时间:2023-11-10 11:07:44
引言:易发表网凭借丰富的文秘实践,为您精心挑选了九篇企业网络的设计与实现范例。如需获取更多原创内容,可随时联系我们的客服老师。
中图分类号:TP393文献标识码:A文章编号:16727800(2012)009013403
1企业组网中采用单一网段架构的不足之处
企业在组建局域网和信息化平台时,为节约成本往往采用了单一网段架构的组网模式。随着企业内部联网计算机的不断增多、网络应用的日趋复杂,这种架构的弊端也不断显现出来。由于防火墙、服务器、工作站等网络设备处在同一个网段(同一广播域),大量的广播包发送到局域网上容易引起广播风暴、占用很高的网络带宽,从而影响到正常业务数据流的稳定传输。一旦某计算机发生ARP攻击或者冒用了网络设备的IP地址,就会干扰到网络的正常运行,造成严重的安全隐患。为了解决上述问题,提高企业网络的安全性、稳定性和可靠性,就需要部署与实施VLAN虚拟局域网。
2VLAN虚拟局域网的主要特点
IEEE802.1Q定义了VLAN网桥和操作规范。传统的共享介质型以太网中,所有的计算机位于同一个广播域中,广播域越大对网络性能的影响也就越大。有效的解决途径就是把单一网段架构的以太网划分成逻辑上相互独立的多个子网,同一VLAN中的广播包只有同一VLAN的成员组才能收到,而不会传输到其它VLAN中去,这就很好地控制了广播风暴。在企业网络组建中,通过合理的VLAN设计规划,一方面可以限制广播域,最大限度地防止广播风暴的发生,节省网络带宽;同时还可以提高网络处理能力,并通过VLAN间路由、VLAN间互访策略,全面增强企业网络的安全性。
3企业VLAN规划中的技术要点
VLAN技术在大型局域网、大型校园网的组建中有着广泛的应用,VLAN的规划和设计是高等计算机网络的一个重点,同时也是一个技术难点,实施者必须具备较高的计算机网络知识与实践技能。企业在实施VLAN前,应该从以下几个方面重点分析和考虑:
(1)根据目前的网络拓扑、综合布线、各类网络设备、计算机数量以及分布的地理位置进行统计和调研。通常位于核心层的防火墙、服务器组等应划分到一个单独的VLAN网段,然后根据各部门的网络应用需求、联网设备数量作进一步规划。
(2)采用合适的VLAN划分技术,常见的VLAN划分方式包括:基于端口的VLAN、基于MAC地址的VLAN、基于协议的VLAN、基于IP子网的VLAN 和基于策略的VLAN等。以中小型企业为例,计算机的数量与分布的地理位置相对比较固定,优先考虑采用基于端口的静态VLAN划分方式。将交换机中的任意端口定义为一个VLAN端口组成员,从而形成一个VLAN网段,将指定端口加入到指定VLAN中之后,该端口就可以转发指定VLAN的数据包。
(3)各个VLAN之间的路由与ACL访问策略的配置。通常服务器所属的VLAN可以与其它VLAN相互访问,各个VLAN的内部计算机可以互访,其它VLAN之间计算机的互访权限视具体情况在三层交换机加以启用或禁用。
(4)防火墙到各个VLAN之间的路由规划。防火墙是整个企业网的Internet总出口,直接决定哪些VLAN组、哪些计算机成员可以访问Internet。
(5)必要的经费投入,购买合适的网络设备。一般选择三层智能VLAN以太网交换机,根据设计方案,通过命令参数进行配置。由于不同品牌、不同型号的交换机VLAN配置参数与语法命令不尽相同,因此需要VLAN实施者精通常用交换机的配置与应用。
4某企业VLAN规划和实施的具体步骤与案例分析
随着经营业务的不断扩展、联网设备的不断增多,为提高局域网安全性和处理能力,笔者参与了某商品流通企业的局域网VLAN实施项目。从企业网络应用的规模和现状分析,设计划分为5个VLAN, 其中VLAN16为服务器核心网段,可以与其它全部VLAN(17~20)互访。VLAN(17~20)只能访问16网段,相互之间不能互访,但每个VLAN内部计算机可以互访。防火墙型号为H3C SecPath F100S,LAN口管理IP为192.168.16.1,可以路由到全部5个VLAN,并能控制任意网段的计算机访问外网与IP流量。
接入层访问端口,按表1方案,连接网络设备、各职能部门的工作站计算机、网络共享打印机、无线接入点AP等
在实施VLAN前,首先要对企业现有的综合布线作全面的梳理,每根网线连接哪台电脑、交换机的端口标识要明确、清晰。在核心交换机端口充裕的情况下,做到计算机与核心交换机端口直接相连,尽量不要采用SOHO交换机进行多层次的网络转接。根据VLAN设计方案,对网络设备、部门计算机的网络参数进行重新分配和配置,把每台计算机的网线连接到交换机对应的VLAN端口。
该项目中,采用了H3C公司的48口全千兆三层以太网交换机S550048PSI。S550048PSI千兆以太网交换机定位于企业网和城域网的汇聚或接入,具备丰富的业务特性,提供了高性能、大容量的交换服务,并支持10GE 的上行接口,为接入设备提供了更高的带宽。同时还可以用于数据中心服务器群的连接,为用户提供了高接入带宽和高端口密度。S550048PSI支持4K个基于端口的VLAN,在全双工模式下交换容量为240Gbps,整机包转发率为72Mpps,可以满足企业目前应用需求。
S550048PSI交换机的配置是整个VLAN实施中的技术重点和难点,其配置要点说明如下:
(1)创建ACL访问策略。根据设计方案,VLAN16可以与VLAN(17~20)直接互访,无须设置拒绝访问规则。VLAN17不能与VLAN(18~20)互访,VLAN18不能与VLAN(17、19、20)互访,VLAN19不能与VLAN(17、18、20)互访,VLAN20不能与VLAN(17~19)互访。因此,必须单独设置规则号和拒绝访问控制列表。
5VLAN实施后产生问题如何解决
由于实施VLAN后除了VLAN16其它各网段之间不能直接互访,因此也带来了一些网络应用上的问题。比如不同VLAN之间不能直接共享打印机和共享文件夹,需要重新设置共享。解决方案是在同一VLAN的内部计算机上设置共享打印机或者文件夹,或者在VLAN16网段上设置共享打印机或者文件夹,以便给全公司的联网计算机访问。
6结语
通过实施VLAN前后的网络协议分析,在企业网络应用高峰期利用OmniPeek协议分析软件在各个VLAN网段中实时抓包采样,发现各个网段的广播包数量明显减少,网络利用率有了明显提高,实施后从未发生过广播风暴现象。特别是核心层网络设备从普通交换机升级到全千兆VLAN交换机后,业务软件的输入、统计、查询,以及浏览网页的速度均有较大的提高,网络性能有了很大改善。
上述企业VLAN的设计思路、实施步骤和配置参数具有很高的参考与应用价值。规模更大、更复杂的企业网拥有更多的计算机,因此,需在此基础上划分更多的VLAN、设计更加复杂的ACL访问控制策略。通过VLAN的实施,不仅提高了网络安全性和利用率,并且对于今后企业网络的扩展和升级都带来了很大的便利。
参考文献:
[1]崔北亮.CCNA认证指南(640-802)[M].北京:电子工业出版社,2009.
[2]王达.CISCO/H3C交换机配置与管理完全手册[M].北京:中国水利水电出版社,2009.
[3]Marina Smith.虚拟局域网[M].北京:清华大学出版社,2003.
关键词:企业网络安全;内网安全;安全防护管理
中图分类号:TP311 文献标识码:A 文章编号:1674-7712 (2013) 04-0069-01
一、企业网络安全防护信息管理系统的构建意义
据调查统计显示,源于企业外部网络入侵和攻击仅占企业网络安全问题的5%左右,网络安全问题大部分发生在企业内部网络,内部网络也是网络安全防护的关键部分。因此,对企业内部网络信息资源的有效保护极为重要。传统的网络安全防护系统多数都是防止外部网络对内部网络进行入侵和攻击,这种方式只是将企业内部网络当作一个局域网进行安全防护,认为只要能够有效控制进入内部网络的入口,就可以保证整个网络系统的安全,但是,这种网络安全防护方案不能够很好地解决企业内部网络发生的恶意攻击行为,只有不断加强对企业内部网络的安全控制,规范每个用户的行为操作,并对网络操作行为进行实时监控,才能够真正解决企业内部网络信息资源安全防护问题。
二、企业网络安全防护信息管理系统总体设计
(一)内网安全防护模型设计。根据企业内部网络安全防护的实际需求,本文提出企业网络安全防护信息管理系统的安全防护模型,能够对企业内部网络的存在的安全隐患问题进行全面防护。
由图1可知,企业网络安全防护信息管理系统的安全防护模型从五个方面对企业内部网络的信息资源进行全方位、立体式防护,组成了多层次、多结构的企业内部网络安全防护体系,对企业内部网络终端数据信息的窃取、攻击等行为进行安全防范,从而保障了企业内部网络信息资源的整体安全。
(二)系统功能设计。企业网络安全防护信息管理系统功能主要包括六个方面:一是主机登陆控制,主要负责对登录到系统的用户身份进行验证,确认用户是否拥有合法身份;二是网络访问控制,负责对企业内部网络所有用户的网络操作行为进行实时监控和监管,组织内网核心信息资源泄露;三是磁盘安全认证,负责对企业内部网络的计算机终端接入情况进行合法验证;四是磁盘读写控制,负责对企业内部网络计算机终端传输等数据信息流向进行控制;五是系统自防护,负责保障安全防护系统不会随意被用户卸载删除;六是安全审计,负责对企业内部网络用户的操作行为和过程进行实时审计。
(三)系统部署设计。本文提出的企业网络安全防护信息管理系统设计方案采用基于C/S模式的三层体系架构,由安全防护、安全防护管理控制台、安全防护服务器三部分共同构成,实时对企业内部网络进行安全防护,保障内部网络信息资源不会泄露。安全防护将企业内部网络计算机终端状态、动作信息等传递给安全防护服务器,安全防护管理控制台发出指令,由安全防护服务器将指令传送给安全防护完成执行。
三、企业网络安全防护信息管理系统详细设计
(一)安全管理控制台设计。安全管理控制台是为企业网络安全防护信息管理系统的管理员提供服务的平台,能够提供一个界面友好、操作方便的人机交互界面。还可以将安全策略管理、安全日志查询等操作转换为执行命令,再传递给安全防护服务器,通过启动安全防护对企业内部网络计算机终端进行有效控制,制定完善的安全管理策略,完成对系统的日常安全管理工作。
安全管理人员登录管理控制台时,系统首先提示用户输入账号和密码,并将合法的USB Key数字认证设备插入主机,经过合法性验证之后,管理员获得对防护主机的控制权。为了对登录系统用户的操作严格控制,本系统采用用户名和密码登录方式,结合USB Key数字认证方式,有效提高了系统安全登录认证强度。用户采取分级授权管理的方式,系统管理人员的日常维护过程可以自动生成日志记录,由系统审计管理人员进行合法审计。
(二)安全防护服务器设计。安全防护服务器主要负责企业网络安全防护信息管理系统数据信息都交互传递,作为一个信息中转中心,安全防护服务器还承担命令传递、数据处理等功能,其日常运行的稳定性和高效性直接影响到整个系统的运行情况。因此,安全防护服务器的设计不但要实现基本功能,还应该注重提高系统的可用性。
安全防护服务器的主要功能包括:负责将安全管理控制台发出的安全控制信息、安全策略信息和安全信息查询指令传送给安全防护;将安全防护上传到系统中的审计日志进行实时存储,及时响应安全管理控制台的相关命令;将安全防护下达的报警命令存储转发;实时监测安全管理控制台的状态,对其操作行为进行维护。
(三)安全防护设计。安全防护的主要功能包括:当安全防护建立新的网络连接时,需要与安全防护服务器进行双向安全认证。负责接收安全防护服务器发出的安全控制策略命令,包括用户身份信息管理、磁盘信息管理和安全管理策略的修改等。当系统文件已经超过设定的文件长度,或者超过了设定的时间间隔,则由安全防护向安全防护服务器发送违规操作信息;当其与安全防护服务器无法成功建立连接时,将日志信息存储在系统数据库中,等待与网络成功重新建立连接时,再将信息传送到安全防护服务器中。
综上所述,本文对企业内部网络信息安全问题进行了深入研究,构建了企业内部网络安全防护模型,提出了企业网络安全防护信息管理系统设计方案,从多方面、多层次对企业内部网络信息资源的安全进行全面防护,有效解决了企业内部网络日常运行中容易出现的内部信息泄露、内部人员攻击等问题。
参考文献:
关键词:snort;IPTables;Sebek;入侵检测技术;蜜罐系统;信息安全
中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)26-6392-02
作为一种新型的信息安全技术,蜜罐技术不再因循传统信息安全的被动防御体系,它一方面能够作为独立的信息安全工具,另一方面也能够与其它信息安全工具协作。蜜罐技术通过构造网络诱骗环境,来研究网络入侵者的具体技术与行为。传统的网络安全系统往往拘泥于一种体系,该文的创新之处在于研究如何使其它安全技术与蜜罐技术相结合,从而实现一个高交互度级别的蜜罐系统,进而构成统一的网络安全基础设施。
1 网络安全蜜罐系统的理论设计与实现
1.1 系统总体设计
该文所设计的蜜罐系统由三部分构成:网关、监控机和虚拟蜜罐,如图1所示。
网关(HoneyWall)是以桥接模式部署的,网关接口以桥接方式连接,不会提供本身的 MAC 地址,对网络数据包也不会进行网络路由 和TTL递减,网关将控制和审计所有流入流出蜜罐系统的网络流量。
该文所设计的蜜罐系统引入多层次的数据捕获机制,分别是:
1) 防火墙。截获所有IP包,从其传输层协议头 以及IP头中获取相关信息,与事先设定的访问控制规则按顺序依次匹配,并执行其规定的动作。
2) 入侵检测系统。基于Snort的入侵检测系统监听流入流出蜜罐系统的全部网络流量,根据配置,对与Snort攻击特征相匹配的数据包产生报警日志,避免攻击。
3) 系统行为监视器。使用了Sebek来捕获攻击者基于加密信道的攻击行为。在蜜罐主机上以内核模块的方式安装Sebek客户端,在网关上安装Sebek服务端,存储来自多个蜜罐主机发来的Sebek数据。
蜜罐系统在网关上运行IPTables防火墙、Sebek服务端以及网络入侵检测系统Snort。引入VMware虚拟机软件虚拟出分别运行Windows XP和Linux操作系统的两个蜜罐主机,系统结构图如图2所示。
1.2 核心模块的理论分析与设计
1.2.1 数据控制模块
该文引入Linux 开放源代码的自带的防火墙IPTables实现数据控制,系统侦测到数据包的进入时,会通过路由表查询,来决定数据包的流向。接下来,将信息包所传递到的链中的每条规则与数据包的头信息进行比较,看与某条规则是否完全匹配。该文所设计的网络安全蜜罐系统信息包过滤过程如图3所示。
在信息安全主系统上IPTables发挥了两个作用,首先是记录流经主系统的数据流量,其次是限制由蜜罐网络发出的对外连接。引入IPTables的作用就是在数据捕获的同时实现第三方保护,有效的降低整个系统的风险,控制蜜罐的对外连接。
IPTables蜜罐系统中对数据包进行处理时,为减少日志中的冗余信息,对入站连接而言,仅仅对新建的连接进行记录,并默认所有的对内连接均为允许。相反,严格控制出站连接,只要原地址并非蜜罐地址,便记录并丢弃,从而避免由蜜罐发起的IP欺骗攻击;IPTables允许蜜罐系统发送和接收广播包,并使用基于广播的一些服务,从而诱骗黑客相信这是正常的一台服务器;此外,IPTables蜜罐系统对出站的连接数进行限制,从而避免黑客发动DoS攻击,同时也支持对第三方的保护。
1.2.2 入侵检测模块
本系统由Snort来实现轻量级的网络入侵检测。它能够对攻击进行实时报警,检测各种不同的攻击方式。
Snort 在本系统中的主要功能,首先是采集和分析在网关对进出蜜罐系统的数据,实现攻击的检测;其次是控制蜜罐系统的数据,根据策略对数据包进行规则匹配,以判定是否有第三方发起攻击,进行丢弃或修改。
本系统在设计中,将 snort sensor 网卡设置为混杂模式,对进入局域网的数据,引入libpcap抓包函数库的API进行截获和监控,同时通过相应的解包函数逐层按协议栈解码截获的数据包。在此基础上形成可被分析系统识别的数据包。根据 Snort 配置文件进行匹配,并记录匹配结果。图4所示为该文所设计的Snort的结构。
在入侵检测模块中,Snort的规则分析是实现的重点。Snort的规则逻辑由两部分构成,分别是:Rule Option(规则选项)和Rule Header(规则头)。在规则头中,包括所匹配网络报文的协议、规则的行为、目标地址、源地址和源端口和目标端口、网络掩码等信息;在规则选项中,则包含了判定报文是否为攻击报文的信息以及显示给用户查看的警告信息。
1.2.3 数据捕获模块
Sebek 是基于内核的捕获数据的工具,支持系统查看蜜罐的内部活动。
1)基于Sebek的数据记录。
Sebek有两个客户端和服务端组成部分,客户端捕获数据并输出到服务端,服务端收集数据后,既可以马上显示击键记录,也可以上传到相关数据库。该文所涉及的网络安全蜜罐系统数据捕获是通过对系统调用表的read()函数进行替换来进行的。如图5所示。
主要流程为:调用老 read()函数替换新函数,同时在一个数据包缓存拷贝内容,再加上一个数据包头,发送到服务端。通过改变系统调用表的函数指针来实现替换原来的函数。当标准的read()函数被用户空间的进程调用时,便会出发一个系统调用,这个系统调用通过到系统调用表数组映射,导致索引偏移。由于read索引的函数指针被Sebek修改,并指向到它自己的函数,因此Sebek修改后的read调用会在执行到内核的 read 实现时被触发,通过这个系统调用,Sebek便能够访问所有的数据。
2)基于Sebek的数据发送
当数据被Sebek客户端捕获的时候,数据应该在没有被入侵者察觉时就发送到服务端。通常在一个局域网内布置蜜罐,如果给服务端发送数据 只是由Sebek使用 UDP 流来完成,就会使入侵者通过网络上的数据传输监听来判别Sebek是否存在。因此,本设计在使用UDP发送数据给服务端的提示,通过修改内核,使这些数据包无法被用户看到,包括该类型使用相同配置的其它主机发送的数据包。具体的实现为:在任意一个read()调用请求 Sebek的时候,均能够产生日志数据包,每个日志数据包都体现出这个调用访问的数据和调用内容的信息。这些数据包均含有 Sebek 记录,这个Sebek记录包含产生调用的进程数据信息。由于完全由Sebek(而不是使用 TCP/IP 协议栈)产生这些包,因此这些数据包无法被系统看到或阻断。创建好数据包就直接发至驱动设备,而嗅探器的libpcap收集数据包是依赖使用原始套接字接口的,所以由Sebek产生的数据包嗅探器就无法看到了,从而实现了数据发送。
2 结束语
该文在snort入侵检测技术的基础上,研究和设计了一个具有高交互度级别特征的蜜罐信息安全系统,其中,重点阐述了基于蜜罐的数据捕获和数据控制功能的多层次设计上。在分析蜜罐系统的体系结构的基础上,深入研究了对蜜罐系统中使用到的 Snort体系和规则,具有比较好的理论意义和实践价值。
参考文献:
[1] 魏亮,周吉阳. 互联网网络与信息的安全策略[J].通信管理与技术,2011(6):15-18.
[2] 谭红斌,郑鑫. 网络安全防御系统的安全策略及系统框架研究[J].电脑开发与应用,2009,21(11):67-77.
[3] 代平顺,王洪超.互联网网络安全探讨[J].科技信息,2009(17):387-388.
关键词 网络安全;方案设计;方案实现
中图分类号 G271 文献标识码 A 文章编号 1673-9671-(2012)111-0142-01
计算机网络的安全运行,是关系到一个企业发展的重要问题,如何能使得企业网络更为安全,如今已经成为了一个热议的话题。影响网络安全的因素有很多种,保护网络安全的手段、技术也很多。对于网络安全的保护我们一般都是通过防火墙、加密系统、防病毒系统、身份认证等等方面来保护网络的安全。为了保护网络系统的安全,我们必须要结合网络的具体需求,把多种安全措施进行总结,建立一个立体的、全面的、多层次网络安全防御系统。
1 影响网络安全的因素
网络信息的安全问题日益严重,这不仅会使企业遭受到巨大的经济损失,也影响到国家的安全。
如何避免网络安全问题的产生,我们必须要清楚因法网络安全问题的因素有哪些。我们主要把网络安全问题归纳为以下几个方面:
1.1 人为失误
人为失去指的是在在无意识的情况下造成的失误,进而引发网络安全问题。如“非法操作、口令的丢失、资源访问时控制不合理、管理人员疏忽大意等,这些都会对企业网络系统造成很大的破坏,引发网络安全问题。
1.2 病毒感染
病毒一直以来,都是能够对计算机安全够成直接威胁的因素,而网络更能够为病毒提供迅速快捷的传播途径,病毒很容易通过服务器以软件的方式下载、邮件等方式进入网络,然后对计算机网络进行攻击、破坏,进而会造成很大的经济损失。
1.3 来自企业网络外部的攻击
企业网络外部的攻击主要是企业局域网外部的恶意攻击,比如:伪装合法用户进入企业网络,并占用修改资源;有选择的来破坏企业网络信息的完整性和有效性;修改企业网站数据、破译企业机密、窃取企业情报、破坏企业网络软件;利用中间网线来读取或者拦截企业绝密信息等。
1.4 来自网络内部的攻击
在企业局域网内部,一些非法人员冒用合法的口令,登陆企业计算机网络,产看企业机密信息,修改企业信息内容,破坏企业网络系统的正常运行。
1.5 企业网络系统漏洞
企业的网络系统不可能是毫无破绽的,而企业网络中的漏洞,总是设计者预先留下的,为网络黑客和工业间谍提供最薄弱的攻击部位。
2 企业计算机网络安全方案的设计与实现
影响计算机网络完全因素很多,而相应的保护手段也很多。
2.1 动态口令身份认证的设计与实现
动态口令身份认证具有动态性、不可逆性、一次性、随机性等特点,跟传统静态口令相比,增加了计算机网络的安全性。传统的静态口令进行身份验证的时候,很容易导致企业计算机网络数据遭到窃取、攻击、认证信息的截取等诸多问题。而动态口令的使用不仅保留了静态口令的优点,又采用了先进的身份认证以及解密流程,而每一个动态口令只能使用一次,并且对认证的结果进行记录,防止同一个口令多次登录。
2.2 企业日志管理与备份的设计与实现
企业要想保证计算机网络的安全,对于计算机网络进行日志管理和备份是不可缺少的内容,日志管理和备份数据系统是计算机运行的基础。计算机在运行过程中难保不会出现故障,而计算机中的数据和资料的一个企业的血液,如果数据和资料丢失,会给企业今后的发展带来巨大的不便,为了避免数据资料的丢失,我们就应当对计算机网络做好数据备份以及数据归档的保护措施。这些都是维护企业网络安全的最基本的措施与工作。
2.3 病毒防护设计与实现
计算机病毒每年都在呈上涨的趋势,我国每年遭受计算机入侵的网络,占到了相当高的比例。计算机病毒会使计算机运行缓慢,对计算机网络进行有目的的破坏行为。目前Internet在飞速的发展,让病毒在网上出现之后,会很快的通过网络进行传播。对于企业计算机网络,应当时刻进行监控以及判断系统中是否有病毒的存在,要加大对于病毒的检测。处理、免疫及对抗的能力。而企业使用防病毒系统,可以有效的防止病毒入侵带来的损失。为了使企业的网络更加安全,要建立起一个完善的防病毒系统,制定相应的措施和病毒入侵时的紧急应急措施,同时也要加大工作人员的安全意识。
病毒会随着时间的推移变的随时都有可能出现,所以企业中计算机网络安全人员,要随时加强对于防毒系统的升级、更新、漏洞修复,找出多种不同的防毒方法,提高企业计算机网络防病毒的能力。
2.4 防火墙技术设计与实现
Internet使用过程中,要通过内网。外网的连接来实现访问,这些就给网络黑客们提供了良好的空间与环境。目前,企业计算机网络系统,采用防火墙技术,能有效的保证企业的机密不会受到网络黑客以及工业间谍的入侵,这种方法也是维护企业计算机网络最有效、最经济的方法,因为防火墙系统是企业计算机网络安全的最前面屏障,能有效的组织入侵情况的发生。所以企业计算机网络第一个安全措施就是安装以及应用防火墙。防火墙一般是安装在内部网络出口处,在内网与外网之间。
防火墙最大的特点是所有的信息传递都要经过它,这样就能有效的避免企业网络遭到非法入侵,防火本身的具有很高的可靠性,它可以加强对企业网络的监督,防止外部入侵和黑客攻击造成的信息泄露,
2.5 网络安全设计的实现
在企业网络运行中,与用户和各个系统之间,存在着信息交换的过程,这些信息包括信息代码、电子文稿、文档等,所以总会有各种网络安全的问题出现。为了保障网络的安全性和客户使用的合法性,就要去严格的限制登录者的操作权限,增加口令的复杂程度。当工作人员离职要对于网络口令认证做出相应的调整,以避免带来的不便。
3 总结
现今网络在现代生活中发展迅速,然而网络安全的系统也日益突出。作为一个企业如何的保证自己网络的安全性,使自身能够更快更好的发展,面对着网络入侵的行为要进行如何的防御,已经是一个越来越迫切的问题。我们只有从实际出发,去构建一个完整的安全的网络防御系统,才能保证企业网络的安全。
参考文献
[1]唐红亮.防火墙设计浅析[J].中国科技信息,2009,06.
关键词:思科设备;企业网;安全方案
中图分类号:TP393.08 文献标识码:A 文章编号:1006-8937(2013)14-0083-01
随着企业网络不断的扩展和互联网技术的不断更新,各大中企业越来越多的通过网络来发展业务。由于大中企业的发展规模不断扩大,员工人数的不断增加,并且扩展了越来越多的分公司。现有的企业网络系统逐渐不能满足企业信息化建设在安全性和可靠性等方面的要求。因此,对大中型企业网络进行改善,以提高网络的可用性、安全性、可靠性、稳定性,并具有一定的可扩展性要求,用来满足企业业务发展的需求是十分必要的。通过按照企业网络的建设规划和总体要求,主要通过利用原有综合布线系统和设备的基础上,重新规划实施,建设安全性高的企业内联网,以满足网络整体性能的要求,并为各种网络服务和信息系统的使用提供运行良好的网络平台。
1 企业网安全建设需求分析
按照目前大中企业网络建设规划和总体要求,将对企业网络设备进行相关的配置和实施,使企业网络满足设计的要求,实现高效的企业网络的办公网络系统。将网络按照层次的要求满足发展中公司信息化的要求,并具有一定的可扩展性。同时,满足企业分公司和总公司的信息传输和资源共享的要求及员工增长的要求。主要进行如下需求分析。
①网络部分的总体设计需求。企业网络大都是通过路由器设备连接成一个统一的企业内联网,满足公司对网络统一管理的要求。本方案计划使用OSPF开放最短路径优先协议和BGP协议分别作为内部和外部路由协议。选用OSPF的好处在于OSPF作为链路状态协议已成为业界标准,并且具有行业内的各大厂商的支持基础,该协议的优点还具有路由信息传输的可控性,还能充分保证链路的负载均衡。在总体需求中,企业网络在结构上主要按网络层次进行分层设计,主要分为三层,分别为核心层,汇聚层和接入层,接入层交换机全部冗余上行链路,分别上联到汇聚层交换机,这个既保证了企业网络的安全性和可靠性,同时又实现了企业虚拟局域网的统一配置管理和企业网络环路避免。
②系统部分的总体设计需求。通过对企业网络的服务器及客户机进行安全方面的设计,以提高网络的安全性,而且公司的服务器等可以在总公司实现,分公司只使用总公司提供的应用服务,不需要自己建设。
③安全部分的总体设计需求。根据企业网的运行规律和安全现状,在企业网络中应用热备份路由协议对交换及路由设备进行备份。即保证了企业网的信息处理和传输系统安全,它侧重于保证企业网络系统正常运行,有效避免了企业网络系统的崩溃对企业信息的处理和资源共享造成大的故障。同时在企业网络的系统信息安全方面还通过域环境管理企业的资源访问,通过设置用户安全问题跟踪,计算机病毒防治,数据加密等避免有害的信息传播后造成的后果。同时为了避免企业网络上大量的机密信息失控,设计时,需要在企业网络的出口处设计防火墙技术,从而使出入企业网络的数据流量都必须经过防火墙的过滤,通过利用防火墙技术对企业网络数据包进行安全过滤,并实现安全访问控制。
④整体规划指导思想。企业网络建设将采用思科公司的网络设备和先进的计算机及软件,以及先进的管理模式,实现一个高效的企业网络的办公网络体系。企业网络的各类服务器以及各种操作系统和应用软件必须考虑技术上的先进性和通用性,并且要有良好的售后技术,而且需要方便维护和升级。
⑤方案实施主要依据原则。方案设计实施依照国家及行业有关标准完成。企业网络安全设计应满足企业未来发展的要求,具有充分的可扩展的能力,随着公司规模的扩大,本设计方案仍然能够满足公司运营的需求或变更和升级。而且项目设计应遵循实用的原则,并且提供良好的培训及售后服务。
2 安全方案设计
按照企业网络的总体建设规划和总体要求,现在将对企业网络新购的和原有的思科公司的设备进行相关的配置和实施,使公司网络满足设计的要求,实现高效的办公网络体系。将网络复杂化进行分层化的处理,满足大中企业发展的信息化的要求,并具有一定的可扩展性,同时满足企业分公司和总公司的规模增长的要求。
企业网络安全方案设计阶段主要分为以下几个部分,分别是交换机部分的设计,路由器部分设计,服务器部分设计,广域网部分设计和网络安全性部分设计。
①交换部分的设计。当企业网络的规模扩大,交换机数量增多时,可以减少管理员的工作量,在维护整个企业网络上VLAN的添加,删除和重命名工作时,还可以确保配置的一致性。从而降低了为止的复杂度,大大减轻了网络管理人员的工作负担,同时提高了安全性。
②MSTP多生成树的设计。企业网络的拥塞问题也会造成网络的效率大大的降低,通过多生成树协议可以避免网络广播的形成,多生成树协议的原理是把网络拓扑的环形结构变成树型结构,最主要的应用是为了避免企业网络中的网络环路,解决以太网网络的广播风暴问题,主要配置命令如下所示:
SW3-1(config)#spanning-tree vlan 10 root priority
③以太网通道的设计。以太网通道通过捆绑多条以太链路来提高链路带宽,并运行一种机制,将多个以太网端口捆绑成一条逻辑链路,主要配置命令如下:
channel-group 1 mode on
④热备份路由协议设计。企业网络的多台汇聚层交换机或路由器上启用热备份路由协议HSRP,其设计目标是支持特定情况下,当某一设备出现故障时,企业网络数据流量可以从故障设备切换到正常的设备上,并允许设备作为企业网络的网关,可以实现当实际第一条路由尝试失败的状态下,仍能保持整个企业网络的连通,主要命令如下:
SW3-1(config-if)#standby 10 IP IP-address
SW3-1(config-if)#standby 10 priority 120
⑤VPN专线技术设计。虚拟专用网在有总部和分公司的企业是十分有效的安全解决方案,VPN主要是通过一个公用网络建立一个安全隧道连接,它能够实现在公用网络中产生一条安全、稳定的隧道。虚拟专用网是对企业内部网的扩展,通过虚拟专用网可以实现在企业外部的用户、分支机构、商业伙伴及供应商安全有效的与公司内部网建立可靠的安全访问连接,同时保证了数据的安全传输。
⑥网络防火墙安全性设计。防火墙位于企业网络的总公司与外网之间。企业的所有计算机流入流出的所有网络通信均要经过此防火墙。防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。一个防火墙作为阻塞点、控制点能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,网络环境变得更安全。所以,在企业网络方案中选择的防火墙是CISCOASA5520-BUN-K9,能更保证我们组建的网络更安全更可靠。
3 结 语
通过设计网络安全方案可以实现大中型企业网络的高效、安全和可靠性的正常运转,在基于思科公司的网络设备的基础上,利用各种交换技术和路由技术等构建适合大中型企业网络的安全解决方案设计,为企业网络的安全高效的运行提供良好的条件,当然随着网络技术的不断更新,还需要不断进行企业网络安全方面的设计。
参考文献:
关键词:企业网络;网络结构;技术创新;战略选择
中图分类号:F000文献标识码:A 文章编号:1005―2674(2013)11―056―06
在全球经济一体化的背景下,企业间分工更加细致,供应链发展更加成熟,企业间的竞争已经由单一企业的竞争发展到企业网络的竞争,由以量取胜变为质、量并重。新时期,企业更多地依赖企业网络来传递知识、信息和资源,从而促进技术创新和提高技术创新绩效,使企业获得长远发展的动力和机制。企业网络成为现代企业进行技术创新、有效获得外部资源的有效途径。因此,有必要结合新时期企业网络的特点,对企业技术创新的战略选择进行科学而有效的分析。
一、文献综述
在传统的经济学研究中,学者们往往将企业假设为单独行动的个体,忽略企业之间以及企业与机构、组织之间的关系对企业经济活动的影响。随着新制度经济学、分工理论和交易成本理论的提出和发展,学者们意识到原有的假设是不成立的,企业不是孤立的,而是存在于网络之中的。近年来,网络理论的发展使网络逐渐成为企业战略研究中的重要因素,企业网络在企业获取外部资源等方面的影响也越来越大。目前,理论界对企业网络的内涵尚未形成统一的意见,学者们从不同的角度对企业网络进行了诠释:基于企业间关系的视角,Dussauge、Garrete和Mitechell认为企业组织是两个及两个以上的企业进行资源、技术整合以完成项目或者开拓市场的合作关系,强调其动态性;…Yashino和Rangan从分析企业网络特性出发,认为企业网络中各企业具有相对独立性、收益共享性和战略领域持续性的特点;INKPEN通过举例认为,企业网络包括供应链、合作研发、战略联盟、特许经营、合资企业等。本文将企业网络定义为,企业基于信息技术和自身战略发展的需要,为形成竞争优势并实现网络战略目标,以及获得竞争所需资源并充分发挥其作用,而形成的企业网络成员间的竞争合作关系。根据复杂网络理论,企业网络是由企业作为节点,关系作为边构成,是具有小世界特性的无标度网络,可从位置、关系、结构三个维度进行特征分析。前两项可通过Burr的“关系一位置”模型进行分析,企业网络结构则通过其范围、规模、密度等方面影响企业网络联接模式,进而影响企业网络的稳定性。
企业网络由于其异质性和动态性,不仅在知识、信息等方面为技术创新提供了条件,而且对技术创新具有促进作用。本文将技术创新定义为,企业为建立效能更强、效率更高和费用更低的生产经营系统,而产生的新产品、新工艺和新技术的首次商业化应用。对于企业网络与技术创新的关系,Grandori和soda从资源、技术供给角度论证了企业网络的优势,间接证明了企业网络对技术创新的支持作用;高建根据对企业创新活动的调查,将技术创新因素归结为外部因素和内部因素;除此之外,大多数学者都是从技术创新因素与企业网络优势的角度,指出企业网络内合作对技术创新具有一定的支持作用,而对于作用机制,则大多将知识学习作为中介,认为企业是通过网络间知识的转移、溢出等方式促进知识扩散和共享,从而实现技术创新。这些研究显然是不充分的,仅从溢出效应角度来研究企业网络对技术创新的作用是不够的,由于网络是一种知识、信息、资源流动的渠道,因此,必须将企业网络作为研究的主体,探索其对技术创新的直接作用。对于企业网络的技术创新实现过程,许庆瑞等强调供应链(供应商,消费者)对于技术创新实现的作用;陈学光等学者则认为应注重企业网络能力对于技术创新及其绩效的影响。这些成果虽然从企业网络的某一构成部分(如供应链)和能力对技术创新实现的影响进行了研究,但未能从整体上论证企业网络对技术创新的作用。
综上研究,无论是将企业网络作为资源获取渠道,还是从企业网络的某一构成部分和能力角度,来研究企业网络对技术创新的作用,都未能深入到企业网络的本质。而且随着经济环境的变化,企业网络变得更加复杂,技术创新战略的选择对企业的发展将发挥更重要的作用。本文通过对新时期企业网络特点的分析,阐明企业网络与技术创新战略选择的关系,并以奇瑞汽车公司为例进行说明。
二、新时期的企业网络
在我国加入世界贸易组织之前,企业网络这种组织形式还不被学者和企业所重视,其多以供应链、合作、合资、战略联盟等形式作为研究对象。由于开放程度不高,吸引资金的能力和技术水平不强,因此,企业网络成员的构成多局限于国内,与外部的互动交流较少,网络间的溢出效应不明显。相比新时期的企业网络,一方面,原企业网络节点数较少,关系较为简单。其中,供应链(如图1)作为较为常见的一种企业网络形式,受到学者们的广泛关注。供应链组织形式虽然能将企业与上下游企业联结起来,并联动发展;根据消费者的需求反馈和自身的发展战略,进行自主创新或向供应商提出需求,但这种形式的反馈机制单一,未将其他科研机构、企业间的联系纳入其中。另一方面,原有的企业网络尚未形成复杂网络,应对环境变化的能力较弱,网络中节点成员较少,知识、信息、资源有限,网络间传递的效率较低。
随着我国经济发展速度的加快,原有的企业经营发展模式已经不再使用,经济全球化对我国企业的生产发展产生了巨大的影响。企业越来越注重对国外领先企业技术、组织、管理等方面的学习,通过代工、合资、合作等方式,加入到全球供应链中。2007年爆发的经济危机,造成世界经济发展低迷,企业生存发展举步维艰。面对恶劣的经济环境,我国企业需建立起应对风险能力更强的企业网络,获取更多的知识、信息、资源,通过实施技术创新战略,提高经济效益,增强风险防范能力。新时期的企业网络不再局限于简单的供应链、战略联盟、合作等关系,更多扩展了多种形式联盟、竞争、合作的关系,如产学研联盟等。这些关系原先已经存在,可能不明显或者未整合在企业网络中,未形成复杂网络。随着网络的发展,其间的关系联结程度更加密切、网络范围更广,具有复杂网络的特性。对此,本文认为新时期的企业网络模式应如图2所示。
图2新时期的企业网络
其中,垂直方向表示企业的供应链,水平方向是行业竞争,对角线方向是外部支持,由不同行业和组织构成。企业网络内各个节点相互作用,通过关系传递知识、信息、资源等。根据企业的不同情况,图中连线关系不一定全部存在,但从宏观角度分析,这些连线关系存在且作用于企业网络。
根据新时期企业网络模式,本文认为新时期企业网络结构具有如下特征:
1.复杂开放性。企业网络中的成员不设限定,各企业机构可根据与中心企业的关系自主决定是否加入该网络,具有开放性。而网络成员中的联结由其关系决定。如图2所示,每个节点均可与其他节点联结,联结方式多样,关系复杂。对于同一节点而言,其可参加的网络不唯一,在与中心企业合作的同时,可与中心企业的竞争者形成合作关系,两个网络间又呈现竞争关系。某一节点可以与任一节点直接联结或者通过其他节点联结,具有无标度的小世界特性,所以新时期企业网络具有复杂网络的特性。随着信息流、知识流、资源流在网络内传递数据量的增加,网络节点之间的联结程度更高,网络密度更大。企业网络规模随着成员的加入而扩大,因成员的异质性而扩大网络范围。
2.竞争合作关系占主导。在新时期企业网络中,垂直方向由供应商、中心企业和消费者构成供应链,以合作关系为主,企业间双向交流接触频率高,基于信任合作的情感强度大,呈现强联结状态;水平方向,中心企业与竞争对手呈现竞争关系,交互频率低,互惠性差,具有弱联结性;对角线方向,由中心企业与外部研究机构(科研机构、大学)和外部支持组织(政府、金融机构)组成,其联结不稳定,影响作用不确定。如果存在中心企业与科研机构和大学的关系,其以合作为目的,其间的联系多需通过孵化器。至于企业是否受到政府和金融机构的影响则由企业自身决定,在以往的分析中多将其作为外部环境进行分析,而在企业网络结构的研究中,将其视为影响因素、支持关系。将企业网络进行分割,各个小网络间同样是以竞争合作关系为主导。
3.动态适应性。新时期企业网络中的成员具有自主性,网络是自发形成的,由关系联结。根据外部环境的作用,企业网络可以进行相应调整,包括节点的调整、关系的调整、联结方式及强度的调整等。处于网络中的企业不再局限于自身内部的资源,可利用网络的拓扑性质进行资源挖掘。新时期企业网络具有复杂网络的特性,所以,节点与关系的更新变化影响企业网络的整体演化。随着网络节点和关系的变化,网络密度随之变化,企业所占据的结构洞位置数量不确定,获得的知识冗余度不稳定。
三、新时期企业网络与技术创新战略选择的关系
在以往的研究中,学者对企业网络的研究多集中在企业网络和技术创新的关系上,认为二者相互促进、相互制约,但对企业网络与战略选择之间的关系研究则相对较少,本文将深入探讨企业网络与技术创新战略选择之间的关系。
1.基于网络层次分析。将网络密度、网络规模、网络范围作为判断特征。网络密度是指网络中各企业、组织、机构间实际联结的数值与他们之间可能存在的最大联结数值的比值,比值越高说明网络密度越大。高密度的企业网络中,中心企业与其他企业机构组织间联结多,知识流、信息流、资源流等传递效率高,易形成共同规则和行为范式。新时期企业网络具有复杂开放性,节点成员可以自主选择参加该企业网络,随着中心企业的发展,其相关联结会增多,密度增大。当企业处于高密度企业网络时,适用合作创新战略,尤其是产学研联盟、逆向工程等技术创新战略。合作创新战略可以充分利用高密度企业网络中各节点间高联结程度和高传递效率,实现知识、信息、资源的共享,集中智力,实现技术创新。供应链方向,可根据消费者的需求(包括潜在需求),提出技术创新路线,由供应商主导与企业合作研发,通过逆向工程研发,实现合作创新战略。与政府、金融机构等合作,政府政策导向和金融创新服务为企业提学研联盟的契机;与科研机构、大学等合作,通过孵化器将科研成果进行转化,实现发明的第一次商业化;与竞争对手的关系,宜形成行业联盟、创新集聚,通过与竞争对手合作创新,促进产业升级优化,实现创新双赢。如果采取自主创新战略,则不能充分利用网络的优势,因为自主创新战略对于相关节点依赖程度低,主要依靠中心企业自身组织网络实现,即便是集成创新,也是对资源的需求相对较高,对外依赖度较低。
网络规模可通过与中心企业直接关联的企业组织机构的数量测量,网络规模的大小表示企业可获得资源的多寡;网络范围指企业与其他相关企业组织机构间关系种类的数量,范围的大小表明企业可获得资源的方式方法的多样性程度。新时期企业网络是复杂开放的网络,节点成员、联结数量的增加,使企业网络规模和范围扩大。大规模大范围网络选择自主创新和合作创新战略均可,具体情况由其他影响因素判断。大规模大范围网络意味着企业可通过多渠道获得大量知识、信息、资源,企业既可通过吸收、消化、利用这些资源来实现自主创新,又可将其合理整合,与其他节点共享,实现合作创新。无论采取哪种方式,企业均占据中心位置,掌握核心资源,可掌控创新整体进程。
基于网络层次分析可知,新时期企业网络由其复杂开放性决定企业进行合作创新战略较为适宜,可充分利用网络获取资源,进行创新活动。如果从自主知识产权的角度考虑,企业亦可实施自主创新战略,企业网络的存在对此不存在阻碍作用。
2.基于企业间层次分析,将联结强度作为判断特征。联结强度是指网络中两主体间的关系,联结强度可用交互作用、情感强度和互惠程度表示。强联结表现为两企业间高频率交互作用,彼此信任,互惠程度高;而弱联结表现为两企业间低频互动,信任度和互惠度较低。在新时期企业网络中,竞争合作关系为主导,企业不再单纯追求垄断利润,更加注重合作双赢,呈现强联结状态,适合选择合作创新战略。信任是联结强度中的重要影响因素,只有信任度高,才能实现强联结。合作创新战略需要合作企业组织机构彼此信任,资源共享,风险分担,利益分配合理。强联结通过节点间经常性的互动,培养并形成相互间资源共享、机制规范等合作环境,实现节点间联动互动,促进互利互惠,实现网络升级和技术创新。
3.基于企业层次分析,将结构洞作为判断特征。结构洞是指非冗余联系之间的分割。若供应链关系中供应商与消费者可通过中心企业相连接,其间即存在结构洞,中心企业占据了结构洞的位置,可获得非冗余资源;若供应商与消费者可直接相关联,则不存在结构洞。占据结构洞位置的企业(占据结构洞的企业不包含孵化器企业,而将孵化器视为科研成果转化平台――作者注),作为联结枢纽,可获得不能直接联系的企业间的非冗余信息资源,并通过联结互动获取优势。由于新时期外部环境的动荡,经济前景不明朗,中心企业所占据的中心性和结构洞位置及数量更加不确定,因此,应根据具体情况增强中心企业的动态适应性。不过,相比于传统的企业网络,新时期企业网络占据的结构洞数量要小,因此,对于占据结构洞位置的企业,由于处于两个节点联结的枢纽上,可通过桥接作用获取非冗余知识、信息和资源,并将其运用于技术研发,所以,这样的企业更适宜选择自主创新战略;而不占据中心性和结构洞位置的企业,则更适合选择合作创新战略。
四、新时期企业网络条件下技术创新战略的选择――以奇瑞公司为例
企业在进行具体技术创新战略选择的时候,应根据自身情况,对宏观环境、中观行业环境综合分析,判断自己所处的企业网络结构及自身所处的位置,选择适合自身发展的最优技术创新战略,实现技术进步、技术领先,完成产业结构升级优化,获取超额利润。奇瑞汽车公司深谙企业网络与技术创新战略选择的关系,通过对企业自身的分析,明确企业的发展目标和方向,确定技术创新战略。奇瑞汽车公司始终致力于自主品牌的研发设计,注重创新,但是企业自身的研发能力有限也是客观事实。为此奇瑞汽车公司完善自身企业网络,针对不同项目实施不同的技术创新战略。
从提高企业核心竞争力实现自主知识产权的角度分析,奇瑞公司注重将自主创新作为突破,提高自身研发能力,占据企业网络中心性和结构洞位置,增加结构洞数量。大范围大规模的企业网络使其获得知识、信息和资源的渠道、数量增加,自主研发的能力增强。对于核心技术(发动机、变速器、整车开发等技术)的研发,奇瑞汽车公司实施的是自主创新战略。奇瑞公司的Acteco系列发动机是国内第一个从设计、研发到生产制造都完全自主的发动机品牌,其具有完全的自主知识产权。在设计研发过程中,与奥地利AVL进行了深度地技术合作,广泛地吸收了内燃机技术,通过集成创新实现国际领先地位。而奇瑞汽车公司的CVT变速箱,则是汇集自动变速箱技术领域众多专家,以及奇瑞近百名优秀设计人员共同开发,在产品设计、加工工艺、装配工艺、试验等关键环节实现了一系列突破的自主研发产品,打破了日系车企在CVT技术领域的垄断。自主创新战略不仅可以使企业获得自主知识产权、技术进步,更可以加强企业获取整合资源的能力,提升企业竞争力。加强自主研发投入,注重自主创新战略,是企业实现核心竞争力,成为行业领先的必经之路。相比模仿创新和合作创新,自主创新战略往往具有开拓新市场的效用,如果获得成功,企业可以获得超额利润。对于企业而言,关键技术的突破需实现自主知识产权,这也是企业长期发展的必然选择。中心企业可以通过中心性和结构洞获取的非冗余知识实现集成创新,形成核心竞争力。集成创新是将各自生产要素进行创造性地融合,使之相匹配,从而达到系统功能发生质的变化,形成核心竞争力。集成创新不是简单的生产要素的累加,而是通过生产要素的优化、组合和配比来实现创新,追求1+1>2的效用。
一、企业网络安全风险状况概述
企业网络是在企业范围内,在一定的思想和理论指导下,为企业提供资源共享、信息交流和协同工作的计算机网络。随着我国各地企业网数量的迅速增加,如何实现企业网之间资源共享、信息交流和协同工作以及保证企业网络安全的要求是越来越强烈。与其它网络一样,企业网也同样面临着各种各样的网络安全问题。但是在企业网络建设的过程中,由于对技术的偏好和运营意识的不足,普遍都存在”重技术、轻安全、轻管理”的倾向,随着网络规模的急剧膨胀,网络用户的快速增长,关键性应用的普及和深入,企业网络在企业的信息化建设中已经在扮演了至关重要的角色,作为数字化信息的最重要传输载体,如何保证企业网络能正常的运行不受各种网络黑客的侵害就成为各个企业不可回避的一个紧迫问题,解决网络安全问题刻不容缓,并且逐渐引起了各方面的重视。
由于Internet上存在各种各样不可预知的风险,网络入侵者可以通过多种方式攻击内部网络。此外,由于企业网用户网络安全尚欠缺,很少考虑实际存在的风险和低效率,很少学习防范病毒、漏洞修复、密码管理、信息保密的必备知识以及防止人为破坏系统和篡改敏感数据的有关技术。
因此,在设计时有必要将公开服务器和外网及内部其它业务网络进行必要的隔离,避免网络结构信息外泄;同时还要对网络通讯进行有效的过滤,使必要的服务请求到达主机,对不必要的访问请求加以拒绝。
二、企业网络安全体系结构的设计与构建
网络安全系统的构建实际上是入侵者与反入侵者之间的持久的对抗过程。网络安全体系不是一劳永逸地能够防范任何攻击的完美系统。人们力图建立的是一个网络安全的动态防护体系,是动态加静态的防御,是被动加主动的防御甚至抗击,是管理加技术的完整安全观念。但企业网络安全问题不是在网络中加一个防火墙就能解决的问题,需要有一个科学、系统、全面的网络安全结构体系。
(一)企业网络安全系统设计目标
企业网络系统安全设计的目标是使在企业网络中信息的采集、存储、处理、传播和运用过程中,信息的自由性、秘密性、完整性、共享性等都能得到良好保护的一种状态。在网络上传递的信息没有被故意的或偶然的非法授权泄露、更改、破坏或使信息被非法系统辨识、控制,网络信息的保密性、完整性、可用性、可控性得到良好保护的状态。
(二)企业网防火墙的部署
1.安全策略。所有的数据包都必须经过防火墙;只有被允许的数据包才能通过防火墙;防火墙本身要有预防入侵的功能;默认禁止所有的服务,除非是必须的服务才被允许。
2.系统设计。在互联网与企业网内网之间部署了一台硬件防火墙,在内外网之间建立一道安全屏障。其中WEB、E一mail、FTP等服务器放置在防火墙的DMZ区(即“非军事区”,是为不信任系统提供服务的孤立网段,它阻止内网和外网直接通信以保证内网安全),与内网和外网间进行隔离,内网口连接企业网,外网口通过电信网络与互联网连接。
3.入侵检测系统的设计和部署。入侵检测系统主要检测对网络系统各主要运营环节的实时入侵,在企业网网络与互联网之间设置瑞星RIDS一100入侵检测系统,与防火墙并行的接入网络中,监测来自互联网、企业网内部的攻击行为。发现入侵行为时,及时通知防火墙阻断攻击源。
4.企业网络安全体系实施阶段。
第一阶段:基本安全需求。第一阶段的目标是利用已有的技术,首先满足企业网最迫切的安全需求,所涉及到的安全内容有:
①满足设备物理安全
②VLAN与IP地址的规划与实施
③制定相关安全策略
④内外网隔离与访问控制
⑤内网自身病毒防护
⑥系统自身安全
⑦相关制度的完善
第二阶段:较高的安全需求。这一阶段的目标是在完成第一阶段安全需求的前提下,全面实现整个企业网络的安全需求。所涉及的安全内容有:
①入侵检测与保护
②身份认证与安全审计
③流量控制
④内外网病毒防护与控制
⑤动态调整安全策略
关键词:网络结构、冗余配置、路由策略、双机热备、服务品质等
1构建稳定可靠的企业网的目的和意义
现代企业,无论规模大小,建设不同要求的企业网对大多数企业而言是必须的。即便是一个最小规模的工作室,最简单的局域网都能给用户带来资源共享(文件共享)的便利和费用的节省(比如共享上网)。
随着企业规模的扩大,企业网是各信息应用系统正常运行的基础,企业网带给用户的就不仅仅只有资源共享及节约费用了,而是能和运行在其上的信息应用系统共同带给用户新的生产力。运行在企业网之上的信息应用系统涉及企业管理、生产的各个方面,能极大提高企业效率。因此,企业网的建设已是规模企业的必然选择;同时,企业网的稳定可靠也成为企业网建设中最重要的追求。
本文后面阐述的思想及技术实现适用于1 000人左右的企业用于构建稳定可靠的企业网。本文对网络建设中的常规思路及通用做法着墨不多,以介绍经验为主;重点介绍冗余技术的设计与实现。如果读者的业对网络的要求较低或从降低成本考虑,可适当降低冗余配置程度,比如核心与各汇聚局域网以单链路连接、单因特网宽带接入等,但这样做的后果就是可靠性大大降低。本文的思路与技术实现已经在实例网络中得到体现。
2构建稳定可靠企业网的几个要点
2.1稳定可靠的网络结构
确立网络结构时,除了要考虑可扩展性、可管理性等方面外,更应看重稳定性、可靠性方面的设计。
首先确定网络拓扑结构。各种拓扑结构各有优缺点也各有针对性,如果没有特殊需求,一般建议选择星型拓扑结构,因为这种拓扑结构有结构简单、容易实现、便于管理及故障点容易检测和排除。此结构是目前构建中小型企业网的主流结构。但是星型结构在可靠性方面有个大缺陷,就是中心节点的故障会导致网络瘫痪。对此缺陷,必须采取必要措施加以弥补,这个措施就是中心节点的冗余配置。企业网的中心节点一般是核心交换机。中心节点的冗余配置不是指设置2个中心,而是指加强作为中心节点的核心交换机的配置,使得中心节点非常可靠,不容易失败。
接着,确定网络的层次结构。清晰合理的层次结构也有利于网络的稳定可靠。网络具有层次结构,既有利于后期的管理,也有利于故障的隔离。在实例中,把网络划分成了三个层次:核心层、汇聚层、接入层。接入层直接为终端提供接入;汇聚层终结VLAN;核心层以转发各局域网网间流量为主。
然后,确定同城不同区域局域网的互联方法。这部分可根据企业应用系统的要求,同时根据成本花销情况(毕竟租用电信运行商线路是很昂贵的),选择适合自己企业的互联方法。可以租用数据专线,也可通过因特网以VPN的方式互联。本例中,采取的是数据专线做互联主链路,VPN做备用链路。
图1就是按照上述思路强化了结构的网络实例拓扑图。针对星型结构的缺陷,中心节点由2台核心交换机组成。核心交换机与各局域网都以双链路连接,因特网宽带也采取双链路接入。
图1结构加强过的实例网络拓扑图
2.2IP规划及路由策略
IP规划及路由策略问题往往容易被中小型企业网设计者轻视,但等网络建成了,才会发现由于前期缺少策划导致后面的工作很繁琐。
由于中型企业内部网段比较多,如果仍然像在小型企业网那样在私有网段内随意指定IP地址段,往往会导致后期的路由指向困难及其它问题。
而路由策略不仅要考虑是否要启用动态路由,还要考虑采用路由聚合,及支持策略路由功能等。启用动态路由的理由是应对可能的IP网段太多;采用路由聚合的理由是简化路由指向;策略路由能解决一些基于源地址的路由指向。
规划IP时,适当考虑可变长度子网掩码(VLSM)技术,便于灵活调整子网的个数及主机的数量,以满足网络划分的不同数量要求。也要考虑路由聚合,把便于路由聚合的IP地址段分配给同一局域网内。
在核心层启用互联网段,用于各汇聚层网络的互联互通。
2.3远程接入及访问因特网部分的设计
这部分通常的网络方案设计中,设计人员喜欢既配置了路由器又配置防火墙。其实,如果路由要求不高的情况下,可以只选配防火墙。
本网络实例中,防火墙不但承担了对因特网的访问任务,还承担了外埠分支机构的VPN接入任务。考虑到现代企业对因特网访问的依赖程度提高了,实例网络安排了双防火墙双因特网接入。
而针对外埠分支机构的专线接入,可直接接入核心交换机,也无需路由器。
这样做的好处是结构简单,在功能上也没什么缺失。结构简单的好处是低故障率,出了故障也容易排查。
2.4网络管理
网络管理其实是开始于设计阶段的,设计网络结构时要考虑后面的运行管理,比如分层的网络结构让VLAN终结在汇聚交换机。IP在规划时考虑到路由的聚合,会给后期的路由指向带来方便。
谈网络管理,必然要涉及网管软件。网管软件不是网络管理的必需,但随着网络规模的扩大,它的作用就越大,也越重要。对于规模不大的中小型企业网络,尽量在设计阶段就考虑到管理因素而又针对性地设计,以求网络开始运行后,在没有采用任何网管软件前能够手工地较快速地定位故障点,进而排除故障。
之所以有这样的考虑,是因为选择一种适合本企业网络的网管软件并不是一件简单的事情。选择网管软件首先要清楚,自己要管理什么,是性能管理?故障管理?配置管理?安全管理?计费管理?或者全部,或者部分。其次,在技术上要清楚,网管软件大体分三个层次,即网元治理、网络层治理和业务治理,而本企业需要什么样的治理?基于以上原因,网管软件更适合在网络系统建立并运行后,在需求分析的基础上选择平台级的网管软件。开始阶段可选择由设备厂商提供的网元治理类的网管软件,比如CISCO Works。
3热备功能的实现及其它功能的说明
结构上做了冗余设计,要真正地发挥设备和链路的热备的作用,还要进行相关设定后才能实现。其它功能也是企业网必须具备的。
3.1HSRP实现双机热备
HSRP原理,首先由多台路由器组成备份组,此备份组可看成是一台虚拟的路由器,有独立的虚拟IP,网内主机以这台虚拟路由器为网关。在备份组内有一台路由器是活动路由器,由它来完成虚拟路由器的工作,当此台活动路由器出故障时,组内的另一台路由器会接替活动路由器,来完成虚拟路由器的转发工作。而这些,对网内主机是透明的,它们只能看到虚拟路由器。CISCO大部分3层交换机都支持HSRP。
以某VLAN为例给出设置要点。
1、在核心交换机A上
Interface VLAN7
ip address 192.168.7.253255.255.255.0
standby7192.168.7.254/*虚拟路由器的IP
standby7priority 110/*设置优先级
standby7preempt /*设置抢占模式
2、在核心交换机B上
Interface VLAN7
ip address 192.168.7.252255.255.255.0
standby7192.168.7.254
standby7preempt
3、在网内电脑上
把网关设置为192.168.7.254
3.2SLA实现双链路自动切换
SLA(Service Level Agreement)服务品质保障协议,可用于网络侦测,通过发送指定协议的报文来侦测链路的情况,根据链路情况选择路由。
如果第二链路是另一家电信运营商的租用线路,实现此功能相对简单。如果考虑降低成本,一线多用,可用宽带线路通过IPSEC VPN来搭建第二链路,这就多了IPSEC VPN的设置工作。
由于IPSEC VPN的实现因网关设备的不同而不同,本文就省略这部分设置的说明,只说明下交换机端的设置要点。实现原理:路由器(或三层交换机)通过(ICMP)PING远端路由器(或三层交换机)来验证第一链路的状态,如果第一链路失败,则激活第二链路,实现故障切换。使用对象跟踪功能(object track)保证静态路由的可靠备份。
ip sla 1
icmp-echo 192.168.1.6 /*ping远端交换机第一链路接口
timeout 1000
threshold 2
frequency 3
ip sla schedule 1 life forever start-time now
……
track 1 ip sla 1 reachability/*跟踪ip sla 1,如果没有返回ping包,则track状态为down
……
ip route 192.168.176.0255.255.240192.168.1.6track 1/*只有track状态为up时,此静态路由建立。如果track为down,则下面这条路有开始转发数据。
ip route 192.168.176.0255.255.240.0192.168.1.210
注:远端网络由若干C类网段组成,所以掩码是255.255.240.0,这里采用了路由聚合。要采用路由聚合,必须先有网络地址规划,即便是私有地址,也不可以随意指定。
3.3其它功能
其它几个基本功能,有些是必须要采用的功能,比如VLAN、DHCP、访问控制列表等,能满足基本的网络管理要求;有些则是高级功能,如策略路由、QoS、动态路由等,能满足一些高级的网络管理要求,或者能提供管理的方便性。
对于VLAN、DHCP、访问控制列表的使用,是企业网络管理中最基本的要求,网络管理员都应熟练掌握,本文不再赘述。而那些高级功能,则在网络运转起来后,根据需求决定是否采用。我在此提醒一下,有些功能需要交换机OS(操作系统)的升级。比如策略路由,一般三层交换机预装的OS都不支持,如果本企业确实需要这样的功能,可以通过升级OS来得到。
4结束语
基于上述思路具有了冗余设计的实例网络在建成后,除了正常提供基本的网络功能外,在运行过程中还经历过一系列的故障的考验。某台核心交换机的一块接口业务板曾经损坏,由于是双核心交换机配置,得以迅速切换到另一台交换机,短时间内恢复了用户网络。核心网络与某局域网的电信专线连接也因为电信方的故障而中断过多次,而因为采用了基于SLA技术的设置实现了链路的自动切换,对用户应用并没有造成可感知的延时。以上事实足以证明实例网络在强化冗余能力方面的设计是成功的。
当然,一方面的成功,不代表此网络方案就完美无缺,其实,就实例网络方案而言,缺点还很多,比如照顾了结构简单带来的稳定,但并不能增强网络的安全。本文主要阐述了为了追求网络的稳定和可靠,在方案设计上偏重的冗余设计部分。而在网络设计时,还应考虑后期网络管理及网络安全。如果在设计阶段,无法过多的考虑网络安全的因素,一定要在网络建成后加强网络安全建设。
关键词:企业;网络信息管理系统;人事管理;人力资源
中图分类号:TP3
1 企业网络信息管理系统的功能
企业网络信息管理系统是根据企业管理的需要而开发的信息管理系统,因此,系统的功能也是建立在企业的管理需求和使用需求上。对系统功能的分析也可以围绕着用户使用需求上。系统中的需求一般分两类,一类是系统本身,比如说对操作系统版本的要求,对数据库、硬盘、内存等方面的需求,另一方面则是用户使用的需求,比如对一些常规操作的需求和一些特殊性的需求。系统的功能便围绕着这两个方面,它首先满足于系统运行的需求,同时满足于企业网络信息系统的使用需要,比如说用户管理,包括用户的新增、基本信息修改、删除、用户入职和离职登记、,还有密码管理,及日常工作管理,比如工资的结算、发放,奖金、绩效,职工的请假、迟到早退、旷工和其他违规情况,以及公司日常业务的报表等等,当然这一部分还需要分配权限,只为公司有权限查看的人员开放。
2 企业网络信息管理系统的数据流程图
企业网络信息管理系统是一个比较庞大、系统性比较强的软件应用,在软件开发过程中,一个必不可少的环节是数据流程图,数据流程图是将整个系统的运行流程、功能模块设计为一个模型图来描述系统状况,这样可以更加直接的了解系统情况,软件工程师在系统开发的时候一般都需要根据系统流程图来安排编程计划,而在系统投入使用的时候也会在软件系统说明书里面将数据流程图规划出来。根据系统功能和需求分析,企业网络信息管理系统数据流程图如图1。
图1 企业网络信息管理系统数据流程图
根据上图我们可以很直接的看出企业网络信息管理系统的功能模块。当然,对于不同的企业来说,其使用需求各不一样,这就要根据实际情况来处理。但可以肯定的是,企业网络信息管理系统的设计必须是建立在企业管理的基础之上,必须要包含了其详细的流程和各项细节功能。要根据使用需求和硬件设备来设计系统以及选择开发语言。使整个系统不仅在功能上满足需求,也在运行上能保证更加高效和顺利。
3 应用JAVA开发网络管理信息系统
随着计算机信息技术的发展,编程语言也在不断的发展。以往常用powerbuilder、C语言、visual basic语言等等,而如今更多的是用C#、.NET、java等开发语言。java语言拥有更多可以直接引用的元素和工具,因此在开发的时候可以省去很多代码的编写,不仅节约了时间,也减少了工作量,还能够优化代码,降低错误。这也是java获得飞速的发展、得到迅速推广的原因。
3.1 java语言在开发中的优势,java是一种面向对象编程语言,我们都知道,面向对象编程和面向过程编程是编程的两种方式。而面向对象编程又尤其受广大程序员的喜爱,比如利用java编程,对于一些数据窗体或控件可以直接拖动,而不需要再繁琐的编写代码;在连接数据库的时候也可以直接通过数据库名、账号和密码建立连接,然后直接通过查询语言查询数据表、字段,并可以很方便的将这些数据表和字段引用过来。Java语言还有一种“人性化”的特点,即它的语言风格与我们日常交流的语言有点类似,尤其和英语。因此,对于程序员来说,java编程语言更加容易理解。在代码调试的时候,程序员只需点击运行就能实现代码的分解处理,接着将其转换为计算机能识别的机器指令序列,对语句及时判断处理之后修改处理错误当所有的软件程序设计结束之后,计算机则能自动编译生成可执行文件,利用操作系统即可完成相应的管理操作。企业网络信息管理系统包含了两个部分,即前台页面和后台数据管理,而java可以同时开发这两个模块,不需要嵌套其他编程语言,这就有效的避免了不同语言之间的兼容性问题。
3.2 驱动技术,java在控制对象期间,必须要结合相应的事件控制功能才能完成操作每一个对象可以出现不同的事件,不同的事件对应着不同的每个应用功能。比如说我们常用的删除功能,在java编程中它就属于一个对象,用户点击该控件都随之会出现相应的事件,此时系统会对之前封装的程序启动执行,这一过程也就是我们日常进行删除的操作流程。
3.3 企业网络信息管理系统布局分析,要实现企业网络信息系统的顺利运行,通常要从三个方面规划。首先是软件系统的开发,这是由专业的程序师设计开发完成,开发语言即上述java语言;其次是网络服务器的布置,要设置一台服务器,服务器也是企业网络信息系统管理运行的“大本营”,在管理系统中发生的业务数据都存储在服务器中,而对数据的提取、查询以及其他操作也是在服务器上;最后是网络的布置,网络就好比服务器与客户端之间的联系桥梁,只有保证网络的连通和顺畅,才能实现信息化管理。
4 结束语
当今社会已进入一个网络信息化的时代,各行各业的运行和发展都离不开网络信息管理系统,它可以实现数据信息的快速传输和共享,可以实现人员之间高效、方便的沟通和管理,是企业实现信息化建设和自动化管理目标的重要手段。企业在日常经营和管理中更要充分利用网络信息管理系统。同时,也要结合企业实际发展的需求设计信息管理系统
参考文献:
[1]夏勇,钟家洪.关于企业网络信息管理系统的研究[J].煤炭技术,2012,10:281-282.
[2]林春培.企业外部创新网络对渐进性创新与根本性创新的影响[D].华南理工大学,2012.
[3]单丽辉.基于耗散结构的物流网络系统运作模式与运行机制研究[D].北京交通大学,2012.
[4]赵兵.基于GIS的交通运输行业环境监测网络信息管理系统研究[J].山东化工,2012,11:29-32.
