企業(yè)局域網(wǎng)規(guī)劃與管理

2019-11-05 03:06:59

字體：大中小

來源：轉載

供稿：網(wǎng)友

　　目前，國內(nèi)各企業(yè)大都建立了計算機網(wǎng)絡，網(wǎng)絡應用頗具規(guī)模，非凡在數(shù)值計算、信息治理、辦公事務、工程（產(chǎn)品）設計、加工制造等方面基本實現(xiàn)了計算機應用，計算機、網(wǎng)絡和數(shù)據(jù)庫正在成為企業(yè)日常運行的基石。但是，許多企業(yè)由于網(wǎng)絡治理相對滯后，網(wǎng)絡效益難以獲得應有發(fā)揮。假如各企業(yè)以現(xiàn)有的網(wǎng)絡設施為基礎，在網(wǎng)絡結構上做必要調(diào)整，在網(wǎng)絡治理上做必要的加強，就能進一步挖掘網(wǎng)絡潛力，提高各企業(yè)計算機網(wǎng)絡的應用水平。
　　組網(wǎng)規(guī)劃
　　企業(yè)的組網(wǎng)技術存在多種選擇，但比較實用的是以太網(wǎng)（Ethernet）和ATM。
　　以太網(wǎng)較早進入網(wǎng)絡應用領域，技術成熟，性能穩(wěn)定，伸縮性強，性價比好，是企業(yè)局域網(wǎng)的首選技術。高速以太網(wǎng)（1000Mbps及以上傳輸速率）甚至可承擔實時和多媒體網(wǎng)絡業(yè)務。
　　ATM（Asynchronous Transfer Mode，異步轉移模式）可以提供容量很大的信息通道，并將語音、數(shù)據(jù)、文本、圖像、視頻等各種信息在網(wǎng)絡中進行統(tǒng)一的傳輸和交換，在支持綜合業(yè)務及信道利用率等方面具有優(yōu)越的性能。
　　企業(yè)局域網(wǎng)一般由內(nèi)部網(wǎng)和堡壘網(wǎng)兩部分組成。內(nèi)部網(wǎng)又分成主網(wǎng)和各個相對獨立的子網(wǎng)。堡壘網(wǎng)可看做局域網(wǎng)中的一個子網(wǎng)，它把企業(yè)內(nèi)部網(wǎng)和外部網(wǎng)連接起來，并在二者之間起隔離作用(見右圖)。
　　在企業(yè)局域網(wǎng)上，通常的網(wǎng)絡應用有：通過服務器實現(xiàn)文件服務和打印機（繪圖機）資源共享；數(shù)據(jù)庫應用；MIS及CAD應用；Internet 及Intranet應用；辦公自動化應用等。但是，在網(wǎng)絡環(huán)境中，計算機應用方式應逐步實現(xiàn)網(wǎng)絡化，并強調(diào)資源共享和協(xié)同工作。例如，在數(shù)據(jù)庫應用中，應采用C/S（客戶機/服務器）應用結構，并逐步向B/S（瀏覽器/服務器）應用結構過渡；在CAD應用中，應從單項設計向聯(lián)合設計過渡，并逐步引入三維模型設計方法；在MIS應用中，應以辦公自動化為核心，逐漸融入其他應用項目，借助瀏覽器的支持，逐步形成一個集成的“E－企業(yè)”應用平臺。
　　布線規(guī)劃
　　企業(yè)局域網(wǎng)都應進行結構化布線，以此提高企業(yè)局域網(wǎng)的規(guī)范性和穩(wěn)定性水平。網(wǎng)絡環(huán)境指的就是企業(yè)局域網(wǎng)結構化布線系統(tǒng)的周邊環(huán)境。
　　結構化布線系統(tǒng)由六個子系統(tǒng)組成：
　　(1) 工作區(qū)子系統(tǒng)
　　用戶設備與信息插座之間的連接線纜及部件。
　　(2) 水平子系統(tǒng)
　　樓層平面范圍內(nèi)的信息傳輸介質(zhì)（雙絞線、同軸電纜、光纜等）。
　　(3) 主干子系統(tǒng)
　　連接網(wǎng)絡中心和各子網(wǎng)設備間的信息傳輸介質(zhì)（雙絞線、同軸電纜、光纜等）。
　　(4) 設備室子系統(tǒng)
　　安裝在設備室（網(wǎng)絡中心、子網(wǎng)設備間）和電信室的布線系統(tǒng)，由連接各種設備的線纜及適配器組成。
　　(5) 建筑群子系統(tǒng)
　　在分散建筑物之間連接的信息傳輸介質(zhì)（同軸電纜、光纜等）。
　　(6) 治理子系統(tǒng)
　　配線架及其交叉連接（HC—水平交叉連接，IC—中間交叉連接、MC—主交叉連接）的端接硬件和色標規(guī)則，線路的交連（Cross-Connect）和直連（Interconnect）控制。
　　對于網(wǎng)絡環(huán)境來說，現(xiàn)行國家標準《建筑與建筑群綜合布線系統(tǒng)工程設計規(guī)范》（GB/T 50311-2000）、《計算站場地技術條件》（GB 2887-89）、《電子計算機機房設計規(guī)范》（GB 50174-93）、《計算站場地安全要求》（GB 9361-88）有明確的規(guī)定，可參照執(zhí)行。
　　網(wǎng)絡中心是局域網(wǎng)的核心，總配線架（MDF）、網(wǎng)絡交換機、網(wǎng)絡服務器、路由器、防火墻、網(wǎng)關、海量存儲設備、網(wǎng)管設備等重要網(wǎng)絡實體都放置在這里。網(wǎng)絡中心的環(huán)境除應滿足上述規(guī)定的一般要求外，在某些方面宜執(zhí)行上述規(guī)定中的A級標準。具體描述如下：
　　(1) 安全要求
　　場地選擇、防火、內(nèi)部裝修、供配電系統(tǒng)、空調(diào)系統(tǒng)、火災報警及消防設施、防水、防靜電、防雷擊、防鼠害、電磁波防護11項，宜執(zhí)行《計算站場地安全要求》（GB 9361－88）中的A級標準。
　　(2) 溫度和濕度
　　夏季溫度22±2℃，冬季溫度20±2℃，相對濕度45%～65％，溫度變化率小于5℃/h。
　　(3) 塵埃限制
　　粒度≥0.5μm，個數(shù)≤10000粒/dm3
　　(4) 腐蝕性氣體
　　二氧化硫（SO2）≤0.15，硫化氫（H2S）≤0.01。
　　(5) 網(wǎng)絡電源
　　電壓的變動范圍為-5%～+5%,頻率變化范圍為-0.2Hz～+0.2Hz,波形失真率≤±5%；網(wǎng)絡電源應采用不間斷電源供電系統(tǒng)。
　　(6) 接地
　　交流工作地的接地電阻不宜大于4Ω；安全保護地的接地電阻不應大于4Ω；信號地和屏蔽地的接地電阻不應大于3Ω；防雷保護地的接地電阻不應大于10Ω。
　　子網(wǎng)設備間一般放置分配線架（IDF）、子網(wǎng)交換機、子網(wǎng)服務器、子網(wǎng)打印機等子網(wǎng)設備。一般情況下，配線架和交換機應鎖閉在機柜之中，以免誤動。子網(wǎng)設備間宜參照計算機機房的一般環(huán)境要求執(zhí)行。
　　電信室只放有分配線架，辦公室環(huán)境即可滿足要求。
　　工作區(qū)子系統(tǒng)、水平子系統(tǒng)、主干子系統(tǒng)、建筑群子系統(tǒng)的環(huán)境要求主要考慮如何對網(wǎng)絡線纜和接插件進行保護，即網(wǎng)絡線纜和接插件的防火、防水、防磁、防鼠害、防雷擊、防靜電、防自然破壞和人為破壞等。
　　

　　企業(yè)局域網(wǎng)結構示意圖
　　網(wǎng)絡運行
　　根據(jù)企業(yè)網(wǎng)絡應用情況，企業(yè)局域網(wǎng)可執(zhí)行天天8小時運行制或天天24小時運行制。但在網(wǎng)絡運行期間，企業(yè)一定要安排技術人員值班，以便隨時處理網(wǎng)絡故障、解決網(wǎng)絡問題、保持網(wǎng)絡暢通、提高網(wǎng)絡的可用性和可靠性水平。
　　網(wǎng)絡值班可分為現(xiàn)場值班和呼叫（BP機、手機等）值班兩種形式：法定工作時間應實行現(xiàn)場值班，值班地點最好在網(wǎng)絡中心；晚上或節(jié)假日期間，視網(wǎng)絡應用情況，可設置現(xiàn)場值班或呼叫值班。網(wǎng)絡值班要明確職責，規(guī)定在正常情況下值班人員應該做些什么工作，在異常情況下又將如何應對，如何填寫值班記錄和值班交接記錄等。
　　網(wǎng)絡治理
　　1. 網(wǎng)絡治理員
　　一個企業(yè)可設兩名網(wǎng)絡治理員，一名網(wǎng)絡主管。網(wǎng)絡主管的職責是: 考核網(wǎng)絡工作人員，做好網(wǎng)絡建設和網(wǎng)絡更新的組織工作，制定網(wǎng)絡治理規(guī)章制度并監(jiān)督執(zhí)行。網(wǎng)絡治理員的職責如下：
　　(1) 協(xié)助網(wǎng)絡主管制定網(wǎng)絡建設及網(wǎng)絡發(fā)展規(guī)劃，確定網(wǎng)絡安全及資源共享策略。
　　(2) 負責公用網(wǎng)絡實體，如服務器、交換機、集線器、中繼器、路由器、防火墻、網(wǎng)橋、網(wǎng)關、配線架、網(wǎng)線、接插件等的維護和治理。
　　(3) 負責服務器和網(wǎng)絡軟件的安裝、維護、調(diào)整及更新。
　　(4) 負責網(wǎng)絡賬號治理、資源分配、數(shù)據(jù)安全和系統(tǒng)安全。
　　(5) 參與網(wǎng)絡值班，監(jiān)視網(wǎng)絡運行，調(diào)整網(wǎng)絡參數(shù)，調(diào)度網(wǎng)絡資源，保持網(wǎng)絡安全、穩(wěn)定、暢通。
　　(6) 負責計算機系統(tǒng)備份和網(wǎng)絡數(shù)據(jù)備份；負責計算機網(wǎng)絡資料的整理和歸檔。
　　(7) 保管網(wǎng)絡拓撲圖、網(wǎng)絡接線表、設備規(guī)格及配置單、網(wǎng)絡治理記錄、網(wǎng)絡運行記錄、網(wǎng)絡檢修記錄等網(wǎng)絡資料。
　　(8) 每年對本單位計算機網(wǎng)絡的效能進行評價，提出網(wǎng)絡結構、網(wǎng)絡技術和網(wǎng)絡治理的改進措施。
　　2. 網(wǎng)絡操作
　　網(wǎng)管員對網(wǎng)絡進行治理離不開網(wǎng)絡操作，但網(wǎng)絡操作不能隨意進行，否則輕易出錯。網(wǎng)絡操作的操作對象、操作范圍和操作深度應由操作者所在的崗位職責來確定，并嚴格遵守設備或系統(tǒng)的操作規(guī)程。重大網(wǎng)絡操作（如系統(tǒng)升級、系統(tǒng)更換、數(shù)據(jù)轉儲等）應經(jīng)過網(wǎng)絡主管批準，采取妥善措施保護系統(tǒng)和數(shù)據(jù)，并填寫操作記錄。
　　3. 網(wǎng)絡檢修
　　網(wǎng)絡檢修由網(wǎng)絡治理員會同有關技術人員共同進行。
　　網(wǎng)絡檢修分為定期檢修和臨時檢修兩種。檢修的項目涉及服務器、交換機、集線器、中繼器、路由器、防火墻、網(wǎng)關、網(wǎng)橋、配線架、網(wǎng)線等公用網(wǎng)絡實體。
　　每年宜對局域網(wǎng)的公用網(wǎng)絡實體進行一次全面檢查和預防性維修，更換性能波動或超過使用壽命的設備及部件。
　　網(wǎng)絡的臨時檢修指在網(wǎng)絡出現(xiàn)異常征兆或故障情況下，檢查、分析、確定故障設備或故障部位，并進行應急維修。
　　4. 賬號治理
　　網(wǎng)絡賬號宜分組治理。對于一個單位來說，用戶的網(wǎng)絡賬號可以按其所在部門、所承擔的項目或所扮演的角色分組。為加強治理，用戶入網(wǎng)時應填寫“用戶入網(wǎng)申請登記表”，內(nèi)容可以有：用戶姓名、部門名稱、賬號名及口令、初始目錄、存取權限、網(wǎng)絡資源分配情況等。“申請表”經(jīng)用戶所在部門領導簽字后交網(wǎng)絡治理員辦理。同樣，注銷網(wǎng)絡賬號時，用戶或用戶所在部門也應書面通知網(wǎng)絡治理員撤銷網(wǎng)絡賬號、收回網(wǎng)絡資源。
　　網(wǎng)絡治理員為用戶設置的口令為明碼口令，沒有保密價值，因此，用戶首次使用自己的網(wǎng)絡賬號時應立即修改口令，設置口令密碼。密碼字長不宜小于6個字符。用戶還應該設置本機（網(wǎng)絡工作站）的開機口令和屏幕保護口令，以便非授權人員借機操作。各種口令密碼，其中包括系統(tǒng)治理員網(wǎng)絡賬號口令密碼、用戶網(wǎng)絡賬號口令密碼、本機開機口令密碼、本機屏幕保護口令密碼，都應嚴加保密并適時更換。
　　用戶賬號下的數(shù)據(jù)屬各個用戶的私人數(shù)據(jù)，當事人具有全部存取權限，網(wǎng)絡治理員具有治理及備份權限，其他人員均無權訪問（賬號當事人授權訪問情況除外）。
　　各企業(yè)宜制定網(wǎng)絡賬號治理規(guī)則，如分組規(guī)則、賬號命名規(guī)則、口令字長、口令變更期限、組及用戶存取權限、用戶優(yōu)先級、網(wǎng)絡資源分配規(guī)則等。網(wǎng)絡治理員應根據(jù)企業(yè)制定的賬號治理規(guī)則對用戶賬號執(zhí)行治理，并對用戶賬號及數(shù)據(jù)的安全和保密負責。
　　5. 服務器治理
　　企業(yè)網(wǎng)絡應根據(jù)企業(yè)網(wǎng)絡拓撲結構和網(wǎng)絡應用功能來配置服務器、選擇服務器的檔次及操作系統(tǒng)，形成文件服務器、數(shù)據(jù)庫服務器和各種專用服務器分工合作的服務器資源環(huán)境。網(wǎng)絡服務器宜分為主網(wǎng)服務器和子網(wǎng)服務器，企業(yè)共享的信息安排到主網(wǎng)服務器，部門共享的信息安排到子網(wǎng)服務器。
　　若要服務器健壯，企業(yè)網(wǎng)絡必須采用服務器系統(tǒng)容錯機制。服務器雙工、服務器群集（Cluster）、磁盤雙工、磁盤鏡像、RAID磁盤陣列等都是網(wǎng)絡服務器可選用的容錯措施。
　　在選擇操作系統(tǒng)時，企業(yè)應考慮下述要求：
　　(1) 服務器與服務器之間、工作站與服務器之間能夠?qū)崿F(xiàn)資源共享、數(shù)據(jù)通信和交互操作；
　　(2) 安全級別最低達到TCSEC規(guī)定的C2級安全標準；
　　(3) 操作系統(tǒng)自身功能強、性能優(yōu)、安全可靠、穩(wěn)定高效、使用廣泛、界面友好、支持有力，同時應該是業(yè)界主流的應用系統(tǒng)。
　　在安裝服務器（或修改服務器配置）時，網(wǎng)管員應對服務器的硬件、軟件情況進行登記，填寫“服務器配置登記（更新）表”是一個好辦法。“服務器配置登記表”的內(nèi)容可以包括：服務器名稱及域名、CPU類型及數(shù)量、內(nèi)存類型及容量、硬盤類型及容量、網(wǎng)卡類型及速率、操作系統(tǒng)類型及版本、服務器邏輯名及ip地址、支撐軟件的配置、應用軟件的配置、硬件及軟件配置的變更情況等。
　　服務器有硬盤資源、內(nèi)存資源、CPU資源、I/O資源等供網(wǎng)絡使用。網(wǎng)絡治理員應根據(jù)用戶或進程的優(yōu)先級，分配和調(diào)整服務器的內(nèi)存、CPU和I/O資源。
　　6. 保密措施
　　(1) 人員選擇
　　應對網(wǎng)絡工作人員進行綜合考查，將技術過硬、責任心強、職業(yè)道德好的技術人員安排到網(wǎng)絡工作崗位。網(wǎng)絡主管要對網(wǎng)絡工作人員的現(xiàn)實表現(xiàn)、工作態(tài)度、職業(yè)道德、業(yè)務能力等進行綜合評價，將不合格人員及時調(diào)離網(wǎng)絡工作崗位。被調(diào)離人員應立即辦理網(wǎng)絡工作交接手續(xù)，并承擔保密義務。
　　網(wǎng)絡工作人員變動時，網(wǎng)絡治理員應做好網(wǎng)絡安全方面的相應調(diào)整工作。
　　(2) 責任分散
　　網(wǎng)絡安全要害崗位宜實行輪崗制，時間期限視企業(yè)情況而定；操作系統(tǒng)治理、數(shù)據(jù)庫系統(tǒng)治理、網(wǎng)絡程序設計、網(wǎng)絡數(shù)據(jù)備份等與系統(tǒng)安全和數(shù)據(jù)安全相關的工作宜由多人承擔；涉及網(wǎng)絡安全的重要網(wǎng)絡操作或?qū)嶓w檢修工作應有兩人（或多人）參與，并通過注冊、記錄、簽字等方式予以證實。
　　(3) 出入治理
　　網(wǎng)絡中心所在的計算機房應實行分區(qū)控制，限制工作人員進入到與己無關的區(qū)域。
　　網(wǎng)絡工作人員、外來檢修人員、外來公務人員等進入網(wǎng)絡中心要佩戴身份證件，做到持證操作、持證參觀。外來人員進入網(wǎng)絡中心應始終有人陪同。
　　進、出網(wǎng)絡中心的任何物品都應進行檢查和登記，禁止攜帶與網(wǎng)絡操作無關的物品進、出網(wǎng)絡中心。
　　7. 系統(tǒng)安全
　　未經(jīng)網(wǎng)絡主管批準，任何人不得改變網(wǎng)絡拓撲結構、網(wǎng)絡設備布置、服務器配置和網(wǎng)絡參數(shù)。
　　任何人不得擅自進入未經(jīng)許可的計算機系統(tǒng)，篡改系統(tǒng)信息和用戶數(shù)據(jù)。企業(yè)網(wǎng)最好啟動網(wǎng)絡安全審計功能，對不成功進入、不成功訪問、越權存取嘗試等進行記錄、整理、分析，并采取針對性措施。
　　在企業(yè)局域網(wǎng)上，任何人不得利用計算機技術侵犯用戶合法權益；不得制作、復制和傳播妨害單位穩(wěn)定、淫穢色情等有害信息。
　　各單位應制作計算機系統(tǒng)和網(wǎng)絡數(shù)據(jù)的備份，并儲備一定數(shù)量的備機或備件，使網(wǎng)絡硬件、系統(tǒng)軟件、網(wǎng)絡數(shù)據(jù)等發(fā)生故障后都能及時恢復。
　　企業(yè)宜根據(jù)實際情況制定網(wǎng)絡系統(tǒng)應急計劃，以便在火災、水災、地震、意外停電、外部攻擊、錯誤操作、系統(tǒng)崩潰等災難性事故發(fā)生時能夠有條不紊地采取緊急救助和緊急恢復措施。
　　8. 數(shù)據(jù)備份
　　網(wǎng)絡數(shù)據(jù)可分為私用、公用、專用、共享、秘密等多種類型；秘密數(shù)據(jù)又可分為多個密級。對于不同類型的數(shù)據(jù)，企業(yè)應采用訪問控制、身份驗證、數(shù)據(jù)加密、數(shù)字簽名、安全審計等技術手段保證數(shù)據(jù)安全。
　　計算機的主板損壞、驅(qū)動器崩潰、文件破壞以及其他災難性事故有可能經(jīng)常發(fā)生。企業(yè)可以更換主板、驅(qū)動器甚至用戶，但無法更換數(shù)據(jù)。因此，企業(yè)應制定一個有效的數(shù)據(jù)備份策略。
　　數(shù)據(jù)備份的介質(zhì)可以是軟盤、光盤、磁帶等，但從容量、速度、安全性、穩(wěn)定性、性價比、可操作性、可治理性等方面考慮，企業(yè)局域網(wǎng)選用磁帶機做數(shù)據(jù)備份是保護網(wǎng)絡數(shù)據(jù)的較好方法。
　　數(shù)據(jù)備份有完全備份、增量備份、指定備份等備份方式。企業(yè)每年、每月宜做完全數(shù)據(jù)備份，每星期宜做增量數(shù)據(jù)備份，重要數(shù)據(jù)天天應做數(shù)據(jù)備份，并多份拷貝、異地存放。為能較好地恢復數(shù)據(jù)又節(jié)省磁帶開銷，企業(yè)數(shù)據(jù)年備份應保留3年，月備份應保留12個月，星期備份應保留6個月。
　　9. 病毒防治
　　任何人不得在企業(yè)局域網(wǎng)上制造、傳播計算機病毒，不得故意輸入計算機病毒及其有害數(shù)據(jù)危害網(wǎng)絡安全。網(wǎng)絡使用者發(fā)現(xiàn)病毒，應立即向網(wǎng)絡治理員報告，以便獲得及時處理。
　　網(wǎng)絡服務器的病毒防治宜由網(wǎng)絡治理員負責。網(wǎng)絡工作站的病毒防治宜由用戶負責，網(wǎng)絡治理員可以進行指導和協(xié)助。
　　企業(yè)在購買計算機病毒防治產(chǎn)品時，應確保產(chǎn)品生產(chǎn)單位具有《計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證》，其病毒防治能力達到公安部規(guī)定的水平（詳見《計算機病毒防治產(chǎn)品評級準則》）。
　　結束語
　　企業(yè)局域網(wǎng)的治理由行為治理和技術治理兩方面構成，行為治理對技術治理有指導和約束作用。技術治理有技術說明書可供參考，行為治理則需要積累經(jīng)驗并形成規(guī)范。企業(yè)只有將技術治理和行為治理結合起來，網(wǎng)絡治理才能完備，才能為企業(yè)的生產(chǎn)、經(jīng)營做出其應有的貢獻。

上一篇：局域網(wǎng)向電話線延伸

下一篇：局域網(wǎng)的配置管理(4)—布線方案