兴业银行计算机网络及布线方案

第一章、计算机网络系统 刖言今天，在我们生活的世界上，正在静悄悄地发生着一场革命，这就是当今世界的信息革命。不久的将来，会有那么一天，人们可能不必离开他们的书桌或扶手椅，就可以办公、学习、探索这个世界和他的各种文化，进行各种娱乐、交朋友、向远方的亲戚展示照片等。到了那个时代，计算机和网络连接用品将不仅仅是人们随身携带的一个物件，或是你购买的一个工具，而是他们进入一个新的生活方式的通行证，人们将在“信息高速公路”中互相交流。光信公司能够有机会为兴业银行提供计算机网络系统建议方案对此我们深表谢意，并真诚希望合作成功，希望将光信公司优秀的产品和先进的技术以及优质的服务带给我们的用户，和用户共同取得成功。信息科学技术已经成为提高企业效率的关键。本文给出运用佳都的产品、技术和服务提供信息系统解决方案的建议，其目标在于给予信息系统的管理者、设计者和信息结构策略的选择者提供一个全面的解决方案的综览。信息技术可以帮助企业做出更好的决策、更快的响应，增强联系的程度。但是同样它也带来了以往没有的一些挑战。一些是技术上的问题，如系统集成、系统迁移、软件开发、系统结构和设计、网络管理、开放标准和重用性等等。另外一些是管理上的问题,如培训、服务和支持等。光信公司认为在银行、企业计算环境中，信息技术需要并同时也接受来自各个厂商的大量的产品、技术、服务和合作关系等方面的挑战。不同于简单的文件

共享和打印共享，信息网络是对用户所需信息的全面联接。构建于统一的结构之上支持开放标准和全球连通的信息网络是新一代信息使用结构的基础。内置的支持工具使信息网络更容易操作和管理，基于组件的软件开发方式为创建信息系统使用程序提供了更高效的手段。光信公司非常荣幸地能够为“兴业银行计算机信息网络系统”出谋划策。希望通过此项网络系统工程，能够让光信公司将其优秀的产品、先进的技术以及优质的服务带给用户，和用户共同取得成功。2.兴业银行信息网络系统设计原则网络设计具有开放性和标准化，采用开放性和标准化思想，保证网络互连简单易行。具有可靠性和先进性，选用成熟、可靠的先进技术组织网络，在设计中充分考虑网络的故障容错功能，保障全网的运行可靠。根据兴业银行信息网络系统使用的实际需要设计网络，确定网络数据的组织、站点分布和网段划分，整体上提高网络的实际传输效率和速率。采用模块化、结构化设计，使系统的网络扩充、功能增加更容易实现。充分利用现有资源，充分考虑到对现有计算机资源、数据资源和传输资源的利用，避免资源浪费。兴业银行计算机网络系统 网络结构根据以上要求和系统总体功能结构，我们设计了如图所示的网络结构。CiscoWorksw/HPOpenViewExchangeServer（原L田口备份域控制器（BDC）NetPrinterNetworkAdministratorHPServer□□oo100MEthernetCiscoWorksw/HPOpenViewExchangeServer（原L田口备份域控制器（BDC）NetPrinterNetworkAdministratorHPServer□□oo100MEthernetDesktopPCDesktopPC收费站/工地DesktopPC100SwitchDesktopPCDesktopPC收费站/工地DesktopPCWindows2000

Office97

InternetExplorer兴业银行计算机网络系统 （Intranet）ODDD在本节内，我们将简要介绍几种不同的 技术，并且就其优缺点进行比较。以太网（）技术：以太网通过 （载波侦听碰撞检测）技术通信，是一种非常成熟的技术。传统上，同一 上的所有工作站利用 争抢同一通信介质（例如：同轴电缆、），其结果是实际上所有工作站仅能分时地进行通信。例如，以太网上如果有 台正在使用的工作站，每台工作站实际仅

使用的网络带宽为：其中“"为以太网效率，是各工作站抢占介质进行通信的结果。当工作站数量增加时，效率会更低。可见，当工作站数量增加时，每台工作站所使用的带宽将极有限。体现在用户上，将出现使用程序启动缓慢、 页面显示缓慢并伴有偶然的画面丢失等。使用 （集线器）连接的所有微机就是在这种环境下运行的。同一以太网段上的工作站数量比较少时（例如个左右），网络性能才可以充分发挥。使用组网是最经济有效的但必须小心规划 组成的网、控制级连的级数、同一网段上的工作站数量。快速以太（ ）技术：快速以太网采用的技术和传统以太网完全相同，同样采用 技术。但通过改良信号的调制方法和先进的控制技术，提高了以太网的速度（高达）。当采用 时，在工作站数量不多时，和传统以太技术一样，可以充分发挥其高速特性。由于快速以太网采用和传统以太网相同的技术，采用了相同的数据帧（ ）结构，使得在和传统以太网（段）连接时技术实现简单而性能良好。实际上，快速以太网是牺牲了传统以太网传输距离而换来的局部高速度。快速以太网同一网段必须严格控制在半径 范围内（ ）。以太交换（ ）技术：和 以太网中都存在碰撞问题，两台计算机不可能同时通信。交换技术和以太（或）技术结合后，大大提高了以太网的速度。交换保证任一时刻，任意两台计算机能够同时通信，从而数十倍提高了整体网络速度。

以太交换实际上保证在同一以太网段上仅有一台（或少数几台）计算机，消除的网段内产生碰撞的可能。快速以太交换（ ）技术快速以太交换是快速以太网和交换技术的结合的产物。由于快速以太所采用的数据帧结构和传统的以太技术相同，通过和交换结合，数据帧可以在交换机内迅速地在快速以太网和以太网之间交换不需要向和别的网络技术搭配使用时出现的进行帧结构转换或帧重组分块等操作。交换式技术将保证网络性能是平稳的不会在猝发流量情况下出现性能暴跌（而这正是共享介质网络技术如以太网的固有缺点）。并且，网络设备端口之间不会争夺网络带宽。举例而言，带交换功能的网设有、、、四个端口，当和通信时，丝毫不会影响和通信质量。这点将保证网络上大量服务器、工作站同时运行的需要，也为日后在上传输图象奠定基础。因此，我们建议网络系统采用快速以太交换技术。千兆以太网技术（扩展）：数量不断增长的用户和数据密集型办公室、 和多媒体使用程序促使带宽需求日益增加，从而给当今许多局域网的主干网带来了沉重的负担。以其可靠性、易使用性和经济性而成为大多数网络首选的以太网可能正是这一问题的来源，又是这一问题的解决办法。随着企业采用日益复杂的使用程序和网络核心快速增加的通信量，必须提高网络的访问速度。为此， 公司等主要的网络厂商正在积极开发的解决方案和基于标准的产品。在以太网网络的演进过程中，千兆位以太网的一个合乎逻辑的跃进是，如它的前几代产品所做的那样，承诺将经济、高效地满足

当今的网络需求。和快速以太网在 上所提供的倍的加速类似，千兆位以太网正被设计用来为网管员提供更高的性能，同时保留现有的网络基础设施。千兆位以太网是机构面临的许多网络挑战的理想解决方案。当今的商业企业采用的是超级快速服务器等更为强劲的技术，以及视频流式传输、可视电话会议或者高速文件备份等数据密集型使用程序，新的千兆位以太网标准将大大有助于以合理的成本大量增加带宽。千兆位以太网提供给我们的主要优势：原始带宽千兆位以太网将显著增加纯带宽，其通信处理能力将极大的缓解局域网主干网所承受的压力，同时为用户提供高效运行数据密集型使用程序所需的可缩放性和速度；性能价格比完美无缺的迁移千兆位以太网保留 和以太网标准桢格式以及 管理的对象规格;简化的管理投资保护补充 和其它先进技术多种多样的迁移途径交换机和交换机的链接，交换机和服务器的链接，升级交换式快速以太网和交换式主干网

和交换式主干网千兆位以太网更大的数据传输速率意味着用户将能以更快的速度访问和其它数据密集型服务，并有一个更大的访问 和广域网服务的管道。正如 和 以太网过去曾主宰市场一样，千兆位以太网可望在进入世纪后独领风骚。由于目前交换式以太网价格合理，性能优异，所以本方案建议采用全交换式的网络。主干采用（ ）交换式太网，分支采用 交换式以太网，实现 直接到桌面。网络管理银行系统网络的正常运行，除了需要有优良性能和可靠耐用的网络设备外，拥有良好的管理工具是至关重要的。通常中大型的网络（对于 ，大约在工作站以上；对于 ，大约在台路由器以上）都需要配备网络管理软件，而且规模越大，配备的网络管理系统功能越要求功能齐全。因银行系统有一定保密性，本方案建议采用 的 作为网络管理。 结构使您今天能够建立完善的管理系统，又可保护原有资源，因而明天您可以经济有效地扩大服务范围。计算机网络系统安全保障方案— 防火墙（CheckPoint）建议参考方案：越来越多的银行信息网络的整体结构是一个和 连接的网络，网络上和各银行之间运行各种业务系统、办公自动化等，另外还有 使用，网络系统采用 协议；网络由三个部分组成：内部网络：主干是中央（千兆？）交换机，边缘是（快速以太网？）交换机，该网络构成广东省路桥公司信息网络内部网络。提供 服务的网段：由组成r,该网段为内部人员提供和服务，并提供上的主页。广域网的连接：使用提供 服务的网段：由组成r,该网段为内部人员提供和服务，并提供上的主页。广域网的连接：使用租用专线和相连以及远程用户通过拨号方式登录拨号服务器和内部网络相连。以及远程用户通过拨号方式登录拨号服务器和内部网络相连。由于网络使用系统的复杂化，网络安全体系的建立和全面解决方案更是迫在眉睫。安全威胁自信息系统运行以来就存在信息系统安全问题，通过网络远程访问而构成的安全威胁日益成为受到严重关注的问题。根据美国的调查，美国每年因为网络安全造成的经济损失超过亿美元。企业信息网络可能存在的安全威胁来自以下方面：操作系统的安全性。目前流行的许多操作系统均存在网络安全漏洞，如服务器，服务器及 桌面C防火墙的安全性。防火墙产品自身是否安全，是否设置错误，需要经过检验。来自内部网用户的安全威胁。缺乏有效的手段监视、评估网络系统的安全性。采用的 协议族软件，本身缺乏安全性。未能对来自 的电子邮件夹带的病毒及 浏览可能存在的控件进行有效控制。

网络安全的需求究竟什么是系统安全性？计算机安全事业始于本世纪年代末期。当时，计算机系统的脆弱性已日益为一些机构所认识。但是，由于当时计算机的速度和性能较落后，使用的范围也不广，再加上未把它当作敏感问题而施加控制，因此，有关计算机安全的研究一直局限在比较小的范围内。进入年代后，计算机的性能得到了成百上千倍的提高，使用的范围也在不断扩大，计算机已遍及世界各个角落。并且，人们利用通信网络把孤立的单机系统连接起来，相互通信和共享资源。但是，随之而来并日益严峻的问题是计算机信息的安全问题。人们在这方面所做的研究和计算机性能和使用的飞速发展不相适应，因此，它已成为未来信息技术中的主要问题之一。由于计算机信息有共享和易于扩散等特性，它在处理、存储、传输和使用上有着严重的脆弱性，很容易被干扰、滥用、遗漏和丢失，甚至被泄露、窃取、篡改、冒充和破坏，还有可能受到计算机病毒的感染。国际标准化组织（）将“计算机安全”定义为“为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄露。”此概念偏重于静态信息保护。也有人将“计算机安全”定义为“计算机的硬件、软件和数据受到保护，不因偶然和恶意的原因而遭到破坏、更改和泄露露，系统连续正常运行。”该定义着重于动态意义描述。计算机安全的内容应包括两方面：即物理安全和逻辑安全。物理安全指系

统设备及相关设施受到物理保护，免于破坏、丢失等。逻辑安全包括信息完整性、保密性和可用性:保密性指高级别信息仅在授权情况下流向低级别的客体和主体；完整性指信息不会被非授权修改及信息保持一致性等；可用隹指合法用户的正常请求能及时、正确、安全地得到服务或回应。一个系统存在的安全问题可能主要来源于两方面：或者是安全控制机构有故障；或者是系统安全定义有缺陷。前者是一个软件可靠性问题，可以用优秀的软件设计技术配合特殊的安全方针加以克服；而后者则需要精确描述安全系统。总体安全体系结构网络安全体系结构主要考虑安全对象和安全机制，安全对象主要有网络安全、系统安全、数据库安全、信息安全、设备安全、信息介质安全和计算机病毒防治等，其安全体系结构如下图所示：

安全体系层次模型按照网络 的层模型，网络安全贯穿于整个层。针对网络系统实际运行的 协议，网络安全贯穿于信息系统的个层次。应用使用系统 1应用使用系统安全 1物理层层使用平台应用使用系统 1应用使用系统安全 1物理层层使用平台层使用平台安全下图表示了对应网络系统网络的安全体系层次模型：息安全会话主续防止物理层信物理通路的损坏、物理通路全的窃听、对物理通路的攻击（干网络层扰等）链路层安全路由/访问机制链路安全链路层物理层物理层信息安全链路层物理层物理层信息安全链路层的网络安全需要保证通过网络链路传送的数据不被窃听。主要采用划分（局域网、加密通讯（远程网）等手段。网络层网络层的安全需要保证网络只给授权的客户使用授权的服务，保证网络路由正确，避免被拦截或监听。操作系统操作系统安全要求保证客户资料、操作系统访问控制的安全，同时能够对该操作系统上的使用进行审计。使用平台使用平台指建立在网络系统之上的使用软件服务，如数据库服务器、电子邮件服务器、服务器等。由于使用平台的系统非常复杂，通常采用多种技术（如等）来增强使用平台的安全性。使用系统

使用系统完成网络系统的最终目的一一为用户服务。使用系统的安全和系统设计和实现关系密切。使用系统使用使用平台提供的安全服务来保证基本安全，如通讯内容安全，通讯双方的认证，审计等手段。企业信息网络的网络安全需求根据企业信息网络系统的需求，概括来说，企业信息网络的网络安全主要包括以下几个方面：b） 服务网络安全。c）病毒的防御d）黑客的防御e）系统平台的安全性以上几个方面均有不同的安全需求，单一的防火墙远不能满足以上的复杂要求，每种使用会有不同的安全需求，要求建立不同的安全策略，但同时，象不同的使用运行在同一个网络上一样，网络安全也应该是一个统一全面的解决方案。将针对以上使用类型，给出适应该平台的层次化安全体系结构。提供的解决方案力图从网络安全的威胁入手，在网络的各个层次上提供全面的解决方案。总体规划安全体系设计原则在进行计算机网络安全设计、规划时，应遵循以下原则：

需求、风险、代价平衡分析的原则对任一网络来说，绝对安全难以达到，也不一定必要。对一个网络要进行实际分析，对网络面临的威胁及可能承担的风险进行定性和定量相结合的分析，然后制定规范和措施，确定本系统的安全策略。保护成本、被保护信息的价值必须平衡，价值仅万元的信息如果用万元的技术和设备去保护是一种不适当的保护。综合性、整体性原则运用系统工程的观点、方法，分析网络的安全问题，并制定具体措施。一个较好的安全措施往往是多种方法适当综合的使用结果。一个计算机网络包括个人、设备、软件、数据等环节。它们在网络安全中的地位和影响作用，只有从系统综合的整体角度去看待和分析，才可能获得有效、可行的措施。一致性原则这主要是指网络安全问题应和整个网络的工作周期（或生命周期）同时存在，制定的安全体系结构必须和网络的安全需求相一致。实际上，在网络建设之初就考虑网络安全对策，比等网络建设好后再考虑，不但容易，而且花费也少得多。易操作性原则安全措施要由人来完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。其次，采用的措施不能影响系统正常运行。适应性、灵活性原则安全措施必须能随着网络性能及安全需求的变化而变化，要容易适应、容易修改。

多重保护原则任何安全保护措施都不是绝对安全的，都可能被攻破。但是建立一个多重保护系统，各层保护相互补充，当一层保护被攻破时，其它层保护仍可保护信息的安全。网络安全风险分析网络系统的可靠运转是基于通讯子网、计算机硬件和操作系统及各种使用软件等各方面、各层次的良好运行。因此，它的风险将来自对企业的各个关键点可能造成的威胁，这些威胁可能造成总体功能的失效。由于在这种广域网分布式计算环境中，相对于过去的局域网、主机环境、单机环境，安全问题变得越来越复杂和突出，所以网安全风险分析成为制定有效的安全管理策略和选择有作用的安全技术实施措施的基础依据。安全保障不能完全基于思想教育或信任。而应基于“最低权限”和“相互监督”的法则，减少保密信息的介入范围，尽力消除使用者为使用资源不得不信任他人或被他人信任的问题，建立起完整的安全控制体系和保证体系。网络安全策略安全策略分安全管理策略和安全技术实施策略两个方面：管理策略安全系统需要人来执行，即使是最好的、最值得信赖的系统安全措施，也不能完全由计算机系统来完全承担安全保证任务因此必须建立完备的安全组织和管理制度。

技术策略技术策略要针对网络、操作系统、数据库、信息共享授权提出具体的措施。安全管理原则计算机信息系统的安全管理主要基于三个原则。多人负责原则每项和安全有关的活动都必须有两人或多人在场。这些人应是系统主管领导指派的，应忠诚可靠，能胜任此项工作。任期有限原则一般地讲，任何人最好不要长期担任和安全有关的职务，以免误认为这个职务是专有的或永久性的。职责分离原则除非系统主管领导批准，在信息处理系统工作的人员不要打听、了解或参和职责以外、和安全有关的任何事情。安全管理的实现信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性，制订相应的管理制度或采用相应规范，其具体工作是：f）确定该系统的安全等级。g）根据确定的安全等级，确定安全管理的范围。h）制订相应的机房出入管理制度。对安全等级要求较高的系统，要实行分区控制，限制工作人员出入和己无关的区域。

i）制订严格的操作规程。操作规程要根据职责分离和多人负责的原则，各负其责，不能超越自己的管辖范围。j）制订完备的系统维护制度。维护时，要首先经主管部门批准，并有安全管理人员在场，故障原因、维护内容和维护前后的情况要详细记录。k）制订应急措施。要制订在紧急情况下，系统如何尽快恢复的应急措施，使损失减至最小。1）建立人员雇用和解聘制度，对工作调动和离职人员要及时调整相应的授权。安全系统需要由人来计划和管理，任何系统安全设施也不能完全由计算机系统独立承担系统安全保障的任务。一方面，各级领导一定要高度重视并积极支持有关系统安全方面的各项措施。其次，对各级用户的培训也十分重要，只有当用户对网络安全性有了深入了解后，才能降低网络信息系统的安全风险。总之，制定系统安全策略、安装网络安全系统只是网络系统安全性实施的第一步，只有当各级组织机构均严格执行网络安全的各项规定认真维护各自负责的分系统的网络安全性，才能保证整个系统网络的整体安全性。网络安全设计由于网络的互连是在链路层、网络层、传输层、使用层不同协议层来实现，各个层的功能特性和安全特性也不同，因而其网络安全措施也不相同。物理层安全涉及传输介质的安全特性，抗干扰、防窃听将是物理层安全措施制定的重点。

在链路层，通过“桥”这一互连设备的监视和控制作用，使我们可以建立一定程度的虚拟局域网，对物理和逻辑网段进行有效的分割和隔离消除不同安全级别逻辑网段间的窃听可能。在网络层，可通过对不同子网的定义和对路由器的路由表控制来限制子网间的接点通信，通过对主机路由表的控制来控制和之直接通信的节点。同时，利用网关的安全控制能力，可以限制节点的通信、使用服务，并加强外部用户识别和验证能力。对网络进行级别划分和控制，网络级别的划分大致包括企业网、骨干网区域网、区域网部门网、部门网工作组网等，其中企业网的接口要采用专用防火墙，骨干网区域网、区域网部门网的接口利用路由器的可控路由表、安全邮件服务器、安全拨号验证服务器和安全级别较高的操作系统。增强网络互连的分割和过滤控制，也可以大大提高安全保密性。随着企业个人和个人之间、各部门之间、企业和企业之间、国际间信息交流的日益频繁，信息传输的安全性成为一个重要的问题。尽管个人、部门和整个企业都已认识到信息的宝贵价值和私有性但商场上的无情竞争已迫使机构打破原有的界限，在企业内部或企业之间共享更多的信息，只有这样才能缩短处理问题的时间，并在相互协作的环境中孕育出更多的革新和创造。然而，在群件系统中共享的信息却必须保证其安全性，以防止有意无意的破坏。物理实体的安全管理现已有大量标准和规范，如 《计算机场地安全要求》、 7计算机场地技术条件》等。安全产品选型一般原则在进行网络安全方案的产品选型时，要求安全产品至少应包含以下功能：

m）访问控制：通过对特定网段、服务建立的访问控制体系，将绝大多数攻击阻止在到达攻击目标之前。n）检查安全漏洞：通过对安全漏洞的周期检查，即使攻击可到达攻击目标，也可使绝大多数攻击无效。o）攻击监控：通过对特定服务建立的攻击监控体系，可实时检测出绝大多数攻击，并采取相应的行动（如断开网络连接、记录攻击过程、跟踪攻击源等）。p）加密通讯：主动的加密通讯，可使攻击者不能了解、修改敏感信息。q）认证：良好的认证体系可防止攻击者假冒合法用户。r）备份和恢复：良好的备份和恢复机制，可在攻击造成损失时，尽快地恢复数据和系统服务。s）多层防御：攻击者在突破第一道防线后，延缓或阻断其到达攻击目标。t）隐藏内部信息：使攻击者不能了解系统内的基本情况。u）设立安全监控中心：为信息系统提供安全体系管理、监控，保护及紧急情况服务。网络安全技术方案设计：结合安全设计的策略，我们提出网络安全设计方案。本章就采用的防火墙、防病毒、防黑客，以及安全评估等技术措施作详细的描述。各种安全措施之间的相互协作，构成主动的网络安全防御体系。根据网络安全需求，目前网络安全方案集中考虑外部网络的安全性；对于整体网络的安全性，我们还分析了网络安全方案的可扩充性。在本章结尾，我们总结了本方案的特点。防火墙的解决方案系统使用防火墙是为了增加系统的安全性，这些安全性主要有：保护脆弱的服务通过过滤不安全的服务， 可以极大地提高网络安全和减少子网中主机的风险。例如， 可以禁止、 服务通过， 同时可以拒绝源路由和 重定向封包。控制对系统的访问可以提供对系统的访问控制。如允许从外部访问某些主机，同时禁止访问另外的主机。例如， 允许外部访问特定的 和。集中的安全管理对企业内部网实现集中的安全管理，在 定义的安全规则可以运用于整个内部网络系统，而无须在内部网每台机器上分别设立安全策略。如可以定义不同的认证方法，而不需在每台机器上分别安装特定的认证

软件。外部用户也只需要经过一次认证即可访问内部网。增强的保密性使用 可以阻止攻击者获取攻击网络系统的有用信息，如和S记录和统计网络利用数据以及非法使用数据可以记录和统计通过 的网络通讯，提供关于网络使用的统计数据，并且， 可以提供统计数据，来判断可能的攻击和探测。策略执行提供了制定和执行网络安全策略的手段。未设置 时，网络安全取决于每台主机的用户。防火墙技术尽管现在防火墙的种类有许多，但是从技术上来分析，防火墙总体上分为包过滤和代理服务器两大类型。我们将通常所说的使用级网关和代理服务器统称为代理服务器。包过滤即包过滤：源地址、目的地址、 源端口、 目的端口。包过滤的防火墙吞吐能力大，但是存在许多弱点如V）包过滤规则难于设置并缺乏已有的测试工具验证规则的正确性手工测试除外）一些包过滤路由器不提供任何日志能力，直到闯入发生后，危险的封包才可能检测出来。

w）实际运行中，经常会发生规则例外，即要求允许通常情况下禁止的访问通过。但是，规则例外使包过滤规则过于复杂而难以管理。例如，定义规则禁止所有到达 的端口连接，如果某些系统需要直接连接，此时必须为内部网的每个系统分别定义一条规则。x）某些包过滤路由器不支持 源端口过滤，可能使过滤规则集更加复杂，并在过滤模式中打开了安全漏洞。如 连接源端口是随机产生的，此时如果允许双向的 连接，在不支持源端口过滤的路由器上必须定义一条规则：允许所有端口的双向连接。此时用户通过重新映射端口，可以绕过过滤路由器。y）对许多 服务进行包过滤非常困难。由于的 口是在主机启动后随机地分配的，要禁止 服务，通常需要禁止所有的 绝大多数 使用，如此可能需要允许的 连接就会被禁止。使用网关为了解决包过滤路由器的弱点， 要求使用软件使用来过滤和传送服务连接（如和 ）。这样的使用称为代理服务，运行代理服务的主机被称为使用网关。使用网关和包过滤器混合使用能提供比单独使用使用网关和包过洗器更高的安全性和更大的灵活性。使用网关的优点是：z）比包过滤路由器更高的安全件。

aa）提供对协议的过滤，如可以禁止 连接的命令。bb）信息隐藏，使用网关为外部连接提供代理。cc）健壮的认证和日志。dd）节省费用，第三方的认证设备软件或硬件只需安装在使用网关上。ee）简化和灵活的过滤规则路由器只需简单地通过到达使用网关的包并拒绝其余的包通过。因此，使用网关防火墙的安全特性远比包过滤型的防火墙高，但是速度慢。防火墙的选择防火墙的选择要综合考虑以下因素：防火墙的管理难易度防火墙的管理难易度是防火墙能否达到目的的主要考虑因素之一。若防火墙的管理过于困难，则可能会造成设定上的错误，反而不能达到其功能。一般企业之所以很少以已有的网络设备直接当作防火墙的原因，除了先前提到的包过滤，并不能达到完全的控制之外，设定工作困难，须具备完整的知识以及不易处错等管理问题更是一般企业不愿意使用的主要原因。防火墙自身的安全性大多数人在选择防火墙时都将注意力放在防火墙如何控制连接以及防火墙支持多少种服务，但往往忽略一点，防火墙也是网络上的主机之一，也可能存在安全问题，防火墙如果不能确保自身安全，则防火墙的控制功能再强，也终究不能完全保护内部网络。

大部分防火墙都安装在一般的操作系统上，如、系统等。在防火墙主机上执行的除了防火墙软件外，所有的程序、系统核心，也大多来自于操作系统本身的原有程序。当防火墙上所执行的软件出现安全漏洞时，防火墙本身也将受到威胁。此时，任何的防火墙控制机制都可能失效，因为当一个黑客取得了防火墙上的控制权以后，黑客几乎可为所欲为地修改防火墙上的存取规则（），进而侵入更多的系统。因此，防火墙自身仍应有相当高的安全保护。应考虑的特殊要求企业安全政策中往往有些特殊需求不是每一个防火墙都会提供的，这方面常会成为选择防火墙的考虑因素之一，常见的需求如下：ff）转换（ ）进行 转换有两个好处：其一是隐藏内部网络真正的 ，这可以使黑客（ ）无法直接攻击内部网络，着也是笔者之所以要强调防火墙自身安全性问题的主要原因；另一个好处是可以让内部使用保留的，这对许多不足的企业是有益的。gg）虚拟企业网络（ ）可以在防火墙和防火墙或移动的 间n所有网络传输的内容加密，建立一个虚拟通道，让两者间感觉是在同一网络上，可以安全且不受拘束地互相存取。这对总公司和分公司之间或公司和外出的员工之间，需要直接联系，又不原花费大量金钱另外申请专线或用长途电话拨号连接时，将会非常有用。hh）扫毒功能大部分防火墙都可以和防病毒搭配实现扫毒功能，有的防火墙则可以直接

集成扫毒功能，差别只是扫毒工作是由防火墙完成，或是由另一台专用的计算机完成。ii）特殊控制需求有时候企业会有特别的控制需求，如限制特定使用者才能发送 ，只能 档案不能 档案，限制同时上网人数，限制使用时间或 、等，依需求不同而定。一个好的防火墙必须能弥补其他操作系统之不足一个好的防火墙必须是建立在操作系统之前而不是在操作系统之上，所以操作系统有的漏洞可能并不会影响到一个好的防火墙系统所提供的安全性由于硬件平台的普及以及执行效率的因素大部分企业均会把对外提供各种服务的服务器分散至许多操作平台上，但我们无法保证所有主机安全的情况下选择防火墙作为整体安全的保护者，这正说明了操作系统提供了级或是级的安全并不一定会之间对整体安全造成影响因为一个好的防火墙必须能弥补操作系统的不足。一个好的防火墙应该为使用者提供不同平台的选择由于防火墙并非完全由硬件构成，所以软件（操作系统）所提供的功能以及执行效率一定会影响到整体表现而使用者的操作意愿及熟练程度也是必须考虑的重点。因此一个好的防火墙不但本身要有好的执行效率也应该提供多平台的执行方式供使用者选择，毕竟使用者才是完全的控制者，应该选择一套符合现有环境需求的软件，而非为了软件的限制而改变现有环境。一个好的防火墙应能向使用者提供完善的售后服务由于有新的产品出现，就有人会研究新的破解方法，所以一个好的防火墙

提供者就必须有一个庞大的组织作为使用者的安全后盾，也应该有众多的使用者所建立的口碑为防火墙做见证。本方案中防火墙的安全措施本方案采用 防火墙， 防火墙是基于使用层网关的防火墙，集成了的性能管理和易用性，并使用完全的代理服务方式提供广泛的协议支持以及高速的吞吐能力，很好地解决了安全、性能及灵活性的协调。防火墙产品简介公司是开放安全企业互联联盟（ ）的组织者和倡导者，在企业级安全性产品开发方面占有世界市场的主导地位，其 防火墙产品在国际市场上占有率超过％。世界上许多著名的大公司，如 、 、、Y 等，都已成为 的成员或分销 的产品l目前是防火墙技术的主导产品，它可以统一管理 访问和信息发布，可以为分支网络和远程用户的访问提供安全保障，提供虚拟专用网络功能，在公用网络上实现安全信息通道。它的 平台更可以让用户轻松集成防病毒、内容过滤、入侵检测、用户认证、日志分析等网络安全各个方面的产品，真正为网络互联以及大型企、事业网络服务提供集中、安全管理的主要功能特点多操作系统支持

目前支持主流的系统，包括目前支持主流的系统，包括同时提供对 的支持，对 系统也已经推出测试版。状态检测技术的 技术采用了一个检测模块，它可以在不影响网络正常工作的前提下，采用抽取相关数据的方法对网络通信的各层实施检测。抽取部分数据（状态信息）动态的保存起来，作为以后指定安全决策的参考。检测模块支持多种协议和使用，并可以很容易的实现扩充。 状态检测技术的性能超过传统防火墙达两倍以上。对使用程序的广泛支持具有状态监测技术，结合强大的面向对象的方法，TOC\o"1-5"\h\z可以提供全七层使用识别，对新使用很容易支持。目前支持种以上的预定义使用、服务和协议，包括 主要服务（如浏览器、 、、等）和基于 协议的使用程序，又支持基于 和 这一类非连接协议的使用程序。此外，支持重要的商业使用，如 、服务器数据库访问；支持多媒体使用，如 、 、e 等，以及 广播服务，如 ws在软件业 的合作伙伴最为广泛，凭借 的技术优势， O使用程序的支持会更加广泛。分布式客户机服务器结构采用的是集中控制下的客户服务器结构，性能好，配置灵活。公

司内部网络可以设置多个 模块，由一个管理模块负责监控，可以在企业内部统一设置和管理安全策略。这样可以为跨地区或跨国企业提供无和伦比的管理上的便利。远程网络访问的安全保障使和 的移动用户和远程用户得以访问他们的企业网络，可以直接或通过 连接到企业的服务器，同时保证企业敏感数据的安全传送。该模块把 技术扩展到了远程用户。是一种称为客户端加密的技术。因为 在数据离开客户端平台前就已对数据进行了加密故能为远程的用户到企业防火墙系统间的通讯连接提供完全的安全解决方案。 可以透明地加密任何 通讯，没有必要对现有的用户使用的网络使用程序作任何修改。支持任何现有的网络适配卡和 栈。虚拟专用网企业、合作伙伴、分公司、移动用户之间的长距离通信已成为商业联系的关键。传统方法中的点对点的连接方式既缺乏灵活性，成本又高，无法大规模地使用。随着公共网络的发展，如 ，作为一种灵活、价格低廉的网间互联工具，已越来越成为企业采用的方法。提供加密模块，可以用于在 上实施N采用和 两种加密算法，这两种算法可同时配置，也可以选择配置。可以自动产生和维护各类密钥。使用 模式，每一个加的确认授权。密通信将产生一对高度保密的公共和专用密钥。利用技术，可以实现通信

密通信将产生一对高度保密的公共和专用密钥。利用技术，可以实现通信用户认证由于一般企业网络资源不仅提供给本地用户使用，同时更要面向各种远程用户、移动用户、电信用户的访问，为了保护自身网络和信息的安全，有必要对访问连接的用户采取有效的权限控制和访问者的身份识别。 提供了基于用户（e客户（ ）和会话（ ）等多种用户验证方式，以满足用户不同的需求。 提供的认证无需在服务器和客户端的使用进行任何修改。 的服务认证是集成在整个企业范围内的安全策略，可以通过防火墙的进行集中管理。同时对在整个企业范围内发生的认证过程进行全程的监控、跟踪和记录。网络地址转换提供地址翻译的能力。翻译可以满足以下两种需求：-隐藏企业内部地址和网络结构-把内部的非法地址翻译成合法的地址路由器安全管理提供了网络安全管理器模块，利用它系统管理员可以实现对路由器的集中控制和访问列表管理。目前，支持的路由器包括 、 。利用 的图形界面和强大的工具软件，无需了解路由器具体命令，就可以对路由器实现安全策略加载。内容安全内容安全是防火墙提供的新功能。防火墙模块中的

内容安全是防火墙提供的新功能。防火墙模块中的安全服务器可以对所有进出内部网络的、和流量进行检查并转发，可以实现基于服务、请求方式、主机、地址以及路径和文件名的内容过滤，可以避免不必要的文件的侵扰，提供有效的病毒防护；可以防止对内部网络的在线攻击；可以实现对电子邮件内容的过滤，并可以进行电子邮件地址转换。开放式结构设计（）的 （开放安全企业互联）解决方案允许用户在一个单一的、可扩展的体系框架中集成所有方面的网络安全产品。企业的安全系统是由若干组件构成的，每一个都可能由不同的厂家提供并安装在不同的机器上。允许将安全任务分布到 组件中因此用户可以从或其他厂商选择最符合企业需要的安全组件。企业可以通过以下方式和的 集成：第一企业可以通过以下方式和的 集成：第一:防火墙（ ）模块和检查模块可以直接在第:防火墙（ ）模块和检查模块可以直接在第三方的安全和网络设备中运行第二， ：可以使用在 和 组件间配置事务第三开放的工业标准协议，支持 和 标准。第四，可以使用 高级脚本语言。实时报警可以对用户在网络中的活动情况进行记录，如对用户入退网时间、传送的字节数、传送的包数量等进行记录。同时 提供实时的报警功能，报警方式可以是通知系统管理员、发送- 、发送 给其他网络系统或激活用户定义的报警方式，如：接入寻呼机等。

允许系统管理员对选择的连接进行记帐处理。一旦定义了记帐功能后， 在通常的记录字段信息外，还记录用户连接的持续时间，传送的字节数、包数量系统管理员可以用命令生成记帐报表也可以通过的安全机制（加密和认证）把记帐信息转入第三方的报表使用程序或数据库中。附：典型使用图例图1localnetMailIntranetFTP.localn&tInternalFireWalIhttpFireWalled图1localnetMailIntranetFTP.localn&tInternalFireWalIhttpFireWalledlocaln&tFireWalledGateway品RouterInternetMailServerHTTPSarverDMZlocaln&tFireWalledGateway品RouterInternetMailServerHTTPSarverExternalServicesNeiwcrk防火墙系统的局限性防火墙能有效地防止外来的入侵，但是所有的防火墙都不能作到：jj）停止所有外部入侵；kk）完全不能阻止内部袭击；11）防病毒；mm）终止有经验的黑客；nn）提供完全的网络安全性。因此，仅仅在 入口处部署防火墙，实际上是一个不完整的安全解决方案，从总体上系统还应该具备防病毒和防黑客的功能。

防病毒的整体解决方案病毒防护的必要性和发展趋势众所周知，计算机病毒对生产的形响可以称得上是灾难性的。尽管人类已和计算机病毒斗争了数年，并已取得了可喜的成绩，但是随着 的发展，计算机病毒的种类急聚增多，扩散速度大大加快，对企业及个人用户的破坏性加大。和生物病毒类似，计算机病毒也具有灾难性的形响。就其本质而言，病毒只是一种具有自我复制能力的程序。目前，许多计算机病毒都具有特定的功能，而远非仅仅是自我复制。其功能（常称为 ）可能无害，如，只是在计算机的监视器中显示消息，也可能有害，如毁坏系统硬盘中所存储的数据，一旦被触发器（比如：特定的组合键击、特定的日期或预定义操作数）触发，就会引发病毒。随着计算机技术的不断发展，病毒也变得越来越复杂和高级。最近几年，病毒的花样层出不穷，如宏病毒和变形病毒。变形病毒每次感染新文件时都会发生变化，因此显得神秘莫测。只要反病毒软件搜索到病毒的“标记”（病毒所特有的代码段），那么，反病毒软件也能检测到每次感染文件就更改其标记的变形病毒。宏病毒主要感染文档和文档模板。几年前，文档文件都不含可执行代码，因此不会受病毒的感染，现在，使用软件，如 和已经嵌入了宏命令，病毒就可以通过宏语言来感染由这些软件创建的文档。由于 的迅快发展，将文件附加在电子邮件中的能力不断提高以及世界对计算机的依赖程度不断提高，使得病毒的扩散速度也急骤提高，受感染

的范围越来越广，据 调查，在年中，只有约 的企业受到过病毒的攻击，但是在年中，就有约 的企业受到病毒的攻击，也就是说几乎没有那一家企业可以逃脱病毒的攻击。而且感染方式也由主要从软盘介质感染转到了从网络服务器或 感染。同样据调查，在年只有 的病毒是通过电子邮件，服务器或 下载来感染的，但到年，这一比例就达到 的赛门铁克公司全方位防病毒解决方案在本系统中采取的安全措施主要考虑外部网络安全性，但由于病毒的极大危害及特殊性，建议也在其内部网络布署防病毒系统。基于以上这些情况，我们认为可能会受到来自于多方面的病毒威胁，包括来自 网关上、和分部网段上，为了免受病毒所造成的损失，建议采用多层的病毒防卫体系。所谓多层病毒防卫体系，是指在每个台式机上要安装台式机的反病毒软件，在服务器上要安装基于服务器的反病毒软件，在 网关上要安装基于 网关的反病毒软件，因为防止病毒的攻击是每个员工的责任，人人都要做到自己使用的台式机上不受病毒的感染，从而保证整个企业网不受病毒的感染。详细描述参见本公司编写的《赛门铁克产品方案》之 章节。防火墙和防病毒安全体系中，防御和攻击都是一个“道高一尺、魔高一丈”的过程，因此要求安全产品具备学习和升级的能力。

赛门铁克的是最全面的病毒防护产赛门铁克的是最全面的病毒防护产品。oo）和 全面的技术合作伙伴公司在关于放火墙防毒领域方面和 达成了统一的战略同盟伙伴的关系。因此 和 的组合无疑是网络安全方案的最佳选择。pp）全面的防护诺顿防火墙杀毒软件可以运行和防火墙上；扫描 、 、以及用户可以配置的防火墙协议扫描、自展开I 编码的文件。的专利 技术甚至能够检测到最为隐蔽的变种病毒。qq）没有性能的影响诺顿防火墙杀毒软件仅仅扫描可以的网络流量，因此对网络的性能几乎没有什么影响。系统管理员可以通过在防火墙分别为每个 协议添加一个服务器来管理和控制网络流量负载°rr）最大程度的管理灵活性支持基于 界面的远程管理。使系统管理员可以验证、检查、或修复已经感染的文件，同时还可以根据扩展文件类型配置扫描参数。ss）简便更新病毒描述数据保持病毒描述数据自动更新而无需中断当前的工作一通过软件可以自动或定期地进行简便更新服务。

安全产品的平台建议防病毒产品这里推荐的是赛门铁克公司的 防病毒产品，详细描述参见本公司编写的《赛门铁克产品方案》之 章节。防火墙产品一目前是防火墙技术的主导产品，它可以统一管理 访问和信息发布，可以为分支网络和远程用户的访问提供安全保障，提供虚拟专用网络功能，在公用网络上实现安全信息通道。它的 平台更可以让用户轻松集成防病毒、内容过滤、入侵检测、用户认证、日志分析等网络安全各个方面的产品，真正为网络互联以及大型企、事业网络服务提供集中、安全管理安全产品升级安全系统中，每天都会有新的病毒产生，新的入侵者采用新的方法攻击网络，因此安全产品需要不断的学习和升级，来对付各种形式的危害。所以，安全产品的升级也是网络安全的一个重要组成部分。防病毒系统的升级由于防病毒的工作是一个长期的工作，世界上每十分钟就有新的病毒出现，因此，必须有效的升级服务。详细描述参见本公司编写的《赛门铁克产品方案》之章节。

详细描述参见本公司编写的《赛门铁克产品方案》之章节。入侵检测系统和防火墙产品的升级这两类产品的升级为二年内免费升级，并享受长期的升级支持。本方案的扩充本方案根据安全需求，着重提出了外部网络安全方案。但从整体的安全角度来看，在以下三个方面还应考虑，可以作为远期目标考虑。加密和身份认证外部用户访问应有身份验证系统来验证这些访问者是不是真正授权进入的用户，并对访问的去全过程进行加密。这样才能保证外部网络的安全。内部网络安全内部网络即大楼内的三个局域网。有统计表明，对网络的攻击有来自内部。所以，我们建议在每个内部网络和路由器连接处也设置防火墙，并在内部网络设置入侵检测、风险评估、防病毒系统。作到内外防治相结合的全面防范体制。系统的安全目前总部将各分部看成是一个不信任的网络，但对系统而言，又需要从整体上考虑系统的安全性。建议从以下两个角度考虑：在总部和各分部之间实行加密和身份认证系统。

在总部和各分部之间实现。即在和未来的各分部的对应的防火在总部和各分部之间实现。即在和未来的各分部的对应的防火墙上统一配置，实现在不安全的公网（ ）建立安全的 通道。安全策略制度仅仅是采取各种技术来达到安全是不够的，作为安全系统的整体，需要从安全策略、安全意识、安全管理以及安全教育等多方面制定全面的规章制度从而实现系统的真正安全。总之，制定系统安全策略、安装网络安全系统只是网络系统安全性实施的第一步，只有当各级组织机构均严格执行网络安全的各项规定认真维护各自负责的分系统的网络安全性，才能保证整个系统网络的整体安全性。设计总结综上各章节所述，对信息网络系统采用了先进的安全产品，提供了全面主动的防御体系。其特点有：全面的防御体系我们所提供的安全建议书从全方面考虑了网络情况，采取了防病毒技术、入侵检测技术、风险评估技术等全面防御体系结构。先进的技术和产品产品均采用了最先进的技术结合而成。其无可比拟的性能会给网络营造安全的环境，保障数据的安全存储和传输。主动的防御体系防火墙、防病毒、以及防黑客之间可进行相互学习，协同工作，构成了主

动的网络安全防御体。4.综合布线设计根据综合考虑结构化布线设计情况，我们提出的方案均适应《结构化布线工程》所采用的集中式布线系统。通过实施结构化综合布线系统工程，达到高速度、整体化、全方位的总体目标，即达到：1计算机网和通讯网一体化；、楼内网（ ）和楼外网（ ）一体化；3布线材料质量上乘，高性能价格比。（ ）布线系统的地位如下图所示结构化综合布线系统 （ ）是网络系统必不可少的部分，它由六个子系统组成，它们是：工作区子系统水平布线子系统管理子系统

垂直子系统设备间子系统建筑群子系统根据以上六个子系统的设计思想，以下分别说明如下工作区子系统(WorkAreaSubsystem)工作区子系统由终端设备连接到信息插座之间的设备组成。信息插座由符合 标准的八芯模块化插座组成，它可以完成从建筑自控系统的弱电信号到高速数据网和数字话音信号等一切复杂信息的传送。本设计将采用系列 超五类信息插座和 对数据跳线和对语音跳线，共需套信息墙座、条数据跳线和条语音跳线，当然这些跳线也可以根据需要或计算机和电话的具体使用位置随时制作。水平子系统(HorizontalSubsystem)它的功能是将干线子系统线路延伸到用户工作区。水平子系统是布在同一层楼上的，一端接在信息插座上，另一端接在层配线间的跳线架上。当水平区间面积相当大时，在这个区间内可能有一个或多个卫星配线间，水平线除了要端接设备间之外，还要通过卫星配线间把终端接到信息出口处。设计采用超五类对芯 非屏蔽双绞线。该线缆是布线系统中最常用的传输介质，其最高传输速率可达 (五类线带宽，超五类线带宽)，可支持 传输模式和多媒体通信模

，超五类线带宽)，可支持 传输模式和多媒体通信模式，完全可以满足今后系统升级和扩展的需要。水平布线系统极为重要，它在最长米加上米跳线的距离上传输的数据率达到 b数据传输质量中的比特误差率主要根据电缆的衰减，近端串音和阻抗而定。定货总量长度 所需总长所需总长X Xn其中所需总长是指条布线电缆所需的理论长度所需总长X 为备用部分X为端接容差。TOC\o"1-5"\h\z定购双绞线时一般以箱为单位订购每箱双绞线长度为 米。图纸具体说明布线面积为： 主机房设定一楼（ 平方），楼层高预计为：米；本设计按标准预计每点平均线长为：平均线 ）米总线缆长平均线备用（ ）端接容差米 米整栋楼的用线量为：2 为信息点数 ♦箱箱管理子系统（AdministrationSubsystem）它是干线子系统和水平子系统的桥梁，同时又可为同层组网提供条件。其中包括双绞线跳线架、跳线和其它相关设备。在有光纤需要的布线系统中还应有光纤跳线架和光纤跳线和其它光纤设备。当终端位置或局域网结构变化时，只需改变跳线即可解决，而无需重新布线。银行楼层只有层，布线面积范围比较小，为系统管理统一，本设计将不

考虑设立管理子系统。垂直子系统或主干子系统（略）设备间子系统它是一个集中化设备区，连接系统公共设备，由通往各配线间的电缆、连接配线架、相关支撑硬件、防雷保护装置等构成。比较理想的是把程控交换机、计算主机、网络设备设计在同一层楼的相近房间，这样既便于管理，又节省投资。设备间子系统设在大楼楼（信息管理中心），安装”标准机柜，由系列口配线架、对排线架、数据语音跳线构成，可以灵活方便地连接服务器（ E交换机（ C 、路由器（ ）等网络设备，确保网络系统的灵活性、适应性和扩展性。建筑群子系统（略）系统集成方案网络产品选型在为兴业银行网络系统设备选型中考虑到，系统安全、数据的传输必须快速、及时，必须设计一个高带宽的网络以满足要求。基于以上考虑，并结合今后网络的发展趋势，我们对兴业银行网络系统结构进行如下设计：为每个站点配置独享 的网络端口采用集中式网络配置及网络管理网络主干采用的快速以太网或技术网络主干采用的快速以太网或技术通过 帧中继线路实现和视聆通网络的连接设计拟建网络采用交换式以太网作为网络骨干，连接到桌面微机。该方案采用系列交换机和设计拟建网络采用交换式以太网作为网络骨干，连接到桌面微机。该方案采用系列交换机和序列拨入服务器。本方案特点如下：采用交换机作为网络中心交换机。采用具有自测端口，可直接连接到桌面工作站。中心采用拨入服务器提供网络接入服务。路由器有个可接的端口，可支持个用户同时拨入。具有自测端口，可直接连接到桌面工作站。中心采用拨入服务器提供网络接入服务。路由器有个可接的端口，可支持个用户同时拨入。根据客户需求，在本期建设中，我们推荐采用以下服务器及配置：域控制器域控制器包括域主控制器和域备份控制器。主域控制器的功能包括：域帐户管理；帐户管理；网络系统管理。域备份控制器负责用户登录验证及帐户数据备份，在主域控制器失效时，自动升级为域主控制器，保持系统正常运转。主域控制器的配置如下：)D域备份控制器的配置如下略拨入服务器系列模块化访问路由器向中小型企业提供了一种一体化的远程访问方式。 路由器是这个系列的其中的一个产品。它以较低价位为要求严格的用户提供了企业级网络的功能和优异性能。它有个广域网插槽、个网络模块插槽，并配口接口网络模块，可接个

个网络模块插槽，并配口接口网络模块，可接个允许个用户同时拨入。是 公司提供的主流网络操作系统。它提供操作容易、管理方便的图形化截面，能在健壮、易用的平台上实现各种商务解决方案。同时它具有很好的可扩展性。支持数百个第三方数据库和开发工具。有完整的备份、容错功能。为银行、企业运作、电子商务和移动计算提供了广泛的可伸缩的解决方案。 提供了一个综合的平台，提供了一系列图形界面管理工具，是运行在 平台的最好的数据库产品。同时， 是第一个包含数据仓库的数据库产品。是一个全面的 协作使用服务器适合各种协作需求的友好使用。 协作使用的出发点是业界领先的消息交换基础，它提供了业界最强的扩展性、可靠性和安全性和最高的处理性能。 提供了包括从电子邮件、会议安排、团体日程管理、任务管理、文档管理、实时会议和工作流等丰富的协作使用，而所有的使用都可以通过 浏览器来访问。和 产品相结合，可以快速提供和实施强大的业务协作解决方案。备份软件（可选）：第二章、闭路监控系统系统设计概述

本系统共由支多种类型的彩色摄像机组成前端，中心主控制设备由一套硬盘录像系统组成。其中营业点设置高清晰度彩色摄像机（线），配上标准镜头，室外防护装置，严密监视来往人员，顾客和营业员工作情况。首层大堂.自助银行、二层办公室，使用一体化半球型全方位彩色摄像机单元，其体积小，隐蔽性好，外型美观，视角极广，清晰度高。中心监控设备由一套信号处理系统组成，其中包括：彩色八路硬盘录像机，彩色监视器，键盘等，本主控系统操作简便，每路实行实时监视，（帧秒）信息量保存率高。在监视时显示器大屏幕同时监视八支摄像机的画面，一目了然，当八画面其中一个摄像机发现非常情况时，经硬盘录像机控制后即可为单一画面,（ 帧秒）无动画感，图像放大，清晰。这样便解决了全面和定点的相统一。硬盘录像机在录像时，八画面信号在同一时间内八支摄像机信号同时录像，尽量使信号不丢失；在回放时可将所需要的任一信号实行单一画面回放。为分析案情提供清晰、高质量资料。整个系统设备紧凑、使用方便、功能全面、彩用许多新技术、新设备。可为用户提供满意的服务。备注：详细配置见报价第三章、防盗报警系统系统说明本系统是根据兴业银行室内布局而具体设计的，其配置了一台八防区控制主机（ ），紧急求救按钮个.玻璃破碎探测器个和波段双鉴探测器各个。

各紧急求救按钮.玻璃破碎探测器和波段双鉴探测器的具体分布情况为：首层--营业部内五个营业位各一个紧急按钮，大户室及大堂咨询处各一个紧急按钮；资料室.资料库.营业大厅.大堂咨询和消防通道各一个波段双鉴探测器；在资料室的窗户装一个玻璃破碎探测器。二层--在行长室、副行长室.行长助理室各装一个波段双鉴探测器和紧急按钮;在接待前厅装一个紧急按钮和一个波段双鉴探测器；在两个资料室和会议室各装一个波段双鉴探测器；行长助理室和杂物房的窗户各装一个玻璃破碎探测器。八防区控制主机报警位置显示屏和自动电话拨号机均装在监控室。紧急求救按钮均接在小时防区，即在白天控制主机处于撤防状态时只要按动按钮，便可通过主机发出报警信号。波段双鉴探测器和玻璃破碎探测器侧接于即时防区，在主机布防情况下，只要有人在其探测范围内走动或破坏玻璃，就会发出报警信号。当有报警发生时，位置显示屏指示报警位置，警号发出声光警示，并通过自动电话拨号机拨打预设的电话号码，播放录音留言以提示有警情发生。本系统配有蓄电池，以保证在停电时人们能正常工作，而且还有