時間:2023-11-10 11:07:44
引言:易發表網憑借豐富的文秘實踐,為您精心挑選了九篇企業網絡的設計與實現范例。如需獲取更多原創內容,可隨時聯系我們的客服老師。
中圖分類號:TP393文獻標識碼:A文章編號:16727800(2012)009013403
1企業組網中采用單一網段架構的不足之處
企業在組建局域網和信息化平臺時,為節約成本往往采用了單一網段架構的組網模式。隨著企業內部聯網計算機的不斷增多、網絡應用的日趨復雜,這種架構的弊端也不斷顯現出來。由于防火墻、服務器、工作站等網絡設備處在同一個網段(同一廣播域),大量的廣播包發送到局域網上容易引起廣播風暴、占用很高的網絡帶寬,從而影響到正常業務數據流的穩定傳輸。一旦某計算機發生ARP攻擊或者冒用了網絡設備的IP地址,就會干擾到網絡的正常運行,造成嚴重的安全隱患。為了解決上述問題,提高企業網絡的安全性、穩定性和可靠性,就需要部署與實施VLAN虛擬局域網。
2VLAN虛擬局域網的主要特點
IEEE802.1Q定義了VLAN網橋和操作規范。傳統的共享介質型以太網中,所有的計算機位于同一個廣播域中,廣播域越大對網絡性能的影響也就越大。有效的解決途徑就是把單一網段架構的以太網劃分成邏輯上相互獨立的多個子網,同一VLAN中的廣播包只有同一VLAN的成員組才能收到,而不會傳輸到其它VLAN中去,這就很好地控制了廣播風暴。在企業網絡組建中,通過合理的VLAN設計規劃,一方面可以限制廣播域,最大限度地防止廣播風暴的發生,節省網絡帶寬;同時還可以提高網絡處理能力,并通過VLAN間路由、VLAN間互訪策略,全面增強企業網絡的安全性。
3企業VLAN規劃中的技術要點
VLAN技術在大型局域網、大型校園網的組建中有著廣泛的應用,VLAN的規劃和設計是高等計算機網絡的一個重點,同時也是一個技術難點,實施者必須具備較高的計算機網絡知識與實踐技能。企業在實施VLAN前,應該從以下幾個方面重點分析和考慮:
(1)根據目前的網絡拓撲、綜合布線、各類網絡設備、計算機數量以及分布的地理位置進行統計和調研。通常位于核心層的防火墻、服務器組等應劃分到一個單獨的VLAN網段,然后根據各部門的網絡應用需求、聯網設備數量作進一步規劃。
(2)采用合適的VLAN劃分技術,常見的VLAN劃分方式包括:基于端口的VLAN、基于MAC地址的VLAN、基于協議的VLAN、基于IP子網的VLAN 和基于策略的VLAN等。以中小型企業為例,計算機的數量與分布的地理位置相對比較固定,優先考慮采用基于端口的靜態VLAN劃分方式。將交換機中的任意端口定義為一個VLAN端口組成員,從而形成一個VLAN網段,將指定端口加入到指定VLAN中之后,該端口就可以轉發指定VLAN的數據包。
(3)各個VLAN之間的路由與ACL訪問策略的配置。通常服務器所屬的VLAN可以與其它VLAN相互訪問,各個VLAN的內部計算機可以互訪,其它VLAN之間計算機的互訪權限視具體情況在三層交換機加以啟用或禁用。
(4)防火墻到各個VLAN之間的路由規劃。防火墻是整個企業網的Internet總出口,直接決定哪些VLAN組、哪些計算機成員可以訪問Internet。
(5)必要的經費投入,購買合適的網絡設備。一般選擇三層智能VLAN以太網交換機,根據設計方案,通過命令參數進行配置。由于不同品牌、不同型號的交換機VLAN配置參數與語法命令不盡相同,因此需要VLAN實施者精通常用交換機的配置與應用。
4某企業VLAN規劃和實施的具體步驟與案例分析
隨著經營業務的不斷擴展、聯網設備的不斷增多,為提高局域網安全性和處理能力,筆者參與了某商品流通企業的局域網VLAN實施項目。從企業網絡應用的規模和現狀分析,設計劃分為5個VLAN, 其中VLAN16為服務器核心網段,可以與其它全部VLAN(17~20)互訪。VLAN(17~20)只能訪問16網段,相互之間不能互訪,但每個VLAN內部計算機可以互訪。防火墻型號為H3C SecPath F100S,LAN口管理IP為192.168.16.1,可以路由到全部5個VLAN,并能控制任意網段的計算機訪問外網與IP流量。
接入層訪問端口,按表1方案,連接網絡設備、各職能部門的工作站計算機、網絡共享打印機、無線接入點AP等
在實施VLAN前,首先要對企業現有的綜合布線作全面的梳理,每根網線連接哪臺電腦、交換機的端口標識要明確、清晰。在核心交換機端口充裕的情況下,做到計算機與核心交換機端口直接相連,盡量不要采用SOHO交換機進行多層次的網絡轉接。根據VLAN設計方案,對網絡設備、部門計算機的網絡參數進行重新分配和配置,把每臺計算機的網線連接到交換機對應的VLAN端口。
該項目中,采用了H3C公司的48口全千兆三層以太網交換機S550048PSI。S550048PSI千兆以太網交換機定位于企業網和城域網的匯聚或接入,具備豐富的業務特性,提供了高性能、大容量的交換服務,并支持10GE 的上行接口,為接入設備提供了更高的帶寬。同時還可以用于數據中心服務器群的連接,為用戶提供了高接入帶寬和高端口密度。S550048PSI支持4K個基于端口的VLAN,在全雙工模式下交換容量為240Gbps,整機包轉發率為72Mpps,可以滿足企業目前應用需求。
S550048PSI交換機的配置是整個VLAN實施中的技術重點和難點,其配置要點說明如下:
(1)創建ACL訪問策略。根據設計方案,VLAN16可以與VLAN(17~20)直接互訪,無須設置拒絕訪問規則。VLAN17不能與VLAN(18~20)互訪,VLAN18不能與VLAN(17、19、20)互訪,VLAN19不能與VLAN(17、18、20)互訪,VLAN20不能與VLAN(17~19)互訪。因此,必須單獨設置規則號和拒絕訪問控制列表。
5VLAN實施后產生問題如何解決
由于實施VLAN后除了VLAN16其它各網段之間不能直接互訪,因此也帶來了一些網絡應用上的問題。比如不同VLAN之間不能直接共享打印機和共享文件夾,需要重新設置共享。解決方案是在同一VLAN的內部計算機上設置共享打印機或者文件夾,或者在VLAN16網段上設置共享打印機或者文件夾,以便給全公司的聯網計算機訪問。
6結語
通過實施VLAN前后的網絡協議分析,在企業網絡應用高峰期利用OmniPeek協議分析軟件在各個VLAN網段中實時抓包采樣,發現各個網段的廣播包數量明顯減少,網絡利用率有了明顯提高,實施后從未發生過廣播風暴現象。特別是核心層網絡設備從普通交換機升級到全千兆VLAN交換機后,業務軟件的輸入、統計、查詢,以及瀏覽網頁的速度均有較大的提高,網絡性能有了很大改善。
上述企業VLAN的設計思路、實施步驟和配置參數具有很高的參考與應用價值。規模更大、更復雜的企業網擁有更多的計算機,因此,需在此基礎上劃分更多的VLAN、設計更加復雜的ACL訪問控制策略。通過VLAN的實施,不僅提高了網絡安全性和利用率,并且對于今后企業網絡的擴展和升級都帶來了很大的便利。
參考文獻:
[1]崔北亮.CCNA認證指南(640-802)[M].北京:電子工業出版社,2009.
[2]王達.CISCO/H3C交換機配置與管理完全手冊[M].北京:中國水利水電出版社,2009.
[3]Marina Smith.虛擬局域網[M].北京:清華大學出版社,2003.
關鍵詞:企業網絡安全;內網安全;安全防護管理
中圖分類號:TP311 文獻標識碼:A 文章編號:1674-7712 (2013) 04-0069-01
一、企業網絡安全防護信息管理系統的構建意義
據調查統計顯示,源于企業外部網絡入侵和攻擊僅占企業網絡安全問題的5%左右,網絡安全問題大部分發生在企業內部網絡,內部網絡也是網絡安全防護的關鍵部分。因此,對企業內部網絡信息資源的有效保護極為重要。傳統的網絡安全防護系統多數都是防止外部網絡對內部網絡進行入侵和攻擊,這種方式只是將企業內部網絡當作一個局域網進行安全防護,認為只要能夠有效控制進入內部網絡的入口,就可以保證整個網絡系統的安全,但是,這種網絡安全防護方案不能夠很好地解決企業內部網絡發生的惡意攻擊行為,只有不斷加強對企業內部網絡的安全控制,規范每個用戶的行為操作,并對網絡操作行為進行實時監控,才能夠真正解決企業內部網絡信息資源安全防護問題。
二、企業網絡安全防護信息管理系統總體設計
(一)內網安全防護模型設計。根據企業內部網絡安全防護的實際需求,本文提出企業網絡安全防護信息管理系統的安全防護模型,能夠對企業內部網絡的存在的安全隱患問題進行全面防護。
由圖1可知,企業網絡安全防護信息管理系統的安全防護模型從五個方面對企業內部網絡的信息資源進行全方位、立體式防護,組成了多層次、多結構的企業內部網絡安全防護體系,對企業內部網絡終端數據信息的竊取、攻擊等行為進行安全防范,從而保障了企業內部網絡信息資源的整體安全。
(二)系統功能設計。企業網絡安全防護信息管理系統功能主要包括六個方面:一是主機登陸控制,主要負責對登錄到系統的用戶身份進行驗證,確認用戶是否擁有合法身份;二是網絡訪問控制,負責對企業內部網絡所有用戶的網絡操作行為進行實時監控和監管,組織內網核心信息資源泄露;三是磁盤安全認證,負責對企業內部網絡的計算機終端接入情況進行合法驗證;四是磁盤讀寫控制,負責對企業內部網絡計算機終端傳輸等數據信息流向進行控制;五是系統自防護,負責保障安全防護系統不會隨意被用戶卸載刪除;六是安全審計,負責對企業內部網絡用戶的操作行為和過程進行實時審計。
(三)系統部署設計。本文提出的企業網絡安全防護信息管理系統設計方案采用基于C/S模式的三層體系架構,由安全防護、安全防護管理控制臺、安全防護服務器三部分共同構成,實時對企業內部網絡進行安全防護,保障內部網絡信息資源不會泄露。安全防護將企業內部網絡計算機終端狀態、動作信息等傳遞給安全防護服務器,安全防護管理控制臺發出指令,由安全防護服務器將指令傳送給安全防護完成執行。
三、企業網絡安全防護信息管理系統詳細設計
(一)安全管理控制臺設計。安全管理控制臺是為企業網絡安全防護信息管理系統的管理員提供服務的平臺,能夠提供一個界面友好、操作方便的人機交互界面。還可以將安全策略管理、安全日志查詢等操作轉換為執行命令,再傳遞給安全防護服務器,通過啟動安全防護對企業內部網絡計算機終端進行有效控制,制定完善的安全管理策略,完成對系統的日常安全管理工作。
安全管理人員登錄管理控制臺時,系統首先提示用戶輸入賬號和密碼,并將合法的USB Key數字認證設備插入主機,經過合法性驗證之后,管理員獲得對防護主機的控制權。為了對登錄系統用戶的操作嚴格控制,本系統采用用戶名和密碼登錄方式,結合USB Key數字認證方式,有效提高了系統安全登錄認證強度。用戶采取分級授權管理的方式,系統管理人員的日常維護過程可以自動生成日志記錄,由系統審計管理人員進行合法審計。
(二)安全防護服務器設計。安全防護服務器主要負責企業網絡安全防護信息管理系統數據信息都交互傳遞,作為一個信息中轉中心,安全防護服務器還承擔命令傳遞、數據處理等功能,其日常運行的穩定性和高效性直接影響到整個系統的運行情況。因此,安全防護服務器的設計不但要實現基本功能,還應該注重提高系統的可用性。
安全防護服務器的主要功能包括:負責將安全管理控制臺發出的安全控制信息、安全策略信息和安全信息查詢指令傳送給安全防護;將安全防護上傳到系統中的審計日志進行實時存儲,及時響應安全管理控制臺的相關命令;將安全防護下達的報警命令存儲轉發;實時監測安全管理控制臺的狀態,對其操作行為進行維護。
(三)安全防護設計。安全防護的主要功能包括:當安全防護建立新的網絡連接時,需要與安全防護服務器進行雙向安全認證。負責接收安全防護服務器發出的安全控制策略命令,包括用戶身份信息管理、磁盤信息管理和安全管理策略的修改等。當系統文件已經超過設定的文件長度,或者超過了設定的時間間隔,則由安全防護向安全防護服務器發送違規操作信息;當其與安全防護服務器無法成功建立連接時,將日志信息存儲在系統數據庫中,等待與網絡成功重新建立連接時,再將信息傳送到安全防護服務器中。
綜上所述,本文對企業內部網絡信息安全問題進行了深入研究,構建了企業內部網絡安全防護模型,提出了企業網絡安全防護信息管理系統設計方案,從多方面、多層次對企業內部網絡信息資源的安全進行全面防護,有效解決了企業內部網絡日常運行中容易出現的內部信息泄露、內部人員攻擊等問題。
參考文獻:
關鍵詞:snort;IPTables;Sebek;入侵檢測技術;蜜罐系統;信息安全
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2011)26-6392-02
作為一種新型的信息安全技術,蜜罐技術不再因循傳統信息安全的被動防御體系,它一方面能夠作為獨立的信息安全工具,另一方面也能夠與其它信息安全工具協作。蜜罐技術通過構造網絡誘騙環境,來研究網絡入侵者的具體技術與行為。傳統的網絡安全系統往往拘泥于一種體系,該文的創新之處在于研究如何使其它安全技術與蜜罐技術相結合,從而實現一個高交互度級別的蜜罐系統,進而構成統一的網絡安全基礎設施。
1 網絡安全蜜罐系統的理論設計與實現
1.1 系統總體設計
該文所設計的蜜罐系統由三部分構成:網關、監控機和虛擬蜜罐,如圖1所示。
網關(HoneyWall)是以橋接模式部署的,網關接口以橋接方式連接,不會提供本身的 MAC 地址,對網絡數據包也不會進行網絡路由 和TTL遞減,網關將控制和審計所有流入流出蜜罐系統的網絡流量。
該文所設計的蜜罐系統引入多層次的數據捕獲機制,分別是:
1) 防火墻。截獲所有IP包,從其傳輸層協議頭 以及IP頭中獲取相關信息,與事先設定的訪問控制規則按順序依次匹配,并執行其規定的動作。
2) 入侵檢測系統。基于Snort的入侵檢測系統監聽流入流出蜜罐系統的全部網絡流量,根據配置,對與Snort攻擊特征相匹配的數據包產生報警日志,避免攻擊。
3) 系統行為監視器。使用了Sebek來捕獲攻擊者基于加密信道的攻擊行為。在蜜罐主機上以內核模塊的方式安裝Sebek客戶端,在網關上安裝Sebek服務端,存儲來自多個蜜罐主機發來的Sebek數據。
蜜罐系統在網關上運行IPTables防火墻、Sebek服務端以及網絡入侵檢測系統Snort。引入VMware虛擬機軟件虛擬出分別運行Windows XP和Linux操作系統的兩個蜜罐主機,系統結構圖如圖2所示。
1.2 核心模塊的理論分析與設計
1.2.1 數據控制模塊
該文引入Linux 開放源代碼的自帶的防火墻IPTables實現數據控制,系統偵測到數據包的進入時,會通過路由表查詢,來決定數據包的流向。接下來,將信息包所傳遞到的鏈中的每條規則與數據包的頭信息進行比較,看與某條規則是否完全匹配。該文所設計的網絡安全蜜罐系統信息包過濾過程如圖3所示。
在信息安全主系統上IPTables發揮了兩個作用,首先是記錄流經主系統的數據流量,其次是限制由蜜罐網絡發出的對外連接。引入IPTables的作用就是在數據捕獲的同時實現第三方保護,有效的降低整個系統的風險,控制蜜罐的對外連接。
IPTables蜜罐系統中對數據包進行處理時,為減少日志中的冗余信息,對入站連接而言,僅僅對新建的連接進行記錄,并默認所有的對內連接均為允許。相反,嚴格控制出站連接,只要原地址并非蜜罐地址,便記錄并丟棄,從而避免由蜜罐發起的IP欺騙攻擊;IPTables允許蜜罐系統發送和接收廣播包,并使用基于廣播的一些服務,從而誘騙黑客相信這是正常的一臺服務器;此外,IPTables蜜罐系統對出站的連接數進行限制,從而避免黑客發動DoS攻擊,同時也支持對第三方的保護。
1.2.2 入侵檢測模塊
本系統由Snort來實現輕量級的網絡入侵檢測。它能夠對攻擊進行實時報警,檢測各種不同的攻擊方式。
Snort 在本系統中的主要功能,首先是采集和分析在網關對進出蜜罐系統的數據,實現攻擊的檢測;其次是控制蜜罐系統的數據,根據策略對數據包進行規則匹配,以判定是否有第三方發起攻擊,進行丟棄或修改。
本系統在設計中,將 snort sensor 網卡設置為混雜模式,對進入局域網的數據,引入libpcap抓包函數庫的API進行截獲和監控,同時通過相應的解包函數逐層按協議棧解碼截獲的數據包。在此基礎上形成可被分析系統識別的數據包。根據 Snort 配置文件進行匹配,并記錄匹配結果。圖4所示為該文所設計的Snort的結構。
在入侵檢測模塊中,Snort的規則分析是實現的重點。Snort的規則邏輯由兩部分構成,分別是:Rule Option(規則選項)和Rule Header(規則頭)。在規則頭中,包括所匹配網絡報文的協議、規則的行為、目標地址、源地址和源端口和目標端口、網絡掩碼等信息;在規則選項中,則包含了判定報文是否為攻擊報文的信息以及顯示給用戶查看的警告信息。
1.2.3 數據捕獲模塊
Sebek 是基于內核的捕獲數據的工具,支持系統查看蜜罐的內部活動。
1)基于Sebek的數據記錄。
Sebek有兩個客戶端和服務端組成部分,客戶端捕獲數據并輸出到服務端,服務端收集數據后,既可以馬上顯示擊鍵記錄,也可以上傳到相關數據庫。該文所涉及的網絡安全蜜罐系統數據捕獲是通過對系統調用表的read()函數進行替換來進行的。如圖5所示。
主要流程為:調用老 read()函數替換新函數,同時在一個數據包緩存拷貝內容,再加上一個數據包頭,發送到服務端。通過改變系統調用表的函數指針來實現替換原來的函數。當標準的read()函數被用戶空間的進程調用時,便會出發一個系統調用,這個系統調用通過到系統調用表數組映射,導致索引偏移。由于read索引的函數指針被Sebek修改,并指向到它自己的函數,因此Sebek修改后的read調用會在執行到內核的 read 實現時被觸發,通過這個系統調用,Sebek便能夠訪問所有的數據。
2)基于Sebek的數據發送
當數據被Sebek客戶端捕獲的時候,數據應該在沒有被入侵者察覺時就發送到服務端。通常在一個局域網內布置蜜罐,如果給服務端發送數據 只是由Sebek使用 UDP 流來完成,就會使入侵者通過網絡上的數據傳輸監聽來判別Sebek是否存在。因此,本設計在使用UDP發送數據給服務端的提示,通過修改內核,使這些數據包無法被用戶看到,包括該類型使用相同配置的其它主機發送的數據包。具體的實現為:在任意一個read()調用請求 Sebek的時候,均能夠產生日志數據包,每個日志數據包都體現出這個調用訪問的數據和調用內容的信息。這些數據包均含有 Sebek 記錄,這個Sebek記錄包含產生調用的進程數據信息。由于完全由Sebek(而不是使用 TCP/IP 協議棧)產生這些包,因此這些數據包無法被系統看到或阻斷。創建好數據包就直接發至驅動設備,而嗅探器的libpcap收集數據包是依賴使用原始套接字接口的,所以由Sebek產生的數據包嗅探器就無法看到了,從而實現了數據發送。
2 結束語
該文在snort入侵檢測技術的基礎上,研究和設計了一個具有高交互度級別特征的蜜罐信息安全系統,其中,重點闡述了基于蜜罐的數據捕獲和數據控制功能的多層次設計上。在分析蜜罐系統的體系結構的基礎上,深入研究了對蜜罐系統中使用到的 Snort體系和規則,具有比較好的理論意義和實踐價值。
參考文獻:
[1] 魏亮,周吉陽. 互聯網網絡與信息的安全策略[J].通信管理與技術,2011(6):15-18.
[2] 譚紅斌,鄭鑫. 網絡安全防御系統的安全策略及系統框架研究[J].電腦開發與應用,2009,21(11):67-77.
[3] 代平順,王洪超.互聯網網絡安全探討[J].科技信息,2009(17):387-388.
關鍵詞 網絡安全;方案設計;方案實現
中圖分類號 G271 文獻標識碼 A 文章編號 1673-9671-(2012)111-0142-01
計算機網絡的安全運行,是關系到一個企業發展的重要問題,如何能使得企業網絡更為安全,如今已經成為了一個熱議的話題。影響網絡安全的因素有很多種,保護網絡安全的手段、技術也很多。對于網絡安全的保護我們一般都是通過防火墻、加密系統、防病毒系統、身份認證等等方面來保護網絡的安全。為了保護網絡系統的安全,我們必須要結合網絡的具體需求,把多種安全措施進行總結,建立一個立體的、全面的、多層次網絡安全防御系統。
1 影響網絡安全的因素
網絡信息的安全問題日益嚴重,這不僅會使企業遭受到巨大的經濟損失,也影響到國家的安全。
如何避免網絡安全問題的產生,我們必須要清楚因法網絡安全問題的因素有哪些。我們主要把網絡安全問題歸納為以下幾個方面:
1.1 人為失誤
人為失去指的是在在無意識的情況下造成的失誤,進而引發網絡安全問題。如“非法操作、口令的丟失、資源訪問時控制不合理、管理人員疏忽大意等,這些都會對企業網絡系統造成很大的破壞,引發網絡安全問題。
1.2 病毒感染
病毒一直以來,都是能夠對計算機安全夠成直接威脅的因素,而網絡更能夠為病毒提供迅速快捷的傳播途徑,病毒很容易通過服務器以軟件的方式下載、郵件等方式進入網絡,然后對計算機網絡進行攻擊、破壞,進而會造成很大的經濟損失。
1.3 來自企業網絡外部的攻擊
企業網絡外部的攻擊主要是企業局域網外部的惡意攻擊,比如:偽裝合法用戶進入企業網絡,并占用修改資源;有選擇的來破壞企業網絡信息的完整性和有效性;修改企業網站數據、破譯企業機密、竊取企業情報、破壞企業網絡軟件;利用中間網線來讀取或者攔截企業絕密信息等。
1.4 來自網絡內部的攻擊
在企業局域網內部,一些非法人員冒用合法的口令,登陸企業計算機網絡,產看企業機密信息,修改企業信息內容,破壞企業網絡系統的正常運行。
1.5 企業網絡系統漏洞
企業的網絡系統不可能是毫無破綻的,而企業網絡中的漏洞,總是設計者預先留下的,為網絡黑客和工業間諜提供最薄弱的攻擊部位。
2 企業計算機網絡安全方案的設計與實現
影響計算機網絡完全因素很多,而相應的保護手段也很多。
2.1 動態口令身份認證的設計與實現
動態口令身份認證具有動態性、不可逆性、一次性、隨機性等特點,跟傳統靜態口令相比,增加了計算機網絡的安全性。傳統的靜態口令進行身份驗證的時候,很容易導致企業計算機網絡數據遭到竊取、攻擊、認證信息的截取等諸多問題。而動態口令的使用不僅保留了靜態口令的優點,又采用了先進的身份認證以及解密流程,而每一個動態口令只能使用一次,并且對認證的結果進行記錄,防止同一個口令多次登錄。
2.2 企業日志管理與備份的設計與實現
企業要想保證計算機網絡的安全,對于計算機網絡進行日志管理和備份是不可缺少的內容,日志管理和備份數據系統是計算機運行的基礎。計算機在運行過程中難保不會出現故障,而計算機中的數據和資料的一個企業的血液,如果數據和資料丟失,會給企業今后的發展帶來巨大的不便,為了避免數據資料的丟失,我們就應當對計算機網絡做好數據備份以及數據歸檔的保護措施。這些都是維護企業網絡安全的最基本的措施與工作。
2.3 病毒防護設計與實現
計算機病毒每年都在呈上漲的趨勢,我國每年遭受計算機入侵的網絡,占到了相當高的比例。計算機病毒會使計算機運行緩慢,對計算機網絡進行有目的的破壞行為。目前Internet在飛速的發展,讓病毒在網上出現之后,會很快的通過網絡進行傳播。對于企業計算機網絡,應當時刻進行監控以及判斷系統中是否有病毒的存在,要加大對于病毒的檢測。處理、免疫及對抗的能力。而企業使用防病毒系統,可以有效的防止病毒入侵帶來的損失。為了使企業的網絡更加安全,要建立起一個完善的防病毒系統,制定相應的措施和病毒入侵時的緊急應急措施,同時也要加大工作人員的安全意識。
病毒會隨著時間的推移變的隨時都有可能出現,所以企業中計算機網絡安全人員,要隨時加強對于防毒系統的升級、更新、漏洞修復,找出多種不同的防毒方法,提高企業計算機網絡防病毒的能力。
2.4 防火墻技術設計與實現
Internet使用過程中,要通過內網。外網的連接來實現訪問,這些就給網絡黑客們提供了良好的空間與環境。目前,企業計算機網絡系統,采用防火墻技術,能有效的保證企業的機密不會受到網絡黑客以及工業間諜的入侵,這種方法也是維護企業計算機網絡最有效、最經濟的方法,因為防火墻系統是企業計算機網絡安全的最前面屏障,能有效的組織入侵情況的發生。所以企業計算機網絡第一個安全措施就是安裝以及應用防火墻。防火墻一般是安裝在內部網絡出口處,在內網與外網之間。
防火墻最大的特點是所有的信息傳遞都要經過它,這樣就能有效的避免企業網絡遭到非法入侵,防火本身的具有很高的可靠性,它可以加強對企業網絡的監督,防止外部入侵和黑客攻擊造成的信息泄露,
2.5 網絡安全設計的實現
在企業網絡運行中,與用戶和各個系統之間,存在著信息交換的過程,這些信息包括信息代碼、電子文稿、文檔等,所以總會有各種網絡安全的問題出現。為了保障網絡的安全性和客戶使用的合法性,就要去嚴格的限制登錄者的操作權限,增加口令的復雜程度。當工作人員離職要對于網絡口令認證做出相應的調整,以避免帶來的不便。
3 總結
現今網絡在現代生活中發展迅速,然而網絡安全的系統也日益突出。作為一個企業如何的保證自己網絡的安全性,使自身能夠更快更好的發展,面對著網絡入侵的行為要進行如何的防御,已經是一個越來越迫切的問題。我們只有從實際出發,去構建一個完整的安全的網絡防御系統,才能保證企業網絡的安全。
參考文獻
[1]唐紅亮.防火墻設計淺析[J].中國科技信息,2009,06.
關鍵詞:思科設備;企業網;安全方案
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1006-8937(2013)14-0083-01
隨著企業網絡不斷的擴展和互聯網技術的不斷更新,各大中企業越來越多的通過網絡來發展業務。由于大中企業的發展規模不斷擴大,員工人數的不斷增加,并且擴展了越來越多的分公司。現有的企業網絡系統逐漸不能滿足企業信息化建設在安全性和可靠性等方面的要求。因此,對大中型企業網絡進行改善,以提高網絡的可用性、安全性、可靠性、穩定性,并具有一定的可擴展性要求,用來滿足企業業務發展的需求是十分必要的。通過按照企業網絡的建設規劃和總體要求,主要通過利用原有綜合布線系統和設備的基礎上,重新規劃實施,建設安全性高的企業內聯網,以滿足網絡整體性能的要求,并為各種網絡服務和信息系統的使用提供運行良好的網絡平臺。
1 企業網安全建設需求分析
按照目前大中企業網絡建設規劃和總體要求,將對企業網絡設備進行相關的配置和實施,使企業網絡滿足設計的要求,實現高效的企業網絡的辦公網絡系統。將網絡按照層次的要求滿足發展中公司信息化的要求,并具有一定的可擴展性。同時,滿足企業分公司和總公司的信息傳輸和資源共享的要求及員工增長的要求。主要進行如下需求分析。
①網絡部分的總體設計需求。企業網絡大都是通過路由器設備連接成一個統一的企業內聯網,滿足公司對網絡統一管理的要求。本方案計劃使用OSPF開放最短路徑優先協議和BGP協議分別作為內部和外部路由協議。選用OSPF的好處在于OSPF作為鏈路狀態協議已成為業界標準,并且具有行業內的各大廠商的支持基礎,該協議的優點還具有路由信息傳輸的可控性,還能充分保證鏈路的負載均衡。在總體需求中,企業網絡在結構上主要按網絡層次進行分層設計,主要分為三層,分別為核心層,匯聚層和接入層,接入層交換機全部冗余上行鏈路,分別上聯到匯聚層交換機,這個既保證了企業網絡的安全性和可靠性,同時又實現了企業虛擬局域網的統一配置管理和企業網絡環路避免。
②系統部分的總體設計需求。通過對企業網絡的服務器及客戶機進行安全方面的設計,以提高網絡的安全性,而且公司的服務器等可以在總公司實現,分公司只使用總公司提供的應用服務,不需要自己建設。
③安全部分的總體設計需求。根據企業網的運行規律和安全現狀,在企業網絡中應用熱備份路由協議對交換及路由設備進行備份。即保證了企業網的信息處理和傳輸系統安全,它側重于保證企業網絡系統正常運行,有效避免了企業網絡系統的崩潰對企業信息的處理和資源共享造成大的故障。同時在企業網絡的系統信息安全方面還通過域環境管理企業的資源訪問,通過設置用戶安全問題跟蹤,計算機病毒防治,數據加密等避免有害的信息傳播后造成的后果。同時為了避免企業網絡上大量的機密信息失控,設計時,需要在企業網絡的出口處設計防火墻技術,從而使出入企業網絡的數據流量都必須經過防火墻的過濾,通過利用防火墻技術對企業網絡數據包進行安全過濾,并實現安全訪問控制。
④整體規劃指導思想。企業網絡建設將采用思科公司的網絡設備和先進的計算機及軟件,以及先進的管理模式,實現一個高效的企業網絡的辦公網絡體系。企業網絡的各類服務器以及各種操作系統和應用軟件必須考慮技術上的先進性和通用性,并且要有良好的售后技術,而且需要方便維護和升級。
⑤方案實施主要依據原則。方案設計實施依照國家及行業有關標準完成。企業網絡安全設計應滿足企業未來發展的要求,具有充分的可擴展的能力,隨著公司規模的擴大,本設計方案仍然能夠滿足公司運營的需求或變更和升級。而且項目設計應遵循實用的原則,并且提供良好的培訓及售后服務。
2 安全方案設計
按照企業網絡的總體建設規劃和總體要求,現在將對企業網絡新購的和原有的思科公司的設備進行相關的配置和實施,使公司網絡滿足設計的要求,實現高效的辦公網絡體系。將網絡復雜化進行分層化的處理,滿足大中企業發展的信息化的要求,并具有一定的可擴展性,同時滿足企業分公司和總公司的規模增長的要求。
企業網絡安全方案設計階段主要分為以下幾個部分,分別是交換機部分的設計,路由器部分設計,服務器部分設計,廣域網部分設計和網絡安全性部分設計。
①交換部分的設計。當企業網絡的規模擴大,交換機數量增多時,可以減少管理員的工作量,在維護整個企業網絡上VLAN的添加,刪除和重命名工作時,還可以確保配置的一致性。從而降低了為止的復雜度,大大減輕了網絡管理人員的工作負擔,同時提高了安全性。
②MSTP多生成樹的設計。企業網絡的擁塞問題也會造成網絡的效率大大的降低,通過多生成樹協議可以避免網絡廣播的形成,多生成樹協議的原理是把網絡拓撲的環形結構變成樹型結構,最主要的應用是為了避免企業網絡中的網絡環路,解決以太網網絡的廣播風暴問題,主要配置命令如下所示:
SW3-1(config)#spanning-tree vlan 10 root priority
③以太網通道的設計。以太網通道通過捆綁多條以太鏈路來提高鏈路帶寬,并運行一種機制,將多個以太網端口捆綁成一條邏輯鏈路,主要配置命令如下:
channel-group 1 mode on
④熱備份路由協議設計。企業網絡的多臺匯聚層交換機或路由器上啟用熱備份路由協議HSRP,其設計目標是支持特定情況下,當某一設備出現故障時,企業網絡數據流量可以從故障設備切換到正常的設備上,并允許設備作為企業網絡的網關,可以實現當實際第一條路由嘗試失敗的狀態下,仍能保持整個企業網絡的連通,主要命令如下:
SW3-1(config-if)#standby 10 IP IP-address
SW3-1(config-if)#standby 10 priority 120
⑤VPN專線技術設計。虛擬專用網在有總部和分公司的企業是十分有效的安全解決方案,VPN主要是通過一個公用網絡建立一個安全隧道連接,它能夠實現在公用網絡中產生一條安全、穩定的隧道。虛擬專用網是對企業內部網的擴展,通過虛擬專用網可以實現在企業外部的用戶、分支機構、商業伙伴及供應商安全有效的與公司內部網建立可靠的安全訪問連接,同時保證了數據的安全傳輸。
⑥網絡防火墻安全性設計。防火墻位于企業網絡的總公司與外網之間。企業的所有計算機流入流出的所有網絡通信均要經過此防火墻。防火墻對流經它的網絡通信進行掃描,這樣能夠過濾掉一些攻擊,以免其在目標計算機上被執行。防火墻還可以關閉不使用的端口。而且它還能禁止特定端口的流出通信,封鎖特洛伊木馬。最后,它可以禁止來自特殊站點的訪問,從而防止來自不明入侵者的所有通信。一個防火墻作為阻塞點、控制點能極大地提高一個內部網絡的安全性,并通過過濾不安全的服務而降低風險。由于只有經過精心選擇的應用協議才能通過防火墻,網絡環境變得更安全。所以,在企業網絡方案中選擇的防火墻是CISCOASA5520-BUN-K9,能更保證我們組建的網絡更安全更可靠。
3 結 語
通過設計網絡安全方案可以實現大中型企業網絡的高效、安全和可靠性的正常運轉,在基于思科公司的網絡設備的基礎上,利用各種交換技術和路由技術等構建適合大中型企業網絡的安全解決方案設計,為企業網絡的安全高效的運行提供良好的條件,當然隨著網絡技術的不斷更新,還需要不斷進行企業網絡安全方面的設計。
參考文獻:
關鍵詞:企業網絡;網絡結構;技術創新;戰略選擇
中圖分類號:F000文獻標識碼:A 文章編號:1005―2674(2013)11―056―06
在全球經濟一體化的背景下,企業間分工更加細致,供應鏈發展更加成熟,企業間的競爭已經由單一企業的競爭發展到企業網絡的競爭,由以量取勝變為質、量并重。新時期,企業更多地依賴企業網絡來傳遞知識、信息和資源,從而促進技術創新和提高技術創新績效,使企業獲得長遠發展的動力和機制。企業網絡成為現代企業進行技術創新、有效獲得外部資源的有效途徑。因此,有必要結合新時期企業網絡的特點,對企業技術創新的戰略選擇進行科學而有效的分析。
一、文獻綜述
在傳統的經濟學研究中,學者們往往將企業假設為單獨行動的個體,忽略企業之間以及企業與機構、組織之間的關系對企業經濟活動的影響。隨著新制度經濟學、分工理論和交易成本理論的提出和發展,學者們意識到原有的假設是不成立的,企業不是孤立的,而是存在于網絡之中的。近年來,網絡理論的發展使網絡逐漸成為企業戰略研究中的重要因素,企業網絡在企業獲取外部資源等方面的影響也越來越大。目前,理論界對企業網絡的內涵尚未形成統一的意見,學者們從不同的角度對企業網絡進行了詮釋:基于企業間關系的視角,Dussauge、Garrete和Mitechell認為企業組織是兩個及兩個以上的企業進行資源、技術整合以完成項目或者開拓市場的合作關系,強調其動態性;…Yashino和Rangan從分析企業網絡特性出發,認為企業網絡中各企業具有相對獨立性、收益共享性和戰略領域持續性的特點;INKPEN通過舉例認為,企業網絡包括供應鏈、合作研發、戰略聯盟、特許經營、合資企業等。本文將企業網絡定義為,企業基于信息技術和自身戰略發展的需要,為形成競爭優勢并實現網絡戰略目標,以及獲得競爭所需資源并充分發揮其作用,而形成的企業網絡成員間的競爭合作關系。根據復雜網絡理論,企業網絡是由企業作為節點,關系作為邊構成,是具有小世界特性的無標度網絡,可從位置、關系、結構三個維度進行特征分析。前兩項可通過Burr的“關系一位置”模型進行分析,企業網絡結構則通過其范圍、規模、密度等方面影響企業網絡聯接模式,進而影響企業網絡的穩定性。
企業網絡由于其異質性和動態性,不僅在知識、信息等方面為技術創新提供了條件,而且對技術創新具有促進作用。本文將技術創新定義為,企業為建立效能更強、效率更高和費用更低的生產經營系統,而產生的新產品、新工藝和新技術的首次商業化應用。對于企業網絡與技術創新的關系,Grandori和soda從資源、技術供給角度論證了企業網絡的優勢,間接證明了企業網絡對技術創新的支持作用;高建根據對企業創新活動的調查,將技術創新因素歸結為外部因素和內部因素;除此之外,大多數學者都是從技術創新因素與企業網絡優勢的角度,指出企業網絡內合作對技術創新具有一定的支持作用,而對于作用機制,則大多將知識學習作為中介,認為企業是通過網絡間知識的轉移、溢出等方式促進知識擴散和共享,從而實現技術創新。這些研究顯然是不充分的,僅從溢出效應角度來研究企業網絡對技術創新的作用是不夠的,由于網絡是一種知識、信息、資源流動的渠道,因此,必須將企業網絡作為研究的主體,探索其對技術創新的直接作用。對于企業網絡的技術創新實現過程,許慶瑞等強調供應鏈(供應商,消費者)對于技術創新實現的作用;陳學光等學者則認為應注重企業網絡能力對于技術創新及其績效的影響。這些成果雖然從企業網絡的某一構成部分(如供應鏈)和能力對技術創新實現的影響進行了研究,但未能從整體上論證企業網絡對技術創新的作用。
綜上研究,無論是將企業網絡作為資源獲取渠道,還是從企業網絡的某一構成部分和能力角度,來研究企業網絡對技術創新的作用,都未能深入到企業網絡的本質。而且隨著經濟環境的變化,企業網絡變得更加復雜,技術創新戰略的選擇對企業的發展將發揮更重要的作用。本文通過對新時期企業網絡特點的分析,闡明企業網絡與技術創新戰略選擇的關系,并以奇瑞汽車公司為例進行說明。
二、新時期的企業網絡
在我國加入世界貿易組織之前,企業網絡這種組織形式還不被學者和企業所重視,其多以供應鏈、合作、合資、戰略聯盟等形式作為研究對象。由于開放程度不高,吸引資金的能力和技術水平不強,因此,企業網絡成員的構成多局限于國內,與外部的互動交流較少,網絡間的溢出效應不明顯。相比新時期的企業網絡,一方面,原企業網絡節點數較少,關系較為簡單。其中,供應鏈(如圖1)作為較為常見的一種企業網絡形式,受到學者們的廣泛關注。供應鏈組織形式雖然能將企業與上下游企業聯結起來,并聯動發展;根據消費者的需求反饋和自身的發展戰略,進行自主創新或向供應商提出需求,但這種形式的反饋機制單一,未將其他科研機構、企業間的聯系納入其中。另一方面,原有的企業網絡尚未形成復雜網絡,應對環境變化的能力較弱,網絡中節點成員較少,知識、信息、資源有限,網絡間傳遞的效率較低。
隨著我國經濟發展速度的加快,原有的企業經營發展模式已經不再使用,經濟全球化對我國企業的生產發展產生了巨大的影響。企業越來越注重對國外領先企業技術、組織、管理等方面的學習,通過代工、合資、合作等方式,加入到全球供應鏈中。2007年爆發的經濟危機,造成世界經濟發展低迷,企業生存發展舉步維艱。面對惡劣的經濟環境,我國企業需建立起應對風險能力更強的企業網絡,獲取更多的知識、信息、資源,通過實施技術創新戰略,提高經濟效益,增強風險防范能力。新時期的企業網絡不再局限于簡單的供應鏈、戰略聯盟、合作等關系,更多擴展了多種形式聯盟、競爭、合作的關系,如產學研聯盟等。這些關系原先已經存在,可能不明顯或者未整合在企業網絡中,未形成復雜網絡。隨著網絡的發展,其間的關系聯結程度更加密切、網絡范圍更廣,具有復雜網絡的特性。對此,本文認為新時期的企業網絡模式應如圖2所示。
圖2新時期的企業網絡
其中,垂直方向表示企業的供應鏈,水平方向是行業競爭,對角線方向是外部支持,由不同行業和組織構成。企業網絡內各個節點相互作用,通過關系傳遞知識、信息、資源等。根據企業的不同情況,圖中連線關系不一定全部存在,但從宏觀角度分析,這些連線關系存在且作用于企業網絡。
根據新時期企業網絡模式,本文認為新時期企業網絡結構具有如下特征:
1.復雜開放性。企業網絡中的成員不設限定,各企業機構可根據與中心企業的關系自主決定是否加入該網絡,具有開放性。而網絡成員中的聯結由其關系決定。如圖2所示,每個節點均可與其他節點聯結,聯結方式多樣,關系復雜。對于同一節點而言,其可參加的網絡不唯一,在與中心企業合作的同時,可與中心企業的競爭者形成合作關系,兩個網絡間又呈現競爭關系。某一節點可以與任一節點直接聯結或者通過其他節點聯結,具有無標度的小世界特性,所以新時期企業網絡具有復雜網絡的特性。隨著信息流、知識流、資源流在網絡內傳遞數據量的增加,網絡節點之間的聯結程度更高,網絡密度更大。企業網絡規模隨著成員的加入而擴大,因成員的異質性而擴大網絡范圍。
2.競爭合作關系占主導。在新時期企業網絡中,垂直方向由供應商、中心企業和消費者構成供應鏈,以合作關系為主,企業間雙向交流接觸頻率高,基于信任合作的情感強度大,呈現強聯結狀態;水平方向,中心企業與競爭對手呈現競爭關系,交互頻率低,互惠性差,具有弱聯結性;對角線方向,由中心企業與外部研究機構(科研機構、大學)和外部支持組織(政府、金融機構)組成,其聯結不穩定,影響作用不確定。如果存在中心企業與科研機構和大學的關系,其以合作為目的,其間的聯系多需通過孵化器。至于企業是否受到政府和金融機構的影響則由企業自身決定,在以往的分析中多將其作為外部環境進行分析,而在企業網絡結構的研究中,將其視為影響因素、支持關系。將企業網絡進行分割,各個小網絡間同樣是以競爭合作關系為主導。
3.動態適應性。新時期企業網絡中的成員具有自主性,網絡是自發形成的,由關系聯結。根據外部環境的作用,企業網絡可以進行相應調整,包括節點的調整、關系的調整、聯結方式及強度的調整等。處于網絡中的企業不再局限于自身內部的資源,可利用網絡的拓撲性質進行資源挖掘。新時期企業網絡具有復雜網絡的特性,所以,節點與關系的更新變化影響企業網絡的整體演化。隨著網絡節點和關系的變化,網絡密度隨之變化,企業所占據的結構洞位置數量不確定,獲得的知識冗余度不穩定。
三、新時期企業網絡與技術創新戰略選擇的關系
在以往的研究中,學者對企業網絡的研究多集中在企業網絡和技術創新的關系上,認為二者相互促進、相互制約,但對企業網絡與戰略選擇之間的關系研究則相對較少,本文將深入探討企業網絡與技術創新戰略選擇之間的關系。
1.基于網絡層次分析。將網絡密度、網絡規模、網絡范圍作為判斷特征。網絡密度是指網絡中各企業、組織、機構間實際聯結的數值與他們之間可能存在的最大聯結數值的比值,比值越高說明網絡密度越大。高密度的企業網絡中,中心企業與其他企業機構組織間聯結多,知識流、信息流、資源流等傳遞效率高,易形成共同規則和行為范式。新時期企業網絡具有復雜開放性,節點成員可以自主選擇參加該企業網絡,隨著中心企業的發展,其相關聯結會增多,密度增大。當企業處于高密度企業網絡時,適用合作創新戰略,尤其是產學研聯盟、逆向工程等技術創新戰略。合作創新戰略可以充分利用高密度企業網絡中各節點間高聯結程度和高傳遞效率,實現知識、信息、資源的共享,集中智力,實現技術創新。供應鏈方向,可根據消費者的需求(包括潛在需求),提出技術創新路線,由供應商主導與企業合作研發,通過逆向工程研發,實現合作創新戰略。與政府、金融機構等合作,政府政策導向和金融創新服務為企業提學研聯盟的契機;與科研機構、大學等合作,通過孵化器將科研成果進行轉化,實現發明的第一次商業化;與競爭對手的關系,宜形成行業聯盟、創新集聚,通過與競爭對手合作創新,促進產業升級優化,實現創新雙贏。如果采取自主創新戰略,則不能充分利用網絡的優勢,因為自主創新戰略對于相關節點依賴程度低,主要依靠中心企業自身組織網絡實現,即便是集成創新,也是對資源的需求相對較高,對外依賴度較低。
網絡規模可通過與中心企業直接關聯的企業組織機構的數量測量,網絡規模的大小表示企業可獲得資源的多寡;網絡范圍指企業與其他相關企業組織機構間關系種類的數量,范圍的大小表明企業可獲得資源的方式方法的多樣性程度。新時期企業網絡是復雜開放的網絡,節點成員、聯結數量的增加,使企業網絡規模和范圍擴大。大規模大范圍網絡選擇自主創新和合作創新戰略均可,具體情況由其他影響因素判斷。大規模大范圍網絡意味著企業可通過多渠道獲得大量知識、信息、資源,企業既可通過吸收、消化、利用這些資源來實現自主創新,又可將其合理整合,與其他節點共享,實現合作創新。無論采取哪種方式,企業均占據中心位置,掌握核心資源,可掌控創新整體進程。
基于網絡層次分析可知,新時期企業網絡由其復雜開放性決定企業進行合作創新戰略較為適宜,可充分利用網絡獲取資源,進行創新活動。如果從自主知識產權的角度考慮,企業亦可實施自主創新戰略,企業網絡的存在對此不存在阻礙作用。
2.基于企業間層次分析,將聯結強度作為判斷特征。聯結強度是指網絡中兩主體間的關系,聯結強度可用交互作用、情感強度和互惠程度表示。強聯結表現為兩企業間高頻率交互作用,彼此信任,互惠程度高;而弱聯結表現為兩企業間低頻互動,信任度和互惠度較低。在新時期企業網絡中,競爭合作關系為主導,企業不再單純追求壟斷利潤,更加注重合作雙贏,呈現強聯結狀態,適合選擇合作創新戰略。信任是聯結強度中的重要影響因素,只有信任度高,才能實現強聯結。合作創新戰略需要合作企業組織機構彼此信任,資源共享,風險分擔,利益分配合理。強聯結通過節點間經常性的互動,培養并形成相互間資源共享、機制規范等合作環境,實現節點間聯動互動,促進互利互惠,實現網絡升級和技術創新。
3.基于企業層次分析,將結構洞作為判斷特征。結構洞是指非冗余聯系之間的分割。若供應鏈關系中供應商與消費者可通過中心企業相連接,其間即存在結構洞,中心企業占據了結構洞的位置,可獲得非冗余資源;若供應商與消費者可直接相關聯,則不存在結構洞。占據結構洞位置的企業(占據結構洞的企業不包含孵化器企業,而將孵化器視為科研成果轉化平臺――作者注),作為聯結樞紐,可獲得不能直接聯系的企業間的非冗余信息資源,并通過聯結互動獲取優勢。由于新時期外部環境的動蕩,經濟前景不明朗,中心企業所占據的中心性和結構洞位置及數量更加不確定,因此,應根據具體情況增強中心企業的動態適應性。不過,相比于傳統的企業網絡,新時期企業網絡占據的結構洞數量要小,因此,對于占據結構洞位置的企業,由于處于兩個節點聯結的樞紐上,可通過橋接作用獲取非冗余知識、信息和資源,并將其運用于技術研發,所以,這樣的企業更適宜選擇自主創新戰略;而不占據中心性和結構洞位置的企業,則更適合選擇合作創新戰略。
四、新時期企業網絡條件下技術創新戰略的選擇――以奇瑞公司為例
企業在進行具體技術創新戰略選擇的時候,應根據自身情況,對宏觀環境、中觀行業環境綜合分析,判斷自己所處的企業網絡結構及自身所處的位置,選擇適合自身發展的最優技術創新戰略,實現技術進步、技術領先,完成產業結構升級優化,獲取超額利潤。奇瑞汽車公司深諳企業網絡與技術創新戰略選擇的關系,通過對企業自身的分析,明確企業的發展目標和方向,確定技術創新戰略。奇瑞汽車公司始終致力于自主品牌的研發設計,注重創新,但是企業自身的研發能力有限也是客觀事實。為此奇瑞汽車公司完善自身企業網絡,針對不同項目實施不同的技術創新戰略。
從提高企業核心競爭力實現自主知識產權的角度分析,奇瑞公司注重將自主創新作為突破,提高自身研發能力,占據企業網絡中心性和結構洞位置,增加結構洞數量。大范圍大規模的企業網絡使其獲得知識、信息和資源的渠道、數量增加,自主研發的能力增強。對于核心技術(發動機、變速器、整車開發等技術)的研發,奇瑞汽車公司實施的是自主創新戰略。奇瑞公司的Acteco系列發動機是國內第一個從設計、研發到生產制造都完全自主的發動機品牌,其具有完全的自主知識產權。在設計研發過程中,與奧地利AVL進行了深度地技術合作,廣泛地吸收了內燃機技術,通過集成創新實現國際領先地位。而奇瑞汽車公司的CVT變速箱,則是匯集自動變速箱技術領域眾多專家,以及奇瑞近百名優秀設計人員共同開發,在產品設計、加工工藝、裝配工藝、試驗等關鍵環節實現了一系列突破的自主研發產品,打破了日系車企在CVT技術領域的壟斷。自主創新戰略不僅可以使企業獲得自主知識產權、技術進步,更可以加強企業獲取整合資源的能力,提升企業競爭力。加強自主研發投入,注重自主創新戰略,是企業實現核心競爭力,成為行業領先的必經之路。相比模仿創新和合作創新,自主創新戰略往往具有開拓新市場的效用,如果獲得成功,企業可以獲得超額利潤。對于企業而言,關鍵技術的突破需實現自主知識產權,這也是企業長期發展的必然選擇。中心企業可以通過中心性和結構洞獲取的非冗余知識實現集成創新,形成核心競爭力。集成創新是將各自生產要素進行創造性地融合,使之相匹配,從而達到系統功能發生質的變化,形成核心競爭力。集成創新不是簡單的生產要素的累加,而是通過生產要素的優化、組合和配比來實現創新,追求1+1>2的效用。
一、企業網絡安全風險狀況概述
企業網絡是在企業范圍內,在一定的思想和理論指導下,為企業提供資源共享、信息交流和協同工作的計算機網絡。隨著我國各地企業網數量的迅速增加,如何實現企業網之間資源共享、信息交流和協同工作以及保證企業網絡安全的要求是越來越強烈。與其它網絡一樣,企業網也同樣面臨著各種各樣的網絡安全問題。但是在企業網絡建設的過程中,由于對技術的偏好和運營意識的不足,普遍都存在”重技術、輕安全、輕管理”的傾向,隨著網絡規模的急劇膨脹,網絡用戶的快速增長,關鍵性應用的普及和深入,企業網絡在企業的信息化建設中已經在扮演了至關重要的角色,作為數字化信息的最重要傳輸載體,如何保證企業網絡能正常的運行不受各種網絡黑客的侵害就成為各個企業不可回避的一個緊迫問題,解決網絡安全問題刻不容緩,并且逐漸引起了各方面的重視。
由于Internet上存在各種各樣不可預知的風險,網絡入侵者可以通過多種方式攻擊內部網絡。此外,由于企業網用戶網絡安全尚欠缺,很少考慮實際存在的風險和低效率,很少學習防范病毒、漏洞修復、密碼管理、信息保密的必備知識以及防止人為破壞系統和篡改敏感數據的有關技術。
因此,在設計時有必要將公開服務器和外網及內部其它業務網絡進行必要的隔離,避免網絡結構信息外泄;同時還要對網絡通訊進行有效的過濾,使必要的服務請求到達主機,對不必要的訪問請求加以拒絕。
二、企業網絡安全體系結構的設計與構建
網絡安全系統的構建實際上是入侵者與反入侵者之間的持久的對抗過程。網絡安全體系不是一勞永逸地能夠防范任何攻擊的完美系統。人們力圖建立的是一個網絡安全的動態防護體系,是動態加靜態的防御,是被動加主動的防御甚至抗擊,是管理加技術的完整安全觀念。但企業網絡安全問題不是在網絡中加一個防火墻就能解決的問題,需要有一個科學、系統、全面的網絡安全結構體系。
(一)企業網絡安全系統設計目標
企業網絡系統安全設計的目標是使在企業網絡中信息的采集、存儲、處理、傳播和運用過程中,信息的自由性、秘密性、完整性、共享性等都能得到良好保護的一種狀態。在網絡上傳遞的信息沒有被故意的或偶然的非法授權泄露、更改、破壞或使信息被非法系統辨識、控制,網絡信息的保密性、完整性、可用性、可控性得到良好保護的狀態。
(二)企業網防火墻的部署
1.安全策略。所有的數據包都必須經過防火墻;只有被允許的數據包才能通過防火墻;防火墻本身要有預防入侵的功能;默認禁止所有的服務,除非是必須的服務才被允許。
2.系統設計。在互聯網與企業網內網之間部署了一臺硬件防火墻,在內外網之間建立一道安全屏障。其中WEB、E一mail、FTP等服務器放置在防火墻的DMZ區(即“非軍事區”,是為不信任系統提供服務的孤立網段,它阻止內網和外網直接通信以保證內網安全),與內網和外網間進行隔離,內網口連接企業網,外網口通過電信網絡與互聯網連接。
3.入侵檢測系統的設計和部署。入侵檢測系統主要檢測對網絡系統各主要運營環節的實時入侵,在企業網網絡與互聯網之間設置瑞星RIDS一100入侵檢測系統,與防火墻并行的接入網絡中,監測來自互聯網、企業網內部的攻擊行為。發現入侵行為時,及時通知防火墻阻斷攻擊源。
4.企業網絡安全體系實施階段。
第一階段:基本安全需求。第一階段的目標是利用已有的技術,首先滿足企業網最迫切的安全需求,所涉及到的安全內容有:
①滿足設備物理安全
②VLAN與IP地址的規劃與實施
③制定相關安全策略
④內外網隔離與訪問控制
⑤內網自身病毒防護
⑥系統自身安全
⑦相關制度的完善
第二階段:較高的安全需求。這一階段的目標是在完成第一階段安全需求的前提下,全面實現整個企業網絡的安全需求。所涉及的安全內容有:
①入侵檢測與保護
②身份認證與安全審計
③流量控制
④內外網病毒防護與控制
⑤動態調整安全策略
關鍵詞:網絡結構、冗余配置、路由策略、雙機熱備、服務品質等
1構建穩定可靠的企業網的目的和意義
現代企業,無論規模大小,建設不同要求的企業網對大多數企業而言是必須的。即便是一個最小規模的工作室,最簡單的局域網都能給用戶帶來資源共享(文件共享)的便利和費用的節省(比如共享上網)。
隨著企業規模的擴大,企業網是各信息應用系統正常運行的基礎,企業網帶給用戶的就不僅僅只有資源共享及節約費用了,而是能和運行在其上的信息應用系統共同帶給用戶新的生產力。運行在企業網之上的信息應用系統涉及企業管理、生產的各個方面,能極大提高企業效率。因此,企業網的建設已是規模企業的必然選擇;同時,企業網的穩定可靠也成為企業網建設中最重要的追求。
本文后面闡述的思想及技術實現適用于1 000人左右的企業用于構建穩定可靠的企業網。本文對網絡建設中的常規思路及通用做法著墨不多,以介紹經驗為主;重點介紹冗余技術的設計與實現。如果讀者的業對網絡的要求較低或從降低成本考慮,可適當降低冗余配置程度,比如核心與各匯聚局域網以單鏈路連接、單因特網寬帶接入等,但這樣做的后果就是可靠性大大降低。本文的思路與技術實現已經在實例網絡中得到體現。
2構建穩定可靠企業網的幾個要點
2.1穩定可靠的網絡結構
確立網絡結構時,除了要考慮可擴展性、可管理性等方面外,更應看重穩定性、可靠性方面的設計。
首先確定網絡拓撲結構。各種拓撲結構各有優缺點也各有針對性,如果沒有特殊需求,一般建議選擇星型拓撲結構,因為這種拓撲結構有結構簡單、容易實現、便于管理及故障點容易檢測和排除。此結構是目前構建中小型企業網的主流結構。但是星型結構在可靠性方面有個大缺陷,就是中心節點的故障會導致網絡癱瘓。對此缺陷,必須采取必要措施加以彌補,這個措施就是中心節點的冗余配置。企業網的中心節點一般是核心交換機。中心節點的冗余配置不是指設置2個中心,而是指加強作為中心節點的核心交換機的配置,使得中心節點非常可靠,不容易失敗。
接著,確定網絡的層次結構。清晰合理的層次結構也有利于網絡的穩定可靠。網絡具有層次結構,既有利于后期的管理,也有利于故障的隔離。在實例中,把網絡劃分成了三個層次:核心層、匯聚層、接入層。接入層直接為終端提供接入;匯聚層終結VLAN;核心層以轉發各局域網網間流量為主。
然后,確定同城不同區域局域網的互聯方法。這部分可根據企業應用系統的要求,同時根據成本花銷情況(畢竟租用電信運行商線路是很昂貴的),選擇適合自己企業的互聯方法。可以租用數據專線,也可通過因特網以VPN的方式互聯。本例中,采取的是數據專線做互聯主鏈路,VPN做備用鏈路。
圖1就是按照上述思路強化了結構的網絡實例拓撲圖。針對星型結構的缺陷,中心節點由2臺核心交換機組成。核心交換機與各局域網都以雙鏈路連接,因特網寬帶也采取雙鏈路接入。
圖1結構加強過的實例網絡拓撲圖
2.2IP規劃及路由策略
IP規劃及路由策略問題往往容易被中小型企業網設計者輕視,但等網絡建成了,才會發現由于前期缺少策劃導致后面的工作很繁瑣。
由于中型企業內部網段比較多,如果仍然像在小型企業網那樣在私有網段內隨意指定IP地址段,往往會導致后期的路由指向困難及其它問題。
而路由策略不僅要考慮是否要啟用動態路由,還要考慮采用路由聚合,及支持策略路由功能等。啟用動態路由的理由是應對可能的IP網段太多;采用路由聚合的理由是簡化路由指向;策略路由能解決一些基于源地址的路由指向。
規劃IP時,適當考慮可變長度子網掩碼(VLSM)技術,便于靈活調整子網的個數及主機的數量,以滿足網絡劃分的不同數量要求。也要考慮路由聚合,把便于路由聚合的IP地址段分配給同一局域網內。
在核心層啟用互聯網段,用于各匯聚層網絡的互聯互通。
2.3遠程接入及訪問因特網部分的設計
這部分通常的網絡方案設計中,設計人員喜歡既配置了路由器又配置防火墻。其實,如果路由要求不高的情況下,可以只選配防火墻。
本網絡實例中,防火墻不但承擔了對因特網的訪問任務,還承擔了外埠分支機構的VPN接入任務。考慮到現代企業對因特網訪問的依賴程度提高了,實例網絡安排了雙防火墻雙因特網接入。
而針對外埠分支機構的專線接入,可直接接入核心交換機,也無需路由器。
這樣做的好處是結構簡單,在功能上也沒什么缺失。結構簡單的好處是低故障率,出了故障也容易排查。
2.4網絡管理
網絡管理其實是開始于設計階段的,設計網絡結構時要考慮后面的運行管理,比如分層的網絡結構讓VLAN終結在匯聚交換機。IP在規劃時考慮到路由的聚合,會給后期的路由指向帶來方便。
談網絡管理,必然要涉及網管軟件。網管軟件不是網絡管理的必需,但隨著網絡規模的擴大,它的作用就越大,也越重要。對于規模不大的中小型企業網絡,盡量在設計階段就考慮到管理因素而又針對性地設計,以求網絡開始運行后,在沒有采用任何網管軟件前能夠手工地較快速地定位故障點,進而排除故障。
之所以有這樣的考慮,是因為選擇一種適合本企業網絡的網管軟件并不是一件簡單的事情。選擇網管軟件首先要清楚,自己要管理什么,是性能管理?故障管理?配置管理?安全管理?計費管理?或者全部,或者部分。其次,在技術上要清楚,網管軟件大體分三個層次,即網元治理、網絡層治理和業務治理,而本企業需要什么樣的治理?基于以上原因,網管軟件更適合在網絡系統建立并運行后,在需求分析的基礎上選擇平臺級的網管軟件。開始階段可選擇由設備廠商提供的網元治理類的網管軟件,比如CISCO Works。
3熱備功能的實現及其它功能的說明
結構上做了冗余設計,要真正地發揮設備和鏈路的熱備的作用,還要進行相關設定后才能實現。其它功能也是企業網必須具備的。
3.1HSRP實現雙機熱備
HSRP原理,首先由多臺路由器組成備份組,此備份組可看成是一臺虛擬的路由器,有獨立的虛擬IP,網內主機以這臺虛擬路由器為網關。在備份組內有一臺路由器是活動路由器,由它來完成虛擬路由器的工作,當此臺活動路由器出故障時,組內的另一臺路由器會接替活動路由器,來完成虛擬路由器的轉發工作。而這些,對網內主機是透明的,它們只能看到虛擬路由器。CISCO大部分3層交換機都支持HSRP。
以某VLAN為例給出設置要點。
1、在核心交換機A上
Interface VLAN7
ip address 192.168.7.253255.255.255.0
standby7192.168.7.254/*虛擬路由器的IP
standby7priority 110/*設置優先級
standby7preempt /*設置搶占模式
2、在核心交換機B上
Interface VLAN7
ip address 192.168.7.252255.255.255.0
standby7192.168.7.254
standby7preempt
3、在網內電腦上
把網關設置為192.168.7.254
3.2SLA實現雙鏈路自動切換
SLA(Service Level Agreement)服務品質保障協議,可用于網絡偵測,通過發送指定協議的報文來偵測鏈路的情況,根據鏈路情況選擇路由。
如果第二鏈路是另一家電信運營商的租用線路,實現此功能相對簡單。如果考慮降低成本,一線多用,可用寬帶線路通過IPSEC VPN來搭建第二鏈路,這就多了IPSEC VPN的設置工作。
由于IPSEC VPN的實現因網關設備的不同而不同,本文就省略這部分設置的說明,只說明下交換機端的設置要點。實現原理:路由器(或三層交換機)通過(ICMP)PING遠端路由器(或三層交換機)來驗證第一鏈路的狀態,如果第一鏈路失敗,則激活第二鏈路,實現故障切換。使用對象跟蹤功能(object track)保證靜態路由的可靠備份。
ip sla 1
icmp-echo 192.168.1.6 /*ping遠端交換機第一鏈路接口
timeout 1000
threshold 2
frequency 3
ip sla schedule 1 life forever start-time now
……
track 1 ip sla 1 reachability/*跟蹤ip sla 1,如果沒有返回ping包,則track狀態為down
……
ip route 192.168.176.0255.255.240192.168.1.6track 1/*只有track狀態為up時,此靜態路由建立。如果track為down,則下面這條路有開始轉發數據。
ip route 192.168.176.0255.255.240.0192.168.1.210
注:遠端網絡由若干C類網段組成,所以掩碼是255.255.240.0,這里采用了路由聚合。要采用路由聚合,必須先有網絡地址規劃,即便是私有地址,也不可以隨意指定。
3.3其它功能
其它幾個基本功能,有些是必須要采用的功能,比如VLAN、DHCP、訪問控制列表等,能滿足基本的網絡管理要求;有些則是高級功能,如策略路由、QoS、動態路由等,能滿足一些高級的網絡管理要求,或者能提供管理的方便性。
對于VLAN、DHCP、訪問控制列表的使用,是企業網絡管理中最基本的要求,網絡管理員都應熟練掌握,本文不再贅述。而那些高級功能,則在網絡運轉起來后,根據需求決定是否采用。我在此提醒一下,有些功能需要交換機OS(操作系統)的升級。比如策略路由,一般三層交換機預裝的OS都不支持,如果本企業確實需要這樣的功能,可以通過升級OS來得到。
4結束語
基于上述思路具有了冗余設計的實例網絡在建成后,除了正常提供基本的網絡功能外,在運行過程中還經歷過一系列的故障的考驗。某臺核心交換機的一塊接口業務板曾經損壞,由于是雙核心交換機配置,得以迅速切換到另一臺交換機,短時間內恢復了用戶網絡。核心網絡與某局域網的電信專線連接也因為電信方的故障而中斷過多次,而因為采用了基于SLA技術的設置實現了鏈路的自動切換,對用戶應用并沒有造成可感知的延時。以上事實足以證明實例網絡在強化冗余能力方面的設計是成功的。
當然,一方面的成功,不代表此網絡方案就完美無缺,其實,就實例網絡方案而言,缺點還很多,比如照顧了結構簡單帶來的穩定,但并不能增強網絡的安全。本文主要闡述了為了追求網絡的穩定和可靠,在方案設計上偏重的冗余設計部分。而在網絡設計時,還應考慮后期網絡管理及網絡安全。如果在設計階段,無法過多的考慮網絡安全的因素,一定要在網絡建成后加強網絡安全建設。
關鍵詞:企業;網絡信息管理系統;人事管理;人力資源
中圖分類號:TP3
1 企業網絡信息管理系統的功能
企業網絡信息管理系統是根據企業管理的需要而開發的信息管理系統,因此,系統的功能也是建立在企業的管理需求和使用需求上。對系統功能的分析也可以圍繞著用戶使用需求上。系統中的需求一般分兩類,一類是系統本身,比如說對操作系統版本的要求,對數據庫、硬盤、內存等方面的需求,另一方面則是用戶使用的需求,比如對一些常規操作的需求和一些特殊性的需求。系統的功能便圍繞著這兩個方面,它首先滿足于系統運行的需求,同時滿足于企業網絡信息系統的使用需要,比如說用戶管理,包括用戶的新增、基本信息修改、刪除、用戶入職和離職登記、,還有密碼管理,及日常工作管理,比如工資的結算、發放,獎金、績效,職工的請假、遲到早退、曠工和其他違規情況,以及公司日常業務的報表等等,當然這一部分還需要分配權限,只為公司有權限查看的人員開放。
2 企業網絡信息管理系統的數據流程圖
企業網絡信息管理系統是一個比較龐大、系統性比較強的軟件應用,在軟件開發過程中,一個必不可少的環節是數據流程圖,數據流程圖是將整個系統的運行流程、功能模塊設計為一個模型圖來描述系統狀況,這樣可以更加直接的了解系統情況,軟件工程師在系統開發的時候一般都需要根據系統流程圖來安排編程計劃,而在系統投入使用的時候也會在軟件系統說明書里面將數據流程圖規劃出來。根據系統功能和需求分析,企業網絡信息管理系統數據流程圖如圖1。
圖1 企業網絡信息管理系統數據流程圖
根據上圖我們可以很直接的看出企業網絡信息管理系統的功能模塊。當然,對于不同的企業來說,其使用需求各不一樣,這就要根據實際情況來處理。但可以肯定的是,企業網絡信息管理系統的設計必須是建立在企業管理的基礎之上,必須要包含了其詳細的流程和各項細節功能。要根據使用需求和硬件設備來設計系統以及選擇開發語言。使整個系統不僅在功能上滿足需求,也在運行上能保證更加高效和順利。
3 應用JAVA開發網絡管理信息系統
隨著計算機信息技術的發展,編程語言也在不斷的發展。以往常用powerbuilder、C語言、visual basic語言等等,而如今更多的是用C#、.NET、java等開發語言。java語言擁有更多可以直接引用的元素和工具,因此在開發的時候可以省去很多代碼的編寫,不僅節約了時間,也減少了工作量,還能夠優化代碼,降低錯誤。這也是java獲得飛速的發展、得到迅速推廣的原因。
3.1 java語言在開發中的優勢,java是一種面向對象編程語言,我們都知道,面向對象編程和面向過程編程是編程的兩種方式。而面向對象編程又尤其受廣大程序員的喜愛,比如利用java編程,對于一些數據窗體或控件可以直接拖動,而不需要再繁瑣的編寫代碼;在連接數據庫的時候也可以直接通過數據庫名、賬號和密碼建立連接,然后直接通過查詢語言查詢數據表、字段,并可以很方便的將這些數據表和字段引用過來。Java語言還有一種“人性化”的特點,即它的語言風格與我們日常交流的語言有點類似,尤其和英語。因此,對于程序員來說,java編程語言更加容易理解。在代碼調試的時候,程序員只需點擊運行就能實現代碼的分解處理,接著將其轉換為計算機能識別的機器指令序列,對語句及時判斷處理之后修改處理錯誤當所有的軟件程序設計結束之后,計算機則能自動編譯生成可執行文件,利用操作系統即可完成相應的管理操作。企業網絡信息管理系統包含了兩個部分,即前臺頁面和后臺數據管理,而java可以同時開發這兩個模塊,不需要嵌套其他編程語言,這就有效的避免了不同語言之間的兼容性問題。
3.2 驅動技術,java在控制對象期間,必須要結合相應的事件控制功能才能完成操作每一個對象可以出現不同的事件,不同的事件對應著不同的每個應用功能。比如說我們常用的刪除功能,在java編程中它就屬于一個對象,用戶點擊該控件都隨之會出現相應的事件,此時系統會對之前封裝的程序啟動執行,這一過程也就是我們日常進行刪除的操作流程。
3.3 企業網絡信息管理系統布局分析,要實現企業網絡信息系統的順利運行,通常要從三個方面規劃。首先是軟件系統的開發,這是由專業的程序師設計開發完成,開發語言即上述java語言;其次是網絡服務器的布置,要設置一臺服務器,服務器也是企業網絡信息系統管理運行的“大本營”,在管理系統中發生的業務數據都存儲在服務器中,而對數據的提取、查詢以及其他操作也是在服務器上;最后是網絡的布置,網絡就好比服務器與客戶端之間的聯系橋梁,只有保證網絡的連通和順暢,才能實現信息化管理。
4 結束語
當今社會已進入一個網絡信息化的時代,各行各業的運行和發展都離不開網絡信息管理系統,它可以實現數據信息的快速傳輸和共享,可以實現人員之間高效、方便的溝通和管理,是企業實現信息化建設和自動化管理目標的重要手段。企業在日常經營和管理中更要充分利用網絡信息管理系統。同時,也要結合企業實際發展的需求設計信息管理系統
參考文獻:
[1]夏勇,鐘家洪.關于企業網絡信息管理系統的研究[J].煤炭技術,2012,10:281-282.
[2]林春培.企業外部創新網絡對漸進性創新與根本性創新的影響[D].華南理工大學,2012.
[3]單麗輝.基于耗散結構的物流網絡系統運作模式與運行機制研究[D].北京交通大學,2012.
[4]趙兵.基于GIS的交通運輸行業環境監測網絡信息管理系統研究[J].山東化工,2012,11:29-32.
