开始提高安全性时,对于经理、控制工程师和系统管理人员来说,首要的一点是必须认同网络的一体性,并能充分考虑到整个公司范围的结构。首先,能详细地描述出整个网络是非常有用的;详细记录任何连接到网络上的设备;然后,并弄清这个网络是连接到厂级的intranet还是Internet上?以及,所有的网络是硬连接的还是连接了无线的元件?然后,经理必须检查目前能采用的安全措施是什么,并且保证这些措施是可运行的,可操作的。
路由器
毋庸质疑的是,提高安全性的最重要的工具是在本地网络和大型系统上设置一个路由器/防火墙,特别在连接到Internet时。当交换机运行在数据链接层(第2层),通常路由器运行在网络层(第三层),此时大多数路由器处理TCP/IP信息。一个路由器/防火墙对应一个单独的Internet地址,可允许通过特殊信息。这样,
另一个安全问题是,厂级的高重复性的通信是否能够处理公司级的数据传输大小和带宽?为了管理通信,用户会采用具有broadcast storm control功能的交换机,它能阻挡过于嘈杂的端口。
而且,这些交换机为每一个端口指定不同的带宽。这就确保了每个设备只能收到其能接收的信息。
VLAN
在基本方案上,一些用户在其工厂级网络和办公系统之间运行虚拟局域网(VLAN)。由交换机的硬件,VLAN阻止了网络端口之间未经认证的信息。
另外一个方法是简单地在两个地点之间安装一个额外的路由器,专门用于两地之间的数据传输。这种策略安全且无需掩码,但是需要厂级地址和办公室地址之间的特殊通信。这种方法与VLAN有点类似,但是取代了附加路由器的功能。
检查所连接的PC
根据基本设施,网络经理必须注意什么样的设备会占用较多的厂级带宽。以太网交换机在设计上比较巧妙,当插入一个可用的RJ-45端口能潜在地阻止或消除系统受到的未经认证或未经测试的网络通信的入侵。
因此,除了检查某个网络的安全性,经理还必须小心PC或笔记本电脑上安装的协议,电脑可能连接到厂级网络的交换机上。经理通过在安全模式下运行网络设备或通过建立小型测试网络能测试新的软件和设备。
