【参考】设计企业信息系统的安全体系
in 安全 - Hits()
设计企业信息系统的安全体系
一项建筑工程实施的依据是它的建筑蓝图,是一张张的图纸,这些图纸是经过许多建筑师、设计师分析地理位置、土质、风向、空气湿度、供电、供水、建材类型、 强度、造型等多种因素,并经过多番论证才得出的成果,里面包含了很多智慧的结晶。同样,信息网络系统的安全工程也需要一个构建蓝图,一个实施依据,否则就 会没有结果或者结果只是一些“豆腐渣”工程。
安全体系是安全工程实施的指导方针和必要依据,它的质量也决定了安全工程的质量。所以,应把安全体系的设计提升到一定的高度,确保安全体系的可靠性、可行性、完备性和可扩展性。
一、好的安全体系
具有什么特征?
为了保证安全体系的实用性,在设计安全体系时,必须遵循以下四项原则:
(1) 体系的安全性:设计安全体系的最终目的是为安全工程提供一个可靠的依据和指导,保护信息与网络系统的安全,所以安全性成为首要目标。要保证体系的安全性, 必须保证体系的可理解性、完备性和可扩展性。
(2) 体系的可行性:设计体系不能纯粹地从理论角度考虑,再完美的方案,如果不考虑实际因素,那么也只能是一些废纸。设计安全体系的目的是指导安全工程的实施, 它的价值也体现在所设计的工程上,如果工程的难度太大以至于无法实施,那么体系本身也就没有了实际价值。
(3) 系统的高效性:信息与网络系统对安全提出要求的目的是能保证系统的正常运行,如果安全影响了系统的运行,那么就需要进行权衡了。信息网络系统的安全体系包 含一些软件和硬件,它们也会占用信息网络系统的一些资源。因此,在设计安全体系时必须考虑系统资源的开销,要求安全防护系统本身不能妨碍信息网络系统的正 常运转。
(4) 体系的可承担性:安全体系从设计到工程实施以及安全系统的后期维护、安全培训等各个方面的工作都是由对象单位来支持的,单位要为此付出一定的代价和开销。 如果单位要付出的代价比从安全体系中获得的利益还要多,那么单位就不会采用这个方案。所以,在设计安全体系时,必须考虑单位的实际承受能力。
二、安全体系
包括什么内容?
一个完整的安全体系应该包含以下几个基本的部分,根据具体情况的不同,可以在此基础上进行修剪或扩展。
(1) 风险管理:研究信息系统存在的漏洞缺陷、面临的风险与威胁,这可以通过安全风险评估技术来实现;对于可能发现的漏洞、风险,规定相应的补救方法,或者取消一些相应的服务。
(2)行为管理:对网络行为、各种操作进行实时的监控;对各种行为进行分类管理,规定行为的范围和期限。
(3) 信息管理:信息是it业的重要资产,由于它的特殊性,因此必须采用特殊的方式和方法进行管理,根据具体的实际情况,对不同类型、不同敏感度的信息,规定合适的管理制度和使用方法,禁止不良信息的传播。
(4) 安全边界:信息系统与外部环境的连接处是防御外来攻击的关口,根据企业具体的业务范围,必须规定系统边界上的连接情况,防止非法用户的入侵以及系统敏感信息的外泄,如可以利用防火墙对进出的连接情况进行过滤和控制。
(5) 系统安全:操作系统是信息系统运行的基础平台,它的安全也是信息安全的基础。根据具体的安全需求,应该规定所要采用的操作系统类型、安全级别以及使用要求。为了实现这个目的,可以采用不同安全级别的操作系统,或者在现有的操作系统上添加安全外壳。
(6) 身份认证与授权:信息系统是为广大用户提供服务的,为了区分各个用户以及不同级别的用户组,需要对他们的身份和操作的合法性进行检查。体系应该规定实现身份认证与权限检查的方式、方法以及对这些用户的管理要求。
(7) 应用安全:基于网络信息系统的应用有很多,存在的安全问题也很多。为了保证安全,应该根据安全需求规定所使用的应用的种类和范围,以及每一种应用的使用管理制度。
(8) 数据库安全:保护数据库的安全一直是一个核心问题。为了达到这个目的,需要规定所采用的数据库系统的类型、管理、使用制度与方式。
(9) 链路安全:链路层是网络协议的下层协议,针对它的攻击一般是破坏链路通信,窃取传输的数据。为了防御这些破坏、攻击,需要规定可以采取的安全措施,如链路加密机。
(10) 桌面系统安全:桌面系统包含着用户能够直接接触到的信息、资源,也是访问信息系统的一个入口,对它的管理和使用不当也会造成敏感信息的泄露。所以,需要对各个用户提出使用桌面系统的安全要求,进行必要的安全保护。
(11) 病毒防治:随着网络技术和信息技术的发展,各种各样的病毒泛滥成灾,严重威胁着信息财产的安全。为了避免因为病毒而造成的损失,必须制定严格的病毒防护制度,减少、关闭病毒的来源,周期性对系统中的程序进行检查,利用病毒防火墙对系统中的进程进行实时监控。
(12) 灾难恢复与备份:不存在绝对安全的安全防护体系,为了减少由于安全事故造成的损失,必须规定必要的恢复措施,能够使系统尽快地恢复正常的运转,并对重要的信息进行周期性的备份。
(13) 集中安全管理:为了便于安全体系的统一运转,发挥各个功能组件的功能,必须对体系实施集中的管理。因此,需要制定科学的管理制度,成立相应的管理机构。
三、别忘了评估您的安全体系
由于安全体系的质量直接决定着安全工程的质量,因此,必须对安全体系进行严格的审查分析。在安全体系设计之后,需要聘请专家对体系的质量进行评审,并对评 审结果进行论证,对发现的不妥之处及时修正,这样才能保证体系的质量。为了保证评审结果的可靠性,所聘请的专家必须是第三方的。
一个好的安全防护体系包括以下几个特点:结构的合理性及可扩展性、内容的完备性、组织上的可行性与安全性。对安全体系的质量进行评估也就是检验体系是否达 到了这几项要求。世界上没有一个通用的安全体系,某个信息网络系统的安全体系是针对该系统本身而言的,它不能用于另外的某个系统。所以,在设计安全体系 时,在一定的理论指导下,要结合具体的实际情况进行研究分析。要考察的实际情况主要是风险分析与评估、安全需求分析的内容,安全体系的设计是完整的信息安 全工程学中的一个环节,是以风险分析与评估、安全需求分析为基础的。
----------------------------------------------------------------------------------------------------------------------
浅析企业信息系统的安全与防范措施
摘 要:随着计算机技术与通信技术的高速发展,信息安全在企业中扮演着越来越重要的角色,为此,笔者从企业信息系统所面临的安全威胁以及企业信息系统安全运行应当采取的防范措施两方面进行了探讨。
关键词:信息系统安全;防火墙技术;防范
随着计算机技术与通信技术的飞速发展,信息安全已成为制约企业发展的瓶颈技术,进而使得企业对信息系统安全的依赖性达到了空前的程度,但是企业在享受着信息系统给公司带来巨大经济效 益的同时,也面临着非常大的安全风险。一旦企业信息系统受到攻击而遭遇瘫痪,整个企业就会陷入危机的境地。特别是近几年来全球范围内的计算机犯罪,病毒泛 滥,黑客入侵等几大问题, 使得企业信息系统安全技术受到了严重的威胁。因此,这就使得企业必须重新审视当前信息系统所面临的安全问题, 并从中找到针对 企业的行之有效的安全防范技术。为此,笔者首先分析了现代企业所面临的信息系统安全问题,然后提出了企业应当采取的相应防范措施。
1企业信息系统所面临的安全威胁
企业在信息系统的实际操作过程中,威胁是普遍存在且不可避免的。一般来说威胁就是企业所面临的潜在的安全隐患。个人电脑只通过一个简易的应用便可以满足普通 用户的要求,但是企业的信息系统一般都要充当多个角色,基本上都得为多个部门提供服务,其中任何一个局部的隐患都可能给整体的安全性带来致命的打击。正是 由于企业信息安全系统本身所固有的这些缺陷,必然会导致病毒与黑客的容易盛行。目前,影响企业系统安全的因素各种各样,但是其主要的威胁可以归结为以下几 个方面:
①黑客的蓄意攻击:随着信息技术的普及,企业一般都会利用互联网接入来加速提高本公司业务与工作绩效,黑客的恶意攻击 行为无疑会成为阻碍这一进程发展最大也最严重的威胁。其中,有来自竞争公司的幕后黑手,或者来自对本企业有怨恨情绪的员工,以及对该企业持不满态度的顾客 等,出于不同目的或报复情绪都可能对企业网络进行破坏与盗 窃。另外,一个更严重的问题——网络敲诈,正有逐步提升的趋势。许多不法分子利用木马、病毒、间谍软件,或者dos 攻击等非法方式对企业网络进行破坏或 盗用企业数据,并以此作为向企业敲诈勒索的交换条件,由于大部分企业普遍存在着信息安全环等薄弱问题,因此很多企业都成为这种违法行为最大的受害者。
② 病毒木马的破坏:现今的互联网已基本成为了一个病毒肆虐生长繁殖的土壤,几乎每一天都会有上百种新的病毒或者木马产生,而在很大部分企业中,安全技术不 足,管理设备松散、员工安全意识淡薄等问题的存在进一步滋长了病毒、蠕虫、木马等的危害,严重时甚至有可能造成整个企业网络的瘫痪,导致企业业务无法正常 进行。
③员工对信息网的误用:如企业技术员工由于安全配置不当引起的安全漏洞,员工安全意识薄弱,用户密码选择不恰当,将自己的账户名与口令随意告诉他人或与别人共享都会对信息系统安全带来威胁。
④技术缺陷:由于当前人类认知能力和技术发展的有限性,要想使硬件和软件设计都达到完美没有缺陷,基本上不可能。其次,网络硬件、软件产品多数依靠进口等这些隐患都可能可造成网络的安全问题。
2企业信息系统安全运行的防范措施
企业信息系统安全运行的防范措施是企业信息系统高效运行的方针,其能在很大程度上确保信息系统安全有效的运行。相应的企业安全运行的措施一般可以分为以下几类:
① 安全认证机制:安全认证机制是确保企业信息系统安全的一种常用技术,主要用来防范对系统进行主动攻击的恶意行为。安全认证,一方面需要验证信息发送者的真 实性,防止出现不真实;另一方面可以防止信息在传送或存储过程中被篡改、重放或延迟的可能。一般来说,安全认证的实用技术主要由身份识别技术和数字签名技 术组成。
②数据的加密以及解密:数据的加密与解密主要是用来防止存储介质的非法被窃或拷贝,以及信息传输线路因遭窃听而造成一些重要数据的泄漏,故在系统中应对重要数据进行加密存储与传输等安全保密措施。加密是把企业数据转换成不能直接辨识与理解的形式;而解密是加密的逆行式即把经过加密以后的信息、数据还原为原来的易读形式。
③入侵检测系统的配备:入侵检测系统是最近几年来才出现的网络安全技术,它通过提供实时的入侵检测,监视网络行为并进而来识别网络的入侵行为,从而对此采取相应的防护措施。
④采用防火墙技术:防火墙技术是为了确保网络的安全性而在内部和外部之间构建的一个保护层。其不但能够限制外部网对内部网的访问,同时也能阻止内部网络对外部网中一些不健康或非法信息的访问。
⑤加强信息管理:在企业信息系统的运行过程中,需要要对全部的信息进行管理,对经营活动中的物理格式和电子格式的信息进行分类并予以控制,将所有抽象的信息记录下来并存档。
3结语
总 之,企业信息系统的安全问题将会越来越得到人们的重视,其不但是一个技术难,同时更是一个管理安全的问题。企业信息系统安全建设是一个非常复杂的系统工 程。因此,企业必须综合考虑各种相关因素,制定合理的目标、规划相应的技术方案等。笔者相信,信息安全技术必将随着网络技术与通信技术的发展而不断得到完善。
----------------------------------------------------------------------------------------------------------------------------
武钢信息安全体系的建立与实践
作为新中国成立后兴建的第一个特大型钢铁联合企业,武汉钢铁(集团)公司拥有从矿山采掘、炼焦、炼铁、炼钢、轧钢及配套公辅设施等一整套先进的钢铁 生产工艺设备,生产规模逾3000万吨,居世界钢铁行业第七位,国内第三位。近年来,随着武钢信息化平台的高度发展,武钢的业务运营对信息系统的依赖性越 来越高,信息系统的安全运行成为影响武钢研发,生产、销售的首要问题。
一、武钢信息安全需求
武钢信息系统是武钢信息化战略的主要载体,为武钢集团各项业务活动以及生产管理控制活动提供了重要服务。现在,武钢已经形成了以公司主干网为核心运行平 台、产销资讯系统为核心应用、各单位为基本用户的运行模式,其用户分布在武钢各生产、管理职能部门。作为武钢业务运营命脉的整体产销资讯系统主要包含九大 系统:型线棒产销管理系统、硅钢产销管理系统、储区优化管理系统、客户关系及电子商务管理系统、物流供应链含理系统、设备及工程管理系统、决策支持管理系 统、电能无线计虽管理系统和信息门户管理系统。其特点是集生产、办公、管理于一体,使得武钢能够提高工作效率及客户满意度,降低成本,加强了企业的市场竞 争力。
在武钢信息化水平达到一定高度后,信息安全问题也随之而来。作为国务院信息化工作办公室推选的ISO/IEC27001信息安 全体系企业试点单位,武钢对安全的理解也实现了从网络安全到信息安全的跨越。从2004年的信息安全风险评估项目到2005年的信息安全加固项目;从到 2007年的武钢主干站点综合防护项目,到2009年的武钢防病毒及桌面管理系统升级项目和武钢主干站点综合扩点等项目,武钢信息安全体系建设的脚步越走 越稳。
二、风险评估和整体规划
保障信息安全,首先要明确安全目标,界定安全 边界,进而建立信息安全保障的管理和运行体系,达到融安全管理于日常工作的效果。因此,首先需要对武钢进行整体的信息安全风险评估。武钢风险评估的目标是 根据调查分析的结果,结合武钢信息系统的实际情况,分析系统面临的各项威胁因素;综合信息系统关键资产重要性、安全需求、现有防护措施等,评估各项威胁对武钢信息系统造成的影响,并根据影响的大小提出需要进行考虑的安全策略。
通过信息安全风险评估,我们识别出对武钢产销系统和骨干网影响最大的三个信息安全威胁是:混合型病毒和恶意代码;外部人员通过网络实施对信息系统的入侵攻击;内部人员通过网络的直接入侵和不规范操作。
根据风险评估结论,同时结合武钢信息系统实际情况,参考ISO27001、COBIT等国际、国家相关标准,一套适合武钢发展的、先进的安全技术体系结 构得以提出。在规划设计时,遵循安全策略中“深度防御战略”的多层防护原则,覆盖武钢信息系统中的主干网、公司级应用、接入单位系统等,主要从调整公司服 务器部署、提高安全性、增强网络安全保护、利用现有设备和新增防火墙进行网络安全域划分与加强访问控制来保护重要单位、网络综合监管平台构建(网络设备日 志、流量等)、微软操作系统补丁分发与更新与漏洞检查、公司重要服务器审计及安全策略配置加固以及终端配置管理、接入管理等方面着手。通过此次安全规划, 武钢提出了安全整体策略规划、运行安全规划、技术安全规划三份完整详尽的安全规划报告,以及切实可行的信息安全整体规划。
三、信息安全技术体系建设框架
在信息系统安全体系结构中,信息的安全主要依赖于信息基础设施对关键信息的处理、存储和传输的安全的保护。信息保障依赖人、操作和技术来实现组织的任 务、业务运作。针对技术、信息基础设施的管理活动同样依赖于这三个因素。稳定的信息保障体系意味着信息保障的政策、步骤,技术与机制在整个组织的信息基础 设施的所有层面上均得以实施。为了实现“深度防御”目标,需要在网络基础环境安全,边界安全、计算环境安全和支撑性安全基础设施四个方面进行设计。总体安 全技术体系框架如下图所示:
根据上述技术体系框架,公司逐步实施了一系列信息系统安全项目,这些项目都顺利完成,并且达到了预期的安全目标。
四、信息安全体系约束下的应用实践
2005年1月,武钢正式按照技术安全规到进行了产销系统和骨干网的安全加固工程。
在这次工程中,武钢对公司网络做了优化,实现路由双核心.以及站点用户访问大型机数据的链路冗余。对访问Internet擞据和访问大型机数据的路径进 行分离,同时采用路由过滤和屏蔽功能,来防止非法路由条目扩散到核心而引起路由冲突。利用封锁部分常用蠕虫病毒端口及封锁发往私有地址空间的数据,保证了 网络带宽的有效利用。
通过Symantec SESA事件分析系统的应用,从现有的防病毒服务器中获取数据进行分析。该系统有病毒排行、中毒机器排行、用户中毒排行等功能,能辅助对接入用户的管理以及病毒肪范行动决策。
武钢还对区城何防火墙进行了安装部署。通过控制Dialup区域路由器拨号用户的接入、VPN1区域路由器的接入,来实施访问控制安全策略,以限定访问 的主机范围和服务。通过外单位区城划分来实施访问控制安全策略以限定外单位用户访问的内网主机范围和服务。保护CRM系统通过设里访问控制安全策略以限定 访问的主机范围和服务。
通过区域间IDP系统的部署,在网络关键位置部署入侵俭测与防护设备,实时对网络中的协议和流最进行异常检测,及时发现和阻断网络中存在的攻击行为,确保了关键应用服务器的安全。
通过网络审计系统,实时监控审计网络中对OA, HR等服务器的HTTP、TELNET及FTP各类应用服务,在实时监控的同时也方便了事后取证。
通过访问控制系统.对于移动VPN用户访问OA、HR等企业重要数据连接进行加密、认证和用户级别的授权。
补定更新系统的应用使得管理人员能及时获得所有已知安全问网的修补程序,并把这些修补程序及时分发到所有的客户机。
武钢还对主机服务器进行了加固,根据需要加固的内容,消除系统已知的漏洞或降低系统存在的风险。加固后,可以加强服务器的抗病毒及防止非法入侵的能力。 通过停用某些不必要的服务,消除系统的部分漏洞;通过增强服务器的安全配置,提高系统的安全性;通过软件升级或者安装补丁,加强系统的安全性.
网络管理系统实现了武钢主干网拓扑管理、武钢网络性能管理以及武钢网络设备监控。
桌面管理系统的应用为各厂网络管理员的管理工作提供协助,在管理中心,对本单位终端设备的实时监管。规范了客户机的操作,使非正常程序和软件无法在客户 机上运行,并且使客户机无法违规外联访问Internet,同时远程协助功能也能帮助管理员进行客户机的远程维护操作。
另外,武钢还有一套反垃圾邮件系统,部署在邮件服务器前端,进行垃圾邮件及病毒邮件的过滤和转发。该项目实施后从根本上提高了武钢信息系统的安全性,解决了当时武钢网络中存在的显著问题,完成了风险评估后的安全规划内容,为武钢信息安全体系的完善和发展打下坚实基础。
2006年10月1日,全武钢实现生产管理网与互联网的物理隔离,进一步提高武钢内网的安全和信息保密。互联网从内网完全隔离后,主要解决了五方面的问 题:互联网业务从公司生产网上分离之后,提高了生产网安全性和运行效率,减少了病毒对系统的侵害;集团公司机关部处室和各个主休厂通过上网专用区形式加强 了互联网的网络管理;安装行为审计系统,对不安全因素及时告警,对有关行为可以追溯;提高了工作效率,提高了互联网的利用效率;移动用户通过动态令牌双因 子认证后,经过SSL VPIV加密通道访问OA, HR, CRM等应用,保证了数据的安全访问。
2007年,武钢增加了主干网站 点综合防护系统,通过网络流量监控系统,对网络流盘的进行智能分析,对关键网络节点或关键网络链路上网络流且的长期实时监控分析,并提供长期的流量分析报 告。统计分析结果能够为网络改造、升级以及应用系统的变更提供决策依据。为网络性能优化提供管理依据。
2009年8月10日,某厂反映访问大型机网速慢,通过网络流且监控系统立刻对该厂当日的所有流最进行抓包分析,网络流量回溯,并通过我们的技术分析,在短时间内马上找到了引起网络访问速度慢的原因,并迅速解决了问题。
五、信息安全管理体系建设
建立健全的信息安全管理休系对武钢的安全管理工作和武钢信息安全的发展意义重大。这一体系的建立将提高员工信息安全意识,提升公司信息安全管理的水平。 增强公司抵御灾难性事件的能力。通过信息安全管理体系的建设,可有效提高公司对信息安全风险的管控能力,通过与技术安全加固相结合,使得信息安全管理更加 科学有效。
武钢信息安全管理体系确定了公司的信息安全方针是:全员参与、管控并重、持续改进、确保安全。该方针的含义是:在遵守相关 法令、法规的前提下,坚持技术与管理并重、以安全保发展、在发展中求安全的信息安全管理基本原则,在采用国内外信息安全先进技术的同时,结合国际信息安全 管理标准和最佳实践,在全公司范围内建立先进的、可持续改进的信息安全管理体系。全员参与信息安全管理体系建设,通过信息安全宣传、教育与培训。不断提高 公司员工的个人信息安全素质和公司信息系统的安全防范、安全管理能力,保障与公司重要生产经营相关的信息系统安全稳定运行;通过不断地对公司信息安全管理 体系进行内部审核和管理评审,使公司信息安全管理体系得以持续改进。
经过对武钢信息系统多层次、整体、主动的安全防御体系构建及系统 优化,使公司的主千网络安全得到了最大的改餐,2004年10月以来,没有发生大范围的信息安全事件,保证了武钢产销系统的安全稳定运行。为武钢发展注入 了后发势力,对提高武钢整体管理水平,促进管理现代化,转换经营机制,建立现代企业制度.都将发挥巨大的作用。
几年来武钢信息安全体 系的建立,实现了公司信息与息系统的保密性、完整性、可用性;实现了全年重大信息安全事故为零;公司级信息安全系统功能运转率达到98%以上;公司级信息 系统作业率达到45%以上;混合型病毒和恶意代码、外部人员通过网络实施对信息系统的入侵攻击、内部人员通过网络直接入侵和不规范操作这当初武钢信息系统 中的三大威胁已成为历史;公司级信息系统管理、使用、维护人员信息安全培训覆盖率超过80%。这使得武钢的信息安全体系建设获得了业界一致好评。
----------------------------------------------------------------------------------------------------------------------
系统分析员论文样例
中石化金卡工程江苏省联合办公室 尤一浩
江苏省石油集团公司信息技术管理处 司文全
论建立企业内部网INTRANET的策略
近年来,英特网internet以其丰富的应用在社会的迅速得以普及,internet技术的先进性,引起的企业的广泛关注。于是利用internet技术的思想,在企业局域网(LAN)上加以应用,组建企业内部网Intranet(在互联网上,相对于英特网现在有人称为内特网)成为时尚。
作为一名单位内信息中心的技术骨干,我有幸独立完成了整体方案设计、组织参与了本单位的Intranet的建设并承担了部分软件的开发工作。该方案实施后,集成了原有的业务应用系统,建立了企业内部信息发布系统和FTP文件传输系统,并与下属单位实现了网络互连,实现了相互间信息共享,并利用VPN技术利用 INTERNET网能访问总公司的Intranet。 现将实施这一工程的一些方法和策略以及我们采用的一些措施介绍如下,希望能对组建中小企业Intranet网有所启发:
基本情况:1、应用单位情况:某外运集团在某口岸外贸运输企业,是一家经贸部属企业,是集团的分布各地的一个分支机构,承担进出口货物的运输代理,以进出口货物的单据流转为主配合物流为客户服务作为主业务。
2、计算机应用情况:现企业有一局城网,NT 4.0平台,运行的核心应用软件为集装箱运输代理业务系统,为VISUAL FOXPRO 5.0开发的网络多用户系统。还有其它一些人事、财务、统计软件、办公软件(OFFICE)在使用。有专门的计算机应用机构4人。
本单位Intranet网的实施主要是针对系统内信息流转不畅的需求而得以进行的。在实施方案的过程中我们主要进行了如下的策略选择:
1、网络建设方案:单位原有一局城网,25个信息息点。但随着信息化建设的高要求,已远远不能满足需要。单位有6层办公楼,要求人手一机,同时要求与三个基层单位(车队、外运仓库)和一个集装箱站相连。领导层、中层干部等都要求有相应数据和各种查询。对于本单位情况,首先在办公楼进行了综合布线工程,由于办公楼不大,集用了集中走线的方案,采用5类线,100M带宽,125个信息点。交换机采用12口3COM 3C5092A 10/100M自适应设备,共享HUB采用数个3COM 16口HUB。并选用CISCO 3600作为路由器,4个广域网口连接4 个远程基层单位和箱站,采用拨号方式.并将来打算用帧中继FR与北京总部相连(因为经费,暂时没有申请)。由于单位多为PC机,有庞大的WINDOWS用户群,故网络平台也采用WINDOWS NT4.0.采用Intranet的基础协议TCP/IP作为网络协议。
另外对于办公楼较大的可采用采用结构化布线,大对数电缆做主干,设主工作间、每层设水平工作间的方案进行。若有好几个楼群如校园网,可采用光纤做主干网(FDDI),再在每个楼实行P&S布线。
2、 软件平台的选择:当前流行的Intranet平台,有A、基于UNIX,B、基于LINUX(开放源代码的OS) C、基于微软平台WINDOWS NT。考虑到中小企业的特点、可供选择的第三方软件比较多、支持微软平台的软件厂商多以及方便用户简便易操作、GUI界面等因素,我们选择了 windows nt4.0作为网络操作系统,用自身配备的IIS4.0作为WEB平台,IE4.0作为客户Intranet网上浏览平台. 相比于SYBASE、ORCALE、INFORMIX、DB2等大型数据库由于SQL SERVER是与NT平台具与极佳的配合性能的小大型数据库,对中小型企业较为合适,自然就选择SQL SERVER6.0作为数据库平台. 另外,用LINUX平台技术当前也十分红火,从技术上讲也是完全可以胜任的,只是考虑到学习上的要一断时间,以及用户的接受能力故未采用。
3.由于我们自已的技术力量较强,并且面对外运行业的商品化软件较少.我们打算自已开发INTRANET上一些WEB应用软件.开发平台用VISUAL BASIC/FRONT PAGE/Html editor,由于还要开发一些交互式WEB应用程序,还要采集原应用系统的数据。需要掌握相应用交互式开发技术和与数据库相连的技术,如CGI(公共网关接口)、API(应用程序编程接口)、ASP(活动服务器页)、ODBC(开放数据库互连)、RDO/ADO(ACTIVEX DATA OBJECT活动数据对象)。在上述技术中,考虑到响应速度和效率,我建议采用ASP加ADO的技术进行开发。并且这是当前和将来的 INTERNET/Intranet网主流开发技术。
4、内网与外网的互通以及安全考虑:由于属中小企业,单位上英特网的并发用户数一般不会超过15人,我们采用了较为低廉的ISDN一线通方式,专用一台 PC用安装了代理服务器软件(PROXY),可实现按需拨号、HTTP代理、FTP代理、TELNET代理、SMTP/POP
邮件代理、用户管理等,可设快速缓冲。当然,用DDN方式,申请合法的IP地址再设代理的方式也可行,只是由于经费的原因,没有选择。由于内外网的互通,如果没有一定的安全机制,将使公司的内部数据、机器、应用系统受病毒或黑客的攻击或非授权访问等。
内外网间的安全技术有包过滤、防火墙、安全代理服务等,由于我们选择的代理服务器软件已有部分安全方面的机制并且内部数据的安全措施、管理制度、备份机制做的还可以。故没有在这方面投入更多的资金。在内部局域网上,我们选择了NET VRV(50用户)网络版防病毒软件,在服务器端和客户端都各自安装相应的版本,保证了内网的安全可靠性。当前,做网络安全的公司很多,如王江民的KV系列、瑞星公司等都可选择。
5、原有的应有系统与Intranet技术的集成:由于原应用系统是基于FOXPRO,数据库为文件型数据库,所选的WEB应用开发环境并不能直接操作 FOXPRO数据库。对此我们有另外编制了一个软件用于每天从应用系统中将管理者与领导层要的数据导入SQL SERVER中,再以SQL SERVR为后台,编制WEB交互查询系统。
6、与集团总部的相连:现在WIONDOWSNT4.0支持一种新技术即VPN(虚拟专用网),对于实时性要求不高又受经费困扰的应用来说,无疑是一种较为可行的方案,由于总部的条件较好,已建设好INTRANET网,并通过路由器以DDN与INTERNET直通.分公司在目前条件下,与总公司的连接是暂通过INERNET网,并在此链路基础上,运行PPTP协议(而非PPP协议),虚拟出一个数据通道,并在此基础上,通过用户身份验证即可实现总公司 Intranet与分公司LAN的连接.现在的应用有,分公司的LAN用户可直接浏览总公司的Intranet网的WEB站点.同时,全系统的业务统计软件也是改为通过WEB应用程序实现的。
Intranet网运行后,在公司的用户间获得好评,客户界面(IE)的单一化,简化用户培训学习的过程.同时,网络的建成,极大方便了系统内信息和单据的流转速度,文件、数据的上传、下载十分方便.原有的应用系统数据还可通过IE浏览查询.部分WEB应用程序的建立,使客户端的维护成本大大降低.同时 Intranet的成功运行,也使得我们的信息部门的地位有所提高。
但是,由于单位性质、规模的许多局限性,诸如费用、本身的技术水平、系统分析能力等,使一些应用走了简单、实用、低廉的策略。我们仅做了一台WEB服务器、一台SQLSERVER服务器和一台主域NT服务器,由于机器较少,没有作域名分配;对于与原文件型数据库的应用系统,没有采用效率更好的方法,做了简单化处理;与总公司总部的相连,速度稍难忍受、高峰堵塞严重,一般使用都各分公司划时间段使用;另外,在说服领导花钱投入加以重视方面还有待改进;也许,采用与软件公司、ISP等专业公司合作开发会更好地把本企业Intranet网做好。
鉴于上述原因,我认为我们公司的Intranet网将来还要作如下方面的改进:
1、通信线路的改进:随着各种数据通讯网的建立和改善以及费用的逐步下降,分公司与总公司、分公司与基单位将来都应该采用DDN/FR甚至光缆等专线接入。
2、软件应用模式从DOS单用户、文件型数据库多用户、C/S、向B/S结构、三层结构和多层次结方向方向发展,我们单位,将来的应用升级可直接使用B /S结构、三层结构,在开发技术中要广泛使用面向对象OOP、COM/DCOM构件组件、ADO数据库连接对象、ASP技术。并且开发方式也要采取与专业技术软件公司进行合作或委托开发的形式,否则,自已开发的软件的质量、可靠性等方面都难以达到软件工程的高要求;另外,更要在开发中重需求分析、重建模(可采用UML建模技术)、加强项目管理、团队协作。
3、在1-2年内,用专线接入INTERNET网,建立基于INTERNET网的客户查询系统,在内外网间设立防火墙。
-------------------------------------------------------------------------------------------------------------