機房網絡設計方案范文

導語：如何才能寫好一篇機房網絡設計方案，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公文云整理的十篇范文，供你借鑒。

篇1

Abstract: Taking lightning protection design of the network computer room of one unit as example, the lightning protection is implemented from buildings, power lines or signal lines being struck by lightning current and equipment being damaged through cable and optical cable to guarantee the safe and stable operation of equipment of computer network system.

關鍵詞：機房；防雷；雷電；入侵

Key words: computer room；lightning protection；lightning；invasion

中圖分類號：TP3文獻標識碼：A 文章編號：1006-4311（2011）24-0170-01

1解決方案

1.1 建筑物的直擊雷防護按照國家標準GB50057-94《建筑物防雷設計規范》的要求，重要計算機網絡系統機房所在大樓在等級上劃分為第二類或第三類防雷建筑物，一般都按要求建設有必要的外部防雷設施，如辦公大樓樓頂的避雷網、避雷針或混合組成的接閃器等，這些接閃器通過大樓內基礎的主鋼筋，將強大的雷電流引入大地，形成較好的建筑物防雷設施。

1.2 計算機網絡系統感應雷防護防止感應雷入侵是計算機網絡系統防雷工作的重點，表面上看感應雷的危害并不是那么大，但實際上，它極易形成感應雷高壓電，對電腦設備構成較大的威脅，因為感應雷是由靜電感應或電磁感應產生，這些東西都極易導致電流入侵的，常見的電流入侵有以下幾種方式：

1.2.1 雷云放電，在地面上，沿誘導千伏輸電通訊線路，傳過上千伏的電壓，擊壞連接的電氣設備，通過通信線路的侵襲連接的設備。這種電流的入侵，影響范圍大，給人們生活帶來很大的困擾。

1.2.2 直擊雷擊中地面物體，附近的土壤被強烈的擊穿打壓，雷電流直接入侵電纜的外觀，將氣體擊穿，致使高壓線路入侵。

1.2.3 閃電擊中了一個多芯電纜連接不同來源的導線或者多條電纜平行鋪設的電線時，電線會誘發相鄰的過電壓，低電壓擊壞電子設備。

2現場情況分析

2.1 基本情況在本單位地處縣城中心位置，周邊有廣電局的信號塔，無其它高大建筑物。辦公大樓已有避雷針、避雷帶、避雷網等外部防雷設施，網絡計算機房在辦公大樓二樓，計算機網絡系統的供電系統由市電三相低壓電源供電，機房供電電源由配電室配電柜直供大樓配電箱，由大樓配電箱至機房配電箱供給UPS電源設備；機房計算機網絡通信線進出采用雙絞線纜，通訊專線的線路采用語音電纜線，機房接地通過辦公樓總建筑接地網。

2.2 方案設計機房所在辦公大樓已有相應的外部防雷設施，如避雷針、避雷帶等，主要考慮大樓的內部防雷，計算機網絡系統雷擊電磁脈沖防護按照GB50057-94《建筑物防雷設計規范》A類要求設計，為了有效地將雷電過電壓降低到設備能夠承受的水平，供電系統必須采取3-4級電源電涌保護器進行保護，網絡通信系統采取精細保護，對于進出機房的電纜、電線安裝合適的網絡信號防雷器。機房實行聯合接地，建立合格的接地系統，對進出機房所有線路實行等電位連接。設計內容主要包括機房設備等電位連接、瞬間過電壓保護和鋪設接地網的設計三個方面。

2.2.1 等電位連接設計在機房防靜電地板的隱蔽處安放局部等電位接地端子板，使安全保護接地、信號工作接地、屏蔽接地、防靜電接地和浪涌保護器接地等四種接地共用一組接地裝置。為了消除各地網之間的電位差，保證設備不因雷電的反擊而損壞，當外來導電物體、電力線纜、通信線纜在不同地點進入辦公樓時，應設若干等電位連接帶，并就近接地。

2.2.2 機房電源設備瞬間過電壓保護從電磁兼容的觀點來看，由外到內可分為幾級保護區。辦公樓外部是容易遭受直擊雷的區域，危險性最高，是暴露區，為0區；辦公樓內部到機房所處的位置為非暴露區，可將其分為1區、2區，越往內部，危險程度越低。從總配電室變壓器低壓輸出端到機房設備端，必須實行分級保護，將雷電過電壓降低到設備能夠承受的水平，電源線路是雷電過電壓侵入的主要途徑之一。

2.3 鋪設接地網設計為了把強大的電流引入大地，我們采取“接地”這一方式，它是避雷設計方案中很重要的一個環節，無論是直擊雷還是感應雷，都可以通過這一方式將電流導入大地。

因此，為了提高機房機房接地系統的可靠性，需按照規范要求整改辦公大樓地網接地電阻>1Ω。根據具體情況，通過沿機房大樓建立不同形式的接地網（包括水平接地體、垂直接地體）來擴大接地網的有效面積和改善地網的結構。基本要求如下：

2.3.1 接地電阻值要求R＜1Ω；

2.3.2 接地體應離機房所在主建筑物3-5m左右鋪設；

2.3.3 水平和垂直接地體應埋入地下深度不小于0.5m，垂直接地體長2.5m，每隔3-5m設置一個垂直接地體；

2.3.4 垂直接地體宜直接打入深溝內，采用50×50×5mm的熱鍍鋅角鋼；水平接地體應挖溝埋設，則選50×5mm的熱鍍鋅扁鋼；

2.3.5 在地網焊接時，焊接面積應≥6倍接觸點，并且要雙面實焊，且焊點做防腐蝕防銹處理；

2.3.6 各地網應在地面下0.6-0.8m處與多根建筑立柱鋼筋實焊，并涂上防腐漆，作防腐蝕、防銹處理；

2.3.7 土壤導電性能差時采用敷設降阻劑法，使接地電阻≤1Ω；

2.3.8 垂直接地體坑內、水平接地體溝內回填土時，必須是低電阻率土壤回填并分層夯實；

2.3.9 與大樓基礎地網多點焊接，連接處不應松動、脫焊、接觸不良，并預留接地測試點。

3總結

在日常生活中，由于電腦對雷電過壓的防護要求比較高，所以現在已經把對計算機的防雷設計這一塊單挑出來，進行專門的設計。

根據機房所在的地理環境進行綜合考慮，對設備間雷電入侵的主要來源做整體的保護，并根據一些現有的成熟技術經驗，采取經濟和有效的防護措施，以保護辦公樓和辦公樓內各向電子網絡設備不受雷電損害或使雷擊損害降低到最低程度。

參考文獻：

[1]GB50057-94《建筑物防雷設計規范》，2010.

[2]GB50343《建筑物信息系統防雷技術規范》，2004.

篇2

關鍵詞：工程設計網絡應用方案探討

隨著計算機及其應用技術的日益發展,特別是信息技術的飛速發展,各勘測設計院建立自己的局域網,成為勢在必行的工作或計劃,總院也要求2000年甲級院必須建網。但是,為什么要建網？建一個什么樣的網？它的帶寬多大才合適？在網上干些什么？怎樣實現信息共享？除了信息共享和設備共享外,還能做什么？怎么樣才能通過網絡提高CAD勘測設計效率？怎么樣才能通過網絡實現ISO9000的管理？這些都是大家所關心的問題,也都希望能有一個系統而完整的解決方案。本文就這些問題做一些初步的探討。

1工程設計領域計算機應用的現狀和面臨的問題

自80年代以來,工程設計行業CAD的應用已經有相當大的發展,大部分設計單位已拋掉了圖板而由計算機輔助完成設計,其中部分設計院的CAD應用達到相當高的水平。近年來,不少院已達到人手一機并接近100的CAD出圖率。但是,隨著計算機應用在各設計院的深入和普及,一些問題也漸漸暴露出來。

在這普及推廣CAD應用的10余年里,很多工程設計單位都積累了大量的電子文檔和電子圖檔,這些都是無形資產,它們的積累構成了企業最寶貴的財富。但這些電子信息分散在單個的PC上,無法對其共享和利用,不可能進行有效的檢索和查詢,由于缺乏管理,久而久之變成了電子垃圾,反而影響了日常生產。各設計院迫切需要對現有的電子信息進行有效的組織和管理。

企業要參與國際市場的競爭,其質量規范體系必須與國際接軌。PDM（ProductsDataManagement）產品中的工作流程控制模塊,以其嚴格的工序審核和制約,可為實施ISO9000提供有力的工具。

工程設計部門已開始從面向產品整個生命周期的角度來重新思考、重整、優化企業內部的設計工具,對設計過程進行重整,以便更有效地組織生產。但面臨如下問題：

隨著電子存貯的各種圖紙文檔數量的增加,如何有效地管理、瀏覽和查找這些電子圖檔？

改型設計是利用計算機和已有的圖紙來提高工作效率的,如何有效地共享信息資源？

設計變更時,如何利用圖紙的版本策略來跟蹤設計,以確保信息的一致性和有效性？

如何應用計算機將全面質量管理或ISO9000質量標準有效地貫徹到設計流程中去？

如何對設計流程進行規范和管理？如何加強設計過程中設計人員間的交流和協同？

如何將大量歷史資料歸檔,利用計算機進行管理,并逐步積累,建立通用件、通用圖庫？

如何有效地對項目組成員進行工作量的均衡、調整、評估？

如何有效地對項目及分項目的進度進行跟蹤、調整？

解決問題的途徑是建立一個合適的網絡,并且要有相應的網絡應用軟件。

2工程設計網絡系統解決方案

各設計院建網工作的關鍵是方案選擇,要從網絡的傳輸介質到面向用戶的應用系統,提供全面解決方案,包括：綜合布線子系統、計算機網絡子系統和產品數據管理子系統(圖1)。

在這個網絡系統中,結構化綜合布線系統為網絡提供可靠的傳輸介質,使之具有高度的可管理性和可擴展性,能支持多種先進的網絡技術；網絡子系統則在布線系統的基礎上,為高層的應用系統提供足夠的網絡帶寬,為產品數據管理系統提供高速、可靠的網絡平臺。結構化綜合布線系統和網絡子系統是網絡的基礎,只要滿足一定的數據傳輸帶寬,滿足網絡的管理要求即可,它們具有與一般企業網絡相似的要求；但是,最高層的網絡應用軟件系統,應考慮生產和管理的需要,滿足工程設計的特殊要求。

圖一：網絡系統組成示意圖

2.1結構化綜合布線系統

為了滿足網絡對于帶寬、管理、擴充和靈活應用的要求,達到經濟合理的目標,擬采用

結構化綜合布線系統,它由四個子系統組成：工作區子系統、水平子系統、垂直子系統和管理子系統；網絡布線用五類無屏蔽雙絞線或光纖,每個用戶節點與網絡連接…,這里不去詳細討論。

2.2計算機網絡系統

考慮到整體目標和目前的發展趨勢,網絡可采用10Base/100BaseT交換式快速以太網,擬用WindowsNT或Novell作為網絡系統軟件,并采用相應的網管軟件和防病毒軟件。本文也不作具體討論。

2.3網絡應用子系統

為了滿足工程設計部門的特殊要求,上海交通大學金維計算機系統集成有限公司針對工程設計領域中的實際問題,引進了PDM（ProductsDataManagement）技術來開發有關的網絡應用軟件,一般來講,PDM是管理與產品相關的信息和過程的技術：

l與產品相關的所有信息,包括部件信息,結構配置、文件、CAD檔案、審批信息等;

l與產品相關的所有過程,即對這些過程的定義和管理,包括信息的審批和分配。

篇3

論文摘要：高校網絡中心機房是校園網絡的核心樞紐，該文結合廣東理工職業學院中心機房工程建設實踐，簡單介紹了校園網中心機房設計原則及機房建設的整體規劃，對詳細設計部分內容做了重點論述。 

中心機房是校園網絡的核心與樞紐, 是數據交換的中心和數據存儲中心, 如何嚴格按照國家標準，參照國際先進規范，建設一個現代化、規范化的機房，為計算機的可靠運行提供一個穩定的環境，成為人們日益關心的課題。 

校園網絡中心機房環境，包括硬件與軟件環境，是一門多學科綜合技術，為了保證各種智能設備與計算機系統穩定可靠運轉，計算機機房環境必須滿足計算機等微電子設備和工作人員對溫度、濕度、潔凈度、電磁強度、屏蔽、防漏、電源質量、振動、防雷、接地和安全保衛等要求。中心機房建設工程是一種涉及到空調技術、供配電技術、抗干擾技術、防雷防過壓技術、凈化技術、消防技術、安防技術、建筑和裝飾技術等多種專業的綜合性的產業。 

1 項目介紹 

廣東理工職業學院中山校區網絡中心機房，面積共約150平方米。層高4.5米，裝修完成后要求凈高達2.8米，包括各類功能房間，整個中心機房基本工程包括有機房裝修系統、配電系統、防雷接地系統、空調及新風系統、消防系統、綜合布線系統、門禁系統、閉路監視系統、kvm系統等。機房區域規劃基本可分為四大部份，主機房、配線間、氣瓶間、配電間。 

1) 主機房：用于放置ups電源主機及各種服務器設備等各弱電系統設備安裝區域。面積為105.3平方米。 

2) 配線區：用于放置網絡機柜、網絡設備、光配線架、網絡配線架等設備安裝區域。面積為12.3平方米。 

3) 配電間：用于放置電池、市電配電柜、ups配電柜等配電設備。面積為18.6平方米。 

4) 氣瓶間：用于放置氣瓶等消防設備。面積為14.4平方米。 

2 設計原則 

機房建設工程，要以兼顧人機并重之原則，設計應以運行條件、安全可靠作為首要的考慮因素，在保證系統運行的可靠性、系統的設計壽命、信息安全的要求的基礎上保證操作人員的工作環境。 

先進性：立足于高起點，采用先進、成熟、實用的技術。機房系統中各個子系統軟、硬件配置采用模塊化、開放式結構并通過集成，實現信息資源共享，提高設備利用率，降低能耗，實現科學的機房管理。 

高安全可靠性：為保證機房能為用戶提供連續不間斷的服務，機房須具有高可靠性。系統設計時應盡量減少單點故障的存在。 

機房內部計算機系統涉及到機密信息，需要保證機房的安全性，必須具有視頻監控系統、門禁系統等安保系統以保證用戶的設備和數據不受侵害。 

可擴展性：由于信息網絡系統需求的不斷變化，技術的不斷提高，在施工建設時應考慮對資源需求的改變，以使整個系統具有靈活的可擴展性。 

易管理維護：通過使用先進和可靠的管理工具來實現系統的高質量管理，以節約人力資源，實時監控、監測整個中心機房的運行狀況、語音報警，實時事件記錄，迅速確定故障，提高可靠性，簡化機房管理人員的維護工作。 

高性能價格比：保證在保證機房的高可靠性的基礎上，機房的材料產品、設備的選型應合理選擇材料與設備；以較高的性能價格比設計機房，提供高效能與高效益。 

舒適性：機房設計中對空調、照明、聲響及環境進行優化調整，為管理人員提供舒適的工作環境。 

3 總體規劃 

機房總體規劃就是按照標準化的流程、規模化的運作，優質、快速規劃機房工程建設方案。機房總體建設方案由機房裝修系統、供配電系統、空調系統、消防系統、防雷接地系統、通訊系統、機房監控系統和kvm系統等部分組成，包含了機房工程的全部過程：從前期的規劃選址，到后期內部系統的設計施工；從前期整個項目的總體管理，到后期的調試、開通；從前期對用戶的使用培訓，到后期的維護保養等方面。 

4 詳細設計 

4.1 機房裝修系統 

機房裝修系統，是整個機房的基礎。它主要起著功能區劃分及保證機房環境的作用。可分為電磁屏蔽系統、抗靜電地板系統、防塵天花系統及其他裝飾等四個子系統。 

本方案裝飾選用的材料必須全部采用符合國際標準[1-2]或國內優質標準。所有材料應具備環保、阻燃、無毒、防火性能好；安全耐用，不易變形，美觀不變色；不起塵，易清潔，吸音效果好；防靜電、抗電磁干擾等性能。 

4.2 空調系統 

空調系統，是機房運行環境的保障。計算機主機及通訊設備是高精密的電子設備，對機房環境有嚴格的要求，其中最重要的是溫度、濕度和潔凈度。即是所謂的“三度”要求。 

根據我院工程現場勘測的實際情況，主機房設計為風冷式下送風精密空調。采用1臺35kw的國際名牌精密空調和2臺5匹工業級普通柜式空調負責主機房和網絡配線間的溫濕度調節，精密空調采用下送風，頂回風方式。以保證機房空調系統的穩定性、可靠性，2臺5匹普通柜式空調作為備份使用，確保了區域內設備的安全運行。

4.3 供配電系統 

配電系統，是整體機房高可用性的后盾。計算機及網絡通訊設備投入服務后如無一個長期穩定的供電系統來保證計算機及網絡通訊設備和有關外圍設備正常運行，勢必造成嚴重的后果。 

計算機機房的供配電系統是一個綜合性供配電系統，在這個系統中不僅要解決計算機等微電子設備的用電問題，還要解決其他設備的用電問題。 

廣東理工職業學院中山校區網絡中心機房配電系統設計具體如下： 

1) 機房內插座分二種：不間斷電源（ups）供電的計算機主機和重要通信設備專用插座；市電直接供電的輔助設備用標準插座。 

2) 在市電配電箱，主要包括空調機、照明及機房內維修插座的配電，應分開回路設計，每一回路設置單獨電源開關控制。 

3) 在機房設專用ups配電柜，主要負責計算機用電設備、應急照明、安全出口等供電，配電方式采用放射式。 

4) 主機房內每個機柜位置提供2個ups供電專用插座，由ups通過配電箱為每個機柜組提供一個ups回路。回路采用zr-bv-3×4mm2阻燃電線，使用25a空開控制。所有這些插座安裝于地板下并做墊高處理，相應的防靜電地板處需有出線口。

4.4 消防系統 

消防系統，是整體機房安全運行的盾牌。火災報警采用煙感探測器和溫感探測器，探測器安裝在吊頂上和活動地板下，兩者聯合使用提高報警的可靠性，火災自動探測器即能發出警報信號，控制器顯示報警的探測器所在位置。滅火系統采用七氟丙烷（fm200）自動氣體滅火系統。 

該工程共分2個防護區（即：配電間、主機房和配線間），而且設有氣瓶貯存間，七氟丙烷可以集中放置在氣瓶間，實現三層布控(即天花頂、地板下及使用空間)，立體式滅火系統。 

4.5 防雷接地系統 

防雷接地系統，是整體機房安全運行的保證。機房設施的雷擊過壓及電磁干擾防護，是保護通信線路、設備及人身安全的重要技術手段，是確保通信線路暢通、設備安全運行不可缺少的技術環節。 

一個完整的防雷系統包括三個方面：直接雷擊的防護、感應雷擊的防護和接地系統。 

4.6 通訊系統 

通訊系統，是整體機房的神經中樞。計算機及其他微電子設備之間的信號傳輸以及機房與外界的“聯系”都要靠穩定的通訊系統來實現。主要包括結構化布線系統[3]。網絡中心機房及運維、監控辦公室采用六類非屏蔽雙絞線，按其功能區域設計信息點，并考慮預留余量，中心機房布線集中在配線間，配線間和主機房通過地板下預留線槽走線連接。機房靜地板下敷設鍍鋅鐵槽、鍍鋅鋼管、鐵皮分線盒等，采取下走線方式。所有管槽均做墊高處理，要求接地良好。 

4.7 機房監控系統[4] 

機房監控系統是機房運行的“守護神”。確保做到“三防犯”及“雙保險”。 

本機房采用數字硬盤錄像系統，對中心機房實現24小時安全監控。結構上采用b/s架構，采用分散監控，集中管理。由中心控制軟件平臺統一控制各軟件系統。各個軟件系統間相互獨立，在其中某個軟件系統出現故障的情況下，其余的各個系統仍能夠繼續正常工作。 

4.8 kvm系統 

kvm系統使中心機房的各種服務器、網絡設備實現“一站式”管理。本方案采用2臺數字交換機對32臺服務器進行管理，實現1個本地用戶、2個遠程用戶對服務器的集中控制。機房內的所有64臺服務器都與專用服務器接口電纜進行連接，專用服務器接口電纜通過六類線連接到數字式kvm交換機上，數字式kvm交換機的網絡端口通過普通六類線纜連接至以太網上，控制終端通過tcp/ip對所有服務器進行統一管理。 

5 結束語 

在進行網絡中心機房建設過程中，作為網絡中心機房設計者和建設者應具有超前意識，優化機房的硬件及軟件環境，并采用高新技術管理模式—智能化機房管理，確保機房正常工作。 

參考文獻： 

[1] gb2887-89.計算站場地技術要求[s]. 

[2] gb 50174-2008.電子計算機機房設計規范[s]. 

篇4

【關鍵詞】計算機網絡;信息防御;安全意識;安全管理

當下，信息技術不斷發展，促使計算機網絡覆蓋面積逐漸增大。但是，對計算機網絡進行實際應用過程中，存在一些不法分子對網絡信息進行惡意侵害，導致計算機網絡信息安全面臨一定安全隱患。這種情況下，要求計算機網絡安全管理人員對這一行為進行科學防御，通過科學手段，保障相應網絡信息不受侵害。

1計算機網絡安全管理中存在的問題

1.1計算機網絡用戶信息安全意識淡薄相應計算機網絡用戶，實施相應操作過程中，認為內部網絡安全性較好，因此便放松了安全警惕。此外，用戶自身安全意識淡薄，對相應密碼等進行設置過程中，安全級別較低，甚至有的用戶根本不設置密碼。用戶對移動介質進行使用過程中，并不注重安全檢查，在不同計算機上進行U盤等移動介質的隨意使用，有些用戶在不同計算機上隨意拷貝文件。還有一些用戶，為了方便起見，直接對插入計算機的內網網線隨意切換。這些情況的存在，均為病毒和木馬的轉換提供了條件，進而為不同單位和企業等計算就網絡安全帶來安全性威脅。1.2不注重網絡安全管理企業和相應事業機關單位等，內部網絡管理人員管理水平參差不齊，部分規模較小的單位，存在一些網絡管理人員身兼數職，其自身經歷和技術能力等的限制，導致網絡管理水平不高。對本單位計算機操作系統進行安裝過程中，沒有及時對系統安裝相應的補丁和殺毒軟件等，導致計算機出現漏洞。計算機人員對相應軟件進行安裝過程中，沒有對相應的應用軟件做出安全檢查，這就導致安裝出現隱患，最終導致計算機網絡信息安全面臨威脅。此外，服務器和交換機等設備在日常運行過程中，缺乏完善的維護措施，導致網絡故障出現，進而導致整個網絡安全應用受到一定影響。1.3計算機網絡設計缺陷一些企業和機關事業單位的網絡所涉及的內容有內網、外網兩部分內容，部分單位存在健康網絡和網等多套網絡，網絡環境十分復雜，這些網絡的建設時間不同，建設標準也有所不同，這就很容易導致網絡設計出現缺陷。部分單位中，機房沒有安裝UPS和防雷、消防等保護設施，并且沒有對一些重要資料和數據庫等實施異地備份，最終造成數據丟失等問題出現。

2計算機網絡信息的防御技術應用實踐

對計算機網絡信息防御技術的應用實踐進行分析，其日常運行過程中，存在一定安全隱患，對這些隱患進行分類，以網絡信息技術的實際應用作為依據，使用相對合理的防御技術，并且構建出較為健康和安全的計算機網絡信息環境。當下，針對計算機網絡信息而言，主要將防御技術建立在動態自適應性網絡安全模型的PPOR基礎上。圖1為主從式DDOS攻擊結構。2.1安全掃描用戶對其進行使用過程中，一定要具備較高的網絡安全意識。對此，對網絡信息進行安全掃描、行為掃描和模糊匹配等十分必要。對動態性能等進行強力掃描，可以找出計算機中存在的安全隱患，對掃描情況進行反饋，可以做出相應處理措施。2.2系統增強對其進行實際應用過程中，計算機網絡安全架構難以對這一威脅及時發現，這就引發了安全隱患。可以適當增加相應系統，從而提升防御能力。進行系統的增加，可以對計算機網絡信息當中一部分惡意數據進行適當檢測核攔截，進而避免惡意數據對計算機帶來影響，促使傷害擴大。2.3學習、自適應對學習型和自適應防御系進行科學應用，能夠促使計算機網絡防御能力得以提升，這一防御系統，這種防御系統，主要體現在智能化防入侵能力上，對計算機實施傳統檢測和掃描所獲得的反饋，實施智能化學習，進而形成一種新型防御能力。通過這種方式，促使計算機網絡可以針對新型病毒，進行充分免疫，結合不同供給以及入侵情況進行科學控制，促使計算機網絡信息安全水平得以提升。2.4實施響應和黑客誘騙技術實施相應，需要建立在動態自適應網絡安全模型PPDR基礎之上，在運行過程中，如果發現計算機網絡遭受了外部空攻擊，或者自身出現漏洞，通過實時響應或者電子郵件等方式，將相關內容向用戶反應，從而方便對這些內容進行及時處理。黑客誘導技術，主要是對虛假信息進行釋放，進而對黑客入侵時間適當的拖延，通過這種方式，為用戶對病毒的防御提供足夠的時間。將實時響應和黑客誘導兩種方式相互結合，從而在黑客入侵的第一時間，向外發出警報，進而使用戶能夠盡快的進行處理和防御，最終提升計算機網絡信息安全。

3計算機網絡信息安全防御應注意的問題

3.1合理規劃，建設安全防御體系計算機網絡運行的整個過程，均需要具備一定的計算機網絡安全防御體系。計算機網絡處于規劃階段時，需要對其實施整體規劃，并且對其進行分步實施。此外，高度重視對網絡基礎設施進行建設，卻好計算機網絡相互配套。此外，對單位各種網絡關系進行認真清理，對網絡布局情況進行科學合理的規劃，從而使網絡較差情況適當減少，降低網絡層級。對企業以及機關事業單位的建設過程中，可以在核心層的互通網絡，不能在接入互聯。可以對光纖資源進行科學優化，促使核心和接入的網絡得以實現，不能設置匯聚層。對計算機網絡系統進行使用過程中，要重視對相應管理人員以及網絡信息使用人員進行定期培訓，提升這些人員的技術水平。對其開展一定的思想教育，提升其安全意識，確保系統始終處于安全運行中。3.2提高計算機網絡信息防毒和殺毒功能當前，計算機網絡得到不斷普及，這為很多木馬和病毒等侵入提供了可能。對此，在計算機網絡內部，需要設置較為完善的防毒和殺毒措施，這樣做，促使計算機網絡防毒和殺毒功能得以提升，對網絡內部防毒以及殺毒功能進行有機結合，確保計算機網絡信息足夠安全。3.3對關鍵信息進行備份為了使計算機網絡的安全性得到進一步提升，促使信息丟失和損壞等方面的影響得到有效降低，需要關鍵性數據進行備份。此外，對相應硬件裝置以及網絡信息之間進行隔離，通過這種方式，防止信息數據丟失。3.4對網絡防護設備進行科學設置在網絡信息當中，防火墻屬于整個計算機當中的隔離層，將計算機自身信息和外界信息之間進行科學隔離，確保計算機網絡信息足夠安全。企業以及相應機關事業單位，可以在內部網絡邊界上，設置一定的防火墻。針對較為重要的網絡，尤其是涉及秘密保護信息的相應內容，需要在內部網絡上、安全網關和入侵檢測等相關設備，為了使單位內部計算機因為違規外聯網引起的信息泄露等情況出現，則需要在內部網絡上，安裝一定具備違規外聯管理的計算機管系統，通過這種形式，防止內部計算機和互聯網相互連接，并且提醒相應管理人員，對這一內容進行及時處理。3.5身份證網絡信息加密為了使內部網絡當中的應用軟件系統數據安全得到保障，如果企業具備相應條件，可以在內部建設相應的用戶統一身份認證系統。這種用戶統一身份認證系統，改變了原有的“用戶名+密碼”的認證方式，借助PKI/CA當做一種身份認證技術手段，間用戶為核心，建立一定的安全應用框架，最終對上層業務資源等進行科學整合，最終實現對用戶以及業務資源的集中性管理。此外，對內部信息資源的安全提供一定保護。針對以及較為重要的文件而言，相應技術人員可以對這些數據或者文件、口令等設置一套較為高級的加密。

4結束語

總而言之，當今計算機網絡使用范圍不斷擴大，覆蓋面越來越廣，可謂是滲透在各行業當中。借助相應計算機網絡防御策，對計算機網絡信息安全問題進行科學分析，針對當前計算機網絡存在的安全隱患，制定科學有效的防御措施，只有這樣，才能有效提升計算機網絡信息防御水平，提升安全系數。相關用戶和計算機網絡信息安全管理人員，要提升自身安全意識，營造出一種健康、安全的計算機網絡信息使用環境。

參考文獻

[1]高博.關于計算機網絡服務器的入侵與防御技術的探討[J].電子技術與軟件工程,2015(08):226-227.

[2]李先宗.計算機網絡安全防御技術探究[J].電腦知識與技術,2015(21):33-35.

[3]李軍.基于信息時代的網絡技術安全及網絡防御分析[J].網絡安全技術與應用,2016(01):17-18.

[4]張燕.數據挖掘技術在計算機網絡病毒防御中的應用探究[J].太原城市職業技術學院學報,2016(04):174-176.

篇5

關鍵詞： 網絡信息系統；信息安全；措施；檢測；方案設計

隨著信息化的高速發展，信息安全已成為網絡信息系統能否正常運行所必須面對的問題，它貫穿于網絡信息系統的整個生命周期。安全檢測是保障網絡信息系統安全的重要手段，通過安全檢測，我們可以提前發現系統漏洞，分析安全風險，及時采取安全措施。

1 物理安全措施和檢測方法

物理安全是信息系統安全中的基礎，如果無法保證實體設備的安全，就會使計算機設備遭到破壞或是被不法分子入侵，計算機系統中的物理安全，首先要采取有效的技術控制手段來控制接觸計算機系統的人員，確保計算機系統物理環境的安全；其次要采取是設備標記、計算機設備維護以及機房防盜等安全措施，確保計算機設備的安全。另外，通信線路是網絡信息系統正常運行的信息管道，物理安全還包括通信線路實體的安全。檢測網絡信息系統物理安全的主要方法是現場檢查、方案審查以及調查問卷檢查等。

2 網絡安全措施及檢測方法

網絡的開放性帶來了方便的可用性，但也使其更容易受到外界的攻擊和威脅。入侵者可以利用系統中的安全漏洞，采用惡意程序來攻擊網絡，篡改、竊取網絡信息，從而導致網絡癱瘓、系統停止運行。在網絡維護過程中，應采用合適的檢測手段，采用嚴格的措施與網絡攻防行為對抗，保障網絡安全。檢測方法可從下面三個角度考慮。

2.1 網絡結構安全要求

網絡信息系統為了保證內部網絡拓撲信息不被非法獲得，在不對性能造成影響的前提下，采用動態地址映射隔離內部網絡；在網絡信息系統內部采用使用加密設備以及劃分VLAN的方法來防止非法竊聽；采取監控、隔離的措施來保護重要的服務器。網絡結構安全可以采取方案審查和現場檢查的方法來檢測網絡信息系統網絡結構是否合理，是否安全。

2.2 網絡系統設備安全要求

網絡系統的網絡設備包括防火墻、入侵檢測系統、以及安全評估系統等。1）防火墻。防火墻的抗攻擊能力特別強，它是不同網絡以及網絡安全域信息交換的唯一出入口，在檢測網絡信息系統安全時，需檢測防火墻功能是否正常，包括：網絡數據包過濾功能、訪問控制功能、網絡訪問行為功能以及安全審計、安全告警功能；2）路由器。路由器的檢測主要包括對其管理功能的檢測以及基本功能的檢測，路由器是否具備路由加密功能、訪問控制功能、審計數據生成功能以及身份鑒別等功能，是否只有授權的管理員才能對路由器進行管理；3）入侵檢測系統。入侵檢測系統可以它可以協助系統對付網絡攻擊，主動保護自己免受攻擊，使信息安全基礎的結構更加的完整。入侵檢測系統的檢測主要包括：實時監測網絡上的數據流，分析處理和過濾生成的審計數據；聯動功能和自動響應功能是否正常；身份認識功能是否合理有效，什么權限的授權人員才有資格設置入侵管理規則，才能查閱、統計、管理以及維護日志記錄，其他人不能任意的更改或刪除日志記錄；4）病毒防范系統。病毒防范系統應保證以下功能正常運行：病毒防范功能、病毒特征庫更新功能以及審計數據生成與管理。病毒防范系統安全檢測包括：系統是否能控制病毒侵入途徑，控制并阻斷病毒在系統內傳播；系統是否能在病毒侵入時應及時的隔離、清除病毒，在日志上詳細記錄病毒時間的發生及處理過程；病毒特征庫是否定期更新，定期統計和分析病毒的相關日志記錄，及時的對病毒防范策略進行調整；5）漏洞掃描儀。漏洞掃描儀可定期掃描系統，發現系統漏洞，防范于未然。系統漏洞信息具有雙面性，維護人員盡早發現它可采取措施填補，不法份子也可利用它搞破壞。在檢測網絡信息系統的安全時，應考慮到系統安全設備中是否包括有安全漏洞掃描系統，只有授權人員才能對漏洞掃描器進行查閱、管理、統計、維護掃描報告，只有授權人員才能制定掃描規則，比如說定義攻擊類型、標準服務類型以及IP地址，授權使用者要定期的更新掃描特征數據庫，并及時的調整安全策略，更新反病毒數據庫或設置更高的保護級別。6）安全審計系統。審計數據是系統根據設置的審計規則產生的，審計系統應具備審計查閱功能、選擇性審計功能。只有授權人才有權查閱審計系統的日志記錄；采取加密保護措施來確保日志的安全，任何人不得隨意更改日志記錄。

2.3 網絡系統可用性要求

網絡系統的可用性是網絡信息系統安全要求的重要組成部分，保證網絡系統安全的技術手段有：網絡冗余、技術方案驗證、網絡管理和監控等方面。其中，網絡冗余是解決網絡故障的重要措施，備份重要的網絡設備和網絡線路，實時監控網絡的運行狀態，一旦網絡出現故障或是信息流量突變可以及時的切換分配，確保網絡的正常運行。我們應適當的采用網絡監控系統、網絡管理系統這些網絡管理和監控手段，或是運用網絡故障發現、網絡異常報警等功能來確保網絡運行的安全。

3 運行安全措施和檢測方法

信息系統的安全與運行密不可分，網絡信息系統的運行安全主要包括以下幾個方面的內容：

3.1 備份與恢復

為了使數據保持一致和完整，需要對網絡系統的數據進行備份，以此來確保整體網絡系統數據的安全。備份和恢復的檢測方案是：1）如果系統的硬件或存儲媒體發生故障，使用系統自帶的備份功能，進行單機備份，然后將數據存儲到其他存儲設備；2）使用經過認證的備份軟件進行數據備份。在計算機信息系統中，系統應能提供定時的自動備份，備份的自動化，降低由維護員的操作帶來的風險；在自動備份的過程中，如果出現異常情況，可自動報警；為了確保備份的實時性，應該進行事務跟蹤；應該指派專人來負責備份和恢復；應按照數據等級對備份數據進行分級管理；使用的備份軟件應該先經過認證再進行數據備份，并能夠與操作系統兼容。3）在建立系統時要進行設備備份冗余備份。局域網內存在備份服務器，備份的數據保存在本地和異地；為了確保備份的高效性，要采用多個磁帶機并行的方法共同執行的方法；采用RAID等技術，確保備份的容錯性。

3.2 惡意代碼

惡意代碼是指沒有作用卻會帶來危險的代碼。惡意代碼本身是程序，通過執行可能會利用網絡信息系統的漏洞來攻擊和破壞系統。處理惡意代碼的類別有兩種：1）系統應審查從非安全途徑，比如網絡、光盤等途徑獲取的文件的安全；一旦發現惡意代碼，要及時的采取有效措施最大限度的清除惡意代碼；2）系統應審查所有從外界獲取的文件；在一定范圍內建立防惡意代碼體系，具有防惡意代碼工具，在造成損失之前徹底清除惡意代碼。

3.3 入侵檢測

入侵檢測可以實時保護和防范網絡惡意攻擊以及誤操作，它能夠提前攔截和響應系統的入侵。入侵檢測應保證在線有效運行：1）可分析處理和過濾安全事件報警記錄，全方位的反映系統的安全情況；2）支持用戶根據系統安全需求定義用戶規則模板；3）能實時監測系統活動，尋找敏感或可疑的系統活動；4）和防火墻機及其他網絡設備聯動，實施阻斷連接。

3.4 應急響應

應急響應的目的是在發生緊急事件或是安全事件時，確保系統不中斷或緊急恢復。應急響應方案應包括的措施有：1）能夠在發生安全事件或是緊急事件時及時的做出影響分析，并組成應急小組，在法定時間內對發生的事件做出響應；2）具有完善的應急計劃和多種切實可行的備選方案，要有由外地和本地專家組成的應急小組，在法定時間內對發生的事件做出響應。

3.5 系統維護

維護的目的是確保系統的正常運行，減少安全風險，不同信息系統的安全要求不同，其維護安全的要求也會不同，可以分這幾種：一種是對所有系統進行一般性的檢測和維護，這是幾乎所有計算機信息系統都需注意到的問題。另一種是對特殊的設備進行特別維護，對特殊設備進行維護，要針對特殊設備自身的特點進行。無論是一般性的檢測和維護，還是特殊設備的特殊維護，在維護過程中，都要考慮到可能造成數據的丟失的問題，并提出相應的解決方案，使系統具有完善的維護設備。

4 系統軟件安全措施及檢測方法

軟件安全是網絡信息安全應考慮的一部分。軟件安全是指確保計算機軟件的完整性以及不被破壞或是泄漏。軟件的完整性指的是系統應用軟件、數據庫管理軟件等相關資料的完整性，系統軟件在保證網絡系統正常運行中發揮著重要的作用。

4.1 系統軟件安全檢查與驗收

定期檢查軟件，對軟件進行有效管理，定期的檢查是為了及時的發現安全隱患，針對存在的問題來適當的改進現行的軟件，以保證軟件的安全。

在正式對軟件進行加載之前，應該先檢測軟件，確定軟件和其他應用軟件之間是否兼容，檢測人員必須對檢測結果的真實性、準確性負責，對檢測軟件的結果應做好完整的記錄。

4.2 軟件安全的檢測方法

軟件安全的檢測方法有兩種：雙份比較法和軟件安全設置支持系統法。雙份比較法是指在計算機中安裝兩份軟件，一份運行，一份備份，當運行的軟件出現問題影響到系統的正常運行時，就運行備份軟件。比較這兩個軟件，如果備份軟件也在運行中出現問題，則說明該軟件存在造成網絡信息系統出現故障的隱患，面臨著安全的威脅；如果備份軟件在運行過程中是正常的，就將備份軟件復制一份，再進行相同的檢測。

5 應用安全措施及檢測方法

網絡信息系統的安全因素是動態變化的，其中，應用安全指的是解決用戶在應用業務程序過程中的安全問題。應用系統的服務將網絡用戶連接起來，一般包括電子郵件服務、FTP服務、WWW服務、以及文件共享等應用，無論信息的傳遞，還是信息的共享，在檢測網絡信息系統的安全時，必須對網絡和信息系統的安全性進行測試。

5.1 電子郵件服務

電子郵件服務安全可以借助病毒防火墻等工具，查殺和過濾病毒，過濾收發電子郵件中可能隱藏的對郵件客戶端形成危害的惡意代碼；安裝電子郵件過濾工具，以有效防御拒絕服務攻擊，比如說垃圾郵件或是電子郵件炸彈等；應使服務器只提供電子郵件服務，并安裝電子郵件服務檢測引擎。

5.2 FTP服務

FTP服務器的應采取的安全措施是：應該在FTP服務器中安裝檢測引擎；應該使用強鑒別機制來認證FTP的用戶身份；應該使用安全工具來保護FIP會話；應加密FTP的數據傳輸；采取專機專用的形式；另外，對FTP服務器的訪問要進行日志審計。

5.3 WWW服務

WWW服務是目前應用最廣的一種基本互聯網應用，WWW服務的安全措施包括服務器安全狀態、服務器操作系統平臺、服務器配置以及服務器軟件等方面，在查找、檢索、瀏覽及添加信息時，應使用網頁防篡改工具來實時監測和刷新WWW服務器的內容。

參考文獻：

[1]葉里莎，網絡信息系統安全檢測方案設計[D].四川大學，2004（9）.

[2]王永剛，淺析網絡信息系統技術安全與防范[J].科技創新與應用，2012（4）.

[3]趙軍勇，網絡信息系統技術安全與防范[J].視聽界，2011（8）.

[4]李曼、臺飛，網絡信息系統技術安全與防范[J].科技風，2009（6）.

[5]張茹冰，網絡信息系統技術安全與防范[J].計算機光盤軟件與應用，2012（2）.

[6]宮兆斌，網絡入侵檢測技術研究與應用[J].大連海事大學，2010（5）.

篇6

[關鍵詞] 網絡技術;拓撲結構;體系結構

[中圖分類號]R197.324[文獻標識碼]B [文章編號]1674-4721(2009)07(a)-137-03

隨著計算機系統的進一步開發和應用,網絡結構的不斷成熟,網絡產品國際標準的制定,以及計算機硬件產品性價比的日漸提高,大多數醫院計算機化管理模式已從獨立的單機階段和部門級應用階段,轉向系統集成的計算機網絡化管理。下面根據醫院普遍存在的共性,探討組建醫院計算機網絡的具體方案。

1 醫院網絡建設需求

醫院信息化的建設目的以病人診療信息和提高醫療質量為中心,實現醫院醫療、教學、科研及信息的網絡化管理。從應用系統的角度來看,醫院網絡建設需要能滿足不同層次應用的需要,解決信息流的采集、存儲、傳輸、處理,以達到在全院范圍內的全數字化流程。

①可靠迅速的響應以提供更好的醫療服務,保證大門診量的正常訪問,解決HIS(hospital information system)系統服務器的瓶頸。②滿足醫院數據的安全存儲和可擴展性存儲,其中包括HIS(hospital information system)系統,LIS(laboratory information management system)系統和PACS(picture archiving & communication system)影像等系統海量數據的存儲和傳輸。③區域醫療的建設,如遠程會診、網上學術研討等業務迫切需要醫院之間的資源共享,因此,醫院網絡還要滿足信息化需要的互聯互通。④滿足web信息和各種Internet接入的應用。⑤滿足未來信息化需要的無線終端接入應用,通過直接訪問EMR(electronic medical record)電子病歷服務器,實現病人日常巡房記錄實時讀寫;不同住院樓不同病房之間實現無線終端快速漫游切換。

2 網絡的設計與規劃

2.1做好規劃

網絡組建首先要做好總體規劃和需求分析,關鍵以實用性、先進性、開放性、可擴展性和安全可靠性為建網的主要原則。

2.1.1 實用性和先進性是結合實際需要,注重網絡的實際應用和維護的方便,選取用技術成熟、效果好和通用性強的網絡設備,使網絡運行高速可靠,支持不同的網絡協議,還能夠提供不同類型的網絡接口和互聯手段。網絡以強盛的生命力出現,為適應其高速發展,要求建網硬件要有一個高的起點,網絡設備的配置要有超前的意識,為今后高速數據流量和多媒體信息傳輸創造條件,保證網絡長久的實用性和先進性。

2.1.2 開放性和可擴展性,網絡技術的快速發展及應用水平不斷提高,要求整個網絡系統要具備良好的開放性、可擴充性和組態的靈活性,如網絡設備的增加、網絡主干數據流量的加速和子網絡拓撲結構的升級等等,都要保證可平穩地過渡到不久將來的高速數據標準的網絡主干上。

2.1.3 安全可靠性是衡量整個網絡性能最重要的指標,應采用性能先進、可靠性強的網絡設備、存儲設備和服務器,保證系統運行的平穩和網上數據的安全與完整。

2.2 網絡的相關技術

目前,我們接觸較多的主干網有:交換式以太網、快速以太網、光纖分布式數據接口(FDDI)、異步傳輸模式(ATM)和千兆以太網等網絡技術形式。在客觀上和應用中,它們各自存在優缺點。

交換式以太網和快速以太網相對其他幾種網絡技術來說簡單一點,整個網絡造價較低,交換式以太網最大的優點是可獨占帶寬,避免用戶使用的沖突,從根本上解決了共享的缺陷,但快速以太網的總體性能會隨著用戶數據的增加而下降。

光纖分布式數據接口(FDDI)采用雙環或雙連環的冗余設計,使網絡具有極強的穩定性、可靠性、保密性和安全性,并有遠距離的傳輸能力(輻射直徑可達100公里),但共享問題是FDDI的最大弱點。

異步傳輸模式(ATM)技術是一種最為先進,又完全不同于傳統網絡技術的新概念,是一種基于信元( Cell)交換技術,可根據用戶需求隨意調整帶寬,代表網絡技術的發展方向,但產品的價格昂貴,不適合企業的普及使用。

綜合以上幾種網絡技術的特點,結合考慮到醫學信息對網絡傳輸速度和傳輸帶寬的具體要求,以及目前網絡技術發展的趨勢和網絡的可擴展性,可以采用以光纖為主要數據干線,六類非屏蔽雙絞線(UTP)為水平傳輸介質高速以太網,主干網絡符合TIA/EIA-568B CAT6的性能要求,傳輸頻寬達350 MHz,對語音和視頻的傳輸都可以達到較好的效果。

3 網絡的拓撲與方案

醫院計算機網絡是典型的局域網,是利用通信線路將多臺計算機等設備連接起來,目的在于實現相互間的數據傳輸和資源共享。醫院網的建設是對網絡拓撲結構的選擇,這關系到網絡未來的建設和發展。

在醫院的網絡環境中,其80%數據流量集中于網絡的主干,所以主干應該采用高性能的交換式結構,并且具有較高的系統擴展能力(如端口數量)和新技術應用能力(如千兆桌面,萬兆網)。為使網絡結構盡量穩定可靠,整體網絡采用星形+環形拓撲結構,中心節點和邊緣節點至少為1 000 M以太網,服務器以1 000 M接入核心交換機。

從架構模型上來看,根據醫院規模和實際的需要,可以采用三層或者兩層結構的網絡結構設計。兩層架構為核心層+接入層精簡網絡架構,三層架構為核心層+匯聚層+接入層。基于目前三層架構比較成熟,比起傳統的兩層網絡架構,三層結構增加了匯聚層,在工作站接入核心前先做匯聚,從而減輕了核心層設備的負荷,通過匯聚層實施安全策略及Vlan的劃分可以有效地隔離網絡風暴和網絡阻塞,極大地提高了網絡帶寬的利用率和網絡的安全性。

核心層:由兩個高性能的交換機組成雙鏈路的冗余結構。匯聚層:門診大樓和住院大樓對應的匯聚層交換機通過雙鏈路千兆光纖接入到核心,放射科通過雙鏈路萬兆光纖接入到核心。接入層:采用星形方式通過千兆光纖連接到匯聚層交換機。

保證訪問后端服務器的業務流量得到實時響應,不容許出現網絡瓶頸問題,計算機網絡系統必須建設成為高速、穩定、開放、安全等性能優越的信息網絡系統,全網采用千兆和部分萬兆光纖構成信息網絡主干。三層交換,VLAN虛擬局域網,NAT路由等先進網絡技術;嚴格的六類標準布線,部分科室千兆到桌面,通過全面系統的IP地址規劃及VLAN等技術,實現用戶端到骨干網的快速信息交換。

3.1 核心層

核心層交換機采用兩臺高性能的多層模塊化交換機做雙機冗余備份,搭配最新的高性能Sup 720引擎,雙冗余電源,可以提供高達720 G交換帶寬以及超過400 mpps的包轉發率,滿足以千兆甚至萬兆骨干網絡的性能需求。在兩臺核心交換機上,通過HSRP技術及多重Standby組實現負載均衡的功能,做到最大限度地發揮核心交換機的性能,實現數據分流的同時實現互為備份。配置最新的模塊,提供多個全線速轉發的千兆光纖接口和用于與匯聚層交換機連接。

3.2 匯聚層

匯聚層由多臺支持三層交換和VLAN功能的千兆或者萬兆高性能交換機組成,通過匯聚層交換機端口進行VLAN的劃分,由于在匯聚層交換機下的不同接入層交換機分別屬于不同VLAN,因此,需在匯聚層交換機的上連端口及核心交換機對應的下連端口封裝802.1Q協議,使其能夠傳輸多個VLAN信息。

3.3 接入層

接入層交換機采用與核心交換機相同品牌的交換機,該系列交換機是固定配置的交換機,提供多個千兆和百兆以太網電口接入,為桌面用戶提供百兆或者千兆接入的能力,同時具備2個GBIC插槽或2個電口,可插千兆光纖模塊,用于與匯聚層交換機進行千兆的光纖連接。

3.4 影像主干

由于影像系PACS系統數據量大,網絡與存儲的要求高,因此,設計時,在影像科室使用帶有萬兆端口的匯聚交換機連接到核心交換機,接入層交換機通過千兆光纖鏈接匯聚層交換機,將影像服務器及網絡與主網的服務器及存儲相對獨立,千兆到桌面,減少影像數據的傳輸與調閱時對整個網絡性能的影響。

3.5 外網接口控制

通過前端的路由器及策略路由技術實現對Internet出口的統一管理及帶寬分配。

Internet出口前置增加防火墻,實現網絡安全,開辟DMZ區,放置對外提供訪問的服務器,如WWW服務器、Mail服務器、DNS服務器及FTP服務器等。通過有效的ACL控制外來主機的訪問權限,同時,將防火墻設置成VPN服務器,對移動用戶提供VPN服務。

4 主要網絡設備

網絡系統的設備級可靠性:采用冗余交換引擎,冗余、負載均衡電源(AC和DC),冗余上行鏈路,冗余交換光纖。包括電源、風扇、引擎、線路板模塊、交換背板在內的所有系統單元都可熱插拔,如元件增加、轉移或替換,而不會導致相關業務中斷。在雙重交換引擎配置中,為了保護關鍵應用,可在幾秒鐘內將交換機控制轉換到冗余交換引擎上。所有系統單元都應設計為可現場替換,從而實現最大服務性和最少的網絡停機時間。

網絡服務器是醫院信息系統的核心,所有信息在這里加工處理,服務的性能是衡量整個網絡系統性能的重要指標。醫院是特殊的待業,要求服務器7×24 h不間斷地工作,在選擇服務器時要充分考慮機器的性能和價格比,可采用雙機熱備或服務器群集技術,以確保信息系統正常、穩定地運行。

醫院信息系統數據流量特別大,影像資料需在網上實時傳輸,對網絡傳輸設備的性能要求很高,核心層采用高性能、大容量的多層交換機,匯聚層和接入層采用千兆以太網交換機。支持傳輸大量的多媒體數據,主干采用千兆以太網技術,支持VLAN的劃分。

5 網絡的運行環境

醫院計算機網絡是圍繞醫院信息系統組建的,信息系統的實現最終要落實到具體的網絡操作系統、數據庫系統、軟件的開發工具等操作和開發平臺。這些應用系統的選擇,主要應注重其穩定性、安全性、易操作性、易管理性和易升級能力。

目前,流行的數據庫平臺是基于客戶機/服務器的(client/server)結構模式,是最典型的數據庫應用技術。如ORCLE、SQL-SERVER等優秀平臺,其先進、合理的新型構造方法,具有降低軟件的開發和維護成本,增強產品的可移植性的優點。客戶機/服務器(client/server)結構模式非常適合醫院信息系統。

網絡操作系統是一種特殊的操作系統。Microsoft Windows 2003 Server操作系統具有搶先式多任務、對稱處理多處理器和兼容性強的優點,且界面友好,深受用戶的喜愛。Unix是個多用戶、多進程、多任務的操作系統,成熟穩定,適用于小型機。

6 網絡系統的日常管理

醫院信息化建設成功與否關鍵在于日常管理,日常管理的主要工作又在于計算機網絡的管理,所以要建立一支技術過硬的網絡管理隊伍,負責應用維護、硬件和軟件故障排除、系統程序備份、數據表格備份、系統配置等,并應定期對前端機、網絡系統、服務器三大部件進行檢查維護,以提高網絡設備的壽命,保障系統的正常運行。

我院網管中心采用了網絡管理軟件Quidview CAMS對網絡的配置,性能,差錯,安全等各個方面實施全面管理,Quidview網絡管理系統采用分布式、組件化、跨平臺的開放體系結構,用戶通過選擇安裝不同的業務組件,可以實現設備管理、拓撲管理、告警管理、性能管理、軟件升級管理、配置文件管理、VPN監視與部署等多種管理功能。產品不僅能夠獨立提供完整的網絡管理平臺,還能夠與HP OpenView、SNMPc多種主流通用網管平臺靈活集成;不僅能夠管理H3C公司的全線數據通信設備,還能夠通過標準MIB實現對Cisco、3Com等各主流廠商的數據通信設備的管理。

[參考文獻]

[1]蘇芳,韓靜,龔麗瑛.科學選擇適用的網絡建設方案[J].蘭臺世界,2005,4:12.

[2]李銳生.淺談醫院信息化的網絡建設[J].內蒙古科技與經濟, 2006,12X:112.

[3]蔣藝.醫院檔案創建工作的探討[J].中國現代醫生,2008,46(13):141.

篇7

【關鍵詞】校園網；網絡安全；防火墻；VLAN

【Abstract】With the continuous development of the University information system, almost all colleges and universities have established their own campus network. network security has become a critical issue , it is because the network has the openness and Inherent weaknesses and human negligence, this article described from the software, hardware and management solutions.

【Key words】Campus Network;Network security;Firewalls;VLAN

在當今社會，網絡逐漸取代了很多傳統信息通道，成為一種不可缺少的信息交換媒體應用在各個領域。然而，由于網絡具有開放性、互聯性、連接方式的多樣性及終端分布的不均勻性，再加上本身存在的技術弱點和人為的疏忽，網絡安全就成了至關重要的問題。

隨著高校信息化建設的不斷開展，幾乎所有的高校都建立了自己的校園網，為加快信息處理、合理配置和充分利用優質教育資源、科研和管理提供資源共享、信息交流和協同工作的平臺，同時也是衡量一個高校教育信息化、現代化的重要標志。

在校園網的建設過程中，由于安全意識淡薄和資金欠缺，技術落后等多方面的原因，使得各高校普遍都存在著“輕安全、輕管理”的現象。但是隨著網絡規模的急劇膨脹，學生網絡用戶的快速增長，u盤的普及應用，校園網已經不僅僅服務于教育、科研和行政管理，它應用已經逐漸滲透到校園生活的方方面面。同時，學生是一個比較特殊的群體，他們思想單純，心性不定，又對新鮮事物存在極大好奇心，容易受外界影響，學校有責任限制他們登陸不健康網站。在這種情況下，校園網的安全問題日益嚴峻起來。那么，如何在開放網絡環境下保證校園網正常、安全、高效地運行就成為各個高校不可回避的一個十分重要的問題。

1．網絡安全定義

網絡信息安全一般分為網絡安全和信息安全兩個層面。網絡安全包括系統安全，即硬件平臺、操作系統、應用軟件和運行服務安全，即保證服務的連續性、高效率。信息安全是指數據安全，包括數據加密、備份、程序等，我院主要是使用數據終端設備來進行數據信息保護的技術，如防火墻、防病毒等技術。

我們天津濱海職業學院的校園網絡系統構成除了新校的十多個部門外，還包括成教的舊校區，而每一個部門或用戶都有寶貴的或機密的信息，校園網絡內部的信息也可以說是門類較多、豐富多彩。其中有的信息可以被外部訪問，而有的信息相對外部來說是保密的。對這些信息如何去很好的管理，也是一個很重要的問題。管理作為信息安全保障三大要素之一，常常在保障信息安全的“鏈條”中，它成為最重要的一環。

2.校園網絡的現狀

2.1我校園網絡的拓撲結構

天津濱海職業學院校園網作為服務于全校教育、科研和行政管理的計算機信息網絡，實現了校園內局域網互通，并通過交換機與互聯網相聯。校園網由核心層、匯聚層和接入層構成星型千兆以太網絡，網絡的設計思想是萬兆可擴展，千兆為主干，百兆到桌面。核心層作為整個網絡的核心，選用思科三層交換機為服務器作為這個網絡數據快速轉發的核心基礎；接入層直接面向客戶端，選用的是思科二層交互機連接不同的VLAN；匯聚層作為核心層和接入層的分界點。

校園內建筑物之間的連接選用多模光纖，以行政樓為中心，向其他建筑物輻射；樓內采用非屏雙絞線纜。網絡拓撲結構十分簡單，網絡入口在學院的網絡中心，由電信光纖經過防火墻，最后到達核心交換機，再從核心交換機向四周輻射通向各個匯聚交換機。

2.2我校園網絡面臨的問題

我校園網的安全問題有其歷史原因：在以前，主要因為意識與資金方面的原因，學校網絡建設經費投入嚴重不足，所以就將有限的經費投在關鍵設備上，對于網絡安全建設一直沒有比較系統的投入，致使校園網處在一個開放的狀態，沒有任何有效的安全預警手段和防范措施。只是在內部網與互聯網之間放一個防火墻就萬事大吉，同時對學生上網不加限制，從而導致病毒泛濫、黑客攻擊、信息丟失、服務被拒絕等等，這些安全隱患只要發生一次，對整個網絡都將是致命性的。我校園網建設中面臨的問題有如下幾個方面:

2.2.1硬件設備簡陋

校園網的出口是網絡規劃和建設中需要重點考慮的問題,它關系到校園網用戶對Internet訪問的速度。我校網絡整體結構設備簡陋，現有設備技術指標低，沒有路由器，路由選擇由三層交換機來完成，為了提高速度，防火墻設置也不是很高。校園網建設的目的是為學校的各項工作信息化服務，提高工作效率，應強調其應用，應多購置服務器，每個服務器滿足一個應用，把應用平臺搭建起來，供師生逐漸熟悉，最終完全接受。

2.2.2 IP地址欺騙、盜用

現在TCP/IP協議廣泛用于各種網絡。但是TCP/IP協議本身就存在很多問題，幾乎所有的internet協議都沒有考慮安全機制。TCP/IP協議是采用物理地址來為網絡節點的唯一標識，但是由于我們采用的是DHCP服務器技術，節點的IP地址是不固定的，是一個公共數據，因此攻擊者可以直接修改節點的IP地址，冒充某個可信節點的IP地址，進行攻擊。

篇8

關鍵詞：計算機 網絡安全 網絡建設 安全技術

中圖分類號：TN711 文獻標識碼：A 文章編號：

隨著計算機網絡的不斷發展，信息全球化已成為人類發展的現實。但由于計算機網絡具有多樣性、開放性、互連性等特點，致使網絡易受攻擊。具體的攻擊是多方面的，有來自黑客的攻擊，也有其他諸如計算機病毒等形式的攻擊。因此，網絡的安全措施就顯得尤為重要，只有針對各種不同的威脅或攻擊采取必要的措施，才能確保網絡信息的保密性、安全性和可靠性。

1威脅計算機網絡安全的因素

計算機網絡安全所面臨的威脅是多方面的，一般認為，目前網絡存在的威脅主要表現在：

1.1非授權訪問

沒有預先經過同意，就使用網絡或計算機資源被看作非授權訪問，如有意避開系統訪問控制機制，對網絡設備及資源進行非正常使用，或擅自擴大權限，越權訪問信息。它主要有以下幾種形式：假冒、身份攻擊、非法用戶進入網絡系統進行違法操作、合法用戶以未授權方式進行操作等。

1.2信息泄漏或丟失

指敏感數據在有意或無意中被泄漏出去或丟失，它通常包括：信息在傳輸中丟失或泄漏(如"黑客"利用電磁泄漏或搭線竊聽等方式可截獲機密信息，或通過對信息流向、流量、通信頻度和長度等參數的分析，推出有用信息，如用戶口令、賬號等重要信息)、信息在存儲介質中丟失或泄漏、通過建立隱蔽隧道等竊取敏感信息等。 1.3破壞數據完整性

以非法手段竊得對數據的使用權，刪除、修改、插入或重發某些重要信息，以取得有益于攻擊者的響應；惡意添加、修改數據，以干擾用戶的正常使用。

1.4拒絕服務攻擊

它不斷對網絡服務系統進行干擾，改變其正常的作業流程，執行無關程序使系統響應減慢甚至癱瘓，影響正常用戶的使用，甚至使合法用戶被排斥而不能進入計算機網絡系統或不能得到相應的服務。

1.5利用網絡傳播病毒

通過網絡傳播計算機病毒，其破壞性大大高于單機系統，而且用戶很難防范。

2網絡安全建設方法與技術

網絡具有訪問方式多樣、用戶群龐大、網絡行為突發性較高的特點。網絡安全問題要從網絡規劃階段制定各種策略，并在實際運行中加強管理。為保障網絡系統的正常運行和網絡信息的安全，需要從多個方面采取對策。攻擊隨時可能發生，系統隨時可能被攻破，對網絡的安全采取防范措施是很有必要的。常用的防范措施有以下幾種。

2.1計算機病毒防治

大多數計算機都裝有殺毒軟件，如果該軟件被及時更新并正確維護，它就可以抵御大多數病毒攻擊。定期地升級軟件是很重要的。在病毒入侵系統時，對于病毒庫中已知的病毒或可疑程序、可疑代碼，殺毒軟件可以及時地發現，并向系統發出警報，準確地查找出病毒的來源。大多數病毒能夠被清除或隔離。再有，對于不明來歷的軟件、程序及陌生郵件，不要輕易打開或執行。感染病毒后要及時修補系統漏洞，并進行病毒檢測和清除。 2.2防火墻技術

防火墻是控制兩個網絡間互相訪問的一個系統。它通過軟件和硬件相結合，能在內部網絡與外部網絡之間構造起一個"保護層"，網絡內外的所有通信都必須經過此保護層進行檢查與連接，只有授權允許的通信才能獲準通過保護層。防火墻可以阻止外界對內部網絡資源的非法訪問，也可以控制內部對外部特殊站點的訪問，提供監視Internet安全和預警的方便端點。當然，防火墻并不是萬能的，即使是經過精心配置的防火墻也抵擋不住隱藏在看似正常數據下的通道程序。根據需要合理的配置防火墻，盡量少開端口，采用過濾嚴格的WEB程序以及加密的HTTP協議，管理好內部網絡用戶，經常升級，這樣可以更好地利用防火墻保護網絡的安全。

2.3入侵檢測

攻擊者進行網絡攻擊和入侵的原因，在于計算機網絡中存在著可以為攻擊者所利用的安全弱點、漏洞以及不安全的配置，比如操作系統、網絡服務、TCP／IP協議、應用程序、網絡設備等幾個方面。如果網絡系統缺少預警防護機制，那么即使攻擊者已經侵入到內部網絡，侵入到關鍵的主機，并從事非法的操作，我們的網管人員也很難察覺到。這樣，攻擊者就有足夠的時間來做他們想做的任何事情。

基于網絡的IDS，即入侵檢測系統，可以提供全天候的網絡監控，幫助網絡系統快速發現網絡攻擊事件，提高信息安全基礎結構的完整性。IDS可以分析網絡中的分組數據流，當檢測到未經授權的活動時，IDS可以向管理控制臺發送警告，其中含有詳細的活動信息，還可以要求其他系統(例如路由器)中斷未經授權的進程。IDS被認為是防火墻之后的第二道安全閘門，它能在不影響網絡性能的情況下對網絡進行監聽，從而提供對內部攻擊、外部攻擊和誤操作的實時保護。

2.4安全漏洞掃描技術

安全漏洞掃描技術可以自動檢測遠程或本地主機安全性上的弱點，讓網絡管理人員能在入侵者發現安全漏洞之前，找到并修補這些安全漏洞。安全漏洞掃描軟件有主機漏洞掃描，網絡漏洞掃描，以及專門針對數據庫作安全漏洞檢查的掃描器。各類安全漏洞掃描器都要注意安全資料庫的更新，操作系統的漏洞隨時都在，只有及時更新才能完全的掃描出系統的漏洞，阻止黑客的入侵。

2.5數據加密技術

數據加密技術是最基本的網絡安全技術，被譽為信息安全的核心，最初主要用于保證數據在存儲和傳輸過程中的保密性。它通過變換和置換等各種方法將被保護信息置換成密文，然后再進行信息的存儲或傳輸，即使加密信息在存儲或者傳輸過程為非授權人員所獲得，也可以保證這些信息不為其認知，從而達到保護信息的目的。該方法的保密性直接取決于所采用的密碼算法和密鑰長度。

2.6安全隔離技術

面對新型網絡攻擊手段的不斷出現和高安全網絡的特殊需求，全新安全防護理念"安全隔離技術"應運而生。它的目標是，在確保把有害攻擊隔離在可信網絡之外，并保證可信網絡內部信息不外泄的前提下，完成網絡間信息的安全交換。隔離概念的出現是為了保護高安全度網絡環境。

2.7黑客誘騙技術

黑客誘騙技術是近期發展起來的一種網絡安全技術，通過一個由網絡安全專家精心設置的特殊系統來引誘黑客，并對黑客進行跟蹤和記錄。這種黑客誘騙系統通常也稱為蜜罐(Honeypot)系統，其最重要的功能是特殊設置的對于系統中所有操作的監視和記錄，網絡安全專家通過精心的偽裝使得黑客在進入到目標系統后，仍不知曉自己所有的行為已處于系統的監視之中。為了吸引黑客，網絡安全專家通常還在蜜罐系統上故意留下一些安全后門來吸引黑客上鉤，或者放置一些網絡攻擊者希望得到的敏感信息，當然這些信息都是虛假信息。這樣，當黑客正為攻入目標系統而沾沾自喜的時候，他在目標系統中的所有行為，包括輸入的字符、執行的操作都已經為蜜罐系統所記錄。有些蜜罐系統甚至可以對黑客網上聊天的內容進行記錄。蜜罐系統管理人員通過研究和分析這些記錄，可以知道黑客采用的攻擊工具、攻擊手段、攻擊目的和攻擊水平，通過分析黑客的網上聊天內容還可以獲得黑客的活動范圍以及下一步的攻擊目標，根據這些信息，管理人員可以提前對系統進行保護。同時在蜜罐系統中記錄下的信息還可以作為對黑客進行的證據。

篇9

一、企業網絡系統存在的安全隱患

企業網絡安全系統就是企業借助計算機、通信設施等現代設備，構建相應的滿足企業日常經營和管理需求的系統模式。隨著信息技術的快速發展，企業網絡建設更加成熟和完善。整個網絡系統能夠跨越多個地區、覆蓋千家企業和大量用戶，網絡比較龐大且復雜，不管網絡構架多么的復雜，其應用系統種類更加繁多，各系統間關聯性更強[1]。目前，企業網絡安全系統主要面臨以下威脅：（1）物理層安全威脅會導致設備損壞，系統或網絡不可用，數據損壞、丟失等。（2）因企業管理人員水平不高，引發企業內部信息泄露的威脅。同時，在整個網絡中，內部員工對企業網絡結構、應用比較熟悉，自己攻擊或泄露內部信息，也會導致系統遭受致命的安全威脅。（3）計算機病毒是一種可以將自身附加值目標機系統的文件程序，其對系統的破壞性非常嚴重，會導致服務拒絕、破壞數據或導致整個系統面臨癱瘓。當病毒釋放至網絡環境內，其無法預測其產生的危害。

二、企業網絡安全防護系統設計

1身份認證系統的設計與實現

身份認證作為網絡安全的重要組成部分，企業網絡安全系統中設計基于RSA的認證系統，該系統為三方身份認證協議。

（1）申請認證模塊的設計與實現

CA設置在企業主服務器上，本系統主要包含申請認證、身份認證、通信模塊。其中，申請認證完成與申請認證相關的操作，該模塊實現流程如下：用鼠標點擊菜單項中的“申請證書”，彈出相應的認證界面。在申請書界面內，輸入用戶的姓名及密碼，傳遞至CA認證。

CA接收到認證方所發出的名稱和明碼后，并將認證結果發送至申請證書方，當通過用戶驗證將公鑰傳給CA。

CA接收申請證書一方傳來的公鑰，把其制作為證書發送給申請方，完成CA各項功能。申請方接收CA傳來的證書后，保存至初始化文件.ini內。在申請方.ini文件內可以看見用戶設置的公鑰。

（2）身份認證模塊

實施身份認證的雙方，依次點擊菜單項中的身份認證項，打開相應的身份認證對話框，提出驗證方的請求連接，以此為雙方創建連接[2]。

實際認證過程中，采用產生的隨機數字N1、N2來抵抗攻擊。B驗證A證書有效后，獲取自己的證書，產生隨機數N1對其實施簽名。隨之把證書、簽名的N1兩條信息一起傳遞至A。A接收B發出的信息后，將其劃分為兩個部分，并驗證B的身份同時獲取B公鑰。A驗證B證書屬于有效后，取出N傳出的隨機數N1，并產生隨機數字N2，把密鑰采用B公鑰加密，最終把加密后的密鑰采用A傳送至B。B接受A發出的信息后，對A簽名數據串進行解簽，對傳輸的數據進行驗證。如果驗證失敗，必須重新實施認證。實現代碼如下：

UCHARdata[1024]={0}：//解密后的私鑰文件UINT4datalen=10224//解密后私鑰文件長度if（RTN_OK！=CryptionProe（ATTRIB_SDBI_KEY，Dec_keylen，DNCRYPT，kk->length，data，&datalen））{m_List.AddMSg（解密私鑰失敗”，M_ERROR）：deletekk；retllrn；}e1se.

2安全防護系統的設計及實現

設計安全防護系統旨在保護企業內部信息的安全，實現對各個協議和端口過濾操作，并實時監測網絡的安全性。

（1）Windos網絡接口標準

安全防護系統總設計方案是基于Windows內核內截取所有IP包。在Windows操作系統內，NDIS發揮著重要的作用，其是網絡協議與NIC之間的橋梁，Windows網絡接口見圖1。其中，NDIS設置在MinpORT驅動程序上，Miniport相當于數據鏈路層的介質訪問控制子層。

（2）數據包過濾系統

數據包過濾系統主要過濾IP數據包、UDP數據包、傳輸層TCP、應用層HTTP等。包過濾技術遵循“允許或不允許”部分數據包通過防火墻，數據包過濾流程見圖2。包過濾裝置對數據包進行有選擇的通過，采用檢查數據量中各數據包后，依據數據包源地址、TCP鏈路狀態等明確數據包是否通過[3]。

綜上所述，現階段，我國多數企業設置的安全防護系統主要預防外部人員的非法入侵和供給，對企業內部人員發出的網絡攻擊、信息竊取無法起到防護的效果。文中對網絡系統安全存在的安全風險展開分析，提出企業網絡身份認證系統和安全防護系統設計與實現步驟，以此提升企業網絡信息的安全性，為企業更好地發展提供安全支持。

參考文獻：

[1]徐哲明.企業網絡系統安全修補程序構架的設計[J].計算機安全，2013，17（8）：47-50.

[2]勞偉強.企業數據網安全防護體系的研究與實現[J].電子世界，2013，35（22）：154-154.

[3]付寧.企業網絡安全防護體系及企業郵箱的建立[J].科技傳播，2013，12（2）：214-215.

篇10

摘要：本文從校園網設計原則出發，著重描述校園網架構以及各網絡層次結構的選擇和建議。

一、校園網絡設計原則

（一）整體規劃、分步實施原則。充分考慮整體需求，既要考慮到目前的應用需求，還應考慮校園網建設過程中的資金投入不可能一步到位、以及今后出現新技術和新需求的實際情況，做到升級維護簡單易行，后期建設不浪費原有投資。

（二）先進性和成熟性原則。要有先進的設計思想和超前意識，設計要充分應用已經成熟的先進技術，采用市場覆蓋率高、標準化和技術成熟的軟硬件產品，能根據技術的發展平穩的向新技術過渡，保證網絡通訊介質、網絡設計核心的向后兼容性。

（三）可擴充性原則。要建設成完整統一、組網靈活、易擴充的彈性網絡平臺，采用層次性的系統設計原則，使網絡具有良好的可擴充性，在將來網絡升級或再投資的情況下，能隨時通過增加網絡設備或模塊來對現有設備進行升級和擴充，并能把替換下來的設備應用到分支或邊緣網絡上。

（四）開放性和標準化原則。網絡設計采用開放技術、開放結構、開放系統組件和開放用戶接口，能兼容不同的拓撲結構，支持良好的維護、測量和管理手段，提供網絡統一實時監控，實現設備的統一管理；整個網絡系統全部采用或符合國際標準，以便和不同廠家的產品互操作和互聯，自由地選擇不同廠家的計算機、網絡設備及操作系統。

（五）安全可靠性原則。充分考慮整個網絡的穩定性，要充分考慮關鍵鏈路、設備、系統的冗余設計，支持網絡節點的備份和線路保護，通過使用網絡用戶身份識別、vlan、包過濾、入侵檢測及防火墻等技術建立全方位、立體化的網絡安全體系，保證網絡系統的安全性。

（六）經濟實用性原則。網絡規劃設計應具有良好的性價比，要考慮到網絡技術的日新月異，選擇網絡設備時要有前瞻性，要能夠兼容未來的標準技術及應用，避免現在選擇的技術或設備在一段時間后就會過時甚至被淘汰，造成新一輪的大規模投資，盡量減少二次投資。

二、網絡結構設計方案

（一）網絡架構選擇。在校園網的建設過程中，主干網選擇何種網絡技術對網絡建設的成功與否起著決定性作用。選擇適合自身校園網絡需求特點的主流網絡技術，不但能保證網絡的高性能，還能保證網絡的先進性和擴展性，將來能向新技術、新設備平穩過渡，從而保護原有投資。校園網屬于局域網范疇，通過網絡主干將各樓宇內的局域子網互聯起來，并通過出口系統，實現與外部教育網、公網互聯。網絡主干、各樓宇的子網、網絡出口、各種網絡安全系統以及網絡管理系統構成完整的校園網絡系統。

目前，校園主干網建設中采用的網絡技術主要有千兆以太網技術、萬兆以太網技術、fddi技術以及atm技術，這些技術各有優缺，選擇時需要綜合考慮實際建設的具體需求，選擇適合于學校自身實際情況的網絡。通過以上幾種技術對比，千兆以太網和萬兆以太網技術具有傳輸速率高、技術成熟、性價比優異等特點，是當今校園網建設的主流技術，同時也是對原有網絡升級的明智選擇。因此，如果是中等規模的院校，其校園網絡規劃可選取以千兆以太網組建網絡核心，以百兆以太網作為分支局域網的組網方式。

（二）網絡層次結構選擇。對于中等規模高校而言，根據校園規劃、校園內數據訪問流量特點，網絡可采用模塊化、層次化的設計方法，使用核心層、匯聚層、接入層三層構架方式。通過千兆光纖交換構建網絡核心層，構成網絡主干；通過千兆雙絞線交換構建匯聚層，構成樓宇子網交換；通過百兆交換構成接入層，實現樓宇中各樓層房間的網絡接入。核心層通過1ge技術構成互聯，主要完成數據的高速轉發；匯聚層在主干光纖線路上選擇幾個節點作為匯聚節點，匯聚節點與核心節點之間通過1ge技術連接，匯聚節點通過1ge與接入層節點連接；接入層完成用戶的接入控制、速率限制和網絡準入檢測，以及通過802.3af技術提供對無線ap、ip視頻監控頭等的以太網供電。

1.核心層。考慮學校網絡建設有一個逐漸擴大規模的過程，設計時充分考慮了網絡結構靈活性，先在校園網絡部署2核心節點，雙冗余模式。兩個核心節點采用2臺高性能千兆路由交換機作為主干中心交換機，將兩核心節點以千兆雙回路互聯提供無阻塞傳輸骨干網，并實現負載分擔和互為備份，提高核心層的可靠性和穩定性。