導語：如何才能寫好一篇企業(yè)網(wǎng)絡(luò)安全實施方案，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公文云整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞：中小企事業(yè)單位；信息化；網(wǎng)絡(luò)安全；解決方案

當前，網(wǎng)絡(luò)安全問題主要來源于兩個方面：一方面來源于Internet，Internet給企事業(yè)網(wǎng)絡(luò)帶來成熟的應(yīng)用技術(shù)的同時，也把固有的安全問題帶給了企事業(yè)網(wǎng)絡(luò)；另一方面來源于企事業(yè)內(nèi)部，因為是內(nèi)部網(wǎng)絡(luò)，主要針對企事業(yè)內(nèi)部的人員和企事業(yè)內(nèi)部的信息資源，因此，企事業(yè)網(wǎng)絡(luò)同時又面臨自身所特有的安全問題。網(wǎng)絡(luò)的開放性和共享性在方便了人們使用的同時，也使得網(wǎng)絡(luò)很容易遭受到攻擊，而攻擊的后果是嚴重的，諸如重要數(shù)據(jù)被人竊取、服務(wù)器不能提供服務(wù)等等。要想解決網(wǎng)絡(luò)的安全問題，我們就要從網(wǎng)絡(luò)的設(shè)計和使用兩方面著手進行分析處理。

1　中小企事業(yè)單位網(wǎng)絡(luò)設(shè)計原則

由于所處行業(yè)不同，各企事業(yè)單位的網(wǎng)絡(luò)結(jié)構(gòu)也存在著一定的差異。但總的來說，網(wǎng)絡(luò)的設(shè)計原則是一致的。

(1)實用性和經(jīng)濟性，根據(jù)中小企事業(yè)單位的特點，網(wǎng)絡(luò)系統(tǒng)建設(shè)應(yīng)始終貫徹面向應(yīng)用、注重實效的方針，堅持實用、經(jīng)濟的原則，建設(shè)企事業(yè)單位的網(wǎng)絡(luò)系統(tǒng)。

(2)先進性和成熟性。網(wǎng)絡(luò)系統(tǒng)設(shè)計既要采用先進的概念、技術(shù)和方法，又要注意結(jié)構(gòu)、設(shè)備、工具的相對成熟，不但能反映當今的先進水平，而且具有發(fā)展?jié)摿?，能保證在未來若干年內(nèi)網(wǎng)絡(luò)仍占領(lǐng)先地位。

(3)可靠性和穩(wěn)定性。在考慮技術(shù)先進性和開放性的同時，還應(yīng)從系統(tǒng)結(jié)構(gòu)、技術(shù)措施、設(shè)備性能、系統(tǒng)管理、廠商技術(shù)支持及維修能力等方面著手，確保系統(tǒng)運行的可靠和穩(wěn)定，達到最大的平均無故障時間。

(4)安全性和保密性。在網(wǎng)絡(luò)系統(tǒng)設(shè)計中，既要考慮信息資源的充分共享，更要注意信息的保護和隔離，因此系統(tǒng)應(yīng)分別針對不同的應(yīng)用和不同的網(wǎng)絡(luò)通信環(huán)境，采取不同的安全措施，包括系統(tǒng)安全機制、數(shù)據(jù)存取的權(quán)限控制等。

(5)可擴展性和易維護性。為了適應(yīng)系統(tǒng)變化的要求，必須充分考慮以最簡便的方法、最低的投資，實現(xiàn)系統(tǒng)的擴展和維護，采用可網(wǎng)管產(chǎn)品，降低了人力資源的費用，提高網(wǎng)絡(luò)的易用性。

2　網(wǎng)絡(luò)設(shè)計階段安全解決方案

網(wǎng)絡(luò)安全問題貫穿于網(wǎng)絡(luò)設(shè)計和使用階段。在網(wǎng)絡(luò)設(shè)計階段可采取的網(wǎng)絡(luò)安全措施主要有以下幾種：

(1)物理措施。加強對網(wǎng)絡(luò)關(guān)鍵設(shè)備(如交換機、路由器等)的保護，制定嚴格的網(wǎng)絡(luò)安全規(guī)章制度，采取防輻射、防火以及安裝不間斷電源(UPS)等措施，確保網(wǎng)絡(luò)關(guān)鍵設(shè)備的正常運行。

(2)網(wǎng)絡(luò)分段。目前，大多數(shù)中小企事業(yè)單位網(wǎng)絡(luò)采用以廣播為基礎(chǔ)的以太網(wǎng)，任何兩個節(jié)點之間的通信數(shù)據(jù)包，可以被處在同一以太網(wǎng)上的任何一個節(jié)點的網(wǎng)卡所截取。因此，黑客只要接入以太網(wǎng)上的任一節(jié)點進行偵聽，就可以捕獲發(fā)生在這個以太網(wǎng)上的所有數(shù)據(jù)包，對其進行解包分析，從而竊取關(guān)鍵信息。網(wǎng)絡(luò)分段就是將非法用戶與網(wǎng)絡(luò)資源相互隔離，從而達到限制用戶非法訪問的目的。

(3)硬件防火墻技術(shù)。防火墻在網(wǎng)絡(luò)安全的實現(xiàn)當中扮演著重要的角色。防火墻通常位于企事業(yè)網(wǎng)絡(luò)的邊緣，這使得內(nèi)部網(wǎng)絡(luò)與Internet之間或者與其他外部網(wǎng)絡(luò)互相隔離，并限制網(wǎng)絡(luò)互訪從而保護企業(yè)內(nèi)部網(wǎng)絡(luò)。設(shè)置防火墻的目的都是為了在內(nèi)部網(wǎng)與外部網(wǎng)之間設(shè)立唯一的通道，簡化網(wǎng)絡(luò)的安全管理。

(4)VLAN技術(shù)。選擇VLAN技術(shù)可較好地從鏈路層實施網(wǎng)絡(luò)安全保障。VLAN指通過交換設(shè)備在網(wǎng)絡(luò)的物理拓撲結(jié)構(gòu)基礎(chǔ)上建立一個邏輯網(wǎng)絡(luò)，它依靠用戶的邏輯設(shè)定將原來物理上互連的一個局域網(wǎng)劃分為多個虛擬子網(wǎng)，劃分的依據(jù)可以是設(shè)備所連端口、用戶節(jié)點的MAC地址等。該技術(shù)能有效地控制網(wǎng)絡(luò)流量、防止廣播風暴，還可利用MAC層的數(shù)據(jù)包過濾技術(shù)，對安全性要求高的VLAN端口實施MAC幀過濾。而且，即使黑客攻破某一虛擬子網(wǎng)，也無法得到整個網(wǎng)絡(luò)的信息。

(5)硬件隔離設(shè)置。對于安全性能要求較高的終端，可采用硬件隔離技術(shù)，物理上徹底隔斷兩個網(wǎng)絡(luò)環(huán)境，針對不同安全級別網(wǎng)絡(luò)的需求，可采用終端級隔離、信道級隔離和網(wǎng)絡(luò)級隔離三種方案，確保信息的安全。

3　影響網(wǎng)絡(luò)安全的幾種錯誤使用習慣

盡管在網(wǎng)絡(luò)設(shè)計階段我們采取了種種安全措施，但在使用過程中仍不可避免受到安全問題的困擾，這要從網(wǎng)絡(luò)具體使用人員的錯誤使用習慣說起。

(1)不恰當?shù)拿艽a使用。密碼是最簡單的安全形式，如果密碼為空或者是過于簡單(如“123456”或者是“admin”)，未經(jīng)授權(quán)的使用者可以很容易去瀏覽敏感數(shù)據(jù)。如果密碼中既包含字母也包含數(shù)字，并且既有大寫也有小寫，那么密碼就會更安全。還有一點值得注意的就是密碼要經(jīng)常更換。

(2)忽視安全補丁。在你的操作系統(tǒng)中，大多數(shù)會存在著安全漏洞。沒有任何一種軟件是完美的，一旦一個缺陷或是漏洞被發(fā)現(xiàn)，經(jīng)常就會在很短的一段時間內(nèi)被黑客和惡意程序利用，對用戶產(chǎn)生巨大的危害。因此，盡快安裝安全補丁是必要的，也是必須的。

(3)不安裝殺毒軟件。沒有安裝殺毒軟件的計算機直接連在網(wǎng)絡(luò)上是不安全的。你的個人信息隨時都可能被黑客或者惡意程序所監(jiān)控。因此，在使用網(wǎng)絡(luò)或是無線網(wǎng)卡聯(lián)網(wǎng)之前，要先裝上殺毒軟件。理論上來說，這種軟件應(yīng)該包含病毒防護、間諜軟件掃描以及防止惡意軟件在后臺安裝程序等功能。安裝后及時升級病毒庫是很關(guān)鍵的。這樣能確保殺毒軟件監(jiān)測到最新的病毒和惡意軟件，保證用戶的電腦可以更加安全地運行。

(4)不使用加密技術(shù)。儲存和傳遞未加密的數(shù)據(jù)等于是把這些數(shù)據(jù)公之于眾。在銀行業(yè)和信用卡中，加密技術(shù)尤為重要。

4　網(wǎng)絡(luò)使用階段安全防范措施

以上幾種錯誤使用習慣經(jīng)常出現(xiàn)的根本原因就是用戶缺少安全意識。未受網(wǎng)絡(luò)安全培訓的電腦使用者經(jīng)常成為病毒、間諜軟件和網(wǎng)絡(luò)釣魚的受害者，是與他們?nèi)鄙侔踩庾R分不開的。對員工進行安全意識教育和網(wǎng)絡(luò)安全策略的培訓至關(guān)重要。大量的調(diào)查研究已經(jīng)證實，內(nèi)部的人員已經(jīng)成為網(wǎng)絡(luò)安全的最大潛在威脅，因為他們擁有最大的訪問權(quán)限。除了這一點外，網(wǎng)管人員還應(yīng)根據(jù)單位的實際情況，做好如下安全防范措施：

(1)IP地址與MAC綁定。加大網(wǎng)絡(luò)監(jiān)管力度，嚴格控制本單位IP地址的分配，做好IP地址使用備案，做好IP地址與MAC地址的綁定，避免發(fā)生因個別計算機遭到ARP攻擊而造成整個網(wǎng)絡(luò)癱瘓的問題。

(2)訪問控制，對用戶訪問網(wǎng)絡(luò)資源的權(quán)限進行嚴格的認證和控制。例如：進行用戶身份認證，對口令加密、更新和鑒別，設(shè)置用戶訪問目錄和文件的權(quán)限，控制網(wǎng)絡(luò)設(shè)備配置的權(quán)限，等等。

(3)補丁管理。不但要對操作系統(tǒng)打補丁，還要為應(yīng)用程序打補丁。為所有的系統(tǒng)和第三方的應(yīng)用程序制定慎密的安全計劃。管理員要清醒地知道，哪些計算機和軟件需要更新和升級。

(4)數(shù)據(jù)加密。加密是保護數(shù)據(jù)安全的重要手段。加密的作用是保障信息被人截獲后不能讀懂其含義。

(5)安裝網(wǎng)絡(luò)防病毒系統(tǒng)。及時升級病毒庫，定期對計算機進行查殺，防止病毒對系統(tǒng)安全造成破壞。

(6)無線網(wǎng)絡(luò)安全。設(shè)置接入密碼和用戶身份確認，設(shè)備在不使用時斷電。

篇2

關(guān)鍵詞 電力企業(yè)；信息安全；防護措施

中圖分類號TM7 文獻標識碼A 文章編號 1674-6708（2012）65-0022-03

信息化是社會生產(chǎn)力與生產(chǎn)方式發(fā)展的一個必然趨勢，是我國顯得文明建設(shè)的一項重要標志。信息化建設(shè)能夠帶動企業(yè)管理水平與生產(chǎn)效能的提高，信息資源作為一種重要的資源，其重要性逐漸被人們所認識。電力企業(yè)屬于技術(shù)密集型產(chǎn)業(yè)，對于生產(chǎn)自動化與集約化都有著較高的要求，因此也是較早的進行信息化建設(shè)的一批企業(yè)，并且也取得了一些顯著的成效，但是也正是因為起步較早，缺乏經(jīng)驗，因此在信息化網(wǎng)絡(luò)的建設(shè)中總是存在著很多問題，而這些問題已經(jīng)逐漸成為了電力企業(yè)網(wǎng)絡(luò)信息安全的隱患，因此，加強網(wǎng)絡(luò)信息安全已經(jīng)成為了電力企業(yè)發(fā)展的重要組成部分。

1 電力企業(yè)網(wǎng)絡(luò)信息安全現(xiàn)狀分析

各級電力企業(yè)因為生產(chǎn)經(jīng)營與管理的需要，都在不同程度上建成了自己的自動化系統(tǒng)，變電站基本也實現(xiàn)了“四遙”和無人值守。并且也建立起了企業(yè)自己的管理系統(tǒng)來對生產(chǎn)、營銷、財務(wù)、行政辦公等工作進行覆蓋，并已經(jīng)進行了實用化具有較高安全等級的調(diào)度自動化系統(tǒng)已經(jīng)通過WEB網(wǎng)關(guān)與MIS之間進行相互的信息訪問，部分地方已經(jīng)安裝了正向隔離器，進而實現(xiàn)了物理隔離與數(shù)據(jù)的安全訪問。

各個電力企業(yè)已經(jīng)制定了安全策略，并實施了一部分，同時實現(xiàn)了互聯(lián)網(wǎng)的安全接入。

將營銷支持網(wǎng)絡(luò)與呼叫接入系統(tǒng)和MIS網(wǎng)絡(luò)進行了整合，并且已經(jīng)與用戶、銀行等企業(yè)實現(xiàn)了信息的安全共享，對自身的服務(wù)手段進行了優(yōu)化。

邊遠地區(qū)的班站基本都通過VPN技術(shù)來實現(xiàn)了遠程班組聯(lián)網(wǎng)的要求，并能夠?qū)崿F(xiàn)大范圍的信息共享，而且應(yīng)用范圍也變得更加的廣泛。利用VPN的高級應(yīng)用能夠構(gòu)建起基于互聯(lián)網(wǎng)的各種遠程服務(wù)。

2 電力企業(yè)網(wǎng)絡(luò)信息安全方面存在的問題

2.1不同的網(wǎng)絡(luò)之間沒有嚴格的進行等級劃分

根據(jù)《全國電力二次系統(tǒng)安全防護總體方案》，電力企業(yè)對于不同安全等級的網(wǎng)絡(luò)必須要進行安全等級的劃分。在縱向上，電力企業(yè)需要實現(xiàn)實時監(jiān)控系統(tǒng)之間的互聯(lián)。各個自動化系統(tǒng)與低調(diào)系統(tǒng)之間都是通過載波進行單向數(shù)據(jù)轉(zhuǎn)發(fā)，而部分基層電力企業(yè)都沒有實現(xiàn)網(wǎng)絡(luò)化的數(shù)據(jù)傳輸，同時在主站與廠站之間也沒有實現(xiàn)光纖載波雙通道。在橫向上，要求能夠?qū)崿F(xiàn)實時監(jiān)控系統(tǒng)與非實時監(jiān)控系統(tǒng)之間的相互連接。根據(jù)當前的互聯(lián)網(wǎng)現(xiàn)狀與通信現(xiàn)狀，主要還存在著這些問題：1）單向數(shù)據(jù)的傳輸難以實現(xiàn)真正意義上的數(shù)據(jù)共享，同時在與非實時系統(tǒng)之間的接口上也沒有進行標準數(shù)據(jù)接口的建設(shè)；2）部分電力企業(yè)沒有利用MPLS VPN技術(shù)組建數(shù)據(jù)調(diào)度網(wǎng)，沒有滿足相關(guān)的安全要求；3）上下級的調(diào)度之間沒有部署必須的認證加密裝置。

2.2隨著技術(shù)的發(fā)展與電力企業(yè)的業(yè)務(wù)發(fā)展，現(xiàn)有的網(wǎng)絡(luò)安全防護能力難以滿足要求

隨著信息技術(shù)的發(fā)展與電力企業(yè)自身業(yè)務(wù)的發(fā)展要求，網(wǎng)絡(luò)安全越來越受到重視，但是現(xiàn)有的網(wǎng)絡(luò)安全防護能力明顯不足，缺乏有效的管控手段，同時管理水平也急需要提高。如今的電力企業(yè)還缺少一套完善的服務(wù)器病毒防護系統(tǒng)，有一些地市、縣局都是使用的省公司所同一部署的趨勢防毒軟件，有的甚至還采用的是單機版的瑞星、江民、卡巴斯基等防病毒軟件，相對而言，防護能力還有所不足。當受到攻擊時，容易出現(xiàn)系統(tǒng)癱瘓。同時還沒有能夠建立起一套完善的數(shù)據(jù)備份恢復(fù)機制，如果數(shù)據(jù)受到破壞，那么所受到的損失將難以估量。沒有一套完善的網(wǎng)管軟件，難以對一些內(nèi)部用戶的過激行為進行有效的監(jiān)管，例如IP盜用、沖突，濫用網(wǎng)絡(luò)資源（BT下載等），等等。還沒有能夠建立起一套完善的評測和風險評估制度，對于當前電力企業(yè)的網(wǎng)絡(luò)安全現(xiàn)狀難以進行有效的評估。同時，我國也缺乏專業(yè)的評測機構(gòu)，這就使得電力企業(yè)網(wǎng)絡(luò)安全風險與隱患都難以被及時發(fā)現(xiàn)和進行有效的防范，使得電力企業(yè)的防范能力難以得到持續(xù)增強。

2.3電力企業(yè)服務(wù)器存在的安全隱患

在電力系統(tǒng)中有著十分眾多的服務(wù)器。隨著網(wǎng)絡(luò)攻擊手段與攻擊技術(shù)的不斷更新，服務(wù)器攻擊愈演愈烈，因此擁有眾多服務(wù)器的電力系統(tǒng)成為了攻擊的首選對象。在電力企業(yè)中的服務(wù)器主要包括了數(shù)據(jù)庫服務(wù)器、應(yīng)用服務(wù)器、Web服務(wù)器、算費服務(wù)器、銀電聯(lián)網(wǎng)服務(wù)器等多種服務(wù)器，眾多的服務(wù)器也使得其存在著嚴重的安全隱患：1）電力企業(yè)的網(wǎng)絡(luò)中，每一個服務(wù)器都擁有自己獨立的認證系統(tǒng)，但是這些服務(wù)器卻缺乏統(tǒng)一的權(quán)限管理策略，管理員難以進行統(tǒng)一的有效管理；2）Web服務(wù)器和流媒體服務(wù)器長期遭受到來自于互聯(lián)網(wǎng)的DDoS以及各種病毒的侵襲；3）讓郵件服務(wù)器中受到大量的垃圾郵件的干擾，并且也難以進行有效的信息監(jiān)管，經(jīng)常會發(fā)生企業(yè)員工通過電子郵件來傳遞企業(yè)的機密信息的安全事件；4）權(quán)限劃分不明確，容易受到來自外部黑客的攻擊，例如通過SQL注入、腳本注入、命令注入方式等方式來竊取數(shù)據(jù)庫中的機密數(shù)據(jù)；5）與總公司服務(wù)器通信過程中有些機密信息由于沒有采取加密措施，很容易被竊聽而泄密。

2.4各種惡意網(wǎng)頁所帶來的網(wǎng)絡(luò)安全威脅

電力企業(yè)擁有自己的主題網(wǎng)站，并通過互聯(lián)網(wǎng)與外網(wǎng)相連。每一個電腦使用者都會通過對網(wǎng)頁的點擊來尋找對自己有用的信息，電力企業(yè)內(nèi)網(wǎng)與外網(wǎng)相連，因此，電力企業(yè)中的員工也會通過與外網(wǎng)的鏈接，從互聯(lián)網(wǎng)中搜索對自己有用的信息，但是并不是所有的網(wǎng)頁都是安全的，有一些網(wǎng)站的開發(fā)者或者是黑客會為了能夠達到某種目的對網(wǎng)頁進行修改，進而達到某種目的，當電力企業(yè)的內(nèi)部員工通過電力企業(yè)內(nèi)部的網(wǎng)絡(luò)進行訪問時，就會受到來自這些惡意網(wǎng)頁的攻擊。

2.5設(shè)備本身與系統(tǒng)軟件存在漏洞

由于電力企業(yè)的信息化建設(shè)較早，這就導致了很多設(shè)備與軟件都出現(xiàn)了各種安全漏洞，這些都導致了不良安全后果的程度增加。信息網(wǎng)絡(luò)自身在操作系統(tǒng)、數(shù)據(jù)庫以及通信協(xié)議等存在安全漏洞和隱蔽信道等不安全因素；存儲介質(zhì)損壞造成大量信息的丟失，殘留信息泄密，計算機設(shè)備工作時產(chǎn)生的輻射電磁波造成的信息泄密。信息網(wǎng)絡(luò)使用單位未及時修補或防范軟件漏洞、采用弱口令設(shè)置、缺少訪問控制以及攻擊者利用軟件默認設(shè)置進行攻擊，是導致安全事件發(fā)生的主要原因。

3 電力企業(yè)網(wǎng)絡(luò)信息安全防護措施

3.1進行網(wǎng)絡(luò)安全風險評估

電力企業(yè)要解決網(wǎng)絡(luò)安全問題并不能夠僅僅是從技術(shù)上進行考慮，技術(shù)是安全的主體，但是卻不能成為安全的靈魂，而管理才是安全的靈魂。網(wǎng)絡(luò)安全離不開各種安全技術(shù)的具體實施以及各種安全產(chǎn)品的部署，但是現(xiàn)在在市面上出現(xiàn)的安全技術(shù)、安全產(chǎn)品實在是讓人感覺眼花繚亂，難以進行選擇，這時就需要進行風險分析，可行性分析等，對電力企業(yè)當前所面臨的網(wǎng)絡(luò)風險進行分析，并分析解決問題或最大程度降低風險的可行性，對收益與付出進行比較，并分析有哪一些產(chǎn)品能夠讓電力企業(yè)用自己最小的代價滿足其對網(wǎng)絡(luò)安全的需要，同時還需要考慮到安全與效率的權(quán)衡等。對于電力企業(yè)來說，搞清楚信息系統(tǒng)現(xiàn)有以及潛在的風險，充分評估這些風險可能帶來的威脅和影響，將是電力企業(yè)實施安全建設(shè)必，須首先解決的問題，也是制定安全策略的基礎(chǔ)與依據(jù)。

3.2構(gòu)建防火墻

防火墻是一種能有效保護計算機網(wǎng)絡(luò)安全的技術(shù)性措施，有軟件防火墻與硬件防火墻這兩類。防火墻能夠有效的阻止網(wǎng)絡(luò)中的各種非法訪問以及構(gòu)建起起一道安全的屏障，對于信息的輸入、輸出都能夠進行有效的控制?？梢栽诰W(wǎng)絡(luò)邊界上通過硬件防火墻的構(gòu)建，對電力企業(yè)內(nèi)網(wǎng)與外網(wǎng)之間的通信進行監(jiān)控，并能夠有效的對內(nèi)網(wǎng)和外網(wǎng)進行隔離，從而能夠阻檔外部網(wǎng)絡(luò)的侵人。對于電力企業(yè)可以通過“防火墻+殺毒軟件”的配置來對內(nèi)部的服務(wù)器與計算機進行安全保護。同時還需要定期的進行升級。為了防止各種意外的發(fā)生，需要對各種數(shù)據(jù)進行定期的備份。需要定期的對個硬件以及各種備份的有效性進行檢驗。電力企業(yè)防火墻體系構(gòu)建如下：

訪問控制列表構(gòu)建防火墻控制體系。通過對訪問控制列表的調(diào)節(jié)能夠有效的實現(xiàn)路由器對數(shù)據(jù)包的選擇。通過對訪問控制列表的增刪，能有效的對網(wǎng)絡(luò)進行控制，對流入和流出路由器接口的數(shù)據(jù)包進行過濾，達到部分網(wǎng)絡(luò)防火墻的效果。

配置硬件防火墻。在電力企業(yè)中硬件防火墻的使用較多，但是能夠真正發(fā)揮作用的就不多了。在使用硬件防火墻前，需要將防火墻與企業(yè)的整個網(wǎng)絡(luò)配置好。首先需要對防火墻的工作模式進行選擇，例如WatchGuard這款防火墻具有兩種工作模式，一種是Drop-In Mode，另外一種是Routed Mode。前面的那一種模式主要是用于不帶“非軍事區(qū)”或者是沒有內(nèi)網(wǎng)的網(wǎng)絡(luò)環(huán)節(jié)中，因此，電力企業(yè)中就應(yīng)該選擇Routed Mode這種模式。然后將其中的外接網(wǎng)口、內(nèi)部接口、“非軍事區(qū)”等選項添好，當對網(wǎng)絡(luò)設(shè)置完成之后，就可以利用相應(yīng)的GUI 程序與硬件防火墻進行連接，并對應(yīng)將防火墻進行進一步的配置。在電力企業(yè)中有很多部門，每一個部門對網(wǎng)絡(luò)安全的具體需求都不相同。因此，在設(shè)置時需要考慮到部門的具體情況。

3.3加強對計算機病毒的預(yù)防控制

計算機病毒的防治是網(wǎng)絡(luò)安全的主要組成部分，而對電力企業(yè)的網(wǎng)絡(luò)安全造成威脅的主要是各種新型的病毒。若要從根本上防止新型態(tài)病毒對企業(yè)的威脅，就必須從監(jiān)控、強制、防止及恢復(fù)等四個階段對新型態(tài)病毒進行管理。

控制計算機病毒爆發(fā)次數(shù)，降低病毒對業(yè)務(wù)所產(chǎn)生的影響。我們知道，病毒從感染單臺客戶機?擴散?爆發(fā)，均需要一段空窗期。很多時候，管理人員都是在病毒爆發(fā)之后才能夠發(fā)現(xiàn)問題，但是這時已經(jīng)太晚。因此需要能夠在病毒擴散期就發(fā)現(xiàn)問題根源，才能夠有效的降低病毒爆發(fā)的概率。

網(wǎng)絡(luò)層防毒將能夠有效的對病毒進行預(yù)防。在電力企業(yè)中，需要將網(wǎng)絡(luò)病毒的防范作為最重要的防范對象，通過在網(wǎng)絡(luò)接口和重要安全區(qū)域部署網(wǎng)絡(luò)病毒墻，在網(wǎng)絡(luò)層全面消除外來病毒的威脅，使得網(wǎng)絡(luò)病毒不能再肆意傳播，同時結(jié)合病毒所利用的傳播途徑，對整個安全策略進行貫徹。

預(yù)防病毒并不能夠完全的依靠病毒的特征碼，還必須要實現(xiàn)對病毒發(fā)作的整個生命周期進行管理。必須要建立起一套完善的預(yù)警機制、清除機制、修復(fù)機制，通過這些機制來保障病毒能夠被高效處理，防毒系統(tǒng)需要在病毒代碼到來之前，就能夠通過可疑信息過濾、端口屏蔽、共享控制、重要文件/文件夾寫保護等各種手段來對病毒進行有效控制，使得新病毒未進來的進不來、進來的又沒有擴散的途徑。在清除與修復(fù)階段又可以對這些病毒高效清除，快速恢復(fù)系統(tǒng)至正常狀態(tài)。

3.4開展電力企業(yè)內(nèi)部的全員信息安全教育和培訓活動

安全意識和相關(guān)技能的教育是企業(yè)安全管理中重要的內(nèi)容，信息安全不僅僅是信息部門的事，它牽涉到企業(yè)所有的員工，為了保證安全的成功和有效，應(yīng)當對企業(yè)各級管理人員，用戶，技術(shù)人員進行安全培訓，減少人為差錯，失誤造成的安全風險。

開展安全教育和培訓還應(yīng)該注意安全知識的層次性，主管信息安全工作的負責人或各級管理人員，重點是了解，掌握企業(yè)信息安全的整體策略及目標，信息安全體系的構(gòu)成，安全管理部門的建立和管理制度的制定等;負責信息安全運行管理及維護的技術(shù)人員，重點是充分理解信息安全管理策略，掌握安全評估的基本方法，對安全操作和維護技術(shù)的合理運用等;用戶，重點是學習各種安全操作流程，了解和掌握與其相關(guān)的安全策略，包括自身應(yīng)該承擔的安全職責等。

4 結(jié)論

網(wǎng)絡(luò)安全是一個綜合系統(tǒng)，不僅僅涉及到技術(shù)層面的問題同時還會涉及到管理上面的問題。網(wǎng)絡(luò)上，無論是硬件還是軟件出現(xiàn)問題都會對整個網(wǎng)絡(luò)安全形成威脅，產(chǎn)生出網(wǎng)絡(luò)安全問題。我們需要通過系統(tǒng)工程的觀點、方法對當前電力企業(yè)中的網(wǎng)絡(luò)安全現(xiàn)狀進行分析，并提出提高網(wǎng)絡(luò)安全性的措施。在電力企業(yè)的網(wǎng)絡(luò)中，包括了個人、硬件設(shè)備、軟件、數(shù)據(jù)等多個環(huán)節(jié)，這些環(huán)節(jié)在網(wǎng)絡(luò)中所具有的地位與影響都需要從整個電力企業(yè)的網(wǎng)絡(luò)系統(tǒng)去進行整體的看待和分析。電力企業(yè)的網(wǎng)絡(luò)安全必須要進行風險評估才能夠制定出合理的計劃。

參考文獻

[1]余志榮.淺析電力企業(yè)網(wǎng)絡(luò)安全[J].福建電腦，2011(7).

[2]周偉.計算機網(wǎng)絡(luò)安全技術(shù)的影響因素與防范措施[J].網(wǎng)友世界，2012(1)．

[3]張鵬宇.電力行業(yè)網(wǎng)絡(luò)安全技術(shù)研究[J].信息與電腦（理論版），2011(1).

篇3

關(guān)鍵詞：網(wǎng)絡(luò)安全；安全威脅；防范措施

前言

在計算機技術(shù)、信息技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展下，企業(yè)在生產(chǎn)活動中都建立了屬于自己的局域網(wǎng)和企業(yè)辦公平臺，從而使企業(yè)在生產(chǎn)和經(jīng)營過程中的數(shù)據(jù)傳輸速度加快，而且業(yè)務(wù)系統(tǒng)及管理系統(tǒng)以網(wǎng)絡(luò)分支的情況下分布開來，這對于企業(yè)管理效率的提升起到了積極的作用。網(wǎng)絡(luò)技術(shù)在企業(yè)中的應(yīng)用，有效的改變了企業(yè)的生產(chǎn)方式，推動了企業(yè)的快速發(fā)展，但其也帶來了一定的隱患，如果不能及時對網(wǎng)絡(luò)的安全進行有效的防范，則會給企業(yè)帶來嚴重的經(jīng)濟損失。

1 企業(yè)網(wǎng)絡(luò)威脅分析

目前企業(yè)在對計算機的使用過程中面臨著來自眾多因素的安全威脅，有些是有意為之，有些是無意之過，但不管何種威脅，對網(wǎng)絡(luò)的安全都會帶來較大的影響，甚至帶來嚴重的后果。

1.1 人為的無意失誤。企業(yè)工作人員由于在計算機使用過程中缺乏必要的安全意識，所設(shè)置的密碼過于簡單，或是隨意將自己的賬號和密碼告之他人，從而使企業(yè)的信息安全受到威脅，使網(wǎng)絡(luò)的安全性受到較大的影響。

1.2 人為的惡意攻擊。這是惡意的利用網(wǎng)絡(luò)的安全漏洞來獲取計算機上的信息的行為，目前已成為網(wǎng)絡(luò)最大的安全隱患。其在攻擊時表現(xiàn)為兩種不同的形式，其中一種是進行主動攻擊，從而使信息的有效性和完整性受到破壞，另一種是被動攻擊，這種攻擊方法在不影響網(wǎng)絡(luò)正常工作的情況下進行，對重要信息進行竊取和破譯，且不易被察覺，這兩種攻擊方式雖然手法上有所不同，但其給計算機所帶來的破壞性是相同的，都會導致機密數(shù)據(jù)被竊取，給企業(yè)帶來無法估量的損失。

1.3 網(wǎng)絡(luò)軟件的漏洞和系統(tǒng)后門。計算機上所使用的軟件和系統(tǒng)都由人來進行設(shè)計，所以其不可避免的會存在著漏洞，這就為黑客進行網(wǎng)絡(luò)攻擊提供了良好的通道，特別是系統(tǒng)后門是設(shè)計人員在設(shè)計之初為方便自己而設(shè)置的，而一旦后門被黑客攻擊，則會帶來無法相象的后果。

1.4 病毒是網(wǎng)絡(luò)安全的一大隱患。計算機病毒每天都呈不斷的增長趨勢，而且各種新病毒頻繁的出現(xiàn)，這就給網(wǎng)絡(luò)防御系統(tǒng)帶來了較大的難題，一旦計算機受到病毒的感染，則其會不斷的被復(fù)制和發(fā)生變異，瞬間則會使系統(tǒng)崩潰，使網(wǎng)絡(luò)上的信息資源受到破壞。

2 企業(yè)網(wǎng)絡(luò)脆弱性分析

2.1 難以抵制針對系統(tǒng)自身缺陷的攻擊。此類攻擊手段包括特洛伊木馬、口令猜測、緩沖區(qū)溢出等。利用系統(tǒng)固有的或系統(tǒng)配置及管理過程中的安全漏洞，穿透或繞過安全設(shè)施的防護策略，達到非法訪問直至控制系統(tǒng)的目的，并以此為跳板，繼續(xù)攻擊其它系統(tǒng)。

2.2 安全監(jiān)控手段不多。企業(yè)局域網(wǎng)對于流量的管理還缺乏必要的監(jiān)控手段，從而使利用P2P和BT下載的現(xiàn)象較為猖獗，這樣就導致本來就限流量的網(wǎng)絡(luò)發(fā)生阻塞，使企業(yè)各項正常的業(yè)務(wù)不能進行，甚至導致系統(tǒng)癱瘓的可能。

2.3 防病毒系統(tǒng)難以應(yīng)對復(fù)雜多變的病毒環(huán)境。由于病毒的更新速度越來越快，這就導致防病毒系統(tǒng)無法應(yīng)對當前病毒快速的特點，特別是目前一些病毒，其在傳統(tǒng)病毒的基礎(chǔ)上與黑客攻擊技術(shù)有效的結(jié)合為一體，可以自動發(fā)現(xiàn)系統(tǒng)漏洞進行傳播和攻擊，而且傳播速度和感染速度特別快，具有極大的破壞力，這類病毒不僅在傳播過程中會破壞到計算機系統(tǒng)，而且還會導致網(wǎng)絡(luò)發(fā)生阻塞，從而使正常工作無法進行。

2.4 網(wǎng)絡(luò)設(shè)計不合理。網(wǎng)絡(luò)設(shè)計是指拓撲結(jié)構(gòu)的設(shè)計和各種網(wǎng)絡(luò)設(shè)備的選擇和配置等。網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)操作系統(tǒng)等都會直接帶來安全隱患。合理的網(wǎng)絡(luò)設(shè)計在節(jié)約資源的情況下，還可以提供較好的安全性。企業(yè)的網(wǎng)絡(luò)架構(gòu)簡單，交換機配置不合理，都會對網(wǎng)絡(luò)造成威脅。

2.5 缺少嚴格合理的安全管理制度。政策的不完善、落實不徹底、安全管理制度的不健全、措施不得力和缺乏有效的動態(tài)管理網(wǎng)絡(luò)系統(tǒng)安全策略的能力等都可能形成對系統(tǒng)安全的威脅。

3 加強企業(yè)網(wǎng)絡(luò)不安全因素的防范措施

3.1 防火墻部署。防火墻是建立在內(nèi)部專有網(wǎng)絡(luò)和外部公有網(wǎng)絡(luò)之間的。所有來自公網(wǎng)的傳輸信息或從內(nèi)網(wǎng)發(fā)出的信息都必須穿過防火墻。網(wǎng)絡(luò)訪問的安全一方面我們要配置防火墻禁止對內(nèi)訪問，以防止互聯(lián)網(wǎng)上黑客的非法入侵；另一方面對允許對內(nèi)訪問的合法用戶設(shè)立安全訪問區(qū)域。防火墻是在系統(tǒng)內(nèi)部和外部之間的隔離層，可保護內(nèi)部系統(tǒng)不被外部系統(tǒng)攻擊。

通過配置安全訪問控制策略，可確保與外界可靠、安全連接。防火墻的功能是對訪問用戶進行過濾，通過防火墻的設(shè)置，對內(nèi)網(wǎng)、公網(wǎng)、DMZ區(qū)進行劃分，并實施安全策略，防止外部用戶或內(nèi)部用戶彼此之間的惡性攻擊。同時防火墻支持VPN功能，對經(jīng)常出差的領(lǐng)導、員工支持遠程私有網(wǎng)絡(luò)，用戶通過公網(wǎng)可以象訪問本地內(nèi)部局域網(wǎng)一樣任意進行訪問。此外，防火墻還可以收集和記錄關(guān)于系統(tǒng)和網(wǎng)絡(luò)使用的多種信息，為流量監(jiān)控和入侵檢測提供可靠的數(shù)據(jù)支持。

3.2 防病毒系統(tǒng)。計算機網(wǎng)絡(luò)安全建設(shè)中其中最為關(guān)鍵的一個部分即是加強對防病毒系統(tǒng)的建設(shè)，這就需要在實際工作中，通過科學合理對防病毒系統(tǒng)進行裝置，從而實現(xiàn)對病毒的集中管理，利用中心控制室來對局域網(wǎng)的計算機和服務(wù)器進行有效的監(jiān)視，從而加強病毒的防范。而對于進入到計算機系統(tǒng)內(nèi)的病毒則需要做出及時的影響，預(yù)以及時清除。

3.3 流量監(jiān)控系統(tǒng)。什么是流量監(jiān)控？眾所周知，網(wǎng)絡(luò)通信是通過數(shù)據(jù)包來完成的，所有信息都包含在網(wǎng)絡(luò)通信數(shù)據(jù)包中。兩臺計算機通過網(wǎng)絡(luò)“溝通”，是借助發(fā)送與接收數(shù)據(jù)包來完成的。所謂流量監(jiān)控，實際上就是針對這些網(wǎng)絡(luò)通信數(shù)據(jù)包進行管理與控制，同時進行優(yōu)化與限制。流量監(jiān)控的目的是允許并保證有用數(shù)據(jù)包的高效傳輸，禁止或限制非法數(shù)據(jù)包傳輸，一保一限是流量監(jiān)控的本質(zhì)。在P2P技術(shù)廣泛應(yīng)用的今天，企業(yè)部署流量監(jiān)控是非常有必要的。

3.4 合理的配置策略。通過將企業(yè)網(wǎng)絡(luò)劃分為虛擬網(wǎng)絡(luò)VLAN網(wǎng)段，這樣不僅可以有效的增加網(wǎng)絡(luò)連接的靈活性，而且可以對網(wǎng)絡(luò)上的廣播進行有效的控制，減少沒必要的廣播，從而有效的釋放帶寬，不信有效的提高網(wǎng)絡(luò)利用率，而且使網(wǎng)絡(luò)的安全性和保密性能得到有效的提升，確保了網(wǎng)絡(luò)安全管理的實現(xiàn)。

3.5 安全管理制度。目前我國還沒有制訂統(tǒng)一的網(wǎng)絡(luò)安全管理規(guī)范，所以在當前網(wǎng)絡(luò)安全不斷受到威脅的情況下，需要我們首先在設(shè)計上對安全功能進行完善，其次還要加強網(wǎng)絡(luò)安全管理制度的建立，并確保各種安全措施得以落實。對于企業(yè)中安全等級要求較高的系統(tǒng)，則需要由專人進行管理，實行嚴格的出入管理，利用不同手段對出入人員進行識別和登記管理，從而確保企業(yè)網(wǎng)絡(luò)信息的安全性。

4 結(jié)束語

網(wǎng)絡(luò)安全是需要我們長期堅持的一項工作，同時還需要利用綜合、完善的策略來進行部署，加強網(wǎng)絡(luò)管理人員安全意識的提升，明確網(wǎng)絡(luò)安全的框架體系，從而不斷的提升網(wǎng)絡(luò)安全的防范層次和結(jié)構(gòu)，從而靈活對安全策略進行部署，確保一個安全、放心的網(wǎng)絡(luò)環(huán)境。

參考文獻

[1]彭俊好.信息安全風險評估方法綜述[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2006，3.

篇4

關(guān)鍵詞：國有企業(yè)；局域網(wǎng)；安全；防范

中圖分類號：TP393.08

保護信息系統(tǒng)的安全，要綜合考慮技術(shù)保護和管理保護兩種實現(xiàn)方式。技術(shù)保護方式是根據(jù)風險產(chǎn)生的技術(shù)特點和安全目標的要求而采用相應(yīng)的安全機制、技術(shù)措施和專用設(shè)備。管理保護方式則根據(jù)有關(guān)法律法規(guī)和安全目標的要求，針對信息系統(tǒng)的運行、有關(guān)人員的行為和技術(shù)過程而制訂的相應(yīng)管理制度[1]。

1 國有企業(yè)局域網(wǎng)安全的總體目標

確定網(wǎng)絡(luò)安全總體目標，應(yīng)該滿足一定的要求：

1.1 機密性（Confidentiality）。保證機密信息不泄漏給非授權(quán)用戶或?qū)嶓w，也不能供其利用。對信息的訪問和利用，應(yīng)該遵循完整健壯的認證授權(quán)機制。

1.2 完整性（Integrity）。保證數(shù)據(jù)的完整性和一致性，即信息在存儲或傳輸過程中保持不被修改、不被破壞和不被丟失的特性。

1.3 可用性（Availability）。保證合法用戶或?qū)嶓w對信息和資源的使用不會被異常拒絕，允許按照需求使用。網(wǎng)絡(luò)環(huán)境下，拒絕服務(wù)攻擊、破環(huán)網(wǎng)絡(luò)設(shè)施和系統(tǒng)正常運行的中斷等都屬于對可用性原則的破壞。

2 國有企業(yè)局域網(wǎng)絡(luò)攻擊及面臨的威脅分析

總的來說，國有企業(yè)面臨的安全威脅主要是兩個方面：（1）來自企業(yè)網(wǎng)絡(luò)內(nèi)部的誤操作和惡意攻擊。內(nèi)部網(wǎng)的人員往往有公司內(nèi)網(wǎng)局部系統(tǒng)的合法訪問或管理權(quán)限，所以他們的誤操作行為可能會給公司內(nèi)網(wǎng)帶來嚴重的危害；尤其是機要子網(wǎng)與普通子網(wǎng)的安全級別不同，可能導致竊聽、偽造信息的情況發(fā)生；同時源自公司內(nèi)網(wǎng)內(nèi)部的惡意網(wǎng)絡(luò)行為也可能導致嚴重的網(wǎng)絡(luò)安全問題[2]；（2）來自企業(yè)網(wǎng)絡(luò)外不得惡意攻擊。接入Internet給外網(wǎng)帶來了工作和信息交換的便利，但同時也給外網(wǎng)帶來了很大的安全威脅。首先，Internet網(wǎng)絡(luò)上隨機的惡意漏洞掃描是無時不在的，而這些惡意的漏洞掃描往往是大規(guī)模網(wǎng)絡(luò)入侵、滲透和破壞行為的前兆。這也就是說，外網(wǎng)隨時都可能面臨著來自Internet網(wǎng)絡(luò)的惡意攻擊。其次，網(wǎng)絡(luò)病毒經(jīng)由Internet網(wǎng)絡(luò)可以迅速的感染外網(wǎng)，輕者造成網(wǎng)絡(luò)或系統(tǒng)資源的浪費，嚴重的可能造成數(shù)據(jù)或系統(tǒng)的崩潰甚至局部網(wǎng)絡(luò)的完全癱瘓。

3 企業(yè)網(wǎng)絡(luò)安全性急需重視

企業(yè)已經(jīng)越來越依賴網(wǎng)絡(luò)以及企業(yè)內(nèi)部網(wǎng)絡(luò)來支持重要的工作流程，內(nèi)部網(wǎng)絡(luò)斷線所帶來的成本也急劇升高。當這--N顯得迫在眉睫時，如何確保核心網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定性就變得非常重要，即使一個企業(yè)的虛擬網(wǎng)絡(luò)或防火墻只是短暫的中斷，也都可能會中斷非常高額的交易，導致收入流失、客戶不滿意以及生產(chǎn)力的降低[3]。

盡管所有的企業(yè)都應(yīng)該對安全性加以關(guān)注，但其中一些更要注意。那些存儲有私密信息或?qū)Ｓ行畔ⅰ⒉⒁揽窟@些信息運作的企業(yè)尤其需要一套強大而可靠的安全性解決方案，如政府機構(gòu)、金融機構(gòu)、保險服務(wù)機構(gòu)、高科技開發(fā)商以及各類醫(yī)療機構(gòu)。通過一部中央控制臺來進行配置和管理的安全性解決方案能夠為此類企業(yè)提供巨大幫助。這類安全性解決方案使IT管理員們能夠輕松地對網(wǎng)絡(luò)的安全性進行升級，從而適應(yīng)不斷變化的商務(wù)需求，并幫助企業(yè)對用戶訪問保持有效的控制。例如，IT管理員能夠根據(jù)最近發(fā)現(xiàn)的網(wǎng)絡(luò)攻擊行為迅速調(diào)整網(wǎng)絡(luò)的安全性級別。此外，用戶很難在終端系統(tǒng)上屏蔽掉由一臺遠程服務(wù)器控制的網(wǎng)絡(luò)安全特性。IT管理人員們將非常自信：一旦他們在整個網(wǎng)絡(luò)中配置了適當?shù)陌踩砸?guī)則，不論是用戶還是系統(tǒng)的安全性都將得到保證，并且始終安全[4]。

而對于那些安全性要求較高的企業(yè)來說，基于軟件的解決方案（例如個人防火墻以及防病毒掃描程序等）都不夠強大，無法滿足用戶的要求。因為即使一個通過電子郵件傳送過來的惡意腳本程序，都能輕松將這些防護措施屏蔽掉，甚至是那些運行在主機上的“友好”應(yīng)用都可能為避免驅(qū)動程序的沖突而無意中關(guān)掉這些安全性防護軟件。一旦這些軟件系統(tǒng)失效，終端系統(tǒng)將非常容易受到攻擊。更為可怕的是，網(wǎng)絡(luò)中的其他部分也將處在攻擊威脅之下。

4 國有企業(yè)局域網(wǎng)絡(luò)攻擊與安全防范措施

4.1 安全防范要點。公司網(wǎng)絡(luò)目前從內(nèi)部至Internet并沒有做相關(guān)的安全措施，特別是核心區(qū)和互聯(lián)區(qū)存在很大安全隱患，黑客攻擊、信息丟失、服務(wù)被拒絕等，一旦發(fā)生任何攻擊，對公司網(wǎng)絡(luò)而言是致命性的，影響公司業(yè)務(wù)的正常運轉(zhuǎn)。針對公司網(wǎng)絡(luò)的結(jié)構(gòu)及特點確定以下幾個必須考慮的安全防范要點：（1）網(wǎng)絡(luò)安全隔離。為了各行業(yè)間、部門之間加強業(yè)務(wù)聯(lián)系以及信息化建設(shè)都需要網(wǎng)絡(luò)和網(wǎng)絡(luò)之間互聯(lián)，交流信息、信息共享等措施，給企事業(yè)單位的工作帶來極大的便利，同時給有意、無意的黑客或破壞者帶來了充分的施展空間。所以網(wǎng)絡(luò)之間進行有效的安全隔離是必需的；（2）網(wǎng)絡(luò)監(jiān)控措施。網(wǎng)間隔離起邊緣區(qū)保護作用，無法防備內(nèi)部不滿者的攻擊行為。往往內(nèi)部來的攻擊比外部攻擊更具有致命性。在不影響網(wǎng)絡(luò)的正常運行的情況下，增加內(nèi)部網(wǎng)絡(luò)監(jiān)控機制可以做到最大限度的網(wǎng)絡(luò)資源保護。從網(wǎng)絡(luò)監(jiān)控中得到統(tǒng)計信息來確定網(wǎng)絡(luò)安全規(guī)范及安全風險評估。網(wǎng)絡(luò)安全目標為保證整個網(wǎng)絡(luò)的正常運行；在受到黑客攻擊的情況下，能夠保證網(wǎng)絡(luò)系統(tǒng)正常運行。保證信息數(shù)據(jù)的完整性和保密性：在網(wǎng)絡(luò)傳輸時數(shù)據(jù)不被修改和不被竊取。具有先進的入侵檢測體系；正確確定安全策略及做科學的安全風險評估。保證網(wǎng)絡(luò)的穩(wěn)定性：安全措施不形成網(wǎng)絡(luò)的負擔，而且提供全天候滿意服務(wù)和應(yīng)用。

4.2 方案具體實施過程中包括：（1）防火墻使用方案。根據(jù)公司網(wǎng)絡(luò)整體安全考慮采用一臺瑞星防火墻安排在互聯(lián)區(qū)。其中WWW、數(shù)據(jù)庫、郵件、DNS等對外服務(wù)器連接在防火墻的DMZ區(qū)與內(nèi)、外網(wǎng)間進行隔離。建立合理有效的安全過濾原則對網(wǎng)絡(luò)數(shù)據(jù)包的協(xié)議、端口、源/目的地址、流向進行審核，嚴格控制外網(wǎng)用戶非法訪問。防火墻的DMZ區(qū)訪問控制規(guī)則，只打開必需的服務(wù)HTTP、FTP、SMTP、POP3以及所需其他服務(wù)。防范外部來的拒絕服務(wù)攻擊。對辦公網(wǎng)用戶進行流量控制，采用時間安全規(guī)則變化策略，控制內(nèi)網(wǎng)用戶訪問外網(wǎng)時間。防火墻設(shè)置IP地址MAC地址綁定，防止IP地址欺騙。定期查看防火墻訪問日志。嚴格控制防火墻的管理員的權(quán)限；（2）入侵檢測（IDS）系統(tǒng)方案。以太網(wǎng)的共享通信介質(zhì)技術(shù)，在進行網(wǎng)絡(luò)通信時，隨著數(shù)據(jù)包在網(wǎng)絡(luò)上的廣播，任何聯(lián)網(wǎng)的計算機都可以監(jiān)聽正在通信的數(shù)據(jù)包，因此存在著安全隱患，網(wǎng)絡(luò)入侵系統(tǒng)利用以太網(wǎng)的這種特性，進行有效的網(wǎng)絡(luò)監(jiān)控，調(diào)整網(wǎng)絡(luò)資源分配，及時發(fā)現(xiàn)不正常數(shù)據(jù)包，并根據(jù)安全策略原則進行處理，確保網(wǎng)絡(luò)系統(tǒng)的安全。入侵檢測能力是衡量一個防御體系是否完整有效的重要因素。強大的、完整的入侵檢測體系可以彌補防火墻相對靜態(tài)防御的不足。根據(jù)公司網(wǎng)絡(luò)的特點，采用瑞星的入侵檢測系統(tǒng)。

5 結(jié)束語

由于國有企業(yè)局域網(wǎng)的安全問題是一個系統(tǒng)工程，在制定安全網(wǎng)絡(luò)策略時應(yīng)盡可能地考慮到網(wǎng)絡(luò)中的各個方面及網(wǎng)絡(luò)的拓展性，采用TCP/IP進行網(wǎng)絡(luò)通信的網(wǎng)絡(luò)，在網(wǎng)絡(luò)層對計算機通信進行安全保護是業(yè)界流行的安全解決辦法。

參考文獻：

[1]李春潔.企業(yè)局域網(wǎng)的建設(shè)與維護[J].信息通信，2013（10）：116-117.

[2]郝靜.提高企業(yè)局域網(wǎng)帶寬質(zhì)量五步驟[J].計算機與網(wǎng)絡(luò)，2014（Z1）：67.

[3]王大明.企業(yè)局域網(wǎng)維護管理策略的研究和分析[J].電子技術(shù)與軟件工程，2014（29）：28.

[4]張濤，周春紅.無線局域網(wǎng)在企業(yè)中的架設(shè)與應(yīng)用[J].電子世界，2014（05）：165-166.

篇5

關(guān)鍵詞：高職 網(wǎng)絡(luò)專業(yè) 教學 改革

1 概述

21世紀是以微電腦、信息高速公路、納米技術(shù)、生物工程技術(shù)等為主導的知識經(jīng)濟時代。隨著信息技術(shù)、通信技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)技術(shù)在經(jīng)濟生活中的重要地位日益顯現(xiàn)，加大網(wǎng)絡(luò)技術(shù)人才培養(yǎng)力度，成為時代的呼喚。高職高專教育應(yīng)培養(yǎng)“實用型”人才，而非“學術(shù)型”人才，學生最終應(yīng)能符合企業(yè)的用人需求，走進社會就能找到工作，實現(xiàn)零距離就業(yè)，為了實現(xiàn)這樣的目標，高職專業(yè)課程教學改革是事在必行的。本文以高職網(wǎng)絡(luò)專業(yè)教學改革為例，探討高職院校的教學改革與實踐經(jīng)驗。

2 高職網(wǎng)絡(luò)專業(yè)的培養(yǎng)目標定位

高職教育是為國家和地方經(jīng)濟發(fā)展培養(yǎng)適應(yīng)生產(chǎn)、建設(shè)、管理和服務(wù)第一線需要的數(shù)以百萬計的應(yīng)用型高素質(zhì)人才。針對網(wǎng)絡(luò)技術(shù)專業(yè)操作能力較強的特點，我們制定了較科學的培養(yǎng)目標，我們培養(yǎng)學生具備以下6種能力：

①能夠熟練運用、調(diào)試網(wǎng)絡(luò)設(shè)備，具備組建與維護企業(yè)網(wǎng)絡(luò)技能。

②能夠熟練安裝管理Windows2003和Linux兩大操作系統(tǒng)以及常用網(wǎng)絡(luò)服務(wù)。

③能夠熟練運用開發(fā)動態(tài)網(wǎng)站。

④具備基本的網(wǎng)絡(luò)安全意識，計算機和網(wǎng)絡(luò)安全防護技能與網(wǎng)絡(luò)管理技能。

⑤能夠規(guī)范地完成日常各種專業(yè)文檔的編寫。

⑥具備企業(yè)員工必備的基本職業(yè)素質(zhì)。

3 教學模式的改革

在教學過程中，采用“工作過程系統(tǒng)化”的教學模式，“工作過程系統(tǒng)化”的教學模式與普通的課堂教學模式不同，涉及到師生角色的轉(zhuǎn)換和學生實踐參與度的提高，它對教學場地、教學工具、設(shè)備等都提出了較高的要求。通過創(chuàng)造仿真的工作環(huán)境，按工作過程的一定步驟進行教學，突出課程的實踐性，學生的主動性，讓學生在教師設(shè)計的學習環(huán)境中進行實際操作，要求學生完成一定的工作任務(wù)，學生從專業(yè)技能、需求分析到現(xiàn)場管理等方面得到全方位的鍛煉，由實踐操作領(lǐng)悟到一定的理論知識。例如，《企業(yè)網(wǎng)絡(luò)組建與維護》，就可以按需求分析，設(shè)備選型，設(shè)備連接，設(shè)備配置，網(wǎng)絡(luò)測試與維護等步驟進行教學。

4 教學設(shè)計的改革

在教學設(shè)計中，基于“工作過程系統(tǒng)化”的教學模式，將課程分為若干個課程單元，再將每個單元細分為若干個工作任務(wù)，組織學生按任務(wù)驅(qū)動的模式開展學習，充分調(diào)動學生的學習積極性，進行職業(yè)技能和職業(yè)素質(zhì)的培養(yǎng)，促進知識的鞏固及職業(yè)遷移能力培養(yǎng)，使學生具有更大的發(fā)展?jié)摿Α?/p>

5 課程體系的改革

教學內(nèi)容和課程體系的改革是實現(xiàn)人才培養(yǎng)模式的主要落腳點，也是教學改革的重點和難點。根據(jù)教學模式和教學改革的基本思想，我們重組了專業(yè)課程體系結(jié)構(gòu)，將專業(yè)課教學分為六個模塊：

5.1 《計算機網(wǎng)絡(luò)基礎(chǔ)》與《企業(yè)網(wǎng)絡(luò)組建與維護》相結(jié)合

在《企業(yè)網(wǎng)絡(luò)組建與維護》教學過程中，講解部分用到的網(wǎng)絡(luò)基礎(chǔ)知識，通過該模塊的教學，要求學生掌握交換機、路由器的主要配置和一定的網(wǎng)絡(luò)基礎(chǔ)知識，培養(yǎng)學生的企業(yè)網(wǎng)絡(luò)組建與維護技能。

5.2 《Linux系統(tǒng)管理》與《Linux網(wǎng)絡(luò)服務(wù)》相結(jié)合

先開設(shè)《Linux系統(tǒng)管理》，再開設(shè)《Linux網(wǎng)絡(luò)服務(wù)》，最后是案例教學，將系統(tǒng)管理命令與服務(wù)配置相結(jié)合，將學生的Linux操作技能提升到一個高度，通過該模塊的教學，培養(yǎng)學生安裝管理Linux的常用服務(wù)的技能。

5.3 《Windows系統(tǒng)管理》與《Windows網(wǎng)絡(luò)服務(wù)》相結(jié)合

先開設(shè)《Windows系統(tǒng)管理》，再開設(shè)《Windows網(wǎng)絡(luò)服務(wù)》，通過該模塊的教學，培養(yǎng)學生安裝管理Windows以及常用服務(wù)的技能。

5.4 《SQL2005》與《 （C#）》相結(jié)合

先開設(shè)《SQL2005》，再開設(shè)《 （C#）》，通過該模塊的教學，培養(yǎng)學生運用開發(fā)動態(tài)網(wǎng)站的技能。

5.5 附屬課程

先后開設(shè)《計算機病毒防治》、《網(wǎng)絡(luò)安全》、《網(wǎng)絡(luò)管理》，通過該模塊的教學，培養(yǎng)學生的網(wǎng)絡(luò)安全意識，計算機和網(wǎng)絡(luò)安全防護技能與網(wǎng)絡(luò)管理技能。

5.6 項目實踐

將學生分組，完成項目實踐，分方案設(shè)計，方案實施，項目答辯，項目評價四個步驟進行，鞏固學生前面所學模塊的技能與知識，培養(yǎng)學生日常各種專業(yè)文檔的編寫能力與基本職業(yè)素質(zhì)。

6 Linux教學改革實施方案簡述

6.1 概述教學內(nèi)容組織

本模塊主要包括Linux系統(tǒng)管理和服務(wù)配置兩部分，根據(jù)課程改革的思想，可將該課程教學單元設(shè)計為：Linux安裝、目錄和文件管理、用戶和組管理、進程和服務(wù)管理、存儲設(shè)備管理、軟件包管理、網(wǎng)絡(luò)基本配置、DHCP服務(wù)器配置、FTP服務(wù)器配置、Samba服務(wù)器配置、DNS服務(wù)器配置、Apache服務(wù)器配置、郵件服務(wù)器配置、防火墻配置、服務(wù)器配置等。再將每個單元分為若干任務(wù)，每個任務(wù)按照多個工作步驟進行教學，如服務(wù)器配置部分，按照認識服務(wù)、安裝軟件、了解文件、配置服務(wù)、啟動服務(wù)、測試服務(wù)的步驟進行邊操作邊教學，實現(xiàn)“教、做、學、用”的統(tǒng)一，讓學生如同處在真實的工作環(huán)境中，達到掌握好本課程的能力目標和知識目標的目的。

6.2 能力訓練設(shè)計

本課程設(shè)計的主要工作任務(wù)如下表所示：

7 教學改革的成果及存在的問題

高職網(wǎng)絡(luò)專業(yè)課程改革的實施，使專業(yè)教學內(nèi)容與企業(yè)人才需求緊密結(jié)合，教學模式教學方法與教學設(shè)計更加切實可行，教學過程中的重點由理論教學轉(zhuǎn)變到實踐教學，提高了學生學習的積極性與主動性，學生能通過實踐技能掌握適度的理論知識，擴展了學生的知識面，為學生更好地就業(yè)打下了堅實的基礎(chǔ)。

當然，在教學改革中也存在一些問題：

要求教師不但有較強的理論水平，特別要有較強的實踐能力，最好有一定的企業(yè)工作經(jīng)歷。

同時，也對實驗條件提出了更高的要求。

還有，要求學生也要有較強的自主學習、分析問題、解決問題的能力。

8 結(jié)束語

通過多年的網(wǎng)絡(luò)技術(shù)專業(yè)課程的教學實踐，采用“工作過程系統(tǒng)化”的教學模式，“課程單元”的教學設(shè)計，“工作任務(wù)驅(qū)動”的教學手段，符合網(wǎng)絡(luò)專業(yè)培養(yǎng)目標的要求，乃至所有高職工科專業(yè)的教學都能適應(yīng)，學生通過完成工作任務(wù)，學習成就感明顯增強，團結(jié)協(xié)助意識增強，職業(yè)素質(zhì)明顯提高，就業(yè)能力也有較大的提升。

參考文獻：

[1]姜大源.職業(yè)教育學研究新論.北京：教育科學出版社，2007.

[2]趙有生.高職教育模塊式教學模式研究：現(xiàn)代教育科學，2004，（4）.

[3]教育部高等教育司.高職高專院校人才培養(yǎng)工作水平評估：人民郵電出版社，2004/6.

篇6

關(guān)鍵詞：網(wǎng)絡(luò) 設(shè)計 實驗 應(yīng)用

一、引言

隨著計算機技術(shù)以及網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，擁有計算機、應(yīng)用網(wǎng)絡(luò)已經(jīng)成為人們生活中的重要組成部分。網(wǎng)絡(luò)應(yīng)用型人才被社會廣泛歡迎，探索培養(yǎng)網(wǎng)絡(luò)應(yīng)用型人才的有效方法成為擺在計算機相關(guān)專業(yè)教育部門的課題。

二、社會網(wǎng)絡(luò)人才需求狀況

在我國，越來越多的政府機構(gòu)和行業(yè)企業(yè)都開始依賴網(wǎng)絡(luò)技術(shù)進行各自的生產(chǎn)、經(jīng)營和管理。可以說，沒有網(wǎng)絡(luò)，就無法進入真正的計算機時代；沒有網(wǎng)絡(luò)，企業(yè)就無法實現(xiàn)信息化。由此看來，網(wǎng)絡(luò)化已經(jīng)成為現(xiàn)今社會競爭和發(fā)展的關(guān)鍵因素，計算機網(wǎng)絡(luò)技術(shù)人才的培養(yǎng)，也隨之成為當前網(wǎng)絡(luò)化建設(shè)的當務(wù)之急。就目前的狀況來看，實施網(wǎng)絡(luò)化建設(shè)的部門嚴重缺乏從事網(wǎng)絡(luò)系統(tǒng)的構(gòu)建、運行和維護等工作的專業(yè)網(wǎng)絡(luò)技術(shù)人員。全國的高等院校每年為社會輸送區(qū)區(qū)幾萬計算機網(wǎng)絡(luò)專業(yè)的畢業(yè)生，而整個社會需要的卻是數(shù)以百萬計的具有專業(yè)技能的網(wǎng)絡(luò)技術(shù)人員，人才供應(yīng)能力遠遠小于實際的社會需求。

三、高校網(wǎng)絡(luò)人才培養(yǎng)情況

一直以來，高等院校的學歷教育偏重于網(wǎng)絡(luò)技術(shù)的基本理論和基礎(chǔ)知識的傳授，缺乏網(wǎng)絡(luò)技術(shù)應(yīng)用的實際操作技能和經(jīng)驗，無法滿足所在單位對網(wǎng)絡(luò)技術(shù)人員的工作要求。這就造成了一種現(xiàn)象，一方面，用人單位求賢若渴；另一方面，畢業(yè)生的就業(yè)困難，這已經(jīng)成為了一種嚴重并且普遍的社會問題。

網(wǎng)絡(luò)技術(shù)是理論和實踐結(jié)合十分緊密的一門學問，網(wǎng)絡(luò)技術(shù)人才市場，越來越關(guān)注技術(shù)人員的實際經(jīng)驗和動手操作能力。學生也有迫切接觸社會、提高工作技能的需求。因此，針對高等院校中普遍存在著理論強、實踐弱的現(xiàn)象，很多高校組建了網(wǎng)絡(luò)實驗室，在網(wǎng)絡(luò)實驗室里提供了真實的網(wǎng)絡(luò)環(huán)境，可以讓學生親自動手調(diào)試、配置網(wǎng)絡(luò)，從而讓學生直觀、全方位地了解各種網(wǎng)絡(luò)設(shè)備和應(yīng)用環(huán)境，真正加深對網(wǎng)絡(luò)原理、協(xié)議、標準的認識。通過在網(wǎng)絡(luò)實驗室的學習，能真正提高學生的網(wǎng)絡(luò)技能和實戰(zhàn)能力，同時具有扎實的理論基礎(chǔ)和較強的實踐動手能力，

（一）開展網(wǎng)絡(luò)設(shè)計性實驗的意義

網(wǎng)絡(luò)實驗室雖然提供了一個很好的實驗平臺，但學校平常上課的時候，是一節(jié)實驗課講一個具體的實驗，比如這節(jié)課講VLAN劃分，下節(jié)課講動態(tài)路由。學生可能每節(jié)課都學得不錯，可是到了學期結(jié)束的時候，他們整體運用所學知識解決問題的能力如何，就不清楚了。開展設(shè)計性實驗是解決這一問題的好辦法。

設(shè)計性實驗，是指給定實驗?zāi)康囊蠛蛯嶒灄l件，由學生自行設(shè)計實驗方案并加以實現(xiàn)的實驗。在網(wǎng)絡(luò)實驗室中開設(shè)設(shè)計性實驗，能夠綜合以往所學的基礎(chǔ)理論知識和單項實踐技能，通過貼近實際的設(shè)計題目，一方面，增強了學生解決實際問題的能力；另一方面，在一定程度上也積累了實踐經(jīng)驗。

（二）網(wǎng)絡(luò)設(shè)計性實驗的實施方案

為使網(wǎng)絡(luò)設(shè)計性實驗達到培養(yǎng)應(yīng)用型人才的初衷，制定了切實可行的實施方案。

首先，明確實驗?zāi)康?。即通過了解不同網(wǎng)絡(luò)的需求和功能，研究網(wǎng)絡(luò)的布線方案等環(huán)節(jié)，寫出網(wǎng)絡(luò)的總體需求分析報告，繪制網(wǎng)絡(luò)結(jié)構(gòu)圖，進行布線選型和設(shè)備選型，確定IP地址分配方案以及網(wǎng)絡(luò)管理方案，并在模擬環(huán)境下進行測試。

其次，合理擬定設(shè)計題目。經(jīng)過對目前各行各業(yè)網(wǎng)絡(luò)應(yīng)用狀況的認真考察和研究，共設(shè)題目五個，分別是：校園網(wǎng)絡(luò)設(shè)計、智能小區(qū)網(wǎng)絡(luò)設(shè)計、政府辦公網(wǎng)絡(luò)設(shè)計、企業(yè)網(wǎng)絡(luò)設(shè)計和校園公共機房網(wǎng)絡(luò)設(shè)計。五個題目的內(nèi)容大致包括了目前網(wǎng)絡(luò)組建的幾種不同的應(yīng)用形式，學生可以了解各種條件下的網(wǎng)絡(luò)在需求上的特點，對建網(wǎng)初期最重要的需求分析有了更深刻的認識。

再次，根據(jù)各設(shè)計題目的應(yīng)用特點，分別策劃各設(shè)計任務(wù)的背景條件。如校園網(wǎng)題目的背景為“一所學校有6棟5層樓宇，平均每棟樓宇有節(jié)點150個，具有一般校園網(wǎng)絡(luò)的基本需求，其中教務(wù)管理節(jié)點30，分布在6棟樓宇的不同樓層；另外某臺分布層交換機上連接有提供學習資料的服務(wù)器，以及學生宿舍樓和教工宿舍樓，學校規(guī)定學生只能訪問學習資料服務(wù)器，但不能訪問教工宿舍樓。”等，使題目的設(shè)計更真實，針對性更強。

最后，完成設(shè)計方案。要求學生根據(jù)各自題目的具體要求，了解相關(guān)網(wǎng)絡(luò)的建設(shè)情況，寫出網(wǎng)絡(luò)的總體需求分析報告，確定網(wǎng)絡(luò)邏輯結(jié)構(gòu)并繪制網(wǎng)絡(luò)結(jié)構(gòu)圖，進行布線選型和設(shè)備選型，根據(jù)情況進行IP地址設(shè)計（劃分的原則、方法及地址列表），寫出網(wǎng)絡(luò)管理方案（要注重網(wǎng)絡(luò)安全的考慮），在模擬環(huán)境下測試關(guān)鍵技術(shù)的網(wǎng)絡(luò)連通情況，并練習使用專業(yè)網(wǎng)絡(luò)測試議進行線路測試。

在這個設(shè)計性實驗方案中，學生需根據(jù)任務(wù)背景中的一些特殊組網(wǎng)要求，在網(wǎng)絡(luò)實驗室的實驗條件下進行連接配置，由于所設(shè)計的關(guān)鍵技術(shù)實驗內(nèi)容都是一些網(wǎng)絡(luò)建設(shè)過程中的常見問題，所以對提高學生解決實際問題的能力有一定益處。整個過程突出了實用性和操作性。

（三）網(wǎng)絡(luò)設(shè)計性實驗的實施效果

通過網(wǎng)絡(luò)設(shè)計性實驗的實施，一方面提升了學生的網(wǎng)絡(luò)專業(yè)技術(shù)技能，使學生對各種常見網(wǎng)絡(luò)的搭建環(huán)境有了直接的認識，掌握了不同環(huán)境要求下的組網(wǎng)方法。從學生的反饋可以看出，95%以上的學生認為，通過這樣的設(shè)計性實驗達到了理論聯(lián)系實際的目的，真正了解了網(wǎng)絡(luò)組建的步驟，增強了實踐操作技能。另一方面提高了學生的就業(yè)競爭力，比如企業(yè)中的網(wǎng)絡(luò)技術(shù)人員要承擔網(wǎng)絡(luò)設(shè)計、系統(tǒng)集成、綜合布線、系統(tǒng)測試等類工作，大的企業(yè)會設(shè)立不同的崗位，各自分派專人負責，而中小企業(yè)往往要求一崗或一人身兼數(shù)職。經(jīng)過網(wǎng)絡(luò)設(shè)計性實驗的學習，學生掌握了網(wǎng)絡(luò)建設(shè)工程中從需求分析、物理設(shè)計、邏輯設(shè)計，到設(shè)備選型、布線施工、網(wǎng)絡(luò)安全設(shè)計、網(wǎng)絡(luò)管理方案，再到測試驗收等建設(shè)網(wǎng)絡(luò)各環(huán)節(jié)的流程及其設(shè)計方法，對于未來的求職從業(yè)來說，從技能的訓練方面會有更多的優(yōu)勢，從擇業(yè)的范圍上會有更多的適應(yīng)性。

四、結(jié)束語

在社會對于網(wǎng)絡(luò)專業(yè)人員迫切需求的前提下，在高校相關(guān)專業(yè)理論教學的基礎(chǔ)上開展網(wǎng)絡(luò)設(shè)計性實驗，能有效地提高學生的網(wǎng)絡(luò)設(shè)計和操作技能，對于應(yīng)用型人才的培養(yǎng)起到了促進作用。

參考文獻

胡勝紅，《網(wǎng)絡(luò)工程原理與實踐教程》，人民郵電出版社，2005

張鳳翔，《局域網(wǎng)組建與維護》，上海交通大學出版社，2004

蔣麗，《局域網(wǎng)、企業(yè)網(wǎng)實現(xiàn)》，電子工業(yè)出版社，2003

篇7

關(guān)鍵詞：網(wǎng)絡(luò)；安全；防范

中圖分類號：TP393.08

計算機網(wǎng)絡(luò)安全是指通過有效的技術(shù)措施及網(wǎng)絡(luò)管理控制，來保證網(wǎng)絡(luò)環(huán)境內(nèi)數(shù)據(jù)的完整性、保密性和可使用性的保護。在計算機網(wǎng)絡(luò)安全中又可以分為邏輯安全和物理安全。物理安全主要是包括設(shè)備、設(shè)施在保護下，不受到丟失和破壞等物理傷害。邏輯安全則是信息保密性、完整性以及可用性。

隨著信息化建設(shè)的完善，社會逐步進入信息社會，經(jīng)濟的發(fā)展也離不開網(wǎng)絡(luò)技術(shù)，同時，網(wǎng)絡(luò)技術(shù)的應(yīng)用也加速了企業(yè)的進步，改善了生活水平。從企業(yè)的建設(shè)來說，為實現(xiàn)信息化，要加強計算機網(wǎng)絡(luò)建設(shè)，促進企業(yè)更好更快發(fā)展。網(wǎng)絡(luò)技術(shù)在企業(yè)中的應(yīng)用就會出現(xiàn)各種網(wǎng)絡(luò)安全問題，其中一個重要的方面就是內(nèi)部網(wǎng)絡(luò)安全。這里主要是從企業(yè)內(nèi)部網(wǎng)絡(luò)安全出發(fā)，討論存在的問題，從不同的角度來探討相關(guān)防護策略和方法。企業(yè)在運行管理過程中，其內(nèi)部網(wǎng)絡(luò)是一種很重要的管理渠道和資源，有著很重要的地位。這就很有必要將內(nèi)部管理的安全控制作為核心議題來建設(shè)，特別是對于高度信息化的時代，更需要做好企業(yè)內(nèi)部網(wǎng)絡(luò)的安全管理及防護，維護內(nèi)部網(wǎng)絡(luò)的安全運行，提高員工工作效率，加速企業(yè)發(fā)展。

1企業(yè)內(nèi)部網(wǎng)絡(luò)存在的安全問題分析

企業(yè)內(nèi)部網(wǎng)絡(luò)的應(yīng)用，在資源共享、信息傳播以及日常管理等多個方面都有了很大提升，同時也要求更高的安全性與私密性。與企業(yè)局域網(wǎng)和外部網(wǎng)絡(luò)相比，內(nèi)部網(wǎng)絡(luò)有所不同，其安全直接影響到了企業(yè)的資源、信息以及機密數(shù)據(jù)的安全性，所以必須得到足夠的重視。目前，在各種網(wǎng)絡(luò)安全威脅的影響下，內(nèi)部網(wǎng)絡(luò)也很難幸免，也會出現(xiàn)層出不窮的安全事件。企業(yè)的資料會因為病毒入侵而被攔截和竊聽，同時，在企業(yè)操作人員素質(zhì)偏低的情況下，錯誤的操作和方法也極有可能給內(nèi)部網(wǎng)絡(luò)安全帶來很多不確定因素，使得內(nèi)部網(wǎng)絡(luò)不能正常運行。這類問題的出現(xiàn)，是企業(yè)內(nèi)部網(wǎng)絡(luò)都需要積極面對、解決的，要對內(nèi)部網(wǎng)絡(luò)的安全問題做到充分認識。開放的網(wǎng)絡(luò)給企業(yè)的發(fā)展提供動力，適應(yīng)企業(yè)市場化的需求，同時并存的網(wǎng)絡(luò)安全問題也給企業(yè)帶來煩惱。在這種情況下，必須合理制定各類網(wǎng)絡(luò)安全防護策略，綜合解決網(wǎng)絡(luò)建設(shè)問題和安全漏洞。

因為企業(yè)內(nèi)部網(wǎng)絡(luò)的共性，就形成了內(nèi)部網(wǎng)中的硬件、軟件以及外界的直接或間接相連，這就形成了內(nèi)部網(wǎng)絡(luò)中操作系統(tǒng)、應(yīng)用軟件、通信協(xié)議和網(wǎng)絡(luò)服務(wù)等方面的安全漏洞。如入侵者利用包含漏洞的對全縣執(zhí)行任意代碼的SMB漏洞；通過發(fā)送惡意RPC請求對用戶系統(tǒng)進行入侵的RPC服務(wù)漏洞，利用系統(tǒng)權(quán)限執(zhí)行任意指令；利用系統(tǒng)進程權(quán)限進行任意指令的SMTP漏洞；通過SNMP獲取系統(tǒng)信息而對系統(tǒng)命令、文件進行更改的SNMP服務(wù)漏洞；利用空用戶名和密碼登陸獲取root權(quán)限而威脅主機的FTP后門漏洞等。這些漏洞的存在都極大程度的威脅到了內(nèi)部網(wǎng)絡(luò)的安全。

2企業(yè)內(nèi)部網(wǎng)絡(luò)的防護討論

要應(yīng)對好企業(yè)內(nèi)部網(wǎng)絡(luò)存在的問題主要是通過以下幾個步驟來實現(xiàn)，首先是做好內(nèi)部網(wǎng)絡(luò)的防護、應(yīng)急制度，其次是根據(jù)網(wǎng)絡(luò)安全技術(shù)相關(guān)標準制定完善的網(wǎng)絡(luò)安全方案，最后是提高人員素質(zhì)，建立完善的網(wǎng)絡(luò)管理機構(gòu)，通過這幾步來保證內(nèi)部網(wǎng)絡(luò)的安全運行。

2.1做好內(nèi)部網(wǎng)絡(luò)的防護及應(yīng)急制度

企業(yè)內(nèi)部網(wǎng)絡(luò)的正常運行，直接保證了業(yè)務(wù)的順利開展以及信息的高效傳遞，極大的提高了工作效率。這些都是在內(nèi)部網(wǎng)絡(luò)能在安全運行的前提下完成的，為達到這一目的，首先是要完善相關(guān)網(wǎng)絡(luò)安全制度，在安全制度下按照條文規(guī)定進行安全防護基線和步驟的確定，其中包括設(shè)備管理制度、機房管理制度、病毒防范制度以及操作安全管理制度等。內(nèi)部網(wǎng)絡(luò)安全的相關(guān)特征、行為、重點內(nèi)容以及表象都在相關(guān)安全規(guī)章制度下進行規(guī)定和解釋，對于不符合內(nèi)部網(wǎng)絡(luò)安全行為的操作都需要對應(yīng)的解決方案。其次，對于各類突發(fā)安全問題，需要提前制定好安全應(yīng)急機制，做到防護和解決方案的及時開展。

2.2根據(jù)網(wǎng)絡(luò)安全技術(shù)相關(guān)標準制定完善的網(wǎng)絡(luò)安全方案

企業(yè)內(nèi)部網(wǎng)絡(luò)的運行就會存在各類安全問題，而其中最先需要保證的就是內(nèi)部網(wǎng)絡(luò)系統(tǒng)的安全，這就需要對系統(tǒng)做好控制和管理，保證內(nèi)部系統(tǒng)的運行始終是在可控和安全狀態(tài)。對于系統(tǒng)的運行，要做到時時監(jiān)控、檢查，及時發(fā)現(xiàn)并處理各類安全隱患，使其消滅在萌芽狀態(tài)。其次是做好防火墻的實施方案，利用科學的方案對不安全服務(wù)進行過濾，加強內(nèi)部網(wǎng)絡(luò)的安全性。再者，對于病毒防治要制定統(tǒng)一的方案并及時實施，對整個網(wǎng)絡(luò)系統(tǒng)的所有設(shè)備做到全面防范于監(jiān)控。及時開展主服務(wù)器的檢測，定時監(jiān)控、掃描病毒，如存在病毒隱患需及時清理解決。

在網(wǎng)絡(luò)運行中，要重視殺毒軟件的作用，管理好殺毒軟件，做到定期升級和集中設(shè)置以保證其實用性。同時，對內(nèi)部網(wǎng)絡(luò)的訪問要加強控制，定期檢查和備份重要的數(shù)據(jù)、文件和資料，利用各種數(shù)據(jù)恢復(fù)軟件，保證內(nèi)部數(shù)據(jù)的安全。運行中也可能存在惡意攻擊、黑客入侵以及非法訪問等行為，這就需要提前制定好相關(guān)入侵檢測方案，出現(xiàn)上述行為時能及時實施，做好防范工作。其次，檢測和監(jiān)控內(nèi)部網(wǎng)絡(luò)中存在的安全漏洞，制定好合理的不就措置，如企業(yè)重要的數(shù)據(jù)庫服務(wù)器出現(xiàn)漏洞，就需要根據(jù)措施進行及時補救，制止漏洞的擴張。

2.3提高人員素質(zhì)，建立完善的網(wǎng)絡(luò)管理機構(gòu)

企業(yè)的管理最終是人員的管理，企業(yè)運行所需的財務(wù)管理、人力資源管理以及本文討論的網(wǎng)絡(luò)安全管理最終都是做好人員的管理，需要專業(yè)技術(shù)、綜合素質(zhì)高的強有力的人才隊伍，而這一點隨著當今世界的信息化進程加劇和企業(yè)網(wǎng)絡(luò)需求增大而更顯重要。為應(yīng)對企業(yè)內(nèi)部網(wǎng)絡(luò)運行存在的問題，從安全運行的角度出發(fā)，就需要建立專門的網(wǎng)絡(luò)安全管理部門和具有高水平的人才，這類人要具備完善的計算機知識，熟知網(wǎng)絡(luò)管理相關(guān)理論和內(nèi)部控制知識，能承擔起內(nèi)部網(wǎng)絡(luò)管理和安全控制工作。技術(shù)人員的管理中藥做好糾察、問責制度和獎勵制度，對于內(nèi)部網(wǎng)絡(luò)安全管理中存在的問題就應(yīng)該進行相關(guān)處罰，相反，對于表現(xiàn)優(yōu)秀，能做好安全管理工作的人員進行適當獎勵，綜合使用獎懲激勵制度，做好再教育工作。對他們進行定期培訓，主要包括網(wǎng)絡(luò)安全應(yīng)急、網(wǎng)絡(luò)安全防護等方面的知識，提高他們的操作能力和業(yè)務(wù)水平。

計算機的網(wǎng)絡(luò)安全已經(jīng)成為了全球化的問題，在各行各業(yè)都引起了廣泛的思考，也是研究的重點，企業(yè)內(nèi)部的計算機網(wǎng)絡(luò)也有了長足的發(fā)展。在社會主義經(jīng)濟不斷完善的前提下，會存在越來越多的信息交流，同時也會存在越來越多的安全問題。目前對于內(nèi)部見算計網(wǎng)絡(luò)的安全管理方面認識還不夠，還未能有多樣化的技術(shù)投入運用，需要對內(nèi)部計算機網(wǎng)絡(luò)有進一步的管理來保障信息交流的暢通和安全。

參考文獻：

[1]蒲渝媛.新形勢下計算機信息保密與安全防范[J].現(xiàn)代企業(yè),2013,3.

[2]于軍旗.計算機系統(tǒng)安全與計算機網(wǎng)絡(luò)安全[J].數(shù)字技術(shù)與應(yīng)用,2013,2.

[3]唐雅玲.計算機網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)的研究與實現(xiàn)[J].數(shù)字技術(shù)與應(yīng)用,2013,2.

篇8

【關(guān)鍵詞】InternetIntranet局域網(wǎng)

Internet在全球的發(fā)展和普及，企業(yè)網(wǎng)絡(luò)技術(shù)的發(fā)展，以及企業(yè)生存和發(fā)展的需要促成了企業(yè)網(wǎng)的形成。Intranet是傳統(tǒng)企業(yè)網(wǎng)與Internet相結(jié)合的新型企業(yè)網(wǎng)絡(luò)，是一個采用Internet技術(shù)建立的機構(gòu)內(nèi)聯(lián)網(wǎng)絡(luò)。它以TCP/IP協(xié)議作為基礎(chǔ)，以Web為核心應(yīng)用，構(gòu)成統(tǒng)一和便利的信息交換平臺。它通過簡單的瀏覽界面，方便地提供諸如E-mail、文件傳輸（FTP）、電子公告和新聞、數(shù)據(jù)查詢等服務(wù)，并且可與Internet連接，實現(xiàn)企業(yè)內(nèi)部網(wǎng)上用戶對Internet的瀏覽、查詢，同時對外提供信息服務(wù)，本企業(yè)信息。

Intranet的主要特征

企業(yè)建立Intranet的目的主要是為了滿足其在管理、信息獲取和、資源共享及提高效率等方面的要求，是基于企業(yè)內(nèi)部的需求。因此雖然Intranet是在Internet技術(shù)上發(fā)展起來的，但它和Internet有著一定的差別。并且Intranet也不同于傳統(tǒng)的企業(yè)內(nèi)部的局域網(wǎng)。企業(yè)網(wǎng)Intranet的主要特征表現(xiàn)在以下幾個方面：

（1）Intranet除了可實現(xiàn)Internet的信息查詢、信息、資源共享等功能外，更主要的是其可作為企業(yè)全方位的管理信息系統(tǒng)，實現(xiàn)企業(yè)的生產(chǎn)管理、進銷存管理和財務(wù)管理等功能。這種基于網(wǎng)絡(luò)的管理信息系統(tǒng)相比傳統(tǒng)的管理信息系統(tǒng)能更加方便有效地進行管理、維護，可方便快捷地、更新企業(yè)的各種信息。

（2）在Internet上信息主要以靜態(tài)頁面為主，用戶對信息的訪問以查詢?yōu)橹?，其信息由制作公司制作后放在Web服務(wù)器上。而Intranet則不同，其信息主要為企業(yè)內(nèi)部使用，并且大部分業(yè)務(wù)都和數(shù)據(jù)庫有關(guān)，因此要求Intranet的頁面是動態(tài)的，能夠?qū)崟r反應(yīng)數(shù)據(jù)庫的內(nèi)容，用戶除了查詢數(shù)據(jù)庫外，還可以增加、修改和刪除數(shù)據(jù)庫的內(nèi)容。

（3）Intranet的管理側(cè)重于機構(gòu)內(nèi)部的管理，其安全防范措施要求非常嚴格，對網(wǎng)上用戶有嚴格的權(quán)限控制，以確定用戶是否可訪問某部門的數(shù)據(jù)。并且通過防火墻等安全機制，控制外部用戶對企業(yè)內(nèi)部數(shù)據(jù)的獲取。

（4）Intranet與傳統(tǒng)的企業(yè)網(wǎng)相比，雖然還是企業(yè)內(nèi)部的局域網(wǎng)絡(luò)（或多個局域網(wǎng)相連的廣域網(wǎng)），但它在技術(shù)上則以Internet的TCP/IP協(xié)議和Web技術(shù)規(guī)范為基礎(chǔ)，可實現(xiàn)任意的點對點的通信，而且通過Web服務(wù)器和Internet的其他服務(wù)器，完成以往無法實現(xiàn)的功能。

Intranet的構(gòu)建要點

企業(yè)建立Intranet的目的是為滿足企業(yè)自身發(fā)展的需要，因此應(yīng)根據(jù)企業(yè)的實際情況和要求來確立所建立的Intranet所應(yīng)具有那些具體功能以及如何去實現(xiàn)這樣一個Intranet。所以不同的企業(yè)構(gòu)建Intranet可能會有不同的方法。但是Intranet的實現(xiàn)有其共同的、基本的構(gòu)建要點。這主要有以下幾個方面：

2.1網(wǎng)絡(luò)拓撲結(jié)構(gòu)的規(guī)劃

在規(guī)劃Intranet的網(wǎng)絡(luò)拓撲結(jié)構(gòu)時，應(yīng)根據(jù)企業(yè)規(guī)模的大小、分布、對多媒體的需求等實際情況加以確定。一般可按以下原則來確立：

（1）費用低

一般地在選擇網(wǎng)絡(luò)拓撲結(jié)構(gòu)的同時便大致確立了所要選取的傳輸介質(zhì)、專用設(shè)備、安裝方式等。例如選擇總線網(wǎng)絡(luò)拓撲結(jié)構(gòu)時一般選用同軸電纜作為傳輸介質(zhì)，選擇星形拓撲結(jié)構(gòu)時需要選用集線器產(chǎn)品，因此每一種網(wǎng)絡(luò)拓撲結(jié)構(gòu)對應(yīng)的所需初期投資、以后的安裝維護費用都是不等的，在滿足其它要求的同時，應(yīng)盡量選擇投資費用較低的網(wǎng)絡(luò)拓撲結(jié)構(gòu)。

（2）良好的靈活性和可擴充性

在選擇網(wǎng)絡(luò)拓撲結(jié)構(gòu)時應(yīng)考慮企業(yè)將來的發(fā)展，并且網(wǎng)絡(luò)中的設(shè)備不是一成不變的，對一些設(shè)備的更新?lián)Q代或設(shè)備位置的變動，所選取的網(wǎng)絡(luò)拓撲結(jié)構(gòu)應(yīng)該能夠方便容易地進行配置以滿足新的要求。

（3）穩(wěn)定性高

穩(wěn)定性對于一個網(wǎng)絡(luò)拓撲結(jié)構(gòu)是至關(guān)重要的。在網(wǎng)絡(luò)中會經(jīng)常發(fā)生節(jié)點故障或傳輸介質(zhì)故障，一個穩(wěn)定性高的網(wǎng)絡(luò)拓撲結(jié)構(gòu)應(yīng)具有良好的故障診斷和故障隔離能力，以使這些故障對整個網(wǎng)絡(luò)的影響減至最小。

（4）因地制宜

選擇網(wǎng)絡(luò)拓撲結(jié)構(gòu)應(yīng)根據(jù)網(wǎng)絡(luò)中各節(jié)點的分布狀況，因地制宜地選擇不同的網(wǎng)絡(luò)拓撲結(jié)構(gòu)。例如對于節(jié)點比較集中的場合多選用星形拓撲結(jié)構(gòu)，而節(jié)點比較分散時則可以選用總線型拓撲結(jié)構(gòu)。另外，若單一的網(wǎng)絡(luò)拓撲結(jié)構(gòu)不能滿足要求，則可選擇混合的拓撲結(jié)構(gòu)。例如，假設(shè)一個網(wǎng)絡(luò)中節(jié)點主要分布在兩個不同的地方，則可以在該兩個節(jié)點密集的場所選用星型拓撲結(jié)構(gòu)，然后使用總線拓撲結(jié)構(gòu)將這兩個地方連接起來。

目前常用的局域網(wǎng)技術(shù)有以太網(wǎng)、快速以太網(wǎng)、FDDI、ATM等多種。其中交換式快速以太網(wǎng)以其技術(shù)成熟、組網(wǎng)靈活方便、設(shè)備支持廠家多、工程造價低、性能優(yōu)良等特點，在局域網(wǎng)中被廣泛采用。對于網(wǎng)絡(luò)傳輸性能要求特別高的網(wǎng)絡(luò)可考慮采用ATM技術(shù)，但其網(wǎng)絡(luò)造價相當高，技術(shù)也較復(fù)雜。

為獲取Internet上的各種資源及Internet所提供的各種服務(wù)，規(guī)劃Intranet時還應(yīng)考慮接入Internet。目前，接入Internet方式主要有：通過公共分組網(wǎng)接入、通過幀中繼接入、通過ISDN接入或通過數(shù)字租用線路接入，及目前較新的遠程連接技術(shù)ASDL。在選擇以何種方式接入Internet時應(yīng)根據(jù)Intranet的規(guī)模、對數(shù)據(jù)傳輸速率的要求及企業(yè)的經(jīng)濟實力來確定。數(shù)字租用線路方式可提供較高的帶寬和較高的數(shù)據(jù)傳輸質(zhì)量，但是費用昂貴。公共分組網(wǎng)方式數(shù)據(jù)傳輸質(zhì)量較高，費用也較低，但數(shù)據(jù)傳輸量較小。ISDN可提供較高的帶寬，可同時傳輸數(shù)據(jù)和聲音，并且費用相對較低，是中小規(guī)模Intranet接入Internet的較佳方式。

2.2Intranet的硬件配置

在選擇組成Intranet的硬件時，著重應(yīng)考慮服務(wù)器的選擇。由于服務(wù)器在網(wǎng)絡(luò)中運行網(wǎng)絡(luò)操作系統(tǒng)、進行網(wǎng)絡(luò)管理或是提供網(wǎng)絡(luò)上可用共享資源，因此對服務(wù)器的選擇顯然不同于一般的普通客戶機，同時應(yīng)該按照服務(wù)器的不同類型，如WWW服務(wù)器、數(shù)據(jù)庫服務(wù)器、打印服務(wù)器等而應(yīng)該有所側(cè)重。一般要求所選用的服務(wù)器具有大的存儲容量，數(shù)吉（G）或數(shù)十吉（G），以及具有足夠的內(nèi)存和較高的運行速度，內(nèi)存128M或以上，CPU主頻在500MHz或以上，而且可為多個CPU處理器，并且具有良好和可擴展性，以滿足將來更新?lián)Q代的需要，保證當前的投資不至于在短時間內(nèi)便被消耗掉。

其余的硬件設(shè)備有路由器、交換機、集線器、網(wǎng)卡和傳輸介質(zhì)等。所選擇的這些設(shè)備應(yīng)具有良好的性能，能使網(wǎng)絡(luò)穩(wěn)定地運行。此外，在此前提下，還應(yīng)遵循經(jīng)濟性的原則。

2.3Intranet的軟件配置

軟件是Intranet的靈魂，它決定了整個Intranet的運行方式、用戶對信息的瀏覽方式、Web服務(wù)器與數(shù)據(jù)庫服務(wù)器之間的通信、網(wǎng)絡(luò)安全及網(wǎng)絡(luò)管理方式等，是網(wǎng)絡(luò)建設(shè)中極為重要的一環(huán)。

Intranet的軟件可分為服務(wù)器端軟件和客戶端軟件?？蛻舳塑浖饕獮闉g覽器，目前常用的瀏覽器軟件有NetscapeNavigator、MicrosoftInternetExplore等。服務(wù)器端軟件較為復(fù)雜，主要有網(wǎng)絡(luò)操作系統(tǒng)、Web服務(wù)器軟件、數(shù)據(jù)庫系統(tǒng)軟件、安全防火墻軟件和網(wǎng)絡(luò)管理軟件等。選擇網(wǎng)絡(luò)操作系統(tǒng)時，應(yīng)考慮其是否是一個高性能的網(wǎng)絡(luò)操作系統(tǒng)，是否支持多種網(wǎng)絡(luò)協(xié)議，是否支持多種不同的計算機硬件平臺，是否具有容錯技術(shù)和網(wǎng)絡(luò)管理功能等多方面因素。目前市場上主流的網(wǎng)絡(luò)操作系統(tǒng)有UNIX、NovellNetware和WindowsNT等。如果企業(yè)網(wǎng)Intranet中大多數(shù)是于PC機為主體，建議選用NovellNetware和WindowsNT。

3．企業(yè)網(wǎng)Intranet構(gòu)建的關(guān)鍵技術(shù)

3.1防火墻技術(shù)

由于Intranet一般都與Internet互連，因此易受到非法用戶的入侵。為確保企業(yè)信息和機密的安全，需要在Intranet與Internet之間設(shè)置防火墻。防火墻可看作是一個過濾器，用于監(jiān)視和檢查流動信息的合法性。目前防火墻技術(shù)有以下幾種，即包過濾技術(shù)（Packetfilter）、電路級網(wǎng)關(guān)（Circuitgateway）、應(yīng)用級網(wǎng)關(guān)（Application）、規(guī)則檢查防火墻（StalafulInspection）。在實際應(yīng)用中，并非單純采用某一種，而是幾種的結(jié)合。

3.2數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密技術(shù)是數(shù)據(jù)保護的最主要和最基本的手段。通過數(shù)據(jù)加密技術(shù)，把數(shù)據(jù)變成不可讀的格式，防止企業(yè)的數(shù)據(jù)信息在傳輸過程中被篡改、刪除和替換。

目前，數(shù)據(jù)加密技術(shù)大致可分為專用密匙加密（對稱密匙加密）和公用密匙加密（不對稱密匙加密）兩大類。在密碼通信中，這兩種加密方法都是常用的。專用密匙加密時需用戶雙方共同享有密匙，如DES方法，由于采用對稱編碼技術(shù)，使得專用密匙加密具有加密和解密非?？斓淖畲髢?yōu)點，能有硬件實現(xiàn)，使用于交換大量數(shù)據(jù)。但其最大問題是把密匙分發(fā)到使用該密碼的用戶手中。這樣做是很危險的，很可能在密匙傳送過程中發(fā)生失密現(xiàn)象（密匙被偷或被修改）。公用密匙加密采用與專用密匙加密不同的數(shù)學算法。有一把公用的加密密匙，如RSA方法。其優(yōu)點是非法用戶無法通過公用密匙推導出解密密匙，因此保密性好，但運行效率低，不適于大量數(shù)據(jù)。所以在實際應(yīng)用中常將兩者結(jié)合使用，如通過公用密匙在通信開始時進行授權(quán)確認，并確定一個公用的臨時專用密匙，然后再用專用密匙數(shù)據(jù)加密方式進行通信。

3.3系統(tǒng)容錯技術(shù)

網(wǎng)絡(luò)中心是整個企業(yè)網(wǎng)絡(luò)和信息的樞紐，為了確保其能不間斷地運行，需采取一定的系統(tǒng)容錯技術(shù)：

(1)網(wǎng)絡(luò)設(shè)備和鏈路冗余備份。網(wǎng)絡(luò)設(shè)備易發(fā)生故障的接口卡都保留適當?shù)娜哂啵ＷC網(wǎng)絡(luò)的關(guān)鍵部分無單點故障。

(2)服務(wù)器冷備份。采用雙服務(wù)器，它們都安裝數(shù)據(jù)庫管理系統(tǒng)和Web服務(wù)器軟件，但兩臺服務(wù)器同時運行不同的任務(wù)，一臺運行數(shù)據(jù)庫系統(tǒng)，一臺運行Web服務(wù)器軟件，它們共享外部磁盤陳列，萬一一臺服務(wù)器出現(xiàn)故障，可以通過鍵入預(yù)先編好的命令，把任務(wù)切換到另一臺服務(wù)器上，確保系統(tǒng)在最短時間內(nèi)恢復(fù)正常運行。

(3)數(shù)據(jù)的實時備份。對數(shù)據(jù)進行實時備份，以保證數(shù)據(jù)的完整性和安全性，確保系統(tǒng)安全而穩(wěn)定低運行。如通過ARCSrever對數(shù)據(jù)提供雙鏡象冗余備份，或由SNAServer提供安全快捷的數(shù)據(jù)熱備份。

結(jié)束語

企業(yè)網(wǎng)Intranet的構(gòu)建是一個大的系統(tǒng)工程，需要有較大的人力和物力的投入。企業(yè)應(yīng)根據(jù)自身實際情況和發(fā)展需要，有的放矢地建立適合自己的Intranet，只有這樣才能充分有效地利用Intranet，真正達到促進企業(yè)進一步發(fā)展的目的。

參考文獻

張孟順，向Intranet的遷移[J]，計算機系統(tǒng)應(yīng)用，1998（4）:22~24

張金隆，現(xiàn)代管理信息技術(shù)[M]，華東理工大學出版社，1995

篇9

一、提出網(wǎng)絡(luò)建設(shè)的目標和要求

中小企業(yè)的網(wǎng)絡(luò)系統(tǒng)是通過實現(xiàn)資源共享以加強對信息資源的綜合管理為目的。組網(wǎng)應(yīng)以企業(yè)當前實際需要為中心，以增強企業(yè)的競爭能力為重點，專注于關(guān)鍵業(yè)務(wù)流程的整合，努力促進各部門間的協(xié)作，從而提高運營效率，降低運營成本，幫助企業(yè)迅速成長和發(fā)展。功能上要求實現(xiàn)方便的內(nèi)部數(shù)據(jù)訪問、內(nèi)部信息、電子郵件、文件傳輸及在線辦公等。中小企業(yè)應(yīng)根據(jù)自身的實際情況提出具體的網(wǎng)絡(luò)建設(shè)目標，如系統(tǒng)的管理內(nèi)容和規(guī)模、系統(tǒng)的正常運轉(zhuǎn)要求、應(yīng)達到的速度和處理的數(shù)據(jù)量等。

二、網(wǎng)絡(luò)系統(tǒng)的設(shè)計與實施

建設(shè)目標確定后，就可以遵循系統(tǒng)整體性、先進性和可擴充性原則，進行網(wǎng)絡(luò)系統(tǒng)的設(shè)計與實施。

(一)網(wǎng)絡(luò)糞型的選擇

早期的網(wǎng)絡(luò)產(chǎn)品主要有Ethemet(以太網(wǎng))、ARCNET，Token-Ring(令牌環(huán)網(wǎng))三種類型。隨著人們對網(wǎng)絡(luò)傳輸速率和其它性能要求越來越高，又出現(xiàn)了高速網(wǎng)絡(luò)產(chǎn)品，包括：快速以太網(wǎng)、FDDI網(wǎng)、ATM網(wǎng)3種類型。

快速以太網(wǎng)傳輸速率為100Mb/s，并可升級到1000Mb/s，中小企業(yè)原來已建設(shè)的10Mb/s以太網(wǎng)可平滑地升級到快速以太網(wǎng)，從而最大限度地保護中小企業(yè)的已有投資。

FDDI網(wǎng)以光纖為傳輸媒體，傳輸速率達100Mb/s，覆蓋范圍可達100kin2，可連接500多個站點，所以在大范圍局域網(wǎng)的組網(wǎng)技術(shù)中占重要地位。

ATM網(wǎng)具有數(shù)據(jù)傳輸速率高、吞吐量大、時延短等優(yōu)點，數(shù)據(jù)傳輸?shù)姆€(wěn)定性、安全性也優(yōu)于其它網(wǎng)絡(luò)，是今后組網(wǎng)的方向，但價格比較貴。

中小企業(yè)應(yīng)用簡單，對信息處理要求不高，用ATM作主干網(wǎng)會造成投資的浪費，主干網(wǎng)宜采用快速以太網(wǎng)，桌面系統(tǒng)采用以太網(wǎng)。如果有足夠資金，中小企業(yè)主干網(wǎng)也可直接采用傳輸速率為1000Mb/s的千兆以太網(wǎng)，省去以后升級的二次開發(fā)投資。

(二)網(wǎng)絡(luò)拓撲結(jié)構(gòu)的選擇

目前局域網(wǎng)的拓撲結(jié)構(gòu)主要有星形、總線型、樹型和環(huán)形四種，中小企業(yè)必須根據(jù)系統(tǒng)要求的功能、工作站數(shù)、物理分布狀態(tài)等因素選擇合適的拓撲結(jié)構(gòu)。如果對數(shù)據(jù)傳輸實時性要求高，可采用環(huán)型拓撲；對可靠性要求高，可采用總線型；工作站分散用環(huán)形；工作站分布集中，用總線型。采用星型拓撲的快速以太網(wǎng)是中小企業(yè)組網(wǎng)時選擇最多的方案，所以星型拓撲目前最為常用，也可采用星型一總線型的混合型拓撲結(jié)構(gòu)。

(三)網(wǎng)絡(luò)操作系統(tǒng)的選擇

目前在局域網(wǎng)上主要流行的操作系統(tǒng)有：Netware、Unix、Linux、windowsNT等，其中WindowsNT具有Microsoft家族的統(tǒng)一界面，使用者容易上手。網(wǎng)絡(luò)安裝容易、管理簡單，應(yīng)是網(wǎng)絡(luò)操作系統(tǒng)的首選。

(四)數(shù)據(jù)庫管理系統(tǒng)(DBMS)選擇

可選擇的DBMS很多，如ORA-CLE，SYBase，Informix，Ms-SQL Server等，一般中小型網(wǎng)絡(luò)中多選WindowsNT作操作系統(tǒng)，宜選微軟的產(chǎn)品Ms-SQL Server作為DBMS。

(五)主要網(wǎng)絡(luò)硬件設(shè)備的選擇

網(wǎng)絡(luò)硬件設(shè)備的選擇應(yīng)根據(jù)網(wǎng)絡(luò)性能要求和資金情況綜合考慮，選擇具有最佳性價比的產(chǎn)品。

主干交換機。主干交換機對整個網(wǎng)絡(luò)暢通運行至關(guān)重要，它不僅要支持高帶寬，還要支持虛擬網(wǎng)劃分，帶第三層交換功能，以確保網(wǎng)絡(luò)效率。中小型企業(yè)網(wǎng)絡(luò)可選BayAecelarl 100路由交換機。

工作組/子網(wǎng)交換機?？紤]到上面所選擇的主干交換機，工作組，子網(wǎng)交換機宜選用Catalyst3000系列交換機或Baystack450交換機。

桌面接入設(shè)備。如果要實現(xiàn)對服務(wù)器和主干網(wǎng)的高速連接，桌面接入設(shè)備可選Catalystl900和catalyst2820獨立式交換機，它們是實現(xiàn)完全交換式以太網(wǎng)的桌面接入級設(shè)備。

如果要考慮經(jīng)費且對帶寬無特殊要求，桌面接入設(shè)備可采用集線器(HUB)，目前100Mb/s的HUB常用的有Intel公司的IntelExpressl00Base-TX、D-Lingk公司的DFE916×16。

網(wǎng)絡(luò)適配器(網(wǎng)卡)。一般工作站可使用PCI 10、IOOM網(wǎng)卡，服務(wù)器網(wǎng)卡對網(wǎng)絡(luò)性能有很大影響，目前市場上最常用的是Intel公司的Intel Ex-pressPRO、 100服務(wù)器網(wǎng)卡。

網(wǎng)絡(luò)服務(wù)器。網(wǎng)絡(luò)服務(wù)器是局域網(wǎng)的核心部分，選擇不當會影響網(wǎng)絡(luò)工作效率，甚至會造成數(shù)據(jù)丟失等巨大損失。選擇時應(yīng)考慮的因素包括：高可靠性、高效性、擴展及兼容性、性價比。目前常用微機服務(wù)器有HP、IBM、COMPAQ及國內(nèi)的浪潮、聯(lián)想等產(chǎn)品。

(六)網(wǎng)絡(luò)管理與互連的設(shè)計

局域網(wǎng)上如果過多的站點集中在同一網(wǎng)段，會使網(wǎng)絡(luò)性能下降，也給網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全帶來很大麻煩，可采用虛擬局域網(wǎng)技術(shù)（VLAN)解決這一問題，通過用VLAN支持的中心交換機把一個大型物理局域網(wǎng)人為地劃分為多個局域網(wǎng)，以提高網(wǎng)絡(luò)性能和方便網(wǎng)絡(luò)管理。

考慮本企業(yè)與外部的信息交流，還需要進行網(wǎng)絡(luò)互連的設(shè)計，企業(yè)之間局域網(wǎng)與局域網(wǎng)的互連，若網(wǎng)絡(luò)結(jié)構(gòu)相同，可用網(wǎng)橋進行互連；若網(wǎng)絡(luò)結(jié)構(gòu)不同，應(yīng)采用網(wǎng)關(guān)進行互連；距離遠的企業(yè)間及企業(yè)與Internet(互聯(lián)網(wǎng))的連接，可通過郵電部門電話網(wǎng)、X125、DDN、幀中繼和ISDN等通信網(wǎng)利用調(diào)制解調(diào)器、路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備進行互連。

(七)綜合布線系統(tǒng)的設(shè)計與實施

目前網(wǎng)絡(luò)布線多采用綜合布線技術(shù)，所謂綜合布線是指將計算機網(wǎng)絡(luò)系統(tǒng)、電話系統(tǒng)。電視監(jiān)控系統(tǒng)等的布線綜合起來統(tǒng)一布線，綜合布線設(shè)計方法通常是由低層向高層，逐層進行布線設(shè)計，第一步確定信息點的數(shù)量和位置；第二步確定每個樓層的水平布線；第三步確定樓層的垂直布線；第四步確定各建筑物之間的主干布線。

企業(yè)計算機綜合布線系統(tǒng)設(shè)計，一般分為集中式網(wǎng)絡(luò)配置和分散式網(wǎng)絡(luò)配置。前者把全部網(wǎng)絡(luò)設(shè)備都集中放置在中心機房，各個子系統(tǒng)的綜合布線線纜最后都集中到中心機房的主配線架；后者只把服務(wù)器、UPS、主配線架及主交換機放在中心機房，通過網(wǎng)絡(luò)主干與各子系統(tǒng)相連。中小型企業(yè)可采用集中式網(wǎng)絡(luò)配置方案。

綜合布線的傳輸媒體常采用5類，超5類雙絞線?？紤]今后的升級，布線系統(tǒng)采用的傳輸媒體應(yīng)盡可能提升。中小企業(yè)網(wǎng)絡(luò)主干的選擇較為靈活，視具體情況確定。在布線系統(tǒng)設(shè)計中，信息點設(shè)計要盡可能多，以備日后增加信息設(shè)備的需要。

(八)網(wǎng)絡(luò)的安全性與可靠性

保證局域網(wǎng)安全可靠地工作，是中小企業(yè)最關(guān)心的問題之一，尤其是電氣連接的安全性和數(shù)據(jù)的可靠性。組網(wǎng)時電氣連接必須嚴格遵循電氣安裝標準，應(yīng)采用電氣隔離措施以防止網(wǎng)絡(luò)設(shè)備燒毀，電氣安全性是網(wǎng)絡(luò)硬設(shè)備的重要指標，數(shù)據(jù)可靠性則是網(wǎng)絡(luò)軟件的重要指標，主要是數(shù)據(jù)的誤碼率和共享數(shù)據(jù)、文件的安全性，通常靠采取認可和保護措施來餌決，如對各種用戶規(guī)定不同的存取權(quán)限、優(yōu)先等級等。

三、總結(jié)

中小企業(yè)局域網(wǎng)的規(guī)劃設(shè)計可能有幾個方案同時滿足要求，這時最終方案的確定應(yīng)從以下幾方面考慮： 一是技術(shù)的先進性：盡量選擇有強大生命力和遠大前途的網(wǎng)絡(luò)技術(shù)。

二是可擴展性：隨著企業(yè)對網(wǎng)絡(luò)帶寬，終端數(shù)目等需求的增加，選定的網(wǎng)絡(luò)方案應(yīng)能夠容易地、平滑地遷升到高一級網(wǎng)絡(luò)，為今后升級作好準備。

三是網(wǎng)絡(luò)產(chǎn)品的技術(shù)支持和售后服務(wù)。

篇10

關(guān)鍵詞：設(shè)計目標；原則；需求分析；設(shè)計實施方案

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2011)14-3255-06

Mingzhu Network ltd Network Construction Scheme

SONG Wei

(Guangzhou Songtian Polytechnic College, Electrical and Information Engineering, Guangzhou 511300, China)

Abstract: This thesis puts forth the brief introduction to the MINGZHU Testing Flat and its related content, methods,setting firstly. Then puts emphases to the equipment testing with electricity, testing connectedness, routing policy etc, together with the detailed implementing solutions and some testing results. Readers can get considerable reference from it.

Key words: design object; principle; demand; requirement design; implementation solution

1 企業(yè)背景

明珠網(wǎng)絡(luò)有限公司是一家專業(yè)從事網(wǎng)絡(luò)、存儲產(chǎn)品銷售和信息項目整體方案解決的國家二級系統(tǒng)集成商，公司地址在廣州，隨著辦公信息化、自動化的需求，各部門間為提高辦公效率，促進信息交流，適應(yīng)現(xiàn)代化辦公的要求，需要組建一個完善的企業(yè)辦公局域網(wǎng)。

2 需求概況

2.1 公司組織結(jié)構(gòu)和管理模式及相關(guān)業(yè)務(wù)概況

公司組織結(jié)構(gòu)如下：

1）財務(wù)部

2）工程部

3）銷售部

4）行政部

5）人事部

6）董事會

2.2 網(wǎng)絡(luò)系統(tǒng)的整體規(guī)劃

2.2.1 網(wǎng)絡(luò)規(guī)模

建設(shè)適合大中企業(yè)的互連接入網(wǎng)絡(luò)。

1）需要CISCO 6509交換機1臺、二層交換機7臺、服務(wù)器6臺、客戶機60臺、1塊FWSM防火墻模塊、1塊VPN模塊等。

2）公司所有員工通過6509交換機能接入并訪問互聯(lián)網(wǎng)。

3）公司的計算機以部門為單位實現(xiàn)隔離。

4）公司出差員工通過VPN訪問公司內(nèi)部網(wǎng)絡(luò)。

5）公司構(gòu)建FTP、DHCP、WEB、DNS、BBS、E―MAIL、財務(wù)管理系統(tǒng)、人事管理系統(tǒng)、視頻會議等服務(wù)器。

2.2.2 網(wǎng)絡(luò)設(shè)備

設(shè)備選型應(yīng)滿足以下幾個條件：

1）設(shè)備滿足未來3～5年用戶需求的變化。

2）由國內(nèi)外知名廠商生產(chǎn)，技術(shù)指標先進，采用模塊化設(shè)計結(jié)構(gòu)。

3）綜合考慮用戶需求并符合經(jīng)濟性、適用性原則。

4）至少支持100Mbps以太網(wǎng)端口。

5）網(wǎng)絡(luò)系統(tǒng)的總存儲量、各客戶機的存儲量以及相應(yīng)內(nèi)存容量等應(yīng)考慮一定的冗余度。

2.3 系統(tǒng)需求概況

2.3.1 系統(tǒng)管理

互聯(lián)網(wǎng)系統(tǒng)是公司跟外界的一條重要信息交互通道，要求具有快速高效以及運行穩(wěn)定的特點，同時，要對員工用戶帳戶進行相應(yīng)的控制和管理，并提供完善的日志功能。

1）用戶安全、帳戶管理

2）用戶權(quán)限管理

3）網(wǎng)絡(luò)訪問控制

4）事件日志

2.3.2 相關(guān)系統(tǒng)軟件及應(yīng)用軟件的選擇原則

1）主流操作系統(tǒng)：Red Hat Enterprise Linux 5和Windows Server 2003。

2）使用Windows Server 2003構(gòu)建以下服務(wù)：WEB、FTP、郵件服務(wù)器、財務(wù)管理系統(tǒng)、人事管理系統(tǒng)、視頻會議等服務(wù)器。

3）使用Linux 構(gòu)建以下服務(wù)：BBS、DNS、DHCP等。

2.3.3 工程投資

表1是部分硬件及軟件產(chǎn)品的清單和報價。

3 項目設(shè)計原則

根據(jù)本網(wǎng)絡(luò)系統(tǒng)的特點和用戶要求，我們的設(shè)計原則是：

1）可靠性──系統(tǒng)具備網(wǎng)絡(luò)診斷、測試和在線故障恢復(fù)能力，關(guān)鍵設(shè)備、線路能做到實時備份和自動故障切換。

2）標準化──網(wǎng)絡(luò)技術(shù)發(fā)展迅速，不能盲目求新，必須以符合國際標準為準則，選擇技術(shù)已經(jīng)成熟、標準化的產(chǎn)品，這是保護投資、易于維護的基礎(chǔ)。

3）擴展能力──充分考慮到目前的業(yè)務(wù)需求和今后長時間內(nèi)業(yè)務(wù)發(fā)展的需要，系統(tǒng)可方便地實現(xiàn)升級。當將來采用新技術(shù)（如ATM）時原有設(shè)備能繼續(xù)使用，只需增加有限的模塊和設(shè)備，保護原來的投資。而且，中國港灣建設(shè)總公司有些業(yè)務(wù)部門應(yīng)用系統(tǒng)的研制開發(fā)，可能會安排在本系統(tǒng)之后，將來隨著業(yè)務(wù)的發(fā)展，還可能有新的業(yè)務(wù)部門出現(xiàn)，本系統(tǒng)應(yīng)該能夠適應(yīng)和容納這種變化。

4）開放性──網(wǎng)絡(luò)體系結(jié)構(gòu)與系統(tǒng)應(yīng)用各自獨立，與服務(wù)器、工作站的操作模式無關(guān)，支持各種通訊協(xié)議，各種數(shù)據(jù)庫和客戶機/服務(wù)器以及Internet/Intranet的應(yīng)用，并能方便地和其它機構(gòu)、企業(yè)的主機和網(wǎng)絡(luò)互連通訊。

5）靈活性──拓撲結(jié)構(gòu)必須靈活，便于進行網(wǎng)絡(luò)的管理和調(diào)整。

6）可維護性──網(wǎng)絡(luò)系統(tǒng)便于管理和維護，配置功能強大的網(wǎng)絡(luò)管理系統(tǒng)，實現(xiàn)集中維護和檢測。

7）嚴密的安全控制和保密性能──系統(tǒng)提供必要的安全保護手段，防止由于操作人員的失誤以及系統(tǒng)的意外故障而造成數(shù)據(jù)丟失或破壞；同時能防止系統(tǒng)外部的侵入和操作人員的非法操作，系統(tǒng)的信息安全性要求達到C2級標準。

8）經(jīng)濟性──一次性投資，長年受益，維護費用低，使整體性價比達到最優(yōu)。

9）先進性──支持任務(wù)優(yōu)先級的劃分，具有適當?shù)亩嗝襟w應(yīng)用支持。

10）工程建設(shè)按照相關(guān)國家標準實施。

4 項目設(shè)計方案

4.1 網(wǎng)絡(luò)拓撲圖

系統(tǒng)網(wǎng)絡(luò)拓撲圖如圖1所示。

4.2 項目設(shè)計方案具體描述

網(wǎng)絡(luò)的主要結(jié)構(gòu)是以一臺CISCO W-C6509-E的高端交換機為核心，安裝在辦公樓的主機房，為了保證系統(tǒng)的高可靠性，我們采用主交換機機箱冗余電源，避免了電源單點故障造成的系統(tǒng)癱瘓，因為電源模塊故障是設(shè)備故障發(fā)生率最高的部分。6509具有9個模塊插槽，其中1個槽用來插千兆引擎模塊（WS-X6K-SUP1A-MSFC），用來管理整個交換機，并作數(shù)據(jù)包的路由和轉(zhuǎn)發(fā)，該模塊可以實現(xiàn)冗余熱備份（支持HSRP），實現(xiàn)系統(tǒng)更高的可靠性。1個槽用來插12口千兆以太網(wǎng)模塊，用于連接各個部門交換機。1個槽用來插防火墻模塊，用來保證整個網(wǎng)絡(luò)的安全性。1個槽用來插IP安全(IPSec) VPN模塊，便于外出辦公人員遠程訪問公司內(nèi)部網(wǎng)絡(luò)。同時，為了部門與部門之間的安全考慮，在6509上劃分若干個VLAN，如服務(wù)器群、行政部門、工程部門、財務(wù)部等各劃一個VLAN。同時，管理員組直接連接到6509上，這樣可以很方便得對網(wǎng)絡(luò)進行管理。6509機箱上的其余插槽用于將來網(wǎng)絡(luò)擴展。Catalyst6509交換機具有背板帶寬高（32G，6500系列可擴至256G）、高速三層交換（15M，6500系列可擴至150M）、端口密度大(130個千兆端口)、擴展能力強等優(yōu)勢。

在其他各個聯(lián)網(wǎng)部門，我們采用6臺Cisco WS-C2960-24TT-L交換機和1臺Cisco Catalyst 2960G-24TC交換機作為交換機平臺，Cisco WS-C2960-24TT-L交換機有24個10/100以太網(wǎng)端口和2個10/100/1000固定以太網(wǎng)上行鏈路端口；1機架單元(RU)。Cisco Catalyst 2960G-24TC有20個10/100/1000以太網(wǎng)端口，其中4個為雙介質(zhì)端口；可以完全滿足該網(wǎng)絡(luò)的要求，是典型的高性能桌面交換解決方案。

為了防止網(wǎng)絡(luò)中的大量廣播信息包產(chǎn)生廣播風暴，同時也為了系統(tǒng)管理的需求，我們根據(jù)需要對核心交換機劃分若干VLAN ，制定交換機的各個端口屬于那些VLAN ，然后根據(jù)需要制定相應(yīng)的VLAN之間的路由策略，在CISCO 6509 的MSM上配置路由，既要滿足性能的要求，又要滿足安全性的要求。

網(wǎng)絡(luò)的對外出口（Internet）接入設(shè)備采用Cisco 6509路由器模塊，用 1個以太端口用來連接6509外網(wǎng)段（Internet網(wǎng)段），另外申請了兩個公網(wǎng)IP地址，一個用于內(nèi)部PC客戶端訪問Internet。一個用于外部網(wǎng)絡(luò)訪問內(nèi)部服務(wù)器。

由于各部門的距離不遠，所以各交換機之間我們采用了千兆以太網(wǎng)相連，各PC客戶端通過百兆以太網(wǎng)接入二層交換機（服務(wù)器使用了千兆以太網(wǎng)接入）。在6509上有一個光纖接口模塊，我們通過光纖接口用光纖連接到Internet ，并申請了10M的帶寬，滿足了公司日常業(yè)務(wù)的進行。

4.3 局域網(wǎng)主要技術(shù)分析

1) 千兆以太網(wǎng)技術(shù)

千兆以太網(wǎng)構(gòu)筑于以太網(wǎng)協(xié)議之上，但是其速度比快速以太網(wǎng)增加10倍，達到1000Mbps或1Gbps。該協(xié)議在1998年6月實現(xiàn)標準化，有可能成為高速局域網(wǎng)主干和服務(wù)器連接領(lǐng)域的一種主要協(xié)議。千兆以太網(wǎng)和普通以太網(wǎng)從數(shù)據(jù)鏈路層以上是相同的，它通過將IEEE802.3以太網(wǎng)和ANSI X3T11光纖信道技術(shù)結(jié)合起來，使速率增加到1Gbps。千兆以太網(wǎng)標準利用了現(xiàn)有光纖信道的高速物理層接口技術(shù)的優(yōu)點。

2) VLAN技術(shù)

基于交換機的虛擬局域網(wǎng)能夠為局域網(wǎng)解決沖突域、廣播域、帶寬問題。傳統(tǒng)的共享介質(zhì)的以太網(wǎng)和交換式的以太網(wǎng)中，所有的用戶在同一個廣播域中，會引起網(wǎng)絡(luò)性能的下降，浪費可貴的帶寬；而且對廣播風暴的控制和網(wǎng)絡(luò)安全只能在第三層的路由器上實現(xiàn)。VLAN還能減少因網(wǎng)絡(luò)成員變化所帶來的開銷。在添加、刪除和移動網(wǎng)絡(luò)成員時，不用重新布線，也不用直接對成員進行配置。

3) 第三層交換技術(shù)

三層交換技術(shù)的出現(xiàn)，解決了局域網(wǎng)中網(wǎng)段劃分之后網(wǎng)段中的子網(wǎng)必須依賴路由器進行管理的局面，解決了傳統(tǒng)路由器低速、復(fù)雜所造成的網(wǎng)絡(luò)瓶頸問題。第三層交換技術(shù)的實現(xiàn)可以分成兩類：一類可以歸結(jié)為“一次路由，多次交換”，這類技術(shù)的實現(xiàn)占大多數(shù)；另一類是基于高性能硬件的線速路由器。一個具有三層交換功能的設(shè)備，是一個帶有第三層路由功能的第二層交換機，但它是兩者的有機結(jié)合，而不是簡單地把路由器設(shè)備的硬件及軟件疊加在局域網(wǎng)交換機上。

4.4 服務(wù)器架設(shè)方案

1) 服務(wù)器選型方案

公司內(nèi)部所有服務(wù)器均使用了IBM System X3400（7976I15），該款服務(wù)器標配一顆Intel Xeon DP E5420處理器，核心頻率為2.5G，12MB二級緩存，支持英特爾64位內(nèi)存擴展技術(shù)；ATI RN50 16MB的顯示芯片。標配2條2×1G PC2-5300 DDR2 SDRAM (Chipkill)全緩沖內(nèi)存，最大支持內(nèi)存容量為32GB。這里建議用戶加配1GB內(nèi)存，以保持每顆處理器核心能夠獨享1GB內(nèi)存，保證了服務(wù)器的運行速度。

存儲方面，服務(wù)器集成了ATA控制器，標配146G SAS HDD硬盤，最大支持1TB容量的SATA硬盤。集成RAID 0、1、10，可選的陣列卡支持到RAID 5模式，此外還有6個擴展插槽。接口有2個串口、2個USB 2.0(后面)、2個USB 2.0(前面)、1個并口、1個千兆以太網(wǎng)接口(RJ-45)、1個系統(tǒng)管理接口(RJ-45)、還有三個冷卻風扇。外設(shè)方面，IBM System x3400帶有一個CD-ROM光驅(qū)，并且集成了千兆以太網(wǎng)接口。IBM System X3400服務(wù)器僅萬元的售價使其具備了顯著的價格優(yōu)勢，5U塔式結(jié)構(gòu)盡管占用托管空間較大，卻帶來了無與倫比的可擴展性。

2) 服務(wù)器主要技術(shù)分析

為了滿足公司日常的需要，在這里我們?yōu)楣炯茉O(shè)了各類服務(wù)器，有FTP服務(wù)器、WEB服務(wù)器、BBS服務(wù)器、DHCP服務(wù)器、DNS服務(wù)器、郵件服務(wù)器等等。接下來我們會簡單得進行介紹。

(1) DNS服務(wù)器技術(shù)

DNS(Domain Name System ，域名系統(tǒng))為Internet上的計算機提供名稱（如“”的域名）到地址（如“192.168.6.2”的IP地址）的映射服務(wù)，以用于域名解析。

(2)HCP服務(wù)器技術(shù)

DHCP，即動態(tài)主機分配協(xié)議（Dynamic Host Configuration Protocol,DHCP）從原有的BootP協(xié)議發(fā)展而來，用于對多個客戶計算機集中分配IP地址以及IP地址相關(guān)的信息的協(xié)議，這樣就能將IP地址和TCP/IP的設(shè)置統(tǒng)一管理起來，而避免不必要的地址沖突，節(jié)省了網(wǎng)絡(luò)管理員手工設(shè)置和分配地址的麻煩。

(3) Web服務(wù)器技術(shù)

Web服務(wù)（Web Service）是基于XML和HTTPS的一種服務(wù)，其通信協(xié)議主要基于SOAP，服務(wù)的描述通過WSDL，通過UDDI來發(fā)現(xiàn)和獲得服務(wù)的元數(shù)據(jù)。WEB服務(wù)器也稱為WWW(WORLD WIDE WEB)服務(wù)器，主要功能是提供網(wǎng)上信息瀏覽服務(wù)。

IBM WebSphere:WebSphere Application Server 是 一 種功能完善、開放的Web應(yīng)用程序服務(wù)器，是IBM電子商務(wù)計劃的核心部分，它是基于 Java 的應(yīng)用環(huán)境，用于建立、部署和管理 Internet 和 Intranet Web 應(yīng)用程序。 這一整套產(chǎn)品進行了擴展，以適應(yīng) Web 應(yīng)用程序服務(wù)器的需要，范圍從簡單到高級直到企業(yè)級。

BEA WebLogic:BEA WebLogic Server 是一種多功能、基于標準的web應(yīng)用服務(wù)器，為企業(yè)構(gòu)建自己的應(yīng)用提供了堅實的基礎(chǔ)。各種應(yīng)用開發(fā)、部署所有關(guān)鍵性的任務(wù)，無論是集成各種系統(tǒng)和數(shù)據(jù)庫，還是提交服務(wù)、跨 Internet 協(xié)作，起始點都是 BEA WebLogic Server。由于 它具有全面的功能、對開放標準的遵從性、多層架構(gòu)、支持基于組件的開發(fā)，基于 Internet 的企業(yè)都選擇它來開發(fā)、部署最佳的應(yīng)用。

APACHE:apache仍然是世界上用的最多的Web服務(wù)器，市場占有率達60%左右。它源于NCSAhttpd服務(wù)器，當NCSA WWW服務(wù)器項目停止后，那些使用NCSA WWW服務(wù)器的人們開始交換用于此服務(wù)器的補丁，這也是apache名稱的由來(pache 補丁)。世界上很多著名的網(wǎng)站都是Apache的產(chǎn)物，它的成功之處主要在于它的源代碼開放、有一支開放的開發(fā)隊伍、支持跨平臺的應(yīng)用(可以運行在幾乎所有的Unix、Windows、Linux系統(tǒng)平臺上)以及它的可移植性等方面。

(4) FTP服務(wù)器技術(shù)

FTP（File Transfer Protocol），是文件傳輸協(xié)議的簡稱。用于Internet上的控制文件的雙向傳輸。同時，它也是一個應(yīng)用程序（Application）。用戶可以通過它把自己的PC機與世界各地所有運行FTP協(xié)議的服務(wù)器相連，訪問服務(wù)器上的大量程序和信息。FTP的主要作用，就是讓用戶連接上一個遠程計算機（這些計算機上運行著FTP服務(wù)器程序）察看遠程計算機有哪些文件，然后把文件從遠程計算機上拷到本地計算機，或把本地計算機的文件送到遠程計算機去。

(5) 郵件服務(wù)器

電子郵件是因特網(wǎng)上最為流行的應(yīng)用之一。如同郵遞員分發(fā)投遞傳統(tǒng)郵件一樣，電子郵件也是異步的，也就是說人們是在方便的時候發(fā)送和閱讀郵件的，無須預(yù)先與別人協(xié)同。與傳統(tǒng)郵件不同的是，電子郵件既迅速，又易于分發(fā)，而且成本低廉。

(6) BBS服務(wù)器技術(shù)

在搭建BBS服務(wù)器時，我們使用的軟件是Discuz!，他是康盛創(chuàng)想(北京)科技有限公司（英文簡稱Comsenz）推出的一套通用的社區(qū)論壇軟件系統(tǒng)，用戶可以在不需要任何編程的基礎(chǔ)上，通過簡單的設(shè)置和安裝，在互聯(lián)網(wǎng)上搭建起具備完善功能、很強負載能力和可高度定制的論壇服務(wù)。Discuz! 的基礎(chǔ)架構(gòu)采用世界上最流行的 web 編程組合 PHP+MySQL 實現(xiàn)，是一個經(jīng)過完善設(shè)計，適用于各種服務(wù)器環(huán)境的高效論壇系統(tǒng)解決方案。

4.5 網(wǎng)絡(luò)管理方案

在本方案中，我們選擇了Cisco公司的CiscoWorks2000來管理整個公司的網(wǎng)絡(luò)。

1) CiscoWorks2000功能介紹：

Cisco公司的CiscoWorks2000是專門為中小企業(yè)設(shè)計的管理軟件。CiscoWorks2000作為全面的網(wǎng)絡(luò)管理軟件，基于SNMP業(yè)界標準，利用業(yè)界領(lǐng)先的Cisco IOS 軟件的強大嵌入式特性，在不同的異構(gòu)型網(wǎng)絡(luò)內(nèi)提供全面的Cisco解決方案管理。

CiscoWorks2000系列產(chǎn)品的特點：

1）支持以太網(wǎng)和快速以太網(wǎng)，靈活方便，可適應(yīng)大多數(shù)企業(yè)的要求。

2）安裝、配置和管理簡單方便，支持CiscoWorks和Cisco View 等網(wǎng)絡(luò)管理軟件。

3）支持硬件加密卡，完成數(shù)據(jù)加密時，不影響路由性能。

4）保護用戶的投資。

5）模塊化的體系結(jié)構(gòu)，具有良好的可擴展性。

6）保證各種服務(wù)的傳輸質(zhì)量。

7）支持語音、數(shù)據(jù)和傳真的集成，節(jié)省長途電信費用，促進新的應(yīng)用產(chǎn)生。

4.6 網(wǎng)絡(luò)安全策略

對于一個新建網(wǎng)絡(luò)系統(tǒng)，我們通過了以下途徑來實現(xiàn)網(wǎng)絡(luò)安全：

(1) 劃分多個VLAN

在本網(wǎng)絡(luò)系統(tǒng)中，為了保證整個網(wǎng)絡(luò)系統(tǒng)的安全性，實現(xiàn)各個部門的隔離，我們運用了VLAN 技術(shù)。即在核心交換機上將屬于以上幾個子系統(tǒng)的計算機分別劃分到不同的VLAN中去。

(2) ACL

訪問控制列表（ACL）可以根據(jù)用戶自身的特征來確定用戶對各種資源的訪問權(quán)限，控制用戶對系統(tǒng)資源的范文，維護系統(tǒng)的機密性、完整性和可用性。在Cisco IOS中，訪問控制表還可以進一步提供更詳細的安全策略控制。比如：基于物理端口、MAC地址、特定應(yīng)用和數(shù)據(jù)類型的過濾控制。

(3) 防火墻

防火墻是一種網(wǎng)絡(luò)級的訪問控制技術(shù)，它通過在內(nèi)部網(wǎng)與外部網(wǎng)（公共網(wǎng)）之間設(shè)立一道屏障，控制進出的交通，達到保護內(nèi)部網(wǎng)絡(luò)資源的目的。

服務(wù)器是網(wǎng)絡(luò)系統(tǒng)核心，服務(wù)器故障意味著整個網(wǎng)絡(luò)的癱瘓，對于實時性要求很強的網(wǎng)絡(luò)而言，這種事故造成的損失將是不可估量的，因此要求服務(wù)器有以下功能：

1) 完善的容錯能力：在電源、硬盤、陣列卡、內(nèi)存保護、CPU電源模塊、PCI總線上實現(xiàn)在線冗余。

2) 帶電熱插拔技術(shù)：保證易損部件的更換與維護不影響系統(tǒng)的運行。

3) 智能I／O技術(shù)：對重負荷的I／O卡，如1000M網(wǎng)卡、高速硬盤卡，采用按最新I20規(guī)范設(shè)計的智能通道卡，減輕主CPU的壓力，優(yōu)化總線傳輸，增加I／O吞吐能力。

4) 良好的擴充性：保證在應(yīng)用增加時只需擴充服務(wù)器計算能力與存儲能力便可保證應(yīng)用的升級，而勿需再增加服務(wù)器。

(4) 雙機熱備技術(shù)

雙機熱備包括廣義與狹義兩種。

從廣義上講，就是對于重要的服務(wù)，使用兩臺服務(wù)器，互相備份，共同執(zhí)行同一服務(wù)。當一臺服務(wù)器出現(xiàn)故障時，可以由另一臺服務(wù)器承擔服務(wù)任務(wù)，從而在不需要人工干預(yù)的情況下，自動保證系統(tǒng)能持續(xù)提供服務(wù)。

從狹義上講，雙機熱備特指基于active/standby方式的服務(wù)器熱備。服務(wù)器數(shù)據(jù)包括數(shù)據(jù)庫數(shù)據(jù)同時往兩臺或多臺服務(wù)器寫，或者使用一個共享的存儲設(shè)備。在同一時間內(nèi)只有一臺服務(wù)器運行。當其中運行著的一臺服務(wù)器出現(xiàn)故障無法啟動時，另一臺備份服務(wù)器會通過軟件診測（一般是通過心跳診斷）將standby機器激活，保證應(yīng)用在短時間內(nèi)完全恢復(fù)正常使用。

(5) 防病毒技術(shù)

(a)對公司網(wǎng)絡(luò)中PC機的病毒防護

個人PC機位于企業(yè)防毒體系中的最底層，對企業(yè)計算機用戶來說，也是最后的一道防線?？紤]到網(wǎng)絡(luò)中PC機的數(shù)量問題，為了很塊得實施防病毒策略，日后的維護和更新工作，我們使用了趨勢推出了Office Scan企業(yè)授權(quán)版，它們具有如下特點：

1) 通過服務(wù)器自動分發(fā)客戶端工作站防毒軟件，大大簡化了安裝過程。

2) 自動識別客戶機操作系統(tǒng)并下載和安裝相應(yīng)的防毒程序,支持多種作業(yè)平臺的工作站。

3) 通過服務(wù)器設(shè)置統(tǒng)一的防毒策略，獲取完整的病毒活動報表，實施集中的病毒碼和程序更新。

4) 設(shè)有密碼保護功能, 防止企業(yè)內(nèi)用戶隨意卸載病毒監(jiān)控程序，從而形成企業(yè)網(wǎng)絡(luò)的病毒“后門”。

5) 儲存所有工作站硬盤引導區(qū)記錄，以備工作站引導區(qū)遭受病毒破壞后的緊急救援。

(b) 對公司網(wǎng)絡(luò)中服務(wù)器的病毒防護

服務(wù)器是網(wǎng)絡(luò)的核心，在日常的使用中，它會遭受大量引導型病毒、DOS病毒以及宏病毒等的攻擊，更為常見的是，由于文件服務(wù)器為網(wǎng)絡(luò)中所有的工作站提供文件資源共享，所以很可能會成為病毒的隱身寄居場所，進而將病毒擴展到網(wǎng)絡(luò)所有機器上。為此，我們使用了趨勢科技的LDVP（LANDesk Virus Protect）。

作為防毒體系結(jié)構(gòu)中的服務(wù)器端產(chǎn)品，ServerProtect的實時病毒監(jiān)控功能，遠程安裝、遠程調(diào)用功能，病毒碼自動更新功能以及病毒活動日志、多種報警通知方式等，為企業(yè)內(nèi)文件服務(wù)器的病毒防護提供了最大便利和效能。

(c)郵件服務(wù)器的病毒防護

隨著企業(yè)內(nèi)部電子郵件應(yīng)用日益普及，病毒入侵的管道又增加了一個。所以，病毒完全可以利用電子郵件來進行傳播。所以我們不得不重視對郵件服務(wù)器的病毒防護。除了對公司所有員工進行安全培訓之外，我們還使用了趨勢科技的ScanMail系列防病毒產(chǎn)品，使網(wǎng)絡(luò)防毒體系結(jié)構(gòu)中又增加了一道關(guān)卡，確保其安全。

5 本方案特點

(1) 高帶寬、高性能

在本方案中，核心層使用了高端的三層交換機，實現(xiàn)了快速轉(zhuǎn)發(fā)，主干交換為1000M 、100M交換到桌面，并且采用了快速/千兆以太網(wǎng)通道，使網(wǎng)絡(luò)帶寬的100M/1G之間自由選擇。

(2) 可靠性高

充分考慮到系統(tǒng)對可靠性的要求，整個網(wǎng)絡(luò)系統(tǒng)設(shè)計時，核心設(shè)備、重要模塊、電源、線路等均采用了冗余設(shè)計，這些均為消除系統(tǒng)單點故障提供了可能性。

(3) 網(wǎng)絡(luò)更安全

整個網(wǎng)絡(luò)應(yīng)用了各種安全策略，安裝了各種安全軟件，使網(wǎng)絡(luò)更加安全、可靠。

(4) 可管理

所選用的各種網(wǎng)絡(luò)設(shè)備，包括CISCO 6509、CISCO 2960等均支持SNMP簡單網(wǎng)絡(luò)管理，可通過Cisco公司的網(wǎng)管軟件CiscoWorks對網(wǎng)絡(luò)設(shè)備實現(xiàn)動態(tài)管理和配置。

(5) 靈活性高、可擴展性

核心交換機預(yù)留了一部分插槽，等到有新的系統(tǒng)需要加入網(wǎng)絡(luò)中時，可以增加相應(yīng)的模塊，直接和核心交換機連接。CISCO 6509具有9個插槽，能靈活得配置模塊來滿足各種不同的需求，無需對網(wǎng)絡(luò)拓撲做任何改動。

(6) 先進性

CISCO公司是網(wǎng)絡(luò)界的龍頭老大，其產(chǎn)品覆蓋了最新的各種檔次的交換機和路由器。本方案選用的產(chǎn)品都是屬于CISCO功能完善和強大的產(chǎn)品。而本方案中所使用的容錯和冗余技術(shù)也是一種先進和有效的技術(shù)，可以滿足網(wǎng)絡(luò)的日常應(yīng)用。

6 項目進度安排

根據(jù)該公司網(wǎng)絡(luò)的具體要求和特點，將工程項目實現(xiàn)分為四個階段：

第一階段：工程設(shè)計和準備階段---5天；

第二階段：網(wǎng)絡(luò)設(shè)備安裝、調(diào)試階段---25天；

第三階段：網(wǎng)絡(luò)測試、驗收---5天；

第四階段：網(wǎng)絡(luò)正常投入使用。

7 系統(tǒng)測試和驗收

1) 測試驗收內(nèi)容

連通性測試

網(wǎng)絡(luò)功能測試

2) 測試驗收步驟

測試驗收工作主要包括如下幾方面：

(1) 測試驗收方案的設(shè)計

測試驗收方案由工程項目設(shè)計工作組在總體方案設(shè)計和項目實施方案設(shè)計時設(shè)計制定，必須得到雙方的認可，并經(jīng)審核后方為有效。

(2) 項目測試驗收

雙方在項目實施的第三階段（項目測試驗收階段），嚴格按照測試驗收方案進行整體測試和驗收工作，包括編制測試驗收方案，進行測試和驗收以及提交測試和驗收報告等。

(3) 提交測試和驗收報告

項目測試和驗收完成后，編制項目測試和驗收報告，提交給甲方審核。

8 技術(shù)支持與培訓

1) 技術(shù)支持

賣方應(yīng)向購買方提供足夠的技術(shù)支持和培訓課程，保證系統(tǒng)運行后的正常運轉(zhuǎn)。提供24小時的熱線支持，保障系統(tǒng)正常運行，在系統(tǒng)發(fā)生重大故障時，賣方技術(shù)人員應(yīng)在24小時內(nèi)到達事故現(xiàn)場。

2) 設(shè)備保修

網(wǎng)絡(luò)產(chǎn)品：高端（6509）保修三年；低端（PIX/3500/2600等）保修一年；

服務(wù)器：保修三年；

外設(shè)及其他：保修一年。

3) 相關(guān)培訓

為保證本項目的順利實施，以及在項目建設(shè)結(jié)束后，能使網(wǎng)絡(luò)系統(tǒng)充分發(fā)揮其作用，需要對用戶技術(shù)人員進行有關(guān)內(nèi)容的培訓。

(1) 售前培訓

時間：5天；

地點：由我方按照實際情況安排；

內(nèi)容：Cisco交換機/路由器原理及配置；

IBM System X3400 系列服務(wù)器培訓。

(2) 現(xiàn)場培訓

時間：與工程實施進度同步；

地點：用戶施工現(xiàn)場；

內(nèi)容：Cisco交換機/路由器軟硬件配置；

IBM System X3400 系列服務(wù)器培訓。

參考文獻：

[1] 清華萬博.LINUX服務(wù)器操作系統(tǒng)[M].北京:清華萬博,2006:222.

[2] 鳥哥.鳥哥的LINUX私房菜－服務(wù)器架設(shè)篇[M].北京:機械工業(yè)出版社,2008:661.

[3] 周國添.LINUX系統(tǒng)高級管理員實訓手冊[M].廣州:廣東省新聞出版社,2006:153.