?

采用浪潮英信服務(wù)器作主機(jī)

1、??? 軟件系統(tǒng)：
操作系統(tǒng)：WINGDOWS2000SERVER
數(shù)據(jù)庫：MS SQL Server2000
防火墻：天融信、諾頓防病毒軟件

2、??? 硬件系統(tǒng)：

????? 主機(jī)位置及帶寬：系統(tǒng)主機(jī)設(shè)在IDC主機(jī)房內(nèi)，通過100M帶寬光纖與CHINGANET骨干網(wǎng)相連接。

?

1.???? 建立全員安全意識(shí)，合理規(guī)劃信息安全

安全意識(shí)的強(qiáng)弱對(duì)于整個(gè)信息系統(tǒng)避免或盡量減小損失，乃至整個(gè)具備主動(dòng)防御能力的信息安全體系的搭建，都具有重要的戰(zhàn)略意義。我們首先建立起全員防護(hù)的環(huán)境。在意識(shí)上建立牢固的防患意識(shí)，并有足夠的資金支持，形成企業(yè)內(nèi)部的信息安全的共識(shí)與防御信息風(fēng)險(xiǎn)的基本常識(shí)，其次是選用安全性強(qiáng)的軟硬件產(chǎn)品，構(gòu)筑軟硬協(xié)防的安全體系，確保安全應(yīng)用。
?

2.???? 建立信息采集（來源）、審核、發(fā)布管理制度并結(jié)合關(guān)鍵字過濾系統(tǒng)，保障信息安全。采編部按照采編制度和相關(guān)互聯(lián)網(wǎng)規(guī)定，嚴(yán)格把關(guān)。
?

3.???? 涉密信息，包括在對(duì)外交往與合作中經(jīng)審查、批準(zhǔn)與外部交換的秘密信息，不得在連有外網(wǎng)的計(jì)算機(jī)信息系統(tǒng)中存儲(chǔ)、處理、傳遞。加強(qiáng)對(duì)計(jì)算機(jī)介質(zhì)（軟盤、磁帶、光盤、磁卡等）的管理，對(duì)儲(chǔ)存有秘密文件、資料的計(jì)算機(jī)等設(shè)備要有專人操作，采取必要的防范措施，嚴(yán)格對(duì)涉密存儲(chǔ)介質(zhì)的管理，建立規(guī)范的管理制度，存儲(chǔ)有涉密內(nèi)容的介質(zhì)一律不得進(jìn)入互聯(lián)網(wǎng)絡(luò)使用
?

4.?????? 建立系統(tǒng)保密措施，嚴(yán)格實(shí)行安全管理。系統(tǒng)的安全、帳號(hào)及權(quán)限的管理，責(zé)任到人；對(duì)系統(tǒng)軟件的管理；在系統(tǒng)維護(hù)過程中，產(chǎn)生的記錄：系統(tǒng)維護(hù)日志、系統(tǒng)維護(hù)卡片、詳細(xì)維護(hù)記錄。
?

5.?????? 對(duì)涉密信息實(shí)行加密、解密及管理，確保數(shù)據(jù)傳輸?shù)陌踩?br /> ?

6.?????? 建立數(shù)據(jù)庫的信息保密管理制度，保障數(shù)據(jù)庫安全。數(shù)據(jù)庫由專人管理并負(fù)責(zé)。
?

7.?????? 建立日志的跟蹤、記錄及查閱制度，及時(shí)發(fā)現(xiàn)和解決安全漏洞。

?

?

?

?

1.?????? 加強(qiáng)內(nèi)部網(wǎng)絡(luò)管理、監(jiān)測(cè)違規(guī)

(1)在強(qiáng)、弱電安全方面，采用雙路交流電供電形成電源冗余并配置UPS的設(shè)計(jì)方案保證強(qiáng)電安全，另外，采用避雷防電和放置屏蔽管道的方法來保證弱電線路(交換機(jī)、網(wǎng)線)的安全。?

(2)在IP資源管理方面，采用IP+MAC捆綁的技術(shù)手段防止用戶隨意更改IP地址和隨意更換交換機(jī)上的端口。通過網(wǎng)管中心的管理軟件，對(duì)該交換機(jī)遠(yuǎn)程實(shí)施Port?Security策略，將客戶端網(wǎng)卡MAC地址固定綁在相應(yīng)端口上。
　
(3)在網(wǎng)絡(luò)流量監(jiān)測(cè)方面，使用網(wǎng)絡(luò)監(jiān)測(cè)軟件對(duì)網(wǎng)絡(luò)傳輸數(shù)據(jù)協(xié)議類型進(jìn)行分類統(tǒng)計(jì)，查看數(shù)據(jù)、視頻、語音等各種應(yīng)用的利用帶寬，防止頻繁進(jìn)行大文件的傳輸，甚至發(fā)現(xiàn)病毒的轉(zhuǎn)移及傳播方向。?

(4)在違規(guī)操作監(jiān)控方面，對(duì)涉秘信息的處理，嚴(yán)禁“一機(jī)兩用”事件的發(fā)生。即一臺(tái)計(jì)算機(jī)同時(shí)聯(lián)接內(nèi)部網(wǎng)和互聯(lián)網(wǎng)，還包括輪流上內(nèi)部網(wǎng)和國際互聯(lián)網(wǎng)的情形，因此我們對(duì)每個(gè)客戶端安裝了監(jiān)控系統(tǒng)，實(shí)行電腦在線監(jiān)測(cè)、電腦在線登記、一機(jī)兩用監(jiān)測(cè)報(bào)警、電腦阻斷、物理定位等措施。?
?

2.?????? 管理服務(wù)器

應(yīng)用服務(wù)器安裝的操作系統(tǒng)為Windows系列,服務(wù)器的管理包括服務(wù)器安全審核、組策略實(shí)施、服務(wù)器的備份策略。?

服務(wù)器安全審核的范圍包括安全漏洞檢查、日志分析、補(bǔ)丁安裝情況檢查等，審核的對(duì)象是DC、Exchange?Server、SQL?Server、IIS等。?

在組策略實(shí)施時(shí)，使用軟件限制策略，即哪些內(nèi)部用戶不能使用哪個(gè)軟件，對(duì)操作用戶實(shí)行分權(quán)限管理。

服務(wù)器的備份策略包括系統(tǒng)軟件備份和數(shù)據(jù)庫備份兩部分，系統(tǒng)軟件備份擬利用現(xiàn)有的ARC?Server?專用備份程序，制定合理的備份策略，每周日晚上做一次完全備份，然后周一到周五晚上做增量備份或差額備份；定期對(duì)服務(wù)器備份工作情況進(jìn)行檢查（數(shù)據(jù)庫備份后面有論述）。
?

3.?????? 管理客戶端

(1)將客戶端都加入到域中，客戶端納入管理員集中管理的范圍。出于安全上的考慮，安裝win2000系列客戶端。?

(2)只給用戶以普通域用戶的身份登錄到域，因?yàn)槠胀ㄓ蛴脩舨粚儆诒镜谹dministrators和Power?Users組，這樣就可以限制他們?cè)诒镜赜?jì)算機(jī)上安裝大多數(shù)軟件。當(dāng)然為了便于用戶工作，通過本地安全策略措施，授予基本操作權(quán)利。?

(3)實(shí)現(xiàn)客戶端操作系統(tǒng)補(bǔ)丁程序的自動(dòng)安裝。

(4)實(shí)現(xiàn)客戶端防病毒軟件的自動(dòng)更新。

(5)利用SMS對(duì)客戶端進(jìn)行不定期監(jiān)控，發(fā)現(xiàn)不正常情況及時(shí)處理。
?

4.?????? 數(shù)據(jù)備份與冗余

考慮到綜合因素，采用如下數(shù)據(jù)備份和冗余方案：

(1)在網(wǎng)絡(luò)中心的異地機(jī)房建立單機(jī)+磁盤陣列的硬件環(huán)境，作為容災(zāi)異地在線備份點(diǎn)，安裝VERITAS的服務(wù)器端軟件。?

(2)在網(wǎng)絡(luò)中心的SQL?Server服務(wù)器、Lotus?Note?Mail服務(wù)器、Oracle服務(wù)器以及文件服務(wù)器上分別安裝VERITAS的相關(guān)客戶端Agent軟件。?

(3)在服務(wù)器上設(shè)置在線備份策略，每天凌晨1點(diǎn)自動(dòng)備份SQL數(shù)據(jù)庫、凌晨2點(diǎn)自動(dòng)備份Oracle數(shù)據(jù)庫、凌晨3點(diǎn)自動(dòng)備份郵件，主要用于系統(tǒng)層恢復(fù)后的數(shù)據(jù)加載。?

(4)采用本地硬件RAID?5對(duì)硬件級(jí)磁盤故障進(jìn)行保護(hù)。
?

5.?????? 數(shù)據(jù)加密

考慮到網(wǎng)絡(luò)上非認(rèn)證用戶可能試圖旁路系統(tǒng)的情況，如物理地“取走”數(shù)據(jù)庫，在通信線路上竊聽截獲。對(duì)這樣的威脅采取了有效方法：數(shù)據(jù)加密。即以加密格式存儲(chǔ)和傳輸敏感數(shù)據(jù)。發(fā)送方用加密密鑰，通過加密設(shè)備或算法，將信息加密后發(fā)送出去。接收方在收到密文后，用解密密鑰將密文解密，恢復(fù)為明文。如果傳輸中有人竊取，他只能得到無法理解的密文，從而對(duì)信息起到保密作用。
?

6.?????? 病毒防治措施

我們對(duì)防病毒軟件的要求是：能支持多種平臺(tái)，至少是在Windows系列操作系統(tǒng)上都能運(yùn)行；能提供中心管理工具，對(duì)各類服務(wù)器和工作站統(tǒng)一管理和控制；在軟件安裝、病毒代碼升級(jí)等方面，可通過服務(wù)器直接進(jìn)行分發(fā)，盡可能減少客戶端維護(hù)工作量；病毒代碼的升級(jí)要迅速有效。所以，綜合以上各種因素，我們選擇了SYMANTEC公司的Norton?Antivirus企業(yè)版。在實(shí)施過程中，本單位以一臺(tái)服務(wù)器作為中央控制一級(jí)服務(wù)器，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中所有計(jì)算機(jī)的保護(hù)和監(jiān)控，并使用其中有效的管理功能，如:?管理員可以向客產(chǎn)端發(fā)送病毒警報(bào)、強(qiáng)制對(duì)遠(yuǎn)程客戶端進(jìn)行病毒掃描、鎖定遠(yuǎn)程客產(chǎn)端等。正常情況下，一級(jí)服務(wù)器病毒代碼庫升級(jí)后半分鐘內(nèi)，客戶端的病毒代碼庫也進(jìn)行了同步更新。?
?

7.?????? 補(bǔ)丁更新與軟件分發(fā)

網(wǎng)絡(luò)安全防御不是簡(jiǎn)單的防病毒或者防火墻。只有通過提高網(wǎng)絡(luò)整體系統(tǒng)安全，才能讓病毒進(jìn)攻無門。然而提高網(wǎng)絡(luò)整體系統(tǒng)安全不僅僅是一個(gè)技術(shù)問題，更重要的是管理問題。

自動(dòng)分發(fā)軟件、升級(jí)補(bǔ)丁等工作是確保系統(tǒng)安全的關(guān)鍵步驟。我們使用微軟的Systems?Management?Server（SMS）和Software?Update?Service（SUS）軟件來自動(dòng)實(shí)現(xiàn)這一功能。?

(1)我們使用微軟的Software?Update?Service（SUS）解決運(yùn)行Windows操作系統(tǒng)的計(jì)算機(jī)免受病毒和黑客攻擊，將需要升級(jí)的軟件從Internet下載到公司Intranet的服務(wù)器上，并為公司內(nèi)的所有客戶端PC提供自動(dòng)升級(jí)，打上所有需要的“補(bǔ)丁”。?

(2)我們使用微軟Systems?Management?Server（SMS）進(jìn)行軟件分發(fā)、資產(chǎn)管理、遠(yuǎn)程問題解決等。