工程项目弱电智能化技术建议书

《工程项目弱电智能化技术建议书》由会员分享，可在线阅读，更多相关《工程项目弱电智能化技术建议书（79页珍藏版）》请在装配图网上搜索。

1、 .弱电智能化技术建议书2013年11月目 录1、综合布线系统51.1概述51.2设计原则61.3设计说明62、计算机网络系统72.1概述72.2设计原则82.3整体设计92.4可靠性设计112.5网络安全设计112.6信息安全设计122.7方案详细说明163、无线网络系统213.1设计原则213.2设计概述224、程控交换系统234.1设计背景与思想244.2项目方案分析245、卫星与有线电视316、视频监控系统326.1系统概述326.2建设标准与规326.3项目需求336.4前端点位要求356.5监控中心要求376.6防雷要求386.7平台软件建设需求397、楼宇自控系统417.1 系统

2、功能要求417.2 关键设备功能418、背景音乐广播系统448.1 系统概述448.2 扬声器配置点位设计458.3 广播系统架构与备电469、停车场管理系统469.1系统一般要求469.2系统功能要求4710、出入口管理系统4810.1系统概述4810.2系统管理：4811、电子巡更系统4911.1系统概述4911.2系统功能4912、信息发布系统5013、无线对讲系统5013.1系统概述5013.2系统功能5014、会议与KTV系统5014.1技术功能5014.2设计标准5114.3依据的标准与规5114.4设计原则5214.5功能设计5415、酒店门锁管理系统5615.1 系统概述561

3、5.2系统构成5715.3系统功能5716、酒店客房控制系统5917、智能照明控制系统6218、不间断电源系统6419、系统集成6619.1系统概况6619.2设计原则6619.3工程围6719.4整体架构6719.7集成接口681、 综合布线系统1.1 概述为了完成综合大楼智能信息化的任务，需要在建筑物之间与建筑物建立一套综合计算机网络系统与楼宇智能化网络系统。综合计算机网络系统能将综合大楼的各个相互独立的子系统建立起有机的联系，把原来相对独立的资源、功能等集合到一个相互关联、协调和统一的完整系统之中，设备自控系统以与多媒体音像系统集成为一体化的综合计算机管理系统。楼宇智能化网络系统为整栋大

4、楼的智能系统服务，智能系统包换：门禁系统、闭路监控系统、防盗报警系统、停车场管理系统、火灾自动报警系统、楼宇自动控制系统等。为了能使这两套网络稳定、安全、高效的动作，就需要有一套完整的综合布线系统为这两套网络服务。1.2 设计原则实用性实施后的计算机网络布线系统，应能够在现在和将来适应技术的发展。扩充性布线系统是可扩充的，将来有更大的发展时，很容易将设备进行扩展。灵活性信息点能方便地与多种类型设备（如、计算机、检测器件以与 等）进行连接。可靠性在网络主干线的传输介质上提供容错功能，保证系统的可靠运行。模块化布线系统中，除去固定于建筑的缆线外，其余所有的接插件都应是模块化的标准件，以便管理和使用

5、。标准化方案设计与技术选择均符合国际通用标准，不受任何产品提供商限制。1.3 设计说明本项目综合布线系统包含：语音系统和数据网络传输系统 根据大楼的用途分为以下六套专网： 1、演员公寓客户专网； 2、演员公寓办公网； 3、艺术家工作室办公网； 4、商业中心办公网； 5、监控专网； 6、无线覆盖网整体综合布线系统有如下设计要点： 1、数据与语音水平布线均采用六类非屏蔽UTP，便于信息功能的互换； 2、艺术家工作室1，2号楼承租楼层采用CP集中箱，CP箱至区域终端由承租方入驻后自行接入； 3、艺术家工作室1，2号楼承租楼层与演员公寓大堂配置无线覆盖网； 3、商业中心采用在每分配线间预留12芯多模光

6、缆和大对数电缆方式，分配线间至区域终端由承租方入驻后物业配合接入； 4、语音主干采用三类大对数电缆； 5、数据传输系统主干，演员公寓选用室多模6芯光缆，艺术家工作室与商业中心采用室多模12芯光缆，其中演员公寓与商业中心采用千兆主干，艺术家工作室采用万兆主干； 6、商业中心1层3个分配线间，2层4个分配线间，3层1个分配线间； 7、艺术家工作室1号楼二层以上每层1个分配线间；艺术家工作室2号楼每层3个分配线间； 8、演员公寓两侧由于信息传输距离较短，每3层共用一个分配线间； 9、地下1层，演员公寓、商业中心与艺术家工作室均设置1个总配线间，总配线间汇聚至电信模块局机房，数据传输线缆选用室多模万兆

7、24芯光缆； 10、地下1层设置弱电进线间，接入室外园区弱电线缆，设置电信运营商机房，接入电信运营商光缆； 11、6套网之间采用物理隔离的方式，即配线架完全分开，平台数据汇联在地下一层实施；语音部分则单独配置。 1.3.1 光缆传输主干子系统综合办公大楼主机房（FD）连接到各建筑物楼层配线间（FD）采用万兆光缆，支持距离达到300米。所有主干均采用低烟无卤阻燃（LSZH）光缆。光纤配线架采用机架式配线架，2U的空间可容纳12-48芯光纤，耦合器与机架可折分，机架可兼容SC、FC、LC或各厂商自主研发的耦合器，并在机架前应配备一个有机玻璃前盖，在保护光纤跳线的同时，便于发现里面跳线的完整性，并具

8、有耦合器填空条，保证尘不会进入配线架，污染到未使用的接口。室语音主干采用三类大对数非屏蔽UTP双绞线铜缆。楼层配线间通过三类UTP双绞线与办公楼地下一层的主机房相连通，并为整栋楼的语音通讯提供传输通道。语音点配置铜缆的线对数须具有30%的预留。除必须符合对所有产品的要求的标准外，还必须符合EN 50167，EN50168与EIA/TIA 568 B对三类线缆的其他技术要求，以满足中速网络应用的需求。1.3.2 管理间子系统楼层配线间中数据水平线端使用24口角形模块式配线架；语音水平线采用卡接式110配线架；光纤接续箱必须采用机架式的，光纤采用熔接方式，要求采用LC头；每根光缆所有纤芯都要做好熔

9、接；所有的配线架需要配置一一对应的理线架，并应预留5-10%的余量，以供今后扩展。楼层配线架的分布在保证系统连接可靠、设备管理、维护便利的前提下，还应考虑系统的经济性。要求楼层配线架维护方便，对任何一根线缆的维护均不得影响其它线缆的正常工作。1.3.3 设备间子系统主配线间配线架采用模块化方式管理主干铜缆。语音主配线架要求采用110型类配线架或密集型通讯模块配线架管理，适配条采用4对或25对连接条，110配线架为19英寸机架安装，并配有足够的双芯快接式语音跳线与相应的跳线过线槽。光纤采用光纤机柜式配线架，并配有足够的光纤耦合器，与制造商原厂光纤跳线。此外，应提交设备间的规划建议与设备安装相关图

10、纸。1.3.4 数据语音水平子系统水平布线是整个布线系统的主要部分，它将干线子系统线路延伸到用户工作区。根据TIA/EIA568B的水平线独立应用原则，水平子系统采用符合 EIATIA568B等国际标准拟定的六类UTP铜缆指标值；铜缆信息点为全六类配置，具有较高的性能价格比，既考虑到经济性又兼顾到将来的网络发展需求。每个信息点能够灵活应用，可随时转换接插、微机或数据终端，并可随着用户的进一步应用需求，支持相应同一厂家适配器或转换设备。数据线缆需满足智能卡、视频保安监控（CCTV）， 宽带视频信号的有线电视（CATV）， 以与多媒体会议电视等系统的传输应用。除必须符合对所有产品要求的标准外，必须

11、符合EMC标准的电磁兼容性要求。1.3.5 工作区子系统采用六类信息插座（CAT6），能够满足高速数据与语音信号的传输，传输参数可测试到250MHz。信息模块应采用45度（斜角）安装方式，信息模块采用不同的颜色用以区分语音信息点与数据信息点。2、 计算机网络系统2.1 概述信息化是我国产业优化升级和实现工业化、现代化的关键环节，积极运用现代化科技手段，特别是先进信息技术，加快企业信息化进程，建立高效的电子平台，是增加企业竞争力和信息化发展的迫切要求，本次网络建设的总体目标是：一、建立高速、高效的网络平台，满足大数据量传输和快速业务实现的需求；二、建立高安全的网络平台，保证业务数据和管理系统等多

12、层次的安全保障；三、建立易维护的网络管理平台，实现对设备和业务的全方位管理；四、建立易扩展的网络平台，为综合网络系统提供持续发展保障；五、建立面向多业务的网络平台，可方便实现目前和今后多业务的方便部署；六、建立规化、标准化的网络平台，实现不同厂家设备的无缝互联；2.2 设计原则进行酒店楼网络设计时，系统总体设计应遵循原则：实用性原则：网络建设将以满足现行需求为基础，在节省投资的同时，充分考虑发展的需要来确定系统规模；尤其考虑到今后网络的扩展。安全性原则：网络平台服务于楼酒店需要，对安全级别要求很高。系统应能提供网络层的安全手段配合整体系统的安全建设，防止系统外部成员的非法侵入以与操作人员的越级

13、操作，保护网络建设者的合法利益。系统应具有对主要环节的监视和控制功能，严防非法用户的越权操作。做好系统权限的分级管理，并且应使网络通信系统具有较强的容错和故障恢复能力。高可用性原则：具有较高的可靠性和可用性前提下，保证业务系统的正常运行。网络设备与设计具备在线故障恢复能力，关键设备、线路能做到实时备份和自动故障切换。网络系统具有强大的容错功能以确保各种应用的正常运行，在网络设计上采用网络级备份或线路与设备的冗余配置。没有单故障点，线路之间相关系数最小。规性原则：系统设计所采用的技术和设备应符合国际标准、国家标准和业界标准，为系统的扩展升级、与其他系统的互联提供良好的基础。开放性和标准化原则：在

14、设计时，要求提供开放性好、标准化程度高的网络设备和网络协议；设备的各种接口满足开放和标准化原则。可扩充和扩展化原则：所有系统设备不但满足当前需要，并在扩充模块后满足可预见将来需求，如带宽和设备的扩展，应用的扩展和酒店地点的扩展等。保证建设完成后的系统在向新的技术升级时，能保护现有的投资。在设计上应注重兼容性、连续性,依据标准化和模块化的设计思想，不仅在体系结构上保持很大的开放性，而且同时能够提供多种灵活可变的接口，使系统今后的扩展非常方便，保护系统的投资。可管理性原则：整个系统的设备应易于管理，易于维护，易学，易用，便于进行系统配置，在设备、安全性、数据流量、性能等方面很好的监视和控制，远程管

15、理和故障诊断。2.3 整体设计网络整体设计为三层架构：核心层、汇聚层、接入层。各个层次设备互联均采用千兆光纤互联，接入层通过千兆网线接口提供千兆接入功能，并通过无线AP设备提供无线网络接入服务，每个楼层部署1台POE接入交换机，为AP设备进行以太网供电，免去部署电源的繁琐工作，并且方便维护。网络出口部分作为网络的核心区域非常重要。核心网络一旦出现问题，可能会影响整网的业务。所以为了保证网络的高可靠性，核心设备和汇聚设备均采用双机热备方式，设备之间采用冗余链路互联，消除单点故障，保障网络的不间断运行。在核心交换机上行链路中，部署上网行为管理设备，可方便管理员对接入用户进行灵活查看和灵活控制。在网

16、络出口部署防火墙和VPN设备，方便其他分支机构以与个人远程接入公司网。在网络核心交换机侧挂网管服务器，用华为eSight网管软件对网络设备进行专业的管理，方便了管理员的工作量，也提高了网络维护人员的工作效率，增强网络的质量。本方案部署了eSight策略管理组件，可方便对接入用户进行portal认证，可配合TSM等相关系统共同实现BYOD解决方案。2.3.1有线网络整体设计核心交换 汇聚层交换 接入层交换 网络的高速交换主干，整个网络的关键。核心层应该具有如下几个特性：可靠性、高效性、冗余性、容错性、可管理性、适应性、低延时性等。 是网络接入层和核心层的“中介”，就是在工作站接入核心层前先做汇聚

17、，以减轻核心层设备的负荷。向本地网段提供工作站接入。减少同一网段的工作站数量，能够向工作组提供高速带宽。两台核心交换设备 单台或两台交换机固定端口配置交换机核心交换机关键部件采用冗余配置（电源、控制引擎等） 关键部件冗余（电源、引擎等） 可能的情况下配置电源冗余主干采用10GB光纤模块 采用10GB光纤接口，用于上联和下联 配置双路10GB上联光纤接口 配置10/100/100M以太网电接口模块 通常不需要配置电口模块 例如Cisco35#系列，29#系列交换机 核心设备通过双链路连接至核心交换机 例如Cisco 6500、Cisco4500系列交换机 例如Cisco 6500、Cisco45

18、00系列交换机 交换机电接口应支持POE功能（RJ45）其他设备网络中应配置相应的安全设备，如路由器、审计网关、防火墙、VPN、IDS、防病毒与应用服务器等 2.3.2网络整体设计图：2.3.3网络拓扑图2.3.4 核心层设计核心层采用双核心架构，规划为两台核心交换机，两台核心设备通过两条千兆光纤互联，互为备份，由此可达到设备级高可靠性。核心交换机配置双引擎、双电源冗余结构，可有效避免因模块故障所造成的业务中断。核心交换机配置千兆光接口，为汇聚设备以与无线AC设备提供光纤接入；配置千兆电接口，为服务器、网管软件等设备提供网络接入。本方案核心交换机选型为华为S7706，配置双主控板，双交流电源基

19、础模块；配置48端口电接口板和24端口光接口板，为汇聚层交换机、无线控制器AC以与服务器等设备提供接入。2.3.5汇聚层设计汇聚层设备采用华为全光口交换机，为接入交换机提供千兆光纤接入；汇聚层交换机上行为千兆光接口，双链路上联核心交换机，为网络提供链路级高可靠性，避免单链路故障对业务的影响。2.3.6 接入层设计接入层交换机采用上行千兆光接口，下行千兆电接口设备；通过光接口单链路上联汇聚层设备，并为终端提供千兆接入。结合业界主流设备选型经验和用户的需求考虑，建议汇聚层、接入层设备均可考虑采用华为S5700系列交换机。S5700支持BFD链路快速检测功能，能为OSPF、ISIS、VRRP、PIM

20、等协议提供毫秒级检测机制，提高网络可靠性。S5700遵循IEEE 802.3ah和802.1ag提供点到点以太网故障管理功能，可以用于检测用户侧最后一公里以太网直连链路上的故障。S5700支持自动配置、即插即用、USB开局、自动批量远程升级等功能，便于部署升级和业务发放，简化后续的管理和维护性能。从而大大降低了维护成本。S5700支持SNMP V1/V2/V3， CLI命令行、Web网管、TELNET等多样化的管理和维护方式，设备管理更加灵活。支持NTP、SSHv2.0、TACACS+、RMON、多日志主机、基于端口的流量统计，支持NQA网络质量分析，有利于进一步作好网络规划和改造。2.3.7

21、 交换式网络架构网络采用交换式设计，可以按照每业务区域一个虚拟局域网，在核心设备上划分VLAN，局域网交换机均运行GVRP协议，可以完成VLAN注册工作；在核心节点对局域网的VLAN进行统一管理。可以按照每楼层来划分VLAN，也可以按照每楼层用户类别划分VLAN；按照用户需要可以对VLAN的划分进行灵活的控制。划分VLAN可以减小局域网的广播域，增加带宽的利用率；同时满足终端用户与外界的通信。华为设备支持MUX-VLAN，可支持主VLAN与从VLAN之间，不同从VLAN之间的互通，同时可以控制隔离型从VLAN之间的数据隔离；此时可以灵活控制各个逻辑网络之间的数据通信，和不同类型用户的通信。华为

22、设备支持sup-VLAN，此协议可以支持在sub-VLAN上不配置网关IP地址，只在sup-VLAN上配置网关地址，可在一定程度上为局域网的IP地址进行更合理节省。华为设备支持vlan间数据的ACL控制，可以更灵活的控制不同VLAN间的数据交换。采用交换式网络设计，底层交换机的数据配置相对简单，在核心节点对局域网集中管理；从而当楼层设备和网络出现故障，不至于对局域网以与网络核心部分造成大的影响，对网络也增加了可靠性能。2.4 可靠性设计核心交换机采用双引擎，双电源模块，确保设备避免单硬件故障；环形架构核心部署保证提供网络高可靠性，保证业务完整运行，消除单点网络故障；核心交换机支持运行中软件升级

23、ISSU，ISSU可以在设备软件升级过程中，减少系统业务中断时间，显著地提高设备的可靠性。真正使企业网络具备“全天候”提供业务能力，实现设备软件升级流量“零”割接，应用不中断2.5 网络安全设计在网络出口部署了防火墙设备，有效抵御来自外网的非法数据访问和各种攻击。考虑到外网的安全问题的同时也考虑到网安全问题，选用的核心交换机、无线控制器AC设备均支持802.1x认证，Portal认证；支持RADIUS和HWTACACS用户登录认证；支持防DoS攻击、TCP的SYN Flood攻击、UDP Flood攻击、广播风暴攻击、大流量攻击；支持Firewall板卡功能；支持IPSec功能；保证网络安全运

24、行。网安全的主要问题在于准入控制，和对网用户的访问控制；在准入控制方面，我们可采用网络设备和Radius服务器联动的方式，限制非法用户接入网络，对每个用户进行端口认证，并根据不同用户和用户组来设置对应访问策略，以此实现不同用户和用户组的权限控制。对网用户的访问控制，我们可在交换机以与其他网络设备上通过ACL方式限制不同vlan之间的灵活访问控制。此外，在以上前提下，我们还可以在接入层交换机上做绑定，华为交换机支持端口-IP地址-MAC地址的双重绑定，保证网的接入安全。2.6 信息安全设计2.6.1 业务系统分析业务系统包括酒店订房系统、办公OA等；按照业务围不同，将大楼整体分为三大区域：艺术家

25、协会、演员酒店区、商业区。这三个区域都有访问互联网的需求，且艺术家协会、商业区的办公人员需要访问各自的业务系统；所以业务系统作为办公的核心重要数据，应对其重点防护，以免数据丢失，造成不必要的损失。2.6.2 安全风险分析两岸文化交流中心的整个系统现状主要可以按照两个层面来看：一个是网络层面现状，一个是系统层面现状。而所有运行于网络系统平台之上的各种应用系统的载体是网络中各个终端和服务器群，这些终端和服务器群作为基础计算设施实际上构成了“计算设施”层面。同时贯穿于整个系统的还有一个重要的系统，就是管理系统，他对网络层面、计算设施层面和应用层面都起到直接的监控和管理作用，因此管理系统也可以独立的看

26、作另一个层面：管理层面。所以，总体来看，我们在对两岸文化交流中心网络进行整体安全风险与需求分析时，基本上可以按照以下模型来进行综合分析：2.6.3 网络边界安全风险目前两岸文化交流中心网络边界可分为外部和部边界2大类，分述如下：l 外部边界主要指两岸文化交流中心网络平台的所有外部网络边界，包括：专网外网边界：该边界位于中心网络与#专网之间。专网边界两侧都是部用户，网络环境、应用环境、用户身份与规章制度都很接近，所面临的网络安全风险与相应的需求也基本类似。主要需要考虑防止部的非法访问以与病毒、蠕虫等恶性安全事件的快速蔓延。互联网边界：互联网接入主要用于提供对外基于互联网的WEB业务、各接入单位通

27、过互联网接入等，因此在同一个边界具备两种属性。外网边界直接面临社会各界用户，使用环境复杂面临的安全风险极大。各类复合网络攻击手段以与针对的流量攻击均是常见的安全威胁。应予以严格的安全防护手段在此边界进行设防，维护整个数据中心不被外部侵入。l 部安全域边界在数据中心网络中，可以划分处多个网络安全域，包括多个服务器区、办公区、多个接入区、维护管理区等等。这些安全域之间存在着部边界，为能更加有针对性的对各安全域进行防护，在不同的边界应采取不同的边界防护措施。2.6.4 计算区域安全风险两岸文化交流中心网络作为一个大的计算区域，部运行着大量的计算设施，这其中包括小型机服务器、高端PC服务器、低端PC服

28、务器以与大量的终端设备，这些计算设施尤其是服务器群作为应用系统的主要载体，其安全性至关重要。同时，服务器群非常容易成为黑客和蠕虫病毒攻击的主要目标，这也就意味着服务器群的安全风险等级较高；而终端设备往往部署较为分散，难于统一管理，操作人员的计算机水平也参差不齐，因此终端设备的安全管理成为网络管理人员最为棘手的安全问题。总体来说，计算区域的计算设施面临的主要安全风险有以下几种：l 终端行为的管理终端设备部署较为分散，难于统一管理，操作人员的计算机水平也参差不齐，因此终端设备的安全管理成为网络管理人员最为棘手的安全问题。终端泄密、非授权访问、部攻击等都都对数据中心安全造成威胁。各类终端和服务器系统

29、的补丁管理同样是一个重要问题。不与时的给系统打漏洞补丁会造成蠕虫以与不怀好意者的入侵。l 终端防病毒病毒是对计算环境造成危害最大的隐患，当前病毒威胁非常严峻，特别是蠕虫病毒的爆发，会立刻向其他子网迅速蔓延，这样会大量占据正常业务十分有限的带宽，造成网络性能严重下降甚至网络通信中断，严重影响正常业务开展。因此必须采取有效手段进行查杀，阻止病毒的蔓延危害整个数据中心。l 网络入侵行为检测攻击行为不仅来自于大家公认的互联网等外部网络，在部也要防止攻击行为。通过部署安全措施，要实现主动阻断针对信息系统的各种攻击，如病毒、木马、间谍软件、可疑代码、端口扫描、DoS/DDoS等，能防御针对操作系统漏洞的攻

30、击，能够实现应用层的安全防护，保护核心信息资产的免受攻击危害。l 安全加固配置无论是审计、入侵检测或是防病毒，某种意义上来说都是被动防御，大都不具备主动防御的能力。如在危险来临之前就能主动加固系统，进行全面的安全配置，增强系统本身的抵御能力，则在实际运行中发挥十分重要的作用。2.6.5 应用系统安全风险两岸文化交流中心网络运行着多种应用系统，这其中包括WINDOWS、UNIX、AIX、LINUX等多种操作系统和多种业务应用系统。这些应用系统真正从主体容构上成了两岸文化交流中心的信息化平台，为两岸文化交流中心提供了高效率的信息化处理平台。一旦这些应用系统受到攻击或破坏，会立即直接影响到两岸文化交

31、流中心的正常办公和各种业务，需要重点防护。这些应用系统所面临的主要安全风险包括以下几个方面：病毒对应用系统的威胁：计算机病毒可以直接破坏操作系统和数据文件，使得应用系统无常运行。近年来，频繁爆发的蠕虫病毒更是令人防不胜防，它通过大量消耗网络资源导致网络瘫痪或者服务器宕机，从而导致应用系统也无常运行。应用系统自身的漏洞：应用系统自身由于设计或程序上的缺陷，可能存在各种漏洞，例如WEB应用服务的安全漏洞，可能导致WEB服务器容易被黑客攻击，篡改网页，使得WEB服务器无法提供正常WEB应用访问服务。应用系统的安全策略：重要的应用系统尤其是数据库是否配置了适当的安全策略来确保应用系统的安全，例如数据库

32、的用户密码管理、数据审计策略等。人员误操作或违规操作对应用系统的威胁：操作人员可能对应用系统进行不当操作而威胁到应用系统，例如越权访问应用系统、违规占用网络资源影响应用系统等。2.6.6 管理系统安全风险目前，两岸文化交流中心拥有多套网络管理系统，对各节点的核心设备和汇聚设备进行统一的性能监控和故障管理，可以与时发现并上报网络故障，并进行记录。但是，伴随着本次安全建设项目，两岸文化交流中心网络还需要针对安全设备与安全风险，进行综合监管响应。特别是针对大量部署的防火墙、入侵检测等设备，需要通过集中的安全管理平台，实施统一的设备监控、日志分析、报警响应。完整的安全技术体系的搭建需要众多的安全设备和

33、安全系统，型号和品牌不一、物理部署位置分散、技术人员能力水平差异大。有限的管理人员难以对安全设备进行集中管理、与时快捷的部署安全策略，全面掌握设备运行和网络运行的风险状况。如何用好安全设备和安全系统支撑业务安全稳定运行成了一个棘手的问题。所以，需要建立安全管理中心，实施统一的设备监控、日志分析、报警响应。l 集中运行监控能够实现对防火墙、VPN、IDS、IPS、防病毒网关、漏洞扫描、UTM、网闸、网络设备、服务器/主机等设备的进行全面的监控管理，生成拓扑地图，实时掌握各设备的部署情况、运行状况、设备的接入断开变动。当网络资源和设备受到攻击，或运行异常时，会以告警等信息方式，通知管理员。l 统一

34、风险管理实现集中采集防火墙、VPN、IDS、IPS、防病毒网关、漏洞扫描、UTM、网闸、网络设备、服务器/主机等设备的安全日志和事件，并进行统一的存储、备份、管理和统计分析，能够协助管理员实时监测网络中的攻击行为和安全风险，以与时调整安全设备策略，积极应对安全威胁，从而实现网络的整体安全。总体来看，两岸文化交流中心网络主要面临的安全风险主要涵盖四个层面：网络边界层面、计算区域层面、应用系统层面和管理系统层面。网络边界层面风险威胁到网络基础平台，计算区域层面风险威胁到计算基础设施（主机和终端），应用系统层面风险威胁到各种应用系统，管理系统层面风险则贯穿于以上所有层面，威胁到全网的安全风险管理。2

35、.7 方案详细说明2.7.1 安全区域划分两岸文化交流中心的安全建设核心容是将网络进行全方位的安全防护，不是对整个系统进行同一等级的保护，而是针对系统部的不同业务区域进行不同等级的保护。因此，安全域划分是进行信息安全保护的首要步骤。需要通过合理的划分网络安全域，针对各自的特点而采取不同的技术与管理手段。从而构建一整套有针对性的安防体系。安全域是具有相同或相似安全要求和策略的IT要素的集合，是同一系统根据信息的性质、使用主体、安全目标和策略等元素的不同来划分的不同逻辑子网或网络，每一个逻辑区域有相同的安全保护需求，具有相同的安全访问控制和边界控制策略，区域间具有相互信任关系，而且相同的网络安全域

36、共享同样的安全策略。2.7.2 配置方案为了对抗全新的混合威胁，安全技术也在不断进化，包括深度包检测防火墙、应用网关防火墙、容过滤、反垃圾、SSL VPN、基于网络的防病毒和入侵防御系统（IPS）等新技术不断被应用。采用UTM设备来构成本方案的核心产品既有效节约了建设资金，又达到了更好的防护效果。可根据实际需要开启相应的功能模块，采用网御UTM部署在安全域边界是一个一举两得的解决方案。网御UTM是一个集防火墙、防病毒、入侵检测/阻断、VPN（虚拟专用网）和容过滤、反垃圾等多项功能于一身的综合安全网关，包括容处理器和VSP操作系统，突破了芯片设计、网络通信、安全防御与容分析等诸多难点，超越了传统

37、防火墙仅能在网络层进行粗粒度的包过滤的安全层次，能够从网络层到应用层提供全方位的安全保护。通过在UTM防火墙上配置防火墙、病毒防护、入侵检测、容过滤、反垃圾等安全设置，便可对进出网络的流量互访进行黑客攻击、病毒、入侵、不良容和垃圾等的全方位过滤。l 防火墙网御UTM基于状态检测包过滤技术，实现完整防火墙功能。可以针对IP地址、服务、端口等参数决定是否允许数据包通过，在第三层（网络层）和第四层（传输层）进行数据过滤。网御UTM预置了常用网络服务的端口信息，如 使用的TCP80端口、FTP使用的TCP21/20端口等。也可以自定义任意的TCP/UDP/ICMP/IP服务和端口。同样可以将不同的服务

38、和端口加入组，在策略中统一调用。除了传统防火墙都具备的根据IP地址、端口进行过滤的功能，网御UTM也可以针对不同的时间段制定不同的安全策略。例如工作时间（如周一至周五每天9:00-18:00）不允许网用户使用 、MSN等工具聊天，而其它时间则允许使用，便可通过网御UTM基于时间的策略自动实现。网御UTM还可以实现方便的用户身份认证，在用户试图访问网络资源时自动弹出认证对话框，输入正确的用户名和密码才能继续访问，没有相关用户权限的访问将被网御UTM阻止。网御UTM也可以为不同用户赋予不同级别的访问权限，如只有网络管理员才可以通过telnet或终端服务等方式远程登录到服务器进行管理操作，其他用户只

39、能通过Web方式访问管理员发布出来的信息。网御UTM支持多种用户身份认证方式，既可以在网御UTM建立本地用户，也可以直接调用其它用户认证服务器上的用户信息，实现全网统一身份验证策略。网御UTM支持Radius、LDAP、SecurID、Windows域等多种用户身份认证。对于具有同样权限的用户，可以将他们加入用户组中，在策略里统一调用。通过对IP地址、端口、用户、时间等参数的灵活组合，便可制定出各种适合实际网络安全需求的防火墙策略来，使得用户的安全策略可以得到切实的执行。网御UTM的防火墙功能是基于状态检测机制的，它会跟踪会话从建立、维持到中止的全过程，已建合法连接的后续数据通信可以直接放行，

40、极大的简化了配置、提供了效率。所有的会话都会维持在网御UTM的会话表中，还可以供管理员分析和排错使用。网御UTM能够对网络流量进行精确的控制，对一个或一组IP地址、端口、应用协议既可以通过设置保留带宽保证应用的最小带宽，又可以设置最大带宽防止对网络资源的过度占用，还可以通过设置网络应用的优先级将网络带宽在不同应用之间进行合理分配，并通过DSCP值对流量进行控制，使网络效率达到最优化。l 虚拟专用网网御UTM 的VPN功能支持PPTP、L2TP、IPSec和SSL四种VPN协议，提供了前所未有的方便和灵活的选择。对远程移动用户或企业的出差用户来说，既可以使用Windows98/2000/XP/2

41、003 等系统自带的PPTP/L2TP拨号软件， 也可以使用网御VPN客户端软件和企业建立VPN的连接，还可以直接使用IE浏览器，通过Web方式创建基于SSL的VPN隧道。应用PPTP、L2TP、SSL的好处是方便使用，不需要附加的软件。而用 IPSec 客户端软件的好处是高度的安全性保证，可以采用动态的密钥保证数据的安全。在企业本地网络和远程网络之间可以采用IPSec协议来实现VPN的连接和数据的高度安全控制。配置简单灵活。由于充分利用了专用的ASIC芯片技术，处理复杂的VPN加密和认证过程，极大加快了VPN通道的建立速度和数据加/解密的处理时间，达到了极高的VPN处理速度。 容处理器以独特

42、的设计方式， 解决了防火墙设备处理高速加密数据流的瓶颈问题，并通过简单易用的WEB管理提供给用户人性化的管理界面。高性能的VPN加密处理 (DES，3DES，AES，MD5，SHA1) 使企业可以充分利用VPN技术构建自己的Intranet网络，无须考虑设备处理速度的影响，256位的AES算法更提供了业界最高级别的安全防御体系，使企业的部数据可以无忧地在公网上传输，以达到企业部网络安全扩展的目的。而今，迅速发展的广域网技术使公网的带宽成倍的增长，同时又为企业VPN网络提供了广阔的发展空间。2.7.3 上网行为管理设计u 管理用户上网行为，提高工作效率网御上网行为管理系统可对工作时间进行网络聊天

43、、网络游戏、网上炒股等行为进行监控和阻断，提高工作效率。u 审计网络敏感信息，避免外泄网御上网行为管理系统可对、网络聊天、BBS发帖等容中的关键字进行审计、过滤，防止信息外泄。u 合理分配网络带宽，防止资源滥用网御上网行为管理系统可通过带宽限制功能对网络资源滥用行为进行管控，同时也可通过带宽保障功能对ERP系统，视频会议，系统等关键业务和正常业务进行带宽保障。u 阻止非法言论散布，规避法律风险针对非法言论的散布行为，网御上网行为管理系统可对BBS发帖、博客容以与其他上网行为中发布容的敏感关键字进行阻断并报警，第一时间通知相关负责人。同时所有的外发信息都会一一记录，保存在系统的本地磁盘上，为管理

44、者在必要时提供司法依据。 u 过滤不良信息，保障网络安全网御上网行为管理系统可有效封堵各种与工作无关的访问行为。包括：、暴力、钓鱼、挂马等，以此保障网络安全。u 多种网络统计报表，方便行政管理网御上网行为管理系统置日志查询功能与报表统计功能，对网络应用排名与流量情况进行细粒度的查询与分析，自动生成多种网络应用统计报表，为网络管理者优化网络管理环境提供有效的依据。2.7.4 方案设计网御上网行为管理系统工作在桥接模式时，无需改变用户的网络拓扑结构。桥接模式下设备不具备NAT功能，可对网络应用进行控制、对流量进行管理、对容进行过滤和审计等。2.7.5 安全管理平台设计建议将安全设备管理系统部署在两

45、岸文化交流中心局域网，对全网的安全设备、网络设备、重要服务器等系统进行统一的安全管理，最好能够通过与安全审计系统协同工作，通过两者之间的安全关联能力，实现管理与审计的协同工作，达到更好的安全控制和管理效果。在两岸文化交流中心网络中存在着多台主机以与安全设备，为了对这些主机的安全问题进行集中有效的安全管理以与对安全设备进行统一的管理，建议在两岸文化交流中心网络中使用专用的服务器来部署安全管理平台，来对两岸文化交流中心网络进行整体的安全管理。在安全管理平台部署完成后，可以实现以下安全功能：1实现对两岸文化交流中心网络中的防火墙、入侵检测设备、网闸、UTM的集中监控、集中配置、统一安全策略管理、统一

46、维护。2通过集中收集、格式归一化和关联存储等功能来管理防火墙、入侵检测、UTM设备的安全信息（安全事件和各种日志），并可获得完善的安全分析报告，对两岸文化交流中心网络的安全状况有一个全面清晰的了解。3通过安全管理平台的安全事件集中采集和关联功能以与对安全设备的统一安全策略管理功能，防火墙和入侵检测设备可以通过安全管理平台进行深入联动，当出现安全问题后能与时有效地采取措施，迅速定位、隔离和排除危害。4可以对两岸文化交流中心网络中的服务器和客户机进行集中有效的安全监控。一方面防火墙可以利用其自身的异常主机定位功能来发现感染到蠕虫病毒的服务器和客户机，并对其发起的连接进行管理和限制，同时会将信息传递

47、给安全管理平台，由安全管理平台来对服务器和客户机进行统一的安全事件管理；另一方面，由于防火墙和入侵检测设备的日志和安全事件信息反映着整个网络的安全情况，安全管理平台将这些信息集中收集进行关联分析，从而可以了解整个网络中的安全状况，可以从整体上对服务器和客户机的安全问题进行集中的管理，从而保障整个两岸文化交流中心网络的正常运行3、 无线网络系统3.1 设计原则无线网络建设要纳入信息化建设总体规划，覆盖各个楼层酒店区域等主要场所。实用性：遵循面向应用，注重实效，急用先上，逐步完善的原则；充分保护已有投资，不设计成华而不实的无线网络，也不设计成利用率低下的网络，我们以实用性的原则要求为依据，要求建设

48、成具有高的性价比的无线局域网络。先进性：采用先进成熟的网络概念、技术、方法与设备，反映当今先进水平，又给未来的发展留有余地；充分采用目前国际、国流行和成熟的技术，保证网络能适应技术的快速发展。可靠性：系统必须可靠运行，主要的、关键的设备、线路应有冗余，一旦系统某些部分出现故障，应能很快恢复工作，并且不能造成任何损失。开放性：选择的产品应具有好的互操作性和可移植性，并符合相关的国际标准和工业标准；无论发生任何变化，均能够最大可能性的开放标准。可扩充性：系统是一个逐步发展的应用环境，在系统结构、产品系统、系统容量与处理能力等方面必须具有升级换代的可能，这种扩充不仅能充分保护原有资源，而且具有较高的

49、性能价格比；可维护性：系统具有良好的网络管理、网络监控、故障分析和处理能力，使系统具有极高的可维护性。安全性：必须具有高度的机制，灵活方便的权限设定和控制机制，以使系统具有多种手段来防备各种形式的非法侵入和信息的泄露。3.2 设计概述本方案中，考虑到大楼无线网络接入需求，为每个楼层部署无线AP设备，为楼层提供无线网络接入；无线AP设备采用AC+瘦AP组网方式，方便AP设备集中管理，无线接入终端的集中控制。当网络环境存在多个AP，且它们的微单元互相有一定围的重合时，无线用户可以在整个WLAN覆盖区移动，无线网卡能够自动发现附近信号强度最大的AP，并通过这个AP收发数据，保持不间断的网络连接，这就

50、称为无线漫游。华为AP产品支持支持无线终端跨域AP进行L2漫游；支持无线终端跨越IP子网无线进行L3漫游；跨IP网段移动，可保持无线终端原有IP地址、认证与加密方式等不变，无需重新获取。公司的WLAN网络可能有不同权限控制的需求。可将公司的WLAN网络设置成多个SSID域，针对不同的SSID域设置不同的权限。如一个SSID域给普通员工用，只能访问公司部网络。 另外一个SSID域给高级经理使用，可以访问公司部网络和外部网络。还可通过划分成多个SSID域，设置不同的带宽与组播等权限，进行差异化使用。WLAN网络安全方案中首先应该考虑到设备级安全，包括设备的物理环境安全和主机安全。网络设备AP应具备

51、设备防盗、设备防毁、防止电磁信息泄漏、抗电磁干扰、电源保护、受灾防护、区域防护等特性。WLAN网络设备必须具有以下安全设计，包括室外型AP应该具有防水、防雷、防火和防盗的特性，AC应该放置在局端，符合NEBS三级标准的要求。网络设备AP和AC具备用户管理、安全日志、数据存储备份等技术能力。除了以上功能以外， 华为公司根据WLAN网络的特点通过以下手段来保证设备的安全可靠性：1）AP身份认证采用AC无线控制器FIT AP组网时，都需要预先在AC上设置AP序列号。当这些AP启动和无线控制器建立关联时，无线控制器会检查AP上报的序列号信息，只有这些预先授权的AP才能接入无线控制器使用，防止非法FIT

52、 AP接入网络。2）非法AP检测可以自动监测非法设备（例如Rouge AP，或者Ad Hoc 无线终端），并适时上报网管中心，同时对非法设备的攻击可以进行自动防护，最大程度地保护无线网络。3）白功能支持静态配置白功能，该功能一旦启用，只有白上的无线用户才被认为是合法用户，其他非法用户的报文全部在AP上被丢弃，从而减少非法报文对无线网络的冲击。3.3 无线网络整体设计设计目标系统特点组成通常用于满足办公人员访问Internet需要，设计上与网物理隔离。 无线网络的信道具有高吞吐量与高数据处理能力。保证现有普通Wi-Fi终端平滑接入，支持802.11X；设备可实现扩展，系统软件应支持在线升级。支持

53、基于策略的多层次的QoS保证措施，如802.1p、IP COS等；网络系统具备多种可选安全机制，以适应不同应用情况下的需求；有效地预防广播风暴，防止因为病毒或入侵导致的网络不正常。根据用户需要进行网络覆盖 提供高速的无线接入提供上网行为管理、容管理、计费管理等 无线AP、信号馈线、天线（全向、定向）、无线AP控制器、接入交换机、接入路由器、防护墙等 4、 程控交换系统4.1 设计背景与思想今天的酒店客人最希望得到的是“家”的感觉，他们不仅希望酒店提供用户友好的通信服务，还希望能通过此获得更多的亲切、人性化、与时周到的服务，不仅是在客房中有一条线、语音信箱，还希望提供自己熟悉的语言进行的文字和语

54、音交互，甚至是个性化和触手可实现的应用。这样使得我们今天的酒店力求通过最新的科学技术来帮助提升服务，提高酒店的竞争力，保持贵宾的忠诚度。阿尔卡特朗讯提供的酒店行业通信解决方案可以全方位使您的酒店竞争力得到突破性的提高。这种解决方案将传统的酒店专用PABX语音交换机方案变为一种基于公开标准的、集中式的多媒体通信方案，将酒店在行业中处于领先地位。阿尔卡特朗讯公司针对高端酒店提供全套先进的、个性化的解决方案，从普通客房话机、套房与VIP客房话机、前台宾馆专用多功能数字话机、无线终端设备（部固定座机和移动手机捆绑）、多媒体PC话务台等一系列的终端设备应用；阿尔卡特朗讯公司的酒店应用功能包软件帮助酒店提

55、供更多，更丰富的服务容，从而提高了酒店的服务档次，如：功能操作使用语音指导、多国语言提示、叫醒服务、小酒吧管理、房态管理、团队客房管理、PMS接口等。阿尔卡特朗讯公司提供的软硬件产品都是采用模块化设计，根据不同档次、不同投资力度选择相应的模块，完全符合从四星级到七星级酒店对通信的需求。贵酒店作为高端宾馆，对语音通信平台有着非常高的要求。在做到安全可靠的前提下，要求提供全球最先进的设备、个性化灵活的酒店功能软件。根据高起点的原则，我们针对贵酒店设计如下阿尔卡特朗讯OXE的解决方案。4.2 项目方案分析4.2.1客户需求情况根据贵酒店的需求，结合对贵酒店的初期访问以与与相关人员的技术交流，我们将贵

56、酒店项目的规划简单列举如下，这将有助于我们更好地理解和分析贵酒店的项目需求从而提供一个完善的、全面的解决方案。贵酒店语音通信系统需要一套酒店专用2000线PABX程控交换机组成：v 酒店PABX系统的配置与功能要求如下： 由于酒店行业的特殊性，必须保证系统达到运营商级的可靠性。 2E1数字中继线，模拟分机线容量824线； 通过程控交换机可以达到各分机分别计费的功能； 2个PC电脑话务台，提供转接、查询、修改分机等级等功能； 酒店PABX系统要求与酒店前台系统连接，进行实时信息交互； 系统除具有交换机的酒店常用功能外，还有缩位拨号、热线服务、 呼叫等待、呼出限制、转移呼叫、遇忙回叫、多方会议、叫

57、醒（叫醒失败需要具备打印功能）等功能。 系统采用8端口语音信箱系统以提供语音留言等功能。 酒店PABX系统配置专用的MDF和蓄电池；v 全面的技术服务，包括全年24小时技术支持和完善的管理、维护和使用培训，以与首期保修后的保修服务；v 确保酒店系统在规定期限前能投入正常使用。4.2.1 项目规划设计基于本项目的基本需求和酒店行业的特殊性，我们充分考虑到为了满足贵酒店将来的可持续性发展，我们采用阿尔卡特朗讯最新一代的语音交换机OmniPCX Enterprise（简称OXE）作为语音通信平台。我们对贵酒店规划设计提出以下几方面的建议：4.2.2 设计标准本次通信系统的设计参照了以下一些设计规和标

58、准：民用建筑电气设计规 JGJ/T 16-92程控交换设备安装设计暂行技术规定 YDJ2088电信专用房屋设计规 YDJ2488智能建筑设计标准 GB/T 503142000900MHz公用移动通信系统移动台进网技术要求与测量方法GB/T15942-95高可靠性阿尔卡特OXE从以下四个方面保证可靠性： 通信服务器先进可靠 分布式控制方式 高集成度元器件 多级过电压保护系统模块化设计阿尔卡特OXE采用业界领先的晶体分布式模块化通信服务器设计，适应未来的发展趋势。晶体分布式模块化通信服务器架构，使阿尔卡特OXE具有比一般程控交换机更高的可靠性、更全面的功能、更灵活的应用等特性。系统的扩展性由于阿尔

59、卡特OXE单服务器容量15000门，因此扩容时无须更换机型，只需增加机架、机柜、接口板，升级软件即可，扩容方式简单、经济。丰富的接口阿尔卡特OXE具有丰富的对外接口，以适应各种外围设备，主要有： 串口：系统有4个串口，2个是管理维护口，1个是PMSI接口， 1个是计费系统接口； CTI接口：通过置以太网口提供即插即用的CTI链路。 公网中继接口：支持7号，1号等2M接口，ISDN PRI/BRI，环路中继等。 专网中继接口：2M接口支持QSIG、DPNSS、PCM E&M等信令，模拟E&M，环路中继等。 远端媒体网关接口：光纤，2M，64K专线，IP。 组网接口：DDN，FR，ATM，IP，I

60、SDN等。 座席接口：数字、模拟、IP，远端座席。 IVR接口：模拟或Line Side E1，ISDN PRI FAX接口：模拟、E1或ISDN 外拨系统接口：模拟或Line Side E1 录音接口：中继侧，座席侧，Line Side E1 IP接口：置IP接口板，或E1连接外部IP网关 维护管理接口：本次网口或V24口，远程拨入接口。强大的酒店功能与增值应用阿尔卡特OXE的酒店功能齐全，比较有特点的功能有：l 叫醒功能：OXE系统可以在5分钟同时叫醒500个分机。l 团队入住和退房：OXE系统用一个命令即可完成团队入住和退房l 房态管理：OXE系统可以显示客房状态如房间的清洁情况，有无留

61、言，是否处于请勿打扰与受控服务等级等状态信息。l 置语音提示：系统需可提供多国语言的功能操作语音提示，让复杂的功能简单使用。l 套房功能：将套房虚拟成一个独立的部小总机，可按要求配置功能，如：叫醒，免打扰等。l 中文显示：话机上提供微型键盘，可通过键盘输入在话机荧屏上显示相应的联系人，显示方式可为中文形式。l 酒店管理应用:OXE系统本身可独立完成以上酒店管理应用功能，也可通过系统提供的AHL酒店链路接口与第三方酒店资产管理系统（PMS）连接实现酒店管理应用功能。l 多国语言：OXE系统可以支持8国语言同时提供30多种语言选择l 订房中心应用:OXE提供话务台排队机制，为客户提供良好的订房服务

62、。（选配）l 录音系统：提供话务台对/外通信记录，提高监督管理以与证据采集等功能。（选配）l 恶意呼叫追踪：跟踪查询到恶意主叫。（选配）紧凑环保的系统结构由于阿尔卡特OXE采用了分布式结构体系和高集成度器件等先进的技术，因此比一般交换机更紧凑、更环保： 结构紧凑，体积比同样容量的交换机小一半 功耗小 噪声小简捷的系统管理和维护阿尔卡特OXE支持串口的命令行的菜单式的管理方式和基于IP网络与Windows Web界面的图形化管理方式，基于Web的管理使维护工程师能够通过网络中任何一台PC对交换机进行管理。同时，阿尔卡特可支持强大的OmniVista 4760网络管理工具，对网络中多台OXE交换机进行拓扑、配置、告警、计费等管理。4.2.3 系统架构设计我们为贵酒店提供全套先进的、个性化的解决方案，从普通客房话机、套房与VIP客房话机、前台宾馆专用多功能数字话机、多媒体话务台等一系列的终端设备应用，以与系统提供的酒店应用功能包软件帮助酒店提供更多，更丰富的服务容，从而提高了酒店的服务档次，如：功能操作使用语音指导、多国语言提示、叫醒服务、小酒吧管理、房态管理、团队客房管理、PMS接口等；酒店同时在客房还设有语音信箱功能，为的就是让客人获得更多的亲切、人性化、与时周到的服务。使贵酒店竞争力得到了全方位的提高，保持了酒店贵宾的忠诚度，为酒店将来快速、稳定、健康的发展