公司網(wǎng)絡(luò)安全設(shè)計(jì)方案.

1、天津電子信息職業(yè)技術(shù)學(xué)院暨國家示范性軟件職業(yè)技術(shù)學(xué)院實(shí) 訓(xùn) 報(bào) 告實(shí)訓(xùn)題目： 網(wǎng)絡(luò)安全管理 華城公司網(wǎng)絡(luò)安全管理方案 姓 名： 系 別： 專 業(yè)： 班 級： 指導(dǎo)教師： 實(shí)訓(xùn)時(shí)間：2012年 6 月 4 日 至 2012年 6 月 15 日目錄第一章 需求分析1.1 公司目標(biāo)的需求1.2 公司網(wǎng)絡(luò)安全需求1.3 需求分析第二章 網(wǎng)絡(luò)安全的設(shè)計(jì) 2.1 網(wǎng)絡(luò)設(shè)計(jì)主要功能 2.2 網(wǎng)絡(luò)設(shè)計(jì)原則 2.3 網(wǎng)絡(luò)的設(shè)計(jì) 2.3.1 物理設(shè)備安全的設(shè)計(jì) 2.3.2 內(nèi)部網(wǎng)的設(shè)計(jì) 2.3.3 通信保密 2.3.4 病毒防護(hù) 2.3.5 應(yīng)用安全 2.3.6 配置防火墻 2.3.7 網(wǎng)絡(luò)結(jié)構(gòu)第三章 系統(tǒng)安全架

2、構(gòu) 3.1 系統(tǒng)設(shè)計(jì) 3.2 系統(tǒng)組建第四章 數(shù)據(jù)安全設(shè)計(jì) 4.1 數(shù)據(jù)層的架構(gòu) 4.2 數(shù)據(jù)安全測試第五章 安全設(shè)備選型 5.1 設(shè)備選型 5.2 明細(xì)表總結(jié)致謝參考文獻(xiàn)第一章 需求分析1.1 公司目標(biāo)的需求 華城網(wǎng)絡(luò)有限公司是一家有100名員工的中小型網(wǎng)絡(luò)公司，主要以手機(jī)應(yīng)用開發(fā)為主營項(xiàng)目的軟件企業(yè)。公司有一個(gè)局域網(wǎng)，約100臺計(jì)算機(jī)，服務(wù)器的操作系統(tǒng)是 Windows Server 2003,客戶機(jī)的操作系統(tǒng)是 Windows XP，在工作組的模式下一人一機(jī)辦公。公司對網(wǎng)絡(luò)的依賴性很強(qiáng)，主要業(yè)務(wù)都要涉及互聯(lián)網(wǎng)以及內(nèi)部網(wǎng)絡(luò)。隨著公司的發(fā)展現(xiàn)有的網(wǎng)絡(luò)安全已經(jīng)不能滿足公司的需要，因此構(gòu)建健全的

3、網(wǎng)絡(luò)安全體系是當(dāng)前的重中之重。1.2 公司網(wǎng)絡(luò)安全需求 華城網(wǎng)絡(luò)有限公司根據(jù)業(yè)務(wù)發(fā)展需求，建設(shè)一個(gè)小型的企業(yè)網(wǎng)，有Web、Mail等服務(wù)器和辦公區(qū)客戶機(jī)。企業(yè)分為財(cái)務(wù)部門和業(yè)務(wù)部門，需要他們之間相互隔離。同時(shí)由于考慮到Inteneter的安全性，以及網(wǎng)絡(luò)安全等一些因素，如DDoS、ARP等。因此本企業(yè)的網(wǎng)絡(luò)安全構(gòu)架要求如下：（1）根據(jù)公司現(xiàn)有的網(wǎng)絡(luò)設(shè)備組網(wǎng)規(guī)劃（2）保護(hù)網(wǎng)絡(luò)系統(tǒng)的可用性（3）保護(hù)網(wǎng)絡(luò)系統(tǒng)服務(wù)的連續(xù)性（4）防范網(wǎng)絡(luò)資源的非法訪問及非授權(quán)訪問（5）防范入侵者的惡意攻擊與破壞（6）保護(hù)企業(yè)信息通過網(wǎng)上傳輸過程中的機(jī)密性、完整性（7）防范病毒的侵害（8）實(shí)現(xiàn)網(wǎng)絡(luò)的安全管理。1.3 需求

4、分析 通過了解華城網(wǎng)絡(luò)公司的需求與現(xiàn)狀，為實(shí)現(xiàn)華城網(wǎng)絡(luò)公司的網(wǎng)絡(luò)安全建設(shè)實(shí)施網(wǎng)絡(luò)系統(tǒng)改造，提高企業(yè)網(wǎng)絡(luò)系統(tǒng)運(yùn)行的穩(wěn)定性，保證企業(yè)各種設(shè)計(jì)信息的安全性，避免圖紙、文檔的丟失和外泄。通過軟件或安全手段對客戶端的計(jì)算機(jī)加以保護(hù)，記錄用戶對客戶端計(jì)算機(jī)中關(guān)鍵目錄和文件的操作，使企業(yè)有手段對用戶在客戶端計(jì)算機(jī)的使用情況進(jìn)行追蹤，防范外來計(jì)算機(jī)的侵入而造成破壞。通過網(wǎng)絡(luò)的改造，使管理者更加便于對網(wǎng)絡(luò)中的服務(wù)器、客戶端、登陸用戶的權(quán)限以及應(yīng)用軟件的安裝進(jìn)行全面的監(jiān)控和管理。因此需要第二章 網(wǎng)絡(luò)安全的設(shè)計(jì)2.1 網(wǎng)絡(luò)設(shè)計(jì)主要功能 （1）資源共享功能。網(wǎng)絡(luò)內(nèi)的各個(gè)桌面用戶可共享數(shù)據(jù)庫、共享打印機(jī)，實(shí)現(xiàn)辦公自動(dòng)化

5、系統(tǒng)中的各項(xiàng)功能。（2）通信服務(wù)功能。最終用戶通過廣域網(wǎng)連接可以收發(fā)電子郵件、實(shí)現(xiàn)Web應(yīng)用、接入互聯(lián)網(wǎng)、進(jìn)行安全的廣域網(wǎng)訪問。（3）多媒體功能。支持多媒體組播，具有卓越的服務(wù)質(zhì)量保證功能。遠(yuǎn)程VPN撥入訪問功能。系統(tǒng)支持遠(yuǎn)程PPTP接入，外地員工可利用INTERNET訪問。2.2 網(wǎng)絡(luò)設(shè)計(jì)原則 （1）實(shí)用性和經(jīng)濟(jì)性。系統(tǒng)建設(shè)應(yīng)始終貫徹面向應(yīng)用，注重實(shí)效的方針，堅(jiān)持實(shí)用、經(jīng)濟(jì)的原則，建設(shè)企業(yè)的網(wǎng)絡(luò)系統(tǒng)。 （2）先進(jìn)性和成熟性。系統(tǒng)設(shè)計(jì)既要采用先進(jìn)的概念、技術(shù)和方法，又要注意結(jié)構(gòu)、設(shè)備、工具的相對成熟。不但能反映當(dāng)今的先進(jìn)水平，而且具有發(fā)展?jié)摿?，能保證在未來若干年內(nèi)企業(yè)網(wǎng)絡(luò)仍占領(lǐng)先地位。 （3）

6、可靠性和穩(wěn)定性。在考慮技術(shù)先進(jìn)性和開放性的同時(shí)，還應(yīng)從系統(tǒng)結(jié)構(gòu)、技術(shù)措施、設(shè)備性能、系統(tǒng)管理、廠商技術(shù)支持及維修能力等方面著手，確保系統(tǒng)運(yùn)行的可靠性和穩(wěn)定性，達(dá)到最大的平均無故障時(shí)間，TP-LINK網(wǎng)絡(luò)作為國內(nèi)知名品牌，網(wǎng)絡(luò)領(lǐng)導(dǎo)廠商，其產(chǎn)品的可靠性和穩(wěn)定性是一流的。 （4）安全性和保密性。在系統(tǒng)設(shè)計(jì)中，既考慮信息資源的充分共享，更要注意信息的保護(hù)和隔離，因此系統(tǒng)應(yīng)分別針對不同的應(yīng)用和不同的網(wǎng)絡(luò)通信環(huán)境，采取不同的措施，包括系統(tǒng)安全機(jī)制、數(shù)據(jù)存取的權(quán)限控制等，TP-LINK網(wǎng)絡(luò)充分考慮安全性，針對小型企業(yè)的各種應(yīng)用，有多種的保護(hù)機(jī)制，如劃分VLAN、MAC地址綁定、802.1x、802.1d等。

7、 （5）可擴(kuò)展性和易維護(hù)性。為了適應(yīng)系統(tǒng)變化的要求，必須充分考慮以最簡便的方法、最低的投資，實(shí)現(xiàn)系統(tǒng)的擴(kuò)展和維護(hù)，采用可網(wǎng)管產(chǎn)品，降低了人力資源的費(fèi)用，提高網(wǎng)絡(luò)的易用性。2.3 網(wǎng)絡(luò)的設(shè)計(jì) （1）物理位置選擇機(jī)房應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)；機(jī)房的承重要求應(yīng)滿足設(shè)計(jì)要求；機(jī)房場地應(yīng)避免設(shè)在建筑物的高層或地下室，以及用水設(shè)備的下層或隔壁；機(jī)房場地應(yīng)當(dāng)避開強(qiáng)電場、強(qiáng)磁場、強(qiáng)震動(dòng)源、強(qiáng)噪聲源、重度環(huán)境污染，易發(fā)生火災(zāi)、水災(zāi)，易遭受雷擊的地區(qū)。（2）電力供應(yīng)機(jī)房供電應(yīng)與其他市電供電分開；應(yīng)設(shè)置穩(wěn)壓器和過電壓防護(hù)設(shè)備；應(yīng)提供短期的備用電力供應(yīng)（如UPS設(shè)備）；應(yīng)建立備用供電系統(tǒng)（如備用發(fā)電

8、機(jī)），以備常用供電系統(tǒng)停電時(shí)啟用。（3）電磁防護(hù)要求應(yīng)采用接地方式防止外界電磁干擾和相關(guān)服務(wù)器寄生耦合干擾；電源線和通信線纜應(yīng)隔離，避免互相干擾。3.3.2公司內(nèi)部網(wǎng)的設(shè)計(jì)內(nèi)部辦公自動(dòng)化網(wǎng)絡(luò)根據(jù)不同用戶安全級別或者根據(jù)不同部門的安全需求，利用三層交換機(jī)來劃分虛擬子網(wǎng)（VLAN），在沒有配置路的情況下，不同虛擬子網(wǎng)間是不能夠互相訪問。通過虛擬子網(wǎng)的劃分,能夠?qū)嵼^粗略的訪問控制2。1、vlan的劃分和地址的分配經(jīng)理辦子網(wǎng)(vlan2):192.168.1.0    子網(wǎng)掩碼: 255.255.255.0   網(wǎng)關(guān)：192.168.1.1生產(chǎn)子網(wǎng)(v

9、lan3)：192.168.2.0   子網(wǎng)掩碼: 255.255.255.0   網(wǎng)關(guān)：192.168.2.1 市場子網(wǎng)(vlan4)：192.168.3.0    子網(wǎng)掩碼: 255.255.255.0   網(wǎng)關(guān)：192.168.3.1 財(cái)務(wù)子網(wǎng)(vlan5)：192.168.4.0     子網(wǎng)掩碼: 255.255.255.0   網(wǎng)關(guān)：192.168.4.1   資源子網(wǎng)(vlan6):192.168.5.

10、0   子網(wǎng)掩碼: 255.255.255.0    網(wǎng)關(guān)：192.168.5.1 2、訪問權(quán)限控制策略（1）經(jīng)理辦VLAN2可以訪問其余所有VLAN。（2）財(cái)務(wù)VLAN5可以訪問生產(chǎn)VLAN3、市場VLAN4、資源VLAN6，不可以訪問經(jīng)理辦VLAN2。（3）市場VLAN4、生產(chǎn)VLAN3、資源VLAN6都不能訪問經(jīng)理辦VLAN2、財(cái)務(wù)VLAN5。（4）生產(chǎn)VLAN4和銷售VLAN3可以互訪。2.3.3 通信保密 數(shù)據(jù)的機(jī)密性與完整性，主要是為了保護(hù)在網(wǎng)上傳送的涉及企業(yè)秘密的信息，經(jīng)過配備加密設(shè)備，使得在網(wǎng)上傳送的數(shù)據(jù)是密文形式，而

11、不是明文?？梢赃x擇以下幾種方式：（1）鏈路層加密對于連接各涉密網(wǎng)節(jié)點(diǎn)的廣域網(wǎng)線路，根據(jù)線路種類不同可以采用相應(yīng)的鏈路級加密設(shè)備，以保證各節(jié)點(diǎn)涉密網(wǎng)之間交換的數(shù)據(jù)都是加密傳送，以防止非授權(quán)用戶讀懂、篡改傳輸?shù)臄?shù)據(jù)，如圖3.1所示。圖3.1鏈路密碼機(jī)配備示意圖 鏈路加密機(jī)由于是在鏈路級，加密機(jī)制是采用點(diǎn)對點(diǎn)的加密、解密。即在有相互訪問需求并且要求加密傳輸?shù)母骶W(wǎng)點(diǎn)的每條外線線路上都得配一臺鏈路加密機(jī)。通過兩端加密機(jī)的協(xié)商配合實(shí)現(xiàn)加密、解密過程。(2)網(wǎng)絡(luò)層加密鑒于網(wǎng)絡(luò)分布較廣，網(wǎng)點(diǎn)較多，而且可能采用DDN、FR等多種通訊線路。如果采用多種鏈路加密設(shè)備的設(shè)計(jì)方案則增加了系統(tǒng)投資費(fèi)用，同時(shí)為系統(tǒng)維護(hù)、升

12、級、擴(kuò)展也帶來了相應(yīng)困難。因此在這種情況下我們建議采用網(wǎng)絡(luò)層加密設(shè)備（VPN），VPN是網(wǎng)絡(luò)加密機(jī)，是實(shí)現(xiàn)端至端的加密，即一個(gè)網(wǎng)點(diǎn)只需配備一臺VPN加密機(jī)。根據(jù)具體策略，來保護(hù)內(nèi)部敏感信息和企業(yè)秘密的機(jī)密性、真實(shí)性及完整性3。IPsec是在TCP/IP體系中實(shí)現(xiàn)網(wǎng)絡(luò)安全服務(wù)的重要措施。而VPN設(shè)備正是一種符合IPsec標(biāo)準(zhǔn)的IP協(xié)議加密設(shè)備。它通過利用跨越不安全的公共網(wǎng)絡(luò)的線路建立IP安全隧道，能夠保護(hù)子網(wǎng)間傳輸信息的機(jī)密性、完整性和真實(shí)性。經(jīng)過對VPN的配置，可以讓網(wǎng)絡(luò)內(nèi)的某些主機(jī)通過加密隧道，讓另一些主機(jī)仍以明文方式傳輸，以達(dá)到安全、傳輸效率的最佳平衡。一般來說，VPN設(shè)備可以一對一和一對

13、多地運(yùn)行，并具有對數(shù)據(jù)完整性的保證功能，它安裝在被保護(hù)網(wǎng)絡(luò)和路由器之間的位置。設(shè)備配置見下圖。目前全球大部分廠商的網(wǎng)絡(luò)安全產(chǎn)品都支持IPsec標(biāo)準(zhǔn)。如圖3.2所示。圖3.2VPN設(shè)備配置示意圖由于VPN設(shè)備不依賴于底層的具體傳輸鏈路，它一方面可以降低網(wǎng)絡(luò)安全設(shè)備的投資；而另一方面，更重要的是它可以為上層的各種應(yīng)用提供統(tǒng)一的網(wǎng)絡(luò)層安全基礎(chǔ)設(shè)施和可選的虛擬專用網(wǎng)服務(wù)平臺。對政府行業(yè)網(wǎng)絡(luò)系統(tǒng)這樣一種大型的網(wǎng)絡(luò)，VPN設(shè)備可以使網(wǎng)絡(luò)在升級提速時(shí)具有很好的擴(kuò)展性。鑒于VPN設(shè)備的突出優(yōu)點(diǎn)，應(yīng)根據(jù)企業(yè)具體需求，在各個(gè)網(wǎng)絡(luò)結(jié)點(diǎn)與公共網(wǎng)絡(luò)相連接的進(jìn)出口處安裝配備VPN設(shè)備。2.3.4 病毒防護(hù) 由于在網(wǎng)絡(luò)環(huán)境

14、下，計(jì)算機(jī)病毒有不可估量的威脅性和破壞力。我們都知道，公司網(wǎng)絡(luò)系統(tǒng)中使用的操作系統(tǒng)一般均為WINDOWS系統(tǒng)，比較容易感染病毒。因此計(jì)算機(jī)病毒的防范也是網(wǎng)絡(luò)安全建設(shè)中應(yīng)該考濾的重要的環(huán)節(jié)之一。反病毒技術(shù)包括預(yù)防病毒、檢測病毒和殺毒三種技術(shù)4：（1）預(yù)防病毒技術(shù)預(yù)防病毒技術(shù)通過自身常駐系統(tǒng)內(nèi)存，優(yōu)先獲得系統(tǒng)的控制權(quán)，監(jiān)視和判斷系統(tǒng)中是否有病毒存在，進(jìn)而阻止計(jì)算機(jī)病毒進(jìn)入計(jì)算機(jī)系統(tǒng)和對系統(tǒng)進(jìn)行破壞。這類技術(shù)有，加密可執(zhí)行程序、引導(dǎo)區(qū)保護(hù)、系統(tǒng)監(jiān)控與讀寫控制（如防病毒卡等）。（2）檢測病毒技術(shù)檢測病毒技術(shù)是通過對計(jì)算機(jī)病毒的特征來進(jìn)行判斷的技術(shù)（如自身校驗(yàn)、關(guān)鍵字、文件長度的變化等），來確定病毒的類

15、型。（3）殺毒技術(shù)殺毒技術(shù)通過對計(jì)算機(jī)病毒代碼的分析，開發(fā)出具有刪除病毒程序并恢復(fù)原文件的軟件。反病毒技術(shù)的具體實(shí)現(xiàn)方法包括對網(wǎng)絡(luò)中服務(wù)器及工作站中的文件及電子郵件等進(jìn)行頻繁地掃描和監(jiān)測。一旦發(fā)現(xiàn)與病毒代碼庫中相匹配的病毒代碼，反病毒程序會采取相應(yīng)處理措施（清除、更名或刪除），防止病毒進(jìn)入網(wǎng)絡(luò)進(jìn)行傳播擴(kuò)散。2.3.5 應(yīng)用安全 應(yīng)用安全，顧名思義就是保障應(yīng)用程序使用過程和結(jié)果的安全。簡言之，就是針對應(yīng)用程序或工具在使用過程中可能出現(xiàn)計(jì)算、傳輸數(shù)據(jù)的泄露和失竊，通過其他安全工具或策略來消除隱患。（1）內(nèi)部OA系統(tǒng)中資源享 嚴(yán)格控制內(nèi)部員工對網(wǎng)絡(luò)共享資源的使用。在內(nèi)部子網(wǎng)中一般不要輕易開放共享目錄

16、，否則較容易因?yàn)槭韬龆谂c員工間交換信息時(shí)泄漏重要信息。對有經(jīng)常交換信息需求的用戶，在共享時(shí)也必須加上必要的口令認(rèn)證機(jī)制，即只有通過口令的認(rèn)證才允許訪問數(shù)據(jù)。雖然說用戶名加口令的機(jī)制不是很安全，但對一般用戶而言，還是起到一定的安全防護(hù)，即使有刻意破解者，只要口令設(shè)得復(fù)雜些，也得花費(fèi)相當(dāng)長的時(shí)間。（2）信息存儲 對有涉及企業(yè)秘密信息的用戶主機(jī)，使用者在應(yīng)用過程中應(yīng)該做到盡量少開放一些不常用的網(wǎng)絡(luò)服務(wù)。對數(shù)據(jù)庫服務(wù)器中的數(shù)據(jù)庫必須做安全備份。通過網(wǎng)絡(luò)備份系統(tǒng)，可以對數(shù)據(jù)庫進(jìn)行遠(yuǎn)程備份存儲。2.3.6 配置防火墻 防火墻是實(shí)現(xiàn)網(wǎng)絡(luò)安全最基本、最經(jīng)濟(jì)、最有效的安全措施之一。防火墻通過制定嚴(yán)格的安全策略

17、實(shí)現(xiàn)內(nèi)外網(wǎng)絡(luò)或內(nèi)部網(wǎng)絡(luò)不同信任域之間的隔離與訪問控制。并且防火墻可以實(shí)現(xiàn)單向或雙向控制，對一些高層協(xié)議實(shí)現(xiàn)較細(xì)粒的訪問控制。華城公司網(wǎng)絡(luò)中使用的是神州數(shù)碼的DCFW-1800S UTM，里面包含了防火墻和VPN等功能。由于采用防火墻、VPN技術(shù)融為一體的安全設(shè)備，并采取網(wǎng)絡(luò)化的統(tǒng)一管理，因此具有以下幾個(gè)方面的優(yōu)點(diǎn)：（1） 管理、維護(hù)簡單、方便;（2） 安全性高(可有效降低在安全設(shè)備使用上的配置漏洞);（3） 硬件成本和維護(hù)成本低;（4） 網(wǎng)絡(luò)運(yùn)行的穩(wěn)定性更高由于是采用一體化設(shè)備，比之傳統(tǒng)解決方案中采用防火墻和加密機(jī)兩個(gè)設(shè)備而言，其穩(wěn)定性更高，故障率更低。2.3.7 網(wǎng)絡(luò)結(jié)構(gòu) 網(wǎng)絡(luò)拓?fù)鋱D，如圖2

18、.3.7所示圖2.1公司網(wǎng)絡(luò)結(jié)構(gòu)由于華城網(wǎng)絡(luò)公司是直接從電信接入IP為58.192.65.62 255.255.255.0，直接經(jīng)由防火墻分為DMZ區(qū)域和普通區(qū)域。防火墻上做NAT轉(zhuǎn)換，分別給客戶機(jī)端的地址為10.1.1.0 255.255.255.0。防火墻接客戶區(qū)端口地址為10.1.1.1 255.255.255.0。DMZ內(nèi)主要有各類的服務(wù)器，地址分配為10.1.2.0 255.255.255.0。防火墻DMZ區(qū)的接口地址為10.1.2.1 255.255.255.0。內(nèi)網(wǎng)主要由3層交換機(jī)作為核心交換機(jī)，下面有兩臺2層交換機(jī)做接入。第三章 系統(tǒng)安全架構(gòu)3.1 系統(tǒng)設(shè)計(jì) 安全系統(tǒng)設(shè)計(jì)是在信

19、息系統(tǒng)安全策略的基礎(chǔ)上，從安全策略的分析中抽象出安全系統(tǒng)及其服務(wù)。安全系統(tǒng)的設(shè)計(jì)如圖1所示。安全系統(tǒng)設(shè)計(jì)的目標(biāo)是設(shè)計(jì)出系統(tǒng)安全防御體系，設(shè)計(jì)和部署體系中各種安全機(jī)制從而形成自動(dòng)的安全防御、監(jiān)察和反應(yīng)體系，忠實(shí)地貫徹系統(tǒng)安全策略。3.2 系統(tǒng)組建 目前市場主流終端架構(gòu)有獨(dú)立PC機(jī)、無盤工作站和虛擬化終端。從節(jié)約成本和簡化管理工作量角度來看，PC機(jī)的模式基本不予以考慮。綜合對比無盤工作站和虛擬化終端無盤工作站要求前端硬件型號及配置一致，擴(kuò)展性較差。而瘦客戶機(jī)訪問虛擬桌面時(shí)采用的是統(tǒng)一架構(gòu)與協(xié)議，與瘦客戶機(jī)及后端服務(wù)器品牌及型號均無要求。 無盤工作站與傳統(tǒng)PC 的唯一不同就是將本地的硬盤移除，但用戶

20、數(shù)據(jù)仍會駐留在工作站的內(nèi)存中，非常容易被竊取。而虛擬桌面的運(yùn)算均駐留在數(shù)據(jù)中心的服務(wù)器上，保證了數(shù)據(jù)及應(yīng)用的安全性。采用無盤工作站方式對客戶端及服務(wù)器的資源要求均很高，當(dāng)無盤工作站數(shù)量達(dá)到一定數(shù)量時(shí)，速度會變得緩慢，同時(shí)整體系統(tǒng)的穩(wěn)定性不高，由此帶來的維護(hù)成本也較高。因此綜合如上因素：我們推薦針對辦公計(jì)算機(jī)和試驗(yàn)辦公計(jì)算機(jī)均采用虛擬化終端架構(gòu)。但是針對試驗(yàn)計(jì)算機(jī)終端需要通過傳統(tǒng)的com口連接試驗(yàn)儀器，而一般虛擬化瘦客戶端機(jī)器都不具備這些接口。因此為試驗(yàn)室使用計(jì)算機(jī)我們還是采用傳統(tǒng)的獨(dú)立PC機(jī)終端模式。第四章 數(shù)據(jù)安全設(shè)計(jì)4.1 數(shù)據(jù)層的架構(gòu) 該數(shù)據(jù)層架構(gòu)主要是針對實(shí)驗(yàn)計(jì)算機(jī)上所有機(jī)密數(shù)據(jù)采用何

21、種數(shù)據(jù)存儲而言。首先我們明確要對實(shí)驗(yàn)計(jì)算機(jī)每日生成的機(jī)密實(shí)驗(yàn)數(shù)據(jù)需要進(jìn)行集中存儲，而且要實(shí)現(xiàn)自動(dòng)存儲。一般來說，會被企業(yè)采用的存儲架構(gòu)，可分為3種，以下作簡單的說明：一、DAS：在數(shù)字?jǐn)?shù)據(jù)尚未大量暴增的早期，比較簡單的存儲架構(gòu)就是采用直接附加存儲（Direct Attached Storage；DAS）。所有的存儲裝置，包括硬盤、光盤、軟盤、隨身碟等存儲設(shè)備，皆附屬于計(jì)算機(jī)本身，這些由個(gè)人使用的計(jì)算機(jī)延伸出來的裝置，透由計(jì)算機(jī)連接到服務(wù)器上，就形成1個(gè)簡單的存儲架構(gòu)?，F(xiàn)今企業(yè)數(shù)據(jù)的復(fù)雜化，種類也漸趨多元，伴隨著異質(zhì)平臺互相分享文件的需求，也就需要更為完整的存儲架構(gòu)，作為理想的解決方案。不過，只

22、要企業(yè)數(shù)據(jù)量增加，就必須另外購買存儲設(shè)備與服務(wù)器，因?yàn)檫@些零散的服務(wù)器大大增加管理者的工作份量。由于DAS多是透過SCSI硬盤進(jìn)行存儲，在硬盤的I/O表現(xiàn)比網(wǎng)絡(luò)慢的情形下，DAS架構(gòu)效能及存取速度也的確是1個(gè)問題，因此透過網(wǎng)絡(luò)進(jìn)行存儲的方式，成為企業(yè)采取的主要存儲架構(gòu)，而NAS和SAN又為企業(yè)最常用的2種。二、NAS：運(yùn)用以太網(wǎng)絡(luò)所建構(gòu)的局域網(wǎng)絡(luò)，來串連公司內(nèi)部的存儲設(shè)備，就是網(wǎng)絡(luò)附加存儲（Network Attached Storage；NAS）的基本精神。簡單說來，NAS就是網(wǎng)絡(luò)硬盤的概念，透過1臺NAS主機(jī)來管理數(shù)據(jù)，以減少在個(gè)人使用者端，所必須花費(fèi)的存儲設(shè)備購買成本。NAS已經(jīng)是相當(dāng)成

23、熟且便利的解決方案，對于進(jìn)行文件式的數(shù)據(jù)存取，也相當(dāng)方便，不過，由于是透過IP網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)的存取，走的是開放架構(gòu)，代表流竄于網(wǎng)絡(luò)上的病毒、黑客攻擊，極有可能造成網(wǎng)絡(luò)磁盤驅(qū)動(dòng)器的癱瘓。此外，當(dāng)終端使用者人數(shù)增加，多人同時(shí)存取的時(shí)候，就會造成服務(wù)器的過度負(fù)擔(dān)，甚至當(dāng)機(jī)，這些狀況往往會延誤到前端使用者的工作進(jìn)行。三、SAN：所謂的存儲局域網(wǎng)絡(luò)（Storage Area Network；SAN），是1種更為專門、精準(zhǔn)的存儲架構(gòu)。透過光纖信道，以及光纖交換機(jī)（switch）、HBA卡、和存儲設(shè)備的串接，自成1個(gè)網(wǎng)絡(luò)。和NAS不同的是，為了保護(hù)數(shù)據(jù)的完整性，SAN完全藉由光纖網(wǎng)絡(luò)將網(wǎng)絡(luò)存儲元素串起來，并自

24、成1個(gè)系統(tǒng)。不會受到網(wǎng)絡(luò)頻寬質(zhì)量與服務(wù)器速度的限制。因此在本次項(xiàng)目中的數(shù)據(jù)存儲架構(gòu)中，我們推薦IP SAN存儲架構(gòu)。將一個(gè)大的存儲空間為每個(gè)實(shí)驗(yàn)計(jì)算機(jī)映射為一定空間大小的本地磁盤，讓所有生成的實(shí)驗(yàn)數(shù)據(jù)保存到該空間中。4.2 數(shù)據(jù)安全測試 數(shù)據(jù)加密保護(hù)通過每臺實(shí)驗(yàn)計(jì)算機(jī)上安裝加密程序，對存儲設(shè)備對應(yīng)本地的磁盤空間進(jìn)行全盤加密，這樣保存在上面的文件即為密文。只有安裝了加密程序并且被授權(quán)的計(jì)算機(jī)才有權(quán)限以明文方式看到對應(yīng)的文檔。 數(shù)據(jù)備份異地備份通過一臺備份服務(wù)器和備份軟件對IP SAN存儲設(shè)備中的數(shù)據(jù)每天進(jìn)行數(shù)據(jù)備份。可以采用離線備份如磁帶機(jī)，或者采用另外一臺磁盤陣列存儲設(shè)備。第五章 安全設(shè)備選型

25、5.1 設(shè)備選型服務(wù)器選型IBM x3400 M2(7837I01)基本資料產(chǎn)品型號System x3400 M2(7837I01)產(chǎn)品類型塔式產(chǎn)品結(jié)構(gòu)5U處理器處理器型號Intel Xeon,5504 2.0G處理器主頻(MHz)2000MHz處理器二級緩存(KB)4×512KB處理器三級緩存(M)4M L3標(biāo)配CPU數(shù)目標(biāo)配1個(gè)最大CPU數(shù)目最大2個(gè)主板主板擴(kuò)展插槽8×PCI擴(kuò)展插槽內(nèi)存內(nèi)存類型ECC標(biāo)配內(nèi)存2048M內(nèi)存插槽數(shù)12最大支持內(nèi)存容量96G存儲標(biāo)配硬盤2.5寸 HS SAS 146G磁盤陣列Raid 0,Raid 1,標(biāo)配8個(gè)硬盤槽可標(biāo)配BR10i陣列卡光

26、驅(qū)DVD-ROM光驅(qū)網(wǎng)絡(luò)與插槽網(wǎng)卡2×1000M以太網(wǎng)卡機(jī)箱與電源尺寸767×440×218mm重量38Kg電源一個(gè)670瓦服務(wù)器電源其它支持操作系統(tǒng)Microsoft Windows、Red Hat Enterprise Linux、SUSE LinuxEnterprise、VMware ESX 和 ESXi工作溫度及濕度()作溫度10-35,工作濕度8%至85%存儲溫度及濕度()儲存溫度10-43,儲存濕度5%至95%工作高度(米)2133米售后服務(wù)3年有限保修 工作戰(zhàn)選型：基本參數(shù)型號揚(yáng)天 T4900V(E5300/1G/160G)類型商用臺式機(jī)處理器Int

27、el Pentium E5300 2.6G處理器類型奔騰E雙核處理器頻率2600MHz處理器接口LGA 775二級緩存(KB)2048KB處理器外頻200MHz主板/內(nèi)存主板/芯片組Intel G31總線頻率800MHz主板參數(shù)2×PCI,1×PCI Express×16,1×PCI Express×1內(nèi)存類型DDR2內(nèi)存大小1GB存儲設(shè)備硬盤類型SATA硬盤硬盤參數(shù)7200轉(zhuǎn)硬盤容量320GB光驅(qū)DVD光驅(qū)讀卡器無讀卡器視頻音頻顯示器寬屏液晶尺寸19寸顯示器描述分辨率1440×900顯卡集成Intel GMA X3100顯卡顯卡性能

28、PCI-E X16接口標(biāo)準(zhǔn),支持DirectX 9聲卡板載聲卡通 訊網(wǎng)卡板載10-100-1000M網(wǎng)卡其它硬件電源220V/180W機(jī)箱立式,402.5×175×398 mm鍵盤/鼠標(biāo)鍵盤/光電鼠標(biāo)其它附件光盤1張,說明書,其它資料其 它操作系統(tǒng)Windows XP Home附帶軟件有獎(jiǎng)糾錯(cuò) 拯救系統(tǒng)(一鍵恢復(fù) 一鍵殺毒 驅(qū)動(dòng)智能安裝 文件管理),安全中心(私密文件柜 安全登陸管理),培訓(xùn)中心,通訊中心(虛擬服務(wù)器 內(nèi)網(wǎng)溝通 手機(jī)短信 通訊錄 互聯(lián)一點(diǎn)通)售后服務(wù)三年有限保修和三年有限上門服務(wù)屬性關(guān)鍵字雙核處理器,處理器支持64位計(jì)算技術(shù)聯(lián)想 T4900V 詳細(xì)參數(shù) 我要

29、挑錯(cuò)，贏積分，取大獎(jiǎng) 打印、復(fù)印、傳真機(jī)選型主要參數(shù)型號KX-MB3018CN產(chǎn)品類型彩色激光標(biāo)配功能打印,掃描,復(fù)印內(nèi)存64MB自動(dòng)輸稿器50頁接口類型USB 2.0接口,10/100Base-T以太網(wǎng)端口打印參數(shù)打印方式激光打印打印速度32頁/分最高打印分辨率2400×1200dpi最大打印幅面A4復(fù)印參數(shù)復(fù)印速度32頁/分最高復(fù)印分辨率600×600dpi最大復(fù)印幅面A4連續(xù)復(fù)印1-99頁復(fù)印縮放25%-400%掃描參數(shù)最高掃描分辨率(平臺)600×2400dpi,(內(nèi)插)9600×9600dpi其它參數(shù)耗材描述墨粉:KX-FAC405CN,硒鼓:

30、KX-FAD406CN尺寸533(W)×459(D)×478(H)mm重量22.2kg適用平臺Microsoft® Windows® 98/Me/2000/XP/(32/64-bit)/Microsoft Windows Vista® (32/64-bit)其它性能選購:KX-FAP106CN(520頁/A4 紙)佳能傳真機(jī)主機(jī)規(guī)格型號FAX-JX210P自動(dòng)輸稿器20張(A4)供紙容量紙盒:100張(A4)技術(shù)指標(biāo)傳真?zhèn)鬏斔俣?秒/頁傳真精度600×600dpi傳真打印速度5.5頁/分圖象品質(zhì)256級其他參數(shù)耗電量39W電源要求AC

31、 100-240V,50-60Hz重量包括電話聽筒,墨盒:約4.1Kg其它性能傳輸模式:G3;掃描方式:接觸式圖像傳感器CIS;傳真存儲容量:約60頁;支持來電顯示 交換機(jī)及其他設(shè)備選型1) 核心交換機(jī)基本參數(shù)產(chǎn)品型號TL-SG3109 產(chǎn)品類型工作組級,二層,可網(wǎng)管型交換機(jī) 傳輸方式存儲轉(zhuǎn)發(fā)方式 背板帶寬20Gbps 包轉(zhuǎn)發(fā)率10 Mbps: 14,880 pps,100 Mbps: 148,810 pps ,1000 Mbps: 1,488,100 pps 外形尺寸294×180×44mm硬件參數(shù)接口類型10/100Base-T端口,10/100/1000BASE-T端

32、口 接口數(shù)目8口 傳輸速率10M/100M/1000Mbps 模塊化插槽數(shù)1 堆疊不可堆疊 網(wǎng)絡(luò)與軟件支持網(wǎng)絡(luò)標(biāo)準(zhǔn)IEEE802.3,802.3u,802.3z,802.3ab,802.3x VLAN支持支持VLAN功能 網(wǎng)管功能支持網(wǎng)管功能 是否支持全雙工支持全雙工 MAC地址表8k 其它參數(shù)電源電壓100-240VAC,50/60Hz(內(nèi)部通用電源)2) 接入層交換機(jī)基本參數(shù)產(chǎn)品型號TL-SG1024D產(chǎn)品類型桌面級,二層,非網(wǎng)管型交換機(jī),千兆交換機(jī),以太網(wǎng)交換機(jī)傳輸方式存儲轉(zhuǎn)發(fā)方式背板帶寬48Gbps包轉(zhuǎn)發(fā)率10M:14880pps,100M:148800pps,1000M:148800

33、0pps外形尺寸294×180×44mm硬件參數(shù)接口類型10/100BASE-TX端口,10/100Base-T端口,10/100/1000BASE-T端口,RJ45接口數(shù)目24口傳輸速率10M/100M/1000Mbps模塊化插槽數(shù)0堆疊不可堆疊網(wǎng)絡(luò)與軟件支持網(wǎng)絡(luò)標(biāo)準(zhǔn)IEEE 802.3,IEEE 802.3u,IEEE 802.3ab,IEEE 802.3xVLAN支持無VLAN功能網(wǎng)管功能無網(wǎng)管功能是否支持全雙工支持全雙工MAC地址表8K其他性能支持端口自動(dòng)翻轉(zhuǎn),支持MAC地址自學(xué)習(xí)其它參數(shù)電源電壓100-240VAC,0.8A(內(nèi)部通用電源)最大功率25W3) 電子

34、白板TB-66基本參數(shù)型號TB-660 主要參數(shù)產(chǎn)品類型 交互式/讀取尺寸 1200×920/面板尺寸 1270×990/面板數(shù)量 1/電源 計(jì)算機(jī)總線供電方式/功耗 <1W/重量 22kg/尺寸 1400×1100×190mm 其它性能接口 標(biāo)準(zhǔn)USB/標(biāo)準(zhǔn)配件 白板,電子筆,壁掛支架,USB線纜/可選附件 可升降移動(dòng)式支架, 遠(yuǎn)程數(shù)碼互動(dòng)帳號, 高級應(yīng)用技巧培訓(xùn)功能特性 60英寸, 對角線151cm/分辨率: 4096×4096, 屏幕比例4:3/電磁感應(yīng)原理/進(jìn)口高強(qiáng)度,低反射材料, 高抗磨損, 可使用標(biāo)準(zhǔn)清潔劑或濕布擦拭(標(biāo)配)/

35、MPC多功能復(fù)合板面(選配)/智能技術(shù): HIKey1+2技術(shù)(20項(xiàng))/處理速率: 480點(diǎn)/s 布線材料選擇（水晶頭雙絞線信息點(diǎn)（模塊面板底板）機(jī)柜）布線材料主要有水晶頭，雙絞線，信息點(diǎn)，機(jī)柜等。主要參數(shù)如下基本參數(shù)型號有獎(jiǎng)糾錯(cuò) OKE18819 產(chǎn)品類型有獎(jiǎng)糾錯(cuò) 網(wǎng)絡(luò)機(jī)柜 機(jī)柜容量有獎(jiǎng)糾錯(cuò) 19U 機(jī)柜標(biāo)準(zhǔn)有獎(jiǎng)糾錯(cuò) 19英寸國際標(biāo)準(zhǔn) 門及門鎖有獎(jiǎng)糾錯(cuò) 前門玻璃帶鎖 材料及工藝有獎(jiǎng)糾錯(cuò) SPCC優(yōu)質(zhì)冷軋鋼板制作,表面處理:脫脂,酸洗,磷化,靜電噴塑 規(guī)格有獎(jiǎng)糾錯(cuò) 1000×600×450 mm 主要參數(shù)有獎(jiǎng)糾錯(cuò) 角規(guī)：19U噴塑4根, 可安全接地,固定托盤1個(gè)：承重200kg 帶散熱孔,五孔插線板 1只,安裝螺絲：20套 5.2 明細(xì)表總的購物清單品名規(guī)格單價(jià)數(shù)量服務(wù)器IBMx3400 M2（7837I01）128001交換機(jī)TP-Link TL-SG1024D10805電子白板TRACEBoard TB-660138001核心交換機(jī)TP-LINK TL-SG310921001傳真機(jī)佳能FAX-JX210P8201打印復(fù)印一體松下 KX-MB3018CN16801工作站聯(lián)想楊天T4900V(E530