安全生产的信息化建设

第一篇：安全生产的信息化建设

食品安全信息网络平台的建设对策研究

沈德海1，鄂旭1，2，张龙昌1，阎琦1 1.渤海大学 信息科学与技术学院，辽宁 锦州 121013 2.中国产业安全研究中心，北京 100084

摘要：近年来，我国食品安全事件的不断涌现，暴露了我国在食品安全监管、食品安全信息服务上存在的问题。因此，探究合理化的解决方案、跟踪食品生产的过程和流通的链条、及时发布和收集食品安全信息已成为我国食品工业持续健康发展的关键。建立一个规范的、完善的食品安全信息平台有利于提高食品安全监管的工作效率，有利于增强食品生产和流通环节的透明性，方便了公众对食品安全信息的查询和反馈。本文提出了食品安全信息网络平台的组成结构，分析了食品安全信息平台的建设现状，并提出了一些对策。 关键词： 食品安全信息;网络平台;溯源;诚信;模块 中图分类号：G350

文献标识码：A The Study of Food Safety Information Platform Construction

SHEN De-hai，E Xu，ZHANG Long-chang，YAN Qi

Abstract: Food safety events continue to emerge in our country, which exposures the issues existing in food safety supervision and food safety information service. Therefore, to explore and research the rational solution, tracking the process of food production and circulation of the chain, releasing and collecting information about food safety timely has become a key to sustained and healthy development of China’s food industry. Establishing a normative and perfect food safety information network platform can improve the work efficiency of food safety supervision; enhance the transparency of food production and circulation, convenient for the public to query food safety information and feedback. This paper presents food safety information network platform structure, analyzes the situation of food safety information platform, and puts forward some suggestions on its construction.

Keywords: food security information; network platform; traceability; integrity; module

0.引 言

随着中国经济的迅猛发展，人民生活水平得到了大幅度的提高，对于食品的消费需求达到了空前的旺盛，然而由于利益的驱使以及食品监管的不力，造成一系列重大的食品安全事件的相继出现。民众对于食品安全的关注也达到了前有未有的热度，食品安全已成为全社会乃至全球的热点话题。2014年5月14日《中华人民共和国食品安全法(修

[1]订草案)》由国务院常务会议讨论并原则通过，该草案在监管处罚制度上更加严格，同时也加重了对地方政府负责人和监管人的问责;草案进一步强调健全追溯制度，对食品安全链条不安全的各个环节因素实施最严格的全程监管;草案对加大食品安全信息的普及和宣传、吸引社会公众的参与等也制定了具体的措施，从多个角度全方位为实现我国食品

安全提供了制度上的保障。

虽然有了制度上保障和法律上的制约，但由于食品安全涉及多部门、多环节，是一项复杂而艰巨

[2]

的系统工程，应采取一种更加有效的方式实施监管监控。在当今信息化飞速发展的社会里，信息化的管理已经应用到各行各业，在食品安全的监控监管体系中，建立健全的信息化网络平台，逐步替代传统的管理体系是世界各国目前信息化建设的一个重要任务。一个健全的信息化食品安全平台，有助于提高监管部门的工作效率，增强食品生产和流通环节的透明性，增强企业的主体责任，提高社会食品安全意识，加大宣传力度和公众的参与度。

1. 食品安全信息概述

根据我国卫生部食品安全综合协调与卫生监基金项目：辽宁省自然科学基金项目“基于物联网的食品安全预警关键技术研究(2014020141)”;辽宁省社会科学规划基金项目(L14BTJ002) ，辽宁省教育科学“十二五”规划2015立项课题(JG15DB028);省教育厅项目“物联网环境下食品安全云平台研究”。

作者简介：沈德海，(1978-)男，讲师，硕士，主要研究方向为数据库技术与图像处理;鄂旭，男，教授，博士;张龙昌，男，副教授，博士;阎琦，男，副教授，硕士。 督局在2011年发布的《食品安全信息公布管理办法》可知，食品安全信息涉及在食品生产、流通、餐饮消费和进出口等过程的以一定形式记录或保存的相关信息[3]，信息的来源包括食品监管部门及相关政府部门。

食品安全信息主要分为以下几类：食品安全的法律法规信息;食品安全重大事件信息[4]

;食品安全监督检查信息;食品安全教育与培训信息[5]

;食品企业信息和产品信息[6];食品安全预警信息[7]

;食品安全诚信信息[8]。

食品安全信息是构建食品安全信息网络平台的主要数据源，其有效的管理和发布对于食品安全工作的进展具有举足轻重的作用。我国食品安全信息由不同部门管理，部门间存在严重的单位分割，共享协调机制不够完善，不仅造成信息资源量的不足，也导致了资源利用率低下和投资浪费。政府职能部门网站对于食品安全信息的发布不全面，更新不及时，披露普遍落后，公众无法获取全面、权威、科学的食品安全信息[9]。食品安全信息网络平台为各职能部门提供一个信息数据的共享和整合的工作平台，使各监管部门更加有效的分工合作，为公众提供统

一、标准和权威的食品安全信息。

2. 食品安全信息网络平台结构

食品安全信息网络平台应由企业及食品信息系统、食品安全监管系统、食品溯源、召回系统、食品安全预警系统、食品安全诚信系统、食品安全信息对外服务系统6个系统组成，其结构如图1所示。

图1 食品安全网络平台组成结构

2.1 企业/食品信息系统

企业/食品信息系统完成对生产、经营食品的企业信息及其生产的食品信息的采集和管理。相关监管部门可以通过此系统对企业、食品的基本信息进行登记、查询和更新。此系统通过数据共享及接

口可以为食品溯源系统提供追溯信息。系统包括企业信息模块和食品信息模块。

2.1.1 企业信息模块

企业信息模块实现对企业信息的采集和管理。企业信息主要包括：企业类型、企业代码、名称、法人代表、经济类型、经营方式、经营项目、许可证编码、有效期限、地址、联系方式等信息。

2.1.2食品信息模块

食品信息模块实现对食品采集及管理。主要包括食品编码、名称、类别、生产日期、批次、厂商、有效期等信息。

2.2食品安全监管系统

食品安全监管系统完成对具体食品安全信息的采集和管理，主要由食品安全监管部门通过各种监测手段直接获得的食品安全信息数据(如农药残留、是否过期、添加剂是否安全、是否含有毒物质等)和通过市场调查、走访获得的食品抽样调查信息，并对信息进行存储、汇总和分析，对监测到的不安全信息及时进行上报，为食品安全溯源、召回系统及食品安全预警系统提供依据数据。 2.3食品安全溯源、召回系统

食品安全溯源、召回系统完成对每一种食品的生产信息及流通信息数据采集、存储和管理，对食品生产、流通各个环节及链条的全程跟踪，目的是 在食品出现质量问题时，能够快速、有效地查找到产生问题的环节或有关原料及其来源，必要时召回

问题食品[10]

，对有关企业实施严厉的惩罚措施，使食品的整个生产经营和流通处于有效的监控之中[11]

。系统包括食品追溯和食品召回两个模块。 2.3.1 食品追溯模块

模块可根据条形码及批次或追溯码查询任意包装食品的出入库记录及流通记录。入库记录包括：食品名称、生产日期、批次、厂商、核准核销信息及生产地址;流通记录包括从生产厂商到消费者的整个流向。

2.3.2食品召回模块

模块根据企业的总体销售数据记录，按照流向及数量确立召回方案，创建召回单据，统计应召回食品的数量，并通过媒体公布召回信息。 2.4食品安全预警系统

食品安全预警系统完成采集食品安全监测数据，并对数据进行综合分析与评估，发布预警信息

和启动事件应急预案[12]

。系统以食品安全监测系统提供的食品安全监测信息数据为依据，针对相关监测数据信息进行分析与评估，提供预警建议，并发布预警信息，同时启动应急预案。 2.5食品安全诚信系统

食品安全诚信系统完成对食品生产、流通和销售企业的信用等级的录入和管理[13]

。企业信用等级由政府相应部门根据企业质量信用监管制度进行评测。根据信用等级实施实施分类监管，对信用等级较低的企业进行通报和要求整改;对发生重大食品质量安全事故、存在严重质量问题的企业进行严惩，将其纳入“黑名单”，并通过媒体对外公布。 2.6食品安全信息对外服务系统

食品安全信息对外服务系统主要面向公众，主要包括发布和查询各类食品安全信息、收集反馈和举报信息、实施食品安全教育与培训等。系统发布的信息包括我国食品安全总体状况信息、食品监督检查信息、食品安全预警信息、食品安全重大事件信息、食品安全诚信信息等;公众通过系统可以浏览以上发布的信息，可以查询企业的基本信息、食品的基本信息、企业的诚信信息等，可以对信息进行反馈、对问题食品和企业进行举报，可以接受相关的培训。

3. 我国食品安全信息平台建设现状

我国食品安全信息平台分为国家、省、市、县四级，目前已建成的食品安全信息网络平台主要有国家食品质量安全网及其各省分站、国家食品(产品)安全追溯平台及部分省级追溯平台(山东、新疆、四川等)、各省食品安全(信息)网等，我国食品安全信息平台建设总体上存在如下一些问题。

(1)建设步伐参差不齐

部分食品安全信息网只是食品药品监督管理局网站如吉林、贵州等，没有真正建立。

(2)模块不全面，功能缺失

有的系统缺少公众参与、举报板块;有的系统缺少食品信息相关模块，如江苏食品网主要包含药品、保健品、化妆品的信息;有的网站缺少安全预警信息。

(3)部分食品网站系统性能不稳定，时常打不开。

(4)追溯平台所追溯的信息量不足，缺少详细的信息链。

(5)部分系统数据更新缓慢。

4. 食品安全信息平台建设对策

近几年来，从速度和数量来看，我国食品安全

信息平台的建设已经加快了步伐，可以看出我国现在已经高度重视食品安全问题，但由于缺少统一部署和整体规划以及建设经验。各级平台建设质量参差不齐，现提出以下建议。 (1) 统一平台建设标准

颁布统一的平台建设标准、有利于各平台的数据共享，有利于国家对整体食品安全信息的采集、处理和分析，减少建设经费。

(2)借鉴国外先进经验

美国、欧洲等一些国家在食品安全信息平台建设上起步较早，平台建设比较完善，我国应当加以借鉴。

(3)增大资金投入

食品安全信息平台是一个以计算机和网络技术为依托的多功能网络平台，集食品安全信息的监管监控、预警、溯源、发布等多功能为一体。平台涉及使用部门较多，包含数据量巨大，是一项复杂的计算机系统工程，其建设需要投入大量的资金和人力才能保证其建设的顺利进行。

(4)明确部门分工、加强部门间合作

食品安全信息网络平台各子系统之间存在着数据共享的联系，一个部门数据出现问题直接导致其他部门的相应工作，因此只有明确各部门的分工，加强彼此的交流与合作，平台才能高效运行。

5. 结束语

我国食品安全信息网络平台的建设尚处在起步阶段，还有很长的路要走。因此不能急功近利、虎头蛇尾，应统筹规划、扎扎实实地稳步推进。建设健全的食品安全信息网络平台能够促进我国食品行业健康、快速地发展，有利于提高我国人民的生活质量和幸福指数，为建设和谐社会提供重要的保障。

参考文献：

[1]ht tp://baike.baidu.com/view/13110362.htm [2] 刘韵凤.关于建设食品安全信息化平台的探究[J].情报科学，2012,30(6):899-902.

[3]李磊，周昇昇.中国食品安全信息交流平台的建设现状分析[J].食品工业，2011(12)：78-82. [4]万珍应.消费者对食品安全信息披露反应行为的调查分析[J].新西部，2008(14)：95-96. [5]孔繁华.我国食品安全信息公布制度研究[J].华南师范大学学报(社会科学版)，2010(3)，5-11. [6]何征峰.如何构建食品安全信息平台[J].信息化博览，2007(6)：54-56. [7] 胡慧希,季任天.我国食品安全预警系统的完善[J]食品工业科技，2008(3):252-256. [8] 贲智强，顾建明，朱士新，周宇扬.昆山市餐饮服务食品安全诚信体系的构建与思考[J].中国公共卫生管理，2012，28(1)：40-41. [9]门玉峰.我国现行食品安全监管体系的问题与对策研究[J].黑龙江对外经贸，2010(7)：89-91. [10] 白红武，孙爱东，陈军等.基于物联网的农产品质量安全溯源系统[J].江苏农业学报,2013，29(2):415-420. [11]. 龙红，梅灿辉.我国食品安全预警体系和溯源体系发展现状及建议[J].现代食品科技，2012，28(9):1256—1261. [12] 李宏伟，黄卫东，洪小娟 食品安全预警本体构建研究[J].计算机技术与发展.2013，23(9):238-240,244. [13] 张麟，柴雄，陈以桢.基于信用模型的食品药品信息化监管系统研究与设计[J]上海食品药品监管情报研究.2008(1):36-40.

作者联系方式：

沈德海，电话：13904165934; EMAIL：sdh25@sohu.com 地址: 锦州市松山新区科技路19号 渤海大学信息科学与技术学院

第二篇：关于启用建设工程质量安全监管信息系统的通知

盐建建筑[2012]25号

各县(市、区)住建局、市直各相关单位：

为进一步提高我市建设工程监管效率，逐步实现工程建设项目监管的科学化、规范化，确保建设工程质量和安全生产，我局委托开发了“盐城市建设工程质量安全监管信息系统” (以下简称“监管系统”)，经试用运行情况良好，决定在全市范围内全面推广使用。现就有关事项通知如下：

一、“监管系统”主要功能

“监管系统”运用现代化网络手段，实现了工程质量、安全监督网上监管，包括基础数据、安监工程注册、安全监督管理、考核扣分管理、危险分项申报、施工现场安全资料适时传递管理、起重机械设备监督管理、质监工程注册、质量监督管理、工程技术资料管理、工程资料统计查询、工序进度信息、混凝土浇筑信息、工序审查超时、网上巡查记录、项目统计查询十六个功能模块以及机关内部的OA四小功能(文件柜、电子公告、日程安排、通讯录)，并实现与LBS定位系统数据对接，为全面掌握工程建设动态监管信息，查处工程建设违法违规行为或不诚信行为提供信息支持。

二、系统维护和使用方式

“监管系统”硬件、软件的维护由我局统一负责，服务器设置在我局，各地通过internet网远程登陆使用。“监管系统”使用采取“同步使用，分级负责，全面覆盖”的方式。我局负责全市建设工程监管部门的使用人员培训，各县(市、区)住建局负责辖区工程项目相关施工、监理等单位人员培训。已开发同类系统的地区，应与市“监管系统”相兼容，如不能实现兼容，统一使用本“监管系统”。

三、时间安排

(一)各县(市、区)建设局应于2012年5月10日前确定“监管系统”使用工作分管领导、责任单位、具体责任人和联络员，并报市城乡建设局建筑业处。“监管系统”分管领导由各单位分管质量、安全的领导担任，主要负责系统使用前后各项工作的组织协调。各县(市、区)建设工程质量安全监督等机构负责人为系统使用责任人，主要负责系统各类信息的录入;建筑市场监管有关科室负责人为系统使用联络员，主要负责具体工作和人员的联络。

(二)各县(市、区)建设局、相关部门应于2012年5月30日前完成在建建设工程项目各项信息补录入工作。

从2012年5月18日起，新建建设工程项目须使用质量安全监管系统，未进入监管系统的工程，不得办理质量、安全监督手续。

四、使用要求

(一)规范资料录入程序。软件使用时必须将新建工程的质量和安全资料一并同期输入，不得滞后填补资料，也不得随意更改已填写数据。资料的填写审批工作必须由各责任主体相关负责人亲自审批，不得出现代为操作和审批现象。

(二)加强现场图片上传。进场原材料、关键工序验收必须进行照片拍摄，并作为工程附件及时上传到网站资料上。施工日志、监理日志应上传每日工作内容的图片信息。监理单位签发整改通知单时应将存在问题的图片上传，整改回复单也应将相应整改后的图片上传。

(三)强化起重机械管理。全市建筑施工起重机械的产权登记、使用登记、监督检查以及安装拆卸、检测等建立信息档案，全面实现网上信息化管理。

(四)确保资料录入到位。质量安全监督单位应及时掌握工程资料的上传情况，对未及时上传或上传资料不到位的应书面通知相关责任单位进行整改。

联系电话(传真)：0515-88423577

盐城市城乡建设局

二0一二年五月四日

第三篇：浅析安全生产信息化建设

摘要：本文结合安全生产信息化建设现状，分析了目前我国安全生产信息化取得的成就和存在的主要问题。简单介绍了安全生产信息化六大系统的建设，并以武汉博晟安全科技有限公司开发的政府安全生产监督管理系统为例介绍了安全生产信息化产品及其作用，最后提出了安全生产信息化的发展方向，对于加快推进安全生产信息化的建设具有重大现实意义。

关键字：安全生产 信息化建设

0 引言

信息化是当今世界经济和社会发展的趋势，也是产业优化升级和实现国家工业化、现代化的关键环节。同样，安全生产信息化建设是安全生产工作的基础，是实现安全生产监督管理业务快速、准确、高效管理的根本保障。

2003年我国发布的《国家安全生产发展规划纲要》明确提出要加快安全生产信息化建设;提高我国的安全生产管理水平。美国、德国、英国等西方发达国家普遍利用现代网络技术建立了先进的安全生产管理信息系统，实现了信息统一管理、数据规范和资源共享，提高了信息管理效率和信息共享服务水平。

无论是从当前安全生产工作的需求，还是从安全生产科学长远发展的要求来看，安全生产信息化建设在安全生产工作顺利开展的过程中起着重要的保障和支撑作用。运用现代通讯、电子信息网络技术指导安全工作，建立高效运行、可靠的安全生产信息系统，加快推进安全生产信息化已势在必行。

1 安全生产信息化现状

近年来，已有部分省、市启动了安全生产信息化建设的工作，开通了安全生产信息网站，，已经形成安全生产监督监管的信息平台。安全生产信息化建设工作，无论在信息统计和安全生产监测及监控方面，都发挥了重要作用，使安全生产监督管理部门更加全面了解和掌握辖区的安全生产状况，提高了安全生产监督管理的工作效率，进一步改善了安全生产状况。

虽然我国的安全生产信息化建设取得了一些成果，但从总体上来说，还处在起步、探索阶段，目前还存在如下几个方面的问题。

(1)基础设施落后

各级安全生产监管、煤矿安全监察、安全生产应急救援机构刚刚组建，安全生产信息化资金投入较少，信息化的基础设施、信息化装备和安全生产信息的技术管理手段都比较落后，与国内其他部委或行业相比差距较大，与国外安全生产信息化水平相比差距更大。

(2)缺乏基础信息共享机制，信息资源共享程度低

安全生产监管的信息资源只限于本部门，各部门之间封锁自己长期以来采集的业务数据，无法与其他部门实现资源共享。

没有形成规范的、能够统领全局的、普遍适用安全生产监管、煤矿安全监察及应急救援信息系统，尚未建立基础信息的共享机制，无基础资源数据库和较为完备的共用共享应用系统，大量有效的信息资源不能得到应有的开发和利用。

(3)缺少总体规划

信息系统的建设，需要统一规划，统一执行。从国家安全监管总局到各级机构尚未建立统一的信息化建设和运行维护综合协调机构，因此，难以形成全国统一有效的安全生产信息化建设、管理、运行、维护保障机制，缺乏安全生产信息化建设政策、规范和技术标准。目前经常会出现某市建设一套业务应用系统，该辖区/县也建一套业务系统的现象，造成系统之间无法实现数据交换和共享。

许多企业没有将安全生产信息化纳入企业现代化建设的范畴，企业安全生产信息化系统性较差、随意性差，多为被动式建设。

安全生产宣传教育、人员培训、安全救护、检测检验等技术支撑体系的信息化也是刚刚起步，还没有作为一个整体纳入到安全生产信息体系的建设中来。

(4)缺乏安全生产信息化人才

许多市、县(区)安全生产监督管理局尚未配置专门的信息职能部门和技术人员。各级安全生产监管、煤矿安全监察和安全生产应急救援机构，尤其是地、县级机构安全生产信息化建设和运行维护技术力量较为薄弱。除此之外，既懂安全生产，又懂信息化管理的复合型人材更是缺乏[1-4]。

2 安全生产信息化的建设

安全生产信息建设包括六大系统的建设，即：组织管理系统的建设、网络系统的建设、行政执法应用系统的建设、调度统计应用系统的建设、应急救援应用系统的建设和综合政务信息系统的建设。

(1)组织管理系统的建设

组织管理系统包括：组织保障子系统、制度保障子系统和运行保障子系统。

组织保障子系统要求各级安全生产监督管理机构建设组织体系时，必须从保证安全生产信息安全、畅通、稳定运行等方面来进行构建。

制度保障子系统主要用来完善各项法律法规，使其标准化。它包括：对安全生产信息化建设工作法规的完善，对安全生产信息化建设工作责任制的建立和完善，安全生产信息标准的建立等。

运行保障子系统就是保证安全生产信息化建设应用系统和网络系统正常稳定运行的系统。要求各级安全生产监督管理机构加强对相关业务人员的培训，提高其在硬件管理和应用系统软件方面的能力。

(2)网络系统的建设

网络系统包括：内网、外网和政府互联网站及相应的网控中心。

内网是企业内部使用的网络，包括办公自动化平台、企业安全生产监管平台、业务审批管理平台、安全执法检查平台等。外网即安全政务公开网。

(3)行政执法应用系统的建设

行政执法应用系统的建设主要包括：执法人员管理子系统的建设、重大危险源监控子系统的建设、事故隐患整改子系统的建设及重特大事故预案管理子系统的建设等。

(4)调度统计应用系统的建设

调度统计系统必须建立安全生产快报、急报和安全生产月、季、年统计数据上报的报告系统;当接到急报时可实现与抢险救灾和事故处理系统联动。

(5)应急救援应用系统的建设

建立报警子系统、预案处理子系统、救护资源子系统、事故救援报告子系统、救援指挥子系统。

(6)综合政务信息系统的建设

公文无纸化传输子系统、安全生产要情子系统、数据加工分析子系统、党建廉政工作子系统及国家局政府网站的建设等[2]。

3 典型安全生产信息化产品介绍

笔者曾多次参与武汉博晟安全科技有限公司的安全生产信息化软件产品的策划、研究工作。近年来，该公司武汉大学安全科学技术研究中心联合，开发了政府安全生产监督管理系统、政府安全生产应急救援指挥系统、安全培训考核管理系统、供电企业岗位安全风险防范管理系统、重大危险源分级监控网络管理系统、作业场所职业危害监管系统等多款安全生产信息化系统，得到了客户的一致好评，现就该公司开发的政府安全生产监督管理系统作简要介绍。

(1)系统简介

a.建立安全生产的信息网络和安全生产数据库，建立安全生产监督管理政务信息系统平台，实现安全监管信息化。

b.实现省、市、区(县)三级安全生产管理信息系统的互联，形成一个上下协同、信息共享、动态监管的安全管理网络，使政府安全生产监督管理迈上一个新台阶。 c.对各级政府管辖区内的(重大)危险源点及事故隐患、化学危险品从业单位、各行业安全生产情况、企业安全预防措施、安全生产管理队伍建设等情况进行普查建档工作，以全面掌握管辖内的安全生产现状的基本情况，为政府科学安全管理提供依据。 d.建立各级政府安全生产信息管理数据库。

e.建立各级政府重大危险源及事故隐患监控与防灾系统。

(2)系统结构图

(3)系统功能

功能结构图

主要功能描述：

a.专项监管实现对煤矿企业、非煤矿山企业、烟花爆竹企业(包括生产和经营单位)、危险化学品相关企业(生产单位、经营单位、使用单位等)进行专项监管;

b.嵌入《重大危险源分级监控网络管理系统》，实现重大危险源普查、自动辨识、分级管理、事故模拟、重大危险源应急救援预案管理等;

c.通过应急救援管理系统，实现重特大生产安全事故救援的信息共享、资源共享，为应急救援指挥提供辅助决策;

d.统计调度包括事故管理，实现对全省的事故及统计信息进行管理，具体功能包括：调度值班表管理、事故信息管理、重大事故档案管理、统计分析;

e.行政执法记录管理各种行政执法数据，包括执法人员信息、执法文书信息、执法统计报表，以及对执法情况进行统计分析;

f.行政许可事项网上审批，并对行政许可信息统一管理，各种许可证建库管理; g.安全培训考核发证的全过程管理，培训、考核申请网上申报与审批，建立丰富的题库系统，实现在线模拟;

h.基于GIS辅主决策功能，在GIS系统中显示重大危险源、应急救援资源、烟花爆竹生产经营企业分布情况等，为政府安监部门的安全规划和应急救援指挥提供辅主决策支持。

(4)系统特点

a.系统为省、市、县各级政府安监部门搭建一个平台，实现安监政务的信息化、办公自动化;

b.各行业全面监管，包括电力、贸易、机械、轻工、纺织等综合监管行业，煤矿、非煤矿山、烟花爆竹等高危行业监管;

c.基于GIS辅主决策功能，为政府安监部门提供辅主决策;

d.建立丰富的安全生产数据库，包括法律法规、危险化学品、事故案例、重大危险源、应急资源等;

e.通过事故的统计、监督检查情况的统计，提供安全生产形式的辅主分析。 4 安全生产信息化的发展

为使安全生产信息化建设协调有序、快速发展，可从以下几个方面加强安全生产信息化的建设。

(1)网络基础建设

构建覆盖省、市、县的专网网络系统，建设与应用相配套的机房、网络管理、数据处理、系统存储和备份系统。

(2)卫星通讯建设

为满足安全生产信息系统的要求，需要建设各种安全生产信息资源数据库和卫星通信平台，满足安全生产网络设备和线路的需要。

(3)数据库建设

建设安全生产信息资源数据库，如：重大安全生产事故隐患数据库，危险化学品监管数据库、重点监控企业的安全生产基本情况数据库、重大危险源监控和预案数据库等。分类建立各类数据库，方便用户及时更新、查阅相关数据。

(4)应用系统建设

加强应用系统信息化建设，根据实际需要建设综合办公系统，提升信息化的水平。 应用系统主要包括三大应用系统和13个子系统：

①安全生产监督管理行政执法系统，包括：煤矿安全监察、非煤矿山监管、危险化学品监管、烟花爆竹监管、重大危险源监管、伤亡事故管理6个子系统;

②安全生产调度与统计系统：事故调度快报、事故统计、行政执法统计、职业危害统计、煤炭经济运行统计、安全生产辅助决策支持系统6个子系统;

③矿山应急救援中心信息管理系统，该系统是拟于今后扩展为国家应急救援信息管理系统的一个子系统。

此外，还有视频会议系统和远程教育培训系统。

(5)标准化与规范化建设

建设安全生产的标准化，要以国内的行业标准为参考，以国家标准体系为框架，按照统一指标体系、统一分类编码原则进行建设，确保安全生产信息化的标准化、规范化建设。安全生产信息化的建设目标，要求各级安全生产监管部门制定规划、标准和制度。

(6)GIS地理信息技术与门户系统建设

GIS地理信息技术是整个安全生产信息应用的底层技术支撑，向安全生产信息系统提供集成的地理数据与集成的业务技术，统一管理好安全生产地理数据库的数据和信息，为各种信息提供地理信息的服务。

(7)系统支撑平台及安全保障系统

安全保障系统分为系统安全、网络安全等多个层次，实现信息的保护、检测、响应、恢复和改善。通过安全保障系统的建设，能够最大限度地保护信息不受破坏，保障业务运行的连续性和可持续性，将损失、风险降到最低[2]。

5 小结

我国安全生产信息化起步较晚，进展也较缓慢，还需要国家相关部门和各级政府的高度重视，并且加大投入，加大组织力度，尽快完成我国安全生产信息化建设，从而改变目前安全生产状况和彻底消除各种不安全隐患，使我国安全生产状况发生质的飞跃。 参考文献

[1]国家安全监管总局通信信息中心.发达国家的安全生产信息化建设[J].特别关注，2010，7：22-23

[2]井悦.安全生产信息化建设探析[J].中国煤炭，2009，35(7)：107-109

[3]周敏文，谭海文.我国安全生产信息化建设的现状与对策[J].电力安全技术，2006，8(5)：4-6

[4]国家安全生产监督管理局.国家安全生产信息化总体规划(上)[J].煤炭企业管理，2003：54-56

[5]国家安全生产信息化“十一五”专项规划(安监总规划[2007]166号)

(责任编辑：admin)

第四篇：论食品安全信息化建设

摘要:信息化是指培养、发展以计算机为主的智能化工具为代表的新生产力，并使之造福于社会的历史过程。一种食品从农田到餐桌，要经过生产、加工、贮藏、运输和销售等诸多环节，食品的供给体系趋于复杂化和国际化。在如此长的产业链条中，每一个环节都有污染食品的可能，不采用先进的信息化管理手段，要实现全程的食品安全控制是不可能实现的。实施信息化管理手段，可以起到信息跟踪和预警等作用，切实有效的将食品安全风险降到最低，甚至零风险。在信息化建设飞速发展的今天，互联网是人们获取信息的重要途径。通过网络向广大消费者提供食品安全信息，有快捷、方便、更新及时等特点，对社会提供食品安全网络服务，将有助于促进食品安全监管工作的发展和食品安全现状的改善，可以说食品安全信息化是构成食品安全监管工作中不可或缺的组成部分，它的建立和

一是建立完善制度。制度是保证信息工作正常运转的关键因素。食品安全监管信息应由政府及其有关部门发布，政府及其有关部门应完善食品安全监管信息的发布程序，各级食品药品监管系统要对食品安全信息工作建立定期研究制和工作责任制。要定期研究食品安全信息工作，督促指导食品安全信息工作，要制定食品安全信息收集与发布管理制度，要建设食品安全信息沟通报送网络，要建立部门间的食品安全信息联络员制度和食品安全信息通报制度。有关部门要能及时向食品药品监督管理部门报送食品安全信息，食品药品监督管理部门要负责信息的处理，做到信息收集全面、汇总及时、传递迅速、分析整理高效。各级食品药品监管系统要不定期地向上级人民政府、同级食品安全协调委员会成员单位通报食品安全监管工作动态及工作部署、食品安全信息采编和报送要点，上报信息被采用的情况等。

二是要建立统一的食品安全信息管理和综合服务平台。食品从生产到消费、从土地到餐桌的整体链条中的食品安全监管职责，涉及到多个部门。所以食品安全信息管理必须要做到有效的统筹规划、协调和协作，来保证各地方和部门间信息互联互通、资源共享。各部门食品质量监督检查的信息以及相关法律法规及政策等信息均通过此平台向社会发布，相关部门要将与食品卫生质量安全有关的信息收集汇总、分析整理、及时传递、定期向社会发布。各部门所发布的信息必须与食品安全(或与日常生活安全)相关。信息的来源遵循科学的原则，保证准确、及时、客观、公正。信息发布人对所发布的信息承担责任。同时要建立畅通的信息监测和通报网络体系，逐步形成统

一、科学的食品安全信息评估和预警体系，及时研究分析食品安全形势，对食品安全问题做到早预防、早发现、早整治、早解决。

三是加快建立和完善各级食品安全信息网。食品安全信息网--是代表政府在食品安全监管方面与市民互动和信息发布的唯一官方通道，也是食品安全信息管理和综合服务平台最好的展示渠道。食品安全信息网代表了政府在食品安全监管方面的积极形象和坚定决心。也是代表政府食品安全监管情况的永久窗口，并能引导放心消费、营造放心消费环境，是每个地方食品安全建设必需的建设内容。我认为应从以下几方面进行建设(1)搭建食品安全信息网络服务平台的硬件和网络环境;(2)开发食品安全检测监管信息管理软件;(3)初步建立食品检测信息库、食品经营主体备案信息库和食品安全标准信息库;(4)开发信息处理、发布、查询软件，通过电话、短信和互联网等多种渠道，实现市民与食品安全信息网络服务平台互动;(5)建立一支既精通电脑网络知识又熟悉食品安全监管各方面情况的复合型信息技术人才队伍;(6)组织食品安全信息化教育培训、交流和合作工作。

四是要及时采集、更新食品安全信息网站信息，同时要加强食品安全信息网站运维工作。高度重视网络与信息安全网站的生命力在于信息，在于互动。网站要办好，好的信息非常重要。食品安全协调委员会成员单位要把能够公开的静态信息完整的公开，如单位介绍、办事指南、法规文件等等。同时要及时更新动态信息，提高网站的点击率和单位的服务水平。食品安全网络与信息安全不仅关系到食品安全信息化的健康发展，而且关系到国家的政治和经济安全及社会稳定。信息化水平越高越要重视网络与信息安全，否则，一旦出现网络与信息安全问题，将会造成重大的网络安全事故。一定要坚持一手抓信息化，一手抓网络与信息安全。

五是突出工作重点。正确处理重点突破与全面推进的关系，明确不同阶段食品安全信息化建设的工作重点，集中力量，有所为，有所不为。当前食品安全信息系统的建设重点是加强和完善食品安全信息系统，建立一个全社会共同参与的食品安全信息网络，收集和发布食品安全的相关信息，并及时向生产、加工、经营和消费者提供有关质量、安全、标准、品牌、市场等方面的信息。

第五篇：企业信息化建设安全解决方案

企业信息化建设安全解决方案 第1页 共1页

企业信息化建设 安全解决方案

(天威诚信) (版本：1.0)

北京天威诚信电子商务服务有限公司

2013年3月企业信息化建设安全解决方案 第1页 共2页

目 录

1 前言 ......................................................................................................................................1 1.1 概述...............................................................................................................................1 1.2 安全体系.......................................................................................................................1 1.3 本文研究内容...............................................................................................................2 2 **集团企业信息化现状 ......................................................................................................2 2.1 **集团企业信息化现状...............................................................................................2 2.1.1 **集团现状..........................................................................错误!未定义书签。 2.1.2 **集团信息化现状................................................................................................2 2.1.3 主要系统现状及存在问题....................................................................................3 2.1.4 其他问题................................................................................................................4 2.2 **集团企业信息化系统需求分析...............................................................................4 2.2.1 网络需求分析........................................................................................................4 2.2.2 系统需求分析:.......................................................................................................5 2.2.3 安全需求分析第二章**集团企业信息化现状....................................................7 2.2.4 安全管理策略......................................................................................................10 3 **集团企业信息化及安全整体解决方案 ........................................................................13 3.1 **企业信息规划总体方案.........................................................................................13 3.1.1 系统设计原则及进度安排..................................................................................13 3.1.2 **集团网络拓扑图..............................................................................................13 3.1.3 **集团整体网络概述..........................................................................................13 3.2 网络建设.....................................................................................................................14 3.2.1 中心机房及其配套设施建设..............................................................................14 3.2.2 中国实业集团与**集团公司的连接..................................................................14 3.2.3 各实业分公司网络与**集团公司连接..............................................................14 3.2.4 网络建设方案总结..............................................................................................14 3.3 系统建设.....................................................................................................................16 3.3.1 财务系统..............................................................................................................16 3.3.2 人力资源管理系统..............................................................................................16 3.3.3 门户、OA系统 ...................................................................................................16 企业信息化建设安全解决方案 第2页 共2页

3.3.4 门户系统建设......................................................................................................17 3.3.5 业务管理和运营支撑系统..................................................................................17 3.3.6 企业信息化管理..................................................................................................17 3.4 安全建设.....................................................................................................................17 3.4.1 网络边界安全防护..............................................................................................17 3.4.2 入侵检测与防御..................................................................................................18 3.4.3 安全漏洞扫描和评估..........................................................................................20 3.4.4 防病毒系统..........................................................................................................20 3.4.5 终端监控与管理..................................................................................................21 4 结束语 ................................................................................................................................22 4.1 论文工作总结.............................................................................................................22 4.2 本方案不足之处.........................................................................................................22 企业信息化建设安全解决方案 第1页 共22页

1 前言

1.

1概述

国内企业的信息化建设也经历了几起几落，取得了一些成绩，也积累了一些经验教训。在发展的同时，各企业也不同程度上产生了信息孤岛，信息集成的优势还没有发挥出来，阻碍了企业信息化的发展，并在相当程度上抵消了网络技术带给我们的便利和效率。如果我们把分析信息系统集成问题的着眼点放在基础数据信息流上，通过基础数据信息流将企业各部门的主要功能“穿起来”，而不是根据现有部门的功能来考虑信息系统的集成问题，就可以建立起既具有稳定性，又具有灵活性的全企业集成化的信息系统模型，有效地防止信息孤岛的产生。因此，为了建设一个优秀的1T系统，要以基础数据为根本，以先进的管理思想为指导，以领先的技术为辅助。企业信息化作为一个严密的信息系统，数据处理的准确性、及时性和可靠性是以各业务环节数据的完整和准确为基础的。企业信息化建设中有一句老话:“三分技术，七分管理，十二分数据”，信息系统的实施是建立在完善的基础数据之上的，而信息系统的成功运行则是基于对基础数据的科学管理。因此，理顺企业的数据流是企业信息化建设成功的关键之一。信息化建设是对企业管理水平进行量化的过程，企业的管理水平是信息化的基础。管理是一种思路，这种思路可以用数字来表示，当这些数字形成数据流时，也就表示了这一管理思想的过程，理顺了数据流也等于理顺了管理。IT技术人员通常不了解管理思路，但对数据流却相当熟悉，这就有利于IT技术人员开发符合要求的软件产品。企业信息化就是利用技术的手段将先进的企业管理思想融入企业的经营管理中，在这个过程中将最终实现对财务、物流、业务流程、成本核算、客户关系管理及供应链管理等各个环节的科学管理。因此要明确部门间哪些数据需要共享，哪些数据要上报企业领导，哪些部门需要获取外部的知识或信息，企业的哪些数据需要对外发布和宣传，哪些数据需要保密，子公司要与总公司交换哪些数据等等。当数据流理顺后，相应的业务管理流程也就一目了然，管理流程也就理顺了。 图l一l管理流程图

1.

2安全体系

网络安全是一个综合的系统工程，需要考虑涉及到的所有软硬件产品环节。网络的总体安全取决于所有环节中的最薄弱环节，或者说如果有一个环节出了问题，其总体安全就得不到保障，这也就是所谓的木桶效应，一个由一根根木条钉成的水桶，它的盛水量是由其最短的那根木条决定的，网络安全正是如此，其设计、实施必须要有全面的考虑，否则就会得不到保障。网络安全也是个长期的过程，是个不断完善的过程，不能说买了几个产品就一劳永逸的解决了所有的安全问题，需要不断对现有系企业信息化建设安全解决方案 第2页 共22页

统进行安全评估，发现新的安全问题，另外也要跟踪最新的安全技术，及时调整自己的安全策略。通常安全设计需要参照如下模式:

图安全模式

网络安全不单是单点的安全，而是整个系统的安全，需要从物理、链路、网络、系统、应用和管理方面进行立体的防护。要知道如何防护，首先需要了解安全风险来自于何处。安全需求和风险评估是制定安全策略的依据。我们先要对现有的网络的安全进行风险分析，风险分析的结果作为制定安全策略的重要依据之一。然后根据安全策略的要求，选择相应的安全机制和安全技术，实施安全防御系统、进行监控与检测。安全防御系统必须包括技术和管理两方面，涵盖物理层、系统层、网络层、应用层和管理层各个层面上的诸多风险类。安全防御系统搭建得完善与否，直接决定着整个网络安全程度，无论哪个层面上的安全措施不到位，都会存在很大的安全隐患，都有可能造成业务网络中的后门。响应与恢复系统是保障网络安全性的重要手段。根据检测和响应的结果，可以发现防御系统中的薄弱环节，或者安全策略中的漏洞，进一步进行风险分析，修改安全策略，根据技术的发展和业务的变化，逐步完善安全策略，加强业务网安全措施。

1.

3本文研究内容

本课题源于**集团企业信息化建设这一项目。目前**集团各子公司各自组网，使用各自的以办公系统。为了适应市场的不断发展和激烈竞争，提高福建电信实业公司的服务水平和服务质量，增强对新业务的支撑能力和反应速度，满足客户需求的不断变化和发展，要求建立一个统一的对外平台。现在互联网处于开放的状态，网上充斥着各种信息，病毒、恶意攻击、窃取公司机密等等屡见不鲜，由于**集团与各子公司经过互联网进行以互联，对外提供web服务，同时各公司存在上网的需求，因此保护企业网络，防止信息泄漏更是急切需要解决的问题。本解决方案就是要提供网络互联、网络监测、流量控制、带宽保证、防入侵检测。系统可帮助值班人员随时了解到网络质量以及设备的工作状态;系统对历史信息进行记录并提供查询功能，方便用户对出现的情况原因进行深入分析;系统提供图形化界面管理，方便用户实现人性化管理，同时抗击各种非法攻击和干扰，保证网络安全可靠。

2 **集团企业信息化现状

2.1 **集团企业信息化现状

2.1.1 **集团信息化现状

描述…… 企业信息化建设安全解决方案 第3页 共22页

2.1.2 主要系统现状及存在问题

描述……

2.1.2.1 门户网站、企业邮箱系统

目前**、设计院、邮科公司、工程公司都有公司网站，有公司域名，但是网站内容非常有限，仅用于发布一些企业宣传信息、产品信息、招聘信息等，且信息更新频度较低。除邮科公司网站系统部署在自有服务器上外，其他公司的网站系统都是租用电信的服务器或硬盘空间。各子公司的网站和实业公司的网站系统之间没有进行“超链”。**、设计院、邮科通信公司、工程公司有公司的邮箱系统，采用公司域名作为邮箱系统的域名。除邮科通信公司的邮箱系统是架设在自有服务器上外，其他公司的邮箱系统都是主机托管或租用电信的邮箱服务。

2.1.2.2 人力资源管理系统

目前所有子公司都没有单独完整的人力资源管理系统，部分公司目前使用的人力资管理系统主要是80年代原省邮电管理局统一使用的老系统或相关业务管理部门指定的小软件，目前已经难以满足企业的人力资源管理需求。部分公司正在学习金蝶HR系统，但是目前都没有正式使用该软件。这些软件都是单机版或者C/S架构的网络版，无法满足《指导意见》提出的2级架构要求。调研中，各子公司的人力资源部门都强烈希望集团能够尽快提供一套统一的人力资源管理系统。

2.1.2.3 财务管理系统、报表系统

所有子公司都统一使用金蝶K/3系统作为财务基础核算系统，该系统为C/S架构的网络版，该架构无法满足《指导意见》提出的2级架构要求。目前所有子公司都购买了金蝶公司的支撑服务。**无法通过远程访问方式了解各子公司的财务数据。目前所有子公司都使用北京久其公司的久其报表软件单机版，报表模板由**统一下发，各子公司财务部负责收集数据，汇总后上报给**。各子公司上报的数据中有一部分人力资源、经营的数据需要财务以外的部门提供，目前通过手工方式提供。**的报表上报也是使用久其单机版，由省电信公司财务部下发模板，收集各子公司上报的数据汇总后报送给省电信公司财务部。目前无需向其他单位提供统计报表(如统计局、省管局等)。目前没有购买久其公司的维护支撑服务。

2.1.2.4 经营分析系统

目前包括**在内，都没有专门的IT系统用来支撑经营分析。目前的经营分析主要通过各业务部门手工提取数据进行加工分析后形成经营分析报告。 企业信息化建设安全解决方案 第4页 共22页

2.1.2.5 业务运营支撑系统

设计院的主要业务:设计业务，系统集成(工程业务)，使用自己开发的一套系统来支撑其业务。该系统技术架构比较先进，功能基本满足该公司的业务需求，由于为自己开发的系统，维护支撑、软件功能升级都比较便利。邮科通信公司的业务类型比较杂:软件开发、系统集成、电信业务支撑服务、生产销售、工程服务、工程设计，目前没有统一的IT系统来支撑，而是由各个专业部门自行开发或引入一些系统来支撑日常业务，存在种类繁多不统一，信息无法共享的问题。工程公司的业务类型:工程施工，部分施工、维护，也是采用自行开发的一套系统来支撑业务。

2.1.3 其他问题

 集团内各子公司网络规模庞大，网络设备种类多，配置复杂，版本参差不齐，对系统资源利用和性能指标缺乏实时的、集中的监控管理机制;  在接入Internet方面，部分子公司保留有Internet出口，部分终端可其它方式访问Internet，存在网络安全隐患;  网络上运行的诸多服务器和网络设备都有设置有多个用户帐号和口令，但缺乏统一的口令管理机制，认证方式不可靠。

 网络中连接有为数众多的终端，大多终端安装有防病毒软件。但缺乏病毒防护的统一监控和管理，系统管理员维护工作量较大并且复杂。

2.2 **集团企业信息化系统需求分析

2.2.1 网络需求分析

结合**集团的1T现状及本省的06一09年IT总体规划需求，拟在**集团有限公司集团总部建设一中心点，作为中心机房，通过中心点与全市5个上市子公司之间组建办公网。本期建设的IT系统能够省集中部署的全部采用省集中部署模式。如下图:

图

IT基础设施建设实施关键点

1. 明确应用系统的硬件及网络带宽需求

评估未来5年**的应用系统的IT环境需求，包括妥种主机设备、网络带宽、电源容量、存储容量等需求，在机房设计施工时预留足够的余量。 2. 安全方案设计

充分考虑企业信息化的安全需求，特别与工nternet相连的网络、应用系第二章**集团企业信息化现状统，采取各种安全措施、备份措施，包括物理安全和人为操作安全。内外网隔离方案是安全的一个重要基础，现在采用物理隔离方案的安全性最高，但是会给应用系统的部署和使用带来不便。考虑到现有的网络安全设备以及技术方案企业信息化建设安全解决方案 第5页 共22页

比较成熟，安全强度足够高，并且应用上需要支持远程办公，本次建设将不采用物理隔离方式。异地备份方案采用在子公司机房部署备份服务器的方式。 3. 机房选址

选定**机房作为中心机房，该机房具有较大的扩展空间。异地备份机房选用邮科公司智能网机房。

4. 机房设计施工，包括电源改造、增加UPS、增加空调设备等

现有机房的市电容量不足，没有专用空调，未配备统一的UPS，因此需要在本次建设统一考虑。

5. 网络实施

包括专线线路、 ADSLVPN线路、楼内线路的施工、调测，施工进度依赖线路提供商和综合布线进度，必须做好工程质量监督和进度监督。 6. 设备采购、安装

本次IT建设对多个应用软件的部署环境进行统筹考虑，数据进行集中存储，数据库软件尽量选用同一种，中间件也尽量选用相同厂家的同一版本，这样便于管理和维护，也可以共享主机平台，但是对设备的可靠性和性能要求较高，并且需要考虑系统间的性能干扰。设备的选型将考虑未来5年的性能需求增长，将以当前需求的200%的性能参数配置主机设备，此外主机设备留有等量的扩展空间。

2.2.2 系统需求分析: 2.2.2.1 财务系统

**集团与各子公司财务业务统一，软件统一，这是本次的财务系统的集中部署的最有利条件。第二章**集团企业信息化现状新的财务系统最好能够和现有在用系统的操作习惯比较一致。

2.2.2.2 人力资源管理系统

**目前在人力资源管理系统上基本处于一片空白，在业务上也处于比较原始的人事管理水平。对未来的系统无法提出有深度的需求，因此本次人力资源管理系统应该具备最核心的功能，兼顾性价比，系统一边建设一边培训，通过成熟系统向现有的人力资源管理人员灌输先进的人力资源管理理念，固化并统一全省的人力资源管理制度。当人力资源管理达到相当水平后，结合我省的实际情况，人力资源管理部门人员必然会提出一些新的需求，这些需求通过对系统进行二次开发来满足。

2.2.2.3 门户、0A系统

从现状看，**的以系统建设也是参差不齐的，大部分专业公司对以系统的需求不是非常强烈。但是从管理上看，0A系统覆盖到专业公司的中层干部以及必要的后勤管理部门是必须的。由于大部分专业公司还没有建设以系统，因此考虑本次所有子公司的以系统在选型上和**一致。为了降低系统的推进难度，第一期只在**部署统一的0A系统，在系统中为各专业公司单独配置流程，达到覆盖子公司的目标。当子公司新企业信息化建设安全解决方案 第6页 共22页

产生的本地化需求不能在现有系统上进行配置或二次开发来满足时，才考虑在子公司单独部署以系统。以系统在选型时必须考虑良好的接口开放性和二次开发支撑能力。**集团、设计院、邮科公司、工程公司都拥有自己的公司网站，但是功能简单，且连最简单的互相链接都没有。**需要一个统一的门户来有效整合各子公司的品牌资源，做统一的形象推广。第一期通过统一的门户系统、统一门户域名、统一邮箱域名的方式进行门户建设，同时把以、经营分析、报表软件等通过门户系统进行集成，提供单点登录、统一鉴权功能，把系统建设、维护集中在**，这样可以方便将来的维护、升级，同时最大限度降低对各子公司的IT能力的要求。

2.2.2.4 业务管理和运营支撑系统

**目前基本没有业务管理和业务运营支撑系统，规划中要建立**数据中心，收集业务统计相关数据的建设需求。我**各专业公司层面则第二章**集团企业信息化现状己经建立了部分业务运营支撑系统。业务管理和业务运营支撑上，实业和主业之间存在显着差异:主业的业务同质性相当高，而实业则是一个复杂的、多业务类型的集团企业。我**未建立统

一、独立的业务管理系统，在业务运营支撑系统方面，主要是以专业公司为主进行自行建设。

**层面目前对于业务管理和业务运营支撑没有强烈的系统支撑需求，考虑到实业本身多业务、多行业的特征，并且**对专业公司主要是进行投资管控，我省业务运营支撑系统以专业公司为主来进行建设比较合理，一方面能够尽可能的贴近专业公司自身的需求，不是为建系统而建系统:另一方面**公司对专业公司的管理主要是投资类型的管控，而非运营类型管控，因此**没有必要对专业公司的业务运营做过多的管理和干涉，否则容易造成捆住专业公司手脚的局面。**在组织架构等工作陆续完成后，将逐步加强对业务的管理。本期建设完成后，将在**层面建立合同协调服务系统，主要对专业公司的合同信息、合同状态等做实时了解。

2.2.2.5 企业信息化管理

**没有专门的IT组织，也没有设置企业信息化岗位;部分专业公司如邮科公司等，有专门的IT组织和IT开发团队，既支撑自身的IT建设，又对外提供1T服务，其他子公司没有专门的IT部门和IT岗位，但有专人负责企业信息化工作，人员分散在财务部、信息中心、综合部等部门。各专业公司根据各自需求自行建设IT系统，导致重复投资问题，如很多专业公司自行建设或准备建设的人力资源管理系统。因此，我们本次企业信息化建设能集中的系统就集中，不能集中的才考虑由专业公司自行建设，但是由**进行指导选型。其次，**将尽快设置工IT相关岗位，同时在各子公司中抽调一部分IT人员组成IT虚拟团队，统一协调整个**范围的企业信息化建设。在系统建设过程中，将同步进行IT系统的运行、维护、管理的各项规范、流程的制定。 企业信息化建设安全解决方案 第7页 共22页

2.2.3 安全需求分析第二章**集团企业信息化现状

2.2.3.1 物理安全风险分析

网络物理安全是整个网络系统安全的前提。安全以人为本，如果管理不善或一些不可抗力的因数的存在，**集团网络的物理环境可能存在如下的风险:  地震、水灾、火灾等环境事故造成整个系统毁灭;  电源故障造成设备断电以至操作系统引导失败或数据库信息丢失;  设备被盗、被毁造成数据丢失或信息泄漏;  电磁辐射可能造成数据信息被窃取或偷阅;  报警系统的设计不足可能造成原本可以防止但实际发生了的事故。

2.2.3.2 链路传输风险分析

**集团网络的各个局域网如果采用的是UTP非屏蔽布线方式，则存在网络信息通过电磁辐射泄露的可能。**集团网络的通信链路存在着安装窃听装置，窃取或篡改网上传输的重要数据的可能，从而破坏数据的完整性。以上种种不安全因素都对网络构成严重的安全威胁。

2.2.3.3 网络结构的安全风险分析

1) 来自外部网络的安全威胁

出于业务的需要，**集团网络与Internet及其他业务单位网络相连接。这种物理网络上互联互通给数据的互联互通带来了事实上的可能性。但是如果Internet与外单位网络可以与**集团网络随意进行互访，容易导致本系统内部机密泄漏等安全威胁;其次，各系统的互联互通会使得跨系统的攻击和病毒传播成为可能，带来极大的安全隐患。**集团网络中的服务器及各人主机上都有涉密信息。假如内部网络的一台机器安全受损(被攻击或者被病毒感染)，就会同时影响在同一网络上的许多其他系统。透过网络传播，还会影响到与本系统网络有连接的外单位网络。如果系统内部局域网络与系统外部网络间没有采取一定的安全防护措施，内部网络容易造到来自外部网络的一些不怀好意的入侵者的攻击。如:  入侵者通过漏洞扫描、Sniffer嗅探等工具来探测扫描网络及操作系统存在的安全漏洞，如网络IP地址、应用操作系统的类型、开放哪些TCP端口号、系统保存用户名和口令等安全信息的关键文件等，并通过相应攻击程序对内网进行攻击;  入侵者通过网络监听等先进手段获得内部网用户的用户名、口令等信息，进而假冒内部合法身份进行非法登录，窃取内部网重要信息;  恶意攻击:入侵者通过发送大量PING包对内部网重要服务器进行攻击，使得服务器超负荷工作以至拒绝服务甚至系统瘫痪;  发送大量包含恶意代码或病毒程序的邮件。 2) 内部局域网的安全威胁 企业信息化建设安全解决方案 第8页 共22页

据调查在已有的网络安全攻击事件中约70%是来自内部网络的侵犯。来自机构内部局域网的威胁包括:  误用和滥用关键、敏感数据和计算资源。无论是有不满情绪的员工的故意破坏，还是没有访问关键系统权限的员工因误操作而进入关键系统，由此而造成的数据泄露、偷窃、损坏或删除将给企业带来很大的负面影响;如果工作人员发送、接收和查看攻击性材料，可能会形成敌意的工作环境，从而增大内耗;  内部人员故意泄漏内部网络的网络结构;安全管理员有意透露其用户名及口令;内部不怀好意员工编些破坏程序在内部网上传播或者内部人员通过各种方式盗取他人涉密信息传播出去;内部人员在上班时间玩游戏，看视频等。

 网络设备的安全隐患，网络设备中包含路由器、交换机、防火墙等，它们的设置比较复杂，第二章**集团企业信息化现状可能由于疏忽或不正确理解而使这些系统可用而安全性不佳。

 通讯线路故障可能是由于电信提供的远程线路的中断，也可能发生在局域网中。网络设备故障也是应该考虑的安全风险之一。目前计算机在网络中的身份是以IP地址作为自己的标识的。由于TCP/IP协议在安全方面考虑的较少，IP地址很容易被假冒(特别在局域网中);缺乏判断通讯对象是否是恶意的网络身份假冒者的技术手段，是目前网络中存在的安全风险。

 信息在局域网和广域网中传输，都存在被窃听和篡改的危险。当从一个安全区域(子网)访问另一个安全保护要求不同的区域(子网)时，存在对不应访问的数据、交易与系统服务操作的危险。

 缺乏对网络入侵行为的探测、报警、取证机制，是网络在安全方面的一个隐患。种种因素都将网络安全构成很大的威胁。

2.2.3.4 系统的安全风险分析

所谓系统安全通常是指网络操作系统、应用系统的安全。操作系统的安装以正常工作为目标，一般很少考虑其安全性;因此安装通常都是以缺省选项进行设置。从安全角度考虑，其表现为装了很多用不着的功能模块，开放了很多不必开放的端口，其中可能隐含了安全风险。目前的操作系统或应用系统无论是Windows还是其它任何商用UNIX操作系统以及其它厂商开发的应用系统，系统本身必定存在安全漏洞。这些安全漏洞都将存在重大安全隐患。但是从实际应用上，系统的安全程度跟对其进行安全配置及系统的应用面有很大关系，操作系统如果没有采用相应的安全配置，则其是漏洞百出，掌握一般攻击技术的人都可能入侵得手。如果进行安全配置，比如，填补安全漏洞，关闭一些不常用的服务，禁止开放一些不常用而又比较敏感的端口等，那么入侵者要成功进行内部网是不容易，这需要相当高的技术水平及相当长时间。因此应正确估价自己的网络风险并根据自己的网络风险大小作出相应的安全解决方案。第二章**集团企业信息化现状 企业信息化建设安全解决方案 第9页 共22页

2.2.3.5 应用的安全风险分析

应用系统的安全涉及很多方面。应用系统是动态的、不断变化的。应用的安全性也是动态的。这就需要我们对不同的应用，检测安全漏洞，采取相应的安全措施，降低应用的安全风险。

 资源共享的安全风险

**集团网络内部有自动化办化系统。而办公网络应用通常是共享网络资源，比如文件共、打印机共享等。由此就可能存在着:员工有意、无意把硬盘中重要信息目录共享，长期暴露在网络邻居上，可能被外部人员轻易偷取或被内部其他员工窃取并传播出去造成泄密，因为缺少必要的访问控制策略。

 系统的安全风险

**集团网络提供基于Web的信息发布系统，也存在安全的风险，例如Web服务器本身存在漏洞容易受到攻击，网页被篡改，Web服务器容易受到网络病毒的感染。Web是电子业务的发布板，与其他服务器连接在一起，对Web服务器的攻击容易波及其他的网络服务器和设备。

 数据库服务器的安全风险

**集团网络内部的很多应用是基于数据库的。数据库服务器的安全风险包括:数据库服务器的管理员口令过于简单，非授权用户的访问，通过口令猜测获得系统管理员权限，数据库服务器本身存在漏洞容易受到攻击等。数据库中数据由于意外(硬件问题或软件崩溃)而导致不可恢复，也是需要考虑的安全问题。  电子邮件系统的安全风险

内部网用户可通过拔号或其它方式进行电子邮件发送和接收这就存在被黑客跟踪或收到一些特洛伊木马、病毒程序等，由于许多用户安全意识比较淡薄，对一些来历不明的邮件，没有警惕性，给入侵者提供机会，给系统带来不安全因至素。

 病毒侵害的安全风险

网络是病毒传播的最好、最快的途径之一。病毒程序可以通过网上下载、电子邮件、使用光盘或软盘、人为投放等传播途径潜入内部网。因此，病毒的危害第二章**集团企业信息化现状的不可以轻视的。网络中一旦有一台主机受病毒感染，则病毒程序就完全可能在极短的时间内迅速扩散，传播到网络上的所有主机，可能造成信息泄漏、文件丢失、机器死机等不安全因素。

2.2.3.6 管理的安全分析

管理方面的安全隐患包括: 1. 内部管理人员或员工图方便省事，不设置用户口令，或者设置的口令过短和过于简单，导致很容易破解; 2. 内部管理人员或员工责任不清，使用相同的用户名、口令，导致权限管理混乱，信息泄密; 3. 内部管理人员或员工把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险; 企业信息化建设安全解决方案 第10页 共22页

4. 机房重地却是任何人都可以进进出出，来去自由。存有恶意的入侵者便有机会得到入侵的条件; 5. 内部不满的员工有的可能熟悉服务器、小程序、脚本和系统的弱点。利用网络开些小玩笑，甚至破坏。如传出至关重要的信息、错误地进入数据库、删除数据等等。这些都将给网络造成极大的安全风险。

管理是网络中安全得到保证的重要组成部分，是防止来自内部网络入侵必须的部分。责权不明，管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。即除了从技术上下功夫外，还得依靠安全管理来实现。

2.2.3.7 性能需求

由于安全控制的原理和特点，加上了安全的防护手段之后，多多少少会对网络和系统带来性能的影响。因此，我们在进行安全设计和选择安全产品时，必须将对网络和系统的性能的影响的考虑放在重要的位置

2.2.4 安全管理策略

网络安全关键基础之一就是构成企业总体信息安全方案的综合策略。第二章**集团企业信息化现状

2.2.4.1 安全管理策略

安全管理贯穿在安全的各个层次实施。从全局管理角度来看，我们制订了全局的安全管理策略;从技术管理角度来看，实现安全的配置和管理;从人员管理角度来看，实现统一的用户角色划分策略，制定一系列的管理规范;从资源管理角度来看，实现资源的统一配置和管理。**集团网络的安全管理策略是保证网络安全的核心。安全管理策略的实施需要工作人员和领导的支持。一个良好的安全管理策略应包括如下内容:  计算机技术购买指南:该指南中应指明哪些安全特征是必须的。该指南可作为企业购买产品的参考之一;  隐私政策:制定监控电子邮件、记录键盘敲击及访问用户文件的可接受的隐私程度;  访问政策:制定用户、操作人员及管理人员的访问权限，用来保护资产不被盗用。该政策应提供外部连接、数据通讯、连接设备到网络、增加新软件到系统等操作指南，同时也应包括通知信息(例如连接后应提示合法使用的说明，而不仅仅显示“欢迎，’);  责任政策:指出用户、操作人员及管理人员的职责。该政策应包括审计功能，以及处理安全事件的程序指南(即检测到可疑事件发生后，应找谁负责等问题的处理步骤);  认证政策:通过有效的口令政策，在计算机之间建立信任关系。该政策应包括远程访问的认证指南及认证设备(如一次性口令及生成这些口令的设备)的使用说明; 企业信息化建设安全解决方案 第11页 共22页

 可用性声明:使用户对系统的可用性有所了解。如果系统被入侵，用户根据这个声明所述，就可以知道系统在多长时间内可以恢复。声明应提及冗余及恢复的解决方法，列出操作时间及因维护而造成的停机时间，以及网络发生故障时的负责人是谁;  信息技术系统及网络维护政策:说明内部及外部的维修人员如何处理访问技术。该政策其中一项重要说明是讲述企业是否允许进行远程操作，以及对这类访问的控制方法;

 违规报告政策:指明哪类违规行为应该报告(例如个人隐私及安全、内部及外部)以及向谁报告。轻松的气氛或采用匿名报告的方式可以鼓励员工报告违规行为。该政策还应包括企业发生安全事故后应对外界询问的指南，及指明企业信息的保密程度，即哪些信息不应向外界披露。

2.2.4.2 访问控制策略

访问控制的目的是控制信息的访问。访问控制是对用户进行文件和数据操作权限的限制，主要防范用户的越权访问。访问控制策略应按照业务及安全要求控制信息及业务程序的访问，访问控制策略应包括以下内容:  每个业务应用系统的安全要求;  确认所有与业务应用系统有关的信息;  信息发布及授权的策略，例如:安全级别及原则，以及信息分类的需要;  不同系统及网络之间的访问控制及信息分类策略的一致性;  关于保护访问数据或服务的相关法律或任何合同规定;  一般作业类的标准用户访问配置;  在分布式及互联的环境中，管理所有类别的连接的访问权限。

网络访问控制用于控制内部及外部联网服务的访问，以确保可以访问网络或网络服务的用户不会破坏这些网络服务的安全。不安全地连接到网络服务会影响整个机构的安全，所以，只能让用户直接访问己明确授权使用的服务。这种安全控制对连接敏感或重要业务的网络，或连接到在高风险地方(例如不在安全管理及控制范围的公用或外部地方)的用户尤其重要。

**集团网络应根据信息密级和信息重要性划分安全域，在安全域与非安全域之间用安全保密设备进行隔离和访问控制;在同一安全域中，根据信息的密级和信息重要性进行分割和访问控制。通常将**集团网络重要服务器所在的子网和重要的工作子网分别 划分为单独的安全域。当局域与远程网络连接时，通常在局域网与远程网络之间的接口处配置安全保密产品。(如防火墙、保密网关等)进行网络边界安全保护，第二章**集团企业信息化现状并采取数据加密设备(如DDN机密机、PSTN加密机等)保证信息远程传输的安全。

2.2.4.3 网络安全监控与入侵检测策略

网络安全监控可以测试企业所实施的安全控制是否有效。同时，安全监控是检测系统及网络是否有可疑或不正常的通讯的有效办法。这个步骤用于检测网络的潜在漏洞或非授权行为，同时，它可以提醒管理人员网络现有的安全隐患及应采取什么样的防护措施。一旦企业系统发生安全事故，管理人员应依据监控系统所提供的警示，企业信息化建设安全解决方案 第12页 共22页

采取必要的步骤，在最短的时间恢复系统，以减少企业的损失。入侵监控是对入侵行为的检测和控制。入侵检测作为一种积极主动的安全防护技术，从网络安全立体纵深、多层次防御的角度出发，对防范网络恶意攻击及误操作提供了主动的实时保护，它可在网络系统受到危害之前拦截和响应入侵。我们通过在**集团网络的关键环节放置入侵检测产品，它监视计算机网络或计算机系统的运行，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象，一旦发现攻击能够发出报警并采取相应的措施，如阻断、跟踪和反击等。同时，记录受到攻击的过程，为网络或系统的恢复和追查攻击的来源提供基本数据。并把这些信息集中报告给数据中心的集中管理控制台。

2.2.4.4 漏洞扫描与风险评估策略

从信息安全的角度看，漏洞扫描是网络安全防御中的一项重要技术，其原理

是采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查。目标可以是工作站、服务器、交换机、数据库应用等各种对象，然后根据扫描结果向系统管理员提供周密可靠的安全性分析报告，从而为提高网络安全整体水平产生重要依据。在网络安全体系的建设中，漏洞扫描工具具有花费低、效果好、见效快、与网络的运行相对对立、安装运行简单等特点。在功能上，安全扫描工具可以大规模减少安全管理员的手工劳动，有利于保持全网安全政策的统一和稳定。

2.2.4.5 计算机病毒防治策略

由于在网络环境下，计算机病毒有不可估量的威胁性和破坏力。我们都知道，网络系统中使用的操作系统大多为W工NDOWS系统，比较容易感染病毒。因此计算第二章**集团企业信息化现状机病毒的防范也是网络安全建设中应该考虑的重要的环节之一。我们从预防病毒、检测病毒和杀毒考虑网络的网络安全。

2.2.4.6 安全审计策略

安全审计有助于对入侵进行评估，是提高安全性的重要工具。审计信息对于确定是否有网络攻击的情况发生，以及确定问题和攻击源都非常重要。通过对安全事件的不断收集与积累并且加以分析，可以为发现可能的破坏性行为提供有力的证据。

2.2.4.7 备份与恢复策略

主要设备、软件、数据、电源等都应有备份，并有技术措施和组织措施能够在较短时间内恢复系统运行。如果日常工作对涉密系统的依赖性特别强，则建立远程的应急处理和灾难恢复中心。我们考虑的备份主要包括数据备份、服务器备份、线路备份等几个方面。

2.2.4.8 实时响应和恢复策略

我国的许多企业单位对防范天灾人祸有一套成型的体系，对于网络安全的灾难事件却通常会手足无措。为此，制定一套完整、可行的事件救援及灾难恢复的计划对企业信息化建设安全解决方案 第13页 共22页

于企业来说是非常重要的。灾难恢复的步骤应包括测试救援程序的有效性(是否对可疑的通讯及事故作出反应)、在事故发生后，企业如何分析事故的发生过程、程序如何迅速恢复、如何减少企业的损失等。第三章**集团企业信息化及安全整体解决方案

3 **集团企业信息化及安全整体解决方案

3.1 **企业信息规划总体方案

3.1.1 系统设计原则及进度安排

**集团的整体网络在设计中遵循以下原则:  良好的扩展能力:包括业务网点的扩展、业务量和业务种类的扩展。

 高度的安全性。能防止网络的非法访问，保护关键数据不被非法窃取、篡改或泄露。使数据具有极高的可靠性。

 高度的可靠性，网络在连接失败时能有迁回路由，并有效地消除单点失效的隐患。  可升级性:改造后的网络在向更新的技术升级时，能保护现有的投资。根据**信息化IT规划总体架构及**目前IT系统现状，

3.1.2 **集团网络拓扑图

以下为**集团整体网络规划拓扑图:

网络拓扑图

3.1.3 **集团整体网络概述

**集团公司网络整体从安全、稳定、高速和服务质量(QoS)方面考虑，采用CNZ电路与SitetoSiteVPN结合的方式组网。各分公司通过划分VPN来实现与总公司连接。在分公司和省公司都部署相应的PE设备。**集团公司网络采用双线路备份，通过采用 CNZMPLSvPN做为与集团公司和地市实业分公司的首选网络连接，采用

InternetVPN做为备用线路连接集团公司和地市实业分公司。第三章**集团企业信息化及安全整体解决方案服务器端使用两块网卡桥接，对外使用网络桥连接网络设备，首先通过二层交换机接入到主备用ASA555O防火墙，由防火墙控制所有用户的访问权限，关闭非使用端口，开启服务器所承载以、财务、人力应用服务需要使用的端口。在此道防火墙建立D棍区，连接省电信公司收发公文的转接器，建立一高于DMZ区低于内网的管理区，用于管理机的接入。在内网防火墙之外采用两台 cisco3750三层交换机做路由控制，接入本大楼内分公司网络及实业本部网络，由其控制访问服务器、分公司VPN及外网路由。与地市分公司的 InternetVPN采用 C1scoASA552O防火墙，同时提供拨号VPN接入，外网访问通过灿眼rantenF60O防火墙控制后接入公网网企业信息化建设安全解决方案 第14页 共22页

络，同时提供备用拨号VPN接入。外网WEB服务器接在 AmarantenF600防火墙DMZ区，对外开启 tep80http服务。

3.2 网络建设

3.2.1 中心机房及其配套设施建设

因为需要采用两种接入方式，因此我们在**集团中心机房采用以下设备

 核心路由器。与各分实业公司的连接方面，因为要使用 CNZMPLSVPN线路，因此我们建议采用一台思科公司的 Cisco28n路由器作为**CE，让各各实业分公司用户可以高速、安全、稳定地访问**集团中心机房的应用服务器及访问集团机房应用服务器。

 安全网关。与远程移动办公用户连接方面，因为要采用VPN的连接方式，我们建议采用思科公司的 ASA5520自适应安全设备让远程移动办公用户可以安全访问实业集团中心机房应用服务器。另一方面， AsA5520自适应安全设备还可作为防火墙功能使用，有效阻止来自Internet及各实业分公司的非法访问行为。

3.2.2 中国实业集团与**集团公司的连接

采用CNZ将**集团与集团互连。采用CNZ电路的组网方式，能确保提供稳定的线路质量、较高的带宽、良好的安全保密特性，使用户对集团企业信第三章**集团企业信息化及安全整体解决方案息化的应用访问更快，更安全、稳定。CNZ电路有保密性能好，传输速率高，信道利用率高，网络时延小等特点。

3.2.3 各实业分公司网络与**集团公司连接

1. **集团与各实业分公司办公用户的连接

各实业分公司需要与**集团中心机房建立高速稳定的连接，因此采用一台

CISCO28n路由器加上RJ45扩展卡，实现1条CNZ电路连接需求，另外一条接口作备份 InternetVPN，满足链路备份使用。 2. **与远程移动办公用户的连接

对于互联网用户、远程移动办公人员采用 LZtPoyerIpse。VPN结合的方式组网，建设成本比较低，信息安全也得到有效保障。 3. 网络用户的安全认证

**信息化应用系统涉及多个分公司的应用用户，用户人数较多，为有效管理用户的访问行为，审计用户相关访问信息，在**采用单点登录认证，后期增加以认证。

3.2.4 网络建设方案总结

1. 兼容性和扩展性

该系统具备良好的兼容性和扩展性，具体表现在以下各方面: 企业信息化建设安全解决方案 第15页 共22页

 中心机房采用自适应安全设备作广域网的核心安全设备，能够提供良好的安全性和VPN服务。有4个千兆GE接口，和1个100M以太接口。支持高达500个

IPSeeVPN对，可扩展至最大5000个IPSe。vPN对，支持500个 WEBVPN对，可扩展至2500个 WEBVPN对。完全可以保证**集团公司的广域网安全接入的较长时间内的需求。

 中心机房采用CNZ电路与中国实业集团总公司和各实业分公司建立连接，满足带宽及时延要求。  各实业分公司采用一台 CISCO28n路由器加上RJ45扩展卡，可提供1条接口，CNZ电路占用一条， InternetVPN使用一条，做好链路备份工作。第三章**集团企业信息化及安全整体解决方案

2. 高可靠性、稳定性

 **集团公司信息系统是集团公司的信息传送平台和信息处理枢纽，作为关键的财务系统、人力资源等业务系统及网络平台设备，可靠性是最重要的。网络平台、关键业务的服务器和存储设备必须具备7X24小时的连续运转能力。非计划停机将会对业务运行、对外服务形象等造成巨大的影响，对处于激烈竞争环境下的运营企业造成沉重的打击。

3. 安全性

 **集团中心机房网络部分:中心机房采用自适应安全设备作广域网的核心安全设备，能够将最高的安全性和VPN服务与全新的自适应识别和防御(AIM)架构有机地结合在一起。借助融合型防火墙、入侵防御系统(IPS)和网络Anti一X服务，能够提供主动威胁防御功能、，在网络受到威胁之前就能及时阻挡攻击，控制网络行为和应用流量，并提供灵活的VPN连接。从而能确保中心机房能与各地公司建立稳定的VPN连接及保证中心机房的网络安全。

 **集团中心机房:采用CNZ电路连接，保证网络连接的安全。使用集成多业务路由器产品，提供网络连接的同时提供防火墙、VPN、工PS多种功能，提高连接的安全性及对**集团内部网络的全面安全的保护。

 各实业分公司接入安全性:采用CNZ电路连接，与**集团中心机房连接通讯，保障数据和应用的安全性。

 远程移动办公用户的接入安全性:使用**集团中心机房配置的自适应安全设备内置的LZtpoverIpsecVPN功能，为移动用户提供安全的VPN远程接入，有效保障数据和应用在链路层的安全性。

 **集团、各实业分公司网络用户访问企业信息化应用系统时，都提供了统一

CIScoACS4.0安全平台作集中的身份认证、授权、行为审计。

4. 易维护性

**集团公司信息平台建设完成后，有多个应用系统在平台上运行，并有多种广域网的接入方式，中心机房的网络和设备数量多，本方案提供统一的网络管理系统CIScoworkSVMS对路由器或VPN接入设备和其它网络安全设第三章**集团企业信息化及安全整体解决方案备等作监控和管理，提供信息平台的综合管理的功能。  选用国际知名品牌的设备和系统，技术和服务有保证。  网络和设备品牌尽量统一，易于维护和管理。 企业信息化建设安全解决方案 第16页 共22页

 采用功能强大的网络管理系统，增强对设备和应用的系统。

3.3 系统建设

3.3.1 财务系统

**集团跟各专业子公司统一采用用友ERPNC 5. 0软件，在功能域上实现如下功能:功能域

1、财务基础核算(总帐、应收应付、合并报表等);

2、资产管理;

3、现金流管理;

4、财务状况监控，财务状况分析;

5、预算管理(编制、执行、结果);

6、资金管理，大额支出管理

7、关联交易系统 .部署模式

集中部署，各子公司远程登录本系统使用。

3.3.2 人力资源管理系统

功能域

1、全省员工基本信息管理;

2、人事管理、岗位及工作信息管理;

3、薪酬、考核管理;

4、合同管理;

5、组织管理;

6、统计查询报表，人力资源分析;

7、招聘管理 .部署模式

集中部署，各子公司远程登录本系统使用。

3.3.3 门户、OA系统

功能域 .部署模式

本次以系统的实施将采用**集中部署的模式进行，通过配置各子公司的以流程来实现子公司的以系统覆盖 企业信息化建设安全解决方案 第17页 共22页

3.3.4 门户系统建设

企业门户功能域包括企业信息展现(内部门户)和企业网站(外部门户)两个功能模块。办公及辅助管理功能域主要包括文件公务流转、企业邮箱、知识管理、资产管理四个功能模块。 功能域

5. 对外网站

企业上市信息披露

企业形象宣传

企业产品宣传

人力招聘信息

远程办公支持 6. 对内门户: 单点登陆 整合以系统 整合邮箱系统 整合久其报表系统 实现初步的知识管理

资产管理

3.3.5 业务管理和运营支撑系统

采用其报表系统作为业务统一管理和分析系统。

.功能域 .部署模式

集中部署，各子公司远程登录本系统使用。

3.3.6 企业信息化管理

根据实业集团公司信息化建设的总体设计，需要对公司全网路由器、VPN设备进行及时有效的配置，监控和管理，我们采用思科公司提供的 CiscoworksVMS网络管理系统。 CIScoworksVMS可以通过集成用于配置、监控和诊断企业虚拟专用网(VPN)的Web工具，防火墙，以及基于网络、主机的入侵检测系统(IPS)，保护企业的生产率和降低运营成本。第三章**集团企业信息化及安全整体解决方案

3.4 安全建设

3.4.1 网络边界安全防护

网络层的安全性首先由路由器做初步保障。路由器一般用于分隔网段。分隔网段的特性往往要求路由器处于网络的边界上。通过配置路由器访问控制列表(AcL)，可企业信息化建设安全解决方案 第18页 共22页

以将其用作一个“预过滤器”，筛分不要的信息流，路由器的ACL只能作为防火墙系统的一个重要补充，对于复杂的安全控制，只能通过防火墙系统来实现。**集团信息网服务器，首先通过二层交换机接入到主备用ASA5550防火墙，由防火墙控制所有用户的访问权限，关闭非使用端口，开启服务器所承载以、财务、人力应用服务需要使用的端口。在此道防火墙建立DMZ区，连接省电信公司收发公文的转接器，建立一高于DMZ区低于内网的管理区，用于管理机的接入。在内网防火墙之外采用两台。 1sco3750三层交换机做路由控制，接入本大楼内分公司网络及实业本部网络，由其控制访问服务器、分公司VPN及外网路由。与地市分公司的 InternetVPN采用 CiscoASA552O防火墙，同时提供拨号VPN接入，外网访问通过 AmarantenF60O防火墙控制后接入公网网络，同时提供备用拨号VPN接入。外网WEB服务器接在枷

arantenF600防火墙眼Z区，对外开启 tep80http服务。通过制定相应的安全策略，防火墙允许合法访问，拒绝无关的服务和非法入侵。防火墙的安全策略可以基于系统、网络、域、服务、时间、用户、认证、数据内容、地址翻译、地址欺骗、同步攻击和拒绝服务攻击等等。连接至防火墙的不同网段之间的互访均需将到对方或经过对方到其它地方的路由指向防火墙的相应接口，防火墙制定合理的策略保证合法和必要的访问，拒绝非法入侵。我们通过配置 AmarantenF600防火墙实现以下功能: 1. 可以通过IP地址、协议、端口等参数进行控制，使得在内网中的部分 用户可以访问外网，而其他用户不能通过防火墙访问Internet。

2. 对网络流量进行精确的控制，对一个或一组IP地址、端口、应用协议第三章**集团企业信息化及安全整体解决方案既可以通过设置保留带宽保证应用的最小带宽，又可以设置最大带宽防止对网络资源的过度占用，还可以通过设置网络应用的优先级将网络带宽在不同应用之间进行合理分配，使网络效率达到最优化。 3. 通过三种方式过滤不良内容，包括:  URL地址:只需要将不良网站的URL地址添加到过滤列表中，便可进行阻挡。  不良关键字:所有包含**集团网络用户自定义不良关键字(如“法轮功”)的网页将被屏蔽  网页分类:腼 arantenF600将上亿万个网页分成了几十个类别(如政治、经济、色情、暴力等)，**集团网络用户只需要在FortiGate上设置阻断某一类站点(如色情、暴力类网站)便可批量屏蔽不良网站。  通过利用IP地址、邮件地址、实时黑名单/匿名中继代理列表(RBL/ORDBL)、MIME头、关键字等多项反垃圾邮件技术在网络层和内容层为**集团网络过滤大量的垃圾邮件，以净化带宽，减轻邮件服务器负担，提高**集团网络的工作效率，并防止病毒和不良信息通过垃圾邮件进入陕西电信DcN网络内网。

 AmarantenF600防火墙拥有强大的日志功能，可以对网络访问、入侵、病毒、内容过滤等信息进行详细的记录。

3.4.2 入侵检测与防御

入侵检测帮助系统对付网络攻击，扩展系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应)，提高信息安全基础结构的完整性。它在不影响网络性能的情况下能对网络进行监测，从计算机网络系统中收集信息，并分析这些信息，看看企业信息化建设安全解决方案 第19页 共22页

网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测作为一种积极主动地安全防护技术，对内部攻击、外部攻击及时做出响应，包括阻塞网络连接、记录事件和报警等，在网络系统受到危害之前拦截和响应入侵，第三章**集团企业信息化及安全整体解决方案被认为是防火墙之后的第二道安全闸门。这些通过以下工作来实现:  监视、分析用户及系统活动;  系统构造和弱点的审计;  识别反映已知进攻的活动模式并向相关人士报替;  异常行为模式的统计分析;  评估重要系统和数据文件的完整性;  操作系统的审计跟踪管理，并识别用户违反安全策略的行为。

对一个成功的入侵检测系统来讲，它不但可使系统管理员时刻了解网络系统 的任何变更，还能给网络安全策略的制订提供指南。更为重要的一点是，它应该 管理、配置简单，从而使非专业人员非常容易地获得网络安全。从而达到对网络 实现立体纵深、多层次保护的目的。实时监控或最近的网络数据监控。实时地显示、监控网络数据流量并记入日志。每小时网络数据流量记入日志，显示并提供详细的信息。本地或远程的服务器服务的用户信息。网络负载容量和系统状态的实时显示。实时检测、拦截并跟踪黑客入侵行为检测、拦截并通过各种方式(手机短信息、e朋i1，etc)发布警告信息给系统管理员。支持各种规则配置保证检测和阻止黑客入侵。支持追踪黑客，定位黑客的攻击位置。信息管理，检测并阻止访问非授权的web站点(色情、娱乐等等)通过关键字的搜寻对e一mail和web一mail信息流出进行拦截和记入日志。第三章**集团企业信息化及安全整体解决方案对于千兆网络的完善支持。并联式被动抓包技术(扫描和抓包)不影响网络流量。简便的安装和方便的操作(集成了S/W和H/W)。独立安装的系统保证更好地防御安全入侵。远程监控和集中控制。支持和(IAP)控制中心的通讯交流。检测/保护/警告根据入侵检测规则阻断非法网络流量，发布警告和报告(通过报警、e一mail、移动电话)给网络管理人员。提供黑客的不同信息(目的、黑客行为、攻击尝试的数量、解决办法、黑客攻击的起止时间等等)。提供针对不同的攻击行为的详细信息和对策。提供详尽的黑客文件来定位黑客位置。

控制信息。对进出的邮件进行有效的信息管理(发送者和接受者)。检测e一11(信息体和附件)并可以通过关键字的匹配进行阻断(保证保密或机密信息不泄漏)。记录Telnet，FtP和远程登录的详细信息。管理访问未授权的网页(包括色情、娱乐和股票信息等)的信息。控制和管理硬盘共享功能(对于PC机)。控制特定的服务器、客户端和服务(协议)，如果需要可以定义规则阻断非法连接。提供根据字符串匹配检索日志记录。报告功能，实时或定期的网络使用情况的详细信息报告。黑客攻击信息/检测信息/保护信息/阻止信息报告。第三章**集团企业信息化及安全整体解决方案数据交换详细信息报告，包括e一mail(正文/附件)、Web一mail、Telnet、Ftp和远程登录等等。提供阻断硬盘共享、本地/远程用户不合法信息的报告。提供各种黑客攻击行为的报告。各种不同的打印和输出格式。各种图形和报表报告。基于计算机、服务、时间、单个记录/群体的报告。根据不同时间段(月、天、小时)产生统计报表。设置统一管理权限。设置允许登录IP地址，保证只有合法IP的特定用户才能登录系统。本地客户机管理。根据IP地址管理数据流是否合法。拦截规则设置。根据每台服务器情况企业信息化建设安全解决方案 第20页 共22页

和每个服务(端口)情况设置拦截端口。日志设置，网络数据实时监控设置。入侵检测与防御解决方案利用在线式IPS和旁路式IDS实现。

3.4.3 安全漏洞扫描和评估

安全漏洞扫描产品能够最全面的评估企业范围内的所有网络服务、防火墙、应用服务器、数据库服务器等系统的安全状况，找出存在的安全漏洞，按照高中底三种风险级别罗列出来，同时针对每个漏洞给出修补的办法。漏洞扫描器的对象是基于TCP协议的网络设备，包括服务器、路由器交换机、工作站、网络打印机、防火墙等，通过模拟黑客攻击手法，探测网络设备存在的弱点，提醒安全管理员，及时完善安全策略，降低安全风险。只需在**集团公司中心机房配置一台机器上安装上漏洞扫描器即 可对全网所有网络设备及服务器等进行扫描。设置对昵B服务器、邮柞服务器、DNS服务器、数据库服务器、等进行基于网络的扫描。系统扫描器通过对企业内部操作系统安全弱点的全面分析帮助组织管理安全风险。系统扫描比较一个组织规定的安全策略和实际的主机配置来发现潜在的安全风险，包括缺少安全补丁、词典中中可猜中的口令，不适当的用户权限、不正确的系统登陆权限、不安全的服务配置和代表攻击的可以行为等等。系统扫描器采用Console/Agent结构，首先需要一台Console，在被扫描的机器上安装Agent代理，由Console集中管理所有的Agent的扫描服务。数据库扫描器是针对数据库管理系统的风险评估检测工具，可以利用它建立数据库的安全规则，通过运用审核程序来提供有关安全风险和位置的简明报告。利用数据库扫描器定期地通过网络快速、方便地扫描数据库，去检查数据库特有的安全漏洞，全面评估所有的安全漏洞和认证、授权、完整性方面的问题。数据库扫描器目前支持的数据库类型有 :MSSQLServer、ora。le和Sybase等。只需在一台PC上安装上数据库扫描器即可通过网络对数据库实施安全漏洞检测。计划配置一台便携式笔记本电脑安装漏洞扫描软件，从不同的网络位置扫描**集团中心机房所有的应用服务器、交换机路由器、防火墙等联网设备，该笔记本电脑还可以同时安装系统扫描器的Console以及数据库扫描器。

3.4.4 防病毒系统

通过对病毒在网络中存储、传播、感染的各种方式和途径进行分析，结合当代企业网络的特点，在网络安全的病毒防护方面应该采用“多级防范，集中管理， 以防为主、防治结合”的动态防毒策略。在**集团网络中部署全面的病毒扫描解决方案，从单机、网络到Internet/Intranet网关全方位多平台的防病毒产品，满足不同用户对计算机从清除病毒到网络通讯系统全面防范监控的要求。单机病毒防火墙:适用于未联网的单个windows桌面机，支持win9

8、winNTWorkstation、

Win2000/XPProfessional等个人操作系统。服务器病毒防火墙:文件服务器是企业网中最常见的服务器。以NT服务器为例，它会遭受大量引导型病毒、宏病毒、32位Windows病毒以及黑客程序等的攻击，更为常见的是，由于服务器为网络中所有工作站提供资源共享，因而也成为病毒理想的隐身寄居场所，进而将病毒轻易扩散到网络中的所有工作站上。需要为服务器提了针对性的防病毒解决方案，支持包括Net，are、企业信息化建设安全解决方案 第21页 共22页

NT及AlphaNT为平台的多种服务器的病毒防护。电子邮件服务器病毒防火墙:对邮件服务器进行针对性的病毒扫描服务，使服务器本身不受病毒感染，同时防止病毒通过邮件交叉感染。邮件服务器产品覆盖 MierosoftExehange、 LotusNotesforNT、AIX、Solaris、HPUX、 IBM5390和05400等。网络杀毒服务器:实时的、基于Web的、可集中控管的桌面反病毒解决方案。从管理控制台，管理员可配置、更新、扫描、监控所有的客户端的反病毒防护，降低企业的整体成本。在病毒爆发情况下，管理员可将所有的客户端的病毒码更新至最新状态并进行扫描，进行整个企业的病毒扫描。防毒中央控管系统:使用中央控管系统后，网管人员可以使用浏览器为应用界面，在企业网内部的任意工作站或通过Internet实现对跨地区、跨平台的企业防毒系统实施统一管理和监控。随着近年来尼姆达、冲击波等蠕虫病毒的泛滥，越来越多的病毒通过系统漏洞进行主动的复制和传播，仅仅依靠针对主机的防病毒软件并不能完全阻止蠕虫病毒在网络中的扩散。而据ICSA(国际计算机安全协会)的统计表明，超过90%的病毒是通过网络传播的，因此网关防病毒是**集团网络安全建设的重中之重。我们需要针对**集团网络的安全需求，对 AmarantenF600的第三章**集团企业信息化及安全整体解决方案防病毒功能进行相应设置，便能够对进出**集团网络的数据流进行实时病毒过滤，将病毒阻挡在Internet入口之外。 AmarantenF60O的网关病毒过滤特性还可以有效地防止病毒进入内网之后利用计算机系统漏洞肆意传播，大量消耗系统资源和网络带宽所造成的DoS/DDoS(拒绝服务/分布式拒绝服务)攻击。

3.4.5 终端监控与管理

内网计算机如果非法接入互联网，就会使得我们采取的内、外网物理隔离、防火墙等多种确保内联网安全的措施彻底失去功效，相当于把整个内部网络完全暴露在恶意攻击者面前，所可能遭受的信息失密、毁损等后果将无法估量。因此我们要在**集团内网中的PC上部署防非法外联软件。监控各类非法外联，包括枷dem、ADSL、GPRs、红外、多网卡(包括无线网卡)，基本涵盖目前主流的外联手段。实时发现非法接入的主机(可以穿透个人防火墙)，并能有效阻断非法接入主机对局域网络的访问，有效维护局域网的完整性和安全性。能够有效监控/阻断客户端主机的IP、琳C、掩码的非法修改操作，有效控制局域网的IP盗用和滥用，同时也避免了客户端主机修改网卡IP后连入Internet的问题。告警方式包括:屏幕报警、Wind，s消息警告、邮件告警等。系统支持多级管理，适用于大规模分布式部署，总控可以查看全局的主机信息、所有报警信息等，很好的起到资产管理的作用。客户端的运行平台包括Windows9

8、 WindowsMe、 WindowsXP、 Windows2000、Windo， 52003等。客户端采用后台运行方式，不容易被用户察觉;客户端对自己注册的服务进行保护，使服务不能非法停止、服务属性不能非法修改;客户端进程采用双进程相互守护的方式保障进行正常运行;客户端对安装文件进行保护，使其不被非法删除、修改。采用分散扫描方式，将探测活动主机的工作分摊到各个Vlan中的指定引擎，分担了控制中心的扫描工作，同时也使得探测数据包控制在Vlan中，从而使得系统扫描对整个网络的带宽占用有效控制在很小的范围，不对网络正常应用带来任何负面影响。第三章**集团企业信息化及安全整体解决方案第四章结束语 企业信息化建设安全解决方案 第22页 共22页

4 结束语

4.1 论文工作总结

本企业信息安全解决方案实现了企业以互联，提供了安全的Site一to一SiteVPN与移动办公VPN接入，针对移动办公提供了 CISCOeasyVPN和 LZTPVPN的同时安全连接，其中 LZTPVPN为CISCO新增支持功能。由于目前最大的安全隐患都是出在内网上，针对企业外网和内网，特别是内网提供一揽子解决方案。

4.2 本方案不足之处

由于**集团牵头、督促各上市省份要在规定时间内完成每个企业信息网络建设。所以本方案从设计到实施才一年多的时间，主要建设方向在大局:中心机房建设、各子公司VPN接入、各子系统建设。接下来进入网络建设第二阶段，会加强对内网的安全建设上。如桌面安全防护方面:通过技术手段解决ARP欺骗问题、U盘病毒传播、终端电脑随意接入问题、以及传统的防病毒软件无法解决的问题。内网资产管理方面:能够全面了解内网硬件以及软件资产的信息，比如安装什么类型软件、电脑配置等，并且可以及时了解内网资产变化情况;系统能够提供软件分发、补丁管理方面的技术手段，减轻管理人员的工作压力，提供更加方面快捷手段集中管理所有终端系统。行为管理方面:通过技术手段解决外设滥用、明确规定只用注册的U盘设备才允许在企业范围内使用，防止信息泄密;限制不允许随意更改网络配置信息，比如IP、MAC地址等;另外在上网行为审计、非法外联控制等方面也存在较大的需求。