机房网络设计方案范文

导语：如何才能写好一篇机房网络设计方案，这就需要搜集整理更多的资料和文献，欢迎阅读由公文云整理的十篇范文，供你借鉴。

篇1

Abstract: Taking lightning protection design of the network computer room of one unit as example, the lightning protection is implemented from buildings, power lines or signal lines being struck by lightning current and equipment being damaged through cable and optical cable to guarantee the safe and stable operation of equipment of computer network system.

关键词：机房；防雷；雷电；入侵

Key words: computer room；lightning protection；lightning；invasion

中图分类号：TP3文献标识码：A 文章编号：1006-4311（2011）24-0170-01

1解决方案

1.1 建筑物的直击雷防护按照国家标准GB50057-94《建筑物防雷设计规范》的要求，重要计算机网络系统机房所在大楼在等级上划分为第二类或第三类防雷建筑物，一般都按要求建设有必要的外部防雷设施，如办公大楼楼顶的避雷网、避雷针或混合组成的接闪器等，这些接闪器通过大楼内基础的主钢筋，将强大的雷电流引入大地，形成较好的建筑物防雷设施。

1.2 计算机网络系统感应雷防护防止感应雷入侵是计算机网络系统防雷工作的重点，表面上看感应雷的危害并不是那么大，但实际上，它极易形成感应雷高压电，对电脑设备构成较大的威胁，因为感应雷是由静电感应或电磁感应产生，这些东西都极易导致电流入侵的，常见的电流入侵有以下几种方式：

1.2.1 雷云放电，在地面上，沿诱导千伏输电通讯线路，传过上千伏的电压，击坏连接的电气设备，通过通信线路的侵袭连接的设备。这种电流的入侵，影响范围大，给人们生活带来很大的困扰。

1.2.2 直击雷击中地面物体，附近的土壤被强烈的击穿打压，雷电流直接入侵电缆的外观，将气体击穿，致使高压线路入侵。

1.2.3 闪电击中了一个多芯电缆连接不同来源的导线或者多条电缆平行铺设的电线时，电线会诱发相邻的过电压，低电压击坏电子设备。

2现场情况分析

2.1 基本情况在本单位地处县城中心位置，周边有广电局的信号塔，无其它高大建筑物。办公大楼已有避雷针、避雷带、避雷网等外部防雷设施，网络计算机房在办公大楼二楼，计算机网络系统的供电系统由市电三相低压电源供电，机房供电电源由配电室配电柜直供大楼配电箱，由大楼配电箱至机房配电箱供给UPS电源设备；机房计算机网络通信线进出采用双绞线缆，通讯专线的线路采用语音电缆线，机房接地通过办公楼总建筑接地网。

2.2 方案设计机房所在办公大楼已有相应的外部防雷设施，如避雷针、避雷带等，主要考虑大楼的内部防雷，计算机网络系统雷击电磁脉冲防护按照GB50057-94《建筑物防雷设计规范》A类要求设计，为了有效地将雷电过电压降低到设备能够承受的水平，供电系统必须采取3-4级电源电涌保护器进行保护，网络通信系统采取精细保护，对于进出机房的电缆、电线安装合适的网络信号防雷器。机房实行联合接地，建立合格的接地系统，对进出机房所有线路实行等电位连接。设计内容主要包括机房设备等电位连接、瞬间过电压保护和铺设接地网的设计三个方面。

2.2.1 等电位连接设计在机房防静电地板的隐蔽处安放局部等电位接地端子板，使安全保护接地、信号工作接地、屏蔽接地、防静电接地和浪涌保护器接地等四种接地共用一组接地装置。为了消除各地网之间的电位差，保证设备不因雷电的反击而损坏，当外来导电物体、电力线缆、通信线缆在不同地点进入办公楼时，应设若干等电位连接带，并就近接地。

2.2.2 机房电源设备瞬间过电压保护从电磁兼容的观点来看，由外到内可分为几级保护区。办公楼外部是容易遭受直击雷的区域，危险性最高，是暴露区，为0区；办公楼内部到机房所处的位置为非暴露区，可将其分为1区、2区，越往内部，危险程度越低。从总配电室变压器低压输出端到机房设备端，必须实行分级保护，将雷电过电压降低到设备能够承受的水平，电源线路是雷电过电压侵入的主要途径之一。

2.3 铺设接地网设计为了把强大的电流引入大地，我们采取“接地”这一方式，它是避雷设计方案中很重要的一个环节，无论是直击雷还是感应雷，都可以通过这一方式将电流导入大地。

因此，为了提高机房机房接地系统的可靠性，需按照规范要求整改办公大楼地网接地电阻>1Ω。根据具体情况，通过沿机房大楼建立不同形式的接地网（包括水平接地体、垂直接地体）来扩大接地网的有效面积和改善地网的结构。基本要求如下：

2.3.1 接地电阻值要求R＜1Ω；

2.3.2 接地体应离机房所在主建筑物3-5m左右铺设；

2.3.3 水平和垂直接地体应埋入地下深度不小于0.5m，垂直接地体长2.5m，每隔3-5m设置一个垂直接地体；

2.3.4 垂直接地体宜直接打入深沟内，采用50×50×5mm的热镀锌角钢；水平接地体应挖沟埋设，则选50×5mm的热镀锌扁钢；

2.3.5 在地网焊接时，焊接面积应≥6倍接触点，并且要双面实焊，且焊点做防腐蚀防锈处理；

2.3.6 各地网应在地面下0.6-0.8m处与多根建筑立柱钢筋实焊，并涂上防腐漆，作防腐蚀、防锈处理；

2.3.7 土壤导电性能差时采用敷设降阻剂法，使接地电阻≤1Ω；

2.3.8 垂直接地体坑内、水平接地体沟内回填土时，必须是低电阻率土壤回填并分层夯实；

2.3.9 与大楼基础地网多点焊接，连接处不应松动、脱焊、接触不良，并预留接地测试点。

3总结

在日常生活中，由于电脑对雷电过压的防护要求比较高，所以现在已经把对计算机的防雷设计这一块单挑出来，进行专门的设计。

根据机房所在的地理环境进行综合考虑，对设备间雷电入侵的主要来源做整体的保护，并根据一些现有的成熟技术经验，采取经济和有效的防护措施，以保护办公楼和办公楼内各向电子网络设备不受雷电损害或使雷击损害降低到最低程度。

参考文献：

[1]GB50057-94《建筑物防雷设计规范》，2010.

[2]GB50343《建筑物信息系统防雷技术规范》，2004.

篇2

关键词：工程设计网络应用方案探讨

随着计算机及其应用技术的日益发展,特别是信息技术的飞速发展,各勘测设计院建立自己的局域网,成为势在必行的工作或计划,总院也要求2000年甲级院必须建网。但是,为什么要建网？建一个什么样的网？它的带宽多大才合适？在网上干些什么？怎样实现信息共享？除了信息共享和设备共享外,还能做什么？怎么样才能通过网络提高CAD勘测设计效率？怎么样才能通过网络实现ISO9000的管理？这些都是大家所关心的问题,也都希望能有一个系统而完整的解决方案。本文就这些问题做一些初步的探讨。

1工程设计领域计算机应用的现状和面临的问题

自80年代以来,工程设计行业CAD的应用已经有相当大的发展,大部分设计单位已抛掉了图板而由计算机辅助完成设计,其中部分设计院的CAD应用达到相当高的水平。近年来,不少院已达到人手一机并接近100的CAD出图率。但是,随着计算机应用在各设计院的深入和普及,一些问题也渐渐暴露出来。

在这普及推广CAD应用的10余年里,很多工程设计单位都积累了大量的电子文档和电子图档,这些都是无形资产,它们的积累构成了企业最宝贵的财富。但这些电子信息分散在单个的PC上,无法对其共享和利用,不可能进行有效的检索和查询,由于缺乏管理,久而久之变成了电子垃圾,反而影响了日常生产。各设计院迫切需要对现有的电子信息进行有效的组织和管理。

企业要参与国际市场的竞争,其质量规范体系必须与国际接轨。PDM（ProductsDataManagement）产品中的工作流程控制模块,以其严格的工序审核和制约,可为实施ISO9000提供有力的工具。

工程设计部门已开始从面向产品整个生命周期的角度来重新思考、重整、优化企业内部的设计工具,对设计过程进行重整,以便更有效地组织生产。但面临如下问题：

随着电子存贮的各种图纸文档数量的增加,如何有效地管理、浏览和查找这些电子图档？

改型设计是利用计算机和已有的图纸来提高工作效率的,如何有效地共享信息资源？

设计变更时,如何利用图纸的版本策略来跟踪设计,以确保信息的一致性和有效性？

如何应用计算机将全面质量管理或ISO9000质量标准有效地贯彻到设计流程中去？

如何对设计流程进行规范和管理？如何加强设计过程中设计人员间的交流和协同？

如何将大量历史资料归档,利用计算机进行管理,并逐步积累,建立通用件、通用图库？

如何有效地对项目组成员进行工作量的均衡、调整、评估？

如何有效地对项目及分项目的进度进行跟踪、调整？

解决问题的途径是建立一个合适的网络,并且要有相应的网络应用软件。

2工程设计网络系统解决方案

各设计院建网工作的关键是方案选择,要从网络的传输介质到面向用户的应用系统,提供全面解决方案,包括：综合布线子系统、计算机网络子系统和产品数据管理子系统(图1)。

在这个网络系统中,结构化综合布线系统为网络提供可靠的传输介质,使之具有高度的可管理性和可扩展性,能支持多种先进的网络技术；网络子系统则在布线系统的基础上,为高层的应用系统提供足够的网络带宽,为产品数据管理系统提供高速、可靠的网络平台。结构化综合布线系统和网络子系统是网络的基础,只要满足一定的数据传输带宽,满足网络的管理要求即可,它们具有与一般企业网络相似的要求；但是,最高层的网络应用软件系统,应考虑生产和管理的需要,满足工程设计的特殊要求。

图一：网络系统组成示意图

2.1结构化综合布线系统

为了满足网络对于带宽、管理、扩充和灵活应用的要求,达到经济合理的目标,拟采用

结构化综合布线系统,它由四个子系统组成：工作区子系统、水平子系统、垂直子系统和管理子系统；网络布线用五类无屏蔽双绞线或光纤,每个用户节点与网络连接…,这里不去详细讨论。

2.2计算机网络系统

考虑到整体目标和目前的发展趋势,网络可采用10Base/100BaseT交换式快速以太网,拟用WindowsNT或Novell作为网络系统软件,并采用相应的网管软件和防病毒软件。本文也不作具体讨论。

2.3网络应用子系统

为了满足工程设计部门的特殊要求,上海交通大学金维计算机系统集成有限公司针对工程设计领域中的实际问题,引进了PDM（ProductsDataManagement）技术来开发有关的网络应用软件,一般来讲,PDM是管理与产品相关的信息和过程的技术：

l与产品相关的所有信息,包括部件信息,结构配置、文件、CAD档案、审批信息等;

l与产品相关的所有过程,即对这些过程的定义和管理,包括信息的审批和分配。

篇3

论文摘要：高校网络中心机房是校园网络的核心枢纽，该文结合广东理工职业学院中心机房工程建设实践，简单介绍了校园网中心机房设计原则及机房建设的整体规划，对详细设计部分内容做了重点论述。 

中心机房是校园网络的核心与枢纽, 是数据交换的中心和数据存储中心, 如何严格按照国家标准，参照国际先进规范，建设一个现代化、规范化的机房，为计算机的可靠运行提供一个稳定的环境，成为人们日益关心的课题。 

校园网络中心机房环境，包括硬件与软件环境，是一门多学科综合技术，为了保证各种智能设备与计算机系统稳定可靠运转，计算机机房环境必须满足计算机等微电子设备和工作人员对温度、湿度、洁净度、电磁强度、屏蔽、防漏、电源质量、振动、防雷、接地和安全保卫等要求。中心机房建设工程是一种涉及到空调技术、供配电技术、抗干扰技术、防雷防过压技术、净化技术、消防技术、安防技术、建筑和装饰技术等多种专业的综合性的产业。 

1 项目介绍 

广东理工职业学院中山校区网络中心机房，面积共约150平方米。层高4.5米，装修完成后要求净高达2.8米，包括各类功能房间，整个中心机房基本工程包括有机房装修系统、配电系统、防雷接地系统、空调及新风系统、消防系统、综合布线系统、门禁系统、闭路监视系统、kvm系统等。机房区域规划基本可分为四大部份，主机房、配线间、气瓶间、配电间。 

1) 主机房：用于放置ups电源主机及各种服务器设备等各弱电系统设备安装区域。面积为105.3平方米。 

2) 配线区：用于放置网络机柜、网络设备、光配线架、网络配线架等设备安装区域。面积为12.3平方米。 

3) 配电间：用于放置电池、市电配电柜、ups配电柜等配电设备。面积为18.6平方米。 

4) 气瓶间：用于放置气瓶等消防设备。面积为14.4平方米。 

2 设计原则 

机房建设工程，要以兼顾人机并重之原则，设计应以运行条件、安全可靠作为首要的考虑因素，在保证系统运行的可靠性、系统的设计寿命、信息安全的要求的基础上保证操作人员的工作环境。 

先进性：立足于高起点，采用先进、成熟、实用的技术。机房系统中各个子系统软、硬件配置采用模块化、开放式结构并通过集成，实现信息资源共享，提高设备利用率，降低能耗，实现科学的机房管理。 

高安全可靠性：为保证机房能为用户提供连续不间断的服务，机房须具有高可靠性。系统设计时应尽量减少单点故障的存在。 

机房内部计算机系统涉及到机密信息，需要保证机房的安全性，必须具有视频监控系统、门禁系统等安保系统以保证用户的设备和数据不受侵害。 

可扩展性：由于信息网络系统需求的不断变化，技术的不断提高，在施工建设时应考虑对资源需求的改变，以使整个系统具有灵活的可扩展性。 

易管理维护：通过使用先进和可靠的管理工具来实现系统的高质量管理，以节约人力资源，实时监控、监测整个中心机房的运行状况、语音报警，实时事件记录，迅速确定故障，提高可靠性，简化机房管理人员的维护工作。 

高性能价格比：保证在保证机房的高可靠性的基础上，机房的材料产品、设备的选型应合理选择材料与设备；以较高的性能价格比设计机房，提供高效能与高效益。 

舒适性：机房设计中对空调、照明、声响及环境进行优化调整，为管理人员提供舒适的工作环境。 

3 总体规划 

机房总体规划就是按照标准化的流程、规模化的运作，优质、快速规划机房工程建设方案。机房总体建设方案由机房装修系统、供配电系统、空调系统、消防系统、防雷接地系统、通讯系统、机房监控系统和kvm系统等部分组成，包含了机房工程的全部过程：从前期的规划选址，到后期内部系统的设计施工；从前期整个项目的总体管理，到后期的调试、开通；从前期对用户的使用培训，到后期的维护保养等方面。 

4 详细设计 

4.1 机房装修系统 

机房装修系统，是整个机房的基础。它主要起着功能区划分及保证机房环境的作用。可分为电磁屏蔽系统、抗静电地板系统、防尘天花系统及其他装饰等四个子系统。 

本方案装饰选用的材料必须全部采用符合国际标准[1-2]或国内优质标准。所有材料应具备环保、阻燃、无毒、防火性能好；安全耐用，不易变形，美观不变色；不起尘，易清洁，吸音效果好；防静电、抗电磁干扰等性能。 

4.2 空调系统 

空调系统，是机房运行环境的保障。计算机主机及通讯设备是高精密的电子设备，对机房环境有严格的要求，其中最重要的是温度、湿度和洁净度。即是所谓的“三度”要求。 

根据我院工程现场勘测的实际情况，主机房设计为风冷式下送风精密空调。采用1台35kw的国际名牌精密空调和2台5匹工业级普通柜式空调负责主机房和网络配线间的温湿度调节，精密空调采用下送风，顶回风方式。以保证机房空调系统的稳定性、可靠性，2台5匹普通柜式空调作为备份使用，确保了区域内设备的安全运行。

4.3 供配电系统 

配电系统，是整体机房高可用性的后盾。计算机及网络通讯设备投入服务后如无一个长期稳定的供电系统来保证计算机及网络通讯设备和有关外围设备正常运行，势必造成严重的后果。 

计算机机房的供配电系统是一个综合性供配电系统，在这个系统中不仅要解决计算机等微电子设备的用电问题，还要解决其他设备的用电问题。 

广东理工职业学院中山校区网络中心机房配电系统设计具体如下： 

1) 机房内插座分二种：不间断电源（ups）供电的计算机主机和重要通信设备专用插座；市电直接供电的辅助设备用标准插座。 

2) 在市电配电箱，主要包括空调机、照明及机房内维修插座的配电，应分开回路设计，每一回路设置单独电源开关控制。 

3) 在机房设专用ups配电柜，主要负责计算机用电设备、应急照明、安全出口等供电，配电方式采用放射式。 

4) 主机房内每个机柜位置提供2个ups供电专用插座，由ups通过配电箱为每个机柜组提供一个ups回路。回路采用zr-bv-3×4mm2阻燃电线，使用25a空开控制。所有这些插座安装于地板下并做垫高处理，相应的防静电地板处需有出线口。

4.4 消防系统 

消防系统，是整体机房安全运行的盾牌。火灾报警采用烟感探测器和温感探测器，探测器安装在吊顶上和活动地板下，两者联合使用提高报警的可靠性，火灾自动探测器即能发出警报信号，控制器显示报警的探测器所在位置。灭火系统采用七氟丙烷（fm200）自动气体灭火系统。 

该工程共分2个防护区（即：配电间、主机房和配线间），而且设有气瓶贮存间，七氟丙烷可以集中放置在气瓶间，实现三层布控(即天花顶、地板下及使用空间)，立体式灭火系统。 

4.5 防雷接地系统 

防雷接地系统，是整体机房安全运行的保证。机房设施的雷击过压及电磁干扰防护，是保护通信线路、设备及人身安全的重要技术手段，是确保通信线路畅通、设备安全运行不可缺少的技术环节。 

一个完整的防雷系统包括三个方面：直接雷击的防护、感应雷击的防护和接地系统。 

4.6 通讯系统 

通讯系统，是整体机房的神经中枢。计算机及其他微电子设备之间的信号传输以及机房与外界的“联系”都要靠稳定的通讯系统来实现。主要包括结构化布线系统[3]。网络中心机房及运维、监控办公室采用六类非屏蔽双绞线，按其功能区域设计信息点，并考虑预留余量，中心机房布线集中在配线间，配线间和主机房通过地板下预留线槽走线连接。机房静地板下敷设镀锌铁槽、镀锌钢管、铁皮分线盒等，采取下走线方式。所有管槽均做垫高处理，要求接地良好。 

4.7 机房监控系统[4] 

机房监控系统是机房运行的“守护神”。确保做到“三防犯”及“双保险”。 

本机房采用数字硬盘录像系统，对中心机房实现24小时安全监控。结构上采用b/s架构，采用分散监控，集中管理。由中心控制软件平台统一控制各软件系统。各个软件系统间相互独立，在其中某个软件系统出现故障的情况下，其余的各个系统仍能够继续正常工作。 

4.8 kvm系统 

kvm系统使中心机房的各种服务器、网络设备实现“一站式”管理。本方案采用2台数字交换机对32台服务器进行管理，实现1个本地用户、2个远程用户对服务器的集中控制。机房内的所有64台服务器都与专用服务器接口电缆进行连接，专用服务器接口电缆通过六类线连接到数字式kvm交换机上，数字式kvm交换机的网络端口通过普通六类线缆连接至以太网上，控制终端通过tcp/ip对所有服务器进行统一管理。 

5 结束语 

在进行网络中心机房建设过程中，作为网络中心机房设计者和建设者应具有超前意识，优化机房的硬件及软件环境，并采用高新技术管理模式—智能化机房管理，确保机房正常工作。 

参考文献： 

[1] gb2887-89.计算站场地技术要求[s]. 

[2] gb 50174-2008.电子计算机机房设计规范[s]. 

篇4

【关键词】计算机网络;信息防御;安全意识;安全管理

当下，信息技术不断发展，促使计算机网络覆盖面积逐渐增大。但是，对计算机网络进行实际应用过程中，存在一些不法分子对网络信息进行恶意侵害，导致计算机网络信息安全面临一定安全隐患。这种情况下，要求计算机网络安全管理人员对这一行为进行科学防御，通过科学手段，保障相应网络信息不受侵害。

1计算机网络安全管理中存在的问题

1.1计算机网络用户信息安全意识淡薄相应计算机网络用户，实施相应操作过程中，认为内部网络安全性较好，因此便放松了安全警惕。此外，用户自身安全意识淡薄，对相应密码等进行设置过程中，安全级别较低，甚至有的用户根本不设置密码。用户对移动介质进行使用过程中，并不注重安全检查，在不同计算机上进行U盘等移动介质的随意使用，有些用户在不同计算机上随意拷贝文件。还有一些用户，为了方便起见，直接对插入计算机的内网网线随意切换。这些情况的存在，均为病毒和木马的转换提供了条件，进而为不同单位和企业等计算就网络安全带来安全性威胁。1.2不注重网络安全管理企业和相应事业机关单位等，内部网络管理人员管理水平参差不齐，部分规模较小的单位，存在一些网络管理人员身兼数职，其自身经历和技术能力等的限制，导致网络管理水平不高。对本单位计算机操作系统进行安装过程中，没有及时对系统安装相应的补丁和杀毒软件等，导致计算机出现漏洞。计算机人员对相应软件进行安装过程中，没有对相应的应用软件做出安全检查，这就导致安装出现隐患，最终导致计算机网络信息安全面临威胁。此外，服务器和交换机等设备在日常运行过程中，缺乏完善的维护措施，导致网络故障出现，进而导致整个网络安全应用受到一定影响。1.3计算机网络设计缺陷一些企业和机关事业单位的网络所涉及的内容有内网、外网两部分内容，部分单位存在健康网络和网等多套网络，网络环境十分复杂，这些网络的建设时间不同，建设标准也有所不同，这就很容易导致网络设计出现缺陷。部分单位中，机房没有安装UPS和防雷、消防等保护设施，并且没有对一些重要资料和数据库等实施异地备份，最终造成数据丢失等问题出现。

2计算机网络信息的防御技术应用实践

对计算机网络信息防御技术的应用实践进行分析，其日常运行过程中，存在一定安全隐患，对这些隐患进行分类，以网络信息技术的实际应用作为依据，使用相对合理的防御技术，并且构建出较为健康和安全的计算机网络信息环境。当下，针对计算机网络信息而言，主要将防御技术建立在动态自适应性网络安全模型的PPOR基础上。图1为主从式DDOS攻击结构。2.1安全扫描用户对其进行使用过程中，一定要具备较高的网络安全意识。对此，对网络信息进行安全扫描、行为扫描和模糊匹配等十分必要。对动态性能等进行强力扫描，可以找出计算机中存在的安全隐患，对扫描情况进行反馈，可以做出相应处理措施。2.2系统增强对其进行实际应用过程中，计算机网络安全架构难以对这一威胁及时发现，这就引发了安全隐患。可以适当增加相应系统，从而提升防御能力。进行系统的增加，可以对计算机网络信息当中一部分恶意数据进行适当检测核拦截，进而避免恶意数据对计算机带来影响，促使伤害扩大。2.3学习、自适应对学习型和自适应防御系进行科学应用，能够促使计算机网络防御能力得以提升，这一防御系统，这种防御系统，主要体现在智能化防入侵能力上，对计算机实施传统检测和扫描所获得的反馈，实施智能化学习，进而形成一种新型防御能力。通过这种方式，促使计算机网络可以针对新型病毒，进行充分免疫，结合不同供给以及入侵情况进行科学控制，促使计算机网络信息安全水平得以提升。2.4实施响应和黑客诱骗技术实施相应，需要建立在动态自适应网络安全模型PPDR基础之上，在运行过程中，如果发现计算机网络遭受了外部空攻击，或者自身出现漏洞，通过实时响应或者电子邮件等方式，将相关内容向用户反应，从而方便对这些内容进行及时处理。黑客诱导技术，主要是对虚假信息进行释放，进而对黑客入侵时间适当的拖延，通过这种方式，为用户对病毒的防御提供足够的时间。将实时响应和黑客诱导两种方式相互结合，从而在黑客入侵的第一时间，向外发出警报，进而使用户能够尽快的进行处理和防御，最终提升计算机网络信息安全。

3计算机网络信息安全防御应注意的问题

3.1合理规划，建设安全防御体系计算机网络运行的整个过程，均需要具备一定的计算机网络安全防御体系。计算机网络处于规划阶段时，需要对其实施整体规划，并且对其进行分步实施。此外，高度重视对网络基础设施进行建设，却好计算机网络相互配套。此外，对单位各种网络关系进行认真清理，对网络布局情况进行科学合理的规划，从而使网络较差情况适当减少，降低网络层级。对企业以及机关事业单位的建设过程中，可以在核心层的互通网络，不能在接入互联。可以对光纤资源进行科学优化，促使核心和接入的网络得以实现，不能设置汇聚层。对计算机网络系统进行使用过程中，要重视对相应管理人员以及网络信息使用人员进行定期培训，提升这些人员的技术水平。对其开展一定的思想教育，提升其安全意识，确保系统始终处于安全运行中。3.2提高计算机网络信息防毒和杀毒功能当前，计算机网络得到不断普及，这为很多木马和病毒等侵入提供了可能。对此，在计算机网络内部，需要设置较为完善的防毒和杀毒措施，这样做，促使计算机网络防毒和杀毒功能得以提升，对网络内部防毒以及杀毒功能进行有机结合，确保计算机网络信息足够安全。3.3对关键信息进行备份为了使计算机网络的安全性得到进一步提升，促使信息丢失和损坏等方面的影响得到有效降低，需要关键性数据进行备份。此外，对相应硬件装置以及网络信息之间进行隔离，通过这种方式，防止信息数据丢失。3.4对网络防护设备进行科学设置在网络信息当中，防火墙属于整个计算机当中的隔离层，将计算机自身信息和外界信息之间进行科学隔离，确保计算机网络信息足够安全。企业以及相应机关事业单位，可以在内部网络边界上，设置一定的防火墙。针对较为重要的网络，尤其是涉及秘密保护信息的相应内容，需要在内部网络上、安全网关和入侵检测等相关设备，为了使单位内部计算机因为违规外联网引起的信息泄露等情况出现，则需要在内部网络上，安装一定具备违规外联管理的计算机管系统，通过这种形式，防止内部计算机和互联网相互连接，并且提醒相应管理人员，对这一内容进行及时处理。3.5身份证网络信息加密为了使内部网络当中的应用软件系统数据安全得到保障，如果企业具备相应条件，可以在内部建设相应的用户统一身份认证系统。这种用户统一身份认证系统，改变了原有的“用户名+密码”的认证方式，借助PKI/CA当做一种身份认证技术手段，间用户为核心，建立一定的安全应用框架，最终对上层业务资源等进行科学整合，最终实现对用户以及业务资源的集中性管理。此外，对内部信息资源的安全提供一定保护。针对以及较为重要的文件而言，相应技术人员可以对这些数据或者文件、口令等设置一套较为高级的加密。

4结束语

总而言之，当今计算机网络使用范围不断扩大，覆盖面越来越广，可谓是渗透在各行业当中。借助相应计算机网络防御策，对计算机网络信息安全问题进行科学分析，针对当前计算机网络存在的安全隐患，制定科学有效的防御措施，只有这样，才能有效提升计算机网络信息防御水平，提升安全系数。相关用户和计算机网络信息安全管理人员，要提升自身安全意识，营造出一种健康、安全的计算机网络信息使用环境。

参考文献

[1]高博.关于计算机网络服务器的入侵与防御技术的探讨[J].电子技术与软件工程,2015(08):226-227.

[2]李先宗.计算机网络安全防御技术探究[J].电脑知识与技术,2015(21):33-35.

[3]李军.基于信息时代的网络技术安全及网络防御分析[J].网络安全技术与应用,2016(01):17-18.

[4]张燕.数据挖掘技术在计算机网络病毒防御中的应用探究[J].太原城市职业技术学院学报,2016(04):174-176.

篇5

关键词： 网络信息系统；信息安全；措施；检测；方案设计

随着信息化的高速发展，信息安全已成为网络信息系统能否正常运行所必须面对的问题，它贯穿于网络信息系统的整个生命周期。安全检测是保障网络信息系统安全的重要手段，通过安全检测，我们可以提前发现系统漏洞，分析安全风险，及时采取安全措施。

1 物理安全措施和检测方法

物理安全是信息系统安全中的基础，如果无法保证实体设备的安全，就会使计算机设备遭到破坏或是被不法分子入侵，计算机系统中的物理安全，首先要采取有效的技术控制手段来控制接触计算机系统的人员，确保计算机系统物理环境的安全；其次要采取是设备标记、计算机设备维护以及机房防盗等安全措施，确保计算机设备的安全。另外，通信线路是网络信息系统正常运行的信息管道，物理安全还包括通信线路实体的安全。检测网络信息系统物理安全的主要方法是现场检查、方案审查以及调查问卷检查等。

2 网络安全措施及检测方法

网络的开放性带来了方便的可用性，但也使其更容易受到外界的攻击和威胁。入侵者可以利用系统中的安全漏洞，采用恶意程序来攻击网络，篡改、窃取网络信息，从而导致网络瘫痪、系统停止运行。在网络维护过程中，应采用合适的检测手段，采用严格的措施与网络攻防行为对抗，保障网络安全。检测方法可从下面三个角度考虑。

2.1 网络结构安全要求

网络信息系统为了保证内部网络拓扑信息不被非法获得，在不对性能造成影响的前提下，采用动态地址映射隔离内部网络；在网络信息系统内部采用使用加密设备以及划分VLAN的方法来防止非法窃听；采取监控、隔离的措施来保护重要的服务器。网络结构安全可以采取方案审查和现场检查的方法来检测网络信息系统网络结构是否合理，是否安全。

2.2 网络系统设备安全要求

网络系统的网络设备包括防火墙、入侵检测系统、以及安全评估系统等。1）防火墙。防火墙的抗攻击能力特别强，它是不同网络以及网络安全域信息交换的唯一出入口，在检测网络信息系统安全时，需检测防火墙功能是否正常，包括：网络数据包过滤功能、访问控制功能、网络访问行为功能以及安全审计、安全告警功能；2）路由器。路由器的检测主要包括对其管理功能的检测以及基本功能的检测，路由器是否具备路由加密功能、访问控制功能、审计数据生成功能以及身份鉴别等功能，是否只有授权的管理员才能对路由器进行管理；3）入侵检测系统。入侵检测系统可以它可以协助系统对付网络攻击，主动保护自己免受攻击，使信息安全基础的结构更加的完整。入侵检测系统的检测主要包括：实时监测网络上的数据流，分析处理和过滤生成的审计数据；联动功能和自动响应功能是否正常；身份认识功能是否合理有效，什么权限的授权人员才有资格设置入侵管理规则，才能查阅、统计、管理以及维护日志记录，其他人不能任意的更改或删除日志记录；4）病毒防范系统。病毒防范系统应保证以下功能正常运行：病毒防范功能、病毒特征库更新功能以及审计数据生成与管理。病毒防范系统安全检测包括：系统是否能控制病毒侵入途径，控制并阻断病毒在系统内传播；系统是否能在病毒侵入时应及时的隔离、清除病毒，在日志上详细记录病毒时间的发生及处理过程；病毒特征库是否定期更新，定期统计和分析病毒的相关日志记录，及时的对病毒防范策略进行调整；5）漏洞扫描仪。漏洞扫描仪可定期扫描系统，发现系统漏洞，防范于未然。系统漏洞信息具有双面性，维护人员尽早发现它可采取措施填补，不法份子也可利用它搞破坏。在检测网络信息系统的安全时，应考虑到系统安全设备中是否包括有安全漏洞扫描系统，只有授权人员才能对漏洞扫描器进行查阅、管理、统计、维护扫描报告，只有授权人员才能制定扫描规则，比如说定义攻击类型、标准服务类型以及IP地址，授权使用者要定期的更新扫描特征数据库，并及时的调整安全策略，更新反病毒数据库或设置更高的保护级别。6）安全审计系统。审计数据是系统根据设置的审计规则产生的，审计系统应具备审计查阅功能、选择性审计功能。只有授权人才有权查阅审计系统的日志记录；采取加密保护措施来确保日志的安全，任何人不得随意更改日志记录。

2.3 网络系统可用性要求

网络系统的可用性是网络信息系统安全要求的重要组成部分，保证网络系统安全的技术手段有：网络冗余、技术方案验证、网络管理和监控等方面。其中，网络冗余是解决网络故障的重要措施，备份重要的网络设备和网络线路，实时监控网络的运行状态，一旦网络出现故障或是信息流量突变可以及时的切换分配，确保网络的正常运行。我们应适当的采用网络监控系统、网络管理系统这些网络管理和监控手段，或是运用网络故障发现、网络异常报警等功能来确保网络运行的安全。

3 运行安全措施和检测方法

信息系统的安全与运行密不可分，网络信息系统的运行安全主要包括以下几个方面的内容：

3.1 备份与恢复

为了使数据保持一致和完整，需要对网络系统的数据进行备份，以此来确保整体网络系统数据的安全。备份和恢复的检测方案是：1）如果系统的硬件或存储媒体发生故障，使用系统自带的备份功能，进行单机备份，然后将数据存储到其他存储设备；2）使用经过认证的备份软件进行数据备份。在计算机信息系统中，系统应能提供定时的自动备份，备份的自动化，降低由维护员的操作带来的风险；在自动备份的过程中，如果出现异常情况，可自动报警；为了确保备份的实时性，应该进行事务跟踪；应该指派专人来负责备份和恢复；应按照数据等级对备份数据进行分级管理；使用的备份软件应该先经过认证再进行数据备份，并能够与操作系统兼容。3）在建立系统时要进行设备备份冗余备份。局域网内存在备份服务器，备份的数据保存在本地和异地；为了确保备份的高效性，要采用多个磁带机并行的方法共同执行的方法；采用RAID等技术，确保备份的容错性。

3.2 恶意代码

恶意代码是指没有作用却会带来危险的代码。恶意代码本身是程序，通过执行可能会利用网络信息系统的漏洞来攻击和破坏系统。处理恶意代码的类别有两种：1）系统应审查从非安全途径，比如网络、光盘等途径获取的文件的安全；一旦发现恶意代码，要及时的采取有效措施最大限度的清除恶意代码；2）系统应审查所有从外界获取的文件；在一定范围内建立防恶意代码体系，具有防恶意代码工具，在造成损失之前彻底清除恶意代码。

3.3 入侵检测

入侵检测可以实时保护和防范网络恶意攻击以及误操作，它能够提前拦截和响应系统的入侵。入侵检测应保证在线有效运行：1）可分析处理和过滤安全事件报警记录，全方位的反映系统的安全情况；2）支持用户根据系统安全需求定义用户规则模板；3）能实时监测系统活动，寻找敏感或可疑的系统活动；4）和防火墙机及其他网络设备联动，实施阻断连接。

3.4 应急响应

应急响应的目的是在发生紧急事件或是安全事件时，确保系统不中断或紧急恢复。应急响应方案应包括的措施有：1）能够在发生安全事件或是紧急事件时及时的做出影响分析，并组成应急小组，在法定时间内对发生的事件做出响应；2）具有完善的应急计划和多种切实可行的备选方案，要有由外地和本地专家组成的应急小组，在法定时间内对发生的事件做出响应。

3.5 系统维护

维护的目的是确保系统的正常运行，减少安全风险，不同信息系统的安全要求不同，其维护安全的要求也会不同，可以分这几种：一种是对所有系统进行一般性的检测和维护，这是几乎所有计算机信息系统都需注意到的问题。另一种是对特殊的设备进行特别维护，对特殊设备进行维护，要针对特殊设备自身的特点进行。无论是一般性的检测和维护，还是特殊设备的特殊维护，在维护过程中，都要考虑到可能造成数据的丢失的问题，并提出相应的解决方案，使系统具有完善的维护设备。

4 系统软件安全措施及检测方法

软件安全是网络信息安全应考虑的一部分。软件安全是指确保计算机软件的完整性以及不被破坏或是泄漏。软件的完整性指的是系统应用软件、数据库管理软件等相关资料的完整性，系统软件在保证网络系统正常运行中发挥着重要的作用。

4.1 系统软件安全检查与验收

定期检查软件，对软件进行有效管理，定期的检查是为了及时的发现安全隐患，针对存在的问题来适当的改进现行的软件，以保证软件的安全。

在正式对软件进行加载之前，应该先检测软件，确定软件和其他应用软件之间是否兼容，检测人员必须对检测结果的真实性、准确性负责，对检测软件的结果应做好完整的记录。

4.2 软件安全的检测方法

软件安全的检测方法有两种：双份比较法和软件安全设置支持系统法。双份比较法是指在计算机中安装两份软件，一份运行，一份备份，当运行的软件出现问题影响到系统的正常运行时，就运行备份软件。比较这两个软件，如果备份软件也在运行中出现问题，则说明该软件存在造成网络信息系统出现故障的隐患，面临着安全的威胁；如果备份软件在运行过程中是正常的，就将备份软件复制一份，再进行相同的检测。

5 应用安全措施及检测方法

网络信息系统的安全因素是动态变化的，其中，应用安全指的是解决用户在应用业务程序过程中的安全问题。应用系统的服务将网络用户连接起来，一般包括电子邮件服务、FTP服务、WWW服务、以及文件共享等应用，无论信息的传递，还是信息的共享，在检测网络信息系统的安全时，必须对网络和信息系统的安全性进行测试。

5.1 电子邮件服务

电子邮件服务安全可以借助病毒防火墙等工具，查杀和过滤病毒，过滤收发电子邮件中可能隐藏的对邮件客户端形成危害的恶意代码；安装电子邮件过滤工具，以有效防御拒绝服务攻击，比如说垃圾邮件或是电子邮件炸弹等；应使服务器只提供电子邮件服务，并安装电子邮件服务检测引擎。

5.2 FTP服务

FTP服务器的应采取的安全措施是：应该在FTP服务器中安装检测引擎；应该使用强鉴别机制来认证FTP的用户身份；应该使用安全工具来保护FIP会话；应加密FTP的数据传输；采取专机专用的形式；另外，对FTP服务器的访问要进行日志审计。

5.3 WWW服务

WWW服务是目前应用最广的一种基本互联网应用，WWW服务的安全措施包括服务器安全状态、服务器操作系统平台、服务器配置以及服务器软件等方面，在查找、检索、浏览及添加信息时，应使用网页防篡改工具来实时监测和刷新WWW服务器的内容。

参考文献：

[1]叶里莎，网络信息系统安全检测方案设计[D].四川大学，2004（9）.

[2]王永刚，浅析网络信息系统技术安全与防范[J].科技创新与应用，2012（4）.

[3]赵军勇，网络信息系统技术安全与防范[J].视听界，2011（8）.

[4]李曼、台飞，网络信息系统技术安全与防范[J].科技风，2009（6）.

[5]张茹冰，网络信息系统技术安全与防范[J].计算机光盘软件与应用，2012（2）.

[6]宫兆斌，网络入侵检测技术研究与应用[J].大连海事大学，2010（5）.

篇6

[关键词] 网络技术;拓扑结构;体系结构

[中图分类号]R197.324[文献标识码]B [文章编号]1674-4721(2009)07(a)-137-03

随着计算机系统的进一步开发和应用,网络结构的不断成熟,网络产品国际标准的制定,以及计算机硬件产品性价比的日渐提高,大多数医院计算机化管理模式已从独立的单机阶段和部门级应用阶段,转向系统集成的计算机网络化管理。下面根据医院普遍存在的共性,探讨组建医院计算机网络的具体方案。

1 医院网络建设需求

医院信息化的建设目的以病人诊疗信息和提高医疗质量为中心,实现医院医疗、教学、科研及信息的网络化管理。从应用系统的角度来看,医院网络建设需要能满足不同层次应用的需要,解决信息流的采集、存储、传输、处理,以达到在全院范围内的全数字化流程。

①可靠迅速的响应以提供更好的医疗服务,保证大门诊量的正常访问,解决HIS(hospital information system)系统服务器的瓶颈。②满足医院数据的安全存储和可扩展性存储,其中包括HIS(hospital information system)系统,LIS(laboratory information management system)系统和PACS(picture archiving & communication system)影像等系统海量数据的存储和传输。③区域医疗的建设,如远程会诊、网上学术研讨等业务迫切需要医院之间的资源共享,因此,医院网络还要满足信息化需要的互联互通。④满足web信息和各种Internet接入的应用。⑤满足未来信息化需要的无线终端接入应用,通过直接访问EMR(electronic medical record)电子病历服务器,实现病人日常巡房记录实时读写;不同住院楼不同病房之间实现无线终端快速漫游切换。

2 网络的设计与规划

2.1做好规划

网络组建首先要做好总体规划和需求分析,关键以实用性、先进性、开放性、可扩展性和安全可靠性为建网的主要原则。

2.1.1 实用性和先进性是结合实际需要,注重网络的实际应用和维护的方便,选取用技术成熟、效果好和通用性强的网络设备,使网络运行高速可靠,支持不同的网络协议,还能够提供不同类型的网络接口和互联手段。网络以强盛的生命力出现,为适应其高速发展,要求建网硬件要有一个高的起点,网络设备的配置要有超前的意识,为今后高速数据流量和多媒体信息传输创造条件,保证网络长久的实用性和先进性。

2.1.2 开放性和可扩展性,网络技术的快速发展及应用水平不断提高,要求整个网络系统要具备良好的开放性、可扩充性和组态的灵活性,如网络设备的增加、网络主干数据流量的加速和子网络拓扑结构的升级等等,都要保证可平稳地过渡到不久将来的高速数据标准的网络主干上。

2.1.3 安全可靠性是衡量整个网络性能最重要的指标,应采用性能先进、可靠性强的网络设备、存储设备和服务器,保证系统运行的平稳和网上数据的安全与完整。

2.2 网络的相关技术

目前,我们接触较多的主干网有:交换式以太网、快速以太网、光纤分布式数据接口(FDDI)、异步传输模式(ATM)和千兆以太网等网络技术形式。在客观上和应用中,它们各自存在优缺点。

交换式以太网和快速以太网相对其他几种网络技术来说简单一点,整个网络造价较低,交换式以太网最大的优点是可独占带宽,避免用户使用的冲突,从根本上解决了共享的缺陷,但快速以太网的总体性能会随着用户数据的增加而下降。

光纤分布式数据接口(FDDI)采用双环或双连环的冗余设计,使网络具有极强的稳定性、可靠性、保密性和安全性,并有远距离的传输能力(辐射直径可达100公里),但共享问题是FDDI的最大弱点。

异步传输模式(ATM)技术是一种最为先进,又完全不同于传统网络技术的新概念,是一种基于信元( Cell)交换技术,可根据用户需求随意调整带宽,代表网络技术的发展方向,但产品的价格昂贵,不适合企业的普及使用。

综合以上几种网络技术的特点,结合考虑到医学信息对网络传输速度和传输带宽的具体要求,以及目前网络技术发展的趋势和网络的可扩展性,可以采用以光纤为主要数据干线,六类非屏蔽双绞线(UTP)为水平传输介质高速以太网,主干网络符合TIA/EIA-568B CAT6的性能要求,传输频宽达350 MHz,对语音和视频的传输都可以达到较好的效果。

3 网络的拓扑与方案

医院计算机网络是典型的局域网,是利用通信线路将多台计算机等设备连接起来,目的在于实现相互间的数据传输和资源共享。医院网的建设是对网络拓扑结构的选择,这关系到网络未来的建设和发展。

在医院的网络环境中,其80%数据流量集中于网络的主干,所以主干应该采用高性能的交换式结构,并且具有较高的系统扩展能力(如端口数量)和新技术应用能力(如千兆桌面,万兆网)。为使网络结构尽量稳定可靠,整体网络采用星形+环形拓扑结构,中心节点和边缘节点至少为1 000 M以太网,服务器以1 000 M接入核心交换机。

从架构模型上来看,根据医院规模和实际的需要,可以采用三层或者两层结构的网络结构设计。两层架构为核心层+接入层精简网络架构,三层架构为核心层+汇聚层+接入层。基于目前三层架构比较成熟,比起传统的两层网络架构,三层结构增加了汇聚层,在工作站接入核心前先做汇聚,从而减轻了核心层设备的负荷,通过汇聚层实施安全策略及Vlan的划分可以有效地隔离网络风暴和网络阻塞,极大地提高了网络带宽的利用率和网络的安全性。

核心层:由两个高性能的交换机组成双链路的冗余结构。汇聚层:门诊大楼和住院大楼对应的汇聚层交换机通过双链路千兆光纤接入到核心,放射科通过双链路万兆光纤接入到核心。接入层:采用星形方式通过千兆光纤连接到汇聚层交换机。

保证访问后端服务器的业务流量得到实时响应,不容许出现网络瓶颈问题,计算机网络系统必须建设成为高速、稳定、开放、安全等性能优越的信息网络系统,全网采用千兆和部分万兆光纤构成信息网络主干。三层交换,VLAN虚拟局域网,NAT路由等先进网络技术;严格的六类标准布线,部分科室千兆到桌面,通过全面系统的IP地址规划及VLAN等技术,实现用户端到骨干网的快速信息交换。

3.1 核心层

核心层交换机采用两台高性能的多层模块化交换机做双机冗余备份,搭配最新的高性能Sup 720引擎,双冗余电源,可以提供高达720 G交换带宽以及超过400 mpps的包转发率,满足以千兆甚至万兆骨干网络的性能需求。在两台核心交换机上,通过HSRP技术及多重Standby组实现负载均衡的功能,做到最大限度地发挥核心交换机的性能,实现数据分流的同时实现互为备份。配置最新的模块,提供多个全线速转发的千兆光纤接口和用于与汇聚层交换机连接。

3.2 汇聚层

汇聚层由多台支持三层交换和VLAN功能的千兆或者万兆高性能交换机组成,通过汇聚层交换机端口进行VLAN的划分,由于在汇聚层交换机下的不同接入层交换机分别属于不同VLAN,因此,需在汇聚层交换机的上连端口及核心交换机对应的下连端口封装802.1Q协议,使其能够传输多个VLAN信息。

3.3 接入层

接入层交换机采用与核心交换机相同品牌的交换机,该系列交换机是固定配置的交换机,提供多个千兆和百兆以太网电口接入,为桌面用户提供百兆或者千兆接入的能力,同时具备2个GBIC插槽或2个电口,可插千兆光纤模块,用于与汇聚层交换机进行千兆的光纤连接。

3.4 影像主干

由于影像系PACS系统数据量大,网络与存储的要求高,因此,设计时,在影像科室使用带有万兆端口的汇聚交换机连接到核心交换机,接入层交换机通过千兆光纤链接汇聚层交换机,将影像服务器及网络与主网的服务器及存储相对独立,千兆到桌面,减少影像数据的传输与调阅时对整个网络性能的影响。

3.5 外网接口控制

通过前端的路由器及策略路由技术实现对Internet出口的统一管理及带宽分配。

Internet出口前置增加防火墙,实现网络安全,开辟DMZ区,放置对外提供访问的服务器,如WWW服务器、Mail服务器、DNS服务器及FTP服务器等。通过有效的ACL控制外来主机的访问权限,同时,将防火墙设置成VPN服务器,对移动用户提供VPN服务。

4 主要网络设备

网络系统的设备级可靠性:采用冗余交换引擎,冗余、负载均衡电源(AC和DC),冗余上行链路,冗余交换光纤。包括电源、风扇、引擎、线路板模块、交换背板在内的所有系统单元都可热插拔,如元件增加、转移或替换,而不会导致相关业务中断。在双重交换引擎配置中,为了保护关键应用,可在几秒钟内将交换机控制转换到冗余交换引擎上。所有系统单元都应设计为可现场替换,从而实现最大服务性和最少的网络停机时间。

网络服务器是医院信息系统的核心,所有信息在这里加工处理,服务的性能是衡量整个网络系统性能的重要指标。医院是特殊的待业,要求服务器7×24 h不间断地工作,在选择服务器时要充分考虑机器的性能和价格比,可采用双机热备或服务器群集技术,以确保信息系统正常、稳定地运行。

医院信息系统数据流量特别大,影像资料需在网上实时传输,对网络传输设备的性能要求很高,核心层采用高性能、大容量的多层交换机,汇聚层和接入层采用千兆以太网交换机。支持传输大量的多媒体数据,主干采用千兆以太网技术,支持VLAN的划分。

5 网络的运行环境

医院计算机网络是围绕医院信息系统组建的,信息系统的实现最终要落实到具体的网络操作系统、数据库系统、软件的开发工具等操作和开发平台。这些应用系统的选择,主要应注重其稳定性、安全性、易操作性、易管理性和易升级能力。

目前,流行的数据库平台是基于客户机/服务器的(client/server)结构模式,是最典型的数据库应用技术。如ORCLE、SQL-SERVER等优秀平台,其先进、合理的新型构造方法,具有降低软件的开发和维护成本,增强产品的可移植性的优点。客户机/服务器(client/server)结构模式非常适合医院信息系统。

网络操作系统是一种特殊的操作系统。Microsoft Windows 2003 Server操作系统具有抢先式多任务、对称处理多处理器和兼容性强的优点,且界面友好,深受用户的喜爱。Unix是个多用户、多进程、多任务的操作系统,成熟稳定,适用于小型机。

6 网络系统的日常管理

医院信息化建设成功与否关键在于日常管理,日常管理的主要工作又在于计算机网络的管理,所以要建立一支技术过硬的网络管理队伍,负责应用维护、硬件和软件故障排除、系统程序备份、数据表格备份、系统配置等,并应定期对前端机、网络系统、服务器三大部件进行检查维护,以提高网络设备的寿命,保障系统的正常运行。

我院网管中心采用了网络管理软件Quidview CAMS对网络的配置,性能,差错,安全等各个方面实施全面管理,Quidview网络管理系统采用分布式、组件化、跨平台的开放体系结构,用户通过选择安装不同的业务组件,可以实现设备管理、拓扑管理、告警管理、性能管理、软件升级管理、配置文件管理、VPN监视与部署等多种管理功能。产品不仅能够独立提供完整的网络管理平台,还能够与HP OpenView、SNMPc多种主流通用网管平台灵活集成;不仅能够管理H3C公司的全线数据通信设备,还能够通过标准MIB实现对Cisco、3Com等各主流厂商的数据通信设备的管理。

[参考文献]

[1]苏芳,韩静,龚丽瑛.科学选择适用的网络建设方案[J].兰台世界,2005,4:12.

[2]李锐生.浅谈医院信息化的网络建设[J].内蒙古科技与经济, 2006,12X:112.

[3]蒋艺.医院档案创建工作的探讨[J].中国现代医生,2008,46(13):141.

篇7

【关键词】校园网；网络安全；防火墙；VLAN

【Abstract】With the continuous development of the University information system, almost all colleges and universities have established their own campus network. network security has become a critical issue , it is because the network has the openness and Inherent weaknesses and human negligence, this article described from the software, hardware and management solutions.

【Key words】Campus Network;Network security;Firewalls;VLAN

在当今社会，网络逐渐取代了很多传统信息通道，成为一种不可缺少的信息交换媒体应用在各个领域。然而，由于网络具有开放性、互联性、连接方式的多样性及终端分布的不均匀性，再加上本身存在的技术弱点和人为的疏忽，网络安全就成了至关重要的问题。

随着高校信息化建设的不断开展，几乎所有的高校都建立了自己的校园网，为加快信息处理、合理配置和充分利用优质教育资源、科研和管理提供资源共享、信息交流和协同工作的平台，同时也是衡量一个高校教育信息化、现代化的重要标志。

在校园网的建设过程中，由于安全意识淡薄和资金欠缺，技术落后等多方面的原因，使得各高校普遍都存在着“轻安全、轻管理”的现象。但是随着网络规模的急剧膨胀，学生网络用户的快速增长，u盘的普及应用，校园网已经不仅仅服务于教育、科研和行政管理，它应用已经逐渐渗透到校园生活的方方面面。同时，学生是一个比较特殊的群体，他们思想单纯，心性不定，又对新鲜事物存在极大好奇心，容易受外界影响，学校有责任限制他们登陆不健康网站。在这种情况下，校园网的安全问题日益严峻起来。那么，如何在开放网络环境下保证校园网正常、安全、高效地运行就成为各个高校不可回避的一个十分重要的问题。

1．网络安全定义

网络信息安全一般分为网络安全和信息安全两个层面。网络安全包括系统安全，即硬件平台、操作系统、应用软件和运行服务安全，即保证服务的连续性、高效率。信息安全是指数据安全，包括数据加密、备份、程序等，我院主要是使用数据终端设备来进行数据信息保护的技术，如防火墙、防病毒等技术。

我们天津滨海职业学院的校园网络系统构成除了新校的十多个部门外，还包括成教的旧校区，而每一个部门或用户都有宝贵的或机密的信息，校园网络内部的信息也可以说是门类较多、丰富多彩。其中有的信息可以被外部访问，而有的信息相对外部来说是保密的。对这些信息如何去很好的管理，也是一个很重要的问题。管理作为信息安全保障三大要素之一，常常在保障信息安全的“链条”中，它成为最重要的一环。

2.校园网络的现状

2.1我校园网络的拓扑结构

天津滨海职业学院校园网作为服务于全校教育、科研和行政管理的计算机信息网络，实现了校园内局域网互通，并通过交换机与互联网相联。校园网由核心层、汇聚层和接入层构成星型千兆以太网络，网络的设计思想是万兆可扩展，千兆为主干，百兆到桌面。核心层作为整个网络的核心，选用思科三层交换机为服务器作为这个网络数据快速转发的核心基础；接入层直接面向客户端，选用的是思科二层交互机连接不同的VLAN；汇聚层作为核心层和接入层的分界点。

校园内建筑物之间的连接选用多模光纤，以行政楼为中心，向其他建筑物辐射；楼内采用非屏双绞线缆。网络拓扑结构十分简单，网络入口在学院的网络中心，由电信光纤经过防火墙，最后到达核心交换机，再从核心交换机向四周辐射通向各个汇聚交换机。

2.2我校园网络面临的问题

我校园网的安全问题有其历史原因：在以前，主要因为意识与资金方面的原因，学校网络建设经费投入严重不足，所以就将有限的经费投在关键设备上，对于网络安全建设一直没有比较系统的投入，致使校园网处在一个开放的状态，没有任何有效的安全预警手段和防范措施。只是在内部网与互联网之间放一个防火墙就万事大吉，同时对学生上网不加限制，从而导致病毒泛滥、黑客攻击、信息丢失、服务被拒绝等等，这些安全隐患只要发生一次，对整个网络都将是致命性的。我校园网建设中面临的问题有如下几个方面:

2.2.1硬件设备简陋

校园网的出口是网络规划和建设中需要重点考虑的问题,它关系到校园网用户对Internet访问的速度。我校网络整体结构设备简陋，现有设备技术指标低，没有路由器，路由选择由三层交换机来完成，为了提高速度，防火墙设置也不是很高。校园网建设的目的是为学校的各项工作信息化服务，提高工作效率，应强调其应用，应多购置服务器，每个服务器满足一个应用，把应用平台搭建起来，供师生逐渐熟悉，最终完全接受。

2.2.2 IP地址欺骗、盗用

现在TCP/IP协议广泛用于各种网络。但是TCP/IP协议本身就存在很多问题，几乎所有的internet协议都没有考虑安全机制。TCP/IP协议是采用物理地址来为网络节点的唯一标识，但是由于我们采用的是DHCP服务器技术，节点的IP地址是不固定的，是一个公共数据，因此攻击者可以直接修改节点的IP地址，冒充某个可信节点的IP地址，进行攻击。

篇8

关键词：计算机 网络安全 网络建设 安全技术

中图分类号：TN711 文献标识码：A 文章编号：

随着计算机网络的不断发展，信息全球化已成为人类发展的现实。但由于计算机网络具有多样性、开放性、互连性等特点，致使网络易受攻击。具体的攻击是多方面的，有来自黑客的攻击，也有其他诸如计算机病毒等形式的攻击。因此，网络的安全措施就显得尤为重要，只有针对各种不同的威胁或攻击采取必要的措施，才能确保网络信息的保密性、安全性和可靠性。

1威胁计算机网络安全的因素

计算机网络安全所面临的威胁是多方面的，一般认为，目前网络存在的威胁主要表现在：

1.1非授权访问

没有预先经过同意，就使用网络或计算机资源被看作非授权访问，如有意避开系统访问控制机制，对网络设备及资源进行非正常使用，或擅自扩大权限，越权访问信息。它主要有以下几种形式：假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。

1.2信息泄漏或丢失

指敏感数据在有意或无意中被泄漏出去或丢失，它通常包括：信息在传输中丢失或泄漏(如"黑客"利用电磁泄漏或搭线窃听等方式可截获机密信息，或通过对信息流向、流量、通信频度和长度等参数的分析，推出有用信息，如用户口令、账号等重要信息)、信息在存储介质中丢失或泄漏、通过建立隐蔽隧道等窃取敏感信息等。 1.3破坏数据完整性

以非法手段窃得对数据的使用权，删除、修改、插入或重发某些重要信息，以取得有益于攻击者的响应；恶意添加、修改数据，以干扰用户的正常使用。

1.4拒绝服务攻击

它不断对网络服务系统进行干扰，改变其正常的作业流程，执行无关程序使系统响应减慢甚至瘫痪，影响正常用户的使用，甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。

1.5利用网络传播病毒

通过网络传播计算机病毒，其破坏性大大高于单机系统，而且用户很难防范。

2网络安全建设方法与技术

网络具有访问方式多样、用户群庞大、网络行为突发性较高的特点。网络安全问题要从网络规划阶段制定各种策略，并在实际运行中加强管理。为保障网络系统的正常运行和网络信息的安全，需要从多个方面采取对策。攻击随时可能发生，系统随时可能被攻破，对网络的安全采取防范措施是很有必要的。常用的防范措施有以下几种。

2.1计算机病毒防治

大多数计算机都装有杀毒软件，如果该软件被及时更新并正确维护，它就可以抵御大多数病毒攻击。定期地升级软件是很重要的。在病毒入侵系统时，对于病毒库中已知的病毒或可疑程序、可疑代码，杀毒软件可以及时地发现，并向系统发出警报，准确地查找出病毒的来源。大多数病毒能够被清除或隔离。再有，对于不明来历的软件、程序及陌生邮件，不要轻易打开或执行。感染病毒后要及时修补系统漏洞，并进行病毒检测和清除。 2.2防火墙技术

防火墙是控制两个网络间互相访问的一个系统。它通过软件和硬件相结合，能在内部网络与外部网络之间构造起一个"保护层"，网络内外的所有通信都必须经过此保护层进行检查与连接，只有授权允许的通信才能获准通过保护层。防火墙可以阻止外界对内部网络资源的非法访问，也可以控制内部对外部特殊站点的访问，提供监视Internet安全和预警的方便端点。当然，防火墙并不是万能的，即使是经过精心配置的防火墙也抵挡不住隐藏在看似正常数据下的通道程序。根据需要合理的配置防火墙，尽量少开端口，采用过滤严格的WEB程序以及加密的HTTP协议，管理好内部网络用户，经常升级，这样可以更好地利用防火墙保护网络的安全。

2.3入侵检测

攻击者进行网络攻击和入侵的原因，在于计算机网络中存在着可以为攻击者所利用的安全弱点、漏洞以及不安全的配置，比如操作系统、网络服务、TCP／IP协议、应用程序、网络设备等几个方面。如果网络系统缺少预警防护机制，那么即使攻击者已经侵入到内部网络，侵入到关键的主机，并从事非法的操作，我们的网管人员也很难察觉到。这样，攻击者就有足够的时间来做他们想做的任何事情。

基于网络的IDS，即入侵检测系统，可以提供全天候的网络监控，帮助网络系统快速发现网络攻击事件，提高信息安全基础结构的完整性。IDS可以分析网络中的分组数据流，当检测到未经授权的活动时，IDS可以向管理控制台发送警告，其中含有详细的活动信息，还可以要求其他系统(例如路由器)中断未经授权的进程。IDS被认为是防火墙之后的第二道安全闸门，它能在不影响网络性能的情况下对网络进行监听，从而提供对内部攻击、外部攻击和误操作的实时保护。

2.4安全漏洞扫描技术

安全漏洞扫描技术可以自动检测远程或本地主机安全性上的弱点，让网络管理人员能在入侵者发现安全漏洞之前，找到并修补这些安全漏洞。安全漏洞扫描软件有主机漏洞扫描，网络漏洞扫描，以及专门针对数据库作安全漏洞检查的扫描器。各类安全漏洞扫描器都要注意安全资料库的更新，操作系统的漏洞随时都在，只有及时更新才能完全的扫描出系统的漏洞，阻止黑客的入侵。

2.5数据加密技术

数据加密技术是最基本的网络安全技术，被誉为信息安全的核心，最初主要用于保证数据在存储和传输过程中的保密性。它通过变换和置换等各种方法将被保护信息置换成密文，然后再进行信息的存储或传输，即使加密信息在存储或者传输过程为非授权人员所获得，也可以保证这些信息不为其认知，从而达到保护信息的目的。该方法的保密性直接取决于所采用的密码算法和密钥长度。

2.6安全隔离技术

面对新型网络攻击手段的不断出现和高安全网络的特殊需求，全新安全防护理念"安全隔离技术"应运而生。它的目标是，在确保把有害攻击隔离在可信网络之外，并保证可信网络内部信息不外泄的前提下，完成网络间信息的安全交换。隔离概念的出现是为了保护高安全度网络环境。

2.7黑客诱骗技术

黑客诱骗技术是近期发展起来的一种网络安全技术，通过一个由网络安全专家精心设置的特殊系统来引诱黑客，并对黑客进行跟踪和记录。这种黑客诱骗系统通常也称为蜜罐(Honeypot)系统，其最重要的功能是特殊设置的对于系统中所有操作的监视和记录，网络安全专家通过精心的伪装使得黑客在进入到目标系统后，仍不知晓自己所有的行为已处于系统的监视之中。为了吸引黑客，网络安全专家通常还在蜜罐系统上故意留下一些安全后门来吸引黑客上钩，或者放置一些网络攻击者希望得到的敏感信息，当然这些信息都是虚假信息。这样，当黑客正为攻入目标系统而沾沾自喜的时候，他在目标系统中的所有行为，包括输入的字符、执行的操作都已经为蜜罐系统所记录。有些蜜罐系统甚至可以对黑客网上聊天的内容进行记录。蜜罐系统管理人员通过研究和分析这些记录，可以知道黑客采用的攻击工具、攻击手段、攻击目的和攻击水平，通过分析黑客的网上聊天内容还可以获得黑客的活动范围以及下一步的攻击目标，根据这些信息，管理人员可以提前对系统进行保护。同时在蜜罐系统中记录下的信息还可以作为对黑客进行的证据。

篇9

一、企业网络系统存在的安全隐患

企业网络安全系统就是企业借助计算机、通信设施等现代设备，构建相应的满足企业日常经营和管理需求的系统模式。随着信息技术的快速发展，企业网络建设更加成熟和完善。整个网络系统能够跨越多个地区、覆盖千家企业和大量用户，网络比较庞大且复杂，不管网络构架多么的复杂，其应用系统种类更加繁多，各系统间关联性更强[1]。目前，企业网络安全系统主要面临以下威胁：（1）物理层安全威胁会导致设备损坏，系统或网络不可用，数据损坏、丢失等。（2）因企业管理人员水平不高，引发企业内部信息泄露的威胁。同时，在整个网络中，内部员工对企业网络结构、应用比较熟悉，自己攻击或泄露内部信息，也会导致系统遭受致命的安全威胁。（3）计算机病毒是一种可以将自身附加值目标机系统的文件程序，其对系统的破坏性非常严重，会导致服务拒绝、破坏数据或导致整个系统面临瘫痪。当病毒释放至网络环境内，其无法预测其产生的危害。

二、企业网络安全防护系统设计

1身份认证系统的设计与实现

身份认证作为网络安全的重要组成部分，企业网络安全系统中设计基于RSA的认证系统，该系统为三方身份认证协议。

（1）申请认证模块的设计与实现

CA设置在企业主服务器上，本系统主要包含申请认证、身份认证、通信模块。其中，申请认证完成与申请认证相关的操作，该模块实现流程如下：用鼠标点击菜单项中的“申请证书”，弹出相应的认证界面。在申请书界面内，输入用户的姓名及密码，传递至CA认证。

CA接收到认证方所发出的名称和明码后，并将认证结果发送至申请证书方，当通过用户验证将公钥传给CA。

CA接收申请证书一方传来的公钥，把其制作为证书发送给申请方，完成CA各项功能。申请方接收CA传来的证书后，保存至初始化文件.ini内。在申请方.ini文件内可以看见用户设置的公钥。

（2）身份认证模块

实施身份认证的双方，依次点击菜单项中的身份认证项，打开相应的身份认证对话框，提出验证方的请求连接，以此为双方创建连接[2]。

实际认证过程中，采用产生的随机数字N1、N2来抵抗攻击。B验证A证书有效后，获取自己的证书，产生随机数N1对其实施签名。随之把证书、签名的N1两条信息一起传递至A。A接收B发出的信息后，将其划分为两个部分，并验证B的身份同时获取B公钥。A验证B证书属于有效后，取出N传出的随机数N1，并产生随机数字N2，把密钥采用B公钥加密，最终把加密后的密钥采用A传送至B。B接受A发出的信息后，对A签名数据串进行解签，对传输的数据进行验证。如果验证失败，必须重新实施认证。实现代码如下：

UCHARdata[1024]={0}：//解密后的私钥文件UINT4datalen=10224//解密后私钥文件长度if（RTN_OK！=CryptionProe（ATTRIB_SDBI_KEY，Dec_keylen，DNCRYPT，kk->length，data，&datalen））{m_List.AddMSg（解密私钥失败”，M_ERROR）：deletekk；retllrn；}e1se.

2安全防护系统的设计及实现

设计安全防护系统旨在保护企业内部信息的安全，实现对各个协议和端口过滤操作，并实时监测网络的安全性。

（1）Windos网络接口标准

安全防护系统总设计方案是基于Windows内核内截取所有IP包。在Windows操作系统内，NDIS发挥着重要的作用，其是网络协议与NIC之间的桥梁，Windows网络接口见图1。其中，NDIS设置在MinpORT驱动程序上，Miniport相当于数据链路层的介质访问控制子层。

（2）数据包过滤系统

数据包过滤系统主要过滤IP数据包、UDP数据包、传输层TCP、应用层HTTP等。包过滤技术遵循“允许或不允许”部分数据包通过防火墙，数据包过滤流程见图2。包过滤装置对数据包进行有选择的通过，采用检查数据量中各数据包后，依据数据包源地址、TCP链路状态等明确数据包是否通过[3]。

综上所述，现阶段，我国多数企业设置的安全防护系统主要预防外部人员的非法入侵和供给，对企业内部人员发出的网络攻击、信息窃取无法起到防护的效果。文中对网络系统安全存在的安全风险展开分析，提出企业网络身份认证系统和安全防护系统设计与实现步骤，以此提升企业网络信息的安全性，为企业更好地发展提供安全支持。

参考文献：

[1]徐哲明.企业网络系统安全修补程序构架的设计[J].计算机安全，2013，17（8）：47-50.

[2]劳伟强.企业数据网安全防护体系的研究与实现[J].电子世界，2013，35（22）：154-154.

[3]付宁.企业网络安全防护体系及企业邮箱的建立[J].科技传播，2013，12（2）：214-215.

篇10

摘要：本文从校园网设计原则出发，着重描述校园网架构以及各网络层次结构的选择和建议。

一、校园网络设计原则

（一）整体规划、分步实施原则。充分考虑整体需求，既要考虑到目前的应用需求，还应考虑校园网建设过程中的资金投入不可能一步到位、以及今后出现新技术和新需求的实际情况，做到升级维护简单易行，后期建设不浪费原有投资。

（二）先进性和成熟性原则。要有先进的设计思想和超前意识，设计要充分应用已经成熟的先进技术，采用市场覆盖率高、标准化和技术成熟的软硬件产品，能根据技术的发展平稳的向新技术过渡，保证网络通讯介质、网络设计核心的向后兼容性。

（三）可扩充性原则。要建设成完整统一、组网灵活、易扩充的弹性网络平台，采用层次性的系统设计原则，使网络具有良好的可扩充性，在将来网络升级或再投资的情况下，能随时通过增加网络设备或模块来对现有设备进行升级和扩充，并能把替换下来的设备应用到分支或边缘网络上。

（四）开放性和标准化原则。网络设计采用开放技术、开放结构、开放系统组件和开放用户接口，能兼容不同的拓扑结构，支持良好的维护、测量和管理手段，提供网络统一实时监控，实现设备的统一管理；整个网络系统全部采用或符合国际标准，以便和不同厂家的产品互操作和互联，自由地选择不同厂家的计算机、网络设备及操作系统。

（五）安全可靠性原则。充分考虑整个网络的稳定性，要充分考虑关键链路、设备、系统的冗余设计，支持网络节点的备份和线路保护，通过使用网络用户身份识别、vlan、包过滤、入侵检测及防火墙等技术建立全方位、立体化的网络安全体系，保证网络系统的安全性。

（六）经济实用性原则。网络规划设计应具有良好的性价比，要考虑到网络技术的日新月异，选择网络设备时要有前瞻性，要能够兼容未来的标准技术及应用，避免现在选择的技术或设备在一段时间后就会过时甚至被淘汰，造成新一轮的大规模投资，尽量减少二次投资。

二、网络结构设计方案

（一）网络架构选择。在校园网的建设过程中，主干网选择何种网络技术对网络建设的成功与否起着决定性作用。选择适合自身校园网络需求特点的主流网络技术，不但能保证网络的高性能，还能保证网络的先进性和扩展性，将来能向新技术、新设备平稳过渡，从而保护原有投资。校园网属于局域网范畴，通过网络主干将各楼宇内的局域子网互联起来，并通过出口系统，实现与外部教育网、公网互联。网络主干、各楼宇的子网、网络出口、各种网络安全系统以及网络管理系统构成完整的校园网络系统。

目前，校园主干网建设中采用的网络技术主要有千兆以太网技术、万兆以太网技术、fddi技术以及atm技术，这些技术各有优缺，选择时需要综合考虑实际建设的具体需求，选择适合于学校自身实际情况的网络。通过以上几种技术对比，千兆以太网和万兆以太网技术具有传输速率高、技术成熟、性价比优异等特点，是当今校园网建设的主流技术，同时也是对原有网络升级的明智选择。因此，如果是中等规模的院校，其校园网络规划可选取以千兆以太网组建网络核心，以百兆以太网作为分支局域网的组网方式。

（二）网络层次结构选择。对于中等规模高校而言，根据校园规划、校园内数据访问流量特点，网络可采用模块化、层次化的设计方法，使用核心层、汇聚层、接入层三层构架方式。通过千兆光纤交换构建网络核心层，构成网络主干；通过千兆双绞线交换构建汇聚层，构成楼宇子网交换；通过百兆交换构成接入层，实现楼宇中各楼层房间的网络接入。核心层通过1ge技术构成互联，主要完成数据的高速转发；汇聚层在主干光纤线路上选择几个节点作为汇聚节点，汇聚节点与核心节点之间通过1ge技术连接，汇聚节点通过1ge与接入层节点连接；接入层完成用户的接入控制、速率限制和网络准入检测，以及通过802.3af技术提供对无线ap、ip视频监控头等的以太网供电。

1.核心层。考虑学校网络建设有一个逐渐扩大规模的过程，设计时充分考虑了网络结构灵活性，先在校园网络部署2核心节点，双冗余模式。两个核心节点采用2台高性能千兆路由交换机作为主干中心交换机，将两核心节点以千兆双回路互联提供无阻塞传输骨干网，并实现负载分担和互为备份，提高核心层的可靠性和稳定性。