网络平台建设所需的主要设备指南

（一）三层交换机

三层交换机（又称为核心交换机）就是具有部分路由器功能的交换机，工作在OSI（Open System Interconnection，开放系统互联）网络标准模型的第三层——网络层。核心交换机的最重要目的是加快大型局域网内部的数据交换，所具有的路由功能也是为该目的服务的，能够做到一次路由、多次转发。高校数字档案馆网络平台大多依托数字校园网络平台而建设，一般不需要配备路由器，但需要核心交换机来构建档案工作局域网。

出于安全和管理方便的考虑，主要是为了减小广播风暴的危害，必须把大型局域网按功能或地域等因素划成一个个较小的局域网，形成不同的VLAN（Virtual Local Area Network，虚拟局域网）。三层交换机是为IP（网络之间互联的协议，Internet Protocol）设计的，接口类型简单，拥有很强的二层包处理能力，非常适用于大型局域网内的数据路由与交换，它既可以工作在协议第三层替代或部分完成传统路由器的功能，同时又具有第二层交换的速度，且价格相对便宜些。^[9]简而言之，三层交换技术就是二层交换技术加上三层转发技术，适用于同一局域网内不同的VLAN之间数据的快速交换。

在数字校园建设中，一般会将三层交换机用在网络的核心层，用三层交换机上的万兆端口或千兆端口连接不同的子网及VLAN。处于校园网中的各个子网的互联以及档案局域网中VLAN间的路由功能，用三层交换机代替路由器完成数据交换，只有校园网中的计算机需要实现跨地域访问公众网中的网络时，才需通过校园网的路由器访问。

要说三层交换机在诸多网络设备中的作用，用“中流砥柱”来形容并不为过。在校园网中，骨干网、城域网骨干、汇聚层都有三层交换机的用武之地，尤其是核心骨干网一定要使用三层交换机，否则整个网络成千上万台的计算机都在一个子网中，不仅毫无安全可言，也会因为无法分割广播域而无法隔离广播风暴。如果采用传统的路由器，虽然可以隔离广播，但是性能又得不到保障，而三层交换机的性能非常高，既有三层路由存储转出的功能，又具有二层快速交换数据的网络速度。二层交换是基于局域网物理地址寻址，三层交换则是转发基于第三层地址的业务流，除了必要的路由寻址决定过程外，大部分数据转发过程由二层交换处理，提高了数据包转发的效率。

三层交换机通过使用硬件交换实现了IP的路由功能，其优化的路由软件使得路由过程效率提高，解决了传统路由器软件路由的速度问题。因此可以说，三层交换机具有“路由器的功能、交换机的性能”。同一网络上的计算机如果超过一定数量（通常在200台左右，视通信协议而定），就很可能会因为网络上大量的广播而导致网络传输效率低下。为了避免在大型交换机上进行广播所引起的广播风暴，可将其进一步划分为多个VLAN。如果使用三层交换机上的万兆端口或千兆端口连接不同的子网、VLAN，在保持性能的前提下，经济实惠地解决了子网划分之后子网之间必须依赖路由器进行通信的问题，因此三层交换机是组建连接局域网子网之间的理想设备。^[10]

选择三层交换机时一般会考虑背板带宽、包转发率和端口数等性能指标。背板是交换机输入端和输出端之间的物理通道，背板带宽是交换机接口处理器或接口卡和数据总线间所能吞吐的最大数据量，背板带宽越宽，交换机数据处理速度就越快，数据包转发延迟越小，性能越优越。包转发率是指交换机每秒可以转发多少百万个数据包（Mpps），即交换机能同时转发的数据包的数量。包转发率以数据包为单位体现交换机的交换能力，包转发率的数值表示交换机转发数据包能力的大小，是用来衡量网络设备转发数据能力的标准。交换机设备的端口数量是交换机最直观的衡量因素，通常此参数是针对固定端口交换机而言，常见的标准的固定端口交换机端口数有8、12、16、24、48等几种。高校档案馆一般选择三层交换机（核心交换机）组建档案局域网平台应考虑的技术参数如下表所示。

组建高校档案局域网推荐参考的核心交换机技术参数表

（二）接入层交换机/二层交换机

通常将网络中直接面向用户连接或访问网络的部分称为接入层，将位于接入层和核心层之间的部分称为汇聚层。接入交换机一般用于直接连接电脑，汇聚交换机一般用于楼宇间。现在随着交换机设备的普及和综合布线的广泛应用，在进行校园网络平台建设时，往往使用二层交换机作为接入层交换机，直接上联核心交换机（三层交换机），下联计算机，省略使用汇聚层交换机（楼层交换）。

二层交换机工作于OSI模型的第二层——数据链路层，故而称为二层交换机。二层交换技术的发展已经比较成熟，二层交换机属数据链路层设备，可以识别数据帧中的MAC（Media Access Control Address，以太网卡物理地址）地址信息，根据MAC地址进行转发，并将这些MAC地址与对应的端口记录在自己内部的一个地址表中。^[11]二层交换机可以对多端口的数据进行同时交换，一定程度上能减轻上联核心交换机的转发数据压力，提升网络速度。二层交换机的选择较为简单，一般也会考虑交换容量、包转发率、端口数和支持VLAN数量等重要的性能指标。

（三）防火墙

防火墙是网络安全的保障，可以实现内部可信任网络与外部不可信任网络（公众网）之间或内部网络不同区域之间的隔离与访问控制，阻止外部网络中的恶意程序访问内部网络资源，防止更改、复制、损坏用户的重要信息。防火墙是一种网络安全保障方式，主要目的是通过检查入、出一个网络的所有连接，来防止某个需要保护的网络遭受外部网络的干扰和破坏。从逻辑上讲，防火墙是一个分离器、限制器、分析器，可有效地检查内部网络和外部网络之间的任何活动，从物理上讲，防火墙是集成在网络特殊位置的一组硬件设备，放置在交换机、计算机之间的硬件系统或软件系统。^[12]

对于高校数字档案馆建设工作来说，需要跨部门、跨区域工作，与多个业务系统存在数据交互，用户较为复杂，为确保档案数据的信息安全，应当配备防火墙来为数字档案馆构造安全保护屏障，否则一旦发生网络攻击，轻则导致应用系统陷入瘫痪，重则导致档案数字资源丢失、敏感信息泄露。

（四）漏洞扫描、入侵检测、安全审计等网络安全设施(www.xing528.com)

根据《数字档案馆系统测试办法》（档办发〔2014〕6号）和《档案信息系统安全保护基本要求》（档办发〔2016〕1号）等档案行业管理办法，数字档案馆建设需要配备必要的防火墙、漏洞扫描、入侵检测、安全审计等网络安全设施。

漏洞扫描是指对目标网络或者目标主机进行安全漏洞检测与分析，发现存在的可能被攻击者利用的漏洞。当前的漏洞扫描技术主要是基于特征匹配原理，漏洞扫描器通过检测目标主机不同端口开放的服务，记录其应答，然后与漏洞库进行比较，如果满足匹配条件，则认为存在安全漏洞。漏洞扫描技术中，漏洞库的定义精确与否直接影响到最后的扫描结果。^[13]漏洞扫描技术是一类重要的网络安全技术。它和防火墙、入侵检测系统互相配合，能够有效提高网络的安全性。通过对网络的扫描，网络管理员能了解网络的安全设置和运行的应用服务，及时发现安全漏洞，客观评估网络风险等级。网络管理员能根据扫描的结果更正网络安全漏洞和系统中的错误设置，在黑客攻击前进行防范。如果说防火墙和网络监视系统是被动的防御手段，那么安全扫描就是一种主动的防范措施，能有效避免黑客攻击行为，做到防患于未然。

当越来越多的业务向互联网转移的时候，网络安全作为一个无法回避的问题呈现在人们面前。传统上，一般采用防火墙作为安全的第一道防线。而随着攻击者知识的日趋成熟，攻击工具与手法的日趋复杂多样，单纯的防火墙策略已经无法满足对安全高度敏感的部门的需要，网络的防卫必须采用一种纵深的、多样的手段。与此同时，当今的网络环境也变得越来越复杂，各式各样的复杂的设备，需要不断升级、补漏的系统使得网络管理员的工作不断加重，不经意的疏忽便有可能造成重大的安全隐患。利用防火墙，通常能够在内外网之间提供安全的网络保护，降低了网络安全风险。但是，仅仅使用防火墙，信息安全还远远不够，入侵者可寻找防火墙背后可能散开的后门，入侵者可能就在防火墙内，由于性能的限制，防火墙通常不能提供实时的入侵检测能力。如何识别未经授权而使用计算机系统的非法用户和那些对系统有访问权限但滥用其特权的用户，就需要进行入侵检测。

入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。入侵检测被认为是防火墙之后的第二道安全闸门，提供对内部攻击、外部攻击和误操作的实时保护。这些都是通过它执行以下任务来实现的：

（1）监视、分析用户及系统活动，查找非法用户和合法用户的越权操作。

（2）系统构造和弱点的审计，并提示管理员修补漏洞。

（3）识别、反映已知进攻的活动模式并向相关人士报警，能够实时对检测到的入侵行为进行反应。

（4）异常行为模式的统计分析，发现入侵行为的规律。

（5）评估重要系统和数据文件的完整性，如计算和比较文件系统的校验。

（6）操作系统的审计跟踪管理，并识别用户违反安全策略的行为。^[14]

入侵检测（Intrusion Detection），顾名思义，便是对入侵行为的发觉。它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统（Intrusion Detection System，IDS）。与其他安全产品不同的是，入侵检测系统需要更多的智能，它必须可以将得到的数据进行分析，并得出有用的结果。一个合格的入侵检测系统能大大简化管理员的工作，保证网络安全地运行。具体说来，入侵检测系统的主要功能有监测并分析用户和系统的活动、核查系统配置和漏洞、评估系统关键资源和数据文件的完整性、识别已知的攻击行为、统计分析异常行为和操作系统日志管理，并识别违反安全策略的用户活动。^[15]

安全审计主要是指对系统中与安全有关的活动的相关信息进行识别、记录、存储和分析。信息安全审计的记录用于检查网络上发生了哪些与安全有关的活动，哪个用户对这个活动负责。审计系统是一种为事后观察、分析操作或安全违规事件提供支持的系统，它广泛地存在于操作系统、数据库系统和应用系统中，记录、分析并报告系统中的普通或安全事件。审计系统的重要性不止于此，它还是IDS、数字取证、网络安全管理等信息安全系统的基本构件之一。日志（Logging）和审计（Auditing）是两个紧密相关的概念。日志记录可以由任何系统或应用生成，记录了这些系统或应用的事件和统计信息，反映了它们的使用情况和性能情况。审计系统一般是专门的系统或子系统，审计的输入可以是日志，也可以是相应事件的直接报告，根据它们，审计系统一方面生成审计记录，提供更清晰、更简捷、更易于理解的系统事件和统计信息，另一方面记录所定义的审计事件的发生情况。一般审计结果的存放受到系统的一定保护，它们比普通日志文件更安全、更结构化、格式更统一，但可能需要专门的工具读取。审计系统需要能够确定记录哪些事件和统计信息以及如何进行审计的问题，也需要按照系统安全策略确定的原则进行配置。不同审计系统的构造存在差异，但审计系统需要解决以下几方面的问题：审计事件确定、事件记录、记录分析和系统管理。它们分别完成记录事件和统计信息、数据分析和结果报告的任务。^[16]

对于大部分高校来说，可能只能配备核心交换机、接入层交换机和防火墙等设备，漏洞扫描、入侵检测、安全审计等网络安全设施更多需要借助数字校园网络建设的力量才能配备，需要学校网络管理部门更多的支持和VPN等技术的大量应用。“安全无小事”，特别是对于档案安全来说，即使配备了防火墙、漏洞扫描、入侵检测和安全审计等网络安全设施，最重要的是档案工作人员要有档案信息安全意识，为防止档案文件信息被泄露、篡改和破坏，需要构建数字档案馆系统及其安全体系、管理制度和可靠稳定的安全防护系统来保证数字档案信息的可靠、可用、不泄密和不被非法更改，确保电子档案信息的真实性、完整性、可用性、安全性。