458.中小型企业网的组建与管理探讨.doc

XXXX学院毕业设计（论文）中小型企业网的组建与管理探讨学 院: 专 业: 班 级: 学 号: 学生姓名: 指导教师: 2010年5月23日摘 要 信息化浪潮风起云涌的今天，企业内部网络的建设已经成为提升企业核心竞争力的关键因素。企业网已经越来越多地被人们提到，利用网络技术，现代企业可以在供应商、客户、合作伙伴、员工之间实现优化的信息沟通。这直接关系到企业能否获得关键的竞争优势。近年来越来越多的企业都在加快构建自身的信息网络，而其中绝大多数都是中小企业。目前我国企业尤其是中小型企业网络建设正在如火如荼地开展着，中小企业网络作为网络化建设的一直主题力量，其市场前景得到越来越多的关注。据IDC预测：在未来几年中，中小企业的网络建设将以每年15%的速度增长。因此中小型企业网络组建是当前大家所关注的问题。然而就像大企业所面临的一样，安全问题也一直困扰着中小企业。关于中小企业网络安全的相关报导也一直层不穷，给中小企业所造成的损失不可估量。由于涉及企业形象的问题，所曝光的事件只是冰山一角。所以能否解决好企业网络安全问题，也是众多企业所关心的问题。与此同时加强企业内部网络管理，也能够确保中小型企业网络安全。使企业更快更好的发展。本文讨论了中小型企业网的组建与管理，深入分析了在企业网组建与管理当中遇到的问题。关键字：企业网，企业网络管理，企业网络建设，企业网安全目 录第1章 企业网概述31.1企业网31.2 认识企业网31.2.1新的现象31.2.2一些新气象41.2.3战略用途5第2章 中小型企业网组建72.1中小型企业概念72.2中小规模局域网的需求特点和建网策略72.2.1高性能的千兆网络核心72.2.2端到端的智能化网络72.2.3高可靠性的网络82.2.4管理简单的网络82.2.5关注网络安全82.2.6高投资回报的网络82.3构建网络系统的必要性和可行性82.4中小企业如何构建网络系统92.4.1网络基础架构92.4.2Internet接入11第3章 中小型企业网安全管理143.1企业网络安全143.1.1现有安全防护体系存在问题143.1.2网络安全153.2企业内部管理方法183.2.1目的183.2.2网络管理员责任183.2.3安全管理规定193.2.4病毒防止管理规定193.2.5 IP地址、入网申请与用户管理规定20总 结21致 谢22参考文献：23第1章 企业网概述1.1企业网企业内部网是采用国际互联网（Internet）的技术和产品建立起来的公司内部专用网络。这是一种不同一般的员工交流工具。 企业内部网为企业提供了前所未有的交流能力，但它使用的不是传统方式。虽然你也可以在企业内部网上发表传统的员工信息，但它能使员工及各部门本身成为信息的发表者和交流的促进者。它可以使企业中的每一位员工利用整个公司的智力资本，而不仅仅是日常工作中接触的几位同事。 1.2 认识企业网  1.2.1新的现象 企业内部网能提高生产力，节省资金；能加快工程实施，改善质量；能促进双向及多向交流，改进现有的工序和工作流程。两年前，还很少有人听到过企业内部网这个词。如今，许多企业在以惊人的速度匆匆拼凑企业内部网。然而，许多公司在建网过程中，只是依照技术参数加以拼凑。许多的企业内部网并没有征求专业交流人员的参与。就交流者来说，当他们发现已建立起一个企业内部网时，通常感到惊讶。由于他们对此技术不甚了了，尽管企业内部网对员工交流有密切关系，他们对它的建立也漠不关心。许多在企业内部安装了环球网（the Web）的公司自以为已经拥有了企业内部网，其实不然，真正的企业内部网集成了国际互联网（Internet）的多种功能，而不只是环球网。 一直以来被媒介大吹大擂、非常火爆的国际互联网是一个由数以万计的计算机网络联结起来的巨大网络。组成这个巨大网络的计算机系统可以传递或相互交流信息，因为它们使用一个共同协定，也就是说讲的是同一种语言。我们把这种语言称作传输控制跨网协定（TCP/IP）。 由于有了这门共同语言，所有这些计算机的资源结合在一起就如同一个庞大的操作系统。我们可以把国际互联网看作视窗（Windows）。单独来看，这些操作系统功能有限，但你可以在这些系统上运行许多了不起的应用程序，如文字处理器、桌面出版程序、数据库、电子表格程序等。国际互联网正是如此。就其本身而言，它只不过是一个网络而已。但它可以支持功能强大的应用软件，包括电子邮件（e-mail）、环球网（World Wide Web）、Gopher（编者译：戈佛服务器）、Internet Relay Chat（编者译：国际互联网闲谈室）和Usenet Newsgroups（编者译：新闻公布板）。    加入国际互联网的计算机如果使用TCP/IP协定，便可以作为全球网络中的一个部分在局域网内做任何事情。企业内部网的概念即来源于此。也就是说，你可以利用本公司的局域网络（LAN）或宽域网络（WAN）上的TCP/IP协议，建立起企业内部网，即一个只给内部员工使用的专有互联网。与网络相连的任何一位员工的工作站都可访问企业内部网。   1.2.2一些新气象 虽然环球网本身并不构成企业内部网，但它应该是员工用来访问企业内部网的中心界面。环球网操作简单，易于掌握并且能够支持各种非环球网的应用程序，如电子邮件和新闻公告版。企业网络中至少要有一台计算机用来作服务器，接收员工个人工作站对环球网页的申请并把这些网页发布给申请者的桌面机。在服务器上，你可存储各种环球网页以及使员工通过环球网页与数据库互动的各种程程序。这一切听起来更象是技术性的工作，而非交流？请看看以下一些新气象：你不必再印刷员工手册或指南一类的资料。它们可能刚出炉就已过时了。你可以把它们存入企业内部网，员工不费吹灰之力便可从网上找到所需信息。他们输入一个关键词，用鼠标一点，便可找到所有相关条目。 员工电话指南现在可以是互动式的了。你可以按姓名、部门或所处地理位置查找员工。你找到一位员工，同时也获得其简介、所在部门情况，并有一个链接点可以让你给他发电子邮件。 员工可通过桌面机查询福利信息、参加年度福利登记。这些互动性能可使员工在做出最后决定前，制出不同的福利方案并查明相关费用。另外，企业内部网还可使员工浏览公司内部的职位空缺并提出申请。在上述两种情况下，员工输入的信息将直接传到相应的数据库，从而给有关部门省去许多麻烦。 员工可查索本公司在世界各地发布的图文广告，从而使员工能够获知公司及其产品或服务在不同地区环境中是如何定位的。 合同及其它与顾客有关的信息皆能储存在可供查询的数据库中，使负责顾客服务的代表能快速找到信息、回答顾客问题。 你可将公司信息归档，如产品说明、销售成果及技术规格。这样，员工可快速、简便地找到所需信息，根据需要调整格式。 不能参加季度会议的经理可观看整个会议过程的录像，或只挑选自己感兴趣的片断。他们可以把图表复制到自己的计算机上，这样便能利用这些图表与本公司员工交流。 员工可收听总裁对股东的现场发言，也可待有空时再看。他们可以听全篇发言，也可只选择感兴趣的部份。 各部门可以发布有关它们的成果、日程安排以及所提供的服务等信息。    1.2.3战略用途 有人担心，员工随手可以得到各种信息会不会导致信息泛滥。然而，只有面临过多不能满足自己需要的信息时，才会出现信息泛滥。如一份长达8页的简讯中只是一篇与某位员工的需求有关，那么，它与整个企业内部网相比将更容易造成信息泛滥，因为企业内部网可以快速查询到员工确切需要的信息1.2.3战略用途 如果把企业内部网视为战略性交流的一个组成部分，最好的方法之一，就是在网上为员工发布尽量多的详细信息，以满足他们的需要。如果你将信息发布在其它媒介上（如印刷或视像媒体），该媒介则会显得很重要，这是因为只有在你认为有需要特别注意的信息时才会使用这种媒介。 同样，你允许员工之间互相提供的信息越多，就越能把注意力集中在需要自上而下交流策略的重要信息，如有关企业组织战略的信息。新闻公告板可使员工在公司内部成员中查询及接收具体的信息，而让各部门建立环球网网址将给你时间以便把注意力放在重要问题上。这些重要问题仍需要企业组织内的交流专家来管理。 交流专家可充当内部顾问，帮助其它部门在企业内部网上建立环球网页，使之符合有效交流的原则。他们也可以建立员工交流网址，发布交流部门用印刷及其它媒介传播的信。第2章 中小型企业网组建2.1中小型企业概念首先要搞清楚中小企业的概念。中小企业通常是指规模在500人以下的企业，如果进一步细分，又可分为100人以下的小型企业、100250人的中小型企业，以及250人以上的中型企业。从广义的角度，又可以将同等规模的政府、科研及教育等单位也作为中小企业来看待。相对于中小企业的人数，中小企业网络是指节点数小于500个的网络。2.2中小规模局域网的需求特点和建网策略2.2.1高性能的千兆网络核心 随着网络用户数量和应用种类的不断增加，10/100M网络成本的不断下降，目前大部分用户的桌面系统均已采用百兆到桌面，网络主干则为千兆以太网络。与以前的局域网络技术相比，千兆网络具备简单、高效、建设成本低等显著优势。尤其是基于铜缆双绞线的千兆以太网络技术产品的推出，使千兆网络的建设成本进一步降低，千兆网络无疑已经成为建设企业网络核心的最佳之选。2.2.2端到端的智能化网络目前，用户的网络需要承载各种结合数据、语音、视频、图形图像等多种信息载体的应用，而它们对网络传输服务的需求是不同的，比如语音和视频信息的传输需要恒定的网络带宽，同时对网络的延时和延时抖动要求严格，图形图像信息则对网络带宽要求较高，即使传统的数据信息的传输对于不同的业务应用其网络服务要求也是不同的。这样，网络需要能针对不同类型的应用来满足对传输服务质量的要求。同时网络用户也需要能对不同业务应用和网络资源的访问进行安全控制。解决网络服务质量和安全的关键在于网络的智能化，而且是从过去的智能化核心模式向从网络核心（核心交换机）到网络边缘（桌面交换机）端到端的智能化模式迁移。2.2.3高可靠性的网络    现在企业业务的运营与管理都是基于网络业务应用而实现的，网络系统稳定可靠的的运行是关键。用户需要高可靠性的网络。  2.2.4管理简单的网络 网络用户数量和规模、网络承载的业务应用、网络技术和产品的采用都在不断的增加，这意味着网络的复杂度在不断增加，网络的管理成本和管理风险也在同步提高，尤其对于中小网络用户，所以他们更需要建设能够简单管理的网络。2.2.5关注网络安全现在，中小企业不约而同地在建立企业经营信息管理系统，这些系统提供信息是企业核心的机密之一。为保证这些重要信息，很多企业借助于操作系统和数据库口令机制。但由于这些方法无法真正保证安全，会经常发生信息漏露。同时，由于无法跟踪每个员工究竟使用哪些信息，事先无法做到有效的威慑和防范。而就算事后通过其它途径得知时，以往往没有证据而无法举证。这些都严重地影响了企业的正常运营，因此需要在交换机中加强安全模块和安全策略。2.2.6高投资回报的网络实用性与先进性并举的高投资回报网络市场的竞争日趋激烈，用户将越来越注重网络投资的实效性，并根据企业现在和未来的实际业务需求渐进投入，建设高投资回报的网络。2.3构建网络系统的必要性和可行性 目前，对于国内的中小企业而言，计算机技术的应用很大程度上还只是停留在单机应用的水平上，应用软件也只是办公软件和简单的数据库应用。随着企业信息化的逐步深入和企业自身发展的需求，在充分利用现有资源、不需要很大投资的基础上，构建适合自身情况、满足实际需求的网络系统是非常必要的，也是切实可行的。具体地讲，主要体现在以下几个方面1社会进入信息时代后，要求企业用信息技术来强化企业的管理、生产和经营，而企业要创造更多的经济效益就必须借助信息技术来提高企业的生产效率和管理水平，这不但适用于大型企业，对占相当比重的中小企业同样适用。这也是促使中小企业建设网络系统的主要原因。2网络技术的发展使得网络建设从基础架构到维护和管理都变得十分简单和智能，丰富的网络产品线和不断降低的价格，可以让中小企业根据自身的情况，按照实际的经济条件来构建自己的网络，用于网络建设的投资对于企业而言不再成为一个负担。3各自为战的单机应用逐步暴露出现有资源利用率低、信息冗余大等问题，而解决这些问题的惟一途径就是建设一个满足应用需求的网络系统来实现资源的共享。4一个成功的企业不仅要了解世界，还要让世界知道自己。实现这个目标的最佳途径就是要利用Internet。通过Internet，企业不仅可以获得大量的有价值的信息，同时也可以将企业的信息通过Internet发布到世界各地。因此，中小企业进行计算机网络特别是Intranet的建设，不仅是信息社会发展的要求，也是自身发展所必须的。2.4中小企业如何构建网络系统中小企业如何利用有限的资金来构造适合自己实际情况的网络系统呢？下面从网络基础架构、Internet接入两个方面进行阐述。2.4.1网络基础架构同大型企业相比，中小企业的规模较小，应用的类型少而且比较简单，因此其网络的基础架构相对简单，实现起来比较容易一些，投资也会少得多。从目前的网络技术和应用的发展趋势来看，对于中小企业，采用基于TCP/IP协议组的以太交换网模式是最适合的。经过几年的发展，以太交换技术和产品都十分成熟，网络的实现和管理都很简单，维护量也小，并且可以向未来的发展进行平滑的升级和过渡。1.通信子网的架构中小企业的网络通常由单个节点构成，网络工作站数量较少且接入比较集中，因此核心网络设备选择100M的以太交换机就可以了。所有的网络工作站和应用服务器通过五类双绞线接入到交换机中构成一个集中接入的星型网络结构，每一台计算机可以独占100M的带宽当中心交换设备需要由多个交换机构成时，建议交换机选择可以堆叠的交换机，可堆叠的交换机之间进行交换时利用带宽很高的内部总线，可以保证每台接入的计算机都具有100M的带宽。当工作站到中心交换设备的距离超过100M时，可以在工作站和中心交换机之间设置一台交换机，以级联的方式与中心交换机连接，工作站接入到级联的交换机中，不过这些工作站只能共享100M的传输带宽由于以太网以数据广播的方式进行工作，当一个网络中的工作站较多时，网络通道就变得比较拥塞，网络的性能也就随之较低。为了改善这种情况，可以采用VLAN技术将一个网络划分为几个逻辑上相互独立的虚拟局域网，即VLAN。通过VLAN技术，广播信息被限制在每个VLAN中，而不再是整个网络，并且各个子网之间不能直接通信，不但可以减轻网络负载，而且可以提高网络通信的安全性。如果希望用VLAN技术来规划整个网络，那么在选择交换机时，要求设备必须支持802.1Q标准，这样可以跨越交换机来定义同一个VLAN，也可以在VLAN中使用多个厂家的产品。划分了VLAN后，各VLAN之间的通信需要第三层设备的支持。实现的方法是在网络中设置路由器或三层交换机。传统的路由器基于软件，协议复杂，数据转发速度比较慢；而三层交换机集成了第二层的数据交换技术和第三层的数据转发技术，特别是它对于数据包的转发是通过硬件来完成的，处理效率非常高，完全可以匹配局域网高速的传输速度。因此，在构建采用VLAN技术的网络时，最优的选择是以三层交换机作为网络核心。2.服务器选择服务器是网络的重要组成部分，服务器的性能往往决定了网络应用的性能。一般情况下，由于网络产品的功能、性能与价格是成正比的，因此，要根据具体的需求和应用程度来选择服务器。对于关键业务的数据库服务器或者Web/Mail服务器通常选择性能较高的企业级PC服务器，而DHCP/WINS服务器、防病毒服务器、DNS服务器和代理服务器由于工作负载较小，用配置较高的PC或部门级的PC服务器来担当就可以了。2.4.2Internet接入对Internet资源的访问，最终都是通过资源所具有的惟一的公有IP地址实现的。对于一个内部网络，每一台工作站和应用服务器的IP地址均为内部专有的地址，以这样的IP地址是不能访问Internet资源的。因此，要实现一个内部网络对Internet的访问，必须在内部网络和Internet之间设置一个具有网络地址转换功能（NAT）的设备，对于从内部网络向外发出的IP数据包，NAT设备可以将数据包中所包含的源IP地址和源TCP/IP端口号等信息转换为可以在Internet上使用的公有IP地址和可能改变的TCP/UDP端口号；而当Internet主机响应的数据包流入内部网络时，NAT将数据包中包含的目的IP地址和目的TCP/UDP号等信息转换为专有IP地址和最初的TCP/UDP端口号，从而对外部屏蔽了内部网络的IP地址。1.选择自己的接入方式。企业可以根据自己的需要来选择相应的Internet接入模式，如果允许登录Internet的工作站数量少，并且只是进行信息的浏览，可以选择拨号的方式。在一台计算机上安装相应的代理软件作为代理服务器，由代理服务器执行地址转换的功能，代理服务器通过Modem、ISDN或ADSL等接入设备与Internet进行连接，其他的工作站则通过代理服务器对Internet进行访问。最简单的例子，在一个小型的内部网络中，选择一台基于Windows2000的工作站作为代理服务器，启用这台计算机中Windows 2000/XP内嵌的Internet连接共享功能，就可以实现内部网络对Internet的访问了。这种方式的投资很小，也不需租用专线的费用，但这种方式只适用于小型的网络，而且只能对Internet的资源进行访问，不能向外部发布信息。另外一种模式就是企业通过租用电信部门的专线将自己的内部网络与Internet形成相对固定的连接，这样不但可以充分利用Internet上的信息资源和各类服务，而且可以通过Internet有限制地向外部公布或发布企业信息，也就说要将企业的网络逐步向Intranet过渡。在这种接入模式中，由于是内部专有网络与公用网络进行连接，因此需要在内部网络的边界处设置一台路由器，路由器工作在网络层，它可以根据网络层分组的IP地址通过查找路由表确定分组输出的路径，从而实现两个网络的互通。在内部网络安全方面，需要在网络中设置一个防火墙，防火墙一端连接边界路由器，一端与内部网络的交换机相连。所有的内部网络与外部网络之间的通信都必须通过防火墙进行检查和连接，通过在防火墙中制定相应的访问策略，可以有效地将不符合规则的数据包阻隔在内部网络之外，防止外界对内部网络资源的非法访问；同时防火墙也可以防止内部工作站对外部网络进行的不安全访问。防火墙可以以透明模式和NAT模式两种方式工作，如果网络中存在NAT设备，可以将防火墙设置为透明的工作模式；如果网络中没有NAT设备，那么可以利用防火墙的NAT功能进行网络地址转换。由于防火墙的NAT功能由硬件完成，其处理速度比起软件要快得多，因此如果网络中的原有的NAT功能由软件实现，建议将防火墙设置为NAT模式，并禁用由软件实现的NAT功能。服务器设置方面，除了要设置Web服务器外，企业可以根据需要设置相应的电子邮件服务器、FTP服务器和DNS服务器。这些服务器不仅能让内部网络访问而且要提供外部网络的访问。将它们放置在防火墙的非军事区，从而将网络中的应用服务器与外部访问完全隔离开来，提高了内部网络的可靠性。2.有效利用VPN技术。目前，防火墙产品通常都集成了VPN功能，这也为远程用户和企业的分支机构访问企业内部网络资源提供了一个非常好的途径。通常情况下，一个网络要提供远程用户或分支机构进行访问的能力需要采用远程访问服务器、Modem池、电话交换机以及足够的通信线路来构造专门的远程访问系统，这样做不但需要较大的投资，而且通信的安全性也得不到足够的保证。而在VPN方式下，VPN客户端（远程用户或分支机构）和设置在内部网络边界的VPN服务器（防火墙或专用的VPN服务器）使用隧道协议，利用Internet或公用网络建立一条“隧道”作为传输通道，同时VPN连接采用身份认证和数据加密等技术避免数据在传输过程中受到侦听和篡改，从而保证了数据的完整性、机密性和合法性。通过VPN方式，企业可以利用现有的网络资源实现远程用户和分支机构对内部网络资源的访问，不但节省了大量的资金，而且具有很高的安全性。这种方式对中小企业的Intranet尤其适用，实现起来也比较方便。VPN服务器可以由内部网络的防火墙来担当。对于客户端，如果为远程用户，可以利用Windows 2000系统中内嵌的虚拟专用网络(VPN)功能，也可以安装专业的VPN客户端软件；如果为分支机构的小型办公网络，可以在分支机构网络的边缘处设置一个具有VPN功能的性能相对较低的防火墙，这样可以实现在两个网络之间利用Internet或公用网络进行安全通信。第3章 中小型企业网安全管理3.1企业网络安全3.1.1现有安全防护体系存在问题入侵检测系统）硬件防火墙，在内部网服务器上安装杀毒、防火墙软件辅以一定的访问控制策略并及时更新补丁等多项安全措施相结合的综合安全防护体系。当发生网络安全问当前企业内部网普遍采用在网络出口部署IDS（Intrusion Detection System，题时，由于大部分交换机以及路由器不具备或只具备较弱的安全防护功能，只能依靠防火墙来抵御攻击和入侵，并由IDS 来予以跟踪。但是这种安全体系存在以下几个明显的弱点： 1. 随着网络流量的持续增长，特别是大型内部网内数据流量的爆炸性增长，单纯的依靠在内部网的某一点安装某一网络安全设备来进行全网的防护已显得力不从心，容易发生单点故障，并且造成内部网整体通信的瓶颈。2. 来自于内部的误操作和滥用对内部网的影响是最为致命的，通常的比例高达70%。当攻击者与被攻击者均处于Intranet内部时， 如果攻击流不经过IDS 的监控点，就不能被IDS 捕获，此时IDS 无法跟踪，部署在网络出口的硬件防火墙则失去了作用，只能靠服务器以及用户电脑上安装的防火墙来抵御攻击。如果此时用户的攻击为虚拟IP 攻击，则网络管理人员只能依靠将局域网逐片断开的原始方式逐步地进行故障定位，影响的范围大，排查的时间长，过程繁琐。 3. IDS+防火墙的组合模式在进行病毒和攻击方式识别时需要产品厂家的支持，具有一定的滞后性，对新出现的病毒和攻击行为基本无能为力，且误报的情况也是时有发生。 4. 启用基于802.1x 协议的用户接入认证，能够保障Intranet用户接入的合法性，较好地解决IP 地址盗用、用户私自架设代理服务器等一系列困扰内部网管理者的问题，但是基于802.1x 协议的系统对于用户的计算机系统是否安全、用户是否存在网络攻击行为则无法进行判别。 以上几点，最安全的办法就是采取让所有接入Intranet的计算机安装杀毒和防火墙软件并及时更新补丁。但由于用户的网络应用水平参差不齐，作为网络管理部门，只能督促用户及时更新操作系统补丁和安装防火墙及杀毒软件，而且操作系统或者应用程序的补丁更新方式，若直接从互联网上更新则比较慢，若在企业内部架设WSUS服务器，则需要用户修改配置，过程相对复杂很多，用户会觉得麻烦。无法从技术层面上强制执行，要保证用户系统的安全和统一非常困难。 以上几点充分说明了当前Intranet普遍采用的安全体系存在诸多漏洞，已不能很好地满足日益增长的网络安全需求。 3.1.2网络安全1. 电源的安全电源不仅是一个计算机网络能够运行的最基本条件，同时电源的安全也是计算机网络安全运行的最基本要素。这里电源的安全不仅要求为所有的工作站、服务器和网络设备提供一个高质量的电源，同时还要设置良好的接地系统。对于服务器和网络设备还要设置不间断电源（UPS）装置，这不但可以增加网络的连续运行能力，而且可以防止因为突然断电对网络硬件造成的损坏。特别是服务器，如果正在运行的服务器突然断电，不但硬件设备可能出现问题，而且操作系统或应用因为没有正常关闭可能导致数据不能提交或系统不能正常启动，甚至造成服务器或应用的瘫痪。这是任何一个企业都不愿看到的。在网络建设和维护中，电源是最稳定的一个部分，一般情况下，它不会随着应用的发展频繁地升级，因此，中小企业在构建自己的网络系统时，进行相应的投资建立一个安全的电源系统是非常值得的。2. 数据存储的安全保存在服务器中的数据是网络应用的核心，如果由于服务器磁盘故障造成数据的损坏或丢失，可能会造成无法估量的损失。因此必须采取相应的容错及灾难恢复手段来加强服务器存储系统的可靠性。目前，构建服务器存储系统使用最广泛的技术是RAID。RAID的实现策略主要是用多个磁盘驱动器替换单一的大容量的磁盘驱动器，并将数据在各个磁盘上进行分布存放并支持同时在多个磁盘进行并行读写，同时利用冗余的磁盘空间将数据从错误中恢复。由于服务器中构成RAID的磁盘通常为热插拔磁盘，因此磁盘出现故障时，可以不停机地对故障进行修复，增加了网络系统的连续工作能力。RAID分为好几个级别，每个级别在I/O性能和安全性方面各具特点，其中RAID1和RAID5使用最多。RAID1磁盘镜像。它由磁盘对组成，每一个工作盘都有对应的镜像盘，保存着和工作盘完全相同的数据拷贝。当对逻辑块进行写入操作时，工作盘和镜像盘都进行实时更新。如果磁盘对中任一个磁盘失败，所有的读写请求立刻会转移到另一块磁盘上。因此它具有最高的可靠性，但它的I/O性能和空间利用率不高，只用50%，适用于访问量不大但比较注重数据安全性的应用环境。从性能价格比看，中小企业网络的应用服务器采用RAID1是非常合适的选择。RAID5没有独立校验盘的奇偶校验码磁盘阵列。RAID5采用了独立存取技术，校验信息分布在阵列内的所有磁盘上，如果阵列中有一个磁盘失败，这个盘中的数据可以通过其他盘中的数据根据校验码进行异或运算获得。RAID5至少需要3块磁盘构成，每一块磁盘上都要占用1/N的空间存放校验信息（N为构成RAID5的磁盘数量）。由于采用了独立存取技术， RAID5对于大、小批量的数据读写性能都很好，适用于访问量很大的系统。在中小企业构建网络时，可以将Web服务器或数据库服务器的存储系统设置为RAID5。可以根据RAID的应用级别来选择相应的服务器，这样配置起来更方便一些。3防病毒设置计算机病毒一直是困扰着计算机和网络系统的最大问题之一。随着计算机技术的不断进步，计算机病毒也不断地向智能化和网络化发展，具有更强大的攻击力和破坏性，从以往的破坏软件系统到现在的攻击硬件系统和网络系统，尤其是借助于发展迅速的Internet和Intranet，计算机病毒可以通过各种渠道迅速地蔓延并实施破坏。如果没有防范措施的话，一个企业的计算机网络很容易因为计算机病毒的攻击而陷入瘫痪。这对于一个企业而言，后果可能是致命的。因此中小企业同样需要采取相应的防病毒措施来保证网络系统不受病毒的侵害。可以采取以下两种措施：（1）为每台工作站和服务器安装单机版的防病毒软件，每台计算机定时地下载病毒码信息并进行更新。这种方式投资小，但是病毒码信息更新不及时或不同步，不能对最新的病毒做出及时的响应，可能导致网络系统受到病毒的侵害。（2）安装网络防毒系统。这种方式采用客户机/服务器方式，选择一台微机或应用服务器安装网络防病毒系统的服务器端软件，并通过Internet利用防毒系统的在线更新功能实时地进行病毒码信息的更新。网络中的所有计算机和服务器均安装防毒系统的客户端软件，利用服务器端获得最新的病毒码信息对计算机进行病毒扫描。这种方式虽然投资较大，但是对病毒码信息进行实时的更新，可以保证网络不受到病毒的侵害，控制病毒的大肆传播。4防火墙设置企业构建了Intranet，实现了与Internet的接轨，虽然为企业业务的开展和日常的工作、学习带来了极大的方便，但是我们不得不面对的一个问题就是实现了与Internet的接入，企业的内部网络就完全地暴露在外界了，也就可能受到各种有意或无意的攻击。因此建立企业的Intranet，必须建立网络的防火墙系统来保证内部网络的安全。由于在Internet接入部分已经对防火墙的功能和工作方式进行了相关的介绍，这里就不再进行过多的描述了。5网络的安全教育保证网络的安全不仅需要通过相应的技术手段从硬件和软件着手对网络资源进行保护，对网络用户进行网络的安全教育同样重要。首先，要建立一套完整的网络管理规定和网络使用方法，并要求网络管理员和网络使用人员必须严格遵守，否则的话，再先进的网络安全技术也不能阻止人为因素对网络安全造成的威胁。其次，加强对网络管理员和网络使用人员的培训，让他们明白什么是可以做的，什么是严禁做的，可能产生的严重后果是什么。对网络了解得越多，自我约束的能力也就越强。第三，制定合适的网络安全策略，既不能让网络用户无限制地使用网络，也不能对用户限定得太死，引发用户设法绕过网络安全系统、钻网络安全策略空子的现象。制定一种让网络管理员和网络用户都乐于接受的安全策略，可以让网络用户在使用网络的过程中逐步把网络当成工作中的一个得力工具，从而自觉地维护网络的安全。3.2企业内部管理方法3.2.1目的一个公司的网络管理我们不但要做到防止外部黑客以及病毒的侵袭，还要做到管理好公司内部人员的越权操作，所谓是“无规矩不成方圆”。为加强公司内部网络的管理工作，确保公司内部网络安全高效运行，特制定本管理方法。3.2.2网络管理员责任公司网络管理设网络管理员和网络主管。各部门设兼职计算机管理员一名，负责本部门的计算机及其附属设备和局域网络的使用管理；计算机设备的日常维护和故障报修；本部门各类应用软件的使用指导和整理保存；本部门计算机安全保密工作等。网络主管的职责是：考核网络管理员，做好网络建设和网络更新的组织工作和技术支持，制定和修订网络管理规章制度并监督执行。网络管理员的职责如下： A、协助网络主管制定网络建设及网络发展规划，确定网络安全及资源共享策略。 B、负责公用网络实体，如服务器、交换机、集线器、防火墙、网关、配线架、网线、接插件等的维护和管理。 C、负责服务器和系统软件的安装、维护、调整及更新。D、负责网络账号管理、资源分配、数据安全和系统安全。 E、监视网络运行，调整网络参数，调度网络资源，保持网络安全、稳定、畅通。 F、负责系统备份和网络数据备份；负责各部门电子数据资料的整理和归档。 G、保管网络管理记录、网络运行记录、网络检修记录等网络资料。H、每年对本公司网络的效能和各电脑性能进行评价，提出网络结构、网络技术和网络管理的改进措施。I、对联网计算机，计算机管理员应定期升级杀毒软件。3.2.3安全管理规定计算机管理人员有权对公司网络运行情况进行监察和控制，并有权对公司网络上的信息进行检查和备案，任何人引入和发出的信息、邮件，都有可能被备份审查。证据：防火墙的后台管理软件，查看日志。安全规定：A、未经网管或公司总经理批准，任何人不得改变网络拓扑结构，网络设备布置，服务器、路由器配置和网络参数。B、任何人不得进入未经许可的计算机系统更改系统信息和用户数据。C、公司局域网上任何人不得利用计算机技术侵占用户合法利益，不得制作、复制和传播妨害公司稳定的有关信息。D、各部门定期对本部门计算机系统和相关业务数据进行备份以防发生故障时进行恢复。F、计算机和笔记本电脑都应设置开机密码，对个人使用的操作口令、登陆密码应定期或不定期更换，保证口令的安全有效。G、计算机使用者在离开计算机时，应使计算机处于待机状态下，离开2小时以上时应退出系统并关机3.2.4病毒防止管理规定A、任何人不得在公司的局域网上制造传播任何计算机病毒，不得故意引入病毒。B、网络使用者发现病毒应立即向网络管理员报告以便获得及时处理。C、网络服务器的病毒防治由网络管理员负责，各部门的电脑病毒的防治由各部门指定专人负责，网络管理员可以进行指导和协助。D、各部门应定期查毒（周期为一周或者10天,由网管通知），管理员应及时升级病毒库，并提示各部门对杀毒软件进行在线升级。E、不得随意使用外来数据盘，如工作所需必须使用的，应在检测、清除病毒后方可使用。如遇杀毒软件无法清除的，应立即停止使用并及时通知网管，以免病毒侵扰计算机及网络系统。F、重要文件要定期进行备份。 G、各部门的计算机必须由本部门人员操作，专人负责。严禁非本部门人员上机、上网。3.2.5 IP地址、入网申请与用户管理规定A、公司网路IP地址网路管理员统一管理和分配B、入网个人应统一向网络管理员申请分配或增加IP地址。入网个人应严格使用由网络管理员分配的IP地址，严禁盗用他人IP地址或私自乱设IP地址。对乱设乱用IP地址，扰乱网络资源的正常分配和使用者，一经发现，经调查确认无误，立即处以三天以上封锁端口及断网的处罚。 C、用户要求入网和要求办理电子邮件账户，应向网络管理员提出申请，公司分管领导批准后，由网络管理员对入网计算机和用户进行逐个登记，分配IP地址，办理有关手续。符合要求的计算机和用户方可入网、对外通信。 D、用户在使用网过程中，因使用某些软件导致占用大量带宽，影响网络稳定的，网络管理员有权对该工具进行限制和查封，并对该用户的外网访问进行限速。E、为保证网络稳定，网络管理员有权限定用户每日、每月的外网访问流量与访问速度，对有特殊需要的用户，在获得公司领导的许可之后可向网络管理员申请，网络管理员视网络带宽的使用情况给予帮助。F、对用户大量下载网络资源、沉迷网络游戏、频繁在线视频的行为，网络管理员要及时将用户情况向经济运行部进行通报，由经济运行部进行协调和处理。G、用户帐号严禁盗用、转借、转让，对违反规定的用户，网络管理员可提出警告或停止其使用网络；情节严重者，提交经济运行部处理；造成经济损失的，视情节加倍收取所造成经济损失费用。总 结综上所诉中小型企业网络系统组建都要以满足应用的需求作为最终目的，尤其是中小企业在进行网络建设时一定要处理好网络性能和投资的关系，既不能为了节省投资而牺牲性能、影响应用，也不能不顾实际的经济条件而盲目追新、超前投资。一个好的计算机网络系统不仅仅是技术先进、安全性好，更重要的还在于应用。只有应用上去了，才能促进网络系统的进一步发展，推动企业信息化建设的进程，从而增强企业的综合实力，更好地适应信息社会的发展。保障企业网络安全、有效运行，是一项复