某集团网络改造及安全整体技术解决方案

波鸿集团网络改造及网络安全整体技术解决 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 四川长虹集团四川虹信软件有限公司二零一二年四月目录5第1章概述6第2章需求分析8第3章一期基础网络建设83.1需求分析93.1.1方案设计原则113.1.2网络方案设计113.2网络拓扑结构介绍123.3网络拓扑图133.4网络设计133.4.1骨干核心层网络设计133.4.2核心层网络设计143.4.3汇聚层网络设计143.4.4接入层网络设计153.4.5广域网互联设计153.4.6冗余/负载均衡设计153.4.7网络设备冗余/负载均衡设计163.4.8服务器冗余设计163.4.9IP地址规划原则193.5方案特点193.6现有基础网络存在的问题203.7现有基础网络解决思路213.8内部网络优化23第4章二期网络安全规划建设方案234.1网络安全建设的必要性234.2网络安全建设的价值264.3网络拓扑图264.4网络安全建设内容264.4.1部署负载均衡274.4.2网络入侵防御系统274.4.2.1为什么需要网络入侵防御系统284.4.2.2网络入侵防御系统294.4.3WEB应用防火墙294.4.3.1为什么需要WEB应用防火墙304.4.3.2WEB应用防火墙314.4.4远程安全评估系统（漏洞扫描器）314.4.4.1为什么需要远程安全评估系统324.4.4.2远程安全评估系统324.4.5安全审计系统324.4.5.1为什么需要安全审计系统334.4.5.2安全审计系统354.4.6上网管理系统364.4.6.1安全管理系统374.4.6.2如何评价内容安全管理系统384.4.7安全服务384.4.7.1安全预警通告394.4.7.2紧急事件响应394.4.7.3高级维护服务404.4.7.4信息安全培训43第5章三期VPN规划建设方案435.1VPN(虚拟专用网)435.2安全网关介绍465.3网络拓扑图47第6章四川虹信软件有限公司简介476.1虹信公司简介516.2虹信软件业务范围536.3虹信软件核心竞争力546.4虹信软件部分成功案例简介716.5虹信公司合作伙伴726.6虹信获取资质汇总736.7虹信公司服务体系第1章概述四川波鸿集团创建于1999年，经过13年的飞速发展，已经成长为拥有资产58.3亿元，员工2800余人，年销售收入近40亿元的集制造业、汽车品牌经营、房地产、新能源于一体的综合性集团企业。近年来，随着集团的不断壮大，波鸿集团从发源地、主要生产基地──四川绵阳逐步走向全国，面向世界，分别建立了北京战略总部、上海营销总部、成都运营总部，并积极跨出国门与多家国外企业达成了战略合作意向。目前公司旗下拥有：北京耀贵投资控股有限公司、北京园洋金鼎商贸有限责任公司、北京佰利创典商贸有限公司、北京净雅佳商贸有限公司、上海剑门五金工具有限公司、上海祥通商贸有限公司、沈阳路达通实业发展有限公司、四川波鸿科技有限公司、四川绵阳好圣汽车零部件制造有限公司、绵阳宇兴机械制造有限公司、四川绵阳波鸿机电有限公司、成都名鸿汽车销售服务有限公司、成都万鸿汽车零部件制造有限公司、绵阳通美能源科技有限公司、四川超美健生物科技有限公司、绵阳波鸿汽车销售服务有限公司、绵阳波鸿出租汽车有限公司、绵阳申绵汽车销售服务有限公司、乐山天牛汽车销售服务有限公司、眉山天牛汽车销售服务有限公司、广元波鸿汽车销售服务有限公司、四川波鸿生态园林景观工程有限公司、绵阳亲水湾旅游开发有限公司、四川信鸿房地产开发有限公司等30余家全资或控股经营性子公司。公司秉承“诚信经营、客户至上、质量第一、服务为先”的经营理念，以“创新务实、追求卓越”为宗旨，向管理要效益，靠科技求发展，以公平聚人杰，视员工为财富，深化改革，服务社会。公司严格遵守和履行各项规定，不断提高企业的信用等级，树立良好的市场信誉和诚实守信的企业形象。以跨越为主要任务，以发展为奋斗目标，波鸿公司正以坚定的步伐向领域高端不断拓展。第2章需求分析随着波鸿集团业务的发展以及今后集团在信息化的高度重视下，近年来企业信息化建设的深入，企业的运作越来越融入计算机网络，企业的沟通、应用、财务、决策、会议等等数据流都在企业网络上传输，构建一个“安全可靠、性能卓越、管理方便”的“高品质”大型企业网络已经成为企业信息化建设成功的关键基石。·一期网络规划的主要建设内容：波虹集团为了实现信息化建设，集团企业网将建设一个以集团办公自动化、电子商务、业务综合管理、多媒体视频会议、远程通讯、信息发布及查询为核心，以现代网络技术为依托，技术先进、扩展性强，将集团的各种办公室、多媒体会议室、PC终端设备、应用系统通过网络连接起来，实现内、外沟通的现代化计算机网络系统。该网络系统是支持办公自动化、供应链管理、ERP以及各应用系统运行的基础设施，为了确保这些关键应用系统的正常运行、安全和发展，系统必须具备如下的特性：1、采用先进的网络通信技术完成集团企业网的建设，实现各分公司的信息化；2、在整个企业集团内实现所有部门的办公自动化，提高工作效率和管理服务水平；3、在整个企业集团内实现资源共享、产品信息共享、实时新闻发布；4、在整个企业集团内实现财务电算化；5、在整个企业集团内实现集中式的供应链管理系统和客户服务关系管理系统；在一期的建设中，我们将实现全网在中心本部设置统一的Internet出口，提供一台路由器，同时提供一台企业级的防火墙，隔离波鸿集团中心网络和Internet，提供DMZ区完成对外信息的发布。从核心设备到接入设备都采用H3C的交换设备，使用万兆连接，核心交换机配置万兆电口模块，通过双绞线同各个接入交换机相连，达到一个合理的带宽结构，避免产生任何瓶颈。·二期安全规划的主要建设内容：完善小型服务器群安全防护体系，根据初期的业务系统规模进行单链路安全防护体系建设，初期主要针对于承载业务系统的服务器的安全做建设。此时需要关注的就是WEB服务器操作系统本身的漏洞管理，大多数的安全事件99%都是因为操作系统本身的漏洞导致的，因此漏洞管理的建设至关重要。WEB服务器群前段则需要有WEB应用防火墙来进行专业的WEB应用防护，通过事前预警、事中防护、事后补偿的防护体系来进行WEB应用层的安全防护建设。如为了考虑承载业务系统的主机操作系统的安全，可进行IPS部署，以防范互联网过来的安全攻击事件。随着业务发展也为了后期的扩容考虑，当服务器发展到中型服务器群，就要开始进行安全域划分建设。当承载业务系统的服务器数量不断扩容到一定的数量级，业务系统需要进行安全域安分，这样能更好地根据业务系统的严重级别进行分类管理。划分安全域后则需要根据每个域功能的不同进行安全防护设计。每个域的安全边界防护，需要有防火墙来进行边界隔离，严格控制各区域的访问。同时该业务系统区应有安全审计系统、流量分析系统、安全运维审计系统进行防护。完成全建设后，此时面临的就是如何更好地对外提供业务支撑了。为了保障业务系统的连续性，出口处需要部署抗拒绝服务系统，进行DDOS流量的防御。此时业务系统已经比较庞大，需要对运维人员进行安全培训，加强安全意识。同时光有防护设备和运维人员安全意识的加强还不够，需要通过第三方专业安全服务厂商提供专业的安全服务，如安全预警通告、紧急事件响应服务、高级安全运维服务等。·三期VPN规划的主要建设内容由于波鸿集团分公司多、业务开展越来越广泛时，网络结构趋于复杂，费用昂贵。利用VPN特性可以在Internet上组建世界范围内的IntranetVPN。利用Internet的线路保证网络的互联性，而利用隧道、加密等VPN特性可以保证信息在整个IntranetVPN上安全传输。IntranetVPN通过一个使用专用连接的共享基础设施，连接企业总部、远程办事处和分支机构。企业拥有与专用网络的相同政策，包括安全、服务质量(QoS)、可管理性和可靠性第3章一期基础网络建设3.1需求分析为适应企业信息化的发展，满足日益增长的通讯需求和网络的稳定运行，今天的大型企业网络建设比传统企业网络建设提出更高的要求，主要表现在如下几个方面：1）现代大型企业网络应具有更高的带宽，支持10GE或将来平滑过渡到10GE，更强大的性能，以满足用户日益增长的通讯需求；　　随着计算机技术的高速发展，基于网络的各种应用日益增多，今天的企业网络已经发展成为一个多业务承载平台，它不仅要继续承载企业的办公自动化和WEB浏览等简单的数据业务，还要承载涉及企业生产运营的各种业务应用系统数据，以及带宽和时延都要求很高的IP电话、视频会议等多媒体业务，因此数据流量将大大增加，尤其是对核心网络的数据交换能力提出前所未有的要求。另外，随着千兆端口的成本持续下降，千兆到桌面的应用会在不久的将来成为企业网的主流。从2005年全球交换机市场分析可以看到，增长最迅速的就是10G级别机箱式交换机，由此可见，万兆的大规模应用已经真正开始。所以今天的企业网络已经不能再用百兆到桌面千兆骨干来作为建网的 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 ，它的核心层及骨干层必须具有万兆级带宽和处理性能，才能构筑一个畅通无阻的“高品质”大型企业网，从而适应网络规模扩大，业务量日益增长的需要。2）现代大型企业网络应具有更全面的可靠性设计，以实现网络通讯的实时畅通，保障企业生产运营的正常进行；随着企业各种业务应用逐渐转移到计算机网络上来，网络通讯的无中断运行已经成为保证企业正常的生产运营的关键。现代大型企业网络在可靠性设计方面主要应从三方面考虑：首先是设备级可靠性设计，这里不仅要考察网络设备是否实现了关键部件的冗余备份，还要从网络设备整体设计 架构 酒店人事架构图下载公司架构图下载企业应用架构模式pdf监理组织架构图免费下载银行管理与it架构pdf 、处理引擎种类等多方面去考察；其次是业务的可靠性设计，这里要注意网络设备在故障倒换过程中是否对业务的正常运行有影响；再次是链路的可靠性设计，以太网的链路安全来自于它的多路径选择，所以在企业网络建设时要考虑网络设备是否能够提供有效的链路自愈手段和快速重路由协议的支持。3）现代大型企业网络需要提供完善的端到端QOS保障，以满足企业网多业务承载的需求；大型企业网络承载业务的不断增多，单纯的提高带宽并不能够有效的保障数据交换的畅通无阻，正如八车道的长安街也经常堵车一样，所以今天的大型企业网络建设必须要考虑到网络应能够智能的识别应用事件的紧急和重要程度，如视频、音频、数据流(MIS、ERP、OA、备份数据)，同时能够调度网络中的资源，保证重要和紧急业务的带宽、时延、优先级和无阻塞的传送，实现对业务的合理调度才是一个大型企业网络提供“高品质”服务的保障。4）现代大型企业网络应提供更完善的网络安全解决方案，以阻击病毒和黑客的攻击，减少企业的经济损失；　　传统企业网络的安全措施主要是通过部署防火墙、IDS、杀毒软件以及配合交换机或路由器的ACL来实现对于病毒和黑客攻击的防御，但实践证明这些被动的防御措施并不能有效的解决企业网络的安全问题。在企业网络已经成为公司生产运营的重要组成部分的今天，现代企业网络必须要有一整套从用户接入控制，病毒报文识别到主动抑制的一系列安全控制手段，才能有效的保证企业网络的稳定运行。5）现代大型企业网络应具备更智能的网络管理解决方案，以适应网络规模日益扩大，维护工作更加复杂的需要；当前的网络已经发展成为“以应用为中心”的信息基础平台，网络管理能力的要求已经上升到了业务层次，传统的网络设备的智能已经不能有效支持网络管理需求的发展。比如，网络调试期间最消耗人力与物力的线缆故障定位工作，网络运行期间对不同用户灵活的服务策略部署、访问权限控制、以及网络日志审计和病毒控制能力等方面的管理工作，由于受网络设备功能本身的限制，都还属于费时、费力，有时甚至是不可能的任务，所以现代的大型企业网络迫切需要网络设备具备支撑“以应用为中心”的智能网络运营维护的能力，并能够有一套智能化的管理软件，将网络管理人员从繁重的工作中解脱出来。3.1.1方案设计原则本方案的设计将在追求性能优越、经济实用的前提下，本着严谨、慎重的态度，从系统结构、技术措施、设备选择、系统应用、技术服务和实施过程等方面综合进行系统的总体设计，力图使该系统真正成为符合该中学的网络系统。从技术措施角度来讲，在网络的设计和实现中，本方案严格遵守了以下原则：·实用性和集成性系统的软硬件设计、还是集成，均以适用为第一宗旨，在系统充分适应企业信息化的需求的基础上进而再来考虑其他的性能。该系统所包含的内容很多，必须能将各种先进的软硬件设备有效地集成在一起，使系统的各个组成部分能充分发挥作用，协调一致的进行高效工作。·标准性和开往性只有支持标准性和开放性的系统，才能支持与其它开放型系统一起协同工作，在网络中采用的硬件设备及软件产品应该支持国际工作标准或事实上的标准，以便能和不同厂家的开放性产品在同一网络中同时共存。通信中应采用标准的通信协议以使不同的操作系统与不同的网络系统及不同的网络之间顺利进行通讯。·先进性和安全性系统所有的组成要素均应充分地考虑其先进性。不能一味地追求实用而忽略先进，只有将当今最先进的技术和我们的实际应用要求紧密结合，才能获得最大的系统性能和效益。网络的安全是事关重要的，在某些情况下，宁可牺牲系统的部分功能也必须保证系统的安全。·成熟性和高可靠性作为信息系统基础的网络结构和网络设备的配置及带宽应能充分地满足网络通信的需要。网络硬件体系结构在实际应用中能经过较长时间的考验，在运行速度和性能上都应是稳定可靠的、拥有完善的、实用的解决方案，并通到较多的第三方开发商和用户在全球的广泛支持和使用。同时，应从长远的技术发展来选择具有很好前景的、较为先进的技术和产品，以适应系统未来的发展需要。可靠性也是衡量一个计算机应用系统的重要标准之一。在确保系统网络环境中单独设备稳定、可靠运行的前提下，还需要考虑网络整体的容错能力、安全性及稳定性，使系统出现问题和故障时能迅速地修复。因此需要采取一定的预防措施，如对关键应用的主干设备考虑有适当的冗余。应急处理信息系统能够全天候工作，达到每周7*24小时工作的要求。一个高可用性的系统才能使用户的投资真正得到回报。·可维护性和可管理性整个信息网络系统中的互连设备，应是使用方便、操作简单易学，并便于维护。对复杂和庞大的网络，要求有强有力的网络管理手段，以便合理的管理网络资源，监视网络状态及控制网络的运行，因此，网络所选的网络设备应支持多种协议，管理员能方便进行网络管理、维护甚至修复。在设计和实现时，必须充分考虑整个系统的便于维护性，以使系统万一发生故障时能提供有效手段及时进行恢复，尽量减少损失。·可扩充性和兼容性网络的拓扑结构应具有可扩展性即网络联结必须在系统结构、系统容量与处理能力、物理接连、产品支持等方面具有扩充与升级换代的可能，采用的产品要遵循通用的工业标准，以便不同的设备能方便灵活地接连入网并满足系统规模扩充的要求。为了使所实现系统能够在应用发生变化的情况下保护原有的开发投资，在设计系统时，应将系统按功能做成模块化的，可根据需要增加和删除功能模块3.1.2网络方案设计3.2网络拓扑结构介绍在此次波鸿集团大型企业网的设计中，我们采用层次化模型来设计网络拓扑结构。所谓“层次化”模型，就是将复杂的网络设计分成几个层次，每个层次着重于某些特定的功能，这样就能够使一个复杂的大问题变成许多简单的小问题。层次模型既能够应用于局域网的设计，也能够应用于广域网的设计。　　层次化模型的好处：在大型企业网设计中，使用层次化模型有许多好处，列举如下：1、节省成本在采用层次模型之后，各层次各司其职，不再在同一个平台上考虑所有的事情。层次模型模块化的特性使网络中的每一层都能够很好地利用带宽，减少了对系统资源的浪费。2、易于理解层次化设计使得网络结构清晰明了，可以在不同的层次实施不同难度的管理，降低了管理成本。3、易于扩展　　在网络设计中，模块化具有的特性使得网络增长时网络的复杂性能够限制在子网中，而不会蔓延到网络的其他地方。而如果采用扁平化和网状设计，任何一个节点的变动都将对整个网络产生很大影响。4、易于排错层次化设计能够使网络拓扑结构分解为易于理解的子网，网络管理者能够轻易地确定网络故障的范围，从而简化了排错过程。3.3网络拓扑图3.4网络设计3.4.1骨干核心层网络设计大型企业生产办公网络的核心网主要完成整个企业集团内部不同地域企业之间的高速数据路由转发，以及维护全网路由的计算。鉴于大型集团企业的用户数量众多，业务复杂，QOS要求较高的特点，在本方案中采用H3C高密度多业务核心路由交换机组建高性能的核心网络平台。H3C交换机是具有运营商级容错能力的高性能大型网络核心交换机，可为高校和运营商提供基于领先技术的卓越性能和可靠性。专为发挥万兆、千兆以太网潜在的强大交换能力而设计，超大容量的交换背板使得包括万兆端口在内的每个端口具备全线速交换能力，确保在巨大的网络通信负载下始终能够轻松实现线速的第二层和第三层交换，是城域网、数据中心、智能大厦及企业网络骨干级核心路由交换机的理想选择。在骨干核心层中，我们采用H3C核心路由交换机组成一个环形多机热备份的核心交换机系统解决方案。为提高核心网络的健壮性，实现链路的安全保障，本方案骨干核心层环网中可以采用VRRP（虚拟路由器冗余协议）。对于各个业务VLAN可以指向这个虚拟的IP地址作为网关，因此应用VRRP技术为核心交换机提供一个可靠的网关地址，以实现在核心层核心交换机之间进行设备的硬件冗余，一主两备，共用一个虚拟的IP地址和MAC地址，通过内部的协议传输机制可以自动进行工作角色的切换。进而双引擎、双电源的设计为网络高效处理大集中数据提供了可靠的保障。3.4.2核心层网络设计　　大型企业生产办公网络的核心层网络主要完成园区内各汇聚层设备之间的数据交换和与骨干核心层网络之间的路由转发。传统解决方案一般采用骨干路由器＋核心交换机来组建，但这种方式受限于交换机的性能，在提供MPLSVPN的业务能力方面较弱，不适合大型企业网络的建设需求，同时现在的大型企业办公网络具有城域网的特点，网络发展具有网络扁平化的发展方向，因此本方案骨干层网络设备采用H3C核心路由交换机作为大型企业生产办公网络的园区核心路由交换设备，H3C交换机具有强大的业务和路由处交换理能力，能提供如MPLSVPN、QoS、策略路由、NAT、PPPoE/Web/802.1x/L2TP认证等丰富业务能力，并可通过内置防火墙模块实现各种强大的网络安全策略，可以充分满足大型企业不同园区网络的高速数据交换和支持多业务功能的要求，并能够提供完善的安全防御策略，保障企业园区网络的稳定运行。3.4.3汇聚层网络设计汇聚层网络主要完成企业各园区内办公楼宇和相关单位的内接入交换机的汇聚及数据交换和VLAN终结，在本方案中采用H3C交换机多层交换机作为汇聚层面的交换机。H3C交换机在提供高密度千兆端口接入的同时还能够满足汇聚层智能高速处理的需要,并能够加灵活的部署在网络边缘的各个位置。能够同时提供多个高速专用堆叠端口和百兆、千兆光口/电口。这些交换机都具备较强的多业务提供能力，可支持包括智能的CCL、MPLS、组播在内的各种业务。为用户提供丰富、高性价比的组网选择。3.4.4接入层网络设计以往传统企业网络接入层的建设中并不关注于安全控制和QOS提供能力，而将网络的安全防御措施和QOS保障依赖于网络的汇聚层或骨干层设备，这给汇聚层和骨干层设备带来了巨大的压力，往往内网病毒泛滥成灾后导致骨干层设备瘫机，使网络没有QOS服务质量保障。　　H3C智能宽带接入交换机是能满足高安全、多业务承载、高性能的网络环境智能交换机，具备传统二层交换机大容量、高性能等优点，同时还具有领先的安全特性，进一步加强了企业网络对边缘接入层面的安全控制能力。用户可以根据需要来订制自身的安全策略并部署在此交换机上。该产品具备的端口带宽限制、端口镜像、QoS、端口安全、广播风暴抑制等功能可以很好的协助用户实现网络的管理和维护。除此之外，此交换机还具备多个专用堆叠接口，可以满足楼层，楼宇内多个交换机高性能汇聚的需要。3.4.5广域网互联设计针对于大型企业需要良好的出口网关设备，我们建议用户选用H3C防火墙。该防火墙专为千兆位流量的网络服务运营商，大型数据中心等骨干网络而设计,采用2U专用千兆安全平台，完全模块化可扩展结构，具有热插拔特性的冗余部件为您提供最大的不间断运行时间。3.4.6冗余/负载均衡设计冗余设计是网络设计的重要部分，是保证网络整体可靠性能的重要手段。但是投资也将增加。部分企业园区网在早期的建设中由于成本的原因并未在设计中考虑冗余问题，而在优化工作中则需从网络链路和网络设备两方面着手。冗余设计可以贯穿整个层次化结构，每个冗余设计都有针对性，可以选择其中一部分或几部分应用到网络中以针对重要的应用。万一网络中某条路径失效时，冗余链路可以提供另一条物理路径。可采用GEC链路聚合（IEEE802.3ad）实现端口级冗余，以克服某个端口或线路引起的故障。也可采用生成树协议（IEEE802.1d）提供设备级的冗余连接。此外，我们在设计中提供不同物理方向的双归属、双路由保护。3.4.7网络设备冗余/负载均衡设计当前，无论在企业网、园区网还是在广域网如Internet上，业务量的发展都超出了过去最乐观的估计，上网热潮风起云涌，新的应用层出不穷，即使按照当时最优配置建设的网络，也很快会感到吃不消。尤其是各个网络的核心部分，其数据流量和计算强度之大，使得单一设备根本无法承担。负载均衡建立在现有网络结构之上，它提供了一种廉价有效的方法扩展服务器带宽和增加吞吐量，加强网络数据处理能力，提高网络的灵活性和可用性。它主要完成以下任务:解决网络拥塞问题，服务就近提供，实现地理位置无关性;为用户提供更好的访问质量;提高服务器响应速度;提高服务器及其他资源的利用效率;避免了网络关键部位出现单点失效。在此方案中，在网络的每个关键结点，我们在设计时都做到了对其有效的冗余备份和负载均衡。3.4.8服务器冗余设计企业网中服务器、大型机，如网络存储服务器，SQLServer服务器，其存储的数据对于企业来说致关重要，一些核心数据被视为企业的生命。一方面它对企业的企业的重要性毋庸质疑，另一方面，由于这些数据的性质决定了其较大的被访问量，这个对服务器提出了稳定和快速的要求。如果宕机,后果是技术是保障计算机系统的可靠性是重中之重。为此，我们采用的是双机热备技术，此技术能够有效的满足核心服务器高效，稳定的高要求。而且相对于其它成本技术来说，这是比较有经济价成效的技术。3.4.9IP地址规划原则IP地址构成了整个Internet的基础，IP地址资源是整个Internet的基本核心资源，IP地址资源的合理分配和有效利用是整个Internet发展过程中持续有效的一个极具分量的研究课题。我们在对企业园区网IP地址编址设计和分配利用时，遵循了以下几个原则：1）、自治：整个网络被划分成几个大的自治区域，每个大自治区域中又被划分成几个小的自治区域。2）、有序：我们按照自治原则将网络进行逻辑划分后，就根据地域、设备分布及区域内用户数量来进行子网规划。同时，我们将IP地址规划和网络层次规划、路由协议规划、流量规划等结合起来考虑。在进行地址分配时，为了提高地址分配效率和地址利用率，我们在编址设计时按照了一定的顺序进行。选择的顺序是自上而下的顺序，即采用了业界领先的自顶向下网络设计（Top-DownNetworkDesign）方法。3）、可持续性：考虑到园区内网络用户数将持续高速增长，网络所要承载的业务量和业务种类越来越多，这使得网络需要频频进行技术升级、改造和扩容。所以，在进行地址分配时本方案充分考虑到了这些因素，为网络的每个部分留有部分地址冗余，这样保证网络的可持续发展。4）、可聚合：互联网日新月异的发展和日益庞大的规模令当初设计互联网络的专家始料不及，在路由表急剧膨胀情况下，可聚合原则是网络地址分配时所必须遵守的最高原则，可聚合原则要求在进行地址规划时，应提供足够的路由冗余功能。5）、尽量节约IPv4地址：由于IPv4地址越来越少，所以对于IPv4地址的使用需要格外节约。IPv4地址的节约可以通过动态编址技术和NAT技术等来实现。6）、闲置IP地址回收利用：对于已分配出去的静态IP地址进行定期追踪管理，对长时间闲置的IP地址可经过确认后回收重复利用。VLSM是可变长子网掩码的英文缩写，它提供了一个主类（A类、B类、C类）网络内包含多个子网掩码的能力，可以对一个子网再进行子网划分。VLSM的优点·对IP地址更为有效的使用·应用路由归纳的能力更强所以我们采取vlsm对网络进行编址，以达到节约ip地址，能够使用路由汇总的目的。首先采用一个A类网址对园区网主体结构进行编址，至上而下的设计思路有利于设计的最后成型和网络的健壮性。其次，在语音电话系统中，每一个ip电话需要一个ip地址以及诸如子网掩码、默认网关等的相关信息。事实上，这意味着一个组织需要指派两倍于ip电话的ip地址给当前所有的pc用户，这个由DHCP提供。我们使用私有遍址的IP电话作为语音电话遍址方案。私有遍址IP电话：10.2.8.3172.16.8.5IP电话使用172.16.0.0网络———————————IP电话+PC在同一交换机端口上////—————————－最后经过我们的计算，将各部门ip地址分配如下表： IP地址网段 VLAN编号 默认网关 服务器功能区 192.168.10.0/24 10 192.168.0.254/24 监控功能区 192.168.20.0/24 20 192.168.0.254/24 财务功能区 192.168.30.0/24 30 192.168.0.254/24 临时、外来访问功能区 192.168.40.0/24 40 192.168.0.254/24 ……(根据用户的具体情况定)用户地址与VLAN划分Web服务器IP地址：192.168.100.1/24FTP服务器IP地址：192.168.100.2/24路由器出口IP地址：222.18.44.3/243.5方案特点本方案很好地解决了用户要求的四个问题，即带宽问题、安全问题、管理问题、灵活扩展问题。·带宽问题：使用万兆互连双核心结构，使网络核心设备不但可以互相备份，而且有效的减轻流量负荷，使设备时刻保持稳定和高效。·安全问题：网络核心层、汇聚层、楼层汇聚层所使用的产品全部具有网络病毒和攻击的防护能力，并且防DOS/DDOS攻击，因而可以在不同的环境中做到安全防护，足以应对突发事件，保持网络稳定、通畅。·管理问题：统一管理，提高工作效率，保障网络的可用性和稳定性；·灵活扩展问题：核心层使用的路由交换机有良好的扩展性，可以为将来的网络实现轻松扩展。3.6现有基础网络存在的问题·交换机功能支持性较弱根据对现有网络调查发现，目前部署的交换机功能支持性已经明显不能满足网络发展需要，由于缺乏网络区分能力，所有办公电脑、无线笔记本、监控及服务器都只能属于同一网段。现阶段风险如下：A、目前的交换机性能参数过低，容易导致网络频繁拥塞；B、目前的交换机使用时间较长，网络稳定性存在极大隐患；C、不能有效支撑视频、监控等业务的正常运行；D、目前的交换机不能根据未来网络发展需要，进行相应的配置；E、无法将各功能部门划分，避免病毒引起的风暴扩散；F、整网没有任何保护措施，完全公开透明，服务器等重要核心资料全网共享，容易造成重要文件泄密、丢失。·服务器存在安全隐患服务器配置双IP地址（一个内网IP一个外网IP地址），虽然有效解决了内网、外网的访问正常，但把服务器直接裸露在外网上，容易造成外网直接攻击该服务器，导致服务器运行不正常、服务器文件被盗等情况。现阶段风险如下：A、服务器完全暴露于外网，没有防火墙阻挡外网攻击；B、服务器资料容易泄漏；C、电信、网通出口分别投资相同功能的服务器，投入服务器的成本增加；D、服务器数量过多，不容易管理；E、相同功能的服务器资料不同步。·办公网络出口较多该网络办公出口有电信和联通两个出口，后期可能还要增加出口，所以为了提升网络速度和有效利用多个带宽出口，有必要配备一台链路负载均衡设备，对多个出口进行管理。·安全防护能力较弱由于目前整体信息平台没有对办公网络进行保护，很容易受到来自外部互联网黑客的攻击。现阶段风险如下：A、没有对公司网络进行必要的保护；B、没有对员工电脑的严格管理控制，如：病毒、补丁；C、没有对公司数据库服务器、ERP服务器进行必要的保护。3.7现有基础网络解决思路根据对现状中存在的一些问题进行沟通，结合打造稳定、安全和高效的办公网络目标，特对现有信息化应用提出建议。我公司建议贵公司进行以下5个技术方面改造及1个定制服务的网络优化改造：·内部网络优化·负载均衡·网络安全 内网改造前后效果对比 改进项目 改造前 改造后 交换机功能支持 容易拥塞、业务支持差、病毒泛滥缺乏控制 业务有效区划，业务之间不影响。有序控制流量，避免网络拥塞，有效控制病毒 服务器安全问题 服务器基本没有安全防护，容易被黑客利用 通过专业化的防火墙产品进行安装防护，同时通过流量控制，避免服务器负担过大 出口带宽问题 出口带宽缺乏监控，非重要流量占用比列过大 通过专业化的带宽约束设备，有效避免上班时间员工使用与工作无关的网络应用，最大限度提高办公效率 终端安全防护问题 终端缺乏统一安全策略，对联网终端没有控制能力 通过建立准入控制机制，有效避免内部网络中各种终端非法链接，从而避免各类信息的非法盗用情况3.8内部网络优化优化说明：A、原TP-LinkS2000系列48口交换机替换为具备三层功能的48口交换机，该交换机可对现有办公网络及监控网络区域按照功能不同进行详细的Vlan和网段的划分，例如：·服务器功能区·监控功能区·财务功能区·临时、外来访问功能区等这样可以将现有网络进行细化，相关组别归类。一方面可以加强管理，防止不同功能区域的直接互访，另一方面可以降低因为病毒扩散带来的全网瘫痪。B、将现有服务器机房的交换机替换为2层可网管交换机，提升服务器区域网络效率，并将服务器区域和视频监控区域隔离，防止相互数据干扰。C、将服务器机房架设标准机柜，并完成服务器机房线路改造，做到故障易判断、线路标识有序。D、规划改造后的功能区域、网段。调整后的意义：A、提升交换机处理能力，为ERP系统提供更好的网络带宽资源；B、将各功能区域划分开，使各功能区域互不干扰；C、将员工按功能分开，初步做到功能区域各自独立；D、防止因病毒引起的网络中断，避免病毒扩散；E、服务器机房交换机结合PRTG流量监控软件，实时观察各服务器流量吞吐情况；F、易判断故障出处，减小故障影响面积。第4章二期网络安全规划建设方案4.1网络安全建设的必要性完善小型服务器群安全防护体系，根据初期的业务系统规模进行单链路安全防护体系建设，初期主要针对于承载业务系统的服务器的安全做建设。此时需要关注的就是WEB服务器操作系统本身的漏洞管理，大多数的安全事件99%都是因为操作系统本身的漏洞导致的，因此漏洞管理的建设至关重要。WEB服务器群前段则需要有WEB应用防火墙来进行专业的WEB应用防护，通过事前预警、事中防护、事后补偿的防护体系来进行WEB应用层的安全防护建设。如为了考虑承载业务系统的主机操作系统的安全，可进行IPS部署，以防范互联网过来的安全攻击事件。随着业务发展也为了后期的扩容考虑，当服务器发展到中型服务器群，就要开始进行安全域划分建设。当承载业务系统的服务器数量不断扩容到一定的数量级，业务系统需要进行安全域安分，这样能更好地根据业务系统的严重级别进行分类管理。划分安全域后则需要根据每个域功能的不同进行安全防护设计。每个域的安全边界防护，需要有防火墙来进行边界隔离，严格控制各区域的访问。同时该业务系统区应有安全审计系统、入侵 检测 工程第三方检测合同工程防雷检测合同植筋拉拔检测方案传感器技术课后答案检测机构通用要求培训 系统、堡垒机加强网络运维的管理。完成上述的安全建设后，此时面临的就是如何更好地对外提供业务支撑了。为了保障业务系统的连续性，出口处需要部署抗拒绝服务系统，进行DDOS流量的防御。此时业务系统已经比较庞大，需要对运维人员进行安全培训，加强安全意识。同时光有防护设备和运维人员安全意识的加强还不够，需要通过第三方专业安全服务厂商提供专业的安全服务，如安全预警通告、紧急事件响应服务、高级安全运维服务等。4.2网络安全建设的价值·网络入侵防御系统的价值为了弥补目前安全设备（防火墙、入侵检测等）对攻击防护能力的不足，我们需要一种新的工具用于保护业务系统不受黑客攻击的影响。这种工具不仅仅能够精确识别各种黑客攻击，而且必须在不影响正常业务流量的前提下对攻击流量进行实时阻断。入侵防护系统提供了业界领先的实时、主动的防护能力，通过新一代的入侵防护技术，入侵防护系统的产品和技术能够有效的阻断攻击，保证合法流量的正常传输，这对于保障业务系统的运行连续性和完整性有着极为重要的意义。·WEB应用防火墙的价值为了弥补目前安全设备，如防火墙/IPS对WEB应用攻击防护能力的不足，我们需要一种新的安全工具用于保护重要信息系统不受WEB应用攻击的影响。这种工具不仅仅能够检测目前复杂的WEB应用攻击，而且必须在不影响正常业务流量的前提下对攻击流量进行实时阻断。这类工具相对于目前常见的安全产品，必须具备更细粒度的攻击检测和分析机制。我们将提供了业界领先的WEB应用攻击防护能力，保证WEB应用的连续性和高可用性。同时，针对当前的热点问题，如SQL注入攻击、网页篡改、网页挂马、敏感信息泄漏等，NSFOCUSWAF提供最佳安全-成本平衡点，有效降低安全风险。·远程安全评估系统的价值依托国内权威中文漏洞知识库和已在国际上享有盛名的安全小组，我们将提供国际领先的漏洞管理产品，配合专业的Web扫描模块，它能够定期和持续地给用户提供全面可靠的安全评估服务，满足多种应用需求，并且提供完整的漏洞管理机制，有效降低用户网络和主机风险，更大限度地保证用户网络和系统的安全性和稳定性。·安全审计系统的价值通过在网络信息系统的部署，可以有效掌握网络安全状态，预防敏感涉密信息外泄，实现对内部网络信息的整体智能关联分析、评估、调查及安全事件的准确跟踪定位，为整体安全策略的制定提供权威可靠的支持。·堡垒机的价值通过部署堡垒机产品，可帮助企业建立面向用户的集中、有序、主动的运维安全管控平台，通过基于唯一身份标识的集中账号与访问控制策略，与各服务器、网络设备等无缝连接，实现集中精细化运维操作管控与审计,降低人为安全风险，避免安全损失，满足合规要求，保障企业效益。·安全服务的价值波鸿集团的网络建设和发展是一个长期的任务，需要随着技术的发展和业务的更新，及时地制定设计新的安全方案，调整已有的安全策略。而计算机技术和网络技术具有的复杂性和多样性，使得网络安全越来越成为一种专门的技术和服务。如何保证网络的持续安全，我们根据多年来的网络安全从业经验，给出了更为专业的安全服务理念，做巨人背后的专家，保障客户业务顺畅运行。4.3网络拓扑图4.4网络安全建设内容4.4.1部署负载均衡优化说明：1、将两条电信链路合并。2、将原电信、网通服务器组合并，减少服务器投资成本。3、部署链路负载均衡设备，将服务器组分别在电信和网通出口进行NAT映射，保证外网无论是电信或网通用户对服务器访问均能保证良好的访问链路。部署后的意义：A、访问电信、网通可自动选择优质链路，解决南北互联互通问题；B、服务器与外网隔开，可有效避免服务器被攻击、资料泄漏；C、相同功能的服务器合并可减少服务器的投资成本；4.4.2网络入侵防御系统4.4.2.1为什么需要网络入侵防御系统绝大多数人在谈到网络安全时，首先会想到“防火墙”，企业一般采用防火墙作为安全保障体系的第一道防线，防御黑客攻击。但是，随着攻击者知识的日趋成熟，攻击工具与手法的日趋复杂多样，单纯的防火墙已经无法满足企业的安全需要，部署了防火墙的安全保障体系仍需要进一步完善。传统防火墙的不足主要体现在以下几个方面：·防火墙作为访问控制设备，无法检测或拦截嵌入到普通流量中的恶意攻击代码，比如针对WEB服务的CodeRed蠕虫等。·有些主动或被动的攻击行为是来自防火墙内部的，防火墙无法发现内部网络中的攻击行为。·作为网络访问控制设备，受限于功能设计，防火墙难以识别复杂的网络攻击并保存相关信息，以协助后续调查和取证工作的开展。入侵检测系统IDS（IntrusionDetectionSystem）是继防火墙之后迅猛发展起来的一类安全产品，它通过检测、分析网络中的数据流量，从中发现网络系统中是否有违反安全策略的行为和被攻击的迹象，及时识别入侵行为和未授权网络流量并实时报警。IDS弥补了防火墙的某些设计和功能缺陷，侧重网络监控，注重安全审计，适合对网络安全状态的了解，但随着网络攻击技术的发展，IDS也面临着新的挑战：·IDS旁路在网络上，当它检测出黑客入侵攻击时，攻击已到达目标造成损失。IDS无法有效阻断攻击，比如蠕虫爆发造成企业网络瘫痪，IDS无能为力。·蠕虫、病毒、DDoS攻击、垃圾邮件等混合威胁越来越多，传播速度加快，留给人们响应的时间越来越短，使用户来不及对入侵做出响应，往往造成企业网络瘫痪，IDS无法把攻击防御在企业网络之外。基于目前网络安全形势的严峻，入侵防护系统（IntrusionPreventionSystem）作为新一代安全防护产品应运而生。网络入侵防护系统作为一种在线部署的产品，提供主动的、实时的防护，其设计目标旨在准确监测网络异常流量，自动对各类攻击性的流量，尤其是应用层的威胁进行实时阻断，而不是简单地在监测到恶意流量的同时或之后才发出告警。IPS是通过直接串联到网络链路中而实现这一功能的，即IPS接收到外部数据流量时，如果检测到攻击企图，就会自动地将攻击包丢掉或采取措施将攻击源阻断，而不把攻击流量放进内部网络。4.4.2.2网络入侵防御系统针对日趋复杂的应用安全威胁和混合型网络攻击，我们提供了完善的安全防护方案。网络入侵防护系统设计目标旨在准确监测网络异常流量，自动应对各类攻击流量，第一时间将安全威胁阻隔在企业网络外部。这类产品弥补了防火墙、入侵检测等产品的不足，提供动态的、深度的、主动的安全防御，为企业提供了一个全新的入侵防护解决方案。我们提供的网络入侵防护系统同类产品中的精品典范，该产品高度融合高性能、高安全性、高可靠性和易操作性等特性，产品内置先进的Web信誉机制，同时具备深度入侵防护、精细流量控制，以及全面用户上网行为监管等多项功能，能够为用户提供深度攻击防御和应用带宽保护的完美价值体验。·入侵防护实时、主动拦截黑客攻击、蠕虫、网络病毒、后门木马、D.o.S等恶意流量，保护企业信息系统和网络架构免受侵害，防止操作系统和应用程序损坏或宕机。·Web安全基于互联网Web站点的挂马检测结果，结合URL信誉评价技术，保护用户在访问被植入木马等恶意代码的网站时不受侵害，及时、有效地第一时间拦截Web威胁。·流量控制阻断一切非授权用户流量，管理合法网络资源的利用，有效保证关键应用全天候畅通无阻，通过保护关键应用带宽来不断提升企业IT产出率和收益率。4.4.3WEB应用防火墙4.4.3.1为什么需要WEB应用防火墙WEB的开放性带来丰富资源、高效率、新工作方式的同时，传统网络边界正逐渐消失，机构的重要资产暴露在越来越多的威胁中。现今WEB安全问题对人们来说已屡见不鲜，以下是收录于国际安全组织WASCWHID项目中的几起最新安全事件：1.2009年5月26日，法国移动运营商OrangeFrance提供照片管理的网站频道被曝存在SQL注入漏洞，黑客利用此漏洞获取到245,000条用户记录（包括E-mail、姓名及明文方式的密码）。2.2009年1月26日，土耳其黑客采用SQL注入攻击，篡改了美国军方两台重要服务器的网页。3.2009年1月26日，印度驻西班牙使馆网站被挂马（通过iFrame攻击植入恶意代码）。对去年网络世界（NetworkWorld）的报导，人们也记忆犹新。“2008年5月13日，在中国大陆、香港及台湾地区有数万个网站遭遇新一轮SQL注入攻击，并引发大规模挂马。在过去的4个月中，之前已有3次大规模攻击，受害者包括某知名防病毒软件厂商网站、欧洲某政府网站和某国际机构网站在内的多家互联网网站，感染页面数最多超过10，000页面/天。”4.4.3.2WEB应用防火墙WEB应用防火墙，提供WEB安全和WEB应用交付融合的解决方案，确保WEB业务在安全和性能两方面的收益最大化：1.缓解HTTP及HTTPS应用下各类安全威胁，如SQL注入、XSS、跨站伪造（CSRF）、cookie篡改以及应用层DDoS等，有效应对网页篡改、网页挂马、敏感信息泄露等安全问题，充分保障WEB应用的高可用性和可靠性。2.WEB应用交付方面，降低服务响应时间、显著改善终端用户体验，优化业务资源和提高应用系统敏捷性，提高数据中心的效率和服务器的投资回报率(ROI)。(1)网页篡改在线防护按照网页篡改事件发生的时序，NSFOCUSWAF提供事中防护以及事后补偿的在线防护解决方案。事中，实时过滤HTTP请求中混杂的网页篡改攻击流量（如SQL注入、XSS等）。事后，自动监控网站所有需保护页面的完整性，检测到网页被篡改，第一时间对管理员进行短信告警，对外仍显示篡改前的正常页面，用户可正常访问网站。(2)网页挂马在线防护网页挂马为一种相对比较隐蔽的网页篡改方式，本质上这种方式也破坏了网页的完整性。网页挂马攻击目标为各类网站的最终用户，网站作为传播网页木马的“傀儡帮凶”，严重影响网站的公信度。当用户请求访问某一个页面时，NSFOCUSWAF会对服务器侧响应的网页内容进行在线检测，判断是否被植入恶意代码，并对恶意代码进行自动过滤。(3)敏感信息泄露防护NSFOCUSWAF可以识别并更正WEB应用错误的业务流程，识别并防护敏感数据泄漏，满足合规与审计要求，具体如下：1.可自定义非法敏感关键字，对其进行自动过滤，防止非法内容发布为公众浏览。2.WEB站点可能包含一些不在正常网站数据目录树内的URL链接，比如一些网站拥有者不想被公开访问的目录、网站的WEB管理界面入口及以前曾经公开过但后来被隐藏的链接。WAF提供细粒度的URLACL，防止对这些链接的非授权访问。3.网站隐身：过滤服务器侧出错信息，如错误类型、出现错误脚本的绝对路径、网页主目录的绝对路径、出现错误的SQL语句及参数、软件的版本、系统的配置信息等，避免这些敏感信息为攻击者利用、提升入侵的概率。对数据泄密具备监管能力。能过滤服务器侧响应内容中含有的敏感信息，如身份证号、信用卡号等。(4)合规多数网站面临的实际情况为：大量早期开发的WEB应用，由于历史原因，都存在不同程度的安全问题。对于这些已上线、正提供生产的WEB应用，由于其定制化特点决定了没有通用补丁可用，而整改代码因代价过大变得较难施行或者需要较长的整改周期。多数关系国计民生的重要网站，同时还面临监管机构的合规要求。NSFOCUSWAF提供的Web应用安全解决方案切实可行，在客户修补补丁或整改代码较为困难时，提供虚拟补丁功能，应对各类WEB应用安全挑战，协助客户满足安全合规要求。4.4.4远程安全评估系统（漏洞扫描器）4.4.4.1为什么需要远程安全评估系统每年都有数以千计的网络安全漏洞被发现和公布，加上攻击者手段的不断变化，网络安全状况也在随着安全漏洞的增加变得日益严峻。事实证明，99%的攻击事件都利用了未修补的漏洞，使得许多已经部署了防火墙、入侵检测系统和防病毒软件的企业仍然饱受漏洞攻击之苦，蒙受巨大的经济损失。寻根溯源，绝大多数用户缺乏一套完整、有效的漏洞管理工作流程，未能落实定期评估与漏洞修补工作。只有比攻击者更早掌握自己网络安全漏洞并且做好预防工作，才能够有效地避免由于攻击所造成的损失。4.4.4.2远程安全评估系统远程安全评估系统，第一时间主动诊断安全漏洞并提供专业防护建议，让攻击者无机可乘，是您身边的“漏洞管理专家”。·依托专业的安全研究团队，综合运用信息重整化（NSIP）等多种领先技术，自动、高效、及时准确地发现网络资产存在的安全漏洞；·针对网络资产的安全漏洞进行详细分析，采用权威的风险评估模型量化风险，提供专业的解决方案；·集成专业的Web应用扫描模块，可以自动化进行Web应用、Web服务及支撑系统等多层次全方位的安全漏洞检测。·融合OpenVM（OpenVulnerabilityManagement）开放漏洞管理工作流程，提供真正有效的漏洞管理解决方案；为降低企业的安全风险提供强有力的保障。4.4.5安全审计系统4.4.5.1为什么需要安全审计系统随着业务系统访问、网络应用行为日益频繁，我们可能经常遇到如下情况：·内部系统维护人员对业务应用系统的越权访问、违规操作，损害业务系统的运行安全；·企业重要业务数据库，被员工或系统维护人员篡改牟利、外泄，给企业造成巨大的经济损失；·员工随意通过网络共享文件夹、文件上传下载、EMAIL等方式，发送重要敏感信息、业务数据，导致信息外泄事件发生；·员工在论坛发表敏感信息、传播非法言论，造成恶劣社会影响；·等级保护要求。公安部国家电子政务等级保护、国家保密局BMB17-2006号文件中要求政府、涉密单位必须对与涉密敏感信息、业务系统相关的网络行为进行安全审计；·萨班斯(SOX)法案。在美国上市公司必须遵循的“萨班斯(SOX)法案”中要求对企业内部网络信息系统进行评估，其中涉及对业务系统操作、数据库访问等业务行为的审计。根据调查数据显示，大多数企业虽然已经采用一定的网络安全手段（如防火墙、入侵检测、漏洞扫描等）和管理措施，但是上述安全事件发生后，却仍然无法进行及时告警响应、准确定位事件源头，给企业带来极大的困扰和严重的信息安全隐患。如何有效监控业务系统访问行为和敏感信息传播，准确掌握网络系统的安全状态，及时发现违反安全策略的事件并实时告警、记录，同时进行安全事件定位分析，事后追查取证，满足合规性审计要求，是企业迫切需要解决的问题。4.4.5.2安全审计系统针对网络中内部人员的敏感信息泄露、违规网络行为等层出不穷的安全事件，我们提供了完善的安全审计方案。通过网络数据的采集、分析、识别，实时动态监测通信内容、网络行为和网络流量，发现和捕获各种敏感信息、违规行为，实时报警响应，全面记录网络系统中的各种会话和事件，实现对网络信息的智能关联分析、评估及安全事件的准确全程跟踪定位，为整体网络安全策略的制定提供权威可靠的支持。安全审计系统具有三大功能，如下图所示：安全审计系统功能·内容审计SAS系统提供深入的内容审计功能，可对网页页面内容、邮件、数据库操作、论坛、即时通讯等提供完整的内容检测、信息还原功能；并可自定义关键字库，进行细粒度的审计追踪。·行为审计SAS系统提供全面的网络行为审计功能，根据设定行为审计策略，对网站访问、邮件收发、数据库访问、远程终端访问、文件上传下载、即时通讯、论坛、在线视频、P2P下载、网络游戏等网络应用行为进行监测，对符合行为策略的事件实时告警并记录。·流量审计SAS系统提供基于协议识别的流量分析功能，实时统计出当前网络中的各种报文流量，进行综合流量分析，为流量管理策略的制定提供可靠支持。SAS支持旁路(SnifferMode)部署模式，并支持多个硬件监听口，提供对多网段的同时监听能力，典型部署如下0所示：SAS典型部署4.4.6上网管理系统随着互联网应用的迅速发展，计算机网络在经济和生活的各个领域正在迅速普及，信息的获取、共享和传播更加方便。政府、企业对网络的依赖程度越来越大，信息安全的重要性也在不断提升。互联网也给企业带来前所未有的混合威胁的风险。一方面，互联网中存在着太多的风险，如恶意网站、网上欺诈、网络病毒及恶意代码，给企业网络安全带来巨大威胁；而另一方面网络违规行为泛滥，如：员工随意不受控制地访问非法网站、传递敏感信息、发布非法言论、滥用网络资源（包括P2P下载、IM即时通讯、网络游戏、在线视频、炒股等）、外泄敏感业务信息等，严重影响企业网络安全，造成难以弥补的损失。如何打造安全高效的上网环境、规范网络行为，保证网络系统正常运行，已经成为企业重点关注的问题。4.4.6.1安全管理系统随着互联网的普及，网络安全事件的发生离我们越来越近，我们可能遇到如下情况：·员工利用工作时间，聊天、炒股、玩网络游戏等行为，影响工作效率；·员工访问不良网站，遭受恶意代码、间谍软件及钓鱼式攻击等，影响企业网络正常运行；·员工随意使用P2P下载、在线视频等，严重占用网络带宽，导致正常业务无法获取足够网络资源；·员工浏览非法网站、发表敏感信息和传播非法言论，造成恶劣社会影响，并可能导致国家法律问题；·员工随意通过EMAIL、即时通讯等方式发送敏感业务信息，导致信息外泄事件发生；·合规性管理要求。公安部82号令《互联网安全保护技术措施规定》中明确要求互联网服务提供者和连接到互联网上的企事业单位必须记录、跟踪网络运行状态，监测互联网安全事件，并对网络中的违法信息进行管理。根据调查数据显示，以上事件呈逐年上升趋势，导致企业员工工作效率降低、重要敏感信息泄露、企业业务应用无法正常运行、网络带宽资源滥用、不良反动言论传播甚至面临国家法律风险等，给企业造成严重的经济损失和巨大的网络信息安全风险。如何保证企业网络内容安全，净化网络环境，规范上网行为，符合国家法规要求，是广大企业迫切需要解决的问题。(1)内容安全管理的必要性根据IDC《中国用户IT安全现状与发展趋势》报告显示内容安全问题已经成为企业首要的威胁。其中由于网站访问、邮件收发、P2P下载、即时通讯、论坛、在线视频等正常网络行为导致的企业网络安全风险、员工工作效率低下、敏感信息外泄等网络安全事件呈急剧上升的形势；而且随着互联网应用的深入，越来越多的网络安全事件发生在应用层和内容层。配备传统的网络防护设备，是企业安全上网的前提。传统网络防护设备（如防火墙、入侵检测系统等）是解决网络安全问题的基础设备，其所具备的访问控制、网络攻击事件检测等功能，能够抵抗大多数来自外网的攻击；但是不能监控网络内容和已经授权的内部正常网络访问行为。然而，相对于网络层安全，由正常网络应用行为导致的安全事件，更加隐蔽，不易察觉，所以损失也更加巨大。因此，我们还需要细粒度的应用层和内容层策略控制。内容安全管理正顺应了互联网应用普及时代对网络安全的新要求。通过内容安全管理，企业可以加强员工上网行为管理，保障网络资源合理使用，避免人为的网络安全隐患，提升互联网使用率，拥有更加安全的网络环境，从而利用网络创造更多价值。(2)内容安全管理系统的特点基于目前内容安全管理的迫切需求，内容安全管理系统SCM（SecurityContentManagementSystem）作为新一代内容安全管理产品应运而生。内容安全管理系统作为一种在线部署的产品，其设计目标旨在通过对网络通信内容、网络行为和流量进行分析、过滤和控制，实现对网站访问、邮件收发、P2P下载、论坛、在线视频等事件的全面有效管理。内容安全管理系统的主要特点如下：·全面内容管理SCM采用URL网页过滤数据库和内容关键字技术，对网络中各类高风险、不良、反动网站及敏感信息进行告警、过滤；·规范网络行为SCM采用多种网络控制策略，灵活监控网站访问、邮件收发、论坛、即时通讯、文件上传下载、网络游戏、炒股等网络应用行为；·合理分配带宽资源SCM可根据协议、内容等，制定流量管理策略，合理分配带宽资源。因此，通过现有安全手段与内容安全管理技术相结合，构建一个立体的网络安全保障管理体系。4.4.6.2如何评价内容安全管理系统是否能够很好地帮助企业控制互联网内容、管理网络行为是内容安全管理系统的基本标准。一个完善的内容安全管理系统应该具备以下特征：·提供全面准确的通信内容管理、网络行为管理及流量管理手段；·满足高性能要求，提供强大的分析和处理能力，保证正常网络通信的质量；·具备高可靠的自身安全性，保证网络、自身设备的高可用性；·提供方便灵活的部署方式，丰富的系统管理能力。4.4.7安全服务通过与专业的安全服务公司合作，为波鸿集团提供专业的网络安全服务，主要包括安全预警通告、紧急事件响应服务、高级安全运维服务等。4.4.7.1安全预警通告安全问题目前正以每周新增几十甚至几百例的速度在全世界得到反馈，同时涉及信息技术的众多领域，波鸿集团维护人员所掌握安全知识的更新速度所受到的压力非常大。安全预警以安全通告的形式为波鸿集团提供最新的安全动态、技术和定制的安全信息，包括实时安全漏洞通知、定期安全通告汇总、临时安全解决方案和安全知识库更新等。同时，这些通告信息也可以由波鸿集团定制化发送给波鸿集团客户，通过提供安全信息增值服务的方式来增加波鸿集团客户的粘度。服务内容安全通告服务将下面的这些成果与波鸿集团共享：·安全通告：根据客户订阅内容，提供主流厂商的中文安全通告，包括Windows、AIX、HP-UX、Solaris、Linux、CISCO等。·安全通告：发现的安全问题通告和其他有必要提示的重要安全问题通告。·其他安全通告：其他应用系统和安全组织（如SANS/CERT等）的安全通告。服务方式包括email地址，通信地址，电话，传真号等定期将最新的安全漏洞信息更新到安全通告服务器，根据波鸿集团订阅的不同类别通告，详细信息将通过Email方式发送给登记的邮件地址。被标注为紧急级别的安全漏洞，还将通过用户传真和电话通知的方式进行及时的通知。4.4.7.2紧急事件响应目前许多波鸿集团或者波鸿集团的客户自身尚没有足够的资源和能力对安全事故作出反应。网络安全的发展日新月异，无法实现一劳永逸的安全，所以当紧急安全问题发生，一般技术人员又无法迅速解决的时候，及时发现问题、解决问题就必须依靠紧急响应来实现。紧急响应服务提供高效的信息安全事故反应体系，帮助用户尽快对信息安全破坏事故作出反应。在安全事件发生后，根据需求以电话->远程支持->现场支持的方式提供服务，包括事故处理及恢复、事后的事故描述报告以及后续的安全状况跟踪。当波鸿集团中托管的用户主机或波鸿集团的网络系统正遭到攻击或发现入侵的痕迹，而又无法当时解决和追查来源时。紧急事件响应将以最快的速度赶到现场，协助波鸿集团运维人员解决问题，查找受攻击系统，保存证据和追查来源。紧急事件响应服务的主要内容如下：·服务确认·临时支持账号·远程紧急响应·本地紧急响应·响应情况简报·紧急响应服务报告·事故跟踪分析报告作为国内首家倡导安全紧急响应概念的网络安全服务商，我们有一套完整的紧急响应体系和团队，在安全事件发生时和事后的调查及收取攻击证据等方面为众多的客户提供了完善了紧急响应服务，获得客户的高度认可。4.4.7.3高级维护服务1.安全设备维护随着网络安全的不断发展，波鸿集团在信息安全方面的投资也越来越多，各种安全产品在的各个层面部署。而波鸿集团中的安全设备往往买回来后，由于维护力量的不足，往往也搁置不用，在各省的波鸿集团都多或多或少的存在这样的问题。因此需要引入专业的安全服务对各种安全设备进行专业的维护和照料，使之发挥相应的作用。凭借对网络安全的深刻理解和对各种安全技术的深入研究，能够帮助波鸿集团有效的维护各种安全设备，使其长期、稳定、高效的运行，从而帮助用户有效保护已有安全投资，实现已有安全投资效益最大化的目标。2.系统安全加固针对主机的漏洞和脆弱性，定期的进行安全加固，可以使系统有效的抵御外来的入侵和蠕虫病毒的袭击，使系统可以长期保持在高度可信的状态。网络安全是动态的，需要时刻关注最新漏洞和安全动态，制定更新的安全策略以应付外来入侵和蠕虫病毒等威胁。针对主机系统、应用服务器主要提供如下的安全加固服务：·安装最新补丁·帐号、口令策略调整·网络与服务加固·文件系统权限增强·日志审核功能增强·内核安全参数调整4.4.7.4信息安全培训信息安全培训是成本最低、最有效利用现有技术和资源的、效果最快最显著的信息安全管理措施，借助各项培训课程，专业培训人员将向波鸿集团的各层安全管理人员、维护人员和系统日常使用人员等传授从一般性的安全意识、到具体的安全攻防操作、再到高级的信息安全管理在内的全方位的安全知识和技能，从而提升波鸿集团在信息安全实践当中“人”这个决定因素的关键作用，为有效的信息安全提供保障。针对波鸿集团组织体系中的人员结构，并结合国际培训惯例，根据培训对象的不同将课程分为四种类型（层次）：初级安全培训（安全意识普及培训）；中级安全培训（各项安全技能培训）；高级安全培训（技术方向）和高级安全培训（管理方向）；资质认证培训等。标准培训示意图初级安全培训（安全意识普及培训）：面向组织的一般员工、非技术人员以及所有信息系统的用户，目的是提高普遍的安全意识和人员安全防护能力，使波鸿集团组织范畴内员工充分了解既定的安全策略，并能够切实执行。中级安全培训（各项安全技能培训）：面向组织的网络和系统管理员、安全专职人员、托管主机管理人员等，目的是让其掌握基本的安全攻防技术，提升其安全技术操作水平，培养解决安全问题和杜绝安全隐患的技能。高级安全培训（技术方向）：面向资深安全技术人员、CTO等，目的是让其透析底层安全技术，理解通常的安全攻击范式；掌握Windows和Unix/Linux系统的底层渗透和加固技术，掌握相应的防御方法和细节，理解影响Web安全的多种攻击方式等。高级安全培训（管理方向）：面向组织的管理职能和信息系统、信息安全管理人员，目的是提升组织整体的信息安全管理水平和能力，帮助组织有效建立信息安全管理体系。资质认证培训：提供国际上最顶尖信息安全相关认证考试的辅导培训，帮助培训人员顺利通过考试并获得各类信息安全资质认证。除此之外，可以针对波鸿集团中组织人员的安全知识体系结构和特殊需求，制定符合波鸿集团自身特点的培训方案，定制培训内容，编写培训 计划 项目进度计划表范例计划下载计划下载计划下载课程教学计划下载 ，提供相关教材。第5章三期VPN规划建设方案5.1VPN(虚拟专用网)虚拟专用网(virtualprivatenetwork)是一种在公用网络上通过创建隧道，封装数据模拟的一种私有专用链路。隧道起一个提供逻辑上点对点连接的作用，从隧道的一端到另外一端支持数据身份验证和加密。由于数据本身也要进行加密，所以即使通过公共网络，它仍然是安全的，因为即便数据包在通过网络结点时被拦截（如经过服务器时）但只要拦截者没有密钥。就无法查看包的内容。从内容上来说VPN的连接主要可以分为两个部分，即隧道的建立和数据的加密，在第2层上常见的隧道协议包括PPTP（PointtoPointTunnelingProtocol）点对点隧道协议，还有L2TP(Layer2TunnelingProtocol)第二层隧道协议，L2TP隧道能够提供ATM和FRAMERELAY上的隧道，而且由于不依赖IP协议，它还可以支持不止一个连接，那么一般的网络设备如路由器等大多支持这个协议。在第三层上创建的隧道是基于IP的虚拟连接，这些连接通过收发IP数据包实现，这个抱被封装在由IETF（InternetEngineeringTaskForce）指定的协议包装之内。包装使用IPsec，IKE，以及身份验证和加密方法，如MD5，DES，以及SHA。数据加密使用的加密数据协议有MPPE,IPsec,VPNd,SSH..IPsec可以与L2TP一起使用，这个时候L2TP建立隧道，IPsec加密数据，这种形式下IPsec运行于传输模式。5.2安全网关介绍NS-ASG产品是集IPSECVPN和SSLVPN为一体的新一代VPN产品，为客户实现安全、易用、高效的连接。需求背景要想有效率且安全地运作网络服务，会遇到如下问题：·不在单位内网的员工可能使用各种移动终端访问公司内网的CRM/OA/知识库等应用系统·有较多分支机构，租赁端到端的专线价格昂贵·重要的专线资源没有备份，出现问题会造成业务中断·高校用户从外网访问教育网资源速度过于缓慢·WLAN等移动网络因为其开放性带来的安全问题功能特性IPSecVPNASG提供标准的IPSec网络层连接功能，解决异地机构安全互连的问题。SSLVPNASG使用安全套接层（SSL协议）提供数据加密，保证数据在公网上传输的安全。企业员工、合作伙伴、移动办公人员可以通过任何标准的浏览器实现远程安全接入。接入用户认证ASG支持多种静态与动态用户认证技术，用于对远程接入用户进行高精度的认证与授权。另外，这些用户认证技术可以通过功能组合的方式来完成双因素可多因素认证。应用访问授权ASG的用户在使用VPN服务时，直观看到的是每一个他有权使用的内部应用。用户对于应用的使用权限通过访问安全策略来限制。终端准入控制ASG支持对客户接入的终端计算机进行安全扫描，对于不符合安全接入条件的计算机予以屏蔽。安全扫描要素包括：操作系统种类、版本、操作系统补丁、文件、注册表、进程、杀毒软件以及IP地址等。日志报表ASG可以对系统管理员的登录与操作、用户登录信息、应用资源的使用以及系统错误都形成日志，并且提供了丰富的信息统计与报表工具。产品优势IPSecVPN+SSLVPN双通道，提供高速、强壮的互连互通考虑到IPSec与SSL各自的技术特性，可以来综合两种技术于一般使用场景中，即远程访问用户采用SSL方式，而局域网互联时采用IPSec方式，通过网康科技的二合一技术，某一个通过SSL进行远程访问的移动用户可以即时地访问虚拟网络内的应用资源，而不用关心访问该应用时是否需要经过IPSec隧道。创新的虚拟实体路由协议VERP，成倍减少管理员配置工作ASG可以跨越多个VPN网关，将每一个VPN网关设备上所直连的网段或是VPN网关上所带的远程用户虚拟地址（池）信息告知同一个管理域内的其它网关设备，不再需要在所有网关之间建立全网状的虚拟隧道。对于一个大型的VPN网络来说，减少隧道数即意味着减少管理员的日常工作量。用户自助注册与审核机制，管理员无需手动添加每个用户ASG系统具备用户在线注册功能，需要申请账号的用户可以通过在线注册页面申请账号。用户的注册申请将被自动发送至管理员进行审核，审核通过的用户将自动被添加为正式用户。适用于大型用户数较多的企业，减轻企业管理员的工作量模块化用户认证插件，用户认证类型丰富，全面覆盖各种用户场景ASG是一个综合用户认证网关，支持多种静态与动态用户认证技术，用于对远程接入用户进行高精度的认证与授权。另外，这些用户认证技术可以通过功能组合的方式来完成双因素可多因素认证。ASG支持的认证技术包括：本地数据库认证、Radius认证、Windows域/AD认证、LDAP认证、UKey认证、CALIS认证、证书认证、硬件特征码认证、IP地址认证、一次性口令卡认证、短信动态口令认证（需短信网关配合）。除了ASG系统内置的用户认证功能模块外，还支持动态添加认证功能模块。一种新的功能模块可以通过一个动态链接库文件插入到系统中并即时生效。通过动态插入功能模块的方式，无需复杂的开发工作，ASG可以快速的满足用户不断增长的功能需求。内置虚拟云应用终端，随时随地云服务ASG能够与Citrix等虚拟云应用终端平滑联动，为终端接入用户省去复杂的配置过程，只要接入ASG就能享受VPN和云应用双重服务，无论是个人机、公用机、手机、PAD均可以随时随地享受云服务。应用场景移动用户远程接入在外办公的人员使用PC、笔记本、PDA、PAD等移动设备，随时随地接入内网，无差别访问内网应用系统。异地机构互连总部与分支机构之间采用端到端的局域网互连，实现跨越地理位置的大局域网，终端用户无需配置客户端，无感知访问远端资源专线备份重要的专线资源要求全年业务无中断，但是专线质量受到物理链路影响不能保证无故障，可采用VPN技术为专线建立备份链路，保证业务质量非教育网访问教育网资源加速运营商网络访问局域网资源缓慢已经成为一种现象，运营商网络采用VPN接入教育网从而访问教育网内的资源可以实现访问速度的成倍增长移动网络安全加固WLAN网络由于其开放性，用户和数据的安全无法得到保证，ASG的高强度用户认证、多种数据加密可以加固移动网络的安全5.3网络拓扑图第6章四川虹信软件有限公司简介6.1虹信公司简介长虹始创于1958年，从军工立业、彩电兴业，到信息电子的多元拓展，已成为集军工、消费电子、核心器件研发与制造为一体的综合型跨国企业集团，并正向具有全球竞争力的信息家电内容与服务提供商挺进。目前，长虹品牌价值800亿元。 近年来，长虹以创新为导向，不断提升核心技术创新能力，创新管理模式，提升经营活力，积极推进产业结构调整，不断丰富产业形态，挺进关键器件、核心部件领域，大力实施品牌国际化战略，不断提升企业综合竞争能力。目前，长虹正全力推进制造业升级、服务业转型和全球化发展，秉承“员工满意、顾客满意、股东满意”的企业宗旨，恪守“责任、坚韧、创新”的精神理念，凭借品牌、技术、人才、市场、服务等强大实力，长虹坚持“快乐创造C生活”的品牌主张，致力于为消费者创造聪明（Clever）、舒适（Comfort）、酷（Cool）的生活，成为全球值得尊重和信赖的企业集团。虹信软件公司简介四川虹信软件有限公司成立于2008年（公司前身为长虹股份公司信管处），是一家全国性专业从事安防工程施工、调试、维修及建筑安防工程设计、施工、调试、维修的专业公司。虹信软件大力推进服务能力建设与自主创新，取得了软件著作权10余项，通过了软件企业认定、ISO9000认证，承担了国家科技部863计划、现代服务业示范工程等国家级重大项目，并于2009年入选国家发改委十二家信息化外包服务试点企业。公司长期致力于工程解决方案、系统集成、设备安装、调试、运行、维护、自主软件产品开发及技术培训服务等。我们的资质·《四川省安全技术防范工程设计、施工及维修专业资格等级证书》壹级·ISO9000认证·虹信供应商管理管理系统著作权登记证书·软件企业认定证书·SAP合作伙伴认证证书·infor合作伙伴认证证书·CCIE认证·Juniper认证·数据库认证·数据保护备份·微软体系认证·LOTUS认证·NOVELL认证四川虹信软件有限公司注册资本2000万元人民币，公司以高科技为核心，从事软件开发、设计、生产、销售、安装为一体的智能系统集成商。同时，公司为所有员工提供实时培训的机会，使所有人才均能顺应市场的不断变化和公司发展，保证了公司技术的领先和更新。我们的施工力量要成为优秀的企业，不仅要有强大的技术阵容，而且还应具备坚实的施工力量，公司通过多年的施工锻炼，已培养出一批拥有较强实践工作能力的施工人员，其中国家高级项目经理5人，各类专业人员200余人，他们都拥有专业技能证书及实施大项目的经验。他们能针对不同类型的项目，制定对应的施工方案，采取有效的保证措施，严格控制进度与质量。同时，公司先进的施工机具和设备，更使这支生力军如虎添翼。我们的质保体系质量是企业的生命，信誉的保证。为了保证工程质量，公司的工程设计及施工部门，从技术方案、施工组织设计到现场施工，每一环节均严格按照公司质量体系运行，并进行实时的质量跟踪及监督，确保不合格事项的及时发现，整改措施的有效落实。我们的服务体系虹信正为越来越多的用户提供全方位的优质服务。·前期咨询公司凭借多年积累的技术和经验，为客户的系统配置、可行性分析、经济效益分析等提供富有价值的建设性意见。·售后服务当有合作意向时，我们将委派设计师勘察现场会同客户一起研究探讨，提供最优化的设计方案，保证用户获得最终满意。·用户培训我们将为客户培训维修及使用人员，以使用户准确掌握产品特点操作规范维护相关知识。·快速售后响应能力公司具有训练有素，经验丰富的售后服务队伍，当用户要求派人维护时，当地服务机构在接到电话后三个小时内即赶到现场进行处理。·持久的全面服务遍布全国各地的“快益点”分支机构，构成了全国一体的服务网络，将保证有能力对销售的产品及实施的工程提供终身跟踪全面服务。我们的合作伙伴我们的业绩离不开合作者的全力支持与配合，正是这些伙伴，使虹信能在激烈的市场竞争中拥有宝贵的机会和发展的潜力。世界著名企业：虹信公司与IBM、微软、思科、华为、Honeywell、松下、sony、三洋西蒙、德国西门子等建立了长期战略伙伴关系，在合作中不断学习国际先进技术。国内外优秀的企业：在与华3、海康、大华、汉邦、IBM、Honeywell、vmware等优秀企业合作中，汲取其成熟的项目管理经验，来不断完善自己。支持虹信发展的各界人士智能建筑领域的专家、政府领导、公司优秀忠诚的员工。我们的发展目标未来几年，虹信将逐步扩大、巩固软件、工程、产品的全国销售网络，提高市场占有率，增强企业知名度。并继续遵循“诚信”的合作理念，与各类合作者建立稳定深入的伙伴关系，共同创造安全、先进的安防办公、人居环境。争取成为国内一流的软件企业、安防系统工程商、集成商和产品供应商。四川虹信软件有限公司作为企业信息化一站式解决方案提供商，长期致力于企业信息化建设服务。虹信软件具备将现代管理理念与信息技术相结合、信息化总体规划与项目实施相结合、业界领先产品与自有软件相结合的核心能力，解决方案涵盖了ERP、PDM、WMS、SRM、应用集成、系统集成、智能系统项目、安防项目、IT外包等多个领域。虹信软件大力推进服务能力建设与自主创新，取得了软件著作权10余项，通过了软件企业认定、ISO9000认证，承担了国家科技部863计划、现代服务业示范工程等国家级重大项目，并于2009年入选国家发改委十二家信息化外包服务试点企业。近年来虹信在IT咨询服务业的营业收入情况如下图所示：虹信软件秉承“传播专业精神复制成功经验”的服务理念，依托SAP、SiemensPLM、Infor等著名厂商的一流产品，凭借服务长虹十余年的经验和积累，为客户提供优秀的解决方案、全方位的专业服务。虹信软件愿与客户共同成长，从成功走向卓越。6.2虹信软件业务范围虹信软件凭借十余年信息化建设的经验，形成了将信息技术与现代管理技术相结合、信息化总体规划咨询和具体项目实施相结合、自主知识产权软件开发与业界领先应用实施相结合的核心能力。公司业务范围涵盖IT规划与项目实施服务、应用系统集成、弱电系统集成、智能化系统项目、公共安全技术防范系统工程、IT服务外包、IT基础设施规划建设及运营等企业信息化的全部领域，虹信软件以先进的IT技术与经验丰富的专业人才，可以为客户提供从总体规划到IT基础设施建设与优化的全套信息化解决方案。企业管理咨询服务以虹信软件为平台，长虹集团的管理资源为后盾，可以为客户提供经过泛虹系60多家子公司实践验证的管理经验，如集团财务管控模式咨询、人力资源管理咨询、整合产品开发(IPD)管理咨询等。IT规划与管理信息系统实施服务虹信软件对于企业信息化特别是制造业信息化有着深厚的理解，人员结构涵盖了制造业ERP，产品数据管理系统、制造执行系统、供应链与物流系统、OA/BI、集成开发、IT基础设施等多个方面，均具备多年的应用与实施经验，并且有多年的集团企业IT总体规划经验，可以根据客户的需求为客户制定适合客户发展信息化总体规划。虹信建议的信息化规划流程如下图所示：在管理信息系统实施方面，虹信具备全面的企业管理信息系统实施能力，具体到SAPERP，近三年，虹信独立实施的客户就达到50余家，涉及到的应用模块包括FI（含ECCS）、MM、PP、CO、SD、QM、PM、PS、AM、HR等，以及ERP深化应用、数据归档等专项项目，参与实施的SAP实施项目20余个。SAPERP二次开发与应用集成开发自2000年以来，虹信就着力培养自主软件开发能力，到目前为止，已形成一支30余人的abap开发团队，70%的团队成员具备3年以上的abap开发经验，数年来，共计自形开发应用程序8000余个，修改SAP标准程序2000余个，涉及到从4.5B开始直到ECC6.0的所有的SAP的主要版本。2004年以来，虹信根据自身对信息化发展的理解，准确的预测到一套信息系统并不能解决企业所有的问题，随着信息化的深入进行，企业中必然出现多套信息系统的情况，为避免出现新的信息孤岛，将产生大量的应用集成业务。虹信基于SOA架构与SAPNetwaver平台，重点培育了一支近30人的应用集成开发团队，以SAPERP为核心，开发了大量的预配置的应用集成接口，如OA报销接口、银企互联接口，供应商协同平台接口等。IT基础设施服务随着管理信息系统与企业经营管理结合度的紧密度提高，对管理信息系统可用性要求也越来越高，对于IT基础设施的性能、稳健性、可伸缩性也提出了更大的挑战。虹信IT基础设施团队具备十年的网络、系统、存储、数据库、虚拟计算的设计、规划、优化经验，可以为客户提供全面的IT基础设施规划、运维管理与优化建议。IT服务外包在IT服务外包方面，虹信基于ITIL理论，形成了一整套的ITSM流程与规范，严格遵照SLA协议，可为客户提供数据中心外包服务、IT运维外包服务、数据备份与灾难恢复等服务，并且可提供量化的服务水平指标。6.3虹信软件核心竞争力具备丰富的制造业信息化实战经验·源于用户，服务于用户，对于用户的需求有深刻的理解,能与客户更好地沟通在探索SAP最佳实践与国内大型集团企业实际情况相结合方面有独到的优势。·虹信认为项目上线仅仅是项目的开始，在IT规划，团队建设，持续优化和改进，系统的运营维护等方面虹信具备独特的经验，并愿意在与客户合作过程中分享这些经验。·通过与外部ERP咨询服务合作伙伴的整合，形成了更加强大的ERP咨询服务能力。强大的开发能力，可以有力的支撑特殊业务的实现，实现基于核心平台的增值应用·2000年以来，共基于SAPERP开发特色管理平台30余个·强大的Abap开发能力，目前共有Abap开发人员30余人，数年来，基于ABAP开发的程序达8000余个；修改标准程序2000余个丰富的ERP与外围系统集成经验·5年基于消息和SAPNetwever架构的集成经验·可验证的OA系统与SAPERP全面实时集成·供应商协同平台与SAPERP全面实时集成·PDM系统与SAPERP全面实时集成·MES系统与SAPERP全面实时集成·仓库和条码系统与SAPERP实时集成·第三方物流与SAPERP实时集成(5156与长虹ERP集成，泸州老窖SAP与物流系统集成)·SAPERP与工行、农行的实时集成专业的物流供应链建设能力经过多客户的建设，充分掌握制造业、物流业等领域的供应链需求，以及对物流网络的建设要求，从整体供应链、客户体验的角度出发，结合虹信软件全面的系统建设、规划能力，为制造型企业提供供应链和物流的整体解决方案，以及针对物流行业的专业信息化整体解决方案，整体解决方案涵盖供应链管理、生产管理、仓储专业化管理、物流运输优化与任务管理、车辆定位等业务，以及为企业管理层提供决策的商业智能分析BI等。全面的制造业信息化规划与实施能力经过十余年的培养，虹信团队已具备全面的制造业信息化建设能力，包括从IT规划、基础设施建设（机房、网络、信息安全）、专业咨询服务（如ERP、WMS、PDM、SRM、CRM等）、系统集成到基于核心应用平台的增值产品、解决方案和基于客户需求定置开发的全面解决能力。6.4虹信软件部分成功案例简介·数字青川项目“5.12”地震给青川党政机关信息化建设工作造成了毁灭性的灾难，基础网络平台、应用系统全面瘫痪。根据中央、省、市关于党政机关信息化建设总体目标和要求，虹信软件结合青川实际情况，特编制青川县信息化灾后恢复重建总体规划方案。“数字青川”总体建设目标是建立在以人为本、科学管理基础上，以信息科技为辅助手段，建立“管理精细化、功能模块化、信息网络化”的综合应用基础平台。一个骨干，即建立基础传输交换骨干物理网络，彻底解决制约党政机关信息化建设发展的瓶颈。二个数据平台，即建立以内部办公为主体的电子政务内网信息交换、应用数据平台；建立以新闻、政务信息公开、便民服务为主体的电子政务外网数据信息发布平台。四大中心，即党政机关数据交换存贮中心,应急联动指挥中心,便民服务中心，电子商务中心。五类综合应用系统，即综合协同办公自动化系统(SOA)，文件传输系统，视频会议系统，多媒体政务展示系统,部门专业网络应用系统。·数字北川项目北川县数据中心是“数字北川”基础数据平台，为电子政务、公共服务、城市管理、天网监控、公安系统、应急指挥等几大系统提供统一、共享的数据处理和存储服务。北川县数据中心主要分为城管中心机房、公安应急指挥机房、电子政务外网机房和电子政务内网机房(包含密码机房在内)四个部分，统一规划、分别建设。数据中心城管机房和数据中心公安机房部署在政务外网，物理独立、网络互联。电子政务内网数据中心机房部署在政务内网，政务内网与政务外网物理隔离。·云南云天化股份有限公司财务整合一期项目云南云天化股份有限公司是由云天化集团有限责任公司独家发起，采用社会募集方式设立的股份有限公司。1997年7月，“云天化”A股在上海证券交易所挂牌上市。公司现拥有总资产195亿元，净资产55亿元。公司是中国百强上市公司、中国化工企业百强、全球最优秀的共聚甲醛生产商之一、全球最优秀的玻纤生产商之一。云天化股份从2008年3月切换上线FI、PP、CO等模块，随着业务量的增长以及后续下属各个分子公司的推广，系统数据增长较快，系统性能有所降低；另外随着系统应用的不断优化对原有系统产生了一些废弃的主数据、业务数据，系统数据比较混乱；鉴于以上原因云天化希望通过归档相关数据净化系统业务数据、提升系统性能和稳定性。云天化归档项目的挑战在于归档客户、供应商、科目等相关主数据以及业务存在大量的不完整性。经过项目组的艰苦努力圆满按照云天化的需求完成相关的归档并进行了数据库重组等工作，到达了净化系统业务数据、有效提升了系统的性能和稳定性，得到客户高度的认可。云南云天化股份有限公司是由云天化集团有限责任公司独家发起，采用社会募集方式设立的股份有限公司。1997年7月，“云天化”A股在上海证券交易所挂牌上市。公司现拥有总资产195亿元，净资产55亿元。公司是中国百强上市公司、中国化工企业百强、全球最优秀的共聚甲醛生产商之一、全球最优秀的玻纤生产商之一。云南云天化股份有限公司本部位于云南省水富县。云南云天化股份有限公司围绕化肥、有机化工、玻纤新材料、商贸四大产业发展方向，通过资本运作，广泛向高新技术产业和新兴产业发展，先后投资设立了重庆国际复合材料有限公司、天盟农资连锁有限责任公司、云南天驰物流有限公司、云南天安化工有限公司、昭通天合有限责任公司、重庆天勤材料有限公司、云南天腾化工有限公司、呼伦贝尔金新化工有限公司、重庆天越化工有限公司、重庆纽米新材料科技有限责任公司10个控股子公司。本期SAP项目包括5个子项目：重庆天勤材料有限公司SAP项目（全新项目）、重庆天越化工有限公司（推广项目）、云天化股份有限公司SAP系统优化项目、云天化股份有限公司SAP系统数据归档项目、云天化股份有限公司SAP财务合并项目。项目涉及SAP功能模块：其中重庆天勤材料有限公司SAP项目和重庆天越化工有限公司SAP项目均启用SAP系统五大标准模块：SD/MM/PP/FI/CO模块。项目实施周期：从2010年4月13日启动，最后项目全部完成时间为2011年3月7日，累计10个月。按照项目需求圆满完成多个子项目的实施、系统上线运行及现场支持、报表开发等各项工作，从业务流程到单据、报表目前都运行畅通，有效的支撑公司的各项经营管理。在本次项目中针对云天化的需求和特色，有效解决了如下特色业务需求：1、原材料、半成品、成品多级物料分类账核算原来的核算为平行成本核算，而通过SAP系统管理了生产过程的各级半成品、成品，这样需要从原来的平行结转模式变更为逐级成本模式，系统实现了从原材料的分类差异分摊到半成品从织布轴→坯布→处理布→成品布的逐级差异结转核算，保证各级物料的加权实际成本的准确率，在保证业务管控的同时完成财务核算的精细化管理。2、半成品、成品批次跟踪控制管理基于满足天勤公司玻纤布生产和质量追溯管理的要求，在生产过程需要管理每个轴的各个加工工艺段需要记录和管理每轴的长度、生产日期、主要材料特性、产品的关键参数以及半成品在整个加工过程中的批次跟踪和成品的可追溯性，采用批次+批次特性的功能系统实现了从织布轴→坯布→处理布→成品布的有效批次跟踪管理和过程监控。3、未清销售、采购、供应商、客户、科目等归档云天化在2008年的时候切换了一些管理天盟公司的销售、采购、财务相关业务，而后来由于种种原因运行了几个月后SAP业务终止，造成了系统部分垃圾数据，以及考虑到多个公司推广，业务量增长，需要对2008年3月前的数据进行归档。虹信公司通过业务分析，发现大量的未清销售、采购、供应商、客户、科目等业务存在，通过顾问的详细周密的业务和技术分析、测试，最终完成这些未清业务数据的有效归档，目前系统运行稳定。4、合并报表虹信公司顾问通过对云天化公司关联交易业务的深入分析，制定了合理的合并层次结构及抵消策略，设计了对于上线公司合并数据直接从业务数据生成的方案，提高了云天化股份公司出具合并报表的准确性和及时性，减少财务人员手工操作的工作量，同时避免了过多的人为数据干预造成数据错误处理的风险。富临精工PLM项目富临精工是绵阳富临集团旗下的汽车零部件制造企业，现有挺杆、张紧器、摇臂、机油喷嘴、VVT五大类产品共300种，其中挺杆类产品包扩了柱状、杯状、指状、机械及滚轮挺柱５个小类240种；张紧器70种，摇臂12种,机油喷嘴10种，VVT7种在富临精工PDM项目项目中，成功完成并实现了以下主要功能1、建立富临精工的产品数据管理平台，提供完整、准确、一致的产品数据和标准规范，使产品开发周期内的用户可以快速、便捷地查询到所需的产品数据。2、协助品保部的业务流程标准化、规范化建设活动，建立规范的产品研发流程，提高产品研发流程的工作效率。帮助用户快速、正确的实现新品研发，并记录相关产品流程历史以及相关技术状态；建立规范的归档流程和数据签审流程。3、项目管理人员可以通过图形化的界面了解项目的进展情况，项目管理员能够对项目类型进行配置管理，并可以汇总、报表输出，加大对技术状态的管理力度。4、针对汽车行业特点，实现了富临精工APQP规范文档的管理要求，并解决了公司产品状态复杂，零部件数量多的规范化管理需求。目前，PDM项目的应用人员有60人以上，应用范围覆盖技术中心、各事业部门、品管部、办公室等部门。·四川华丰电子有限公司SAPERP项目四川华丰企业集团有限公司位于中国绵阳科技城。是中国最大的电连接器专业化大型。四十年的军工生产技术与现代高科技相结合，使华丰牌连接器已成为中国知名品牌。公司现位居“中国500家最大电子通讯设备制造厂”第106位，连续十四年跻身于中国电子元件百强行列。华丰SAPERP项目2008年3月启动，2008年8月成功上线，实施模块有财务管理（FI），成本控制（CO），物料管理（MM），销售与分销（SD），生产管理（PP）等模块。通过ERP系统的实施，华丰公司进行了一系列的整合，实现了资源、信息的共享。通过整合，华丰的组织架构、业务流程更趋规范合理，管理效益的提升更是明显：实现了资源共享，统一管理，提高了业务的质量及数据的准确性，加强了财务经营风险的控制，大大提升了客户的满意度。虹信公司凭借对业务的深刻理解，制定了完善的项目解决方案，通过项目的实施帮助华丰企业实现了蜕变。通过ERP很好地解决了对客户信用额度的控制、业务经营的系统集成、对价格的整体控制，实现了企业内部数据信息标准的统一。公司实现了企业管理的规范化、高效化、系统化和集成化。·唐山轨道客车有限公司SAPERP项目唐山轨道客车有限责任公司(唐车公司)成立于2006年11月3日,承担着时速350KM/H动车组引进项目,350KM/H项目是国家、河北省“十一五”期间确立发展的重点项目。2008年，为保证公司战略的实现，唐车准备引入SAP质量管理、设备管理系统，该项目经过激烈的招标，最终虹信以综合排名第一的身份中标唐车质量管理、设备管理项目；该项目已于2008年12月正式成功上线，受到了客户极高的评价，并计划于2009年在北车集团全面推广。·合肥美菱股份有限公司SAPERP项目合肥美菱股份有限公司成立于1992年11月，总部位于中国安徽省合肥市。公司的前身是合肥市第二轻工机械厂，1983年转产家用电冰箱，在激烈的市场竞争中不断发展壮大，是中国最早生产冰箱的企业之一。经营范围主要为电冰箱的生产和销售，现工业生产具有年产200万台电冰箱（柜）、5万台深冷冰箱的生产能力。近年来，美菱公司营销网络已覆盖全球九十多个国家及地区。合肥美菱ERP项目于2008年8月启动，2009年2月成功上线，实施范围包括2个公司，实施模块有财务管理（FI），成本控制（CO），物料管理（MM），销售与分销（SD），生产计划（PP）等模块。虹信公司项目实施团队经过深入的业务调研，为合肥美菱重新设计了管理模式:优化调整部门职能，整合业务和财务体系，实现物流、信息流、资金流高度统一。现在，通过搭建高度的集成的信息平台，合肥美菱实现了各个部门之间的信息共享，促进了企业内部体制改革和管理水平的提高；资源优化取得显著效果，并在提高产品质量，降低生产成本，提高时间效益和服务效益方面将获得巨大成就。·加西贝拉压缩机有限公司SAPERP项目加西贝拉压缩机有限公司是专业研发、制造冰箱压缩机的国家级重点高新技术企业。公司位于浙江嘉兴，东邻上海、西接杭州、北接苏州、南濒杭州湾，处于长三角经济圈中心，交通便利，经济发达，产业集聚，人才济济，具备打造压缩机研发，制造基地得天独厚的优势。现已累计生产冰箱压缩机3000余万台，是中国“环保、节能、高效”压缩机生产规模最大的专业制造商之一。为提高加西贝拉公司的信息化水平，加西贝拉公司于2009年2月启动了SAP实施项目，虹信公司作为实施方承担了项目的实施工作，实施范围包括采购管理、库存管理、销售及财务管理等SAPERP相关模块，2009年7月初成功上线。经过该项目实施，理顺了公司采购业务流程、优化了销售价格体系，实现了采购、库存、销售业务与财务核算的高度集成，同时系统自动出具各种管理口径的日常报表，为企业经营决策提供信息数据支持。预计二期生产及成本控制业务将在2009年11月开始实施，上述两个模块实施后，SAP系统将全面集成采购与生产、销售、财务管理，为加西贝拉建立集采购、生产、库存、销售及财务与一体的企业内部供应链管理系统。·中海石油股份有限公司SAP开发项目中国海洋石油总公司是中国最大的国家石油公司之一，负责在中国海域对外合作开采海洋石油及天然气资源，是中国最大的海上油气生产商。公司成立于1982年，注册资本949亿元人民币，总部位于北京，现有员工5.3万人。2008年，根据中海油的发展需要，公司开始实施SAPERP系统，在实施过程中，形成了大量的二次开发需求，海油对SAP开发部分进行了招标，虹信以技术排名第一的身份成功中标海油SAP外包开发项目，成为中海油在SAP开发方面的长期合作伙伴。伴随着海油对虹信开发能力的认同，部分虹信在SAP平台基础上开发的自主解决方案也将陆续在海油得到推广。·成都明珠家俱WMS实施项目成都市明珠家具（集团）始创于1990年，经过十八年的励精图治，已发展成集设计开发、生产、销售于一体的现代化大型企业集团，遍布全国的专卖店达千余家。为配合企业的发展，明珠家具在2008年展开了SAPERP项目实施工作，并且考虑通过专业的WMS进行成品仓储的管理，通过WMS与SAPERP的集成实现整个业务流程的整合，提高仓储管理水平和效率。虹信公司作为明珠家具WMS项目的实施方，根据家具行业自身特点的需求，通过世界领先的InforWMS仓储管理平台，实现批次管理、货位管理，利用先进的无线网络环境、电子条码识别等技术手段，在其成品总库进行WMS系统建设，满足仓储信息实时管理、出入库齐套性、与售后服务关联、生产质量追溯的管理要求。同时，通过虹信公司具备自主知识产权的系统集成接口平台（RCSDXP）实现WMS系统与SAPERP系统的集成，使业务流自动在两个系统间交互，并且数据流保证相对实时交互，达到ERP指令下达、WMS执行结果上报的自动处理效果。通过本项目建设，虹信公司把世界先进的仓储管理理念引入明珠家具公司，提高其仓储、物流的运作效率，并作为供应链的有效组成部分，逐步强化整个供应链服务水平，提高企业整体竞争力。·绵阳市出口创新基地公共服务平台2006年，商务部、科技部联合认定了首批18家“国家科技兴贸出口创新基地”，绵阳市成为西南地区唯一入围（电子信息）的城市。本项目是以长虹、九洲、东材、新晨等国家级技术中心和中国工程物理研究院等18家国防科研院所及西南科技大学等10所大专院校为核心，打造基地技术创新综合利用信息平台，抓好综合实验室的建设和对外开放，推动出口创新基地实验室的资源共享和有效利用；同时，利用专利创新搜索建设，把专利和创新查询延伸到企业；另外，该平台还为企业出口提供金融、法律、财税、报关、报检等完善的线上或线下外贸业务服务，提升企业参与国际市场竞争的实力。在本项目的开发实施过程中，虹信软件有限公司以深刻的业务理解能力、专业的J2EE开发技术、严谨的软件过程管理克服了5.12地震带来的种种不利影响，顺利完成了平台软件的设计开发。本系统于2008年10月底成功上线，为绵阳市的众多出口企业提供了包括分析检测服务、设备仪器共享、科技文献保障服务等科技创新公共服务，帮助企业降低研发和生产成本，提高其出口产品的科技含量和核心竞争力。·泸州老窖票据管理系统项目泸州老窖股份有限公司位于四川泸州国窖广场，是具有400多年酿酒历史的国有控股上市公司。公司总资产近30亿元，生产建筑面积36万多平方米。公司拥有我国建造最早（始建于公元1573年）、连续使用时间最长、保护最完整的老窖池群，1996年经国务院批准为全国重点文物保护单位，被誉为“中国第一窖”，以其独一无二的社会、经济、历史、文化价值成为世界酿酒史上的奇迹。为解决票据管理过程中实物台账不健全、票据要素记录不完整、票据信息共享性差、手工操作量大等问题，泸州老窖于2008年12月15日正式启动票据管理项目，本项目上线后，通过把所有涉及票据收支的业务均纳入系统处理，不再使用体外辅助台帐登记和计算，尽量取消纸质单据传递，通过对手段的提升达到优化流程的目的的方式，彻底解决票据管理过程中存在的相关问题，提升了泸州老窖票据管理水平，大幅度压缩票据库存，提高资金流转速度。通过票据管理及之前虹信承担的发票打印两个项目的成功实施，泸州老窖与虹信软件已在信息化领域建立起深入、广泛的合作关系，未来将在财务共享服务咨询、费用管理与控制、系统运维外包方面展开全面合作。泸州老窖物流管理模块蓝图设计项目·泸州老窖物流管理模块设计项目泸州老窖股份有限公司，是具有400多年酿酒历史的国有控股上市公司。公司拥有我国建造最早（始建于公元1573年）、连续使用时间最长、保护最完整的老窖池群，1996年经国务院批准为全国重点文物保护单位，被誉为“中国第一窖”，以其独一无二的社会、经济、历史、文化价值成为世界酿酒史上的奇迹，其生产的泸州老窖与汾酒、茅台并称为我国的三大名酒。为提高泸州老窖股份有限公司的信息化水平，实现对整个物流环节的把控，泸州老窖股份有限公司于2011年2月启动了泸州老窖物流管理模块蓝图设计项目。虹信软件有幸参加了此次项目的实施和推进工作。本项目实施范围包括成品仓储、物流作业，涵盖第三方物流服务商的全面管理，经销商分销商仓储管理等物流相关模块，并集成与条码窜货、防伪的支持。项目于2011年6月初设计完毕，理顺了公司各个物流业务流程、优化了物流业务体系，系统的设计实现了对产品的全过程监控、提高客户服务满意度，同时设计中包含各种管理口径的日常报表，为企业经营决策提供信息数据支持。通过本项目的设计，为后续系统的建设提供了指导性意见和方向，为系统的实现做好了前期业务、管理方面的准备工作。本次项目设计的物流管理模块实施后，将全面提升泸州老窖股份有限公司的物流管理水平，为泸州老窖股份有限公司建立统一、集成的、一体化企业供应链管理系统发挥重要的作用。·泸州老窖统一平台项目泸州老窖源远流长，是中国浓香型白酒的发源地，以众多独特优势在中国酒业独树一帜。2010年，根据泸州老窖信息化战略规划，为了解决信息孤岛，信息空白问题，统一围绕SAPERP的外围系统建设模式，于2010年9月2日启动了统一门户业务平台建设，2011年1月28日建设完成，为泸州老窖围基于该平台建设各个业务应用模块奠定基础。该平台是以SAPERP为核心的应用支撑平台，与SAPERP进行了无缝集成，平台按照面向服务的理念进行架构，具有统一管理分部部署的特点；为了提高后续开发实施效率，平台具备用户管理、权限管理、组织架构管理、日志管理、系统检测、在线帮助等多项共享的基础功能，使基于该平台的开发仅关注与业务需求，而不必重复开发基础功能；同时，平台提供统一的流程服务，流程可视化，配置化，可根据实际业务流程需求配置相应的流程。统一门户业务平台在泸州老窖上线后，运行状况良好，目前已经基于该平台实现了泸州老窖客户管理、合同管理以及销售订单管理，随着基于平台的应用模块的开发实施，推广，用户数量不多增加，较以前更加适应业务需求并能够快速反应业务的变化。·泸州老窖信息化实施路线图规划项目泸州老窖源远流长，是中国浓香型白酒的发源地，以众多独特优势在中国酒业独树一帜。为适应高端白酒行业竞争的趋势，老窖集团早在2001年根据企业的发展战略，提出来“数字化老窖”的信息化战略。经过近十年的信息化建设，老窖的的信息化规模、质量均得到了大幅度的提升。但是，由于缺乏整体规划，没有统一的标准，造成管理内容、数据定义不统一，低水平重复开发现象严重，形成了越来越多的信息孤岛，系统间集成困难，没有形成规模，整体效益的优势、潜力没有得到很好发挥。基于上述背景，泸州老窖提出了企业未来信息化规划及营销业务蓝图设计项目，以此为契机推进老窖企业管理的规范化和科学化水平，提升综合管理能力,支持老窖“做强做大”，固化老窖核心竞争力，形成白酒行业信息化标杆企业，同时打造行业平台，实现管理输出，提升行业领导地位的远景目标。虹信软件作为该项目的承包方，自合作伊始就导入了企业IT规划的方法论，项目组从战略分析、规划设计、系统实现三步走，即首先进行充分的内部业务需求分析和调研，并在此基础上考察和引进成熟的信息管理解决方案，最后结合老窖的实际情况，逐步实施和推进这个方案。其中，对于方案的规划设计部分，虹信软件从四个维度构建了信息化应用蓝图。　　第一，人的维度。对企业员工进行信息管理的宣导和培训，了解业务需求，提高员工协同办公的意识和能力。　　第二，知识的维度。作为企业的无形资产，企业运作过程中的各类有价值知识点，需要通过标准业务流程的设计沉淀下来。　　第三，管理的维度。完善有关管理制度及组织，以此保障日常协同管理的持续开展。　　第四，IT系统的维度。针对企业信息化应用现状，实现需求分析成果与软件平台的衔接。　　由此，通过以上4个重要的切入点，项目组有效推进了老窖信息化实施路线图的职能域分析、功能需求转换、项目划分和投资分析等规划设计工作，并以业务为主线，结合老窖企业决策层、管理层和执行层的个性化需求，全面、系统地提出了其未来集团信息化在营销、生产、研发、质量、采购、物流、财务、人力资源和办公协同职能领域的应用系统设计方案。目前，老窖正在按集团信息化建设路线图规划成果及路线图进行信息化建设工作。。。方法论及规划成果展示：·泸州老窖人力资源管理蓝图及SAPHR深化应用方案项目泸州老窖股份有限公司是具有400多年酿酒历史的国有控股上市公司，公司总资产近30亿元，直属员工近2000人，集团管理的员工近5000人。2011年2月28日正式启动泸州老窖人力资源管理蓝图及SAPHR深化应用方案项目。项目对老窖人力资源信息化管理做了全面的方案设计，模块包括：组织管理、人事信息管理、考勤管理、薪酬管理、绩效管理、招聘管理、培训管理、员工发展管理。项目过程中完成了现状与未来业务需求调研、绘制了业务现状流程图、编写了《泸州老窖人力资源管理现状分析报告》、协助老窖集团梳理并优化了人力资源管理架构与流程，并结合未来业务的发展方向及行业先进经验，设计出老窖人力资源管理信息化解决方案，绘制了未来流程图及蓝图设计方案。方案确定了人力资源管理系统架构与功能、人力资源信息系统及SAP_HR模块的实施方案，设计了系统的数据字段结构，制定了统一的人力资源管理业务数据标准等内容。整个项目历时四个月，于2011年6月29日顺利通过方案评审。本项目的重要成果：基于人力资源管理现状以及未来人力资源管理业务架构的信息系统方案设计项目对人力资源管理工作的各个模块进行梳理，清晰各模块关联关系，形成未来业务框架，由于此框架不能一蹴而就，项目遵循人力资源管理循序改进的思路来设计人力资源信息化系统方案。此方案设计了老窖人力资源管理基础职能业务信息化的标准框架，在标准框架设计中还考虑了支持未来业务管理变革可定制的功能。由于泸州老窖公司人力资源管理架构和业务流程正处于快速改进阶段，为保证系统对现在和未来人力资源管理的管理体系、业务流程和管控模式的兼容，系统中大量应用了动态配置设计，如：工资项目设置、薪酬运算逻辑设置等。将人力资源管理重要的业务对象进行标准化卡片式管理，快速灵活地实现数据交互和系统扩展项目分析出人力资源管理“选、育、用、留”四个基本环节管理的重要业务对象，如组织单位、职位、职务、员工、应聘人员、招聘项目、培训项目、指标、资格能力等。建立了以业务对象为核心，根据业务需要，可灵活定制各维度的业务信息“卡片”,通过业务关系将业务对象进行关联，形成完整、灵活、规范的业务管理体系。通过公司统一业务平台对这些重要业务对象进行标准化的卡片式数据存储管理，通过业务流和审批流把人力资源管理业务对象串联起来，同时通过SAPHR以及老窖的企业服务总线，可以把业务平台的人力资源系统标准化数据与平台上的其它系统进行高度集成，及时共享最新的人力资源信息，为统一组织结构、权限管理等信息系统架构奠定基础。在“大集团小配套”的集团管理体系中同一平台不同管理模式的方案设计在业务层面拟定了未来公司通过业务流程和信息系统对不同管理对象的四类管控模式的基本框架。IT层面针对不同的管理对象，建立了相应的管理纬度，为未来划分管控模式奠定了基准纬度，通过信息系统的权限划分和在线审批功能灵活组合实现管控，保证管控模式的可操作性，适应不同管理流程的需要。明确人力资源工作中人力资源部、直线经理和第三方组织的角色定位。例如个人绩效考核：以后人力资源部只出指导意见、提供专业工具、指标体系的管理，直线经理负责本部门的具体考核方案的设计、实施及结果运用，而第三方组织如绩效管理委员会，主要运用绩效考核专业知识，为绩效考核方案进行专业化评估与指导。强化事前计划、事后评估的业务规则通过强调工作的计划性来规范业务操作，降低可预期业务计划的难度和精力投入，提高计划准确性；加强各项业务执行过程中的计划管理，通过审批规范业务；将计划作为考核依据，加强计划的执行力。典型业务：定员定编管理、招聘计划管理、培训计划管理、计划外培训管理等。在标准流程中明确事后评估的业务步骤，通过评估总结来寻求业务改进点，同时为了强调评估重要性，系统会根据管理需要对一些流程进行强制，如在培训完成后，如果没有进行培训评估就无法报销费用。典型业务：培训评估、绩效评估、招聘总结。·Infor专业服务分包商及一汽大众SAP－Infor集成项目2008年7月，虹信成功成为Infor专业服务分包商，首期在一汽大众WMS项目中展开合作，虹信负责SAPERP与InforWMS集成的技术框架设计、方案设计、技术开发实现等工作。后期将在更多的项目中展开合作。·长虹集团长虹集团作为虹信公司最重要的客户，自2000年以来，长虹集团从信息化总体规划到具体项目实施均由虹信负责。2006年，长虹集团名列中国信息化500强第87名，通过信息系统综合利用，累计节省成本超过10亿元。近十多年来，长虹累计投资3亿多元进行信息化建设。目前信息化已覆盖80%以上的核心业务流程,并通过系统流程实现了长虹管理经验的固化，形成了包括企业资源管理系统(ERP)、产品生命周期管理系统(PLM)为核心，无缝集成客户关系管理系统(CRM)、供应商关系管理系统(SRM)、仓储管理系统(WMS)、决策支持(BI)、协同办公系统(OA)、信用管理等的完整企业信息系统，该信息系统已在长虹旗下四大产业，五十多家法人子公司内得到全面实现。长虹已连续数年获得“中国企业信息化500强”荣誉称号；2002年以来，长虹还先后承担了“电子制造业PDM开发与应用”、“家电制造业物流服务示范工程”等三个国家级信息化课题。·绵阳水务集团绵阳水务集团是绵阳市重要的公共服务设施企业，从2006年开始，虹信帮助绵阳水务集团从总体规划开始，先后实施了OA系统、ERP系统，目前已初步产生效益，取得了客户的好评。为降低水务集团信息化总体成本，水务集团正在与虹信协商将信息化业务全面外包给虹信公司。·石钢归档项目石家庄钢铁有限责任公司地处河北省省会石家庄市区东北部（二环以内），始建于1957年，是集烧结、炼铁、炼钢（电炉、转炉）、轧钢等工序于一体的钢铁联合企业，并由普钢企业逐步转变为以生产汽车专用钢为主的特钢企业，是中国重点大中型钢铁联合企业和520户国家重点企业之一。系统实施后的归档数据范围从2003年12月1日到2007年5月，业务数据量达764.2GB，归档后腾出数据245GB。本项目实施完成后，数据库的大小明显减少了，高速的数据增长得到有效控制，SAPR/3系统的运行效率得到明显改善。·重庆天勤材料有限公司重庆天勤材料有限公司(简称CTM)创建于2006年12月,注册资本2000万美元,是由云南云天化股份有限公司控股,重庆国际复合材料有限公司(简称CPIC),台湾富耀企业有限公司,沙特等共同投资的中外合资企业。公司主要从事电子级玻纤布和工业布的生产。电子级玻纤布主要用于制造覆铜箔层压板（CCL），而覆铜板是印刷电路板（PCB）的专用基材。印刷电路板越来越广泛地应用于航空、航天、计算机、通讯、程控机械、家用电器等领域。本次项目实施包括SAP系统五大标准模块：SD、PP、MM、FI、CO，经过项目组5个月的辛苦努力系统于2010年9月10日顺利上线，业务数据显示系统运行稳定、数据及时、准确，天勤材料各级领导及员工对项目予了充分的肯定和认可。在本次项目的实施过程中，根据织布行业特点实现布匹生产过程批次信息集成，能及时准确掌握每卷布的生产制造过程环节和情况，保证产品的可追溯性和防止业务数据差错；梳理了并重新设计和规范了天勤公司主要的90个业务流程，各业务接口关系更加紧密和及时；主要业务流程均纳入系统管理，运行更加规范和标准，保障了天勤公司内部财务信息同业务信息的口径一致，消除了反馈不及时、信息不完整等现象。·安徽鑫昊等离子显示器件有限公司ERP项目（一期）安徽鑫昊等离子显示器件有限公司是一家集等离子显示器和其他新型显示产品和相关器件材料的研究、开发、制造和销售为一体的高新技术企业，产品包括42吋到85吋的标准高清及全高清等离子显示模组系列。目前拥有等离子显示领域专利500余项，其中发明专利近400项，海外专利340余项，已拥有等离子显示器件技术的自主知识产权。公司引进先进成熟的日本日立等离子技术和4面取生产线设备，由国内业界具备多年等离子产品制造、研发经验的精英组成技术、管理团队进行管理经营。鑫昊ERP项目（一期）于2010年5月启动，2010年9月成功上线，实施模块有财务管理（FI），成本控制（CO），物料管理（MM），销售与分销（SD）。虹信实施团队在借鉴虹欧等离子ERP项目成功实施经验的基础上，为鑫昊公司梳理了适合公司未来发展的业务蓝图和适应公司管理的信息系统架构，为二期PPCO的实施奠定了基础；同时为公司的管理制度制定等做了多项建议，在一定程度上加快了公司等离子项目的快速推进。·美菱生产齐套优化项目合肥美菱股份有限公司成立于1992年11月，总部位于中国安徽省合肥市。公司的前身是合肥市第二轻工机械厂，1983年转产家用电冰箱，在激烈的市场竞争中不断发展壮大，是中国最早生产冰箱的企业之一。经营范围主要为电冰箱的生产和销售，现工业生产具有年产200万台电冰箱（柜）、5万台深冷冰箱的生产能力。近年来，美菱公司营销网络已覆盖全球九十多个国家及地区。在一期ERP项目上线后，美菱的市场发展迅速发展壮大，公司管理层对物流、成本的管控尤为关注。虹信公司基于美菱管理层对精细化管理的要求，帮助美菱实现了计划体系1+3滚动模式，看板物资的JIT配送、按生产订单的并单领料管控、配件启用销售订单管控、前端制造厂组件排产根据组装厂生产订单进行，通过以上业务优化，实现了美菱精细化管控，库存大幅度降低，大幅度提高了美菱成本控制的优势。·安徽鑫昊等离子有限公司SAPERP项目（二期）鑫昊等离子一期工程计划投资3亿美元（约20亿元人民币），2009年7月开工建设，预计2011年一季度正式量产，实现年产150万片（42“计）等离子显示模组的能力，预计年销售收入将达到18亿元。公司引进工艺成熟的日本日立等离子技术和日立公司于2009年正式投产的先进4面取等离子生产线设备，由国内业界具备多年等离子产品制造、研发经验的精英组成技术和管理团队进行管理经营。通过ERP系统（二期）的实施，实施团队根据行业经验为鑫昊提供了ERP整体实施方案，实现了ERP系统与MES的实时、无缝集成，实现了资源、信息的共享，提高了业务的质量及数据的准确性，加强了财务经营风险的控制，为鑫昊公司管理层的决策提供了有力的数据支撑。·印尼长虹ERP项目长虹印尼电器有限公司位于印度尼西亚首都雅加达，是长虹在东盟的生产经营基地、品牌经营基地和长虹海外运营中心之一。该公司为合资公司，长虹集团投资控股80％，印尼先锋公司持股20％，共投资1000万美元。自1999年长虹集团投资进入印尼市场至今，公司现已具备年产35万台电视、15万台空调、30万台ＤＶＤ以及10万台数字网络产品的生产能力。同时，长虹在印尼绝大部分省份建立和完善了销售网络，拥有8大销售片区、1000多个销售点、近100个售后服务中心及特约维修点。为了进一步扩大公司的经营规模，提高企业信息化水平，提升在印尼的市场竞争力。印尼长虹ERP项目于2010年6月正式启动，并于2011年元月成功上线。项目范围涉及印尼长虹总部及各销售分公司。实施的模块包括MM(物料管理),SD(销售与分销),FI(财务会计)。项目采用英文的语言版本和ECC6.0的系统版本。通过该项目的成功实施，理顺了公司供产销的业务流程、优化了销售价格体系，实现了采购、库存、销售业务与财务核算的高度集成，同时系统自动出具的各种报表，为企业经营决策提供信息数据支持，有效提升了印尼长虹在当地市场的竞争力。物料管理：印尼长虹主要通过从中国进口SKD散件并在印尼当地生产整机并销售的经营模式。海关费用占采购成本较大的比例。通过采购定价的特殊控制，有效的对海关费用进行了监控和统计并自动与成本集成。通过对产品以及维备件实时的收发存管理，有效的监控了总部和各分公司产品及维备件库存，在途，寄售等库存状态。为企业经营决策提供了有力的数据支撑。销售与分销：印尼长虹营销部门包括七个销售分公司，三个销售业务组，通过对各销售单元采用较复杂的定价策略。以满足计提返利、套机销售、免费项目、特批项目，冲减返利等业务需求；为销售，财务决策支持提供完备细致的数据分析。通过对客户较特殊信贷检查，主数据设置，有效控制客户信贷，保证客户信息完备。财务会计：通过SAPERP系统，改变了印尼长虹旧系统财务与业务、总账与明细账结合不紧密的现状，改变了过去较多靠手工处理业务的模式，使得存货管理、成本费用控制、往来账管理、固定资产管理、资金管理更加严谨和有效。一个更加集成高效的系统使得财务人员从传统的财务核算解放出来，能够将更多的精力投入在客户回款管理、销售折扣管理，客户信用管理，产品利润分析、分公司业绩考核等管理层面，为企业管理提升、经营决策提供了更加有力的支撑。6.5虹信公司合作伙伴6.6虹信获取资质汇总安防资质证书系统集成资质证书质量管理体系认证证书软件认定企业资质证书ISO9000认证虹信供应商管理管理系统著作权登记证书软件企业认定证书SAP合作伙伴认证证书infor合作伙伴认证证书CCIE认证Juniper认证数据库认证数据保护备份微软体系认证LOTUS认证NOVELL认证6.7虹信公司服务体系四川虹信公司科技有限公司技术支持体系致力于保障客户网络运行质量、帮助客户迅速解决问题、提高客户网络的整体效能、协助客户树立网络优势、优化网络性能、增加客户业务收入、为客户培养优秀维护人员，以满足客户的服务需求和期望，不断完善公司的服务和技术支持体系。为确保技术支持和售后服务的质量，完全满足客户对技术和服务的需求，虹信公司建立了以厂家工程师为支持中心，虹信公司网络管理部为主体的二级完善服务体系，准确快捷地为客户提供技术支持与售后服务。虹信公司现有6名工程师专门从事面向专项客户的服务与技术支持,所有人员皆具有丰富的实践经验和专业知识。公司为所有技术支持和服务人员配备了手机、笔记本电脑和安装维护工具箱。通过公司平台，与各厂家的技术专家保持通畅联系，为虹信公司网络管理部技术支持人员和客户提供电话、远程及现场的技术支持和培训。网络管理部技术人员与厂家工程师共同承担项目的安装、设备维护、现场客户培训、巡检，对项目的技术支持业务和客户服务满意度负责。服务理念实现客户满意树立以客户为中心的工作作风，强化服务意识和服务技能，以优质服务切实保障网络运行质量，赢得客户满意。追求服务领先不断完善服务内容，追求服务的专业化、标准化和多元化。注重主动服务和个性化服务，塑造优质服务品牌，实现业界领先。促进持久双赢关注客户网络的整体效能，抢先一步发现客户价值提升点，不断提升对网络的完整支撑和持久保障，借助多方位的工程、维护合作，促进与客户的双赢发展。服务示意虹信公司服务渠道示意说明：1、用户通过电话方式可与虹信公司或厂家进行联系，虹信公司通过现场服务、电话支持、等方式对用户进行服务，厂家一般通过800电话支持或本地工程师远程指导方式远程对用户进行服务；2、虹信公司不能解决的疑难问题，通过电话方式咨询厂家，厂家远程指导虹信公司人员对用户进行现场服务、电话支持、等方式对用户进行服务；3、硬件故障虹信公司与厂家备件中心协调进行备品、备件处理服务。虹信公司服务体系示意说明：1、虹信公司服务人员对用户进行本地现场服务；2、用户对虹信公司服务人员有任何投诉可直接与虹信公司质量监督与投诉电话进行电话反馈；3、质量监督通过服务培训监管、技术总监监管、服务人员监管控制和保障虹信公司服务人员的服务质量，同时对用户进行远程调查和处理投诉反馈；4、同时服务培训人员、技术总监也对服务人员进行监管、培训、技术支持指导，技术总监同时也远程对用户进行服务和投诉反馈；5、公司领导监管所有部分的服务质量。保修服务/维修服务故障级别界定：·重大故障：主要指设备在运行中出现系统瘫痪或服务中断，导致设备的基本功能不能实现或全面退化的故障。（10分钟响应，1小时上门）·一般故障：主要指设备在运行中出现的故障具有潜在的系统瘫痪或服务中断的危险，并可能导致设备的基本功能不能实现或全面退化；设备在运行中出现的直接影响服务，导致系统性能或服务部分退化的故障；设备在运行中出现的，断续或间接地影响系统功能和服务的故障。（20分钟响应，根据客户要求2小时上门）虹信公司提供的保修服务是指在合同设备保修期内对客户在操作和维护过程中发生的技术问题提供支持，协助客户保障设备安全稳定的运行。为适应客户需要，虹信公司将联手厂商方面对保修服务项目进行必要的升级。服务方式1、电话故障诊断电话故障诊断是指客户在使用设备过程中遇到疑难问题或者设备出现不正常状态时，通过电话或传真向虹信公司寻求技术支持和帮助。虹信公司在确认客户的服务请求后，将安排技术人员在规定的时间内（即响应时间）通过电话帮助客户进行故障定位，并提出解决方案，最终指导客户排除设备故障。客户在维护设备过程中，当出现技术故障的时候，应对故障现象进行仔细认真的调查和记录，然后通过服务热线向虹信公司提供故障的详细情况、服务请求时间、联系人和联系电话等。虹信公司服务热线提供每周7天、每天24小时的电话故障诊断，如服务电话号码需要更改，虹信公司至少提前三天以书面形式（含传真）通知客户。客户应及时反馈解决方案的有效性，以便虹信公司决定是否进一步采取技术支持措施。对于不同级别的故障，服务响应时间规定为10-20分钟（服务响应时间指：从客户发起请求到虹信公司员工与客户取得联系，并开始进行下一步操作的时间，下一步操作可能为：成功指导客户排除故障、开始进行远程故障诊断或者承诺在某一时间内到客户现场进行故障排除）。2、远程故障诊断远程故障诊断是指客户在使用设备过程中遇到使用中的疑难或者设备出现不正常状态时，通过电话或传真向虹信公司寻求技术支持和帮助。虹信公司在确认客户的服务请求后，通过电话故障诊断不能解决设备故障问题的情况下，或在进行电话故障诊断的同时，根据需要并征得客户同意后，采用远程拨号技术，将客户设备与工程师所在地终端连通，在远端对客户设备进行诊断，提出解决问题的方案，并最终指导客户解决问题。虹信公司工程师负责进行远程故障诊断，即只查看数据，寻找故障原因，不对数据进行修改，具体故障排除由虹信公司工程师指导客户维护人员进行。客户应按虹信公司的要求提供必要的配合和协助，确认并反馈方案的有效性。虹信公司提供每周7天，每天24小时的远程故障诊断。3、现场故障排除现场故障排除是指客户在使用设备过程中遇到疑难问题或设备出现不正常状态时，通过电话或传真向虹信公司寻求技术支持和帮助。虹信公司在确认客户的服务请求后，如果不能通过电话故障诊断和远程故障诊断解决设备的技术故障，在经过双方商议确定需要进行现场故障排除的情况下，虹信公司将派经验丰富的工程师赴现场分析故障原因，制定故障排除方案，并最终排除故障。该技术方案经过客户的批准后，在客户的允许下，由虹信公司的工程师进行具体实施，或由客户的技术人员实施。对于现场故障排除方案可能带来的通信中断，虹信公司工程师在客户评审方案时需要提醒客户。现场故障排除以后，虹信公司工程师必须向客户提交一份故障解决的书面分析报告。对现场故障排除过程中的故障件维修不属于此项服务的范围。根据故障现场距离当地办事处远近不同，虹信公司确定不同的路途时间，提供相应的现场故障排除服务。4、培训技术培训为保证客户在工作中更好的使用产品，在产品上线前，虹信公司应对客户指定的维护工作人员、工程技术人员、管理人员进行培训，确保经培训后的人员能及时排除一般的设备故障，并确保经培训的客户技术人员熟练掌握产品的性能和一般操作维护技术。根据客户使用情况，虹信公司应每季度对客户关注产品进行售前、售后交流。故障培训为了使客户维护人员，能够排除类似故障，虹信公司工程师在完成现场故障排除或者现场宕机恢复后，应针对本次故障出现的原因和故障排除方法对客户进行现场培训。培训对象为客户设备维护人员，培训内容为本次故障出现的原因和排除方法。现场培训在完成现场故障排除或者宕机恢复后12小时之内完成，课时在2小时内。5、资料共享资料共享是指客户可以通过虹信公司发放的纸面文档、电子邮件、磁盘、光盘等载体，及时掌握最新的维护经验和技巧、了解自己所维护设备的一些预防性措施、获得最新的产品知识等。虹信公司提供与日常客户设备维护相关的资料，客户可以在虹信公司开放的权限内，获取有关设备运行、产品知识、维护经验等方面的资料，虹信公司负责定期对资料进行收集、更新。虹信公司通过电子邮件或邮寄方式，向客户发放技术资料，技术资料包括最新产品技术资料、安装维护资料等。6、软件升级软件升级是指虹信公司对原软件所做的修正和补充，是此版本软件运行过程中已发现问题的解决方案，这些软件升级将对原授权软件起到消除运行中潜在隐患的作用。虹信公司负责将软件升级和相应的升级指导书发送给客户，并附上由厂家技术经理级别签署的升级认可。整个升级过程是由虹信公司服务人员提交升级方案，交客户审核，经客户许可后，由虹信公司服务人员现场实施升级操作，并验证升级前后版本情况及使用情况。软件升级可能对原软件功能进行更改，也包括增加新功能。7、故障件修复故障件修复是指虹信公司对客户的故障板件进行维修，使其恢复正常功能的服务。经厂家确认后，虹信公司联系厂家实行“好货先行”原则，客户收到备用件后，将故障板件通过邮寄或其它方式送达虹信公司，虹信公司在收到故障板件以后，将故障板件进行返厂维修，并寄还客户。虹信公司用户现场服务、电话支持、回访、备件、问题跟踪厂家维修中心厂家工程师/培训厂家备件中心厂家热线远程服务和电话支持备件服务红线:求助绿线:服务蓝线:备件红线:投诉绿线:服务蓝线:监督用户虹信公司服务人员技术总监质量监督与投诉公司领导服务培训本地现场服务远程服务和反馈远程调查和反馈