國(guó)家電力信息網(wǎng)絡(luò)運(yùn)維方案

1、目錄第一章前言中國(guó)電力系統(tǒng)的信息化從20世紀(jì)60年代就已經(jīng)開始起步，早期主要集中在發(fā)電廠和變電站自動(dòng)監(jiān)測(cè)/控制方面等電力生產(chǎn)過程自動(dòng)化，20世紀(jì)8090年代開始進(jìn)入電力系統(tǒng)專項(xiàng)業(yè)務(wù)應(yīng)用，涉及電網(wǎng)調(diào)度自動(dòng)化、電力負(fù)荷控制、計(jì)算機(jī)輔助設(shè)計(jì)、計(jì)算機(jī)仿真系統(tǒng)等的使用。20世紀(jì)末，電力信息技術(shù)進(jìn)一步發(fā)展到綜合應(yīng)用，各級(jí)電力企業(yè)開始建立管理信息系統(tǒng)，實(shí)現(xiàn)管理信息化，電力信息化逐漸從生產(chǎn)操作層走向管理層，并向更深層次拓展。相對(duì)于傳統(tǒng)行業(yè)，我國(guó)電力行業(yè)的信息化建設(shè)發(fā)展較早，已經(jīng)有了一定的規(guī)模，到目前為止，電力企業(yè)的網(wǎng)絡(luò)普遍建立，電力專用通信網(wǎng)已日趨完善，形成了微波、衛(wèi)星、光纖、無線移動(dòng)通信等多種類通信手段，通

2、信范圍覆蓋全國(guó)。在此基礎(chǔ)上，基本建成從國(guó)家電網(wǎng)公司一區(qū)域電網(wǎng)中心f省電力公司f地市電力公司f變電所（局）的四級(jí)計(jì)算機(jī)網(wǎng)絡(luò)和電力生產(chǎn)調(diào)度網(wǎng)絡(luò)，成為生產(chǎn)控制、電力調(diào)度以及信息傳輸和交換的重要基礎(chǔ)設(shè)施。隨著電力市場(chǎng)化以及電網(wǎng)建設(shè)的進(jìn)一步發(fā)展，傳統(tǒng)的電力系統(tǒng)業(yè)務(wù)正在發(fā)生變化，這主要體現(xiàn)在電力交易系統(tǒng)、電能量計(jì)量系統(tǒng)的建設(shè)；會(huì)議電視、變電站視頻監(jiān)控（無人值守）、輸變電線路監(jiān)控及電廠視頻監(jiān)控等視頻業(yè)務(wù)的出現(xiàn)；傳統(tǒng)單一主機(jī)的調(diào)度自動(dòng)化體系架構(gòu)向客戶機(jī)/服務(wù)器體系架構(gòu)的轉(zhuǎn)變；監(jiān)視全網(wǎng)運(yùn)行狀況，提供故障記錄和分析的故障錄波系統(tǒng)的建設(shè)：雷電定位系統(tǒng)、氣象信息系統(tǒng)的建設(shè)；多媒體業(yè)務(wù)的出現(xiàn)等。因此，基于Interne

3、t/Intranet的體現(xiàn)信息化綜合業(yè)務(wù)應(yīng)用的管理信息系統(tǒng)將成為電力企業(yè)信息化的發(fā)展重點(diǎn)。電力數(shù)據(jù)網(wǎng)絡(luò)承載的業(yè)務(wù)按照其性質(zhì)和對(duì)安全的要求分為實(shí)時(shí)控制業(yè)務(wù)、非控制生產(chǎn)業(yè)務(wù)、生產(chǎn)管理業(yè)務(wù)和管理信息業(yè)務(wù)。目前網(wǎng)絡(luò)上所有業(yè)務(wù)都承載在同一網(wǎng)絡(luò)上，存在安全隱患，服務(wù)質(zhì)量也難以保證。按照國(guó)家電力公司的統(tǒng)一規(guī)劃，提出了“兩網(wǎng)分開”的措施。其中實(shí)時(shí)控制業(yè)務(wù)和非控制生產(chǎn)業(yè)務(wù)屬于電力生產(chǎn)和控制的關(guān)鍵業(yè)務(wù)，對(duì)可靠性、實(shí)時(shí)性、安全性的要求非常嚴(yán)格，由獨(dú)立的電力調(diào)度數(shù)據(jù)網(wǎng)承載。而生產(chǎn)管理業(yè)務(wù)和管理信息業(yè)務(wù)由電力通信數(shù)據(jù)網(wǎng)承載。兩個(gè)網(wǎng)絡(luò)之間物理上分離。無論對(duì)于電力調(diào)度數(shù)據(jù)網(wǎng)還是電力通信數(shù)據(jù)網(wǎng)，建立一個(gè)綜合、經(jīng)濟(jì)、可靠、安全

4、的通信網(wǎng)絡(luò)，既能滿足現(xiàn)在電力系統(tǒng)語音、數(shù)據(jù)、圖像等各種業(yè)務(wù)的需求，又能面向未來，支持不斷增多的用戶、更大的帶寬以及新的業(yè)務(wù)的廣域數(shù)據(jù)網(wǎng)是關(guān)鍵所在。結(jié)合我們對(duì)電力行業(yè)的多方面了解，我們山東電力的信息化建設(shè)在國(guó)家電力信息化建設(shè)方面，今年是重點(diǎn)推進(jìn)的項(xiàng)目之一，已進(jìn)入了加快發(fā)展階段。我們山東博威信息技術(shù)有限公司，無論在電力行業(yè)，還是在教育、政府、金融、軍隊(duì)等其他重點(diǎn)行業(yè)以及中大型企業(yè)的信息化建設(shè)，都積累了豐富的行業(yè)項(xiàng)目集成經(jīng)驗(yàn)。我們的精英團(tuán)隊(duì)深知電力網(wǎng)信息化建設(shè)的重任，現(xiàn)在將以更大、更堅(jiān)定的步伐服務(wù)于我們山東電力以及全國(guó)電力網(wǎng)絡(luò)的信息化建設(shè)。第二章電力網(wǎng)絡(luò)安全需求分析與設(shè)計(jì)規(guī)劃電力網(wǎng)安全建設(shè)需求分析：

5、網(wǎng)絡(luò)安全威脅來源自信息系統(tǒng)開始運(yùn)行以來就存在信息系統(tǒng)安全問題，通過網(wǎng)絡(luò)遠(yuǎn)程訪問而構(gòu)成的安全威脅成為日益受到嚴(yán)重關(guān)注的問題。根據(jù)美國(guó)FBI的調(diào)查，美國(guó)每年因?yàn)榫W(wǎng)絡(luò)安全造成的經(jīng)濟(jì)損失超過170億美元。網(wǎng)絡(luò)安全威脅的來源在于網(wǎng)絡(luò)內(nèi)運(yùn)行的多種網(wǎng)絡(luò)協(xié)議，因?yàn)檫@些網(wǎng)絡(luò)協(xié)議并非專為安全通訊而設(shè)計(jì)。因此，網(wǎng)絡(luò)可能存在的安全威脅來自以下方面:操作系統(tǒng)的安全性。前流行的許多操作系統(tǒng)均存在網(wǎng)絡(luò)安全漏洞，如UNIX服務(wù)器，NT服務(wù)器及Windows桌面PC；防火墻的安全性。防火墻產(chǎn)品自身是否安全，是否設(shè)置錯(cuò)誤，需要經(jīng)過檢驗(yàn)；來自內(nèi)部網(wǎng)用戶的安全威脅；缺乏有效的手段監(jiān)視、評(píng)估網(wǎng)絡(luò)系統(tǒng)的安全性；5采用的TCP/IP協(xié)議族

6、軟件，本身缺乏安全性；6.應(yīng)用服務(wù)的安全。多應(yīng)用服務(wù)系統(tǒng)在訪問控制及安全通訊方面考慮較少，并且，如果系統(tǒng)設(shè)置錯(cuò)誤，很容易造成損失網(wǎng)絡(luò)安全體系結(jié)構(gòu)以上所列舉的種種網(wǎng)絡(luò)安全問題，從網(wǎng)絡(luò)結(jié)構(gòu)上來講涉及到網(wǎng)絡(luò)結(jié)構(gòu)的各個(gè)層次。按照OSI7層模型，網(wǎng)絡(luò)安全貫穿于整個(gè)7層模型。針對(duì)網(wǎng)絡(luò)實(shí)際運(yùn)行的TCP/IP協(xié)議，網(wǎng)絡(luò)安全貫穿于信息系統(tǒng)的4個(gè)層次。平臺(tái)安全的層次模型應(yīng)應(yīng)用系應(yīng)應(yīng)用系統(tǒng)用應(yīng)用平用應(yīng)用平臺(tái)會(huì)話層會(huì)話安全網(wǎng)絡(luò)層安全路由/訪問鏈路層鏈路安全物理層物理層信息安上圖表示了對(duì)應(yīng)網(wǎng)絡(luò)的安全體系層次模型：圖1-1安全體系層次模型物理層的安全物理層信息安全，主要防止物理通路的損壞、物理通路的竊聽、對(duì)物理通路的攻擊

7、（干擾等）。鏈路層的安全鏈路層的網(wǎng)絡(luò)安全需要保證通過網(wǎng)絡(luò)鏈路傳送的數(shù)據(jù)不被竊聽。主要采用劃分VLAN（局域網(wǎng)）、加密通訊VPN（遠(yuǎn)程網(wǎng)）等手段。網(wǎng)絡(luò)層的安全網(wǎng)絡(luò)層的安全需要保證網(wǎng)絡(luò)只給授權(quán)的客戶使用授權(quán)的服務(wù)，保證網(wǎng)絡(luò)路由正確，避免被攔截或監(jiān)聽。操作系統(tǒng)的安全操作系統(tǒng)安全要求保證客戶資料、操作系統(tǒng)訪問控制的安全，同時(shí)能夠?qū)υ摬僮飨到y(tǒng)上的應(yīng)用進(jìn)行審計(jì)。應(yīng)用平臺(tái)的安全應(yīng)用平臺(tái)指建立在網(wǎng)絡(luò)系統(tǒng)之上的應(yīng)用軟件服務(wù)，如數(shù)據(jù)庫服務(wù)器、電子郵件服務(wù)器、Web服務(wù)器等。由于應(yīng)用平臺(tái)的系統(tǒng)非常復(fù)雜，通常采用多種技術(shù)（如SSL等）來增強(qiáng)應(yīng)用平臺(tái)的安全性。應(yīng)用系統(tǒng)的安全應(yīng)用系統(tǒng)完成網(wǎng)絡(luò)系統(tǒng)的最終目的-為用戶服務(wù)。應(yīng)

8、用系統(tǒng)的安全與系統(tǒng)設(shè)計(jì)和實(shí)現(xiàn)關(guān)系密切。應(yīng)用系統(tǒng)使用應(yīng)用平臺(tái)提供的安全服務(wù)來保證基本安全，如通訊內(nèi)容安全，通訊雙方的認(rèn)證，審計(jì)等手段。電力網(wǎng)絡(luò)安全建設(shè)的需求分析根據(jù)咱們山東電力信息網(wǎng)絡(luò)的實(shí)際情況，我公司認(rèn)為電力行業(yè)數(shù)據(jù)網(wǎng)絡(luò)經(jīng)過多年建設(shè)，已經(jīng)建成一個(gè)基礎(chǔ)良好的網(wǎng)絡(luò)，但是隨著電網(wǎng)建設(shè)的新需求、電網(wǎng)市場(chǎng)化的進(jìn)一步發(fā)展以及信息安全技術(shù)的發(fā)展，電力數(shù)據(jù)網(wǎng)絡(luò)建設(shè)正面臨若干亟待解決的挑戰(zhàn)：兩網(wǎng)分離：在電力調(diào)度數(shù)據(jù)網(wǎng)與電力通信數(shù)據(jù)網(wǎng)分離的大趨勢(shì)下，如何實(shí)現(xiàn)兩網(wǎng)分離是擺在各級(jí)調(diào)度機(jī)構(gòu)面前的緊迫問題。全國(guó)各地區(qū)經(jīng)濟(jì)發(fā)展不平衡、電網(wǎng)規(guī)模各異、現(xiàn)有數(shù)據(jù)網(wǎng)絡(luò)情況千差萬別。部分省份已經(jīng)建設(shè)了ATM骨干數(shù)據(jù)網(wǎng)，另外部分省份建

9、設(shè)了IP寬帶數(shù)據(jù)網(wǎng)，也有部分省份網(wǎng)絡(luò)骨干還是基于微波和窄帶線路的窄帶網(wǎng)絡(luò)。如何實(shí)現(xiàn)兩網(wǎng)分離，是新建網(wǎng)絡(luò)還是利用原有網(wǎng)絡(luò)，如何保護(hù)現(xiàn)有投資，都是各級(jí)調(diào)度通信中心需要考慮的問題。寬帶網(wǎng)絡(luò)：國(guó)家電網(wǎng)公司、南方電網(wǎng)公司和幾大發(fā)電集團(tuán)，對(duì)電力信息化的需求日益增強(qiáng)，對(duì)數(shù)據(jù)的即時(shí)性、準(zhǔn)確性和各公司實(shí)際生產(chǎn)運(yùn)行以及經(jīng)濟(jì)運(yùn)行相關(guān)性將有更高的要求。各電力企業(yè)開發(fā)的財(cái)務(wù)系統(tǒng)、人力資源系統(tǒng)、生產(chǎn)管理系統(tǒng)、電力營(yíng)銷系統(tǒng)、物質(zhì)設(shè)備管理系統(tǒng)、電力負(fù)荷管理系統(tǒng)、安全監(jiān)督管理系統(tǒng)、計(jì)劃統(tǒng)計(jì)和綜合指標(biāo)系統(tǒng)等業(yè)務(wù)系統(tǒng)需要整合，提高信息資源共享水平，建立起一個(gè)適應(yīng)現(xiàn)代市場(chǎng)化環(huán)境的電力企業(yè)信息系統(tǒng)，為電力公司的產(chǎn)業(yè)提升和經(jīng)營(yíng)管理服務(wù)。

10、另一方面還需要加強(qiáng)企業(yè)信息網(wǎng)絡(luò)安全建設(shè)，確保企業(yè)穩(wěn)定安全發(fā)展。要把信息系統(tǒng)的防災(zāi)減災(zāi)系統(tǒng)、數(shù)據(jù)異地備份和雙機(jī)備份、遠(yuǎn)程備份等安全理念引入信息網(wǎng)安全系統(tǒng)中，建立企業(yè)的應(yīng)急處理系統(tǒng)?，F(xiàn)有的廣域網(wǎng)絡(luò)的帶寬、性能和覆蓋率還不能滿足電力市場(chǎng)化運(yùn)行的需要，企業(yè)信息系統(tǒng)的實(shí)用化程度有待提高。加快建設(shè)信息網(wǎng)絡(luò)，特別是建成以光纖通信為主的現(xiàn)代化電力通信傳輸干線網(wǎng)絡(luò)，形成高速寬帶數(shù)據(jù)網(wǎng)，構(gòu)建電力高速數(shù)據(jù)通信網(wǎng)絡(luò)平臺(tái)，是目前面臨的迫切需要。業(yè)務(wù)互通：各級(jí)電力公司的內(nèi)部網(wǎng)絡(luò)雖然普遍建立，基本實(shí)現(xiàn)了辦公網(wǎng)絡(luò)化，但是網(wǎng)絡(luò)之間缺少互聯(lián)互通，各網(wǎng)絡(luò)的信息系統(tǒng)不能共享，造成網(wǎng)絡(luò)的割裂和信息的孤島。而電力市場(chǎng)化之后，各級(jí)機(jī)構(gòu)之間

11、面臨著統(tǒng)一業(yè)務(wù)的需要，如：電力交易系統(tǒng)、電能量計(jì)量系統(tǒng)的建設(shè)面臨著全省網(wǎng)絡(luò)的互通和省際、網(wǎng)際之間的交互，對(duì)廣域網(wǎng)絡(luò)建設(shè)提出更高的要求，全國(guó)性骨干網(wǎng)絡(luò)和區(qū)域電網(wǎng)的建設(shè)是實(shí)現(xiàn)這一目標(biāo)的必有之路。電力市場(chǎng)化：電力改革實(shí)現(xiàn)了“廠網(wǎng)分離、競(jìng)價(jià)上網(wǎng)”，在電力行業(yè)引入市場(chǎng)競(jìng)爭(zhēng)機(jī)制，電力改革，改變了市場(chǎng)競(jìng)爭(zhēng)格局，改變了價(jià)值鏈模式，最終要求企業(yè)改革自身的管理來應(yīng)對(duì)各種變化。以信息技術(shù)提高管理運(yùn)營(yíng)效率的利器?企業(yè)信息化，其根本基礎(chǔ)是企業(yè)的運(yùn)營(yíng)與管理，也必須適應(yīng)這種管理與運(yùn)營(yíng)的變化。因此，電力改革最終也會(huì)影響到電力行業(yè)企業(yè)信息化建設(shè)。企業(yè)必須向以客戶為中心的管理與運(yùn)營(yíng)模式方向轉(zhuǎn)變，作為國(guó)家公用基礎(chǔ)性行業(yè)企業(yè)，電力行

12、業(yè)的競(jìng)爭(zhēng)是同質(zhì)產(chǎn)品的競(jìng)爭(zhēng)，如何在最短的時(shí)間里，以最好的服務(wù)質(zhì)量、最低的服務(wù)成本提供給用戶服務(wù)是電力行業(yè)企業(yè)信息化要實(shí)現(xiàn)的目標(biāo)，管理信息化建設(shè)將成為重點(diǎn)內(nèi)容。其中重點(diǎn)建設(shè)的內(nèi)容包括：提升企業(yè)內(nèi)部管理效率、降低成本的ERP系統(tǒng)與EAM系統(tǒng),支持客戶信息管理與分析的CRM系統(tǒng)，全面提高價(jià)值鏈競(jìng)爭(zhēng)效率的SCM系統(tǒng)等都將納入電力行業(yè)企業(yè)信息化建設(shè)。而實(shí)現(xiàn)企業(yè)信息化的基礎(chǔ)就是數(shù)據(jù)網(wǎng)絡(luò)。一個(gè)穩(wěn)定、可靠、高安全的網(wǎng)絡(luò)正是實(shí)現(xiàn)各種業(yè)務(wù)管理系統(tǒng)、提高客戶滿意度的前提條件。根據(jù)以上電力網(wǎng)絡(luò)發(fā)展情況，在網(wǎng)絡(luò)安全方面為了滿足以上發(fā)展情況，我們可以得到以下需求：網(wǎng)絡(luò)的基本安全需求滿足基本的安全要求，是該網(wǎng)絡(luò)成功運(yùn)行的必要

13、條件，在此基礎(chǔ)上提供強(qiáng)有力的安全保障，是網(wǎng)絡(luò)系統(tǒng)安全的重要原則。網(wǎng)絡(luò)內(nèi)部部署了眾多的網(wǎng)絡(luò)設(shè)備、服務(wù)器，保護(hù)這些設(shè)備的正常運(yùn)行，維護(hù)主要業(yè)務(wù)系統(tǒng)的安全，是網(wǎng)絡(luò)的基本安全需求。對(duì)于各種各樣的網(wǎng)絡(luò)攻擊，如何在提供靈活且高效的網(wǎng)絡(luò)通訊及信息服務(wù)的同時(shí)，抵御和發(fā)現(xiàn)網(wǎng)絡(luò)攻擊，并且提供跟蹤攻擊的手段，是本項(xiàng)目需要解決的問題。網(wǎng)絡(luò)基本安全要求主要表現(xiàn)為：網(wǎng)絡(luò)正常運(yùn)行。在受到攻擊的情況下，能夠保證網(wǎng)絡(luò)系統(tǒng)繼續(xù)運(yùn)行。網(wǎng)絡(luò)管理/網(wǎng)絡(luò)部署的資料不被竊取。具備先進(jìn)的入侵檢測(cè)及跟蹤體系。提供靈活而高效的內(nèi)外通訊服務(wù)。應(yīng)用系統(tǒng)的安全需求與普通網(wǎng)絡(luò)應(yīng)用不同的是，應(yīng)用系統(tǒng)是網(wǎng)絡(luò)功能的核心。對(duì)于應(yīng)用系統(tǒng)應(yīng)該具有最高的網(wǎng)絡(luò)安全措施

14、。應(yīng)用系統(tǒng)的安全體系應(yīng)包含：訪問控制，通過對(duì)特定網(wǎng)段、服務(wù)建立的訪問控制體系，將絕大多數(shù)攻擊阻止在到達(dá)攻擊目標(biāo)之前；檢查安全漏洞，通過對(duì)安全漏洞的周期檢查，即使攻擊可到達(dá)攻擊目標(biāo)，也可使絕大多數(shù)攻擊無效；攻擊監(jiān)控，通過對(duì)特定網(wǎng)段、服務(wù)建立的攻擊監(jiān)控體系，可實(shí)時(shí)檢測(cè)出絕大多數(shù)攻擊，并采取相應(yīng)的行動(dòng)（如斷開網(wǎng)絡(luò)連接、記錄攻擊過程、跟蹤攻擊源等）；加密通訊，主動(dòng)的加密通訊，可使攻擊者不能了解、修改敏感信息；認(rèn)證，良好的認(rèn)證體系可防止攻擊者假冒合法用戶；備份和恢復(fù)，良好的備份和恢復(fù)機(jī)制，可在攻擊造成損失時(shí)，盡快地恢復(fù)數(shù)據(jù)和系統(tǒng)服務(wù)；多層防御，攻擊者在突破第一道防線后，延緩或阻斷其到達(dá)攻擊目標(biāo)；隱藏內(nèi)部

15、信息，使攻擊者不能了解系統(tǒng)內(nèi)的基本情況；設(shè)立安全監(jiān)控中心，為信息系統(tǒng)提供安全體系管理、監(jiān)控，維護(hù)及緊急情況服務(wù)平臺(tái)安全的需求網(wǎng)絡(luò)平臺(tái)將支持多種應(yīng)用系統(tǒng)，對(duì)于每種系統(tǒng)均在不同程度上要求充分考慮平臺(tái)安全。平臺(tái)安全與平臺(tái)性能和功能的關(guān)系通常，系統(tǒng)安全與性能和功能是一對(duì)矛盾的關(guān)系。如果某個(gè)系統(tǒng)不向外界提供任何服務(wù)（斷開），外界是不可能構(gòu)成安全威脅的。但是，若要提供更多的服務(wù)，將網(wǎng)絡(luò)建成了一個(gè)開放的網(wǎng)絡(luò)環(huán)境，各種安全包括系統(tǒng)級(jí)的安全問題也隨之產(chǎn)生。構(gòu)建平臺(tái)安全系統(tǒng)，一方面由于要進(jìn)行認(rèn)證、加密、監(jiān)聽、分析、記錄等工作，由此影響網(wǎng)絡(luò)效率，并且降低客戶應(yīng)用的靈活性；另一方面也增加了管理費(fèi)用。但是，來自網(wǎng)絡(luò)的安

16、全威脅是實(shí)際存在的，特別是在網(wǎng)絡(luò)上運(yùn)行關(guān)鍵業(yè)務(wù)時(shí)，網(wǎng)絡(luò)安全是首先要解決的問題。選擇適當(dāng)?shù)募夹g(shù)和產(chǎn)品，制訂靈活的網(wǎng)絡(luò)安全策略，在保證網(wǎng)絡(luò)安全的情況下，提供靈活的網(wǎng)絡(luò)服務(wù)通道。采用適當(dāng)?shù)陌踩w系設(shè)計(jì)和管理計(jì)劃，能夠有效降低網(wǎng)絡(luò)安全對(duì)網(wǎng)絡(luò)性能的影響并降低管理費(fèi)用。平臺(tái)安全的管理因素平臺(tái)安全可以采用多種技術(shù)來增強(qiáng)和執(zhí)行。但是，很多安全威脅來源于管理上的松懈及對(duì)安全威脅的認(rèn)識(shí)。來自平臺(tái)方面的安全威脅主要利用以下途徑：系統(tǒng)實(shí)現(xiàn)存在的漏洞；系統(tǒng)安全體系的缺陷；使用人員的安全意識(shí)薄弱；管理制度的薄弱；良好的平臺(tái)管理有助于增強(qiáng)系統(tǒng)的安全性：及時(shí)發(fā)現(xiàn)系統(tǒng)安全的漏洞；審查系統(tǒng)安全體系；加強(qiáng)對(duì)使用人員的安全知識(shí)教育；

17、建立完善的系統(tǒng)管理制度。電力網(wǎng)網(wǎng)絡(luò)安全建設(shè)應(yīng)重點(diǎn)考慮的幾個(gè)問題機(jī)房建設(shè)的安全性在機(jī)房建設(shè)的過程中，用戶最看重的是各種機(jī)房設(shè)備的穩(wěn)定性和可靠性。智能化管理與監(jiān)控作為一個(gè)機(jī)房建設(shè)的重要組成部分，提高了機(jī)房的可用性和安全性，而且作為機(jī)房本身一個(gè)重要的功能已經(jīng)被融入到越來越多的機(jī)房設(shè)計(jì)中。機(jī)房當(dāng)中的安全性既包括設(shè)備的物理安全性又包括網(wǎng)絡(luò)邏輯上的安全性。防病毒軟件的使用各個(gè)廠商的防病毒軟件產(chǎn)品都有其不同的特色和側(cè)重點(diǎn)。國(guó)內(nèi)的防病毒軟件通常具有運(yùn)行迅速、資源占用低的特點(diǎn)，查毒能力和殺毒能力也都表現(xiàn)良好，只是在病毒處理方面還有待提高；國(guó)際廠商的產(chǎn)品在技術(shù)處理方面仍舊保有優(yōu)勢(shì)，但其并非完美無缺，一些處理策略和

18、產(chǎn)品理念上并不適合國(guó)內(nèi)市場(chǎng)，比較明顯一點(diǎn)的就是國(guó)際廠商一般對(duì)僅在國(guó)內(nèi)流行的qq病毒無法查殺。綜合而言，我們可以根據(jù)我們電力部門在廣域網(wǎng)接入和本地局域網(wǎng)內(nèi)各采用不同特性的殺毒軟件，以滿足我們不同的需求。防火墻的使用今天的防火墻設(shè)備被用來保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)免受未授權(quán)人員的騷擾與黑客的入侵，這些設(shè)備尤如一道城墻一樣隔在被保護(hù)的網(wǎng)絡(luò)與不安全的非信任網(wǎng)絡(luò)之間。防火墻是位于兩個(gè)信任程度不同的網(wǎng)絡(luò)之間（如企業(yè)內(nèi)部網(wǎng)絡(luò)和INTERNET之間）的軟件或硬件設(shè)備的組合，它對(duì)兩個(gè)網(wǎng)絡(luò)之間的通信進(jìn)行控制，通過強(qiáng)制實(shí)施統(tǒng)一的安全策略，防止對(duì)重要信息資源的非法存取和訪問，以達(dá)到保護(hù)系統(tǒng)安全的目的。入侵檢測(cè)與漏洞掃描入侵監(jiān)測(cè)系

19、統(tǒng)就像大廈的保安監(jiān)視系統(tǒng)一樣，監(jiān)視著網(wǎng)絡(luò)上的一舉一動(dòng)。它的“攝像頭”連接在網(wǎng)絡(luò)的主要節(jié)點(diǎn)上，偵聽、分析網(wǎng)絡(luò)流量它的“監(jiān)視器”安裝在網(wǎng)絡(luò)安全管理員的主機(jī)上，以便隨時(shí)發(fā)覺網(wǎng)絡(luò)中的入侵行為。通過運(yùn)用先進(jìn)的入侵監(jiān)測(cè)技術(shù)，入侵監(jiān)測(cè)系統(tǒng)可以發(fā)現(xiàn)絕大多數(shù)的網(wǎng)絡(luò)攻擊行為。身份驗(yàn)證認(rèn)證是計(jì)算機(jī)和網(wǎng)絡(luò)安全的基本組成部分。對(duì)用戶身份進(jìn)行認(rèn)證，使企業(yè)能夠充滿自信的對(duì)不同的用戶帳號(hào)指定不同的允許和訪問權(quán)限，以保證每個(gè)登陸到系統(tǒng)和網(wǎng)絡(luò)中的用戶只有完成他們工作所需的最低級(jí)別權(quán)限。2.2.6虛擬網(wǎng)絡(luò)技術(shù)的應(yīng)用出于電力行業(yè)的行政安全設(shè)置、建筑物的集中布線方式以及一些應(yīng)用和安全的考慮，虛擬網(wǎng)的劃分是必須的，針對(duì)每一個(gè)部門，通過V

20、LAN劃分的方式，將不同部分進(jìn)行有效地隔離，減少了沖突域，提高了網(wǎng)絡(luò)的安全訪問。此外，用戶需要的不僅僅是簡(jiǎn)單的劃分，更多的是如何有效的，簡(jiǎn)便的、動(dòng)態(tài)修改和配置它們。網(wǎng)絡(luò)管理電力網(wǎng)網(wǎng)絡(luò)系統(tǒng)分布在不同的地區(qū)，同時(shí)又分布在各個(gè)地區(qū)的不同位置，日常的網(wǎng)絡(luò)維護(hù)和操作的工作量大大增加，網(wǎng)絡(luò)系統(tǒng)需要一個(gè)可靠，便捷、功能強(qiáng)大的網(wǎng)絡(luò)管理系統(tǒng)來充分有效的管理和利用局域網(wǎng)絡(luò)資源。以上提出了一些在電力網(wǎng)絡(luò)設(shè)計(jì)及數(shù)據(jù)存儲(chǔ)應(yīng)考慮的因素，它與我們的設(shè)計(jì)原則是相符合的。在對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)中，我們必須堅(jiān)持從用戶實(shí)際需求出發(fā)，利用先進(jìn)的技術(shù)，為用戶構(gòu)建真正適合自身的網(wǎng)絡(luò)安全及存儲(chǔ)系統(tǒng)。電力網(wǎng)絡(luò)安全設(shè)計(jì)原則：網(wǎng)絡(luò)安全體系結(jié)構(gòu)主

21、要考慮安全對(duì)象和安全機(jī)制，安全對(duì)象主要有圖2-1網(wǎng)絡(luò)安全、系統(tǒng)安全、數(shù)據(jù)庫安全、信息安全、設(shè)備安全、信息介質(zhì)安全和計(jì)算機(jī)病毒防治等，其安全體系結(jié)構(gòu)如圖2-1所示安全體系設(shè)計(jì)原則在進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)安全設(shè)計(jì)、規(guī)劃時(shí)，應(yīng)遵循以下原則：需求、風(fēng)險(xiǎn)、代價(jià)平衡分析的原則：對(duì)任一網(wǎng)絡(luò)來說，絕對(duì)安全難以達(dá)到，也不一定必要。對(duì)一個(gè)網(wǎng)絡(luò)要進(jìn)行實(shí)際分析，對(duì)網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險(xiǎn)進(jìn)行定性與定量相結(jié)合的分析，然后制定規(guī)范和措施，確定本系統(tǒng)的安全策略。保護(hù)成本、被保護(hù)信息的價(jià)值必須平衡，價(jià)值僅1萬元的信息如果用5萬元的技術(shù)和設(shè)備去保護(hù)是一種不適當(dāng)?shù)谋Ｗo(hù)。綜合性、整體性原則：運(yùn)用系統(tǒng)工程的觀點(diǎn)、方法，分析網(wǎng)絡(luò)的安全問

22、題，并制定具體措施。一個(gè)較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果。一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)包括個(gè)人、設(shè)備、軟件、數(shù)據(jù)等環(huán)節(jié)。它們?cè)诰W(wǎng)絡(luò)安全中的地位和影響作用，只有從系統(tǒng)綜合的整體角度去看待和分析，才可能獲得有效、可行的措施。c.一致性原則這主要是指網(wǎng)絡(luò)安全問題應(yīng)與整個(gè)網(wǎng)絡(luò)的工作周期（或生命周期）同時(shí)存在，制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)的安全需求相一致。實(shí)際上，在網(wǎng)絡(luò)建設(shè)之初就考慮網(wǎng)絡(luò)安全對(duì)策，比等網(wǎng)絡(luò)建設(shè)好后再考慮，不但容易，而且花費(fèi)也少得多。易操作性原則安全措施要由人來完成，如果措施過于復(fù)雜，對(duì)人的要求過高，本身就降低了安全性。其次，采用的措施不能影響系統(tǒng)正常運(yùn)行。適應(yīng)性、靈活性原則安全措施必須能

23、隨著網(wǎng)絡(luò)性能及安全需求的變化而變化，要容易適應(yīng)、容易修改。多重保護(hù)原則任何安全保護(hù)措施都不是絕對(duì)安全的，都可能被攻破。但是建立一個(gè)多重保護(hù)系統(tǒng)，各層保護(hù)相互補(bǔ)充，當(dāng)一層保護(hù)被攻破時(shí)，其它層保護(hù)仍可保護(hù)信息的安全安全策略設(shè)計(jì)原則安全策略分安全管理策略和安全技術(shù)實(shí)施策略兩個(gè)方面：a.管理策略安全系統(tǒng)需要人來執(zhí)行，即使是最好的、最值得信賴的系統(tǒng)安全措施，也不能完全由計(jì)算機(jī)系統(tǒng)來完全承擔(dān)安全保證任務(wù)，因此必須建立完備的安全組織和管理制度。b.技術(shù)策略技術(shù)策略要針對(duì)網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫、信息共享授權(quán)提出具體的措施。安全管理設(shè)計(jì)原則計(jì)算機(jī)信息系統(tǒng)的安全管理主要基于三個(gè)原則。a.人負(fù)責(zé)原則每項(xiàng)與安全有關(guān)的

24、活動(dòng)都必須有兩人或多人在場(chǎng)。這些人應(yīng)是系統(tǒng)主管領(lǐng)導(dǎo)指派的，應(yīng)忠誠(chéng)可靠，能勝任此項(xiàng)工作。任期有限原則一般地講，任何人最好不要長(zhǎng)期擔(dān)任與安全有關(guān)的職務(wù)，以免誤認(rèn)為這個(gè)職務(wù)是專有的或永久性的。職責(zé)分離原則除非系統(tǒng)主管領(lǐng)導(dǎo)批準(zhǔn)，在信息處理系統(tǒng)工作的人員不要打聽、了解或參與職責(zé)以外、與安全有關(guān)的任何事情。安全管理的實(shí)現(xiàn)信息系統(tǒng)的安全管理部門應(yīng)根據(jù)管理原則和該系統(tǒng)處理數(shù)據(jù)的保密性，制訂相應(yīng)的管理制度或采用相應(yīng)規(guī)范，其具體工作是：確定該系統(tǒng)的安全等級(jí)；根據(jù)確定的安全等級(jí)，確定安全管理的范圍；制訂相應(yīng)的機(jī)房出入管理制度，對(duì)安全等級(jí)要求較高的系統(tǒng)，要實(shí)行分區(qū)控制，限制工作人員出入與己無關(guān)的區(qū)域；制訂嚴(yán)格的操作規(guī)

25、程，操作規(guī)程要根據(jù)職責(zé)分離和多人負(fù)責(zé)的原則，各負(fù)其責(zé)，不能超越自己的管轄范圍；制訂完備的系統(tǒng)維護(hù)制度，維護(hù)時(shí)，要首先經(jīng)主管部門批準(zhǔn)，并有安全管理人員在場(chǎng)，故障原因、維護(hù)內(nèi)容和維護(hù)前后的情況要詳細(xì)記錄；制訂應(yīng)急措施，要制訂在緊急情況下，系統(tǒng)如何盡快恢復(fù)的應(yīng)急措施，使損失減至最??；建立人員雇用和解聘制度，對(duì)工作調(diào)動(dòng)和離職人員要及時(shí)調(diào)整相應(yīng)的授權(quán)。安全系統(tǒng)需要由人來計(jì)劃和管理，任何系統(tǒng)安全設(shè)施也不能完全由計(jì)算機(jī)系統(tǒng)獨(dú)立承擔(dān)系統(tǒng)安全保障的任務(wù)。一方面，各級(jí)領(lǐng)導(dǎo)一定要高度重視并積極支持有關(guān)系統(tǒng)安全方面的各項(xiàng)措施。其次，對(duì)各級(jí)用戶的培訓(xùn)也十分重要，只有當(dāng)用戶對(duì)網(wǎng)絡(luò)安全性有了深入了解后，才能降低網(wǎng)絡(luò)信息系統(tǒng)

26、的安全風(fēng)險(xiǎn)?？傊?，制定系統(tǒng)安全策略、安裝網(wǎng)絡(luò)安全系統(tǒng)只是網(wǎng)絡(luò)系統(tǒng)安全性實(shí)施的第一步，只有當(dāng)各級(jí)組織機(jī)構(gòu)均嚴(yán)格執(zhí)行網(wǎng)絡(luò)安全的各項(xiàng)規(guī)定，認(rèn)真維護(hù)各自負(fù)責(zé)的分系統(tǒng)的網(wǎng)絡(luò)安全性，才能保證整個(gè)系統(tǒng)網(wǎng)絡(luò)的整體安全性。網(wǎng)絡(luò)結(jié)構(gòu)安全設(shè)計(jì)原則由于網(wǎng)絡(luò)的互連是在鏈路層、網(wǎng)絡(luò)層、傳輸層、應(yīng)用層不同協(xié)議層來實(shí)現(xiàn)，各個(gè)層的功能特性和安全特性也不同，因而其網(wǎng)絡(luò)安全措施也不相同。物理層安全涉及傳輸介質(zhì)的安全特性，抗干擾、防竊聽將是物理層安全措施制定的重點(diǎn)。在鏈路層，通過“橋”這一互連設(shè)備的監(jiān)視和控制作用，使我們可以建立一定程度的虛擬局域網(wǎng)，對(duì)物理和邏輯網(wǎng)段進(jìn)行有效的分割和隔離，消除不同安全級(jí)別邏輯網(wǎng)段間的竊聽可能。在網(wǎng)絡(luò)層

27、，可通過對(duì)不同子網(wǎng)的定義和對(duì)路由器的路由表控制來限制子網(wǎng)間的接點(diǎn)通信，通過對(duì)主機(jī)路由表的控制來控制與之直接通信的節(jié)點(diǎn)。同時(shí)，利用網(wǎng)關(guān)的安全控制能力，可以限制節(jié)點(diǎn)的通信、應(yīng)用服務(wù)，并加強(qiáng)外部用戶識(shí)別和驗(yàn)證能力。對(duì)網(wǎng)絡(luò)進(jìn)行級(jí)別劃分與控制，網(wǎng)絡(luò)級(jí)別的劃分大致包括Internet/企業(yè)網(wǎng)、骨干網(wǎng)/區(qū)域網(wǎng)、區(qū)域網(wǎng)/部門網(wǎng)、部門網(wǎng)/工作組網(wǎng)等，其中Internet/企業(yè)網(wǎng)的接口要采用專用防火墻，骨干網(wǎng)/區(qū)域網(wǎng)、區(qū)域網(wǎng)/部門網(wǎng)的接口利用路由器的可控路由表、安全郵件服務(wù)器、安全撥號(hào)驗(yàn)證服務(wù)器和安全級(jí)別較高的操作系統(tǒng)。增強(qiáng)網(wǎng)絡(luò)互連的分割和過濾控制，也可以大大提高安全保密性。隨著企業(yè)個(gè)人與個(gè)人之間、各部門之間、企

28、業(yè)和企業(yè)之間、國(guó)際間信息交流的日益頻繁，信息傳輸?shù)陌踩猿蔀橐粋€(gè)重要的問題。盡管個(gè)人、部門和整個(gè)企業(yè)都已認(rèn)識(shí)到信息的寶貴價(jià)值和私有性，但商場(chǎng)上的無情競(jìng)爭(zhēng)已迫使機(jī)構(gòu)打破原有的界限，在企業(yè)內(nèi)部或企業(yè)之間共享更多的信息，只有這樣才能縮短處理問題的時(shí)間，并在相互協(xié)作的環(huán)境中孕育出更多的革新和創(chuàng)造。然而，在群件系統(tǒng)中共享的信息卻必須保證其安全性，以防止有意無意的破壞。物理實(shí)體的安全管理現(xiàn)已有大量標(biāo)準(zhǔn)和規(guī)范，如GB9361-88計(jì)算機(jī)場(chǎng)地安全要求、GFB2887-88計(jì)算機(jī)場(chǎng)地技術(shù)條件等。安全產(chǎn)品選型原則在進(jìn)行網(wǎng)絡(luò)安全方案的產(chǎn)品選型時(shí)，要求安全產(chǎn)品至少應(yīng)包含以下功能：訪問控制：通過對(duì)特定網(wǎng)段、服務(wù)建立的訪

29、問控制體系，將絕大多數(shù)攻擊阻止在到達(dá)攻擊目標(biāo)之前；檢查安全漏洞：通過對(duì)安全漏洞的周期檢查，即使攻擊可到達(dá)攻擊目標(biāo)，也可使絕大多數(shù)攻擊無效；攻擊監(jiān)控：通過對(duì)特定網(wǎng)段、服務(wù)建立的攻擊監(jiān)控體系，可實(shí)時(shí)檢測(cè)出絕大多數(shù)攻擊，并采取相應(yīng)的行動(dòng)（如斷開網(wǎng)絡(luò)連接、記錄攻擊過程、跟蹤攻擊源等）；加密通訊：主動(dòng)的加密通訊，可使攻擊者不能了解、修改敏感信息；認(rèn)證：良好的認(rèn)證體系可防止攻擊者假冒合法用戶；恢復(fù)：良好的備份和恢復(fù)機(jī)制，可在攻擊造成損失時(shí)，盡快地恢復(fù)數(shù)據(jù)和系統(tǒng)服務(wù)；多層防御：攻擊者在突破第一道防線后，延緩或阻斷其到達(dá)攻擊目標(biāo)；隱藏內(nèi)部信息：使攻擊者不能了解系統(tǒng)內(nèi)的基本情況；設(shè)立安全監(jiān)控中心：為信息系統(tǒng)提供

30、安全體系管理、監(jiān)控，保護(hù)及緊急情況服務(wù)。第三章網(wǎng)絡(luò)安全解決方案機(jī)房安全建設(shè)解決方案電氣系統(tǒng)1、數(shù)據(jù)中心供配電系統(tǒng)應(yīng)為380V/200V、50HZ,計(jì)算機(jī)供電質(zhì)量達(dá)到A級(jí)。2、供配電方式為雙路供電系統(tǒng)加UPS電源及柴油發(fā)電機(jī)設(shè)備,并對(duì)空調(diào)系統(tǒng)和其他用電設(shè)備單獨(dú)供電，以避免了空調(diào)系統(tǒng)啟停對(duì)重要用電設(shè)備的干擾。供電系統(tǒng)的負(fù)荷包含如下方面：服務(wù)器功率單臺(tái)服務(wù)器功率X服務(wù)器臺(tái)數(shù)=總功率UPS總功率：一般采用n+1備份方案，亦即并聯(lián)UPS臺(tái)數(shù)多加壹臺(tái)，以防止某一臺(tái)機(jī)組出現(xiàn)故障。目前UPS效率均在90%以上，故按照服務(wù)器總功率可以計(jì)算出UPS的總KVA數(shù)。工作區(qū)恒溫恒濕精密空調(diào)負(fù)荷：工作區(qū)面積X200250

31、kcal/hr/m2二總的空調(diào)所需制冷量按上述數(shù)據(jù)即可確定精密空調(diào)的數(shù)量，同時(shí)亦可確定空調(diào)所耗費(fèi)電功率。辦公區(qū)空調(diào)、照明等負(fù)荷其它用負(fù)荷由上可以計(jì)算出一個(gè)數(shù)據(jù)中心機(jī)房所需的用電負(fù)荷總功率。3、電源分類：一類電源為UPS供電電源，由電源互投柜引至墻面配電箱，分路送到活動(dòng)地板下插座，再經(jīng)插座分接計(jì)算機(jī)電源處，電纜用阻燃電纜，穿金屬線槽鋼管敷設(shè)。二類電源為市電供電電源，由電源互投柜分別送至空調(diào)、照明配電箱和插座配電箱，再分路送至燈具及墻面插座。電纜用阻燃電纜，照明支路用塑銅線，穿金屬線槽及鋼管敷設(shè)。三類電源為柴油發(fā)電機(jī)組，是作為特別重要負(fù)荷的應(yīng)急電源，應(yīng)滿足的運(yùn)行方式為：正常情況下，柴油發(fā)電機(jī)組應(yīng)始

32、終處于準(zhǔn)備發(fā)動(dòng)狀態(tài)，當(dāng)兩路市電均終斷時(shí)，機(jī)組應(yīng)立即啟動(dòng)，并具備帶100%負(fù)荷的能力。任一市電恢復(fù)時(shí)，機(jī)組應(yīng)能自動(dòng)退出運(yùn)行并延時(shí)停機(jī)，恢復(fù)市電供電。機(jī)組與電力系統(tǒng)間應(yīng)有防止并列運(yùn)行的連鎖裝置。柴油發(fā)電機(jī)組的容量應(yīng)按照用電負(fù)荷的分類來確定，因?yàn)橛械呢?fù)荷需要很大的啟動(dòng)功率，如空調(diào)電動(dòng)機(jī)，這就需要合理選擇發(fā)電機(jī)組容量，以避免過大的啟動(dòng)電壓降，一般根據(jù)上述用電負(fù)荷總功率的倍來計(jì)算。4、配電柜配電箱、柜應(yīng)有短路、過流保護(hù)，其緊急斷電按鈕與火災(zāi)報(bào)警聯(lián)鎖。配電箱、柜安裝完畢后，進(jìn)行編號(hào)，并標(biāo)明箱、柜內(nèi)各開關(guān)的用途以便于操作和檢修。配電箱、柜內(nèi)留有備用電路，作機(jī)房設(shè)備擴(kuò)充時(shí)用電。5、插座機(jī)房?jī)?nèi)用電插座分為兩大類

33、，即UPS插座和市電插座。機(jī)房各工作間均留有備用插座安裝在墻壁下方供設(shè)備維修時(shí)用。6、電纜（電線）電纜（電線）在鋪設(shè)時(shí)應(yīng)該平直，電纜（電線）要與地面、墻壁、天花板保持一定的間隙。不同規(guī)格的電纜（電線）在鋪設(shè)時(shí)要有不同的固定距離間隔。電纜（電線）在鋪設(shè)施工中彎曲半徑按廠家和當(dāng)?shù)毓╇姴块T的標(biāo)準(zhǔn)施工。鋪設(shè)電纜時(shí)要有留有適當(dāng)?shù)挠喽?。地板下的電纜穿鋼管或在金屬線槽里鋪設(shè)。7、照明機(jī)房照明按電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范規(guī)定。照明燈具采用嵌入式安裝。事故照明用備用電源自投自復(fù)配電箱，市電與UPS電源自動(dòng)切換。燈具內(nèi)部配線采用多股銅芯導(dǎo)線，燈具的軟線兩端接入燈口之前均應(yīng)壓扁并搪錫，使軟線與固定螺絲接觸良好。燈具的接

34、地線或接零線，必須用燈具專用接地螺絲并加墊圈和彈簧墊圈壓緊。在機(jī)房?jī)?nèi)安裝嵌裝燈具固定在吊頂板預(yù)留洞孔內(nèi)專設(shè)的框架上。燈上邊框外緣緊貼在吊頂板上，并與吊頂金屬明龍骨平行。在機(jī)房?jī)?nèi)所有照明線都必須穿鋼管或者金屬軟管并留有余量。電源線應(yīng)通過絕緣墊圈進(jìn)入燈具，不應(yīng)貼近燈具外殼。8、接地系統(tǒng)依據(jù)國(guó)標(biāo)GB50169-92電氣安裝，接地施工及驗(yàn)收規(guī)范。計(jì)算機(jī)直流地與機(jī)房抗靜電接地及保護(hù)地嚴(yán)格分開以免相互干擾，采用銅網(wǎng)，所有接點(diǎn)采用錫焊或銅焊使其接觸良好，以保證各計(jì)算機(jī)設(shè)備的穩(wěn)定運(yùn)行并要求其接地電阻1Q。機(jī)房抗靜電接地與保護(hù)地采用軟扁平編織銅線直接敷設(shè)到每個(gè)房間讓地板就近接地，能使地板產(chǎn)生的靜電電荷迅速入地。

35、9、防雷為防止機(jī)房設(shè)備的損壞和數(shù)據(jù)的丟失，機(jī)房防雷尤其重要。按國(guó)家建筑物防雷設(shè)計(jì)規(guī)范，本設(shè)計(jì)對(duì)機(jī)房電氣電子設(shè)備的外殼、金屬件等實(shí)行等電位連接，并在低壓配電電源電纜進(jìn)線輸入端加裝電源防雷器。防雷接地電阻要求小于10Q?？照{(diào)系統(tǒng)根據(jù)GB2887-82計(jì)算機(jī)場(chǎng)地技術(shù)要求，按A級(jí)設(shè)計(jì)，溫度T=23C土21,相對(duì)濕度=55%5%，夏季取上限，冬季取下限。氣流組織采用下送風(fēng)、上回風(fēng)，即抗靜電活動(dòng)地板靜壓箱送風(fēng)，吊頂天花微孔板回風(fēng)。新風(fēng)量設(shè)計(jì)取總風(fēng)量的10%，中低度過濾，新風(fēng)與回風(fēng)混合后，進(jìn)入空調(diào)設(shè)備處理，提高控制精度，節(jié)省投資，方便管理。門禁系統(tǒng)門禁管理系統(tǒng)的主要目的是保證重要區(qū)域設(shè)備和資料的安全，便于人

36、員的合理流動(dòng)，對(duì)進(jìn)入這些重要區(qū)域的人員實(shí)行各種方式的門禁管理，以便限制人員隨意進(jìn)出。卡片最好采用現(xiàn)在流行的感應(yīng)式卡片。卡出入系統(tǒng)首先應(yīng)具有權(quán)限設(shè)置的功能，即每張卡可進(jìn)出的時(shí)間、可進(jìn)出哪道門，不同的卡片持有者應(yīng)有不同的權(quán)限。每次有效的進(jìn)入都應(yīng)存檔或統(tǒng)計(jì)。應(yīng)有完善的密碼系統(tǒng)，即對(duì)系統(tǒng)的更改，不同的操作者應(yīng)有不同的權(quán)限。電鎖應(yīng)采用安全可靠的產(chǎn)品，有電閉鎖或無電閉鎖根據(jù)用戶要求可調(diào)。緊急情況下或電鎖出現(xiàn)故障的情況下應(yīng)有應(yīng)急鑰匙可將門打開。門禁系統(tǒng)最好采用計(jì)算機(jī)控制系統(tǒng)。全套系統(tǒng)最好有備用電源。監(jiān)控系統(tǒng)1、機(jī)房中有大量的服務(wù)器及機(jī)柜、機(jī)架。由于這些機(jī)柜及機(jī)架一般比較高，所以監(jiān)控的死角比較多，因此在電視監(jiān)

37、控布點(diǎn)時(shí)主要考慮各個(gè)出入口，每一排機(jī)柜之間安裝攝象機(jī)。如果在各出入口的空間比較大，可考慮采用帶變焦的攝象機(jī)，在每一排的機(jī)柜之間，根據(jù)監(jiān)視距離，配定焦攝象機(jī)即可。如果機(jī)房有多個(gè)房間的話，可考慮在UPS房和控制機(jī)房?jī)?nèi)安裝攝象機(jī)。2、產(chǎn)品選型及技術(shù)要求：電視監(jiān)控系統(tǒng)圖像信號(hào)應(yīng)滿足圖像信號(hào)技術(shù)指標(biāo)表中的要求項(xiàng)目指標(biāo)值復(fù)合視頻信號(hào)幅度（1土）V（峰-峰）黑白電視水平清晰度X350TVL彩色電視水平清晰度X270TVL黑白電視灰度等級(jí)=8信噪比=38一般情況下，定焦攝象機(jī)在光照度變化大的場(chǎng)所應(yīng)選用自動(dòng)光圈鏡頭并配置防護(hù)罩，在光照穩(wěn)定光源充足的地方，用固定光圈鏡頭可降低成本。圖像信號(hào)應(yīng)保持24小時(shí)錄像，錄像

38、方式可采用硬盤錄像，也可采用傳統(tǒng)的錄像系統(tǒng)。閉路電視控制系統(tǒng)最好有視頻動(dòng)態(tài)報(bào)警功能。同時(shí)如果具有視頻遠(yuǎn)程傳輸功能，即通過Internet、ISDN、局域網(wǎng)或電話線將監(jiān)視信號(hào)傳輸?shù)竭h(yuǎn)程客戶指定的地方，在使用時(shí)將會(huì)更加方便。在安裝閉路電視的同時(shí)，也可考慮在重要的機(jī)房檔案庫安裝防盜報(bào)警系統(tǒng)以加強(qiáng)防范手段。消防系統(tǒng)1、方案依據(jù)l髙層建筑防火設(shè)計(jì)規(guī)范GBJ45-82l火災(zāi)自動(dòng)報(bào)警系統(tǒng)設(shè)計(jì)規(guī)范GBJ116-882、消防自動(dòng)報(bào)警及控制系統(tǒng)的組成l消防控制中心包括智能火災(zāi)報(bào)警控制主機(jī)，用于集中報(bào)警及控制。l消防控制中心外圍報(bào)警及控制包括光電感煙探測(cè)器、感溫探測(cè)器、組合控制器和氣瓶等。上述設(shè)備位于各樓層現(xiàn)場(chǎng)和端

39、子箱內(nèi)。網(wǎng)絡(luò)防病毒解決方案計(jì)算機(jī)病毒與反病毒技術(shù)的發(fā)展，致使企業(yè)不能再依靠單一的防毒體系來保全資源，面對(duì)日益復(fù)雜的病毒技術(shù)的出現(xiàn)，必須出現(xiàn)一種全新的企業(yè)防毒模式。基于企業(yè)防毒的需求，我們公司所提供的企業(yè)全線防毒體系，無疑給了我們電力網(wǎng)絡(luò)一個(gè)更加安全的防護(hù)模式。1、殺毒軟件【網(wǎng)絡(luò)版】體系結(jié)構(gòu)殺毒軟件【網(wǎng)絡(luò)版】整個(gè)防病毒體系是由四個(gè)相互關(guān)聯(lián)的子系統(tǒng)組成。每一個(gè)子系統(tǒng)均包括若干不同的模塊，除承擔(dān)各自的任務(wù)外，還與另外子系統(tǒng)通訊，協(xié)同工作，共同完成對(duì)網(wǎng)絡(luò)的病毒防護(hù)工作。一、系統(tǒng)中心系統(tǒng)中心是整個(gè)網(wǎng)絡(luò)防病毒系統(tǒng)的信息管理和病毒防護(hù)的自動(dòng)控制核心。它實(shí)時(shí)地記錄防護(hù)體系內(nèi)每臺(tái)計(jì)算機(jī)上的病毒監(jiān)控、檢測(cè)和清除信

40、息。同時(shí)，根據(jù)控制臺(tái)的設(shè)置，實(shí)現(xiàn)對(duì)整個(gè)防護(hù)系統(tǒng)的自動(dòng)控制。其他子系統(tǒng)只有在系統(tǒng)中心工作后，才可實(shí)現(xiàn)各自的網(wǎng)絡(luò)防護(hù)功能。它必須先于其它子系統(tǒng)安裝到符合條件的服務(wù)器上。二、服務(wù)器端服務(wù)器端是專門為網(wǎng)絡(luò)服務(wù)器設(shè)計(jì)的防病毒子系統(tǒng)。它承擔(dān)著對(duì)當(dāng)前服務(wù)器上病毒的實(shí)時(shí)監(jiān)控、檢測(cè)和清除任務(wù)，同時(shí)自動(dòng)向系統(tǒng)中心報(bào)告病毒監(jiān)測(cè)情況。三、客戶端客戶端是專門為網(wǎng)絡(luò)工作站（客戶機(jī)）設(shè)計(jì)的防病毒子系統(tǒng)。它承擔(dān)著對(duì)當(dāng)前工作站上病毒的實(shí)時(shí)監(jiān)控、檢測(cè)和清除任務(wù)，同時(shí)自動(dòng)向系統(tǒng)中心報(bào)告病毒監(jiān)測(cè)情況。四、控制臺(tái)控制臺(tái)是為網(wǎng)絡(luò)管理員專門設(shè)計(jì)，是整個(gè)網(wǎng)絡(luò)防病毒系統(tǒng)設(shè)置、使用和控制的操作平臺(tái)。它集中管理網(wǎng)絡(luò)上所有已安裝過網(wǎng)絡(luò)版客戶端的計(jì)算

41、機(jī)，保障每個(gè)納入防護(hù)網(wǎng)絡(luò)的計(jì)算機(jī)時(shí)刻處于最佳的防病毒狀態(tài)。同時(shí)實(shí)現(xiàn)對(duì)系統(tǒng)中心的管理。它既可以安裝到服務(wù)器上也可以安裝到客戶機(jī)上，視網(wǎng)絡(luò)管理員的需要，可自由安裝。所以，它又被稱為“移動(dòng)控制臺(tái)”。2、如何進(jìn)行防病毒管理當(dāng)一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)安裝殺毒軟件【網(wǎng)絡(luò)版】后，必須將防病毒管理納入日常工作。只有通過網(wǎng)絡(luò)系統(tǒng)管理員，殺毒軟件【網(wǎng)絡(luò)版】和我公司的技術(shù)支持三方努力下才能真正實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)安全的目的。針對(duì)殺毒軟件【網(wǎng)絡(luò)版】提供的功能和特點(diǎn)，建議網(wǎng)絡(luò)系統(tǒng)管理員進(jìn)行如下的管理：確立病毒防護(hù)原則在通過殺毒軟件【網(wǎng)絡(luò)版】、企業(yè)自身技術(shù)人員（多指網(wǎng)絡(luò)管理員）和我公司技術(shù)支持工程師建立起網(wǎng)絡(luò)的防病毒體系后，還必須確立該體

42、系運(yùn)轉(zhuǎn)的工作原則。根據(jù)我們電力公司的網(wǎng)絡(luò)狀況、技術(shù)人員狀況和其他實(shí)際情況，我公司提出以下建議：所有計(jì)算機(jī)均應(yīng)安裝殺毒軟件，避免形成防護(hù)體系的薄弱環(huán)節(jié)。強(qiáng)制每臺(tái)計(jì)算機(jī)開啟實(shí)時(shí)監(jiān)控功能。在每臺(tái)服務(wù)器和客戶機(jī)上設(shè)定合理的定時(shí)掃描頻率。每次手動(dòng)查殺病毒時(shí)，選擇掃描所有文件。在重要服務(wù)器或客戶機(jī)上選定“清除之前備份帶毒文件”功能。系統(tǒng)管理員通過控制臺(tái)獲得某臺(tái)服務(wù)器或客戶機(jī)染毒信息后，應(yīng)針對(duì)該計(jì)算機(jī)進(jìn)行專門處理。病毒防護(hù)信息管理系統(tǒng)中心對(duì)防護(hù)體系內(nèi)所有計(jì)算機(jī)的病毒監(jiān)控、檢測(cè)，以及處理情況均有記錄。對(duì)這些信息的有效監(jiān)控、利用和管理會(huì)使整個(gè)防病毒工作更加有效。網(wǎng)絡(luò)管理員應(yīng)根據(jù)網(wǎng)絡(luò)的實(shí)際運(yùn)行狀況和工作需要制定切

43、實(shí)可行的管理方案。監(jiān)控、檢測(cè)和清除病毒該項(xiàng)管理是網(wǎng)絡(luò)防病毒管理的核心，利用殺毒軟件【網(wǎng)絡(luò)版】提供的各項(xiàng)功能可實(shí)現(xiàn)對(duì)所有計(jì)算機(jī)設(shè)計(jì)具體的管理方案。如，對(duì)實(shí)時(shí)監(jiān)控、掃描、清除時(shí)間、周期等設(shè)置。未知病毒偵測(cè)管理由于新病毒的不斷出現(xiàn)，反病毒軟件也要隨之更新。只有建立一套完整可行的新病毒偵測(cè)和捕獲方案才能實(shí)現(xiàn)這一過程的良性循環(huán)和周期的縮短。這也是維護(hù)整個(gè)網(wǎng)絡(luò)安全必不可少的環(huán)節(jié)。一旦發(fā)現(xiàn)異?，F(xiàn)象，及時(shí)與反病毒公司聯(lián)系。版本升級(jí)更新管理徹底解決新病毒的辦法是保證殺毒軟件的不斷升級(jí)更新。為此，網(wǎng)絡(luò)管理員應(yīng)充分利用提供的各種升級(jí)方式，結(jié)合自身具體情況，制定合理的升級(jí)管理辦法，并組織實(shí)施。3、殺毒軟件【網(wǎng)絡(luò)版】的

44、特點(diǎn)遠(yuǎn)程化管理遠(yuǎn)程殺毒：網(wǎng)絡(luò)管理員只需通過一臺(tái)計(jì)算機(jī)，就可以對(duì)全網(wǎng)的所有計(jì)算機(jī)同時(shí)進(jìn)行病毒檢測(cè)和清除。遠(yuǎn)程報(bào)警：局域網(wǎng)中任何一臺(tái)計(jì)算機(jī)上發(fā)現(xiàn)病毒時(shí)，殺毒軟件自動(dòng)將病毒信息傳遞給網(wǎng)絡(luò)管理員。遠(yuǎn)程操作：網(wǎng)絡(luò)管理員只需通過一臺(tái)計(jì)算機(jī)，就可以對(duì)全網(wǎng)所有殺毒軟件進(jìn)行統(tǒng)一或個(gè)性化設(shè)置。自動(dòng)化管理自動(dòng)安裝：整個(gè)局域網(wǎng)只需在一臺(tái)計(jì)算機(jī)上安裝殺毒軟件，即可實(shí)現(xiàn)對(duì)所有計(jì)算機(jī)的自動(dòng)安裝。自動(dòng)升級(jí)：系統(tǒng)自動(dòng)從網(wǎng)站下載最新升級(jí)版本，并自動(dòng)分發(fā)到各節(jié)點(diǎn)計(jì)算機(jī)，實(shí)現(xiàn)全網(wǎng)統(tǒng)一升級(jí)。功能強(qiáng)大，操作簡(jiǎn)便針對(duì)以往網(wǎng)絡(luò)版殺毒軟件設(shè)置復(fù)雜，操作繁瑣的弊病，采用智能化的底層優(yōu)化技術(shù)，在保持功能強(qiáng)大的前提下，實(shí)現(xiàn)了界面簡(jiǎn)潔、操作便利的目標(biāo)

45、，最大限度地減少了用戶操作難度和工作量。集中式管理、分布式殺毒中央系統(tǒng)中心結(jié)合移動(dòng)控制臺(tái)實(shí)現(xiàn)全網(wǎng)方便管理局域網(wǎng)內(nèi)任意一臺(tái)計(jì)算機(jī)均可設(shè)置為移動(dòng)控制臺(tái)。網(wǎng)絡(luò)管理員通過帳號(hào)和口令使用移動(dòng)控制臺(tái)，即可清楚地掌握整個(gè)網(wǎng)絡(luò)環(huán)境中各個(gè)節(jié)點(diǎn)的病毒監(jiān)測(cè)狀態(tài)，對(duì)局域網(wǎng)進(jìn)行遠(yuǎn)程集中式安全管理。先進(jìn)的分布式管理技術(shù)殺毒軟件采用先進(jìn)的分布式管理技術(shù)，調(diào)用每個(gè)節(jié)點(diǎn)各自的殺毒軟件對(duì)該計(jì)算機(jī)上所有文件進(jìn)行全面查殺病毒，解決了以往網(wǎng)絡(luò)版殺毒軟件只能查殺共享文件的缺陷。由于不在網(wǎng)絡(luò)上傳輸文件，既保障了每個(gè)節(jié)點(diǎn)使用者的隱私，又大大提高了全網(wǎng)查殺病毒的效率。防火墻解決方案防火墻簡(jiǎn)介在人們建筑和使用木制結(jié)構(gòu)房屋的時(shí)候，為防止為災(zāi)的發(fā)生

46、和蔓延，將堅(jiān)固的石塊堆砌在房屋周圍作為屏障，這種防護(hù)構(gòu)筑物被稱之為防火墻。在今日的電子信息世界里，人們借助了這個(gè)概念，使用防火墻來保護(hù)敏感的數(shù)據(jù)不被竊取和篡改，不過這些防火墻是由先進(jìn)的計(jì)算機(jī)系統(tǒng)構(gòu)成的。今天的防火墻設(shè)備被用來保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)免受未授權(quán)人員的騷擾與黑客的入侵，這些設(shè)備尤如一道城墻一樣隔在被保護(hù)的網(wǎng)絡(luò)與不安全的非信任網(wǎng)絡(luò)之間。我們目前廣泛使用的互聯(lián)網(wǎng)絡(luò)便是世界上最大的非信任網(wǎng)，它在結(jié)構(gòu)上并沒有一個(gè)集中的管理機(jī)構(gòu)，沒有辦法控制源自天這里的訪問的合法性，近年來媒體報(bào)導(dǎo)的很多黑客入侵事件都是通過互聯(lián)網(wǎng)絡(luò)進(jìn)行的。防火墻的概念簡(jiǎn)單的說，防火墻是位于兩個(gè)信任程度不同的網(wǎng)絡(luò)之間（如企業(yè)內(nèi)部網(wǎng)絡(luò)和I

47、NTERNET之間）的軟件或硬件設(shè)備的組合，它對(duì)兩個(gè)網(wǎng)絡(luò)之間的通信進(jìn)行控制，通過強(qiáng)制實(shí)施統(tǒng)一的安全策略，防止對(duì)重要信息資源的非法存取和訪問，以達(dá)到保護(hù)系統(tǒng)安全的目的。防火墻通常是運(yùn)行在一臺(tái)單獨(dú)計(jì)算機(jī)之上的一個(gè)特別的服務(wù)軟件，用來保護(hù)由許多臺(tái)計(jì)算機(jī)組成的大型網(wǎng)絡(luò)。它既可以是非常簡(jiǎn)單的過濾器，也可能是精心配置的網(wǎng)關(guān)，但它們的原理是一樣的，都是監(jiān)測(cè)并過濾所有內(nèi)部網(wǎng)和外部網(wǎng)之間的信息交換，防火墻保護(hù)著內(nèi)部網(wǎng)絡(luò)敏感的數(shù)據(jù)不被偷竊和破壞，并記錄內(nèi)外通訊的有關(guān)狀態(tài)信息日志，如通訊發(fā)生的時(shí)間和進(jìn)行的操作等等。新一代的防火墻甚至可以阻止內(nèi)部人員將敏感數(shù)據(jù)向外傳輸。在把公司的局域網(wǎng)聯(lián)入互聯(lián)網(wǎng)絡(luò)時(shí)，肯定不希望讓全世

48、界的人隨意翻閱公司內(nèi)部的工資單、個(gè)人資料或是客戶數(shù)據(jù)庫。即使在公司內(nèi)部，同樣也存在這種數(shù)據(jù)非法存取的可能性。例如一些對(duì)公司不滿的員式可能會(huì)修改工資表和財(cái)務(wù)報(bào)告。而在設(shè)置了防火墻以后，就可以對(duì)網(wǎng)絡(luò)數(shù)據(jù)的流動(dòng)實(shí)現(xiàn)有效地管理：允許公司內(nèi)部員工使用電子郵件，進(jìn)行WEB瀏覽以及文件傳輸，但不允許外界隨意訪問公司內(nèi)部的計(jì)算機(jī)，同樣還可以限制公司中不同部門之間互相訪問。將局域網(wǎng)絡(luò)放置于防火墻之后可以有效阻止來自外界的攻擊。為什么需要設(shè)防火墻設(shè)置防火墻使你的網(wǎng)絡(luò)規(guī)劃清晰明了，它可以識(shí)別并屏蔽非法的請(qǐng)求，有效防止跨越權(quán)限的數(shù)據(jù)訪問。如果你的網(wǎng)絡(luò)聯(lián)入了互聯(lián)歡網(wǎng)絡(luò)而沒有設(shè)置防火墻的話，你可能會(huì)接到許多系統(tǒng)入侵的報(bào)告

49、。黑客襲擊的例子屢見不鮮，在一些講座計(jì)算機(jī)安全的站點(diǎn)上可以找到許多案例。黑客可以攻擊美國(guó)國(guó)防部的網(wǎng)絡(luò)，也可能會(huì)對(duì)一家公司發(fā)生興趣。防火墻的幾種形式防火墻有許許多多形式，有以軟件形式運(yùn)行在普通計(jì)算機(jī)之上的，也有以固件形式設(shè)計(jì)在硬件設(shè)備之中的?？偟膩碚f業(yè)界的分類有三種：包過濾防火墻；應(yīng)用級(jí)網(wǎng)關(guān)；狀態(tài)監(jiān)視器。a.包過濾防火墻在互聯(lián)網(wǎng)絡(luò)這樣的TCP/IP網(wǎng)絡(luò)上，所有往來的信息都被分割成許許多多一定長(zhǎng)度的信息包，包中包含發(fā)送者的IP地址和接收者的IP地址信息。當(dāng)這些信息包被送上互聯(lián)網(wǎng)絡(luò)時(shí)，路由器會(huì)讀取接收者的IP并選擇一條合適的物理線路發(fā)送出去，信息包可能經(jīng)由不同的路線抵達(dá)目的地，當(dāng)所有的包抵達(dá)目的地后

50、會(huì)重新組裝還原。包過濾式的防火墻會(huì)檢查所有通過的信息包頭部的IP地址，并按照管理員所給定的過濾規(guī)則進(jìn)行過濾。如果對(duì)防火墻設(shè)定某一IP地址的站點(diǎn)為不適宜訪問的話，從這個(gè)地址來的所有信息都會(huì)被防火墻屏蔽掉。包過濾防火墻的優(yōu)點(diǎn)是它對(duì)于用戶來說是透明的，處理速度快而且易于維護(hù)，通常做為第一道防線。但包過濾路由器通常沒有用戶的訪問日志，這樣就不能得到入侵者的攻擊記錄。b.應(yīng)用級(jí)網(wǎng)關(guān)應(yīng)用級(jí)網(wǎng)關(guān)也就是通常我們提到的代理服務(wù)器。它適用天特定的互聯(lián)網(wǎng)服務(wù)，如超文本傳輸（HTTP），遠(yuǎn)程文件傳輸（FTP）等等。代理服務(wù)器通常運(yùn)行在兩個(gè)網(wǎng)絡(luò)之間，它對(duì)于客戶來說象是一臺(tái)真的服務(wù)器，而對(duì)于外界的服務(wù)器來說，它又是一臺(tái)客

51、戶機(jī)。當(dāng)代理服務(wù)器接收到用戶對(duì)某站點(diǎn)的訪問的站點(diǎn)內(nèi)容，在下一個(gè)用戶要訪問同一站點(diǎn)時(shí)，服務(wù)器就不用重復(fù)地獲取相同的內(nèi)容，直接將緩存內(nèi)容發(fā)出即可，既節(jié)約了時(shí)間也節(jié)約了網(wǎng)絡(luò)資源。代理服務(wù)器會(huì)象一堵墻一樣擋在內(nèi)部用戶和外界之間，從外部只能看到該代理服務(wù)器而無法獲知任何的內(nèi)部資源，諸如用戶的IP地址等。應(yīng)用級(jí)網(wǎng)關(guān)比單一的包過濾更為可靠，而且會(huì)詳細(xì)地記錄所有的訪問狀態(tài)信息。但是應(yīng)用級(jí)網(wǎng)關(guān)也存在一些不足之處，首先它會(huì)使訪問速度變慢，因?yàn)樗辉试S用戶直接訪問網(wǎng)絡(luò)，而且應(yīng)用級(jí)網(wǎng)關(guān)需要對(duì)每一個(gè)特定的服務(wù)安裝相應(yīng)的代理服務(wù)軟件，用戶不能使用未被服務(wù)器支持的服務(wù)，對(duì)每一類服務(wù)要使用特殊的客戶端軟件，更不幸的是，并不是

52、所有的互聯(lián)網(wǎng)應(yīng)用軟件都可以使用代理服務(wù)器。c.狀態(tài)監(jiān)測(cè)防火墻這種防火墻具有非常好的安全特性，它使用了一個(gè)在網(wǎng)關(guān)上執(zhí)行安全策略的軟件模塊，稱之為監(jiān)測(cè)引擎。監(jiān)測(cè)引擎在不影響網(wǎng)絡(luò)正常運(yùn)行的前提下，采用抽取不關(guān)數(shù)據(jù)的方法對(duì)網(wǎng)絡(luò)通信的各層實(shí)施監(jiān)測(cè)，抽取狀態(tài)信息，并動(dòng)態(tài)地保存起來作為以后執(zhí)行安全策略的參考。監(jiān)測(cè)引擎支持多種協(xié)議和應(yīng)用程序，并可以很容易地實(shí)現(xiàn)應(yīng)用和服務(wù)的擴(kuò)充。與前兩種防火墻不同，當(dāng)用戶訪問請(qǐng)求到達(dá)網(wǎng)關(guān)的操作系統(tǒng)前，狀態(tài)監(jiān)視器要抽取有關(guān)數(shù)據(jù)進(jìn)行分析，結(jié)合網(wǎng)絡(luò)配置和安全規(guī)定作出接納、拒絕、身份認(rèn)證、報(bào)警或給該通信加密等處理動(dòng)作。一旦某個(gè)訪問違反安全規(guī)定，就會(huì)被拒絕，并報(bào)告有關(guān)狀態(tài)作日志記錄。狀態(tài)

53、監(jiān)測(cè)防火墻的另一個(gè)優(yōu)點(diǎn)是它會(huì)監(jiān)測(cè)無連接狀態(tài)的遠(yuǎn)程過程調(diào)用（RPC）和用戶數(shù)據(jù)報(bào)（UDP）之類的端口信息，而包過濾和應(yīng)用網(wǎng)關(guān)防火墻都不支持此類應(yīng)用。這種防火墻無疑是非常堅(jiān)固的，但它對(duì)網(wǎng)絡(luò)的速度有一定影響，而且配置也比較復(fù)雜。防火墻的生產(chǎn)廠商們已在他們的產(chǎn)品中如入了更多的新技術(shù)來增加產(chǎn)品的競(jìng)爭(zhēng)力。網(wǎng)絡(luò)應(yīng)用的內(nèi)容安全，如在網(wǎng)關(guān)上對(duì)計(jì)算機(jī)病毒進(jìn)行實(shí)時(shí)的掃描和防護(hù)便是最新加入防火墻的功能。根據(jù)國(guó)際計(jì)算機(jī)安全協(xié)會(huì)（ICSA）的一份報(bào)告，在1996年有23%的病毒感染是由EMAIL引起的。某些防火墻產(chǎn)品已能夠監(jiān)測(cè)通過HTTP,FTP，SMTP等協(xié)議傳輸?shù)囊阎《尽７阑饓Φ膽?yīng)用與選擇在建立防火墻架構(gòu)的同時(shí)，就

54、將成長(zhǎng)性的理念植入其中，不僅將會(huì)為你節(jié)省下許多的投入，同時(shí)還能夠確保你的安全配置能夠與你業(yè)務(wù)的擴(kuò)展速度保持同步。下面，我們就一起來看看如何能夠建立起一個(gè)具有高性價(jià)比、可以逐步升級(jí)的防火墻系統(tǒng)。每一個(gè)將它的內(nèi)部網(wǎng)絡(luò)連接到互聯(lián)網(wǎng)上的公司或者組織，都需要一套防火墻系統(tǒng)來保護(hù)自己免遭來自網(wǎng)絡(luò)上的入侵和攻擊。而且現(xiàn)在，安全系統(tǒng)供應(yīng)商也能夠按照每一個(gè)客戶的預(yù)算來為他們提供相應(yīng)的解決方案。不過，如果你的公司計(jì)劃要不斷發(fā)展的話（又有哪一個(gè)公司不是這樣的呢），那么你在選擇防火墻解決方案的時(shí)候，就一定要把可擴(kuò)展性擺在重要位置。解決方案：硬件Vs軟件最簡(jiǎn)單的方法，就是在網(wǎng)絡(luò)的主機(jī)上安裝一個(gè)價(jià)格較為低廉的專用防火墻設(shè)

55、備，也就是我們通常所說的“硬件防火墻”。像PIX501、SonicWallPro1260、WatchGuardEdgeX15，以及NetScreen5系列就是這樣的產(chǎn)品。它們所采用的都是一些很“傻瓜”的解決方案，設(shè)置起來非常簡(jiǎn)單。不過，你會(huì)發(fā)現(xiàn)，雖然這些產(chǎn)品價(jià)格便宜，但同時(shí)它們的升級(jí)性能也相當(dāng)?shù)囊话?。通常這些產(chǎn)品的連接端口都非常的有限，而且其帶寬也不會(huì)很大。這種硬件產(chǎn)品基本上很難、甚至不可能對(duì)其進(jìn)行升級(jí)，因此當(dāng)你的網(wǎng)絡(luò)開始不斷增長(zhǎng)，你的需求也隨之發(fā)生改變的時(shí)候，你就有可能會(huì)需要購買一個(gè)更加高級(jí)的防火墻設(shè)備。與最低端的產(chǎn)品相比，其它的一些設(shè)備具有更大的容量，你需要購買另外的使用許可證來利用這些潛

56、能就好了。雖然最初的成本可能會(huì)比較高，而且設(shè)置起來也不是很簡(jiǎn)便，但是你還是會(huì)發(fā)現(xiàn)那些所謂的“軟件防火墻”，比如說微軟公司的ISAServer、CheckPoint,以及賽們鐵克公司的企業(yè)防火墻，會(huì)更容易伴隨著你的公司一起成長(zhǎng)。這些防火墻產(chǎn)品可以被安裝在某個(gè)常規(guī)網(wǎng)絡(luò)操作系統(tǒng)（比如說WindowsServer、UNIX或者Solaris）之上。這就意味著，你對(duì)計(jì)算機(jī)及其相關(guān)配置擁有充分的選擇權(quán)，而且在以后需要的時(shí)候，還可以對(duì)其進(jìn)行升級(jí)，比如說換個(gè)速度更快的處理器，或者增加更多的內(nèi)存。與低端的硬件產(chǎn)品相比，軟件防火墻通常能夠支持?jǐn)?shù)量相當(dāng)龐大的網(wǎng)絡(luò)連接，而其數(shù)據(jù)的吞吐帶寬則是由你所選擇的硬件來決定的。

57、這些企業(yè)級(jí)的軟件防火墻通常都是針對(duì)網(wǎng)絡(luò)保護(hù)來設(shè)計(jì)的，不要與那些針對(duì)保護(hù)單臺(tái)計(jì)算機(jī)而設(shè)計(jì)的、基于主機(jī)或者“個(gè)人”防火墻的軟件防火墻相混淆。網(wǎng)絡(luò)環(huán)境下的身份認(rèn)證解決方案網(wǎng)絡(luò)環(huán)境下的身份認(rèn)證較為復(fù)雜，主要是要考慮到驗(yàn)證身份的雙方一般都通過網(wǎng)絡(luò)而非直接交互，像根據(jù)指紋等手段就無法實(shí)現(xiàn)。同時(shí)，大量的黑客隨時(shí)隨地都可能嘗試向網(wǎng)絡(luò)滲透，截獲合法用戶口令并冒名頂替合法身份入網(wǎng)。所以，目前一般采用的是基于對(duì)稱密鑰加密或者公開密鑰加密的方法，采用高強(qiáng)度的密碼技術(shù)進(jìn)行身份認(rèn)證。認(rèn)證是計(jì)算機(jī)和網(wǎng)絡(luò)安全的基本組成部分。對(duì)用戶身份進(jìn)行認(rèn)證，使企業(yè)能夠充滿自信的對(duì)不同的用戶帳號(hào)指定不同的允許和訪問權(quán)限，以保證每個(gè)登陸到系統(tǒng)

58、和網(wǎng)絡(luò)中的用戶只有完成他們工作所需的最低級(jí)別權(quán)限。一個(gè)只有少量的用戶和敏感數(shù)據(jù)的小型企業(yè)可以不用關(guān)心大多數(shù)操作系統(tǒng)中內(nèi)建的默認(rèn)認(rèn)證機(jī)制：用戶利用用戶名和對(duì)應(yīng)的密碼來登陸。但是，隨著公司的成長(zhǎng)，認(rèn)證的需求也在改變。隨著用戶數(shù)量的增長(zhǎng)，記錄和跟蹤用戶訪問哪些數(shù)據(jù)變得越來越困難，這使得技術(shù)化的控制手段變得更加重要。隨著網(wǎng)絡(luò)中敏感信息數(shù)量的增長(zhǎng)，如何控制非授權(quán)用戶訪問敏感信息的風(fēng)險(xiǎn)也隨之增加。這樣的增長(zhǎng)同樣會(huì)讓用戶更多的通過VPN和撥號(hào)服務(wù)器來遠(yuǎn)程登錄。這正是重新審視自己的認(rèn)證解決方案的時(shí)機(jī)。在適當(dāng)?shù)臅r(shí)機(jī)引入策略實(shí)現(xiàn)復(fù)雜的認(rèn)證解決方案可能會(huì)花費(fèi)大量的資金，而迅速成長(zhǎng)中的企業(yè)預(yù)算通常比較緊張。即使決定在

59、這個(gè)時(shí)刻仍然保持老的密碼認(rèn)證機(jī)制，也有許多辦法使得它更加安全。在很多小型企業(yè)里，員工很容易記?。ㄍ瑯右踩菀灼平猓┟艽a并多年都使用同一個(gè)密碼，而且用于各種用途。邁向更加安全的認(rèn)證解決方案的第一步就事制定政策來管理密碼，這包括：密碼長(zhǎng)度：所有密碼的長(zhǎng)度必須至少有8個(gè)字符，這會(huì)提高企業(yè)安全，越長(zhǎng)越好。密碼復(fù)雜度：所有的密碼都必須由阿拉伯?dāng)?shù)字、英文字母和其他符號(hào)組合而成。密碼不應(yīng)當(dāng)由字典單詞或者其他容易被猜出的名字或者數(shù)字組成。（例如用戶的社會(huì)安全號(hào)碼、電話號(hào)碼、配偶的名字，等等）。密碼過期：密碼必須被經(jīng)常更改（每隔30到90天，取決于安全級(jí)別）。新的密碼不應(yīng)當(dāng)與最近使用的密碼類似，而且用戶不允許在每

60、次改變密碼時(shí)，交換使用相同的兩個(gè)密碼。密碼安全：用戶應(yīng)當(dāng)被禁止寫下他們的密碼（即使是被保存在一個(gè)鎖好的或者其他的安全位置，用戶有時(shí)候也難免疏忽）以及向其他人共享自己的密碼。用戶應(yīng)當(dāng)接受關(guān)于社會(huì)工程學(xué)的培訓(xùn)（試圖通過脅迫、說服和其他詭計(jì)來獲取用戶的密碼）。盡可能的用技術(shù)來武裝認(rèn)證機(jī)制，通過網(wǎng)絡(luò)操作系統(tǒng)或者附加軟件。軟件應(yīng)當(dāng)強(qiáng)制用戶在特定周期改變密碼，不接受不符合長(zhǎng)度、復(fù)雜性和修改周期要求的密碼。入侵檢測(cè)與漏洞掃描解決方案什么是入侵檢測(cè)系統(tǒng)？目前，網(wǎng)絡(luò)攻擊和入侵的手段多種多樣，從使用的方法主要可以分為以下幾大類：掃描:檢測(cè)攻擊者使用各種掃描方式企圖獲得攻擊目標(biāo)的有關(guān)信息及漏洞情況的行為。常用的掃描