疾控中心機(jī)房方案最終

1、 TOC o 1-5 h z HYPERLINK l bookmark22 o Current Document 1、需求分析21設(shè)計(jì)目標(biāo)32設(shè)計(jì)原則33設(shè)備選型42、網(wǎng)絡(luò)拓?fù)?1外網(wǎng)系統(tǒng)網(wǎng)絡(luò)拓?fù)?2內(nèi)網(wǎng)系統(tǒng)網(wǎng)絡(luò)拓?fù)? HYPERLINK l bookmark54 o Current Document 3核心層設(shè)計(jì)64網(wǎng)絡(luò)安全設(shè)計(jì)10 HYPERLINK l bookmark74 o Current Document 3、服務(wù)器部署131防病毒服務(wù)器（2臺(tái)）132郵件服務(wù)器（1臺(tái)） 14 HYPERLINK l bookmark79 o Current Document 3 KVM服務(wù)器切換器

2、（CA108DC） 15 HYPERLINK l bookmark89 o Current Document 4、軟件系統(tǒng)16 HYPERLINK l bookmark92 o Current Document 1操作系統(tǒng)軟件16 HYPERLINK l bookmark96 o Current Document 2郵件系統(tǒng)軟件16 HYPERLINK l bookmark100 o Current Document 3防毒軟件165、供電防雷系統(tǒng)設(shè)計(jì)196、配線系統(tǒng)237、方案特點(diǎn)248、設(shè)備清單：281、需求分析河北省疾病預(yù)防控制中心是根據(jù)國(guó)家和省的總體衛(wèi)生改革部署，在撤并原省 衛(wèi)生防疫站

3、、省地方病防治所、省職業(yè)病防治所、省放射衛(wèi)生研究所、省結(jié)核病 防治所、省醫(yī)學(xué)科學(xué)院等6家單位基礎(chǔ)上組建的省衛(wèi)生廳直屬事業(yè)單位，同時(shí)加 掛河北省醫(yī)學(xué)科學(xué)院、省衛(wèi)生檢測(cè)中心、省職業(yè)病防治院、省衛(wèi)生宣傳教育中心 等四塊牌子，于2001年8月正式成立。主要職責(zé)為：（一）實(shí)施全省疾病預(yù)防控制規(guī)劃、方案，對(duì)重大疾病流行趨勢(shì)進(jìn)行監(jiān)測(cè)與 預(yù)測(cè)預(yù)警；（二）指導(dǎo)和開(kāi)展重大突發(fā)公共衛(wèi)生事件調(diào)查與處置；（三）開(kāi)展病原微生物檢驗(yàn)檢測(cè)及毒物與污染物的檢驗(yàn)鑒定和毒理學(xué)檢驗(yàn)， 負(fù)責(zé)全省疾病預(yù)防控制實(shí)驗(yàn)室質(zhì)量控制；（四）建設(shè)省級(jí)網(wǎng)絡(luò)信息平臺(tái)，管理全省疫情及相關(guān)公共衛(wèi)生信息網(wǎng)絡(luò)；（五）組織開(kāi)展食品衛(wèi)生、職業(yè)衛(wèi)生、放射衛(wèi)生和環(huán)境衛(wèi)

4、生等公共衛(wèi)生領(lǐng)域 健康危害因素監(jiān)測(cè)、危險(xiǎn)性評(píng)價(jià)和預(yù)警工作；（六）承擔(dān)衛(wèi)生監(jiān)督執(zhí)法檢驗(yàn)檢測(cè)及技術(shù)仲裁工作以及省內(nèi)職業(yè)病診斷鑒定 工作；（七）指導(dǎo)全省健康教育與健康促進(jìn)和社區(qū)衛(wèi)生服務(wù)工作；（八）開(kāi)展對(duì)設(shè)區(qū)的市級(jí)、縣級(jí)疾病預(yù)防控制機(jī)構(gòu)的業(yè)務(wù)指導(dǎo)、人員培訓(xùn)以 及業(yè)務(wù)考核，規(guī)范指導(dǎo)轄區(qū)內(nèi)醫(yī)療衛(wèi)生機(jī)構(gòu)傳染病防治工作；（九）開(kāi)展疾病預(yù)防控制應(yīng)用性科學(xué)研究，推廣先進(jìn)技術(shù)。目前疾控中心新樓即將竣工，整個(gè)樓內(nèi)網(wǎng)絡(luò)分為內(nèi)網(wǎng)和外網(wǎng)兩個(gè)網(wǎng)絡(luò)，內(nèi)網(wǎng) 與國(guó)家和地市級(jí)疾控中心連接，外網(wǎng)為公共信息服務(wù)平臺(tái)，樓層內(nèi)雙網(wǎng)布線工作 已經(jīng)完成，樓層交換機(jī)安裝在各樓層弱電豎井內(nèi)，本項(xiàng)目中涉及到工程主要包括 以下幾點(diǎn)：部署內(nèi)外網(wǎng)核心層網(wǎng)絡(luò)

5、設(shè)備及網(wǎng)絡(luò)安全設(shè)備；部署服務(wù)器，主要包括部署防病毒服務(wù)器、OA服務(wù)器、內(nèi)外網(wǎng)應(yīng)用服務(wù) 器、郵件服務(wù)器、電子圖書(shū)多媒體服務(wù)器；以上設(shè)備的安裝調(diào)試；1設(shè)計(jì)目標(biāo) 網(wǎng)絡(luò)平臺(tái)采用技術(shù)成熟，性價(jià)比優(yōu)良的千兆以太網(wǎng)技術(shù)，部署內(nèi)外網(wǎng)核心層設(shè)備，保 證網(wǎng)絡(luò)主十千兆傳輸速率，百兆交換到終端；部署防火墻，保證網(wǎng)絡(luò)安全。服務(wù)器平臺(tái)部署防病毒、OA、內(nèi)外網(wǎng)應(yīng)用、郵件、電子圖書(shū)服務(wù)器，提供殺毒、辦公自 動(dòng)化、應(yīng)用、郵件交換、電子資料文檔瀏覽查詢等服務(wù)器。2設(shè)計(jì)原則實(shí)用性原則作為一個(gè)系統(tǒng)，實(shí)用性永遠(yuǎn)是放在第一位的。實(shí)用性是系統(tǒng)賴以生存的基礎(chǔ)。 對(duì)于企業(yè)網(wǎng)絡(luò)這樣一個(gè)系統(tǒng)，必須是實(shí)用的。方案設(shè)計(jì)要求主要技術(shù)和產(chǎn)品，具 有成熟、

6、穩(wěn)定、實(shí)用的特點(diǎn)，并充分滿足應(yīng)用，技術(shù)開(kāi)發(fā)及信息管理的需要，且 有實(shí)用例子（而不選廠商的非主流產(chǎn)品，或只宣布而無(wú)實(shí)例的產(chǎn)品），廠商有備 品，備件的支持。先進(jìn)性原則作為一個(gè)系統(tǒng)，先進(jìn)性是系統(tǒng)賴以生存發(fā)展的條件。為保證網(wǎng)絡(luò)能保持在一 定時(shí)期內(nèi)不落后，及系統(tǒng)互連的方便性，我們?cè)谠撓到y(tǒng)的設(shè)計(jì)時(shí)，應(yīng)盡可能采用 先進(jìn)開(kāi)放的技術(shù)和產(chǎn)品。從國(guó)內(nèi)外的一些系統(tǒng)建設(shè)的實(shí)際經(jīng)驗(yàn)和教訓(xùn)來(lái)看，先進(jìn) 性如不能保證，則會(huì)在系統(tǒng)的使用階段出現(xiàn)后期投資追加過(guò)大，系統(tǒng)維護(hù)費(fèi)用加 大等問(wèn)題。在設(shè)計(jì)中，我們是依據(jù)先進(jìn)性與成熟性并重的原則考慮的。開(kāi)放性與標(biāo)準(zhǔn)化原則開(kāi)放性與標(biāo)準(zhǔn)化原則是一個(gè)系統(tǒng)賴以生存發(fā)展的基礎(chǔ)。開(kāi)放的系統(tǒng)，才能發(fā) 展，才

7、能體現(xiàn)良好的低投入高產(chǎn)出的投資收益。只有堅(jiān)持標(biāo)準(zhǔn)化的系統(tǒng)，才能保 護(hù)用戶的投資，才能發(fā)展，才能體現(xiàn)良好的可擴(kuò)展和互操作能力，對(duì)于計(jì)算機(jī)綜 合管理網(wǎng)絡(luò)這樣一個(gè)系統(tǒng)，開(kāi)放性與標(biāo)準(zhǔn)化原則是十分必要的。從國(guó)內(nèi)外的一些 系統(tǒng)建設(shè)的實(shí)際經(jīng)驗(yàn)和教訓(xùn)來(lái)看，開(kāi)放性與標(biāo)準(zhǔn)化原則如不能保證，則會(huì)在系統(tǒng) 的使用階段出現(xiàn)后期使用和維護(hù)的困難，系統(tǒng)維護(hù)費(fèi)用加大，系統(tǒng)發(fā)展較困難甚 全必須重復(fù)投資等問(wèn)題。我們認(rèn)為，選擇的產(chǎn)品應(yīng)當(dāng)倡導(dǎo)開(kāi)放性，并且，所選產(chǎn) 品都遵循相應(yīng)的標(biāo)準(zhǔn)。可擴(kuò)展性及升級(jí)能力為了保證該工程的有效性和實(shí)用性，同時(shí)又保證該網(wǎng)絡(luò)在一定時(shí)期內(nèi)不落 后，我們?cè)诰W(wǎng)絡(luò)設(shè)計(jì)時(shí)，并不是一味追求高配置，而是在保證網(wǎng)絡(luò)的先進(jìn)性的同

8、 時(shí)，選擇具有良好擴(kuò)展性和升級(jí)能力的網(wǎng)絡(luò)設(shè)備，設(shè)計(jì)出具有良好擴(kuò)展性的網(wǎng)絡(luò) 拓?fù)洌谠O(shè)計(jì)中，系統(tǒng)結(jié)構(gòu)模塊化，軟硬件平臺(tái)可以積木式拼裝，網(wǎng)絡(luò)中的設(shè)備 均可擴(kuò)充，以保證整個(gè)網(wǎng)絡(luò)系統(tǒng)的可擴(kuò)展性及升級(jí)能力?？晒芾硇院涂删S護(hù)性原則作為一個(gè)系統(tǒng)，其網(wǎng)絡(luò)管理和維護(hù)十分重要，直接關(guān)系到整個(gè)網(wǎng)絡(luò)是否能穩(wěn) 定而可靠地運(yùn)行。在網(wǎng)絡(luò)建設(shè)工程中，除了在網(wǎng)絡(luò)設(shè)計(jì)時(shí)采用了統(tǒng)一建網(wǎng)模式， 利用了結(jié)構(gòu)清晰的網(wǎng)絡(luò)拓?fù)?，還將提供一整套網(wǎng)絡(luò)測(cè)試或維護(hù)方案。另外，采用 一套好的網(wǎng)絡(luò)管理軟件也非常至關(guān)重要?？煽啃栽瓌t本網(wǎng)絡(luò)工程其可靠性和穩(wěn)定性直接關(guān)系到應(yīng)用得好壞。網(wǎng)絡(luò)系統(tǒng)的故障可能 直接給應(yīng)用帶來(lái)災(zāi)難性的損失。本網(wǎng)絡(luò)所采用的主要產(chǎn)品采用可

9、靠性設(shè)計(jì)，力求 系統(tǒng)的安全，可靠，穩(wěn)定運(yùn)行。最佳的性能價(jià)格比原則本系統(tǒng)在設(shè)計(jì)上尋求最佳的性能價(jià)格比，對(duì)原有設(shè)備硬件的投資，亦應(yīng)加以 保護(hù)。3設(shè)備選型網(wǎng)絡(luò)核心層設(shè)備選型內(nèi)外網(wǎng)均需有承載800個(gè)信息終端無(wú)阻礙數(shù)據(jù)交換的能力，對(duì)背板帶寬，包 轉(zhuǎn)發(fā)速率有較高的要求，并且，核心層網(wǎng)絡(luò)設(shè)備承擔(dān)了大部分的網(wǎng)絡(luò)管理功能， 對(duì)于QOS，帶寬、流量分配設(shè)置等都有較高要求，因此我公司推薦采用神州數(shù)碼 的DCRS-6800系列IPv6多業(yè)務(wù)萬(wàn)兆路由交換機(jī)。該系列設(shè)備在擁有極強(qiáng)的性能 同時(shí)還具有極優(yōu)的性價(jià)比，在承載用戶業(yè)務(wù)的同時(shí)節(jié)省用戶投資，降低建設(shè)成本。 服務(wù)器設(shè)備選型服務(wù)器設(shè)備我公司推薦浪潮NF280D系列機(jī)架式服

10、務(wù)器設(shè)備。浪潮為國(guó)內(nèi)知 名硬件設(shè)備及服務(wù)提供商，該系列產(chǎn)品在節(jié)省空間的優(yōu)化設(shè)計(jì)和機(jī)架安裝環(huán)境 下，提供最大的功能數(shù)據(jù)中心，完全滿足對(duì)外提供服務(wù)器及數(shù)據(jù)存儲(chǔ)的需求。2、網(wǎng)絡(luò)拓?fù)?. 1外網(wǎng)系統(tǒng)網(wǎng)絡(luò)拓?fù)?. 2內(nèi)網(wǎng)系統(tǒng)網(wǎng)絡(luò)拓?fù)?核心層設(shè)計(jì)內(nèi)外網(wǎng)系統(tǒng)中核心層設(shè)備均采用神州數(shù)碼 IPv6多業(yè)務(wù)萬(wàn)兆路由交換機(jī) DCRS-6808。DCRS-6808提供10個(gè)槽位，擁有2.0Tbps的背板帶寬，960Gbps的 交換容量，可以714Mpps的速度全線速地進(jìn)行L2/L3數(shù)據(jù)轉(zhuǎn)發(fā)，為網(wǎng)絡(luò)提供強(qiáng)勁 動(dòng)力。在端口配置方面，該設(shè)備提供最多384個(gè)千兆接口或者最多32個(gè)萬(wàn)兆接 口，能夠完全滿足用戶現(xiàn)有需求及對(duì)于網(wǎng)絡(luò)規(guī)

11、模的擴(kuò)展要求，并且DCRS-6800 系列路由交換機(jī)率先通過(guò)最為苛刻的國(guó)際IPv6 Ready第二階段認(rèn)證，為將來(lái)向 IPv6網(wǎng)絡(luò)過(guò)渡打下堅(jiān)實(shí)基礎(chǔ)。本項(xiàng)目中，核心交換機(jī)配置如下產(chǎn)品描述單位數(shù)量備注DCRS-680810插槽核心路由交換機(jī)機(jī)箱（最多3個(gè)電源，N +1冗余，標(biāo)配1個(gè)MRS-PWR-B1-AC交流電源， 3個(gè)熱插拔風(fēng)扇盤(pán)，不含管理模塊）臺(tái)2MRS-PWR-B1-AC220V交流電源模塊(600W)，適用于DCRS-7608(V1)和 DCRS-6808臺(tái)2MRS-6808-MDCRS-6808管理模塊塊2MRS-6800-4GX24TXDCRS-6800 系列 24 口 10/100

12、BaseTX 百兆接口和4 口千兆 Combo(SFP/GT)接口模塊塊4SFP-GT1000Base-T SFP 接口卡模塊，RJ-45 接口塊16配置介紹如下：核心交換機(jī)DCRS-6808本身具備10個(gè)擴(kuò)展插槽，機(jī)箱標(biāo)配1個(gè)交流電源 模塊，另配一個(gè)冗余電源模塊，保證交換機(jī)在單個(gè)電源損壞的情況下能 夠啟用冗余電源，持續(xù)工作；配置一個(gè)三層管理模塊，使該設(shè)備具備三層路由功能； 配置 2 塊 MRS-6800-4GX24TX （24 口百兆 + 4 口千兆 Combo 接口）業(yè)務(wù) 板，用于實(shí)現(xiàn)樓層交換機(jī)到核心交換機(jī)的百兆上聯(lián)，并為每個(gè)千兆電接 口接口配置接口卡用于服務(wù)器、防火墻設(shè)備到核心交換機(jī)的千

13、兆連接；主要性能參數(shù)項(xiàng)目DCRS-6808插槽10端口10/100/1000BASE-T 最多 384 個(gè)1000Base-SX 最多 384 個(gè)1000Base-LX 最多 384 個(gè) 10/100BASE-T 最多 384 個(gè) 萬(wàn)兆最多32個(gè)背板帶寬2.0Tbps交換容量960Gbps包轉(zhuǎn)發(fā)速率714Mpps，L2/L3 全線速M(fèi)AC表項(xiàng)128KVLAN表項(xiàng)4KIP路由表項(xiàng)128K（可擴(kuò)展到256K）IP主機(jī)表128K二層協(xié)議規(guī)范IEEE802.3(10Base-T)、IEEE802.3u(100Base-TX)、IEEE802.3z (1000BASE-X)、IEEE802.3ab (1

14、000Base-T)、IEEE802.3ae (10GBase)、IEEE802.3ak(10GBASE-CX4)、IEEE802.1Q(VLAN)、IEEEE802.1d(STP)、IEEEE802.1W(RSTP)、IEEEE802.1S(MSTP)、IEEE802.1p(COS)、IEEE802.1x(Port Control)、IEEE802.3x (流控)、IEEE802.3ad(LACP)、Port Mirror、IGMP Snooping、超長(zhǎng)幀 J umbo Frame(39Kbytes)、QinQ、GVRP,VLAN, PVLAN, SuperVLAN,廣播風(fēng)暴控制基于端口的

15、802.1Q協(xié)議，整機(jī)最多支持4096個(gè)VLAN,同時(shí)支持基于端 口、MAC的VLAN劃分三層協(xié)議規(guī)范 （v4）IP/IPX (其中 IP 支持 IPv4、IPv6 雙棧)、Static Routing、RIPv1/V2,并支持MD5認(rèn)證、OSPFv2、 BGP4、 IS-IS、 LPM Routing.Policy-based Routing(PBR)、 ECMP、 WCMP、VRRP、 HSRP、IGMP v1/v2/v3、 DVMRP、 PIM-DM、 PIM-SM、 PIM-SSM、 MSDP、 MBGPARP、 ARP Proxy、QoS完全硬件實(shí)現(xiàn)，不影響性能。每端口 8個(gè)隊(duì)列。支

16、持CAR。支持基于802.1p、ToS、端口、DiffServ進(jìn)行流量分類(lèi)還可以根據(jù)ACL-X的80個(gè)字節(jié)高層內(nèi)容進(jìn)行流量分類(lèi)，支持SP、WRR、SWRR、WFQ、CBWFQ、PQ、WRED。為語(yǔ)音/數(shù)據(jù)/視頻在同一網(wǎng)絡(luò)中傳輸提供所要求的不同服務(wù)質(zhì)量支持Traffic Shapping （流量整形）、支持優(yōu)先級(jí)Mark/RemarkACL完全硬件線速實(shí)現(xiàn)，不影響轉(zhuǎn)發(fā)性能。支持標(biāo)準(zhǔn)和擴(kuò)展ACL，支持 IP ACL、基于 IP 子網(wǎng)的 ACL、MAC ACL、IP-MAC ACL，支持基于源/目的IP或MAC、三層IP協(xié)議類(lèi)型、TCP/UDP四層端口號(hào)、IP 優(yōu)先級(jí)（DSCP、ToS、Preced

17、ence）、基于 VLAN、Tag/Untag、CoS 等ACL-X支持基于時(shí)間自動(dòng)改變安全策略。ACL規(guī)則可以配置到端口、VLAN、VLAN路由接口。ACL的深度內(nèi)容可被用于QoS分類(lèi)的標(biāo)準(zhǔn)，深度可達(dá)80字節(jié)。防攻擊和安全功 能S-ARP （安全ARP）功能：ARP檢查、防ARP-DOS攻擊、防地址仿冒 Anti-Sweep：防pingSweep等各類(lèi)掃描行為S-ICMP （安全I(xiàn)CMP）功能：防止PING-DOS攻擊；防 ICMP Unreachable 攻擊S-Buffer功能 防止DDOS攻擊軟件IP流量抗沖擊功能防止DDOS攻擊交換引擎CPU核心保護(hù)功能關(guān)鍵協(xié)議綠色通道功能：可保障合

18、法、頻率正常的關(guān)鍵信令處理端口信任模式：檢測(cè)非法DHCP Server、非法Radius Server等， 只在信任端口才能接入這些設(shè)備。先進(jìn)的LPM技術(shù)：可防止“沖擊波”病毒、“zero day”病毒、“SQL slammer warm ”病 毒等。支持URPF（單播反向路徑檢查），可有效防止IP地址仿冒和攻擊。以上技術(shù)可有效防止各種DOS攻擊（如ARP攻擊，Synflood攻擊，Smurf 攻擊，ICMP攻擊）支持ARP監(jiān)聽(tīng)，防蠕蟲(chóng)、沖擊波，檢測(cè)各種掃描行為 并告警屏蔽應(yīng)用層業(yè)務(wù)管理 功能支持SecAPP特性高可靠性和冗余均衡特性支持MVTE，實(shí)現(xiàn)基于VLAN的流量均衡 支持主/備切換，所

19、有板卡支持熱插拔 支持HSRP，VRRP，支持LACP負(fù)載均衡。 支持Firmware&Config雙容錯(cuò)備份多路（2-3路）電網(wǎng)供電、功率負(fù)載均衡性能調(diào)度機(jī)制 FlexResource支持主機(jī)活動(dòng)狀態(tài)感知和資源智能配置技術(shù) 支持主機(jī)移動(dòng)感知和資源智能配置技術(shù) 可動(dòng)態(tài)回收和再分配芯片資源采用路由匯聚技術(shù)優(yōu)化芯片表項(xiàng)資源米取LPM技術(shù)優(yōu)化芯片表項(xiàng)資源安全可控組播技 術(shù)DCSCM支持組播信源控制，防止非法組播源支持組播用戶可控支持策略組播安全可控組播和Radius聯(lián)動(dòng)支持端口功能支持MAC+端口捆綁、IP+MAC+端口綁定、IP+端口綁定，支持MAC過(guò)濾，支持IP+MAC （無(wú)端口）捆綁支持端口限

20、速（帶寬管理）支持廣播風(fēng)暴控制，支持端口鏡像（CPU端口鏡像、進(jìn)或者出單向/雙向，一對(duì)一，多對(duì)一， 跨板）支持流控：HOL防頭包阻塞，半雙工背壓，全雙工IEEE802.3x支持端口聚合IEEE802.3ad（LACP），最大可支持32組trunk,每trunk 可至8個(gè)端口，每組雙向帶寬可到8GX2，支持負(fù)載均衡。支持端到端GEC/FEC,每組最多8端口DHCP支持 Client、Relay內(nèi)置DHCP Server，無(wú)需外掛，并可以監(jiān)測(cè)非法DHCP Server并告警用戶接入支持 IEEE 802.1xAAA認(rèn)證支持RADIUS，支持RADIUS擴(kuò)展低耗節(jié)能技術(shù)支持，可大大降低功耗，顯著提高

21、設(shè)備散熱性和穩(wěn)定性MPLSMPLS、MPLS VPN、MPLS TE、VPLS (二層 MPLS VPN)IPv6ICMPv6、 ND、RIPng、 OSPFv3、 BGP4+PIM-SM for IPv6, MLD for IPv6 (v1) ,MLDv1/v26to4 Tunnels、 configured Tunnels 、 ISATAP、 NAT-PT網(wǎng)絡(luò)配置和管理 基本功能支持 CLI、支持 Console （RS-232），支持 Telnet，支持 SNMPv1/v2/v3,支持MIB接口，支持Trap支持RMON 1，2，3，9四組網(wǎng)管SysLog支持，可記錄事件到 NVRAM、

22、FLASH、RAM、Telnet、SSH Console、Syslog 服務(wù)器等。配置管理安全支持Security IP功能：防止在非制定區(qū)域非法登陸配置支持安全SNMPv3支持SSHv2支持 TACACS+支持https命令行權(quán)限分級(jí)，獨(dú)立認(rèn)證，不同級(jí)別所能運(yùn)行的命令行權(quán)限NMS功能可以通過(guò)ACL功能控制用戶對(duì)交換機(jī)的訪問(wèn)權(quán)限，包括telnet、web、 SNMP的權(quán)限，可以有效的做到完全控制，實(shí)現(xiàn)NMS功能。SFlow功能支持網(wǎng)絡(luò)流量分析，支持RFC3176，可以實(shí)現(xiàn)基于協(xié)議或地址的流量監(jiān) 控和統(tǒng)計(jì)異常監(jiān)測(cè)和故障檢查功能任務(wù)異常、內(nèi)存異常、CPU利用率、堆棧異常、 交換芯片異常、板卡溫度異

23、常等監(jiān)測(cè)，并告警 線路VCT檢測(cè)功能（檢測(cè)5類(lèi)線故障）配置管理便捷化獨(dú)到的Profile 情景模式，可非常方便地在多種用戶配置間切換“一行 式”設(shè)計(jì)：可極大簡(jiǎn)化復(fù)雜功能的配置cisco風(fēng)格命令行集中網(wǎng)管軟件采取神州數(shù)碼網(wǎng)絡(luò)LinkManager軟件 統(tǒng)一管理物理尺寸（寬深 高）440mmX421mmX266mm436mm*478mm*797mm相對(duì)濕度10%90%無(wú)凝結(jié)運(yùn)行溫度0C40C電源交流：輸入 90260V，5060 Hz；直流：輸入-36V -72V；輸出 12V/25A，5V/10A (此輸出參數(shù)為每一模塊的額定值);功耗W600W4網(wǎng)絡(luò)安全設(shè)計(jì)防火墻 NGFW4000-NF-P本

24、項(xiàng)目中，外網(wǎng)系統(tǒng)部署防火墻。內(nèi)網(wǎng)系統(tǒng)中，防火墻的作用主要是防范整體內(nèi)網(wǎng)系統(tǒng)中其他內(nèi)網(wǎng)單元對(duì)本網(wǎng) 的攻擊并負(fù)責(zé)與國(guó)家及地市級(jí)疾病控制中心網(wǎng)絡(luò)連接；外網(wǎng)系統(tǒng)中，防火墻的作 用主要是防范INTERNET中的惡意攻擊，保證內(nèi)部對(duì)外的安全訪問(wèn)并啟用NAT功 能與INTERNET連接。防火墻設(shè)備選擇天融信網(wǎng)絡(luò)衛(wèi)士千兆防火墻NGFW4000-NF-P。該設(shè)備標(biāo)配1個(gè)10/100/1000MBase-TX接口，提供6個(gè)GBIC插槽，集成防 病毒模塊，大于160萬(wàn)并發(fā)連接與核心交換機(jī)間采用千兆銅纜連接，依托其強(qiáng)大 的防護(hù)功能和數(shù)據(jù)吞吐能力，在有效保護(hù)內(nèi)網(wǎng)的同時(shí)避免了核心設(shè)備到防火墻的 傳輸瓶頸，保證內(nèi)部對(duì)外的順

25、暢訪問(wèn)。該設(shè)備具備如下特點(diǎn)綜合網(wǎng)關(guān)NGFW4000-UF采用天融信自主知識(shí)產(chǎn)權(quán)的安全操作系統(tǒng)TOS (Topsec Operating System)，并采用模塊化結(jié)構(gòu)設(shè)計(jì)，既提高了產(chǎn)品性能，又提高了產(chǎn) 品的靈活性、高效性和安全性。通過(guò)簡(jiǎn)單的license控制，NGFW4000-UF可以集 成防火墻、VPN、SSL-VPN、帶寬管理、反病毒、反垃圾郵件等眾多功能，是高 性能的綜合性的網(wǎng)關(guān)產(chǎn)品。病毒檢測(cè)作為NGFW4000-UF的可擴(kuò)展模塊，TOPSEC AV是郵件病毒及網(wǎng)絡(luò)文件病毒過(guò)濾解決方案，它對(duì)流經(jīng)防火墻的網(wǎng)絡(luò)數(shù)據(jù)內(nèi)容進(jìn)行安全檢查。為企業(yè)提供簡(jiǎn) 便有效的病毒過(guò)濾功能，防止電腦病毒以及惡性程

26、序的入侵。該方案采用基于透明代理和深度數(shù)據(jù)包檢測(cè)(DPI)的技術(shù)，在企業(yè)局域網(wǎng)邊 界處對(duì)常用的應(yīng)用層協(xié)議(SMTP、POP3、HTTP、FTP)數(shù)據(jù)流進(jìn)行過(guò)濾處理。 用戶不需要更改網(wǎng)絡(luò)結(jié)構(gòu)和客戶端計(jì)算機(jī)的參數(shù)設(shè)置，只需要在網(wǎng)關(guān)防火墻處插 入TOPSEC AV，即可對(duì)通過(guò)的數(shù)據(jù)進(jìn)行在線過(guò)濾。查殺郵件正文附件、網(wǎng)頁(yè)及 下載文件中包含的病毒，并即時(shí)將病毒處理信息通過(guò)應(yīng)用層協(xié)議客戶端返回給用 戶。適應(yīng)復(fù)雜的核心網(wǎng)絡(luò)核心網(wǎng)絡(luò)的安全性、穩(wěn)定性是當(dāng)今網(wǎng)絡(luò)的焦點(diǎn)，如何保證核心網(wǎng)絡(luò)的安全， 保證數(shù)據(jù)的24小時(shí)傳輸成為網(wǎng)絡(luò)安全的最受關(guān)注的問(wèn)題。網(wǎng)絡(luò)衛(wèi)士系列防火墻 能夠在核心網(wǎng)絡(luò)中同所有核心網(wǎng)絡(luò)設(shè)備一起實(shí)現(xiàn)高可用性

27、及高安全性的拓?fù)浣Y(jié) 構(gòu)，最大限度地滿足了網(wǎng)絡(luò)的健全性及穩(wěn)定性，保證了整個(gè)核心網(wǎng)絡(luò)的不間斷工 作。當(dāng)核心網(wǎng)絡(luò)中的某條鏈路產(chǎn)生故障時(shí)，網(wǎng)絡(luò)衛(wèi)士系列防火墻能夠動(dòng)態(tài)的切換 鏈路，實(shí)現(xiàn)數(shù)據(jù)的不間斷傳輸。同時(shí)結(jié)合防火墻的其他安全特性，使整個(gè)網(wǎng)絡(luò)無(wú) 比健壯。多級(jí)過(guò)濾的立體訪問(wèn)控制采用了多級(jí)過(guò)濾措施，以基于OS內(nèi)核的核檢測(cè)技術(shù)為核心，提供從鏈路層 到應(yīng)用層的全面安全控制。在MAC層提供基于MAC地址的過(guò)濾控制能力，同時(shí)支持對(duì)各種二層協(xié)議 的過(guò)濾功能；在網(wǎng)絡(luò)層和傳輸層提供基于狀態(tài)檢測(cè)的分組過(guò)濾，可以根據(jù)網(wǎng)絡(luò)地 址、網(wǎng)絡(luò)協(xié)議以及TCP、UDP端口進(jìn)行過(guò)濾，并進(jìn)行完整的協(xié)議狀態(tài)分析；在 應(yīng)用層通過(guò)深度內(nèi)容檢測(cè)機(jī)制，

28、可以對(duì)高層應(yīng)用協(xié)議命令、訪問(wèn)路徑、內(nèi)容、訪 問(wèn)的文件資源、關(guān)鍵字、移動(dòng)代碼等實(shí)現(xiàn)內(nèi)容安全控制；同時(shí)還直接支持豐富的 第三方認(rèn)證，提供用戶級(jí)的認(rèn)證和授權(quán)控制。網(wǎng)絡(luò)衛(wèi)士系列防火墻的多級(jí)過(guò)濾形 成了立體的、全面的訪問(wèn)控制機(jī)制，實(shí)現(xiàn)了全方位的安全控制。安全高效的TOS操作系統(tǒng)具有完全自主知識(shí)產(chǎn)權(quán)的TOS安全操作系統(tǒng)，采用全模塊化設(shè)計(jì)，使用中 間層理念，減少了系統(tǒng)對(duì)硬件的依賴性。入侵檢測(cè)（IDS） TopSentry 2000網(wǎng)絡(luò)衛(wèi)士（NetGuard）入侵檢測(cè)系統(tǒng)是北京天融信公司獲得多項(xiàng)國(guó)際、國(guó)內(nèi) 安全認(rèn)證與獎(jiǎng)項(xiàng)的新一代入侵檢測(cè)與防護(hù)系統(tǒng)。它采用多重檢測(cè)、多層加速、SSL 加密訪問(wèn)檢測(cè)等多項(xiàng)天融信獨(dú)創(chuàng)

29、安全技術(shù)，致力于降低IDS的誤報(bào)率、漏報(bào)率， 提高IDS的捕包與分析能力，并加強(qiáng)IDS對(duì)蠕蟲(chóng)攻擊以及隱含在加密數(shù)據(jù)流中 攻擊的檢測(cè)能力，極大地突破了目前IDS市場(chǎng)普遍存在的瓶頸問(wèn)題。TopSentry 2000百兆入侵檢測(cè)設(shè)備：1U機(jī)型；標(biāo)配3個(gè)10/100BASE-TX端 口（可以用作擴(kuò)展和監(jiān)聽(tīng)）+1個(gè)10/100BASE-TX管理端口，200Mbps吞吐率/100% 檢測(cè)率/攻擊事件數(shù)2800以上。產(chǎn)品特點(diǎn)通過(guò)特有的雙網(wǎng)卡分流重組技術(shù)，可以利用雙網(wǎng)卡分別處理上行和下行網(wǎng)絡(luò) 流量，相當(dāng)于把網(wǎng)卡能力提升一倍，保證了網(wǎng)絡(luò)衛(wèi)士 IDS高效的檢測(cè)性能。系統(tǒng)內(nèi)置600條以上的蠕蟲(chóng)檢測(cè)規(guī)則，實(shí)時(shí)跟蹤、檢

30、測(cè)當(dāng)前最新的蠕蟲(chóng)事件， 最大限度地解決蠕蟲(chóng)發(fā)現(xiàn)滯后的問(wèn)題。通過(guò)解碼基于SSL加密的訪問(wèn)數(shù)據(jù)，分析、檢測(cè)SSL加密訪問(wèn)中的攻擊行 為，從而可以保護(hù)內(nèi)部提供SSL加密訪問(wèn)的重要服務(wù)器的安全性。完整記錄多種應(yīng)用協(xié)議（HTTP、FTP、SMTP、POP3、TELNET等）的內(nèi)容，并按照相應(yīng)的協(xié)議格式進(jìn)行回放，清楚再現(xiàn)入侵者的攻擊過(guò)程，重現(xiàn)內(nèi) 部網(wǎng)絡(luò)資源濫用時(shí)泄漏的保密信息內(nèi)容。通過(guò)天融信網(wǎng)絡(luò)衛(wèi)士安全管理系統(tǒng)（TSM）基于狀態(tài)機(jī)的實(shí)時(shí)關(guān)聯(lián)檢測(cè)技術(shù)， 對(duì)IDS的報(bào)警事件和其他事件進(jìn)行關(guān)聯(lián)分析，有效地提高了 IDS檢測(cè)的準(zhǔn)確3、服務(wù)器部署為了保證網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行在內(nèi)網(wǎng)和外網(wǎng)系統(tǒng)中的核心設(shè)備處部署如下 服務(wù)

31、器：防病毒服務(wù)器安裝網(wǎng)絡(luò)版殺毒軟件，防范病毒感染并定時(shí)升級(jí)殺毒；（內(nèi)、外網(wǎng)各部署一臺(tái)） OA服務(wù)器 安裝OA （辦公自動(dòng)化）軟件，提高辦公效率，逐步實(shí)現(xiàn)無(wú)紙 化辦公；（內(nèi)網(wǎng)部署，本次暫不考慮）內(nèi)/外網(wǎng)應(yīng)用服務(wù)器 可提供常用軟件下載，臨時(shí)資料存儲(chǔ)轉(zhuǎn)移，方便日 常辦公；（內(nèi)外網(wǎng)各部署一臺(tái)，本次暫不考慮）郵件服務(wù)器 提供內(nèi)外網(wǎng)郵件交換服務(wù)；（外網(wǎng)部署一臺(tái)）電子圖書(shū)服務(wù)器 存儲(chǔ)日常業(yè)務(wù)所需電子圖書(shū)、圖片、膠片等資料并提供 查詢?yōu)g覽功能；（內(nèi)網(wǎng)部署一臺(tái)，本次暫不考慮）以上所有服務(wù)器采用浪潮英信服務(wù)器NF280D系列產(chǎn)品，用千兆銅纜與核心 交換機(jī)連接，服務(wù)器使用機(jī)架式設(shè)備，方便設(shè)備安裝，節(jié)省空間并方便統(tǒng)一

32、管理， 下面將詳細(xì)敘述各個(gè)服務(wù)器的配置。（可根據(jù)用戶需求再次詳細(xì)定制）1防病毒服務(wù)器（2臺(tái)）處理器雙核英特爾至強(qiáng)處理器X5110（1.60G）二級(jí)高速緩存2X2MB系統(tǒng)前端總線667/1066/1333MHz內(nèi)存支持 FB- DIMM 533/667 ECC registered 內(nèi)存；集成 8 個(gè) DIMM 插槽， 最大支持32 GB；本方案中配置2GB硬盤(pán)控制器1個(gè)DMA100 IDE通道；6個(gè)SATA通道，可選集成雙通道U320 SCSI， 可選集成8 口 SASRAID集成 SATA、SCSI、SAS RAID0、1、10；可選 SATA、SCSI RAID 5 可選 SAS RAID

33、 5、6存儲(chǔ)最大8個(gè)熱插拔硬盤(pán)槽位，支持SATA、SCSI、SAS硬盤(pán)（支持4 塊以上SCSI、SAS硬盤(pán)需要組件）；本方案中配置73G SCSI硬 盤(pán) *2/RAID1I/O擴(kuò)展槽支持全長(zhǎng)全高2個(gè)PCI-E X8和1個(gè)PCI-X100，可選升級(jí)擴(kuò)展1個(gè) PCI-X100 和 1 個(gè) PCI-EX8I/O 端口外接4 口 SAS，超高密SCSI接口網(wǎng)絡(luò)控制器集成雙千兆網(wǎng)卡，支持WOL（Wake On Line）、I/O加速技術(shù)電源單電源，可選700W1 + 1雙電；本方案中配置冗余電源顯卡主板集成ATI ES1000, 16MB顯存光驅(qū)COMB軟驅(qū)可選USB軟驅(qū)風(fēng)扇熱插拔幾余風(fēng)扇管理功能增強(qiáng)型

34、應(yīng)變散熱系統(tǒng)動(dòng)態(tài)監(jiān)控并智能調(diào)節(jié)CPU溫度、電壓、風(fēng)扇轉(zhuǎn) 速。支持浪潮睿捷管理套件可選即時(shí)遠(yuǎn)程管理技術(shù)：KVM over IP+BMC支持操作系統(tǒng)Windows2000、Windows2003、RedHat AS3.0-up4、RedHat AS4.0-up1、 Suse Linux9.0 SP2 （不同的操作系統(tǒng)下可實(shí)現(xiàn)的硬件配置略有不同， 詳情請(qǐng)咨詢）工作環(huán)境溫度5C35C電源電壓180V240V國(guó)際認(rèn)證ISO9001國(guó)際質(zhì)量管理體系ISO14001國(guó)際環(huán)境管理體系機(jī)箱機(jī)架（高 89mm，寬 427mm，深 648mm）2郵件服務(wù)器（1臺(tái)）處理器雙核英特爾至強(qiáng)處理器X5110（1.60G）二

35、級(jí)高速緩存2X2MB系統(tǒng)前端總線667/1066/1333MHz內(nèi)存支持 FB- DIMM 533/667 ECC registered 內(nèi)存；集成 8 個(gè) DIMM 插 槽，最大支持32 GB；本方案中配置2GB硬盤(pán)控制器1個(gè)DMA100 IDE通道;6個(gè)SATA通道，可選集成雙通道U320 SCSI， 可選集成8 口 SASRAID集成 SATA、SCSI、SASRAID0、1、10；可選SATA、SCSI RAID 5； 可選SAS RAID 5、6；本方案中配置獨(dú)立RAID卡，作RAID5存儲(chǔ)最大8個(gè)熱插拔硬盤(pán)槽位，支持SATA、SCSI、SAS硬盤(pán)（支持 4塊以上SCSI、SAS硬盤(pán)

36、需要組件）；本方案中配置146G SCSI 硬盤(pán) *5/RAID5I/O擴(kuò)展槽支持全長(zhǎng)全高2個(gè)PCI-E X8和1個(gè)PCI-X100，可選升級(jí)擴(kuò)展1 個(gè) PCI-X100 和 1 個(gè) PCI-EX8I/O 端口外接4 口 SAS，超高密SCSI接口網(wǎng)絡(luò)控制器集成雙千兆網(wǎng)卡，支持WOL（Wake On Line）、I/O加速技術(shù)電源單電源，可選700W1 + 1雙電；本方案中配置冗余電源顯卡主板集成ATI ES1000，16MB顯存光驅(qū)COMB軟驅(qū)可選USB軟驅(qū)風(fēng)扇熱插拔幾余風(fēng)扇管理功能增強(qiáng)型應(yīng)變散熱系統(tǒng)動(dòng)態(tài)監(jiān)控并智能調(diào)節(jié)CPU溫度、電壓、風(fēng)扇 轉(zhuǎn)速。支持浪潮睿捷管理套件可選即時(shí)遠(yuǎn)程管理技術(shù)：K

37、VM over IP+BMC支持操作系統(tǒng)Windows2000、 Windows2003、 RedHat AS3.0-up4、 RedHatAS4.0-up1、Suse Linux9.0 SP2 （不同的操作系統(tǒng)下可實(shí)現(xiàn)的硬 件配置略有不同，詳情請(qǐng)咨詢）工作環(huán)境溫度5C35C電源電壓180V240V國(guó)際認(rèn)證ISO9001國(guó)際質(zhì)量管理體系ISO14001國(guó)際環(huán)境管理體系機(jī)箱機(jī)架（高 89mm，寬 427mm，深 648mm）3 KVM服務(wù)器切換器（CA108DC）無(wú)論您的服務(wù)器是USB接口還是PS2接口，你可以用CA108DC把他們控制在 一個(gè)平臺(tái)下管理;更重要的是在控制端，您還可以選擇使用US

38、B或PS2鍵盤(pán)鼠標(biāo)。 CA108DC方便您對(duì)服務(wù)器的管理：?jiǎn)斡脩? 口切換器，通過(guò)級(jí)聯(lián)可控制64臺(tái)PS/2、USB接口的計(jì)算機(jī)支持PS/2、USB服務(wù)器單用戶訪問(wèn)管理式切換器最多可支持8臺(tái)電腦主機(jī)在屏顯示菜單OSD多級(jí)密碼功能1U單元設(shè)計(jì)19英寸機(jī)架安裝自動(dòng)巡檢熱插拔熱鍵切換主要規(guī)格類(lèi)型KVM切換器輸入接口8路輸入輸出接口1路輸出帶寬250MHz支持分辨率1600 x1200切換方式按鈕/熱鍵/OSD/i動(dòng)電氣規(guī)格電源電壓（V）176-264電源頻率（Hz）50/60功率（W）2環(huán)境參數(shù)工作溫度0-50 C工作濕度0-90%存儲(chǔ)溫度-20-60 C存儲(chǔ)濕度0-95%4、軟件系統(tǒng)1操作系統(tǒng)軟件服

39、務(wù)器操作系統(tǒng)選擇的是Windows Server 2003企業(yè)版（25User）oWindows Server 2003專(zhuān)作為網(wǎng)絡(luò)操作系統(tǒng)或服務(wù)器操作系統(tǒng)，高性能、高 可靠性和高安全性是其必備要素，尤其是日趨復(fù)雜的企業(yè)應(yīng)用和Internet應(yīng)用， 對(duì)其提出了更高的要求。微軟的企業(yè)級(jí)操作系統(tǒng)中，如果說(shuō)Windows 2000全面 繼承了 NT技術(shù)，那么Windows Server 2003則是依據(jù).Net架構(gòu)對(duì)NT技術(shù)作了 重要發(fā)展和實(shí)質(zhì)性改進(jìn)，凝聚了微軟多年來(lái)的技術(shù)積累，并部分實(shí)現(xiàn)了.Net戰(zhàn) 略，或者說(shuō)構(gòu)筑了.Net戰(zhàn)略中最基礎(chǔ)的一環(huán)2郵件系統(tǒng)軟件Exchange 2003是Microsof

40、t消息服務(wù)和協(xié)作服務(wù)器，旨在幫助您的企業(yè) 更有效地進(jìn)行通信。Exchange 2003 與 Microsoft Office Outlook 2003 提供 的豐富的客戶端功能協(xié)同工作，可提供具有一流安全性和隱私性的移動(dòng)、遠(yuǎn)程和 桌面電子郵件訪問(wèn)；通過(guò)Microsoft Windows Server2003提供的服務(wù)降低了擁 有成本;提供高可靠性和卓越的性能;提供基于電子郵件的協(xié)作以及輕松的升級(jí)、 部署和管理。3防毒軟件卡巴斯基的引擎代表著業(yè)界最高水準(zhǔn)，卡巴斯基的反病毒引擎和病毒庫(kù)，一 直以其嚴(yán)謹(jǐn)?shù)慕Y(jié)構(gòu)、徹底的查殺能力為業(yè)界稱道。病毒庫(kù)的大小卡巴斯基的病毒庫(kù)是病毒最全的病毒庫(kù)，但是由于其獨(dú)特的

41、結(jié)構(gòu)，雖然目前 病毒樣本數(shù)目高達(dá)14萬(wàn)，但是卻只有5M。病毒庫(kù)的更新速度即對(duì)新病毒的反應(yīng)速度。病毒庫(kù)的更新頻率越高，系統(tǒng)得到的保護(hù)就越可靠。 卡巴斯基反病毒數(shù)據(jù)庫(kù)常規(guī)3小時(shí)更新數(shù)據(jù)庫(kù)（必要時(shí)1小時(shí)更新），每次更新 的數(shù)據(jù)庫(kù)僅有3-20KB。用戶可以通過(guò)更新模塊自動(dòng)下載病毒數(shù)據(jù)庫(kù)，也可以 手動(dòng)從網(wǎng)站下載病毒庫(kù)后本地更新?？ò退够膬?yōu)勢(shì)主要有：1、對(duì)新病毒的反應(yīng)全球最快，每小時(shí)一次的病毒庫(kù)更新。2、擁有全球最全的病毒庫(kù)，目前病毒庫(kù)的數(shù)量已經(jīng)超過(guò)25萬(wàn)。3、對(duì)操作系統(tǒng)的支持最廣。4、對(duì)病毒的清除能力最強(qiáng)。5、性價(jià)比最好。技術(shù)特點(diǎn)在防病毒數(shù)據(jù)庫(kù)中使用偽指令技術(shù)所謂偽指令技術(shù)就是除將病毒特征碼寫(xiě)入病毒庫(kù)

42、外，還將病毒清除方法寫(xiě)入 病毒庫(kù)中，掃描引擎識(shí)別后可用于清除病毒。這樣只需要更新病毒庫(kù)而無(wú)需更新 掃描引擎就可以識(shí)別和清除新病毒，這就是卡巴斯基清除病毒能力強(qiáng)、很少提供 專(zhuān)用殺毒工具的原因。第一個(gè)可掃描存檔和壓縮文件中病毒的軟件支持Windows和Unix的多達(dá) 900種存檔和壓縮格式的掃描，是所有防病毒廠商中支持存檔和壓縮格式掃描最 多的。這也是所有防病毒廠商現(xiàn)在都支持的功能，目前已經(jīng)成為業(yè)界的標(biāo)準(zhǔn)，但是 仍以卡巴斯基支持的文件種類(lèi)眾多而獨(dú)占鰲頭.全球第一個(gè)集成的Ofce2000防病毒系統(tǒng)卡巴斯基的OfficeGuard模塊負(fù)責(zé) 宏程序的執(zhí)行前的監(jiān)聽(tīng)，有效地禁止惡意宏的執(zhí)行，同時(shí)Mailch

43、ecker嵌入到 Outlook中，對(duì)進(jìn)出的郵件和郵件數(shù)據(jù)庫(kù)進(jìn)行保護(hù)。有效地防止宏病毒。并且由 于是嵌如到Office系統(tǒng)，所以殺毒徹底響應(yīng)速度快。 全球領(lǐng)先的“I-CHECKER”掃描技術(shù)I-Checker技術(shù)主要針對(duì)先前掃描過(guò)卻沒(méi)有更動(dòng)的文件，允許掃描程序略過(guò)，這期間是通過(guò)的資料庫(kù)的總和和檢查碼比對(duì)，來(lái)確定操作行為的。而I-Stream技技術(shù)則是針對(duì)NTFS檔案系統(tǒng)，對(duì)NTFS數(shù)據(jù)流進(jìn)行檢測(cè)。采這兩種技術(shù)可以大大加快掃描速度，減少了對(duì)系統(tǒng)資源的占用時(shí)間。啟發(fā)式掃描卡巴斯基的啟發(fā)式掃描技術(shù)在原理上得到了首先的突破；第二代 啟發(fā)式掃描技術(shù)因其在技術(shù)原理上的突破，對(duì)未知病毒的檢測(cè)已經(jīng)達(dá)到了極限水

44、 平，卡巴斯基對(duì)未知病毒的檢測(cè)率已經(jīng)在92%以上。目前，它是全世界唯一不需更新病毒定義數(shù)據(jù)庫(kù)而成功地阻截了愛(ài)蟲(chóng)及其所有變 種病毒。世界上第一個(gè)用于指令解碼的虛擬機(jī)技術(shù)虛擬機(jī)，在反病毒界也被稱為通用解密器?；蛘哒f(shuō)是行為判斷技術(shù)，它是利 用代碼在內(nèi)存中構(gòu)建出一個(gè)模擬的計(jì)算機(jī)環(huán)境，叫做虛擬機(jī)，所有的程序都可以 在這個(gè)虛擬機(jī)中執(zhí)行，不過(guò)這種執(zhí)行是被行為判斷引擎控制的，它會(huì)邊執(zhí)行邊分 析程序的行為，當(dāng)發(fā)現(xiàn)該程序有破壞的動(dòng)作時(shí)，就鑒定出該病毒，并對(duì)該程序進(jìn) 行相應(yīng)的處理。第一個(gè)集成的Linux反病毒系統(tǒng)隨著Linux操作系統(tǒng)的廣泛應(yīng)用，基于Linux系統(tǒng)傳播的計(jì)算機(jī)病毒也出現(xiàn) 了，這種病毒通常含有后門(mén)程序

45、，在系統(tǒng)設(shè)置后門(mén)，等待黑客的入侵。同時(shí)也會(huì) 有Windows病毒雖然不會(huì)直接感染Linux的操作系統(tǒng)，但會(huì)將被作為Windows 病毒的中轉(zhuǎn)站來(lái)實(shí)現(xiàn)病毒入侵。隨著Linux的成長(zhǎng)，且進(jìn)入企業(yè)環(huán)境，集成與協(xié)同 能力將是一個(gè)關(guān)鍵問(wèn)題，我們不能再忽視病毒的存在，我們需要有能力提供集成 病毒檢測(cè)和修復(fù)。第一個(gè)針對(duì)于Postfix及Exim郵件網(wǎng)關(guān)的防毒系統(tǒng)當(dāng)美麗莎病毒發(fā)作時(shí)，一些Linux服務(wù)器的sendmail處理郵件量開(kāi)始過(guò)載并且 不得不停機(jī)，而ExploreZip病毒爆發(fā)時(shí)，一些運(yùn)行Samba的Linux服務(wù)器不得不與 刪除數(shù)據(jù)文件的Windows客戶機(jī)進(jìn)行較量，這些數(shù)據(jù)文件往往非常重要。從這個(gè)

46、 角度說(shuō),Linux要想對(duì)付這些病毒，就只能將主機(jī)的網(wǎng)線拔掉，卡巴斯基的郵件網(wǎng) 關(guān)讓這些問(wèn)題迎刃而解。5、供電防雷系統(tǒng)設(shè)計(jì)1機(jī)房防雷系統(tǒng)設(shè)計(jì)說(shuō)明在設(shè)計(jì)思想上，本方案是可行、意向性的防雷方案。計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)所在機(jī) 房一般具備直擊雷防護(hù)系統(tǒng)，這屬于國(guó)家法規(guī)強(qiáng)制執(zhí)行的，所以有關(guān)計(jì)算機(jī)網(wǎng)絡(luò) 系統(tǒng)防直擊雷措施的內(nèi)容，在本方案中不做詳細(xì)的描敘，如果有不完善的地方或 需要重新設(shè)計(jì)，我公司可根據(jù)實(shí)際情況另外設(shè)計(jì)防直擊雷方案。本方案將主要對(duì) 計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)備做感應(yīng)雷擊防護(hù)措施，本方案的設(shè)計(jì)、施工及防感應(yīng)雷系統(tǒng) 的正常運(yùn)行都是建立在與之相關(guān)的直擊雷防護(hù)系統(tǒng)正常工作的基礎(chǔ)之上，如果直 擊雷防護(hù)系統(tǒng)不能正常工作（如

47、：地網(wǎng)的接地電阻過(guò)大等），則按本方案設(shè)計(jì)的 感應(yīng)雷擊防護(hù)系統(tǒng)的性能會(huì)有所減退。5. 2設(shè)計(jì)依據(jù)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)防雷方案在設(shè)計(jì)時(shí)參照如下國(guó)內(nèi)及國(guó)際相關(guān)標(biāo)準(zhǔn)：建筑物防雷設(shè)計(jì)規(guī)范GB50057-94低壓配電設(shè)計(jì)規(guī)范GB50054-95電子設(shè)備雷擊防護(hù)導(dǎo)則GB7450-87電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范GB50174-93BS6651、CCITT、IEC 等相關(guān)標(biāo)準(zhǔn)5.3主要防雷產(chǎn)品介紹SANKOSHA系列產(chǎn)品設(shè)計(jì)思路先進(jìn)、性能穩(wěn)定，符合：IEC、IEEE、CCITT、 UL、BS等相關(guān)標(biāo)準(zhǔn)。本公司防感應(yīng)雷擊系列產(chǎn)品已通過(guò)原郵電部通信產(chǎn)品防護(hù) 性能監(jiān)督檢驗(yàn)測(cè)試中心檢測(cè)，同時(shí)也獲得了公安部的銷(xiāo)售許可。（一）、SA

48、NKOSHA防雷器的性能特點(diǎn)1、電源防雷器（SK-98）采用壓敏電阻與氣體放電管組合的放電回路，解決了單壓敏電阻漏電不穩(wěn)、單氣體放電管有續(xù)流的問(wèn)題。由于設(shè)計(jì)精密?chē)?yán)謹(jǐn)，防雷器響應(yīng)時(shí)間小于 25ns o一體化設(shè)計(jì)，將縱向保護(hù)模塊和橫向保護(hù)模塊設(shè)計(jì)成一個(gè)整體，便于安裝， 減少了因接點(diǎn)多而可能引發(fā)的電氣故障。一次性降壓：一次性將雷電壓（6KV）抑制到設(shè)備安全電壓范圍內(nèi)（600V）。殘壓低：殘壓為600V，加強(qiáng)型（M4）低致570V。是目前殘壓最低的防雷產(chǎn) 品。過(guò)渡性指示雷電泄流量大：采用獨(dú)有的MOVTP專(zhuān)利技術(shù)，普通型泄流量為80KA，加強(qiáng)型 為 120KA。全保護(hù)功能：即有相對(duì)中、相對(duì)地、中對(duì)地保護(hù)

49、，其中相對(duì)中保護(hù)是SANKOSHA 系列產(chǎn)品所特有的功能。應(yīng)用了 Sovtrip專(zhuān)利技術(shù)，對(duì)防雷系統(tǒng)的接線錯(cuò)誤有閃燈報(bào)警。如：相線、 中線、地線中任何一條接錯(cuò)或接觸不良，防雷器都有明確的指示，它實(shí)時(shí)監(jiān) 視防雷系統(tǒng)的運(yùn)作情況，這一點(diǎn)是很有實(shí)用價(jià)值的。防爆外殼設(shè)計(jì)，可應(yīng)用于各種惡劣環(huán)境（-40C至70C）2、電源防雷器（SK-70）SK70防雷器主要作為暴露設(shè)備的單相或三相網(wǎng)絡(luò)的主級(jí)保護(hù)裝置。每個(gè)插入 式”模塊集成了加強(qiáng)保護(hù)設(shè)計(jì)和具有“后備”功能的二級(jí)斷開(kāi)設(shè)計(jì)。產(chǎn)品有 單相、三相等型號(hào)。采用壓敏電阻、氣體放電管、瞬變抑制二極管等組合放電回路，響應(yīng)快（小 于10ns），殘壓準(zhǔn)確。品種齊全，對(duì)于不同的

50、電壓、不同的頻率、不同的阻抗、不同的接口都有相 應(yīng)的產(chǎn)品。設(shè)有縱向保護(hù)和橫向保護(hù)，每線泄流量10KA。（二）、與單一元件（模塊式）防雷器的比較首先介紹一下防雷產(chǎn)品的發(fā)展史：第一代是根據(jù)尖端放電原理制造的火花間 隙，優(yōu)點(diǎn)是泄流量大（100KA），缺點(diǎn)是殘壓太高（4KV）。第二代是氧化硅（基本 上已淘汰）及氧化鋅壓敏電阻（MOV）制造的防雷器，優(yōu)點(diǎn)是泄流量較大（50KA）， 殘壓較低（1.5KV以下），缺點(diǎn)是有泄漏電流、發(fā)熱、參數(shù)隨時(shí)間會(huì)發(fā)生變化。后來(lái)又發(fā)明了氣體放電管，它具有壓敏電阻的優(yōu)點(diǎn)，而且基本上解決了泄漏電流 的問(wèn)題。第三代是半導(dǎo)體防雷元件，即穩(wěn)壓二極管和瞬變二極管，優(yōu)點(diǎn)是響應(yīng)時(shí) 間快，殘

51、壓低而精確，缺點(diǎn)是泄流量小。比如市場(chǎng)上銷(xiāo)售的國(guó)外及國(guó)產(chǎn)的絕大多數(shù)品牌均是單一元件氧化鋅壓敏電 阻（MOV）制造的防雷器，防雷器的質(zhì)量完全取決于氧化鋅壓敏電阻的特性，防 雷性能會(huì)隨著元件本身性能的局限性、老化、時(shí)間推移等因素，發(fā)生較大減退。SNKOSHA防雷器是結(jié)合以上第二、三代防雷器件，優(yōu)化超前設(shè)計(jì)的防雷器， 防雷元件超過(guò)200個(gè)，每個(gè)泄流單元由三級(jí)組成，集中了所有的優(yōu)點(diǎn)（泄流量大, . .響應(yīng)時(shí)間快、殘壓低而精確-目前最低、壽命長(zhǎng)）5.4機(jī)房防雷設(shè)計(jì)方案（1）防感應(yīng)雷擊設(shè)計(jì)思想感應(yīng)雷的防護(hù)應(yīng)從電源部分和信號(hào)部分雙方面的考慮。要達(dá)到良好的效果， 必須多方面考慮，比如：安裝防雷器、做好屏蔽、規(guī)范

52、布線等等。從而達(dá)到良好 的效果。（2）配電系統(tǒng)過(guò)電壓保護(hù)引入大樓的總配電室（柜）電源是由市電引入的，市電高壓線路一般是經(jīng)過(guò) 一些空曠地區(qū)或高地，最容易成為雷電的上行先導(dǎo)，受到直擊雷、感應(yīng)雷擊機(jī)率 較大。所以必須在總配電柜電源入口加裝配電電源過(guò)電壓保護(hù)裝置，此處采用三 項(xiàng)四線電源防雷SK-70系列：A防止由市電網(wǎng)引入的感應(yīng)雷擊；B消除由大樓各 層配電箱到主配電室這一段線路受到電磁感應(yīng)，引入感應(yīng)雷，這一情況出現(xiàn)在大 樓直接接閃，或是附近建筑物接閃，會(huì)引起極強(qiáng)的空間瞬變電磁場(chǎng)，產(chǎn)生感應(yīng)雷 擊。C消除樓內(nèi)大型用電設(shè)備在啟動(dòng)或停止時(shí)，產(chǎn)生的浪涌對(duì)供電系統(tǒng)產(chǎn)生的影 響。（注：這部分防雷系統(tǒng)應(yīng)在大樓建設(shè)是配

53、備）在計(jì)算機(jī)機(jī)房，所有網(wǎng)絡(luò)設(shè)備的用電都是通過(guò)一臺(tái)UPS電源提供的。作為計(jì) 算機(jī)網(wǎng)絡(luò)的重點(diǎn)防雷保護(hù)對(duì)象，必須在此UPS的前端加裝一臺(tái)電源過(guò)電壓保護(hù)裝 置SK-98單相源防雷器（或SK-70/4P三相四線防雷器）一臺(tái)作為三級(jí)防護(hù)，系 統(tǒng)（如：UPS電源、網(wǎng)絡(luò)交換機(jī)、服務(wù)器）實(shí)施防護(hù)。其目的是：A對(duì)計(jì)算機(jī)機(jī) 房的用網(wǎng)絡(luò)設(shè)備實(shí)行雙重保護(hù)（特別是重點(diǎn)設(shè)備）；B消除由大樓總配電室到計(jì)算機(jī)機(jī)房這一段線路受到電磁感應(yīng)，引入感應(yīng)雷，這一情況出現(xiàn)在大樓直接接閃， 或是附近建筑物接閃，會(huì)引起極強(qiáng)的空間瞬變電磁場(chǎng)，產(chǎn)生感應(yīng)雷擊。C消除樓 內(nèi)大型用電設(shè)備在啟動(dòng)或停止時(shí)，產(chǎn)生的浪涌對(duì)供電系統(tǒng)產(chǎn)生的影響。分配電箱UPS電源

54、計(jì)算機(jī)設(shè)備nil IIIIIIII Illi IIIIIIIII總配電柜市電網(wǎng)引入加裝電源防雷器后，可使雷電到達(dá)電子設(shè)備端口之前，通過(guò)電源防雷器泄流，將雷電壓控制在電子設(shè)備能夠接受的安全范圍內(nèi)（600V），從而達(dá)到保護(hù)電子設(shè) 備免受雷擊的目的。因此，首先，在總機(jī)房的配線箱加裝防雷模塊，使其達(dá)到泄流的作用；其次 在總機(jī)房的重要配置設(shè)備，例如UPS前段加裝單模塊避雷器;另外，網(wǎng)絡(luò)機(jī)柜采用 電源防雷插座。防雷方案設(shè)備清單品名型號(hào)單位數(shù)量備注電源避雷器SK-70/4P只1配電柜前端防雷插座6孔只4網(wǎng)絡(luò)機(jī)柜合計(jì)6、配線系統(tǒng)配線系統(tǒng)描述單位數(shù)量備注配線架24 口超五類(lèi)配線架個(gè)4連接樓層交換機(jī)24 口千兆配

55、線架個(gè)4連接核心交換千兆口與服務(wù)器理線架金屬理線架1U個(gè)8千兆網(wǎng)線箱1連接服務(wù)器與核心交換千兆跳線條16連接千兆配線架與服務(wù)器、核心交換雙絞線跳線超五類(lèi)1米條96連接超五類(lèi)配線架與核心百兆口7、方案特點(diǎn)網(wǎng)絡(luò)平臺(tái)千兆以太網(wǎng)技術(shù)在網(wǎng)絡(luò)技術(shù)上要有性能價(jià)格比較好的選擇。就是選擇千兆以太網(wǎng)。其他的網(wǎng) 絡(luò)技術(shù)還有諸如以太網(wǎng)、FDDI、ATM等，但都由于技術(shù)上已經(jīng)落伍或不能保護(hù)用 戶的投資、提供足夠的網(wǎng)絡(luò)性能，在設(shè)計(jì)時(shí)不為考慮。以太網(wǎng)技術(shù)從發(fā)明到現(xiàn)在已經(jīng)經(jīng)過(guò)了四分之一個(gè)世紀(jì)的時(shí)間，在二十多年的 時(shí)間里，以太網(wǎng)技術(shù)先后經(jīng)過(guò)了 10M共享、100M共享、10M交換、100M交換、 第三層交換，直至今日的千兆以太

56、網(wǎng)，以太網(wǎng)已經(jīng)是一種非常非常成熟的技術(shù)， 有著統(tǒng)一的規(guī)范。事實(shí)上，千兆以太網(wǎng)并不是什么全新的網(wǎng)絡(luò)技術(shù)，它只是快速 以太網(wǎng)的延伸而已，除了在提供的網(wǎng)絡(luò)帶寬方面由原來(lái)的100M交換變成1000M 交換，交換速度是原來(lái)的10倍之外，在技術(shù)方面并沒(méi)有什么全新的變化，用戶 無(wú)需學(xué)習(xí)新的技術(shù)就可以直接使用和維護(hù)千兆以太網(wǎng)設(shè)備。在多媒體的支持方面，以太網(wǎng)自身也已經(jīng)做了很多改進(jìn)。CoS和QoS支持已 經(jīng)非常完善。802. 1P可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)上傳輸?shù)男畔膬?yōu)先級(jí)控制。而且，現(xiàn) 有的多媒體應(yīng)用程序大部分都是在以太網(wǎng)環(huán)境中開(kāi)發(fā)的，像VOD(視頻點(diǎn)播)，只 需要占用以太網(wǎng)1.5M的帶寬，因此，100M交換到桌面的以

57、太網(wǎng)環(huán)境已經(jīng)完全可 以實(shí)現(xiàn)現(xiàn)有的視頻應(yīng)用。整個(gè)網(wǎng)絡(luò)應(yīng)具有層次結(jié)構(gòu)的帶寬，以達(dá)到整個(gè)網(wǎng)絡(luò)的信息流量均衡，不致在 網(wǎng)絡(luò)的某處造成網(wǎng)絡(luò)瓶頸。設(shè)計(jì)中應(yīng)將各種不同的技術(shù)分布于桌面和骨干；將 100BaseT以太技術(shù)應(yīng)用于網(wǎng)絡(luò)的桌面連接當(dāng)中，將1000M移入他們的網(wǎng)絡(luò)骨干 中，保證線速交換，提供強(qiáng)有力的網(wǎng)絡(luò)服務(wù)以支持復(fù)雜的應(yīng)用環(huán)境。在最大條件 下設(shè)計(jì)出最佳的性能。網(wǎng)絡(luò)安全防護(hù)防火墻訪問(wèn)控制可限制使用者或應(yīng)用服務(wù)的對(duì)象訪問(wèn)企業(yè)網(wǎng)絡(luò)，以保護(hù)企業(yè)內(nèi)部資 源。執(zhí)行訪問(wèn)控制參數(shù)必須是簡(jiǎn)單且直接的，以一個(gè)明確的圖形使用者接口 (GUI) 操作，最好全部的組件都是使用對(duì)象導(dǎo)向的方式來(lái)定義。而每一個(gè)規(guī)則能包含任 何網(wǎng)絡(luò)對(duì)

58、象、服務(wù)、動(dòng)作和追蹤機(jī)置，并可判斷規(guī)則的沖突性。防火墻除必須提 供安全的存取控制外，還必須抵擋惡意的攻擊。例如IP Spoofing、Denial of Service、Ping of Death等等。所以我公司為疾控中心提供天融信NGFW4000-NF 防火墻。當(dāng)使用者與目的主機(jī)聯(lián)機(jī)時(shí)，在通訊被允許進(jìn)行之前，認(rèn)證服務(wù)可以安全地 確認(rèn)他們身份的有效性，且不需要修改服務(wù)器或客戶端應(yīng)用軟件。認(rèn)證服務(wù)是可 完全的被整合到企業(yè)整體的安全政策內(nèi)，并能經(jīng)由防火墻圖形使用者接口集中管 理。所有的認(rèn)證會(huì)話也都能經(jīng)由防火墻日志瀏覽器來(lái)監(jiān)視和追蹤。認(rèn)證的機(jī)制 包括固定的密碼（如OS及防火墻的密碼）以及動(dòng)態(tài)的One

59、 Time Password的密 碼（如S/key、SectrID、RADIUS等）。如要使用固定的密碼認(rèn)證，建議使用防火 墻的密碼一定要保證安全，但是固定密碼還是容易被監(jiān)聽(tīng)，最好是使用One Time Password的方式，以防止被竊取。防火墻所提供的內(nèi)容安全能力，可達(dá)到最高層次的應(yīng)用服務(wù)協(xié)議檢測(cè)，以保 護(hù)使用者企業(yè)資源。內(nèi)容安全包含計(jì)算機(jī)病毒和惡意Java與ActiveX Applets 的內(nèi)容安全性檢查，并經(jīng)由圖形的接口可集中管理。另外提供開(kāi)放平臺(tái)的安全企 業(yè)連接（OPSEC）架構(gòu)的API，可整合第三者廠商內(nèi)容過(guò)濾的應(yīng)用。主要的應(yīng)用 如URL過(guò)濾、電子郵件的支持、FTP的支持。綜上兩點(diǎn)

60、所述，采用入侵檢測(cè)系統(tǒng)和防火墻配合使用，可使網(wǎng)絡(luò)更為安全， 以保證用戶的安全性和網(wǎng)絡(luò)的穩(wěn)定長(zhǎng)效運(yùn)行。VLAN劃分內(nèi)部局域網(wǎng)采用基于交換機(jī)端口的VLAN（虛擬網(wǎng)）劃分技術(shù)，根據(jù)需要把若 干交換機(jī)的端口劃入相應(yīng)的VLAN中。VLAN主要根據(jù)交換機(jī)端口所連接設(shè)備的所 屬位置和部門(mén)的不同來(lái)進(jìn)行劃分。配合訪問(wèn)控制列表，實(shí)現(xiàn)一定的安全隔離。VLAN的劃分遵循如下原則：對(duì)于樓內(nèi)的計(jì)算機(jī)按照機(jī)器的用途進(jìn)行VLAN劃分。對(duì)于一些對(duì)安全性要求 較高的專(zhuān)用的計(jì)算機(jī)，由于其安全要求和使用權(quán)限較高，所以這些計(jì)算機(jī)單獨(dú)劃 分一個(gè)或者多個(gè)VLAN。對(duì)于一些使用范圍涉及整個(gè)單位的服務(wù)器，根據(jù)服務(wù)內(nèi)容的不同和其上數(shù)據(jù) 的安全要