破坏性等特点。因此,提高对病毒的防范刻不容缓。
5.黑客:
对于计算机数据安全构成威胁的另一个方面是来自电脑黑客(backer)。电脑黑客利用系统中的安全漏洞非法进入他人计算机系统,其危害性非常大。从某种意义上讲,黑客对信息安全的危害甚至比一般的电脑病毒更为严重。
2.1.2网络安全防范措施
1.防火墙(Fire Wall)技术
防火墙技术是指网络之间通过预定义的安全策略,对内外网通信强制实施访问控制的安全应用措施。它对两个或多个网络之间传输的数据包按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。由于它简单实用且透明度高,可以在不修改原有网络应用系统的情况下,达到一定的安全要求,所以被广泛使用。据预测近5年世界防火墙需求的年增长率将达到174%。
2.数据加密技术
数据加密技术就是对信息进行重新编码,从而隐藏信息内容,使非法用户无法获取信息、的真实内容的一种技术手段。数据加密技术是为提高信息系统及数据的安全性和保密性,防止秘密数据被外部破析所采用的主要手段之一。 数据加密技术按作用不同可分为数据存储、数据传输、数据完整性的鉴别以及密匙管理技术4种。数据存储加密技术是以防止在存储环节上的数据失密为目的,可分为密文存储和存取控制两种;数据传输加密技术的目的是对传输中的数据流加密,常用的有线路加密和端口加密两种方法;数据完整性鉴别技术的目的是对介入信息的传送、存取、处理人的身份和相关数据内容进行验证,达到保密的要求,系统通过对比验证对象输入的特征值是否符合预先设定的参数,实现对数据的安全保护。数据加密在许多场合集中表现为密匙的应用,密匙管理技术事实上是为了数据使用方便。密匙的管理技术包括密匙的产生、分配保存、更换与销毁等各环节上的保密措施。
数据加密技术主要是通过对网络数据的加密来保障网络的安全可靠性,能够有效地防止机密信息的泄漏。另外,它也广泛地被应用于信息鉴别、数字签名等技术中,用来防止电子欺骗,这对信息处理系统的安全起到极其重要的作用。
3.系统容灾技术
一个完整的网络安全体系,只有防范和检测措施是不够的,还必须具有灾难容忍和系统恢复能力。因为任何一种网络安全设施都不可能做到万无一失, 一旦发生漏防漏检事件, 其后果将是灾难性的。此外,天灾人祸、不可抗力等所导致的事故也会对信息系统造成毁灭性的破坏。这就要求即使发生系统灾难,也能快速地恢复系统和数据,才能完整地保护网络信息系统的安全。现阶段主要有基于数据备份和基于系统容错的系统容灾技术。数据备份是数据保护的最后屏障,不允许有任何闪失。但离线介质不能保证安全。数据容灾通过IP容灾技术来保证数据的安全。数据容灾使用两个存储器,在两者之间建立复制关系,一个放在本地,另一个放在异地。本地存储器供本地备份系统使用,异地容灾备份存储器实时复制本地备份存储器的关键数据。二者通过IP相连,构成完整的数据容灾系统,也能提供数据库容灾功能。
集群技术是一种系统级的系统容错技术,通过对系统的整体冗余和容错来解
决系统任何部件失效而引起的系统死机和不可用问题。集群系统可以采用双机热备份、本地集群网络和异地集群网络等多种形式实现,分别提供不同的系统可用性和容灾性。其中异地集群网络的容灾性是最好的。存储、备份和容灾技术的充分结合,构成的数据存储系统,是数据技术发展的重要阶段。随着存储网络化时代的发展,传统的功能单一的存储器,将越来越让位于一体化的多功能网络存储器。 4.漏洞扫描技术
漏洞扫描是自动检测远端或本地主机安全的技术,它查询TCP/IP各种服务的端口,并记录目标主机的响应,收集关于某些特定项目的有用信息
2.2网络管理
2.2.1网络管理的内容
根据OSI管理模型,国际标准化组织在ISO/IEC7498-4中定义了网络管理的五大功能。这五大管理功能分别是故障管理、计费管理、配置管理、性能管理和安全管理。
故障管理是网络管理的最基本功能,指系统出现异常情况下的管理操作。计算机网络服务发生意外中断是常见的,这种意外中断在某些重要时可能会对系统带来很大的影响。异常情况通常由网络中设备损坏或环境的影响所引起。一旦故障出现,可以根据网络管理数据库中的信息确定其原因和位置,然后采取措施进行修复,保障网络正常运行。
计费管理负责记录系统资源的使用情况并统计相应的使用费。通过计费系统,对于需核算网络费用的单位,可以统计实际费用的发生情况;而对于免费使用网络资源的单位,也可以限制用户对网络资源的过度使用。通过计费系统对网络使用情况的统计分析,可以评价网络的性能及使用效率,作为网络改造的依据。计费管理系统记录网络运行情况和用户使用资源的信息,网络管理中心据此计算用户应付的费用。为了保证计费功能的实现,网络管理中心必须具有用户管理的能力,包括用户费用限制、增加、删除用户和修改用户参数等。
配置管理就是设定、收集、监测和管理网络设备配置数据,使得网络性能达到最优。配置管理的数据包括网络设备的容量和属性,以及它们之间的关系。配置管理的内容包括设置系统参数、初始化和关闭系统资源、根据请求向用户开放系统的特定资源等。此外,随着网络系统中用户、设备,以及应用的变化,对相关参数进行动态调整。
性能管理主要是通过收集和统计网络运行数据,对网络资源的运行状况和通信效率等进行评价。网络性能的好坏是网络中各种因子综合影响的结果。对网络性能的评价结果是进行网络配置调整的基本依据。
2.2.2网络管理的手段
根据选用的设备,采用锐捷的管理方案,方案的特点和价值。 业界率先全面支持万兆、IPv6
锐捷网络NPE、ACE、防火墙、IDS等出口设备全面支持万兆和IPv6,既满足了性能要求,又预留扩展性,而且可以兼容任何厂家的交换机设备,有效的保护用户投资。
基于用户的流量控制
ACE支持带宽嵌套功能,能为每个用户定制带宽策略,保障校园网每个用户在全速下载P2P、迅雷时仍能高速上网。ACE与SAM结合,还可以真正实现基于用户的流控,流控策略对应到用户身份。 门户网站保护
WebGuard用以保护门户网站,防网页篡改。同时防止网站挂马,避免高校网站成为木马病毒传播源。WebGuard利用高性能多核架构,提供并行处理,支持在校园网出口部署,一站式保护各院系网站。并能实现“零配置”运行,简化部署。
灵活的计费策略
流控与认证相结合,构建出灵活的计费策略。包括按流量计费、包年(月)限带宽。在计费的同时,为用户提供不同的服务,提高用户体验。
2.4电源系统
本工程供电系统采用三相五线制,采用镀锌线槽下走线方式,由甲方从大楼总配电室引一路BV4*75+1*35电缆接入市电配电柜。配电柜在进线空气开关后端分别安装德国OBO/V25/V20防雷器与消防联动控制开关,防雷器保护电器不受雷电和开关误操作引起的瞬态过压损坏。将电源防雷器安装在配电柜中总开关前端,这样既节省空间,又起到了美观、易维护的作用,防雷器中的地线就近接到大楼的防雷地上。
各个设备机柜均内采用独立回路供电并有备用回路。配电柜中开关均采用梅兰日兰开关,这种开关性能优良,可以保证整个供电系统安全、有效的运行。机房内主要计算机设备采用单独回路供电,以保证主要设备在供电时相互不受干扰。UPS电源系统采用两主一备方式供电。
配电柜设电源开关回路,并留有备用开关,为机房以后扩容的备用回路。其中市电主要负载机房空调、市电用电、UPS、排气扇、空调,市电维修插座等电源,UPS主要负载机房网络机柜、服务器机柜、应急照明等电源。 配电柜内开关使用梅兰日兰C65N系列开关;
配电柜中设立电流表、电压表,供检查电源电压、电流及三相间平衡的关系。 配电柜三相电分别设立电源指标灯,以监控三相电的供电情况,颜色区分按相应标准,并设立标志牌;
配电柜设立工作地线和保护地线端子排,并加标识牌。
配电柜绝缘性能,符合国家标准GBJ232-82《电气设备交接试验标准篇》; 配电柜内的各种电器元件均有相应的标识,以便识别,其编号与设计图纸一致,在每个配电柜的后侧粘贴本柜配置的电气系统图,以便运行使用中的维护与管理。
机房内设有UPS电源三孔插座,并安装部分二三孔市电插座。 UPS电源插座采用蓝色边框面板及地弹插座。普通插座选用合资“松本”牌,底盒选用86镀锌底盒。
三、服务器的配置
3.1WWW服务器
Linux操作系统+Apache
3.2FTP服务器
Linux操作系统+VSFTPD
3.3mail服务器
Linux操作系统+sendmail
3.4存储技术
根据用户对可靠性的要求,存储技术打算采用RAID5。
RAID5的技术简介:采用RAID5至少使用3块硬盘(也可以更多)。当有数据写入硬盘的时候,按照1块硬盘的方式就是直接写入这块硬盘的磁道,如果是RAID5的话这次数据写入会分根据算法分成3部分,然后写入这3块硬盘,写入的同时还会在这3块硬盘上写入校验信息,当读取写入的数据的时候会分别从3块硬盘上读取数据内容,再通过检验信息进行校验。当其中有1块硬盘出现损坏的时候,就从另外2块硬盘上存储的数据可以计算出第3块硬盘的数据内容。
优点:RAID5是一种存储性能、数据安全和存储成本兼顾的存储解决方案,可以为系统提供数据安全保障, RAID 5具有和RAID 0相近似的数据读取速度,只是多了一个奇偶校验信息,写入数据的速度比对单个磁盘进行写入操作稍慢。同时由于多个数据对应一个奇偶校验信息,RAID 5的磁盘空间利用率要比RAID 1高,存储成本相对较低。
缺点:只允许有一块硬盘出现故障,出现故障时需要尽快更换。当更换故障硬盘后,在故障期间写入的数据会进行重新校验。 如果在未解决故障又坏1块,那就是灾难性的了。
四、网络设备的选型
4.1核心层设备选型
产品型号 产品类型 传输方式 传输速率(Mbps) 背板带宽 (Gbps) 地址表大小 产品亮点 外形尺寸 华为S5700-24TP-SI(AC)主要参数 S5700-24TP-SI(AC) 企业级交换机 存储转发方式 10Mbps/100Mbps/1000Mbps 256 16K 支持USB口 442×420×43.6MM 支持堆叠,支持MFF,支持虚拟电缆检测(Virtual Cable Test),支持端口镜像和RSPAN(远程端口镜像),支持Telnet远程配置、维护,支持SNMPv1/v2/v3,支持网管支持 RMON,支持网管系统、支持WEB网管特性,支持集群管理HGMP,支持系统日志、分级告警,支持GVRP协议,支持MUX VLAN功能 电压 100-240V AC,50/60Hz 端口参数 端口数 端口类型 24 非模块化 模块插槽数 1 其它参数 工作稳定 0-50℃ 工作湿度 10%-90%(无凝露) 堆叠支持 支持