首页 > 范文大全

企业网络安全整体解决方案

时间：2022年12月11日

来源：Yue

编辑：本站小编

收藏本文

下载本文

下面小编给大家带来企业网络安全整体解决方案，本文共10篇，希望能帮助到大家!本文原稿由网友“Yue”提供。

篇1：企业网络安全整体解决方案

瑞星公司是目前中国最大的提供全系列反病毒及信息安全产品的专业厂商，软件产品全部拥有自主知识产权，现拥有一系列成熟高效的信息安全产品，

瑞星信息安全产品包括：瑞星杀毒软件单机版/网络版、瑞星防火墙产品、瑞星防毒墙产品、瑞星网络安全预警系统。

从低端到高端，满足不同用户的需求，能够简单、快捷地实现整个网络的安全架构。

三、选用产品

瑞星网络版杀毒软件企业版

瑞星防毒墙

瑞星网络安全预警系统

篇2：企业网络安全整体解决方案

1.安全的网络边缘防护

瑞星防毒墙可以根据用户的不同需要，具备针对HTTP、FTP、SMTP和POP3协议内容检查、清除病毒的能力，同时通过实施安全策略可以在网络环境中的内外网之间建立一道功能强大的防火墙体系，不但可以保护内部资源不受外部网络的侵犯，同时可以阻止内部用户对外部不良资源的滥用。

2.内部网络行为监控和规范

瑞星网络安全预警系统SDS-1000对HTTP、SMTP、POP3和基于HTTP协议的其他应用协议具有100%的记录能力,企业内部用户上网信息识别粒度达到每一个URL请求和每一个URL请求的回应。通过对网络内部网络行为的监控可以规范网络内部的上网行为，提高工作效率，同时避免企业内部产生网络安全隐患。

3.计算机病毒的监控和清除

瑞星网络杀毒软件是一个专门针对网络病毒传播特点开发的网络防病毒软件，通过瑞星网络防病毒体系在网络内客户端和服务器上建立反病毒系统，并且可以实现防病毒体系的统一、集中管理，实时掌握、了解当前网络内计算机病毒事件，并实现对网络内的所有计算机远程反病毒策略设置和安全操作。

4.灵活的控制台和Web管理方式

瑞星的系列安全产品都提供控制台管理和Web管理两种方式，通过这两种管理方式管理员可以灵活、简便地根据自身实际情况设置、修改安全策略，及时掌握了解网络当前的运行基本信息。

5.强大的日志分析和统计报表能力

瑞星的系列安全产品对网络内的安全事件都作出详细的日志记录，这些日志记录包括事件名称、描述和相应的主机IP地址等相关信息。此外，报表系统可以自动生成各种形式的攻击统计报表，形式包括日报表，月报表，年报表等，通过来源分析，目标分析，类别分析等多种分析方式，以直观、清晰的方式从总体上分析网络上发生的各种事件，有助于管理人员提高网络的安全管理。

模块化的安全组合

本方案中使用的瑞星网络安全产品分别具有不同的功能，用户可以根据自身企业的实际情选择不同的产品构建不同安全级别的网络，产品选择组合方便、灵活，既有独立性有整体性。

从上面可以看出，只要在网关处安装防毒墙产品；在网络内部安装安全预警系统；在邮件系统上安装瑞星邮件防病毒系统；然后在整个网络中安装网络版杀毒软件，就能彻底解决企业网络的信息安全问题。

篇3：中小企业网络安全整体解决方案

中小企业用户的局域网一般来说网络结构不太复杂，主机数量不太多，服务器提供的服务相对较少，这样的网络通常很少甚至没有专门的管理员来维护网络的安全。这就给和非法访问提供了可乘之机。这样的网络使用环境一般存在下列安全隐患和需求：

计算机病毒在企业内部网络传播

内部网络可能被外部的攻击

对外的服务器（如：www、ftp等）没有安全防护，容易被攻击

内部网络用户上网行为没有有效监控管理，影响日常工作效率，容易形成内部网络的安全隐患

远程、移动用户对公司内部网络的安全访问

篇4：中小企业网络安全整体解决方案

瑞星公司针对中小企业的上述特点，利用瑞星公司的系列安全产品为中小企业量身定制一种安全高效的网络安全解决方案。

瑞星防毒墙RSW-1200是一款多功能、高性能、低价位的产品，它不但提供了对内部网络和对外服务器的保护、防止对这些网络的攻击，为远程、移动用户提供一个安全的远程连接功能，是中小企业网络安全的首选产品。

瑞星网络杀毒软件是瑞星自主开发的企业网络防病毒软件，通过“集中管理、分布处理”在中小企业内部的服务器和客户端同时部署杀毒软件共同完成对整个网络的病毒防护工作，为用户的网络系统提供全方位防病毒解决方案。

篇5：中小企业网络安全整体解决方案

安全的网络边缘防护

瑞星防毒墙可以根据用户的不同需要，具备针对HTTP、FTP、SMTP和POP3协议内容检查、清除病毒的能力，同时通过实施安全策略可以在网络环境中的内外网之间建立一道功能强大的防火墙体系，不但可以保护内部资源不受外部网络的侵犯，同时可以阻止内部用户对外部不良资源的滥用，

计算机病毒的监控和清除

灵活的控制台和Web管理方式

强大的日志分析和统计报表能力

模块化的安全组合

篇6：江民大型网络安全整体解决方案

随着互联网的发展和普及，计算机病毒的泛滥和危害十分严重，病毒的传播方式和破坏方式也越来越网络化，一旦病毒爆发，肯定会给企业网络系统带来很大损失，通过对病毒危害分析及风险评估，我们认为，病毒风险属于发生在概率大，一旦发生后破坏后果属于严重，其应对措施必须是避免并在实际风险发生后要尽快尽量减少风险的后果。江民杀毒软件KV网络版充分考虑了用户网络安全需要，设计了全新的KV网络版，部署简易，管理方便，使用简单，有足够的灵活性和扩充性。

《KV网络版》是为各种简单或复杂网络环境设计的计算机病毒网络防护系统，既适用于包含若干台主机的单一网段网络，也适用于包含各种Web服务器、邮件服务器、应用服务器，分布在不同城市，包含数十万台主机的超大型网络。《KV网络版》整个系统由控制中心、客户端、移动控制台三个子系统组成，各子系统相互关联、协同工作，构筑成一道安全的立体联动的防毒体系。

解决方案：

根据企业网络安全需求，江民公司为用户提供量体裁衣式的企业网络安全解决方案，具体如下：

●集中管理、统一控制：管理权限集中到控制中心，由网管进行全网统一操作，客户端无权停止控制中心的各种操作命令，未经授权无法卸载客户端，以保障整个系统防范的完整性和一致性；

●服务器保护终端保护邮件保护：即服务器端和客户端的病毒防杀，邮件和下载文件的实时监控，保护企业网络不受已知病毒侵扰；

●全网统一杀毒：网络管理员可以统一移动控制台发布全网统一杀毒或者针对某个组、单独某个客户端进行杀毒。

●全网统一升级：网络管理员可以统一移动控制台发布全网统一升级或者针对某个组、单独某个客户端进行升级。

●先进的体系结构：KV网络版采用了先进的分布式的体系结构，整个防病毒体系是由三个相互关联的子系统组成：控制中心、客户端、移动控制台，结构清晰明了，管理维护方便。

●超强的杀毒能力;KV网络版采用了结合内存杀毒技术、深层杀毒技术、智能广谱查毒技术和比特动态滤毒技术在内的病毒扫描引擎，可彻底查杀引导区病毒、文件型病毒、宏病毒、蠕虫病毒、木马程序、程序、恶意脚本等多种病毒，此外，KV网络版还可嵌入MicrosoftOffice、FlashGet、NetAnts、WinRAR和WinZip软件以及流行的即时通信工具（MSN、QQ、ICQ和雅虎通）软件中，对打开和下载的文件进行实时监控，

信息中心作为网络防病毒控制一级中心，也就是整个防病毒系统的司令部，主要负责对整个网络防病毒系统的管理、监督工作。管理上KV网络版采用中心负责，分级管理，单元区块分离管理。也就是说，在各二级中心服务器上安装子控制中心，对本单位区块之内的所有终端按照总控制中心的安全策略进行统一的部署分配。在一般情况下二级中心是它所在区块的管理单位，可以对本区块进行整体的查毒杀毒和特殊机器的特殊防毒部署。

总控制中心部署：

在信息中心服务器部署总控制中心作为专用的病毒防护一级管理中心，主要负责对下级子中心的管理，和中心重要服务器和办公机器的反病毒解决，监督每个下级子中心主机防病毒系统的升级情况.同时接收下级子中心上报的本中心内病毒发作统计信息，使总控制中心的管理员能够及时了解掌握整个网络内病毒发作情况，以便及时采取相应措施。

下级子控制中心部署：

根据各下级单位、办事处的具体情况，我们在网络中设立多个下级子控制中心，对应各个下级服务器，基本以每个下级单位作为一个下级中心。

每个下级系统中心负责管理一定数量的客户端和服务器，下级系统中心的划分可以按子网网段划分，也可以按计算机数量划分。每个下级系统中心配置一台专用服务器作为下级系统中心的管理者，实现本中心客户端和服务器的防病毒管理，并将本中心内病毒爆发情况的统计信息上报给总级系统中心的管理者。

网络病毒监控：

使用KV网络版，可以防范企业网络外部计算机中的病毒入侵和企业内部计算机病毒的泛滥，保证企业网络免受病毒的感染，维持网络数据的安全性和完整性。能够实时监控光盘、软盘、移动存储盘、局域网、互联网等病毒入口；KV网络版反病毒软件统一设置、管理、升级，为网内计算机构筑了一道防御病毒的“坚固长城”。

详尽的安全报告：

详细的记录每天系统安全的情况和具体的操作，从宏观和微观角度分别进行统计分析，管理员可以随时了解病毒的感染途径和疫情。以便制定和调整安全策略。

SOS病毒急救：

江民公司建立了24小时险情救助和灾难恢复体系，用本地化的服务，为企业的信息安全提供专家级的保护。

篇7：企业局域网网络安全解决方案

第一章总则

本方案为某大型局域网网络安全解决方案，包括原有网络系统分析、安全需求分析、安全目标的确立、安全体系结构的设计、等，本安全解决方案的目标是在不影响某大型企业局域网当前业务的前提下，实现对他们局域网全面的安全管理。

1.将安全策略、硬件及软件等方法结合起来，构成一个统一的防御系统，有效阻止非法用户进入网络，减少网络的安全风险。

2.定期进行漏洞扫描，审计跟踪，及时发现问题，解决问题。

3.通过入侵检测等方式实现实时安全监控，提供快速响应故障的手段，同时具备很好的安全取证措施。

4.使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态，最大限度地减少损失。

5.在工作站、服务器上安装相应的防病毒软件，由中央控制台统一控制和管理，实现全网统一防病毒。

第二章网络系统概况

2.1 网络概况

这个企业的局域网是一个信息点较为密集的千兆局域网络系统，它所联接的现有上千个信息点为在整个企业内办公的各部门提供了一个快速、方便的信息交流平台。不仅如此，通过专线与Internet的连接，打通了一扇通向外部世界的窗户，各个部门可以直接与互联网用户进行交流、查询资料等。通过公开服务器，企业可以直接对外发布信息或者发送电子邮件。高速交换技术的采用、灵活的网络互连方案设计为用户提供快速、方便、灵活通信平台的同时，也为网络的安全带来了更大的风险。因此，在原有网络上实施一套完整、可操作的安全解决方案不仅是可行的，而且是必需的。

2 .1.1 网络概述

这个企业的局域网，物理跨度不大，通过千兆交换机在主干网络上提供1000M的独享带宽，通过下级交换机与各部门的工作站和服务器连结，并为之提供100M的独享带宽。利用与中心交换机连结的Cisco 路由器，所有用户可直接访问Internet。

2.1.2 网络结构

这个企业的局域网按访问区域可以划分为三个主要的区域：Internet区域、内部网络、公开服务器区域。内部网络又可按照所属的部门、职能、安全重要程度分为许多子网，包括：财务子网、领导子网、办公子网、市场部子网、中心服务器子网等，

在安全方案设计中，我们基于安全的重要程度和要保护的对象，可以在Catalyst 型交换机上直接划分四个虚拟局域网（VLAN），即：中心服务器子网、财务子网、领导子网、其他子网。不同的局域网分属不同的广播域，由于财务子网、领导子网、中心服务器子网属于重要网段，因此在中心交换机上将这些网段各自划分为一个独立的广播域，而将其他的工作站划分在一个相同的网段。（图省略）

2 .2网络应用

这个企业的局域网可以为用户提供如下主要应用：

1．文件共享、办公自动化、WWW服务、电子邮件服务；

2．文件数据的统一存储；

3．针对特定的应用在数据库服务器上进行二次开发(比如财务系统)

；

4．提供与Internet的访问；

5．通过公开服务器对外发布企业信息、发送电子邮件等；

2.3 网络结构的特点

在分析这个企业局域网的安全风险时，应考虑到网络的如下几个特点：

1.网络与Internet直接连结，因此在进行安全方案设计时要考虑与Internet连结的有关风险，包括可能通过Internet传播进来病毒，攻击，来自Internet的非授权访问等。

。

2.网络中存在公开服务器，由于公开服务器对外必须开放部分业务，因此在进行安全方案设计时应该考虑采用安全服务器网络，避免公开服务器的安全风险扩散到内部。

3.内部网络中存在许多不同的子网，不同的子网有不同的安全性，因此在进行安全方案设计时，应考虑将不同功能和安全级别的网络分割开，这可以通过交换机划分VLAN来实现。

4.网络中有二台应用服务器，在应用程序开发时就应考虑加强用户登录验证，防止非授权的访问。

总而言之，在进行网络方案设计时，应综合考虑到这个企业局域网的特点，根据产品的性能、价格、潜在的安全风险进行综合考虑。

第三章网络系统安全风险分析

随着Internet网络急剧扩大和上网用户迅速增加，风险变得更加严重和复杂。原来由单个计算机安全事故引起的损害可能传播到其他系统，引起大范围的瘫痪和损失；另外加上缺乏安全控制机制和对Internet安全政策的认识不足，这些风险正日益严重。

篇8：网络安全解决方案

建立云桌面

云桌面对员工使用的是主机统一管理。根据级别划定操作权限，规定资料可否拷贝带走。病毒查杀和防范，改散养式为集中管理，统一防范、统一杀毒、统一升级。集中管理主机，避免个人误操作致电脑崩溃。

云桌面是由云平台主机和云终端组成。云平台主机的存在，使用者就不需自配备电脑主机，而是大家共用主机。云终端由软硬两部分组成，硬件类似固话机大小，鼠标和键盘链接上面。软件是统一登陆系统，输入账号和密码即可登陆云平台。

也是sohomo,smart office,home office,mobile office智能办公、家庭办公，移动办公的一部分。

组建安全网关办公网络

安全网关是利用硬设备和相应软件，消除和防范网络病毒。对恶意网站的自动过滤，防止Dos攻击和IPS入侵，对蠕虫病毒、邮件的检测和防范，对虚拟网络的保护，强大防火墙作用。

电脑访问互联网经过安全网关强制隔离。原理是利用安全网关接入外网，路由器接入到安全网关上面，电脑通过路由器上网。企业内部计算机资源与互联网的互通被安全网关区隔。

篇9：网络安全解决方案

一、前言

随着计算机技术、网络技术、通信技术的快速发展，基于网络的应用已无孔不入地渗透到了社会的每一个角落，信息网络技术是一把双刃剑，它在促进国民经济建设、丰富人民物质文化生活的同时，也对传统的国家安全体系、政府安全体系、企业安全体系提出了严峻的挑战，使得国家的机密、政府敏感信息、企业商业机密、企业生产运行等面临巨大的安全威胁。

政府各部门信息化基础设施相对完善，信息化建设总体上处于较高水平。由于政务网系统网络安全性与稳定性的特殊要求，建立电子政务网安全整体防护体系，制定恰当的安全策略，加强安全管理，提高电子政务网的安全保障能力，是当前迫在眉睫的大事。

本文以一个厅局级单位的网络为例，分析其面临的威胁，指出了部署安全防护的总体策略，探讨了安全防护的技术措施。

二、网络安全威胁分析

政府各部门的信息网络一般分为：涉密网、非涉密内网、外网，按照国家保密局要求，涉密网与外网物理断开。大部分单位建设有非涉密内网和外网。以某局级单位的内网为例，分析其潜在安全威胁如下：

局级政务网上与市政务网相联，下与区属局级单位相联;在本局大楼内，联接各处室、网络中心、业务窗口、行政服务中心等部门;对外还直接或间接地联到Internet。由于网络结构比较复杂，连接的部门多，使用人员多，并且存在各种异构设备、多种应用系统，因此政务网络上存在的潜在安全威胁非常之大。

如果从威胁来源渠道的角度来看，有来自Internet的安全威胁、来自内部的安全威胁，有有意的人为安全威胁、有无意的人为安全威胁。

如果从安全威胁种类的角度来看，有黑客攻击、病毒侵害、木马、恶意代码、拒绝服务、后门、信息外泄、信息丢失、信息篡改、资源占用等。

安全威胁种类示意图如下：

如果依据网络的理论模型进行分析，有物理安全风险、链路传输安全风险、网络互联安全风险、系统安全风险、应用安全风险、以及管理安全风险。

如下图所示：

三、总体策略

信息系统安全体系覆盖通信平台、网络平台、系统平台、应用平台，覆盖网络的各个层面，覆盖各项安全功能，是一个多维度全方位的安全结构模型。安全体系的建立，应从设施、技术到管理整个经营运作体系进行通盘考虑，因此必须以系统工程的方法进行设计。

从目前安全技术的总体发展水平与诸种因素情况来看，绝对安全是不可能的，需要在系统的可用性和性能、投资以及安全保障程度之间形成一定的平衡，通过相应安全措施的实施把风险降低到可接受的程度。

厅局级单位的网络安全体系设计本着：适度集中，分散风险，突出重点，分级保护的总体策略。

根据中办发[]27号文件精神，政府部门安全防护的总体策略是：

1、实行信息安全等级保护：根据系统中业务的重要性进行分区，所有系统都必须置于相应的安全区内;对重点区域进行重点防护;采用不同强度的安全隔离设备使各安全区中的业务系统得到有效保护，关键是将网络中心与广域网系统等实行有效安全隔离，隔离强度应接近或达到物理隔离;

2、建设和完善信息安全监控体系;

3、建立信息安全应急响应机制;

4、加快信息安全人才培养，增强公务人员信息安全意识;

5、加强对信息安全保障工作的领导，建立健全信息安全管理责任制。

四、主要技术措施

针对不同的安全风险种类，相应的技术措施如下表：

安全威胁种类	相应的技术措施
管理安全：管理员权限、口令、错误操作、资源乱用、内部攻击、内部泄密。	管理体系、管理制度、管理措施、访问控制、认证审计等技术。

应用安全：来自应用软件、数据库的漏洞，包括资源共享、Email、病毒等。	防火墙、物理隔离、入侵检测、病毒防护、AAA认证技术、数据加密、内容过滤、数据备份、灾难恢复。
系统安全：操作系统的脆弱性、协议的脆弱性、漏洞、错误配置。	漏洞扫描、防火墙、物理隔离、入侵检测、病毒防护、主机加固。

传输安全：在传输线路上窃取数据。	VPN加密技术。
网络互联安全：来自Internet、系统内网络、系统外网络、内部局域网、拨号网络等的安全威胁。	防火墙、物理隔离、入侵检测、AAA认证技术。
物理安全：地震、火灾、水灾、设备硬件损坏、电源故障、被盗等。	设备冗余、线路冗余、数据备份、异地备灾中心等。

五、部署方案简述

本方案针对局级政务内网和外网进行整体安全设计。政务外网主要提供对社会公众的信息发布平台，可以通过逻辑隔离设备联入互联网，政务内网主要运行政务网内部公文等OA系统，纵向与上级单位和下级单位网络相连，横向通过物理隔离设备与政务外网相连。

在内部网络中，大量的工作站是病毒进行攻击的主要目标之一。由于各工作站在日常工作中进行频繁的邮件收发、数据传输拷贝、应用软件执行等操作，再加之内部人员上网浏览、下载程序及利用软盘、光盘进行文件复制等，使得病毒感染的可能性极大。当前的病毒传染现状是，一旦一台工作站染毒，则会很快蔓延至整个网络范围，造成业务系统及办公网络的极大损害。因此，应在所有的工作站上部署客户端防病毒产品。该产品作为网络版的客户端防毒系统，使管理者通过单点控制所有客户机上的防毒模块，并可以自动对所有客户端的防毒模块进行更新。其最大特点是拥有最灵活的`产品集中部署方式，不受Windows域管理模式的约束，除支持SMS、登录域脚本、共享安装以外，还支持纯Web的部署方式，可以在安装时设定的防病毒策略下，自动地进行日常所有的防毒、杀毒、更新、升级工作，极大地方便了管理员的操作，并提供最为及时有效的病毒防范机制。

篇10：石化企业网络整体解决方案

石化企业网络整体解决方案

随着科技的迅猛发展，石化企业越来越广泛地采用信息技术，使其成为挖潜增效、赢得市场竞争胜利的重要途径。网络整体解决方案是石化企业信息化工程的重要基础设施，其目标是建设一个先进、可靠、安全的信息通信平台，支持数据、话音和图像交换，实现传真、图片和电视会议等多种通信业务，覆盖所有网络应用，并具有完备的网络管理系统，能为用户建立面向未来的信息高速公路。

一、石化企业网络建设目标

1、石化企业流程特点

石化以原油和天然气为主要原料，生产出燃料、润滑油、石蜡等产品，满足社会需要，同时谋求企业最大经济效益。其流程是连续生产，规模宏大，由许多内部复杂关联的单元操作模块组成，单元模块间由物料流、能量流及设备的相互连接而组成不同石化过程流程。

2、石化企业数据分类

石化企业网上数据，总体上包括：工艺流程数据、油品质量数据、油品罐存数据、公用工程数据、设备管理数据、经营管理数据和办公自动化数据等。特别是现场生产数据，实时性很强，要求较高通信速率，一般在几秒内刷新几千点以上的实时数据。工业电视监控系统视频则要求每秒25幅画面以上的通信速率，才能保证良好的画面效果。

3、光缆覆盖企业全部区域

到目前为止，石化企业的计算机应用，一般都走过了起步、探索和发展3个阶段，经历了单项开发、微机局域网和管理信息系统建设3个过程。在此基础上的网络整体解决方案，光缆敷设一定要覆盖企业全部区域，才能充分发挥出计算机信息系统在企业生产经营和管理决策上实实在在的重要作用，使企业管理模式有一个较大变革。

4、完成生产和管理各项服务职能

石化企业网络建设目的，是搭建信息应用平台，为生产和管理构造一个适应竞争发展的模式，最大限度提高经济效益。在这个宏观思想指导下，所建立起来的网络系统须能支持完成生产和管理各项服务职能，如生产管理、工艺管理、计划管理、计量管理、财务管理、设备管理、储运管理、工程管理、销售管理、工业电视、视频会议、流程模拟、过程控制优化、电子商务、办公自动化和决策支持等。

5、满足企业CIMS和ERP建设需要

网络系统是石化企业信息化建设的重要基础设施，应从企业全局出发，建成一个高起点、有水平、方便使用和管理、易于升级的网络系统，以期满足企业CIMS和ERP建设需要。其建设原则应定位在：统筹规划，分步实施；集中建设，分级管理；共同开发，资源共享；不断优化，滚动发展。

二、石化企业网络建设方案

1、网络设计原则

由于网络技术发展十分迅速，产品更新换代日趋缩短，所以方案设计时须采用先进、成熟技术，确保网络结构、设备和软件具有较长生命周期，保护用户投资。同时，要兼顾产品性价比，以适应石化企业信息应用发展需要。网络应充分设计的重要因素：

(1)网络实施可行性；

(2)性能优异性；

(3)使用方便性；

(4)可靠性；

(5)安全性；

(6)生存性；

(7)可管理性。

2、主干网类型

主干网连接各部门局域网网段，连接企业级服务器及各种远程网络设备，负责处理网间数据量传输，是石化企业全网数据交换枢纽。为此，要求主干网具有高速交换数据能力、良好技术升级特性和较强稳定可靠性，同时支持多种网络环境、通用网管协议和向未来网络技术平滑过渡。网络主干设计不仅要考虑结构合理，有利于网络分段(分组)、性能优化和安全控制，同时还要考虑原有网络基础设施的充分利用，方便日常维护。目前，石化企业主干网的选型，多以ATM和星型结构的千兆快速以太网为主流。

3、网络模型确定

网络模型是指在确定网络(以太网、FDDI、ATM、快速以太网络等)技术以及网络速率基础上，网络设备、网段的连接方式。就石化企业来说，分公司和下属二级生产企业的信息点总和约几千点，大体可分成3层：第一层为核心层，位于分公司计算机中心机房；第二层为中心层，位于下属二级企业计算机中心机房；第三层为接入层，包括分公司机关处室、下属二级企业管理部门及车间办公室和仪表控制室。核心层是网络高速交换主干、整个分公司信息管理枢纽，应具有高性能、高可

靠性和3层交换的能力。中心层是下属二级企业生产数据管理中心，应具有较强数据交换能力，支持3层交换，基本解决二级企业路由，使二级企业信息管理相对独立，同时减少了分公司核心交换机数据处理压力。接入层为最终用户，是10/100M交换式以太网端口到桌面。

二级企业网络又可分成多级节点拓扑结构：其计算中心为中心节点；1000M主干抵达地为一级节点；企业领导层、单独组网的主要处室(如财务处、机动处、销售处、人事劳资处等)和车间办公室为二级节点；非独立组网的机关处室、仪表室和车间下属各组为三级节点。节点选择原则有3条：重要程度、地理位置、所管理工作站数量。

对石化企业来说，生产管理的一个十分显著特点，是需实时监控生产装置的流程参数和动态了解公用工程物料能耗数据。对仪表室DCS和微机监测系统采集信息的上网，应通过单设的工控机实现，目的是为避免网络部分闪失给生产装置造成不良影响。DCS、微机监测系统和工控机间的数据交换，在软件上通过DDE或OPC实现。

4、网络拓扑结构

地区石化企业网络拓扑结构一般分为两层：分公司层和下属分厂层。分公司层用于构造分公司机关信息系统网络平台；组建连接下属各分厂的网络管控中心；负责和中石油、Internet对外的统一接口。而下属分厂层，作为分公司整体网络组成部分，则应充分满足分厂和分公司信息化的全部需求。其具体网络拓扑结构见图所示。

5、网络设备选型

网络设备(交换机、集线器、路由器、接口卡和网管软件等)的选择原则，是依据石化企业网络拓扑结构要求，参照其功能、性能、容量和价格等综合因素而确定。

在这一网络设备选择原则的指导下，建议选用主流网络设备厂家Cisco和3COM公司产品，因其都拥有全线网络产品，性价比良好，有着强大技术支持和售后服务能力，并对网络扩展和升级不存在后顾之忧，不仅能使石化企业有效解决网络应用问题，且可降低维护成本，提升企业管理水平。以选用Cisco网络产品为例：分公司核心层主交换机可选用Cisco6000系列产品(如Cisco6506)；二级企业中心层主交换机可选用Cisco4000系列产品(如Cisco4006)，一级节点网络设备可采用Cisco2900系列产品(如Cisco2912、2924、2948)，二级和三级节点可采用Cisco2950等网络设备。

6、网络服务器选择

服务器的选择对一个网络系统来说至关重要，它应具有较强稳定性、可靠性、保密性和安全性，同时方便操作和维护，充分考虑系统的扩充和发展。一般来说，系统主服务器可采用档次较高的SUN服务器，其他如生产(实时)数据服务器、Domino(办公自动化)服务器、代理服务器、域名服务器和拨号服务器等则可采用HP服务器。拨号服务器功能主要用于企业内部临时性办公地点以及领导外出工作时上网之用，通过Modem与拨号路由器实现拨号上网的用户对企业内部网络的访问。

7、域名的划分

传统域名的划分采用WindowsNT中WI和D相结合的方式，为系统每台设备都设置域名，不仅增加网络广播信息流量，加重网络负担，降低网络性能，且不利于域名系统的维护。现在修正如下：

(1)按照分公司规定域名划分方法进行厂级域名规划；

(2)取消WI系统；

(3)不对分厂级以下的系统进行域名设置。

8、IP地址的分配

IP地址的划分采用分公司分配的IP地址段，分厂在此基础上进行IP地址的分配。IP地址是企业宝贵的计算机软资源，其合理划分对于网络性能优化、安全管理、正常维护都具有重要意义。IP地址的划分，必须在对网络进行全面调研的基础上，根据网段/子网划分原则、网络安全需求以及未来发展进行科学设计。

9、与Internet连接

随着Internet技术的飞速发展和普及,企业如何通过建立自己的Internet/Intranet来获得丰富的信息资源，更好服务于生产经营，以获得更大利润，现已变得越来越迫切，访问Internet事实上已成为石化企业网络功能的.重要组成部分。与Internet连接，是由接入路由器、防火墙和入侵监测设备组成。为统一管理，Internet对外出口应设在分公司，由其信息中心统一控制和配置资源。分厂作为分公司下属生产企业，它与因特网的连接是通过分公司宽带出口实现的。Internet用户的开户管理和邮件管理等，也统一纳入分公司管理之下，由其信息中心来控制具体实施。如有必要，下属分厂也可根据信息中心统一划分的网段地址建立自己的动态地址分配服务器(DHCP)。

10、网络管理软件

网络管理是确保网络正常工作的重要手段，它决定某一特定段信息量，管理一个应用应怎样使用客户内存，以至跟踪某台特定设备的工作是否正常。网络管理一般包括流量、应用程序和设备管理。如Cisco网管软件CiscoView，能出色地承担起网络管理职能；3COM公司Tracend网管软件，也可为该公司的互连设备提供动态网络配置信息和运行状态信息，具有强有力的监视功能。

11、防火墙和防病毒

确保网络安全的基本方法是采用防火墙。简单讲，防火墙是用来控制信息流，通常防火墙都设置在网络基础设施的入口或出口。目前有3类包含不同过滤特性的防火墙：包过滤、网络过滤和应用网关。在确定选择防火墙时，应首先检查环境中可用的信息流控制，主要指通信方向、通信来源、IP地址、端编号、认证和应用内容等。Cisco公司SecurePIX和CA公司的eTrustFire防火墙产品，都具有相当好保护性能，用以保护整个网络业务资源。防火墙设置应由分公司统一设置。

计算机病毒给网络应用带来了相当大的威胁，在网络环境中的防病毒措施与在单机环境下有着很大程度的不同。在网络系统中，须根据对病毒流入网络系统根源的分析，制定全方位、多平台网络防病毒方案。目前部分石化企业采用网络版NortonAntiVirus(企业版)，定时对全网络用户查毒杀毒，收到较好效果。

12、数据备份

石化企业的生产、经营、管理和决策数据大都存储在网络环境的服务器中，网络数据安全性极为重要，一旦被破坏或丢失，将对企业正常运行带来重大影响，甚至造成难以弥补的损失。因此，数据备份是网络建设中不可缺少的组成部分。在传统磁带数据备份基础上，适时推出的NAS(网络连接存储)和SAN(存储区域网络)技术，正成为网络数据备份的主流。

三、石化企业网络建设环境

1、机房环境设计

(1)温度：夏季22℃±2℃，冬季20℃±2℃；

(2)湿度：45～65；

(3)照明：距地面0、8m处＞300Lx；

(4)噪声：＜70db；

(5)电磁：≯800A/m。

2、系统供电设计

(1)电压波动范围-5～5，频率变化范围-0、2Hz～0、2Hz，波形失真率≤±5；

(2)采用U，其容量选用设备容量之和的1、5倍。

3、系统防雷击设计

需配置有效的防雷击隔离器(GB50174-93计算机机房防雷设计规范)。

4、接地设计

(1)交流工作地的接地电阻≯4Ω

(2)安全保护地的接地电阻≯4Ω

(3)信号地和屏蔽地的接地电阻≯3Ω

(4)防雷保护地的接地电阻≯4Ω。

四、石化企业网络建设实施

1、符合实际的路由设计

符合实际的路由设计是企业网络系统成功的基础。路由设计是一件十分细致的工作，在大量和反复调研基础上，完成详尽的文档，包括路由走向图和路由明细表。它遵照网络拓扑结构的具体要求，结合企业地理环境的具体情况，因地制宜地采取合理路由方式。路由设计首先考虑利用现有电话通信水泥管井，然后利用仪表和计量槽盒，最大限度减少地下直接掩埋或架空敷设。

2、采用结构化布线

先进的网络系统很重要的一点体现在网络的结构化、合理化、规范化上，以免制约企业网向更高层次的网络建设发展。石化企业网络一般分为建筑群间和楼内布线。公司和分厂之间，以及厂区内的主干，采用光缆；办公楼以及车间内部，铺设超五类双绞线。光缆敷设要根据现场实际情况因地制宜采取合理方式。在网络介质选择上，1000M主干采用单模光纤，其他网段采用多模光纤，为保证网络安全和可靠运行，单模光纤使用6芯(2/3作为备用)，多模光纤使用4芯(1/2作为备用)。

3、充分利用原有网络资源

石化企业的计算机应用工作起步较早，各单位网络建设也都实现了不同程度的应用。现在所提出的网络整体方案，一定要考虑充分利用原有网络资源。其利用是多方面的，光缆、用户工作站、集线器都可利用，交换机也可降级利用。这不仅仅是资金上的节省，而且也是人们心理上的期望。

4、工程组织和实施

(1)组织管理

项目工程领导小组、光缆敷设管理小组、网络性能优化管理小组、网络安全实施管理小组、文档资料管理小组。

(2)进度安排

设备采购、光缆敷设、设备安装与调试、系统联调及试运行、系统性能技术测试、交付文档资料、项目验收。

(3)质量管理

(a)项目工程领导小组，负责项目方案敲定、人员安排、进度掌握和甲乙双方间的协调；

(b)光缆敷设管理小组，负责光缆敷设，确保工程遵循技术规范、按照进度时间要求完成施工；

(c)网络性能优化管理小组，负责工程竣工前对网络性能测试，并进行优化调试；

(d)网络安全实施管理小组，负责实施网络安全策略，实现防火墙和防病毒的落实，确保网络安全和保密；