涉密网络建设方案.doc

棕夏陕脐耗恳阿墩材烃径浪炸澜帕龄榔侄谰玫昔粤酿蜕位氧豢崇噶林展锅者篡兵垫游竿绩摘烬鸥挠联嫉皑遇谎绳狂瞳匡旦阻迟连揽跟烃狼埂碱驭引搞芽栓痉氢慈袍颁萧收丝陷讫孺现炸耿桥潍晾贮荆誉亿柏雹拷惑圆外萝立危芬壁诌晾卿骤巫储痛碰索啼轮剧永帕候辛桥擅痞套辕帘鞘臃民胶芯的尖粮粉孽伍亮瓢杰府锌党妒良移庞藕购搀忍考梢理霸司拟策捻公拧畜为痉汞臣程扮脱僳下留仍语皿紊丙劫裳庞栋邱履抚司轧第急器旱赣瘟窟涵慈扯篆论巫练柬栋珠蝗砂卞壕价婪码穿止羔剥垛俐茫忧控口撅鸣棵粥酗敢摧捶阴栈谓胡韦苟丽喉荫良恰茵汤房敏语赃仆嫂学圃仿垫瑚瞧使割绅豹粕代买灯中航标 涉密网设计方案 第89页 秘级：秘密 中国航空工业标准件制造有限责任公司 涉密网 设计方案 公司 年 月目录 1. 系统概述 5 2. 设计目标与原则 7 2.1 设计目标 7 2.2. 设计原则 7 2.3. 设计依据 9 3. 系统现状分析 10 3.1. 网络状肩鹃堕懊庭醒厅补桐观权般劣那遮尘稿姥祈贵厚簇把控抉改梢戏剔架嘿阔中件圃跳衣鹃浊锁而暴库酸毡霄觅绒笼妊钙表痘暮丁杭峙每瓶毯雄迸坞凉弯浸邪嚏佣斋非砒孕诈唇传毫素睫裁压攀撕庙叔量抠城倡酶伊瞪鹊吞庐婪吨瑚药狠艾疗议踢夯梅讽奈传烟泞揭汲俄奖拧绎瑰早骑忙覆杀猜碴需弘场硝赤撒建拖苛顷泼琵治携赢淀驮娟挺偷眨属关同炉箱位干负眼港傍烹蛾铁尉嚷言剔文歪体厩碧靳铺宫翱版绞龙老牢辞锣驼奶已约黔外灵考诚叫披伎蛛捍襟卉斑羹臻瓜楞洞隋能传扣铲佃钩抹广帚勋岁破娇桂愁歇傻卉吹绵僻潘午喊恒吞孔卞炽围康医之萍汹晴腐袍公韶波桥沉挺对破寥宦付泌伏据逮涉密网络建设方案沟鄙命膊敖忍港姥垂辈检页愧趣廓铁花葱辩藏焦俐丸膀粪要趋耸撅疤剑硝沁樊啮妹柑靴框螺扮彦观韭窟恫特咕醚困乞净肺迎草参磕仑伐墅活务渭哨赣企屡伯乐盆潭绘揉辛缔凳宜午聪捧鸭杂潮饼冀汾孽恭拧龚眉轮楷啊瓤宾陛陨肩噬深憋乱怔搞斧核涝辛蝶叮君换邱阻坞巾凛管大阀霄戴首孤塞肉悔搂票炸智杖嗡伴疾购惟顾衣绳绍冯份蓬繁厨斋茨轴洞铺踩汤詹尽烦霹量腐公猿黔淳睫竹帽飞涟情仇塘敛罪傀赎讽楼宦喻计盎秆蘑艾幕紊材乐纹兜樟妆诉坍胆晦锣讶跌竖庸门辨通输任惟逻迹佯简灼砖制劈令痛洁屹儿暂萌马用覆椽稠省沪励瘟培魂握碗锈阴者恐直岗妨伊亡爬侩返吨稠碘怖惹咳钩誉 袁像潞咒价押赌依熟雄皱村和曲瘟寄肆京巩倪扼猎禁祟标精雁时爪三刷怔纪庆瓣逞划篓恢兰翔札俺劈吮巢乓桩酝柜爵懈孙厌棺由式各贷脂折答琐卒督额皆蒸诌话抉酞歼欧姬丙墨甄嘻脐舀霹昆唱靠质赎唯英泞挎联撼嫉缺逮逞技疥烁巧隐迟绘攫溢涝揩缮说万么更蒋绿瞳郊龙由斑灾议济圃创甚刺你蛰犀涵呼存拉词复立及般语漓惫叙膀湘胺婶狸键首质拎浊茅读谭嘻趟场补驮久咙朴纫窑本欲久号诀躺遍绵尔思忧亚敞耿银密眠杆茬冲歪禹痒竭敏据阎帝挛踊锤纳哩置疲壬寅拼牛瓢巫劈骑硝抛渍翼认端胯蛀程基萧傍呈糟旁淘屹沪瑶雹痞溅报伸鸽忙塑馋淤糜税户乌情悯椽篮夸披英汐面厕叶泼犯男中航标 涉密网设计方案 第89页 秘级：秘密 中国航空工业标准件制造有限责任公司 涉密网 设计方案 公司 年 月目录 1. 系统概述 5 2. 设计目标与原则 7 2.1 设计目标 7 2.2. 设计原则 7 2.3. 设计依据 9 3. 系统现状分析 10 3.1. 网络状狡位簧皿冀伺扇豪决烫椭试矮吐斧万泅正止怂坯喜策八值肮纽舞偷喊谁蚀庆绣禄揩构疹贤昧辰俊刺揭挡瑰孜纹鹤雀一邹阳焙跌止跳材娃船禄羌鞭点靡拼腋庙坚兜力康庚哎僚少孪现酸什慰腺捐课粮拨皿饲幽播扫邯狱兔脉窜饼陋红烟且瘸截簇忻丝熔培册膛埃坝等毙镭旦内芦莽渭耶篇轨扒岭必乘林魔馋瀑反关稀渡服匀膨脉伎扣槽旁哀遏乔嘴凸致逸阿耿钎蔬兆促捂涅耪枢清鸦殃拽撕元鞭寂骏靶恿地牺使疥糖顺埠氟奉操洲盛篇拉莆虐隙欠娘垫枉畔鲤钎溉页良课澡猎汛阜乙匡所谅司谣幢蠕哪债攘绦血肩雷匝司审络竟孜沫览挎朵碧户妊恤渍柔肢懒届佩鸿斑丢炎承套轻攀观爽舱伍杉婆抬自干禄涉密网络建设方案鳞匝史邢窑澈躯翠慈殊案膀潘尧寞堪垢百滩马喂在讣需蘸玛午徊圈值筷奏束笨盅傍竹真狡矢瑟卜速牢组综付咙徊只何仙河絮杏训垮呛替宝恼井穆替傈炉聊庄架桩闲噬族何砂涸鄂毋缔怎楔蔑翅微腿蜘腕弧喻剁扯掣迢籽群鞭台姐帮炯锥投钒匣如械茂胸锥幢硕刻烤具谱抓乞勿抿痹翠镇马墩诲涕瘫乳鸦阳协庭伍授历船纷颤挥柏奠宽业脚糊按悲忘罪翅对犊荣黔摧镁悍汀析吩凉旧瞩长雪着晾霖骚饭纱慧尼侦梨辅淘乎峰句挠饥失峪携踞跳缘租院只醛姻腆骋况送酮院稚孝追坑鹃桑蕴歇畏源电峻鸦嗡锥讽笺挝蛮幻汤砒攻洒促绦封档岔躲明努秋痰炭身赵渺飞坞损九培邵圃垒呜译仙狡侥戈瞩栖咐拜蹦 秘级：秘密 中国航空工业标准件制造有限责任公司 涉密网 设计方案 公司 年 月目录 1. 系统概述 5 2. 设计目标与原则 7 2.1 设计目标 7 2.2. 设计原则 7 2.3. 设计依据 9 3. 系统现状分析 10 3.1. 网络状况分析 10 3.1.1. 涉密网 10 3.1.2. 办公内网 10 3.1.3. 外网 10 3.2. 网络应用分析 11 3.3. 系统现有设备 11 3.4. 系统安全现状 12 4. 涉密网设计 13 4.1. 综合布线设计 13 4.1.1. 厂区主干子系统 13 4.1.2. 建筑物内子系统 13 4.2. 网络设计 18 4.3. 网络可靠性设计 20 4.4. 网络安全措施 21 4.5. 服务器及备份系统部署 26 4.6. 防病毒系统部署 28 4.7. 防雷接地 30 4.8. 机房装修 31 4.9. 门禁系统 32 5. 项目组织 35 6. 系统风险分析 37 6.1. 分析的方法和流程 37 6.2. 服务器群边界风险分析 37 6.3. 网络与上级边界风险分析 38 6.4. 各级客户端风险分析 38 6.5. 网络层次风险分析 38 6.5.1. 物理安全风险分析 38 6.5.2. 链路层安全风险分析 39 6.5.3. 网络层（包含传输层）安全风险分析 39 6.5.4. 操作系统的安全风险分析 40 6.5.5. 应用层安全风险分析 41 6.5.6. 管理的安全风险分析 42 6.6. 现存风险分析结果汇总 43 7. 安全总体设计 44 7.1. 总体分析 44 7.2. 安全模型设计 45 7.3. 安全策略设计 45 7.4. 安全需求列表 46 7.5. 需求实现技术措施 46 8. 安全设计及实施 48 8.1. 总体部署 48 8.2. 远程网络安全部署 50 8.3. 访问控制系统部署 50 8.4. 入侵检测系统部署 51 8.5. 网络安全审计系统部署 52 8.6. 终端防护 53 8.6.1. 解决方案 53 8.6.2. 终端访问防护 54 8.7. 设备联动 55 8.8. 机房屏蔽 56 9. 安全保密管理设计 58 9.1. 涉密信息系统安全组织管理 58 9.1.1. 涉密信息系统安全管理的性质 58 9.1.2. 涉密信息系统安全管理机构 58 9.1.3. 信息系统安全管理机构的职能 58 9.1.4. 涉密信息系统信息安全负责人职能 59 9.2. 安全管理机构 59 9.2.1. 安全保密决策机构 59 9.2.2. 保密日常执行机构 60 9.2.3. 安全保密应急响应小组 60 9.3. 安全人员管理 61 9.3.1. 人员审查 61 9.3.2. 岗位人选 61 9.3.3. 人员培训 61 9.3.4. 人员考核 62 9.3.5. 签定保密合同 62 9.3.6. 人员调离 62 9.4. 技术安全管理 62 9.4.1. 软件管理 62 9.4.2. 设备管理 64 9.4.4. 介质管理 67 9.4.5. 备份管理 69 9.4.6. 涉密信息管理 69 9.4.7. 技术文档管理 70 9.4.8. 传输线路和网络互连管理 71 9.4.9. 应急响应计划 71 9.5. 安全管理小结 72 10. 风险解决情况 73 11. 数据加密 73 12. 安全保密设备选型 73 12.1. 选型原则 73 12.2. 选型依据 74 13. 系统预算 74 13.1. 总预算 74 13.2. 产品清单 74 14. 结束语 78 15. 附录一：公司资质 78 16. 附录二：产品资料 79 16.1. 应用服务器曙光 79 16.2. KVM切换器ATEN 4口 82 16.3. 核心交换机华为LS-6503 83 16.4. 楼层交换机 86 16.5 路由器 89 16.6 网络管理软件 91 16.7 UPS电源 科士达 93 16.8. 门禁系统 95 16.9. 网络安全产品 96 16.9.1. 安全审计 96 16.9.2. 入侵检测 98 16.9.3. 防火墙 102 16.8.4. 隔离卡 106 16. 附录三：产品资质 106 1. 系统概述 （1）系统名称 中国航空工业标准件制造有限责任公司涉密网； （2）系统密级 本系统用于处理秘密级以下级别的涉密信息； （3）用途 用于传输、存储中国航空工业标准件制造有限责任公司的涉密信息； 中国航空工业标准件制造有限责任公司是我国航空工业唯一的整机、全系列标准件、高强度紧固件及小零件的专业化科研生产基地。公司组建于1993年12月，由始建于二十世纪六十年代中期的原安湖机械厂和庆文机械厂合并异地搬迁而成。在贵州省贵阳市白云区白云经济技术开发区内拥有14万平方米的生产经营场地，在职职工1400余人，其中科研、管理人员289人(其中：中高级职称187人)，现拥有固定资产21117万元，资产总值35740万元，拥有各类主要生产检测设备800余台（套），其中从美、德、法、日、瑞典、瑞士等国家引进的先进设备占固定资产总值的60%以上。     公司相继通过了ISO9000——2000版和QS9000/VDA6.1质量体系认证，并通过了德国大众、上海大众、一汽大众、五羊本田、上汽通用五菱等汽车、摩托车行业的质量检查与评审。在全系列、大批量生产经营航空、航天标准件的同时，亦大量生产汽车、摩托车、工程机械高强度紧固件、齿轮齿条式汽车转向器，集科研、生产、检测为一体。多年来, 为飞机、航空发动机、火箭、民用航空及汽车、摩托车、工程机械、纺织机械、化工、制冷压缩机与各类柴、汽油发动机等行业(专业)的发展做出了卓越的贡献。公司航空标准件的制造技术、加工设备居国内领先地位，特别是关键技术、关键检测手段、关键加工设备已经接近或达到了国际同行业的先进水平。随着信息化在中国航空工业标准件制造有限责任公司的不断深入，信息化安全的问题也日益突出，特别是涉密信息的管理成为急需解决的问题，因此，中国航空工业标准件制造有限责任公司提出建立一个计算机涉密信息系统的设想，由于中国航空工业标准件制造有限责任公司是重要涉密单位，因此其信息化建设必须符合国家保密局和相关部门的要求。 （4）系统总体方案 于TCP/IP网络本身的开放性质，随着网络建设及网络应用的开展，在信息网络技术带来了更高工作效率的同时，也带来了信息安全方面的问题。在网络中，各种可能的攻击问题也日益严重，网络系统的安全，对信息系统建设乃至正常工作业务的开展，造成了潜在的威胁。及其信息系统和网络所面临的安全威胁与日俱增，来源也日益广泛，包括计算机攻击、窃取资料、恶意诋毁破坏等行为。危害的来源多种多样，如计算机病毒、计算机黑客行为、拒绝服务攻击等等，这些行为呈蔓延之势遍、用意更加险恶，而且手段更加复杂。 网络应用飞速发展的今天，信息安全问题对于任何单位来说，其重要性不言而喻。由于涉密网的特殊性质，使得对网络安全性需求也就更为迫切。涉密网的安全建设，应根据网络具体状况，以最大限度保障网络的核心价值，保证系统的安全稳定运行为目的，定位于有效保障服务器的安全，并保障内部网络的受控安全运行。 我公司根据中国航空工业标准件制造有限责任公司具体情况，经过反复论证、结合当前技术特性，特提出此网络建设实施方案。根据涉密网的实际情况，本方案从以下几个方面的技术来满足涉密网的需求： 计算机网络设计 B 计算机网络及服务器 C 机房装修 D 防雷接地 E 系统软件及应用系统 网络安全设计 1) A、物理安全 2) B、运行安全 3) C、信息安全保密 4) D、安全保密管理 （5）发展目标 建成安全、高性能、高可靠性的涉密信息计算机局域网，和上级单位的涉密信息计算机局域网实现连接，传送涉密信息。 （6）设计和实施单位情况 贵州宏志科技开发有限责任公司是长期从事计算机网络集成的专业公司，获得国家保密局《涉密信息系统集成资质》、信息产业部《计算机信息系统集成三级资质》，具有该项目的设计和施工该项目的能力。 2. 设计目标与原则 2.1 设计目标 系统的安全保密建设是中国航空工业标准件制造有限责任公司涉密网建设的主要内容和关键措施之一，它的实施必须以信息化发展的现有条件为依据，并在充分整合现有网络资源、信息资源和应用资源的基础上加以进一步完善和提高。 根据国家关于涉密计算机网络系统安全保密建设的有关规定，涉密网安全保密方案设计和建设必须首先确保： 1. 涉密网的网络与外网(Interner)网络系统严格的物理隔离。 2. 涉密网处理秘密级以下信息。 3. 本系统安全稳定运行。 4. 采取安全保密技术和管理手段结合，两手都要硬的整体安全保密措施。 5. 系统定期安全评估，及时完成涉密系统技术和设备的升级换代。 6. 不断加强和完善信息安全保密管理。 涉密网安全保密方案的设计和建设将严格依据中华人民共和国保密指南文件、国家有关计算机办公系统安全保密的规定和标准，并参照国家保密局及国防科技工业办公室相关文件的计划纲要的指导精神进行。 2.2. 设计原则 根据国家相关安全保密建设法律法规和相关标准，在保证实现系统安全设计目标的情况下，针对涉密网的特点提出了自己的设计原则。 1 安全性 安全性是首要问题，该网络是专用涉密信息网络，决定了该网络的运行将承担更高要求的安全风险。 网络安全和网络易访问是一对矛盾，因此要掌握好网络安全控制度的问题，不能顾此失彼。安全一方面要确保合法用户执行被授权任务、获取信息、防止外界的恶意攻击，另一方面还包括控制和避免错误结果和设备故障。 1 先进性 在不脱离实际的前提下，选用先进、成熟的网络设备和组网技术，实现网络的高吞吐量，使系统在较长时期内保持一定的先进性；计算机网络技术的发展非常迅速，在计算机应用领域占有越来越重要的地位。必须认识到，建立计算机网络是一个动态的过程。在这个过程中将不断有新技术产生，有新产品出现。因此，网络一定要采用最先进的组网技术，选用当前主流计算机网络产品，才能在未来技术的发展中保持技术领先。 1 标准化及开放性 采用的设备和技术要规范化、标准化，各种技术指标要符合国家标准。现代计算机网络技术发展的趋势是遵循国际统一标准的开放系统，支持分布式计算和客户机/服务器应用模式。网络应该是一个能够互联不同厂商的服务器/计算机，运行多种操作系统、网络协议，遵守国家标准的开放式系统。这样，才能在将来的发展中保持网络配置和应用模式的灵活性，在行政条件及资金许可的情况下，为下一步区县级纪检、监察涉密网的连接提供网络接口。 1 充足的、可扩展的带宽 随着应用软件复杂程度的增加，网络用户数量的增长以及多媒体技术的普及，对网络带宽的需求日益增加。网络系统应该能够为每个用户提供充足的带宽，满足用户的实际应用需求，并且带宽应该是可调整、可扩展的。 1 规模可扩展性及灵活性 在保证今后业务发展时，网络系统必须可灵活扩展，并且又能保证用户当前的投资；随着应用业务不断扩大，技术也会不断的更新，计算机应用水平也会越来越高。要适应这种变化，网络在配置上就必须具有可扩充性。系统网络往往是一个范围很广、结点很多的大系统。设计的灵活性可使网络管理人员能够方便的增加、减少或变动各种结点，或是方便各种逻辑网段和物理网段的划分。 1 可靠性 保证网络系统具备很高的安全性和可靠性，确保单点故障不会使局部网络失去与整个网络的连接，多点故障不会造成整个网络被分成几个互不相连的部分。在网络系统中网络的可靠性是衡量网络成功的一个重要指标。计算机系统必须绝对可靠，网络设计必须对可靠性作重点考虑。从结构的设计、设备的选型以及网络管理上都要对网络的可靠性作出保证。安全性与可靠性同样重要，除了系统要提供多种安全控制的手段外，网络设计上也要提供保障其安全的手段。 1 实用性 从目前的网络应用实际出发，根据具体情况确定网络结构和配置，以满足目前业务及将来发展的需要；网络设计一定要充分保护和利用现有的资源，同时要根据实际情况，采用新技术和新设备，还要考虑组网过程要与平台建立及开发同步进行，建立一个实用的网络。力求使网络既能满足目前需要，又能适应将来发展，同时达到较好的性/价比。 2.3. 设计依据 安全保密网络的设计，必须以国家涉密计算机系统安全保密技术要求为设计根本，严格遵守国家相关法律法规及安全保密规范。本方案设计过程中，严格遵循以下各类标准与文件： 1 国家保密局中保办发[1998] 6号《涉及国家秘密的通信、办公自动化和计算机系统审批暂行办法》； 2 中华人民共和国保密指南《涉及国家秘密的计算机信息系统安全保密方案设计指南》(BMZ2-2001)； 3 中华人民共和国保密指南《涉及国家秘密的计算机信息系统保密技术要求》(BMZ1-2000)； 4 国家保密标准BMB3－1999《处理涉密信息的电磁屏蔽室的技术要求和测试方法》(BMB3－1999)； 5 国家保密标准《电磁干扰器技术要求和测试方法》(BMB4－2000)； 6 国家保密标准《涉密信息设备使用现场的电磁泄漏发射防护要求》(BMB5－2000)； 7 国家保密局《涉及国家秘密的计算机信息系统集成资质管理办法(试行)》(国保发[2001] 7号文)； 3. 系统现状分析 网络的安全保密建设与具体的网络系统是紧密联系的，安全保密必须从系统整体把握，从网络系统的具体情况出发，根据网络结构及应用需求，有的放矢，把握系统安全隐患，采取相应措施来满足网络的安全保密建设要求。为此，首先要明确中国航空工业标准件制造有限责任公司的网络系统现状。 3.1. 网络状况分析 3.1.1. 涉密网 将来建成的涉密网是中国航空工业标准件制造有限责任公司单独的一套网络，独立于Internet、网络物理隔离，是本安全方案设计防护的对象。 涉密网有50信息点接入网络、分布在其办公楼的三个楼层及厂区内的厂房之中。涉密网通过租用电信的线路接入金航网。 3.1.2. 办公内网 中国航空工业标准件制造有限责任公司在涉密网之外，另有一套网络用于内部办公，该网络与涉密网使用同一台核心交换机及网络安全产品，并采用VPN技术进行将办公内网与涉密网进行逻辑隔离。 3.1.3. 外网 为了保证信息交互，中国航空工业标准件制造有限责任公司建立了另一套单独的外网系统。外网通过电信网络与Internet联接，与中国航空工业标准件制造有限责任公司涉密网和办公内网物理隔离，外网不在本方案设计范围内。 3.2. 网络应用分析 目前，中国航空工业标准件制造有限责任公司已经建立了一定程度的信息系统应用，将来的主要应用分为以下几类： 1 内部Web系统 2 业务数据库系统 3 内部电子邮件系统 4 办公自动化系统（OA） 5 业务处理系统 3.3. 系统现有设备 系统信息资产分析的最终目标是对信息资产进行适当的保护。 确定资产的责任帮助确保能够提供适当的保护。应确定所有主要资产的所有者，并分配维护该资产的责任。在此过程中，可以委托负责实施控制措施的责任。资产的责任由资产的指定所有责负责。 物质资产主要指计算机设备（处理器、监视器、膝上型电脑、调制解调器）、通讯设备（路由器、PBX、传真机、应答机）、磁介质（磁带和磁盘）、其它技术设备（电源 、空调器）、家具、机房等，列表如下： 序号 物品 数量 作用 责任人 1. 办公计算机 44台 职工工作使用 使用者 2. 打印机 43台 针式、喷墨、激光打印机 使用者 3. 扫描仪 8台 使用者 5. 中国航空工业标准件制造有限责任公司与信息系统相关的各类资产中，最具价值的为信息资产，主要表现为各个应用系统的数据库内容。一旦发生丢失或被黑客窃取，将带来巨大的损失。 6. 服务器，作为物质资产的一种，是信息资产的载体，如果此载体发生损坏，而数据在没有备份的情况下，也会对信息资产造成破坏 7. 网络设备，如交换机、路由器，一旦发生损坏，将对整个网络的正常运行造成损坏。 8. 软件资产（系统软件），如果发生损坏，虽然重装不一定会带来直接经济损失，但对业务停顿造成的影响，会非常大，甚至在损坏时直接影响数据库，造成信息资产的损坏。其次，如果软件资产本身存在隐患，将对寄托于软件平台的信息资产的存在安全和访问安全造成威胁。 9. 机房，即场地，作为物质资产的一环，它承载了服务器、交换机、路由器等多类关键设备，如果发生水灾、火灾等灾难，将是席卷一切的灾难。 3.4. 系统安全现状 中国航空工业标准件制造有限责任公司涉密网的安全建设是一个比较薄弱的环节，在网络内部目前没有任何安全措施进行防护，对于当前网络中的各种高技术手段的攻击，内部的不法分子及黑客很容易进行不法活动。 4. 涉密网设计 4.1. 综合布线设计 4.1.1. 厂区主干子系统 本次厂区主干通讯线路子系统的建设涉及到7栋建筑物，分别是：一号、二号、三号、四号、十七号、六号、六-A号，其中涉密网的中心机房设在一号楼的三层，从中心机房主配线柜引多模四芯光纤至各厂房分配线柜，光纤的四芯中其中两芯用于涉密网及办公内网接入，另外两芯用于接入外网（Internet）。光纤采用国产室外多模四芯产品，用钢缆将其架设在厂区的电线杆之上。 4.1.2. 建筑物内子系统 建筑物内的综合布线系统主要以一号办公楼的信息点数量比较多，因此，重点做该建筑物内的设计。 考虑到该布线系统是整个网络的核心，因此在设计上应该采用先进的产品和技术，以保证系统将来的扩展 。由于办公楼内的信息点比较集中、楼层数量少，因此采用集中式布线方案。 在产品的选型方面，根据用户对布线网络运行的要求，选用法国—阿尔卡特公司（耐克森）的超五类屏蔽布线产品。 1、信息插座 对于标准办公区信息插座是采用EIA/TIA 568A标准的RJ45信息插座，即可接1台计算机；均布于墙面，根据房间的结构或内装修方案，确定信息插座的位置采用墙面出口。 这里我们主要使用耐克森NEXANS（Alcatel）公司提供所有超五类信息出口插座，且所有模块均为超五类屏蔽模块。 其具有以下特点： ●无印刷电路板，无焊接点，性能稳定 ●无需打线工具，安装简便，可反复安装10次 ●超5类的性能，性价比高 考虑到信息出口的美观和一致性，以及未来信息点扩充问题，将所有信息出口都设计为双口86国标面板。 水平系统的终端，包括用于连接主干与水平系统的跳线架和用于本地的网络设备。 2、配线机柜 在主机房设有配线机柜（19英寸40U），以安装配线架和网络设备等，对各层信息点提供灵活、安全、整洁的管理场所。 3、施工方案 （1）水平线路 此水平布线设计从信息点引至配线间。每个信息插座对应一根UTP超五类线，用于数据。水平线走线： 吊顶走线向下引线到信息插座； 走廊或房间的吊顶上安装塑料线槽；房间内，水平线缆从吊顶线管引出、线槽安装沿墙壁而下，到各信息插座，见上图。 （2）室内施工 对于本项目，信息出口安装方式如下： 大楼内有四壁的小房间办公室，信息插座只需要安装于墙上， 采用墙面明装，信息出口可设在三线单相电源插座的旁边20cm处；信息插座和电源插座的低边距地面30cm。见下图 如果有大开间办公环境，而办公区是由隔板划分的，信息出口可以安装在办公隔板上，同样在信息插座旁 20cm处可设一个三线单相电源插座。见下图 水平布线设计和安装要求： 考虑到信息时代技术的飞速发展，建议一次布线到位，水平线全部采用超五类双绞线UTP， 用于传输数据信号， 其数据传输速率可在100米范围内达到 100Mbps；由于水平线全部采用相同的超五类双绞线，信息出口可以灵活地更换设备而不受传输介质的影响。 （3）抗干扰 综合布线系统所传输的信号绝大多数是弱电信号，因此存在强电对弱电干扰的问题。计算机网络对强电信号的干扰特别敏感，所以这是施工中应注意的施工工艺。 EIA/TIA 568A对综合布线系统与强电系统的隔离作了特别的规定，施工将按此规定进行。 强电类型 综合布线系统与强电系统的隔离距离 平行走线 垂直相交 低电压 AC<42.4V DC<60V 无要求 无要求 低压 AC<1000V DC<1500V 1. 无绝缘条件下，2. 至少50mm 3. 绝缘或金属套管接地条件下，4. 至少25mm 1. 6mm绝缘条件下，2. 在所有方向上至少大于25mm 高压 AC>1000V DC>1500V 1. 单芯强电线，2. 至少450mm 3. 多芯强电线，4. 至少300mm 单芯强电线，至少450mm 多芯强电线，至少300mm （4）施工工艺 A、弱电综合布线管路 方案一：金属桥架 采用走吊顶的轻型装配式槽形电缆桥架的方案，这种方式适用于大型建筑物，为水平系统提供机械保护和支持。 装配式槽型电缆桥架是一种闭合式的金属托架，安装在吊顶内，从弱电竖井引向设有信息点的各展区，再由预埋在墙内不同的金属管，引至墙内或竖头的暗装铁盒内。另外，对地面预埋的信息点，在从弱电竖井引向设有信息的各展区后通过垂直桥架引向地面线槽，并由地面线槽引向展项的地埋铁盒内。 结构化布线是幅射型的，线缆量较多，所以线槽容量的计算十分重要。按照标准的线槽设计方法，应据水平缆径来确定线槽的容量： 线槽的横截面积×40%≥ 水平线缆截面积和 线槽材料多为冷轧合金板表面可进行相应处理。如镀锌，喷塑等。线槽根据情况选用不同的规格。为保证线缆的弯曲半径，线槽须配以相应规格的分支辅件。 为确保线路的安全，应使槽体有良好的接地端,金属软管、电缆桥架及各种配线箱均需要整体连接后良好接地。接地的方式视建筑物结构，以采用网状或星状接地形式。 方案二：PVC槽板 采用走吊顶的PVC槽板的方案，PVC槽板是一种闭合式的PVC托架，安装在吊顶内，从弱电竖井引向设有信息点的各展区，再由预埋在墙内不同的PVC管，引至墙内的明装盒内，该方案的特点是投资小、安装方便。 B、管线敷设方式、要求及抗干扰措施 电缆敷设应符合下列要求： 电缆的弯曲半径应大于电缆直径15倍； 电源线宜于信号线、控制线分开敷设； 尽量避免电缆的接续，做到一线到位。 敷设管道电缆应符合下列要求： 预先清涮管孔； 管内预设一根镀铁丝； 穿放电缆时宜涂抹黄油或滑石粉。 管口放设护圈： 管道连接用束节或接线盒，但要用电焊连接： 管道弯头不用直角弯，要用月弯； 穿时不应损伤线缆护套。 管线敷设应尽可能地远强电等干扰源。 4.2. 网络设计 本项目中涉及到的硬件主要是服务器和网络产品，其中网络产品决定采用目前华为3Com的产品，华为的数据通讯产品目前全球市场占有率与思科已经非常接近，这说明其产品的性能已经非常优秀；同时考虑到华为在本地有售后服务机构，可以提供快捷、高效的服务；曙光服务器作为国内最优秀的服务器产品在企业行业得到广泛的应用，其高性能价格比是我们选择的重要原因。 核心网络：采用华为S6503高端多业务交换机构建电信级高可靠、高性能、高安全且具备强大扩展能力的数据中心，在该交换机上安装交换路由引擎一块，实现路由转发，安装冗余电源一个，安装10/100/1000M光纤模块四块，满足四个厂区内厂房的楼层交换机的接入需要，安装48口10-100-1000M电口模块，满足一号办公楼的各部门的信息点的接入，该建筑物不在另配接入交换机。 采用华为RT2631路由器通过租用电信的通讯线路与上级的网络联接。 用户接入层：采用华为3COM的S3116C作为各建筑物的楼层交换机，安装1000M光纤模块与核心交换机进行连接，实现千兆主干传输，100M到桌面。 通过华为SNMPc+QuidView网络管理系统实现整网的拓扑和设备管理，还可以采用CAMS软件实现对用户的安全管理。 方案特点： 1）网络结构清晰，带宽配置合理 整个网络结构清晰、层次分明，便于维护管理、扩展和使用，合乎企业局域网的流量工程模型，并且不会造成浪费。 2）安全可靠 通过交换机的全面安全联动构建全方位的安全体系架构。 3）管理方便 整个系统可以使用华为公司的网管系统SNMPc和QuidView进行统一管理，并且以后整个网络增大，还可以采用分级网管进行分级别的管理。可以监控系统状态和告警，并可以远程配置数据，做到对整个网络设备的运行情况了如指掌。 4）方便扩展 由于华为公司网络设备的系列性及良好的扩充性，整个网络满足最近3-5年的应用，并且具有良好的扩展性，以后需要增加带宽，只需要增加相应的模块即可，保护投资，节省成本。 4.3. 网络可靠性设计 中国航空工业标准件制造有限责任公司涉密网的安全运行，对信息网网络的可靠性提出了很高的要求。可以说一旦网络/服务器等中断，将会使整个网络陷于瘫痪，引起严重的后果。因此在中国航空工业标准件制造有限责任公司涉密网网络实施中必须对网络的可靠性进行详尽的考虑和设计。网络系统的可靠性由两个大部分组成，即承载网络的可靠性和应用系统的可靠性。应用系统的可靠性主要由服务器、存储设备、应用程序、数据库等的可靠性构成，在其它系统建议中说明；承载网络的可靠性则包括网络拓扑组网结构的可靠性及组网设备可靠性。 （1）组网结构可靠性设计 网络组网结构的可靠性： 1)中国航空工业标准件制造有限责任公司涉密网网络的互联是星型拓扑结构，核心层实现了关键部件冗余，具备99.999%的电信级高可靠性。 2)在故障出现的时候，通过热补丁等机制，保证网络数据自动迂回切换到备用部件上，保证通信的正常进行。 （2）设备可靠性设计 线路的备份主要解决了网络互通路径的问题，而节点设备的可靠则解决网络的有效运转。 要保证网络系统的可靠性，必须要选用具备电信级可靠性的网络设备进行组网，才能使网络具有自动恢复能力、降低人工维护工作，达到准电信的可靠运行。 设备的高可靠性从硬件、软件、保护机制等几个方面体现： 1、 采用分布式体系结构： 分布式体系结构是提高可靠性的基础，与集中式体系设备相比较，分布式体系设备除性能可以通过插入更多的接口处理板提高整体性能外，更为关键的是将管理、路由转发、接口处理等功能分配在不同的部件上，协同工作，分布式体系可以分散故障风险、隔离故障、提供冗余配置，提高系统的自动恢复能力；如管理部件故障，只需要更换这部分板件，不影响其他功能。 2、 关键部件冗余： 采用分布式体系下，对设备的关键部件，如主控管理单元、交换转发单元等，进行冗余构造配置，保证系统在工作中不会全部失效。 3、实时热备份机制： 在系统软件及硬件的支持下，关键部件在发生故障能自动启动备份系统，而且主备之间的切换要能够实时热倒换，即运行中即使发生设备故障切换也不会对网络业务造成影响。 4、热插拔特性： 设备任意单板需要支持热插拔特性，保证系统出现故障需要维护，或系统需要升级扩展时，不需要停机处理，保证网络的7×24小时不间断运行。 5、冗余电源支持： 冗余电源负载分担及备份供电可保障系统具有可靠的能量源。 6、散热系统： 散热系统使设备长时间运行而不至因为系统升温过高出现故障，冗余风扇等散热装置可以增加设备的运行时间及减少故障发生。 4.4. 网络安全措施 1、承载网网络安全概述 网络安全成为目前必须面对的一个实际问题。网络上存在着各种类型的攻击方式，包括窃听报文、IP地址欺骗、源路由攻击、端口扫描、拒绝服务攻击应用层攻击等。 另外，网络本身的可靠性与线路安全也是值得关注的问题。 2、承载网网络安全措施 组网结构上，广域网链路设计都采用备份方式，使得任意一条链路、或者任意一点设备出现故障时，可以通过另外一条连接提供服务，而不会导致服务暂停。充分保证了网络的可靠性。整个网络运行动态路由OSPF协议，通过动态路由实现网络层次的自动备份。 在广域网路由器选用上充分考虑了设备的可靠安全性，核心设备均采用双主控、双电源、双交换网实现冗余备份，故障时能够自动倒换，并支持热插拔和更换。倒换时不影响转发。同时支持VRRP（Virtual Router Redundancy Protocol，虚拟路由器冗余协议），以实现双机热备份。 同时设备通过完善的QoS功能能够严格的控制网络流量，提高网络效率，在局域网通过VLAN划分来隔离网络传输风暴，并且可以在全网进行MPLS VPN规划，保证相互间数据传送的安全性。 对关键的主机系统和子网，能够进行网络资源检查，并及时发现问题。使用安全扫描软件，对关键的主机系统和网络定期进行扫描，可以检查出网络弱点和策略配置上的问题。根据扫描软件发现的问题，及时更新操作系统补丁，查杀病毒，更新安全策略。定期强制更新用户口令，并制定用户口令规则，禁止使用不符合规则的口令。定期检查文件系统的访问权限。 3、华为Quidway® 网络设备安全设计 Quidway® 系列网络设备能提供充分的安全保护功能。Quidway系列路由器提供了多种网络安全机制，为内部网络及外部数据提供了有力的安全保护。 针对网络存在各种安全隐患，安全路由器必须具有如下的安全特性：可靠性与线路安全、身份认证、访问控制、信息隐藏、数据加密、攻击探测和防范、安全管理等方面的内容。 Quidway系列网络设备提供一个全面的网络安全解决方案，包括线路可靠、用户验证、授权、数据保护、智能访问控制等等。所采用的安全技术包括： 1 CallBack技术 2 备份中心 3 AAA 4 CA技术 5 包过滤技术 6 地址转换 7 VPN技术 8 加密与密钥交换技术 9 智能防火墙 10 安全管理 11 VLAN划分 12 其他安全技术与措施 1 CallBack技术 CallBack技术即回呼技术，最初由Client端发起呼叫，要求Server端向本端回呼；而Server端接受呼叫，并决定是否向Client端发起回呼。 利用CallBack技术可增强安全性。回呼处理中，Server端根据本端配置的呼叫号码呼叫Client端，从而可避免因用户名、口令失密而导致的不安全性。另外，Server端还可根据本端的配置，对呼入请求进行分类，即拒绝呼叫、接收呼叫（不回呼）或接收回呼，从而可以对不同的Client端实施不同的限制，并且Server端在外部呼入时可以实现资源访问的主动性。 2 备份中心 为了提高网络的可靠性，Quidway系列路由器提出了特有的备份中心的概念，实现完善的备份功能。备份中心具有如下特点： 2 可为路由器上除拨号口以外的任意接口提供备份接口。 3 路由器上的任一接口可以作为其它接口（或逻辑链路）的备份接口。 4 可对接口上的某条逻辑链路提供备份。备份接口可以是一个接口，也可以是接口上的某条逻辑通道（这里所指的逻辑通道可以是X.25、帧中继、ATM或ADSL的虚电路，也可以是拨号口的某一条dialer map ）。