发布时间:2023-03-14 15:10:39
序言:写作是分享个人见解和探索未知领域的桥梁,我们为您精选了8篇的企业网络设计方案样本,期待这些样本能够为您提供丰富的参考和启发,请尽情阅读。
关键词:网络安全 异构防火墙 部署 安全规则
1、前言
防火墙能有效地控制内部网络与外部网络之间的访问及数据传输,从而达到保护内部网络的信息不受外部非授权用户的访问和过滤不良信息的目的,它对两个或多个网络之间传输的数据包和连接方式按照一定的安全策略对其进行检查,来决定网络之间的通信是否被允许。我们设计的防火墙主要是让它来防御外部网络对某企业内部网络的攻击,同时也防止内部网络不法人员把该企业数据泄漏出去。传统的防火墙处于网络体系的网络层,用它来负责网络间的安全认证与传输,但当今防火墙技术在不断的发展,已经从网络层扩展到了其它安全层,它的任务不再是过滤任务,还可以为网络应用提供相应的安全服务,并且防火墙产品也发展成为具有数据安全与用户认证和防止病毒与黑客入侵的能力。
2、采用的防火墙技术
首先我们来探讨下该企业网络安全系统中设计防火墙时所采用的防火墙技术。在设计防火墙体系结构时,应从现有的防火墙技术出发,通常采用的防火墙
技术有:
⑴包过滤技术
包过滤(PaCketFilter)技术是在网络层中对数据包实施有选择的通过。依据系统内事先设定的过滤逻辑,检查数据流中每个数据包后,根据数据包的源地址、目的地址、TCP/UDP源端口号、TCP/UDP目的端口号及数据包头中的各种标志位等因素来确定是否允许数据包通过,其核心是安全策略即过滤算法的设计。例如,用于特定的因特网服务的服务器驻留在特定的端口号的事实(如TCP端口23用于Telnet连接),使包过滤器可以通过简单的规定适当的端口号来达到阻止或允许一定类型的连接的目的,并可进一步组成一套数据包过滤规则。包过滤技术作为防火墙的应用有三类:一是路由设备在完成路由选择和数据转发之外,同时进行包过滤,这是目前较常用的方式;二是在工作站上使用软件进行包过滤,这种方式价格较贵;三是在一种称为屏蔽路由器的路由设备上启动包过滤功能。
⑵应用网关技术
应用网关(ApplicationGateway)技术是建立在网络应用层上的协议过滤,它针对特别的网络应用服务协议即数据过滤协议,并且能够对数据包分析并形成相关的报告。应用网关对某些易于登录和控制所有输出输入的通信的环境给予严格的控制,以防有价值的程序和数据被窃取。它的另一个功能是对通过的信息进行记录,如什么样的用户在什么时间连接了什么站点。在实际工作中,应用网关一般由专用工作站系统来完成。
有些应用网关还存储Internet上的那些被频繁使用的页面。当用户请求的页面在应用网关服务器缓存中存在时,服务器将检查所缓存的页面是否是最新的版本(即该页面是否已更新),如果是最新版本,则直接提交给用户,否则,到真正的服务器上请求最新的页面,然后再转发给用户。
⑶服务器技术
服务器(ProxyServer)作用在应用层,它用来提供应用层服务的控制,起到内部网络向外部网络申请服务时中间转接作用。内部网络只接受提出的服务请求,拒绝外部网络其它接点的直接请求。
具体地说,服务器是运行在防火墙主机上的专门的应用程序或者服务器程序;防火墙主机可以是具有一个内部网络接口和一个外部网络接口的双重宿主主机,也可以是一些可以访问因特网并被内部主机访问的堡垒主机。这些程序接受用户对因特网服务的请求(诸如FTP、Telnet),并按照一定的安全策略转发它们到实际的服务。提供代替连接并且充当服务的网关。
包过滤技术和应用网关是通过特定的逻辑判断来决定是否允许特定的数据通过,其优点是速度快、实现方便,缺点是审计功能差,过滤规则的设计存在矛盾关系,过滤规则简单,安全性差,过滤规则复杂,管理困难。一旦判断条件满足,防火墙内部网络的结构和运行状态便“暴露”在外来用户面前。技术则能进行安全控制又可以加速访问,能够有效地实现防火墙内外计算机系统的隔离,安全性好,还可用于实施较强的数据流监控、过滤、记录和报告等功能。其缺点是对于每一种应用服务都必须为其设计一个软件模块来进行安全控制,而每一种网络应用服务的安全问题各不相同,分析困难,因此实现也困难。
在实际应用当中,构筑防火墙的“真正的解决方案”很少采用单一的技术,通常是多种解决不同问题的技术的有机组合。你需要解决的问题依赖于你想要向你的客户提供什么样的服务以及你愿意接受什么等级的风险,采用何种技术来解决那些问题依赖于你的时间、金钱、专长等因素。
根据以上三种防火墙构建技术,我们研究给该企业用异构防火墙部署。
3、异构防火墙的部署
当前,该企业的网络中已经部署了一台PIX525,该防火墙提供保护整上内部网络的作用,用来防止来自外部的攻击,把网络分成两个网段,但是如果一旦黑客攻访了防火墙,那么整个内部网络就暴漏在了黑客面前,如果是恶意攻一击那么武威面粉厂的利益将受到很大损害。所以我们调查研究后,决定采用异构防火墙的部署方式,在原来防火墙的基础上,根据武威面粉厂资金,在财务网络和内部网络之间再架构一台防火墙,把网络分成三个网段,这样极大的提高了整个网络的安全防御能力。在不同的网段采用不同的安全级别,而实际上财务网络和接入内部网层的安全级别和内部网络接入Internet网络服务层的安全强度本身要求就是不同的,并且不同的防火墙产品其性能结构也不仅相同,它们具有不同的安全级别和安全强度,当其中一个防火墙被攻陷后,不会影响到其它网段。
并且管理员可以有效的管理网络,轻松的对付外部攻击。
在网络的硬件设备部署中,我们在外部网络访问层与内部网络接入层我们部署了PIX525防火墙(Fl),在财务网络与内部网络接入层我们部署了远东网安2000防火墙(F2)。在每一个防火墙上设置不同的安全策略,来达到对整个网络的多层防护,减少单一防火墙部署所带来的损失。通过这两个防火墙的部署,把网络分成三个网段。防火墙产品本身不具有安全性,必须给它建立可靠的规则来使其成为一成功、安全和可靠的产品,根据两个防火墙所管束的网段的不同和其性能的不同,我们分别对Fl区和F2区设置不同的安全规则。设置规则如下:
Fl的安全规则为:
⑴内部用户可以访问Internet。
⑵内部用户与外部的网络连接必须通过服务器。
⑶外部用户只可以使用WEB和MAIL服务器。
⑷外部的Telnet会话只能与指定主机进行。
⑸DNS服务器只允许解析应用计算机,不允许解析内部用户。
F2的安全规则为:
⑴只允许内部用户的访问。
⑵拒绝所有来自外部主机的数据包。
⑶FTP会话必须经过安全认证。
⑷与外部的数据交换只能通过特定端口完成。
⑸在指定的时间内才可以进行远程访问。
4、结语
经过次次论文中设计方案的实施,某企业内网的安全问题从防火墙设计整体考虑,在统一布置思想指导下采用新的网络防护技术,网络安全问题得到了一定程序的解决,给管理员和该企业职工带来了很大的方便。但网络技术在不断的发展,在我们的设计的网络安全系统中将会很快会出现一些意想不到的安全问题需要我们去解决,但是在断的学习和改进中,相信随着技术的发展我们的技术水平也会得到不断的提高。
随着近年来信息化的快速推进,供电企业网络信息系统与Internet的交互日益频繁,基于Internet的业务呈不断增长态势。电力行业作为国民经济的重要组成部分,已经在人们的正常生活中不可缺少。电力系统的是否安全可靠,关系着国民经济的发展,更影响着人们的日常生活。然而电力企业信息网络的发展还不健全,尚存在很多安全问题。这些问题正是黑客和病毒入侵的目标。县级供电企业是整个电力企业的基本单位,只有保证县级供电企业信息网络的安全,才能使整个电力行业正常的运行,因此对其信息网络安全的研究受到越来越多的关注。
2 信息网络安全概述
信息网络安全是指运用各种相关技术和管理,使网络信息不受危害和威胁,保证信息的安全。由于计算机网络在建立时就存在缺陷,本身具有局限性,使其网络系统的硬件和软件资源都有可能遭到破坏和入侵,严重时甚至可能引起整个系统的瘫痪,以至于造成巨大的损失。相对于外界的破坏,自身的防守时非常艰巨的,必须保证每个软件、每一项服务,甚至每个细节都要安全可靠。因此要对网络安全进行细致的研究,下面介绍其特征:
2.1 完整性
主要是指数据的完整性。数据信息在未经许可的情况下不能进行任何修改。
2.2 保密性
未经授权的用户不能使用该数据。
2.3 可用性
被授权的用户可以根据自己的需求使用该数据,不能阻碍其合法使用。
2.4 可控性
系统要能控制能够访问数据的用户,可以被访问的数据以及访问方式,并记录所有用户在系统内的网络活动。
3 信息网络系统安全存在的问题
3.1 系统设备和软件存在漏洞
网络系统的发展时间很短,因此其操作系统、协议和数据库都存在漏洞,这些漏洞变成为黑客和病毒入侵的通道;存储介质受到破坏,使系统中的信息数据丢失和泄漏;系统不进行及时的修补,采用较弱的口令和访问限制。这些都是导致信息网络不安全的因素。网络是开放性的,因此非常容易受到外界的攻击和入侵,入侵者便是通过运用相关工具扫描系统和网络中的漏洞,通过这些漏洞进行攻击,致使网络受到危害,资料泄露。
3.2 制度不完善
目前对于信息网络的建立,数据的使用以及用户的访问没有完善的规章制度,这也导致了各个县级供电企业信息网络系统之间的不统一,在数据传输和利用上受到限制。同时在目前已经确立的信息网络安全的防护规章制度的执行上,企业也不能严格的执行。
4 提高网络安全方法
4.1 网络安全策略
信息网络是一个庞大的系统,包括系统设备和软件的建立、数据的维护和更新、对外界攻击的修复等很多方面,必须各个细节都要保证安全,没有漏洞。然而很多供电企业,尤其是县级企业并没有对其引起足够的重视,只是被动地进行防护。整体的安全管理水平很低,没有完备的网络安全策略和规划。因此要想实现信息网络的安全,首先需要制定一个全面可行的安全策略以及相应的实施过程。
4.2 提高网络安全技术人员技术水平
信息网络的运行涉及很多方面,其安全防护只是其中一部分,因此在网络安全部分要建立专业的安全技术队伍。信息网络中的一些系统和应用程序更新速度不一致,也会造成网络的不安全。一般企业的网络管理员要兼顾软硬件的维护和开发,有时会顾此失彼,因此要建立更专业的安全技术队伍,使信息网络的工作各有分工,实现专业性,提升整体网络安全技术水平,提高工作效率。
4.3 完备的数据备份
当信息网络受到严重破坏时,备份数据便发挥了作用。不论网络系统建立的多完善,安全措施做得多到位,保留完备的备份数据都是有备无患。进行数据备份,首先要制定全面的备份计划,包括网络系统和数据信息备份、备份数据的修改和责任人等。备份时要严格按照计划进行实施。还要定期的检查备份数据,保证数据的完整性和实时性。同时网络管理人员的数据备份和恢复技术的操作要很熟练,这样才能保障备份数据的有效性。
4.4 加强防病毒
随着网络技术的发展,网络病毒也越来越多,这些病毒都会对信息网络造成或多或少的危害。防病毒不仅需要应用专业可靠的防毒体系,还要建立防火墙,屏蔽非法的数据包。
对于防毒,在不同的硬件上要安装相应的防毒程序。例如工作站上应该安装单机的防毒程序;主机上则安装主机防毒程序;网关上安装防病毒墙;而这些不同的防毒程序的升级可以通过设立防毒控制中心,统一管理,由中心将升级包发给各个机器,完成整个网络防毒系统的升级。这样有针对性的防毒程序能更有效的进行病毒防护。
防火墙可以通过检测和过滤,阻断外来的非法攻击。防火墙的形式包括硬件、软件式和内嵌式三种。内嵌式防火墙需要与操作系统结合,性能较高,应用较为广泛。
5 具体措施
5.1 增强管理安全
在网络安全中管理是最重要的,如果安全管理制度不完善,就会导致正常的网络安全工作不能有序实施。信息网络的管理包括对网络的定期检查、实时监控以及出现故障时及时报告等。为了达到管理安全,首先,要制定完整详细的供电企业信息网络安全制度,并严格实施;其次,对用户的网络活动做记录并保存网络日志,以便对外部的攻击行为和违法操作进行追踪定位;还应制定应急方案,在网络系统出现故障和攻击时及时采取措施。
5.2 网络分段
网络分段技术是指在网络中传输的信息,可以被处在用以网络平台上其他节点的计算机截取的技术。采用这种技术可以限制用户的非法访问。比如,黑客通过网络上的一个节点窃取该网络上的数据信息,如果没有任何限制,便能获得所有的数据,而网络分段技术则可以在这时,将黑客与网络上的数据隔离,限制其非法访问,进而保护了信息网络的安全。
5.3 数据备份
重要数据的备份是网络安全的重要工作。随着网络技术的迅速发展,备份工作也必须要与之一致,保证实时性和完整性,才能在出现紧急问题时发挥其应有的作用,恢复数据信息。整个庞大的信息网络,备份的数据量也是很大的,要避免或减少不必要的备份;备份的时间也要恰当地选择,尽量不影响用户的使用;同时备份数据的存储介质要选择适当。
5.4 病毒检测和防范
检测也是信息安全中的一个重要环节。通过应用专业的检测工具,对网络进行不断地检测,能够及时的发现漏洞和病毒,在最短时间内采取相应的措施。
病毒防范技术有很多,可以先分析网络病毒的特征,建立病毒库,在扫描数据信息时如果对象的代码与病毒库中的代码吻合,则判断其感染病毒;对于加密、变异的不易扫描出来的病毒可以通过虚拟执行查杀;最基本的还是对文件进行实时监控,一旦感染病毒,及时报警并采取相应的措施。
6 结束语
关键词:VLAN;虚拟局域网;企业网络;网络设计
中图分类号:TP393文献标识码:A文章编号:16727800(2012)009013403
1企业组网中采用单一网段架构的不足之处
企业在组建局域网和信息化平台时,为节约成本往往采用了单一网段架构的组网模式。随着企业内部联网计算机的不断增多、网络应用的日趋复杂,这种架构的弊端也不断显现出来。由于防火墙、服务器、工作站等网络设备处在同一个网段(同一广播域),大量的广播包发送到局域网上容易引起广播风暴、占用很高的网络带宽,从而影响到正常业务数据流的稳定传输。一旦某计算机发生ARP攻击或者冒用了网络设备的IP地址,就会干扰到网络的正常运行,造成严重的安全隐患。为了解决上述问题,提高企业网络的安全性、稳定性和可靠性,就需要部署与实施VLAN虚拟局域网。
2VLAN虚拟局域网的主要特点
IEEE802.1Q定义了VLAN网桥和操作规范。传统的共享介质型以太网中,所有的计算机位于同一个广播域中,广播域越大对网络性能的影响也就越大。有效的解决途径就是把单一网段架构的以太网划分成逻辑上相互独立的多个子网,同一VLAN中的广播包只有同一VLAN的成员组才能收到,而不会传输到其它VLAN中去,这就很好地控制了广播风暴。在企业网络组建中,通过合理的VLAN设计规划,一方面可以限制广播域,最大限度地防止广播风暴的发生,节省网络带宽;同时还可以提高网络处理能力,并通过VLAN间路由、VLAN间互访策略,全面增强企业网络的安全性。
3企业VLAN规划中的技术要点
VLAN技术在大型局域网、大型校园网的组建中有着广泛的应用,VLAN的规划和设计是高等计算机网络的一个重点,同时也是一个技术难点,实施者必须具备较高的计算机网络知识与实践技能。企业在实施VLAN前,应该从以下几个方面重点分析和考虑:
(1)根据目前的网络拓扑、综合布线、各类网络设备、计算机数量以及分布的地理位置进行统计和调研。通常位于核心层的防火墙、服务器组等应划分到一个单独的VLAN网段,然后根据各部门的网络应用需求、联网设备数量作进一步规划。
(2)采用合适的VLAN划分技术,常见的VLAN划分方式包括:基于端口的VLAN、基于MAC地址的VLAN、基于协议的VLAN、基于IP子网的VLAN 和基于策略的VLAN等。以中小型企业为例,计算机的数量与分布的地理位置相对比较固定,优先考虑采用基于端口的静态VLAN划分方式。将交换机中的任意端口定义为一个VLAN端口组成员,从而形成一个VLAN网段,将指定端口加入到指定VLAN中之后,该端口就可以转发指定VLAN的数据包。
(3)各个VLAN之间的路由与ACL访问策略的配置。通常服务器所属的VLAN可以与其它VLAN相互访问,各个VLAN的内部计算机可以互访,其它VLAN之间计算机的互访权限视具体情况在三层交换机加以启用或禁用。
(4)防火墙到各个VLAN之间的路由规划。防火墙是整个企业网的Internet总出口,直接决定哪些VLAN组、哪些计算机成员可以访问Internet。
(5)必要的经费投入,购买合适的网络设备。一般选择三层智能VLAN以太网交换机,根据设计方案,通过命令参数进行配置。由于不同品牌、不同型号的交换机VLAN配置参数与语法命令不尽相同,因此需要VLAN实施者精通常用交换机的配置与应用。
4某企业VLAN规划和实施的具体步骤与案例分析
随着经营业务的不断扩展、联网设备的不断增多,为提高局域网安全性和处理能力,笔者参与了某商品流通企业的局域网VLAN实施项目。从企业网络应用的规模和现状分析,设计划分为5个VLAN, 其中VLAN16为服务器核心网段,可以与其它全部VLAN(17~20)互访。VLAN(17~20)只能访问16网段,相互之间不能互访,但每个VLAN内部计算机可以互访。防火墙型号为H3C SecPath F100S,LAN口管理IP为192.168.16.1,可以路由到全部5个VLAN,并能控制任意网段的计算机访问外网与IP流量。
接入层访问端口,按表1方案,连接网络设备、各职能部门的工作站计算机、网络共享打印机、无线接入点AP等
在实施VLAN前,首先要对企业现有的综合布线作全面的梳理,每根网线连接哪台电脑、交换机的端口标识要明确、清晰。在核心交换机端口充裕的情况下,做到计算机与核心交换机端口直接相连,尽量不要采用SOHO交换机进行多层次的网络转接。根据VLAN设计方案,对网络设备、部门计算机的网络参数进行重新分配和配置,把每台计算机的网线连接到交换机对应的VLAN端口。
该项目中,采用了H3C公司的48口全千兆三层以太网交换机S550048PSI。S550048PSI千兆以太网交换机定位于企业网和城域网的汇聚或接入,具备丰富的业务特性,提供了高性能、大容量的交换服务,并支持10GE 的上行接口,为接入设备提供了更高的带宽。同时还可以用于数据中心服务器群的连接,为用户提供了高接入带宽和高端口密度。S550048PSI支持4K个基于端口的VLAN,在全双工模式下交换容量为240Gbps,整机包转发率为72Mpps,可以满足企业目前应用需求。
S550048PSI交换机的配置是整个VLAN实施中的技术重点和难点,其配置要点说明如下:
(1)创建ACL访问策略。根据设计方案,VLAN16可以与VLAN(17~20)直接互访,无须设置拒绝访问规则。VLAN17不能与VLAN(18~20)互访,VLAN18不能与VLAN(17、19、20)互访,VLAN19不能与VLAN(17、18、20)互访,VLAN20不能与VLAN(17~19)互访。因此,必须单独设置规则号和拒绝访问控制列表。
5VLAN实施后产生问题如何解决
由于实施VLAN后除了VLAN16其它各网段之间不能直接互访,因此也带来了一些网络应用上的问题。比如不同VLAN之间不能直接共享打印机和共享文件夹,需要重新设置共享。解决方案是在同一VLAN的内部计算机上设置共享打印机或者文件夹,或者在VLAN16网段上设置共享打印机或者文件夹,以便给全公司的联网计算机访问。
6结语
通过实施VLAN前后的网络协议分析,在企业网络应用高峰期利用OmniPeek协议分析软件在各个VLAN网段中实时抓包采样,发现各个网段的广播包数量明显减少,网络利用率有了明显提高,实施后从未发生过广播风暴现象。特别是核心层网络设备从普通交换机升级到全千兆VLAN交换机后,业务软件的输入、统计、查询,以及浏览网页的速度均有较大的提高,网络性能有了很大改善。
上述企业VLAN的设计思路、实施步骤和配置参数具有很高的参考与应用价值。规模更大、更复杂的企业网拥有更多的计算机,因此,需在此基础上划分更多的VLAN、设计更加复杂的ACL访问控制策略。通过VLAN的实施,不仅提高了网络安全性和利用率,并且对于今后企业网络的扩展和升级都带来了很大的便利。
参考文献:
[1]崔北亮.CCNA认证指南(640-802)[M].北京:电子工业出版社,2009.
[2]王达.CISCO/H3C交换机配置与管理完全手册[M].北京:中国水利水电出版社,2009.
[3]Marina Smith.虚拟局域网[M].北京:清华大学出版社,2003.
关键词:企业发展;计算机局域网;设计方案
Abstract: the enterprise computer network is an internal use Internet technology to build enterprise agency liaison network. It is unified and convenient information exchange platform. On the one hand, in recent years, with the rapid development of computer network equipment in China, to benefit from the network equipment industry production technology continues to improve and expand the market of computer technology, to promote the development of computer local area network design in the domestic and international enterprises, on the market. On the other hand, as the level of scientific management of enterprises continuously improve enterprise management informatization, more and more enterprises management attention. Aiming at the design of local network business computer, through various investigation, summing up experience, put forward to make the enterprise computer network design scheme is proposed, so as to promote the further development of enterprises.
Keywords: enterprise development; computer network; design
中图分类号:TP393.1 文献标识码:A文章编号:2095-2104(2013)
局域网是在一个局部的地理范围内比如:一个学校、工厂和机关内),一般是方圆几千米以内,将各种计算机,外部设备和数据库等互相联接起来组成的计算机通信网。它可以通过数据通信网或专用数据电路,与远方的局域网、数据库或处理中心相连接,构成一个较大范围的信息处理系统。局域网可以实现文件管理、应用软件共享、打印机共享、扫描仪共享、工作组内的日程安排、电子邮件和传真通信服务等功能。计算机局域网严格意义上是封闭型的,它可以由办公室内几台甚至上千上万台计算机组成。决定计算机局域网的主要技术要素为:网络拓扑,传输介质与介质访问控制方法。局域网的名字本身就隐含了这种网络地理范围的局域性。由于较小的地理范围的局限性,企业计算机的局域网通常要比广域网具有高的多的传输速率,例如,计算机局域网的传输速率为10Mb/s,FDDI的传输速率为100Mb/s,而广域网的主干线速率国内仅为64kbps或2.048Mbps,最终用户的上线速率通常为14.4kbps。计算机局域网的拓扑结构常用的是总线型和环行,这是由于有限地理范围决定的,这两种结构很少在广域网环境下使用。另外企业运用计算机局域网还有诸如高可靠性、易扩缩和易于管理及安全等多种特性。
一、我国企业计算机局域网设计方案
为了提高企业的工作效率,从而进一步提高企业的经济效益,很多企业都购置了可供需要的大量计算机。随着经济的不断发展,社会生产力不断地提高,我国计算机技术水平不断地提升,企业的计算机也不在是以前孤立的个体,慢慢的经过科学技术革新、研究形成了企业根据自身情况所建立的“企业计算机局域网”。使企业内部形成的资源高度的共享、企业各部门有机协调的计算机网络,既方便了企业员工之间的工作,也同时方便了企业管理层对员工的监督。就目前,我国各企业大都建立了自己的计算机网络,网络应用也逐渐颇具规模,特别在数值计算、信息管理、办公事务、工程(产品)设计、加工制造等方面基本实现了计算机应用,计算机、网络和数据库正在成为企业日常运行的基石。那么我国企业计算机局域网主要有以下几种设计方案和遵循标准:
1、企业内部计算机局域网建设
企业内部计算机局域网:是企业内部日常运作的重要保证。通过企业内部计算机局域网建设可实现企业内部办公自动化,财务电算化,数据共享,上网链路共享,打印共享,内部电子邮件传输等一系列功能。但设计这样的企业内部局域网需要遵循以下几点原则:
(1)根据企业具体实际情况,设计网络模型
根据企业的具体实际情况,建议整个网络系统采用多服务器的“主干—星型”混合拓扑结构。采用光纤和5类双绞线连接UTP加上百兆交换机,从而实现真正的百兆连接到桌面。其中服务器和交换机放置在专用计算机房,并配置网络UPS。这种企业内部局域网络设计结构的优势在于非常灵活,网络中任何一台机器出现故障,对企业网络整体都不会构成很大影响。另外由于财务系统具有封闭性,可以在企业内部局域网络中建立分支结构,既便于财务人员从主干获取信息,也保证企业内部财务信息的安全。
(2)工程布线标准
企业计算机局域网络系统布线工程标准参照 EIA/TIA 568A、EIA/TIA 569 、EIA/TIA 、TSB36/40工业、国际商务建筑布线标准及相应国家电信通信标准。
(3)网络的保修:要定期对企业内部的计算机局域网进行维修检查,以防止故障的产生,影响企业工作的流程安排。
(4)企业内部要建立自己本企业的网站
企业计算机局域网与传统的企业内部办公网络的主要区别在于,在先进的网络设备和接入带宽的保证下,有一套运行在企业内部局域网上的,与企业内部局域网网站相关连又有所区别的企业内部网站。可供企业员工分享资料,查看企业的最新动态。
2、企业计算机局域网上网共享的实现
通过企业计算机局域网,可使全体员工共享上网资源。根据人员情况和上网需求量的大小,还可采用以下三种方式对上网进行分类:
(1)ADSL上网
非对称数字用户环路,可以在普通的电话铜缆上提供1.5~8mbit/s的下行和10~64kbit/s的上行传输,可进行视频会议和影视节目传输,非常适合中、小企业。
(2)ISDN上网
目前在国内迅速普及,价格大幅度下降,有的地方甚至是免初装费用。两个信道128kbit/s的速率,快速的连接以及比较可靠的线路,可以满足中小型企业浏览以及收发电子邮件的需求。而且还可以通过ISDN和Internet组建企业VPN。这种方法的性能价格比很高,在国内大多数的城市都有ISDN接入服务。
(3)DDN专线上网
这种方式适合对带宽要求比较高的应用,如企业网站。它的特点也是速率比较高,范围从64kbit/s~2Mbit/s。但是,由于整个链路被企业独占,所以费用很高,其优势在于速度极快,在满足内部上网需求的同时可以用于网站。这样就节省了网站所须的线路费用。
二、企业计算机局域网设计的发展趋势
随着我国企业科学管理水平的提高。企业管理科技化、信息化越来越受到企业的重视。对于企业计算机局域网设计发展趋势应越趋于网络速度的快速化、网络信息的安全化、企业计算机局域网络的稳定化。其中,企业局域网的信息安全化逐渐成为企业设计计算机局域网的着重点。因为企业的计算机局域网与国际互联网相联接,形成一个内、外部信息共享的网络平台。这种连接方式使得企业内部的计算机局域网在给内部用户带来工作便利的同时,也面临着外部环境——国际互联网的多重危险。如病毒,黑客、垃圾邮件、而已侵袭软件等给企业内部网的安全和性能造成极大地冲击,甚至会造成企业内部的经济损失。那么如何更有效地保护企业重要的信息数据、提高企业局域网系统的安全性已经成为当前企业设计计算机局域网必须解决的一个重要问题。
为了更好的解决企业信息安全的问题,确保网络信息的安全,企业应建立完善的计算机安全保障体系。该体系应包括网络安全科学技术的防护和企业网络信息安全管理两方面。对于网络安全技术的防护主要侧重于防范外部非法用户的攻击和企业重要内部数据信息的安全。而企业网络信息安全管理则侧重于对内部人员操作使用的管理,也要防止内部人员的泄漏。并在采用新的科学技术建立网络安全防御体系的同时,加强企业信息网络的安全管理这两方面相互补充,缺一不可。这个安全防御体系其中包括入侵检测系统、安全访问控制、漏洞扫描、病毒防护、防火墙、接入认证、电子文档保护和网络行为监控,在这些安全防御体系中入侵检测系统、漏洞扫描系统和病毒防护系统比较重要。总之,对于企业计算机局域网的设计发展,企业应从多方面考量,从整体着眼,促进企业的长远发展。
【参考文献】
1、于玥.《网络信息管理及其安全》.[J].计算机光盘软件与应用.2010
关键词: 局域网;规划设计;系统;网络;应用
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2015)06-0054-02
1 现状及需求分析
1.1计算机网络系统现状
瓦力公司的网络系统现状是,全公司约有台式电脑、笔记本电脑共300台。无核心交换机、硬件防火墙,通过Cisco 2800路由器做NAT端口复用地址转换来访问因特网,所有计算机在同一广播域内,楼宇间通过100M双绞线连接,楼宇至各办公室终端计算机通过交换机级联连接。
1.2网络系统需求分析
瓦力公司现在有计算机约220台,管理人员实现了一人一台的电脑办公环境。
目前网络系统存在的问题如下:
1)信息化的系统增加,需要更大带宽,更稳定的网络环境。
随着企业发展,网络应用越来越多,对网络的稳定性和带宽有了更高的要求。
2)所有计算机处于同一广播域,网络风暴导致局域网极不稳定。
3)楼宇间的百兆双绞线因距离较长,信号衰减严重,且百兆的核心速度已严重影响公司办公效率,成为信息化的瓶颈。
4)公司与因特网之间未架设防火墙,随时有中病毒或黑客攻击的安全隐患。
综上所述,公司网络现状与公司的规模及其他软硬件设施不相匹配,即不能适应企业现代化管理的要求,也不能满足企业日益膨胀的信息需求。
总结起来,瓦力公司对局域网的需求主要有:
1)办公自动化;一卡通系统;PDM系统、ERP系统;
2)划分VLAN,创建广播域,减少广播风暴,释放带宽;
3)改造楼宇间网络,更换不稳定的百兆双绞线为更稳定的千兆光纤;
4)规范因特网访问,架设防火墙,减少网络安全隐患。
2系统设计实现目标
针对企业实际情况和应用需求,此解决方案应达到如下目标:
1)采用先进的网络设备,通过结构化布线、模块化设计,建立一个高速、可靠、先进的网络系统。
2)网络主干采用千兆位以太网络,光缆铺设厂区主要建筑。普遍100M交换到桌面的高性能连接,充分满足各种系统对高带宽的要求。
3)建立高效的网络传输平台,实现PDM、视频监控等高速数据的传输和应用。
4)建立企业网站(可分为对内、对外两个),为外界了解企业提供一个窗口,促进企业内外及企业内部的信息交流。
5)其余可提供服务功能有:(l) E-mail(电子邮件);(2) FTP(文件传输服务); (3) DNS(域名解析);(4)TELNET(远程登录)。
3 系统总体方案设计
3.1网络拓扑结构设计
瓦力公司局域网的拓扑结构由核心层、分布层与用户层组成,其中由安装中心机房的三层交换机组成局域网的核心层,由安装在各办公楼的交换机组成网络的分布层与用户层。
3.2 VLAN划分及配置
传统的共享介质的以太网和交换式的以太网中,所有的用户在同一个广播域中,会引起网络性能的下降,浪费宝贵的带宽;而且对广播风暴的控制和网络安全只能在第三层的路由器上实现。
VLAN相当于OSI参考模型的第二层,能够将广播风暴控制在一个VLAN内部。划分VLAN后,由于广播域缩小,网络中广播包消耗带宽所占的比例降低,网络的性能得到显著的提高。不同的VLAN之间的数据传输是通过第三层的路由来实现的。可以通过控制交换机的每一个端口来控制网络用户对网络资源的访问,同时VLAN和第三层交换结合使用能够为网络提供较好的安全保障。
根据该公司的网络拓扑结构及建筑物的分布情况,采用静态实现的方式。静态实现是将交换机端口分配给某一个VLAN(也称为基于端口的划分),这是一种经常使用的配置方式,比较容易实现和监视,而且安全。在地址分配的基础上进行划分,基本上一个子网划为一个VLAN,如表1中所示,还可根据需要扩充或修改。
3.3网络管理系统设计
网络平台:Windows 2008 Server中文版,客户端用Windows 7 Professional。
网络操作系统选择Windows 2008 Server。因为,Windows Server 2008通过加强操作系统和保护网络环境提高了安全性。通过加快IT系统的部署与维护、使服务器和应用程序的合并与虚拟化更加简单、提供直观管理工具,Windows Server2008还为IT专业人员提供了灵活性。Windows Server 2008为任何组织的服务器和网络基础结构奠定了最好的基础,是较为理想的应用平台。
3.4网络系统安全设计
3.4.1访问控制及内外网的隔离
配备防火墙:在内部网与外部网之间,设置防火墙实现内外网的隔离与访问控制是保护内部网安全的最主要、同时也是最有效、最经济的措施之一。可以确保网络安全,防止外部入侵。防火墙采用Juniper SRX 220H。
3.4.2内部网不同网络安全域的隔离及访问控制
利用VLAN技术和子网划分来实现对内部子网的物理隔离。通过交换机上划分VLAN可以将整个网络划分成几个不同的广播域,实现一个网段与另一个网段的隔离,限制局部网络安全问题对全局网络造成的影响。
采用防火墙,将用户区和服务器区隔离,防止不法用户对服务器的入侵攻击及病毒传播。
3.4.3上网行为管理
在出口网关出配置上网行为管理设备,通过IP/MAC认证方式对所有电脑终端进行上网行为管理,限制访问视频、游戏、股票等网站,并限制P2P下载,保证关键业务部门的网络带宽。
3.4.4网络防病毒
采用免费的金山毒霸企业版对所有终端进行部署,便于集中管控。
4总结
本次瓦力公司局域网规划设计方案在总体上达到各种先进的功能要求,如端到端的QoS、速率限制、全面的冗余能力、全面的接入能力、以标准技术实现各种功能、统一的网络管理等,将进一步促进瓦力公司的网络化进程,加强企业的内部交流与对外的经济文化联系,使瓦力公司踏上新世纪飞快的网络列车,进入崭新的境界。
参考文献:
[1] Comer D E.计算机网络与Internet[M].3版.金舒原,段海新,译.北京:清华大学出版社,2002.
[2] 谢希仁.计算机网络[M].2版.北京:电子工业出版社,1999.
[3] 王利,张玉祥,杨良怀.计算机网络实用教程[M]. 北京:清华大学出版社,1999.
[4] 倪文志,杭志,杨国锴.局域网组建、配置与管理[M].北京:清华大学出版社,2003.
关键词:可靠性;骨干网;网络设计;VRRP;OSPF;STP
1 引言
根据国家标准GB-6583的规定,产品的可靠性是指:设备在规定的条件下、在规定的时间内完成规定的功能的能力。对于网络系统的可靠性,除了耐久性外,还有容错性和可维护性方面,涉及到网络通信设备、拓扑结构、通信协议等多方面因素。
在网络架构的设计中,充分保证整网运行的可靠性是基本原则之一。网络系统可靠性设计的核心思想则是,通过合理的组网结构设计和可靠性特性应用,保证网络系统具备有效备份、自动检测和快速恢复机制,同时关注不同类型网络的适应成本。构建可靠的网络,需要从耐久性、容错性以及可维护性三个方面进行网络规划设计。
2 高可靠骨干网的典型结构设计
大型企业网通常有较大的地理覆盖范围和较多的网络设备,根据这些设备所在的位置和其所影响的范围可将它们分别称为核心层设备、汇聚层设备和接入层设备,如图1所示。在网络的方案设计中,通常采用层次化的网络设计结构,不同层次解决不同级别的可靠性要求,网络层次越高其可靠性要求也越高。
在企业的核心骨干网里,各网络节点设备都担负着重要的业务,要进行大量的数据传输和处理,因此,对这些设备自身的可靠性有很高的要求。除设备本身的可靠外,还需要设备之间的热备份,只有这样才能避免单点故障的存在。
另外,合理的子网(VLAN)划分对整个网络的可靠、安全、性能以及管理有非常重要的影响。根据企业各部门的业务性质不同以及管理的需要,通常需要把企业网划分为多个VLAN,即多个逻辑上互相隔离虚拟网络。这些虚拟子网之间必须通过路由功能才能实现彼此之间的通信。
图1 高可靠企业网络的典型结构
每个虚拟子网都有一个中心交换机,并通过两条物理链路分别上连到核心交换机上,用于提高可靠性并实现链路负载均衡。在此基础上还必须正确选择并配置相关协议,才能使冗余的设备和链路相互配合、协同工作,真正成为无单点故障的高可靠性网络。图1所示是根据上述分析设计出来的高可靠企业网的一般典型结构。
需要注意的是,可靠性技术的实施并不是设备和链路的简单叠加和无限制冗余。否则,一方面会增加网络建设整体成本,另一方面还会增加管理维护的复杂度,给网络引入潜在的故障隐患。因此在进行规划时,应该根据网络结构、网络类型和网络层次,分析网络业务模型,确定基础网络拓扑,明确对网络可靠性最佳的关键节点和链路,合理规划和部署各种网络高可用技术。
3 高可靠网络路由协议选择与分析
在高可靠企业网的设计与实现中,通常要涉及到的3个重要的协议,分别是:VRRP(Virtual Router Redundancy Protocol)、OSPF(Open Shortest Path First)和STP(Spanning Tree Protocol),正确选择并配置它们,是高可靠性网络设计的重要组成部分。
3.1 VRRP协议
虚拟路由器冗余协议VRRP[1]是一种容错协议,可以保证当主机的下一跳路由器失效时,及时的由另一台路由器来替代,从而保持通信的不间断性。VRRP的应用实际上是对网络可靠性和安全性要求的一种体现。
VRRP的运行是以路由器为基础,为了使VRRP工作,需要在路由器上配置虚拟路由器号和虚拟IP地址,同时产生一个虚拟MAC地址,这样在这个网络中就加入了一个虚拟路由器。对于运行在三层交换机上的VRRP,与路由器上的VRRP并没有本质的区别,因为虚拟IP和虚拟MAC地址是和网络接口绑定在一起的。
VRRP将网络中的一组路由器组织成一个虚拟路由器,称之为一个备份组。其中仅有一台设备处于活动状态,称为主用设备(Master),其余设备都处于备份状态,并随时按照优先级高低做好接替任务的准备,称为备份设备(Backup)。
如图2所示,路由器Ra、Rb和Rc组成了一个备份组,一个备份组相当于一台虚拟路由器,虚拟IP为192.168.16.1。备份组内Ra充当Master设备,IP地址为192.168.16.2;Rb和Rc都充当Backup设备,IP地址分别为192.168.16.3和192.168.16.4。对于VRRP而言,只有Master设备才能转发以虚拟IP为下一跳的报文。
图2 VRRP原理图
内部网络中的所有主机仅仅知道该虚拟IP为192.168.16.1,而并不知道具体的主用或备用设备的IP,因此各主机都将缺省网关配置为该虚拟IP地址。于是,内部网络中的各主机就通过该备份组与外部网络进行通信。
Master路由器的VRRP模块监视通信接口状态,并通过组播方式向Backup路由器发送通告报文。如果Master路由器故障或链路出现问题,则会导致无法正常发送VRRP通告报文。当Backup路由器在指定时间内收不到VRRP通告时,备份组内的其它Backup路由器将会根据优先级高低选出一个路由器充当新的Master,继续向网络内的主机提供路由服务。因此,采用VRRP技术可以实现内部网络中的主机不间断地与外部网络进行通信,提高了网络的可靠性与安全性。
在高可靠网络设计方案中,可以采用两台路由交换机S6810组成双核心,作为整个网络的核心,如图1所示。从位置上看,这两台设备刚好位于整个网络的中心,因此还应充分发挥它们数据中转的能力。为此,需要定义两个VRRP组,在不同的组里面,两个设备分别为Master和Backup。这样,在正常情况下,两台设备都可以进行数据包的转发,一个出故障时还有一台在转发,既实现了容错又实现了负载的均衡,充分发挥了核心数据中转的能力,提高了子网之间访问的速度。
3.2 OSPF协议
OSPF是网间工程任务组织(IETF)的内部网关协议工作组为IP网络而开发的一种动态路由协议。动态路由是指网络中的路由器之间周期性的相互传递路由信息,重新计算路由,更新路由表以适应网络结构的变化。对于规模大、网络拓扑复杂的校园网来说,采用动态路由协议能在关键链路或设备不能正常工作时,实现自动切换,保证网络的畅通。
关键词:等级防护;电力企业;网络安全建设
中图分类号: F407 文献标识码: A 文章编号:
引言
信息化是一把“双刃剑”,在提高企业工作效率、管理水平以及整体竞争能力的同时,也给企业带来了一定的安全风险,并且伴随着企业信息化水平的提高而逐渐增长。因此,提升企业的信息系统安全防护能力,使其满足国家等级保护的规范性要求,已经成为现阶段信息化工作的首要任务。对于电力企业的信息系统安全防护工作而言,应等级保护要求,将信息管理网络划分为信息内网与信息外网,并根据业务的重要性划分出相应的二级保护系统与三级保护系统,对三级系统独立成域,其余二级系统统一成域,并从边界安全、主机安全、网络安全、应用安全等方面对不同的安全域对防护要求进行明确划分。
1现阶段电力企业网络风险分析
1.1服务器区域缺少安全防护措施
大部分电力企业的服务器都是直接接入本单位的核心交换机,然而各网段网关都在核心交换机上,未能对服务器区域采取有效的安全防护措施。
1.2服务器区域和桌面终端区域之间的划分不明确
因服务器和桌面终端的网关都在核心交换机上,不能实现对于域的有效划分。
1.3网络安全建设缺乏规划
就现阶段的电力企业网络安全建设而言,普遍存在着缺乏整体安全设计与规划的现状,使整个网络系统成为了若干个安全产品的堆砌物,从而使各个产品之间失去了相应的联动,不仅在很大程度上降低了网络的运营效率,还增加了网络的复杂程度与维护难度。
1.4系统策略配置有待加强
在信息网络中使用的操作系统大都含有相应的安全机制、用户与目录权限设置以及适当的安全策略系统等,但在实际的网络安装调试过程中,往往只使用最宽松的配置,然而对于安全保密来说却恰恰相反,要想确保系统的安全,必须遵循最小化原则,没有必要的策略在网络中一律不配置,即使有必要的,也应对其进行严格限制。
1.5缺乏相应的安全管理机制
对于一个好的电力企业网络信息系统而言,安全与管理始终是分不开的。如果只有好的安全设备与系统而没有完善的安全管理体系来确保安全管理方法的顺利实施,很难实现电力企业网络信息系统的安全运营。对于安全管理工作而言,其目的就是确保网络的安全稳定运行,并且其自身应该具有良好的自我修复性,一旦发生黑客事件,能够在最大程度上挽回损失。因此,在现阶段的企业网络安全建设工作过程中,应当制订出完善的安全检测、人员管理、口令管理、策略管理、日志管理等管理方法。
2等级保护要求下电力企业网络安全建设防护的具体措施
2.1突出保护重点
对于电力企业而言,其投入到信息网络安全上的资源是一定的。从另外一种意义上讲,当一些设备存在相应的安全隐患或者发生破坏之后,其所产生的后果并不严重,如果投入和其一样重要的信息资源来保护它,显然不满足科学性的要求。因此,在保护工作过程中,应对需要保护的信息资产进行详细梳理,以企业的整体利益为出发点,确定出重要的信息资产或系统,然后将有限的资源投入到对于这些重要信息资源的保护当中,在这些重要信息资源得到有效保护的同时,还可以使工作效率得到很大程度的提高。
2.2贯彻实施3层防护方案
在企业网络安全建设过程中,应充分结合电力企业自身网络化特点,积极贯彻落实安全域划分、边界安全防护、网络环境安全防护的3层防护设计方案。在安全防护框架的基础上,实行分级、分域与分层防护的总体策略,以充分实现国家等级防护的基本要求。
(1)分区分域。统一对直属单位的安全域进行划分,以充分实现对于不同安全等级、不同业务类型的独立化与差异化防护。
(2)等级防护。遵循“二级系统统一成域,三级系统独立成域”的划分原则,并根据信息系统的定级情况,进行等级安全防护策略的具体设计。
(3)多层防护。在此项工作的开展过程中,应从边界、网络环境等多个方面进行安全防护策略的设计工作。
2.3加强安全域划分
安全域是指在同一环境内具有一致安全防护需求、相互信任且具有相同安全访问控制与边界控制的系统。加强对于安全域的划分,可以实现以下目标:
(1)实现对复杂问题的分解。对于信息系统的安全域划分而言,其目的是将一个复杂的安全问题分解成一定数量小区域的安全防护问题。安全区域划分可以有效实现对于复杂系统的安全等级防护,是实现重点防护、分级防护的战略防御理念。
(2)实现对于不同系统的差异防护。基础网络服务、业务应用、日常办公终端之间都存在着一定的差异,并且能够根据不同的安全防护需求,实现对于不同特性系统的归类划分,从而明确各域边界,对相应的防护措施进行分别考虑。
(3)有效防止安全问题的扩散。进行安全区域划分,可以将其安全问题限定在其所在的安全域内,从而有效阻止其向其他安全域的扩散。在此项工作的开展过程中,还应充分遵循区域划分的原则,将直属单位的网络系统统一划分为相应的二级服务器域与桌面终端域,并对其分别进行安全防护管理。在二级系统服务器域与桌面域间,采取横向域间的安全防护措施,以实现域间的安全防护。
2.4加强对于网络边界安全的防护
对于电力企业的网络边界安全防护工作而言,其目的是使边界避免来自外部的攻击,并有效防止内部人员对外界进行攻击。在安全事件发生之前,能够通过对安全日志与入侵事件的分析,来发现攻击企图,在事件发生之后可以通过对入侵事件记录的分析来进行相应的审查追踪。
(1)加强对于纵向边界的防护。在网络出口与上级单位连接处设立防火墙,以实现对于网络边界安全的防护。
(2)加强对于域间横向边界的防护。此项防护是针对各安全区域通信数据流传输保护所制定出的安全防护措施。在该项工作的开展过程中,应根据网络边界的数据流制定出相应的访问控制矩阵,并依此在边界网络访问控制设备上设定相应的访问控制规则。
2.5加强对于网络环境的安全防护
(1)加强边界入侵检测。以网络嗅探的方式可以截获通过网络传输的数据包,并通过相应的特征分析、异常统计分析等方法,及时发现并处理网络攻击与异常安全事件。在此过程中,设置相应的入侵检测系统,能够及时发现病毒、蠕虫、恶意代码攻击等威胁,能够有效提高处理安全问题的效率,从而为安全问题的取证提供有力依据。
(2)强化网络设备安全加固。安全加固是指在确保业务处理正常进行的情况下,对初始配置进行相应的优化,从而提高网络系统的自身抗攻击性。因此,在经过相应的安全评估之后,应及时发现其中隐藏的安全问题,对重要的网络设备进行必要的安全加固。
(3)强化日志审计配置。在此项工作的开展过程中,应根据国家二级等级保护要求,对服务器、安全设备、网络设备等开启审计功能,并对这些设备进行日志的集中搜索,对事件进行定期分析,以有效实现对于信息系统、安全设备、网络设备的日志记录与分析工作。
结语
综上所述,对于现阶段电力企业信息网络而言,网络安全建设是一个综合性的课题,涉及到技术、使用、管理等许多方面,并受到诸多因素的影响。在电力企业网络安全建设过程中,应加强对于安全防护管理体系的完善与创新,以严格的管理制度与高素质管理人才,实现对于信息系统的精细化、准确化管理,从而切实促进企业网络安全建设的健康、稳步发展。
参考文献:
[1]张蓓,冯梅,靖小伟,刘明新.基于安全域的企业网络安全防护体系研究[J].计算机安全,2010(4).
1.网络设计方案
矿山安全管理信息系统网络设计主要包括两大部分,企业总部及分部设计方案。总部设计:由于互联网访问要求多对一,总部所有数据都存储于内部服务器中,其他工作站利用网线同web及数据库服务器相互连接,形成局域网。外部机构利用远程拨号形式进入web服务器,客户端利用局域网即可实现所需数据的查询、统计与审核;分部设计:各分部进行工作站软件的安装,利用局域网或拨号方式对数据进行交换,并传送到总部服务器中,可利用浏览器对总部web、数据库等进行访问,从而顺利进行数据的统计、查询及录入,解决了重复性操作等问题。
2.系统结构分析
本系统采用的是B/S结构模式,如图1所示。该模式集浏览器、web及信息服务等技术于一体,可利用一个浏览器对多个平台的服务器进行访问。较C/S模式而言,B/S结构共三层,包括客户机、服务器和Web服务器。客户端将请求发送出去,Web服务器从数据库中提取数据,并进行计算,然后将结果反馈给客户端,用户利用浏览器可对结果进行查询。在B/S模式中,服务器负责各个应用软件的升级、开发及维护。
3.系统开发环境
首先,本系统编程语言采用的是Java语言,这是由于该语言跨平台性能良好,无论采用何种类型的计算机、操作系统及浏览器,就能利用Java对网络主页进行制作,并实现了同Java之间良好的交互性;其次,系统数据库采用的是MySQL,这是多数企业网站设计的首选,其不仅系统简单、安装方便、操作轻松,而且拥有良好的稳定性。因此,本文最终选择了Java+MySQL作为系统的开发环境。
4.系统功能的设计
本系统共包括六大功能模块,即基础信息、安全事故、尾矿库安全、安全决策、信息及系统维管模块。
1)基础信息模块,其主要由矿山信息、生产信息、安管制度及安管制度信息等模块构成,负责对矿山基础信息进行处理、管理生产信息,跟踪并记录安管制度建设及落实情况。
2)尾矿库安全模块,负责尾矿库信息的收录、更新、删除,并根据矿山名称对其运行情况进行及时查询和维护,负责对安检信息的存储及更改。
3)安全事故模块,实现了对安全事故相关信息的处理,可以通过矿山名称、安全事故发生时间、类别及严重程度等,进行安全事故相关信息的全面查询,并对安全事故负责人相关信息进行处理。
4)安全决策模块,包括事故及事故树分析等模块,实现了图表功能的查询及生成,可对各矿山安全事故伤亡状况进行查询,并对事故树进行科学分析,以便制定合理的对策。
5)信息模块,包括政策及宣传信息模块,实现了总部对信息内容的修改、更新,以及分部公司浏览信息等功能。6)系统维管模块,实现了管理人员对用户登录及操作内容的管理,提供了信息系统安装、使用及维护内容,便于有关人员参考。
二、结语
