网络系统施工方案(完整版).doc

网络系统施工方案 1系统设备安装 1. 在机房选择合适位置摆放设备机柜，机柜应并排布置。 2. 机柜侧面与墙、机柜背面与墙的净距800mm或以上。 3. 机柜设备固定安装不松动，设备之间应留适当间隔以通风散热。 4. 机柜设备间连接线应牢固连接到相应接线端子，各线缆标识清楚正确，绑扎条理。 2系统调试 1.计算机网络系统检测 在dos命令窗口中输入ping命令，格式为“ping x.x.x.x”，“x.x.x.x”为网络中机器或设备的网络地址。如返回信息为“Reply from x.x.x.x: bytes=m time<n TTL=y”，则表明可以连通；同时还应考查返回信息中的响应时间和丢包率等信息。在局域网中，正常情况下响应时间应符合设计要求，丢包率应符合设计要求或为0；测试广域网连通性时，响应时间和丢包率的数值应比在局域网内的测试数值略高，但不应高于设计规定值。如返回信息为“Request time out”或其他信息时，则表明无法连通；专用网络测试仪是指网络协议分析仪和网络流量分析仪等。 在dos命令窗口中输入“tracert x.x.x.x”，输出为到达x.x.x.x节点所经过的路由。如返回信息与定义的路由表相符，则路由设置正确。 2.网络安全性检测 防火墙和防病毒软件等产品必须拥有公安部计算机信息系统安全产品质量监督检验中心颁发的销售许可证；特种行业有其他规定时，还应遵守行业的相关规定。 所有对外提供服务的服务器只能放在外部网络上，不允许放在楼内办公网络；数据库服务器和其它不对外服务的服务器应放置在内部局域网。 3.防火墙配置要求： 1) 从外网能够且只能够访问到楼内指定服务器的指定服务； 2) 未经授权，从外网不允许访问到内网的任何主机和服务； 3) 从内网可以根据需要访问外网的指定服务； 4) 防火墙的配置必须针对某个主机、网段、某种服务； 5) 防火墙的配置必须能够防范IP地址欺骗等行为； 6) 配置防火墙后，必须能够隐藏内部网络结构，包括内部IP地址分配； 7) 防火墙的配置必须是可以调整的。 4.网络环境下病毒的防范分以下层次： 1) 配置网关型防病毒服务器的防病毒软件，对进出办公自动化系统网络的数据包进行病毒检测和清除；网关型防病毒服务器应尽可能与防火墙统一管理； 2) 配置专门保护邮件服务器的防病毒软件，防止通过邮件正文、邮件附件传播病毒； 3) 配置保护重要服务器的防病毒软件，防止病毒通过服务器访问传播； 4) 对每台主机进行保护，防止病毒通过单机访问（如使用带毒光盘、软盘等）进行传播。 5.实时入侵检测设备应该具备以下特性： 1) 必须具备丰富的攻击方法库，能够检测到当前主要的黑客攻击； 2) 软件厂商必须定期提供更新的攻击方法库，以检测最新出现的黑客攻击方法； 3) 必须能够在入侵行为发生之后，即时检测出黑客攻击并进行处理； 4) 必须提供包括弹出对话窗口、发送电子邮件、寻呼等在内的多种报警手段； 5) 发现入侵行为之后，必须能够及时阻断这种入侵行为，并进行记录； 6) 不允许占用过多的网络资源，系统启动后，网络速度和不启动时不应有明显区别； 7) 应尽可能与防火墙设备统一管理、统一配置。 6.网络安全性要求： 1) 检查网络拓扑图，应该确保所有服务器和办公终端都在相应的防火墙保护之下； 2) 扫描防火墙，应保证防火墙本身没有任何对外服务的端口（代理内网或DMZ网的服务除外）； 3) 内网宜使用私有IP； 4) 扫描DMZ网的服务器，只能扫描到应该提供服务的端口； 5) 检测防病毒系统的有效性，将一个含有当前已知流行病毒的文件通过文件传输、邮件附件、网上邻居等方式传播，各个位置的防病毒软件应能正确地检测到该含病毒文件，并执行杀毒操作； 6) 使用一些流行的攻击手段进行攻击（如DOS决绝服务攻击），应被入侵检测软件发现和阻断。 7.操作系统安全性要求： 检测方法： 1) 以系统输入为突破口，利用输入的容错性进行正面攻击； 2) 申请和占用过多的资源压垮系统，以破坏安全措施，从而进入系统； 3) 故意使系统出错，利用系统恢复的过程，窃取用户口令及其他有用的信息； 4) 利用计算机各种资源中的垃圾信息（无用信息），以获取如口令，安全码，译码关键字等重要信息； 5) 浏览全局数据，期望从中找到进入系统的关键字； 6) 浏览那些逻辑上不存在，但物理上还存在的各种记录和资料，寻找突破口。 8.系统要求： 1) 操作系统版本应推荐采用国际通用的《美国可信计算机系统评估准则》DoD 5200.28-STD中划分的C2级安全； 2) 对Windows NT系列，必须采用NTFS格式，严禁使用FAT格式； 3) 对用户帐号的口令要求：最少为8位的字母、数字和特殊符号的组合，同时要求用户必须定期（最长三个月）更换口令