集團(tuán)基礎(chǔ)架構(gòu)的網(wǎng)絡(luò)系統(tǒng)論文范文

本站小編為你精心準(zhǔn)備了集團(tuán)基礎(chǔ)架構(gòu)的網(wǎng)絡(luò)系統(tǒng)論文參考范文，愿這些范文能點(diǎn)燃您思維的火花，激發(fā)您的寫作靈感。歡迎深入閱讀并收藏。

1網(wǎng)絡(luò)綜合接入研究

網(wǎng)絡(luò)綜合接入是整個網(wǎng)絡(luò)的基礎(chǔ)，該部分包括互聯(lián)網(wǎng)出口、網(wǎng)絡(luò)架構(gòu)及接入節(jié)點(diǎn)。后續(xù)業(yè)務(wù)及辦公將更依賴于互聯(lián)網(wǎng)資源，為了保證互聯(lián)網(wǎng)出口的暢通無阻，依據(jù)廈門軌道交通集團(tuán)網(wǎng)絡(luò)規(guī)模約為1000個用戶數(shù)的用戶規(guī)模，本研究建議引入兩條20M互聯(lián)網(wǎng)專線，并采用兩大運(yùn)營商的網(wǎng)絡(luò)資源，為解決跨南北運(yùn)營商的網(wǎng)絡(luò)，本研究建議引入電信和聯(lián)通用兩大運(yùn)營商的網(wǎng)絡(luò)資源。網(wǎng)絡(luò)架構(gòu)依分層設(shè)計的思路，本研究建議采用網(wǎng)絡(luò)扁平化設(shè)計，采用二層結(jié)構(gòu)，壓縮掉匯聚層，形成核心層和接入層，提高轉(zhuǎn)發(fā)效率，核心層是承擔(dān)整體網(wǎng)絡(luò)的核心交換，因此應(yīng)充分考慮其高可用性。

1.1互聯(lián)網(wǎng)出口研究為了保證互聯(lián)網(wǎng)出口網(wǎng)絡(luò)鏈路的暢通性、穩(wěn)定性和可靠性，保證網(wǎng)絡(luò)服務(wù)的質(zhì)量，消除單點(diǎn)故障，減少停機(jī)時間，本研究建議引入兩大運(yùn)營商（電信、聯(lián)通）的互聯(lián)網(wǎng)專線，從而實現(xiàn)不間斷、高效率的政務(wù)服務(wù)。基于上述考慮，本研究建議在廈門軌道交通集團(tuán)互聯(lián)網(wǎng)出口部署網(wǎng)絡(luò)鏈路負(fù)載均衡設(shè)備，以實現(xiàn)以下兩種場景下多條鏈路的負(fù)載均衡：（1）內(nèi)部辦公人員和網(wǎng)絡(luò)工作站在訪問互聯(lián)網(wǎng)服務(wù)和網(wǎng)站時，能夠在不同互聯(lián)網(wǎng)出口鏈路中動態(tài)地分配和負(fù)載均衡，這也被稱為出站流量的負(fù)載均衡。（2）互聯(lián)網(wǎng)絡(luò)的外部用戶在外部訪問內(nèi)部網(wǎng)站和應(yīng)用系統(tǒng)時，也能夠動態(tài)地在多條鏈路上平衡分配，并在一條鏈路中斷的時候能夠智能地自動切換到另外一條鏈路到達(dá)服務(wù)器和應(yīng)用系統(tǒng)，這也被稱作為入站流量的負(fù)載均衡。

1.2核心層研究本研究建議核心層采用兩臺核心交換機(jī)，通過VRRP實現(xiàn)全容錯的核心層接入。VRRP全稱VirtualRouterRedundancyProtocol（虛擬路由冗余協(xié)議）。簡單來說，VRRP是一種容錯協(xié)議，它保證當(dāng)主機(jī)的下一跳路由器壞掉時，可以及時的由另一臺路由器來代替，從而保持通訊的連續(xù)性和可靠性。為了使VRRP工作，首先要創(chuàng)建一個虛擬IP地址和MAC地址，這樣在這個網(wǎng)絡(luò)中就加入了一個虛擬路由器。而這個網(wǎng)絡(luò)上的主機(jī)與虛擬路由器通信，無需了解這個網(wǎng)絡(luò)上物理路由器的任何信息。一個虛擬路由器由一個主路由器（MASTER）和若干個備份路由器（BACKUP）組成，主路由器實現(xiàn)真正的轉(zhuǎn)發(fā)功能。當(dāng)主路由器出現(xiàn)故障時，備份路由器成為新的主路由器，接替它的工作。在廈門軌道交通集團(tuán)中心機(jī)房部署兩臺核心交換機(jī)，通過VRRP及MSTP技術(shù)實現(xiàn)鏈路及設(shè)備冗余及負(fù)載，避免單臺核心交換機(jī)故障而造成整個業(yè)務(wù)系統(tǒng)的中斷。考慮網(wǎng)絡(luò)的安全、穩(wěn)定可靠性，本研究建議網(wǎng)絡(luò)設(shè)備采用知名品牌。

1.3接入層研究為了保證各樓層高可用性、高密度的客戶端接入，本研究建議每臺接入層交換機(jī)通過雙鏈路與兩臺核心交換機(jī)對接，并開啟生成樹避免環(huán)路，保證骨干線路千/萬兆的鏈路，另一方面通過trunk將各樓層所需的VLAN傳遞下來，并通過接口劃分指定的VLAN。為了保證安全，各VLAN之間互訪控制通過核心交換機(jī)ACL（訪問控制列表）統(tǒng)一控制。也可以通過VLAN實現(xiàn)各應(yīng)用系統(tǒng)虛擬專網(wǎng)專用，保證安全性及投資回報。3.4網(wǎng)絡(luò)接入點(diǎn)研究根據(jù)統(tǒng)計1號及2號樓網(wǎng)絡(luò)信息點(diǎn)列表，本研究建議各樓層的交換機(jī)（交換機(jī)端口20%預(yù)留）配套如下表據(jù)上述列表統(tǒng)計，24端口樓層交換機(jī)為3臺，48端口樓層交換機(jī)為17臺。

2網(wǎng)絡(luò)安全保障研究

網(wǎng)絡(luò)是整個信息化的基礎(chǔ)平臺，網(wǎng)絡(luò)給企業(yè)帶來極大的方便，但同時也帶來一些安全隱患，網(wǎng)絡(luò)上蠕蟲病毒，來自互聯(lián)網(wǎng)黑客的攻擊等。網(wǎng)絡(luò)安全保障研究考慮的安全設(shè)備包括防火墻、上網(wǎng)行為管理、SSLVPN、入侵防護(hù)及WEB應(yīng)用防火墻，上述安全設(shè)備功能簡單描述如下：（1）防火墻：是隔離互聯(lián)網(wǎng)與內(nèi)網(wǎng)的第一道屏障，用于實現(xiàn)內(nèi)外網(wǎng)隔離。（2）上網(wǎng)行為管理：可以保障企業(yè)互聯(lián)網(wǎng)資源的有效利用，避免單個用戶下載行為而造成互聯(lián)網(wǎng)帶寬瓶頸。（3）SSLVPN：通過簡單網(wǎng)頁方式建立的VPN通道，可以保障移動辦公人員安全高效地訪問公司的內(nèi)部資源。（4）入侵防護(hù)：可以及時準(zhǔn)確地攔截黑客的各種攻擊行為。（5）WEB應(yīng)用防火墻：可避免網(wǎng)站被篡改而造成各種經(jīng)濟(jì)及聲譽(yù)上的損失。以上這些網(wǎng)絡(luò)安全防護(hù)設(shè)備對于保證企業(yè)網(wǎng)絡(luò)環(huán)境的健康、穩(wěn)定運(yùn)行缺一不可。

2.1互聯(lián)網(wǎng)邊界安全研究成功的DDoS攻擊（DistributedDenialofservice分布式拒絕服務(wù)，即很多DOS攻擊源一起攻擊某臺服務(wù)器）所帶來的損失是巨大的。DDoS攻擊之下的廈門軌道交通集團(tuán)所有網(wǎng)站性能急劇下降，無法正常處理用戶的正常訪問請求，造成客戶訪問失敗；服務(wù)質(zhì)量協(xié)議（SLA）也會受到破壞，帶來高額的服務(wù)賠償。同時，提供商的信譽(yù)也會蒙受損失，而這種危害又常常是長期性的。利潤下降、生產(chǎn)效率降低、IT開支增高以及相應(yīng)問題訴諸法律而帶來的費(fèi)用增加等等，這些損失都是由于DDoS攻擊造成的。廈門軌道交通集團(tuán)未來基于互聯(lián)網(wǎng)業(yè)務(wù)應(yīng)用（例如交通信息、網(wǎng)上購票等）將越來越多，面臨DDoS攻擊機(jī)會將越來越大。廈門軌道交通集團(tuán)在互聯(lián)網(wǎng)邊界區(qū)必須部署強(qiáng)有力抗DDOS攻擊能力的防火墻，并實現(xiàn)三大安全區(qū)域的劃分：外網(wǎng)、內(nèi)網(wǎng)和DMZ（demilitarizedzone隔離區(qū)，是為了解決安裝防火墻后外部網(wǎng)絡(luò)不能訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的問題，而設(shè)立的一個非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)，這個緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi)，在這個小網(wǎng)絡(luò)區(qū)域內(nèi)可以放置一些必須公開的服務(wù)器設(shè)施，如企業(yè)Web服務(wù)器、FTP服務(wù)器和論壇等。另一方面，通過這樣一個DMZ區(qū)域，更加有效地保護(hù)了內(nèi)部網(wǎng)絡(luò)，因為這種網(wǎng)絡(luò)部署，比起一般的防火墻方案，對攻擊者來說又多了一道關(guān)卡）區(qū)。

2.2移動辦公遠(yuǎn)程安全接入研究針對部分互聯(lián)網(wǎng)移動辦公用戶需要通互聯(lián)網(wǎng)安全高效地訪問內(nèi)部的業(yè)務(wù)應(yīng)用系統(tǒng)，本研究建議配置相應(yīng)的SSLVPN解決方案，它可以實現(xiàn)免VPN客戶維護(hù)，又可以保證用戶可以通過互聯(lián)網(wǎng)安全高效地訪問廈門軌道交通集團(tuán)的業(yè)務(wù)系統(tǒng)。

2.3上網(wǎng)行為管理研究廈門軌道交通集團(tuán)為了方便員工工作而開通的互聯(lián)網(wǎng)專線，員工可自由訪問互聯(lián)網(wǎng)資源。但互聯(lián)網(wǎng)也暴露出雙刃劍的特性：一方面員工的上網(wǎng)條件得到改善，公司總部組織運(yùn)營效率得到了較大的提升，隨著業(yè)務(wù)可持續(xù)性要求的不斷提高，也發(fā)現(xiàn)網(wǎng)絡(luò)給企業(yè)帶來很多的安全隱患，互聯(lián)網(wǎng)資源被濫用的問題也日益嚴(yán)峻。過去，員工通過與同事閑聊來打發(fā)上班時間。隨著計算機(jī)和互聯(lián)網(wǎng)的普及，員工有了更多的選擇，網(wǎng)上購物、與好友聊天、下載手機(jī)鈴聲、在線欣賞音樂、下載電影、收發(fā)個人郵件、在論壇上舞文弄墨……。只要員工有興趣，他們就能在上班時間盡情享受互聯(lián)網(wǎng)帶來的樂趣。很多員工一打開電腦就會開始各種下載工作，包括BT、電騾、迅雷這些網(wǎng)絡(luò)資源的“吞噬者”，這些員工在大量下載電影和軟件的同時卻在不停地抱怨網(wǎng)速太慢。這些行為嚴(yán)重影響其他員工的正常業(yè)務(wù)辦公（比如通過互聯(lián)網(wǎng)專線上傳一些數(shù)據(jù)等）。同時，不管員工有意還是無意，他們都能夠而且有辦法去訪問一些對組織網(wǎng)絡(luò)基礎(chǔ)設(shè)施有害的內(nèi)容，帶來的病毒、蠕蟲和木馬，均可隨著簡單的鼠標(biāo)點(diǎn)擊輕而易舉地侵入軌道辦公系統(tǒng)內(nèi)網(wǎng)。如何在最大利用互聯(lián)網(wǎng)優(yōu)勢的同時，避免以上互聯(lián)網(wǎng)資源被濫用所引發(fā)的安全隱患及其他各類問題，本研究建議：通過技術(shù)設(shè)備和規(guī)章制度的相結(jié)合，根據(jù)業(yè)務(wù)需求規(guī)范不同網(wǎng)絡(luò)應(yīng)用優(yōu)先級，實現(xiàn)網(wǎng)絡(luò)流量、帶寬的總體規(guī)劃，通過合理規(guī)劃并實施流量帶寬分配，保障核心關(guān)鍵業(yè)務(wù)平穩(wěn)運(yùn)行，指導(dǎo)員工正確使用單位的網(wǎng)絡(luò)資源，從而對局域網(wǎng)的上網(wǎng)行為進(jìn)行有效管理。本研究建議在廈門軌道交通集團(tuán)互聯(lián)網(wǎng)出口部署上網(wǎng)行為控制設(shè)備。通過基于網(wǎng)絡(luò)應(yīng)用類型以及用戶多樣化的帶寬管理需求，將單條物理帶寬劃分為多條虛擬線路實現(xiàn)差異化管理，同時又將每條虛擬線路劃分為多個虛擬子通道來對應(yīng)管理不同類型的網(wǎng)絡(luò)應(yīng)用（能夠為關(guān)鍵業(yè)務(wù)及應(yīng)用靜態(tài)預(yù)留帶寬策略，保證指定帶寬絕不會被其他應(yīng)用搶占；為指定應(yīng)用行為提供帶寬限制策略，保障帶寬不會被其濫用；能夠為指定應(yīng)用的帶寬需求提供動態(tài)帶寬保證，即將指定應(yīng)用未占用的帶寬動態(tài)共享給其他應(yīng)用，最大限度的提高了網(wǎng)絡(luò)帶寬的利用率）；通過基于P2P行為特征的智能識別技術(shù)，實現(xiàn)對加密的、版本泛濫的、同一版本多次變種的、不常見的P2P應(yīng)用進(jìn)行識別，為有效的管控P2P應(yīng)用；基于內(nèi)容的網(wǎng)頁智能識別技術(shù)，對網(wǎng)站內(nèi)容進(jìn)行智能識別，自動學(xué)結(jié)出某類網(wǎng)站的特征與共性進(jìn)而對用戶訪問網(wǎng)頁所產(chǎn)生的流量進(jìn)行差異化管理；基于文件類型的精確識別，有效管控HTTP、FTP文件上傳、下載流量，保證網(wǎng)絡(luò)帶寬的合理利用。以此來幫助互聯(lián)網(wǎng)用戶控制和管理對互聯(lián)網(wǎng)的使用，包括對網(wǎng)頁訪問過濾、網(wǎng)絡(luò)應(yīng)用控制、帶寬流量管理、信息收發(fā)審計、用戶行為分析等。通過部署上網(wǎng)行為管理能達(dá)到以下效果：（1）入網(wǎng)管理，有效管理上網(wǎng)用戶數(shù)量；（2）無線準(zhǔn)入機(jī)制；（3）設(shè)置專門上網(wǎng)的電腦；（4）防止機(jī)密信息泄漏和法律違規(guī)事件；（5）審計內(nèi)網(wǎng)用戶發(fā)送郵件；（6）審計內(nèi)網(wǎng)用戶訪問網(wǎng)站；（7）審計內(nèi)網(wǎng)用戶使用聊天工具的內(nèi)容；（8）因人而設(shè)上網(wǎng)權(quán)限；（9）帶寬及流量管理；（10）通過控制P2P流量，限制下載；（11）合理利用帶寬細(xì)致劃分與分配帶寬資源。

2.4入侵保護(hù)研究依據(jù)廈門軌道交通集團(tuán)未來網(wǎng)絡(luò)和相關(guān)業(yè)務(wù)情況分析結(jié)果，本研究建議在廈門軌道交通集團(tuán)內(nèi)部網(wǎng)絡(luò)部署入侵保護(hù)系統(tǒng)IPS，以最大化地保護(hù)網(wǎng)絡(luò)信息安全，減少及有效避免以下安全風(fēng)險：（1）網(wǎng)絡(luò)互連帶來的安全風(fēng)險由于業(yè)務(wù)需要，廈門軌道交通集團(tuán)網(wǎng)絡(luò)需連接互聯(lián)網(wǎng)，業(yè)務(wù)或辦公數(shù)據(jù)在網(wǎng)絡(luò)上傳輸，而網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)都不同程度存在一些安全漏洞，攻擊者可以利用存在的漏洞進(jìn)行破壞，可能引起數(shù)據(jù)破壞、業(yè)務(wù)中斷甚至系統(tǒng)宕機(jī)，將嚴(yán)重影響廈門軌道交通集團(tuán)網(wǎng)絡(luò)的正常運(yùn)行。（2）攻擊快速傳播引發(fā)的安全風(fēng)險目前利用漏洞傳播的蠕蟲、病毒、間諜軟件、DDoS攻擊、垃圾郵件等混合威脅越來越多，傳播速度加快，留給人們響應(yīng)的時間越來越短，使用戶來不及對入侵做出響應(yīng)，比如蠕蟲爆發(fā)將造成廈門軌道交通集團(tuán)網(wǎng)絡(luò)癱瘓。入侵檢測系統(tǒng)IDS雖然能檢測出攻擊行為，但無法有效阻斷攻擊。另外，網(wǎng)絡(luò)防病毒系統(tǒng)屬于被動防護(hù)，對于新的未知蠕蟲病毒，防病毒軟件無法檢測出。因此如何保證廈門軌道交通集團(tuán)網(wǎng)絡(luò)在安裝最新安全補(bǔ)丁之前，網(wǎng)絡(luò)不會被蠕蟲、病毒、黑客等攻擊造成網(wǎng)絡(luò)癱瘓。入侵保護(hù)系統(tǒng)IPS（IntrusionPreventionSystem）提供一種主動的、實時的防護(hù)，其設(shè)計旨在對常規(guī)網(wǎng)絡(luò)流量中的惡意數(shù)據(jù)包進(jìn)行檢測，阻止入侵活動，預(yù)先對攻擊性的流量進(jìn)行自動攔截，使它們無法造成損失，而不是簡單地在傳送惡意流量的同時或之后發(fā)出警報。IPS是通過直接串聯(lián)到網(wǎng)絡(luò)鏈路中而實現(xiàn)這一功能的，即IPS接收到外部數(shù)據(jù)流量時，如果檢測到攻擊企圖，就會自動地將攻擊包丟掉或采取措施將攻擊源阻斷，而不把攻擊流量放進(jìn)內(nèi)部網(wǎng)絡(luò)。

2.5WEB應(yīng)用防護(hù)研究隨著廈門軌道交通集團(tuán)將來互聯(lián)網(wǎng)業(yè)務(wù)的應(yīng)用越來越廣泛，其社會影響力將越來越大，一旦平臺網(wǎng)站被攻擊將無法對外提供服務(wù)或被篡改，該情況將對廈門軌道交通集團(tuán)造成極大的負(fù)面影響，因此本研究建議在DMZ區(qū)部署針對網(wǎng)頁防篡改的WEB應(yīng)用防火墻。傳統(tǒng)的邊界安全設(shè)備，如防火墻，作為整體安全策略中不可缺少的重要部分，局限于自身的產(chǎn)品定位和防護(hù)深度，不能有效地針對Web應(yīng)用攻擊提供完善的防御能力。因此，廈門軌道交通集團(tuán)對外服務(wù)的網(wǎng)站有必要采用專業(yè)的安全防護(hù)系統(tǒng)，有效地防止各類攻擊、降低網(wǎng)站安全風(fēng)險。合理的WEB應(yīng)用防火墻可以包含事前、事中、事后的事件有效管理。事前，ICEYEWAF提供Web應(yīng)用漏洞掃描功能，檢測Web應(yīng)用程序是否存在SQL注入、跨站腳本漏洞。事中，對黑客入侵行為、SQL注入/跨站腳本等各類Web應(yīng)用攻擊、DDoS攻擊進(jìn)行有效檢測、阻斷及防護(hù)。事后，針對當(dāng)前的安全熱點(diǎn)問題，網(wǎng)頁篡改及網(wǎng)頁掛馬，提供診斷功能，降低安全風(fēng)險，維護(hù)網(wǎng)站的公信度。

3網(wǎng)管中心研究

健康、穩(wěn)定的網(wǎng)絡(luò)環(huán)境，除了需要良好硬件網(wǎng)絡(luò)基礎(chǔ)環(huán)境，還需要配套后臺的網(wǎng)絡(luò)運(yùn)維管理軟件，此次網(wǎng)管中心網(wǎng)絡(luò)運(yùn)維管理軟件包括補(bǔ)丁及防毒中心、數(shù)據(jù)備份中心、文檔加密系統(tǒng)及桌面管理系統(tǒng)。

3.1補(bǔ)丁及防毒研究目前絕大多數(shù)病毒傳播的途徑是網(wǎng)絡(luò)。對于一個網(wǎng)絡(luò)系統(tǒng)而言，針對病毒的入侵渠道和病毒集散地進(jìn)行防護(hù)是最有效的防治策略。因此，對每一個病毒可能的入口，部署相應(yīng)的反病毒軟件，實時檢測其中是否有病毒，是構(gòu)建一個完整有效反病毒體系的關(guān)鍵。來自系統(tǒng)外部（Internet或外網(wǎng)）的病毒入侵：這是目前病毒進(jìn)入最多的途徑。因此在與外部連接的網(wǎng)關(guān)處進(jìn)行病毒攔截是效率最高，耗費(fèi)資源最少的措施。可以使進(jìn)入內(nèi)部系統(tǒng)的病毒數(shù)量大為減少。網(wǎng)絡(luò)郵件/群件系統(tǒng)：如果網(wǎng)絡(luò)內(nèi)采用了自己的郵件/群件系統(tǒng)實施辦公和信息自動化，那么一旦有某個用戶感染了病毒，通過郵件方式該病毒將以幾何級數(shù)在網(wǎng)絡(luò)內(nèi)迅速傳播，并且很容易導(dǎo)致郵件系統(tǒng)負(fù)荷過大而癱瘓。因此在郵件系統(tǒng)上部署反病毒也顯得尤為重要。文件服務(wù)器：文件資源共享是網(wǎng)絡(luò)提供的基本功能。文件服務(wù)器大大提高了資源的重復(fù)利用率，并且能對信息進(jìn)行長期有效的存儲和保護(hù)。但是一旦服務(wù)器本身感染了病毒，就會對所有的訪問者構(gòu)成威脅。因此文件服務(wù)器也需要設(shè)置反病毒保護(hù)。終端機(jī)：病毒最后的入侵途徑就是最終的桌面用戶。隨著智能手機(jī)、隨著各種網(wǎng)絡(luò)應(yīng)用的增多，智能手機(jī)和筆記本計算機(jī)的普及，網(wǎng)絡(luò)邊界逐漸消失，網(wǎng)絡(luò)結(jié)構(gòu)趨于開放；由于網(wǎng)絡(luò)共享的便利性，某個感染病毒的桌面機(jī)可能隨時會感染其它的機(jī)器，或是被種上了黑客程序而向外傳送機(jī)密文件。因此在網(wǎng)絡(luò)內(nèi)對所有的客戶機(jī)進(jìn)行防毒控制也是非常重要的。本研究建議廈門軌道集團(tuán)本部部署補(bǔ)丁及防毒中心，通過補(bǔ)丁及防毒中心統(tǒng)一管理及控制集團(tuán)內(nèi)所有終端機(jī)及服務(wù)器的補(bǔ)丁審批及病毒庫更新。

3.2數(shù)據(jù)備份研究鑒于IT網(wǎng)絡(luò)環(huán)境的不穩(wěn)定性，及可能發(fā)生的硬件損壞、人為誤操作、存儲故障等造成的數(shù)據(jù)損壞和業(yè)務(wù)停頓，或火災(zāi)、地震等自然災(zāi)害帶來的毀滅性破壞，信息系統(tǒng)的安全保障也提出新的要求：系統(tǒng)的數(shù)據(jù)、文件等需要得到妥善的保護(hù)，丟失后要能快速恢復(fù)；電子檔案資料要實現(xiàn)歸檔并能在異地保存。因此本研究建議廈門軌道集團(tuán)本部部署數(shù)據(jù)備份中心，數(shù)據(jù)備份中心除了提供備份軟件外，還需配套專用的磁盤備份設(shè)備，為集團(tuán)提供集備份、容災(zāi)和存儲為一體的創(chuàng)新型備份存儲方案。通過部署數(shù)據(jù)中心以期能達(dá)到以下效果：從PC到Windows到Linux和Unix服務(wù)器環(huán)境的集中備份，并采用NAS、IPSAN和FCSAN多種存儲架構(gòu)相結(jié)合的方式滿足用戶數(shù)據(jù)共享和集中存儲的需求。

3.3文檔加密研究行政辦公文檔、經(jīng)營文檔、技術(shù)文檔三類文檔在企業(yè)運(yùn)作活動中密不可分又相對獨(dú)立。如：研發(fā)類的技術(shù)文檔希望在技術(shù)體系內(nèi)部使用，不能輕易流轉(zhuǎn)到行政管理部門，而企業(yè)經(jīng)營文檔，特別是一些敏感的經(jīng)營信息，只能在受控的少數(shù)經(jīng)營部門，如：財務(wù)、總辦等部門使用。文檔如何在本體系內(nèi)充分共享，支撐業(yè)務(wù)活動，同時又受控地流轉(zhuǎn)到其它部門，是文檔安全保護(hù)需要重點(diǎn)解決的問題。另外，任何企業(yè)和外部有千絲萬縷的聯(lián)系，如：行政監(jiān)管部門、客戶、供應(yīng)商等，如何能將相關(guān)地文檔和外部合作伙伴交換，同時保證其安全性，也是文檔安全管理要解決的問題。在行政辦公文檔、經(jīng)營文檔、技術(shù)文檔相關(guān)的體系內(nèi)部，文檔的安全保護(hù)也必須考慮文檔的日常使用和流轉(zhuǎn)、文檔管理規(guī)范的遵守和落實、文檔保護(hù)相關(guān)的技術(shù)手段等方面的統(tǒng)一協(xié)調(diào)，達(dá)到安全和效率的平衡，即對文檔進(jìn)行適當(dāng)?shù)谋Ｗo(hù)又不影響企業(yè)正常的業(yè)務(wù)運(yùn)作。達(dá)到這一定，必須充分考慮文檔操作流程、文檔管控措施、文檔保護(hù)技術(shù)手段的要求，使三者有機(jī)地融合在一起。因此本研究建議在廈門軌道交通集團(tuán)部署文檔加密系統(tǒng)，以期能達(dá)成以下效果：客戶端動態(tài)加解密區(qū)域文件復(fù)制或保存時自動強(qiáng)制加密。文件打開時自動解密。對用戶來說，該過程是完全透明的，不改變用戶的使用習(xí)慣。無論是另存為其他文件格式，還是使用進(jìn)程名欺騙的方式都能對文檔有效加密。無論通過存儲（USB、光盤、軟驅(qū)、ZIP盤等）或網(wǎng)絡(luò)（Email、FTP、Windows共享等）或是其它傳輸介質(zhì)與方法（紅外、藍(lán)牙等），均在保護(hù)范疇內(nèi)。（1）拷貝粘貼及拖拽控制：允許從外部復(fù)制進(jìn)受控文檔，但不允許從受控文檔向外復(fù)制粘貼（包括郵件或者即時通訊工具），用戶在受控文檔間的拷貝粘貼、拖拽均可正常使用。（2）文檔權(quán)限管理：文檔具有閱讀、編輯、打印的權(quán)限控制。對外發(fā)文檔除了上述功能外還需加上時間限制以及次數(shù)限制功能，該文檔超過一定時間或打開次數(shù)就無法再使用，而且對于作者可實行再授權(quán)功能。用戶端對文檔的任何操作都有詳細(xì)的操作日志，其檢索功能對文檔的非法操作能快速定位。用戶終端的自我防護(hù)、客戶端程序及加解密模塊不能輕易的在非認(rèn)證或授權(quán)的情況下被終止或激活。系統(tǒng)能控制客戶端的打印、截屏、錄屏等功能，但此功能僅限于對受保護(hù)的文檔進(jìn)行控制，而非受保護(hù)的文件使用還是靈活的。員工因工需要挾帶筆記本出差或在出差過程中需要對一些密文解密外發(fā)時系統(tǒng)應(yīng)提供一套完整的離線管理和解決方法。

3.4桌面管理研究在現(xiàn)代企業(yè)環(huán)境下，一個IT的管理部門需要花費(fèi)大量的人力物力來維護(hù)企業(yè)的計算機(jī)運(yùn)行環(huán)境。同時，由于計算機(jī)設(shè)備的更新和變化，財務(wù)部門對企業(yè)的計算機(jī)設(shè)備的管理和統(tǒng)計經(jīng)常處于一種無序及手工統(tǒng)計的狀態(tài)，當(dāng)設(shè)備更新頻繁時，原本的設(shè)備管理記錄往往由于管理的滯后和對實際情況的掌握程度不夠無法及時更新，從而造成設(shè)備管理的混亂還會造成時間的遲滯，影響企業(yè)的運(yùn)行效率，給企業(yè)帶來損失。如何解決這些痛苦的管理問題？您需要一套高效和易于使用的桌面管理解決方案。本研究建議在廈門軌道交通集團(tuán)內(nèi)部署桌面管理系統(tǒng)，通過部署該系統(tǒng)以期能達(dá)到以下效果。（1）資產(chǎn)管理軟硬件資產(chǎn)信息收集，動態(tài)掌握全網(wǎng)IT資產(chǎn)現(xiàn)狀可定義的資產(chǎn)變更警報，可以全面監(jiān)控客戶端的IT資產(chǎn)與配置的變化，例如，客戶端的內(nèi)存、硬盤的變化，以及IP地址的變化等等，避免企業(yè)IT資產(chǎn)的流失。全面的資產(chǎn)報告，集成超過120種報表，并使用最新的自定義報告引擎，使創(chuàng)建自定義報表更加方便。便于資產(chǎn)統(tǒng)計、盤點(diǎn)。（2）遠(yuǎn)程支持幫助管理員對被管理設(shè)備進(jìn)行遠(yuǎn)程支持，減少大量的現(xiàn)場支持及電話支持工作，提高服務(wù)支持的響應(yīng)速度。集成多種桌面支持工具，包括：遠(yuǎn)程控制、遠(yuǎn)程對話、遠(yuǎn)程文件傳輸、遠(yuǎn)程執(zhí)行、遠(yuǎn)程重啟、遠(yuǎn)程關(guān)機(jī)、遠(yuǎn)程桌面畫圖等等。可根據(jù)網(wǎng)絡(luò)帶寬憂化的遠(yuǎn)程桌面支持，節(jié)省企業(yè)遠(yuǎn)程支持費(fèi)用。（3）軟件分發(fā)向跨網(wǎng)絡(luò)的大批客戶端進(jìn)行軟件（辦公及應(yīng)用軟件）的遠(yuǎn)程安裝或卸載；幫助企業(yè)進(jìn)行軟件的統(tǒng)一部署、升級、維護(hù)。支持應(yīng)用軟件修復(fù)，使用戶的業(yè)務(wù)可持續(xù)運(yùn)行。支持“推”和“拉”的兩種軟件分發(fā)方式。支持軟件分發(fā)的斷點(diǎn)續(xù)傳。支持任務(wù)完成，保證任務(wù)執(zhí)行的完整性。支持軟件分發(fā)向?qū)В管浖职l(fā)更加簡單。自帶軟件差異打包工具和腳本編輯工具。（4）操作系統(tǒng)分發(fā)和配置遷移對遠(yuǎn)程客戶端進(jìn)行硬盤映像的捕獲或部署，實現(xiàn)硬盤備份/恢復(fù)，支持多種操作系統(tǒng)映像分發(fā)格式：Ghost、Image、PowerQuest等等。支持操作系統(tǒng)的配置遷移：從Windows98/2000向WindowsXP/2003遷移。用戶帳戶信息；應(yīng)用程序設(shè)置，模板及關(guān)聯(lián)文件；桌面設(shè)置（MyDocs；映射的驅(qū)動器；打印機(jī)；壁紙；屏幕設(shè)置等）。支持裸機(jī)的操作系統(tǒng)分發(fā)，可幫助客戶為批量裸機(jī)快速部署操作系統(tǒng)及應(yīng)用程序。

4結(jié)束語

本研究通過對廈門軌道集團(tuán)臨時辦公樓的具體網(wǎng)絡(luò)需求進(jìn)行調(diào)研，結(jié)合具體網(wǎng)絡(luò)規(guī)模用戶數(shù)需求，借鑒大集團(tuán)辦公網(wǎng)絡(luò)相關(guān)規(guī)范，研究廈門軌道交通集團(tuán)的網(wǎng)絡(luò)系統(tǒng)基礎(chǔ)架構(gòu)，并考慮網(wǎng)絡(luò)未來的可擴(kuò)展性。但我也認(rèn)識到，隨著廈門軌道交通集團(tuán)將來互聯(lián)網(wǎng)業(yè)務(wù)的應(yīng)用越來越廣泛，對應(yīng)的網(wǎng)絡(luò)系統(tǒng)使用及防護(hù)需求亦不斷變化，因此對于集團(tuán)網(wǎng)絡(luò)系統(tǒng)基礎(chǔ)架構(gòu)的研究工作也將任重而道遠(yuǎn)，該研究只有起點(diǎn)沒有終點(diǎn)。

作者：盧志勇單位：廈門市路橋信息工程有限公司