xx市財政局網(wǎng)絡系統(tǒng)方案建議書

1、<p><b>　　目 錄</b></p><p><b>　　1 、前 言4</b></p><p>　　2 、系統(tǒng)概述與需求5</p><p>　　2.1 系統(tǒng)建設的必要性5</p><p>　　2.2 系統(tǒng)建設概況5</p><p>　　2.3 總體

2、需求5</p><p>　　2.4 建網(wǎng)目的6</p><p>　　3 、局域網(wǎng)技術現(xiàn)狀分析與技術概述7</p><p>　　3.1網(wǎng)絡技術選擇8</p><p>　　3.2網(wǎng)絡設備的系統(tǒng)結構8</p><p>　　3.3虛擬專用網(wǎng)絡(VPN)9</p><p><b>　

3、　3.4路由功能9</b></p><p><b>　　3.5容錯功能9</b></p><p><b>　　3.6網(wǎng)絡管理9</b></p><p>　　4 、網(wǎng)絡方案概述10</p><p>　　4.1 網(wǎng)絡設計思想10</p><p>　　4.2

4、網(wǎng)絡邏輯結構12</p><p>　　5 、網(wǎng)絡實現(xiàn)13</p><p>　　5.1 系統(tǒng)需求13</p><p>　　5.2 網(wǎng)絡實現(xiàn)技術13</p><p>　　5.2.1 主干網(wǎng)13</p><p>　　5.2.2 各子網(wǎng)設計14</p><p>　　5.2.3 遠程服務14

5、</p><p>　　5.2.4 與外部網(wǎng)絡的連接14</p><p>　　5.2.5 網(wǎng)絡物理拓撲結構15</p><p>　　5.3 外連方式15</p><p>　　5.3.1 PSTN(電話撥號)16</p><p>　　5.3.2 ISDN(綜合業(yè)務數(shù)據(jù)網(wǎng))16</p><p&g

6、t;　　5.3.3 DDN(數(shù)字數(shù)據(jù)網(wǎng))18</p><p>　　5.3.4 X.25(公共分組數(shù)據(jù)交換網(wǎng))19</p><p>　　5.3.5 幀中繼20</p><p>　　5.4 網(wǎng)絡設備選擇21</p><p>　　5.4.1 交換機21</p><p>　　5.4.2 路由器22</p>

7、;<p>　　5.4.3 遠程訪問服務器22</p><p>　　5.4.4 服務器24</p><p>　　5.5 系統(tǒng)平臺24</p><p>　　6 、技術重點與難點25</p><p>　　6.1 子網(wǎng)劃分與地址規(guī)劃25</p><p>　　6.2 虛擬局域網(wǎng)的劃分25</p&g

8、t;<p>　　6.3 增強IP組播(IP Multicast)能力26</p><p><b>　　7 、安全性26</b></p><p>　　7.1 網(wǎng)絡設計26</p><p>　　7.2 應用軟件27</p><p>　　7.2.1 用戶口令加密存儲和傳輸：27</p>&

9、lt;p>　　7.2.2 分設操作員27</p><p>　　7.2.3 日志記錄和分析28</p><p>　　7.3 網(wǎng)絡配置28</p><p>　　7.3.1 路由28</p><p>　　7.3.2 防火墻28</p><p>　　7.4 系統(tǒng)配置29</p><p>

10、;　　7.4.1 網(wǎng)絡服務程序29</p><p>　　7.4.2 數(shù)據(jù)庫安全配置29</p><p>　　7.5 通信軟件30</p><p><b>　　8 、維護31</b></p><p>　　8.1 系統(tǒng)維護31</p><p>　　8.2 支持與服務32</p>

11、<p>　　8.2.1 支持和服務范圍32</p><p>　　8.2.2 支持和服務內(nèi)容32</p><p>　　9 、人員培訓36</p><p>　　10 .系統(tǒng)報價37</p><p>　　11 附錄：怡海實業(yè)發(fā)展有限公司介紹38</p><p>　　11.1 怡海公司簡介38<

12、/p><p>　　11.2 公司業(yè)務機構39</p><p>　　11.3 公司技術人力資源及培訓計劃40</p><p>　　11.4 售后服務支持40</p><p>　　11.5 公司部分典型計算機軟件及網(wǎng)絡工程清單41</p><p><b>　　、前 言</b></p>

13、<p>　　信息化正對人類社會發(fā)展產(chǎn)生越來越巨大而深遠的影響,網(wǎng)絡正逐步深入到社會生活的各個方面。政府部門承擔著社會經(jīng)濟管理職能,政府部門信息化是社會信息化的重要基礎。實施"政府上網(wǎng)工程"旨在推動各級政府部門為社會服務的公眾信息資源匯集和應用上網(wǎng),實現(xiàn)信息資源共享,這對于全面推進國民經(jīng)濟信息化具有重要意義。</p><p>　　目前,隨著我國金橋信息網(wǎng)業(yè)務的順利開展,國家經(jīng)貿(mào)委、廣

14、電部、水利部、交通部、林業(yè)部等政府部門都已上網(wǎng),同時省級政府部門也將先后在網(wǎng)上建立自己的網(wǎng)站提供信息。隨著電子商務的發(fā)展,更加需要電子政府的出現(xiàn),實現(xiàn)網(wǎng)上交互式信息交流和電子命令的傳遞。</p><p>　　在政府機構辦公及管理信息化進程中，政府機構如何發(fā)揮自身作用，怎樣利用Internet/Intranet技術帶來的機遇和挑戰(zhàn)，來提高工作效率和管理科學水平，是亟待解決的問題。 </p><p

15、>　　這兩年來，桂林市財政局的科室微機大部分職能還是報表處理、單機作業(yè)為主。市財政局與區(qū)財政廳、市財政局與下屬機構的通信也是簡單地文件傳送，甚至還停留在手工報表，人工遞送階段，顯然越來越不能滿足現(xiàn)代化管理的需要。</p><p><b>　　、系統(tǒng)概述與需求</b></p><p><b>　　系統(tǒng)建設的必要性</b></p>

16、<p>　　建設財政局綜合信息網(wǎng)絡目的：</p><p>　　一是進一步加快全局各機構辦公自動化的進程，實現(xiàn)政府職能的網(wǎng)絡化，提高各級領導的決策水平；</p><p>　　二是推動工作體制和工作方式的改革，打破部門之間各自為政的局面，通過信息暢通，保證政令統(tǒng)一，提高辦事效率；</p><p>　　三是通過網(wǎng)絡加強財政局與廣大市民的聯(lián)系，聽取群眾的意見和心

17、聲；</p><p>　　四是通過財政局上網(wǎng)，挖掘市財政局擁有的豐富的信息資源，為全市企、事業(yè)單位服務，促進信息資源的應用，促進我市經(jīng)濟發(fā)展和社會進步；</p><p>　　五是通過政府工作網(wǎng)絡化，樹立財政局局現(xiàn)代化形象，推動全局信息化工作的開展和信息產(chǎn)業(yè)的發(fā)展。</p><p><b>　　系統(tǒng)建設概況</b></p><

18、p>　　建成市財政局辦公自動化骨干網(wǎng)。</p><p><b>　　建成財政局網(wǎng)站</b></p><p><b>　　接入國際互連網(wǎng)</b></p><p><b>　　總體需求</b></p><p>　　建立一個全局的信息管理和應用的網(wǎng)絡系統(tǒng)，建立醫(yī)院內(nèi)部的Intr

19、anet，并提供相應的各種服務。</p><p>　　能夠有序地共享網(wǎng)絡上的各種軟、硬件資源，各種信息能夠在網(wǎng)絡上快速、穩(wěn)定地傳輸，并提供有效的網(wǎng)絡信息管理手段。</p><p>　　整個系統(tǒng)采用開放式、標準化的結構，以利于功能擴充和技術升級。</p><p>　　能夠與外界進行廣域網(wǎng)的連接，提供、享用各種信息服務。</p><p>　　具有

20、完善的網(wǎng)絡安全機制。</p><p>　　能夠與原有的計算機和應用系統(tǒng)平滑地連接，調(diào)用原有各種計算機系統(tǒng)的信息。</p><p><b>　　建網(wǎng)目的</b></p><p>　　政府上網(wǎng)的另一個作用就是在網(wǎng)上實現(xiàn)辦公。以往人們到政府部門辦事,往往要跑到該地區(qū)的各管轄部門的所在地區(qū),如果涉及到各個不同部門,要蓋不同的章,更是費時費力。除了有一些

21、手續(xù)必須有實物證明外,可以建立一個文件資料電子化中心,把各種證明和文件電子化。同時,項目審批等與政府有關的各項工作都可以在網(wǎng)上完成。而在財政局內(nèi)部,各部門之間也可以通過Intranet相互聯(lián)系,各級領導也可以在網(wǎng)上對所管部門作出指示,指導各部門機構的工作,并能及時地進行意見反饋,節(jié)省了工作時間,提高了工作效率。</p><p>　　與INTERNET相連后可實現(xiàn)電子政府的強大管理應用功能：</p>

22、<p>　　2.4.1監(jiān)督電子化</p><p>　　電子政府可以在網(wǎng)上公開政府部門的名稱、職能、組織結構、辦事章程、各項文件等,以便公眾迅速了解政府機構的組成、職能和辦事章程、各項政策法規(guī),增加辦事的透明度,同時設立友好的訪問界面、豐富的站點,接受民眾的意見,自覺接受公眾的監(jiān)督。</p><p><b>　　2.4.2電子招標</b></p>

23、<p>　　指通過Internet向全國各企業(yè)公開招標來購買商品的方式, 由政府在Internet網(wǎng)上公開其所需購買產(chǎn)品的有關信息,歡迎各個企業(yè)前來投標。同時,可以對感興趣的企業(yè)網(wǎng)站發(fā)出E-mail,邀請其前來投標,并說明前來申請的截止時間。有意投標的企業(yè)需要取得影象、價格、規(guī)格等數(shù)據(jù)和產(chǎn)品性能、優(yōu)勢等文字說明,報送到政府招標的專門網(wǎng)頁上。由政府有關人員對其招標項目進行審核,初步作出篩選。</p><p&

24、gt;　　2.4.3資料電子化</p><p>　　網(wǎng)絡的一大特點就是能開放、充分地提供各種信息,財政局對外部門的各種資料、檔案、數(shù)據(jù)庫的上網(wǎng)使財政局的服務更加完善,更好地為社會服務。</p><p>　　、局域網(wǎng)技術現(xiàn)狀分析與技術概述</p><p>　　目前在局域網(wǎng)組網(wǎng)技術中比較成熟和應用較多的技術有以下幾方面網(wǎng)絡類型：</p><p>

25、　　Ethernet:10M、100M、千兆以太網(wǎng)，</p><p>　　ATM:25M、155M、622M、2.4G，</p><p>　　DDN:64K、128K、1M、2M，</p><p><b>　　X.25:64K</b></p><p>　　FDDI:100M 面臨淘汰。</p><

26、p>　　在端口數(shù)據(jù)分配上也分為共享式和交換式，</p><p>　　網(wǎng)間數(shù)據(jù)交換核心方面分為路由和三層交換兩種技術。</p><p>　　在以上幾個方面中網(wǎng)絡類型的選擇是關鍵，目前的主要技術之爭是發(fā)生在以太網(wǎng)和ATM之間的，這兩種技術各有短長</p><p>　　ATM技術相對以太網(wǎng)來說是一種較為為新型的技術，它基于面向連接，提供QOS保障，在實時數(shù)據(jù)傳送，預

27、留帶寬方面有不可比擬的優(yōu)越性，特別適合實時多媒體的交互式通訊和一些突發(fā)性的數(shù)據(jù)傳送要求，它針對不同的數(shù)據(jù)通訊類型會給予不同的質(zhì)量保證，另外小信元有利于速率的不斷提高，但由于其技術成熟度不夠，和目前直接基于ATM的應用類型還比較少，它的優(yōu)越性受到了限制，另外它的元件和設備價格昂貴是另一個不利與推廣的弱點。</p><p>　　以太網(wǎng)技術相對成熟，而且多數(shù)應用基于以太網(wǎng)開發(fā)，所以決定了目前它在網(wǎng)絡中占主導地位，受多數(shù)

28、用戶的青睞。在此我們推薦使用千兆以太網(wǎng)技術，它在技術上由快速以太網(wǎng)衍生出來、性能價格比高，現(xiàn)在相關技術已經(jīng)穩(wěn)定，并且非常適合財政局使用。在此方案中我們選擇千兆以太網(wǎng)與三層交換作為技術定位的基本模式。</p><p><b>　　3.1網(wǎng)絡技術選擇</b></p><p>　　根據(jù)應用實際需求，和網(wǎng)絡功能、性能、安全性等多方面的分析，對網(wǎng)絡技術做出如下選擇：</p

29、><p>　　根據(jù)應用系統(tǒng)的需求和接入網(wǎng)絡方式的特征，財政局網(wǎng)絡采用10M/100M全交換結合的方式構建自己的網(wǎng)絡通信平臺，采用虛網(wǎng)劃分技術，虛網(wǎng)間數(shù)據(jù)傳輸實現(xiàn)第三層交換，為桌面設備提供10/100M以太網(wǎng)接入，并同時具有技術領先性。</p><p>　　主干為百兆快速以太網(wǎng)。</p><p>　　服務器以100base-T接入。</p><p>

30、;　　普通網(wǎng)絡用戶PC采用10/100Base-T方式接入。</p><p>　　網(wǎng)絡基本形式為交換式網(wǎng)絡。</p><p>　　3.2網(wǎng)絡設備的系統(tǒng)結構</p><p>　　選擇完全分布的系統(tǒng)結構（處理能力分布和存儲能力分布）。</p><p>　　選擇存儲轉(zhuǎn)發(fā)式交換技術（Store-forward）以支持低速網(wǎng)絡接口和高速網(wǎng)絡接口的交換及

31、對錯誤幀的過濾。</p><p>　　選擇統(tǒng)計時分復用（TMD）數(shù)據(jù)交換總線結構的交換設備減少系統(tǒng)延時。</p><p>　　選擇支持多種網(wǎng)絡接口的設備。</p><p>　　3.3虛擬專用網(wǎng)絡(VPN)</p><p>　　靈活多樣的虛網(wǎng)劃分手段，基于端口，基于地址和給予應用</p><p>　　虛網(wǎng)中的站點不應受接

32、口類型的限制。</p><p>　　支持網(wǎng)絡站點的自由移動，虛網(wǎng)標志可被交換設備自動識別以保持原有虛網(wǎng)屬性。</p><p>　　虛網(wǎng)可延伸到整個信息中心網(wǎng)絡，跨越各種交換設備。</p><p><b>　　3.4路由功能</b></p><p>　　內(nèi)部路由采用三層交換功能提高其路由識別和包轉(zhuǎn)發(fā)能力</p>

33、<p>　　內(nèi)部的三層交換虛擬路由功能與外部路由功能有互操作性</p><p><b>　　3.5容錯功能</b></p><p>　　提供交換機內(nèi)部重要模塊的全雙工配置（管理模塊）和冗余電源</p><p>　　主要功能部件的熱插拔功能</p><p>　　支持網(wǎng)絡鏈路的冗余連接</p>&

34、lt;p><b>　　3.6網(wǎng)絡管理</b></p><p>　　支持廣泛的網(wǎng)絡管理平臺（如HP OpenView 、3Com Transcend 等）</p><p>　　提供交換機配置、管理，虛網(wǎng)配置、管理和網(wǎng)絡性能統(tǒng)計監(jiān)控的 </p><p>　　網(wǎng)管工具：基于SNMP網(wǎng)絡管理協(xié)議，支持標準的MIBs</p>&

35、lt;p>　　提供友好的用戶圖形界面</p><p><b>　　、網(wǎng)絡方案概述</b></p><p><b>　　網(wǎng)絡設計思想</b></p><p>　　針對以上情況，本方案的設計采用國際流行的分層設計：自頂向下進行結構化設計，自底向上實現(xiàn)各種業(yè)務。根據(jù)我們以往的經(jīng)驗，桂林市財政局的計算機網(wǎng)絡應具有如下特性：&

36、lt;/p><p>　　前瞻性：即所采用的技術應是國際通信界公認的主流技術，具有持續(xù)發(fā)展的潛力。</p><p>　　兼容性：目前，國內(nèi)各種網(wǎng)絡的建設方興未艾，保證網(wǎng)絡良好的兼容性是業(yè)務擴展的重要前提之一。</p><p>　　經(jīng)濟性：網(wǎng)絡建設的最終目的，是要服務于社會和公眾，并產(chǎn)生可觀的經(jīng)濟效益，進而產(chǎn)生收益和投資之間的良性循環(huán)。</p><p&g

37、t;　　演繹性：網(wǎng)絡建設是一個可持續(xù)滾動發(fā)展的過程，只有不斷地吸收營養(yǎng)、不斷地發(fā)展壯大，才能產(chǎn)生更大的經(jīng)濟和社會效應。</p><p>　　競爭性：只有這樣的網(wǎng)絡才能在市場競爭中當然會脫穎而出，獨占鰲頭。</p><p>　　穩(wěn)健性：因為網(wǎng)絡系統(tǒng)在將來政府辦公的地位非常重要，所以市財政局計算機網(wǎng)絡對系統(tǒng)的穩(wěn)健性將有較高的要求。本方案正是結合實際需求對于系統(tǒng)的穩(wěn)健性進行了深入的設計。<

38、/p><p>　　為了實現(xiàn)上述特性，我們本著以下原則進行設計：</p><p>　　充分依照國際上的規(guī)范、標準，借鑒國內(nèi)外目前所流行的主流網(wǎng)絡體系結構和網(wǎng)絡運行系統(tǒng)，采用國際上成熟的模式，汲取國內(nèi)外各種信息系統(tǒng)的建設經(jīng)驗，從網(wǎng)絡信息化的實際要求出發(fā)進行設計。</p><p>　　確保技術的先進性和實用性，使網(wǎng)絡具有良好的可擴展性和靈活性，以適應網(wǎng)絡的迅猛發(fā)展趨勢，既滿足

39、當前需求，又照顧未來網(wǎng)絡建設發(fā)展的需要。</p><p>　　充分利用當?shù)匾延械母鞣N網(wǎng)絡資源，確保網(wǎng)絡內(nèi)部的互聯(lián)互通。</p><p>　　由于此網(wǎng)絡是一個實用的服務運行系統(tǒng)，在總體設計時充分考慮工程的可靠性、可用性、可維護性以及網(wǎng)絡的安全性，建立完善的安全管理體系。</p><p>　　另外，本計算機信息系統(tǒng)的建設是一項龐大而繁雜的工程，它需要領導的支持、大筆資金

40、的及時到位、計算機專業(yè)人員具有良好素質(zhì)和較高技術水平，以及應用科室的配合和多部門的密切協(xié)作。所以我們對于系統(tǒng)的建設提出“總體規(guī)劃、分布實施”的建議。在制定總體規(guī)劃時，我們遵循“切合實際、分階段實施、循序漸進、安全有效”的基本原則。網(wǎng)絡結構的選擇具有先進性和安全性，擴充升級方便，可保護前期投資。</p><p>　　基于上述因素考慮，桂林市財政局計算機網(wǎng)絡建設思想如下：</p><p>　　

41、基本構架采用國際上目前流行的INTRANET網(wǎng)絡技術，以TCP/IP為基本傳輸協(xié)議；</p><p>　　主干網(wǎng)采用百兆快速以太網(wǎng)技術，以便滿足市委市府系統(tǒng)中大量數(shù)據(jù)傳輸?shù)囊螅?lt;/p><p>　　分支網(wǎng)絡采用快速以太網(wǎng)(Fast Ethernet)技術以滿足普通應用需求；</p><p>　　采用先進的虛擬網(wǎng)絡技術，將網(wǎng)絡按功能模塊劃分成不同子網(wǎng)，增強網(wǎng)絡的安全

42、性；</p><p>　　融合WEB技術，PROXY技術等INTERNET綜合應用；</p><p>　　采用FIREWALL防火墻技術提高網(wǎng)絡安全性，可靠性；</p><p><b>　　網(wǎng)絡邏輯結構</b></p><p>　　桂林市財政局計算機網(wǎng)絡的邏輯拓撲結構如下：</p><p><

43、;b>　　網(wǎng)絡系統(tǒng)邏輯拓撲圖</b></p><p>　　在邏輯拓撲中網(wǎng)絡可劃分為若干虛擬局域網(wǎng)，虛擬局域網(wǎng)不受設備物理位置的限制，靈活性較大。按各部分功能劃分：SERVER VLAN為服務器群虛網(wǎng)，將各種主要服務器（WEB服務器、管理數(shù)據(jù)服務器、郵件服務器、FTP服務器等）放在一個虛網(wǎng)內(nèi)便于管理、維護，同時也可以盡可能減少外部入侵及破壞系統(tǒng)的可能性;VLAN1、VLAN2……根據(jù)不同的職能部門

44、劃分，如：黨委辦、組織部、人事部……</p><p><b>　　、網(wǎng)絡實現(xiàn)</b></p><p><b>　　系統(tǒng)需求</b></p><p>　　首先對整個財政局辦公大樓需進行綜合布線以及機房標準裝修工程。財政局辦公大樓是兩個6層高的子樓以L型連接而成，相互之間要通過網(wǎng)絡共享一部分數(shù)據(jù)，中心機房位于6樓。下面列出財政

45、局各樓層對網(wǎng)絡的需求。</p><p>　　具體的大樓綜合布線以及機房裝修詳見《附件：綜合布線實施方案》</p><p><b>　　網(wǎng)絡實現(xiàn)技術</b></p><p><b>　　主干網(wǎng)</b></p><p>　　網(wǎng)絡的主干建議采用四臺自適應百兆以太網(wǎng)交換機作為中心交換機。四臺核心交換之間采用

46、高速矩陣模塊千兆光纖相連，以保證主干網(wǎng)信息的暢通。服務器均以100BASE端口和交換機相連，這樣可以提供足夠的帶寬，減少由于用戶對服務的集中請求所產(chǎn)生的網(wǎng)絡瓶頸。</p><p>　　建議使用先進的路由交換機產(chǎn)品。路由交換機可將IP路由功能集成在硬件中，以較低的代價就可獲得比傳統(tǒng)路由器高得多的路由性能。</p><p><b>　　各子網(wǎng)設計</b></p>

47、;<p>　　市財政局的各部門所形成的子網(wǎng)均以100M的上連帶寬分別和中心交換機相連，到桌面采用10/100M。各分支網(wǎng)采用交換式快速以太網(wǎng)技術。</p><p><b>　　遠程服務</b></p><p>　　為了滿足其他單位撥號訪問進行辦公的需要，采用遠程撥號把其他單位的計算機和財政局計算機網(wǎng)絡通過公共電話網(wǎng)連起來，充分利用現(xiàn)代通信手段和網(wǎng)絡資源。

48、群眾也可以通過電話撥號訪問政府網(wǎng)站上公開的信息資源。</p><p><b>　　與外部網(wǎng)絡的連接</b></p><p>　　與國際互聯(lián)網(wǎng)的連接可以獲得大量的信息資源，同時能將桂林市財政局介紹給世界。通過電信局提供的64K/128K數(shù)據(jù)專線上連到163，169網(wǎng)。</p><p><b>　　網(wǎng)絡物理拓撲結構</b>&l

49、t;/p><p>　　根據(jù)以上分析，桂林市財政局計算機網(wǎng)絡物理拓撲圖可以是：</p><p><b>　　外連方式</b></p><p>　　桂林市財政局網(wǎng)絡中心首先是桂林市財政辦公網(wǎng)的大腦與心臟，承擔了桂林市財政辦公網(wǎng)的運行、維護的重要責任，是一個較為集中的數(shù)據(jù)中心，和多種應用的中央控制的監(jiān)測機構，所以桂林市財政局網(wǎng)絡中心的建設是整個網(wǎng)絡建設的

50、關鍵。</p><p>　　網(wǎng)絡中心的地位和功能：</p><p><b>　　管理中心</b></p><p><b>　　控制中心</b></p><p><b>　　數(shù)據(jù)集中及備份中心</b></p><p><b>　　檢查及檢測中心&

51、lt;/b></p><p><b>　　對外信息發(fā)布中心</b></p><p>　　為了更好地、更經(jīng)濟地利用桂林市財政局網(wǎng)絡的資源，滿足各種類型節(jié)點的具體需求，我們初步比較以下幾種節(jié)點接入方式：電話撥號、ISDN、DDN、X.25、幀中繼。</p><p>　　PSTN(電話撥號)</p><p>　　電話撥號

52、接入是利用現(xiàn)有的電話線資源，通過公用電話網(wǎng)實現(xiàn)網(wǎng)絡節(jié)點的接入。公用電話網(wǎng)在國內(nèi)覆蓋范圍最廣，應用靈活，方便。公眾通信網(wǎng)主要用于話音的交換傳輸，通常電話線路最高速率只有9600bps，但如果采用具有4倍壓縮率功能的Modem，可達56Kbps。和其它的接入方式相比，電話撥號雖然費用最低，但受到電話模擬線路本身技術的限制，其可提供的連接速率較低，且通信質(zhì)量容易受到影響，不能提供高品質(zhì)的連接信道。</p><p>　　

53、ISDN(綜合業(yè)務數(shù)據(jù)網(wǎng))</p><p>　　采用ISDN的優(yōu)勢可歸納為以下幾點： </p><p><b>　　1) 技術成熟 </b></p><p>　　ISDN的技術在80年代就開始試驗和使用，ISDN的標準則在1984形成，在1988年趨于穩(wěn)定。ISDN的網(wǎng)絡產(chǎn)品和終端產(chǎn)品已經(jīng)在市場上被廣泛地采用。終端產(chǎn)品價格逐年下降。網(wǎng)絡運營者也

54、積累了開放ISDN業(yè)務及應用的豐富經(jīng)驗。我國網(wǎng)上交換機設備經(jīng)過3年的技術和測試工作，已基本具備了ISDN的能力。</p><p><b>　　2) 安裝簡單</b></p><p>　　安裝又可分為用戶把自己的終端設備連接到ISDN線上和局方為用戶安裝ISDN線兩個方面。對于前者，ISDN為用戶很好地解決了連接問題，它提供標準的用戶網(wǎng)絡接口。這一特點是ISDN成功的關

55、鍵所在。它以標準接口將各種類型的終端設備接入到ISDN網(wǎng)絡中。只要用戶使用一對用戶線、一個ISDN號碼、一臺有ISDN標準接口的終端適配器(ISDN TA)，將現(xiàn)有的設備(包括模擬設備如：普通電話機、傳真機等) 連接到ISDN TA上。這樣，用戶就可以保留原有的模擬設備，節(jié)省投資。如果用戶已有了第二條電話線專為電腦上網(wǎng)使用，也就是說終端設備只有電腦，那么就可以不必購買ISDN終端適配器(ISDN TA)了，只需插一塊ISDN PC卡就可

56、完成電腦與ISDN線的連接。</p><p><b>　　3) 方便易用</b></p><p>　　ISDN線路可以一線多號，一線多連，兩個終端可以同時使用而互不干擾。比如：在一條ISDN電話線上可以用一個信道保持聲音通話，用另一條信道上網(wǎng)。而且由于它屬于普通電話網(wǎng)的一部分，所以用戶既可以與ISDN用戶也可以與普通電話用戶通信。當用戶在一條ISDN線上與普通電話用戶

57、通信時仍按普通市話或長途標準收費。</p><p><b>　　4) 多媒體通信 </b></p><p>　　ISDN為用戶提供64Kbit/s的數(shù)字連接，使用戶可以傳遞語音、數(shù)據(jù)和圖像等多種媒體的信息，并使各種應用可以在這一平臺上得以開發(fā)和使用。例如：會議電視一般需要三個2B+D，即384kbp/s 就能得到令人滿意的會議電視效果。</p><

58、p><b>　　5) 經(jīng)濟實惠 </b></p><p>　　這可以表現(xiàn)在以下幾個方面：首先，它可以一線多用，做綜合業(yè)務的處理，減少投資；其次，它可提高通信能力3～5倍，節(jié)省費用，提高效率；第三，它可即時連接使用數(shù)字數(shù)據(jù)線路，其費用遠低于DDN專線。 另外，ISDN是一種需求式服務，所以用戶使用它與普通電話一樣，只在需要時發(fā)起呼叫，支付相應使用時間的通話費，一旦連通，用戶獲得的就是高

59、速數(shù)字通信。 </p><p>　　6) 具有數(shù)字化優(yōu)越性。 </p><p>　　在傳輸速度方面，目前最快的模擬調(diào)制解調(diào)器也只不過是56Kbps，而且這是一個理論值，實際使用時至多只能達到52Kbps，它還依賴于電話線的質(zhì)量。但在ISDN中僅2B＋D就可達到64Kbps，若傳輸一個1MB未壓縮文件不到1分鐘就可傳輸完畢，比前者要快很多，顯然占有優(yōu)勢。在通話建立方面，模擬Modem要協(xié)商

60、電話線支持的帶寬(速率)需要10～30秒或更長時間，而ISDN無那種咕吱咕吱的雜音，幾秒鐘就連接好了。從傳輸質(zhì)量上講，ISDN的數(shù)字傳輸比模擬傳輸更不會受到靜電和噪音的影響，使數(shù)據(jù)通信中更少出現(xiàn)錯誤與重傳現(xiàn)象。 </p><p>　　DDN(數(shù)字數(shù)據(jù)網(wǎng))</p><p>　　DDN即數(shù)字數(shù)據(jù)網(wǎng)，它是利用光纖數(shù)字傳輸通道和數(shù)字交叉復用節(jié)點組成的數(shù)字數(shù)據(jù)傳輸網(wǎng)，可為用戶提供各種高速率、高質(zhì)量的

61、數(shù)字專用電路，以滿足用戶組建中高速計算機通信網(wǎng)的需要。</p><p>　　DDN業(yè)務區(qū)別于傳統(tǒng)模擬電話專線的顯著特點是數(shù)字電路，傳輸質(zhì)量高、時延小，通信速率可根據(jù)需要選擇。DDN技術是利用數(shù)字信道提供永久或半永久電路,以傳輸數(shù)字信號為主的數(shù)字通信網(wǎng)絡。其最具吸引力的優(yōu)點是傳輸時延短,支持語音、圖像等多媒體業(yè)務,且已經(jīng)在一些金融系統(tǒng)中得以廣泛使用,是一種較為成熟的技術。出于對未來視頻會議、辦公自動化等多媒體寬帶新

62、業(yè)務的考慮,DDN技術有著很強的生命力和發(fā)展前景。</p><p>　　傳統(tǒng)的網(wǎng)絡互連方式是通過租用點對點的DDN專線方式，一般速率為64Kbps/128Kbps。這就是所謂的IP的點對點互連。這種互連方式比較成熟，也是當今IP網(wǎng)絡互連中廣泛采用的方式。通過模擬專線(用戶環(huán)路)和Modem入網(wǎng)，通信速率受用戶入網(wǎng)距離的限制，最高可到2.048Mbps，對光纖到戶的用戶，通信速率可靈活選擇。</p>

63、<p>　　但是，這種互連方式使得路由器必須將IP數(shù)據(jù)包從一個IP網(wǎng)絡向另外一個IP網(wǎng)絡轉(zhuǎn)發(fā)。這樣就會帶來一些問題：</p><p>　　1) 對于組建大型的IP網(wǎng)絡來說,由于租用這種點對點的線路,使網(wǎng)絡方案設計變得非常復雜。為了將來網(wǎng)絡的可擴展性,一般會考慮設計分層結構的網(wǎng)絡體系(如網(wǎng)絡分為骨干層及接入層等)。這樣就會需要大量的路由器設備來完成這一工作。路由設備的增長,也不可避免地帶來資金、IP地址分

64、配、全網(wǎng)路由政策等等一系列問題。 </p><p>　　2) 這種點到點的線路互連,完全依靠路由設備來完成各個節(jié)點的IP數(shù)據(jù)交換、傳遞。從而目前基于IP層交換的路由設備的交換速率及吞吐率又成了全網(wǎng)信息流傳遞的瓶頸。</p><p>　　X.25(公共分組數(shù)據(jù)交換網(wǎng))</p><p>　　公共分組數(shù)據(jù)交換網(wǎng)X.25線路分組交換是為適應計算機通信而發(fā)展起來的一種先進通信

65、手段，它以CCITT X.25建議為基礎，可以滿足不同速率，不同型號終端及計算機以及局域網(wǎng)間的通信，實現(xiàn)數(shù)據(jù)庫資源共享。</p><p>　　分組交換網(wǎng)的突出優(yōu)點是可以在一條電路上同時開發(fā)多條虛電路，為多個用戶同時使用，網(wǎng)絡具有動態(tài)路由功能和先進的誤碼糾錯功能，網(wǎng)絡性能最佳。</p><p>　　CHINAPAC提供交換型虛電路(SVC)和永久型虛電路(PVC)。SVC使用靈活，每次可與不

66、同的用戶建立通信電路，通信費用與通信量有關，而與距離無關。PVC類似于固定專線，不需每次通信時臨時建立和釋放電路，適用于點對點固定連接的使用。此外，CHINAPAC還提供許多可選業(yè)務，如閉合用戶群、反向計費等。</p><p><b>　　幀中繼</b></p><p>　　幀中繼是一種高性能的WAN協(xié)議，最初是作為綜合業(yè)務數(shù)據(jù)網(wǎng)（ISDN）接口設計的，現(xiàn)在它已被廣泛

67、地用于多種網(wǎng)絡接口。幀中繼是X.25地簡化版本，它省略了X.25的一些強健功能，如提供窗口化技術和數(shù)據(jù)重發(fā)功能，這是因為幀中繼工作在性能更好的WAN設備上。它即具有分組交換網(wǎng)的突出優(yōu)點：在一條物理電路上同時開發(fā)多條虛電路，為各個用戶同時使用，又能提供較高的網(wǎng)絡帶寬，（56K－2M），支持LAN網(wǎng)之間使用的多種協(xié)議。</p><p>　　這種互連方式的優(yōu)勢在于: </p><p>　　1)

68、在網(wǎng)絡互聯(lián)中,路由器的數(shù)目大大減少。對網(wǎng)絡組網(wǎng)的設計要求也大大簡化。 </p><p>　　2) 以幀中繼交換機代替路由器的交換功能,使網(wǎng)絡信息處理傳輸速率非?？?適應于當前局域網(wǎng)高速互連的需求。 </p><p>　　3) 由于幀中繼網(wǎng)絡中大都采用光纖作為傳輸媒體,傳輸誤碼率非常低,一般為10-8。幀中繼的無差錯控制機制完全可以提供可靠的端到端的傳輸。</p><p&

69、gt;　　如今，世界上50％以上的幀中繼業(yè)務是在信元－中繼／ATM網(wǎng)絡上傳輸?shù)?，這主要是由于信元交換設備具有良好的協(xié)調(diào)性和高效性。盡管除了傳輸其它類型的通信如話音和視頻外再也沒有其它的優(yōu)點，作為一種接口，幀中繼還是最適合于數(shù)據(jù)協(xié)議的傳輸。而且?guī)欣^結構非常簡單，這使得它很有吸引力。幀中繼很適宜于數(shù)據(jù)通信，因為同時分多路和租用線路傳輸相比，幀中繼更有效地利用了帶寬。幀中繼能通過單一物理信道維持多個虛擬網(wǎng)絡，從而使各種同等重要的通信獨立通過

70、互聯(lián)網(wǎng)絡。這種平行信息流的結構與ATM虛擬網(wǎng)絡的結構非常一致，而且容易連接。因此，幀中繼既能滿足當前的連接要求，又可成為向未來高速網(wǎng)絡過渡的橋梁。</p><p><b>　　網(wǎng)絡設備選擇</b></p><p><b>　　交換機</b></p><p>　　目前生產(chǎn)交換機的廠商比較多，著名的有Intel、3COM、Ci

71、sco、Bay等。而3COM又是交換機市場的領袖。經(jīng)過分析比較，我們選擇3COM公司的SuperStack II 3300交換機。采用四臺3300交換機通過高速矩陣模塊堆疊起來。</p><p>　　SuperStackII 3300的主要優(yōu)點</p><p><b>　　基于Web的管理 </b></p><p>　　---- 利用網(wǎng)絡上任何

72、節(jié)點的任何Web瀏覽器來進行簡單的設備管理，但仍然保有全部的安全性。 </p><p>　　支持RMON（遠程監(jiān)控） </p><p>　　---- RMON可對所有的交換機端口提前進行用戶友好型的管理。集成的RMON能力支持所有9類RMON能力。 </p><p>　　漫游分析端口（RAP） </p><p>　　---- 可以把疊堆中任一

73、端口的信息流映射到其它的任一端口，進而直接連至網(wǎng)絡分析器。 </p><p><b>　　支持802.1p </b></p><p>　　---- 這是針對多媒體應用而新制定的信息流等級制傳輸標準。 </p><p>　　擁堵控制：IFM（智能流控制）和802.3x </p><p>　　---- 丟失數(shù)據(jù)包是LAN降低

74、速度的最重要起因，基于流控制的IFM和802.3x標準可確保任何數(shù)據(jù)包都不會丟失。 </p><p><b>　　支持802.1Q </b></p><p>　　---- 這是為了形成VLAN而制定的新標準。 </p><p><b>　　IGMP探測 </b></p><p>　　---- 交換機

75、對多址聯(lián)播信息流進行監(jiān)視，并自動調(diào)整交換機的配置，以減輕網(wǎng)絡上的多址聯(lián)播信息流負擔，從而加大網(wǎng)絡的總流量。 </p><p>　　支持Fast IP </p><p>　　---- 兼有路由控制和線速交換性能的雙重優(yōu)點。 </p><p><b>　　路由器</b></p><p>　　Cisco公司的路由器已經(jīng)相當于業(yè)

76、界默認的標準，并且Cisco路由器的高性能在業(yè)界中也是首屈一指的。我們選擇Cisco公司的2621路由器和2610路由器，并且給其配備了IOS防火墻。</p><p>　　Cisco 2600 模塊化多服務路由器為分支機構提供通用性、集成和功能。通過50多個網(wǎng)絡模塊和接口，Cisco 2600 系列的模塊化體系結構允許輕易地升級接口來適應網(wǎng)絡擴展。Cisco 2600 系列是 Cisco 數(shù)據(jù)/語音/視頻集成方案

77、的一個關鍵成員，提供業(yè)界最廣泛的基于 IP 和幀中繼的端到端分組電話解決方案。</p><p>　　Cisco 2600 系列為網(wǎng)絡管理員和服務供應商提供一個經(jīng)濟有效的解決方案來滿足目前的分支機構需求，例如： </p><p>　　帶有防火墻安全的 Internet/Intranet 訪問 </p><p>　　多服務語音/數(shù)據(jù)集成 </p><

78、p>　　模擬和數(shù)字撥號訪問服務 </p><p>　　虛擬專網(wǎng)(VPN)訪問 </p><p>　　VLAN 間路由 </p><p><b>　　帶有帶寬管理的路由</b></p><p><b>　　遠程訪問服務器</b></p><p>　　在傳統(tǒng)的做法中，

79、實現(xiàn)遠程訪問的方法都是以路由器加載遠程訪問模塊來實現(xiàn)的。這種方式在安裝、調(diào)試以及維護上都是很復雜的，并且由于采用了路由器，投資成本比較高。在本系統(tǒng)中，我們采用專用的遠程訪問服務器3COM RAS1500。專用遠程訪問服務器提供的專業(yè)的遠程訪問服務，具有很高的性價比。</p><p>　　SuperStack II Remote Access System 1500為中小型企業(yè)和Internet 服務提供商提供全面

80、的遠程訪問服務。 </p><p><b>　　主要優(yōu)勢：</b></p><p>　　---- 在一個平臺中集成了非常廣泛的功能。以較低的設備開支，提供了撥入/撥出訪問、采用撥號或幀中繼和專線PPP連接的局域網(wǎng)間路由選擇功能，在Transcend Network Supervisor (TNS)的支持下，將RAS 1500集成到3Com的所有網(wǎng)絡管理應用程序中，而您

81、的遠程訪問設備則像您的LAN設備一樣由同樣的應用程序進行管理。 </p><p>　　---- 易于安裝。基于HTML瀏覽器的安裝向?qū)?、圖形用戶界面(GUI)和文檔瀏覽。 </p><p>　　---- 先進、易于操作。NAT/PAT地址轉(zhuǎn)換功能提供低成本高效率的共享ISP訪問。DHCP服務器、中繼和代理功能為本地和遠程用戶提供了簡捷的LAN訪問方式。 </p><p&

82、gt;　　---- 訪問方式安全。包括本地驗證，并可與RADIUS、 Windows NT 或NetWare NOS 服務器配合實現(xiàn)遠程驗證功能。 </p><p>　　---- I/O單元模塊化。模塊化單元，便于I/O卡的添加和擴展以及PRI訪問單元的熱插拔。 </p><p>　　---- Univerrsal ConnectTM技術。通過同一基本速率的 ISDN 連接，提供了業(yè)界領先

83、的模擬連接方式(速率可高達V.90)和 ISDN 撥入訪問方式。 </p><p>　　---- 可伸縮性。將 ISDN 和模擬連接方式集于一身，端口范圍為４至24端口，可以隨著您的需要進行擴展。 </p><p>　　----采用NAT/PAT，多個基于LAN而有各自的IP地址的用戶可以通過單獨的公用地址(PAT)訪問Internet或公用LAN，或者，眾多用戶可以共用一個小型共用子網(wǎng)(

84、NAT)。NAT/PAT將這些專用的IP地址翻譯到一個單獨的公共地址或翻譯到Internet服務供應商認可的公共子網(wǎng)。這一功能特性可以降低公司的操作費用并簡化其Internet訪問。 </p><p>　　---- 對遠程用戶和基于LAN的用戶來說，RAS 1500都是作為中央DHCP服務器工作的。此外，它還能"代理"或"轉(zhuǎn)播"對其他中央服務器的IP地址請求。這種特性簡化了

85、網(wǎng)絡管理，并增強了遠程用戶和本地用戶的移動性。 </p><p>　　---- 除了"固定"和"漫游"回叫之外，RAS 1500還增加了更多的安全性和降低遠程話費的選擇功能。 來話ISDN呼叫(BRI和PRI)可通過D信道顯現(xiàn)的主叫方ID信息予以屏蔽。 如果識別出主叫方，則其呼叫就會下線并自動重新?lián)芴?，這樣就可以確保適當?shù)牡刂肥盏交亟校⒋_保電話公司不對來自遠程地址的始發(fā)呼

86、叫收取費用(此種特性在與OfficeConnect ISDN LAN調(diào)制解調(diào)器等產(chǎn)品的路由器到路由器連接方式中使用)。</p><p><b>　　服務器</b></p><p>　　在服務器方面我們選擇了國際著名廠商DELL公司的系列服務器。主服務器選用DELL PowerEdge6400，備份服務器選用DELL PowerEdge6400，WEB服務器選用DELL

87、 PowerEdge2400。</p><p>　　PowerEdge?6400 經(jīng)過精心設計，提供了強勁的服務器可用性和操作性能，并且最大限度地減少了系統(tǒng)的停機時間。與以前的戴爾四處理器平臺相比，其操作性能更強大，可用性與可維修性也更高。PowerEdge 6400 支持多達四個最新的 英特爾® 奔騰® III 至強?處理器、8GB ECC SDRAM、66MHz PCI 插槽以及容量高達

88、252 GB 的硬盤驅(qū)動器。</p><p>　　PowerEdge? 4400 在高性能與企業(yè)級可用性方面特別突出，其設計有助于進一步提高部門的工作效率。通過支持兩個 英特爾® 奔騰® III Xeon?處理器、133MHz 前側總線、多達 4GB 的內(nèi)存和嵌入式 NIC、雙通道 Ultra3 (Ultra160) SCSI 控制器以及可選的 RAID 控制器，PowerEdge 4400

89、可以幫助您快速有效地分發(fā)用戶所需的重要數(shù)據(jù)。</p><p>　　PowerEdge? 2400服務器使工作組級應用具有部門級計算能力。PowerEdge 2400這種極具力量的系統(tǒng)可采用雙處理器、133MHz的前端數(shù)據(jù)總線、64位PCI插槽以及180G可熱插拔的硬盤存儲容量。支持熱插拔電源是這種重新定義工作組級應用范圍的高性能系統(tǒng)一種額外的功能。</p><p><b>　　系

90、統(tǒng)平臺</b></p><p>　　當前主流的應用平臺主要是SUN（Solaris），PC（Windows）或PC（Linux）的結構：</p><p>　　SUN（Solaris）是一種比較安全和穩(wěn)健的網(wǎng)絡服務器結構，但價格較為昂貴，對管理人員的技術要求比較高。</p><p>　　PC（Windows2000）：Windows2000是Microso

91、ft公司在PC上發(fā)展起來的32位操作系統(tǒng)?；贑lient/Server體系結構的多線程的操作系統(tǒng)，支持虛擬內(nèi)存。管理簡單方便，價格適中，具有C2級安全性。系統(tǒng)開銷合理，運行效率較高。</p><p>　　PC（Linux）：價格最為便宜，但安全性沒有經(jīng)過認證，另外無生產(chǎn)廠家提供可靠的技術支持，出現(xiàn)問題時沒有保障。</p><p>　　從近期的發(fā)展方向來看，Microsoft公司正在提供源

92、源不斷的2000系列產(chǎn)品支持保證一個Intranet方案，如Office2000、SQL Server2000、Exchange2000等。在這個方案中，從操作系統(tǒng)層次就具備支持Internet/Intranet的基本特性，以Microsoft 2000系列產(chǎn)品族表現(xiàn)了極強的整合能力。Microsoft的解決方案更具有靈活性、系列性和可持續(xù)性，各種組件之間的聯(lián)系非常緊密，效率也自然提高。因此選擇Microsoft的從操作系統(tǒng)開始的Int

93、ranet解決方案具備可比的優(yōu)勢。</p><p>　　在桂林市財政局辦公網(wǎng)的方案中，我們將主要采用Microsoft公司在PC（Windows2000）上的解決方案，在一些涉及應用安全性和伸縮性敏感的部件上，可以選擇更有效的產(chǎn)品作為Microsoft產(chǎn)品的替代。</p><p><b>　　、技術重點與難點</b></p><p><b

94、>　　子網(wǎng)劃分與地址規(guī)劃</b></p><p>　　在一個平面網(wǎng)絡中存在大量廣播信息，將一個大的網(wǎng)絡劃分為小的子網(wǎng)，是為了縮小廣播域，防止廣播風暴，將廣播信息限制在必須廣播的范圍內(nèi)，而過濾掉不必要的廣播信息。</p><p>　　子網(wǎng)劃分的工作一般由路由器來完成。子網(wǎng)之間的通信也需要路由尋址。</p><p><b>　　虛擬局域網(wǎng)的劃

95、分</b></p><p>　　局域網(wǎng)設備工作在OSI七層模型的第二層，傳統(tǒng)的局域網(wǎng)設備連接的網(wǎng)絡是單個廣播域。局域網(wǎng)交換機雖然能根據(jù)MAC地址進行數(shù)據(jù)包的交換，但它會將任何廣播信息廣播到全部網(wǎng)絡。</p><p>　　新的局域網(wǎng)交換機可以將網(wǎng)絡劃分為多個廣播域，即VLAN。但它不能在兩個VLAN 之間傳送信息。VLAN之間的通信仍然需要路由尋址，也就是仍然需要路由器。有時也將

96、路由尋址的功能做到交換機內(nèi)，即所謂三層交換。</p><p>　　增強IP組播(IP Multicast)能力</p><p>　　組播也稱多點播放，是一種有選擇的將信息播送到需要它的其它節(jié)點的點對多點的通信方式。與另一種點到多點的廣播方式相比，采用組播技術可以節(jié)約寶貴的網(wǎng)絡資源，大大降低廣播風暴。各級網(wǎng)絡設備必須具備對IP組播的支持，我們?yōu)楦骷壨扑]的交換機設備均具備這一能力。</p

97、><p><b>　　、安全性</b></p><p>　　安全是在網(wǎng)絡建設中需要認真分析、綜合考慮的關鍵問題。下面我們將從5個方面來討論保障網(wǎng)絡安全的若干措施。</p><p><b>　　網(wǎng)絡設計</b></p><p>　　在內(nèi)部網(wǎng)絡設計中主要考慮的是網(wǎng)絡的可靠性和性能，而如何確保網(wǎng)絡安全也是一個

98、不容忽視的問題。</p><p>　　采用網(wǎng)段分離技術，把網(wǎng)絡上相互間沒有直接關系的系統(tǒng)分布在不同的網(wǎng)段，由于各網(wǎng)段間不能直接互訪，從而減少各系統(tǒng)被正面攻擊的機會。以前，網(wǎng)段分離是物理概念，組網(wǎng)單位要為各網(wǎng)段單獨購置集線器等網(wǎng)絡設備。現(xiàn)在有了虛擬網(wǎng)技術，網(wǎng)段分離成為邏輯概念，網(wǎng)絡管理員可以在網(wǎng)絡控制臺上對網(wǎng)段做任意劃分。</p><p>　　另外，在安全方面有一個最基本的原則：系統(tǒng)的安全性

99、與它被暴露的程度成反比。因此，建議將對外信息發(fā)布的服務器與內(nèi)部應用服務器隔離，由于將數(shù)據(jù)庫和內(nèi)部應用系統(tǒng)封閉在系統(tǒng)內(nèi)部，增加了系統(tǒng)的安全性。</p><p><b>　　應用軟件</b></p><p>　　在網(wǎng)上運行的網(wǎng)絡軟件需要通過網(wǎng)絡收發(fā)數(shù)據(jù)，要確保安全就必須采用一些安全保障方式。</p><p>　　用戶口令加密存儲和傳輸：</p

100、><p>　　目前，絕大多數(shù)應用仍采用口令來確保安全，口令需要通過網(wǎng)絡傳輸，并且作為數(shù)據(jù)存儲在計算機硬盤中。如果用戶口令仍以原碼的形式存儲和傳輸，一旦被讀取或竊聽，入侵者將能以合法的身份進行非法操作，絕大多數(shù)的安全防范措施將會失效。</p><p><b>　　分設操作員</b></p><p>　　分設操作員的方式在許多單機系統(tǒng)中早已使用。在網(wǎng)絡

101、系統(tǒng)中，應增加管理員、一般使用員等多種操作員類型，以便對用戶的網(wǎng)絡行為進行限制。</p><p><b>　　日志記錄和分析</b></p><p>　　完整的日志不僅要包括用戶的各項操作，而且還要包括網(wǎng)絡中數(shù)據(jù)接收的正確性、有效性及合法性的檢查結果，為日后網(wǎng)絡安全分析提供依據(jù)。對日志的分析還可用于預防入侵，提高網(wǎng)絡安全。例如，如果分析結果表明某用戶某日失敗注冊次數(shù)高

102、達20次，就可能是入侵者正在嘗試該用戶的口令。</p><p><b>　　網(wǎng)絡配置</b></p><p>　　網(wǎng)段分離等安全措施要想起作用，還需要由網(wǎng)絡配置來具體實施和保證，如用于實現(xiàn)網(wǎng)段分離的虛網(wǎng)配置。為進一步保證系統(tǒng)安全，還要在網(wǎng)絡配置中對防火墻和路由等方面做特殊考慮。</p><p><b>　　路由</b>&l

103、t;/p><p>　　為了避免入侵者侵入內(nèi)部資源，應仔細進行路由配置。路由技術雖然能阻止對內(nèi)部網(wǎng)段的訪問，但不能約束外界公開網(wǎng)段的訪問。為了確保信息發(fā)布服務器的安全運轉(zhuǎn)，避免讓入侵者借助公開網(wǎng)段對內(nèi)部網(wǎng)構成威脅，我們有必要使用防火墻技術對此進行限定。</p><p><b>　　防火墻</b></p><p>　　CISCO公司的路由器通常都具有過

104、濾型防火墻功能。這一功能通俗地說就是由路由器過濾掉非正常IP包，把大量的非法訪問隔離在路由器之外。過濾的主要依據(jù)在源、目的IP地址和網(wǎng)絡訪問所使用的TCP或UDP端口號。幾乎所有的應用都有其固定的TCP或UDP端口號，通過對端口號的限制，可以限定網(wǎng)絡中運行的應用。</p><p>　　同時我們通過增加路由器中地IOS擴展模塊Cisco IOS 防火墻，來加強安全防護能力。Cisco IOS 防火墻是可用于廣泛 C

105、isco 路由器和交換機的 Cisco IOS 軟件的一個擴展模塊。它提供先進的防火墻功能以及入侵檢測和認證等安全技術。它通過最新的安全特性例如靜態(tài)、基于應用的過濾(基于上下文的訪問控制)，網(wǎng)絡攻擊防御，事先用戶鑒別和授權，及實時報警增強了現(xiàn)有的 Cisco IOS 安全功能，例如鑒別、加密和故障恢復。</p><p><b>　　系統(tǒng)配置</b></p><p>　

106、　這里的系統(tǒng)配置是主機的安全配置和數(shù)據(jù)庫的安全配置。據(jù)調(diào)查表明，85％的計算機犯罪是內(nèi)部作案，因此這兩方面的安全配置也相當重要。在主機的安全配置方面，應主要考慮普通用戶的安全管理、系統(tǒng)管理員的安全管理及通信與網(wǎng)絡的安全管理。</p><p><b>　　網(wǎng)絡服務程序</b></p><p>　　任何非法的入侵最終都需要通過被入侵主機上的服務程序來實現(xiàn)，如果關閉被入侵主

107、機上的這些程序，入侵必然無效。因此，這也是保證主機安全的一個相當徹底的措施。當然，我們不能關閉所有的服務程序，可以只關閉其中沒有必要運行的部分。</p><p><b>　　數(shù)據(jù)庫安全配置</b></p><p>　　在數(shù)據(jù)庫安全配置方面，應主要注意以下幾點：</p><p>　　選擇口令加密傳輸?shù)臄?shù)據(jù)庫。</p><p&g

108、t;　　避免直接使用超級用戶，超級用戶的行為不受數(shù)據(jù)庫管理系統(tǒng)的任何約束，一旦它的口令泄露，數(shù)據(jù)庫就毫無安全可言。</p><p>　　一般情況下，不要直接對外界暴露數(shù)據(jù)庫，數(shù)據(jù)收發(fā)最好以存儲過程的方式提供，并以最低的權限運行。</p><p><b>　　通信軟件</b></p><p>　　應用程序要發(fā)送數(shù)據(jù)時，先發(fā)往本地通信服務器，再由它

109、發(fā)往目的通信服務器，最后由目的應用主動向目的通信服務器查詢、接收。</p><p>　　通信服務器上的通信軟件除了能在業(yè)務中不重、不錯、不漏地轉(zhuǎn)發(fā)業(yè)務數(shù)據(jù)外，還應在安全方面具有以下特點：</p><p>　　在本地應用與本地通信服務器間提供口令保護。應用向本地通信服務器發(fā)送數(shù)據(jù)或查詢、接收數(shù)據(jù)時要提供口令，由通信服務器判別IP地址及其對應口令的有效性。</p><p&g

110、t;　　在通信服務器之間傳輸密文時，可以采用SSL加密方式。如果在此基礎上更再增加簽名技術，則更能提高通信的安全性。</p><p>　　在通信服務器之間也提供了口令保護。接收方在接收數(shù)據(jù)時，要驗證發(fā)送方的IP地址和口令，當出現(xiàn)IP地址無效或口令錯時，拒絕進行數(shù)據(jù)接收。</p><p>　　提供完整的日志記錄和分析。日志對通信服務器的所有行為進行記錄，日志分析將對其中各種行為和錯誤的頻度進

111、行統(tǒng)計。</p><p>　　綜上所述，網(wǎng)絡安全問題是一個系統(tǒng)性、綜合性的問題。我們在進行網(wǎng)絡建設時不能將它孤立考慮，只有層層設防，這個問題才能得到有效的解決。我們還應看到，像其他技術一樣，入侵者的手段也在不斷提高。在安全防范方面沒有一個一勞永逸的措施，只有通過不斷地改進和完善安全手段，才能保證不出現(xiàn)漏洞，保證網(wǎng)絡的正常運轉(zhuǎn)。</p><p><b>　　、維護</b>

112、;</p><p>　　桂林市財政局計算機網(wǎng)絡建設完成后，將交付桂林市財政局一份辦公網(wǎng)絡管理手冊。根據(jù)要求可隨時通過網(wǎng)絡遠程對辦公網(wǎng)進行維護。</p><p>　　項目完成后的一年內(nèi)免費維護，并派專業(yè)人員定期進行系統(tǒng)維護和咨詢。所有的軟件硬件都將備有完整的使用手冊。</p><p><b>　　系統(tǒng)維護</b></p><p

113、>　　桂林市財政局應該具有一支自己的系統(tǒng)管理和維護隊伍，在系統(tǒng)建設的初期，技術人員不足時，可以接受外部技術力量的協(xié)助進行系統(tǒng)維護，同時在建設過程中培養(yǎng)出一批能夠勝任工作的技術人員。</p><p>　　系統(tǒng)維護的主要任務：</p><p><b>　　日常事務的處理</b></p><p><b>　　數(shù)據(jù)備份</b>

114、;</p><p><b>　　日志管理</b></p><p>　　服務器優(yōu)化和信息管理</p><p><b>　　用戶數(shù)據(jù)的維護</b></p><p><b>　　應付突發(fā)性事件</b></p><p>　　針對以上需求，我們的的售后服務將包括：

115、</p><p><b>　　支持與服務</b></p><p><b>　　支持和服務范圍 </b></p><p>　　怡海公司對桂林市財政局計算機網(wǎng)絡系統(tǒng)集成工程提供支持和服務包括以下內(nèi)容: </p><p>　　(1)系統(tǒng)設備采購和到貨 </p><p>　　(2)設

116、備安裝、調(diào)測和開通 </p><p><b>　　(3)系統(tǒng)驗收</b></p><p><b>　　(4)保修 </b></p><p>　　(5)技術支持和服務 </p><p><b>　　(6)培訓 </b></p><p><b>　

117、　(7)工程進度安排</b></p><p><b>　　(8)工程文檔</b></p><p><b>　　支持和服務內(nèi)容</b></p><p>　　怡海公司基于系統(tǒng)集成和服務的技術優(yōu)勢為桂林市財政局辦公網(wǎng)的安全可靠運行做工作,以下的內(nèi)容在是基于怡海公司以系統(tǒng)集成商為背景敘述的,具體操作可根據(jù)桂林市財政局的