试述企业信息网络建设
中图分类号:C29文献标识码: A
尽管每个企业信息网络都有其独有的特性,但所有的企业信息网络还是具有共同的基本要求:可靠性和可用性:企业信息网络应当24小时全年可靠可用,故障发生时可以被迅速隔离,且故障的修复对于最终用户应当透明;响应性:企业信息网络应为各种业务应用和协议提供质量保证(QoS),并不影响桌面计算机的响应;高效性:企业信息网络可以优化资源,尤其是带宽的使用,减少额外数据流开销,比如不必要的广播、服务定位和路由更新,应当使数据吞吐率在不增加硬件成本或不添加广域网服务的前提下得到提高;可适应性:一个适应性强的企业信息网络利用层次化、开放式的结构可以容纳完全不同的协议、应用、硬件技术,从而实现不同业务程序的运行;可访问性和安全性:一个可访问的企业信息网络允许通过多种方式连接,实现全业务接入,保持业务随时可以访问,同时网络的策略还能维护网络的完整性。
二、企业网络建设的安全措施
1、信息系统的安全风险评估
随着网络的延伸,处理信息的种类增多,带来的问题越来越多,也越来越厉害,使得人们不得不在筹划信息系统的时候,为系统能正常健康的运营而建造一个安全保障系统。对现有的业务应用系统进行分析、识别、评估,制定防范措施是唯一可行的办法。企业的网络信息系统按照风险管理的思想,对可能存在的威胁、脆弱性和需要保护的信息资源进行分析,依据风险评估的结果为信息系统选择适当的安全措施,妥善应对可能发生的风险。
2、树立正确安全意识
企业在信息化发展的进程中,应意识到企业信息的安全问题与企业发展之间存在的关联性。一旦企业的重要信息被窃取或外泄,企业机密被泄漏,对企业所造成的打击是非常巨大的,同时也给竞争对手创造了有利的机会。因此树立正确的安全意识对于企业是非常重要的这样才能为后面的工作打下良好的基础。
3、选择安全性能高的防护软件
虽然任何软件都是有可以破解方法的,但是对于安全性能高的软件而言,其破解的困难性也随之增加,所以企业在选择安全软件时应尽量选择安全性能高的,不要为节省企业开支而选择性能差的防护软件,如果出现问题其造成的损失价值会远远的大于软件价格。
4、技术创新
要有效保证信息安全,其中之一就是要做好数据抢救措施,如加入数据恢复、数据备份、数据销毁等信息安全防御措施。常用的数据恢复技术包括效率源DataCompass数据指南针、HDDoctor、DCK硬盘复制机等。
安全评估途径:安全是网络正常运行的前提。网络安全不单是单点的安全,而是整个信息网的安全,需要从多角度进行立体防护。要知道如何防护,就要清楚安全风险来源于何处,这就需要对网络安全进行风险分析。网络安全的风险分析,重点应该放在安全测试评估技术方面。它的战略目标是:掌握网络与信息系统安全测试及风险评估技术,建立完整的面向等级保护的测评流程及风险评估体系。
三、层次化设计企业信息网络
1、网络规模
对于企业信息网络而言可划分为:LAN(LocalAreaNetwork),微小型企业及工作组规模,一个房间到一栋建筑,由单个组织拥有和管理;CAN(CampusAreaNetwork),多个局域网的集合,由坐落在固定区域内的一栋或多栋建筑物组成,也是由单个组织拥有和管理,或每一处由组织的一部分拥有和管理。
2、网络功能
企业信息网络的主要建设集中在OSI模型的2-4层,第二层交换在数据链路层进行,第三层交换在网络层进行,访问控制在二、三、四层实现,均可以使用软件或硬件的方式实现,在复杂的网络结构中,由于功能的硬件实现比软件迅速,一般在此使用多层交换机、路由器。
3、网络服务规划设计
企业信息网络的应用是由连接在一起的服务所组成的,且连接的方式能提供高效的通信流。其服务可分为3类:本地服务、远程服务、企业服务,企业信息网络应当有效容纳这些服务,并有效规划。本地服务,是同一个本地工作组可以访问的网络服务(例如:网络打印服务、工作组文件共享等)。这些服务流量的特征是保持在同一个广播域内,在第二层进行数据交换,不应出现在网络主干之上,即不进行三层路由;远程服务,用户主动发起的,在其广播域之外的服务,例如文件应用程序、远程控制、IP电话、视频会议、互联网访问等,这些服务会跨越广播域,通信过程由第三层路由器转发;企业服务,网络内所有用户都可以访问(例如企业级中央存储、企业级业务应用包,含ERP、PM、CRM、MIS、EMAIL以及内部网服务),这些服务一般都放置在接近网络逻辑中心的地方,以允许所有用户平等访问。依据企业服务的规模,这些服务可能在同一个广播域分组,也可能不分组。
4、网络拓扑
解决任何系统设计的第一种方法是确定系统的主要模块。为了满足企业信息网络设计需求,数据报文服务和用户连接在一起,从而为用户优化带宽,确保可靠性和公正性。可以使用三层网络设计体系,模块化设计各层网络拓扑结构。接入层(访问层):接入层模块处理用户对网络的访问。通常,接入层由第二层交换机组成,虽然集线器也能代替交换机共享以太网段的带宽。在接入层使用交换式还是共享式第二层网络取决于用户的需求和开销。虚拟局域网(VLAN)可以配置成把用户按功能分组而不是按地理位置分组。在外层,接入层在用户和企业信息网络之间提供高密度的端口和廉价的访问,也能够通过广域网技术,例如ADSL、ISDN、DDN等,让远程场点访问网络;集散层(分发层):集散层是核心和接入层的边界。从逻辑角度上说,集散层的主要作用是把工作组中的用户聚合在一起,用来提供广播域之间的链接、VLAN间的路由选择及安全性。一般处理企业信息网络的第三层路由功能,主要实施措施有以下几项:路由协议的部署、访问策略的设置、为进入核心层的数据提供过滤功能、提供多种网络类型的数据接入转换以及防火墙的部署;核心层:核心层和集散层模块一般绑定在一起,作为网络的主干存在。在这一层不会设置任何策略及路由选择。核心层最大的设计需求是获得尽可能快的转发速度和链路冗余保障可靠性。
四、部门级交换式以太网建设
对于部门、小型公司的所需网络技术确定将要连接的设备数,通常要保证解决方案允许一定程度的增长。确定将要连接的设备数,部署交换设备,让所有用户与之相连,这样构成的网络就能满足要求。由于设备的数量少,以及交换机的使用,冲突和广播流量不予考虑;将来它可能投资购买本地文件服务器提供存储和备份,并对远程连接有实际需求,那么在网络增长时,只需要将添购的设备连入交换机,并在交换机上外联一部小型路由器,使之通过配置广域网接口,利用广域网与远端连接,并建立一条广域网冗余链路,配置为热备份路由。由于外联网络的单一性,在客户端指定路由器为默认网关,在交换块边界路由设置,即可实现接入层与集散层的结构设计,扩展简便。
企业VLAN、VLAN间路由:VLAN将物理上的设备组和用户组通过逻辑的方式重新划分,为控制和减少网络管理开支提供有效的方法,并控制广播活动,支持工作组和网络的安全性;增加、移动或改变用户的位置。公司重组和人员流动带来的新的终端地址和集线器以及路由器的重新配置,成为网络管理中最大开销之一。VLAN用户位置的改变只简单将用户的终端插接到相应VLAN端口并简单配置即可,路由器配制不做任何修改;控制广播活动,通过应用及广播的数量确定VLAN的数目,使受广播活动影响的用户减少,通过VLAN将防火墙技术从路由器扩展到交换,大大减少广播流量,为用户流量释放带宽,弥补网络易受广播风暴影响的弱点;VLAN将网络划分为多个广播域是提高安全性的一个经济实惠和便于管理的技术,它可以限制VLAN网络用户的数目,拒绝用户在VLAN应用认证之前的连接,以及可以将空闲的端口配置到默认的低层服务的VLAN。在企业信息网络中可以通过路由器低成本实现VLAN间的通信,高效实现则可利用交换机路由模块进行交换。
结束语
企业信息网络是一个复杂的环境,牵涉到多种介质、多种协议,并且还能与某组织中心办公室外部的网络互联。设计精良并仔细安装的网络能减少随着网络环境的发展带来的问题,包括速率升级、设备更换、网络冗余防范、访问控制的设计-实施-变更,保障网络连续运行。正确设计和维护网络对企业正常运作非常重要。一个设计和维护水平都较差的网络,会在与对手的竞争中面临许多危险。
