中信大厦智能楼宇系统设计方案

目目录录 1公司简介公司简介.2 2企业资质企业资质.4 3质量保证体系质量保证体系.13 3.1主导思想.13 3.2工程设计.13 3.3工程施工.13 3.4工程验收.13 4工程技术服务体系工程技术服务体系.14 5工程组织与管理工程组织与管理.15 5.1建立项目组织机构.15 5.2成立专职质量监督机构.16 5.3组织调配资金，确保施工材料按时进场.16 5.4工程实施管理计划.16 5.5工程施工.17 5.6安全保证.18 5.7施工人员质量培训.18 5.8对建设单位人员培训目标.18 6智能大厦网络系统简介智能大厦网络系统简介.19 6.1通信网络接入方案选择分析.19 6.2布线标准.20 6.3布线距离.22 6.4布线性能.22 6.5建设目标.22 6.6系统需求.23 6.7系统主要功能.23 6.8系统设计.24 6.9设备报价及清单.26 7电视监控系统简介电视监控系统简介.28 7.1概述.28 7.2设计目标.28 7.3本系统工程实现的功能.28 7.4主机系统的技术参数.29 7.5电视监控系统设备清单及报价.31 8保安巡更系统保安巡更系统.32 8.1概述.32 8.2系统介绍.32 8.3系统性能特点.33 8.4巡更设计.33 8.5保安巡更系统设备清单及报价.33 9工程决算工程决算.34 1公司简介公司简介 湖北泰信科技信息发展有限责任公司是一家从事金融电子服务与计算机系统集成与开发的高科技企 业，为中国武汉光谷高新科技企业。通过数年的不懈努力，公司从银行、邮政储蓄柜员制监控逐步向金 融、邮政、交通、商场、宾馆等社会重要公共场所电视监控安全防范系统工程迈进。一九九七年七月被 中国农业银行总行确定为中国农业银行安全技术防范器材销售、工程设计、安装定点单位并签订了双方 合作协议书。20012001 年一月再次被中国农业银行总行确定为安防工程及安防产品壹级企业资质并签订了合年一月再次被中国农业银行总行确定为安防工程及安防产品壹级企业资质并签订了合 作协议书作协议书。一九九七年十一月被中国邮政总局确定为邮政储蓄“绿卡工程”柜员制电视监控设计、安装 定点单位。一九九九年六月被中国人民银行确定为湖北省农村信用合作社系统安全防范工程设计、安装 定点单位并签订了合作协议书。一九九九年十二月被中国银行确定为中国银行湖北省分行系统安全技术 防范工程设计、安装定点单位并签订双方合作协议书。一九九七年至目前为止，公司承接了中国农业银 行湖北省分行、中国银行湖北省分行近三分之二的金库及营业部电视监控防盗报警系统工程、湖北省和 武汉市邮政系统邮政储蓄柜员制工程。 湖北泰信科技信息发展有限责任公司经湖北省公安厅安全技术防范管理办公室批准为：承接一级安承接一级安 全技术防范的设计、施工与安装单位全技术防范的设计、施工与安装单位。公司拥有长期从事电视监控安全技术研究和工程实施的专业工程 师，具有丰富的实践经验与强大的产品与技术开发能力，承接过许多银行专业监控安防工程与计算机系 统集成项目。公司基于 ISO9000 质量管理体系，将质量管理落实到施工的每一个环节，致力追求完善的 售前、售后服务，将完美的金融安防系统与系统集成成果展现在建设单位面前。 为了适应信息、数字、网络时代发展，随着公司市场不断的发展壮大，公司从单一的“数字网络 安防监控报警管理系统”发展成为拥有“智能小区管理系统” 、 “智能交通管理系统” 、 “智能消防管理系 统” 、 “多媒体数字双向教学管理系统” 、 “综合布线系统“、 “计算机网络系统” 、 “有线电视接收、VOD 智 能点播收费系统”等完全知识产权应用软件的高新技术集成商。 随着中国安防电子、信息、网络、数字技术水平的不断提高，湖北泰信科技信息发展有限责任公 司将继续以其完善的技术为中国安防、信息、网络技术与应用的发展做出贡献。 ISO9000 质量管理体系的全面实施，有力保证了工程质量，得到广大建设单位的一致好评和充分信 赖。与中国农业银行、中国工商银行、中国银行、中国建设银行及农村信用合作社、中国农业发展银行 等各金融机构在安防系统方面进行着良好的合作。并在司法、电力、工矿、宾馆、交通、学校、智能大 厦、智能小区等计算机系统集成领域赢得了客户的信赖，也赢得了市场。 在西南证券公司的大力保荐下，公司股份制改制工作将在三月底全面完成，并将以“湖北泰信安 防科技股份公司”在创业板上市。泰信公司的发展壮大有赖于用户的支持与帮助，泰信公司将以诚、信、 质与完善的系统解决方案反哺于用户，反哺于广大股民。 2企业资质企业资质 3质量保证体系质量保证体系 3.1主导思想主导思想 精心设计、精心施工、质量第一、保障安全 产品技术开发实现的指标 先进性和实用性强，能满足多媒体计算机技术符合网络化、信息化的需要。 可维护性和可扩展性强。 可靠性高。 建设单位界面友好。 操作方便。 可连接性好，能适应各种通信媒体和通信协议。 3.2工程设计工程设计 坚决贯彻中华人民共和国国家公安部关于社会公共安全技术防范 GA、GB 标准，技术指标达标。 坚决贯彻湖北省人民政府令第 171 号。 优先选用和推广先进的安全防范技术和产品设备，保证工程的可靠性。 以保障安全为目标，以技术防范为核心，组成技术防范、人工防范、物理防范综合保卫系统，实现安全 保卫。 3.3工程施工工程施工 工程部工程施工必须实行责任施工，保证工程验收合格。 工程设备材料进入现场建设单位清点登记。 严格管理，发现问题及时指出并及时改进，保证工程质量。 严格执行工程工艺文件。 对建设单位进行系统使用、维护培训。 3.4工程验收工程验收 工程正式验收前检查内容： 填写现场安装调试质量自检互检纪录 填写工程质量检测报告 发放工程上岗证 工程建设单位试运行报告： 工程复检报告。 工程竣工报告。 工程竣工决算报告。 工程系统操作说明。 4工程技术服务体系工程技术服务体系 技术服务主导思想 坚持质量第一，建设单位至上，维护本公司的声誉，确保工程及产品发挥其应有的效能。 技术服务范围 本公司出售的所有产品及本公司承接设计并实施的工程。 技术服务实施细则 本公司技术服务由公司质检部负责，重大问题由公司总经理协调解决。 本公司设计、施工的工程实行“系统设备第一年内免费包换、三年内免费保修只收取配件费、三年 后维修收取工时费、配件费”的技术服务方针，保证工程正常运行。起始时间以该工程安装调试完毕交 建设单位试运行交接纪录时间为准推算。 本公司设有维修热线电话，夜间为录音电话。本市内 8 小时内上门服务，武汉市以外 24-48 小时内上门服务。外省市由在当地的技术服务网点负责上门服务，或由本公司在 72 小时直 接上门服务。 为建设单位培训操作、维护人员，介绍工程内容及产品性能及使用维护知识，使其掌握正确使用的 操作方法。为建设单位提供工程产品使用维护修理手册。 建立各建设单位单位工程维修档案。 5工程组织工程组织与管理与管理 本工程是一个系统工程，为确保整个系统的施工质量，我公司在施工过程中，要精心组织，精心设 计、精心施工，确保本项工程、每一阶段、每一工序的施工质量达到或超过系统设计技术指标。为此特 采取以下措施： 5.1建立项目组织机构建立项目组织机构 成立以公司项目主任工程师为主的设计施工专门机构（具体人员详见拟定参与本项目成员）负责整 个工程的设计和施工，由公司项目经理和项目执行经理负责人员调配，施工材料落实、施工进度安排、 协调各工种、各工序、各专业的施工进度。 工程设计、施工人员表： 姓姓 名名学历学历职职 称称职职 务务本项目承担职务本项目承担职务年龄年龄 周世波博士高级工程师 总工程师、技术总 监 综合布线、计算机网络、智能化系统 36 张可怀大学高级工程师副总经理项目质量总监 61 陈国强大学高级工程师 主任工程师、工程 一部经理 楼宇安防系统、远程联网系统、LAN 31 刘文伟大学工程师主任工程师楼宇自控对讲系统、智能消防系统 30 祝茂涛大学主任工程师质检部经理楼宇安防系统 30 曹传斌大学工程师工程一部副经理计算机网络系统 24 杨华伟大学工程师工程部质量监理楼宇自控系统 25 罗 烜大专工程师设计部经理设计文件 24 刘晓雄大专工程师质检部副经理楼宇自控系统 31 钟国波本科工程师开发部经理计算机网络、结构化布线系统 21 叶兴强本科技术员开发部技术员计算机网络、结构化布线系统 21 李 涛本科技术员开发部技术员结构化布线系统 21 张洪峰本科技术员开发部技术员结构化布线系统 22 李 利大专技 师工程部监理项目现场经理 37 黄晓东大专技 师工程一部副经理项目现场经理 36 李 凯大专技 师工程部监理项目现场经理 31 5.2成立专职质量监督机构成立专职质量监督机构 由公司项目主任工程师负责整个系统质量工作，由公司专职的工程部监理工程师对施工过程的每个 阶段进行监理；由质检部对各个施工阶段所使用的设备、材料进行严格检验，严格把好进场设备、材料 的质量关，坚决杜绝不合格设备、材料进场。 5.3组织调配资金，确保施工材料按时进场组织调配资金，确保施工材料按时进场 由项目经理负责公司财务部合理调配资金，保证各个施工阶段的设备订货，材料采购，使得工程各 个阶段施工顺利进行。 5.4工程实施管理计划工程实施管理计划 5.4.1双方的合作意向双方的合作意向 根据双方现场堪测及安防目的，双方研讨论证方案，完善和确定方案设计，签订工程合同。 5.4.2工程整体设计图纸工程整体设计图纸 系统框图。 布防图。 布线图。 设备采购清单。 工程总金额。 其它说明等。 5.4.3器材准备器材准备 外购设备订购； 施工线、管材料准备； 主系统设备生产、测试。 5.4.4现场管、线预埋现场管、线预埋 根据现场情况，安排工程部专业施工人员现场作电缆敷设及前端设备架装等安装施工。确保不破坏 建设单位原装修。 5.4.5设备进场设备进场 双方确认现场已可以安装设备，设备及时进场安装，并清点登记，边安装边调试边质检，直至完成 全部工程。 5.4.6设备调试设备调试 运行期间，反复调试使该系统达最佳效果 5.4.7双方进行工程竣工验收双方进行工程竣工验收 5.4.8公安、管理部门组织正式验收公安、管理部门组织正式验收 5.5工程施工工程施工 原则：精心施工。原则：精心施工。 5.5.1施工人员的管理施工人员的管理 所有参与施工人员，均由政治上可靠、业务熟练并已在公安部门备案的人员组成，以确保施工的质 量并达到安全性、保密性、可靠性的要求。工程完毕后，使系统设备能正常稳定地运行，并不对外泄露 系统的布点走线情况。 5.5.2前端设备的布点及走线前端设备的布点及走线 按设计图纸进行，还要与现场情况及其装修相配合， 在不破坏原房屋结构和装修的情况下，走线和 布点做到牢固、可靠、美观和阻燃、防潮、防尘，前端各点根据现场情况采用吊装和壁装方式；尽量隐 蔽，走线全部采用白色阻燃管和塑料槽进行镶嵌，前端部分的连接采用浅灰色塑料蛇皮软管连接，做到 所有引线不外露。重要地方用镀锌钢管保护。 5.5.3建设单位派专人配合施工建设单位派专人配合施工 一是确保建设单位以施工的要求自始至终得到贯彻。二是保证建设单位的安全。三是为施工过程提 供必要的施工条件，如用电等问题。 5.6安全保证安全保证 针对建设单位为重要单位，在完成该项工程的过程中，我公司将严格保守工程设计秘密。对设计人 员与施工人员进行严格审查，确保今后工程安全使用，杜绝一切隐患的发生。 5.7施工人员质量培训施工人员质量培训 本公司全面推广 TQC，充分调动每位设计人员和现场安装调试及质检人员的积极性，责任到位，用 人的工作质量保证工程质量，确保工程质量的可靠性。 5.8对建设单位人员培训目标对建设单位人员培训目标 工程施工过程中，本公司将安排专人对建设单位指派操作和维修人员进行操作和维护培训。做到培 训上岗规范操作，简单故障能排除，维护设备规范化。 6智能大厦网络结构化布线系统简介智能大厦网络结构化布线系统简介 智能建筑是传统建筑工程与信息技术结合的产物，是产业化社会向信息化社会发展的必然趋势。九 十年代以来我国已建和在建的楼宇中带有“智能建筑”色彩的已有数百幢，其“智能化”程度也在不断完善和 提高，目前智能建筑已不再限于单体的大厦形式，而向区域性规划发展。建筑智能化已逐渐成为一种发 展方向。其中通信信息网络起着至关重要的作用。 随着社会信息化进程的加快，单纯的语音通信已不能满足需要，而逐步转向对语音、数据、图象等 多种媒体综合信息的需求，同时对信息的容量和带宽的需求也不断增长，这些因素是刺激通信、信息网 络发展的原动力。用户驻地网、接入网由于投资大、业务量小、回报率低等原因，长期处于落后的技术 状态，随着宽带大容量通信需求的增长，用户接入网的“瓶颈”现象引起了世界各国的广泛关注，随之出现 了五彩纷呈的接入网技术。小区信息网的组建方式也很多。在智能小区通信、信息网络设计中认真分析、 研究，选择合适的接入方式和组网方式进行小区网络规划，使之既能适应现在的需要又能面向未来是很 有必要的。 6.1通信网络接入方案选择分析通信网络接入方案选择分析 智能建筑的通信、信息网络是人们与信息社会连接的重要通道。智能建筑的“智能”特点能否充分发扬 并逐步完善和发展与通信、信息网络的建设有着密切的联系。通信、信息网络的先进性、可靠性、技术 延伸性是决定问题的关键。 接入网技术如按传输介质划分可分为五类：纯双绞线铜缆接入网、混合光纤/双绞线铜缆网、混合光 纤/同轴电缆网、无线接入网和纯光纤网。 混合光纤/双绞线铜缆网是目前受到广泛关注、采用较多的方案，具有很好的发展潜力。目前，各国 较为普遍的做法是采用 FTTC(光纤到路边)、FTTR(光纤到远端节点)、FTTB(光纤到大楼)等与双绞线混合， 是铜缆网向纯光纤网过渡的理想方案。 认真分析了各种接入网技术的特点和发展趋势，我们认为，采用光纤到大楼(FTTB)与结构化综合布 线(UTP)相结合的接入方式比较适合于智能建筑的建设，智能大厦应该采用 FTTB 方案。 住宅建筑的通信网络一般采用光纤到路边(FTTC)，即到建筑节点，然后再采用普通双绞线铜缆连接 到大楼分线箱的光纤/双绞线铜缆接入方式。这样虽然可以节省部分初期投资，但是对于用户的宽带信息 需求，必须采用 HDSL 或 ADSL 方式来解决，用户投资成本比较高，能够承受的用户不多，因此实际收 益不高，投资回报率小。这种接入方式比较适合于已经安装双绞线铜缆网络地区的宽带接入。 FTTB/UTP（无屏蔽双绞线）也属混合光纤/双绞线铜缆网。采用这种方式，初期投资虽然大一些，但由 于可应用建筑信息网、实现 Chinanet、Internet 接入、开展多媒体应用等，因此可以吸引大量的用户，实 际收益良好，投资回报率也高。另外，光纤与结构化布线相结合是一种典型的宽带接入方式，目前 UTP 能提供 10MHz、100MHz、550MHz 的宽带传输能力，支持 622Mbps 的 ATM 应用。最近，美国贝尔实验 室还提出了 1000Mbps(1Gbps)的解决方案。因此 FTTB/UTP 接入方案虽然不能代替 FTTH，但是对于绝大 多数的用户，尤其是家庭用户而言，其技术生命力是相当长的。而且从这种接入方式向 FTTH 发展也很 方便、简单，为实现 FTTH 创造了条件。 6.26.2布线标准布线标准 本系统布线规范均指 TIA/EIA-568-A（商用建筑电信布线标准）和 ISO/IEC11801:1995（E）标准。 布线标准的内容包括布线网络拓扑结构、性能、部件、安装实践和现场测试。包括 MForum、CCITT、CENELEC、IEEEANSI802 等技术标准以及以下标准： ANSI/TIA/EIA.568A 系统设计和产品标准 ANSI/11A/EIA.569A 系统安装标准 ANSI/TIA/EIA.606 系统标记标准 ANSI/TIA/EIA.607 系统接地标准 ANSI/EIA/TIA-TSB36/40,67,72 系统测试及验收标准 ANSI/TIA/EIA.570A 家居布线标准 EN50173 系统设计和产品 EN50167 水平布线电缆 EN50169 主干电缆 EN55022 信息技术设备的无限干扰特性极限值和测量方法 EN55024 信息技术设备的防电磁干扰 ISO/IED/JTC1IS-11801 系统设计和产品标准 ISO/IECJTCI/SC25/WG3 ccITTISDN ANSIX3T9.5.ANSIFDDI/TPDDI ANSIFDDI、TP.PMD、X3 ATMFORUMPHY、SIG ATM155Mbps/622bps IEEE802.310BASE-T,10BASE-F IEEE802.5 IEEE802.ab1000BASE-T IEEE802.12100BASE-T JGJ/T16.92 民用建筑电气设计规范 GBJ42.81 工业企业通信设计规范 GBJ79.85 工业企业通讯接地设计规范 EBD.03.95 智能建筑设计标准 cECS72:97 建筑和建筑群综合布线系统工程设计规范 cECS89:97 建筑和建筑群综合布线系统工程施工及验收规范 YDfT9261.2.1997 大楼通信综合布线系统行业标准 布线拓扑结构布线拓扑结构 TIA/EIA-568-A 和 ISO/IEC11801 布线标准基于同一基本的布线系统结构，布线系统包括电缆、接插 软线以及用于水平布线、建筑物内主干布线和建筑群主干布线的连接器。本系统结构化布线支持布线端 接，同时使用接插软线与设备相连或作交叉连接。 为保证系统适应技术的发展、保持与技术同步,整个布线系统使用全程屏蔽系统,所有屏蔽部件接地, 所有水平配线电缆的屏蔽层均应进行接地连接,所有预埋的暗管、线槽、桥架、 线盒等均可靠接地并连接成一体,形成封闭结构,防止意外破坏,以保证全程屏蔽 的可靠实施。综合布线系统相关产品按屏蔽型增强型 5 类标准配置,包括数据系 统链路/信道也达到此技术性能要求。 信息插座及连接设备的端接跳线器件,全部信息点为 FTP 屏蔽信息点。信息插座采用单孔或双孔信息 插座配置,每个信息点均可应用于电话,也可应用于数据、图像等系统终端连接,并考虑满足数据系统对 千兆网的技术性能要求,以适应新技术的发展与应用。所有的数据信息点对应配置终端设备连接电缆、所 有光缆信息点对应配置终端设备连接光缆。 双绞线是现在最普通的传输介质，它由两条相互绝缘的铜线组成，典型直径为 1 毫米。两根线绞接 在一起是为了防止其电磁感应在邻近线对中产生干扰信号。现行双绞线电缆中一般包含 4 个双绞线对， 具体为橙 1/橙 2、蓝 4/蓝 5、绿 6/绿 3、棕 3/棕白 7。计算机网络使用 12、36 两组线对分别来发送 和接收数据。双绞线接头为具有国际标准的 RJ45 插头和插座。双绞线分为屏蔽(shielded)双绞线 STP。屏蔽式双绞线具有一个金属甲套(sheath)，对电磁干扰 EMI(Electromagnetic Interference)具有 较强的抵抗能力，适用于网络流量较大的高速网络协议应用。本系统的水平子系统采用 5 类屏蔽双绞线， 运行 100MB 以太网时，使用屏蔽双绞线以提高网络在高速传输时的抗干扰特性。 在土建过程中根据具体情况埋设暗管或敷设线槽、桥架等,建筑完工后相对固定。对应 FTP 信息插座 采用增强型 5 类 4 对 FTP 屏蔽电缆配置,以防御电磁干扰的影响。用户可根据设备连接需要,随时将任一 信息点跳线连接成语音或数据应用。水平线缆均采用 IBM 屏蔽(STP、FTP)阻燃型线缆产品,满足国家标准 CECS72.97 的规定。 主干作为综合布线系统的骨干部分,连接综合布线系统数据主干采用多芯室外多模光缆,单或多分线 箱共用。 6.36.3布线距离布线距离 布线距离为水平布线90 米、建筑物主干500 米、园区主干1500 米,布线距离主要取决于实际工作 区域(即建筑物楼层区域)。主干布线距离基于实际应用所限定的距离。 6.46.4布线性能布线性能 在 TIA/EIA-568-A 和 ISO/IEC11801 两个标准中，100 欧姆双绞线按 5 类/5E 类规定为 100MHz，在本 系统中应用为水平布线，10100MHz 自适应交换到桌面。主干采用室内多模光纤。光纤为圆柱状，由 3 个同心部分组成纤芯、包层和护套，每一路光纤包括两根，一根接收，一根发送。用光纤作为网络 介质的 LAN 技术主要是光纤分布式数据接口(Fiberoptic Data Distributed Interface，FDDI)。与同 轴电缆比较，光纤可提供极宽的频带且功率损耗小、传输距离长(2 公里以上)、传输率高(可达数千 Mbps)、 抗干扰性强(不会受到电子监听)，是构建安全性网络的理想选择。 6.5建设目标建设目标 智能建筑的设计建设必须贯彻以人为本的原则。其建设的重点是如何建设一个智能化住宅和与之相 适的社区环境，从而构筑一个安全、舒适、适应信息社会发展的居住空间环境。它应具备以下几个基本 条件： (1) 建立适用信息社会的家庭网络，实现智能化的家务管理，以及环境控制、信息交流、安全防范、提供 文化生活与娱乐等功能。 (2) 建立连接家庭网络的社区信息网，提供社区服务，保障社区安全，实现社区管理自动化。 (3) 可与社区外部社会实现方便，快捷的连接。 为了实现智能建筑的建设目标，需要一个先进的通信、信息网络把用户家庭网络、社区安防、物业 管理、生活服务及办公设施连接起来，实现智能化和最优化。智能建筑的通信系统要能够提供快捷、准 确、多样的通信方式；建筑的信息网络要为建筑内物业管理，建筑内信息服务、提供快速、准确的服务 平台。 6.6系统需求系统需求 、保证通信系统具有充分的开放性，用户可以使用各种电信业务和符合标准的通信设备。 、高速率的信息传输使用户迅速、准确、完整地进行信息交换，并可为用户提供与外界各种网络连接 的多种手段，如可方便地连接公众电话网、分组交换网、数字数据网、综合业务数字网等，并且为安防 与其它智能化控制系统提供足够的实时信息传输能力。 、建筑的计算机网络系统，应为建筑的物业管理和信息服务提供实用、高效、安全、可靠的运行环境。 建筑的网络系统采用客户机/服务器（Client/Server）结构或采用基于 Internet/intranet 的三层结构，具有开 放性和长久的生命力。 、实现建筑内部的资源共享、信息共享。 6.7系统主要功能系统主要功能 、提供 PDN 以及 DDN 接口，提高与外部网络的连网能力。 、提供宽带的用户接入服务，实现高速 Internet 接入、视频点播等业务。 、建立建筑的内部网(Intranet)，提供 WWW 浏览服务，建筑内各种信息服务的发布，实现网上消费、 网上物业报修、交互式物业管理服务以及访问 Internet 等功能，并建议建立智能大厦 WEB 发布网站。 、利用建筑通信、信息网络进行物业管理，如：住户管理、信息查询、房产管理、公用设备管理、租 金和管理费管理、报表处理、故障报修统计和家庭办公等。 、利用建筑通信、信息网络开展建筑内信息服务，如：提供就业信息、娱乐信息、电子商务、健康信 息、教育信息、旅游交通信息、综合信息、金融动态、股票交易、社区消息，开展会议电视、远程医疗、 远程教育、股票交易、网上购物等业务。物业管理中心可建立商务中心，为企业用户提供文档处理、打 印等增值服务。 、为将来各种通信信息服务升级提供良好的传输媒介与网络（如光纤到户） 。 6.8系统设计系统设计 根据用户提供的设计图纸进行分析结果如下：分别在大厦内分配 6 个工作区间子系统配线间，每个 配线间管理 2 个楼层，同时将各配线间通过光纤连接到三楼的主配线房。 配线设备间及机房设在大楼的第三层，一楼有证劵交易所和银行，分别。二层至五层间的具体分布 以办公室为主体；从六层到十五层为出租式分布结构；十六到十八层为办公楼层；十九层为消费场所。 根据大楼内部结构，我们将网络设备放置在大楼内的第三层弱点间内，经过上下连线提供网络信息 点。因为本大楼内涉及到各个不同类别的公司在同一栋楼内办公，因此各公司内的网络该间接性隔离， 从而提高楼宇网络内的安全性，因此我们采用 VLAN 的方式进行合理性网络架构划分。 由于大楼内涉及到证劵交易所，从金融体系的网络设计标准出发民用网络和金融网络是不可混合使 用的，我们在这次设计中将不涉及这部分的网络连接。 6.8.1技术特点技术特点 安全特点安全特点 当一个机构将其内部网络与 Internet 连接之后，所关心的一个主要问题就是安全。内部网络上不断增 加的用户需要访问 Internet 服务，如 WWW、电子邮件、Telnet 和 FTP 服务器给大家访问。 当机构的内部数据和网络设施暴露给 Internet 上的黑客时，大家越来越关心的便是网络安全。为了提 供所需级别的保护，机构需要有安全策略来防止非法用户访问内部网络上的资源和非法向外传递内部信 息。即使一个机构没有连接到 Internet 上，它也需要建立内部的安全策略来管理用户对部分网络的访问并 对敏感或秘密数据提供保护。 Internet 防火墙防火墙 Internet 防火墙是这样的系统（或一组系统） ，它能增强机构内部网络的安全性。防火墙系统决定了那 些内部服务可以被外界访问；外界的那些人可以访问内部的那些可以访问的服务，以及那些外部服务可 以被内部人员访问。要使一个防火墙有效，所有来自和去往 Internet 的信息都必须经过防火墙，接受防火 墙的检查（图 1） 。防火墙必须只允许授权的数据通过，并且防火墙本身也必须能够免于渗透。但不幸的 是，防火墙系统一旦被攻击者突破或迂回，就不能提供任何的保护了。 图图 1 安全策略建立的防御范围安全策略建立的防御范围 应给予特别注意的是，Internet 防火墙不仅仅是路由器、堡垒主机、或任何提供网络安全的设备的组 合，它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源。这种安全策 略应包括在出版的安全指南中，告诉用户们他们应有的责任，公司规定的网络访问、服务访问、本地和 远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施，以及雇员培训等。所有有可能受到网 络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统，而没有全面的安全策略，那么防火 墙就形同虚设。 Internet 防火墙的好处防火墙的好处 Internet 防火墙负责管理 Internet 和机构内部网络之间的访问（图 2） 。在没有防火墙时，内部网络上 的每个节点都暴露给 Internet 上的其它主机，极易受到攻击。这就意味着内部网络的安全性要由每一个主 机的坚固程度来决定，并且安全性等同于其中最弱的系统。 图图 2 Internet 防火墙的好处防火墙的好处 集中的网络安全 可作为中心“扼制点” 产生安全报警 监视并记录 Internet 的使用 NAT 的理想位置 WWW 和 FTP 服务器的理想位置 Internet 防火墙允许网络管理员定义一个中心“扼制点”来防止非法用户，如黑客、网络破坏者等进 入内部网络。禁止存在安全脆弱性的服务进出网络，并抗击来自各种路线的攻击。Internet 防火墙能够简 化安全管理，网络安全性是在防火墙系统上得到加固，而不是分布在内部网络的所有主机上。 在防火墙上可以很方便的监视网络的安全性，并产生报警。应该注意的是：对一个内部网络已经连 接到 Internet 上的机构来说，重要的问题并不是网络是否会受到攻击，而是何时会受到攻击。网络管理员 必须审计并记录所有通过防火墙的重要信息。如果网络管理员不能及时响应报警并审查常规记录，防火 墙就形同虚设。在这种情况下，网络管理员永远不会知道防火墙是否受到攻击。 过去的几年里，Internet 经历了地址空间的危机，使得 IP 地址越来越少。这意味着想进入 Internet 的 机构可能申请不到足够的 IP 地址来满足其内部网络上用户的需要。Internet 防火墙可以作为部署 NAT(Network Address Translator，网络地址变换）的逻辑地址。因此防火墙可以用来缓解地址空间短缺的 问题，并消除机构在变换 ISP 时带来的重新编址的麻烦。 Internet 防火墙是审计和记录 Internet 使用量的一个最佳地方。网络管理员可以在此向管理部门提供 Internet 连接的费用情况，查出潜在的带宽瓶颈的位置，并能够根据机构的核算模式提供部门级的记费。 Internet 防火墙也可以成为向客户发布信息的地点。Internet 防火墙作为部署 WWW 服务器和 FTP 服 务器的地点非常理想。还可以对防火墙进行配置，允许 Internet 访问上述服务，而禁止外部对受保护的内 部网络上其它系统的访问。 也许会有人说，部署防火墙会产生单一失效点。但应该强调的是，即使到 Internet 的连接失效，内部 网络仍旧可以工作，只是不能访问 Internet 而已。如果存在多个访问点，每个点都可能受到攻击，网络管 理员必须在每个点设置防火墙并经常监视。 Internet 防火墙的限制防火墙的限制 Internet 防火墙无法防范通过防火墙以外的其它途径的攻击。例如，在一个被保护的网络上有一个没 有限制的拨出存在，内部网络上的用户就可以直接通过 SLIP 或 PPP 连接进入 Internet。聪明的用户可能 会对需要附加认证的代理服务器感到厌烦，因而向 ISP 购买直接的 SLIP 或 PPP 连接，从而试图绕过由精 心构造的防火墙系统提供的安全系统。这就为从后门攻击创造了极大的可能（图 3） 。网络上的用户们必 须了解这种类型的连接对于一个有全面的安全保护系统来说是绝对不允许的。 图图 3 绕过防火墙系统的连接绕过防火墙系统的连接 Internet 防火墙也不能防止来自内部变节者和不经心的用户们带来的威胁。防火墙无法禁止变节者或 公司内部存在的间谍将敏感数据拷贝到软盘或 PCMCIA 卡上，并将其带出公司。防火墙也不能防范这样 的攻击：伪装成超级用户或诈称新雇员，从而劝说没有防范心理的用户公开口令或授予其临时的网络访 问权限。所以必须对雇员们进行教育，让它们了解网络攻击的各种类型，并懂得保护自己的用户口令和 周期性变换口令的必要性。 Internet 防火墙也不能防止传送已感染病毒得软件或文件。这是因为病毒的类型太多，操作系统也有 多种，编码与压缩二进制文件的方法也各不相同。所以不能期望 Internet 防火墙去对每一个文件进行扫描， 查出潜在的病毒。对病毒特别关心的机构应在每个桌面部署防病毒软件，防止病毒从软盘或其它来源进 入网络系统。 最后一点是，防火墙无法防范