信息系统建设方案

第1章 综合布线及计算机网络系统

1.1 综合布线系统 1.1.1 概述

现代化的智能建筑,信息布线系统已不仅仅要求能支持一般的语音传输,还应能够支持多种计算机网络协议的设备的信息互连,可适应各种灵活的、容错的组网方案；同时由于新技术、新产品的不断出现，传输线路要求能够在若干年里适应发展的需要。因此建立具有开放、兼容、可靠性高、实用性强、易于管理、具有先进性、面向未来的综合布线系统，对于现代化建筑是必不可少的。

综合布线系统一般由六个独立的子系统组成，采用星型结构布放线缆，可使任何一个子系统独立的进入综合布线系统中，其六个子系统分别为：工作区子系统(Work Area)、水平子系统(Horizontal)、管理区子系统(Administration)、干线子系统(Backbone)、设备间子系统(Equipment)、建筑群子系统(Campus)。

综合布线系统遵循统一的国际标准，国际标准主要有：ISO/IEC11801及TIA/EIA-568-A。国内综合布线系统相应的规范有：《建筑与建筑群综合布线系统设计规范》、《建筑与建筑群综合布线系统验收规范》。

综合布线六个子系统示意图如下：

1.1.2 功能及应用

从理论上讲，综合布线系统可以容纳话音：电话、传真、音响（广播）；数据：计算机信号、公共数据信息；图像：各种电视信号、监视信号；控制：温度、压力、流量、水位以及烟雾等各类控制信号。但是，在目前的实际工程应用中，综合布线主要作为语音和数据的物理传输平台。

智能大厦的投资是一个长远的计划，人们不仅能以现有的应用来规划，更应从发展的眼光来

第1页

看。IT业的发展迅速，只有采用一个合理的布线系统，才能以不变应万变，以最少的投资支持未来出现的任何新应用。采用标准的综合布线，能带给用户即插即用的便利，并且，管理与维护也非常简单。

综合布线可提供一个完美高效的计算机网络办公环境，即插即用地支持多种接入，包括：电话、传真、100Base-T高速数据网络、视讯会议系统、Internet/Intranet接入、Modem接入以及ADSL接入互连网等。

1.1.3 设计思想

当今社会，人们对信息的大量需求，使信息已成为一种关键性的战略资源，作为苏丹国家民航控制中心，网络通信承担着重要作用，一个网络设计不但要考虑网络速度，同时还应该考虑整个网络系统的安全性。

系统总的设计思想如下：

➢ 适应未来10年内数据（主干支持622M ATM及千兆以太网）和话音等应用需求，确保满足未

来用户需求增长；

➢ 提供至少10M/100M连接速度到每个信息点，以满足网络信息传输及办公自动化应用的需要。 ➢ 确保系统通信的安全,网络设计为物理上互相隔离的2套网络系统:公共网络系统(外网,与互

联网联接)、企业专用网络系统(内网)

➢ 水平子系统采用6类非屏蔽双绞线，垂直干线采用铜缆和光缆混合组网或全部采用光缆组网；

(建议数据主干采用光缆，话音主干采用铜缆)

➢ 每个工作区对应信息插孔均有独立的水平布线电缆引至楼层配线架；

➢ 系统采用语音数据综合布线方式，语音和数据水平布线均采用六类非屏蔽线缆，使语音与数

据可根据需要灵活调换使用。

1.2 计算机网络系统 1.2.1 概述

在信息技术的使用正在改变着人们工作生活方式的今天，建设一个完善的计算机网络信息系统是其基本的要求，作为国家级，计算机网络不仅要满足内部大量的数据交换的需要，同时要承担对外的形象宣传、信息发布、合作事宜，对内的事物处理、事物协作、业务管理，提供各种商务服务和Internet访问等功能。

随着计算机应用技术、数据通信技术和网络技术的飞速发展，基于TCP/IP、WWW技术、先进数据库技术的Internet/Intranet计算模式也日趋成熟，这些条件都为的信息化建设工程奠定了坚实的基础。

第2页

信息网络系统设计和建设的总体目标是：建成以先进的结构化综合布线技术、网络技术、计算机技术、软件技术和多媒体技术为主要手段的多层次、开放式、全方位信息通讯与信息管理系统，在整个实现电子化、网络化和信息化，广泛运用现代计算机网络技术，全面提高运用信息技术的能力。

1.2.2 设计思想

对于网络建设总的思想：

➢ 建立千兆以太网为主干的计算机网络，以实现内部信息通讯、信息资源和硬件资源共享；与

当地广域网后者民航专用网络连接，以实现信息交换和开展电子商务业务；接入Internet为客户提供各种信息服务。

➢ 建立多级网络安全机制，充分考虑网络的安全性。安全管理包括使用防火墙等技术进行网络

的安全防范。内部计算机使用多级网络安全机制，不同权限的对资源具有不同的访问权限。 ➢ 在主机系统方面：建立以数据库服务器、Web服务器、E-Mail服务器、网络管理工作站等组

成的服务器群，为将来各种信息应用系统的高效运行建设一个坚实的硬件平台等。 ➢ 在软件系统方面：建立基于WEB的Internet/Intranet四层软件体系结构，利用四层软件体

系结构和统一网络管理平台，实现系统的综合应用管理，为办公自动化和Internet浏览提供从网络到系统体系结构的坚实基础。

➢ 网络管理系统包括性能管理、配置管理、记账管理、故障管理、安全管理等，系统资源管理

系统包括使用专用软件对大楼所有计算机资源进行统一管理和监控。

1.2.3 系统设计

 网络物理设计

整个网络拓扑以星型方式进行设计，选用知名公司网络交换机、路由器、服务器、工作站等网络  网络管理设计

网络系统最后的建成将是一个比较复杂、规模较大的网络系统，对于这样一个结构复杂、设备庞杂的网络环境必须有一个可视化的、功能完备的管理系统对信息网进行监视、管理、控制、配置。只有这样，才能充分发挥各种设备的功能，提高工作效率。因此，有必要仔细选择一套合适的网络管理软件，建立一套完善并能适应该信息网络系统的网络管理系统。

大多数的网络管理体系都使用基本上同样的结构，被管理设备（如网络设备）运行一种当它们发现问题时发出警告的软件。当一个或多个用户定义的阀值被超过时，就被认为是发现了问题。当收到这些警告后，管理实体采取如下的一个或多个行动： ➢ 通知操作者。 ➢ 事件记录。

第3页

➢ 系统关机。 ➢ 试图修复系统。

管理实体可以查询被管设备，检查某些变量的值。查询可以是主动的或者是用户发起的。常见的网络管理协议有简单网络管理协议(SNMP)。  网络安全设计

系统安全最主要的部分是网络安全，如今，以Internet为代表的全球性信息化浪潮日益深刻，伴随网络的普及，安全日益成为影响网络效率的重要问题，而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时，对安全提出了更高的要求，这主要表现在：

开放性的网络，导致网络的技术是全开放的，任何一个人、团体都可能获得，因而网络所面临的破坏和攻击可能是多方面的，例如：可能来自物理传输线路的攻击，也可以对网络通信协议和实现实施攻击；可以是对软件实施攻击，也可以对硬件实施攻击。

国际性的一个网络还意味着网络的攻击不仅仅来自本地网络的用户，它可以来自Internet上的任何一个机器，也就是说，网络安全所面临的是一个国际化的挑战。

如何保护企业的机密信息不受黑客和工业间谍的入侵，已成为政府机构、企事业单位信息化健康发展所要考虑的重要事情之一。

信息网的安全保密非常重要。因此，我们对整个网络系统进行安全设计，要确保网络系统的高度安全免受黑客的入侵。 ➢ 安全威胁

目前网络存在的威胁主要表现在：

㈠ 非授权访问：没有预先经过同意，就使用网络或计算机资源被看作非授权访问，如有意避开系统访问控制机制，对网络设备及资源进行非正常使用，或擅自扩大权限，越权访问信息。它主要有以下几种形式：假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。

㈡ 信息泄漏或丢失：指敏感数据在有意或无意中被泄漏出去或丢失，它通常包括，信息在传输中丢失或泄漏（如\"黑客\"们利用电磁泄漏或搭线窃听等方式可截获机密信息，或通过对信息流向、流量、通信频度和长度等参数的分析，推出有用信息，如用户口令、帐号等重要信息。），信息在存储介质中丢失或泄漏，通过建立隐蔽隧道等窃取敏感信息等。

㈢ 破坏数据完整性：以非法手段窃得对数据的使用权，删除、修改、插入或重发某些重要信息，以取得有益于攻击者的响应；恶意添加，修改数据，以干扰用户的正常使用。

㈣ 拒绝服务攻击：它不断对网络服务系统进行干扰，改变其正常的作业流程，执行无关程序

第4页

使系统响应减慢甚至瘫痪，影响正常用户的使用，甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。

㈤ 利用网络传播病毒：通过网络传播计算机病毒，其破坏性大大高于单机系统，而且用户很难防范。

在进行网络设计和建设中，只有清楚网络安全的要素和网络安全威胁体现在何处，才能在设计出有效的安全控制策略和手段。才能恰如其分、恰到好处地利用防火墙技术、加密技术、鉴别技术、数字签名技术、审计监控技术和病毒防治等技术来确保信息网的高度安全。 ➢ 系统安全方案设计

信息网络系统的系统安全设计我们从三个方面进行阐述，即分别为：物理安全（物理层的安全控制和设备安全保障措施）、网络安全（数据链路层的安全控制和网络层的安全控制）和信息安全（应用层的安全控制）。

㈠ 物理安全

选用知名公司性能稳定安全的网络产品，同时将内、外网络进行物理上的隔离。 ㈡ 网络安全

网络安全包括诸多方面的因素，如下表所示：

入侵系统（主机、服务器）反病毒 安 全 网络安全 网络运行安全 局域网、子网安全 （防火墙） ➢ 系统主机安全方面

我们采用集群技术的解决方案，包括用于对系列服务器实行监控的集群软件和作为数据存储设备的系列磁盘阵列柜。通过软硬件两部分的紧密配合，提供给客户一套具有单点故障容错能力，磁盘阵列也将受到集群技术的保护：

集群技术同时兼有热备份和容错的功能，不仅保证系统的连续运行，而且能够自动根据任务执行情况和数据流量，主动进行任务调度和负载均衡，提高了系统的性能和可靠性，充分发挥高档服务器的强大处理能力，提高投资效率。 ➢ 在网络运行安全方面

我们在进行网络设计的章节中，对网络的安全就已进行了充分的考虑。

第5页

系统安全检测（监检 测 控） 备份与恢复 访问控制 网络安全检测 应急 审计分 析

首先，对所有设备均提供了功能强大的不间断电源（UPS），确保在断电时系统的正常工作；我们选择的中心交换机配置有双电源模块，另外，我们还采用了端口冗余等各种方法措施来确保整个系统的网络运行安全。 ➢ 在局域网、子网安全方面

在网络规划与管理章节中，我们对信息网进行了详细的子网及VLAN的规划，有效地防止了数据包在网上的随意的广播。同时增强了各个部门（即不同子网中）的数据安全。 ➢ 在访问控制（防火墙）方面

防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。

在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。

因此，在信息网安全设计中，防火墙的选择和设计显得极为重要，它是保障网络安全的一种极为有效的手段。

㈢ 信息安全

信息安全包括用户身份认证、用户授权、数据加密和数据完整性等方面的因素。 ➢ 用户认证及授权

在网络系统中配置了网络防火墙PIX Firewall，利用其强大的用户身份认证体系对来自Internet的访问、内部员工对Internet的访问等待进行身份认证，只要通过系统认证，就可以通过防火墙访问内部网络或Internet。口令认证机制极大地提高了访问控制的安全性，有效阻止非授权用户进入网络，从而保证网络系统的可用性。 ✓ 数据加密

信息加密的目的是保护网内的数据、文件、口令和控制信息，保护网络会话的完整性。 网络加密可以在链路级、网络级、应用级等进行。信息加密过程是由形形色色的加密算法来具体实施。 ✓ 数据完整性

在一个科学而合理的设计方案中，在保证数据的高速传输、数据的安全保密性的基础上，数据的完整性也是极为重要的，也就是说要保证数据在网络中完整、安全地传输。另外，还要保证已有数据的完整性，要避免它人采用非法手段窃得对数据的使用权，删除、修改、插入或重发某些重要信息，以取得有益于攻击者的响应；恶意添加，修改数据，以干扰用户的正常使用等，我

第6页

们在提供了一个先进的网络平台同时还采用了多种有效的手段保证数据的完整性。

第7页