工程项目弱电智能化技术建议书.doc

弱电智能化技术建议书弱电智能化技术建议书 2013 年 11 月 目 录 1 1 综合布线系统综合布线系统 5 5 1 1概述 5 1 2设计原则 6 1 3设计说明 6 2 2 计算机网络系统计算机网络系统 7 7 2 1概述 7 2 2设计原则 8 2 3整体设计 9 2 4可靠性设计 11 2 5网络安全设计 11 2 6信息安全设计 12 2 7方案详细说明 16 3 3 无线网络系统无线网络系统 2121 3 1设计原则 21 3 2设计概述 22 4 4 程控交换系统程控交换系统 2323 4 1设计背景及思想 24 4 2项目方案分析 24 5 5 卫星及有线电视卫星及有线电视 3131 6 6 视频监控系统视频监控系统 3232 6 1系统概述 32 6 2建设标准与规范 32 6 3项目需求 33 6 4前端点位要求 35 6 5监控中心要求 37 6 6防雷要求 38 6 7平台软件建设需求 39 7 7 楼宇自控系统楼宇自控系统 4141 7 1 系统功能要求 41 7 2 关键设备功能 41 8 8 背景音乐广播系统背景音乐广播系统 4444 8 1 系统概述 44 8 2 扬声器配置点位设计 45 8 3 广播系统架构及备电 46 9 9 停车场管理系统停车场管理系统 4646 9 1系统一般要求 46 9 2系统功能要求 47 1010 出入口管理系统出入口管理系统 4848 10 1系统概述 48 10 2系统管理 48 1111 电子巡更系统电子巡更系统 4949 11 1系统概述 49 11 2系统功能 49 1212 信息发布系统信息发布系统 5050 1313 无线对讲系统无线对讲系统 5050 13 1系统概述 50 13 2系统功能 50 1414 会议及会议及KTVKTV系统系统 5050 14 1技术功能 50 14 2设计标准 51 14 3依据的标准及规范 51 14 4设计原则 52 14 5功能设计 54 1515 酒店门锁管理系统酒店门锁管理系统 5656 15 1 系统概述 56 15 2 系统构成 57 15 3 系统功能 57 1616 酒店客房控制系统酒店客房控制系统 5959 1717 智能照明控制系统智能照明控制系统 6262 1818 不间断电源系统不间断电源系统 6464 1919 系统集成系统集成 6666 19 1 系统概况 66 19 2 设计原则 66 19 3 工程范围 67 19 4 整体架构 67 19 7 集成接口 68 1 综合布线系统综合布线系统 1 1 概述 为了完成综合大楼智能信息化的任务 需要在建筑物之间及建筑物内建立一套综合计 算机网络系统与楼宇智能化网络系统 综合计算机网络系统能将综合大楼内的各个相互独 立的子系统建立起有机的联系 把原来相对独立的资源 功能等集合到一个相互关联 协 调和统一的完整系统之中 设备自控系统以及多媒体音像系统集成为一体化的综合计算机 管理系统 楼宇智能化网络系统为整栋大楼的智能系统服务 智能系统包换 门禁系统 闭路监控系统 防盗报警系统 停车场管理系统 火灾自动报警系统 楼宇自动控制系统 等 为了能使这两套网络稳定 安全 高效的动作 就需要有一套完整的综合布线系统为 这两套网络服务 1 2 设计原则 实用性 实施后的计算机网络布线系统 应能够在现在和将来适应技术的发展 扩充性 布线系统是可扩充的 将来有更大的发展时 很容易将设备进行扩展 灵活性 信息点能方便地与多种类型设备 如电话 计算机 检测器件以及传真等 进行连接 可靠性 在网络主干线的传输介质上提供容错功能 保证系统的可靠运行 模块化 布线系统中 除去固定于建筑内的缆线外 其余所有的接插件都应是模块 化的标准件 以便管理和使用 标准化 方案设计及技术选择均符合国际通用标准 不受任何产品提供商限制 1 3 设计说明 本项目综合布线系统包含 语音系统和数据网络传输系统 根据大楼的用途分为以下六套专网 1 演员公寓客户专网 2 演员公寓办公网 3 艺术家工作室办公网 4 商业中心办公网 5 监控专网 6 无线覆盖网 整体综合布线系统有如下设计要点 1 数据与语音水平布线均采用六类非屏蔽 UTP 便于信息功能的互换 2 艺术家工作室 1 2 号楼承租楼层采用 CP 集中箱 CP 箱至区域终端由承租方入驻 后自行接入 3 艺术家工作室 1 2 号楼承租楼层及演员公寓大堂配置无线覆盖网 3 商业中心采用在每分配线间预留 12 芯多模光缆和大对数电缆方式 分配线间至区域终 端由承租方入驻后物业配合接入 4 语音主干采用三类大对数电缆 5 数据传输系统主干 演员公寓选用室内多模 6 芯光缆 艺术家工作室及商业中心采 用室内多模 12 芯光缆 其中演员公寓与商业中心采用千兆主干 艺术家工作室采用万兆主 干 6 商业中心 1 层 3 个分配线间 2 层 4 个分配线间 3 层 1 个分配线间 7 艺术家工作室 1 号楼二层以上每层 1 个分配线间 艺术家工作室 2 号楼每层 3 个分 配线间 8 演员公寓两侧由于信息传输距离较短 每 3 层共用一个分配线间 9 地下 1 层 演员公寓 商业中心及艺术家工作室均设置 1 个总配线间 总配线间汇 聚至电信模块局机房 数据传输线缆选用室内多模万兆 24 芯光缆 10 地下 1 层设置弱电进线间 接入室外园区弱电线缆 设置电信运营商机房 接入 电信运营商光缆 11 6 套网之间采用物理隔离的方式 即配线架完全分开 平台数据汇联在地下一层 实施 语音部分则单独配置 1 3 1 光缆传输主干子系统光缆传输主干子系统 综合办公大楼主机房 FD 连接到各建筑物楼层配线间 FD 采用万兆光缆 支持距 离达到 300 米 所有主干均采用低烟无卤阻燃 LSZH 光缆 光纤配线架采用机架式配线 架 2U 的空间可容纳 12 48 芯光纤 耦合器与机架可折分 机架可兼容 SC FC LC 或各 厂商自主研发的耦合器 并在机架前应配备一个有机玻璃前盖 在保护光纤跳线的同时 便于发现里面跳线的完整性 并具有耦合器填空条 保证尘不会进入配线架内 污染到未 使用的接口 室内语音主干采用三类大对数非屏蔽 UTP 双绞线铜缆 楼层配线间通过三类 UTP 双绞 线与办公楼地下一层的主机房相连通 并为整栋楼的语音通讯提供传输通道 语音点配置 铜缆的线对数须具有 30 的预留 除必须符合对所有产品的要求的标准外 还必须符合 EN 50167 EN50168 及 EIA TIA 568 B 对三类线缆的其他技术要求 以满足中速网络应用的需 求 1 3 2 管理间子系统管理间子系统 楼层配线间中数据水平线端使用 24 口角形模块式配线架 语音水平线采用卡接式 110 配线架 光纤接续箱必须采用机架式的 光纤采用熔接方式 要求采用 LC 头 每根光缆所 有纤芯都要做好熔接 所有的配线架需要配置一一对应的理线架 并应预留 5 10 的余量 以供今后扩展 楼层配线架的分布在保证系统连接可靠 设备管理 维护便利的前提下 还应考虑系 统的经济性 要求楼层配线架维护方便 对任何一根线缆的维护均不得影响其它线缆的正 常工作 1 3 3 设备间子系统设备间子系统 主配线间配线架采用模块化方式管理主干铜缆 语音主配线架要求采用 110 型类配线 架或密集型通讯模块配线架管理 适配条采用 4 对或 25 对连接条 110 配线架为 19 英寸 机架安装 并配有足够的双芯快接式语音跳线及相应的跳线过线槽 光纤采用光纤机柜式配线架 并配有足够的光纤耦合器 及制造商原厂光纤跳线 此外 应提交设备间的规划建议及设备安装相关图纸 1 3 4 数据 语音水平子系统数据 语音水平子系统 水平布线是整个布线系统的主要部分 它将干线子系统线路延伸到用户工作区 根据 TIA EIA 568 B 的水平线独立应用原则 水平子系统采用符合 EIA TIA568 B 等国际标准拟定的六类 UTP 铜缆指标值 铜缆信息点为全六类配置 具有 较高的性能价格比 既考虑到经济性又兼顾到将来的网络发展需求 每个信息点能够灵活 应用 可随时转换接插电话 微机或数据终端 并可随着用户的进一步应用需求 支持相 应同一厂家适配器或转换设备 数据线缆需满足智能卡 视频保安监控 CCTV 宽带视 频信号的有线电视 CATV 以及多媒体会议电视等系统的传输应用 除必须符合对所有 产品要求的标准外 必须符合 EMC 标准的电磁兼容性要求 1 3 5 工作区子系统工作区子系统 采用六类信息插座 CAT6 能够满足高速数据及语音信号的传输 传输参数可测试到 250MHz 信息模块应采用 45 度 斜角 安装方式 信息模块采用不同的颜色用以区分语音 信息点及数据信息点 2 计算机网络系统计算机网络系统 2 1 概述 信息化是我国产业优化升级和实现工业化 现代化的关键环节 积极运用 现代化科技手段 特别是先进信息技术 加快企业信息化进程 建立高效的电 子平台 是增加企业竞争力和信息化发展的迫切要求 本次网络建设的总体目 标是 一 建立高速 高效的网络平台 满足大数据量传输和快速业务实现的需 求 二 建立高安全的网络平台 保证业务数据和管理系统等多层次的安全保 障 三 建立易维护的网络管理平台 实现对设备和业务的全方位管理 四 建立易扩展的网络平台 为综合网络系统提供持续发展保障 五 建立面向多业务的网络平台 可方便实现目前和今后多业务的方便部 署 六 建立规范化 标准化的网络平台 实现不同厂家设备的无缝互联 2 2 设计原则 进行酒店楼网络设计时 系统总体设计应遵循原则 实用性原则 网络建设将以满足现行需求为基础 在节省投资的同时 充 分考虑发展的需要来确定系统规模 尤其考虑到今后网络的扩展 安全性原则 网络平台服务于楼内酒店需要 对安全级别要求很高 系统 应能提供网络层的安全手段配合整体系统的安全建设 防止系统外部成员的非 法侵入以及操作人员的越级操作 保护网络建设者的合法利益 系统应具有对 主要环节的监视和控制功能 严防非法用户的越权操作 做好系统内权限的分 级管理 并且应使网络通信系统具有较强的容错和故障恢复能力 高可用性原则 具有较高的可靠性和可用性前提下 保证业务系统的正常 运行 网络设备及设计具备在线故障恢复能力 关键设备 线路能做到实时备 份和自动故障切换 网络系统具有强大的容错功能以确保各种应用的正常运行 在网络设计上采用网络级备份或线路及设备的冗余配置 没有单故障点 线路 之间相关系数最小 规范性原则 系统设计所采用的技术和设备应符合国际标准 国家标准和 业界标准 为系统的扩展升级 与其他系统的互联提供良好的基础 开放性和标准化原则 在设计时 要求提供开放性好 标准化程度高的网 络设备和网络协议 设备的各种接口满足开放和标准化原则 可扩充和扩展化原则 所有系统设备不但满足当前需要 并在扩充模块后 满足可预见将来需求 如带宽和设备的扩展 应用的扩展和酒店地点的扩展等 保证建设完成后的系统在向新的技术升级时 能保护现有的投资 在设计上应 注重兼容性 连续性 依据标准化和模块化的设计思想 不仅在体系结构上保持 很大的开放性 而且同时能够提供多种灵活可变的接口 使系统今后的扩展非 常方便 保护系统的投资 可管理性原则 整个系统的设备应易于管理 易于维护 易学 易用 便 于进行系统配置 在设备 安全性 数据流量 性能等方面很好的监视和控制 远程管理和故障诊断 2 3 整体设计 网络整体设计为三层架构 核心层 汇聚层 接入层 各个层次设备互联 均采用千兆光纤互联 接入层通过千兆网线接口提供千兆接入功能 并通过无 线AP设备提供无线网络接入服务 每个楼层部署1台POE接入交换机 为AP设 备进行以太网供电 免去部署电源的繁琐工作 并且方便维护 网络出口部分作为网络的核心区域非常重要 核心网络一旦出现问题 可 能会影响整网的业务 所以为了保证网络的高可靠性 核心设备和汇聚设备均 采用双机热备方式 设备之间采用冗余链路互联 消除单点故障 保障网络的 不间断运行 在核心交换机上行链路中 部署上网行为管理设备 可方便管理员对接入 用户进行灵活查看和灵活控制 在网络出口部署防火墙和VPN设备 方便其他分支机构以及个人远程接入 公司内网 在网络核心交换机侧挂网管服务器 用华为eSight网管软件对网络设备进行 专业的管理 方便了管理员的工作量 也提高了网络维护人员的工作效率 增 强网络的质量 本方案部署了eSight策略管理组件 可方便对接入用户进行portal认证 可 配合TSM等相关系统共同实现BYOD解决方案 2 3 1 有线网络整体设计有线网络整体设计 核心交换核心交换 汇聚层交换汇聚层交换 接入层交换接入层交换 网络的高速交换主干 整个 网络的关键 核心层应该具 有如下几个特性 可靠性 高效性 冗余性 容错性 可管理性 适应性 低延时 性等 是网络接入层和核心层 的 中介 就是在工 作站接入核心层前先做 汇聚 以减轻核心层设 备的负荷 向本地网段提供工作站 接入 减少同一网段的 工作站数量 能够向工 作组提供高速带宽 两台核心交换设备 单台或两台交换机 固定端口配置交换机 核心交换机关键部件采用冗 余配置 电源 控制引擎等 关键部件冗余 电源 引擎等 可能的情况下配置电源 冗余 主干采用 10GB 光纤模块 采用 10GB 光纤接口 用 于上联和下联 配置双路 10GB 上联光纤 接口 配置 10 100 100M 以太网电 接口模块 通常不需要配置电口模 块 例如 Cisco35XX 系列 29XX 系列交换机 核心设备通过双链路连接至 核心交换机 例如 Cisco 6500 Cisco4500 系列交 换机 例如 Cisco 6500 Cisco4500 系列交换机 交换机电接口应支持 POE 功 能 RJ45 其他设备其他设备 网络中应配置相应的安全设备 如路由器 审计网关 防火墙 VPN IDS 防病毒及 应用服务器等 2 3 2 网络整体设计图 网络整体设计图 2 3 3 网络拓扑图网络拓扑图 2 3 4 核心层设计核心层设计 核心层采用双核心架构 规划为两台核心交换机 两台核心设备通过两条 千兆光纤互联 互为备份 由此可达到设备级高可靠性 核心交换机配置双引擎 双电源冗余结构 可有效避免因模块故障所造成 的业务中断 核心交换机配置千兆光接口 为汇聚设备以及无线AC设备提供光纤接入 配置千兆电接口 为服务器 网管软件等设备提供网络接入 本方案核心交换机选型为华为S7706 配置双主控板 双交流电源基础模块 配置48端口电接口板和24端口光接口板 为汇聚层交换机 无线控制器AC以及 服务器等设备提供接入 2 3 5 汇聚层设计汇聚层设计 汇聚层设备采用华为全光口交换机 为接入交换机提供千兆光纤接入 汇聚层交换机上行为千兆光接口 双链路上联核心交换机 为网络提供链 路级高可靠性 避免单链路故障对业务的影响 2 3 6 接入层设计接入层设计 接入层交换机采用上行千兆光接口 下行千兆电接口设备 通过光接口单 链路上联汇聚层设备 并为终端提供千兆接入 结合业界主流设备选型经验和 用户的需求考虑 建议汇聚层 接入层设备均可考虑采用华为S5700系列交换机 S5700支持BFD链路快速检测功能 能为OSPF ISIS VRRP PIM等协议 提供毫秒级检测机制 提高网络可靠性 S5700遵循IEEE 802 3ah和802 1ag提供 点到点以太网故障管理功能 可以用于检测用户侧最后一公里以太网直连链路 上的故障 S5700支持自动配置 即插即用 USB开局 自动批量远程升级等功能 便 于部署升级和业务发放 简化后续的管理和维护性能 从而大大降低了维护成 本 S5700支持SNMP V1 V2 V3 CLI命令行 Web网管 TELNET等多样化的 管理和维护方式 设备管理更加灵活 支持 NTP SSHv2 0 TACACS RMON 多日志主机 基于端口的流量统计 支 持NQA网络质量分析 有利于进一步作好网络规划和改造 2 3 7 交换式网络架构交换式网络架构 网络采用交换式设计 可以按照每业务区域一个虚拟局域网 在核心设备 上划分VLAN 局域网内交换机均运行GVRP协议 可以完成VLAN注册工作 在核心节点对局域网内的VLAN进行统一管理 可以按照每楼层来划分VLAN 也可以按照每楼层用户类别划分VLAN 按照用户需要可以对VLAN的划分进行 灵活的控制 划分VLAN可以减小局域网的广播域 增加带宽的利用率 同时满足终端 用户与外界的通信 华为设备支持MUX VLAN 可支持主VLAN与从VLAN之间 不同从 VLAN之间的互通 同时可以控制隔离型从VLAN之间的数据隔离 此时可以灵 活控制各个逻辑网络之间的数据通信 和不同类型用户的通信 华为设备支持sup VLAN 此协议可以支持在sub VLAN上不配置网关IP地 址 只在sup VLAN上配置网关地址 可在一定程度上为局域网的IP地址进行更 合理节省 华为设备支持vlan间数据的ACL控制 可以更灵活的控制不同VLAN间的数 据交换 采用交换式网络设计 底层交换机的数据配置相对简单 在核心节点对局 域网集中管理 从而当楼层设备和网络出现故障 不至于对局域网以及网络核 心部分造成大的影响 对网络也增加了可靠性能 2 4 可靠性设计 核心交换机采用双引擎 双电源模块 确保设备避免单硬件故障 环形架构核心部署保证提供网络高可靠性 保证业务完整运行 消除单点 网络故障 核心交换机支持运行中软件升级ISSU ISSU可以在设备软件升级过程中 减少系统业务中断时间 显著地提高设备的可靠性 真正使企业网络具备 全 天候 提供业务能力 实现设备软件升级流量 零 割接 应用不中断 2 5 网络安全设计 在网络出口部署了防火墙设备 有效抵御来自外网的非法数据访问和各种 攻击 考虑到外网的安全问题的同时也考虑到内网安全问题 选用的核心交换 机 无线控制器AC设备均支持802 1x认证 Portal认证 支持RADIUS和 HWTACACS用户登录认证 支持防范DoS攻击 TCP的SYN Flood攻击 UDP Flood攻击 广播风暴攻击 大流量攻击 支持Firewall板卡功能 支持IPSec功 能 保证网络安全运行 内网安全的主要问题在于准入控制 和对内网用户的访问控制 在准入控 制方面 我们可采用网络设备和Radius服务器联动的方式 限制非法用户接入 网络 对每个用户进行端口认证 并根据不同用户和用户组来设置对应访问策 略 以此实现不同用户和用户组的权限控制 对内网用户的访问控制 我们可 在交换机以及其他网络设备上通过ACL方式限制不同vlan之间的灵活访问控制 此外 在以上前提下 我们还可以在接入层交换机上做绑定 华为交换机 支持端口 IP地址 MAC地址的双重绑定 保证内网的接入安全 2 6 信息安全设计 2 6 1 业务系统分析业务系统分析 业务系统包括酒店订房系统 办公 OA 等 按照业务范围不同 将大楼整 体分为三大区域 艺术家协会 演员酒店区 商业区 这三个区域都有访问互 联网的需求 且艺术家协会 商业区的办公人员需要访问各自的业务系统 所 以业务系统作为办公的核心重要数据 应对其重点防护 以免数据丢失 造成 不必要的损失 2 6 2 安全风险分析安全风险分析 两岸文化交流中心的整个系统现状主要可以按照两个层面来看 一个是网 络层面现状 一个是系统层面现状 而所有运行于网络系统平台之上的各种应 用系统的载体是网络中各个终端和服务器群 这些终端和服务器群作为基础计 算设施实际上构成了 计算设施 层面 同时贯穿于整个系统的还有一个重要 的系统 就是管理系统 他对网络层面 计算设施层面和应用层面都起到直接 的监控和管理作用 因此管理系统也可以独立的看作另一个层面 管理层面 所以 总体来看 我们在对两岸文化交流中心网络进行整体安全风险及需求分 析时 基本上可以按照以下模型来进行综合分析 2 6 3 网络边界安全风险网络边界安全风险 目前两岸文化交流中心网络边界可分为外部和内部边界 2 大类 分述如下 外部边界外部边界 主要指两岸文化交流中心网络平台的所有外部网络边界 包括 专网外网边界 专网外网边界 该边界位于中心网络与 XX 专网之间 专网边界两侧都 是内部用户 网络环境 应用环境 用户身份及规章制度都很接近 所面临 的网络安全风险及相应的需求也基本类似 主要需要考虑防止内部的非法访 问以及病毒 蠕虫等恶性安全事件的快速蔓延 互联网边界 互联网边界 互联网接入主要用于提供对外基于互联网的 WEB 业务 各接入单位通过互联网接入等 因此在同一个边界具备两种属性 外网边界 直接面临社会各界用户 使用环境复杂面临的安全风险极大 各类复合网络 攻击手段以及针对网站的流量攻击均是常见的安全威胁 应予以严格的安全 防护手段在此边界进行设防 维护整个数据中心不被外部侵入 内部安全域边界内部安全域边界 在数据中心网络中 可以划分处多个网络安全域 包括多个服务器区 办 公区 多个接入区 维护管理区等等 这些安全域之间存在着内部边界 为能 更加有针对性的对各安全域进行防护 在不同的边界应采取不同的边界防护措 施 2 6 4 计算区域安全风险计算区域安全风险 两岸文化交流中心网络作为一个大的计算区域 内部运行着大量的计算设 施 这其中包括小型机服务器 高端 PC 服务器 低端 PC 服务器以及大量的 终端设备 这些计算设施尤其是服务器群作为应用系统的主要载体 其安全性 至关重要 同时 服务器群非常容易成为黑客和蠕虫病毒攻击的主要目标 这 也就意味着服务器群的安全风险等级较高 而终端设备往往部署较为分散 难 于统一管理 操作人员的计算机水平也参差不齐 因此终端设备的安全管理成 为网络管理人员最为棘手的安全问题 总体来说 计算区域内的计算设施面临的主要安全风险有以下几种 终端行为的管理 终端设备部署较为分散 难于统一管理 操作人员的计算机水平也参差不 齐 因此终端设备的安全管理成为网络管理人员最为棘手的安全问题 终端泄 密 非授权访问 内部攻击等都都对数据中心安全造成威胁 各类终端和服务 器系统的补丁管理同样是一个重要问题 不及时的给系统打漏洞补丁会造成蠕 虫以及不怀好意者的入侵 终端防病毒 病毒是对计算环境造成危害最大的隐患 当前病毒威胁非常严峻 特别是 蠕虫病毒的爆发 会立刻向其他子网迅速蔓延 这样会大量占据正常业务十分 有限的带宽 造成网络性能严重下降甚至网络通信中断 严重影响正常业务开 展 因此必须采取有效手段进行查杀 阻止病毒的蔓延危害整个数据中心 网络入侵行为检测 攻击行为不仅来自于大家公认的互联网等外部网络 在内部也要防止攻击 行为 通过部署安全措施 要实现主动阻断针对信息系统的各种攻击 如病毒 木马 间谍软件 可疑代码 端口扫描 DoS DDoS 等 能防御针对操作系统漏 洞的攻击 能够实现应用层的安全防护 保护核心信息资产的免受攻击危害 安全加固配置 无论是审计 入侵检测或是防病毒 某种意义上来说都是被动防御 大都 不具备主动防御的能力 如在危险来临之前就能主动加固系统 进行全面的安 全配置 增强系统本身的抵御能力 则在实际运行中发挥十分重要的作用 2 6 5 应用系统安全风险应用系统安全风险 两岸文化交流中心网络内运行着多种应用系统 这其中包括 WINDOWS UNIX AIX LINUX 等多种操作系统和多种业务应用系统 这些 应用系统真正从主体内容构上成了两岸文化交流中心的信息化平台 为两岸文 化交流中心提供了高效率的信息化处理平台 一旦这些应用系统受到攻击或破 坏 会立即直接影响到两岸文化交流中心的正常办公和各种业务 需要重点防 护 这些应用系统所面临的主要安全风险包括以下几个方面 病毒对应用系统的威胁 计算机病毒可以直接破坏操作系统和数据文件 使得应用系统无法正常运行 近年来 频繁爆发的蠕虫病毒更是令人防不胜防 它通过大量消耗网络资源导致网络瘫痪或者服务器宕机 从而导致应用系统也 无法正常运行 应用系统自身的漏洞 应用系统自身由于设计或程序上的缺陷 可能存在 各种漏洞 例如 WEB 应用服务的安全漏洞 可能导致 WEB 服务器容易被黑客 攻击 篡改网页 使得 WEB 服务器无法提供正常 WEB 应用访问服务 应用系统的安全策略 重要的应用系统尤其是数据库是否配置了适当的安 全策略来确保应用系统的安全 例如数据库的用户密码管理 数据审计策略等 人员误操作或违规操作对应用系统的威胁 操作人员可能对应用系统进行 不当操作而威胁到应用系统 例如越权访问应用系统 违规占用网络资源影响 应用系统等 2 6 6 管理系统安全风险管理系统安全风险 目前 两岸文化交流中心拥有多套网络管理系统 对各节点的核心设备和 汇聚设备进行统一的性能监控和故障管理 可以及时发现并上报网络故障 并 进行记录 但是 伴随着本次安全建设项目 两岸文化交流中心网络还需要针对安全 设备及安全风险 进行综合监管响应 特别是针对大量部署的防火墙 入侵检 测等设备 需要通过集中的安全管理平台 实施统一的设备监控 日志分析 报警响应 完整的安全技术体系的搭建需要众多的安全设备和安全系统 型号和品牌 不一 物理部署位置分散 技术人员能力水平差异大 有限的管理人员难以对 安全设备进行集中管理 及时快捷的部署安全策略 全面掌握设备运行和网络 运行的风险状况 如何用好安全设备和安全系统支撑业务安全稳定运行成了一 个棘手的问题 所以 需要建立安全管理中心 实施统一的设备监控 日志分析 报警响 应 集中运行监控集中运行监控 能够实现对防火墙 VPN IDS IPS 防病毒网关 漏洞扫描 UTM 网 闸 网络设备 服务器 主机等设备的进行全面的监控管理 生成拓扑地图 实 时掌握各设备的部署情况 运行状况 设备的接入 断开变动 当网络资源和设备受到攻击 或运行异常时 会以告警等信息方式 通知 管理员 统一风险管理统一风险管理 实现集中采集防火墙 VPN IDS IPS 防病毒网关 漏洞扫描 UTM 网闸 网络设备 服务器 主机等设备的安全日志和事件 并进行统一的存储 备份 管理和统计分析 能够协助管理员实时监测网络中的攻击行为和安全风 险 以及时调整安全设备策略 积极应对安全威胁 从而实现网络的整体安全 总体来看 两岸文化交流中心网络主要面临的安全风险主要涵盖四个层面 网络边界层面 计算区域层面 应用系统层面和管理系统层面 网络边界层面 风险威胁到网络基础平台 计算区域层面风险威胁到计算基础设施 主机和终 端 应用系统层面风险威胁到各种应用系统 管理系统层面风险则贯穿于以 上所有层面 威胁到全网的安全风险管理 2 7 方案详细说明 2 7 1 安全区域划分安全区域划分 两岸文化交流中心的安全建设核心内容是将网络进行全方位的安全防护 不是对整个系统进行同一等级的保护 而是针对系统内部的不同业务区域进行 不同等级的保护 因此 安全域划分是进行信息安全保护的首要步骤 需要通 过合理的划分网络安全域 针对各自的特点而采取不同的技术及管理手段 从 而构建一整套有针对性的安防体系 安全域是具有相同或相似安全要求和策略的 IT 要素的集合 是同一系统内 根据信息的性质 使用主体 安全目标和策略等元素的不同来划分的不同逻辑 子网或网络 每一个逻辑区域有相同的安全保护需求 具有相同的安全访问控 制和边界控制策略 区域间具有相互信任关系 而且相同的网络安全域共享同 样的安全策略 2 7 2 配置方案配置方案 为了对抗全新的混合威胁 安全技术也在不断进化 包括深度包检测防火 墙 应用网关防火墙 内容过滤 反垃圾邮件 SSL VPN 基于网络的防病毒 和入侵防御系统 IPS 等新技术不断被应用 采用 UTM 设备来构成本方案的 核心产品既有效节约了建设资金 又达到了更好的防护效果 可根据实际需要 开启相应的功能模块 采用网御 UTM 部署在安全域边界是一个一举两得的解决 方案 网御 UTM 是一个集防火墙 防病毒 入侵检测 阻断 VPN 虚拟专用网 和内容过滤 反垃圾邮件等多项功能于一身的综合安全网关 包括内容处理器 和 VSP 操作系统 突破了芯片设计 网络通信 安全防御及内容分析等诸多难 点 超越了传统防火墙仅能在网络层进行粗粒度的包过滤的安全层次 能够从 网络层到应用层提供全方位的安全保护 通过在 UTM 防火墙上配置防火墙 病毒防护 入侵检测 内容过滤 反 垃圾邮件等安全设置 便可对进出网络的流量互访进行黑客攻击 病毒 入侵 不良内容和垃圾邮件等的全方位过滤 防火墙防火墙 网御 UTM 基于状态检测包过滤技术 实现完整防火墙功能 可以针对 IP 地 址 服务 端口等参数决定是否允许数据包通过 在第三层 网络层 和第四 层 传输层 进行数据过滤 网御 UTM 预置了常用网络服务的端口信息 如 HTTP 使用的 TCP80 端口 FTP 使用的 TCP21 20 端口等 也可以自定义任意的 TCP UDP ICMP IP 服务和端 口 同样可以将不同的服务和端口加入组 在策略中统一调用 除了传统防火墙都具备的根据 IP 地址 端口进行过滤的功能 网御 UTM 也 可以针对不同的时间段制定不同的安全策略 例如工作时间 如周一至周五每 天 9 00 18 00 不允许内网用户使用 QQ MSN 等工具聊天 而其它时间则允许 使用 便可通过网御 UTM 基于时间的策略自动实现 网御 UTM 还可以实现方便的用户身份认证 在用户试图访问网络资源时自 动弹出认证对话框 输入正确的用户名和密码才能继续访问 没有相关用户权 限的访问将被网御 UTM 阻止 网御 UTM 也可以为不同用户赋予不同级别的访问 权限 如只有网络管理员才可以通过 telnet 或终端服务等方式远程登录到服务 器进行管理操作 其他用户只能通过 Web 方式访问管理员发布出来的信息 网御 UTM 支持多种用户身份认证方式 既可以在网御 UTM 建立本地用户帐 号 也可以直接调用其它用户认证服务器上的用户信息 实现全网统一身份验 证策略 网御 UTM 支持 Radius LDAP SecurID Windows 域等多种用户身份认 证 对于具有同样权限的用户 可以将他们加入用户组中 在策略里统一调用 通过对 IP 地址 端口 用户 时间等参数的灵活组合 便可制定出各种适 合实际网络安全需求的防火墙策略来 使得用户的安全策略可以得到切实的执 行 网御 UTM 的防火墙功能是基于状态检测机制的 它会跟踪会话从建立 维 持到中止的全过程 已建合法连接的后续数据通信可以直接放行 极大的简化 了配置 提供了效率 所有的会话都会维持在网御 UTM 的会话表中 还可以供 管理员分析和排错使用 网御 UTM 能够对网络流量进行精确的控制 对一个或一组 IP 地址 端口 应用协议既可以通过设置保留带宽保证应用的最小带宽 又可以设置最大带宽 防止对网络资源的过度占用 还可以通过设置网络应用的优先级将网络带宽在 不同应用之间进行合理分配 并通过 DSCP 值对流量进行控制 使网络效率达到 最优化 虚拟专用网虚拟专用网 网御 UTM 的 VPN 功能支持 PPTP L2TP IPSec 和 SSL 四种 VPN 协议 提供 了前所未有的方便和灵活的选择 对远程移动用户或企业的出差用户来说 既 可以使用 Windows98 2000 XP 2003 等系统自带的 PPTP L2TP 拨号软件 也可 以使用网御 VPN 客户端软件和企业建立 VPN 的连接 还可以直接使用 IE 浏览器 通过 Web 方式创建基于 SSL 的 VPN 隧道 应用 PPTP L2TP SSL 的好处是方便 使用 不需要附加的软件 而用 IPSec 客户端软件的好处是高度的安全性保证 可以采用动态的密钥保证数据的安全 在企业本地网络和远程网络之间可以采 用 IPSec 协议来实现 VPN 的连接和数据的高度安全控制 配置简单灵活 由于充分利用了专用的 ASIC 芯片技术 处理复杂的 VPN 加密和认证过程 极大加快了 VPN 通道的建立速度和数据加 解密的处理时间 达到了极高的 VPN 处理速度 内容处理器以独特的设计方式 解决了防火墙设备处理高速加密 数据流的瓶颈问题 并通过简单易用的 WEB 管理提供给用户人性化的管理界面 高性能的 VPN 加密处理 DES 3DES AES MD5 SHA1 使企业可以充分利用 VPN 技术构建自己的 Intranet 网络 无须考虑设备处理速度的影响 256 位的 AES 算法更提供了业界最高级别的安全防御体系 使企业的内部数据可以无忧 地在公网上传输 以达到企业内部网络安全扩展的目的 而今 迅速发展的广 域网技术使公网的带宽成倍的增长 同时又为企业 VPN 网络提供了广阔的发展 空间 2 7 3 上网行为管理设计上网行为管理设计 管理用户上网行为 提高工作效率管理用户上网行为 提高工作效率 网御上网行为管理系统可对工作时间进行网络聊天 网络游戏 网上炒股 等行为进行监控和阻断 提高工作效率 审计网络敏感信息 避免机密外泄审计网络敏感信息 避免机密外泄 网御上网行为管理系统可对邮件 网络聊天 BBS 发帖等内容中的关键字 进行审计 过滤 防止机密信息外泄 合理分配网络带宽 防止资源滥用合理分配网络带宽 防止资源滥用 网御上网行为管理系统可通过带宽限制功能对网络资源滥用行为进行管控 同时也可通过带宽保障功能对 ERP 系统 视频会议 邮件系统等关键业务和正 常业务进行带宽保障 阻止非法言论散布 规避法律风险阻止非法言论散布 规避法律风险 针对非法言论的散布行为 网御上网行为管理系统可对 BBS 发帖 博客内 容以及其他上网行为中发布内容的敏感关键字进行阻断并报警 第一时间通知 相关负责人 同时所有的外发信息都会一一记录 保存在系统的本地磁盘上 为管理者在必要时提供司法依据 过滤违法不良信息 保障网络安全过滤违法不良信息 保障网络安全 网御上网行为管理系统可有效封堵各种与工作无关的网站访问行为 包括 色情网站 暴力网站 钓鱼网站 挂马网站等 以此保障网络安全 多种网络统计报表 方便行政管理多种网络统计报表 方便行政管理 网御上网行为管理系统内置日志查询功能及报表统计功能 对网络应用排 名及流量情况进行细粒度的查询与分析 自动生成多种网络应用统计报表 为 网络管理者优化网络管理环境提供有效的依据 2 7 4 方案设计方案设计 网御上网行为管理系统工作在桥接模式时 无需改变用户的网络拓扑结构 桥接模式下设备不具备 NAT 功能 可对网络应用进行控制 对流量进行管理 对内容进行过滤和审计等 2 7 5 安全管理平台设计安全管理平台设计 建议将安全设备管理系统部署在两岸文化交流中心局域网内 对全网的安 全设备 网络设备 重要服务器等系统进行统一的安全管理 最好能够通过与 安全审计系统协同工作 通过两者之间的安全关联能力 实现管理与审计的协 同工作 达到更好的安全控制和管理效果 在两岸文化交流中心网络中存在着多台主机以及安全设备 为了对这些主 机的安全问题进行集中有效的安全管理以及对安全设备进行统一的管理 建议 在两岸文化交流中心网络中使用专用的服务器来部署安全管理平台 来对两岸 文化交流中心网络进行整体的安全管理 在安全管理平台部署完成后 可以实现以下安全功能 1 实现对两岸文化交流中心网络中的防火墙 入侵检测设备 网闸 UTM 的集中监控 集中配置 统一安全策略管理 统一维护 2 通过集中收集 格式归一化和关联存储等功能来管理防火墙 入侵检测 UTM 设备的安全信息 安全事件和各种日志 并可获得完善的安全分析报告 对两岸文化交流中心网络的安全状况有一个全面清晰的了解 3 通过安全管理平台的安全事件集中采集和关联功能以及对安全设备的统 一安全策略管理功能 防火墙和入侵检测设备可以通过安全管理平台进行深入 联动 当出现安全问题后能及时有效地采取措施 迅速定位 隔离和排除危害 4 可以对两岸文化交流中心网络中的服务器和客户机进行集中有效的安全 监控 一方面防火墙可以利用其自身的异常主机定位功能来发现感染到蠕虫病 毒的服务器和客户机 并对其发起的连接进行管理和限制 同时会将信息传递 给安全管理平台 由安全管理平台来对服务器和客户机进行统一的安全事件管 理 另一方面 由于防火墙和入侵检测设备的日志和安全事件信息反映着整个 网络的安全情况 安全管理平台将这些信息集中收集进行关联分析 从而可以 了解整个网络中的安全状况 可以从整体上对服务器和客户机的安全问题进行 集中的管理 从而保障整个两岸文化交流中心网络的正常运行 3 无线网络系统无线网络系统 3 1 设计原则 无线网络建设要纳入信息化建设总体规划 覆盖各个楼层酒店区域等主要 场所 实用性 遵循面向应用 注重实效 急用先上 逐步完善的原则 充分保 护已有投资 不设计成华而不实的无线网络 也不设计成利用率低下的网络 我们以实用性的原则要求为依据 要求建设成具有高的性价比的无线局域网络 先进性 采用先进成熟的网络概念 技术 方法与设备 反映当今先进水 平 又给未来的发展留有余地 充分采用目前国际 国内流行和成熟的技术 保证网络能适应技术的快速发展 可靠性 系统必须可靠运行 主要的 关键的设备 线路应有冗余 一旦 系统某些部分出现故障 应能很快恢复工作 并且不能造成任何损失 开放性 选择的产品应具有好的互操作性和可移植性 并符合相关的国际 标准和工业标准 无论发生任何变化 均能够最大可能性的开放标准 可扩充性 系统是一个逐步发展的应用环境 在系统结构 产品系统 系 统容量与处理能力等方面必须具有升级换代的可能 这种扩充不仅能充分保护 原有资源 而且具有较高的性能价格比 可维护性 系统具有良好的网络管理 网络监控 故障分析和处理能力 使系统具有极高的可维护性 安全性 必须具有高度的保密机制 灵活方便的权限设定和控制机制 以 使系统具有多种手段来防备各种形式的非法侵入和机密信息的泄露 3 2 设计概述 本方案中 考虑到大楼无线网络接入需求 为每个楼层部署无线AP设备 为楼层提供无线网络接入 无线AP设备采用AC 瘦AP组网方式 方便AP设备 集中管理 无线接入终端的集中控制 当网络环境存在多个 AP 且它们的微单元互相有一定范围的重合时 无线用户可以在整个 WLAN覆盖区内移动 无线网卡能够自动发现附近信号 强度最大的AP 并通过这个 AP收发数据 保持不间断的网络连接 这就称 为无线漫游 华为AP产品支持支持无线终端跨域AP进行L2漫游 支持无线终端跨越IP子 网无线进行L3漫游 跨IP网段移动 可保持无线终端原有IP地址 认证与加密 方式等不变 无需重新获取 公司的WLAN网络可能有不同权限控制的需求 可将公司的WLAN网络设 置成多个SSID域 针对不同的SSID域设置不同的权限 如一个SSID域给普通 员工用 只能访问公司内部网络 另外一个SSID域给高级经理使用 可以访 问公司内部网络和外部网络 还可通过划分成多个SSID域 设置不同的带宽及 组播等权限 进行差异化使用 WLAN网络安全方案中首先应该考虑到设备级安全 包括设备的物理环境 安全和主机安全 网络设备AP应具备设备防盗 设备防毁 防止电磁信息泄漏 抗电磁干扰 电源保护 受灾防护 区域防护等特性 WLAN网络设备必须具有以下安全设 计 包括室外型AP应该具有防水 防雷 防火和防盗的特性 AC应该放置在 局端 符合NEBS三级标准的要求 网络设备AP和AC具备用户管理 安全日志 数据存储备份等技术能力 除了以上功能以外 华为公司根据WLAN网络的特点通过以下手段来保证 设备的安全可靠性 1 AP身份认证 采用AC无线控制器 FIT AP组网时 都需要预先在AC上设置AP序列号 当这些AP启动和无线控制器建立关联时 无线控制器会检查AP上报的序列号 信息 只有这些预先授权的AP才能接入无线控制器使用 防止非法FIT AP接入 网络 2 非法AP检测 可以自动监测非法设备 例如Rouge AP 或者Ad Hoc 无线终端 并适 时上报网管中心 同时对非法设备的攻击可以进行自动防护 最大程度地保护 无线网络 3 白名单功能 支持静态配置白名单功能 该功能一旦启用 只有白名单上的无线用户才 被认为是合法用户 其他非法用户的报文全部在AP上被丢弃 从而减少非法报 文对无线网络的冲击 3 3无线网络整体设计 设计目标设计目标 系统特点系统特点 组成组成 通常用于满足办公人员访问 Internet 需要 设计上与内网 物理隔离 无线网络的信道具有高吞吐量 及高数据处理能力 保证现有普通 Wi Fi 终端平滑 接入 支持 802 11X 设备可实现扩展 系统软件应 支持在线升级 支持基于策略的多层次的 QoS 保证措施 如 802 1p IP COS 等 网络系统具备多种可选安全机 制 以适应不同应用情况下的 根据用户需要进行网络覆 盖 提供高速的无线接入 提供上网行为管理 内容 管理 计费管理等 无线 AP 信号馈线 天 线 全向 定向 无线 AP 控制器 接入交换机 接入路由器 防护墙等 需求 有效地预防广播风暴 防止因 为病毒或入侵导致的网络不正 常 4 程控交换系统程控交换系统 4 1 设计背景及思想 今天的酒店客人最希望得到的是 家 的感觉 他们不仅希望酒店提供用户友好的通信服务 还希望能通过此获得更多的亲切 人性化 及时周到的服务 不仅是在客房中有一条电话线 语 音信箱 还希望提供自己熟悉的语言进行的文字和语音交互 甚至是个性化和触手可实现的应用 这样使得我们今天的酒店力求通过最新的科学技术来帮助提升服务 提高酒店的竞争力 保持贵 宾的忠诚度 阿尔卡特朗讯提供的酒店行业通信解决方案可以全方位使您的酒店竞争力得到突破 性的提高 这种解决方案将传统的酒店专用 PABX 语音交换机方案变为一种基于公开标准的 集 中式的多媒体通信方案 将酒店在行业中处于领先地位 阿尔卡特朗讯公司针对高端酒店提供全套先进的 个性化的解决方案 从普通客房话机 套 房及 VIP 客房话机 前台宾馆专用多功能数字话机 无线终端设备 内部固定座机和移动手机捆 绑 多媒体 PC 话务台等一系列的终端设备应用 阿尔卡特朗讯公司的酒店应用功能包软件帮助 酒店提供更多 更丰富的服务内容 从而提高了酒店的服务档次 如 功能操作使用语音指导 多国语言提示 叫醒服务 小酒吧管理 房态管理 团队客房管理 PMS 接口等 阿尔卡特朗讯 公司提供的软硬件产品都是采用模块化设计 根据不同档次 不同投资力度选择相应的模块 完 全符合从四星级到七星级酒店对通信的需求 贵酒店作为高端宾馆 对语音通信平台有着非常高的要求 在做到安全可靠的前提下 要求 提供全球最先进的设备 个性化灵活的酒店功能软件 根据高起点的原则 我们针对贵酒店设计如下阿尔卡特朗讯 OXE 的解决方案 4 2 项目方案分析 4 2 1 客户需求情况客户需求情况 根据贵酒店的需求 结合对贵酒店的初期访问以及与相关人员的技术交流 我们将贵 酒店项目的规划简单列举如下 这将有助于我们更好地理解和分析贵酒店的项目需求从而 提供一个完善的 全面的解决方案 贵酒店语音通信系统需要一套酒店专用 2000 线 PABX