前言:中文期刊网精心挑选了企业网络安全建设方案范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
企业网络安全建设方案范文1
随着近年来信息化的快速推进,供电企业网络信息系统与Internet的交互日益频繁,基于Internet的业务呈不断增长态势。电力行业作为国民经济的重要组成部分,已经在人们的正常生活中不可缺少。电力系统的是否安全可靠,关系着国民经济的发展,更影响着人们的日常生活。然而电力企业信息网络的发展还不健全,尚存在很多安全问题。这些问题正是黑客和病毒入侵的目标。县级供电企业是整个电力企业的基本单位,只有保证县级供电企业信息网络的安全,才能使整个电力行业正常的运行,因此对其信息网络安全的研究受到越来越多的关注。
2 信息网络安全概述
信息网络安全是指运用各种相关技术和管理,使网络信息不受危害和威胁,保证信息的安全。由于计算机网络在建立时就存在缺陷,本身具有局限性,使其网络系统的硬件和软件资源都有可能遭到破坏和入侵,严重时甚至可能引起整个系统的瘫痪,以至于造成巨大的损失。相对于外界的破坏,自身的防守时非常艰巨的,必须保证每个软件、每一项服务,甚至每个细节都要安全可靠。因此要对网络安全进行细致的研究,下面介绍其特征:
2.1 完整性
主要是指数据的完整性。数据信息在未经许可的情况下不能进行任何修改。
2.2 保密性
未经授权的用户不能使用该数据。
2.3 可用性
被授权的用户可以根据自己的需求使用该数据,不能阻碍其合法使用。
2.4 可控性
系统要能控制能够访问数据的用户,可以被访问的数据以及访问方式,并记录所有用户在系统内的网络活动。
3 信息网络系统安全存在的问题
3.1 系统设备和软件存在漏洞
网络系统的发展时间很短,因此其操作系统、协议和数据库都存在漏洞,这些漏洞变成为黑客和病毒入侵的通道;存储介质受到破坏,使系统中的信息数据丢失和泄漏;系统不进行及时的修补,采用较弱的口令和访问限制。这些都是导致信息网络不安全的因素。网络是开放性的,因此非常容易受到外界的攻击和入侵,入侵者便是通过运用相关工具扫描系统和网络中的漏洞,通过这些漏洞进行攻击,致使网络受到危害,资料泄露。
3.2 制度不完善
目前对于信息网络的建立,数据的使用以及用户的访问没有完善的规章制度,这也导致了各个县级供电企业信息网络系统之间的不统一,在数据传输和利用上受到限制。同时在目前已经确立的信息网络安全的防护规章制度的执行上,企业也不能严格的执行。
4 提高网络安全方法
4.1 网络安全策略
信息网络是一个庞大的系统,包括系统设备和软件的建立、数据的维护和更新、对外界攻击的修复等很多方面,必须各个细节都要保证安全,没有漏洞。然而很多供电企业,尤其是县级企业并没有对其引起足够的重视,只是被动地进行防护。整体的安全管理水平很低,没有完备的网络安全策略和规划。因此要想实现信息网络的安全,首先需要制定一个全面可行的安全策略以及相应的实施过程。
4.2 提高网络安全技术人员技术水平
信息网络的运行涉及很多方面,其安全防护只是其中一部分,因此在网络安全部分要建立专业的安全技术队伍。信息网络中的一些系统和应用程序更新速度不一致,也会造成网络的不安全。一般企业的网络管理员要兼顾软硬件的维护和开发,有时会顾此失彼,因此要建立更专业的安全技术队伍,使信息网络的工作各有分工,实现专业性,提升整体网络安全技术水平,提高工作效率。
4.3 完备的数据备份
当信息网络受到严重破坏时,备份数据便发挥了作用。不论网络系统建立的多完善,安全措施做得多到位,保留完备的备份数据都是有备无患。进行数据备份,首先要制定全面的备份计划,包括网络系统和数据信息备份、备份数据的修改和责任人等。备份时要严格按照计划进行实施。还要定期的检查备份数据,保证数据的完整性和实时性。同时网络管理人员的数据备份和恢复技术的操作要很熟练,这样才能保障备份数据的有效性。
4.4 加强防病毒
随着网络技术的发展,网络病毒也越来越多,这些病毒都会对信息网络造成或多或少的危害。防病毒不仅需要应用专业可靠的防毒体系,还要建立防火墙,屏蔽非法的数据包。
对于防毒,在不同的硬件上要安装相应的防毒程序。例如工作站上应该安装单机的防毒程序;主机上则安装主机防毒程序;网关上安装防病毒墙;而这些不同的防毒程序的升级可以通过设立防毒控制中心,统一管理,由中心将升级包发给各个机器,完成整个网络防毒系统的升级。这样有针对性的防毒程序能更有效的进行病毒防护。
防火墙可以通过检测和过滤,阻断外来的非法攻击。防火墙的形式包括硬件、软件式和内嵌式三种。内嵌式防火墙需要与操作系统结合,性能较高,应用较为广泛。
5 具体措施
5.1 增强管理安全
在网络安全中管理是最重要的,如果安全管理制度不完善,就会导致正常的网络安全工作不能有序实施。信息网络的管理包括对网络的定期检查、实时监控以及出现故障时及时报告等。为了达到管理安全,首先,要制定完整详细的供电企业信息网络安全制度,并严格实施;其次,对用户的网络活动做记录并保存网络日志,以便对外部的攻击行为和违法操作进行追踪定位;还应制定应急方案,在网络系统出现故障和攻击时及时采取措施。
5.2 网络分段
网络分段技术是指在网络中传输的信息,可以被处在用以网络平台上其他节点的计算机截取的技术。采用这种技术可以限制用户的非法访问。比如,黑客通过网络上的一个节点窃取该网络上的数据信息,如果没有任何限制,便能获得所有的数据,而网络分段技术则可以在这时,将黑客与网络上的数据隔离,限制其非法访问,进而保护了信息网络的安全。
5.3 数据备份
重要数据的备份是网络安全的重要工作。随着网络技术的迅速发展,备份工作也必须要与之一致,保证实时性和完整性,才能在出现紧急问题时发挥其应有的作用,恢复数据信息。整个庞大的信息网络,备份的数据量也是很大的,要避免或减少不必要的备份;备份的时间也要恰当地选择,尽量不影响用户的使用;同时备份数据的存储介质要选择适当。
5.4 病毒检测和防范
检测也是信息安全中的一个重要环节。通过应用专业的检测工具,对网络进行不断地检测,能够及时的发现漏洞和病毒,在最短时间内采取相应的措施。
病毒防范技术有很多,可以先分析网络病毒的特征,建立病毒库,在扫描数据信息时如果对象的代码与病毒库中的代码吻合,则判断其感染病毒;对于加密、变异的不易扫描出来的病毒可以通过虚拟执行查杀;最基本的还是对文件进行实时监控,一旦感染病毒,及时报警并采取相应的措施。
6 结束语
企业网络安全建设方案范文2
【 关键词 】 电力系统;信息安全;负面影响;安全机制;建设
1 引言
信息技术当前在各行各业都发挥着重要作用,尤其是随着电力系统的逐步市场化,建立庞大的数据调度网和综合信息网络服务于电网管理成为了必然要求。虽然信息技术有着多种优势,但是同时也带来了安全方面的一系列问题,比如威胁电力生产、传输与运营的各个领域,所以加强网络与信息安全管理,建立完善的安全机制服务于电网运营成为了关键。
2 网络与信息安全影响分析
电力系统因自身的特殊性质在信息技术应用方面十分复杂,所涵盖的信息源十分庞大,因此无论是操作系统还是应用软件需求都较高,致使风险漏洞隐患较多。网络与信息安全对电力系统的最大影响来自于安全方面,安全措施不到位会带来诸多负面影响,比如病毒的传播、木马恶意入侵、网页破坏和代码控制隐患等,带来诸多弊端。
计算机本身防御能力较差,作为通信设备其存在着严重潜在恶意入侵可能性,这对于系统安全和信息安全而言都十分不利,尤其是现在系统网络中存在着大量的保密数据,一旦发生恶意入侵现象,可能会造成信息丢失、盗窃或者破坏等,威胁电网运营管理。
网络和信息安全的一个典型特征就是来自于网络病毒的安全威胁,不仅对软硬件造成破坏,甚至还通过自我复制导致系统崩溃,引发危机连锁反应。信息网络的开放性和共享性使得电力系统内各种各样的信息都可能流入到网络世界,不少违法分子通过故意编写恶意程度木马植入浏览器漏洞形成网页病毒,轻者造成崩溃严重者导致格式化,致使信息丢失或者被盗窃。
对于电力部门而言,其办公所使用的众多系统和服务器,商业性质较为突出,源代码不公开意味着自身不能对软件源代码进行独立控制,无形中就给自身的信息安全带来了众多隐患。电力系统作为自成一系的系统,一般只有内部员工使用或者访问,在权限管理不严格的情况下有时会因为操作失误、缺乏保密意识等因素带来网络安全威胁,针对内部管理和访问情况,做好授权等级授予工作,将是保护网络内部信息安全的硬性举措。
3 网络信息安全机制建设探讨
对当前电力企业网络安全建设而言,安全措施不到位,安全机制建设不完善,已经成为了信息安全的最大问题。面对这些安全隐患和问题,通过加强安全机制建设防范信息犯罪,消除安全隐患,全面走上信息化建设的道路,促使电力系统完成转型是关键。
加强对电力系统内部职工的网络安全信息教育,从客观上根本深化信息安全意识是电力企业内部建设的首要举措。促使员工从自身做起,自觉维护企业网络安全和信息安全,定期举行学习培训,加强技术锻炼学习,提高安全技术水平,可有效为安全机制的完善建设和贯彻实践提供保障。完善网络信息安全管理制度建设是促使信息安全到位的有效措施,从制度建设上予以完善,做到权责明晰,对需保密的信息进行登记审批实施地址绑定策略,对信息访问、应用做出严格管理,将会从制度领域为信息安全保驾护航。
对电力系统而言,对自身网络和信息安全面临风险做出正确评估确保安全机制完善并落实的必要举措。面对这么一个技术要求高、内容庞大复杂的系统,以多种手段来消弭脆弱性造成的隐患,是把风险控制在最低限度的必然要求,所以,加强风险分析和评估,分析系统面临的多种风险,将其降低到可控的程度,是迫切要求和客观需要。
网络信息安全的防护技术举措有多种,但是主要要从防火墙技术、入侵检测技术、数据库安全建设三方面入手,建立信息安全中心和技术联合服务中心,构建多层次的安全防护体系。防火墙技术要以防御为核心构建多技术层次体系,以提高自身的综合防护能力,在顺利为电力系统服务的同时规避来自网络的各种攻击。入侵检测技术的具体工作原理是ITDB(Integrated Testing DataBase,综合测试数据库)通过命令的形式通过管理系统实现对可疑行为的隔离,并且对疑似攻击的行为进行自我判定收集信息以配置相应部件来规避误操作和攻击命令对系统所产生的负面影响。TDB在数据库的防护中发挥着重要作用,它能对有可能造成破坏的可疑命令或恶意行为进行发现并隔离,通过对攻击行为进行容忍来保障运行的安全。防火墙逻辑位置示意图见图1。除此之外,电力企业本身也要积极加强技术升级改造,做好自主研发和技术创新,掌握核心科技,让系统全方位为自己服务,保证电力系统的信息安全和健康发展。
4 结束语
总之,电力企业想要健康发展,网络与信息安全的保障必不可少,针对自身存在的安全隐患,做好风险分析和评估,从各个方面入手完善安全机制建设,解决存在的隐患与问题,是为电力企业信息安全保驾护航的关键举措,也是促使其良性发展的关键。
参考文献
[1] 周伟.计算机网络安全技术的影响因素与防范措施[J].网友世界,2012(1).
[2] 余志荣.浅析电力企业网络安全[J].福建电脑,2011(7).
[3] 张鹏宇.电力行业网络安全技术研究[J].信息与电脑(理论版),2011(1).
[4] 闫斌,曲俊华,齐林海.电力企业网络信息安全系统建设方案的研究[J].现代电力,2003(1).
企业网络安全建设方案范文3
网关处阻断风险
Web 2.0的普及以及不断被发现的可利用的程序漏洞、无边界化的网络访问以及移动工作大军使得Web威胁愈演愈烈。美国《金融时报》报道,现在平均每20秒就发生一次入侵计算机网络的事件,超过1/3的互联网防火墙时常被攻破!按照当前网络威胁增长的速度,预计到2015年全球互联网将会有2.33亿个恶意程序,用户每小时会有2.6万个新病毒需要处理。
在安全防御技术与病毒制造技术对抗的数十年里,从终端到网关,大多数企业都会在网络中设置好几道安全线。而传统安全市场上比较流行的网络安全解决方案中,存在两大流派,一派是网关产品,另外一派是解决桌面安全的终端产品,两派应对网络病毒,各有长处。
网关作为企业大门入口,如果没有一个尽职尽责的看门人,企业的网络就如同黑客的客厅随便进出。而终端作为企业网络服务的末梢,既是安全防护的核心也是网络建设中最薄弱、最需要保护的地方。
对于连接到互联网的企业而言,业务系统运行的连续性、稳定性,数据资产的安全性以及企业资源有效利用等的广泛需求,汇集成网关安全防护所面临的核心问题。
郑州宇通集团对信息系统十分依赖,保持核心数据的机密性和可用性成为企业必须考虑的问题。宇通CIO也提出了自己的看法:“针对宇通超过2000个网络节点的情况,网络安全解决方案必须要在网关处阻断网络威胁,防止数据外泄。”
趋势科技大中华区总裁张伟钦认为,在云安全1.0时代,趋势科技在网关处加强防护,已经建立了企业安全防护的基础,但仍然有20%的威胁通过其他途径进入企业网络,其中就包括终端。另外,因为终端面对的网络是企业的员工,而企业员工安全意识的良莠不齐和安全管理的不完善,导致企业的网络安全仍然处于威胁之中。
云安全2.0
根据具体防护中遇到的问题,趋势科技即将在今年7月份正式推出趋势科技云安全2.0,针对现有威胁和企业网络环境的多层级的终端防护技术,将云安全的关联技术、文件信誉技术更深层次地应用到终端防护中。
记者了解到,在云安全2.0时代,趋势科技将加强对终端安全防护产品的开发与应用,以应对复杂的终端网络环境。在2009年推出的云安全2.0技术将文件信誉技术(FRT)与WRT技术、邮件信誉技术(ERT)进行灵活关联,实现从网关到终端的全面防护,避免用户在下载文件、浏览邮件等操作时遭遇Web威胁侵入;防止用户在使用USB、进行数据存储中感染病毒。
此外,趋势科技云安全2.0的内涵也将进一步丰富,对客户端系统资源的释放将又是一次重大变革。
企业网络安全建设方案范文4
1信息安全总体设计及实践
1.1网络安全要求及问题
1.1.1信息安全的最终实现目标为应对市场竞争,提高企业生产经营效率,满足企业信息化建设的需要,汽车制造业应借鉴国内先进的信息技术和安全管理经验,建立一套企业信息化办公网络,并逐步加强网络传输的安全建设,和网络安全管理手段。以保障企业信息化的稳定运行。2.1.2系统和应用的脆弱性企业信息化办公网络建成后为企业经营和管理带来了极大的便利,生产经营效率明显提高。但同时引发了很多的技术问题:跨省专线费用太高,且链路发生故障之后的报修、排故、恢复程序极其繁杂,严重影响效率;无法满足移动办公的需求,无法满足上下游供应商的使用需求;与互联网连接时常受到攻击导致业务中断;内部人员未经授权许可访问互联网导致病毒攻击内部办公网等等。
1.1.3常见网络风险通过系统的网络安全技术学习,汽车制造业信息化人员应掌握企业网络信息化建设过程中大量常见的网络风险和防范手段:Backdo(各种后门和远程控制软件,例如BO、Netbus等)、BruteFce(各种浏览器相关的弱点,例如自动执行移动代码等)、CGI-BIN(各种CGI-BIN相关的弱点,例如PHF、wwwboard等)、Daemons(服务器中各种监守程序产生弱点,例如amd,nntp等)、DCOM(微软公司DCOM控件产生的相关弱点)、DNS(DNS服务相关弱点,例如BIND8.2远程溢出弱点)、E-mail(各种邮件服务器、客户端相关的安全弱点,例如Qpopper的远程溢出弱点)、Firewalls(各种防火墙及其产生的安全弱点,例如GauntletFirewallCyberPatrol内容检查弱点)、FTP(各种FTP服务器和客户端相关程序或配置弱点,例如WuFTPDsiteexec弱点)、InfmationGathering(各种由于协议或配置不当造成信息泄露弱点,例如finger或rstat的输出)、InstantMessaging(当前各种即时消息传递工具相关弱点,例如OICQ、IRC、Yahoomessager等相关弱点)、LDAP(LDAP服务相关的安全弱点)、Netwk(网络层协议处理不当引发的安全弱点,例如LAND攻击弱点)、NetwkSniffers(各种窃听器相关的安全弱点,例如NetXRay访问控制弱点)、NFS(NFS服务相关的安全弱点,例如NFS信任关系弱点)、NIS(NIS服务相关的安全弱点,例如知道NIS域名后可以猜测口令弱点)、NTRelated(微软公司NT操作系统相关安全弱点)、ProtocolSpoofing(协议中存在的安全弱点,例如TCP序列号猜测弱点)、Router/Switch(各种路由器、交换机等网络设备中存在的安全弱点,例如CiscoIOS10.3存在拒绝服务攻击弱点)、RPC(RPC(SUN公司远程过程调用)服务相关的弱点,例如rpc.ttdbserver远程缓冲区溢出弱点)、Shares(文件共享服务相关的安全弱点,BIOS/Samba等相关弱点,例如Samba缓冲区溢出弱点)、SNMP(SNMP协议相关的安全弱点,例如利用“public”进行SNMP_SET操作)、UDP(UDP协议相关弱点,例如允许端口扫描等)、WebScan(Web服务器相关安全弱点,例如IISASPdot弱点)、XWindows(X服务相关安全弱点)、Management(安全管理类漏洞)等。
1.2网络安全加固及应用拓展改造
针对上述网络风险,汽车制造业应加强自身的网络安全建设,强化网络安全管理。重点进行了四个方面的技术改造:防火墙(VPN)、上网行为管理、入侵防御及桌面管理系统。
1.2.1访问控制——防火墙部署防火墙之后,内部办公网络的IP地址与MAC地址捆绑,授权上网用户实名制管理,根据工作需要申请和审批上网时间和访问权限。内部VLAN划分,把不同部门用VLAN划分为不同的域以区分管理。重要数据库服务器和存储设备与办公网隔离。严格管理和控制内外网对数据库的访问。
1.2.2远程用户加密访问——VPN为保障企业运营效率,根据不同的工作人员分配不同的权限,可以在出差途中或家中处理紧急公务。并细化配置其VPN功能对企业内网的访问权限,可以实现工作需要,保障企业内部流程效率
1.2.3内网用户网络行为监控——上网行为管理系统通过对进程的审计可以了解到当前服务器的运行情况以及客户端的使用情况,对非法的行为可以限制非法进程(包括病毒进程、聊天软件进程等)的运行,非法软件的安全,随意的修改IP地址而导致的IP冲突等;内网用户的网络行为监控,可以极大程度地避免企业内网的安全风险。
1.2.4外网攻击的防护措施——入侵防御与防病毒采用入侵防御系统,具备7层检索比对入侵防御设备需要的高速芯片,同时具备硬件BYPASS功能和自动报警功能,当设备自身出现故障时不能中断网络运行,最大限度地避免单点故障对网络稳定运行的风险。
1.2.5桌面端管理通过桌面端管理套件核心服务器管理全网所有客户端。所有的管理数据统一保存在核心服务器后台的数据库中。通过角色管理可以使用管理套件控制台直接查看AD架构,而无需在管理套件中复制AD角色。同时可以分配管理套件权限给AD组或OU(ganizationunits),在分配权限时支持继承的概念。
2结论
企业网络安全建设方案范文5
关键词:网络结构、冗余配置、路由策略、双机热备、服务品质等
1构建稳定可靠的企业网的目的和意义
现代企业,无论规模大小,建设不同要求的企业网对大多数企业而言是必须的。即便是一个最小规模的工作室,最简单的局域网都能给用户带来资源共享(文件共享)的便利和费用的节省(比如共享上网)。
随着企业规模的扩大,企业网是各信息应用系统正常运行的基础,企业网带给用户的就不仅仅只有资源共享及节约费用了,而是能和运行在其上的信息应用系统共同带给用户新的生产力。运行在企业网之上的信息应用系统涉及企业管理、生产的各个方面,能极大提高企业效率。因此,企业网的建设已是规模企业的必然选择;同时,企业网的稳定可靠也成为企业网建设中最重要的追求。
本文后面阐述的思想及技术实现适用于1 000人左右的企业用于构建稳定可靠的企业网。本文对网络建设中的常规思路及通用做法着墨不多,以介绍经验为主;重点介绍冗余技术的设计与实现。如果读者的业对网络的要求较低或从降低成本考虑,可适当降低冗余配置程度,比如核心与各汇聚局域网以单链路连接、单因特网宽带接入等,但这样做的后果就是可靠性大大降低。本文的思路与技术实现已经在实例网络中得到体现。
2构建稳定可靠企业网的几个要点
2.1稳定可靠的网络结构
确立网络结构时,除了要考虑可扩展性、可管理性等方面外,更应看重稳定性、可靠性方面的设计。
首先确定网络拓扑结构。各种拓扑结构各有优缺点也各有针对性,如果没有特殊需求,一般建议选择星型拓扑结构,因为这种拓扑结构有结构简单、容易实现、便于管理及故障点容易检测和排除。此结构是目前构建中小型企业网的主流结构。但是星型结构在可靠性方面有个大缺陷,就是中心节点的故障会导致网络瘫痪。对此缺陷,必须采取必要措施加以弥补,这个措施就是中心节点的冗余配置。企业网的中心节点一般是核心交换机。中心节点的冗余配置不是指设置2个中心,而是指加强作为中心节点的核心交换机的配置,使得中心节点非常可靠,不容易失败。
接着,确定网络的层次结构。清晰合理的层次结构也有利于网络的稳定可靠。网络具有层次结构,既有利于后期的管理,也有利于故障的隔离。在实例中,把网络划分成了三个层次:核心层、汇聚层、接入层。接入层直接为终端提供接入;汇聚层终结VLAN;核心层以转发各局域网网间流量为主。
然后,确定同城不同区域局域网的互联方法。这部分可根据企业应用系统的要求,同时根据成本花销情况(毕竟租用电信运行商线路是很昂贵的),选择适合自己企业的互联方法。可以租用数据专线,也可通过因特网以VPN的方式互联。本例中,采取的是数据专线做互联主链路,VPN做备用链路。
图1就是按照上述思路强化了结构的网络实例拓扑图。针对星型结构的缺陷,中心节点由2台核心交换机组成。核心交换机与各局域网都以双链路连接,因特网宽带也采取双链路接入。
图1结构加强过的实例网络拓扑图
2.2IP规划及路由策略
IP规划及路由策略问题往往容易被中小型企业网设计者轻视,但等网络建成了,才会发现由于前期缺少策划导致后面的工作很繁琐。
由于中型企业内部网段比较多,如果仍然像在小型企业网那样在私有网段内随意指定IP地址段,往往会导致后期的路由指向困难及其它问题。
而路由策略不仅要考虑是否要启用动态路由,还要考虑采用路由聚合,及支持策略路由功能等。启用动态路由的理由是应对可能的IP网段太多;采用路由聚合的理由是简化路由指向;策略路由能解决一些基于源地址的路由指向。
规划IP时,适当考虑可变长度子网掩码(VLSM)技术,便于灵活调整子网的个数及主机的数量,以满足网络划分的不同数量要求。也要考虑路由聚合,把便于路由聚合的IP地址段分配给同一局域网内。
在核心层启用互联网段,用于各汇聚层网络的互联互通。
2.3远程接入及访问因特网部分的设计
这部分通常的网络方案设计中,设计人员喜欢既配置了路由器又配置防火墙。其实,如果路由要求不高的情况下,可以只选配防火墙。
本网络实例中,防火墙不但承担了对因特网的访问任务,还承担了外埠分支机构的VPN接入任务。考虑到现代企业对因特网访问的依赖程度提高了,实例网络安排了双防火墙双因特网接入。
而针对外埠分支机构的专线接入,可直接接入核心交换机,也无需路由器。
这样做的好处是结构简单,在功能上也没什么缺失。结构简单的好处是低故障率,出了故障也容易排查。
2.4网络管理
网络管理其实是开始于设计阶段的,设计网络结构时要考虑后面的运行管理,比如分层的网络结构让VLAN终结在汇聚交换机。IP在规划时考虑到路由的聚合,会给后期的路由指向带来方便。
谈网络管理,必然要涉及网管软件。网管软件不是网络管理的必需,但随着网络规模的扩大,它的作用就越大,也越重要。对于规模不大的中小型企业网络,尽量在设计阶段就考虑到管理因素而又针对性地设计,以求网络开始运行后,在没有采用任何网管软件前能够手工地较快速地定位故障点,进而排除故障。
之所以有这样的考虑,是因为选择一种适合本企业网络的网管软件并不是一件简单的事情。选择网管软件首先要清楚,自己要管理什么,是性能管理?故障管理?配置管理?安全管理?计费管理?或者全部,或者部分。其次,在技术上要清楚,网管软件大体分三个层次,即网元治理、网络层治理和业务治理,而本企业需要什么样的治理?基于以上原因,网管软件更适合在网络系统建立并运行后,在需求分析的基础上选择平台级的网管软件。开始阶段可选择由设备厂商提供的网元治理类的网管软件,比如CISCO Works。
3热备功能的实现及其它功能的说明
结构上做了冗余设计,要真正地发挥设备和链路的热备的作用,还要进行相关设定后才能实现。其它功能也是企业网必须具备的。
3.1HSRP实现双机热备
HSRP原理,首先由多台路由器组成备份组,此备份组可看成是一台虚拟的路由器,有独立的虚拟IP,网内主机以这台虚拟路由器为网关。在备份组内有一台路由器是活动路由器,由它来完成虚拟路由器的工作,当此台活动路由器出故障时,组内的另一台路由器会接替活动路由器,来完成虚拟路由器的转发工作。而这些,对网内主机是透明的,它们只能看到虚拟路由器。CISCO大部分3层交换机都支持HSRP。
以某VLAN为例给出设置要点。
1、在核心交换机A上
Interface VLAN7
ip address 192.168.7.253255.255.255.0
standby7192.168.7.254/*虚拟路由器的IP
standby7priority 110/*设置优先级
standby7preempt /*设置抢占模式
2、在核心交换机B上
Interface VLAN7
ip address 192.168.7.252255.255.255.0
standby7192.168.7.254
standby7preempt
3、在网内电脑上
把网关设置为192.168.7.254
3.2SLA实现双链路自动切换
SLA(Service Level Agreement)服务品质保障协议,可用于网络侦测,通过发送指定协议的报文来侦测链路的情况,根据链路情况选择路由。
如果第二链路是另一家电信运营商的租用线路,实现此功能相对简单。如果考虑降低成本,一线多用,可用宽带线路通过IPSEC VPN来搭建第二链路,这就多了IPSEC VPN的设置工作。
由于IPSEC VPN的实现因网关设备的不同而不同,本文就省略这部分设置的说明,只说明下交换机端的设置要点。实现原理:路由器(或三层交换机)通过(ICMP)PING远端路由器(或三层交换机)来验证第一链路的状态,如果第一链路失败,则激活第二链路,实现故障切换。使用对象跟踪功能(object track)保证静态路由的可靠备份。
ip sla 1
icmp-echo 192.168.1.6 /*ping远端交换机第一链路接口
timeout 1000
threshold 2
frequency 3
ip sla schedule 1 life forever start-time now
……
track 1 ip sla 1 reachability/*跟踪ip sla 1,如果没有返回ping包,则track状态为down
……
ip route 192.168.176.0255.255.240192.168.1.6track 1/*只有track状态为up时,此静态路由建立。如果track为down,则下面这条路有开始转发数据。
ip route 192.168.176.0255.255.240.0192.168.1.210
注:远端网络由若干C类网段组成,所以掩码是255.255.240.0,这里采用了路由聚合。要采用路由聚合,必须先有网络地址规划,即便是私有地址,也不可以随意指定。
3.3其它功能
其它几个基本功能,有些是必须要采用的功能,比如VLAN、DHCP、访问控制列表等,能满足基本的网络管理要求;有些则是高级功能,如策略路由、QoS、动态路由等,能满足一些高级的网络管理要求,或者能提供管理的方便性。
对于VLAN、DHCP、访问控制列表的使用,是企业网络管理中最基本的要求,网络管理员都应熟练掌握,本文不再赘述。而那些高级功能,则在网络运转起来后,根据需求决定是否采用。我在此提醒一下,有些功能需要交换机OS(操作系统)的升级。比如策略路由,一般三层交换机预装的OS都不支持,如果本企业确实需要这样的功能,可以通过升级OS来得到。
4结束语
基于上述思路具有了冗余设计的实例网络在建成后,除了正常提供基本的网络功能外,在运行过程中还经历过一系列的故障的考验。某台核心交换机的一块接口业务板曾经损坏,由于是双核心交换机配置,得以迅速切换到另一台交换机,短时间内恢复了用户网络。核心网络与某局域网的电信专线连接也因为电信方的故障而中断过多次,而因为采用了基于SLA技术的设置实现了链路的自动切换,对用户应用并没有造成可感知的延时。以上事实足以证明实例网络在强化冗余能力方面的设计是成功的。
当然,一方面的成功,不代表此网络方案就完美无缺,其实,就实例网络方案而言,缺点还很多,比如照顾了结构简单带来的稳定,但并不能增强网络的安全。本文主要阐述了为了追求网络的稳定和可靠,在方案设计上偏重的冗余设计部分。而在网络设计时,还应考虑后期网络管理及网络安全。如果在设计阶段,无法过多的考虑网络安全的因素,一定要在网络建成后加强网络安全建设。
企业网络安全建设方案范文6
企业在信息系统的实际操作过程中,威胁是普遍存在且不可避免的。一般来说威胁就是企业所面临的潜在的安全隐患。个人电脑只通过一个简易的应用便可以满足普通用户的要求,但是企业的信息系统一般都要充当多个角色,基本上都得为多个部门提供服务,其中任何一个局部的隐患都可能给整体的安全性带来致命的打击。正是由于企业信息安全系统本身所固有的这些缺陷,必然会导致病毒与黑客的容易盛行。目前,影响企业系统安全的因素各种各样,但是其主要的威胁可以归结为以下几个方面:
①黑客的蓄意攻击:随着信息技术的普及,企业一般都会利用互联网接入来加速提高本公司业务与工作绩效,黑客的恶意攻击行为无疑会成为阻碍这一进程发展最大也最严重的威胁。其中,有来自竞争公司的幕后黑手,或者来自对本企业有怨恨情绪的员工,以及对该企业持不满态度的顾客等,出于不同目的或报复情绪都可能对企业网络进行破坏与盗窃。另外,一个更严重的问题——网络敲诈,正有逐步提升的趋势。许多不法分子利用木马、病毒、间谍软件,或者dos攻击等非法方式对企业网络进行破坏或盗用企业数据,并以此作为向企业敲诈勒索的交换条件,由于大部分企业普遍存在着信息安全环等薄弱问题,因此很多企业都成为这种违法行为最大的受害者。
②病毒木马的破坏:现今的互联网已基本成为了一个病毒肆虐生长繁殖的土壤,几乎每一天都会有上百种新的病毒或者木马产生,而在很大部分企业中,安全技术不足,管理设备松散、员工安全意识淡薄等问题的存在进一步滋长了病毒、蠕虫、木马等的危害,严重时甚至有可能造成整个企业网络的瘫痪,导致企业业务无法正常进行。
③员工对信息网的误用:如企业技术员工由于安全配置不当引起的安全漏洞,员工安全意识薄弱,用户密码选择不恰当,将自己的账户名与口令随意告诉他人或与别人共享都会对信息系统安全带来威胁。
④技术缺陷:由于当前人类认知能力和技术发展的有限性,要想使硬件和软件设计都达到完美没有缺陷,基本上不可能。其次,网络硬件、软件产品多数依靠进口等这些隐患都可能可造成网络的安全问题。
2企业信息系统安全运行的防范措施
企业信息系统安全运行的防范措施是企业信息系统高效运行的方针,其能在很大程度上确保信息系统安全有效的运行。相应的企业安全运行的措施一般可以分为以下几类:
①安全认证机制:安全认证机制是确保企业信息系统安全的一种常用技术,主要用来防范对系统进行主动攻击的恶意行为。安全认证,一方面需要验证信息发送者的真实性,防止出现不真实;另一方面可以防止信息在传送或存储过程中被篡改、重放或延迟的可能。一般来说,安全认证的实用技术主要由身份识别技术和数字签名技术组成。
②数据的加密以及解密:数据的加密与解密主要是用来防止存储介质的非法被窃或拷贝,以及信息传输线路因遭窃听而造成一些重要数据的泄漏,故在系统中应对重要数据进行加密存储与传输等安全保密措施。加密是把企业数据转换成不能直接辨识与理解的形式;而解密是加密的逆行式即把经过加密以后的信息、数据还原为原来的易读形式。
③入侵检测系统的配备:入侵检测系统是最近几年来才出现的网络安全技术,它通过提供实时的入侵检测,监视网络行为并进而来识别网络的入侵行为,从而对此采取相应的防护措施。
④采用防火墙技术:防火墙技术是为了确保网络的安全性而在内部和外部之间构建的一个保护层。其不但能够限制外部网对内部网的访问,同时也能阻止内部网络对外部网中一些不健康或非法信息的访问。
⑤加强信息管理:在企业信息系统的运行过程中,需要要对全部的信息进行管理,对经营活动中的物理格式和电子格式的信息进行分类并予以控制,将所有抽象的信息记录下来并存档。
3结语
总之,企业信息系统的安全问题将会越来越得到人们的重视,其不但是一个技术难,同时更是一个管理安全的问题。企业信息系统安全建设是一个非常复杂的系统工程。因此,企业必须综合考虑各种相关因素,制定合理的目标、规划相应的技术方案等。笔者相信,信息安全技术必将随着网络技术与通信技术的发展而不断得到完善。
参考文献:
[1]肖雪.计算机网络安全的研究[J].科技创新导报,2008,(20):27.
[2]张宗府.电子政务建设的安全对策研究[J].科技创新导报,2008,(9).
