第一章緒論
當今世界,數據通信與計算機網絡技術盼陜速膨脹和發展,使全球信息化已成為發展的大趨勢。計算機已經應用到社會生活的方方面面,計算機網絡已成為重要的通信手段。我國互聯網信息時代早在上個世紀七八十年代已逐步進入到各個不同的行業中,基礎網絡和應用在不同的行業中應用和推廣也顯得越來越廣泛和重要。隨著互聯網信息的技術改進和用戶需求的不斷提高,基礎網絡、基礎應用等信息技術在互聯網時代已經擔任著重要的角色。同時隨著信息技術的發展與應用,信息安全也在從最初的信息保密性發展到信息的完整性、可用性、可控性和不可否認性,進而又發展為“攻(攻擊)、防(防范)、測(檢測)、控(控制)、管(管理)、評(評估)”等多方面的基礎理論和實施技術。企業也紛紛在構筑一套合理、安全、適用的網絡架構來滿足企業的不斷發展。
因此在現代信息技術飛速發展的今天,國內外大型企業的生產經營管理方式也都隨著網絡技術的發展而朝著信息化、網絡化方向發展,一場以互聯網為標志的信息技術革命正在改變著人類的生產、生活,人類正步入信息經濟時代。在這個時代,一個企業現代信息技術水平的高低,將成為企業競爭力強弱的重要標志,企業只有迅速掌握好網絡技術、利用好網絡技術,控制好企業機密信息,按現代的管理方法管理企業的物流、資金流、信息流,實現企業管理信息化,才能全面提升企業資源配置水平,提高企業核心競爭力,從而提高企業經濟效益,使企業在市場競爭中立于不敗之地。
本論文以制造企業網絡架構及安全體系作為重點,結合自身實踐經驗和理論知識,研究分析了大型制造業網絡架構、安全及基礎應用架構的設計思想和解決方案,并自主地設計了企業網絡架構、IT基礎應用架構及安全體系架構。本論文也以此為重點展開研究和分析,通過對企業網絡、安全、應用的設計、搭建、實施及關鍵問題研究處理等實踐操作,為制造企業打造了一個集數據、音頻及多媒體服務一體的智能一體化網絡及應用平臺的整體設計方案,并整合有關制造企業的所有程序,在一個統一綜合的網絡平臺上進行生產開發、裝配、銷售及物流,也為企業秘密數據的信息安全提供了一個較高安全級別的網絡生產環境。
1.1計算機網絡及安全發展
人們為了使計算機之間能夠進行數據通信并保證聯接可靠,建立了分層通信體系和相應的網絡通信協議,于是誕生了以資源共享為主要目的計算機網絡。
由于網絡中計算機之間具有數據交換的能力,提供了在更大范圍內計算機之間協同工作、實現分布處理甚至并行處理的能力,聯網用戶之間直接通過計算機網絡進行信息交換的通信能力也大大增強。因此計算機網絡逐漸被應用到各大領域中來。計算機網絡系統是非常復雜的系統,計算機之間相互數據通信涉及到許多復雜的技術問題,為實現計算機網絡通信,計算機網絡采用的是分層解決網絡技術問題的方法。但是由于存在不同的分層網絡系統體系結構,它們的產品之間很難實現互聯。為此,國際標準化組織ISO在1984年正式頒布了“開放系統互連基本參考模型”OSI國際標準,使計算機網絡體系結構實現了標準化。進入九十年代,計算機技術、通信技術以及建立在計算機和網絡技術基礎上的計算機網絡技術得到了迅猛的發展,特別是1993年美國宣布建立國家信息基礎設施NII后,全世界許多國家紛紛制定和建立本國的NII,從而極大地推動了計算機網絡技術的發展,使計算機網絡進入了一個嶄新的階段。
計算機網絡近年來獲得了飛速地發展,尤其是互聯網。20年前,在我國很少有人接觸過網絡。現在,計算機通信網絡以及Intemct已成為我們社會結構的一個基本組成部分。網絡被應用于工商業的各個方面,包括電子銀行、電子商務、現代化的企業管理、信息服務業等都以計算機網絡系統為基礎。從學校遠程教育到政府日常辦公乃至現在的電子社區,很多方面都離不開網絡技術。可以不夸張地說,網絡在當今世界無處不在。1997年,在美國拉斯維加斯的全球計算機技術博覽會上,微軟公司總裁比爾蓋茨先生發表了著名的演說。在演說中,“網絡才是計算機”的精辟論點充分體現出信息社會中計算機網絡的重要基礎地位。計算機網絡技術的發展越來越成為當今世界高新技術發展的核心之一。
經過多年的發展,大中型企業通常已經建立了內部網絡,并且在不同區域設立分支機構,同時通過供應鏈管理系統連接合作伙伴,企業的網絡結構也伴隨企業的發展壯大而變得越來越復雜。相應地企業網絡安全防范體系18J也需要根據企業網絡結構的變化而不斷進行調整和完善。但層出不窮的網絡威脅給企業造成了嚴重經濟損失。僅去年,間諜軟件等與計算機相關威脅使得美國企業損失多達620億美元,網絡罪犯獲得的收益甚至高于暴利的“非法藥品交易"。相應地,特洛伊木馬、病毒蠕蟲等惡意代碼所發起的攻擊比以往更具針對性和破壞性,并且表現出許多新特點,攻擊正變得越來越復雜和隱蔽,安全工程師們為了洞悉網絡攻擊的新動向,也在不斷地思考和探索如何建立更加完善的網絡安全架構。
1.2課題研究的背景及意義
目前網絡和應用系統已經被廣泛地應用于國防軍事、國家安全、環境監測、交通管理、醫療衛生、制造業、反恐抗災等諸多領域。越來越多的企業也在不斷地完善自己企業網絡和應用的高性能和高可用性,網絡和應用的擴展使的企業的發展再也不因距離而受到限制。同時為了保證信息安全,也在不斷地提高企業網絡和應用的高可靠性和高安全性,通過不斷地對網絡和應用進行各種安全防護,使其能夠更有效地防止企業的內部機密數據外泄。因此企業網絡架構的合理設計和企業信息安全的合理部署不僅能夠解決企業在網絡和應用擴展的瓶頸,也能給企業私密數據的信息安全提供一個安全環境。縱觀網絡的發展都是隨著不同時期不同需求在不斷地更新和變化。如果說我國上世紀八十年代以前的網絡普及是為了聯通計算機組成局域網或廣域網,那么九十年代網絡的普及則是解決知識共享已形成成熟的互聯網時代,而二十一世紀的網絡普及則是因各種不同用戶千變萬化的應用需求而向更快速、更穩定、更安全并趨于應用發展變化的網絡。尤其是制造企業的復雜變換的需求,如編程邏輯控制器、人機接口、多I/O平臺、電子管歧管、天平、條碼掃描設備、運動控制器、驅動控制器、解算裝置/接口、電力智能監控單元、識別站點、EtherNet/IP串行接口、IP67 EtherNet/IP連接器、Ethernet診斷工具、過程總線FF鏈接設備、交換機等相關配套設備。
本論文將以制造企業網絡架構的設計及安全部署為重點展開研究,設計集數據業務、語音及多媒體服務于一體的大型企業信息化應用系統網絡平臺
通過對企業網絡、安全、應用的設計、搭建、實施、關鍵問題研究處理等實踐操作,并針對關鍵問題提出新的技術方案和通用技術標準設計方法,為企業智能一體化網絡系統的設計提供可靠的理論和實踐基礎。
1.3國內外企業網絡及安全部署現狀
企業網絡從最初單一的數據交換網絡到多業務服務支撐的綜合智能一體化網絡。經歷了十多年的發展歷程,中國企業目前已經意識到IT基礎環境作為一個整體應扮演為企業業務服務的重要角色,并對企業的管理、生產、物流、銷售都有著強大的業務支持。企業的IT管理者也逐步認識到綜合IT架構的設計是融合了網絡、主機系統、應用服務、業務、性能、資源等各種IT因素的綜合統一的業務支撐的運營平臺,要求上述各項數據共享集中,并對平臺的安全、穩定、擴展性進行最優化設計。管理層對網絡架構的設計思想最終還是映射為依賴這些資源的業務及職能的可用性和健康性,使IT架構真正成為保障業務服務水平的、可管理、可控制的業務平臺。我國的企業也在現有的網絡平臺的基礎上根據自身業務發展的需要不斷地改造和新建以適應企業快速持續發展的業務支撐網絡體系。目前國內的大多生產制造企業對IT基礎網絡架構的要求也越來越高,這說明我國的制造企業網絡架構針對性的設計是企業快速發展的重要手段和方法。
1.3.1國內外企業網絡部署現狀
國內外企業內部層面涉及技術系統、制造系統、管理系統、基礎技術等企業應用系統架構的逐步建成,有力地提高了企業的決策、經營和管理水平.提高了企業的核心競爭力。數據顯示美國早在1993年就有2.4萬家企業使用數據交換(EDI電子商務的前身),其中最大的100家企業使用EDI的比例已達97%;美國所有的大公司都實現了辦公自動化,眾多跨國公司通過企業網絡和應用架構實現了虛擬辦公室。我國目前也有數百家跨國企業實現了無地域無時間限制辦公的網絡環境,為其走向國際化的企業提供了很多成功的網絡實施案例,也為其建立跨國網絡奠定一定的理論基礎。同時也為研究新型網絡架構和網絡協議提供了可靠的實踐基礎。為下一代隨業務服務發展而發展的企業網絡創造了一定的理論實現的環境。國內外企業都在不斷地利用信息化手段改變傳統經營模式方面,也在發達國家的企業更是取得了突破性的進展,對于企業的發展起到了至關重要的作用。例如在美國福特汽車公司通過網上采購,使汽車零部件的采購成本下降了30%;通用電氣公司借助供應鏈管理手段,2000年節省成本16億美元;美國的飛利浦·莫利斯公司應用客戶關系管理系統,建立了擁有2.6億煙民的個人檔案;卡夫通用食品公司建立了3000萬顧客的個人檔案;布洛克巴斯特公司建立了3600萬個家庭的娛樂消費檔案。隨后開展了以互聯網應用為主要內容的企業信息化時代,20世紀90年代后期ERP(企業資源計劃)的網絡功能增強,在世界500強企業中有近80%的企業采用了ERP管理軟件。在我國目前又有近5000萬家企業在通過建立企業網絡和應用體系來謀求更快速的發展和節省費用。通過對跨區域、跨行業的各種高度專業化信息服務平臺的應用,將使企業獲得技術革新優勢,改變傳統經營管理模式,縮短市場反應時間,降低成本,提高產品質量和服務品質,增強企業的競爭力。隨著中國加入WI'O和世界經濟一體化進程的加快,企業生存與發展不再是孤立的,大多數中小企業必須實現信息化才能融入和緊密聯系在這個經濟生態鏈中。
目前發達國家的許多企業已全力進入計算機網絡中來加快信息化建設進程,從而獲得新的發展機遇。信息化對于國外現代企業來說已經上升到一級戰略的高度,最為明顯的就是一個全新管理職位首席信息官(CIO)的誕生,據安達信公司上世紀80年代中期對全美服務業和500家大企業的調查顯示,當時美國就已經有40%的公司設立了CIO的職位,到1988年底世界排名前500家的大企業中有30%以上實行了CIO體制。到2000年底,美國大企業基本上都已經設立了CIO,在信息化支出方面,國外企業還投入重金用于相關信息化的建設和發展。據有關數據,中國企業在信息化方面的投資僅占總資產比例的0.3%,而在發達國家這一比例達到了10%.由于新技術發展迅猛,隱私、數據保護以及相關的法律都使得普通公司在應對ICT(信息通信技術)問題時面臨較大困難。國外的跨國企業如今更加注重增加信息化方面的投入,他們比以往更傾向于把網絡管理需求外包給第三方,另外,國外的跨國企業通過信息化手段將自身的經營網絡延伸到盡量廣的地方,并愿意在網絡防火墻技術、入侵檢測、數據安全、VPN安全等安全技術方面投入巨資來保護和完善其計算機網絡的安全。例如在IP語音技術上,據不完全數據顯示,美國目前有1l%的企業已經全部采用了IP語音技術,55%的企業在部分分支機構采用了IP語音技術,17%的企業表示正在開展小范圍的試驗;歐洲95%的跨國企業都已經采用或計劃采用融合的語音和數據網絡;亞洲60%的跨國企業正在部署必要的措施采用融合的語音和數據網絡;拉美(巴西)66%的企業已經在他們全部或部分的網絡中采用融合的語音和數據網絡。此外,近年國內外大型跨國企業在ICT服務方面呈現出明顯的增加支出趨勢。對于IP/MPLSt網絡等新型網絡,國外跨國企業正在加緊增加投入,以便通過新戰略贏得更多客戶。
1.3.2國內外信息安全研究現狀
隨著企業網絡和應用的不斷發展,企業網絡安全及安全管理技術也隨即成為信息安全中的重要技術和研究內容,也是當前信息安全領域中的研究熱點。信息安全是一個綜合、交叉學科領域,它要綜合利用數學、物理、通信和計算機諸多學科的長期知識積累和最新發展成果,進行自主創新研究,加強頂層設計,提出系統的、完整的,協同的解決方案。與其他學科相比,信息安全的研究更強調自主性和創新性,自主性可以避免陷門,體現國家主權;而創新性可以抵抗各種攻擊,適應技術發展的需求。信息安全的研究內容包括:網絡安全技術及整體解決方案的設計與分析,網絡安全產品的研發等。網絡安全包括物理安全和邏輯安全,物理安全指網絡系統中各通信、計算機設備及相關設施的物理保護,免于破壞、丟失等。邏輯安全包含信息完整性、保密性、非否認性和可用性。它是一個涉及網絡、操作系統、數據庫、應用系統、人員管理等方方面面的事情,必須綜合考慮。網絡安全的解決是一個綜合性問題,涉及到諸多因素,包括技術、產品和管理等。目前國際上已有眾多的網絡安全解決方案和產品,但由于出口政策和自主性等問題,不能直接用于解決我國自己的網絡安全,因此我國的網絡安全只能借鑒這些先進技術和產品,自行解決。可幸的是,目前國內已有一些網絡安全解決方案和產品,不過,這些解決方案和產品與國外同類產品相比尚有一定的差距。目前信息安全研究主要是安全協議和安全體系結構設計的研究,安全協議研究主要包括安全性分析方法研究和實用安全協議的設計與分析研究。安全性分析方法主要攻擊檢驗和形式化分析方法,其中形式化分析方法是安全協議研究中最關鍵的研究問題之一。目前研究人員已經提出了電子商務協議、IPSec協議、TLS協議、簡單網絡管理協議(SNMP)、PGP協議、PEM協議、S-HTTP協議、S,MIME協議等大量的實用安全協議。安全體系結構理論與技術主要包括:安全體系模型的建立及其形式化描述與分析,安全策略和機制的研究,檢驗和評估系統安全性的科學方法和準則的建立,符合這些模型、策略和準則的系統的研制(比如安全操作系統,安全數據庫系統等)。80年代中期,美國國防部在計算機保密模型(Bell&La padula模型)的基礎上,制訂了可信計算機系統安全評價準則”(TCSEC),其后又對網絡系統、數據庫等方面作出了系列安全解釋,形成了安全信息系統體系結構的最早原則。至今美國已研制出達到TCSEC要求的安全系統(包括安全操作系統、安全數據庫、安全網絡部件)多達100多種,但這些系統仍有局限性,還沒有真正達到形式化描述和證明的最高級安全系統。90年代初,英、法、德、荷四國針對TCSEC準則只考慮保密性的局限,聯合提出了包括保密性、完整性、可用性概念的”信息技術安全評價準則”(ITSEC),但是該準則中并沒有給出綜合解決以上問題的理論模型和方案。近年來六國七方(美國國家安全局和國家技術標準研究所、加、英、法、德、荷)共同提出信息技術安全評價通用準則(CC for ITSEC)。CC綜合了國際上已有的評測準則和技術標準的精華,給出了框架和原則要求,但它仍然缺少綜合解決信息的多種安全屬性的理論模型依據。CC標準于1999年7月通過國際標準化組織認可,確立為國際標準,編號為ISO/IEC 15408。ISO/IEC 15408標準對安全的內容和級別給予了更完整的規范,為用戶對安全需求的選取提供了充分的靈活性。然而,國外研制的高安全級別的產品對我國是封鎖禁售的,即使出售給我們,其安全性也難以令人放心,我們只能自主研究和開發。
我國在系統安全的研究與應用方面與先進國家和地區存在很大差距。近幾年來,在我國進行了安全操作系統、安全數據庫、多級安全機制的研究,但由于自主安全內核受控于人,難以保證沒有漏洞。而且大部分有關的工作都以美國1985年的TCSEC標準為主要參照系。開發的防火墻、安全路由器、安全網關、黑客入侵檢測系統等產品和技術,主要集中在系統應用環境的較高層次上,在完善性、規范性、實用性上還存在許多不足,特別是在多平臺的兼容性、多協議的適應性、多接口的滿足性方面存在很大距離,其理論基礎和自主的技術手段也有待于發展和強化。然而,我國的系統安全的研究與應用畢竟已經起步,具備了一定的基礎和條件。1999年10月發布了”計算機信息系統安全保護等級劃分準則”,該準則為安全產品的研制提供了技術支持,也為安全系統的建設和管理提供了技術指導。
因此企業網絡架構設計及信息安全的發展有巨大的發展空間和前景,本論文也將通過實踐和理論知識相結合,根據企業實際業務需求完全自主地設計和實現一整套合理的集網絡、安全、應用的總體網絡架構體系。
1.4本論文的組織結構
論文共分為六章,組織結構如下:
第一章緒論。簡要說明了計算機網絡及安全雛形、本論文研究內容、目的、意義及背景,企業網絡架構及安全的發展方向及動態,并介紹了全文的主要工作和重點研究方向。
第二章制造集團企業網絡架構設計思想及實現。這是本論文重點,本章以制造企業為例詳細分析了企業網絡架構的需求情況,并根據需求分析結果說明了企業網絡架構的設計思想、實現過程,重點闡述說明網絡架構可靠性需求分析、IP地址、命名規范的規劃的規范設計及實施過程中的故障分析及解決方案、安全訪問控制、語音視頻QoS保障。
第三章制造集團IT企業基礎應用系統架構設計思想及實現。本章介紹了企業IT基礎運營系統架構的設計和實現,以企業域架構、郵件系統、生產系統、存儲架構、業務服務管理架構為例介紹了系統架構的設計思想、實現及部署過程中故障分析和處理,重點說明了企業域架構和業務服務管理架構的設計和部署。
第四章制造集團企業信息安全架構設計與實現。本章是在前兩章基礎上進行信息安全的加固、提升和改造。以網絡安全和系統安全為主詳細介紹了企業信息安全加固的方案、設計思想及配置過程,重點說明了企業安全區域、用戶接入控制體系及數據安全保障體系的設計和控制方法。
第五章實驗效果及分析。本章是對前三章實施情況的成果的總結,分析總結了網絡、應用、安全體系架構的密切關系,并對實施完成后現網運行狀態中的總體架構做性能分析。第六章總結與展望。本章是對本論文所做工作的總結,并提出制造企業網絡架構、應用及安全部署在未來的發展、構想和展望。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文網址:http://www.guhuozai8.cn/html/consultation/1083942228.html
相關文章
