網(wǎng)絡(luò)與信息安全保護(hù)措施
評(píng)論: 更新日期:2018年10月10日
一���、 網(wǎng)絡(luò)安全保障措施
為了全面確保本公司網(wǎng)絡(luò)安全,在本公司網(wǎng)絡(luò)平臺(tái)解決方案設(shè)
計(jì)中���,主要將基于以下設(shè)計(jì)原則:
a安全性
在本方案的設(shè)計(jì)中���,我們將從網(wǎng)絡(luò)���、系統(tǒng)���、應(yīng)用、運(yùn)行管理�����、系統(tǒng)冗余等角度綜合分析�����,采用先進(jìn)的安全技術(shù),如防火墻��、加密技術(shù)�����,為
熱點(diǎn)網(wǎng)站提供系統(tǒng)�、完整的安全體系���。確保系統(tǒng)安全運(yùn)行���。
b高性能
考慮本公司網(wǎng)絡(luò)平臺(tái)未來(lái)業(yè)務(wù)量的增長(zhǎng)��,在本方案的設(shè)計(jì)中���,我們將從網(wǎng)絡(luò)、服務(wù)器�����、軟件�、應(yīng)用等角度綜合分析,合理設(shè)計(jì)結(jié)構(gòu)與配置
�,以確保大量用戶(hù)并發(fā)訪問(wèn)峰值時(shí)段��,系統(tǒng)仍然具有足夠的處理能力���,保障服務(wù)質(zhì)量。
c可靠性
本公司網(wǎng)絡(luò)平臺(tái)作為企業(yè)門(mén)戶(hù)平臺(tái)�,設(shè)計(jì)中將在盡可能減少投資的情況下,從系統(tǒng)結(jié)構(gòu)�、網(wǎng)絡(luò)結(jié)構(gòu)、技術(shù)措施�����、設(shè)施選型等方面綜合考慮
�����,以盡量減少系統(tǒng)中的單故障節(jié)點(diǎn)�,實(shí)現(xiàn)7×24小時(shí)的不間斷服務(wù)
d可擴(kuò)展性
優(yōu)良的體系結(jié)構(gòu)(包括硬件��、軟件體系結(jié)構(gòu))設(shè)計(jì)對(duì)于系統(tǒng)是否能夠適應(yīng)未來(lái)業(yè)務(wù)的發(fā)展至關(guān)重要���。在本系統(tǒng)的設(shè)計(jì)中�,硬件系統(tǒng)(如服務(wù)器
���、存貯設(shè)計(jì)等)將遵循可擴(kuò)充的原則�,以確保系統(tǒng)隨著業(yè)務(wù)量的不斷增長(zhǎng),在不停止服務(wù)的前提下無(wú)縫平滑擴(kuò)展��;同時(shí)軟件體系結(jié)構(gòu)的設(shè)計(jì)也
將遵循可擴(kuò)充的原則�����,適應(yīng)新業(yè)務(wù)增長(zhǎng)的需要���。
e開(kāi)放性
考慮到本系統(tǒng)中將涉及不同廠商的設(shè)備技術(shù)��,以及不斷擴(kuò)展的系統(tǒng)需求�,在本項(xiàng)目的產(chǎn)品技術(shù)選型中��,全部采用國(guó)際標(biāo)準(zhǔn)/工業(yè)標(biāo)準(zhǔn)���,使本
系統(tǒng)具有良好的開(kāi)放性��。
f先進(jìn)性
本系統(tǒng)中的軟硬件平臺(tái)建設(shè)�、應(yīng)用系統(tǒng)的設(shè)計(jì)開(kāi)發(fā)以及系統(tǒng)的維護(hù)管理所采用的產(chǎn)品技術(shù)均綜合考慮當(dāng)今互聯(lián)網(wǎng)發(fā)展趨勢(shì)���,采用相對(duì)先進(jìn)同時(shí)
市場(chǎng)相對(duì)成熟的產(chǎn)品技術(shù)�����,以滿(mǎn)足未來(lái)熱點(diǎn)網(wǎng)站的發(fā)展需求�����。
g系統(tǒng)集成性
在本方案中的軟硬件系統(tǒng)包括時(shí)力科技以及第三方廠商的優(yōu)秀產(chǎn)品�。我們將為滿(mǎn)拉網(wǎng)站提供完整的應(yīng)用集成服務(wù),使?jié)M拉網(wǎng)站將更多的資源集
中在業(yè)務(wù)的開(kāi)拓與運(yùn)營(yíng)中�����,而不是具體的集成工作中�����。
1�����、硬件設(shè)施保障措施:
重慶市滿(mǎn)拉科技發(fā)展有限公司的信息服務(wù)器設(shè)備符合郵電公用通信網(wǎng)絡(luò)的各項(xiàng)技術(shù)接口指標(biāo)和終端通信的技術(shù)標(biāo)準(zhǔn)��、電氣特性和通信方式等��,
不會(huì)影響公網(wǎng)的安全�。本公司租用重慶聯(lián)通的IDC放置信息服務(wù)器的標(biāo)準(zhǔn)機(jī)房環(huán)境,包括:空調(diào)��、照明�����、濕度�、不間斷電源、防靜電地板等��。重慶聯(lián)通為本公司服務(wù)器提供一條高速數(shù)據(jù)端口用以接入CHINANET網(wǎng)絡(luò)�。系統(tǒng)主機(jī)系統(tǒng)的應(yīng)用模式?jīng)Q定了系統(tǒng)將面向大量的用戶(hù)和面對(duì)大量的并發(fā)訪問(wèn),系統(tǒng)要求是高可靠性的關(guān)鍵性應(yīng)用系統(tǒng)�,要求系統(tǒng)避免任何可能的停機(jī)和數(shù)據(jù)的破壞與丟失���。系統(tǒng)要求采用最新的應(yīng)用服務(wù)器技術(shù)實(shí)
現(xiàn)負(fù)載均衡和避免單點(diǎn)故障��。
系統(tǒng)主機(jī)硬件技術(shù)
CPU:64位長(zhǎng)以上CPU�����,支持多CPU結(jié)構(gòu)�,并支持平滑升級(jí)。
服務(wù)器具有高可靠性���,具有長(zhǎng)時(shí)間工作能力��,系統(tǒng)整機(jī)平均無(wú)故障時(shí)間(MTBF)不低于100000小時(shí)�,系統(tǒng)提供強(qiáng)大的診斷軟件��,對(duì)系統(tǒng)進(jìn)行診斷
服務(wù)器具有鏡象容錯(cuò)功能�����,采用雙盤(pán)容錯(cuò)�,雙機(jī)容錯(cuò)。
主機(jī)系統(tǒng)具有強(qiáng)大的總線帶寬和I/O吞吐能力�,并具有靈活強(qiáng)大的可擴(kuò)充能力
配置原則
(1)處理器的負(fù)荷峰值為75%;
(2)處理器�、內(nèi)存和磁盤(pán)需要配置平衡以提供好效果;
(3)磁盤(pán)(以鏡像為佳)應(yīng)有30-40%冗余量應(yīng)付高峰�。
(4)內(nèi)存配置應(yīng)配合數(shù)據(jù)庫(kù)指標(biāo)。
(5)I/O與處理器同樣重要��。
系統(tǒng)主機(jī)軟件技術(shù):
服務(wù)器平臺(tái)的系統(tǒng)軟件符合開(kāi)放系統(tǒng)互連標(biāo)準(zhǔn)和協(xié)議��。
操作系統(tǒng)選用通用的多用戶(hù)�����、多任務(wù)winduws 2000或者Linux操作系統(tǒng)�����,系統(tǒng)應(yīng)具有高度可靠性���、開(kāi)放性���,支持對(duì)稱(chēng)多重處理(SMP)功能,支持包括TCP/IP在內(nèi)的多種網(wǎng)絡(luò)協(xié)議��。符合C2級(jí)安全標(biāo)準(zhǔn):提供完善的操作系統(tǒng)監(jiān)控�����、報(bào)警和故障處理���。應(yīng)支持當(dāng)前流行的數(shù)據(jù)庫(kù)系統(tǒng)和開(kāi)發(fā)工具�����。
系統(tǒng)主機(jī)的存儲(chǔ)設(shè)備:
系統(tǒng)的存儲(chǔ)設(shè)備的技術(shù)RAID0+1或者RAID5的磁盤(pán)陣列等措施保證系統(tǒng)的安全和可靠���。I/O能力可達(dá)6M/s���。
提供足夠的擴(kuò)充槽位。
系統(tǒng)的存儲(chǔ)能力設(shè)計(jì)
系統(tǒng)的存儲(chǔ)能力主要考慮用戶(hù)等數(shù)據(jù)的存儲(chǔ)空間�����、文件系統(tǒng)�、備份空間、測(cè)試系統(tǒng)空間�、數(shù)據(jù)庫(kù)管理空間和系統(tǒng)的擴(kuò)展空間。
服務(wù)器系統(tǒng)的擴(kuò)容能力
系統(tǒng)主機(jī)的擴(kuò)容能力主要包括三個(gè)方面:
性能�����、處理能力的擴(kuò)充-包括CPU及內(nèi)存的擴(kuò)充
存儲(chǔ)容量的擴(kuò)充-磁盤(pán)存儲(chǔ)空間的擴(kuò)展
I/O能力的擴(kuò)充,包括網(wǎng)絡(luò)適配器的擴(kuò)充(如FDDI卡和ATM卡)及外部設(shè)備的擴(kuò)充(如外接磁帶庫(kù)���、光盤(pán)機(jī)等)
2���、軟件系統(tǒng)保證措施:
操作系統(tǒng):Windows 2003 SERVER網(wǎng)絡(luò)操作系統(tǒng)
防火墻:CISCO PIX硬件防火墻
Windows 2003 SERVER 操作系統(tǒng)和美國(guó)微軟公司的windowsupdate站點(diǎn)升級(jí)站點(diǎn)保持?jǐn)?shù)據(jù)聯(lián)系,確保操作系統(tǒng)修補(bǔ)現(xiàn)已知的漏洞��。利用NTFS分區(qū)技術(shù)嚴(yán)格控制用戶(hù)對(duì)服務(wù)器數(shù)據(jù)訪問(wèn)權(quán)限�����。
操作系統(tǒng)上建立了嚴(yán)格的安全策略和日志訪問(wèn)記錄. 保障了用戶(hù)安全�、密碼安全、以及網(wǎng)絡(luò)對(duì)系統(tǒng)的訪問(wèn)控制安全��、并且記錄了網(wǎng)絡(luò)對(duì)系統(tǒng)的一切訪問(wèn)以及動(dòng)作�����。系統(tǒng)實(shí)現(xiàn)上采用標(biāo)準(zhǔn)的基于WEB中間件技術(shù)的三層體系結(jié)構(gòu)���,即:所有基于WEB的應(yīng)用都采用WEB應(yīng)用服務(wù)器技術(shù)來(lái)實(shí)現(xiàn)��。
中間件平臺(tái)的性能設(shè)計(jì):
可伸縮性:允許用戶(hù)開(kāi)發(fā)系統(tǒng)和應(yīng)用程序���,以簡(jiǎn)單的方式滿(mǎn)足不斷增長(zhǎng)的業(yè)務(wù)需求。
安全性:利用各種加密技術(shù)�,身份和授權(quán)控制及會(huì)話安全技術(shù),以及Web安全性技術(shù)��,避免用戶(hù)信息免受非法入侵的損害��。
完整性:通過(guò)中間件實(shí)現(xiàn)可靠���、高性能的分布式交易功能�����,確保準(zhǔn)確的數(shù)據(jù)更新���。
可維護(hù)性:能方便地利用新技術(shù)升級(jí)現(xiàn)有應(yīng)用程序���,滿(mǎn)足不斷增長(zhǎng)的企業(yè)發(fā)展需要。
互操作性和開(kāi)放性:中間件技術(shù)應(yīng)基于開(kāi)放標(biāo)準(zhǔn)的體系��,提供開(kāi)發(fā)分布交易應(yīng)用程序功能���,可跨異構(gòu)環(huán)境實(shí)現(xiàn)現(xiàn)有系統(tǒng)的互操作性�。能支持多
種硬件和操作系統(tǒng)平臺(tái)環(huán)境�。
網(wǎng)絡(luò)安全方面:
多層防火墻:根據(jù)用戶(hù)的不同需求,采用多層高性能的硬件防火墻對(duì)客戶(hù)托管的主機(jī)進(jìn)行全面的保護(hù)��。
異構(gòu)防火墻:同時(shí)采用業(yè)界最先進(jìn)成熟的 Cisco PIX 硬件防火墻進(jìn)行保護(hù)��,不同廠家不同結(jié)構(gòu)的防火墻更進(jìn)一步保障了用戶(hù)網(wǎng)絡(luò)和主機(jī)的安全��。
防病毒掃描:專(zhuān)業(yè)的防病毒掃描軟件,杜絕病毒對(duì)客戶(hù)主機(jī)的感染���。
入侵檢測(cè):專(zhuān)業(yè)的安全軟件�����,提供基于網(wǎng)絡(luò)、主機(jī)���、數(shù)據(jù)庫(kù)�����、應(yīng)用程序的入侵檢測(cè)服務(wù)��,在防火墻的基礎(chǔ)上又增加了幾道安全措施�����,確保用戶(hù)系統(tǒng)的高度安全�����。漏洞掃描:定期對(duì)用戶(hù)主機(jī)及應(yīng)用系統(tǒng)進(jìn)行安全漏洞掃描和分析�����,排除安全隱患�,做到安全防患于未然。CISCO PIX硬件防火墻運(yùn)行在CISCO交換機(jī)上層提供了專(zhuān)門(mén)的主機(jī)上監(jiān)視所有網(wǎng)絡(luò)上流過(guò)的數(shù)據(jù)包���,發(fā)現(xiàn)能夠正確識(shí)別攻擊在進(jìn)行的攻擊特征�。攻擊的識(shí)別是實(shí)時(shí)的�,用戶(hù)可定義報(bào)警和一旦攻擊被檢測(cè)到的響應(yīng)。此處��,我們有如下保護(hù)措施:全部事件監(jiān)控策略 此項(xiàng)策略用于測(cè)試目的��,監(jiān)視報(bào)告所有安全事件�����。在現(xiàn)實(shí)環(huán)境下面�,此項(xiàng)策略將嚴(yán)重影響檢測(cè)服務(wù)器的性能。攻擊檢測(cè)策略 此策略重點(diǎn)防范來(lái)自網(wǎng)絡(luò)上的惡意攻擊��,適合管理員了解網(wǎng)絡(luò)上的重要的網(wǎng)絡(luò)事件���。
協(xié)議分析 此策略與攻擊檢測(cè)策略不同�,將會(huì)對(duì)網(wǎng)絡(luò)的會(huì)話進(jìn)行協(xié)議分析,適合安全管理員了解網(wǎng)絡(luò)的使用情況���。
網(wǎng)站保護(hù) 此策略用于監(jiān)視網(wǎng)絡(luò)上對(duì)HTTP流量的監(jiān)視�����,而且只對(duì)HTTP攻擊敏感�。適合安全管理員了解和監(jiān)視網(wǎng)絡(luò)上的網(wǎng)站訪問(wèn)情況�����。Windows網(wǎng)絡(luò)保護(hù) 此策略重點(diǎn)防護(hù)Windows網(wǎng)絡(luò)環(huán)境�。會(huì)話復(fù)制 此項(xiàng)策略提供了復(fù)制Telnet, FTP, SMTP會(huì)話的功能�。此功能用于安全策略的定制。
DMZ監(jiān)控此項(xiàng)策略重點(diǎn)保護(hù)在防火墻外的DMZ區(qū)域的網(wǎng)絡(luò)活動(dòng)�。這個(gè)策略監(jiān)視網(wǎng)絡(luò)攻擊和典型的互聯(lián)網(wǎng)協(xié)議弱點(diǎn)攻擊,例如(HTTP,FTP,SMTP,POP和DNS)��,適合安全管理員監(jiān)視企業(yè)防火墻以外的網(wǎng)絡(luò)事件���。防火墻內(nèi)監(jiān)控 此項(xiàng)策略重點(diǎn)針對(duì)穿越防火墻的網(wǎng)絡(luò)應(yīng)用的攻擊和協(xié)議弱點(diǎn)利用��,適合防火墻內(nèi)部安全事件的監(jiān)視�。
數(shù)據(jù)庫(kù)服務(wù)器平臺(tái)
數(shù)據(jù)庫(kù)平臺(tái)是應(yīng)用系統(tǒng)的基礎(chǔ),直接關(guān)系到整個(gè)應(yīng)用系統(tǒng)的性能表現(xiàn)及數(shù)據(jù)的準(zhǔn)確性和安全可靠性以及數(shù)據(jù)的處理效率等多個(gè)方面。本系統(tǒng)對(duì)數(shù)據(jù)庫(kù)平臺(tái)的設(shè)計(jì)包括:數(shù)據(jù)庫(kù)系統(tǒng)應(yīng)具有高度的可靠性�����,支持分布式數(shù)據(jù)處理�����;支持包括TCP/IP協(xié)議及IPX/SPX協(xié)議在內(nèi)的多種網(wǎng)絡(luò)協(xié)議�;支持UNIX和MS NT等多種操作系統(tǒng),支持客戶(hù)機(jī)/服務(wù)器體系結(jié)構(gòu)��,具備開(kāi)放式的客戶(hù)編程接口��,支持漢字操作��;具有支持并行操作所需的技術(shù)(如:多服務(wù)器協(xié)同技術(shù)和事務(wù)處理的完整性控制技術(shù)等)���;支持聯(lián)機(jī)分析處理(OLAP)和聯(lián)機(jī)事務(wù)處理(OLTP)��,支持?jǐn)?shù)據(jù)倉(cāng)庫(kù)的建立�����;要求能夠?qū)崿F(xiàn)數(shù)據(jù)的快速裝載���,以及高效的并發(fā)處理和交互式查詢(xún)���;支持C2級(jí)安全標(biāo)準(zhǔn)和多級(jí)安全控制,提供WEB服務(wù)接口模塊�����,對(duì)客戶(hù)端輸出協(xié)議支持HTTP2.0��、SSL3.0等���;支持聯(lián)機(jī)備份�����,具有自動(dòng)備份和日志管理功能。
二��、信息安全保密管理制度
1��、 信息監(jiān)控制度:
(1)�、網(wǎng)站信息必須在網(wǎng)頁(yè)上標(biāo)明來(lái)源;(即有關(guān)轉(zhuǎn)載信息都必須標(biāo)明轉(zhuǎn)載的地址)
(2)、相關(guān)責(zé)任人定期或不定期檢查網(wǎng)站信息內(nèi)容��,實(shí)施有效監(jiān)控,做好安全監(jiān)督工作�;
(3)、不得利用國(guó)際互聯(lián)網(wǎng)制作��、復(fù)制�����、查閱和傳播一系列以下信息�����,如有違反規(guī)定有關(guān)部門(mén)將按規(guī)定對(duì)其進(jìn)行處理���;
A���、反對(duì)憲法所確定的基本原則的;
B���、危害國(guó)家安全���,泄露國(guó)家秘密,顛覆國(guó)家政權(quán)��,破壞國(guó)家統(tǒng)一的;
C��、損害國(guó)家榮譽(yù)和利益的��;
D�����、煽動(dòng)民族仇恨��、民族歧視��、破壞民族團(tuán)結(jié)的�����;
E���、破壞國(guó)家宗教政策,宣揚(yáng)邪教和封建迷信的���;
F���、散布謠言��,擾亂社會(huì)秩序�,破壞社會(huì)穩(wěn)定的��;
G��、散布淫穢�����、色情���、賭博���、暴力、兇殺���、恐怖或者教唆犯罪的���;
H、侮辱或者誹謗他人��,侵害他人合法權(quán)益的�;
含有法律���、行政法規(guī)禁止的其他內(nèi)容的。
2��、 組織結(jié)構(gòu):
設(shè)置專(zhuān)門(mén)的網(wǎng)絡(luò)管理員�����,并由其上級(jí)進(jìn)行監(jiān)督���、凡向國(guó)際聯(lián)網(wǎng)的站點(diǎn)提供或發(fā)布信息�,必須經(jīng)過(guò)保密審查批準(zhǔn)�。保密審批實(shí)行部門(mén)管理,有關(guān)單位應(yīng)當(dāng)根據(jù)國(guó)家保密法規(guī)��,審核批準(zhǔn)后發(fā)布��、堅(jiān)持做到來(lái)源不名的不發(fā)���、為經(jīng)過(guò)上級(jí)部門(mén)批準(zhǔn)的不發(fā)�����、內(nèi)容有問(wèn)題的不發(fā)�����、的三不發(fā)制度���。
對(duì)網(wǎng)站管理實(shí)行責(zé)任制對(duì)網(wǎng)站的管理人員,以及領(lǐng)導(dǎo)明確各級(jí)人員的責(zé)任�,管理網(wǎng)站的正常運(yùn)行,嚴(yán)格抓管理工作��,實(shí)行誰(shuí)管理誰(shuí)負(fù)責(zé)�。
三、用戶(hù)信息安全管理制度
一��、 信息安全內(nèi)部人員保密管理制度:
1��、 相關(guān)內(nèi)部人員不得對(duì)外泄露需要保密的信息���;
2�����、 內(nèi)部人員不得發(fā)布�����、傳播國(guó)家法律禁止的內(nèi)容��;
3���、 信息發(fā)布之前應(yīng)該經(jīng)過(guò)相關(guān)人員審核���;
4、 對(duì)相關(guān)管理人員設(shè)定網(wǎng)站管理權(quán)限�����,不得越權(quán)管理網(wǎng)站信息���;
5�����、 一旦發(fā)生網(wǎng)站信息安全事故�,應(yīng)立即報(bào)告相關(guān)方并及時(shí)進(jìn)行協(xié)調(diào)處理�����;
6、 對(duì)有毒有害的信息進(jìn)行過(guò)濾�����、用戶(hù)信息進(jìn)行保密�����。
二��、 登陸用戶(hù)信息安全管理制度:
1�����、 對(duì)登陸用戶(hù)信息閱讀與發(fā)布按需要設(shè)置權(quán)限�;
2�����、 對(duì)會(huì)員進(jìn)行會(huì)員專(zhuān)區(qū)形式的信息管理��;
3�����、 對(duì)用戶(hù)在網(wǎng)站上的行為進(jìn)行有效監(jiān)控,保證內(nèi)部信息安全��;
4�����、 固定用戶(hù)不得傳播��、發(fā)布國(guó)家法律禁止的內(nèi)容���。
?
