【文章內(nèi)容簡(jiǎn)介】 達(dá)到 C2 級(jí)，即通過(guò)注冊(cè)、安全事件審計(jì)、資源隔離等方式使用戶的行為具有個(gè)體可查性，實(shí)施存取限制，保護(hù)數(shù)據(jù)防止被別的用戶讀取或破壞。 數(shù)據(jù)庫(kù)安全性：數(shù)據(jù)庫(kù)要有以下安全機(jī)制：磁盤鏡像、數(shù)據(jù)備份、恢復(fù)機(jī)制、事務(wù)日志、內(nèi)部一致性檢查、鎖機(jī)制以及審計(jì)機(jī)制等安全保障體制，確保數(shù)據(jù)庫(kù)的安全。 應(yīng)用軟件系統(tǒng)的安全性： 認(rèn)同用戶和鑒別，確認(rèn)用戶的真實(shí)身份，防止非法用戶進(jìn)入系統(tǒng)。 存取控制，當(dāng)用戶已注冊(cè)登錄后，核對(duì)用戶權(quán)限，根據(jù)用戶對(duì)該項(xiàng)資源被授予的權(quán)限對(duì)其進(jìn)行存取控制。 審計(jì)，系統(tǒng)能記錄用戶所進(jìn)行的操作及其相關(guān)數(shù)據(jù)，能記錄操作結(jié)果，5 / 31能判斷違反安全的事件是否發(fā)生，如果發(fā)生則能記錄備查。 保障數(shù)據(jù)完整性，對(duì)數(shù)據(jù)庫(kù)操作保證數(shù)據(jù)的一致性和數(shù)據(jù)的完整性。 （6）技術(shù)先進(jìn)性網(wǎng)絡(luò)系統(tǒng)不能夠一經(jīng)實(shí)現(xiàn)即落后，應(yīng)當(dāng)至少處于現(xiàn)今先進(jìn)水平，只有這樣才能在計(jì)算機(jī)技術(shù)迅速發(fā)展的今天不落伍，不會(huì)在競(jìng)爭(zhēng)激烈的今天，因計(jì)算機(jī)技術(shù)的不足而影響工作的進(jìn)行開展。應(yīng)至少保持系統(tǒng)具備幾年的領(lǐng)先性。采用先進(jìn)而成熟的網(wǎng)絡(luò)技術(shù)和產(chǎn)品，適應(yīng)大量數(shù)據(jù)和多媒體信息傳輸、處理、交換的需要，使網(wǎng)絡(luò)系統(tǒng)具有較強(qiáng)的生命力。（7）實(shí)用性網(wǎng)絡(luò)的建設(shè)要強(qiáng)調(diào)網(wǎng)絡(luò)系統(tǒng)與網(wǎng)絡(luò)應(yīng)用并重，以應(yīng)用推動(dòng)建設(shè)，信息資源的開發(fā)、利用和效果。產(chǎn)品應(yīng)選擇主流產(chǎn)品，并且具有成熟、穩(wěn)定、實(shí)用的特點(diǎn)。能充分滿足日常使用、科學(xué)決策、對(duì)外交流、以及信息自動(dòng)化管理等各方面的需要。（8）網(wǎng)絡(luò)可靠性網(wǎng)絡(luò)可靠性需要從以下方面來(lái)保證：設(shè)備的硬件制造品質(zhì)與運(yùn)行軟件的成熟性。網(wǎng)絡(luò)設(shè)備必須選用已經(jīng)證實(shí)，并在實(shí)際應(yīng)用中得到普遍應(yīng)用的產(chǎn)品，只有這樣，才可能提供不間斷運(yùn)行的能力。網(wǎng)絡(luò)產(chǎn)品應(yīng)具備在線熱更換的能力，當(dāng)某一板卡出現(xiàn)故障時(shí)，應(yīng)能帶電更換，而不需進(jìn)行停機(jī)操作。（9）易維護(hù)管理性網(wǎng)絡(luò)管理應(yīng)走向科學(xué)化，采用先進(jìn)的網(wǎng)絡(luò)管理系統(tǒng)，實(shí)現(xiàn)“在網(wǎng)絡(luò)中心即能實(shí)時(shí)控制、監(jiān)測(cè)整個(gè)系統(tǒng)的運(yùn)行狀況，能夠自動(dòng)發(fā)現(xiàn)故障點(diǎn)”的目標(biāo)，并具有良好的人機(jī)操作界面。6 / 31（10）保護(hù)投資在網(wǎng)絡(luò)方案設(shè)計(jì)時(shí)充分考慮現(xiàn)有的硬件和軟件資源，盡量把各期投資和未來(lái)發(fā)展的兼容性容于系統(tǒng)方案中。保護(hù)投資從如下幾個(gè)方面考慮：直接的硬件設(shè)備、軟件系統(tǒng)的投資 應(yīng)用系統(tǒng)開發(fā)的人力、物力、財(cái)力和時(shí)間上的投資 人員培訓(xùn)投資 原有運(yùn)行系統(tǒng)和業(yè)務(wù)數(shù)據(jù)的有效兼容。7 / 31拓?fù)鋱D及方案整體描述 主干網(wǎng)傳輸方案設(shè)計(jì)網(wǎng)絡(luò)中心設(shè)在逸夫樓的七層，以實(shí)驗(yàn)樓為中心，選擇星形拓?fù)浣Y(jié)構(gòu)，網(wǎng)絡(luò)主干最好選用光纖，以便采用鏈路聚合技術(shù)及備份線路。光纖布線采用星型結(jié)構(gòu)，即由實(shí)驗(yàn)樓網(wǎng)絡(luò)中心向其它建筑輻射。建筑內(nèi)部布線采用 5類雙絞線進(jìn)行垂直和水平布線，如建筑物規(guī)模較大，也可部分采用室內(nèi)多模光纖。雙絞線的接法采用 EIA/TIA568B 標(biāo)準(zhǔn)。設(shè)計(jì)時(shí)要依據(jù)EIA/TIA568 工業(yè)標(biāo)準(zhǔn)及國(guó)商務(wù)布線標(biāo)準(zhǔn)。（1）主干網(wǎng)匯接各子網(wǎng)，形成中心交換。（2）子網(wǎng)通過(guò)交換機(jī)連接到主干網(wǎng)。（3）網(wǎng)絡(luò)中心的網(wǎng)絡(luò)構(gòu)成一個(gè)單獨(dú)的子網(wǎng)，匯接到主干網(wǎng)。（4）在網(wǎng)絡(luò)中心進(jìn)行集中控制和管理。（5）每個(gè)子網(wǎng)按部門劃分成多個(gè)工作組網(wǎng)。（6）每個(gè)工作網(wǎng)劃分成多個(gè)基層網(wǎng)段。（7）在關(guān)鍵子網(wǎng)設(shè)立防火墻，防止來(lái)自內(nèi)部或外部的惡意攻擊。（8）在完善的網(wǎng)絡(luò)基礎(chǔ)之上，提供基本的 Inter 服務(wù)。 垂直布線方式垂直干線在電纜橋加上加以固定，五類雙干線電纜走專門的弱電橋架，與專門的強(qiáng)電電纜分開。 水平布線水平布線采用五類雙絞線，用于水平數(shù)據(jù)通信。從管理間到辦公樓部8 / 31分的布線方式采用電纜橋架走吊頂，布線路由及進(jìn)房間后信息插座具體位置視具體布局確定。 設(shè)備間主設(shè)備間設(shè)在網(wǎng)絡(luò)中心，是整個(gè)信息系統(tǒng)的中心，它是安放由許多用戶共用的通信設(shè)備的空間，是整個(gè)樓群的主要布線區(qū)域所在地。它包括網(wǎng)絡(luò)接口、電話局電纜和用戶建筑物布線系統(tǒng)交匯點(diǎn)網(wǎng)絡(luò)系統(tǒng)的干線網(wǎng)絡(luò)互聯(lián)設(shè)備放置在此，外來(lái)的電話中繼線延伸至主設(shè)備間。其它各樓的設(shè)備間在各樓的頂層。主設(shè)備間對(duì)環(huán)境的要求較高，所以要注意環(huán)境的選擇與調(diào)節(jié)。 Inter 接入方案及網(wǎng)絡(luò)拓?fù)鋱D；本局域網(wǎng)通過(guò)路由器接入英特網(wǎng)，如圖 41 所示：I N T E R N E T服務(wù)器組教學(xué)子網(wǎng)圖書館子網(wǎng)辦公子網(wǎng)宿舍及后勤子網(wǎng)9 / 31圖 41 網(wǎng)絡(luò)拓?fù)鋱D 遠(yuǎn)程訪問(wèn)支持遠(yuǎn)程訪問(wèn)提供電話撥號(hào)訪問(wèn)功能，使用戶在家中、在外地都可以訪問(wèn)校園網(wǎng)。遠(yuǎn)程工作站通過(guò)撥號(hào)接入校園網(wǎng)，采用點(diǎn)對(duì)點(diǎn)的協(xié)議為 PPP。遠(yuǎn)程訪問(wèn)服務(wù)器 RAS 與調(diào)制解調(diào)器 Modem 組合實(shí)現(xiàn)遠(yuǎn)程訪問(wèn)功能。在訪問(wèn)服務(wù)器的遠(yuǎn)程訪問(wèn)端口提供訪問(wèn)控制(Access List)。通過(guò)與撥號(hào)安全服務(wù)器配合，還能實(shí)現(xiàn)進(jìn)一步的用戶認(rèn)證和授權(quán)控制。遠(yuǎn)程訪問(wèn)解決了遠(yuǎn)程工作站通過(guò)撥號(hào)線路對(duì)網(wǎng)絡(luò)資源的訪問(wèn)。由于撥號(hào)網(wǎng)絡(luò)是攻擊網(wǎng)絡(luò)的可能的主要入口，因而必須在技術(shù)和管理兩個(gè)方面加強(qiáng)管理。遠(yuǎn)程訪問(wèn)服務(wù)應(yīng)提供以下功能：　撥號(hào)訪問(wèn)（Tel/Rlogin/PPP ）支持；　靜態(tài)/動(dòng)態(tài)地址分配；　多協(xié)議（IP 和 IPX）透明訪問(wèn)支持；　用戶訪問(wèn)和安全控制；　撥出（DialonDemand, DialOut）功能；　自動(dòng)協(xié)議檢測(cè)和轉(zhuǎn)換；　遠(yuǎn)程控制和維護(hù)；　網(wǎng)管支持。撥號(hào)網(wǎng)絡(luò)是可能的主要攻擊入口，并且采用動(dòng)態(tài) IP 分配策略，所以必須與其它網(wǎng)段隔離，直接連到網(wǎng)絡(luò)中心路由器上，占用一個(gè)獨(dú)立的網(wǎng)段，這樣也有利于計(jì)費(fèi)管理。訪問(wèn)服務(wù)器通過(guò)路由器與 MODEM 池接入撥號(hào)線。訪問(wèn)服務(wù)器與撥號(hào)安全服務(wù)器配合，根據(jù)身份認(rèn)證協(xié)議（TACACS/RADIUS/KEBEROS）實(shí)現(xiàn)撥號(hào)用戶的認(rèn)證和授權(quán)。10 / 31 子網(wǎng)劃分與 VLAN 設(shè)定在充分考慮了網(wǎng)絡(luò)的高度的可靠性、高速率傳輸特性、可擴(kuò)充性和系統(tǒng)易升級(jí)性，以及信息點(diǎn)的分布依建筑物內(nèi)的布線設(shè)計(jì)等諸多因素的基礎(chǔ)上，將局域網(wǎng)分成以下幾個(gè)子網(wǎng)。（1）教學(xué)子網(wǎng)：校園網(wǎng)建網(wǎng)的目的之一是利用計(jì)算機(jī)網(wǎng)絡(luò)實(shí)現(xiàn)多媒體教學(xué)。在教學(xué)過(guò)程中，大量傳送的是文本、圖像和部分視頻等數(shù)據(jù)，對(duì)速度要求較高，所以設(shè)計(jì)時(shí)推薦所有教學(xué)用端口全部采用交換式 100Ｍ以太網(wǎng)口；（2）辦公子網(wǎng)：辦公子網(wǎng)主要面向?qū)W校的各級(jí)領(lǐng)導(dǎo)以及各職能部門，辦公計(jì)算機(jī)所實(shí)現(xiàn)的功能主要是對(duì)網(wǎng)絡(luò)數(shù)據(jù)的查詢、修改、添加、刪除等操作。只有網(wǎng)絡(luò)數(shù)據(jù)傳輸快，才能更好地提高辦公效率。同時(shí)，辦公計(jì)算機(jī)應(yīng)該能夠達(dá)到支持視頻傳送的要求。鑒于辦公子網(wǎng)將支持視頻功能，設(shè)計(jì)推薦采用交換式 100Ｍ端口；（3）圖書館子網(wǎng)：圖書館從應(yīng)用來(lái)說(shuō)是一個(gè)相對(duì)獨(dú)立的系統(tǒng)，因此設(shè)計(jì)時(shí)在圖書館設(shè)圖書館網(wǎng)絡(luò)分中心，配置了一臺(tái)Ｃｉｓｃｏ6006 中心交換機(jī)、海量存儲(chǔ)器、所需的服務(wù)器以及若干查詢終端。這個(gè)系統(tǒng)主要用于教師及學(xué)生對(duì)圖書及目錄的查找以及圖書管理。圖書館的服務(wù)器和交換機(jī)通過(guò)１０００Ｍ交換口連入校園網(wǎng)，圖書管理員辦公計(jì)算機(jī)和各個(gè)查詢終端采用１００Ｍ交換端口；（4）宿舍區(qū)及后勤子網(wǎng)：宿舍區(qū)子網(wǎng)即在學(xué)生宿舍內(nèi)部聯(lián)網(wǎng)，學(xué)生可以直接瀏覽學(xué)校發(fā)布的信息及查閱一些電子文檔，也可以在宿舍接收老師的遠(yuǎn)程教學(xué)，后勤子網(wǎng)主要為食堂提供售飯卡通計(jì)費(fèi)系統(tǒng)等，由于宿舍區(qū)覆蓋范圍較廣，故在宿舍區(qū)設(shè)一個(gè)網(wǎng)絡(luò)分中心，以減少至網(wǎng)絡(luò)中心的光纖數(shù)量。在宿舍區(qū)的網(wǎng)絡(luò)分中心內(nèi)配置一臺(tái)Ｃｉｓｃｏ３５０８中心交換機(jī)，11 / 31并通過(guò)光纖與網(wǎng)絡(luò)中心直接相連。在設(shè)計(jì)的各子網(wǎng)的交換機(jī)時(shí)，通過(guò)整個(gè)網(wǎng)管系統(tǒng)將各個(gè)子網(wǎng)劃分在不同的虛擬子網(wǎng)中，這樣既滿足了各子網(wǎng)與１０００Ｍ主干網(wǎng)的連接，又減少了投資、方便了管理。各子網(wǎng)的工作組交換機(jī)均選擇Ｃｉｓｃｏ的Ｃａｔａｌｙｓｔ３５００ＸＬ系列交換機(jī)中的３５４８ＸＬ和３５２４ＸＬ。 網(wǎng)間隔離方案設(shè)計(jì)目前常用的