时间:2023-06-07 09:02:48
序论:速发表网结合其深厚的文秘经验,特别为您筛选了11篇企业网络设计与实现范文。如果您需要更多原创资料,欢迎随时与我们的客服老师联系,希望您能从中汲取灵感和知识!
企业网络构架现在已经从以往单一的数据交换发展到综合智能化一体的信息化网络计划,我国企业的网络构架及安全部署现在已经发展了几十年,但是,与西方发达国家相比,我国企业的网络构架及安全部署还存在很大的差距。目前,我国企业已经意识到网络构架及安全部署的重要性,主要是由于企业网络构架对于企业的生产、管理和物流等环节都具有较大的支持作用。企业的管理层对网络构架的设计思想主要反映出企业利用资源的能力,从而保证企业的网络构架是其业务水平的重要保障。我国现在很多企业对网络构架及安全部署的要求越来越高,但是我国企业的网络构架还无法满足现代企业网络构架的高要求。因此,我国企业网络构架及安全部署的不足严重制约了我国企业的长远发展。
2企业网络架构安全部署设计与实现
2.1 网络架构设计思想及原则
我国企业网络架构设计主要是为了实现将不同位置的计算机网络进行互通,这也是企业实现网络构架的基本要求。随着我国企业数据业务的不断发展和改进,企业网络构架的设计要求也变得更高,因而需要从简单的网络构架中设计出服务性更强的网络构架,并且不断向应用型网络构架转变。因此,企业网络构架的设计者在进行网络构架设计时应该充分考虑企业的各种业务需求,以保证企业的网络构架能够满足其长远的发展,从而为企业提供更加方便的管理平台,这也是企业网络构架及安全部署设计的基本思想和原则。
2.2 企业网络架构的实现
当网络构架的基本设计完成后,就应该对设计的模型进行部署和实现,从而使得企业能够更加实际地了解企业的网络构架。
企业网络构架实现的过程一般包括以下几个方面:1)规划企业的IP地址空间范围;2)部署和实现企业核心层的网络构架;3)在核心网络构架的基础上对下层的网络构架进行设计。当然,企业的网络构架的设计一般应该遵循规范性、标准性、连续性和灵活性等原则。
3企业网络构架的故障分析及解决方案
3.1 网络冗余双机部署中的故障
现在,网络设备双机部署过程中,由于路由的配置等技术相对比较成熟,一般不会出现故障和问题。但是,其企业网络构架中防火墙的双机构架的设计和部署时,会出现很多疑难问题。目前,解决这些疑难问题的方法主要包括以下两种:1)移除防火墙之间的交叉冗余链路,同时更改两台防火墙上相同路由开销值,这样可以保证在主防火墙出现故障后,其他防火墙可以安全使用。这种方案可以解决故障,但也存在一定的弊病,主要是指数据负载在主设备上,备用设备一般是出于闲置状态,只有出现故障时才切换到备用设备机;2)采取措施将主防火墙的全部会话列表与备用设备同步,从而使备用设备保持与主设备的防火墙会话列表一致。即使出现数据访问不一致的情况,主设备也不会导致数据发生故障,从而造成多个设备处于故障状态。当然,防火墙会话同步的设计现在已经成为基于会话状态防火墙的解决网络冗余双机部署中故障重要手段和措施。
3.2 网络QOS保障
QOS保障是企业在进行网络构架及安全部署的设计与实现的过程中,对特殊数据进行带宽处理,以实现优先保证的一种有效途径。但是,语音和视频在网络传输的过程中对带宽的延时和抖动的要求比较高,因而需要考虑企业网络分子结构广域网带宽的影响,然后根据流量分析,在带宽能够满足一定要求的情况下,保证视频和语音数据的传输更加顺畅。当然,企业网络架构及安全部署的设计和实现过程中,分支网络构架中的语音和视频数据需要经过各自的核心路由,这样的企业网络构架需要保障企业的语音和视频在网络分子上得到一定的保证。然而,在实际的网络构架部署过程中,由于企业的业务不断增加和网络分支的不断扩展,广域网的数据量也增大,因此,采用QOS来对数据进行保障显得至关重要。
3.3 网络访问安全控制
随着社会经济的快速发展,计算机信息技术介入人们生活的方方面面。企业网络的信息安全策略是涵盖多方面的,既有管理安全,也有技术安全,既有物理安全策略,也有网络安全策略。企业网络应实现科学的安全管理模式,结合网络设备功能的不同对整体网络进行有效分区,可分为专网区、服务器区以及内网公共区,并部署入侵检测系统与防火墙系统,对内部用户威胁到网络安全的行为进行阻断。下面着重阐述企业信息系统的网络层安全策略:
一、企业网络设备安全策略分析
随着网络安全形势的日趋严峻,不断有新的攻击手段被发现,而这些手段的攻击目标也已经从用户终端、服务器厌延展至交换机、路由器等硬件设施。而交换机与路由器属于网络核心层的重点设备,如果这些设备退出服务,企业信息系统网络安全便会面临很大的威胁。由此本文给出以下的网络设备安全策略。
最大化地关闭网络交换机上的服务种类。尤其是不经常使用的服务更应关闭,举例来讲:交换机的邻居发现服务CDP,其功能是辨认一个网络端口连接到哪一个另外的网络端口,邻居发现服务锁发出和接收的数据包很容易暴露用户终端的属性信息,包括交换机端口与用户终端的IP信息,网络交换机的型号与版本信息,本地虚拟局域网属性等。因此,本文建议在不常使用此服务的情况下,应该关闭邻居发现服务。另外,一些同样不常使用的服务,包括交换机自举服务、文件传输服务、简单文件传输服务、网络时间同步服务、查询用户情况服务、简单网络管理服务、源路径路由服务、ARP服务等等。
企业信息系统的网管往往以Telnet协议实现对全网所有交换机、路由器的配置与管理。众所周知,此协议使用的是明文传输模式,因此在信息安全方面不输于非常可靠的协议。入侵者只要以抓包软件便能够轻易得知网管的登录ID与密码,以抓包软件同样能够获取网络管理员发出、受到的全部数据。所以在网络管理中,应引入安全性能更高的协议,本文推荐SSH(Secure Shell Client)协议。这种协议借助RSA生成安全性能极高的签名证书,通过该证书,全部以SSH协议进行传输的数据包都被良好加密。此外VTP 的安全使用也是一个应该得到重视的问题,VTP应配置强口令。
二、企业信息系统网络端口安全策略
由于大部分企业网络的终端均以网络交换机在接入层连入网络,而网络交换机属于工作在ISO第二层的设备,当前有不少以第二层为目标的非法攻击行为,为网络带来了不容忽视的安全威胁。
二层网络交换机使用的数据转发方式是以CAM表为基础的。在网络交换机加点之后,首选会清空CAM 表,并立即启动数据帧源地址学习,并将这些信息存入交换机CAM表中。这时候,加入非法入侵者通过伪造自身的MAC地址并不停地发出数据帧结构,便很容易导致网络交换机CAM表溢出,服务失效。而此时便会导致该MAC的流量向交换机其他端口转发,为非法入侵者提供网络窃听的机会,很容易造成攻击风险。本文所推荐的策略是:网络交换机的端口安全维护应随时打开;在交换机配置中设置其学习MAC地址的最大数目为1;设置网络交换机能够存储其学习到的全部MAC地址;一旦网络交换机的安全保护被触发,则丢弃全部MAC 地址的流量,发送告警信息。对网络交换机进行以上的配置,一方面能够防止基于交换机MAC地址的泛洪攻击,另一方面也能对网络内部的合法地址做好记录。
在成功阻止未知MAC地址接入的基础上,还应阻止来自已知地址的攻击。本文推荐基于MAC限流的策略,这是由于网络交换机不必向所有端口广播未知帧,因此可以对未知帧进行阻止,增强网络交换机安全性。
三、企业信息系统网络BPDU防护策略
一般情况下,企业的内部网络往往以网络交换机作为网络拓扑的支撑,因为考虑到交换机通道的沟通,加之系统冷、热备份的出发点,在企业网络中是存在第二层环路的,这就容易引发多个帧副本的出现,甚至引起基于第二层的数据包广播风暴,为了避免此种情况的发生,企业网络往往引入了STP协议。而这种协议的效果则取决于交换机共享的BPDU信息。这就为一些攻击者提供了机会,通过假冒优先级低的BPDU数据包,攻击者向二层网络交换机发送。由于这种情况下入侵检测系统与网络防火墙均无法生效,就导致攻击者能够方便地获取网络信息。可以采用的防范措施为:在二层网络交换机启用BPDU过滤器模块。该模块能够控制此端口,使其对BPDU数据包不进行任何处理,加入收到此种类型的数据包,该端口将会自动设置为“服务停止”。在此基础上,在根交换机上引入链路监控体系。一旦该交换机设备检测到优先级更高的 BPDU数据包,则发出“失效”的消息,及时阻塞端口。
四、企业信息系统网络Spoof防护策略
在企业内部网络中,往往有着大量的终端机,出于安全性与可靠性的考虑,这些终端机均以动态主机设置协议获得自身的IP地址。这就为Spoof 攻击留下了机会。在这种攻击中,非法入侵者会将自身假冒动态主机设置协议服务器,同时向用户主机发出假冒的动态IP配置数据包,导致用户无法获取真实IP,不能联网。可以采用的防范措施为:引入动态主机设置协议Snooping 策略。在二层网络交换机上安装Snooping模块并激活,系统便会把设备的全部可用端口设置为untrust 接口。这种接口能够收到消息,并丢弃假冒的动态IP配置数据包,从而防止Spoof 攻击带来的风险。
考虑到地址解析协议在安全方面的防范性不足,加入非法入侵者不断地发出ARP数据包,便容易导致全部用户终端的ARP表退出服务,除去静态绑定IP与MAC之外,本文推荐动态ARP监测策略。此种策略会将交换机全部端口设置为untrust状态。此种状态之下,端口将无法发出ARP的响应,因此,党用户主机染毒时,其发出的假冒ARP数据包将由于与列表不匹配而被丢弃,系统安全得到了保障。
五、结束语
中图分类号:TP311 文献标识码:A 文章编号:1674-7712 (2013) 04-0069-01
一、企业网络安全防护信息管理系统的构建意义
据调查统计显示,源于企业外部网络入侵和攻击仅占企业网络安全问题的5%左右,网络安全问题大部分发生在企业内部网络,内部网络也是网络安全防护的关键部分。因此,对企业内部网络信息资源的有效保护极为重要。传统的网络安全防护系统多数都是防止外部网络对内部网络进行入侵和攻击,这种方式只是将企业内部网络当作一个局域网进行安全防护,认为只要能够有效控制进入内部网络的入口,就可以保证整个网络系统的安全,但是,这种网络安全防护方案不能够很好地解决企业内部网络发生的恶意攻击行为,只有不断加强对企业内部网络的安全控制,规范每个用户的行为操作,并对网络操作行为进行实时监控,才能够真正解决企业内部网络信息资源安全防护问题。
二、企业网络安全防护信息管理系统总体设计
(一)内网安全防护模型设计。根据企业内部网络安全防护的实际需求,本文提出企业网络安全防护信息管理系统的安全防护模型,能够对企业内部网络的存在的安全隐患问题进行全面防护。
由图1可知,企业网络安全防护信息管理系统的安全防护模型从五个方面对企业内部网络的信息资源进行全方位、立体式防护,组成了多层次、多结构的企业内部网络安全防护体系,对企业内部网络终端数据信息的窃取、攻击等行为进行安全防范,从而保障了企业内部网络信息资源的整体安全。
(二)系统功能设计。企业网络安全防护信息管理系统功能主要包括六个方面:一是主机登陆控制,主要负责对登录到系统的用户身份进行验证,确认用户是否拥有合法身份;二是网络访问控制,负责对企业内部网络所有用户的网络操作行为进行实时监控和监管,组织内网核心信息资源泄露;三是磁盘安全认证,负责对企业内部网络的计算机终端接入情况进行合法验证;四是磁盘读写控制,负责对企业内部网络计算机终端传输等数据信息流向进行控制;五是系统自防护,负责保障安全防护系统不会随意被用户卸载删除;六是安全审计,负责对企业内部网络用户的操作行为和过程进行实时审计。
(三)系统部署设计。本文提出的企业网络安全防护信息管理系统设计方案采用基于C/S模式的三层体系架构,由安全防护、安全防护管理控制台、安全防护服务器三部分共同构成,实时对企业内部网络进行安全防护,保障内部网络信息资源不会泄露。安全防护将企业内部网络计算机终端状态、动作信息等传递给安全防护服务器,安全防护管理控制台发出指令,由安全防护服务器将指令传送给安全防护完成执行。
三、企业网络安全防护信息管理系统详细设计
(一)安全管理控制台设计。安全管理控制台是为企业网络安全防护信息管理系统的管理员提供服务的平台,能够提供一个界面友好、操作方便的人机交互界面。还可以将安全策略管理、安全日志查询等操作转换为执行命令,再传递给安全防护服务器,通过启动安全防护对企业内部网络计算机终端进行有效控制,制定完善的安全管理策略,完成对系统的日常安全管理工作。
安全管理人员登录管理控制台时,系统首先提示用户输入账号和密码,并将合法的USB Key数字认证设备插入主机,经过合法性验证之后,管理员获得对防护主机的控制权。为了对登录系统用户的操作严格控制,本系统采用用户名和密码登录方式,结合USB Key数字认证方式,有效提高了系统安全登录认证强度。用户采取分级授权管理的方式,系统管理人员的日常维护过程可以自动生成日志记录,由系统审计管理人员进行合法审计。
(二)安全防护服务器设计。安全防护服务器主要负责企业网络安全防护信息管理系统数据信息都交互传递,作为一个信息中转中心,安全防护服务器还承担命令传递、数据处理等功能,其日常运行的稳定性和高效性直接影响到整个系统的运行情况。因此,安全防护服务器的设计不但要实现基本功能,还应该注重提高系统的可用性。
安全防护服务器的主要功能包括:负责将安全管理控制台发出的安全控制信息、安全策略信息和安全信息查询指令传送给安全防护;将安全防护上传到系统中的审计日志进行实时存储,及时响应安全管理控制台的相关命令;将安全防护下达的报警命令存储转发;实时监测安全管理控制台的状态,对其操作行为进行维护。
(三)安全防护设计。安全防护的主要功能包括:当安全防护建立新的网络连接时,需要与安全防护服务器进行双向安全认证。负责接收安全防护服务器发出的安全控制策略命令,包括用户身份信息管理、磁盘信息管理和安全管理策略的修改等。当系统文件已经超过设定的文件长度,或者超过了设定的时间间隔,则由安全防护向安全防护服务器发送违规操作信息;当其与安全防护服务器无法成功建立连接时,将日志信息存储在系统数据库中,等待与网络成功重新建立连接时,再将信息传送到安全防护服务器中。
综上所述,本文对企业内部网络信息安全问题进行了深入研究,构建了企业内部网络安全防护模型,提出了企业网络安全防护信息管理系统设计方案,从多方面、多层次对企业内部网络信息资源的安全进行全面防护,有效解决了企业内部网络日常运行中容易出现的内部信息泄露、内部人员攻击等问题。
中图分类号:TP311.52
网络行为管理系统旨在帮助网络管理员了解网络运行状况和带宽使用状况。作为网络管理较重要的工具之一,网络行为管理系统协助网络管理员更好的掌握网络状态,进而做出相应的管理调整,确保网络的连续正常运行。网络行为管理系统以旁路监听的方式接入网络,不改变网络系统的拓扑结构,对网络性能毫无影响。网络行为管理系统管理平台增加了网络用户管理功能,便于网络管理员管理用户信息,时时掌握网络用户的使用情况。网络行为管理系统基于Windows xp系统开发,对服务器的配置要求很低。即使一台简单得PC机完全可以应付工作。对于网络管理员,可以在任何一台内网机器上通过浏览器打开管理平台。大大降低了在网络方面的管理成本。网络行为管理系统能够监控网络中的数据并进行分析并提供管理平台。可以作为网络管理员有效的网络管理工具,提高网络使用效率。
1 系统需求分析
本企业的网络现状是大部分内网用户因为业务需要具有访问互联网的权限,而连接互联网的链路带宽有限,经常会在工作时间出现带宽占满的情况。行政管理者无法找到带宽使用最多的用户和在工作时间做与工作无关网络行为的用户。
根据现状需要解决如下问题:
(1)能够记录用户访问信息。
(2)能够将办公网内用户的配置信息统一管理。
(3)能够记录内网用户间的访问信息。
网络行为管理系统通常分为两种模式,分别是路由模式和透明模式。路由模式是将网络行为管理系统放置于互联网总出口处,凡是访问互联网的的数据都通过它,可以进行更加严格的权限策略管理。但是,缺点是内网用户间的访问状况就没有监听到。为了达到能够监听到内网用户间的数据和内网用户访问互联网的数据,可以采用透明模式。采用透明模式,捕获内网用户间的网络数据和内网用户访问互联网的网络数据,并进行协议分析,存入数据库,通过管理平台读取数据库的数据进行分析。
设计需求:
(1)实用、稳定、先进、可靠,以实际应用需要为设计依据确保系统总体优化、安全可靠和稳步推进。
(2)充分考虑功能扩容性和技术升级性,以求得最佳的性能价格比。
(3)采用透明模式接入,不破坏现有网络格局。
(4)不需要安装客户端软件,不影响内网用户使用网络。
功能需求:
(1)监听网络内数据,并分析协议。
(2)将分析处理后的数据传入数据库。
管理平台需求:
(1)能够增加删除系统管理员。
(2)能够管理所有用户的信息,增加、删除或修改。
(3)能够查看用户访问记录,内容包含源、目的IP、MAC、协议信息。
性能需求:
在数据量较大的网络中,高效的网络管理可以保障网络的高效使用。本系统最大的目的是快速捕获数据包并进行协议分析,系统的缓慢降低系统的运行效率,不科学的部署还会影响系统在网络的监控能力。因此,在设计与实施中要采用先进的网络技术和系统,最大限度地提高系统的响应速度。本系统采用Mysql数据库并结合PHP开发管理控制平台,能够安全高效的完成对数据的查询、更改。
2 系统设计
2.1 网络数据处理中心设计
Winpcap提供了数据包的捕获功能,在不同的应用中需要设计不同的协议分析模块。针对不同的协议,设计相应的协议分析功能,是基于Winpcap应用的关键所在[1]。
(1)获得本地网络驱动器列表
首先使用WinPcap应用程序函数获取服务器端网卡列表,然后再对捕获网络数据端口进行设定。WinPcap提供pcap_findalldevs_ex()函数来实现此功能。函数返回一个pcap_if结构体链表,结构体都包含了一个适配器的详细信息。取得网卡列表后显示出来并供用户选择,如果网卡没有被发现就显示有关错误。
(2)打开设备并将其设为混杂模式
网卡在一般工作模式下只接受去往它的包,忽略去往其他主机的数据,混杂模式下的网卡它将接收所有的流经它的数据,这说明在同一个网络里设备可以捕获到本网络其他设备的数据[2]。因此常见的抓包工具通常使用混杂模式。使用pcap_findalldevs_ex()捕获到网卡后,通过pcap_open()函数调用此设备。
(3)编译并设置过滤器
数据包过滤处理是数据包捕获技术中的难点和重点,WinPcap或libpcap最强大的特点之一就是数据流的过滤引擎。设置数据流过滤规则实现信息包过滤,用来过滤数据包的函数是pcap_compile()和pcap_setfilter()。pcap_compile()将一个高层的布尔过滤表达式编译成一个能够被过滤引擎所解释的低层的字节码。
pcap_setfilter()将一个过滤器与内核捕获会话向关联。调用pcap_setfilter()时,过滤器将被应用到来自网络的所有数据包。所有的符合要求的数据包,将会复制给应用程序。
(4)捕捉保存数据包
使用循环调用pcap_next来接受数据包。这个函数的参数和回调函数pcap_loop()一样是由一个网卡描述符作为入口参数和两个指针作为出口参数,这两个指针将在函数中被初始化,然后再返回给用户。我们使用pcap_next_ex()进行数据包的捕获。
(5)数据包协议解析
捕获后的数据经过解析才能得到想要的信息,如源地址,目的地址,协议类型等信息。因此需要关注的帧的格式,解析的过程是将数据帧中的数据按不同协议进行分析提取。
2.2 数据库设计
数据中心是对来自网络数据处理中心的网络数据作进一步的分析、还原、存储,并根据管理控制台下发的查询指令进行响应。数据中心的主要功能是存储经过处理后的网络数据,和网络管理员通过管理平台删除、增加、修改网络用户的管理信息。网络数据处理中心分析完TCP/IP数据包,还原应用层协议后,将结果存放在数据库中,为了方便以后网络管理员的查询,设计表的时候就要求简洁、易懂。
(1)基础信息维护模块模型如图1所示。
图1 基础信息维护模块物理模型
(2)抓包信息模块如图2所示。
图2 抓包信息模块物理模型
3 功能实现
运行环境配置:
(1)下载WinPcap的安装文件WinPcap_4_1_2.exe,程序员开发包WpdPack_4_1_2.zip,SDK开发环境。
(2)执行安装文件,本机就能运行winPcap程序了。
(3)解压开发包,在VC的option的include和lib中加入winPcap的include和lib。
(4)在程序中加入#include , #include 。然后在工程的setting中加入预定义宏:WPCAP } HAVE_ REMOTE,导入wpcap.lib库。
在登陆页面输入用户名和密码,点击登陆按钮,将输入的内容提交给登陆验证页面,将输入的的内容连接到数据库查询,验证通过,进入http://127.0.0.1:8080/function.php,验证失败,进入http://127.0.0.1:8080/loaderro.php,提示“无权限”。
系统设置页面连接数据库aduser表,读取系统管理员账号信息。并通过增加管理员和删除管理员按钮,来增加或删除系统管理员账号。
用户管理功能是让系统管理员更清楚地掌握本网络内用户的网络配置信息,并通过增加用户和修改用户按钮来增加用户或是修改用户信息,点击删除用户按钮来删除用户,点击查询可以通过IP、MAC两项来查找用户。
日志查看功能帮助网络管理员直观的看到本网络内用户访问的网址和使用的协议以及时间。通过查询网段设置和协议类型设置可以过滤掉不需要的信息,提高管理效率。
网络数据处理中心应用在服务器上,由网络数据处理中心的sniffer工具在网络层捕获数据包,并进行协议分析,并将数据传送给数据库,以供管理控制台进行查询或修改操作。
参考文献:
[1]刘文涛.网络安全编程技术与实例[M].北京:机械工业出版社,2008.
[2]赵心宇,朱齐丹,朱达书.应用winPcap捕获网络数据包[J].应用科技,2004,31(11):29-31.
[3]雷震甲.网络工程师教程[M].北京:清华大学出版社,2006.
本课题主要针对现今不同企业或者同一企业内部与外部网络的数据同步要求,提出一套如何在计算机技术上实现这一需求的解决方案。本文不仅对这一技术在应用领域的需求做出了全面具体的分析,而且也阐述了这一技术的设计思想和实现细节,并且对实现过程中涉及的各类技术做出了详细具体的解释,力求让读者明确实现什么,怎么实现,为什么要这样实现,以及实现这一技术的意义。
关键字:数据同步 COM ActiveX ATL ASP 组件制作 电子商务 文件传输 组件注册 网络编程 COM调用 ASP组件调用
目
录
前 言 4
正 文 4
系统概述 4
需求阐述及功能定制 5
技术实现方案 6
模块算法和机制实现过程 11
总结 27
致谢 27
参考文献 28
1 校企合作的高效互动模式
为了与企业能保持稳定和牢固的合作关系,必须采取一种能实现校企双赢的模式。学校的需求是专业培养方案的制定、课程和实训的开发、师资力量的培养、学生的实践教学和校内外实训场地的建设。企业的需求是符合岗位需求的高素质人才、企业员工的培训场所和师资。在充分了解了校企双方的需求后,逐步探索出了校企合作的高效互动模式。
校企合作的第一阶段,学校提供资金,企业对网络专业的岗位需求进行调研,提供专业调研报告。然后由校内教师和企业工程师组建的专业建设团队分析专业调研报告提取专业面向的主要工作岗位,然后从工作岗位中提取典型工作任务,接着构建专业的课程体系。当专业课程体系构建完成并通过验证后,专业建设团队分成几个小组进行核心课程和实训课程的开发。企业工程师与校内教师共同确定课程和实训的内容,并结合授课内容开发出适用于教学的企业项目及配套项目文档。实训资源的开发主要包括实训指导书、实训项目文档、实训报告模板及实训评价标准等。
校企合作的第二阶段,为了满足课程和实训的教学环境要求,企业帮助完成校内实训基地的建设,在实训基地内可以完成学生综合实训和就业前实训的教学任务,为企业输送高素质人才;在实训基地内可以完成企业员工的技能培训,使学校和企业在校企合作的过程中能达到“双赢”,从而实现高效的互动合作。
2 实训课程的设计思路
实训课程的开发成果是校企合作的重要成果,本校在校企合作共同开发的过程中总结出以下几点经验。实训定位要准确,实训内容要覆盖,实训师资要配套,实训考核要严格。
2.1 实训定位要准确
实训课程在专业课程体系中的定位一定要准确,在本专业的课程体系中,每个学期的期末有两周的专业实训课程。学期实训的定位是锻炼学生综合运用本学期的课程内容进行模拟项目开发的能力。最后一学年的第一学期针对不同的就业岗位方向安排了两个就业前的综合实训,就业前实训的定位是训练学生针对某一就业岗位方向贯穿前四个学期中涉及的相关课程的内容,同时为了更好的就业,就业前实训还需要完成相关职业技能认证。学生完成就业前顶岗实习后将进入企业进行顶岗实习。
2.2 实训内容要覆盖
实训内容课程体系中主要包括学期综合实训和就业前综合实训,其中学期综合实训需要尽可能的覆盖整个学期中所有的专业课程,以第三学期的《多链路网络组建、运维与应用开发》实训为例,实训内容覆盖了《路由与交换技术》、《WEB前端技术》、《网络检测与监控》和《网络服务与管理》。实训内容以企业的真实网络项目为基础进行开发,开发出符合行业标准的实训项目。与实训项目配套开发出实训指导书和配套的实训资源。
2.3 实训师资要配套
实训效果的好坏在很大程度上取决于实训实施过程中教师的职业技能水平、教学水平和责任心。为了提高教师的职业技能水平,必须为教师提供企业实践锻炼和职业资格认证培训的机会。并且聘请企业工程师作为兼职实训指导教师与校内教师共同指导,从而在指导实训的过程中能发挥企业教师项目经验丰富的优点及校内教师教学经验丰富的优点,有效的保障实训实施过程中的教学质量。
为了保障实训师资水平的持续稳定,要定期考核实训指导教师并提供相关的培训进修意见,促进教师的可持续发展。
2.4 实训过程要规范
所有的综合实训是基于工作过程开发的。为了达到预期的实训效果,要求提供与企业工作环境相仿的实训环境,并按照企业项目的实施过程和操作规范指导学生进行实训。通过综合实训的训练,学生能逐步的熟悉企业的项目实施流程和操作规范,从而能尽快地适应真实的工作岗位。
2.5 实训考核要严格
实训完成之后,对学生的考核评价是一个十分重要的环节,如果考核评价不严格将会使学生不够重视。首先要根据实训内容制定出规范的实训考核标准,然后实训指导教师要严格的根据实训考核标准对学生进行考核。
实训的考核标准要由企业工程师和校内教师共同制定,要参照企业对人才的考核要求,考核学生的综合能力,综合能力主要包括学生的专业技术能力、学生的团队协作能力、信息搜索与分析能力和成果展示能力等。
3 学期综合实训的实现
下面以计算机网络技术专业第三学期的综合实训为例,介绍本校综合实训的开发方法及成果。该综合实训是与三家网络及网站建设公司合作开发的,开发团队包括三名企业工程师和两名校内教师,下面就从实训定位、实训内容、实训实施、实训师资及实训考核五个方面介绍该综合实训。
《多链路网络建设、运维及开发》实训定位为综合实训,要求综合覆盖第三学期的专业课程,主要包括《路由与交换技术》、《网络服务与管理》、《WEB前端技术》和《网络检测与监控》专业课程。
实训内容以中型企业局域网的组建、运维及企业宣传网站开发项目为基础,要求学生完成六个项目任务:项目需求分析、网络建设方案撰写、网络实施详细设计(网站建设规划)、网络项目实施(网站开发)、项目各模块的测试、网络系统集成和网络综合测试(网络连通性测试、应用服务测试和网站测试)。最后提交项目文档及实训报告。
实训的实施过程由校内教师和企业工程师共同指导,教师在项目实施的过程作为项目的需求提供者及项目的质量监控者。学生按照企业项目实施的流程和规范完成实训项目,依次为:(1)进行分组,组成项目组;(2)选择出项目组的组长,组长带领小组成员进行项目需求分析;(3)根据需求分析的结果进行任务分工,并指定各项目模块的负责人;(4)各模块的负责人带领组员进行项目实施的规划和详细设计;(5)各项目模块严格按照企业项目实施的规范要求进行实施;(6)各项目模块的测试及排障;(7)项目各模块的系统集成;(8)项目的综合测试
实训的考核标准要符合企业用人的考核标准,全方位的考核学生的综合能力,同时要具备可操作性,从而确保教师在实训过程中能按照该考核标准严格执行。具体的考核标准如表1所示。
4 结语
本校计算机网络专业的实训课程定位准确、能全面地覆盖相关课程并且具备了严格的考核标准。在实训开发的过程中,注重校内师资的培训,从而确保实训实施过程的规范性及实训质量。学生通过实训逐步提高了技术的综合应用能力和项目的实践能力。通过两轮的实施,用人单位及学生均反映实习阶段的岗位适应能力明显提高。
中图分类号:F000文献标识码:A 文章编号:1005―2674(2013)11―056―06
在全球经济一体化的背景下,企业间分工更加细致,供应链发展更加成熟,企业间的竞争已经由单一企业的竞争发展到企业网络的竞争,由以量取胜变为质、量并重。新时期,企业更多地依赖企业网络来传递知识、信息和资源,从而促进技术创新和提高技术创新绩效,使企业获得长远发展的动力和机制。企业网络成为现代企业进行技术创新、有效获得外部资源的有效途径。因此,有必要结合新时期企业网络的特点,对企业技术创新的战略选择进行科学而有效的分析。
一、文献综述
在传统的经济学研究中,学者们往往将企业假设为单独行动的个体,忽略企业之间以及企业与机构、组织之间的关系对企业经济活动的影响。随着新制度经济学、分工理论和交易成本理论的提出和发展,学者们意识到原有的假设是不成立的,企业不是孤立的,而是存在于网络之中的。近年来,网络理论的发展使网络逐渐成为企业战略研究中的重要因素,企业网络在企业获取外部资源等方面的影响也越来越大。目前,理论界对企业网络的内涵尚未形成统一的意见,学者们从不同的角度对企业网络进行了诠释:基于企业间关系的视角,Dussauge、Garrete和Mitechell认为企业组织是两个及两个以上的企业进行资源、技术整合以完成项目或者开拓市场的合作关系,强调其动态性;…Yashino和Rangan从分析企业网络特性出发,认为企业网络中各企业具有相对独立性、收益共享性和战略领域持续性的特点;INKPEN通过举例认为,企业网络包括供应链、合作研发、战略联盟、特许经营、合资企业等。本文将企业网络定义为,企业基于信息技术和自身战略发展的需要,为形成竞争优势并实现网络战略目标,以及获得竞争所需资源并充分发挥其作用,而形成的企业网络成员间的竞争合作关系。根据复杂网络理论,企业网络是由企业作为节点,关系作为边构成,是具有小世界特性的无标度网络,可从位置、关系、结构三个维度进行特征分析。前两项可通过Burr的“关系一位置”模型进行分析,企业网络结构则通过其范围、规模、密度等方面影响企业网络联接模式,进而影响企业网络的稳定性。
企业网络由于其异质性和动态性,不仅在知识、信息等方面为技术创新提供了条件,而且对技术创新具有促进作用。本文将技术创新定义为,企业为建立效能更强、效率更高和费用更低的生产经营系统,而产生的新产品、新工艺和新技术的首次商业化应用。对于企业网络与技术创新的关系,Grandori和soda从资源、技术供给角度论证了企业网络的优势,间接证明了企业网络对技术创新的支持作用;高建根据对企业创新活动的调查,将技术创新因素归结为外部因素和内部因素;除此之外,大多数学者都是从技术创新因素与企业网络优势的角度,指出企业网络内合作对技术创新具有一定的支持作用,而对于作用机制,则大多将知识学习作为中介,认为企业是通过网络间知识的转移、溢出等方式促进知识扩散和共享,从而实现技术创新。这些研究显然是不充分的,仅从溢出效应角度来研究企业网络对技术创新的作用是不够的,由于网络是一种知识、信息、资源流动的渠道,因此,必须将企业网络作为研究的主体,探索其对技术创新的直接作用。对于企业网络的技术创新实现过程,许庆瑞等强调供应链(供应商,消费者)对于技术创新实现的作用;陈学光等学者则认为应注重企业网络能力对于技术创新及其绩效的影响。这些成果虽然从企业网络的某一构成部分(如供应链)和能力对技术创新实现的影响进行了研究,但未能从整体上论证企业网络对技术创新的作用。
综上研究,无论是将企业网络作为资源获取渠道,还是从企业网络的某一构成部分和能力角度,来研究企业网络对技术创新的作用,都未能深入到企业网络的本质。而且随着经济环境的变化,企业网络变得更加复杂,技术创新战略的选择对企业的发展将发挥更重要的作用。本文通过对新时期企业网络特点的分析,阐明企业网络与技术创新战略选择的关系,并以奇瑞汽车公司为例进行说明。
二、新时期的企业网络
在我国加入世界贸易组织之前,企业网络这种组织形式还不被学者和企业所重视,其多以供应链、合作、合资、战略联盟等形式作为研究对象。由于开放程度不高,吸引资金的能力和技术水平不强,因此,企业网络成员的构成多局限于国内,与外部的互动交流较少,网络间的溢出效应不明显。相比新时期的企业网络,一方面,原企业网络节点数较少,关系较为简单。其中,供应链(如图1)作为较为常见的一种企业网络形式,受到学者们的广泛关注。供应链组织形式虽然能将企业与上下游企业联结起来,并联动发展;根据消费者的需求反馈和自身的发展战略,进行自主创新或向供应商提出需求,但这种形式的反馈机制单一,未将其他科研机构、企业间的联系纳入其中。另一方面,原有的企业网络尚未形成复杂网络,应对环境变化的能力较弱,网络中节点成员较少,知识、信息、资源有限,网络间传递的效率较低。
随着我国经济发展速度的加快,原有的企业经营发展模式已经不再使用,经济全球化对我国企业的生产发展产生了巨大的影响。企业越来越注重对国外领先企业技术、组织、管理等方面的学习,通过代工、合资、合作等方式,加入到全球供应链中。2007年爆发的经济危机,造成世界经济发展低迷,企业生存发展举步维艰。面对恶劣的经济环境,我国企业需建立起应对风险能力更强的企业网络,获取更多的知识、信息、资源,通过实施技术创新战略,提高经济效益,增强风险防范能力。新时期的企业网络不再局限于简单的供应链、战略联盟、合作等关系,更多扩展了多种形式联盟、竞争、合作的关系,如产学研联盟等。这些关系原先已经存在,可能不明显或者未整合在企业网络中,未形成复杂网络。随着网络的发展,其间的关系联结程度更加密切、网络范围更广,具有复杂网络的特性。对此,本文认为新时期的企业网络模式应如图2所示。
图2新时期的企业网络
其中,垂直方向表示企业的供应链,水平方向是行业竞争,对角线方向是外部支持,由不同行业和组织构成。企业网络内各个节点相互作用,通过关系传递知识、信息、资源等。根据企业的不同情况,图中连线关系不一定全部存在,但从宏观角度分析,这些连线关系存在且作用于企业网络。
根据新时期企业网络模式,本文认为新时期企业网络结构具有如下特征:
1.复杂开放性。企业网络中的成员不设限定,各企业机构可根据与中心企业的关系自主决定是否加入该网络,具有开放性。而网络成员中的联结由其关系决定。如图2所示,每个节点均可与其他节点联结,联结方式多样,关系复杂。对于同一节点而言,其可参加的网络不唯一,在与中心企业合作的同时,可与中心企业的竞争者形成合作关系,两个网络间又呈现竞争关系。某一节点可以与任一节点直接联结或者通过其他节点联结,具有无标度的小世界特性,所以新时期企业网络具有复杂网络的特性。随着信息流、知识流、资源流在网络内传递数据量的增加,网络节点之间的联结程度更高,网络密度更大。企业网络规模随着成员的加入而扩大,因成员的异质性而扩大网络范围。
2.竞争合作关系占主导。在新时期企业网络中,垂直方向由供应商、中心企业和消费者构成供应链,以合作关系为主,企业间双向交流接触频率高,基于信任合作的情感强度大,呈现强联结状态;水平方向,中心企业与竞争对手呈现竞争关系,交互频率低,互惠性差,具有弱联结性;对角线方向,由中心企业与外部研究机构(科研机构、大学)和外部支持组织(政府、金融机构)组成,其联结不稳定,影响作用不确定。如果存在中心企业与科研机构和大学的关系,其以合作为目的,其间的联系多需通过孵化器。至于企业是否受到政府和金融机构的影响则由企业自身决定,在以往的分析中多将其作为外部环境进行分析,而在企业网络结构的研究中,将其视为影响因素、支持关系。将企业网络进行分割,各个小网络间同样是以竞争合作关系为主导。
3.动态适应性。新时期企业网络中的成员具有自主性,网络是自发形成的,由关系联结。根据外部环境的作用,企业网络可以进行相应调整,包括节点的调整、关系的调整、联结方式及强度的调整等。处于网络中的企业不再局限于自身内部的资源,可利用网络的拓扑性质进行资源挖掘。新时期企业网络具有复杂网络的特性,所以,节点与关系的更新变化影响企业网络的整体演化。随着网络节点和关系的变化,网络密度随之变化,企业所占据的结构洞位置数量不确定,获得的知识冗余度不稳定。
三、新时期企业网络与技术创新战略选择的关系
在以往的研究中,学者对企业网络的研究多集中在企业网络和技术创新的关系上,认为二者相互促进、相互制约,但对企业网络与战略选择之间的关系研究则相对较少,本文将深入探讨企业网络与技术创新战略选择之间的关系。
1.基于网络层次分析。将网络密度、网络规模、网络范围作为判断特征。网络密度是指网络中各企业、组织、机构间实际联结的数值与他们之间可能存在的最大联结数值的比值,比值越高说明网络密度越大。高密度的企业网络中,中心企业与其他企业机构组织间联结多,知识流、信息流、资源流等传递效率高,易形成共同规则和行为范式。新时期企业网络具有复杂开放性,节点成员可以自主选择参加该企业网络,随着中心企业的发展,其相关联结会增多,密度增大。当企业处于高密度企业网络时,适用合作创新战略,尤其是产学研联盟、逆向工程等技术创新战略。合作创新战略可以充分利用高密度企业网络中各节点间高联结程度和高传递效率,实现知识、信息、资源的共享,集中智力,实现技术创新。供应链方向,可根据消费者的需求(包括潜在需求),提出技术创新路线,由供应商主导与企业合作研发,通过逆向工程研发,实现合作创新战略。与政府、金融机构等合作,政府政策导向和金融创新服务为企业提学研联盟的契机;与科研机构、大学等合作,通过孵化器将科研成果进行转化,实现发明的第一次商业化;与竞争对手的关系,宜形成行业联盟、创新集聚,通过与竞争对手合作创新,促进产业升级优化,实现创新双赢。如果采取自主创新战略,则不能充分利用网络的优势,因为自主创新战略对于相关节点依赖程度低,主要依靠中心企业自身组织网络实现,即便是集成创新,也是对资源的需求相对较高,对外依赖度较低。
网络规模可通过与中心企业直接关联的企业组织机构的数量测量,网络规模的大小表示企业可获得资源的多寡;网络范围指企业与其他相关企业组织机构间关系种类的数量,范围的大小表明企业可获得资源的方式方法的多样性程度。新时期企业网络是复杂开放的网络,节点成员、联结数量的增加,使企业网络规模和范围扩大。大规模大范围网络选择自主创新和合作创新战略均可,具体情况由其他影响因素判断。大规模大范围网络意味着企业可通过多渠道获得大量知识、信息、资源,企业既可通过吸收、消化、利用这些资源来实现自主创新,又可将其合理整合,与其他节点共享,实现合作创新。无论采取哪种方式,企业均占据中心位置,掌握核心资源,可掌控创新整体进程。
基于网络层次分析可知,新时期企业网络由其复杂开放性决定企业进行合作创新战略较为适宜,可充分利用网络获取资源,进行创新活动。如果从自主知识产权的角度考虑,企业亦可实施自主创新战略,企业网络的存在对此不存在阻碍作用。
2.基于企业间层次分析,将联结强度作为判断特征。联结强度是指网络中两主体间的关系,联结强度可用交互作用、情感强度和互惠程度表示。强联结表现为两企业间高频率交互作用,彼此信任,互惠程度高;而弱联结表现为两企业间低频互动,信任度和互惠度较低。在新时期企业网络中,竞争合作关系为主导,企业不再单纯追求垄断利润,更加注重合作双赢,呈现强联结状态,适合选择合作创新战略。信任是联结强度中的重要影响因素,只有信任度高,才能实现强联结。合作创新战略需要合作企业组织机构彼此信任,资源共享,风险分担,利益分配合理。强联结通过节点间经常性的互动,培养并形成相互间资源共享、机制规范等合作环境,实现节点间联动互动,促进互利互惠,实现网络升级和技术创新。
3.基于企业层次分析,将结构洞作为判断特征。结构洞是指非冗余联系之间的分割。若供应链关系中供应商与消费者可通过中心企业相连接,其间即存在结构洞,中心企业占据了结构洞的位置,可获得非冗余资源;若供应商与消费者可直接相关联,则不存在结构洞。占据结构洞位置的企业(占据结构洞的企业不包含孵化器企业,而将孵化器视为科研成果转化平台――作者注),作为联结枢纽,可获得不能直接联系的企业间的非冗余信息资源,并通过联结互动获取优势。由于新时期外部环境的动荡,经济前景不明朗,中心企业所占据的中心性和结构洞位置及数量更加不确定,因此,应根据具体情况增强中心企业的动态适应性。不过,相比于传统的企业网络,新时期企业网络占据的结构洞数量要小,因此,对于占据结构洞位置的企业,由于处于两个节点联结的枢纽上,可通过桥接作用获取非冗余知识、信息和资源,并将其运用于技术研发,所以,这样的企业更适宜选择自主创新战略;而不占据中心性和结构洞位置的企业,则更适合选择合作创新战略。
四、新时期企业网络条件下技术创新战略的选择――以奇瑞公司为例
企业在进行具体技术创新战略选择的时候,应根据自身情况,对宏观环境、中观行业环境综合分析,判断自己所处的企业网络结构及自身所处的位置,选择适合自身发展的最优技术创新战略,实现技术进步、技术领先,完成产业结构升级优化,获取超额利润。奇瑞汽车公司深谙企业网络与技术创新战略选择的关系,通过对企业自身的分析,明确企业的发展目标和方向,确定技术创新战略。奇瑞汽车公司始终致力于自主品牌的研发设计,注重创新,但是企业自身的研发能力有限也是客观事实。为此奇瑞汽车公司完善自身企业网络,针对不同项目实施不同的技术创新战略。
计算机网络不仅对人们的生活产生了重大影响,也日益影响着企业科技的创新和生产力的提高。企业信息技术的发展能够更好地提高企业的生产效率和管理水平。这不仅影响着大中型企业,对我国工业企业中占相当比重小企业同样重要。本文选择小企业网络规划与设计进行研究,是因为小企业用户的局域网结构相对简单,主机数量少,易于进行规划设计,且投入成本低、易于普及。
当今阶段,中国市场经济处于转型期,竞争日益激烈,小企业要想生存并更好地发展,必须改变小企业单一、机械的运作模式,追求高效的管理和沟通方法来增强竞争力。而建设小企业自己的网络无疑是顺应社会发展潮流提高小企业运作效率的作法。
一、小企业网络规划需求分析
小企业主机数量较少,易于满足团体信息化的需求。小企业网络规划与设计中只需一个主干网来负责各个子网和应用服务的连接,就能为信息交换提供有效的高速通道。根据企业提出需求,进行分析,最终将采取以下方案解决企业需求。
二、小企业网络规划与设计
2.1网络需求
申请一个10M及以上的带宽,就可以满足小企业内部计算机访问Internet的需求。申请1个公网IP:分配给Internet接入路由器的串行借口;购买一台路由器以实现企业内部网络连接到Internet;考虑在日后小企业的发展,计算机数量可能会有所增加,因此交换机接口可以预留3到5个;将各部门划分在不同的VLAN。单个节点构成的网络通常就能满足小企业的网络需求。小企业网络工作站数量少且接入比较集中,因此核心网络设备选择100M的以太交换机就可以了。
2.2小企业网络拓扑结构设计
根据小企业用户少、计算机数量少的特点,在企业网络规划与设计中采用总线型拓扑结构。总线型结构具有费用低、布线要求简单、扩充容易、数据段用户入网灵活、站点或某个端用户失效不影响其它站点或端用户通信的优点,因此适合处于发展期的小企业网络规划使用。
总线型拓扑结构图如图1。
2.3应用到的VLAN规划技术
一个VLAN可以在一个交换机实现,就可以满足小企业网络规划使用。在小企业网络规划中,VLAN根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组。用来为局域网解决冲突域、广播域、带宽问题。因此使用VLAN技术,结合网络层的交换设备搭建安全可靠的网络。网络管理员通过控制交换机的每一个端口来控制网络用户对网络资源的访问。
小企I的VLAN采取端口划分即可,把同一个部门办公室的端口全部划分进同一个VLAN,具有很好地灵活性和安全性。之后企业有了新的发展,需要进行部门扩充只要在交换机上进行配置就可以了。
2.4网络PDS系统设计
1、布线系统总体结构设计。根据小企业的建筑数量(假设为两栋),选用十二芯单模光纤从总机房连接到其他撞建筑或楼层的设备间,采用10M的光纤以太网接入到因特网服务提供商的网络,然后接入到因特网中,使企业实现与外界的信息交换和网络通信。布线时要考虑价廉、合理、美观、标准。尽量进行夹墙内、地板下、天花板上或者采用架空线槽布线。网络设备要放在一楼机房内。机房内要配备火警报警装置、防尘地板和空调。
2、工作区子系统设计。工作区子系统由各个单元区域构成,是计算机、电话和信息插座的连接部分,包括连接跳线和信息插座。信息插座面板具备:通用、超薄、简易、防尘等特点;信息插座的模块采用类RJ-45模块;线缆采用超五类双绞线;水晶头采用RJ-45标准水晶头。为降低成本和结合客户终端的位置多变的特点,跳线可采用原装跳线与自制跳线相结合的方式跳线采用统一标准,如统一采用EIA/ TIA 568B标准等,以使系统具有更好的兼容性
3、管理子系统设计。单个节点的子系统设计在配线间完成。通过各种规格的配线架(线槽)实现水平、垂直主干线缆的端接及分配;由各种规格的跳线实现布线系统与各种网络、通讯设备的连接,并提供灵活方便的线路管理能力。分配线间是各治理子系统的安装场所,可安装配线架和计算机网络通信设备。对于信息点不是很多,使用功能近似的楼层,可以设置一个共用的子配线间,这样便于维修、管理。
4、干线子系统设计。干线子系统设计采用电缆从主设备间连接各治理子系统。数据主要从网络配线间向各个子配线间敷设12芯单模室内多模光纤。
5、设备间子系统设计。设备间子系统设计由设备间中的电缆、连接器和相关支撑硬件组成,把公共系统(通讯系统,计算机系统等)设备的各种不同设备互连起来。使用多芯单模室内多模光纤将其连接。
6、建筑群子系统设计。建筑群子系统是将一栋建筑物内的电缆延伸到建筑群中的另外一些建筑物内的通信设备和装置上,采用光缆布线是目前主要的建筑间布线方式。建筑间的主干光缆采用12芯单模。
三、施工管理
3.1施工前准备
施工前,企业应认真审核合同,合同签订后,一切照文件实行。
3.2设备及材料
企业应对工程中所用到的所有设备及材料严格把关。选择质量可靠、性能良好的设备及材料、严格按合同进货。
3.3施工过程管理
根据企业的情况,安排好施工进度,并加强对施工人员的管理,保证施工现场的卫生 ,保证不影响到企业工作人员的正常工作 。
3.4施工完成后质量的检查和验收
施工完成后,企业派出有关人员进行全面的质量检查,进行系统的总验收。完全达到双方签订的合同要求后,进行工程的总移交。如在合同范围内,不达到要求的地方一定返工,直到达到要求为止。
四、结束语
在小企业网络规划与设计中,一套可行设计方案就能够满足小企业团体的信息交流和传递,也使外面的客户能够很容易的了解企业。本文在进行小企业网络规划与设计的时候,按照计算机网络设计的原则,采用层次化模型方法,将网络的结构分层为核心层和接入层,设置一个总机房在一楼或者核心层。
采用总线型网络拓扑结构,简单、方便、价廉,在功能性、实用性、安全性等方面完全符合小企业网络的工作需求,并具有一定的可扩展性,达到了小企业网络规划与设计的预期目标。
参 考 文 献
关键词:
网络安全;企业网;安全技术;安全威胁
1网络安全技术概述
21世纪信息时代到来,网络充斥于生产与生活,在带来网络便利的同时也引发了网络安全性的思考。网络安全技术的研发成为世界性课题。网络安全技术与网络技术密切相关,其中网络技术起源于20世纪60年代,美国国防部高级研究计划署在1969年提出网络技术概念,形成以ARPANET为主干的网络雏形,并迅速衍生出互联网。进入到21世纪,网络技术飞速发展,网络环境更加复杂与多样,网络安全漏洞、网络黑客入侵层出不穷,网络技术面临物理安全、网络结构、系统安全、管理安全等多个层面的安全考验,网络安全技术应运而生。企业网作为企业的网络组织,是伴随企业发展建立起来的网络组织,可以更好地展示企业产品与形象,是企业文化建设、产品推广、内部管理的重要载体,以期满足企业各方面的发展需求,员工借助企业网获取企业通信资源、处理器资源及信息资源,提升员工对企业价值的认同。但在复杂的网络环境与无处不在的网络黑客攻击下,企业网络岌岌可危,如果缺乏对企业网安全性的高度关注,缺乏有效的网络安全加固措施,企业信息被盗取,企业网络框架被摧毁,给企业带来巨大的经济损失。网络安全技术的重要性也伴随企业网的建构逐渐凸显,因此做好企业网络技术安全管理十分必要。
2我国企业网安全维护现状
信息时代的到来,企业对网络的依赖越来越强,通讯工程与电子信息技术使得互联网的优势更加凸显,企业网建设成为企业发展到一定阶段的必然产物,渗透到企业设计、企业管理、企业宣传的方方面面。由此产生的企业网安全问题也伴随而生,带来的网络安全隐患越来越多,企业网网络安全建设与维护成为世界性话题。纵观企业网安全管理现状,首先企业网络软硬件设施参差不齐,不同的经济实力与产业发展潜力决定企业的网络建设水平及安全性能。企业也不约而同地借助一些网络安全技术满足企业网站安全运行需求,比较常见的网络安全技术有防火墙技术、数据加密技术、入侵检测技术、虚拟局域网技术等。基于网络维护经费的差异,经费不足的企业只能满足基本的网络使用需求,网络安全维护需求难以得到关注与满足。因此总体上来说,我国企业网的安全建设投入不足。此外企业之间技术管理水平也具有明显差异,经济实力强的大型企业聘请专业的网络维护专员参与网站安全管理,而实力较弱的中小企业则缺乏专业网络安全技术人员。网络问题的频发更提出了网络安全管理制度建构的需求,但我国网络立法及管理方面稍显薄弱,企业员工普遍缺乏网络安全意识,网络安全管理制度的落地还有一段距离,整个网络环境亟待健全与完善。
3企业网安全影响因素
3.1来自于网络协议的安全缺陷
网络本身具有自由开放与共享性,网络协议是信息共享的关键与前提。目前最为常用的网络协议有TCP/IP协议,IPX/SPX协议等,以网络协议的达成为前提使得网络信息同步与共享,而网络协议也不可避免地存在安全隐患,其安全与否与整个企业网络息息相关,多数协议在设计时对自身安全性关注不多,因此其很容易受到外界恶意攻击,安全性缺乏保障,使得企业网络安全受到威胁。
3.2来自于软硬件层面的安全缺陷
企业网的正常运行除了安全的网络协议,更需要软硬件的支持。而网络软硬件作为互联网的主要组成,其自身安全性却十分脆弱。软硬件层面的安全缺陷比比可见:网络与计算机存在电磁信息泄露风险,软硬件通讯部分具有一定的脆弱性;通讯线路多数为电话线、微波或者电缆,在数据信息传输的过程中,信息更容易被截取;计算机操作系统本身存在缺陷,影响网络稳定及网站正常运营。而软件的缺陷影响也显而易见。软件缺陷因为其先天特征为主,因此无论是小程序还是大型的软件系统都有这样或那样的设计缺陷,而这些设计缺陷则为病毒黑客的入侵提供了便利,网络病毒以软件形式在企业网中传播,对企业网安全带来威胁。
4企业网安全主要威胁因素
4.1计算机系统设计缺陷
计算机系统是企业网的核心,而计算机系统功能的正常发挥得益于计算机系统程序设计的合理,计算机系统程序设计相对简单,但难点在于后期的维护与定期的升级优化。网络建设不能一蹴而就,网络建构是从不系统不完善到系统完善逐渐过渡的过程,网络建构初期就应该树立系统维护与管理意识,将网络安全融入网络建构的每个环节。通过定期的网络检测,优化程序设计,弥补系统程序设计漏洞,及时发现潜在的系统安全隐患,制定升级优化计划,有条不紊地完善网站,加固网站,提升企业网的安全性能,确保企业信息的妥善储存与调取。在程序优化的基础上奠定企业网系统运作的良好基础。
4.2计算机病毒入侵的威胁
对于企业网来说,除了计算机系统安全威胁外,计算机病毒入侵是来自外部的侵袭之一,计算机病毒侵入网站内部,干扰原有系统程序的正常运行,导致企业网站系统的瘫痪,导致企业重要数据信息的损毁丢失,使得正常运行的企业网产生安全漏洞,引发病毒传播,企业网站彻底瘫痪。计算机病毒具有潜伏性、隐蔽性、破坏性及传染性四大特点,往往潜伏在网站系统中达几年之久,一旦爆发带来始料未及的网络危害,而这种危害是长期潜伏量变累积的结果。计算机病毒的侵袭往往很隐蔽,网站管理人员及网站自身的抵御系统难以及时察觉,不能进行有效的抵御。其破坏性与传染性使得病毒在计算机内部迅速传播复制,波及整个网站,网站瘫痪。除了极强的破坏性与潜伏性外,计算机病毒种类多样,防不胜防,其中比较常见的有木马病毒、蠕虫病毒、脚本病毒,病毒的存在为黑客攻击及信息盗取提供便利,是企业网的巨大威胁因素。
4.3黑客入侵及恶意性攻击
网络攻击简单地理解就是黑客攻击,黑客一般具备较强的计算机识别技术,通过非法攻击计算机系统,获取计算机用户终端的重要信息。黑客网络攻击有几种常见形式,利用虚假的信息对网络展开攻击,利用计算机病毒控制计算机用户终端,借助网页脚本漏洞加强用户攻击,采用口令账号进攻网站系统,最终导致网站用户信息被窃取,重要文件资料被删除,给企业带来巨大的经济损失,而网站原有的稳定性与安全性也不复存在。
4.4借助网络开展诈骗
随着计算机网络使用环境的开放多元,一些不法分子利用网络诈骗推销,这也是企业网站安全威胁之一。部分企业管理人员缺乏必要的网络诈骗警惕心理,轻信诈骗谎言,给企业带来巨大的财产损失。网络运行的前提是操作系统的稳定,虽然现代技术已经实现网站的定期更新,但在更新过程中也不免有网络安全漏洞,这些漏洞成为黑客、病毒入侵网站的入口,企业网站安全性受到威胁。
5网络安全技术在企业网中的应用
5.1网络防火墙技术
防火墙是最常见的网络安全保护技术,在企业网安全性维护方面发挥重要作用。防火墙可以有效应对网络病毒入侵,在企业网的运用中有两种表现形式,分别为应用级防火墙技术和包过滤型防火墙技术。其中应用型防火墙可以起到服务器保护的作用,在完成终端服务器数据扫描后,及时发现不合理的网络攻击行为,系统自动断开服务器与内网服务器之间的联系,借助终端病毒传播形式确保企业网安全。而包过滤型防火墙主要工作任务是及时过滤路由器传输给计算机的数据信息,实现固定信息的过滤,将病毒黑客阻挡在企业网之外,同时第一时间通知用户拦截病毒信息,做好企业网安全屏障保护。
5.2数据加密处理技术
除了防火墙网络安全保护技术外,数据加密技术在企业网安全维护中也有积极作用。对于企业来说,伴随自身发展壮大,其企业网对安全性与可靠性方面要求更高,而加密技术则很好地满足企业上述安全保护需求。通过将企业内网的相关数据作加密处理,数据传输与信息调取只有在密码输入正确的前提下才能执行,通过文件资料的加密处理提升企业网的安全性能。目前对称加密算法和非对称加密算法是比较常见的加密形式,前者要求加密信息和解密信息需一致,后者的加密方法和解密方法则存在较大差异,这两种加密方法都很难被黑客破解,因此在企业网的安全维护中得到了广泛应用。
5.3病毒查杀处理技术
病毒查杀技术是基于病毒对企业网的威胁而产生的网络安全处理技术,其也是企业网安全维护的常用手段之一。病毒对网络的巨大威胁,该技术的安全维护出发点则是网络系统的检测与更新,最大限度降低漏洞出现频率,用户在未经允许的情况下无法下载正规软件。在安装正版病毒查杀软件后应定期清理病毒数据库。筛查用户不文明网页的浏览行为,如果用户下载不明邮件或者软件,立即进行病毒查杀,检验文件的安全性,确保文件资料安全后允许投入使用,防止病毒对企业网及计算机终端系统的损坏。
5.4系统入侵的检测技术
入侵检测技术在企业网安全维护中可以起到早发现早抵制,将病毒黑客等不良因素排斥在企业网之外。入侵检测技术具有诸多优势。其一,可以通过收集计算机网络数据信息开展自动安全检测。其二,及时发现系统中潜在的安全风险,将侵害行为的危害降到最低。其三,企业网一旦受到侵害,自动发出求救报警信号,系统自动切断入侵通道。其四,做好所有非法入侵的有效拦截。入侵检测技术是企业网的整体监督监控,检测准确,效率高,但其会在一定程度上影响加密技术的功能发挥,该技术在对企业网进行入侵检测时,不可避免存在异常检测及误测情况,异常检测面向整个网站资源用户及系统所有行为,检测范围大,其准确性必然受到影响。此外整个企业网检测要求全面覆盖,耗费大量时间,也降低工作效率。入侵检测技术在企业网安全维护中的引入更需要结合企业网运行实际。
5.5物理环境层面的应对技术
外部网络环境安全与否直接影响到企业网的安全性建设,而外部网络环境主要是网络所对应的物理环境,物理环境包括软硬件环境、通讯线路环境、网站运行环境等几个方面,其中通讯线路环境安全特指信息数据在传输线路上不被恶意拦截或者有意篡改,使得信息数据传输更流畅。建议选择安全性高的光纤作为通讯传输介质。运行环境的影响因素主要是意外断电停电。随着信息化程度的加剧,企业对网络产生巨大依赖,一旦意外断电或者停电,企业数据网络中断,信息正常传输受阻,给企业带来不必要的损失。为了提升运行环境的稳定性,企业安装不间断电源可以有效减少停电带来的损失。定期检查通讯线路,确保线路通畅,提供备选冗余线路,在某条线路发生中断时能选择备份线路连接,确保网络传输正常,降低财产损失。
5.6虚拟局域网安全处理技术
虚拟局域网是起源于国外的网络安全处理技术,其中IEEE组织在1999年颁布了虚拟局域网的标准实现协议在交换式局域网中,可以利用VLAN技术将网络设备划分为多个逻辑子网,开展虚拟工作组数据交换。虚拟局域网操作简单,技术灵活,其在OSI参考模型的数据链路层和网络层上,由单一的子网形成特定的逻辑广播域,子网通过网络层的路由器或者三层交换机转化沟通,实现多个网络设备的多层面覆盖,其灵活性体现在其允许处于不同地理位置的网络用户自由添加到逻辑子网中,这种自由并入技术使得虚拟局域网的网络拓扑结构更清晰。
6结语
企业网是社会时代及企业发展的必然产物,反映了信息社会未来发展轨迹。但与网络建设相伴而生的则是网络安全问题,涉及技术、产品及管理多个层面的内容,带有很强的综合性,仅仅依靠单一的防护体系显然不够。本文在分析网络安全技术发展的基础上,明确了当前企业网主要安全影响因素,针对几种比较重要的网络安全技术在企业网安全维护中的作用作了阐述。在分析网络安全问题时更应该从需求出发,将安全产品的研发与技术结合起来,运用科学的网络管理方法,建构更加系统、高效、安全的企业网络体系。
作者:陈张荣 单位:苏州高等职业技术学校
[参考文献]
[1]王蔚苹.网络安全技术在某企业网中应用研究[D].成都:电子科技大学,2010.
[2]何向东.网络安全管理技术在企业网中的应用[J].微型电脑应用,2013(1):52-53.
随着互联网技术的发展,企业网络规模不断扩大,企业网的运行安全性更加重要。但是企业网运行中安全时间频繁出现,严重影响企业业务的发展,保障网络安全已经成为企业迫切需要解决的问题。
1企业网络规划和安全管理需求分析
公司网络系统成立初期以经营业务为主,建网时间长,部分设备陈旧,网络不安全因素来自本身安全缺陷和认为因素。企业网络均由单个节点构成,所有的工作站和服务器通过双绞线联入交换机。信息中心部署在信息部,形成星状网络结构。每层办公地方设置节点。信息点分布需求方面,每层办公楼设置节点,与信息面板连接。在网络规划中,需要满足企业网的需求,一方面实现网络隔离技术限制部门的访问,另一方面实现防火墙技术配置策略设置规则。同时网络信息的传输要求能够实时监控。网络上资源的访问通过资源具有的IP地址实现,地址划分应该满足简单性原则、连续性原则,地址分配剂量简单,避免采用复杂掩码,同一区域需要采用连续分配网络地址方便管理。
2网络规划设计
网络拓扑结构设计分为核心层、接入层和边界层,核心层由三层交换机组成,接入层由二层交换机组成,边界层设计中,需要使用入侵检测系统和防火墙系统保证安全。公司与下属公司的信息安全传输通过专用网连接VPN实现。IP地址分配。将企业各个部门划分为独立的VLAN,并配置相应的网关和网段,为方面增加日后信息点,不划分子网,采用子网掩码方式。行政部IP地址172.16.10.0/24,方案所IP地址172.16.11.0/24,建筑所IP地址172.16.12.0/24,结构所IP地址172.16.13.0/24,给水排水所IP地址172.16.21.0/24,暖通所IP地址172.16.16.0/24,电气所IP地址172.16.17.0/24。核心层和接入层设备配置Vlan,创建核心交换机,制定名字,进入配置模式,制定IP地址,配置STP、ACL、DHCP,并配置聚合链路。企业内网都可以访问互联网,内网交换机设置中采用防火墙策略,路由器和防火墙建立IPSECVPN隧道,遵守最小介入原则优化和细分安全策略。先进入到防火墙端口,核心层三层交换机连接防火墙s3g,核心二层交换机连接防火墙s3g2,由于核心层承接企业核心业务,因此将接口等级设置为高安全等级,并且将连个接口设置在trust区域中。外来用户访问来自外网,属于非信任区,因此将安全等级设定为低等级。设置防火墙静态路由器,保证内网服务区能够通过防火墙访问外网。配置防火墙策略路由器,根据优先等级设置链路,链路切换通过探测机制实现。设置防火墙安全策略,将不同区域设定为不同的安全等级和IP地址。配置防火墙VPN,在总部防火墙和下级防火墙建立IPSeeVPN隧道。入侵检测系统实现信息传输监控,并能够终端隔离有害信息。在建设初期将检测系统设定为透明桥模式。终端和服务器安全管理系统设置中,设置补丁管理、终端桌面管理、文件审计管理等,防治ATP攻击,过滤恶意URL,加速补丁修复,管理资产、单点维护,实现移动存储管理等。
3安全管理分析
利用网络安全性技术保护网络系统安全。网络系统安全管理设计中分析系统安全技术,从硬件设计、非法用户入侵、网络安全等角度进行分析。硬件设备安全是保证系统安全可靠的基础,系统硬件设备组成部门包括工作组交换机、服务器、工作站等,硬件设备的安全性还取决于设备本身的性能。数据中心机房安全设计中,要求根据实际情况进行装修,设置接地和防雷装置,并配备UPS。总配线设置中应充分考虑电磁干扰因素,机房温度适宜,湿度维持在30~50%。在机房设置独立接地系统,安装合适接地端子,要求天花板高度在2.5米以上。安全管理做好病毒防护工作。利用全范围企业防毒产品,集中保护网络电脑,采用病毒防护技术、程度内核安全技术保护数据。病毒防护方案中实施统一监控和分布式的部署方式,公司根据实际情况制定防病毒策略和计划,总公司负责全网病毒定义码、将升级文件分配到相应的服务器。提交被隔离的文件,并进行扫描引擎。通过广域网集中控制和管理病毒管理服务器,在必要时,直接管理下级公司病毒服务器。针对公司线以后的管理体制和系统架构,设计二级管理中心来复杂病毒防护系统的实施。公司复杂局域网防病毒软件安装,制定防病毒策略,监控局域网防病毒状态,下属负责自己局域网监控,并作出响应。建立统一分级管理病毒管理体系,用来存储网络病毒事件,了解病毒发生地方、过程、事件、危害以及处理等。同时在管理中心成立响应中心和安全事件管理中心,根据网络可能需求部署安全产品,如入册检测系统、防火墙、扫描系统等。同时建立垃圾邮件过滤系统方案,外部发来邮件先经过DNS解析后发送至IMSS,有效查杀邮件传播病毒。对设计系统进行测试和维护,测试结果显示网络规划能够确保挽留过安全。在后期维护中主要负责网络正常运转。
4结语
综上所述,文章在分析企业网络需求基础上进行网络规划,满足企业网安全需求,实现交互数据交换。企业网络规划安全管理中,安全管理最为企业重要组成部分,同样需要建立管理制度,促使员工遵循使用规则,避免病毒入网。
引用:
[1]关天柱.中小型企业网络规划及安全管理的研究[J].电脑知识与技术,2010,06(9X):7197-7198.
随着数字化和信息化进程的不断加速,企业网络规模和应用范围日益扩大。制药企业作为技术密集型企业,多以精深工艺、提升品质、加强管理为目的,建立了由ERP、电子商务、Web网站、OA构成的网络系统。目前,网络已应用于制药企业各个事务层面,因此网络安全尤为重要,必须建立多层次的安全体系架构,作为企业网络系统的基础保障。
一、安全架构设计要点
(一)多元线程。安全架构分为“预防”、“治理”、“巩固”三个线程。“预防”是通过Windows Server Update Services更新服务,及时修补内网终端与服务器的系统漏洞。“治理”是针对不同的安全威胁进行防护。对于病毒威胁和黑客入侵,进行软硬件联合防御。“巩固”是保存完整网络日志,有科学的备份策略,对终端计算机的严格管理,保证终端安全。
(二)立体布局。安全架构设计要兼顾物理层、链路层、网络层和应用层,形成立体化的防护布局。以安全域来划分为主线,同一安全域共享公用的信息资源、安全基础设施、网络基础设施等。
(三)系统管理。安全架构包括技术层和管理层两方面,必须建立安全管理系统与安全技术相适应。管理系统要求严密的岗位分工,以及日常维护管理制度。一个合理的管理系统能够明确网络边界,增强网络的可控性,实现有计划的访问控制,有效阻止渗透式网络攻击。
二、安全架构设计方案
(一)网络平台方案设计
1.网络结构设计。制药企业的网络设置采用拓扑结构,根据药品的生产、销售、组织、管理等部门分成多个子网,共同构建企业网络平台。在各VLAN之间布置路由,实现各VLAN间的自由互访。但各子网间互访需要进行网络验证,避免某子网的安全威胁获得扩大性传播。
2.域管理设计。为实现集中式管理,应在制药企业网络平台布局域管理。域管理可以实现单一账户登录,单节点管理,具有安全便捷的优点。企业内网络终端设备较多,因此要进行网络标签设置,具体规则如下:XX――X――XX,字符分别代表了一定含义,第一段字符代表所属网关,第二段代表部门,第三段代表姓名全拼,唯一的网络标签可以保证定位的速度与精度。
3.入侵检测设计。网络入侵检测是通过防火墙和专用软件(IDS)实现的。配置企业级防火墙,可以杜绝内外网间的病毒威胁,提供相对安全的网络环境。而网康、绿盟、安全胄甲等专业入侵检测软件(IDS)则是对防火墙的合理补充,IDS从企业网络中采集关键信息,分析总流量、上传量、ERP等数据变化,自主判断网络中违反安全策略的行为。联合应用防火墙与IDS,可以实时、动态地保护网络平台,扩展系统管理员的安全管理能力,形成完整的网络安全平台结构。
(二)防治病毒方案设计
1.分布式部署。一般而言,制药企业规模庞大且机构复杂,由多个服务器构成子网,因此在防毒软件的安装方面,要采用分布部署的方法,分地域、分工段、分部门进行配置,并根据企业现有的网络构架,设立多级病毒防治管理中心,负责各自网段的病毒查杀工作。
2.网络边缘防护。网络边缘是靠近用户端的网络层面,对其进行病毒防护的方法是在部署好防病毒网关后再连接外网,全面扫描网络后安置硬件防毒墙。建议使用网神、驱逐舰、趋势,瑞星、 MacAfee等品牌防毒墙,针对HTTP、FTP协议进行查杀病毒。再配置一套符合企业网络应用需要的安全策略,控制多项网络端口,填补边缘防护缺口,建立起软硬件相结合的安全屏障。
3.防病毒管理。防毒技术是网络安全架构的技术保障,而技术需要管理制度作为保障才能发挥最大效用。制药企业防毒管理制度应包括:强制实施防病毒策略,严肃工作纪律;定期检查硬件防毒墙运行状态,调整工作参数,避免过热过劳运行;定期升级防毒软件病毒库,如有大规模病毒爆发需进行专项治理;加强移动存储介质管理,不使用来源不明的存储介质。
(三)数据备份和审计方案设计
数据备份和审计是制药企业网络安全架构的重要组件。数据备份的作用是记录各类网络信息,为查找漏洞、排除问题、安全设置提供参考。考虑到制药企业数据备份的规模及对数据安全的要求,可利用IBM公司开发的iSCSI接口,将现有SCSI接口与以太网络结合,实现服务器与IP网络储存装置的资料交换。由于备份管理软件对存储性能有重要影响,应用符合一定技术标准的备份软件,具备快速存取能力、极简管理能力和灾难恢复能力。另外,备份软件要适应当前的网络条件,能同时支持64位和32位WINDOWS系统、UNIX、IOS系统,能在常用系统平台进行主动式备份。建议采用FileGee等备份软件,实现自动备份文件,并可进行多介质服务器管理,提供集中管理备份策略。
数据备份的目的是进行数据审计,通过检索备份数据,分析数据特征和变化趋势,对企业内服务器和终端设备进行安全审计。终端设备审计方案是:调取网络数据,对各种网络应用进行识别、记录和控制,在此基础上判断网络行为正当与否,如存在安全隐患则采取紧急策略,对问题网络端口进行控制。服务器审计方案是:在数据库中提取记录企业服务器运行信息,包括网络设备、安全设备、主机、数据库和应用系统日志,作出勘察、判断与决策,防止误操作和不当操作行为,预防各种潜在的违规操作行为。
三、总结
本文立足于制药企业的网络管理实际,拟定了三项网络系统安全架构的设计要点,提出安全规划,明确建设目标。网络安全架构设计以平台安全、防治病毒、数据备份和审计为基点,兼顾了整体性和可操作性,设计出符合线程化、立体化、系统化要求的安全架构,为制药企业网络安全应用和管理提供了技术支持。
参考文献: