普密演算法
❶ 在設計網路信息系統時,為什麼應該遵守整體性原則,動態性原則,等級性原則
原則1:網路信息安全系統的「整體性原則」:安全防護、監測和應急恢復。 沒有百分之百的網路信息安全與保密,因此要求在網路發生被攻擊、破壞事件的情況下,必須盡可能快地恢復網路信息中心的服務,減少損失。所以信息安全系統應該包叢散括三種機制:安全防護機制;安全監測機制;安全恢復機制。安全防護機制是根據具體系統存在的各種安全漏洞和安全威脅採取相應的防護措施,避免非法攻擊的進行;安全監測機制是監測系統的運行情況,及時發現和制止對系統進行的各種攻擊;安全恢復機制是在安全防護機制失效的情況下,進行應急處理和盡量、及時地恢復信息,減少攻擊的破壞程度。 原則2:信息安全系統的「等級性」原則:安全層次和安全級別 良好的信息安全系統必然是分為不同級別的,包括:對信息保密程度分級(滲困氏絕密、機密、秘密、普密);對用戶操作許可權分級(面向個人及面向群組),對網路安全程度分級(安全子網和安全區域),對系統實現結構的分級(應用層、網路層、鏈路層等),從而針對不同級別的安全對象,提供全面的、可選的的安全演算法和安全體制,以滿足網路中不同層次的各種實際尺運需求。 原則3:信息安全系統的「動態化」原則:整個系統內盡可能引入更多的可變因素,並具有良好的擴展性 如果加密信息在被破譯之前就失去了保密的必要性,即使加密演算法不是牢不可破或難以攻破的,被保護的信息也是安全的。因此,被加密信息的生存期越短、可變因素越多,系統的安全性能就越高,如周期性的更換口令和主密鑰,安全傳輸採用一次性的會話密鑰,動態選擇和使用加密演算法等。另一方面,各種密碼攻擊和破譯手段是在不斷發展的,用於破譯運算的資源和設備性能也在迅速提高,因此,所謂的「安全」,也只是相對的和暫時的;不存在一勞永逸的信息安全系統,應該可以根據攻擊手段的發展進行相應的更新和升級。
❷ 什麼是商密和普密,區別是什麼
加密類的產品可分為商密和普密。
前者是依從國家密碼管理委員會的《商用密碼管理條例》,國外密碼產品必須要經過審批才能進入國內市場。
後者主要定點在幾個重要的科研院所進行研製,主要用來配備涉及國家機密的部門,如黨政軍的部門。
❸ 計算機網路設計教程(第二版)習題解答陳明
網路工程需求分析完成後,應形成網路工程需求分析報告書,與用戶交流、修改,並通過用戶方組織的評審。網路工程設計方要根據評審意見,形成可操作和可行性的階段網路工程需求分析報告。有了網路工程需求分析報告,網路系統方案設計階段就會「水到渠成」。網路工程設計階段包括確定網路工程目標與方案設計原則、通信平台規劃與設計、資源平台規劃與設計、網路通信設備選型、網路伺服器與操作系統選型、綜合布線網路選型和網路安全設計等內容。
2.1
網路工程目標和設計原則
1.網路工程目標
一般情況下,對網路工程目標要進行總體規劃,分步實施。在制定網路工程總目標時應確定採用的網路技術、工程標准、網路規模、網路系統功能結構、網路應用目的和范圍。然後,對總體目標進行分解,明確各分期工程的具體目標、網路建設內容、所需工程費用、時間和進度計劃等。
對於網路工程應根據工程的稿好兄種類和目標大小不同,先對網路工程有一個整體規劃,然後在確定總體目標,並對目標採用分步實施的策略。一般我們可以將工程分為三步。
1)
建設計算機網路環境平台。
2) 擴大計算機網路環境平台。
3)
進行高層次網路建設。
2.網路工程設計原則
網路信息工程建設目標關繫到現在和今後的幾年內用戶方網路信息化水平和網上應用系統的成敗。在工程設計前對主要設計原則進行選擇和平衡,並排定其在方案設計中的優先順序,對網路工程設計和實施將具有指導意義。
1)
實用、好用與夠用性原則
計算機與外設、伺服器和網路通信等設備在技術性能逐步提升的同時,其價格卻在逐年或逐季下降,不可能也沒必要實現所謂「一步到位」。所以,網路方案設計中應採用成熟可靠的技術和設備,充分體現「夠用」、「好用」、「實用」建網原則,切不可用「今天」的錢,買「明、後天」才可用得上的設備。
2)
開放性原則
網路系統應採用開放的標准和技術,資源系統建設要採用國家標准,有些還要遵循國際標准(如:財務管理系統、電子商務系統)。其目的包括兩個方面:第一,有利於網路工程系統的後期擴充;第二,有利於與外部網路互連互通,切不可「閉門造車」形成信息化孤島。
3)
可靠性原則
無論是企業還是事業,也無論網路規模大小,網路系統的可靠性是一個工程的生命線。比如,一個網路系統中的關鍵設備和應用系統,偶爾出現的死鎖,對於政府、教育、企業、稅務、證券、金融、鐵路、民航等行業產生的將是災難性的事故。因此,應確保網路系統很高的平均無故障時間和盡可能低的平均無故障率。
4)
安全性原則
網路的安全主要是指網路系統防病毒、防黑客等破壞系統、數據可用性、一致性、高效性、可信賴性及可靠性等安全問題。為了網路系統安全,在方案設計時,應考慮用戶方在網路安全方面可投入的資金,建議用戶方選用網路防火牆、網路防殺毒系統等網路安全設施;網路信息中心對外的伺服器要與對內的伺服器隔離。
5)
先進性原則
網路系統應採用國際先進、主流、成熟的技術。比如,區域網可採用千兆乙太網和全交換乙太網技術。視網路規模的大小(比如網路中連接機器的台數在250台以上時),選用多層交換技術,支持多層幹道傳輸、生成樹等協議。
6)
易用性原則
網路系統的硬體設備和軟體程序應易於安裝、管理和維護。各種主要網路設備,比如核心交換機、匯聚交換機、接入交換機、伺服器、大功率長延時UPS等設備均要支持流行的網管系統,以方便用戶管理、配置網路系統。
7)
可擴展性原則
網路總體設計不僅要考慮到近期目標,也鍵襲要為網路的進一步發展留有擴展的餘地,因此要選用主流產品和技術。若有可能,最好選用同一品牌的產品,或兼容性好的產品。在一個系統中切不可選用技術和性能不兼容的產品。比如,對於多層交換網路,若要選用兩種品牌交換機,一定要注意他們的VLAN幹道傳輸、生成樹等協議是否兼容,是否可「無縫」連接。這些問題解決了,可擴展性自然是「水到渠成」。
2.2
網路通信平台設計
1.網路拓撲結構
網路的拓撲結構主要是指園區網路的物理拓撲結構,因為如今的區域網技術首選的是交換乙太網技術。採用乙太網交換機,從物理連接看拓撲結構可以是星型、擴展星型或樹型等結構,從邏輯連接看拓撲結構只能是匯流排結構。對於大中型網路考慮鏈路傳輸的可靠性,可採用冗餘結構。確立網路的物理拓撲結構是整個網路襪鋒方案規劃的基礎,物理拓撲結構的選擇往往和地理環境分布、傳輸介質與距離、網路傳輸可靠性等因素緊密相關。選擇拓撲結構時,應該考慮的主要因素有以下幾點。
1)
地理環境:不同的地理環境需要設計不同的物理網路拓撲,不同的網路物理拓撲設計施工安裝工程的費用也不同。一般情況下,網路物理拓撲最好選用星型結構,以便於網路通信設備的管理和維護。
2)
傳輸介質與距離:在設計網路時,考慮到傳輸介質、距離的遠近和可用於網路通信平台的經費投入,網路拓撲結構必須具有在傳輸介質、通信距離、可投入經費等三者之間權衡。建築樓之間互連應採用多模或單模光纜。如果兩建築樓間距小於90m,也可以用超五類屏蔽雙絞線,但要考慮屏蔽雙絞線兩端接地問題。
3)
可靠性:網路設備損壞、光纜被挖斷、連接器松動等這類故障是有可能發生的,網路拓撲結構設計應避免因個別結點損壞而影響整個網路的正常運行。若經費允許,網路拓撲結構的核心層和匯聚層,最好採用全冗餘連接,如圖6-1所示。
網路拓撲結構的規劃設計與網路規模息息相關。一個規模較小的星型區域網沒有匯聚層、接入層之分。規模較大的網路通常為多星型分層拓撲結構,如圖6-1所示。主幹網路稱為核心層,用以連接伺服器、建築群到網路中心,或在一個較大型建築物內連接多個交換機配線間到網路中心設備間。連接信息點的「毛細血管」線路及網路設備稱為接入層,根據需要在中間設置匯聚層。
圖6-1
網路全冗餘連接星型拓撲結構圖
分層設計有助於分配和規劃帶寬,有利於信息流量的局部化,也就是說全局網路對某個部門的信息訪問的需求根少(比如:財務部門的信息,只能在本部門內授權訪問),這種情況下部門業務伺服器即可放在匯聚層。這樣局部的信息流量傳輸不會波及到全網。
2.主幹網路(核心層)設計
主幹網技術的選擇,要根據以上需求分析中用戶方網路規模大小、網上傳輸信息的種類和用戶方可投入的資金等因素來考慮。一般而言,主幹網用來連接建築群和伺服器群,可能會容納網路上50%~80%的信息流,是網路大動脈。連接建築群的主幹網一般以光纜做傳輸介質,典型的主幹網技術主要有100Mbps-FX乙太網、l
000Mbps乙太網、ATM等。從易用性、先進性和可擴展性的角度考慮,採用百兆、千兆乙太網是目前區域網構建的流行做法。
3.匯聚層和接入層設計
匯聚層的存在與否,取決於網路規模的大小。當建築樓內信息點較多(比如大於22個點)超出一台交換機的埠密度,而不得不增加交換機擴充埠時,就需要有匯聚交換機。交換機間如果採用級連方式,則將一組固定埠交換機上聯到一台背板帶寬和性能較好的匯聚交換機上,再由匯聚交換機上聯到主幹網的核心交換機。如果採用多台交換機堆疊方式擴充埠密度,其中一台交換機上聯,則網路中就只有接入層。
接入層即直接信息點,通過此信息點將網路資源設備(PC:等)接入網路。匯聚層採用級連還是堆疊,要看網路信息點的分布情況。如果信息點分布均在距交換機為中心的50m半徑內,且信息點數已超過一台或兩台交換機的容量,則應採用交換機堆疊結構。堆疊能夠有充足的帶寬保證,適宜匯聚(樓宇內)信息點密集的情況。交換機級連則適用於樓宇內信息點分散,其配線間不能覆蓋全樓的信息點,增加匯聚層的同時也會使工程成本提高。
匯聚層、接入層一般採用l00Base-Tx快速變換式乙太網,採用10/100Mbps自適應交換到桌面,傳輸介質是超五類或五類雙絞線。Cisco
Catalyst
3500/4000系列交換機就是專門針對中等密度匯聚層而設計的。接入層交換機可選擇的產品根多,但要根據應用需求,可選擇支持l~2個光埠模塊,支持堆疊的接入層變換機。
4.廣域網連接與遠程訪問設計
由於布線系統費用和實現上的限制,對於零散的遠程用戶接入,利用PSTN電話網路進行遠程撥號訪問幾乎是惟一經濟、方便的選擇。遠程撥號訪問需要設計遠程訪問伺服器和Modem設備,並申請一組中繼線。由於撥號訪問是整個網路中惟一的窄帶設備,這一部分在未來的網路中可能會逐步減少使用。遠程訪問伺服器(RAS)和Modem組的埠數目一一對應,一般按一個埠支持20個用戶計算來配置。
廣域網連接是指園區網路對外的連接通道.一般採用路由器連接外部網路。根據網路規模的大小、網路用戶的數量,來選擇對外連接通道的帶寬。如果網路用戶沒有www、E-mail等具有internet功能的伺服器,用戶可以採用ISDN或ADSL等技術連接外網。如果用戶有WWW、E-mail等具有internet功能的伺服器,用戶可採用DDN(或E1)專線連接、ATM交換及永久虛電路連接外網。其連接帶寬可根據內外信息流的大小選擇,比如上網並發用戶數在150~250之問,可以租用2Mbps線路,通過同步口連接Internet。如果用戶與網路接入運營商在同一個城市,也可以採用光纖10Mbps/100Mbps的速率連接Internet。外部線路租用費用一般與帶寬成正比,速度越快費用越高。網路工程設計方和用戶方必須清楚的一點就是,能給用戶方提供多大的連接外網的帶寬受兩個因素的制約,一是用戶方租用外連線路的速率,二是用戶方共享運營商連接Internet的速率。
5.無線網路設計
無線網路的出現就是為了解決有線網路無法克服的困難。無線網路首先適用於很難布線的地方(比如受保護的建築物、機場等)或者經常需要變動布線結構的地方(如展覽館等)。學校也是一個很重要的應用領域,一個無線網路系統可以使教師、學生在校園內的任何地方接入網路。另外,因為無線網路支持十幾公里的區域,因此對於城市范圍的網路接入也能適用,可以設想一個採用無線網路的ISP可以為一個城市的任何角落提供高達10Mbps的互聯網接入。
6.網路通信設備選型
1)
網路通信設備選型原則
2)
核心交換機選型策略
3)
匯聚層/接入層交換機選型策略
4)
遠程接入與訪問設備選型策略
2.3
網路資源平台設計
1.伺服器
2.伺服器子網連接方案
3.網路應用系統
2.4
網路操作系統與伺服器配置
1.網路操作系統選型
目前,網路操作系統產品較多,為網路應用提供了良好的可選擇性。操作系統對網路建設的成敗至天重要,要依據具體的應用選擇操作系統。一般情況下,網路系統集成方在網路工程項目中要完成基礎應用平台以下三層(網路層、數據鏈路層、物理層)的建構。選擇什麼操作系統,也要看網路系統集成方的工程師以及用戶方系統管理員的技術水平和對網路操作系統的使用經驗而定。如果在工程實施中選一些大家都比較生疏的伺服器和操作系統,有可能使工期延長,不可預見性費用加大,可能還要請外援做系統培訓,維護的難度和費用也要增加。
網路操作系統分為兩個大類:即面向IA架構PC伺服器的操作系統族和UNIX操作系統家族。UNIX伺服器品質較高、價格昂貴、裝機量少而且可選擇性也不高,一般根據應用系統平台的實際需求,估計好費用,瞄準某一兩家產品去准備即可。與UNIX伺服器相比,Windows
2000 Advanced Server伺服器品牌和產品型號可謂「鋪天蓋地」,
一般在中小型網路中普遍採用。
同一個網路系統中不需要採用同一種網路操作系統,選擇中可結合Windows 2000 Advanced
Server、Linux和UNIX的特點,在網路中混合使用。通常WWW、OA及管理信息系統伺服器上可採用Windows 2000 Advanced
Server平台,E-mail、DNS、Proxy等Internet應用可使用Linux/UNIX,這樣,既可以享受到Windows 2000 Advanced
Server應用豐富、界面直觀、使用方便的優點,又可以享受到Linux/UNIX穩定、高效的好處。
2.Windows 2000 Server
伺服器配置
首先,應根據需求階段的調研成果,比如網路規模、客戶數量流量、資料庫規模、所使用的應用軟體的特殊要求等,決定Windows 2000
Advanced Server伺服器的檔次、配置。例如,伺服器若是用於部門的文件列印服務,那麼普通單處理器Windows 2000Advanced
Server伺服器就可以應付自如;如果是用於小型資料庫伺服器,那麼伺服器上至少要有256MB的內存:作為小型資料庫伺服器或者E-mail、Internet伺服器,內存要達到512MB,而且要使用ECC內存。對於中小型企業來說,一般的網路要求是有數十個至數百個用戶,使用的資料庫規模不大,此時選擇部門級伺服器。1路至2路CPU、512-1024MB
ECC內存、三個36GB(RAID5)或者五個36GB硬碟(RAID5)可以充分滿足網路需求。如果希望以後擴充的餘地大一些,或者伺服器還要做OA伺服器、MIS伺服器,網路規模比較大,用戶數據量大,那麼最好選擇企業級伺服器,即4路或8路SMP結構,帶有熱插拔RAID磁碟陣列、冗餘風扇和冗餘電源的系統。
其次,選擇Windows
2000 Advanced Server伺服器時,對伺服器上幾個關鍵部分的選取一定要把好關。因為Windows 2000 Advanced
Server雖然是兼容性相對不錯的操作系統,但兼容並不保證100%可用。Windows 2000 Advanced
Server伺服器的內存必須是支持ECC的,如果使用非ECC的內存,SQL資料庫等應用就很難保證穩定、正常地運行。Windows 2000 Advanced
server伺服器的主要部件(如主板、網卡)一定要是通過了微軟Windows 2000 Advanced Server認證的。只有通過了微軟Windows
2000 Advanced Server部件認證的產品才能保證其在Windows 2000 Advanced
Server下的100%可用性。另外,就是伺服器的電源是否可靠,因為伺服器不可能是跑幾天歇一歇的。
第三,在升級已有的windows 2000
Advanced Server伺服器時.則要仔細分析原有網路伺服器的瓶頸所在,此時可簡單利用Windows 2000 Advanced
Server系統中集成的軟體工具,比如Windows 2000 Advanced
Server系統性能監視器等。查看系統的運行狀況,分析系統各部分資源的使用情況。一般來說,可供參考的Windows 2000 Advanced
Server伺服器系統升級順序是擴充伺服器內存容量、升級伺服器處理器、增加系統的處理器數目。之所以這樣是因為,對於Windows 2000 Advanced
Server伺服器上的典型應用(如SQL資料庫、OA伺服器)來說,這些服務佔用的系統主要資源開銷是內存開銷,對處理器的資源開銷要求並小多,通過擴充伺服器內存容量提高系統的可用內存資源,將大大提高伺服器的性能。反過來,由於多處理器系統其本身佔用的系統資源開銷大大高於單處理器的佔用。所以相對來說,增加系統處理器的升級方案,其性價比要比擴充內存容量方案差。因此,要根據網路應用系統實際情況來確定增加伺服器處理器的數目,比如網路應用伺服器要處理大量的並發訪問、復雜的演算法、大量的數學模型等。
3.伺服器群的綜合配置與均衡
我們所謂的PC伺服器、UNIX伺服器、小型機伺服器,其概念主要限於物理伺服器(硬體)范疇。在網路資源存儲、應用系統集成中。通常將伺服器硬體上安裝各類應用系統的伺服器系統冠以相應的應用系統的名字,如資料庫伺服器、Web伺服器、E-mail伺服器等,其概念屬於邏輯伺服器(軟體)范疇。根據網路規模、用戶數量和應用密度的需要,有時一台伺服器硬體專門運行一種服務,有時一台伺服器硬體需安裝兩種以上的服務程序,有時兩台以上的伺服器需安裝和運行同一種服務系統。也就是說,伺服器與其在網路中的職能並不是一一對麻的。網路規模小到只用l至2台伺服器的區域網,大到可達十幾台至數十台的企業網和校園網,如何根據應用需求、費用承受能力、伺服器性能和不同服務程序之間對硬體佔用特點、合理搭配和規劃伺服器配製,最大限度地提高效率和性能的基礎上降低成本,是系統集成方要考慮的問題。
有關伺服器應用配置與均衡的建議如下。
1)
中小型網路伺服器應用配置
2)
中型網路伺服器應用配置
3)
大中型網路或ISP/ICP的伺服器群配置
2.5
網路安全設計
網路安全體系設計的重點在於根據安全設計的基本原則,制定出網路各層次的安全策略和措施,然後確定出選用什麼樣的網路安全系統產品。
1.網路安全設計原則
盡管沒有絕對安全的網路,但是,如果在網路方案設計之初就遵從一些安全原則,那麼網路系統的安全就會有保障。設計時如不全面考慮,消極地將安全和保密措施寄託在網管階段,這種事後「打補丁」的思路是相當危險的。從工程技術角度出發,在設計網路方案時,應該遵守以下原則。
1)
網路安全前期防範
強調對信息系統全面地進行安全保護。大家都知道「木桶的最大容積取決於最短的一塊木板」,此道理對網路安全來說也是有效的。網路信息系統是一個復雜的計算機系統,它本身在物理上、操作上和管理上的種種漏洞構成了系統的安全脆弱性,尤其是多用戶網路系統自身的復雜性、資源共享性,使單純的技術保護防不勝防。攻擊者使用的是「最易滲透性」,自然在系統中最薄弱的地方進行攻擊。因此,充分、全面、完整地對系統的安全漏洞和安全威脅進行分析、評估和檢測(包括模擬攻擊),是設計網路安全系統的必要前提條件。
2)
網路安全在線保護
強調安全防護、監測和應急恢復。要求在網路發生被攻擊、破壞的情況下,必須盡可能快地恢復網路信息系統的服務。減少損失。所以,網路安全系統應該包括3種機制:安全防護機制、安全監測機制、安全恢復機制。安全防護機制是根據具體系統存在的各種安全漏洞和安全威脅採取的相應防護措施,避免非法攻擊的進行:安全監測機制是監測系統的運行,及時發現和制止對系統進行的各種攻擊;安全恢復機制是在安全防護機制失效的情況下,進行應急處理和及時地恢復信息,減少攻擊的破壞程度。
3)
網路安全有效性與實用性
網路安全應以不能影響系統的正常運行和合法用戶方的操作活動為前提。網路中的信息安全和信息應用是一對矛盾。一方面,為健全和彌補系統缺陷的漏洞,會採取多種技術手段和管理措施:另一方面,勢必給系統的運行和用戶方的使用造成負擔和麻煩,「越安全就意味著使用越不方便」。尤其在網路環境下,實時性要求很高的業務不能容忍安全連接和安全處理造成的時延。網路安全採用分布式監控、集中式管理。
4)
網路安全等級劃分與管理
良好的網路安全系統必然是分為不同級別的,包括對信息保密程度分級(絕密、機密、秘密、普密),對用戶操作許可權分級(面向個人及面向群組),對網路安全程度分級(安全子網和安全區域),對系統結構層分級(應用層、網路層、鏈路層等)的安全策略。針對不同級別的安全對象,提供全面的、可選的安全演算法和安全體制,以滿足網路中不同層次的各種實際需求。
網路總體設計時要考慮安全系統的設計。避免因考慮不周,出了問題之後「拆東牆補西牆」的做法。避免造成經濟上的巨大損失,避免對國家、集體和個人造成無法挽回的損失。由於安全與保密問題是一個相當復雜的問題。因此必須注重網路安全管理。要安全策略到設備、安全責任到人、安全機制貫穿整個網路系統,這樣才能保證網路的安全性。
5)
網路安全經濟實用
網路系統的設計是受經費限制的。因此在考慮安全問題解決方案時必須考慮性能價格的平衡,而且不同的網路系統所要求的安全側重點各不相同。一般園區網路要具有身份認證、網路行為審計、網路容錯、防黑客、防病毒等功能。網路安全產品實用、好用、夠用即可。
2.網路信息安全設計與實施步驟
第一步、確定面臨的各種攻擊和風險。
第二步、確定安全策略。
安全策略是網路安全系統設計的目標和原則,是對應用系統完整的安全解決方案。安全策略的制定要綜合以下幾方面的情況。
(1)
系統整體安全性,由應用環境和用戶方需求決定,包括各個安全機制的子系統的安全目標和性能指標。
(2)
對原系統的運行造成的負荷和影響(如網路通信時延、數據擴展等)。
(3) 便於網路管理人員進行控制、管理和配置。
(4)
可擴展的編程介面,便於更新和升級。
(5) 用戶方界面的友好性和使用方便性。
(6)
投資總額和工程時間等。
第三步、建立安全模型。
模型的建立可以使復雜的問題簡化,更好地解決和安全策略有關的問題。安全模型包括網路安全系統的各個子系統。網路安全系統的設計和實現可以分為安全體制、網路安全連接和網路安全傳輸三部分。
(1)
安全體制:包括安全演算法庫、安全信息庫和用戶方介面界面。
(2) 網路安全連接:包括安全協議和網路通信介面模塊。
(3)
網路安全傳輸:包括網路安全管理系統、網路安全支撐系統和網路安全傳輸系統。
第四步、選擇並實現安全服務。
(1)
物理層的安爭:物理層信息安全主要防止物理通路的損壞、物理通路的竊聽和對物理通路的攻擊(干擾等)。
(2)
鏈路層的安全:鏈路層的網路安全需要保證通過網路鏈路傳送的數據不被竊聽。主要採用劃分VLAN(區域網)、加密通信(遠程網)等手段。
(3)網路層的安全:網路層的安全需要保證網路只給授權的客戶使用授權的服務,保證網路傳輸正確,避免被攔截或監聽。
(4)
操作系統的安全:操作系統安全要求保證客戶資料、操作系統訪問控制的安令,同時能夠對該操作系統上的應用進行審計。
(5)
應用平台的安全:應用平台指建立在網路系統之上的應用軟體服務,如資料庫伺服器,電子郵件伺服器,Web伺服器等。由於應用平台的系統非常復雜,通常採用多種技術(如SSL等)來增強應用平台的安全性。
(6)
應用系統的安全:應用系統是為用戶提供服務,應用系統的安全與系統設計和實現關系密切。應用系統使用應用平台提供的安全服務來保證基本安全,如通信內容安全、通信雙方的認證和審計等手段。
第五步、安全產品的選型
網路安全產品主要包括防火牆、用戶身份認證、網路防病系統統等。安全產品的選型工作要嚴格按照企業(學校)信息與網路系統安全產品的功能規范要求,利用綜合的技術手段,對產品功能、性能與可用性等方面進行測試,為企業、學校選出符合功能要求的安全產品。
一個完整的設計方案,應包括以下基本內容:
1.設計總說明
對系統工程起動的背景進行簡要的說明:主要包括:
(1)
技術的普及與應用
(2)
業主發展的需要(對需求分析書進行概括)
2.設計總則
在這一部分闡述整個系統設計的總體原則。主要包括:
(1)
系統設計思想
(2) 總體目標
(3)
所遵循的標准
3.技術方案設計
對所採用的技術進行詳細說明,給出全面的技術方案。主要包括:
(1) 整體設計概要
(2)
設計思想與設計原則
(3) 綜合布線系統設計
(4) 網路系統設計
(5) 網路應用系統平台設計
(6)
伺服器系統安全策略
4.預算
對整個系統項目進行預算。主要內容包括:列出整個系統的設備、材料用量表及費用;成本分析;以綜合單價法給出整個系統的預算表。
5.項目實施管理
對整個項目的實施進行管理控制的方法。主要包括:
(1)
項目實施組織構架及管理
(2) 獎懲體系
(3) 施工方案
(4) 技術措施方案
(5) 項目進度計劃
❹ 以下哪一項不是個別輔導策略包括的內容
修改,並通過用戶方組織的評審。網路工程設計方要根據評審意見,物理拓撲結構的選擇往往和地理環境分布、傳輸介質與距離、網路傳輸可靠性等因素緊密相關、一致性,不可能也沒必要實現所謂「一步到位」.2網路通信平台設計1.網路拓撲結構網路的拓撲結構主要是指園區網路的物理拓撲結構,網路系統方案設計階段就會「水到渠成」。網路工程設計階段包括確定網路工程目標與方案設計原則、通信平台規劃與設計、資源平台規劃與設計、網路通信設備選型,應該考慮的主要因素有以下幾點。1)地理環境,或兼容性好的產品。在一個系統中切不可選用技術和性能不兼容的產品,選用多層交換技術,支持多層幹道傳輸、網上傳輸信息的種類和用戶方可投入的資迅晌金等因素來考慮。網路拓撲結構的規劃設計與網路規模息息相關。一個規模較小的星型區域網沒有匯聚層、接入層之分。規模較大的網路通常為多星型分層拓撲結構,如圖6-1所示。主幹網路稱為核心層,用以連接伺服器、建築群到網路中心網路工程需求分析完成後,應形成網路工程需求分析報告書,就需要有匯聚交換機,一個網路系統中的關鍵設備和應用系統、網路系統功能結構、網路應用目的和范圍。然後,因此要選用主流產品和技術。若有可能。在制定網路工程總目標時應確定採用的網路技術,或在一個較大型建築物內連接多個交換機配線間到網路中心設備間,有利於網路工程系統的後期擴充;第二,然後在確定總體目標,可擴展性自然是「水到渠成」、千兆乙太網是目前區域網構建的流行做法。3.匯聚層和接入層設計匯聚層的存在與否,取決於網路規模的大小,與用戶交流。如果兩建築樓間距小於90m,因為如今的區域網技術首選的是交換乙太網技術、工程標准、網路規模。為了網路系統安全,在方案設計時。2)開放性原則網路系統應採用開放的標准和技術,資源系統建設要採用國家標准,有些還要遵循國際標准(如,最好採用全冗餘連接。一般而言,主幹網用來連接建築群和伺服器群,可能會容納網路上50%~80%的信息流,是網路畝培鋒大動脈,有利於與外部網路互連互通,切不可「閉門造車」形中咐成信息化孤島、好用與夠用性原則計算機與外設、伺服器和網路通信等設備在技術性能逐步提升的同時,其價格卻在逐年或逐季下降,要根據以上需求分析中用戶方網路規模大小,充分體現「夠用」、「好用」,一定要注意他們的VLAN幹道傳輸、生成樹等協議是否兼容,明確各分期工程的具體目標、網路建設內容。對於大中型網路考慮鏈路傳輸的可靠性。比如,對於多層交換網路。確立網路的物理拓撲結構是整個網路方案規劃的基礎、後天」才可用得上的設備:財務部門的信息。2,再由匯聚交換機上聯到主幹網的核心交換機,最好選用同一品牌的產品、鐵路、民航等行業產生的將是災難性的事故:等)接入網路。匯聚層採用級連還是堆疊,要看網路信息點的分布情況,區域網可採用千兆乙太網和全交換乙太網技術。視網路規模的大小(比如網路中連接機器的台數在250台以上時),建議用戶方選用網路防火牆、網路防殺毒系統等網路安全設施。2.主幹網路(核心層)設計主幹網技術的選擇,典型的主幹網技術主要有100Mbps-FX乙太網、l000Mbps乙太網、ATM等、連接器松動等這類故障是有可能發生的、管理和維護.1網路工程目標和設計原則1.網路工程目標一般情況下。因此,應確保網路系統很高的平均無故障時間和盡可能低的平均無故障率。4)安全性原則網路的安全主要是指網路系統防病毒、防黑客等破壞系統,買「明、高效性,可採用冗餘結構。連接信息點的「毛細血管」線路及網路設備稱為接入層,根據需要在中間設置匯聚層。一般我們可以將工程分為三步,若要選用兩種品牌交換機。圖6-1網路全冗餘連接星型拓撲結構圖分層設計有助於分配和規劃帶寬,有利於信息流量的局部化,也就是說全局網路對某個部門的信息訪問的需求根少(比如。2.網路工程設計原則網路信息工程建設目標關繫到現在和今後的幾年內用戶方網路信息化水平和網上應用系統的成敗。在工程設計前對主要設計原則進行選擇和平衡,偶爾出現的死鎖、「實用」建網原則,切不可用「今天」的錢。3)可靠性原則無論是企業還是事業,也無論網路規模大小,網路系統的可靠性是一個工程的生命線。比如、證券、金融。建築樓之間互連應採用多模或單模光纜、通信距離、可投入經費等三者之間權衡,如圖6-1所示。2)擴大計算機網路環境平台:在設計網路時,考慮到傳輸介質、距離的遠近和可用於網路通信平台的經費投入,並對目標採用分步實施的策略。連接建築群的主幹網一般以光纜做傳輸介質。這些問題解決了。採用乙太網交換機,從物理連接看拓撲結構可以是星型、擴展星型或樹型等結構,網路拓撲結構必須具有在傳輸介質,對網路工程目標要進行總體規劃,分步實施。3)進行高層次網路建設。所以,網路方案設計中應採用成熟可靠的技術和設備:不同的地理環境需要設計不同的物理網路拓撲,不同的網路物理拓撲設計施工安裝工程的費用也不同。一般情況下,網路物理拓撲最好選用星型結構。當建築樓內信息點較多(比如大於22個點)超出一台交換機的埠密度,而不得不增加交換機擴充埠時。2)傳輸介質與距離,則網路中就只有接入層。接入層即直接信息點,通過此信息點將網路資源設備(PC,以便於網路通信設備的管理和維護。7)可擴展性原則網路總體設計不僅要考慮到近期目標,也要為網路的進一步發展留有擴展的餘地,對總體目標進行分解。各種主要網路設備,比如核心交換機、匯聚交換機、接入交換機、伺服器、大功率長延時UPS等設備均要支持流行的網管系統,以方便用戶管理、配置網路系統。1)建設計算機網路環境平台、企業、稅務。選擇拓撲結構時,從邏輯連接看拓撲結構只能是匯流排結構,是否可「無縫」連接,應考慮用戶方在網路安全方面可投入的資金。2、數據可用性、光纜被挖斷、所需工程費用、時間和進度計劃等。對於網路工程應根據工程的種類和目標大小不同、主流、成熟的技術。比如,只能在本部門內授權訪問),這種情況下部門業務伺服器即可放在匯聚層。這樣局部的信息流量傳輸不會波及到全網,其中一台交換機上聯、網路伺服器與操作系統選型、綜合布線網路選型和網路安全設計等內容,形成可操作和可行性的階段網路工程需求分析報告。有了網路工程需求分析報告;網路信息中心對外的伺服器要與對內的伺服器隔離。5)先進性原則網路系統應採用國際先進,先對網路工程有一個整體規劃,且信息點數已超過一台或兩台交換機的容量、生成樹等協議。6)易用性原則網路系統的硬體設備和軟體程序應易於安裝、可信賴性及可靠性等安全問題。交換機間如果採用級連方式,則將一組固定埠交換機上聯到一台背板帶寬和性能較好的匯聚交換機上,網路拓撲結構設計應避免因個別結點損壞而影響整個網路的正常運行。若經費允許,網路拓撲結構的核心層和匯聚層,並排定其在方案設計中的優先順序,對網路工程設計和實施將具有指導意義。1)實用:財務管理系統、電子商務系統)。其目的包括兩個方面:第一。如果信息點分布均在距交換機為中心的50m半徑內。如果採用多台交換機堆疊方式擴充埠密度,對於政府、教育,則應採用交換機堆疊結構。堆疊能夠有充足的帶寬保證,適宜匯聚(樓宇內)信息點密集的情況。交換機級連則適用於樓宇內信息點分散,其配線間不能覆蓋全樓的信息點,增加匯聚層的同時也會使工程成本提高。匯聚層、接入層一般採用l00Base-Tx快速變換式乙太網,採用10/100Mbps自適應交換到桌面,傳輸介質是超五類或五類雙絞線。CiscoCatalyst3500/4000系列交換機就是專門針對中等密度匯聚層而設計的。接入層交換機可選擇的產品根多,但要根據應用需求,可選擇支持l~2個光埠模塊,支持堆疊的接入層變換機。4.廣域網連接與遠程訪問設計由於布線系統費用和實現上的限制,對於零散的遠程用戶接入,利用PSTN電話網路進行遠程撥號訪問幾乎是惟一經濟、方便的選擇。遠程撥號訪問需要設計遠程訪問伺服器和Modem設備,並申請一組中繼線。由於撥號訪問是整個網路中惟一的窄帶設備,這一部分在未來的網路中可能會逐步減少使用。遠程訪問伺服器(RAS)和Modem組的埠數目一一對應,一般按一個埠支持20個用戶計算來配置。廣域網連接是指園區網路對外的連接通道.一般採用路由器連接外部網路。根據網路規模的大小、網路用戶的數量,來選擇對外連接通道的帶寬。如果網路用戶沒有www、E-mail等具有internet功能的伺服器,用戶可以採用ISDN或ADSL等技術連接外網。如果用戶有WWW、E-mail等具有internet功能的伺服器,用戶可採用DDN(或E1)專線連接、ATM交換及永久虛電路連接外網。其連接帶寬可根據內外信息流的大小選擇,比如上網並發用戶數在150~250之問,可以租用2Mbps線路,通過同步口連接Internet。如果用戶與網路接入運營商在同一個城市,也可以採用光纖10Mbps/100Mbps的速率連接Internet。外部線路租用費用一般與帶寬成正比,速度越快費用越高。網路工程設計方和用戶方必須清楚的一點就是,能給用戶方提供多大的連接外網的帶寬受兩個因素的制約,一是用戶方租用外連線路的速率,二是用戶方共享運營商連接Internet的速率。5.無線網路設計無線網路的出現就是為了解決有線網路無法克服的困難。無線網路首先適用於很難布線的地方(比如受保護的建築物、機場等)或者經常需要變動布線結構的地方(如展覽館等)。學校也是一個很重要的應用領域,一個無線網路系統可以使教師、學生在校園內的任何地方接入網路。另外,因為無線網路支持十幾公里的區域,因此對於城市范圍的網路接入也能適用,可以設想一個採用無線網路的ISP可以為一個城市的任何角落提供高達10Mbps的互聯網接入。6.網路通信設備選型1)網路通信設備選型原則2)核心交換機選型策略3)匯聚層/接入層交換機選型策略4)遠程接入與訪問設備選型策略2.3網路資源平台設計1.伺服器2.伺服器子網連接方案3.網路應用系統2.4網路操作系統與伺服器配置1.網路操作系統選型目前,網路操作系統產品較多,為網路應用提供了良好的可選擇性。操作系統對網路建設的成敗至天重要,要依據具體的應用選擇操作系統。一般情況下,網路系統集成方在網路工程項目中要完成基礎應用平台以下三層(網路層、數據鏈路層、物理層)的建構。選擇什麼操作系統,也要看網路系統集成方的工程師以及用戶方系統管理員的技術水平和對網路操作系統的使用經驗而定。如果在工程實施中選一些大家都比較生疏的伺服器和操作系統,有可能使工期延長,不可預見性費用加大,可能還要請外援做系統培訓,維護的難度和費用也要增加。網路操作系統分為兩個大類:即面向IA架構PC伺服器的操作系統族和UNIX操作系統家族。UNIX伺服器品質較高、價格昂貴、裝機量少而且可選擇性也不高,一般根據應用系統平台的實際需求,估計好費用,瞄準某一兩家產品去准備即可。與UNIX伺服器相比,Windows2000AdvancedServer伺服器品牌和產品型號可謂「鋪天蓋地」,一般在中小型網路中普遍採用。同一個網路系統中不需要採用同一種網路操作系統,選擇中可結合Windows2000AdvancedServer、Linux和UNIX的特點,在網路中混合使用。通常WWW、OA及管理信息系統伺服器上可採用Windows2000AdvancedServer平台,E-mail、DNS、Proxy等Internet應用可使用Linux/UNIX,這樣,既可以享受到Windows2000AdvancedServer應用豐富、界面直觀、使用方便的優點,又可以享受到Linux/UNIX穩定、高效的好處。2.Windows2000Server伺服器配置首先,應根據需求階段的調研成果,比如網路規模、客戶數量流量、資料庫規模、所使用的應用軟體的特殊要求等,決定Windows2000AdvancedServer伺服器的檔次、配置。例如,伺服器若是用於部門的文件列印服務,那麼普通單處理器Windows2000AdvancedServer伺服器就可以應付自如;如果是用於小型資料庫伺服器,那麼伺服器上至少要有256MB的內存:作為小型資料庫伺服器或者E-mail、Internet伺服器,內存要達到512MB,而且要使用ECC內存。對於中小型企業來說,一般的網路要求是有數十個至數百個用戶,使用的資料庫規模不大,此時選擇部門級伺服器。1路至2路CPU、512-1024MBECC內存、三個36GB(RAID5)或者五個36GB硬碟(RAID5)可以充分滿足網路需求。如果希望以後擴充的餘地大一些,或者伺服器還要做OA伺服器、MIS伺服器,網路規模比較大,用戶數據量大,那麼最好選擇企業級伺服器,即4路或8路SMP結構,帶有熱插拔RAID磁碟陣列、冗餘風扇和冗餘電源的系統。其次,選擇Windows2000AdvancedServer伺服器時,對伺服器上幾個關鍵部分的選取一定要把好關。因為Windows2000AdvancedServer雖然是兼容性相對不錯的操作系統,但兼容並不保證100%可用。Windows2000AdvancedServer伺服器的內存必須是支持ECC的,如果使用非ECC的內存,SQL資料庫等應用就很難保證穩定、正常地運行。Windows2000Advancedserver伺服器的主要部件(如主板、網卡)一定要是通過了微軟Windows2000AdvancedServer認證的。只有通過了微軟Windows2000AdvancedServer部件認證的產品才能保證其在Windows2000AdvancedServer下的100%可用性。另外,就是伺服器的電源是否可靠,因為伺服器不可能是跑幾天歇一歇的。第三,在升級已有的windows2000AdvancedServer伺服器時.則要仔細分析原有網路伺服器的瓶頸所在,此時可簡單利用Windows2000AdvancedServer系統中集成的軟體工具,比如Windows2000AdvancedServer系統性能監視器等。查看系統的運行狀況,分析系統各部分資源的使用情況。一般來說,可供參考的Windows2000AdvancedServer伺服器系統升級順序是擴充伺服器內存容量、升級伺服器處理器、增加系統的處理器數目。之所以這樣是因為,對於Windows2000AdvancedServer伺服器上的典型應用(如SQL資料庫、OA伺服器)來說,這些服務佔用的系統主要資源開銷是內存開銷,對處理器的資源開銷要求並小多,通過擴充伺服器內存容量提高系統的可用內存資源,將大大提高伺服器的性能。反過來,由於多處理器系統其本身佔用的系統資源開銷大大高於單處理器的佔用。所以相對來說,增加系統處理器的升級方案,其性價比要比擴充內存容量方案差。因此,要根據網路應用系統實際情況來確定增加伺服器處理器的數目,比如網路應用伺服器要處理大量的並發訪問、復雜的演算法、大量的數學模型等。3.伺服器群的綜合配置與均衡我們所謂的PC伺服器、UNIX伺服器、小型機伺服器,其概念主要限於物理伺服器(硬體)范疇。在網路資源存儲、應用系統集成中。通常將伺服器硬體上安裝各類應用系統的伺服器系統冠以相應的應用系統的名字,如資料庫伺服器、Web伺服器、E-mail伺服器等,其概念屬於邏輯伺服器(軟體)范疇。根據網路規模、用戶數量和應用密度的需要,有時一台伺服器硬體專門運行一種服務,有時一台伺服器硬體需安裝兩種以上的服務程序,有時兩台以上的伺服器需安裝和運行同一種服務系統。也就是說,伺服器與其在網路中的職能並不是一一對麻的。網路規模小到只用l至2台伺服器的區域網,大到可達十幾台至數十台的企業網和校園網,如何根據應用需求、費用承受能力、伺服器性能和不同服務程序之間對硬體佔用特點、合理搭配和規劃伺服器配製,最大限度地提高效率和性能的基礎上降低成本,是系統集成方要考慮的問題。有關伺服器應用配置與均衡的建議如下。1)中小型網路伺服器應用配置2)中型網路伺服器應用配置3)大中型網路或ISP/ICP的伺服器群配置2.5網路安全設計網路安全體系設計的重點在於根據安全設計的基本原則,制定出網路各層次的安全策略和措施,然後確定出選用什麼樣的網路安全系統產品。1.網路安全設計原則盡管沒有絕對安全的網路,但是,如果在網路方案設計之初就遵從一些安全原則,那麼網路系統的安全就會有保障。設計時如不全面考慮,消極地將安全和保密措施寄託在網管階段,這種事後「打補丁」的思路是相當危險的。從工程技術角度出發,在設計網路方案時,應該遵守以下原則。1)網路安全前期防範強調對信息系統全面地進行安全保護。大家都知道「木桶的最大容積取決於最短的一塊木板」,此道理對網路安全來說也是有效的。網路信息系統是一個復雜的計算機系統,它本身在物理上、操作上和管理上的種種漏洞構成了系統的安全脆弱性,尤其是多用戶網路系統自身的復雜性、資源共享性,使單純的技術保護防不勝防。攻擊者使用的是「最易滲透性」,自然在系統中最薄弱的地方進行攻擊。因此,充分、全面、完整地對系統的安全漏洞和安全威脅進行分析、評估和檢測(包括模擬攻擊),是設計網路安全系統的必要前提條件。2)網路安全在線保護強調安全防護、監測和應急恢復。要求在網路發生被攻擊、破壞的情況下,必須盡可能快地恢復網路信息系統的服務。減少損失。所以,網路安全系統應該包括3種機制:安全防護機制、安全監測機制、安全恢復機制。安全防護機制是根據具體系統存在的各種安全漏洞和安全威脅採取的相應防護措施,避免非法攻擊的進行:安全監測機制是監測系統的運行,及時發現和制止對系統進行的各種攻擊;安全恢復機制是在安全防護機制失效的情況下,進行應急處理和及時地恢復信息,減少攻擊的破壞程度。3)網路安全有效性與實用性網路安全應以不能影響系統的正常運行和合法用戶方的操作活動為前提。網路中的信息安全和信息應用是一對矛盾。一方面,為健全和彌補系統缺陷的漏洞,會採取多種技術手段和管理措施:另一方面,勢必給系統的運行和用戶方的使用造成負擔和麻煩,「越安全就意味著使用越不方便」。尤其在網路環境下,實時性要求很高的業務不能容忍安全連接和安全處理造成的時延。網路安全採用分布式監控、集中式管理。4)網路安全等級劃分與管理良好的網路安全系統必然是分為不同級別的,包括對信息保密程度分級(絕密、機密、秘密、普密),對用戶操作許可權分級(面向個人及面向群組),對網路安全程度分級(安全子網和安全區域),對系統結構層分級(應用層、網路層、鏈路層等)的安全策略。針對不同級別的安全對象,提供全面的、可選的安全演算法和安全體制,以滿足網路中不同層次的各種實際需求。網路總體設計時要考慮安全系統的設計。避免因考慮不周,出了問題之後「拆東牆補西牆」的做法。避免造成經濟上的巨大損失,避免對國家、集體和個人造成無法挽回的損失。由於安全與保密問題是一個相當復雜的問題。因此必須注重網路安全管理。要安全策略到設備、安全責任到人、安全機制貫穿整個網路系統,這樣才能保證網路的安全性。5)網路安全經濟實用網路系統的設計是受經費限制的。因此在考慮安全問題解決方案時必須考慮性能價格的平衡,而且不同的網路系統所要求的安全側重點各不相同。一般園區網路要具有身份認證、網路行為審計、網路容錯、防黑客、防病毒等功能。網路安全產品實用、好用、夠用即可。2.網路信息安全設計與實施步驟第一步、確定面臨的各種攻擊和風險。第二步、確定安全策略。安全策略是網路安全系統設計的目標和原則,是對應用系統完整的安全解決方案。安全策略的制定要綜合以下幾方面的情況。(1)系統整體安全性,由應用環境和用戶方需求決定,包括各個安全機制的子系統的安全目標和性能指標。(2)對原系統的運行造成的負荷和影響(如網路通信時延、數據擴展等)。(3)便於網路管理人員進行控制、管理和配置。(4)可擴展的編程介面,便於更新和升級。(5)用戶方界面的友好性和使用方便性。(6)投資總額和工程時間等。第三步、建立安全模型。模型的建立可以使復雜的問題簡化,更好地解決和安全策略有關的問題。安全模型包括網路安全系統的各個子系統。網路安全系統的設計和實現可以分為安全體制、網路安全連接和網路安全傳輸三部分。(1)安全體制:包括安全演算法庫、安全信息庫和用戶方介面界面。(2)網路安全連接:包括安全協議和網路通信介面模塊。(3)網路安全傳輸:包括網路安全管理系統、網路安全支撐系統和網路安全傳輸系統。第四步、選擇並實現安全服務。(1)物理層的安爭:物理層信息安全主要防止物理通路的損壞、物理通路的竊聽和對物理通路的攻擊(干擾等)。(2)鏈路層的安全:鏈路層的網路安全需要保證通過網路鏈路傳送的數據不被竊聽。主要採用劃分VLAN(區域網)、加密通信(遠程網)等手段。(3)網路層的安全:網路層的安全需要保證網路只給授權的客戶使用授權的服務,保證網路傳輸正確,避免被攔截或監聽。(4)操作系統的安全:操作系統安全要求保證客戶資料、操作系統訪問控制的安令,同時能夠對該操作系統上的應用進行審計。(5)應用平台的安全:應用平台指建立在網路系統之上的應用軟體服務,如資料庫伺服器,電子郵件伺服器,Web伺服器等。由於應用平台的系統非常復雜,通常採用多種技術(如SSL等)來增強應用平台的安全性。(6)應用系統的安全:應用系統是為用戶提供服務,應用系統的安全與系統設計和實現關系密切。應用系統使用應用平台提供的安全服務來保證基本安全,如通信內容安全、通信雙方的認證和審計等手段。第五步、安全產品的選型網路安全產品主要包括防火牆、用戶身份認證、網路防病系統統等。安全產品的選型工作要嚴格按照企業(學校)信息與網路系統安全產品的功能規范要求,利用綜合的技術手段,對產品功能、性能與可用性等方面進行測試,為企業、學校選出符合功能要求的安全產品。一個完整的設計方案,應包括以下基本內容:1.設計總說明對系統工程起動的背景進行簡要的說明:主要包括:(1)技術的普及與應用(2)業主發展的需要(對需求分析書進行概括)2.設計總則在這一部分闡述整個系統設計的總體原則。主要包括:(1)系統設計思想(2)總體目標(3)所遵循的標准3.技術方案設計對所採用的技術進行詳細說明,給出全面的技術方案。主要包括:(1)整體設計概要(2)設計思想與設計原則(3)綜合布線系統設計(4)網路系統設計(5)網路應用系統平台設計(6)伺服器系統安全策略4.預算對整個系統項目進行預算。主要內容包括:列出整個系統的設備、材料用量表及費用;成本分析;以綜合單價法給出整個系統的預算表。5.項目實施管理對整個項目的實施進行管理控制的方法。主要包括:(1)項目實施組織構架及管理(2)獎懲體系(3)施工方案(4)技術措施方案(5)項目進度計劃(5)對業主配合的要求6.供貨計劃、方式主要描述項目的材料、設備到達現場的計劃,供貨方式。,也可以用超五類屏蔽雙絞線,但要考慮屏蔽雙絞線兩端接地問題。3)可靠性:網路設備損壞。從易用性、先進性和可擴展性的角度考慮,採用百兆
❺ 可以在特定區域對網路通信採取什麼臨時措施
網路工程需求分析完成後,應形成網路工程需求分析報告書,與用戶交流、修改,並通過用戶方組織的評審。網路工程設計方要根據評審意見,形成可操作和可行性的階段網路工程需求分析報告。有了網路工程需求分析報告,網路系統方案設計階段就會「水到渠成」。網路工程設計階段包括確定網路工程目標與方案設計原則、通信平台規劃與設計、資源平台規劃與設計、網路通信設備選型、網路伺服器與操作系統選型、綜合布線網路選型和網路安全設計等內御告容。2.1網路工程目標和設計原則1.網路工程目標一般情況下,對網路工程目標要進行總體規劃,分步實施。在制定網路工程總目標時應確定採用鎮碼明的網路技術、工程標准、網路規模、網路系統功能結構、網路應用目的和范圍。然後,對總體目標進行分解,明確各分期工程的具體目標、網路建設內容、所需工程費用、時間和進度計劃等。對於網路工程應根據工程的種類和目標大小不同,先對網路工程有一個整體規劃,然後在確定總體目標,並對目標採用分步實施的策略。一般我們可以將工程分為三步。1)建設計算機網路環境平台。2)擴大計算機網路環境平台。3)進行高層次網路建設。2.網路工程設計原則網路信息工程建設目標關繫到現在和今後的幾年內用戶方網路信息化水平和網上應用系統的成敗。在工程設計前對主要設計原則進行選擇和平衡,並排定其在方案設計中的優先順序,對網路工程設計和實施將具有指導意義。1)實用、好用與夠用性原則計算機與外設、伺服器和網路通信等設備在技術性能逐步提升的同時,其價格卻在逐年或逐季下降,不可能也沒必要實現所謂「一步到位」。所以,網路方案設計中應採用成熟可靠的技術和設備,充分體現「夠用」、「好用」、「實用」建網原則,切不可用「今天」的錢,買「明、後天」才可用得上的設備。2)開放性原則網路系統應採用開放的標准和技術,資源系統建設要採用國家標准,有些還要遵循國際標准(如:財務管理系統、電子商務系統)。其目的包括兩個方面:第一,有利於網路工程系統的後期擴充;第二,有利於與外部網路互連互通,切不可「閉門造車」形成信息化孤島。3)可靠性原則無論是企業還是事業,也無論網路規模大小,網路系統的可靠性是一個工程的生命線。比如,一個網路系統中的關鍵設備和應用系統,偶爾出現的死鎖,對於政府、教育、企業、稅務、證券、金融、鐵路、民航等行業產生的將是災難性的事故。因此,應確保網模辯絡系統很高的平均無故障時間和盡可能低的平均無故障率。4)安全性原則網路的安全主要是指網路系統防病毒、防黑客等破壞系統、數據可用性、一致性、高效性、可信賴性及可靠性等安全問題。為了網路系統安全,在方案設計時,應考慮用戶方在網路安全方面可投入的資金,建議用戶方選用網路防火牆、網路防殺毒系統等網路安全設施;網路信息中心對外的伺服器要與對內的伺服器隔離。5)先進性原則網路系統應採用國際先進、主流、成熟的技術。比如,區域網可採用千兆乙太網和全交換乙太網技術。視網路規模的大小(比如網路中連接機器的台數在250台以上時),選用多層交換技術,支持多層幹道傳輸、生成樹等協議。6)易用性原則網路系統的硬體設備和軟體程序應易於安裝、管理和維護。各種主要網路設備,比如核心交換機、匯聚交換機、接入交換機、伺服器、大功率長延時UPS等設備均要支持流行的網管系統,以方便用戶管理、配置網路系統。7)可擴展性原則網路總體設計不僅要考慮到近期目標,也要為網路的進一步發展留有擴展的餘地,因此要選用主流產品和技術。若有可能,最好選用同一品牌的產品,或兼容性好的產品。在一個系統中切不可選用技術和性能不兼容的產品。比如,對於多層交換網路,若要選用兩種品牌交換機,一定要注意他們的VLAN幹道傳輸、生成樹等協議是否兼容,是否可「無縫」連接。這些問題解決了,可擴展性自然是「水到渠成」。2.2網路通信平台設計1.網路拓撲結構網路的拓撲結構主要是指園區網路的物理拓撲結構,因為如今的區域網技術首選的是交換乙太網技術。採用乙太網交換機,從物理連接看拓撲結構可以是星型、擴展星型或樹型等結構,從邏輯連接看拓撲結構只能是匯流排結構。對於大中型網路考慮鏈路傳輸的可靠性,可採用冗餘結構。確立網路的物理拓撲結構是整個網路方案規劃的基礎,物理拓撲結構的選擇往往和地理環境分布、傳輸介質與距離、網路傳輸可靠性等因素緊密相關。選擇拓撲結構時,應該考慮的主要因素有以下幾點。1)地理環境:不同的地理環境需要設計不同的物理網路拓撲,不同的網路物理拓撲設計施工安裝工程的費用也不同。一般情況下,網路物理拓撲最好選用星型結構,以便於網路通信設備的管理和維護。2)傳輸介質與距離:在設計網路時,考慮到傳輸介質、距離的遠近和可用於網路通信平台的經費投入,網路拓撲結構必須具有在傳輸介質、通信距離、可投入經費等三者之間權衡。建築樓之間互連應採用多模或單模光纜。如果兩建築樓間距小於90m,也可以用超五類屏蔽雙絞線,但要考慮屏蔽雙絞線兩端接地問題。3)可靠性:網路設備損壞、光纜被挖斷、連接器松動等這類故障是有可能發生的,網路拓撲結構設計應避免因個別結點損壞而影響整個網路的正常運行。若經費允許,網路拓撲結構的核心層和匯聚層,最好採用全冗餘連接,如圖6-1所示。網路拓撲結構的規劃設計與網路規模息息相關。一個規模較小的星型區域網沒有匯聚層、接入層之分。規模較大的網路通常為多星型分層拓撲結構,如圖6-1所示。主幹網路稱為核心層,用以連接伺服器、建築群到網路中心,或在一個較大型建築物內連接多個交換機配線間到網路中心設備間。連接信息點的「毛細血管」線路及網路設備稱為接入層,根據需要在中間設置匯聚層。圖6-1網路全冗餘連接星型拓撲結構圖分層設計有助於分配和規劃帶寬,有利於信息流量的局部化,也就是說全局網路對某個部門的信息訪問的需求根少(比如:財務部門的信息,只能在本部門內授權訪問),這種情況下部門業務伺服器即可放在匯聚層。這樣局部的信息流量傳輸不會波及到全網。2.主幹網路(核心層)設計主幹網技術的選擇,要根據以上需求分析中用戶方網路規模大小、網上傳輸信息的種類和用戶方可投入的資金等因素來考慮。一般而言,主幹網用來連接建築群和伺服器群,可能會容納網路上50%~80%的信息流,是網路大動脈。連接建築群的主幹網一般以光纜做傳輸介質,典型的主幹網技術主要有100Mbps-FX乙太網、l000Mbps乙太網、ATM等。從易用性、先進性和可擴展性的角度考慮,採用百兆、千兆乙太網是目前區域網構建的流行做法。3.匯聚層和接入層設計匯聚層的存在與否,取決於網路規模的大小。當建築樓內信息點較多(比如大於22個點)超出一台交換機的埠密度,而不得不增加交換機擴充埠時,就需要有匯聚交換機。交換機間如果採用級連方式,則將一組固定埠交換機上聯到一台背板帶寬和性能較好的匯聚交換機上,再由匯聚交換機上聯到主幹網的核心交換機。如果採用多台交換機堆疊方式擴充埠密度,其中一台交換機上聯,則網路中就只有接入層。接入層即直接信息點,通過此信息點將網路資源設備(PC:等)接入網路。匯聚層採用級連還是堆疊,要看網路信息點的分布情況。如果信息點分布均在距交換機為中心的50m半徑內,且信息點數已超過一台或兩台交換機的容量,則應採用交換機堆疊結構。堆疊能夠有充足的帶寬保證,適宜匯聚(樓宇內)信息點密集的情況。交換機級連則適用於樓宇內信息點分散,其配線間不能覆蓋全樓的信息點,增加匯聚層的同時也會使工程成本提高。匯聚層、接入層一般採用l00Base-Tx快速變換式乙太網,採用10/100Mbps自適應交換到桌面,傳輸介質是超五類或五類雙絞線。CiscoCatalyst3500/4000系列交換機就是專門針對中等密度匯聚層而設計的。接入層交換機可選擇的產品根多,但要根據應用需求,可選擇支持l~2個光埠模塊,支持堆疊的接入層變換機。4.廣域網連接與遠程訪問設計由於布線系統費用和實現上的限制,對於零散的遠程用戶接入,利用PSTN電話網路進行遠程撥號訪問幾乎是惟一經濟、方便的選擇。遠程撥號訪問需要設計遠程訪問伺服器和Modem設備,並申請一組中繼線。由於撥號訪問是整個網路中惟一的窄帶設備,這一部分在未來的網路中可能會逐步減少使用。遠程訪問伺服器(RAS)和Modem組的埠數目一一對應,一般按一個埠支持20個用戶計算來配置。廣域網連接是指園區網路對外的連接通道.一般採用路由器連接外部網路。根據網路規模的大小、網路用戶的數量,來選擇對外連接通道的帶寬。如果網路用戶沒有www、E-mail等具有internet功能的伺服器,用戶可以採用ISDN或ADSL等技術連接外網。如果用戶有WWW、E-mail等具有internet功能的伺服器,用戶可採用DDN(或E1)專線連接、ATM交換及永久虛電路連接外網。其連接帶寬可根據內外信息流的大小選擇,比如上網並發用戶數在150~250之問,可以租用2Mbps線路,通過同步口連接Internet。如果用戶與網路接入運營商在同一個城市,也可以採用光纖10Mbps/100Mbps的速率連接Internet。外部線路租用費用一般與帶寬成正比,速度越快費用越高。網路工程設計方和用戶方必須清楚的一點就是,能給用戶方提供多大的連接外網的帶寬受兩個因素的制約,一是用戶方租用外連線路的速率,二是用戶方共享運營商連接Internet的速率。5.無線網路設計無線網路的出現就是為了解決有線網路無法克服的困難。無線網路首先適用於很難布線的地方(比如受保護的建築物、機場等)或者經常需要變動布線結構的地方(如展覽館等)。學校也是一個很重要的應用領域,一個無線網路系統可以使教師、學生在校園內的任何地方接入網路。另外,因為無線網路支持十幾公里的區域,因此對於城市范圍的網路接入也能適用,可以設想一個採用無線網路的ISP可以為一個城市的任何角落提供高達10Mbps的互聯網接入。6.網路通信設備選型1)網路通信設備選型原則2)核心交換機選型策略3)匯聚層/接入層交換機選型策略4)遠程接入與訪問設備選型策略2.3網路資源平台設計1.伺服器2.伺服器子網連接方案3.網路應用系統2.4網路操作系統與伺服器配置1.網路操作系統選型目前,網路操作系統產品較多,為網路應用提供了良好的可選擇性。操作系統對網路建設的成敗至天重要,要依據具體的應用選擇操作系統。一般情況下,網路系統集成方在網路工程項目中要完成基礎應用平台以下三層(網路層、數據鏈路層、物理層)的建構。選擇什麼操作系統,也要看網路系統集成方的工程師以及用戶方系統管理員的技術水平和對網路操作系統的使用經驗而定。如果在工程實施中選一些大家都比較生疏的伺服器和操作系統,有可能使工期延長,不可預見性費用加大,可能還要請外援做系統培訓,維護的難度和費用也要增加。網路操作系統分為兩個大類:即面向IA架構PC伺服器的操作系統族和UNIX操作系統家族。UNIX伺服器品質較高、價格昂貴、裝機量少而且可選擇性也不高,一般根據應用系統平台的實際需求,估計好費用,瞄準某一兩家產品去准備即可。與UNIX伺服器相比,Windows2000AdvancedServer伺服器品牌和產品型號可謂「鋪天蓋地」,一般在中小型網路中普遍採用。同一個網路系統中不需要採用同一種網路操作系統,選擇中可結合Windows2000AdvancedServer、Linux和UNIX的特點,在網路中混合使用。通常WWW、OA及管理信息系統伺服器上可採用Windows2000AdvancedServer平台,E-mail、DNS、Proxy等Internet應用可使用Linux/UNIX,這樣,既可以享受到Windows2000AdvancedServer應用豐富、界面直觀、使用方便的優點,又可以享受到Linux/UNIX穩定、高效的好處。2.Windows2000Server伺服器配置首先,應根據需求階段的調研成果,比如網路規模、客戶數量流量、資料庫規模、所使用的應用軟體的特殊要求等,決定Windows2000AdvancedServer伺服器的檔次、配置。例如,伺服器若是用於部門的文件列印服務,那麼普通單處理器Windows2000AdvancedServer伺服器就可以應付自如;如果是用於小型資料庫伺服器,那麼伺服器上至少要有256MB的內存:作為小型資料庫伺服器或者E-mail、Internet伺服器,內存要達到512MB,而且要使用ECC內存。對於中小型企業來說,一般的網路要求是有數十個至數百個用戶,使用的資料庫規模不大,此時選擇部門級伺服器。1路至2路CPU、512-1024MBECC內存、三個36GB(RAID5)或者五個36GB硬碟(RAID5)可以充分滿足網路需求。如果希望以後擴充的餘地大一些,或者伺服器還要做OA伺服器、MIS伺服器,網路規模比較大,用戶數據量大,那麼最好選擇企業級伺服器,即4路或8路SMP結構,帶有熱插拔RAID磁碟陣列、冗餘風扇和冗餘電源的系統。其次,選擇Windows2000AdvancedServer伺服器時,對伺服器上幾個關鍵部分的選取一定要把好關。因為Windows2000AdvancedServer雖然是兼容性相對不錯的操作系統,但兼容並不保證100%可用。Windows2000AdvancedServer伺服器的內存必須是支持ECC的,如果使用非ECC的內存,SQL資料庫等應用就很難保證穩定、正常地運行。Windows2000Advancedserver伺服器的主要部件(如主板、網卡)一定要是通過了微軟Windows2000AdvancedServer認證的。只有通過了微軟Windows2000AdvancedServer部件認證的產品才能保證其在Windows2000AdvancedServer下的100%可用性。另外,就是伺服器的電源是否可靠,因為伺服器不可能是跑幾天歇一歇的。第三,在升級已有的windows2000AdvancedServer伺服器時.則要仔細分析原有網路伺服器的瓶頸所在,此時可簡單利用Windows2000AdvancedServer系統中集成的軟體工具,比如Windows2000AdvancedServer系統性能監視器等。查看系統的運行狀況,分析系統各部分資源的使用情況。一般來說,可供參考的Windows2000AdvancedServer伺服器系統升級順序是擴充伺服器內存容量、升級伺服器處理器、增加系統的處理器數目。之所以這樣是因為,對於Windows2000AdvancedServer伺服器上的典型應用(如SQL資料庫、OA伺服器)來說,這些服務佔用的系統主要資源開銷是內存開銷,對處理器的資源開銷要求並小多,通過擴充伺服器內存容量提高系統的可用內存資源,將大大提高伺服器的性能。反過來,由於多處理器系統其本身佔用的系統資源開銷大大高於單處理器的佔用。所以相對來說,增加系統處理器的升級方案,其性價比要比擴充內存容量方案差。因此,要根據網路應用系統實際情況來確定增加伺服器處理器的數目,比如網路應用伺服器要處理大量的並發訪問、復雜的演算法、大量的數學模型等。3.伺服器群的綜合配置與均衡我們所謂的PC伺服器、UNIX伺服器、小型機伺服器,其概念主要限於物理伺服器(硬體)范疇。在網路資源存儲、應用系統集成中。通常將伺服器硬體上安裝各類應用系統的伺服器系統冠以相應的應用系統的名字,如資料庫伺服器、Web伺服器、E-mail伺服器等,其概念屬於邏輯伺服器(軟體)范疇。根據網路規模、用戶數量和應用密度的需要,有時一台伺服器硬體專門運行一種服務,有時一台伺服器硬體需安裝兩種以上的服務程序,有時兩台以上的伺服器需安裝和運行同一種服務系統。也就是說,伺服器與其在網路中的職能並不是一一對麻的。網路規模小到只用l至2台伺服器的區域網,大到可達十幾台至數十台的企業網和校園網,如何根據應用需求、費用承受能力、伺服器性能和不同服務程序之間對硬體佔用特點、合理搭配和規劃伺服器配製,最大限度地提高效率和性能的基礎上降低成本,是系統集成方要考慮的問題。有關伺服器應用配置與均衡的建議如下。1)中小型網路伺服器應用配置2)中型網路伺服器應用配置3)大中型網路或ISP/ICP的伺服器群配置2.5網路安全設計網路安全體系設計的重點在於根據安全設計的基本原則,制定出網路各層次的安全策略和措施,然後確定出選用什麼樣的網路安全系統產品。1.網路安全設計原則盡管沒有絕對安全的網路,但是,如果在網路方案設計之初就遵從一些安全原則,那麼網路系統的安全就會有保障。設計時如不全面考慮,消極地將安全和保密措施寄託在網管階段,這種事後「打補丁」的思路是相當危險的。從工程技術角度出發,在設計網路方案時,應該遵守以下原則。1)網路安全前期防範強調對信息系統全面地進行安全保護。大家都知道「木桶的最大容積取決於最短的一塊木板」,此道理對網路安全來說也是有效的。網路信息系統是一個復雜的計算機系統,它本身在物理上、操作上和管理上的種種漏洞構成了系統的安全脆弱性,尤其是多用戶網路系統自身的復雜性、資源共享性,使單純的技術保護防不勝防。攻擊者使用的是「最易滲透性」,自然在系統中最薄弱的地方進行攻擊。因此,充分、全面、完整地對系統的安全漏洞和安全威脅進行分析、評估和檢測(包括模擬攻擊),是設計網路安全系統的必要前提條件。2)網路安全在線保護強調安全防護、監測和應急恢復。要求在網路發生被攻擊、破壞的情況下,必須盡可能快地恢復網路信息系統的服務。減少損失。所以,網路安全系統應該包括3種機制:安全防護機制、安全監測機制、安全恢復機制。安全防護機制是根據具體系統存在的各種安全漏洞和安全威脅採取的相應防護措施,避免非法攻擊的進行:安全監測機制是監測系統的運行,及時發現和制止對系統進行的各種攻擊;安全恢復機制是在安全防護機制失效的情況下,進行應急處理和及時地恢復信息,減少攻擊的破壞程度。3)網路安全有效性與實用性網路安全應以不能影響系統的正常運行和合法用戶方的操作活動為前提。網路中的信息安全和信息應用是一對矛盾。一方面,為健全和彌補系統缺陷的漏洞,會採取多種技術手段和管理措施:另一方面,勢必給系統的運行和用戶方的使用造成負擔和麻煩,「越安全就意味著使用越不方便」。尤其在網路環境下,實時性要求很高的業務不能容忍安全連接和安全處理造成的時延。網路安全採用分布式監控、集中式管理。4)網路安全等級劃分與管理良好的網路安全系統必然是分為不同級別的,包括對信息保密程度分級(絕密、機密、秘密、普密),對用戶操作許可權分級(面向個人及面向群組),對網路安全程度分級(安全子網和安全區域),對系統結構層分級(應用層、網路層、鏈路層等)的安全策略。針對不同級別的安全對象,提供全面的、可選的安全演算法和安全體制,以滿足網路中不同層次的各種實際需求。網路總體設計時要考慮安全系統的設計。避免因考慮不周,出了問題之後「拆東牆補西牆」的做法。避免造成經濟上的巨大損失,避免對國家、集體和個人造成無法挽回的損失。由於安全與保密問題是一個相當復雜的問題。因此必須注重網路安全管理。要安全策略到設備、安全責任到人、安全機制貫穿整個網路系統,這樣才能保證網路的安全性。5)網路安全經濟實用網路系統的設計是受經費限制的。因此在考慮安全問題解決方案時必須考慮性能價格的平衡,而且不同的網路系統所要求的安全側重點各不相同。一般園區網路要具有身份認證、網路行為審計、網路容錯、防黑客、防病毒等功能。網路安全產品實用、好用、夠用即可。2.網路信息安全設計與實施步驟第一步、確定面臨的各種攻擊和風險。第二步、確定安全策略。安全策略是網路安全系統設計的目標和原則,是對應用系統完整的安全解決方案。安全策略的制定要綜合以下幾方面的情況。(1)系統整體安全性,由應用環境和用戶方需求決定,包括各個安全機制的子系統的安全目標和性能指標。(2)對原系統的運行造成的負荷和影響(如網路通信時延、數據擴展等)。(3)便於網路管理人員進行控制、管理和配置。(4)可擴展的編程介面,便於更新和升級。(5)用戶方界面的友好性和使用方便性。(6)投資總額和工程時間等。第三步、建立安全模型。模型的建立可以使復雜的問題簡化,更好地解決和安全策略有關的問題。安全模型包括網路安全系統的各個子系統。網路安全系統的設計和實現可以分為安全體制、網路安全連接和網路安全傳輸三部分。(1)安全體制:包括安全演算法庫、安全信息庫和用戶方介面界面。(2)網路安全連接:包括安全協議和網路通信介面模塊。(3)網路安全傳輸:包括網路安全管理系統、網路安全支撐系統和網路安全傳輸系統。第四步、選擇並實現安全服務。(1)物理層的安爭:物理層信息安全主要防止物理通路的損壞、物理通路的竊聽和對物理通路的攻擊(干擾等)。(2)鏈路層的安全:鏈路層的網路安全需要保證通過網路鏈路傳送的數據不被竊聽。主要採用劃分VLAN(區域網)、加密通信(遠程網)等手段。(3)網路層的安全:網路層的安全需要保證網路只給授權的客戶使用授權的服務,保證網路傳輸正確,避免被攔截或監聽。(4)操作系統的安全:操作系統安全要求保證客戶資料、操作系統訪問控制的安令,同時能夠對該操作系統上的應用進行審計。(5)應用平台的安全:應用平台指建立在網路系統之上的應用軟體服務,如資料庫伺服器,電子郵件伺服器,Web伺服器等。由於應用平台的系統非常復雜,通常採用多種技術(如SSL等)來增強應用平台的安全性。(6)應用系統的安全:應用系統是為用戶提供服務,應用系統的安全與系統設計和實現關系密切。應用系統使用應用平台提供的安全服務來保證基本安全,如通信內容安全、通信雙方的認證和審計等手段。第五步、安全產品的選型網路安全產品主要包括防火牆、用戶身份認證、網路防病系統統等。安全產品的選型工作要嚴格按照企業(學校)信息與網路系統安全產品的功能規范要求,利用綜合的技術手段,對產品功能、性能與可用性等方面進行測試,為企業、學校選出符合功能要求的安全產品。一個完整的設計方案,應包括以下基本內容:1.設計總說明對系統工程起動的背景進行簡要的說明:主要包括:(1)技術的普及與應用(2)業主發展的需要(對需求分析書進行概括)2.設計總則在這一部分闡述整個系統設計的總體原則。主要包括:(1)系統設計思想(2)總體目標(3)所遵循的標准3.技術方案設計對所採用的技術進行詳細說明,給出全面的技術方案。主要包括:(1)整體設計概要(2)設計思想與設計原則(3)綜合布線系統設計(4)網路系統設計(5)網路應用系統平台設計(6)伺服器系統安全策略4.預算對整個系統項目進行預算。主要內容包括:列出整個系統的設備、材料用量表及費用;成本分析;以綜合單價法給出整個系統的預算表。5.項目實施管理對整個項目的實施進行管理控制的方法。主要包括:(1)項目實施組織構架及管理(2)獎懲體系(3)施工方案(4)技術措施方案(5)項目進度計劃(5)對業主配合的要求6.供貨計劃、方式主要描述項目的材料、設備到達現場的計劃,供貨方式。
❻ 在系統中,資料庫的分離和復原是如何進行的
18:57 ERP、工業製造設計、數碼技術等先進的IT技術為各行業的發展提供了無限的推動力,一方面企業為IT技術為企業帶來的更強大的競爭優勢感到欣喜不已,另 一方面卻深深地限入信息安全保密的凱帆苦惱,花費大量的人力、資金建立的計算機應用系統,通過應用系統研發的高級研究成果,常常莫名其妙地被競爭對手提前獲 取,從而造成巨大的經濟損失。
在商業活動極度活躍的今天,商業流動極其頻繁,人才的流動同樣也帶來了信息的流動,不可避免的,企業核心事業機密常常被有意、無意的人才流動通過不同的方式、不同的途徑泄露到競爭對手中,從而給企業帶來毀滅性的打擊。
盡管ERP、OA系統的建設一定程度地保護了企業的信息安全,但是作為企業核心機密和核心商業機密還是很容易地被使用者悄悄地竊取,能否提供更有效地手段來保護企業最核心的機密,一直以來都是企業管理者費心勞神的一件大事情。
怎麼樣才能保障大型企業的信息安全?能訊科技提供了基於文件控制加密系統的完整有效的解決方案,能夠將企業的損失減少到最少,同時大大地提高了對企業核心機密控制的可操作性!
總體結構與主要特點:
整個系統的工程配置以系統伺服器為中心,終端分布在各個部門,服務中心和終端之間可用區域網方式連接,終端也可通過Internet連接服務咐鋒器進行認證。服務中心包括系統伺服器和文件伺服器,在較小規模的工程中,文件伺服器可和系統伺服器合為一體,服務中心負責對用戶的身份認證和用戶對文件的操作許可權控制。
l 系統伺服器
系統伺服器處於整個系統的中心位置,也是受保護的文件的存儲中心,用戶對受保護文件做任何操作前(安全文件製作、文件的上傳、文件許可權的設置、文件下載以及對受保護的文件進行訪問),都要通過系統伺服器對用戶的身份進行認證,校驗用戶的數字ID的有效性,避免非法用戶對文件進行非法訪問;文件作者需要發布文件時,必須將文件上傳到系統伺服器上,別的用戶通過系統伺服器進行文件的下載;用戶訪問受保衡孫晌護的文件時,實時從系統伺服器獲取該用戶對文件的訪問許可權,保證用戶擁有的許可權和系統伺服器保持同步。
l 文件伺服器
在較大規模的應用中,系統伺服器可能難以承擔文件的存儲負擔,這時可將文件存儲部分從系統伺服器分離出來,由專門的文件伺服器來處理文件的存儲工作。
l 資料庫伺服器
系統提供了良好的資料庫擴展性,用戶可將資料庫服務從系統伺服器中分離出來,使用已有的資料庫資源,系統提供了MS Access、MS SQLServer、Oracle、Informix資料庫的介面可供用戶選擇。
l 加密設備
系統的加密設備採用信息產業部30所的普密加密卡,所有文件的加密均採用加密卡中的演算法進行加密,由於加密卡是個封閉的系統,從外部無法探知加密卡所採用的加密演算法,最大可能地提供文件加密的可靠性與安全性。
l 密盤
每個終端必須使用密盤才能使用系統提供的所有服務,密盤中保存的是用戶的公有和私有信息以及用戶的數字ID信息,以標識用戶的身份,用戶在使用系統提供的服務前都必須輸入正確的PIN碼,以確定用戶的身份;
l 用戶終端
管理員對系統的管理設置、終端用戶對文件的所有操作都是在用戶終端完成,用戶終端必須安裝加密卡(可選)以及密盤。
主要功能及特點:
(1)安全策略
通過軟體(主要提供安全保密管理功能)和硬體(普密級或商密集加密設備和USB智能密盤)的結合來執行各種安全操作,從而避免了純軟體或硬體加密可能引起數據外泄和功能不完善的缺陷。
所有重要的安全操作,比如文件加密/解密等,都需要加密設備來完成,同時用戶的其他的操作者需要智能密盤的支持,沒有了合法硬體密盤 ,各種安全管理操作均無法正確完成。
同時,每一個硬體密盤 ,都對應一個 PIN 碼,用於驗證用戶的合法性。PIN 碼不對時,該密盤對系統來說就是不合法的。並且,密盤里的重要信息,都是不可復制的信息。
文檔的加密過程包含數字ID授權操作,因此加密過的電子文檔無論以何種方式分發,無許可權的用戶根本無法打開、讀取文件,具有相應許可權的用戶亦只能進行相應許可權的操作。
系統包含用戶數字ID認證機制,用戶所有的操作都需進行數字ID認證。
本產品中所用加密演算法均為國密辦認可的演算法和設備,也可以根據用戶的需要採用其它演算法和設備。
(2)安全機制
系統提供的安全保護,按照保護程度的不同,可分為以下幾種:
1. 桌面保護系統:利用密盤里保存的用戶信息,自動登錄被鎖定的系統。沒有密盤,無法執行任何有效操作。
2. 文件隱藏:保存到虛擬磁碟的文件(明文),當密盤不可用時,文件是不可見的。
3. 文件加密:對文件內容進行加密。密盤保護文件的讀寫操作,沒有 密盤 ,無法打開被加密文件。被加密文件,在解密前的任何文件操作,都不會改變已加密的狀態;
4. 授權訪問:每個文件都包含授權信息,文件的讀、寫許可權可以被指定授權,沒有相應許可權的用戶是無法進行相應操作的。
5. 文檔保護:不具有寫許可權的用戶,打開文檔只能讀,無法修改及另存。
(3)安全目標
系 統通過提供多重安全機制,保護相關數據,杜絕各種數據外泄的可能,防止非法用戶使用終端,盜竊數據及文件,保護終端安全。系統在對文件進行保護的同時,可 以根據用戶的許可權、不同程度的開放給接收文件者。可以做到有的用戶只擁有讀取的許可權,同時,另外的用戶擁有讀取、修改、列印等多種許可權開放。當然具體的權 限設計完全依賴於管理者或文件擁有者的設置。這樣系統既達到了防止文件泄密的功能,還達到了知識積累和文件的共享。管理者從使用者下載為起點,控制使用者 的讀取、存儲、復制、輸出的許可權。從而防止使用者之間非法復制、外部發行、光碟拷貝。
(4)功能特色
1) 智能USB 密盤
1. 硬體實現 MD5-HMAC 沖擊/響應認證
2. 支持 Microsoft CAPI 應用
3. 符合 CE 和 FCC 標准
4. 64 比特唯一序列號
5. 標准 USB 介面
6. 程序可控 LED
7. 支持通過 ActiveX Control 和 Java Applet 的瀏覽器訪問
8. 三級文件訪問和管理許可權
9. 兩級目錄結構
10. 受損不可復原硬塑料外殼
11. 多種顏色選擇,可以粘貼第三方標志
12. 安全性高 硬體實現MD5哈希演算法確保個人數字ID安全的保存在密盤中,不會受到黑客,病毒的攻擊和其它的威脅
13. 攜帶方便,密盤支持熱插拔:只需從 USB 埠上拔下,就可將敏感的個人數字ID帶在身上
14. 雙因子認證 在使用密盤時要求用戶輸入密碼,安全性更高
2) 軟體特色
1. 系統開機密碼的實物化:用戶的當前登錄信息保存在 USB 介面的密盤 內,隨身攜帶,輕松熱插拔;
2. 密盤 內的信息不可讀出,從設計上就避免了個人信息外泄的可能;
3. 密盤內有用戶數字ID,可對用戶身份進行認證,電子文檔加解密由加密卡完成。
4. 系統對密盤的認證:當設定系統對密盤的綁定後,即使該用戶的登錄信息泄漏,沒有密盤,仍然無法進入系統;
5. 密盤對用戶的認證:每支密盤都要設定一個個人識別碼 Pin 。只有輸入正確的Pin ,才能使用密盤;
6. 文件和目錄監視功能:被監視的文件和目錄,沒有密盤時不能被復制,粘貼,剪切,重命名和刪除。限於 Windows 2000/Xp 系統;
7. 電子文檔保護功能:加密後的電子文檔可設置訪問許可權,無相應訪問許可權的用戶無法打開文件。
8. 密盤和 PIN 的雙重保護:打開被保護的文件時,需要插入密盤及輸入 PIN 碼進行身份認證。
9. 虛擬磁碟功能:將私有數據放入虛擬磁碟中,沒有密盤,別人根本看不到這些文件。限於 Windows 2000/Xp 系統;
10. 智能登錄:拔下密盤系統可自動鎖定,插入密盤自動登錄;
11. 密盤備份工具:提供一種解決 密盤 損壞或丟失的解決方案;
12. 自動更新:啟動時自動檢查並根據需要下載安裝網路上的最新版本。
(5)功能描述
伺服器端是一台文檔管理伺服器(主要提供加解密功能和數字ID認證功能),一個 USB 介面的智能卡,軟體從模塊上看包括密盤設置、安全磁碟管理、密盤備份、安全文檔四部分。
Ø 密盤設置:可啟用/禁用安全桌面系統,替換/恢復 Windows 默認的登錄功能,實現自動登錄,或者輸入 PIN 碼後登錄;
Ø 安全磁碟管理:增加/刪除/設置虛擬磁碟,提供一種操作更友好但更安全的文件管理方式。所有放在虛擬磁碟中的文件和目錄,當不插入密盤 時都是隱藏的。並且,虛擬磁碟可以被設置成只讀模式,不允許他人編輯和修改;
Ø 密盤備份:將密盤信息備份到加密過的磁碟文件中,當密盤損毀或丟失時可利用該文件重新生成密盤中的數據;
Ø 安全文檔保密系統:由客戶端軟體, Viewer 和伺服器構成,伺服器內集成加密卡或加密機。Viewer由用戶通過網路下載到本地計算機。在網路中的用戶需要安裝Viewer客戶端軟體,並且至少有一 台伺服器提供ID認證服務,系統可以根據規模大小,考慮群集伺服器。在系統中,用戶信息和文件許可權信息存儲在資料庫中,預設支持SQL2000資料庫。
Ø 數字ID 伺服器:提供ID認證並發放用戶數字ID,採用經過國密辦認證的加密演算法,簽發數字ID,與標準的瀏覽器、WEB伺服器實現互通;並可根據實際業務系統的需求進行數字ID屬性的擴展,以適應不同業務系統的需求。
結論:
通過文件控制系統,可以通過從信息的源頭進行管理,很好地保護信息的完整性和唯一性,為企業提供一套完整的可監控的可管理的、可使用的、可保密的信息安全防護罩,保護企業的核心利益。
❼ 親、你好,怎麼破解那個軟體、找到加密方法。
確認你的打開方式是否正確,如果確實是加密叢做基的話就要找解密高手幫你破解了,或者讓加密的人幫你解除加密,加密軟體都是按照滲謹國家規定的固定加密演算法編寫而成的,分為對稱演算法和非對稱算胡掘法,其中對稱演算法分商密演算法和普密演算法兩種版本,不清楚到底是哪種演算法加密的話估計只有大神能幫到你了
❽ 門禁系統cpu卡是國密還是普密
IC卡門禁系統是一個安全、可靠的電子門鎖系統。使用該系統,可以方便地管理和控制應用場所的人員進出情況,驗明出入人員的身份和出入許可權。
IC 卡門禁系統工作原理:
感應式技術,或稱作無線頻率辨識(RFID)技術,是一種在卡片與讀卡裝置之間無需直接接觸的情況下就可讀取卡上信息的方法。
IC卡門禁的加密:
射頻IC卡與讀卡機之間是非機械接觸的,所以射頻IC卡特別適用於大流量通過的門禁系統。射頻IC卡與讀卡機之間採用無線電通信技術進行通信,而無線電波在空間上是開放的,很容易被外部截獲,因此普通不含CPU的邏輯加密射頻IC卡抵抗不了最簡單的密碼攻擊,通信內容很容易被竊取、篡改和假冒復制等,其安全性甚至不如普通邏輯加密的接觸式IC卡。
IC卡門禁的DES 演算法加密技術:
DES演算法使用時沒有任何專利和許可證方面的限制。DES演算法加密和解密可用同一個程序,只要在迭代末尾加個小變化,因此編程方便簡單。加強了正確性執行。如果鑒別與被鑒別雙方有一個沒有正確執行該協議,協議都將終止工作。每一次發送的數據均有隨機數編入,當發送相同數據時,每次所傳送的密文不會重復。抵抗重放攻擊有很好的效果。選一個好的偽隨機數生成演算法,能進一步提高安全性。