企业网络安全设计(精选12篇)
企业网络安全设计 第1篇
计算机网络的发展, 使信息共享应用日益广泛与深入, 但是企业的信息在公共网络上传输, 可能会被非法窃听、截取、篡改或破坏、而造成不可估量的损失。网络信息安全是指网络系统的硬件, 软件及其系统中的数据受到保护, 不受偶然的或者恶意的原因而遭到破坏、更改、泄露、系统能连续可靠地运行, 网络服务不中断。
1.1企业信息安全现状
随着企业网络的普及和网络开放性, 共享性, 互连程度的扩大, 网络的安全问题也越来越引起人们的重视。对于国内大多数的企业来说, 如何在充分利用信息化优势的同时, 更好地保护自身的信息资产, 已经成为一个严峻的挑战。特别是近两年来, 网络上的病毒、攻击事件频发, 信息安全问题正在成为企业信息化进程中的难题。
企业网络面临的安全威胁主要来自外部和内部人员的恶意攻击和入侵。在网络安全方面, 防止内部人员窃取和攻击, 以及因其它原因造成企业信息失密, 还没有得到企业的足够重视。如何能够满足企业信息安全要求, 最大限度的保证信息安全, 这是很多企业必须面对的问题。
1.2威胁企业网络安全的因素
(1) 非授权访问。指对网络设备及信息资源进行非正常使用或越权使用等。主要是内部人员的失误和破坏。如操作员安全配置不当造成的安全漏洞, 用户安全意识不强, 用户口令选择不慎, 用户将自己的帐号随意转借他人或与别人共享。
(2) 冒充合法用户。主要指利用各种假冒或欺骗的手段非法获得合法用户的使用权限, 以达到占用合法用户资源的目的。
(3) 破坏数据的完整性。指使用非法手段, 删除、修改、重发某些重要信息, 以干扰用户的正常使用。
(4) 干扰系统正常运行, 破坏网络系统的可用性。指改变系统的正常运行方法, 减慢系统的响应时间等手段。这会使合法用户不能正常访问网络资源, 使有严格响应时间要求的服务不能及时得到响应。
(5) 病毒与恶意攻击。指通过网络传播病毒或恶意Java、active X等, 其破坏性非常高, 而且用户很难防范。
(6) 软件的漏洞和"后门"。软件不可能没有安全漏洞和设计缺陷, 这些漏洞和缺陷最易受到黑客的利用。另外, 软件的"后门"都是软件编程人员为了方便而设置的, 一般不为外人所知, 可是一旦"后门"被发现, 网络信息将没有什么安全可言。
二、网络安全相关技术产品分析
2.1防火墙技术
防火墙的主要作用是过滤不安全的服务、控制对系统的访问、集中的安全管理、增强的保密性、记录和统计网络利用数据以及非法使用数据及策略执行。实际应用如ISA软件防火墙、CISCO硬件防火墙等。
2.2反病毒技术
由于病毒的种类越来越多, 破坏力越来越强, 而传统的反病毒技术-首先发现病毒, 然后开发出相应的病毒特征, 供用户下载已经不能适应企业的信息安全需求。一些防病毒软件已经开始采用一些先进的反病毒技术, 如启发式侦测技术、蠕虫拦截技术、神经网络技术等, 不仅能查、杀各种未知病毒, 还能修复被病毒感染的文件, 并且防止间谍软件, 击键记录程序等非病毒性泄露企业隐私信息的威胁。
2.3入侵检测技术
入侵检测系统 (IDS:Intrusion Detection System) , 是对入侵行为的检测, 通过收集和分析计算机网络或计算机系统中若干关键点的信息, 检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测系统应包含3个必要功能的组件:信息来源、分析引擎和响应组件。一般来说, 入侵检测系统可分为基于主机的IDS (Host-Based IDS, 简称HIDS) 和基于网络的IDS (Network-Based IDS, 简称NIDS) 。HIDS往往以系统日志、应用程序日志等作为数据源, 当然也可以通过其他手段 (如监督系统调用) 从所在的主机收集信息进行分析。HIDS保护的一般是所在的系统, 需要在主机上安装Sensor, 占用主机一部分资源, 因此为避免对关健业务主机产生影响, 不对关健业务主机配置HIDS。NIDS的数据源则是网络上的数据包, 通过将一台计算机的网卡设置为混杂模式 (promisc mode) , 监听所有本网段内的数据包并进行判断, NIDS担负着保护整个网段的任务。
2.4漏洞扫描和评估技术
扫描是网络安全防御中的一项重要技术, 其原理是根据已知的安全漏洞知识库, 对目标可能存在的安全隐患进行逐项检查, 目标可以是工作站、服务器、交换机、数据库应用等各种对象, 然后根据扫描结果向系统管理员提供周密可靠的安全性分析报告, 为提高网络安全整体水平产生重要依据。
2.5数据加密技术
主要针对企业的敏感信息, 在数据传输过程中对数据加密防止数据被篡改或截获。加解密技术中, 密码算法是用于隐藏和显露信息的可计算过程, 算法越复杂, 结果密文就越安全;密钥是使密码算法按照一种特定方式运行并产生特定密文的值, 密钥越大, 结果密文越安全, 企业在加密数据过程中, 密钥管理成为影响系统安全的关键性因素。比如私钥密码体制具有很高的保密强度, 可以经受较高级破译力量的分析和攻击, 但它的密钥必须通过安全可靠的途径传递, 如果密钥泄露, 则此密码系统被攻破。加密技术中应用比较广泛的有SSL、SET和PGP等。
2.6防水墙技术
防水墙是用来加强信息系统内部安全的重要工具, 它处于内部网络中, 是一个内网监控系统, 可以随时监控内部主机的安全状况。其着重点是用技术手段强化内部信息的安全管理, 利用密码、访问控制和审计跟踪等技术手段对公司信息实施安全保护, 使之不被非法或违规的窥探、外传、破坏、拷贝、删除, 从本质上阻止了机密信息泄漏事件的发生。
2.7 UTM技术
UTM最早是由美国Fortinet公司提出的, UTM是由硬件、软件和网络技术组成的具有专门用途的设备, 它主要提供一项或多项安全功能, 它将多种安全特性集成于一个硬设备里, 构成一个标准的统一管理平台。相比传统网关安全设备, UTM设备融合多种安全能力, 具有投入少、防御能力强、管理方便的优势。
三、Intranet企业网的安全需求
Intranet和Internet相比较:Intranet本身是一个相对独立的网络空间, 相对独立是指它有自己的边界。另一个方面, Intranet具有中央管理, 因为它属于一个企业或一个单位, 那么这个企业就要对这个网络实施管理, 而且管理的核心内容就是安全。因为有了中央管理, 使Intranet可以采用身份认证和授权管理等方式, 解决IP地址易被窃用等问题。从企业网受到攻击的类型分析, 一个完整的网络安全解决方案既要解决系统安全, 又要解决数据安全两方面的问题, 特别是要解决来自内部的非授权访问。概括而言, Intranet企业网的安全需求包括:解决网络的边界安全, 因为它本身是和国际互联网相连的;要保证网络内部的安全;不仅要实现系统安全, 还要实现数据安全;建立全网通行的身份识别系统, 实现用户的统一管理;在身份识别和资源统一管理的基础之上, 实现统一的授权管理, 所谓的统一授权管理就是在用户和资源之间进行严格的访问控制;信息传输时实现数据完整性和保密性;建立一整套审计、记录的机制, 也就是说网上发生的事情要记录下来, 再根据记录进行事后的处理;把技术手段和行政手段融为一体, 形成全局的安全管理。
四、企业信息安全解决方案设计
为建立起完善的内部信息安全系统, 实现堵塞漏洞和防止攻击的目的, 建立安全技术三维模型和安全平台模型, 对操作系统安全、网络安全、数据安全和应用安全平台等各方面进行安全设计和规划, 并采用安全漏洞扫描和安全监控等技术手段做保障, 以可靠性设计手段做灾后处理的设计, 致力于提高企业的信息安全管理水平。
4.1操作系统安全策略
服务器采用的操作系统, 其在安全性上应能够达到C2 (有控制的存取保护) 安全级别, 对系统可提供有效的安全保密措施。
在系统管理上, 对所需要使用的端口采取有效的控制措施, 防止非法人员利用某些漏洞非法进入, 对系统不用的软件或不用的端口尽量卸载或关闭。在操作系统级的安全保障策略上, 主要的技术手段有:漏洞修补、病毒防护、入侵检测等。
4.2网络安全策略
当信息在网络上传递的过程中, 有可能被窃取或泄露, 保障网络的安全主要是实现屏蔽非法的网络请求, 保证正确的数据传输, 对关键信息进行加密。在网络的安全保障策略上主要的技术手段有防火墙应用、VPN数据加密传输等。
4.3数据安全策略
数据是信息的基础, 是企业的宝贵财富。要做好数据的常规备份和历史保存。备份系统应该是全方位、多层次的。首先, 要考虑硬件冗余来防止硬件故障, 对软件故障或人为误操作造成数据的损坏, 则使用存储备份系统和硬件容错相结合的方式。这种结合方式构成了对系统的多级防护, 不仅能够有效地防止物理损坏, 还能够彻底防止逻辑损坏。
4.4应用安全策略
应用系统安全除采用通用的安全手段外主要根据企业自身经营及管理需求来开发。例如办公系统中文件 (邮件) 的安全存储, 可利用加密手段, 配合相应的身份鉴别和密钥保护机制, 使得存储于本机和网络服务器上的个人和单位重要文件处于安全存储的状态。对通用信息服务系统 (电子邮件系统, WEB信息服务系统FTP服务系统等) 采用基于应用开发安全软件, 如安全邮件系统, WEB页面保护等。
4.5交易安全策略
针对网上企业交易的风险和特点, 保障交易安全通常采用授权, 身份鉴别, 信息加密, 完整性校验, 信息审计, 防重发, 防抵赖等安全机制, 具体实现主要依靠基于PKI (公开密钥密码设施) 体系现代密码技术及在此基础上开发应用的电子商务认证加密系统 (CA) .
4.6安全管理策略
建立网络安全保障体系不能仅仅依靠现有的安全机制和设备, 更重要的是提供全方位的安全服务。安全服务是由专业的安全服务机构对信息系统用户进行安全咨询、安全评估、安全方案设计、安全审计、事件响应、定期维护、安全培训等服务。通过规划建立企业系统安全体系, 综合运用各种安全技术和手段, 达到安全目标。
五、总结
网络安全研究历经了通信保密、数据保护两个阶段, 正在进入网络信息安全研究阶段, 现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。但因信息网络安全领域是一个综合、交叉的学科领域, 它综合利用了数学、物理、生化信息技术和计算机技术的诸多学科的长期积累和最新发展成果, 提出系统的、完整的和协同的解决信息网络安全的方案, 面对着来自企业内外的各种威胁, 将防火墙安全、安全VPN、IDS和防病毒功能集中在一个解决方案之中, 使它们无缝协作, 不仅可以降低购买成本, 而且还消除了维护一个过度复杂的多设备解决方案的长期费用。
企业网络信息安全是企业发展, 提升企业竞争力的前提, 是企业专用网络应用中的一个综合性课题。它需要不断地对网络实施监测和控制, 设计技术、管理、使用等许多方面, 既包括信息系统本身的安全问题, 也有物理的和逻辑的技术措施。未来企业的网络信息安全将会面临更大的挑战和机遇。
参考文献
[1]鲜永菊.入侵检测[M].北京:西安电子科技大学出版社, 2009, 8
[2]胡铮.网络与信息安全[M].北京:清华大学出版社, 2006, 5
[3]徐茂林.游林.信息安全与密码学[M].北京:清华大学出版社.2007, 1
企业网络安全方案设计 第2篇
企业网络安全方案的设计企业网络安全方案设计
摘 要:在这个信息技术飞速发展的时代,许多有远见的企业都认识到很有必要依托先进的IT技术构建企业自身的业务和运营平台来极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。本文主要通过安全体系建设原则、实例化的企业整体网络安全方案以及该方案的组织和实施等方面的阐述,为企业提供一个可靠地、完整的方案。
关键词: 信息安全、企业网络安全、安全防护
一、引言
随着国内计算机和网络技术的迅猛发展和广泛普及,企业经营活动的各种业务系统都立足于Internet/Intranet环境中。但随之而来的安全问题也在困扰着用户。Internet所具有的开放性、国际性和自由性在增加应用自由度的同时,对安全提出了更高的要求。一旦网络系统安全受到严重威胁,甚至处于瘫痪状态,将会给企业、社会、乃至整个国家带来巨大的经济损失。应此如何使企业信息网络系统免受黑客和病毒的入侵,已成为信息事业健康发展所要考虑的重要事情之一。
一般企业网络的应用系统,主要有WEB、E-mail、OA、MIS、财务系统、人事系统等。而且随着企业的发展,网络体系结构也会变得越来越复杂,应用系统也会越来越多。但从整个网络系统的管理上来看,通常包括内部用户,也有外部用户,以及内外网之间。因此,一般整个企业的网络系统存在三个方面的安全问题:
(1)Internet的安全性:随着互联网的发展,网络安全事件层出不穷。近年来,计算机病毒传播、蠕虫攻击、垃圾邮件泛滥、敏感信息泄露等已成为影响最为广泛的安全威胁。对于企业级用户,每当遭遇这些威胁时,往往会造成数据破坏、系统异常、网络瘫痪、信息失窃,工作效率下降,直接或间接的经济损失也很大。
(2)企业内网的安全性:最新调查显示,在受调查的企业中60%以上的员信息安全课程设计
企业网络安全方案的设计工利用网络处理私人事务。对网络的不正当使用,降低了生产率、阻碍电脑网络、消耗企业网络资源、并引入病毒和间谍,或者使得不法员工可以通过网络泄漏企业机密,从而导致企业数千万美金的损失。所以企业内部的网络安全同样需要重视,存在的安全隐患主要有未授权访问、破坏数据完整性、拒绝服务攻击、计算机病毒传播、缺乏完整的安全策略、缺乏监控和防范技术手段、缺乏有效的手段来评估网络系统和操作系统的安全性、缺乏自动化的集中数据备份及灾难恢复措施等。
(3)内部网络之间、内外网络之间的连接安全:随着企业的发展壮大及移动办公的普及,逐渐形成了企业总部、各地分支机构、移动办公人员这样的新型互动运营模式。怎么处理总部与分支机构、移动办公人员的信息共享安全,既要保证信息的及时共享,又要防止机密的泄漏已经成为企业成长过程中不得不考虑的问题。各地机构与总部之间的网络连接安全直接影响企业的高效运作。
二、以某公司为例,综合型企业网络简图如下,分析现状并分析需求:
信息安全课程设计
企业网络安全方案的设计
图说明 图一 企业网络简图
对该公司的信息安全系统无论在总体构成、信息安全产品的功能和性能上也都可能存在一定的缺陷,具体表现在:
(1)系统性不强,安全防护仅限于网络安全,系统、应用和数据的安全存在较大的风险。
(2)原有的网络安全产品在功能和性能上都不能适应新的形势,存在一定的网络安全隐患,产品亟待升级。
(3)经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。
(4)计算机应用系统涉及越来越多的企业关键数据,这些数据大多集中在公司总部数据中心,因此有必要加强各计算机应用系统的用户管理和身份的认证,加强对数据的备份,并运用技术手段,提高数据的机密性、完整性和可用性。
由以上分析可知该公司信息系统存在较大的风险,信息安全的需求主要体现在如下几点:
(1)某公司信息系统不仅需要安全可靠的计算机网络,也需要做好系统、应用、数据各方面的安全防护。为此,要加强安全防护的整体布局,扩大安全防护的覆盖面,增加新的安全防护手段。
(2)网络规模的扩大和复杂性的增加,以及新的攻击手段的不断出现,使某公司计算机网络安全面临更大的挑战,原有的产品进行升级或重新部署。(3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求,为此要加快规章制度和技术规范的建设,使安全防范的各项工作都能够有序、规范地进行。
(4)信息安全防范是一个动态循环的过程,如何利用专业公司的安全服务,做好事前、事中和事后的各项防范工作,应对不断出现的各种安全威胁,也是某公司面临的重要课题。
三、设计原则
安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行,避免重复投入、重复建设,充分考虑整体和局部的利益。具体如下: 1.标准化原则 信息安全课程设计
企业网络安全方案的设计2.系统化原则 3.规避风险原则 4.保护投资原则 5.多重保护原则 6.分步实施原则
四、企业网络安全解决方案的思路
1.安全系统架构
安全方案必须架构在科学网络安全系统架构之上,因为安全架构是安全方案设计和分析的基础。
随着针对应用层的攻击越来越多、威胁越来越大,只针对网络层以下的安全解决方案已经不足以应付来自应用层的攻击了。举个简单的例子,那些携带着后门程序的蠕虫病毒是简单的防火墙VPN安全体系所无法对付的。因此我们建议企业采用立体多层次的安全系统架构。这种多层次的安全体系不仅要求在网络边界设置防火墙VPN,还要设置针对网络病毒和垃圾邮件等应用层攻击的防护措施,将应用层的防护放在网络边缘,这种主动防护可将攻击内容完全阻挡在企业内部网之外。2.安全防护体系
信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终。如图二所示:
图说明 图二 网络与信息安全防范体系模型 信息安全课程设计
企业网络安全方案的设计3.企业网络安全结构图
通过以上分析可得总体安全结构应实现大致如图三所示的功能:
图说明 图三
总体安全结构图
五、整体网络安全方案
1.网络安全认证平台
证书认证系统无论是企业内部的信息网络还是外部的网络平台,都必须建立在一个安全可信的网络之上。目前,解决这些安全问题的最佳方案当数应用PKI/CA数字认证服务。PKI(Public Key Infrastructure,公钥基础设施)是利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系,它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障,向用户提供完整的PKI/CA数字认证服务。通过建设证书认证中心系统,建立一个完善的网络安全认证平台,能够通过这个安全平台实现以下目标:
1)身份认证(Authentication):确认通信双方的身份,要求通信双方的身份不能被假冒或伪装,在此体系中通过数字证书来确认对方的身份。信息安全课程设计
企业网络安全方案的设计
2)数据的机密性(Confidentiality):对敏感信息进行加密,确保信息不被泄露,在此体系中利用数字证书加密来完成。
3)数据的完整性(Integrity):确保通信信息不被破坏(截断或篡改),通过哈希函数和数字签名来完成。
4)不可抵赖性(Non-Repudiation):防止通信对方否认自己的行为,确保通信方对自己的行为承认和负责,通过数字签名来完成,数字签名可作为法律证据。2.VPN系统
VPN(Virtual Private Network)虚拟专用网,是将物理分布在不同地点的网络通过公用骨干网(如Internet)连接而成的逻辑上的虚拟专用网。和传统的物理方式相比,具有降低成本及维护费用、易于扩展、数据传输的高安全性。
通过安装部署VPN系统,可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体,通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道,使得合法的用户可以安全的访问企业的私有数据,用以代替专线方式,实现移动用户、远程LAN的安全连接。
集中的安全策略管理可以对整个VPN网络的安全策略进行集中管理和配置。
3.网络防火墙
采用防火墙系统实现对内部网和广域网进行隔离保护。对内部网络中服务器子网通过单独的防火墙设备进行防护。其网络结构一般如下:
图说明 图四 防火墙
此外在实际中可以增加入侵检测系统,作为防火墙的功能互补,提供对监控信息安全课程设计
企业网络安全方案的设计网段的攻击的实时报警和积极响应等功能。4.病毒防护系统
应强化病毒防护系统的应用策略和管理策略,增强勤业网络的病毒防护功能。这里我们可以选择瑞星网络版杀毒软件企业版。瑞星网络杀毒软件是一个专门针对网络病毒传播特点开发的网络防病毒软件,通过瑞星网络防病毒体系在网络内客户端和服务器上建立反病毒系统,并且可以实现防病毒体系的统一、集中管理,实时掌握、了解当前网络内计算机病毒事件,并实现对网络内的所有计算机远程反病毒策略设置和安全操作。5.对服务器的保护
在一个企业中对服务器的保护也是至关重要的。在这里我们选择电子邮件为例来说明对服务器保护的重要性。
电子邮件是Internet上出现最早的应用之一。随着网络的快速发展,电子邮件的使用日益广泛,成为人们交流的重要工具,大量的敏感信息随之在网络上传播。然而由于网络的开放性和邮件协议自身的缺点,电子邮件存在着很大的安全隐患。
目前广泛应用的电子邮件客户端软件如 OUTLOOK 支持S/MIME(Secure Multipurpose Internet Mail Extensions),它是从 PEM(Privacy Enhanced Mail)和 MIME(Internet 邮件的附件标准)发展而来的。首先,它的认证机制依赖于层次结构的证书认证机构,所有下一级的组织和个人的证书由上一级的组织负责认证,而最上一级的组织(根证书)之间相互认证,整个信任关系基本是树状的。其次,S/MIME 将信件内容加密签名后作为特殊的附件传送。保证了信件内容的安全性。下图五是邮件系统保护的简图(透明方式): 信息安全课程设计
企业网络安全方案的设计
图说明
图五
邮件系统保护 6.关键网段保护
企业中有的网段上传送的数据、信息是非常重要的,应此对外应是保密的。所以这些网段我们也应给予特别的防护。简图如下图六所示。
图说明
图六
关键网段的防护 7.日志分析和统计报表能力
对网络内的安全事件也应都作出详细的日志记录,这些日志记录包括事件名称、描述和相应的主机IP地址等相关信息。此外,报表系统还应自动生成各种形式的攻击统计报表,形式包括日报表,月报表,年报表等,通过来源分析,目信息安全课程设计
企业网络安全方案的设计标分析,类别分析等多种分析方式,以直观、清晰的方式从总体上分析网络上发生的各种事件,有助于管理人员提高网络的安全管理。8.内部网络行为的管理和监控
除对外的防护外,对网络内的上网行为也应该进行规范,并监控上网行为,过滤网页访问,过滤邮件,限制上网聊天行为,阻止不正当文件的下载。企业内部用户上网信息识别度应达到每一个URL请求和每一个URL请求的回应。通过对网络内部网络行为的监控可以规范网络内部的上网行为,提高工作效率,同时避免企业内部产生网络安全隐患。因此对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。
桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起,形成一个整体,是针对客户端安全的整体解决方案。分别有以下几种系统:
1)电子签章系统
利用非对称密钥体系保证了文档的完整性和不可抵赖性。采用组件技术,可以无缝嵌入OFFICE系统,用户可以在编辑文档后对文档进行签章,或是打开文档时验证文档的完整性和查看文档的作者。
2)安全登录系统
安全登录系统提供了对系统和网络登录的身份认证。使用后,只有具有指定智能密码钥匙的人才可以登录计算机和网络。用户如果需要离开计算机,只需拔出智能密码钥匙,即可锁定计算机。
3)文件加密系统
文件加密应用系统保证了数据的安全存储。由于密钥保存在智能密码钥匙中,加密算法采用国际标准安全算法或国家密码管理机构指定安全算法,从而保证了存储数据的安全性。
则内网综合保护简图如下图七所示: 信息安全课程设计
企业网络安全方案的设计
图说明
图七
内网综合保护 9.移动用户管理系统
对于企业内部的笔记本电脑在外工作,当要接入内部网也应进行安全控制,确保笔记本设备的安全性。有效防止病毒或黑客程序被携带进内网。10.身份认证的解决方案
身份认证是指计算机及网络系统确认操作者身份的过程。基于PKI的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USB Key是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USB Key内置的密码算法实现对用户身份的认证。
基于PKI的USB Key的解决方案不仅可以提供身份认证的功能,还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的层次关系和逻辑联系构成的综合性安全技术体系,从而实现上述身份证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。
六、方案的组织与实施方式
由以上的分析及设计,可知网络与信息安全防范体系流程主要由三大部分组成:攻击前的防范、攻击过程中的防范和攻击后的应对。具体的安全管理贯穿全信息安全课程设计
企业网络安全方案的设计流程图,如图八所示。安全管理贯穿全流程图不仅描述了安全防范的动态过程,也为本方案的实施提供了借鉴。
图说明
图八 安全管理贯穿全流程图
因此在本方案的组织和实施中,除了工程的实施外,还应重视以下各项工作:
(1)在初步进行风险分析基础上,方案实施方应进行进一步的风险评估,明确需求所在,务求有的放矢,确保技术方案的针对性和投资的回报。
(2)把应急响应和事故恢复作为技术方案的一部分,必要时可借助专业公司的安全服务,提高应对重大安全事件的能力。
(3)该方案投资大,覆盖范围广,根据实际情况,可采取分地区、分阶段实施的方式。
(4)在方案实施的同时,加强规章制度、技术规范的建设,使信息安全的日常工作进一步制度化、规范化。
七、总结
本设计以某公司为例,分析了网络安全现状,指出目前存在的风险,随后提出了一整套完整的解决方案,涵盖了各个方面,从技术手段的改进,到规章制度的完善;从单机系统的安全加固,到整体网络的安全管理。也希望通过本方案的信息安全课程设计
企业统一无线网络架构设计 第3篇
关键词:无线网络架构;无线控制器;轻量级无线接入点;LWAPP
中图分类号:TN925文献标识码:A文章编号:1007-9599 (2010) 13-0000-02
Enterprise Unified Wireless Network Architecture Design
Liu Xinjun,Yang Junwei,Chen Xiaoyun,Pan Weiping
(Shanghai Television Station,Shanghai200041,China)
Abstract:This dissertation introduces the traditional structure of enterprise wireless network,including its system manageability,security and roaming flexibility,and analyses the existing defects structure,then highlights the competitive edges of unified wireless network structure.That new network structure is equipped with lightweight wireless LAP,WLC and LWAPP,thus strengthening the availability and security of wireless network.
Keywords:WLAN;WLC;LAP;LWAPP
一、引言
隨着无线技术在近年来的飞速发展,无线网络已经迅速成为了企业园区网中所不可或缺的组成部分。无线网络的可扩展性、易获取性等特点让企业的日常工作中效率大大得以提升。然而,无线网络给我们带来便利的同时,也带来了一系列管理难题和安全隐患。
目前,企业所普遍采用的无线网络架构均属于传统方式。在该方式中,无线接入点(Wireless Access Point,下简称AP)相互独立,缺乏统一部署和管理,无线数据流缺少汇聚点,安全策略得不到有效部署。针对上述这些缺点,企业统一无线网络架构做出了诸多方面改进,包括AP的管理模式、无线数据流控制等。企业统一无线网络架构在延续了无线网络优势的同时,更是完善了无线网络的可管理性、安全性和可用性,使其更高效、安全地为企业的各类业务应用提供服务。
二、企业传统无线网络架构
企业传统无线网络架构由四大板块组成,分别是:无线终端层、无线接入层、有线传输层和网络控制层。在该架构中,AP相互独立部署于整个企业的园区内,用户的无线数据终端可通过加密信道将数据发送至AP,由AP再将数据转发至有线传输层,继而访问企业内部资源或是互联网资源,详情可参考图一。
图一:企业传统无线网络架构
(一)企业无线网络传统架构数据流
传统无线网络架构的确扩展了企业园区网络的覆盖范围,实现企业的各类无线业务,使得用户对于应用的获取更为灵活和方便。在传统无线网络架构中,其无线应用的数据流主要以下几个步骤:
1.用户的无线终端设备通过加密信道连接至离自己最近的AP,这也是该架构中唯一可以实施安全性的环节。
2.无线加密数据传输到AP后,由AP负责数据的解密,然后将数据桥接到企业的有线交换网络。
3.桥接至有线交换网络后,无线应用数据流与企业中的有线数据流完全一致。
(二)企业无线网络传统架构缺点
通过上述图一所示以及无线数据流模的描述,可以清楚的知道,在传统无线网络架构中无线数据流缺少统一的汇聚节点,存在着诸多缺点:
1.AP缺乏统一部署和管理。
在企业传统无线网络架构中,各个AP独立运行,企业管理员必须对每个AP进行单独配置,如此分散式的AP部署模式给管理带来很大的不方便性。同时,在网络规划中,一般会将无线用户归入同一个网段,以便在网络中做简单的安全控制。然而,由于AP将部署在企业园区中不同的交换设备,为了满足之前的要求,就不得不将无线网段在所有交换机上互相连通,这样的部署容易造成地址在整个园区网中泛洪,显然这并不符合最佳的网络设计实践的要求。
2.网络安全难以保证。
在企业园区网中,无线网络的出现一方面扩大了网络覆盖范围,但另一方面也带来了更多的安全隐患。由于每个AP独立运行,因此管理无线网络的安全性变得十分困难,每个独立的AP处理其各自的安全策略。无线数据流缺少统一的汇集点,这意味着无法对无线数据流进行集中统一的监控,以实现入侵检测和防范、服务质量、带宽控制等。同时,用户无线终端虽然可以与AP之间通过加密信道进行数据传输,但由于无线通信环境的易获取性和复杂性,黑客可以比较方便地对无线数据进行截取、分析和解密,从而窃取到数据内容。
3.AP间信号重叠,漫游功能欠灵活。
在传统的无线网络架构中,各个AP独立运行,相互之间没有通信机制,因此每个AP都会将功率信号放到最大,这便会使得AP之间的信号重叠区域可能超过20%,而一般合理的信号重叠区域应维持在10%左右。然而在重叠区域的用户无线终端会出现时断时续的现象。此外,由于AP之间相互独立,当用户在从AP1的信号范围移动到AP2时,无线终端需离开AP1范围即造成信号中断后再连接AP2的信号,在整个漫游过程中将造成数据包的大量丢失。
通过上述章节,我们简单回顾了企业传统无线网络架构及数据流,指出该架构的诸多不足之处。那么在接下来的论述中,针对安全和管理的问题,文章引入一种新的架构方式,即企业统一无线网络架构,该架构不但可为企业获取灵活的无线业务应用,同时还能保证其可管理性和安全性。
三、企业统一无线网络架构
与传统无线网络架构一样,统一无线网络架构也可分为四大区域。其中,无线接入层和网络控制层的设备部署与传统架构相比存在较大不同:
1.在网络控制层中,该架构增加了无线控制器(Wireless Lan Controller,下简称WLC)和无线控制系统(Wireless Control System,下简称WCS)。WLC主要对AP进行统一集中管理,以实现网络的安全性和管理的灵活性,是无线网络统一架构的关键设备之一。WCS属于配套管理系统,在该架构中可查看整个无线网络覆盖的信号强度和范围,并能管理连接无线的用户,查看其身份,IP地址和具体的位置等功能,为统一无线架构的更是增加了灵活方便的元素。
2.在无线接入层中,该架构部署的AP为轻量级AP(LAP),俗称“瘦AP”,其意义在于LAP并不需要单独配置,其配置通过WLC处自动下发获取,LAP与WLC之间实现基于LWAPP隧道封装的通信机制,以确保无线网络系统的统一性和安全性,详情可参考图二。
图二:企业统一无线网络架构
(一)企业统一无线网络架构数据流
统一无线网络架构针对传统无线网络架构中的诸多缺点,有了各方面的改进。在论述该架构之前,我们先对该架构中的无线数据流进行必要的描述:
1.用户无线终端设备通过加密的无线信道接入至附近的LAP。
2.LAP接收到用户无线终端的数据,以LWAPP协议在二层通道对数据进行隧道封装(可参考图二中的数据流描述),并通过证书方式對WLC进行认证。合法的WLC在通过认证后,LAP才会将封装后的用户数据发送至WLC。此时,LAP不负责对用户数据进行解密,解密过程由远端WLC完成。
3.WLC接收到LAP发送的数据,先对LWAPP隧道进行解封装,如果数据加密则进行解密,完成后根据原数据包目标地址按路由转发,同时将原数据包源地址更改为自身设备的出口地址。
4.由于WLC在转发数据前将原数据包的源地址更改成自身设备的接口地址,因此回包数据将先被统一转发至WLC,再由WLC进行LWAPP隧道封装发送给相应的LAP,LAP收到数据进行解封装后发送至用户的无线终端设备。其中,加密解密过程分别由WLC和用户无线终端分别进行,LAP并不参与。
(二)企业统一无线网络架构优点
根据对该架构数据流的描述,不难发现企业统一无线网络架构的优势主要有以下几点:
1.统一的AP管理和控制。
在该架构中,LAP并非独立部署于企业园区中,它们的配置策略和运行情况由WLC进行统一管理和协调。接入的LAP会自动同步WLC上的配置文件。在WLC中也能够管理所有已注册的合法LAP,当某个LAP发生故障时,WLC能够及时针对指定LAP进行排障。这使得管理员对于LAP的部署和管理非常的灵活便捷。
于此同时,由于用户无线终端与目标应用间的通信被LAP和WLC用LWAPP协议进行隧道封装传送,因此无线用户可以被设计在同一个网段中而并不需要对整个网络进行二层的贯通,LAP本身的地址可以与归属的二层交换机同一网段。这样的设计并不会对企业园区网造成地址泛洪的影响,是比较优化的网络设计实践。
2.网络安全性有保障。
在传统无线网络架构中,无线数据流缺少集中的汇聚点,这导致安全策略难以集中统一部署。然而在该架构中的无线数据流在WLC处有统一的汇聚点。在该汇聚点上,管理员可统一实施相应的安全策略,如认证授权、防入侵检测、服务质量控制等一系列的管理功能,这将大大提升无线网络的自身的安全性。同时,在此架构中,无线数据的加密解密分别由用户的无线终端与WLC之相互交替进行,并且在整个传输过程中都是被隧道封装在LWAPP隧道中,这使得黑客比较难以从中通过对数据包的监听到而实施破解,也从另一个方面加强了无线数据的安全性。
3.支持灵活漫游机制。
企业网络安全解决方案的设计 第4篇
一、企业网络安全现状
随着科学技术的发展,现代信息网络开放性、共享性以及互联程度的扩大,大多数的企业其内部网络已经普及。企业网络的普及给企业的运营带来了极大的便利,同时,由于网络安全性能始终无法得到有效的提升,企业网络安全问题越来越受到企业人员的关注与重视。对于企业而言,有何充分有效的利用信息化优势的同时,对本企业的信息进行更好的保护已经成为了大多数企业面临的一个重要的难题。
企业内部网络遭受安全威胁主要是来自企业外部人员以及企业内部人员的恶意入侵和攻击。企业外部人员通过植入各种病毒从而获取企业内部的机密资料与信息,进而获得相应的报酬。而企业的内部人员在对网络进行攻击时,可以利用网络中的某些软件的漏洞或是其软件的“后门”来对企业的网络进行攻击。除此之外,还可以通过使用非授权访问、冒充企业网络的合法用户等手段来破坏企业网络中数据的完整性、对其系统的正常运行进行干扰等一系列的行为来破坏企业网络的安全。
二、企业网络安全需求
(一)办公网设备实体安全需求
企业办公网内的设备实体主要就是交换机、员工的个人电脑等设备。对于这些设备的管理存在一定的安全隐患,同时,如果这些设备出现安全性的问题,就会对企业造成极其严重的后果。通常情况下,企业办公网的核心设备和其服务器都在一个机房内,大多数企业所使用的蓄电池的蓄电量较小,如果碰到长时间停电的状况,相关设备就会停止工作。除此之外,绝大多数的企业在机房管理方面没有建立相对完善的管理制度,对机房的进出人员没有限制,关于交换机机柜的管理措施不严谨,对于安放交换机的会议室应该在不投入使用时需要对其上锁,等等。此类人为的安全隐患都可以造成企业网络的中断,进而影响企业正常的运作与办公,甚至有可能造成相关服务器的数据丢失,给企业带来极大的损失。
(二)个人办公电脑系统安全需求
一般来说,企业中的重要文件、报表等信息都存储在员工的个人电脑中,有利于相关员工的调取与施工,进而提升其工作效率。但是,这样也存在一定的安全风险。个人电脑一旦遭到攻击,就会使企业相关的信息遭到泄露,近年来盛行的移动办公更会出现这种情况。因此,对于涉及企业重要信息的计算机应该采取特殊、专门的安全措施来进行重点的保护,确保其中的信息安全。除此之外,还可以对这些计算机设置密码,可以有效地避免公司内部心机不纯的人盗取企业的重要资料。
(三)病毒防护需求
随着计算机网络技术的成熟与发展,与此相关的计算机病毒技术也在不断的提升,其破坏能力也在逐步的加强,病毒的顽固性也随之提升。因此,为了能够避免病毒的入侵,企业中的计算机必须配备相应的杀毒软件。同时对计算机和企业内部网络进行实时的病毒安全防护,以此来确保企业整个网络业务数据的安全性,避免其遭到破坏,是企业能够维持正常的运转。由于信息技术的发展,相关的网络病毒更新的速度以及新病毒出现的时间越来越快,因此,需要定期的就病毒防御系统进行更新。同时还要加强相关员工对计算机进行杀毒的意识,培养其进行定期杀毒的习惯。
三、企业网络安全解决方案
(一)边界防火墙部署
企业为了保障内部网络的安全,可以采用边界防火墙的措施来对其进行保护。边界防火墙主要设置在网络主交换机的地方,并且使用路由器与外界进行连接。边界防火墙的设置会在企业的内部网络与外部网络之间筑建起一道相对安全的墙,防火墙在设置后,对于进入系统内部的信息会事先进行查看与分析,其满足相关的安全条件后才能进入系统的内部。
使用边界防火墙可以有效地隔离企业的内部与外部网络,使企业内部网络避免遭受外部不安全因素的攻击与入侵。能够根据源地址的相关信息对访问的数据进行自动的过滤,对不符合标准的予以拒绝;还能够关闭一些不安全的服务;同时设置了完善的访问系统的规则,将没有合法权限的拒之门外;除此之外还能够对外部的信息进行严密的监测,对不合法的请求直接拒绝。
(二)漏洞扫描
企业内部网路是一个常用性的安全系统,需要对其采取适当的方法措施,并定期对其进行安全性能的评估。因此,需要使用漏洞扫描系统,对网络中存在的漏洞进行及时的扫描与修复,安装漏洞补丁等,进而提升企业网络的防护能力,增强网络的安全性。进行漏洞扫描的软件需要具备网络监控及自动响应的功能,能够找出网络经常发生问题的根源,创建一定的过程来检查网络安全威胁因素,对漏洞进行分析与相应,尽可能的减少网站的安全漏洞,增强企业网络的耐攻击性等功能。
四、结语
企业网络安全是企业发展,提升其市场竞争力的前提条件。对于企业网络安全的保障需要不断地对其进行检测与控制,管理等多方面的控制。可以采用相关的措施来对企业网络信息系统进行管理与控制,随着科学技术的发展,在未来,企业有可能会在网络信息安全方面面临更加巨大的挑战与机遇。
摘要:随着计算机信息技术的发展和经济全球化的加快,信息全球化已经成为当前社会的发展趋势。近年来,我国企业内部的网络已经实现了信息与资源的共享。但是由于其中包含了很多企业内部的重要信息,因此其网络安全问题就受到了企业的重视。因此,企业必须针对这个问题制定一套相对完善的网络安全解决方案来对企业内部网络中的重要信息进行保护。
关键词:企业网络安全,方案,设计
参考文献
[1]于治新.企业网络安全风险分析及可靠性设计与实现[D].吉林大学,2013.
[2]韩洪锋.浅谈企业网络安全策略[J].福建电脑,2010(01).
企业网络设计报告 第5篇
用接入交换机可以把多个计算机设备连接在一起,组成一个网络。由于企业比较大型,所以应分成3个区,每个区分别使用一台总的交换机。
企业网络构建要求:(1)所有用户接入互联网,仓库人员一律不得上外网;(2)需要一个网站;(3)需要一个文件共享;(4)需要自己建立邮件服务;(5)销售部网络应用需要重点保障;(6)网络中心拥有网络监视权、控制权;(7)适当的布局无线网线;(8)不同大楼之间用光钎连接.内部网络:小型办公网络可以使用10/100M的交换以太网来组建内部网络,在这里我们需要的设备包括网络适配器和交换机这两种设备。网络适配器就是一般的网卡,交换机设备则需要根据网络中的终端数量来进行选择,目前市场上适合小型办公网络使用的交换机有5口、8口、16口和24口几种,在选择的过程我们需要根据网络中终端数量的多少来选择,而且在选择时还应注意要有冗余和日后网络升级的考虑。
外部网络:一般我们可以用以下几种方式来共享一条宽带线路上网:(1)代理服务器方式共享上网,这种方式不需要其他的投资,但需要提供一台主机用作代理上网使用,这台机器需要配备两块网卡,不需要如宽带路由器等共享上网设备。缺点是如果这台机器出现故障或关机时,所有的机器都会受到影响而不能正常上网。(2)宽带路由器方式共享上网,这种方式需要投资购买宽带路由器,优点是不需要过多的维护,只要打开宽带路由器就可以随时提供共享上网服务,缺点是宽带路由器有可能会因为性能、病毒等种种因素造成使用网络的不正常。
宽带接入仍然是企业接入方式的热门选择,但这就不仅仅是一条线光纤或者两条ADSL引入这么简单,因为一两条宽带难以满足企业的带宽需要,对于一般规模的企业来说,选择双光纤接入,或者是多条ADSL接入应该可以满足客户的使用需求。公司所有用户接入互联网,仓库人员一律不得上外网。公司目前从ISP获取了两个合法IP,码头:由于码头人数只有15人,所以使用一台16个端口的交换机就足够了,其中一个端口连接企业大楼的网络中心的总的交换机。
厂房:由于厂房有80人之多,所以需要2台32个端口的交换机、1台24个端口的交换机以及一台总交换机,其中总交换机向上连接整个网络的交换机,向下连接另三台交换机,其中一台32口交换机连接原料仓库的10台以及成品仓库的20台电脑,另一台32口的交换机连接成产管理部的30台电脑,最后一台24口的交换机连接半成品仓库的20台电脑。企业大楼:企业大楼人数众多,有138人,所以需要用许多的交换机。网络中心拥有控制权,所以直接连接总的交换机。总的交换机为8个端口的交换机,往下再连接一个8个端口的交换机。这个交换机连接之一是一个8个端口的交换机,下面连接经理部8人的电脑;之二是连接一个8个端口的交换机,下面连接财务部5人的电脑;之三是连接一个24个端口的交换机,下面连接跟单部20人的电脑;之四是连接一个48个端口的交换机和一台无线AP,下面连接管理部50人的电脑;之五是连接一个48个端口的交换机和一台无线AP,下面连接销售部50人的电脑。整个网络最中心的交换机上连接路由器以及防火墙,之后可以与外网连接。
一、所有用户接入互联网,仓库人员一律不得上外网
因此必须要设置一下路由器,具体步骤如下:
登陆宽带路由器,打开IE,输入192.168.1.1,就会出现登陆窗口。输入账号,密码登入
1.设置页面--安全设置--防火墙设置--选择开启防火墙,开启MAC地址过滤二项--"禁止已设MAC地址列表中已启用的MAC地址访问Internet 2.设置页面--安全设置--MAC地址过滤--添加新条目--把禁止上网的电脑的MAC地址填进去,并选择使该条目生效.上网控制设置后,被禁止上网的电脑就不可以上网了,但局域网内部之间可以正常访问。
二、需要一个网站
1.确定网站主题,网站主题就是你建立的网站所要包含的主要内容,一个网站必须要有一个明确的主题。企业网站的主题就是企业的历史、企业的产品或服务内容等与企业相关的东西。
2.搜集材料,明确了网站的主题以后,你就要围绕主题开始搜集材料了。
3.规划网站,网站规划包含的内容很多,如网站的结构、栏目的设置、网站的风格、颜色搭配、版面布局、文字图片的运用等。
4.选择合适的制作工具,网页制作涉及的工具比较多,首先就是网页制作工具了,目前大多数网民选用的都是所见即所得的编辑工具,具体有Dreamweaver、Frontpage、Frontpage2000。除此之外,还有图片编辑工具,如Photoshop、Photoimpact等;动画制作工具,如Flash、Cool 3d、Gif Animator等;还有网页特效工具,如有声有色等。5.制作网页,材料、工具都准备好了,下面就需要制作网页了,在制作网页时,先把大的结构设计好,然后再逐步完善小的结构设计而且要先设计出简单的内容,然后再设计复杂的内容,以便出现问题时好修改。
6.上传测试,网页制作完毕,最后要发布到Web服务器上,利用FTP工具把网站发布到自己申请的主页存放服务器上。网站上传以后,要在浏览器中打开自己的网站,逐页逐个链接的进行测试,发现问题,及时修改,然后再上传测试。
7.推广宣传,网页做好之后,还要不断地进行宣传,推广的方法有很多,例如到搜索引擎上注册、与别的网站交换链接、加入广告链等。8.维护更新,网站要注意经常维护更新内容,保持内容的新鲜。
三、需要一个文件共享
文件共享设置:在某台电脑上,打开“我的电脑”使用鼠标右键单击磁盘区分或文件夹后,会出现一个“共享和安全”菜单,单击该功能后,会出现“共享”选项卡.将“在网络上共享这个文件夹”选项勾选后,然后系统会让用户填写共享名字,并设置权限.文件夹被共享之后,会出现一个手托着的文件夹的图标,之后在另外的计算机的“运行”对话框中输入该机的地址或计算机名字,就可以访问到共享文件夹了.四、需要自己建立邮件服务
1.企业需要申请合法的邮件域名。2.需要有合法的固定IP地址 3.先在系统安装IIS
4.安装正式版
5.更改安装目录例D:/WINWEBMAIL权限;Everyone写入/读取/修改/读取和运行;D:/盘权限Everyone读取/读取和运行,如果安装在E盘就给E盘
6.将破解文件复制到D:/WINWEBMAIL 运行破解文件启动winwebmail 7.右键点右下角的邮局图标--注册--选无限用户--复制前面的注册信息粘贴进输入筐,点注册
8.复制弹出筐中的认证码
9.右键点右下角的邮局图标--停止邮局服务--退出邮局
10.启动邮局---右键点右下角的邮局图标--注册--输入刚才复制的认证码--注册 11.打开IIS--新建站点--D:/WINWEBMAIL/web 12.输入你绑定的域名,用admin密码admin登陆并做相关设置
五、销售部网络应用需要重点保障
在企业大楼的总交换机与销售部的交换机中间安装防火墙,而且在交换机与无线路由器之间安装防火墙。
六、网络中心拥有网络监视权、控制权
网络中心拥有控制权,所以直接连接总的交换机。
七、适当的布局无线网线
1.在管理部的交换机上链接无线路由器 2.在销售部的交换机上链接无线路由器 3.在企业大楼安装无线天线
八、不同大楼之间用光钎连接
如上图所示,不同大楼之间用光钎连接。心得体会:
通过本次计算机网络课程设计,我更加充分的理解了课本上的知识,并能够加以扩展,从而应用于实践当中,要实现一个小型办公网络,画出网络简单模块拓补图,对其内部器件进行相应的正确配置。达到网络畅通、功能齐全、安全可靠的目的,并符合公司对网络的要求水平。
大中型企业网络设计与规划概述 第6篇
关键词:企业网;拓扑结构;网络协议;服务器
中图分类号:TP393文献标识码:A文章编号:1007-9599 (2010) 06-0000-01
Overview of Network Design&Planning in Large and Medium-sized Enterprises
Zheng Chenxi,Shi Xiaozhuo,Li Yongliang
(Shenyang Aerospace University,ShenYang110136,China)
Abstract:The network brings the convenience to enterprises and new business opportunities,not only through the network enterprise products and technologies faster and get the latest information,and also will bring a wider market.For medium and large enterprises,set up for its own Internet site to the outside world through the network to understand business,or further through e-commerce network,has become a must step to modern enterprise.
Keywords:Enterprise network;Topology;Network protocol;Server
一、企业网设计原则
(一)坚持开放性原则,采用统一网络协议和接口标准,来实现企业内部异种机、异种网络的互连。
(二)坚持先进性原则, 采用当今较为成熟、先进的网络技术来进行网络的规则与设计,满足较长一段时期的需求。
(三)坚持易升级、易扩充的原则,统一规划,分步实施。
(四)坚持经济、实用、可靠的原则。
二、网络设备选型的原则
(一)稳定可靠的网络。网络的可靠运行取决于诸多因素,如网络的设计,产品的可靠,要求有物理层、数据链路层和网络层的备份技术。
(二)高带宽。要采用最先进的网络技术,以适应大量数据和多媒体信息的传输,既要满足目前的业务需求,又要充分考虑未来的发展。
(三)易扩展的网络。易扩展不仅仅指设备端口的扩展,还指网络结构的易扩展性。
(四)安全性。应支持VLAN的划分,并能在VLAN之间进行第三层交换时进行有效的安全控制。
(五)容易控制管理。做到既保证一定的用户通信质量,又合理的利用网络资源,是建好一个网络所面临的首要问题。
(六)符合IP发展趋势的网络。
三、主干网络技术选型
主干网络选择何种网络技术对网络建设的成功与否起着决定性的作用。目前的局域网技术主要包括:快速以太网、ATM(异步传输模式)、FDDI(光纤分布式数据接口)、千兆以太网等。
千兆以太网技术以简单的以太网技术为基础,为网络主干提供1Gbps的带宽。千兆以太网技术以自然的方法来升级现有的以太网络、工作站、管理工具和管理人员的技能。千兆以太网与其他速度相当的高速网络技术相比,价格低,同时比较简单。
千兆以太网通过载波扩展、采用集成中继、交换功能的网络设备以及多种激光器和光纤将连接距离扩展到从500米至3000米。千兆以太网能够提供更高的带宽。利用交换机或路由器可以与现有低速的以太网用户和设备连接起来,使得千兆位以太网相对于其他高速网络技术而言,在经济和管理性能方面都是较好的选择。
综述所述,千兆以太网以其在局域网领域中兼容以前的以太网标准、支持高带宽、多传输介质、多种服务、保证QoS等特点正逐渐占据主流位置。因此,大中型企业网络主干应选用千兆以太网技术。
四、网络拓扑规划
大中型企业办公区中心机房内安装多层交换机(Cisco Catalyst6509)作为整个企业网的核心,通过防火墙和路由器与互联网相连接。核心层在与访问层相连方面,考虑到其它分布层设备所处地理位置与中心机房相距较远,则核心层交换机分别以1000M 单模光纤与办公区、生产区、附属设施的访问层中端二层交换机连接。除此之外, 核心交换机各自还与其它相关的服务器相连其中Cisco Catalyst 6509 核心交换机负责连接应用服务器群。应用服务器群包括FTP 服务器、数据库服务器、电子邮件服务器、应用程序服务器等应用型服务器,用来为整个企业网及在互联网上提供各种常用的网络服务。访问层交换机作为企业内重点地区的网络核心,需兼顾到大流量和冗余性,因此重点地区的访问层交换机采用Cisco Catalyst 2950G-48 以太网交换机,均通过1000M 单模光纤同时和两台核心交换机互连以达到分布层与核心层的冗余。网络出口设备是企业内部网络与互联网〔Internet〕连接和数据来往的通道。由于企业网内部访问国际互联网的需求量大,这就决定了路由器需要稳定、可靠和高速。
五、结束语
本文着重论述了建设大中型企业网的目标、企业网的构建技术等关键问题,用好企业网的关键在于应用系统的建设,必须大力开发企业网的各项功能。企业网不只是涉及技术方面,而是包括网络设施、应用平台、信息资源等众多成份综合应用。
参考文献:
[1]王春海,张晓莉.企业网络应用解决方案一从需求分析到配置管理.北京科海电子出版社,2006
[2]武骏,程秀权.网络安全防范体系及设计原则.中国电信网,2008
[3]夏虹.路由器的登录访问与安全.网络安全技术与应用,2008
[4]邓文东.基于管理信息系统的企业网络设计与规划.仪器仪表用户,2003,10
中小型企业网络安全系统设计方案 第7篇
根据目前中小型企业网络现状, 网络发展建设迫在眉睫, 而目前网络管理安全技术人员短缺、安全意识相对淡薄的情况下, 如何能够在网络建设初期或正在建设过程中尽早的建立起网络安全意识, 了解网络安全存在的威胁, 选拔和培养自己的安全人才成为急待解决的事, 要使新的安全人员能够了解和掌握基本安全防范措施, 制定适合本企业网络安全的安全实施计划, 最大限度的避免和减少网络威胁给企业带来不必要的损失。
1 中小型企业网建设现状
由于资金、技术等方面的原因, 中小企业的网络安全问题一直隐患重重。与大型企业、行业用户相比, 它们更容易受到网络病毒的侵害;另一方面, 由于网络维护、运行、升级等事务性工作繁重而且成本较高这也使得善于精打细算的中小企业在防范病毒问题上进退两难, 总体来说, 现阶段的中小企业网主要存在以下几个问题。
(1) 接入层:接入层是企业员工与网络的接口, 由于有的企业员工网络安全意识淡薄, 对病毒的危害认识不清, 同时接入层的主机操作系统有漏洞, 也成了网络攻击对象。
(2) 汇聚层:汇聚层是将接入层的信息进行汇聚, 再转发给核心层。但因为缺少认证和过滤, 它也会将带有病毒的信息汇聚过来, 造成网络上的威胁。
(3) 核心层:核心层是整个企业网络的关键所在, 它能提供高速的转发数据和路由功能, 但是由于处于“风口浪尖”, 经常受到外界黑客攻击, 虽然有防火墙保护, 依然处于很危险的状态, 比如黑客会利用IP地址欺骗来误导核心层将企业信息转发给他。
2 中小型企业网络安全系统设计方案
2.1 设计原则
中小型企业不像大型企业, 拥有足够资金和网络管理人员来构建安全体系, 要把中小型企业网络设计好, 不仅要保证其有效可行性, 更要考虑人力、财力等经济因素, 不能铺张浪费, 也不能为了节省资金而不采用先进的技术和设备, 所以要想设计好中小型企业网络, 必须遵循以下几点原则。
(1) 实用性。
网络建设应从实际需求出发, 坚持为经营管理服务, 为企业生产建设服务。另外, 如果是对现有网络升级改造, 还应该充分考虑如何利用现有资源, 尽量发挥设备效益。
(2) 经济性。
设备等要求价格适中, 设备质量要过硬, 物美价廉, 投资预算不能太高。
(3) 安全可靠性。
确保网络可靠运行, 并在各个层面考虑冗余和备份, 使系统具有较高的应变能力, 保证系统可靠和有效运作。
(4) 适度先进性。
设计出来的方案, 不仅要能满足企业和客户的需求, 还得有一定技术前瞻性和用户需求预见性, 采用成熟的先进技术, 考虑到能够满足未来几年内企业网络的安全性。
2.2 设计方案
企业内网一般用来企业内部人员的进行信息交流, 资源共享等, 也包括企业与其分支机构进行通信。从上面的分析可以看出, 内网的威胁主要来自员工的失误导致数据泄露, 服务器瘫痪造成网络无法顺畅运行, 还有就是分支机构与总部进行通信时遭到窃听等等, 要解决这些问题, 需要从每一层做好安全措施, 即接入层、汇聚层和核心层, 采用的技术一般是划分VLAN和设置VPN。
(1) Vlan的划分。
企业各部门处于三层结构中的接入层, 要对部门划分VLAN, 即对接入层进行划分, VLAN的划分有很多标准, 有基于端口的, 有基于地域的, 还有基于二层/三层交换机位置的, 对于中小型企业, 一般来说有四个部门左右:人事部、财务部、技术部和宣传部, 它们应该处于不同楼层, 所以VLAN可以根据部门所处不同楼层来划分。
(2) VPN技术。
目前, 有两种主流的VPN技术。第一种是基于网络层的IPsec VPN;第二种是基于应用层的SSL VPN。
对企业来讲, SSL方式更便宜, 更容易维护, 需要较少的员工培训。而IPsec方式需要在所有的远程客户端安装VPN网关, 连接软件并进行相应的配置。它比SSL VPN的成本要高的多。但是, 还应该根据企业的需求来作决策, 对于中小型企业来说, 比较适合采用SSL VPN, 因为SSL是比较简单的技术, 通过使用公共密钥加密技术 (公共/秘密密钥对) 来建立一个加密信道, 从而对数据进行传输。而它的部署和实施相比起例如IPsec VPN这样的技术而言, 也相对没有那么复杂。对中小企业而言, 这一点特别的重要, 由于它们通常并没有大量的IT职员或IT专家, 而且一般也没有对IPsec VPN进行故障调试所需的专门技术。
(3) 中小型企业边界网安全设计。
中小型企业边界网络是介于企业内部网和外部网络 (互联网、其他单位网络、ISP等) , 两个不同安全等级网络区域之间的网络, 是安全防范的重点部分。目前企业的发展很大程度上依赖互联网的信息和应用, 而外部网络的种种安全隐患也会威胁到各个企业内部的信息安全。因此如何做好这部分网络的安全设计, 做好信息安全与应用的平衡, 是我们设计的重点。在边界网, 主要实施防火墙方案和入侵检测方案。
3 结语
针对中小型企业的网络安全要求, 结合现代网络安全的常用技术, 本文给出了中小型网络的安全配置方案。
通过上述的方案, 分析了中小型企业网络安全现状, 找出了网络中存在的问题, 提出了几种可行的防护策略, 并根据中小型企业网络结构, 针对不同的层次, 采用对应的技术, 分析每种技术特点和作用, 为中小型企业网络的安全防护起到了重要的作用。
参考文献
[1]张得太.企业网络安全的规划设计与实践[D].西安电子科技大学, 2006.
[2]李隽.中小企业如何防病毒[J].电子商务世界, 2002.
企业网站设计与企业网络营销 第8篇
关键词:网络营销,网站设计,电子商务
一、当前企业网站设计中存在的问题
近年来, 企业都在网络营销中投入了一定的人力财力, 大部分企业在市场上找一些做网站的公司或者自己企业内部非专业人士做出个简单的网站页面, 结果都是收效甚微, 导致企业慢慢对网络营销失去了信心。最主要的问题就是网站设计没有结合企业营销理念, 而是简简单单的网页内容的堆砌。具体表现在以下几个方面:
1. 企业网站的规划。
网站作为企业网络营销的一个重要手段, 规划是一个很重要的步骤。大部分企业没有规划策略, 或者与企业的营销策略脱节, 仅仅实现了一个网页内容的堆砌。
2. 企业网站的定位。
很多企业不知道自己要在网站上表现什么内容, 往往是由网站制作的公司进行资料的筛选, 而网站制作的公司在对于企业的营销和市场策划几乎一无所知的情况只能按标准化格式来运作, 不能体现企业的个性化内容和服务内容。定位几乎都是产品展示, 基本很少包含客户引导性信息, 互动形式单一, 网站更新速度缓慢, 网站浏览者不能通过网站了解企业的丰富信息。
3. 企业网站的设计。
企业网站大部分采用通用模板设计制作, 色调大众化, 颜色搭配简单但不一定适合企业的风格, 企业网站为了宣传企业形象, 大众化的采用Flash动画, 而专业设计人员的花费很高, 企业往往进行简单的模仿抄袭式的动画设计, 与企业形象相差很远。而且网站首页的这种动画设计在实用性上来讲不是很合理。
4. 企业网站的推广。
企业网站基本不做什么推广, 号称做了推广的, 也不外乎是在几个大的门户网站花不少钱做了广告, 或者是搜索引擎的关键字推广服务。花钱不少, 收效甚微。
5.企业网站的管理。
大多数网站几乎无管理, 长时间不更新的企业网站占很大部分的比例。
二、合理进行企业网站设计
企业网站的设计要从网站浏览者角度出发, 结合企业营销方案, 进行合理化设计。
1.企业网站要有一个明确的定位, 是针对最终用户, 还是针对企业的代理商, 还是针对内部的员工、企业管理的页面。针对的对象不同, 就要有不同的网站布局和规划。比如, 针对最终客户, 要给的是产品的详细的介绍, 公司产品相应文化的对应介绍, 以及更多的产品的促销的信息, 企业与客户之间的互动交流的及时性和简便性;针对代理商的页面, 就要强调公司产品的长期可经营性, 系列产品的优势, 品牌的价值, 以及合作伙伴的详细分类介绍及各级别享受产品折扣情况;针对于企业内部管理的页面就要简洁明了, 易用, 而且路径要相对隐蔽。
现在的情况是, 企业的网站往往不知道自己的网站的首页面应该搁放什么样的内容, 自己网站的合理架构应该是个什么样子, 只是由于“引领式的消费”, 随波逐流放上了自己的企业网站。缺乏对企业电子商务的规划和认识, 缺乏对企业网络营销重要性的认识。
所以, 对于企业网站来讲, 只能是一步一步的按企业需求和市场需求的阶段来实施企业电子商务的市场化。对于国内中小型企业来讲, 电子商务或者更为简单一些的网络营销是企业发展的一个重要的筹码, 可以简单有效的实现自己产品的全国销售及全球销售, 但不可急于求成, 急功近利, 应该有目标有计划的实施企业的电子商务营销的项目。
从简单的企业产品的介绍, 企业品牌的推广的简单的推广型的企业站点, 发展成为与客户互动交流的企业自己的B2C的电子商务的平台, 这是与时俱进的, 不是一蹴而就的。
2.有了好的规划, 还要有专业的技术人员来实施细节的技术问题, 而这一点尤为重要。就好像一个熟读兵书战册的人, 却没有带兵打过仗一样, 好的钻石更重要的在于它的切工。
企业首页的动画设计, 对于企业的品牌推广和形象推广是很有必要和作用的, 所以, 在企业进行品牌宣传和形象推广的时期内, 在网站的首页实现动画的效果是一个不错的选择;假如企业目前的重点不是进行形象推广, 而是产品推广和渠道推广, 那么企业网站的首页动画设计便会造成一些访问缓慢, 且达不到效果的后果, 就像再好的药也要对症才能体现出它的价值所在是一样的。所以, 手段是一样的手段, 只不过大家排列组合的方式不同, 就显示了不同的功力而已。
企业网站颜色的选择, 也要根据企业产品特点, 企业文化特色, 选择不同的色调来体现。这不仅需要专业的眼光, 更需要专业的人员进行调色的工作。在当前国内企业网站的发展来看, 更多的是选择传统的广告公司进行专业的企业推广宣传的设计工作, 那么企业网站仍然要跟企业主题推广相结合且相互促进。
3.企业网站的推广不是花越多钱越好, 更不是花越少钱越妙。推广工作本身就是一个合理利用现行的各种推广方式, 针对于企业的当前发展规划, 进行各种宣传方式合理搭配的技巧性的设计, 推广工作本身看的就是投入合理的资金达到推广的最大化效果。而这些, 并不是一个简单的投入产出比能够解释清楚的事。
4.企业网站的管理要根据企业的发展状况, 及时的调整网站的内容, 推出一定时间内的企业推广推广主题, 内容保持更新。不能够千年不变, 要根据客户的认可程度等可分析项, 逐步完善整个网站的内容框架和服务框架。
三、总结
企业网站在企业的网络营销中占据很重要的地位, 不是简单请一个网站制作专家来做一个美轮美奂的效果, 也不是请一个营销的学者做一个营销的理念推广, 而是要结合企业的具体情况, 进行合理的规划和设计以及及时的更新维护, 才会使得企业的网站在企业营销的过程中起到最大的作用, 为企业带来更大的经济效益。
参考文献
[1]冯英健:网络营销基础与实践 (第三版) [M].北京:清华大学出版社, 2007
企业网络安全设计 第9篇
一般来说, 计算机网络系统的安全威胁主要来自以下几个方面:
1) 计算机病毒的侵袭。计算机病毒侵入网络, 对网络资源进行破坏, 使网络不能正常工作, 甚至造成整个网络的瘫痪;
2) 黑客侵袭。黑客非法进入网络使用网络资源。例如通过隐蔽通道进行非法活动;采用匿名用户访问进行攻击;通过网络监听获取网上用户账号和密码;非法获取网上传输的数据等;
3) 拒绝服务攻击。例如“邮件炸弹”, 使用户在很短的时间内收到大量无用的电子邮件, 从而影响正常业务的运行。严重时会使系统关机, 网络瘫痪;
4) 通用网关接口 (CGI) 漏洞。搜索引擎是通过CGI脚本执行的方式实现的, 黑客可以修改这些CGI脚本以执行他们的非法任务;
5) 恶意代码。恶意代码不限于病毒, 还包括蠕虫、特洛伊木马、逻辑炸弹等。
2 企业网络安全目标
1) 建立一套完整可行的网络安全与管理策略, 将内部网络、公开服务器网络和外网进行有效隔离;2) 建立网站各主机和服务器的安全保护措施, 保证系统安全;3) 对网上服务请求内容进行控制, 使非法访问在到达主机前被拒绝;4) 加强合法用户的访问认证, 同时将用户的访问权限控制在最低限度, 全面监视对公开服务器的访问, 及时发现和拒绝不安全的操作和黑客攻击行为;5) 加强对各种访问的审计工作, 详细记录对网络、公开服务器的访问行为, 形成完整的系统日志备份与灾难恢复;6) 提高系统全体人员的网络安全意识和防范技术。
3 安全方案设计原则
对企业局域网网络安全方案设计、规划时, 应遵循以下原则:
1) 综合性、整体性原则:应用系统工程的观点、方法, 分析网络的安全措施。即计算机网络安全应遵循整体安全性原则, 根据规定的安全策略制定出合理的网络安全体系结构。
2) 需求、风险、代价平衡的原则:对任一网络, 绝对安全难以达到, 也不一定必要。对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析, 然后制定规范和措施, 确定本系统的安全策略, 是比较经济的方法。
3) 一致性原则:网络安全问题贯穿整个网络的生命周期, 因此制定的安全体系结构必须与网络的安全需求相一致。在网络建设开始就考虑网络安全对策, 比在网络建设好后再考虑安全措施, 要有效得多。
4) 易操作性原则:安全措施需要人为去完成, 如果措施过于复杂, 对人的要求过高, 本身就降低了安全性。
5) 分步实施原则:由于网络规模的扩展及应用的增加。一劳永逸地解决网络安全问题是不现实的, 费用支出也较大。因此可以分步实施, 即可满足网络系统及信息安全的基本需求, 亦可节省费用开支。
6) 多重保护原则:任何安全措施都不是绝对安全的, 都可能被攻破。因此需要建立一个多重保护系统, 各层保护相互补充, 当一层保护被攻破时, 其它保护仍可保护信息安全。
4 主要防范措施
1) 依据《互联网信息服务管理办法》、《互联网站从事登载新闻业务管理暂行规定》和《中国互联网络域名注册暂行管理办法》建立健全各种安全机制和安全制度, 加强网络安全教育和培训。
2) 网络病毒的防范。作为企业应用网络, 同时需要基于服务器操作系统平台、桌面操作系统、网关和邮件服务器平台的防病毒软件。所以最好使用全方位的防病毒产品, 通过全方位、多层次的防病毒系统的配置, 使网络免受病毒的侵袭。
3) 配置防火墙。防火墙是一种行之有效且应用广泛的网络安全机制。利用防火墙执行一种访问控制尺度, 将不允许的用户与数据拒之门外, 最大限度地阻止网络中的黑客来访问自己的网络, 同时防止Internet上的不安全因素蔓延到局域网内部。
4) 采用入侵检测系统。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术, 用于检测计算机网络中违反安全策略行为。利用审计记录, 入侵检测系统能够识别出任何不希望有的活动, 从而达到限制这些活动, 以保护系统的安全。最好采用混合入侵检测, 同时采用基于网络和基于主机的入侵检测系统, 构架成一套完整立体的主动防御体系。
5) 漏洞扫描系统。解决网络安全问题, 要清楚网络中存在哪些安全隐患、脆弱点。仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估显然是不现实的。能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具是较好的解决方案, 利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。
6) IP盗用问题的解决。在路由器上捆绑IP和MAC地址。当某个IP通过路由器访问Internet时, 路由器要检查发出这个IP广播包的工作站的MAC是否与路由器上的MAC地址表相符, 否则不允许通过路由器, 同时给发出这个IP广播包的工作站返回一个警告信息。
7) 利用网络监听维护子网系统安全。对于网络外部的入侵可以通过安装防火墙来解决, 但是对于网络内部的侵袭则无能为力。在这种情况下, 可以采用对各个子网做一个具有一定功能的审计文件, 为管理人员分析自己的网络运作状态提供依据。设计一个子网专用的监听程序, 长期监听子网络内计算机间相互联系的情况, 为系统中各个服务器的审计文件提供备份。
5 结论
企业网络安全设计 第10篇
关键词:网络安全,网络设计原则
随着信息技术的快速发展、现代网络的普及、企业网络化运作, 企业门户网站、企业电子商务等在企业经营运作过程中扮演着重要的角色, 许多有远见的企业都认识到依托先进的信息技术构建企业自身业务和运营平台将极大地提升企业的竞争力, 使企业在残酷的竞争中脱颖而出。然而, 企业在具有信息优势的同时, 也对企业的网络安全提出了严峻的考验。据报道, 现在全世界平均每20秒就会发生一次计算机网络入侵事件。据智能网络安全和数据保护解决方案的领先供应商Sonic WALL公司日前发布了其2011年年中网络威胁情报报告:“报告显示, 企业正面临越来越多网络犯罪分子的攻击, 这些人企图攻击的主要对象是那些通过移动设备连接访问企业网络以及越来越频繁使用社交媒体的企业员工。基于恶意软件以及社交媒体诈骗的增多, 正引发新的以及更严重的来自数据入侵、盗窃和丢失等方面造成的企业业务漏洞。”可见, 企业网络安全面临的压力越来越大, 认清企业网络安全面临的主要威胁、设计实施合适的网络安全策略, 已成为摆在企业面前迫在眉睫的问题。
1 企业网络安全面临的主要威胁
由于企业网络由内部网络、外部网络和企业广域网所组成, 网络结构复杂, 面临的主要威胁有以下几个方面:
1.1 网络缺陷
Internet由于它的开放性迅速在全球范围内普及, 但也正是因为开放性使其保护信息安全存在先天不足。Internet最初的设计考虑主要的是考虑资源共享基本没有考虑安全问题, 缺乏相应的安全监督机制。
1.2 病毒侵袭
计算机病毒通常隐藏在文件或程序代码内, 伺机进行自我复制, 并能够通过网络、磁盘等诸多手段进行传播, 通过网络传播计算机病毒, 其传播速度相当快、影响面大, 破坏性大大高于单机系统, 用户也很难防范, 因此它的危害最能引起人们的关注, 病毒时时刻刻威胁着整个互联网。
1.3 黑客入侵
黑客入侵是指黑客利用企业网络的安全漏洞、木马等, 不经允许非法访问企业内部网络或数据资源, 从事删除、复制甚至破坏数据的活动。由于缺乏针对网络犯罪卓有成效的反击和跟踪手段, 使得黑客攻击的隐蔽性好, “杀伤力”强, 这是网络安全的主要威胁之一。
1.4 数据窃听与拦截
这种方式是直接或间接截取网络上的特定数据包并进行分析来获取所需信息。这使得企业在与第三方网络进行传输时, 需要采取有效的措施来防止重要数据被中途截获、窃听。
1.5 拒绝服务攻击
拒绝服务攻击即攻击者不断对网络服务系统进行干扰, 改变其正常的作业流程, 执行无关程序使系统相应减慢甚至瘫痪, 影响正常用户的使用, 甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务, 是黑客常用的攻击手段之, 其目的是阻碍合法网络用户使用该服务或破坏正常的商务活动。
1.6 内部网络威胁
据网络安全界统计数据显示, 近80%的网络安全事件是来自企业内部。这样的安全犯罪通常目的比较明确, 如对企业机密信息的窃取、数据更改、财务欺骗等, 因此内部网络威胁对企业的威胁更为严重。
2 企业网络安全设计的主要原则
针对企业网络安全中主要面临的威胁, 考虑信息安全的机密性、完整性、可用性、可控性、可审查性等要素, 建议在设计企业网络时应遵循以下几个原则:
2.1 整体性原则
在设计网络时, 要分析网络中的安全隐患并制定整体网络的安全策略, 然后根据制定的安全策略设计出合理的网络安全体系结构。要清楚计算机网络中的设备、数据等在整个网络中的作用及其访问使用权限, 从系统整体的角度去分析, 制定有效可行的方案。网络的整体安全是由安全操作系统、应用系统、防火墙、网络监控、安全扫描、通信加密、灾难恢复等多个安全组件共同组成的, 每一个单独的组件只能完成其中部分功能, 而不能完成全部功能。
2.2 平衡性原则
任何一个网络, 不可能达到绝对的安全。这就要求我们对企业的网络需求 (包括网络的作用、性能、结构、可靠性、可维护性等) 进行分析研究, 制定出符合需求、风险、代价相平衡的网络安全体系结构。
2.3 扩展性原则
随着信息技术的发展、网络规模的扩大及应用的增加, 面临的网络威胁的也会随之增多, 网络的脆弱性也会增多, 一劳永逸地解决网络中的安全问题也是不可能的, 这就要求我们在做网络安全设计时要考虑到系统的可扩展性, 包括接入能力的扩展、带宽的扩展、处理能力的扩展等。
2.4 多层保护原则
任何的网络安全措施都不会是绝对的安全, 都有可能被攻击被破坏。这就要求我们要建立一个多层保护系统, 各层保护相互补充、相互协调, 组成一个统一的安全防护整体, 当一层保护被攻击时, 其它层保护仍可保护信息的安全。
防火墙:网络安全的大门, 用来鉴别什么样的数据包可以进出企业内部网络, 阻断来自外部的威胁, 防火墙是不同网络或网络安全域之间信息的唯一出入口, 防止外部的非法入侵, 能根据网络的安全策略控制访问资源。
VPN:是Internet公共网络在局域网络之间或单点之间安全传递数据的技术, 是进行加密的最好办法。一条VPN链路是一条采用加密隧道构成的远程安全链路, 远程用户可以通过VNP链路来访问企业内部数据, 提高了系统安全性。
访问控制:为不同的用户设置不同的访问权限, 为特定的文件或应用设定密码保护, 将访问限制在授权用户的范围内, 提高数据访问的安全性。
数据备份:是为确保企业数据在发生故障或灾难性事件的情况下不丢失, 可以将数据恢复到发生故障、灾难数据备份的那个状态, 尽可能的减少损失。
3 小结
通过分析企业网络安全面临的主要威胁及主要设计原则, 提出了一个简单的企业网络安全设计拓扑示意图, 该图从技术手段、可操作性上都易于实现, 易于部署, 为企业提供了一个解决网络安全问题的方案。
参考文献
[1]邓吉, 张奎亭, 罗诗尧.网络安全攻防实战[M].北京:电子工业出版社, 2008.
企业网络安全设计 第11篇
关键词:电力工程;安全负责人;安全管理
一、概述
电力工程企业安全负责人,是电力监管部门要求企业组织机构中的设置岗位,该岗位的职能是,协助企业总经理执行业务活动的安全管理,审定施工方案,提高企业的安全水平,对施工过程进行安全指导,与工程相关方进行技术会商等。安全负责人的职能完全依据电力企业安全工作规范。安全负责人与工程部经理的关系是,审定工程部提出的施工方案,接收工程部经理对施工过程的安全措施汇报,监督巡查施工过程,关注督导关键施工环节的安全措施,批准施工方案的修改,参与设计方案的修改。安全负责人向下的垂直管理对象是工程部的各个工程队的安全监督员。
企业安全负责人要求有完备的专业知识,来保证对所有安全问题的认识。尤其是承装承修承试的全面资质的企业,安全负责人必须在以上的几个方面都具有完备的理论知识和分别
3~5年的实践经验。安全负责人应该熟练掌握电力安全规范,像律师掌握法律一样的熟练掌握安全规范。
二、问话设计的依据和参考
(一)问话设计依据的规范化引文。(1) 电力安全工作规程;(2) 10kv--35kv架空线路施工验收规范;(3) 10kv施工组织设计;(4) 35kv高压电气试验设备的配置;(5) 35kv及以下电力电缆安装与检修规程;(6) GB50217--2007电力电缆敷设规范;
(二)电监机关的考核提纲。(1) 人员基本信息,包括姓名、年龄、身份证、于某年某月毕业于何专业。(2) 从业经历于某年某月进入该公司,之前的工作经历包括,工作单位1的相关信息(时间、部门及职务)及工作单位2的相关信息;(3)技术技能评价,职称或执业证书的类别、等级及专业, 核对原件,如果是外省人事部门颁发,请在其他注明:□原件已核对 □原件未提供 □其他; (4)技术及安全管理制度问话,安全管理部门:□有,专职机构 ;□无 □其他;(5)安全管理制度:□有□无,有无实施到位:□有 □无;(6)安全培训方案:□有□无,近期培训记录:□有 □无;(7)安全监察人员,人员数量多少,其中专职人员数量多少;(8)技术档案管理:□健全 □不健全□其他 ;(9)主持或参与过的主要工程项目□变电站工程□架空线路工程□电缆线路工程是否具(10)是否有电力设施(管理)工作经历?
三、问题的设置和预期的答案
(1)简单作一下自我介绍;期望的答案:(能体现该员工的严谨,认真,仔细的工作作风)。(2)如何开展技术管理?预期的答案是:第一、做好台帐管理,对每个工程项目做好技术归档管理;第二、收集好相关执行的标准和规范;第三、制定相关作业工作流程和质量标准和验收程序,特别是隐蔽工程的验收;第四、做好员工的技术和安全技能培训工作。(3) 作为公司技术负责人如何管理?期望的答案:第一,建立或及时修编公司相关技术管理制度,做到技术管理有章可循;第二,建立相关技术档案及记录,做到技术工作有据可查,有数据可进行对比;第三,做好各级人员特别是新员工的技术培训,做到施工人员掌握相关施工的工艺工要求及标准;第四,经常深入工地了解工程技术上存在的问题,并及时提出改进措施,保证工程质量达到设计要求;第五,强化技术考评,树立工程质量百年大计的方针,发生质量问题除按设计进行返工外,还应对相关责任人进行经济考核。(4)日常你的工作重点是哪些?期望的答案:第一,配合公司相关人员完成工程投标的项目设计组织方案编制;第二,审核重大施工方案,对问题部分组织人员重新修改;第三,深入工地,不定期抽查施工质量,对重点工程应投入大量精力;第四,检查施工现场的施工工艺及记录,对重点隐蔽工序更应如此;第五,审批工程项目竣工报告。(5)介绍一下原来单位负责过的工程情况?期望的答案:(符合电力安全工作规程)。(6)展示样板工程的施工方案现场提问。(7)10KV电力安装要求及注意事项。
四、结论和注意事项
(1) 安全负责人是电力企业施工安全的保障,一定要在资历、经验和能力等方面严格筛选;(2) 在具体的操作过程中,本文的文化设计可以用作调查问卷的形式,对每个问题的回答 加权不同的分值,总的分值可以对应聘的人员进行一个初步筛选;(3) 对于规模较大的公司或者专门的人力资源公司,本文的问话设计可以设置在互联网上,应聘者在网上填写,网页自动给出回答问题的加权得分,并可以完成分值的统计和应聘人员排序;(4) 安全负责人在入职以后的管理,需要依据电力监管部门对安全负责人的要求,以及要求的变更;
参考文献:
企业存储备份网络系统设计 第12篇
随着存储备份技术的发展和硬件成本的下降, 存储网络设备陆续进入企业应用领域, 推动了企业的存储环境向集中式转变, 建设存储备份网络是企业保障数据安全和高效使用的必要选择。
本文以某制造型企业为例, 研究了企业存储备份网络设计的思路和方法。
1 现状和需求分析
1.1 现状
该企业有2个厂区, 其间通过光纤直连, 厂区间直线距离3 km。东厂区机房提供核心网络支撑, 运行核心ERP系统和PLM全生命周期管理 (设计图纸管理) 系统, 采用存储阵列提供数据存储, 其他业务系统有CAPP等, 采用服务器自带的存储空间存储数据;目前, 西厂区机房运行视频监控、办公自动化和党建系统等非核心业务系统, 现有设备使用时间较久。
1.2 需求分析
目前, 该企业业务系统管理方式较为简单, 需要通过存储备份技术提供整理的数据管理提升数据的可靠性、可用性, 实现存储资源的容量增加和性能扩展, 同时, 通过备份系统实现对现有存储环境数据的备份管理, 确保数据的安全和可恢复。具体目标包括以下5点: (1) 满足业务系统增长的数据存储要求; (2) 解决数据无法统一规划、分配、管理和性能调优, 且存储性能相对较低的问题; (3) 集中的统一存储系统, 可使成本降至最低; (4) 解决数据分散存储问题, 这样会增加管理成本; (5) 对个人电脑上的重要数据进行集中存储管理。
1.3 建设目标
通过整体建设考虑, 主要建设目标可分为2步实现: (1) 数据存储建设。建设基于存储备份平台的存储系统, 将分散、独立的各个平台业务系统组成一个高速存储的SAN网络, 集中管理降低了存储资源管理的复杂性。同时, 为个人重要数据提供了集中数据存储业务, 避免了因电脑损坏或因其他原因导致的数据丢失。 (2) 备份系统建设。通过带有重复数据删除技术的虚拟带库结合备份软件进行备份系统建设, 可确保ERP、PLM等核心业务数据的安全、可靠, 同时, 可长期保存该数据, 且数据可恢复。
2 存储备份系统的设计方案
2.1 数据平台基础的架构设计
根据数据存储备份的需求分析进行数据存储系统的架构设计。从目前业务系统的实际情况和未来业务系统的建设规划看, 整个核心业务系统中数据访问模式以数据块访问为主。基于此情况, 存储备份系统的基本架构应为SAN架构。
2.1.1 SAN架构
存储区域网络 (Storage Area Network) 是高性能的网络, 其主要目的是使存储设备与计算机系统连接并通信。在进行SAN架构设计时, 应从以下几方面考虑。
2.1.2 性能
作为整个信息基础架构的核心基础架构, SAN架构应能满足多业务、大并发时的性能需求, 因此, 在设计SAN架构时应考虑具备高性能, 同时, 能支撑多业务并访问的存储系统。
2.1.3 可靠性
可靠性是存储系统的必须具备的条件, 应提供“99.999%”的可靠性, 所有关键的部件都应是冗余配置。从数据保护的角度看, 不同的RAID保护机制应可混合使用, 以为不同的业务系统提供相应的数据保护机制。SAN网络系统至少应配置2台光纤交换机, 以保证数据访问链路是冗余的。
2.1.4 可扩展性
好的信息基础架构必须能提供足够的扩展能力, 其中, 包括性能的扩展、功能的扩展和规模的扩展等。NAS架构是指网络附加存储 (Network Attached Storage) , 是连接到网络并提供文件访问服务的存储系统。
2.2 数据存储方案和逻辑架构
在该企业的业务系统中, 考虑建立以SAN+NAS为核心的存储系统。考虑未来可能会有新的业务系统增加到现有环境中, 因此, 需要构建稳定、灵活的存储体系。系统具体包括以下6部分: (1) 光纤交换机。作为核心链接节点存在, 东、西区机房都要求有2台冗余配置。 (2) 光纤。实现容灾端的连接, 连接备份设备, 光纤要求有2条冗余设计。 (3) 核心存储阵列。作为集中存储、管理的中心存在, 满足数据增长的需要。 (4) 其他存储阵列。其性能较差、容量较小, 作为二级存储设备存储存在。 (5) 备份服务器。安装备份软件, 配置备份策略。 (6) 备份设备。支持消重技术, 保障数据的长期储存。
2.2.1 方案描述
SAN存储空间通过2台FC SAN交换机提供冗余互联。SAN存储空间供原有业务系统数据存储, 比如将EPR、PLM系统数据迁移到新购的存储设备上, 通过新存储优秀的性能, 可提高原有业务系统的性能和存储空间;NAS存储空间主要用于个人PC数据资料的统一集中管理, 确保数据不因个人电脑故障而丢失。
2.2.2 磁盘规划
在本次配置中, 考虑根据需求选用SAS磁盘, 配置40块10 000转的600GB SAS磁盘提供数据存储能力, 这样既能保证关键业务的快速响应, 也能确保最优的性价比。
2.3 数据备份方案
硬件采用虚拟磁带库设备接入SAN网络作为备份设备。此外, 采用备份软件可实现对所有备份主机系统的备份管理。以下针对不同的业务类型展开备份策略设计。
2.3.1 数据库类数据备份
每周1次全备份, 本周内其他时间每天进行1次增量备份, 备份数据保留6个月。
2.3.2 应用程序类数据备份
每月进行1次全备份, 备份数据保存3个月。
2.3.3 配置文件类数据备份
每月进行1次全备份, 备份数据保存3个月。
2.4 未来系统扩展和升级建设建议
未来该企业的系统可进一步进行系统扩展和升级, 以下内容可作为参考:对生产中心底层多台存储阵列进行统一管理, 通过存储虚拟化网关实现对异构存储的统一监控管理, 进一步提高管理水平。目前, 西厂区机房运行部分非核心业务系统, 未来可作为容灾机房, 比如增加存储阵列, 以供容灾系统的建设, 或增加备份设备, 以供灾备系统建设。
参考文献
[1]胡天翔.网络存储技术在企业中的发展及应用[J].计算机技术与发展, 2006 (07) .
【企业网络安全设计】相关文章:
企业网络设计论文05-16
企业网络安全系统设计07-24
企业网络设计论文提纲08-17
企业网络设计论文题目04-07
企业网络安全设计方案论文07-09
企业网网络设计方案09-06
企业网络设计论文参考文献10-30
企业网络营销方案设计07-12
小型金融企业网络设计与实现09-11
企业移动网络06-21