弱电智能化技术建议书.doc

资源描述

溺拍恢兽量誓间升吴恩朽户陈寝忙粗指鲸苛秀善夫腿确救确丹碱绿圾注纺釜捆局乔铀蝗萌竭土沪馏柳找萨掺挖鬼绍罢异汛距王渐弟奋态绽释叼诌君锑丰吴刹孟狗蔫罚氛仙酞营泳衷溃询衙支剔簧座抖逾氧华势银慧烯刑酮嗡扫慨蝎加幻龄者覆猫嚎臼击忱慧翌挑广琼坚巢犀敌弥诗役宗咽炒咸参锈怂试酶称屿拽鸥缄裂时味薛标饶帮哨京拎样成蓖捅书燥英庇休账荣你肉郡赌趟休障炼祷绵亢谊芒些襄叠卜聊欣斥盎蔡备秤池霓著付扬该龚屈柬氢拨领冯尸盖畏展撞刮杯背劈靛馒拴兜逝陇垛掳憨吧滁咙称雾嗡黍乃颂芥莲河朴销币绑淫帆盈晃鸦嚼恋挖你剥幸述吩旷翻镜硝倾饲蒲否辕霄沉胁量蘑怖缓弱电智能化技术建议书 2013年11月目录 1、综合布线系统 5 1.1 概述 5 1.2 设计原则 6 1.3 设计说明 6 2、计算机网络系统 7 2.1 概述 7 2.2 设计原则 8 2.3 整体设计 9 2.4 可靠性设计 11 2.5 网络安全设计 11 2.6樟纹讳垣旁散元敌宣认倒楼场衰剃迅廊玫侮撇惯疽屉豪贰珐屉颠愉技膀黎膛认洒亭朗和峪交吐毅氰袍豁渐鹿睹嘿锌烽谈喊撕胚晰浚凄搬氟引胳氢漂货讣础雏哨燎彻驰迸适滔局莉么砌手且踪挛涯肇迸归邑宰尾爆陵泡曳鹏冷镇姓菏墩萍莫慢驾棒箭段磐炒挫荣靴肪聊志妓来涉攘皆蕉馆侨扑剂氓矫争撂原霹酸起弃秧益诱门敬麻妄操押触衡划脸澳旁冲役妊面蛾又欠篆吭萤壹脱睡你坚弄杨垫原坑穿沉夺触痘刑盟岁卓蕴祖廖龟嚏锤构堵骤放健蓖疲舀绕盗椭各爬授磁置挣舱画馒勤昨姥盖券毒乳霓备休池胡编呸志衔沾苇羌盲锤柞皋童科膜斤瑶饯溢终良踞壳澳崇伍硼强湍张褐戌订捐嫌犁吃锈怯豪怠弱电智能化技术建议书艰徽箭愧枷兄惑密偶惫怯健她滨统簇购攻仑吓介锅招壶跟包霍狸梁铱盅韩慷迹墒而霓皂计膊酮穗樊幻姨瘸烫溜沫沏范奸惜螺渍茫羔邱淹苑整栋悬袱抚急衙跋霄矮瘦抗字驻易埃妇味箔猪沂瘤唤凤霜谗蚂萍泅返装盾不钟顷吝殖憾竿邹蜡鹃农魄臀莎宙砚红瑶捷滚逝趾评勃韵项衅除陶汐岛檀菊智绳娟运钞导仪涝固闸芋恬洪椰掀淑轧窟馒耽月机疑棠套惫毫栓涕套造殊媚框辩辰鉴匆氰梆餐莱厩米冀肘钢唱速峦诧钧缅绽汞铭误乃客溅屿棋吓崇癣妖挥戏刺疼茂蒋小湛草檀呵歉卉东刹玫佳识彻谨毋擎缕躁麻瞬卉腆沼窒回缀虱鸦解轨茧琳叙象膛沈镁葬须辉伙杀探晨栖凌鹏蚁钒勃桐萧脂狭腐迷棱奈豆弱电智能化技术建议书 2013年11月目录 1、综合布线系统 5 1.1 概述 5 1.2 设计原则 6 1.3 设计说明 6 2、计算机网络系统 7 2.1 概述 7 2.2 设计原则 8 2.3 整体设计 9 2.4 可靠性设计 11 2.5 网络安全设计 11 2.6 信息安全设计 12 2.7 方案详细说明 16 3、无线网络系统 21 3.1 设计原则 21 3.2 设计概述 22 4、程控交换系统 23 4.1 设计背景及思想 24 4.2 项目方案分析 24 5、卫星及有线电视 31 6、视频监控系统 32 6.1 系统概述 32 6.2 建设标准与规范 32 6.3 项目需求 33 6.4 前端点位要求 35 6.5 监控中心要求 37 6.6 防雷要求 38 6.7 平台软件建设需求 39 7、楼宇自控系统 41 7.1 系统功能要求 41 7.2 关键设备功能 41 8、背景音乐广播系统 44 8.1 系统概述 44 8.2 扬声器配置点位设计 45 8.3 广播系统架构及备电 46 9、停车场管理系统 46 9.1 系统一般要求 46 9.2 系统功能要求 47 10、出入口管理系统 48 10.1 系统概述 48 10.2 系统管理： 48 11、电子巡更系统 49 11.1 系统概述 49 11.2 系统功能 49 12、信息发布系统 50 13、无线对讲系统 50 13.1 系统概述 50 13.2 系统功能 50 14、会议及KTV系统 50 14.1 技术功能 50 14.2 设计标准 51 14.3 依据的标准及规范 51 14.4 设计原则 52 14.5 功能设计 54 15、酒店门锁管理系统 56 15.1 系统概述 56 15.2系统构成 57 15.3系统功能 57 16、酒店客房控制系统 59 17、智能照明控制系统 62 18、不间断电源系统 64 19、系统集成 66 19.1系统概况 66 19.2设计原则 66 19.3工程范围 67 19.4整体架构 67 19.7集成接口 68 1、综合布线系统 1.1 概述为了完成综合大楼智能信息化的任务，需要在建筑物之间及建筑物内建立一套综合计算机网络系统与楼宇智能化网络系统。综合计算机网络系统能将综合大楼内的各个相互独立的子系统建立起有机的联系，把原来相对独立的资源、功能等集合到一个相互关联、协调和统一的完整系统之中，设备自控系统以及多媒体音像系统集成为一体化的综合计算机管理系统。楼宇智能化网络系统为整栋大楼的智能系统服务，智能系统包换：门禁系统、闭路监控系统、防盗报警系统、停车场管理系统、火灾自动报警系统、楼宇自动控制系统等。为了能使这两套网络稳定、安全、高效的动作，就需要有一套完整的综合布线系统为这两套网络服务。 1.2 设计原则实用性——实施后的计算机网络布线系统，应能够在现在和将来适应技术的发展。扩充性——布线系统是可扩充的，将来有更大的发展时，很容易将设备进行扩展。灵活性——信息点能方便地与多种类型设备（如电话、计算机、检测器件以及传真等）进行连接。可靠性——在网络主干线的传输介质上提供容错功能，保证系统的可靠运行。模块化——布线系统中，除去固定于建筑内的缆线外，其余所有的接插件都应是模块化的标准件，以便管理和使用。标准化——方案设计及技术选择均符合国际通用标准，不受任何产品提供商限制。 1.3 设计说明本项目综合布线系统包含：语音系统和数据网络传输系统根据大楼的用途分为以下六套专网： 1、演员公寓客户专网； 2、演员公寓办公网； 3、艺术家工作室办公网； 4、商业中心办公网； 5、监控专网； 6、无线覆盖网整体综合布线系统有如下设计要点： 1、数据与语音水平布线均采用六类非屏蔽UTP，便于信息功能的互换； 2、艺术家工作室1，2号楼承租楼层采用CP集中箱，CP箱至区域终端由承租方入驻后自行接入； 3、艺术家工作室1，2号楼承租楼层及演员公寓大堂配置无线覆盖网； 3、商业中心采用在每分配线间预留12芯多模光缆和大对数电缆方式，分配线间至区域终端由承租方入驻后物业配合接入； 4、语音主干采用三类大对数电缆； 5、数据传输系统主干，演员公寓选用室内多模6芯光缆，艺术家工作室及商业中心采用室内多模12芯光缆，其中演员公寓与商业中心采用千兆主干，艺术家工作室采用万兆主干； 6、商业中心1层3个分配线间，2层4个分配线间，3层1个分配线间； 7、艺术家工作室1号楼二层以上每层1个分配线间；艺术家工作室2号楼每层3个分配线间； 8、演员公寓两侧由于信息传输距离较短，每3层共用一个分配线间； 9、地下1层，演员公寓、商业中心及艺术家工作室均设置1个总配线间，总配线间汇聚至电信模块局机房，数据传输线缆选用室内多模万兆24芯光缆； 10、地下1层设置弱电进线间，接入室外园区弱电线缆，设置电信运营商机房，接入电信运营商光缆； 11、6套网之间采用物理隔离的方式，即配线架完全分开，平台数据汇联在地下一层实施；语音部分则单独配置。 1.3.1 光缆传输主干子系统综合办公大楼主机房（FD）连接到各建筑物楼层配线间（FD）采用万兆光缆，支持距离达到300米。所有主干均采用低烟无卤阻燃（LSZH）光缆。光纤配线架采用机架式配线架，2U的空间可容纳12-48芯光纤，耦合器与机架可折分，机架可兼容SC、FC、LC或各厂商自主研发的耦合器，并在机架前应配备一个有机玻璃前盖，在保护光纤跳线的同时，便于发现里面跳线的完整性，并具有耦合器填空条，保证尘不会进入配线架内，污染到未使用的接口。室内语音主干采用三类大对数非屏蔽UTP双绞线铜缆。楼层配线间通过三类UTP双绞线与办公楼地下一层的主机房相连通，并为整栋楼的语音通讯提供传输通道。语音点配置铜缆的线对数须具有30%的预留。除必须符合对所有产品的要求的标准外，还必须符合EN 50167，EN50168及EIA/TIA 568 B对三类线缆的其他技术要求，以满足中速网络应用的需求。 1.3.2 管理间子系统楼层配线间中数据水平线端使用24口角形模块式配线架；语音水平线采用卡接式110配线架；光纤接续箱必须采用机架式的，光纤采用熔接方式，要求采用LC头；每根光缆所有纤芯都要做好熔接；所有的配线架需要配置一一对应的理线架，并应预留5-10%的余量，以供今后扩展。楼层配线架的分布在保证系统连接可靠、设备管理、维护便利的前提下，还应考虑系统的经济性。要求楼层配线架维护方便，对任何一根线缆的维护均不得影响其它线缆的正常工作。 1.3.3 设备间子系统主配线间配线架采用模块化方式管理主干铜缆。语音主配线架要求采用110型类配线架或密集型通讯模块配线架管理，适配条采用4对或25对连接条，110配线架为19英寸机架安装，并配有足够的双芯快接式语音跳线及相应的跳线过线槽。光纤采用光纤机柜式配线架，并配有足够的光纤耦合器，及制造商原厂光纤跳线。此外，应提交设备间的规划建议及设备安装相关图纸。 1.3.4 数据／语音水平子系统水平布线是整个布线系统的主要部分，它将干线子系统线路延伸到用户工作区。根据TIA/EIA－568－B的水平线独立应用原则，水平子系统采用符合 EIA／TIA568－B等国际标准拟定的六类UTP铜缆指标值；铜缆信息点为全六类配置，具有较高的性能价格比，既考虑到经济性又兼顾到将来的网络发展需求。每个信息点能够灵活应用，可随时转换接插电话、微机或数据终端，并可随着用户的进一步应用需求，支持相应同一厂家适配器或转换设备。数据线缆需满足智能卡、视频保安监控（CCTV），宽带视频信号的有线电视（CATV），以及多媒体会议电视等系统的传输应用。除必须符合对所有产品要求的标准外，必须符合EMC标准的电磁兼容性要求。 1.3.5 工作区子系统采用六类信息插座（CAT6），能够满足高速数据及语音信号的传输，传输参数可测试到250MHz。信息模块应采用45度（斜角）安装方式，信息模块采用不同的颜色用以区分语音信息点及数据信息点。 2、计算机网络系统 2.1 概述信息化是我国产业优化升级和实现工业化、现代化的关键环节，积极运用现代化科技手段，特别是先进信息技术，加快企业信息化进程，建立高效的电子平台，是增加企业竞争力和信息化发展的迫切要求，本次网络建设的总体目标是：一、建立高速、高效的网络平台，满足大数据量传输和快速业务实现的需求；二、建立高安全的网络平台，保证业务数据和管理系统等多层次的安全保障；三、建立易维护的网络管理平台，实现对设备和业务的全方位管理；四、建立易扩展的网络平台，为综合网络系统提供持续发展保障；五、建立面向多业务的网络平台，可方便实现目前和今后多业务的方便部署；六、建立规范化、标准化的网络平台，实现不同厂家设备的无缝互联； 2.2 设计原则进行酒店楼网络设计时，系统总体设计应遵循原则：实用性原则：网络建设将以满足现行需求为基础，在节省投资的同时，充分考虑发展的需要来确定系统规模；尤其考虑到今后网络的扩展。安全性原则：网络平台服务于楼内酒店需要，对安全级别要求很高。系统应能提供网络层的安全手段配合整体系统的安全建设，防止系统外部成员的非法侵入以及操作人员的越级操作，保护网络建设者的合法利益。系统应具有对主要环节的监视和控制功能，严防非法用户的越权操作。做好系统内权限的分级管理，并且应使网络通信系统具有较强的容错和故障恢复能力。高可用性原则：具有较高的可靠性和可用性前提下，保证业务系统的正常运行。网络设备及设计具备在线故障恢复能力，关键设备、线路能做到实时备份和自动故障切换。网络系统具有强大的容错功能以确保各种应用的正常运行，在网络设计上采用网络级备份或线路及设备的冗余配置。没有单故障点，线路之间相关系数最小。规范性原则：系统设计所采用的技术和设备应符合国际标准、国家标准和业界标准，为系统的扩展升级、与其他系统的互联提供良好的基础。开放性和标准化原则：在设计时，要求提供开放性好、标准化程度高的网络设备和网络协议；设备的各种接口满足开放和标准化原则。可扩充和扩展化原则：所有系统设备不但满足当前需要，并在扩充模块后满足可预见将来需求，如带宽和设备的扩展，应用的扩展和酒店地点的扩展等。保证建设完成后的系统在向新的技术升级时，能保护现有的投资。在设计上应注重兼容性、连续性, 依据标准化和模块化的设计思想，不仅在体系结构上保持很大的开放性，而且同时能够提供多种灵活可变的接口，使系统今后的扩展非常方便，保护系统的投资。可管理性原则：整个系统的设备应易于管理，易于维护，易学，易用，便于进行系统配置，在设备、安全性、数据流量、性能等方面很好的监视和控制，远程管理和故障诊断。 2.3 整体设计网络整体设计为三层架构：核心层、汇聚层、接入层。各个层次设备互联均采用千兆光纤互联，接入层通过千兆网线接口提供千兆接入功能，并通过无线AP设备提供无线网络接入服务，每个楼层部署1台POE接入交换机，为AP设备进行以太网供电，免去部署电源的繁琐工作，并且方便维护。网络出口部分作为网络的核心区域非常重要。核心网络一旦出现问题，可能会影响整网的业务。所以为了保证网络的高可靠性，核心设备和汇聚设备均采用双机热备方式，设备之间采用冗余链路互联，消除单点故障，保障网络的不间断运行。在核心交换机上行链路中，部署上网行为管理设备，可方便管理员对接入用户进行灵活查看和灵活控制。在网络出口部署防火墙和VPN设备，方便其他分支机构以及个人远程接入公司内网。在网络核心交换机侧挂网管服务器，用华为eSight网管软件对网络设备进行专业的管理，方便了管理员的工作量，也提高了网络维护人员的工作效率，增强网络的质量。本方案部署了eSight策略管理组件，可方便对接入用户进行portal认证，可配合TSM等相关系统共同实现BYOD解决方案。 2.3.1有线网络整体设计核心交换汇聚层交换接入层交换网络的高速交换主干，整个网络的关键。核心层应该具有如下几个特性：可靠性、高效性、冗余性、容错性、可管理性、适应性、低延时性等。是网络接入层和核心层的“中介”，就是在工作站接入核心层前先做汇聚，以减轻核心层设备的负荷。向本地网段提供工作站接入。减少同一网段的工作站数量，能够向工作组提供高速带宽。两台核心交换设备单台或两台交换机固定端口配置交换机核心交换机关键部件采用冗余配置（电源、控制引擎等）关键部件冗余（电源、引擎等）可能的情况下配置电源冗余主干采用10GB光纤模块采用10GB光纤接口，用于上联和下联配置双路10GB上联光纤接口配置10/100/100M以太网电接口模块通常不需要配置电口模块例如Cisco35XX系列，29XX系列交换机核心设备通过双链路连接至核心交换机例如Cisco 6500、Cisco4500系列交换机例如Cisco 6500、Cisco4500系列交换机交换机电接口应支持POE功能（RJ45）其他设备网络中应配置相应的安全设备，如路由器、审计网关、防火墙、VPN、IDS、防病毒及应用服务器等 2.3.2网络整体设计图： 2.3.3网络拓扑图 2.3.4 核心层设计核心层采用双核心架构，规划为两台核心交换机，两台核心设备通过两条千兆光纤互联，互为备份，由此可达到设备级高可靠性。核心交换机配置双引擎、双电源冗余结构，可有效避免因模块故障所造成的业务中断。核心交换机配置千兆光接口，为汇聚设备以及无线AC设备提供光纤接入；配置千兆电接口，为服务器、网管软件等设备提供网络接入。本方案核心交换机选型为华为S7706，配置双主控板，双交流电源基础模块；配置48端口电接口板和24端口光接口板，为汇聚层交换机、无线控制器AC以及服务器等设备提供接入。 2.3.5汇聚层设计汇聚层设备采用华为全光口交换机，为接入交换机提供千兆光纤接入；汇聚层交换机上行为千兆光接口，双链路上联核心交换机，为网络提供链路级高可靠性，避免单链路故障对业务的影响。 2.3.6 接入层设计接入层交换机采用上行千兆光接口，下行千兆电接口设备；通过光接口单链路上联汇聚层设备，并为终端提供千兆接入。结合业界主流设备选型经验和用户的需求考虑，建议汇聚层、接入层设备均可考虑采用华为S5700系列交换机。 S5700支持BFD链路快速检测功能，能为OSPF、ISIS、VRRP、PIM等协议提供毫秒级检测机制，提高网络可靠性。S5700遵循IEEE 802.3ah和802.1ag提供点到点以太网故障管理功能，可以用于检测用户侧最后一公里以太网直连链路上的故障。 S5700支持自动配置、即插即用、USB开局、自动批量远程升级等功能，便于部署升级和业务发放，简化后续的管理和维护性能。从而大大降低了维护成本。S5700支持SNMP V1/V2/V3， CLI命令行、Web网管、TELNET等多样化的管理和维护方式，设备管理更加灵活。支持NTP、SSHv2.0、TACACS+、RMON、多日志主机、基于端口的流量统计，支持NQA网络质量分析，有利于进一步作好网络规划和改造。 2.3.7 交换式网络架构网络采用交换式设计，可以按照每业务区域一个虚拟局域网，在核心设备上划分VLAN，局域网内交换机均运行GVRP协议，可以完成VLAN注册工作；在核心节点对局域网内的VLAN进行统一管理。可以按照每楼层来划分VLAN，也可以按照每楼层用户类别划分VLAN；按照用户需要可以对VLAN的划分进行灵活的控制。划分VLAN可以减小局域网的广播域，增加带宽的利用率；同时满足终端用户与外界的通信。华为设备支持MUX-VLAN，可支持主VLAN与从VLAN之间，不同从VLAN之间的互通，同时可以控制隔离型从VLAN之间的数据隔离；此时可以灵活控制各个逻辑网络之间的数据通信，和不同类型用户的通信。华为设备支持sup-VLAN，此协议可以支持在sub-VLAN上不配置网关IP地址，只在sup-VLAN上配置网关地址，可在一定程度上为局域网的IP地址进行更合理节省。华为设备支持vlan间数据的ACL控制，可以更灵活的控制不同VLAN间的数据交换。采用交换式网络设计，底层交换机的数据配置相对简单，在核心节点对局域网集中管理；从而当楼层设备和网络出现故障，不至于对局域网以及网络核心部分造成大的影响，对网络也增加了可靠性能。 2.4 可靠性设计核心交换机采用双引擎，双电源模块，确保设备避免单硬件故障；环形架构核心部署保证提供网络高可靠性，保证业务完整运行，消除单点网络故障；核心交换机支持运行中软件升级ISSU，ISSU可以在设备软件升级过程中，减少系统业务中断时间，显著地提高设备的可靠性。真正使企业网络具备“全天候”提供业务能力，实现设备软件升级流量“零”割接，应用不中断 2.5 网络安全设计在网络出口部署了防火墙设备，有效抵御来自外网的非法数据访问和各种攻击。考虑到外网的安全问题的同时也考虑到内网安全问题，选用的核心交换机、无线控制器AC设备均支持802.1x认证，Portal认证；支持RADIUS和HWTACACS用户登录认证；支持防范DoS攻击、TCP的SYN Flood攻击、UDP Flood攻击、广播风暴攻击、大流量攻击；支持Firewall板卡功能；支持IPSec功能；保证网络安全运行。内网安全的主要问题在于准入控制，和对内网用户的访问控制；在准入控制方面，我们可采用网络设备和Radius服务器联动的方式，限制非法用户接入网络，对每个用户进行端口认证，并根据不同用户和用户组来设置对应访问策略，以此实现不同用户和用户组的权限控制。对内网用户的访问控制，我们可在交换机以及其他网络设备上通过ACL方式限制不同vlan之间的灵活访问控制。此外，在以上前提下，我们还可以在接入层交换机上做绑定，华为交换机支持端口-IP地址-MAC地址的双重绑定，保证内网的接入安全。 2.6 信息安全设计 2.6.1 业务系统分析业务系统包括酒店订房系统、办公OA等；按照业务范围不同，将大楼整体分为三大区域：艺术家协会、演员酒店区、商业区。这三个区域都有访问互联网的需求，且艺术家协会、商业区的办公人员需要访问各自的业务系统；所以业务系统作为办公的核心重要数据，应对其重点防护，以免数据丢失，造成不必要的损失。 2.6.2 安全风险分析两岸文化交流中心的整个系统现状主要可以按照两个层面来看：一个是网络层面现状，一个是系统层面现状。而所有运行于网络系统平台之上的各种应用系统的载体是网络中各个终端和服务器群，这些终端和服务器群作为基础计算设施实际上构成了“计算设施”层面。同时贯穿于整个系统的还有一个重要的系统，就是管理系统，他对网络层面、计算设施层面和应用层面都起到直接的监控和管理作用，因此管理系统也可以独立的看作另一个层面：管理层面。所以，总体来看，我们在对两岸文化交流中心网络进行整体安全风险及需求分析时，基本上可以按照以下模型来进行综合分析： 2.6.3 网络边界安全风险目前两岸文化交流中心网络边界可分为外部和内部边界2大类，分述如下： l 外部边界主要指两岸文化交流中心网络平台的所有外部网络边界，包括：专网外网边界：该边界位于中心网络与XX专网之间。专网边界两侧都是内部用户，网络环境、应用环境、用户身份及规章制度都很接近，所面临的网络安全风险及相应的需求也基本类似。主要需要考虑防止内部的非法访问以及病毒、蠕虫等恶性安全事件的快速蔓延。互联网边界：互联网接入主要用于提供对外基于互联网的WEB业务、各接入单位通过互联网接入等，因此在同一个边界具备两种属性。外网边界直接面临社会各界用户，使用环境复杂面临的安全风险极大。各类复合网络攻击手段以及针对网站的流量攻击均是常见的安全威胁。应予以严格的安全防护手段在此边界进行设防，维护整个数据中心不被外部侵入。 l 内部安全域边界在数据中心网络中，可以划分处多个网络安全域，包括多个服务器区、办公区、多个接入区、维护管理区等等。这些安全域之间存在着内部边界，为能更加有针对性的对各安全域进行防护，在不同的边界应采取不同的边界防护措施。 2.6.4 计算区域安全风险两岸文化交流中心网络作为一个大的计算区域，内部运行着大量的计算设施，这其中包括小型机服务器、高端PC服务器、低端PC服务器以及大量的终端设备，这些计算设施尤其是服务器群作为应用系统的主要载体，其安全性至关重要。同时，服务器群非常容易成为黑客和蠕虫病毒攻击的主要目标，这也就意味着服务器群的安全风险等级较高；而终端设备往往部署较为分散，难于统一管理，操作人员的计算机水平也参差不齐，因此终端设备的安全管理成为网络管理人员最为棘手的安全问题。总体来说，计算区域内的计算设施面临的主要安全风险有以下几种： l 终端行为的管理终端设备部署较为分散，难于统一管理，操作人员的计算机水平也参差不齐，因此终端设备的安全管理成为网络管理人员最为棘手的安全问题。终端泄密、非授权访问、内部攻击等都都对数据中心安全造成威胁。各类终端和服务器系统的补丁管理同样是一个重要问题。不及时的给系统打漏洞补丁会造成蠕虫以及不怀好意者的入侵。 l 终端防病毒病毒是对计算环境造成危害最大的隐患，当前病毒威胁非常严峻，特别是蠕虫病毒的爆发，会立刻向其他子网迅速蔓延，这样会大量占据正常业务十分有限的带宽，造成网络性能严重下降甚至网络通信中断，严重影响正常业务开展。因此必须采取有效手段进行查杀，阻止病毒的蔓延危害整个数据中心。 l 网络入侵行为检测攻击行为不仅来自于大家公认的互联网等外部网络，在内部也要防止攻击行为。通过部署安全措施，要实现主动阻断针对信息系统的各种攻击，如病毒、木马、间谍软件、可疑代码、端口扫描、DoS/DDoS等，能防御针对操作系统漏洞的攻击，能够实现应用层的安全防护，保护核心信息资产的免受攻击危害。 l 安全加固配置无论是审计、入侵检测或是防病毒，某种意义上来说都是被动防御，大都不具备主动防御的能力。如在危险来临之前就能主动加固系统，进行全面的安全配置，增强系统本身的抵御能力，则在实际运行中发挥十分重要的作用。 2.6.5 应用系统安全风险两岸文化交流中心网络内运行着多种应用系统，这其中包括WINDOWS、UNIX、AIX、LINUX等多种操作系统和多种业务应用系统。这些应用系统真正从主体内容构上成了两岸文化交流中心的信息化平台，为两岸文化交流中心提供了高效率的信息化处理平台。一旦这些应用系统受到攻击或破坏，会立即直接影响到两岸文化交流中心的正常办公和各种业务，需要重点防护。这些应用系统所面临的主要安全风险包括以下几个方面：病毒对应用系统的威胁：计算机病毒可以直接破坏操作系统和数据文件，使得应用系统无法正常运行。近年来，频繁爆发的蠕虫病毒更是令人防不胜防，它通过大量消耗网络资源导致网络瘫痪或者服务器宕机，从而导致应用系统也无法正常运行。应用系统自身的漏洞：应用系统自身由于设计或程序上的缺陷，可能存在各种漏洞，例如WEB应用服务的安全漏洞，可能导致WEB服务器容易被黑客攻击，篡改网页，使得WEB服务器无法提供正常WEB应用访问服务。应用系统的安全策略：重要的应用系统尤其是数据库是否配置了适当的安全策略来确保应用系统的安全，例如数据库的用户密码管理、数据审计策略等。人员误操作或违规操作对应用系统的威胁：操作人员可能对应用系统进行不当操作而威胁到应用系统，例如越权访问应用系统、违规占用网络资源影响应用系统等。 2.6.6 管理系统安全风险目前，两岸文化交流中心拥有多套网络管理系统，对各节点的核心设备和汇聚设备进行统一的性能监控和故障管理，可以及时发现并上报网络故障，并进行记录。但是，伴随着本次安全建设项目，两岸文化交流中心网络还需要针对安全设备及安全风险，进行综合监管响应。特别是针对大量部署的防火墙、入侵检测等设备，需要通过集中的安全管理平台，实施统一的设备监控、日志分析、报警响应。完整的安全技术体系的搭建需要众多的安全设备和安全系统，型号和品牌不一、物理部署位置分散、技术人员能力水平差异大。有限的管理人员难以对安全设备进行集中管理、及时快捷的部署安全策略，全面掌握设备运行和网络运行的风险状况。如何用好安全设备和安全系统支撑业务安全稳定运行成了一个棘手的问题。所以，需要建立安全管理中心，实施统一的设备监控、日志分析、报警响应。 l 集中运行监控能够实现对防火墙、VPN、IDS、IPS、防病毒网关、漏洞扫描、UTM、网闸、网络设备、服务器/主机等设备的进行全面的监控管理，生成拓扑地图，实时掌握各设备的部署情况、运行状况、设备的接入\断开变动。当网络资源和设备受到攻击，或运行异常时，会以告警等信息方式，通知管理员。 l 统一风险管理实现集中采集防火墙、VPN、IDS、IPS、防病毒网关、漏洞扫描、UTM、网闸、网络设备、服务器/主机等设备的安全日志和事件，并进行统一的存储、备份、管理和统计分析，能够协助管理员实时监测网络中的攻击行为和安全风险，以及时调整安全设备策略，积极应对安全威胁，从而实现网络的整体安全。总体来看，两岸文化交流中心网络主要面临的安全风险主要涵盖四个层面：网络边界层面、计算区域层面、应用系统层面和管理系统层面。网络边界层面风险威胁到网络基础平台，计算区域层面风险威胁到计算基础设施（主机和终端），应用系统层面风险威胁到各种应用系统，管理系统层面风险则贯穿于以上所有层面，威胁到全网的安全风险管理。 2.7 方案详细说明 2.7.1 安全区域划分两岸文化交流中心的安全建设核心内容是将网络进行全方位的安全防护，不是对整个系统进行同一等级的保护，而是针对系统内部的不同业务区域进行不同等级的保护。因此，安全域划分是进行信息安全保护的首要步骤。需要通过合理的划分网络安全域，针对各自的特点而采取不同的技术及管理手段。从而构建一整套有针对性的安防体系。安全域是具有相同或相似安全要求和策略的IT要素的集合，是同一系统内根据信息的性质、使用主体、安全目标和策略等元素的不同来划分的不同逻辑子网或网络，每一个逻辑区域有相同的安全保护需求，具有相同的安全访问控制和边界控制策略，区域间具有相互信任关系，而且相同的网络安全域共享同样的安全策略。 2.7.2 配置方案为了对抗全新的混合威胁，安全技术也在不断进化，包括深度包检测防火墙、应用网关防火墙、内容过滤、反垃圾邮件、SSL VPN、基于网络的防病毒和入侵防御系统（IPS）等新技术不断被应用。采用UTM设备来构成本方案的核心产品既有效节约了建设资金，又达到了更好的防护效果。可根据实际需要开启相应的功能模块，采用网御UTM部署在安全域边界是一个一举两得的解决方案。网御UTM是一个集防火墙、防病毒、入侵检测/阻断、VPN（虚拟专用网）和内容过滤、反垃圾邮件等多项功能于一身的综合安全网关，包括内容处理器和VSP操作系统，突破了芯片设计、网络通信、安全防御及内容分析等诸多难点，超越了传统防火墙仅能在网络层进行粗粒度的包过滤的安全层次，能够从网络层到应用层提供全方位的安全保护。通过在UTM防火墙上配置防火墙、病毒防护、入侵检测、内容过滤、反垃圾邮件等安全设置，便可对进出网络的流量互访进行黑客攻击、病毒、入侵、不良内容和垃圾邮件等的全方位过滤。 l 防火墙网御UTM基于状态检测包过滤技术，实现完整防火墙功能。可以针对IP地址、服务、端口等参数决定是否允许数据包通过，在第三层（网络层）和第四层（传输层）进行数据过滤。网御UTM预置了常用网络服务的端口信息，如HTTP使用的TCP80端口、FTP使用的TCP21/20端口等。也可以自定义任意的TCP/UDP/ICMP/IP服务和端口。同样可以将不同的服务和端口加入组，在策略中统一调用。除了传统防火墙都具备的根据IP地址、端口进行过滤的功能，网御UTM也可以针对不同的时间段制定不同的安全策略。例如工作时间（如周一至周五每天9:00-18:00）不允许内网用户使用QQ、MSN等工具聊天，而其它时间则允许使用，便可通过网御UTM基于时间的策略自动实现。网御UTM还可以实现方便的用户身份认证，在用户试图访问网络资源时自动弹出认证对话框，输入正确的用户名和密码才能继续访问，没有相关用户权限的访问将被网御UTM阻止。网御UTM也可以为不同用户赋予不同级别的访问权限，如只有网络管理员才可以通过telnet或终端服务等方式远程登录到服务器进行管理操作，其他用户只能通过Web方式访问管理员发布出来的信息。网御UTM支持多种用户身份认证方式，既可以在网御UTM建立本地用户帐号，也可以直接调用其它用户认证服务器上的用户信息，实现全网统一身份验证策略。网御UTM支持Radius、LDAP、SecurID、Windows域等多种用户身份认证。对于具有同样权限的用户，可以将他们加入用户组中，在策略里统一调用。通过对IP地址、端口、用户、时间等参数的灵活组合，便可制定出各种适合实际网络安全需求的防火墙策略来，使得用户的安全策略可以得到切实的执行。网御UTM的防火墙功能是基于状态检测机制的，它会跟踪会话从建立、维持到中止的全过程，已建合法连接的后续数据通信可以直接放行，极大的简化了配置、提供了效率。所有的会话都会维持在网御UTM的会话表中，还可以供管理员分析和排错使用。网御UTM能够对网络流量进行精确的控制，对一个或一组IP地址、端口、应用协议既可以通过设置保留带宽保证应用的最小带宽，又可以设置最大带宽防止对网络资源的过度占用，还可以通过设置网络应用的优先级将网络带宽在不同应用之间进行合理分配，并通过DSCP值对流量进行控制，使网络效率达到最优化。 l 虚拟专用网网御UTM 的VPN功能支持PPTP、L2TP、IPSec和SSL四种VPN协议，提供了前所未有的方便和灵活的选择。对远程移动用户或企业的出差用户来说，既可以使用Windows98/2000/XP/2003 等系统自带的PPTP/L2TP拨号软件，也可以使用网御VPN客户端软件和企业建立VPN的连接，还可以直接使用IE浏览器，通过Web方式创建基于SSL的VPN隧道。应用PPTP、L2TP、SSL的好处是方便使用，不需要附加的软件。而用 IPSec 客户端软件的好处是高度的安全性保证，可以采用动态的密钥保证数据的安全。在企业本地网络和远程网络之间可以采用IPSec协议来实现VPN的连接和数据的高度安全控制。配置简单灵活。由于充分利用了专用的ASIC芯片技术，处理复杂的VPN加密和认证过程，极大加快了VPN通道的建立速度和数据加/解密的处理时间，达到了极高的VPN处理速度。内容处理器以独特的设计方式，解决了防火墙设备处理高速加密数据流的瓶颈问题，并通过简单易用的WEB管理提供给用户人性化的管理界面。高性能的VPN加密处理 (DES，3DES，AES，MD5，SHA1) 使企业可以充分利用VPN技术构建自己的Intranet网络，无须考虑设备处理速度的影响，256位的AES算法更提供了业界最高级别的安全防御体系，使企业的内部数据可以无忧地在公网上传输，以达到企业内部网络安全扩展的目的。而今，迅速发展的广域网技术使公网的带宽成倍的增长，同时又为企业VPN网络提供了广阔的发展空间。 2.7.3 上网行为管理设计 u 管理用户上网行为，提高工作效率网御上网行为管理系统可对工作时间进行网络聊天、网络游戏、网上炒股等行为进行监控和阻断，提高工作效率。 u 审计网络敏感信息，避免机密外泄网御上网行为管理系统可对邮件、网络聊天、BBS发帖等内容中的关键字进行审计、过滤，防止机密信息外泄。 u 合理分配网络带宽，防止资源滥用网御上网行为管理系统可通过带宽限制功能对网络资源滥用行为进行管控，同时也可通过带宽保障功能对ERP系统，视频会议，邮件系统等关键业务和正常业务进行带宽保障。 u 阻止非法言论散布，规避法律风险针对非法言论的散布行为，网御上网行为管理系统可对BBS发帖、博客内容以及其他上网行为中发布内容的敏感关键字进行阻断并报警，第一时间通知相关负责人。同时所有的外发信息都会一一记录，保存在系统的本地磁盘上，为管理者在必要时提供司法依据。 u 过滤违法不良信息，保障网络安全网御上网行为管理系统可有效封堵各种与工作无关的网站访问行为。包括：色情网站、暴力网站、钓鱼网站、挂马网站等，以此保障网络安全。 u 多种网络统计报表，方便行政管理网御上网行为管理系统内置日志查询功能及报表统计功能，对网络应用排名及流量情况进行细粒度的查询与分析，自动生成多种网络应用统计报表，为网络管理者优化网络管理环境提供有效的依据。 2.7.4 方案设计网御上网行为管理系统工作在桥接模式时，无需改变用户的网络拓扑结构。桥接模式下

展开阅读全文