企業網絡設計方案模板(10篇)
時間:2023-01-01 18:43:05
導言:作為寫作愛好者,不可錯過為您精心挑選的10篇企業網絡設計方案,它們將為您的寫作提供全新的視角,我們衷心期待您的閱讀,并希望這些內容能為您提供靈感和參考。
篇1
通過近年來各企業網絡組建的效果來看,我們會發現將網絡應用到企業的發展過程中,一方面可以使得企業高層可以快速的對公司資源進行整合,優化資源配置。另一方面達到資源共享的效果,辦公自動化模式的實現很大程度上提高了工作效率,員工可以隨時對資料進行及時準確的傳輸。可見在不久地將來,網絡組建將成為企業發展的新趨勢。中小企業在面對來自大公司以及國內外企業的競爭壓力下,如何利用網絡來提升企業的核心競爭力已經成為企業運行的關鍵所在。接下來我將從中小企業網絡組建的必要性、設計方案、未來發展趨向三方面進行分析,希望能促進企業的改革。
1中小企業網絡組建必要性
1.1促進企業信息共享
企業在過去的發展過程中,計算機之間處于獨立的模式,并未實現資源共享。但是目前中小企業所面臨的是大量的信息傳遞、資料查詢、信息加工等工作,有時總部與分公司之間跨地域的分布格局,增加了工作的難度,因此需要企業不斷改革管理模式,實現企業自動化管理的目標。通過網絡組建實現跨地域、跨時間信息共享的目標,從而減輕工作量,提高管理水平。
1.2提高企業管理效率
通過企業內部網絡組建,可以使工作者可以快速地對業務進行跟蹤,掌握瞬息萬變的市場情況,為高層領導決策的制定提供數據支持。另一方面部門之間可以通過內部網絡進行隨時溝通,在避免工作重疊等現象出現的同時,提高人力資源的整合度,充分利用人才的優勢使得自身的投資更有益。除此之外電子化辦公使得傳統的紙質化辦公得到了改變,提高了工作效率。
1.3自身發展需要、社會要求
中小企業網絡組建不僅是自身發展的需要,也是時展所驅使的。自改革開放以來,企業數量不斷增多,而且企業收益的五分之三都來自于中小企業,這就促進國民經濟發展、提供社會就業、穩定社會發展方面發揮了重要作用。為了激發企業創造更多社會效益,就需要中小企業不斷提高管理效率,將科技的現代化優勢不斷應用到企業發展過程中。另一方面面對國內外企業激烈的競爭,中小企業要想在復雜的環境中長久立足,就需要加強自身核心競爭力,通過網絡組建降低企業經營成本,促進資源貢獻,優化資源分配,以獲取更多的利益。
2中小企業網絡組建設計方案
2.1網絡系統的應用
近年來Internet已經被社會各界廣泛使用,它可以提供各種類型的瀏覽器、網絡聊天、電子郵箱,并且用于經營企業的時候可以為企業提供及時的、準確的市場信息,將Internet接入企業網絡組建也成為企業的最好選擇之一。在接入的過程中需要根據自身的資金狀況與企業信息的使用頻率來對寬帶進行選擇。除此之外企業可以通過建立Intranet來滿足企業自身發展的需要,首先通過ISP的連接通道接入INTRANET,但是該技術在接入過程中所選用的服務器需要有較大的存儲容量,百G或1TB以上以及具有足夠的內存和較高的運行速度,并且具有良好和可擴展性,以滿足將來更新換代的需要。
2.2網絡設備的選擇
在網絡設備的方面需要具備可靠性、安全性、可擴充性等特點,并且在選擇的同時不可以盲目的選擇過于高檔的產品,以免技術成本與后期維護成本過高。因為我對cisco比較熟悉,就從cisco方面進行闡述。設備核心可以采用cisco4507R,可以根據具體的網絡需求選擇相應的模塊光電皆可。現在的設計為單核心如果公司經濟能力準許可以再加一臺4507做雙核心那樣網絡更加可靠。匯聚設備采用cisco3560G-24全為千兆接口具體數量建議看信息點了(600信息點建議6臺3560每2臺一組,一組大概200信息點)。接入層交換機用cisco2918-48,此設備上面帶有2個10/100/1000自適應上連接口可以用來連接匯聚交換機,具體數量看公司信息點而定。上網行為管理我推薦的是深信服AC5400,接口都為千兆且功能強大,完全可以達到你要求的帶寬管理,內容過濾、應用控制等。邊界采用的ciscoASA5520具有4個千兆接口1個快速以太口且具有750個ipsecVPN可以滿足大多數中小企業的需求。
2.3網絡安全管理
現代化的信息技術發展已經被眾多大型企業所接受,但是這種管理模式在創造經濟效益的同時也存在安全隱患。譬如經常出現的APP中間人攻擊、APR報文泛洪攻擊等,已經影響了企業業務的正常開展。中小企業在網絡組建的過程中,需要吸取經驗,做好安全管理工作,建立完整的安全防護系統。在具體實踐過程中,禁止工作人員出入與自己工作無關的區域,對系統維護的時間進行明確規定,并且詳細記錄系統在維護前后的狀態。除此之外工作人員在使用使用移動設備時進行病毒的查殺,并且對殺毒軟件進行及時升級。
3中小企業網絡組建展望
中小企業在發展的過程中,受經濟實力以及技術人員的影響,對網絡的依賴性較大,為此必須重視企業網絡的組建并且在網絡組建的過程中需要遵守一定的原則。首先設備的選用應該充分考慮員工的實踐能力,保證設備先進與應用簡易同步進行。譬如在硬件設施的選擇方面,要保持設備具有實用性、安全性、可發展性,以保證網絡系統能夠為決策部門服務為公司業務服務,與此同時保證后期運行的順利。對于軟件功能的選擇,要考慮中小企業的發展狀況。譬如服務器要求具備存儲力大、速度快、吞吐能力強等特點,只有這樣才能促進網絡管理性能的提高,保證高負荷工作量的進行。其次后期網絡的維護,要避免過分追求網絡安全而忽視企業經營成本,網絡維護人員需要不斷加強對網絡的熟悉程度,增加維修頻數,以確保網絡的安全運行。
4小結
中小企業要想在激烈的競爭中實現可持續發展,就需要順應時代的發展,充分利用網絡的優勢。在網絡組建的過程中,遵守一定的規則,譬如根據企業的自身情況慎重選擇網絡系統與網絡設備,在選擇的同時充分考慮日后的維護難度。與網絡維護的相關工作隊伍需要得到不斷優化,全面掌握與網絡管理相關的專業知識。相信在做到這些后企業可以充分利用網絡的優勢實現自身的發展目標。
參考文獻
[1]王艷紅.初級小型局域網組建方案[N].內江科技,2006(7).
[2]馬樹奇.網絡安全從入門到精通[M]北京:電子工業出版社,1999.
篇2
中圖分類號TP39 文獻標識碼A 文章編號 1674-6708(2013)83-0207-02
1 企業內部網絡的安全現狀
傳統的企業網絡安全防范主要都是對網絡病毒、系統漏洞、入侵檢測等方面加以設置,安全措施和相關配置通常都在網絡與外部進行連接的端口處加以實施,采取這樣的網絡安全防范雖然能夠降低外部網絡帶來的安全威脅,但卻忽視了企業內部網絡潛在的安全問題。
目前,企業內部網絡的安全問題的嚴重程度已經遠遠超過了外部網絡帶來的安全威脅,企業內部網絡的安全威脅成為了企業信息安全面臨的重大難題。但是,由于企業管理人員的網絡安全防范意識不強,對于企業內部網絡的安全問題不夠重視,甚至沒有對企業內部網絡采取任何安全防范措施,因此導致了企業內部網絡安全事故不斷增加,給企業帶來了重大經濟損失和社會負面影響,怎樣能夠保證企業內部網絡不受到任何威脅和侵害,已經成為了企業在信息化發展建設過程中亟待解決的問題。
2 企業內部網絡的安全威脅
隨著計算機技術和網絡技術的飛速發展,企業內部網絡是其信息化建設過程中必不可少的一部分。而且,網絡應用程序的不斷增多也使得企業網絡正在面臨著各種各樣的安全威脅。
2.1內部網絡脆弱
企業內部網絡遭到攻擊通常是利用企業內部網絡安全防范的漏洞實現的,而且,由于部分網絡管理人員對于企業內部網絡安全防范不夠重視,使得大部分的計算機終端都面臨著嚴重的系統漏洞問題,隨著內部網絡中應用程序數量的日益增加,也給計算機終端帶來了更多的系統漏洞問題。
2.2用戶權限不同
企業內部網絡的每個用戶都擁有不同的使用權限,因此,對用戶權限的統一控制和管理非常難以實現,不同的應用程序都會遭到用戶密碼的破譯和非法越權操作。部分企業的信息安全部門對于內部網絡的服務器管理不到位,更容易給網絡黑客留下可乘之機。
2.3信息分散
由于部分企業內部網絡的數據存儲分布在不同的計算機終端中,沒有將這些信息統一存儲到服務器中,又缺乏嚴格有效的監督控制管理辦法。甚至為了方便日常辦公,對于數據往往不加密就在內部網絡中隨意傳輸,這就給竊取信息的人員制造了大量的攻擊機會。
3 企業內部網絡安全防范設計方案
3.1網絡安全防范總體設計
即使企業內部網絡綜合使用了入侵檢測系統、漏洞掃描系統等防護手段,也很難保證企業內部網絡之間數據通信的絕對安全。因此,在本文設計的企業內部網絡安全防范方案中,部署了硬件加密機的應用,能夠保證對企業內部網絡中的所有數據通信進行加密處理,從而加強企業內部網絡的安全保護。
3.2網絡安全體系模型構建
企業內部網絡安全體系屬于水平與垂直分層實現的,水平層面上包括了安全管理、安全技術、安全策略和安全產品,它們之間是通過支配和被支配的模式實現使用的;垂直層面上的安全制度是負責對水平層面上的行為進行安全規范。一個企業內部網絡安全體系如果想保持一致性,必須包括用戶授權管理、用戶身份認證、數據信息保密和實時監控審計這四個方面。這四個方面的管理功能是共同作用于同一個平臺之上的,從而構建成一個安全可靠、實時可控的企業內部網絡。
1)用戶身份認證
用戶身份認證是保證企業內部網絡安全穩定運行的基礎,企業內部網絡中的用戶身份認證包括了服務器用戶、網絡設備用戶、網絡資源用戶、客戶端用戶等等,而且,由于網絡客戶端用戶數量龐大,存在著更多的不安全、不確定性,因此,對于網絡客戶端用戶的身份認證至關重要。
2)用戶授權管理
用戶授權管理是以用戶身份認證作為基礎的,主要是對用戶使用企業內部網絡的數據資源時進行授權,每個用戶都對應著不用的權限,權限代表著能夠對企業內部網絡中的某些資源進行訪問和使用,包括服務器數據資源的使用權限、網絡數據資源使用權限和網絡存儲設備資源使用權限等等。
3)數據信息保密
數據信息保密作為企業內部網絡中信息安全的核心部分,需要對企業內部網絡中進行數據通信的所有數據進行安全管理,保證數據通信能夠在企業內部網絡中處于一個安全環境下進行,從而保證對企業內部網絡信息和知識產權信息的有效保護。
4)實時監控審計
實時監控審計作為企業內部網絡中必不可少的部分,主要實現的是對企業內部網絡的安全的實時監控,定期生成企業內部網絡安全評估報告,一旦企業內部網絡出現安全問題時,能夠及時匯總數據,為安全事故的分析判斷提供有效依據。
4結論
目前,關于企業內部網絡的安全防范問題一直是網絡信息安全領域研究的熱點問題,越來越多的企業將辦公系統應用于企業內部網絡中,但是由于企業工作人員的安全防范意識不強,或者網絡操作不規范,都給企業內部網絡帶來了更多的安全威脅。本文提出的企業內部網絡安全防范設計方案,能夠有效解決多種內部網絡的安全問題,具有一定的實踐應用價值。
篇3
中圖分類號:TP311 文獻標識碼:A 文章編號:1674-7712 (2013) 04-0069-01
一、企業網絡安全防護信息管理系統的構建意義
據調查統計顯示,源于企業外部網絡入侵和攻擊僅占企業網絡安全問題的5%左右,網絡安全問題大部分發生在企業內部網絡,內部網絡也是網絡安全防護的關鍵部分。因此,對企業內部網絡信息資源的有效保護極為重要。傳統的網絡安全防護系統多數都是防止外部網絡對內部網絡進行入侵和攻擊,這種方式只是將企業內部網絡當作一個局域網進行安全防護,認為只要能夠有效控制進入內部網絡的入口,就可以保證整個網絡系統的安全,但是,這種網絡安全防護方案不能夠很好地解決企業內部網絡發生的惡意攻擊行為,只有不斷加強對企業內部網絡的安全控制,規范每個用戶的行為操作,并對網絡操作行為進行實時監控,才能夠真正解決企業內部網絡信息資源安全防護問題。
二、企業網絡安全防護信息管理系統總體設計
(一)內網安全防護模型設計。根據企業內部網絡安全防護的實際需求,本文提出企業網絡安全防護信息管理系統的安全防護模型,能夠對企業內部網絡的存在的安全隱患問題進行全面防護。
由圖1可知,企業網絡安全防護信息管理系統的安全防護模型從五個方面對企業內部網絡的信息資源進行全方位、立體式防護,組成了多層次、多結構的企業內部網絡安全防護體系,對企業內部網絡終端數據信息的竊取、攻擊等行為進行安全防范,從而保障了企業內部網絡信息資源的整體安全。
(二)系統功能設計。企業網絡安全防護信息管理系統功能主要包括六個方面:一是主機登陸控制,主要負責對登錄到系統的用戶身份進行驗證,確認用戶是否擁有合法身份;二是網絡訪問控制,負責對企業內部網絡所有用戶的網絡操作行為進行實時監控和監管,組織內網核心信息資源泄露;三是磁盤安全認證,負責對企業內部網絡的計算機終端接入情況進行合法驗證;四是磁盤讀寫控制,負責對企業內部網絡計算機終端傳輸等數據信息流向進行控制;五是系統自防護,負責保障安全防護系統不會隨意被用戶卸載刪除;六是安全審計,負責對企業內部網絡用戶的操作行為和過程進行實時審計。
(三)系統部署設計。本文提出的企業網絡安全防護信息管理系統設計方案采用基于C/S模式的三層體系架構,由安全防護、安全防護管理控制臺、安全防護服務器三部分共同構成,實時對企業內部網絡進行安全防護,保障內部網絡信息資源不會泄露。安全防護將企業內部網絡計算機終端狀態、動作信息等傳遞給安全防護服務器,安全防護管理控制臺發出指令,由安全防護服務器將指令傳送給安全防護完成執行。
三、企業網絡安全防護信息管理系統詳細設計
(一)安全管理控制臺設計。安全管理控制臺是為企業網絡安全防護信息管理系統的管理員提供服務的平臺,能夠提供一個界面友好、操作方便的人機交互界面。還可以將安全策略管理、安全日志查詢等操作轉換為執行命令,再傳遞給安全防護服務器,通過啟動安全防護對企業內部網絡計算機終端進行有效控制,制定完善的安全管理策略,完成對系統的日常安全管理工作。
安全管理人員登錄管理控制臺時,系統首先提示用戶輸入賬號和密碼,并將合法的USB Key數字認證設備插入主機,經過合法性驗證之后,管理員獲得對防護主機的控制權。為了對登錄系統用戶的操作嚴格控制,本系統采用用戶名和密碼登錄方式,結合USB Key數字認證方式,有效提高了系統安全登錄認證強度。用戶采取分級授權管理的方式,系統管理人員的日常維護過程可以自動生成日志記錄,由系統審計管理人員進行合法審計。
(二)安全防護服務器設計。安全防護服務器主要負責企業網絡安全防護信息管理系統數據信息都交互傳遞,作為一個信息中轉中心,安全防護服務器還承擔命令傳遞、數據處理等功能,其日常運行的穩定性和高效性直接影響到整個系統的運行情況。因此,安全防護服務器的設計不但要實現基本功能,還應該注重提高系統的可用性。
安全防護服務器的主要功能包括:負責將安全管理控制臺發出的安全控制信息、安全策略信息和安全信息查詢指令傳送給安全防護;將安全防護上傳到系統中的審計日志進行實時存儲,及時響應安全管理控制臺的相關命令;將安全防護下達的報警命令存儲轉發;實時監測安全管理控制臺的狀態,對其操作行為進行維護。
(三)安全防護設計。安全防護的主要功能包括:當安全防護建立新的網絡連接時,需要與安全防護服務器進行雙向安全認證。負責接收安全防護服務器發出的安全控制策略命令,包括用戶身份信息管理、磁盤信息管理和安全管理策略的修改等。當系統文件已經超過設定的文件長度,或者超過了設定的時間間隔,則由安全防護向安全防護服務器發送違規操作信息;當其與安全防護服務器無法成功建立連接時,將日志信息存儲在系統數據庫中,等待與網絡成功重新建立連接時,再將信息傳送到安全防護服務器中。
綜上所述,本文對企業內部網絡信息安全問題進行了深入研究,構建了企業內部網絡安全防護模型,提出了企業網絡安全防護信息管理系統設計方案,從多方面、多層次對企業內部網絡信息資源的安全進行全面防護,有效解決了企業內部網絡日常運行中容易出現的內部信息泄露、內部人員攻擊等問題。
篇4
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2013)28-6262-03
1 概述
有別于有線網絡的設備可利用線路找尋設備信息,無論是管理、安全、記錄信息,比起無線網絡皆較為方便,相較之下無線網絡的環境較復雜。無線網絡安全問題最令人擔心的原因在于,無線網絡僅透過無線電波透過空氣傳遞訊號,一旦內部架設發射訊號的儀器,在收訊可及的任一節點,都能傳遞無線訊號,甚至使用接收無線訊號的儀器,只要在訊號范圍內,即便在圍墻外,都能截取訊號信息。
因此管理無線網絡安全維護比有線網絡更具挑戰性,有鑒于政府機關推廣于民眾使用以及企業逐漸在公司內部導入無線網絡架構之需求,本篇論文特別針對無線網絡Wi-Fi之使用情境進行風險評估與探討,以下將分別探討無線網絡傳輸可能產生的風險,以及減少風險產生的可能性,進而提出建議之無線網絡建置規劃檢查項目。
2 無線網絡傳輸風險
現今無線網絡裝置架設便利,簡單設定后即可進行網絡分享,且智能型行動裝置已具備可架設熱點功能以分享網絡,因此皆可能出現不合法之使用者聯機合法基地臺,或合法使用者聯機至未經核可之基地臺情形。倘若企業即將推動內部無線上網服務,或者考慮網絡存取便利性,架設無線網絡基地臺,皆須評估當內部使用者透過行動裝置聯機機關所提供之無線網絡,所使用之聯機傳輸加密機制是否合乎信息安全規范。
倘若黑客企圖偽冒企業內部合法基地臺提供聯機時,勢必會造成行動裝置之企業數據遭竊取等風險。以下將對合法使用者在未知的情況下聯機至偽冒的無線網絡基地臺,以及非法使用者透過加密機制的弱點破解無線網絡基地臺,針對這2個情境加以分析其風險。
2.1 偽冒基地機風險
目前黑客的攻擊常會偽冒正常的無線網絡基地臺(Access Point,以下簡稱AP),而偽冒的AP在行動裝置普及的現今,可能會讓用戶在不知情的情況下進行聯機,當連上線后,攻擊者即可進行中間人攻擊(Man-in-the-Middle,簡稱MitMAttack),取得被害人在網絡上所傳輸的數據。情境之架構詳見圖1,利用偽冒AP攻擊,合法使用者無法辨識聯機上的AP是否合法,而一旦聯機成功后黑客即可肆無忌憚的竊取行動裝置上所有的數據,造成個人數據以及存放于行動裝置上之機敏數據外泄的疑慮存在。企業在部署無線局域網絡時,需考慮該類風險問題。
2.2 弱加密機制傳輸風險
WEP (Wired Equivalent Privacy)為一無線加密協議保護無線局域網絡(Wireless LAN,以下簡稱WLAN)數據安全的加密機制,因WEP的設計是要提供和傳統有線的局域網絡相當的機密性,隨著計算器運算能力提升,許多密碼分析學家已經找出WEP好幾個弱點,但WEP加密方式是目前仍是許多無線基地臺使用的防護方式,由于WEP安全性不佳,易造成被輕易破解。
許多的無線破解工具皆已存在且純熟,因此利用WEP認證加密之無線AP,當破解被其金鑰后,即可透過該AP連接至該無線局域網絡,再利用探測軟件進行無線局域網絡掃描,取得該無線局域網絡內目前有哪些聯機的裝置。
當使用者使用行動裝置連上不安全的網絡,可能因本身行動裝置設定不完全,而將弱點曝露在不安全的網絡上,因此當企業允許使用者透過行動裝置進行聯機時,除了提醒使用者應加強自身終端安全外,更應建置安全的無線網絡架構,以提供使用者使用。
3 無線網絡安全架構
近年許多企業逐漸導入無線局域網絡服務以提供內部使用者及訪客使用。但在提供便利的同時,如何達到無線局域網絡之安全,亦為重要。
3.1 企業無線局域網安全目標
企業之無線網絡架構應符合無線局域網絡安全目標:機密性、完整性與驗證性。
機密性(Confidentiality)
無線網絡安全架構應防范機密不可泄漏給未經授權之人或程序,且無線網絡架構應將對外提供給一般使用者網絡以及內部所使用之內部網絡區隔開。無線網絡架構之加密需采用安全性即高且不易被破解的方式,并可對無線網絡使用進行稽核。
完整性(Integrity)
無線網絡安全架構應確認辦公室環境內無其它無線訊號干擾源,并保證員工無法自行架設非法無線網絡存取點設備,以確保在使用無線網絡時傳輸不被中斷或是攔截。對于內部使用者,可建立一個隔離區之無線網絡,僅提供外部網際網絡連路連接,并禁止存取機關內部網絡。
認證性(Authentication)
建議無線網絡安全架構應提供使用者及設備進行身份驗證,讓使用者能確保自己設備安全性,且能區分存取控制權限。無線網絡安全架構應需進行使用者身份控管,以杜絶他人(允許的訪客除外)擅用機關的無線網絡。
因應以上無線局域網絡安全目標,應將網絡區分為內部網絡及一般網絡等級,依其不同等級實施不同的保護措施及其應用,說明如下。
內部網絡:
為網絡內負責傳送一般非機密性之行政資料,其系統能處理中信任度信息,并使用機關內部加密認證以定期更變密碼,且加裝防火墻、入侵偵測等作業。
一般網絡:
主要在提供非企業內部人員或訪客使用之網絡系統,不與內部其它網絡相連,其網絡系統僅能處與基本信任度信息,并加裝防火墻、入侵偵測等機制。
因此建議企業在建構無線網絡架構,須將內部網絡以及提供給一般使用者之一般網絡區隔開,以達到無線網絡安全目標,以下將提供無線辦公方案及無線訪客方案提供給企業導入無線網絡架構時作為參考使用。
3.2內部網絡安全架構
減輕無線網絡風險之基礎評估,應集中在四個方面:人身安全、AP位置、AP設定及安全政策。人身安全方面,須確保非企業內部使用者無法存取辦公室范圍內之無線內部網絡,僅經授權之企業內部使用者可存取。可使用影像認證、卡片識別、使用者賬號密碼或生物識別設備以進行人身安全驗證使用者身份。企業信息管理人員須確保AP安裝在受保護的建筑物內,且使用者須經過適當的身份驗證才允許進入,而只有企業信息管理人員允許存取并管理無線網絡設備。
企業信息管理人員須將未經授權的使用者訪問企業外部無線網絡之可能性降至最低,評估每臺AP有可能造成的網絡安全漏洞,可請網絡工程師進行現場調查,確定辦公室內最適當放置AP的位置以降低之風險。只要企業使用者擁有存取無線內部網絡能力,攻擊者仍有機會竊聽辦公室無線網絡通訊,建議企業將無線網絡架構放置于防火墻外,并使用高加密性VPN以保護流量通訊,此配置可降低無線網絡竊聽風險。
企業應側重于AP配置之相關漏洞。由于大部分AP保留了原廠之預設密碼,企業信息管理人員需使用復雜度高之密碼以確保密碼安全,并定期更換密碼。企業應制定相關無線內部網絡安全政策,包括規定使用最小長度為8個字符且參雜特殊符號之密碼設置、定期更換安全性密碼、進行使用者MAC控管以控制無線網絡使用情況。
為提供安全無線辦公室環境,企業應進行使用者MAC控管,并禁用遠程SNMP協議,只允許使用者使用本身內部主機。由于大部分廠商在加密SSID上使用預設驗證金鑰,未經授權之設備與使用者可嘗試使用預設驗證金鑰以存取無線內部網絡,因此企業應使用內部使用者賬號與密碼之身份驗證以控管無線內部網絡之存取。
企業應增加額外政策,要求存取無線內部網絡之設備系統需進行安全性更新和升級,定期更新系統安全性更新和升級有助于降低攻擊之可能性。此外,政策應規定若企業內部使用者之無線裝置遺失或被盜,企業內部使用者應盡快通知企業信息管理人員,以防止該IP地址存取無線內部網絡。
為達到一個安全的無線內部網絡架構,建議企業采用IPS設備以進行無線環境之防御。IPS設備有助于辨識是否有未經授權之使用者試圖存取企業內部無線內部網絡或企圖進行非法攻擊行為,并加以阻擋企業建筑內未經授權私自架設之非法網絡。所有無線網絡之間的通訊都需經過IPS做保護與進一步分析,為一種整體縱深防御之策略。
考慮前述需求,本篇論文列出建構無線內部網絡應具備之安全策略,并提供一建議無線內部網絡安全架構示意圖以提供企業信息管理人員作為風險評估之參考,詳見表1。
企業在風險評估后確認實現無線辦公室環境運行之好處優于其它威脅風險,始可進行無線內部網絡架構建置。然而,盡管在風險評估上實行徹底,但無線網絡環境之技術不斷變化與更新,安全漏洞亦日新月異,使用者始終為安全鏈中最薄弱的環節,建議企業必須持續對企業內部使用者進行相關無線安全教育,以達到縱深防御之目標。
另外,企業應定期進行安全性更新和升級會議室公用網絡之系統,定期更新系統安全性更新和升級有助于降低攻擊之可能性。為達到一個安全的會議室公用網絡架構,建議企業采用IPS設備以進行無線環境之防御。
IPS設備有助于辨識是否有未經授權之使用者試圖存取企業內部會議室公用網絡或企圖進行非法攻擊行為,并加以阻擋企業建筑內未經授權私自架設之非法網絡。所有無線網絡之間的通訊都需經過IPS做保護與進一步分析,為一種整體縱深防御策略。
4 結論
由于無線網絡的存取及使用上存在相當程度的風險,更顯無線局域網絡的安全性之重要,本篇論文考慮無線網絡聯機存取之相關風險與安全聯機的準則需求,有鑒于目前行動裝置使用量大增,企業可能面臨使用者要求開放無線網絡之需求,應建立相關無線網絡方案,本研究針對目前常見之無線網絡風險威脅為出發,以及內部網絡與外部網絡使用者,針對不同安全需求強度,規劃無線網絡使用方案,提供作為建置參考依據,進而落實傳輸風險管控,加強企業網絡安全強度。
參考文獻:
[1] Gast M S.Wireless Networks: The Definitive Guide[M].O’Reilly, 2002.
[2] Edney J, Arbaugh W A.Security:Wi-Fi Protected Access and 802.11[M].Addison-Wesley,2004.
[3] R. Guha, Z. Furqan, S. Muhammad.Discovering Man-In-The-Middle Attacks nAuthentication Protocols[J].IEEE Military Communications Conference 2007, Orlando, FL, 2007(10):29-31.
篇5
中圖分類號:TP393.08
1 安全管理體系結構及功能
1.1 安全管理體系結構
網絡安全是企業安全有效運行的保障,安全管理體系主要包括安全策略、安全運作、安全管理等。安全策略管理是企業網絡安全運行的體系基礎,有利于項目建設規范化管理和運行和安全工作的開展。安全基礎設施系統主要有訪問控制、桌面管理、認證管理、防垃圾系統、服務器監控與日志統一管理系統、漏洞掃描系統、服務器加固系統等。萊鋼計算機網絡整體架構圖如圖1所示。
1.2 安全管理系統功能
安全管理系統的功能將所管轄的IP計算機信息根據分類登記,有利于其他安全管理模塊進行數據連接和信息共享,并配備服務器和交換機加固工具,及時掌握網絡中各個系統的最新安全風險動態,并及時的對服務器文件、進程、注冊表等進行保護。安全監控系統是監控全網事件報警信息,對當前事件進行安全監督和實時監控,有利于企業網絡安全運行和業務系統的安全性,監控的產品主要包括網絡中的設備、日志相關信息、相關事件的報警信息等。
2 網絡系統安全體系的設計與實施
2.1 身份認證系統設計分析
網絡安全運維管理中心設置在信息中心,擔負全網桌面安全管理,通過制定相關策略、委派安全角色,對全網數據進行統計分析和安全管理,并通過一系列的安全運行策略建立安全身份認證體系。萊鋼統一身份認證系統架構圖如圖2所示。
RSA SeucrID由認證服務器RSA ACE/Server、軟件RSA ACE/Agent、認證設備以及認證應用編程接口(API)組成。RSA ACE/Server軟件是網絡中的認證引擎,由安全管理員或網絡管理員進行維護。
2.2 計算機資產安全管理系統
計算機資產安全管理為萊鋼的高層管理人員提供全網資源的多維度分析報表。信息中心成為萊鋼的IT系統的“安全策略中心”、“安全管理中心”、“數據匯聚中心”和“報表總中心”。下設一級管理中心,分布在各分部,由總中心授權負責對分部人員權限管理和桌面系統管理,并具體實現對各終端桌面目錄、桌面管理、軟件分發、系統自動升級管理、信息安全和管理監控功能。軟件分發工具大大提高了萊鋼桌面計算機管理的自動化程度,提高管理效率。自動化的工作流程還可以避免人工操作帶來的風險,使萊鋼的桌面計算機上的資產得到更好的保護。通過軟件分發機制,從桌面計算機標準化支撐平臺將軟件分發到指定的桌面計算機和支撐平臺內部指定的服務器,消除對桌面計算機和服務器的訪問等人為因素導致的錯誤。及時安裝操作系統更新補丁,避免成為黑客和病毒的攻擊對象。及時安裝應用程序的補丁,減少安全隱患,增加應用程序穩定性和功能。對服務器系統的補丁需要經過評估對現有系統的影響,避免出現業務系統故障。服務器系統的補丁需要利用自動檢測技術,通過人工的評估,再實現自動分發和手工安裝。
2.3 EAD端點準入防御體系
EAD安全準入主要是通過身份認證和安全策略檢查的方式,對未通過身份認證或不符合安全策略的用戶終端進行網絡隔離,并幫助終端進行安全修復,以達到防范不安全網絡用戶終端給安全網絡帶來安全威脅的目的。
2.4 網絡安全模型的設計
從網絡安全、應用安全、管理安全的角度出發,設計歸納萊鋼網絡系統安全模型,主要包括:(1)網絡架構防護:采用網絡邊界防毒、統一身份認證技術和針對于網絡設備和網絡服務器的漏洞掃描技術;(2)應用系統風險防護:采用的主要技術包括防病毒技術、服務器系統加固技術、計算機資產安全管理技術、補丁管理技術、主頁防篡改技術、防垃圾郵件技術、災難備份恢復技術及統一日志管理技術;(3)安全管理體系建立:通過對安全策略進行有效的和貫徹執行,可以規范項目建設、運行維護相關的安全內容,指導各種安全工作的開展和流程,確保IP網的安全;(4)集中管理、整合監控:對計算機系統進行綜合集中管理,對日常的系統、網絡、資產以及安全等日常運行能夠擁有較為統一的管理入口,對系統網絡可用性、資產有效性、安全防范諸多管理功能的組件進行事件級的整合、分析和響應。
3 結束語
互聯網已經深度滲透到各個領域,成為事關國家安全的基礎設施和斗爭,網絡安全是保證各種應用系統數據安全的重要基礎,必須加強和采取有效的預防措施,掌握網絡資源狀況及實用信息,可提高網絡管理的效率。
參考文獻:
[1]溫貴江.基于數據包過濾技術的個人防火墻系統設計與研究[D].吉林大學,2010.
篇6
中圖分類號:TP393
1 項目來源
重鋼集團公司按照國家“管住增量、調整存量、上大壓小、扶優汰劣”的原則,將重慶市淘汰落后產能、節能減排與重鋼環保搬遷改造工程結合起來。隨著重慶市經濟和城市化快速發展,重慶鋼鐵(集團)有限責任公司擬退出主城區,進行環保搬遷。重鋼環保搬遷新廠區位于長壽區江南鎮,主要生產設施包括碼頭、原料場、焦化、燒結、高爐、煉鋼、連鑄、寬厚板軋機、熱連軋機和各工藝配套設施以及全廠的公輔設施等,生產規模為630萬噸。
2 系統目標
重鋼股份公司在搬遷的長壽區建立了全新的信息化機房,結合自身實際,決定部署一套符合自身需要的信息化平臺。整個平臺包含:財務系統、人力資源管理系統、門戶.OA系統、各產線的MES系統、以及企業的原料,物流系統等。
3 系統實現
重鋼信息系統全由公司自主研發,服務器端采用:中間服務器操作系統win2003server+Oracle Developer6i Runtimes,數據庫服務器:Unix Ware+ORACLE 10g。開發端:Windows 9x/2000/XP+ Oracle Developer 2000 Release。根據業務需求,公司統一按國家標準部署了裝修一個中心機房,選擇了核心數據庫服務器小型機、其他小型機服務器、FC-SAN存儲柜、SAN交換機,磁帶庫、PC服務器、網絡安全管理設備,機柜、應用服務器軟件、數據備份管理軟件、UPS電源。等硬件基礎設施對此系統項目進行集成。在信息化建設實施過程中,本人主要參與了整個系統項目集成方案設計和實施。
4 項目特點
4.1 網絡設計
中心機房通過防火墻等網絡設備提供網絡互聯、網絡監測、流量控制、帶寬保證、防入侵檢測等技術,抗擊各種非法攻擊和干擾,保證網絡安全可靠。同時網絡建設選擇了骨干線路采用16芯單模光纖,接入層線路采用8芯單模光纖,桌面線路采用六類非屏蔽網絡線;光纖骨干線部分采用萬兆+千兆光纖雙鏈路連接,接入層光纖采用千兆鏈路接口至桌面。整個網絡體系滿足千兆以上數據傳輸及交換要求。
4.2 系統設計
本系統采用業界流行的三層架構,客戶端,應用服務器層,后臺數據庫層。
4.2.1 應用層設計特點
在應用層選擇上,重鋼選擇了citrix軟件來實現企業的虛擬化云平臺,原先安裝在客戶端的應用程序客戶端程序安裝在Citrix服務器上,客戶端不再需要安裝原有的Client端軟件,Client端設備只需通過IE就可以進行訪問。這樣就把原先的C/S的應用立刻轉化為B/S的訪問形式,而且無需進行任何的開發和修改源代碼的工作。同時使用Citrix的“Data Collector”負載均衡調度服務器負責收集每一臺服務器里面的一些動態信息,并與之進行交流;當有應用請求時,自動將請求轉到負載最輕的服務器上運行。Citrix是通過自己的專利技術,把軟件的計算邏輯和顯示邏輯分開,這樣客戶端只需上傳一些鼠標、鍵盤的命令,服務器接到命令之后進行計算,將計算完的結果傳送給客戶端,注意:Citrix所傳送的不是數據流,而是將圖像的變化部分經過壓縮傳給客戶端,只有在客戶端和服務器端才可以看到真實的數據,而中間層傳輸的只是代碼,并且Citrix還對這些代碼進行了加密。對于網絡的需求,只需要10K~20K的帶寬就可以滿足需要,尤其是在ERP中收發郵件,經常遇到較大郵件,通常在窄帶、無線網絡條件下基本無法訪問,但通過Citrix就可以很快打開郵件,進行文件的及時處理。
4.2.2 數據庫層技術特點
在數據庫層的選擇上,重鋼選擇了oracle軟件。利用oracle軟件本身的技術特點,我們設計系統采用ORACLE RAC+DATAGUARD的部署方式。RAC技術是通過CPU共享和存儲設備共享來實現多節點之間的無縫集群,用戶提交的每一項任務被自動分配給集群中的多臺機器執行,用戶不必通過冗余的硬件來滿足高可靠性要求。
RAC的優勢在于:在Cluster、MPP體系結構中,實現一個共享數據庫,支持并行處理,均分負載,保證故障時數據庫的不間斷運行;支持Shared Disk和Shared Nothing類型的體系結構;多個節點同時工作;節點均分負載。當RAC群組的一個A節點失效時,所有的用戶會被重新鏈接到B節點,這一切對來說用戶是完全透明的,從而實現數據庫的高可用性。
Data Guard是Oracle公司提出的數據庫容災技術,它提供了一種管理、監測和自動運行的體系結構,用于創建和維護一個或多個備份數據庫。與遠程磁盤鏡像技術的根本區別在于,Data Guard是在邏輯級,通過傳輸和運行數據庫日志文件,來保持生產和備份數據庫的數據一致性。一旦數據庫因某種情況而不可用時,備份數據庫將正常切換或故障切換為新的生產數據庫,以達到無數據損失或最小化數據損失的目的,為業務系統提供持續的數據服務能力。
4.2.3 數據備份保護特點
備份軟件采用HP Data Protector軟件。HP Data Protector軟件能夠實現自動化的高性能備份與恢復,支持通過磁盤和磁帶進行備份和恢復,并且沒有距離限制,從而可實現24x7全天候業務連續性,并提高IT資源利用率。Data Protector軟件的采購和部署成本比競爭對手低30-70%,能夠幫助客戶降低IT成本,提升運營效率。許可模式簡單易懂,有助于降低復雜性。廣泛的可擴展性和各種特性可以實現連續的備份和恢復,使您憑借一款產品即可支持業務增長。此外,該軟件還能夠與領先的HP StorageWorks磁盤和磁帶產品系列以及其它異構存儲基礎設施完美集成。作為增長迅猛的惠普軟件產品組合(包括存儲資源管理、歸檔、復制和設備管理軟件)的重要組成部分,Data Protector軟件還能與HP BTO管理解決方案全面集成,使客戶能夠將數據保護作為整個IT服務的重要環節進行管理。該解決方案將軟硬件和屢獲殊榮的支持服務集于一身,借助快速安裝、日常任務自動化以及易于使用等特性,Data Protector軟件能夠大大簡化復雜的備份和恢復流程。借助集中的多站點管理,可以輕松實施多站點變更,實時適應不斷變化的業務需求。
5 結束語
企業信息化平臺系統集成不是簡單的機器設備堆疊,需要根據企業自身使用軟件特點,企業使用方式,選擇合適的操作系統,應用軟件作為企業生產軟件部署的基礎,另外要合理利用各軟件提供的技術方式,對系統的穩定性,安全性,冗余性進行部署,從而達到高可用和可擴展的整體系統平臺。
參考文獻:
[1]肖建國.《信息化規劃方法論》.
[2]雷萬云.信息化與信息管理實踐之道[M].北京:清華大學出版社,2012(04).
[3]《Pattern of Enterprise Application Architecture》.Martin Foeler
篇7
中圖分類號:F293 文獻標識碼:A 文章編號:1009-2374(2013)17-0084-03
隨著時代的變化,企業的核心競爭力在不斷的加強。通過對企業職員的嚴格篩選,使得企業可以不斷地注入新鮮的血液,企業公司可以進行良好的循環。并且企業通過對知識的重新整理和創新,使得企業實現完全數字化管理,得到更好的效益創收。通過對網絡文明的建設,使得企業能夠更全方位的發展。
1 HR人力管理系統
1.1 員工試用
1.1.1 根據崗位工作性質,員工試用期一般為1~3個月,按其工作表現可以提前或延后正式聘用。
1.1.2 行政綜合部應經常對員工的試用期表現進行考察,予以監督。
1.1.3 員工試用期滿,填寫《試用期工作考核表》,所屬部門主管填寫考核意見后交行政綜合部復核,再由總經理審批。
1.1.4 員工經試用合格,由行政綜合部負責辦理轉正手續。如試用期考核不合格,由行政綜合部通知該員工。員工在試用期內決定辭職,可提出辭職申請并按規定辦理離職手續。
1.1.5 試用期員工享有試用期工資待遇,轉正后享有正式員工工資待遇。
1.2 轉正
1.2.1 正常轉正的條件為:員工試用期滿,經用人部門與行政綜合部聯合考核合格。
1.2.2 提前轉正的條件為:員工試用期表現突出,有顯著工作業績。
1.2.3 轉正的辦理與審批:由用人部門依據員工《試用期工作考核表》于試用期結束前一周內向行政綜合部提出申請,并附《試用期工作考核表》;行政綜合部根據《試用期工作考核表》及在試用期對該員工的考察,給出復核意見,報總經理審批;轉正日期按審批手續辦理的實際日期計算。
1.2.4 轉正后,員工須填報《員工資料卡》等信息
資料。
1.3 離職
1.3.1 聘用員工因病或因事辭職時應提前30日向公司提出申請,辭職申請未予批準前,應繼續工作,不得先行離職。
1.3.2 離職員工必須在規定的時間內做好工作交接和資產移交,并向公司行政綜合部提交《工作交接清單》和《資產移交清單》,行政綜合部憑移交清單填寫《行政綜合部至財務部通知單》交財務部結算工資并辦理正式離職手續。
1.3.3 因合同終止不再續約的或在勞動合同期內要求辭職的,均應按規定提前30日以書面形式通知對方。
1.3.4 如本公司提出提前解除勞動關系的,將按照國家及本單位規定辦理離職手續,支付違約金。
1.3.5 離職程序:員工辭職,則需書面提交《員工辭職申請書》給行政綜合部報公司審核批準,批準后,職工辦妥工作交接手續和資產移交手續后再予以工資結算,擅自離開者,視為自動放棄工資并承擔對公司造成的相應損失,不予以辦理相關人事、社保關系轉移。
1.4 部門用人申請的審核
通常情況下,有兩種條件各部門可以提交用人申請。一是有離職人員,崗位空缺需要補充;二是工作人員無法完成工作量,需要增加人員。增加人員崗位的招聘要比補充人員慎重。一方面需要逐級向上申報,嚴格地遵守工作流程,另一方面提醒人事部門設計時注意本部門的工作內容。招聘人員需要站在公司的角度上看,本著對公司負責的態度,盡可能地控制對人員的增添,最大化地挖掘公司內部潛力。招聘新人的成本體現在兩個部分――工資成本和相對應的福利待遇。所以對于公司成本的意識必不可少。
1.5 招聘信息
目前公司可以通過多種渠道進行招聘,其中包含網絡招聘、不定時參加大型招聘會、員工內部推薦、與職介機構建立合作關系、校園招聘、獵頭服務等。這幾種渠道進行的招聘各有其優劣性。這里重點介紹網絡招聘。網絡招聘是目前公司應用方式最頻繁的,但質量相對較高。常規來說,招聘信息需要參考兩方面――用人申請和所聘崗位說明書。需要注意以下兩個方面:
1.5.1 的招聘信息需要對工作年限、專業、年齡、性別等方面進行嚴格的要求,盡可能簡潔地介紹工作的職位和范疇,但不可以過于簡單,否則可能會誤導應聘者,使得公司接收一些無用的應職申請,導致招聘效果不佳。同時,對于不同的職業來說,公司對應聘者的工作年限和年齡都需要有比較硬性的要求,盡可能使用簡練的語言來介紹自己的這些信息。
1.5.2 招聘信息前需要準確地想好要應聘的職位。因為對于職務類別的選擇,會導致人才能否注意到公司的招聘信息。在眾多的招聘網站上,智聯招聘在職位劃分上相比較其他網站略顯模糊。如果短時間內無法找到適合的人才,可以在其他網站上招聘信息。
1.6 篩選簡歷
1.6.1 對于一些對專業性有很強要求的職位來說,比如各專業工程師等,要按照部門要求嚴格地篩選應聘者的簡歷,各個硬性條件也需要嚴格的把關,還需要審核是否具備中級職稱證書。將篩選出來的簡歷交給相關部門審核,并聽從部門經理的意見挑選應聘者面試。
1.6.2 對于一些基層職位來說,比如秘書、文員等,對于應聘者的共通性有很強的要求。基層職位的應聘簡歷最好共設一個文件夾保存,然后一個個進行約見。
1.6.3 在篩選人員的過程中,盡可能保留下應聘者的資料,這樣可以使公司人員的儲備庫得到更大的擴充。
1.6.4 招聘工作的關鍵在于面試,這也是經驗積累的環節。公司的主考官通過對應聘者提出專業知識以此來了解應聘者對職位和專業性知識的了解,進行對應聘者最初步的把關。但在實際工作中很難達到這樣的要求。所以在面試之前需要確定一個觀點,人力資源部和用人部門在招聘中要承擔的責任是相同的。人力資源部提供應聘者的信息并考察其行為能力,用人部門需要對應聘者進行綜合的評估。
2 文檔知識庫管理系統
2.1 基本概念
知識管理系統是通過計算機系統的支持組織一個可以處理、收集、分享的全面知識系統。知識管理是對一個公司企業只是重新獲取創新的過程,這個過程關系到企業的所有部門,其最終目的是通過知識來獲取效益。通常,企業會通過先進的計算機科技,存儲和管理對公司有價值的方案、成果和經驗等,使得知識產業不被流失,促進公司對知識的利用創新,以此來降低公司運營成本,強化企業的核心競爭力。
2.2 制造企業知識管理的作用
全新的設計是一個企業的靈魂,而設計就是由知識高度密集化而產生的,所以說企業知識屬于一種無形的設計,這種設計在現代企業中起到很重要的作用。特別是對于航空制造企業,屬于典型的知識企業。通過知識管理制造企業,使得企業完全數字化,并且用計算機將企業知識按數字化設計重新進行創新整理,并將其應用于產品的數字化設計和制造中。通過知識管理制造企業,讓公司產品的設計和制造得到了從根本上的變化,簡化了產品的設計、制造的作業流程,提高了產品的研制技術,更使得企業對市場上的應變能力和產品開發能力得到重大的提高。然而,通過知識管理制造企業,不僅僅是依靠技術手段,還需要從組織上、制度上等方面采取一些相對應的措施和策略,如:加深員工對企業的了解,通過分析企業對知識的需求和企業的知識構成制定相應的知識管理策略,尤其是在通過知識管理制造企業的前期,盡可能地讓所有員工對知識管理更全面的了解,形成良好的知識管理實施氛圍。除此之外,也需要對知識管理有一個大概的認識:建立一個知識庫來支持產品設計和制造制造企業的知識管理事實上就是制造企業的知識管理。與此同時,通過知識管理制造企業,可以有效地提高企業管理水平,知識工程是制造企業的工具,它除了建立知識庫之外,還能夠規范知識流程、建立基于知識的工作方法,形成知識共享的氛圍,使企業慢慢轉化成為一個知識型、具有核心競爭能力的企業,使得企業能夠更長遠的發展,這才是通過知識管理制造企業的最終目標。
3 網絡安全建設
隨著因特網的迅速發展和普及,信息安全問題愈來愈突出。為了幫助大家有效地維護計算機信息系統的安全,現介紹解決計算機信息系統安全問題的三種方法,僅供借鑒。
3.1 經常使用安全掃描工具-symantec服務器版防毒軟件
增強內部網絡與系統的安全防護性能和抗破壞能力,加強網絡和系統自身的安全性能。
3.2 使用思科的ASA5510防火墻,建立網絡安全屏障
使用防火墻系統可防止外部網絡對內部網絡的未授權訪問,共同建立網絡信息系統的對外安全屏障。目前全球進入因特網的計算機約1/3是處于防火墻保護之下。防火墻的主要目的是根據本單位的安全策略,對外部網絡與內部網絡交流的敷據進行檢查,符合的予以放行,不符合的拒之門外。
3.3 聘請網絡安全顧問、跟蹤網絡安全技術
聘請網絡安全專家作為網絡信息系統的安全顧問,同時,系統管理員和網絡管理員要經常瀏覽國際上一些著名網絡組織的信息主頁,了解最新技術動態,獲取系統和網絡安全軟件,并加入到它們的MAILLIST(郵件列表)或新聞組,使自己的系統和網絡能得到最新的安全技術支持。
3.4 對系統進行定期備份
當系統數據丟失或遭破壞而需要徹底恢復時,備份的價值就體現出來。工作中應做到重要數據天天備份,每周做一次添量備份,每月一次全備份。確保網絡信息系統數據的安全可恢復性。
4 結語
為了搭建產業信息化網絡平臺,我國不斷地發展房地產企業信息建設,將一些原有的問題慢慢地解決掉。通過知識管理制造企業,產品外形和制造模式都可以進行有益的變化,使得設計產品的質量和速度得到了提高。除此之外,房地產行業引入了一些先進的信息工具,以此來加速房地產企業的進程,使得房地產企業水平得到提高。
參考文獻
篇8
在選題時我們重點考慮了以下幾方面:一是要體現“目標性”,從網絡工程專業的培養目標上整體考慮該課程要培養學生哪些素質和能力;二是要體現“工程性”,計算機網絡工程是名副其實的工程性質的課程,是需要在實驗室動手操作的;三是要體現“可行性”,包括實驗條件的可行性和學生知識能力的可行性;四是要體現“自主性”,對課程設計題目教師只劃定一個大致框架,要求學生自主確定設計題目。最后,我們確定此次課程設計的主題是“XX公司/學校網絡設計方案”,可以是一個校園網設計,也可以是一個企業網的設計。要完成該課題的設計任務需要綜合運用所學的計算機網絡原理知識和計算機網絡工程知識,如網絡需求分析、網絡規劃、設備選型、交換機/路由器的配置、網絡安全、網絡管理等。課程設計的教學過程。計算機網絡工程課程設計教學過程包括選題、專題講座、項目實驗、規劃方案撰寫、答辯等幾個環節。(在確定選題后,由公司人員進行5個專題講座,每個講座3~4課時,內容包括:①網絡技術行業分析與企業網絡規劃,②企業遠程接入網絡解決方案,③企業分支本地網絡解決方案,④企業總部本地網絡解決方案,⑤廣域網數據鏈路層協議HDLC與PPP。每一講均有精致的PPT,圖文并茂,站在企業的角度講解,介紹大量工作經驗和案例,傳播企業文化。專題講座并非理論課的重復,而是進一步擴展了教材內容,更加貼近社會實際,學生聽了之后收獲很大,初步了解了公司在做什么,社會需要什么樣的人才,進而知道自己應該具備什么樣的知識結構和能力素質。
(每一專題講座之后,要進行1~2個項目實驗。藍狐網絡技術培訓中心結合實際編寫了較詳細的網絡工程實驗指南,還開發了用于實驗的模擬器。每一專題講座之后,需要在模擬器上完成1~2個項目實驗,如“小型企業局域網項目實驗”、“企業分支局域網項目實驗”、“企業總部局域網項目實驗”、“小型企業廣域網項目實驗”、“小型企業網OSPF項目實驗”、“企業網Internet接入與NAT項目實驗”等[6]。所有實驗(包括模擬實驗和真實實驗)全部安排在網絡工程實驗室進行。學生可以在實驗室的電腦上做模擬實驗,也可以用真實的網絡設備來做實驗。在實驗時我們加強了實驗指導力量,公司技術人員和任課教師、實驗教師一起來指導實驗,保證了實驗效果。如果課堂上沒有完成實驗任務或者需要鞏固實驗內容,學生還可以回寢室在自己的電腦上安裝模擬器,繼續做實驗。(學生完成專題項目實驗后,基本上掌握了構建企業網的技術要領,可以進行網絡方案設計了。教師給學生提供幾個網絡設計案例參考,并簡述其基本框架,使學生明了設計方案從結構上應包含哪些模塊。我們按學號順序分組,每4人一組,按學號順序分組可避免成績優秀的學生集中在幾個組而成績差的集中在另幾個組。
設計方案完成后,學生需要進行公開答辯,4位同學分別扮演不同的角色,以模擬網絡公司的形式設計一個網絡規劃競標方案,并設“總經理”、“售前工程師”、“項目經理/技術總監”和“售后工程師”4個角色,每個同學扮演一個角色在講臺上演講,并現場回答提問。學生充當上述角色時感到興奮且有壓力。他們積極性非常高,小組人員既分工又合作;既發揮各自的聰明才智,又發揮集體的力量,共同攻克難關,認認真真討論技術要點,加班加點寫設計方案。(方案初稿形成后,指導教師進行審閱,經反復修改后打印成冊,參加課程設計答辯。每個小組答辯時間在20分鐘以內,均要做好答辯PPT,4個人分別扮演不同的角色陳述各自的內容,并現場回答答辯組的提問,評委根據答辯情況給出答辯成績。課程設計的成績評定。課程設計的成績是根據出勤、實驗和規劃方案撰寫及答辯情況綜合評定的。其中出勤占30%,實驗情況占30%,網絡規劃方案的撰寫及答辯情況占40%。成績評定客觀合理,較好地反映了學生課程設計的情況。
基于校企聯合的計算機網絡工程課程
設計的特色上面是我校基于校企聯合的計算機網絡工程課程設計的一些做法,從兩屆課程設計的實施過程來看,它體現了一些特色——“二一一”特色,即“二合”、“一作”、“一演”。“二合”是指“校企聯合”和“虛實結合”,“一作”是指“小組協作”,“一演”是指“角色扮演”。校企聯合,互利多贏。我系已在多門課程中實施校企聯合式的課程設計,并取得了很好的效果。高校必須緊跟社會需求,請IT行業的公司來校指導課程設計,以達到校企雙方多贏的目的。首先,它確保了課程設計的質量,切切實實使學生的知識、能力和素質得到提升,這是我們開展校企聯合式課程設計的初衷。其次,學生足不出門就了解到IT行業的行情,了解項目開發的最新技術,從而能早一點看到自己存在的差距,明確該往哪些方面去努力。第三,高校教師有高學歷高職稱,但不一定有高技能。對于地方本科院校來說,需要一批“雙師型”(“教師”和“工程師”)師資,像網絡工程這樣的工程型專業,需要教師具有工程能力,我們通過“走出去,請進來”提高這種能力。
#p#分頁標題#e# 請企業人員協助指導課程設計也可以幫助我們的教師了解行情,改進教法,提高項目開發能力。第四,公司派人協助指導大學課程設計是一次宣傳自己公司的好機會,公司可以物色優秀學生,也可以吸引學生去公司實習實訓,帶動經濟效益。虛實結合,實驗為本。計算機網絡工程課程設計需要一個良好的實驗環境。建一個中檔次的網絡工程實驗室一般需要40~60萬元,而且臺件數受經費的限制不會太多。進行網絡工程課程設計,需要用到大量的網絡設備,建設多個網絡工程實驗室成本高。為此,我們通常采取“虛實結合”的辦法來解決,“虛”是指用仿真軟件來進行虛擬實驗,“實”就是用真實設備來進行真實實驗,兩者結合可以構建出良好的實驗環境。通過“虛”來解決臺件數不夠的問題,節約投資成本;通過“實”來解決一個真實可信的問題,使學生眼見為實。如Cisco公司的PacketTracer是一個很好仿真軟件[7]。藍狐網絡技術培訓中心也開發了一款很優秀的虛擬軟件,在課程設計時我們用這款虛擬軟件進行了專題項目實驗,效果很好,由此構成的虛實結合的網絡實驗環境為課程設計的順利開展創造了良好的條件。
篇9
隨著數字化和信息化進程的不斷加速,企業網絡規模和應用范圍日益擴大。制藥企業作為技術密集型企業,多以精深工藝、提升品質、加強管理為目的,建立了由ERP、電子商務、Web網站、OA構成的網絡系統。目前,網絡已應用于制藥企業各個事務層面,因此網絡安全尤為重要,必須建立多層次的安全體系架構,作為企業網絡系統的基礎保障。
一、安全架構設計要點
(一)多元線程。安全架構分為“預防”、“治理”、“鞏固”三個線程。“預防”是通過Windows Server Update Services更新服務,及時修補內網終端與服務器的系統漏洞。“治理”是針對不同的安全威脅進行防護。對于病毒威脅和黑客入侵,進行軟硬件聯合防御。“鞏固”是保存完整網絡日志,有科學的備份策略,對終端計算機的嚴格管理,保證終端安全。
(二)立體布局。安全架構設計要兼顧物理層、鏈路層、網絡層和應用層,形成立體化的防護布局。以安全域來劃分為主線,同一安全域共享公用的信息資源、安全基礎設施、網絡基礎設施等。
(三)系統管理。安全架構包括技術層和管理層兩方面,必須建立安全管理系統與安全技術相適應。管理系統要求嚴密的崗位分工,以及日常維護管理制度。一個合理的管理系統能夠明確網絡邊界,增強網絡的可控性,實現有計劃的訪問控制,有效阻止滲透式網絡攻擊。
二、安全架構設計方案
(一)網絡平臺方案設計
1.網絡結構設計。制藥企業的網絡設置采用拓撲結構,根據藥品的生產、銷售、組織、管理等部門分成多個子網,共同構建企業網絡平臺。在各VLAN之間布置路由,實現各VLAN間的自由互訪。但各子網間互訪需要進行網絡驗證,避免某子網的安全威脅獲得擴大性傳播。
2.域管理設計。為實現集中式管理,應在制藥企業網絡平臺布局域管理。域管理可以實現單一賬戶登錄,單節點管理,具有安全便捷的優點。企業內網絡終端設備較多,因此要進行網絡標簽設置,具體規則如下:XX――X――XX,字符分別代表了一定含義,第一段字符代表所屬網關,第二段代表部門,第三段代表姓名全拼,唯一的網絡標簽可以保證定位的速度與精度。
3.入侵檢測設計。網絡入侵檢測是通過防火墻和專用軟件(IDS)實現的。配置企業級防火墻,可以杜絕內外網間的病毒威脅,提供相對安全的網絡環境。而網康、綠盟、安全胄甲等專業入侵檢測軟件(IDS)則是對防火墻的合理補充,IDS從企業網絡中采集關鍵信息,分析總流量、上傳量、ERP等數據變化,自主判斷網絡中違反安全策略的行為。聯合應用防火墻與IDS,可以實時、動態地保護網絡平臺,擴展系統管理員的安全管理能力,形成完整的網絡安全平臺結構。
(二)防治病毒方案設計
1.分布式部署。一般而言,制藥企業規模龐大且機構復雜,由多個服務器構成子網,因此在防毒軟件的安裝方面,要采用分布部署的方法,分地域、分工段、分部門進行配置,并根據企業現有的網絡構架,設立多級病毒防治管理中心,負責各自網段的病毒查殺工作。
2.網絡邊緣防護。網絡邊緣是靠近用戶端的網絡層面,對其進行病毒防護的方法是在部署好防病毒網關后再連接外網,全面掃描網絡后安置硬件防毒墻。建議使用網神、驅逐艦、趨勢,瑞星、 MacAfee等品牌防毒墻,針對HTTP、FTP協議進行查殺病毒。再配置一套符合企業網絡應用需要的安全策略,控制多項網絡端口,填補邊緣防護缺口,建立起軟硬件相結合的安全屏障。
3.防病毒管理。防毒技術是網絡安全架構的技術保障,而技術需要管理制度作為保障才能發揮最大效用。制藥企業防毒管理制度應包括:強制實施防病毒策略,嚴肅工作紀律;定期檢查硬件防毒墻運行狀態,調整工作參數,避免過熱過勞運行;定期升級防毒軟件病毒庫,如有大規模病毒爆發需進行專項治理;加強移動存儲介質管理,不使用來源不明的存儲介質。
(三)數據備份和審計方案設計
數據備份和審計是制藥企業網絡安全架構的重要組件。數據備份的作用是記錄各類網絡信息,為查找漏洞、排除問題、安全設置提供參考。考慮到制藥企業數據備份的規模及對數據安全的要求,可利用IBM公司開發的iSCSI接口,將現有SCSI接口與以太網絡結合,實現服務器與IP網絡儲存裝置的資料交換。由于備份管理軟件對存儲性能有重要影響,應用符合一定技術標準的備份軟件,具備快速存取能力、極簡管理能力和災難恢復能力。另外,備份軟件要適應當前的網絡條件,能同時支持64位和32位WINDOWS系統、UNIX、IOS系統,能在常用系統平臺進行主動式備份。建議采用FileGee等備份軟件,實現自動備份文件,并可進行多介質服務器管理,提供集中管理備份策略。
數據備份的目的是進行數據審計,通過檢索備份數據,分析數據特征和變化趨勢,對企業內服務器和終端設備進行安全審計。終端設備審計方案是:調取網絡數據,對各種網絡應用進行識別、記錄和控制,在此基礎上判斷網絡行為正當與否,如存在安全隱患則采取緊急策略,對問題網絡端口進行控制。服務器審計方案是:在數據庫中提取記錄企業服務器運行信息,包括網絡設備、安全設備、主機、數據庫和應用系統日志,作出勘察、判斷與決策,防止誤操作和不當操作行為,預防各種潛在的違規操作行為。
三、總結
本文立足于制藥企業的網絡管理實際,擬定了三項網絡系統安全架構的設計要點,提出安全規劃,明確建設目標。網絡安全架構設計以平臺安全、防治病毒、數據備份和審計為基點,兼顧了整體性和可操作性,設計出符合線程化、立體化、系統化要求的安全架構,為制藥企業網絡安全應用和管理提供了技術支持。
參考文獻:
篇10
1 引言
計算機網絡專業是職業院校開設最多的一個專業,各學校關于網絡專業的課程設置也比較完善。學生在校期間所學的相關專業知識是非常全面的,但大部分學生由于缺乏整體網絡的設計思想,因此當他們需要設計一個組網方案時,仍感覺在學校學的知識用不上。
實際上分層網絡設計模型是現代網絡方案設計較常用的模型。該模型將網絡分成三層:接入層、分布層、核心層。接入層的主要目的是提供一種將設備連接到網絡并控制允許網絡上的哪些設備進行通信的方法。分布層先匯聚接入層交換機發送的數據,再將其傳輸到核心層,最后發送到最終目的地。核心層的功能主要是實現骨干網絡之間的優化傳輸
2 方案設計
1)需求分析
總公司與分公司接入Internet,采用NAT方式上網,同時通過VPN隧道,實現分公司訪問總公司。
不同辦公司之間數據不共享
保障網絡基本的安全性,時時監控網絡中的安全事件
分公司周一到周五9:00至于17:00上網,周六周日全天上網,用戶采用無線上網,自動獲得IP地址總公司網段10.0.0.0/16,分公司10.1.0.0/16。
2)網絡拓撲如下
3)數據規劃
4)設備功能實現
總公司局域網實施
防火墻FW-1:安全功能配置VPN使得總公司與分公司互通,實現數據的安全性和完整性。NAT配置NAT,實現內部網絡訪問互聯網,和實現將內網的WEB、FTP等資源的互聯上。
路由器R1:SW1與R1線路為主用線路,承載正常數據流,SW2與R2為備用線路,正常情況下不承載數據流。通過靈活配置VLAN10,VLAN20,VLAN30網段的回程路由,實現當SW1與R1鏈路down時,可以自動切換至R1與SW2線路
三層交換機SW-1:優化功能SW1為主用交換機,正常情況下SW1上承載VLAN10,VLAN20,VLAN30的數據轉發。只有當SW1至R1互聯線路down時,SW2由備用轉為主用交換機。劃分VLAN,配置VRRP,使得所有的VRRP組為master狀態。(VRRP的組號即為該VLAN的ID,如VLAN10的VRRP組ID為10),配置trunk線路Fa0/1與SW3Fa0/23以trunk方式互聯。配置鏈路聚合,增加線路帶寬及冗余性。配置端口鏡像,將FA0/24所有數據流鏡像到FA0/23口,配置MSTP生成樹協議。
三層交換機SW-2:SW-2為備用交換機,正常情況下SW1上承載VLAN10,VLAN20,VLAN30的數據轉發。只有當SW1至R1互聯線路down時,SW2由備用轉為主用交換機。劃分VLAN,配置VRRP,使得所有的VRRP組backup狀態。(VRRP的組號即為該VLAN的ID,如VLAN10的VRRP組ID為10),配置trunk線路Fa0/1與SW3Fa0/24以trunk方式互聯。配置鏈路聚合,配置MSTP生成樹協議。
接入層交換機SW-3:
劃分VLAN,配置相關端口,啟用端口安全功能,只允許特定主機接入。
配置MSTP生成樹協議。
入侵檢測系統IDS:
安全功能:派生策略,需要監控TCP攻擊、UDP攻擊、DOS攻擊、IP攻擊。
管理功能:管理接口地址為192.168.9.254/24,網關192.168.9.1,管理服務器地
址為192.168.9.10/24
Internet互聯網實施
R2、R3、R4三臺路由器模擬internet,三臺路由器組成OSPF多區域,互聯線路采用PPP線路chap認證,OSPF采用MD5認證。
分公司局域網實施
防火墻FW-2:安全功能放行總公司、分公司互相訪問進出VPN數據流通過。
FW-2地址轉換配置NAT,實現內部網絡10.1.10.0/24,訪問互聯網,其使用合法的公網地址為50.0.0.2/30,上網時間為周一到周五9:00至于17:00上網,周六周日全天上網
FW-2配置靜態路由實現分公司上網數據流與分公司訪問總公司數據流的分流。
路由器R5:配置簡單的路由,使網絡連通。配置DHCP為分公司動態分配地址。
入侵檢測系統:安全功能:派生策略,需要監控TCP攻擊、UDP攻擊、DOS攻擊、IP攻擊。管理功能:管理接口地址為192.168.60.9/24,網關192.168.60.1,管理服務器地址為192.168.60.10/24
路由器R4:配置OSPF路由協議,配置基于接口驗證功能,采用MD5方式。FA0/0所在網段采用路由重方式,注入OSPF中,R4鏈路安全配置PPP實現CHAP認證.
4)功能驗證
根據以上網絡方案進行實施,最后需通過實施驗證看是否達到預期的效果。做以下簡單的驗證查看效果:
①MSW-1、MSW-2配置的VRRP組主備選舉正常,當MSW-1上行端口DOWN時,可以正常切換
②各VLAN用戶可以ping通防火墻內網口IP192.168.50.2,斷開SW1上行線路斷開,或者SW1掉電,都可以正常ping通
③R2、R3、R4OSPF鄰居建立正常
④在R4上可以正常ping通12.0.0.2,R2上可以正常ping通45.0.0.4
⑤查看R4路由表,通過OSPF只學習一條缺省路由
⑥在R5上查看DHCP綁定
3 總結
本文通過一個具體的企業網的設計方案,體現了網絡設計的思想和步驟,學生們在學校學了大量的關于進行設備配置的技術知識。對于網絡方案的設計通過本文希望可以給大家以啟示。
參考文獻:
