如何加強企業局域網網絡結構規劃與管理
我國的計算機網絡,特別是局域網技術發展最為迅速,網絡應用頗具規模,特別在數值計算、信息管理、辦公事務、工程(產品)設計、加工制造等方面基本實現了計算機應用,計算機、網絡和數據庫正在成為企業日常運行的基石。但是,許多企業由于網絡管理相對滯后,網絡效益難以獲得應有發揮。如果各企業以現有的網絡設施為基礎,在網絡結構上做必要調整,在網絡管理上做必要的加強,就能進一步挖掘網絡潛力,提高各企業計算機網絡的應用水平。
組網規劃
企業的組網技術存在多種選擇,但比較實用的是以太網(Ethernet)和ATM。
以太網較早進入網絡應用領域,技術成熟,性能穩定,伸縮性強,性價比好,是企業局域網的首選技術。高速以太網(1000Mbps及以上傳輸速率)甚至可承擔實時和多媒體網絡業務。
ATM(Asynchronous Transfer Mode,異步轉移模式)可以提供容量很大的信息通道,并將語音、數據、文本、圖像、視頻等各種信息在網絡中進行統一的傳輸和交換,在支持綜合業務及信道利用率等方面具有優越的性能。
企業局域網一般由內部網和堡壘網兩部分組成。內部網又分成主網和各個相對獨立的子網。堡壘網可看做局域網中的一個子網,它把企業內部網和外部網連接起來,并在二者之間起隔離作用(見右圖)。
在企業局域網上,通常的網絡應用有:通過服務器實現文件服務和打印機(繪圖機)資源共享;數據庫應用;MIS及CAD應用;Internet 及Intranet應用;辦公自動化應用等。但是,在網絡環境中,計算機應用方式應逐步實現網絡化,并強調資源共享和協同工作。例如,在數據庫應用中,應采用C/S(客戶機/服務器)應用結構,并逐步向B/S(瀏覽器/服務器)應用結構過渡;在CAD應用中,應從單項設計向聯合設計過渡,并逐步引入三維模型設計方法;在MIS應用中,應以辦公自動化為核心,逐漸融入其他應用項目,借助瀏覽器的支持,逐步形成一個集成的“E-企業”應用平臺。
布線規劃
企業局域網都應進行結構化布線,以此提高企業局域網的規范性和穩定性水平。網絡環境指的就是企業局域網結構化布線系統的周邊環境。
結構化布線系統由六個子系統組成:
(1) 工作區子系統
用戶設備與信息插座之間的連接線纜及部件。
(2) 水平子系統
樓層平面范圍內的信息傳輸介質(雙絞線、同軸電纜、光纜等)。
(3) 主干子系統
連接網絡中心和各子網設備間的信息傳輸介質(雙絞線、同軸電纜、光纜等)。
(4) 設備室子系統
安裝在設備室(網絡中心、子網設備間)和電信室的布線系統,由連接各種設備的線纜及適配器組成。
(5) 建筑群子系統
在分散建筑物之間連接的信息傳輸介質(同軸電纜、光纜等)。
(6) 管理子系統
配線架及其交叉連接(HC—水平交叉連接,IC—中間交叉連接、MC—主交叉連接)的端接硬件和色標規則,線路的交連(Cross-Connect)和直連(Interconnect)控制。 #p#
對于網絡環境來說,現行國家標準《建筑與建筑群綜合布線系統工程設計規范》(GB/T 50311-2000)、《計算站場地技術條件》(GB 2887-89)、《電子計算機機房設計規范》(GB 50174-93)、《計算站場地安全要求》(GB 9361-88)有明確的規定,可參照執行。
網絡中心是局域網的核心,總配線架(MDF)、網絡交換機、網絡服務器、路由器、防火墻、網關、海量存儲設備、網管設備等重要網絡實體都放置在這里。網絡中心的環境除應滿足上述規定的一般要求外,在某些方面宜執行上述規定中的A級標準。具體描述如下:
(1) 安全要求
場地選擇、防火、內部裝修、供配電系統、空調系統、火災報警及消防設施、防水、防靜電、防雷擊、防鼠害、電磁波防護11項,宜執行《計算站場地安全要求》(GB 9361-88)中的A級標準。
(2) 溫度和濕度
夏季溫度22±2℃,冬季溫度20±2℃,相對濕度45%~65%,溫度變化率小于5℃/h。
(3) 塵埃限制
粒度≥0.5μm,個數≤10000粒/dm3
(4) 腐蝕性氣體
二氧化硫(SO2)≤0.15,硫化氫(H2S)≤0.01。
(5) 網絡電源
電壓的變動范圍為-5%~+5%,頻率變化范圍為-0.2Hz~+0.2Hz,波形失真率≤±5%;網絡電源應采用不間斷電源供電系統。
(6) 接地
交流工作地的接地電阻不宜大于4Ω;安全保護地的接地電阻不應大于4Ω;信號地和屏蔽地的接地電阻不應大于3Ω;防雷保護地的接地電阻不應大于10Ω。
子網設備間一般放置分配線架(IDF)、子網交換機、子網服務器、子網打印機等子網設備。一般情況下,配線架和交換機應鎖閉在機柜之中,以免誤動。子網設備間宜參照計算機機房的一般環境要求執行。
電信室只放有分配線架,辦公室環境即可滿足要求。
工作區子系統、水平子系統、主干子系統、建筑群子系統的環境要求主要考慮如何對網絡線纜和接插件進行保護,即網絡線纜和接插件的防火、防水、防磁、防鼠害、防雷擊、防靜電、防自然破壞和人為破壞等。
企業局域網結構示意圖 #p#
網絡運行
根據企業網絡應用情況,企業局域網可執行每天8小時運行制或每天24小時運行制。但在網絡運行期間,企業一定要安排技術人員值班,以便隨時處理網絡故障、解決網絡問題、保持網絡暢通、提高網絡的可用性和可靠性水平。
網絡值班可分為現場值班和呼叫(BP機、手機等)值班兩種形式:法定工作時間應實行現場值班,值班地點最好在網絡中心;晚上或節假日期間,視網絡應用情況,可設置現場值班或呼叫值班。網絡值班要明確職責,規定在正常情況下值班人員應該做些什么工作,在異常情況下又將如何應對,如何填寫值班記錄和值班交接記錄等。
網絡管理
1. 網絡管理員
一個企業可設兩名網絡管理員,一名網絡主管。網絡主管的職責是: 考核網絡工作人員,做好網絡建設和網絡更新的組織工作,制定網絡管理規章制度并監督執行。網絡管理員的職責如下:
(1) 協助網絡主管制定網絡建設及網絡發展規劃,確定網絡安全及資源共享策略。
(2) 負責公用網絡實體,如服務器、交換機、集線器、中繼器、路由器、防火墻、網橋、網關、配線架、網線、接插件等的維護和管理。
(3) 負責服務器和網絡軟件的安裝、維護、調整及更新。
(4) 負責網絡賬號管理、資源分配、數據安全和系統安全。
(5) 參與網絡值班,監視網絡運行,調整網絡參數,調度網絡資源,保持網絡安全、穩定、暢通。
(6) 負責計算機系統備份和網絡數據備份;負責計算機網絡資料的整理和歸檔。
(7) 保管網絡拓撲圖、網絡接線表、設備規格及配置單、網絡管理記錄、網絡運行記錄、網絡檢修記錄等網絡資料。
(8) 每年對本單位計算機網絡的效能進行評價,提出網絡結構、網絡技術和網絡管理的改進措施。
2. 網絡操作
網管員對網絡進行管理離不開網絡操作,但網絡操作不能隨意進行,否則容易出錯。網絡操作的操作對象、操作范圍和操作深度應由操作者所在的崗位職責來確定,并嚴格遵守設備或系統的操作規程。重大網絡操作(如系統升級、系統更換、數據轉儲等)應經過網絡主管批準,采取妥善措施保護系統和數據,并填寫操作記錄。
3. 網絡檢修
網絡檢修由網絡管理員會同有關技術人員共同進行。
網絡檢修分為定期檢修和臨時檢修兩種。檢修的項目涉及服務器、交換機、集線器、中繼器、路由器、防火墻、網關、網橋、配線架、網線等公用網絡實體。
每年宜對局域網的公用網絡實體進行一次全面檢查和預防性維修,更換性能波動或超過使用壽命的設備及部件。
網絡的臨時檢修指在網絡出現異常征兆或故障情況下,檢查、分析、確定故障設備或故障部位,并進行應急維修。#p#
4. 賬號管理
網絡賬號宜分組管理。對于一個單位來說,用戶的網絡賬號可以按其所在部門、所承擔的項目或所扮演的角色分組。為加強管理,用戶入網時應填寫“用戶入網申請登記表”,內容可以有:用戶姓名、部門名稱、賬號名及口令、初始目錄、存取權限、網絡資源分配情況等。“申請表”經用戶所在部門領導簽字后交網絡管理員辦理。同樣,注銷網絡賬號時,用戶或用戶所在部門也應書面通知網絡管理員撤銷網絡賬號、收回網絡資源。
網絡管理員為用戶設置的口令為明碼口令,沒有保密價值,因此,用戶首次使用自己的網絡賬號時應立即修改口令,設置口令密碼。密碼字長不宜小于6個字符。用戶還應該設置本機(網絡工作站)的開機口令和屏幕保護口令,以便非授權人員借機操作。各種口令密碼,其中包括系統管理員網絡賬號口令密碼、用戶網絡賬號口令密碼、本機開機口令密碼、本機屏幕保護口令密碼,都應嚴加保密并適時更換。
用戶賬號下的數據屬各個用戶的私人數據,當事人具有全部存取權限,網絡管理員具有管理及備份權限,其他人員均無權訪問(賬號當事人授權訪問情況除外)。
各企業宜制定網絡賬號管理規則,如分組規則、賬號命名規則、口令字長、口令變更期限、組及用戶存取權限、用戶優先級、網絡資源分配規則等。網絡管理員應根據企業制定的賬號管理規則對用戶賬號執行管理,并對用戶賬號及數據的安全和保密負責。
5. 服務器管理
企業網絡應根據企業網絡拓撲結構和網絡應用功能來配置服務器、選擇服務器的檔次及操作系統,形成文件服務器、數據庫服務器和各種專用服務器分工合作的服務器資源環境。網絡服務器宜分為主網服務器和子網服務器,企業共享的信息安排到主網服務器,部門共享的信息安排到子網服務器。
若要服務器健壯,企業網絡必須采用服務器系統容錯機制。服務器雙工、服務器群集(Cluster)、磁盤雙工、磁盤鏡像、RAID磁盤陣列等都是網絡服務器可選用的容錯措施。
在選擇操作系統時,企業應考慮下述要求:
(1) 服務器與服務器之間、工作站與服務器之間能夠實現資源共享、數據通信和交互操作;
(2) 安全級別最低達到TCSEC規定的C2級安全標準;
(3) 操作系統自身功能強、性能優、安全可靠、穩定高效、使用廣泛、界面友好、支持有力,同時應該是業界主流的應用系統。
在安裝服務器(或修改服務器配置)時,網管員應對服務器的硬件、軟件情況進行登記,填寫“服務器配置登記(更新)表”是一個好辦法。“服務器配置登記表”的內容可以包括:服務器名稱及域名、CPU類型及數量、內存類型及容量、硬盤類型及容量、網卡類型及速率、操作系統類型及版本、服務器邏輯名及IP地址、支撐軟件的配置、應用軟件的配置、硬件及軟件配置的變更情況等。
服務器有硬盤資源、內存資源、CPU資源、I/O資源等供網絡使用。網絡管理員應根據用戶或進程的優先級,分配和調整服務器的內存、CPU和I/O資源。
6. 保密措施
(1) 人員選擇
應對網絡工作人員進行綜合考查,將技術過硬、責任心強、職業道德好的技術人員安排到網絡工作崗位。網絡主管要對網絡工作人員的現實表現、工作態度、職業道德、業務能力等進行綜合評價,將不合格人員及時調離網絡工作崗位。被調離人員應立即辦理網絡工作交接手續,并承擔保密義務。
網絡工作人員變動時,網絡管理員應做好網絡安全方面的相應調整工作。#p#
(2) 責任分散
網絡安全關鍵崗位宜實行輪崗制,時間期限視企業情況而定;操作系統管理、數據庫系統管理、網絡程序設計、網絡數據備份等與系統安全和數據安全相關的工作宜由多人承擔;涉及網絡安全的重要網絡操作或實體檢修工作應有兩人(或多人)參與,并通過注冊、記錄、簽字等方式予以證明。
(3) 出入管理
網絡中心所在的計算機房應實行分區控制,限制工作人員進入到與己無關的區域。
網絡工作人員、外來檢修人員、外來公務人員等進入網絡中心要佩戴身份證件,做到持證操作、持證參觀。外來人員進入網絡中心應始終有人陪同。
進、出網絡中心的任何物品都應進行檢查和登記,禁止攜帶與網絡操作無關的物品進、出網絡中心。
7. 系統安全
未經網絡主管批準,任何人不得改變網絡拓撲結構、網絡設備布置、服務器配置和網絡參數。
任何人不得擅自進入未經許可的計算機系統,篡改系統信息和用戶數據。企業網最好啟動網絡安全審計功能,對不成功進入、不成功訪問、越權存取嘗試等進行記錄、整理、分析,并采取針對性措施。
在企業局域網上,任何人不得利用計算機技術侵犯用戶合法權益;不得制作、復制和傳播妨害單位穩定、淫穢色情等有害信息。
各單位應制作計算機系統和網絡數據的備份,并儲備一定數量的備機或備件,使網絡硬件、系統軟件、網絡數據等發生故障后都能及時恢復。
企業宜根據實際情況制定網絡系統應急計劃,以便在火災、水災、地震、意外停電、外部攻擊、錯誤操作、系統崩潰等災難性事故發生時能夠有條不紊地采取緊急救助和緊急恢復措施。
8. 數據備份
網絡數據可分為私用、公用、專用、共享、秘密等多種類型;秘密數據又可分為多個密級。對于不同類型的數據,企業應采用訪問控制、身份驗證、數據加密、數字簽名、安全審計等技術手段保證數據安全。
計算機的主板損壞、驅動器崩潰、文件破壞以及其他災難性事故有可能經常發生。企業可以更換主板、驅動器甚至用戶,但無法更換數據。因此,企業應制定一個有效的數據備份策略。
數據備份的介質可以是軟盤、光盤、磁帶等,但從容量、速度、安全性、穩定性、性價比、可操作性、可管理性等方面考慮,企業局域網選用磁帶機做數據備份是保護網絡數據的較好方法。
數據備份有完全備份、增量備份、指定備份等備份方式。企業每年、每月宜做完全數據備份,每星期宜做增量數據備份,重要數據每天應做數據備份,并多份拷貝、異地存放。為能較好地恢復數據又節省磁帶開銷,企業數據年備份應保留3年,月備份應保留12個月,星期備份應保留6個月。
9. 病毒防治
任何人不得在企業局域網上制造、傳播計算機病毒,不得故意輸入計算機病毒及其有害數據危害網絡安全。網絡使用者發現病毒,應立即向網絡管理員報告,以便獲得及時處理。
網絡服務器的病毒防治宜由網絡管理員負責。網絡工作站的病毒防治宜由用戶負責,網絡管理員可以進行指導和協助。
企業在購買計算機病毒防治產品時,應確保產品生產單位具有《計算機信息系統安全專用產品銷售許可證》,其病毒防治能力達到公安部規定的水平(詳見《計算機病毒防治產品評級準則》)。
企業局域網的管理由行為管理和技術管理兩方面構成,行為管理對技術管理有指導和約束作用。技術管理有技術說明書可供參考,行為管理則需要積累經驗并形成規范。企業只有將技術管理和行為管理結合起來,網絡管理才能完備,才能為企業的生產、經營做出其應有的貢獻。
【編輯推薦】
