宜昌航道網(wǎng)絡(luò)建設(shè)方案

1、<p>　　一、系統(tǒng)建設(shè)背景2</p><p>　　二、系統(tǒng)建設(shè)目標(biāo)2</p><p>　　三、系統(tǒng)建設(shè)功能3</p><p>　　四、局域網(wǎng)絡(luò)建設(shè)方案3</p><p>　　4.1局域網(wǎng)的基本結(jié)構(gòu)及技術(shù)要求3</p><p><b>　　4.2現(xiàn)狀分析4</b></p

2、><p>　　4.3網(wǎng)絡(luò)需求分析4</p><p>　　4.4網(wǎng)絡(luò)整體規(guī)劃5</p><p>　　4.5本網(wǎng)絡(luò)功能及特點6</p><p>　　4.6外網(wǎng)接入規(guī)劃7</p><p>　　五、綜合布線建設(shè)方案7</p><p>　　5.1綜合布線要求7</p><p&g

3、t;<b>　　5.2現(xiàn)狀分析8</b></p><p><b>　　5.3總體規(guī)劃9</b></p><p>　　5.4各子系統(tǒng)規(guī)劃9</p><p>　　六、機(jī)房建設(shè)方案11</p><p>　　6.1機(jī)房設(shè)計技術(shù)規(guī)范11</p><p>　　6.2防靜電設(shè)計

4、12</p><p>　　6.3不間斷電源設(shè)計12</p><p>　　6.4接地設(shè)計13</p><p>　　6.5防雷安全設(shè)計14</p><p>　　七、網(wǎng)絡(luò)設(shè)備選型15</p><p><b>　　7.1交換機(jī)15</b></p><p><b>

5、;　　7.2防火墻15</b></p><p>　　八、網(wǎng)絡(luò)應(yīng)用平臺設(shè)計16</p><p>　　8.1服務(wù)器配置16</p><p>　　8.2網(wǎng)絡(luò)操作系統(tǒng)17</p><p>　　8.3數(shù)據(jù)庫管理系統(tǒng)18</p><p>　　8.4應(yīng)用軟件平臺18</p><p>　

6、　九、網(wǎng)絡(luò)安全設(shè)計規(guī)劃18</p><p>　　9.1網(wǎng)絡(luò)安全要求18</p><p>　　9.2雙網(wǎng)隔離設(shè)計方案18</p><p>　　9.3防火墻設(shè)計方案19</p><p>　　9.4數(shù)據(jù)安全設(shè)計方案22</p><p>　　附1：網(wǎng)絡(luò)拓?fù)鋱D23</p><p><b&

7、gt;　　一、系統(tǒng)建設(shè)背景</b></p><p>　　實現(xiàn)航道管理的信息化，是長江航道的現(xiàn)代化建設(shè)與發(fā)展的需要，也是時代發(fā)展的必然之路。自“九五”期以來，隨著國家改革開放步伐的加快，國民經(jīng)濟(jì)發(fā)展速度的提高，使得長江經(jīng)濟(jì)帶得以迅速發(fā)展。海輪進(jìn)江、東西部物資交流，都使作為長江航運(yùn)重基礎(chǔ)條件的長江航道擔(dān)負(fù)起更大的歷史重任。而利用計算機(jī)及相關(guān)的網(wǎng)絡(luò)通信技術(shù)構(gòu)筑長江航道信息管理系統(tǒng)，提高航道建設(shè)與維護(hù)管理水平

8、是促進(jìn)長江航道科技進(jìn)步和事業(yè)發(fā)展的重要之舉，在全球經(jīng)濟(jì)一體化的今天，發(fā)展高科技、加強(qiáng)技術(shù)創(chuàng)新，是加快交通運(yùn)輸事業(yè)發(fā)展的迫切需要。</p><p>　　全面落實交通部信息化“十五”規(guī)劃以及長江航務(wù)管理局、長江航道局信息化建設(shè)“十五”規(guī)劃和2015年發(fā)展綱要中提出的各項任務(wù)，依照“統(tǒng)籌規(guī)劃、分層建設(shè)、統(tǒng)一標(biāo)準(zhǔn)、資源共享、突出重點、逐步推進(jìn)”的指導(dǎo)方針，根據(jù)我單位信息化建設(shè)的實際情況，制定本實施方案。</p>

9、;<p><b>　　二、系統(tǒng)建設(shè)目標(biāo)</b></p><p>　　逐步實施長江航道核心信息資源的開發(fā)利用，分期建成生產(chǎn)與管理急需的辦公自動化、計算機(jī)輔助設(shè)計、計算機(jī)輔助管理等應(yīng)用系統(tǒng)工程。為長江航道生產(chǎn)與管理信息廣泛暢通的傳輸、簡便靈活的處理、迅捷及時的共享支持，促進(jìn)長江航道生產(chǎn)的管理的信息化。</p><p><b>　　三、系統(tǒng)建設(shè)功能&

10、lt;/b></p><p>　　1、辦公自動化系統(tǒng)；</p><p>　　2、航道維護(hù)管理信息系統(tǒng)；</p><p>　　3、長江航道生產(chǎn)指揮調(diào)度信息系統(tǒng)；</p><p>　　4、航道生產(chǎn)基本建設(shè)工程管理信息系統(tǒng)；</p><p>　　5、航道生產(chǎn)基建計劃管理系統(tǒng)；</p><p>　

11、　6、工程船舶管理信息系統(tǒng)；</p><p>　　7、工程經(jīng)營管理信息系統(tǒng)；</p><p>　　8、科技管理信息系統(tǒng)；</p><p>　　9、質(zhì)量管理信息系統(tǒng)；</p><p>　　10、安全監(jiān)督與防汛指揮管理信息系統(tǒng)；</p><p>　　11、干部人事管理信息系統(tǒng)</p><p>　　1

12、2、財務(wù)管理信息系統(tǒng)；</p><p>　　13、檔案管理信息系統(tǒng)；</p><p>　　14、紀(jì)檢管理信息系統(tǒng)。</p><p>　　四、局域網(wǎng)絡(luò)建設(shè)方案</p><p>　　4.1局域網(wǎng)的基本結(jié)構(gòu)及技術(shù)要求</p><p>　　1、根據(jù)當(dāng)前局域網(wǎng)技術(shù)的發(fā)展和航道系統(tǒng)的工作特點，考慮局域網(wǎng)的先進(jìn)性、可靠性、開放性、互

13、連性、安全性和易管理性等因素，航道局機(jī)關(guān)局域網(wǎng)選擇快速以太網(wǎng)絡(luò)技術(shù)，采用層次式的樹狀網(wǎng)絡(luò)拓?fù)洹?lt;/p><p>　　2、局域網(wǎng)采用TCP/IP協(xié)議，采用Intranet運(yùn)行模式。</p><p>　　3、與同級的各預(yù)算單位、相關(guān)職能部門，均通過“隔離區(qū)”方式接入內(nèi)部網(wǎng)。</p><p>　　4、為保證數(shù)據(jù)、信息的安全，在局域網(wǎng)絡(luò)中具備虛擬網(wǎng)絡(luò)（VLAN）的劃分和管理

14、能力。</p><p>　　5、局域網(wǎng)布線系統(tǒng)采用結(jié)構(gòu)化布線系統(tǒng)。局域網(wǎng)使用的線纜滿足當(dāng)前信息傳輸?shù)男枨螅⒛苓m應(yīng)將來網(wǎng)絡(luò)結(jié)構(gòu)的更改或設(shè)備的擴(kuò)充。</p><p>　　6、局域網(wǎng)的中心交換機(jī)目前采用千兆或百兆以太網(wǎng)交換機(jī)，支持虛擬網(wǎng)絡(luò)劃分和管理。不支持虛擬網(wǎng)劃分的局域網(wǎng)交換機(jī)不得用作中心交換機(jī)。</p><p>　　7、網(wǎng)絡(luò)采用一級交換交換，使用交換機(jī)實現(xiàn)千兆主干、

15、百兆交換到用戶桌面。</p><p>　　8、為了保證管理系統(tǒng)的高可用性，網(wǎng)內(nèi)設(shè)置了系統(tǒng)備份與災(zāi)難恢復(fù)功能。</p><p><b>　　4.2現(xiàn)狀分析</b></p><p>　　本單位已經(jīng)初步建立了內(nèi)部局域網(wǎng)，有一臺服務(wù)器及部分工作站，由于新實施長江航道信息化系統(tǒng)，原有網(wǎng)絡(luò)體系結(jié)構(gòu)已經(jīng)不能滿足辦公要求，需要重新統(tǒng)一設(shè)計、規(guī)劃網(wǎng)絡(luò)，以滿足需求

16、。</p><p><b>　　4.3網(wǎng)絡(luò)需求分析</b></p><p>　　計算機(jī)中心網(wǎng)絡(luò)的建立，將成為宜昌航道管理局信息化管理的數(shù)據(jù)庫中心。因此需要一個能正常運(yùn)行、穩(wěn)定、吞吐量大、安全的網(wǎng)絡(luò)，同時即便在出現(xiàn)故障時能夠快速地查找故障原因，在網(wǎng)絡(luò)選型中采用l000M交換式快速以太網(wǎng)作為網(wǎng)絡(luò)主干，100M交換到桌面，采用雙網(wǎng)物理隔離、防火墻接入、功能強(qiáng)大的服務(wù)器等技術(shù)

17、手段作為安全保障，星型拓?fù)浣Y(jié)構(gòu)。</p><p><b>　　信息點布點分布表：</b></p><p><b>　　4.4網(wǎng)絡(luò)整體規(guī)劃</b></p><p>　　網(wǎng)絡(luò)選型：交換式快速以太網(wǎng)</p><p>　　網(wǎng)絡(luò)速度：1000M網(wǎng)絡(luò)主干、100M交換到桌面</p><p&g

18、t;　　網(wǎng)絡(luò)結(jié)構(gòu)：星型拓?fù)浣Y(jié)構(gòu)（附1：網(wǎng)絡(luò)拓?fù)鋱D）</p><p>　　網(wǎng)絡(luò)安全：防火墻、雙網(wǎng)物理隔離</p><p>　　布線方式：每個辦公室到中心機(jī)房均是采用獨(dú)立的四根雙絞網(wǎng)線直接鋪設(shè)到中心機(jī)房，并上標(biāo)準(zhǔn)的配線架及機(jī)柜。其中三根用于數(shù)據(jù)點，其中一根用于語音點</p><p>　　管理方式：中心機(jī)房集中管理，通過機(jī)房靈活跳線來選擇辦公室的電腦應(yīng)用在內(nèi)網(wǎng)或是外網(wǎng)，使

19、得管理安全、高效。</p><p>　　布線品牌：AVAYA（朗迅）</p><p>　　4.5本網(wǎng)絡(luò)功能及特點</p><p><b>　　功能 </b></p><p>　　1)局域網(wǎng)能滿足住航道局的各種軟件應(yīng)用、服務(wù)及日常的辦公需求。</p><p>　　2)通過雙網(wǎng)及防火墻隔離技術(shù)，實現(xiàn)局

20、域網(wǎng)與互聯(lián)網(wǎng)的互連。讓內(nèi)部工作站既可上內(nèi)部服務(wù)器進(jìn)行日常工作的開展，又可上互聯(lián)網(wǎng)以獲取信息。</p><p><b>　　特點</b></p><p>　　1)先進(jìn)性 </p><p>　　交換式快速以太網(wǎng)是目前局域網(wǎng)選型的主要潮流，既經(jīng)濟(jì)實惠而且實施方便。</p><p>　　采用超五類雙絞線完全可以達(dá)到1

21、000M的主干速率，100M交換到桌面，完全滿足日常辦公及信息數(shù)據(jù)的異地傳遞。</p><p><b>　　2)可靠性</b></p><p>　　AVAYA系統(tǒng)布線產(chǎn)品，型號齊全，質(zhì)量可靠。</p><p>　　采用星型拓?fù)浣Y(jié)構(gòu)，使得各信息點均是直接與中心機(jī)房相連，便于故障的查找，即使哪一根線路完全損壞也不影響其他線路的運(yùn)行，增強(qiáng)了網(wǎng)絡(luò)的冗余

22、性。</p><p>　　采用每個辦公室多網(wǎng)線布線方式，是實現(xiàn)雙網(wǎng)隔離的必備基礎(chǔ)條件。另外布多網(wǎng)線方式比傳統(tǒng)布單網(wǎng)線的方式在安全上更加可靠有保障，除非每個辦公點的三根網(wǎng)絡(luò)線同時損壞掉，否則至少可以保證有一根網(wǎng)線可以連到內(nèi)網(wǎng)或外網(wǎng)，保證日常工作的正常順利進(jìn)行。</p><p><b>　　3)安全性</b></p><p>　　防火墻、雙網(wǎng)隔離技

23、術(shù)保證了網(wǎng)絡(luò)的安全，使得內(nèi)網(wǎng)與外網(wǎng)在物理上完全隔離。即保證了內(nèi)網(wǎng)信息數(shù)據(jù)的安全，又開放了外網(wǎng)，可以方便即時的獲取外部的最新信息。</p><p><b>　　4)互連性</b></p><p>　　采用標(biāo)準(zhǔn)的結(jié)構(gòu)化布線可以使得各種設(shè)備和其他接入線路方便的接入。</p><p><b>　　5)易管理性</b></p&

24、gt;<p>　　采用中心機(jī)房集中管理，通過機(jī)房靈活跳線來選擇業(yè)務(wù)網(wǎng)、辦公網(wǎng)、互聯(lián)網(wǎng)，使得管理安全、高效。</p><p><b>　　4.6外網(wǎng)接入規(guī)劃</b></p><p>　　線路上租用電信的2M光纖接入互聯(lián)網(wǎng)上，在設(shè)備上采用一臺防火墻代替路由器接入互聯(lián)網(wǎng)和內(nèi)網(wǎng)，即安全又高效。</p><p>　　五、綜合布線建設(shè)方案&l

25、t;/p><p><b>　　5.1綜合布線要求</b></p><p>　　在機(jī)關(guān)局域網(wǎng)建設(shè)中，應(yīng)采用技術(shù)成熟、安全方便的結(jié)構(gòu)化綜合布線系統(tǒng)（PDS）。</p><p>　　1、局域網(wǎng)采用機(jī)房集中配線的模式，即所有線纜集中在主機(jī)房配跳線，不另設(shè)分線間。</p><p>　　2、機(jī)關(guān)局域網(wǎng)布設(shè)信息點，考慮了業(yè)務(wù)的擴(kuò)展性，滿足

26、當(dāng)前需要并有適當(dāng)冗余。</p><p>　　3、局域網(wǎng)綜合布線系統(tǒng)中的信息傳輸介質(zhì)，選用超五類或六類雙絞線。布線材料應(yīng)選擇AVAYA公司的合格產(chǎn)品。</p><p>　　4、綜合布線工程設(shè)計施工單位具有獨(dú)立法人資質(zhì)，有承擔(dān)綜合布線工程的設(shè)計、施工、調(diào)試及維修的能力和相應(yīng)的資質(zhì)（即有相應(yīng)的資格證書和專用測試儀器等），能在要求的時間內(nèi)提供技術(shù)支持和響應(yīng)。</p><p>

27、;　　5、在進(jìn)行綜合布線的設(shè)計和施工時，應(yīng)嚴(yán)格遵守以下技術(shù)標(biāo)準(zhǔn)：</p><p>　　1)IEEE802.3 10Base-T</p><p>　　2)IEEE802.3u 100Base-t</p><p>　　3)IEEE802.3ab(z) 1000Base-T(F)</p><p>　　4)EIT/TIA586A/B,569</

28、p><p>　　5)GB/T50311-2000 建筑及建筑群綜合布線系統(tǒng)工程設(shè)計規(guī)范</p><p>　　6)GB/T50312-2000 建筑及建筑群綜合布線系統(tǒng)工程驗收規(guī)范</p><p><b>　　5.2現(xiàn)狀分析</b></p><p>　　已經(jīng)初步建立了內(nèi)部局域網(wǎng)，有一臺服務(wù)器及部分工作站，但只是簡單的用雙絞線與

29、交換機(jī)進(jìn)行相連，還達(dá)不到結(jié)構(gòu)化綜合布線的要求，需要重新進(jìn)行網(wǎng)絡(luò)的綜合化布線。</p><p><b>　　5.3總體規(guī)劃</b></p><p>　　布線方式：結(jié)構(gòu)化綜合布線</p><p>　　布線系統(tǒng)選擇：AVAYA布線系統(tǒng)</p><p><b>　　交換級別：一級交換</b></p&g

30、t;<p>　　管理方式：機(jī)房集中跳線管理</p><p>　　布線標(biāo)準(zhǔn)：EIT/TIA568B</p><p><b>　　5.4各子系統(tǒng)規(guī)劃</b></p><p>　　根據(jù)國際標(biāo)準(zhǔn)EIA/TIA 568B的規(guī)定綜合布線系統(tǒng)由六個子系統(tǒng)構(gòu)成：如下圖</p><p><b>　　工作區(qū)子系統(tǒng)：&

31、lt;/b></p><p>　　采用標(biāo)準(zhǔn)的超五類跳線與墻上的信息模塊相連。</p><p>　　高性能的超五類跳線，適用于可靠的數(shù)據(jù)傳輸且多變動的環(huán)境要求。經(jīng)精心設(shè)計及過硬的生產(chǎn)流程令，Power Sum快接跳線系列均有完美無缺的阻抗匹配性能，從而具有最小的反射信號及顯著的傳輸性能。</p><p>　　水平子系統(tǒng)：涉及的設(shè)備有：</p>&l

32、t;p>　　模塊化信息端口、雙口面板/單口面板、超五類非屏蔽雙絞線</p><p>　　按照布線的規(guī)范在墻上安裝面板及標(biāo)準(zhǔn)模塊，這樣不管電腦在什么地方，只要有足夠長的跳線就可以很方便的進(jìn)行連接。</p><p>　　垂直干線子系統(tǒng)：由于網(wǎng)絡(luò)中所有信息點集中在一棟大樓內(nèi)，</p><p>　　從信息點到機(jī)房的距離不超過100M，因此每一根網(wǎng)絡(luò)線可直達(dá)中心機(jī)房，無

33、需主干線，因此垂直干線就是網(wǎng)絡(luò)雙絞線。</p><p>　　管理子系統(tǒng)：在網(wǎng)絡(luò)建設(shè)中，一棟樓內(nèi)信息點可直達(dá)中心機(jī)房，則無需設(shè)立管理子系統(tǒng)，只需設(shè)置一個中心機(jī)房進(jìn)行網(wǎng)絡(luò)設(shè)備的放置及管理。這樣既方便操作、維護(hù)也可保護(hù)網(wǎng)絡(luò)的運(yùn)行速度及穩(wěn)定性，因此不涉及到此項子系統(tǒng)。</p><p><b>　　設(shè)備間子系統(tǒng)：</b></p><p>　　根據(jù)辦公應(yīng)用

34、需求，將中心機(jī)房設(shè)置在辦公大樓的四樓辦公室，外房間作為中心人員辦公地方，內(nèi)房間作為網(wǎng)絡(luò)設(shè)備放置地點。在機(jī)房內(nèi)采用配線架連接各信息點線路，使用跳線進(jìn)行靈活的跳線管理。</p><p><b>　　涉及的設(shè)備主要有：</b></p><p><b>　　標(biāo)準(zhǔn)立式機(jī)柜</b></p><p><b>　　超五類配線架&

35、lt;/b></p><p><b>　　各種網(wǎng)絡(luò)設(shè)備</b></p><p><b>　　建筑群子系統(tǒng)：</b></p><p><b>　　此次不涉及此系統(tǒng)。</b></p><p><b>　　六、機(jī)房建設(shè)方案</b></p>&

36、lt;p>　　6.1機(jī)房設(shè)計技術(shù)規(guī)范</p><p>　　為了保證系統(tǒng)的高可用性，應(yīng)建造計算機(jī)專用機(jī)房，用于放置計算機(jī)主機(jī)、網(wǎng)絡(luò)設(shè)備、維護(hù)用網(wǎng)絡(luò)工作站和數(shù)據(jù)備份的各種介質(zhì)。</p><p>　　機(jī)房設(shè)計與建設(shè)遵循以下要求：</p><p>　　1、機(jī)房建設(shè)根據(jù)實事求是的原則，適應(yīng)計算機(jī)網(wǎng)絡(luò)分布式處理、設(shè)備小型化、智能化、網(wǎng)絡(luò)化的發(fā)展?？⒐ず髴?yīng)組織驗收，并保存設(shè)

37、計和施工文檔。</p><p>　　2、機(jī)房須鋪設(shè)防靜電地板，對整個機(jī)房進(jìn)行屏蔽和封閉處理，在保證機(jī)房防靜電、防幅射、防塵的同時，有利于機(jī)房內(nèi)布線。</p><p>　　3、機(jī)房應(yīng)配備具有網(wǎng)上集中監(jiān)控功能，在線式不間斷電源系統(tǒng)（UPS），負(fù)載能力一般應(yīng)大于滿負(fù)荷時的150%，后備時間應(yīng)滿載大于半小時。</p><p>　　4、按標(biāo)準(zhǔn)和設(shè)備要求建立可靠的接地系統(tǒng)。交流

38、和避雷接地電阻小于4歐姆。</p><p>　　5、機(jī)房將配備空調(diào)和新風(fēng)設(shè)備，保證要求的溫度、濕度和新風(fēng)量。</p><p><b>　　6.2防靜電設(shè)計</b></p><p>　　機(jī)房采用600mm*600mm全鋼制防靜電地板。</p><p>　　6.3不間斷電源設(shè)計</p><p>　　隨

39、著中心網(wǎng)絡(luò)的逐步建設(shè)，以及精密電子設(shè)備的廣泛使用，供電質(zhì)量的好壞越來越影起人們的重視，而采用不間斷電源供應(yīng)機(jī)房的電源，是保證網(wǎng)絡(luò)系統(tǒng)能否正常工作的一個重要組成部分。</p><p>　　UPS選型為山頓 6KVA/4H，提供方要能夠提供以下的要求和服務(wù)：</p><p>　　1、在線式不間斷電源系統(tǒng)（UPS），負(fù)載能力一般應(yīng)大于滿負(fù)荷時的150%，后備時間應(yīng)滿載大于半小時。</p&g

40、t;<p>　　2、免費(fèi)的現(xiàn)場安裝及調(diào)試服務(wù)， </p><p>　　3、維修中心和備件庫，維護(hù)中心可提供正常維修、保險服務(wù)及定期巡回檢修、定期保養(yǎng)三種服務(wù)。</p><p>　　4、保修期內(nèi)的免費(fèi)維修服務(wù)</p><p>　　根據(jù)機(jī)房設(shè)備的功率計算：</p><p>　　四臺服務(wù)器2000W+兩臺交換機(jī)140W+一臺防火墻10

41、0W+兩臺網(wǎng)管工作站600W=2840W*150%=4260W，考慮到以后WEB服務(wù)器及MAIL服務(wù)器和其他網(wǎng)絡(luò)設(shè)備的增容，因此采用6KVA/4H，因為目前的功率只有3000W左右，6KVA/4H足夠支持八小時，既經(jīng)濟(jì)又實用。當(dāng)將來設(shè)備的功率達(dá)到6KVA時，可以在現(xiàn)有的投資基礎(chǔ)上加裝UPS電池，即可擴(kuò)展到6KVA/8H。</p><p><b>　　6.4接地設(shè)計</b></p>

42、<p>　　整個系統(tǒng)建立起來后，整個系統(tǒng)中包含了大量的電子設(shè)備及儀器。電子設(shè)備本身會有靜電產(chǎn)生也有漏電情況的發(fā)生,這都會危害電子設(shè)備的安全,嚴(yán)重的會給電子設(shè)備帶來巨大的災(zāi)難。為了避免此種情況的發(fā)生，需要做整個系統(tǒng)的接地工程以確保系統(tǒng)設(shè)備及人身的安全，保證系統(tǒng)的正常使用。</p><p>　　將采用大對電纜接銅板地埋的方式來進(jìn)行地線安裝。為了達(dá)到更好的使銅板與大地接觸的效果，采用氣象專用的降阻劑，鋪于

43、銅板的下方與上方，其效果完全可以達(dá)到機(jī)房接地電阻小于4ΩM的標(biāo)準(zhǔn)。</p><p>　　除在機(jī)房內(nèi)的地面上鋪設(shè)防靜電地板，還將在防靜電地板下鋪設(shè)機(jī)房等電位銅排，并接到專用地線上，用以保證整個機(jī)房的安全接地。</p><p><b>　　6.5防雷安全設(shè)計</b></p><p>　　此次方案我們將采取二級防雷。</p><p

44、>　　1、在整個機(jī)房的市電接入口配置一個主配電柜防雷器，做第一級防雷，用來保證接入市電的安全。</p><p>　　2、在服務(wù)器的強(qiáng)電入口及UPS電源的輸出端口各配置一個防雷器，用以保證設(shè)備的安全。</p><p><b>　　七、網(wǎng)絡(luò)設(shè)備選型</b></p><p>　　局域網(wǎng)設(shè)備的選型，應(yīng)首先考慮網(wǎng)絡(luò)的可靠性和易管理性。</p&

45、gt;<p><b>　　7.1交換機(jī)</b></p><p>　　網(wǎng)絡(luò)中心根據(jù)業(yè)務(wù)應(yīng)用的需要，采用一級交換方式。主交換機(jī)有電源、系統(tǒng)主板的冗余備份，并留有足夠的空余插槽，以利于將來的升級和擴(kuò)容。</p><p>　　主交換機(jī)具有以下主要功能：</p><p>　　1、支持千兆以太網(wǎng)或快速以太網(wǎng)交換能力；</p>&

46、lt;p>　　2、支持虛擬交換網(wǎng)能力（VLAN）；</p><p>　　3、具有高速的寬背板帶寬；系統(tǒng)模塊化設(shè)計，有良好的可擴(kuò)展性；</p><p>　　4、支持高密度和多種形式的網(wǎng)絡(luò)接口。</p><p>　　根據(jù)我局的情況，最終將有約八十臺電腦正常運(yùn)行，因此至少要兩臺48口交換機(jī)，每臺交換機(jī)的背板至少約為48*100M=4.8G</p>&l

47、t;p><b>　　7.2防火墻</b></p><p>　　產(chǎn)品要具有優(yōu)異的開放性和升級擴(kuò)展能力，并提供最佳的用戶投資保護(hù)；網(wǎng)絡(luò)傳輸具備高可靠性、安全性；網(wǎng)絡(luò)易于維護(hù)、易于管理；系統(tǒng)主要設(shè)備均采用廣泛應(yīng)用且具有良好性能價格比的產(chǎn)品，盡量利用已有資源，既考慮節(jié)省投資，又保證產(chǎn)品的先進(jìn)性和可用性。</p><p>　　防火墻具有以下主要功能：</p>

48、<p>　　1、帶有DMZ的連接方式</p><p>　　2、防止IP地址欺騙功能</p><p><b>　　3、包過濾功能</b></p><p>　　4、代理層的訪問控制</p><p><b>　　5、地址轉(zhuǎn)換功能</b></p><p>　　6、反向地址

49、轉(zhuǎn)換功能</p><p><b>　　7、地址綁定功能</b></p><p>　　8、實時的審計日志功能</p><p><b>　　9、路由功能</b></p><p>　　10、支持VLAN和IP地址別名功能</p><p>　　八、網(wǎng)絡(luò)應(yīng)用平臺設(shè)計</p>

50、<p><b>　　8.1服務(wù)器配置</b></p><p><b>　　1、服務(wù)器規(guī)劃：</b></p><p>　　根據(jù)我局的應(yīng)用情況，服務(wù)器作以下規(guī)劃：</p><p>　　外網(wǎng)服務(wù)器二臺：一臺郵件服務(wù)器、一臺WWW服務(wù)器</p><p>　　內(nèi)網(wǎng)服務(wù)器四臺：一臺數(shù)據(jù)庫主服務(wù)器、

51、一臺數(shù)據(jù)庫備份服務(wù)器、一臺OA服務(wù)器、一臺域控制（包含內(nèi)網(wǎng)WWW服務(wù)器）。</p><p>　　2、服務(wù)器配置需求：</p><p>　　數(shù)據(jù)庫主服務(wù)器及備份服務(wù)器：</p><p>　　Xeon2.8*2/1GM/CDROM/36.4*3SCSI/1000M/RAID5/15寸</p><p>　　其產(chǎn)品支持多CPU、支持熱插撥和RAID技

52、術(shù)的企業(yè)及服務(wù)器</p><p><b>　　OA應(yīng)用服務(wù)器：</b></p><p>　　Xeon2.4*2/512M/CDROM/36.4*3SCSI/1000M/RAID5/15寸</p><p>　　其產(chǎn)品支持多CPU、支持熱插撥和RAID技術(shù)的企業(yè)及服務(wù)器</p><p><b>　　郵件服務(wù)器：&l

53、t;/b></p><p>　　Xeon2.4/256M/CDROM/80GSCSI/1000M/15寸</p><p><b>　　WWW服務(wù)器：</b></p><p>　　Xeon2.4/256M/CDROM/80GSCSI/1000M/15寸</p><p><b>　　8.2網(wǎng)絡(luò)操作系統(tǒng)<

54、/b></p><p>　　網(wǎng)絡(luò)操作系統(tǒng)的選擇原則：</p><p>　　1、網(wǎng)絡(luò)操作系統(tǒng)與應(yīng)用系統(tǒng)的類型和規(guī)模相適應(yīng)。系統(tǒng)一般應(yīng)選擇能較好地支持B/S結(jié)構(gòu)和Internet結(jié)構(gòu)的操作系統(tǒng)；</p><p>　　2、具有開放的多用戶、多任務(wù)平臺；</p><p>　　3、支持TCP/IP網(wǎng)絡(luò)協(xié)議；</p><p>

55、;　　4、支持多種網(wǎng)絡(luò)協(xié)議；</p><p>　　5、同服務(wù)器硬件能力匹配、支持全對稱多處理器；</p><p>　　6、支持服務(wù)器硬件的升級；</p><p>　　7、支持開放式接口、易同其它機(jī)種互連。</p><p>　　服務(wù)器網(wǎng)絡(luò)操作系統(tǒng)選擇：Windows2000Server</p><p>　　工作站網(wǎng)絡(luò)操作

56、系統(tǒng)選擇：Windows2000Professional或WindowsXP</p><p>　　8.3數(shù)據(jù)庫管理系統(tǒng)</p><p>　　數(shù)據(jù)庫管理系統(tǒng)是各級計算機(jī)網(wǎng)絡(luò)應(yīng)用中主要技術(shù)組成部分，涉及系統(tǒng)各類信息數(shù)據(jù)的組織、存放和應(yīng)用。按照交通部的要求，為保證核心業(yè)務(wù)應(yīng)用系統(tǒng)的統(tǒng)一，統(tǒng)一信息采集、加工、應(yīng)用的角度出發(fā)，局域網(wǎng)選擇數(shù)據(jù)庫產(chǎn)品時，應(yīng)根據(jù)應(yīng)用類型來確定。</p>&l

57、t;p>　　辦公自動化系統(tǒng)：LOTUS</p><p>　　數(shù)據(jù)庫平臺系統(tǒng)：ORACLE</p><p><b>　　8.4應(yīng)用軟件平臺</b></p><p>　　其他各種工程軟件，由全國統(tǒng)一開發(fā)，統(tǒng)一配置。</p><p>　　九、網(wǎng)絡(luò)安全設(shè)計規(guī)劃</p><p><b>　　

58、9.1網(wǎng)絡(luò)安全要求</b></p><p>　　1、為了符合交通部和國家保密局關(guān)于網(wǎng)絡(luò)安全的有關(guān)規(guī)定及保證數(shù)據(jù)的安全，局域網(wǎng)內(nèi)部網(wǎng)絡(luò)系統(tǒng)與國際互聯(lián)網(wǎng)在物理上隔離。</p><p>　　2、建立安全檢測和防病毒機(jī)制。全網(wǎng)建立統(tǒng)一的符合國家規(guī)定的安全檢測機(jī)制和網(wǎng)絡(luò)防病毒體系，實時對網(wǎng)絡(luò)系統(tǒng)進(jìn)行自動的安全漏洞檢測和分析，實時監(jiān)控病毒，以提高系統(tǒng)的整體安全性。</p>&

59、lt;p>　　9.2雙網(wǎng)隔離設(shè)計方案</p><p>　　隨著我國政府大力推動的電子政務(wù)、電子商務(wù)等工程的實施，采用物理隔離技術(shù)對不同安全級別的網(wǎng)絡(luò)進(jìn)行保護(hù)是必須考慮的一個重要措施。</p><p>　　物理隔離在技術(shù)上主要解決以下三個方面的問題：</p><p>　　1、在物理傳導(dǎo)上隔斷內(nèi)部網(wǎng)與外部網(wǎng)，確保外部網(wǎng)不能通過網(wǎng)絡(luò)連接而侵入內(nèi)部網(wǎng)；</p&g

60、t;<p>　　2、防止內(nèi)部網(wǎng)信息通過網(wǎng)絡(luò)連接泄露到外部網(wǎng)。</p><p>　　3、在物理存儲上隔斷內(nèi)部網(wǎng)與外部網(wǎng)，對于斷電后會逸失信息的部件，如內(nèi)存、處理器等暫存部件，要在網(wǎng)絡(luò)轉(zhuǎn)換時作清除處理，防止殘留信息竄網(wǎng)；對于斷電后非逸失性設(shè)備如磁帶機(jī)、硬盤等存儲設(shè)備，內(nèi)部網(wǎng)與外部網(wǎng)信息分開存儲；嚴(yán)格限制軟盤、光盤等可移動介質(zhì)的使用。</p><p>　　4、在物理輻射上隔斷內(nèi)部網(wǎng)

61、與外部網(wǎng)，確保內(nèi)部網(wǎng)信息不會通過電磁輻射或耦合方式泄露到外部網(wǎng)。</p><p>　　根據(jù)我局的具體情況，我局將采用內(nèi)網(wǎng)、外網(wǎng)完全物理隔離的方式，即指定單臺電腦只能工作在內(nèi)網(wǎng)內(nèi)，或是外網(wǎng)內(nèi)，專機(jī)專用，以達(dá)到真正的完全隔離。</p><p>　　9.3防火墻設(shè)計方案</p><p>　　此項目主要是針對網(wǎng)絡(luò)進(jìn)行更進(jìn)一步的安全設(shè)計。毋庸置疑，中心網(wǎng)絡(luò)是保證整個網(wǎng)絡(luò)工作正

62、常進(jìn)行的一個重要支撐基礎(chǔ)，而網(wǎng)絡(luò)安全工作是關(guān)系管理中心信息化建設(shè)的大事。在上外網(wǎng)的時候，系統(tǒng)還是有可能受到外部的不安全因素的威脅，將采用網(wǎng)絡(luò)安全主流的防火墻技術(shù)來為網(wǎng)絡(luò)管理中心設(shè)計安全解決方案。</p><p><b>　　1、網(wǎng)絡(luò)環(huán)境分析</b></p><p>　　局域網(wǎng)絡(luò)將是一個連接除本單位網(wǎng)絡(luò)外還將連接省、市及其他單</p><p>　

63、　位、部門或移動拔號用戶的綜合網(wǎng)絡(luò)。</p><p>　　局域網(wǎng)（外網(wǎng)）通過寬帶線路與互聯(lián)網(wǎng)線路相連。</p><p><b>　　2、系統(tǒng)應(yīng)用分析</b></p><p>　　內(nèi)部WEB及電子郵件系統(tǒng)的應(yīng)用。</p><p>　　內(nèi)部財務(wù)軟件系統(tǒng)的應(yīng)用。</p><p>　　內(nèi)部管理軟件系統(tǒng)的應(yīng)

64、用。</p><p><b>　　3、隱患分析</b></p><p>　　1）外部網(wǎng)對內(nèi)部網(wǎng)的訪問沒有進(jìn)行嚴(yán)格相應(yīng)控制，內(nèi)部網(wǎng)絡(luò)很容易被非法者入侵。內(nèi)部網(wǎng)沒有進(jìn)行任何認(rèn)證和訪問控制技術(shù)，重要的服務(wù)器有可能被內(nèi)部職員越權(quán)訪問。</p><p>　　2）存在著遭受病毒感染的安全脆弱性：現(xiàn)今存在著眾多的病毒，如文件型的病毒、引導(dǎo)區(qū)病毒等，中心網(wǎng)絡(luò)中

65、的服務(wù)器或相應(yīng)的工作站一旦感染這些病毒，將會破壞整個網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn)，或使得相應(yīng)的數(shù)據(jù)無法正常使用，從而將會給國家、管理中心造成巨大的損失。</p><p>　　3）操作系統(tǒng)、傳輸協(xié)議、數(shù)據(jù)庫系統(tǒng)等的安全脆弱性：由于操作系統(tǒng)、傳輸協(xié)議、數(shù)據(jù)庫系統(tǒng)在設(shè)計上本身就存在著許多先天脆弱性，這些安全脆弱性都會帶來內(nèi)外攻擊者的相應(yīng)攻擊的威脅。</p><p>　　4）人員操作使用上的安全脆弱性：由于各種

66、原因（如知識上的</p><p>　　缺陷、精力的透支等）將會使得操作人員操作失誤，從而造成數(shù)據(jù)誤刪除、被破壞等威脅。</p><p>　　5）破壞性蔓延的安全脆弱性：這是由于攻擊者可以通過各種途徑、方式攻擊管理中心網(wǎng)絡(luò)中最不安全的節(jié)點，由于該節(jié)點與系統(tǒng)中的其它節(jié)點存在著較強(qiáng)的信任關(guān)系，攻擊者就可以以該節(jié)點為跳板來攻擊其它節(jié)點，破壞、盜取其上的數(shù)據(jù)，從而將破壞該網(wǎng)絡(luò)與信息系統(tǒng)的整體安全。&

67、lt;/p><p>　　采用一臺國產(chǎn)硬件防火墻。</p><p>　　4、防火墻要達(dá)到的主要功能</p><p><b>　　支持透明連接</b></p><p>　　帶有DMZ的連接方式</p><p>　　防止IP地址欺騙功能</p><p><b>　　包過濾功

68、能</b></p><p><b>　　支持時間段特性</b></p><p><b>　　過濾規(guī)則測試</b></p><p><b>　　透明代理功能</b></p><p><b>　　代理層的訪問控制</b></p>&l

69、t;p><b>　　地址轉(zhuǎn)換功能</b></p><p><b>　　反向地址轉(zhuǎn)換功能</b></p><p><b>　　地址綁定功能</b></p><p><b>　　實時的審計日志功能</b></p><p><b>　　路由功能&

70、lt;/b></p><p>　　支持VLAN和IP地址別名功能</p><p>　　支持遠(yuǎn)程在線狀態(tài)管理</p><p><b>　　支持遠(yuǎn)程配置管理</b></p><p><b>　　支持遠(yuǎn)程審計管理</b></p><p><b>　　支持在線升級功能

71、</b></p><p>　　支持安全規(guī)則的導(dǎo)入導(dǎo)出功能</p><p>　　支持安全管理中心的集中統(tǒng)一管理</p><p><b>　　5、實施設(shè)置</b></p><p>　　防火墻將安裝在內(nèi)網(wǎng)和外網(wǎng)之間。接入INTERNET的接口接到防火墻的外網(wǎng)口上，內(nèi)部網(wǎng)絡(luò)接口接到防火墻的內(nèi)網(wǎng)接口上，而WEB服務(wù)器可

72、以接到防火墻的DMZ口上面。</p><p>　　通過地址轉(zhuǎn)換功能可以把內(nèi)網(wǎng)的IP地址轉(zhuǎn)換成防火墻外網(wǎng)口上的由ISP提供商提供的外網(wǎng)IP地址，因此上網(wǎng)后可以屏蔽掉內(nèi)部的IP地址，從而防止從外網(wǎng)查到內(nèi)部的網(wǎng)絡(luò)地址及網(wǎng)絡(luò)結(jié)構(gòu)。</p><p>　　將WEB服務(wù)器接入到防火墻的DMZ口，可以通過反向地址轉(zhuǎn)換，使外部可以訪問對外的WEB服務(wù)器而又訪問不到內(nèi)部網(wǎng)絡(luò)的其他電腦，從而保證了雙向訪問的安全

73、性。</p><p>　　9.4數(shù)據(jù)安全設(shè)計方案</p><p>　　硬件運(yùn)行的穩(wěn)定直接關(guān)系到數(shù)據(jù)的傳輸、存儲的完整性，在整個網(wǎng)絡(luò)中最基礎(chǔ)的環(huán)節(jié)。因此選擇成熟的產(chǎn)品有助于網(wǎng)絡(luò)的穩(wěn)定、安全運(yùn)行。</p><p>　　提高硬件可靠性、設(shè)備冗余和預(yù)防性維護(hù)等技術(shù)將可延長平均故障時間；還可用恢復(fù)控制功能、自動診斷、硬件模塊化結(jié)構(gòu)來縮短平均故障修復(fù)時間。</p>

74、<p>　　雙機(jī)切換系統(tǒng)是提高可靠性的傳統(tǒng)結(jié)構(gòu)，通過冗余服務(wù)器主機(jī)實現(xiàn)高可靠性；硬盤系統(tǒng)是信息系統(tǒng)中核心系統(tǒng)，解決硬盤系統(tǒng)的可靠性問題，應(yīng)采用磁盤冗余陣列技術(shù)，即RAID 技術(shù)。</p><p>　　1、采用磁盤陣列技術(shù)：</p><p>　　在數(shù)據(jù)庫服務(wù)器、OA服務(wù)器等重要的服務(wù)器，在安全方面將采用磁盤陣列技術(shù)。即使用三塊硬盤做磁盤陣列，更加保證了數(shù)據(jù)的穩(wěn)定性。</p&

75、gt;<p><b>　　2、雙介質(zhì)備份：</b></p><p>　　以上方案只是從服務(wù)器本身去考慮數(shù)據(jù)的安全性，但也不是絕對的具有安全性。由于人為因素或是雷電等外在因素有可能使服務(wù)器完全癱瘓，從而造成數(shù)據(jù)的丟失。因此采取雙介質(zhì)備份，即采用外置磁帶機(jī)在磁帶上備份和外置刻錄機(jī)在光盤上備份。這樣即使服務(wù)器癱瘓或者是所有硬盤壞掉，只要有數(shù)據(jù)仍可在短時間內(nèi)恢復(fù)系統(tǒng)并保證數(shù)據(jù)的準(zhǔn)確性。