(window.slotbydup=window.slotbydup || []).push({
id: '2014386',
container: s,
size: '234,60',
display: 'inlay-fix'
&&|&&0次下载&&|&&总105页&&|
您的计算机尚未安装Flash，点击安装&
阅读已结束，如需下载到电脑，请使用积分（）
下载：40积分
2人评价492页
0人评价53页
1人评价488页
0人评价70页
0人评价9页
所需积分：（友情提示：大部分文档均可免费预览！下载之前请务必先预览阅读，以免误下载造成积分浪费！）
（多个标签用逗号分隔）
文不对题，内容与标题介绍不符
广告内容或内容过于简单
文档乱码或无法正常显示
若此文档涉嫌侵害了您的权利，请参照说明。
我要评价：
下载：40积分计算机网络系统方案
计算机网络系统方案
一、&&&&&&&&&&
采用现代最新的计算机网络技术手段，建设一个高效的局域网络，实现网络资源的综合利用和高度共享。
系统的设计应充分利用当今先进的网络技术，实现网络数据高速有序流通，最大限度保护原有投资。分级管理，建立高效率的东营区政府Intranet信息网络平台，形成大厦内外相联、上下贯通的信息传输网络。建设后的**Intranet信息网络平台应是一个技术先进、性能可靠、功能齐全的系统，系统内的各级用户在各自权限内，在各自站点上进行各自的工作。系统应满足以下要求：
1) 完全实现需求中的功能要求
2) 易于使用，用户界面统一、标准，表现力强
3) 易于安装和维护
4) 开放性好，便于移植、扩展与推广
5) 规模适当，充分保护现有投资
6) 几年内技术上保持领先
7) 系统安全可靠，符合保密要求
8) 系统满足物业信息管理、视频会议等要求。
9) 系统满足大厦内部通讯，大厦内部与外界通讯
二、设计原则
在网络设计过程中，一定要从网络、服务器、工作站的互连性、网络的可用性及网络的性能上支持将来东营区政府计算机网络系统的全部网络应用，并且能够适应今后相当长一段时间内应用的发展。同时，由于TCP/IP
在全球范围内得到广泛的采用，TCP/IP应是**计算机系统网络工程必须支持的网络协议。
在本网络设计的过程中，还有一个需要考虑的重要因素就是系统的可靠性。网络应该具有一定的容错能力，在设计中尽可能地减少单一故障点，以使该网络不至于因为某一设备的损坏或某一信道的故障全部或部分瘫痪。另外，网络的性能
(Performance)
是设计一个网络最基本的依据，在设计中不但要考虑满足今天的应用，而且要考虑到今后相当长一段时间内的发展。当然，高性能与高可靠性是以高投入为代价的，最终的方案一定是性能与价格折衷的产物。
**的网络设计中，我们基于以下基本原则：
设备的先进性与成熟性&&&
为了保证网络系统的正常稳定的运行，本网络系统的建设应该采取目前已经在工业界经过考验的、证明为成熟、可靠的技术和方案，并能够根据技术的发展平稳地向新的技术过渡；
设计方案立足于先进技术，采用最新科技技术水平，使本网络系统的建设达到和具备国内乃至国际的先进水平和领先地位。
&高可用性、高可靠性
网络的结构和设备、线路必须具有高度的可靠性和一定的冗余性，以提供尽可能高的可靠性和可用性；
开放性和标准化
系统必须符合国际上的公认有关标准，同时具有良好的开放性，以便和不同厂家的产品能够互操作和互连。
用户的投资保护
网络方案的设计必须充分考虑用户目前网络状况，能够保护用户以往的投资，并能够平滑的向新建设的网络过渡。
性能可扩展性
所有设备均可满足用户的目前需求，又能扩展以保障用户的将来升级。考虑到今后的扩展性，建议骨干交换机留有相当的扩展插槽。考虑到骨干交换机高性能的要求，交换引擎的交换能力与背板的交换容量必须足够大，背板的交换容量原则上应远大于(至少等于)交换引擎的交换能力，防止交换机所有端口同时交换时在背板形成瓶颈，且便于今后升级引擎的时候不需更换背板，保护用户的投资。
良好的层次性结构和可伸缩性
在大型网络的设计中，应该采用层次性的系统设计原则，这样既可以方便网络的管理和路由的设计，帮助进行网络查错和诊断，也可使网络具备良好的可扩充性，能够随着网络的发而不断的进行扩充，以满足用户不断发展的需要。
由于当前的应用对网络的带宽和时延、服务质量提出了越来越高的要求，因此，网络设备的选型和设计，必须采用经过实验测试的高性能的设备，并能够提供一定的服务质量的保证，让关键和重要的应用有充分的带宽和服务质量保证。
良好的安全性
网络应该有强大的安全性机制和方法，能够保护和隔离敏感性的信息和机密文件，能够完全保证内部的安全性。
网络设备必须支持常用的管理协议和标准，网络管理软件应该可以对网络系统进行全面的监控和管理、配置，并能够帮助管理员对网络和系统故障进行诊断、排错和分析与规划。
合理性能价格比（P/C）
方案应该有良好的性能价格比，在能够满足系统需求的条件下，尽量减少 。
本设计注重于二个出发点：
第一是网络系统必须是透明的。网络的复杂性工作由信息系统管理人员承担，对于使用者来说只需掌握用户应用界面即可；
第二是在进行网络结构规划设计时，必须重点达到网络系统性能的提高、网络系统范围的扩展、升级以及网络系统的可管理性；
二、&&&&&&&&&&
网络系统设计计算机网络系统包括综合布线、网络设备、网管设备及软件、防火墙设备及软件。
综合布线上一章已经论及，不再赘述。
1 网络拓扑结构
根据**计算机网络的要求，系统采用三级的星型拓扑结构。一级为大厦网络主交换机，二级为楼层交换机。一台楼层交换机端口不够时，可进行堆叠或采用三级交换机（从二级交换机分出的网络交换设备）。&
网络结构比较&&&
在当今流行的高速网络技术中，先后出现FDDI、ATM、快速以太网和98年最新亮相的千兆以太网。由于速度和成本问题，目前FDDI已几乎退出竞争；快速以太网由于千兆以太网的出现，在速度和技术已让位于千兆以太网，但继续占有廉价经济的市场。
在高速以太网的技术选型时，ATM和千兆以太网是两种主要被考虑的技术。以下我们将从速度、技术起源和主流市场、效率对比、IP等协议支持、服务质量保证、组网能力、传输距离和价格等方面来对比。
²&&&&&&
千兆以太网 1000M
OC3/STM1ATM 155M
OC12/STM4ATM 622M
OC48/STM16ATM 2.4G
²&&&&&&
&技术起源和主流市场
ATM起源于电信运营网络。以往电路交换的优点是带宽时延稳定，缺点是在只能实现点对点服务，线路利用率低；分级交换的优点是支持一点对多点服务，线路利用率高，缺点是带宽时延不稳定。ATM的出现综合了原有的电路交换和分组交换的优点，被ITU正式作为宽带ISDN的信息传输方式，它能真正实现语音、数据和图象等业务的综合，具有灵活、可变的传达室速率。
&目前在电信帧中继服务网的主干里，ATM几乎是唯一的选择。它还广泛用于广域和企业网骨干。
千兆以太网起源于局域网，由以太网、快速以太网发展而来。它采用载波侦听/碰撞检测的工作方式对网络进行访问。
目前在单纯性楼内以太网络占有压倒性优势，而且是经济的考虑。在园区和城域的数据网络同样占有一定优势。基于IP的多媒体应用也正日趋成熟。
²&&&&&&
基于IP的数据服务，由于ATM的信元较小，千兆以太网的效率高于ATM；
如果要传输多媒体信息，由于ATM可以直接传输多媒体信息，而千兆以太网必须借助IP等协议封装多媒体信息，所以ATM的效率要高于千兆以太网。且能保证服务质量。
²&&&&&&
IP等协议支持
千兆以太网可以直接支持IP等协议；ATM和以太网互联的技术有IpoA(IP Over ATM)、局域网仿真（LANE
mutation）和MPOA（Multi-Protocol Over
ATM）等，其中局域网仿真需要设置仿真服务器（LES）、仿真配置服务器（LECS）和广播服务器（BUS），MPOA需要设置多协议服务器（MPS）。ATM和以太网互联需要帧和信元之间进行转换，即分段和重装（SAR）。
²&&&&&&
服务质量保证
服务质量QoS（Quality of
Service）是ATM技术的强项，其固定长度信元和面向连接的技术特点保证了高标准的服务质量。这也就是ATM被认为是下一代网络领先技术的原因之一。
传统的以太网没有服务质量的保证，在网络流量大、阻塞严重的情况下，传输时延会增大，甚至发生数据包丢失的情况。为了适应现代网络高速度、高质量的需求，千兆以太网也在传统的TCP/IP的技术基础上发展了服务质量保证的技术。在IEEE802.1p标准中，加入了服务级别（Class
of Service）的应用保障，在一定程度上保障了服务质量，并为实现QoS奠定的基础。
²&&&&&&
ATM通过PNNI路由管理，可实现灵活的连接分担和备份；
千兆以太网通常只支持生成树算法（Spanning Tree），某些厂商可提供有限制的连接分担和备份。
²&&&&&&
千兆以太网技术与光纤技术紧密相联，使其传输距离受到限制。这对千兆以太网技术向广域网发展产生影响。目前，各有关网络厂商都使用一些光纤技术，使传输距离可达70公里，最大达100公里。
ATM相对于千兆以太网，本身传输距离就可以更远。由于ATM可借助传输系统解决物理媒介的影响，所在在传输距离上是没有限制的。
²&&&&&&
ATM技术需要同时顾全电信和数据网络需求，提供基于连接的有质量保证的服务，因而其价格相对其它技术而言比较昂贵。另一方面，在提供IP数据服务时，由于以太网在楼内局域网，特别是工作站服务器连接占有压倒性的优势，所以ATM骨干网往往需要ATM和以太网的转换，因而又加大了ATM主干的成本。
千兆以太网因为其基础技术比较简单和成熟，保证了其在性能价格比上的优势。另一方面，千兆以太网从10M、100M到1000M采用统一的帧格式和网络访问式，在单纯性的以太网内升级容易，从而保持了其在单纯性楼内数据网络的压倒性优势。
综上所述，根据**智能化系统对网络的要求及计算机网络今后的发展，我们建议**的网络系统主干采用千兆以太网。
3 网络设备选型
3.1 骨干交换机选型
根据**的楼层结构与功能分布特点和网络主干采用千兆以太网，我们选择Cisco公司的新一代核心交换机Catalyst6500系列。
&&& Catalyst
6500交换机采用先进的Crossbar和BUS背板结构，其引擎交换能力为32G，背板交换容量高达256G，背板交换容量远远超过了引擎的交换能力，使得各模块同时交换时不至于在背板形成瓶颈，且在今后引擎升级时不需更换背板，保护了用户的投资。
在本方案中，我们选择Catalyst 6509交换机。
3.2 二级网络设备
二级网络设备是指各个楼层的分中心交换机，根据**的建筑分布和功能分布的特点，采用1000Mbps的带宽作为传输主干，我们采用Cisco公司最新的工作组级交换机Catalyst
3524XL交换机。该交换机提供了2个千兆上连端口和24个10/100Mbps自适应端口。Catalyst
3524XL交换机提供的所有端口都支持VTP的802.1 q和ISL，因此不管是Catalyst
3524上连的千兆链路还是其下连第三级交换机的全双工200Mbps的链路均可作为VLAN的Trunk。
在现在方案中，我们选择一台Cisco 2501路由器与外界连接。
防火墙选型&&&&
当一个机构将其内部网络与外部网络连接之后，所关心的一个主要问题就是安全。内部网络上不断增加的用户需要访问Internet服务，如WWW、电子邮件、Telnet和FTP等。
当机构内部数据和网络设施暴露给外部网络时，网络管理员越来越关心网络的安全。为了提供所需级别的保护，机构需要有安全策略来防止非法用户访问内部网络上的资源和非法向外传递内部信息。Internet防火墙是一个体系结构，用以增强机构内部网络的安全性。防火墙系统决定了哪些内部服务可以被外界访问；外界的哪些人可以访问内部的哪些可以访问的服务，以及哪些外部服务可以被内部人员访问。要使一个防火墙有效，所有来自和去往Internet的信息都必须经过防火墙，接收防火墙的检查。
防火墙不仅仅是路由器、堡垒主机、或任何提供网络安全的设备的组合，它是安全策略的一个部分，安全策略建立了全方位的防御体系结构来保护机构的信息资源。
因此，在**的计算机网络中，对于通过公共网络的DDN接入的网络，我们们通过设置PIX
Firewall硬件防火墙技术来保证网络的安全性。
Cisco PIX 防火墙
PIX防火墙是Cisco防火墙家族中的专用防火墙设备。PIX防火墙提供强大的安全，而且不会影响网络性能。该产品系列可以扩展满足各类客户的需求。PIX防火墙是防火墙市场市场领先的产品，PIX防火墙提供全面的防火墙保护，可以完全屏蔽内部网体系结构。通过PIX防火墙加强了内部网络和内部网、外部网链路以及Internet之间的安全访问。
适用场合：
n 适用于政府网络的强大安全
n 高性能的政府级防火墙
n 适合关键任务应用程序；使用容错/热备份提高网络可靠性
n 支持Internet上使用多媒体
关键特性：
n 位于在政府网络和Internet接入路由器之间，并包括以太网、快速以太网或令牌环网局哉网连接选项
n 保护模式基于自适应的安全算法（ASA），可以确保最高的安全
n 用于验证和授权的"直通代理"技术
n 支持128个并发出站连接，能够随企业的发展扩展到65000多个
n 无限制的入站连接，可以支持大规模Internet商业站点
n 图形用户界面简化了配置和管理
n 通过电子邮件和寻呼机提供报警和告警通知
n 通过专用链路加密卡提供VPN支持
在本方案中，Cisco 2501路由器通过PIX Firewall连接到中心网络上。
网络管理软件&&&
在本方案中我们配置了CiscoWorks Switched Internerwork Solution(CSWI) Campus
网络管理软件。CiscoWorks Switched Internerwork Solution(CSWI)
Campus包括了Traffic Director、CiscoView、VLAN
Director、用户管理器和资源管理器等应用程序。
View是一个基于SNMP的图形化设备管理器，可以同时显示多个Cisco设备机架的状态，并能图形化配置端口与机架的有关参数，显示端口级的统计数字。
是一个VLAN（虚拟局域网）的图形化设备管理工具，能够极大的减少配置、维护虚拟网的复杂度。复杂的、分布的VLAN可以通过逻辑拓朴图来进行管理。用户可以采用Drag-and-drop的方式从一个虚拟点移到另一个虚拟地点。
3.4.1 VLAN介绍
若在计算机网络中各部门的分布比较复杂，为了满足不同部门的需求，控制网上流量和增强安全性，可将相近的部门划分在同一个VLAN中，利用VLAN之间不能相互通信的特点，实现各网段的隔离。
1、VLAN的含义
虚拟局域网（VLAN）技术是一种能将一个物理连接的网络环境，按照用户一定的逻辑关系，通过不同的方式，划分成相互隔离的用户组的技术。为简便起见，VLAN可视为与传统的子网相类似，用于在交换式网络中限制广播和引入等级制度。和子网一样，VLAN也是通过路由实现相互连接。但VLAN具有更好的稳定性、可扩充性和高性能。VLAN通过限制广播和把网络问题局限在逻辑工作组内，可以使网络资源在整个网络范围内得到最大限度的利用。
2、VLAN的作用
VLAN技术简化了网络的管理，因为它使管理人员能按照共同的爱好、组织关系或者安全策略来分组用户，而不是按照共同的物理位置来分组。子网地址分配给虚拟局域网，而不是分配给物理的局域网段。由于在大多数部门中，虚拟局域网的数目都大大少于局域网段的数目，所以地址管理变得更为简化。虚拟局域网还可以通过减少广播或多点广播的开销，提高网络效率。一个MAC-Layer（媒体访问控制层）的"多点广播（Muticast）操作"可以从一个站点到达同一虚拟局域网内的其它站点，而VLAN之间的路由器阻止了多点广播进一步到达别的虚拟局域网。这样，站点就无需再浪费资源去处理从其它不相关组发来的多点广播信息包。
3、VLAN的划分
VLAN的划分主要有基于OSI的第二层的划分和基于OSI的第三层的划分。第二层划分有按端口划分和按MAC地址划分；第三层划分有按网络协议（如IP和IPX）和按子网地址划分等。
基于端口的划分是最简单也是最普通的实现VLAN的方法，它能够进行多种协议的数据通信。其缺点是属于静态VLAN的范畴，当更换端口时须对VLAN的端口重新配置，维护不方便。
基于MAC的划分使用网卡的48位以太网地址，当更换端口时不须对VLAN重新配置，但若网卡损坏并更换新网卡时，由于每块网卡的MAC地址不一样，故须对VLAN重新配置。
第三层划分基于网络协议或IP地址，当更换端口或网卡时，均不须对VLAN重新配置，对VLAN的管理比较方便。
4、VLAN的特点
虚拟局域网的最大特点就是同一个VLAN里的用户不管其物理位置在哪里，也不管连接在哪里的网络设备（该网络要支持VLAN），只要是连接在同一个物理网上即可。这样，一个或多个VLAN就可能跨接在多台网络设备上，也可能跨越网络主干，因此网络主干和网络设备就需要支持VLAN的这种跨越。但是，目前网络界还没有一个公认的技术标准支持同一VLAN跨越不同的网络设备，不同厂家有不同的支持方式。例如3Com公司采用VLT（VLAN
Trunk）技术支持，而Cisco公司则以ISL (Inter-Switch Link)技术支持。
5、VLAN间的通信
一般说来，支持VLAN技术的交换机产品只能通过划分VLAN来隔离不同的用户群，而不能提供VLAN之间的通信，要实现VLAN之间的通信，必须通过路由器来实现。
目前，有一些厂家的交换机支持第三层交换，称为第三层交换机。它同时具有第二层交换机和局域网路由器的功能，并且其时延小于传统的局域网路由器。采用第三层交换机可直接实现VLAN间的通信，如Cisco公司的Catalyst
6000交换机和3Com 公司的CoreBuilder 交换机等。
**的计算机网络系统由东营区政府的各职能部门的网络子系统组成，这些网络子系统通过高速主干网进行信息交换。为有效控制广播发送，增加安全性以及便于网络管理，建议按子系统划分成不同的VLAN。
3.4.2 CISCO TRAFFIC DIRECTOR
Cisco的Traffic
Director是一个强大灵活的高级RMON控制台应用程序，它能够分析流量、预先（PROACTIVE）管理交换网络。Traffic
Director为各级用户提供了直观的、易于使用图形化界面分析RMON数据。网络流量是从Cisco 的 Catalyst交换机或
Cisco IOS 内嵌在 RMON代理那里收集到的。
&&& 使用Traffic
Director 的多层流量分析、预先警告及远程包捕功能，性能和错误的管理得以极大的简化，并保证了网络的可靠性与实用性。Traffic
Director的协议分析工具为大多数与协议相关的网络问题得提供了快速、集中的查错工具。并且，Traffic
Director为所有重要的协议提供了七层解码功能。
3.4.3 CRM资源管理器
CRM资源管理器则提供了网络上的各种软硬资源进行管理的，基于Web界面的管理是网络管理的发展方向。通过浏览器这种简单和方式实现对网络的有效管理，大大地简化了网络管理软件的使用复杂性和方便性。目前CRM主要实现寻网络的设备、软件、网络的运行趋势等方面的管理。
CRM包括4个部分：
存货管理器：通过SNMP扫描网络，并周期性的报告路由器、交换机的软硬件住和变化情况，如版本、接口信息等等；
可用性管理器：快速确定交换机和路由器的运行状态，快速查看所选定的设备是否可以到达；从可用性监视器，可以选择某一个设备，详细地查看相应时间、可用性、重启动、协议、接口状态。
SYSLOG分析器：SYSLOG分析器过滤基于CISCO
IOS的路由器、交换机的系统记录信息；然后提供故障运行的解释和建议采取的行动；他使用了内嵌的CISCO
IOS技术来提供详细的信息。SYSLOG分析器允许系统记录信息和某一个可以定制的行动联系在一起，如运行某个程序、采取某个修正性行动。
软件管理器：软件管理器自动进行软件的升级，同时将易于出错和烦琐的软件升级过程。它利用从软件管理器中得来的特定设备信息帮助管理员在CCO上找到兼容的软件。在开始更新过程前，新的将要下载的软件要和路由器或交换机进行验证，不支持所要下载的软件将被标志出来。当有多台设备要更新时，软件管理器对下载任务进行同步，并允许管理员定义和监控调度工作的进程。当下载过程完成后，会给网络管理员发送信息，报告每次下载的结果。
四、方案特点
该方案采用快速以太网、千兆以太网交换技术，充分考虑了**中心计算机网络系统当前的需求和今后的发展，具有如下特点：
选用的产品性能优良，CISCO的网络产品的平均无故障时间满足要求，这是网络可靠运行的重要基础。
采用千兆交换技术连接网段，大大提高了网络带宽，解决了网络中心因带宽不足而造成的网络瓶颈。
CISCO交换机和路由器具有各模块带电热插拔功能，有极高的可靠性和容错能力。
CISCO交换机具有VLAN功能，通过对交换机上的各端口进行子网设置，可生成独立的逻辑子网，避免各子网产生的广播风暴对主干网上的交通产生影响，保证整个网络的安全可靠。
所有的CISCO网络设备中均提供安全等级的设定和校验，包括登录用户的安全等级的设定和相关口令的校验、本地控制终端的口令校验，以防止非授权用户的登录及产生的对于网络设备的非许可性的更改和控制。
采用防火墙技术保证内部网的安全性。
网络设备管理：采用CISCO WORKS网络管理软件可对网络设备进行有效管理。
n 便于网络分段
由于采用CISCO产品具有VLAN（虚拟局域网）功能，可根据用户需求，通过插线调整和端口设置，建立任意形式的局域网。而且各个局域网之间不会互相侵犯。
n 便于计算机设备的连接
只要在计算机扩展槽上插上网卡，用一条两端配有RJ45插头的线缆分别插在网卡输出端的RJ45插孔和布线系统的信息插座上，将主配线架上分层网络设备端口跳接到主网络设备，将信息点跳接到分层网络设备即可。
n 易升级性
CISCO产品为模块化设计，有相应的插槽，可根据需要扩充模块增加端口数，或增加其他通讯设备如路由器等。
n 便于扩充
楼层交换机Catalyst 3524XL端口数不够时，可进行堆叠或增加三级交换机如Catalyst 等。
n 支持多种应用
可支持通常的计算机应用软件外，还支持可视会议、视频点播等应用。
已投稿到：
以上网友发言只代表其个人观点，不代表新浪网的观点或立场。&&&&计算机网络规划与设计(第2版)&吴学毅&主编
邀请好友参加吧
版 次：2页 数：204字 数：318000印刷时间：日开 本：16开纸 张：轻型纸印 次：1包 装：平装-胶订是否套装：否国际标准书号ISBN：6所属分类：&&&
下载免费当当读书APP
品味海量优质电子书，尊享优雅的阅读体验，只差手机下载一个当当读书APP
本商品暂无详情。
当当价：为商品的销售价，具体的成交价可能因会员使用优惠券、积分等发生变化，最终以订单结算页价格为准。
划线价：划线价格可能是图书封底定价、商品吊牌价、品牌专柜价或由品牌供应商提供的正品零售价（如厂商指导价、建议零售价等）或该商品曾经展示过的销售价等，由于地区、时间的差异化和市场行情波动，商品吊牌价、品牌专柜价等可能会与您购物时展示的不一致，该价格仅供您参考。
折扣：折扣指在划线价（图书定价、商品吊牌价、品牌专柜价、厂商指导价等）某一价格基础上计算出的优惠比例或优惠金额。如有疑问，您可在购买前联系客服咨询。
异常问题：如您发现活动商品销售价或促销信息有异常，请立即联系我们补正，以便您能顺利购物。
当当购物客户端手机端1元秒
当当读书客户端万本电子书免费读天极传媒：天极网全国分站
您现在的位置： >>
计算机局域网的保密
　　我国的网络，特别是局域网技术发展最为迅速，许多大专院校、科研院所以及银行、公安、邮电、铁路、石油等部门都建立了自己的局域网，但在实际运作中，由于一些网络是没有保密措施的“裸网”，用户不敢在网上处理涉密信息，使网络的作用得不到充分发挥。因此，开发和运用有效的局域网保密措施，树起坚实的保密防护网，无论现在还是将来都具有十分突出的现实意义。
局域网信息的保密
　　计算机局域网由信息(存储在计算机及其外部设备上的程序及数据)和实体两大部分组成，信息泄露是局域网的主要保密隐患之一。所谓信息泄露，就是被故意或偶然地侦收、截获、窃取、分析、收集到系统中的信息，特别是秘密信息和敏感信息，从而造成泄密事件。局域网在保密防护方面有三点脆弱性：一是数据的可访问性。数据信息可以很容易被终端用户拷贝下来而不留任何痕迹。二是信息的聚生性。当信息以零散形式存在时，其价值往往不大，一旦网络将大量关息聚集在一起时，其价值就相当可观了。三是设防的困难性。尽管可以层层设防，但对一个熟悉网络技术的人来说，下些功夫就可能突破这些关卡，给保密工作带来极大的困难。
　　从某种意义上可以说，网络的生命在于其保密性。根据近几年的实践和保密技术发展的要求，计算机局域网的保密防范应从以下四个方面入手：
　　（1）充分利用网络提供的保密措施。某些用户对网络的认识不足，基本不用或很少使用网络操作系统提供的保密措施，从而留下隐患。其实，一般的网络操作系统都有相应的保密措施，以Novell公司的网络操作系统NetWare为例，它提供的四级保密措施：第一级是入网保密。用户入网时，必须按用户名进行登录注册。使用网络信息资源的用户,必须准确申报自己的用户名,否则将被网络拒之门外。第二级是设置目录和访问权限。访问权限是对用户访问目录和文件的合法范围的规定，以控制用户只能操作什么样的目录和文件。准确地划分网络信息的涉密等级、范围和涉密人员，需要网络管理员和保密人员协同工作。第三级是文件和目录的属性保密。属性直接控制对文件或目录的访问特性。属性的访问控制高于文件、目录的有效访问权限，可以禁止有效访问权限所允许的操作。NetWare提供的主要属性控制有：防止对目录和文件的删除；不允许查看目录和文件；禁止对文件进行拷贝；禁止对文件的写操作；控制对文件是否共享；防止文件修改时被破坏；标记被修改？
文件等。第四级是文件的安全保密。即控制台可以加口令封锁，防止非法闯入者以超级用户身份浏览网络信息。
　　（2）加强的信息保密防护。网络中的数据组织形式有文件和数据库两种。文件组织形式的数据缺乏共享性，现已成为网络存储数据的主要形式。由于操作系统对数据库没有特殊的保密措施，而数据库的数据以可读的形式存储其中，所以数据库的保密需采取另外的方法。
　　（3）采用现代密码技术，加大保密强度。借助现代密码技术对数据进行加密，将重要秘密信息由明文变为密文。
　　（4）采用技术，防止局域网与外部网连通后秘密信息的外泄。局域网最安全的保密方法莫过于不与外部联网（国家规定涉及国家秘密的局域网不得与外部联网），但除了一些重点单位和要害部门，局域网与广域网的连接是大势所趋。防火墙是建立在局域网与外部网络之间的电子系统，用于实现访问控制，即阻止外部入侵者进入局域网内部，而允许局域网内部用户访问外部网络。
局域网实体的保密
　　局域网实体是指实施信息收集、传输、存储、加工处理、分发和利用的计算机及其外部设备和网络部件。它的泄密渠道主要有四个：
(1)电磁泄露。计算机设备工作时辐射出电磁波，任何人都可以借助仪器设备在一定范围内收到它，尤其是利用高灵敏度的仪器可以稳定、清晰地看到计算机正在处理的信息。另外，网络端口、传输线路等都有可能因屏蔽不严或未加屏蔽而造成电磁泄露。实验表明，未加控制的设施开始工作后，用电脑加上截收装置，可以在一千米内抄收其内容。
(2)非法终端。非法用户有可能在现有终端上并接一个终端，或趁合法用户从网上断开时乘机接入，使信息传到非法终端。
(3)搭线窃取。局域网与外界连通后，通过未受保护的外部线路，可以从外界访问到系统内部的数据，而内部通讯线路也有被搭线窃取信息的可能。
(4)介质的剩磁效应。存储介质中的信息被擦除后有时仍会留下可读信息的痕迹。另外，在大多数的信息系统中，删除文件仅仅是删掉文件名，而原文还原封不动地保留在存储介质中，一旦被利用，就会泄密。
　　对局域网实体，采取的相应保密措施一般有以下三种：一是防电磁泄露措施。如选用低辐射设备。是计算机保密的薄弱环节，而窃取显示的内容已是一项“成熟”的技术，因此，选用低辐射显示器十分必要。此外，还可以采用距离防护、噪声干扰、屏蔽等措施，把电磁泄露抑制到最低限度。二是定期对实体进行检查。特别是对文件服务器、光缆(或电缆)、终端及外设进行保密检查，防止非法侵入。三是加强对网络记录媒体的保护和管理。如对关键的涉密记录媒体要有防拷贝和信息加密措施，对废弃的磁盘要有专人销毁等。
（作者：陈启华责任编辑：）
天极新媒体&最酷科技资讯扫码赢大奖
* 网友发言均非本站立场，本站不在评论栏推荐任何网店、经销商，谨防上当受骗！
笔记本手机数码家电}