桂林公安网络方案.doc

桂林公安局Intranet网络建设方案一、工程背景及用户需求在政府机构办公及管理信息化进程中，公安系统如何发挥自身作用，怎样利用Internet/Intranet技术带来的机遇和挑战，来提高工作效率和管理科学水平，是亟待解决的问题。 这两年来，桂林公安局的大部分职能科室微机还是报表处理、单机作业为主。省局与市局、市局与县局的通信也是简单地文件传送，甚至还停留在手工报表，人工递送阶段，显然越来越不能满足现代化管理的需要。因而，桂林市公安局需要建立基于Intranet的公安管理信息系统，做到集数据、图像、声音三位一体，在提高公安系统的管理效率、建立覆盖全市的指挥、管理、情报等信息系统。二、需求分析从实际出发，综合分析各部门信息化工作的长远发展目标和各部室、下属单位的需求，并与现有的技术水平相结合，既考虑未来的发展，又考虑到利用现有的设备，并考虑到成本，要求网络具有先进性、实用性的特点，能为办公提供实际帮助。该公安管理系统是一个集计算机技术、网络通讯技术、数据库管理技术为一体的大型网络系统。它以管理信息为主体，连接户籍、安全、情报、指挥等子系统，是一个面向公安日常工作、面向社会服务，辅助领导决策的计算机信息网络系统。针对当前的信息技术应用情况，我们对桂林公安局提出了以应用促发展的网络发展思路，不是马上投入建立一个大规模的全面的信息系统，而是以实际应用带动网络系统的发展，反过来再促进应用的发展，形成良性循环。三、总体设计首先是设计应用系统的结构。这里选用客户机/服务器模式，该模式具有如下的优点：该结构以应用为基本依据，可灵活地选用程序运行在客户机上，是一个开放性的应用模式。客户机/服务器模式的DBMS及数据库安放在数据库服务器上，它的应用程序运行在客户机上，而数据处理可从应用程序中分离出来，并且分布在前端。客户机与服务器具有协同处理CPU资源的能力，前后端具有自治与共享的能力。处理的数据不必在网络上频繁地传输。网上传输的是客户机的请求命令、服务器的响应和数据记录，解决了数据处理和数据传输的瓶颈问题。然后确定整个网络系统的结构。网络系统结构通常有集中式和分布式网络两种模式。集中式网络就是只在市公安局设立一个由多个服务器,各级子网（如县局等网络）通过高速WAN线路（如帧中继、T1、T2链路）与市公安局连接。集中式网络结构的优点是数据的集中式管理，安全而且方便。但通过WAN还是会产生延迟的现象。而且如果市公安局计算机系统、电力系统出现故障便会影响全市公安系统的工作。分布式网络结构与上面提到的集中式网络不同的是，各子网（县局、其他机构）拥有自己独立的服务器和独立的办公网络（局域网），各地的数据分布在各子网里自行处理，这样各子网本地的数据处理时不会出现延迟的现象。一般采用分布式网络结构的网络系统多半是通过低速WAN链路连接的，如低速DDN连接。由多个局域网连接成一个广域网达到数据共享。由于各市分局、地区分局拥有自己独立的服务器和独立的办公网络，市公安局的计算机网络系统、电力系统出现故障时，各市分局、地区分局的网络仍然能够处理本地的数据。由上面分析可以得出，分布式网络结构是最适合桂林市公安局网络系统。通过选用适当得网络操作平台（如NOVELL NDS），并进行统一的用户管理和资源管理，来对分布式网络系统进行统一管理。在结构化布线基础上，选择交换式快速以太网络作为主干网，以传统星型以太网作为部门级局域网。本系统把快速以太主干交换机作为网络中心，用来连接服务器和二级网络设备。服务器上的100BASE-T网卡连到主干交换机上。二级网络设备连上主干交换机，下行交换10BASE-T连接到桌面工作站。四、技术选择目前比较成熟的产品很多，较为成熟的产品有：100BASE-T，FDDI，ATM等。选择哪种技术，应从两方面加以考虑：一是公安局业务需求的特点。公安局网络系统需要处理大量的业务数据和分析资料，网络传输量较大。公安局的行业特点要求网络系统速度快，稳定性好，且具有扩展性和开放性。其次要考虑技术产品的成熟稳定性。采用先进且成熟的网络技术，可保护投资，降低建网和使用的费用。从一些采用FDDI技术的实例的运行效果来看，该技术效果同100BASE-T加交换技术的效果不相上下。FDDI网可靠、稳定、容量大，但安装复杂、维护工作繁重，且与原有的以太网络相连需要转换单元。本网络大量采用以太网产品，因为以太网发展最为迅速，目前拥有广泛的用户和众多的产品，容易得到支持。网络的主干采用100BASE-T交换式以太网，原因如下： 采用100BASE-T以太网交换技术，可使网络主干的速率成倍地增长。 将来可随时平滑地升级到1000BASE-T而获得1000M带宽 技术成熟 有大量的成功案例可查。 采用星型网络交换技术，通过相应的管理软件，在不改变网络节点物理位置的情况下，可对网络的逻辑结构进行合理的划分，即建立虚拟网络，以达到网络信息流量的有效控制。本网络采用了虚拟网技术（VLAN）。虚拟网络把交换机组成的网络在逻辑上分割成若干个广播域，减少了每个域的广播流量，进一步提高了交换网络的性能，不同的虚拟网络一般不能直接进行通信，这有利于网络管理和网络安全，虚拟网络的组成可以与地理位置无关，配置灵活，在不改变物理配线架的条件下，可根据需要随时改变虚拟网络的组成。虚拟网络和交换技术相结合，构成公安局计算机网络的核心技术。五、设计目标实现桂林市整体公安系统的计算机信息管理；提高公安系统的指挥、办案、反应效率；建立覆盖全市的公安系统的指挥信息、管理信息、情报信息、实时信息系统；提高桂林市公安干警的科学文化素质。六、工程方案（一）、网络拓扑结构设计该公安Intranet网络由快速以太主干网，部门局域网、Internet接入网和远程访问系统组成。一、主干网设计快速以太网是一个全面支持网络管理和多媒体通讯的全动态交换式网络，主干应选用企业级交换机，如3Com SuperStack II 3300、Intel、Bay公司的高档交换机系列。本方案选用Com SuperStack II 3300。整个主干网以公安局计算机中心机房为中心节点，向外辐射。通过各部门、单位等几个节点构成主干网。中心节点机房配置企业级交换机作为网络中心交换机。为实现网络动态管理和虚拟局域网，在中心节点交换机上还配置第三层交换模块和网络监控模块。主干各节点及服务器采用100M连接，普通工作站采用交换式10M连接。二、部门级局域网设计公安局原有的较小规模的局域网服务器以DDN链路连接到市公安局主干网络上，部门局域网采用部门级交换机，如3Com linkswitch 1100等，或沿用原有的100M交换机。三、Internet接入网设计Internet接入系统由快速以太主干网连接部分、防火墙部分、Internet信息服务部分、用户管理和计费网部分组成。网络服务器和网管工作站全部采用HP公司的高档PC服务器和工作站，路由器采用思科公司的2501通过DDN专线与CHINANET相连。防火墙采用PROXY或CA公司的GuardIT等。Web服务器采用微软的IIS 4 .0。四、远程访问系统设计（WAN）桂林市公安局的远程访问系统包括通过公用电话网和通过CHINANET构成的内部虚拟专用网络（VPN）两部分。适用于公安局本部以外、市内那些快速以太网无法连接的用户组成。这些部门通过公用电话网和思科公司访问服务器直接访问市局的Intranet网络。而对于市区以外的部门和单位，则利用CHINANET和Internet网及数据加密技术构成公安局的内部虚拟专用网，如下拓扑结构图所示：拓扑图一（二）网络可靠性及安全性设计一、网络安全和防火墙除了关注全球连网对企业业务的积极影响之外，同时也要充分考虑到将因特网作为企业内部计算机网络的延伸后的安全问题。若没有合适的防火墙解决方案，您的系统就会成为网络黑客们的众矢之的。恶意闯入来自四面八方，并进行简单的恶意行为，例如：信息偷窃，甚至故意破坏。除了日趋严重的外部威胁以外，企业内部对系统安全构成危害的行为也在不断增加。许多系统侵入者都非常隐蔽，他们给企业系统安全造成潜在的最大损害，而当其所造成的危害被发现时往往已为时过晚。有效的网络安全策略必须包括防火墙的采用，此防火墙应具有管理简单、功能先进等特点，并且能够保证对所有系统实施防弹保护。一个优秀的防火墙应具有邮包级保护、灵活的部署、范围广泛的保护、TCP状态提醒邮包过滤技术、TCPIIP堆栈保护、网络地址翻译等特点。其中CA公司的防火墙GuardIT是一个非常优秀的产品。CA有限公司已为世界许多著名企业提供了网络安全解决方案。CA利用在数据安全领域所积累的丰富经验研制了GuardIT，该软件可利用出色的网络过滤技术，确保因特网和内部网数据传输的安全性。GuardIT以其具有极高性能的整套过滤技术，为系统解决方案提供了高水平安全防护的基础。美国微软公司的防火墙产品PROXY表现也很不错，尤其是它跟BACKOFFICE的天衣无缝的集成。二、网络容错计算机网络系统是整个公安业务运行的平台，服务器是整个网络运行的心脏，它能否可靠运行直接影响到公安日常业务的运作。为解决服务器的容错问题，可采用性价比很高的STANDBY SERVER技术。STANDBY SERVER是实现服务器双机系统级容错的软件解决方案，适用于NetWare和Windows NT网络操作系统。它由两台服务器组成，一台服务器称为主服务器，另一台称为备份服务机器（备份机）。在网络正常运行情况下，主服务器响应全部的网络服务请求，负责执行全部的服务器任务，而且所有的工作站都登录到主服务器上。在主服务器发生故障的情况下，备用机能自动启动为主服务器。全面代替主服务器响应全部的网络服务请求，直至主服务器被恢复。由于采用了镜像等机制，备份服务器和主服务器的数据和程序完全一致，不会出现数据丢失的情况。STANDBY SERVER的最大的好处是主服务器和备份机的硬件不必完全一致，它们可以有不同的处理器、不同的总线结构和不同的磁盘设备等。跟SFT III、DATAWARE等双机热备份相比，STANDBY SERVER具有极高的性能价格比。三、安全备份及灾难恢复企业最重要的资产不是网络硬件，而是网络运行的数据。如果不能保证数据的安全，对网络进行的大量投资就失去了意义。备份方法可以分为硬件备份和软件备份。硬件备份指的是用额外的硬件保证系统的连续运行，例如磁盘双工和双机容错，以及上面提到的用软件实现的硬件备份的STANDBY SERVER；如果某个硬件损坏。备份硬件立即接替它的工作。但是，这种备份方式不能防止逻辑错误。据有关资料统计，系统错误有80%以上属于人为误操作。发生逻辑错误时，硬件备份只会将错误复制一遍，而不能保护数据。实际上，硬件备份应称为硬件容错。软件备份指的是把数据保存到其他介质里；当系统出错时，备份系统可以把系统恢复到备份时的状态。这种备份方法可以防止逻辑错误，因为备份介质和系统是分开的，错误不会复制到存储到介质里。这意味着只要保存足够长的历史数据，就可以恢复正确的数据。理想的备份系统是在软件备份的基础上增加硬件容错系统，是网络更加安全可靠。实际上，备份不仅仅是文件备份，而是整个网络的一套备份体系。备份应包括文件备份和恢复，数据库备份和恢复、系统灾难恢复和备份任务管理。设计备份方案涉及到如何选择备份软件和备份设备，要制定好完善的备份策略和灾难恢复计划。为了获得更好的效果，最好使用商业备份软件，而不要使用操作系统集成的简单备份工具。CA公司的ARCserveIT是一种很好的备份软件，完全可以满足公安网络系统的备份需求。ARCserveIT采用主程序和选件配合的方式，主程序执行大部分常用的功能，特殊功能有选件完成。（三）网络应用系统一、办公自动化系统建设我们以机关单位为例分析机关办公自动化系统建设的需求及建设目标。机关办公自动化系统是实现机关内部各级部门之间以及机关内外部之间办公信息的收集与处理、流动与共享、实现科学决策的具有战略意义的信息系统。它的总体目标是：“以先进成熟的计算机和通信技术为主要手段，建成一个覆盖政府办公部门的办公信息系统，提供政府与其他专用计算机网络之间的信息交换，建立高质量、高效率的政府信息网络，为领导决策和机关办公提供服务，实现机关办公现代化、信息资源化、传输网络化和决策科学化。”因此，如何选择一个合适的应用系统平台，在其上建立适应办公自动化需求的功能强大的、应用开发容易的、方便管理的、界面友好的各种应用，是政府机关办公信息系统成功的关键。基于对机关用户需求的认识，以及在这一领域的成功经验，我们建议采用奥尊公司著名的邮件、群件与Web应用开发平台产品Notes/Domino作为办公系统的基本软件平台，结合必要的相关系统、产品与工具，构筑机关办公自动化系统。第一节 办公自动化系统功能需求分析尽管各个机关单位的业务和职能各不相同，因此对于办公自动化系统的需求也存在差异。但是一般而言，机关办公自动化系统均以公文处理和机关事务管理为核心，同时提供信息通讯与服务等重要功能，因此，典型的办公自动化应用包括收发文审批签发管理、公文流转传递、政务信息采集与发布、内部请示报告管理、档案管理、会议管理、领导活动管理、政策法规库、内部论坛等等应用。如果我们从系统功能角度对上述办公自动化应用做一粗浅的分析，就会发现办公自动化应用需求以及办公人员对信息处理的操作方式方面有着以下共同特点，这些功能需求是我们选择办公自动化应用系统的开发与使用平台时必须考虑的判断依据：一、提供电子邮件功能是办公自动化系统的基本需求。信息是办公自动化、决策科学化的基础。电子邮件系统（以及更加广泛意义上的报文传递系统）作为信息传递与共享的工具和手段，满足办公自动化系统最基本的通信需求。换言之，电子邮件系统作为办公自动化的通信基础设施，主要提供了办公自动化系统“两方面的功能：（）直接作为一种应用提供人与人之间通信的手段，适应随时需要的电子化通信要求。（）为各种应用提供通用的通信平台，灵活适应不同应用系统对通信平台的要求。”正如道路、桥梁、港口、机场等是提供货物运输的基础设施一样，网络化的电子通信系统与电话系统一样正在成为企业内部、企业与企业之间、企业与社会之间不可缺少的实现信息传递与共享的通信基础设施。从信息技术的角度出发，电子邮件功能是一种“推”技术，即发送方（人或应用）将信息通过存储转发技术推给接收方（人或应用）。从用户使用习惯出发，电子邮件功能是办公自动化系统的“门户”。因为工作人员很容易养成一种工作习惯，每日查看自己的电子邮件信箱，阅读处理有关信件；而且功能高级完整的电子邮件系统一般都具备新邮件到达提示功能。因此，办公自动化应用系统可以利用电子邮件系统的特点将每一项需要工作人员处理的信息或通知，制成电子邮件，直接投递到工作人员的电子邮件信箱。工作人员通过电子邮件信箱的声光提示信息（甚至可以通过电子邮件系统和无线寻呼系统的连接，用户通过BP机的寻呼信号获得电子邮件的到达通知和摘要信息），可以及时打开自己的电子邮件信箱，阅读有关邮件，并通过该邮件的指示（链接指针、URL等）自动打开相关的办公自动化应用系统，进行下一步的工作。在一个办公自动化系统中，针对不同的业务需求，通常包含了多个应用子系统，如发文、收文、信息服务、档案管理、活动安排、会议管理等等，可以将电子邮件信箱作为所有这些办公应用子系统的统一“门户”，每一个用户通过关注自己的电子邮件信箱就可以了解到需要处理的工作，而不必经常性地来回检查不同的应用系统，看看哪些是需要处理的工作（在这种情况下，如果由于某种人为原因，没有及时查阅某个应用系统，就可能造成工作的延误）。办公自动化应用系统以电子邮件作为统一入口的设计思想，可以大大提高系统的用户的友好性和易用性，减少培训的工作量。二、办公自动化系统处理的信息内容包括了大量的复合文档型的数据。复合文档型数据不同于传统数据类型。所谓的传统的数据类型是指数值型、正文型数据。办公自动化所处理的信息的一部分符合传统数据类型的特点。但是，必须指出的是，办公自动化对信息的表达与处理方式的要求，是不同于传统数据类型的。办公自动化所处理信息的载体大多是以文件、报表、信函、传真等形式出现，因此办公自动化系统是典型的文档处理系统。在这样的文档处理系统中，要处理的信息除包括传统数据类型外，更多的是以各种格式化数据（如经过排版的文字）混合存在的形式出现的，如在行文中包含文字、图形、表格，分成各种段落等等，很难将这些数据信息限定长度和格式（如果是那样的话必然是以降低系统的功能为代价）；而且随着办公需求的进一步发展，多媒体信息（对象）也逐渐成为越来越重要的办公数据信息；同时办公自动化系统作为机关核心应用系统，必然需要和机关工作人员日常使用的桌面应用系统如Ms Office以及机关其他业务信息系统（如MIS与数据挖掘系统）、Web资源等等紧密集成，也就是说办公自动化系统所处理的信息还包含了各种各样的数据对象（如Word文件、1-2-3工作表等等）。这些区别于传统数据类型的信息，如果用一个概念来统一表示，就是“非结构化数据”、“复合文档数据”或“对象数据”。一言以蔽之，办公自动化系统由于其对复合文档数据的处理要求，必须以文档数据库为核心建立，同时选择性地结合关系数据库。从信息技术的角度出发，数据库技术代表了“拉”技术，即信息共享技术。信息被集中存储管理，当用户需要信息时，主动地将数据库中的信息“拉”到自己的工作站上进行处理。三、办公自动化应用是典型的工作流自动化应用。所谓的工作流就是一组人员为完成某一项业务所进行的所有工作与工作转交（交互）过程。几乎所有的业务过程都是工作流，特别是办公自动化应用系统的核心应用公文审批流转处理、会议管理等。每一项工作以流程的形式，由发起者（如文件起草人）发起流程，经过本部门以及其他部门的处理（如签署、会签），最终到达流程的终点（如发出文件、归档入库）。工作流程可以是互相连接、交叉或循环进行的，如一个工作流的终点可能就是另一个工作流的起点，如上级部门的发文处理过程结束后引发了下级部门的收文处理过程。工作流程也可是打破单位界限的，发生于机关以及与机关的相关单位之间。工作流自动化有三种实现模式。即：基于邮件的。基于共享数据库的。基于邮件和共享数据库结合模式（即“群件模式”）的。基于邮件的工作流应用，就是通过邮件将数据表单从一个人邮箱传送到另一个人邮箱。其特点是模式简单。但是，最大的弊病是无法实行监控，没有一个管理者可以随时掌握工作流的动态。其它问题包括：难以实现自动化处理如通过代理催办、集中归档、统计；数据容易出现多份拷贝，难以控制安全性和准确性；大量的邮件传输引发大量的网络流量。基于共享数据库的工作流应用，可以克服上述基于邮件的工作流缺点。如信息单一存储，自动处理，安全性更好，容易实现监控。但是，工作流的驱动成了一个问题，因为缺乏信息通讯机制，无法主动通知有关人员进行下一步的工作。而基于邮件和共享数据库结合模式（“群件模式”）的工作流应用，结合了上述二者的优点。通过数据库管理工作流信息，通过电子邮件推动工作流程，即所谓的“跟踪通知”模型。基于群件的工作流自动化系统充分利用了邮件和数据库的特点。通过可开发的应用设计工具可以开发出包含并优于前两者模式的工作流应用。从信息技术的角度出发，群件模式结合了“推”、“拉”技术，充分发挥了不同技术的优点，克服了其缺点，是理想的办公自动化流程处理模式，也使办公自动化人员拥有了完整的信息技术工具。四、办公自动化系统要求完整的安全性控制功能办公自动化系统所处理的信息一般涉及机关的机密，而且不同的办公人员在不同的时刻对办公信息的处理权限也是不同的，因此安全性控制功能成为办公自动化系统得以投入使用的先决条件。机关办公自动化的安全性控制要求一般包括防止非法用户侵入、权限控制、存储和传输加密以及电子签名。这些手段必须足够强大，难以被攻破，而且也必须足够灵活，方便使用者掌握和利用。当然，安全性的完整实现有赖于制定和执行严格的规章制度与管理规程。第二节 办公自动化系统的应用奥尊是一个基于企业办公共自动化的平台。邮件应用是最基本的应用，机关办公系统的建设从邮件系统开始，应该作为第一步的应用，尽快投入使用。除此之外，应组织应用开发人员调查群件应用需求，分阶段逐步投产各种群件应用。群件应用系统开发、运行可以在各级部门层次上进行。由相应层次的单位管理与实施。机关办公应用系统主要组成部分包括电子邮件、文件传输、综合办公、综合信息服务、综合办公系统、决策支持等部分，其中综合办公系统包括公文管理、政务信息管理、签报、报告管理、会议系统等子系统。应用之一：电子邮件和文件传输由于奥尊是一个基于客户机/服务器体系结构的具有存储转发功能的电子邮件系统，所以系统安装完毕以后，即可以用它收发邮件。这样的邮件体系具有良好的用户界面、可定制的邮件风格和可管理的邮件信息。在文件传输方面，邮件系统提供了通过附件邮寄文件（或报表）的服务，也可以通过Lotus Domino/Notes提供的应用程序接口（Notes API）自动地转交应用系统产生的实际数据。系统在提供邮件或文件传递的过程中，可以向发送者返回传递过程信息和对方收件情况。这样，我们能够保障资料是否确且被对方收到。应用之二：综合信息服务由于Lotus Domino/Notes对平台、网络和数据的开放性，可成为企业级事实上的信息存访中心（即所有的信息通过Notes获得）。因此，我们可以开发和提供综合的信息服务。就其来源和用途的区别，可以分成以下几类：动态公共信息。如新华社的每日电讯、国家信息中心的每日信息等。一般静态公共信息。如国家的法规和条例，列车和航班信息等。内部公共信息。如规章制度、文件、机构分布信息、人事信息和联系电话等。党务政务信息等。综合信息服务系统的开发工作，应当反映其“综合”和“服务”两个特点。具体地，该系统应具备以下特征：全面。尽可能全面地涵盖各类信息来源。及时。尽可能快捷地反映国家和各级政府的方针政策。支持交互处理。允许相应领导或办公人员在浏览信息的同时进行相应的处理。应用之三：综合办公系统由于办公业务涉及面广且影响到长期形成的工作习惯，所以，应尽量简化办公自动化的运行过程，以此保障该应用系统可以为多数人接受。开发的模块应当易于维护、易于扩充和修改，并且更重要的是，易于使用。综合办公系统包括以下几个模块：电子报刊与公告牌。重要办公消息可以在指定的地方向预定的范围内工作人员发布，这类公告牌实际上是广播型电子邮件的演变，但是更加正式和庄重。问题研讨。包括问题的提出和答案的征集，这是让人们参与的有效方式。建议和意见。可以创建建议/意见、对其答复和对答复的答复。人员日程安排。在部门内或机构内，按照指定的权限，可以查阅有关人员的行程、去向和日程安排。任务追踪。按照上下级的隶属关系，可以提供领导追踪某项任务完成的情况或目前所处的状态。公文管理（包括形成，编辑，收发等）。公文管理是一项非常典型的工作流，从草拟到编辑，到领导批阅，到发放，到归档。这样的流程涉及对文书（非结构信息）的管理、编辑和查询，涉及到按权限审核和批准的过程。对这样的流程的自动化管理是信息部门长期追求的目标，也将大大提高文书档案的处理效率。会议系统。主要包括会议的计划，人员安排和会议资料的整理和管理。出差申请。在这里，涉及到出差的目的、日程和费用情况。其它审批过程。应用之四：Internet连接目前机关办公系统可以提供以下涉及国际互联网的服务：浏览资源管理。将Internet上有关站点的信息统一下载到服务器上，使用Domino /Notes 的自动页面更新功能以维护这样的信息。由于Notes是一个文档数据库系统，信息在其中可以在必要的情况下转换为数据库形式，以得到高效的检索和查询等操作。发布信息管理。统一组织和发布需要向Internet上公开发布的信息。来自办公信息网外部的邮件的管理。可以增强系统的安全性，以防止诸如邮件炸弹的袭击。显然，Internet连接和应用将是办公自动化应用最激动人心的发展方向。七、网络管理一、网络设备管理及监控网络管理的目的是提供一种对计算机网络进行规划、设计、操作运行、管理、监控、分析等的手段，从而充分利用资源、提供可靠的服务。当前，网络的规模越来越大，用户日益增多，结构也更加复杂，网络管理已成为一个非常重要的课题。一个网络管理系统应具有以下功能：（1）应具有同时支持网络监视和控制两方面的功能。（2）能够管理网络各协议层。（3）应尽可能大的管理范围。（4）应尽可能小的系统开销。（5）可管理不同厂家的网络设备。（6）可容纳不同的网络管理系统。（7）网络管理的标准化。网络管理系统构成一个网络管理系统的由多个部件组成。包括：网络管理协议（管理者和被管理者之间的操作规范）；网络管理工作站（作为管理者，一个网络中可以有一个或几个）；代理（被管理者，网上有多个被管理者）；管理信息库（网络管理具体的操作对象）。网络管理平台的选择最常见的网络管理平台有HP的OpenView、IBM的NetView /6000等，不过它们都需要UNIX操作环境。Windows环境的网管软件有Cisco的Cisco Work、3COM的Transcend、Bay Networks的Optiviity、Cabletron的Spectrum等。而选择网络管理的平台的一般是根据网络设备的品牌和型号。二、工作站及桌面管理和维护就目前微机使用管理的现状来看，首先，企事业单位要投入大量的人力对数目巨大的工作站软件进行升级，其次还得投入大量的精力排除工作站的软件故障，还有IT管理人员要利用业余时间为旧的工作站硬件升级作准备，以及投入大量时间维护更新不同部门的应用软件；多个员工共用工作站使用紊乱、管理员化相当长时间为新用户安装新软件、大公司用户在网上遇到问题很难找到管理员、如何限制用户私自更改工作站配置及墙纸、客户端打印机驱动程序管理任务艰巨、工作站2000年问题的检测等都是微机使用管理的弊端和难题。现在Novell发表了一个可以解决您上述烦恼的工具-ZEN Works(零管理网络）。它通过Novell的目录服务（NDS）的强大功能，给您提供诸如软件分发及管理、桌面管理和远程控制及维护 能力。Z.E.N.works是用户无负担网络的缩写。在通往桌面管理简化和自动化的征程中，已经走了很长一段路。Z.E.N.works借助Novell目录服务(NDS)的强大力量，远程提供了应用程序管理、软件分发、桌面管理和工作站维护。通过这种方式，终端用户的时间得到了最大限度的节省，与此同时，网络管理员则致力于工作站的管理。从而其注意力集中于更关键性的问题，终端用户则可以轻松地开展其自身的工作。将可移动性带到了桌面 除了可以将已联网的用户从与技术相关的繁琐杂事(或有时出现的无谓失误)中解放出来以外，Z.E.N.orks还提供了与位置无关的功能。通过使用NDS的动态继承特性，Z.E.N.works很好地扩展了为终端用户所创立的“数字人”。这种“数字人”是对桌面布局策略、配置信息、打印机和应用程序的唯一配置。它基于用户的特定需求以及所有储存在NDS中的首选项来设定。用户可以从任意地点登录，并查看自己熟悉的桌面。再进一步，Z.E.N.works允许网络管理员迅速从离他最近的服务器传递应用程序，并且一旦终端用户无意间误删了重要文件(如桌面图标、DLL等)，Z.E.N.works会自动重新安装以修复这种破坏。减少了网络管理员移动的必要 在终端用户赢得了极大的移动性和自由的同时，管理员则减少了移动的必要性，也就是他们现在可以呆在原地不动了。Z.E.N.works的存在使得在单个地点实现软件升级、修复和清点存货的工作变得异常容易，从而消除了访问工作站的必要。此外，管理员还可以访问并控制远程工作站。为此，他们大大节省了曾经花费在打电话和道路上的时间。优势(对于终端用户) 1.可在数秒内安装任何应用程序，一旦网络管理员授权，用户桌面上即会出现一个图标，并且迅速地开始自行安装并自动配置各个参数(如电子邮件地址，等等)。 2.可自动修复已破坏的应用程序,甚至无须确切知道哪里出了问题。 3.可随意使用公司中的任一台计算机，并使用唯一的自定义桌面配置、访问权限等(即您自己的“数字人”)。 4.不必重新配置即可从公司内任何人的计算机上登录并打印到自己的打印机上。 5.不必请求 IS人员建立域信任关系即可登录到公司内的任意一台 NT工作站。优势(对于网络管理员) 1不必访问单个节点即可从NDS上获取信息以远程定制桌面配置。 2不必使用单独的实用工具即可高效地实现贯穿整个网络的策略。也不必再去手动地将策赂文件复制到网络的所有服务器上。 3.自动生成网络上所有计算机的库存清单，汇总处理器的报告和每台工作站上的内存数量。 4.可以从单个位置实现应用程序和操作系统的自动升级。 5.方便