《系统工程公司智能化建设设计方案.docx》由会员分享,可在线阅读,更多相关《系统工程公司智能化建设设计方案.docx(95页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、目 录第一章、智能建筑弱电系统工程建设概述3一、智能建筑的产生3二、智能建筑系统建设的必要性4三、智能化系统的建设目标4四、智能化系统设计原则、理念5五、智能化弱电系统设计依据6第二章、中国电子进出口总公司办公楼智能化系统工程总述7一、项目简介7二、设计思路8(一)、信息网络系统8(二)、综合布线系统8(三)、会议系统9(四)、信息发布系统9(五)、时钟系统9(六)、安全防范系统10(七)、机房工程10(八)、智能化集成管理系统10第三章、信息网络系统11一、系统概述11二、网络安全11(一)、设计原则11(二)、需求分析12(三)、主要任务20(四)、网络安全方案设计22三、交换网络26(一
2、)、需求分析26(二)、设计思想28(三)、网络厂商选择30(四)、设计方案32第四章、综合布线系统49一、系统概述49二、综合布线系统设计目标49三、综合布线系统设计原则50四、系统设计50第五章、会议系统56一、系统概述56二、系统分析设计60第六章、信息发布系统64一、系统概述64二、系统设计64第七章、时钟系统66一、系统概述66二、系统构成66三、系统设计66第八章、安全防范系统67一、系统概述67二、系统功能分析67三、系统组成67(一)、视频安防监控系统68(二)、出入口控制子系统71第九章、机房工程73一、系统介绍及功能73二、总体技术要求73三、机房布局75四、机房设计75(
3、一)、装饰工程76(二)、机房供配电78(三)、防雷接地系统81(四)、综合布线系统83(五)、精密空调系统83(六)、新风、排风、排烟 系统84(七)、集中监控系统85(八)、KVM90(九)、其它91第十章、智能化集成管理系统92第十一章、工程估算93 第一章、 智能建筑弱电系统工程建设概述一、 智能建筑的产生随着经济的发展、高新科学技术的出现,人们对工作和生活环境的要求越来越高。全面发展和应用现代建筑技术、控制技术、通信技术及信息服务,提高工作效率和管理水平,提高生活质量,是当代建筑的主要特征。“智能建筑”这一建筑学的新名词、新概念由此应运而生。智能建筑是信息时代、高科技时代的产物,是多
4、学科和多技术综合应用的结果。将建筑科学、管理科学、环境科学、人文科学与电气技术、空调技术、4C技术(即Computer计算机技术、Control控制技术、Communication通信技术、CRT图形显示技术)综合应用于建筑物之中,与建筑艺术有机结合,使建筑物具有安全、舒适、灵活、高效、环保、节能等特点。智能建筑是一个发展中的概念,建筑物智能化程度随科学技术的发展及人们对其功能要求的变化而不断更新、逐步提高。美国智能建筑学会(AIBI)“智能建筑”的定义是将结构、系统、服务和管理等四项基本要求,以及它们之间的内在关系,进行优化组合,来提供一个投资合理的具有高效、节能、舒适、便利的环境的建筑物;
5、我国智能建筑权威机构-中国智能建筑专业委员会将“智能建筑”定义为:智能建筑系利用系统集成方法,将智能型计算机、通信技术、信息技术与建筑艺术有机结合,通过对设备的自动监控,对信息资源的管理和对使用者的信息服务及其与建筑的优化组合,所获得的投资合理、适合信息社会需要并且安全、高效、舒适、便利和灵活特点的建筑物。二、 智能建筑系统建设的必要性建筑作为人工环境,是满足人类物质和精神生活需要的重要组成部分。然而,人类对感官享受的过度追求,以及不加节制的开发与建设,使现代建筑不仅疏离了人与自然的联系和交流,也给环境和资源带来了沉重的负担。据统计,人类从自然界所获得的50%以上的物质原料用来建造各类建筑及其
6、附属设施,这些建筑在建造与使用过程中又消耗了全球能源的50%左右;在环境的总体污染中,与建筑有关的空气污染、光污染、电磁污染就占了34%;建筑垃圾则占人类活动产出垃圾总量的40%;在发展中国家剧增的建筑量还造成侵占土地、破坏生态环境等现象的日益严重。智能建筑的诞生大大改善了这一现状,不仅能延长建筑物的使用寿命,降低设备的能耗,提高楼宇管理工作的效率,节省人工费用,而且更主要的是,其优美完善的环境与设施能大大提高建筑物使用人员的工作效率与生活舒适感、安全感和便利感,是建造者与使用者都获得很高的经济效益。仅就节能降耗这一项来讲,在智能建筑上很小的投入就能带来可观的回报。有统计数据证明,达到节能20
7、-30%标准的建筑,只是在原来建筑的造价基础上再增加5-7个百分点,所增加的造价预计在五到八年的时间内就可以收回。但是,它给人们提供的室内环境是完全不一样的,它对外部环境的影响也是大不一样的。三、 智能化系统的建设目标随着时代的发展,现代高科技已经有能力为用户提供前人所不能想象的各种功能。而智能化弱电系统正是现代科技发展的最具代表性的产物,是时代发展的总趋势。智能化弱电系统的设计也随着技术的进步在发展变化,二十一世纪建筑智能化设计所追求的是以人为本和可持续发展。总之,就此项目我们智能化系统的建设目标是: 提供高度安全、优雅舒适、方便快捷、以人为本的优质服务国海广场A座是集办公、会议、服务、等多
8、功能于一体的高档、大型综合建筑,向公众提供优质的服务是智能建筑先进科学管理的最终体现,也是智能建筑追求的最终目标。我们把服务的功能分为三方面,即确保大楼内人员和财产的高度安全以及对灾害和突发事件的防御能力;提供舒适的室内环境;建立信息和通信的高速快捷的服务,做到以人为本。 建立先进科学的综合管理机制要实现管理的智能化,就必须系统的智能化,即使有前期的优化设计、先进可靠的系统产品、高质量的工程实施,如果没有完善、科学的综合管理机制,这样的智能建筑建设也是不成功的,甚至是完全失败的。因此在国海广场A座智能化弱电系统工程中,使系统能适应和满足大楼内管理体制的需求,同时,管理要在系统软件、硬件的支持下
9、得以完善和提升。 节省能源和保护环境,降低人工成本通过管理的科学化、智能化,以最低的费用去确保大楼内的各类机电设备的妥善维护、运行、更新,强调设备的可操作性和可维护性。智能化管理系统的效益就体现在通过集中监控和管理,能够极大的精简设备维护人员和操作管理人员,大大的节约了人力资源。建设高品位的人文环境; 高新技术的充分运用; 建筑空间的有效和灵活利用; 智能化系统设施和建筑过程、结构的和谐共存;以上六条原则是我们工程实施的切入点,也是智能化弱电系统的建设目标。四、 智能化系统设计原则、理念 先进性:采用国际或国内通行的先进技术; 成熟性:以适用为原则,采用成熟的或经过工程检验的高科技产品; 开放
10、性:采用开放的技术标准,避免系统互联或扩展出现障碍; 按需集成:根据本项目特点,按照需要分层次、分阶段实现集成; 标准化:采用标准化的设计和标准化的产品; 安全性:包括系统自身的物理上的安全和信息传递的安全; 服务意识:强调以人为本的设计思想,为大楼的用户提供安全、舒适、方便、快捷、高效、环保的生活、工作环境。五、 智能化弱电系统设计依据本系统方案依据下列资料设计制作: 中国电子进出口总公司办公楼平面方案图纸 中国电子进出口总公司新大楼智能化功能需求说明书 智能建筑设计标准 GB/T50314-2006 综合布线系统工程验收规范 GB503122007 综合布线系统工程设计规范 GB50311
11、-2007 民用建筑电气设计规范 JGJ16-2008 低压配电设计规范 GB50054-95 安全防范工程程序与要求 GA/T75-94 民用闭路电视系统工程技术规范 GB50198-94 视频安防监控系统技术要求 GA/T367-2001 出入口控制系统技术要求 GA/T394-2002 安全防范工程技术规范 GB50348-2004 安全防范系统验收规范 GA/T308-2001 会议系统电视及音频的性能要求 GB/T15381-94 商用建筑电信布线标准 EIA/TIA-568 城市住宅区和办公楼电话通讯设施设计标准 YD/T2008-93 厅堂扩声系统特性指标 GYJ25-86 视听
12、、视频和电视系统中设备互连的优选配接值 GB/T15859-1995; 电子信息系统机房设计规范 (GB 50174-2008) 电子信息系统机房施工及验收规范 (GB 50174-2008) 其他设计规范、标准及相关资料。 第二章、 中国电子进出口总公司办公楼智能化系统工程总述一、 项目简介中国电子进出口总公司办公大楼位于长安街,西三环,是一座集5A级智能化写字楼、大型商业及多功能商务会所于一体的城市综合体,是北京西部的标志性建筑之一。中国电子进出口总公司办公大楼功能划分:23层为领导办公区域。18、2022层为普通办公区域。19层为会议区717层为出租层6层为会议、展厅区域35层为商业区域
13、2层为出租层大堂为公共区域二、 设计思路本次设计方案共涉及10个子系统,除了机房工程为专门设计,卫星和有线电视系统与时钟系统采用专用网络,其他个子系统均采用全数字结构,搭建专用的智能TCP/IP网络,整体考虑整体设计,无需单独再为各个系统额外架设专用网络。(一)、 信息网络系统为真正实现进出口公司新办公楼此次网络项目的最终目标,满足进出口公司新办公楼正常的业务数据传输需求,建立具有国内领先、国际先进的网络平台系统。我司制定出一套完整的、先进的、易用的、具有前瞻性的网络设计方案。1、网络拓扑结构的规范化。建立规范层次化拓扑结构,分布接入层交换机汇集网络节点信息,通过核心交换机分析处理后进行分发,
14、充分利用了核心层先进交换机的高速交换处理性能。2、核心设备双机容错,主干网络(核心层)传输速度达到万兆,接入层达到千兆,能够满足信息化发展的要求及解决网络核心设备出现单点故障。3、增强网络管理控制能力,提高数据传输质量。通过VLAN技术的应用,分割每个局域网络为多个广播子域,杜绝VLAN之间广播信息的传递,扩大了可用带宽。4、网络实现安全管理和控制。(二)、 综合布线系统出租部分计算机网络和语音部分垂直干线分到各层竖井,以提供干线入口。其余各系统因采用全数字结构,根据公司需求,今后如需建设可以通过网络系统方便的扩展到位。国海广场A座暂按每个工位两个信息点,一个语音点;领导办公室2个语音点,两个
15、数据点和一个光纤接口;小会议室两个语音点,两个数据点;中型会议室两个语音点,两个数据点,两个光纤接口;大型会议室两个语音点,两个数据点,两个光纤接口。综合考虑了工程的实际情况和未来可能的扩展需求,综合布线系统的水平子系统采用六类标准,方便实现语音与数据的互换;垂直子系统中数据部分采用多模光纤传输并按1:1比例冗余、语音部分采用三类大对数电缆传输且按一定数量冗余。各楼层配线间与中心机房经弱电井内的垂直通道相连接。(三)、 会议系统国海广场A座会议主要包含有:贵宾接待会议室、远程视频会议系统,谈判间,普通会议室和展厅。各会议室的功能设置如下:1、贵宾接待会议室:视频系统。2、视频会议系统:音频系统
16、、视频系统、远程视频会议系统、同声传译系统、集中控制系统。3、谈判间:音频系统、视频系统4、普通会议室:音频系统(根据会议室大小取决)、视频系统。5、展厅:视频系统、电子展示台、音频系统。(四)、 信息发布系统在大楼一层设置两个室内LED大屏幕电子显示屏,用于播放公司视频、新闻信息、显示重要来宾的欢迎辞以及为租户服务等。十九层位于楼层入口设置大屏幕液晶电视,功能:发布会议内容、日程安排、通知、对外宣传等。同时在会议层每个会议室门口设置17寸液晶显示屏,用于显示本会议室的会议情况。每块显示屏均纳入信息发布系统管理,采取集中控制、统一管理的方式通过TCP/IP网络将视音频信号、图片和滚动字幕等多媒
17、体信息通过网络平台传输到显示终端。(五)、 时钟系统在大楼一层南门和东门大厅设置时钟系统,母钟设置在东门大厅,子钟设置在南门大厅。由一台母钟和多台子钟组成的时钟系统被称为子母时钟系统。子母时钟系统具有走时精准、操控方便、同步运行等特点。本子母时钟系统采用智能模块化设计,与同类产品相比,更突出了操作简单,安装方便,运行可靠,使用寿命长,性价比高等特点,带有GPS校时功能。(六)、 安全防范系统整个安防系统由视频安防监控子系统、出入口控制子系统组成。以中心控制室为中枢,以视频安防监控系统为核心,与出入口控制相结合为基础组成部分。通过集成管理,将各系统融为一有机整体。构成一个具有数字化、自动化、智能
18、化、功能设施完善、综合防范能力强的现代化的安全防范系统。(七)、 机房工程本机房工程位于大楼22层(大楼共23层),机房整体实用面积约88平米。机房是新大楼智能化系统的中枢,是各类信息数据的交换和处理中心。机房工程必须保障机房的环境满足机房各种设备的正常、安全运行要求。具有安全可靠、舒适实用、节能高效和具有可扩充性的高质量的机房。防雷接地、温适度控制、双路供电、UPS电源、安防监控、承重、防水、防震、防火、屏蔽、防泄漏。(八)、 智能化集成管理系统本工程的智能化集成管理系统以网络系统作为集成管理系统的通讯平台,应用先进成熟的系统集成管理软件作为集成系统的运行平台,将安全防范系统、会议管理系统等
19、集成起来,以便能够实时监控大厦的整个智能化系统的运行状态、及时发现异常情况,并对部分系统的设备进行必要的控制管理,满足资源共享、信息集成、集中管理的需要,从而提供一个舒适、安全的生活和工作环境,并通过优化控制提高管理水平,达到节约能源和降低运行成本的目的,进而为实现物业管理自动化创造有利条件。 第三章、 信息网络系统一、 系统概述进出口公司新办公楼将建设成为智能型系统,因此,本项目将按照技术先进,产品可靠,配置合理等原则,在建立高速数据传输网络平台的基础上,更应设计出安全的网络防范体系,保证内部数据的安全,同时应配置网络管理服务器,对全网进行实时监控和维护,在IP地址规划,路由协议选择上应采用
20、合理成熟的方案,保证整个网络在未来几年内都能满足规模的扩展的性能需求。为真正实现进出口公司新办公楼此次网络项目的最终目标,满足进出口公司新办公楼正常的业务数据传输需求,建立具有国内领先、国际先进的网络平台系统。我司将切合实际制定出一套完整的、先进的、易用的、具有前瞻性的网络设计方案。本方案中将对整个信息网络系统分为两部分进行设计描述,分别是信息网络的交换系统和网络安全管理系统。二、 网络安全本文档中各区域定义的解释如下:互联网链路接入区域,指运营商之间的互联网链路接入。办公区域,指内部网络OA服务区域。内网区域,指完成独立关键业务的物理隔离系统区域。办公业务系统区域,指办公区域中办公系统区域,
21、包括电子邮件系统、公文、互联网访问系统等。管理区域,指提供网络及系统管理、监控等功能的区域。基础服务区域,指承载内部网络基础服务功能的区域,包括DNS系统、认证系统、安全服务系统等。(一)、 设计原则符合性原则遵循国内外监管机构法律法规要求,参照国家标准、国际标准、行业标准及相关安全指南,实现法规遵从。 适用性原则借鉴国内外同业成功经验,充分考虑用户业务模式,具备高度的适应性和可操作性。平衡性原则认清安全和可用的关系,实现最合理的安全防御;充分认识安全运维的压力,避免建设与运行节奏失调。安全性原则充分考虑各环节安全措施,尤其是安全设备或系统自身安全。可用性原则各安全组件(或安全功能实现)要具备
22、高可用性和可靠性,以满足业务持续性运行要求。可扩展性原则充分分析业务发展趋势,有效指导技术和产品选型,避免投资浪费,满足3-5年的需求。有序性原则要统一规划,分布部署。制定合理的安全计划,充分考虑到业务发展状况,合理选择技术,合理分配资金投入。(二)、 需求分析项目背景根据用户网络改造建设的需求,需要在新建网络中考虑网络安全的问题,保证用户正常业务的安全,符合国家相关的网络安全要求,提升用户整体网络安全水平。用户项目建设需要根据目前主要的网络安全威胁进行分析,并进行针对性的设计。网络安全威胁分析根据生产网络部署的特点和目前安全威胁的多样化性质,本风险分析从以下几个方面进行全面的分析:l 网络层
23、l 系统层用户l 应用层l 病毒威胁l 策略和管理层下面将分别进行详细的阐述。A)网络层安全分析网络层为生产网络提供连接通路和网络数据交换的连接,同时也是网络入侵者进攻网络系统的渠道和通路。由于大型网络系统内运行的TCP/IP协议并非专为安全通讯而设计,所以网络系统存在大量安全隐患和威胁。整个网络受到来自网络外部和内部的双重威胁。B)外网安全威胁在外网Internet中存在着大量的黑客攻击,他们常常针对Web服务器和邮件服务器作为突破口,进行网络攻击和渗透。常见得一些手法如下:IP欺骗、重放或重演、拒绝服务攻击(SYN FLOOD,PING FLOOD等)、分布式拒绝服务攻击、篡改、堆栈溢出等
24、。黑客可以容易的在生产网各节点出口进出,对系统进行攻击或非法访问。如果加上安全管理上的不够完善等因素,或者在已有的服务器与单机中存在着后门程序(木马程序)话,攻击者就可以很容易地取得网络管理员权限,从而进一步控制计算机系统,网络中大量的数据就会被窃取和破坏。C)内网安全威胁随着移动设备的普及,攻击和威胁能够同时从外网和内网发起攻击。不管如何试图保持移动用户的安全,当他们外出离开公司网络总是会遇到更大的风险。移动用户承受更大安全风险的原因如下:l 移动设备无法受到与公司网络相同的安全技术的保护。l 大多数公司仅仅使用基于主机的防病毒软件来保护移动设备,单机防火墙和IDS在移动设备上安装的比例很低
25、。l 保持基于主机的安全应用不断升级、与公司安全策略同步是很难做到的。l 用户会有意无意的关闭或修改基于主机的安全系统。l 员工将与其它网络连接来开展业务,而这些外来网络的安全级别完全未知。l 员工可能会让公司以外的人使用他们的移动设备。l 移动用户往往对他们的设备具有管理员权限,这就意味着他们可以安装各种未经批准的软件。这些软件常常属于免费软件,可以从Internet上自由下载,很可能带有木马或者间谍软件。l 移动设备包含有公司信息,但可能没有备份,增加了丢失公司有价值财产的风险。l 移动设备被盗的概率也要高出许多。当移动设备离开办公室时,它们更容易感染病毒、木马和蠕虫。当移动用户回来连接到
26、公司网络时,驻留在移动设备里的感染和攻击就会扩散至公司网络,感染其它曾被公司安全防御正常保护的系统。根据CSO对攻击来源的调查统计,超过64%的安全威胁来自于企业内部可信任用户或合作伙伴(如下图)。因此对于来自外网和内网的攻击防御同样重要。网络中只要一个地方出现了安全问题,那么整个网络都是不安全的。因此,在生产网各节点网络出口处应配置具备多层次防御能力的防火墙来加强访问控制,并部署入侵防御系统等高级安全设备,杜绝可能存在的安全隐患,来保证网络安全可靠的正常运行。D)系统层安全分析网络服务器和PC运行着不同的操作系统,如:Windows、UNIX、Linux等等;网络设备也都有着自己的操作系统。
27、所有这些操作系统可能存在各种各样的漏洞。据IDC统计,1000个以上的商用操作系统存在安全漏洞,如果这些操作系统没有进行系统的加固和正确的安全配置,而只是按照原来系统的默认安装配置,这样的主机系统是极其不安全的。黑客可以针对操作系统的漏洞发起入侵,试图获取管理员的权限。此外,在网络中,一些黑客利用系统管理员的疏忽用缺省用户的权限和密码口令就可以轻松地进入系统修改权限,从而控制主机。现在许多黑客正监视着软件提供商的补丁公告,并对补丁进行简单的逆向工程,由此来发现漏洞。下图举例说明了一个已知漏洞及相应补丁的公布到该漏洞被利用之间的天数。需要注意的是,对于最近的一些攻击,这一时间已经大大缩短了。IT
28、和安全人员不仅需要担心已知安全威胁,他们还不得不集中精力来防止各种被称之为“零小时”(zero-hour)或“零日”(zero-day)的新的未知的威胁。同时,黑客的动机正在从引起他人注意向着获取经济利益转移,我们可以看到一些更加狡猾的攻击方式正被不断开发出来,以绕过传统的安全设备,而社会工程(social engineering)陷阱也成为新型攻击的一大重点。E)应用层安全分析生产网网络平台,进行着包括Web、FTP、Email、DNS等Internet应用,随着网络技术的不断发展,当前的网络应用越来越丰富多彩,P2P、IM、VoIP、网络视频等新型应用也越来越广泛。应用系统的安全性主要应考
29、虑一下几方面:l 针对应用服务和协议漏洞的攻击黑客往往抓住一些应用服务和协议的缺陷和弱点来对其进行攻击,比如针对错误的Web目录结构、CGI脚本缺陷、Email服务器应用程序缺陷、IM/P2P文件传输安全性漏洞等,利用种植木马等方式获取主机管理权限,然后进行窃取、篡改、破坏等操作。l 不良Web内容应用层的安全威胁还包括对各种不良网络内容的访问,比如内网用户访问非法(如发布反动言论、宣扬法轮功等)或不良(色情、迷信)网站等。有的Internet站点上还包含有害的Java Applet或ActiveX小程序,如果不慎访问将有可能带入病毒和木马程序,甚至有的网页可以通过一段简单的代码直接破坏访问者
30、计算机的数据和系统,对网络安全和效率都将造成极大破坏。l 社会工程学攻击带有社会工程陷阱元素的攻击包括间谍软件、网络欺诈、基于邮件的攻击和恶意Web站点等。这些攻击设计为欺骗用户暴露敏感信息,下载和安装恶意程序、跟踪软件或运行恶意代码。很多这类攻击设计为使用传统的浏览器或Email技术(如ActiveX、XML、SMTP等),并伪装为合法应用,因此传统的安全设备很难加以阻挡。现在比以往任何时候都更需要先进的检测和安全技术。现在针对新漏洞的攻击产生速度比以前要快得多。在最新一代攻击中使用的社会工程陷阱的数量也明显的增加。攻击者们伪造合法的应用程序和邮件信息来欺骗用户去运行它们。网络欺诈攻击往往声
31、称自己为某个合法组织,诱骗成千上万的无辜受害者给出他们的财务和私人信息。广告软件、恶意Web站点、Web重定向和其它形式的间谍软件在用户不知情的情况下秘密的向他们的机器上安装跟踪软件、键盘记录工具、文件清除工具和其它恶意软件。通过垃圾邮件传播攻击是当前最流行的方法之一。病毒被设计为利用Email客户端软件的地址簿进行广泛传播已经成为新型攻击的标准手段,MSN、QQ、ICQ、Yahoo等IM(即时通信)软件也成为社会工程学攻击的重要途径。l P2P软件控制随着大量P2P软件的应用,网络数据传输方式发生了很大改变,PC客户端的带宽利用能力被无限增强,但同时也带来了大量的问题:l 大量占用网络带宽,
32、关键业务无法正常运行;l 管理员无法控制下载及上传行为,可能导致内网安全威胁或泄密;l P2P数据传输的目标地址及端口都是随机的,很难通过传统防火墙的IP地址及端口过滤进行阻挡。l 混合型威胁随着病毒、蠕虫、木马、后门和混合威胁的泛滥,内容层和网络层的安全威胁正变得司空见惯。混合型攻击通过多种感染和攻击方法来利用操作系统和应用程序中发现的漏洞,如Windows XP、IE和MS SQL Server等。为了使自身更难被发现和阻挡,混合型攻击使用多种技术的混合如病毒、蠕虫、木马和后门攻击等,这些攻击往往通过垃圾邮件和被感染的Web网页发出。随着每一次成功的攻击,知识很快的传递到下一代攻击或攻击的
33、变种,使得对于已知或未知的攻击更难被阻挡。这种混合型攻击的例子有Nimda、CodeRed和Bugbear、Blaseter、熊猫烧香等。由于应用服务和协议的多种多样,应用层威胁的种类也各不相同,还衍生出大量的具有多种威胁特征的混合型攻击,因此生产网需要采用多种安全手段,包括网络防病毒、防恶意软件/木马、入侵防御系统、Web内容过滤、反垃圾邮件、IM控制、P2P控制等对应用层威胁和混合型威胁进行防御。F)病毒威胁分析计算机病毒一直是计算机安全的主要威胁。而随着网络的不断发展,网络速度越来越快,网络应用也越来越丰富多彩,使得病毒传播的风险也越来越大,造成的破坏也越来越强。据ICSA(国际计算机安
34、全协会)的统计,目前已经有超过90%的病毒是通过网络进行传播的,病毒通过光盘、软盘、U盘等传统介质传播的比例已经越来越低。生产网全国各地分公司内网用户访问Internet时,无论是收发E-mail、浏览Web页面,还是通过Web、FTP等方式下载文件,都可能将Internet上的病毒带入网内,甚至通过MSN等IM软件传播病毒的现象也时有发生。而近几年泛滥成灾的网络蠕虫病毒(如红色代码、尼姆达、冲击波、振荡波、熊猫烧香等)都是上文提到的混合型威胁的一种,它们本身是病毒与黑客工具的结合体,当网络当中一台计算机感染蠕虫病毒后,它会自动的以极快的速度(每秒几百个甚至上千个线程)扫描网络当中其他计算机的
35、安全漏洞,并主动的将病毒传播到那些存在安全漏洞的计算机上,只要相关的安全漏洞没有通过安装补丁的方式加以弥补,蠕虫病毒就会这样以几何级数的增长速度在网络当中传播。蠕虫病毒的传播还会大量占用网络带宽,造成网络拥堵,形成拒绝服务式攻击(DoS)。由于基于主机的防病毒软件存在以下缺点,所以很难实现对新型蠕虫病毒的有效防御:l 需要安装、维护和保持病毒特征库更新,这就导致了大量的维护开销。l 很多用户并没有打开防病毒软件的自动更新功能,也没有经常的手动更新他们的病毒库,这就导致防病毒软件对最新的威胁或攻击无用。l 用户有时可能会有意或无意的关闭他们的防病毒软件。l 最新的复杂的木马程序能对流行的基于主机
36、的防病毒软件进行扫描,并在它们加载以前就将它们关闭 这就导致即使有了最新的病毒特征码,事实上它们还是不能被检测出来。l 蠕虫病毒属于混合型攻击,除具有病毒特征外,还可利用系统漏洞,采用黑客入侵的方式进行传播,而主机防病毒软件往往不具备入侵防御功能,只能被动的查杀已感染的病毒,主动防御能力较弱。单纯依靠给予主机的防病毒软件和给操作系统和应用程序打补丁的方法会使它们的内部系统面临很高的安全风险。随着业务中使用了越来越多的面向全球且需要持续运行的关键应用,停机来更新操作系统补丁、病毒特征码和应用升级变得越来越困难。而公司的Web、Email、电子商务、数据库、应用等服务器由于长时间不打补丁会很容易在
37、新的攻击方式下暴露出它们的漏洞。仅仅依靠基于主机的防病毒软件的另一个缺点是,事实上有害代码在被每一个主机的安全软件检测和阻挡之前就已经进入了公司的网络,这就大大威胁了企业关键业务系统和网络应用。如果计算机病毒从任意节点进入生产网内网,便会通过专线或Internet VPN,迅速在生产网内网各节点之间进行传播,造成总部与各分公司节点之间的堵塞,影响业务的正常进行。对于新型的网络蠕虫病毒,必须在网关处进行过滤,防止病毒进入内网。网关防病毒已经成为未来防病毒体系中的重中之重,需要引起特别重视。只有通过网关防病毒和主机防病毒的结合,并结合入侵防御、反垃圾邮件、内容过滤等多种方式,才能达到最佳效果。G)
38、用户行为风险分析传统的网络安全设备可以有效地阻挡来自银行外部的攻击,但对于内部原因,特别是由于员工上网行为不当引起的安全问题却无能为力。据调查,大部分银行安全问题是由于内部监控和风险管理欠缺引起的。许多银行可能认为员工是最不需要进行安全管理的一部分,但是,内部员工有意或无意的不当上网行为往往对银行的信息安全造成更大的损害。这些行为表现为:l 敏感信息泄漏电子邮件、即时聊天以及论坛发帖等网络应用,为人们沟通信息提供了极大的便利,但也可能成为员工泄密的工具。银行员工掌握着大量敏感数据,如果不对员工的外发信息进行严格控制与监控审计,这些重要信息可“轻易而快速”地传递到外部,给银行造成重大损失。l 安
39、全事件频发四通八达的网络,方便的不仅仅是正常业务的传输,恶意代码、病毒、蠕虫、间谍软件等等,也会搭乘便车,籍由貌似“善良”的网页、Email、聊天工具、下载工具等方式,悄悄侵入到网络的各个角落。由于防火墙不能分析应用层的内容,无法阻挡这些网页的下载,而桌面防病毒软件尽管可以识别并阻止病毒的入侵,但可能由于软件的版本落后或者病毒更新的速度更快,造成防范实效。由于内部员工不安全的互联网访问而造成的病毒传播与黑客入侵,成为网络安全的最大黑洞。l 工作效率降低为了在日益激烈的竞争中获得优势,银行必须不断增加业务品种,改善服务质量,提高工作效率,降低运营成本。但未加管理的互联网应用可能会大大降低员工的工
40、作效率。据一项调查显示,普通企业员工每天的互联网访问活动中40与工作无关,在线聊天、浏览新闻娱乐、网络视频、网络游戏、炒股、博客等无时无刻不在占用正常的工作时间,敲击键盘和点击鼠标的“忙碌”表象背后却是低下的工作效率。在高度网络化的现代办公环境里,办公室可能成为“舒适的网吧”。人力资源在无形中浪费巨大,企业运行效率也因此大大降低。l 带宽资源浪费银行业是信息化建设最先进的行业之一,企业为了业务发展进行了大量的IT设备与带宽资源投资。统计表明,在互联网活动未加管理的企业中,宝贵的带宽资源超过70被音乐、视频下载等占用,尽管带宽一扩再扩,却总是被BT、电驴、迅雷等P2P应用挤占。这不仅造成带宽资源
41、被大量浪费,还使得企业正常业务得不到应有的带宽保证。l 导致法律风险互联网充斥着各种良莠不齐的信息,企业员工在获取有用信息的同时,也易被不良内容侵蚀。为了加强对互联网的控制和管理,国务院、人大常委会、公安部、信息产业部皆相继出台法律法规明文规定,接入互联网的单位和企业要采用相应的技术手段对互联网的使用做出控制和管理。对于互联网资源的非法访问,比如访问色情、赌博、犯罪网站、发表反动言论、泄露重大机密等,都会触犯相关法律,给银行带来法律风险。(三)、 主要任务网络安全是一个持续的过程,可遵循PDCA(计划、执行、检查、改进)思想,保持动态安全。可以广泛吸取同业成功经验,采取先进的技术和管理思想,奠
42、定良好的基础,具备较高的起点。规划网络结构网络是业务运行的基础,网络结构设计至关重要,主要包含以下几方面:l 网络地址规划;l 关键网络隔离,业务内网与办公网络隔离;l 网络功能区域划分;l 网络管理模式;重点区域防御针对重点区域重点防御,重点区域重要包括互联网出口区域和用户内部网络。用户行为控制和审计根据以上分析,由于员工的主动网络行为引发的问题无法通过传统的网络安全保护手段实现,必须通过专业的上网行为管理产品解决。何为上网行为管理?简单地讲,就是对员工主体的基于内容的网络访问行为进行管理,包含如下几个要素:第一、上网的人是谁(Who:哪个部门哪个员工);第二、上网的时间(When:工作日/
43、周末,上班时间/午间休息/夜间,上午/下午);第三、上网做了什么事(How:浏览网页、下载文件、聊天、游戏、等等);第四、具体内容是什么(What:网页的内容、聊天的内容、邮件的内容);第五、占用的带宽和流量是多大(How much),等等。与传统的安全防护方式不同,上网行为管理产品基于用户、时间、网络应用、带宽等元素对员工的上网行为进行灵活的策略设置,把网络风险管理从“被动式响应管理”提升为“主动式预警管理”,从“防范管理”提升为“控制管理”。为了实现真正安全的网络环境,银行需要“内外兼修”,除了阻挡外部攻击外,还应该转换视角,大力加强对内的管理,对员工的上网行为进行规范管理是十分必要的。终
44、端风险控制由于终端计算机数量众多,计算环境越来越复杂,应用越来越多样化,由终端导致的网络攻击、病毒感染、数据丢失等事件比例越来越高,针对其的安全维护工作量占了科技人员运维工作的大部分。解决好桌面计算机安全问题,对提高运维质量,减少安全事件发生至关重要。强化运营保障和安全服务由于技术和应用较为成熟,建设工作相对简单,保证业务持续性运行需要高质量的运维保障,除具备基础的管理、监控和预警等系统,良好的运维流程更加重要,实现人、技术和流程的有效整合。网络安全建设是一个渐进过程,为了保证用户网络安全,需要用户与专业的安全服务商建立长期的合作,通过安全服务商提供长期的安全应急响应服务,保证网络安全。(四)
45、、 网络安全方案设计互联网访问安全根据用户目前的网络规划,用户互联网访问采用两个运营商接入,在用户互联网总出口部署一台飞塔防火墙设备,完成内部用户上网的访问控制,防止外部非法用户的连接,同时实现两条用户ISP接入链路的负载均衡,并利用飞塔防火墙的防病毒功能,对内部用户的互联网访问进行过滤,保证用户网络安全。图1 网络安全部署拓扑图l 系统部署:如图1所示“”,在用户互联网出口最外层部署一台防火墙,完成用户网络和互联网网的隔离,并完成两条互联网ISP运营商接入。用户上网行为管理用户行为审计系统支持提供WEB高速缓存,提供灵活的用户管理,WEB策略,应用管理,带宽管理功能模块,通过灵活的组合可实现用户的上网行为控管功能。该系统在应用层上深度分析用户在网络上的各种应用,灵活调控用户使用各种应用的流量。从流量、内容、用户行为目的等角度实现对应用协议的结构化管理,通过监控、统计、控制等技术手段引导网络用户的上网行为,并为网络管理提供依据,使有限的网络资源最大限度的有效利用,减少由于内部原因造成的网络出口故障和非法内容传播风险,从而保障网络的高效、健康、稳定的运行。l 系统部署如图1所示“”,在用户互联网出口防火墙后透明串联用户上网行为管理系统,完成用户上网行为的管