【文章內容簡介】 達到 C2 級，即通過注冊、安全事件審計、資源隔離等方式使用戶的行為具有個體可查性，實施存取限制，保護數據防止被別的用戶讀取或破壞。 數據庫安全性：數據庫要有以下安全機制：磁盤鏡像、數據備份、恢復機制、事務日志、內部一致性檢查、鎖機制以及審計機制等安全保障體制，確保數據庫的安全。 應用軟件系統(tǒng)的安全性： 認同用戶和鑒別，確認用戶的真實身份，防止非法用戶進入系統(tǒng)。 存取控制，當用戶已注冊登錄后，核對用戶權限，根據用戶對該項資源被授予的權限對其進行存取控制。 審計，系統(tǒng)能記錄用戶所進行的操作及其相關數據，能記錄操作結果，5 / 31能判斷違反安全的事件是否發(fā)生，如果發(fā)生則能記錄備查。 保障數據完整性，對數據庫操作保證數據的一致性和數據的完整性。 （6）技術先進性網絡系統(tǒng)不能夠一經實現(xiàn)即落后，應當至少處于現(xiàn)今先進水平，只有這樣才能在計算機技術迅速發(fā)展的今天不落伍，不會在競爭激烈的今天，因計算機技術的不足而影響工作的進行開展。應至少保持系統(tǒng)具備幾年的領先性。采用先進而成熟的網絡技術和產品，適應大量數據和多媒體信息傳輸、處理、交換的需要，使網絡系統(tǒng)具有較強的生命力。（7）實用性網絡的建設要強調網絡系統(tǒng)與網絡應用并重，以應用推動建設，信息資源的開發(fā)、利用和效果。產品應選擇主流產品，并且具有成熟、穩(wěn)定、實用的特點。能充分滿足日常使用、科學決策、對外交流、以及信息自動化管理等各方面的需要。（8）網絡可靠性網絡可靠性需要從以下方面來保證：設備的硬件制造品質與運行軟件的成熟性。網絡設備必須選用已經證實，并在實際應用中得到普遍應用的產品，只有這樣，才可能提供不間斷運行的能力。網絡產品應具備在線熱更換的能力，當某一板卡出現(xiàn)故障時，應能帶電更換，而不需進行停機操作。（9）易維護管理性網絡管理應走向科學化，采用先進的網絡管理系統(tǒng)，實現(xiàn)“在網絡中心即能實時控制、監(jiān)測整個系統(tǒng)的運行狀況，能夠自動發(fā)現(xiàn)故障點”的目標，并具有良好的人機操作界面。6 / 31（10）保護投資在網絡方案設計時充分考慮現(xiàn)有的硬件和軟件資源，盡量把各期投資和未來發(fā)展的兼容性容于系統(tǒng)方案中。保護投資從如下幾個方面考慮：直接的硬件設備、軟件系統(tǒng)的投資 應用系統(tǒng)開發(fā)的人力、物力、財力和時間上的投資 人員培訓投資 原有運行系統(tǒng)和業(yè)務數據的有效兼容。7 / 31拓撲圖及方案整體描述 主干網傳輸方案設計網絡中心設在逸夫樓的七層，以實驗樓為中心，選擇星形拓撲結構，網絡主干最好選用光纖，以便采用鏈路聚合技術及備份線路。光纖布線采用星型結構，即由實驗樓網絡中心向其它建筑輻射。建筑內部布線采用 5類雙絞線進行垂直和水平布線，如建筑物規(guī)模較大，也可部分采用室內多模光纖。雙絞線的接法采用 EIA/TIA568B 標準。設計時要依據EIA/TIA568 工業(yè)標準及國商務布線標準。（1）主干網匯接各子網，形成中心交換。（2）子網通過交換機連接到主干網。（3）網絡中心的網絡構成一個單獨的子網，匯接到主干網。（4）在網絡中心進行集中控制和管理。（5）每個子網按部門劃分成多個工作組網。（6）每個工作網劃分成多個基層網段。（7）在關鍵子網設立防火墻，防止來自內部或外部的惡意攻擊。（8）在完善的網絡基礎之上，提供基本的 Inter 服務。 垂直布線方式垂直干線在電纜橋加上加以固定，五類雙干線電纜走專門的弱電橋架，與專門的強電電纜分開。 水平布線水平布線采用五類雙絞線，用于水平數據通信。從管理間到辦公樓部8 / 31分的布線方式采用電纜橋架走吊頂，布線路由及進房間后信息插座具體位置視具體布局確定。 設備間主設備間設在網絡中心，是整個信息系統(tǒng)的中心，它是安放由許多用戶共用的通信設備的空間，是整個樓群的主要布線區(qū)域所在地。它包括網絡接口、電話局電纜和用戶建筑物布線系統(tǒng)交匯點網絡系統(tǒng)的干線網絡互聯(lián)設備放置在此，外來的電話中繼線延伸至主設備間。其它各樓的設備間在各樓的頂層。主設備間對環(huán)境的要求較高，所以要注意環(huán)境的選擇與調節(jié)。 Inter 接入方案及網絡拓撲圖；本局域網通過路由器接入英特網，如圖 41 所示：I N T E R N E T服務器組教學子網圖書館子網辦公子網宿舍及后勤子網9 / 31圖 41 網絡拓撲圖 遠程訪問支持遠程訪問提供電話撥號訪問功能，使用戶在家中、在外地都可以訪問校園網。遠程工作站通過撥號接入校園網，采用點對點的協(xié)議為 PPP。遠程訪問服務器 RAS 與調制解調器 Modem 組合實現(xiàn)遠程訪問功能。在訪問服務器的遠程訪問端口提供訪問控制(Access List)。通過與撥號安全服務器配合，還能實現(xiàn)進一步的用戶認證和授權控制。遠程訪問解決了遠程工作站通過撥號線路對網絡資源的訪問。由于撥號網絡是攻擊網絡的可能的主要入口，因而必須在技術和管理兩個方面加強管理。遠程訪問服務應提供以下功能：　撥號訪問（Tel/Rlogin/PPP ）支持；　靜態(tài)/動態(tài)地址分配；　多協(xié)議（IP 和 IPX）透明訪問支持；　用戶訪問和安全控制；　撥出（DialonDemand, DialOut）功能；　自動協(xié)議檢測和轉換；　遠程控制和維護；　網管支持。撥號網絡是可能的主要攻擊入口，并且采用動態(tài) IP 分配策略，所以必須與其它網段隔離，直接連到網絡中心路由器上，占用一個獨立的網段，這樣也有利于計費管理。訪問服務器通過路由器與 MODEM 池接入撥號線。訪問服務器與撥號安全服務器配合，根據身份認證協(xié)議（TACACS/RADIUS/KEBEROS）實現(xiàn)撥號用戶的認證和授權。10 / 31 子網劃分與 VLAN 設定在充分考慮了網絡的高度的可靠性、高速率傳輸特性、可擴充性和系統(tǒng)易升級性，以及信息點的分布依建筑物內的布線設計等諸多因素的基礎上，將局域網分成以下幾個子網。（1）教學子網：校園網建網的目的之一是利用計算機網絡實現(xiàn)多媒體教學。在教學過程中，大量傳送的是文本、圖像和部分視頻等數據，對速度要求較高，所以設計時推薦所有教學用端口全部采用交換式 100Ｍ以太網口；（2）辦公子網：辦公子網主要面向學校的各級領導以及各職能部門，辦公計算機所實現(xiàn)的功能主要是對網絡數據的查詢、修改、添加、刪除等操作。只有網絡數據傳輸快，才能更好地提高辦公效率。同時，辦公計算機應該能夠達到支持視頻傳送的要求。鑒于辦公子網將支持視頻功能，設計推薦采用交換式 100Ｍ端口；（3）圖書館子網：圖書館從應用來說是一個相對獨立的系統(tǒng)，因此設計時在圖書館設圖書館網絡分中心，配置了一臺Ｃｉｓｃｏ6006 中心交換機、海量存儲器、所需的服務器以及若干查詢終端。這個系統(tǒng)主要用于教師及學生對圖書及目錄的查找以及圖書管理。圖書館的服務器和交換機通過１０００Ｍ交換口連入校園網，圖書管理員辦公計算機和各個查詢終端采用１００Ｍ交換端口；（4）宿舍區(qū)及后勤子網：宿舍區(qū)子網即在學生宿舍內部聯(lián)網，學生可以直接瀏覽學校發(fā)布的信息及查閱一些電子文檔，也可以在宿舍接收老師的遠程教學，后勤子網主要為食堂提供售飯卡通計費系統(tǒng)等，由于宿舍區(qū)覆蓋范圍較廣，故在宿舍區(qū)設一個網絡分中心，以減少至網絡中心的光纖數量。在宿舍區(qū)的網絡分中心內配置一臺Ｃｉｓｃｏ３５０８中心交換機，11 / 31并通過光纖與網絡中心直接相連。在設計的各子網的交換機時，通過整個網管系統(tǒng)將各個子網劃分在不同的虛擬子網中，這樣既滿足了各子網與１０００Ｍ主干網的連接，又減少了投資、方便了管理。各子網的工作組交換機均選擇Ｃｉｓｃｏ的Ｃａｔａｌｙｓｔ３５００ＸＬ系列交換機中的３５４８ＸＬ和３５２４ＸＬ。 網間隔離方案設計目前常用的