北京航空航天大学毕业设计(论文) 第 20 页
图3-10 输入FTP站点的IP地址
单击“下一步”后,则出现建立了FTP站点的IIS主界面,如图3-11所示。
北京航空航天大学毕业设计(论文) 第 21 页
图3-11 建立了FTP站点的IIS主界面
通过以上操作步骤后,则邳州人民医院的Web站点和FTP站点则建立完成了,只要将医院的网页和文件分别拷入到e:\\web和e:\\ftp目录下即可实现相应的web和ftp服务了。
网络安全设计
由于计算机网络系统的迅猛发展,网络安全已经成为网络发展中的一个重要课题。国际标准化组织(ISO)对计算机系统安全的定义是:为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。由此可以将计算机网络的安全理解为:通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性和保密性。所以,建立网络安全保护措施的目的是确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄露等。网络安全包括五个基本要素:机密性、完整性、可用性、可控性、与可审查性。
(1) 机密性:确保信息不暴露给未授权的实体进程;
(2) 完整性:只有得到允许的人才能修改数据,并且能够判别出数据是否已被篡改。
(3) 可用性:得不到授权的实体在需要时可访问数据,攻击者不能占用的资源而阻碍授权者的工作; (4) 可控性:可以控制授权范围内的信息流向及行为方式; (5) 可审查性:对出现的网络安全问题提供调查的依据和手段。
由于计算机系统本身就存在着种种安全性问题,互联网的安全问题就更为复杂,网络的安全威胁主要包括在以下几个方面。 非授权访问
非授权访问:没有预先经过同意,就使用网络或计算机资源则被看作非授权访问,如有意避开系统访问控制机制,对网络设备资源进行非正常使用,或擅自扩大权限,越权访问信息。它主要有以下几种形式:假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作。
信息泄漏或丢失
信息泄漏或丢失:指敏感数据在有意或无意中被除数泄漏出去或丢失,它通常包括:信息在传输中丢失或泄漏、信息在存储介质中丢失 或泄漏以及通过建立隐蔽隧道等窃取敏感信息等。如黑客利用电磁泄漏或搭线窃听等方式可截获机密信息,或通过对信息流向、流量、通信频度和长度等参数的分析,推测出有用信息,如用户口令、账号等重要信息。 破坏数据完整性
破坏数据完整性:以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息,以取得有益于攻击者的响应:恶意添加,修改数据,以干扰用户的正常使用。 拒绝服务攻击
拒绝服务攻击:它不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪,影响正常用户的使用,甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。 利用网络传播病毒
利用网络传播病毒:通过网络传播计算机病毒,其破坏性大大高于单机系统,而且用户很难防范。 混合威胁攻击
混合威胁是新型的安全攻击,主要表现为一种病毒与黑客程序想结合的新型蠕虫病毒,可以借助多种用途和路径潜入企业、政府、银行、军队等的网络。混合威胁的出现说明病毒编写者正在利用大
北京航空航天大学毕业设计(论文) 第 22 页
量的系统漏洞将病毒传播的速度最大化。 网络安全设计原则
虽然说越安全的网络,信息的传输效率越差,也没有绝对安全的网络。但是如果在网络设计之初就能遵守些合理的原则,那么这样设计好的网络的安全和信息的保密就会有所保障。从网络工程的技术出发,我们应该遵从以下原则: 网络安全系统的整体性原则
强调安全防护、监测和应急恢复。要求在网络系统发生被攻击的情况下,必须尽可能快地恢复网络信息中心的服务,减少损失。所以网络安全系统应该包括三种机制:安全防护机制、安全监测、安全恢复机制。安全防护机制是根据具体系统存在的各种安全漏洞和安全威胁采取的相应防护措施,避免非法攻击的进行;安全监测机制系统的运行情况,及时发现和制止系统进行的各种攻击;安全恢复机制是在安全防护机制失效的情况下,进行应急处理和尽量及时地恢复信息,减少攻击的破坏程度。
网络安全系统的有效性与实用性原则
网络安全应以不能影响系统的正常运行和合法用户的操作活动为前提。网络中的信息安全和信息利用是一对矛盾:一方面,为健全和弥补系统缺陷的漏洞,会采取多种技术手段和管理措施;另一方面,势必给系统的运行和用户的使用造成负担和麻烦,“越安全请注意味着使用越不方便”。尤其在网络环境下,实时性要求很高的业务不能允许安全连接和安全处理造成的时延和数据扩张。如何在确保安全性的基础上,把安全处理的运算减小或分摊,减少用户的记忆、存储工作和安全服务器的存储量、计算量,是一个待解决的问题。 等级性原则
良好的网络安全系统必然是分为不同级别的包括对信息保密程度分级(绝密、机密、秘密、普密);对用户操作权分级(面向个人及面向群组),对网络安全程度分级(安全子网和安全区域),对系统实现结构的分级(应用层、网络层、链路层等),从而针对不同级别的安全对象,提供全天候算法和安全体制,以满足网络中不同层次的各种实际需求。 网络安全有价原则
网络系统的设计是受经费限制的。因此在考虑安全问题解决方案时必须考虑性能价格的平衡,而且不同的网络系统所要求的安全侧重点各不相同。例如国家政府首脑机关、国际部门计算机网络安全侧重存取控制强度。金融部门侧重于身份论证、审计、网络容错等功能。交通、民航侧重于网络容错等。国此必须有的放矢,具体问题全体分析,把有限的经费用在关键领域。 网络信息安全设计与实施步骤 1、确定面临的各种攻击和风险
网络安全系统的设计和实现必须根据具体系统和环境,考察、分析、评估、检测(包括模拟攻击)和确定系统存在的安全漏洞和安全威胁。 2、明确安全策略
安全策略是网络安全系统设计的目标和原则,是对应用系统完整的安全解决方案。安全策略要综合以下几方面优化确定: (1) 系统整体安全性,由应用环境和用户需求决定,包括各个安全机制的子系统的安全目标和性能指标;
(2) 对原系统的运行造成的负荷和影响(如网络通信时延、数据扩展等); (3) 便于网络管理人员进行控制、管理和配置; (4) 可扩展的编程接口,便于更新和升级;
北京航空航天大学毕业设计(论文) 第 23 页
(5) 用户界面的友好性和使用方便性; (6) 投资总额和工程时间等
通过以上分析,结合医院实际情况,邳州人民医院采用以下安全模式:
首先在网络边界采用硬件防火墙技术,由于路由器选择的是Cisco Catalyst 3825 ,具有一定的安全隔离功能,为了提高系统的安全性,也可以在网络边界再使用一台计算机作为代理服务器,并在代理服务器上安装高速的双网卡,并在该计算机上安装微软公司的ISA SERVER2004防火墙作为医院的软件防火墙,同时可以在此计算机上容易实现代理等功能。
物理网络设计
建筑物综合布线是建筑物和信息技术相结合的产物,是计算机网络工作的基础。建筑物综合布线系统的英文名字为Premises Distributtion System,因此也被称为PDS系统。它不仅使建筑物内语音和数据通信设备、交换设备和其它信息管理系统彼此相通,而且是连接这些设备与建筑物外部的通信网络。
在信息时代的今天,建筑物的布线不再是一项基本的公共设施,它不仅能够提供电讯服务,而且已成为整个通讯网络的一部分, 为昂贵的高科技系统传播各种系统信号,具有更宽的频带和更高的速率,满足日益增长的对资讯共享的需求。
由于传统的布线系统对不同应用系统采用不同的布线,由不同的人员负责实施和维护,其灵活性及扩充性不够。传统布线的不足主要表现在:不同应用系统(电话、计算机系统、局域网、楼宇自控系统等)的布线各自独立,不同的设备采用不同的传输线缆构成各自的网络。同时,连接线缆的插座、模块及配线架的结构和生产标准不同,相互之间达不到共用的目的,加上施工时期不同,致使形成的布线系统存在极大差异,难以互换通用。因此无法满足智能化的要求等。 结构化布线系统的优点
结构化综合布线同传统的布线系统相比,有着许多的优越性,是传统布线无法比拟的。其特点主要表现在它具有兼容性、开放性、灵活性、可靠性、先进性和经济性,而且在设计、施工和维护发面也给人们带来了许多方面。 1、兼容性
综合布线的首要特点就是它的兼容性。所谓的兼容性是指它自身是完全独立的而与应用系统相对无关,可以使用多种应用系统。 系统组成说明
综合布线系统由建筑群干线系统、设备间系统、水平系统、垂直竖井系统、工作区等系统组成。 1、工作区布线子系统
由终端设备到信息插座的连线(或软线)组成,它包括:连接器、连接跳线、信息插座;信息插座有墙上型、地上(防水)型、桌上型等多种。对工作区子系统的连线分配,使用ISO/IEC 11801标准或 EIA/TIA 568标准,工作区布线子系统如图4-1所示。
北京航空航天大学毕业设计(论文) 第 24 页
图4-1工作区布线子系统图
工作区子系统信息插座安装位置确定,信息插座安装位置如图4-2所示。
图4-2 信息插座安装位置 2、水平步线子系统
水平布线子系统将电缆从楼层配线架连接到各用户工作区的信息插座上,通常处于同一楼层之上,可以采用3类、5类或超五类4对屏蔽/非屏蔽双绞线;3类、5类及超五类双绞线都是由4对24-AWG的对绞铜线组成;3类线在10MBPS应用时无误码传输距离为100米、16MBPS时为50米;5类线在155MBPS时可传输80米、在100MBPS时为100米;超五类在155Mhz时传输距离可以达到100米。速率更高时可采用光纤。水平布线子系统如图4-3所示。
图4-3水平布线子系统 3、垂直干线子系统;
指各搂层配线架与主配线架间的干缆:可以为大对数双绞线、光缆也可以二者混用;其主要功能是将主配线架系统和各楼层配 线架连接起来。 4、设备间子系统(EQUIPMENT SUBSYSTEM);