厦门教育信息化建设配置建议Word格式.docx
《厦门教育信息化建设配置建议Word格式.docx》由会员分享,可在线阅读,更多相关《厦门教育信息化建设配置建议Word格式.docx(90页珍藏版)》请在冰点文库上搜索。
1)尽量一次性考虑到将网络信息点布到所有可能用到网络的地方。
2)电话线可随网线走线,或直接使用网线在以太网中目前没用的两对线。
3)楼宇间尽量采用光纤作为主干布线,
在500M距离内采用多模光纤,超过500M距离跑1000M/10G网络带宽须采用单模光纤。
光纤中的抗拉力钢铰线应该作好防雷接地措施。
同一楼宇内宜采用超六类铜心双铰线进行布线。
同一楼宇内宜采用垂直布线和水平布线两种布线方式进行网络布线。
垂直布线:
校园网在本楼宇的汇聚点到本楼宇各楼层配线间进行布线的布线方式。
水平布线:
本楼层布线间到本楼层个信息点进行布线的布线方式。
对于楼宇内内信息点相对铰少的情况,可采用集中布线的方式:
校园网在本楼宇的汇聚点直接到本楼宇各信息点进行布线。
预算:
网络综合布线费用按每个信息点250元计算。
三、网络中心机房装修(高标准机房建设,参考使用)
1、机房地面工程:
机房工程的技术施工中,机房地面工程是一个很重要的组成部分。
机房地板一般采用抗静电活动地板。
活动地板具有可拆卸的特点,因此,所有设备的导线电缆的连接、管道的连接及检修更换都很方便。
活动地板下空间可作为静压送风风库,通过带气流分布风口的活动地板将机房空调送出的冷风送入室内及发热设备的机柜内,由于气流风口地板与一般活动地板可互换性,因此可自由的调节机房内气流的分布。
活动地板下的地表面一般需进行防潮处理(如涮防潮漆等)。
若活动地板下空间作为机房空调送风风库,活动地板下地面还需做地台保温处理,保证在送冷风的过程中地表面不会因地面和冷风的温差而结露。
2、机房天花工程
机房棚顶装修多采用吊顶方式。
机房内吊顶主要作用是:
在吊顶以上到顶棚的空间作为机房静压送风或回风风库、可布置通风管道;
安装固定照明灯具、走线、各类风口、自动灭火探测器;
防止灰尘下落等等。
机房应选择金属铝天花,铝板及其构件应具有质轻、防火、防潮、吸音、不起尘、不吸尘等性能。
3、机房墙面工程
机房内墙装修的目的的是保护墙体材料,保证室内使用条件,创造一个舒适、美观而整洁的环境。
内墙的装饰效果是由质感、线条和色彩三个因素构成。
目前,在机房墙面装饰中最常见的是贴墙材料(如铝塑板、彩钢板)饰面等,其特点:
表面平整、气密性好、易清洁、不起尘、不变形。
墙体饰面基层做防潮、屏蔽、保温隔热处理。
4、机房隔断工程
为了保证机房内不出现内柱,机房建筑常采用大跨度结构。
针对计算机系统的不同设备对环境的不同要求,便于空调控制、灰尘控制、噪音控制和机房管理,往往采用隔断墙将大的机房空间分隔成较小的功能区域。
隔断墙要既轻又薄,还能隔音、隔热。
机房外门窗多采用防火防盗门窗,机房内门窗一般采用无框大玻璃门,这样既保证机房的安全,又保证机房内有通透、明亮的效果。
5、机房供配电
机房负荷均按照一级供电负荷设计。
计算机机房负载分为主设备负载和辅助设备负载。
主设备负载指计算机及网络系统、计算机外部设备及机房监控系统,这部分供配电系统称为"
设备供配电系统"
,其供电质量要求非常高,应采用UPS不间断电源供电来保证供电的稳定性和可靠性。
辅助设备负载指空调设备、动力设备、照明设备、测试设备等,其供配电系统称为"
辅助供配电系统"
,其供电由市电直接供电。
机房内的电气施工应选择优质电缆、线槽和插座。
插座应分为市电、UPS及主要设备专用的防水插座,并注明易区别的标志。
照明应选择机房专用的无眩光高级灯具。
机房供配电系统是机房安全运行动力保证,机房往往采用机房专用配电柜来规范机房供配电系统,保证机房供配电系统的安全、合理。
6、机房空调及新排风系统
机房空调系统的任务是为保证机房设备能够连续、稳定、可靠地运行,需要排出机房内设备及其它热源所散发的热量,维持机房内恒温恒湿状态,并控制机房的空气含尘量。
为此要求机房空调系统具有送风、回风、加热、加湿、冷却、减湿和空气净化的能力。
机房空调系统的任务是为保证机房设备能够连续、稳定、可靠地运行,需要排出机房内设备及其它热源所散发的热量,维持机房内恒温恒湿状态,并控制机房的空气含尘量。
机房空调系统是保证良好机房环境的最重要设备,宜采用恒温恒湿精密空调系统。
机房新排风系统主要有两个作用:
其一给机房提供足够的新鲜空气,为工作人员创造良好的工作环境;
其二维持机房对外的正压差,避免灰尘进入,保证机房有更好的洁净度
机房内的气流组织形式应结合计算机系统要求和建筑条件综合考虑。
新排风系统的风管及风口位置应配合空调系统和室内结构来合理布局。
其风量根据空调送风量大小而定。
7、机房防雷接地工程
机房接地系统是涉及多方面的综合性信息处理工程,是机房建设中的一项重要内容。
接地系统是否良好是衡量一个机房建设质量的关键性问题之一。
机房一般具有四种接地方式:
交流工作地、安全保护地、直流工作地和防雷保护地。
在机房接地时应注意两点:
1、信号系统和电源系统、高压系统和低压系统不应使用共地回路。
2、灵敏电路的接地应各自隔离或屏蔽,以防止地回流和静电感应而产生干扰。
机房接地宜采用综合接地方案,综合接地电阻应小于1欧姆。
机房雷电分为直击雷和感应雷。
对直击雷的防护主要由建筑物所装的避雷针完成;
机房的防雷(包括机房电源系统和弱电信息系统防雷)工作主要是防感应雷引起的雷电浪涌和其他原因引起的过电压。
机房防雷产品可选用北京欧地安科技有限公司生产的型号:
LEO-Ⅱ100KA/4P、LEO-Ⅱ40KA/4P、LEO-S-RJ45、LEO-SH24等防雷产品。
8、机房监控系统工程
随着社会信息化程度的不断提高,机房计算机系统的数量与俱增,其环境设备也日益增多,机房环境设备(如供配电系统、UPS电源、空调、消防系统、保安系统等)必须时时刻刻为计算机系统提供正常的运行环境。
因此,对机房动力设备及环境实施监控就显得尤为重要。
机房环境及动力设备监控系统主要是对机房设备(如供配电系统、UPS电源、防雷器、空调、消防系统、保安门禁系统等)的运行状态、温度、湿度、洁净度、供电的电压、电流、频率、配电系统的开关状态、测漏系统等进行实时监控并记录历史数据,实现对机房遥测、遥信、遥控、遥调的管理功能,为机房高效的管理和安全运营提供有力的保证。
9、机房气体消防工程
机房应设气体灭火系统,气瓶间宜设在机房外,为管网式结构,在天花顶上设置喷嘴,火灾报警系统由消防控制箱、烟感、温感联网组成。
机房消防系统应采用气体消防系统,常用气体为七氟丙烷和SDE两种气体。
A.推荐使用基于INTELx86架构的PC服务器。
IBMX34004.5万
2*至强四核1.86GHz/8M缓存,4G内存,4*300GSAS硬盘,8K,塔式可转机架式
IBMX36507.5万
2*至强四核2.0GHz/8MB缓存,4G内存,5*300GSAS硬盘,
8KRAID卡,双冗余电源,机架式
IBMX380012.0万
2*XeonEM64TMP3.00GHz7120N,4G内存,8*300GSAS硬盘,
8IRAID卡,双冗余电源,可选塔式也可机架式
B.有较大访问量的应用服务器可采用工作站或小型机(SunV245、Sun4800)
2、交换机
网络中心核心交换机:
带路由功能的三层交换机
楼层交换机:
可划分VLAN的可网管交换机
桌面交换机:
(可划分VLAN的)可网管交换机
***网络交换机构成的网络系统必须具有网络终端准入控制功能。
具备网络准入控制功能的网络交换机设备厂商及方案有:
锐捷网络GSN在集美大学有2万个终端的成功应用
思科NAC
华为EAD
D-link支持MicrosoftNAP
在目前的教育网络中,用户的终端计算机不及时升级系统补丁和病毒库、滥用各种软件和网络聊天的行为比比皆是,脆弱的用户终端一旦接入网络,就等于给潜在的安全威胁敞开了大门,使安全威胁在更大范围内快速扩散,进而导致网络使用行为的“失控”。
保证用户终端的安全、阻止威胁入侵网络,对用户的网络访问行为进行有效的控制,是保证网络安全运行的前提,也是目前企业急需解决的问题。
网络安全从本质上讲是管理问题。
但目前厦门各个校园网络本身不具备网络安全管理功能;
纸面的网络安全管理制度没有得到落实同时也不能应对日益严重、无孔不入的网络安全威胁。
网络系统本身必须具备的网络终端准入控制功能才是解决网络安全威胁的根本。
网络终端准入控制解决方案从控制用户终端安全接入网络的角度入手,整合网络接入控制与终端安全产品,通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动,对接入网络的用户终端强制实施网络安全策略,严格控制终端用户的网络使用行为,有效地加强了用户终端的主动防御能力,为学校企业网络管理人员提供了有效、易用的管理工具和手段。
在校园网内部,接入终端一般是通过交换机接入企业网络,通过与交换机的联动,强制检查用户终端的病毒库和系统补丁信息,降低病毒和蠕虫蔓延的风险,同时强制实施网络接入用户的安全策略,阻止来自网络内部的安全威胁。
A.方案概述
对于要接入安全网络的用户,网络终端准入控制解决方案首先要对其进行身份认证,通过身份认证的用户进行终端的安全认证,根据网络管理员定制的安全策略进行包括病毒库更新情况、系统补丁安装情况、软件的黑白名单等内容的安全检查,根据检查的结果,网络终端准入控制对网络用户准入进行授权和控制。
通过安全认证后,用户可以正常使用网络,与此同时还可以对用户终端运行情况和网络使用情况进行审计和监控。
网络终端准入控制解决方案对用户网络准入的整体认证过程如下图所示:
B.组网模型
如下图所示,网络终端准入控制组网模型图中包括安全客户端、安全联动设备、网络策略服务器和第三方服务器。
安全客户端:
是指安装了网络终端准入控制智能客户端的用户接入终端,负责身份认证的发起和安全策略的检查。
安全联动设备:
是指用户网络中的交换机、路由器、VPN网关等设备。
网络终端准入控制须提供灵活多样的组网方案,安全联动设备可以根据需要灵活部署在各层比如网络接入层和汇聚层。
网络安全策略服务器:
它要求和安全联动设备路由可达。
负责给客户端下发安全策略、接收客户端安全策略检查结果并进行审核,向安全联动设备发送网络访问的授权指令。
第三方服务器:
是指补丁服务器、病毒服务器和安全代理服务器等,被部署在隔离区中。
当用户通过身份认证但安全认证失败时,将被隔离到隔离区,此时用户能且仅能访问隔离区中的服务器,通过第三方服务器进行自身安全修复,直到满足安全策略要求。
C.功能特点
•严格的身份认证
除基于用户名和密码的身份认证外,EAD还支持身份与接入终端的MAC地址、IP地址、所在VLAN、接入设备IP、接入设备端口号等信息进行绑定,支持智能卡、数字证书认证,增强身份认证的安全性。
•完备的安全状态评估
根据管理员配置的安全策略,用户可以进行的安全认证检查包括终端病毒库版本检查、终端补丁检查、终端安装的应用软件检查、是否有代理、拨号配置等;
为了更好的满足客户的需求,网络终端准入控制客户端支持和微软SMS、LANDesk、BigFix等业界桌面安全产品的配合使用,支持与瑞星、江民、金山、Symantec、McAfee、TrendMicro、Ahn等国内外主流防病毒厂商联动。
例如:
网络终端准入控制可充分利用微软成熟的桌面管理工具SMS实现Windows环境下用户的桌面管理需求,包括资产管理、补丁管理、软件分发和安装等。
•基于角色的网络授权
在用户终端通过病毒、补丁等安全信息检查后,网络终端准入控制可基于终端用户的角色,向安全联动设备下发事先配置的接入控制策略,按照用户角色权限规范用户的网络使用行为。
终端用户的所属VLAN、ACL访问策略、是否禁止使用代理、是否禁止使用双网卡等安全措施均可由管理员统一配置实施。
•ARP攻击防范
网络终端准入控制方案可以通过绑定用户网关地址来防止恶意的ARP欺骗,客户端的流量监控功能还可以实时监控用户的非法流量,当出现异常时可以采取相应的安全措施。
统一安全防御(防火墙、防病毒、攻击保护)防火墙
FortinetFortiGate全系列
联想网御部分
FortiGate防火墙配合该公司的防火墙访问日志记录分析设备FortiAnalyzer
可作校园网访问互联网日志记录及查询,以备案用(公安局要求日志记录三个月)
防火墙
FortiGate1000A13万
联想网御200013万
FortiGate80010万
FortiGate400A7万
防火墙访问日志记录分析设备
FortiAnalyzer100B2万
FortiAnalyzer800B8万
FortiGate防火墙截图
FortiAnalyzer截图
日志记录显示总图
访问互联网记录
BT、Skype使用记录
收发邮件登记
聊天信息登记
随着网络中的应用越来越复杂,安全问题以出人意料的速度增长,并且在攻击方式、攻击目标上亦呈多样化发展趋势。
对近两年来黑客和病毒对网络所造成的威胁进行总结,可以看出三个显著特点:
第一:
攻击手段多样化,以网络病毒为例,从震荡波、冲击波,还有QQ病毒,可以看出现在的网络攻击手段中,既包括病毒攻击,也包括隐含通道、拒绝服务攻击,还可能包括口令攻击、路由攻击、中继攻击等多种攻击模式。
第二:
每一次攻击经常是多种手段并用,混合攻击正在成为攻击的主流。
混合攻击是指在同一次攻击中,既包括病毒攻击、黑客攻击,也包括隐通道、拒绝服务攻击,还可能包括口令攻击、路由攻击、中继攻击等多种攻击方式,如伊拉克战争期间流行的“爱情后门变种”病毒,集蠕虫、后门、黑客三者功能于一身,给互联网造成了巨大的破坏。
第三:
攻击手段更新速度前所未有的快,业界知名的SANS协会在其2006二十大安全隐患列表中将“零日攻击”的爆增列为目前最严重的安全威胁。
所谓“零时攻击”是指如果一个漏洞被发现后,当天或更准确的定义是在24小时内,立即被恶意利用,出现对该漏洞的攻击方法或攻击行为,而同时并未有对应的防御工具被开发出来,那么该漏洞被称为“零日漏洞”,该攻击被称为“零日攻击”。
基于以上三方面对攻击多样化和融合特点的总结,可以理解为什么原先各自为战的安全产品总是处于疲于应付的状态,无法很好的实现对企业网络安全的保护。
企业中可能会有防病毒、防火墙、入侵检测等一系列安全产品,这些产品产生大量不同形式的安全信息,使得整个系统的相互协作和统一管理成为安全管理的难点。
由此带来的是,企业的安全管理体制也变得非常复杂,其系统配置、规则设置、反应处理、设备管理、运行管理的复杂性所带来的管理成本和管理难度直接制约了安全防御体系的有效性,因而导致了网络安全的重大隐患。
可以说复杂的网络安全解决方案成为人们关注的一个新焦点问题,如何使复杂变成简单,成为网络管理人员的一个困惑。
UTM就是在这种背景下应运而生的,它的定义是将多种安全能力(尤其是传统上讲的防火墙能力、防病毒能力、攻击保护能力)融合在一个产品之中,实现防御一体化,这样就为简化安全解决方案、规避设备兼容性问题、简化安全管理提供了先决条件。
因此,全面的立体防御是UTM存在的理由,更是UTM发展的方向,那么UTM所保护的网络将面临哪些威胁,或者说UTM应该提供哪些安全能力呢?
我们需要分析一下网络边界所面临的威胁,根据互联网协议TCP/IP的五层结构,我们可以归纳各类威胁如下图:
注:
虽然网络协议的多个层次均面临拒绝服务攻击和地址欺骗,但攻击技术和表现形式是不同的。
数据链路层
拒绝服务:
网络设备或者终端均需具有相邻设备的硬件地址信息表格。
一个典型的网络侵入者会向该交换机提供大量的无效MAC源地址,直到硬件地址表格被添满。
当这种情况发生的时候,设备将不能够获得正确的硬件地址,而无法进行正常的网络通讯。
地址欺骗:
在进行MAC欺骗攻击的过程中,已知某主机的MAC地址会被用来使目标交换机向攻击者转发以该主机为目的地址的数据帧。
通过发送带有该主机以太网源地址的单个数据帧的办法,网络攻击者改写了目标设备硬件地址表格中的条目,使得交换机将以该主机为目的地址的数据包转发给该网络攻击者。
通过这种方式,黑客们可以伪造MAC或IP地址,以便实施如下的两种攻击:
服务拒绝和中间人攻击。
网络层
网络层的拒绝服务攻击以网络资源消耗为目的,它通过制造海量网络数据报文或者利用网络漏洞使系统自身循环产生大量报文将用户网络带宽完全消耗,使合法用户得不到应有的资源。
典型的如Pingflood和Smurf攻击,一旦攻击成功实施,网络出口带宽甚至是整个局域网中将充斥这些非法报文,网络中的设备将无法进行正常通讯。
同链路层的地址欺骗目的是一样的,IP地址欺骗同样是为了获得目标设备的信任,它利用伪造的IP发送地址产生虚假的数据分组,乔装成来自内部主机,使网络设备或者安全设备误以为是可信报文而允许其通过。
非授权访问:
是指没有预先经过同意,就使用网络或计算机资源被看作非授权访问,对于一个脆弱的信息系统,这种威胁是最常见的。
传输层:
传输层的拒绝服务攻击以服务器资源耗尽为目的,它通过制造海量的TCP/UDP连接,耗尽服务器的系统连接资源或者内存资源。
这种情况下,合法用户发出连接请求却因服务器资源耗尽而得不到应答。
典型的如TCPFlood和UDPFlood攻击,目前在互联网上这类攻击工具随处可见,因其技术门槛低而被大量使用,是互联网的几大公害之一。
某些情况下,攻击者甚至将攻击提升到应用层,既不只是发出连接,而且发出应用数据,这样的攻击因不易与合法请求区分而更加难以控制。
端口扫描:
端口扫描攻击是一种探测技术,攻击者可将它用于寻找他们能够成功攻击的服务。
连接在网络中的所有计算机都会运行许多使用TCP或UDP端口的服务,而所提供的已定义端口达6000个以上。
通常,端口扫描不会造成直接的损失。
然而,端口扫描可让攻击者找到可用于发动各种攻击的端口。
为了使攻击行为不被发现,攻击者通常使用缓慢扫描、跳跃扫描等技术来躲避检测。
应用层:
信息窃听与篡改:
互联网协议是极其脆弱的,标准的IP协议并未提供信息隐秘性保证服务,因此众多应用协议也以明文进行传输,如Telnet、FTP、HTTP等最常用的协议,甚至连用户口令都是明文传输。
这为攻击者打开了攻击之门,他们可以在网络的必经之路搭线窃听所关心的数据,盗取企业的关键业务信息;
严重的甚至直接对网络数据进行修改并重放,达到更大的破坏目的。
非法信息传播:
由于无法阻止非法分子进入网络世界,互联网上充斥着反动、色情、暴力、封建迷信等信息。
非法分子通过电子邮件、WEB甚至是IM协议不断的发送各种非法信息到世界各地的网络终端上去。
这些行为极大的破坏了社会的安定与和谐,对整个社会来讲,危害极大。
资源滥用:
IDC的统计曾显示,有30%~40%的Internet访问是与工作无关的,而且这些访问消耗了相当大的带宽,一个不受控的网络中90%带宽被P2P下载所占用。
这对于网络建设者来讲完全是灾难,它意味着投资利用率低于10%。
漏洞利用:
网络协议、操作系统以及应用软件自身存在大量的漏洞,通过这些漏洞,黑客能够获取系统最高权限,读取或者更改数据,典型的如SQL注入、缓冲区溢出、暴力猜解口令等。
在众多威胁中,利用系统漏洞进行攻击所造成的危害是最全面的,一旦攻击行为成功,黑客就可以为所欲为。
病毒:
病毒是最传统的信息系统破坏者,随着互联网的普及和广泛应用,计算机病毒的传播形式有了根本的改变,网络已经成为病毒的主要传播途径,用户感染计算机病毒的几率大大增加。
同时病毒正在加速与黑客工具、木马软件的融合,可以说病毒的破坏力达到了前所未有的程度。
木马:
特洛伊木马是一种恶意程序,它们悄悄地在宿主机器上运行,就在用户毫无察觉的情况下,让攻击者获得了远程访问和控制系统的权限。
攻击者经常把特洛伊木马隐藏在一些游戏或小软件之中,诱使粗心的用户在自己的机器上运行。
最常见的情况是,上当的用户要么从不正规的网站下载和运行了带恶意代码的软件,要么不小心点击了带恶意代码的邮件附件。
UTM产品应该提供对以上分析列举的攻击行为进行安全防护的能力。
但并不是将这些安全防护能力简单的叠加在一起就可以称之为UTM;
如果仅仅是功能的简单叠加,产品的管理复杂度并不能有效降低,同时会带来性能的急剧衰减,这样的产品是不可用的。
因此UTM应该是产品设计上保证这些安全能力是有机融合甚至是完全一体的,这样才能真正实现简化安全解决方案,让用户的安全变得简单的目的。
网络版防病毒软件
MacFee、安博士、金山毒霸、瑞星
每PC费用150~200元
5、入侵检测防御
以色列Radware200DP18~20万
中联绿盟冰之眼600型15万
6、上网行为监控、网络行为审计系统
网络督察500型百兆8万
网络督察900型千兆13万
7、Windows系统补丁集中分发管理系统
A、WSUS
免费产品
B、SMS
付费产品每点100~150元
C、第三方软件:
北信源、LANDesk、BigFix
SMS功能简介
1)软件/补丁发布:
SMS能够向任何用户、用户组、网段和计算机的组合分发各类软件、补丁。
发布对象非常灵活,例如,可以向开发部门的所有没有安装VS.Net的员工发布VS.Net。
2)资产管理:
SMS可以发现并跟踪所有分布的基于Windows的软件和硬件资产--笔记本电脑、台式机和服务器等。
服务器会按照需求定期的收集客户端的软硬件信息以及网络状况,管理员可以监控软硬件变化。
由于软件搜集的机制是基于所有文件文件头的扫描,因此即使是绿色软件,也逃不过SMS的法眼。
3)远程桌面监控及问题解决:
拥有特定权限的管理员可以远程监控用户的桌面,并能够发现并解决基于Windows系统的常见问题,从而提高Helpdesk的工作效率。
4)软件监控:
防止用户使用非法的或企业内