發布時間:2023-03-14 15:10:39
序言:寫作是分享個人見解和探索未知領域的橋梁,我們為您精選了8篇的企業網絡設計方案樣本,期待這些樣本能夠為您提供豐富的參考和啟發,請盡情閱讀。
關鍵詞:網絡安全 異構防火墻 部署 安全規則
1、前言
防火墻能有效地控制內部網絡與外部網絡之間的訪問及數據傳輸,從而達到保護內部網絡的信息不受外部非授權用戶的訪問和過濾不良信息的目的,它對兩個或多個網絡之間傳輸的數據包和連接方式按照一定的安全策略對其進行檢查,來決定網絡之間的通信是否被允許。我們設計的防火墻主要是讓它來防御外部網絡對某企業內部網絡的攻擊,同時也防止內部網絡不法人員把該企業數據泄漏出去。傳統的防火墻處于網絡體系的網絡層,用它來負責網絡間的安全認證與傳輸,但當今防火墻技術在不斷的發展,已經從網絡層擴展到了其它安全層,它的任務不再是過濾任務,還可以為網絡應用提供相應的安全服務,并且防火墻產品也發展成為具有數據安全與用戶認證和防止病毒與黑客入侵的能力。
2、采用的防火墻技術
首先我們來探討下該企業網絡安全系統中設計防火墻時所采用的防火墻技術。在設計防火墻體系結構時,應從現有的防火墻技術出發,通常采用的防火墻
技術有:
⑴包過濾技術
包過濾(PaCketFilter)技術是在網絡層中對數據包實施有選擇的通過。依據系統內事先設定的過濾邏輯,檢查數據流中每個數據包后,根據數據包的源地址、目的地址、TCP/UDP源端口號、TCP/UDP目的端口號及數據包頭中的各種標志位等因素來確定是否允許數據包通過,其核心是安全策略即過濾算法的設計。例如,用于特定的因特網服務的服務器駐留在特定的端口號的事實(如TCP端口23用于Telnet連接),使包過濾器可以通過簡單的規定適當的端口號來達到阻止或允許一定類型的連接的目的,并可進一步組成一套數據包過濾規則。包過濾技術作為防火墻的應用有三類:一是路由設備在完成路由選擇和數據轉發之外,同時進行包過濾,這是目前較常用的方式;二是在工作站上使用軟件進行包過濾,這種方式價格較貴;三是在一種稱為屏蔽路由器的路由設備上啟動包過濾功能。
⑵應用網關技術
應用網關(ApplicationGateway)技術是建立在網絡應用層上的協議過濾,它針對特別的網絡應用服務協議即數據過濾協議,并且能夠對數據包分析并形成相關的報告。應用網關對某些易于登錄和控制所有輸出輸入的通信的環境給予嚴格的控制,以防有價值的程序和數據被竊取。它的另一個功能是對通過的信息進行記錄,如什么樣的用戶在什么時間連接了什么站點。在實際工作中,應用網關一般由專用工作站系統來完成。
有些應用網關還存儲Internet上的那些被頻繁使用的頁面。當用戶請求的頁面在應用網關服務器緩存中存在時,服務器將檢查所緩存的頁面是否是最新的版本(即該頁面是否已更新),如果是最新版本,則直接提交給用戶,否則,到真正的服務器上請求最新的頁面,然后再轉發給用戶。
⑶服務器技術
服務器(ProxyServer)作用在應用層,它用來提供應用層服務的控制,起到內部網絡向外部網絡申請服務時中間轉接作用。內部網絡只接受提出的服務請求,拒絕外部網絡其它接點的直接請求。
具體地說,服務器是運行在防火墻主機上的專門的應用程序或者服務器程序;防火墻主機可以是具有一個內部網絡接口和一個外部網絡接口的雙重宿主主機,也可以是一些可以訪問因特網并被內部主機訪問的堡壘主機。這些程序接受用戶對因特網服務的請求(諸如FTP、Telnet),并按照一定的安全策略轉發它們到實際的服務。提供代替連接并且充當服務的網關。
包過濾技術和應用網關是通過特定的邏輯判斷來決定是否允許特定的數據通過,其優點是速度快、實現方便,缺點是審計功能差,過濾規則的設計存在矛盾關系,過濾規則簡單,安全性差,過濾規則復雜,管理困難。一旦判斷條件滿足,防火墻內部網絡的結構和運行狀態便“暴露”在外來用戶面前。技術則能進行安全控制又可以加速訪問,能夠有效地實現防火墻內外計算機系統的隔離,安全性好,還可用于實施較強的數據流監控、過濾、記錄和報告等功能。其缺點是對于每一種應用服務都必須為其設計一個軟件模塊來進行安全控制,而每一種網絡應用服務的安全問題各不相同,分析困難,因此實現也困難。
在實際應用當中,構筑防火墻的“真正的解決方案”很少采用單一的技術,通常是多種解決不同問題的技術的有機組合。你需要解決的問題依賴于你想要向你的客戶提供什么樣的服務以及你愿意接受什么等級的風險,采用何種技術來解決那些問題依賴于你的時間、金錢、專長等因素。
根據以上三種防火墻構建技術,我們研究給該企業用異構防火墻部署。
3、異構防火墻的部署
當前,該企業的網絡中已經部署了一臺PIX525,該防火墻提供保護整上內部網絡的作用,用來防止來自外部的攻擊,把網絡分成兩個網段,但是如果一旦黑客攻訪了防火墻,那么整個內部網絡就暴漏在了黑客面前,如果是惡意攻一擊那么武威面粉廠的利益將受到很大損害。所以我們調查研究后,決定采用異構防火墻的部署方式,在原來防火墻的基礎上,根據武威面粉廠資金,在財務網絡和內部網絡之間再架構一臺防火墻,把網絡分成三個網段,這樣極大的提高了整個網絡的安全防御能力。在不同的網段采用不同的安全級別,而實際上財務網絡和接入內部網層的安全級別和內部網絡接入Internet網絡服務層的安全強度本身要求就是不同的,并且不同的防火墻產品其性能結構也不僅相同,它們具有不同的安全級別和安全強度,當其中一個防火墻被攻陷后,不會影響到其它網段。
并且管理員可以有效的管理網絡,輕松的對付外部攻擊。
在網絡的硬件設備部署中,我們在外部網絡訪問層與內部網絡接入層我們部署了PIX525防火墻(Fl),在財務網絡與內部網絡接入層我們部署了遠東網安2000防火墻(F2)。在每一個防火墻上設置不同的安全策略,來達到對整個網絡的多層防護,減少單一防火墻部署所帶來的損失。通過這兩個防火墻的部署,把網絡分成三個網段。防火墻產品本身不具有安全性,必須給它建立可靠的規則來使其成為一成功、安全和可靠的產品,根據兩個防火墻所管束的網段的不同和其性能的不同,我們分別對Fl區和F2區設置不同的安全規則。設置規則如下:
Fl的安全規則為:
⑴內部用戶可以訪問Internet。
⑵內部用戶與外部的網絡連接必須通過服務器。
⑶外部用戶只可以使用WEB和MAIL服務器。
⑷外部的Telnet會話只能與指定主機進行。
⑸DNS服務器只允許解析應用計算機,不允許解析內部用戶。
F2的安全規則為:
⑴只允許內部用戶的訪問。
⑵拒絕所有來自外部主機的數據包。
⑶FTP會話必須經過安全認證。
⑷與外部的數據交換只能通過特定端口完成。
⑸在指定的時間內才可以進行遠程訪問。
4、結語
經過次次論文中設計方案的實施,某企業內網的安全問題從防火墻設計整體考慮,在統一布置思想指導下采用新的網絡防護技術,網絡安全問題得到了一定程序的解決,給管理員和該企業職工帶來了很大的方便。但網絡技術在不斷的發展,在我們的設計的網絡安全系統中將會很快會出現一些意想不到的安全問題需要我們去解決,但是在斷的學習和改進中,相信隨著技術的發展我們的技術水平也會得到不斷的提高。
隨著近年來信息化的快速推進,供電企業網絡信息系統與Internet的交互日益頻繁,基于Internet的業務呈不斷增長態勢。電力行業作為國民經濟的重要組成部分,已經在人們的正常生活中不可缺少。電力系統的是否安全可靠,關系著國民經濟的發展,更影響著人們的日常生活。然而電力企業信息網絡的發展還不健全,尚存在很多安全問題。這些問題正是黑客和病毒入侵的目標。縣級供電企業是整個電力企業的基本單位,只有保證縣級供電企業信息網絡的安全,才能使整個電力行業正常的運行,因此對其信息網絡安全的研究受到越來越多的關注。
2 信息網絡安全概述
信息網絡安全是指運用各種相關技術和管理,使網絡信息不受危害和威脅,保證信息的安全。由于計算機網絡在建立時就存在缺陷,本身具有局限性,使其網絡系統的硬件和軟件資源都有可能遭到破壞和入侵,嚴重時甚至可能引起整個系統的癱瘓,以至于造成巨大的損失。相對于外界的破壞,自身的防守時非常艱巨的,必須保證每個軟件、每一項服務,甚至每個細節都要安全可靠。因此要對網絡安全進行細致的研究,下面介紹其特征:
2.1 完整性
主要是指數據的完整性。數據信息在未經許可的情況下不能進行任何修改。
2.2 保密性
未經授權的用戶不能使用該數據。
2.3 可用性
被授權的用戶可以根據自己的需求使用該數據,不能阻礙其合法使用。
2.4 可控性
系統要能控制能夠訪問數據的用戶,可以被訪問的數據以及訪問方式,并記錄所有用戶在系統內的網絡活動。
3 信息網絡系統安全存在的問題
3.1 系統設備和軟件存在漏洞
網絡系統的發展時間很短,因此其操作系統、協議和數據庫都存在漏洞,這些漏洞變成為黑客和病毒入侵的通道;存儲介質受到破壞,使系統中的信息數據丟失和泄漏;系統不進行及時的修補,采用較弱的口令和訪問限制。這些都是導致信息網絡不安全的因素。網絡是開放性的,因此非常容易受到外界的攻擊和入侵,入侵者便是通過運用相關工具掃描系統和網絡中的漏洞,通過這些漏洞進行攻擊,致使網絡受到危害,資料泄露。
3.2 制度不完善
目前對于信息網絡的建立,數據的使用以及用戶的訪問沒有完善的規章制度,這也導致了各個縣級供電企業信息網絡系統之間的不統一,在數據傳輸和利用上受到限制。同時在目前已經確立的信息網絡安全的防護規章制度的執行上,企業也不能嚴格的執行。
4 提高網絡安全方法
4.1 網絡安全策略
信息網絡是一個龐大的系統,包括系統設備和軟件的建立、數據的維護和更新、對外界攻擊的修復等很多方面,必須各個細節都要保證安全,沒有漏洞。然而很多供電企業,尤其是縣級企業并沒有對其引起足夠的重視,只是被動地進行防護。整體的安全管理水平很低,沒有完備的網絡安全策略和規劃。因此要想實現信息網絡的安全,首先需要制定一個全面可行的安全策略以及相應的實施過程。
4.2 提高網絡安全技術人員技術水平
信息網絡的運行涉及很多方面,其安全防護只是其中一部分,因此在網絡安全部分要建立專業的安全技術隊伍。信息網絡中的一些系統和應用程序更新速度不一致,也會造成網絡的不安全。一般企業的網絡管理員要兼顧軟硬件的維護和開發,有時會顧此失彼,因此要建立更專業的安全技術隊伍,使信息網絡的工作各有分工,實現專業性,提升整體網絡安全技術水平,提高工作效率。
4.3 完備的數據備份
當信息網絡受到嚴重破壞時,備份數據便發揮了作用。不論網絡系統建立的多完善,安全措施做得多到位,保留完備的備份數據都是有備無患。進行數據備份,首先要制定全面的備份計劃,包括網絡系統和數據信息備份、備份數據的修改和責任人等。備份時要嚴格按照計劃進行實施。還要定期的檢查備份數據,保證數據的完整性和實時性。同時網絡管理人員的數據備份和恢復技術的操作要很熟練,這樣才能保障備份數據的有效性。
4.4 加強防病毒
隨著網絡技術的發展,網絡病毒也越來越多,這些病毒都會對信息網絡造成或多或少的危害。防病毒不僅需要應用專業可靠的防毒體系,還要建立防火墻,屏蔽非法的數據包。
對于防毒,在不同的硬件上要安裝相應的防毒程序。例如工作站上應該安裝單機的防毒程序;主機上則安裝主機防毒程序;網關上安裝防病毒墻;而這些不同的防毒程序的升級可以通過設立防毒控制中心,統一管理,由中心將升級包發給各個機器,完成整個網絡防毒系統的升級。這樣有針對性的防毒程序能更有效的進行病毒防護。
防火墻可以通過檢測和過濾,阻斷外來的非法攻擊。防火墻的形式包括硬件、軟件式和內嵌式三種。內嵌式防火墻需要與操作系統結合,性能較高,應用較為廣泛。
5 具體措施
5.1 增強管理安全
在網絡安全中管理是最重要的,如果安全管理制度不完善,就會導致正常的網絡安全工作不能有序實施。信息網絡的管理包括對網絡的定期檢查、實時監控以及出現故障時及時報告等。為了達到管理安全,首先,要制定完整詳細的供電企業信息網絡安全制度,并嚴格實施;其次,對用戶的網絡活動做記錄并保存網絡日志,以便對外部的攻擊行為和違法操作進行追蹤定位;還應制定應急方案,在網絡系統出現故障和攻擊時及時采取措施。
5.2 網絡分段
網絡分段技術是指在網絡中傳輸的信息,可以被處在用以網絡平臺上其他節點的計算機截取的技術。采用這種技術可以限制用戶的非法訪問。比如,黑客通過網絡上的一個節點竊取該網絡上的數據信息,如果沒有任何限制,便能獲得所有的數據,而網絡分段技術則可以在這時,將黑客與網絡上的數據隔離,限制其非法訪問,進而保護了信息網絡的安全。
5.3 數據備份
重要數據的備份是網絡安全的重要工作。隨著網絡技術的迅速發展,備份工作也必須要與之一致,保證實時性和完整性,才能在出現緊急問題時發揮其應有的作用,恢復數據信息。整個龐大的信息網絡,備份的數據量也是很大的,要避免或減少不必要的備份;備份的時間也要恰當地選擇,盡量不影響用戶的使用;同時備份數據的存儲介質要選擇適當。
5.4 病毒檢測和防范
檢測也是信息安全中的一個重要環節。通過應用專業的檢測工具,對網絡進行不斷地檢測,能夠及時的發現漏洞和病毒,在最短時間內采取相應的措施。
病毒防范技術有很多,可以先分析網絡病毒的特征,建立病毒庫,在掃描數據信息時如果對象的代碼與病毒庫中的代碼吻合,則判斷其感染病毒;對于加密、變異的不易掃描出來的病毒可以通過虛擬執行查殺;最基本的還是對文件進行實時監控,一旦感染病毒,及時報警并采取相應的措施。
6 結束語
關鍵詞:VLAN;虛擬局域網;企業網絡;網絡設計
中圖分類號:TP393文獻標識碼:A文章編號:16727800(2012)009013403
1企業組網中采用單一網段架構的不足之處
企業在組建局域網和信息化平臺時,為節約成本往往采用了單一網段架構的組網模式。隨著企業內部聯網計算機的不斷增多、網絡應用的日趨復雜,這種架構的弊端也不斷顯現出來。由于防火墻、服務器、工作站等網絡設備處在同一個網段(同一廣播域),大量的廣播包發送到局域網上容易引起廣播風暴、占用很高的網絡帶寬,從而影響到正常業務數據流的穩定傳輸。一旦某計算機發生ARP攻擊或者冒用了網絡設備的IP地址,就會干擾到網絡的正常運行,造成嚴重的安全隱患。為了解決上述問題,提高企業網絡的安全性、穩定性和可靠性,就需要部署與實施VLAN虛擬局域網。
2VLAN虛擬局域網的主要特點
IEEE802.1Q定義了VLAN網橋和操作規范。傳統的共享介質型以太網中,所有的計算機位于同一個廣播域中,廣播域越大對網絡性能的影響也就越大。有效的解決途徑就是把單一網段架構的以太網劃分成邏輯上相互獨立的多個子網,同一VLAN中的廣播包只有同一VLAN的成員組才能收到,而不會傳輸到其它VLAN中去,這就很好地控制了廣播風暴。在企業網絡組建中,通過合理的VLAN設計規劃,一方面可以限制廣播域,最大限度地防止廣播風暴的發生,節省網絡帶寬;同時還可以提高網絡處理能力,并通過VLAN間路由、VLAN間互訪策略,全面增強企業網絡的安全性。
3企業VLAN規劃中的技術要點
VLAN技術在大型局域網、大型校園網的組建中有著廣泛的應用,VLAN的規劃和設計是高等計算機網絡的一個重點,同時也是一個技術難點,實施者必須具備較高的計算機網絡知識與實踐技能。企業在實施VLAN前,應該從以下幾個方面重點分析和考慮:
(1)根據目前的網絡拓撲、綜合布線、各類網絡設備、計算機數量以及分布的地理位置進行統計和調研。通常位于核心層的防火墻、服務器組等應劃分到一個單獨的VLAN網段,然后根據各部門的網絡應用需求、聯網設備數量作進一步規劃。
(2)采用合適的VLAN劃分技術,常見的VLAN劃分方式包括:基于端口的VLAN、基于MAC地址的VLAN、基于協議的VLAN、基于IP子網的VLAN 和基于策略的VLAN等。以中小型企業為例,計算機的數量與分布的地理位置相對比較固定,優先考慮采用基于端口的靜態VLAN劃分方式。將交換機中的任意端口定義為一個VLAN端口組成員,從而形成一個VLAN網段,將指定端口加入到指定VLAN中之后,該端口就可以轉發指定VLAN的數據包。
(3)各個VLAN之間的路由與ACL訪問策略的配置。通常服務器所屬的VLAN可以與其它VLAN相互訪問,各個VLAN的內部計算機可以互訪,其它VLAN之間計算機的互訪權限視具體情況在三層交換機加以啟用或禁用。
(4)防火墻到各個VLAN之間的路由規劃。防火墻是整個企業網的Internet總出口,直接決定哪些VLAN組、哪些計算機成員可以訪問Internet。
(5)必要的經費投入,購買合適的網絡設備。一般選擇三層智能VLAN以太網交換機,根據設計方案,通過命令參數進行配置。由于不同品牌、不同型號的交換機VLAN配置參數與語法命令不盡相同,因此需要VLAN實施者精通常用交換機的配置與應用。
4某企業VLAN規劃和實施的具體步驟與案例分析
隨著經營業務的不斷擴展、聯網設備的不斷增多,為提高局域網安全性和處理能力,筆者參與了某商品流通企業的局域網VLAN實施項目。從企業網絡應用的規模和現狀分析,設計劃分為5個VLAN, 其中VLAN16為服務器核心網段,可以與其它全部VLAN(17~20)互訪。VLAN(17~20)只能訪問16網段,相互之間不能互訪,但每個VLAN內部計算機可以互訪。防火墻型號為H3C SecPath F100S,LAN口管理IP為192.168.16.1,可以路由到全部5個VLAN,并能控制任意網段的計算機訪問外網與IP流量。
接入層訪問端口,按表1方案,連接網絡設備、各職能部門的工作站計算機、網絡共享打印機、無線接入點AP等
在實施VLAN前,首先要對企業現有的綜合布線作全面的梳理,每根網線連接哪臺電腦、交換機的端口標識要明確、清晰。在核心交換機端口充裕的情況下,做到計算機與核心交換機端口直接相連,盡量不要采用SOHO交換機進行多層次的網絡轉接。根據VLAN設計方案,對網絡設備、部門計算機的網絡參數進行重新分配和配置,把每臺計算機的網線連接到交換機對應的VLAN端口。
該項目中,采用了H3C公司的48口全千兆三層以太網交換機S550048PSI。S550048PSI千兆以太網交換機定位于企業網和城域網的匯聚或接入,具備豐富的業務特性,提供了高性能、大容量的交換服務,并支持10GE 的上行接口,為接入設備提供了更高的帶寬。同時還可以用于數據中心服務器群的連接,為用戶提供了高接入帶寬和高端口密度。S550048PSI支持4K個基于端口的VLAN,在全雙工模式下交換容量為240Gbps,整機包轉發率為72Mpps,可以滿足企業目前應用需求。
S550048PSI交換機的配置是整個VLAN實施中的技術重點和難點,其配置要點說明如下:
(1)創建ACL訪問策略。根據設計方案,VLAN16可以與VLAN(17~20)直接互訪,無須設置拒絕訪問規則。VLAN17不能與VLAN(18~20)互訪,VLAN18不能與VLAN(17、19、20)互訪,VLAN19不能與VLAN(17、18、20)互訪,VLAN20不能與VLAN(17~19)互訪。因此,必須單獨設置規則號和拒絕訪問控制列表。
5VLAN實施后產生問題如何解決
由于實施VLAN后除了VLAN16其它各網段之間不能直接互訪,因此也帶來了一些網絡應用上的問題。比如不同VLAN之間不能直接共享打印機和共享文件夾,需要重新設置共享。解決方案是在同一VLAN的內部計算機上設置共享打印機或者文件夾,或者在VLAN16網段上設置共享打印機或者文件夾,以便給全公司的聯網計算機訪問。
6結語
通過實施VLAN前后的網絡協議分析,在企業網絡應用高峰期利用OmniPeek協議分析軟件在各個VLAN網段中實時抓包采樣,發現各個網段的廣播包數量明顯減少,網絡利用率有了明顯提高,實施后從未發生過廣播風暴現象。特別是核心層網絡設備從普通交換機升級到全千兆VLAN交換機后,業務軟件的輸入、統計、查詢,以及瀏覽網頁的速度均有較大的提高,網絡性能有了很大改善。
上述企業VLAN的設計思路、實施步驟和配置參數具有很高的參考與應用價值。規模更大、更復雜的企業網擁有更多的計算機,因此,需在此基礎上劃分更多的VLAN、設計更加復雜的ACL訪問控制策略。通過VLAN的實施,不僅提高了網絡安全性和利用率,并且對于今后企業網絡的擴展和升級都帶來了很大的便利。
參考文獻:
[1]崔北亮.CCNA認證指南(640-802)[M].北京:電子工業出版社,2009.
[2]王達.CISCO/H3C交換機配置與管理完全手冊[M].北京:中國水利水電出版社,2009.
[3]Marina Smith.虛擬局域網[M].北京:清華大學出版社,2003.
關鍵詞:企業發展;計算機局域網;設計方案
Abstract: the enterprise computer network is an internal use Internet technology to build enterprise agency liaison network. It is unified and convenient information exchange platform. On the one hand, in recent years, with the rapid development of computer network equipment in China, to benefit from the network equipment industry production technology continues to improve and expand the market of computer technology, to promote the development of computer local area network design in the domestic and international enterprises, on the market. On the other hand, as the level of scientific management of enterprises continuously improve enterprise management informatization, more and more enterprises management attention. Aiming at the design of local network business computer, through various investigation, summing up experience, put forward to make the enterprise computer network design scheme is proposed, so as to promote the further development of enterprises.
Keywords: enterprise development; computer network; design
中圖分類號:TP393.1 文獻標識碼:A文章編號:2095-2104(2013)
局域網是在一個局部的地理范圍內比如:一個學校、工廠和機關內),一般是方圓幾千米以內,將各種計算機,外部設備和數據庫等互相聯接起來組成的計算機通信網。它可以通過數據通信網或專用數據電路,與遠方的局域網、數據庫或處理中心相連接,構成一個較大范圍的信息處理系統。局域網可以實現文件管理、應用軟件共享、打印機共享、掃描儀共享、工作組內的日程安排、電子郵件和傳真通信服務等功能。計算機局域網嚴格意義上是封閉型的,它可以由辦公室內幾臺甚至上千上萬臺計算機組成。決定計算機局域網的主要技術要素為:網絡拓撲,傳輸介質與介質訪問控制方法。局域網的名字本身就隱含了這種網絡地理范圍的局域性。由于較小的地理范圍的局限性,企業計算機的局域網通常要比廣域網具有高的多的傳輸速率,例如,計算機局域網的傳輸速率為10Mb/s,FDDI的傳輸速率為100Mb/s,而廣域網的主干線速率國內僅為64kbps或2.048Mbps,最終用戶的上線速率通常為14.4kbps。計算機局域網的拓撲結構常用的是總線型和環行,這是由于有限地理范圍決定的,這兩種結構很少在廣域網環境下使用。另外企業運用計算機局域網還有諸如高可靠性、易擴縮和易于管理及安全等多種特性。
一、我國企業計算機局域網設計方案
為了提高企業的工作效率,從而進一步提高企業的經濟效益,很多企業都購置了可供需要的大量計算機。隨著經濟的不斷發展,社會生產力不斷地提高,我國計算機技術水平不斷地提升,企業的計算機也不在是以前孤立的個體,慢慢的經過科學技術革新、研究形成了企業根據自身情況所建立的“企業計算機局域網”。使企業內部形成的資源高度的共享、企業各部門有機協調的計算機網絡,既方便了企業員工之間的工作,也同時方便了企業管理層對員工的監督。就目前,我國各企業大都建立了自己的計算機網絡,網絡應用也逐漸頗具規模,特別在數值計算、信息管理、辦公事務、工程(產品)設計、加工制造等方面基本實現了計算機應用,計算機、網絡和數據庫正在成為企業日常運行的基石。那么我國企業計算機局域網主要有以下幾種設計方案和遵循標準:
1、企業內部計算機局域網建設
企業內部計算機局域網:是企業內部日常運作的重要保證。通過企業內部計算機局域網建設可實現企業內部辦公自動化,財務電算化,數據共享,上網鏈路共享,打印共享,內部電子郵件傳輸等一系列功能。但設計這樣的企業內部局域網需要遵循以下幾點原則:
(1)根據企業具體實際情況,設計網絡模型
根據企業的具體實際情況,建議整個網絡系統采用多服務器的“主干—星型”混合拓撲結構。采用光纖和5類雙絞線連接UTP加上百兆交換機,從而實現真正的百兆連接到桌面。其中服務器和交換機放置在專用計算機房,并配置網絡UPS。這種企業內部局域網絡設計結構的優勢在于非常靈活,網絡中任何一臺機器出現故障,對企業網絡整體都不會構成很大影響。另外由于財務系統具有封閉性,可以在企業內部局域網絡中建立分支結構,既便于財務人員從主干獲取信息,也保證企業內部財務信息的安全。
(2)工程布線標準
企業計算機局域網絡系統布線工程標準參照 EIA/TIA 568A、EIA/TIA 569 、EIA/TIA 、TSB36/40工業、國際商務建筑布線標準及相應國家電信通信標準。
(3)網絡的保修:要定期對企業內部的計算機局域網進行維修檢查,以防止故障的產生,影響企業工作的流程安排。
(4)企業內部要建立自己本企業的網站
企業計算機局域網與傳統的企業內部辦公網絡的主要區別在于,在先進的網絡設備和接入帶寬的保證下,有一套運行在企業內部局域網上的,與企業內部局域網網站相關連又有所區別的企業內部網站。可供企業員工分享資料,查看企業的最新動態。
2、企業計算機局域網上網共享的實現
通過企業計算機局域網,可使全體員工共享上網資源。根據人員情況和上網需求量的大小,還可采用以下三種方式對上網進行分類:
(1)ADSL上網
非對稱數字用戶環路,可以在普通的電話銅纜上提供1.5~8mbit/s的下行和10~64kbit/s的上行傳輸,可進行視頻會議和影視節目傳輸,非常適合中、小企業。
(2)ISDN上網
目前在國內迅速普及,價格大幅度下降,有的地方甚至是免初裝費用。兩個信道128kbit/s的速率,快速的連接以及比較可靠的線路,可以滿足中小型企業瀏覽以及收發電子郵件的需求。而且還可以通過ISDN和Internet組建企業VPN。這種方法的性能價格比很高,在國內大多數的城市都有ISDN接入服務。
(3)DDN專線上網
這種方式適合對帶寬要求比較高的應用,如企業網站。它的特點也是速率比較高,范圍從64kbit/s~2Mbit/s。但是,由于整個鏈路被企業獨占,所以費用很高,其優勢在于速度極快,在滿足內部上網需求的同時可以用于網站。這樣就節省了網站所須的線路費用。
二、企業計算機局域網設計的發展趨勢
隨著我國企業科學管理水平的提高。企業管理科技化、信息化越來越受到企業的重視。對于企業計算機局域網設計發展趨勢應越趨于網絡速度的快速化、網絡信息的安全化、企業計算機局域網絡的穩定化。其中,企業局域網的信息安全化逐漸成為企業設計計算機局域網的著重點。因為企業的計算機局域網與國際互聯網相聯接,形成一個內、外部信息共享的網絡平臺。這種連接方式使得企業內部的計算機局域網在給內部用戶帶來工作便利的同時,也面臨著外部環境——國際互聯網的多重危險。如病毒,黑客、垃圾郵件、而已侵襲軟件等給企業內部網的安全和性能造成極大地沖擊,甚至會造成企業內部的經濟損失。那么如何更有效地保護企業重要的信息數據、提高企業局域網系統的安全性已經成為當前企業設計計算機局域網必須解決的一個重要問題。
為了更好的解決企業信息安全的問題,確保網絡信息的安全,企業應建立完善的計算機安全保障體系。該體系應包括網絡安全科學技術的防護和企業網絡信息安全管理兩方面。對于網絡安全技術的防護主要側重于防范外部非法用戶的攻擊和企業重要內部數據信息的安全。而企業網絡信息安全管理則側重于對內部人員操作使用的管理,也要防止內部人員的泄漏。并在采用新的科學技術建立網絡安全防御體系的同時,加強企業信息網絡的安全管理這兩方面相互補充,缺一不可。這個安全防御體系其中包括入侵檢測系統、安全訪問控制、漏洞掃描、病毒防護、防火墻、接入認證、電子文檔保護和網絡行為監控,在這些安全防御體系中入侵檢測系統、漏洞掃描系統和病毒防護系統比較重要。總之,對于企業計算機局域網的設計發展,企業應從多方面考量,從整體著眼,促進企業的長遠發展。
【參考文獻】
1、于玥.《網絡信息管理及其安全》.[J].計算機光盤軟件與應用.2010
關鍵詞: 局域網;規劃設計;系統;網絡;應用
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2015)06-0054-02
1 現狀及需求分析
1.1計算機網絡系統現狀
瓦力公司的網絡系統現狀是,全公司約有臺式電腦、筆記本電腦共300臺。無核心交換機、硬件防火墻,通過Cisco 2800路由器做NAT端口復用地址轉換來訪問因特網,所有計算機在同一廣播域內,樓宇間通過100M雙絞線連接,樓宇至各辦公室終端計算機通過交換機級聯連接。
1.2網絡系統需求分析
瓦力公司現在有計算機約220臺,管理人員實現了一人一臺的電腦辦公環境。
目前網絡系統存在的問題如下:
1)信息化的系統增加,需要更大帶寬,更穩定的網絡環境。
隨著企業發展,網絡應用越來越多,對網絡的穩定性和帶寬有了更高的要求。
2)所有計算機處于同一廣播域,網絡風暴導致局域網極不穩定。
3)樓宇間的百兆雙絞線因距離較長,信號衰減嚴重,且百兆的核心速度已嚴重影響公司辦公效率,成為信息化的瓶頸。
4)公司與因特網之間未架設防火墻,隨時有中病毒或黑客攻擊的安全隱患。
綜上所述,公司網絡現狀與公司的規模及其他軟硬件設施不相匹配,即不能適應企業現代化管理的要求,也不能滿足企業日益膨脹的信息需求。
總結起來,瓦力公司對局域網的需求主要有:
1)辦公自動化;一卡通系統;PDM系統、ERP系統;
2)劃分VLAN,創建廣播域,減少廣播風暴,釋放帶寬;
3)改造樓宇間網絡,更換不穩定的百兆雙絞線為更穩定的千兆光纖;
4)規范因特網訪問,架設防火墻,減少網絡安全隱患。
2系統設計實現目標
針對企業實際情況和應用需求,此解決方案應達到如下目標:
1)采用先進的網絡設備,通過結構化布線、模塊化設計,建立一個高速、可靠、先進的網絡系統。
2)網絡主干采用千兆位以太網絡,光纜鋪設廠區主要建筑。普遍100M交換到桌面的高性能連接,充分滿足各種系統對高帶寬的要求。
3)建立高效的網絡傳輸平臺,實現PDM、視頻監控等高速數據的傳輸和應用。
4)建立企業網站(可分為對內、對外兩個),為外界了解企業提供一個窗口,促進企業內外及企業內部的信息交流。
5)其余可提供服務功能有:(l) E-mail(電子郵件);(2) FTP(文件傳輸服務); (3) DNS(域名解析);(4)TELNET(遠程登錄)。
3 系統總體方案設計
3.1網絡拓撲結構設計
瓦力公司局域網的拓撲結構由核心層、分布層與用戶層組成,其中由安裝中心機房的三層交換機組成局域網的核心層,由安裝在各辦公樓的交換機組成網絡的分布層與用戶層。
3.2 VLAN劃分及配置
傳統的共享介質的以太網和交換式的以太網中,所有的用戶在同一個廣播域中,會引起網絡性能的下降,浪費寶貴的帶寬;而且對廣播風暴的控制和網絡安全只能在第三層的路由器上實現。
VLAN相當于OSI參考模型的第二層,能夠將廣播風暴控制在一個VLAN內部。劃分VLAN后,由于廣播域縮小,網絡中廣播包消耗帶寬所占的比例降低,網絡的性能得到顯著的提高。不同的VLAN之間的數據傳輸是通過第三層的路由來實現的。可以通過控制交換機的每一個端口來控制網絡用戶對網絡資源的訪問,同時VLAN和第三層交換結合使用能夠為網絡提供較好的安全保障。
根據該公司的網絡拓撲結構及建筑物的分布情況,采用靜態實現的方式。靜態實現是將交換機端口分配給某一個VLAN(也稱為基于端口的劃分),這是一種經常使用的配置方式,比較容易實現和監視,而且安全。在地址分配的基礎上進行劃分,基本上一個子網劃為一個VLAN,如表1中所示,還可根據需要擴充或修改。
3.3網絡管理系統設計
網絡平臺:Windows 2008 Server中文版,客戶端用Windows 7 Professional。
網絡操作系統選擇Windows 2008 Server。因為,Windows Server 2008通過加強操作系統和保護網絡環境提高了安全性。通過加快IT系統的部署與維護、使服務器和應用程序的合并與虛擬化更加簡單、提供直觀管理工具,Windows Server2008還為IT專業人員提供了靈活性。Windows Server 2008為任何組織的服務器和網絡基礎結構奠定了最好的基礎,是較為理想的應用平臺。
3.4網絡系統安全設計
3.4.1訪問控制及內外網的隔離
配備防火墻:在內部網與外部網之間,設置防火墻實現內外網的隔離與訪問控制是保護內部網安全的最主要、同時也是最有效、最經濟的措施之一。可以確保網絡安全,防止外部入侵。防火墻采用Juniper SRX 220H。
3.4.2內部網不同網絡安全域的隔離及訪問控制
利用VLAN技術和子網劃分來實現對內部子網的物理隔離。通過交換機上劃分VLAN可以將整個網絡劃分成幾個不同的廣播域,實現一個網段與另一個網段的隔離,限制局部網絡安全問題對全局網絡造成的影響。
采用防火墻,將用戶區和服務器區隔離,防止不法用戶對服務器的入侵攻擊及病毒傳播。
3.4.3上網行為管理
在出口網關出配置上網行為管理設備,通過IP/MAC認證方式對所有電腦終端進行上網行為管理,限制訪問視頻、游戲、股票等網站,并限制P2P下載,保證關鍵業務部門的網絡帶寬。
3.4.4網絡防病毒
采用免費的金山毒霸企業版對所有終端進行部署,便于集中管控。
4總結
本次瓦力公司局域網規劃設計方案在總體上達到各種先進的功能要求,如端到端的QoS、速率限制、全面的冗余能力、全面的接入能力、以標準技術實現各種功能、統一的網絡管理等,將進一步促進瓦力公司的網絡化進程,加強企業的內部交流與對外的經濟文化聯系,使瓦力公司踏上新世紀飛快的網絡列車,進入嶄新的境界。
參考文獻:
[1] Comer D E.計算機網絡與Internet[M].3版.金舒原,段海新,譯.北京:清華大學出版社,2002.
[2] 謝希仁.計算機網絡[M].2版.北京:電子工業出版社,1999.
[3] 王利,張玉祥,楊良懷.計算機網絡實用教程[M]. 北京:清華大學出版社,1999.
[4] 倪文志,杭志,楊國鍇.局域網組建、配置與管理[M].北京:清華大學出版社,2003.
關鍵詞:可靠性;骨干網;網絡設計;VRRP;OSPF;STP
1 引言
根據國家標準GB-6583的規定,產品的可靠性是指:設備在規定的條件下、在規定的時間內完成規定的功能的能力。對于網絡系統的可靠性,除了耐久性外,還有容錯性和可維護性方面,涉及到網絡通信設備、拓撲結構、通信協議等多方面因素。
在網絡架構的設計中,充分保證整網運行的可靠性是基本原則之一。網絡系統可靠性設計的核心思想則是,通過合理的組網結構設計和可靠性特性應用,保證網絡系統具備有效備份、自動檢測和快速恢復機制,同時關注不同類型網絡的適應成本。構建可靠的網絡,需要從耐久性、容錯性以及可維護性三個方面進行網絡規劃設計。
2 高可靠骨干網的典型結構設計
大型企業網通常有較大的地理覆蓋范圍和較多的網絡設備,根據這些設備所在的位置和其所影響的范圍可將它們分別稱為核心層設備、匯聚層設備和接入層設備,如圖1所示。在網絡的方案設計中,通常采用層次化的網絡設計結構,不同層次解決不同級別的可靠性要求,網絡層次越高其可靠性要求也越高。
在企業的核心骨干網里,各網絡節點設備都擔負著重要的業務,要進行大量的數據傳輸和處理,因此,對這些設備自身的可靠性有很高的要求。除設備本身的可靠外,還需要設備之間的熱備份,只有這樣才能避免單點故障的存在。
另外,合理的子網(VLAN)劃分對整個網絡的可靠、安全、性能以及管理有非常重要的影響。根據企業各部門的業務性質不同以及管理的需要,通常需要把企業網劃分為多個VLAN,即多個邏輯上互相隔離虛擬網絡。這些虛擬子網之間必須通過路由功能才能實現彼此之間的通信。
圖1 高可靠企業網絡的典型結構
每個虛擬子網都有一個中心交換機,并通過兩條物理鏈路分別上連到核心交換機上,用于提高可靠性并實現鏈路負載均衡。在此基礎上還必須正確選擇并配置相關協議,才能使冗余的設備和鏈路相互配合、協同工作,真正成為無單點故障的高可靠性網絡。圖1所示是根據上述分析設計出來的高可靠企業網的一般典型結構。
需要注意的是,可靠性技術的實施并不是設備和鏈路的簡單疊加和無限制冗余。否則,一方面會增加網絡建設整體成本,另一方面還會增加管理維護的復雜度,給網絡引入潛在的故障隱患。因此在進行規劃時,應該根據網絡結構、網絡類型和網絡層次,分析網絡業務模型,確定基礎網絡拓撲,明確對網絡可靠性最佳的關鍵節點和鏈路,合理規劃和部署各種網絡高可用技術。
3 高可靠網絡路由協議選擇與分析
在高可靠企業網的設計與實現中,通常要涉及到的3個重要的協議,分別是:VRRP(Virtual Router Redundancy Protocol)、OSPF(Open Shortest Path First)和STP(Spanning Tree Protocol),正確選擇并配置它們,是高可靠性網絡設計的重要組成部分。
3.1 VRRP協議
虛擬路由器冗余協議VRRP[1]是一種容錯協議,可以保證當主機的下一跳路由器失效時,及時的由另一臺路由器來替代,從而保持通信的不間斷性。VRRP的應用實際上是對網絡可靠性和安全性要求的一種體現。
VRRP的運行是以路由器為基礎,為了使VRRP工作,需要在路由器上配置虛擬路由器號和虛擬IP地址,同時產生一個虛擬MAC地址,這樣在這個網絡中就加入了一個虛擬路由器。對于運行在三層交換機上的VRRP,與路由器上的VRRP并沒有本質的區別,因為虛擬IP和虛擬MAC地址是和網絡接口綁定在一起的。
VRRP將網絡中的一組路由器組織成一個虛擬路由器,稱之為一個備份組。其中僅有一臺設備處于活動狀態,稱為主用設備(Master),其余設備都處于備份狀態,并隨時按照優先級高低做好接替任務的準備,稱為備份設備(Backup)。
如圖2所示,路由器Ra、Rb和Rc組成了一個備份組,一個備份組相當于一臺虛擬路由器,虛擬IP為192.168.16.1。備份組內Ra充當Master設備,IP地址為192.168.16.2;Rb和Rc都充當Backup設備,IP地址分別為192.168.16.3和192.168.16.4。對于VRRP而言,只有Master設備才能轉發以虛擬IP為下一跳的報文。
圖2 VRRP原理圖
內部網絡中的所有主機僅僅知道該虛擬IP為192.168.16.1,而并不知道具體的主用或備用設備的IP,因此各主機都將缺省網關配置為該虛擬IP地址。于是,內部網絡中的各主機就通過該備份組與外部網絡進行通信。
Master路由器的VRRP模塊監視通信接口狀態,并通過組播方式向Backup路由器發送通告報文。如果Master路由器故障或鏈路出現問題,則會導致無法正常發送VRRP通告報文。當Backup路由器在指定時間內收不到VRRP通告時,備份組內的其它Backup路由器將會根據優先級高低選出一個路由器充當新的Master,繼續向網絡內的主機提供路由服務。因此,采用VRRP技術可以實現內部網絡中的主機不間斷地與外部網絡進行通信,提高了網絡的可靠性與安全性。
在高可靠網絡設計方案中,可以采用兩臺路由交換機S6810組成雙核心,作為整個網絡的核心,如圖1所示。從位置上看,這兩臺設備剛好位于整個網絡的中心,因此還應充分發揮它們數據中轉的能力。為此,需要定義兩個VRRP組,在不同的組里面,兩個設備分別為Master和Backup。這樣,在正常情況下,兩臺設備都可以進行數據包的轉發,一個出故障時還有一臺在轉發,既實現了容錯又實現了負載的均衡,充分發揮了核心數據中轉的能力,提高了子網之間訪問的速度。
3.2 OSPF協議
OSPF是網間工程任務組織(IETF)的內部網關協議工作組為IP網絡而開發的一種動態路由協議。動態路由是指網絡中的路由器之間周期性的相互傳遞路由信息,重新計算路由,更新路由表以適應網絡結構的變化。對于規模大、網絡拓撲復雜的校園網來說,采用動態路由協議能在關鍵鏈路或設備不能正常工作時,實現自動切換,保證網絡的暢通。
關鍵詞:等級防護;電力企業;網絡安全建設
中圖分類號: F407 文獻標識碼: A 文章編號:
引言
信息化是一把“雙刃劍”,在提高企業工作效率、管理水平以及整體競爭能力的同時,也給企業帶來了一定的安全風險,并且伴隨著企業信息化水平的提高而逐漸增長。因此,提升企業的信息系統安全防護能力,使其滿足國家等級保護的規范性要求,已經成為現階段信息化工作的首要任務。對于電力企業的信息系統安全防護工作而言,應等級保護要求,將信息管理網絡劃分為信息內網與信息外網,并根據業務的重要性劃分出相應的二級保護系統與三級保護系統,對三級系統獨立成域,其余二級系統統一成域,并從邊界安全、主機安全、網絡安全、應用安全等方面對不同的安全域對防護要求進行明確劃分。
1現階段電力企業網絡風險分析
1.1服務器區域缺少安全防護措施
大部分電力企業的服務器都是直接接入本單位的核心交換機,然而各網段網關都在核心交換機上,未能對服務器區域采取有效的安全防護措施。
1.2服務器區域和桌面終端區域之間的劃分不明確
因服務器和桌面終端的網關都在核心交換機上,不能實現對于域的有效劃分。
1.3網絡安全建設缺乏規劃
就現階段的電力企業網絡安全建設而言,普遍存在著缺乏整體安全設計與規劃的現狀,使整個網絡系統成為了若干個安全產品的堆砌物,從而使各個產品之間失去了相應的聯動,不僅在很大程度上降低了網絡的運營效率,還增加了網絡的復雜程度與維護難度。
1.4系統策略配置有待加強
在信息網絡中使用的操作系統大都含有相應的安全機制、用戶與目錄權限設置以及適當的安全策略系統等,但在實際的網絡安裝調試過程中,往往只使用最寬松的配置,然而對于安全保密來說卻恰恰相反,要想確保系統的安全,必須遵循最小化原則,沒有必要的策略在網絡中一律不配置,即使有必要的,也應對其進行嚴格限制。
1.5缺乏相應的安全管理機制
對于一個好的電力企業網絡信息系統而言,安全與管理始終是分不開的。如果只有好的安全設備與系統而沒有完善的安全管理體系來確保安全管理方法的順利實施,很難實現電力企業網絡信息系統的安全運營。對于安全管理工作而言,其目的就是確保網絡的安全穩定運行,并且其自身應該具有良好的自我修復性,一旦發生黑客事件,能夠在最大程度上挽回損失。因此,在現階段的企業網絡安全建設工作過程中,應當制訂出完善的安全檢測、人員管理、口令管理、策略管理、日志管理等管理方法。
2等級保護要求下電力企業網絡安全建設防護的具體措施
2.1突出保護重點
對于電力企業而言,其投入到信息網絡安全上的資源是一定的。從另外一種意義上講,當一些設備存在相應的安全隱患或者發生破壞之后,其所產生的后果并不嚴重,如果投入和其一樣重要的信息資源來保護它,顯然不滿足科學性的要求。因此,在保護工作過程中,應對需要保護的信息資產進行詳細梳理,以企業的整體利益為出發點,確定出重要的信息資產或系統,然后將有限的資源投入到對于這些重要信息資源的保護當中,在這些重要信息資源得到有效保護的同時,還可以使工作效率得到很大程度的提高。
2.2貫徹實施3層防護方案
在企業網絡安全建設過程中,應充分結合電力企業自身網絡化特點,積極貫徹落實安全域劃分、邊界安全防護、網絡環境安全防護的3層防護設計方案。在安全防護框架的基礎上,實行分級、分域與分層防護的總體策略,以充分實現國家等級防護的基本要求。
(1)分區分域。統一對直屬單位的安全域進行劃分,以充分實現對于不同安全等級、不同業務類型的獨立化與差異化防護。
(2)等級防護。遵循“二級系統統一成域,三級系統獨立成域”的劃分原則,并根據信息系統的定級情況,進行等級安全防護策略的具體設計。
(3)多層防護。在此項工作的開展過程中,應從邊界、網絡環境等多個方面進行安全防護策略的設計工作。
2.3加強安全域劃分
安全域是指在同一環境內具有一致安全防護需求、相互信任且具有相同安全訪問控制與邊界控制的系統。加強對于安全域的劃分,可以實現以下目標:
(1)實現對復雜問題的分解。對于信息系統的安全域劃分而言,其目的是將一個復雜的安全問題分解成一定數量小區域的安全防護問題。安全區域劃分可以有效實現對于復雜系統的安全等級防護,是實現重點防護、分級防護的戰略防御理念。
(2)實現對于不同系統的差異防護。基礎網絡服務、業務應用、日常辦公終端之間都存在著一定的差異,并且能夠根據不同的安全防護需求,實現對于不同特性系統的歸類劃分,從而明確各域邊界,對相應的防護措施進行分別考慮。
(3)有效防止安全問題的擴散。進行安全區域劃分,可以將其安全問題限定在其所在的安全域內,從而有效阻止其向其他安全域的擴散。在此項工作的開展過程中,還應充分遵循區域劃分的原則,將直屬單位的網絡系統統一劃分為相應的二級服務器域與桌面終端域,并對其分別進行安全防護管理。在二級系統服務器域與桌面域間,采取橫向域間的安全防護措施,以實現域間的安全防護。
2.4加強對于網絡邊界安全的防護
對于電力企業的網絡邊界安全防護工作而言,其目的是使邊界避免來自外部的攻擊,并有效防止內部人員對外界進行攻擊。在安全事件發生之前,能夠通過對安全日志與入侵事件的分析,來發現攻擊企圖,在事件發生之后可以通過對入侵事件記錄的分析來進行相應的審查追蹤。
(1)加強對于縱向邊界的防護。在網絡出口與上級單位連接處設立防火墻,以實現對于網絡邊界安全的防護。
(2)加強對于域間橫向邊界的防護。此項防護是針對各安全區域通信數據流傳輸保護所制定出的安全防護措施。在該項工作的開展過程中,應根據網絡邊界的數據流制定出相應的訪問控制矩陣,并依此在邊界網絡訪問控制設備上設定相應的訪問控制規則。
2.5加強對于網絡環境的安全防護
(1)加強邊界入侵檢測。以網絡嗅探的方式可以截獲通過網絡傳輸的數據包,并通過相應的特征分析、異常統計分析等方法,及時發現并處理網絡攻擊與異常安全事件。在此過程中,設置相應的入侵檢測系統,能夠及時發現病毒、蠕蟲、惡意代碼攻擊等威脅,能夠有效提高處理安全問題的效率,從而為安全問題的取證提供有力依據。
(2)強化網絡設備安全加固。安全加固是指在確保業務處理正常進行的情況下,對初始配置進行相應的優化,從而提高網絡系統的自身抗攻擊性。因此,在經過相應的安全評估之后,應及時發現其中隱藏的安全問題,對重要的網絡設備進行必要的安全加固。
(3)強化日志審計配置。在此項工作的開展過程中,應根據國家二級等級保護要求,對服務器、安全設備、網絡設備等開啟審計功能,并對這些設備進行日志的集中搜索,對事件進行定期分析,以有效實現對于信息系統、安全設備、網絡設備的日志記錄與分析工作。
結語
綜上所述,對于現階段電力企業信息網絡而言,網絡安全建設是一個綜合性的課題,涉及到技術、使用、管理等許多方面,并受到諸多因素的影響。在電力企業網絡安全建設過程中,應加強對于安全防護管理體系的完善與創新,以嚴格的管理制度與高素質管理人才,實現對于信息系統的精細化、準確化管理,從而切實促進企業網絡安全建設的健康、穩步發展。
參考文獻:
[1]張蓓,馮梅,靖小偉,劉明新.基于安全域的企業網絡安全防護體系研究[J].計算機安全,2010(4).
1.網絡設計方案
礦山安全管理信息系統網絡設計主要包括兩大部分,企業總部及分部設計方案。總部設計:由于互聯網訪問要求多對一,總部所有數據都存儲于內部服務器中,其他工作站利用網線同web及數據庫服務器相互連接,形成局域網。外部機構利用遠程撥號形式進入web服務器,客戶端利用局域網即可實現所需數據的查詢、統計與審核;分部設計:各分部進行工作站軟件的安裝,利用局域網或撥號方式對數據進行交換,并傳送到總部服務器中,可利用瀏覽器對總部web、數據庫等進行訪問,從而順利進行數據的統計、查詢及錄入,解決了重復性操作等問題。
2.系統結構分析
本系統采用的是B/S結構模式,如圖1所示。該模式集瀏覽器、web及信息服務等技術于一體,可利用一個瀏覽器對多個平臺的服務器進行訪問。較C/S模式而言,B/S結構共三層,包括客戶機、服務器和Web服務器。客戶端將請求發送出去,Web服務器從數據庫中提取數據,并進行計算,然后將結果反饋給客戶端,用戶利用瀏覽器可對結果進行查詢。在B/S模式中,服務器負責各個應用軟件的升級、開發及維護。
3.系統開發環境
首先,本系統編程語言采用的是Java語言,這是由于該語言跨平臺性能良好,無論采用何種類型的計算機、操作系統及瀏覽器,就能利用Java對網絡主頁進行制作,并實現了同Java之間良好的交互性;其次,系統數據庫采用的是MySQL,這是多數企業網站設計的首選,其不僅系統簡單、安裝方便、操作輕松,而且擁有良好的穩定性。因此,本文最終選擇了Java+MySQL作為系統的開發環境。
4.系統功能的設計
本系統共包括六大功能模塊,即基礎信息、安全事故、尾礦庫安全、安全決策、信息及系統維管模塊。
1)基礎信息模塊,其主要由礦山信息、生產信息、安管制度及安管制度信息等模塊構成,負責對礦山基礎信息進行處理、管理生產信息,跟蹤并記錄安管制度建設及落實情況。
2)尾礦庫安全模塊,負責尾礦庫信息的收錄、更新、刪除,并根據礦山名稱對其運行情況進行及時查詢和維護,負責對安檢信息的存儲及更改。
3)安全事故模塊,實現了對安全事故相關信息的處理,可以通過礦山名稱、安全事故發生時間、類別及嚴重程度等,進行安全事故相關信息的全面查詢,并對安全事故負責人相關信息進行處理。
4)安全決策模塊,包括事故及事故樹分析等模塊,實現了圖表功能的查詢及生成,可對各礦山安全事故傷亡狀況進行查詢,并對事故樹進行科學分析,以便制定合理的對策。
5)信息模塊,包括政策及宣傳信息模塊,實現了總部對信息內容的修改、更新,以及分部公司瀏覽信息等功能。6)系統維管模塊,實現了管理人員對用戶登錄及操作內容的管理,提供了信息系統安裝、使用及維護內容,便于有關人員參考。
二、結語
