網路組件
1.網路安裝精靈
使用 Windows XP 的"網路安裝精靈"可以大大簡化家庭或小型辦公網路的設定。安裝網路硬體並將計算機連線在一起後,即可運行 網路安裝精靈。如果正使用"Internet 連線共享"(ICS) 主機,則在此計算機上首先運行嚮導。在嚮導運行過程中,選擇作為 Internet 連線的連線,然後嚮導會啟用"Internet 連線共享"(ICS) 和"Internet 連線防火牆"(ICF)。此計算機就成為 ICS 主機,並控制網路上其餘計算機的 Internet 通訊。在 ICS 主機上運行"網路安裝精靈"後,還需在網路的其餘計算機上運行該嚮導。這些計算機稱為客戶計算機。在回答了一些基本問題後,嚮導會配置這些計算機以便它們能在網路上正確運行。
正確設定家庭或小型辦公網路需要兩部分步驟:在每台計算機上安裝並配置適當的硬體;在家庭或小型辦公網路中的每台計算機上運行"網路安裝精靈"( 要打開"網路安裝精靈",請單擊"開始",指向"設定",然後單擊"控制臺"。單擊"網路和 Internet 連線",然後單擊"網路連線"。在"公用任務"下,單擊"網路安裝精靈"即可),"網路安裝精靈"會指導您配置"Internet 連線共享"、啟用"Internet 連線防火牆"和網路橋、命名計算機以及創建計算機說明。
2.新建連線嚮導
使用 Windows XP 的"新建連線嚮導"可以非常容易地創建 Internet、撥號、虛擬專用網路 (VPN)、傳入和直接連線。
"新建連線嚮導"代替了早期 Windows 版本中的"Internet 連線嚮導"。使用"新建連線嚮導"簡化了通過撥號、DSL 或電纜數據機創建 Internet 連線的工作。
要創建新連線,請打開 網路連線。然後在"網路任務"下,單擊"創建新連線"。嚮導會指導您完成創建連線。
在計算機上安裝網路適配器時,會自動創建本地連線。安裝了網路適配器後,可以對其進行配置以訪問 Internet 或與家庭或小型辦公網路通訊。
3.Internet 連線共享 (ICS)
"Internet 連線共享"(ICS) 使用一個 Internet 連線將多台計算機連線到 Internet。一台稱為 ICS 主機的計算機直接連線到 Internet,然後與網路上的其餘計算機共享其連線。客戶計算機依賴於 ICS 主機提供對 Internet 的訪問。啟用 ICS 可以增強安全性,因為只有 ICS 主機對 Internet 是可見的。所有從客戶計算機到 Internet 的通訊都要經過 ICS 主機,此過程使客戶計算機的地址在 Internet 上得到隱藏。由於無法從該網路以外看到客戶計算機,所以客戶計算機受到保護。從公共方看見的只有運行 ICS 的計算機。
另外,ICS 主機還管理網路編址。ICS 主機為自己指派一個永久地址,同時為每台 ICS 客戶機提供了為其指派唯一地址的動態主機配置協定 (DHCP),這樣就為網路上的計算機提供了相互通訊的方式。
4.Internet 連線防火牆 (ICF)
Windows XP 為連線到 Internet 的小型網路提供了更多的防火牆安全保護。"Internet 連線防火牆"可以保護那些啟用防火牆的計算機。在大多數家庭或小型辦公網路中,啟用防火牆的計算機往往是 ICS 主機,但也可以在任意的 Internet 連線上啟用防火牆。防火牆檢查所有通過 Internet 和計算機連線的通訊,並在接收何種信息方面具有選擇性。"Internet 連線防火牆"通過允許或拒絕定址到計算機的通訊來保護計算機。
5.網路橋
對於由混合網路媒體類型,如乙太網、家庭電話線網路適配器 (HPNA)、無線設備和 IEEE 1394 標準設備組成的小型網路,網路橋簡化了它的安裝和配置工作。每種媒體類型即為其自身所在的網路段。使用網路橋將混合媒體段相連,可以為整個家庭或小型辦公網路創建單一子網。通過允許媒體類型的混合以及可自動完成通常與混合媒體網路有關的複雜配置,網路橋提供了更大的靈活性。運行"網路安裝精靈"後,它會檢測在計算機上是否安裝了多個網路適配器。然後詢問是否要創建網路橋。連線到 Internet 的網路適配器,如連線到外置 DSL 或電纜數據機的乙太網適配器等,不應該添加到網路橋中。
6.ICS 發現和控制
"Internet 連線共享"(ICS) 提供了"發現和控制"方法,允許 ICS 客戶機遠程訪問關於網路的 Internet 連線信息。ICS"發現和控制"使用通用即插即用 (UPnP) 技術。ICS 客戶機可找到 ICS 主機、控制 ICS 主機到 Internet 服務提供商 (ISP) 的連線狀態,並查看關於 Internet 連線的基本統計信息。
可以對某台計算機進行設定,讓它通過"Internet 連線共享"(ICS)與 Internet 通訊。對於家庭或小型辦公網路中的所有計算機,ICS 通過單一連線同時為它們提供了與 Internet 通訊的中繼。家庭的其他成員通過單一連線可以在 Web 衝浪、查收電子郵件以及玩 Internet 遊戲。
硬體要求
創建家庭或小型辦公網路時需要以下幾個基本組件:
計算機:
要建立網路需要兩台或多台計算機。
網路適配器:
通常稱網路接口卡為網路適配器,可以將計算機連成網路,並允許這些計算機之間相互通訊。網路適配器可以連線在計算機的 USB 連線埠,也可以安裝在計算機內部某個可用的 PCI 擴展槽中。
網路集線器和電纜:
集線器用於在中樞位置連線多台計算機。集線器通常用於將兩台或多台計算機連成乙太網網路。如果要使用家庭電話線網路適配器 (HPNA) 通過電話線來連線計算機,或者要使用無線適配器來連線,則不需要集線器。使用乙太網或 HPNA 時,需要用電纜將它們連線到集線器或電話線路。還可以使用 IEEE 1394 網路適配器。
數據機:
這包括 28.8 或 56 Kbps 數據機、無線數據機、綜合業務數字網路 ISDN、數字訂戶線路 DSL 以及電纜數據機
創建步驟
步驟 1
規劃網路:將包含每台計算機和印表機的房間或辦公室描繪在一份圖表中。或者,將每台計算機上的硬體登記在一份表格中。
步驟2
注意記錄每台計算機插接的硬體,例如數據機和網路適配器。
步驟3
選擇"Internet 連線共享"(ICS) 主機。建議該計算機運行 Windows XP Home Edition 或 Windows XP Professional 並配備可正常工作的 Internet 連線。
步驟4
確定家庭或小型辦公網路所需的網路適配器類型:乙太網、家庭電話線網路適配器 (HPNA),無線適配器或 IEEE 1394 適配器。
步驟5
列出您需要購買的硬體。這包括數據機、網路適配器、集線器和線纜。
步驟6
購買硬體。
步驟7
安裝網路適配器和數據機,以便在每台計算機上創建網路連線。
步驟8
將計算機物理地連線在一起。將線纜插進集線器、電話插孔以及計算機中。
步驟9
打開所有計算機和印表機。
步驟10
確保您的 ICS 主機有激活的 Internet 連線。(要建立 Internet 連線,請運行"新建連線嚮導")。
步驟11
在 ICS 主機上運行 Windows XP Professional 網路安裝精靈。
步驟12
在網路中的其他計算機上運行"網路安裝精靈",可以使用軟碟對網路中的其它計算機進行配置。
解決方案
一、需求說明
隨著各單位計算機及區域網路套用的不斷深入,特別是各種計算機套用系統被相繼套用在實際工作中,各單位之間、各單位同外界信息媒體之間的相互交換和共享的要求日益增加。需要使各單位相互間真正做到高效的信息交換、資源的共享,為各單位各級領導提供準確、可靠、快捷的各種生產數據和信息,充分發揮各單位現有的計算機設備的功能。 在目前的套用中,主要有課件、資源庫共享,辦公自動化,視頻點播和視頻廣播等多媒體教學。
辦公網路建設規劃設計為:辦公樓的綜合布線;工作站設備選型;伺服器設備;網路交換設備;INTERNET 入口;實現物流系的網路資源的共享、多媒體、WEB資料庫、電子商務等功能。
二、 網路設計方案說明
2.1 方案設計原則
在作網路系統規劃時,根據具體情況,在計算機網路的規劃、設計和實施中遵循以下原則:
1.充分考慮業務需求和業務發展趨勢,具有實用性、靈活性、安全性、先進性。整個網路的建設應具備連續性,要保護現有的投資,充分利用現有的計算機資源和通訊資源。
2.網路的可靠性要高,在考慮現有的通訊網路的基礎上,計算機網的拓撲結構應儘量採用穩定可靠的結構形式,冗餘備分,以保證整個網路的高可靠性。
3.網路應具有高度的開放性,即對設備的技術開放和對其他網路的接入開放(如:INTERNET網)。
4.經濟實用性:設備的選型應有最優的性能價格比,以最省的投資實現儘可能多的功能。
5.易於操作和工程實施 :立足於實際,根據學校的實際狀況和特點。
2。2網路技術選型
區域網路套用中主要套用的網路技術有:傳統乙太網技術、快速乙太網、交換乙太網、FDDI、千兆乙太網和ATM網,下面分別對這些網路技術作分析,以選擇核合適的網路技術。
1、乙太網技術
傳統的乙太網技術及10M共享式乙太網技術,它採用共享訪問鏈路的方式進行操作,即網路上所有 站 點共享一條公共的通信通道; 在多個站點同時請求傳送數據而導致衝突時,遵循 CSMA/CD(多路載波偵聽/衝突檢測)協定。傳統的乙太網技術存在著一定的局限性, 極大地限制了計算機處理能力的發揮。
2、快速乙太網技術
快速乙太網實際上是10Mbps乙太網的100Mbps版本,它的運行速度要比10Mbps乙太網快十倍。在用戶已經很熟悉傳統乙太網的情況下,快速乙太網相對其他高速網路技術更容易被掌握和接受,它可以套用在共享式和主幹環境下,提供高頻寬的共享式網路或主幹連線。
3、千兆乙太網技術
千兆乙太網是相當成功的10Mbps乙太網和100Mbps快速乙太網連線標準的擴 展。IEEE已批准千兆位乙太網工程IEEE 802E TaskForce。
千兆位乙太網和已充分建立的乙太網與快速乙太網的節點完全匹配。最初的以 太網規範由偵格式定義,且支持CSMD/CD協定、全雙工、流控制和由IEEE802.3 標準定義的管理項目,千兆位乙太網將使用所有這些規範。
為了日益增加的頻寬的要求,千兆位乙太網包括了一個改進措施:即在網路鏈路層採用快速光纖連線方式,它使電視會議,複雜圖象和其它高數據密度的應用程式在 MAC(媒體訪問控制)層的數據傳遞速率為快速乙太網的十倍;同時,它提供良好的服務級別CoS,從而保證多媒體套用或敏感套用在區域網路中的優先權。
4、ATM技術
ATM是在70年代末、80年代初的寬頻ISDN基礎上發展起 來的,它是一種與在今天市場上流行的所有其它LAN技術大相逕庭的新技術。乙太網、FDDI都使用可變長的包從源點到終點傳送數據,而ATM使用定長的信元交換,按不同的速率傳輸數據、圖像、語音,無論在區域網路領域或是在廣域網領域,從根本上解決了傳統連網技術所存在的問題。
根據對目前流行的傳統乙太網、快速乙太網以及千兆乙太網等網路技術的綜合分析,結合學校的實際套用需求,如:辦公自動化(OA)、視頻點播、視頻廣播、教學素材庫、多媒體教室軟體等對計算機網路的傳輸頻寬和傳輸速度要求較高,建議選擇1000M的網路技術作為網路主幹技術,到桌面採用10/100M交換技術。
1000M的網路主幹基於高頻寬可以為校園網的教學、辦公、WWW套用信息流提供高速傳輸的通道,充分解決網路頻寬可能出現的瓶頸問題,同時通過1000M網路技術中對套用等級的劃分保證多媒體套用的優先權。
10/100M交換技術通過存儲轉發或直通式轉發的方式提高網路利用率,減少網路資源爭奪造成的衝突,減少網路負擔,使網路性能大幅度提高,可以滿足桌面套用信息流的傳輸。
2.3網路管理
---- 網路的管理主要要達到以下目的:
1.網路監控: 監視網路的運行狀態,控制網路路由和流量,分析運行記錄和報警信息。
2.性能控制: 根據網路套用狀態、負荷狀態、網路利用率,合理調整網路性能。
3.故障管理: 為確保網路系統的高穩定性,在網路出現問題時,必須及時察覺問題的所在。它包含所有節點運作狀態,故障記錄的追蹤與檢查及平常可對各種通訊協定的測試。
4.效率管理: 效率管理在於評估網路系統的運作,統計網路資源的運用及各種通訊協定的傳輸量等,更可提供未來網路提升或更新規劃的依據。
5.網路安全管理: 用戶身份確認,訪問控制,對用戶許可權以及用戶帳戶進 行維護和管理,設定相應口令與更。.加密和密鑰管理。監視和控制網上的破壞安全系統的行為。
6.運行管理: 制定網路運行的技術標準,可靠性、安全性方案和運行制度。
三、設計方案建議
1、布線系統
1.1 合布線系統設計完全遵照EIA/TIA-568、ISO11801國際標準和CECS72:97國家規範。
1.2 合布線系統有數據信息點 個。根據要求,我們經過對多家廠商產品的慎重選擇,建議在本工程中採用安普公司的布線系統;數據和圖象部分的配線產品採用AMP的快速跳線架;工作區部分的產品採用安普超五類系列AMP模組和相應的面板;線纜採用的是超五類非禁止UTP雙絞線,通過我公司的精心設計和嚴格的施工和管理,完全可以使整個系統完全達到超五類的標準。
1.3 水平子系統均採用超五類UTP雙絞線,從而確保整個系統性能達到超五類布線標準,且各樓層水平子系統的UTP電纜長度均設計在90米之內。
1.4 整個樓群的各管理子系統採用雙點管理和雙交連設計,交連繫統的標記採用以下三種,電纜標記、機櫃標記和插入標記。
四、設計規劃
辦公網路的設計目標
辦公區域網路的最終目標是建設覆蓋整個單位的互聯、統一、高效、實用、安全的區域網路,近期可支持十幾個,遠期至少可支持上百個並發用戶,提供廣泛的資源共享(包括硬體、軟體和信息資源的共享)。網路結構清楚、布線合理、充分考慮房間分布;區域網路性能穩定、安全;軟、硬體結合良好,滿足單位或公司日常辦公需要,方便資源共享、瀏覽,具備遠程控制功能,為單位提供遠程訪問能力並設計安全認證系統;有良好的兼容性和可擴展性,具備單位區域網路與其他單位區域網路互連,甚至根據具體需求實現網上視頻信號傳輸的能力。
辦公網路工程建設原則
(1)實用性:網路建設從套用實際需求出發,堅持為領導決策服務,為經營管理服務,為生產建設服務。
(2)先進性:採用成熟的先進技術,兼顧未來的發展趨勢,即量力而行,又適當超前,留有發展餘地。
(3)可靠性:確保網路可靠運行,在網路的關鍵部分應具有容錯能力。
(4)安全性:提供公共網路連線、通信鏈路、伺服器等全方位的安全管理系統。
(5)開放性:採用國際標準通信協定、標準作業系統、標準網管軟體、採用符合標準的設備,保證整個系統具有開放特點,增強與異機種、異構網的互聯能力。
(6)可擴展性:系統便於擴展,保證前期的投資的有效性與後期投資的連續性。
(7)可管理型:從系統設計、設備選型都必須考慮到整個系統的可管理型和可維護性,通過智慧型網管軟體可實現動態網路配置,監控網路運行,最佳化網路。
網路威脅
信息系統的網路化提供了資源的共享性、用戶使用的方便性、通過分散式處理提高了系統的運行效率和可靠性、擴展性。但信息系統的網路化也增加了信息在網路上的不安全性。信息系統的安全威脅來自多方面,並且隨著時間不斷的變化。
常見的安全威脅主要有:信息泄露、完整性破壞、拒絕服務、網路濫用
信息泄露信息泄露破壞了系統的保密性,他是指信息被透漏給非授權的實體。 常見的,能夠導致信息泄露的威脅有:
1.網路監聽信息在網路上傳播時
,攻擊者利用工具和設備,收集或捕獲在網路中傳輸的信息。
2.業務流分析通過對業務流模式進行觀察
,而造成的信息被泄露給未授權的實體。
3.電磁、射頻截獲信息
從電子或機電設備所發出的無線射頻或其他電磁場輻射中被分析提取出來。
4.人員的有意或無意一個授權的用戶
在金錢或利益的驅動下,或者在無意的情況下,將信息泄露給非授權用戶。
5.媒體清理信息從廢棄光碟、磁碟的
或列印過的媒體中獲得。計算機出現故障時,涉密硬碟中的數據在修理過程中泄露
6.漏洞利用
攻擊者利用網路設備和系統存在的漏洞,非授權的訪問。或者管理者沒有對設備和軟體進行合理的設定,留下安全漏洞,被非授權的用戶利用。
7.授權侵犯用戶本身是授權用戶
,但是他做的操作卻是許可權許可之外的.
8.物理侵入用戶
繞過物理控制措施,獲得對系統的訪問。
9.病毒、木馬、後門、流氓軟體攻擊者
可以利用病毒、木馬、後門來繞過安全策略,實現對數據的非授權訪問。
10.網路釣魚攻擊者
通過假冒銀行網站、電子商務網站、網路遊戲網站。利用木馬或病毒,或誘使用戶輸入機密的信息。來非授權的訪問用戶的機密信息。
網路安全
隨著計算機網路技術的普及,利用聯網實現辦公自動化,並將辦公自動化套用到政府、軍隊等安全性要求較高的機構已成為一種迫切的需要.所謂辦公自動化是指運用微機及相關外設,有效地管理和傳輸各種信息,達到提高工作效率的目的。辦公自動化網路是一個中小型的局部網路.辦公自動化網路系統是自動化無紙辦公系統的重要組成部分。在實現聯網辦公時,由於覆蓋面大,使用人員混雜,管理水平各異,往往不能保證公文在網路上安全傳輸和管理。還有一些人專門在網路上從事信息破壞活動,給國家、企業造成巨大的損失.因此,加強網路安全,防止信息被泄露、修改和非法竊取成為當前網路辦公自動化普及與套用迫切需要解決的問題。
辦公網路常見的安全問題
(1)網路病毒的傳播與感染
隨著計算機和網路的進步和普及,計算機病毒也不斷出現,總數已經超過20000種,並以每月300種的速度增加,其破環性也不斷增加,而網路病毒破壞性就更強。一旦檔案伺服器的硬碟被病毒感染,就可能造成系統損壞、數據丟失,使網路伺服器無法起動,應用程式和數據無法正確使用,甚至導致整個網路癱瘓,造成不可估量的損失。網路病毒普遍具有較強的再生機制,可以通過網路擴散與傳染。一旦某個公用程式染了毒,那么病毒將很快在整個網路上傳播,感染其它的程式。由網路病毒造成網路癱瘓的損失是難以估計的。一旦網路伺服器被感染,其解毒所需的時間將是單機的幾十倍以上。
(2)黑客網路技術的入侵
目前的辦公自動化網路基本上都採用以廣播為技術基礎的乙太網。在同一乙太網中,任何兩個節點之間的通信數據包,不僅可以為這兩個節點的網卡所接收,也同時能夠為處在同一乙太網上的任何一個節點的網卡所截取。另外,為了工作方便,辦公自動化網路都備有與
外網和國際網際網路相互連線的出入口,因此,外網及國際網際網路中的黑客只要侵人辦公自動化網路中的任意節點進行偵聽,就可以捕獲發生在這個乙太網上的所有數據包,對其進行解包分析,從而竊取關鍵信息;而本網路中的黑客則有可能非常方便的截取任何數據包,從而造成信息的失竊。
(3)系統數據的破壞
在辦公自動化網路系統中,有多種因素可能導致數據的破壞。首先是黑客侵人,黑客基於各種原因侵人網路,其中惡意侵人對網路的危害可能是多方面的。其中一種危害就是破壞數據,可能破壞伺服器硬碟引導區數據、刪除或覆蓋原始資料庫、破壞應用程式數據等。其次是病毒破壞,病毒可能攻擊系統數據區,包括硬碟主引導扇區、Boot扇區、FAT表、檔案目錄等;病毒還可能攻擊檔案數據區,使檔案數據被刪除、改名、替換、丟失部分程式代碼、丟失數據檔案;病毒還可能攻擊CMOS,破壞系統CMOS中的數據。第三是災難破壞,由於自然災害、突然停電、強烈震動、誤操作等造成數據破壞。重要數據遭到破壞和丟失,會造成企業經營困難、人力、物力、財力的巨大浪費 。
網路安全策略
(1)網路安全預警
辦公自動化網路安全預誓系統分為人侵預警和病毒預警兩部分。人侵預警系統中,人侵檢測可以分析確定網路中傳輸的數據包是否經過授權。一旦檢測到人侵信息,將發出警告,從而減少對網路的威脅。它把包括網路掃描、網際網路掃描、系統掃描、實時監控和第三方的防火牆產生的重要安全數據綜合起來,提供內部和外部的分析並在實際網路中發現風險源和直接回響。它提供企業安全風險管理報告,報告集中於重要的風險管理範圍,如實時風險、攻擊條件、安全漏洞和攻擊分析;提供詳細的人侵告警報告,顯示人侵告警信息(如人侵IP位址及目的IP位址、目的連線埠、攻擊特徵),並跟蹤分析人侵趨勢,以確定網路的安全狀態;信息可以發往相關資料庫,作為有關網路安全的決策依據。病毒預警系統通過對所有進出網路的數據包實施不間斷的持續掃描,保持全天24小時監控所有進出網路的檔案,發現病毒時可立即產生報警信息,通知管理員,並可以通過IP位址定位、連線埠定位追蹤病毒來源,並產生功能強大的掃描日誌與報告,記錄規定時間內追蹤網路所有病毒的活動。
(2)數據安全保護
①針對入侵的安全保護:對於資料庫來說,其物理完整性、邏輯完整性、數據元素完整性都是十分重要的。資料庫中的數據有純粹信息數據和功能檔案數據兩大類,人侵保護應主要考慮以下幾條原則:物理設備和安全防護,包括伺服器、有線、無線通信線路的安全防護;伺服器安全保護,不同類型、不同重要程度的數據應儘可能在不同的伺服器上實現,重要數據採用分散式管理,伺服器應有合理的訪問控制和身份認證措施保護,並記錄訪問日誌。系統中的重要數據在資料庫中應有加密和驗證措施。用戶對數據的存取應有明確的授權策略,保證用戶只能打開自己許可權範圍之內的檔案;通過審計和留痕技術避免非法者從系統外取得系統數據或是合法用戶為逃避系統預警報告的監督而從系統中取得數據;客戶端安全保護,客戶端的安全主要是要求能配合伺服器的安全措施,提供身份認證、加密、解密、數字簽名和信息完整性驗證功能,並通過軟體強制實現各客戶機口令的定期更換,以防止口令泄漏可能帶來的損失。
②針對病毒破壞及災難破壞的安全保護:對於病毒和災難破壞的數據保護來說,最為有效的保護方式有兩大類:物理保護和數據備份。要防止病毒和災難破壞數據,首先要在網路核心設備上設定物理保護措施,包括設定電源冗餘模組和交換連線埠的冗餘備份;其次是採用磁碟鏡像或磁碟陣列存儲數據,避免由於磁碟物理故障造成數據丟失;另外,還要使用其他物理媒體對重要的數據進行備份,包括實時數據備份和定期數據備份,以便數據丟失後及時有效地恢復。
(3)人侵防範
要有效地防範非法入侵,應做到內外網隔離、訪問控制、內部網路隔離和分段管理。
①內外網隔離:在內部辦公自動化網路和外網之間,設定物理隔離,以實現內外網的隔離是保護辦公自動化網路安全的最主要、同時也是最有效、最經濟的措施之一。第一層隔離防護措施是路由器。路由器濾掉被禁止的IP位址和服務。可以首先禁止所有的IP位址,然後有選擇的放行一些地址進入辦公自動化網路。第二層隔離防護措施是防火牆。大多數防火牆都有認證機制,無論何種類型防火牆,從總體上看,都應具有以下五大基本功能:過濾進、出網路的數據;管理進、出網路的訪問行為;封堵某些禁止的業務;記錄通過防火牆的信息內容和活動;對網路攻擊的檢測和告警。
②訪問控制:公自動化網路應採用訪問控制的安全措施,將整個網路結構分為三部分,內部網路、隔離區以及外網。每個部分設定不同的訪問控制方式。其中:內部網路是不對外開放的區域,它不對外提供任何服務,所以外部用戶檢測不到它的IP位址,也難以對它進行攻擊。隔離區對外提供服務,系統開放的信息都放在該區,由於它的開放性,就使它成為黑客們攻擊的對象,但由於它與內部網是隔離開的,所以即使受到了攻擊也不會危及內部網,這樣雙重保護了內部網路的資源不受侵害,也方便管理員監視和診斷網路故障。
③內部網路的隔離及分段管理:內部網路分段是保證安全的一項重要措施,同時也是一項基本措施,其指導思想在於將非法用戶與網路資源相互隔離,從而達到限制用戶非法訪問的目的。辦公自動化網路可以根據部門或業務需要分段.網路分段可採用物理分段或邏輯分段兩種方式:物理分段通常是指將網路從物理層和數據鏈路層上分為若干網段,各網段相互之間無法進行直接通訊;邏輯分段則是指將整個系統在網路層上進行分段。並能實現子網隔離。在實際套用過程中,通常採取物理分段與邏輯分段相結合的方法來實現隔離。採取相應的安全措施後,子網間可相互訪問。對於TCP/IP網路,可把網路分成若干IP子網,各子網間必須通過路由器、路由交換機、網關或防火牆等設備進行連線,利用這些中間設備(含軟體、硬體)的安全機制來控制各子網間的訪問。在這裡,防火牆被用來隔離內部網路的一個網段與另一個網段,可以限制局部網路安全問題對全局網路造成的影響。
(4)病毒防治
相對於單機病毒的防護來說,網路病毒的防治具有更大的難度,網路病毒防治應與網路管理緊密結合。網路防病毒最大的特點在於網路的管理功能,如果沒有管理功能,很難完成網路防毒的任務。只有管理與防範相結合,才能保證系統正常運行。計算機病毒的預防在於完善作業系統和套用軟體的安全機制。在網路環境下,病毒傳播擴散快,僅用單機防殺病毒產品已經難以清除網路病毒,必須有適用於區域網路、廣域網的全方位防殺病毒產品。為實現計算機病毒的防治,可在辦公自動化網路系統上安裝網路病毒防治伺服器,並在內部網路伺服器上安裝網路病毒防治軟體,在單機上安裝單機環境的反病毒軟體。安裝網路病毒防治伺服器的目標是以實時作業方式掃描所有進出網路的檔案。本地網路與其它網路間的數據交換、本地網路工作站與伺服器間的數據交換、本地網路各工作站之間的數據交換都要經過網路病毒防治伺服器的檢測與過濾,這樣就保證了網路病毒的實時查殺與防治。
(5)數據恢復
辦公自動化系統數據遭到破壞之後,其數據恢復程度依賴於數據備份方案。數據備份的目的在於儘可能快地全盤恢復運行計算機系統所需的數據和系統信息。根據系統安全需求可選擇的備份機制有:實時高速度、大容量自動的數據存儲、備份與恢復;定期的數據存儲、備份與恢復;對系統設備的備份。備份不僅在網路系統硬體故障或人為失誤時起到保護作用,也在人侵者非授權訪問或對網路攻擊及破壞數據完整性時起到保護作用,同時亦是系統災難恢復的前提之一。
隨著企業各部門之間、企業和企業之間、國際間信息交流的日益頻繁,辦公自動化網路的安全問題已經提到重要的議事日程上來,一個技術上可行、設計上合理、投資上平衡的安全策略已經成為成功的辦公自動化網路的重要組成部分。轉貼於 中國論文下載
企業網路
建設策略
企業辦公網路建設的前提在於套用信息技術、信息資源、系統科學、管理科學、行為科學等先進的科學技術,不斷使人們藉助於各種辦公設施(主要是指計算機),以實現對企業內部工作的統一管理。信息資源的開發與利用是辦公網路建設的根本,以行為科學為指導,以系統科學、管理科學、社會學等為理論基礎,以計算機、通訊等信息技術為工具,提供對企業整體辦公的操作、管理、巨觀調控和輔助分析決策。
企業辦公網路的建設應考慮以下的問題:
(1)企業內部的各類基礎信息的建設需有一個整體規劃,避免各類信息系統的盲目建設,避免一方面信息短缺,另一方面信息重複,突出發展重點,集中必要投入,注重費用效益分析,提高設備和資源的利用率,依靠投入產出效益的提高,達到提高經濟效益的目的。
(2)目前企業大量的信息採集與製作各成系統,缺乏相互的關聯和統一的管理,如何有效地利用這些信息資源並將他們套用於辦公系統、業務系統、管理和決策系統是我們急需解決的問題。
(3)網路通訊產品的選用,應以信息資源的開發利用為出發點和歸宿,以信息資源的綜合利用需求來決定網路的建設策略。
(4)信息的採集、加工、傳遞、利用是構成一項完整的信息活動的四個環節,只有保持穩態的平衡關係,才能使信息活動順利進行,在計算機和通訊技術迅猛發展的今天,信息的加工和傳遞得到了很好的發展,而信息的採集和利用越來越成為薄弱環節。因此在更新和升級系統的階段應考慮與原有系統的融合以及信息的採集和利用環節的加強。(5)辦公網路應立足於企業套用,以企業信息化為基礎,將信息技術的套用從辦公管理擴展到設計、生產、銷售等全過程的綜合集成和現代企業的整體戰略管理上,不局限於用信息資源來輔助企業內部管理和決策,而進一步用來了解競爭環境的變化,競爭對手的動向,以及制訂出奇制勝的競爭對策,提高企業在全球市場經濟環境中的競爭能力。
基於以上的考慮,企業辦公網路的建設應從以下幾個方面出發:
(1)符合現有辦公習慣和思路,在提高基礎建設和實施手段的同時,保證系統更新的平滑過渡;
(2)充分利用現有資源,保護原有投資;
(3)能夠達到提高辦公效率,提高管理水平,提高決策能力,降低成本,提高效益的目的;
(4)採用世界主流技術及產品,保證投資的長期套用;
(5)具有靈活的適應性和可擴展性,以便未來的機構改革和業務擴展時能夠減少投入、快速更新;
(6)廣泛的信息交流、移動辦公以適應迅速的信息發展;
(7)大規模的協作辦公,以增強自身的市場競爭能力;
(8)與其他信息基礎源的無縫結合,以實現企業信息管理的統一的全面的解決方案;
(9)完善的管理思想以指導系統的建設、開發以及運作。
網路規劃
企業辦公網路需要一個整體的、統一的規劃。我們可以將企業辦公分為操作層辦公、管理層辦公和決策層辦公:對於操作層,辦公網路應具有採集、加工、處理、存儲各類業務數據的能力,並能通過辦公網路完成各種辦公操作;對於管理層,辦公網路應具有實時監控、協調、管理的能力;而對於決策層,辦公網路應具備查詢、分析各類業務數據、文檔信息、動態信息的能力,並通過直觀的多維分析圖表,向領導層提供決策支持。因此,企業的辦公網路應將企業的各種業務系統、mis系統、oa系統、dss系統融為一體,以完成對辦公整體作業的統一管理。
交流、協作、控制是現代化辦公管理的目標,企業的辦公網路應能實現如下的功能:採集、加工、傳遞、查詢、分析各類業務系統信息數據;員工之間、部門之間、企業之間的信息交流與協作;人事、檔案、公文、會議等辦公管理;企業資源管理;財務管理;工作、項目、任務管理與監控;客戶信息管理、技術支持、售後服務、產品維護等管理;internet信息、衛星信息的自動採集與查詢;企業信息發布以及各類internet網上行銷行為;對各類業務數據、辦公信息、外來信息的分析處理;電子商務等等。
採用雙層防火牆保護企業辦公網路不受外界侵襲,並與internet連線,企業的信息發布和信息採集放在公共區域,實現企業對外部信息的綜合查詢和採集、分析利用;對企業內部操作層、管理層和決策層的辦公管理,信息查詢和利用,決策支持,業務系統操作,信息綜合利用等均放入內部區域,以實現對企業整體作業的統一管理;通過衛星專網、微波、ddn、pstn等通訊手段實現企業分部與總部的虛網連線,以及移動辦公用戶的連線,從而實現覆蓋全國乃至全球的企業辦公網路,實現對企業的科學的、規範的、統一的管理。
除採用防火牆作為企業辦公網路的安全保護外,在規劃辦公網路的同時,還需考慮鏡像、備份、災難恢復、口令、加密、許可權控制、電子簽名、驗證、網路防病毒、安全性教育等等一系列的安全防護措施,以確保企業辦公網路的正常、可靠的運轉。
網路實施
企業辦公網路的建設應採取統一規劃、分步實施的原則,以保證網路建設和套用的合理性和順利完成。根據企業的套用需求及未來的發展進行總體規劃,根據企業現行需求情況、投資規模及使用者的接受程度、培訓、教育計畫、套用水平等因素綜合考慮,進行分步實施和推廣普及,以達到最有利的分階段投入產出效益。
可以按照如下的原則,逐步進行企業辦公網路的實施規劃:
(1)對整體套用需求做綜合的分析,以確定網路平台及套用系統的建設規劃。
(2)基於整體的規劃和現行的投資規模,分期建設主機平台、網路平台、通訊平台,留出充分的接口,以便下期工程的順利實施,逐步完成硬體平台的建設。
(3)在現期硬體平台上,根據現期套用需求,進行套用平台的建設和套用系統的設計,保證現有建設的適用性,為後期應
用預留接入點,以便適應將來企業不斷發展的套用需求、機構調整和業務擴展等的需要。企業辦公網路的建設可按以下步驟,逐步實施、推廣使用:
(1)建立企業區域網路、個人操作平台、實現檔案、列印等初級資源共享;
(2)建立初級信息交流、電子郵件、個人安排、網上討論、internet信息查詢等套用;
(3)建立基本辦公管理套用和信息交流手段;
(4)加強辦公網路功能,實施複雜辦公管理套用,發布企業信息;
(5)完善辦公網路套用,完成對業務系統,mis系統,決策支持系統,internet信息採集、處理、分析等的融合,實現對企業內部、外部各類信息的綜合利用;
(6)建立各種多媒體技術與辦公網路的無縫結合,實現企業多媒體辦公。
總之,企業辦公網路的建設是企業未來發展勢在必行的一步,企業要高效穩步地發展、企業要在激烈的市場競爭中保持強勁的競爭力和活力,一套科學的、規範的管理機制和手段是不可或缺的,對於信息資源的綜合開發和利用,將是企業發展的推動力。企業辦公網路的建設需對企業的現行需求、未來的發展、安全性要求、投資規模、套用水平等各種因素進行綜合分析和考慮,對網路、主機、套用及管理等方面做精心的設計和規劃,以期在每一個建設階段都能以最小的投入得到最大的效益。
小型配置
設備可用性和花費
- 許多情況下,為將一組計算機連成網路以已分享檔案、印表機和 Internet 而提供的財務支持是有限的。應考慮購買和安裝網路適配器、集線器及其他網路設備(例如住宅網關和電纜)所需的費用。
Internet 可接入性
—— 網路配置還會受到可用的 Internet 連線方案的限制。儘管標準數據機和撥號接入已經非常普及,且只要求極少的投入,但隨著頻寬要求的提高,可能需要諸如“數字訂戶線路”(DSL) 或電纜連線等寬頻連結取決於寬頻提供商的不同,有時會要求使用諸如電纜數據機、DSL 數據機或住宅網關等附加設備。
配置的簡單性
—— 大多數家庭或小型網路並非由 IT 部門管理的。最終選擇的配置必須與安裝和維護網路時可以使用的資源情況相符合。只要配置正確,任何人都可以完成。
網路的環境 - 不管是在公司還是在家中安裝網路,環境因素都會影響可選擇的內容。例如,有些建築物可能對安裝電纜有限制,或者要求使用現有的電纜。其他地方則可能會因電子禁止或干擾等原因而限制無線網路設備的使用。
Internet 連線的安全性
—— Internet 連線,內部網路上一台或多台計算機的物理連線方法,必須免受 Internet 攻擊。將轉換功能和防火牆技術組合使用,即可實現上述目標。
安裝者的個人偏愛和知識
—— 網路配置不可避免會受到網路組件安裝者的知識、經驗和個人偏愛的影響。
相關知識
提高網路辦公的效率,最重要的是把人的服務行政觀念真正滲透到電子政務建設者的腦子裡,二者方能並駕齊驅。而這裡邊更重要的因素還得靠人來完成,實行網路辦公,首先還是要先轉變人的觀念,提高網路辦公的效率,實際上還是要通過提高政務人員的辦事效率來實現。這才是網路高效辦公的根本所在,工作不是一朝一夕的事情,必須長期制定政府人員的教育培訓計畫,提高政府工作人員的素質和觀念,才能真正讓我們的高科技辦公設備由高素質的人來操作,高效快捷的服務於社會和公眾。
無線辦公
因為Wi-Fi無線網路的發展速度太快了,無線已經成為家庭用戶和個人用戶的主要消費對象,這顯然不是Wi-Fi無線網路技術開發者的真實目的。作為一種採用無線信號為傳輸介質的區域網路,無線網路的特點會在辦公環境中得到更加充分的發揮。
首先,Wi-Fi無線網路本身最大的特點就是淘汰了傳統有線網路中複雜的布線,並且無需對環境布置進行嚴格安排。其次,無線網路靈活的移動特性也受到信號傳播距離和電源的限制,在很多廣告所設計的場景中,在咖啡屋之類的地方,都不能解決電源問題,而在辦公環境下,這一點不用耽心。第三,Wi-Fi本身的區域網路特性支持更多的電腦互聯互通,家庭用戶則無法充分發揮這一特點。當然,無線還會帶來很多意想不到的好處。比如網管不必再為一個又一個交換機的故障而著急;行政部門也可以為公司設計一個更富想像力的辦公室隔局;還有就是我們可能利用已有的無線網路,領會到Wi-Fi相機、Wi-Fi手機、Wi-Fi投影機等設備所帶來的方便與快捷。