时间:2023-05-28 09:26:16
导言:作为写作爱好者,不可错过为您精心挑选的10篇小型企业网络建设,它们将为您的写作提供全新的视角,我们衷心期待您的阅读,并希望这些内容能为您提供灵感和参考。
2 中小型企业网络现状及需求
国有大中型企业是我国的经济支柱,中小企业是我国经济组成的重要组成部分,我国中小型企业众多,对计算机网络技术应用比较简单,没有很好的利用Internet的优势,实现企业经济的腾飞及壮大。中小型企业网络主要应用是日常办公,数据处理,属于“单机版”类型,或者企业分支机构与总部就是简单通过电子邮件,或者qq进行企业数据信息传输,这样安全保密性太差。主要原因是:
1) 中小型企业资金比较贫乏,没有更多的资金来购买成熟网络安全产品,而且成熟的网络安全产品价格一般比较昂贵,主要面向大型企业。中小型企业分布广,业务灵活,经济实惠的远程数据安全传输解决方案甚少,而且技术复杂,维护较难,不能满足中小企业的需要。
2) 中小型企业技术力量薄弱,没有专业的网络技术人员,一般是企业年轻的懂点计算机的员工兼职网络管理,与专业网络管理员还有一定的差距。
3) 中小型企业网络基本属于一个“信息孤岛”,与外界进行数据通信不能做到安全可靠传输,不能确保数据信息不泄露、不丢失、不被篡改等,影响企业的快速发展。
3) 中小型企业领导重视网络建设还不够,网络建设相对比较简单,根据中小型企业目前对网络的需要及依赖,进行简单网络建设,没有长远的网络建设规划,致使企业在壮大的过程中,网络建设不能快步跟上,往往被忽视。中小企业网络由于资金贫乏,技术力量不足等原因,在建设的初期就还可能留下许多漏洞与不足,这样更容易被黑客攻击。
4) 中小型企业用户不能进行远程数据信息的安全可靠传输,企业员工,或者领导外地出差,或者分支机构的网络,就不能访问企业网络,不能远程进行办公,远程快速的进行事务处理。
5) 中小型企业与合作伙伴之间没有利用互联网的优势,在它们之间没有建立一个企业扩展网络,导致数据信息的安全交流和企业的密切合作收到影响。
在复杂的网络环境下,解决中小型企业的远程数据信息安全可靠的传输就变得越来越重要了,还需考虑方案的经济实用,维护简单容易。对于中小企业网络中传输的重要数据信息,如财务报表等,必须保证数据信息完整性、可用性和机密性。完整性是数据信息在传输或存储过程中保证没有被修改,没有被破坏,没有被丢失等;可用性是数据信息可被授权实体访问,并按需求使用的特性,即指定用户访问指定数据资源;机密性是保证数据信息网络传输保密性和数据存储的保密性,数据信息不会泄露给非授权的用户、实体或过程。确保只有授权用户才可以访问指定数据资源,其他人限制对数据信息的读写等操作。
3 经济实用安全方案
从中小型企业网络现状及需求,利用VPN技术跨越Internet组建中小企业扩展网络,保证远程移动用户、企业分支机构和企业合作伙伴之间安全可靠的进行远程数据信息传输。通过实践实验,研究出经济实用,安全可靠,配置和维护比较容易的中小型企业网络安全性解决方案,如图1所示。VPN服务器也称为VPN网关,可以使用高性能的计算机来担当,并且安装两块网络适配器,一块网络适配器用于连接中小型企业内部网络,分配内网IP地址,另一块网络适配器连接外部网络,分配外网IP地址。VPN服务器是内网和外网连接的必经之路,服务于内外两个网络,也是内网的安全屏障,相当于中小型企业的防火墙,它可以完成对访问企业网络的用户进行身份认证、数据进行加密解密处理、密钥交换等。VPN服务器安装Windows Server 2003操作系统,充分利用公共网络Internet的资源,通过VPN技术,实现中小企业远程数据信息传输的安全性、完整性,可用性和保密性。
3.1 IPSec VPN保证数据信息远程安全传输
1) VPN技术
VPN又称虚拟专用网,是在公共网络中建立专用网络,数据信息通过建立的虚拟加密“安全隧道”在公共网络上进行传输,即充分利用公共网络如Internet的资源,达到公网“私用”的效果。中小企业只需接入Internet,就可以实现全国各地分支机构,甚至全世界各地的分支机构,都可以随时随地的访问企业网络,实现远程数据信息的安全可靠传输。而且VPN具有节省成本、配置相对简单、提供远程访问、扩展性较强、便于管理维护、实现全面控制等好处,是企业网络发展的趋势。
2) IPSec协议
IPSec是一个开放的应用范围广泛的网络层VPN协议标准,是一套安全系统,包括安全协议选择、安全算法、确定服务所使用的密钥等服务,在网络层为IP协议提供安全的保障,即IPSec可有效保护IP数据报的安全,如数据源验证、完整性校验、数据内容加密解密和防重演保护等。保证企业网络用户的身份验证,保证经过网络传输过程中数据信息完整性检查,加密IP地址及数据信息保证其私有性和安全性。
3) 基于IPSec的VPN技术
基于IPSec的VPN技术解决了在Internet复杂的公网上所面临的开放性及不安全因素的威胁,实现在不信任公共网络中,通过虚拟“安全隧道”进行数据信息的安全传输。IPSec协议应用于OSI参考模型的第三层网络层,基于TCP/IP的所有应用都要通过IP层,将数据封装成一个IP数据包后再进行传输,所有要实现对上层网络应用软件的全透明控制,即同时对上层多种应用提供安全网络服务,只需要在网络层上采用VPN技术,基于IPSec的VPN技术提供了5种安全机制,即隧道技术、加密解密技术、密钥管理技术、身份验证技术和防重演保护技术,通过基于IPSe c的VPN技术,来保证传输数据的安全性、可用性、完整性和保密性[1]。
(1)隧道技术,隧道也可称为通道,是在公用网中建立一条虚拟加密通道,让数据包或者数据帧通过这条隧道安全传输。使用虚拟“安全隧道”传递的数据可以是不同协议的数据帧或数据包。“隧道”协议分为二、三层隧道协议,第二层隧道协议先把各种网络协议封装到PPP中,再把整个数据帧装入到隧道协议中。这种双层封装方法形成的数据帧依靠第二层协议来传输,第二层协议包括PPTP、L2TP等。第三层隧道协议是把各种网络协议直接装入到隧道协议中,形成的数据包依靠第三层协议进行传输。第三层协议有GRE、IPSec等。这里使用IPSec中的ESP(Encapsulated Security Payload)和AH(Authentication Header)子协议保护IP数据包和IP数据首部不被第三方侵入,在两个网络之间建立一个虚拟“安全隧道” 用于数据信息的安全传输。授权用户,通过IPSec安全策略的配置实现对网络安全通信的保护意图,其安全策略包括什么时候什么地方对AH和ESP保护,保护什么样的通信数据,什么时候什么地方进行密钥及保护强度的协商。IPSec通过认证和钥匙交换机制确保中小型网络与其分支机构网络或合作伙伴进行既安全又保密的信息传输。在计算机上装有IPSec的终端用户可以通过拨入ISP的方式获得对公司网络的安全访问。
(2)加密解密技术,是为了保障虚拟“安全隧道”的安全可靠性,提供了非常成熟的加密算法和解密算法,如3DES、DES、AES等,抵抗不法分子修改或截取数据信息的能力,同时保证必须使偷听者不能破解或解密拦截到的的数据信息,但是授权用户可以通过解密技术,完整的访问数据资源。
(3)身份认证技术是通过对企业分支用户或远程用户进行身份进行验证,提供安全防护措施与访问控制,包括对VPN“安全隧道”访问控制的功能,有效的抵抗黑客通过VPN通道攻击中小型企业网络的能力。通过VPN服务器对授权用户的身份及权限的验证,严格控制授权的用户访问资源的权限。在每个VPN服务器上为远端用户的身份验证凭据添加用户信息,包括用户名及密码,并且配置了用户名与呼叫用户所使用的用户名称相同的请求拨号接口。
(4)密钥交换技术,为了防止密钥在Internet复杂的公网上传输过程中而不被窃取。提供密钥中心管理服务器,现行的密钥管理技术分为SKIP和ISAKMP/OAKLEY两种。VPN技术能够生成并更新客户端和服务器的加密密钥和密钥的分发,实现动态密钥管理。如果采用L2TP/IPSec模式的站点到站点VPN连接,还需要在每个VPN服务器上同时安装客户端身份验证证书和服务器身份验证证书;如果不安装证书,则需要配置预共享的IPSec密钥。
(5)防重演保护。具备防止数据重演的功能,而且保证通道不能被重演。确保每个IP包的合法性和惟一性,保证信息万一被截取复制后,或者攻击者截取破译信息后,再用相同的信息包获取非法访问权,确保数据信息不会被重新利用、重新传回目标网络,
3.2其他辅助安全措施
对VPN服务器,还可以启动软件防火墙功能,如安全访问策略、日志监控等功能,还可以安装杀毒软件,为内网提供安全屏障,再次增加网络安全可靠性能。软件防火墙通过设置的包过滤规则,分析IP数据报、TCP报文段、UDP报文段等,决定数据包是被阻止,还是继续转发,从网络层和传输层上再次给予安全控制,提供了多层次安全保障体系。还可以增加应用层的过滤规则配置,再次提升VPN服务器安全性。
4 实践应用分析
通过实践应用,跨越Internet的中小型企业网络安全解决方案分别从网络层、传输层和应用层三个层次上给予安全保障,该方案充分利用VPN的“公网专用”的特点,允许中小型企业拥有一个世界范围的专用网络,在公用网中开辟虚拟“安全隧道”来保证远程数据信息传输的可靠性和安全性;通过辅助的防火墙功能,进一步增加其安全。该方案使用高性能的PC充当VPN服务器,并配以Windows Server 2003操作系统,无需额外的复杂硬件设备与高昂的系统软件,成本低、经济实用、容易实现、维护简单,是中小型企业网络扩展不错的选择方案。VPN服务器不但具备VPN技术的功能外,还是一个中小企业的防火墙,安全配置、安全策略容易实现,一旦出现较大安全威胁,便于快速隔离网络。
当然此方案也存在一些缺陷,主要是有依赖操作系统的安全性,操作系统本身的漏洞可能会造成安全隐患;VPN服务器是集多种服务于一体,需要较高高性能的计算机;VPN服务器故障会导致网络连接失效;由软件实现数据加密与解密、包过滤等,一定程度会占用系统资源,也会使通信效率略有降低;同时重注企业内部员工的安全培训,有效地抑制社会学的攻击,对来自企业内部员工的攻击显得无能为力。
5 结束语
跨越Internet的中小型企业网络安全技术方案比较经济、实用、安全、配置简单,为中小企业打造一个世界范围的网络提供了较有力的技术支持,使得中小企业网络也融入到互联网这个“大家庭”中,不仅提高了中小型企业的工作效率,而且增强了其竞争力,将推动中小型企业电子商务,电子贸易,网络营销走向繁荣,加快了中小企业网络信息化和经济快速发展的步伐。
参考文献:
[1] 郝春雷, 郑阳平.中小型企业敏感分支网络安全解决方案[J].商业时代,2007,(21):45.
[2] 阿楠. VPN虚拟专用网的安全[J].互联网天地,2007,(7):46-47.
[3] 李春泉,周德俭,吴兆华. VPN技术及其在企业网络安全技术中的应用[J]. 桂林工学院学报,2004,3:365-368.
1概况
随着互联网呈几何倍数的发展,我们的生活越来越依赖互联网,吃穿住行几乎都可以用网络来搞定。但是从网络诞生那一刻起,就出现了其中不安定的因素,我们对网络越依赖,一旦网络安全出现问题,造成的损失也就会越大,作为一家运营商公司,更迫切的需要维护好自己的网络安全。
2现状和分析
2.1目标公司发展现状
某国有ISP企业省份公司,拥有用户各类20万左右,因为规模不大,所以在过去几年,一直把发展用户扩大市场放在首要位置,而忽视了网络信息安全方面的建设。这是一方面当时的情势所迫造成的。随着用户的发展和企业壮大,如今,省内ISP网络构架属于从核心层出口节点开始,到下层的核心汇聚层交换机链接到底层BRAS设备,都是做的双冗余保护,在网络结构上,属于合理的布局。并且设立了多个核心的IDC机房和设备机房,存放各类资源服务器为网内的用户提供服务和各网络专业核心的设备。
2.2暴露出来的问题
随着用户的增加,越来越多的信息网络安全问题会开始暴露,比如会有非法的流量开始试探底层设备的端口,并且可以看到某些设备会出现异常的IP地址尝试登入,或者底层设备的链路利用率突发暴涨,虽然这些问题都被及时发现并处理了。但是并不是说这样处理掉一两起的安全问题事情就结束了,从中暴露出网络安全问题其实是很严重的。
(1)手段单一,只有依靠简单的防火墙,或者是依靠核心设备本身的访问控制列表对数据包进行筛选,缺乏更多有效的系统手段帮助人们进行监控保护网络,一直长期下去的话面对一些网络层以上的疑难问题也就只能束手无策。
(2)各部门对信息的安全性重视不够,对信息保密的重视层度不够,也没有接受过相关的社会工程学方面的培训,安全意识淡薄。
(3)缺乏专业性的技术团队和思路,完全是在闭门造车。到现在处理问题的思路在技术层次还是停留在路由和交换级别的。现在只能把每个事件单独当作一个单独事件来处理,很难避免下次不会发生重复的问题。
(4)从整个网络的构架开始搭建起来,就没有把网络安全放在重要的位置,刚开始BRAS设备是有了双向冗余就开始上线,本应该考虑更多的迂回保护措施都是后期的时候慢慢弥补上去的。物理上的冗余保护如此,网络的安全保护也一直是没有跟上网络拓扑的扩展。
3网络安全的建设
3.1从认识思想上进行转变
要建设公司的电信级网络安全架构,需要公司从上到下有一个认识,就是对安全危机的认同感,网络的安全投入的确是烧钱,并且它后期还会需要不断的成本投入。期待它能马上给你利润回报,那是不可能的。但是看看合作企业竞争对手,无一不是对安全问题异常的重视。同时要做好网络安全,我们还要开始学,向服务商学习,向设备商学习。一步步踏实做下去。
3.2改变公司组织结构
安全部门并不同于一般的网撑中心,数据中心,它需要专注地负责网络防御检测和处理各类的网络安全问题,因此如果将这样一个安全部门挂靠在网络支撑下面是不合适的,从专业来看,网络安全防御,社工防御,欺骗渗透防御都是它的职责。而且将来的网络布局,都会需要他们提供安全方面的意见,所以这必须是一个独立的部门,来区别于网络建设部和网络支撑中心。
3.3建立网络安全制度
在公司内部建立网络安全规范的制度,强制性地规定员工登入设备的权限和密码设置原则,要求登入口令的密码长度和复杂成分,区分开每个人的职责范围,个人的权限只能存在几台服务器上,避免被人利用同样的账号密码登入所有的设备。并且要求定期更换密码。设置强硬的核心机房准入制度来防止设备遭受最直接的物理攻击。对于敏感重要的数据,要定期做异地备份。
3.4建立可靠的安全网络
要建立行之有效的安全网络体系架构,建议对整个网络进行统一的部署,构建网络安全架构的安全设备类型通常有:
防火墙:firewall,可以根据IP地址或服务端口过滤数据包,可以通过制定过滤规则来限制。
流量分析系统:它主要针对网内的流量流向镜像进行监控、分析、不仅可以提供用户的使用偏好分析,更多的可以监控网内的流量过去和现在的数据是否异常。
流量采集分析清洗设备:也叫ADS,它可以针对于网内的异常流量进行筛选和清洗。特别是对于现在的DDOS攻击有很好的效果。
Web应用防护系统:也称WAF。WEB应用防御产品,针对应用层的攻击做出反应。是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。
入侵防御检测设备:也称IPS,这是对防火墙和杀毒软件的一个补充。可以有效发现阻止4到5层的异常流量,其中还有的入侵预防系统,通过正常数据以及数据之间关系的通常的样子,可以对照识别异常。
审计系统:针对互联网行为提供有效的行为审计、内容审计、行为报警、行为控制及相关审计功能。满足用户对互联网行为审计备案及安全保护措施的要求,提供完整的上网记录,便于信息追踪、系统安全管理和风险防范。
值得一提的是随着安全技术的演进,今后的防火墙将会兼容ADS之类的流量监视和清洗功能,是否还能将WAF和IPS设备的功能融合进来尚不得而知,但是展望安全网络的科技树发展的方向,这必然是未来安全行业的发展一段趋势。考虑到设备的使用安全性,集众家所长的安全设备固然能够减少了接入的层次,降低了生产成本。
关于安全网络的组网,还是要严格按照双机备份的原则,特别是涉及到防火墙,必须做到双机冗余的原则,保证一台设备宕机的情况下,另一台能正常工作,并且不影响到网络流量的正常转发。建议还是听从专业厂家或者服务商提供的方案进行部署。
关于DMZ区域和IDC的网络安全构架建设:DMZ即缓冲区,也是我们部署web服务器,DNS系统,3A系统,ftp服务器的区域,建议统一进行规划。减少网络的复杂性,便于管理。包括IDC服务器组,如果条件允许。也应该统一纳入网络中。
3.5建设前后的测试
中图分类号:R276.7 文献标识码:A 文章编号:1006-1959(2017)14-0126-02
中心性浆液性脉络膜视网膜病变(SCC),简称中浆,它是由于视网膜色素上皮屏障功能失常,形成黄斑部视网膜神经上皮浆液性脱离为特征的常见眼底病,病因和病机仍不十分清楚的脉络膜视网膜病变,1866年Von Graefe 首先报告,多见于20~45岁的青壮年,男性发病率较女性高7倍以上,本病易复发,又有自限性倾向,多单眼发病,我科自2010年以来对50例(54只眼)患者予以复方樟柳碱注射液皮下注射联合七叶洋地黄双苷眼液点眼,效果较为满意,现报道如下:
1 资料与方法
1.1一般资料
选取2010年1月~2015年6月就诊于我院眼科门诊,经眼底荧光血管造影确诊为中心性浆液性脉络膜视网膜病变患者50例(54只眼),以编号抽签形式分为治疗组和对照组,治疗组26例28只眼,男23例25只眼,女3例3只眼;年龄28~46岁,平均35.7岁,单眼24例,双眼2例;病程5 d~5月,初次发病22例,再次发病4例;对照组24例26只眼,男22例24只眼,女2例2只眼,年龄29~45岁,平均34.8岁,单眼22例,双眼2例,病程4 d~6月,初次发病20例,再次发病4例,就诊时视力0.1~0.7。
1.2纳入标准
纳入标准:参照刘家琦、李凤鸣《实用眼科学》第二版中相关标准确定诊断[1]:①自觉症状有视物变形、变小、色视、眼前黑影,轻度视力减退,并有暂时性远视,本病有复发倾向,病程长或多次复发者可致永久性视力障碍;②视野检查有圆形椭圆形中心暗点,应用Amsler表可查出视物变形;③检眼镜检查可见黄斑部有1-3PD大小的盘状浆液性视网膜脱离区,周围有反光晕,中心凹反射消失,发病数周后可见脱离区视网膜有黄白色小点沉着,恢复阶段,视网膜下积液逐渐消退,中心凹反射多可恢复,可残留有光泽的黄白色渗出小点和轻度色素紊乱,裂隙灯眼底接触镜可见视网膜局部隆起,其下有浆液蓄积,黄色小点沉淀在脱离的视网膜内面;④荧光血管造影检查在静脉期可见一个或多个高荧光素渗漏点,随着时间推移,渗漏点逐渐扩大;⑤患者皆不愿行激光光凝治疗。排除标准:①患有青光眼或其他眼底病变或曾接受任何眼内手术或激光治疗;②合并有高血压、肾病、糖尿病等病以及治疗前已用过类似其他治疗药物(如复方血栓通胶囊、地巴唑、达纳康等)无法判断其疗效者。
1.3方法
1.3.1对照组 采用西药常规治疗,给予常规剂量维生素C、维生素B1、肌苷、三磷酸腺苷片、维脑路通、地巴唑等药物口服,不加用其他药物。
1.3.2治疗组 应用复方樟柳碱注射液2 ml,于患眼颞浅动脉旁注射,1 次/d,B续30 d。具体操作过程:嘱患者取侧坐位,操作者立于患者侧前位,以食指摸清患眼颞浅动脉搏动感,进行消毒后用4、5号针头在颞浅动脉下方约1.5 cm处与皮肤呈50进针,进皮后沿皮肤平行进针约2 cm,抽吸无回血则推注射液,可见颞浅动脉旁形成一皮丘,注射完毕后用干棉球压迫,缓慢拔针,并压迫10分针,同时合用七叶洋地黄双苷眼液点眼,1 滴/次,4 次/d。
1.4疗效判定
①治愈:自觉症状基本消失,视力恢复正常,黄斑中心凹反光显现或眼底荧光造影检查未发现有荧光素渗漏;②好转:自觉症状有明显减轻,视力有所恢复,眼底荧光造影显示渗漏明显减少;③无效:症状及体征无好转或恶化,眼底荧光造影渗漏无改善。
2 结果
治疗组与对照组治愈率及总有效率比较有显著性差异(P均
3 讨论
中心性浆液性脉络膜视网膜病变常由精神紧张和过度疲劳诱发是临床熟知的事实,至于这些诱因如何能导致此病,目前还无满意的解释。上世纪60年代Gass通过眼底荧光血管造影证明,脉络膜毛细血管通透性增强导致色素上皮脱离与神经上皮下积液形成即浆液性脱离。后来Gass(1977)修正了自己的学说认为色素上皮复合结构的损伤破坏了屏障功能导致生理泵功能障碍而导致浆液性神经上皮脱离,与精神紧张与过度疲劳有关[2-3]。由于部分中浆病患者的病变部位发生在黄斑部,激光封闭渗漏点是最有效的方法之一,国外相继报道永光动力疗法队对渗漏点离黄斑中心凹约500 μm内的中浆患者进行治疗,具有安全性高、效果好的特点,但由于治疗费用非常昂贵,在我国还未完全广泛开展。目前临床上对中浆的治疗由于病因不明以对症治疗为主,大多以药物治疗来促进黄斑区渗出物吸收,缩短病程和改善症状,以提高视力,我国宋琛教授多年研究开发的复方樟柳碱注射液是一种治疗眼缺血性疾病的新型制剂,主要成分是氢溴酸樟柳碱和盐酸普鲁卡因,既不是扩血管药,也无散瞳作用,该制剂具有缓解平滑肌痉挛、抑制唾液分泌等抗胆碱作用[4],其可能通过注射部位颞浅动脉旁皮下植物神经末梢,反射性调整眼血管活性物质水平和相互比值使之波动于正常范围,从而调整眼部血管尤其是脉络膜血管壁的运动功能,缓解眼血管痉挛,稳定内皮细胞膜,恢复血管壁的正常通透性,改善眼微循环,促进视网膜水肿的吸收,实施功能得以恢复,达到治疗效果[4],而七叶洋地黄双苷眼液主要成份本品为复方制剂,其组份为:每支含洋地黄苷(按洋地黄毒苷计)0.006 mg,七叶亭苷0.04 mg,洋地黄对睫状肌于对心肌的作用相似,收缩力加强,特别是对伴有肌机能不全的情况,睫状体和角膜中的组织浓度是外周血清浓度的3倍,这些结果证实洋地黄苷在水性滴眼液中释放出来,在睫状体中被重吸收,七叶亭苷能增强血管封闭性,增加虹膜和睫状体中毛细血管的阻力,这两种成份的联合作用使视网膜的血流灌注得到改善,促进缺血组织迅速恢复,并且维持脉络膜血管正常紧张度及舒缩功能,从而改善脉络膜血管活动功能,提高视功能,缩短病程。本研究结果显示:治疗组的视野及视物变形改善情况、视力及荧光渗漏改善情况的总有效率均优于对照组。
综上所述,复方樟柳碱注射液联合七叶洋地黄双苷眼液治疗中浆能取得良好疗效。
参考文献:
[1]徐晔,张文娟.复方樟柳碱注射液治疗中心性浆液性脉络膜视网膜病变的研究[J].现代中西医结合杂志,2014,23(36):4056-4057.
1构建稳定可靠的企业网的目的和意义
现代企业,无论规模大小,建设不同要求的企业网对大多数企业而言是必须的。即便是一个最小规模的工作室,最简单的局域网都能给用户带来资源共享(文件共享)的便利和费用的节省(比如共享上网)。
随着企业规模的扩大,企业网是各信息应用系统正常运行的基础,企业网带给用户的就不仅仅只有资源共享及节约费用了,而是能和运行在其上的信息应用系统共同带给用户新的生产力。运行在企业网之上的信息应用系统涉及企业管理、生产的各个方面,能极大提高企业效率。因此,企业网的建设已是规模企业的必然选择;同时,企业网的稳定可靠也成为企业网建设中最重要的追求。
本文后面阐述的思想及技术实现适用于1 000人左右的企业用于构建稳定可靠的企业网。本文对网络建设中的常规思路及通用做法着墨不多,以介绍经验为主;重点介绍冗余技术的设计与实现。如果读者的业对网络的要求较低或从降低成本考虑,可适当降低冗余配置程度,比如核心与各汇聚局域网以单链路连接、单因特网宽带接入等,但这样做的后果就是可靠性大大降低。本文的思路与技术实现已经在实例网络中得到体现。
2构建稳定可靠企业网的几个要点
2.1稳定可靠的网络结构
确立网络结构时,除了要考虑可扩展性、可管理性等方面外,更应看重稳定性、可靠性方面的设计。
首先确定网络拓扑结构。各种拓扑结构各有优缺点也各有针对性,如果没有特殊需求,一般建议选择星型拓扑结构,因为这种拓扑结构有结构简单、容易实现、便于管理及故障点容易检测和排除。此结构是目前构建中小型企业网的主流结构。但是星型结构在可靠性方面有个大缺陷,就是中心节点的故障会导致网络瘫痪。对此缺陷,必须采取必要措施加以弥补,这个措施就是中心节点的冗余配置。企业网的中心节点一般是核心交换机。中心节点的冗余配置不是指设置2个中心,而是指加强作为中心节点的核心交换机的配置,使得中心节点非常可靠,不容易失败。
接着,确定网络的层次结构。清晰合理的层次结构也有利于网络的稳定可靠。网络具有层次结构,既有利于后期的管理,也有利于故障的隔离。在实例中,把网络划分成了三个层次:核心层、汇聚层、接入层。接入层直接为终端提供接入;汇聚层终结VLAN;核心层以转发各局域网网间流量为主。
然后,确定同城不同区域局域网的互联方法。这部分可根据企业应用系统的要求,同时根据成本花销情况(毕竟租用电信运行商线路是很昂贵的),选择适合自己企业的互联方法。可以租用数据专线,也可通过因特网以VPN的方式互联。本例中,采取的是数据专线做互联主链路,VPN做备用链路。
图1就是按照上述思路强化了结构的网络实例拓扑图。针对星型结构的缺陷,中心节点由2台核心交换机组成。核心交换机与各局域网都以双链路连接,因特网宽带也采取双链路接入。
图1结构加强过的实例网络拓扑图
2.2IP规划及路由策略
IP规划及路由策略问题往往容易被中小型企业网设计者轻视,但等网络建成了,才会发现由于前期缺少策划导致后面的工作很繁琐。
由于中型企业内部网段比较多,如果仍然像在小型企业网那样在私有网段内随意指定IP地址段,往往会导致后期的路由指向困难及其它问题。
而路由策略不仅要考虑是否要启用动态路由,还要考虑采用路由聚合,及支持策略路由功能等。启用动态路由的理由是应对可能的IP网段太多;采用路由聚合的理由是简化路由指向;策略路由能解决一些基于源地址的路由指向。
规划IP时,适当考虑可变长度子网掩码(VLSM)技术,便于灵活调整子网的个数及主机的数量,以满足网络划分的不同数量要求。也要考虑路由聚合,把便于路由聚合的IP地址段分配给同一局域网内。
在核心层启用互联网段,用于各汇聚层网络的互联互通。
2.3远程接入及访问因特网部分的设计
这部分通常的网络方案设计中,设计人员喜欢既配置了路由器又配置防火墙。其实,如果路由要求不高的情况下,可以只选配防火墙。
本网络实例中,防火墙不但承担了对因特网的访问任务,还承担了外埠分支机构的VPN接入任务。考虑到现代企业对因特网访问的依赖程度提高了,实例网络安排了双防火墙双因特网接入。
而针对外埠分支机构的专线接入,可直接接入核心交换机,也无需路由器。
这样做的好处是结构简单,在功能上也没什么缺失。结构简单的好处是低故障率,出了故障也容易排查。
2.4网络管理
网络管理其实是开始于设计阶段的,设计网络结构时要考虑后面的运行管理,比如分层的网络结构让VLAN终结在汇聚交换机。IP在规划时考虑到路由的聚合,会给后期的路由指向带来方便。
谈网络管理,必然要涉及网管软件。网管软件不是网络管理的必需,但随着网络规模的扩大,它的作用就越大,也越重要。对于规模不大的中小型企业网络,尽量在设计阶段就考虑到管理因素而又针对性地设计,以求网络开始运行后,在没有采用任何网管软件前能够手工地较快速地定位故障点,进而排除故障。
之所以有这样的考虑,是因为选择一种适合本企业网络的网管软件并不是一件简单的事情。选择网管软件首先要清楚,自己要管理什么,是性能管理?故障管理?配置管理?安全管理?计费管理?或者全部,或者部分。其次,在技术上要清楚,网管软件大体分三个层次,即网元治理、网络层治理和业务治理,而本企业需要什么样的治理?基于以上原因,网管软件更适合在网络系统建立并运行后,在需求分析的基础上选择平台级的网管软件。开始阶段可选择由设备厂商提供的网元治理类的网管软件,比如CISCO Works。
3热备功能的实现及其它功能的说明
结构上做了冗余设计,要真正地发挥设备和链路的热备的作用,还要进行相关设定后才能实现。其它功能也是企业网必须具备的。
3.1HSRP实现双机热备
HSRP原理,首先由多台路由器组成备份组,此备份组可看成是一台虚拟的路由器,有独立的虚拟IP,网内主机以这台虚拟路由器为网关。在备份组内有一台路由器是活动路由器,由它来完成虚拟路由器的工作,当此台活动路由器出故障时,组内的另一台路由器会接替活动路由器,来完成虚拟路由器的转发工作。而这些,对网内主机是透明的,它们只能看到虚拟路由器。CISCO大部分3层交换机都支持HSRP。
以某VLAN为例给出设置要点。
1、在核心交换机A上
Interface VLAN7
ip address 192.168.7.253255.255.255.0
standby7192.168.7.254/*虚拟路由器的IP
standby7priority 110/*设置优先级
standby7preempt /*设置抢占模式
2、在核心交换机B上
Interface VLAN7
ip address 192.168.7.252255.255.255.0
standby7192.168.7.254
standby7preempt
3、在网内电脑上
把网关设置为192.168.7.254
3.2SLA实现双链路自动切换
SLA(Service Level Agreement)服务品质保障协议,可用于网络侦测,通过发送指定协议的报文来侦测链路的情况,根据链路情况选择路由。
如果第二链路是另一家电信运营商的租用线路,实现此功能相对简单。如果考虑降低成本,一线多用,可用宽带线路通过IPSEC VPN来搭建第二链路,这就多了IPSEC VPN的设置工作。
由于IPSEC VPN的实现因网关设备的不同而不同,本文就省略这部分设置的说明,只说明下交换机端的设置要点。实现原理:路由器(或三层交换机)通过(ICMP)PING远端路由器(或三层交换机)来验证第一链路的状态,如果第一链路失败,则激活第二链路,实现故障切换。使用对象跟踪功能(object track)保证静态路由的可靠备份。
ip sla 1
icmp-echo 192.168.1.6 /*ping远端交换机第一链路接口
timeout 1000
threshold 2
frequency 3
ip sla schedule 1 life forever start-time now
……
track 1 ip sla 1 reachability/*跟踪ip sla 1,如果没有返回ping包,则track状态为down
……
ip route 192.168.176.0255.255.240192.168.1.6track 1/*只有track状态为up时,此静态路由建立。如果track为down,则下面这条路有开始转发数据。
ip route 192.168.176.0255.255.240.0192.168.1.210
注:远端网络由若干C类网段组成,所以掩码是255.255.240.0,这里采用了路由聚合。要采用路由聚合,必须先有网络地址规划,即便是私有地址,也不可以随意指定。
3.3其它功能
其它几个基本功能,有些是必须要采用的功能,比如VLAN、DHCP、访问控制列表等,能满足基本的网络管理要求;有些则是高级功能,如策略路由、QoS、动态路由等,能满足一些高级的网络管理要求,或者能提供管理的方便性。
对于VLAN、DHCP、访问控制列表的使用,是企业网络管理中最基本的要求,网络管理员都应熟练掌握,本文不再赘述。而那些高级功能,则在网络运转起来后,根据需求决定是否采用。我在此提醒一下,有些功能需要交换机OS(操作系统)的升级。比如策略路由,一般三层交换机预装的OS都不支持,如果本企业确实需要这样的功能,可以通过升级OS来得到。
4结束语
基于上述思路具有了冗余设计的实例网络在建成后,除了正常提供基本的网络功能外,在运行过程中还经历过一系列的故障的考验。某台核心交换机的一块接口业务板曾经损坏,由于是双核心交换机配置,得以迅速切换到另一台交换机,短时间内恢复了用户网络。核心网络与某局域网的电信专线连接也因为电信方的故障而中断过多次,而因为采用了基于SLA技术的设置实现了链路的自动切换,对用户应用并没有造成可感知的延时。以上事实足以证明实例网络在强化冗余能力方面的设计是成功的。
2、信息网络建设对于中小企业发展起到的作用
2.1设备层与管理层网络的互联
在中小型企业的经营过程中,从产品以及服务相关的广告宣传以及业务的交易洽谈和产品的定购等一系列的交易活动中,都是需要进行消耗企业自身很多的资金。这就导致中小企业经常性的会由于自身的资金短缺而造成失去和大企业之间进行公平竞争的很多机会。现在信息控制网络的出现以及广泛的使用,就使在整个工作的流程中为中小型企业进行节省很多的资金。使用网络咨询以及交易洽谈的功能,不单单可以使企业不出差就可以在世界大范围上来进行寻找合作的贸易伙伴,并且还可以使用电子邮件和新闻组以及讨论组和网络会议等网络连接实现对产品详细信息进行获取,或者是对业务进行洽谈,这样就可以解决时间以及空间上造成的限制,这样就可以为企业节省很多的交易费用。
2.2控制网络可以为中小企业节省大量的贸易资金
我国的企业飞速的发展以及组织的不断膨胀,这就造成企业非常容易发生形形的问题,比如官僚化的倾向以及创业激情的渐失和企业组织的分化和企业管理失控等诸多的问题。企业职责不明和流程不清以及绩效考核不明确以及企业激励体制严重缺乏等一系列的问题都是制约中小企业稳步发展非常严重的问题。例如企业的日程软件的使用,可以实现对相关的用户电子形式的工作日志进行检查,这样就可以来确定企业开会的大概时间,进而来安排会议的目录,同时还可以通过电子邮件发送的形式,来通知企业中可能需要进行参加会议的相关人员。控制网络中日常办公文件在网上进行传送的系统,不仅可以实现在网上进行办公,还可以实现电子形式的存档,这样就实现了便于进行查询。对于文件进行起草有相关规定的具体模版,对于发文以及收文可以根据不同的权限来进行查看互不相同的文件。
2.3工业控制网络提高企业自身管理
对于企业的外部相关信息会严重的影响到战略层领导者进行的具姚延平黑龙江省中小企业服务中心150001体决策以及员工日常工作状况。因此企业的战略决策相关人员一定要特别的注重企外部涉及到的形形的信息,例如政治信息以及军事信息和经济信息等相关信息的收集。在传统的企业发展状态下,和大型企业之间进行相比,中小型企业自身存在在信息方面的严重匮乏的现象,并且主要是存在企业外部的信息严重的匮乏。这种严重缺乏的现象主要原因是很多方面的,这其中人力非常有限和资金不足以及企业管理非常的混乱以及观念滞后等诸多的现象。企业的各级员工可以从互联网上进行获得相关的信息,并且还可以进行通过建设在企业局域网上的知识管理系统来进行汇集成整个企业信息资源库中的一部分。
2.4工业控制网络为中小企业提供丰富的信息资源
为了保证可以再在市场激烈的竞争中立于不败之地,就要求中小企业进行建立合作网络的建设方式进行实现交易成本的降低,进而来实现企业个体之间的资源以及信息的互补共享,实现增加自身的适应性,并且进行降低整个环境所存在的不确定性,进而实现自身具备更强的立足生存能力。现在.信息网络的应用,不仅实现了扩大企业之间合作的范围,同时还提高了企业之间合作的质量。中小企业集群所指的仅仅是进行相互合作的企业在某一特定的地域进行聚集。使用先进的自动化信息网络不仅可以克服由于空间距离上存在的障碍,这样就可以使企业网的范围可以实现超出地区范围的限制,国界的限制。
3、我国中小企业信息网络的发展的趋势
当前工业控制网络的发展趋势是从多种现场总线共存,多种系统的集成和多种技术的集成,最终趋向统一由于以太网具有应用广泛,价格低廉,通信速率高,软硬件产品丰富,应用支持技术成熟等优点,目前它已经在工业企业综合自动化系统中的资源管理层。企业加速网络是一种新型技术创新服务组织,符合当代技术创新服务的发展趋势,标志着创新服务进入高级阶段。企业加速网络基于模块化的技术创新服务,集聚创新资源并以网络化的方式为中小科技企业和技术型创业者提供强大的服务支撑,能够实现范围经济、规模经济和速度经济,是培育战略新兴产业的重要服务组织。尽管模块化与网络化是当前产业组织变革的重要趋势,但并非意味着技术创新及其服务行业可以简单采用这些模式;即便已经开展的实践活动,仍然存在大量有待进一步观察和深入探索的内容。大量文献密集地分析了模块化与网络化的功能、优势和竞争力等问题,使得市场参与者对此十分关注并大力实践。
(二)积极筹措资金,连续加大投入。络建设离不开资金的支持。近几年来,我们千方百计多方争取信息网络建设资金,不断加大投入力度,有效的保证了信息网络建设的资金需求。我们将信息网络建设列入中小企业发展专项资金支持的重点之一,省级专项资金每年切出一块用于信息网络建设,并要求各市、县财政予以配套支持,充分调动了市、县局争取当地财政配套资金投入网络建设的积极性,形成了信息网络建设投入的合力。“十五”期间仅省局就筹措了1000余万元资金用于信息网络建设。从20__年信息化建设起步,通过财政支持和省局自筹投入100万元,完成了省局办公局域网建设,建立了第一个乡镇信息化发展的基础平台;到20__年制订了全省民营经济管理部门信息服务体系建设三年规划,从20__年至20__年每年均筹措200万元资金投入到信息网络建设;20__年又在中小企业专项资金中安排了300万元信息网络建设经费,直接支持11个设区市局局域网和民营经济网站建设,并为50个县(市、区)配备了计算机、打印机、传真机等设备。到20__年底,有10个市建立了民营经济、乡镇企业信息网络。20__年又筹措200万元,为110多个(市、区)配备了计算机、打印机、传真机等设备。到目前,全省所有的县级民营经济、乡镇企业主管部门均配齐了专用微机,全省乡镇企业系统网络初具规模,乡镇企业的信息化建设获得快速发展。
(三)打造门户网站,完善服务平台。为强化对民营企业、乡镇企业的信息服务,我局于20__年建成了全省民营经济门户网站——[找文章到文秘站网-一站在手,写作无忧!大=秘=书=网=站]__民营经济网(__乡镇企业网),打造了__中小企业窗口形象,对各市、县网络建设起到了示范带动作用。网站设计栏目180多个,包括政务信息、政策法规、民营经济、招商引资、企业之窗、供求信息、统计信息、产品展示、融资担保、企业信用、服务体系、项目库、人才库、专家库、企业信息化、产品分类等,信息容量较丰富,服务功能较强。20__年又对网站进行了改造提升,在原网站的基础上,添置了硬件设备,拓展了服务平台,增大了信息流量,提高了服务功能。初步形成了以政府公共服务、非营利机构公益服务和中介机构商业化服务为一体的,满足民营企业、乡镇企业基本需求的全方位服务网络。目前的__民营经济网作为服务全省民营经济、乡镇企业的公益性网站,已有网络会员8000余个,日更新信息上百条,日点击量6万余次,每年为国家部委网站提供信息近5000多条,在“中国__”网上信息千余条,为企业开辟了人才招聘、供求信息、产品展示、信息化培训等内容,日渐成为受企业欢迎的网站,在我省近百个省直网站中居于前列。
(四)发挥网络功能,开展多元服务。我局积极利用信息网络,利用省局网站每年为乡镇企业近万条,主要提供供求信息、科研成果,推介企业产品、招商引资、开展网上人才供求和法律咨询等多样化的信息服务。连续三年组织开展了大中专毕业生网上百日人才招聘活动,帮助企业吸纳人才近万人。同时,依托民营经济系统信息网络在省局和各市建成了“北大大课堂”多媒体教室,同步授课440次,培训企业经营管理人员20__0多人次。开展了信息咨询服务,为企业提供了大量的项目、技术、招商、融资等信息,积极配合国家部委网站,组织开展了企业信息化和“企业上网工程”,截至目前,在全省已有10753家企业成为注册会员。架设了企业与政府部门之间的信息 桥梁,通过网站及时宣传国家、省委、省政府支持民营经济发展的政策措施,公布了省局企业投诉热线、阳光热线,设立了领导电子信箱,加强了民营经济行政管理部门与企业之间、社会之间的交流和沟通,在促进职能部门为企业服务、创造宽松环境等方面发挥了良好作用。
(五)健全管理体系,强化组织领导。我省各级政府对乡镇企业信息化建设工作给予了大力支持,各级乡镇企业主管部门把乡镇企业信息网络当作展示部门形象的窗口,联系社会的桥梁,为企业服务的平台,对乡镇企业信息网络建设工作予以了高度关注,实施了强有力的领导。
一是建立专职工作机构。为确保信息网络建设工作的落实,经积极争取,于20__年9月经__省编办批准,在20__年2月成立了__省中小企业信息中心,该中心为省局直属的自收自支事业单位,编制15人,主要职能是:为中小企业的发展提供技术、项目、物资、设备、资金、人才等信息;负责__省民营经济网站的设计制作及运营维护,建立乡镇企业信息服务平台,推动乡镇企业信息化和企业上网工程。信息中心自成立时起,就确立了以服务企业、服务社会、服务局机关为主旨的指导思想,两年多来始终围绕省局党组的工作重点,创造性地开展信息服务工作。信息中心十分注重规范化管理,着重加强了制度建设,先后制定了《信息中心机房管理规定》、《微机维修记录表》、《__民营经济网采编作业指导书》等十多项规章制度,各项工作逐步趋于规范化、制度化,认真履行了工作职责,配合局机关有力地推动了我省的信息化建设。
有部分设区市乡镇企业主管部门也仿照省局做法,建立了专门负责信息网络建设工作的信息中心,大部分市、县乡镇企业主管部门配备了专、兼职信息员,保持了全省信息网络建设工作的上下衔接。
二是落实层级负责制。在省、市、县乡镇企业主管部门都成立了以主要领导负责、主管领导主抓的乡镇企业信息网络建设工作领导小组,各级信息网络建设工作领导小组负责对本级乡镇企业信息网络建设的规划制定和工作协调,同时接受上级业务主管部门的指导和对下级部门的指导,有效保证了乡镇企业信息网络建设工作的顺利进行。
三是贯彻业务分工责任制。在网站经营管理上,我们充分发挥了“全局办网”的积极性,根据机关业务处室的需求设置网页,主要依靠业务处室主动提供信息,及时更换网页内容,随时保持信息的新颖。
四是落实专项工作督导机制。为保证全省乡镇企业信息化建设和网络建设工作的顺利开展,我们在全省乡镇企业系统建立了机关行政督导和信息中心业务督导制度。将信息化建设作为机关业务工作的重要内容,及时进行督促检查,并由信息中心在网站上每季度通报一次各市向上级网站报送和采用信息情况,有效的促进了各设区市局网站的建设。在已建成的10个设区市局网站中,有三个网站的网页浏览率国际排名达到35万位左右,为乡镇企业的服务功能明显增强。
邯郸市民营经济网在扩建网站机房的同时,增配了硬件设施,对网页进行了升级改版,增强了对全市中小企业推介、宣传、服务功能。今年上半年开展了生动活泼的网上商品贸易洽谈会,成功为1500多家乡镇企业推介项目260多个,展销产品3200多种。
廊坊市民营经济网主动加强与企业联系,积极发展网络会员,目前参加网络的企业会员总数已达到2千多个,免费为企业各类信息万余条,使网站成了乡镇企业的知心朋友。
二、“十一五”期间全省信息化工作的思路和保障措施
“十一五”期间我省民营经济、乡镇企业信息化建设的思路是:利用信息技术改造传统产业,提高我省民营企业、乡镇企业的竞争力,引导企业应用计算机网络技术,提高企业信息化水平,推进企业管理现代化进程,在__民营经济网上实现全省民营企业、乡镇企业联网。发展目标是:将__民营经济网建设成为系统功能强大,服务功能完善,实现省、市、县、重点企业与国家主管部门的五级联网,集政务、商务于一体,面向社会、服务于民营经济、乡镇企业,省、市、县、企业上下连通、运转灵活的信息网络体系。
我们拟采取以下措施保证这些目标的实现:
(一)加强政策引导。加大宣传力度,引导全省各级乡镇企业主管部门提高对乡镇企业信息化建设的思想认识,力争研究制定出台《关于加快推进全省乡镇企业信息化建设工作的指导意见》,促使各级政府和乡镇企业主管部门把推进乡镇企业信息化建设工作作为一项重要任务抓紧抓好。同时充分调动企业开展信息化工作的积极性,加快推进我省乡镇企业信息化建设的进程。
(二)加大资金投入。充分调动各级政府、乡镇企业主管部门对乡镇企业信息化建设投入的积极性,千方百计的争取多方向、多渠道为乡镇企业信息化建设提供必要的资金支持。
(三)完善服务功能。以省局主办的“__民营经济网”为主体,努力提升网站的服务功能,打造民营经济、乡镇企业信息化应用平台,为企业提供“一站式”信息化解决方案和技术支撑服务。整合社会资源,向广大乡镇企业提供企业管理、设计生产、数据分析等实时信息化推广服务系统。继续改造提升“__民营经济网”,建立网站管理、系统监控的基础平台;建立政务信息及时、网上办公管理的电子政务系统;建立企业信用数据库,提供融资担保机构信息共享,实现融资担保网上申报和风险预警的信用服务;建立电子商务平台,实现企业网上交易;建立人才需求和求职信息库,实现网上人才交流;建立科技成果和企业新技术资源库,促进技术创新;开展网上培训和创业辅导,促进全民创业活动的深入开展和小企业的催生助长;搭建国际间企业合作平台,促进外向型乡镇企业的健康发展。
(四)强化业务培训。把信息化管理培训纳入全省民营经济、乡镇企业管理培训规划方案,实施统一管理。结合“银河培训工程”,采取各种形式分期分批地举办网络技术、网络管理、应用技术、信息资源利用等多层次、多批次的专业培训班,提高信息网络管理部门、企业经营者、管理者的信息化知识水平。定期组织专家,为乡镇企业评定企业信息化水平,提供及时地专业信息化方案咨询服务。
(五)推进企业信息化建设。紧紧抓住企业信息化这个关键,开展万家企业上网活动,引导企业利用信息技术改造传统产业,应用计算机网络技术,提高企业信息化水平,推进企业管理现代化进程。以乡镇企业信息化技术应用为重点,因 企制宜,引导大型重点企业建立企业研发链、供应链、客户链等支持系统;小型企业从财务销售系统入手,直接切入电子商务的局部应用或单机上网,运用__民营经济网企业自主建站功能,帮助小型企业建立介绍型企业网站,在__民营经济网上实现全省民营企业、乡镇企业联网。
通过信息技术的广泛应用,以信息化带动工业化,提升民营企业、乡镇企业自主创新能力,促进我省经济快速健康发展。
三、我省乡镇企业信息化建设存在的主要问题及建议
我省的乡镇企业信息化建设近年来虽然获得了较快发展,信息化水平有了较大提高,但与先进省份相比,仍存在许多差距。一是民营企业、乡镇企业对信息化建设的意义认识还不足、重视不够,信息资源利用的积极性还不够高,尚需进一步加大宣传力度,增强全系统对信息化建设和对信息资源利用的自觉性、主动性。二是省局网站功能需要进一步提升,设备容量需要进一步扩大。三是机关电子政务和企业电子商务发展尚处于初级阶段,企业交易平台尚未建设,需进一步加大投入力度,做好信息网络建设的有关保障工作。
企业网的概念,在IP网络形成初期就已经开始了――特别当为解决呼叫路径的路由器产品和用于数据转发的交换机出现以后,企业网从政府到大型企业、从发达国家到发展中国家,迅速地发展起来。
评判企业网的发展,应该和更为宽泛的大网络环境结合起来:就中国的实际情形而言,电信网络、互联网、教育网络,共同组成了企业网络的外部环境,而这其中,互联网和电信网络的作用更为明显。
企业网络的发展,经历了一个从简单到复杂、从单点到多点再到系统化的过程;2005年,无论是传统的从事企业网络解决方案的提供商(例如思科、Juniper、华为3Com等),还是从电信领域扩展到企业网领域的提供商(例如爱立信、北电网络、中兴通讯等),都已经将提升网络应用效能、增加对新业务的支撑和冗余,作为发展企业网的新重点,而原本单纯地以设备功能和性能为指标的评判机制,已经难以对企业网的实际应用效果起到指导作用了。
在这样的前提下,2006年,企业网建设将呈现出完全崭新的特征,这一特征将与2005年网络智能化、SMB应用热潮一脉相承,同时伴以新的特点。
SMB需求更为旺盛
2005年,中国乃至全球市场中,最为活跃的莫过于SMB(中小型企业)市场应用了。
根据IDG的报告,全球企业网络市场的大部分增长来自于中小企业网络部署需求和大型网络的边缘改造。在这样的前提下,2005年最为清晰的特征有几个:
(1)千兆网络产品已经完全成为网络边缘产品,从原先的网络骨干转移到部门级,成为局域网产品的标配;
(2)全球端口出货量增长20%的同时,端口平均价格的降低也达到了同等程度,这意味着路由交换设备商们的利润在走低,而竞争则加剧了;
(3)面向SMB市场的无线交换机、无线路由器产品出货量增长迅速,尽管当前尚无确切的统计数字,但根据估计,与2004年相比,同比增长50%以上已经毋庸置疑;
(4)大部分厂商开始考虑在千兆产品以内,增加业务提供和保障功能,以增加产品的市场竞争能力,满足客户业务需求,这促进了“网络设备智能化”在2005年成为最大的主特征。
2005年,不同定位的厂商在SMB领域内的策略有所不同;2006年,一些新的转变将出现。
开始兼顾企业级市场的电信方案提供商们由于具有很强的整合能力,其市场目标也锁定在行业应用上,而对SMB市场的重视程度,还停留在讨论阶段,实际行动不多;尽管电信运营商面向SMB的部分业务中整合了电信方案提供商的部分方案与设备,但将SMB业务作为战略性方向的大型电信方案提供商,尚未有任何一家;2006年,随着SMB市场的继续升温,以及SMB网络部署由集中办公走向更明显的异地互联需求,同时,随着在企业网中大量视频、IP语音方案的需求,极有可能出现大型电信方案提供商将SMB领域市场也作为战略方向的转变。
2005年,主流的网络设备商在SMB市场中的策略更具代表性,以思科IOS(Internetwork Operating System,网际操作系统)为代表的网络智能化,成为促进SMB应用及市场的重要因素。应该看到,尽管“网络需要智能”的观点早在2003年就开始有厂商倡导,但是实现从观点到相关技术的转变,主要的过程是在2004年底至2005年,而且,这一过程在2006年还将继续。同时需要指出的是,对于网络厂商而言,除了向电信领域突围外,在SMB市场中寻求新的商机,已经成为当前严峻的市场环境下的重要出路之一。
所以,2006年的SMB网络市场极有可能承担更为重要的角色,并且在2005年发展的基础上,出现进一步的细分,同时移动性(WLAN)需求将更为旺盛,而在这种前提下,面向大型网络接入层以下或者中小型企业应用的网络设备商将能够获取更多的商业机会,同时,市场竞争会随着产品成熟度的增加而更为激烈――而较为看好的做法是,如果设备商能够充分考虑到设备在网络承载与传输过程中所面对的业务,而不仅仅毫无区分地将所有业务的进行都作为数据来对待,那么它们将拥有更多的机会。
IPv6“全程全网”
IPv6领域的转变,在2005年已经发生,不过,2006年这一态势将迅速明朗化。
2005年中国在IP协议方面最大的动作有两个:一是中国电信CN2采购、中国网通NGN招标的完成,这两大运营商的动作背后,意味着固定电信网络全面向软交换和IPv6的迁移;另一个动作来自教育网,CERNET 2的全网设备将支持IPv6。
这两方面的变化,虽然没有给整个市场带来大的市场机会(垄断供货和对高端技术产品的要求,使网络设备供货商的范围大大减少了),但是其所带来的后续商业机会,以及对公众互联网的影响,将在2006年明显地体现出来,由此,对于企业网络的影响,也会逐步开始。
对网络设备商而言,所有设备支持IPv6,已经是2006年的必然选择,一些大型网络设备商已经在2005年完成了这个过程,而中小型网络设备商如果不能在2006年完成这一转变,将会在下一阶段面临被淘汰的危险。并且,IPv6技术部署到网络设备中,对于大部分厂商而言,已经不再是非常艰难的技术路线,随着主流厂商产品线的不断拉长,可参照的环境也更多,这方面的障碍已经不是很多。
尽管全球转向IPv6一直是在探讨中,且其实现还是一个遥远的目标,而且根据TCP/IP的扩张情况,作为应用基础的网络骨干将会在2006年产生深刻的变化――TCP/IP尽管给网络带来可扩展性和可靠性,但是速度和效率的牺牲以及地址的过分缺乏,已经迫使IPv6被尽早提上日程,从32位的IPv4寻址转移到128位的IPv6寻址,这一“触及网络灵魂”的大范围的转变,将会给网络设备商们带来比2005年更多的商业机会。
骨干网“向IPv6迁移”的过程,并不只意味着公众网骨干的迁移,大型企业及行业将抢先一步――公众互联网由于涉及到全国乃至全球连接,加之设备更新投资问题,而产生滞后现象――大型企业及行业出于在业务及应用上的需要,将会首先在其骨干或者城域网范围内部署IPv6技术。
同时,一部分基于IPv4的产品,仍然会在2006年投放市场,并且通过价格优势进入到应用中,然而,我们可以看到,IPv4网络设备的部署都会是在网络的非主要路径上。所以,2006年既是千兆及千兆以下网络设备的“大倾销”时期,也是支持IPv6技术、集成多业务支持功能及智能化的网络设备被市场全面接受的一年。
在这之外,立足于TCP/IP的以太网结构,也会在“以太城域网”的发展过程中,在2006年的所有新建网络中占有更大的市场份额,这将给接入设备提供商们更多的商业机会――成熟而且开放的以太网技术,具有比其他组网技术更宽泛的兼容性,也会为网络设备选择提供更多的机会和空间,同时在接入方面更具冗余性。
所以,IPv6技术“Ready”和以太城域网的相辅相成,将成为大型企业网、行业网络部署过程中最为优先考虑的“特征”。
“电信级”不仅仅是稳定
如果前两个部分的探讨,是分别从SMB市场和城域网市场的角度分析了业务需求和技术取向,那么,构建电信级的企业网,则成为今后企业网市场的最普遍、同时也是最严峻的需求挑战了。
需要指出的是,企业网的电信级需求很长时间以来,一直是一个被误解的概念,业界在讨论企业网的电信级需求时,大部分将这种需求定位于“大企业、大网络”,并且在提到电信级保障时,首先提到的,必然是响应时间、冗余拓展,以及热机备份等问题。
首先,这一观念是建立在传统的5个9(99.999%)的机器性能保障上的。传统的观念认为,要使企业网获得电信应用保障,最主要的是在硬件性能上要实现电信级的保障。
其次,即使到目前为止,电信级业务在应用适应及差别化服务方面的发展,也仍然远远不如企业网;而企业网领域种类纷繁的业务支持需求,也不是电信级业务所能提供的,牺牲业务的灵活性来获得业务的稳定性,并非企业电信级需求的根本方向。
第三,近两年来的网络智能化,其根本在于确保网络自身对业务的感知――这涉及一个历史久远的讨论命题:网络业务的进行,究竟依赖网络设备的智能化,还是终端设备的智能化?如今,随着业务承载的增加,业务感知的呼声越来越高,“电信级”也应当重新加以定义。
基于以上原因,企业网“电信级”保障,既成为网络设备商和企业客户共同关注的焦点,同时,也成为业务进行过程中的难点所在――即使网络设备具有最高的性能和功能保障,但是如果业务的进行是缓慢且无序的,“电信级业务”的实现也就成为泡影。
当业务需求反映到设备上,2006年企业网“电信级业务”需求的新特征,将是“电信级业务需求不再仅仅是大型网络所独有,而是将扩展到中型企业网、小型企业网,乃至SOHO网络需求中。”
企业网所面临的业务流畅性挑战,将会随着要求网络设备对业务进行更好的支撑,转化成为“智能化”和“稳定性”的统一化要求。举例而言,企业网络将不仅要求设备在运行过程中不发生宕机,而且能够根据业务特征,进行更为智能的业务转发和分发。
中图分类号:TP393.18 文献标识码:A 文章编号:1007-9416(2013)01-0032-02
早期的中小型企业网络,部门、用户数量有限,并且处于同一个地理位置,所以为各个部门提供其所需的网络资源也比较容易。随着企业网络规模的增大,用户数量迅速增加,所在的地理位置也很分散,为了让网络满足这些物理位置不同的部门的共同需求,较好的做法是,在中小型网络中应用VLAN技术,这样就能较为容易地管理特定群体的安全需要和带宽需求。
1 虚拟局域网概述
1.1 虚拟局域网
虚拟局域网也叫做VLAN,它是一种逻辑广播域,可以跨越多个物理LAN网段。通过VLAN技术,管理员可以按照逻辑功能、项目组和应用程序来分组工作站,而无需考虑用户的物理位置。VLAN也是一个逻辑上独立的IP子网。多个IP网络和子网可以通过VLAN存在于同一个交换网络上,如果一台交换机同时配置了多个VLAN,要使网络正常运行则必须要配置VLAN中继才能实现。(中继是两台网络设备之间的点对点链路,负责传输多个VLAN的流量。VLAN中继可让VLAN扩展到整个网络上。)同时,为了让同一个VLAN上的计算机能相互通信,每台计算机必须具有与该VLAN具有一致的IP网络地址和子网掩码。而不同VLAN子网上的设备则必须通过路由器才能通信。
1.2 虚拟局域网技术的优势
(1)提高安全性。含有敏感数据的用户组可与网络的其余部分隔离,从而降低泄露机密信息的可能性。例如,校园网中可以将教师计算机位于独立的VLAN上,完全与学生数据传输和访客数据传输相隔离,可以提高数据传输的安全性。
(2)提高网络性能。将第二层平面网络划分为多个逻辑工作组(广播域),工作组内的通信可以在VLAN内部实现,不必将流量传输至网络的第三层,这样可以大大地减少网络上不必要的流量并提高网络的性能。
(3)广播风暴防范。由于,一个VLAN相当于一个逻辑上的子网,每个子网即是一个广播域,如果一旦网络中产生大量的广播帧,VLAN可以把广播帧限定在一个区域内,而不会经过路由器传播到其他的VLAN中,这样可以减少参与广播风暴的设备数量。
(4)提高IT员工效率。VLAN为管理网络带来了方便,因为有相似网络需求的用户将共享同一个VLAN。当为特定VLAN设置新的交换机时,之前为该VLAN配置的所有策略和规程均会在指定新交换机端口后应用到端口上。另外,通过为VLAN设置一个适当的名称,IT员工很容易就知道该VLAN的功能。
(5)简化项目管理或应用管理。VLAN将用户和网络设备聚合到一起,以支持商业需求或地域上的需求。通过职能划分,项目管理或特殊应用的处理都变得十分方便。
1.3 VLAN划分的基本策略
(1)基于端口的VLAN划分。这种划分是把一个或多个交换机上的几个端口划分一个逻辑组,这是最简单、最有效的划分方法。该方法只需网络管理员对网络设备的交换端口进行分配即可,不用考虑该端口所连接的设备。但是采用这种方式的VLAN,当一个网络站点从一个端口移动到另外一个新的端口时,如果新端口与旧端口不属于同一个VLAN,则用户必须对该站点重新进行网络地址配置,否则,该站点将无法进行网络通信。
(2)基于MAC地址的VLAN。在基于MAC地址的VLAN中,交换机对站点的MAC地址和交换机端口进行跟踪,在新站点入网时根据需要将其划归至某一个VLAN,而无论该站点在网络中怎样移动,由于其MAC地址保持不变,因此用户不需要进行网络地址的重新配置。采用这种方式的VLAN,就得在站点入网时,需要对交换机进行比较复杂的手工配置,以确定该站点属于哪一个VLAN。
(3)基于路由的VLAN划分。路由协议工作在网络层,相应的工作设备有路由器和三层交换机。该方式允许一个VLAN跨越多个交换机,或一个端口位于多个VLAN中。
2 VLAN技术在中小型网络中的应用实例
VLAN技术的应用十分广泛,现以某企业网络拓扑为例,分析VLAN技术在中小型网络中的基本应用。如下图所示:PC1、PC4为营销部员工,PC2和PC5为财务处员工,PC3和PC6同为人事处员工,根据这些人使用的资源将他们分组,而不考虑他们的地理位置,来管理特定群体的安全需要和带宽需求。(图1)
交换机2和3的端口分配如图2所示。
步骤1:
分析:从网络需求来看,PC1、PC4为营销部员工,PC2和PC5为财务处员工,PC3和PC6同为人事处员工,为了保护相同部门的员工之间通信的数据的安全,采用划分VLAN的方式来实现相同部门间用户的通信。当然,不同部门员工间要想通信,S1必须是三层交换机。这里只给出VLAN的具体配置方法。
在交换机S1上创建VLAN:
S1(config)#vlan 10
S1(config-vlan)#name faculty/staff
S1(config-vlan)#vlan 20
S1(config-vlan)#name students
S1(config-vlan)#vlan 30
S1(config-vlan)#name guest
S1(config-vlan)#vlan 99
S1(config-vlan)#name management
步骤2:
分析:在交换机S2和S3上同样也执行上述相同的命令,创建四个VLAN,并为其命名。
步骤3:
分析:S3上将交换机端口分配给VLAN,交换机S2执行相同的命令。
S3(config)#interface range fa0/6-10
S3(config-if-range)#switchport access vlan 30
S3(config-if-range)#interface range fa0/11-17
S3(config-if-range)#switchport access vlan 10
S3(config-if-range)#interface range fa0/18-24
S3(config-if-range)#switchport access vlan 20
步骤4:
分析:分配管理 VLAN,并为管理 VLAN 配管理IP地址,S2和S3上执行同S1相同的命令。
S1(config)#interface vlan 99
S1(config-if)#ip address 172.17.99.11 255.255.255.0
S1(config-if)#no shutdown
步骤5:
分析:为所有交换机上的中继端口配置中继和本征 VLAN。
S1(config)#interface range fa0/1-5
S1(config-if-range)#switchport mode trunk
S1(config-if-range)#switchport trunk native vlan 99
S1(config-if-range)#no shutdown
S1(config-if-range)#end
步骤5:
分析:交换机S2和S3也执行同S1相同的配置命令。
3 结语
虚拟局域网技术是一种比较热门的新兴网络技术,它的灵活性较强,为中小型企业网络的组建带来了较高的网络安全性和较好的网络性能。随着VLAN技术的发展,我们要在今后的网络建设上投入更多的精力,使VLAN技术为中小型网络的管理带来更多的便利。
参考文献
[1]思科网络学院教程:LAN交换和无线.人民邮电出版社,2009-01.
企业网络安全系统就是企业借助计算机、通信设施等现代设备,构建相应的满足企业日常经营和管理需求的系统模式。随着信息技术的快速发展,企业网络建设更加成熟和完善。整个网络系统能够跨越多个地区、覆盖千家企业和大量用户,网络比较庞大且复杂,不管网络构架多么的复杂,其应用系统种类更加繁多,各系统间关联性更强[1]。目前,企业网络安全系统主要面临以下威胁:(1)物理层安全威胁会导致设备损坏,系统或网络不可用,数据损坏、丢失等。(2)因企业管理人员水平不高,引发企业内部信息泄露的威胁。同时,在整个网络中,内部员工对企业网络结构、应用比较熟悉,自己攻击或泄露内部信息,也会导致系统遭受致命的安全威胁。(3)计算机病毒是一种可以将自身附加值目标机系统的文件程序,其对系统的破坏性非常严重,会导致服务拒绝、破坏数据或导致整个系统面临瘫痪。当病毒释放至网络环境内,其无法预测其产生的危害。
二、企业网络安全防护系统设计
1身份认证系统的设计与实现
身份认证作为网络安全的重要组成部分,企业网络安全系统中设计基于RSA的认证系统,该系统为三方身份认证协议。
(1)申请认证模块的设计与实现
CA设置在企业主服务器上,本系统主要包含申请认证、身份认证、通信模块。其中,申请认证完成与申请认证相关的操作,该模块实现流程如下:用鼠标点击菜单项中的“申请证书”,弹出相应的认证界面。在申请书界面内,输入用户的姓名及密码,传递至CA认证。
CA接收到认证方所发出的名称和明码后,并将认证结果发送至申请证书方,当通过用户验证将公钥传给CA。
CA接收申请证书一方传来的公钥,把其制作为证书发送给申请方,完成CA各项功能。申请方接收CA传来的证书后,保存至初始化文件.ini内。在申请方.ini文件内可以看见用户设置的公钥。
(2)身份认证模块
实施身份认证的双方,依次点击菜单项中的身份认证项,打开相应的身份认证对话框,提出验证方的请求连接,以此为双方创建连接[2]。
实际认证过程中,采用产生的随机数字N1、N2来抵抗攻击。B验证A证书有效后,获取自己的证书,产生随机数N1对其实施签名。随之把证书、签名的N1两条信息一起传递至A。A接收B发出的信息后,将其划分为两个部分,并验证B的身份同时获取B公钥。A验证B证书属于有效后,取出N传出的随机数N1,并产生随机数字N2,把密钥采用B公钥加密,最终把加密后的密钥采用A传送至B。B接受A发出的信息后,对A签名数据串进行解签,对传输的数据进行验证。如果验证失败,必须重新实施认证。实现代码如下:
UCHARdata[1024]={0}://解密后的私钥文件UINT4datalen=10224//解密后私钥文件长度if(RTN_OK!=CryptionProe(ATTRIB_SDBI_KEY,Dec_keylen,DNCRYPT,kk->length,data,&datalen)){m_List.AddMSg(解密私钥失败”,M_ERROR):deletekk;retllrn;}e1se.
2安全防护系统的设计及实现
设计安全防护系统旨在保护企业内部信息的安全,实现对各个协议和端口过滤操作,并实时监测网络的安全性。
(1)Windos网络接口标准
安全防护系统总设计方案是基于Windows内核内截取所有IP包。在Windows操作系统内,NDIS发挥着重要的作用,其是网络协议与NIC之间的桥梁,Windows网络接口见图1。其中,NDIS设置在MinpORT驱动程序上,Miniport相当于数据链路层的介质访问控制子层。
(2)数据包过滤系统
数据包过滤系统主要过滤IP数据包、UDP数据包、传输层TCP、应用层HTTP等。包过滤技术遵循“允许或不允许”部分数据包通过防火墙,数据包过滤流程见图2。包过滤装置对数据包进行有选择的通过,采用检查数据量中各数据包后,依据数据包源地址、TCP链路状态等明确数据包是否通过[3]。
综上所述,现阶段,我国多数企业设置的安全防护系统主要预防外部人员的非法入侵和供给,对企业内部人员发出的网络攻击、信息窃取无法起到防护的效果。文中对网络系统安全存在的安全风险展开分析,提出企业网络身份认证系统和安全防护系统设计与实现步骤,以此提升企业网络信息的安全性,为企业更好地发展提供安全支持。
参考文献:
[1]徐哲明.企业网络系统安全修补程序构架的设计[J].计算机安全,2013,17(8):47-50.
[2]劳伟强.企业数据网安全防护体系的研究与实现[J].电子世界,2013,35(22):154-154.
中图分类号:F713 文献标识码:A
一、引言
营销网络,即营销渠道、销售渠道和分销渠道,也被称为是产品或服务从生产者转移到用户或消费者者的通路。在营销网络中,主要包括制造商、商、分销商、批发商和零售商等;营销网络增值占的比例越来越大,营销网络已由原来的物流增值的作用,转变成为一个企业的重要的核心竞争力,已成为企业在激烈的市场竞争中胜的法宝,发挥着巨大的作用,促进了企业的发展。在市场经济体制下企业构建一个属于自己的营销网络,必须正视目前的营销网络中的问题,对网络营销有明确的清晰的理解。
二、企业营销网络建设问题分析
目前,营销网络建设管理大多数企业处于粗放阶段,在市场经济体制下出现的问题非常明显:
1、在当前经济形式下,营销网络能够给企业带来的利润贡献率明显下降,中小企业的营销动力不足,特别是缺乏国内外市场的竞争力。其原因是这些企业缺乏有效评估营销网络经济能力,缺乏经验不能及时应对市场变化,缺乏抵御市场风险的能力。
2、企业家企业缺乏营销网络能力。企业不采取科学的方法来设计产品营销网络,对渠道的选择只注重数量,而不是质量。在渠道选择上,没有根据的产品来设计分销渠道的长度。有些公司试图一劳永逸,试图用一种设计来满足所有的企业营销网络建设。
3、企业忽视了营销网络的持续性管理变化。许多营销网络成员在进行企业的营销网络设计时,对营销策略的理解不够,缺乏有效的指导和培训评估,在渠道激励、促销措施等方面没有形成有效的沟通机制和管理制度,在管理过程往往制订的政策不系统。没有选择一套先进的方法,用理论来指导自己的管理实践。
4、营销网络营销意识落后,营销手段单一。目前营销界提出的战略思想是“4S”的思想,即满意度、售后服务、速度、真诚。大部分中国的企业营销是不成体系的,只顾眼前的利益,没有品牌意识,不以做客户关系的建设,不搞终端维护,对渠道的培训和提高意识不强。
5、营销网络中不同的渠道成员之间不规范促销现象普遍,渠道间冲突不断。有的渠道为了争夺市场和客户,在本区内按照规定的价格销售,在其他区域低价格竞争。这些最终导致了企业品牌实力被削弱,销售网络铺设受阻。主观原因是企业没有建立完善的评价体系,缺乏对销售的管控。
三、科学合理地建设营销网络
采用科学的控制措施,合理建设营销网络是企业是营销工作的重点工作之一,网络营销模型即是对现有在营销网络模型的构建,包括直销模式、模式、特许经营或特许经营模式等。对于企业来说,建立营销网络模式,建立自己的营销网络,形成企业的优势,可促进企业的快速增长。同时,大中型企业在选择网络营销模式时,必须考虑各种模式对于自身的利弊,做出最佳的选择。
1、直销模式。一般来说,直销模式没有中间环节,厂家直接向终端客户提品,包括:直营专卖店、直销、直邮、网上直销和自动售货机和许多其他形式。直营模式可作为小型和中小型企业的较好的选择,优势在于可使企业省去不必要的费用,节省营销成本,节省人力资源成本,减少中间环节。其本质是企业降低成本,它可以形成更好的价格,真正让利给消费者。
2、模式。经销、、销售统称为性质的营销网络,他们的共同特点是生产的企业本身并不直接向最终消费者和零售市场,而是通过营销成员的中介作用,依靠营销网络成员的实力和丰富的线网络产品推向市场。是一个很好的营销网络模型。如今的营销实践中,主要存在三大类的制营销网络模式,即总制,区域制,混合制。
3、特许经营或连锁加盟模式。在市场经济体制下,很多企业已迅速形成了商业模式和企业营销网络模。特许经营是指授权给其他企业使用自己的品牌和管理经验的企业,经营自己的生意,“复制”业务的经验,推销自己的产品和营销网络的发展模式。特许经营许给别人是一个特定的经营权,特许经营是签订特许经营合同,收取一定的特许权使用费。虽然特许经营模式在本质上和特许经营是经营同一项业务,即还共用一个品牌和管理系统,并且会向被特许企业收取一定的特许费用。加盟商必须遵守特许经营合同的,要对品牌资产管理系统加以维护。区别仅在于特许经营模式是从许可人的观点的角度来看。从授权方的角度来看,特许经营模式的营销网络模式是特别适合的商业模式明确,但目标客户分散的行业,许多商品和服务,通过特许经营的方式,能够推广到小型和中型市场,并且取得较高的覆盖率。
4、关联营销模式。关联营销网络模式可俗称为“借鸡生蛋”,即借用营销网络实现自己的产品销售。联盟营销网络优势即是在沟通和销售方面,很少或根本没有竞争对手的干扰,短期内不会面临竞争的问题,企业容易获得相对的竞争优势。
四、结语
企业要赢得市场份额,特别是在激烈的市场竞争中取得成功,要增强自身的竞争实力,成长为全国性的大企业甚至是大型的全球性公司,应根据自己的实力、行业的性质及市场竞争情况,结合外部环境中的机会,通过衡量,选择适宜的营销网络模式,构建自己的营销网络。
(作者:苏州大学东吴商学院工商管理专业2011春季班,市场营销方向)
参考文献:
[1]冯留锋、熊黎,金融危机对我国的影响以及我国货币政策工具的选择[J]. 广西大学学报(哲学社会科学版),2009,31(增刊):254-255.