进行限制，正确引导用户使用电脑，从而提高工作效率。6、 部署SSLVPN接入功能，使用户在局域网外轻松访问经过授权的网络资源。7、 建议部署上网行为管理系统，控制员工的上网时间以及上网行为8、 建议部署统一的企业版杀毒软件，如officescan、诺顿SEP等。4 建议在集团中部署AD管理。通过在windows server 2003（或2008 R2）上安装活动目录系统，创建单域环境。并启用DNS、DHCP、WINS、WSUS等应用。从而实现单一用户名登录及组策略等管理体系。4.1 硬件需求：作为集团的核心信息系统，必须确保AD域控制器能够稳定运行，因此需要部署两台服务器，其中一台作为主域控制器（DC），仅为用户提供域认证、DNS、DHCP、WINS等服务用。另外一台作为备份域控制器（BDC），与DC实时同步，确保DC在出现故障时能为用户提供登录认证服务。为提高服务器的利用率，可以考虑在 BDC 服务器上部署一些应用，如文件服务、WSUS等。设备名称建议配置数量主域控制权IBM X3650M3CPU:Intelxeon CPU 5640*1内存4G*2硬盘SAS 142G*3 RAID5GigaEthnet、DVD、600W、导轨、3年有限服务1备份域控制器IBM X3650M3CPU:Intelxeon CPU 5620*1内存4G*2硬盘SAS 300G*3 RAID5GigaEthnet、DVD、600W、导轨、3年有限服务14.2 网络需求：稳定可靠的网络环境。4.3 部署时间及工作计划：5 AD部署计划安排序号项目时间周期责任人备注1拟写方案文档一周韦江洲2备份域服务器采购韦江洲3安装测试AD系统一个月韦江洲、林萧、刘克俭收集各客户端的常用软件。在非正式应用环境中进行AD、文件系统、客户端电脑等方面