智能建筑是傳統(tǒng)建筑工程和信息技術相結合的產(chǎn)物，是指運用系統(tǒng)工程的觀點，將建筑物的結構（建筑環(huán)境結構）、系統(tǒng)（智能化系統(tǒng)）、服務（住戶、用戶需求服務）和管理（物業(yè)運行管理）4個基本要素進行優(yōu)化組合。指將4C技術（即Computer計算機技術、Control自動控制技術、Communication通信技術、CRT圖形顯示技術）和集成技術綜合應用于建筑物之中，在建筑物內(nèi)建立一個計算機綜合網(wǎng)絡，使建筑物智能化。 智能建筑的系統(tǒng)一般由如下元素構成：樓宇自動化系統(tǒng)（BAS）、通信自動化系統(tǒng)（CAS）和辦公自動化系統(tǒng)（OAS），三者通過結構化綜合布線系統(tǒng)（SCS）和計算機網(wǎng)絡技術進行有機集成。 一、一般智能建筑各系統(tǒng)及子系統(tǒng)的劃分及功用 1. 樓宇自動化系統(tǒng) BAS的功能是調(diào)節(jié)、控制建筑內(nèi)的各種設施，包括變配電、照明、通風、空調(diào)、電梯、給排水、消防、安保、能源管理等，檢測、顯示其運行參數(shù)，監(jiān)視、控制其運行狀態(tài)，根據(jù)外界條件、環(huán)境因素、負載變化情況自動調(diào)節(jié)各種設備，使其始終運行于最佳狀態(tài)；自動監(jiān)測并處理諸如停電、火災、地震等意外事件；自動實現(xiàn)對電力、供熱、供水等能源的使用、調(diào)節(jié)與管理，從而使工作或居住環(huán)境既安全可靠，又節(jié)約能源，而且舒適宜人。 2. 通信自動化系統(tǒng) CAS是保證建筑物內(nèi)傳輸語音、數(shù)據(jù)、圖像的基礎上，同時與外部通信網(wǎng)（如電話網(wǎng)、數(shù)據(jù)網(wǎng)、計算機網(wǎng)等）相連，與世界各地互通信息的系統(tǒng)。CAS主要由程控數(shù)字用戶交換機網(wǎng)（PABX）和有線電視網(wǎng)（CATV）兩大網(wǎng)構成。 3. 辦公自動化系統(tǒng) OAS分為辦公設備自動化系統(tǒng)和物業(yè)管理系統(tǒng)。辦公設備自動化系統(tǒng)具有數(shù)據(jù)處理、文字處理、郵件處理、文檔資料處理、編輯排版、電子報表和輔助決策等功能。對具有通信功能的多機事務處理型辦公系統(tǒng)，應能擔負起電視會議、聯(lián)機檢索和處理圖形、圖像、聲音等任務。 4. 結構化綜合布線系統(tǒng) SCS又稱綜合布線系統(tǒng)（PDS），它是建筑物或建筑群內(nèi)部之間的傳輸網(wǎng)絡。它把建筑物內(nèi)部的語音交換、智能數(shù)據(jù)處理設備及其廣義的數(shù)據(jù)通信設施相互連接起來，并采用必要的設備同建筑物外部數(shù)據(jù)網(wǎng)絡或電話局線路相連接。 5. 計算機網(wǎng)絡 智能建筑采用的網(wǎng)絡技術主要有以太網(wǎng)、FDDI網(wǎng)、異步傳輸模式（ATM）、綜合業(yè)務數(shù)字網(wǎng)（ISDN）等等。 隨著計算機技術的迅猛發(fā)展,建筑設計已經(jīng)實現(xiàn)了計算機化,為進一步提高工作效率、完善質(zhì)量、加強各部門之間以及同外部的信息交流與合作,需建立一個計算機網(wǎng)絡系統(tǒng),并通過該網(wǎng)絡,形成一個以資源共享和信息交換為核心,并能訪問internet的有機整體。本文中以杭州某政府指揮辦公大樓的計算機網(wǎng)絡系統(tǒng)為研究對象，分析其計算機網(wǎng)絡系統(tǒng)的組成及整體設計理念。 二．工程實例： 1． 計算機網(wǎng)絡系統(tǒng)目的 杭州某政府辦公大樓是實施整個所轄范圍建設管理的中心；計算機網(wǎng)絡系統(tǒng)除了滿足該大樓用戶日常辦公的基本應用，并支持高效、便捷的事務處理、信息管理和輔助的決策應用，實現(xiàn)該大樓辦公、電子政務、電子商務的信息化。在此基礎上，還應大力推進整個系統(tǒng)的應用水平，使該大樓的辦公自動化建設和應用推進到新的更高水平，為提高工作效率、加快整個所轄城區(qū)建設發(fā)揮更大的效益。在滿足上述應用需求的同時，還應考慮到大樓與整個轄區(qū)建設單位間地聯(lián)系和溝通。 2.實現(xiàn)過程中具體要求 2.1 在大樓計算機網(wǎng)絡系統(tǒng)規(guī)劃設計過程中，需要注重網(wǎng)絡平臺、應用體系、數(shù)據(jù)庫體系和安全體系的規(guī)劃和建設： a. 網(wǎng)絡平臺：支持多媒體信息傳輸，能靈活調(diào)試網(wǎng)絡資源，有較完備的網(wǎng)管功能，有切換到備份系統(tǒng)的能力，有安全防范和審計分析能力。 b. 應用體系：重點建設好全局性的、自上而下的網(wǎng)上應用項目，包括公文流轉和信息交換；主要辦公業(yè)務基本實現(xiàn)網(wǎng)絡化和無紙化；可開放的各類靜態(tài)數(shù)據(jù)庫全部實現(xiàn)資源共享；安全、保密和可靠的內(nèi)部多媒體通信系統(tǒng)；建立支持公共政策分析和辦公決策系統(tǒng)。 c. 數(shù)據(jù)庫系統(tǒng)：建立分布式的安全可靠的數(shù)據(jù)庫體系；擁有高效的信息采集、分析、整理、數(shù)據(jù)備份和恢復功能；建立適應信息共享標準的各類數(shù)據(jù)庫實體。 d. 安全體系：建立標準統(tǒng)一、分級管理、適應應用需要、切實可行的網(wǎng)絡安全保障體系。 2.2 隨著系統(tǒng)的不斷發(fā)展，為了適應新的數(shù)據(jù)庫系統(tǒng)和應用系統(tǒng)不斷走向大規(guī)模集成化，系統(tǒng)的網(wǎng)絡傳輸頻寬的不斷增強，以及系統(tǒng)的不斷升級和以后大數(shù)據(jù)量處理的要求。在整個計算機網(wǎng)絡系統(tǒng)設計中，充分考慮到以下幾個方面的特點和要求： a. 大容量、高速率：因為大樓的計算機網(wǎng)絡系統(tǒng)是面向大樓內(nèi)的用戶的日常辦公和各種專業(yè)數(shù)據(jù)及多媒體信息交流的網(wǎng)絡，因此參與網(wǎng)絡應用的數(shù)據(jù)量將會比較大。 先進成熟的產(chǎn)品技術：便于升級，保護大樓各階段的投資。 靈活性和可擴充性：整個計算機網(wǎng)絡系統(tǒng)需要靈活地根據(jù)實際情況的變化進行調(diào)整，并且有充分的發(fā)展?jié)摿?，以適應未來網(wǎng)絡范圍擴大、信息點增多以及業(yè)務升級的需要。 b. 信息結構多樣化：大樓內(nèi)的主要應用有：電子信息、信息管理和遠程通訊等三大部分。因此，需要滿足多種類型數(shù)據(jù)對網(wǎng)絡傳輸?shù)牟煌|(zhì)量需求。 c. 完善的監(jiān)控、管理手段：便于及時發(fā)現(xiàn)問題，及早解決問題。 d. 安全可靠：大樓的計算機網(wǎng)絡中有大量關于內(nèi)部業(yè)務信息管理的重要數(shù)據(jù)，不論是被損壞、丟失還是被竊取，都將帶來重大的損失。因此，對網(wǎng)絡的安全、可靠性應做出充分的考慮。 e. 高度的可用性：整個系統(tǒng)容易安裝，容易維護，易于管理。 f. 高性價比：大樓的計算機網(wǎng)絡系統(tǒng)應具有很高的性能價格比，并有較強的可擴展性。 3.系統(tǒng)的設計與產(chǎn)品的選擇： 計算機網(wǎng)絡系統(tǒng)作為大樓日常辦公、智能化管理建設的基礎組成部分，在選擇網(wǎng)絡設備的廠商時需要注意到：計算機技術發(fā)展迅速，變化很快，公司之間的兼并、收購、重組頻繁等問題。一旦這種情況發(fā)生，在產(chǎn)品升級換代、現(xiàn)有產(chǎn)品維修和售后服務等方面都會不可避免地出現(xiàn)麻煩。 因此，在方案中大樓的網(wǎng)絡交換產(chǎn)品全部按照Enterasys Networks （凱創(chuàng)網(wǎng)絡）網(wǎng)絡設備設計；主要是因為：凱創(chuàng)網(wǎng)絡公司是專業(yè)的全系列網(wǎng)絡產(chǎn)品供應商，其實力在整個IT產(chǎn)業(yè)都名列前茅。 3.1 系統(tǒng)劃分 大樓整個計算機網(wǎng)絡系統(tǒng)以目前國際流行的TCP/IP為基礎，采用OSI體系結構，遵循國際標準；整個計算機網(wǎng)絡系統(tǒng)采用星型拓撲結構。 在方案中，大樓整個計算機網(wǎng)絡系統(tǒng)按系統(tǒng)結構規(guī)劃為：局域網(wǎng)和廣域網(wǎng)兩個部分。廣域網(wǎng)主要由各種功能的路由器、應用服務器、網(wǎng)絡安全設備等組成。局域網(wǎng)按網(wǎng)絡層次分：可分為核心層和接入層。 核心層： 核心層網(wǎng)絡組成高速互聯(lián)的主干，由于核心層對網(wǎng)絡互連是至關重要的，因此核心層應具有高可靠性，并且應能快速適應網(wǎng)絡的變化；并支持硬件冗余和軟件的可升級。 接入層：接入層為用戶提供在局部網(wǎng)段訪問互連網(wǎng)絡的能力，直接與桌面計算機接入。實現(xiàn)VLAN劃分與安全控制。 這種層次的結構，不僅提高了整個網(wǎng)絡的可用性、可靠性，而且可以濾除網(wǎng)絡主干上不必要的流量，并為網(wǎng)絡管理與運行維護提供良好的基礎。 3.2 系統(tǒng)概述 在該大樓整個計算機網(wǎng)絡系統(tǒng)中，選配1臺Enterasys Networks公司Matrix E5作為整個系統(tǒng)的交換核心。 接入層選用Enterasys Networks公司Matrix VH2402交換機，為用戶提供高密度的10/100M接入。 3.2.1 主要配置 a 核心層配置 選配的Matrix E5核心交換機配置了雙主控板，電源系統(tǒng)采用N+1冗余熱備份，所有單板支持熱插拔，能夠滿足大樓對網(wǎng)絡核心的可靠性要求。 b. 接入層配置 選用Matrix VH2402作為大樓的接入層交換機，通過光纖與核心交換機提供2Gbps全雙工上行鏈路，為桌面提供10/100Mbps的交換速率。 為提供低成本、高性能桌面交換而設計的垂直地平線（Vertical Horizon）系列產(chǎn)品，為用戶提供10/100/1000Mbps方便的堆疊式的連接方案。Vertical Horizon產(chǎn)品提供的網(wǎng)絡特征包括：高速級聯(lián)、支持RMON、端口中繼、瞬間端口鏡像。 3.2.2. 網(wǎng)絡優(yōu)化技術 為了方便對大樓整個計算機網(wǎng)絡系統(tǒng)的有效維護和管理，同時在網(wǎng)絡擴展的情況下確保整體的高效和穩(wěn)定，建議在采用高速、高性能主干網(wǎng)絡設備的同時，利用VLAN劃分策略，根據(jù)設備實現(xiàn)功能、用戶組職能以及用戶級別將系統(tǒng)劃分成若干個虛擬子網(wǎng)。通過Qos機制進行按需的網(wǎng)絡流量控制，使重要的數(shù)據(jù)獲得更高的優(yōu)先級；將來通過增加模塊支持，可實現(xiàn)IP電話，視頻會議等功能。 3.2.3 VLAN虛擬網(wǎng)的應用 大樓中有多個單位、用戶和部門，因此需要通過虛擬局域網(wǎng)VLAN技術對整個計算機網(wǎng)絡系統(tǒng)進行有效、有目的地管理。 所謂虛擬局域網(wǎng)（VLAN）是指組網(wǎng)所依據(jù)的不是站點的物理位置，而是邏輯位置（MAC地址或IP地址）。即所謂“邏輯上相關而物理上分散”。大樓中的VLAN有以下幾個重要特征： a. 所有同一虛擬網(wǎng)的成員組成“獨立于物理位置而具有相同邏輯的廣播域”。 b. 一個虛擬網(wǎng)就有一個廣播域。這是指VLAN的所有成員都能接到由同一VLAN的其他成員發(fā)送來的每一個廣播包，但收不到不同VLAN的成員發(fā)送的廣播包。 c. 在一個VLAN內(nèi)用軟件來增加、移動和改變VLAN的成員，從而大大減少網(wǎng)絡管理的時間和費用。 d. 同一VLAN的成員之間的通信不需要路由的支持，而不同VLAN的成員之間的通信則需要路由的支持。 3.2.4 網(wǎng)絡安全技術 計算機網(wǎng)絡系統(tǒng)作為大樓各種辦公、通訊、自動化等的基礎，網(wǎng)絡系統(tǒng)的安全性、穩(wěn)定性和保密性顯得尤為重要。 在大樓整個計算機網(wǎng)絡系統(tǒng)的設計中，充分重視安全問題，盡可能的減少安全漏洞。此外在系統(tǒng)的調(diào)試階段，還可根據(jù)大樓不同的用戶需求提供不同的安全服務，同時最大限度地保證系統(tǒng)內(nèi)部某些資源的保密。 在大樓整個計算機網(wǎng)絡系統(tǒng)中，把網(wǎng)絡安全層，信息服務器安全層，數(shù)據(jù)庫安全層，信息傳輸安全層作為一個系統(tǒng)工程來考慮，以保障網(wǎng)絡服務的可用性和網(wǎng)絡信息的完整性；因此，網(wǎng)絡安全應包含以下幾個方面：數(shù)據(jù)安全； 預防病毒；網(wǎng)絡安全層； 操作系統(tǒng)安全； 安全系統(tǒng)等； 在安全方案的實施中，遵循和參照最新的、最權威的、最具有代表性的信息安全標準。這些安全標準包括： ISO/IEC 17799 Information technology–Code of practice for information security management ISO/IEC 13335 Information technology– Guidelines for The Management of IT Security ISO/IEC 15408 Information technology– Security techniques – Evaluation criteria for IT security 我國的國家標準GB、國家軍用標準GJB、公共安全行業(yè)標準GA、行業(yè)標準SJ等標準作為本項目的參考標準。 a. 安全設計： 針對大樓的實際使用情況，把大樓計算機網(wǎng)絡系統(tǒng)的安全劃分為六個層次：環(huán)境和硬件、網(wǎng)絡層、操作系統(tǒng)、數(shù)據(jù)庫層、應用層及操作層，并給出一個多層、系統(tǒng)的解決方案，為大樓提供一個安全、穩(wěn)定的計算機網(wǎng)絡系統(tǒng)。 b. 環(huán)境和硬件 為保護計算機設備、設施（含網(wǎng)絡）以及其它媒體免遭地震、水災、火災、有害氣體和其它環(huán)境事故（如電磁污染等）破壞，應采取適當?shù)谋Ｗo措施、過程。因此，在機房系統(tǒng)設計中嚴格根據(jù)機房建設的相關要求進行設計。 c. 防火墻技術 防火墻的目的是要在內(nèi)部、外部兩個網(wǎng)絡之間建立一個安全控制點，通過允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流，實現(xiàn)對進、出內(nèi)部網(wǎng)絡的服務和訪問的審計和控制。 實踐運用：在大樓的計算機網(wǎng)絡系統(tǒng)中，選配了一臺NPFW-200-P3中科網(wǎng)威高端百兆硬件防火墻，阻止來自網(wǎng)絡外部的惡意訪問和攻擊。NPFW-200-P3防火墻自配有3端口100BASE-TX，具有200Mbps吞吐量和150,000并發(fā)連接，它采用ASA自適應算法，確保最高的安全性，可以通過專用鏈路加密卡提供VPN的支持。 操作系統(tǒng)層安全：操作系統(tǒng)安全也稱主機安全，由于現(xiàn)代操作系統(tǒng)的代碼龐大，從而不同程度上都存在一些安全漏洞。一些廣泛應用的操作系統(tǒng)，如Unix，Window NT，其安全漏洞更是廣為流傳。另一方面，系統(tǒng)管理員或使用人員對復雜的操作系統(tǒng)和其自身的安全機制了解不夠，配置不當也會造成的安全隱患。 對操作系統(tǒng)這一層次需要功能全面、智能化的檢測，以幫助網(wǎng)絡管理員高效地完成定期檢測和修復操作系統(tǒng)安全漏洞的工作。大樓的系統(tǒng)管理員要不斷跟蹤有關操作系統(tǒng)漏洞的發(fā)布，及時下載補丁來進行防范，同時要經(jīng)常對關鍵數(shù)據(jù)和文件進行備份和妥善保存，隨時留意系統(tǒng)文件的變化。 數(shù)據(jù)庫層安全：許多關鍵的業(yè)務系統(tǒng)運行在數(shù)據(jù)庫平臺上，如果數(shù)據(jù)庫安全無法保證，其上的應用系統(tǒng)也會被非法訪問或破壞。 數(shù)據(jù)庫安全隱患集中在： 系統(tǒng)認證：口令強度不夠，過期帳號，登錄攻擊等。 系統(tǒng)授權：帳號權限，登錄時間超時等。 系統(tǒng)完整性：Y2K兼容，特洛伊木馬，審核配置，補丁和修正程序等。 　　 大樓還選用ISS 數(shù)據(jù)庫掃描器（DataBase Scanner），該產(chǎn)品可保護存儲在數(shù)據(jù)庫管理系統(tǒng)中的數(shù)據(jù)的安全。用戶可通過該產(chǎn)品自動生成數(shù)據(jù)庫服務器的安全策略，這是全面的企業(yè)安全管理的一個新的重要的領域。ISS 數(shù)據(jù)庫掃描器（DataBase Scanner）是世界上第一個也是目前唯一的一個針對數(shù)據(jù)庫管理系統(tǒng)風險評估的檢測工具、唯一提供數(shù)據(jù)庫安全管理解決方案的廠商。 Database Scanner具有靈活的體系結構，允許客戶定制數(shù)據(jù)庫安全策略并強制實施，控制數(shù)據(jù)庫的安全。用戶在統(tǒng)一網(wǎng)絡環(huán)境可為不同數(shù)據(jù)庫服務器制定相應的安全策略。一旦制定出安全策略，Database Scanner將全面考察數(shù)據(jù)庫，對安全漏洞級別加以度量的控制，并持續(xù)改善數(shù)據(jù)庫的安全狀況。 Database Scanner能通過網(wǎng)絡快速、方便地掃描數(shù)據(jù)庫，去檢查數(shù)據(jù)庫特有的安全漏洞，全面評估所有的安全漏洞和認證、授權、完整性方面的問題。 病毒的預防： 該大樓存在Unix服務器、Notes服務器、Windows NT應用服務器、Lotus Notes郵件和OA服務器和Windows95/98等聯(lián)網(wǎng)客戶機等，這種復雜的網(wǎng)絡環(huán)境下，以單機防毒為主的防病毒措施由于其沒有考慮軟件的集中管理功能，維護與管理的成本很大，總體效果不能令人滿意，特別是對防治近年來流行的網(wǎng)絡病毒的效果不好。因此，建議選用北京瑞星科技股份有限公司的瑞星殺毒軟件網(wǎng)絡版防病毒解決方案對大樓整個計算機網(wǎng)絡內(nèi)的各種計算機、服務器系統(tǒng)進行防護。 其中，系統(tǒng)中心是整個瑞星殺毒軟件網(wǎng)絡版網(wǎng)絡防病毒體系的信息管理和病毒防護的自動控制核心，它實時地記錄防護體系內(nèi)每臺計算機上的病毒監(jiān)控、檢測和清除信息，同時根據(jù)管理員控制臺的設置，實現(xiàn)對整個防護系統(tǒng)的自動控制。 3.2.5 電子政務等基礎平臺的構建 大樓基于計算機網(wǎng)絡系統(tǒng)的應用除內(nèi)部辦公應用外，還包含電子政務以及對整個大樓智能化的管理。因此，在本系統(tǒng)中搭建了電子政務以及物管的物理平臺，努力為提高工作效率、加快整個區(qū)建設發(fā)揮更大的效益。 電子政務是大樓政務信息化的具體表現(xiàn)，它主要包括三個組成部分： 大樓內(nèi)部的電子化和網(wǎng)絡化辦公；大樓內(nèi)的各部門與政府相關部門之間通過計算機網(wǎng)絡而進行的信息共享和實時通信；大樓用戶日常信息向外界的發(fā)布，WEB、MAIL、FTP等應用的建交。 大樓完整的電子政務平臺，應當是上述這三類系統(tǒng)的有機結合。因此，配置2臺應用服務器實現(xiàn)WEB、MAIL、FTP、BBS、TELNET等應用，大樓內(nèi)的用戶可以訪問應用服務器、INTERNET以及與相關單位的連接，而外界用戶只能訪問應用服務器，中科網(wǎng)威防火墻可以有效地阻止來自網(wǎng)絡外部的惡意訪問和攻擊。 另外，配置一臺較高性能的數(shù)據(jù)服務器，作為大樓內(nèi)部網(wǎng)絡化辦公的數(shù)據(jù)存儲、OA辦公自動化等的服務器，在計算機網(wǎng)絡系統(tǒng)的調(diào)試階段，將通過訪問列表、MAC地址過濾以及802.1x認證等技術有效地保證合法用戶對資源的合法使用和訪問。