机房网络安全设计

Ⅰ 什么是网络安全，常用的安全措施有那些求答案！急！

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。 网络安全包含网络设备安全、网络信息安全、网络软件安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。
网络安全解决方案分析我们的网络对安全性有极高的要求，网络中的关键应用和关键数据越来越多，如何保障关键业务数据的安全性成为网络运维中非常关键的工作。
物理安全
网络的物理安全是整个网络系统安全的前提。在校园网工程建设中，由于网络系统属于弱电工程，耐压值很低。因此，在网络工程的设计和施工中，必须优先考虑保护人和网络设备不受电、火灾和雷击的侵害；考虑布线系统与照明电线、动力电线、通信线路、暖气管道及冷热空气管道之间的距离；考虑布线系统和绝缘线、裸体线以及接地与焊接的安全；必须建设防雷系统，防雷系统不仅考虑建筑物防雷，还必须考虑计算机及其他弱电耐压设备的防雷。总体来说物理安全的风险主要有，地震、水灾、火灾等环境事故；电源故障；人为操作失误或错误；设备被盗、被毁；电磁干扰；线路截获；高可用性的硬件；双机多冗余的设计；机房环境及报警系统、安全意识等，因此要注意这些安全隐患，同时还要尽量避免网络的物理安全风险。
网络结构
网络拓扑结构设计也直接影响到网络系统的安全性。假如在外部和内部网络进行通信时，内部网络的机器安全就会受到威胁，同时也影响在同一网络上的许多其他系统。透过网络传播，还会影响到连上Internet/Intranet的其他的网络；影响所及，还可能涉及法律、金融等安全敏感领域。因此，我们在设计时有必要将公开服务器（WEB、DNS、EMAIL等）和外网及内部其它业务网络进行必要的隔离，避免网络结构信息外泄；同时还要对外网的服务请求加以过滤，只允许正常通信的数据包到达相应主机，其它的请求服务在到达主机之前就应该遭到拒绝。
系统的安全
所谓系统的安全是指整个网络操作系统和网络硬件平台是否可靠且值得信任。恐怕没有绝对安全的操作系统可以选择，无论是Microsoft 的Windows NT或者其它任何商用UNIX操作系统，其开发厂商必然有其Back-Door。因此，我们可以得出如下结论：没有完全安全的操作系统。不同的用户应从不同的方面对其网络作详尽的分析，选择安全性尽可能高的操作系统。因此不但要选用尽可能可靠的操作系统和硬件平台，并对操作系统进行安全配置。而且，必须加强登录过程的认证（特别是在到达服务器主机之前的认证），确保用户的合法性；其次应该严格限制登录者的操作权限，将其完成的操作限制在最小的范围内。
应用系统
应用系统的安全跟具体的应用有关，它涉及面广。应用系统的安全是动态的、不断变化的。应用的安全性也涉及到信息的安全性，它包括很多方面。
——应用系统的安全是动态的、不断变化的。
应用的安全涉及方面很多，以Internet上应用最为广泛的E-mail系统来说，其解决方案有sendmail、Netscape Messaging Server、SoftwareCom Post.Office、Lotus Notes、Exchange Server、SUN CIMS等不下二十多种。其安全手段涉及LDAP、DES、RSA等各种方式。应用系统是不断发展且应用类型是不断增加的。在应用系统的安全性上，主要考虑尽可能建立安全的系统平台，而且通过专业的安全工具不断发现漏洞，修补漏洞，提高系统的安全性。
——应用的安全性涉及到信息、数据的安全性。
信息的安全性涉及到机密信息泄露、未经授权的访问、 破坏信息完整性、假冒、破坏系统的可用性等。在某些网络系统中，涉及到很多机密信息，如果一些重要信息遭到窃取或破坏，它的经济、社会影响和政治影响将是很严重的。因此，对用户使用计算机必须进行身份认证，对于重要信息的通讯必须授权，传输必须加密。采用多层次的访问控制与权限控制手段，实现对数据的安全保护；采用加密技术，保证网上传输的信息（包括管理员口令与帐户、上传信息等）的机密性与完整性。
管理风险
管理是网络中安全最最重要的部分。责权不明，安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。当网络出现攻击行为或网络受到其它一些安全威胁时（如内部人员的违规操作等），无法进行实时的检测、监控、报告与预警。同时，当事故发生后，也无法提供黑客攻击行为的追踪线索及破案依据，即缺乏对网络的可控性与可审查性。这就要求我们必须对站点的访问活动进行多层次的记录，及时发现非法入侵行为。
建立全新网络安全机制，必须深刻理解网络并能提供直接的解决方案，因此，最可行的做法是制定健全的管理制度和严格管理相结合。保障网络的安全运行，使其成为一个具有良好的安全性、可扩充性和易管理性的信息网络便成为了首要任务。一旦上述的安全隐患成为事实，所造成的对整个网络的损失都是难以估计的。因此，网络的安全建设是校园网建设过程中重要的一环。
安全技术手段
物理措施：例如，保护网络关键设备(如交换机、大型计算机等)，制定严格的网络安全规章制度，采取防辐射、防火以及安装不间断电源（UPS）等措施。
访问控制：对用户访问网络资源的权限进行严格的认证和控制。例如，进行用户身份认证，对口令加密、更新和鉴别，设置用户访问目录和文件的权限，控制网络设备配置的权限等等。
数据加密：加密是保护数据安全的重要手段。加密的作用是保障信息被人截获后不能读懂其含义。防止计算机网络病毒，安装网络防病毒系统。
网络隔离：网络隔离有两种方式，一种是采用隔离卡来实现的，一种是采用网络安全隔离网闸实现的。
隔离卡主要用于对单台机器的隔离，网闸主要用于对于整个网络的隔离。这两者的区别可参见参考资料。
其他措施：其他措施包括信息过滤、容错、数据镜像、数据备份和审计等。围绕网络安全问题提出了许多解决办法，例如数据加密技术和防火墙技术等。数据加密是对网络中传输的数据进行加密，到达目的地后再解密还原为原始数据，目的是防止非法用户截获后盗用信息。防火墙技术是通过对网络的隔离和限制访问等方法来控制网络的访问权限。
安全防范意识
拥有网络安全意识是保证网络安全的重要前提。许多网络安全事件的发生都和缺乏安全防范意识有关。
主机安全检查
要保证网络安全，进行网络安全建设，第一步首先要全面了解系统，评估系统安全性，认识到自己的风险所在，从而迅速、准确得解决内网安全问题。由安天实验室自主研发的国内首款创新型自动主机安全检查工具，彻底颠覆传统系统保密检查和系统风险评测工具操作的繁冗性，一键操作即可对内网计算机进行全面的安全保密检查及精准的安全等级判定，并对评测系统进行强有力的分析处置和修复。
主机物理安全
服务器运行的物理安全环境是很重要的，很多人忽略了这点。物理环境主要是指服务器托管机房的设施状况，包括通风系统、电源系统、防雷防火系统以及机房的温度、湿度条件等。这些因素会影响到服务器的寿命和所有数据的安全。我不想在这里讨论这些因素，因为在选择IDC时你自己会作出决策。
在这里着重强调的是，有些机房提供专门的机柜存放服务器，而有些机房只提供机架。所谓机柜，就是类似于家里的橱柜那样的铁柜子，前后有门，里面有放服务器的拖架和电源、风扇等，服务器放进去后即把门锁上，只有机房的管理人员才有钥匙打开。而机架就是一个个铁架子，开放式的，服务器上架时只要把它插到拖架里去即可。这两种环境对服务器的物理安全来说有着很大差别，显而易见，放在机柜里的服务器要安全得多。
如果你的服务器放在开放式机架上，那就意味着，任何人都可以接触到这些服务器。别人如果能轻松接触到你的硬件，还有什么安全性可言?
如果你的服务器只能放在开放式机架的机房，那么你可以这样做：
（1)将电源用胶带绑定在插槽上，这样避免别人无意中碰动你的电源；
（2)安装完系统后，重启服务器，在重启的过程中把键盘和鼠标拔掉，这样在系统启动后，普通的键盘和鼠标接上去以后不会起作用(USB鼠标键盘除外)
（3)跟机房值班人员搞好关系，不要得罪机房里其他公司的维护人员。这样做后，你的服务器至少会安全一些。

Ⅱ 急！网络

企业网络工程解决方案

本方案是一个典型的大型企业网络工程解决方案，实际工程可以根据需要和可能，参照此方案灵活应用。
一、企业网络设计
（1）主干网设计
采用千兆以太网技术。千兆以太网技术特点是具有高速数据传输带宽，基本能满足高速交换及多媒体对服务质量的要求。易于网络升级、易于维护、易于管理，具有良好的价格比。
传输介质。千兆传输距离500m以内采用50/125多模光缆；千兆传输距离大于500m、小于5000m时采用9/125单模光缆；百兆传输距离2000m以内采用50/125多模光缆；百兆传输距离大于2000m采用9/125单模光缆。
交换机。主干交换机的基本要求：机箱式结构，便于扩展；支持多种网络方式，如快速以太网、千兆以太网等；高性能，高背板带宽及中心交换吞吐量；支持第二、第三交换，支持各种IP应用；高可靠性设计，如多电源/管理模块、热插拔；丰富的可管理能力等。
中心机房配置企业级交换机作为网络中心交换机。为实现网络动态管理和虚拟局域网，在中心交换机上配置第三层交换模块和网络监控模块。主干各结点采用1000Mbps连接，服务器采用双网卡链路聚合200Mbps连接，客户采用交换式10/1000Mbps连接。
（2）楼宇内局域网设计
要求采用支持802.1Q的10/100Mbps工作组以太网交换机，交换机的数据依据用户端口数、可靠性及网管要求配置网络接入交换机，使10/100Mbps流量接至桌面。
（3）接入Internet设计
Internet接入系统由位于网络中心的非军事区（DMZ）交换机、WWW服务、E-mail服务、防火墙、路由器、Internet光纤接入组成。
（4）虚拟局域网VLAN设计
通过VLAN将相同业务的用户划分在一个逻辑子网内，既可以防止不同业务的用户非法监听保密信息、又可隔离广播风暴。不同子网的通信采用三层路由交换完成。
各工作组交换机采用基于端口的VLAN划分策略，划分出多个不同的VLAN组，分隔广播域。每个VLAN是一个子网，由子网中信息点的数量确定子网的大小。
同样在千兆/百兆以太网上联端口上设置802.1Q协议，设置通信干道(Truck)，将每个VLAN的数据流量添加标记，转发到主干交换机上实现网络多层交换。
（5）虚拟专用网VPN设计
如果公司跨地区经营，自己铺设专线不划算，可以通过Internet采用VPN数据加密技术，构成企业内部虚拟专用网。
（6）网络拓扑结构。这部分待续
二、网络安全性设计
网络系统的可靠与安全问题：
a. 物理信息安全，主要防止物理通路的损坏和对物理通路的攻击（干扰等）。
b. 链路层的网络安全需要保证通过网络链路传送的数据不被窃听。主要采用划分VLAN、加密通信等手段。
c. 网络层的安全需要保证网络只给授权的客户使用授权的服务，保证网络路由正确，避免被拦截或监听。
d. 操作系统安全要求保证客户资料、操作系统访问控制的安全，同时能够对该操作系统上的应用进行审计。
e. 应用平台的安全要求保证应用软件服务，如数据库服务、电子邮件服务器、Web服务器、ERP服务器的安全。
（1）物理安全
机房要上锁，出入人员要严加限制。注意不可让人从天花板、窗户进入房间。
机房电力要充足、制冷要合适，环境要清洁。
从工作站到配线柜的配线应该布在偷听设备接触不到的地方。配线不应该直接布在地板或天花板上，而应该隐藏在线槽或其他管道里。
应该包括诸如火灾、水灾等自然灾害后的恢复流程。如美国911世贸中心崩塌，大多数公司的数据得不到恢复。
（2）防火墙
防火墙应具管理简单、功能先进等特点，并且能够保证对所有系统实施“防弹”保护。 一个优秀的防火墙具有内网保护、灵活的部署、非军事区（DMZ）范围的保护、TCP状态提醒、包过滤技术、TCP/IP堆栈保护、网络地址翻译、VPN等功能。
（3）网络病毒
在网络中心主机安装一台网络病毒控制中心服务器，该服务器既要与Internet相连，又要与企业内网相连。该服务器通过Internet每每更病毒代码及相关文件，企业内部网络中的服务器、客户时刻处于网络病毒控制中心服务的监控下，更新本机的病毒代码库及相文件，对计算机的所有文件和内存实施动态、实时、定时等多种病毒防杀策略，以确保网络系统安全。
（4）网络容错
集群技术。一个服务器集群包含多台拥有共享数据存储空间的服务器，各服务器之间通过内部局域网进行相互通信。当其中一台服务器发生故障时，它所运行的应用程序将由其他的服务器自动接管。在大多数情况下，集群中所有的计算机都拥有一个共同的名称，集群系统内任意一台服务器都可被所有的网络用户所使用。
（5）安全备份与灾难恢复
企业信息管理最重要的资产不是网络硬件，而是网络运行的数据。
理想的备份系统是在软件备份的基础上增加硬件容错系统，使网络更加安全可靠。实际上，备份不仅仅是文件备份，而是整个网络的一套备份体系。备份应包括文件备份和恢复，数据库备份和恢复、系统灾难恢复和备份任务管理。
（6）网络入侵检测、报警、审计技术
入侵检测系统（IDS-Intrusin Detection System）执行的主要任务包括：监视、分析用户及系统活动；审计系统构造和弱点；识别、反映已知进攻的活动模式，向相关人士报警；统计分析异常行为模式；评估重要系统和数据文件的完整性；审计、跟踪管理操作系统，识别用户违反安全策略的行为。
常见的IDS产品有ISS的RealSecure、CA公司的eTrust、Symantec的NetProwler、启明星辰公司的天阗、上海金诺的网安、东软的网眼等。
（7）局域网信息的安全保护技术
密码采用9位以上，每周修改1次
采用多层交换网络的虚拟网划分技术，防止在内部网监听数据
采用NTFS磁盘分区加密技术，使网上邻居只能是信任用户
采用Windows域控制技术，对网络资源实行统一管理
采用SAN（Storage Area Network存储区域网络）与NAS（Network Attached Storage网络连接存储）保护数据。
SAN技术允许将独立的存储设备连接至一台或多台服务器，专用于服务器，而服务器则控制了网络其他部分对它的访问。
NAS将存储设备直接连接至网络，使网络中的用户和网络服务器可以共享此设备，网络对存储设备的访问则由文件管理器这一类设备进行管理。
利用SAN结合集群技术提高系统可靠性、可扩充性和抗灾难性；利用NAS文件服务统一存放管理全公司桌面系统数据。
（8）网络代理
采用Proxy对访问Internet实行统一监控。限制用户访问的时间、访问的内容、访问的网址、访问的协议等等，同时对用户的访问进行审计。
（9）邮件过滤技术。
采用具有过滤技术邮件管理系统，一般是针对“主题词”、“关键字”、“地址（IP、域名）”等信息过滤，防止非法信息的侵入。
（10）重视网络安全的教育，提高安全意识。
三、综合布线与机房设计
1. 把服务器、UPS、防火墙、路由器及中心交换机放置在中心机房，把各子系统的配线柜设置在各子系统所在的楼层。
2. 楼宇间光缆敷设
采用4芯以上的单模或多模室外金属光缆架空或埋地敷设。
3. 楼宇内UTP布线
采用AMP超五类UTP电缆、AMP超五类模块、AMP信息面板、配线架、AMP超五类UTP跳线实现垂直系统、水平子系统、工作区的布线。
4. 机房装修
（1）地板。铺设抗静电三防地板，规格600*600*27，板面标高0.20m，地板应符合GB6650-82《计算机机房用活动地板技术条件》
（2）吊顶。轻钢龙骨铝合金架顶棚、顶部矿棉吸声板饰面。
（3）墙面。涂刮防防瓷、墙壁面刷乳胶漆。
（4）窗户。加装塑钢推拉窗、木制窗帘盒、亚麻竖百叶窗帘。
（5）出入门。安装铝合金玻璃隔断推拉门。
（6）照明。采用高效格栅双管日光灯嵌入安装。
（7）配电。机房配电采用三相五线制，多种电源（动力三相380V、普通220V和UPS输出220V）配电箱。为UPS、空调机、照明等供电。配电箱设有空气开关，线路全部用铜芯穿PVC管。
（8）接地。根据要求设计接地系统，其直流接地电阻小于1Ω、工作保护地和防雷地接地电阻小于4Ω。为保证优良的接地性能，采用JD—1型接地和化学降阻剂，此外，考虑机房抗静电的需求，对抗静电活动地板进行可靠的接地处理，以保证设备和工作人员的安全要求。
（9）空调。主机房3P柜机；分机房1.5壁挂式空调机。
5. UPS后备电源。
采用分散保护，集中管理电源的策略，考虑APC公司提供的电源解决方案。
四、企业网应用系统
1. 应用服务器。IBM服务器首选，当然，也可以采用高档PC机，PC机的优点是便于更新换代。
2. 软件平台。采用Windows 2003（主要使用Domain域控制器,集成DNS服务），Redhat 9.0，Solaris 9.0（在unix/linux上运行Oracle数据库，SAP/R3系统，基于Lotus Domino/Notes的OA系统）
3. 数据库系统。采用Oracle大型数据库，或SQL Server2000数据库。
4. OA办公系统。基于Lotus Domino/Notes的OA系统，Lotus Domino集成Email/HTTP等服务。
5. 企业管理综合软件ERP。采用SAP/R3系统，一步解决未来企业国际化问题；或是用友ERP—U8系统。
6. 网络存储系统。
五、网络系统管理
1.交换机、路由器管理。设备均是Cisco产品，使用Cisco Works 2000。
2.网络综合管理。HP OpenView集成网络管理和系统管理。OpenView 实现了网络运作从被动无序到主动控制的过渡，使IT部门及时了解整个网络当前的真实状况，实现主动控制。OpenView系统产品包括了统一管理平台、全面的服务和资产管理、网络安全、服务质量保障、故障自动监测和处理、设备搜索、网络存储、智能代理、Internet环境的开放式服务等丰富的功能特性。
3.桌面系统管理。
这是一个网上我搜索到的
！
有没有经验啦~~
自己能不能独立完成啦~~~
做过项目吗~~~~
网络设备啦~~~~
网络产品啦~~~

不知道是不是随便说说`~~~~~~~~~~

这是某人10月初的一个面试题目，售后职位：高级网络工程师。面试官是三位CCIE，面试过程历时2个多小时，印象非常深刻。现在这个offer基本已经确定了，事主还在考虑诸如待遇及工作压力等情况再决定是否接这个offer.事主亦在其blog上张贴了面试题目，我故亦斗胆将其贴出。

1. 现在的6509及7609，SUP720交换带宽去到720G，是不是可以说7609/6509可以取代一部分GSR的地位？

2. isis level1 的路由表包括哪此路由？有多个level-1-2出口时，其它路由它从哪里学到，如何选路？

3. MPLS L3 VPN，如果我想让两个不同的VPN作单向互访，怎做？

4. 跨域的MPLS L3 VPN可以谈谈思路吗？

5. MPLS L3 VPN的一个用户，他有上internet的需求，如何实现？有几种实现方法？特点各是什么？

6. MPLS L3 VPN，如果我想让两个不同的VPN作单向互访，怎做？

7. L3 VPN与L2 VPN各自的特点是怎样？你觉得哪一种模式运营起来比较有前景？

8. ISIS与OSPF的区别谈一谈吧，各个方面。

9. 一个骨干网或城域网选ISIS及OSPF基于什么理由？

10. BGP选路原则常用是哪些？在骨干网与城域网间如何搭配一块使用？

11. 如果BGP加上max path，会在哪个BGP选路属性之前应用这个选项？

12. 为什么骨干网pop及城域网出口要作next-hop-self？

13. 两个AS之间，有四台路由器口字型互联，其中一台路由器上从EBGP学到一个网络，又从IBGP学到同一个网络，选路哪个？是哪个属性影响？如果我在IBGP过来那个加上MED小于从EBGP过来的，又选哪个？为什么？

14. local-pre与weight的区别是什么？

15. BGP能不能实现负载均衡？如果可以，有哪些方法？

16. 多个AS之间，可不可以比较MED？如可以，需要前提条件吗？如有，前提条件是什么？

17. MED能不能和AS内的IGP度量值结合起来？如可以，如何做？

18. 割接限定回退的时间还有十分钟，割接还未成功，局方已经催你回退了，但你觉得这些问题你再努力5分钟可能会解决，你的选择是什么？

19. 骨干网的QoS，如何部署？你认为什么骨干网什么情况下是有拥塞发生了？

20. 对于工程及维护来说，你觉得l3网络和l2网络哪个比较好？

21. L3网络与L2网络对环路的处理各是什么样的机制？

22. 一般情况下，L2交换机的生成树有多少数量？

23. 3550的生成树模式是什么？生成树数量是怎样的？

24. 跟据你的经验，GE的端口，当流量达到多少时，你可以认为是有拥塞发生了？2.5G POS口，当流量达到多少时，你可以认为有拥塞？

此外，中间问了对项目实施上的一些事件的处理方式，问了有没有一些失败的经历及体验，还有问及工作中碰过最棘手的事件是什么及如何处理等等。当然还有一些互相调戏平和气氛的对话。

Ⅲ 校园网网络安全方案设计

这个你需要找当地的网络公司来做布局.工程也比较大.不过设计起来并不难,只是实施比较麻烦而已.我是做学校机房网络安全的,有问题可以直接网络HI我
1 图就不太好做了,只能通过语言来说,因为不知道你们学校的布局.
2 你说的也比较简单,只需要办公楼和机房建一个局域网,你连接外网的网线,只建一个内网就可以了.学生和老师的宿舍,单独拉一根网线路由,根本就涉及不到办公楼和机房的局域网了.
3 网络安全主要就是办公楼和机房,宿舍属于老师和学生的个人电脑,而且连接外网,不属于公共电脑,也就涉及不到安全管理了.办公和机房电脑,只需要同一管理,安装保护卡,同一分配IP,统一机型,统一内部文件,管理起来非常方便.

Ⅳ 如何对机房进行规划

一、工矿企业机房及网络特点与规划原则
随着制造业信息化工程的实施，企业计算机应用不断的深入、互联网技术的迅猛发展，网络数据中心的地位越来越重要，为保障计算机、服务器和存储设备等的安全、正常运行，需要正确规划机房的建设。
1．工矿企业机房、计算机及网络特点
（1）旦脊岩计算机硬件及其配套设备所处环境要求较高、根据用户不同、应用不同，计算机配置区别较大，多数工矿企业机房均是在原办公室基础上改扩建野丛的，各部门之间计算机分布较零乱。
（2）系统软件及应用软件种类多。针对不同的工作需要，安装Windows98操作系统和Novell、Windows NT等网络操作系统。其他的系统软件还有各种程序设计语言系统等，应用软件包括办公文字处理软件、企业管理软件、计算机辅助设计/制造软件、各种专用软件和财务软件等等。
（3）管理维护量大。在工矿企业中计算机一般都是全天性使用的，部分部门还要经常加班。计算机及相应设备使用率大于通常的各种机器，容易出现各种软硬件问题。
（4）易造成病毒的传染。由于网络庞大、各部门之间分布较广等原因，给病毒的传染提供了途径。
因此工矿企业中计算机网络系统是一种半开放式的局域网络系统，机房是计算机系统和网络系统正常运行的必要条件和保障。自然灾害；供电状况、软硬件故障、人为破坏和计算机病毒等都会给计算机系统和网络系统造成危害，为确保整个系统的正常运行，保障正常的工作任务，在规划机房的建设时对软、硬件的建立和建设必须要有充分的考虑和安排。软件建立是指：必须建立安全组织机构，健全安全防范组织，制定规章制度，完善计算机的安全工作（如操作系统、网络软件、应用软件等相关资料的完整性和数据安全），计算机病毒防治等；硬件建设是指：实体安全，如机房环境、电力供应和电力保障、硬件设备、防火、防灾措施和灾害报警等等。
2．机房规划的基本原则
主机房和各机房环境及设备的安全管理涉及到场地的选择、防火、防水、防静电、防雷击、防辐射、报警及消防设施等方面，同时应对装修、供配电系统、空调系统、电磁波防护、消毒等方面提出要求。
（1）场地选择 计算机主机房在主建筑内应为独立区域，周围100m内不得有危险建筑，应尽量避开磁场的干扰，尽量远离强振动源、强噪声源和大功率设备等。
（2）环境条件 严格保持机房条件参数在规定的范围内，如温度保持在20℃~25℃，湿度保持在40％~60％，清洁度要求机房尘埃颗粒直径小于0.5μm，空气含尘量平均小于104颗／L等。
（3）消防及报警 机房内应安装火灾自动报警装置以及气体类灭火装置。
（4）预防雷击 机房内所有设备(包括配电系统、通讯设施)应安装防雷设施。
下面笔者将对机房规划中供配电技术进行详细的介绍。

二模御、供电要求
在工矿企业中电力供配情况较为复杂，计算机机房的供配电系统有其本身的特点，概括起来主要是：连续、稳定、平衡和分类。
（1）连续 就是指电网不间断供电，但瞬时断电的情况时有发生。瞬时断电时间在国内尚无标准，我们一般采纳4ms。
（2）稳定 所谓稳定主要指电网电压稳定，波形失真小，在国家标准《计算机场地技术要求》中共分3个等级，如表1所示。
表1 电压、频率波动及波形失
（3）平衡 主要是指三相电源平衡，即相角平衡，电压平衡和电流平衡。在国家标准《计算机场地技术要求》中末列出三相不平衡的允许值，但有些计算机的生产厂家对此项有明确要求。
（4）分类 所谓分类就是对计算机和外围设备、辅助设备的供配电分开进行。其一是设备供电系统，它是根据计算机设备的供电要求，合理地选择电力设备保护开关等，构成符合计算机设备要求的配电系统；其二是辅助供配电系统，这是为了保证计算机设备能正常运行的其它设备，如空调、动力设备、照明设备和测试设备等。

三、计算机系统供配电技术
供电电源直接关系到计算机软硬件能否安全运行，所以对计算机供电电源的质量提出了较高的要求。常用的供配电方式分2大类。
图1 实际配电例
（注：三相配电柜为带有过压、过流、三相平衡、缺相等保护的三相配电柜）
1．非UPS供电方式
（1）直接方式 把变电站送来的工频交流电直接送给计算机设备配电柜，然后再分给计算机的各部分设备。
采用直接供电方式时，为了减少电网因负载变化而引起干扰，一般采用专用供电线路，即该供电线路不得接任何可能产生干扰的用电设备。直接供电的优点是，供电简单，设备少，投资低，运行费用低和维修方便等；其缺点是对电网要求高，易受电网负载变化的影响等。
（2）隔离供电 隔离供电是在交流进线后加一隔离变压器，然后再送给计算机。这种供电方式的特点是，电源设备运行可靠，操作维修方便，投资少，且对机房无特殊要求。不足的是：频率波动不能控制，且电网停电后该系统不能连续供电，因此只适用于小型机房、微机或一般场合。
（3）交流稳压器供电 市电经电子交流稳压器后，再供计算机使用，这可以减少许多暂态冲击、幅度波动和电压脉冲。好的稳压电源输出电压精度在3％以内，小型微机房使用较多，缺点是市电中断时不能连续供电。
2．UPS供电方式
不间断电源(UPS，Uninterruptible Power Supply)伴随着计算机的诞生而出现，并随着计算机的发展壮大而逐渐被广大计算机用户所接受。UPS在市电供应正常时由市电充电并储存电能，当市电异常时由它的逆变器输出恒压的不间断电流继续为计算机系统供电。使用户能够有充分的时间完成计算机关机前的所有准备工作，从而避免了由于市电异常造成的用户计算机软硬件的损坏和数据丢失，保护用户计算机不受市电电源的干扰。在许多防间断和丢失的系统中，UPS起着不可替代的作用。
（1）UPS的功能与作用
在UPS出现之初，它仅被视为一种备用电源，但由于一般市电电网都存在质量问题(如电压涌浪、电压尖锋、电压瞬变、电压跌落、持续过压或欠压甚至电源中断等)，从而导致计算机系统经常受到干扰，造成敏感元件受损、信息丢失、磁盘程序被冲等严重后果。因此，UPS日益受到重视，并逐渐发展成为一种具有稳压、稳频、滤波、抗电磁和射频干扰、防电压冲浪等功能的电力保护系统。尤期是我国目前电网的线路及供电质量并不很高，抗干扰、抗二次污染的技术措施远远落后于世界先进国家，UPS在我国计算机等精密设备上的保护作用就显得尤其重要。
UPS的保护作用首先表现在对市电电源进行稳压，此时UPS就是一台交流市电稳压器；同时，市电对UPS电源中的蓄电池进行充电。UPS的输入电压范围比较宽，一般情况下从170V到250V的交流电均可输入；由它输出的电源的质量是相当高的，后备式UPS输出电压稳定在±5％~8％，输出频率稳定在±1Hz；在线式UPS输出电压稳定在±3％以内，输出频率稳定在±0.5Hz。当市电突然停电时，UPS立即将蓄电池的电能通过逆变转换器向计算机供电，使计算机得以维持正常的工作并保护计算机的软硬件不受损害。
（2）UPS的分类
目前，UPS电源工业主要提供两种UPS电源：后备式和在线式。如果再细分，还有在线互动式和后备式方波输出式电源等种类。
后备式UPS电源在市电正常时负载由市电经转换开关供电，当市电系统出现问题时才会由UPS的电池经逆变器转换向负载供电。后备式UPS电源其主要优点是价格便宜。目前大部分的后备式UPS都是一些低功率UPS，一般不到1kVA。
在线式UPS电源当市电正常时，供电途径是市电→整流器→逆变器→负载。市电中断时的供电途径是电池→逆变器→负载。因此不论外部电网状况如何，总能够提供稳定的电压。这种UPS价格比后备式UPS贵些，容量从1kVA~l00kVA以上。

四、计算机机房安全接地系统
计算机系统的地线是保证计算机安全运行的一个重要措施，地线接法是否合理，将影响计算机的稳定可靠运行。同时地线亦能保护在发生事故情况时的人身和设备安全。
1．计算机机房接地种类
计算机系统的大小、种类不同，对地线的要求也不同，大中小型计算机比微型计算机要求高。概括起来有：工作接地、安全接地、直流接地、静电接地、屏蔽及建筑物防雷保护接地。在实际应用中，并非所有的计算机机房全部具备上述接地种类，一般根据计算机的工作性质和实际情况进行设置。
（1）交流工作接地是指交流电源的中性线，接地电阻R＜4Ω。
（2）安全保护接地是指设备外壳的安全接地线，接地电阻R＜4Ω。
（3）直流工作接地是指计算机线路的逻辑接地，即直流公共连接点，R＜1Ω。
（4）静电接地是指为了消除计算机系统运行过程中产生的静电电荷而设的一种接地，R＜100Ω。
(5)屏蔽接地主要有两个作用，防止计算机处理信号被窃，防止外界电磁场干扰计算机系统正常运行。屏蔽接地是将设备屏蔽体和大地间用一低阻导线连接起来，形成电气通路，为高频干扰信号提供低阻抗通路。屏蔽接地电阻R＜2Ω。
直流地与交流地、防雷接地要相隔10m~30m距离为宜，以防相互干扰。
2．计算机机房接地装置的安装要求
（1）接地材料选用铜材为好，选用镀锌钢材也行。铜板接地极的埋设要求铜板深挖竖埋在2.5m以下，离地面0.8m以下。土壤条件差，如砂石太多时，应加添草木灰、除阻剂或更新土，但不宜放盐(因盐易使土壤结块)。
（2）为减少接地电阻，接地体的所有连接部分必须采用焊接，须用螺栓连接的地方，螺栓必须是镀锌材料。
（3）为了使计算机直流接地有统一的参考点，所有计算机直流接地应接到同一个接地装置上。
（4）为保持稳定的系统信号及可靠的安全接地，机房内所有电源插座的极性必须保持一致。
（5）为保证系统安全，严禁在电源插座内将交流工作地与安全地连接在一起。

五、计算机机房的防静电措施
众所周知，计算机设备基本上是由半导体元器件构成，诸如CPU、ROM、RAM及大规模集成电路都是MOS工艺，对静电特别敏感，静电是引起计算机故障的重要原因之一。静电对计算机的影响有两种表现形式。
（1）造成器件损坏；
（2）引起计算机的误动作或运算错误。
静电引起计算机误动作或运算错误，是由于静电带电体触及计算机时，对计算机放电，有可能使计算机逻辑原件引入错误信号，引起计算机运算出错，严重者将会引起程序紊乱。静电对计算机的外部设备也有明显地影响，会引起显示器图像紊乱，模糊不清。此外，静电还会引起打印机走纸不顺等故障。如何防止静电的危害，不仅涉及计算机设计，而且与计算机机房的结构和环境条件有关。计算机房防静电措施有以下方面。
（1）在静电防护要求较高的计算机房内，应铺设抗静电活动地板。对抗静电活动地板的要求有：
1）电气性能应符合GB6650—86《计算机房活动地板技术要求》中的A级标准；
2）地板贴装表面应牢固，不起皮，不起泡，不起皱，磨擦静电电压低于100V，静电压从5000V衰减到100V的时间小于0.1s；
3）减震肢条应是防静电的，其体积电阻率PV应为(105~108)W/cm；
4）地板支撑至少有两处以上与静电地板可靠连接，接头采用铜焊片并作锡处理；
5）地板基材最好采用全钢，铝合金或中密度纤维板，吸水性小，变形小，强度好，铝合金包底包边，起到很好的静电屏蔽作用，防止外界强磁场的干扰。
机房绝不允许铺化纤地毯或人造革地板。
（2）机房内墙壁与吊顶不允许使用普通贴墙纸及普通塑料制品，最好先用铝合金材料作表面装饰，吊顶选用铝箔石膏板材，并可靠焊接于静电屏蔽罩，防止外电磁场的干扰，有利于电荷及时泄放。

六、机房的安全管理
要搞好机房安全管理，必须充分发挥管理人员的责任心和集体力量。机房安全管理工作琐碎繁杂，既要面向大量的企业技术人员、管理人员和财务人员等等，又要保证全部计算机系统的正常运转。因此要不断地提高机房人员的技术水平和法制观念，从机房环境管理、硬件设备管理、软件系统及数据管理、计算机病毒防治等方面高度重视安全管理工作，这样才能给企业提供优良的环境，保证计算机发挥应有的效用，才能保障企业高效管理与科研工作的正常开展。
通常根据企业的状况来制定有关规定。基本原则为：实施安全管理时应当遵循国家有关法规规定，在确保国家利益的前提下保护好本单位的利益，同时应接受有关部门的指导、监督和检查。一般包括：机房门卫管理，机房安全工作，机房卫生工作，机房操作管理，机器档案记录，运转情况记录，日常维护和保养工作记录，计算机病毒的防护工作，建立有效的级别、权限，并严格进行数据存储的管理和硬盘数据备份等工作。

七、结束语
本文介绍了计算机机房规划和建设的要点和规范，随着机房设备技术的不断推陈出新，将在自动化、智能化和远程遥控等方面有新的发展，使计算机机房规划和建设更加安全、可靠、简单和实用。

Ⅳ 如何保证校园公共机房的网络安全

安全需求分析
网络物理连接管理规范化
公共机房使用率高，交换机端口易老化；另外，人为意外造成电脑网线接口松动，经常导致网络物理连接故障。每个机房计算机不多，机房使用配线箱，不使用配线架，直接将连接电脑的网线连接交换机。由于没有跳线表等规范文档，一旦发生物理连接故障，机房维护人员往往需要花费较长时间用于物理线路排错。
控制学生上网行为
目前，公共机房用于不同学科的教学工作。一般情况下，教师的课件、有关学习资料存放在软件学院的服务器上，学生只需访问软件学院服务器即可，通常不需要访问Internet，所以需要制定机房学生上网控制策略，控制学生的上网行为。
防病毒传播
公共机房易染病毒，大量病毒通过机房在校园网迅速传播，预防和清除计算机病毒使机房管理者费时耗力。目前公共机房病毒传播主要通过文件拷贝、文件传送、下载等方式进行，U盘和网络传播成为机房病毒扩散的主要途径。需要控制病毒在公共机房内部传播，保障机房计算机稳定运行。
会话与流量资源的控制
公共机房不仅承担教学任务，还提供学生自主上网，查询资料的服务。学生经常利用BT、电驴、迅雷等P2P软件下载文件，这些软件在下载任务的同时也在上传信息，而且是多任务、多线程。此外，计算机感染木马及病毒，会向外网产生大量连接会话，消耗校园网出口带宽和并发连接会话资源，造成网络出口拥堵。需要研究并设计控制网络流量和会话资源的方案，保障校园网出口数据传输畅通。
追踪机房用户上网行为
公共机房计算机用户不固定，用户上网操作信息难以跟踪和定位。为追踪机房用户使用公共机房计算机在网上发表违法言论，需要制定追踪用户上网行为的安全策略。

Ⅵ 通信基站机房一般的设计使用年限为【通信机房的设计】

近些年来，为满足固话及宽带业务的发展，在小区新建了一些无人值守的通信机房。通信机房在油田通信的发展中，始终扮演着非常重要的角色。为了使所建通信设备长期、稳定、有效地运行，就要为所建提供一个合适的工作场所，使它们能够发挥出最大功效。
1 机房侍橘饥的选址
机房的选址应从多方面考虑，以确保通信设备的安全、稳定运行。机房应远离产生粉尘、烟雾、有害气体以及生产或贮存具有腐蚀性、易燃、易爆物品的场所，远离水灾隐患区域，远离强振源和强噪声源，并避开强电磁场干扰。除此之外，以下几个方面，也是应该考虑的问题。
1）由于设在小区的前置机房一般都是综合性机房，机房内建设的设备种类是多样的。像蓄电池、MDF等设备，对于地面的承重要求较高。因此，通信机房应尽量选择在一层，而且要求是没有地下室的一层。这样，可以确保设备摆放的安全性，即使蓄电池、MDF扩容，也不用担心楼板承重问题，不用担心会出安全事故。
2）对于机房的选址，还应考虑外网电缆的进线位置。机房的位置应方便外网电缆的进线，如果机房设在一栋大楼里，则应该尽量选在大楼单体建设时所建桥架能够到达的位置。
3）由于通信机房老返内安装的设备均为电子设备，对于防水要求较高，故通信机房应选在远离水源的地方，如水泵房等附近则不应选取，以免水泵房泄露、跑水殃及通信机房，给通信设备造成不必要的损失。另外，通信机房不应选择伍纳在易产生积水房间的下层，如不得已选择时，上层房间的地面应采取有效的防水措施。
2 机房的确定及布局
机房的位置选好以后，就要根据所需安装的设备容量（并预留一定的发展空间）选取（或建设）合适的机房，然后对机房进行合理布局。
2.1 机房的选择
1）通信机房应采用矩形平面，不应采用圆形、三角形平面等不利于设备布置的机房平面。另外，对于矩形平面也应尽量选取能够有效利用空间的房间，尤其是对于购买的机房，这一点就尤其重要了。例如一个宽度为2.6m的房间，可以勉强摆下一排设备；宽度为4.2m的房间刚好可以摆下两排设备；而如果一个房间的宽度为3.4m，这样就很尴尬了，摆一排设备，设备前后与墙的距离过大，浪费机房空间，而如果摆两排设备，前后两排设备间的间距就太小了（应该说就无法摆放两排设备），不利于设备建成后的日常维护。
2）机房的高度也是选择机房时应该注意的问题。通信设备的高度基本上都是固定高度2m，只有MDF的高度是可选的，低的有2.2m的，高的有3.5m的。由于目前的机房多数为综合机房，而且一般也不会特别大，因此不会选择很高的MDF，为了节省机房面积也不会选择很低的MDF，通常会选择2.6m高的MDF。这样再加上走线架，通信机房梁下净高达到3.2-3.3m比较合适。
2.2 机房面积的确定原则
在机房规划初期，机房设备还没有确定，因此需认真做好用户需求分析，以避免进行的规划设计带有盲目性，无法针对用户需求、设备数量进行相关设计，容易造成难以弥补的损失，这样通常导致机房建成后不久就要进行机房改造来满足新增设备的需要。因此，首先要根据该机房的用途，根据其服务区域用户数量，确定该机房所需建设的设备种类、数量，再对服务区域可能的终局容量进行预测，以确定该机房最终可能摆放设备的种类、数量，这样就可以根据该机房总设备容量确定该机房的大致面积了。
2.3 机房的布局
机房确定下来以后，机房内设备的摆放位置的确定，即机房的布局也是至关重要的。一个机房布局是否合理，直接影响到对该机房的利用率。对于机房的布局要有一个统一的和长远的规划，而不能是每个工程只图自己方便，只考虑本期工程所建设备的摆放及布局，这样就可能会造成机房无法继续扩容，造成机房资源的浪费。
1）MDF配线架是一种接续和防护设备，一侧连外线电缆，另一侧连交换设备。外线电缆一般通过所建地沟从电缆进线口引入，MDF配线架的安装位置要求尽量靠近电缆进线口，并远离交、直流配电箱。根据多年从事交换设计的经验，对于MDF配线架应根据用户的需求预留足够的发展空间，因为MDF配线架一般都建在地沟上，方便外网电缆的引入，因此当MDF预留位置不够时，不能像其它设备可以建在别处，这样就可能会造成机房有空间，但由于MDF无法扩容而导致整个机房无法扩容，造成机房资源的严重浪费。
2）光纤配线架ODF主要用于光缆的连接。ODF一般也安装在地沟上，因此ODF、MDF应相对集中，并形成统一的配线区，有利于机房的扩容，同时节约资源，方便运行维护。
3）阀控式蓄电池组一般可靠墙摆放，其背面与墙之间的净宽一般为100mm，侧面与墙之间一般不小于200mm，两组蓄电池侧面间的间距要求达到500mm，以便于蓄电池的日常维护。另外，蓄电池尽量不要摆放在窗下、太阳能够直接照射到的地方，如果由于机房的限制，实在无法避开，则窗户应挡上遮光效果好的窗帘，以避免太阳光直接照射到蓄电池上。
4）交换设备目前主要是AG接入设备，与MDF有大量的电缆连接，与ODF有少量的光纤连接。因此为了减少不必要的损耗，保证通信质量，交换设备应与MDF、ODF尽量靠近。
5）如果有的机房需要建设传输设备，则传输设备应尽量靠近ODF。
6）设备安装摆放位置确定后，合理建设走线架，确保电缆走线的合理布局也是至关重要的。机房内的交流电源线、直流电源线、通信电缆等信号线必须分开布放。目前通信机房一般都采用上走线方式布放线缆，因此为了确保上述三种线缆分开布放，则应该建设双层走线架。线缆布放时应将电源线和信号线分开布放，即可以下层布放信号线，上层布放电源线。上层布放的电源线包括交流电源线和直流电源线，这两种电源线之间间距大于150mm布放较为合理。线缆的合理布局，可以避免电源线对信号线的信号干扰。另外，由于油田通信NGN已经建成，接入层建设以AG设备和EPON设备为主，使得机房内光纤、尾纤的数量较多，而且目前尾纤的防护层比较脆弱，因此为保证通信网络的安全，这样的机房应当建设专业光纤槽道。
3 机房设计中应重视的几个问题
1）承重问题仍然是个不可忽视的问题。由于目前通信机房多为综合性机房，而且面积也不是很大，不太方便不同区域按摆放的不同设备区分地面荷载，故一般统一要求地面荷载≥13KN/m2。
2）机房中的接地也是个值得重视的问题。如果机房所在大楼的建筑防雷地的接地电阻符合设备要求的阻值，则可以通过电缆或扁钢引入机房的接地铜排上供机房中的设备使用。否则则需要新建地网来满足设备对接地的需求。根据机房中所建设备的种类、容量的不同，对接地电阻阻值的要求也不同。
3）可靠的电力供应也是设备稳定运行的保证。因此通信机房需引入双路三相交流电源供电，每路为专用回路不带民用负载。对于入户总功率的确定则要根据设备的终局容量进行核算确定。例如一个机房如果其终局需要建1架AG设备、2架ADSL设备，经过计算入户总功率可以大致确定为25KW。
4）由于通信设备属于电子产品，对于防水要求极高，因此机房内不应通过与本房间无关的各种管道，电信设备上方不应敷设任何水管或蒸汽管道，机房内不设消防水管线及喷淋系统。另外，要求机房内的暖气管线不设阀门和活接头，应全部采用焊接。
5）由于北方的气候较干燥，尤其是冬季，极易产生静电，因此机房的墙面、顶棚需刷乳胶漆或防静电涂料，地面也应铺设防静电水磨石、防静电半硬质塑料、防静电地板毡等防静电材料，尽量减少机房内产生静电对通信设备造成的不良影响。
通信机房是油田通信开展市场竞争、增加市场份额的宝贵资源，随着通信业务的不断增多，对现有机房的维护、待建机房的规范建设提出了更高的要求，因此做好通信机房的设计有着十分重要的现实意义。
参考文献：
[1]《电信专用房屋设计规范》YD/T 5003-2005.
作者简介：
倪锡颖（1974-），女，工学学士，1996年毕业于长春邮电学院，工程师，现就职于大庆石油管理局通信公司规划设计所，从事交换设计工作。

Ⅶ 计算机机房安全等级的划分标准是什么

计算机机房安全等级的划分标准是使用性质、管理要求及其在经济和社会中的重要性，划分为A、B、C三级。

A级为最高级别，主要指涉及国计民生的机房设计。其电子信息系统运行中断将造成重大的经济损或公共场所秩序严重混乱。像国家气象台；国家级信息中心、计算中心；重要的军事指挥部门；大中城市的机场、广播电台、电视台、应急指挥中心；银行总行等属A级机房。

B级为电子信息系统运行中断将造成一定的社会秩序混乱和世谈察一定的侍判经济损失的机房。科研院所；高等院校；三级医院；大中城市的气象台、信息中心、疾病预防与控制中心、电力调度中心、交通（铁路、公路、水运）指挥调度中心；国际会议中心；国际体育比赛场馆；省部级以上政府办公楼等属B级机房。

A级或B级范围之外的电子信息系统机房为C级。

(7)机房网络安全设计扩展阅读

机房涵盖了建筑装修、供电、照明、防雷、接地、UPS不间断电源、精密空调、环境监测、火灾报警及灭火、门禁、防盗、闭路监视、综合布线和系统集成等技术。

机房的种类繁多，根据功能的不同大致分为：计算机机房或称信息网络机房(网络交换机、服务器群、程控交换机等)，其特点是面积较大，电源和空调不允许中断，是综合布线和信息化网络设搜茄备的核心。

监控机房(电视监视墙、矩阵主机、画面分割器、硬盘录像机、防盗报警主机、编/解码器、楼宇自控、门禁、车库管理主机房)是有人值守的重要机房；消防机房(火灾报警主机、灭火联动控制台、紧急广播机柜等)也是有人值守的重要机房。此外，还有屏蔽机房、卫星电视机房等。

Ⅷ 机房管理要注意那些方面的问题

一、机房日常运维管理

1、运维人员每天在8：30到达机房进行设备巡检，每天17：30下班后再次进行设备巡检，并在《设备日巡检记录表》中进行记录。如发现异常情况，需立即上报机房主管人员，并联系相关产品服务商获取技术支持。

2、对任何异常情况及其处理操作应在事件单中被记录，为日后的问题管理提供依据。

3、机房运维人员每天上、下午均应合理安排时间在机房查看设备运行状态，包括内存、硬盘、CPU等系统资源状态，如出现资源运行异常，应查看相关系统设备运行进程并转入事件管理流程进行处理。

4、保持机房整洁、卫生。所有设备摆放整齐有序，不得将任何废弃物品留在机房内。不得存放与工作无关的物品，机房的物品不得私自带走。

二、机房网络安全管理

1、新购置的设备，在安装、使用前应当认真经过安检。使用之前采取防止病毒感染措施，试运行正常后，再投入正式运行。

2、机房设备严禁连接互联网。

3、对于网络设备和服务器，要制定不同的用户账号，赋予不同的用户操作权限，并予以登记、备案。禁用guest账户，删除服务器中的多余的、过期的以及共享的账户。必须定期统计相关信息和操作状况，并向上级领导。

4、设置登录服务器的操作超时锁定，超过10分钟不操作即锁定，需要重新认证后登录。

5、系统中所涉及的涉密服务器、终端、以及应用程序的本地登录和远程登录必须进行用户身份鉴别，并与安全审计相关联，保证系统内安全事件的可查性。

6、禁止任何部门和个人严禁进行渗透测试，严禁攻击其它联网主机，严禁散布病毒。

7、严格执行计算机操作规程和各项管理制度，加强对管理人员和工作人员的防病毒教育。

8、网络服务器应当安装防火墙系统，加强网络安全管理。

9、病毒检测和网络安全检测必须指定专门的技术和管理人员负责；负责人员必须定期对网络安全和病毒检测进行检查。定期采用国家相关主管部门批准使用的检测工具对系统进行安全性检测，检测工具和版本应及时更新。对于发现的系统软件和应用软件的安全隐患，必须及时从系统软件开发商和应用软件开发商获取相关的补救措施，如安装补丁软件、制定新的安全策略、升级病毒库等。

三、机房硬件设备安全管理

1、机房运维人员必须熟知机房内设备的基本安全操作和规则，特别是对服务器、交换机进行熟悉操作，做到及时维护。

2、应定期检查、整理设备连接线路，定期检查硬件运作状态（如设备指示灯、仪表），定期调阅硬件运作自检报告，从而及时了解设备运作状态。

3、禁止随意搬动设备、随意在设备上进行安装、拆卸硬件、或随意更换设备连线、禁止随意进行硬件复位。

4、禁止在服务器上进行实验性质的配置操作，如需要对服务器进行配置，应在其他可进行试验的机器上调试通过并确认可行后，才能对服务器进行准确的配置。

5、对会影响到全局的硬件设备的更改、调试等操作应预先发布通知，并且应有充分的时间、方案、人员准备，才能进行硬件设备的更改。

6、对重大设备配置的更改，必须首先形成方案文件，经过讨论确认可行后，由具备资格的技术人员进行更改和调整，并应做好详细的更改和操作记录。对设备的更改、升级、配置等操作之前，应对更改、升级、配置所带来的负面后果做好充分的准备，必要时需要先准备好后备配件和应急措施。

7、不允许任何人在服务器、交换设备等核心设备上进行与工作范围无关的任何操作。未经上级允许，不得对核心服务器和设备进行调整配置。

8、硬件设备出现故障时，应填写好《硬件设备维修故障登记表》，详细填写故障状况及故障原因，并报修，故障处理结束后，因填写处理情况及结果，交由上级验收、签字后，存档备查。

9、存储过涉密信息的硬件和固件应到具有涉密信息系统数据恢复资质的单位进行维修。

10、不再使用或无法使用的设备应按照国家保密工作部门的相关规定及时进行报废处理，并记录最终去向。

四、机房软件安全使用管理

1、设立计算机软件管理台帐，对每套计算机软件进行登记，并纳入资产管理。

2、妥善保存计算机软件介质、说明书、使用许可证（或合同）等资料。

3、根据操作说明，正确使用各类应用软件。

4、须安装非专用软件，须经上报并检测、办理安装使用备案手续。

5、软件必须由专人来保管，禁止任何人员将机房软件私自拷贝、随意向外传播。

6、任何在用软件的升级均需主管人员书面批准。

五、机房资料、文档和数据安全管理

1、资料、文档、数据等必须有效组织、整理和归档备案。

2、硬盘、软盘、光盘、磁带、带存储功能的设备等涉密信息存储介质应按照所存储信息的最高密级标明密级。

3、禁止任何人员将机房内的资料、文档、数据、配置参数等信息擅自以任何形式提供给其他无关人员。

4、对于牵涉到网络安全、数据安全的重要信息、密码、资料、文档等必须妥善存放。外来工作人员的确需要翻阅文档、资料或者查询相关和数据的，应由机房相关负责人代为查阅，并只能向其提供与其当前工作内容相关的数据或资料。

5、重要资料、文档、数据应采取对应的技术手段进行加密、存储和备份。对于加密的数据保证其还原行，防止遗失重要和数据。

6、严禁使用计算机、终端机、因特网为无关人员查询、调阅涉密数据；存有秘密信息的磁盘、光盘，严禁外借、复制；不得向无关人员提供网络入口及口令。

7、调动工作时，必须将自己经管的涉密文件、资料和使用的保密笔记本上交，并递交在调离后一定期限内不失密泄密的保证书。

8、发现失、泄密现象，要及时上报。

9、不再使用或无法使用的涉密信息存储介质在进行报废处理时，应进行信息消除或载体销毁处理，所采用的技术、设备和措施应符合国家保密工作部门的有关规定。

六、机房保安管理

1、中心机房应采取有效的门控措施，并装备“三铁一器”。

2、出入机房应注意锁好防盗门。对于有客人进出机房，机房相关的工作人员应负责客人的安全防范工作。最后离开机房的人员必须自觉检查和关闭所有机房门窗、锁定防盗装置。应主动拒绝陌生人进出机房。

3、工作人员离开工作区域前，要保证服务器、交换机等设备控制台的密码处于锁定状态。

4、运维人员要严格执行人员出入登记制度，不得邀请无关人员到机房参观，外单位系统、线路维护人员要进入机房需提前与管理人员联系，批准后方可由管理人员陪同进入，并填写《人员出入登记表》。

5、外来人员进入必须有专门的工作人员全面负责其行为安全。

6、未经主管领导批准，禁止将机房相关的钥匙、保安密码等物品和信息外借或透漏给其他人员，同时有责任对保安信息保密。对于遗失钥匙、泄漏保安信息的情况即时上报，并积极主动采取措施保证机房安全。

7、机房人员对机房保安制度上的漏洞和不完善的地方有责任及时提出改善建议。

8、绝不允许与机房工作无关的人员直接或间接操纵机房任何设备。

9、出现机房盗窃、破门、火警、水浸、110报警等严重事件时，机房工作人员有义务以最快的速度和最短的时间到达现场，协助处理相关的事件。

七、机房用电安全管理

1、机房人员应学习常规的用电安全操作和知识，了解机房内部的供电、用电设施的操作规程。

2、机房人员应经常学习、掌握机房用电应急处理步骤、措施和要领。机房应安排有专业资质的人员定期检查供电、用电设备、UPS设备。

3、机房人员应定好UPS放电计划，对UPS的放电时长做出准确的评估，并做出更换或修复UPS计划报告相关人事。

4、运维人员定期检查UPS各项运行参数、负载、电池容量是否正常，如有异常，应及时调整处理，并做好记录。

5、严禁随意对设备断电、更改设备供电线路，严禁随意串接、并接、搭接各种供电线路、严禁把电源排插散落在地。发现用电安全隐患，应即时采取措施解决，不能解决的必须及时向相关负责人员提出解决。机房内的电源开关、电源插座要明确标出控制的设备。

6、在使用功率超过特定瓦数的用电设备前，必须得到上级主管批准，并在保证线路的保险的基础上使用。

7、在发生市电报警要尽快赶往机房查看，并通告相关人员。事件处理完后，应及时复位市电报警设备。

8、在外部供电系统停电时，机房工作人员应全力配合完成停电应急工作。当需要发电机发电时，应计算好机房用电功率合理选择发电机型号发电，严禁发电超负载供电。

9、定期（不长于三个月）对供电设施进行检测与检修，保障供电正常。

八、机房空调管理

1、为保证设备良好的工作环境，应保持合适的机房温度和湿度，机房温度应保持在22℃--26℃，机房湿度应低于70%。

2、空调运行时，巡检人员按时检查各项运行参数、状态是否正常，如有异常，应及时调整处理，并做好记录。

3、定期进行空调机的清理，防止因散热不良造成空调的工作异常。

4、配备备用电风扇，以防止空调出现故障时机房温度的快速上升。定期进行备用电风扇可用性检查。

5、每年春秋换季期对空调系统进行全面的检查保养，确保机组的正常运行。

6、每天巡检一次，确保空调系统正常运行，如发现故障应及时上报。夏季要提高巡检频率，每天两次，上下午各一次。

7、机房维护人员应懂得进行一些必要的空调降温手段，以便在出现温度升高的状况下能通过辅助手段降低温度上升的速度。

九、机房消防安全管理

1、机房工作人员应熟悉机房内部消防安全操作和规则，了解消防设备操作原理、掌握消防应急处理步骤、措施和要领。

2、消防设备应放在显眼易取之处，任何人不能随意更改消防系统工作状态、设备位置。需要变更消防系统工作状态和设备位置的，必须取得主管领导批准。工作人员更应保护消防设备不被破坏。

3、每日对火灾重大风险点如蓄电池组进行巡检，检查内容包括电池是否漏水，有无发热异常，电极触点是否连接正常。

4、插座及蓄电池附近不得摆放纸箱、说明书等易燃物品。

5、应定期消防常识培训、消防设备使用培训。如发现消防安全隐患，应即时采取措施解决，不能解决的应及时向相关负责人员提出解决。

6、严禁在机房内吸烟和使用明火，如因线路或其他原因引起明火，应及时拨打119和通知相应负责人迅速解决问题。

7、定期检查消防设备状态，保证消防设备可用性。

十、机房应急响应

1、机房停电时，UPS设备将为机房设备提供电力支持，但UPS能够提供的电力有限，因此需要根据实际情况进行处理，具体如下：

在停电时，有短信报警机制通知到机房维护人员，维护人员应马上通知机房主管人员，并在一小时内赶回机房。

机房维护人员积极配合主管人员协调各供电电路运维方及时检查处理市电回路故障。

按照《基本业务服务设备列表》，只保留基本业务服务设备运行，对其余设备进行关闭。

当UPS电力不足时，应及时关闭所有设备，避免突然断电造成的系统设备故障。

2、当机房温度升高时，为保护各设备，需要采取相应的应急处理措施，具体如下：

达到温度阈值时，应有短信通知机制通知机房维护人员，维护人员一小时内到场，马上启用备用电风扇。

当机房温度超过28℃时，维护人员应立即通知主管人员并积极协调空调维护商尽快处理。

在温度超过35℃时，可以根据《基本业务服务设备列表》关闭非基本设备，只提供基本业务服务设备运行；

当机房温度超过40℃时，应当关闭所有系统设备运行。

3、火灾不像供电及空调故障那样存在一段缓冲期去处理或减少影响，对无人值守机房来说一旦发生火灾，势必导致重大财产损失。对于机房火灾应当是预防为主，因此必须重视每日的蓄电池组巡检。当机房发生火灾时，本着先救人，后救物的思想原则采取相应的应急处理措施，具体如下：

有报警机制通知到所属地区消防部门，并通知到机房维护人员及主管人员。并根据预先制定的火灾发生时联系人目录通知到位。

到场后立即断开电源，防止由于电源引起的火情进一步扩大。

寻找安全的地点监控火情，并积极配合消防人员应对火灾。

4、设备发生故障时，使用备用设备替换现有设备，并保证新设备配置和用户密钥与旧设备一致、保证新设备配置和数据与旧设备一致。

5、传输线路干路发生故障时，请及时联系网络供应商，对线路进行检测维修。

6、发生不可预见的紧急请况时，及时向主管人员汇报，并与相关技术人员联系，采取妥当的应急办法进行应急处理。

Ⅸ 设计一个局域组网方案，提供网络结构设计、各层设备选择及其理由

2.1方案综述

校园主干网通过多模光纤连接各子系统,各局域网采用快速以太网,系统采用星形结构连接,还可扩充学校教职工住宅区.

具体方案如下:

(1) 网络具有传递语音、图形、图像等多媒体信息功能，具备性能优越的资源共享功能。

(2) 校园网中各终端间具有快速交换功能。

(3) 中心系统交换机采用虚拟网技术对网络用户具有分类控制功能。

(4) 对网络资源的访问提供完善的权限控制。

(5) 网络具有防止及便于捕杀病毒功能，保证网络使用安全。

(6) 校园网与Internet网相连后具有“防火墙”过滤功能，以防止网络黑客入侵网络系统。

(7) 可以对接入Internet网的各网络用户进行权限控制。

2．2网络拓扑图

2．3综合布线系统方案

结构化布线设计应该满足以下目标：

（1） 满足大楼各项主要业务的需求，且兼顾未来长远发展；

（2） 符合当前和长远的信息传输要求；

（3） 布线系统设计遵从国际（ISO/IEC11801）标准和信息产业部、建设部标准；

（4） 布线系统应支持语音、数据等综合信息的高质量传输，并适应各种不同类型不同厂商的计算机及网络产品；

（5） 布线系统的信息的端口采用国际标准的RJ-45插座，以统一线路规格和设备接口，是任意信息点都能接插不同类型的终端设备，如计算机、打印机、网络终端、电话机、传真机等，一支持语音、数据、图像等数据信息和多媒体信息的传输，布线系统符合综合业务数字网ISDN的要求，以便与国内国际其他网络互联。

校园网为园区网，建筑群子系统采用光缆连接，可提供千兆位的带宽，有充分的扩展余地。垂直子系统则位于高层建筑物的竖井内，可采用多模光纤或大对数双绞线。管理子系统并入设备子系统，集中管理。

对于多幢楼宇，可采用多设备间的方法，分为中心设备间和楼栋设备间部分。中心设备间椒整个局域网的控制中心，内设有对外（Internet）对内通信的各种网络设备（交换机、路由器、视频服务器等），中心交换机通过光缆（地下直埋）与楼栋设备间的交换设备连接，以保证数据的高速传输。在楼栋设备间放置布线的配线架和网络设备，端接楼内来自各层的主干线缆，并端连接网络中心的光纤。

楼内布线包括水平布线和主干布线，水平系统采用超五类双绞线，新的楼宇采用暗装墙内的方式，旧的楼宇采用PVC线槽明装的方式。

2.4网络硬件设备构选型

在本方案中，整个校园网采用层次化网络拓扑结构，核心层采用联想LRS-6706G第三层交换机。这是一种功能强大的主干交换机，使网络管理者能方便地监督和管理网络，同时，又能将主干网带宽提升到千兆速度。

LRS-6706G与工作组交换机联想DES-6000之间采用生成树（SpanningTree）冗余连接，可以保证与骨干交换机之间的备份连接。DES-6000与接入层交换机联想DES-36241之间可采用链路汇聚技术，用以保证负载均衡及线路备份。通过链路汇聚技术可以在交换机之间连接最多4条线路，实现负载均衡线路冗余。采用快速以太网连接，可以达到800M带宽，若采用千兆以太网作多链路冗余连接，最多可以实现8G带宽，当两个交换机之间的一条线路出现故障，传输的数据会快速自动切换到另外一条线路上进行传输，不影响网络系统的正常工作，无需人工干预。

DES-36241可以根据所需要端口的数量进行堆叠群，网络管理软件通过一个IP地址就可以完成整个堆叠群的管理，可以实时监测交换机，并且可以通过多种方式进行显示以便于观察，随时监控网络运行状况。

用联想LR-2501A路由器实现广域网的路由连接，同时采用联想LF-2000防火墙，用以提供全面的访问策略和安全防护能力。

2.5客户机和服务器

2.5.1客户机

客户机是一种网络终端，校园网中的客户机大多是教师机、学生机及各级管理用的PC机。在本方案中建议使用品牌PC机，售后保修，使用年限较长。

选型标准如下( 简述)：

CPU
Intel P4
硬盘
4G

主板
Micro ATX
ADSL
华为SmartAX MT800

内存
256M
Moderm
花王系列Moderm卡

显示器
TCL MF767 纯屏电脑显示器
网卡
10、100Mbit/s

2.5.2服务器

服务器是网络中的控制和数据的中心，是网络中的关键设备之一。一般服务器是专用的，没有主要的用户，它是多客户机共享的多用户计算机。在大型校园网中一般选用企业级服务器作为主服务器。它可以连接客户机120—500台之间的网络

1、网管工作站设计

网络管理是校园网必须考虑的关键技术，这里的网络管理主要指网络设备及其系统的管理，它包括配置、性能、安全、故障管理等，网络管理设计需要在配置每个网络设备时，都选择具有网络管理代理的、驻留有网络管理协议的设备。

网络管理设计的另一方面，是配置一个网络管理中心，配置网络管理平台，在平台上运行管理每个网络设备的应用软件。网管软件应能够支持对网络进行设备级和系统级的管理，并能支持通用浏览器进行网络设备的管理及配置。

2、WWW服务器设计

WWW应用是Intranet的标志性应用，最核心的应用服务集中在WWW服务器上完成。因而对于WWW服务器的设计首要考虑的就是服务器性能问题，另外考虑到将来在Intranet平台上做应用开发的可能，对于WWW服务器同数据库互联的问题也应作为重点考虑。

因为WWW服务器是被大量实时访问的超文本服务器，它要求在支持大量网络实时访问、磁盘空间、I/O吞吐能力、快速处理能力等方面具有较高的要求。

3、DNS服务器设计

建立Intranet，其中一个必不可少的组成部分就是DNS（域名系统）。IP地址和机器名称的统一管理由DNS（DomainNameSystem）来完成的。

4、FTP服务器的设计

FTP是Internet中一种广泛使用的服务，主要用来在两台机器之间（甚至是一同系统）传输文件。FTP采用C/S模式，FTP客户软件必须与远程FTP服务器建立连接并登录后才能进行文件传输。为了实现有效的FTP连接和登录，用户必须在FTP服务器进行注册，建立帐号，拥有合法的用户名和口令。

5、E-mail服务器设计

为了作到Intranet内部Mail系统同公共InternetMail系统的平滑对接，要求采用Internet公共标准的通用MAIL系统，在内部的MAIL系统同外部通信时需要一个Proxy应用作适当的转接服务，进行相应的地址转换工作。

6、Proxy服务器的设计

代理服务器是作为内部私有网络和INTERNET之间的一个网关。通过代理方式，首先可以大大降低网络使用费，另外代理可以保护局域网的安全，起到防火墙的作用。

2.5.3操作系统

服务器采用Windows server2003企业版作为网络操作系统。工作站客户端采用Windows XP操作系统。

具体的安装方法与日常装机时相同。

2.6网络配置和管理

2.6.1综合配置和管理

校园主干网采用一台千兆多层交换机作为中心交换机，配置多台二层交换机作为二级交换机；在网络中心配置多台工作站，一台网管工作站，一台作为连入INTERNET/CERNET的路由器，同时在路由器上配置相应的拨号访问模块供拨号用户访问校园网;二级交换机通过千兆光纤上连到主干交换机上，构成星形的拓扑结构，使得主干网具有较好的可扩展性和可管理性；下属站点采用10/100M接入方式，可以实现100M到桌面.网络中心的设备配置各高校可根据方案的“需求分析”部分，本着实用、高效的原则进行选型、配置（含二级接点和其他接点交换设备的选择）。

所有系统内的用户，IP地址规划由网络中心统一规划；对于上公网的用户，需要进行IP地址转换（NAT），即将内部私有地址转换为公有IP地址。这样的好处是既节省了有限的公有IP地址资源，又对外屏蔽了内部的网络，有利于网络的安全管理。

2.6.2网络核心层设计

作为网络核心，起到网间互联作用的路由器技术却没有质的突破。传统的路由器基于软件，协议复杂，与局域网速度相比，其数据传输的效率较低。随着Internet/Intranet的迅猛发展肯B/S（浏览器）计算模式的广泛应用，跨地域、跨网络的业务急剧增长，业界和用户深感传统的路由器在网络中的瓶颈效应，第三层交换技术应运而生。第三层交换技术也称为IP交换技术，高速路由技术等。

在本解决方案中，整个校园网络采用层次化网络拓扑结构，在网络中心的核心层配置联想LRS-6706G第三层交换机。通过LRS-6706G第三层交换机完成高带宽、大容量网络层路由交换功能交换，是一种功能强大的企业网主干交换机，使网络管理者能方便地监督和管理网络，同时，又能将主干网带宽提升到千兆速度。LRS-6706G配置灵活、实用。可选的扩展模块包括一个6端口的千兆模块，一个16端口的10/100Base-TX扩展模块。

LRS-6706G同时提供了增强的网络传输能力，例如：IP路由、服务质量（QoS）、分级传送和IP组播。网络管理员能够随时通过任意一个端口配置以上功能，以消除传统路由器的瓶颈，设置优先级给不同类型的网络传输及保证某些应用的流量带宽，如视频传输。

LRS-6706G提供了广泛的管理选择，使用Netscape或IE浏览器，可以很容易地通过Web方式对交换机进行配置和监控。其中包括配置IP路由、IP组播、静态VLAN、生成树、设置陷阱和警报，察看RMON状态和登录事件。也可以通过VT100仿真终端以文本界面方式设置交换机。

2.6.3网络分布层设计

在校园园区内楼宇间连接时，主要楼宇可放置联想机箱式言主干交换机DES-6000作为分布层交换机，与主干第三层交换机LRS-6706采用千兆以太链路冗余方式连接，用以保证主干链路的冗余不连接。DES-6000采用级不连方式，通过千兆们端口与该楼宇的联想可堆叠交换机DES-3624L连接。使得分布层交换机和接入层交换机之间均在全双工模式下以1G的带宽不连接，保证分支主干无带宽阻塞瓶颈。

2.6.4网络接入层设计

校园网广域网的设计主要考虑如何实现和INTERNET、CERNET的互联。校园网的拨号网络，主要目的是解决校内和校外零散用户以及出差在外的临时用户的接入服务。访问网中的技术关键是拨号访问服务器的选择和对拨号上网用户的安全控制。要求路由器有简单的防火墙功能，具有良好的扩展性，即以后拨号用户的扩展，其它公网的接入等。根据实际需要，能够不断增加拨号用户的数量

在本方案设计中，采用联想DES-3624系列可网管、可堆叠千兆以太网交换机作为网络的接入级交换机，即放置于每幢楼的楼层内，可用以直接接入到办公室或住宅内部。DES-3624系列是可网管、可堆叠的高性能交换机，包括：DES-3624I交换机和DES-3624交换机。DES-3624I提供了20个固定10/100Mbit/s端口和3个插槽，分别可插3口的堆叠模块、单口或双口的千兆模块以及2口10/100Mbit/s（已内置）、100Base-FX模块；DES-3624提供了22个固定10/100Mbit/s端口和2个插槽，分别可插单口堆叠模块（已内置）和2口10/100Mbit/s、100Base-FX模块。

DES-3624系列交换机堆叠后，可使用于高端口密度的部门级大中型网络；提供千兆以太网模块可适用于上连高速率主干网络，用以有效地缓解网络骨干的瓶颈。

采用1台DES-3624与3台DES-3624组成一个堆叠，可提供最多94个10/100BASE-TX端口和2个千兆以太网端口。由于该技术采用背板堆叠，堆叠时不需占用网络端口，而且堆叠后仍可以达到线速交换。

在设计接入Internet时，本方案推荐采用局域网专线接入方式。此方式需要配备联想接入路由器LR-2501A租用电信部门的专线并向CERNET管理部门申请IP地址及注册域名。联想接入路由器LR-2501A可以通过DDN专线（最高可达2.048M带宽）、FrameRelay、X.25、ISDN拨号等方式与Internet相连，还可以按照需要灵活配置多种广域网端口模块，提供宽带、具有QOS保证的远程多媒体服务。为了保证园区网络的安全，方案中在联想接入路由器LR-2501A后，设置一台联想LF-2000硬件防火墙，该防火墙可及时追踪Internet的黑客攻击行为和方法，实现了抗攻击和反攻击的安全策略，为用户提供安全可靠的服务。在网络中亦可实现实时邮件病毒检测、实时检测是否有入侵行为、进行快速的流量过滤、访问控制和加密，防止外部非法用户的侵入以及内部用户对外部网络的不安全访问等。

另外，某些教师或学生如果要在园区外访问校园内部网查找资料，这些远程访问用户需要拨号访问校园内部网，这就需要校园网提供远程访问服务。通过配备访问服务器可以满足这些需求。使用联想DI-520和DI540访问服务器，安装在本地局域网中，通过1至4个调制解调器（或ISDNTA）和1至4根电话线，为们于任何地方远程访问人员提供拨号访问本地局域网的服务。远程用户只要在当地拥有1个调制解调器和1根电话线，通过 拨接DI-540上所连接的电话号码，就可以使其计算机登陆，访问校园网上的资源。

2.7校园网内部信息资源建设

内部信息资源建设包括校园办公管理系统、多媒体电子图书阅览室、网络多媒体课件制作系统等。外部信息资源包括学校主页、远程教学、Internet信息管理等。

1、校园办公管理系统

校园办公管理系统可分为以下几个模块：校长查询、学生管理、教工管理、课程管理、工资管理、财产管理、人事档案管理、文件管理等。

2、多媒体网络教室

多媒体网络教室有以下几个功能模块：教学功能、管理功能、辅助功能等。

3、外部信息资源建设

外部信息资源建设应包括以下功能模块：Internet功能、远程访问功能、电子函件功能学校主页、讨论和交流功能、住处发布功能。

{1}Internet功能及远程访问功能 在信息时代宣传学校、发布学校的信息，对提高学校的知名度，同时共享教育资源非常有意义。只要学校还没有条件通过专线上Internet，可安装Modem让用户远程拨号入网。

（2）电子函件功能 校园网信息平台应用功能强大的邮件系统，可以为每个使用者建立自己的信箱，安全保密以极大地方便了通信。许多事务处理均可以通过邮件提醒，高效便利。

（3）建立学校主页码 在校园网中建立学校的主页，可以以灵活生动的方式综合介绍学校。这是展示学校风采的最佳手段。

（4）讨论和浆功能 校园网信息平台具有讨论的功能，可以允许所有人就一个问题发表自己的意见，面这种讨论的好处在于它可以保留讨论的过程，并且不受时间和空间的限制，如教学研讨、经验交流等均是以讨论的形式出现。

（5）信息发布功能 学校有许多信息需要向老师、学生或社会公布，如学校的规章制度、招生信息、教学信息等，它们共同的特点是只许看不能改，校园网信息平台的安全体系保证这一点。

2.8网络安全

2.8.1网络安全性设计

网络的安全性是评价校园网的重要指标之一，对于校园网这样的大型园区网，网络的安全问题就越发重要。

1、 本地主机系统的安全考虑

计算机病毒是伴随着计算机而产生的，它同时随着计算机技术的发展而发展，在网络环境中，计算机病毒更易于传播，其对系统的危害也是明显的，在校园网工程中建议采用网络与单机相结合的方式来避免计算机病毒的危害。

2、 内部网安全控制

通过VLAN的划分，利用中心交换机上高性能路由模块的管理和控制，可以控制内部各VLAN间的访问。

3、 外联网的安全控制

网络的安全问题主要是由网络的开放性、无边界性、自由性造成的，所以考虑信息网络的安全首先应该考虑把被保护的网络由开放的、无边界的网络环境中独立出来，成为可管理、可控制的安全的内部网络。也只有做到这一点，实现信息网络的安全才有可能，而最基本的分隔手段就是防火墙。利用防火墙，可以实现内部网与外部网络（如因特网）之间或是内部网不同网络安全域的隔离与访问控制，保证网络系统及网络服务的可用性。

4、 拨号访问的安全设计

对于从外部拨号访问中心内部局域网的用户，由于使用公用电话网进行数据传输所带来的风险，必须严格控制其安全性。

主要措施如下：*通过在拨号访问服务器后设置防火墙来实现网络的安全性，以严格限制拨号上网用户所访问的系统信息和资源。

*使用专用身份验证服务器，以加强对拨号用户的身份认证。

*在数据传输过程中采用加密技术，防止数据被非法窃取。

5、数据的安全： ]

网络系统应能通过身份验证实现信息的鉴别，通过存取控制达到对信息的控制，通过数字签名或数据压缩等算法保证数据在传送过程中保持完整、保证信息的机密。在实现时重点考虑信息系统整体的安全控制策略和重要设备的安全控制。

2.8.2网络防火墙

防火墙界于网络出口，将网络分成内部网络和外部网络，并认为内部网络是安全的和可信赖的，而外部网络则是不太安全和不太可信的。防火墙检查和检测所有进出内部网络的信息流，防止未经授权的通信进出被保护的内部网络。

防火墙除了具有包过滤功能外，通常还可以对应用层数据进行安全控制和信息过滤，对主机地址转换（SAT）和地址隐藏(NAT),具有认证、日志、计费等功能。防火墙的实现技术非常复杂，由于所有进出内部网络的信息都需要通过防火墙的处理，因此对其可靠性和处理效益都有很高的要求。

此设计方案选用天网防火墙，它量款国产软件。具有严密的衬里监测、灵活的安全规则及详细的访问记录。可从www.sky.net.cn下载安装。

2.8.3防毒软件

面对计算机病毒的威胁，人们都希望能做好预防工作，而不是面对事后被病毒感染破坏的杀毒和数据恢复工作。预防计算机病毒最好的方法是安装一套防毒软件。防毒软件对于保持系统安全很重要。目前国内主流的反病毒软件有KV3000、Kill、瑞星、诺顿等多种品牌，它们各有所长，而且都有自己的特殊技术作为后盾。本方案选用“瑞星杀毒软件”。它是北京瑞星科技股份有限公司针对流行于国内外危害较大的计算机病毒和有害程序，自主研制的反病毒安全工具。可以到瑞星公司的主页（http://www.rising.com.cn）上去获取试用版本。

2.8.4安全建议

1.建立良好的安全习惯。例如：对一些来历不明的邮件及附件不要打开，不要上一些不太了解的网站、不要执行从 Internet 下载后未经杀毒处理的软件等，这些必要的习惯会使您的计算机更安全。

2.关闭或删除系统中不需要的服务。默认情况下，许多操作系统会安装一些辅助服务，如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便，而又对用户没有太大用处，如果删除它们，就能大大减少被攻击的可能性。

3.经常升级安全补丁。据统计，有80%的网络病毒是通过系统安全漏洞进行传播的，象蠕虫王、冲击波、震荡波等，所以我们应该定期到微软网站去下载最新的安全补丁，以防范未然。

4.使用复杂的密码。有许多网络病毒就是通过猜测简单密码的方式攻击系统的，因此使用复杂的密码，将会大大提高计算机的安全系数。

5.迅速隔离受感染的计算机。当您的计算机发现病毒或异常时应立刻断网，以防止计算机受到更多的感染，或者成为传播源，再次感染其它计算机。

6.了解一些病毒知识。这样就可以及时发现新病毒并采取相应措施，在关键时刻使自己的计算机免受病毒破坏。定期看一看注册表的自启动项是否有可疑键值和内存中是否有可疑程序。

7.最好安装专业的杀毒软件进行全面监控。用户还应该安装个人防火墙软件进行防黑将安全级别设为中、高，这样才能有效地防止网络上的黑客攻击。