第一章绪论
当今世界,数据通信与计算机网络技术盼陕速膨胀和发展,使全球信息化已成为发展的大趋势。计算机已经应用到社会生活的方方面面,计算机网络已成为重要的通信手段。我国互联网信息时代早在上个世纪七八十年代已逐步进入到各个不同的行业中,基础网络和应用在不同的行业中应用和推广也显得越来越广泛和重要。随着互联网信息的技术改进和用户需求的不断提高,基础网络、基础应用等信息技术在互联网时代已经担任着重要的角色。同时随着信息技术的发展与应用,信息安全也在从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性,进而又发展为“攻(攻击)、防(防范)、测(检测)、控(控制)、管(管理)、评(评估)”等多方面的基础理论和实施技术。企业也纷纷在构筑一套合理、安全、适用的网络架构来满足企业的不断发展。
因此在现代信息技术飞速发展的今天,国内外大型企业的生产经营管理方式也都随着网络技术的发展而朝着信息化、网络化方向发展,一场以互联网为标志的信息技术革命正在改变着人类的生产、生活,人类正步入信息经济时代。在这个时代,一个企业现代信息技术水平的高低,将成为企业竞争力强弱的重要标志,企业只有迅速掌握好网络技术、利用好网络技术,控制好企业机密信息,按现代的管理方法管理企业的物流、资金流、信息流,实现企业管理信息化,才能全面提升企业资源配置水平,提高企业核心竞争力,从而提高企业经济效益,使企业在市场竞争中立于不败之地。
本论文以制造企业网络架构及安全体系作为重点,结合自身实践经验和理论知识,研究分析了大型制造业网络架构、安全及基础应用架构的设计思想和解决方案,并自主地设计了企业网络架构、IT基础应用架构及安全体系架构。本论文也以此为重点展开研究和分析,通过对企业网络、安全、应用的设计、搭建、实施及关键问题研究处理等实践操作,为制造企业打造了一个集数据、音频及多媒体服务一体的智能一体化网络及应用平台的整体设计方案,并整合有关制造企业的所有程序,在一个统一综合的网络平台上进行生产开发、装配、销售及物流,也为企业秘密数据的信息安全提供了一个较高安全级别的网络生产环境。
1.1计算机网络及安全发展
人们为了使计算机之间能够进行数据通信并保证联接可靠,建立了分层通信体系和相应的网络通信协议,于是诞生了以资源共享为主要目的计算机网络。
由于网络中计算机之间具有数据交换的能力,提供了在更大范围内计算机之间协同工作、实现分布处理甚至并行处理的能力,联网用户之间直接通过计算机网络进行信息交换的通信能力也大大增强。因此计算机网络逐渐被应用到各大领域中来。计算机网络系统是非常复杂的系统,计算机之间相互数据通信涉及到许多复杂的技术问题,为实现计算机网络通信,计算机网络采用的是分层解决网络技术问题的方法。但是由于存在不同的分层网络系统体系结构,它们的产品之间很难实现互联。为此,国际标准化组织ISO在1984年正式颁布了“开放系统互连基本参考模型”OSI国际标准,使计算机网络体系结构实现了标准化。进入九十年代,计算机技术、通信技术以及建立在计算机和网络技术基础上的计算机网络技术得到了迅猛的发展,特别是1993年美国宣布建立国家信息基础设施NII后,全世界许多国家纷纷制定和建立本国的NII,从而极大地推动了计算机网络技术的发展,使计算机网络进入了一个崭新的阶段。
计算机网络近年来获得了飞速地发展,尤其是互联网。20年前,在我国很少有人接触过网络。现在,计算机通信网络以及Intemct已成为我们社会结构的一个基本组成部分。网络被应用于工商业的各个方面,包括电子银行、电子商务、现代化的企业管理、信息服务业等都以计算机网络系统为基础。从学校远程教育到政府日常办公乃至现在的电子社区,很多方面都离不开网络技术。可以不夸张地说,网络在当今世界无处不在。1997年,在美国拉斯维加斯的全球计算机技术博览会上,微软公司总裁比尔盖茨先生发表了著名的演说。在演说中,“网络才是计算机”的精辟论点充分体现出信息社会中计算机网络的重要基础地位。计算机网络技术的发展越来越成为当今世界高新技术发展的核心之一。
经过多年的发展,大中型企业通常已经建立了内部网络,并且在不同区域设立分支机构,同时通过供应链管理系统连接合作伙伴,企业的网络结构也伴随企业的发展壮大而变得越来越复杂。相应地企业网络安全防范体系18J也需要根据企业网络结构的变化而不断进行调整和完善。但层出不穷的网络威胁给企业造成了严重经济损失。仅去年,间谍软件等与计算机相关威胁使得美国企业损失多达620亿美元,网络罪犯获得的收益甚至高于暴利的“非法药品交易"。相应地,特洛伊木马、病毒蠕虫等恶意代码所发起的攻击比以往更具针对性和破坏性,并且表现出许多新特点,攻击正变得越来越复杂和隐蔽,安全工程师们为了洞悉网络攻击的新动向,也在不断地思考和探索如何建立更加完善的网络安全架构。
1.2课题研究的背景及意义
目前网络和应用系统已经被广泛地应用于国防军事、国家安全、环境监测、交通管理、医疗卫生、制造业、反恐抗灾等诸多领域。越来越多的企业也在不断地完善自己企业网络和应用的高性能和高可用性,网络和应用的扩展使的企业的发展再也不因距离而受到限制。同时为了保证信息安全,也在不断地提高企业网络和应用的高可靠性和高安全性,通过不断地对网络和应用进行各种安全防护,使其能够更有效地防止企业的内部机密数据外泄。因此企业网络架构的合理设计和企业信息安全的合理部署不仅能够解决企业在网络和应用扩展的瓶颈,也能给企业私密数据的信息安全提供一个安全环境。纵观网络的发展都是随着不同时期不同需求在不断地更新和变化。如果说我国上世纪八十年代以前的网络普及是为了联通计算机组成局域网或广域网,那么九十年代网络的普及则是解决知识共享已形成成熟的互联网时代,而二十一世纪的网络普及则是因各种不同用户千变万化的应用需求而向更快速、更稳定、更安全并趋于应用发展变化的网络。尤其是制造企业的复杂变换的需求,如编程逻辑控制器、人机接口、多I/O平台、电子管歧管、天平、条码扫描设备、运动控制器、驱动控制器、解算装置/接口、电力智能监控单元、识别站点、EtherNet/IP串行接口、IP67 EtherNet/IP连接器、Ethernet诊断工具、过程总线FF链接设备、交换机等相关配套设备。
本论文将以制造企业网络架构的设计及安全部署为重点展开研究,设计集数据业务、语音及多媒体服务于一体的大型企业信息化应用系统网络平台
通过对企业网络、安全、应用的设计、搭建、实施、关键问题研究处理等实践操作,并针对关键问题提出新的技术方案和通用技术标准设计方法,为企业智能一体化网络系统的设计提供可靠的理论和实践基础。
1.3国内外企业网络及安全部署现状
企业网络从最初单一的数据交换网络到多业务服务支撑的综合智能一体化网络。经历了十多年的发展历程,中国企业目前已经意识到IT基础环境作为一个整体应扮演为企业业务服务的重要角色,并对企业的管理、生产、物流、销售都有着强大的业务支持。企业的IT管理者也逐步认识到综合IT架构的设计是融合了网络、主机系统、应用服务、业务、性能、资源等各种IT因素的综合统一的业务支撑的运营平台,要求上述各项数据共享集中,并对平台的安全、稳定、扩展性进行最优化设计。管理层对网络架构的设计思想最终还是映射为依赖这些资源的业务及职能的可用性和健康性,使IT架构真正成为保障业务服务水平的、可管理、可控制的业务平台。我国的企业也在现有的网络平台的基础上根据自身业务发展的需要不断地改造和新建以适应企业快速持续发展的业务支撑网络体系。目前国内的大多生产制造企业对IT基础网络架构的要求也越来越高,这说明我国的制造企业网络架构针对性的设计是企业快速发展的重要手段和方法。
1.3.1国内外企业网络部署现状
国内外企业内部层面涉及技术系统、制造系统、管理系统、基础技术等企业应用系统架构的逐步建成,有力地提高了企业的决策、经营和管理水平.提高了企业的核心竞争力。数据显示美国早在1993年就有2.4万家企业使用数据交换(EDI电子商务的前身),其中最大的100家企业使用EDI的比例已达97%;美国所有的大公司都实现了办公自动化,众多跨国公司通过企业网络和应用架构实现了虚拟办公室。我国目前也有数百家跨国企业实现了无地域无时间限制办公的网络环境,为其走向国际化的企业提供了很多成功的网络实施案例,也为其建立跨国网络奠定一定的理论基础。同时也为研究新型网络架构和网络协议提供了可靠的实践基础。为下一代随业务服务发展而发展的企业网络创造了一定的理论实现的环境。国内外企业都在不断地利用信息化手段改变传统经营模式方面,也在发达国家的企业更是取得了突破性的进展,对于企业的发展起到了至关重要的作用。例如在美国福特汽车公司通过网上采购,使汽车零部件的采购成本下降了30%;通用电气公司借助供应链管理手段,2000年节省成本16亿美元;美国的飞利浦·莫利斯公司应用客户关系管理系统,建立了拥有2.6亿烟民的个人档案;卡夫通用食品公司建立了3000万顾客的个人档案;布洛克巴斯特公司建立了3600万个家庭的娱乐消费档案。随后开展了以互联网应用为主要内容的企业信息化时代,20世纪90年代后期ERP(企业资源计划)的网络功能增强,在世界500强企业中有近80%的企业采用了ERP管理软件。在我国目前又有近5000万家企业在通过建立企业网络和应用体系来谋求更快速的发展和节省费用。通过对跨区域、跨行业的各种高度专业化信息服务平台的应用,将使企业获得技术革新优势,改变传统经营管理模式,缩短市场反应时间,降低成本,提高产品质量和服务品质,增强企业的竞争力。随着中国加入WI'O和世界经济一体化进程的加快,企业生存与发展不再是孤立的,大多数中小企业必须实现信息化才能融入和紧密联系在这个经济生态链中。
目前发达国家的许多企业已全力进入计算机网络中来加快信息化建设进程,从而获得新的发展机遇。信息化对于国外现代企业来说已经上升到一级战略的高度,最为明显的就是一个全新管理职位首席信息官(CIO)的诞生,据安达信公司上世纪80年代中期对全美服务业和500家大企业的调查显示,当时美国就已经有40%的公司设立了CIO的职位,到1988年底世界排名前500家的大企业中有30%以上实行了CIO体制。到2000年底,美国大企业基本上都已经设立了CIO,在信息化支出方面,国外企业还投入重金用于相关信息化的建设和发展。据有关数据,中国企业在信息化方面的投资仅占总资产比例的0.3%,而在发达国家这一比例达到了10%.由于新技术发展迅猛,隐私、数据保护以及相关的法律都使得普通公司在应对ICT(信息通信技术)问题时面临较大困难。国外的跨国企业如今更加注重增加信息化方面的投入,他们比以往更倾向于把网络管理需求外包给第三方,另外,国外的跨国企业通过信息化手段将自身的经营网络延伸到尽量广的地方,并愿意在网络防火墙技术、入侵检测、数据安全、VPN安全等安全技术方面投入巨资来保护和完善其计算机网络的安全。例如在IP语音技术上,据不完全数据显示,美国目前有1l%的企业已经全部采用了IP语音技术,55%的企业在部分分支机构采用了IP语音技术,17%的企业表示正在开展小范围的试验;欧洲95%的跨国企业都已经采用或计划采用融合的语音和数据网络;亚洲60%的跨国企业正在部署必要的措施采用融合的语音和数据网络;拉美(巴西)66%的企业已经在他们全部或部分的网络中采用融合的语音和数据网络。此外,近年国内外大型跨国企业在ICT服务方面呈现出明显的增加支出趋势。对于IP/MPLSt网络等新型网络,国外跨国企业正在加紧增加投入,以便通过新战略赢得更多客户。
1.3.2国内外信息安全研究现状
随着企业网络和应用的不断发展,企业网络安全及安全管理技术也随即成为信息安全中的重要技术和研究内容,也是当前信息安全领域中的研究热点。信息安全是一个综合、交叉学科领域,它要综合利用数学、物理、通信和计算机诸多学科的长期知识积累和最新发展成果,进行自主创新研究,加强顶层设计,提出系统的、完整的,协同的解决方案。与其他学科相比,信息安全的研究更强调自主性和创新性,自主性可以避免陷门,体现国家主权;而创新性可以抵抗各种攻击,适应技术发展的需求。信息安全的研究内容包括:网络安全技术及整体解决方案的设计与分析,网络安全产品的研发等。网络安全包括物理安全和逻辑安全,物理安全指网络系统中各通信、计算机设备及相关设施的物理保护,免于破坏、丢失等。逻辑安全包含信息完整性、保密性、非否认性和可用性。它是一个涉及网络、操作系统、数据库、应用系统、人员管理等方方面面的事情,必须综合考虑。网络安全的解决是一个综合性问题,涉及到诸多因素,包括技术、产品和管理等。目前国际上已有众多的网络安全解决方案和产品,但由于出口政策和自主性等问题,不能直接用于解决我国自己的网络安全,因此我国的网络安全只能借鉴这些先进技术和产品,自行解决。可幸的是,目前国内已有一些网络安全解决方案和产品,不过,这些解决方案和产品与国外同类产品相比尚有一定的差距。目前信息安全研究主要是安全协议和安全体系结构设计的研究,安全协议研究主要包括安全性分析方法研究和实用安全协议的设计与分析研究。安全性分析方法主要攻击检验和形式化分析方法,其中形式化分析方法是安全协议研究中最关键的研究问题之一。目前研究人员已经提出了电子商务协议、IPSec协议、TLS协议、简单网络管理协议(SNMP)、PGP协议、PEM协议、S-HTTP协议、S,MIME协议等大量的实用安全协议。安全体系结构理论与技术主要包括:安全体系模型的建立及其形式化描述与分析,安全策略和机制的研究,检验和评估系统安全性的科学方法和准则的建立,符合这些模型、策略和准则的系统的研制(比如安全操作系统,安全数据库系统等)。80年代中期,美国国防部在计算机保密模型(Bell&La padula模型)的基础上,制订了可信计算机系统安全评价准则”(TCSEC),其后又对网络系统、数据库等方面作出了系列安全解释,形成了安全信息系统体系结构的最早原则。至今美国已研制出达到TCSEC要求的安全系统(包括安全操作系统、安全数据库、安全网络部件)多达100多种,但这些系统仍有局限性,还没有真正达到形式化描述和证明的最高级安全系统。90年代初,英、法、德、荷四国针对TCSEC准则只考虑保密性的局限,联合提出了包括保密性、完整性、可用性概念的”信息技术安全评价准则”(ITSEC),但是该准则中并没有给出综合解决以上问题的理论模型和方案。近年来六国七方(美国国家安全局和国家技术标准研究所、加、英、法、德、荷)共同提出信息技术安全评价通用准则(CC for ITSEC)。CC综合了国际上已有的评测准则和技术标准的精华,给出了框架和原则要求,但它仍然缺少综合解决信息的多种安全属性的理论模型依据。CC标准于1999年7月通过国际标准化组织认可,确立为国际标准,编号为ISO/IEC 15408。ISO/IEC 15408标准对安全的内容和级别给予了更完整的规范,为用户对安全需求的选取提供了充分的灵活性。然而,国外研制的高安全级别的产品对我国是封锁禁售的,即使出售给我们,其安全性也难以令人放心,我们只能自主研究和开发。
我国在系统安全的研究与应用方面与先进国家和地区存在很大差距。近几年来,在我国进行了安全操作系统、安全数据库、多级安全机制的研究,但由于自主安全内核受控于人,难以保证没有漏洞。而且大部分有关的工作都以美国1985年的TCSEC标准为主要参照系。开发的防火墙、安全路由器、安全网关、黑客入侵检测系统等产品和技术,主要集中在系统应用环境的较高层次上,在完善性、规范性、实用性上还存在许多不足,特别是在多平台的兼容性、多协议的适应性、多接口的满足性方面存在很大距离,其理论基础和自主的技术手段也有待于发展和强化。然而,我国的系统安全的研究与应用毕竟已经起步,具备了一定的基础和条件。1999年10月发布了”计算机信息系统安全保护等级划分准则”,该准则为安全产品的研制提供了技术支持,也为安全系统的建设和管理提供了技术指导。
因此企业网络架构设计及信息安全的发展有巨大的发展空间和前景,本论文也将通过实践和理论知识相结合,根据企业实际业务需求完全自主地设计和实现一整套合理的集网络、安全、应用的总体网络架构体系。
1.4本论文的组织结构
论文共分为六章,组织结构如下:
第一章绪论。简要说明了计算机网络及安全雏形、本论文研究内容、目的、意义及背景,企业网络架构及安全的发展方向及动态,并介绍了全文的主要工作和重点研究方向。
第二章制造集团企业网络架构设计思想及实现。这是本论文重点,本章以制造企业为例详细分析了企业网络架构的需求情况,并根据需求分析结果说明了企业网络架构的设计思想、实现过程,重点阐述说明网络架构可靠性需求分析、IP地址、命名规范的规划的规范设计及实施过程中的故障分析及解决方案、安全访问控制、语音视频QoS保障。
第三章制造集团IT企业基础应用系统架构设计思想及实现。本章介绍了企业IT基础运营系统架构的设计和实现,以企业域架构、邮件系统、生产系统、存储架构、业务服务管理架构为例介绍了系统架构的设计思想、实现及部署过程中故障分析和处理,重点说明了企业域架构和业务服务管理架构的设计和部署。
第四章制造集团企业信息安全架构设计与实现。本章是在前两章基础上进行信息安全的加固、提升和改造。以网络安全和系统安全为主详细介绍了企业信息安全加固的方案、设计思想及配置过程,重点说明了企业安全区域、用户接入控制体系及数据安全保障体系的设计和控制方法。
第五章实验效果及分析。本章是对前三章实施情况的成果的总结,分析总结了网络、应用、安全体系架构的密切关系,并对实施完成后现网运行状态中的总体架构做性能分析。第六章总结与展望。本章是对本论文所做工作的总结,并提出制造企业网络架构、应用及安全部署在未来的发展、构想和展望。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文网址:http://www.toberp.com/html/consultation/1083942228.html
相关文章
