内部网络管理系统

内部网络管理系统（精选7篇）

内部网络管理系统 篇1

0 引言

随着医院各个信息系统的广泛应用, 医院的网络系统建设显得尤为重要。建立一个合理、高效、安全的医院内部网络已经成为医院信息化建设的核心问题[1]。可以说网络总体结构设计、网络路由设计、网络安全设计这三个方面直接影响整个网络的稳定及工作效率, 是医院网络系统集成建设的重中之重。

1 网络总体结构设计

网络的总体结构设计主要由网络层次化设计和网络区域化设计两大部分组成。

1.1 网络层次化设计

目前局域网逻辑结构主要分为三层结构和二层结构[2]。其中, 三层结构模型划分为三个层次, 即核心层、汇聚层、接入层, 如图1所示。

每个层次完成不同的功能。核心层进行不同区域间的连接, 提供网络不同区块间的访问, 提供高速的路由交换服务。汇聚层将接入层设备接入网络, 定义广播域, 进行VLAN间路由, 提供安全措施。接入层提供第二层服务, 为部门、楼层接入设备, 使用交换带宽, 使用低成本、高端口密度的设备。接入层级交换机采用具有VLAN划分能力的产品, 采用基于部门的VLAN划分规则, 既增加了安全性, 又便于管理。实现主干及分支主干为万兆、水平千兆的网络带宽能力, 实现10/100/1000M交换到桌面。

二层结构模型是将三层模型中的核心层和汇聚层合并, 这两层的功能由核心层交换机一起完成。接入层和三层模型中的功能相同。该方案的优势在于造价相对三层路由模式便宜而且实施难度、维护难度较低因为它只偏重于VLAN、Spanning-Tree的管理和维护[3]。当然二层架构组网方案的劣势也是显而易见的, 即:

(1) 病毒或网络故障时往往影响或波及全网。

(2) 网络结构层次化不强, 不利于管理和故障定位。

(3) 不利于网络规模的扩大和功能的变更。

所以在设计大型医院网络层次时应采用三层架构设计, 具体层次架构划分如图2所示。

层次化设计的优点为:

(1) 可扩展性:因为网络可模块化增长而不会遇到业务中断等问题。

(2) 简单性:通过将网络分成许多小单元, 降低了网络的整体复杂性, 使故障排除更容易, 能隔离广播风暴的传播、防止路由循环等潜在的问题。

(3) 设计的灵活性:使网络容易升级到最新的技术, 升级任意层次的网络不会对其他层次造成影响, 无需改变整个环境。

(4) 可管理性:层次结构使单个设备的配置的复杂性大大降低, 更易管理。

1.2 网络区域化设计

根据目前大型医院网络的实际情况及未来发展的需要, 建议网络根据功能和归属的不同, 以及各个区域数据流量的分布情况, 主要分为以下区域:业务服务器区、网管中心区、门诊楼汇聚配线间、病房楼汇聚配线间、行政楼汇聚配线间等。以上各个功能相对独立的汇聚区块相互作用, 形成整体网络系统。各个汇聚区块可独立扩展, 也可方便添加不同汇聚区块, 同时在区块间通过各楼汇聚交换机上的访问控制列表的应用实现各区域间的可控的安全的互访。

2 网络路由设计

目前路由协议主要由距离矢量路由协议和链路状态路由协议构成[4]。距离矢量和链路状态这两种协议具有以下特点, 如表1所示。

所以核心网和各区域网络之间的互连, 建议采用动态路由协议OSPF。OSPF能够在自己的链路状态数据库内表示整个网络, 这极大地减少了收敛时间, 并且支持大型异构网络的互联, 提供了一个异构网络间通过同一种协议交换网络信息的途径, 并且不容易出现错误的路由信息[5]。

2.1 核心网和各区域网络之间的路由设置

核心交换机通过三层路由方式与汇聚交换机相连, 汇聚层与核心层之间起动态路由, 将所有VLAN均终结在汇聚层, 各个安全域之间的通信均通过路由进行转发, 为安全策略的部署提供条件。在核心交换机和各区域汇聚交换机上, 配置OSPF路由协议, 根据目前网段的数量在OSPF协议中进行配置。未来随着网段的不断增加, 可以在汇聚交换机进行汇聚后, 再发布到核心网中, 有效的减少路由条数, 提高网络效率[6]。

2.2 核心网和服务器间的路由设置

核心网通过防火墙模块与各个服务器区连接, 为保证服务器区的安全性和防火墙的性能, 建议在此采用静态路由[7], 即在核心网中通过静态路由把用户所需访问的服务器网段或服务器的具体IP地址指向防火墙。

2.3 核心网和医保防火墙之间的路由设置

在核心网与医保防火墙互联时, 为保证网络的安全可达, 建议采用静态路由, 在核心网通过静态路由指定用户需要访问的网段。

3 网络安全设计规划

网络安全并非是一项技术, 而是一种策略[8]。从实现方式来看, 网络的安全主要通过将用户按照不同的权限分成不同的VLAN组, 不同的VLAN组之间不能随意访问, 通过设置访问控制列表 (ACLs) 来控制不同VLAN组之间的访问, 从而达到安全的要求。其次, 今后可以网络用户的准入、授权和审计, 实现全网用户的统一认证;最后, 全网的防病毒系统也需要进行统一的考虑。

3.1 VLAN技术

VLAN技术能够将一组用户归入到一个广播域当中, 每一个VLAN对应一个广播域;二层交换机由于没有路由功能, 不能在VLAN之间转发帧, 因而处于不同VLAN之间的主机不能进行通信;而三层交换机或者路由器支持VLAN间的路由, 才可以实现VLAN间的通信。VLAN技术除了能够控制全网中的广播, 还可以一定程度上保证第二层数据的安全性。譬如财务科和住院部, 由于职能的差异, 互相之间数据必然是不能共享的, 可以将他们划分到不同的VLAN当中, 这样就不会造成数据的错误传播以及不必要的数据泄漏。

VLAN的划分应该能够统一进行, 相同职能部门或者相同的应用划分到同一个VLAN当中。这样既方便数据的共享, 也有利于数据的安全, 而且由于在同一VLAN内部的数据访问属于第二层, 无需经过三层设备进行转发, 可以减轻设备的负担。

接入交换机上根据接入信息点的种类为每一个端口划分相应的VLAN, 接入交换机到汇聚交换机的连接设置802.1q的VLAN Trunk协议, 这样各个区域网络中的VLAN划分得以统一。

3.2 访问控制技术 (ACL)

利用汇聚层三层交换设备上的ACLs (访问控制列表) 功能, 保护那些安全性较高的主机、服务器以及特定的网段。ACLs是手工配置在路由器或三层交换机上面的一组判定条件, 对于满足条件的数据包, 路由器进行“通过”或者“丢弃”的处理。

4 网络拓扑图及实施方案

基于上述分析大型医院的网络一般会采用三层的构架方案组网。由于医院各个信息系统实时性要求非常高, 业务24小时不间断, 所以在设计网络存储系统时要充分考虑到链路的冗余。主交换机或服务器宕机时备用交换机或服务器马上进行接管, 这样就大大减少了单点故障对医院业务的影响。具体拓扑图如图3所示。

内网核心交换机为两台Catalyst6513, 每台配置双电源 (WS-CAC-3000W) 、单引擎 (WS-SUP720-3B) , 同时配置2个4口万兆模块 (WS-X6704-10GE) , 配置一个48口10/100/1000自适应模块 (WS-X6748-GE-TX) 。每台核心交换机通过1个万兆多模模块 (XENPAK-10GB-SR) 互联, 通过1个万兆多模模块 (XENPAK-10GB-SR) 与服务器汇聚交换机 (WS-C3560E-48TD-S) , 通过1个万兆多模模块 (XENPAK-10GB-SR) 连接行政楼楼汇聚交换机Catalyst6509, 每台通过2个单模万兆光纤模块 (XENPAK-10GB-LR) , 双链路下联两台门诊汇聚交换机Catalyst6509, 通过1个单模万兆光纤模块 (XENPAK-10GB-LR) , 下联病房楼汇聚交换机Catalyst6509。

因为门诊业务不能中断, 实时性要求比较高所以门诊楼汇聚配线间配置两台Catalyst6509交换机作为门诊楼汇聚交换机, 实现双机冗余配置。每台汇聚交换机配置双电源 (WS-CAC-3000W) 、单引擎 (WS-SUP720-3B) , 同时配置2个4口万兆模块 (WS-X6704-10GE) , 配置1个24口千兆光纤模块 (WS-X6724-SFP) 。每台汇聚交换机通过2个单模万兆光纤模块 (XENPAK-10GB-LR) , 双链路上联到两台核心交换机Catalyst6513上, 通过2个千兆光纤模块实现互连。同时通过6个多模万兆光纤模块下联各个楼层接入交换机Catalyst3560G-E交换机。24口千兆光纤模块用于连接千兆光口设备及客户机等。

病房楼汇聚配线间配置一台Catalyst6509交换机作为门诊楼汇聚交换机, 配置双电源 (WS-CAC-3000W) 、单引擎 (WS-SUP720-3B) , 同时配置4个4口万兆模块 (WS-X6704-10GE) , 配置1个24口千兆光纤模块 (WS-X6724-SFP) 。汇聚交换机通过2个单模万兆光纤模块 (XENPAK-10GB-LR) , 双链路上联到两台核心交换机Catalyst6513上。同时通过14个多模万兆光纤模块下联各个楼层接入交换机Catalyst3560G-E交换机。24口千兆光纤模块用于连接千兆光口设备及客户机等。

行政楼汇聚配线间设备配置与病房楼大体相同, 根据具体情况模块的数量有所不同。

5 结束语

由于大型医院各个信息系统实时性要求非常高, 业务24小时不间断, 所以要求网络具有稳定、高效、安全等特点。在设计网络结构时应采用三层结构;在选择路由协议时可以考虑使用OSPF, 这种路由协议可以对大型医院网络拓扑结构的变化迅速地作出反应和调整, 收敛期短, 使路由表尽快地稳定;在对网络的安全规划设计方面要做好VLAN和ACLs规划对数据进行访问控制。这样可以保证整个网络持续合理高效的运行, 满足医院对内网的使用需求。

参考文献

[1]邢翰文, 刘宏生, 袁磊.基于SAN架构的医院存储系统[J].中国数字医学, 2008, 3 (18) :48-49.

[2]黄传河.网络规划设计师教程[M].北京:清华大学出版社, 2009.

[3][美]特南鲍姆.计算机网络[M].潘爱民, 译.北京:清华大学出版社, 2004.

[4]雷震甲.网络工程师教程[M].北京:清华大学出版社, 2009.

[5]刘邦桂, 刘冰.OSPF动态路由协议的研究[J].电脑知识与技术, 2010, 6 (12) :3285-3286.

[6]龙芳, 黄永进.基于OPNET仿真的EIGRP和OSPF路由协议性能分析[J].电子技术, 2010, 37 (11) :60-63.

[7]陈陵, 赵勇.医院网络环境对路由协议选择的研究[J].医疗设备信息, 2002, 17 (6) :8-13.

[8]宋庆大, 李冬, 徐天野.计算机网络安全问题和对策研究[J].现代电子技术, 2009, 32 (21) :93-95.

内部网络管理系统 篇2

互联网将信息交流提升到一个前所未有的层次，企业工作人员在获取、收集和发送信息的速度、数量及多媒体的变现形式都得到极大的便利，同时相关的运作成本却大大降低了。接入互联网使企业工作人员方便地与外界资源进行交流交换，但目前在利用和管理互联网资源方面存在太多的问题，这些问题极大的困扰着企业高层管理人员、人力资源部门和IT(MIS)部门。

结合桥科院的网络信息安全建设需求，本文着重讨论了企业网络监控系统及其基本实现原理，阐述了上网监控设备特别是其WEB网管系统的设计开发，及其对企业员工浏览互联网信息进行监视并规范其使用行为的功能。

1. 桥科院网络应用现状分析

自桥科院2004年搭建局域网以来，企业IT系统规模迅速扩张，对IT管理系统的需求也随之增加。一方面，个人电脑、服务器和移动设备的数量正在随着企业IT应用规模的不断扩大而快速增加;另一方面，各种应用软件和补丁更新换代速度加快，来自企业内、外部的网络攻击也日益猖獗，“IT管理”成为确保企业IT系统正常、稳定和可靠运行不可缺少的一环。IT管理人员面对数量众多的计算机，有限的人手，重复琐碎的工作，不仅要保证这么多计算机的正常运行，还要随时洞察系统可能出现的变化和不安全因素，这是IT管理者不得不面临的严峻挑战。

根据Gartner Group及Forrester Research的研究调查，信息系统管理部门(MIS)接近一半工作时间用于为计算机安装及升级软件，占计算机的总拥有成本极大比重。IT人员为PC做简单的日常维护工作所花的时间占其总工作量的70%～80%。这些工作对MIS(Management Information System)人员来讲是“没有营养”的，但对使用者却又是“十万火急”的，如果没有得到及时有效的处理，MIS不仅会遭到抱怨，甚至会影响企业的生产力。

面对日益复杂和关键的信息系统，目前，我们碰到的问题主要有：

(1)计算机网络处于失控状态，无法即时掌握网络健康状况;

(2)浏览游戏、音乐等娱乐网站，下载大量与工作无关的音乐文件、视频文件;浏览“在线”购物和拍卖网站;浏览相关财经网站，利用公司的资源在线买卖私人股票或浏览相关信息;使用即时信息交流软件如ICQ、QQ、AOL、MSN、Yahoo，导致员工工作效率下降;

(3)计算机软硬件数量无法准确掌握，盘点困难;

(4)计算机硬件设备私下挪用窃取，造成损失;

(5)软件安装浪费人力，应用软件版本不易控制;

(6)应用软件购买后员工真正使用状况如何，无从分析;

(7)疲于应付各种帮助请求，不管问题大小、距离多远都需要到现场解决。

2. 上网监控系统概述

互联网技术确实是一个“神奇”的东西，在不同的人、不同的组织、不同的企业环境中，它带来的影响是充满矛盾的，一方面能提高企业的工作效率、增加企业的竞争力、降低企业运营成本;另一方面，它却能降低企业的工作效率、给企业带来很多威胁和安全隐患。那么，到底应不应该用它呢?答案是肯定的，但是，必须对它实施有效的管理，就象管理其他的企业资源一样，更合理地服务企业。

(1）监控系统架构及其功能。

上网监控系统能对企业员工的浏览及上传下载行为进行监视控制，其具体功能为：

(1)员工上网浏览的网址、网页标题、产生的上下行流量、发生时间;

(2)员工的任一种应用(协议+端口)的访问网址、产生的上下行流量;

(3)员工FTP下载上传的文件名称、文件大小、发生时间;

(4)QQ/MSN/雅虎通等聊天双方的帐号、昵称、聊天内容、传送的文件名称、文件大小以及发生时间;

(5)网络搜索使用的搜索引擎名称、搜索的关键字以及发生时间;

(6)接收或者发送邮件的发送者、接收者、抄送者、邮件标题、邮件内容、附件(名称、大小)以及时间，另外，邮件可以EMAIL文件格式保存在服务器，供事后调阅;BT/EMULE等点对点下载的文件名称、大小、上传数据流量以及发生时间;

(7)上述监视内容的历史查询检索;

(2）系统提供的上网控制方式。

(1)准入控制。对企业内部的指定被控制对象和外部指定地址之间的指定业务进行阻断或者放行的控制;内部的被控制对象可以是部门、员工、IP地址段、MAC地址中的任意一种或者网内的所有上网者;

(2)带宽控制。对企业内部的指定被控制对象的指定业务分配保证带宽，内部的被控制对象可以是部门、员工、IP地址段、MAC地址中的任意一种或者网内的所有上网者;

(3)时间控制。对任意指定员工控制可以(不可以)上网的时间段。

(3）上网监控系统的工作方式。

现有的上网监控系统从工作方式来区分，无外乎以下几种：旁路侦听方式，网关方式，网桥方式。以下分别论述这几种工作方式的特点。

(1)旁路侦听方式。监控系统以旁路侦听方式工作，不需要改变原有网络的任何路由配置工作，对被监控网络没有影响，但是部分功能无法实现，如带宽管理。目前，基于软件的监控系统基本是工作于旁路侦听方式，部分基于硬件的监控产品也可以工作于旁路侦听方式。

(2)网关方式。网关模式是实施监控最全面的一种方式。监控设备作为系统的网关以NAT或路由方式接入系统。其主要原理是通过监控TCP/IP包并分析来实现监控，通过内置的防火墙来控制IP的连接。

(3)网桥方式。透明网桥方式也不需要改变网络中原有交换机和路由器的设置，能够充分发挥上网监控系统的作用。透明网桥利用数据流转发技术，所有企业网外出和进入数据都要经过监控系统转发。在企业网的数据流路线上多出了一个设备但没有增加路由的跳数，对于数据流是透明的。在数据转发的过程中，监控系统分析并提取数据包中的内容，并通过内置的策略管理器来控制用户的所有访问。可工作于透明网桥模式的监控系统基本是硬件监控设备，而基于软件的监控系统大都无法工作于网桥模式。

(4）如何确定被监控者的身份。

上网监控系统是通过分析数据报文从而得知通信的一些细节内容，但是，这些内容应该和谁联系在一起，或者说是谁，企业内的具体哪一台计算机或者是哪一位员工产生了这些通信，这就涉及到如何确定被监控者的身份的问题。

(1)基于IP地址的网络监控。基于IP地址的监控就是以IP地址为依据，并以此IP来确定被监控者的身份;如果用户局域网的IP地址是动态分配的，基于IP地址的网络监控模式就不可取。如果企业内的员工每人使用的计算机是固定的，而每台计算机使用的又是各自独立而固定的IP地址，那么通过IP地址是能够确定一台计算机并进而确定到使用者即员工的。但是，在静态分配IP地址的环境下，用户其实是可以随意轻松地更改自己的IP地址的。基于IP监控有一定的不确定性，必须有一些辅助的手段才能确保它的可信度。

(2)基于MAC地址的网络监控。MAC地址就是在媒体接入层上使用的地址，也就是网卡的物理地址。基于网卡监控就是以网卡MAC为依据，根据网卡MAC地址确定被监控的信息内容的身份。由于每台机器的网卡MAC相对固定，用户不易修改，因此，基于MAC地址的网络监控是可行的。基于MAC的监控对于静态和动态分配IP地址的环境都同样使用。

但是，请注意：如果被监控网络中存在二层路由设备，则计算机的上网数据包经过路由设备后，其MAC地址会变为路由设备的MAC地址，这样上网监控系统就不再能有效地根据MAC地址识别使用者了。这是基于MAC监控的局限性。

在基于MAC的监控模式下，用户更换新的网卡后，网络上就会产生一个新的MAC。此时，虽然计算机还是原来的计算机，使用者还是原来的使用者，但是，更换网卡前后的上网记录可能会形成各自独立的不相干的数据，这一点也是需要加以注意的。某些网卡也提供了用户自行更改MAC地址的功能，就是说，冒充他人MAC地址的可能性也是存在的。假如目标机器A在目标机器B关机的情况下，私下将IP地址更换成目标机器B的，同时将MAC地址也改为目标机器B的，那么上网监控系统是几乎分辨不出这种伪装的。

可见，几种监控模式各有其优缺点，具体使用何种监控模式，需要根据被监控网络的实际配置情况以及用户的使用习惯等进行综合的判断和选择。

3．系统监控的基本实现技术原理

上网监控系统的WEB主要用于对监测结果的检索和回显，虽然也有部分的设备管理工作，但是对界面复杂性、灵活性和实时性的要求并不是非常高，其客户端和服务器既有处于同一个局域网的，也有处于广域网的，网络速度难以得到保证。另外，浏览者比较分散，客户端的类型和版本难以控制，应对客户端的要求尽量小。这样，基于客户端的JavaApplet就不太适用，而基于服务器端的JSP就更容易接受了。

在本系统有两种WEB服务，其一是位于中心服务器，基于Windows操作系统或者Unix操作系统，其二是位于监控设备内部，基于Linux操作系统。为了提高代码的可重用性，当然期望二者使用同一种技术来实现，这就涉及到WEB代码的跨平台和可移植问题。最终WEB服务器端选用了基于Java技术的JSP+JavaBean架构。

JSP(Java Server Pages)是服务器端的语言，那么相应的WEB服务器当然需要能够支持JSP.在上网监控系统的WEB项目中，90%以上的页面是动态页面，因此，将Tomcat作为一个独立的WEB服务器使用，并没有和其他的WEB服务器进行集成。

那么，当用户点击了一个JSP页面的时候，在WEB服务器内部到底有哪些事情发生呢?如图1所示是WEB服务器处理一个典型的JSP页面的过程。

在这种流程中，页面的显示逻辑是由JSP控制的，而事务逻辑主要依靠JavaBean实现。当一个JSP页面第一次被调用时，WEB服务器的JSP引擎将自动启动，对JSP页面进行编译，JSP页面被编译成为具有标准Servlet接口的二进制代码.Class文件。此后，该页面若再次被调用，则WEB服务器将直接调用以前编译好的Class文件，这样提高了执行的效率。如果JSP页面被改动了，JSP引擎会自动地重新编译JSP网页并通过其更新到WEB服务器上去。

Servlet根据页面的功能不同，调用相应的JavaBean完成具体的事务的处理。因此，其典型的事务是和数据库打交道，完成数据库的更新和查询。以查询数据库为例，JavaBean向数据库发出查询命令并从数据库得到查询结果，JavaBean在对查询结果进行某种形式的处理后，返回给Servlet,Servlet根据JSP页面提供的显示逻辑，对页面进行格式和内容的组装，形成标准的HTML页面，返回到浏览者。

4. 桥科院网络控制系统使用情况

通过对该系统的研究，桥科院管理者也认识到网络监管保障工作尤其重要，因此，使用了宝创上网行为管理系统。此网络监控系统从三个方面建立策略对桥科院网络实施监控，具体策略如下：

(1）人员策略。

采用固定IP同MAC地址绑定方式确定被监控员工身份，有效防止员工利用局域网做违法事情，以此响应公安部82号令，为企业避免法律风险。

(2）流量策略。

BT、迅雷等大流量下载允许带宽控制在1M以内，对流媒体等允许带宽也控制在500k以内，以保证网络时时通畅;还能实时了解每位上网员工的网络资源占用情况，对每位员工的带宽资源占用准确控制。

(3）时间策略。

将上网时间分为上班时间和非上班时间，实行不同的策略，控制每位员工上班时间利用互联网做与工作无关的事情，明显提高了员工的工作效率。

5．结论

桥科院作为从事桥梁设计研究的高新技术企业，通过使用该上网行为管理系统后，院内互联网的稳定性、安全性得到明显改善，员工工作效率也有明显提高。桥科院网络管理部门也不断地将最新适用的安全策略应用于网络监管中，将内部网络建设成为高效、通用、安全的绿色和谐网络。

摘要：互联网的高速发展为企业提供了丰富多彩的内容和应用,但不容忽视的是员工对互联网的滥用也困扰着企业的管理者。文章从用户对上网监控功能的需求入手,论述了上网监控系统的主要特点和功能,介绍了系统的工作模式以及网络中的部署方式,叙述了监控系统的具体结构及其JSP基本实现方法,最后介绍了桥科院网络监控系统的使用状况。

关键词：网络监控,WEB网管,JSP

参考文献

[1]中国互联网络信息中心(CNNIC).第23次中国互联网络发展状况统计报告[R/OL][2009-03-12].tech.sina.com.cn/focus/cnnic21/index.shtml.

[2]上海宝创信息科技有限公司.金盾网络行为管理系统白皮书[R/OL](2007-10-16)[2009-03-12].document.e-works.net.cn/pdf/46143.htm.

建设燃气企业内部网络的探讨 篇3

燃气企业自身的特性,在企业的日常运作中,需要在企业内部运行相关的行业软件,比如燃气工程信息管理系统、燃气管网信息系统等。因此,在内部网络的建设方面,它与其他企业具有很大的不同。这就要求燃气企业在建设内部网络时,根据自身的行业特点,提出整体性好、安全性高的建设方案,从而推动燃气企业的良好发展。

1 企业内部网络概述

企业内部网络,人们一般将其简称为内部网,它指的是只供某个企业内部专门使用的网络。通常情况下,内部网络的主要基础为IP协议或者TCP协议,然后以互联网为核心使用,在企业中建立一个统一的信息数据交换平台。企业内部网络可以提供多种服务,比如网络管理(包括电子邮件、WEB交互等)、企业内部的打印、广域互连等。

企业建立内部网络之后,具有多方面的作用,比如可以有效提升企业信息交换的能力,实现上下级、各个部门之间的数据共享,还能有效提高企业内部的通信能力。据相关部门的统计结果发现,企业内部网络的投资回报率非常之高,可以达到1000%以上。因此,建立企业内部网络意义重大。

2 燃气企业内部网路建设的原则

燃气企业在建设内部网络时,为了保障其应用效果,必须要遵循以下三个方面的原则。

2.1 良好的可靠性

燃气企业建立内部网络后,企业各部门资料的共享、内部相关行业软件的运行都需要借助企业内部网络平台,这就要求其具备良好的可靠性,避免内部网络出现故障导致企业业务中断。因此,在建设企业内部网路时,需要提供良好的数据备份和恢复方案,同时考虑各个交换机之间的冗余链路,比如核心交换机和汇聚交换机等。

2.2 较强的管理性

燃气企业在建设内部网路时,为了保障其运行质量,要确保其设计合理、简单,为后期维护工作的开展提供重要的保障。比如出现网络故障时,可以快速、准确地找到原因,并且采取有效的措施加以解决,确保燃气企业各项业务工作的正常开展。

2.3 较好的弹性

燃气企业是处于不断发展中,随着内部业务的不断扩展,其客户端的数量也会随之增加,这时对企业内部网络就提出了更高的要求。这就要求企业在建设内部网络时,具有一定弹性,比如在设备选型、应用系统建设等方面,均要有一定的弹性,为日后的内部网路扩展提供良好的保障。

3 燃气企业内部网络的架构目标

燃气企业内部网络建设是实现燃气企业向标准化管理方向发展,管理方法向精细化方向发展,实现管理和决策过程更具智慧。网络的架构目标是运用先进的智能感知,网络通讯与射频标签等先进技术,对原有的SCADA系统,GIS系统,CRM系统等,OA系统进行关联,建立健全物联体系,对燃气管网各个要素进行监控与智能提示、预警、操控,减少事故的发生;实现对燃气各种数据(地理、档案、实时数据)的集成,方便数据共享和综合分析,为企业正常运行提供数据支持,为企业决策提供有力的实证支持;对燃气使用的各个流程加强生产与运营的过程控制,对生产调度流程进行优化,提高企业应急处理的能力,进而提高客户的满意度。全面实现燃气企业的智能集成管理。

4 燃气企业内部网络的建设

内部网络的建设是一项复杂的工程,直接关于企业各项工作的开展。因此,在建设企业内部网络时,需要做好以下几个方面的工作。

4.1 确定内部网络的构架

燃气企业建设内部网路之后,需要在内网平台中运行相关的管理系统,保障各个部门之间的数据传递、共享。为了保证各个系统的安全、正常运转,在内部网络的建设中,需要确定其构架。通常情况,主要是通过冗余链路设计来实现具体构架,同时确保各个部门具备自己的共享空间,并且保障只有本部门的职工才可以访问这些共享空间的信息。因此,在燃气企业的内部网络架构中,需要全交换三层网络结构,主要涵盖三个层次,分别是核心层、汇聚层以及接入层。

4.2 不同层次的设计

燃气企业内部网络建设中,确定其构架后,就需要对每个层次进行设计,保障每个层次功能的正常发挥。第一,在核心层的设计。需要在企业中心机房部署2台核心三层交换机,从而有效保证企业内部网络负载的均衡,同时确保其单点失效保护。第二,在汇聚层的设计。主要采用无网关协议二层交换机,主要分布在办公楼的各楼层间。在汇聚层结构的冗余节点备份连接中,应与核心层保持一致,同时一台汇聚交换接对应两个核心交换机,从而有效避免黑洞的产生,并且实现以最快的路由收敛。当一台接入交换机上行链路故障时,所有流量将从另一侧的交换机上行,以增强网络的可用性。如果一个楼层汇聚交换机的端口不够用时,可以放置多台交换机,通过堆叠的方式虚拟成一台更多端口的汇聚交换机。对于可靠性要求高的网络,也可在汇聚层放置冗余设备,以实现该层设备的负载均衡和单点失效保护。第三,接入层的设计。它主要指的是各部门办公室接入交换机,主要采用二层交换机,一般分布在各个部门的工作区内,从而有效保障其功能的良好发挥。一台接入层交换机所连接的汇聚层交换机,既可以是单台,同时又可以是多台。桌面客户端一般都是通过网络的连接来接入该层。当接入层的数量增加时,可以在接入层增加交换机,然后与汇聚层的交换机相连,就可以实现扩展。在接入层为企业内网各部门客户端统一安装windows2003操作系统,同时全网采用域管理模式,优点是可以为企业不同的用户配置不同的访问权限,例如,公司主管,网络的访问权限就应较大,可以访问核心部门的共享资源,以确保内网安全。

4.3 内部网络建设设备的选择

核心层:采用两个Cisco Catalyst 4500交换机,提供冗余链路以实现内网负载均衡。

汇聚层:采用两个Cisco Catalyst 3750E交换机,其提供自动配置智能网络服务功能、支持融合网络模式,能够完美处理来自接入层设备的所有通信量,并提供到核心层的上行链路。

接入层:为各部门采用Cisco Catalyst 2940交换机,其可在整个网络范围中提供企业级智能服务、先进的IP路由和以太网供电功能。由于接入层交换机的作用主要是提供终端用户连接到网络,因此,必须具有高端口密度和低成本特性。

4.4 做好 IP 规划和 VLAN 划分

4.4.1 IP 规划

第一,企业要做好内部网络的IP规划,根据企业的硬件设备,比如客户端、交换机、路由器等,根据每一设备的实际情况指定适当的VLAN,为了便于日后的维护和管理,IP地址要易于记忆。第二,为了便于后期的划分,在原有的基础上建立若干个子网,指定IP地址分配策略。第三,建立有效的MAC地址、IP地址、用户名等对应表格,从而有效提升其管理效率。

4.4.2 VLAN 划分

VLAN,指的是虚拟局域网。企业内部网络采用VLAN,具有多方面的优势,比如可以有效提升内网的安全性、进一步简化网络管理、灵活构建虚拟工作组等,从而被广泛应用于内部网络的建设中。

企业在燃气企业内部网络的建设时,需要做好VLAN划分,实现虚拟工作单元之间的数据交换工作,从而有效提升燃气企业内部网络的正常运行。

4.5 网络安全的设计

燃气企业建设内部网络时,必须要保障其网络安全,确保企业各项业务的正常运转,这就要求加强网络安全设计。第一,采用多种安全保密技术。燃气企业要根据自身的实际情况,采用多种安全保密技术,比如加密技术、入侵监测技术、网络防火墙技术等,从而有效提升企业网站的防范能力。第二,建立健全保密制度。燃气气压要在内部,针对员工建立健全保密制度,从而保障企业的稳定、健康、可持续发展。第三,加强日常管理。燃气企业要做好内部控制工作,不断加强日常管理,同时协调好企业内部的固有网段,确保内部网络的安全。

5 结语

机场企业内部网络的安全策略 篇4

关键词：机场企业,内部网络,安全策略,综合研究

随着通讯技术的不断发展, 民航企业也逐渐朝着信息化、综合性的方向发展。为了能够给旅行者带来一个更加舒适的高质量环境, 许多机场企业都建立了完善的网络信息安全系统, 对传统设备进行更新, 以达到促进企业进步的目的。另外, 传统设置方式也使得网络管理中的风险性增加, 由此机场企业网络安全策略的提出势在必行。

1 机场企业内部网络的管理现状

随着经济的不断发展, 机场在人们生活中的应用性越来越广泛。以首都机场为例, 在现有条件下, 其内部总体流程都得到了不同程度的规划。网络信息作为机场企业的核心领域, 只有加强管理与控制才能够实现科学化建设。自从进入2000年以来, 信息化管理在航空领域的体现愈加突出。由于用户数量的增加以及业务的扩展, 单一的管理模式已经不能够满足目前的发展情况。网络业务的弊端主要表现在以下几个方面:

(1) 原有网络处理系统的速度过慢, 信息输送路径已经不能够满足用户数量的增加。

(2) 原有设备出现故障的情况更加频繁, 并且无法在恶劣的网络环境下运行。在整修的过程中, 会极大程度上浪费管理人员的时间。

(3) 现代化的机场企业要求信息的全方面把控, 管理者为了更好的操作, 要对关键业务进行指导。在现有网络的发展下, 视频是一个极其便利的方式。而目前设备无法处理高要求的视频业务。

(4) 传统设备大多以“粗放型”的管理方式运行, 管理者无法从全方面把控用户的信息, 甚至还会发生因网络风险而出现的端口接入失灵情况。第五, 对于机场企业的内部网络安全设备来说, 它需要具有高度专业性的代理商支持。但目前大多数代理商都无法满足这一要求。

2 机场企业内部网络安全策略的综合性研究

2.1 对数据业务网进行防控

对于企业内部的网络管理而言, 数据的完整性与准确性是安全保障的必要前提。机场信息在互联网中呈现出来, 就不可避免的会出现一些安全问题。其中以“病毒和黑客的侵袭”为主, 对机场企业内部信息进行盗取的情况时有发生。为了避免此情况的出现, 需要在网络系统之中安装防火墙进行控制。从结构上来看, 防火墙主要采用的是网络拓扑的形式。它主要是通过网络控制系统使无线通道增加, 根据信息数量的多少来决定输送隧道的类型。如果数据传输量过大, 企业管理者应该采用大型隧道进行输送。反之, 则采用小型隧道进行输送。另外, 管理者可以加强风险的监测与安全性控制。为了使系统运行的安全性提升, 设计人员要对内部网络结构进行重新规划。首先, 按照数据的类型进行等级划分。将数据分为高、中、低三等, 等级越高, 就说明重要性越强。其次, 对数据信息的浏览者进行约束。按照企业机场内部的职务进行管理与划分, 将浏览用户分为VIP用户与普通用户两类。企业的高层人员, 包括各部门的管理者可以对高等级数据进行浏览, 而普通用户只能对中低两个等级的信息进行浏览。这样也能够在一定程度上确保数据的相对安全。另外, 为了防止敏感信息的泄露, 管理人员应该根据数据的不同属性进行分类。将其中性质不同的数据过滤出去, 再将剩余的数据进行加密。同时, 防火墙的设置也是非常必要的。它相当于航空办公中心与数据之间的纽带, 在其内部有着相对独立的操作程序。系统会对程序进行自动检验, 如果数据中携带一定的病毒, 防火墙可以将此部分内容隔绝在系统之外, 保障内部网络的完整性与健全性。

2.2 建立系统专用加密网

不管是在哪种类型的企业之中, 加密网络系统的建立都是必不可少的。从整体内容中来看, 机场企业里涉及到许多用户的真实信息, 如果不采用有效的加密方法, 会为用户带来一定的损失。虚拟加密专用网的建立主要分为以下几个步骤:

2.2.1 内部用户访问器的设置

如果想要对内部用户的信息进行访问, 需要建立双方的同意协约。不仅要求访问者要输入相应的密码, 系统还要对用户的同意书进行查看, 在双重保证的情况下才能够予以访问。

2.2.2 在专用网络上建立加密隧道

加密隧道的建立基础主要是数据安全传输的前提下。专用隧道可以对机场企业的内部信息进行统一管理。当非法用户侵入时, 系统会进行自动预警, 并且对侵入者的IP地址进行跟踪。在位置锁定后进行提示, 其中指示灯会由绿色变为红色, 并且以长时间鸣叫的形式进行防控。

2.2.3 为企业管理者提供网络信息加密授权的方式

系统可以采用数据与地址对应的方法检查内置网络信息的真实性, 内置系统有自我保护的功能。管理者可以对服务系统进行授权, 在专用密码报送的基础限制外部的违规行为。

3 结论

综上所述, 为了防止机场企业内部网络中出现的风险, 实现信息的安全控制与管理, 企业要对数据网进行防控, 建立系统专用的加密设备。在网络系统授权的基础上进行信息读取, 借助数据的集成性避免运行过程中出现的隐患, 为机场企业的稳定发展创造有利条件。

参考文献

[1]马兰.基于SSE的空中交通管理ATM信息安全保障方法的研究[D].南开:天津大学, 2011.

[2]刘小平.航班延误情境下旅客群体性突发事件致因机理及预警机制研究[D].武汉:武汉理工大学, 2013.

[3]鲁迎平.首都机场集团公司网络改造项目中风险管理研究[D].北京:北京工业大学, 2014.

[4]白同舟, 刘雪杰, 李先, 王舒予.城市群大型枢纽机场陆侧交通通道优化建议——以北京首都国际机场为例[A].2016年中国城市交通规划年会论文集[C].中国城市规划学会城市交通规划学术委员会, 2016:13.

内部网络安全防范方案设计浅析 篇5

很多企业都会认为内部的网络不容易被外界黑客或者恶意软件非法的攻击,实际上,很多时候安全威胁早就存在了,而且一经发生网络的安全事故,就会使企业承受重大经济损失。我国各企事业单位普遍的缺乏对网络安全隐患和威胁的认识,有些企事业单位没有内部网络安全防范的方案。只有加强网络安全防范方案设计工作,才能有效降低由于内部网络造成的企业信息受到安全的威胁,有效防止内部的重要信息出现泄露,使计算机网络可以在我国各大企事业单位更好的发挥出快捷的作用,而避免信息泄露的发生。

1 内部网络安全所面临的威胁

计算机网络安全的威胁一般为以下几个方面:

1.1 病毒的侵袭

计算机的病毒很容易侵入到互联网,对互联网资源做出各种破坏,造成网络无法正常的工作,甚至网络出现瘫痪,为企业的经济造成重大的损失。

1.2 黑客的侵袭

黑客会非法进入到网络,对网络资源进行使用,例如:黑客会通过一些隐蔽的通道,在网络上进行非法的活动,以匿名用户的访问对企业内部的网络进行攻击,而网络监听得到网络账号与密码,获取网络数据。

1.3 出现拒绝服务的攻击

有时候企业内部网络会出现邮件炸弹类的威胁,造成企业用户短时间会收到很多垃圾邮件,导致企业正常业务不能正常开展,严重时,还会使企业的网络系统发生关机,甚至造成网络的瘫痪。

1.4 造成网关接口(CGI)的漏洞

网络上的搜索引擎是按照CGI的脚本来实现的,而黑客会将CGI的脚本改本,然后让脚本执行自己的非法任务与命令。

1.5 产生恶意的代码

很多时候,恶意的代码不只包括病毒,还有蠕虫和特洛伊木马,还包括逻辑炸弹等内容。

2 内部网络安全防范方案设计的原则

内部网络安全防范方案设计和规划时,一定要遵循一定的设计原则,如以下几个方面。

2.1 综合、整体的原则

以应用系统工程观点与方法,对内部网络安全的各种措施进行分析,而内部网络安全更是要遵循网络整体的安全性,以规定安全策略确定网络合理安全体系和结构。

2.2 需求、风险的平衡原则

对于内部网络来说,很难实现绝对的安全,也不是必须绝对的安全。内部网络安全面临的威胁要承担很大的风险,通过定性和定量的分析,进行规范与措施的制定,可以对安全防范系统更好的确定安全策略,这是经济实用的做法。

2.3 一致性的原则

可以说,网络安全问题要贯穿于网络整个生命的周期内,所以,网络安全体系的制定也要和网络安全的需求保持一致性。而内部网络的建设也要充分考虑到网络的安全,与网络建设后进行安全措施相比,具有更好的效果。

2.4 易操作的原则

内部网络的安全防范措施很多都需要人为来完成,如果防范措施太过复杂,就要对操作人员提出过高的要求,导致安全措施的安全性无法得到准确的实施。

2.5 分步开展的原则

内部网络的规模随着不断扩大和各种新应用功能的增加,想一次性的解决内部网络的安全问题是不可能的,而且这种操作方式的费用支出也十分庞大。可以通过分步开展安全防范的措施,可以使内部网络的系统安全和信息安全基本的需求得到保证,还能使操作费用得到有效的节约。

2.6 多方面保护的原则

任何一种安全措施都无法实现绝对的安全,都是有可能被攻破的,所以,一定要建立起多方面保护的系统,各方面互相进行补充,一层保护遇到攻击时,其它保护可以启动,继续保护内部系统的信息安全。

3 内部网络安全防范方案设计中常见问题的解决措施

3.1 内部网络的操作系统要保证安全性

内部网络的服务器在计算机的应用程序和计算机的终端操作上都以一定的应用系统和网络安全技术来实现网络操作的安全性,这些都是以操作系统的运行来实现的。所以,一定要保持内部网络的操作系统实现安全、稳定的运行,才能保证内部网络的整体安全基础。既要加强操作系统的漏洞补丁安装和实时监控系统,对用户访问的控制与授权都要进一步完善。

3.2 内部网络要通过路由器保证安全

内部网络的数据传输要通过路由器等设备来实现,而数据的传输也要以报文广播等技术,通过可靠控制的对策,而数据信息在传输中很容易受到非法的入侵,内部网络的安全要由路由器来实现分段的管理,通过虚拟的局域网技术,在物理与逻辑的结构上隔离,完成内部网络的安全性。

3.3 内部网络进行防火墙系统的设置

内部网络安全威胁主要来自拒绝服务的网络攻击,所以,要使内部网络的安全得到保证,就要尽可能的选择功能强的防火墙。内部网络对防火墙系统进行合理的配置,使数据可以充分过滤和拦截,实现有效的监控。一旦出现非法入侵,内部网络就要立刻停止当前的服务,可以使非法入侵的行为得到制止,有效防止内部网络中的数据和信息被获取或者篡改。而防火墙也要进行有效的配置,才能使非法用户在内部网络之间的访问得到有效的限制。对内部网络要设置好有效的网络地址,使网络访问的权限得到控制,对网络设备各项配置和参数可以有效的控制,防止被篡改,使企业内部网络安全得到保证。

3.4 内部网络入侵检测的系统要做好部署工作,保证网络的安全性

内部网络出现安全威胁很多时候都是因为管理员疏忽导致的不规范操作引起的,而且有些工作人员会引起网络的非法入侵,所以,只凭借防火墙是很难使内部网络安全得到保证的。内部网络要对入侵检测的系统做好周密的部署,配合防火墙的工作,既可以及时的发现内部网络安全威胁,还会对一些系统的漏洞和网络的病毒及非法的攻击及时发现和处理。使企业内部网络各项管理系统可以得到稳定的运行。

3.5 移动及无线设备

对于大多数中小企业而言,自带设备办公趋势根本就不是啥新鲜事儿。不过正是由于这种轻信的态度,小企业没有为严格控制并管理员工自有设备制定出切实有效的政策,这一点在无线网络构建方面同样非常明显。

企业Wi-Fi网络作为移动设备办公不可或缺的组成部分,过去也一直受到安全风险的威胁。首先,大家在实际应用中应该选择那些安全性好的无线方案(例如WPA2、801.11或者VPN)、为网络访问设置高强度密码,同时经常扫描各类接入终端、揪出恶意设备。除此之外,我们还需要制定政策,要求员工为自己的移动设备设置解锁密码,并在设备丢失时能够及时锁死或清除所保存的内容。

3.6 内部网络安全防范方案的设计

要真正解决内部网络安全隐患,就要适应内部网络业务信息系统扩展和应用,做好系统的更新和升级,对系统变化和网络的变化及时做好调整。企业内部网络的安全设计是有上下级区分的,这种设计方案是符合现代企业职能需要,而方案的设计也要实现内部网络的安全防范任务,实现企业内部网络的安全防范。

企业内部网络的安全防范设计中,既要设置好上方的企业下级部门,也要设置好企业的上级部门,通过内部网络,企业的下级部门实现与上级部门的连接。可见,企业内部网络进行安全防范的方案设计,下级部门尽量避免和外部的互联网连接,下级部门若有需要一定要和外部的互联网做出数据的传输或者交换,就要使用上级部门外网的路由器来完成。而流入和流出的各种数据包也要进行处理,通过外网的防火墙与入侵监测系统完成安全的过滤。

企业把网络安全重点工作设计在网关的设置与网络边界的防御设置上,所以,网络安全的防范产品与制度都要在外部互联网入口附近进行配置,这种配置方法,使内部网络安全管理工作不能得到保障。

4 结束语

内部网络管理系统 篇6

一、内部网络信息安全防护措施中的不足

1.1控制设备类型单一化

目前, 我国企业内部的信息控制系统普遍较单一。这就导致了其安全性能的不足, 不能够升级。另一方面, 一些针对性较强的信息安全技术不但可以将系统文件信息进行反复的过滤和审计, 还能够弥补其安全性能上的不足。除此之外, 对信息系统进行一系列的检测, 对信息数据进行错误操作的恢复都只局限与特定的存储安全问题。此外, 由于控制设备不能全面考虑信息传送的秘密性, 没有对信息进行严格监控, 就会导致内部别有用心的人员对企业信息进行删除和窃取, 这样一来, 系统内部的信息安全防御部署就会变的相当复杂, 很难做到统一的监管。

1.2没有详细的安全使用视图

一些企业内部的信息技术比较简单, 客户端仅仅只能对系统进行简单的监督和控制。很多部分没有审计的功能, 这就妨碍了存储设备信息处理的灵活性。所以我们必须要加强系统内部操作性的细致化和可视化。设定一个具体的安全使用视图, 完善和提高系统内部的信息分类和部署。

二、内部网络信息的安全保护策略探索

2.1硬件隔离方式的解决方案

硬件隔离方式作为从源头上避免网络攻击的一种手段, 对计算机的网络安全发挥着巨大作用。随着计算机技术的不断发展, 硬件隔离技术也在进行着一系列的升级换代。以目前使用的系统为例, 它不仅仅能够对计算机外部网络通信的情况进行监督和防范, 还能够自动分辨和屏蔽一些网络不良信息。用户对计算机执行操作命令时, 硬件隔离系统还能对发出指令的数据包进行过滤, 只选择符合安全标准的指令进行执行, 这在一定程度上避免了因用户自身下达的错误命令而导致的安全威胁。所以说, 硬件隔离是用户进行网络信息交换安全有效进行的绿色屏障。除此之外, 硬件隔离自身还具备自我升级就和自我免疫的功能, 这也是致力于服务器内部文件防护系统研究人员的智慧和结晶。

2.2对信息数据网络传输进行强制加密

计算机通讯协议是虚拟机管理器的运行核心, 不同于传统的操作系统。在基础物理硬件的管理与配套上, 服务器虚拟化的核心部的安全性直接关系到虚拟机的安全性。如果虚拟机管理器的安全机制不健全, 被一种恶意软件利用其漏洞获取了一个高层次的协议端口, 就可以享有高于操作系统的硬件部署的特权, 这就给其他用户造成极大的安全威胁。IAAS常常将一台物理机器的使用权划分给多个虚拟机。对于同一物理服务器上的虚拟机用户可以无限制的互相访问, 不需要以防火墙和交换机做桥接, 这就给虚拟机互相攻击的提供了便利条件, 所以说必须保证内网在进行信息传播对虚拟机的高度隔离, 是IAAS安全问题解决的关键。

2.3完善的身份认证授权体系

在企业内部的网络建设中, 要不断完善身份认证授权体系, 只有确立一个合理完善的身份认证机制才能保证用户书籍信息的安全性和保密性。所以说访问限制和身份认证是解决安全问题的重中之重。在IBACC协议中 (用于局域网的访问限制和身份认证协议) 中, 明确提出了以数据信息的属性为标准来提高身份认证的安全性和访问权限的控制方法。如密匙加密的方法、代理加密和惰性重加密。只有得到密匙的授权人才能对授权区域进行操作, 这样就大大提高了企业内部信息的安全性。

总之, 网络是把双刃剑, 计算机在给人们带来了快捷与高效的同时, 其中的安全隐患也给人们带来了一些损失和困扰。所以我们要共同努力, 构建一个和谐的网络传播环境。

摘要：网络技术除了给人们带来先进生活理念, 给社会带来巨大的经济效益的同时, 其存在的安全问题也对信息技术、法规、监督、标准等方面带来了新的挑战。而在现代企业制度中, 单位内部的网络建设的信息安全问题是我们值得探讨的课题。本文就以此为切入点, 全面、具体的阐明企业内部网络信息安全的应用手段和技术重点。

关键词：内部网络,信息安全,防护,措施

参考文献

[1]陈晓东, 马冉.网络信息安全的威胁及对策——党校局域网建设的体会与应对[J].中共济南市委党校学报.2011 (02)

[2]吴虹, 钟锐.计算机网络信息安全防护探析[J].电脑与电信.2010 (03)

内部网络管理系统 篇7

关键词：云桌面,网络安全,策略管理,企业网

1 引言

近几年来云计算成了热门词汇, 它是在个人计算机、互联网变革之后, 逐渐成为了全球IT战略性新兴产业的重要组成部分, 被看作第三次IT浪潮, 它将给企业和个人带来生产、生活方式和商业模式的根本性改变, 是当前业界关注的热点之一。

在大型企业网络的建设和管理中, 经常面临着计算机硬件和软件系统不定期更新换代的问题, 同时, 在企业内部网络的使用过程中, 日常维护和管理的工作量也很大, 如由于外部病毒的入侵破坏、软件系统的安装与升级、硬件的定期保养、管理与维护等等, 这些因素给企业网络的管理增加了一定的难度, 这些都对网络管理人员提出了更高的技术和专业要求。

针对企业内部网路存在的这些问题, 引入一种新的网络服务模式-桌面云。桌面云构建在企业内部网络环境中, 它可以实现软硬件资源共享, 包括计算机硬件资源 (包括:计算机外部设备、存储介质、服务器等) 和软件资源 (包括:系统软件、办公软件以及各类专业应用软件等) 。通过桌面云这种服务模式, 企业网的所有数据可以存储在云计算中心, 各种应用软件运行在云计算中心, 企业在客户端不再需要购买大量的存储介质和硬件设备, 也不用担心为每个客户端不定期进行软件升级服务, 用户不需要自身考虑文件的安全性, 桌面云有专业的团队在维护和管理, 降低了企业网络建设成本和维护成本。

下面将分别介绍桌面云概念、工作原理、特点、架构设计、资源调度、管理策略及安全设计等工作。

2 桌面云系统简介

2.1 桌面云概念

桌面云是通过瘦客户端或者其他任何与网络相连的设备 (笔记本, 台式机, ipad) 来远程访问专属的用户桌面。

换句话说用户只要具备一个瘦客户端设备, 或其它任何一个可以连接企业网络的设备, 凭借专用的程序, 就可以登录服务器端的个人桌面并访问各种应用, 这种体验和使用传统的个人电脑是完全一样的。

2.2 桌面云的工作原理

将桌面环境以虚拟机的形式运行在服务器上;客户端通过网络连接位于服务器端的虚拟机, 可以随时随地访问桌面环境, 工作原理示意图如图1:

3 桌面云系统的特点

3.1 传统桌面办公

传统桌面办公的软硬件系统以及应用服务均是在本地计算机完成, 包括光盘刻录、邮件发送、FTP传输、文件打印、移动存储以及HTTP通信等。其中传统桌面办公系统的示意图见图2所示:

3.2 桌面云系统办公

桌面云系统办公在本地只需要一个瘦客户端, 其它软硬件系统以及应用服务均是在云服务器端, 由云服务器提供光盘刻录、邮件发送、FTP传输、文件打印、移动存储以及HTTP通信等服务。桌面云系统办公的示意图见图3:

3.3 桌面云系统的特点

结合图2与图3作比较, 可以看到桌面云系统

有如下特点:

(1) 桌面云系统信息是集中监管的, 在客户端本地无数据, 可以保证安全。

(2) 桌面云系统可以节能减排, 一般每个终端能耗小于25W。

(3) 桌面云系统由于采取集中部署, 因而更易于管理。

(4) 桌面云系统在任何连接、任何终端上均可以访问服务器, 更加灵活便捷。

(5) 桌面云系统资源负荷分担, 更稳定可靠, 能够实现自动切换。

(6) 桌面云系统采取集中设置策略, 更易于备份, 同时系统能够自动备份。

4 系统架构设计、调度及策略

4.1 系统架构设计

目前本企业的桌面云系统目前已覆盖了18个二级生产单位以及公司机关部分部门、安全生产指挥中心, 共计2700用户。涉及岗位包含调度岗位、办公岗位和管理岗位。其中系统的架构设计示意图见图4。

4.2 系统资源调度及管理策略

在桌面云系统中, 一般将资源支配过程划分为四个工序:资源申请、资源检测、资源选取、资源监管。

为统一支配系统虚拟资源, 一般采用将每个可用的虚拟资源比作成一个可支配单元 (Unit) , 每个Unit由一个二元数组V (C, M) 确定, 其中C代表CPU的大小, M代表内存的大小。一个服务器最多可以虚拟的单元数为:, 单数据中心可用资源总数为。同时引入分组的概念, 将具有一样应用特点的资源分组, 以避免因集中支配大量无序资源对云计算平台性能的消耗, 即为可支配单元引入新属性F, 每个Unit由一个三元数组V (C, M, F) 决定, 其中F代表资源的核心特性。当客户登入云计算平台, 并输入对应性能要求就算完成了资源申请。云计算平台接到客户资源申请后, 会先通过安装在每台服务器节点上的数据采集模块检测节点负荷信息与云服务器响应时间。

然后采取动态优先级 (Priority) 策略, 选取Priority值最高的节点, 将该节点上与客户特性相匹配的虚拟资源移交给客户。动态优先级策略立把将服务器分组, 给每个组定义不同优先级, 客户请求会分配给优先级最高的服务器组。每组服务器的Priority值由当前节点的负荷情况与服务器响应时间共同决定。动态优先级算法的主旨是客户请求由当前负荷最小且响应最短的节点来负担。Priority=Unittotal×F+LT×μ, 其中H表示客户需求特性权重, XT表示服务器响应时间, a表示时间优先级转换比。当客户请求到达时, Priority值实时更新。

最后云计算平台会跟根据运行在每个节点上的代理 (Agent) 反馈的状态信息对每个服务器节点进行实时监管, 如果某个节点发生故障, 云计算平台会将客户桌面迁移至其他节点。

4.3 系统安全设计及策略

(1) 通过设定网络准入等网络规则, 只允许在虚拟桌面网络中才可以访问内部系统

(2) 与企业现有AD结合, 进行用户安全认证

(3) 员工不允许在虚拟桌面环境中上使用互联网

(4) 只提供最基本系统权限, 用户不允许安装任何应用程序, 只能通过专业技术人员安装。

5 运行情况与应用总结

桌面云系统在公司内部网络已经稳定运行一年多, 系统大大提高了数据安全性, 从运行至今, 没有发生一起数据安全事故;系统显著提升了桌面安全, 使得遭受的恶意攻击明显减少;系统极大提升了工作效率, 得到了企业员工的普遍欢迎, 取得了非常好地应用效果。

参考文献

[1]杨永川.信息安全[M].北京:中国人民公安大学出版社.2007.