引論:我們為您整理了13篇企業網絡的設計與實現范文,供您借鑒以豐富您的創作。它們是您寫作時的寶貴資源,期望它們能夠激發您的創作靈感,讓您的文章更具深度。
篇1
計算機網絡是通過互聯網服務來為人們提供各種各樣的功能,如果想保證這些服務的有效提供,一是需要全面完善計算機網絡的基礎設施和配置;二是需要有可靠完善的保障體系。可靠完善的保障體系是為了能夠保證網絡中的信息傳輸、信息處理和信息共享等功能能夠安全進行。
1 網絡安全的定義
網絡安全問題不但是近些年來網絡信息安全領域經常討論和研究的重要問題,也是現代網絡信息安全中亟待解決的關鍵問題。網絡安全的含義是保證整個網絡系統中的硬件、軟件和數據信息受到有效保護,不會因為網絡意外故障的發生,或者人為惡意攻擊,病毒入侵而受到破壞,導致重要信息的泄露和丟失,甚至造成整個網絡系統的癱瘓。
網絡安全的本質就是網絡中信息傳輸、共享、使用的安全,網絡安全研究領域包括網絡上信息的完整性、可用性、保密性和真實性等一系列技術理論。而網絡安全是集合了互聯網技術、計算機科學技術、通信技術、信息安全管理技術、密碼學、數理學等多種技術于一體的綜合性學科。
2 網絡安全技術介紹
2.1 安全威脅和防護措施
網絡安全威脅指的是具體的人、事、物對具有合法性、保密性、完整性和可用性造成的威脅和侵害。防護措施就是對這些資源進行保護和控制的相關策略、機制和過程。
安全威脅可以分為故意安全威脅和偶然安全威脅兩種,而故意安全威脅又可以分為被動安全威脅和主動安全威脅。被動安全威脅包括對網絡中的數據信息進行監聽、竊聽等,而不對這些數據進行篡改,主動安全威脅則是對網絡中的數據信息進行故意篡改等行為。
2.2 網絡安全管理技術
目前,網絡安全管理技術越來越受到人們的重視,而網絡安全管理系統也逐漸地應用到企事業單位、政府機關和高等院校的各種計算機網絡中。隨著網絡安全管理系統建設的規模不斷發展和擴大,網絡安全防范技術也得到了迅猛發展,同時出現了若干問題,例如網絡安全管理和設備配置的協調問題、網絡安全風險監控問題、網絡安全預警響應問題,以及網絡中大量數據的安全存儲和使用問題等等。
網絡安全管理在企業管理中最初是被作為一個關鍵的組成部分,從信息安全管理的方向來看,網絡安全管理涉及到整個企業的策略規劃和流程、保護數據需要的密碼加密、防火墻設置、授權訪問、系統認證、數據傳輸安全和外界攻擊保護等等。
在實際應用中,網絡安全管理并不僅僅是一個軟件系統,它涵蓋了多種內容,包括網絡安全策略管理、網絡設備安全管理、網絡安全風險監控等多個方面。
2.3 防火墻技術
互聯網防火墻結合了硬件和軟件技術來防止未授權的訪問進行出入,是一個控制經過防火墻進行網絡活動行為和數據信息交換的軟件防護系統,目的是為了保證整個網絡系統不受到任何侵犯。
防火墻是根據企業的網絡安全管理策略來控制進入和流出網絡的數據信息,而且其具有一定程度的抗外界攻擊能力,所以可以作為企業不同網絡之間,或者多個局域網之間進行數據信息交換的出入接口。防火墻是保證網絡信息安全、提供安全服務的基礎設施,它不僅是一個限制器,更是一個分離器和分析器,能夠有效控制企業內部網絡與外部網絡之間的數據信息交換,從而保證整個網絡系統的安全。
將防火墻技術引入到網絡安全管理系統之中是因為傳統的子網系統并不十分安全,很容易將信息暴露給網絡文件系統和網絡信息服務等這類不安全的網絡服務,更容易受到網絡的攻擊和竊聽。目前,互聯網中較為常用的協議就是TCP/IP協議,而TCP/IP的制定并沒有考慮到安全因素,防火墻的設置從很大程度上解決了子網系統的安全問題。
2.4 入侵檢測技術
入侵檢測是一種增強系統安全的有效方法。其目的就是檢測出系統中違背系統安全性規則或者威脅到系統安全的活動。通過對系統中用戶行為或系統行為的可疑程度進行評估,并根據評價結果來判斷行為的正常性,從而幫助系統管理人員采取相應的對策措施。入侵檢測可分為:異常檢測、行為檢測、分布式免疫檢測等。
3 企業網絡安全管理系統架構設計
3.1 系統設計目標
該文的企業網絡安全管理系統的設計目的是需要克服原有網絡安全技術的不足,提出一種通用的、可擴展的、模塊化的網絡安全管理系統,以多層網絡架構的安全防護方式,將身份認證、入侵檢測、訪問控制等一系列網絡安全防護技術應用到網絡系統之中,使得這些網絡安全防護技術能夠相互彌補、彼此配合,在統一的控制策略下對網絡系統進行檢測和監控,從而形成一個分布式網絡安全防護體系,從而有效提高網絡安全管理系統的功能性、實用性和開放性。
3.2 系統原理框圖
該文設計了一種通用的企業網絡安全管理系統,該系統的原理圖如圖1所示。
3.2.1 系統總體架構
網絡安全管理中心作為整個企業網絡安全管理系統的核心部分,能夠在同一時間與多個網絡安全終端連接,并通過其對多個網絡設備進行管理,還能夠提供處理網絡安全事件、提供網絡配置探測器、查詢網絡安全事件,以及在網絡中發生響應命令等功能。
網絡安全是以分布式的方式,布置在受保護和監控的企業網絡中,網絡安全是提供網絡安全事件采集,以及網絡安全設備管理等服務的,并且與網絡安全管理中心相互連接。
網絡設備管理包括了對企業整個網絡系統中的各種網絡基礎設備、設施的管理。
網絡安全管理專業人員能夠通過終端管理設備,對企業網絡安全管理系統進行有效的安全管理。
3.2.2 系統網絡安全管理中心組件功能
系統網絡安全管理中心核心功能組件:包括了網絡安全事件采集組件、網絡安全事件查詢組件、網絡探測器管理組件和網絡管理策略生成組件。網絡探測器管理組件是根據網絡的安全狀況實現對模塊進行添加、刪除的功能,它是到系統探測器模塊數據庫中進行選擇,找出與功能相互匹配的模塊,將它們添加到網絡安全探測器上。網絡安全事件采集組件是將對網絡安全事件進行分析和過濾的結構添加到數據庫中。網絡安全事件查詢組件是為企業網絡安全專業管理人員提供對網絡安全數據庫進行一系列操作的主要結構。而網絡管理策略生產組件則是對輸入的網絡安全事件分析結果進行自動查詢,并將管理策略發送給網絡安全。
系統網絡安全管理中心數據庫模塊組件:包括了網絡安全事件數據庫、網絡探測器模塊數據庫,以及網絡響應策略數據庫。網絡探測器模塊數據庫是由核心功能組件進行添加和刪除的,它主要是對安裝在網絡探測器上的功能模塊進行存儲。網絡安全事件數據庫是對輸入的網絡安全事件進行分析和統計,主要用于對各種網絡安全事件的存儲。網絡相應策略數據庫是對輸入網絡安全事件的分析結果反饋相應的處理策略,并且對各種策略進行存儲。
3.3 系統架構特點
3.3.1 統一管理,分布部署
該文設計的企業網絡安全管理系統是采用網絡安全管理中心對系統進行部署和管理,并且根據網絡管理人員提出的需求,將網絡安全分布地布置在整個網絡系統之中,然后將選取出的網絡功能模塊和網絡響應命令添加到網絡安全上,網絡安全管理中心可以自動管理網絡安全對各種網絡安全事件進行處理。
3.3.2 模塊化開發方式
本系統的網絡安全管理中心和網絡安全采用的都是模塊化的設計方式,如果需要在企業網絡管理系統中增加新的網絡設備或管理策略時,只需要對相應的新模塊和響應策略進行開發實現,最后將其加載到網絡安全中,而不必對網絡安全管理中心、網絡安全進行系統升級和更新。
3.3.3 分布式多級應用
對于機構比較復雜的網絡系統,可使用多管理器連接,保證全局網絡的安全。在這種應用中,上一級管理要對下一級的安全狀況進行實時監控,并對下一級的安全事件在所轄范圍內進行及時全局預警處理,同時向上一級管理中心進行匯報。網絡安全主管部門可以在最短時間內對全局范圍內的網絡安全進行嚴密的監視和防范。
4 結論
隨著網絡技術的飛速發展,互聯網中存儲了大量的保密信息數據,這些數據在網絡中進行傳輸和使用,隨著網絡安全技術的不斷更新和發展,新型的網絡安全設備也大量出現,由此,企業對于網絡安全的要求也逐步提升,因此,該文設計的企業網絡安全管理系統具有重要的現實意義和實用價值。
篇2
隨著全球一體化進程的加快和國際經濟活動的日趨頻繁以及供應鏈管理思想的興起,現代物流的地位越來越突出,物流企業的運作和管理逐漸與整個交通運輸和倉儲配送的大鏈條融合在一起。作為開展現代物流服務的推進器與連接器,全方位系統跟蹤管理已成為物流企業的主要服務內容,涉及到多式聯運功能,監管進出的運輸工具、貨物、行李物品、郵遞物品和其他物品,;貨物集散、中轉、倉儲功能,貨代和船代功能,集裝箱CY和CFS功能,管理信息系統及EDI應用功能,生產、生活輔助服務功能等等。
按照物流企業數字化視頻網系統的總體規劃和設計要求,建立和完善港區各作業區域,錨地、航道、泊位、堆場、門衛、公安交通、環境監測等數字化視頻監控系統。在物流企業各作業區域建立視頻監控系統的基礎上,建立統一和共享的視頻監控網絡,逐步完成物流企業的數字化視頻網建設。
一、視頻監控技術的發展現狀及應用領域
1.模擬視頻監控技術
當黑白攝像機、黑白電視機出現時,初期的黑白圖像電視監控系統也誕生了。當時的監控系統大多采用模擬方式傳輸,最簡單的是將圖像基帶信息直接送入視頻傳輸電纜進行傳送。每一監控點的視頻信息都通過一條電纜線直接連接到中心控制室的多路切換控制臺上,通過手動切換的方式選擇控制點圖像使之顯示在電視上。
2.基于PC的多媒體視頻監控技術
20世紀90年代中期,基于PC的多媒體監控隨著數字視頻壓縮編碼技術的發展而產生。系統在遠端有若干個攝像機、各種檢測和報警探頭與數據設備,獲取圖像信息,通過各自的傳輸線路匯接到多媒體監控終端上,然后再通過通信網絡,將這些信息傳到一個或者多個監控中心。監控終端機是一臺PC機,也可以是專用的工業控制機。
3.基于Web服務器的遠程視頻監控技術
20世紀90年代末,隨著網絡技術的發展,出現了基于嵌入式Web服務器技術的遠程網絡數字視頻監控系統,其關鍵設備是內置嵌入式Web服務器的視頻服務器。
4.視頻監控系統的應用領域
目前,視頻監控系統主要應用于公安消防部門、銀行、交通、樓宇大廈等需要遠程實時監控的區域,物流企業對于這種要求也是迫切的。
二、系統模型設計與關鍵技術分析
1.系統模型設計:整個系統基于C/S(客戶機/服務器)模式,如圖1所示。
系統功能描述:遠程客戶端是監控中心,服務器端是監控前端。攝像頭和麥克將采集的模擬音視頻信號送入網絡視頻服務器;模擬信號被分成兩路,一路直接送入本地監視器進行本地回放,另一路被送入編碼器編碼成視頻流和音頻流,從編碼器出來的音視頻流再被分為兩路,一路送入本地硬盤存儲,另一路通過網絡發送到客戶端。客戶機端用戶根據分配的用戶名和密碼訪問服務器主機,接收網絡數據包,經過解碼還原成原來的視頻圖像,就可以實時察看監控錄像,并發送相應的控制信息對云臺、攝像頭進行遠程控制,實現遠程監控。
2.遠程網絡視頻監控系統中的關鍵技術
(1)視頻編解碼技術
網絡視頻監控要處理傳輸的主要數據就是圖像語音數據。一幅640 × 480中等分辨彩色圖像,采用24位比特量化的數據量約為7Mbit,如果按每秒30幀的速率播放,則需要傳輸的碼率高達221Mbit/s,要在有限的帶寬上傳輸如此之高的碼流是不現實的,在這樣的情況下,視頻編解碼技術顯得尤為重要。
在我們的系統中采用的是H.264的編碼格式,它是一種比已存標準性能更高的視頻編碼標準,主要體現為較高的編碼效率、友好的網絡交互性和精簡的語法表示。
圖2是 H.263, MPEG-2,MPEG-4和H.264壓縮性能的一個比較。
(2)網絡傳輸技術
①傳輸協議
視頻圖像的傳輸質量直接影響系統的監控質量,數字視頻信號雖然已經過壓縮,但數據量還是很大,特別是當幾路視頻信號同時在網絡上傳輸時,大量的數據傳輸會使得傳輸網絡變得擁擠,這會造成數據的延遲及丟失,因此良好的網絡通信通道和通信協議的選擇至關重要,本系統采用RTP/RTCP與UDP相結合的傳輸協議。
②C/S端動態IP地址的解析
當需要遠程視頻監控操作并通過ADSL撥號連接Internet時,ISP通常會分配給用戶一個公共IP地址,這時候Internet上的其他用戶就可以通過這個IP地址訪問該計算機。但是,因為這個IP地址是動態的,也就是說一旦斷線,下次再連接Internet的時候,ISP將會分配另一個不同的公共IP地址。
如果僅僅是服務器端或者客戶端的一方采用了動態IP接入方式,問題比較容易解決。在點對點通信的時候,只要有一方能夠預先知道IP地址,就能夠在雙方之間建立握手,并獲取對方的IP地址,進行通信。但是如果雙方都采用動態IP接入方式,就麻煩了。一個用戶撥號連接后,不知道客戶端的IP地址,也就無法通知對方自己的IP地址,后續操作根本無法進行。這里我們采用動態域名解析的方式,就是把一個固定的Internet域名和動態地址IP實時對應起來。這樣,不管什么時候上線,分配的IP地址是多少,其他用戶總是可以通過Internet域名訪問相應的計算機。
三、物流企業網絡數字視頻監控系統設計
1.系統硬件:
網絡視頻監控系統結構如圖三所示:該系統由前端設備、傳輸設備、多路視頻分配器、網絡視頻服務器、本地顯示器、終端客戶機等部分組成。前端包括:攝像機、鏡頭、云臺、防護罩等設備。傳輸部分由視頻線纜、電源線纜、控制線纜和傳輸線纜等組成。Web嵌入式視頻服務器連接多路視頻輸入,集監視、錄像、多種畫面分割、畫面切換、回放檢索、打印、等功能于一體。終端客戶機實現遠程視頻回放和對云臺的監控。
2.系統軟件(客戶端):
采用VC++6.0開發完成視頻采集、存儲、磁盤管理和對云臺、攝像機的控制,用戶權限管理等功能。Visual C++支持面向對象的編程方法,提供了簡單高效的方法來操作應用程序類。
系統綜述:物流企業在對人員、物資、材料的監管上有著特殊的要求,而網絡視頻監控系統突顯了在這些方面的優勢。首先,在所設監控區域(如:保密室)布置監控點,采用攝像頭對射方式保證監控無盲點,也可加入報警裝置;其次,設立監控中心并授予監管人員權限;最后,各級監管人員可在局域網或廣域網對監控點進行不定時訪問,這樣就做到了真正意義上的人員保密、物資安全。
結束語
視頻監控同其他技術相結合產生了許多新的應用,在各行各業起著舉足輕重的作用,而智能化是視頻監控技術發展的趨勢。由于視頻監控的數據量非常大,而用戶真正需要的信息只是少部分,或者說真正需要監視的只是發生概率很少的某些事件,如何通過海量數據獲取有價值的信息或者說如何從目視解釋變為機器自動解釋是視頻監控技術發展的一個新方向。
作者單位:王鴻雁唐山工業職業技術學院
鄧乃灝 河北理工大學機械工程學院
篇3
[中圖分類號]TP393.02 [文獻標識碼]A [文章編號]1673-0194(2016)12-00-02
0 引 言
隨著Internet的發展,大型企業網絡從簡單的信息承載轉變成一個公共服務提供平臺,這就對企業網絡的穩定性要求越來越高。為了保證網絡的健壯、高效和穩定可靠,需要企業在對機房關鍵設備采用硬件備份、雙機冗余等技術的基礎上,采用相關的軟件技術提供較強的管理機制、控制手段,實現冗余和負載均衡。
1 硬件設備的冗余技術
硬件設備冗余分為關鍵設備和管理板卡冗余備份,關鍵設備有服務器、網絡設備及電源等重要設備,這些都采用一用兩備甚至三備的配置或雙機冗余。正常工作時,幾臺相同型號的關鍵設備同時工作,互為備用。一旦遇到停電或者機器故障,自動轉到正常設備上繼續運行,確保系統穩定可靠,避免造成業務中斷;而管理板卡冗余也就是網絡設備在運行過程中,如果主管理板出現故障不能正常運行,網絡設備將自動轉換到從管理板工作,從而保證網絡能夠正常運行,同時不丟失相應的配置數據,實現冗余功能。
2 協議冗余技術
2.1 MSTP協議技術
在大型企業網絡中往往存在多條鏈路,使用鏈路級冗余技術可以實現多條鏈路之間的備份,流量分擔和環路消除。為了避免二層鏈路環路,同時充分利用鏈路帶寬,在實際工作中,人們往往會選用IEEE 802.1s MSTP技術。MSTP(Multiple Spanning Tree Protocol)是一種新型的多生成樹協議。簡單來說,STP、RSTP都是單生成樹協議,基于交換機端口技術,在進行生產樹計算時,所有VLAN共享一棵生成樹,無法實現不同VLAN在多條鏈路Trunk上的負載均衡分擔。為了解決這些弊端,MSTP協議做了些優化,它是基于實例計算出多棵生成樹,實例間實現負載均衡分擔。MSTP根據域來計算生成樹,MST域由域名(Region)、修改級別和實例(Instance)組成,只有MST域配置標識三者都相同的互聯設備的才認為在同一個域中,并進行生成樹計算。運用域名把一個網絡分成多個域。每個域名是不一致的,用MAC地址來區分。在域內,形成多棵內部生成樹(IST),生成樹之間相互獨立;在域外,形成公共生成樹(CSI);在域間,MSTP利用公共內部生成樹(CIST)將環路網絡修剪成為一個無環的樹形網絡,避免報文在環路網絡中的增生和無限循環,同時還提供了數據轉發的多個冗余路徑,在數據轉發過程中實現VLAN數據的負載均衡。而“實例(Instance)”是VLAN映射的集合,一個或多個VLAN劃分為一個Instance,通過多個VLAN捆綁到一個Instance中去的方法可以減少資源占用率和通信開銷。MSTP的各個Instance拓撲的生存樹計算是相互獨立的,在這些Instance上就可以實現均流量分擔。正常工作時,MSTP可以把多個相同拓撲結構的VLAN映射到某一個Instance中,這些VLAN在端口上的轉發狀態將取決于對應實例在MSTP里的轉發狀態。因此,MSTP既可以消除二層鏈路環路,又可以實現負責均衡,從而提高網絡的穩定可靠性。
2.2 VRRP協議技術
利用MSTP可以實現鏈路冗余和不同VLAN在多條鏈路Trunk上的流量負載均衡分擔,但網絡中還存在單點失效隱患,那就是每個VLAN只有一臺默認網關,一旦網關發生故障,用戶就無法訪問其他網絡。為解決這一問題,在網關級可以利用VRRP協議,虛擬路由器冗余協議(Virtual Router Redundancy Protlcol,VRRP)是一種容錯協議,也可以叫做備份路由協議。一個局域網絡內的所有主機都設置缺省路由,當網內主機發出的目的地址不在本網段時,報文將被通過缺省路由發往外部路由器,從而實現了主機與外部網絡的通信。當缺省路由器down掉(即端口關閉)之后,內部主機將無法與外部通信,如果路由器設置了VRRP時,那么這時,虛擬路由將啟用備份路由器,從而實現全網通信。
3 企業網絡的冗余設計及實現方法
3.1 任務需求與分析
圖1是A企業網的一個典型部分,可表示整個企業中的某個子網或企業的部門網絡。由于該公司的業務不斷增多,業務操作對網絡的依賴性也相對較大,如果采用單核的網絡架構,核心設備一旦癱瘓,將對公司的業務造成極大的影響。因此,為增加網絡的健壯性和可靠性,可以采用雙核心架構,配置協議冗余策,充分考慮設備、鏈路和網關級的備份技術,扎實保證A公司網絡高效穩定運行。具體拓撲圖說明如下。
圖1 A公司的網絡冗余拓撲
(1)根據A公司的需求,首先選擇了SW1和SW2兩臺三層交換機作為核心層設備,采用VRRP技術使兩臺交換機相互備份,避免因設備及故障而造成的網絡中斷,從而提高網絡的可靠性和穩定性。SW3是網絡中的接入層設備,主要為各個VLAN用戶提供服務,銷售部為VLAN 2,財務部為VLAN 3,市場部為VLAN 4,技術部為VLAN 5。
(2)SW1、SW2和SW3設備互聯后,為避免鏈路環路,實現冗余鏈路的負載均衡,選用MSTP+VRRP技術實現A公司網絡的鏈路級備份和網關級冗余。
(3)在交換機SW1、SW2、SW3上配置MSTP消除二層環路,SW1與SW2配置VRRP實現主機網關冗余。正常情況下,在二層設備接入的銷售部VLAN 2與財務部VLAN 3數據流經過三層交換機SW1向路由器轉發;市場部VLAN 4與技術部VLAN 5數據流經過三層交換機SW2向路由器轉發,當SW1的鏈路發生故障時,VLAN 2和VLAN 3主機的數據流切換到SW2向路由器轉發,故障恢復之后,主機的數據流又能夠切換回去,同樣當SW2鏈路發生故障時,VLAN 4與VLAN 5數據也能切換到SW1轉發。
(4)SW1、SW2、SW3交換機上設置2個實例對應關系,VLAN 2、VLAN 3對應實例2,VLAN 4、VLAN 5對應實例3。
3.2 任務實施
(1)SW1主要配置如下:
創建VLAN: VLAN2、VLAN3、VLAN4、VLAN 5
配置MSTP
SW1(config)#spanning-tree mode mstp //開啟MSTP生成樹協議
SW1(config)# spanning-tree mst configuration //進入VLAN綁定
SW1(config-mst)# instance 2 vlan 2 ,3 //配置實例2對應VLAN 2、3,mstp域其他兩個參數,域名和域修正號采用默認值
SW1(config-mst)# instance 3 vlan 4 ,5 //配置實例3對應VLAN 4、5
配置vrrp
SW1(config)#spanning-tree mst 2 priority 0 //設置捆綁1的優先級
SW1(config)#spanning-tree mst 3 priority 8196
SW1(config)#interface vlan 2
SW1(config-if)#ip address 192.168.2.1 255.255.255.0
SW1(config-if)#vrrp 10 ip 192.168.2.254 //配置組10的虛擬網關IP地址
SW1(config-if)#vrrp 10 priority //配置該接口優先級為254,確定該設備的接口為master
SW1(config)#interface vlan 3
SW1(config-if)#ip address 192.168.3.1 255.255.255.0
SW1(config-if)#vrrp 10 ip 192.168.3.254 //配置組10的虛擬網關IP地址
SW1(config-if)#vrrp 10 priority 254 //配置該接口優先級為254,確定該設備的接口為master
SW1(config)#interface vlan 4
SW1(config-if)#ip address 192.168.4.1 255.255.255.0
SW1(config-if)#vrrp 20 ip 192.168.4.254//配置組20的虛擬網關IP地址,沒有配置該接口優先級,采用默認值為100,確定該設備為backup
SW1(config)#interface vlan 5
SW1(config-if)#ip address 192.168.5.1 255.255.255.0
SW1(config-if)#vrrp 20 ip 192.168.5.254//配置組20的虛擬網關IP地址,沒有配置該接口優先級,采用默認值為100,確定該設備為backup。
(2)SW2主要配置與SW1的配置思路基本一致,MSTP和VRRP配置類似,不再敘述。
(3)SW3主要配置
①創建VLAN并把相應的端口劃分到相應的VLAN;②配置MSTP:與SW1配置類似,簡要配置如下。
SW3(config-mst)# instance 2 vlan 2 ,3 //配置實例2對應VLAN 2、3,MSTP域其他兩個參數,域名和域修正號采用默認值
SW3(config-mst)# instance 2 vlan 4 ,5 //配置實例2對應VLAN 4、5
5 結 語
隨著各個企業規模的不斷增大,對網絡的可靠性和安全性要求越來越高,基于MSTP+VRRP的雙核心技術也在各行各業的網絡中應用極為廣泛。該雙核技術能夠實現網絡擴容以及網絡的硬件設備冗余和協議冗余及流量分擔,解決冗余和負載均衡的問題,從而提高了整個網絡可用性和穩定性。
主要參考文獻
[1]鄧澤國,孫紹志,楊顯青.企業網搭建及應用寶典[M].北京:電子工業出版社,2012.
[2]張裕生,陳建軍.企業網絡搭建及應用[M].北京:高等教育出版社,2010.
篇4
關鍵字:數據同步 COM ActiveX ATL ASP 組件制作 電子商務 文件傳輸 組件注冊 網絡編程 COM調用 ASP組件調用
目
錄
前 言 4
正 文 4
系統概述 4
需求闡述及功能定制 5
技術實現方案 6
模塊算法和機制實現過程 11
總結 27
致謝 27
參考文獻 28
篇5
1 校企合作的高效互動模式
為了與企業能保持穩定和牢固的合作關系,必須采取一種能實現校企雙贏的模式。學校的需求是專業培養方案的制定、課程和實訓的開發、師資力量的培養、學生的實踐教學和校內外實訓場地的建設。企業的需求是符合崗位需求的高素質人才、企業員工的培訓場所和師資。在充分了解了校企雙方的需求后,逐步探索出了校企合作的高效互動模式。
校企合作的第一階段,學校提供資金,企業對網絡專業的崗位需求進行調研,提供專業調研報告。然后由校內教師和企業工程師組建的專業建設團隊分析專業調研報告提取專業面向的主要工作崗位,然后從工作崗位中提取典型工作任務,接著構建專業的課程體系。當專業課程體系構建完成并通過驗證后,專業建設團隊分成幾個小組進行核心課程和實訓課程的開發。企業工程師與校內教師共同確定課程和實訓的內容,并結合授課內容開發出適用于教學的企業項目及配套項目文檔。實訓資源的開發主要包括實訓指導書、實訓項目文檔、實訓報告模板及實訓評價標準等。
校企合作的第二階段,為了滿足課程和實訓的教學環境要求,企業幫助完成校內實訓基地的建設,在實訓基地內可以完成學生綜合實訓和就業前實訓的教學任務,為企業輸送高素質人才;在實訓基地內可以完成企業員工的技能培訓,使學校和企業在校企合作的過程中能達到“雙贏”,從而實現高效的互動合作。
2 實訓課程的設計思路
實訓課程的開發成果是校企合作的重要成果,本校在校企合作共同開發的過程中總結出以下幾點經驗。實訓定位要準確,實訓內容要覆蓋,實訓師資要配套,實訓考核要嚴格。
2.1 實訓定位要準確
實訓課程在專業課程體系中的定位一定要準確,在本專業的課程體系中,每個學期的期末有兩周的專業實訓課程。學期實訓的定位是鍛煉學生綜合運用本學期的課程內容進行模擬項目開發的能力。最后一學年的第一學期針對不同的就業崗位方向安排了兩個就業前的綜合實訓,就業前實訓的定位是訓練學生針對某一就業崗位方向貫穿前四個學期中涉及的相關課程的內容,同時為了更好的就業,就業前實訓還需要完成相關職業技能認證。學生完成就業前頂崗實習后將進入企業進行頂崗實習。
2.2 實訓內容要覆蓋
實訓內容課程體系中主要包括學期綜合實訓和就業前綜合實訓,其中學期綜合實訓需要盡可能的覆蓋整個學期中所有的專業課程,以第三學期的《多鏈路網絡組建、運維與應用開發》實訓為例,實訓內容覆蓋了《路由與交換技術》、《WEB前端技術》、《網絡檢測與監控》和《網絡服務與管理》。實訓內容以企業的真實網絡項目為基礎進行開發,開發出符合行業標準的實訓項目。與實訓項目配套開發出實訓指導書和配套的實訓資源。
2.3 實訓師資要配套
實訓效果的好壞在很大程度上取決于實訓實施過程中教師的職業技能水平、教學水平和責任心。為了提高教師的職業技能水平,必須為教師提供企業實踐鍛煉和職業資格認證培訓的機會。并且聘請企業工程師作為兼職實訓指導教師與校內教師共同指導,從而在指導實訓的過程中能發揮企業教師項目經驗豐富的優點及校內教師教學經驗豐富的優點,有效的保障實訓實施過程中的教學質量。
為了保障實訓師資水平的持續穩定,要定期考核實訓指導教師并提供相關的培訓進修意見,促進教師的可持續發展。
2.4 實訓過程要規范
所有的綜合實訓是基于工作過程開發的。為了達到預期的實訓效果,要求提供與企業工作環境相仿的實訓環境,并按照企業項目的實施過程和操作規范指導學生進行實訓。通過綜合實訓的訓練,學生能逐步的熟悉企業的項目實施流程和操作規范,從而能盡快地適應真實的工作崗位。
2.5 實訓考核要嚴格
實訓完成之后,對學生的考核評價是一個十分重要的環節,如果考核評價不嚴格將會使學生不夠重視。首先要根據實訓內容制定出規范的實訓考核標準,然后實訓指導教師要嚴格的根據實訓考核標準對學生進行考核。
實訓的考核標準要由企業工程師和校內教師共同制定,要參照企業對人才的考核要求,考核學生的綜合能力,綜合能力主要包括學生的專業技術能力、學生的團隊協作能力、信息搜索與分析能力和成果展示能力等。
3 學期綜合實訓的實現
下面以計算機網絡技術專業第三學期的綜合實訓為例,介紹本校綜合實訓的開發方法及成果。該綜合實訓是與三家網絡及網站建設公司合作開發的,開發團隊包括三名企業工程師和兩名校內教師,下面就從實訓定位、實訓內容、實訓實施、實訓師資及實訓考核五個方面介紹該綜合實訓。
《多鏈路網絡建設、運維及開發》實訓定位為綜合實訓,要求綜合覆蓋第三學期的專業課程,主要包括《路由與交換技術》、《網絡服務與管理》、《WEB前端技術》和《網絡檢測與監控》專業課程。
實訓內容以中型企業局域網的組建、運維及企業宣傳網站開發項目為基礎,要求學生完成六個項目任務:項目需求分析、網絡建設方案撰寫、網絡實施詳細設計(網站建設規劃)、網絡項目實施(網站開發)、項目各模塊的測試、網絡系統集成和網絡綜合測試(網絡連通性測試、應用服務測試和網站測試)。最后提交項目文檔及實訓報告。
實訓的實施過程由校內教師和企業工程師共同指導,教師在項目實施的過程作為項目的需求提供者及項目的質量監控者。學生按照企業項目實施的流程和規范完成實訓項目,依次為:(1)進行分組,組成項目組;(2)選擇出項目組的組長,組長帶領小組成員進行項目需求分析;(3)根據需求分析的結果進行任務分工,并指定各項目模塊的負責人;(4)各模塊的負責人帶領組員進行項目實施的規劃和詳細設計;(5)各項目模塊嚴格按照企業項目實施的規范要求進行實施;(6)各項目模塊的測試及排障;(7)項目各模塊的系統集成;(8)項目的綜合測試
實訓的考核標準要符合企業用人的考核標準,全方位的考核學生的綜合能力,同時要具備可操作性,從而確保教師在實訓過程中能按照該考核標準嚴格執行。具體的考核標準如表1所示。
4 結語
本校計算機網絡專業的實訓課程定位準確、能全面地覆蓋相關課程并且具備了嚴格的考核標準。在實訓開發的過程中,注重校內師資的培訓,從而確保實訓實施過程的規范性及實訓質量。學生通過實訓逐步提高了技術的綜合應用能力和項目的實踐能力。通過兩輪的實施,用人單位及學生均反映實習階段的崗位適應能力明顯提高。
篇6
一、企業網絡安全風險狀況概述
企業網絡是在企業范圍內,在一定的思想和理論指導下,為企業提供資源共享、信息交流和協同工作的計算機網絡。隨著我國各地企業網數量的迅速增加,如何實現企業網之間資源共享、信息交流和協同工作以及保證企業網絡安全的要求是越來越強烈。與其它網絡一樣,企業網也同樣面臨著各種各樣的網絡安全問題。但是在企業網絡建設的過程中,由于對技術的偏好和運營意識的不足,普遍都存在”重技術、輕安全、輕管理”的傾向,隨著網絡規模的急劇膨脹,網絡用戶的快速增長,關鍵性應用的普及和深入,企業網絡在企業的信息化建設中已經在扮演了至關重要的角色,作為數字化信息的最重要傳輸載體,如何保證企業網絡能正常的運行不受各種網絡黑客的侵害就成為各個企業不可回避的一個緊迫問題,解決網絡安全問題刻不容緩,并且逐漸引起了各方面的重視。
由于Internet上存在各種各樣不可預知的風險,網絡入侵者可以通過多種方式攻擊內部網絡。此外,由于企業網用戶網絡安全尚欠缺,很少考慮實際存在的風險和低效率,很少學習防范病毒、漏洞修復、密碼管理、信息保密的必備知識以及防止人為破壞系統和篡改敏感數據的有關技術。
因此,在設計時有必要將公開服務器和外網及內部其它業務網絡進行必要的隔離,避免網絡結構信息外泄;同時還要對網絡通訊進行有效的過濾,使必要的服務請求到達主機,對不必要的訪問請求加以拒絕。
二、企業網絡安全體系結構的設計與構建
網絡安全系統的構建實際上是入侵者與反入侵者之間的持久的對抗過程。網絡安全體系不是一勞永逸地能夠防范任何攻擊的完美系統。人們力圖建立的是一個網絡安全的動態防護體系,是動態加靜態的防御,是被動加主動的防御甚至抗擊,是管理加技術的完整安全觀念。但企業網絡安全問題不是在網絡中加一個防火墻就能解決的問題,需要有一個科學、系統、全面的網絡安全結構體系。
(一)企業網絡安全系統設計目標
企業網絡系統安全設計的目標是使在企業網絡中信息的采集、存儲、處理、傳播和運用過程中,信息的自由性、秘密性、完整性、共享性等都能得到良好保護的一種狀態。在網絡上傳遞的信息沒有被故意的或偶然的非法授權泄露、更改、破壞或使信息被非法系統辨識、控制,網絡信息的保密性、完整性、可用性、可控性得到良好保護的狀態。
(二) 企業網防火墻的部署
1.安全策略。所有的數據包都必須經過防火墻;只有被允許的數據包才能通過防火墻;防火墻本身要有預防入侵的功能;默認禁止所有的服務,除非是必須的服務才被允許。
2.系統設計。在互聯網與企業網內網之間部署了一臺硬件防火墻,在內外網之間建立一道安全屏障。其中WEB、E一mail、FTP等服務器放置在防火墻的DMZ區(即“非軍事區”,是為不信任系統提供服務的孤立網段,它阻止內網和外網直接通信以保證內網安全),與內網和外網間進行隔離,內網口連接企業網,外網口通過電信網絡與互聯網連接。
3.入侵檢測系統的設計和部署。入侵檢測系統主要檢測對網絡系統各主要運營環節的實時入侵,在企業網網絡與互聯網之間設置瑞星RIDS一100入侵檢測系統,與防火墻并行的接入網絡中,監測來自互聯網、企業網內部的攻擊行為。發現入侵行為時,及時通知防火墻阻斷攻擊源。
4.企業網絡安全體系實施階段。第一階段:基本安全需求。第一階段的目標是利用已有的技術,首先滿足企業網最迫切的安全需求,所涉及到的安全內容有:
①滿足設備物理安全
②VLAN與IP地址的規劃與實施
③制定相關安全策略
④內外網隔離與訪問控制
⑤內網自身病毒防護
⑥系統自身安全
⑦相關制度的完善
第二階段:較高的安全需求。這一階段的目標是在完成第一階段安全需求的前提下,全面實現整個企業網絡的安全需求。所涉及的安全內容有:
①入侵檢測與保護
②身份認證與安全審計
③流量控制
④內外網病毒防護與控制
⑤動態調整安全策略
第三階段:后續動態的安全系統調整與完善。相關安全策略的調整與完善以及數據備份與災難恢復等。
在上述分析、比較基礎上,我們利用現有的各種網絡安全技術,結合企業網的特點,依據設計、構建的企業網絡安全體系,成功構建了如圖4-1的企業網絡安全解決方案,對本研究設計、構建的企業網絡安全體系的實踐應用具有重要的指導意義。
篇7
二、企業網絡安全防護系統設計
1身份認證系統的設計與實現
身份認證作為網絡安全的重要組成部分,企業網絡安全系統中設計基于RSA的認證系統,該系統為三方身份認證協議。
(1)申請認證模塊的設計與實現
CA設置在企業主服務器上,本系統主要包含申請認證、身份認證、通信模塊。其中,申請認證完成與申請認證相關的操作,該模塊實現流程如下:用鼠標點擊菜單項中的“申請證書”,彈出相應的認證界面。在申請書界面內,輸入用戶的姓名及密碼,傳遞至CA認證。
CA接收到認證方所發出的名稱和明碼后,并將認證結果發送至申請證書方,當通過用戶驗證將公鑰傳給CA。
CA接收申請證書一方傳來的公鑰,把其制作為證書發送給申請方,完成CA各項功能。申請方接收CA傳來的證書后,保存至初始化文件.ini內。在申請方.ini文件內可以看見用戶設置的公鑰。
(2)身份認證模塊
實施身份認證的雙方,依次點擊菜單項中的身份認證項,打開相應的身份認證對話框,提出驗證方的請求連接,以此為雙方創建連接[2]。
實際認證過程中,采用產生的隨機數字N1、N2來抵抗攻擊。B驗證A證書有效后,獲取自己的證書,產生隨機數N1對其實施簽名。隨之把證書、簽名的N1兩條信息一起傳遞至A。A接收B發出的信息后,將其劃分為兩個部分,并驗證B的身份同時獲取B公鑰。A驗證B證書屬于有效后,取出N傳出的隨機數N1,并產生隨機數字N2,把密鑰采用B公鑰加密,最終把加密后的密鑰采用A傳送至B。B接受A發出的信息后,對A簽名數據串進行解簽,對傳輸的數據進行驗證。如果驗證失敗,必須重新實施認證。實現代碼如下:
UCHARdata[1024]={0}://解密后的私鑰文件UINT4datalen=10224//解密后私鑰文件長度if(RTN_OK!=CryptionProe(ATTRIB_SDBI_KEY,Dec_keylen,DNCRYPT,kk->length,data,&datalen)){m_List.AddMSg(解密私鑰失敗”,M_ERROR):deletekk;retllrn;}e1se.
2安全防護系統的設計及實現
設計安全防護系統旨在保護企業內部信息的安全,實現對各個協議和端口過濾操作,并實時監測網絡的安全性。
(1)Windos網絡接口標準
安全防護系統總設計方案是基于Windows內核內截取所有IP包。在Windows操作系統內,NDIS發揮著重要的作用,其是網絡協議與NIC之間的橋梁,Windows網絡接口見圖1。其中,NDIS設置在MinpORT驅動程序上,Miniport相當于數據鏈路層的介質訪問控制子層。
(2)數據包過濾系統
數據包過濾系統主要過濾IP數據包、UDP數據包、傳輸層TCP、應用層HTTP等。包過濾技術遵循“允許或不允許”部分數據包通過防火墻,數據包過濾流程見圖2。包過濾裝置對數據包進行有選擇的通過,采用檢查數據量中各數據包后,依據數據包源地址、TCP鏈路狀態等明確數據包是否通過[3]。
綜上所述,現階段,我國多數企業設置的安全防護系統主要預防外部人員的非法入侵和供給,對企業內部人員發出的網絡攻擊、信息竊取無法起到防護的效果。文中對網絡系統安全存在的安全風險展開分析,提出企業網絡身份認證系統和安全防護系統設計與實現步驟,以此提升企業網絡信息的安全性,為企業更好地發展提供安全支持。
參考文獻:
[1]徐哲明.企業網絡系統安全修補程序構架的設計[J].計算機安全,2013,17(8):47-50.
[2]勞偉強.企業數據網安全防護體系的研究與實現[J].電子世界,2013,35(22):154-154.
篇8
網絡安全;企業網;安全技術;安全威脅
1網絡安全技術概述
21世紀信息時代到來,網絡充斥于生產與生活,在帶來網絡便利的同時也引發了網絡安全性的思考。網絡安全技術的研發成為世界性課題。網絡安全技術與網絡技術密切相關,其中網絡技術起源于20世紀60年代,美國國防部高級研究計劃署在1969年提出網絡技術概念,形成以ARPANET為主干的網絡雛形,并迅速衍生出互聯網。進入到21世紀,網絡技術飛速發展,網絡環境更加復雜與多樣,網絡安全漏洞、網絡黑客入侵層出不窮,網絡技術面臨物理安全、網絡結構、系統安全、管理安全等多個層面的安全考驗,網絡安全技術應運而生。企業網作為企業的網絡組織,是伴隨企業發展建立起來的網絡組織,可以更好地展示企業產品與形象,是企業文化建設、產品推廣、內部管理的重要載體,以期滿足企業各方面的發展需求,員工借助企業網獲取企業通信資源、處理器資源及信息資源,提升員工對企業價值的認同。但在復雜的網絡環境與無處不在的網絡黑客攻擊下,企業網絡岌岌可危,如果缺乏對企業網安全性的高度關注,缺乏有效的網絡安全加固措施,企業信息被盜取,企業網絡框架被摧毀,給企業帶來巨大的經濟損失。網絡安全技術的重要性也伴隨企業網的建構逐漸凸顯,因此做好企業網絡技術安全管理十分必要。
2我國企業網安全維護現狀
信息時代的到來,企業對網絡的依賴越來越強,通訊工程與電子信息技術使得互聯網的優勢更加凸顯,企業網建設成為企業發展到一定階段的必然產物,滲透到企業設計、企業管理、企業宣傳的方方面面。由此產生的企業網安全問題也伴隨而生,帶來的網絡安全隱患越來越多,企業網網絡安全建設與維護成為世界性話題。縱觀企業網安全管理現狀,首先企業網絡軟硬件設施參差不齊,不同的經濟實力與產業發展潛力決定企業的網絡建設水平及安全性能。企業也不約而同地借助一些網絡安全技術滿足企業網站安全運行需求,比較常見的網絡安全技術有防火墻技術、數據加密技術、入侵檢測技術、虛擬局域網技術等。基于網絡維護經費的差異,經費不足的企業只能滿足基本的網絡使用需求,網絡安全維護需求難以得到關注與滿足。因此總體上來說,我國企業網的安全建設投入不足。此外企業之間技術管理水平也具有明顯差異,經濟實力強的大型企業聘請專業的網絡維護專員參與網站安全管理,而實力較弱的中小企業則缺乏專業網絡安全技術人員。網絡問題的頻發更提出了網絡安全管理制度建構的需求,但我國網絡立法及管理方面稍顯薄弱,企業員工普遍缺乏網絡安全意識,網絡安全管理制度的落地還有一段距離,整個網絡環境亟待健全與完善。
3企業網安全影響因素
3.1來自于網絡協議的安全缺陷
網絡本身具有自由開放與共享性,網絡協議是信息共享的關鍵與前提。目前最為常用的網絡協議有TCP/IP協議,IPX/SPX協議等,以網絡協議的達成為前提使得網絡信息同步與共享,而網絡協議也不可避免地存在安全隱患,其安全與否與整個企業網絡息息相關,多數協議在設計時對自身安全性關注不多,因此其很容易受到外界惡意攻擊,安全性缺乏保障,使得企業網絡安全受到威脅。
3.2來自于軟硬件層面的安全缺陷
企業網的正常運行除了安全的網絡協議,更需要軟硬件的支持。而網絡軟硬件作為互聯網的主要組成,其自身安全性卻十分脆弱。軟硬件層面的安全缺陷比比可見:網絡與計算機存在電磁信息泄露風險,軟硬件通訊部分具有一定的脆弱性;通訊線路多數為電話線、微波或者電纜,在數據信息傳輸的過程中,信息更容易被截取;計算機操作系統本身存在缺陷,影響網絡穩定及網站正常運營。而軟件的缺陷影響也顯而易見。軟件缺陷因為其先天特征為主,因此無論是小程序還是大型的軟件系統都有這樣或那樣的設計缺陷,而這些設計缺陷則為病毒黑客的入侵提供了便利,網絡病毒以軟件形式在企業網中傳播,對企業網安全帶來威脅。
4企業網安全主要威脅因素
4.1計算機系統設計缺陷
計算機系統是企業網的核心,而計算機系統功能的正常發揮得益于計算機系統程序設計的合理,計算機系統程序設計相對簡單,但難點在于后期的維護與定期的升級優化。網絡建設不能一蹴而就,網絡建構是從不系統不完善到系統完善逐漸過渡的過程,網絡建構初期就應該樹立系統維護與管理意識,將網絡安全融入網絡建構的每個環節。通過定期的網絡檢測,優化程序設計,彌補系統程序設計漏洞,及時發現潛在的系統安全隱患,制定升級優化計劃,有條不紊地完善網站,加固網站,提升企業網的安全性能,確保企業信息的妥善儲存與調取。在程序優化的基礎上奠定企業網系統運作的良好基礎。
4.2計算機病毒入侵的威脅
對于企業網來說,除了計算機系統安全威脅外,計算機病毒入侵是來自外部的侵襲之一,計算機病毒侵入網站內部,干擾原有系統程序的正常運行,導致企業網站系統的癱瘓,導致企業重要數據信息的損毀丟失,使得正常運行的企業網產生安全漏洞,引發病毒傳播,企業網站徹底癱瘓。計算機病毒具有潛伏性、隱蔽性、破壞性及傳染性四大特點,往往潛伏在網站系統中達幾年之久,一旦爆發帶來始料未及的網絡危害,而這種危害是長期潛伏量變累積的結果。計算機病毒的侵襲往往很隱蔽,網站管理人員及網站自身的抵御系統難以及時察覺,不能進行有效的抵御。其破壞性與傳染性使得病毒在計算機內部迅速傳播復制,波及整個網站,網站癱瘓。除了極強的破壞性與潛伏性外,計算機病毒種類多樣,防不勝防,其中比較常見的有木馬病毒、蠕蟲病毒、腳本病毒,病毒的存在為黑客攻擊及信息盜取提供便利,是企業網的巨大威脅因素。
4.3黑客入侵及惡意性攻擊
網絡攻擊簡單地理解就是黑客攻擊,黑客一般具備較強的計算機識別技術,通過非法攻擊計算機系統,獲取計算機用戶終端的重要信息。黑客網絡攻擊有幾種常見形式,利用虛假的信息對網絡展開攻擊,利用計算機病毒控制計算機用戶終端,借助網頁腳本漏洞加強用戶攻擊,采用口令賬號進攻網站系統,最終導致網站用戶信息被竊取,重要文件資料被刪除,給企業帶來巨大的經濟損失,而網站原有的穩定性與安全性也不復存在。
4.4借助網絡開展詐騙
隨著計算機網絡使用環境的開放多元,一些不法分子利用網絡詐騙推銷,這也是企業網站安全威脅之一。部分企業管理人員缺乏必要的網絡詐騙警惕心理,輕信詐騙謊言,給企業帶來巨大的財產損失。網絡運行的前提是操作系統的穩定,雖然現代技術已經實現網站的定期更新,但在更新過程中也不免有網絡安全漏洞,這些漏洞成為黑客、病毒入侵網站的入口,企業網站安全性受到威脅。
5網絡安全技術在企業網中的應用
5.1網絡防火墻技術
防火墻是最常見的網絡安全保護技術,在企業網安全性維護方面發揮重要作用。防火墻可以有效應對網絡病毒入侵,在企業網的運用中有兩種表現形式,分別為應用級防火墻技術和包過濾型防火墻技術。其中應用型防火墻可以起到服務器保護的作用,在完成終端服務器數據掃描后,及時發現不合理的網絡攻擊行為,系統自動斷開服務器與內網服務器之間的聯系,借助終端病毒傳播形式確保企業網安全。而包過濾型防火墻主要工作任務是及時過濾路由器傳輸給計算機的數據信息,實現固定信息的過濾,將病毒黑客阻擋在企業網之外,同時第一時間通知用戶攔截病毒信息,做好企業網安全屏障保護。
5.2數據加密處理技術
除了防火墻網絡安全保護技術外,數據加密技術在企業網安全維護中也有積極作用。對于企業來說,伴隨自身發展壯大,其企業網對安全性與可靠性方面要求更高,而加密技術則很好地滿足企業上述安全保護需求。通過將企業內網的相關數據作加密處理,數據傳輸與信息調取只有在密碼輸入正確的前提下才能執行,通過文件資料的加密處理提升企業網的安全性能。目前對稱加密算法和非對稱加密算法是比較常見的加密形式,前者要求加密信息和解密信息需一致,后者的加密方法和解密方法則存在較大差異,這兩種加密方法都很難被黑客破解,因此在企業網的安全維護中得到了廣泛應用。
5.3病毒查殺處理技術
病毒查殺技術是基于病毒對企業網的威脅而產生的網絡安全處理技術,其也是企業網安全維護的常用手段之一。病毒對網絡的巨大威脅,該技術的安全維護出發點則是網絡系統的檢測與更新,最大限度降低漏洞出現頻率,用戶在未經允許的情況下無法下載正規軟件。在安裝正版病毒查殺軟件后應定期清理病毒數據庫。篩查用戶不文明網頁的瀏覽行為,如果用戶下載不明郵件或者軟件,立即進行病毒查殺,檢驗文件的安全性,確保文件資料安全后允許投入使用,防止病毒對企業網及計算機終端系統的損壞。
5.4系統入侵的檢測技術
入侵檢測技術在企業網安全維護中可以起到早發現早抵制,將病毒黑客等不良因素排斥在企業網之外。入侵檢測技術具有諸多優勢。其一,可以通過收集計算機網絡數據信息開展自動安全檢測。其二,及時發現系統中潛在的安全風險,將侵害行為的危害降到最低。其三,企業網一旦受到侵害,自動發出求救報警信號,系統自動切斷入侵通道。其四,做好所有非法入侵的有效攔截。入侵檢測技術是企業網的整體監督監控,檢測準確,效率高,但其會在一定程度上影響加密技術的功能發揮,該技術在對企業網進行入侵檢測時,不可避免存在異常檢測及誤測情況,異常檢測面向整個網站資源用戶及系統所有行為,檢測范圍大,其準確性必然受到影響。此外整個企業網檢測要求全面覆蓋,耗費大量時間,也降低工作效率。入侵檢測技術在企業網安全維護中的引入更需要結合企業網運行實際。
5.5物理環境層面的應對技術
外部網絡環境安全與否直接影響到企業網的安全性建設,而外部網絡環境主要是網絡所對應的物理環境,物理環境包括軟硬件環境、通訊線路環境、網站運行環境等幾個方面,其中通訊線路環境安全特指信息數據在傳輸線路上不被惡意攔截或者有意篡改,使得信息數據傳輸更流暢。建議選擇安全性高的光纖作為通訊傳輸介質。運行環境的影響因素主要是意外斷電停電。隨著信息化程度的加劇,企業對網絡產生巨大依賴,一旦意外斷電或者停電,企業數據網絡中斷,信息正常傳輸受阻,給企業帶來不必要的損失。為了提升運行環境的穩定性,企業安裝不間斷電源可以有效減少停電帶來的損失。定期檢查通訊線路,確保線路通暢,提供備選冗余線路,在某條線路發生中斷時能選擇備份線路連接,確保網絡傳輸正常,降低財產損失。
5.6虛擬局域網安全處理技術
虛擬局域網是起源于國外的網絡安全處理技術,其中IEEE組織在1999年頒布了虛擬局域網的標準實現協議在交換式局域網中,可以利用VLAN技術將網絡設備劃分為多個邏輯子網,開展虛擬工作組數據交換。虛擬局域網操作簡單,技術靈活,其在OSI參考模型的數據鏈路層和網絡層上,由單一的子網形成特定的邏輯廣播域,子網通過網絡層的路由器或者三層交換機轉化溝通,實現多個網絡設備的多層面覆蓋,其靈活性體現在其允許處于不同地理位置的網絡用戶自由添加到邏輯子網中,這種自由并入技術使得虛擬局域網的網絡拓撲結構更清晰。
6結語
企業網是社會時代及企業發展的必然產物,反映了信息社會未來發展軌跡。但與網絡建設相伴而生的則是網絡安全問題,涉及技術、產品及管理多個層面的內容,帶有很強的綜合性,僅僅依靠單一的防護體系顯然不夠。本文在分析網絡安全技術發展的基礎上,明確了當前企業網主要安全影響因素,針對幾種比較重要的網絡安全技術在企業網安全維護中的作用作了闡述。在分析網絡安全問題時更應該從需求出發,將安全產品的研發與技術結合起來,運用科學的網絡管理方法,建構更加系統、高效、安全的企業網絡體系。
作者:陳張榮 單位:蘇州高等職業技術學校
[參考文獻]
[1]王蔚蘋.網絡安全技術在某企業網中應用研究[D].成都:電子科技大學,2010.
[2]何向東.網絡安全管理技術在企業網中的應用[J].微型電腦應用,2013(1):52-53.
篇9
在電子政務和電子商務應用快速發展的今天,信息安全問題越來越突出。據權威統計顯示,80%以上的企業內部網絡曾遭受過病毒的肆虐,60%以上的企業網站受過黑客的攻擊,因此企業網絡安全的形勢相當嚴峻。深入分析企業網絡可能存在的問題和正在遭受的安全威脅,是設計安全方案的前提,只有了解企業環境和面臨的問題,才能發現并分析企業網絡所處的風險環境,并在此基礎上提出可能的安全保障措施。這是解決企業網絡安全問題的關鍵,也是設計面向企業的網絡安全體系的前提,它能使我們有的放矢地采用安全防范技術和安全措施。網絡是整個企業信息資源的基礎,也是整個安全體系的基礎。什么樣的網絡結構決定了我們應采用什么樣方法來進行安全設計,安全的網絡結構設計和相關技術手段的應用是整個安全體系建設的重要部分。網絡設備個體作為網絡的最基本構成,其個體的安全關系重大,往往個別設備的安全漏洞或者錯誤的配置,就可能造成網絡的中斷或者癱患。所以最后從網絡設備個體的角度出發,介紹了如何有針對性的采取有效的安全措施。
二、企業網絡模塊化構成
隨著企業的不斷壯大,企業網絡發展要求也日益提高,因此本文在設計網絡安全體系結構時,采用了模塊化的方式。即將企業的網絡劃分成不同的功能模塊,在整體網絡安全設計時實現網絡各功能塊之間的安全關系,同時,也可以讓設計者逐個模塊的實施安全措施,而并不需要在一個階段就完成整個安全體系結構。
我們把企業網絡分為企業園區網和企業邊界網絡兩個大的部分。其中,企業邊界網絡是企業內部網絡與電信服務提供商之間的過渡。對每個功能區中的模塊進行了細化,這些模塊在網絡中扮演特定角色,都有特定的安全需求,但圖中的模塊規模并不代表其在實際網絡中的大小。例如,代表最終用戶設備的接入層網絡可能包括80%的網絡設備。雖然大多數已有企業網絡都不能輕而易舉的劃分為明確的模塊,但此方式可以指導我們在網絡中實施不同安全功能。各個企業的網絡都可以對照此結構找到共性。在企業的實際網絡中,可能有些模塊不存在,或者兩個模塊相合并了,也可以根據后面的安全設計方式結合實際,找到安全解決方案。
三、網絡安全管理模塊的設計
從體系結構的角度來說,提供網絡系統的帶外管理是適用于所有管理和報告策略的最好的第一步。帶外是指無生產信息流駐留的網絡,設備應盡可能的與這樣一個網絡建立直接本地連接,在由于地理原因或系統相關問題無法實現的情況下,設備應經由生產網絡上一條專用加密隧道與其連接。這樣的隧道應預先配置,僅在管理和報告所需的特定端口上通信。整個企業管理網絡模塊由一個防火墻和一個路由器分成兩個網段。防火墻外的網段連接到所有需要管理的設備。防火墻內的網段包括管理主機本身以及作為終端服務器的路由器。其余的接口接到生產網絡,但僅用于接收來自預定義主機、受IPSec保護的管理信息流。兩個管理子網均在完全與生產網絡的其余部分獨立的IP地址空間下運行。這可以確保管理網絡不受任何路由協議的影響。另外,SNMP管理僅從設備獲取信息而不允許更改,即每個設備僅配置“只讀”字串。
當然,完全的帶外管理并非總是可行的,可能因為部分設備不支持,或者有地理差別,需帶內管理。當需要帶內管理時,注意的重點更應放在保護管理協議的傳輸上。這可通過IPSec、SSH、SSL或其他加密認證的方式實現。當管理恰巧即是設備用于用戶數據的接口時,應多注意口令、公共字串、加密密鑰和控制到管理服務器的通信的訪問列表。
主要設備:SNMP管理主機――提供SNMP管理;NIDS主機――為網絡中所有NIDS設備提供報警集中;系統日志主機――幾種防火墻和NIDS主機的記錄信息;接人控制服務器――向網絡設備提供一次性、雙因素認證服務;一次性口令(OTP)服務器――授權從接入服務器轉接的一次性口令信息;系統管理主機――提供設備的配置、軟件和內容變更;NIDS應用――提供對模塊中主要網段的第4~7層監控;防火墻――對管理主機和受控設備間信息流動的控制;第2層防火墻(帶專用VLAN支持)――確保來自受監控設備的數據僅可直接傳輸到防火墻;
所緩解的威脅:未授權接入――在防火墻處的過濾中止了兩個方向的大多數未授權信息流;中間人攻擊――管理數據穿過專用網絡,使中間人攻擊較為困難;網絡偵察――因為所有管理信息流穿越此網絡,它不通過有可能在其中被截獲的生產網絡;口令攻擊――接入控制服務器使每臺設備都擁有強大的雙因素認證;IP電子欺騙――在防火墻兩端均中止了欺騙流量;分組竊聽――交換基礎設施限制了竊聽的有效性;信息管理利用――專用VLAN可防止任何一個受破壞的設備偽裝成一臺管理主機。
四、統一管理平臺的系統架構設計
由于目前企業網絡中各種廠商的網絡設備越來越多,僅僅利用個別設備廠商的網絡管理軟件(如Ciscoworks 2000等)很難完全達到上述的種種要求,因此在網絡設計時要么都采用同一廠商的設備(包括網絡設備和安全設備),要么利用第三方廠商開發的網絡管理軟件,通過各種客戶化和集成工作,將不同廠商的設備更好的管理起來,作為搭建網絡安全管理平臺的主要工具。
統一管理平臺的基本構架設計分為三個層面:視圖(Wodd View)、企業管理(En-terprt’se Management)、客戶端(Ageats),其中:World View顯而易見是提供圖形化界面的應用程序,將管理對象的信息通過圖形(二維圖或者三維圖)的方式形象的呈現給用戶;企業管理層則通過智能化的手段,來提供處理各種信息、安全、存儲、工作計劃、事件管理等的復雜功能,這部分是整個平臺的關鍵,可能包括了事件管理、故障管理、性能管理、網絡發現等多個功能模塊;客戶端可以看作是一些系統進程或者內嵌代碼(比如各種SNMP信息,MIB庫信息),用來監控各種系統資源,比如操作系統、數據庫、網絡設備等等。客戶端可以從管理層面接受各種指令進行操作,或者向管理層上報相關的系統狀態。
篇10
一、安全架構設計要點
(一)多元線程。安全架構分為“預防”、“治理”、“鞏固”三個線程。“預防”是通過Windows Server Update Services更新服務,及時修補內網終端與服務器的系統漏洞。“治理”是針對不同的安全威脅進行防護。對于病毒威脅和黑客入侵,進行軟硬件聯合防御。“鞏固”是保存完整網絡日志,有科學的備份策略,對終端計算機的嚴格管理,保證終端安全。
(二)立體布局。安全架構設計要兼顧物理層、鏈路層、網絡層和應用層,形成立體化的防護布局。以安全域來劃分為主線,同一安全域共享公用的信息資源、安全基礎設施、網絡基礎設施等。
(三)系統管理。安全架構包括技術層和管理層兩方面,必須建立安全管理系統與安全技術相適應。管理系統要求嚴密的崗位分工,以及日常維護管理制度。一個合理的管理系統能夠明確網絡邊界,增強網絡的可控性,實現有計劃的訪問控制,有效阻止滲透式網絡攻擊。
二、安全架構設計方案
(一)網絡平臺方案設計
1.網絡結構設計。制藥企業的網絡設置采用拓撲結構,根據藥品的生產、銷售、組織、管理等部門分成多個子網,共同構建企業網絡平臺。在各VLAN之間布置路由,實現各VLAN間的自由互訪。但各子網間互訪需要進行網絡驗證,避免某子網的安全威脅獲得擴大性傳播。
2.域管理設計。為實現集中式管理,應在制藥企業網絡平臺布局域管理。域管理可以實現單一賬戶登錄,單節點管理,具有安全便捷的優點。企業內網絡終端設備較多,因此要進行網絡標簽設置,具體規則如下:XX――X――XX,字符分別代表了一定含義,第一段字符代表所屬網關,第二段代表部門,第三段代表姓名全拼,唯一的網絡標簽可以保證定位的速度與精度。
3.入侵檢測設計。網絡入侵檢測是通過防火墻和專用軟件(IDS)實現的。配置企業級防火墻,可以杜絕內外網間的病毒威脅,提供相對安全的網絡環境。而網康、綠盟、安全胄甲等專業入侵檢測軟件(IDS)則是對防火墻的合理補充,IDS從企業網絡中采集關鍵信息,分析總流量、上傳量、ERP等數據變化,自主判斷網絡中違反安全策略的行為。聯合應用防火墻與IDS,可以實時、動態地保護網絡平臺,擴展系統管理員的安全管理能力,形成完整的網絡安全平臺結構。
(二)防治病毒方案設計
1.分布式部署。一般而言,制藥企業規模龐大且機構復雜,由多個服務器構成子網,因此在防毒軟件的安裝方面,要采用分布部署的方法,分地域、分工段、分部門進行配置,并根據企業現有的網絡構架,設立多級病毒防治管理中心,負責各自網段的病毒查殺工作。
2.網絡邊緣防護。網絡邊緣是靠近用戶端的網絡層面,對其進行病毒防護的方法是在部署好防病毒網關后再連接外網,全面掃描網絡后安置硬件防毒墻。建議使用網神、驅逐艦、趨勢,瑞星、 MacAfee等品牌防毒墻,針對HTTP、FTP協議進行查殺病毒。再配置一套符合企業網絡應用需要的安全策略,控制多項網絡端口,填補邊緣防護缺口,建立起軟硬件相結合的安全屏障。
3.防病毒管理。防毒技術是網絡安全架構的技術保障,而技術需要管理制度作為保障才能發揮最大效用。制藥企業防毒管理制度應包括:強制實施防病毒策略,嚴肅工作紀律;定期檢查硬件防毒墻運行狀態,調整工作參數,避免過熱過勞運行;定期升級防毒軟件病毒庫,如有大規模病毒爆發需進行專項治理;加強移動存儲介質管理,不使用來源不明的存儲介質。
(三)數據備份和審計方案設計
數據備份和審計是制藥企業網絡安全架構的重要組件。數據備份的作用是記錄各類網絡信息,為查找漏洞、排除問題、安全設置提供參考。考慮到制藥企業數據備份的規模及對數據安全的要求,可利用IBM公司開發的iSCSI接口,將現有SCSI接口與以太網絡結合,實現服務器與IP網絡儲存裝置的資料交換。由于備份管理軟件對存儲性能有重要影響,應用符合一定技術標準的備份軟件,具備快速存取能力、極簡管理能力和災難恢復能力。另外,備份軟件要適應當前的網絡條件,能同時支持64位和32位WINDOWS系統、UNIX、IOS系統,能在常用系統平臺進行主動式備份。建議采用FileGee等備份軟件,實現自動備份文件,并可進行多介質服務器管理,提供集中管理備份策略。
數據備份的目的是進行數據審計,通過檢索備份數據,分析數據特征和變化趨勢,對企業內服務器和終端設備進行安全審計。終端設備審計方案是:調取網絡數據,對各種網絡應用進行識別、記錄和控制,在此基礎上判斷網絡行為正當與否,如存在安全隱患則采取緊急策略,對問題網絡端口進行控制。服務器審計方案是:在數據庫中提取記錄企業服務器運行信息,包括網絡設備、安全設備、主機、數據庫和應用系統日志,作出勘察、判斷與決策,防止誤操作和不當操作行為,預防各種潛在的違規操作行為。
三、總結
本文立足于制藥企業的網絡管理實際,擬定了三項網絡系統安全架構的設計要點,提出安全規劃,明確建設目標。網絡安全架構設計以平臺安全、防治病毒、數據備份和審計為基點,兼顧了整體性和可操作性,設計出符合線程化、立體化、系統化要求的安全架構,為制藥企業網絡安全應用和管理提供了技術支持。
參考文獻:
篇11
信息化發展的社會,在中小企業中主要的運營模式從根本上發生了一定的改變。網絡建設在不斷的在中小企業中發展在一定程度上提高了中小企業的經濟效益和工作效率。近些年來,我國許多中小企業已經建立的自己的一套網絡模式,但是在網絡建設實施初期存在著一定的問題,進而影響了整個網路的前進和發展。
1 網絡建設在中小企業中重要性
全球化市場競爭對于中小企業而言,在調整戰略方式發展時,一定要充分考慮全球化的市場競爭,這樣的以信息化的發展為重要的基礎條件,通過網絡建設確保中小企業經濟效益和工作效率。隨著市場競爭的激烈發展云計算建設在中小企業當中已經受到高度的重視。中小企業網絡建設主要體現在以下幾個方面:
當今現代化不斷發展的時代,中小企業面對的不單單是某一個區域,在一定程度上是有更高的遠見和長遠的打算。基于云計算商務在全球范圍中不斷的發展和應用,為中小企業帶來了新型的商業發展的模式。當今網絡云計算以及不僅僅進行計算的方式,已經成為了中小企業業務擴展以及經驗積累的平臺,中小企業通過網絡技術可以得到充分的發展。
在中小企業中,人員匱乏已經成為了普遍存在的問題,進一步體改職工人員之間更好的協作和溝通,已經擺企業高度的重視。在中小企業中實現網絡建設可以提高員工之間相互溝通和協作的能力,從而通過網絡實現電子交易。中小企業實現網絡化建設,可以為企業進一步提高工作效率和加速企業中員工之間的相互溝通的能力,滿足移動辦公的需要另外互聯網可以作為實現企業對外宣傳信息平臺跨越空間和時間的界限,快速實現客戶信息反饋和客戶跟蹤。
2 中小企業網絡建設現狀
我國中小企業網絡建設中基礎建設相對薄弱,根據相關資料表明,我國并沒有建立內部的網絡建設,尤其是云計算、信息管理系統以及相關的研究與網絡運行和維護。中小企業對網絡的需求不斷增加,我國企業建設中技術力量相對薄弱寧企并且沒有充分的認識到計算機網絡技術在企業中重要的作用。隨著信息化網絡時代的到來,帶動了相關企業和產品的發展,但是是由中小自身的資金狀況問題決定的,資金不足仍然在中小企業中普遍存在,中小企業中新型技術尤其是計算機網絡云計算技術不斷發展,但是在中小企業中專業技術人員匱乏,沒有充分的人員進行工作配置。在這樣的情況下,要想靠中小企業本身發展技術能力來完成計算機機網絡建設具有一定的難度。中小企業網絡建設中存在著諸多的問題,主要表現在:
(1)規劃設計定位。網絡建設規劃過程中,中小企業要要對網絡建設進行基本情況的研究調查,充分的了解計算機云計算在中小企業中重要的意義和作用。廣泛的應用綜合布線系統、視頻會議系統、SISCO網絡系統、小型IDC規劃建設以及信息管理系統等設計方面的應用。
(2)軟件系統投入問題。許多中小企業在進行網絡規劃設計時,通常重視的往往是軟件系統的投入,將軟件系統放在首要位置上,針對系統軟件開發方面并沒有做好充分的考慮,但是在網絡建設上的應用上并沒有得到更好的發揮。
(3)系統性問題。中小企業網絡設計中,要將整個企業中的網絡計算機應用系統統一為一個整體,例如視頻會議系統和綜合布線系統等相互統一,采用這樣系統可以方面部門之間交流與溝通,信息資源無法達到共享進一步造成計算機網絡相關管理部門中相互協同工作,導致企業中每一部門之間計算云存儲應用不兼容,無法進行集成應用進而造成資源浪費。
3 中小企業網絡建設發展前景
3.1 網絡平臺建設
(1)構建網絡硬件平臺。當前,我國網絡建設中局域網的主流技術有計算機云計算、與存儲、服務器端虛擬化等。這些技術主要的特點是成本低,從左簡單方便因此被中小企業廣泛的推廣和應用。在網絡建設過程中可以分為交換網絡和共享網絡兩種。在這樣情況表之下,一定要適應當前時展的需求,在網絡技術不斷的應用下,進一步提高中小企業工作效率和經濟效益。
(2)軟件系統平臺的構建。由于采用的是計算機云計算、云存儲以及信息管理系統等網絡技術,所以在TCP/IP協議的基礎之上,進一步采用HTTP為主要傳輸協議,在中小企業中所有的信息資源通常采用的都會是這樣形式進行開發研究的。當前我國較為發展的網絡操作系統系統是云計算、綜合布線系統、視頻會議系統、SISCO網絡系統、小型IDC規劃建設以及信息管理系統以及能夠收到我國中小企業在網絡建設方面的青睞。
3.2 軟件應用系統的開發研究
由于每一個企業具體情況不同,在網絡建設方面應用的軟件系統也不同,主要有綜合布線系統、視頻會議系統、SISCO網絡系統、小型IDC規劃建設、信息管理系統以及云計算和云存儲等。在軟件設計時,要充分的考慮網絡建設環境,盡可能采用云計算和三層開發技術,并將云計算和三層開發技術相互融合在計算機網絡環境中建設。
3.3 構建網絡安全保護
中小企業網絡建設中,網絡安全保護工作主要包括計算機應用系統、計算機安全以及網絡病毒防護。計算機安全主要包括數據信息安全、硬件安全等。中小企業網絡建設中為了防止硬件損傷和網絡癱瘓,在建設的過程中進一步加強網絡系統安全防范的措施,確保系統安全。
4 結語
總而言之,中小企業建立網絡可以提高企業的管理水平和工作效率,進一步提高企業經濟效益和市場競爭能力為主要的目標。云計算在中小企業網絡的建設中占據著重要的地位和作用,同時還是企業競爭和發展必然的條件。在云計算技術建設過程中不僅要需要一個較為科學合理的設計計劃和維護,還要求中小企業領導干部積極的參與和高度的重視,這樣才會將云計算技術和中小企業網絡建設相互的應用和結合,不斷的提高企業的經濟效益與市場競爭力。
參考文獻
篇12
一、企業網絡系統的安全現狀
隨著企業信息化管理的發展,企業的網絡規模也在持續增加,隨之增大的是企業網絡的信息安全風險。由于企業在網絡建設方面的投入,新的信息終端和交換設備不斷增加,因此其內部網絡所受安全事件的威脅的幾率也在隨時增大,大型的企業往往具有不少的分支機構,造成了網絡設備分布的地理位置比較分散,網內計算機安全問題亟待解決,這是所有大型企業必須面對的問題。所以,企業必須構建一套信息安全管理軟件,才能實時監控網絡內部的各終端設備,使之受到盡可能小的安全威脅。此外,無論是核心網絡還是分支部門的網絡,都必須定期進行統一的補丁分發與移動存儲管理,以保障基本的信息安全。
二、企業網絡安全實現的目標
結合現階段企業內部網絡的安全現狀,企業網絡安全需實現的目標至少包括:嚴密監視來自業務支撐網外部的各種類型訪問,必須掌握每一次訪問的來源、所讀取的具體對象和訪問的具體類型,一方面支持合法訪問,另一方面杜絕非法訪問;對異常訪問能夠做到預防和處理;對流經支撐網內的所有數據包進行有效監控,實時分析這些數據包的協議類型、目的地等,從而防止信息安全隱患。有效監控的內容有:對網絡中的黑客入侵行為進行檢測;對各種主機設備的數據流量進行實時分析,實現信息安全的動態防護;結合具體的標準和方法對企業內部網絡信息安全進行周期性評估,及時補救網絡安全弱點,排查安全隱患。
三、企業網絡安全系統的設計及實現
(一)安全規則層的設計
在這一層次中,為了保證企業內部運營中的網絡資源及客戶機的安全,首先結合企業實際情況,定義一系列規則,當發生違反這些規則的網絡行為時,則觸發系統的風險應急機制。在制定規則時,對每一類網絡行為對企業信息安全造成的風險歸納為不同的等級。制定這些等級的一句是該企業運營對這些信息在機密性、可用性、完整性及不可抵賴性的具體要求。在所指定的等級之下對企業信息安全造成威脅的行為進行分類。
與此同時,對攻擊所帶來的風險進行等級劃分,依次劃分為低級風險、中級風險與高級風險。所謂低風險,指的是網絡系統遭受入侵之后,并不會造成任何資金流失,也不會擾亂運營管理。所謂中級風險,指的是網絡系統遭受入侵之后,會造成輕度資金流失,在一定程度上擾亂運營管理。所謂高級風險,指的是網絡系統遭受入侵之后,會造成比較明顯的資金流失,極大程度地擾亂運營管理。
(二)安全措施層的設計
在這一層次中,主要設定在網絡安全之下所具體選用的安全技術與采納的實施方法,結合企業信息系統的安全目標,結合安全規則層所指定的安全事件和安全等級,給出有針對性的解決方案。安全措施層對于一種類型的安全行為可以給出多個安全方案,舉例來講,在發現有用戶進行非法授權的訪問操作時,一個可能是由于遭受了網絡攻擊,另一個可能則是用戶的誤操作。此時可以采取的方案包括對用戶發出警告、阻止連接和強制關閉主機等。
(三)安全決策層的設計
在這一層次中,主要任務是結合具體的方案來解決信息系統安全問題。依舊延續安全措施層的實例,當用戶的非法授權訪問時首次發生的,則方案(1)對用戶發出警告則可以解決;而假若該用戶反復進行非法訪問,則方案(3)強制關閉主機效果最好。
四、企業網絡安全解決方案實例
本文選擇安全防御系統中相對重要的功能模塊--重定向模塊,并闡述其具體設計方法。企業網絡在遭受外界攻擊時,首先丟失的是被黑客掃描竊取的內部主機的操作系統、服務、端口等信息。在獲取這些信息之后,便會通過緩沖溢出或者蠕蟲等方法找到主機本身所存在的安全漏洞,對主機系統進行操縱。本文引入蜜罐技術,所設計的重定向模塊的主要功能便是在攻擊發生的初期,快速隔斷為企業網絡帶來安全威脅的連接。具體實現方法為,該模塊首先在網絡驅動接口規范中間層進行數據過濾,獲取從外部流進企業內網主機的數據包,針對具體類型的端口,以網絡主機事先所維護的可疑端口表,對這些數據包進行過濾,一旦找到對可疑端口進行訪問的數據包,則將其判定為一次可疑訪問,此時,修改該數據包的相關參數和屬性,同時,把此次訪問列為可疑訪問,并引導進通信隊列之中,這些數據包直接越過系統的上層協議,轉發至蜜罐來繼續跟蹤和分析。以相同的方法將蜜網所反饋的數據處理后發送給可能的攻擊者。
為了使蜜罐系統能夠有更加逼真的模擬效果,本設計在蜜罐系統上完全仿照實際網絡系統的主機而部署相同的OS、協議棧、以及相關服務,從而在最大限度上使蜜罐與實際系統中的客戶機或服務器相類似。具體的操作為,啟動蜜罐設置系統,進入蜜罐的配置菜單。
在進行配置的時候,使用蜜罐系統所提供的menu命令進入界面,結合企業網絡的實際特征,本文所配置的內容有:管理機IP、蜜罐IP、TCP連接以及Secure Shell管理連接等。然后在蜜罐系統對客戶機進行模擬,并配置諸如辦公軟件等常用軟件,對服務器進行模擬,開通各類網絡應用服務,從而基于典型服務端口來對多個可以訪問進行引誘。同時,出于進一步迷惑網絡攻擊者的目的,還要設置成允許網絡攻擊者進行更多的操作,而蜜罐系統中并未存儲企業真正的數據與信息。在對具體連接方式進行設置的時候,通過custom使之能夠鏈接vmnet2,并通過蜜罐系統抵達外網。在安裝Sebek時,考慮到其Linux版本與Windows版本,分別進行不同安裝文件的配置。
篇13
企業網絡組建是計算機網絡技術專業的一門專業課程,是學生在學完網絡基礎這門專業課程的前提下的一門重要的接續課程。目的是通過此門課程能夠幫助大型企業建立綜合運營網絡;運用所學過的網絡知識應用到實際中去,是網絡綜合運用能力、網絡設備操作能力的綜合運用。也是為完成大型企業網絡建設和維護企業網絡建設打下堅實可靠的基礎。
2、課程目標
此課程通過對大型企業網絡建設的各個環節建設的實施,使學生掌握如何在企業建立超大規模的網絡,掌握大型企業網絡解決方案,在本課程中,將要完成的是網絡硬件平臺的搭建;通過本課程的學習,使學生具有規劃設計大型企業網絡的能力;在各部門的數據需要在保證安全的前提下互通能力;在企業網絡越來越大,能保證企業網絡安全、穩定的能力;使企業網絡接入INTERNET的能力;并能對在帶寬有限,當網絡出現擁塞時應保證重要通信的流量帶寬。
本課程的目標可以從職業素質目標、職業能力目標、知識目標三個方面來闡述。
2.1 職業素質目標
對學生職業素質目標可以通過以下方式來培養:培養學生的團隊意識和團隊協作精神,鍛煉學生的溝通交流能力;通過教學,讓學生真切的體驗到,在網絡建設中規劃、設計、工程實施及維護網絡的全過程;具有認真負責、嚴謹細致的工作態度和工作作風。另外,可以通過課外其他訓練,鍛煉學生具有一定的分析問題和解決問題的能力。
2.2 職業能力目標
職業能力是學生應具備的專業知識技能,也是學生就業的關鍵要求。那么本課程學生應具備如下的職業能力:具有利用各種廣域網技術進行網絡互連的能力;具有利用訪問控制列表加強網絡安全性的能力;能根據需求,選擇應用適當的網絡技術進行方案規劃;熟悉主流廠商網絡產品功能、性能、特點,能根據需求選擇合適的設備;具有利用交換機來實現VLAN的劃分、實現交換機冗余的能力;具有利用路由器來實現在不同網絡中傳輸IP數據包的能力。
2.3 知識目標
本門課程設計到的知識比較多,具體可以概括成如下幾個方面:規劃IP地址和VLAN~選用高性能的三層交換機實現VLAN間的路由,并通過HSRP增強網絡的穩定性;為了便于配置和管理,通過配置VTP,實現在一臺交換機上配置和管理整個vLAN;在大型網絡中使用動態路由協議OSPF來實現網絡互聯;通過ACL控制網絡的訪問權限;通過以太網通道,增加交換機之間的帶寬,實現鏈路備份;通過Qos技術,優化企業網絡流量。
3、教學中需要解決的問題
在授課過程中可以使用CCNA Exploration教程也可以使用BENET3.0課程的課程體系,但是如果把兩種課程體系適當的進行結合,那么會有更好的教學效果,在課程整合的過程中有一些需要解決的地方
3.1 確定本課題選取的教材
充分研究CCNA Exploration教程與BENET3.0課程的優缺點,找出本課題選取教材的依據。
3.2 確定課程體系的結構
本課程是汲取了兩門課程體系的優點和精華部分作為理論基礎以BENET3.0課程填充實戰項目。
3.3 認證培訓體系的確立和完善
授課內容包括認證培訓,認證培訓包括理論知識題庫培訓和操作習題的培訓。并在授課過程中不斷充實和完善培訓體系。
3.4 實訓項目的提取與組合
BENET3.0課程的實訓項目理論跨度較大,需要按照實際授課進度進行提取并與CCNA Exploration教程的操作題進行組合。
4、課程改革后的實踐價值
4.1 企業項目進課堂
把企業網絡組建的實際工作項目帶進課堂,這些項目都是近兩年最新的企業工作實際項目。
4.2 授課涉及認證培訓
授課使用美國思科公司的網絡認證考試培訓教材,這些項目都是近兩年最新的企業工作實際項目。
4.3 獨特的考核方式
借助思科網絡學院的在線考試系統進行考核,恩科網院在線考試系統具有題庫廣泛,試題更新及時,對考試結果分析等功能。平時測驗及期中期末考試,理論試題和上機操作題都可通過在線答題的方式進行。
4.4 授課方式更加豐富
在教學上采用四種方式:傳統的多媒體、機房授課;利用cisco電子書授課與練習;利用思科網院對在線試題進行講解;在實驗室演練實際工作項目。
5、課程改革后的的理論價值
5.1 提出課程體系的目標
本課程體系以培養初級網絡工程師為目標。學生通過學習可全面掌握網絡知識并積累實際工作項目經驗,能夠達到初級網絡工程師的要求。
5.2 把兩個體系進行整合
思科公司的CCNA Exploration教程與北大請鳥BENET3.O體系進行整合,思科公司是全球最具影響力的網絡公司,思科公司的《cCNA Exploration》教程注重基礎知識和概念的講授,是認證考試的培訓教材。北大青鳥BENET3.O體系包括對國內近幾年網絡公司實際工作項目的搜集和整理。
5.3 “原生態”基礎教材
計算機網絡起源于美國,企業網絡組建的設備和內部工作標準都由美國制定。授課教材是美國思科公司出版的CCNAExploration教程,該教程可以使學生更加透徹、明晰的理解和掌握知識。
6、教學方法的特點
本門課程理論教學和實踐教學在同一實訓場所完成,實現“教、學、做”三位一體。在“項目導向、任務驅動”的教學模式下,綜合運用多種方法。
7、課改的創新部分
7.1 “一個目標”
本課程以培養初級網絡工程師為目標。學生通過學習可以掌握全面的網絡知識并積累實際工作項目經驗,能夠達到初級網絡工程師的程度水平。
7.2 “合二為一”
本課程將CCNA Exploration課程與BENET 3.O課程進行整合,提取兩門課程的精華之處。用實際工作項目代替枯燥的理論知識部分進行授課。
7.3 “三位一體”
本課程將課程講授、認證培訓、實際項目演練合為一體。可使學生在系統全面學習課程的同時又獲得了認證培訓同時積累了工作經驗。
7.4 “四種方式”
