南京威爾達(dá)文化傳媒有限公司網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)

南京威爾達(dá)文化傳媒有限公司網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)摘要:隨著信息技術(shù)的不斷發(fā)展，特別是計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，以及物聯(lián)網(wǎng)的發(fā)展，各行各業(yè)的企業(yè)越來越依賴計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)。在全球范圍內(nèi)，隨著科學(xué)技術(shù)的快速發(fā)展，經(jīng)濟(jì)一體化、信息化和網(wǎng)絡(luò)化已成為社會(huì)發(fā)展的方向。企業(yè)信息化建設(shè)正逐步發(fā)展。目前，一些組織已經(jīng)建立了自己的Web服務(wù)器和門戶、企業(yè)電子郵件服務(wù)系統(tǒng)，并開發(fā)了綜合查詢、生產(chǎn)業(yè)務(wù)系統(tǒng)和EDI。大量的關(guān)鍵數(shù)據(jù)信息通過網(wǎng)絡(luò)存儲(chǔ)在集中式服務(wù)器中。雖然它能為用戶提供高效、快速、共享等方便的使用條件，但由于用戶數(shù)量眾多，給網(wǎng)絡(luò)系統(tǒng)帶來了許多問題，尤其是網(wǎng)絡(luò)系統(tǒng)的安全性。面對(duì)系統(tǒng)中存在的各種安全問題和潛在威脅，有必要建立一個(gè)安全、可管理的安全防御體系。應(yīng)采取有效的安全措施，如保護(hù)、檢測(cè)、響應(yīng)和恢復(fù)，以確保計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全、高效、可靠和穩(wěn)定運(yùn)行[1]。現(xiàn)代企業(yè)通過網(wǎng)絡(luò)技術(shù)，可以方便快捷地實(shí)現(xiàn)商品供應(yīng)鏈與企業(yè)內(nèi)部經(jīng)營(yíng)關(guān)系的信息溝通。良好的企業(yè)網(wǎng)絡(luò)平臺(tái)也反映了企業(yè)的主要競(jìng)爭(zhēng)優(yōu)勢(shì)。針對(duì)企業(yè)內(nèi)部網(wǎng)建設(shè)的要求，從經(jīng)濟(jì)效益的角度對(duì)南京威爾達(dá)文化傳媒有限公司的工作流程進(jìn)行了系統(tǒng)的梳理。同時(shí)，在當(dāng)今社會(huì)，企業(yè)的發(fā)展實(shí)現(xiàn)了全球化、網(wǎng)絡(luò)化、數(shù)字化的信息化。網(wǎng)絡(luò)系統(tǒng)中存儲(chǔ)了大量企業(yè)重要機(jī)密信息，網(wǎng)絡(luò)安全的關(guān)鍵保護(hù)對(duì)象逐步轉(zhuǎn)移到企業(yè)內(nèi)部網(wǎng)。因此，企業(yè)網(wǎng)絡(luò)規(guī)劃需要從企業(yè)信息安全管理的全局出發(fā)，實(shí)現(xiàn)企業(yè)規(guī)劃與網(wǎng)絡(luò)安全的同步發(fā)展。本文綜合分析了企業(yè)規(guī)劃和網(wǎng)絡(luò)安全問題，從多個(gè)角度進(jìn)行了設(shè)計(jì)，并根據(jù)企業(yè)網(wǎng)絡(luò)不同領(lǐng)域的特點(diǎn)，制定了相應(yīng)的安全方案。通過南京威爾達(dá)文化傳媒有限公司網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計(jì)和實(shí)現(xiàn)，提高了企業(yè)網(wǎng)絡(luò)安全系統(tǒng)的安全性和可靠性。網(wǎng)絡(luò)安全系統(tǒng)集成了透明加密、網(wǎng)絡(luò)監(jiān)控、權(quán)限管理、訪問控制、安全審計(jì)等多種手段，將人員、管理、審計(jì)、技術(shù)有機(jī)結(jié)合，構(gòu)建了企業(yè)內(nèi)部完整的三維安全網(wǎng)絡(luò)系統(tǒng)，研究了局域網(wǎng)技術(shù)在企業(yè)中的應(yīng)用。關(guān)鍵詞:南京威爾達(dá)文化傳媒有限公司，企業(yè)規(guī)劃，總線型拓?fù)浣Y(jié)構(gòu)NetworkPlanningandDesignofNanjingWildaCulturalMediaCo.Ltd.Absrtact:Withthecontinuousdevelopmentofinformationtechnology,especiallythedevelopmentofcomputernetworks,andthedevelopmentoftheInternetofThings,enterprisesinallwalksoflifeincreasinglyrelyoncomputernetworktechnology.Globally,withtherapiddevelopmentofscienceandtechnology,economicintegration,informationandnetworkinghavebecomethedirectionofsocialdevelopment.Enterpriseinformationconstructionisgraduallydeveloping.Atpresent,someorganizationshaveestablishedtheirownWebserversandportals,enterprisee-mailservicesystems,anddevelopedintegratedquery,productionbusinesssystemsandEDI.Alargeamountofkeydatainformationisstoredinthecentralizedserverthroughthenetwork.Althoughitcanprovideuserswithefficient,fast,sharingandotherconvenientconditions,butbecauseofthelargenumberofusers,itbringsmanyproblemstothenetworksystem,especiallythesecurityofthenetworksystem.Inthefaceofvarioussecurityproblemsandpotentialthreatsinthesystem,itisnecessarytoestablishasafeandmanageablesecuritydefensesystem.Effectivesecuritymeasures,suchasprotection,detection,responseandrecovery,shouldbetakentoensurethesafe,efficient,reliableandstableoperationofcomputernetworksystem[1].Throughnetworktechnology,modernenterprisescaneasilyandquicklyrealizeinformationcommunicationbetweencommoditysupplychainandinternalbusinessrelationship.Goodenterprisenetworkplatformalsoreflectsthemaincompetitiveadvantagesofenterprises.Accordingtotherequirementofenterpriseintranetconstruction,theworkflowofNanjingWildeCulturalMediaCo.,Ltd.issystematicallysortedoutfromtheangleofeconomicbenefit.Atthesametime,intoday'ssociety,thedevelopmentofenterpriseshasrealizedtheglobalization,networkinganddigitalizationofinformation.Thenetworksystemstoresalargenumberofimportantconfidentialinformationofenterprises,andthekeyprotectionobjectsofnetworksecurityaregraduallytransferredtotheintranetofenterprises.Therefore,enterprisenetworkplanningneedstoproceedfromtheoverallsituationofenterpriseinformationsecuritymanagementtorealizethesynchronousdevelopmentofenterpriseplanningandnetworksecurity.Thispapercomprehensivelyanalysestheproblemsofenterpriseplanningandnetworksecurity,designsthemfromvariousangles,andformulatescorrespondingsecurityschemesaccordingtothecharacteristicsofdifferentareasofenterprisenetwork.ThroughthedesignandimplementationofthenetworksecuritysystemofNanjingWeidaCulturalMediaCo.,Ltd.,thesecurityandreliabilityoftheenterprisenetworksecuritysystemareimproved.Atthesametime,withthecontinuousdevelopmentofnetworktechnology,higherrequirementsareputforwardforthesecurityofnetworksystem.Enterpriseswillconstantlystrengthenandimprovetheenterprisenetworksecuritysystemaccordingtotherequirementsofthecontinuousdevelopmentofnetworksystem.Itintegratestransparentencryption,networkmonitoring,authoritymanagement,accesscontrol,securityauditandothermeans,organicallycombinespersonnel,management,auditandtechnology,buildsacompletethree-dimensionalsecuritynetworksystemwithintheenterprise,andstudiestheapplicationofLANtechnologyintheenterprise.Keywords:NanjingWildaCulturalMediaCo.,Ltd.,EnterprisePlanning,BusTopology目錄第1章緒論 第1章緒論目前，我國(guó)市場(chǎng)經(jīng)濟(jì)正處于轉(zhuǎn)型期，競(jìng)爭(zhēng)日趨激烈。為了更好地生存和發(fā)展，南京威爾達(dá)文化傳媒有限公司必須改變其單一的機(jī)械化運(yùn)作模式，追求高效的管理和溝通方式，以增強(qiáng)其競(jìng)爭(zhēng)力。建設(shè)自己的企業(yè)網(wǎng)絡(luò)無疑是順應(yīng)社會(huì)發(fā)展趨勢(shì)，提高運(yùn)營(yíng)效率的一種途徑。1.1課題背景在新的經(jīng)濟(jì)時(shí)代，信息網(wǎng)絡(luò)技術(shù)在大型企業(yè)發(fā)展中的應(yīng)用越來越普遍。為了進(jìn)一步提高企業(yè)各部門之間的信息傳遞和交流效率，對(duì)信息網(wǎng)絡(luò)的規(guī)劃進(jìn)行了深入的分析。當(dāng)今世界科學(xué)技術(shù)的飛速發(fā)展，經(jīng)濟(jì)一體化、信息化、網(wǎng)絡(luò)化已成為社會(huì)發(fā)展的方向。目前，企業(yè)擁有服務(wù)器和門戶、企業(yè)郵件服務(wù)系統(tǒng)，并建立了集成查詢、企業(yè)生產(chǎn)業(yè)務(wù)系統(tǒng)等信息系統(tǒng)。許多重要的數(shù)據(jù)信息存儲(chǔ)在網(wǎng)絡(luò)服務(wù)中。在該系統(tǒng)中，現(xiàn)有的企業(yè)網(wǎng)絡(luò)系統(tǒng)已成為企業(yè)生產(chǎn)業(yè)務(wù)不可缺少的一部分，企業(yè)生產(chǎn)需求和對(duì)信息網(wǎng)絡(luò)系統(tǒng)的依賴性將日益增加[2]。南京威爾達(dá)文化傳媒有限公司擁有300多臺(tái)計(jì)算機(jī)，這些計(jì)算機(jī)都分屬于多個(gè)不同的部門。同時(shí)，該企業(yè)下設(shè)一個(gè)總公司和兩個(gè)分公司，且處于不同的省市。為了提高辦事效率，增強(qiáng)企業(yè)對(duì)外的溝通，并且總部和分部之間要實(shí)現(xiàn)業(yè)務(wù)之間的交流，現(xiàn)要求設(shè)計(jì)建立一個(gè)可擴(kuò)展的、高速的，低成本、基于標(biāo)準(zhǔn)的企業(yè)網(wǎng)絡(luò)。該網(wǎng)絡(luò)能夠支持基本數(shù)據(jù)的應(yīng)用程序通信。為了適應(yīng)系統(tǒng)變化的要求，必須充分考慮以最簡(jiǎn)便的方法、最低的投資，實(shí)現(xiàn)系統(tǒng)的擴(kuò)展和維護(hù)，采用可網(wǎng)管網(wǎng)絡(luò)設(shè)備，降低人力資源的費(fèi)用，提高網(wǎng)絡(luò)的易用性。1.2企業(yè)信息網(wǎng)絡(luò)內(nèi)涵及原則由于大型企業(yè)占地面積大，信息數(shù)據(jù)復(fù)雜多樣，在保證其安全性和實(shí)際情況的前提下，大型企業(yè)信息網(wǎng)絡(luò)的規(guī)劃應(yīng)以總體規(guī)劃為基礎(chǔ)。同時(shí)，大型企業(yè)信息網(wǎng)絡(luò)的規(guī)劃應(yīng)立足時(shí)代發(fā)展，進(jìn)行適當(dāng)?shù)膭?chuàng)新，促進(jìn)企業(yè)內(nèi)部的產(chǎn)品、人員、制度和決策。這些資源可以充分利用，同時(shí)注重完善相關(guān)規(guī)劃，提高整體管理水平，為自身信息網(wǎng)絡(luò)的發(fā)展提供更多的空間。1.3國(guó)內(nèi)外企業(yè)網(wǎng)絡(luò)發(fā)展及網(wǎng)絡(luò)安全現(xiàn)狀20世紀(jì)90年代，互聯(lián)網(wǎng)技術(shù)的發(fā)展和應(yīng)用迅速發(fā)展，大量基于網(wǎng)絡(luò)應(yīng)用的業(yè)務(wù)激增。電子商務(wù)、門戶、ERP等開發(fā)和訪問操作。中國(guó)也已經(jīng)進(jìn)入了互聯(lián)網(wǎng)時(shí)代，這一時(shí)代已經(jīng)逐漸進(jìn)入。網(wǎng)民數(shù)量逐年大幅增加。各組織相繼建立和發(fā)展了網(wǎng)絡(luò)系統(tǒng)，整個(gè)社會(huì)的生活發(fā)生了巨大的變化[3]。目前，應(yīng)用系統(tǒng)在處理事務(wù)和業(yè)務(wù)事務(wù)時(shí)都是通過網(wǎng)絡(luò)來實(shí)現(xiàn)的，因此網(wǎng)絡(luò)系統(tǒng)的安全性和可靠性非常重要。計(jì)算機(jī)網(wǎng)絡(luò)是把雙刃劍。在快速發(fā)展的同時(shí)，也存在著許多威脅計(jì)算機(jī)網(wǎng)絡(luò)安全的問題。如果我們不能正確對(duì)待這些安全威脅，綜合關(guān)注它們，必然會(huì)導(dǎo)致計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)在應(yīng)用過程中受到攻擊和破壞，面臨安全的許多方面。威脅和隱患。第2章大型企業(yè)信息網(wǎng)絡(luò)規(guī)劃分析2.1企業(yè)網(wǎng)絡(luò)需求及現(xiàn)狀分析大型企業(yè)信息網(wǎng)絡(luò)需要協(xié)調(diào)整個(gè)內(nèi)部管理機(jī)構(gòu)，為內(nèi)部組織之間的信息交流和信息共享建立一個(gè)更加方便快捷的渠道。在構(gòu)建企業(yè)信息網(wǎng)絡(luò)系統(tǒng)時(shí)，可以分為兩個(gè)方面：計(jì)算機(jī)平臺(tái)建設(shè)和網(wǎng)絡(luò)平臺(tái)建設(shè)。目前，大型企業(yè)信息網(wǎng)絡(luò)規(guī)劃需要利用核心交換機(jī)結(jié)構(gòu)內(nèi)的信息資源作為交換中心，利用光纖等介質(zhì)。同時(shí)，要結(jié)合內(nèi)網(wǎng)和IP技術(shù)的應(yīng)用，推進(jìn)信息網(wǎng)絡(luò)系統(tǒng)的建設(shè)，有效整合內(nèi)部信息網(wǎng)絡(luò)機(jī)構(gòu)，建立辦公自動(dòng)化和管理自動(dòng)化的信息共享機(jī)制[4]。在信息時(shí)代，企業(yè)業(yè)務(wù)過程中計(jì)算機(jī)病毒的頻繁發(fā)生，威脅著信息資源的安全。同時(shí)，網(wǎng)絡(luò)速度慢、服務(wù)器維護(hù)不及時(shí)也制約了業(yè)務(wù)管理的效率。其中，計(jì)算機(jī)病毒主要是企業(yè)員工安裝軟件時(shí)進(jìn)入的非法網(wǎng)站，無法保證計(jì)算機(jī)內(nèi)部存儲(chǔ)介質(zhì)的穩(wěn)定性，難以使用和讀取企業(yè)信息數(shù)據(jù)。網(wǎng)絡(luò)速度慢主要是由于游戲下載造成的磁盤數(shù)據(jù)飽和或帶寬占用過大，造成數(shù)據(jù)傳輸和文件下載過程的影響。將部門劃分為不同的VLAN。由單個(gè)節(jié)點(diǎn)組成的網(wǎng)絡(luò)通?？梢詽M足網(wǎng)絡(luò)需求。網(wǎng)絡(luò)工作站數(shù)量少，接入相對(duì)集中，核心網(wǎng)絡(luò)設(shè)備可選擇100M以太網(wǎng)交換機(jī)。2.2企業(yè)信息網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)大型企業(yè)信息網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)的主要依據(jù)在于不同類型的數(shù)據(jù)和不同的網(wǎng)絡(luò)平面，建立廣域網(wǎng)辦公系統(tǒng)。在網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)中，可根據(jù)企業(yè)管理機(jī)構(gòu)的不同，在不同的單元設(shè)置相應(yīng)的局域網(wǎng)管理系統(tǒng)，并采用統(tǒng)一的數(shù)據(jù)專線與整個(gè)數(shù)據(jù)網(wǎng)絡(luò)相連，或進(jìn)行局域網(wǎng)、骨干網(wǎng)和網(wǎng)絡(luò)終端的系統(tǒng)管理，以互聯(lián)網(wǎng)為傳播媒介。在SDH專用網(wǎng)建設(shè)中，應(yīng)根據(jù)實(shí)際情況，以第一行動(dòng)指導(dǎo)為目標(biāo)，開展信息網(wǎng)絡(luò)建設(shè)。例如，可以先進(jìn)行基于數(shù)據(jù)專線和Internet的企業(yè)連接設(shè)置，然后使用ipsec-vpn技術(shù)進(jìn)行總體規(guī)劃。如項(xiàng)目組織、工程公司等VPN接入終端的設(shè)置，應(yīng)以總部機(jī)房為中心，再設(shè)置各級(jí)企業(yè)的管理機(jī)。2.2.1網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)根據(jù)用戶少、計(jì)算機(jī)少的特點(diǎn)，在企業(yè)網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)中采用了總線拓?fù)浣Y(jié)構(gòu)?？偩€結(jié)構(gòu)具有成本低、布線要求簡(jiǎn)單、易于擴(kuò)展、數(shù)據(jù)段用戶對(duì)網(wǎng)絡(luò)訪問靈活、站點(diǎn)或終端用戶故障不影響其他站點(diǎn)或終端用戶的通信等優(yōu)點(diǎn)，適合于開發(fā)階段的網(wǎng)絡(luò)規(guī)劃?？偩€類型拓?fù)淙鐖D1所示[5]。圖1總線型拓?fù)浣Y(jié)構(gòu)2.2.2網(wǎng)絡(luò)PDS系統(tǒng)設(shè)計(jì)1.布線系統(tǒng)總體結(jié)構(gòu)設(shè)計(jì)。根據(jù)建筑物的數(shù)量（假設(shè)兩個(gè)），選擇12芯單模光纖從主機(jī)房接入與建筑物或樓層有沖突的其他設(shè)備，采用10M光纖以太網(wǎng)接入互聯(lián)網(wǎng)服務(wù)商的網(wǎng)絡(luò)，再接入互聯(lián)網(wǎng)，使企業(yè)能夠進(jìn)行交換。與外界交流。布線時(shí)應(yīng)考慮低成本、合理、美觀、規(guī)范。盡量夾住墻壁、地板下、天花板或采用架空電纜槽布線。網(wǎng)絡(luò)設(shè)備應(yīng)放置在一層機(jī)房?jī)?nèi)。機(jī)艙應(yīng)配備火災(zāi)報(bào)警裝置、防塵地板和空調(diào)。2.管理子系統(tǒng)的設(shè)計(jì)。單節(jié)點(diǎn)的子系統(tǒng)設(shè)計(jì)是在線路之間完成的。水平和垂直干線電纜通過各種規(guī)格的配線架（槽）進(jìn)行端接和分配；配線系統(tǒng)和各種類型的跳線通過各種規(guī)格的跳線實(shí)現(xiàn)[6]。3.中繼子系統(tǒng)的設(shè)計(jì)。中繼子系統(tǒng)用于連接主設(shè)備和電纜從屬設(shè)備之間的控制子系統(tǒng)。數(shù)據(jù)主要是在網(wǎng)絡(luò)布線和子布線之間鋪設(shè)12芯單模室內(nèi)多模光纖。4.建筑群子系統(tǒng)設(shè)計(jì)。建筑群的子系統(tǒng)是將一個(gè)建筑群中的電纜延伸至建筑群中其他建筑群中的通信設(shè)備和設(shè)備。光纜布線是目前建筑內(nèi)部布線的主要方式。大樓內(nèi)的主要光纜為12芯單模光纜。2.3企業(yè)信息網(wǎng)絡(luò)設(shè)備配置在企業(yè)信息網(wǎng)絡(luò)設(shè)備配置中，應(yīng)根據(jù)實(shí)際情況適當(dāng)增加路由器、交換機(jī)、服務(wù)器等設(shè)備的數(shù)量，然后在局域網(wǎng)內(nèi)基于交換機(jī)和路由器進(jìn)行互聯(lián)。在設(shè)備和產(chǎn)品設(shè)計(jì)等基礎(chǔ)設(shè)施建設(shè)中，應(yīng)優(yōu)先考慮H3C、華為、瑞杰產(chǎn)品、天榮新、DIP和確信設(shè)備。安全技術(shù)可以用來提高整個(gè)結(jié)構(gòu)的傳輸效率和管理性能。在主干道網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)中，需要考慮設(shè)備維護(hù)成本、總體需求、設(shè)備性價(jià)比、設(shè)備可擴(kuò)展性等因素。例如，H3C和華為產(chǎn)品以超高的性價(jià)比提供更靈活、更安全的技術(shù)。此外，還可以保證信息網(wǎng)絡(luò)的良好運(yùn)行速度，為高速帶寬提供特殊的設(shè)置，為新技術(shù)開發(fā)和客戶服務(wù)提供支持，有效提高網(wǎng)絡(luò)峰值的運(yùn)行效率。另外，為了保證辦公網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的整體安全，有必要根據(jù)企業(yè)的信息網(wǎng)絡(luò)規(guī)劃，建立一定的隔離方案。第3章施工管理3.1施工前準(zhǔn)備施工前，企業(yè)應(yīng)認(rèn)真審核合同，簽訂合同后，一切按文件執(zhí)行。3.2設(shè)備及材料企業(yè)應(yīng)嚴(yán)格控制本項(xiàng)目使用的所有設(shè)備和材料。選用質(zhì)量可靠、性能優(yōu)良的設(shè)備、材料，嚴(yán)格按合同規(guī)定采購(gòu)。3.3施工過程管理根據(jù)企業(yè)情況，安排施工進(jìn)度，加強(qiáng)施工人員管理，保證施工車間衛(wèi)生，保證不影響企業(yè)員工的正常工作。3.4施工完成后質(zhì)量的檢查和驗(yàn)收工程竣工后，企業(yè)派出相關(guān)人員進(jìn)行全面質(zhì)量檢查，并對(duì)系統(tǒng)進(jìn)行全面驗(yàn)收。在完全滿足雙方簽訂的合同要求后，進(jìn)行項(xiàng)目的總移交。如果在合同范圍內(nèi)，在未滿足要求的情況下，必須對(duì)工作進(jìn)行返工，直到滿足要求為止。第4章企業(yè)網(wǎng)絡(luò)系統(tǒng)風(fēng)險(xiǎn)分析4.1應(yīng)用安全現(xiàn)狀及風(fēng)險(xiǎn)分析4.1.1惡意代碼在企業(yè)網(wǎng)絡(luò)中，除了桌面客戶端的病毒防護(hù)外，還應(yīng)該從整體防護(hù)上進(jìn)行病毒防護(hù)。忽視任何方面都將成為攻擊的切入點(diǎn)，如郵件防護(hù)、服務(wù)器防護(hù)等是反病毒的重點(diǎn)，如何合理、科學(xué)、有效地部署和利用現(xiàn)有的安全產(chǎn)品成為安全防護(hù)的重點(diǎn)和關(guān)鍵。企業(yè)郵件服務(wù)器缺乏保護(hù)機(jī)制。目前，大多數(shù)郵件服務(wù)器接收垃圾郵件和病毒郵件，嚴(yán)重影響了郵件服務(wù)器的性能。4.1.2信息系統(tǒng)的安全風(fēng)險(xiǎn)企業(yè)已經(jīng)部署了許多重要的應(yīng)用程序系統(tǒng)，包括業(yè)務(wù)系統(tǒng)?？梢哉f，這些重要的信息系統(tǒng)已經(jīng)成為企業(yè)的生命線。在未來的開發(fā)過程中，企業(yè)需要利用這些系統(tǒng)進(jìn)行終端生產(chǎn)、調(diào)度等各種業(yè)務(wù)操作。但眾所周知，在信息系統(tǒng)的建設(shè)、使用和相關(guān)的環(huán)境因素中，存在著大量的風(fēng)險(xiǎn)因素。4.2安全管理體系現(xiàn)狀分析安全產(chǎn)品的單次部署解決不了這個(gè)問題。它必須與管理手段合作。在整個(gè)安全系統(tǒng)中，最重要的是管理。目前，企業(yè)安全管理存在以下問題：1.動(dòng)態(tài)威脅保護(hù)管理中心需要實(shí)時(shí)檢測(cè)網(wǎng)絡(luò)攻擊和漏洞，并集中安全趨勢(shì)報(bào)告。2.需要定期調(diào)整專職安全管理人員，如網(wǎng)絡(luò)設(shè)備、服務(wù)器和數(shù)據(jù)庫(kù)中的帳戶和密碼策略，以防止系統(tǒng)被非法用戶（內(nèi)部或外部）侵入和破壞；3.需要相應(yīng)的企業(yè)安全培訓(xùn)機(jī)制。安全體系的建立和維護(hù)需要有良好的管理體系和高度的安全意識(shí)。通過安全常識(shí)培訓(xùn)，提高安全意識(shí)。4.需要系統(tǒng)完善的管理體系、事故響應(yīng)、巡檢等網(wǎng)絡(luò)運(yùn)行維護(hù)機(jī)制。5.建立信息管理平臺(tái)，部署信息管理平臺(tái)，派出專職人員對(duì)平臺(tái)進(jìn)行監(jiān)督。通過這個(gè)平臺(tái)，我們可以規(guī)劃網(wǎng)絡(luò)設(shè)備的部署、配置、監(jiān)控和審計(jì)。通過這個(gè)平臺(tái)，我們可以實(shí)時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的隱患。向上級(jí)提供定期報(bào)告分析文件。4.3建立網(wǎng)絡(luò)安全模型該模型的建立可以簡(jiǎn)化復(fù)雜問題，更好地解決安全策略相關(guān)問題。網(wǎng)絡(luò)安全模型的建立主要是指PPDR模型。PPDR模型是美國(guó)互聯(lián)網(wǎng)安全系統(tǒng)公司提出的一種自適應(yīng)網(wǎng)絡(luò)安全模型。ppdr模型是策略、保護(hù)、檢測(cè)和響應(yīng)四個(gè)英文單詞的頭部，構(gòu)成了一個(gè)動(dòng)態(tài)的信息安全循環(huán)。p2dr模型的基本思想是，系統(tǒng)的安全應(yīng)該由統(tǒng)一的安全策略來控制和指導(dǎo)，使用各種安全技術(shù)（如防火墻、操作系統(tǒng)身份驗(yàn)證、加密等）來保護(hù)系統(tǒng)，并使用檢測(cè)工具（如漏洞評(píng)估、入侵檢測(cè)系統(tǒng)）來保護(hù)系統(tǒng)。監(jiān)控和評(píng)估系統(tǒng)的安全狀態(tài)，并通過適當(dāng)?shù)姆绞?。將系統(tǒng)調(diào)整到相對(duì)“最安全”和“風(fēng)險(xiǎn)最小”狀態(tài)的響應(yīng)機(jī)制。如圖2[7]所示：圖2網(wǎng)絡(luò)安全模型PPDR模型主要包括以下四個(gè)部分：1.Policy(策略)策略是網(wǎng)絡(luò)安全模型的核心。所有的保護(hù)、檢測(cè)和響應(yīng)都是根據(jù)安全策略來實(shí)現(xiàn)的。政策體系的建立包括安全政策的制定、評(píng)價(jià)和實(shí)施。網(wǎng)絡(luò)安全策略一般包括兩部分：通用安全策略和特定安全規(guī)則。2.Protection(防護(hù))PPDR模型最重要的部分是保護(hù)（P）。保護(hù)是基于系統(tǒng)中可能出現(xiàn)的安全問題而采取的一種預(yù)防措施，防止攻擊者順利入侵。保護(hù)可以減少大多數(shù)入侵事件。網(wǎng)絡(luò)安全中常用的保護(hù)手段有：缺陷掃描、訪問控制防火墻、防病毒軟件和個(gè)人防火墻、數(shù)據(jù)加密、認(rèn)證技術(shù)等。3.Detection(檢測(cè))PPDR模型的第二步是檢測(cè)（D）。保護(hù)系統(tǒng)可以阻止大多數(shù)入侵，但不能阻止所有入侵，特別是那些使用新系統(tǒng)缺陷和新攻擊手段的入侵。因此，安全策略的第二個(gè)安全屏障是檢測(cè)，即如果發(fā)生入侵，那么工具就是入侵檢測(cè)系統(tǒng)（IDS）。保護(hù)主要是修復(fù)系統(tǒng)和網(wǎng)絡(luò)的缺陷，提高系統(tǒng)的安全性能，從而消除攻擊和入侵[8]。檢測(cè)不是基于網(wǎng)絡(luò)和系統(tǒng)缺陷，而是基于入侵事件的特征來檢測(cè)。然而，黑客經(jīng)常利用網(wǎng)絡(luò)和系統(tǒng)缺陷攻擊系統(tǒng)，因此入侵事件的特征一般與系統(tǒng)缺陷的特征有關(guān)。因此，保護(hù)與檢測(cè)是相輔相成的。同時(shí)，檢測(cè)也是動(dòng)態(tài)響應(yīng)的基礎(chǔ)。4.Response(響應(yīng))PPDR模型的第三步是響應(yīng)（R）。響應(yīng)是處理已知發(fā)生的入侵。在國(guó)外的大型網(wǎng)絡(luò)中，響應(yīng)由專門的部門計(jì)算機(jī)響應(yīng)團(tuán)隊(duì)執(zhí)行。CERT是世界上第一個(gè)計(jì)算機(jī)響應(yīng)小組，由美國(guó)CMU大學(xué)軟件研究所于1989年成立。它是世界上最著名的計(jì)算機(jī)反應(yīng)小組。自CERT成立以來，世界上許多國(guó)家和機(jī)構(gòu)都成立了自己的計(jì)算機(jī)響應(yīng)小組。CCERT是中國(guó)第一個(gè)計(jì)算機(jī)響應(yīng)小組，成立于1999年，主要服務(wù)于中國(guó)教育和科研網(wǎng)絡(luò)。入侵報(bào)警可以是入侵檢測(cè)系統(tǒng)報(bào)警，也可以通過其他方式報(bào)告。響應(yīng)的主要工作也可分為兩類：第一類是應(yīng)急響應(yīng)，第二類是恢復(fù)處理。應(yīng)急響應(yīng)是在安全事件發(fā)生時(shí)采取的措施：恢復(fù)處理是將系統(tǒng)恢復(fù)到原來的狀態(tài)，或者恢復(fù)到比原來更安全的狀態(tài)。數(shù)據(jù)備份是否充分，對(duì)信息恢復(fù)有很大的影響。信息恢復(fù)過程的一個(gè)特點(diǎn)是優(yōu)先級(jí)，這直接影響到信息的日常生活和工作，必須首先恢復(fù)信息，以提高信息護(hù)膚的效率[9]?？傊诎踩呗缘闹笇?dǎo)下，保護(hù)、檢測(cè)、響應(yīng)和恢復(fù)構(gòu)成了一個(gè)完整的、動(dòng)態(tài)的安全循環(huán)，以保證信息系統(tǒng)的安全。PDR模型是一種反映網(wǎng)絡(luò)安全最終存在狀態(tài)的目標(biāo)系統(tǒng)和模型。它不重視網(wǎng)絡(luò)安全建設(shè)的工程過程，也不詳細(xì)闡述實(shí)現(xiàn)目標(biāo)系統(tǒng)的途徑和手段。此外，該模型更注重技術(shù)而不是管理等因素。網(wǎng)絡(luò)安全系統(tǒng)應(yīng)該是一個(gè)技術(shù)和管理相結(jié)合的體系結(jié)構(gòu)，全面解決安全問題。它應(yīng)該是動(dòng)態(tài)的、程序的、全面的、層次的和平衡的。它是一個(gè)藍(lán)圖，可以真正建立在信息安全實(shí)踐的基礎(chǔ)上。4.4設(shè)計(jì)原則網(wǎng)絡(luò)安全體系結(jié)構(gòu)的設(shè)計(jì)需要參考一定的標(biāo)準(zhǔn)，形成一個(gè)完整的系統(tǒng)。它需要通過專業(yè)的網(wǎng)絡(luò)安全技術(shù)實(shí)現(xiàn)全面的保護(hù)，而不是簡(jiǎn)單的多個(gè)產(chǎn)品的疊加。為保證整體設(shè)計(jì)能滿足集團(tuán)目前及未來網(wǎng)絡(luò)信息水平和系統(tǒng)優(yōu)化的需要，整個(gè)網(wǎng)絡(luò)設(shè)計(jì)采用以下總體設(shè)計(jì)原則：1.系統(tǒng)、綜合、整體性原則應(yīng)用系統(tǒng)工程的觀點(diǎn)和方法，分析了網(wǎng)絡(luò)的安全性和具體措施。安全措施主要包括行政法律手段、各種管理制度和專業(yè)措施。一個(gè)更好的安全措施常常是各種方法應(yīng)用的結(jié)果。計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)遵循全面安全的原則，按照規(guī)定的安全策略，制定合理的網(wǎng)絡(luò)安全體系結(jié)構(gòu)[10]2.需求、風(fēng)險(xiǎn)、代價(jià)平衡原則對(duì)于任何一個(gè)網(wǎng)絡(luò)來說，絕對(duì)安全都是很難實(shí)現(xiàn)的，不一定是必要的。在實(shí)踐中對(duì)網(wǎng)絡(luò)進(jìn)行了研究（包括任務(wù)、性能、結(jié)構(gòu)、可靠性、可維護(hù)性等）。對(duì)網(wǎng)絡(luò)面臨的威脅和風(fēng)險(xiǎn)進(jìn)行了定性和定量分析，制定了確定系統(tǒng)安全策略的規(guī)范和措施。3.并行原則并行原則主要是指網(wǎng)絡(luò)安全問題應(yīng)與整個(gè)網(wǎng)絡(luò)的工作周期（或生命周期）同時(shí)存在，安全架構(gòu)必須與網(wǎng)絡(luò)的安全要求相一致[11]。4.先進(jìn)性、適應(yīng)性、分布實(shí)施的原則由于網(wǎng)絡(luò)系統(tǒng)及其應(yīng)用的廣泛性，隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大和應(yīng)用的增加，網(wǎng)絡(luò)脆弱性將繼續(xù)增加。一次性解決網(wǎng)絡(luò)安全問題是不現(xiàn)實(shí)的，但必須采用先進(jìn)的設(shè)計(jì)思想和技術(shù)，并將這一先進(jìn)的思想充分落實(shí)到產(chǎn)品中，以保證系統(tǒng)具有強(qiáng)大的生命力。同時(shí)，信息安全措施的實(shí)施需要大量的支出。因此，分步實(shí)施不僅可以滿足網(wǎng)絡(luò)系統(tǒng)和信息安全的需要，而且可以節(jié)省成本。5.多重保護(hù)的原則任何安全措施都不是絕對(duì)安全的，可以分解。但建立了多重保護(hù)系統(tǒng)。每一層保護(hù)相互補(bǔ)充。當(dāng)一層保護(hù)被破壞時(shí)，另一層保護(hù)仍然可以保護(hù)信息的安全。6.實(shí)用性原則隨著科學(xué)技術(shù)的不斷進(jìn)步，計(jì)算機(jī)信息設(shè)備、服務(wù)器設(shè)備和網(wǎng)絡(luò)設(shè)備的技術(shù)性能逐步提高，其價(jià)格也逐漸下降。實(shí)現(xiàn)所謂的“一步到位”是不可能也不必要的。因此，在網(wǎng)絡(luò)方案設(shè)計(jì)中，我們力求把握“足夠”和“實(shí)用”的原則，在網(wǎng)絡(luò)系統(tǒng)中采用成熟可靠的技術(shù)和設(shè)備，取得經(jīng)濟(jì)、實(shí)用、有效的效果。7.開放性原則從前面的總體目標(biāo)來看，網(wǎng)絡(luò)能夠滿足未來應(yīng)用的擴(kuò)展需求，因此在網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)中將采用開放的標(biāo)準(zhǔn)和技術(shù)。8.高可用性、可靠性原則由于集團(tuán)業(yè)務(wù)系統(tǒng)對(duì)二級(jí)機(jī)組的正常運(yùn)行起著關(guān)鍵作用，整個(gè)網(wǎng)絡(luò)優(yōu)化系統(tǒng)應(yīng)保證較高的平均無故障時(shí)間和最低的平均故障率。9.安全性原則從總體目標(biāo)來看，設(shè)計(jì)中心的安全考慮主要是主機(jī)安全（包括服務(wù)器）和網(wǎng)絡(luò)資源安全，充分考慮了用戶所需的安全保護(hù)功能。4.5系統(tǒng)安全方案設(shè)計(jì)外部互聯(lián)域規(guī)劃如圖3所示。主要變化如下：1.將邊界防火墻轉(zhuǎn)換為防火墻組。原組團(tuán)樓與施工樓連接邊界防火墻，形成雙機(jī)組團(tuán)防火墻，形成雙機(jī)熱備，統(tǒng)一組團(tuán)樓與施工樓互聯(lián)網(wǎng)用戶的出口管理。2.將邊界路由器添加到Internet以避免單點(diǎn)故障。3.將入侵檢測(cè)設(shè)備映射添加到DMZ和核心網(wǎng)絡(luò)區(qū)域圖3外部互聯(lián)域規(guī)劃圖4.6外部互聯(lián)域規(guī)劃圖4.6.1內(nèi)部互聯(lián)域方案設(shè)計(jì)根據(jù)內(nèi)部互聯(lián)域的安全要求，不需要改變內(nèi)部互聯(lián)域的內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)。它需要改變內(nèi)部互聯(lián)域的核心與分支之間的連接方式，以及防火墻設(shè)備安全策略的部署。1.采用路由協(xié)議。路由協(xié)議包括動(dòng)態(tài)路由協(xié)議和靜態(tài)路由協(xié)議。由于集團(tuán)交換機(jī)與公司交換機(jī)、核心交換機(jī)之間的連接是單鏈路連接，使用靜態(tài)路由協(xié)議更方便管理和操作。2.核心交換機(jī)配置如圖4所示，集團(tuán)核心交換機(jī)連接的網(wǎng)段為192.168.1.0124，公司三層交換機(jī)連接的網(wǎng)段為192.168.6.0/24。配置的目的是通過靜態(tài)路由協(xié)議從公司段訪問組段。圖4內(nèi)部互聯(lián)域交換機(jī)連接圖3.二級(jí)單位邊界防火墻系統(tǒng)部署二級(jí)單位防火墻部署后拓?fù)鋱D如圖5所示：圖5三級(jí)單位防火墻部署圖4.6.2內(nèi)網(wǎng)安全域VLAN技術(shù)已經(jīng)成為提高網(wǎng)絡(luò)運(yùn)行效率和提供最大可配置性的非常成熟的技術(shù)。因此，集團(tuán)和分公司的整個(gè)局域網(wǎng)需要采用VLAN劃分技術(shù)，將局域網(wǎng)劃分為不同的子網(wǎng)。限制子網(wǎng)絡(luò)之間的訪問以避免病毒傳輸和信息泄漏[12]各公司采用思科三層交換機(jī)作為整個(gè)網(wǎng)絡(luò)的主交換系統(tǒng)。交換機(jī)上的默認(rèn)VLAN1作為管理VLAN，配置相應(yīng)的IP地址，并根據(jù)Cisco三層交換機(jī)上的部門將VLAN劃分為相應(yīng)的VLAN。用作管理VLAN的VLAN1是默認(rèn)值，而不是分隔值。VLAN之間的路由允許每個(gè)VLAN彼此訪問。所有交換機(jī)均采用VTP技術(shù)，將CISCO三層交換機(jī)設(shè)置為VTPSERVER，將CISCO二層交換機(jī)設(shè)置為VTP客戶端，VTP域設(shè)置為公司名稱，二層交換機(jī)與三層交換機(jī)之間的中繼線，封裝類型為dot1q。使用這種技術(shù)，只需將CISCO三層交換機(jī)上的所有VLAN進(jìn)行劃分，二層交換機(jī)就可以自己學(xué)習(xí)所有VLAN，不需要額外的劃分，不僅可以大大減少工作負(fù)載，而且可以大大提高網(wǎng)絡(luò)的可維護(hù)性。網(wǎng)絡(luò)VLAN分區(qū)如圖6所示。圖6辦公域的網(wǎng)絡(luò)安全為了防止網(wǎng)絡(luò)病毒的傳播，發(fā)揮防病毒軟件所不能發(fā)揮的作用，需要建立防病毒墻，并相應(yīng)地部署客戶端。服務(wù)器和工作站需要安裝防病毒網(wǎng)關(guān)客戶端，客戶端的作用是保護(hù)防病毒軟件不能清除網(wǎng)絡(luò)病毒。一旦防病毒網(wǎng)關(guān)的客戶端由于用戶誤操作或系統(tǒng)問題而出現(xiàn)故障，防病毒網(wǎng)關(guān)將強(qiáng)制用戶無法按照策略使用網(wǎng)絡(luò)功能，直到客戶端重新安裝，這將起到自動(dòng)管理的作用。第5章結(jié)束語(yǔ)在網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)中，一套可行的設(shè)計(jì)方案可以滿足集團(tuán)的信息交流和傳輸，也可以方便外部客戶了解企業(yè)。在網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)過程中，根據(jù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)計(jì)的原則，采用分層模型的方法，將網(wǎng)絡(luò)結(jié)構(gòu)分層為核心層和接入層，并在一層或核心層設(shè)置主機(jī)房。總線網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)簡(jiǎn)單、方便、價(jià)格低廉。它在功能性、實(shí)用性和安全性方面完全滿足了網(wǎng)絡(luò)的工作要求，具有一定的可擴(kuò)展性。實(shí)現(xiàn)了網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)的預(yù)期目標(biāo)。總之，在新的經(jīng)濟(jì)時(shí)代，基于信息網(wǎng)絡(luò)的大型企業(yè)管理模式能夠有效地