引论:我们为您整理了13篇企业网络的设计与实现范文,供您借鉴以丰富您的创作。它们是您写作时的宝贵资源,期望它们能够激发您的创作灵感,让您的文章更具深度。
篇1
计算机网络是通过互联网服务来为人们提供各种各样的功能,如果想保证这些服务的有效提供,一是需要全面完善计算机网络的基础设施和配置;二是需要有可靠完善的保障体系。可靠完善的保障体系是为了能够保证网络中的信息传输、信息处理和信息共享等功能能够安全进行。
1 网络安全的定义
网络安全问题不但是近些年来网络信息安全领域经常讨论和研究的重要问题,也是现代网络信息安全中亟待解决的关键问题。网络安全的含义是保证整个网络系统中的硬件、软件和数据信息受到有效保护,不会因为网络意外故障的发生,或者人为恶意攻击,病毒入侵而受到破坏,导致重要信息的泄露和丢失,甚至造成整个网络系统的瘫痪。
网络安全的本质就是网络中信息传输、共享、使用的安全,网络安全研究领域包括网络上信息的完整性、可用性、保密性和真实性等一系列技术理论。而网络安全是集合了互联网技术、计算机科学技术、通信技术、信息安全管理技术、密码学、数理学等多种技术于一体的综合性学科。
2 网络安全技术介绍
2.1 安全威胁和防护措施
网络安全威胁指的是具体的人、事、物对具有合法性、保密性、完整性和可用性造成的威胁和侵害。防护措施就是对这些资源进行保护和控制的相关策略、机制和过程。
安全威胁可以分为故意安全威胁和偶然安全威胁两种,而故意安全威胁又可以分为被动安全威胁和主动安全威胁。被动安全威胁包括对网络中的数据信息进行监听、窃听等,而不对这些数据进行篡改,主动安全威胁则是对网络中的数据信息进行故意篡改等行为。
2.2 网络安全管理技术
目前,网络安全管理技术越来越受到人们的重视,而网络安全管理系统也逐渐地应用到企事业单位、政府机关和高等院校的各种计算机网络中。随着网络安全管理系统建设的规模不断发展和扩大,网络安全防范技术也得到了迅猛发展,同时出现了若干问题,例如网络安全管理和设备配置的协调问题、网络安全风险监控问题、网络安全预警响应问题,以及网络中大量数据的安全存储和使用问题等等。
网络安全管理在企业管理中最初是被作为一个关键的组成部分,从信息安全管理的方向来看,网络安全管理涉及到整个企业的策略规划和流程、保护数据需要的密码加密、防火墙设置、授权访问、系统认证、数据传输安全和外界攻击保护等等。
在实际应用中,网络安全管理并不仅仅是一个软件系统,它涵盖了多种内容,包括网络安全策略管理、网络设备安全管理、网络安全风险监控等多个方面。
2.3 防火墙技术
互联网防火墙结合了硬件和软件技术来防止未授权的访问进行出入,是一个控制经过防火墙进行网络活动行为和数据信息交换的软件防护系统,目的是为了保证整个网络系统不受到任何侵犯。
防火墙是根据企业的网络安全管理策略来控制进入和流出网络的数据信息,而且其具有一定程度的抗外界攻击能力,所以可以作为企业不同网络之间,或者多个局域网之间进行数据信息交换的出入接口。防火墙是保证网络信息安全、提供安全服务的基础设施,它不仅是一个限制器,更是一个分离器和分析器,能够有效控制企业内部网络与外部网络之间的数据信息交换,从而保证整个网络系统的安全。
将防火墙技术引入到网络安全管理系统之中是因为传统的子网系统并不十分安全,很容易将信息暴露给网络文件系统和网络信息服务等这类不安全的网络服务,更容易受到网络的攻击和窃听。目前,互联网中较为常用的协议就是TCP/IP协议,而TCP/IP的制定并没有考虑到安全因素,防火墙的设置从很大程度上解决了子网系统的安全问题。
2.4 入侵检测技术
入侵检测是一种增强系统安全的有效方法。其目的就是检测出系统中违背系统安全性规则或者威胁到系统安全的活动。通过对系统中用户行为或系统行为的可疑程度进行评估,并根据评价结果来判断行为的正常性,从而帮助系统管理人员采取相应的对策措施。入侵检测可分为:异常检测、行为检测、分布式免疫检测等。
3 企业网络安全管理系统架构设计
3.1 系统设计目标
该文的企业网络安全管理系统的设计目的是需要克服原有网络安全技术的不足,提出一种通用的、可扩展的、模块化的网络安全管理系统,以多层网络架构的安全防护方式,将身份认证、入侵检测、访问控制等一系列网络安全防护技术应用到网络系统之中,使得这些网络安全防护技术能够相互弥补、彼此配合,在统一的控制策略下对网络系统进行检测和监控,从而形成一个分布式网络安全防护体系,从而有效提高网络安全管理系统的功能性、实用性和开放性。
3.2 系统原理框图
该文设计了一种通用的企业网络安全管理系统,该系统的原理图如图1所示。
3.2.1 系统总体架构
网络安全管理中心作为整个企业网络安全管理系统的核心部分,能够在同一时间与多个网络安全终端连接,并通过其对多个网络设备进行管理,还能够提供处理网络安全事件、提供网络配置探测器、查询网络安全事件,以及在网络中发生响应命令等功能。
网络安全是以分布式的方式,布置在受保护和监控的企业网络中,网络安全是提供网络安全事件采集,以及网络安全设备管理等服务的,并且与网络安全管理中心相互连接。
网络设备管理包括了对企业整个网络系统中的各种网络基础设备、设施的管理。
网络安全管理专业人员能够通过终端管理设备,对企业网络安全管理系统进行有效的安全管理。
3.2.2 系统网络安全管理中心组件功能
系统网络安全管理中心核心功能组件:包括了网络安全事件采集组件、网络安全事件查询组件、网络探测器管理组件和网络管理策略生成组件。网络探测器管理组件是根据网络的安全状况实现对模块进行添加、删除的功能,它是到系统探测器模块数据库中进行选择,找出与功能相互匹配的模块,将它们添加到网络安全探测器上。网络安全事件采集组件是将对网络安全事件进行分析和过滤的结构添加到数据库中。网络安全事件查询组件是为企业网络安全专业管理人员提供对网络安全数据库进行一系列操作的主要结构。而网络管理策略生产组件则是对输入的网络安全事件分析结果进行自动查询,并将管理策略发送给网络安全。
系统网络安全管理中心数据库模块组件:包括了网络安全事件数据库、网络探测器模块数据库,以及网络响应策略数据库。网络探测器模块数据库是由核心功能组件进行添加和删除的,它主要是对安装在网络探测器上的功能模块进行存储。网络安全事件数据库是对输入的网络安全事件进行分析和统计,主要用于对各种网络安全事件的存储。网络相应策略数据库是对输入网络安全事件的分析结果反馈相应的处理策略,并且对各种策略进行存储。
3.3 系统架构特点
3.3.1 统一管理,分布部署
该文设计的企业网络安全管理系统是采用网络安全管理中心对系统进行部署和管理,并且根据网络管理人员提出的需求,将网络安全分布地布置在整个网络系统之中,然后将选取出的网络功能模块和网络响应命令添加到网络安全上,网络安全管理中心可以自动管理网络安全对各种网络安全事件进行处理。
3.3.2 模块化开发方式
本系统的网络安全管理中心和网络安全采用的都是模块化的设计方式,如果需要在企业网络管理系统中增加新的网络设备或管理策略时,只需要对相应的新模块和响应策略进行开发实现,最后将其加载到网络安全中,而不必对网络安全管理中心、网络安全进行系统升级和更新。
3.3.3 分布式多级应用
对于机构比较复杂的网络系统,可使用多管理器连接,保证全局网络的安全。在这种应用中,上一级管理要对下一级的安全状况进行实时监控,并对下一级的安全事件在所辖范围内进行及时全局预警处理,同时向上一级管理中心进行汇报。网络安全主管部门可以在最短时间内对全局范围内的网络安全进行严密的监视和防范。
4 结论
随着网络技术的飞速发展,互联网中存储了大量的保密信息数据,这些数据在网络中进行传输和使用,随着网络安全技术的不断更新和发展,新型的网络安全设备也大量出现,由此,企业对于网络安全的要求也逐步提升,因此,该文设计的企业网络安全管理系统具有重要的现实意义和实用价值。
篇2
随着全球一体化进程的加快和国际经济活动的日趋频繁以及供应链管理思想的兴起,现代物流的地位越来越突出,物流企业的运作和管理逐渐与整个交通运输和仓储配送的大链条融合在一起。作为开展现代物流服务的推进器与连接器,全方位系统跟踪管理已成为物流企业的主要服务内容,涉及到多式联运功能,监管进出的运输工具、货物、行李物品、邮递物品和其他物品,;货物集散、中转、仓储功能,货代和船代功能,集装箱CY和CFS功能,管理信息系统及EDI应用功能,生产、生活辅助服务功能等等。
按照物流企业数字化视频网系统的总体规划和设计要求,建立和完善港区各作业区域,锚地、航道、泊位、堆场、门卫、公安交通、环境监测等数字化视频监控系统。在物流企业各作业区域建立视频监控系统的基础上,建立统一和共享的视频监控网络,逐步完成物流企业的数字化视频网建设。
一、视频监控技术的发展现状及应用领域
1.模拟视频监控技术
当黑白摄像机、黑白电视机出现时,初期的黑白图像电视监控系统也诞生了。当时的监控系统大多采用模拟方式传输,最简单的是将图像基带信息直接送入视频传输电缆进行传送。每一监控点的视频信息都通过一条电缆线直接连接到中心控制室的多路切换控制台上,通过手动切换的方式选择控制点图像使之显示在电视上。
2.基于PC的多媒体视频监控技术
20世纪90年代中期,基于PC的多媒体监控随着数字视频压缩编码技术的发展而产生。系统在远端有若干个摄像机、各种检测和报警探头与数据设备,获取图像信息,通过各自的传输线路汇接到多媒体监控终端上,然后再通过通信网络,将这些信息传到一个或者多个监控中心。监控终端机是一台PC机,也可以是专用的工业控制机。
3.基于Web服务器的远程视频监控技术
20世纪90年代末,随着网络技术的发展,出现了基于嵌入式Web服务器技术的远程网络数字视频监控系统,其关键设备是内置嵌入式Web服务器的视频服务器。
4.视频监控系统的应用领域
目前,视频监控系统主要应用于公安消防部门、银行、交通、楼宇大厦等需要远程实时监控的区域,物流企业对于这种要求也是迫切的。
二、系统模型设计与关键技术分析
1.系统模型设计:整个系统基于C/S(客户机/服务器)模式,如图1所示。
系统功能描述:远程客户端是监控中心,服务器端是监控前端。摄像头和麦克将采集的模拟音视频信号送入网络视频服务器;模拟信号被分成两路,一路直接送入本地监视器进行本地回放,另一路被送入编码器编码成视频流和音频流,从编码器出来的音视频流再被分为两路,一路送入本地硬盘存储,另一路通过网络发送到客户端。客户机端用户根据分配的用户名和密码访问服务器主机,接收网络数据包,经过解码还原成原来的视频图像,就可以实时察看监控录像,并发送相应的控制信息对云台、摄像头进行远程控制,实现远程监控。
2.远程网络视频监控系统中的关键技术
(1)视频编解码技术
网络视频监控要处理传输的主要数据就是图像语音数据。一幅640 × 480中等分辨彩色图像,采用24位比特量化的数据量约为7Mbit,如果按每秒30帧的速率播放,则需要传输的码率高达221Mbit/s,要在有限的带宽上传输如此之高的码流是不现实的,在这样的情况下,视频编解码技术显得尤为重要。
在我们的系统中采用的是H.264的编码格式,它是一种比已存标准性能更高的视频编码标准,主要体现为较高的编码效率、友好的网络交互性和精简的语法表示。
图2是 H.263, MPEG-2,MPEG-4和H.264压缩性能的一个比较。
(2)网络传输技术
①传输协议
视频图像的传输质量直接影响系统的监控质量,数字视频信号虽然已经过压缩,但数据量还是很大,特别是当几路视频信号同时在网络上传输时,大量的数据传输会使得传输网络变得拥挤,这会造成数据的延迟及丢失,因此良好的网络通信通道和通信协议的选择至关重要,本系统采用RTP/RTCP与UDP相结合的传输协议。
②C/S端动态IP地址的解析
当需要远程视频监控操作并通过ADSL拨号连接Internet时,ISP通常会分配给用户一个公共IP地址,这时候Internet上的其他用户就可以通过这个IP地址访问该计算机。但是,因为这个IP地址是动态的,也就是说一旦断线,下次再连接Internet的时候,ISP将会分配另一个不同的公共IP地址。
如果仅仅是服务器端或者客户端的一方采用了动态IP接入方式,问题比较容易解决。在点对点通信的时候,只要有一方能够预先知道IP地址,就能够在双方之间建立握手,并获取对方的IP地址,进行通信。但是如果双方都采用动态IP接入方式,就麻烦了。一个用户拨号连接后,不知道客户端的IP地址,也就无法通知对方自己的IP地址,后续操作根本无法进行。这里我们采用动态域名解析的方式,就是把一个固定的Internet域名和动态地址IP实时对应起来。这样,不管什么时候上线,分配的IP地址是多少,其他用户总是可以通过Internet域名访问相应的计算机。
三、物流企业网络数字视频监控系统设计
1.系统硬件:
网络视频监控系统结构如图三所示:该系统由前端设备、传输设备、多路视频分配器、网络视频服务器、本地显示器、终端客户机等部分组成。前端包括:摄像机、镜头、云台、防护罩等设备。传输部分由视频线缆、电源线缆、控制线缆和传输线缆等组成。Web嵌入式视频服务器连接多路视频输入,集监视、录像、多种画面分割、画面切换、回放检索、打印、等功能于一体。终端客户机实现远程视频回放和对云台的监控。
2.系统软件(客户端):
采用VC++6.0开发完成视频采集、存储、磁盘管理和对云台、摄像机的控制,用户权限管理等功能。Visual C++支持面向对象的编程方法,提供了简单高效的方法来操作应用程序类。
系统综述:物流企业在对人员、物资、材料的监管上有着特殊的要求,而网络视频监控系统突显了在这些方面的优势。首先,在所设监控区域(如:保密室)布置监控点,采用摄像头对射方式保证监控无盲点,也可加入报警装置;其次,设立监控中心并授予监管人员权限;最后,各级监管人员可在局域网或广域网对监控点进行不定时访问,这样就做到了真正意义上的人员保密、物资安全。
结束语
视频监控同其他技术相结合产生了许多新的应用,在各行各业起着举足轻重的作用,而智能化是视频监控技术发展的趋势。由于视频监控的数据量非常大,而用户真正需要的信息只是少部分,或者说真正需要监视的只是发生概率很少的某些事件,如何通过海量数据获取有价值的信息或者说如何从目视解释变为机器自动解释是视频监控技术发展的一个新方向。
作者单位:王鸿雁唐山工业职业技术学院
邓乃灏 河北理工大学机械工程学院
篇3
[中图分类号]TP393.02 [文献标识码]A [文章编号]1673-0194(2016)12-00-02
0 引 言
随着Internet的发展,大型企业网络从简单的信息承载转变成一个公共服务提供平台,这就对企业网络的稳定性要求越来越高。为了保证网络的健壮、高效和稳定可靠,需要企业在对机房关键设备采用硬件备份、双机冗余等技术的基础上,采用相关的软件技术提供较强的管理机制、控制手段,实现冗余和负载均衡。
1 硬件设备的冗余技术
硬件设备冗余分为关键设备和管理板卡冗余备份,关键设备有服务器、网络设备及电源等重要设备,这些都采用一用两备甚至三备的配置或双机冗余。正常工作时,几台相同型号的关键设备同时工作,互为备用。一旦遇到停电或者机器故障,自动转到正常设备上继续运行,确保系统稳定可靠,避免造成业务中断;而管理板卡冗余也就是网络设备在运行过程中,如果主管理板出现故障不能正常运行,网络设备将自动转换到从管理板工作,从而保证网络能够正常运行,同时不丢失相应的配置数据,实现冗余功能。
2 协议冗余技术
2.1 MSTP协议技术
在大型企业网络中往往存在多条链路,使用链路级冗余技术可以实现多条链路之间的备份,流量分担和环路消除。为了避免二层链路环路,同时充分利用链路带宽,在实际工作中,人们往往会选用IEEE 802.1s MSTP技术。MSTP(Multiple Spanning Tree Protocol)是一种新型的多生成树协议。简单来说,STP、RSTP都是单生成树协议,基于交换机端口技术,在进行生产树计算时,所有VLAN共享一棵生成树,无法实现不同VLAN在多条链路Trunk上的负载均衡分担。为了解决这些弊端,MSTP协议做了些优化,它是基于实例计算出多棵生成树,实例间实现负载均衡分担。MSTP根据域来计算生成树,MST域由域名(Region)、修改级别和实例(Instance)组成,只有MST域配置标识三者都相同的互联设备的才认为在同一个域中,并进行生成树计算。运用域名把一个网络分成多个域。每个域名是不一致的,用MAC地址来区分。在域内,形成多棵内部生成树(IST),生成树之间相互独立;在域外,形成公共生成树(CSI);在域间,MSTP利用公共内部生成树(CIST)将环路网络修剪成为一个无环的树形网络,避免报文在环路网络中的增生和无限循环,同时还提供了数据转发的多个冗余路径,在数据转发过程中实现VLAN数据的负载均衡。而“实例(Instance)”是VLAN映射的集合,一个或多个VLAN划分为一个Instance,通过多个VLAN捆绑到一个Instance中去的方法可以减少资源占用率和通信开销。MSTP的各个Instance拓扑的生存树计算是相互独立的,在这些Instance上就可以实现均流量分担。正常工作时,MSTP可以把多个相同拓扑结构的VLAN映射到某一个Instance中,这些VLAN在端口上的转发状态将取决于对应实例在MSTP里的转发状态。因此,MSTP既可以消除二层链路环路,又可以实现负责均衡,从而提高网络的稳定可靠性。
2.2 VRRP协议技术
利用MSTP可以实现链路冗余和不同VLAN在多条链路Trunk上的流量负载均衡分担,但网络中还存在单点失效隐患,那就是每个VLAN只有一台默认网关,一旦网关发生故障,用户就无法访问其他网络。为解决这一问题,在网关级可以利用VRRP协议,虚拟路由器冗余协议(Virtual Router Redundancy Protlcol,VRRP)是一种容错协议,也可以叫做备份路由协议。一个局域网络内的所有主机都设置缺省路由,当网内主机发出的目的地址不在本网段时,报文将被通过缺省路由发往外部路由器,从而实现了主机与外部网络的通信。当缺省路由器down掉(即端口关闭)之后,内部主机将无法与外部通信,如果路由器设置了VRRP时,那么这时,虚拟路由将启用备份路由器,从而实现全网通信。
3 企业网络的冗余设计及实现方法
3.1 任务需求与分析
图1是A企业网的一个典型部分,可表示整个企业中的某个子网或企业的部门网络。由于该公司的业务不断增多,业务操作对网络的依赖性也相对较大,如果采用单核的网络架构,核心设备一旦瘫痪,将对公司的业务造成极大的影响。因此,为增加网络的健壮性和可靠性,可以采用双核心架构,配置协议冗余策,充分考虑设备、链路和网关级的备份技术,扎实保证A公司网络高效稳定运行。具体拓扑图说明如下。
图1 A公司的网络冗余拓扑
(1)根据A公司的需求,首先选择了SW1和SW2两台三层交换机作为核心层设备,采用VRRP技术使两台交换机相互备份,避免因设备及故障而造成的网络中断,从而提高网络的可靠性和稳定性。SW3是网络中的接入层设备,主要为各个VLAN用户提供服务,销售部为VLAN 2,财务部为VLAN 3,市场部为VLAN 4,技术部为VLAN 5。
(2)SW1、SW2和SW3设备互联后,为避免链路环路,实现冗余链路的负载均衡,选用MSTP+VRRP技术实现A公司网络的链路级备份和网关级冗余。
(3)在交换机SW1、SW2、SW3上配置MSTP消除二层环路,SW1与SW2配置VRRP实现主机网关冗余。正常情况下,在二层设备接入的销售部VLAN 2与财务部VLAN 3数据流经过三层交换机SW1向路由器转发;市场部VLAN 4与技术部VLAN 5数据流经过三层交换机SW2向路由器转发,当SW1的链路发生故障时,VLAN 2和VLAN 3主机的数据流切换到SW2向路由器转发,故障恢复之后,主机的数据流又能够切换回去,同样当SW2链路发生故障时,VLAN 4与VLAN 5数据也能切换到SW1转发。
(4)SW1、SW2、SW3交换机上设置2个实例对应关系,VLAN 2、VLAN 3对应实例2,VLAN 4、VLAN 5对应实例3。
3.2 任务实施
(1)SW1主要配置如下:
创建VLAN: VLAN2、VLAN3、VLAN4、VLAN 5
配置MSTP
SW1(config)#spanning-tree mode mstp //开启MSTP生成树协议
SW1(config)# spanning-tree mst configuration //进入VLAN绑定
SW1(config-mst)# instance 2 vlan 2 ,3 //配置实例2对应VLAN 2、3,mstp域其他两个参数,域名和域修正号采用默认值
SW1(config-mst)# instance 3 vlan 4 ,5 //配置实例3对应VLAN 4、5
配置vrrp
SW1(config)#spanning-tree mst 2 priority 0 //设置捆绑1的优先级
SW1(config)#spanning-tree mst 3 priority 8196
SW1(config)#interface vlan 2
SW1(config-if)#ip address 192.168.2.1 255.255.255.0
SW1(config-if)#vrrp 10 ip 192.168.2.254 //配置组10的虚拟网关IP地址
SW1(config-if)#vrrp 10 priority //配置该接口优先级为254,确定该设备的接口为master
SW1(config)#interface vlan 3
SW1(config-if)#ip address 192.168.3.1 255.255.255.0
SW1(config-if)#vrrp 10 ip 192.168.3.254 //配置组10的虚拟网关IP地址
SW1(config-if)#vrrp 10 priority 254 //配置该接口优先级为254,确定该设备的接口为master
SW1(config)#interface vlan 4
SW1(config-if)#ip address 192.168.4.1 255.255.255.0
SW1(config-if)#vrrp 20 ip 192.168.4.254//配置组20的虚拟网关IP地址,没有配置该接口优先级,采用默认值为100,确定该设备为backup
SW1(config)#interface vlan 5
SW1(config-if)#ip address 192.168.5.1 255.255.255.0
SW1(config-if)#vrrp 20 ip 192.168.5.254//配置组20的虚拟网关IP地址,没有配置该接口优先级,采用默认值为100,确定该设备为backup。
(2)SW2主要配置与SW1的配置思路基本一致,MSTP和VRRP配置类似,不再叙述。
(3)SW3主要配置
①创建VLAN并把相应的端口划分到相应的VLAN;②配置MSTP:与SW1配置类似,简要配置如下。
SW3(config-mst)# instance 2 vlan 2 ,3 //配置实例2对应VLAN 2、3,MSTP域其他两个参数,域名和域修正号采用默认值
SW3(config-mst)# instance 2 vlan 4 ,5 //配置实例2对应VLAN 4、5
5 结 语
随着各个企业规模的不断增大,对网络的可靠性和安全性要求越来越高,基于MSTP+VRRP的双核心技术也在各行各业的网络中应用极为广泛。该双核技术能够实现网络扩容以及网络的硬件设备冗余和协议冗余及流量分担,解决冗余和负载均衡的问题,从而提高了整个网络可用性和稳定性。
主要参考文献
[1]邓泽国,孙绍志,杨显青.企业网搭建及应用宝典[M].北京:电子工业出版社,2012.
[2]张裕生,陈建军.企业网络搭建及应用[M].北京:高等教育出版社,2010.
篇4
关键字:数据同步 COM ActiveX ATL ASP 组件制作 电子商务 文件传输 组件注册 网络编程 COM调用 ASP组件调用
目
录
前 言 4
正 文 4
系统概述 4
需求阐述及功能定制 5
技术实现方案 6
模块算法和机制实现过程 11
总结 27
致谢 27
参考文献 28
篇5
1 校企合作的高效互动模式
为了与企业能保持稳定和牢固的合作关系,必须采取一种能实现校企双赢的模式。学校的需求是专业培养方案的制定、课程和实训的开发、师资力量的培养、学生的实践教学和校内外实训场地的建设。企业的需求是符合岗位需求的高素质人才、企业员工的培训场所和师资。在充分了解了校企双方的需求后,逐步探索出了校企合作的高效互动模式。
校企合作的第一阶段,学校提供资金,企业对网络专业的岗位需求进行调研,提供专业调研报告。然后由校内教师和企业工程师组建的专业建设团队分析专业调研报告提取专业面向的主要工作岗位,然后从工作岗位中提取典型工作任务,接着构建专业的课程体系。当专业课程体系构建完成并通过验证后,专业建设团队分成几个小组进行核心课程和实训课程的开发。企业工程师与校内教师共同确定课程和实训的内容,并结合授课内容开发出适用于教学的企业项目及配套项目文档。实训资源的开发主要包括实训指导书、实训项目文档、实训报告模板及实训评价标准等。
校企合作的第二阶段,为了满足课程和实训的教学环境要求,企业帮助完成校内实训基地的建设,在实训基地内可以完成学生综合实训和就业前实训的教学任务,为企业输送高素质人才;在实训基地内可以完成企业员工的技能培训,使学校和企业在校企合作的过程中能达到“双赢”,从而实现高效的互动合作。
2 实训课程的设计思路
实训课程的开发成果是校企合作的重要成果,本校在校企合作共同开发的过程中总结出以下几点经验。实训定位要准确,实训内容要覆盖,实训师资要配套,实训考核要严格。
2.1 实训定位要准确
实训课程在专业课程体系中的定位一定要准确,在本专业的课程体系中,每个学期的期末有两周的专业实训课程。学期实训的定位是锻炼学生综合运用本学期的课程内容进行模拟项目开发的能力。最后一学年的第一学期针对不同的就业岗位方向安排了两个就业前的综合实训,就业前实训的定位是训练学生针对某一就业岗位方向贯穿前四个学期中涉及的相关课程的内容,同时为了更好的就业,就业前实训还需要完成相关职业技能认证。学生完成就业前顶岗实习后将进入企业进行顶岗实习。
2.2 实训内容要覆盖
实训内容课程体系中主要包括学期综合实训和就业前综合实训,其中学期综合实训需要尽可能的覆盖整个学期中所有的专业课程,以第三学期的《多链路网络组建、运维与应用开发》实训为例,实训内容覆盖了《路由与交换技术》、《WEB前端技术》、《网络检测与监控》和《网络服务与管理》。实训内容以企业的真实网络项目为基础进行开发,开发出符合行业标准的实训项目。与实训项目配套开发出实训指导书和配套的实训资源。
2.3 实训师资要配套
实训效果的好坏在很大程度上取决于实训实施过程中教师的职业技能水平、教学水平和责任心。为了提高教师的职业技能水平,必须为教师提供企业实践锻炼和职业资格认证培训的机会。并且聘请企业工程师作为兼职实训指导教师与校内教师共同指导,从而在指导实训的过程中能发挥企业教师项目经验丰富的优点及校内教师教学经验丰富的优点,有效的保障实训实施过程中的教学质量。
为了保障实训师资水平的持续稳定,要定期考核实训指导教师并提供相关的培训进修意见,促进教师的可持续发展。
2.4 实训过程要规范
所有的综合实训是基于工作过程开发的。为了达到预期的实训效果,要求提供与企业工作环境相仿的实训环境,并按照企业项目的实施过程和操作规范指导学生进行实训。通过综合实训的训练,学生能逐步的熟悉企业的项目实施流程和操作规范,从而能尽快地适应真实的工作岗位。
2.5 实训考核要严格
实训完成之后,对学生的考核评价是一个十分重要的环节,如果考核评价不严格将会使学生不够重视。首先要根据实训内容制定出规范的实训考核标准,然后实训指导教师要严格的根据实训考核标准对学生进行考核。
实训的考核标准要由企业工程师和校内教师共同制定,要参照企业对人才的考核要求,考核学生的综合能力,综合能力主要包括学生的专业技术能力、学生的团队协作能力、信息搜索与分析能力和成果展示能力等。
3 学期综合实训的实现
下面以计算机网络技术专业第三学期的综合实训为例,介绍本校综合实训的开发方法及成果。该综合实训是与三家网络及网站建设公司合作开发的,开发团队包括三名企业工程师和两名校内教师,下面就从实训定位、实训内容、实训实施、实训师资及实训考核五个方面介绍该综合实训。
《多链路网络建设、运维及开发》实训定位为综合实训,要求综合覆盖第三学期的专业课程,主要包括《路由与交换技术》、《网络服务与管理》、《WEB前端技术》和《网络检测与监控》专业课程。
实训内容以中型企业局域网的组建、运维及企业宣传网站开发项目为基础,要求学生完成六个项目任务:项目需求分析、网络建设方案撰写、网络实施详细设计(网站建设规划)、网络项目实施(网站开发)、项目各模块的测试、网络系统集成和网络综合测试(网络连通性测试、应用服务测试和网站测试)。最后提交项目文档及实训报告。
实训的实施过程由校内教师和企业工程师共同指导,教师在项目实施的过程作为项目的需求提供者及项目的质量监控者。学生按照企业项目实施的流程和规范完成实训项目,依次为:(1)进行分组,组成项目组;(2)选择出项目组的组长,组长带领小组成员进行项目需求分析;(3)根据需求分析的结果进行任务分工,并指定各项目模块的负责人;(4)各模块的负责人带领组员进行项目实施的规划和详细设计;(5)各项目模块严格按照企业项目实施的规范要求进行实施;(6)各项目模块的测试及排障;(7)项目各模块的系统集成;(8)项目的综合测试
实训的考核标准要符合企业用人的考核标准,全方位的考核学生的综合能力,同时要具备可操作性,从而确保教师在实训过程中能按照该考核标准严格执行。具体的考核标准如表1所示。
4 结语
本校计算机网络专业的实训课程定位准确、能全面地覆盖相关课程并且具备了严格的考核标准。在实训开发的过程中,注重校内师资的培训,从而确保实训实施过程的规范性及实训质量。学生通过实训逐步提高了技术的综合应用能力和项目的实践能力。通过两轮的实施,用人单位及学生均反映实习阶段的岗位适应能力明显提高。
篇6
一、企业网络安全风险状况概述
企业网络是在企业范围内,在一定的思想和理论指导下,为企业提供资源共享、信息交流和协同工作的计算机网络。随着我国各地企业网数量的迅速增加,如何实现企业网之间资源共享、信息交流和协同工作以及保证企业网络安全的要求是越来越强烈。与其它网络一样,企业网也同样面临着各种各样的网络安全问题。但是在企业网络建设的过程中,由于对技术的偏好和运营意识的不足,普遍都存在”重技术、轻安全、轻管理”的倾向,随着网络规模的急剧膨胀,网络用户的快速增长,关键性应用的普及和深入,企业网络在企业的信息化建设中已经在扮演了至关重要的角色,作为数字化信息的最重要传输载体,如何保证企业网络能正常的运行不受各种网络黑客的侵害就成为各个企业不可回避的一个紧迫问题,解决网络安全问题刻不容缓,并且逐渐引起了各方面的重视。
由于Internet上存在各种各样不可预知的风险,网络入侵者可以通过多种方式攻击内部网络。此外,由于企业网用户网络安全尚欠缺,很少考虑实际存在的风险和低效率,很少学习防范病毒、漏洞修复、密码管理、信息保密的必备知识以及防止人为破坏系统和篡改敏感数据的有关技术。
因此,在设计时有必要将公开服务器和外网及内部其它业务网络进行必要的隔离,避免网络结构信息外泄;同时还要对网络通讯进行有效的过滤,使必要的服务请求到达主机,对不必要的访问请求加以拒绝。
二、企业网络安全体系结构的设计与构建
网络安全系统的构建实际上是入侵者与反入侵者之间的持久的对抗过程。网络安全体系不是一劳永逸地能够防范任何攻击的完美系统。人们力图建立的是一个网络安全的动态防护体系,是动态加静态的防御,是被动加主动的防御甚至抗击,是管理加技术的完整安全观念。但企业网络安全问题不是在网络中加一个防火墙就能解决的问题,需要有一个科学、系统、全面的网络安全结构体系。
(一)企业网络安全系统设计目标
企业网络系统安全设计的目标是使在企业网络中信息的采集、存储、处理、传播和运用过程中,信息的自由性、秘密性、完整性、共享性等都能得到良好保护的一种状态。在网络上传递的信息没有被故意的或偶然的非法授权泄露、更改、破坏或使信息被非法系统辨识、控制,网络信息的保密性、完整性、可用性、可控性得到良好保护的状态。
(二) 企业网防火墙的部署
1.安全策略。所有的数据包都必须经过防火墙;只有被允许的数据包才能通过防火墙;防火墙本身要有预防入侵的功能;默认禁止所有的服务,除非是必须的服务才被允许。
2.系统设计。在互联网与企业网内网之间部署了一台硬件防火墙,在内外网之间建立一道安全屏障。其中WEB、E一mail、FTP等服务器放置在防火墙的DMZ区(即“非军事区”,是为不信任系统提供服务的孤立网段,它阻止内网和外网直接通信以保证内网安全),与内网和外网间进行隔离,内网口连接企业网,外网口通过电信网络与互联网连接。
3.入侵检测系统的设计和部署。入侵检测系统主要检测对网络系统各主要运营环节的实时入侵,在企业网网络与互联网之间设置瑞星RIDS一100入侵检测系统,与防火墙并行的接入网络中,监测来自互联网、企业网内部的攻击行为。发现入侵行为时,及时通知防火墙阻断攻击源。
4.企业网络安全体系实施阶段。第一阶段:基本安全需求。第一阶段的目标是利用已有的技术,首先满足企业网最迫切的安全需求,所涉及到的安全内容有:
①满足设备物理安全
②VLAN与IP地址的规划与实施
③制定相关安全策略
④内外网隔离与访问控制
⑤内网自身病毒防护
⑥系统自身安全
⑦相关制度的完善
第二阶段:较高的安全需求。这一阶段的目标是在完成第一阶段安全需求的前提下,全面实现整个企业网络的安全需求。所涉及的安全内容有:
①入侵检测与保护
②身份认证与安全审计
③流量控制
④内外网病毒防护与控制
⑤动态调整安全策略
第三阶段:后续动态的安全系统调整与完善。相关安全策略的调整与完善以及数据备份与灾难恢复等。
在上述分析、比较基础上,我们利用现有的各种网络安全技术,结合企业网的特点,依据设计、构建的企业网络安全体系,成功构建了如图4-1的企业网络安全解决方案,对本研究设计、构建的企业网络安全体系的实践应用具有重要的指导意义。
篇7
二、企业网络安全防护系统设计
1身份认证系统的设计与实现
身份认证作为网络安全的重要组成部分,企业网络安全系统中设计基于RSA的认证系统,该系统为三方身份认证协议。
(1)申请认证模块的设计与实现
CA设置在企业主服务器上,本系统主要包含申请认证、身份认证、通信模块。其中,申请认证完成与申请认证相关的操作,该模块实现流程如下:用鼠标点击菜单项中的“申请证书”,弹出相应的认证界面。在申请书界面内,输入用户的姓名及密码,传递至CA认证。
CA接收到认证方所发出的名称和明码后,并将认证结果发送至申请证书方,当通过用户验证将公钥传给CA。
CA接收申请证书一方传来的公钥,把其制作为证书发送给申请方,完成CA各项功能。申请方接收CA传来的证书后,保存至初始化文件.ini内。在申请方.ini文件内可以看见用户设置的公钥。
(2)身份认证模块
实施身份认证的双方,依次点击菜单项中的身份认证项,打开相应的身份认证对话框,提出验证方的请求连接,以此为双方创建连接[2]。
实际认证过程中,采用产生的随机数字N1、N2来抵抗攻击。B验证A证书有效后,获取自己的证书,产生随机数N1对其实施签名。随之把证书、签名的N1两条信息一起传递至A。A接收B发出的信息后,将其划分为两个部分,并验证B的身份同时获取B公钥。A验证B证书属于有效后,取出N传出的随机数N1,并产生随机数字N2,把密钥采用B公钥加密,最终把加密后的密钥采用A传送至B。B接受A发出的信息后,对A签名数据串进行解签,对传输的数据进行验证。如果验证失败,必须重新实施认证。实现代码如下:
UCHARdata[1024]={0}://解密后的私钥文件UINT4datalen=10224//解密后私钥文件长度if(RTN_OK!=CryptionProe(ATTRIB_SDBI_KEY,Dec_keylen,DNCRYPT,kk->length,data,&datalen)){m_List.AddMSg(解密私钥失败”,M_ERROR):deletekk;retllrn;}e1se.
2安全防护系统的设计及实现
设计安全防护系统旨在保护企业内部信息的安全,实现对各个协议和端口过滤操作,并实时监测网络的安全性。
(1)Windos网络接口标准
安全防护系统总设计方案是基于Windows内核内截取所有IP包。在Windows操作系统内,NDIS发挥着重要的作用,其是网络协议与NIC之间的桥梁,Windows网络接口见图1。其中,NDIS设置在MinpORT驱动程序上,Miniport相当于数据链路层的介质访问控制子层。
(2)数据包过滤系统
数据包过滤系统主要过滤IP数据包、UDP数据包、传输层TCP、应用层HTTP等。包过滤技术遵循“允许或不允许”部分数据包通过防火墙,数据包过滤流程见图2。包过滤装置对数据包进行有选择的通过,采用检查数据量中各数据包后,依据数据包源地址、TCP链路状态等明确数据包是否通过[3]。
综上所述,现阶段,我国多数企业设置的安全防护系统主要预防外部人员的非法入侵和供给,对企业内部人员发出的网络攻击、信息窃取无法起到防护的效果。文中对网络系统安全存在的安全风险展开分析,提出企业网络身份认证系统和安全防护系统设计与实现步骤,以此提升企业网络信息的安全性,为企业更好地发展提供安全支持。
参考文献:
[1]徐哲明.企业网络系统安全修补程序构架的设计[J].计算机安全,2013,17(8):47-50.
[2]劳伟强.企业数据网安全防护体系的研究与实现[J].电子世界,2013,35(22):154-154.
篇8
网络安全;企业网;安全技术;安全威胁
1网络安全技术概述
21世纪信息时代到来,网络充斥于生产与生活,在带来网络便利的同时也引发了网络安全性的思考。网络安全技术的研发成为世界性课题。网络安全技术与网络技术密切相关,其中网络技术起源于20世纪60年代,美国国防部高级研究计划署在1969年提出网络技术概念,形成以ARPANET为主干的网络雏形,并迅速衍生出互联网。进入到21世纪,网络技术飞速发展,网络环境更加复杂与多样,网络安全漏洞、网络黑客入侵层出不穷,网络技术面临物理安全、网络结构、系统安全、管理安全等多个层面的安全考验,网络安全技术应运而生。企业网作为企业的网络组织,是伴随企业发展建立起来的网络组织,可以更好地展示企业产品与形象,是企业文化建设、产品推广、内部管理的重要载体,以期满足企业各方面的发展需求,员工借助企业网获取企业通信资源、处理器资源及信息资源,提升员工对企业价值的认同。但在复杂的网络环境与无处不在的网络黑客攻击下,企业网络岌岌可危,如果缺乏对企业网安全性的高度关注,缺乏有效的网络安全加固措施,企业信息被盗取,企业网络框架被摧毁,给企业带来巨大的经济损失。网络安全技术的重要性也伴随企业网的建构逐渐凸显,因此做好企业网络技术安全管理十分必要。
2我国企业网安全维护现状
信息时代的到来,企业对网络的依赖越来越强,通讯工程与电子信息技术使得互联网的优势更加凸显,企业网建设成为企业发展到一定阶段的必然产物,渗透到企业设计、企业管理、企业宣传的方方面面。由此产生的企业网安全问题也伴随而生,带来的网络安全隐患越来越多,企业网网络安全建设与维护成为世界性话题。纵观企业网安全管理现状,首先企业网络软硬件设施参差不齐,不同的经济实力与产业发展潜力决定企业的网络建设水平及安全性能。企业也不约而同地借助一些网络安全技术满足企业网站安全运行需求,比较常见的网络安全技术有防火墙技术、数据加密技术、入侵检测技术、虚拟局域网技术等。基于网络维护经费的差异,经费不足的企业只能满足基本的网络使用需求,网络安全维护需求难以得到关注与满足。因此总体上来说,我国企业网的安全建设投入不足。此外企业之间技术管理水平也具有明显差异,经济实力强的大型企业聘请专业的网络维护专员参与网站安全管理,而实力较弱的中小企业则缺乏专业网络安全技术人员。网络问题的频发更提出了网络安全管理制度建构的需求,但我国网络立法及管理方面稍显薄弱,企业员工普遍缺乏网络安全意识,网络安全管理制度的落地还有一段距离,整个网络环境亟待健全与完善。
3企业网安全影响因素
3.1来自于网络协议的安全缺陷
网络本身具有自由开放与共享性,网络协议是信息共享的关键与前提。目前最为常用的网络协议有TCP/IP协议,IPX/SPX协议等,以网络协议的达成为前提使得网络信息同步与共享,而网络协议也不可避免地存在安全隐患,其安全与否与整个企业网络息息相关,多数协议在设计时对自身安全性关注不多,因此其很容易受到外界恶意攻击,安全性缺乏保障,使得企业网络安全受到威胁。
3.2来自于软硬件层面的安全缺陷
企业网的正常运行除了安全的网络协议,更需要软硬件的支持。而网络软硬件作为互联网的主要组成,其自身安全性却十分脆弱。软硬件层面的安全缺陷比比可见:网络与计算机存在电磁信息泄露风险,软硬件通讯部分具有一定的脆弱性;通讯线路多数为电话线、微波或者电缆,在数据信息传输的过程中,信息更容易被截取;计算机操作系统本身存在缺陷,影响网络稳定及网站正常运营。而软件的缺陷影响也显而易见。软件缺陷因为其先天特征为主,因此无论是小程序还是大型的软件系统都有这样或那样的设计缺陷,而这些设计缺陷则为病毒黑客的入侵提供了便利,网络病毒以软件形式在企业网中传播,对企业网安全带来威胁。
4企业网安全主要威胁因素
4.1计算机系统设计缺陷
计算机系统是企业网的核心,而计算机系统功能的正常发挥得益于计算机系统程序设计的合理,计算机系统程序设计相对简单,但难点在于后期的维护与定期的升级优化。网络建设不能一蹴而就,网络建构是从不系统不完善到系统完善逐渐过渡的过程,网络建构初期就应该树立系统维护与管理意识,将网络安全融入网络建构的每个环节。通过定期的网络检测,优化程序设计,弥补系统程序设计漏洞,及时发现潜在的系统安全隐患,制定升级优化计划,有条不紊地完善网站,加固网站,提升企业网的安全性能,确保企业信息的妥善储存与调取。在程序优化的基础上奠定企业网系统运作的良好基础。
4.2计算机病毒入侵的威胁
对于企业网来说,除了计算机系统安全威胁外,计算机病毒入侵是来自外部的侵袭之一,计算机病毒侵入网站内部,干扰原有系统程序的正常运行,导致企业网站系统的瘫痪,导致企业重要数据信息的损毁丢失,使得正常运行的企业网产生安全漏洞,引发病毒传播,企业网站彻底瘫痪。计算机病毒具有潜伏性、隐蔽性、破坏性及传染性四大特点,往往潜伏在网站系统中达几年之久,一旦爆发带来始料未及的网络危害,而这种危害是长期潜伏量变累积的结果。计算机病毒的侵袭往往很隐蔽,网站管理人员及网站自身的抵御系统难以及时察觉,不能进行有效的抵御。其破坏性与传染性使得病毒在计算机内部迅速传播复制,波及整个网站,网站瘫痪。除了极强的破坏性与潜伏性外,计算机病毒种类多样,防不胜防,其中比较常见的有木马病毒、蠕虫病毒、脚本病毒,病毒的存在为黑客攻击及信息盗取提供便利,是企业网的巨大威胁因素。
4.3黑客入侵及恶意性攻击
网络攻击简单地理解就是黑客攻击,黑客一般具备较强的计算机识别技术,通过非法攻击计算机系统,获取计算机用户终端的重要信息。黑客网络攻击有几种常见形式,利用虚假的信息对网络展开攻击,利用计算机病毒控制计算机用户终端,借助网页脚本漏洞加强用户攻击,采用口令账号进攻网站系统,最终导致网站用户信息被窃取,重要文件资料被删除,给企业带来巨大的经济损失,而网站原有的稳定性与安全性也不复存在。
4.4借助网络开展诈骗
随着计算机网络使用环境的开放多元,一些不法分子利用网络诈骗推销,这也是企业网站安全威胁之一。部分企业管理人员缺乏必要的网络诈骗警惕心理,轻信诈骗谎言,给企业带来巨大的财产损失。网络运行的前提是操作系统的稳定,虽然现代技术已经实现网站的定期更新,但在更新过程中也不免有网络安全漏洞,这些漏洞成为黑客、病毒入侵网站的入口,企业网站安全性受到威胁。
5网络安全技术在企业网中的应用
5.1网络防火墙技术
防火墙是最常见的网络安全保护技术,在企业网安全性维护方面发挥重要作用。防火墙可以有效应对网络病毒入侵,在企业网的运用中有两种表现形式,分别为应用级防火墙技术和包过滤型防火墙技术。其中应用型防火墙可以起到服务器保护的作用,在完成终端服务器数据扫描后,及时发现不合理的网络攻击行为,系统自动断开服务器与内网服务器之间的联系,借助终端病毒传播形式确保企业网安全。而包过滤型防火墙主要工作任务是及时过滤路由器传输给计算机的数据信息,实现固定信息的过滤,将病毒黑客阻挡在企业网之外,同时第一时间通知用户拦截病毒信息,做好企业网安全屏障保护。
5.2数据加密处理技术
除了防火墙网络安全保护技术外,数据加密技术在企业网安全维护中也有积极作用。对于企业来说,伴随自身发展壮大,其企业网对安全性与可靠性方面要求更高,而加密技术则很好地满足企业上述安全保护需求。通过将企业内网的相关数据作加密处理,数据传输与信息调取只有在密码输入正确的前提下才能执行,通过文件资料的加密处理提升企业网的安全性能。目前对称加密算法和非对称加密算法是比较常见的加密形式,前者要求加密信息和解密信息需一致,后者的加密方法和解密方法则存在较大差异,这两种加密方法都很难被黑客破解,因此在企业网的安全维护中得到了广泛应用。
5.3病毒查杀处理技术
病毒查杀技术是基于病毒对企业网的威胁而产生的网络安全处理技术,其也是企业网安全维护的常用手段之一。病毒对网络的巨大威胁,该技术的安全维护出发点则是网络系统的检测与更新,最大限度降低漏洞出现频率,用户在未经允许的情况下无法下载正规软件。在安装正版病毒查杀软件后应定期清理病毒数据库。筛查用户不文明网页的浏览行为,如果用户下载不明邮件或者软件,立即进行病毒查杀,检验文件的安全性,确保文件资料安全后允许投入使用,防止病毒对企业网及计算机终端系统的损坏。
5.4系统入侵的检测技术
入侵检测技术在企业网安全维护中可以起到早发现早抵制,将病毒黑客等不良因素排斥在企业网之外。入侵检测技术具有诸多优势。其一,可以通过收集计算机网络数据信息开展自动安全检测。其二,及时发现系统中潜在的安全风险,将侵害行为的危害降到最低。其三,企业网一旦受到侵害,自动发出求救报警信号,系统自动切断入侵通道。其四,做好所有非法入侵的有效拦截。入侵检测技术是企业网的整体监督监控,检测准确,效率高,但其会在一定程度上影响加密技术的功能发挥,该技术在对企业网进行入侵检测时,不可避免存在异常检测及误测情况,异常检测面向整个网站资源用户及系统所有行为,检测范围大,其准确性必然受到影响。此外整个企业网检测要求全面覆盖,耗费大量时间,也降低工作效率。入侵检测技术在企业网安全维护中的引入更需要结合企业网运行实际。
5.5物理环境层面的应对技术
外部网络环境安全与否直接影响到企业网的安全性建设,而外部网络环境主要是网络所对应的物理环境,物理环境包括软硬件环境、通讯线路环境、网站运行环境等几个方面,其中通讯线路环境安全特指信息数据在传输线路上不被恶意拦截或者有意篡改,使得信息数据传输更流畅。建议选择安全性高的光纤作为通讯传输介质。运行环境的影响因素主要是意外断电停电。随着信息化程度的加剧,企业对网络产生巨大依赖,一旦意外断电或者停电,企业数据网络中断,信息正常传输受阻,给企业带来不必要的损失。为了提升运行环境的稳定性,企业安装不间断电源可以有效减少停电带来的损失。定期检查通讯线路,确保线路通畅,提供备选冗余线路,在某条线路发生中断时能选择备份线路连接,确保网络传输正常,降低财产损失。
5.6虚拟局域网安全处理技术
虚拟局域网是起源于国外的网络安全处理技术,其中IEEE组织在1999年颁布了虚拟局域网的标准实现协议在交换式局域网中,可以利用VLAN技术将网络设备划分为多个逻辑子网,开展虚拟工作组数据交换。虚拟局域网操作简单,技术灵活,其在OSI参考模型的数据链路层和网络层上,由单一的子网形成特定的逻辑广播域,子网通过网络层的路由器或者三层交换机转化沟通,实现多个网络设备的多层面覆盖,其灵活性体现在其允许处于不同地理位置的网络用户自由添加到逻辑子网中,这种自由并入技术使得虚拟局域网的网络拓扑结构更清晰。
6结语
企业网是社会时代及企业发展的必然产物,反映了信息社会未来发展轨迹。但与网络建设相伴而生的则是网络安全问题,涉及技术、产品及管理多个层面的内容,带有很强的综合性,仅仅依靠单一的防护体系显然不够。本文在分析网络安全技术发展的基础上,明确了当前企业网主要安全影响因素,针对几种比较重要的网络安全技术在企业网安全维护中的作用作了阐述。在分析网络安全问题时更应该从需求出发,将安全产品的研发与技术结合起来,运用科学的网络管理方法,建构更加系统、高效、安全的企业网络体系。
作者:陈张荣 单位:苏州高等职业技术学校
[参考文献]
[1]王蔚苹.网络安全技术在某企业网中应用研究[D].成都:电子科技大学,2010.
[2]何向东.网络安全管理技术在企业网中的应用[J].微型电脑应用,2013(1):52-53.
篇9
在电子政务和电子商务应用快速发展的今天,信息安全问题越来越突出。据权威统计显示,80%以上的企业内部网络曾遭受过病毒的肆虐,60%以上的企业网站受过黑客的攻击,因此企业网络安全的形势相当严峻。深入分析企业网络可能存在的问题和正在遭受的安全威胁,是设计安全方案的前提,只有了解企业环境和面临的问题,才能发现并分析企业网络所处的风险环境,并在此基础上提出可能的安全保障措施。这是解决企业网络安全问题的关键,也是设计面向企业的网络安全体系的前提,它能使我们有的放矢地采用安全防范技术和安全措施。网络是整个企业信息资源的基础,也是整个安全体系的基础。什么样的网络结构决定了我们应采用什么样方法来进行安全设计,安全的网络结构设计和相关技术手段的应用是整个安全体系建设的重要部分。网络设备个体作为网络的最基本构成,其个体的安全关系重大,往往个别设备的安全漏洞或者错误的配置,就可能造成网络的中断或者瘫患。所以最后从网络设备个体的角度出发,介绍了如何有针对性的采取有效的安全措施。
二、企业网络模块化构成
随着企业的不断壮大,企业网络发展要求也日益提高,因此本文在设计网络安全体系结构时,采用了模块化的方式。即将企业的网络划分成不同的功能模块,在整体网络安全设计时实现网络各功能块之间的安全关系,同时,也可以让设计者逐个模块的实施安全措施,而并不需要在一个阶段就完成整个安全体系结构。
我们把企业网络分为企业园区网和企业边界网络两个大的部分。其中,企业边界网络是企业内部网络与电信服务提供商之间的过渡。对每个功能区中的模块进行了细化,这些模块在网络中扮演特定角色,都有特定的安全需求,但图中的模块规模并不代表其在实际网络中的大小。例如,代表最终用户设备的接入层网络可能包括80%的网络设备。虽然大多数已有企业网络都不能轻而易举的划分为明确的模块,但此方式可以指导我们在网络中实施不同安全功能。各个企业的网络都可以对照此结构找到共性。在企业的实际网络中,可能有些模块不存在,或者两个模块相合并了,也可以根据后面的安全设计方式结合实际,找到安全解决方案。
三、网络安全管理模块的设计
从体系结构的角度来说,提供网络系统的带外管理是适用于所有管理和报告策略的最好的第一步。带外是指无生产信息流驻留的网络,设备应尽可能的与这样一个网络建立直接本地连接,在由于地理原因或系统相关问题无法实现的情况下,设备应经由生产网络上一条专用加密隧道与其连接。这样的隧道应预先配置,仅在管理和报告所需的特定端口上通信。整个企业管理网络模块由一个防火墙和一个路由器分成两个网段。防火墙外的网段连接到所有需要管理的设备。防火墙内的网段包括管理主机本身以及作为终端服务器的路由器。其余的接口接到生产网络,但仅用于接收来自预定义主机、受IPSec保护的管理信息流。两个管理子网均在完全与生产网络的其余部分独立的IP地址空间下运行。这可以确保管理网络不受任何路由协议的影响。另外,SNMP管理仅从设备获取信息而不允许更改,即每个设备仅配置“只读”字串。
当然,完全的带外管理并非总是可行的,可能因为部分设备不支持,或者有地理差别,需带内管理。当需要带内管理时,注意的重点更应放在保护管理协议的传输上。这可通过IPSec、SSH、SSL或其他加密认证的方式实现。当管理恰巧即是设备用于用户数据的接口时,应多注意口令、公共字串、加密密钥和控制到管理服务器的通信的访问列表。
主要设备:SNMP管理主机――提供SNMP管理;NIDS主机――为网络中所有NIDS设备提供报警集中;系统日志主机――几种防火墙和NIDS主机的记录信息;接人控制服务器――向网络设备提供一次性、双因素认证服务;一次性口令(OTP)服务器――授权从接入服务器转接的一次性口令信息;系统管理主机――提供设备的配置、软件和内容变更;NIDS应用――提供对模块中主要网段的第4~7层监控;防火墙――对管理主机和受控设备间信息流动的控制;第2层防火墙(带专用VLAN支持)――确保来自受监控设备的数据仅可直接传输到防火墙;
所缓解的威胁:未授权接入――在防火墙处的过滤中止了两个方向的大多数未授权信息流;中间人攻击――管理数据穿过专用网络,使中间人攻击较为困难;网络侦察――因为所有管理信息流穿越此网络,它不通过有可能在其中被截获的生产网络;口令攻击――接入控制服务器使每台设备都拥有强大的双因素认证;IP电子欺骗――在防火墙两端均中止了欺骗流量;分组窃听――交换基础设施限制了窃听的有效性;信息管理利用――专用VLAN可防止任何一个受破坏的设备伪装成一台管理主机。
四、统一管理平台的系统架构设计
由于目前企业网络中各种厂商的网络设备越来越多,仅仅利用个别设备厂商的网络管理软件(如Ciscoworks 2000等)很难完全达到上述的种种要求,因此在网络设计时要么都采用同一厂商的设备(包括网络设备和安全设备),要么利用第三方厂商开发的网络管理软件,通过各种客户化和集成工作,将不同厂商的设备更好的管理起来,作为搭建网络安全管理平台的主要工具。
统一管理平台的基本构架设计分为三个层面:视图(Wodd View)、企业管理(En-terprt’se Management)、客户端(Ageats),其中:World View显而易见是提供图形化界面的应用程序,将管理对象的信息通过图形(二维图或者三维图)的方式形象的呈现给用户;企业管理层则通过智能化的手段,来提供处理各种信息、安全、存储、工作计划、事件管理等的复杂功能,这部分是整个平台的关键,可能包括了事件管理、故障管理、性能管理、网络发现等多个功能模块;客户端可以看作是一些系统进程或者内嵌代码(比如各种SNMP信息,MIB库信息),用来监控各种系统资源,比如操作系统、数据库、网络设备等等。客户端可以从管理层面接受各种指令进行操作,或者向管理层上报相关的系统状态。
篇10
一、安全架构设计要点
(一)多元线程。安全架构分为“预防”、“治理”、“巩固”三个线程。“预防”是通过Windows Server Update Services更新服务,及时修补内网终端与服务器的系统漏洞。“治理”是针对不同的安全威胁进行防护。对于病毒威胁和黑客入侵,进行软硬件联合防御。“巩固”是保存完整网络日志,有科学的备份策略,对终端计算机的严格管理,保证终端安全。
(二)立体布局。安全架构设计要兼顾物理层、链路层、网络层和应用层,形成立体化的防护布局。以安全域来划分为主线,同一安全域共享公用的信息资源、安全基础设施、网络基础设施等。
(三)系统管理。安全架构包括技术层和管理层两方面,必须建立安全管理系统与安全技术相适应。管理系统要求严密的岗位分工,以及日常维护管理制度。一个合理的管理系统能够明确网络边界,增强网络的可控性,实现有计划的访问控制,有效阻止渗透式网络攻击。
二、安全架构设计方案
(一)网络平台方案设计
1.网络结构设计。制药企业的网络设置采用拓扑结构,根据药品的生产、销售、组织、管理等部门分成多个子网,共同构建企业网络平台。在各VLAN之间布置路由,实现各VLAN间的自由互访。但各子网间互访需要进行网络验证,避免某子网的安全威胁获得扩大性传播。
2.域管理设计。为实现集中式管理,应在制药企业网络平台布局域管理。域管理可以实现单一账户登录,单节点管理,具有安全便捷的优点。企业内网络终端设备较多,因此要进行网络标签设置,具体规则如下:XX――X――XX,字符分别代表了一定含义,第一段字符代表所属网关,第二段代表部门,第三段代表姓名全拼,唯一的网络标签可以保证定位的速度与精度。
3.入侵检测设计。网络入侵检测是通过防火墙和专用软件(IDS)实现的。配置企业级防火墙,可以杜绝内外网间的病毒威胁,提供相对安全的网络环境。而网康、绿盟、安全胄甲等专业入侵检测软件(IDS)则是对防火墙的合理补充,IDS从企业网络中采集关键信息,分析总流量、上传量、ERP等数据变化,自主判断网络中违反安全策略的行为。联合应用防火墙与IDS,可以实时、动态地保护网络平台,扩展系统管理员的安全管理能力,形成完整的网络安全平台结构。
(二)防治病毒方案设计
1.分布式部署。一般而言,制药企业规模庞大且机构复杂,由多个服务器构成子网,因此在防毒软件的安装方面,要采用分布部署的方法,分地域、分工段、分部门进行配置,并根据企业现有的网络构架,设立多级病毒防治管理中心,负责各自网段的病毒查杀工作。
2.网络边缘防护。网络边缘是靠近用户端的网络层面,对其进行病毒防护的方法是在部署好防病毒网关后再连接外网,全面扫描网络后安置硬件防毒墙。建议使用网神、驱逐舰、趋势,瑞星、 MacAfee等品牌防毒墙,针对HTTP、FTP协议进行查杀病毒。再配置一套符合企业网络应用需要的安全策略,控制多项网络端口,填补边缘防护缺口,建立起软硬件相结合的安全屏障。
3.防病毒管理。防毒技术是网络安全架构的技术保障,而技术需要管理制度作为保障才能发挥最大效用。制药企业防毒管理制度应包括:强制实施防病毒策略,严肃工作纪律;定期检查硬件防毒墙运行状态,调整工作参数,避免过热过劳运行;定期升级防毒软件病毒库,如有大规模病毒爆发需进行专项治理;加强移动存储介质管理,不使用来源不明的存储介质。
(三)数据备份和审计方案设计
数据备份和审计是制药企业网络安全架构的重要组件。数据备份的作用是记录各类网络信息,为查找漏洞、排除问题、安全设置提供参考。考虑到制药企业数据备份的规模及对数据安全的要求,可利用IBM公司开发的iSCSI接口,将现有SCSI接口与以太网络结合,实现服务器与IP网络储存装置的资料交换。由于备份管理软件对存储性能有重要影响,应用符合一定技术标准的备份软件,具备快速存取能力、极简管理能力和灾难恢复能力。另外,备份软件要适应当前的网络条件,能同时支持64位和32位WINDOWS系统、UNIX、IOS系统,能在常用系统平台进行主动式备份。建议采用FileGee等备份软件,实现自动备份文件,并可进行多介质服务器管理,提供集中管理备份策略。
数据备份的目的是进行数据审计,通过检索备份数据,分析数据特征和变化趋势,对企业内服务器和终端设备进行安全审计。终端设备审计方案是:调取网络数据,对各种网络应用进行识别、记录和控制,在此基础上判断网络行为正当与否,如存在安全隐患则采取紧急策略,对问题网络端口进行控制。服务器审计方案是:在数据库中提取记录企业服务器运行信息,包括网络设备、安全设备、主机、数据库和应用系统日志,作出勘察、判断与决策,防止误操作和不当操作行为,预防各种潜在的违规操作行为。
三、总结
本文立足于制药企业的网络管理实际,拟定了三项网络系统安全架构的设计要点,提出安全规划,明确建设目标。网络安全架构设计以平台安全、防治病毒、数据备份和审计为基点,兼顾了整体性和可操作性,设计出符合线程化、立体化、系统化要求的安全架构,为制药企业网络安全应用和管理提供了技术支持。
参考文献:
篇11
信息化发展的社会,在中小企业中主要的运营模式从根本上发生了一定的改变。网络建设在不断的在中小企业中发展在一定程度上提高了中小企业的经济效益和工作效率。近些年来,我国许多中小企业已经建立的自己的一套网络模式,但是在网络建设实施初期存在着一定的问题,进而影响了整个网路的前进和发展。
1 网络建设在中小企业中重要性
全球化市场竞争对于中小企业而言,在调整战略方式发展时,一定要充分考虑全球化的市场竞争,这样的以信息化的发展为重要的基础条件,通过网络建设确保中小企业经济效益和工作效率。随着市场竞争的激烈发展云计算建设在中小企业当中已经受到高度的重视。中小企业网络建设主要体现在以下几个方面:
当今现代化不断发展的时代,中小企业面对的不单单是某一个区域,在一定程度上是有更高的远见和长远的打算。基于云计算商务在全球范围中不断的发展和应用,为中小企业带来了新型的商业发展的模式。当今网络云计算以及不仅仅进行计算的方式,已经成为了中小企业业务扩展以及经验积累的平台,中小企业通过网络技术可以得到充分的发展。
在中小企业中,人员匮乏已经成为了普遍存在的问题,进一步体改职工人员之间更好的协作和沟通,已经摆企业高度的重视。在中小企业中实现网络建设可以提高员工之间相互沟通和协作的能力,从而通过网络实现电子交易。中小企业实现网络化建设,可以为企业进一步提高工作效率和加速企业中员工之间的相互沟通的能力,满足移动办公的需要另外互联网可以作为实现企业对外宣传信息平台跨越空间和时间的界限,快速实现客户信息反馈和客户跟踪。
2 中小企业网络建设现状
我国中小企业网络建设中基础建设相对薄弱,根据相关资料表明,我国并没有建立内部的网络建设,尤其是云计算、信息管理系统以及相关的研究与网络运行和维护。中小企业对网络的需求不断增加,我国企业建设中技术力量相对薄弱宁企并且没有充分的认识到计算机网络技术在企业中重要的作用。随着信息化网络时代的到来,带动了相关企业和产品的发展,但是是由中小自身的资金状况问题决定的,资金不足仍然在中小企业中普遍存在,中小企业中新型技术尤其是计算机网络云计算技术不断发展,但是在中小企业中专业技术人员匮乏,没有充分的人员进行工作配置。在这样的情况下,要想靠中小企业本身发展技术能力来完成计算机机网络建设具有一定的难度。中小企业网络建设中存在着诸多的问题,主要表现在:
(1)规划设计定位。网络建设规划过程中,中小企业要要对网络建设进行基本情况的研究调查,充分的了解计算机云计算在中小企业中重要的意义和作用。广泛的应用综合布线系统、视频会议系统、SISCO网络系统、小型IDC规划建设以及信息管理系统等设计方面的应用。
(2)软件系统投入问题。许多中小企业在进行网络规划设计时,通常重视的往往是软件系统的投入,将软件系统放在首要位置上,针对系统软件开发方面并没有做好充分的考虑,但是在网络建设上的应用上并没有得到更好的发挥。
(3)系统性问题。中小企业网络设计中,要将整个企业中的网络计算机应用系统统一为一个整体,例如视频会议系统和综合布线系统等相互统一,采用这样系统可以方面部门之间交流与沟通,信息资源无法达到共享进一步造成计算机网络相关管理部门中相互协同工作,导致企业中每一部门之间计算云存储应用不兼容,无法进行集成应用进而造成资源浪费。
3 中小企业网络建设发展前景
3.1 网络平台建设
(1)构建网络硬件平台。当前,我国网络建设中局域网的主流技术有计算机云计算、与存储、服务器端虚拟化等。这些技术主要的特点是成本低,从左简单方便因此被中小企业广泛的推广和应用。在网络建设过程中可以分为交换网络和共享网络两种。在这样情况表之下,一定要适应当前时展的需求,在网络技术不断的应用下,进一步提高中小企业工作效率和经济效益。
(2)软件系统平台的构建。由于采用的是计算机云计算、云存储以及信息管理系统等网络技术,所以在TCP/IP协议的基础之上,进一步采用HTTP为主要传输协议,在中小企业中所有的信息资源通常采用的都会是这样形式进行开发研究的。当前我国较为发展的网络操作系统系统是云计算、综合布线系统、视频会议系统、SISCO网络系统、小型IDC规划建设以及信息管理系统以及能够收到我国中小企业在网络建设方面的青睐。
3.2 软件应用系统的开发研究
由于每一个企业具体情况不同,在网络建设方面应用的软件系统也不同,主要有综合布线系统、视频会议系统、SISCO网络系统、小型IDC规划建设、信息管理系统以及云计算和云存储等。在软件设计时,要充分的考虑网络建设环境,尽可能采用云计算和三层开发技术,并将云计算和三层开发技术相互融合在计算机网络环境中建设。
3.3 构建网络安全保护
中小企业网络建设中,网络安全保护工作主要包括计算机应用系统、计算机安全以及网络病毒防护。计算机安全主要包括数据信息安全、硬件安全等。中小企业网络建设中为了防止硬件损伤和网络瘫痪,在建设的过程中进一步加强网络系统安全防范的措施,确保系统安全。
4 结语
总而言之,中小企业建立网络可以提高企业的管理水平和工作效率,进一步提高企业经济效益和市场竞争能力为主要的目标。云计算在中小企业网络的建设中占据着重要的地位和作用,同时还是企业竞争和发展必然的条件。在云计算技术建设过程中不仅要需要一个较为科学合理的设计计划和维护,还要求中小企业领导干部积极的参与和高度的重视,这样才会将云计算技术和中小企业网络建设相互的应用和结合,不断的提高企业的经济效益与市场竞争力。
参考文献
篇12
一、企业网络系统的安全现状
随着企业信息化管理的发展,企业的网络规模也在持续增加,随之增大的是企业网络的信息安全风险。由于企业在网络建设方面的投入,新的信息终端和交换设备不断增加,因此其内部网络所受安全事件的威胁的几率也在随时增大,大型的企业往往具有不少的分支机构,造成了网络设备分布的地理位置比较分散,网内计算机安全问题亟待解决,这是所有大型企业必须面对的问题。所以,企业必须构建一套信息安全管理软件,才能实时监控网络内部的各终端设备,使之受到尽可能小的安全威胁。此外,无论是核心网络还是分支部门的网络,都必须定期进行统一的补丁分发与移动存储管理,以保障基本的信息安全。
二、企业网络安全实现的目标
结合现阶段企业内部网络的安全现状,企业网络安全需实现的目标至少包括:严密监视来自业务支撑网外部的各种类型访问,必须掌握每一次访问的来源、所读取的具体对象和访问的具体类型,一方面支持合法访问,另一方面杜绝非法访问;对异常访问能够做到预防和处理;对流经支撑网内的所有数据包进行有效监控,实时分析这些数据包的协议类型、目的地等,从而防止信息安全隐患。有效监控的内容有:对网络中的黑客入侵行为进行检测;对各种主机设备的数据流量进行实时分析,实现信息安全的动态防护;结合具体的标准和方法对企业内部网络信息安全进行周期性评估,及时补救网络安全弱点,排查安全隐患。
三、企业网络安全系统的设计及实现
(一)安全规则层的设计
在这一层次中,为了保证企业内部运营中的网络资源及客户机的安全,首先结合企业实际情况,定义一系列规则,当发生违反这些规则的网络行为时,则触发系统的风险应急机制。在制定规则时,对每一类网络行为对企业信息安全造成的风险归纳为不同的等级。制定这些等级的一句是该企业运营对这些信息在机密性、可用性、完整性及不可抵赖性的具体要求。在所指定的等级之下对企业信息安全造成威胁的行为进行分类。
与此同时,对攻击所带来的风险进行等级划分,依次划分为低级风险、中级风险与高级风险。所谓低风险,指的是网络系统遭受入侵之后,并不会造成任何资金流失,也不会扰乱运营管理。所谓中级风险,指的是网络系统遭受入侵之后,会造成轻度资金流失,在一定程度上扰乱运营管理。所谓高级风险,指的是网络系统遭受入侵之后,会造成比较明显的资金流失,极大程度地扰乱运营管理。
(二)安全措施层的设计
在这一层次中,主要设定在网络安全之下所具体选用的安全技术与采纳的实施方法,结合企业信息系统的安全目标,结合安全规则层所指定的安全事件和安全等级,给出有针对性的解决方案。安全措施层对于一种类型的安全行为可以给出多个安全方案,举例来讲,在发现有用户进行非法授权的访问操作时,一个可能是由于遭受了网络攻击,另一个可能则是用户的误操作。此时可以采取的方案包括对用户发出警告、阻止连接和强制关闭主机等。
(三)安全决策层的设计
在这一层次中,主要任务是结合具体的方案来解决信息系统安全问题。依旧延续安全措施层的实例,当用户的非法授权访问时首次发生的,则方案(1)对用户发出警告则可以解决;而假若该用户反复进行非法访问,则方案(3)强制关闭主机效果最好。
四、企业网络安全解决方案实例
本文选择安全防御系统中相对重要的功能模块--重定向模块,并阐述其具体设计方法。企业网络在遭受外界攻击时,首先丢失的是被黑客扫描窃取的内部主机的操作系统、服务、端口等信息。在获取这些信息之后,便会通过缓冲溢出或者蠕虫等方法找到主机本身所存在的安全漏洞,对主机系统进行操纵。本文引入蜜罐技术,所设计的重定向模块的主要功能便是在攻击发生的初期,快速隔断为企业网络带来安全威胁的连接。具体实现方法为,该模块首先在网络驱动接口规范中间层进行数据过滤,获取从外部流进企业内网主机的数据包,针对具体类型的端口,以网络主机事先所维护的可疑端口表,对这些数据包进行过滤,一旦找到对可疑端口进行访问的数据包,则将其判定为一次可疑访问,此时,修改该数据包的相关参数和属性,同时,把此次访问列为可疑访问,并引导进通信队列之中,这些数据包直接越过系统的上层协议,转发至蜜罐来继续跟踪和分析。以相同的方法将蜜网所反馈的数据处理后发送给可能的攻击者。
为了使蜜罐系统能够有更加逼真的模拟效果,本设计在蜜罐系统上完全仿照实际网络系统的主机而部署相同的OS、协议栈、以及相关服务,从而在最大限度上使蜜罐与实际系统中的客户机或服务器相类似。具体的操作为,启动蜜罐设置系统,进入蜜罐的配置菜单。
在进行配置的时候,使用蜜罐系统所提供的menu命令进入界面,结合企业网络的实际特征,本文所配置的内容有:管理机IP、蜜罐IP、TCP连接以及Secure Shell管理连接等。然后在蜜罐系统对客户机进行模拟,并配置诸如办公软件等常用软件,对服务器进行模拟,开通各类网络应用服务,从而基于典型服务端口来对多个可以访问进行引诱。同时,出于进一步迷惑网络攻击者的目的,还要设置成允许网络攻击者进行更多的操作,而蜜罐系统中并未存储企业真正的数据与信息。在对具体连接方式进行设置的时候,通过custom使之能够链接vmnet2,并通过蜜罐系统抵达外网。在安装Sebek时,考虑到其Linux版本与Windows版本,分别进行不同安装文件的配置。
篇13
企业网络组建是计算机网络技术专业的一门专业课程,是学生在学完网络基础这门专业课程的前提下的一门重要的接续课程。目的是通过此门课程能够帮助大型企业建立综合运营网络;运用所学过的网络知识应用到实际中去,是网络综合运用能力、网络设备操作能力的综合运用。也是为完成大型企业网络建设和维护企业网络建设打下坚实可靠的基础。
2、课程目标
此课程通过对大型企业网络建设的各个环节建设的实施,使学生掌握如何在企业建立超大规模的网络,掌握大型企业网络解决方案,在本课程中,将要完成的是网络硬件平台的搭建;通过本课程的学习,使学生具有规划设计大型企业网络的能力;在各部门的数据需要在保证安全的前提下互通能力;在企业网络越来越大,能保证企业网络安全、稳定的能力;使企业网络接入INTERNET的能力;并能对在带宽有限,当网络出现拥塞时应保证重要通信的流量带宽。
本课程的目标可以从职业素质目标、职业能力目标、知识目标三个方面来阐述。
2.1 职业素质目标
对学生职业素质目标可以通过以下方式来培养:培养学生的团队意识和团队协作精神,锻炼学生的沟通交流能力;通过教学,让学生真切的体验到,在网络建设中规划、设计、工程实施及维护网络的全过程;具有认真负责、严谨细致的工作态度和工作作风。另外,可以通过课外其他训练,锻炼学生具有一定的分析问题和解决问题的能力。
2.2 职业能力目标
职业能力是学生应具备的专业知识技能,也是学生就业的关键要求。那么本课程学生应具备如下的职业能力:具有利用各种广域网技术进行网络互连的能力;具有利用访问控制列表加强网络安全性的能力;能根据需求,选择应用适当的网络技术进行方案规划;熟悉主流厂商网络产品功能、性能、特点,能根据需求选择合适的设备;具有利用交换机来实现VLAN的划分、实现交换机冗余的能力;具有利用路由器来实现在不同网络中传输IP数据包的能力。
2.3 知识目标
本门课程设计到的知识比较多,具体可以概括成如下几个方面:规划IP地址和VLAN~选用高性能的三层交换机实现VLAN间的路由,并通过HSRP增强网络的稳定性;为了便于配置和管理,通过配置VTP,实现在一台交换机上配置和管理整个vLAN;在大型网络中使用动态路由协议OSPF来实现网络互联;通过ACL控制网络的访问权限;通过以太网通道,增加交换机之间的带宽,实现链路备份;通过Qos技术,优化企业网络流量。
3、教学中需要解决的问题
在授课过程中可以使用CCNA Exploration教程也可以使用BENET3.0课程的课程体系,但是如果把两种课程体系适当的进行结合,那么会有更好的教学效果,在课程整合的过程中有一些需要解决的地方
3.1 确定本课题选取的教材
充分研究CCNA Exploration教程与BENET3.0课程的优缺点,找出本课题选取教材的依据。
3.2 确定课程体系的结构
本课程是汲取了两门课程体系的优点和精华部分作为理论基础以BENET3.0课程填充实战项目。
3.3 认证培训体系的确立和完善
授课内容包括认证培训,认证培训包括理论知识题库培训和操作习题的培训。并在授课过程中不断充实和完善培训体系。
3.4 实训项目的提取与组合
BENET3.0课程的实训项目理论跨度较大,需要按照实际授课进度进行提取并与CCNA Exploration教程的操作题进行组合。
4、课程改革后的实践价值
4.1 企业项目进课堂
把企业网络组建的实际工作项目带进课堂,这些项目都是近两年最新的企业工作实际项目。
4.2 授课涉及认证培训
授课使用美国思科公司的网络认证考试培训教材,这些项目都是近两年最新的企业工作实际项目。
4.3 独特的考核方式
借助思科网络学院的在线考试系统进行考核,恩科网院在线考试系统具有题库广泛,试题更新及时,对考试结果分析等功能。平时测验及期中期末考试,理论试题和上机操作题都可通过在线答题的方式进行。
4.4 授课方式更加丰富
在教学上采用四种方式:传统的多媒体、机房授课;利用cisco电子书授课与练习;利用思科网院对在线试题进行讲解;在实验室演练实际工作项目。
5、课程改革后的的理论价值
5.1 提出课程体系的目标
本课程体系以培养初级网络工程师为目标。学生通过学习可全面掌握网络知识并积累实际工作项目经验,能够达到初级网络工程师的要求。
5.2 把两个体系进行整合
思科公司的CCNA Exploration教程与北大请鸟BENET3.O体系进行整合,思科公司是全球最具影响力的网络公司,思科公司的《cCNA Exploration》教程注重基础知识和概念的讲授,是认证考试的培训教材。北大青鸟BENET3.O体系包括对国内近几年网络公司实际工作项目的搜集和整理。
5.3 “原生态”基础教材
计算机网络起源于美国,企业网络组建的设备和内部工作标准都由美国制定。授课教材是美国思科公司出版的CCNAExploration教程,该教程可以使学生更加透彻、明晰的理解和掌握知识。
6、教学方法的特点
本门课程理论教学和实践教学在同一实训场所完成,实现“教、学、做”三位一体。在“项目导向、任务驱动”的教学模式下,综合运用多种方法。
7、课改的创新部分
7.1 “一个目标”
本课程以培养初级网络工程师为目标。学生通过学习可以掌握全面的网络知识并积累实际工作项目经验,能够达到初级网络工程师的程度水平。
7.2 “合二为一”
本课程将CCNA Exploration课程与BENET 3.O课程进行整合,提取两门课程的精华之处。用实际工作项目代替枯燥的理论知识部分进行授课。
7.3 “三位一体”
本课程将课程讲授、认证培训、实际项目演练合为一体。可使学生在系统全面学习课程的同时又获得了认证培训同时积累了工作经验。
7.4 “四种方式”
