时间:2023-06-02 09:03:41
序论:速发表网结合其深厚的文秘经验,特别为您筛选了11篇小型企业网络建设范文。如果您需要更多原创资料,欢迎随时与我们的客服老师联系,希望您能从中汲取灵感和知识!
有部分企业认为用低成本做出的网站也会好,长沙做网站公司认为这种想法其实在很不现实的,事实上,长沙做网站公司专业做网站这么多年,对网站建设这行还是相当了解的,知道做一个网站需要多少成本,知道什么样的企业网站才算是标准的。低成本的网站制作所得到的网站页面粗制滥造,美工效果非常不好,这样的网站建设起来后会大大影响企业的整体形象,与实际中的企业形象不相符。这样的网站做出来后对企业网络营销能力的影响,不用我们说,大家也肯定知道的。
二、网站时常出现打不开或打开速度慢的现象,购买便宜的虚拟主机
现在上网找资料或者找资源的用户,没有用户会愿意等着你这个网站慢慢加载。若你企业网站时常出现打不开或打开速度慢的现象,在客户访问量上就会大大减少,减少访问量的同时也就意味着较少了转化率,企业型网络营销能力也会减弱。影响网站运行速度的原因有一下几种,
1、假如购买的是国内虚拟主机那么就必须要网站备案要不然网站就会打不开或者加载速度很慢。
2、网站程序的原因也可以导致企业网站运行速度慢,这个就要看专业做网站的程序员实力怎么样了,菜鸟级别的话那不用说肯定会慢。我们长沙做网站的一般都是使用动态生成静态页的,因为生成静态页有几个好处,一个是运行速度快,二个是安全稳定,不用涉及到加在数据库,三个就是友好于搜索引擎、
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)18-4198-03
近年来,随着我国中小型企业的快速发展和信息化水平的不断提高,企业对计算机网络的依赖程度越来越高Internet已成为人们生活、工作、学习中必不可少的一部分。一个企业的内部局域网称为企业网络,将企业网络与Internet技术紧密结合起来就是Intranet。Intranet是集局域网、广域网和高速数据服务之大成的一种网络,它采用Internet相关技术将基于计算机的基础网络结构与各个用户连接起来,从而建立起企业的内部网络。如何科学、规范、高效地组建与管理一个企业的计算机网络,使其为企业的业务与发展提供支持是企业网络开发的重点。
1 华为网络设备产品介绍
1.1 华为AR1220系列路由器
华为AR1220系列架构的特别设计可满足中小型分支机构和中小型企业对于目前和未来应用日益提高的需求。华为AR1220将业界范围最广的连接选项与领先的可用性和可靠性特性相结合。
华为AR1220系列具有先进、集成的端到端安全性,以用于提供融合服务和应用。华为AR1220在一个解决方案集中提供了一系列强大的通用安全特性,如内置防火墙,支持Qos,支持VPN, 以及ACL控制、802.1x认证、MAC地址认证、Web认证、AAA认证、RADIUS认证、HWTACACS认证、广播风暴抑制、ARP安全、ICMP反攻击、IP Source Guard、DHCP Snooping、黑名单、攻击源追踪等。
1.2 华为S5700系列三层交换机
华为S5700系列通过提供配置灵活性、支持融合网络模式及自动进行智能网络服务配置,简化了融合应用的部署,并可针对不断变化的业务需求进行调整。此外,华为S5700系列交换机支持基于MAC/协议/IP子网/策略/端口的VLAN,支持对端口接收和发送报文的速率进行限制,支持捆绑端口的组播负载分担,实现可堆叠永续性新标准,针对高密度千兆位以太网部署进行了优化,包括多种交换机,以满足接入、汇聚或小型网络骨干连接需求。
1.3华为S2700系列二层交换机
华为S2700-52P-EI智能以太网交换机提供桌面快速以太网和10/100/1000千兆以太网连接,支持IEEE 802.1Q(VLAN),支持端口限速和流限速,支持IGMP组播管理,支持堆叠,可为入门级企业、中型市场和分支机构网络提供增强LAN服务。
2 华为小型企业局域网网络规划
假设有一家通信公司,内设行政部门和技术部门,各部门员工的终端使用私有地址,相互之间能够实现联通。公司有一台Web服务器,同时对内外网用户提供服务。公司申请有两个公有地址:200.100.100.1和200.100.100.2,其中公有地址200.100.100.2分配给服务器,各部门员工的终端通过另一个公有地址200.100.100.1访问internet。
局域网综合描述:华为S5700交换机实现公司内网数据可靠转发,通过三层vlan间路由为接入层vlan提供网关;华为S2700交换机实现终端用户接入内网,在接入层根据部门和业务划分vlan并规划IP地址,通过STP为保障接入层二层冗余链路,服务器区直接接入核心设备提供;通过Router实现公司访问外网,公司内网运行OSPF路由协议实现内网互通。
在Quidway启用NAT静态转换映射内网WEB服务器,实现公网访问内网WEB服务器,启用PAT端口转换实现内网终端用户访问Internet。
接下来设计局域网网络地址规划,描述互联设备、Vlan id、IP地址段、本地接口、对端接口及接口状态等,如表1所示。
其中,华为S2700交换机取名为access-sw, 华为S5700交换机取名为core-sw。
3 华为小型企业局域网配置
3.1 华为S5700核心交换机的配置
1)首先,需要创建核心交换机下的所有vlan,包括接入层交换机的vlan。
[core-sw]vlan 10 #创建vlan 10 ,vlan 20和30也要创建
2)设置S5700交换机端口状态
[core-sw]port Eth0/2
port access vlan 30
[core-sw]]port Eth0/1
port link-type trunk
port trunk permit vlan all
[core-sw]port Eth0/24 #设置Eth0/24端口的ip地址
port access vlan 40
int vlan 40
ip add 192.168.4.254 255.255.255.0
3)设置vlan 10、20和30的网关地址
core-sw(config)# int Vlan 10
ip add 192.168.1.1 255.255.255.0 #vlan20和30设置也要设置
3.2 接入层S2700交换机的配置
1)首先,需要创建接入层交换机的vlan 10和20。
[access-sw]vlan 10
vlan 20
2)设置S2700交换机端口状态
[access-sw]port Eth0/2 to Eth0/10
port access vlan 10
[access-sw]port Eth0/11 to Eth0/20
port access vlan 20
[access-sw]port Eth0/1
port link-type trunk
port trunk permit vlan all
核心交换机和接入层交换机设置完成后,可以测试内网连通性,技术部门、管理部门和服务器互相应能访问。
3.3 路由器AR1220配置
1)设置路由器接口状态
[Quidway] int Eth0/0
ip add 192.168.4.1 255.255.255.0
undo shutdown
Router(config)# int Eth0/1
ip add 200.100.100.1 255.255.255.0
undo shutdown
2)启用动态路由协议(核心层和路由器)
[Quidway]ospf enable #启动OSPF协议
[Quidway]ospf enable area 0 #配置OSPF区域
[Quidway-ospf]import-route direct #引入直联路由
3)启用NAT静态转换映射内网WEB服务器
[Quidway] nat server global 200.100.100.2 inside 192.168.3.2
4)启用PAT端口转换实现内网终端用户访问Internet
[Quidway] rule permit ip source 192.168.1.0 destination any
rule permit ip source 192.168.2.0 destination any
[Quidway]int Eth0/1
firewall packet-filter 102 inbound #200.100.100.1是出口地址
nat outbound 101 interface #将acl 101允许的IP从本接口出时变换源地址。
同时核心交换机也要启动相应的路由协议:
core-sw(config)# ospf enable
import-route 192.168.1.0
import-route 192.168.2.0
import-route 192.168.3.0
import-route 192.168.4.0
最后,测试核心层到边界路由器连通性和内网终端用户到路由器出口连通性。
参考文献:
[1] 陆魁军.计算机网络工程实践教程[M].北京:清华大学出版社,2006.
一、前言
把生产者和消费者通过因特网联系而进行的经济活动称为网络经济,网络经济是建立在计算机网络基础上,以现代信息技术为核心的一种新的经济形态。在这种经济模式下,黑龙江大中小企业都在网络环境运行,市场机会均等,公平竞争,对黑龙江中小企业来说是新的机遇。何把握机遇、在网络经济模下发展壮大,是关注的热点。
二、分析网络时代黑龙江中小企业创新机制特点
1.协同创新是网络经济下黑龙江中小企业创新机制的核心。主要表现在黑龙江中小企业内部协同创新能实现创新机制良性循环发展;创新能力的竞争离不开黑龙江中小企业间的“强强合作”。
2.网络经济时代下黑龙江中小企业创新机制的特点。主要表现在“融资”成为网络时代下中小型企业发展的主要渠道;电子商务成为网络经济科学发展的主旋律;相关政策出台推动网络经济发展过程中,黑龙江中小企业实现创新机制形成。
3.中小型特殊企业开放式创新机制。主要表现在中小型特殊企业突破神秘感的束缚形成科学发展;网络活动是中小型特殊企业放式创新机制的主要形式;商业化机制是中小型特殊企业的发展动力;开放式管理是中小型特殊企业机制创的重要标志。
4.网络经济黑龙江中小企业创新机制发展。新方向主要表现在中小型企业技术创新是网络经济下创新机制的核心部分;中小型企业合作机制的不断创新与发展实现 “中国梦”;微信营销已经成为网络经济发展黑龙江中小企业机制创新的代表;社交软件营销成为网络经济发展黑龙江中小企业创新机制形成的途径。
三、网络经济给黑龙江中小企业发展带来的机遇
1.网络经济为黑龙江中小企业提供大量新的机会。网络经济改变了大机构专门跨组织系统的局面,使得业内的控制权不再集中,变得非常分散,现在黑龙江中小企业能够同样参与发展共享跨组织系统,这样就给中小型企业创造了新的竞争平台。
2.网络经济有利于黑龙江中小企业开拓国际市场。互联网能从信息管理的各个方面让小企业迅速成长,免受经济规模大小的制约。互联网为企业的发展带来国际机遇,黑龙江中小企业利用互联网开展与国际市场的对话,积极开拓国际市场。
3.网络经济促使黑龙江中小企业管理规范化。在网络经济模式下,黑龙江中小企业管理和组织结构发生了很大变化,企业内部组织流程、内部流程等等发生的变化,使得企业决策制定得更加科学,有效提高了企业管理水平,改善了黑龙江中小企业的经营状况。因此,网络经济模式下,龙江中小企业不但成本降低,管理还更加科学、更加规范。
四、黑龙江中小企业网络经济的发展现状
目前黑龙江中小企业网络经济处于起步阶段,存在问题比较多,主要表现在以下五个方面:
1.网络建设一般,这是我国网络建设投资不平衡的结果。沿海地区网络建设较好;西北地区网络建设较差;东北地区网络建设一般。
2.网络经济的标准制定薄弱。信息技术基础研究及产品开发水平有很大提升空间,基本没有自主制定过直接与网络经济相关的标准,大部分网络标准是从国际相应标准等效转换来的,制定符合现行需要的网络经济相关标准的问题待解决。
3.部分企业观念滞后。黑龙江多数中小企业仍把竞争焦点锁定在实体市场,无视网络经济给他们带来的机遇,没有认识到网络经济模式给中小型企业带来的优势远大于大企业,在知识经济时代,必须速抢占网络信息虚拟市场。
4.没有充分利用网络。黑龙江中小企业对于网络的应用参差不齐,极不平衡。企业没有挖掘网络的巨大优势与潜力。多数上网企业只是将厂名、地址等基本信息挂在网上,少数企业拥建立独立的域名网址,但是网络营销活动甚少,甚至个别企业虽有自己的网站,却是空壳网页。
5.人才素质不高。大部分黑龙江中小企业没有树立网络经济的概念,高层不重视企业网络的经营。企业从上到下,培训力度不够,缺少复合型网络经济人才。网络经济模式下,企业员工的管理素质、技术素质有待提高。
五、网络经济模式下黑龙江中小企业的发展战略
1.应用服务公共供应商 ASP(Application Service Provider)的兴起为黑龙江中小企业加强信息化,有利于中小型企业自身管理和运营。企业租用 ASP 提供的优质服务,无需投资基础设施,无需开发与维护应用软件,削减企业在 IT 方面的工资支出和升级维护费用,能集中精力发展核心业务,迅速抢占市场。企业要通过网络系统,要通过电子平台科学地采集数据、调度生产、管理营销、指挥决策,充分发挥网络经济的优势,提高企业竞争力。
2.实施人才战略。网络经济模式下,缺乏优秀信息技术人才是黑龙江中小企发展的主要障碍,是黑龙江中小企业信息网络建设困难的根本原因。
3. 实施商誉战略。形象和商誉是企业长期稳定发展的源泉,在网络经济模式下,形象和商誉更为重要。黑龙江中小企业要将企业商誉形象摆在首位,及时更新网站信息,丰富网络资源,不断提升服务质量,赢得客户信任,运用网络媒体,宣传企业网站,扩大企业影响。
计算机网络的多样性、终端分布不均匀性和网络的开放性、互连性使联入网络的计算机系统很容易受到黑客、恶意软件和非法授权的入侵和攻击,信息系统中的存储数据暴露无遗,从而使用户信息资源的安全和保密受到严重威胁。目前互联网使用TCP/IP协议的设计原则,只实现简单的互联功能,所有复杂的数据处理都留给终端承担,这是互联网成功的因素,但它也暴露出数据在网上传输的机密性受到威胁,任何人都可以通过监听的方法去获得经过自己网络传输的数据。在目前不断发生互联网安全事故的时候,对互联网的安全状况进行研究与分析已迫在眉睫。
一、 国外企业信息安全现状
调查显示,欧美等国在网络安全建设投入的资金占网络建设资金总额的10%左右,而日韩两国则是8%。从国际范围来看,美国等西方国家网络基础设施的建设比中国完善,网络安全建设的起步时间也比中国早,因此发生的网络攻击、盗窃和犯罪问题也比国内严重,这也致使这些国家的企业对网络安全问题有更加全面的认识和足够的重视,但纵观全世界范围,企业的网络安全建设步伐仍然跟不上企业发展步伐和安全危害的升级速度。
国外信息安全现状具有两个特点:
(1)各行业的企业越来越认识到IT安全的重要性,并且意识到安全的必要性,并且把它作为企业的一项重要工作之一。
(2)企业对于网络安全的资金投入与网络建设的资金投入按比例增长,而且各项指标均明显高于国内水平。
二、 国内企业网络信息安全现状分析
2005年全国各行业受众对网络安全技术的应用状况数据显示,在各类网络安全技术使用中,“防火墙”的使用率最高(占76.5%),其次为“防病毒软件”的应用(占53.1%)。2005年较2004年相比加大了其他网络安全技术的投入,“物理隔离”、“路由器ACL”等技术已经得到了应用。防火墙的使用比例较高主要是因为它价格比较便宜、易安装,并可在线升级等特点。值得注意的是,2005年企事业单位对“使用用户名和密码登陆系统”、“业务网和互联网进行物理隔离”等措施非常重视。其他防范措施的使用也比2004年都提高了一定的比例,对网络安全和信息的保护意识也越来越高。生物识别技术、虚拟专用网络及数字签名证书的使用率较低,有相当一部分人不清楚这些技术,还需要一些时间才能得到市场的认可。
根据调查显示,我国在网络安全建设投入的资金还不到网络建设资金总额的1%,大幅低于欧美和日韩等国。我国目前以中小型企业占多数,而中小型企业由于资金预算有限,基本上只注重有直接利益回报的投资项目,对于网络安全这种看不到实在回馈的资金投入方式普遍表现出不积极态度。另外,企业经营者对于安全问题经常会抱有侥幸的心理,加上缺少专门的技术人员和专业指导,致使国内企业目前的网络安全建设情况参差不齐,普遍处于不容乐观的状况。
三、 企业网络信息系统安全对策分析
“三分技术,七分管理”是技术与管理策略在整个信息安全保障策略中各自重要性的体现,没有完善的管理,技术就是再先进,也是无济于事的。以往传统的网络安全解决方案是某一种信息安全产品的某一方面的应用方案,只能应对网络中存在的某一方面的信息安全问题。中国企业网络的信息安全建设中经常存在这样一种不正常的现象,就是企业的整体安全意识普遍不强,信息安全措施单一,无法抵御综合的安全攻击。随着上述网络安全问题的日益突显,国内网络的安全需求也日益提高,这种单一的解决方案就成为了信息安全建设发展的瓶颈。因此应对企业网络做到全方位的立体防护,立体化的解决方案才能真正解决企业网络的安全问题,立体化是未来企业网络安全解决方案的趋势,而信息保障这一思想就是这一趋势的体现。信息保障是最近几年西方一些计算机科学及信息安全专家提出的与信息安全有关的新概念,也是信息安全领域一个最新的发展方向。
信息保障是信息安全发展的新阶段,用保障(Assurance)来取代平时我们用的安全一词,不仅仅是体现了信息安全理论发展到了一个新阶段,更是信息安全理念的一种提升与转变。人们开始认识到安全的概念已经不局限于信息的保护,人们需要的是对整个信息和信息系统的保护和防御,包括了对信息的保护、检测、反应和恢复能力。为了保障信息安全,除了要进行信息的安全保护,还应该重视提高安全预警能力、系统的入侵检测能力,系统的事件反应能力和系统遭到入侵引起破坏的快速恢复能力。区别于传统的加密、身份认证、访问控制、防火墙、安全路由等技术,信息保障强调信息系统整个生命周期的防御和恢复,同时安全问题的出现和解决方案也超越了纯技术范畴。由此形成了包括预警、保护、检测、反应和恢复五个环节的信息保障概念。
所以一个全方位的企业网络安全体系结构包含网络的物理安全、访问控制安全、系统安全、用户安全、信息加密、安全传输和管理安全等。充分利用各种先进的主机安全技术、身份认证技术、访问控制技术、密码技术、防火墙技术、安全审计技术、安全管理技术、系统漏洞检测技术、黑客跟踪技术,在攻击者和受保护的资源间建立多道严密的安全防线,增加了恶意攻击的难度,并增加审核信息的数量,同时利用这些审核信息还可以跟踪入侵者。
参考文献:
[1]付正:安全――我们共同的责任[J].计算机世界,2006,(19)
无论扩张新的办公区域和分支机构、新建基础网络办公平台都是基础网络优先,转化为网络解决方案就是有线或无线办公网络解决方案。而无线网络技术标准IEEE 802.11n的逐渐成熟,以及相关产品及解决方案的大量应用,使得对部署快速高效无线网络平台的需求越来越多。
1.1物理设备的安全
中小企业网络基于成本考虑大多没有完全满足国家及行业标准要求的中心机房或者在在防尘、防潮、防雷、抗静电、阻燃、绝缘、隔热、降噪音等众多方面不能完全满足。中小型企业可在现有条件下,选择防水性能好的可密闭的房间改造为中心机房,并且铺设防静电地板,做好防雷击处理,同时布线要尽可能按照机房综合布线要求进行,空调和UPS也必须安装;运用有限的资源对网络重点部位加强防范,保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提。
1.2合理的网络拓扑结构
网络拓扑结构直接影响到网络系统的安全性。当企业内部的主机与外部通信时,网络内部的主机安全就会受到威胁,同时与主机连接的内部网络设备和系统也一同受到影响。因此,有必要将公开服务器(WEB、DNS、EMAIL、FTP等)和外网与企业内部其它业务网络进行隔离,避免网络结构信息外泄,对需要兼顾使用内外网的主机,通过安装隔离卡进行内外网分离;同时还要对外网的服务请求加以过滤,只允许正常通信的数据包到达相应主机,其它的请求服务在到达主机之前就应该遭到拒绝。即使中小型企业的网络拓扑结构和应用都非常简单,使用防火墙仍然是必需的和必要的;如果企业的网络环境和应用比较复杂,那么防火墙将能够带来更多的好处,防火墙是网络建设中不可或缺的部分;如果从成本方面考虑,在允许的情况下,直接通过防火墙接入Internet也是可行的,在今后需要的时候再增加路由器,毕竟这样不会带来投资上的任何损失;当然采用防火墙接入广域网需要对入方式(链路和接口)、支持的协议和用户数量进行综合考虑。企业员工通过Internet访问内网,最简单和安全的办法是架设VPN服务器,防火墙、路由器和网络操作系统都可以实现这一功能。
1.3操作系统的安全
操作系统是网络攻击的直接对象,应尽量采用安全性较高的操作系统并进行必要的安全配置,及时给系统打补丁,关闭不常用却存在安全隐患的应用、服务以及端口,对保存有用户信息及口令的关键文件(如UNIX下的/bin、/etc/shadow、/etc/groups,WindowsNT下的LMHOST、SAM等)的使用权限进行严格限制。对服务器的访问可以通过如下几个方面来控制,比如制定严格的管理制度,配置ACL,通过交换机划分VLAN,使用应用网关。防病毒措施可在服务器中安装服务器端防病毒系统,以提供对病毒的检测、清除、免疫和对抗能力,在客户端的主机也应安装单机防病毒软件,将病毒在本地清除而不至于扩散到其他主机或服务器。
1.4数据存储的安全
中小型企业的数据安全虽然不能像大型企业一样部署成本高昂的双机热备、存储区域网络(SAN,StorageAreaNetwork)、异地容灾和入侵检测控制设备,但也不能只依靠简单的RAID设置;随着千兆网的普及网络存储器(NAS,NetworkAttachedStorage)也是中小型企业一个不错数据存储解决方案;在RPO/ROT(RecoveryPointObjective/RecoveryTimeObjective)要求不高的情况下,手动备份数据仍然是中小型企业数据安全的重要选择;云存储也是防止数据丢失的一种低成本方案,需要注意的是,云存储法律空白并不能保证数据不外泄,选择良好的云存储提供商非常重要。针对数据外泄,基于主机的入侵检测设备和网络系统端点防护也许是目前最好产品,但中小型企业还可以选择采购成本和使用成本更低的透明加密软件,透明加密软件所谓透明是指对使用者来说是未知的,当使用者在打开或编辑指定文件时,系统将自动对未加密的文件进行加密,对已加密的文件自动解密。文件在硬盘上是密文,在内存中是明文,一旦离开使用环境,由于应用程序无法得到自动解密的服务而无法打开,从而起来保护文件内容防止文件外泄。
1.5管理制度是否完善
计算机网络管理首先是企业管理的一部分,必须服从企业管理的总体要求,与企业管理紧密结合,但计算机网络管理又有其独特性,有着一套完整的规章制度,从操作技术和安全意识两方面规范员工的网络行为,提高员工的网络安全水平。计算机操作规范是对全体员工的普遍要求,如不使用来历不明的软件或盗版软件,U盘使用前要首先进行杀毒、不能打开来源不明邮件等;对员工的定期或不定期的计算机网络操作和安全培训是必须的,只有提高了员工的安全意识,并自觉遵守有关规定,才能从根本上防止病毒对网络信息系统的危害,而这种培训往往可以包含在一个企业晨会中。中小型企业通常只有几个甚至只设一个网络管理员,网络管理员不但要负责网络系统正常运行、维护其中的设备,还要负责网络管理和系统管理,有的企业还需要网络管理员进行一些简单的网站建设和网页制作等工作,因此在机房、线路、设备、软件、灾备等方面都要制定出完整的管理制度,避免因为匆忙而变得毫无头绪。
2影响网络安全的因素
2.1网络协议自身的安全缺陷。Intrenet是一个自身网络协议开放的信息共享系统,网络协议是信息共享的关键环节,当前常用的网络协议是TCP/IP协议、IPX/SPX协议、NerBEUI协议等。正是因为这些网络协议,网络信息共享才会实现,但是网络协议是存在着安全缺陷的,TCP/IP协议是目前使用最为广泛的网络协议,它的安全性,关系着整个Internet的安全。由于TCP/IP协议在设计时未考虑到自身的安全性问题,所以很容易受到“骇客”的攻击,其安全性是没有保障的[2]。
2.2软硬件的安全缺陷。网络硬件设施是构成互联网不可或缺的一大组成部分,但是其自身的安全性十分脆弱,主要表现为:a.网络与计算机存在电磁信息泄漏;b.通讯部分的脆弱性,通讯线路一般是电话线、专线、微波、光缆。在进行信息数据进行传输时,前三种线路上的信息容易被截取。c.计算机操作系统的缺陷。此外,软件的缺陷也是影响网络安全的重要因素,软件的缺陷是软件具有的先天特征,无论是小程序还是大型的软件系统,都有这样那样的缺陷,目前大多数网络病毒就是以软件的形式在互联网中传播,其影响不容小觑。
3国内企业网络安全的现状
随着通讯工程和电子信息技术的快速发展,互联网已经成为当今社会不可或缺的一个组成部分,已经渗透到了经济、生活等各个领域之中。为了更好的分享、利用网络信息资源,各大企业都积极的组建和发展自己的企业网。伴随着网络的发展,各种各样的网络安全问题相继而生,网络安全隐患日益突出,引起了社会各界的广泛关注。然而,企业之间的网络硬件设施却是参差不齐的,经济实力的强弱直接决定着企业网络建设和硬件水平的高低。目前,企业网络中的具有安全防护特性的硬件设备主要有:防火墙、入侵检测系统、安全路由器和交换机。一些企业的网络建设经费可能会有些不足,对网络安全的要求只能满足其最基本的使用要求,对于企业网络硬件基础平台的安全性来说,这种投入明显是不够的。此外,企业之间的技术管理水平也存明显的高低差距,企业的经济水平直接决定了该企业在网络技术能力上的强弱,具有一定经验的网络从业者都集中在大型的企业或组织机构。中小型企业或组织机构中严重缺乏专业的技术人员。由于缺乏相应的网络安全管理制度,企业员工的网络应用水平普遍偏低,缺乏网络安全意识。对此,企业应加强员工的网络安全意识,完善网络安全管理制度,如此才能确保网络环境的安全[3]。
4网络安全技术在企业网的应用措施
4.1物理环境的安全应用措施。物理环境安全包括设备的软硬件安全,通讯线路安全,运行环境安全等等方面。通讯线路的安全的可以防止信息数据在传输的线路上被拦截或篡改,为了使信息数据传输更加的安全,可以选择安全性更高的光纤作为传输介质,防止数据被拦截或篡改。此外,对于网络的依赖性比较大的企业,一旦停电或者断电,就会对企业会造成不必要的损失,为了预防这种情况发生,企业应该安装不间断电源(UPS),避免这种情况发生。同时,网络中断也会对企业造成比较大的损失,为了确保通讯线路的畅通,企业做好冗余备份是必要的选择,冗余备份就是多准备一份或者几份,以备不时之需。如此一来,当一条通讯线路出了问题或者故障,导致网络中断时,会自动选择冗余备份的线路,以确保网络连接不被中断,避免不必要的损失。
4.2操作系统的安全应用措施。操作系统的安全性直接影响到网络的安全,由于种种原因,计算机的操作系统存在着比较多的系统漏洞(BUG)。目前大多数网络攻击就是利用BUG进行恶意攻击。为了预防这种情况发生,用户需要定期对计算机进行系统检查与修复,可以到微软官网上下载适合系统的补丁进行修复[4]。
4.3网络配置的安全应用措施。网络配置的安全应用对于企业网的安全是至关重要的,为了有效地预防网络攻击及病毒入侵,需要合理安装和设置防火墙、补丁系统、网络杀毒软件等等。此外,还要对账号密码进行有效的保护;关闭不需要的服务和端口;定期对服务器进行备份;检测系统日志。
4.4网络的安全应用措施。为了更容易的获取信息资源,大多数的企业网都与外网进行了连接,这样做在方便了自己的同时,也很可能产生一些安全隐患。比如通过聊天工具传播一些恶意软件或网络诈骗信息等。这样的安全隐患也可能是企业员工在浏览网页的过程中不经意的触发了一些不安全链接,进而带入了一些恶意软件,使企业网的数据资源失窃或被篡改。为了有效防止这种情况的发生,企业网络用户在上网时,要时刻保持警惕,不要轻易的相信来自网络中的任何信息,对任何一个要进入网络的人,都要进行必要的身份认证。面对有些需要在网络上进行共享的信息时,企业网络用户要采取一定的措施来保证信息的安全,避免信息的泄漏。此外,企业网络用户还要坚决抵制恶意网站,拒绝恶意请求,确保网络的安全应用。
中图分类号:TP3文献标识码:A文章编号:1671-7597(2009)1210053-01
一、需求分析
随着互联网应用的普及,电子商务有了实质性的进展。对于一个企业来说,产品的介绍、销售、技术服务和售后服务等越来越多地采用网络的形式来完成,最主要的优点是:方便、快捷和成本低廉。
目前小型企业往往采用在互联网络上申请主页空间或采用网络主机托管的方式,这种方式在应用上很明显有些不方便之处,所能提供的服务类型单一,并且资料数据都是放在别人的计算机上,让别人来管理。
二、系统设计
企业局域网可分为两个模块:企业互联网模块与企业局域网模块。
(一)企业互联网模块
企业互联网模块拥有与互联网的连接,同时也端接VPN与公共服务(DNS、HTTP、FTP、SMTP)信息流。企业互联网模块为内部用户提供了与互联网的连接并使用户能够通过互联网访问公共服务器上的信息,同时还为远程地点和远程工作人员提供了VPN访问能力。企业互联网模块涉及的关键设备有:SMTP服务器、DNS服务器、FTP/HTTP服务器、防火墙或防火墙路由器、第2层及以上交换机(支持专用VLAN)。
(二)企业局域网模块
企业局域网模块包含第2层及以上交换功能与所有的用户以及管理内部网服务器。
企业局域网模块包含最终用户工作站、公司内部网服务器、管理服务器和支持这些设备所需的相关基础设施、可网管的交换机等。
三、安全分析
在小型VPN网络设计中,该模块堪称为极至。VPN功能被压缩入一个机箱,但依然执行着路由选择、NAT、IDS和防火墙功能。在确定如何实施该功能时,我们可使用带防火墙和VPN功能的路由器。
四、局域网工程建设原则
1.良好的可扩充性:在组建局域网过程中首先考虑的因素是在今后5年内的可持续扩充性,需要满足当前的需求以及今后整体网络的改良和升级的需求。
2.安全可靠:中小企业网络可以采用防火墙将局域网网分成内外两个部分,从而避免内部网上核心服务器受到侵害。考虑到网络设备较多,结构较为复杂,采用同一厂商的网管软件能够对设备进行更为详尽细致的管理,增强了网络应用的可靠性。
3.性价比高:中小企业对网络建设的投入有限,因此要求建成的网络应经济实用,选购交换机设备应考虑性价比高、售后服务强的厂家;同时根据自身网络实际需要,量体裁衣。
五、软硬件功能分析
(一)路由器
就企业局域网网络而言,由于大量的数据都发生在局域网内部,对路由器的性能要求不高,因此,可以选用中低端路由器。低端路由器主要适用中小办公网络的应用,考虑的一个主要因素是端口数量,另外还要看包交换能力和NAT转换能力。中端路由器适用大中型办公网络,选用的原则也是考虑端口支持能力、包交换能力和NAT转换能力。
在这里值得进一步说明的是,如果让内部计算机直接通过路由器访问外部网络,必须做NAT转换,当并发连接较大时,做NAT转换非常占资源,最好考虑有带NAT模块的路由器或专门的NAT设备。
(二)交换机
工作组交换机采用可网管交换机,实现对每台接入计算机的控制,实现VLAN(虚拟网)的划分,确保最大限度的网络访问安全。骨干交换机采用拥有千兆端口的可网管交换机实现与中心交换机的高速连接,避免可能产生的网络瓶颈。中心交换机采用三层交换机,实现VLAN间的线速转发,并借助访问列表控制计算机接入和网络服务,搭建高安全性和可用性网络。
(三)防火墙
防火墙有软件防火墙和硬件防火墙两种。软件防火墙是安装在计算机平台的软件产品,它通过在操作系统底层工作来实现网络管理和防御功能的优化。硬件防火墙的硬件和软件都单独进行设计,有专用网络芯片处理数据包。同时,采用专门的操作系统平台,从而避免通用操作系统的安全性漏洞。并且对软硬件的特殊要求使硬件防火墙的实际带宽与理论值基本一致,有着高吞吐量、安全与速度兼顾的优点。
(四)服务器
服务器应该具备速度高、存储容量大、吞吐能力强、性能可靠、扩展性强、连网和管理功能强等特点。
WWW服务器:是网络运行的核心服务器,通常兼作域名服务器、FTP服务器。访问量大,根据企业规模大小,采用适合自己规模的服务器。一般对于800个信息点以下的企业,通常可采用支持多CPU的顶级PC服务器和低端专业服务器。
邮件服务器:可采用跟WWW服务器性能相当的服务器就行了。
OA办公服务器或内部视频会议服务器:必须根据各种系统由软件提供商来定,包括服务器档次、操作系统种类等。
数据服务器:应根据数据量的多少、数据的重要程度和访问的频繁程度,可采用带Raid功能的双硬盘服务器或专门的数据存储设备。
六、小结
中小企业在我国占大多数,随着这些企业的网络建设的完善,将会促进我国信息化的建设。
参考文献:
[1]刘远生,计算机网络安全[M].北京:清华大学出版社,2006.
[2]张敏波、孙艳、阮智斌,中小型企业网络组建[M].北京:电子工业出版社,2006.
[3]王晓军、张志青,计算机网络技术[M].北京:人民邮电出版社,2008.
二、行业分析
(一)企业上网的紧迫性
对于中国的企业来说,企业网的来临可谓恰逢其时。随着中国向混合市场经济的加速发展,中国各行各业的公司企业都在积极准备迎接国内外市场中日益激烈的竞争形势。这些公司深知:如果想在这个白热化的市场竞争中获得成功,就必须最大限度地提高企业生产力和降低生产成本。因此,各大企业都迫切需要建立自己的信息技术基础设施,以便将分散在各地的业务部门联系在一起并加快整个企业内部的信息交流和服务速度,从而加强自己在市场中的竞争优势。
(二)、企业上网的需求
企业网络信息系统建设应该以用户的需求为着眼点。目前,随着网络技术的飞速发展和应用水平的逐步提高,企业用户的需求,主要体现为:
(1)先进性,要求网络采用先进的技术,以保证整个企业网络系统在技术上的先进性;
(2)稳定性与可靠性,要求网络高度稳定、可靠,这是网络建设成功的关键,而高度稳定、可靠的网络系统有利于维护和管理,可减少网络系统的拥有成本;
(3)高性能,要求网络系统具有高性能,以满足计算机网络系统运行大量关键业务(如项目设计、项目管理、CAD、OA、MIS、ERP及多媒体应用等)的需要;
(4)vlan划分的灵活性,因为网络系统站点数和运行的应用都在增多,所以要求网络平台具有灵活的虚网(VLAN)划分能力;
(5)由于网络系统可能要传输多媒体信息,因此要求网络平台具有良好的服务质量和较小的延迟;
(6)要求网络平台具有良好的易管理性,减少运行、维护及管理成本;
(7)要求选择具有良好发展前景的网络厂商的产品,这样才能保证平台具有良好的售后服务、投资保护,更为关键的是能够保证网络系统持久的先进性。
三、企业网络主干技术选择:
企业局域网络技术的选择主要是主干技术的选择,现今适合作局域网络主干技术的主要有千兆以太网及ATM两种。
千兆以太网是网络界公认的技术发展方向之一,它是对成功的10M和100MIEEE802.3以太网标准的扩展,仍然沿用以太网IEEE802.3帧格式,全双工操作和流控制方法。在半双工模式下,千兆以太网使用同样的CSMA/CD访问方法来解决媒体的通信竞争问题,并使用由IEEE802.3小组定义的同样的管理对象。概括起来,千兆以太网的优点在于:网络技术可靠,易于管理,具有可伸缩性,且它相对于ATM的价格水平要低得多;缺点为部分标准不统一。
ATM规定各种类型的服务(声音、图像、数据)信息都由大小固定的53字节的信元进行传输。ATM优点为:支持线路交换和分组交换;对广域网和局域网采用相同的技术;在普通线路上同时传输视频、语音和数据;对多种业务可保证服务质量,按需分配带宽。缺点为:管理和维护复杂;基于ATM的应用较少;ATM产品相对于以太网产品价格昂贵;部分标准不统一。
千兆以太网能与桌面的以太网和快速以太网无缝衔接,因为他们采用的协议是相同的。ATM网络与以太网共存时,需在帧和信元之间进行转换。在企业园区网,90%的应用都是基于以太网或快速以太网的,千兆以太网以其从以太网及快速以太网升级方便、易管理和低廉的价格使ATM举步维艰,ATM的传统优势如传输多媒体和传输的距离长也日渐逊色。千兆以太网支持资源预留协议(RSVP)、IEEE802.3、IEEE802.1Q、Irecedence、独立组播路由协议(PIM)、国际互联网成组管理协议(IGMP)等,这就使得千兆以太网传输多媒体成为可能,已有厂家的千兆以太网产品传输距离超过100公里。因此建议,企业园区网在主要传输数据的情况下,应选择千兆以太网作主干技术。
四、企业网络构架的基本方案
企业网中大部分是中小企业,中小型企业最大的特点是小规模与高效率的结合。他们往往不拥有完备的信息技术部门,但是网络应用对他们同样关键。因此,中小企业需要量身定做的解决方案。面对这一情况,上海广电应确信公司针对不同规模企业,推出了一系列解决方案,以帮助中小企业提升其竞争力。
4.1基本网络方案简述
根据企业网站可提供的内容和它的实际应用情况,企业上网可分为两部分,一部分是实现各企业部门内部办公功能的内部网,即Intranet。另一部分是各企业部门网站在Internet上信息与交流的外部网。
一旦企业建立了Intranet,就可用它来信息、增强企业的通信能力、建立合作的环境。有些应用很简单,只是用HTML语言建立内部的环球网服务器信息;有些应用较复杂,需要连接数据库。下面列出一些Intranet的应用: 销售报告、财务报告、客户信息、季度统计、厂商信息、产品信息、市场信息小册子、产品开发信息、物资和元部件目录、仓库信息、网络管理、资产管理、新闻组、电子邮件、培训。
4.2具体方案实施:
按照网络的规模可具体划分为以下几个方案:
(1)小型企业信息系统方案:通常指在20-30个工作站以内的小型办公室(办公环境较集中)网络环境的方案。
(2)中型企业信息系统方案:即指在30个工作站以上的中型办公园区(办公环境较分散,距离教远)网络环境的方案。
(3)大型企业信息系统方案:即指在超过几百个工作站以上的大型办公园区并有外地分支机构网络环境的方案。
4.2.1小型企业信息系统方案
小企业办公室网络,相对于大、中型企业网络,可以说是麻雀虽小,五脏俱全,同样有着文件共享、打印共享、电子邮件、财务管理、库房管理、Web等大型网络所具有的需求。
由于小型企业网络站点数较少,而且联网的站点较集中(例如,在一幢楼内)。因此,结构化布线时就可以只采用双绞线就足够了,每个站点(计算机)与集线器或交换机之间的距离不能超过100米。
方案说明
网络配置:中心选用InfiniteSwitch5024机架型快速以太网交换机(24口10/100M自适应以太网交换机),采用10/100M自适应端口连接服务器及工作站。针对小型企业用户我们推出桌面型硬件安全设备I1102,嵌入式的硬件安全架构,使其性价比很高。简单配置的防火墙安全规则,方便客户应用。同时可以作为DHCP服务器,具有本地路由器功能,支持以太网方式/CABLEMODEM/ADSL等方式接入INTERNET,方便的实现共享上网。
方案特点:
(1) 性价比高;在方案中,没有使用很多高端的设备,但已经完全可以满足小型企业网络的需求。
(2)功能齐全;提供了文件共享、打印共享、电子邮件、电子公告、库房管理、远程办公、工资管理、财务分析、采购管理、资金管理、库存管理、销售管理等较齐全的功能,很适合于小型企业网络环境。
(3)安全性高;采用InfiniteSwitch5024智能以太网交换机交换机,可以将单一的局域网划分为多个相对独立、互不干扰的VLAN(虚拟子网),可以方便地控制不同部门对某些资源的访问权限,并能够缩小广播域,减少不必要的带宽占用,有效提高网络的安全性和性能。I1102通过IP过滤提供防火墙功能。可以对IP地址、端口号、协议种类等进行设置并加以控制。
5.2.2中型企业信息系统方案
由于中型企业办公环境较分散,距离教远,对网络的性能要求较高(数据交换的安全性,设备运行的可靠性,网络管理的全面性),对网络的速度亦有提高。同时,每个网段最长只能100米的有效距离的双绞线传输介质已经不能满足中型企业网络的使用需求,有时必须使用多模光纤或单模光纤做为布线时所采用的传输线缆,使得有效传输距离能够延伸至2公里(多模光纤)或更远(单模光纤)。
方案说明
中心选用InfiniteSwitch5000系列交换机,根据用户数量及功能要求选用IS5048/5024/5024s .为了保护企业内部网络的安全,在接入Internet时采用上海广电应确信的防火墙I91XX,可以防止来自外部的非法的、恶意的攻击。
由于中型企业办公环境较分散,距离教远,则在中心交换机上配置100Base-FX或1000Base-LX/SX光纤模块.企业内部采用SVAI91XX通过DDN、FrameRlay、X.25等广域网专线接入Internet,提供安全、快捷、简便的企业外部网站方案。I91XX适用于中小型企业用户,利用CheckPoint软件及其OEC合作伙伴构成顶级配置,为用户提供一个完整的网络安全解决方案。
应用二:
方案说明
对于一个中型企业,如果公司内部有较多的部门,位置比较分散,而且相互之间要独立的工作,对于用户的访问权限可以限制(如要求划分vlan),所有的部门通过公司的网络中心的一台三层交换机来接入internet,采用SVAHammerHead9300/9500/9800来对进行对网络的安全进行保护。对于一些移动用户可以采用无线接入设备(2020/1011/1001)来连入企业内部网及上INTERNET.
在公司的各个部门中采用的交换机均支持vlan的划分,根据每个部门的规划及距离网络中心的远近采用100MUTP或者100/1000M光纤接入。随着员工数的增多,可以利用5024S/5024S 堆叠来扩展网络,5024S/5024S 最多分别可堆叠至4台/16台,因此网络有很好的扩展性及可管理性。
接入internet可以采用多种方式,通过TN/ISDN/DDN线路等多种方式,用户可能根据需要来实现企业网接入公用网。
中型企业方案特点:
(1)较充分发挥了Internet/Intranet应用的特性
除了传统的文件共享、打印共享等功能外,电子邮件、Web、电子公告、库房管理、远程办公等功能都是基于Internet/Intranet应用实现的。使得整个网络系统充分发挥了Internet/Intranet应用的跨平台、与硬件无关、标准统一等特点,使得中小型企业可以与外界透明地通讯。
(2)维护小、投入少
中型企业网络系统使用了较少的高端产品,投入少而功能齐。由于使用了Internet/Intranet结构构造中小办公室网络系统,使得网络结构更加Client/Server化,作为网络的管理维护,只需对Server端进行维护工作,对Client的维护工作大大减少,所以总体上也就大大减少了维护工作量,并节省了投资。
(4)提高工作效率、节省开支。
在此方案中,提供了电子邮件、电子公告、Web等实用、快捷的功能,大大提高了企业的办公效率。同时提供了网络内用户对Internet的透明访问,使企业内部可以充分利用Internet这个巨大的信息资源,更加提高了企业的办公效率和资源利用。
5.2.3大型企业信息系统方案
大型企业办公环境即指在超过几百个工作站以上的大型办公园区并有外地分支机构网络环境。对网络的性能要求很高,同时对网络的速 度亦有很高的要求。大型企业网支持各种网络功能,能够通过广域网接口实现Internet接入,建立企业主页,为园区用户提供E-mail电子邮件、WWW、FTP服务,同时支持网络管理和电子信息的存储、访问管理。推荐采用局域网专线接入方式,此方式需要配备接入路由器,防火墙等网络设备,租用电信部门的专线并向CERNET管理部门申请IP地址及注册域名。接入路由器可以通过DDN专线、FrameRelay等与Internet相连。还可以按照需要组合配置多种WAN广域网端口模块,提供宽带、QoS保证的远程多媒体服务。为了保证企业网的安全,方案中提供SVAHammerHead9000安全平台,SVAHammerHead9000系列是业界唯一模块化网络安全平台和应用系统,在单一的设备上集成了路由、防火墙、入侵检测、V、LAN连接和其他安全应用,为用户提供可扩容及可靠的网络安全整体解决方案。
在布线上,除了采用多模或单模光纤之外,甚至还需要从电信部门租用DDN、帧中继、X.25、ISDN等专线,或者利用无线微波方式进行远距离连接。
方案说明
在网络中心选择上海广电应确信的InfiniteSwitch7508三层交换机和5024交换机。在各分部门或者分公司根据信息点数选择InfiniteSwitch4000/5000系列交换机。
在网络中心的核心层配置的InfiniteSwitch7508G第三层交换机,可完成高带宽、大容量网络层路由交换功能交换,是一种功能强大的企业网主干交换机,使网络管理者能方便的监督和管理网络,同时,又能将主干网带宽提升到千兆速度,InfiniteSwitch7000/7500系列是可网管的,高端口密度,配置灵活的高性能路由交换机。提供7个扩展插槽,22G交换背板上。网络管理员能够随时通过任意一个端口配置以上功能,以消除传统路由器的瓶颈,设置优先级给不同类型的网络传输及保证某些应用的流量带宽,如视频传输。
InfiniteSwitch7508G提供了广泛的管理选择,包括HPOpenView和其他的MP管理系统,或者InfiniteSwitch7508G自己提供的网络管理系统。InfiniteSwitch7508G提供到与InfiniteSwitch4000/5000系列以太网交换机、防火墙和服务器群(其中包括主域服务器、备份域服务器、文件服务器、数据库服务器、应用服务器、WWW服务器等)、网管终端的高速连接,重要的服务器及主干链路均可采用千兆模块进行生成树(aingTree)冗余链路连接。
接入层交换机,在本方案设计中,为了保证网络的高性能,可采用InfiniteSwitch 4000/5000系列智能以太网交换机,根据具体实际需求,接入层交换机可选用InfiniteSwitch4024/4032/5024/5024s/5048交换机。
在方案中的防火墙,选用SVAHammerHead9300.HammerHead9300是3插槽机箱式的安全平台,用户可以根据需求选择服务器、交换机、路由器等模块。SVAHammerHead9000的多种应用模块能支持Linux,HP/UX,DUNIX,WindowT和Suolaris等系统,它能为用户提供防火墙保护、入侵侦测、身份认证、安全报告、内容安全、高可靠性。SVAHammerHead9000的有多种网络模块,它可支持多种的LAN/WAN互连,包括:Frame、ISDN、ATM、以太网。实现完整的一体化的网络安全解决方案。
方案特点:
1、高性能;网络中采用了第三层交换机,第三层交换不仅拥有高速的交换功能,同时也具有全部的第三层控制功能,可以对流量基于IP地址、IP的协议类型、以及TCP/UDP的端口进行交换控制,从而在提高网络处理效率的同时,保障了VLAN之间通讯的安全性。
2、可扩展性;网络设计具有层次结构,用户能灵活地接入到相应的层次当中。可扩展的网络接口。
3、灵活性;适当的建立VLAN,方便地理位置不同的用户的网络连接.
4、安全性;VLAN的建立,可以控制广播和应用的信息流动,从而防止用户非法在网络上截获其它用户或它们的资源。HammerHead9000网络安全产品保护企业内部资源,防止外部入侵,控制和监督外部用户对企业内部网的访问;控制、监督和管理企业内部对外部Internet的访问。
5、层次化、模块化;本网络设计的特点为层次化、模块化设计。
6、优良的性价比
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 11-0000-01
Talking on How to Build Enterprise Intranet Security System
Chen Kankan
(Fuzhou Local Taxation Bureau Foreign Tax Bureau,Fuzhou350000,China)
Abstract:At present,China has been into the Internet age,is inseparable from development and construction of network system.However,because too many companies rely on network functions,and ignore the network environment information system operating risks,resulting in unnecessary losses.This will be the construction of corporate Intranetsecurity risks and protection system of the establishment of strategies to analyze and explain the problem to improve network efficiency and security applications.
Keywords:Enterprise;Intranet;Security
随着商业竞争全球化的发展趋势,企业若想得到长远发展,必须不断拓展业务并提高客户满意度,同时加强对运营成本的控制。随着信息化时代的到来,很多企业依赖网络开拓市场,加强与客户、合作商之间的沟通效率。但是应该认识到,电子商务作为一把双刃剑,既给企业带来发展便利、提高综合竞争力,同时也给企业内部及外部带来安全隐患,甚至对企业发展产生不利,对企业的运营成本、盈利水平及客户满意度等均产生负面影响。
一、网络环境下企业发展面临的安全隐患
(一)物理环境影响。在物理环境中,涉及到计算机硬件、网络设备、数据安全等问题,其中对企业网络安全产生影响的主要因素为:辐射、静电、硬件故障、自然灾害等,以及偷窃、盗用等人为因素。另外,除了光缆以外的通信介质都存在不同程度的电磁辐射,而计算机入侵者就可以通过利用电磁辐射,对各种协议分析仪或者信道检测器等窃听,通过对信息的分析,能轻易得到用户口令、账号、ID等重要安全信息。
(二)黑客攻击与非法入侵。黑客通过非法入侵及恶意攻击等行为,对企业用户的网络使用及商务活动产生破坏。黑客已经成为当前互联网业务以及企业辅助工作中最严重的安全问题之一。黑客攻击与非法入侵主要对企业产生以下影响:组织计算机系统的正常使用;通过向企业发送垃圾信息,堵塞网络正常通信;植入木马等病毒,并对企业重要数据进行监控、复制、删除或者毁坏。无论是出于什么目的的黑客入侵,最终都可能导致企业无法正常工作、数据损坏等问题。
(三)网络协议安全隐患。网络协议中多采用tcp/ip协议,目前设计的目标是互联、互通与互操作,而缺乏对安全的重视,同时由于网络处于完全公开状况下,造成协议中存在诸多安全隐患。
二、构建企业网络安全防护体系的有效策略
(一)加强防火墙技术。防火墙主要由硬件设备与软件设备组合而成,是企业或者网络计算机与外界沟通的渠道,对于外部用户对内部网络的访问产生限制,并对内部用户的访问网络权利实现管理。防火墙主要分为内部防火墙与外部防火墙两部分,其中内部防火墙用于控制内部各部门的子网之间通信安全;外部防火墙则用于隔离外部网络与内部网络,又是沟通内部网络与外部网络的通信桥梁。
另外,放置防火墙的位置也十分重要,一般建议使用出口路由器替换防火墙,可在路由形式下开展工作,以实现出口网关工作模式。这种模式可有效确保内部开放服务器与路由器自身安全,并将内部开放服务集中在DMZ区的隔离,在规则配置方面则实现差异化配置,简化了网络拓扑,便于及时监测网络故障。
(二)重视网络安全预警。在现代化企业网络安全预警系统中,主要分为入侵预警与病毒预警。一方面,入侵预警系统中的入侵检查工作可对网络传输数据的授权进行确认,如果检测到入侵信号,将会及时发出警报,避免网络威胁问题产生。通过入侵预警系统,可以对网络、系统等实现扫描,并综合实时监控与防火墙产生的安全数据,提供内部网络与外部网络的实时分析,对发现的风险源产生直接响应,并提供企业网络安全风险管理报告,报告中应包含实时风险、安全漏洞、攻击条件等内容的分析。通过入侵告警报告,可对入侵信息起到提示作用,并分析入侵趋势,最终确定网络是否在安全环境下运行。另一方面,病毒预警系统可对网络发出的数据包实现全天24小时监控及持续扫描,一旦发现病毒立即发出报警信号,通知网络管理人员,并通过IP地址定位及端口定位等手段跟踪病毒来源,同时产生扫描日志和报告,实现网络病毒跟踪。
(三)强化入侵防御系统(IPS)。入侵防御系统(IPS)通过深度感知及监测数据流量,可实现对恶意攻击的阻断,对滥用报文现象限流,以确保网络带宽资源,如果发现攻击行为,立即发出响应,主动切断连接。在部署形式上,IPS主要以串联方式接入,当监测到攻击时,会在攻击扩散到网络之前阻止,及时终止通信。因此,IPS技术更符合企业内网安全建设。
(四)充分利用数字加密与数字签名。由于网络安全很难做到完全控制,因此在企业内网中可采用一系列加密手段,尤其对重要文件实现加密存储,如重要邮件的发送及文件传输等,也可实现文件加密或者数字签名,以确保数据安全性。数据加密技术是当前保护数据传输安全与存储安全的有效方法之一,可实现对内网数据、口令、文件及控制信息的保护,避免信息被非法用户阅读、操作或者修改,防止非授权用户入网。
(五)定期备份数据。在企业网络安全防护体系中,应按照规定及时采取定期备份数据处理,完善应用程序与系统软件,并对备份的存储介质加强安全保护。一般数据应采取每天备份的形式,而应用程序与系统软件由于一般变化不大,可每周或者每月进行备份。对于整个企业网络系统的备份频率主要由信息系统读写与修改的情况决定。如果计算机系统中的操作参数或者安全控制参数等发生改变,应对整个系统进行重新备份。对于已经备份好的资料应注意维护与保存,内部审计师也应加强对其存放的检查工作,并对存放场所的安全可靠性进行评价。
由上可见,企业通过网络安全防护体系的建立,提高安全防范意识,有效保障信息系统运行的稳定性、可靠性、完整性,确保数据传输在快捷、安全的环境下运行,同时企业网络系统安全性的提高,也需要管理人员及用户等多方面的努力,主观因素与客观因素缺一不可。
参考文献:
[1]别玉玉.企业网络安全防护策略之"人工层"策略[J].硅谷,2010,17
[2]孙乐.某科技企业网络防病毒系统的设计与实施[J].北京邮电大学:软件工程,2008
计算机网络人才的社会需求现状
网络技术的发展、网络应用的普及呈现出高速的增长态势,使得现代社会网络无处不在,网络在国民经济中的重要性日益凸现。近几年软件、互联网、电子商务行业的迅猛发展,职位需求有所增多,网络基础技能人才出现紧缺。据统计,市场对新型网络人才的需求高涨不下,而实际拥有量却有不足,网络人才的极度短缺已经成为阻碍社会信息化推进的瓶颈。国家信息部统计显示:今后几年,中国从事网络建设、网络应用和网络服务的新型网络人才需求将超过百万人,而现有符合新型网络人才要求的人才还不足20万。
我国的IT事业正在不断的做大,不可避免的会出现人才缺乏的局面。重大IT以计算机相关专业为重点,急需职业院校为国家培养具有全球视野,掌握国际先进IT技术的网络布线工程师、网络工程师。从调查结果看,在我国,IT人才队伍还存在严重的结构失衡,呈现两头小、中间大的“橄榄形”分布,“两头”短缺:既缺高级IT人才,包括复合型高级管理人才和高级技术人才,更缺技能型、应用型信息技术人才即“IT蓝领”——大量能从事基础性工作的网络技能型、应用型人才。因此基础扎实,有一技之长的中职学校计算机网络专业人才,就业市场广阔。
中职学校计算机网络专业的教学和课程设置现状
目前很多中职学校在计算机网络专业教学上存在着这样一些问题:教学计划和课程的设置不合理,专业方向与社会需求结合不紧,学生技能水平不高,无一技之长等。因此,目前在中职学校中大多数计算机网络专业教学已和社会需求脱节,必须根据市场及行业特点进行修正,加强市场需要的网络专业技能培养,改变单一的结构,向网络专门化和行业化方向发展。
反思职业学校现行的人才培养模式、专业设置与课程开发,明显落后于职业岗位的技能发展需要,严重脱离市场需求。学校应该以企业需求为基本依据,以就业为导向,为每一个学生提供适应企业市场需要和有职业发展前景的、模块化的学习资源。采用“大专业、小专门化”的课程组织模式,用本专业职业能力结构中通用部分构筑能力平台,用灵活的模块化课程结构和学分制管理制度满足学生的不同需要。要确定一套灵活的、符合市场需求的计算机专业课程设置,应从企业岗位调研——>岗位技能分析——>确定专业方向——>专业课程设置——>制定教学计划——>搭建就业平台。
中职学校计算机网络专业校企合作的背景
我校做为省人民政府批准建立的全日制财经普通中等专业学校,致力于在人才培养模式与课程体系改革、校企合作、工学结合运行机制建设方面进行改革。希望能够通过校企合作模式,加强计算机网络技术专业方向建设。通过获取行业企业用人需求,构建与行业企业零距离对接的职业课程体系,率先开创更加实用高效的中职人才培养模式,在该专业成为同行业的示范。
锐捷网络做为引领技术和产品发展趋势的网络设备厂商,掌握先进的网络技术,了解行业对于网络专业人才的需求,有广泛的行业客户群、近千家设备销售和服务渠道。同时,有着成熟的行业人才培养体系。锐捷网络愿意帮助院校客户建立更加贴近企业用人需求的人才培养体系。希望在教育行业寻找有着先进办学理念的院校深度合作,通过与院校开展深入校企合作,将先进的人才培养理念与学校共享,共同培养人才,满足行业合作伙伴及用人的需求,同时打造锐捷网络精英人才培养解决方案的全国样板。
中职学校计算机网络专业校企合作范围
基于中职院校计算机特色专业建设的要求,双方的合作,以人才培养模式改革为基础,通过调研行业企业的用人需求,对中职计算机网络类学生适合的职业、岗位及所需匹配的能力、素养要求进行梳理,制定相应的人才培养方案与课程体系规划、师资队伍建设方案、校企合作、工学结合运行机制建设方案、配套所需的硬件设备资源等。
在人才培养模式方面,双方以锐捷CPPI人才培养模式合作为基础,从职业技术、职业素养、岗位技能、行业应用四个方面综合培养学生的能力。通过建设核心职业技术课程,夯实学生必备的的职业技术基础;通过开展综合实训,提升学生的职业素养、岗位技能、行业应用能力,以提升就业能力。
在校企合作内容方面,基于工作过程进行课程开发并设计教学过程;通过组织教师参加专业培训、参与企业项目、到企业实践培养双师与骨干教师;以帮助人才培养模式更好的落地为目标,探索校企合作、工学结合运行的创新机制。
中职学校计算机网络专业校企合作内容
1. 人才培养模式与课程体系改革合作
合作目标:经过调研,计算机网络类的中职毕业生,走上社会后以“计算机网络类管理人员”、“网络工程实施类人员”为主要就业方向;社会对于“网络管人员”、“网络工程师”的职业技能要求,以“局域网组建”和“企业网络安全管理与维护”为核心技术要求。为了实现上述人才培养目标,学校需要建立起相关方面的核心职业技术课程,以满足网络类人才培养的职业技术需要。同时,根据CPPI人才培养理念及社会用人需求,为了提升学生的综合就业能力,开发贴近用人需求的配套实训课程,提升学生的综合就业能力。
合作内容:邀请行业企业专家共同构建该专业人才培养方案
1) 共同规划建设,2门校级精品课程,1门专业核心课程。
建设以“局域网组建与管理”、“企业网络安全与维护”课程做为校级精品课程;建设将“构建中小型企业网实训”课程做为专业核心课程
2)共同完成 “工学结合”特色校本教材的编写。
完成精品课与核心课的教学资源建设:课程建设PPT课件开发;课程建设电子资料开发:电子教案、课程大纲、模拟试题等;课程建设视频开发。
3) 师资队伍建设合作
合作目标:培养骨干教师与专业带头人。使教师可以独立胜任《局域网组建与管理》、《企业网络安全与维护》、《构建中小型企业网实训》课程的授课任务;胜任讲授锐捷系列职业认证课程及组织和培训学生参加职业技术认证考试并获得证书。
2. 培养双师素质教师
使教师同时具有教师工作经验和工程师工作经验、同时具备讲授课程和开发课程的能力,使骨干教师成为真正的双师。
聘请企业专家作为专业兼职教师实施“传、帮、带”,提升教师队伍的整体实践经验,改善教师结构;丰富课程体系,落地人才培养方案,开辟第二课堂。
外派专业教师通过参加企业岗位锻炼和课程开发项目,教师可以在锐捷网络及其合作伙伴参加挂职锻炼。
聘请企业工程师到学校实施《企业网综合实战》实训专场,校企联合建立竞赛人才培养模式,提升教师与学生的技能竞赛经验与能力,聘请企业专家与工程师作为兼职教师到学校参与教学。
中职学校计算机网络专业学生就业方向
通过锐捷网络大学合作建立校企合作、工学结合运行机制。成立“锐捷网络学院”,向在校学生提供锐捷职业认证培训服务。建立锐捷“授权培训基地”,向行业用户提供技术培训服务。
加入锐捷人才供需联盟,为学生提供实习就业机会,联盟致力于人才的培养、应用和发展。通过先进的人才培养方案,为社会输送更加贴近需要的网络精英人才;通过便捷的人才交流平台,为联盟成员提供高效的人才交流服务,降低招聘和求职的成本。通过为学生提供对口的的面试机会,为更多的网络类学生敲开了网络工程师的就业之门,也为企业提供了优秀的毕业生。
结束语
职业学校计算机网络专业教育教学是一项复杂的系统工程,教学改革是一项长期而艰巨的任务,只要我们在教学实践中不断探索,不断总结,中职计算机专业的教学改革就一定能结出丰硕果实,一定能为社会培养出企业急需的计算机网络“蓝领”或“灰领”人才。
参考文献:
[1]锐捷网络大学————校企合作.