【正文】 圖書館內(nèi)部的辦公網(wǎng)絡(luò)與外網(wǎng)分開，在安全域之間劃分清晰的邏輯網(wǎng)絡(luò)邊界，以便在邊界接合點(diǎn)部署必要的安全機(jī)制，對不同的網(wǎng)絡(luò)安全區(qū)域進(jìn)行隔離，對跨越安全域的通信進(jìn)行訪問控制，拒絕不符合安全策略的通信行為?！　≡谥匾陌踩珔^(qū)域內(nèi)部署積極防御機(jī)制，實(shí)時(shí)監(jiān)控可能存在的網(wǎng)絡(luò)攻擊行為，并能夠作出及時(shí)適當(dāng)?shù)捻憫?yīng)動作?！　ΜF(xiàn)有的企業(yè)防病毒系統(tǒng)進(jìn)行全面升級，建立起切實(shí)有效的綜合病毒防治體系，切斷病毒的主要傳播途徑，避免病毒爆發(fā)事件給省圖書館內(nèi)部信息系統(tǒng)造成嚴(yán)重影響?！　〗⒅鲃酉到y(tǒng)安全管理機(jī)制，利用安全漏洞掃描等工具輔助實(shí)現(xiàn)高效的系統(tǒng)安全加固，為業(yè)務(wù)應(yīng)用系統(tǒng)提供一個(gè)風(fēng)險(xiǎn)較低的網(wǎng)絡(luò)平臺?！　榱擞行ЬS護(hù)省圖書館內(nèi)部網(wǎng)絡(luò)對外邊界的一致性，應(yīng)當(dāng)部署實(shí)時(shí)監(jiān)控系統(tǒng)，及時(shí)發(fā)現(xiàn)可能存在的非法對外連接，并盡快作出響應(yīng)，避免造成更加嚴(yán)重的后果。2 系統(tǒng)集成建設(shè)方案 系統(tǒng)集成建設(shè)原則216。 這是我們設(shè)計(jì)時(shí)要考慮的總體原則，它必需滿足設(shè)計(jì)目標(biāo)中的要求，遵循系統(tǒng)整體性、先進(jìn)性和可擴(kuò)充性原則，建立經(jīng)濟(jì)合理、資源優(yōu)化的系統(tǒng)設(shè)計(jì)方案。下面我們分別逐個(gè)進(jìn)行討論： 先進(jìn)性原則采用當(dāng)今國內(nèi)、國際上最先進(jìn)和成熟的計(jì)算機(jī)軟硬件技術(shù)，使新建立的系統(tǒng)能夠最大限度地適應(yīng)今后技術(shù)發(fā)展變化和業(yè)務(wù)發(fā)展變化的需要，從目前國內(nèi)發(fā)展來看，系統(tǒng)總體設(shè)計(jì)的先進(jìn)性原則主要體現(xiàn)在以下幾個(gè)方面： 采用的系統(tǒng)結(jié)構(gòu)應(yīng)當(dāng)是先進(jìn)的、開放的體系結(jié)構(gòu)； 采用的計(jì)算機(jī)技術(shù)應(yīng)當(dāng)是先進(jìn)的，如雙機(jī)熱備份技術(shù)、雙機(jī)互為備份技術(shù)、共享陣列盤技術(shù)、容錯(cuò)技術(shù)、RAID技術(shù)等集成技術(shù)、多媒體技術(shù)； 采用先進(jìn)的網(wǎng)絡(luò)技術(shù)，如網(wǎng)絡(luò)交換技術(shù)、網(wǎng)管技術(shù)，通過智能化的網(wǎng)絡(luò)設(shè)備及網(wǎng)管軟件實(shí)現(xiàn)對計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的有效管理與控制；實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)運(yùn)行情況,及時(shí)排除網(wǎng)絡(luò)故障，及時(shí)調(diào)整和平衡網(wǎng)上信息流量； 先進(jìn)的現(xiàn)代管理技術(shù)，以保證系統(tǒng)的科學(xué)性。 實(shí)用性原則實(shí)用性就是能夠最大限度地滿足實(shí)際工作要求，是每個(gè)信息系統(tǒng)在建設(shè)過程中所必須考慮的一種系統(tǒng)性能，它是自動化系統(tǒng)對用戶最基本的承諾，所以，從實(shí)際應(yīng)用的角度來看，這個(gè)性能更加重要，為了提高辦公自動化和管理信息系統(tǒng)中系統(tǒng)的實(shí)用性，應(yīng)該考慮如下幾個(gè)方面： 系統(tǒng)總體設(shè)計(jì)要充分考慮用戶當(dāng)前各業(yè)務(wù)層次、各環(huán)節(jié)管理中數(shù)據(jù)處理的便利性和可行性，把滿足用戶業(yè)務(wù)管理作為第一要素進(jìn)行考慮； 采取總體設(shè)計(jì)、分步實(shí)施的技術(shù)方案，在總體設(shè)計(jì)的前提下，系統(tǒng)實(shí)施中可首先進(jìn)行業(yè)務(wù)處理層及管理中的低層管理，穩(wěn)步向中高層管理及全面自動化過渡，這樣做可以使系統(tǒng)始終與用戶的實(shí)際需求緊密連在一起，不但增加了系統(tǒng)的實(shí)用性，而且可使系統(tǒng)建設(shè)保持很好的連貫性； 全部人機(jī)操作設(shè)計(jì)均應(yīng)充分考慮不同用戶的實(shí)際需要； 用戶接口及界面設(shè)計(jì)將充分考慮人體結(jié)構(gòu)特征及視覺特征進(jìn)行優(yōu)化設(shè)計(jì)，界面盡可能美觀大方，操作簡便實(shí)用。 可擴(kuò)充、可維護(hù)性原則根據(jù)軟件工程的理論，系統(tǒng)維護(hù)在整個(gè)軟件的生命周期中所占比重是最大的，因此，提高系統(tǒng)的可擴(kuò)充性和可維護(hù)性是提高管理信息系統(tǒng)性能的必備手段，建議做法如下：以參數(shù)化方式設(shè)置系統(tǒng)管理硬件設(shè)備的配置、刪減、擴(kuò)充、端口設(shè)置等，系統(tǒng)地管理軟件平臺，系統(tǒng)地管理并配置應(yīng)用軟件；應(yīng)用軟件采用的結(jié)構(gòu)和程序模塊化構(gòu)造，要充分考慮使之獲得較好的可維護(hù)性和可移 植性，即可以根據(jù)需 要修改某個(gè)模塊、增加新的功能以及重組系統(tǒng)的結(jié)構(gòu)以達(dá)到程序可重用的目的；數(shù)據(jù)存儲結(jié)構(gòu)設(shè)計(jì)在充分考慮其合理、規(guī)范的基礎(chǔ)上，同時(shí)具有可維護(hù)性，對數(shù)據(jù)庫 表的修改維護(hù)可以在 很短的時(shí)間內(nèi)完成；系統(tǒng)部分功能考慮采用參數(shù)定義及生成方式以保證其具備普通適應(yīng)性；部分功能采用多神處理選擇模塊以適應(yīng)管理模塊的變更；系統(tǒng)提供通用報(bào)表及模塊管理組裝工具，以支持新的應(yīng)用。 可靠性原則一個(gè)中大型計(jì)算機(jī)系統(tǒng)每天處理數(shù)據(jù)量一般都較大，系統(tǒng)每個(gè)時(shí)刻都要采集大量的數(shù)據(jù)，并進(jìn)行處理，因此，任一時(shí)刻的系統(tǒng)故障都有可能給用戶帶來不可估量的損失，這就要求系統(tǒng)具有高度的可靠性。提高系統(tǒng)可靠性的方法很多，一般的做法如下：采用具有容錯(cuò)功能的服務(wù)器及網(wǎng)絡(luò)設(shè)備，選用雙機(jī)備份、Cluster技術(shù)的硬件設(shè)備配置方案，出現(xiàn)故障時(shí)能夠迅速恢復(fù)并有適當(dāng)?shù)膽?yīng)急措施；每臺設(shè)備均考慮可離線應(yīng)急操作，設(shè)備間可相互替代。采用數(shù)據(jù)備份恢復(fù)、數(shù)據(jù)日志、故障處理等系統(tǒng)故障對策功能；采用網(wǎng)絡(luò)管理、嚴(yán)格的系統(tǒng)運(yùn)行控制等系統(tǒng)監(jiān)控功能。 安全保密原則一個(gè)用戶的數(shù)據(jù)相當(dāng)一部分就是該用戶的用戶秘密，尤其是政府部門的一些機(jī)要文件、 絕密文件等，是絕對重要的數(shù)據(jù)，因此安全保密性對辦公自動化系統(tǒng)顯得尤其重要，系統(tǒng)的總體設(shè)計(jì)必須充 分考慮這一點(diǎn)。 服務(wù)器操作系統(tǒng)平臺最好基于Unix、NT、OS2等，數(shù)據(jù)庫可以選 Informix、Oracle、Sy base、DB2等，這樣可以 使系統(tǒng)處于C2安全級基礎(chǔ)之上。采用操作權(quán)限控制、設(shè)備鑰匙、密碼控制、系統(tǒng)日志監(jiān)督、數(shù)據(jù)更新嚴(yán)格憑證等多種手段防止系統(tǒng)數(shù)據(jù)被竊取和纂改。 網(wǎng)絡(luò)整體結(jié)構(gòu)拓?fù)鋱D 網(wǎng)絡(luò)拓?fù)鋱D詳細(xì)介紹本網(wǎng)絡(luò)結(jié)構(gòu)由網(wǎng)神3600防火墻接入，外網(wǎng)ＩＰ地址為：，內(nèi)網(wǎng)ＩＰ地址由ＮＡＴ轉(zhuǎn)換外網(wǎng)ＩＰ地址為：，在防火墻上配置一些安全防護(hù)策略，針對外網(wǎng)數(shù)據(jù)進(jìn)行過濾。網(wǎng)神ＩＰＳ為入侵防護(hù)檢測作用，直接串聯(lián)接入到網(wǎng)絡(luò)連接，兩個(gè)網(wǎng)線接入到核心交換機(jī)，其中一個(gè)是管理接口連接核心交換機(jī)，管理接口IP為：，配置一些安全策略。 為了增加網(wǎng)絡(luò)安全及方便網(wǎng)絡(luò)管理，又在網(wǎng)絡(luò)中安裝了SecFoxEPS系統(tǒng)，SecFoxEPS 終端安全管理系統(tǒng)是集終端監(jiān)控和內(nèi)網(wǎng)審計(jì)于一體的終端安全管理軟件。是一款綜合利用身份認(rèn)證、文件系統(tǒng)監(jiān)控、設(shè)備監(jiān)控、網(wǎng)絡(luò)監(jiān)控、注冊表監(jiān)控、進(jìn)程/服務(wù)監(jiān)控、打印監(jiān)控、共享監(jiān)控、系統(tǒng)資源分析、用戶網(wǎng)絡(luò)行為分析等多種操作系統(tǒng)核心技術(shù)開發(fā)的新一代終端安全管理系統(tǒng)。局域網(wǎng)內(nèi)所有終端都可以遠(yuǎn)程登陸，并管理網(wǎng)絡(luò)內(nèi)代理終端主機(jī)。華為8505核心交換機(jī)，交換機(jī)上共劃分為19個(gè)Vlan,Vlan的詳細(xì)配置請登錄交換機(jī)看。本交換機(jī)上配置了DHCP服務(wù)器，共配置了DHCP地址池9個(gè)，分配給各Vlan DHCP服務(wù)器使用。通過光纖分別連接各個(gè)華為3928交換機(jī)，此次，新增加的華為交換機(jī)，用于連接新增加的服務(wù)器和存儲，實(shí)現(xiàn)IPSAN。各個(gè)交換機(jī)都加入核心交換機(jī)定義的域內(nèi)，實(shí)現(xiàn)交換機(jī)Vlan上的同步及Vlan之間的訪問，方便交換機(jī)的管理。 安全平臺建設(shè) 網(wǎng)神3600防火墻216。 多出口鏈路聚合網(wǎng)神防火墻能夠很方便地對內(nèi)部網(wǎng)、DMZ區(qū)和互聯(lián)網(wǎng)進(jìn)行訪問控制，有效保障內(nèi)部網(wǎng)絡(luò)安全。對于多出口的網(wǎng)絡(luò)，網(wǎng)御神州防火墻系列提供了多出口路由負(fù)載均衡功能，通過設(shè)置策略路由，可以讓不同的用戶走不同的出口，也可以多條鏈路間自動按權(quán)重進(jìn)行負(fù)載均衡，有效地利用網(wǎng)絡(luò)帶寬，保護(hù)用戶投資，同時(shí)各個(gè)鏈路之間可以相互備份，在防火墻探測到某條鏈路質(zhì)量不穩(wěn)定,或該鏈路的某個(gè)關(guān)鍵應(yīng)用不可用時(shí)，可以迅速將流量切換到其他鏈路。216。 高可用性部署網(wǎng)神防火墻提供了HA（High Availability，高可用性）功能。典型工作在為ActiveStandby模式，即主防火墻工作在Active狀態(tài)，從防火墻工作在Standby狀態(tài)。當(dāng)主防火墻發(fā)生意外宕機(jī)，或者網(wǎng)絡(luò)鏈路發(fā)生故障時(shí)，從防火墻自動切換到Active狀態(tài)，從而保證了關(guān)鍵業(yè)務(wù)的正常運(yùn)轉(zhuǎn)。網(wǎng)神防火墻的HA功能具有很強(qiáng)的網(wǎng)絡(luò)適應(yīng)性，支持生成樹和每VLAN生成樹協(xié)議（STP/PVST+）和虛擬路由冗余協(xié)議（VRRP），提供全面可靠的二層鏈路備份和三層路由備份。216。 創(chuàng)新的全冗余災(zāi)備恢復(fù)網(wǎng)絡(luò)方案網(wǎng)神防火墻采用穩(wěn)定的VRRP 路由冗余協(xié)議，配合超強(qiáng)網(wǎng)絡(luò)適應(yīng)性的OSPF動態(tài)路由協(xié)議和獨(dú)創(chuàng)的鏈路探測與靈活的接口聯(lián)動機(jī)制，能夠提供真正全冗余的災(zāi)備恢復(fù)網(wǎng)絡(luò)方案。該方案中，整體網(wǎng)絡(luò)結(jié)構(gòu)由數(shù)據(jù)中心主中心節(jié)點(diǎn)與災(zāi)難恢復(fù)備中心節(jié)點(diǎn)組成，兩個(gè)節(jié)點(diǎn)的防火墻外聯(lián)接口與外聯(lián)路由器采用OSPF協(xié)議實(shí)現(xiàn)動態(tài)選路。兩臺路由器向動態(tài)路由區(qū)域發(fā)布外單位的路由信息，并負(fù)責(zé)廣域線路的接入。防火墻FWFWFWFW4均采用路由模式，對外聯(lián)路由器提供OSPF動態(tài)路由，對內(nèi)部核心交換機(jī)通過設(shè)置靜態(tài)路由實(shí)現(xiàn)與相關(guān)服務(wù)器的訪問。防火墻負(fù)責(zé)向動態(tài)路由區(qū)域中發(fā)布與路由器有關(guān)的路由信息（即對外網(wǎng)公開IP地址），且隱藏內(nèi)部路由信息，同時(shí)兩臺交換機(jī)在連接防火墻的三層接口上還運(yùn)行有HSRP或VRRP協(xié)議。通過防火墻的鏈路探測與接口聯(lián)動，恰當(dāng)?shù)腛SPF配置，可以達(dá)到下面的效果：一般情況下數(shù)據(jù)中心主中心節(jié)點(diǎn)承擔(dān)數(shù)據(jù)流量，災(zāi)難恢復(fù)備中心只工作在備份狀態(tài)每對防火墻HA集群中只有一臺處于工作中，另外一臺處于備份狀態(tài)數(shù)據(jù)中心主中心節(jié)點(diǎn)任何一條線路出現(xiàn)問題，不會影響網(wǎng)絡(luò)正常工作數(shù)據(jù)中心主中心節(jié)點(diǎn)任何一臺設(shè)備出現(xiàn)問題，不會影響網(wǎng)絡(luò)正常工作 網(wǎng)神IPSSecIPS 3600超高速網(wǎng)絡(luò)入侵防御系統(tǒng)，是處理效能達(dá)到超高速 (Gigabit) 等級的IPS (Intrusion Prevention System) 硬設(shè)備，可以被布置在網(wǎng)絡(luò)系統(tǒng)的任何一個(gè)地方，負(fù)責(zé)執(zhí)行網(wǎng)絡(luò)安全防御策略，偵測網(wǎng)絡(luò)封包的正常與否，以及阻斷不正當(dāng)?shù)木W(wǎng)絡(luò)攻擊行為，確保網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行，并且有效防范企業(yè)機(jī)密外泄。建議SecIPS 3600設(shè)備布置在需要極高度的安全防護(hù)網(wǎng)段的出入口端，以保護(hù)整個(gè)網(wǎng)絡(luò)系統(tǒng)。SecIPS 3600產(chǎn)品的主要特色有：216。 多重功能的網(wǎng)絡(luò)安全設(shè)備:因應(yīng)層出不窮且日新月異的網(wǎng)絡(luò)入侵或是網(wǎng)絡(luò)攻擊事件，SecIPS 3600除了可防護(hù)企業(yè)網(wǎng)絡(luò)免網(wǎng)絡(luò)攻擊外，豐富的特征碼數(shù)據(jù)庫中更包含了蠕蟲、P2P下載程序、及IM網(wǎng)絡(luò)實(shí)時(shí)聊天程序特征碼，網(wǎng)絡(luò)管理者可依照企業(yè)需求開放或是加以攔阻，這些功能可讓企業(yè)節(jié)省網(wǎng)絡(luò)帶寬，提高員工專注力及效率，為企業(yè)帶來更多的利潤。216。 靈活部屬的安全防御與虛擬IPS功能:SecIPS 3600提供了多種安全防御運(yùn)行