?

采用浪潮英信服務(wù)器作主機

1、??? 軟件系統(tǒng)：
操作系統(tǒng)：WINGDOWS2000SERVER
數(shù)據(jù)庫：MS SQL Server2000
防火墻：天融信、諾頓防病毒軟件

2、??? 硬件系統(tǒng)：

????? 主機位置及帶寬：系統(tǒng)主機設(shè)在IDC主機房內(nèi)，通過100M帶寬光纖與CHINGANET骨干網(wǎng)相連接。

?

1.???? 建立全員安全意識，合理規(guī)劃信息安全

安全意識的強弱對于整個信息系統(tǒng)避免或盡量減小損失，乃至整個具備主動防御能力的信息安全體系的搭建，都具有重要的戰(zhàn)略意義。我們首先建立起全員防護的環(huán)境。在意識上建立牢固的防患意識，并有足夠的資金支持，形成企業(yè)內(nèi)部的信息安全的共識與防御信息風(fēng)險的基本常識，其次是選用安全性強的軟硬件產(chǎn)品，構(gòu)筑軟硬協(xié)防的安全體系，確保安全應(yīng)用。
?

2.???? 建立信息采集（來源）、審核、發(fā)布管理制度并結(jié)合關(guān)鍵字過濾系統(tǒng)，保障信息安全。采編部按照采編制度和相關(guān)互聯(lián)網(wǎng)規(guī)定，嚴(yán)格把關(guān)。
?

3.???? 涉密信息，包括在對外交往與合作中經(jīng)審查、批準(zhǔn)與外部交換的秘密信息，不得在連有外網(wǎng)的計算機信息系統(tǒng)中存儲、處理、傳遞。加強對計算機介質(zhì)（軟盤、磁帶、光盤、磁卡等）的管理，對儲存有秘密文件、資料的計算機等設(shè)備要有專人操作，采取必要的防范措施，嚴(yán)格對涉密存儲介質(zhì)的管理，建立規(guī)范的管理制度，存儲有涉密內(nèi)容的介質(zhì)一律不得進入互聯(lián)網(wǎng)絡(luò)使用
?

4.?????? 建立系統(tǒng)保密措施，嚴(yán)格實行安全管理。系統(tǒng)的安全、帳號及權(quán)限的管理，責(zé)任到人；對系統(tǒng)軟件的管理；在系統(tǒng)維護過程中，產(chǎn)生的記錄：系統(tǒng)維護日志、系統(tǒng)維護卡片、詳細維護記錄。
?

5.?????? 對涉密信息實行加密、解密及管理，確保數(shù)據(jù)傳輸?shù)陌踩?br /> ?

6.?????? 建立數(shù)據(jù)庫的信息保密管理制度，保障數(shù)據(jù)庫安全。數(shù)據(jù)庫由專人管理并負責(zé)。
?

7.?????? 建立日志的跟蹤、記錄及查閱制度，及時發(fā)現(xiàn)和解決安全漏洞。

?

?

?

?

1.?????? 加強內(nèi)部網(wǎng)絡(luò)管理、監(jiān)測違規(guī)

(1)在強、弱電安全方面，采用雙路交流電供電形成電源冗余并配置UPS的設(shè)計方案保證強電安全，另外，采用避雷防電和放置屏蔽管道的方法來保證弱電線路(交換機、網(wǎng)線)的安全。?

(2)在IP資源管理方面，采用IP+MAC捆綁的技術(shù)手段防止用戶隨意更改IP地址和隨意更換交換機上的端口。通過網(wǎng)管中心的管理軟件，對該交換機遠程實施Port?Security策略，將客戶端網(wǎng)卡MAC地址固定綁在相應(yīng)端口上。
　
(3)在網(wǎng)絡(luò)流量監(jiān)測方面，使用網(wǎng)絡(luò)監(jiān)測軟件對網(wǎng)絡(luò)傳輸數(shù)據(jù)協(xié)議類型進行分類統(tǒng)計，查看數(shù)據(jù)、視頻、語音等各種應(yīng)用的利用帶寬，防止頻繁進行大文件的傳輸，甚至發(fā)現(xiàn)病毒的轉(zhuǎn)移及傳播方向。?

(4)在違規(guī)操作監(jiān)控方面，對涉秘信息的處理，嚴(yán)禁“一機兩用”事件的發(fā)生。即一臺計算機同時聯(lián)接內(nèi)部網(wǎng)和互聯(lián)網(wǎng)，還包括輪流上內(nèi)部網(wǎng)和國際互聯(lián)網(wǎng)的情形，因此我們對每個客戶端安裝了監(jiān)控系統(tǒng)，實行電腦在線監(jiān)測、電腦在線登記、一機兩用監(jiān)測報警、電腦阻斷、物理定位等措施。?
?

2.?????? 管理服務(wù)器

應(yīng)用服務(wù)器安裝的操作系統(tǒng)為Windows系列,服務(wù)器的管理包括服務(wù)器安全審核、組策略實施、服務(wù)器的備份策略。?

服務(wù)器安全審核的范圍包括安全漏洞檢查、日志分析、補丁安裝情況檢查等，審核的對象是DC、Exchange?Server、SQL?Server、IIS等。?

在組策略實施時，使用軟件限制策略，即哪些內(nèi)部用戶不能使用哪個軟件，對操作用戶實行分權(quán)限管理。

服務(wù)器的備份策略包括系統(tǒng)軟件備份和數(shù)據(jù)庫備份兩部分，系統(tǒng)軟件備份擬利用現(xiàn)有的ARC?Server?專用備份程序，制定合理的備份策略，每周日晚上做一次完全備份，然后周一到周五晚上做增量備份或差額備份；定期對服務(wù)器備份工作情況進行檢查（數(shù)據(jù)庫備份后面有論述）。
?

3.?????? 管理客戶端

(1)將客戶端都加入到域中，客戶端納入管理員集中管理的范圍。出于安全上的考慮，安裝win2000系列客戶端。?

(2)只給用戶以普通域用戶的身份登錄到域，因為普通域用戶不屬于本地Administrators和Power?Users組，這樣就可以限制他們在本地計算機上安裝大多數(shù)軟件。當(dāng)然為了便于用戶工作，通過本地安全策略措施，授予基本操作權(quán)利。?

(3)實現(xiàn)客戶端操作系統(tǒng)補丁程序的自動安裝。

(4)實現(xiàn)客戶端防病毒軟件的自動更新。

(5)利用SMS對客戶端進行不定期監(jiān)控，發(fā)現(xiàn)不正常情況及時處理。
?

4.?????? 數(shù)據(jù)備份與冗余

考慮到綜合因素，采用如下數(shù)據(jù)備份和冗余方案：

(1)在網(wǎng)絡(luò)中心的異地機房建立單機+磁盤陣列的硬件環(huán)境，作為容災(zāi)異地在線備份點，安裝VERITAS的服務(wù)器端軟件。?

(2)在網(wǎng)絡(luò)中心的SQL?Server服務(wù)器、Lotus?Note?Mail服務(wù)器、Oracle服務(wù)器以及文件服務(wù)器上分別安裝VERITAS的相關(guān)客戶端Agent軟件。?

(3)在服務(wù)器上設(shè)置在線備份策略，每天凌晨1點自動備份SQL數(shù)據(jù)庫、凌晨2點自動備份Oracle數(shù)據(jù)庫、凌晨3點自動備份郵件，主要用于系統(tǒng)層恢復(fù)后的數(shù)據(jù)加載。?

(4)采用本地硬件RAID?5對硬件級磁盤故障進行保護。
?

5.?????? 數(shù)據(jù)加密

考慮到網(wǎng)絡(luò)上非認證用戶可能試圖旁路系統(tǒng)的情況，如物理地“取走”數(shù)據(jù)庫，在通信線路上竊聽截獲。對這樣的威脅采取了有效方法：數(shù)據(jù)加密。即以加密格式存儲和傳輸敏感數(shù)據(jù)。發(fā)送方用加密密鑰，通過加密設(shè)備或算法，將信息加密后發(fā)送出去。接收方在收到密文后，用解密密鑰將密文解密，恢復(fù)為明文。如果傳輸中有人竊取，他只能得到無法理解的密文，從而對信息起到保密作用。
?

6.?????? 病毒防治措施

我們對防病毒軟件的要求是：能支持多種平臺，至少是在Windows系列操作系統(tǒng)上都能運行；能提供中心管理工具，對各類服務(wù)器和工作站統(tǒng)一管理和控制；在軟件安裝、病毒代碼升級等方面，可通過服務(wù)器直接進行分發(fā)，盡可能減少客戶端維護工作量；病毒代碼的升級要迅速有效。所以，綜合以上各種因素，我們選擇了SYMANTEC公司的Norton?Antivirus企業(yè)版。在實施過程中，本單位以一臺服務(wù)器作為中央控制一級服務(wù)器，實現(xiàn)對網(wǎng)絡(luò)中所有計算機的保護和監(jiān)控，并使用其中有效的管理功能，如:?管理員可以向客產(chǎn)端發(fā)送病毒警報、強制對遠程客戶端進行病毒掃描、鎖定遠程客產(chǎn)端等。正常情況下，一級服務(wù)器病毒代碼庫升級后半分鐘內(nèi)，客戶端的病毒代碼庫也進行了同步更新。?
?

7.?????? 補丁更新與軟件分發(fā)

網(wǎng)絡(luò)安全防御不是簡單的防病毒或者防火墻。只有通過提高網(wǎng)絡(luò)整體系統(tǒng)安全，才能讓病毒進攻無門。然而提高網(wǎng)絡(luò)整體系統(tǒng)安全不僅僅是一個技術(shù)問題，更重要的是管理問題。

自動分發(fā)軟件、升級補丁等工作是確保系統(tǒng)安全的關(guān)鍵步驟。我們使用微軟的Systems?Management?Server（SMS）和Software?Update?Service（SUS）軟件來自動實現(xiàn)這一功能。?

(1)我們使用微軟的Software?Update?Service（SUS）解決運行Windows操作系統(tǒng)的計算機免受病毒和黑客攻擊，將需要升級的軟件從Internet下載到公司Intranet的服務(wù)器上，并為公司內(nèi)的所有客戶端PC提供自動升級，打上所有需要的“補丁”。?

(2)我們使用微軟Systems?Management?Server（SMS）進行軟件分發(fā)、資產(chǎn)管理、遠程問題解決等。