企业网络设计方案模板(10篇)

时间:2023-01-01 18:43:05

导言:作为写作爱好者,不可错过为您精心挑选的10篇企业网络设计方案,它们将为您的写作提供全新的视角,我们衷心期待您的阅读,并希望这些内容能为您提供灵感和参考。

企业网络设计方案

篇1

通过近年来各企业网络组建的效果来看,我们会发现将网络应用到企业的发展过程中,一方面可以使得企业高层可以快速的对公司资源进行整合,优化资源配置。另一方面达到资源共享的效果,办公自动化模式的实现很大程度上提高了工作效率,员工可以随时对资料进行及时准确的传输。可见在不久地将来,网络组建将成为企业发展的新趋势。中小企业在面对来自大公司以及国内外企业的竞争压力下,如何利用网络来提升企业的核心竞争力已经成为企业运行的关键所在。接下来我将从中小企业网络组建的必要性、设计方案、未来发展趋向三方面进行分析,希望能促进企业的改革。

1中小企业网络组建必要性

1.1促进企业信息共享

企业在过去的发展过程中,计算机之间处于独立的模式,并未实现资源共享。但是目前中小企业所面临的是大量的信息传递、资料查询、信息加工等工作,有时总部与分公司之间跨地域的分布格局,增加了工作的难度,因此需要企业不断改革管理模式,实现企业自动化管理的目标。通过网络组建实现跨地域、跨时间信息共享的目标,从而减轻工作量,提高管理水平。

1.2提高企业管理效率

通过企业内部网络组建,可以使工作者可以快速地对业务进行跟踪,掌握瞬息万变的市场情况,为高层领导决策的制定提供数据支持。另一方面部门之间可以通过内部网络进行随时沟通,在避免工作重叠等现象出现的同时,提高人力资源的整合度,充分利用人才的优势使得自身的投资更有益。除此之外电子化办公使得传统的纸质化办公得到了改变,提高了工作效率。

1.3自身发展需要、社会要求

中小企业网络组建不仅是自身发展的需要,也是时展所驱使的。自改革开放以来,企业数量不断增多,而且企业收益的五分之三都来自于中小企业,这就促进国民经济发展、提供社会就业、稳定社会发展方面发挥了重要作用。为了激发企业创造更多社会效益,就需要中小企业不断提高管理效率,将科技的现代化优势不断应用到企业发展过程中。另一方面面对国内外企业激烈的竞争,中小企业要想在复杂的环境中长久立足,就需要加强自身核心竞争力,通过网络组建降低企业经营成本,促进资源贡献,优化资源分配,以获取更多的利益。

2中小企业网络组建设计方案

2.1网络系统的应用

近年来Internet已经被社会各界广泛使用,它可以提供各种类型的浏览器、网络聊天、电子邮箱,并且用于经营企业的时候可以为企业提供及时的、准确的市场信息,将Internet接入企业网络组建也成为企业的最好选择之一。在接入的过程中需要根据自身的资金状况与企业信息的使用频率来对宽带进行选择。除此之外企业可以通过建立Intranet来满足企业自身发展的需要,首先通过ISP的连接通道接入INTRANET,但是该技术在接入过程中所选用的服务器需要有较大的存储容量,百G或1TB以上以及具有足够的内存和较高的运行速度,并且具有良好和可扩展性,以满足将来更新换代的需要。

2.2网络设备的选择

在网络设备的方面需要具备可靠性、安全性、可扩充性等特点,并且在选择的同时不可以盲目的选择过于高档的产品,以免技术成本与后期维护成本过高。因为我对cisco比较熟悉,就从cisco方面进行阐述。设备核心可以采用cisco4507R,可以根据具体的网络需求选择相应的模块光电皆可。现在的设计为单核心如果公司经济能力准许可以再加一台4507做双核心那样网络更加可靠。汇聚设备采用cisco3560G-24全为千兆接口具体数量建议看信息点了(600信息点建议6台3560每2台一组,一组大概200信息点)。接入层交换机用cisco2918-48,此设备上面带有2个10/100/1000自适应上连接口可以用来连接汇聚交换机,具体数量看公司信息点而定。上网行为管理我推荐的是深信服AC5400,接口都为千兆且功能强大,完全可以达到你要求的带宽管理,内容过滤、应用控制等。边界采用的ciscoASA5520具有4个千兆接口1个快速以太口且具有750个ipsecVPN可以满足大多数中小企业的需求。

2.3网络安全管理

现代化的信息技术发展已经被众多大型企业所接受,但是这种管理模式在创造经济效益的同时也存在安全隐患。譬如经常出现的APP中间人攻击、APR报文泛洪攻击等,已经影响了企业业务的正常开展。中小企业在网络组建的过程中,需要吸取经验,做好安全管理工作,建立完整的安全防护系统。在具体实践过程中,禁止工作人员出入与自己工作无关的区域,对系统维护的时间进行明确规定,并且详细记录系统在维护前后的状态。除此之外工作人员在使用使用移动设备时进行病毒的查杀,并且对杀毒软件进行及时升级。

3中小企业网络组建展望

中小企业在发展的过程中,受经济实力以及技术人员的影响,对网络的依赖性较大,为此必须重视企业网络的组建并且在网络组建的过程中需要遵守一定的原则。首先设备的选用应该充分考虑员工的实践能力,保证设备先进与应用简易同步进行。譬如在硬件设施的选择方面,要保持设备具有实用性、安全性、可发展性,以保证网络系统能够为决策部门服务为公司业务服务,与此同时保证后期运行的顺利。对于软件功能的选择,要考虑中小企业的发展状况。譬如服务器要求具备存储力大、速度快、吞吐能力强等特点,只有这样才能促进网络管理性能的提高,保证高负荷工作量的进行。其次后期网络的维护,要避免过分追求网络安全而忽视企业经营成本,网络维护人员需要不断加强对网络的熟悉程度,增加维修频数,以确保网络的安全运行。

4小结

中小企业要想在激烈的竞争中实现可持续发展,就需要顺应时代的发展,充分利用网络的优势。在网络组建的过程中,遵守一定的规则,譬如根据企业的自身情况慎重选择网络系统与网络设备,在选择的同时充分考虑日后的维护难度。与网络维护的相关工作队伍需要得到不断优化,全面掌握与网络管理相关的专业知识。相信在做到这些后企业可以充分利用网络的优势实现自身的发展目标。

参考文献

[1]王艳红.初级小型局域网组建方案[N].内江科技,2006(7).

[2]马树奇.网络安全从入门到精通[M]北京:电子工业出版社,1999.

篇2

中图分类号TP39 文献标识码A 文章编号 1674-6708(2013)83-0207-02

1 企业内部网络的安全现状

传统的企业网络安全防范主要都是对网络病毒、系统漏洞、入侵检测等方面加以设置,安全措施和相关配置通常都在网络与外部进行连接的端口处加以实施,采取这样的网络安全防范虽然能够降低外部网络带来的安全威胁,但却忽视了企业内部网络潜在的安全问题。

目前,企业内部网络的安全问题的严重程度已经远远超过了外部网络带来的安全威胁,企业内部网络的安全威胁成为了企业信息安全面临的重大难题。但是,由于企业管理人员的网络安全防范意识不强,对于企业内部网络的安全问题不够重视,甚至没有对企业内部网络采取任何安全防范措施,因此导致了企业内部网络安全事故不断增加,给企业带来了重大经济损失和社会负面影响,怎样能够保证企业内部网络不受到任何威胁和侵害,已经成为了企业在信息化发展建设过程中亟待解决的问题。

2 企业内部网络的安全威胁

随着计算机技术和网络技术的飞速发展,企业内部网络是其信息化建设过程中必不可少的一部分。而且,网络应用程序的不断增多也使得企业网络正在面临着各种各样的安全威胁。

2.1内部网络脆弱

企业内部网络遭到攻击通常是利用企业内部网络安全防范的漏洞实现的,而且,由于部分网络管理人员对于企业内部网络安全防范不够重视,使得大部分的计算机终端都面临着严重的系统漏洞问题,随着内部网络中应用程序数量的日益增加,也给计算机终端带来了更多的系统漏洞问题。

2.2用户权限不同

企业内部网络的每个用户都拥有不同的使用权限,因此,对用户权限的统一控制和管理非常难以实现,不同的应用程序都会遭到用户密码的破译和非法越权操作。部分企业的信息安全部门对于内部网络的服务器管理不到位,更容易给网络黑客留下可乘之机。

2.3信息分散

由于部分企业内部网络的数据存储分布在不同的计算机终端中,没有将这些信息统一存储到服务器中,又缺乏严格有效的监督控制管理办法。甚至为了方便日常办公,对于数据往往不加密就在内部网络中随意传输,这就给窃取信息的人员制造了大量的攻击机会。

3 企业内部网络安全防范设计方案

3.1网络安全防范总体设计

即使企业内部网络综合使用了入侵检测系统、漏洞扫描系统等防护手段,也很难保证企业内部网络之间数据通信的绝对安全。因此,在本文设计的企业内部网络安全防范方案中,部署了硬件加密机的应用,能够保证对企业内部网络中的所有数据通信进行加密处理,从而加强企业内部网络的安全保护。

3.2网络安全体系模型构建

企业内部网络安全体系属于水平与垂直分层实现的,水平层面上包括了安全管理、安全技术、安全策略和安全产品,它们之间是通过支配和被支配的模式实现使用的;垂直层面上的安全制度是负责对水平层面上的行为进行安全规范。一个企业内部网络安全体系如果想保持一致性,必须包括用户授权管理、用户身份认证、数据信息保密和实时监控审计这四个方面。这四个方面的管理功能是共同作用于同一个平台之上的,从而构建成一个安全可靠、实时可控的企业内部网络。

1)用户身份认证

用户身份认证是保证企业内部网络安全稳定运行的基础,企业内部网络中的用户身份认证包括了服务器用户、网络设备用户、网络资源用户、客户端用户等等,而且,由于网络客户端用户数量庞大,存在着更多的不安全、不确定性,因此,对于网络客户端用户的身份认证至关重要。

2)用户授权管理

用户授权管理是以用户身份认证作为基础的,主要是对用户使用企业内部网络的数据资源时进行授权,每个用户都对应着不用的权限,权限代表着能够对企业内部网络中的某些资源进行访问和使用,包括服务器数据资源的使用权限、网络数据资源使用权限和网络存储设备资源使用权限等等。

3)数据信息保密

数据信息保密作为企业内部网络中信息安全的核心部分,需要对企业内部网络中进行数据通信的所有数据进行安全管理,保证数据通信能够在企业内部网络中处于一个安全环境下进行,从而保证对企业内部网络信息和知识产权信息的有效保护。

4)实时监控审计

实时监控审计作为企业内部网络中必不可少的部分,主要实现的是对企业内部网络的安全的实时监控,定期生成企业内部网络安全评估报告,一旦企业内部网络出现安全问题时,能够及时汇总数据,为安全事故的分析判断提供有效依据。

4结论

目前,关于企业内部网络的安全防范问题一直是网络信息安全领域研究的热点问题,越来越多的企业将办公系统应用于企业内部网络中,但是由于企业工作人员的安全防范意识不强,或者网络操作不规范,都给企业内部网络带来了更多的安全威胁。本文提出的企业内部网络安全防范设计方案,能够有效解决多种内部网络的安全问题,具有一定的实践应用价值。

篇3

中图分类号:TP311 文献标识码:A 文章编号:1674-7712 (2013) 04-0069-01

一、企业网络安全防护信息管理系统的构建意义

据调查统计显示,源于企业外部网络入侵和攻击仅占企业网络安全问题的5%左右,网络安全问题大部分发生在企业内部网络,内部网络也是网络安全防护的关键部分。因此,对企业内部网络信息资源的有效保护极为重要。传统的网络安全防护系统多数都是防止外部网络对内部网络进行入侵和攻击,这种方式只是将企业内部网络当作一个局域网进行安全防护,认为只要能够有效控制进入内部网络的入口,就可以保证整个网络系统的安全,但是,这种网络安全防护方案不能够很好地解决企业内部网络发生的恶意攻击行为,只有不断加强对企业内部网络的安全控制,规范每个用户的行为操作,并对网络操作行为进行实时监控,才能够真正解决企业内部网络信息资源安全防护问题。

二、企业网络安全防护信息管理系统总体设计

(一)内网安全防护模型设计。根据企业内部网络安全防护的实际需求,本文提出企业网络安全防护信息管理系统的安全防护模型,能够对企业内部网络的存在的安全隐患问题进行全面防护。

由图1可知,企业网络安全防护信息管理系统的安全防护模型从五个方面对企业内部网络的信息资源进行全方位、立体式防护,组成了多层次、多结构的企业内部网络安全防护体系,对企业内部网络终端数据信息的窃取、攻击等行为进行安全防范,从而保障了企业内部网络信息资源的整体安全。

(二)系统功能设计。企业网络安全防护信息管理系统功能主要包括六个方面:一是主机登陆控制,主要负责对登录到系统的用户身份进行验证,确认用户是否拥有合法身份;二是网络访问控制,负责对企业内部网络所有用户的网络操作行为进行实时监控和监管,组织内网核心信息资源泄露;三是磁盘安全认证,负责对企业内部网络的计算机终端接入情况进行合法验证;四是磁盘读写控制,负责对企业内部网络计算机终端传输等数据信息流向进行控制;五是系统自防护,负责保障安全防护系统不会随意被用户卸载删除;六是安全审计,负责对企业内部网络用户的操作行为和过程进行实时审计。

(三)系统部署设计。本文提出的企业网络安全防护信息管理系统设计方案采用基于C/S模式的三层体系架构,由安全防护、安全防护管理控制台、安全防护服务器三部分共同构成,实时对企业内部网络进行安全防护,保障内部网络信息资源不会泄露。安全防护将企业内部网络计算机终端状态、动作信息等传递给安全防护服务器,安全防护管理控制台发出指令,由安全防护服务器将指令传送给安全防护完成执行。

三、企业网络安全防护信息管理系统详细设计

(一)安全管理控制台设计。安全管理控制台是为企业网络安全防护信息管理系统的管理员提供服务的平台,能够提供一个界面友好、操作方便的人机交互界面。还可以将安全策略管理、安全日志查询等操作转换为执行命令,再传递给安全防护服务器,通过启动安全防护对企业内部网络计算机终端进行有效控制,制定完善的安全管理策略,完成对系统的日常安全管理工作。

安全管理人员登录管理控制台时,系统首先提示用户输入账号和密码,并将合法的USB Key数字认证设备插入主机,经过合法性验证之后,管理员获得对防护主机的控制权。为了对登录系统用户的操作严格控制,本系统采用用户名和密码登录方式,结合USB Key数字认证方式,有效提高了系统安全登录认证强度。用户采取分级授权管理的方式,系统管理人员的日常维护过程可以自动生成日志记录,由系统审计管理人员进行合法审计。

(二)安全防护服务器设计。安全防护服务器主要负责企业网络安全防护信息管理系统数据信息都交互传递,作为一个信息中转中心,安全防护服务器还承担命令传递、数据处理等功能,其日常运行的稳定性和高效性直接影响到整个系统的运行情况。因此,安全防护服务器的设计不但要实现基本功能,还应该注重提高系统的可用性。

安全防护服务器的主要功能包括:负责将安全管理控制台发出的安全控制信息、安全策略信息和安全信息查询指令传送给安全防护;将安全防护上传到系统中的审计日志进行实时存储,及时响应安全管理控制台的相关命令;将安全防护下达的报警命令存储转发;实时监测安全管理控制台的状态,对其操作行为进行维护。

(三)安全防护设计。安全防护的主要功能包括:当安全防护建立新的网络连接时,需要与安全防护服务器进行双向安全认证。负责接收安全防护服务器发出的安全控制策略命令,包括用户身份信息管理、磁盘信息管理和安全管理策略的修改等。当系统文件已经超过设定的文件长度,或者超过了设定的时间间隔,则由安全防护向安全防护服务器发送违规操作信息;当其与安全防护服务器无法成功建立连接时,将日志信息存储在系统数据库中,等待与网络成功重新建立连接时,再将信息传送到安全防护服务器中。

综上所述,本文对企业内部网络信息安全问题进行了深入研究,构建了企业内部网络安全防护模型,提出了企业网络安全防护信息管理系统设计方案,从多方面、多层次对企业内部网络信息资源的安全进行全面防护,有效解决了企业内部网络日常运行中容易出现的内部信息泄露、内部人员攻击等问题。

篇4

中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)28-6262-03

1 概述

有别于有线网络的设备可利用线路找寻设备信息,无论是管理、安全、记录信息,比起无线网络皆较为方便,相较之下无线网络的环境较复杂。无线网络安全问题最令人担心的原因在于,无线网络仅透过无线电波透过空气传递讯号,一旦内部架设发射讯号的仪器,在收讯可及的任一节点,都能传递无线讯号,甚至使用接收无线讯号的仪器,只要在讯号范围内,即便在围墙外,都能截取讯号信息。

因此管理无线网络安全维护比有线网络更具挑战性,有鉴于政府机关推广于民众使用以及企业逐渐在公司内部导入无线网络架构之需求,本篇论文特别针对无线网络Wi-Fi之使用情境进行风险评估与探讨,以下将分别探讨无线网络传输可能产生的风险,以及减少风险产生的可能性,进而提出建议之无线网络建置规划检查项目。

2 无线网络传输风险

现今无线网络装置架设便利,简单设定后即可进行网络分享,且智能型行动装置已具备可架设热点功能以分享网络,因此皆可能出现不合法之使用者联机合法基地台,或合法使用者联机至未经核可之基地台情形。倘若企业即将推动内部无线上网服务,或者考虑网络存取便利性,架设无线网络基地台,皆须评估当内部使用者透过行动装置联机机关所提供之无线网络,所使用之联机传输加密机制是否合乎信息安全规范。

倘若黑客企图伪冒企业内部合法基地台提供联机时,势必会造成行动装置之企业数据遭窃取等风险。以下将对合法使用者在未知的情况下联机至伪冒的无线网络基地台,以及非法使用者透过加密机制的弱点破解无线网络基地台,针对这2个情境加以分析其风险。

2.1 伪冒基地机风险

目前黑客的攻击常会伪冒正常的无线网络基地台(Access Point,以下简称AP),而伪冒的AP在行动装置普及的现今,可能会让用户在不知情的情况下进行联机,当连上线后,攻击者即可进行中间人攻击(Man-in-the-Middle,简称MitMAttack),取得被害人在网络上所传输的数据。情境之架构详见图1,利用伪冒AP攻击,合法使用者无法辨识联机上的AP是否合法,而一旦联机成功后黑客即可肆无忌惮的窃取行动装置上所有的数据,造成个人数据以及存放于行动装置上之机敏数据外泄的疑虑存在。企业在部署无线局域网络时,需考虑该类风险问题。

2.2 弱加密机制传输风险

WEP (Wired Equivalent Privacy)为一无线加密协议保护无线局域网络(Wireless LAN,以下简称WLAN)数据安全的加密机制,因WEP的设计是要提供和传统有线的局域网络相当的机密性,随着计算器运算能力提升,许多密码分析学家已经找出WEP好几个弱点,但WEP加密方式是目前仍是许多无线基地台使用的防护方式,由于WEP安全性不佳,易造成被轻易破解。

许多的无线破解工具皆已存在且纯熟,因此利用WEP认证加密之无线AP,当破解被其金钥后,即可透过该AP连接至该无线局域网络,再利用探测软件进行无线局域网络扫描,取得该无线局域网络内目前有哪些联机的装置。

当使用者使用行动装置连上不安全的网络,可能因本身行动装置设定不完全,而将弱点曝露在不安全的网络上,因此当企业允许使用者透过行动装置进行联机时,除了提醒使用者应加强自身终端安全外,更应建置安全的无线网络架构,以提供使用者使用。

3 无线网络安全架构

近年许多企业逐渐导入无线局域网络服务以提供内部使用者及访客使用。但在提供便利的同时,如何达到无线局域网络之安全,亦为重要。

3.1 企业无线局域网安全目标

企业之无线网络架构应符合无线局域网络安全目标:机密性、完整性与验证性。

机密性(Confidentiality)

无线网络安全架构应防范机密不可泄漏给未经授权之人或程序,且无线网络架构应将对外提供给一般使用者网络以及内部所使用之内部网络区隔开。无线网络架构之加密需采用安全性即高且不易被破解的方式,并可对无线网络使用进行稽核。

完整性(Integrity)

无线网络安全架构应确认办公室环境内无其它无线讯号干扰源,并保证员工无法自行架设非法无线网络存取点设备,以确保在使用无线网络时传输不被中断或是拦截。对于内部使用者,可建立一个隔离区之无线网络,仅提供外部网际网络连路连接,并禁止存取机关内部网络。

认证性(Authentication)

建议无线网络安全架构应提供使用者及设备进行身份验证,让使用者能确保自己设备安全性,且能区分存取控制权限。无线网络安全架构应需进行使用者身份控管,以杜絶他人(允许的访客除外)擅用机关的无线网络。

因应以上无线局域网络安全目标,应将网络区分为内部网络及一般网络等级,依其不同等级实施不同的保护措施及其应用,说明如下。

内部网络:

为网络内负责传送一般非机密性之行政资料,其系统能处理中信任度信息,并使用机关内部加密认证以定期更变密码,且加装防火墙、入侵侦测等作业。

一般网络:

主要在提供非企业内部人员或访客使用之网络系统,不与内部其它网络相连,其网络系统仅能处与基本信任度信息,并加装防火墙、入侵侦测等机制。

因此建议企业在建构无线网络架构,须将内部网络以及提供给一般使用者之一般网络区隔开,以达到无线网络安全目标,以下将提供无线办公方案及无线访客方案提供给企业导入无线网络架构时作为参考使用。

3.2内部网络安全架构

减轻无线网络风险之基础评估,应集中在四个方面:人身安全、AP位置、AP设定及安全政策。人身安全方面,须确保非企业内部使用者无法存取办公室范围内之无线内部网络,仅经授权之企业内部使用者可存取。可使用影像认证、卡片识别、使用者账号密码或生物识别设备以进行人身安全验证使用者身份。企业信息管理人员须确保AP安装在受保护的建筑物内,且使用者须经过适当的身份验证才允许进入,而只有企业信息管理人员允许存取并管理无线网络设备。

企业信息管理人员须将未经授权的使用者访问企业外部无线网络之可能性降至最低,评估每台AP有可能造成的网络安全漏洞,可请网络工程师进行现场调查,确定办公室内最适当放置AP的位置以降低之风险。只要企业使用者拥有存取无线内部网络能力,攻击者仍有机会窃听办公室无线网络通讯,建议企业将无线网络架构放置于防火墙外,并使用高加密性VPN以保护流量通讯,此配置可降低无线网络窃听风险。

企业应侧重于AP配置之相关漏洞。由于大部分AP保留了原厂之预设密码,企业信息管理人员需使用复杂度高之密码以确保密码安全,并定期更换密码。企业应制定相关无线内部网络安全政策,包括规定使用最小长度为8个字符且参杂特殊符号之密码设置、定期更换安全性密码、进行使用者MAC控管以控制无线网络使用情况。

为提供安全无线办公室环境,企业应进行使用者MAC控管,并禁用远程SNMP协议,只允许使用者使用本身内部主机。由于大部分厂商在加密SSID上使用预设验证金钥,未经授权之设备与使用者可尝试使用预设验证金钥以存取无线内部网络,因此企业应使用内部使用者账号与密码之身份验证以控管无线内部网络之存取。

企业应增加额外政策,要求存取无线内部网络之设备系统需进行安全性更新和升级,定期更新系统安全性更新和升级有助于降低攻击之可能性。此外,政策应规定若企业内部使用者之无线装置遗失或被盗,企业内部使用者应尽快通知企业信息管理人员,以防止该IP地址存取无线内部网络。

为达到一个安全的无线内部网络架构,建议企业采用IPS设备以进行无线环境之防御。IPS设备有助于辨识是否有未经授权之使用者试图存取企业内部无线内部网络或企图进行非法攻击行为,并加以阻挡企业建筑内未经授权私自架设之非法网络。所有无线网络之间的通讯都需经过IPS做保护与进一步分析,为一种整体纵深防御之策略。

考虑前述需求,本篇论文列出建构无线内部网络应具备之安全策略,并提供一建议无线内部网络安全架构示意图以提供企业信息管理人员作为风险评估之参考,详见表1。

企业在风险评估后确认实现无线办公室环境运行之好处优于其它威胁风险,始可进行无线内部网络架构建置。然而,尽管在风险评估上实行彻底,但无线网络环境之技术不断变化与更新,安全漏洞亦日新月异,使用者始终为安全链中最薄弱的环节,建议企业必须持续对企业内部使用者进行相关无线安全教育,以达到纵深防御之目标。

另外,企业应定期进行安全性更新和升级会议室公用网络之系统,定期更新系统安全性更新和升级有助于降低攻击之可能性。为达到一个安全的会议室公用网络架构,建议企业采用IPS设备以进行无线环境之防御。

IPS设备有助于辨识是否有未经授权之使用者试图存取企业内部会议室公用网络或企图进行非法攻击行为,并加以阻挡企业建筑内未经授权私自架设之非法网络。所有无线网络之间的通讯都需经过IPS做保护与进一步分析,为一种整体纵深防御策略。

4 结论

由于无线网络的存取及使用上存在相当程度的风险,更显无线局域网络的安全性之重要,本篇论文考虑无线网络联机存取之相关风险与安全联机的准则需求,有鉴于目前行动装置使用量大增,企业可能面临使用者要求开放无线网络之需求,应建立相关无线网络方案,本研究针对目前常见之无线网络风险威胁为出发,以及内部网络与外部网络使用者,针对不同安全需求强度,规划无线网络使用方案,提供作为建置参考依据,进而落实传输风险管控,加强企业网络安全强度。

参考文献:

[1] Gast M S.Wireless Networks: The Definitive Guide[M].O’Reilly, 2002.

[2] Edney J, Arbaugh W A.Security:Wi-Fi Protected Access and 802.11[M].Addison-Wesley,2004.

[3] R. Guha, Z. Furqan, S. Muhammad.Discovering Man-In-The-Middle Attacks nAuthentication Protocols[J].IEEE Military Communications Conference 2007, Orlando, FL, 2007(10):29-31.

篇5

中图分类号:TP393.08

1 安全管理体系结构及功能

1.1 安全管理体系结构

网络安全是企业安全有效运行的保障,安全管理体系主要包括安全策略、安全运作、安全管理等。安全策略管理是企业网络安全运行的体系基础,有利于项目建设规范化管理和运行和安全工作的开展。安全基础设施系统主要有访问控制、桌面管理、认证管理、防垃圾系统、服务器监控与日志统一管理系统、漏洞扫描系统、服务器加固系统等。莱钢计算机网络整体架构图如图1所示。

1.2 安全管理系统功能

安全管理系统的功能将所管辖的IP计算机信息根据分类登记,有利于其他安全管理模块进行数据连接和信息共享,并配备服务器和交换机加固工具,及时掌握网络中各个系统的最新安全风险动态,并及时的对服务器文件、进程、注册表等进行保护。安全监控系统是监控全网事件报警信息,对当前事件进行安全监督和实时监控,有利于企业网络安全运行和业务系统的安全性,监控的产品主要包括网络中的设备、日志相关信息、相关事件的报警信息等。

2 网络系统安全体系的设计与实施

2.1 身份认证系统设计分析

网络安全运维管理中心设置在信息中心,担负全网桌面安全管理,通过制定相关策略、委派安全角色,对全网数据进行统计分析和安全管理,并通过一系列的安全运行策略建立安全身份认证体系。莱钢统一身份认证系统架构图如图2所示。

RSA SeucrID由认证服务器RSA ACE/Server、软件RSA ACE/Agent、认证设备以及认证应用编程接口(API)组成。RSA ACE/Server软件是网络中的认证引擎,由安全管理员或网络管理员进行维护。

2.2 计算机资产安全管理系统

计算机资产安全管理为莱钢的高层管理人员提供全网资源的多维度分析报表。信息中心成为莱钢的IT系统的“安全策略中心”、“安全管理中心”、“数据汇聚中心”和“报表总中心”。下设一级管理中心,分布在各分部,由总中心授权负责对分部人员权限管理和桌面系统管理,并具体实现对各终端桌面目录、桌面管理、软件分发、系统自动升级管理、信息安全和管理监控功能。软件分发工具大大提高了莱钢桌面计算机管理的自动化程度,提高管理效率。自动化的工作流程还可以避免人工操作带来的风险,使莱钢的桌面计算机上的资产得到更好的保护。通过软件分发机制,从桌面计算机标准化支撑平台将软件分发到指定的桌面计算机和支撑平台内部指定的服务器,消除对桌面计算机和服务器的访问等人为因素导致的错误。及时安装操作系统更新补丁,避免成为黑客和病毒的攻击对象。及时安装应用程序的补丁,减少安全隐患,增加应用程序稳定性和功能。对服务器系统的补丁需要经过评估对现有系统的影响,避免出现业务系统故障。服务器系统的补丁需要利用自动检测技术,通过人工的评估,再实现自动分发和手工安装。

2.3 EAD端点准入防御体系

EAD安全准入主要是通过身份认证和安全策略检查的方式,对未通过身份认证或不符合安全策略的用户终端进行网络隔离,并帮助终端进行安全修复,以达到防范不安全网络用户终端给安全网络带来安全威胁的目的。

2.4 网络安全模型的设计

从网络安全、应用安全、管理安全的角度出发,设计归纳莱钢网络系统安全模型,主要包括:(1)网络架构防护:采用网络边界防毒、统一身份认证技术和针对于网络设备和网络服务器的漏洞扫描技术;(2)应用系统风险防护:采用的主要技术包括防病毒技术、服务器系统加固技术、计算机资产安全管理技术、补丁管理技术、主页防篡改技术、防垃圾邮件技术、灾难备份恢复技术及统一日志管理技术;(3)安全管理体系建立:通过对安全策略进行有效的和贯彻执行,可以规范项目建设、运行维护相关的安全内容,指导各种安全工作的开展和流程,确保IP网的安全;(4)集中管理、整合监控:对计算机系统进行综合集中管理,对日常的系统、网络、资产以及安全等日常运行能够拥有较为统一的管理入口,对系统网络可用性、资产有效性、安全防范诸多管理功能的组件进行事件级的整合、分析和响应。

3 结束语

互联网已经深度渗透到各个领域,成为事关国家安全的基础设施和斗争,网络安全是保证各种应用系统数据安全的重要基础,必须加强和采取有效的预防措施,掌握网络资源状况及实用信息,可提高网络管理的效率。

参考文献:

[1]温贵江.基于数据包过滤技术的个人防火墙系统设计与研究[D].吉林大学,2010.

篇6

中图分类号:TP393

1 项目来源

重钢集团公司按照国家“管住增量、调整存量、上大压小、扶优汰劣”的原则,将重庆市淘汰落后产能、节能减排与重钢环保搬迁改造工程结合起来。随着重庆市经济和城市化快速发展,重庆钢铁(集团)有限责任公司拟退出主城区,进行环保搬迁。重钢环保搬迁新厂区位于长寿区江南镇,主要生产设施包括码头、原料场、焦化、烧结、高炉、炼钢、连铸、宽厚板轧机、热连轧机和各工艺配套设施以及全厂的公辅设施等,生产规模为630万吨。

2 系统目标

重钢股份公司在搬迁的长寿区建立了全新的信息化机房,结合自身实际,决定部署一套符合自身需要的信息化平台。整个平台包含:财务系统、人力资源管理系统、门户.OA系统、各产线的MES系统、以及企业的原料,物流系统等。

3 系统实现

重钢信息系统全由公司自主研发,服务器端采用:中间服务器操作系统win2003server+Oracle Developer6i Runtimes,数据库服务器:Unix Ware+ORACLE 10g。开发端:Windows 9x/2000/XP+ Oracle Developer 2000 Release。根据业务需求,公司统一按国家标准部署了装修一个中心机房,选择了核心数据库服务器小型机、其他小型机服务器、FC-SAN存储柜、SAN交换机,磁带库、PC服务器、网络安全管理设备,机柜、应用服务器软件、数据备份管理软件、UPS电源。等硬件基础设施对此系统项目进行集成。在信息化建设实施过程中,本人主要参与了整个系统项目集成方案设计和实施。

4 项目特点

4.1 网络设计

中心机房通过防火墙等网络设备提供网络互联、网络监测、流量控制、带宽保证、防入侵检测等技术,抗击各种非法攻击和干扰,保证网络安全可靠。同时网络建设选择了骨干线路采用16芯单模光纤,接入层线路采用8芯单模光纤,桌面线路采用六类非屏蔽网络线;光纤骨干线部分采用万兆+千兆光纤双链路连接,接入层光纤采用千兆链路接口至桌面。整个网络体系满足千兆以上数据传输及交换要求。

4.2 系统设计

本系统采用业界流行的三层架构,客户端,应用服务器层,后台数据库层。

4.2.1 应用层设计特点

在应用层选择上,重钢选择了citrix软件来实现企业的虚拟化云平台,原先安装在客户端的应用程序客户端程序安装在Citrix服务器上,客户端不再需要安装原有的Client端软件,Client端设备只需通过IE就可以进行访问。这样就把原先的C/S的应用立刻转化为B/S的访问形式,而且无需进行任何的开发和修改源代码的工作。同时使用Citrix的“Data Collector”负载均衡调度服务器负责收集每一台服务器里面的一些动态信息,并与之进行交流;当有应用请求时,自动将请求转到负载最轻的服务器上运行。Citrix是通过自己的专利技术,把软件的计算逻辑和显示逻辑分开,这样客户端只需上传一些鼠标、键盘的命令,服务器接到命令之后进行计算,将计算完的结果传送给客户端,注意:Citrix所传送的不是数据流,而是将图像的变化部分经过压缩传给客户端,只有在客户端和服务器端才可以看到真实的数据,而中间层传输的只是代码,并且Citrix还对这些代码进行了加密。对于网络的需求,只需要10K~20K的带宽就可以满足需要,尤其是在ERP中收发邮件,经常遇到较大邮件,通常在窄带、无线网络条件下基本无法访问,但通过Citrix就可以很快打开邮件,进行文件的及时处理。

4.2.2 数据库层技术特点

在数据库层的选择上,重钢选择了oracle软件。利用oracle软件本身的技术特点,我们设计系统采用ORACLE RAC+DATAGUARD的部署方式。RAC技术是通过CPU共享和存储设备共享来实现多节点之间的无缝集群,用户提交的每一项任务被自动分配给集群中的多台机器执行,用户不必通过冗余的硬件来满足高可靠性要求。

RAC的优势在于:在Cluster、MPP体系结构中,实现一个共享数据库,支持并行处理,均分负载,保证故障时数据库的不间断运行;支持Shared Disk和Shared Nothing类型的体系结构;多个节点同时工作;节点均分负载。当RAC群组的一个A节点失效时,所有的用户会被重新链接到B节点,这一切对来说用户是完全透明的,从而实现数据库的高可用性。

Data Guard是Oracle公司提出的数据库容灾技术,它提供了一种管理、监测和自动运行的体系结构,用于创建和维护一个或多个备份数据库。与远程磁盘镜像技术的根本区别在于,Data Guard是在逻辑级,通过传输和运行数据库日志文件,来保持生产和备份数据库的数据一致性。一旦数据库因某种情况而不可用时,备份数据库将正常切换或故障切换为新的生产数据库,以达到无数据损失或最小化数据损失的目的,为业务系统提供持续的数据服务能力。

4.2.3 数据备份保护特点

备份软件采用HP Data Protector软件。HP Data Protector软件能够实现自动化的高性能备份与恢复,支持通过磁盘和磁带进行备份和恢复,并且没有距离限制,从而可实现24x7全天候业务连续性,并提高IT资源利用率。Data Protector软件的采购和部署成本比竞争对手低30-70%,能够帮助客户降低IT成本,提升运营效率。许可模式简单易懂,有助于降低复杂性。广泛的可扩展性和各种特性可以实现连续的备份和恢复,使您凭借一款产品即可支持业务增长。此外,该软件还能够与领先的HP StorageWorks磁盘和磁带产品系列以及其它异构存储基础设施完美集成。作为增长迅猛的惠普软件产品组合(包括存储资源管理、归档、复制和设备管理软件)的重要组成部分,Data Protector软件还能与HP BTO管理解决方案全面集成,使客户能够将数据保护作为整个IT服务的重要环节进行管理。该解决方案将软硬件和屡获殊荣的支持服务集于一身,借助快速安装、日常任务自动化以及易于使用等特性,Data Protector软件能够大大简化复杂的备份和恢复流程。借助集中的多站点管理,可以轻松实施多站点变更,实时适应不断变化的业务需求。

5 结束语

企业信息化平台系统集成不是简单的机器设备堆叠,需要根据企业自身使用软件特点,企业使用方式,选择合适的操作系统,应用软件作为企业生产软件部署的基础,另外要合理利用各软件提供的技术方式,对系统的稳定性,安全性,冗余性进行部署,从而达到高可用和可扩展的整体系统平台。

参考文献:

[1]肖建国.《信息化规划方法论》.

[2]雷万云.信息化与信息管理实践之道[M].北京:清华大学出版社,2012(04).

[3]《Pattern of Enterprise Application Architecture》.Martin Foeler

篇7

中图分类号:F293 文献标识码:A 文章编号:1009-2374(2013)17-0084-03

随着时代的变化,企业的核心竞争力在不断的加强。通过对企业职员的严格筛选,使得企业可以不断地注入新鲜的血液,企业公司可以进行良好的循环。并且企业通过对知识的重新整理和创新,使得企业实现完全数字化管理,得到更好的效益创收。通过对网络文明的建设,使得企业能够更全方位的发展。

1 HR人力管理系统

1.1 员工试用

1.1.1 根据岗位工作性质,员工试用期一般为1~3个月,按其工作表现可以提前或延后正式聘用。

1.1.2 行政综合部应经常对员工的试用期表现进行考察,予以监督。

1.1.3 员工试用期满,填写《试用期工作考核表》,所属部门主管填写考核意见后交行政综合部复核,再由总经理审批。

1.1.4 员工经试用合格,由行政综合部负责办理转正手续。如试用期考核不合格,由行政综合部通知该员工。员工在试用期内决定辞职,可提出辞职申请并按规定办理离职手续。

1.1.5 试用期员工享有试用期工资待遇,转正后享有正式员工工资待遇。

1.2 转正

1.2.1 正常转正的条件为:员工试用期满,经用人部门与行政综合部联合考核合格。

1.2.2 提前转正的条件为:员工试用期表现突出,有显著工作业绩。

1.2.3 转正的办理与审批:由用人部门依据员工《试用期工作考核表》于试用期结束前一周内向行政综合部提出申请,并附《试用期工作考核表》;行政综合部根据《试用期工作考核表》及在试用期对该员工的考察,给出复核意见,报总经理审批;转正日期按审批手续办理的实际日期计算。

1.2.4 转正后,员工须填报《员工资料卡》等信息

资料。

1.3 离职

1.3.1 聘用员工因病或因事辞职时应提前30日向公司提出申请,辞职申请未予批准前,应继续工作,不得先行离职。

1.3.2 离职员工必须在规定的时间内做好工作交接和资产移交,并向公司行政综合部提交《工作交接清单》和《资产移交清单》,行政综合部凭移交清单填写《行政综合部至财务部通知单》交财务部结算工资并办理正式离职手续。

1.3.3 因合同终止不再续约的或在劳动合同期内要求辞职的,均应按规定提前30日以书面形式通知对方。

1.3.4 如本公司提出提前解除劳动关系的,将按照国家及本单位规定办理离职手续,支付违约金。

1.3.5 离职程序:员工辞职,则需书面提交《员工辞职申请书》给行政综合部报公司审核批准,批准后,职工办妥工作交接手续和资产移交手续后再予以工资结算,擅自离开者,视为自动放弃工资并承担对公司造成的相应损失,不予以办理相关人事、社保关系转移。

1.4 部门用人申请的审核

通常情况下,有两种条件各部门可以提交用人申请。一是有离职人员,岗位空缺需要补充;二是工作人员无法完成工作量,需要增加人员。增加人员岗位的招聘要比补充人员慎重。一方面需要逐级向上申报,严格地遵守工作流程,另一方面提醒人事部门设计时注意本部门的工作内容。招聘人员需要站在公司的角度上看,本着对公司负责的态度,尽可能地控制对人员的增添,最大化地挖掘公司内部潜力。招聘新人的成本体现在两个部分――工资成本和相对应的福利待遇。所以对于公司成本的意识必不可少。

1.5 招聘信息

目前公司可以通过多种渠道进行招聘,其中包含网络招聘、不定时参加大型招聘会、员工内部推荐、与职介机构建立合作关系、校园招聘、猎头服务等。这几种渠道进行的招聘各有其优劣性。这里重点介绍网络招聘。网络招聘是目前公司应用方式最频繁的,但质量相对较高。常规来说,招聘信息需要参考两方面――用人申请和所聘岗位说明书。需要注意以下两个方面:

1.5.1 的招聘信息需要对工作年限、专业、年龄、性别等方面进行严格的要求,尽可能简洁地介绍工作的职位和范畴,但不可以过于简单,否则可能会误导应聘者,使得公司接收一些无用的应职申请,导致招聘效果不佳。同时,对于不同的职业来说,公司对应聘者的工作年限和年龄都需要有比较硬性的要求,尽可能使用简练的语言来介绍自己的这些信息。

1.5.2 招聘信息前需要准确地想好要应聘的职位。因为对于职务类别的选择,会导致人才能否注意到公司的招聘信息。在众多的招聘网站上,智联招聘在职位划分上相比较其他网站略显模糊。如果短时间内无法找到适合的人才,可以在其他网站上招聘信息。

1.6 筛选简历

1.6.1 对于一些对专业性有很强要求的职位来说,比如各专业工程师等,要按照部门要求严格地筛选应聘者的简历,各个硬性条件也需要严格的把关,还需要审核是否具备中级职称证书。将筛选出来的简历交给相关部门审核,并听从部门经理的意见挑选应聘者面试。

1.6.2 对于一些基层职位来说,比如秘书、文员等,对于应聘者的共通性有很强的要求。基层职位的应聘简历最好共设一个文件夹保存,然后一个个进行约见。

1.6.3 在筛选人员的过程中,尽可能保留下应聘者的资料,这样可以使公司人员的储备库得到更大的扩充。

1.6.4 招聘工作的关键在于面试,这也是经验积累的环节。公司的主考官通过对应聘者提出专业知识以此来了解应聘者对职位和专业性知识的了解,进行对应聘者最初步的把关。但在实际工作中很难达到这样的要求。所以在面试之前需要确定一个观点,人力资源部和用人部门在招聘中要承担的责任是相同的。人力资源部提供应聘者的信息并考察其行为能力,用人部门需要对应聘者进行综合的评估。

2 文档知识库管理系统

2.1 基本概念

知识管理系统是通过计算机系统的支持组织一个可以处理、收集、分享的全面知识系统。知识管理是对一个公司企业只是重新获取创新的过程,这个过程关系到企业的所有部门,其最终目的是通过知识来获取效益。通常,企业会通过先进的计算机科技,存储和管理对公司有价值的方案、成果和经验等,使得知识产业不被流失,促进公司对知识的利用创新,以此来降低公司运营成本,强化企业的核心竞争力。

2.2 制造企业知识管理的作用

全新的设计是一个企业的灵魂,而设计就是由知识高度密集化而产生的,所以说企业知识属于一种无形的设计,这种设计在现代企业中起到很重要的作用。特别是对于航空制造企业,属于典型的知识企业。通过知识管理制造企业,使得企业完全数字化,并且用计算机将企业知识按数字化设计重新进行创新整理,并将其应用于产品的数字化设计和制造中。通过知识管理制造企业,让公司产品的设计和制造得到了从根本上的变化,简化了产品的设计、制造的作业流程,提高了产品的研制技术,更使得企业对市场上的应变能力和产品开发能力得到重大的提高。然而,通过知识管理制造企业,不仅仅是依靠技术手段,还需要从组织上、制度上等方面采取一些相对应的措施和策略,如:加深员工对企业的了解,通过分析企业对知识的需求和企业的知识构成制定相应的知识管理策略,尤其是在通过知识管理制造企业的前期,尽可能地让所有员工对知识管理更全面的了解,形成良好的知识管理实施氛围。除此之外,也需要对知识管理有一个大概的认识:建立一个知识库来支持产品设计和制造制造企业的知识管理事实上就是制造企业的知识管理。与此同时,通过知识管理制造企业,可以有效地提高企业管理水平,知识工程是制造企业的工具,它除了建立知识库之外,还能够规范知识流程、建立基于知识的工作方法,形成知识共享的氛围,使企业慢慢转化成为一个知识型、具有核心竞争能力的企业,使得企业能够更长远的发展,这才是通过知识管理制造企业的最终目标。

3 网络安全建设

随着因特网的迅速发展和普及,信息安全问题愈来愈突出。为了帮助大家有效地维护计算机信息系统的安全,现介绍解决计算机信息系统安全问题的三种方法,仅供借鉴。

3.1 经常使用安全扫描工具-symantec服务器版防毒软件

增强内部网络与系统的安全防护性能和抗破坏能力,加强网络和系统自身的安全性能。

3.2 使用思科的ASA5510防火墙,建立网络安全屏障

使用防火墙系统可防止外部网络对内部网络的未授权访问,共同建立网络信息系统的对外安全屏障。目前全球进入因特网的计算机约1/3是处于防火墙保护之下。防火墙的主要目的是根据本单位的安全策略,对外部网络与内部网络交流的敷据进行检查,符合的予以放行,不符合的拒之门外。

3.3 聘请网络安全顾问、跟踪网络安全技术

聘请网络安全专家作为网络信息系统的安全顾问,同时,系统管理员和网络管理员要经常浏览国际上一些著名网络组织的信息主页,了解最新技术动态,获取系统和网络安全软件,并加入到它们的MAILLIST(邮件列表)或新闻组,使自己的系统和网络能得到最新的安全技术支持。

3.4 对系统进行定期备份

当系统数据丢失或遭破坏而需要彻底恢复时,备份的价值就体现出来。工作中应做到重要数据天天备份,每周做一次添量备份,每月一次全备份。确保网络信息系统数据的安全可恢复性。

4 结语

为了搭建产业信息化网络平台,我国不断地发展房地产企业信息建设,将一些原有的问题慢慢地解决掉。通过知识管理制造企业,产品外形和制造模式都可以进行有益的变化,使得设计产品的质量和速度得到了提高。除此之外,房地产行业引入了一些先进的信息工具,以此来加速房地产企业的进程,使得房地产企业水平得到提高。

参考文献

篇8

在选题时我们重点考虑了以下几方面:一是要体现“目标性”,从网络工程专业的培养目标上整体考虑该课程要培养学生哪些素质和能力;二是要体现“工程性”,计算机网络工程是名副其实的工程性质的课程,是需要在实验室动手操作的;三是要体现“可行性”,包括实验条件的可行性和学生知识能力的可行性;四是要体现“自主性”,对课程设计题目教师只划定一个大致框架,要求学生自主确定设计题目。最后,我们确定此次课程设计的主题是“XX公司/学校网络设计方案”,可以是一个校园网设计,也可以是一个企业网的设计。要完成该课题的设计任务需要综合运用所学的计算机网络原理知识和计算机网络工程知识,如网络需求分析、网络规划、设备选型、交换机/路由器的配置、网络安全、网络管理等。课程设计的教学过程。计算机网络工程课程设计教学过程包括选题、专题讲座、项目实验、规划方案撰写、答辩等几个环节。(在确定选题后,由公司人员进行5个专题讲座,每个讲座3~4课时,内容包括:①网络技术行业分析与企业网络规划,②企业远程接入网络解决方案,③企业分支本地网络解决方案,④企业总部本地网络解决方案,⑤广域网数据链路层协议HDLC与PPP。每一讲均有精致的PPT,图文并茂,站在企业的角度讲解,介绍大量工作经验和案例,传播企业文化。专题讲座并非理论课的重复,而是进一步扩展了教材内容,更加贴近社会实际,学生听了之后收获很大,初步了解了公司在做什么,社会需要什么样的人才,进而知道自己应该具备什么样的知识结构和能力素质。

(每一专题讲座之后,要进行1~2个项目实验。蓝狐网络技术培训中心结合实际编写了较详细的网络工程实验指南,还开发了用于实验的模拟器。每一专题讲座之后,需要在模拟器上完成1~2个项目实验,如“小型企业局域网项目实验”、“企业分支局域网项目实验”、“企业总部局域网项目实验”、“小型企业广域网项目实验”、“小型企业网OSPF项目实验”、“企业网Internet接入与NAT项目实验”等[6]。所有实验(包括模拟实验和真实实验)全部安排在网络工程实验室进行。学生可以在实验室的电脑上做模拟实验,也可以用真实的网络设备来做实验。在实验时我们加强了实验指导力量,公司技术人员和任课教师、实验教师一起来指导实验,保证了实验效果。如果课堂上没有完成实验任务或者需要巩固实验内容,学生还可以回寝室在自己的电脑上安装模拟器,继续做实验。(学生完成专题项目实验后,基本上掌握了构建企业网的技术要领,可以进行网络方案设计了。教师给学生提供几个网络设计案例参考,并简述其基本框架,使学生明了设计方案从结构上应包含哪些模块。我们按学号顺序分组,每4人一组,按学号顺序分组可避免成绩优秀的学生集中在几个组而成绩差的集中在另几个组。

设计方案完成后,学生需要进行公开答辩,4位同学分别扮演不同的角色,以模拟网络公司的形式设计一个网络规划竞标方案,并设“总经理”、“售前工程师”、“项目经理/技术总监”和“售后工程师”4个角色,每个同学扮演一个角色在讲台上演讲,并现场回答提问。学生充当上述角色时感到兴奋且有压力。他们积极性非常高,小组人员既分工又合作;既发挥各自的聪明才智,又发挥集体的力量,共同攻克难关,认认真真讨论技术要点,加班加点写设计方案。(方案初稿形成后,指导教师进行审阅,经反复修改后打印成册,参加课程设计答辩。每个小组答辩时间在20分钟以内,均要做好答辩PPT,4个人分别扮演不同的角色陈述各自的内容,并现场回答答辩组的提问,评委根据答辩情况给出答辩成绩。课程设计的成绩评定。课程设计的成绩是根据出勤、实验和规划方案撰写及答辩情况综合评定的。其中出勤占30%,实验情况占30%,网络规划方案的撰写及答辩情况占40%。成绩评定客观合理,较好地反映了学生课程设计的情况。

基于校企联合的计算机网络工程课程

设计的特色上面是我校基于校企联合的计算机网络工程课程设计的一些做法,从两届课程设计的实施过程来看,它体现了一些特色——“二一一”特色,即“二合”、“一作”、“一演”。“二合”是指“校企联合”和“虚实结合”,“一作”是指“小组协作”,“一演”是指“角色扮演”。校企联合,互利多赢。我系已在多门课程中实施校企联合式的课程设计,并取得了很好的效果。高校必须紧跟社会需求,请IT行业的公司来校指导课程设计,以达到校企双方多赢的目的。首先,它确保了课程设计的质量,切切实实使学生的知识、能力和素质得到提升,这是我们开展校企联合式课程设计的初衷。其次,学生足不出门就了解到IT行业的行情,了解项目开发的最新技术,从而能早一点看到自己存在的差距,明确该往哪些方面去努力。第三,高校教师有高学历高职称,但不一定有高技能。对于地方本科院校来说,需要一批“双师型”(“教师”和“工程师”)师资,像网络工程这样的工程型专业,需要教师具有工程能力,我们通过“走出去,请进来”提高这种能力。

#p#分页标题#e# 请企业人员协助指导课程设计也可以帮助我们的教师了解行情,改进教法,提高项目开发能力。第四,公司派人协助指导大学课程设计是一次宣传自己公司的好机会,公司可以物色优秀学生,也可以吸引学生去公司实习实训,带动经济效益。虚实结合,实验为本。计算机网络工程课程设计需要一个良好的实验环境。建一个中档次的网络工程实验室一般需要40~60万元,而且台件数受经费的限制不会太多。进行网络工程课程设计,需要用到大量的网络设备,建设多个网络工程实验室成本高。为此,我们通常采取“虚实结合”的办法来解决,“虚”是指用仿真软件来进行虚拟实验,“实”就是用真实设备来进行真实实验,两者结合可以构建出良好的实验环境。通过“虚”来解决台件数不够的问题,节约投资成本;通过“实”来解决一个真实可信的问题,使学生眼见为实。如Cisco公司的PacketTracer是一个很好仿真软件[7]。蓝狐网络技术培训中心也开发了一款很优秀的虚拟软件,在课程设计时我们用这款虚拟软件进行了专题项目实验,效果很好,由此构成的虚实结合的网络实验环境为课程设计的顺利开展创造了良好的条件。

篇9

随着数字化和信息化进程的不断加速,企业网络规模和应用范围日益扩大。制药企业作为技术密集型企业,多以精深工艺、提升品质、加强管理为目的,建立了由ERP、电子商务、Web网站、OA构成的网络系统。目前,网络已应用于制药企业各个事务层面,因此网络安全尤为重要,必须建立多层次的安全体系架构,作为企业网络系统的基础保障。

一、安全架构设计要点

(一)多元线程。安全架构分为“预防”、“治理”、“巩固”三个线程。“预防”是通过Windows Server Update Services更新服务,及时修补内网终端与服务器的系统漏洞。“治理”是针对不同的安全威胁进行防护。对于病毒威胁和黑客入侵,进行软硬件联合防御。“巩固”是保存完整网络日志,有科学的备份策略,对终端计算机的严格管理,保证终端安全。

(二)立体布局。安全架构设计要兼顾物理层、链路层、网络层和应用层,形成立体化的防护布局。以安全域来划分为主线,同一安全域共享公用的信息资源、安全基础设施、网络基础设施等。

(三)系统管理。安全架构包括技术层和管理层两方面,必须建立安全管理系统与安全技术相适应。管理系统要求严密的岗位分工,以及日常维护管理制度。一个合理的管理系统能够明确网络边界,增强网络的可控性,实现有计划的访问控制,有效阻止渗透式网络攻击。

二、安全架构设计方案

(一)网络平台方案设计

1.网络结构设计。制药企业的网络设置采用拓扑结构,根据药品的生产、销售、组织、管理等部门分成多个子网,共同构建企业网络平台。在各VLAN之间布置路由,实现各VLAN间的自由互访。但各子网间互访需要进行网络验证,避免某子网的安全威胁获得扩大性传播。

2.域管理设计。为实现集中式管理,应在制药企业网络平台布局域管理。域管理可以实现单一账户登录,单节点管理,具有安全便捷的优点。企业内网络终端设备较多,因此要进行网络标签设置,具体规则如下:XX――X――XX,字符分别代表了一定含义,第一段字符代表所属网关,第二段代表部门,第三段代表姓名全拼,唯一的网络标签可以保证定位的速度与精度。

3.入侵检测设计。网络入侵检测是通过防火墙和专用软件(IDS)实现的。配置企业级防火墙,可以杜绝内外网间的病毒威胁,提供相对安全的网络环境。而网康、绿盟、安全胄甲等专业入侵检测软件(IDS)则是对防火墙的合理补充,IDS从企业网络中采集关键信息,分析总流量、上传量、ERP等数据变化,自主判断网络中违反安全策略的行为。联合应用防火墙与IDS,可以实时、动态地保护网络平台,扩展系统管理员的安全管理能力,形成完整的网络安全平台结构。

(二)防治病毒方案设计

1.分布式部署。一般而言,制药企业规模庞大且机构复杂,由多个服务器构成子网,因此在防毒软件的安装方面,要采用分布部署的方法,分地域、分工段、分部门进行配置,并根据企业现有的网络构架,设立多级病毒防治管理中心,负责各自网段的病毒查杀工作。

2.网络边缘防护。网络边缘是靠近用户端的网络层面,对其进行病毒防护的方法是在部署好防病毒网关后再连接外网,全面扫描网络后安置硬件防毒墙。建议使用网神、驱逐舰、趋势,瑞星、 MacAfee等品牌防毒墙,针对HTTP、FTP协议进行查杀病毒。再配置一套符合企业网络应用需要的安全策略,控制多项网络端口,填补边缘防护缺口,建立起软硬件相结合的安全屏障。

3.防病毒管理。防毒技术是网络安全架构的技术保障,而技术需要管理制度作为保障才能发挥最大效用。制药企业防毒管理制度应包括:强制实施防病毒策略,严肃工作纪律;定期检查硬件防毒墙运行状态,调整工作参数,避免过热过劳运行;定期升级防毒软件病毒库,如有大规模病毒爆发需进行专项治理;加强移动存储介质管理,不使用来源不明的存储介质。

(三)数据备份和审计方案设计

数据备份和审计是制药企业网络安全架构的重要组件。数据备份的作用是记录各类网络信息,为查找漏洞、排除问题、安全设置提供参考。考虑到制药企业数据备份的规模及对数据安全的要求,可利用IBM公司开发的iSCSI接口,将现有SCSI接口与以太网络结合,实现服务器与IP网络储存装置的资料交换。由于备份管理软件对存储性能有重要影响,应用符合一定技术标准的备份软件,具备快速存取能力、极简管理能力和灾难恢复能力。另外,备份软件要适应当前的网络条件,能同时支持64位和32位WINDOWS系统、UNIX、IOS系统,能在常用系统平台进行主动式备份。建议采用FileGee等备份软件,实现自动备份文件,并可进行多介质服务器管理,提供集中管理备份策略。

数据备份的目的是进行数据审计,通过检索备份数据,分析数据特征和变化趋势,对企业内服务器和终端设备进行安全审计。终端设备审计方案是:调取网络数据,对各种网络应用进行识别、记录和控制,在此基础上判断网络行为正当与否,如存在安全隐患则采取紧急策略,对问题网络端口进行控制。服务器审计方案是:在数据库中提取记录企业服务器运行信息,包括网络设备、安全设备、主机、数据库和应用系统日志,作出勘察、判断与决策,防止误操作和不当操作行为,预防各种潜在的违规操作行为。

三、总结

本文立足于制药企业的网络管理实际,拟定了三项网络系统安全架构的设计要点,提出安全规划,明确建设目标。网络安全架构设计以平台安全、防治病毒、数据备份和审计为基点,兼顾了整体性和可操作性,设计出符合线程化、立体化、系统化要求的安全架构,为制药企业网络安全应用和管理提供了技术支持。

参考文献:

篇10

1 引言

计算机网络专业是职业院校开设最多的一个专业,各学校关于网络专业的课程设置也比较完善。学生在校期间所学的相关专业知识是非常全面的,但大部分学生由于缺乏整体网络的设计思想,因此当他们需要设计一个组网方案时,仍感觉在学校学的知识用不上。

实际上分层网络设计模型是现代网络方案设计较常用的模型。该模型将网络分成三层:接入层、分布层、核心层。接入层的主要目的是提供一种将设备连接到网络并控制允许网络上的哪些设备进行通信的方法。分布层先汇聚接入层交换机发送的数据,再将其传输到核心层,最后发送到最终目的地。核心层的功能主要是实现骨干网络之间的优化传输

2 方案设计

1)需求分析

总公司与分公司接入Internet,采用NAT方式上网,同时通过VPN隧道,实现分公司访问总公司。

不同办公司之间数据不共享

保障网络基本的安全性,时时监控网络中的安全事件

分公司周一到周五9:00至于17:00上网,周六周日全天上网,用户采用无线上网,自动获得IP地址总公司网段10.0.0.0/16,分公司10.1.0.0/16。

2)网络拓扑如下

3)数据规划

4)设备功能实现

总公司局域网实施

防火墙FW-1:安全功能配置VPN使得总公司与分公司互通,实现数据的安全性和完整性。NAT配置NAT,实现内部网络访问互联网,和实现将内网的WEB、FTP等资源的互联上。

路由器R1:SW1与R1线路为主用线路,承载正常数据流,SW2与R2为备用线路,正常情况下不承载数据流。通过灵活配置VLAN10,VLAN20,VLAN30网段的回程路由,实现当SW1与R1链路down时,可以自动切换至R1与SW2线路

三层交换机SW-1:优化功能SW1为主用交换机,正常情况下SW1上承载VLAN10,VLAN20,VLAN30的数据转发。只有当SW1至R1互联线路down时,SW2由备用转为主用交换机。划分VLAN,配置VRRP,使得所有的VRRP组为master状态。(VRRP的组号即为该VLAN的ID,如VLAN10的VRRP组ID为10),配置trunk线路Fa0/1与SW3Fa0/23以trunk方式互联。配置链路聚合,增加线路带宽及冗余性。配置端口镜像,将FA0/24所有数据流镜像到FA0/23口,配置MSTP生成树协议。

三层交换机SW-2:SW-2为备用交换机,正常情况下SW1上承载VLAN10,VLAN20,VLAN30的数据转发。只有当SW1至R1互联线路down时,SW2由备用转为主用交换机。划分VLAN,配置VRRP,使得所有的VRRP组backup状态。(VRRP的组号即为该VLAN的ID,如VLAN10的VRRP组ID为10),配置trunk线路Fa0/1与SW3Fa0/24以trunk方式互联。配置链路聚合,配置MSTP生成树协议。

接入层交换机SW-3:

划分VLAN,配置相关端口,启用端口安全功能,只允许特定主机接入。

配置MSTP生成树协议。

入侵检测系统IDS:

安全功能:派生策略,需要监控TCP攻击、UDP攻击、DOS攻击、IP攻击。

管理功能:管理接口地址为192.168.9.254/24,网关192.168.9.1,管理服务器地

址为192.168.9.10/24

Internet互联网实施

R2、R3、R4三台路由器模拟internet,三台路由器组成OSPF多区域,互联线路采用PPP线路chap认证,OSPF采用MD5认证。

分公司局域网实施

防火墙FW-2:安全功能放行总公司、分公司互相访问进出VPN数据流通过。

FW-2地址转换配置NAT,实现内部网络10.1.10.0/24,访问互联网,其使用合法的公网地址为50.0.0.2/30,上网时间为周一到周五9:00至于17:00上网,周六周日全天上网

FW-2配置静态路由实现分公司上网数据流与分公司访问总公司数据流的分流。

路由器R5:配置简单的路由,使网络连通。配置DHCP为分公司动态分配地址。

入侵检测系统:安全功能:派生策略,需要监控TCP攻击、UDP攻击、DOS攻击、IP攻击。管理功能:管理接口地址为192.168.60.9/24,网关192.168.60.1,管理服务器地址为192.168.60.10/24

路由器R4:配置OSPF路由协议,配置基于接口验证功能,采用MD5方式。FA0/0所在网段采用路由重方式,注入OSPF中,R4链路安全配置PPP实现CHAP认证.

4)功能验证

根据以上网络方案进行实施,最后需通过实施验证看是否达到预期的效果。做以下简单的验证查看效果:

①MSW-1、MSW-2配置的VRRP组主备选举正常,当MSW-1上行端口DOWN时,可以正常切换

②各VLAN用户可以ping通防火墙内网口IP192.168.50.2,断开SW1上行线路断开,或者SW1掉电,都可以正常ping通

③R2、R3、R4OSPF邻居建立正常

④在R4上可以正常ping通12.0.0.2,R2上可以正常ping通45.0.0.4

⑤查看R4路由表,通过OSPF只学习一条缺省路由

⑥在R5上查看DHCP绑定

3 总结

本文通过一个具体的企业网的设计方案,体现了网络设计的思想和步骤,学生们在学校学了大量的关于进行设备配置的技术知识。对于网络方案的设计通过本文希望可以给大家以启示。

参考文献: