企业网络安全架构技术

企业网络安全架构技术（共9篇）

企业网络安全架构技术 篇1

一、概述

网络的最大价值, 在于信息化的应用。由于企业信息化与企业生产经营已经逐渐成为一个共同的载体, 企业对网络安全保护的要求日益提高。当前利用结构化的观点和方法来看待企业网络安全系统是主流思想, 通过各层的弱点及攻击的可能性对各层进行分析及防护, 对可能发生的攻击事件或漏洞做到事前防护, 合理地利用各种硬件设备, 通过完善的管理手段来建设一个稳定、安全、可靠的企业信息网络平台。

二、企业网络安全架构

企业网络管理的核心是网络应用, 如何架构一个安全、可靠的网络环境是网络管理的一大课题。在网络安全隐患无处不在的今天, 安全需求格外重要。当企业在架构网络前, 应当全面的分析相应网络中可能存在的安全隐患, 以及网络应用中必要的安全需求。

1、网络安全威胁

从目前的企业网络使用情况及日后的应用发展来看, 主要存在以下几种安全威胁: (1) 、病毒感染。病毒感染是危害面最广的安全隐患, 威胁整体网络运行。组建企业网络时选择部署整个网络系统的病毒防御系统。 (2) 、黑客入侵和攻击。黑客攻击的危害性很大, 入侵途径和攻击方式多样化, 难以预防。目前防御措施主要是通过部署防火墙系统、入侵检测系统、网络隔离技术等防御黑客攻击, 还应辅以系统漏洞和补丁升级系统。 (3) 、非法访问。非法用户访问企业网络时可能携带、放置病毒或其它恶意程序, 也可能删除服务器系统文件和数据以及窃取企业机密信息等。防御措施除了防火墙系统、入侵检测系统和网络隔离技术外, 还应注意在网络管理中引入安全机制, 如对关键部门划分子网隔离保护, 对重要的数据和文件进行加密以及对于需要进行远程访问的用户, 注意权限配置工作。 (4) 、数据损坏或丢失。网络数据对于企业来说是非常重要的。数据的备份是一切安全措施中最彻底有效, 也是最后一项保护措施。

2、网络架构概念

企业网络安全是系统结构本身的安全, 应利用结构化的观点和方法来看待企业安全系统。全方位的、整体的信息安全防范体系应是分层次的, 不同层次反映了不同的安全问题。根据搭建网络的应用现状和结构, 从物理层安全、系统层安全、网络层安全、应用层安全及安全管理五个方面来考虑网络的安全架构。

三、学院网络安全系统分析

结合本学院网络建设的实际情况, 在此对分层架构安全体系进行具体阐述并对网络层的安全进行重点研究。

1、物理层安全

物理层的安全主要就是对设备和链路及其物理环境的安全保护。

这里着重考虑学院信息中心的建设。信息中心作为学院的数据中心, 承载所有的应用服务器的运行, 所以信息中心的安全是最基础的安全保障。信息中心的建设除了要保证温度、湿度、防雷、防火以及不间断供电以外, 还应注重信息中心的综合布线布局, 做好整体规划及标记, 力争布线的简洁、有序, 便于日后维护及故障排查。

2、系统层安全

主要包括操作系统安全和应用系统安全。系统层的安全, 主要考虑操作系统的漏洞补丁。利用内网架设的补丁升级中心 (wsus) , 对于微软发布的系统补丁, 进行补丁下载和安装, 提高操作系统的安全性, 有效降低系统的安全风险。我们还可以采用绿盟的极光远程安全评估系统扫描出整个网络中所有设备上的漏洞, 并且与wsus服务联动, 仅在绿盟的设备上就可以对这些漏洞进行修补。对于应用系统服务器来说, 除了加强登陆的身份认证权限, 还应该尽量开放最少的端口, 保证服务器的正常使用。

3、网络层安全

网络层安全是我们考虑最多, 也是防范要求最多的一个层面。这里从以下几个方面进行阐述:

(1) 确定安全域的划分

安全域的划分就是制定安全边界。根据资源位置进行划分的目标是将同一网络安全等级的资源, 根据对学院的重要性、面临的外来攻击风险、内在的运行风险不同, 划分成多个网络安全区域。划分的原则是将同一网络安全层次内客户端之间的连接控制在相同的安全域内, 尽量消除不同安全层次之间的联系, 实施相互逻辑或物理隔离。

从目前情况分析, 学院内部的财务处和人事处因业务及数据的保密性和敏感度, 需要阻止任何的外部访问。所以这两个位置与网络中其它处室在逻辑上应是隔离状态。这里主要使用交换机利用vlan对各个不同的功能区域进行划分。除了保证物理位置及逻辑位置的隔离以外, 划分vlan的另一个好处就是减小广播包的数量, 控制网络流量, 避免广播风暴的产生。在实际工作中曾经遇到财务处网段被其他网段访问的安全问题。此问题涉及财务的机密文件和重要报表数据, 所以问题较严重。在这之前财务处是被独立划分为一个网段, 与其它网段用ACL列表进行隔离。但是在客户端统一纳入学院域之后, 之前做的ACL列表不起任何作用。经分析, 我们发现在域内pc之间的通讯协议发生了变化, 于是将所有的TCP、UDP协议进行拦截, 只对部分可以互访的终端服务器进行允许控制。对于需要外网进行访问的服务器, 比如web服务器、ftp服务器、邮件服务器等需要把它们分离出来, 不需要进入内网进行保护。其它服务器则放置于内网保护区域内, 独立划分为一个vlan。

(2) 攻击阻断

这里主要采用防火墙、入侵防护、防病毒系统进行外部阻断。

首先, 为了保护内部网络, 在Internet出口部署防火墙, 将内部网络与因特网隔离, 只在内部网与外部网之间设立唯一的通道, 将攻击危险阻断在外, 并限制网络互访从而保护企业内部网络。另外, 利用防火墙的端口, 设置LAN区、SSN区以及外网区。LAN区是不对外开放区, 所有的客户端及需要保护的服务器放置在这个区域里。SSN区域里放置需要外部访问的服务器, 如web服务器、ftp服务器及邮件服务器。

由于防火墙处于网关的位置, 不可能对进出攻击做出太多判断, 否则会严重影响网络性能。所以这里需要部署入侵保护系统 (Ips) 作为防火墙的有力补充。将Ips串联在主干线路中, 是网络安全的第二道屏障, 可构成完整的网络安全解决方案。除此之外, 我们还可以进行恰当的设置, 使防火墙、Ips联动起来。当Ips检测到入侵和攻击后, 会通过联动接口部件, 将入侵特征和事件报告给防火墙, 防火墙接到入侵信息后会动态地修改自己的安全访问控制策略, 在下一次防火墙不需要Ips也可以将入侵流量屏蔽掉。这样防火墙和Ips联动起来后, 防火墙的访问控制规则和Ips的规则链会随着网络安全状况的变化而不断调整, 这样不仅能提高安全性, 而且不必要的访问控制规则和规则链会被及时地删除掉, 对网络性能造成的影响也会降到最低。

防病毒系统应该是网络安全的第三道屏障。在网络技术日新月异的今天, 即使网络部署了防火墙和入侵保护系统后, 仍然会存在漏洞。学院网络应该建立立体防毒体系, 就是指在网络的边界处部署硬件防毒墙, 然后再在整个网络内部部署网络版杀毒软件。这样防病毒系统不仅部署在每一个客户端上, 能够对源于内部网络的攻击或者是防火墙无法隔离的攻击行为、恶意代码进行阻拦, 而且防病毒系统也部署在服务器上和网络边界处。这样从边界到内部, 整个网络进行立体地防护, 极大地提高了全网的防毒能力, 是防火墙及入侵保护系统的有力补充。

(3) 远程接入控制

对于学院的三个分院以及外出办公人员, 需要通过Internet访问学院本部, 这里考虑vpn (虚拟私有网络) 技术来实现。现有vpn技术有Ipsec vpn以及ssl vpn。从学院目前网络使用情况并考虑日后发展状况, 将以Ipsec vpn作为点对点连结, 再配以ssl vpn的远程访问方案。在交通分院、建设分院、卫生分院三地之间架设防火墙, 利用防火墙的网关对网关的Ipsec vpn满足三地办公的需要, 再选购ssl vpn来满足移动办公人员访问学院内网高安全性及可靠性的需求。我们目前一直使用天融信防火墙自带的ipsec vpn, 除了因为网络问题带来的故障以外, 可以说vpn功能基本达到了我们的需求。但是对于它的移动vpn, 因为客户端的产品型号、操作系统及应用软件的差异, 有必要另选用一套ssl vpn满足移动办公访问学院内网的需求。

(4) 身份认证

对于不同的应用, 访问者的操作权限应该通过身份认证系统来实现。身份认证有利于保证被访问资源的安全, 也是对远程接入安全控制的有益补充。

4、应用层安全

主要包括网页防篡改、数据库的漏洞修补、数据的完整性检验以及数据的备份和恢复。这里将注意力大部分集中在数据库的安全上。主要的工作应该是登陆的身份验证管理、数据库的使用权限管理和数据库中对象的使用权限管理。对于网页防篡改可以在web服务器前部署web应用防火墙。对于数据库来说, 为了提高用户访问数据库的速度和数据库中数据的安全性, 我们可以采取磁盘阵列来代替普通的存储设备, 极大地扩展了存储容量, 在性能和安全性上也有了大幅度的提高。考虑到以后我们的应用不断增多, 数据量不断加大, 为了保证性能和安全性, 我们可以着手建设SAN或NAS, 甚至可以做异地容灾备份, 即使发生自然灾害, 我们也可以在最短的时间内恢复我们的数据和我们的应用。

5、网络安全管理体系的建立

实现网络安全的过程是复杂的。这个复杂的过程需要严格有效的管理才能保证整个过程的有效性, 才能保证安全控制措施有效地发挥其效能, 从而确保实现预期的安全目标。因此, 建立有组织的安全管理体系是网络安全的核心。其过程如下: (1) 、安全需求分析。明确目前及未来几年的安全需求, 即我们需要建设什么样的网络, 网络状况如何, 未来发展如何等等, 有针对性地构建适用的安全体系结构, 从而有效地保证网络系统的安全; (2) 、制定安全策略。根据不同部门的应用及安全需求, 分别制定部门的计算机网络安全策略, 做到资源最优化; (3) 、外部支持。通过专业的安全服务机构的支持, 将使网络安全体系更加完善, 并可以得到更新的安全资讯, 为计算机网络安全提供预警。定期进行巡检, 保证所有网络设备和安全系统的运转正常, 提早发现隐患, 将网络故障对学院整体的影响降至最低。

6、计算机网络安全管理

安全管理是计算机网络安全的重要环节之一, 也是计算机网络安全体系结构的基础性组成部分。通过恰当的管理活动, 规范组织的各项业务活动, 使网络有序地运行, 这是获取安全的一个重要条件。安全管理是构建安全架构的核心。网络安全所要达到的目的是保证网络应用在需要时可以被随时使用。在安全方面, 我们倡导“三分技术, 七分管理”, 指的是通过管理手段和技术手段来实现更高的安全性。信息安全管理包括安全技术和设备的管理、安全管理制度、部门与人员的组织规则等。管理措施的另外一个方面, 就是加强网络安全宣传, 提高学院职工对网络安全的认识和保护网络安全的自觉性, 从每个网络用户开始进行“主动防护”, 防止“病从口入”。

四、总结

任何一种单一的技术或产品都无法满足我们对网络安全的要求, 只有将技术和管理有机的结合起来, 合理分析需求, 按照体系架构进行安全方案的部署, 从控制网络安全建设、运行和维护的全过程入手, 才能提高整个网络的安全水平。

摘要：随着网络的普及化, 企业信息化建设对网络安全的要求日益加剧。本文讨论了分层架构企业网络安全的概念, 提出结构化的网络安全系统解决方案, 并结合职业学院的网络安全实例进行具体阐述。

关键词：网络安全,分层架构,安全管理

参考文献

[1]李卫.计算机网络安全与管理[M].北京:清华大学出版社, 2004.

[2]袁德明, 乔月圆.计算机IT技术[M].北京:电子工业出版社, 2007.

[3]葛彦强, 汪向征.计算机网络安全实用技术[M].中国水利水电出版社, 2010.

企业网络安全架构技术 篇2

关键字:安全体系 制度管理 风险防范 电力企业信息化

DOI:10.3969/j.issn.1672-8289.2010.09.024

1 前言

随着电力企业Intranet 与Internet 的互联, 电力企业信息网络系统的安全问题日益尖锐。网络信息安全是一个涉及计算机技术、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种技术的边缘性综合学科。一般意义上,网络安全是指信息安全和控制安全两部分。国际标准化组织把信息安全定义为“信息的完整性、可用性、保密性和可靠性”;控制安全则指身份认证、不可否认性、授权和访问控制。

2电力网络安全存在的问题

2.1 安全意识淡薄是网络安全的瓶颈

目前,在网络安全问题上还存在不少认知盲区和制约因素。网络是新生事物,许多人一接触就忙着用于学习、工作和娱乐等,对网络信息的安全性无暇顾及,安全意识相当淡薄,对网络信息不安全的事实认识不足。总体上看,网络信息安全处于被动的封堵漏洞状态,从上到下普遍存在侥幸心理,没有形成主动防范、积极应对的全民意识,更无法从根本上提高网络监测、防护、响应、恢复和抗击能力。

2.2 运行管理机制的缺陷和不足制约了安全防范的力度

运行管理是过程管理,是实现全网安全动态管理的关键。有关信息安全的政策、计划和管理手段等最终都会在运行管理机制上体现出来。就目前的运行管理机制来看,有以下几方面的缺陷和不足。

(1)网络安全管理方面人才匮乏

网络安全装置、服务器、PC机等不同种类配置不断出新的发展。信息安全技术管理方面的人才无论是数量还是水平,都无法适应企业信息安全形势的需要。

(2)安全措施不到位

互联网复杂多变,网络用户对此缺乏足够认识,未进入安全就绪状态就急于操作,结果导致敏感数据暴露,使系统遭受风险。操作系统配置不当或者不进行同步升级厂商发布的补丁等都有可能存在入侵者可利用的缺陷,而造成无法发现和及时查堵安全漏洞。原因是管理者未充分意识到网络不安全的风险所在,未引起重视。

(3)缺乏综合性的解决方案

由于大多数用户缺乏综合性的安全管理解决方案,稍有安全意识的用户越来越依赖“银弹”方案(如防火墙和加密技术),使这些用户也就此产生了虚假的安全感,渐渐丧失警惕。其解决方案应是一整套综合性安全管理解决方案,包括风险评估和漏洞检测、入侵检测、防火墙和虚拟专用网、防病毒和内容过滤、企业管理等方面内容。

2.3 缺乏制度化的防范机制

不少单位没有从管理制度上建立相应的安全防范机制,在整个运行过程中,缺乏行之有效的安全检查和应对保护制度。不完善的制度滋长了网络管理者和内部人士自身的违法行为。

3 当前电力网络安全的主要技术手段

3.1 现行网络信息安全的技术手段

一般来讲,当今计算机网络安全的功能主要体现在5个层面上:a.网络b.系统c.用户d.应用程序e.数据。在以上的各个层面上,每个层面都应该有不同的技术来达到相应的安全保护,如表1所示。

表1 不同安全层面上所对应的安全保护技术

随着电力体制改革的不断深化,计算机网络系统网络上将承载着大量的企业生产和经营的重要数据。因此,保障计算机网络信息系统安全、稳定运行至关重要。为了确保网络信息的安全,在实际应用中通常采用的安全技术有如下几种。

(1)防病毒技术

计算机病毒实际上就是一种在计算机系统运行过程中能够实现传染和侵害计算机系统的功能程序。病毒经过系统穿透或违反授权攻击成功后,攻击者通常要在系统中植入木马或逻辑炸弹等程序,为以后攻击系统、网络提供方便条件。病毒在网上的传播极其迅速, 且危害性极大。并且在多任务、多用户、多线程的网络系统工作环境下,病毒的传播具有相当的随机性, 从而大大增加了网络防杀病毒的难度。要求做到对整个网络要集中进行病毒防范、统一管理, 防病毒产品的升级要做到无需人工干预, 在预定时间自动从网站下载最新的升级文件,并自动分发到局域网中所有安装防病毒软件的机器上。

(2)防火墙技术

防火墙是在内部网和外部网之间实施安全防范的系统,是由一个或一组网络设备组成。防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。

图1 防火墙逻辑位置示意图

(3)入侵检测技术

入侵检测(Intrusion Detection)是对入侵行为的发觉,是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实施保护。Dennying于1987年提出了一个通用的入侵检测模型(如图2所示)。

图2 通用的入侵检测模型

(4)风险评估技术

风险评估(Vulnerability Assessment)是网络安全防御中的一项重要技术,运用系统的方法,根据各种网络安全保护措施、管理机制以及结合所产生的客观效果,对网络系统做出是否安全的结论。其原理是根据已知的安全漏洞知识库,对目标可能存在的安全隐患进行逐项检查。目标可以是工作站、服务器、交换机、数据库应用等各种对象。然后根据扫描结果向系统管理员提供周密可靠的安全性分析报告,为提高网络安全整体水平产生重要依据。网络漏洞扫描系统就是这一技术的实现,它包括了网络模拟攻击,漏洞检测,报告服务进程,提取对象信息,以及评测风险,提供安全建议和改进措施等功能,帮助用户控制可能发生的安全事件,最大可能的消除安全隐患。

风险评估技术基本上也可分为基于主机的和基于网络的两种,前者主要关注软件所在主机上面的风险漏洞,而后者则是通过网络远程探测其它主机的安全风险漏洞。然而风险评估只是一种辅助手段,真正的安全防护工作还是依靠防火墙和入侵检测来完成。

(5)虚拟局域网(VLAN)技术

基于ATM 和以太网交换技术发展起来的VLAN 技术, 把传统的基于广播的局域网技术发展为面向连接的技术, 从而赋予了网管系统限制虚拟网外的网络节点与网内的通信, 防止了基于网络的监听入侵。例如可以把企业内联网的数据服务器、电子邮件服务器等单独划分为一个VLAN 1, 把企业的外联网划分为另一个VLAN 2。控制VLAN 1 和VLAN 2 间的单向信息流向: VLAN 1 可以访问VLAN 2 相关信息;VLAN 2 不能访问VLAN 1 的信息。这样就保证了企业内部重要数据不被非法访问和利用。

(6)虚拟专用网VPN(Virtual Private Network)技术

虚拟专用网络是企业网在因特网等公用网络上的延伸,通过一个私用的通道来创建一个安全的私有连接。虚拟专用网络通过安全的数据通道将远程用户、公司分支机构、公司的业务合作伙伴等与公司的企业网连接起来,构成一个扩展的公司企业网。VLAN 用来在局域网内实施安全防范技术, 而VPN 则专用于企业内部网与Internet 的安全互联。VPN 不是一个独立的物理网络, 他只是逻辑上的专用网, 属于公网的一部分, 是在一定的通信协议基础上,通过Internet 在远程客户机与企业内网之间, 建立一条秘密的、多协议的虚拟专线, 所以称之为虚拟专用网。

除了以上介绍的几种网络安全技术之外,还有一些被广泛应用的安全技术,如身份验证、存取控制、安全协议等等。网络信息安全是一个系统的工程,它与网络系统的复杂度、运行的位置和层次都有很大的关系,因而一个完整的网络安全体系仅靠单一的技术是难以奏效的。在实际应用中,只有根据实际情况,综合各种安全技术的优点,才能形成一个由具有分布性的多种安全技术构成的网络安全系统。

4电力网络安全的防范机制

做好网络信息安全工作,除了采用上述的技术手段外,还必须建立安全管理与防范机制。因为诸多不安全因素恰恰反映在组织管理等方面。良好的管理有助于增强网络信息的安全性。只有切实提高网络意识,建立完善的管理制度,才能保证网络信息的整体安全性。

(1)网络与信息安全需要制度化、规范化。网络和信息安全管理真正纳入安全生产管理体系,并能够得到有效运作,就必须使这项工作制度化、规范化。要在电力企业网络与信息安全管理工作中融入输变电设备安全管理的思想,就像管“电网”一样管理“信息网络”,制定出相应的管理制度。如建立用户权限管理制度、口令保密制度、密码和密钥管理制度、网络与信息安全管理制度、病毒防范制度、网络设备管理流程、设备运行规程、网络安全防护策略、访问控制、授权管理等一系列的安全管理制度和规定。管理制度具有严肃性、权威性、强制性,管理制度一旦形成,就要严格执行。企业应组织有关人员对管理制度进行学习,保证制度的落实。

(2)明确网络与信息安全保证体系中的四个关键系统,即安全决策指挥系统、安全管理技术系统、安全管理制度系统和安全教育培训系统,实行企业行政正职负责制,明确主管领导职权、部门职责和用户责任。按照统一领导和分级管理的原则,明确安全管理部门是企业安全生产监督部门,行使网络与信息安全监督职能以及安全监督人员职责。

(3)应用“统一的策略管理”思想实现网络信息安全的管理目标。“统一”,就是要提高各项安全技术和措施的协同作战能力;策略,就是为发布、管理和保护信息资源而制定的一组规程、制度和措施的综合,企业内所有员工都必须遵守的规则。电力企业应从以下三个方面,规定各部门和用户要遵守的规范及应负的责任,使得网络与信息安全管理有一套可切实执行的依据。

>用户的统一管理:实现员工档案、访问资源的权限的统一管理。

>资源的统一配置管理:文件系统、网络设备(防火墙、认证系统、入侵检测、漏洞扫描),Intranet、Internet网络资源的统一配置管理。

>管理策略的一致性:防火墙规则的制定、Internet访问控制的管理,内部信息资源的管理应体现一致性。只有管理政策一致,才能避免出现遗漏。

(4)强化企业内部人员安全培训

信息安全培訓是实施信息安全的基础,根据中国国家信息安全测评认证中心提供的调查结果显示,现实的威胁主要为信息泄露和内部人员犯罪,而非病毒和外来黑客引起。据公安部最新统计,70%的泄密犯罪来自于内部;计算机应用单位80%未设立相应的安全管理;58%无严格的管理制度。

要实现“企业安全”就必须对企业内部人员进行安全培训,从而强化从高层到基础员工的安全意识,最终提升企业网络信息安全的“机率”。安全培训计划可阶段性地进行,根据企业性质与人员的职责、业务不同,可以将安全培训分成三个不同的层次,即初级、中级和高级。初级培训的对象包括所有员工,培训的内容主要角色与责任、政策与程序;旨在强化所有员工的安全意识与责任;第二层次为中级培训,对象包括高层领导、(非)技术管理人员、系统所有者、合同管理者、人力资源管理者与法律人员。教育及培训的内容包括安全核心知识、风险管理、资源需求与合同需求等,旨在强化人员的安全能力与安全意识。第三层次为高级安全培训,对象包括信息安全人员、系统管理人员,内容主要包括操作/应用系统、协议、安全工具、技术控制、风险评估、安全计划和认证与评估,旨在提高企业的整体安全管理。

5.结束语

综合上述几方面的论述,企业必须充分重视和了解网络信息系统的安全威胁所在,制定保障网络安全的应对措施,落实严格的安全管理制度,才能使网络信息得以安全运行。由于网络信息安全的多样性和互连性,单一的信息技术往往解决不了信息安全问题,必须综合运用各种高科技手段和信息安全技术、采用多级安全措施才能保证整个信息体系的安全。要做到全面的网络安全,需要综合考虑各个方面,包括系统自身的硬件和软件安全,也包括完善的网络管理制度以及先进的网络安全技术等。

参考文献

[1] I.Slutsker,K.Clements. Real time recursive parameter estimation in energy management systems[J] .IEEE Transactions on Power Systems, 1996, 11 (3) :1393-1399 . [2] Liu W-H E, WuFF, LiuS-M. Estimations of parameter errors form measurement residuals in state estimation .IEEE Trans on Power Systems, 1992, 7(1) :81-89 .

[3] VAN CUTSEM T,QUI NTANA V. Network parameter esti mation using online data with application to transformer tap position esti mation .IEE Proceedings:Generation,Transmission and Distribution, 1988, 135 (1) :31-40 .

[4] 甘德强,胡江溢,韩祯祥.2003年国际若干停电问题思考[J],电力系统自动化,2004,28(3):1-4.

[5] 精英科技.网络协议大全[M].北京:中国电力出版社,2001.

[6] 毛京丽,张丽,李文海.现代通信网[M].北京:.北京邮电大学出版社,1999.

[7] 洪宪平.走向网络化的远动系统.电力系统自动化,2001,25(6):1-3.

企业双核心网络架构 篇3

关键词：双核心网络,网络安全,星型结构,VRRP,MSTP

近年来, 随着整个社会信息化程度不断深入, 传统的企业管理模式已越来越不能适应现代企业管理需要, 建设新型企业信息系统已成为了很多企业应对新的经济态势的一种必然选择, 也成为很多企业转型的切入点。信息系统是一个相对较大的范畴, 本文不详细展开, 主要就信息系统的硬件基础——计算机网络的架构优化进行阐述。

1 现状分析

在实际工作中, 人们都希望自己使用的计算机网络高速、稳定, 也就是具备高的可用性, 而且从某种意义上讲稳定比速度更重要。因为在长期使用过程中用户大多可以忍受相对较慢的网速, 但不能接受一个不稳定的网络, 即使这个网络的网速很快。由此可以归纳出网络可用性的基本定义:网络的正常运行时间占其运行总时间的比例。可用如下公式表达:

所以, 在企业网络架构设计过程中, 必须把网络稳定性纳入设计的基本思路中, 采取必要措施从源头上提高网络稳定性和可用性。

2 网络拓扑结构选择

一般来说, 要设计一个网络首先需要确定网络架构, 选择一种怎样的网络架构对于后续网络的设计来说至关重要。传统的网络拓扑结构一般有5种:总线型、环形、树形、星型和网状。其中网状拓扑结构又可以分为普通网状和全网互联型两种。在实际使用中总线型、环形、树形都不适合用作企业网络架构, 只能选择网状型和星型 (树形可以看成是星型结构的一种) 。从网络稳定性上来讲, 网状型是最好的选择, 但是从成本、网络管理、网络安全的角度考虑, 一般选择星型结构。星型结构如图1所示。

星型结构的物理连接方式如图1所示, 其优点非常明显, 这种结构最大的特点就在于每条物理链路只连接两个物理设备, 任何一条物理链路出现故障对整个网络的影响较小, 具有强大的容灾能力。通过划分接入层、汇聚层、核心层的方式, 可以方便地将整个企业网络划分成几个不同层次, 进而配合权限管理, 使用VLAN划分等技术措施进行后续的细化管理。但是, 星型结构的缺点也非常明显, 那就是整个网络核心一旦出现问题, 则整个网络都将不可避免地出现问题, 网络可用性将急剧下降。而在实际操作中发现, 虽然很多企业网络架构中的核心交换机都采用了比较昂贵的高端传输设备, 但是在长期24小时不间断工作中, 某些端口或者背板转发接口等方面都是很容易出现问题的。因此, 需要寻找一种既能保持星型网络拓扑结构优点, 又能有效避免其缺点的网络拓扑结构作为企业网络架构的基础。

3 双核心拓扑架构

双核心拓扑架构如图2所示, 顾名思义, 就是在普通星型拓扑结构的网络中多增加一个核心设备, 从而在一定程度上排除单一核心存在的单点故障隐患。这样既保留了星型拓扑结构的优点, 又能弥补其最大的缺点。虽然在物理上仅仅是增加了一台设备而已, 但是在逻辑上却有着很大不同, 需要引入一些在传统星型网络中没有的新技术和协议。

(1) VRRP技术。如前文所述, 一台新的核心设备被部署到星型网络中, 应如何定义这个新的核心设备在网络中的地位?这个新的核心设备是怎样工作的?它与原有的核心设备在整个网络中的逻辑关系是什么?是不是把2个核心设备用链路连接起来就可以了?网络中的各种设备如何选择自己的上行设备?一旦某个核心设备出现故障, 另一台设备如何承担整个网络的运行?

为了有效回答上述问题, 引入了虚拟路由冗余协议 (VRRP) 。该协议可以将2台路由设备与其共有的下行设备虚拟成一台设备, 这个虚拟出来的设备有自己独立固定的IP地址和MAC地址。对于网络中的各个客户端而言, 在采取了VRRP的前提下并不需要考虑具体的出口路由是什么, 有几台, 具体是从哪个出口出去的, 它们只需要将自己的默认网关或者下一跳地址指定为该虚拟设备的地址即可。在VRRP协议中会给网络中所有运行VRRP的核心路由设备分配一个唯一的VRID, 范围在[0, 255]区间内, 并以此作为选举主备路由的唯一依据, 一般来说VRID数值越大则被选中作为主路由的可能性越大。当主路由出现问题时, 自动由VRID列表中数值第二大的路由设备担当新的主路由, 负责整个网络运转, 而这一过程对于网络内部的各种下行设备或者终端设备来说都是透明的。

(2) MSTP技术。从双核心网络架构的拓扑图中可以看出, 为了能够实现2个核心设备同时工作的目标, 需要在汇聚层与2个核心设备之间配置大量的冗余线路, 这些线路的存在使得整个网络的顶部变得非常繁杂, 也在客观上形成了大量的环路。如果不采取必要的措施, 则必然产生大量的广播风暴, 严重影响整个网络的可用性。

因此, 引入第三代生成树协议MSTP, 也就是多生成树协议有选择性地堵塞部分冗余线路, 从而将复杂的网状结构“裁剪”成一个树状结构。MSTP与之前的第一代STP以及第二代PVST/PVST+相比, 其引入了“实例”的概念, 具备相同“实例”的设备自行组成一个MST域, 并在其内部运行独立的生成树协议, 对外这个域则被看成是一个独立的设备参与到各个MST域之间生成树的算法中。与前两代生成树协议相比, 第三代MSTP协议增加了域路径开销和内部路径开销参数, 因此, 其优先级向量从原来的五维变成了七维, 极大增加了算法复杂度, 提高了生成树的有效性, 可以使不同的VLAN走不同的路径。

4 VRRP+MSTP架构网络

某公司使用VRRP+MSTP技术, 采用双核心的架构方式对本公司网络进行升级。汇聚层 (含) 以上网络拓扑图如图3所示。

该公司网络使用2台H3C7506E交换机作为核心, 运行VRRP+MSTP协议, 使用H3C5500交换机作为汇聚层交换机, 接入层交换机均使用二层交换机 (不可网管) , 所以没有在图3中表示出来。其中左边4台H3C5500选择H3C7506E-A机作为主路由, 右边4台以H4C7506E-B机作为主路由。H3C7506E上对应运行2个实例作为根桥, 分别为左右4台汇聚层交换机服务。在网络投入应有后, 运行基本稳定, 没有出现大的故障。

5 结语

在双核心网络构架下, VRRP实现了多个路由协同工作, 互为备份的工作机制, 而MSTP承担了“裁剪”冗余线路, 防止广播风暴, 实现链路负载均衡的作用, 二者结合才能有效发挥双核心网络架构的优势。虽然从理论上讲采用双核心网络架构的方式, 可以有效提高整个网络的多路径路由冗余能力, 但这并不是一个网络的全部, 如果其他方面, 例如不同拓扑层级网络设计, VLAN划分等方面设计或部署不合理, 仍然会导致网络冗余过度、性能下降、资源浪费等情况。因此, 在进行网络设计时, 充分的前期调研, 科学合理的资源分配至关重要。新的技术和理念仅仅是提供了一种有效工具, 人的思考才是网络技术不断向前发展的动力所在。

参考文献

[1]邹润生.VRRP技术实现网络的路由冗余和负载均衡[J].计算机与信息, 2006 (4) :54-56.

[2]张慧.基于企业网双核心高可用性应用方案研究[J].中州大学学报, 2012 (4) :117-119.

企业网络安全架构技术 篇4

中国移动通信集团广东有限公司东莞分公司 523000

摘要：由于大型园区具有大规模、接入点数目多的因素，各部门及之间的业务隔离要求迫切，导致大型园区络核心层的设计对扩张性要求高，文中总结和分析了常见的核心层设计方法，结合实际把基于核心的冗余设计引入到园区核心网络设计中来，确保了网络安全，并且增强了扩张性。

关键词：大型园区；扩张性；冗余性；核心层；网络安全

随着大型园区信息化建设工程的深入，园区网絡规模越来越大，接入节点数目也逐渐增加，大型园区的平台用户数量也越来越多，尤其是园区各部门的数据在网络上的传输也一定要确保端到端的安全，各部门之间的业务隔离需求显得较为迫切，随伴着各个园区业务的增长速度提高，大型园区络的扩展性也很强。这就需要对大型园区进行高可靠性设计、层次化设计，层次设计最常见的包括有三层设计方法，接入层、核心层、汇聚层。

当中最关键的就是核心层设计，能够确保大型园区具有良好扩张性的核心要素就是需要良好的核心层设计，当采用高冗余网络时，给我们带来的体验，就是在网络设备、链路发生中断或者变化的时候，用户几乎感觉不到。一般核心层冗余设计包括了设备级冗余、链路级冗余、网关级冗余三个环节，本文结合园区的实际情况，结合应用需求对其使用核心层进行冗余设计。

一、层次化设计

在园区网络整体设计中，选择模块化、层次化的网络设计结构，并严格定义各个层功能的模型，不同层次关注不同的特性配置。在园区网络整体设计中，使用模块化、层次化的网络设计结构，并且严格定义每个层功能模型，各个层次所关注的特性配置也有所不同。一般园区网络结构可以分为三个层：接入层、核心层、汇聚层。

1、接入层：供给网络第一级的接入功能，进行简单的二、三层交换，安全、POE和Qos 功能都位于这一层。建议最好对园区网的接入层设备，选择千兆三层接入的办法，要具有堆叠技术、线速三层交换、以及高级QoS 策略等功能。

2、汇聚层：汇聚源自于配线间的流量以及执行策略，一旦路由协议用在这一层时，有着快速收敛、负载均衡、与易于扩展等特点，这一层还能够作为接入设备的第一跳网关；对于园区网的汇聚层设备，应当可以承载园区的几种融合业务，可以融合了IPv6、MPLS、网络安全、无线、无源光网络等多种业务，提供不间断转发、优雅重启、环网保护等多种高可靠技术，能够承载园区融合业务的需求。

（3）核心层：网络的骨干，必须能够提供高速数据交换和路由快速收敛，要求具有较高的可靠性、稳定性和易扩展性等。对于园区网核心层，必须提供高性能、高可靠的网络结构。对于园区网核心层设备，应该在提供大容量、高性能L2 /L3 交换服务基础上，能够进一步融合硬件IPv6、网络安全、网络业务分析等智能特性，可为园区构建融合业务的基础网络平台，进而帮助用户实现IT 资源整合的需求。

典型三层网络架构如下：

二、核心层设计

核心层是网络的高速交换主干，对整个网络的连通起到至关重要的作用。

在核心层中，应该采用高带宽的千兆以上交换机。一般核心层冗余设计包括了设备级冗余、链路级冗余、网关级冗余三个环节。

（一）设备级冗余

设备级的冗余技术分为电源冗余和管理板卡冗余，由于设备成本上的限制，这两种技术一般应用在中高端产品上。如图：

（二）链路级冗余

在大型园区网络中往往存在多条二层和三层链路，使用链路级冗余技术可以实现多条链路之间的备份和流量分担。可以分为二层链路冗余技术和三层链路冗余技术。

二层链路冗余技术：

链路捆绑技术 AP（Aggregate-port）

生成树技术 STP RSTP MSTP

1）二层链路捆绑技术 AP（Aggregate-Port）

AP是链路带宽扩展的一个重要途径，符合IEEE 802.3ad标准。它可以把多个端口的带宽叠加起来使用，形成一个带宽更大的逻辑端口，实现冗余和流量分担。

二层链路捆绑技术 AP：

在如下这种拓扑中，如果不捆绑，STP会阻塞单条链路。但通过捆绑两条链路形成一个逻辑端口AggregatePort，带宽被提升至200M，同时在两条链路中的一条发生故障时，流量会被自动转往另一条链路，从而实现了带宽提升，流量分担和冗余备份的目的。

二层AP技术的负载均衡模式：

基于源MAC进行转发

基于目的MAC进行转发

这是一个项目实施中经常被人忽视的问题。

2）生成树协议简介：

生成树协议802.1D STP作为一种纯二层协议，通过在交换网络中建立一个最佳的树型拓扑结构实现了两个重要功能：环路避免和冗余。

明显的缺陷：收敛慢，而且浪费了冗余链路的带宽。

802.1W RSTP解决了收敛慢的问题，但是仍然不能有效利用冗余链路做负载分担。

1）STP协议的基本原理：为什么需要STP

STP协议的基本原理：STP如何避免环路

2）多生成树协议简介：

a）由于生成树协议的缺陷，在实际工程应用中，往往会选用 802.1S MSTP技术。

b）MSTP技术除保留了RSTP快速收敛的优点外，同时MSTP能够使用instance（实例）关联VLAN的方式来实现多链路负载分担。

多生成树协议应用实例：

2.1）如果使用STP进行冗余设计

2.2）使用MSTP后根据instance到VLAN的关联形成两个逻辑拓扑，实现了冗余和负载分担。

3）三层链路冗余技术：

三层链路的AP和二层链路AP技术的本质都是一样，都是通过捆绑多条链路形成一个逻辑端口来实现增大带宽，冗余和负载分担的目的。

三层AP也需要选择负载均衡模式，推荐使用基于源-目IP对的方式。

三层链路冗余技术可以应用所有的路由协议，由于园区网络绝大部分使用OSPF协议，本节只介绍使用OSPF实现冗余。

2.3）基于OSPF的三层链路冗余技术

基于OSPF的三层链路冗余技术在大型园区网络中使用广泛，通过cost值的调整可以非常容易的实现链路冗余和负载分担

利用OSPF实现冗余和流量负载分担的实例：

对于这种双核心，双链路，单出口的园区网络要实现三层链路的冗余和负载均衡，直接使用OSPF的内建选路机制即可。

（三）网关级冗余技术简介：

对于使用网络的终端用户来讲，需要一种机制来保证其与园区网络的可靠连接，这就是网关级冗余技术。建议使用VRRP技术来实现网关级的冗余。

VRRP简介：

VRRP（虚拟路由冗余协议Virtual Router Redundancy Protocol）是一种容错协议，它保证当主机的下一跳路由器失效时，可以及时的由另一台路由器来替代，从而保持通讯的连续性和可靠性。

VRRP协议通过交互报文的方法将多台物理路由器模拟成一台虚拟路由器，网络上的主机与虚拟路由器进行通信。一旦VRRP组中的某台物理路由器失效，其他路由器自动将接替其工作。

VRRP 基本原理實现图解

多个VLAN都使用同一设备作为网关会造成资源浪费。通过多VLAN中的VRRP路由器实现负载分担：

三、某园区核心层设计

由于每种冗余技术都工作在特定层面上，所以在网络实际应用时需要多种冗余技术的结合使用才能真正保证网络的可靠性。在本章中将为大家介绍一个冗余技术综合运用的实例，使用MSTP+VRRP来实现基于VLAN的链路冗余和网关冗余

原始网络拓扑：用户希望能充分利用网络资源，实现设备及链路的冗余和负载均衡。

VRRP+MSTP案例分析：分解成两个逻辑拓扑

通过VRRP和MSTP的结合使用，最终实现了用户的设想，让VLAN10和20的数据流量使用不同的链路和网关设备。

四 总结

通过选择基于核心层冗余的设计方式，让该网络体系下的总核心层有不错的性能，表现在高安全性、高可靠性和较好的可扩展性等方面。大型园区核心层采用双核心结构设计，核心设备采用高性能三层交换机，并借助链路汇聚，把四条1Gbps 链路绑在一起，从而实现核心设备之间的无阻塞连接，并实现链路的冗余备份与负载均衡，通过核心层的架构设计和实施，从而让高效教学与科研顺利实施得到有效的保障。

参考文献：

[1] 蔡永泉. 计算机网络安全理论与技术教程. 北京：北京航空航天大学出版社[M]. 2003.

[2] 查贵庭，彭其军. 校园网安全威胁及安全系统构建[J].计算机应用研究，2005（3）：150 - 153.

[3] 周华强，刘奇超，胡广平. 校园网安全控制策略[J].中国科教博览，2004（11）：82 - 84.

[4] 邢西深，谢建军. 校园网安全技术及应用[J]. 计算机时代，2004（8）.

上接第478页

管电流过零后反向晶闹管导通。这样，既保证了晶闹管阀的可靠导通，又最大限度的减少了晶间管阀的门极损耗。

由于三相电压相位不同，不同时刻到达电压峰值，如图3所示。对照图3，若三相电容器组都需投入，则稳态时刻脉冲发送顺序应为B—A—C，如图4所示。当检测到A相同步方波信号跳变时，DSP开始计时，并过（60° -第二阶段脉冲串时间）/2的时间后对B相晶间管发送脉冲，待B相脉冲发送完毕后再过（60° -第二阶段脉冲串时间；）对A相晶闹管发送脉冲，待A相脉冲发送完毕后再过（60° -第二阶段脉冲串时间）对C相晶间管发送脉冲，如此便实现了稳态时刻的脉冲发送。若其中一相不需投入，则该相不发送脉冲便可。

图3 三相电压及A相同步方波

图4 脉冲发送顺序

结语：为提高电网功率因数，减少无功在线路中的传输，保证供电质量，本文在分析各种无功功率补偿装置的基础上，提出一种基于DSP的TSC无功补偿装置的整体设计方法，完成了硬件以及软件的设计，并制作样机进行功能验证。样机验证结果表明，该TSC无功补偿装置的设计方法是有效可行的。主要成果如下：

1.功率因数与无功功率相结合的复合控制策略能有效防止电容器组投切振荡。

2.电压零点时刻投入电容器组能有效抑制涌流，保护电容器组。

3.晶闹管均压电路防止晶闸管的过电压，同时光纤隔离驱动电路隔离了强弱电间的电磁干扰，可靠触发晶闹管阀。

4.初次投入电容器组时，前10个电网周期采用连续发送脉冲串方式，之后只于相电压峰值时刻附近发送脉冲串，这种脉冲发送方式是可行的，且相比连续发送脉冲串的方式，大大降低了晶闸管门极损耗。

5.采样电路、同步方波电路、+1.5V与+3V电源电路、晶闸管阀均压电路、光纤隔离驱动电路、DSP供电电源电路、硬件看门狗电路均设计正确，实现了各自的功能。

6.软件编程充分利用了DSP的功能，实现了既定的数据分析处理、脉冲发送设定，循环投切、复合控制策略等功能。

7.在理论分析、硬件设计以及软件设计的基础上制作样机，样机能正常运行，实现了既定的功能。

参考文献：

[1]蒋建民，冯志勇，刘美仪.电力网电压无功功率自动控制系统[M].沈阳：辽宁科学技术出版社，2010.

[2]王士政.电力系统控制与调度自动化[M].北京：中国电力出版社，2012.

企业网络安全架构技术 篇5

网络安全是国家发展所面临的一个重要问题。对于这个问题,还没有从系统的规划上去考虑它,从技术上、产业上、政策上来发展它。网络安全问题一般包括网络系统安全和数据安全。网络系统安全是防止网络系统遭到没有授权的非法访问、存取或破坏;数据安全主要是防止重要、敏感数据被窃取等。将重点探讨基于VLAN的企业网络安全的架构设计。

2 原理

什么是虚拟局域网?由于有众多的供应商所制定的虚拟局域网解决方案和实施策略,所以精确地给虚拟局域网下定义就成为一个有争议的问题。然而,多数人对这种说法表示同意:VLAN即虚拟局域网,是一种通过将局域网内的设备逻辑地划分成一个个网段,从而实现虚拟工作组的新兴技术。

2.1 根据端口划分VLAN

许多最初的虚拟局域网实施按照交换机端口分组来定义虚拟局域网成员。例如,一台交换机的端口1、2、3、7和8上的工作站组成了虚拟局域网A,而端口4、5和6上的工作站组成了虚拟局域网B。此外,在多数最初的实施当中,虚拟局域网只能在同一台交换机上得到支持。第二代实施支持跨越多台交换机的虚拟局域网。

2.2 根据MAC地址划分VLAN

这种划分VLAN的方法是根据每个主机的MAC地址来划分,即对每个MAC地址的主机都配置它属于哪个组。基于MAC地址的虚拟局域网具有不同的优点和缺点。由于硬件地址层的地址是硬连接到工作站的网络界面卡(NIC)上的,所以基于硬件地址层地址的的虚拟局域网使网络管理者能够把网络上的工作站移动到不同的实际位置,而且可以让这台工作站自动地保持它原有的虚拟局域网成员资格。

2.3 基于第三层的VLAN

基于第三层信息的虚拟局域网在确定虚拟局域网成员时考虑协议类型(如果多协议得到支持)或网络层地址(例如,TCP/IP网络的子网地址)。虽然这些虚拟局域网是基于第三层信息的,但这并不构成一种“路由”功能,也不应与网络层路由相混淆。即使交换机检查数据包的IP地址以确定虚拟局域网成员,也不会施行路由计算,不会采用RIP或OSPF协议,而且穿越交换机的数据帧通常根据生成树算法桥接。

3 企业网络三层结构的设计

企业网络三层结构的设计如图1所示:

(1)内部网络分级隔离、分级施策

把原有的服务器区分隔为对外公开的服务器区(DMZ区)和企业专用的服务器区。将对外开放的服务器如:Web服务器、Mail服务器等移入DMZ区。重要的仅供企业内部使用的服务器作为一个服务子网,使用适合的保护措施保护起来。其他部分分别按用途划分为办公子网、管理子网、生产子网,做到分级隔离,划分清晰。在各子网之间根据不同的保护级别实施保护策略,做到分级施策。

(2)安全产品联动,实现交叉防守,立体防御

在网络产品的选择和部署时,考虑各产品的功能和特点,相互结合,充分发挥各自优势。实现安全联动,交叉防守,立体防御。

(3)设备线路设计冗余,避免单点失败

在原有网络中,内部网络所有的流量都要通过主交换机汇入外网,主交换机几乎承载了整个内部网络的数据交换工作,极易出现故障,造成整个网络的瘫痪。新的设计中考虑到这方面的要求,在主交换机处设置了备用交换机,避免单点失败造成网络的中断。

(4)管理安全、集中方便

设置安全管理区,管理员很容易在管理区内对网络中的主机和设备进行集中统一的管理。通过安全产品的监控、报警、审计等功能,了解网络的实时状态,实现对网络的安全管理。

4 VLAN设计

4.1 划分

在安全控制方面,采用虚拟局域网(VLAN)来控制广播域和网段流量,提高网络性能、安全性和可管理性。比如员工常常通过网络联机游戏,有时游戏产生的网络流量严重冲击了骨干网络的整体性能。再比如,有些员工好奇心强,常常喜欢在网络中充当“黑客“的角色,给网络的其他用户造成很大威胁。那么,必须采用划分虚拟局域网(VLAN)的方法,限制信息点之间的互相访问,从而提高了网络的整体性能。

更值得一提的是,接入交换机可以采用VLAN实现端口之间相互隔离,不必占用VLAN资源。在使用VLAN时,各端口不可以互通,仅可通过扩展模块上联端口或其他上联端口可访问互联网或社区服务器。若用户希望端口之间通信,则借助三层交换机或路由器进行路由转发。通过采取这些相应的安全措施,没有授权的用户在网络中的不能任意上网,给网络的安全性带来了基本保障。

4.2 访问控制

三层交换机设置了VLAN路由接口后,默认情况下,任何两个VLAN之间都可以进行通信,实现资源共享。随着网络规模的升级,信息流量逐渐加大,人员管理变得日益复杂,给企业网的安全、稳定和高效运行带来新的隐患,如何消除这些隐患呢?在VLAN间采用访问控制策略,能够加强网络的整体安全。

在核心层和汇接层交换机的接口上建立访问控制列表来实现VLAN之间的访问控制,决定哪些用户数据流可以在VLAN之间进行交换,以及最终到达核心层。访问控制列表ACL由基于一套测试标准的一系列许可和拒绝语句组成。其处理过程是自上向下的,一旦找到了匹配语句,就不再继续处理。在访问控制列表末尾设置一条隐含拒绝语句,若在访问控制列表中没有发现匹配,则最终与隐含拒绝语句相匹配。

4.3 配置命令

配置VLAN:

将端口分配给一个VLAN:

三层物理端口配置:

配置三层口:

5 结语

网络安全体系的建设是一个长期的、动态变化的过程,在新的网络安全技术手段不断出现的同时,新的攻击入侵手段也会随之出现。任何一个安全体系设计方案都不能完全解决所有的安全问题。因此,如何将网络安全技术与网络安全管理无缝地融合在一起,如何能让网络安全实施策略随着不同的网络环境的改变而自动做出相应的改变,这就是在未来的网络安全解决方案研究中需要解决的。

参考文献

[1]郑良春,左安娜.VLAN技术在企业网络中的应用[J].煤,2010,(07).

[2]虞剑波,姜媛.VLAN在高校实验室交换网络中的使用[J].科技资讯,2010,(18).

[3]周慧.VLAN技术和配置实践[J].科技资讯,2010,(07).

电力企业安全等级保障架构搭建 篇6

关键词：网络安全,安全保障体系,安全等级

0 引言

随着电网信息化建设的日趋成熟和完善,信息系统对信息安全的要求已不仅仅是停留在简单的流量控制、入侵防御、身份认证等独立且单向的安全技术应用。在一个健全、完善的信息安全体系中,应实现安全管理和安全技术实施的结合,各类安全产品和安全防护技术之间的协作,最终形成一个有效的整体,是电力安全防护系统中不可或缺的一部分。为了实现对信息系统的多层保护,达到电力信息系统安全保障的目标,辽宁省电力公司防御体系架构包括安全策略、组织结构、安全技术和安全操作4个要素,强调在安全体系中进行多层保护。

辽宁省电力公司信息系统安全体系横向包含安全管理和安全技术2个方面的要素,在采用各种安全技术控制措施的同时,必须制订层次化的安全策略,完善安全管理组织机构和人员配备,提高安全管理人员的安全意识和技术水平,完善各种安全策略和安全机制,利用多种安全技术实施和安全管理实现对信息系统的多层保护,减小其受到攻击的可能性,防范安全事件的发生,提高对安全事件的反应处理能力,并在计算机安全事件发生时尽量减少事件造成的损失。

1 信息安全保障体系概述

根据电力业务系统的安全相关需求,组建安全保障体系的总体指导思想主要包括以下4个方面。

1)信息安全保障体系应以风险评估和等级保护为指导,深入贯彻和落实相关政策的具体要求和方法。

2)信息安全保障体系应全面落实业务系统的具体安全需求,控制系统所面临的各层面的安全风险。

3)信息安全保障体系应建立不同等级的基础安全域,并在不同安全域上构建不同的安全策略和保护措施。

4)信息安全保障体系应能够全面覆盖信息安全技术和信息安全管理的相关内容。

依据安全保障体系组建方法,对比辽宁电力业务系统网络进行的安全域划分,遵照等级保护要求,以深入风险评估为基础,纵向贯穿安全管理和安全技术,形成企业的整体信息安全保障体系(见图1)。

2 安全等级保障架构的搭建

2.1 保护对象的确认

在图1中,保护对象是一些具有相似业务需求和运行环境,具有相对明确的物理或逻辑边界,可以配置相同安全策略的设备及软件系统的集合。通过划分保护对象的范围,可以很明确地对具有相同安全要求的保护对象制定相应的保护策略。为了更好地制定安全策略,通过工作摸索制定了保护对象的划分原则和方法,可以更加有效地划分保护对象。

保护对象的划分原则为每类保护对象的组成具有一定的相似性,且不同保护对象之间具有一定的差异性。

保护对象的划分方法:(1)按照保护对象属性划分。(2)按照保护对象管理和使用范围划分。(3)按保护对象的主要资产组成划分。(4)按照保护对象的管理机构划分。(5)按照保护对象的使用人员类型及特征划分。(6)按照保护对象的业务功能划分。(7)按照保护对象内包括的主要信息类型划分。

2.2 安全域的规划

安全域的规划过程大致分为2个步骤。(1)“自上而下”的分析:基于辽宁电力业务系统的发展考虑,根据业务系统安全域划分和边界整合的思路,从框架上符合辽宁电力业务系统的安全建设形态,形成业务系统的合理性和整体一致性的网络结构。(2)“自下而上”的分析:从目前业务系统的现状出发,以资产为分析基础,按照信息安全风险分析的方法,相近或相似风险的资产属于一个区域,形成适合于现状的业务系统的网络架构。

2.3 边界整合原则及网络架构分析

边界整合原则如下。(1)整合系统到同一外部网络的所有物理边界。(2)根据威胁分析结果,从逻辑上整合威胁相近的外部逻辑边界。

辽宁电力网络架构分为核心层、汇聚层和接入层,网络架构如图2所示。

辽宁电力当前业务系统划分为数据采集子系统、数据处理子系统、核心应用子系统、数据呈现子系统、数据交换子系统等。

根据安全管理及行政管理的要求,将边界细化为内部边界和外部边界。内部边界指各安全区域之间的边界;外部边界则是指综合数据网络整体与辽宁电力下属三产公司(如分支)、与互联网、与第三方的边界。

业务相关终端包括管理和办公终端,也存在第三方或合作伙伴终端。

2.4 数据流分析及结构安全划分

数据流分为业务数据流和维护数据流。业务数据流一般通过数据采集子系统汇集相关数据,传递给数据处理子系统进行相关处理工作,交由核心系统,最终通过数据呈现子系统呈现,业务数据流通过数据交换同辽宁电力系统或第三方等进行数据交换。维护数据流除管理终端到各网元外,运维人员还可以通过KVM(Keyboard、Video、Mouse)网络维护相关设备,KVM应单独成网。

根据辽宁电力应用功能的不同细化区域的划分,如与地市公司及变电站的数据交换、为其他应用或终端用户提供Web服务的可专门划分一个区域,根据现有系统部署的实际情况进行。

进一步明晰边界,根据模型原则和数据流进一步细分或整合,保证数据流路径的合理和安全,便于在各类型边界根据原则和安全需求实施分等级的访问控制等安全防护手段。

2.5 访问控制及入侵防御

辽宁电力在对设备操作的访问行为控制上,按照”最小特权”的方式进行访问控制。严格按照业务流方向编写相应访问控制列表应用到相应接口的相应方向上。在关键边界部署防火墙等安全设备,通过防火墙等设备可以实现安全隔离、访问控制、地址转换、应用控制、会话监控、会话限制、地址绑定、身份认证、日志审计等策略。

地址分配的基本思想是保持各个区域的子网分配连续,以便核心设备在路由选择表中需要最少的路由数就可以正确地转发流量。除了减少路由器中的路由数,路由汇总还使网络更易于排除故障,安全上更容易实现控制。

区域地址和互联地址尽量分别使用连续的网段,或者互联地址使用单独网段,有利于地址汇总并配合路由策略,在减少路由条目的同时,使访问控制更有效地实施。

除了在内外边界通过防火墙、路由器和交换机进行访问控制,还部署入侵检测设备。适当地配置防火墙,可以将非预期的信息屏蔽在外,然而防火墙为提供一些级别获取权的通道可能被伪装的攻击者所利用,攻击者利用这些通道能获得系统的超级用户权限,防火墙不能制止这种类型的攻击,而入侵检测设备能够检测并终止这种类型的攻击行为。

2.6 恶意代码防范和路由协议

现阶段针对病毒的风险,重点是将病毒消除或封堵在终端及服务器上。通过在业务服务器和终端上部署网络防病毒系统,加强终端主机与服务器系统的病毒防护能力,及时升级恶意代码软件版本和恶意代码库,使终端主机及服务器免受病毒、恶意程序等的侵袭,不让其有机会透过文件和数据的分享进而散布到整个用户的网络环境。

路由协议本身也是一种安全工具。对路由进行梳理,统一边界和核心的路由配置,保证对相关数据路由的合理性,使数据的可用和安全得以保障,并配合网络层次、区域、IP地址等的改造和完善。为保证协议安全,应采用相关安全手段(如使用OSPF需采用MD5认证等),防止对路由协议消息的欺骗和更改。

2.7 网络设备防护和冗余

通过对业务的关键网络、安全设备进行评估,依据评估结果集合进行加固,加固建议主要有几个方面,结合实际需要有选择地进行。

1)各类业务路由器禁用以下功能:全局服务和接口服务、路由安全访问、日志和SNMP设置、从网络启动和自动从网络下载初始配置文件、未使用或空闲的端口、源地址路由检查。

2)在关键设备和链路冗余的基础上,对链路当前流量进行分析,在可用性要求较高的链路上(如系统骨干和边界等),历史流量峰值应不超过该链路设计能力的60%。同时通过与设备自身的冗余特性、相关协议和路由协议的配合,达到设备和链路故障的自动切换。

3 应用效果

电力企业安全等级保障构架搭建完成后,实现了对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录。审计记录包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。利用业务部署日志服务器收集相关设备信息,同时通过软件或相关技术(如Net Flow)对设备和网络相关情况进行监控和审计。通过在业务中部署网络安全管理系统,监控范围覆盖到整个网络,集中对网络异常、攻击和病毒进行分析和检测。

实现的网络管理功能包括汇聚和减少来自常见网络设备和安全对策的海量网络和安全数据。通过实现网络智能,通过成熟的事件关联和威胁鉴别有效识别网络和应用威胁。验证后的攻击可通过直观而详细的拓扑结构图以图形方式显示,因此可加强事件识别、调查和工作流程。一旦发现攻击,该系统可通过将具体抵御命令上推到网络执法设备,使操作员能实时预防、抑制或阻止攻击。该系统支持以客户为中心的规则创建、威胁通知、事件调查乃至一系列安全状况和趋势报告。

4 结语

文章以辽宁电力实际情况为参考依据,提出了电力企业安全等级保障架构搭建的具体思路、方法及原则。通过一系列的网络优化及改造,以及网络建设的深入、安全产品不断增加,最终形成统一管理,使各种安全策略和安全产品之间建立有效的数据沟通和交互,使得安全信息得到有效整合,避免了信息安全孤岛。

参考文献

[1]GA/T708-2007.信息安全技术-信息系统安全等级保护体系框架[S].2007.

[2]福罗赞.密码学与网络安全[M].北京:清华大学出版社,2009.

[3]吴钰锋,李泉,李芳敏.网络安全中的密码技术研究及其应用[J].真空电子技术,2004(6):19–21.WU Yu-feng,LIU Quan,LI Fang-min.Research and Application of Cryptogram Technology in Network Security[J].Vacuum Electronics,2004(6):19–21.

[4]杨义先,钮心析.网络安全理论与技术[M].北京:人民邮电出版社,2003.

网络背景下企业组织架构浅析 篇7

现代网络技术的不断更新和变化, 给企业带来了全新的冲击和挑战。在企业中, 其组织架构设计的愈加科学、合理, 愈加能使企业流程正常运转、部门设置合理有序, 并且最大限度地释放企业的正能量, 让企业的经营运转更加有效。但是, 目前在网络背景下的大部分企业却依然使用较为传统的企业组织架构模式, 极少会根据实际情况对组织架构进行调整、改革和创新, 这就致使企业组织内部信息传递缓慢、低效, 组织部门设置不够合理, 机构庞大臃肿, 企业内部资源消耗严重等情况的出现, 具体主要表现为以下几个方面。

1. 组织内部信息传递缓慢

以直线式、矩阵式、中央集权等形式组成了传统的金字塔式的组织架构模式, 并且根据不同的职能划分出垂直型组织架构形式。这些传统的企业组织架构模式, 要求企业各职能部门人员之间的信息只能层层传递, 尤其是垂直型的组织架构模式, 在上级和下级之间, 消息或指令必须逐级传递, 速度十分缓慢, 倘若一旦出现临时或突发情况, 相关部门和人员不能及时根据上级领导层的指示做出紧急的反应和处置, 势必会影响组织的应急处置效率, 甚至会贻误组织最佳的危机解决时机或战略发展机遇期。在网络信息飞速发展的今天, 在互联网信息快速传递的情形下, 企业如若不能根据相关信息及时做出内部组织或系统外部的调整和部署, 很难适应当下的快速发展环境, 必然会致使企业组织架构各层级的信息传递不畅, 做出反应不及时, 错失调整或发展良机。

2. 组织部门设置不够合理

在传统的组织架构模式下, 由于企业部门所设置的管理层次相对较多、一些部门人员的安放过量, 再加上一些企业为了激发普通员工的积极性, 不断扩大中间层管理人员, 造成“中间大、两头小”的组织阶层架构模式, 即中间管理层次较多, 中层管理人员不断增加, 高阶层、高级管理人员以及基层工作人员相对较少, 这在很大程度上会导致企业在中间层耗费过多的时间、精力、物力与人力, 企业管理机构臃肿, 甚至人员冗余, 同时也致使管理成本投入的过量, 消耗过大, 难免造成过度浪费;与此同时, 过多的管理层或中层管理人员, 对于组织部门的职责设置不够清楚, 各部门之间的职责交叉、划分不清, 也容易导致企业组织内部出现互相推诿责任、服务态度不佳等情况, 造成企业管理工作效率过低, 企业内部资源消耗严重, 组织内部合作、协同能力不足, 严重影响了企业的正常运行和不断发展。

3. 过分强调企业管理和销售界限

传统的组织架构模式下, 在企业的内部组织管理和外部销售过程中, 企业下意识地划分出部门、人员、工艺以及销售的区域等界限, 并且过分强调界限问题。殊不知, 在网络背景下, 过分强调界限问题就制约了企业的整体协调发展, 使企业不能灵活地实现“无边界化”的网络运营新模式, 也不能使企业可持续地变换或适时调整组织架构, 让企业在运转过程中尽快地去适应新的网络经济变化。

4. 过分关注内部自身平衡, 忽略外部战略发展

传统的企业组织架构模式一般建立在单一的企业制度或企业文化背景之下, 企业的制度一成不变, 而面对互联网经济的飞速发展, 全球化信息的扑面而来, 企业文化不断受到冲击, 单一的组织架构模式已经无法适应企业投资扩大、业务分散的发展需要, 企业会愈来愈觉得对业务的集中管理充满难度, 于是部分企业过分关注内部组织架构对各部门权利的平衡, 而忽视了外部战略发展的需要, 一部分企业对于传统的组织架构模式便采取保守态度, 一成不变, 这样一来, 势必会造成传统的组织架构模式无法适应现代化经济的发展态势, 贻误企业外部战略发展的契机;而另外一部分企业虽小试牛刀, 但并不考虑整体战略发展的需要, 只是“头痛医头、脚痛医脚”, 殊不知, 企业组织架构对企业的经营状况有着蝴蝶效应的影响, 即微小的不同可能带来巨大的差别, 很容易导致“一着不慎, 满盘皆输”。

二、组织架构改革和创新策略

针对传统企业组织架构出现的一些弊端, 笔者结合自身的工作经验, 认为:传统企业组织架构亟待进行必要的改革和创新, 主要应从以下几个方面入手, 以期更好地去适应现代化网络背景下企业内部组织结构和外部经营管理的运行和发展, 从而为企业的大力发展提供强有力的支撑。

1. 组织架构的扁平化

在企业的运营和管理中, 组织架构担负着企业正常运营和发展的重任, 它是构成企业管理的重要条件。在网络背景下, 内部组织应该选择较少的层次架构--扁平化的组织架构, 缩减企业部门间的中间层次, 积极对企业内部组织的管控和反应能力进行增强, 加快企业组织内部之间的信息传递速度, 同时也保证了消息的真实度和有效性。让扁平化的企业组织架构在现代化网络背景下, 直面市场, 及时掌握市场经济动态, 对于出现的突发性情况, 能够及时做出应急反应, 并积极主动地掌握详细信息, 进行相应的分析、整合, 努力提高企业的市场竞争力, 让企业更好的运行和发展下去。

2. 组织架构的网络化

网络背景下, 企业与企业之间、企业与客户之间可以通过无线互联科技建立信任并缔结合作关系, 比如:可以通过网络进行信息交流或钱货交易等。网络计算机技术的出现, 让企业节省了大笔的人力、物力、财力等资源的开销, 企业可以大大缩减企业组织架构中的层次和环节, 如可以不用聘用大量员工从事管理工作, 以免造成管理人员过剩或闲置现象;也可以不用具备大量的生产和销售场地, 大大减少前期的资金投入量等等。组织架构的网络化, 使各企业、员工之间得到最大限度的交流和合作, 在节省大量不必要的财力、物力、人力资源消耗的同时, 增强了企业内部组织和外部运营的管理、销售力度, 让企业通过网络实现了真正意义上的增值、创收。

3. 组织架构的无边界化

随着企业开始采用网络技术进行企业管理和运营, 企业开始不太强调和限制对人员、地点、任务等的界限划分, 着重关注对这些因素如何进行影响, 才能最终达到将人才、信息、行动和奖励落实到最需要地方的目的。所谓的组织架构的“无边界化”, 并不是说企业没有边界, 开始肆意、放任自流的去经营和管理, 而是指企业组织架构可以根据网络背景下的快速发展变化进行必要的自我改革和优化调整, 以期让企业更灵活地适应现代市场经济的发展。企业通过改革后的组织架构, 制定出合理的职能规划、企业运转和部门设置等战略计划, 以期达到真正意义上的释放企业正能量的效果。

4. 组织架构的多元化

现代化网络技术的发展, 使得企业不再面对单一的业务和地域, 跨区域、跨专业、跨文化交流, 经济发展全球化, 区域经济一体化, 致使企业外部多元化业务开展愈加丰富, 对内部组织架构的调整有了新的要求。在互联网背景下, 内部组织架构的多元化, 致使企业充分运用自身优势运营不同的业务领域, 最大限度的利用国内外市场机会, 最大程度的发挥利用优势资源的能力, 充分利用企业内外部的各种资源, 通过多元化的经营, 增强企业综合竞争力。

此外, 组织架构的虚拟化、知识化、分散化等都需要进行必要的优化, 以期让企业组织架构在现代化网络背景下变得更加完善、更加有效、更加成熟, 并让企业组织更好地去发挥其协同效应, 达到合理、优化的运营状态。

总之, 在现代化网络经济背景下, 企业组织架构的合理设计与不断完善是企业运营和发展的“制胜法宝”。组织架构只有通过全方位的企业内的合作交流, 才能实现企业、人员之间的双赢局面;组织架构灵活的应变能力和可持续的发展态势, 是其更好适应当下网络市场经济的必要手段;组织机构必须在企业发展战略的支撑下进行实时动态的调整, 才能为现代化企业的发展打下坚实的基础。因此, 企业的组织架构必须在管理、生产、销售等各个环节中进行必要的调整和完善, 在企业的整个动态发展过程中进行相适应的改革和创新, 在企业全生命周期中发挥着高效有力的作用, 而只有设计出这样的符合如今网络背景下的企业组织架构, 才能达到多赢的企业运营状态, 才能为企业的发展不断增砖添瓦。

摘要：现代网络技术的不断进步和飞速发展, 不但给企业自身的运营和发展带来了全新的冲击和挑战, 同时也给企业内部的组织架构带来了深远的影响。在本文中, 笔者结合自身的工作实际与经验, 分析了企业组织架构在当前的网络背景下出现的一些新问题及其弊端, 并提出了几点改革和创新组织架构的策略与建议, 为企业的组织发展提供一点参考, 以期让企业更好地适应当下的市场经济发展需求, 让企业更加有效地运营和发展下去。

关键词：企业,网络,组织架构,传统,企业部门

参考文献

[1]朱晓武著.动态匹配:组织结构理论?实证?案例[M].北京:经济管理出版社, 2015.05.

[2]杨紫贤, 侯晨.企业组织架构管理模式的创新[J].中外企业家, 2015 (05) .

[3]马苏, 李红.网络经济条件下企业组织架构的优化[J].东北财经大学学报, 2010 (06) .

[4]刘宏, 刘冰冰, 张芝露.以消费者为中心的企业组织架构设计分析[J].财经界 (学术版) , 2008 (03) .

企业网络安全架构技术 篇8

1 大型企业信息安全体系建设需求

1.1 成熟、实用、可靠的技术

大型企业的优势在于,其员工众多、部门分类清晰,在日常的工作当中,能够有条不紊的处理多项工作,减少工作之间的冲突。但面对大型企业的多个部门和工作要求,其信息安全体系的建设,必须采用成熟、实用、可靠的技术,否则很难保证日后的工作能够顺利展开。根据目前的工作发展趋势,成熟、实用、可靠的技术应在以下几个方面努力。第一,大型企业本身的运营模式已经成型,绝对不可以采取一些简单的信息安全技术或者是正在研发的技术,而是应该选择被广泛采用的或者是与权威机构定制的信息安全技术,要能够从多方面保证企业的信息不会出现泄漏。第二,信息安全技术在应用的过程中,需得到不断的维护,更新各种系统。包括防火墙、入侵检测、防病毒系统等。

1.2 适时定制信息安全方面的制度

对于大型企业而言,其虽然优势明显,但也具有一定的劣势。由于员工众多,再加上各项工作都要经过层层汇报,因此,为了保证信息安全技术能够得到较为充分的发挥,还需要适时的定制信息安全方面的制度,以此来实现客观工作的稳步展开。对于制度而言,应该以信息技术的管理为标准,提高硬性指标,防止出现任何的主观性错误。在今后的工作中,信息安全方面的制度可从以下几个方面努力:第一,制度需根据信息安全技术的制定、维护等方面来制定,为信息安全体系架构的设计,提供较多的帮助,实现工作环境的健全;第二,所有的制度,都要保证有效的落实,不能脱离实际。部分大型企业在制定制度的过程中,过于苛刻,导致信息安全维护工作并没有获得实质的进步,反而影响了固有的工作成果。

2 大型企业信息安全体系架构的设计

2.1 信息安全管理架构设计

针对大型企业本身来讲,信息安全体系应涉及到方方面面的工作,尤其是不能出现细节上的差错,否则很容易造成难以挽回的损失。本文认为,信息安全管理架构设计,应从以下几个方面来实施。第一,信息安全组织。信息安全组织的核心是信息安全角色职责,它定义和明确了信息安全专业团队核心职能角色及其相关的职责,并以此指导未来信息安全组织建设、团队建设和能力培养。第二,信息安全流程。通过这些流程的设计,企业的信息安全职能可以实现对信息安全风险的识别、减少、监控和响应,进行有效的全生命周期管理,实现业务对信息安全的要求。第三,信息安全制度。信息安全制度是规范信息安全管理的基本手段,离开了信息安全制度,就缺乏落实信息安全管理各项要求以及实现信息安全管理目标的手段。

2.2 信息安全控制架构设计

相对于中小型企业而言,大型企业的信息安全体系架构更加重要。在信息安全控制架构设计方面,应在以下几个方面努力。第一,信息系统的等级的划分。随着大型企业业务范围不断拓展,信息系统的等级划分,也应该更加明确,并且根据等级的划分,将各项工作都落实到位,加强安全保障。第二,信息安全运作控制。信息安全运作控制描述为了达到不同安全等级的信息系统和信息的安全目标,在企业的业务运作和信息技术运作过程中需要实施的运作类安全控制的架构,包括控制的分类和控制针对的主要信息安全风险。第三,信息安全技术控制。从技术的角度来分析,在信息系统的网络层、系统层、应用层当中,都会采取不同的信息安全技术控制,并且含有标识、鉴别等多项技术控制。信息安全技术控制,主要是选择控制的手段和方式,要实现长久的控制。

2.3 信息安全技术架构设计

大型企业信息安全体系的架构设计中,除了上述两项工作,还应该在信息安全技术架构上努力。该项工作属于比较核心的工作,在很多方面都能够产生较大的影响。为此,信息安全技术架构的设计,必须保证全面。第一,信息技术基础设施安全架构。基础设施是必要性的设备,在很多方面都要实现客观上的标准。基础设施一般较多,但必须保证结合系统的软件、硬件进行安全部署和配置。第二,信息安全服务架构。对于信息安全服务架构来说,可以适当的参照PDRR模型,将信息安全分成多个环节来工作,如可将信息安全分成保护、检测、反应、恢复这四个环节,不断的提升信息的机密性和完整性。第三,应用安全架构。信息安全体系架构建立后,应将架构及时的投入到具体的应用当中,找出其中的问题差差错,及时修改,完善架构的各项功能。

3 总结

本文对大型企业信息安全体系架构的设计展开讨论,从现有的工作来看,很多大型企业的信息安全体系架构都比较完善,在很多方面都表现出了较为理想的工作状况。随着员工的增多和工作范围的增加,今后应采取多想技术性手段,健全信息安全体系架构的内涵,甚至是预知一些可能会出现的风险,并采取措施为维护。在今后的工作中,应持续改善大型企业信息安全体系架构,实现客观工作的较大提升。

摘要：随着信息技术的发展和应用的不断深入,信息安全日益受到国家、企业和社会公众的关注。相对而言,大型企业的信息安全引起了社会上的广泛重视。由于目前的信息安全盗用案件不断增多,因此在很多方面都为企业的发展敲响了警钟。在今后的企业发展中,必须建立信息安全体系架构,从客观上和主观上采取各种有效的信息安全措施,维持大型企业正常运营的稳定性,促进各项工作的协调发展。

企业网络安全架构技术 篇9

现代计算机技术的发展尤其是互联网技术的快速发展普及为企业管理系统自动化提供了强有力的技术支持。现代化的企业管理系统能提供较为完备产品数据管理功能,可以全面管理人员、产品、客户关系等相关信息。和传统企业管理系统相比,大大缩短了信息处理查询统计的时间,使企业管理层次分明,为企业的各部门如采购、销售提供了有效的统计数据,节约了大量的企业资源。因此,普及企业信息化,有效管理和利用大数据,已经成为提高企业核心竞争力的重要组成。建立一套行之有效的较为科学完善、规范合理、运转高效的工作机制是企业发展的一种趋势,而企业使用电子平台对客户信息、原材料购买、物流、仓储、销售、等环节进行管理也已成为一种必然。

在很长一段时间里 , 很多企业使用一种基于C/S框架的信息数据库管理系统。C/S结构是众所周知的client/server架构,是一种软件系统的体系结构 , 可以充分利用C/S两端的硬件资源。为了减少系统的通信开销,系统合理地分配任务到client和server端。大多数软件应用程序系统现在已经发展到分布式Web应用程序结构。网络和C/S应用程序可以处理相同的逻辑组件。因此 , 内部的和外部的用户可以访问新的和现有的应用系统。通过现有的逻辑组件 , 开发人员可以设计新的应用程序。客户端和服务器通常分布在两台电脑。客户端程序的任务是提交一个请求到服务器程序 , 然后用一个特定的形式将结果返回给用户。服务器的任务是接收客户端的服务请求并进行处理 , 然后将结果返回给客户端。C/S架构自从上个世纪80年代就受到了广泛的应用,是一种在技术上非常成熟的体系,具有存储行为安全级别高,交互性强,网络通信速度快,利于处理庞大的数据信息。由于公司发展初期数据流还是以局域网传递平台,因此此类系统在90年代中后期得到了迅速推广并取得了显著的管理成效。

尽管传统的C/S架构采用开放模式 ,在系统发展是还是有一定的局限性。对于一个特定的应用程序 , 客户端和服务器端还需要特定的软件支持。因为用户得不到真正的开放的环境、软件与C/S结构 ,开发人员需要针对不同的操作系统开发不同版本。所以,系统维护、升级的重新设计和开发 , 增加了维护和管理的难度。随着公司业务的长足发展和销售渠道的全球化,而C/S结构下的仓储管理系统很难在超过一百台电脑的局域网上同时使用,越来越发达的互联网技术也时刻冲击着EBP系统的根基。因此,系统逐渐向具有灵活多变的多级分布结构的B/S体系演化。

B/S结构即Browser/Server架构。它随着互联网技术的兴起而获得长足的发展,对C/S结构进行了优化和改进。在这种结构中 , 仅需要万维网浏览器或者一部分业务逻辑实现前端来构成用户界面。主要的业务逻辑还是利用一种Three-tier结构在服务器端实现。它大大降低了客户端电脑的负荷 , 减少了系统升级和维护的成本和工作负载。B/S相对简单 , 建立网络应用程序占用的资源更少,使数据库应用程序实现互联网 / 内联网模式。B/S可以让不同的客户端从不同的地方有不同的访问方法 ( 如局域网、广域网、互联网 / 内联网等 ), 访问和操作共同的数据库。它能有效地保护数据平台和管理访问权限 , 并使数据库服务器非常安全。特别是在JAVA语言的出现后实现了跨平台 ,B/S架构管理软件表现地尤其出色。随着互联网和万维网的普及,从前主机终端和C/S结构无法实现的全球信息资源共享,如今已经终于实现了。B/S模式最重要的特点是 , 用户通过www浏览器就可以访问所有文本、数据、图像、动画和视频。这些信息是保存在web服务器 ,web服务器可以通过多种方式相互联系。除了www浏览器 , 客户一般不需要任何用户程序。它可以简单地从Web服务器将程序下载到本地。在下载过程中 , 数据库相关的命令将被发送到数据库服务器的Web服务器端来实现。结果将被返回给Web服务器 , 然后Web服务器再返回发送到用户界面。