時間:2023-06-07 09:02:48
序論:速發表網結合其深厚的文秘經驗,特別為您篩選了11篇企業網絡設計與實現范文。如果您需要更多原創資料,歡迎隨時與我們的客服老師聯系,希望您能從中汲取靈感和知識!
企業網絡構架現在已經從以往單一的數據交換發展到綜合智能化一體的信息化網絡計劃,我國企業的網絡構架及安全部署現在已經發展了幾十年,但是,與西方發達國家相比,我國企業的網絡構架及安全部署還存在很大的差距。目前,我國企業已經意識到網絡構架及安全部署的重要性,主要是由于企業網絡構架對于企業的生產、管理和物流等環節都具有較大的支持作用。企業的管理層對網絡構架的設計思想主要反映出企業利用資源的能力,從而保證企業的網絡構架是其業務水平的重要保障。我國現在很多企業對網絡構架及安全部署的要求越來越高,但是我國企業的網絡構架還無法滿足現代企業網絡構架的高要求。因此,我國企業網絡構架及安全部署的不足嚴重制約了我國企業的長遠發展。
2企業網絡架構安全部署設計與實現
2.1 網絡架構設計思想及原則
我國企業網絡架構設計主要是為了實現將不同位置的計算機網絡進行互通,這也是企業實現網絡構架的基本要求。隨著我國企業數據業務的不斷發展和改進,企業網絡構架的設計要求也變得更高,因而需要從簡單的網絡構架中設計出服務性更強的網絡構架,并且不斷向應用型網絡構架轉變。因此,企業網絡構架的設計者在進行網絡構架設計時應該充分考慮企業的各種業務需求,以保證企業的網絡構架能夠滿足其長遠的發展,從而為企業提供更加方便的管理平臺,這也是企業網絡構架及安全部署設計的基本思想和原則。
2.2 企業網絡架構的實現
當網絡構架的基本設計完成后,就應該對設計的模型進行部署和實現,從而使得企業能夠更加實際地了解企業的網絡構架。
企業網絡構架實現的過程一般包括以下幾個方面:1)規劃企業的IP地址空間范圍;2)部署和實現企業核心層的網絡構架;3)在核心網絡構架的基礎上對下層的網絡構架進行設計。當然,企業的網絡構架的設計一般應該遵循規范性、標準性、連續性和靈活性等原則。
3企業網絡構架的故障分析及解決方案
3.1 網絡冗余雙機部署中的故障
現在,網絡設備雙機部署過程中,由于路由的配置等技術相對比較成熟,一般不會出現故障和問題。但是,其企業網絡構架中防火墻的雙機構架的設計和部署時,會出現很多疑難問題。目前,解決這些疑難問題的方法主要包括以下兩種:1)移除防火墻之間的交叉冗余鏈路,同時更改兩臺防火墻上相同路由開銷值,這樣可以保證在主防火墻出現故障后,其他防火墻可以安全使用。這種方案可以解決故障,但也存在一定的弊病,主要是指數據負載在主設備上,備用設備一般是出于閑置狀態,只有出現故障時才切換到備用設備機;2)采取措施將主防火墻的全部會話列表與備用設備同步,從而使備用設備保持與主設備的防火墻會話列表一致。即使出現數據訪問不一致的情況,主設備也不會導致數據發生故障,從而造成多個設備處于故障狀態。當然,防火墻會話同步的設計現在已經成為基于會話狀態防火墻的解決網絡冗余雙機部署中故障重要手段和措施。
3.2 網絡QOS保障
QOS保障是企業在進行網絡構架及安全部署的設計與實現的過程中,對特殊數據進行帶寬處理,以實現優先保證的一種有效途徑。但是,語音和視頻在網絡傳輸的過程中對帶寬的延時和抖動的要求比較高,因而需要考慮企業網絡分子結構廣域網帶寬的影響,然后根據流量分析,在帶寬能夠滿足一定要求的情況下,保證視頻和語音數據的傳輸更加順暢。當然,企業網絡架構及安全部署的設計和實現過程中,分支網絡構架中的語音和視頻數據需要經過各自的核心路由,這樣的企業網絡構架需要保障企業的語音和視頻在網絡分子上得到一定的保證。然而,在實際的網絡構架部署過程中,由于企業的業務不斷增加和網絡分支的不斷擴展,廣域網的數據量也增大,因此,采用QOS來對數據進行保障顯得至關重要。
3.3 網絡訪問安全控制
隨著社會經濟的快速發展,計算機信息技術介入人們生活的方方面面。企業網絡的信息安全策略是涵蓋多方面的,既有管理安全,也有技術安全,既有物理安全策略,也有網絡安全策略。企業網絡應實現科學的安全管理模式,結合網絡設備功能的不同對整體網絡進行有效分區,可分為專網區、服務器區以及內網公共區,并部署入侵檢測系統與防火墻系統,對內部用戶威脅到網絡安全的行為進行阻斷。下面著重闡述企業信息系統的網絡層安全策略:
一、企業網絡設備安全策略分析
隨著網絡安全形勢的日趨嚴峻,不斷有新的攻擊手段被發現,而這些手段的攻擊目標也已經從用戶終端、服務器厭延展至交換機、路由器等硬件設施。而交換機與路由器屬于網絡核心層的重點設備,如果這些設備退出服務,企業信息系統網絡安全便會面臨很大的威脅。由此本文給出以下的網絡設備安全策略。
最大化地關閉網絡交換機上的服務種類。尤其是不經常使用的服務更應關閉,舉例來講:交換機的鄰居發現服務CDP,其功能是辨認一個網絡端口連接到哪一個另外的網絡端口,鄰居發現服務鎖發出和接收的數據包很容易暴露用戶終端的屬性信息,包括交換機端口與用戶終端的IP信息,網絡交換機的型號與版本信息,本地虛擬局域網屬性等。因此,本文建議在不常使用此服務的情況下,應該關閉鄰居發現服務。另外,一些同樣不常使用的服務,包括交換機自舉服務、文件傳輸服務、簡單文件傳輸服務、網絡時間同步服務、查詢用戶情況服務、簡單網絡管理服務、源路徑路由服務、ARP服務等等。
企業信息系統的網管往往以Telnet協議實現對全網所有交換機、路由器的配置與管理。眾所周知,此協議使用的是明文傳輸模式,因此在信息安全方面不輸于非常可靠的協議。入侵者只要以抓包軟件便能夠輕易得知網管的登錄ID與密碼,以抓包軟件同樣能夠獲取網絡管理員發出、受到的全部數據。所以在網絡管理中,應引入安全性能更高的協議,本文推薦SSH(Secure Shell Client)協議。這種協議借助RSA生成安全性能極高的簽名證書,通過該證書,全部以SSH協議進行傳輸的數據包都被良好加密。此外VTP 的安全使用也是一個應該得到重視的問題,VTP應配置強口令。
二、企業信息系統網絡端口安全策略
由于大部分企業網絡的終端均以網絡交換機在接入層連入網絡,而網絡交換機屬于工作在ISO第二層的設備,當前有不少以第二層為目標的非法攻擊行為,為網絡帶來了不容忽視的安全威脅。
二層網絡交換機使用的數據轉發方式是以CAM表為基礎的。在網絡交換機加點之后,首選會清空CAM 表,并立即啟動數據幀源地址學習,并將這些信息存入交換機CAM表中。這時候,加入非法入侵者通過偽造自身的MAC地址并不停地發出數據幀結構,便很容易導致網絡交換機CAM表溢出,服務失效。而此時便會導致該MAC的流量向交換機其他端口轉發,為非法入侵者提供網絡竊聽的機會,很容易造成攻擊風險。本文所推薦的策略是:網絡交換機的端口安全維護應隨時打開;在交換機配置中設置其學習MAC地址的最大數目為1;設置網絡交換機能夠存儲其學習到的全部MAC地址;一旦網絡交換機的安全保護被觸發,則丟棄全部MAC 地址的流量,發送告警信息。對網絡交換機進行以上的配置,一方面能夠防止基于交換機MAC地址的泛洪攻擊,另一方面也能對網絡內部的合法地址做好記錄。
在成功阻止未知MAC地址接入的基礎上,還應阻止來自已知地址的攻擊。本文推薦基于MAC限流的策略,這是由于網絡交換機不必向所有端口廣播未知幀,因此可以對未知幀進行阻止,增強網絡交換機安全性。
三、企業信息系統網絡BPDU防護策略
一般情況下,企業的內部網絡往往以網絡交換機作為網絡拓撲的支撐,因為考慮到交換機通道的溝通,加之系統冷、熱備份的出發點,在企業網絡中是存在第二層環路的,這就容易引發多個幀副本的出現,甚至引起基于第二層的數據包廣播風暴,為了避免此種情況的發生,企業網絡往往引入了STP協議。而這種協議的效果則取決于交換機共享的BPDU信息。這就為一些攻擊者提供了機會,通過假冒優先級低的BPDU數據包,攻擊者向二層網絡交換機發送。由于這種情況下入侵檢測系統與網絡防火墻均無法生效,就導致攻擊者能夠方便地獲取網絡信息。可以采用的防范措施為:在二層網絡交換機啟用BPDU過濾器模塊。該模塊能夠控制此端口,使其對BPDU數據包不進行任何處理,加入收到此種類型的數據包,該端口將會自動設置為“服務停止”。在此基礎上,在根交換機上引入鏈路監控體系。一旦該交換機設備檢測到優先級更高的 BPDU數據包,則發出“失效”的消息,及時阻塞端口。
四、企業信息系統網絡Spoof防護策略
在企業內部網絡中,往往有著大量的終端機,出于安全性與可靠性的考慮,這些終端機均以動態主機設置協議獲得自身的IP地址。這就為Spoof 攻擊留下了機會。在這種攻擊中,非法入侵者會將自身假冒動態主機設置協議服務器,同時向用戶主機發出假冒的動態IP配置數據包,導致用戶無法獲取真實IP,不能聯網。可以采用的防范措施為:引入動態主機設置協議Snooping 策略。在二層網絡交換機上安裝Snooping模塊并激活,系統便會把設備的全部可用端口設置為untrust 接口。這種接口能夠收到消息,并丟棄假冒的動態IP配置數據包,從而防止Spoof 攻擊帶來的風險。
考慮到地址解析協議在安全方面的防范性不足,加入非法入侵者不斷地發出ARP數據包,便容易導致全部用戶終端的ARP表退出服務,除去靜態綁定IP與MAC之外,本文推薦動態ARP監測策略。此種策略會將交換機全部端口設置為untrust狀態。此種狀態之下,端口將無法發出ARP的響應,因此,黨用戶主機染毒時,其發出的假冒ARP數據包將由于與列表不匹配而被丟棄,系統安全得到了保障。
五、結束語
中圖分類號:TP311 文獻標識碼:A 文章編號:1674-7712 (2013) 04-0069-01
一、企業網絡安全防護信息管理系統的構建意義
據調查統計顯示,源于企業外部網絡入侵和攻擊僅占企業網絡安全問題的5%左右,網絡安全問題大部分發生在企業內部網絡,內部網絡也是網絡安全防護的關鍵部分。因此,對企業內部網絡信息資源的有效保護極為重要。傳統的網絡安全防護系統多數都是防止外部網絡對內部網絡進行入侵和攻擊,這種方式只是將企業內部網絡當作一個局域網進行安全防護,認為只要能夠有效控制進入內部網絡的入口,就可以保證整個網絡系統的安全,但是,這種網絡安全防護方案不能夠很好地解決企業內部網絡發生的惡意攻擊行為,只有不斷加強對企業內部網絡的安全控制,規范每個用戶的行為操作,并對網絡操作行為進行實時監控,才能夠真正解決企業內部網絡信息資源安全防護問題。
二、企業網絡安全防護信息管理系統總體設計
(一)內網安全防護模型設計。根據企業內部網絡安全防護的實際需求,本文提出企業網絡安全防護信息管理系統的安全防護模型,能夠對企業內部網絡的存在的安全隱患問題進行全面防護。
由圖1可知,企業網絡安全防護信息管理系統的安全防護模型從五個方面對企業內部網絡的信息資源進行全方位、立體式防護,組成了多層次、多結構的企業內部網絡安全防護體系,對企業內部網絡終端數據信息的竊取、攻擊等行為進行安全防范,從而保障了企業內部網絡信息資源的整體安全。
(二)系統功能設計。企業網絡安全防護信息管理系統功能主要包括六個方面:一是主機登陸控制,主要負責對登錄到系統的用戶身份進行驗證,確認用戶是否擁有合法身份;二是網絡訪問控制,負責對企業內部網絡所有用戶的網絡操作行為進行實時監控和監管,組織內網核心信息資源泄露;三是磁盤安全認證,負責對企業內部網絡的計算機終端接入情況進行合法驗證;四是磁盤讀寫控制,負責對企業內部網絡計算機終端傳輸等數據信息流向進行控制;五是系統自防護,負責保障安全防護系統不會隨意被用戶卸載刪除;六是安全審計,負責對企業內部網絡用戶的操作行為和過程進行實時審計。
(三)系統部署設計。本文提出的企業網絡安全防護信息管理系統設計方案采用基于C/S模式的三層體系架構,由安全防護、安全防護管理控制臺、安全防護服務器三部分共同構成,實時對企業內部網絡進行安全防護,保障內部網絡信息資源不會泄露。安全防護將企業內部網絡計算機終端狀態、動作信息等傳遞給安全防護服務器,安全防護管理控制臺發出指令,由安全防護服務器將指令傳送給安全防護完成執行。
三、企業網絡安全防護信息管理系統詳細設計
(一)安全管理控制臺設計。安全管理控制臺是為企業網絡安全防護信息管理系統的管理員提供服務的平臺,能夠提供一個界面友好、操作方便的人機交互界面。還可以將安全策略管理、安全日志查詢等操作轉換為執行命令,再傳遞給安全防護服務器,通過啟動安全防護對企業內部網絡計算機終端進行有效控制,制定完善的安全管理策略,完成對系統的日常安全管理工作。
安全管理人員登錄管理控制臺時,系統首先提示用戶輸入賬號和密碼,并將合法的USB Key數字認證設備插入主機,經過合法性驗證之后,管理員獲得對防護主機的控制權。為了對登錄系統用戶的操作嚴格控制,本系統采用用戶名和密碼登錄方式,結合USB Key數字認證方式,有效提高了系統安全登錄認證強度。用戶采取分級授權管理的方式,系統管理人員的日常維護過程可以自動生成日志記錄,由系統審計管理人員進行合法審計。
(二)安全防護服務器設計。安全防護服務器主要負責企業網絡安全防護信息管理系統數據信息都交互傳遞,作為一個信息中轉中心,安全防護服務器還承擔命令傳遞、數據處理等功能,其日常運行的穩定性和高效性直接影響到整個系統的運行情況。因此,安全防護服務器的設計不但要實現基本功能,還應該注重提高系統的可用性。
安全防護服務器的主要功能包括:負責將安全管理控制臺發出的安全控制信息、安全策略信息和安全信息查詢指令傳送給安全防護;將安全防護上傳到系統中的審計日志進行實時存儲,及時響應安全管理控制臺的相關命令;將安全防護下達的報警命令存儲轉發;實時監測安全管理控制臺的狀態,對其操作行為進行維護。
(三)安全防護設計。安全防護的主要功能包括:當安全防護建立新的網絡連接時,需要與安全防護服務器進行雙向安全認證。負責接收安全防護服務器發出的安全控制策略命令,包括用戶身份信息管理、磁盤信息管理和安全管理策略的修改等。當系統文件已經超過設定的文件長度,或者超過了設定的時間間隔,則由安全防護向安全防護服務器發送違規操作信息;當其與安全防護服務器無法成功建立連接時,將日志信息存儲在系統數據庫中,等待與網絡成功重新建立連接時,再將信息傳送到安全防護服務器中。
綜上所述,本文對企業內部網絡信息安全問題進行了深入研究,構建了企業內部網絡安全防護模型,提出了企業網絡安全防護信息管理系統設計方案,從多方面、多層次對企業內部網絡信息資源的安全進行全面防護,有效解決了企業內部網絡日常運行中容易出現的內部信息泄露、內部人員攻擊等問題。
中圖分類號:TP311.52
網絡行為管理系統旨在幫助網絡管理員了解網絡運行狀況和帶寬使用狀況。作為網絡管理較重要的工具之一,網絡行為管理系統協助網絡管理員更好的掌握網絡狀態,進而做出相應的管理調整,確保網絡的連續正常運行。網絡行為管理系統以旁路監聽的方式接入網絡,不改變網絡系統的拓撲結構,對網絡性能毫無影響。網絡行為管理系統管理平臺增加了網絡用戶管理功能,便于網絡管理員管理用戶信息,時時掌握網絡用戶的使用情況。網絡行為管理系統基于Windows xp系統開發,對服務器的配置要求很低。即使一臺簡單得PC機完全可以應付工作。對于網絡管理員,可以在任何一臺內網機器上通過瀏覽器打開管理平臺。大大降低了在網絡方面的管理成本。網絡行為管理系統能夠監控網絡中的數據并進行分析并提供管理平臺。可以作為網絡管理員有效的網絡管理工具,提高網絡使用效率。
1 系統需求分析
本企業的網絡現狀是大部分內網用戶因為業務需要具有訪問互聯網的權限,而連接互聯網的鏈路帶寬有限,經常會在工作時間出現帶寬占滿的情況。行政管理者無法找到帶寬使用最多的用戶和在工作時間做與工作無關網絡行為的用戶。
根據現狀需要解決如下問題:
(1)能夠記錄用戶訪問信息。
(2)能夠將辦公網內用戶的配置信息統一管理。
(3)能夠記錄內網用戶間的訪問信息。
網絡行為管理系統通常分為兩種模式,分別是路由模式和透明模式。路由模式是將網絡行為管理系統放置于互聯網總出口處,凡是訪問互聯網的的數據都通過它,可以進行更加嚴格的權限策略管理。但是,缺點是內網用戶間的訪問狀況就沒有監聽到。為了達到能夠監聽到內網用戶間的數據和內網用戶訪問互聯網的數據,可以采用透明模式。采用透明模式,捕獲內網用戶間的網絡數據和內網用戶訪問互聯網的網絡數據,并進行協議分析,存入數據庫,通過管理平臺讀取數據庫的數據進行分析。
設計需求:
(1)實用、穩定、先進、可靠,以實際應用需要為設計依據確保系統總體優化、安全可靠和穩步推進。
(2)充分考慮功能擴容性和技術升級性,以求得最佳的性能價格比。
(3)采用透明模式接入,不破壞現有網絡格局。
(4)不需要安裝客戶端軟件,不影響內網用戶使用網絡。
功能需求:
(1)監聽網絡內數據,并分析協議。
(2)將分析處理后的數據傳入數據庫。
管理平臺需求:
(1)能夠增加刪除系統管理員。
(2)能夠管理所有用戶的信息,增加、刪除或修改。
(3)能夠查看用戶訪問記錄,內容包含源、目的IP、MAC、協議信息。
性能需求:
在數據量較大的網絡中,高效的網絡管理可以保障網絡的高效使用。本系統最大的目的是快速捕獲數據包并進行協議分析,系統的緩慢降低系統的運行效率,不科學的部署還會影響系統在網絡的監控能力。因此,在設計與實施中要采用先進的網絡技術和系統,最大限度地提高系統的響應速度。本系統采用Mysql數據庫并結合PHP開發管理控制平臺,能夠安全高效的完成對數據的查詢、更改。
2 系統設計
2.1 網絡數據處理中心設計
Winpcap提供了數據包的捕獲功能,在不同的應用中需要設計不同的協議分析模塊。針對不同的協議,設計相應的協議分析功能,是基于Winpcap應用的關鍵所在[1]。
(1)獲得本地網絡驅動器列表
首先使用WinPcap應用程序函數獲取服務器端網卡列表,然后再對捕獲網絡數據端口進行設定。WinPcap提供pcap_findalldevs_ex()函數來實現此功能。函數返回一個pcap_if結構體鏈表,結構體都包含了一個適配器的詳細信息。取得網卡列表后顯示出來并供用戶選擇,如果網卡沒有被發現就顯示有關錯誤。
(2)打開設備并將其設為混雜模式
網卡在一般工作模式下只接受去往它的包,忽略去往其他主機的數據,混雜模式下的網卡它將接收所有的流經它的數據,這說明在同一個網絡里設備可以捕獲到本網絡其他設備的數據[2]。因此常見的抓包工具通常使用混雜模式。使用pcap_findalldevs_ex()捕獲到網卡后,通過pcap_open()函數調用此設備。
(3)編譯并設置過濾器
數據包過濾處理是數據包捕獲技術中的難點和重點,WinPcap或libpcap最強大的特點之一就是數據流的過濾引擎。設置數據流過濾規則實現信息包過濾,用來過濾數據包的函數是pcap_compile()和pcap_setfilter()。pcap_compile()將一個高層的布爾過濾表達式編譯成一個能夠被過濾引擎所解釋的低層的字節碼。
pcap_setfilter()將一個過濾器與內核捕獲會話向關聯。調用pcap_setfilter()時,過濾器將被應用到來自網絡的所有數據包。所有的符合要求的數據包,將會復制給應用程序。
(4)捕捉保存數據包
使用循環調用pcap_next來接受數據包。這個函數的參數和回調函數pcap_loop()一樣是由一個網卡描述符作為入口參數和兩個指針作為出口參數,這兩個指針將在函數中被初始化,然后再返回給用戶。我們使用pcap_next_ex()進行數據包的捕獲。
(5)數據包協議解析
捕獲后的數據經過解析才能得到想要的信息,如源地址,目的地址,協議類型等信息。因此需要關注的幀的格式,解析的過程是將數據幀中的數據按不同協議進行分析提取。
2.2 數據庫設計
數據中心是對來自網絡數據處理中心的網絡數據作進一步的分析、還原、存儲,并根據管理控制臺下發的查詢指令進行響應。數據中心的主要功能是存儲經過處理后的網絡數據,和網絡管理員通過管理平臺刪除、增加、修改網絡用戶的管理信息。網絡數據處理中心分析完TCP/IP數據包,還原應用層協議后,將結果存放在數據庫中,為了方便以后網絡管理員的查詢,設計表的時候就要求簡潔、易懂。
(1)基礎信息維護模塊模型如圖1所示。
圖1 基礎信息維護模塊物理模型
(2)抓包信息模塊如圖2所示。
圖2 抓包信息模塊物理模型
3 功能實現
運行環境配置:
(1)下載WinPcap的安裝文件WinPcap_4_1_2.exe,程序員開發包WpdPack_4_1_2.zip,SDK開發環境。
(2)執行安裝文件,本機就能運行winPcap程序了。
(3)解壓開發包,在VC的option的include和lib中加入winPcap的include和lib。
(4)在程序中加入#include , #include 。然后在工程的setting中加入預定義宏:WPCAP } HAVE_ REMOTE,導入wpcap.lib庫。
在登陸頁面輸入用戶名和密碼,點擊登陸按鈕,將輸入的內容提交給登陸驗證頁面,將輸入的的內容連接到數據庫查詢,驗證通過,進入http://127.0.0.1:8080/function.php,驗證失敗,進入http://127.0.0.1:8080/loaderro.php,提示“無權限”。
系統設置頁面連接數據庫aduser表,讀取系統管理員賬號信息。并通過增加管理員和刪除管理員按鈕,來增加或刪除系統管理員賬號。
用戶管理功能是讓系統管理員更清楚地掌握本網絡內用戶的網絡配置信息,并通過增加用戶和修改用戶按鈕來增加用戶或是修改用戶信息,點擊刪除用戶按鈕來刪除用戶,點擊查詢可以通過IP、MAC兩項來查找用戶。
日志查看功能幫助網絡管理員直觀的看到本網絡內用戶訪問的網址和使用的協議以及時間。通過查詢網段設置和協議類型設置可以過濾掉不需要的信息,提高管理效率。
網絡數據處理中心應用在服務器上,由網絡數據處理中心的sniffer工具在網絡層捕獲數據包,并進行協議分析,并將數據傳送給數據庫,以供管理控制臺進行查詢或修改操作。
參考文獻:
[1]劉文濤.網絡安全編程技術與實例[M].北京:機械工業出版社,2008.
[2]趙心宇,朱齊丹,朱達書.應用winPcap捕獲網絡數據包[J].應用科技,2004,31(11):29-31.
[3]雷震甲.網絡工程師教程[M].北京:清華大學出版社,2006.
本課題主要針對現今不同企業或者同一企業內部與外部網絡的數據同步要求,提出一套如何在計算機技術上實現這一需求的解決方案。本文不僅對這一技術在應用領域的需求做出了全面具體的分析,而且也闡述了這一技術的設計思想和實現細節,并且對實現過程中涉及的各類技術做出了詳細具體的解釋,力求讓讀者明確實現什么,怎么實現,為什么要這樣實現,以及實現這一技術的意義。
關鍵字:數據同步 COM ActiveX ATL ASP 組件制作 電子商務 文件傳輸 組件注冊 網絡編程 COM調用 ASP組件調用
目
錄
前 言 4
正 文 4
系統概述 4
需求闡述及功能定制 5
技術實現方案 6
模塊算法和機制實現過程 11
總結 27
致謝 27
參考文獻 28
1 校企合作的高效互動模式
為了與企業能保持穩定和牢固的合作關系,必須采取一種能實現校企雙贏的模式。學校的需求是專業培養方案的制定、課程和實訓的開發、師資力量的培養、學生的實踐教學和校內外實訓場地的建設。企業的需求是符合崗位需求的高素質人才、企業員工的培訓場所和師資。在充分了解了校企雙方的需求后,逐步探索出了校企合作的高效互動模式。
校企合作的第一階段,學校提供資金,企業對網絡專業的崗位需求進行調研,提供專業調研報告。然后由校內教師和企業工程師組建的專業建設團隊分析專業調研報告提取專業面向的主要工作崗位,然后從工作崗位中提取典型工作任務,接著構建專業的課程體系。當專業課程體系構建完成并通過驗證后,專業建設團隊分成幾個小組進行核心課程和實訓課程的開發。企業工程師與校內教師共同確定課程和實訓的內容,并結合授課內容開發出適用于教學的企業項目及配套項目文檔。實訓資源的開發主要包括實訓指導書、實訓項目文檔、實訓報告模板及實訓評價標準等。
校企合作的第二階段,為了滿足課程和實訓的教學環境要求,企業幫助完成校內實訓基地的建設,在實訓基地內可以完成學生綜合實訓和就業前實訓的教學任務,為企業輸送高素質人才;在實訓基地內可以完成企業員工的技能培訓,使學校和企業在校企合作的過程中能達到“雙贏”,從而實現高效的互動合作。
2 實訓課程的設計思路
實訓課程的開發成果是校企合作的重要成果,本校在校企合作共同開發的過程中總結出以下幾點經驗。實訓定位要準確,實訓內容要覆蓋,實訓師資要配套,實訓考核要嚴格。
2.1 實訓定位要準確
實訓課程在專業課程體系中的定位一定要準確,在本專業的課程體系中,每個學期的期末有兩周的專業實訓課程。學期實訓的定位是鍛煉學生綜合運用本學期的課程內容進行模擬項目開發的能力。最后一學年的第一學期針對不同的就業崗位方向安排了兩個就業前的綜合實訓,就業前實訓的定位是訓練學生針對某一就業崗位方向貫穿前四個學期中涉及的相關課程的內容,同時為了更好的就業,就業前實訓還需要完成相關職業技能認證。學生完成就業前頂崗實習后將進入企業進行頂崗實習。
2.2 實訓內容要覆蓋
實訓內容課程體系中主要包括學期綜合實訓和就業前綜合實訓,其中學期綜合實訓需要盡可能的覆蓋整個學期中所有的專業課程,以第三學期的《多鏈路網絡組建、運維與應用開發》實訓為例,實訓內容覆蓋了《路由與交換技術》、《WEB前端技術》、《網絡檢測與監控》和《網絡服務與管理》。實訓內容以企業的真實網絡項目為基礎進行開發,開發出符合行業標準的實訓項目。與實訓項目配套開發出實訓指導書和配套的實訓資源。
2.3 實訓師資要配套
實訓效果的好壞在很大程度上取決于實訓實施過程中教師的職業技能水平、教學水平和責任心。為了提高教師的職業技能水平,必須為教師提供企業實踐鍛煉和職業資格認證培訓的機會。并且聘請企業工程師作為兼職實訓指導教師與校內教師共同指導,從而在指導實訓的過程中能發揮企業教師項目經驗豐富的優點及校內教師教學經驗豐富的優點,有效的保障實訓實施過程中的教學質量。
為了保障實訓師資水平的持續穩定,要定期考核實訓指導教師并提供相關的培訓進修意見,促進教師的可持續發展。
2.4 實訓過程要規范
所有的綜合實訓是基于工作過程開發的。為了達到預期的實訓效果,要求提供與企業工作環境相仿的實訓環境,并按照企業項目的實施過程和操作規范指導學生進行實訓。通過綜合實訓的訓練,學生能逐步的熟悉企業的項目實施流程和操作規范,從而能盡快地適應真實的工作崗位。
2.5 實訓考核要嚴格
實訓完成之后,對學生的考核評價是一個十分重要的環節,如果考核評價不嚴格將會使學生不夠重視。首先要根據實訓內容制定出規范的實訓考核標準,然后實訓指導教師要嚴格的根據實訓考核標準對學生進行考核。
實訓的考核標準要由企業工程師和校內教師共同制定,要參照企業對人才的考核要求,考核學生的綜合能力,綜合能力主要包括學生的專業技術能力、學生的團隊協作能力、信息搜索與分析能力和成果展示能力等。
3 學期綜合實訓的實現
下面以計算機網絡技術專業第三學期的綜合實訓為例,介紹本校綜合實訓的開發方法及成果。該綜合實訓是與三家網絡及網站建設公司合作開發的,開發團隊包括三名企業工程師和兩名校內教師,下面就從實訓定位、實訓內容、實訓實施、實訓師資及實訓考核五個方面介紹該綜合實訓。
《多鏈路網絡建設、運維及開發》實訓定位為綜合實訓,要求綜合覆蓋第三學期的專業課程,主要包括《路由與交換技術》、《網絡服務與管理》、《WEB前端技術》和《網絡檢測與監控》專業課程。
實訓內容以中型企業局域網的組建、運維及企業宣傳網站開發項目為基礎,要求學生完成六個項目任務:項目需求分析、網絡建設方案撰寫、網絡實施詳細設計(網站建設規劃)、網絡項目實施(網站開發)、項目各模塊的測試、網絡系統集成和網絡綜合測試(網絡連通性測試、應用服務測試和網站測試)。最后提交項目文檔及實訓報告。
實訓的實施過程由校內教師和企業工程師共同指導,教師在項目實施的過程作為項目的需求提供者及項目的質量監控者。學生按照企業項目實施的流程和規范完成實訓項目,依次為:(1)進行分組,組成項目組;(2)選擇出項目組的組長,組長帶領小組成員進行項目需求分析;(3)根據需求分析的結果進行任務分工,并指定各項目模塊的負責人;(4)各模塊的負責人帶領組員進行項目實施的規劃和詳細設計;(5)各項目模塊嚴格按照企業項目實施的規范要求進行實施;(6)各項目模塊的測試及排障;(7)項目各模塊的系統集成;(8)項目的綜合測試
實訓的考核標準要符合企業用人的考核標準,全方位的考核學生的綜合能力,同時要具備可操作性,從而確保教師在實訓過程中能按照該考核標準嚴格執行。具體的考核標準如表1所示。
4 結語
本校計算機網絡專業的實訓課程定位準確、能全面地覆蓋相關課程并且具備了嚴格的考核標準。在實訓開發的過程中,注重校內師資的培訓,從而確保實訓實施過程的規范性及實訓質量。學生通過實訓逐步提高了技術的綜合應用能力和項目的實踐能力。通過兩輪的實施,用人單位及學生均反映實習階段的崗位適應能力明顯提高。
中圖分類號:F000文獻標識碼:A 文章編號:1005―2674(2013)11―056―06
在全球經濟一體化的背景下,企業間分工更加細致,供應鏈發展更加成熟,企業間的競爭已經由單一企業的競爭發展到企業網絡的競爭,由以量取勝變為質、量并重。新時期,企業更多地依賴企業網絡來傳遞知識、信息和資源,從而促進技術創新和提高技術創新績效,使企業獲得長遠發展的動力和機制。企業網絡成為現代企業進行技術創新、有效獲得外部資源的有效途徑。因此,有必要結合新時期企業網絡的特點,對企業技術創新的戰略選擇進行科學而有效的分析。
一、文獻綜述
在傳統的經濟學研究中,學者們往往將企業假設為單獨行動的個體,忽略企業之間以及企業與機構、組織之間的關系對企業經濟活動的影響。隨著新制度經濟學、分工理論和交易成本理論的提出和發展,學者們意識到原有的假設是不成立的,企業不是孤立的,而是存在于網絡之中的。近年來,網絡理論的發展使網絡逐漸成為企業戰略研究中的重要因素,企業網絡在企業獲取外部資源等方面的影響也越來越大。目前,理論界對企業網絡的內涵尚未形成統一的意見,學者們從不同的角度對企業網絡進行了詮釋:基于企業間關系的視角,Dussauge、Garrete和Mitechell認為企業組織是兩個及兩個以上的企業進行資源、技術整合以完成項目或者開拓市場的合作關系,強調其動態性;…Yashino和Rangan從分析企業網絡特性出發,認為企業網絡中各企業具有相對獨立性、收益共享性和戰略領域持續性的特點;INKPEN通過舉例認為,企業網絡包括供應鏈、合作研發、戰略聯盟、特許經營、合資企業等。本文將企業網絡定義為,企業基于信息技術和自身戰略發展的需要,為形成競爭優勢并實現網絡戰略目標,以及獲得競爭所需資源并充分發揮其作用,而形成的企業網絡成員間的競爭合作關系。根據復雜網絡理論,企業網絡是由企業作為節點,關系作為邊構成,是具有小世界特性的無標度網絡,可從位置、關系、結構三個維度進行特征分析。前兩項可通過Burr的“關系一位置”模型進行分析,企業網絡結構則通過其范圍、規模、密度等方面影響企業網絡聯接模式,進而影響企業網絡的穩定性。
企業網絡由于其異質性和動態性,不僅在知識、信息等方面為技術創新提供了條件,而且對技術創新具有促進作用。本文將技術創新定義為,企業為建立效能更強、效率更高和費用更低的生產經營系統,而產生的新產品、新工藝和新技術的首次商業化應用。對于企業網絡與技術創新的關系,Grandori和soda從資源、技術供給角度論證了企業網絡的優勢,間接證明了企業網絡對技術創新的支持作用;高建根據對企業創新活動的調查,將技術創新因素歸結為外部因素和內部因素;除此之外,大多數學者都是從技術創新因素與企業網絡優勢的角度,指出企業網絡內合作對技術創新具有一定的支持作用,而對于作用機制,則大多將知識學習作為中介,認為企業是通過網絡間知識的轉移、溢出等方式促進知識擴散和共享,從而實現技術創新。這些研究顯然是不充分的,僅從溢出效應角度來研究企業網絡對技術創新的作用是不夠的,由于網絡是一種知識、信息、資源流動的渠道,因此,必須將企業網絡作為研究的主體,探索其對技術創新的直接作用。對于企業網絡的技術創新實現過程,許慶瑞等強調供應鏈(供應商,消費者)對于技術創新實現的作用;陳學光等學者則認為應注重企業網絡能力對于技術創新及其績效的影響。這些成果雖然從企業網絡的某一構成部分(如供應鏈)和能力對技術創新實現的影響進行了研究,但未能從整體上論證企業網絡對技術創新的作用。
綜上研究,無論是將企業網絡作為資源獲取渠道,還是從企業網絡的某一構成部分和能力角度,來研究企業網絡對技術創新的作用,都未能深入到企業網絡的本質。而且隨著經濟環境的變化,企業網絡變得更加復雜,技術創新戰略的選擇對企業的發展將發揮更重要的作用。本文通過對新時期企業網絡特點的分析,闡明企業網絡與技術創新戰略選擇的關系,并以奇瑞汽車公司為例進行說明。
二、新時期的企業網絡
在我國加入世界貿易組織之前,企業網絡這種組織形式還不被學者和企業所重視,其多以供應鏈、合作、合資、戰略聯盟等形式作為研究對象。由于開放程度不高,吸引資金的能力和技術水平不強,因此,企業網絡成員的構成多局限于國內,與外部的互動交流較少,網絡間的溢出效應不明顯。相比新時期的企業網絡,一方面,原企業網絡節點數較少,關系較為簡單。其中,供應鏈(如圖1)作為較為常見的一種企業網絡形式,受到學者們的廣泛關注。供應鏈組織形式雖然能將企業與上下游企業聯結起來,并聯動發展;根據消費者的需求反饋和自身的發展戰略,進行自主創新或向供應商提出需求,但這種形式的反饋機制單一,未將其他科研機構、企業間的聯系納入其中。另一方面,原有的企業網絡尚未形成復雜網絡,應對環境變化的能力較弱,網絡中節點成員較少,知識、信息、資源有限,網絡間傳遞的效率較低。
隨著我國經濟發展速度的加快,原有的企業經營發展模式已經不再使用,經濟全球化對我國企業的生產發展產生了巨大的影響。企業越來越注重對國外領先企業技術、組織、管理等方面的學習,通過代工、合資、合作等方式,加入到全球供應鏈中。2007年爆發的經濟危機,造成世界經濟發展低迷,企業生存發展舉步維艱。面對惡劣的經濟環境,我國企業需建立起應對風險能力更強的企業網絡,獲取更多的知識、信息、資源,通過實施技術創新戰略,提高經濟效益,增強風險防范能力。新時期的企業網絡不再局限于簡單的供應鏈、戰略聯盟、合作等關系,更多擴展了多種形式聯盟、競爭、合作的關系,如產學研聯盟等。這些關系原先已經存在,可能不明顯或者未整合在企業網絡中,未形成復雜網絡。隨著網絡的發展,其間的關系聯結程度更加密切、網絡范圍更廣,具有復雜網絡的特性。對此,本文認為新時期的企業網絡模式應如圖2所示。
圖2新時期的企業網絡
其中,垂直方向表示企業的供應鏈,水平方向是行業競爭,對角線方向是外部支持,由不同行業和組織構成。企業網絡內各個節點相互作用,通過關系傳遞知識、信息、資源等。根據企業的不同情況,圖中連線關系不一定全部存在,但從宏觀角度分析,這些連線關系存在且作用于企業網絡。
根據新時期企業網絡模式,本文認為新時期企業網絡結構具有如下特征:
1.復雜開放性。企業網絡中的成員不設限定,各企業機構可根據與中心企業的關系自主決定是否加入該網絡,具有開放性。而網絡成員中的聯結由其關系決定。如圖2所示,每個節點均可與其他節點聯結,聯結方式多樣,關系復雜。對于同一節點而言,其可參加的網絡不唯一,在與中心企業合作的同時,可與中心企業的競爭者形成合作關系,兩個網絡間又呈現競爭關系。某一節點可以與任一節點直接聯結或者通過其他節點聯結,具有無標度的小世界特性,所以新時期企業網絡具有復雜網絡的特性。隨著信息流、知識流、資源流在網絡內傳遞數據量的增加,網絡節點之間的聯結程度更高,網絡密度更大。企業網絡規模隨著成員的加入而擴大,因成員的異質性而擴大網絡范圍。
2.競爭合作關系占主導。在新時期企業網絡中,垂直方向由供應商、中心企業和消費者構成供應鏈,以合作關系為主,企業間雙向交流接觸頻率高,基于信任合作的情感強度大,呈現強聯結狀態;水平方向,中心企業與競爭對手呈現競爭關系,交互頻率低,互惠性差,具有弱聯結性;對角線方向,由中心企業與外部研究機構(科研機構、大學)和外部支持組織(政府、金融機構)組成,其聯結不穩定,影響作用不確定。如果存在中心企業與科研機構和大學的關系,其以合作為目的,其間的聯系多需通過孵化器。至于企業是否受到政府和金融機構的影響則由企業自身決定,在以往的分析中多將其作為外部環境進行分析,而在企業網絡結構的研究中,將其視為影響因素、支持關系。將企業網絡進行分割,各個小網絡間同樣是以競爭合作關系為主導。
3.動態適應性。新時期企業網絡中的成員具有自主性,網絡是自發形成的,由關系聯結。根據外部環境的作用,企業網絡可以進行相應調整,包括節點的調整、關系的調整、聯結方式及強度的調整等。處于網絡中的企業不再局限于自身內部的資源,可利用網絡的拓撲性質進行資源挖掘。新時期企業網絡具有復雜網絡的特性,所以,節點與關系的更新變化影響企業網絡的整體演化。隨著網絡節點和關系的變化,網絡密度隨之變化,企業所占據的結構洞位置數量不確定,獲得的知識冗余度不穩定。
三、新時期企業網絡與技術創新戰略選擇的關系
在以往的研究中,學者對企業網絡的研究多集中在企業網絡和技術創新的關系上,認為二者相互促進、相互制約,但對企業網絡與戰略選擇之間的關系研究則相對較少,本文將深入探討企業網絡與技術創新戰略選擇之間的關系。
1.基于網絡層次分析。將網絡密度、網絡規模、網絡范圍作為判斷特征。網絡密度是指網絡中各企業、組織、機構間實際聯結的數值與他們之間可能存在的最大聯結數值的比值,比值越高說明網絡密度越大。高密度的企業網絡中,中心企業與其他企業機構組織間聯結多,知識流、信息流、資源流等傳遞效率高,易形成共同規則和行為范式。新時期企業網絡具有復雜開放性,節點成員可以自主選擇參加該企業網絡,隨著中心企業的發展,其相關聯結會增多,密度增大。當企業處于高密度企業網絡時,適用合作創新戰略,尤其是產學研聯盟、逆向工程等技術創新戰略。合作創新戰略可以充分利用高密度企業網絡中各節點間高聯結程度和高傳遞效率,實現知識、信息、資源的共享,集中智力,實現技術創新。供應鏈方向,可根據消費者的需求(包括潛在需求),提出技術創新路線,由供應商主導與企業合作研發,通過逆向工程研發,實現合作創新戰略。與政府、金融機構等合作,政府政策導向和金融創新服務為企業提學研聯盟的契機;與科研機構、大學等合作,通過孵化器將科研成果進行轉化,實現發明的第一次商業化;與競爭對手的關系,宜形成行業聯盟、創新集聚,通過與競爭對手合作創新,促進產業升級優化,實現創新雙贏。如果采取自主創新戰略,則不能充分利用網絡的優勢,因為自主創新戰略對于相關節點依賴程度低,主要依靠中心企業自身組織網絡實現,即便是集成創新,也是對資源的需求相對較高,對外依賴度較低。
網絡規模可通過與中心企業直接關聯的企業組織機構的數量測量,網絡規模的大小表示企業可獲得資源的多寡;網絡范圍指企業與其他相關企業組織機構間關系種類的數量,范圍的大小表明企業可獲得資源的方式方法的多樣性程度。新時期企業網絡是復雜開放的網絡,節點成員、聯結數量的增加,使企業網絡規模和范圍擴大。大規模大范圍網絡選擇自主創新和合作創新戰略均可,具體情況由其他影響因素判斷。大規模大范圍網絡意味著企業可通過多渠道獲得大量知識、信息、資源,企業既可通過吸收、消化、利用這些資源來實現自主創新,又可將其合理整合,與其他節點共享,實現合作創新。無論采取哪種方式,企業均占據中心位置,掌握核心資源,可掌控創新整體進程。
基于網絡層次分析可知,新時期企業網絡由其復雜開放性決定企業進行合作創新戰略較為適宜,可充分利用網絡獲取資源,進行創新活動。如果從自主知識產權的角度考慮,企業亦可實施自主創新戰略,企業網絡的存在對此不存在阻礙作用。
2.基于企業間層次分析,將聯結強度作為判斷特征。聯結強度是指網絡中兩主體間的關系,聯結強度可用交互作用、情感強度和互惠程度表示。強聯結表現為兩企業間高頻率交互作用,彼此信任,互惠程度高;而弱聯結表現為兩企業間低頻互動,信任度和互惠度較低。在新時期企業網絡中,競爭合作關系為主導,企業不再單純追求壟斷利潤,更加注重合作雙贏,呈現強聯結狀態,適合選擇合作創新戰略。信任是聯結強度中的重要影響因素,只有信任度高,才能實現強聯結。合作創新戰略需要合作企業組織機構彼此信任,資源共享,風險分擔,利益分配合理。強聯結通過節點間經常性的互動,培養并形成相互間資源共享、機制規范等合作環境,實現節點間聯動互動,促進互利互惠,實現網絡升級和技術創新。
3.基于企業層次分析,將結構洞作為判斷特征。結構洞是指非冗余聯系之間的分割。若供應鏈關系中供應商與消費者可通過中心企業相連接,其間即存在結構洞,中心企業占據了結構洞的位置,可獲得非冗余資源;若供應商與消費者可直接相關聯,則不存在結構洞。占據結構洞位置的企業(占據結構洞的企業不包含孵化器企業,而將孵化器視為科研成果轉化平臺――作者注),作為聯結樞紐,可獲得不能直接聯系的企業間的非冗余信息資源,并通過聯結互動獲取優勢。由于新時期外部環境的動蕩,經濟前景不明朗,中心企業所占據的中心性和結構洞位置及數量更加不確定,因此,應根據具體情況增強中心企業的動態適應性。不過,相比于傳統的企業網絡,新時期企業網絡占據的結構洞數量要小,因此,對于占據結構洞位置的企業,由于處于兩個節點聯結的樞紐上,可通過橋接作用獲取非冗余知識、信息和資源,并將其運用于技術研發,所以,這樣的企業更適宜選擇自主創新戰略;而不占據中心性和結構洞位置的企業,則更適合選擇合作創新戰略。
四、新時期企業網絡條件下技術創新戰略的選擇――以奇瑞公司為例
企業在進行具體技術創新戰略選擇的時候,應根據自身情況,對宏觀環境、中觀行業環境綜合分析,判斷自己所處的企業網絡結構及自身所處的位置,選擇適合自身發展的最優技術創新戰略,實現技術進步、技術領先,完成產業結構升級優化,獲取超額利潤。奇瑞汽車公司深諳企業網絡與技術創新戰略選擇的關系,通過對企業自身的分析,明確企業的發展目標和方向,確定技術創新戰略。奇瑞汽車公司始終致力于自主品牌的研發設計,注重創新,但是企業自身的研發能力有限也是客觀事實。為此奇瑞汽車公司完善自身企業網絡,針對不同項目實施不同的技術創新戰略。
計算機網絡不僅對人們的生活產生了重大影響,也日益影響著企業科技的創新和生產力的提高。企業信息技術的發展能夠更好地提高企業的生產效率和管理水平。這不僅影響著大中型企業,對我國工業企業中占相當比重小企業同樣重要。本文選擇小企業網絡規劃與設計進行研究,是因為小企業用戶的局域網結構相對簡單,主機數量少,易于進行規劃設計,且投入成本低、易于普及。
當今階段,中國市場經濟處于轉型期,競爭日益激烈,小企業要想生存并更好地發展,必須改變小企業單一、機械的運作模式,追求高效的管理和溝通方法來增強競爭力。而建設小企業自己的網絡無疑是順應社會發展潮流提高小企業運作效率的作法。
一、小企業網絡規劃需求分析
小企業主機數量較少,易于滿足團體信息化的需求。小企業網絡規劃與設計中只需一個主干網來負責各個子網和應用服務的連接,就能為信息交換提供有效的高速通道。根據企業提出需求,進行分析,最終將采取以下方案解決企業需求。
二、小企業網絡規劃與設計
2.1網絡需求
申請一個10M及以上的帶寬,就可以滿足小企業內部計算機訪問Internet的需求。申請1個公網IP:分配給Internet接入路由器的串行借口;購買一臺路由器以實現企業內部網絡連接到Internet;考慮在日后小企業的發展,計算機數量可能會有所增加,因此交換機接口可以預留3到5個;將各部門劃分在不同的VLAN。單個節點構成的網絡通常就能滿足小企業的網絡需求。小企業網絡工作站數量少且接入比較集中,因此核心網絡設備選擇100M的以太交換機就可以了。
2.2小企業網絡拓撲結構設計
根據小企業用戶少、計算機數量少的特點,在企業網絡規劃與設計中采用總線型拓撲結構。總線型結構具有費用低、布線要求簡單、擴充容易、數據段用戶入網靈活、站點或某個端用戶失效不影響其它站點或端用戶通信的優點,因此適合處于發展期的小企業網絡規劃使用。
總線型拓撲結構圖如圖1。
2.3應用到的VLAN規劃技術
一個VLAN可以在一個交換機實現,就可以滿足小企業網絡規劃使用。在小企業網絡規劃中,VLAN根據網絡用戶的位置、作用、部門或者根據網絡用戶所使用的應用程序和協議來進行分組。用來為局域網解決沖突域、廣播域、帶寬問題。因此使用VLAN技術,結合網絡層的交換設備搭建安全可靠的網絡。網絡管理員通過控制交換機的每一個端口來控制網絡用戶對網絡資源的訪問。
小企I的VLAN采取端口劃分即可,把同一個部門辦公室的端口全部劃分進同一個VLAN,具有很好地靈活性和安全性。之后企業有了新的發展,需要進行部門擴充只要在交換機上進行配置就可以了。
2.4網絡PDS系統設計
1、布線系統總體結構設計。根據小企業的建筑數量(假設為兩棟),選用十二芯單模光纖從總機房連接到其他撞建筑或樓層的設備間,采用10M的光纖以太網接入到因特網服務提供商的網絡,然后接入到因特網中,使企業實現與外界的信息交換和網絡通信。布線時要考慮價廉、合理、美觀、標準。盡量進行夾墻內、地板下、天花板上或者采用架空線槽布線。網絡設備要放在一樓機房內。機房內要配備火警報警裝置、防塵地板和空調。
2、工作區子系統設計。工作區子系統由各個單元區域構成,是計算機、電話和信息插座的連接部分,包括連接跳線和信息插座。信息插座面板具備:通用、超薄、簡易、防塵等特點;信息插座的模塊采用類RJ-45模塊;線纜采用超五類雙絞線;水晶頭采用RJ-45標準水晶頭。為降低成本和結合客戶終端的位置多變的特點,跳線可采用原裝跳線與自制跳線相結合的方式跳線采用統一標準,如統一采用EIA/ TIA 568B標準等,以使系統具有更好的兼容性
3、管理子系統設計。單個節點的子系統設計在配線間完成。通過各種規格的配線架(線槽)實現水平、垂直主干線纜的端接及分配;由各種規格的跳線實現布線系統與各種網絡、通訊設備的連接,并提供靈活方便的線路管理能力。分配線間是各治理子系統的安裝場所,可安裝配線架和計算機網絡通信設備。對于信息點不是很多,使用功能近似的樓層,可以設置一個共用的子配線間,這樣便于維修、管理。
4、干線子系統設計。干線子系統設計采用電纜從主設備間連接各治理子系統。數據主要從網絡配線間向各個子配線間敷設12芯單模室內多模光纖。
5、設備間子系統設計。設備間子系統設計由設備間中的電纜、連接器和相關支撐硬件組成,把公共系統(通訊系統,計算機系統等)設備的各種不同設備互連起來。使用多芯單模室內多模光纖將其連接。
6、建筑群子系統設計。建筑群子系統是將一棟建筑物內的電纜延伸到建筑群中的另外一些建筑物內的通信設備和裝置上,采用光纜布線是目前主要的建筑間布線方式。建筑間的主干光纜采用12芯單模。
三、施工管理
3.1施工前準備
施工前,企業應認真審核合同,合同簽訂后,一切照文件實行。
3.2設備及材料
企業應對工程中所用到的所有設備及材料嚴格把關。選擇質量可靠、性能良好的設備及材料、嚴格按合同進貨。
3.3施工過程管理
根據企業的情況,安排好施工進度,并加強對施工人員的管理,保證施工現場的衛生 ,保證不影響到企業工作人員的正常工作 。
3.4施工完成后質量的檢查和驗收
施工完成后,企業派出有關人員進行全面的質量檢查,進行系統的總驗收。完全達到雙方簽訂的合同要求后,進行工程的總移交。如在合同范圍內,不達到要求的地方一定返工,直到達到要求為止。
四、結束語
在小企業網絡規劃與設計中,一套可行設計方案就能夠滿足小企業團體的信息交流和傳遞,也使外面的客戶能夠很容易的了解企業。本文在進行小企業網絡規劃與設計的時候,按照計算機網絡設計的原則,采用層次化模型方法,將網絡的結構分層為核心層和接入層,設置一個總機房在一樓或者核心層。
采用總線型網絡拓撲結構,簡單、方便、價廉,在功能性、實用性、安全性等方面完全符合小企業網絡的工作需求,并具有一定的可擴展性,達到了小企業網絡規劃與設計的預期目標。
參 考 文 獻
關鍵詞:
網絡安全;企業網;安全技術;安全威脅
1網絡安全技術概述
21世紀信息時代到來,網絡充斥于生產與生活,在帶來網絡便利的同時也引發了網絡安全性的思考。網絡安全技術的研發成為世界性課題。網絡安全技術與網絡技術密切相關,其中網絡技術起源于20世紀60年代,美國國防部高級研究計劃署在1969年提出網絡技術概念,形成以ARPANET為主干的網絡雛形,并迅速衍生出互聯網。進入到21世紀,網絡技術飛速發展,網絡環境更加復雜與多樣,網絡安全漏洞、網絡黑客入侵層出不窮,網絡技術面臨物理安全、網絡結構、系統安全、管理安全等多個層面的安全考驗,網絡安全技術應運而生。企業網作為企業的網絡組織,是伴隨企業發展建立起來的網絡組織,可以更好地展示企業產品與形象,是企業文化建設、產品推廣、內部管理的重要載體,以期滿足企業各方面的發展需求,員工借助企業網獲取企業通信資源、處理器資源及信息資源,提升員工對企業價值的認同。但在復雜的網絡環境與無處不在的網絡黑客攻擊下,企業網絡岌岌可危,如果缺乏對企業網安全性的高度關注,缺乏有效的網絡安全加固措施,企業信息被盜取,企業網絡框架被摧毀,給企業帶來巨大的經濟損失。網絡安全技術的重要性也伴隨企業網的建構逐漸凸顯,因此做好企業網絡技術安全管理十分必要。
2我國企業網安全維護現狀
信息時代的到來,企業對網絡的依賴越來越強,通訊工程與電子信息技術使得互聯網的優勢更加凸顯,企業網建設成為企業發展到一定階段的必然產物,滲透到企業設計、企業管理、企業宣傳的方方面面。由此產生的企業網安全問題也伴隨而生,帶來的網絡安全隱患越來越多,企業網網絡安全建設與維護成為世界性話題。縱觀企業網安全管理現狀,首先企業網絡軟硬件設施參差不齊,不同的經濟實力與產業發展潛力決定企業的網絡建設水平及安全性能。企業也不約而同地借助一些網絡安全技術滿足企業網站安全運行需求,比較常見的網絡安全技術有防火墻技術、數據加密技術、入侵檢測技術、虛擬局域網技術等。基于網絡維護經費的差異,經費不足的企業只能滿足基本的網絡使用需求,網絡安全維護需求難以得到關注與滿足。因此總體上來說,我國企業網的安全建設投入不足。此外企業之間技術管理水平也具有明顯差異,經濟實力強的大型企業聘請專業的網絡維護專員參與網站安全管理,而實力較弱的中小企業則缺乏專業網絡安全技術人員。網絡問題的頻發更提出了網絡安全管理制度建構的需求,但我國網絡立法及管理方面稍顯薄弱,企業員工普遍缺乏網絡安全意識,網絡安全管理制度的落地還有一段距離,整個網絡環境亟待健全與完善。
3企業網安全影響因素
3.1來自于網絡協議的安全缺陷
網絡本身具有自由開放與共享性,網絡協議是信息共享的關鍵與前提。目前最為常用的網絡協議有TCP/IP協議,IPX/SPX協議等,以網絡協議的達成為前提使得網絡信息同步與共享,而網絡協議也不可避免地存在安全隱患,其安全與否與整個企業網絡息息相關,多數協議在設計時對自身安全性關注不多,因此其很容易受到外界惡意攻擊,安全性缺乏保障,使得企業網絡安全受到威脅。
3.2來自于軟硬件層面的安全缺陷
企業網的正常運行除了安全的網絡協議,更需要軟硬件的支持。而網絡軟硬件作為互聯網的主要組成,其自身安全性卻十分脆弱。軟硬件層面的安全缺陷比比可見:網絡與計算機存在電磁信息泄露風險,軟硬件通訊部分具有一定的脆弱性;通訊線路多數為電話線、微波或者電纜,在數據信息傳輸的過程中,信息更容易被截取;計算機操作系統本身存在缺陷,影響網絡穩定及網站正常運營。而軟件的缺陷影響也顯而易見。軟件缺陷因為其先天特征為主,因此無論是小程序還是大型的軟件系統都有這樣或那樣的設計缺陷,而這些設計缺陷則為病毒黑客的入侵提供了便利,網絡病毒以軟件形式在企業網中傳播,對企業網安全帶來威脅。
4企業網安全主要威脅因素
4.1計算機系統設計缺陷
計算機系統是企業網的核心,而計算機系統功能的正常發揮得益于計算機系統程序設計的合理,計算機系統程序設計相對簡單,但難點在于后期的維護與定期的升級優化。網絡建設不能一蹴而就,網絡建構是從不系統不完善到系統完善逐漸過渡的過程,網絡建構初期就應該樹立系統維護與管理意識,將網絡安全融入網絡建構的每個環節。通過定期的網絡檢測,優化程序設計,彌補系統程序設計漏洞,及時發現潛在的系統安全隱患,制定升級優化計劃,有條不紊地完善網站,加固網站,提升企業網的安全性能,確保企業信息的妥善儲存與調取。在程序優化的基礎上奠定企業網系統運作的良好基礎。
4.2計算機病毒入侵的威脅
對于企業網來說,除了計算機系統安全威脅外,計算機病毒入侵是來自外部的侵襲之一,計算機病毒侵入網站內部,干擾原有系統程序的正常運行,導致企業網站系統的癱瘓,導致企業重要數據信息的損毀丟失,使得正常運行的企業網產生安全漏洞,引發病毒傳播,企業網站徹底癱瘓。計算機病毒具有潛伏性、隱蔽性、破壞性及傳染性四大特點,往往潛伏在網站系統中達幾年之久,一旦爆發帶來始料未及的網絡危害,而這種危害是長期潛伏量變累積的結果。計算機病毒的侵襲往往很隱蔽,網站管理人員及網站自身的抵御系統難以及時察覺,不能進行有效的抵御。其破壞性與傳染性使得病毒在計算機內部迅速傳播復制,波及整個網站,網站癱瘓。除了極強的破壞性與潛伏性外,計算機病毒種類多樣,防不勝防,其中比較常見的有木馬病毒、蠕蟲病毒、腳本病毒,病毒的存在為黑客攻擊及信息盜取提供便利,是企業網的巨大威脅因素。
4.3黑客入侵及惡意性攻擊
網絡攻擊簡單地理解就是黑客攻擊,黑客一般具備較強的計算機識別技術,通過非法攻擊計算機系統,獲取計算機用戶終端的重要信息。黑客網絡攻擊有幾種常見形式,利用虛假的信息對網絡展開攻擊,利用計算機病毒控制計算機用戶終端,借助網頁腳本漏洞加強用戶攻擊,采用口令賬號進攻網站系統,最終導致網站用戶信息被竊取,重要文件資料被刪除,給企業帶來巨大的經濟損失,而網站原有的穩定性與安全性也不復存在。
4.4借助網絡開展詐騙
隨著計算機網絡使用環境的開放多元,一些不法分子利用網絡詐騙推銷,這也是企業網站安全威脅之一。部分企業管理人員缺乏必要的網絡詐騙警惕心理,輕信詐騙謊言,給企業帶來巨大的財產損失。網絡運行的前提是操作系統的穩定,雖然現代技術已經實現網站的定期更新,但在更新過程中也不免有網絡安全漏洞,這些漏洞成為黑客、病毒入侵網站的入口,企業網站安全性受到威脅。
5網絡安全技術在企業網中的應用
5.1網絡防火墻技術
防火墻是最常見的網絡安全保護技術,在企業網安全性維護方面發揮重要作用。防火墻可以有效應對網絡病毒入侵,在企業網的運用中有兩種表現形式,分別為應用級防火墻技術和包過濾型防火墻技術。其中應用型防火墻可以起到服務器保護的作用,在完成終端服務器數據掃描后,及時發現不合理的網絡攻擊行為,系統自動斷開服務器與內網服務器之間的聯系,借助終端病毒傳播形式確保企業網安全。而包過濾型防火墻主要工作任務是及時過濾路由器傳輸給計算機的數據信息,實現固定信息的過濾,將病毒黑客阻擋在企業網之外,同時第一時間通知用戶攔截病毒信息,做好企業網安全屏障保護。
5.2數據加密處理技術
除了防火墻網絡安全保護技術外,數據加密技術在企業網安全維護中也有積極作用。對于企業來說,伴隨自身發展壯大,其企業網對安全性與可靠性方面要求更高,而加密技術則很好地滿足企業上述安全保護需求。通過將企業內網的相關數據作加密處理,數據傳輸與信息調取只有在密碼輸入正確的前提下才能執行,通過文件資料的加密處理提升企業網的安全性能。目前對稱加密算法和非對稱加密算法是比較常見的加密形式,前者要求加密信息和解密信息需一致,后者的加密方法和解密方法則存在較大差異,這兩種加密方法都很難被黑客破解,因此在企業網的安全維護中得到了廣泛應用。
5.3病毒查殺處理技術
病毒查殺技術是基于病毒對企業網的威脅而產生的網絡安全處理技術,其也是企業網安全維護的常用手段之一。病毒對網絡的巨大威脅,該技術的安全維護出發點則是網絡系統的檢測與更新,最大限度降低漏洞出現頻率,用戶在未經允許的情況下無法下載正規軟件。在安裝正版病毒查殺軟件后應定期清理病毒數據庫。篩查用戶不文明網頁的瀏覽行為,如果用戶下載不明郵件或者軟件,立即進行病毒查殺,檢驗文件的安全性,確保文件資料安全后允許投入使用,防止病毒對企業網及計算機終端系統的損壞。
5.4系統入侵的檢測技術
入侵檢測技術在企業網安全維護中可以起到早發現早抵制,將病毒黑客等不良因素排斥在企業網之外。入侵檢測技術具有諸多優勢。其一,可以通過收集計算機網絡數據信息開展自動安全檢測。其二,及時發現系統中潛在的安全風險,將侵害行為的危害降到最低。其三,企業網一旦受到侵害,自動發出求救報警信號,系統自動切斷入侵通道。其四,做好所有非法入侵的有效攔截。入侵檢測技術是企業網的整體監督監控,檢測準確,效率高,但其會在一定程度上影響加密技術的功能發揮,該技術在對企業網進行入侵檢測時,不可避免存在異常檢測及誤測情況,異常檢測面向整個網站資源用戶及系統所有行為,檢測范圍大,其準確性必然受到影響。此外整個企業網檢測要求全面覆蓋,耗費大量時間,也降低工作效率。入侵檢測技術在企業網安全維護中的引入更需要結合企業網運行實際。
5.5物理環境層面的應對技術
外部網絡環境安全與否直接影響到企業網的安全性建設,而外部網絡環境主要是網絡所對應的物理環境,物理環境包括軟硬件環境、通訊線路環境、網站運行環境等幾個方面,其中通訊線路環境安全特指信息數據在傳輸線路上不被惡意攔截或者有意篡改,使得信息數據傳輸更流暢。建議選擇安全性高的光纖作為通訊傳輸介質。運行環境的影響因素主要是意外斷電停電。隨著信息化程度的加劇,企業對網絡產生巨大依賴,一旦意外斷電或者停電,企業數據網絡中斷,信息正常傳輸受阻,給企業帶來不必要的損失。為了提升運行環境的穩定性,企業安裝不間斷電源可以有效減少停電帶來的損失。定期檢查通訊線路,確保線路通暢,提供備選冗余線路,在某條線路發生中斷時能選擇備份線路連接,確保網絡傳輸正常,降低財產損失。
5.6虛擬局域網安全處理技術
虛擬局域網是起源于國外的網絡安全處理技術,其中IEEE組織在1999年頒布了虛擬局域網的標準實現協議在交換式局域網中,可以利用VLAN技術將網絡設備劃分為多個邏輯子網,開展虛擬工作組數據交換。虛擬局域網操作簡單,技術靈活,其在OSI參考模型的數據鏈路層和網絡層上,由單一的子網形成特定的邏輯廣播域,子網通過網絡層的路由器或者三層交換機轉化溝通,實現多個網絡設備的多層面覆蓋,其靈活性體現在其允許處于不同地理位置的網絡用戶自由添加到邏輯子網中,這種自由并入技術使得虛擬局域網的網絡拓撲結構更清晰。
6結語
企業網是社會時代及企業發展的必然產物,反映了信息社會未來發展軌跡。但與網絡建設相伴而生的則是網絡安全問題,涉及技術、產品及管理多個層面的內容,帶有很強的綜合性,僅僅依靠單一的防護體系顯然不夠。本文在分析網絡安全技術發展的基礎上,明確了當前企業網主要安全影響因素,針對幾種比較重要的網絡安全技術在企業網安全維護中的作用作了闡述。在分析網絡安全問題時更應該從需求出發,將安全產品的研發與技術結合起來,運用科學的網絡管理方法,建構更加系統、高效、安全的企業網絡體系。
作者:陳張榮 單位:蘇州高等職業技術學校
[參考文獻]
[1]王蔚蘋.網絡安全技術在某企業網中應用研究[D].成都:電子科技大學,2010.
[2]何向東.網絡安全管理技術在企業網中的應用[J].微型電腦應用,2013(1):52-53.
隨著互聯網技術的發展,企業網絡規模不斷擴大,企業網的運行安全性更加重要。但是企業網運行中安全時間頻繁出現,嚴重影響企業業務的發展,保障網絡安全已經成為企業迫切需要解決的問題。
1企業網絡規劃和安全管理需求分析
公司網絡系統成立初期以經營業務為主,建網時間長,部分設備陳舊,網絡不安全因素來自本身安全缺陷和認為因素。企業網絡均由單個節點構成,所有的工作站和服務器通過雙絞線聯入交換機。信息中心部署在信息部,形成星狀網絡結構。每層辦公地方設置節點。信息點分布需求方面,每層辦公樓設置節點,與信息面板連接。在網絡規劃中,需要滿足企業網的需求,一方面實現網絡隔離技術限制部門的訪問,另一方面實現防火墻技術配置策略設置規則。同時網絡信息的傳輸要求能夠實時監控。網絡上資源的訪問通過資源具有的IP地址實現,地址劃分應該滿足簡單性原則、連續性原則,地址分配劑量簡單,避免采用復雜掩碼,同一區域需要采用連續分配網絡地址方便管理。
2網絡規劃設計
網絡拓撲結構設計分為核心層、接入層和邊界層,核心層由三層交換機組成,接入層由二層交換機組成,邊界層設計中,需要使用入侵檢測系統和防火墻系統保證安全。公司與下屬公司的信息安全傳輸通過專用網連接VPN實現。IP地址分配。將企業各個部門劃分為獨立的VLAN,并配置相應的網關和網段,為方面增加日后信息點,不劃分子網,采用子網掩碼方式。行政部IP地址172.16.10.0/24,方案所IP地址172.16.11.0/24,建筑所IP地址172.16.12.0/24,結構所IP地址172.16.13.0/24,給水排水所IP地址172.16.21.0/24,暖通所IP地址172.16.16.0/24,電氣所IP地址172.16.17.0/24。核心層和接入層設備配置Vlan,創建核心交換機,制定名字,進入配置模式,制定IP地址,配置STP、ACL、DHCP,并配置聚合鏈路。企業內網都可以訪問互聯網,內網交換機設置中采用防火墻策略,路由器和防火墻建立IPSECVPN隧道,遵守最小介入原則優化和細分安全策略。先進入到防火墻端口,核心層三層交換機連接防火墻s3g,核心二層交換機連接防火墻s3g2,由于核心層承接企業核心業務,因此將接口等級設置為高安全等級,并且將連個接口設置在trust區域中。外來用戶訪問來自外網,屬于非信任區,因此將安全等級設定為低等級。設置防火墻靜態路由器,保證內網服務區能夠通過防火墻訪問外網。配置防火墻策略路由器,根據優先等級設置鏈路,鏈路切換通過探測機制實現。設置防火墻安全策略,將不同區域設定為不同的安全等級和IP地址。配置防火墻VPN,在總部防火墻和下級防火墻建立IPSeeVPN隧道。入侵檢測系統實現信息傳輸監控,并能夠終端隔離有害信息。在建設初期將檢測系統設定為透明橋模式。終端和服務器安全管理系統設置中,設置補丁管理、終端桌面管理、文件審計管理等,防治ATP攻擊,過濾惡意URL,加速補丁修復,管理資產、單點維護,實現移動存儲管理等。
3安全管理分析
利用網絡安全性技術保護網絡系統安全。網絡系統安全管理設計中分析系統安全技術,從硬件設計、非法用戶入侵、網絡安全等角度進行分析。硬件設備安全是保證系統安全可靠的基礎,系統硬件設備組成部門包括工作組交換機、服務器、工作站等,硬件設備的安全性還取決于設備本身的性能。數據中心機房安全設計中,要求根據實際情況進行裝修,設置接地和防雷裝置,并配備UPS。總配線設置中應充分考慮電磁干擾因素,機房溫度適宜,濕度維持在30~50%。在機房設置獨立接地系統,安裝合適接地端子,要求天花板高度在2.5米以上。安全管理做好病毒防護工作。利用全范圍企業防毒產品,集中保護網絡電腦,采用病毒防護技術、程度內核安全技術保護數據。病毒防護方案中實施統一監控和分布式的部署方式,公司根據實際情況制定防病毒策略和計劃,總公司負責全網病毒定義碼、將升級文件分配到相應的服務器。提交被隔離的文件,并進行掃描引擎。通過廣域網集中控制和管理病毒管理服務器,在必要時,直接管理下級公司病毒服務器。針對公司線以后的管理體制和系統架構,設計二級管理中心來復雜病毒防護系統的實施。公司復雜局域網防病毒軟件安裝,制定防病毒策略,監控局域網防病毒狀態,下屬負責自己局域網監控,并作出響應。建立統一分級管理病毒管理體系,用來存儲網絡病毒事件,了解病毒發生地方、過程、事件、危害以及處理等。同時在管理中心成立響應中心和安全事件管理中心,根據網絡可能需求部署安全產品,如入冊檢測系統、防火墻、掃描系統等。同時建立垃圾郵件過濾系統方案,外部發來郵件先經過DNS解析后發送至IMSS,有效查殺郵件傳播病毒。對設計系統進行測試和維護,測試結果顯示網絡規劃能夠確保挽留過安全。在后期維護中主要負責網絡正常運轉。
4結語
綜上所述,文章在分析企業網絡需求基礎上進行網絡規劃,滿足企業網安全需求,實現交互數據交換。企業網絡規劃安全管理中,安全管理最為企業重要組成部分,同樣需要建立管理制度,促使員工遵循使用規則,避免病毒入網。
引用:
[1]關天柱.中小型企業網絡規劃及安全管理的研究[J].電腦知識與技術,2010,06(9X):7197-7198.
隨著數字化和信息化進程的不斷加速,企業網絡規模和應用范圍日益擴大。制藥企業作為技術密集型企業,多以精深工藝、提升品質、加強管理為目的,建立了由ERP、電子商務、Web網站、OA構成的網絡系統。目前,網絡已應用于制藥企業各個事務層面,因此網絡安全尤為重要,必須建立多層次的安全體系架構,作為企業網絡系統的基礎保障。
一、安全架構設計要點
(一)多元線程。安全架構分為“預防”、“治理”、“鞏固”三個線程。“預防”是通過Windows Server Update Services更新服務,及時修補內網終端與服務器的系統漏洞。“治理”是針對不同的安全威脅進行防護。對于病毒威脅和黑客入侵,進行軟硬件聯合防御。“鞏固”是保存完整網絡日志,有科學的備份策略,對終端計算機的嚴格管理,保證終端安全。
(二)立體布局。安全架構設計要兼顧物理層、鏈路層、網絡層和應用層,形成立體化的防護布局。以安全域來劃分為主線,同一安全域共享公用的信息資源、安全基礎設施、網絡基礎設施等。
(三)系統管理。安全架構包括技術層和管理層兩方面,必須建立安全管理系統與安全技術相適應。管理系統要求嚴密的崗位分工,以及日常維護管理制度。一個合理的管理系統能夠明確網絡邊界,增強網絡的可控性,實現有計劃的訪問控制,有效阻止滲透式網絡攻擊。
二、安全架構設計方案
(一)網絡平臺方案設計
1.網絡結構設計。制藥企業的網絡設置采用拓撲結構,根據藥品的生產、銷售、組織、管理等部門分成多個子網,共同構建企業網絡平臺。在各VLAN之間布置路由,實現各VLAN間的自由互訪。但各子網間互訪需要進行網絡驗證,避免某子網的安全威脅獲得擴大性傳播。
2.域管理設計。為實現集中式管理,應在制藥企業網絡平臺布局域管理。域管理可以實現單一賬戶登錄,單節點管理,具有安全便捷的優點。企業內網絡終端設備較多,因此要進行網絡標簽設置,具體規則如下:XX――X――XX,字符分別代表了一定含義,第一段字符代表所屬網關,第二段代表部門,第三段代表姓名全拼,唯一的網絡標簽可以保證定位的速度與精度。
3.入侵檢測設計。網絡入侵檢測是通過防火墻和專用軟件(IDS)實現的。配置企業級防火墻,可以杜絕內外網間的病毒威脅,提供相對安全的網絡環境。而網康、綠盟、安全胄甲等專業入侵檢測軟件(IDS)則是對防火墻的合理補充,IDS從企業網絡中采集關鍵信息,分析總流量、上傳量、ERP等數據變化,自主判斷網絡中違反安全策略的行為。聯合應用防火墻與IDS,可以實時、動態地保護網絡平臺,擴展系統管理員的安全管理能力,形成完整的網絡安全平臺結構。
(二)防治病毒方案設計
1.分布式部署。一般而言,制藥企業規模龐大且機構復雜,由多個服務器構成子網,因此在防毒軟件的安裝方面,要采用分布部署的方法,分地域、分工段、分部門進行配置,并根據企業現有的網絡構架,設立多級病毒防治管理中心,負責各自網段的病毒查殺工作。
2.網絡邊緣防護。網絡邊緣是靠近用戶端的網絡層面,對其進行病毒防護的方法是在部署好防病毒網關后再連接外網,全面掃描網絡后安置硬件防毒墻。建議使用網神、驅逐艦、趨勢,瑞星、 MacAfee等品牌防毒墻,針對HTTP、FTP協議進行查殺病毒。再配置一套符合企業網絡應用需要的安全策略,控制多項網絡端口,填補邊緣防護缺口,建立起軟硬件相結合的安全屏障。
3.防病毒管理。防毒技術是網絡安全架構的技術保障,而技術需要管理制度作為保障才能發揮最大效用。制藥企業防毒管理制度應包括:強制實施防病毒策略,嚴肅工作紀律;定期檢查硬件防毒墻運行狀態,調整工作參數,避免過熱過勞運行;定期升級防毒軟件病毒庫,如有大規模病毒爆發需進行專項治理;加強移動存儲介質管理,不使用來源不明的存儲介質。
(三)數據備份和審計方案設計
數據備份和審計是制藥企業網絡安全架構的重要組件。數據備份的作用是記錄各類網絡信息,為查找漏洞、排除問題、安全設置提供參考。考慮到制藥企業數據備份的規模及對數據安全的要求,可利用IBM公司開發的iSCSI接口,將現有SCSI接口與以太網絡結合,實現服務器與IP網絡儲存裝置的資料交換。由于備份管理軟件對存儲性能有重要影響,應用符合一定技術標準的備份軟件,具備快速存取能力、極簡管理能力和災難恢復能力。另外,備份軟件要適應當前的網絡條件,能同時支持64位和32位WINDOWS系統、UNIX、IOS系統,能在常用系統平臺進行主動式備份。建議采用FileGee等備份軟件,實現自動備份文件,并可進行多介質服務器管理,提供集中管理備份策略。
數據備份的目的是進行數據審計,通過檢索備份數據,分析數據特征和變化趨勢,對企業內服務器和終端設備進行安全審計。終端設備審計方案是:調取網絡數據,對各種網絡應用進行識別、記錄和控制,在此基礎上判斷網絡行為正當與否,如存在安全隱患則采取緊急策略,對問題網絡端口進行控制。服務器審計方案是:在數據庫中提取記錄企業服務器運行信息,包括網絡設備、安全設備、主機、數據庫和應用系統日志,作出勘察、判斷與決策,防止誤操作和不當操作行為,預防各種潛在的違規操作行為。
三、總結
本文立足于制藥企業的網絡管理實際,擬定了三項網絡系統安全架構的設計要點,提出安全規劃,明確建設目標。網絡安全架構設計以平臺安全、防治病毒、數據備份和審計為基點,兼顧了整體性和可操作性,設計出符合線程化、立體化、系統化要求的安全架構,為制藥企業網絡安全應用和管理提供了技術支持。
參考文獻:
