XX公司網(wǎng)絡(luò)安全設(shè)計(jì)方案

1、XX公司網(wǎng)絡(luò)安全設(shè)計(jì)方案計(jì)算機(jī)與信息工程學(xué)院網(wǎng)絡(luò)安全課程設(shè)計(jì)報(bào)告（2015/2016學(xué)年第二學(xué)期）課程設(shè)計(jì)名稱XX公司網(wǎng)絡(luò)安全管理方案專 班 學(xué) 姓業(yè) 級(jí) 口 號(hào) 名計(jì)算機(jī)科學(xué)與技術(shù)13計(jì)科（信息）1306915124薛少偉成績類別成績個(gè)人考勤（20）實(shí)踐成績（40）總結(jié)報(bào)告（40）總成績（100）等級(jí)制成績2016年5月1 0日目錄第一章需求分析1.1公司目標(biāo)的需求1.2公司網(wǎng)絡(luò)安全需求1.3需求分析第二章網(wǎng)絡(luò)安全的設(shè)計(jì)2.1網(wǎng)絡(luò)設(shè)計(jì)主要功能2.2網(wǎng)絡(luò)設(shè)計(jì)原則2.3絡(luò)的設(shè)計(jì)2.3.1物理設(shè)備安全的設(shè)計(jì)2.3.2內(nèi)部網(wǎng)的設(shè)計(jì)2.3.3通信保密2.3.4病毒防護(hù)2.3.5應(yīng)用安全2.3.6配置防

2、火墻2.3.7網(wǎng)絡(luò)結(jié)構(gòu)第三章系統(tǒng)安全架構(gòu)3.1系統(tǒng)設(shè)計(jì)3.2系統(tǒng)組建第四章數(shù)據(jù)安全設(shè)計(jì)4.1數(shù)據(jù)層的架構(gòu)4.2數(shù)據(jù)安全測(cè)試第五章安全設(shè)備詵型5.1設(shè)備選型5.2明細(xì)表總結(jié)致謝參考文獻(xiàn)第一章 需求分析1.1 公司目標(biāo)的需求XX網(wǎng)絡(luò)有限公司是一家有100名員工的中小型網(wǎng)絡(luò)公司，主要以手機(jī)應(yīng)用開發(fā)為主營項(xiàng)目的軟件企業(yè)。公司有一個(gè)局域網(wǎng)，約100臺(tái)計(jì)算機(jī)，服務(wù)器的操作系統(tǒng)是 WindowsServer 2003,客戶機(jī)的操作系統(tǒng)是 Windows XP,在工作組的模式下一人一機(jī)辦公。公司對(duì)網(wǎng)絡(luò)的依賴性很強(qiáng)，主要業(yè)務(wù)都要涉及互聯(lián)網(wǎng)以及內(nèi)部網(wǎng)絡(luò)。隨著公司的發(fā)展現(xiàn) 有的網(wǎng)絡(luò)安全已經(jīng)不能滿足公司的需要，因此構(gòu)

3、建健全的網(wǎng)絡(luò)安全體系是當(dāng)前的重中 之重。 XvyU5。1.2 公司網(wǎng)絡(luò)安全需求XX網(wǎng)絡(luò)有限公司根據(jù)業(yè)務(wù)發(fā)展需求，建設(shè)一個(gè)小型的企業(yè)網(wǎng)，有Web Mail等服務(wù)器和辦公區(qū)客戶機(jī)。企業(yè)分為財(cái)務(wù)部門和業(yè)務(wù)部門，需要他們之間相互隔離。同時(shí)由于考慮到Inteneter的安全性，以及網(wǎng)絡(luò)安全等一些因素，如DDoS ARP等。因此本企業(yè)的網(wǎng)絡(luò)安全構(gòu)架要求如下：fD5bu。根據(jù)公司現(xiàn)有的網(wǎng)絡(luò)設(shè)備組網(wǎng)規(guī)劃2)保護(hù)網(wǎng)絡(luò)系統(tǒng)的可用性3)保護(hù)網(wǎng)絡(luò)系統(tǒng)服務(wù)的連續(xù)性4)防范網(wǎng)絡(luò)資源的非法訪問及非授權(quán)訪問5)防范入侵者的惡意攻擊與破壞保護(hù)企業(yè)信息通過網(wǎng)上傳輸過程中的機(jī)密性、完整性 防范病毒的侵害 實(shí)現(xiàn)網(wǎng)絡(luò)的安全管理。1.3

4、 需求分析通過了解XX網(wǎng)絡(luò)公司的需求與現(xiàn)狀，為實(shí)現(xiàn) XX網(wǎng)絡(luò)公司的網(wǎng)絡(luò)安全建設(shè)實(shí)施HkbvF。網(wǎng)絡(luò)系統(tǒng)改造，提高企業(yè)網(wǎng)絡(luò)系統(tǒng)運(yùn)行的穩(wěn)定性，保證企業(yè)各種設(shè)計(jì)信息的安全性， 避免圖紙、文檔的丟失和外泄。通過軟件或安全手段對(duì)客戶端的計(jì)算機(jī) 加以保護(hù)，記錄用戶對(duì)客戶端計(jì)算機(jī)中關(guān)鍵目錄和文件的操作，使企業(yè)有手段對(duì)用戶在客戶端計(jì)算機(jī)的使用情況進(jìn)行追蹤，防范外來計(jì)算機(jī)的侵入而造成破壞。通過 網(wǎng)絡(luò)的改造，使管理者更加便于對(duì)網(wǎng)絡(luò)中的服務(wù)器、客戶端、登陸用戶的權(quán)限以及應(yīng)用軟件的安裝進(jìn)行全面的監(jiān)控和管理。因此需要3JCV3第二章 網(wǎng)絡(luò)安全的設(shè)計(jì)2.1網(wǎng)絡(luò)設(shè)計(jì)主要功能(1)資源共享功能。網(wǎng)絡(luò)內(nèi)的各個(gè)桌面用戶可共享數(shù)據(jù)

5、庫、共享打印機(jī)，實(shí)現(xiàn)辦公自動(dòng)化系統(tǒng)中的各項(xiàng)功能。(2)通信服務(wù)功能。最終用戶通過廣域網(wǎng)連接可以收發(fā)電子郵件、實(shí)現(xiàn)Web應(yīng)用、接入互聯(lián)網(wǎng)、進(jìn)行安全的廣域網(wǎng)訪問。4D7Cn(3)多媒體功能。支持多媒體組播，具有卓越的服務(wù)質(zhì)量保證功能。遠(yuǎn)程 撥入訪問功能。系統(tǒng)支持遠(yuǎn)程 PP TP接入，外地員工可利用INTERNE訪問。VPNtor0g。2.2網(wǎng)絡(luò)設(shè)計(jì)原則(1)實(shí)用性和經(jīng)濟(jì)性。系統(tǒng)建設(shè)應(yīng)始終貫徹面向應(yīng)用，注重實(shí)效的方針，堅(jiān)持實(shí)用、經(jīng)濟(jì)的原則，建設(shè)企業(yè)的網(wǎng)絡(luò)系統(tǒng)。PLh5z。(2)先進(jìn)性和成熟性。系統(tǒng)設(shè)計(jì)既要采用先進(jìn)的概念、技術(shù)和方法，又要注意結(jié)構(gòu)、設(shè)備、工具的相對(duì)成熟。不但能反映當(dāng)今的先進(jìn)水平，而且具

6、有發(fā)展?jié)摿?能保證在未來若干年內(nèi)企業(yè)網(wǎng)絡(luò)仍占領(lǐng)先地位。oZmd7(3)可靠性和穩(wěn)定性。在考慮技術(shù)先進(jìn)性和開放性的同時(shí)，還應(yīng)從系統(tǒng)結(jié)構(gòu)、技術(shù)措施、設(shè)備性能、系統(tǒng)管理、廠商技術(shù)支持及維修能力等方面著手，確保系統(tǒng) 運(yùn)行的可靠性和穩(wěn)定性，達(dá)到最大的平均無故障時(shí)間，TP-LINK網(wǎng)絡(luò)作為國內(nèi)知名品牌，網(wǎng)絡(luò)領(lǐng)導(dǎo)廠商，其產(chǎn)品的可靠性和穩(wěn)定性是一流的。Xf7I0。(4)安全性和保密性。在系統(tǒng)設(shè)計(jì)中，既考慮信息資源的充分共享，更要注意信息的保護(hù)和隔離，因此系統(tǒng)應(yīng)分別針對(duì)不同的應(yīng)用和不同的網(wǎng)絡(luò)通信環(huán)境，采取不同TP-LINK網(wǎng)絡(luò)充分考慮安全性,的措施，包括系統(tǒng)安全機(jī)制、數(shù)據(jù)存取的權(quán)限控制等,針對(duì)小型企業(yè)的各種應(yīng)用

7、，有多種的保護(hù)機(jī)制，如劃分VLAN MAC地址綁定、802.1X、802.1d 等。ZPdYz必須充分考慮以最簡(jiǎn)便的方(5)可擴(kuò)展性和易維護(hù)性。為了適應(yīng)系統(tǒng)變化的要求,法、最低的投資，實(shí)現(xiàn)系統(tǒng)的擴(kuò)展和維護(hù)，采用可網(wǎng)管產(chǎn)品，降低了人力資源的費(fèi)用，提高網(wǎng)絡(luò)的易用性。WC1NW2.3網(wǎng)絡(luò)的設(shè)計(jì)(1) 物理位置選擇機(jī)房應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)；機(jī)房的承重要求應(yīng)滿足設(shè)計(jì)要求；機(jī)房場(chǎng)地應(yīng)避免設(shè)在建筑物的高層或地下室，以及用 水設(shè)備的下層或隔壁；機(jī)房場(chǎng)地應(yīng)當(dāng)避開強(qiáng)電場(chǎng)、強(qiáng)磁場(chǎng)、強(qiáng)震動(dòng)源、強(qiáng)噪聲源、重度環(huán)境污染，易發(fā)生火災(zāi)、水災(zāi)，易遭受雷擊的地區(qū)。ynWIG(2) 電力供應(yīng)機(jī)房供電應(yīng)與其他市

8、電供電分開；應(yīng)設(shè)置穩(wěn)壓器和過電壓防護(hù)設(shè)備；應(yīng)提供短期的備用電力供應(yīng)(如 UPS設(shè)備)；應(yīng)建立備用供電系統(tǒng)(如備用發(fā)電機(jī))，以備常用供電系統(tǒng)停電時(shí)啟用。mLAyQ(3) 電磁防護(hù)要求應(yīng)采用接地方式防止外界電磁干擾和相關(guān)服務(wù)器寄生耦合干擾；電源線和通信線纜應(yīng)隔離，避免互相干擾。3.3.2公司內(nèi)部網(wǎng)的設(shè)計(jì)內(nèi)部辦公自動(dòng)化網(wǎng)絡(luò)根據(jù)不同用戶安全級(jí)別或者根據(jù)不同部門的安全需求，禾用 三層交換機(jī)來劃分虛擬子網(wǎng)(VLAN，在沒有配置路的情況下，不同虛擬子網(wǎng)間是不能 夠互相訪問。通過虛擬子網(wǎng)的劃分,能夠?qū)嵼^粗略的訪問控制。sMehE1、vian的劃分和地址的分配經(jīng)理 辦子網(wǎng)(vlan2):192.168.1.0子

9、網(wǎng)掩碼：255.255.255.0網(wǎng)關(guān):192.168.1.1 sOpyD生產(chǎn)子網(wǎng)(vlan3) : 192.168.2.0子網(wǎng)掩碼：255.255.255.0網(wǎng)關(guān):192.168.2.1 Wfefc。市場(chǎng)子網(wǎng)(vlan4) : 192.168.3.0子網(wǎng)掩碼：255.255.255.0網(wǎng)關(guān)：192.168.3.1Ep ohx。財(cái)務(wù)子網(wǎng)(vlan5) : 192.168.4.0子網(wǎng)掩碼：255.255.255.0網(wǎng)關(guān)：192.168.4.1h7cEw資源子網(wǎng)(vlan6):192.168.5.0子網(wǎng)掩碼：255.255.255.0網(wǎng)關(guān):192.168.5.1 bZwhL2、訪問權(quán)限控制策略(1

10、) 經(jīng)理辦VLAN2可以訪問其余所有 VLAN(2) 財(cái)務(wù)VLAN5可以訪問生產(chǎn) VLAN3市場(chǎng)VLAN4資源VLAN6不可以訪問經(jīng)理辦VLAN2 IY8JZ。(3)市場(chǎng)VLAN4生產(chǎn)VLAN3資源VLAN6都不能訪問經(jīng)理辦 VLAN2財(cái)務(wù)VLAN5(4) 生產(chǎn)VLAN4和銷售VLAN列以互訪。2.3.3通信保密數(shù)據(jù)的機(jī)密性與完整性，主要是為了保護(hù)在網(wǎng)上傳送的涉及企業(yè)秘密的信息,經(jīng)過配備加密設(shè)備，使得在網(wǎng)上傳送的數(shù)據(jù)是密文形式，而不是明文?？梢赃x擇以下 幾種方式：4ImMm(1)鏈路層加密對(duì)于連接各涉密網(wǎng)節(jié)點(diǎn)的廣域網(wǎng)線路，根據(jù)線路種類不同可以采用相應(yīng)的鏈路級(jí)加密設(shè)備，以保證各節(jié)點(diǎn)涉密網(wǎng)之間交換

11、的數(shù)據(jù)都是加密傳送，以防止非授權(quán)用戶讀懂、 篡改傳輸?shù)臄?shù)據(jù)，如圖3.1所示。TTQNvon圖3.1鏈路密碼機(jī)配備示意圖鏈路加密機(jī)由于是在鏈路級(jí)，加密機(jī)制是采用點(diǎn)對(duì)點(diǎn)的加密、解密。即在有相互 訪問需求并且要求加密傳輸?shù)母骶W(wǎng)點(diǎn)的每條外線線路上都得配一臺(tái)鏈路加密機(jī)。通過兩端加密機(jī)的協(xié)商配合實(shí)現(xiàn)加密、解密過程。LbZkk。網(wǎng)絡(luò)層加密鑒于網(wǎng)絡(luò)分布較廣，網(wǎng)點(diǎn)較多，而且可能采用 DDN FR等多種通訊線路。如果采用多種鏈路加密設(shè)備的設(shè)計(jì)方案則增加了系統(tǒng)投資費(fèi)用，同時(shí)為系統(tǒng)維護(hù)、升級(jí)、擴(kuò)展也帶來了相應(yīng)困難。因此在這種情況下我們建議采用網(wǎng)絡(luò)層加密設(shè)備(VPN , VPN。IP sec是在是網(wǎng)絡(luò)加密機(jī)，是實(shí)現(xiàn)端至

12、端的加密，即一個(gè)網(wǎng)點(diǎn)只需配備一臺(tái)VPN加密機(jī)。根據(jù)具體策略，來保護(hù)內(nèi)部敏感信息和企業(yè)秘密的機(jī)密性、真實(shí)性及完整性TCP/IP體系中實(shí)現(xiàn)網(wǎng)絡(luò)安全服務(wù)的重要措施。而VPN設(shè)備正是一種符合IPsec標(biāo)準(zhǔn)的IP協(xié)議加密設(shè)備。它通過利用跨越不安全的公共網(wǎng)絡(luò)的線路建立 IP安全隧道，能夠保護(hù)子網(wǎng)間傳輸信息的機(jī)密性、完整性和真實(shí)性。經(jīng)過對(duì)VPN的配置,可以讓網(wǎng)絡(luò)內(nèi)的某些主機(jī)通過加密隧道，讓另一些主機(jī)仍以明文方式傳輸，以達(dá)到安全、傳輸效率的最佳平衡。一般來說，VPN設(shè)備可以一對(duì)一和一對(duì)多地運(yùn)行，并具有對(duì)數(shù)據(jù)完整性的保證功能，它安裝在被保護(hù)網(wǎng)絡(luò)和路由器之間的位置。設(shè)備配置見下圖。目前全球大部分廠商的網(wǎng)絡(luò)安全產(chǎn)品

13、都支持VV =:&討PH IP sec標(biāo)準(zhǔn)。如圖3.2所示。O9H7Oflfx圖3.2VPN設(shè)備配置示意圖由于VPN設(shè)備不依賴于底層的具體傳輸鏈路，它一方面可以降低網(wǎng)絡(luò)安全設(shè)備的投資；而另一方面，更重要的是它可以為上層的各種應(yīng)用提供統(tǒng)一的網(wǎng)絡(luò)層安全基礎(chǔ)設(shè)施和可選的虛擬專用網(wǎng)服務(wù)平臺(tái)。 對(duì)政府行業(yè)網(wǎng)絡(luò)系統(tǒng)這樣一種大型的網(wǎng)絡(luò)， VPN設(shè)備可以使網(wǎng)絡(luò)在升級(jí)提速時(shí)具有很好的擴(kuò)展性。鑒于VPN設(shè)備的突出優(yōu)點(diǎn)，應(yīng)根據(jù)企業(yè)具體需求，在各個(gè)網(wǎng)絡(luò)結(jié)點(diǎn)與公共網(wǎng)絡(luò)相連接的進(jìn)出口處安裝配備VPN設(shè)備。UCXyF2.3.4病毒防護(hù)由于在網(wǎng)絡(luò)環(huán)境下，計(jì)算機(jī)病毒有不可估量的威脅性和破壞力。我們都知道,公司網(wǎng)絡(luò)系統(tǒng)中

14、使用的操作系統(tǒng)一般均為 WINDOW系統(tǒng)，比較容易感染病毒。因此計(jì)算機(jī)病毒的防范也是網(wǎng)絡(luò)安全建設(shè)中應(yīng)該考濾的重要的環(huán)節(jié)之一。反病毒技術(shù)包括預(yù) 防病毒、檢測(cè)病毒和殺毒三種技術(shù):7bNJm(1)預(yù)防病毒技術(shù)預(yù)防病毒技術(shù)通過自身常駐系統(tǒng)內(nèi)存，優(yōu)先獲得系統(tǒng)的控制權(quán)，監(jiān)視和判斷系統(tǒng)中是否有病毒存在，進(jìn)而阻止計(jì)算機(jī)病毒進(jìn)入計(jì)算機(jī)系統(tǒng)和對(duì)系統(tǒng)進(jìn)行破壞。這類技術(shù)有，加密可執(zhí)行程序、引導(dǎo)區(qū)保護(hù)、系統(tǒng)監(jiān)控與讀寫控制(如防病毒卡等)。eAYoO。(2)檢測(cè)病毒技術(shù)檢測(cè)病毒技術(shù)是通過對(duì)計(jì)算機(jī)病毒的特征來進(jìn)行判斷的技術(shù)(如自身校驗(yàn)、關(guān)鍵字、文件長度的變化等)，來確定病毒的類型。ERjTG(3)殺毒技術(shù)殺毒技術(shù)通過對(duì)計(jì)算

15、機(jī)病毒代碼的分析，開發(fā)出具有刪除病毒程序并恢復(fù)原文件 的軟件。反病毒技術(shù)的具體實(shí)現(xiàn)方法包括對(duì)網(wǎng)絡(luò)中服務(wù)器及工作站中的文件及電子郵 件等進(jìn)行頻繁地掃描和監(jiān)測(cè)。一旦發(fā)現(xiàn)與病毒代碼庫中相匹配的病毒代碼，反病毒程 序會(huì)采取相應(yīng)處理措施(清除、更名或刪除)，防止病毒進(jìn)入網(wǎng)絡(luò)進(jìn)行傳播擴(kuò)散。D8WnM235應(yīng)用安全應(yīng)用安全，顧名思義就是保障應(yīng)用程序使用過程和結(jié)果的安全。簡(jiǎn)言之，就是針對(duì)應(yīng)用程序或工具在使用過程中可能出現(xiàn)計(jì)算、傳輸數(shù)據(jù)的泄露和失竊，通過其他 安全工具或策略來消除隱患。aUN3C(1)內(nèi)部0A系統(tǒng)中資源享嚴(yán)格控制內(nèi)部員工對(duì)網(wǎng)絡(luò)共享資源的使用。在內(nèi)部子網(wǎng)中一般不要輕易開放共享 目錄，否則較容易因?yàn)?/p>

16、疏忽而在與員工間交換信息時(shí)泄漏重要信息。對(duì)有經(jīng)常交換信 息需求的用戶，在共享時(shí)也必須加上必要的口令認(rèn)證機(jī)制，即只有通過口令的認(rèn)證才 允許訪問數(shù)據(jù)。雖然說用戶名加口令的機(jī)制不是很安全，但對(duì)一般用戶而言，還是起 到一定的安全防護(hù)，即使有刻意破解者，只要口令設(shè)得復(fù)雜些，也得花費(fèi)相當(dāng)長的時(shí) 間。38Cm。(2)信息存儲(chǔ)對(duì)有涉及企業(yè)秘密信息的用戶主機(jī)，使用者在應(yīng)用過程中應(yīng)該做到盡量少開放一 些不常用的網(wǎng)絡(luò)服務(wù)。對(duì)數(shù)據(jù)庫服務(wù)器中的數(shù)據(jù)庫必須做安全備份。通過網(wǎng)絡(luò)備份系 統(tǒng)，可以對(duì)數(shù)據(jù)庫進(jìn)行遠(yuǎn)程備份存儲(chǔ)。Euncj。2.3.6配置防火墻防火墻是實(shí)現(xiàn)網(wǎng)絡(luò)安全最基本、最經(jīng)濟(jì)、最有效的安全措施之一。防火墻通過訪問控

17、制。XX公制定嚴(yán)格的安全策略實(shí)現(xiàn)內(nèi)外網(wǎng)絡(luò)或內(nèi)部網(wǎng)絡(luò)不同信任域之間的隔離與 并且防火墻可以實(shí)現(xiàn)單向或雙向控制，對(duì)一些高層協(xié)議實(shí)現(xiàn)較細(xì)粒的訪問控制。司網(wǎng)絡(luò)中使用的是神州數(shù)碼的 DCFW-1800UTM里面包含了防火墻和VPN等功能。由于采用防火墻、VPN技術(shù)融為一體的安全設(shè)備，并采取網(wǎng)絡(luò)化的統(tǒng)一管理，因此具有以 下幾個(gè)方面的優(yōu)點(diǎn)：CMwzq(1)管理、維護(hù)簡(jiǎn)單、方便；(2)安全性高(可有效降低在安全設(shè)備使用上的配置漏洞);(3) 硬件成本和維護(hù)成本低；(4) 網(wǎng)絡(luò)運(yùn)行的穩(wěn)定性更高由于是采用一體化設(shè)備，比之傳統(tǒng)解決方案中采用防火墻和加密機(jī)兩個(gè)設(shè)備而言, 其穩(wěn)定性更高，故障率更低。2.3.7網(wǎng)絡(luò)結(jié)構(gòu)網(wǎng)

18、絡(luò)拓?fù)鋱D，如圖2.3.7所示2層歹賴機(jī)i 了層立氐I4THlflitJL :i、j!*7.UU 耳 n P r rb L r rt.r I n I - » I/、仁-J-:-P* rTJ翅么七一住"筆j一比± 爭(zhēng)W丈謹(jǐn) 7；至澆三讒?t二;圖2.1公司網(wǎng)絡(luò)結(jié)構(gòu)由于XX網(wǎng)絡(luò)公司是直接從電信接入 IP為58.192.65.62 255.255.255.0，直接經(jīng) 由防火墻分為DMZ區(qū)域和普通區(qū)域。防火墻上做 NAT轉(zhuǎn)換，分別給客戶機(jī)端的地址為10.1.1.0 255.255.255.0。防火墻接客戶區(qū)端口地址為10.1.1.1 255.255.255.0。DMZ內(nèi)主要

19、有各類的服務(wù)器，地址分配為10.1.2.0 255.255.255.0。防火墻DMZx的接口地址為10.1.2.1 255.255.255.0。內(nèi)網(wǎng)主要由3層交換機(jī)作為核心交換機(jī)，下面有兩 臺(tái)2層交換機(jī)做接入。Np1st。第三章系統(tǒng)安全架構(gòu)3.1系統(tǒng)設(shè)計(jì)安全系統(tǒng)設(shè)計(jì)是在信息系統(tǒng)安全策略的基礎(chǔ)上，從安全策略的分析中抽象出安全系統(tǒng)及其服務(wù)。安全系統(tǒng)的設(shè)計(jì)如圖 1所示。安全系統(tǒng)設(shè)計(jì)的目標(biāo)是設(shè)計(jì)出系統(tǒng)安全防御體系，設(shè)計(jì)和部署體系中各種安全機(jī)制從而形成自動(dòng)的安全防御、監(jiān)察和反應(yīng)體系，忠實(shí)地貫徹系統(tǒng)安全策略。d1vXc。3.2系統(tǒng)組建目前市場(chǎng)主流終端架構(gòu)有獨(dú)立 PC機(jī)、無盤工作站和虛擬化終端。從節(jié)約成本和

20、簡(jiǎn)化管理工作量角度來看，PC機(jī)的模式基本不予以考慮。綜合對(duì)比無盤工作站和虛擬化終端無盤工作站要求前端硬件型號(hào)及配置一致，擴(kuò)展性較差。而瘦客戶機(jī)訪問虛 擬桌面時(shí)采用的是統(tǒng)一架構(gòu)與協(xié)議，與瘦客戶機(jī)及后端服務(wù)器品牌及型號(hào)均無要求。Kn9pq。無盤工作站與傳統(tǒng) PC 的唯一不同就是將本地的硬盤移除，但用戶數(shù)據(jù)仍會(huì)駐留在工作站的內(nèi)存中，非常容易被竊取。而虛擬桌面的運(yùn)算均駐留在數(shù)據(jù)中心的服務(wù)器上，保證了數(shù)據(jù)及應(yīng)用的安全性。FICU6。采用無盤工作站方式對(duì)客戶端及服務(wù)器的資源要求均很高，當(dāng)無盤工作站數(shù)量達(dá)到一定數(shù)量時(shí)，速度會(huì)變得緩慢，同時(shí)整體系統(tǒng)的穩(wěn)定性不高，由此帶來的維護(hù)成本也較高。 nkbD6。因此綜合

21、如上因素：我們推薦針對(duì)辦公計(jì)算機(jī)和試驗(yàn)辦公計(jì)算機(jī)均采用虛擬化終端架構(gòu)。但是針對(duì)試驗(yàn)計(jì)算機(jī)終端需要通過傳統(tǒng)的 com 口連接試驗(yàn)儀器，而一般虛擬化瘦客戶端機(jī)器都不具備這些接口。因此為試驗(yàn)室使用計(jì)算機(jī)我們還是采用傳統(tǒng)的獨(dú)立PC機(jī)終端模式。 ziRn8第四章 數(shù)據(jù)安全設(shè)計(jì)4.1 數(shù)據(jù)層的架構(gòu)該數(shù)據(jù)層架構(gòu)主要是針對(duì)實(shí)驗(yàn)計(jì)算機(jī)上所有機(jī)密數(shù)據(jù)采用何種數(shù)據(jù)存儲(chǔ)而言。首先我們明確要對(duì)實(shí)驗(yàn)計(jì)算機(jī)每日生成的機(jī)密實(shí)驗(yàn)數(shù)據(jù)需要進(jìn)行集中存儲(chǔ)，而且要實(shí)現(xiàn)自動(dòng)存儲(chǔ)。1MKU P一般來說，會(huì)被企業(yè)采用的存儲(chǔ)架構(gòu)，可分為 3 種，以下作簡(jiǎn)單的說明：一、DAS在數(shù)字?jǐn)?shù)據(jù)尚未大量暴增的早期，比較簡(jiǎn)單的存儲(chǔ)架構(gòu)就是采用直接附 加存儲(chǔ)

22、（Direct Attached Storage ; DAS。所有的存儲(chǔ)裝置，包括硬盤、光盤、軟盤、隨身碟等存儲(chǔ)設(shè)備，皆附屬于計(jì)算機(jī)本身，這些由個(gè)人使用的計(jì)算機(jī)延伸出來的裝置， 透由計(jì)算機(jī)連接到服務(wù)器上，就形成 1 個(gè)簡(jiǎn)單的存儲(chǔ)架構(gòu)。 TuIXq?，F(xiàn)今企業(yè)數(shù)據(jù)的復(fù)雜化，種類也漸趨多元，伴隨著異質(zhì)平臺(tái)互相分享文件的需求，也就需要更為完整的存儲(chǔ)架構(gòu)，作為理想的解決方案。不過，只要企業(yè)數(shù)據(jù)量增加， 就必須另外購買存儲(chǔ)設(shè)備與服務(wù)器，因?yàn)檫@些零散的服務(wù)器大大增加管理者的工作份 量。9U0Z。由于DAS多是透過SCSI硬盤進(jìn)行存儲(chǔ)，在硬盤的I/O表現(xiàn)比網(wǎng)絡(luò)慢的情形下，DAS 架構(gòu)效能及存取速度也的確是 1

23、個(gè)問題，因此透過網(wǎng)絡(luò)進(jìn)行存儲(chǔ)的方式，成為企業(yè)采取的主要存儲(chǔ)架構(gòu)，而 NAS和SAN又為企業(yè)最常用的2種。XQ4UQ、NAS運(yùn)用以太網(wǎng)絡(luò)所建構(gòu)的局域網(wǎng)絡(luò)，來串連公司內(nèi)部的存儲(chǔ)設(shè)備，就是網(wǎng)絡(luò)附加存儲(chǔ)（Network Attached Storage ； NAS的基本精神。簡(jiǎn)單說來， NAS就是網(wǎng)絡(luò)硬盤的概念，透過1臺(tái)NAS主機(jī)來管理數(shù)據(jù)，以減少在個(gè)人使用者端，所必須花費(fèi) 的存儲(chǔ)設(shè)備購買成本。4a2FNNAS已經(jīng)是相當(dāng)成熟且便利的解決方案，對(duì)于進(jìn)行文件式的數(shù)據(jù)存取，也相當(dāng)方便,不過，由于是透過IP網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)的存取，走的是開放架構(gòu)，代表流竄于網(wǎng)絡(luò)上的病 毒、黑客攻擊，極有可能造成網(wǎng)絡(luò)磁盤驅(qū)動(dòng)器的癱瘓

24、。此外，當(dāng)終端使用者人數(shù)增加, 多人同時(shí)存取的時(shí)候，就會(huì)造成服務(wù)器的過度負(fù)擔(dān)，甚至當(dāng)機(jī)，這些狀況往往會(huì)延誤 到前端使用者的工作進(jìn)行。BX6oR三、SAN所謂的存儲(chǔ)局域網(wǎng)絡(luò)（Storage Area Network ； SAN，是1種更為專門、精準(zhǔn)的存儲(chǔ)架構(gòu)。透過光纖信道，以及光纖交換機(jī)（switch ）、HBA卡、和存儲(chǔ)設(shè)備的 串接，自成1個(gè)網(wǎng)絡(luò)。和NAS不同的是，為了保護(hù)數(shù)據(jù)的完整性，SAN完全藉由光纖網(wǎng) 絡(luò)將網(wǎng)絡(luò)存儲(chǔ)元素串起來，并自成 1個(gè)系統(tǒng)。不會(huì)受到網(wǎng)絡(luò)頻寬質(zhì)量與服務(wù)器速度的限制。ICzUf。因此在本次項(xiàng)目中的數(shù)據(jù)存儲(chǔ)架構(gòu)中，我們推薦IP SAN存儲(chǔ)架構(gòu)。將一個(gè)大的存儲(chǔ)空間為每個(gè)實(shí)驗(yàn)計(jì)

25、算機(jī)映射為一定空間大小的本地磁盤，讓所有生成的實(shí)驗(yàn)數(shù)據(jù)保 存到該空間中。 M4WIF4.2數(shù)據(jù)安全測(cè)試數(shù)據(jù)加密保護(hù)通過每臺(tái)實(shí)驗(yàn)計(jì)算機(jī)上安裝加密程序，對(duì)存儲(chǔ)設(shè)備對(duì)應(yīng)本地的磁盤空間進(jìn)行全盤加密，這樣保存在上面的文件即為密文。只有安裝了加密程序并且被授權(quán)的計(jì)算機(jī)才有權(quán)限以明文方式看到對(duì)應(yīng)的文檔。b5Oq9數(shù)據(jù)備份異地備份通過一臺(tái)備份服務(wù)器和備份軟件對(duì)IP SAN存儲(chǔ)設(shè)備中的數(shù)據(jù)每天進(jìn)行數(shù)據(jù)備份?？梢圆捎秒x線備份如磁帶機(jī)，或者采用另外一臺(tái)磁盤陣列存儲(chǔ)設(shè) 備。yuLcd。第五章安全設(shè)備選型5.1設(shè)備選型服務(wù)器選型IBM X3400 M2(7837IO1)基本資料產(chǎn)品型號(hào)System x3400 M2(7

26、837I01)產(chǎn)品類型塔式產(chǎn)品結(jié)構(gòu)5U處理器處理器型號(hào)In tel Xeon,5504 2.0G處理器主頻(MHz)2000MHz處理器二級(jí)緩存(KB)4X 512KB處理器三級(jí)緩存(M)4M L3標(biāo)配CPU數(shù)目標(biāo)配1個(gè)最大CPU數(shù)目最大2個(gè)主板主板擴(kuò)展插槽8X PCI擴(kuò)展插槽內(nèi)存內(nèi)存類型ECC標(biāo)配內(nèi)存2048M內(nèi)存插槽數(shù)12最大支持內(nèi)存容量96G存儲(chǔ)標(biāo)配硬盤2.5 寸 HS SAS 146G磁盤陣列Raid 0,Raid 1,標(biāo)配8個(gè)硬盤槽可標(biāo)配BR10i陣列卡光驅(qū)DVD-RO光 驅(qū)網(wǎng)絡(luò)與插槽網(wǎng)卡2X 1000M以太網(wǎng)卡機(jī)箱與電源尺寸767X 440X 218mm重量38Kg電源一個(gè)670瓦

27、服務(wù)器電源其它支持操作系統(tǒng)Microsoft Windows、Red Hat Enterprise Linux、SUSE LinuxEnterprise、VMware ESX和 ESXi工作溫度及濕度C）作溫度10C -35C ,工作濕度8%至 85%存儲(chǔ)溫度及濕度（C）儲(chǔ)存溫度10C -43C ,儲(chǔ)存濕度5%至95%工作高度（米）2133 米售后服務(wù)3年有限保修工作戰(zhàn)選型:基本參數(shù)型號(hào)揚(yáng)天 T4900V(E5300/1G/160G)類型商用臺(tái)式機(jī)處理器Intel Pen tium E5300 2.6G處理器類型奔騰E雙核處理器頻率2600MHz處理器接口LGA 775二級(jí)緩存（KB）2048

28、KB處理器外頻200MHz主板/內(nèi)存主板/芯片組In tel G31總線頻率800MHz主板參數(shù)2X P CI,1 X PCI Ex press x 16,1 x PCI Ex press X1內(nèi)存類型DDR2內(nèi)存大小1GB存儲(chǔ)設(shè)備硬盤類型SATA硬 盤硬盤參數(shù)7200 轉(zhuǎn)硬盤容量320GB光驅(qū)DVD光 驅(qū)、七 H 口，口 讀卜器無讀卡器視頻音頻顯示器寬屏液晶尺寸19寸顯示器描述分辨率1440X 900顯卡集成 Intel GMA X3100 顯卡顯卡性能PCI-E X16 接口標(biāo)準(zhǔn)，支持 DirectX 9聲卡板載聲卡通訊網(wǎng)卡板載10-100-1000M網(wǎng)卡其它硬件電源220V/180W機(jī)箱

29、立式,402.5 X 175X 398 mm鍵盤/鼠標(biāo)鍵盤/光電鼠標(biāo)其它附件光盤1張,說明書,其它資料其它操作系統(tǒng)Win dows XP Home附帶軟件有獎(jiǎng)糾錯(cuò)拯救系統(tǒng)（一鍵恢復(fù)一鍵殺毒驅(qū)動(dòng)智能 安裝 文件管理）,安全中心（私密文件柜 安全登陸 管理）,培訓(xùn)中心，通訊中心（虛擬服務(wù)器 內(nèi)網(wǎng)溝通 手機(jī)短信通訊錄互聯(lián)一點(diǎn)通）售后服務(wù)三年有限保修和三年有限上門服務(wù)屬性關(guān)鍵字雙核處理器,處理器支持64位計(jì)算技術(shù)打印、復(fù)印、傳真機(jī)選型主要參數(shù)型號(hào)KX-MB3018CN產(chǎn)品類型彩色激光標(biāo)配功能打印,掃描,復(fù)印內(nèi)存64MB自動(dòng)輸稿器50頁接口類型USB 2.0 接口，10/100Base-T 以太網(wǎng)端口打

30、印參數(shù)打印方式激光打印打印速度32頁/分最高打印分辨率2400X 1200d pi最大打印幅面A4復(fù)印參數(shù)復(fù)印速度32頁/分最高復(fù)印分辨率600X 600d pi最大復(fù)印幅面A4連續(xù)復(fù)印1-99 頁復(fù)印縮放25%-400%掃描參數(shù)最高掃描分辨率(平臺(tái))600 X 2400dpi,(內(nèi)插)9600 X 9600dpi其它參數(shù)耗材描述墨粉:KX-FAC405CN 硒鼓:KX-FAD406CN尺寸533(W)X 459(D) X 47 8(H)mm重量22.2kg適用平臺(tái)Microsoft? Win dows?98/Me/2000/X P/(32/64-bit)/Microsoft Win dows

31、Vista? (32/64 -bit)其它性能選購:KX-FAP106CN(520頁/A4 紙)佳能傳真機(jī)主機(jī)規(guī)格型號(hào)FAX-JX210 P自動(dòng)輸稿器20 張(A4)供紙容量紙盒:100張(A4)技術(shù)指標(biāo)傳真?zhèn)鬏斔俣?秒/頁傳真精度600X 600d pi傳真打印速度5.5頁/分圖象品質(zhì)256級(jí)其他參數(shù)耗電量39W電源要求AC 100-240V,50-60Hz重量包括電話聽筒，墨盒：約4.1Kg其它性能傳輸模式:G3;掃描方式：接觸式圖像傳感器CIS;傳 真存儲(chǔ)容量：約60頁;支持來電顯示交換機(jī)及其他設(shè)備選型1）核心交換機(jī)基本參數(shù)產(chǎn)品型號(hào)TL-SG3109產(chǎn)品類型工作組級(jí),二層,可網(wǎng)管型交換機(jī)

32、傳輸方式存儲(chǔ)轉(zhuǎn)發(fā)方式背板帶寬20Gb ps包轉(zhuǎn)發(fā)率10 Mb ps: 14,880 pp s,100 Mbps: 148,810pps ,1000 Mbps: 1,488,100 pps外形尺寸294X 180X 44mm硬件參數(shù)接口類型10/100Base-T 端口，10/100/1000BASE-T 端口接口數(shù)目8 口傳輸速率10M/100M/1000Mb ps模塊化插槽數(shù)1堆疊不可堆疊網(wǎng)絡(luò)與軟件支持網(wǎng)絡(luò)標(biāo)準(zhǔn)IEEE802.3,802.3u,802.3z,802.3ab,802.3xVLAN支 持支持VLAN功能網(wǎng)管功能支持網(wǎng)管功能是否支持全雙工支持全雙工MAC地址表8k其它參數(shù)電源電壓1

33、00-240VAC,50/60Hz（內(nèi)部通用電源）2）接入層交換機(jī)基本參數(shù)產(chǎn)品型號(hào)TL-SG1024D產(chǎn)品類型桌面級(jí),二層,非網(wǎng)管型交換機(jī)，千兆交換機(jī)，以太網(wǎng)交換機(jī)傳輸方式存儲(chǔ)轉(zhuǎn)發(fā)方式背板帶寬48Gb ps包轉(zhuǎn)發(fā)率10M:14880pp s,100M:148800pp s,1000M:1488000pps外形尺寸294X 180X 44mm硬件參數(shù)接口類型10/100BASE-TX端 口 ,10/100Base-T 端 口 ,10/100/1000BASE-T 端口 ,RJ45接口數(shù)目24 口傳輸速率10M/100M/1000Mb ps模塊化插槽數(shù)0堆疊不可堆疊網(wǎng)絡(luò)與軟件支持網(wǎng)絡(luò)標(biāo)準(zhǔn)IEEE

34、802.3,IEEE 802.3u,IEEE 802.3ab,IEEE 802.3xVLAN支 持無VLAN功能網(wǎng)管功能無網(wǎng)管功能是否支持全雙工支持全雙工MAC地址表8K其他性能支持端口自動(dòng)翻轉(zhuǎn),支持MAC地址自學(xué)習(xí)其它參數(shù)電源電壓100-240VAC,0.8A（內(nèi)部通用電源）最大功率25W3）電子白板TB6系列他百基本參數(shù)型號(hào)TB-660主要參數(shù)產(chǎn)品類型 交互式/讀取尺寸1200X 920/面板尺寸1270X 990/面板數(shù)量1/電源 計(jì)算機(jī)總線供電方式/功耗<1W/t量 22kg/ 尺寸 1400X 1100X 190mm其它性能接口標(biāo)準(zhǔn)USB標(biāo)準(zhǔn)配件 白板,電子筆,壁掛支架，USB

35、線纜/可選附件可升降移動(dòng)式支架，遠(yuǎn)程數(shù)碼互動(dòng)帳號(hào)，高級(jí)應(yīng)用技巧培訓(xùn)功能特性60英寸,對(duì)角線151cm/分辨率：4096 X 4096,屏幕比例4:3/電磁感應(yīng)原理/進(jìn)口高強(qiáng)度,低反射材料,高 抗磨損，可使用標(biāo)準(zhǔn)清潔劑或濕布擦拭（標(biāo)配）/MPC多功能 復(fù)合板面（選配”智能技術(shù)：HIKey1+2技術(shù)（20項(xiàng)”處理速率：480點(diǎn)/s布線材料選擇（水晶頭雙絞線信息點(diǎn)（模塊面板底板）機(jī)柜）2布線材料主要有水晶頭，雙絞線，信息點(diǎn)，機(jī)柜等。主要參數(shù)如下基本參數(shù)型號(hào)有獎(jiǎng)糾錯(cuò) OKE18819產(chǎn)品類型有獎(jiǎng)糾錯(cuò)網(wǎng)絡(luò)機(jī)柜機(jī)柜容量有獎(jiǎng)糾錯(cuò)19U機(jī)柜標(biāo)準(zhǔn)有獎(jiǎng)糾錯(cuò)19英寸國際標(biāo)準(zhǔn)門及門鎖有獎(jiǎng)糾錯(cuò)前門玻璃帶鎖材料及工藝有獎(jiǎng)糾錯(cuò)SPCC優(yōu)質(zhì)冷軋鋼板制作,表面處理：脫脂,酸洗, 磷化,靜電噴塑規(guī)格有獎(jiǎng)糾錯(cuò) 1000X 600X 450 mm主要參數(shù)有獎(jiǎng)糾錯(cuò) 角規(guī)：19U