網(wǎng)絡(luò)及信息安全保障措施

-.z.網(wǎng)絡(luò)與信息平安保障措施信息平安責(zé)任人聯(lián)系電子網(wǎng)絡(luò)與信息平安保障措施一、網(wǎng)絡(luò)平安保障措施為了全面確保珂爾信息技術(shù)IDC機(jī)房網(wǎng)絡(luò)平安，在本公司IDC機(jī)房網(wǎng)絡(luò)平臺解決方案設(shè)計(jì)中，主要將基于以下設(shè)計(jì)原則：A、平安性在本方案的設(shè)計(jì)中，我們將從網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、運(yùn)行管理、系統(tǒng)冗余等角度綜合分析，采用先進(jìn)的平安技術(shù)，如下一代防火墻、加密技術(shù)、VPN、IPS等，為機(jī)房業(yè)務(wù)系統(tǒng)提供系統(tǒng)、完整的平安體系。確保系統(tǒng)平安運(yùn)行。B、高性能考慮本公司IDC機(jī)房未來業(yè)務(wù)量的增長，在本方案的設(shè)計(jì)中，我們將從網(wǎng)絡(luò)、效勞器、軟件、應(yīng)用等角度綜合分析，合理設(shè)計(jì)構(gòu)造與配置，以確保大量用戶并發(fā)訪問峰值時(shí)段，系統(tǒng)仍然具有足夠的處理能力，保障效勞質(zhì)量。C、可靠性本公司IDC網(wǎng)絡(luò)平臺作為自用和提供企業(yè)托管等業(yè)務(wù)的平臺，設(shè)計(jì)中將充分考慮業(yè)務(wù)系統(tǒng)運(yùn)行的穩(wěn)定、可靠性。從系統(tǒng)構(gòu)造、網(wǎng)絡(luò)構(gòu)造、技術(shù)措施、設(shè)施選型等多方面進(jìn)展綜合考慮，以盡量減少系統(tǒng)中的單故障節(jié)點(diǎn)，實(shí)現(xiàn)7×24小時(shí)的不連續(xù)效勞。D、可擴(kuò)展性優(yōu)良的體系構(gòu)造〔包括硬件、軟件體系構(gòu)造〕設(shè)計(jì)對于系統(tǒng)是否能夠適應(yīng)未來業(yè)務(wù)的開展至關(guān)重要。在本系統(tǒng)的設(shè)計(jì)中，硬件系統(tǒng)〔如效勞器、存儲設(shè)計(jì)等〕將遵循可擴(kuò)大的原則，以確保系統(tǒng)隨著業(yè)務(wù)量的不斷增長，在不停頓效勞的前提下無縫平滑擴(kuò)展；同時(shí)軟件體系構(gòu)造的設(shè)計(jì)也將遵循可擴(kuò)大的原則，適應(yīng)新業(yè)務(wù)增長的需要。E、開放性考慮到本系統(tǒng)中將涉及不同廠商的設(shè)備技術(shù)，以及不斷擴(kuò)展的系統(tǒng)需求，在本工程的產(chǎn)品技術(shù)選型中，全部采用國際標(biāo)準(zhǔn)/工業(yè)標(biāo)準(zhǔn)，使本系統(tǒng)具有良好的開放性。F、先進(jìn)性本系統(tǒng)中的軟硬件平臺建立、應(yīng)用系統(tǒng)的設(shè)計(jì)開發(fā)以及系統(tǒng)的維護(hù)管理所采用的產(chǎn)品技術(shù)均綜合考慮當(dāng)今互聯(lián)網(wǎng)開展趨勢，采用相對先進(jìn)同時(shí)市場相對成熟的產(chǎn)品技術(shù)，以滿足未來熱點(diǎn)的開展需求。G、系統(tǒng)集成性在IDC建立時(shí)期對硬件選型主要包括國一線廠商明星產(chǎn)品〔如華為、華三、深信服、綠盟等〕。我們將為客戶提供完整的應(yīng)用集成效勞，使客戶將更多的資源集中在業(yè)務(wù)的開拓1、硬件設(shè)施保障措施：IDC機(jī)房效勞器及設(shè)備符合互聯(lián)網(wǎng)通信網(wǎng)絡(luò)的各項(xiàng)技術(shù)接口指標(biāo)和終端通信的技術(shù)標(biāo)準(zhǔn)和通信方式等，不會影響公網(wǎng)的平安。本公司IDC機(jī)房提供放置信息效勞器及根底設(shè)備，包括：空調(diào)、照明、濕度、不連續(xù)電源、發(fā)電機(jī)、防靜電地板等。我公司IDC機(jī)房分別接入CHINANET、CHINAUni、CMNET三條高速光纖。整個系統(tǒng)的應(yīng)用模式?jīng)Q定了系統(tǒng)將面向大量的用戶和面對大量的并發(fā)訪問，系統(tǒng)要求為高可靠性的關(guān)鍵性應(yīng)用系統(tǒng)，要求系統(tǒng)防止任何可能的停機(jī)和數(shù)據(jù)的破壞與喪失。系統(tǒng)采用最新的應(yīng)用效勞器技術(shù)實(shí)現(xiàn)負(fù)載均衡和防止單點(diǎn)故障。系統(tǒng)主機(jī)硬件技術(shù)：效勞器具有高可靠性，具有長時(shí)間工作能力，系統(tǒng)整機(jī)平均無故障時(shí)間(MTBF)不低于100000小時(shí)，系統(tǒng)提供強(qiáng)大的診斷軟件，對系統(tǒng)進(jìn)展診斷。效勞器具有鏡象容錯功能，采用雙盤容錯，雙機(jī)容錯。主機(jī)系統(tǒng)具有強(qiáng)大的總線帶寬和I/O吞吐能力，并具有靈活強(qiáng)大的可擴(kuò)大能力配置原則(1)處理器的負(fù)荷峰值為75%；(2)處理器、存和磁盤需要配置平衡以提供好效果；(3)磁盤(以鏡像為佳)應(yīng)有30-40%冗余量應(yīng)付頂峰。(4)存配置應(yīng)配合數(shù)據(jù)庫指標(biāo)。(5)I/O與處理器同樣重要。系統(tǒng)主機(jī)軟件技術(shù)：效勞器平臺的系統(tǒng)軟件符合開放系統(tǒng)互連標(biāo)準(zhǔn)和協(xié)議。操作系統(tǒng)選用通用的多用戶、多任務(wù)winduws2003、windows2008或者Linu*等操作系統(tǒng)，系統(tǒng)應(yīng)具有高度可靠性、開放性，支持對稱多重處理〔SMP〕功能，支持包括TCP/IP在的多種網(wǎng)絡(luò)協(xié)議。符合C2級平安標(biāo)準(zhǔn)：提供完善的操作系統(tǒng)監(jiān)控、報(bào)警和故障處理。應(yīng)支持當(dāng)前流行的數(shù)據(jù)庫系統(tǒng)和開發(fā)工具。系統(tǒng)主機(jī)的存儲設(shè)備系統(tǒng)的存儲設(shè)備的技術(shù)RAID0+1或者RAID5的磁盤陣列等措施保證系統(tǒng)的平安和可靠。提供足夠的擴(kuò)大槽位。系統(tǒng)的存儲能力設(shè)計(jì)：系統(tǒng)的存儲能力主要考慮用戶等數(shù)據(jù)的存儲空間、文件系統(tǒng)、備份空間、測試系統(tǒng)空間、數(shù)據(jù)庫管理空間和系統(tǒng)的擴(kuò)展空間。效勞器系統(tǒng)的擴(kuò)容能力：系統(tǒng)主機(jī)的擴(kuò)容能力主要包括三個方面：性能、處理能力的擴(kuò)大－包括CPU及存的擴(kuò)大存儲容量的擴(kuò)大－磁盤存儲空間的擴(kuò)展I/O能力的擴(kuò)大,包括網(wǎng)絡(luò)適配器的擴(kuò)大(如FDDI卡和ATM卡)及外部設(shè)備的擴(kuò)大。2、軟件系統(tǒng)保證措施：操作系統(tǒng)：Windows2003、2008SERVER、Linu*網(wǎng)絡(luò)操作系統(tǒng)防火墻：下一代防火墻〔應(yīng)用層過濾防火墻〕中間件平臺的性能設(shè)計(jì)：可伸縮性：允許用戶開發(fā)系統(tǒng)和應(yīng)用程序，以簡單的方式滿足不斷增長的業(yè)務(wù)需求。平安性：利用各種加密技術(shù)，身份和授權(quán)控制及會話平安技術(shù)，以及Web平安性技術(shù)，防止用戶信息免受非法入侵的損害。完整性：通過中間件實(shí)現(xiàn)可靠、高性能的分布式交易功能，確保準(zhǔn)確的數(shù)據(jù)更新?？删S護(hù)性：能方便地利用新技術(shù)升級現(xiàn)有應(yīng)用程序，滿足不斷增長的企業(yè)開展需要?；ゲ僮餍院烷_放性：中間件技術(shù)應(yīng)基于開放標(biāo)準(zhǔn)的體系，提供開發(fā)分布交易應(yīng)用程序功能，可跨異構(gòu)環(huán)境實(shí)現(xiàn)現(xiàn)有系統(tǒng)的互操作性。能支持多種硬件和操作系統(tǒng)平臺環(huán)境。網(wǎng)絡(luò)平安方面：多層防火墻：根據(jù)用戶的不同需求，采用多層高性能的硬件防火墻對客戶托管的主機(jī)進(jìn)展全面的保護(hù)。下一代防火墻：同時(shí)采用業(yè)界最先進(jìn)成熟的下一代防火墻進(jìn)展保護(hù)，可對應(yīng)用層進(jìn)展防護(hù)及過濾。防病毒掃描：專業(yè)的防病毒掃描軟件，杜絕病毒對客戶主機(jī)的感染。入侵檢測：專業(yè)的平安軟件，提供基于網(wǎng)絡(luò)、主機(jī)、數(shù)據(jù)庫、應(yīng)用程序的入侵檢測效勞，在防火墻的根底上又增加了幾道平安措施，確保用戶系統(tǒng)的高度平安。漏洞掃描：定期對用戶主機(jī)及應(yīng)用系統(tǒng)進(jìn)展平安漏洞掃描和分析，排除平安隱患，做到平安防患于未然。下一代防火墻運(yùn)行核心交換機(jī)上層提供了監(jiān)視所有網(wǎng)絡(luò)上流過的數(shù)據(jù)包，發(fā)現(xiàn)能夠正確識別攻擊在進(jìn)展的攻擊特征。攻擊的識別是實(shí)時(shí)的，用戶可定義報(bào)警和一旦攻擊被檢測到的響應(yīng)。此處，我們有如下保護(hù)措施：全部事件監(jiān)控策略，監(jiān)視報(bào)告所有平安事件。攻擊檢測策略，此策略重點(diǎn)防來自網(wǎng)絡(luò)上的惡意攻擊，適合管理員了解網(wǎng)絡(luò)上的重要的網(wǎng)絡(luò)事件。協(xié)議分析，此策略與攻擊檢測策略不同，將會對網(wǎng)絡(luò)的會話進(jìn)展協(xié)議分析，適合平安管理員了解網(wǎng)絡(luò)的使用情況。保護(hù)，此策略用于監(jiān)視網(wǎng)絡(luò)上對HTTP流量的監(jiān)視，而且只對HTTP攻擊敏感。適合平安管理員了解和監(jiān)視網(wǎng)絡(luò)上的訪問情況。Windows網(wǎng)絡(luò)保護(hù)，此策略重點(diǎn)防護(hù)Windows網(wǎng)絡(luò)環(huán)境。會話復(fù)制，此項(xiàng)策略提供了復(fù)制Telnet,FTP,SMTP會話的功能。此功能用于平安策略的定制。DMZ監(jiān)控此項(xiàng)策略重點(diǎn)保護(hù)在防火墻外的DMZ區(qū)域的網(wǎng)絡(luò)活動。這個策略監(jiān)視網(wǎng)絡(luò)攻擊和典型的互聯(lián)網(wǎng)協(xié)議弱點(diǎn)攻擊，例如〔HTTP,FTP,SMTP,POP和DNS〕，適合平安管理員監(jiān)視企業(yè)防火墻以外的網(wǎng)絡(luò)事件。防火墻監(jiān)控，此項(xiàng)策略重點(diǎn)針對穿越防火墻的網(wǎng)絡(luò)應(yīng)用的攻擊和協(xié)議弱點(diǎn)利用，適合防火墻部平安事件的監(jiān)視。數(shù)據(jù)庫效勞器平臺數(shù)據(jù)庫平臺是應(yīng)用系統(tǒng)的根底,直接關(guān)系到整個應(yīng)用系統(tǒng)的性能表現(xiàn)及數(shù)據(jù)的準(zhǔn)確性和平安可靠性以及數(shù)據(jù)的處理效率等多個方面。本系統(tǒng)對數(shù)據(jù)庫平臺的設(shè)計(jì)包括：數(shù)據(jù)庫系統(tǒng)應(yīng)具有高度的可靠性，支持分布式數(shù)據(jù)處理；支持包括TCP/IP協(xié)議及IP*/SP*協(xié)議在的多種網(wǎng)絡(luò)協(xié)議；支持UNI*和MSNT等多種操作系統(tǒng)，支持客戶機(jī)/效勞器體系構(gòu)造，具備開放式的客戶編程接口，支持漢字操作；具有支持并行操作所需的技術(shù)〔如：多效勞器協(xié)同技術(shù)和事務(wù)處理的完整性控制技術(shù)等〕；支持聯(lián)機(jī)分析處理〔OLAP〕和聯(lián)機(jī)事務(wù)處理〔OLTP〕，支持?jǐn)?shù)據(jù)倉庫的建立；要求能夠?qū)崿F(xiàn)數(shù)據(jù)的快速裝載，以及高效的并發(fā)處理和交互式查詢；支持C2級平安標(biāo)準(zhǔn)和多級平安控制，提供WEB效勞接口模塊，對客戶端輸出協(xié)議支持HTTP2.0、SSL3.0等；支持聯(lián)機(jī)備份，具有自動備份和日志管理功能。二、信息平安管理制度1、信息監(jiān)控制度：〔1〕、信息必須在網(wǎng)頁上標(biāo)明來源;(即有關(guān)信息都必須標(biāo)明的地址)〔2〕、相關(guān)責(zé)任人定期或不定期檢查信息容，實(shí)施有效監(jiān)控，做好平安監(jiān)視工作；〔3〕、不得利用國際互聯(lián)網(wǎng)制作、復(fù)制、查閱和傳播一系列以下信息，如有違反規(guī)定有關(guān)部門將按規(guī)定對其進(jìn)展處理；A、反對憲法所確定的根本原則的；B、危害國家平安，泄露國家秘密，顛覆國家政權(quán)，破壞國家統(tǒng)一的；C、損害國家榮譽(yù)和利益的；D、煽動民族仇恨、民族歧視、破壞民族團(tuán)結(jié)的；E、破壞國家政策，宣揚(yáng)邪教和封建迷信的；F、散布謠言，擾亂社會秩序，破壞社會穩(wěn)定的；G、散布淫穢、、賭博、暴力、兇殺、恐懼或者犯罪的；H、侮辱或者誹謗他人，侵害他人合法權(quán)益的；含有法律、行政法規(guī)制止的其他容的。2、組織構(gòu)造：設(shè)置專門的網(wǎng)絡(luò)管理團(tuán)隊(duì)，并由其上級進(jìn)展監(jiān)視、凡向國際聯(lián)網(wǎng)的站點(diǎn)提供或發(fā)布信息，必須經(jīng)過審查批準(zhǔn)。審批實(shí)行部門管理，有關(guān)單位應(yīng)當(dāng)根據(jù)國家法規(guī)，審核批準(zhǔn)后發(fā)布、堅(jiān)持做到來源不名的不發(fā)、為經(jīng)過上級部門批準(zhǔn)的不發(fā)、容有問題的不發(fā)、的三不發(fā)制度。對管理實(shí)行責(zé)任制對的管理人員，以及領(lǐng)導(dǎo)明確各級人員的責(zé)任，管理的正常運(yùn)行，嚴(yán)格抓管理工作，實(shí)行誰管理誰負(fù)責(zé)。三、用戶信息平安管理制度一、信息平安部人員管理制度：1、相關(guān)部人員不得對外泄露需要的信息；2、部人員不得發(fā)布、傳播國家法律制止的容；3、信息發(fā)布之前應(yīng)該經(jīng)過相關(guān)人員審核；4、對相關(guān)管理人員設(shè)定管理權(quán)限，不得越權(quán)管理信息；5、一旦發(fā)生信息平安事故，應(yīng)立即報(bào)告相關(guān)方并及時(shí)進(jìn)展協(xié)調(diào)處理；6、對有毒有害的信息進(jìn)展過濾、用戶信息進(jìn)展。二、登陸用戶信息平安管理制度：1、對登陸用戶信息閱讀與發(fā)布按需要設(shè)置權(quán)限；2、對會員進(jìn)展會員專區(qū)形式的信息管理；3、對用