【正文】 ..............66 系統(tǒng)概況 ...............................................................................................................66 設(shè)計(jì)原則 ...............................................................................................................66 工程范圍 ...............................................................................................................67 整體架構(gòu) ...............................................................................................................67 集成接口 ...............................................................................................................68 綜合布線系統(tǒng) 概述為了完成綜合大樓智能信息化的任務(wù)，需要在建筑物之間及建筑物內(nèi)建立一套綜合計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)與樓宇智能化網(wǎng)絡(luò)系統(tǒng)。綜合計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)能將綜合大樓內(nèi)的各個(gè)相互獨(dú)立的子系統(tǒng)建立起有機(jī)的聯(lián)系，把原來相對獨(dú)立的資源、功能等集合到一個(gè)相互關(guān)聯(lián)、協(xié)調(diào)和統(tǒng)一的完整系統(tǒng)之中，設(shè)備自控系統(tǒng)以及多媒體音像系統(tǒng)集成為一體化的綜合計(jì)算機(jī)管理系統(tǒng)。為了能使這兩套網(wǎng)絡(luò)穩(wěn)定、安全、高效的動(dòng)作，就需要有一套完整的綜合布線系統(tǒng)為這兩套網(wǎng)絡(luò)服務(wù)。擴(kuò)充性——布線系統(tǒng)是可擴(kuò)充的，將來有更大的發(fā)展時(shí)，很容易將設(shè)備進(jìn)行擴(kuò)展?？煽啃浴诰W(wǎng)絡(luò)主干線的傳輸介質(zhì)上提供容錯(cuò)功能，保證系統(tǒng)的可靠運(yùn)行。標(biāo)準(zhǔn)化——方案設(shè)計(jì)及技術(shù)選擇均符合國際通用標(biāo)準(zhǔn)，不受任何產(chǎn)品提供商限制。 光纜傳輸主干子系統(tǒng)綜合辦公大樓主機(jī)房（FD）連接到各建筑物樓層配線間（FD）采用萬兆光纜，支持距離達(dá)到 300 米。光纖配線架采用機(jī)架式配線架，2U 的空間可容納 1248 芯光纖，耦合器與機(jī)架可折分，機(jī)架可兼容 SC、FC、LC 或各廠商自主研發(fā)的耦合器，并在機(jī)架前應(yīng)配備一個(gè)有機(jī)玻璃前蓋，在保護(hù)光纖跳線的同時(shí)，便于發(fā)現(xiàn)里面跳線的完整性，并具有耦合器填空條，保證塵不會(huì)進(jìn)入配線架內(nèi)，污染到未使用的接口。樓層配線間通過三類 UTP 雙絞線與辦公樓地下一層的主機(jī)房相連通，并為整棟樓的語音通訊提供傳輸通道。除必須符合對所有產(chǎn)品的要求的標(biāo)準(zhǔn)外，還必須符合 EN 50167，EN50168 及 EIA/TIA 568 B 對三類線纜的其他技術(shù)要求，以滿足中速網(wǎng)絡(luò)應(yīng)用的需求。樓層配線架的分布在保證系統(tǒng)連接可靠、設(shè)備管理、維護(hù)便利的前提下，還應(yīng)考慮系統(tǒng)的經(jīng)濟(jì)性。 設(shè)備間子系統(tǒng)主配線間配線架采用模塊化方式管理主干銅纜。光纖采用光纖機(jī)柜式配線架，并配有足夠的光纖耦合器，及制造商原廠光纖跳線。 數(shù)據(jù)／語音水平子系統(tǒng)水平布線是整個(gè)布線系統(tǒng)的主要部分，它將干線子系統(tǒng)線路延伸到用戶工作區(qū)。每個(gè)信息點(diǎn)能夠靈活應(yīng)用，可隨時(shí)轉(zhuǎn)換接插電話、微機(jī)或數(shù)據(jù)終端，并可隨著用戶的進(jìn)一步應(yīng)用需求，支持相應(yīng)同一廠家適配器或轉(zhuǎn)換設(shè)備。除必須符合對所有產(chǎn)品要求的標(biāo)準(zhǔn)外，必須符合 EMC 標(biāo)準(zhǔn)的電磁兼容性要求。信息模塊應(yīng)采用 45 度（斜角）安裝方式，信息模塊采用不同的顏色用以區(qū)分語音信息點(diǎn)及數(shù)據(jù)信息點(diǎn)。安全性原則：網(wǎng)絡(luò)平臺服務(wù)于樓內(nèi)酒店需要，對安全級別要求很高。系統(tǒng)應(yīng)具有對主要環(huán)節(jié)的監(jiān)視和控制功能，嚴(yán)防非法用戶的越權(quán)操作。高可用性原則：具有較高的可靠性和可用性前提下，保證業(yè)務(wù)系統(tǒng)的正常運(yùn)行。網(wǎng)絡(luò)系統(tǒng)具有強(qiáng)大的容錯(cuò)功能以確保各種應(yīng)用的正常運(yùn)行，在網(wǎng)絡(luò)設(shè)計(jì)上采用網(wǎng)絡(luò)級備份或線路及設(shè)備的冗余配置。規(guī)范性原則：系統(tǒng)設(shè)計(jì)所采用的技術(shù)和設(shè)備應(yīng)符合國際標(biāo)準(zhǔn)、國家標(biāo)準(zhǔn)和業(yè)界標(biāo)準(zhǔn)，為系統(tǒng)的擴(kuò)展升級、與其他系統(tǒng)的互聯(lián)提供良好的基礎(chǔ)?？蓴U(kuò)充和擴(kuò)展化原則：所有系統(tǒng)設(shè)備不但滿足當(dāng)前需要，并在擴(kuò)充模塊后滿足可預(yù)見將來需求，如帶寬和設(shè)備的擴(kuò)展，應(yīng)用的擴(kuò)展和酒店地點(diǎn)的擴(kuò)展等。在設(shè)計(jì)上應(yīng)注重兼容性、連續(xù)性, 依據(jù)標(biāo)準(zhǔn)化和模塊化的設(shè)計(jì)思想，不僅在體系結(jié)構(gòu)上保持很大的開放性，而且同時(shí)能夠提供多種靈活可變的接口，使系統(tǒng)今后的擴(kuò)展非常方便，保護(hù)系統(tǒng)的投資。 整體設(shè)計(jì)網(wǎng)絡(luò)整體設(shè)計(jì)為三層架構(gòu)：核心層、匯聚層、接入層。網(wǎng)絡(luò)出口部分作為網(wǎng)絡(luò)的核心區(qū)域非常重要。所以為了保證網(wǎng)絡(luò)的高可靠性，核心設(shè)備和匯聚設(shè)備均采用雙機(jī)熱備方式，設(shè)備之間采用冗余鏈路互聯(lián)，消除單點(diǎn)故障，保障網(wǎng)絡(luò)的不間斷運(yùn)行。在網(wǎng)絡(luò)出口部署防火墻和VPN設(shè)備，方便其他分支機(jī)構(gòu)以及個(gè)人遠(yuǎn)程接入公司內(nèi)網(wǎng)。本方案部署了eSight策略管理組件，可方便對接入用戶進(jìn)行portal認(rèn)證，可配合TSM等相關(guān)系統(tǒng)共同實(shí)現(xiàn)BYOD解決方案。核心層應(yīng)該具有如下幾個(gè)特性：可靠性、高效性、冗余性、容錯(cuò)性、可管理性、適應(yīng)性、低延時(shí)性等。 向本地網(wǎng)段提供工作站接入。 兩臺核心交換設(shè)備 單臺或兩臺交換機(jī) 固定端口配置交換機(jī) 核心交換機(jī)關(guān)鍵部件采用冗余配置（電源、控制引擎等） 關(guān)鍵部件冗余（電源、引擎等） 可能的情況下配置電源冗余 主干采用 10GB 光纖模塊 采用 10GB 光纖接口，用于上聯(lián)和下聯(lián) 配置雙路 10GB 上聯(lián)光纖接口 配置 10/100/100M 以太網(wǎng)電接口模塊 通常不需要配置電口模塊 例如 Cisco35XX 系列，29XX 系列交換機(jī) 核心設(shè)備通過雙鏈路連接至核心交換機(jī) 例如 Cisco 6500、Cisco4500 系列交換機(jī) 例如 Cisco 6500、Cisco4500系列交換機(jī) 交換機(jī)電接口應(yīng)支持 POE 功能（RJ45）其他設(shè)備網(wǎng)絡(luò)中應(yīng)配置相應(yīng)的安全設(shè)備，如路由器、審計(jì)網(wǎng)關(guān)、防火墻、VPN、IDS、防病毒及應(yīng)用服務(wù)器等 網(wǎng)絡(luò)整體設(shè)計(jì)圖： 網(wǎng)絡(luò)拓?fù)鋱D 核心層設(shè)計(jì)核心層采用雙核心架構(gòu)，規(guī)劃為兩臺核心交換機(jī)，兩臺核心設(shè)備通過兩條千兆光纖互聯(lián)，互為備份，由此可達(dá)到設(shè)備級高可靠性。核心交換機(jī)配置千兆光接口，為匯聚設(shè)備以及無線AC設(shè)備提供光纖接入；配置千兆電接口，為服務(wù)器、網(wǎng)管軟件等設(shè)備提供網(wǎng)絡(luò)接入。 匯聚層設(shè)計(jì)匯聚層設(shè)備采用華為全光口交換機(jī)，為接入交換機(jī)提供千兆光纖接入；匯聚層交換機(jī)上行為千兆光接口，雙鏈路上聯(lián)核心交換機(jī)，為網(wǎng)絡(luò)提供鏈路級高可靠性，避免單鏈路故障對業(yè)務(wù)的影響。結(jié)合業(yè)界主流設(shè)備選型經(jīng)驗(yàn)和用戶的需求考慮，建議匯聚層、接入層設(shè)備均可考慮采用華為S5700系列交換機(jī)。S5700遵循 IEEE 點(diǎn)到點(diǎn)以太網(wǎng)故障管理功能，可以用于檢測用戶側(cè)最后一公里以太網(wǎng)直連鏈路上的故障。從而大大降低了維護(hù)成本。支持NTP、 、TACACS+、RMON、多日志主機(jī)、基于端口的流量統(tǒng)計(jì)，支持NQA 網(wǎng)絡(luò)質(zhì)量分析，有利于進(jìn)一步作好網(wǎng)絡(luò)規(guī)劃和改造。可以按照每樓層來劃分VLAN，也可以按照每樓層用戶類別劃分VLAN；按照用戶需要可以對VLAN的劃分進(jìn)行靈活的控制。華為設(shè)備支持MUXVLAN ，可支持主VLAN與從VLAN之間，不同從VLAN之間的互通，同時(shí)可以控制隔離型從VLAN之間的數(shù)據(jù)隔離；此時(shí)可以靈活控制各個(gè)邏輯網(wǎng)絡(luò)之間的數(shù)據(jù)通信，和不同類型用戶的通信。華為設(shè)備支持vlan間數(shù)據(jù)的ACL控制，可以更靈活的控制不同VLAN間的數(shù)據(jù)交換。 可靠性設(shè)計(jì)核心交換機(jī)采用雙引擎，雙電源模塊，確保設(shè)備避免單硬件故障；環(huán)形架構(gòu)核心部署保證提供網(wǎng)絡(luò)高可靠性，保證業(yè)務(wù)完整運(yùn)行，消除單點(diǎn)網(wǎng)絡(luò)故障；核心交換機(jī)支持運(yùn)行中軟件升級ISSU，ISSU 可以在設(shè)備軟件升級過程中，減少系統(tǒng)業(yè)務(wù)中斷時(shí)間，顯著地提高設(shè)備的可靠性?？紤]到外網(wǎng)的安全問題的同時(shí)也考慮到內(nèi)網(wǎng)安全問題，選用的核心交換機(jī)、Portal 認(rèn)證；支持RADIUS和HWTACACS用戶登錄認(rèn)證；支持防范DoS攻擊、TCP的SYN Flood攻擊、UDP Flood攻擊、廣播風(fēng)暴攻擊、大流量攻擊；支持Firewall板卡功能；支持IPSec功能；保證網(wǎng)絡(luò)安全運(yùn)行。對內(nèi)網(wǎng)用戶的訪問控制，我們可在交換機(jī)以及其他網(wǎng)絡(luò)設(shè)備上通過ACL方式限制不同vlan之間的靈活訪問控制。 信息安全設(shè)計(jì) 業(yè)務(wù)系統(tǒng)分析業(yè)務(wù)系統(tǒng)包括酒店訂房系統(tǒng)、辦公 OA 等；按照業(yè)務(wù)范圍不同，將大樓整體分為三大區(qū)域：藝術(shù)家協(xié)會(huì)、演員酒店區(qū)、商業(yè)區(qū)。 安全風(fēng)險(xiǎn)分析兩岸文化交流中心的整個(gè)系統(tǒng)現(xiàn)狀主要可以按照兩個(gè)層面來看：一個(gè)是網(wǎng)絡(luò)層面現(xiàn)狀，一個(gè)是系統(tǒng)層面現(xiàn)狀。同時(shí)貫穿于整個(gè)系統(tǒng)的還有一個(gè)重要的系統(tǒng)，就是管理系統(tǒng)，他對網(wǎng)絡(luò)層面、計(jì)算設(shè)施層面和應(yīng)用層面都起到直接的監(jiān)控和管理作用，因此管理系統(tǒng)也可以獨(dú)立的看作另一個(gè)層面：管理層面。專網(wǎng)邊界兩側(cè)都是內(nèi)部用戶，網(wǎng)絡(luò)環(huán)境、應(yīng)用環(huán)境、用戶身份及規(guī)章制度都很接近，所面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)及相應(yīng)的需求也基本類似?；ヂ?lián)網(wǎng)邊界：互聯(lián)網(wǎng)接入主要用于提供對外基于互聯(lián)網(wǎng)的 WEB 業(yè)務(wù)、各接入單位通過互聯(lián)網(wǎng)接入等，因此在同一個(gè)邊界具備兩種屬性。各類復(fù)合網(wǎng)絡(luò)攻擊手段以及針對網(wǎng)站的流量攻擊均是常見的安全威脅。? 內(nèi)部安全域邊界在數(shù)據(jù)中心網(wǎng)絡(luò)中，可以劃分處多個(gè)網(wǎng)絡(luò)安全域，包括多個(gè)服務(wù)器區(qū)、辦公區(qū)、多個(gè)接入?yún)^(qū)、維護(hù)管理區(qū)等等。 計(jì)算區(qū)域安全風(fēng)險(xiǎn)兩岸文化交流中心網(wǎng)絡(luò)作為一個(gè)大的計(jì)算區(qū)域，內(nèi)部運(yùn)行著大量的計(jì)算設(shè)施，這其中包括小型機(jī)服務(wù)器、高端 PC 服務(wù)器、低端 PC 服務(wù)器以及大量的終端設(shè)備，這些計(jì)算設(shè)施尤其是服務(wù)器群作為應(yīng)用系統(tǒng)的主要載體，其安全性至關(guān)重要。總體來說，計(jì)算區(qū)域內(nèi)的計(jì)算設(shè)施面臨的主要安全風(fēng)險(xiǎn)有以下幾種：? 終端行為的管理終端設(shè)備部署較為分散，難于統(tǒng)一管理，操作人員的計(jì)算機(jī)水平也參差不齊，因此終端設(shè)備的安全管理成為網(wǎng)絡(luò)管理人員最為棘手的安全問題。各類終端和服務(wù)器系統(tǒng)的補(bǔ)丁管理同樣是一個(gè)重要問題。? 終端防病毒病毒是對計(jì)算環(huán)境造成危害最大的隱患，當(dāng)前病毒威脅非常嚴(yán)峻，特別是蠕蟲病毒的爆發(fā)，會(huì)立刻向其他子網(wǎng)迅速蔓延，這樣會(huì)大量占據(jù)正常業(yè)務(wù)十分有限的帶寬，造成網(wǎng)絡(luò)性能嚴(yán)重下降甚至網(wǎng)絡(luò)通信中斷，嚴(yán)重影響正常業(yè)務(wù)開展。? 網(wǎng)絡(luò)入侵行為檢測攻擊行為不僅來自于大家公認(rèn)的互聯(lián)網(wǎng)等外部網(wǎng)絡(luò)，在內(nèi)部也要防止攻擊行為。? 安全加固配置無論是審計(jì)、入侵檢測或是防病毒，某種意義上來說都是被動(dòng)防御，大都不具備主動(dòng)防御的能力。 應(yīng)用系統(tǒng)安全風(fēng)險(xiǎn)兩岸文化交流中心網(wǎng)絡(luò)內(nèi)運(yùn)行著多種應(yīng)用系統(tǒng)，這其中包括WINDOWS、UNIX、AIX、LINUX 等多種操作系統(tǒng)和多種業(yè)務(wù)應(yīng)用系統(tǒng)。一旦這些應(yīng)用系統(tǒng)受到攻擊或破壞，會(huì)立即直接影響到兩岸文化交流中心的正常辦公和各種業(yè)務(wù)，需要重點(diǎn)防護(hù)。近年來，頻繁爆發(fā)的蠕蟲病毒更是令人防不勝防，它通過大量消耗網(wǎng)絡(luò)資源導(dǎo)致網(wǎng)絡(luò)癱瘓或者服務(wù)器宕機(jī)，從而導(dǎo)致應(yīng)用系統(tǒng)也無法正常運(yùn)行。應(yīng)用系統(tǒng)的安全策略：重要的應(yīng)用系統(tǒng)尤其是數(shù)據(jù)庫是否配置了適當(dāng)?shù)陌踩呗詠泶_保應(yīng)用系統(tǒng)的安全，例如數(shù)據(jù)庫的用戶密碼管理、數(shù)據(jù)審計(jì)策略等。 管理系統(tǒng)安全風(fēng)險(xiǎn)目前，兩岸文化交流中心擁有多套網(wǎng)絡(luò)管理系統(tǒng)，對各節(jié)點(diǎn)的核心設(shè)備和匯聚設(shè)備進(jìn)行統(tǒng)一的性能監(jiān)控和故障管理，可以及時(shí)發(fā)現(xiàn)并上報(bào)網(wǎng)絡(luò)故障，并進(jìn)行記錄。特別是針對大量部署的防火墻、入侵檢測等設(shè)備，需要通過集中的安全管理平臺，實(shí)施統(tǒng)一的設(shè)備監(jiān)控、日志分析、報(bào)警響應(yīng)。有限的管理人員難以對安全設(shè)備進(jìn)行集中管理、及時(shí)快捷的部署安全策略，全面掌握設(shè)備運(yùn)行和網(wǎng)絡(luò)運(yùn)行的風(fēng)險(xiǎn)狀況。所以，需要建立安全管理中心，實(shí)施統(tǒng)一的設(shè)備監(jiān)控、日志分析、報(bào)警響應(yīng)。當(dāng)網(wǎng)絡(luò)資源和設(shè)備受到攻擊，或運(yùn)行異常時(shí)，會(huì)以告警等信息方式，通知管理員。總體來看，兩岸文化交流中心網(wǎng)絡(luò)主要面臨的安全風(fēng)險(xiǎn)主要涵蓋四個(gè)層面：網(wǎng)絡(luò)邊界層面、計(jì)算區(qū)域?qū)用妗?yīng)用系統(tǒng)層面和管理系統(tǒng)層面。 方案詳細(xì)說明 安全區(qū)域劃分兩岸文化交流中心的安全建設(shè)核心內(nèi)容是將網(wǎng)絡(luò)進(jìn)行全方位的安全防護(hù)，不是對整個(gè)系統(tǒng)進(jìn)行同一等級的保護(hù)，而是針對系統(tǒng)內(nèi)部的不同業(yè)務(wù)區(qū)域進(jìn)行不同等級的保護(hù)。需要通過合理的劃分網(wǎng)絡(luò)安全域，針對各自的特點(diǎn)而采取不同的技術(shù)及管理手段。安全域是具有相同或相似安全要求和策略的 IT 要素的集合，是同一系統(tǒng)內(nèi)根據(jù)信息的性質(zhì)、使用主體、安全目標(biāo)和策略等元素的不同來劃分的不同邏輯子網(wǎng)或網(wǎng)絡(luò)，每一個(gè)邏輯區(qū)域有相同的安全保護(hù)需求，具有相同的安全訪問控制和邊界控制策略，區(qū)域間具有相互信任關(guān)系，而且相同的網(wǎng)絡(luò)安全域共享同樣的安全策略。采用 UTM 設(shè)備來構(gòu)成本方案的核心產(chǎn)品既有效節(jié)約了建設(shè)資金，又達(dá)到了更好的防護(hù)效果。網(wǎng)御 UTM 是一個(gè)集防火墻、防病毒、入侵檢測/阻斷、 VPN（虛擬專用網(wǎng)）和內(nèi)容過濾、反垃圾郵件等多項(xiàng)功能于一身的綜合安全網(wǎng)關(guān)，包括內(nèi)容處理器和 VSP 操作系統(tǒng)，突破了芯片設(shè)計(jì)、網(wǎng)絡(luò)通信、安全防御及內(nèi)容分析等諸多難點(diǎn)，超越了傳統(tǒng)防火墻僅能在網(wǎng)絡(luò)層進(jìn)行粗粒度的包過濾的安全層次，能夠從網(wǎng)絡(luò)層到應(yīng)用層提供全方位的安全保護(hù)。? 防火墻網(wǎng)御 UTM 基于狀態(tài)檢測包過濾技術(shù)，實(shí)現(xiàn)完整防火墻功能。網(wǎng)御 UTM 預(yù)置了常用網(wǎng)絡(luò)服務(wù)的端口信息，如 HTTP 使用的 TCP80 端口、FTP 使用的 TCP21/20 端口等。同樣可以將不同的服務(wù)和端口加入組，在策略中統(tǒng)一調(diào)用。例如工作時(shí)間（如周一至周五每天 9