信息网络系统施工技术修编内容.pptx

1、本系统包含计算机网络系统和网络安全系统，相较2005版施工标准做了如下修订：-取消了机房环境、场地、电源及接地等要求、-将“计算机信息系统安全专用产品必须具有公安部计算机管理监察部门 审批颁发的销售许可证”及“如果与因特网连接，智能建筑网络安全系 统必须安装防火墙和防病毒系统”2项强条改为一般条款。-增加了无线线局域网的检测条款。-明确了网络安全系统检测的依据国家标准GB/T22239。7、信息网络系统、信息网络系统返回目录返回目录7.3.1 防火墙和防病毒软件等产品必须通过公安部计算机信息系统安全产品质量监督检验中心检验，并具有公安部公共信息安全监察局颁发的“计算机信息系统安全专用产品销售许

2、可证”；特殊行业有其它规定时，还应遵守行业的相关规定。7.4.3 系统配置1 根据用户的功能需求和生产厂家提供的安装手册，编写相关配置表。通过控制台或仿真终端对网络设备进行配置，保存配置结果。2 系统配置时，应按以下要求进行网络安全保护：1）防火墙的设置。应阻挡外部网络的非授权访问和窥探，控制内部用户的不合理的流量，同时7、信息网络系统、信息网络系统可屏蔽内部网络的拓扑细节，便于保护内部网络的安全。返回目录返回目录2）代理服务器的设置。应保证局域网用户可以安全地访问Internet提供的各种服务而局域网无需承担任何风险。3）网络中要有备份与容错。4）对网络安全防御的其它手段，加密与网络防护等均

3、应一一检查。5）应检查“系统安全策略”内容是否符合实际要求。对于信息系统管理还应包括安全协议、E-mail系统维护协议和网络管理协议等，确保所有的系统管理人员能够及时报告问题和防止超越权限。7、信息网络系统、信息网络系统返回目录返回目录 7.4.4 连通性检测应符合如下要求：1）根据网络设备的连通图，网管工作站应能够和任何一台网络设备通信。2）各子网(虚拟专网)内用户之间的通信功能检测：根据网络配置方案的要求,允许通信的计算机之间可以进行资源共享和信息交换，不允许通信的计算机之 间应无法通信；保证网络节点符合设计规定的通讯协议和适用标准。3）根据配置方案的要求，检测局域网内的用户与公用网之间的

4、通信能力。4）连通性检测方法可采用相关测试命令进行测试；或根据设计要求使用网 络测试仪测试网络的连通性。5）路由检测方法可采用相关测试命令进行测试；或根据设计要求使用网络 测试仪测试网络路由设置的正确性。路由器的路由表配置出错，漏配或错配远程 路由器的IP地址，都会导致找不到远程的路由器(或是路由循环)，使得IP包在两个 路由器之间循环传递而找不到线路远程的主机。应采用有效的方法和软件，诊断 出路由循环故障的位置，及时排除。7、信息网络系统、信息网络系统返回目录返回目录 7.4.5 网络管网络管理软件测试理软件测试1 软件的版本及对应的操作系统平台与设计(或合同)相符。2 配置一台网络管理软件

5、所需的计算机，并安装好网络管理软件所需的操 作系统。3 按照网络管理软件的安装手册和随机文件，安装网络管理软件，并符合 设计要求。网络管理软件应具备如下管理功能：1)网管系统应能够搜索到整个网络系统的拓扑结构图和网络设备连接图。2)网络系统应具备自诊断功能，当某台网络设备或线路发生故障后，网管系统 应能够及时报警和定位故障点。3)应能够对网络设备进行远程配置，检测网络的性能，提供网络节点的流量、广播率和错误率等参数。4 网络管理软件功能测试，应符合设计和合同要求。确认网络管理软件能 够监测所需管理的设备的状态和动态地显示网络流量，并据此设置这些设备的属 性，使网络系统得到优化。7、信息网络系统

6、、信息网络系统返回目录返回目录 7.4.6 系统安全性测试 1 信息安全性测试应满足以下要求：1）办公网络应能抵御来自防火墙以外的网络攻击，使用流行的攻击手段进行 仿真攻击，不能攻破的判为合格。2）办公网络能够根据需求控制内部终端机的互联网(Internet)连接请求和内容,可使终端机用不同身份访问Internet的不同资源，符合设计要求判为合格。3）办公网络与控制网络必须实施安全隔离，测试方法可采用相关测试命令进 行测试，保证做到未经授权，从办公网络不能进入控制网络。4）检测防病毒系统的有效性，将一个含有当前已知流行病毒的文件(病毒样 本)通过文件传输、邮件附件、网上邻居等方式传播，各个位置

7、的防病毒软件 应能正确地检测到该含病毒的文件，并执行杀毒操作。5）安装了入侵检测的系统，使用流行的攻击手段进行仿真攻击，这些攻击应 被入侵检测软件发现和阻断。6)互联网行为管理系统，应尝试访问若干受限网址，测试系统的访问控制功 能。7、信息网络系统、信息网络系统返回目录返回目录 2 应用系统安全性应满足以下要求：1）身份认证：管理用户帐号，要求用户必须使用满足安全要求的口令。2）访问控制：在身份认证的基础上根据用户及资源对象实施访问控制；用户 能正确访问其获得授权的对象资源，同时不能访问未获得授权的资源。防止 未授权用户的非法访问，保护应用系统资料的安全。3）资料安全应符合下列要求：资料完整性

8、：保证资料在网络传输过程中，无丢失、损坏、修改、乱码产 生。数据保密性：保证资料在网络传输过程中，不会被非法用户获得。资料在网上传输时，根据设计要求应使用必要的加密措施，并采用会话密 钥、数字签名、时间戳等安全技术，保证传输资料的完整性和保密性；通过 截取传输的资料包，发现密文传输漏洞。4）安全审计：用户对应用系统的访问，应有必要的审计记录。7、信息网络系统、信息网络系统返回目录返回目录 3 操作系统安全性应满足以下要求：1)使用符合安全强度要求的操作系统。2)使用安全性较高的文件系统。3）管理操作系统的用户帐号，用户必须使用满足安全要求的口令。4)服务器应只提供必需的服务，其它无关的服务应关

9、闭，对可能存在漏洞的 服务或操作系统，应更换或升级。5)设置并正确利用审计系统，对一些非法的侵入尝试必须有记录。模拟非法 尝试，审计日志中应有正确记录。7.6.1 计算机网络系统检测1 计算机网络系统的检测可包括连通性、传输时延、丢包率、路由、容错 功能、网络管理功能和无线局域网功能检测等。采用融合承载通信架构的智能化 设备网，还应进行组播功能检测和QoS功能检测。7、信息网络系统、信息网络系统返回目录返回目录 7.4.7 设备容错测试设备容错测试容错功能的检测采用人为设置网络故障的方法，检测系统正确判断故障及自 动恢复的功能，切换时间应符合设计要求。检测内容应包括以下几个方面：1 具备容错能

10、力的网络系统，应具有错误恢复和隔离功能，主要部件应有 备份，并在出现故障时可自动切换。2 有链路冗余配置的网络系统，当其中的某条链路断开或有故障发生时，整个系统仍应保持正常工作，并在故障恢复后应能自动切换回主系统运行。3 信息网络系统在安装、调试完成后，应进行不少于1个月的试运行，有关 系统自检和试运行应符合本标准第3.3.8条和第3.3.10条的要求。7、信息网络系统、信息网络系统返回目录返回目录返回目录返回目录ISO/OSI参考模型：物理层：提供相邻设备间的比特流传输。利用物理通信介质，为数据链路层提供一个物理连接,通过物理 连接透明地传输比特流。数据链路层：负责在两个相邻的节点间的线路上

11、无差错的传送以帧为单位的数据。为网络层提供一个看似 不出错的链路。网络层：网络层数据的传送单位是分组，网络层的任务就是要选择合适的路由，使发送站的传输层发下来 的分组能够正确无误的按照地址找到目的站并交付目的站的传输层。传输层：将数据进行分段并重组为数据流。它提供端到端的数据传输服务，在发送主机和接收主机间建立 一个逻辑连接。会话层：会话层负责在表示层实体之间建立、管理和终止会话，还对设备或节点之间的对话进行控制。表示层：向应用层提供数据，并负责数据转换和代码格式化（比如：数据压缩解压缩、数据加密解密）。应用层：直接为应用程序提供服务（比如：HTTP为浏览器提供WEB服务）。7、信息网络系统、

12、信息网络系统网络互连模型1、需明确交换机、路由器、防火墙、网络服务器、工作站和网络终端等设备相互之间的连接关系。2、需明确核心层与接入层交换机之间、接入层交换机与工作站之间的链路速率。3、所有计算机网络设备的安装数量及安装位置应明确。4、核心交换机至少需明确的内容：背板带宽、引擎数量、电源冗余、电接口板数量、光接口板数量 、光模块数量及类型等。5、接入交换机至少需明确的内容：背板带宽、接口数量及类型、接口速率等、上行光模块数量。6、路由器至少需明确的内容：包转发率、背板带宽、接口数量及类型等。7、明确无线AP工作信道，避免信道干扰；由于WLAN信号在空间内衰减较快，故还应明确无线AP的安 装方式和设备参数。8、为使图纸能指导施工和调试，需对网络地址进行初步规划。7、信息网络系统、信息网络系统返回目录返回目录7、信息网络系统、信息网络系统安装防火墙和防病毒系安装防火墙和防病毒系统的计算机网络系统统的计算机网络系统返回目录返回目录