企业网络设计(共12篇)
企业网络设计 篇1
1企业局域网设计标准
实用性和经济性标准:企业网络系统的搭建应该深入贯彻注重实际应用的原则,努力实现网站建设的经济性和实用性标准。
先进性和成熟性标准:实现一个先进成熟的网络搭建设计,确保若干年后企业网络建设仍保持有先进水平的发展潜力,首先必须要考虑到国内外先进技术理念的分析运用,其次要重视网络系统结构、设备以及工具的更新完善,保证网络搭建设计的设施要求。
可靠性和稳定性标准:
在保证网络技术先进性和经济实用性的前提下,网络运行的稳定可靠性考虑同样不可忽略,通过网络系统管理、传输技术措施、网络设备性能、设备厂商技术支持及维修能力、网络系统结构等方面工作的加强,实现网络搭建最大的平均无故障时间。
安全性和保密性标准:网络规划设计中的安全性和保密性是所有设计工作的重中之重,在保证网络信息资源充分共享的前提下,更要关注信息资源的安全和保密,因此网络搭建设计必须落实好针对不同网络通信应用环境所采取的访问控制协议、系统安全机制、数据存取的权限控制等技术措施的完善工作。
可扩展性和易维护性标准:为了确保网络搭建设计的易维护性和可扩展性,减少人员聘用方面的支出,实现网络搭建的易用性,提高工作效率,要认真考虑使用最少的投资和最简单有效的技术手段完成网络的搭建与规划以适应日新月异的经济发展需要。
2企业局域网技术的应用
企业网络搭建的经济实用性,先进成熟性,可靠稳定性,安全保密性和可扩展易维护性的实现与企业局域网技术的应用密切相关,网络技术的选取很大程度上决定了企业网络搭建的整体性能。
2.1快速以太网技术
快速以太网技术具有拓扑结构简单灵活,灵活性强,供选择传输介质多样,施工简单方便等优点,这一当前世界应用最广泛的组网技术毋庸置疑成为中小企业组网的第一选择。
2.2VLAN技术
虚拟局域网(VLAN)技术用于解决交换机以太网的广播风暴,为了减少参与广播风暴的设备数量,达到限制网络广播的目的,可以通过采用把网络进行划分成多个VLAN的办法实现。LAN分段的技术方法可以有效避免广播风暴波及整个网络的情况出现。减少广播流量在VLAN技术手段中的使用主要在于防火墙机制的建立以避免交换网络中广播风暴波的出现。VLAN技术的使用中把用户或交换端口设置在某个特定的VLAN组,通过利用此VLAN组于一个交换网中跨接多个交换机的方式使某个VLAN中的广播保持传送在VLAN之内的状态,而且互相相邻的交换端口也仅能接收到特定VLAN发送出的广播。这种方法不仅实现了广播量的减少,还使用户获得了更多的带宽应用,一举两得。此外,虚拟网络环境的创建也有赖于VLAN技术的运用,企业通过网络虚拟环境的搭建可以有效组合起不同地点不同网络环境的不同用户,这种网络使用方式同样与使用本地LAN时一样灵活有效。在降低管理费用方面,对于一些因业务情况发展经常需要变更或移动工作站地理位置的公司而言,VLAN的使用可以有效降低因变更产生的管理费。
2.3 DHCP
DHCP是Dynamic Host Configuration Protocol的英文缩写, 它的中文涵义也叫动态主机配置协议,它是一个利用UDP协议进行工作的局域网网络协议。使用DHCP可以实现默认网关IP地址,IP地址,DNS服务器IP地址,子网掩码及其他IP地址类型信息通过DHCP服务器成功提供DHCP客户端。因此,它毋庸置疑地成为当前提供网络主机IP地址分配的最为广泛应用的方式之一。
DHCP的应用环境一般为大型局域网络环境,它的主要作用与IP地址的集中分配管理密切相关,涉及网络环境中主机动态的Gateway地址、DNS服务器地址、IP地址等信息的获取,旨在实现地址使用率的提高,一般情况下DHCP网络协议主要发挥1为内部网络管理员或用户进行所有计算机的中央管理工作2为网络服务供应商或内部网络进行IP地址的自动分配这两个作用。
2.4 NAT
NAT作为“Network Address Translation”的英文缩写,中文涵义是“网络地址转换”,NAT用于IP数据包经过防火墙或路由器时对源IP地址或/和目的IP地址的重写,它的普遍使用环境是有多台主机但只通过一个公有IP地址访问因特网的私有网络环境。NAT作为一个IETF标准,它通过允许一个整体机构以一个公用IP地址形式出现在Internet上,实现了内部私有网络地址(IP地址)转变成合法网络IP地址的翻译。即NAT可以成功实现局域网内部网络中内部节点与外部网络通讯时公用地址对内部地址在网关处的替换。在计算机网络中 ,NAT可以实现只申请一个合法IP地址,就能把整个局域网中计算机接入Internet中,通过多台计算机的Internet共享连接,很好避开了公共IP地址紧缺的麻烦。
2.5 ACL
ACL作为企业内外网络通信的第一道防护关卡,它可以通过网络流量的过滤和访问的控制来对网络设备和服务器的保护产生作用,从而有效确保企业内网的安全。它的英文全称为Access Control Lists,中文涵义是访问控制列表,位于路由器上,本质上是应用于路由器接口的指令列表。ACL指令列表可以通过类似于源地址、端口号、目的地址等特定指示条件来确定告诉路由器哪些数据包应该是被接收还是被拒绝的,如此通过一些安全策略保障非授权用户仅能对特定网络资源进行访问, 从而实现对访问的控制。
3企业网络拓扑结构图设计
企业网络拓扑结构作为整个网络系统创建的基础,网络系统的可靠性,费用支出,技术性能以及运行效率与网络拓扑结构息息相关。因此,企业网络拓扑结构图的设计应该紧密地与介质访问控制,传输介质,网络设备选型及地理环境分布等因素结合起来认真考虑分析。
3.1企业网络拓扑结构设计的原则
中小企业在设计网络拓扑结构的时候,应重点从以下几个方面考虑:经济性、灵活性、扩展性、可靠性、易于管理和维护。 拓扑结构的选择很大程度上决定了网络安装和维护的费用。
3.2企业网络的主干网络设计
应根据企业需求分析的地理距离、信息量、数据负载的轻重而确定主干网络技术的选择。
主干网在一般情况下主要用于服务器群和建筑群的连接, 作为网络的主通道,主干网具备容纳网络上40%-60%信息流量的能力。光纤通常作为主干网用于连接建筑群的传输介质, ATM、FDDI及千兆以太网是主干网技术的典型代表。结合到中小企业网络拓扑结构的设计原则和中小企业的实际需求,一般千兆以太网的主干网技术使用对于中小企业而言较为理想。
3.3企业网络分布层/接入层设计
企业的外围网采用怎样的扩充互联方法决定了企业网络中分布层的存在与否。一般情况下分布层的增加会提高成本, 网络信息流的特点事关企业网络分布层的需要与否以及堆叠或级连分布层方式的采用。级连主要用于全网信息流较平均的环境中,因分布层交换机大都具有组播和初级Qo S(服务质量)管理能力,级连适合用于突发重负载(如VOD视频点播)的处理,而堆叠则因具备充足的宽带保证,通常用于本地信息流密集、全局信息负载相对较轻的情况。
3.4企业网络拓扑结构设计图
在准确把握主干网拓扑结构和网络协议的前提下,做好企业网络拓扑结构设计中的分组交换结点位置、结点间传输介质、设备、结点间实现的协议、数据流量和传输速率以及结点数目的确定工作。同时应该认真结合网络管理的实际需要,为达成全网的动态检测和监视,对结点进行符合国际标准要求的网管模块的加载。
4IP地址规划
由于当前小型企业一般只有一个公用的IP地址,为了达成对外网的访问,可以通过NAT地址转换的使用实现全局地址对内部地址的转换。
网络设备的具体配置
网络核心交换机CORE1配置
CORE1是核心交换机,设置高级密码密码为shiyanmima,
密码一般都需要进行加密处理的步骤,当CORE1核心交换机对VLAN10客户进行DHCP的提供服务时,默认的网关是192.168.1.1。应该为CORE1核心交换机建立一个shiyan的DHCP地址池运用于网段是192.168.10.0/24的VLAN10网络, VLAN10网络的DNS服务器为192.168.8.10,默认网关 是192.168.10.1。
通过把所有VLAN的Root设置为CORE1核心交换机,命令spanning-tree vlan 1-10 root primary。在保留其他接口默认模式的前提下,使用802.1Q封装,实现端口Fa0/1到Fa0/6转换为trunk端口的设置。在路由器的连接中,采用把Fast Ether-net0/24接口定义成三层路由接口的方式。在Ether channel 1组中添加Gigabit Ethernet0/2与Gigabit Ethernet0/1端口,为使对方接收到LACPDU报文,可以通过使用LACP(Link Aggregation Control Protocol,链路汇聚控制协议)active主动模式实现Giga-bit Ethernet0/2与Gigabit Ethernet0/1端口主动往对方端口的发送。所有主机的对外访问转发到路由器可以经由静态路由的设置实现。通过访问控制列表的定义,达成只有属于VLAN1主机的IP地址可以经过该访问列表。
配置网络路由器
路由器全局通过AAA服务的启用,进行默认登录组的设置,通过RADIUS,远程用户拨号认证系统的采用,实现端口Fast Ethernet0/0 IP地址的配置,并使Fast Ethernet0/0端口设置成NAT转换地址的内部端口。企业为端口Serial0/0/0配置的IP地址是通过企业向ISP申请而来的公用IP地址,所对应的接口配置为与外部网络连接的NAT外部端口,路由器所配置完成的一个shiyan NAT池,子网掩码为/29,高地址也为66.66.66.66, 低地址66.66.66.66,在NAT内部的访问列表为列表10,所映射的对应地址池名称为shiyan ,同时将地址复用利用其中。路由器两条静态路由的配置中,一条是所有未知数据包都经由路由s0/0/0端口发出的,一条则是通往内部网络的。第一条中所有到192.168.0.0的数据包都将往172.16.1.2发送,第二条则用于从s0/0/0端口转发出所有未知数据包。要想实现只允许192.168.1.0网段的用户对其远程登录,则可以通过“只有192.168.1.0/24网段的用户可以访问”的ACL定义和telnet的控制访问设置实现。
配置网络接入层交换机MGR
access模式作为以太网端口Fast Ethernet0/1——Fast Ether net0/20的配置方式,它在主机的接入中使用,同时,进行Port fast的配置,在这个命令下,使用的条件必须满足端口接的是host。
摘要:当前网络传输技术的日益进步以及网络设备产品价格的不断下调扩大了企业对信息共享和数据传输的需求,现阶段各个企业都加大企业内部局域网搭建的工作力度,旨在实现现代信息技术对企业发展的促进作用,加快企业现代化发展的进程。关于加快企业信息化发展局域网建设的必然选择,企业局域网这一基础平台的搭建确保了企业现代信息管理、办公自动化和现代化发展等一系列数据处理与应用的有效实现。该文就中小型企业的实际应用需求,探讨了一个典型中小企业网络系统的相关设计,技术配置以及IP地址规划方面的问题。
关键词:中小型企业,局域网,设计
企业网络设计 篇2
网络工程设计课程设计报告
课程: 网络工程设计
班级: 网络工程081
姓名: 彭晓晓
学号: 080510122
日期:
2011-11-28
企业网络规划和设计方案
一、工程概况.....................................................................................................................3
1、工程详述................................................................................................................3
2、项目工期................................................................................................................3
二、需求分析.....................................................................................................................4
1、网络要求................................................................................................................4
2、系统要求................................................................................................................5
3、用户要求................................................................................................................5
4、设备要求................................................................................................................6
三、网络系统设计规划.....................................................................................................7
1、网络设计指导原则................................................................................................7
2、网络设计总体目标................................................................................................7
3、网络通信联网协议................................................................................................8
4、网络 IP 地址规划.................................................................................................8
5、网络技术方案设计................................................................................................9
6、网络应用系统选择..............................................................................................13
7、网络安全系统设计..............................................................................................14
8、网络管理维护设计..............................................................................................14
四、网络布线系统设计...................................................................................................15
1、布线系统总体结构设计......................................................................................15
2、工作区子系统设计..............................................................................................15
3、水平子系统设计..................................................................................................16
4、管理子系统设计..................................................................................................16
5、干线子系统设计..................................................................................................16
6、设备间子系统设计..............................................................................................16
7、建筑群子系统设计..............................................................................................17
目 录
一、工程概况
1、工程详述
集团总部公司有 1000 台 PC;公司共有多个部门,不同部门的相互访问要有限制,公司有自己的内部网页与外部网站;公司有自己的 OA 系统;公司中的台机能上互联网;核心技术采用VPN;集团包括六家子公司,包括集团总部在内共有2000多名员工;集团网内部覆盖7栋建筑物,分别是集团总部和子公司的办公和生产经营场所,每栋建筑高7层,都具有一样的内部物理结构。一层设有本建筑的机房,少量的信息点,供未来可能的需求使用,目前并不使用(不包括集团总部所在的楼)。二层和三层,每层楼布有96个信息点。四层到七层,每层楼布有48个信息点,共3024个信息点。每层楼有一个设备间。楼内综合布线的垂直子系统采用多模光纤,每层楼到一层机房有两条12芯室内多模光纤。每栋建筑和集团总部之间通过两条12芯的室外单模光纤连接。要求将除一层以外的全部信息点接入网络,但目前不用的信息点关闭。
2、项目工期
2009年5月28日-------2009年6月28日
二、需求分析
1、网络要求
满足集团信息化的要求,为各类应用系统提供方便、快捷的信息通路;具有良好的性能,能够支持大容量和实时性的各类应用;能够可靠运行,具有较低的故障率和维护要求。提供网络安全机制,满足集团信息安全的要求,具有较高的性价比,未来升级扩展容易,保护用户投资;用户使用简单、维护容易,为用户提供良好的售后服务。
主干网负责各个子网和应用服务的连接,为信息交换提供有效的高速通道。系统主干采用万兆以太网10000M交换,下属子网采用千兆以太网,网络协议采用TCP/IP协议,整个网络应考虑语音、视频、数据等的综合应用。交换机要求采用主流、成熟、信誉和售后服务均佳的产品,核心交换机采用三层交换机,支持VLAN等功能,能较好解决突发数据量和密集服务请求的实时响应问题,在内部用户终端进行视频信号、数据交换时交换引擎不会出现过载现象和数据包碰撞、丢失的现象,还要考虑预防瓶颈出现和补救的相应措施。下属单位接入交换机可采用相对低一档的产品;本系统处理的信息包括数据、语音和图像等,因此要考虑实时性问题,特别要考虑包括视频会议在内的信息共享等方面的实时性要求。;UPS电源的配备,配置要保证网络中所有的服务器、交换机、路由器、集线器等设备的连续、正常地运转;网络带宽的分配:应根据所属单位网络的信息流量情况合理分配网段,以充分利用网络带宽,提高网络的运行效率。网络需 要需要具有多主机跨平台主机连接能力,数据集中存放、集中管理、数据有效共享、存储空间共享、统一安全备份,可实现无人值守、自动实施备份策略,备份LANFREE、SERVERLESS等功能,为全面集中管理和数据仓库的建设奠定坚实的基础
2、系统要求
配置简单方便:所有的客户端和服务器系统应该是易于配置和管理的,并保障客户端的方便使用;广泛的设备支持:所有操作系统及选择的服务应尽量广泛的支持各种硬件设备;稳定性及可靠性:系统的运行应具有高稳定性,保障7*24的高性能无故障运行。可管理性:系统中应提供尽量多的管理方式和管理工具,便于系统管理员在任何位置方便的对整个系统进行管理;更低的成本:系统设计应尽量降低整个系统的成本;安全性:在系统的设计、实现及应用上应采用多种安全手段保障网络安全;提供良好的售后服务。网络还应具有开放性、可扩展性及兼容性,全部系统的设计要求采用开放的技术和标准选择主流的操作系统及应用软件,保障系统能够适应未来几年公司的业务发展需求,便于网络的扩展和集团的结构变更。
3、用户要求
要求计算机应用系统能处理大信息量的传输和计算;要求易于用户管理、界面简单、逻辑清晰;满足用户使用网络系统的运行质量,提高网络运行速度;要求采用千兆以太网作为主干的网络技术,提供 5 标准化的高速度主干网连接,并在未来可以升级到IP,可以在同一个网络中支持多种服务质量,以支持目前和未来的应用和服务为标准。允许网络集成,使用三层交换来代替路由,能实现与广域网的集成功能;网络中使用的设备、技术和协议完全符合国际通用的标准,兼容现有的网络环境,提供良好的互联性;要求网络提供足够的带宽,丰富的接口形式,满足用户对应用带宽的基本要求,并保留一定的余量供扩展使用,最大可能地降低网络传输延迟;要求网络有很高的可靠性、稳定性及冗余,网络能够提供良好的安全性策略,能避免内部操作失误造成的损害和来自外部的恶意攻击。
4、设备要求
根据集团的网络功能需求和实际的布线系统情况,楼层接入设备需要选择同一型号的设备;子公司主交换机可以根据需要通过堆叠方式进行灵活的升级扩容;核心交换机需要具有升级到720Gbps可用背板带宽的能力。网络设备必须在技术上具有先进性、通用性,必须便于管理、维护,应该满足集团现有计算机设备的高速接入,应该具备良好的可扩展性、可升级性,保护用户的投资。网络设备在满足功能与性能的基础上必须具有良好的性价比。网络设备应该选择拥有足够实力和市场份额的厂商的主流产品,同时设备厂商必须要有良好的市场形象与售后技术支持。
三、网络系统设计规划
1、网络设计指导原则
网络设计应该遵循开放性和标准化原则、实用性与先进性兼顾原则、可用性原则、高性能原则、经济性原则、可靠性原则、安全第一原则、适度的可扩展性原则、充分利用现有资源原则、易管理性原则、易维护性原则、最佳的性能价格比原则、QoS保证
2、网络设计总体目标
先进性:系统具有高速传输的能力。工作站子系统传输速率达到100Mb/S,水平系统传输速率达到1000Mb/s,满足现在和未来数据的信息传输的需求;主干系统传输速率达到1000Mb/s,同时具有较高的带宽,满足现在和未来的图像、影像传输的需求。
灵活性:系统具有较高的适应变化的能力。当用户的物理位置发生变化时可以在非常简便的调整下重新连接;布线系统适应各种计算机网络结构,如以太网、高速以太网、令牌环网、ATM网等。布线系统且具有一定的扩展能力。
实用性:系统具有低成本、使用方便、简单、易扩展的特点。布线系统应在满足各种需求的情况下尽可能降低材料成本;布线系统具有操作简单、使用方便、易于扩展的特点。
3、网络通信联网协议
TCP/IP :每种网络协议都有自己的优点,但是只有TCP/IP允许与Internet完全的连接。
Telnet:远程登录访问协议,使其他跨省区域的子公司通过远程访问总部的内外,在远程访问时,会设置相应的ACL认证和相对的权限设置。
SNMP网络管理协议:SNMP 用于在 IP 网络管理网络节点(服务器、工作站、路由器、交换机及 HUBS 等)的一种标准协议,它是一种应用层协议。SNMP 使网络管理员能够管理网络效能,发现并解决网络问题以及规划网络增长。通过 SNMP 接收随机消息(及事件报告)网络管理系统获知网络出现问题。
路由协议:RIP、IGRP、EIGRP、IS-IS和OSPF。
4、网络 IP 地址规划
集团园区网计划使用私有的A类IP地址。集团园区网的IP地址分配原则如下:集团使用IPv4地址方案。集团使用私有IP地址空间:10.0.0.0/8。集团使用VLSM(变长子网掩码)技术分配IP地址空间。集团IP地址分配满足集团的利用。集团IP地址分配满足便于路由汇聚。集团IP地址分配满足分类控制等。集团IP地址分配满足未来公司网络扩容的需要。
5、网络技术方案设计
总体网络采用基于树型的双星型结构,使之具有链路冗余特性;整体网络规划为核心及服务器群区域,内部骨干区域(汇聚链路),接入层上联区域,客户端接入区域;核心交换机位于集团总部机房,并为双核心,使用双主干网络设计,保证主交换机网络的容错。在一台交换机出现故障的时候保障网络的正常运行,也不用手工切换和维护,保证网络的可靠性。采用全交换硬件体系结构,可实现全线速的IP交换;网络主干采用先进的千兆位以太交换技术,可最大限度地提高主干的数据传输速率。使用千兆网络保证网络交易速度与实时性,使用了FEC/GEC 技术实现网络带宽的扩展,适应网络不断扩展的要求。
根据需求概括,我们选择的是D-Link企业级的DES-8503万兆核心交换机为本次网路建设总部机房的核心交换;DES-8503万兆核心路由交换机作为新一代大容量、高密度、高性能、模块化核心路由交换机产品,其背板带宽高达3.2Tbps,包转发速率最大为952Mpps,具备二到四层线速交换能力。DES-8503万兆路由交换机基于先进的模块化理念进行设计,并采用了基于多处理器分布式处理机制和Crossbar空分交换结构的体系结构,关键模块均采用1:1冗余备份。可提供10GE、GE、FE等各种丰富的接口模块,并全面支持IPv4、IPv6、MPLS、NAT、组播、QoS、带宽控制等业务功能。整个系统所具备的高可靠性、高扩展性、强大的业务能力等特点可以满足各种网络核心层的建设需求。DES-8503(3个插槽)作为D-Link行业产品线核心交换机之一,可广泛的应用在各行业的IP网核心、企业数据中心、IP城域网核心和汇聚、校园网核心等场所,为用户提供多种业务接入、路由交换一体化的安全融合网络解决方案。
ES-8503万兆核心路由交换机具有一下的优点:
先进的系统架构:采用了分布式、模块化设计理念,并采用了基于多处理器分布式处理机制和Crossbar空分交换结构的体系结构。这保证了系统优异的转发性能、强大的业务能力和高度的可扩展性。高端口密度和线速路由及交换:具有丰富的接口类型,提供10GE、GE、FE等接口。可以真正实现高端口密度和线速路由及交换。大容量、高性能:支持高达952Mpps的路由包转发能力,并支持512K条第三层路由信息、512K第二层的MAC地址以及 4096组VLAN、8K条安全和访问控制策略,保证了数据线速转发的要求。增强的业务功能:具有L2/L3/L4线速交换能力、具备QoS、MPLS、NAT、带宽控制、组播等高级性能,是定位于网络核心层、实现整体网络增值的优选设备。同时,提供基于硬件的流量分类和组播以及速率限制和先进的服务质量保证(QoS)机制,可为用户开展增值业务提供强大的支持。
强大的安全功能:支持ACL安全过滤机制,可提供基于用户、地址、应用以及端口级的安全控制功能,并支持IPSec、MPLS VPN特性。同时,支持基于端口不同优先级对列的和基于流的入口和出口带宽限制、uRPF、防DDOS攻击、SSH2.0安全管理、802.1x接入认证及透传,VLAN ID与MAC地址、端口号、IP地址捆绑等安全功能。此外,系统 还具备完善的抗病毒机制,可以为网络运营提供全面的安全保证。支持IPv6:全面实现了各种IPv6协议技术,包括IPv4和IPv6双协议栈和基于手工配置隧道、自动配置隧道、6to4隧道等IPv4向IPv6的基本过渡技术。同时,实现了IPv6静态路由,支持BGP4/BGP4+、RIPng、OSPFv3等动态路由协议。
全面支持二、三层MPLS VPN:二层MPLS VPN支持Martini协议(VPWS)和VPLS、三层MPLS VPN采用RFC2547bis,具有良好的兼容性,可以与其他主流厂家的设备实现MPLS VPN业务的全面互通。电信级可靠性:系统的主控单元、电源等等关键模块均可以进行1:1方式的备份,无中断保护系统(Hitless Protection System-HPS)为DES-8500的高可靠性提供了最重要的保证,在配置冗余控制模块的情况下,它能满足最苛刻的可靠性要求。同时,DES-8500的VRRP、STP、LACP等功能为用户提供了进一步的可靠性保证。统一的网管功能:支持RFC 1213 SNMP(简单网络管理协议),带内网管的形式可采用基于Telnet的配置管理(CLI命令行的形式)或基于SNMP的配置管理(图形界面的形式),实现基于Broad Director网管平台的统一网管。
接入层为楼层的工作组及交换机。核心层与接入层以千兆以太网技术相连,传输速率达1Gbps,采用全双工通信可达2Gbps。其物理连接采用多模光缆相互连接,以提供物理层、链路层及IP层的冗余连接能力。
核心交换:三层千兆交换机为整个网络的核心,它对整个网络的 性能,可靠性起决定性作用,它连接各个物理子网,治理网络内信息交换(包括多媒体信息),控制VLAN间访问,保证信息安全。因此,我们选用的中心交换机除了提供高速的网络连接之外,还具有多种信息的治理和控制能力。全部的网络设备均支持高效的Intranet多媒体和多点广播技术、治理协议(CGMP)等,为多媒体和多点广播应用如IPTV等提供端到端的带宽保证。网络采用分层结构,不仅逻辑结构清楚,治理方便;更重要的是大多数的数据流量(主要是同一部门或工作组内)的交换在次级节点分布交换机上直接处理,不经中心设备,节省主干带宽,提高利用率。有一定的前瞻性,不仅满足当前网上应用,也为将来更高性能的升级作好了预备:网络具有良好的伸缩性,升级和扩展主要只集中在网络中心,添加新的接口模块,即可实现用户和信息点的扩充;增加光纤连接即可大量提高主干带宽;中心增配另一台多层交换机,网络结构就能连接成可靠性的、真正的中心交换机互备份和上联线路冗余。配合热备份路由协议和热备份双服务器主机系统,在整个系统内消除单点故障,提供高可用性的应用服务系统。
汇聚交换及接入交换:二级交换机可以每个独立构成一个VLAN,也可以多个二层交换机构成一个VLAN。VLAN之间的路由由中心交换机负责。不同的部门/单位可以通过配置不同的VLAN等方式来隔离广播和信息流,不但可以提高网络效率,而且可以增强网络安全。而每台交换机上的10/100自适应端口又可以与下层100M到10M交换式集线器相连接。心交换机与二层交换机以1000M全双工的方式相连接。这样的连接结构可保证网络带宽的最大限度的合理应用。集团由总部 机房采取一处连接Internet中,设置防火墙等安全软件,并对外网的远程登录设置权限及相应的安全认证!
6、网络应用系统选择
根据集团用户对操作系统的要求:操作系统要求选择最新版本,所选操作系统需要提供方便的更新与升级方法,服务器操作系统需要能够提供目录服务功能,服务器及客户机操作系统都需要支持TCP/IP协议,所选操作系统应能够方便的实现用户和权限的管理,秘选操作系统应能够运行大多数应用软件,例如办公软件、图像处理软件、CAD财等,我们选择Linux,它具有极高的稳定性、先天的安全性、软件安装的便利性、多任务、多使用者、免费或少许费用、有强大的网络功能、在相关软件的支持下,可实现WWW、FTP、DNS、DHCP、E-mail等服务。
建立WWW服务器,实现Internet上浏览和查询;建立FTP服务器,结合学校实际和需要逐步建立远程FTP服务;建立Web服务器把图文信息组织成分布式的超文本,并用信息指针指向存有相关信息的服务器,使用户可以方便地访问这些信息。当网上用户增多时,网络访问很频繁,通信量很大,随机性强。作为全校的通讯枢纽,需要配备高性能的服务器设备,主要的需求是高性能的CPU、SMP体系结构、高速I/O通道和网络通道。建立域名服务器DNS,各地名字服务器管理下属主机和子域,并由高一级名字服务器监管,但每个域至少需要配备一台以上的名字服务器。DNS数据量不大,13 但访问频繁。建立数据库服务器能有高效的处理速度、较大的内存和磁盘空间、快速的I/O系统和网络界面,较高的可靠性,完善的系统备份功能和较好的可扩充性能。
7、网络安全系统设计
内网安全设计:访问控制,通过密码、口令(不定期修改、定期保存密码与口令)等禁止非授权用户对服务器的访问,以及对办公自动化平台、的访问和管理、用户身份真实性的验证、内部用户访问权限设置、ARP病毒的防御、数据完整、审计记录、防病毒入侵。外网安全设计:安装软件、硬件、防火墙,网络防病毒软件,客户端防病毒软件;利用代理服务器提供Internet与Intranet之间的防火墙功能;通过网管实时记录网络的运行状态。设置远程访问身份认证,防止垃圾邮件等。
8、网络管理维护设计
根据集团和服务器应用模式及全网范围资源集中管理的原则,在集团总部机房建立中心管理机房,统一网络中的交换设备的管理配置,虚网设计和配置,各种服务建立等。网管工作站对全网所有交换设备和路由设备进行统一管理、配置和维护;进行故障隔离、分析、统计、报警、设置;网管软件采用图形化界面,支持广泛的网管平台。
四、网络布线系统设计
1、布线系统总体结构设计
总体七撞建筑,从总部机房用十二芯单模光纤与其他六撞建筑的设备间|BD|相连,每个设备间也设用十二芯多模光纤与每层的电信间|FD|,并用五类非屏蔽双绞线从电信间与工作站相连接,集团园区网采用10M的光纤以太网接入到因特网服务提供商的网络,然后接入到因特网中,使集团实现与外界的信息交换和网络通信。集团统一由总部机房的一个出口访问Internet,集团能够控制网络的安全。在服务器和核心交换机间:使用UTP电缆来将服务器连接到核心交换机。
2、工作区子系统设计
工作区子系统由各个单元区域构成,是计算机、电话和信息插座的连接部分,包括连接跳线和信息插座。信息插座面板具备:通用、超薄、简易、防尘等特点;信息插座的模块采用类RJ-45模块;线缆采用超五类双绞线;水晶头采用RJ-45标准水晶头。为降低成本和结合客户终端的位置多变的特点,跳线可采用原装跳线与自制跳线相结合的方式,中心机房内设备之间、楼宇机柜内设备之间、服务器、重点客户终端的跳线采用原装成品跳线,其余采用自制跳线。跳线制作统一采用EIA/TIA 568B标准,以使系统具有更好的兼容性
3、水平子系统设计
水平子系统主要是实现信息插座和管理子系统,即中间配线架(IDF)间的连接。水平子系统为星形拓扑。在水平子系统中采用超五类非屏蔽双绞线。双绞线水平布线链路中,水平双绞线的最大长度均不超过90m。为了网络系统的稳定性和扩展性超五类非屏蔽双绞线。
4、管理子系统设计
管理子系统设计由配线间构成。由各种规格的配线架实现水平、垂直主干线缆的端接及分配;由各种规格的跳线实现布线系统与各种网络、通讯设备的连接,并提供灵活方便的线路管理能力。分配线间是各治理子系统的安装场所,可安装配线架和计算机网络通信设备。对于信息点不是很多,使用功能近似的楼层,为便于治理,仅设置一个共用的子配线间;对于信息点较多的楼层则在该层设立配线间。
5、干线子系统设计
干线子系统设计由连接主设备间与各治理子系统的室内干线电缆构成。数据主要从网络配线间向各个子配线间敷设12芯单模室内多模光纤。
6、设备间子系统设计
设备间子系统设计由设备间中的电缆、连接器和相关支撑硬件组 16 成,把公共系统(通讯系统,计算机系统和建筑自动化系统等)设备的各种不同设备互连起来。使用12芯单模室内多模光纤将其连接。
7、建筑群子系统设计
大中型企业网络设计与规划概述 篇3
关键词:企业网;拓扑结构;网络协议;服务器
中图分类号:TP393文献标识码:A文章编号:1007-9599 (2010) 06-0000-01
Overview of Network Design&Planning in Large and Medium-sized Enterprises
Zheng Chenxi,Shi Xiaozhuo,Li Yongliang
(Shenyang Aerospace University,ShenYang110136,China)
Abstract:The network brings the convenience to enterprises and new business opportunities,not only through the network enterprise products and technologies faster and get the latest information,and also will bring a wider market.For medium and large enterprises,set up for its own Internet site to the outside world through the network to understand business,or further through e-commerce network,has become a must step to modern enterprise.
Keywords:Enterprise network;Topology;Network protocol;Server
一、企业网设计原则
(一)坚持开放性原则,采用统一网络协议和接口标准,来实现企业内部异种机、异种网络的互连。
(二)坚持先进性原则, 采用当今较为成熟、先进的网络技术来进行网络的规则与设计,满足较长一段时期的需求。
(三)坚持易升级、易扩充的原则,统一规划,分步实施。
(四)坚持经济、实用、可靠的原则。
二、网络设备选型的原则
(一)稳定可靠的网络。网络的可靠运行取决于诸多因素,如网络的设计,产品的可靠,要求有物理层、数据链路层和网络层的备份技术。
(二)高带宽。要采用最先进的网络技术,以适应大量数据和多媒体信息的传输,既要满足目前的业务需求,又要充分考虑未来的发展。
(三)易扩展的网络。易扩展不仅仅指设备端口的扩展,还指网络结构的易扩展性。
(四)安全性。应支持VLAN的划分,并能在VLAN之间进行第三层交换时进行有效的安全控制。
(五)容易控制管理。做到既保证一定的用户通信质量,又合理的利用网络资源,是建好一个网络所面临的首要问题。
(六)符合IP发展趋势的网络。
三、主干网络技术选型
主干网络选择何种网络技术对网络建设的成功与否起着决定性的作用。目前的局域网技术主要包括:快速以太网、ATM(异步传输模式)、FDDI(光纤分布式数据接口)、千兆以太网等。
千兆以太网技术以简单的以太网技术为基础,为网络主干提供1Gbps的带宽。千兆以太网技术以自然的方法来升级现有的以太网络、工作站、管理工具和管理人员的技能。千兆以太网与其他速度相当的高速网络技术相比,价格低,同时比较简单。
千兆以太网通过载波扩展、采用集成中继、交换功能的网络设备以及多种激光器和光纤将连接距离扩展到从500米至3000米。千兆以太网能够提供更高的带宽。利用交换机或路由器可以与现有低速的以太网用户和设备连接起来,使得千兆位以太网相对于其他高速网络技术而言,在经济和管理性能方面都是较好的选择。
综述所述,千兆以太网以其在局域网领域中兼容以前的以太网标准、支持高带宽、多传输介质、多种服务、保证QoS等特点正逐渐占据主流位置。因此,大中型企业网络主干应选用千兆以太网技术。
四、网络拓扑规划
大中型企业办公区中心机房内安装多层交换机(Cisco Catalyst6509)作为整个企业网的核心,通过防火墙和路由器与互联网相连接。核心层在与访问层相连方面,考虑到其它分布层设备所处地理位置与中心机房相距较远,则核心层交换机分别以1000M 单模光纤与办公区、生产区、附属设施的访问层中端二层交换机连接。除此之外, 核心交换机各自还与其它相关的服务器相连其中Cisco Catalyst 6509 核心交换机负责连接应用服务器群。应用服务器群包括FTP 服务器、数据库服务器、电子邮件服务器、应用程序服务器等应用型服务器,用来为整个企业网及在互联网上提供各种常用的网络服务。访问层交换机作为企业内重点地区的网络核心,需兼顾到大流量和冗余性,因此重点地区的访问层交换机采用Cisco Catalyst 2950G-48 以太网交换机,均通过1000M 单模光纤同时和两台核心交换机互连以达到分布层与核心层的冗余。网络出口设备是企业内部网络与互联网〔Internet〕连接和数据来往的通道。由于企业网内部访问国际互联网的需求量大,这就决定了路由器需要稳定、可靠和高速。
五、结束语
本文着重论述了建设大中型企业网的目标、企业网的构建技术等关键问题,用好企业网的关键在于应用系统的建设,必须大力开发企业网的各项功能。企业网不只是涉及技术方面,而是包括网络设施、应用平台、信息资源等众多成份综合应用。
参考文献:
[1]王春海,张晓莉.企业网络应用解决方案一从需求分析到配置管理.北京科海电子出版社,2006
[2]武骏,程秀权.网络安全防范体系及设计原则.中国电信网,2008
[3]夏虹.路由器的登录访问与安全.网络安全技术与应用,2008
[4]邓文东.基于管理信息系统的企业网络设计与规划.仪器仪表用户,2003,10
无线技术企业企业无线网络设计 篇4
进入20世纪90年代以来, 随着个人数据通信的发展, 功能强大的便携式数据终端以及多媒体终端的广泛应用, 为了实现任何人在任何时间、任何地点均能实现数据通信的目标, 要求传统的计算机网络由有线向无线, 由固定向移动, 由单一业务向多媒体发展, 更进一步推动了无线局域网 (Wireless LAN, 以下简称无线LAN) 的发展。
无线LAN和个人通信网 (PCN) 代表了90年代通信网络技术的发展方向。PCN主要用于支持速率小于56kbit/s的语音/数据通信, 而无线LAN大多用于传输率大于1Mbit/s的局域和室内数据通信, 同时为未来多媒体应用 (语音、数据和图像) 提供了一种潜在的手段。无线LAN既可满足各类便携机的入网要求, 也可作为传统有线LAN的补充手段。
1.1 无线局域网的优势
对于局域网络管理主要工作之一, 对于铺设电缆或是检查电缆是否断线这种耗时的工作, 很容易令人烦躁, 也不容易在短时间内找出断线所在。再者, 由于配合企业及应用环境不断的更新与发展, 原有的企业网络必须配合重新布局, 需要重新安装网络线路, 虽然电缆本身并不贵, 可是请技术人员来配线的成本很高, 尤其是老旧的大楼, 配线工程费用就更高了。因此, 架设无线局域网络就成为最佳解决方案。
1.2 无线网络传输方式
常用的无线网络设备有网卡、AP、无线网桥和无线路由器等;无线网络产品的多种使用方法可以组合出适合各种情况的无线联网设计, 可以方便地解决许多以线缆方式难以联网的用户需求。无线网络应用的典型方式是:
1) 对等网方式
有2种形式, 把2个局域网相联, 或把1个远程站点联入1个局域网。如果是两个局域网相联, 则在两个局域网中分别接入无线路由器或无线网桥。
2) 无线HUB方式
在一个建筑物或不大的区域内有多个定点或移动点要联入一个局域网时, 可用此方式。要注意的是, 各站点要与无线HUB用相同的网络ID以顺利互通, 又要有各自的地址号以相区别。
3) 一点多址方式
当要把地理上有相当距离的多个局域网相联时, 则可在每个局域网中接入无线网桥。这时主站或转接站使用全向天线, 各从站视距离使用定向或全向天线与之相联。
4) 不同协议网络间互联
在联网的两边各用与当地网络环境和对方网络环境相配套的设备和相应的网络设置即可实现。其通信部分和前述的相同。
2 企业网建无线网的必要性与需求分析
2.1 项目背景及意义
无线局域网技术很早就已经有了, 但近期引起了人们特别的关注, 这和整个电信市场的发展有着密切的关系。一方面, 随着互联网的普及应用, 其潜在用户正在不断增长;另一方面, 人们对数据业务的重视程度也在不断增加。话音和数据这两大业务始终是电信运营业发展的关键业务, 目前电信运营商的业务收入主要靠话音业务来获得, 而未来的发展又离不开数据业务, 话音与数据, 现实与未来, 正在成为运营商们积极探索的两大领域。此外, 3G的发展也给电信来带来了新的机遇。从大的电信环境来分析, 这种关注是必然的。
正是由于无线局域网易于维护和使用费用低廉, 无线局域网或无线广域网在中小型公司和教育行业开始受到欢迎。
与企业内部无线局域网的应用模式不同的是, 作为企业无线局域网不再仅仅为用户提供简单的网络互连, 更重要的是实现WLAN的电信级运营, 因此要在无线局域网的基本架构的基础上添加计费、网管、认证等一系列网络实体。
2.2 用户需求
1) 连接企业内部所有部门的PC。
2) 通过权限设定用户浏览Internet, 同时接收、查询浏览国内外的资讯和电子邮件。
3) 提供丰富的网络服务, 实现广泛的软件, 硬件资源共享, 包括:提供基本的Internet网络服务功能:如电子邮件、文件传输、电子公告牌等。
4) 实现系统各个管理机构的办公自动化, 应具备内容:
·管理部门办公自动化系统实现局内的无纸化传输以及实现对全局内部业务流程的自动流转;信息系统的相关发布、查询;有效数据的收集、分析、辅助决策。
·确保权限使用的安全性, 文件的保密性, 以及物理, 网络, 服务器, 应用程序的安全性。
·在文件的审批过程中可以跟踪审批的进度、修改审批流程, 退回流程 (流程简单灵活) , 并可保留审批过程中的修改痕迹。
·实现局域网及互联网邮件系统的信息交换。
·系统实现自动处理信息的功能, 将工作人员从繁杂的劳动解脱出来。
·及时提醒功能的提升, 与手机短信等相结合, 保证工作人员无论身处何地都能及时收到工作上的紧急通知和重要消息。
3 无线局系统总体设计方案
3.1 系统结构及网络结构的设计
客户端可以是台式或笔记本电脑, PDA或802.11手机等等, 通过802.11a/b无线网卡与附近区域的无线接入点连接。接入点通过5类线缆与TFW8001访问服务器相连, 或经由交换机连入访问服务器。若干个访问服务器 (通常是每楼层一个或数个, 依用户多少而定) 通过线缆 (可能经过交换机或路由器) 连入中心控制管理器。
3.2 公司IP地址规划
企业内网IP划分方法:在IP地址规划时, 我们已经知道IP地址包括公网和专用 (私有) 两种类型, 公网IP地址又称为可全局路由的IP地址, 是在Internet中使用的IP地址, 目前对企业来说主要是ISP提供的一个或几个C类地址;而专用 (私有) IP地址则包括A、B和C类三种, 另外就是Microsoft Windows的APIPA预留的 (169.254.0.0--169.254.255.255) 网段地址。分配IP地址的方法有:1) 静态分配IP地址;2) 动态分配IP地址;3) 采用NAT (Network Address Translation, 网络地址转换) 方式。
3.3 网络设计的设备简介及选型
1) TFW 8001无线访问管理器
访问服务器可以监控无线子网上的情况。它强制用户进行认证网络访问权限, 从而使用户和访问管理者在一个无线网络的环境中安全的传输数据。采用了基于标准的加密方式, 以消除WEP和802.11的安全漏洞。
TFW 8001通过在每个连接在端口上的AP管理所有用户的会话和跟踪每一个网络连接的状态。同时使用户在不同AP之间漫游时继续采用原有的安全策略。TFW 8001无线访问管理器担任着安全管理和执行系统的角色, 防止未授权用户接入网络。
·使无线网络强制执行基于用户认证的访问方式;
·根据用户在中心管理器中设置的策略来检查或者过滤数据包;
·提供Airwave Security。这是一种安全隧道, 可以加密数据并能保护往来于终端设备的所有无线通信业务。
2) TFW8001控制服务器
TFW 8000无线中心管理器是一个适用于任意大小的无线网络的中心化安全配置和管理系统。它和无线访问管理器一起组成的清华同方无线网络系统–提供了保护, 管理和增强无线网络的最低总体拥有成本。
中心管理器的主要功能是可与一个或多个鉴权服务器合作来鉴权要登陆网络的用户。这使得普通的鉴权服务器可被用于有线和无线用户。使用一体化权限管理器以提供定义策略的架构, 策略控制谁可以访问特定的网络资源的, 何时可以访问和多长时间。这独特的能力使得网络管理员可以在需要时实施所需的安全级别。也可以用中心管理器内嵌的数据库进行基于用户/组的鉴权。
4 无线局域网的安全管理
为了使授权电脑可以访问网络而非法用户无法截取网络通信, 无线网络安全就显得至关重要。
1) 无线身份认证
传统的有线网络使用“用户名和密码”进行身份认证已经有很多年了。CHAP、MSCHAP、MS-CHAPV2和EAP-MD5查询是有线和拨号基础设施中经常使用的密码查询机制。这些身份认证系统基于一个密码散列以及身份认证服务器发出的随机查询。通过捕获或侦听广播频率中的身份认证数据包, 黑客们可以使用常见的字典攻击工具来发现空中传输的密码, 通过中间人攻击来窃取会话信息, 或尝试进行重放攻击。
因为有线网络中使用的身份认证方法存在的缺陷可以在无线网络中很容易地被利用, 所以IETF和IEEE标准委员会已经与领先的无线供应商合作, 建立更可靠的无线身份认证方法。IEEE802.1x就是目前一种最主要的无线身份认证标准。
2) 802.1xWiFi身份认证
802.1x使用一个外部身份认证服务器 (通常是RADIUS) 对客户端进行身份认证。目前, 除了执行简单的用户身份认证外, 一些无线产品已经开始使用身份认证服务器来提供用户策略或用户控制功能。这些高级功能可能包括动态VLAN分配和动态用户策略。
摘要:随着信息技术的飞速发展和我国国民经济信息化的推进, 在企业、公司、政府内全面实现信息电子化交换和信息资源共享成为必要。使用无线局域网产品可以实现建筑群网络连接、宽带互连网络接入以及移动获取网络服务等功能。无线网络产品具有传输距离远、可以在建筑物之间或建筑物内施工困难的环境下使用、支持移动漫游等特点, 因此可以使用它来替代传统的电信线缆来构建未来的教育网络。该文对无线技术企业无线网络进行详细设计, 无线网络的基础入手, 介绍了无线网络的作用, 该企业的概况及对企业无线网络进行了详细规划, 着重介绍了无线局域网网络的管理和使用方面。
关键词:网络,局域网,无线网络,管理
参考文献
[1]吴彦文, 刘方, 周光钥.固定宽带无线接入技术[M].北京:北京邮电大学出版社, 2004.
[2]Michael P, Robert B S.局域网与广域网设计与实现[M].杨继萍, 黄开枝, 译.北京:清华大学出版社, 2004.
[3]赵腾任, 孙江宏.网络工程与综合布线培训教程[M].北京:清华大学出版社, 2003.
[4]郭诠水, 王宝智.全新计算机网络工程教程[M].北京:北京希望电子出版社, 2001.
[5]张蒲生, 肖洪生.计算机网络技术[M].北京:科学出版社, 2004.
企业网络安全设计方案论文 篇5
企业网络设计方案
关键字:网络,安全,VPN,防火墙,防病毒
班 级:AY 姓 名:AY 日 期:2016-05-19
目 录
摘 要..........................................................3 第一章 企业网络安全概述........................................4 1.1 企业网络的主要安全隐患...................................4 1.2 企业网络的安全误区.......................................4 第二章 企业网络安全现状分析...................................6 2.1 公司背景.................................................6 2.2 企业网络安全需求.........................................6 2.3 需求分析.................................................6 2.4 企业网络结构.............................................7 第三章 企业网络安全解决实施....................................9 3.1物理安全..................................................9 3.2企业网络接入配置.........................................10 3.3网络防火墙配置...........................................13 3.4配置验证查看.............................................21 3.5网络防病毒措施...........................................24 总 结........................................................26
摘 要
近几年来,Internet技术日趋成熟,已经开始了从以提供和保证网络联通性为主要目标的第一代Internet技术向以提供网络数据信息服务为特征的第二代Internet技术的过渡。这些都促使了计算机网络互联技术迅速的大规模使用。众所周知,作为全球使用范围最大的信息网,Internet自身协议的开放性极大地方便了各种计算机连网,拓宽了共享资源。但是,由于在早期网络协议设计上对安全问题的忽视,以及在管理和使用上的无政府状态,逐渐使Internet自身安全受到严重威胁,与它有关的安全事故屡有发生。网络安全的威胁主要表现在:非授权访问,冒充合法用户,破坏数据完整性,干扰系统正常运行,利用网络传播病毒,线路窃听等方面。因此本论文为企业构架网络安全体系,主要运用vlan划分、防火墙技术、vpn、病毒防护等技术,来实现企业的网络安全。
第一章 企业网络安全概述
1.1 企业网络的主要安全隐患
现在网络安全系统所要防范的不再仅是病毒感染,更多的是基于网络的非法入侵、攻击和访问,同时企业网络安全隐患的来源有内、外网之分,很多情况下内部网络安全威胁要远远大于外部网络,因为内部中实施入侵和攻击更加容易,企业网络安全威胁的主要来源主要包括。
1)病毒、木马和恶意软件的入侵。2)网络黑客的攻击。
3)重要文件或邮件的非法窃取、访问与操作。4)关键部门的非法访问和敏感信息外泄。5)外网的非法入侵。
6)备份数据和存储媒体的损坏、丢失。
针对这些安全隐患,所采取的安全策略可以通过安装专业的网络版病毒防护系统,同时也要加强内部网络的安全管理,配置好防火墙过滤策略和系统本身的各项安全措施,及时安装系统安全补丁,有条件的还可以在内、外网之间安装网络扫描检测、网络嗅探器、IDS、IPS系统,甚至配置网络安全隔离系统,对内、外网络进行安全隔离;加强内部网络的安全管理,严格实行“最小权限”原则,为各个用户配置好恰当的用户权限;同时对一些敏感数据进行加密保护,对数据还可以进行数字签名措施;根据企业实际需要配置好相应的数据策略,并按策略认真执行。
1.2 企业网络的安全误区
(一)安装防火墙就安全了
防火墙主要工作都是控制存取与过滤封包,所以对DoS攻击、非法存取与篡改封包等攻击模式的防范极为有效,可以提供网络周边的安全防护。但如果攻击行为不经过防火墙,或是将应用层的攻击程序隐藏在正常的封包内,便力不从心了,许多防火墙只是工作在网络层。
防火墙的原理是“防外不防内”,对内部网络的访问不进行任何阻挠,而事实上,企业网络安全事件绝大部分还是源于企业内部。
(二)安装了最新的杀毒软件就不怕病毒了
安装杀毒软件的目的是为了预防病毒的入侵和查杀系统中已感染的计算机病毒,但这并不能保证就没有病毒入侵了,因为杀毒软件查杀某一病毒的能力总是滞后于该病毒的出现。
(三)在每台计算机上安装单机版杀毒软件和网络版杀毒软件等效
网络版杀毒软件核心就是集中的网络防毒系统管理。网络版杀毒软件可以在一台服务器上通过安全中心控制整个网络的客户端杀毒软件同步病毒查杀、监控整个网络的病毒。同时对于整个网络,管理非常方便,对于单机版是不可能做到的。
(四)只要不上网就不会中毒
虽然不少病毒是通过网页传播的,但像QQ聊天接发邮件同样是病毒传播的主要途径,而且盗版光盘以及U盘等也会存在着病毒。所以只要计算机开着,就要防范病毒。
(五)文件设置只读就可以避免感染病毒
设置只读只是调用系统的几个命令,而病毒或黑客程序也可以做到这一点,设置只读并不能有效防毒,不过在局域网中为了共享安全,放置误删除,还是比较有用的。
(六)网络安全主要来自外部
基于内部的网络攻击更加容易,不需要借助于其他的网络连接方式,就可以直接在内部网络中实施攻击。所以,加强内部网络安全管理,特别是用户帐户管理,如帐户密码、临时帐户、过期帐户和权限等方面的管理非常必要了。
第二章 企业网络安全现状分析
2.1 公司背景
XX科技有限公司是一家有100名员工的中小型科技公司,主要以软件应用开发为主营项目的软件企业。公司有一个局域网,约100台计算机,服务器的操作系统是 Windows Server 2008,客户机的操作系统是 Windows 7,在工作组的模式下一人一机办公。公司对网络的依赖性很强,主要业务都要涉及互联网以及内部网络。随着公司的发展现有的网络安全已经不能满足公司的需要,因此构建健全的网络安全体系是当前的重中之重。
2.2 企业网络安全需求
XX科技有限公司根据业务发展需求,建设一个小型的企业网,有Web、Mail等服务器和办公区客户机。企业分为财务部门和业务部门,需要他们之间相互隔离。同时由于考虑到Inteneter的安全性,以及网络安全等一些因素,如DDoS、ARP等。因此本企业的网络安全构架要求如下:
(1)根据公司现有的网络设备组网规划(2)保护网络系统的可用性(3)保护网络系统服务的连续性
(4)防范网络资源的非法访问及非授权访问(5)防范入侵者的恶意攻击与破坏
(6)保护企业信息通过网上传输过程中的机密性、完整性(7)防范病毒的侵害(8)实现网络的安全管理。
2.3 需求分析
通过了解XX科技有限公司的需求与现状,为实现XX科技有限公司的网络安全建设实施网络系统改造,提高企业网络系统运行的稳定性,保证企业各种设计信息的安全性,避免图纸、文档的丢失和外泄。通过软件或安全手段对客户端的计算机加以保护,记录用户对客户端计算机中关键目录和文件的操作,使企业有手段对用户在客户端计算机的使用情况进行追踪,防范外来计算机的侵入而造成破坏。通过网络的改造,使管理
者更加便于对网络中的服务器、客户端、登陆用户的权限以及应用软件的安装进行全面的监控和管理。因此需要
(1)构建良好的环境确保企业物理设备的安全(2)划分VLAN控制内网安全(3)安装防火墙体系
(4)建立VPN(虚拟专用网络)确保数据安全(5)安装防病毒服务器(6)加强企业对网络资源的管理
2.4 企业网络结构
网络拓扑图,如下图所示:
总部网络情况:
防火墙FW1作为出口NAT设备,从网络运营商处获得接入固定IP为202.10.1.2/30,网关IP为202.10.1.1/30,经由防火墙分为DMZ区域和trust区域。
防火墙上FW1做NAT转换。分配给trust区域的地址为10.1.1.0 /24,通过FW1上GE0/0/0端口连接网络,接口地址为10.1.1.1/24。DMZ内主要有各类的服务器,地址分配为10.1.2.0 /24。通过FW1上GE0/0/1端口连接网络,接口地址为10.1.2.1 /24。
建立IPSec隧道,使总部和分支可以互访。
分部网络情况:
防火墙FW2作为出口NAT设备,从网络运营商处获得接入固定IP为202.20.1.2/30,网关IP为202.20.1.1/30。通过FW1上GE0/0/1端口连接内部网络,接口地址为10.1.1.1/24。
建立IPSec隧道,使分部和总部可以互访。
第三章 企业网络安全解决实施
3.1物理安全
企业网络中保护网络设备的物理安全是其整个计算机网络系统安全的前提,物理安全是指保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故、人为操作失误或各种计算机犯罪行为导致的破坏。
针对网络的物理安全主要考虑的问题是环境、场地和设备的安全及物理访问控制和应急处置计划等。物理安全在整个计算机网络信息系统安全中占有重要地位。它主要包括以下几个方面: 1)保证机房环境安全
信息系统中的计算机硬件、网络设施以及运行环境是信息系统运行的最基本的环境。要从一下三个方面考虑:a.自然灾害、物理损坏和设备故障 b.电磁辐射、乘机而入、痕迹泄漏等 c.操作失误、意外疏漏等 2)选用合适的传输介质
屏蔽式双绞线的抗干扰能力更强,且要求必须配有支持屏蔽功能的连接器件和要求介质有良好的接地(最好多处接地),对于干扰严重的区域应使用屏蔽式双绞线,并将其放在金属管内以增强抗干扰能力。
光纤是超长距离和高容量传输系统最有效的途径,从传输特性等分析,无论何种光纤都有传输频带宽、速率高、传输损耗低、传输距离远、抗雷电和电磁的干扰性好保密性好,不易被窃听或被截获数据、传输的误码率很低,可靠性高,体积小和重量轻等特点。与双绞线或同轴电缆不同的是光纤不辐射能量,能够有效地阻止窃听。3)保证供电安全可靠
计算机和网络主干设备对交流电源的质量要求十分严格,对交流电的电压和频率,对电源波形的正弦性,对三相电源的对称性,对供电的连续性、可靠性稳定性和抗干扰性等各项指标,都要求保持在允许偏差范围内。机房的供配电系统设计既要满足设备自身运转的要求,又要满足网络应用的要求,必须做到保证网络系统运行的可靠性,保证设备的设计寿命保证信息安全保证机房人员的工作环境。
3.2企业网络接入配置
VLAN技术能有效隔离局域网,防止网内的攻击,所以部署网络中按部门进行了VLAN划分,划分为以下两个VLAN:
业务部门 VLAN 10
交换机SW1接入核心交换机 财务部门 VLAN 20
交换机SW2接入核心交换机 核心交换机 VLAN间路由 核心交换机HSW1 核心交换机HSW1配置步骤: 1)建立VLAN 10 20 100 2)GE0/0/1加入vlan10, GE0/0/2加入vlan30, GE0/0/24加入vlan100 3)建立SVI并配置相应IP地址: Vlanif10:192.168.1.1/24 Vlanif20:192.168.2.1/24 Vlanif100:10.1.1.2/24 4)配置RIP路由协议:
Network 192.168.1.0 Network 192.168.2.0 Network 10.1.1.0 5)配置ACL拒绝其它部门对财务部访问,outbound→GE0/0/2。
详细配置:
# sysname HSW1 # info-center source DS channel 0 log state off trap state off # vlan batch 10 20 100 # cluster enable ntdp enable ndp enable # drop illegal-mac alarm # dhcp enable # diffserv domain default
# acl number 3001 rule 5 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 rule 15 deny ip source 20.0.0.0 0.255.255.255 destination 192.168.2.0 0.0.0.255 # traffic classifier tc1 operator and if-match acl 3001 # traffic behavior tb1 deny # traffic policy tp1 classifier tc1 behavior tb1 # drop-profile default # ip pool qqww gateway-list 192.168.1.1 network 192.168.1.0 mask 255.255.255.0 excluded-ip-address 192.168.1.254 # ip pool vlan20 gateway-list 192.168.2.1 network 192.168.2.0 mask 255.255.255.0 excluded-ip-address 192.168.2.200 192.168.2.254 # aaa authentication-scheme default authorization-scheme default accounting-scheme default domain default domain default_admin local-user admin password simple admin local-user admin service-type http # interface Vlanif1 # interface Vlanif10 ip address 192.168.1.1 255.255.255.0 dhcp select global # interface Vlanif20 ip address 192.168.2.1 255.255.255.0 dhcp select global
# interface Vlanif100 ip address 10.1.1.2 255.255.255.0 # interface MEth0/0/1 # interface GigabitEthernet0/0/1 port link-type access port default vlan 10 # interface GigabitEthernet0/0/2 port link-type access port default vlan 20 traffic-policy tp1 outbound # interface GigabitEthernet0/0/3 # interface GigabitEthernet0/0/4 # interface GigabitEthernet0/0/5 # interface GigabitEthernet0/0/6 # interface GigabitEthernet0/0/7 # interface GigabitEthernet0/0/8 # interface GigabitEthernet0/0/9 # interface GigabitEthernet0/0/10 # interface GigabitEthernet0/0/11 # interface GigabitEthernet0/0/12 # interface GigabitEthernet0/0/13 # interface GigabitEthernet0/0/14 # interface GigabitEthernet0/0/15 # interface GigabitEthernet0/0/16 # interface GigabitEthernet0/0/17 # interface GigabitEthernet0/0/18
# interface GigabitEthernet0/0/19 # interface GigabitEthernet0/0/20 # interface GigabitEthernet0/0/21 # interface GigabitEthernet0/0/22 # interface GigabitEthernet0/0/23 # interface GigabitEthernet0/0/24 port link-type access port default vlan 100 # interface NULL0 # rip 1 version 2 network 192.168.1.0 network 192.168.2.0 network 10.0.0.0 # ip route-static 0.0.0.0 0.0.0.0 10.1.1.1 # user-interface con 0 user-interface vty 0 4 # port-group de # return 3.3网络防火墙配置
防火墙FW1基本配置步骤:
1)配置GE0/0/0的IP地址10.1.1.1/24,并加入TRUST区域;
配置GE0/0/1的IP地址10.1.2.1/24,并加入DMZ区域;
配置GE0/0/2的IP地址202.10.1.2/30,并加入UNTRUST区域;
2)配置允许安全区域间包过滤。3)配置RIP路由协议:
Network 10.0.0.0 Network 202.10.1.0
4)配置NAT,出口GE0/0/2。
5)配置总部至分部的点到点IPSce隧道:
配置ACL,匹配IPSec流量 配置IPSec安全提议1 配置IKE安全提议 配置IKE PEER 配置IPSec安全策略 在接口GE 0/0/2上应用策略
详细配置:
# CLI_VERSION=V300R001
# Last configuration was changed at 2016/05/18 16:22:21 from console0 #*****BEGIN****public****# # stp region-configuration region-name b05fe31530c0 active region-configuration # acl number 3002 rule 5 permit ip source 192.168.0.0 0.0.255.255 destination 20.1.0.0 0.0.255.255 rule 10 permit ip source 10.1.0.0 0.0.255.255 destination 20.1.0.0 0.0.255.255 # ike proposal 1 # ike peer 1 exchange-mode aggressive pre-shared-key %$%$UPiwVOh!8>qmd(CFw@>F+,#w%$%$ ike-proposal 1 remote-address 202.20.1.2 # ipsec proposal 1 # ipsec policy map 1 isakmp security acl 3002 ike-peer 1 proposal 1 # interface GigabitEthernet0/0/0 alias GE0/MGMT
ip address 10.1.1.1 255.255.255.0 # interface GigabitEthernet0/0/1 ip address 10.1.2.1 255.255.255.0 # interface GigabitEthernet0/0/2 ip address 202.10.1.2 255.255.255.252 ipsec policy map # interface GigabitEthernet0/0/3 # interface GigabitEthernet0/0/4 # interface GigabitEthernet0/0/5 # interface GigabitEthernet0/0/6 # interface GigabitEthernet0/0/7 # interface GigabitEthernet0/0/8 # interface NULL0 alias NULL0 # firewall zone local set priority 100 # firewall zone trust set priority 85 add interface GigabitEthernet0/0/0 # firewall zone untrust set priority 5 add interface GigabitEthernet0/0/2 # firewall zone dmz set priority 50 add interface GigabitEthernet0/0/1 # aaa local-user admin password cipher %$%$I$6`RBf34,paQv9B&7i4*“vm%$%$ local-user admin service-type web terminal telnet local-user admin level 15 authentication-scheme default # authorization-scheme default
# accounting-scheme default # domain default # # rip 1 version 2 network 10.0.0.0 network 202.10.1.0 # nqa-jitter tag-version 1 # banner enable # user-interface con 0 authentication-mode none user-interface vty 0 4 authentication-mode none protocol inbound all # slb # right-manager server-group # sysname FW1 # l2tp domain suffix-separator @ # firewall packet-filter default permit interzone local trust direction inbound firewall packet-filter default permit interzone local trust direction outbound firewall packet-filter default permit interzone local untrust direction outbound firewall packet-filter default permit interzone local dmz direction outbound # ip df-unreachables enable # firewall ipv6 session link-state check firewall ipv6 statistic system enable # dns resolve #
firewall statistic system enable # pki ocsp response cache refresh interval 0 pki ocsp response cache number 0 # undo dns proxy # license-server domain lic.huawei.com # web-manager enable # policy interzone local untrust inbound policy 1 action permit # policy interzone local dmz inbound policy 1 action permit # policy interzone trust untrust inbound policy 1 action permit # policy interzone trust untrust outbound policy 1 action permit # policy interzone trust dmz inbound policy 1 action permit # policy interzone trust dmz outbound policy 1 action permit # nat-policy interzone trust untrust outbound policy 1 action source-nat policy source 192.168.0.0 0.0.255.255 policy source 10.1.0.0 0.0.255.255 easy-ip GigabitEthernet0/0/2 # return #-----END----#
防火墙FW2基本配置步骤如下:
1)配置GE0/0/0的IP地址202.20.1.2/30,并加入UNTRUST区域;
配置GE0/0/1的IP地址20.1.1.1/24,并加入TRUST区域;
2)配置允许安全区域间包过滤。3)配置RIP路由协议:
Network 20.0.0.0 Network 202.10.1.0 4)配置NAT,出口GE0/0/0。
5)配置分部至总部的点到点IPSce隧道:
配置ACL,匹配IPSec流量 配置IPSec安全提议1 配置IKE安全提议 配置IKE PEER 配置IPSec安全策略 在接口GE 0/0/2上应用策略
详细配置:
# CLI_VERSION=V300R001 # Last configuration was changed at 2016/05/18 16:22:59 from console0 #*****BEGIN****public****# # stp region-configuration region-name 405fd915c0bf active region-configuration # acl number 3002 rule 5 permit ip source 20.1.0.0 0.0.255.255 destination 10.1.0.0 0.0.255.255 rule 10 permit ip source 20.1.0.0 0.0.255.255 destination 192.168.0.0 0.0.255.255 # ike proposal 1 # ike peer 1 exchange-mode aggressive pre-shared-key %$%$;3C|#{7eS#uD2wS|”x<6+=4+%$%$ ike-proposal 1 remote-address 202.10.1.2 #
ipsec proposal 1 # ipsec policy map 1 isakmp security acl 3002 ike-peer 1 proposal 1 # interface GigabitEthernet0/0/0 alias GE0/MGMT ip address 202.20.1.2 255.255.255.252 ipsec policy map # interface GigabitEthernet0/0/1 ip address 20.1.1.1 255.255.255.0 # interface GigabitEthernet0/0/2 # interface GigabitEthernet0/0/3 # interface GigabitEthernet0/0/4 # interface GigabitEthernet0/0/5 # interface GigabitEthernet0/0/6 # interface GigabitEthernet0/0/7 # interface GigabitEthernet0/0/8 # interface NULL0 alias NULL0 # firewall zone local set priority 100 # firewall zone trust set priority 85 add interface GigabitEthernet0/0/1 # firewall zone untrust set priority 5 add interface GigabitEthernet0/0/0 # firewall zone dmz set priority 50 #
aaa local-user admin password cipher %$%$dJ“t@”DxqH@383<@pQl#*~6-%$%$ local-user admin service-type web terminal telnet local-user admin level 15 authentication-scheme default # authorization-scheme default # accounting-scheme default # domain default # # rip 1 version 2 network 202.20.1.0 network 20.0.0.0 # nqa-jitter tag-version 1 # banner enable # user-interface con 0 authentication-mode none user-interface vty 0 4 authentication-mode none protocol inbound all # slb # right-manager server-group # sysname FW2 # l2tp domain suffix-separator @ # firewall packet-filter default permit interzone local trust direction inbound firewall packet-filter default permit interzone local trust direction outbound firewall packet-filter default permit interzone local untrust direction outbound firewall packet-filter default permit interzone local dmz direction outbound #
ip df-unreachables enable # firewall ipv6 session link-state check firewall ipv6 statistic system enable # dns resolve # firewall statistic system enable # pki ocsp response cache refresh interval 0 pki ocsp response cache number 0 # undo dns proxy # license-server domain lic.huawei.com # web-manager enable # policy interzone local untrust inbound policy 1 action permit # policy interzone local dmz inbound policy 1 action permit # policy interzone trust untrust inbound policy 1 action permit # policy interzone trust untrust outbound policy 1 action permit # return #-----END----# 3.4配置验证查看
验证路由:
连通性测试
分部网络至总部业务部网络正常连通,至服务器网络正常连通:
分部网络至总部财务部网络不能到达:
3.5网络防病毒措施
针对网络的现状,在综合考虑了公司对防病毒系统的性能要求、成本和安全性以后,我选用瑞星杀毒软件网络版来在内网中进行防病毒系统的建立。产品特点: 瑞星杀毒软件网络版是为各种简单或复杂网络环境设计的计算机病毒网络防护系统,即适用于包含若干台主机的单一网段网络,也适用于包含各种WEB服务器、邮件服务器、应用服务器,以及分布在不同城市,包含数十万台主机的超大型网络。网络版具有以下显著特点:
(1)先进的体系结构(2)超强的杀毒能力(3)完备的远程控制(4)方便的分级、分组管理
网络瑞星杀毒软件网络版的主控制中心部署在DMZ服务器区,子控制中心部署在核心层交换机的一台服务器上。
控制中心负责整个网络版的管理与控制,是整个网络版的核心,在部署网络时,必须首先安装。除了对网络中的计算机进行日常的管理与控制外,它还实时地记录着 网络版防护体系内每台计算机上的病毒监控、查杀病毒和升级等信息。在1个网段内仅允许安装1台控制中心。根据控制中心所处的网段的不同,可以将控制中心划分为主控制中心和子控制中心,子控制中心除了要 完成控制中心的功能外,还要负责与它的上级——主控制中心进行通信。这里的“主”和“子”是一个 相对的概念:每个控制中心对于它的下级的网段来说都是主控制中心,对于它的上级的网段来说又是子控制中心,这种控制结构可以根据网络的需要无限的延伸下去。
为企业网络安装好网络版杀毒软件后,为期配置软件的安全策略。对企业客户端计算机的软件实现更为完善的远程控制功能,利用软件控制中心的“策略设置”功能组来实现。在此功能中可以针对单一客户端、逻辑组、全网进行具有针对性的安全策略设置。在“策略设置”下拉菜单中,我们可以找到“扫描设置”、“反垃圾邮件”、“网址过滤”等与平时安全应用密切相关的各项应用配置选项。
为企业网络 网络版杀毒软件配置“扫描设置”,扫描设置可对当前选择的任意组或者任意节点的客户端进行更加细化的扫描设置。企业可以自己设定适合于自己网络环境的扫描方案,针对不同的策略对不同的客户端进行分发不同的扫描命令。可以下发以下命令到节点计算机:扫描目标,定时扫描,分类扫描,不扫描文件夹,扫描报告,简单而实用的设置页大大的增加了网络管理的易用性。
总 结
随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。此时,它关心的对象是那些无权使用,但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题,以及发送者是否曾发送过该条消息的问题。
企业网络设计 篇6
一、新型网络化企业组织的内涵和表现
随着信息技术的日益发展和广泛应用,企业的运营突破以往的明确边界,纷纷利用发达的信息和通讯技术,实现了企业组织形式的变革,形成了虚拟企业和供应链等新型网络化的组织[1]。
美国学者Preiss、Goldman和Nagel在1991年首先提出了虚拟企业的概念,在题为《21世纪制造企业研究:一个工业主导的观点》的研究报告中指出:在市场变化加快、全球性竞争日益激烈的情况下,单个企业仅仅依靠自己内部资源的整合已难以满足快速变化的市场需求。1993年Byrne指出虚拟企业是多个企业快速形成的、暂时的公司联盟,以把握快速变化的机遇。联盟中每一个伙伴各自在诸如设计、制造、分销等领域为联盟贡献出自己的核心能力,并相互联合起来实现技能共享和成本分担,以把握快速变化的市场机遇。
根据Lee & Billington (1993),供应链是一种功能网络模型,由原材料、零部件供应商、产品的制造商、分销商和零售商到最终用户的价值链组成,完成由顾客需求开始到提供给顾客所需的产品与服务的整个过程。
虚拟企业和供应链是不同视角上看待新型组织的概念:前者是从组织的实体化和存续空间上看;而后者主要是从客户立场,从产品流动和服务提供的角度形成的术语。实质上,它们都是用来指企业与企业之间的合作伙伴关系,为了满足市场需求,不同的独立公司合作分享各自的竞争力和资源,形成的位于市场交易和层级组织之间的各种合作关系的连续统一体。在这里我们将其统称为新型网络化企业组织。
二、新型网络化企业组织的特点及其对成本绩效的影响
美国会计学家Michael Chatfield指出会计是反应性的,作为会计子系统的成本核算体系也是如此,它是对企业组织运营活动投入和价值功效的一种反应,并且要与组织的发展与特点密切配合才能提供决策有用的信息。
(一)网络化企业组织与传统型企业组织比较
同传统的企业组织相比较,虚拟企业/供应链等网络化组织在战略形成、战术决策、营运控制、物流采购、知识管理和信息技术等六个方面呈现出截然不同的特点,如表1所示:
(二)新型企业组织的成本特点
基于上述分析,与传统制造模式下的成本管理相比,新型网络化组织模式下成本发生的范围表现出以下特点:
1.成本发生空间的扩展。在新型网络化组织模式下,企业边界呈现出模糊的特点,导致了成本发生空间的扩展,从企业内部扩展到以产品为中心而构成的整个企业内外部环境。要求现代制造模式下的成本管理必须突破原有企业边界的限制,着眼并作用于整个动态企业联盟。
2.对象空间的变化。新型网络化组织模式强调并在客观上建立了新型的供需关系,制造商、供应商、分销商之间构成“风险共担、利益共享”的利益共同体。制造商、供应商、采购方之间的关系发生了根本性改变,在“选择—被选择”或“接受—被接受”的制约关系基础上增加了“共同协商、共同制定成本目标、共同解决成本问题”的协作关系,形成了“制约+协作”的新型关系。
3.过程空间的变化。新型网络化组织模式下,产品更新换代速度加快,产品生命周期缩短,生命周期中各环节相关性进一步加强,需要观察产品生命周期成本不断延长。因此,除制造过程之外,新模式下的成本管理更注重对产品生命周期全过程的集成化管理与控制。
4.响应空间的变化。新型网络化组织模式下,企业面对动态多变、调整频繁的企业内部环境和外部环境,因而对成本发生的认知需要有敏锐的感知能力、敏捷的动态响应能力和持续的动态适应能力,从传统的被动响应跃升到自觉、自为的敏捷响应。
三、传统成本系统的不适应性分析
在新型网络化组织环境下,产品的设计开发、生产、运输、分销和服务是由供应链成员企业共同完成的,产品成本是由分布在整个供应链范围内的全体成员共同保证和实现的。传统的成本控制方法在新的经济环境下具有明显的缺陷:
(一)从观念上分析,它保持着传统的成本观念,认为成本管理就是控制产品的生产成本。企业的成本控制范围只限于生产耗费的活动,而且没有用战略的观念来指导成本管理。成本管理活动具有层次性和整体性,新型网络化组织的整体性体现在企业自身流通环节的整合和企业与上下游企业间的整合两个方面。它要求企业必须在三个层次上权衡企业的成本,即战略层次、战术层次与作业层次。
(二)从范围上分析,传统的成本管理方法局限于本企业内部,没有结合上游供应商与下游销售商的情况进行成本管理,也就是没有从供应链的角度,站在一个更高的层次来进行成本管理。
(三)从核算内容看,传统的成本核算体系提供的是部门水平的材料、工资和折旧信息,它并不能提供最具潜能作业的有用信息,以实现组织整体业绩的提高。
(四)从功能实现看,传统的成本体系受控于组织的功能性分类,它们使用成本差异作为关键的绩效测度手段;并且,建立在功能部门基础上的间接费用报告不能提供每一项工作效果如何,也不能捕捉和描述每一个工作人员的贡献信息;重局部轻整体的特性往往引起 “非理性行为”,即提升部门的业绩而损害了组织整体的绩效。
四、基于价值创造的成本系统在新型企业组织中的构建
结合新型企业组织的特征,在开发新成本核算系统上需要注意:由于虚拟企业和供应链分布的特性,作业很难进行跟蹤;许多间接成本将会变成直接成本,一些直接成本可能变成了间接成本;物流成本将占全部成本的很大比例;许多成本隐藏起来,以至于很难测度;信息技术成本在虚拟企业和供应链环境下将会占有较大的比例,是成本管控的一个关键点。
作为对急剧的企业环境变化所产生压力的响应,指导企业运作的方法需要不断地演化。企业要想实现生存乃至繁荣发展,作为价值尺度上衡量企业功效的成本核算系统就必须具有前摄性功能而非事后反映性的,是面向价值创造而非基于历史耗费确认目的的。这种基于价值创造的成本系统(VBC)可以考虑按照以下若干步骤建立:
1.VBC系统目标的确立
VBC系统的基本目标包括:①鼓励对市场、客户和合作伙伴前摄性而非后摄性的反应;②促进敏捷、快速响应;③创造财富等。
2.建立VBC团队
建立一个包括来自不同学科、构成虚拟组织/供应链的不同公司的成员。团队的规模有赖于组织的规模、项目完成的紧迫性和职员的可用性。团队成员应当得到高层成员的全力支持,只有高层确信新系统更优,他们才能取得必要的知识和经验并致力于系统的成功开发。
3.识别价值创造的区域(VCAs)和关键成功因素(CSF)
价值创造领域(VCAs)是增加产品与服务价值(客户角度)乃至组织价值的一系列过程和程序。它们是满足内部和外部客户的任务的集合体。关键成功因素(CSF)是MIT 教授John Rockart于20世纪70年代末提出的一种信息系统规划方法,是组织为了获得高绩效,必须给与特殊和持续关注的管理问题和组织领域。识别关键成功因素确立了系统的结构和范围,能够帮助会计人员确认在企业的相关领域正在发生什么,以此确保成本核算系统是建立在真实基础上的。
4.识别关键成功因素的驱动因子
CSF的驱动因子是对与CSF或VCA相关的成本和绩效能产生直接影响的那些因素。它为CSF成本池中一个会计期间的成本变化提供了最好的解释。CSF/VCA的驱动因子可以被定义为引起VCA成本发生变化一切因素,最基本的成本驱动因子是资源和作业之间的“环”,它们使会计总账上的成本与作业连接起来。产品成本的准确性依赖于CSF驱动因子。每一区域的成本是基本的驱动因子成本的集合,而产品成本又是区域成本的集合。
5.关键成功因素成本池
CSF成本池是与特定的CSF相关的全部成本。每一项CSF的驱动因子都转化成了CSF池里的成本元素。如果依照成本因子来确定CSF的全部成本,那么每一个CSF所有的成本就可以直接归入CSF成本池里。如果有一些资源是由几个CSFs共享,那么分摊的措施就变得十分有必要,而分摊的基础应尽可能地反应作业所耗费共同资源的程度。
6.将VCAs、CSF与成本对象相连接
成本对象居于VBC系统成本分配视图的底端,它可以是任何顾客、产品、服务、合同、项目或是其他独立测定成本的工作单元。许多公司具有两层级的成本对象,一是产品层,另一个则是客户层面的,理想的成本对象是销售给顾客的“产品”层面。将区域的CSF/VCA成本和影响产品成本的作业联系起来,是VBC系统中产品成本测度的基础。
五、结语
按照上述步骤设计好VBC系统,然后就是在企业组织中推行。实施中需要注意以下方面:成功的推行VBC系统,需要对使用者进行培训以便他们理解从VBC系统获得的信息,以及如何将这些信息应用于决策,产生精致的、技术强大的解决方案,达到改变行为和提升组织业绩的目的;VBC系统的实施必然会影响组织及其伙伴的许多方面,特别是它对员工和组织关系的影响上。因此新系统成功实施必须对许多潜在冲突加以全面的考虑。
参考文献:
[1] 张钢. 企业组织网络化发展[M], 杭州:浙江大学出版社, 2005
[2]殷俊明, 王平心等.供应链成本管理:发展过程与理论结构[J]. 会计研究, 2006, (10)
[3]贺卫, 彭驰. 供应链的交易成本分析及供產双方的博弈[J]. 财经科学, 2007, (5)
[4]Gunasekaran A., James Williams H.. Performance measurement and costing system in new enterprise [J]. Technovation, 2005, (25):523~533
本文是安徽省教育厅人文社会科学研究项目(2002JW094), 安徽省青年教师科研资助计划项目(2005JQW062)的阶段性成果。
企业网络安全设计研究 篇7
企业的发展总是伴随着大量的机密商业信息, 例如, 客户信息, 会计信息, 各类活动规划实施方案等, 所有此类关系到企业利益的信息, 其信息量巨大, 如果使用传统方式收集这些数据必然浪费大量的人力物力。因此寻找一条适合的收集途径便成了各大企业关心的问题。
1、企业网络现状分析
公司的发展壮大使其企业布局发生了巨大的变化。随着公司发展, 需要重新规划其网络结构。存在着远端数据收集困难, 病毒威胁、黑客入侵、垃圾和病毒邮件威胁, 带宽利用率低等问题。
(1) 病毒威胁, 病毒是网络安全最大威胁, 每年给各种企业带来的损失巨大, 使所有企业都对病毒“谈毒色变”。
(2) 黑客入侵威胁, 黑客是具有高超的计算机能力的人, 他们可以通过各种手段入侵别人计算机或网络当中, 窃取机密信息, 破坏有用数据, 安装木马程序程等, 将严重威胁企业的信息安全和利益。
(3) ARP攻击威胁, ARP本是网络体系结构中的一个协议, 这个协议关系到计算机网络通信必不可少的两个地址IP与M AC地址的转换功能。
(4) 带宽利用不合理。对于绝大多数的企业来说, 接入网络带宽有限, 如果这有限的带宽不进行合理的分配利用, 可能会造成整个网络的瘫痪, 重要的应用服务器因无法得到充足的带宽保障而无法发挥其应有的作用。
(5) P2P/IM软件使用带来的隐患以及有害的网络信息给企业带来的危害。P2P软件下载时建立大量的连接, 占用相当大的一部分网络带宽资源。
(6) 通过网络方式泄露企业机密, 造成企业损失。网络在成为重要交流工具的同时也成了重要的泄密渠道。
(7) 企业的发展和电子邮件技术的发展, 给企业带来了众多好处, 通过电子邮件的方式发送各种与商业相关的文档, 保持与客户的沟通与联系。同时电子邮件没有时间的限制、速度快、效率高。虽然电子邮件有众多的优点, 但是随之而来的是各种烦人的广告、宣传、反动信息等没用的垃圾邮件或者夹带了各种恶意代码的病毒邮件, 如带的木马程序等可能会严重危害企业信息安全。同时电子邮件也成为商业间谍最有利的工具, 对于竞争激烈的商业活动, 电子邮件泄密已成为一条非常重要的途径, 因此必须加以防范。
(8) 企业间的竞争有如战场上的搏杀, 各种数据的安全成为了企业的命脉所在。对于大部分企业用户来说, 花巨额的资金建设专用线路是不理的作法, 因为这些企业没有足够的实力来投入到专用网络的建设与维护当中。
(9) 通过网络方式泄露企业机密, 造成企业损失。网络在成为重要交流工具的同时也成了重要的泄密渠道。
现代企业网络已经不同于以往, 各种各样的网络威胁层出不穷, 看似安全可靠的网络也可能存在一些致命的安全威胁, 只有不断地对原有网络进行不断的升级改造才能更好地保护企业利益不受任何来自网络的损失。针对公司可能存在的问题, 可以进行如下解决, 以期达到使整个网络安全的目的。
2、方案设计
随着各种网络威胁的出现, 各种网络安全产品也如雨后春笋班的涌现, 各种安全生产厂商更是层出不穷。但是绝大多数网络安全厂商要么通过软件的办法针对某种单一的安全威胁进行处理, 例如各种杀毒软件。还有一部分通过硬件的方法, 但是由于缺少必要的技术实力, 所制造出来的产品质量和效果也是良莠不齐。
针对可能存在的网络威胁的特点—分布式、多样性、要求高等特点, 利用AboCom公司的产品可有效解决可能遇到的所有问题。如图1所示。
网络的最前段采用AboCom MH1500作为整个网络的出口;开启路由功能、上网行为管理等功能、VPN功能。另外方案中还采用了一台AboCom SV1550进行垃圾邮件病毒邮件过滤、入侵侦测防御、病毒过滤等功能更好的保障了企业内网的安全。
AboCom CR1050是一款强大的上网行为记录器, 它能完整的记录下所有上网的行为, 能够保证企业内部数据的安全。
在邮件服务器方面我们选用了一款强大的嵌入式邮件服务器Abo Com MG1250, 来为企业搭建自己邮件服务平台。
3、结束语
在信息化时代, 网络的安全应用是非常必要的, 它将有效防止潜在敌人和不法分子的破坏, 有效保护企业机密, 降低企业的办公成本。网络安全的发展过程中, 我们必须更进一步的开展企业信息安全应用研究。
摘要:信息化是当今世界经济和社会发展的必然趋势, 国家正大力提倡信息化建设。在制约企业网络发展的各种因素中, 安全问题是一个比较突出的问题。若没有有效的安全措施保证系统安全, 企业办公就不能真正走向网络化。本文阐述了在企业网络通信中, 怎样采用AboCom公司的产品有效保证企业网络通信的安全, 在实际应用中有很大的参考价值。
关键词:信息安全,VPN
参考文献
[1]谢希仁.计算机网络.电子工业出版社.2003.6
[2]蒋建春, 杨凡等.计算机网络信息安全理论与实践教程.西安电子科技大学出版社.2005.9
中小型企业网络设计探讨 篇8
一、网络系统的要求
1. 功能性:先进的体系结构和设备;成熟的技术;足够的备份冗余;具备必要的容错能力。
2. 可扩展性:产品选型和设计时要考虑已经能预见升级方向, 提供的扩展方案要保护现有设备投资。
3. 实用性:
对安全、管理和功能等方面的设计不应损害用户使用网络的便利性, 不降低用户网络的业务服务质量和通讯性能, 网络功能和服务是方便实用、切实可行的。
4. 可管理性:
网络的建设必须保证网络运行的可管理性。要求可发现网络拓扑、实时监控网络性能、管理维护设备配置, 并可迅速简便地进行网络故障的诊断。整个网络系统必须满足便于安装、便于管理、便于维护、便于使用的要求。
5. 安全性:网络的各个环节要尽可能多的提供安全保密措施, 以此来保证数据传输的可靠性。
6. 经济性:在满足系统需求的前提下, 节省投资, 即选用性能价格比优的设备。
二、网络拓扑结构
一个中小型企业具有多部门、多业务、多用户的特点, 为了满足不同用户、不同类型网络应用程序的需要, 应该采用分层架构设计, 即核心层、分布层 (汇聚层) 和接入层。这样一来, 既简化了交换网络设计, 又提高交换网络的可扩展性。
1. 核心层。
核心层通常只有一台交换机, 核心层的功能主要是实现骨干网络之间的优化传输, 负责整个网络的网内数据交换。核心层一直被认为是流量的最终承受者和汇聚者, 所以要求核心交换机拥有较高的可靠性和性能。
2. 分布层。
分布层一般是2~3台交换机, 主要负责连接接入层接点和核心层中心, 汇集分散的接入点, 扩大核心层设备的端口密度和种类, 分布各区域数据流量, 实现骨干网络之间的优化传输。分布交换机还负责本区域内的数据交换, 分布交换机一般与中心交换机同类型, 仍需要较高的性能和比较丰富的功能。
3. 接入层。
接入层作为二层交换网络, 提供工作站等终端设备的网络接入。接入层在整个网络中部署交换机的数量最多, 它具有即插即用的特性。
三、网络vlan技术的应用
现行普通的网络解决方案是建一个大局域网, 所有电脑同出于一个局域网内, 这样的组网方式优点是非常简单, 而且技术上容易实现;但是随着接入点的逐渐增多、业务对带宽的需求和人们对网络访问速度需求的膨胀, 这样的组网方式缺点不可避免的暴露出来:广播风暴大量产生会造成网络拥塞, 极大降低网络访问速度;数据传输是共享的, 而一些关键部门的数据是不希望被大多数人知道或者是不能让外人知道的, 这是一个潜在的科技风险;方便数据传输的同时也容易造成病毒肆虐, 从而影响整个局域网络安全, 这又是一个潜在的科技风险。例如局域网遭受ARP病毒攻击, 不仅影响安全还会造成网络拥塞。
为此, 提出一种新的组网方式, 即采用虚拟局域网 (vlan) 技术组网。基于端口划分VLAN工作组, 不仅可以将每个组的广播风暴限制在指定端口, 做到隔离广播风暴, 而且VLAN工作组彼此不能直接通信, 保证数据传输安全, 也限制病毒在局域网内的传播。通过这样的组网方式, 真正实现打造“千兆到楼宇, 百兆到桌面”网络环境的设计理念。
四、网络的冗余性
一个好的中小型企业网络设计方案目的是实现网络访问高速度、高可靠、高安全, 设计链路和设备冗余是必要的。在网络环境中设置这样的冗余既可以避免单点故障造成的网络瘫痪, 也可以实现负载均衡, 从而达到设计目的。
在设计时应考虑为网络留有适当的冗余度, 硬件设备应具备一定的冗余模块, 以提高网络容错能力。
接入层交换机与分布层交换机的连接采用链路冗余备份, 分布层交换机与核心层交换机的连接是设备冗余———双机热备份。最后, 核心层交换机通过边界路由器接入Internet网, 实现局域网与外网的连接。通过这样的链路和设备冗余, 从而达到网络访问高速度、高可靠、高安全目的。
接入层交换机和分布层交换机、分布层交换机和核心层交换机以及核心层交换机与路由器连接的本端端口都是线路连接的主干道, 应设置为trunk口;核心层交换机与路由器连接的对端端口为该局域网的网关端口, 其上加载的IP地址为该局域网的网关IP地址。
五、网络设计的容错性
1. 设备容错性:
所选用设备必须具有全容错结构, 一台设备中单个电源、单个风扇的故障不影响设备工作, 单个模块的故障不影响其它模块的正常工作;设备应具有热修复能力, 即当设备的某些部件发生故障时, 可以带电更换而不影响设备其它部件工作, 新更换部件可直接投入工作而不必重新引导整个设备。
2. 网络结构容错:
不能因某台设备的故障而影响到整个主干网络的正常运行;任意一条链路的中断不能使得主干网络的任何部分中断工作。
六、安全防护
安全防护包括设备物理安全、网络安全和日常维护等工作。具体情况如下:
设备物理安全:所有设备应放置在指定安全位置, 做到防水、防火、防盗、防潮、防磁、防辐射、防雷击、防静电等。
网络安全:局域网内采用划分vlan工作组和要求接入点设备都安装防病毒软件来实现, 边界路由器通过设置ACL访问控制列表来实现网络安全。
日常维护:建立日常巡查制度, 及时发现网络运行中的故障并排除, 甚至可以安装网络监测系统, 如入侵防御系统 (IPS) , 发现有人恶意接入网络时能自动报警。
七、网络设备的选型
网络设备选型原则:可靠性、安全性、先进性、实用性、开放性、可扩充性和灵活性。
谈企业网络基础平台设计 篇9
1) 实用性和先进性。采用先进的技术满足煤炭企业各种应用系统的需求, 还要兼顾相关的管理需求, 反映网络系统的先进性。在网络设计中要将先进的技术与现有标准和设备结合起来, 以适应更高的数据、语音、视频的传输需要, 使整个系统保持技术的先进性, 以满足企业信息化发展的需求。企业网络支撑平台是企业信息化的基础, 设计中要保障网络及设备的高吞吐能力, 保证各种监控信息 (数据、语音、图像) 的高质量传输, 实现透明网络。
2) 可靠性和安全性。网络系统的稳定可靠是系统正常运行的关键, 煤炭企业安全生产也是这样。为保证各项业务顺利进行, 网络一定要具有高可靠性, 防止系统的单点故障。对网络结构、设备等方面进行高可靠性的设计和建设。网络设计尤其是关键节点的设计, 要选用高可靠性网络产品, 采用硬件备份、冗余等可靠性技术, 合理设计网络冗余拓扑结构, 制定可靠的网络备份策略, 保证网络具有故障自愈能力, 保证安全生产信息网络系统的高效运行。网络安全体系是多层次、多方面的结构, 分为网络层安全、应用层安全、系统层安全和管理层安全几个层次。煤炭企业信息化网络支撑环境把安全性作为重点, 通过防火墙、IPS、VPN、端点防护系统等系统部署和联合工作, 从多层面构建有机联动的立体安全网络。
3) 标准性与开放性。网络设备要采用国际标准协议进行互连互通, 保证网络系统基础设施的作用, 在结构上实现开放。开放式标准包括核心网、接入网、安全网及网管系统等, 要坚持统一规范, 为未来的发展奠定基础。网络采用国际上通用标准的主流的网络协议, 不但可保证与其他网络之间的平滑连接和互通, 还可适应未来网络发展趋势。
4) 灵活性及可扩展性。网络系统是不断发展的系统, 网络不仅应保持对以前技术的兼容性, 还要具有良好的灵活性和可扩展性, 具备支持多种应用系统的能力, 提供技术升级、设备更新的灵活性, 根据企业不断深入发展的需要, 和未来业务的增长和变化, 平滑地扩充和升级现有的网络覆盖范围, 扩大网络容量和提高网络各层次节点的功能。
5) 易操作性和可控性。因企业网络支撑平台的复杂性, 在业务不断发展, 网络管理的任务日益繁重。在网络设计中, 要建立一套全面的网络管理解决方案。网络设备要采用智能化、可管理的设备, 采用先进的网络管理软件, 可实行先进管理, 监控、监测网络的运行状况, 迅速确定网络故障。通过先进的管控策略、管控工具提高网络的运行的可靠性, 简化网络的维护工作, 为办公、管理提供最有力保障。
2 网络基础平台设计
2.1 核心层设计
1) 万兆以太网技术 (GE) 最高传输速率为10Gbit/s, 与1000M以太网技术、快速以太网技术向下兼容。2) 千兆以太网技术 (GE) 最高传输速率为1Gbit/s, 与以太网技术、快速以太网技术向下兼容。3) 异步转移模式 (ATM技术) 采用信元传输和交换技术, 减少处理时延, 保障服务质量, 使其端口可以支持从El (2Mbit/s) 到STM-1 (155Mbit/s) 、STM-4 (622Mblt/s) 、STM-16 (2.5Gbit/s) 、STM-64 (10Gbit/s) 的传输速率。4) SDH技术 (或IPover SDH技术) 采用高速光纤传输, 以点对点方式提供从STM1到STM64甚至更高的传输速率。其中IPover SDH技术也简称为POS技术, 即把IP包直接封装到SDH帧中, 提高了传输的效率。5) 动态IP光纤传输技术 (DPT) 定义了全新的传输方法—IP优化的光学传输技术。此技术提供了带宽使用的高效率、服务类别的多样性及网络的高级自愈功能, 在现有解决方案基础上, 为网络营运商提供了性价比极好和功能极其丰富的更先进的解决方案。
10GE/GE技术、ATM技术、POS技术各有优、缺点。其中10GE/GE千兆以太网技术基于传统的成熟稳定的以太网技术, 可与用户的以以太网为主的网络实现无缝连接, 中间不需任何格式的转换, 这提高了数据的转发和处理能力, 减少了交换设备的负担。10GE/GE可轻松地划分虚拟局域网, 将分散在各地的用户连接起来, 提供可靠快速的网络。10GE/GE的造价比ATM低廉, 性能价格比好, 投资的利用率较高。ATM技术的最大问题是协议过于复杂和信头开销太多, 设备价格高而传输速率有上限 (622M, 2.5G接口昂贵) 。ATM上有很多协议, 如MPOA、CLASICAL IP OVER ATM、永久虚电路等。ATM本来有很强的服务质量功能, 可以实现很好的多媒体传输网, 但在与以太网设备互连时, 不能保证端到端服务质量, 需要在以太网的数据格式和ATM数据格式间进行转换, 效率比较低。POS技术通过在光纤上传输SDH格式的PPP数据包, 可以获得很高的链路利用率 (至少在80%以上) , 当数据包大小为1500字节时, 其传输效率可达98%, 对IP协议而言, 这种传输效率可以大大提高IP网的性能。总之, POS技术具有较多优点, 它的缺点是带宽分配不够灵活, 并且造价成本较高。
核心层包括网络中心节点和出口节点。核心层的功能是实现骨干网络之间的优化传输, 核心层设计任务的重点是冗余能力、可靠性和高速的传输。网络的控制功能、网络的应用要尽可能少在核心层上实施。核心层一直被认为是流量的最终承受者和汇聚者, 所以, 对核心层的设计及网络设备的要求非常严格。
2.2 接入层设计
1) 接入层网络。最重要的是网络部署的灵活性。接入层网络是对最终用户的覆盖部分, 要具有随用户的需求变化而变化的能力, 这还体现在网络的灵活扩展、堆叠能力、跨设备链路聚合诸多方面。2) 接入层网络要具有业务的接入、控制能力。不同种类的接入业务应具有识别能力, 可够提供实时性高业务, 给予更高服务质量保证;对生产监控调度等敏感性数据应具有网络隔离保护能力。3) 接入层网络应具有对用户管理控制能力。接入到网络中的用户、主机均可能产生有意或无意的攻击行为, 如:用户电脑冲击波病毒等对网络形成的攻击风暴, 接入层网络作为用户的直接接入者要具有精细的端口控制、隔离能力, 才可在用户接入前、接入中、接入后进行认证、监控和审计。4) 接入层网络应有简单、方便的设备管理能力。接入层网络覆盖广, 用户设备分散, 建成后的维护量较大, 因此, 简单、易用及图形化的远程管理能力是减少维护量、降低维护成本的有效手段。5) 接入层网络使用的设备要具有较高的性能价格比, 以较小的端口代价获得安全、稳定的接入端口。
2.3 无线网络设计
企业网建设的实施和深入, 对外交流日趋频繁, 移动办公设备也日趋增多, 这些均对企业网提出更多、更高的要求。使用无线网络系统, 用户只需把无线网卡接入笔记本电脑或个人PC机, 依靠安装在楼宇的无线接入网桥就可迅速完成网络连接, 不需进行布线工程施工, 所以, 降低了网络系统实施开通的时间周期, 为用户迅速开展相关业务提供了保证, 也降低了相关成本, 保护了用户投资。
企业网络安全方案的设计分析 篇10
然而核心业务几乎都是通过网络操作的, 一旦信息被窃取, 资料被泄露, 将会对企业构成灾害。就此而言, 基于WEB管理功能及ESIGHT网管拉软件的平台成为有效监管方式。
1 企业网络安全方案设计的具体原则
具体而言, 需要遵循以下几大基本原则。
1.1 整体性原则
想要做到这一点, 必须站在全局的高度来分析网络的安全及具体措施。其中包括行政法律方式、管理制度 (比方说工作流程、人员审查等) 以及相关的专业措施 (比方说存取控制、识别技术、容错、防病毒等) 。据大量的实践结果表明, 行之有效的安全措施往往是综合应用的结果。一般地说, 计算机网络, 包括个人、软件、设备等。我们要想在真正意义上体现出这些环节在网络中的影响作用。就必须站在全局的高度综合性的去看待和分析方可找到切实可行的措施, 然后根据规定的安全策略制定出科学合理的网络安全体系结构。
1.2 一致性原则
指的是网络安全问题应与整个网络的生命周期同时存在着, 与此同时所指定的安全体系结构与需求保持一致。换言之, 就是需要相关工作人员在网络建设的起步阶段就应当开始考虑到网络安全的具体对策, 因为这样比起网络建设完成之后再去考虑安全措施不仅简单很多, 而且开支方面也要少很多
1.3 易操作性原则
就目前而言, 所制定出的安全措施通常情况下还是需要考虑人去完成, 如果措施很复杂的话, 前期不仅需要耗费大量的时间进行培训, 相应的工作者也需要耗费很多的时间, 而且随着后期的更新与升级需要不断地进行学习和操作, 这样一来对人的要求就会非常高, 并且这种全部靠人为操作, 本身就具有很大的安全隐患。但是有一点值得大家注意的是, 采用的措施切忌影响系统的正常运转。千万不要为了简便操作而使得相关功能无法实现, 这样就会因小失大了。
2 企业网络安全方案设计理念
众所周知, 企业对网络的安全需求往往都是整体性而且是全方位的, 与之对应的网络安全防御体系就需要根据不同的层次分别予以设定, 其中每一个层次所反映出来的安全问题也是不尽一致的。我们根据网络的应用现实状况, 可以将其分为物理层、网络层、系统层、应用层以及安全管理五大重要组成部分, 具体如图1所示。
2.1 物理层的安全性
其中包括通信线路、机房、物理设备的安全等。一般地说, 物理层的安全主要体现在通信线路的可靠性上 (包含网管软件、线路备份以及传输介质) 。防灾害能力, 软硬件设备的安全性;设备的运行环境 (包含湿度、温度、烟尘) 等。
2.2 系统层
一般的讲, 系统层的安全问题主要来自于网络内部所使用的操作系统XP、WINDOWS等。据调查表明, 系统层的安全性问题主要表现在三个方面。首先是操作系统本身的不足引发的安全问题, 其中包括访问控制, 身份认证等。其次是操作系统的安全配置存在缺陷。最后是遭遇病毒侵袭所造成的安全威胁。
2.3 网络层
这也是当前出现得比较频繁的安全问题了, 那就是企业重要信息资料被窃取或者泄露。需要通过访问控制, 远程安全接入, 路由系统安全, 防病毒等。
2.4 应用层
主要是考虑到企业提供服务所使用到的应用软件安全性是否达标。其中包括DNS、WEB等, 网上会诊与网上医疗等, 当然了, 病毒也不会例外。
2.5 管理层
主要包括安全设备与技术的有效管理, 以及安全管理制度等。通过以往大量的实践结果表明, 管理的制度化程度将会大大影响整个网络的安全是否达标, 鉴于此, 企业单位务必要按照相关标准严格的执行下去, 与此同时要做到责任到人。事实证明, 合理的人员角色定义通常能够大大降低其他层次的安全漏洞。
3 结束语
综上所述, 网络的依赖以及网络安全问题已经成为各大企业非常关注的重要问题。在企业网络安全方案设计的过程中, 设计师应当根据实际需要综合性的考虑到各个影响因素。主要从物理安全、系统安全、网络结构安全、病毒入侵防护以及人工管理等方面都提出针对性的解决方法。企业自身要配备齐全必要的网络监控手段, 通过这种方式提高网络中出现问题的预见性, 以免将来某一台机器突然出了问题就会手忙脚乱, 不知所措的情况发生。当然, 除此之外, 还有很多需要注意的细节方面, 需要我们的工作人员在平时的工作中及时发现并且针对性的予以处理。总之一点, 就是要想方设法防患于未然, 不要留给漏洞可乘之机, 给企业网络创造一个安全的外部环境。
参考文献
[1]周练兵, 张万.浅议企业网络方案的设计[J].中国共同安全, 2012 (3) .
[2]李晶.企业网络安全方案的设计与实现[D].西安电子科技大学, 2010.
[3]孔祥.县级供电企业信息网络安全方案的设计与应用[D].中国海洋大学, 2012.
[4]赵明宇, 孟庆鑫, 徐天明.基于企业计算机网络安全方案的设计与实现[J].华北工学院学报, 2011 (6) .
企业网络设计 篇11
据调查,中小印刷企业更加热衷于在电子商务方面获得发展,究其原因主要是大型印刷企业实力雄厚,在激烈的市场竞争中,无论在设备还是技术上都有明显的优势,而且他们一般都有较稳定的业务,批量也较大,而网络印刷目前还是以小批量的短版印刷业务为主,这些并不是大型印刷企业的主攻方向;相反,中小印刷企业没有雄厚的实力,在日益激烈的市场竞争中更需巧中取胜,网络印刷恰好是中小印刷企业的机会。
中小印刷企业也逐渐意识到,如果单凭自已的力量很难生存和发展,而如果与电子商务企业实现优势互补、资源共享,建立电子商务战略联盟(即“网络印刷战略联盟”),无疑是提升企业竞争力的法宝之一。在此,本文将从中小印刷企业的角度出发,分析当前网络印刷的发展现状,论述网络印刷战略联盟建立的基础以及利弊,探讨网络印刷战略联盟面临的问题和对策。
网络印刷的发展现状
受国内电子商务大环境发展的影响,当前我国网络印刷正处于高速发展阶段,仅通过淘宝网每年成交的印刷业务额就高达28亿元,加上大宗电子商务印刷网站的交易额,全年网络印刷总产值超过400亿元,其中以商务短版印刷为主。网络印刷年产值正以每年超过200%的速度递增。我国内地的网络印刷起步较晚,跟欧美和我国台湾省相比,有以下特点。
①在网络推广方面,主要采用免费和收费的第三方平台发布信息,印刷企业即使建有自己的网站,功能也较单一,界面简单,大多不具备在线下单功能,仅供印刷企业发布信息。
②在生产模式上,一般采用合版印刷,即将同样数量、同样纸张、同样印刷工艺要求甚至同样规格尺寸的产品拼在一套版上来印刷,这样,制版费用分摊到每一款产品上,成本就非常有优势,生产效率也相应急速提高。合版印刷产品主要集中在名片、海报和宣传单上。
③在业务模式上,一般为代理经销模式,即通过发展下级代理经销商进行业务推广,由代理经销商接单并制作完成印刷文件之后通过在线工具将订单和印刷文件传输给印刷企业安排生产。
代理经销模式在中小印刷企业扩大业务量、实行量贩式经营方面发挥了很大的作用,但随着网络印刷规模的不断扩大,投身于网络印刷的企业越来越多,不单是传统印刷企业,很多电子商务企业凭借着技术优势也开始进军网络印刷市场,网络印刷市场的竞争进一步加剧,代理经销模式的网络印刷受到严重制约。一是代理经销模式下的网络印刷业务重心在于代理经销商的开发,在竞争方面主要依靠价格竞争来吸引中间商加盟。二是中间商的作用很有限,他们大多是文印店、广告店,并不将印刷作为主营业务,因此合作忠诚度不高。三是印刷企业无法与终端客户联系,因此难以明确和细分客户需求,客户的满意度难以保证,易造成企业产品线单一,各方面的竞争优势都不明显。
就目前来说,网络印刷市场的竞争主体,除了印刷企业之外,还有以网络印刷作为主营或兼营业务的电子商务企业,我们称之为“网络印刷公司”。网络印刷公司与传统印刷中间商相比,具有更强的竞争优势:一是技术优势,他们大都有电子商务背景或者本身就是从事网络印刷系统开发的网络公司;二是他们以提供在线印刷服务作为主营业务或兼营业务;三是投资规模较大,管理和服务较规范。但是他们基本还是作为中间服务商在市场上活动,接单之后再转发给印刷企业进行加工,不但直接面对终端客户提供服务,同时为了扩大市场规模,赢得与印刷企业的讨价还价能力,往往也发展下级代理。
网络印刷战略联盟建立的基础
从事网络印刷的中小印刷企业和电子商务企业在目标和利益上有很大部分都是一致的,他们在市场竞争中也是各有优势,而且是既竞争又合作的关系。如果两者结成战略联盟,优势互补、资源共享,实现一体化经营,共同开拓网络印刷市场,一定可以获得更加广阔的发展空间。具有优势互补的资源和共同的利益目标,是中小印刷企业与电子商务企业成立网络印刷战略联盟的基础,其主要体现在以下两方面。
1.市场开发方面
在市场开发方面,中小印刷企业与电子商务企业有着共同的目标和利益。
对中小印刷企业来说,网络印刷战略联盟是其整合线上线下业务的需要。开展网络印刷之前,中小印刷企业都有自已相对固定的业务。而网络印刷在业务接单模式、产品生产方式以及物流配送等各个方面与传统业务都有区别。中小印刷企业发展网络印刷意味着要调低产品价格,扩大订单规模,实现规模经济。通常情况下,网络印刷产品的价格要比线下产品价格便宜20%~30%才有绝对的优势。如果线上订单仍按线下订单的模式由原来的专业团队来服务,则人工和技术成本都较高,效率和业务量也难以提升,最终可能造成企业在网络印刷方面难以获利。所以,中小印刷企业开展网络印刷业务时,传统线下业务和新型线上业务可以分开进行,传统线下业务由企业专业团队来接单服务,而线上业务则可以与电子商务企业合作,由客户通过网站自助服务以及自动化的管理系统来完成。可见,网络印刷战略联盟对印刷企业在巩固自身原有业务的基础上拓展新市场,整合其线上线下业务,实现高效运作等各方面具有重大意义。
对电子商务企业来说,网络印刷战略联盟是其经营业务的需要。电子商务企业在整个产业链中的地位主要是负责销售和售后服务,而对产品的研发、生产、包装以及物流等其他方面都需要依靠实体企业来完成。近几年,网络的发展确实让电子商务企业有超过传统实体企业的声势,但实际上缺乏实体资源、经营纯网络的电子商务企业是很难有竞争优势的。对从事网络印刷的电子商务企业来说更是如此,网络印刷交付给客户的是实实在在的印刷品,这些必须交由印刷企业来生产完成。除非电子商务企业自办印刷企业,否则电子商务企业如果没有配合稳定的印刷生产厂家,很可能由于一直更换供货商造成产品无法交付、产品质量不稳定、交货期不确定或售后服务无法及时到位等情况。所以说网络印刷战略联盟对电子商务企业经营网络印刷业务具有实实在在的支撑作用。
nlc202309032226
2.技术研发方面
在技术研发方面,中小印刷企业与电子商务企业可以相互促进。
网络印刷不但是一种全新的业务模式,更是一项互联网技术的综合应用。网络印刷的开展需要搭建高性能的网站服务器,开发专业的网络印刷管理系统,在线完成订单、文件上传、印刷拼版、在线支付、物流安排,甚至在线设计等工作,其中心环节既需要解决信息技术问题,还需要解决印刷工艺技术问题。在技术方面,印刷企业拥有印刷工艺技术人才,而电子商务企业拥有网站美工、网站开发工程师、系统安全工程师等。因此,中小印刷企业与电子商务企业在技术方面可以优势互补,不仅可以避免风险,减少不必要的重复投资,而且还可以相互交流信息,加快技术研究与开发的速度,更快进入市场获取收益。
网络印刷战略联盟的弊端
对中小印刷企业来说,网络印刷战略联盟好比“双刃剑”,应用得当是市场竞争中冲锋陷阵的利器,应用不当则可能危害自身。
1.联盟的稳定性差,联盟终止在所难免
企业战略联盟以协议为基础,要求联盟成员在战略上与行动上保持合作,但由于联盟本身的松散性和联盟成员在战略、组织、文化等方面的差异等原因,很容易造成联盟的终止。企业战略联盟稳定性差的原因主要有以下2个方面。一是联盟成员谋求短期收益,具有短期目的性,这就决定了联盟在完成共同目标之后就会解散,其后为了新的战略目标,又有可能与新的合作者结成新的联盟。二是联盟成员的竞争地位发生了变化。随着联盟成员在技术、资源各方面的交流,联盟一方原来弱势的地方可能已经得到弥补,竞争地位相应提高,联盟终止是迟早的事情。所以在联盟组建的准备阶段就必须要考虑联盟终止的各种问题,联盟终止如果处理不当,将影响企业在市场上的信誉和发展。
2.泄密企业核心能力,培养竞争对手
联盟成员为了共同的战略目标,在执行过程中,要利用各自的核心竞争力进行合作,同时必须坦诚沟通自身和对方面临的问题,如此企业内部问题必然暴露出来,企业自身的核心能力也有可能被对方窃取,造成无法弥补的损失,特别是当联盟解散,原来的联盟伙伴倒戈与竞争对手结盟时,对企业来说更是致命的打击。
3.印刷企业失去市场控制能力,成为电子商务企业的附庸
在目前的网络印刷战略联盟中,一般情况下,电子商务企业负责网络推广、网络接单,同时完成部分印前稿件确认等相关工作;而印刷企业则完成生产、包装和物流安排等工作。在这种合作模式下,印刷企业跟市场终端客户渐行渐远,成为电子商务企业的加工厂。市场竞争中,“决胜在终端”,特别在当今印刷严重供过于求的市场状态下,谁拥有客户群,谁拥有业务量,谁就有话语权。所以,网络印刷战略联盟下的中小印刷企业如果把握不好,无异于“饮鸠止渴”,最终失去市场控制能力,成为电子商务企业的附庸。
网络印刷战略联盟面临的问题和解决对策
1.网络印刷战略联盟面临的问题
(1)忽略自身能力的培育
中小印刷企业和电子商务企业结成战略联盟后,会对对方的电子商务技术产生严重依赖心理,在业务发展方面依附于合作伙伴,而忽略了发挥自己的竞争优势和提高自身市场控制能力。从台湾健豪的成功可以看到,服务终端客户才是网络印刷真正的目标,因为客户通过网络下单,就是希望直接和印刷企业进行业务交流,而印刷企业也只有了解市场、客户需求之后,才能对网络印刷的产品、价格、工艺以及网站工具等进行正确决策。所以,对中小印刷企业来说,在战略联盟合作中必须注意解决好两方面的问题。一是与电子商务企业的合作条件。中小印刷企业在与电子商务企业合作过程中要尽量争取保持自主地位,不断增强自身的实力,以争取主动。二是企业长远发展的战略问题。中小印刷企业当发展到一定规模和具备一定实力后,应逐步实施战略转移或实施并购策略以获取所需资源,摆脱电子商务企业的控制而独立地面向市场,使企业获得成功。
(2)自信心不足,缺少驾驭联盟的能力
中小印刷企业与电子商务企业进行联盟时,有可能不能充分认识到自身的优势,总感觉自已企业规模小、设备落后、人员素质差、资金不足等。自信心不足的实际根源是中小印刷企业缺少驾驭联盟的能力,缺少实施和控制企业战略联盟,驾驭风险、进行风险投资、减少联盟风险,保证联盟成功的能力。因此,中小印刷企业必须通过自我联盟经验的积累、能力的培养和学习来提高自身的综合能力,以提高驾驭联盟的能力。
(3)盲目合作,联盟层次较低
中小印刷企业对企业战略联盟的目的不明确,在寻找合作伙伴时带有一定的盲目性,缺乏战略思考,主要表现在三个方面:一是没有从企业自身特点和实际情况出发;二是选择联盟对象时不慎重,对对方没有深入了解;三是联盟层次较低,主要停留在业务合作这一低级阶段,较高层次的强强联盟十分少见。所以大多是战略联盟流于形式,并没有真正发挥效应。
(4)联盟管理水平低下
中小印刷企业由于自身管理水平普遍较低,内部管理分工较粗放,管理人才缺乏,再加上传统印刷企业长期的管理本位主义,与原本是冤家的同行进行合作,一时难以放下戒心,所以在联盟管理方面存在着管理结构混乱、信息流通不畅、信息交流不充分等问题,使得联盟的各种方案不能得到很好的实施,难以从整体上充分利用联盟的资源优势来获取更大的利润。另外,当联盟内部出现问题时,如果联盟内部没有切实可行的协调机制来及时调和各方的矛盾,容易导致合作中各方面的不配合。联盟和其他企业的一个共同特点是,一旦总体战略制定正确,是否成功将有赖于管理人员的经营运作,管理人员缺乏整体观点和战略眼光,很有可能导致联盟的失败。
2.网络印刷战略联盟面临问题的解决对策
nlc202309032226
(1)加强政府和行业协会的引导作用
联盟应以市场机制为基础,由企业自主选择联盟伙伴,决定自己的联盟形式。政府在企业战略联盟中应发挥其经济管理职能,引导和服务企业战略联盟,制定科学的宏观政策,根据国家产业结构调整、优化发展目标,给出企业战略联盟的有效范围,使不同产业、不同项目的企业战略联盟享有不同的优惠政策。政府要用完善的法律、法规规范企业战略联盟,用立法形式对企业战略联盟进行控制,使之合法化、规范化。网络印刷发展至今,政府有关部门及印刷行业协会应加强对行业发展的引导工作,特别是在网络印刷战略联盟方面,可以开展各种活动、会议,组织有关行业专家和企业参加研讨,促进印刷企业与电子商务企业间的相互了解,建立信任,最终达到相互结联、共同发展的目的。
(2)加强自身发展,坚持竞争中合作的思想
网络印刷时代,中小印刷企业要转变竞争观念,要从对抗性竞争转向合作性竞争,要放弃小而全的传统发展模式,不断提高社会化水平,积极参与和发展战略联盟,同时应坚持竞争中合作的思想。联盟为企业提供了独特的学习机会,企业要在联盟中主动地获取知识,而不是被动的、依赖合作伙伴提供知识,使自己失去学习良机。另外,中小印刷企业应谨记,联盟是“为竞争而合作”,虽彼此平等,相互信任,但也不能无原则地迁就对方或向对方提供一切,所以企业还应多一些自我保护意识,尽量减少或避免自己的核心专长和无形资产的流失。
(3)慎重选择联盟,做到优势互补
每个企业之所以能在市场竞争中生存,必定有自己的生存条件——长处和优势。中小印刷企业也不例外。中小印刷企业大多是凭借自己某一方面的优势和特色成长起来的,其是企业持续发展的源泉。联盟是优势组合,在联盟之前,企业应清楚地认识到自身的优势和不足,明确应找什么样的企业进行联盟可以达到优势互补,使企业竞争力增强,不要只看对方强大、有势力就迫不及待地与其合作,否则不仅会导致联盟失败,而且还会连累企业自身的发展。
笔者认为,企业选择联盟伙伴可以参考如下过程:在明确企业实施战略联盟的动机后,首先依据动机选择可能的合作企业,在仔细审查其技术、市场、风险承担力等与本企业相关的因素后,确认与其能否产生优势互补或优势相长的效应;通过多种渠道收集对方企业的资料与信息,按照规定标准选择少数企业作为可能的发展对象,在试探性接触以明确对方的合作意向后,与有意向的企业进行会面交涉,通过彼此条件上的优势、利益上的结合甚至是人格上的魅力,找到企业战略联盟的基础。
(4)加强联盟内部管理的协调和整合
大量的联盟实践表明,联盟的失败或解散都和内部管理有关。中小印刷企业进行战略联盟时,应加强联盟内部管理的协调和整合。合理的战略联盟管理结构,以寻求联盟各方之间一致的利益为重点,以减少联盟各方之间的矛盾为基础,应明确联盟各方的责、权、利,避免引起工作混乱或出现问题时互相推卸责任。合理的战略联盟管理机制,应抑制联盟各方的机会主义行为,对联盟管理机构积极授权,确保其权威性。中小印刷企业在合作之初可以采用契约的方法来规范合作伙伴,如合同、协约书等。建立公平、规范的契约的关键是要让各自独立的伙伴在合作中感觉彼此之间是相互平等的,并在相互理解的基础上,明确其责任、权利和义务。联盟各方必须强调相互诚信,在组织中构建开放和信任的氛围,公开内部信息,以积极坦诚的态度进行沟通,才能有助于实现有效的联盟经营和管理。
网络印刷作为一种新型的业务发展模式,蕴含着无限商机。对于我国中小印刷企业来说,机遇与挑战并存。中小印刷企业如果不能把握机会快速发展,则有可能被淘汰出局,所以我国中小印刷企业应善于结合自身优势条件合理选择具有信息技术优势的电子商务企业进行战略联盟,达到资源共享、优势互补,进一步实现减少投资风险、加快技术开发速度、快速抢占市场的目的。
企业网络通信平台的规划与设计 篇12
1 设计的基本原则与目标分析
基于网络信息化发展的基础之上, 为了保证用户有一个良好稳定的网络通信平台, 保证企业内部网络平台结构稳定发展, 需要对网络通信平台进行设计规划, 推动网络基础的发展。目前而言对网络通信平台进行设计规划需要成熟的科学技术作为基础, 从而促进未来网络的发展。对网络设备进行选择时, 要从多方面入手, 选择结构化强, 扩充空间大, 功能多样化的产品。这种选择方式是为了保证网络在未来很长一段时间的运行中, 能够承受信息快速发展的考验, 立于不败之地。另外, 网络通信平台设计过程中还要考虑网络管理分层的特点, 全面准确的掌握网络结构, 便于对其进行管理维护。
2 网络通信平台设计方案
2.1 路由交换技术
企业运营过程中需要良好的网络基础, 在面临突发问题或随机事件时必须能保证及时的对链路信息进行完整性检查, 这是企业内部网络环境必须具备的能力。所以, 在对网络通信平台进行设计时选用增强型内部网关协议。动态路由协议可以供多个路由器使用, 从而使路由器通过不同路径来分担负荷, 实现负载均衡, 并且还可以根据企业自身的需求, 使用路由重分技术。为了减少宽带使用空间, 企业还可以通过路由修正算法, 取消定期路由更新信息的发送。同时可以使用限制广播流量的方式对网络进行加速, 控制广播流量范围。这一方案的设计原理是将虚拟局域网划分为不同的小区域, 这些小区域就是所谓的广播域。在广播域内可以进行数据传递, 但是传递数据的传输需要在虚拟局域网的条件下才能实现。这样设计可以增加网络资源的利用率, 减少浪费。同时, 广播域的划分很大程度上保证了信息安全性, 避免出现外泄情况。
2.2 网络拓扑结构
网络的本质是能够进行互联网接入和传递的宽带局域网, 而局域网是特定区域内, 彼此相互串联的多台计算机, 如学校、公司、机关等, 都可以称为局域网, 都具备以下几点特征:
(1) 便于安装、管理, 局域网可实现内网配置的管理。
(2) 操作方便, 可以连接打印机或相关外设进行操作。
(3) 广阔的工作范围, 能够进行电子邮件邮寄、传真文件接受发送等通讯功能。
2.3 网络设备选择
合理正确的网络设备选择能够保证网络完善建立, 具有重要意义。对网络设备进行选择时, 首要条件是保证该设备能够适应网络环境。基于网络环境的整体条件, 建立网络结构最主要的是如何保证其各项功能的长期无障碍使用。本文中通过核心设备使用虚拟化的方式实现快速交换, 取得了较高的稳定性和交互性, 并保证系统的容错性和可扩展性。综上, 通过在局域网中使用基于SDN等软件定义网的虚拟智能交换机, 可实现灵活划分不同层次, 从而实现性能的提高。
2.4 网络管理技术
随着计算机技术的快速发展, 网络技术也得到极大的促进, 使网络通信变得丰富且复杂。基于各项技术的不断发展, 网络通信已经成为个人、企业进行沟通的主要手段, 对其进行正确管理也变得极为重要。有效的网络管理能够保证网络环境的通畅和安全, 在进行网络管理时还可以第一时间发现可能存在的问题, 及时采取措施进行妥善处理。针对于本文中的网络通信平台设计, 选取的设备主要是思科设备。
3 方案分析
3.1 边缘层设计
本文的方案中, 主要是通过虚拟路由器来完成对边缘层的设计:进行边缘层配置时要使用到两个功能作用不同的路由器[3], 采用光纤进行不同路由器和网络之间的衔接, 建立路由表。通过对企业内容的转换, 得到完整的路由配置信息。
3.2 核心层设计
想要在网络条件下进行快速交换, 就必须将核心层中的分布层连接。因为本设计中使用的是思科设备, 所以在进行核心层中的分布层链接时使用的是Cisco6500交换机。对核心层进行设计能够对网络和各项配置实现有效管理, 从而降低宽带占用率, 减少网络资源的浪费, 确保网络环境平稳运行。
3.3 分布层设计
局域网具有很强的封闭性, 即使是同一地点的两台计算机进行连接也属于局域网, 公司内部成千上万台电脑进行连接形成的网络也称为局域网。同时, 局域网还具有很强的专业性, 拓扑结构稳定, 比较常见的拓扑结构包括树形结构、星形结构、闭合环结构和总线结构。虚拟局域网中对分布层进行设计, 主要作用是促进层与层连接, 使路由器作用得到最大程度上的发挥, 同时将设计过程以及网络运营中涉及到的策略功能显示出来。本设计中通过这种分布层设计, 使网络资源得到最大程度的利用, 减少浪费。
4 结束语
随着科技的高速发展, 互联网+、大数据、移动互联网等一批新技术的产生, 使得网络通信成为各行各业工作、学习的重要基础平台。构建低风险、高效率的平台模式, 实现企业传统交流模式的转变, 为其提供全新的网络沟通平台, 成为必然选择。网络通信平台安全、平稳的发展也变得越来越重要, 对其进行科学合理的设计规划是非常重要的。
参考文献
[1]冯海祥.计算机网络安全及企业网络安全应用的研究[J].电子技术与软件工程, 2015 (03) :229.
[2]黎桂兰.网络通信平台的规划与设计[J].煤炭技术, 2013 (01) :198-200.