包钢企业网络安全管理_信息管理_基础信息化_.docVIP

包钢企业网络安全管理_信息管理_基础信息化 ??? 0 引言 ??? 包钢于2004年实现了信息化一期工程的目标，建立了包钢科技信息大楼信息网络系统，具有主干千兆、桌面百兆的高速率、全冗余的包钢信息网络交换核心节点已经投入运行。网络核心节点不仅实现了包钢科技信息大楼内部的网络通信，而且还与生产楼、电子楼和销售公司办公楼实现了光纤互联。2005年开始信息化二期工程，以科技信息大楼网络为核心，建立覆盖公司产供销主流程的公司信息网络平台。利用这个信息平台进一步扩大公司办公自动化系统的应用范田，将各二级单位的办公业务纳入到公司办公自动化系统之中。在全公司范围实现公文流转网络化，信息资源共享化，从整体上提高公司办公管理水平，提高效率。同时增强公司各层次管理人员在信息化环境下的适应力，养成电子协作的工作习惯，确保管理人员能够熟练操作计算机，为二期建立以先进的信息技术为于段的现代化钢铁企业管理信息系统ERP打好基础。 ??? 1 拓扑结构 ??? 包钢企业网络拓扑图见图1 ??? 包钢企业网络中核心交换机采用CISCO公司的Catalyst 6509交换机，采用Supervisor Engine 720超级引擎，它提供了惊人的720Gbls的背板带宽和高达400Mb/s往的包转发能力。接人层交换机采用CISCO公司的3550-EMI。服务器区和DMZ区包括IBM小型机和7133磁盘阵列，HP公司的DL580等一系列服务器。操作系统包括IBMAIX5.2，WIN2000AD，WIN2003。在网络中的主要应用是基于公司的办公自动化。 ??? 包钢企业网络拓扑结构比较简沽，两台Catalyst6509以全冗余结构实现对所有分布层汇集点部J接入，它们之间通过两条物理光纤连接GEtrunk，在核心节点上形成带宽高达4Gb/s的交换通道，以保证核心节点无单点故障。 ??? 网络核心的Catalyst6509是整个网络的交换中心，同时也是整网(LAN)的路由中心，全网的第3层、第4层操作都通过核心的Catalyst6509集中进行，其有效性通过Catalyst6509全线速的多层处理性能以及骨干网的高带宽(2xGE)来保证。 ??? 2 安全管理 ??? 企业网络覆盖的地域面积大，应用繁杂，有极高的网络可用性需求，有很高的硬件、软件的资产管理需求，有很高的终端管理需求等口正是由于企业网络的固有特点，加强网络管理，开发管理手段，构建立体的安全架构是非常必要的。另外，网络管理不是仅通过设备就可以解决所有问题，在网络建设完成后，各网络设备发挥的功能仅仅是基本功能，随着网络的运行，各种问题层出不穷。如何基于初期的安全体系，研究管理手段，对设备潜在功能选行开发，形成一套行之有效的安全管理办法，这才是网络管理人员价值的体现。包钢企业网络在网络管理人员的努力下，已经形成了一套安全管理办法，在平衡的前提下逐步完善肇个安全体系架构。由于篇幅限制，以下仅对一些比较先进的安全管理手段进行简单介绍。 ??? 图1包钢企业网络拓扑图 ??? 2.1合理规划E、VLAN保证网络的高性能 ??? 从广播控制角度出发，平衡考虑核心千兆，桌面百兆的接入方式，在进行具体VLAN规划时，同一个广播域内(一个VLAN)的通信主机不要超过划台。对于主机数量超过卸的业务部门，我们通过二层隔离、三层交挟的方式来解决。根据计算.每个VLAN内终端的数目不宜大于50台，我们采用可变长子网掩码(V凶M)技术，划分多个VLAN，并根据规划将1个C段再细分为4个地址段，例如纪委的地址段是10.10.10.0/26，而财务部1就是10.10.10.64/26，而财务部2就是10.10.10.128/26。 ??? 这种划分的好处就是缩小了IP段内地址的范围。在实际网络运行中，这种规划使网络攻击者实施攻击的难度增加，而网络管理中由于终端的范围细化，可采取的手段增多。 ??? 以上的的划分对于核心网络管理范围内是有效的，但对于其他网络接人而预留IP地址段就有点过于烦琐了。所以对于包钢集团内二级公司接人核心网络，在迸行IP地址设计时就需要保留足够的地址空间，同时考虑可以简单的进行路由汇总。例如焦化厂我们可以分配给10.11.0.0/22，而炼铁厂分用10.11.4.0122，以此类推，每个厂我们就有四个C类网段，可以容纳1000余台主机，而在网络管理中，仅用一句话就可以汇总出某个二级单位的地址空间。从这点可以看出IP地址的规划是网络的基础，如果没奋好的IP规划，将为网络管理埋下巨大的隐患。 ??? 2.2应用DHCP中继代理技术减少广播包 ??? DHCP服务器在企业网络中是不可缺少的应台DHCP服务器，将不可避免地出现整个网络的混乱。采用DHCP中继代理技术，就可以很好地信息，另外，如果终端用户自行在网络中接入第