安防工程商企业组织构架设计分析论文_周建华

安防工程商企业组织构架设计分析论文_周建华

浙江银江交通技术有限公司 浙江杭州 330106

摘要:企业管理的目的是创造利润,这是企业生存和发展的根本。企业管理者在自己的领域内通过协调企业各项管理要素,运用各种管理职能,规范企业各类行为,求得管理的切实有效性,达到企业预定的目标。企业组织构架设计是企业管理的重要内容。

系统集成商了解工程企业组织构架能够更清晰的组织自己的内部结构;产品经销商和代理商、厂商销售部门了解工程企业组织构架,能够促进和系统集成商的商务关系融洽、商务效率提高;安防职业经理人了解工程企业组织构架可以得到借鉴和参考,并通过细分研究得出自己具有差异化能力的竞争手段。众所周知,工程商都有自己的老板和技术权威。现在为大家呈现的将是一个省级资质安防工程商常用的组织构架。谈完构架,再一起研究功能和我们市场买家的切入点和方法。

关键词:安防工程;组织架构;设计

1网络安全技术架构策略

网络安全建设是一项系统工程,该企业网络安全体系建设按照“统一规划、统筹安排、统一标准、相互配套”的原则组织实施,采用先进的“平台化”建设思想、模块化安全隔离技术,避免重复投入、重复建设,充分考虑整体和局部的关系,坚持近期目标与远期目标相结合。在该企业广域网络架构建设中,为了实现可管理的、可靠的、高性能网络,采用层次化的方法,将网络分为核心层、分布层和接入层3个层次,这种层次结构划分方法也是目前国内外网络建设中普遍采用的网络拓扑结构。在这种结构下,3个层次的网络设备各司其职又相互协同工作,从而有效保证了整个网络的高可靠性、高性能、高安全性和灵活的扩展性。

2局域网络标准化

(1)中心交换区域

局域网的中心交换区域负责网络核心层的高性能交换和传输功能,提供各项数据业务的交换,同时负责连接服务器区域、网络管理区域、楼层区域、广域网路由器和防火墙设备等,此外还要提供分布层的统一控制策略功能。具体到安全防护层面,可通过部署防火墙模块、高性能网络分析模块、入侵探测系统模块实现安全加固。

(2)核心数据服务器区域

因为数据大集中和存储中心已经势在必行,可建设专门的核心数据区域,并采用2台独立的具有安全控制能力的局域网交换机,通过千兆双链路和服务器群连接。在安全防护方面,可在通过防火墙模块实现不同等级安全区域划分的同时,部署DDOS攻击检测模块和保护模块,以保障关键业务系统和服务器的安全不受攻击。

(3)楼层区域

楼层交换区域的交换机既做接入层又做分布层,将直接连接用户终端设备,如PC机等,因此设备需要具有能够实现VLAN的合理划分和基本的VLAN隔离。

(4)合作伙伴和外包区域

提供合作伙伴的开发测试环境、与内部数据中心的安全连接及与Internet区域的连接通路。

(5)外联网区域

企业营销系统需要与银行等外联网连接,建议部署银行外联汇接交换机,通过2条千兆链路分别连接到核心交换机。并通过防火墙模块划分外联系统安全区域。

(6)网络和安全管理区域

为了对整个网络进行更加安全可靠的管理,可使用独立的安全区域来集中管理,通过防火墙或交换机模块来保护该区域,并赋予较高的安全级别,在边界进行严格安全控制。

3统一互联网出口

对于该企业的广域网络,统一互联网络出口,减少企业广域网络与互联网络接口,能够有效减少来自外网的安全威胁,对统一出口接点的安全防护加固,能够集中实施安全策略。面对企业各个分支机构局域网络都与互联网络连接的局面,将会给企业广域网络安全带来更大的威胁。

期刊文章分类查询,尽在期刊图书馆由于综合业务数据网络作为相对独立的一个大型企业网络,设置如此众多的互联网出口,一方面不利于互联网出口的安全管理,增加了安全威胁的几率;另一方面也势必增加互联网出口的租用费用,提高了运营成本。

由于该企业综合数据网的骨干带宽是622M,在综合数据网络上利用MPLS VPN开出一个“互联网VPN”,使各分支的互联网访问都通过这个VPN通道建立链接。通过统一互联网络出口,强化互联网接入区域安全控制,可防御来自Internet的安全威胁,DMZ区的安全防护得到进一步加强;通过提供安全可靠的VPN远程接入,互联网出口的负载均衡策略得到加强,对不同业务和不同用户组的访问服务策略控制,有效控制P2P等非工作流量对有限带宽的无限占用,能够对互联网访问的NAT记录进行保存和查询。

4三层四区规划

提出“安全分区、网络专用、横向隔离、纵向认证”的总体防护策略,并提出了“三层四区”安全防护体系的总体框架。基于这一设计规范,并结合该企业网络的实际情况,未来公司的网络区域可以划分为企业生产系统和企业管理信息系统,其中企业生产系统包括I区和II区的业务;企业管理信息系统包括III区和IV区的业务。I区到IV区的安全级别逐级降低,I区最高,IV区最低。

在上述区域划分的基础上,可在横向和纵向上采用下列技术方式实现不同安全区域间的隔离。

(1)纵向隔离

在未来调度数据网建成后,将安全区I和安全区II运行在独立的调度数据网上,安全区III和安全区IV运行在目前的综合数据网上,达到2网完全分开,实现物理隔离。在调度数据网中,采用MPLS VPN将安全区I和安全区II的连接分别分隔为实时子网和非实时子网,在综合数据网中,则采用MPLS VPN将互联网连接和安全区III及安全区IV的连接分开,分为管理信息子网和互联网子网。

(2)横向隔离

考虑到I区和II区对安全性的要求极高,对于I区和II区进行重点防护,采用物理隔离装置与其他区域隔离;而在I区和II区之间可采用防火墙隔离,配合分布式威胁防御机制,防范网络威胁;考虑到III区和IV区之间频繁的数据交换需求,III区和IV区之间视情况采用交换机防火墙模块进行隔离,并在区域内部署IDS等安全监控设备,在骨干网上不再分成2个不同的VPN;由于外部的威胁主要来自于Intern过出口,因此可在全省Internet出口集中的基础上,统一设置安全防护策略,通过防火墙与III区、IV区之间进行隔离。

5综合数据网安全防护

综合业务数据网,主要承载了0A、95598、营销、财务等应用系统,同时也在进行SCADA/EMS等调度业务的接入试点。

采用网络安全监控响应中心为核心的分布式威胁防御技术,对全网的病毒攻击和病毒传播进行主动防护,通过关联网络和安全设备配置信息、NetFlow、应用日志和安全事件,从中心的控制台实时发现、跟踪、分析、防御、报告和存储整个企业网络中的安全事件和攻击。同时分布式威胁防御手段不但用于对综合数据骨干网进行安全防护,而且通过建立2级安全监控响应中心,对包括综合数据网、企业本部局域网、分支机构局域网在内的全网设备进行监控。

总结:

局域网、广域网、互联网以及企业网络系统特有的三层四区架构从技术层面形成了一套较为完备的网络安全防护体系,但“三分技术、七分管理”,在进行技术改良的同时,还需要对公司的网络信息安全管理进行相应的优化调整,可将目前分散化的管理模式转变为合乎未来发展趋势的集中式管理模式,并通过设置专门的网络信息安全管理职能部门加强对相关规章制度执行效果的管控,突出安全管理主线,从而真正实现技术与管理的齐头并进,为企业营造一个高效、安全的网络环境。

参考文献:

[1]郑宏.浅析国家大剧院的安防系统设计[J]. A&s:安防工程商, 2008(12):160-162.

[2]丁兆威.安防工程商生存状态大调查[J]. 中国公共安全, 2008(7):46-47.

[3]刘旭. 安防系统在印制企业的应用[J]. A&s:安防工程商, 2010(10):46-47.

论文作者:周建华

论文发表刊物:《基层建设》2017年第32期

论文发表时间:2018/1/20

标签:;  ;  ;  ;  ;  ;  ;  ;  

安防工程商企业组织构架设计分析论文_周建华
下载Doc文档

猜你喜欢