數(shù)據(jù)安全方案總結(jié)

范文范例指導(dǎo)參考

數(shù)據(jù)安全方案

一.數(shù)據(jù)安全概念

數(shù)據(jù)安全存在著多個(gè)層次，如：制度安全、技術(shù)安全、運(yùn)算安全、存儲(chǔ)安全、傳輸安全、

產(chǎn)品和服務(wù)安全等。對(duì)于計(jì)算機(jī)數(shù)據(jù)安全來(lái)說(shuō)：制度安全治標(biāo)，技術(shù)安全治本，其他安全也

是必不可少的環(huán)節(jié)。數(shù)據(jù)安全是計(jì)算機(jī)以及網(wǎng)絡(luò)等學(xué)科的重要研究課題之一。它不僅關(guān)系到

個(gè)人隱私、企業(yè)商業(yè)隱私；而且數(shù)據(jù)安全技術(shù)直接影響國(guó)家安全。

二.公司概況

目前公司對(duì)于數(shù)據(jù)安全方面基本只是依賴(lài)于托管的機(jī)房和阿里云的基本安全保護(hù)，并沒(méi)

有我們自己的安全保護(hù)措施，或者只有基本的安全保護(hù)措施。

托管機(jī)房服務(wù)器眾多，不會(huì)有特別完全的數(shù)據(jù)安全保護(hù)措施。另外，即便其提供系統(tǒng)的

安全保護(hù)措施，其內(nèi)部眾多服務(wù)器不能保障全部沒(méi)有病毒或者黑客程序，其內(nèi)部病毒依然需

要防護(hù)。

至于阿里云，我們只是享有其基本的安全保護(hù)，其他比較有針對(duì)性或者高級(jí)的安全防護(hù)

措施或者手段都跟服務(wù)器一樣，需要我們每年繳納相應(yīng)的費(fèi)用才會(huì)享有較高級(jí)的安全保護(hù)。

三.實(shí)際統(tǒng)計(jì)

宕機(jī)時(shí)間統(tǒng)計(jì)：

word版整理

范文范例指導(dǎo)參考

過(guò)去的一年里，濟(jì)陽(yáng)機(jī)房因硬件維護(hù)、網(wǎng)絡(luò)維護(hù)及軟件和系統(tǒng)維護(hù)等原因，總宕機(jī)時(shí)間

大概在24小時(shí)以?xún)?nèi)，也就是說(shuō)宕機(jī)率小于0.27%,服務(wù)器的可靠性是大于99.73%,這樣

的宕機(jī)率雖說(shuō)不是很低了，但是在對(duì)數(shù)據(jù)安全方面就沒(méi)有可靠性的保障了，這僅僅是建立在

沒(méi)有被惡意攻擊的情況下。

對(duì)業(yè)務(wù)影響統(tǒng)計(jì)：

上面簡(jiǎn)單記述了一下宕機(jī)率，但是宕機(jī)或者軟硬件維護(hù)等原因造成的對(duì)業(yè)務(wù)的影響就不

是和宕機(jī)率一致了，下面我們來(lái)簡(jiǎn)單分析一下：

每次宕機(jī)都會(huì)直接影響業(yè)務(wù)的連貫性，所以宕機(jī)時(shí)間會(huì)直接影響全部的業(yè)務(wù)系統(tǒng)，也就

是說(shuō)過(guò)去的一年里對(duì)業(yè)務(wù)的影響最少也是在24小時(shí)內(nèi)，這僅僅是宕機(jī)造成的影響。再加上

軟件更新，系統(tǒng)維護(hù)，數(shù)據(jù)庫(kù)，網(wǎng)絡(luò)維護(hù)等造成的影響，這個(gè)時(shí)間遠(yuǎn)遠(yuǎn)大于24小時(shí)。經(jīng)過(guò)

仔細(xì)統(tǒng)計(jì)，預(yù)估業(yè)務(wù)影響將大于7天：宕機(jī)影響1天；網(wǎng)絡(luò)維護(hù)1天；系統(tǒng)遭受攻擊維護(hù)3

天以上，主要原因是在虛擬化平臺(tái)上各種服務(wù)器眾多，網(wǎng)絡(luò)監(jiān)控機(jī)制較差造成；數(shù)據(jù)庫(kù)系統(tǒng)

等維護(hù)大于2天，原因數(shù)據(jù)庫(kù)部分參數(shù)等更新重啟，服務(wù)器系統(tǒng)監(jiān)控機(jī)制較差，部分系統(tǒng)不

能時(shí)時(shí)監(jiān)控到位等。以上眾多原因致使對(duì)各種業(yè)務(wù)影響總加起來(lái)的影響將大于7天。這樣統(tǒng)

計(jì)下來(lái)，我們系統(tǒng)的業(yè)務(wù)影響率將會(huì)大于1.9%,這樣可以看到我們系統(tǒng)應(yīng)用的穩(wěn)定性，可

靠性都很低。

所有的業(yè)務(wù)平臺(tái)都需要一個(gè)可靠穩(wěn)定的后臺(tái)來(lái)支撐，沒(méi)有可靠穩(wěn)定的后臺(tái)，會(huì)對(duì)我們前

臺(tái)的業(yè)務(wù)發(fā)展產(chǎn)生很?chē)?yán)重的影響。

四.安全結(jié)構(gòu)框架

近期一直在考慮關(guān)于數(shù)據(jù)安全方面的各種事項(xiàng)，在數(shù)據(jù)安全方面，我們欠缺的還很多很

word版整理

范文范例指導(dǎo)參考

多。從近一年的情況來(lái)看，我們最重要的是欠缺一個(gè)整體的安全管理體系，當(dāng)然只是對(duì)于我

們軟件及服務(wù)器等運(yùn)維方面來(lái)說(shuō)的。近期我整合了一個(gè)關(guān)于數(shù)據(jù)安全的體系結(jié)構(gòu)，下面我們

來(lái)簡(jiǎn)單看一下，如下圖就是我能想到的關(guān)于安全的一個(gè)體系結(jié)構(gòu)的框架圖。

用戶(hù)■理

理

―獨(dú)――「網(wǎng)絡(luò)―窿

_____________/I應(yīng)用傳理

，［制度流程安全卜I指據(jù)評(píng)現(xiàn)

I流程7度規(guī)劃

I而一?度4

I流?■理

、制度中詰殳執(zhí)一

傳皺我全

|必力’匕:

/冏絡(luò)安生審計(jì)

/網(wǎng)絡(luò)設(shè)券勘護(hù)

網(wǎng)絡(luò)安全］通侑完瞽性

通信保密性

［四號(hào)”I信接入

網(wǎng)絡(luò)安々會(huì)理

機(jī)店與諛艷安全

數(shù)據(jù)安全環(huán)境安全■/環(huán)境，人M安全

'防一一自健發(fā)再

一一和防一

設(shè)符安全-（防止電磁泄漏發(fā)射

二防電砂干擾

:物理安全?

介垢的分類(lèi)

/介版的防護(hù)要求

h介一安全

不介順的管胤

—

\磁介質(zhì)信息的可駢消除

1安防諛備

［用取技術(shù)防護(hù)

狼自招施（1安全

/服勢(shì)器系統(tǒng)安全

［服務(wù)器軟件安全

I眼內(nèi)熟安全肯理

物據(jù)庫(kù)致?lián)陌踩?/p>

數(shù)更陳東統(tǒng)安全一

電拓蚱系統(tǒng)防"京法川口侵入

數(shù)據(jù)需份安全策略

\敦克不符伯安至?

數(shù)據(jù)大菁安全

上圖是我根據(jù)一些資料以及我個(gè)人的想法建立的一個(gè)關(guān)于數(shù)據(jù)安全的一個(gè)框架圖。數(shù)據(jù)

安全從大面來(lái)分我能想到的有這幾個(gè)方面：制度安全、網(wǎng)絡(luò)安全、物理安全、服務(wù)器安全、

數(shù)據(jù)庫(kù)安全以及產(chǎn)品和服務(wù)安全這幾個(gè)大面，也許每一個(gè)大面單獨(dú)拿出來(lái)都可以從專(zhuān)業(yè)的

word版整理

范文范例指導(dǎo)參考

角度去書(shū)寫(xiě)一本書(shū)，這里我就單獨(dú)結(jié)合我們公司的情況簡(jiǎn)單說(shuō)明一下每一個(gè)方面的事項(xiàng)。

4.1制度安全

制度安全指計(jì)算機(jī)擁有單位，為了保證其計(jì)算機(jī)以及計(jì)算機(jī)內(nèi)存儲(chǔ)的數(shù)據(jù)安全而制定的

一套約束各工作人員和非工作的規(guī)章制度。

在運(yùn)維中，安全的管理制度也是重中之重，沒(méi)有統(tǒng)一安全的管理制度，我們?cè)谒^的安

全架構(gòu)安全體系都沒(méi)有得到實(shí)際意義上的安全保障。擁有安全的制度，我們才能去管理和維

護(hù)一個(gè)相對(duì)安全的系統(tǒng)。

4.1.1安全管理制度

建立安全的管理制度是所有安全意義上的一個(gè)重要的環(huán)節(jié)，擁有安全的管理制度，是其

他安全的重要保障。

4.1.1.1用戶(hù)管理

用戶(hù)管理分為使用用戶(hù)、系統(tǒng)用戶(hù)、應(yīng)用用戶(hù)、數(shù)據(jù)用戶(hù)等的管理，按照各種用戶(hù)的不

同身份不同等級(jí)清晰劃分用戶(hù)的各種使用權(quán)限及訪(fǎng)問(wèn)范圍，通過(guò)各個(gè)用戶(hù)的需求不一，使用

不同的權(quán)限來(lái)限制用戶(hù)的訪(fǎng)問(wèn)范圍。

使用用戶(hù)是指對(duì)應(yīng)用、系統(tǒng)、數(shù)據(jù)等的使用者，或者對(duì)服務(wù)器、交換機(jī)等的使用者，這

類(lèi)用戶(hù)需要根據(jù)其對(duì)這類(lèi)事物的應(yīng)用范圍或者用量等合理安排其權(quán)利并作詳細(xì)的使用記錄

或者留有操作日志等。

word版整理

范文范例指導(dǎo)參考

系統(tǒng)用戶(hù)指操作系統(tǒng)的各個(gè)管理用戶(hù)，在操作系統(tǒng)中，一般linux以root用戶(hù)權(quán)限最大

來(lái)管理其他全部用戶(hù)及文件數(shù)據(jù)等。Root用戶(hù)只有運(yùn)維管理人員或者系統(tǒng)管理員才可以使

用這個(gè)用戶(hù)，其他人員的使用可以根據(jù)需求來(lái)創(chuàng)建適合需求的用戶(hù)來(lái)管理其用戶(hù)的數(shù)據(jù)信息

等。

應(yīng)用用戶(hù)指應(yīng)用程序的使用用戶(hù)，這里需要開(kāi)發(fā)人員做好相應(yīng)的程序控制，不同用戶(hù)在

我們應(yīng)用程序中所接觸的數(shù)據(jù)不一樣。

數(shù)據(jù)用戶(hù)我這里主要針對(duì)于數(shù)據(jù)庫(kù)的操作用戶(hù)。數(shù)據(jù)庫(kù)的各個(gè)用戶(hù)根據(jù)不同的數(shù)據(jù)需

求賦予其相應(yīng)的角色或者用戶(hù)權(quán)限，以達(dá)到對(duì)不同系統(tǒng)數(shù)據(jù)的保護(hù)和保密作用。

所有用戶(hù)按照其特點(diǎn)統(tǒng)一管理，根據(jù)不同用戶(hù)的屬性劃分使用者范圍及用戶(hù)管理人員。

其他人員需要使用用戶(hù)需要跟相關(guān)的管理人員作出申請(qǐng)，申請(qǐng)審核過(guò)后，經(jīng)過(guò)登記以后方可

使用其申請(qǐng)的用戶(hù)權(quán)限，其他人員在未經(jīng)授權(quán)的情況下不得隨意使用或者在有可使用權(quán)限以

后不能直接告訴其他未經(jīng)授權(quán)使用的人員。

4.1.1.2密碼管理

用戶(hù)密碼和用戶(hù)一致，都需要進(jìn)行統(tǒng)一的管理。用戶(hù)及密碼的獲取均需要提出相應(yīng)申請(qǐng)

經(jīng)過(guò)審核通過(guò)后，由管理人員登記給出用戶(hù)及密碼。對(duì)于密碼的安保性，管理人員更需要時(shí)

刻注意防止密碼的外泄，在需要的情況下，可以對(duì)秘密進(jìn)行加密等手段進(jìn)行保密處理。

4.1.1.3網(wǎng)絡(luò)管理

網(wǎng)絡(luò)管理包括網(wǎng)絡(luò)設(shè)備及網(wǎng)絡(luò)監(jiān)控等的管理，要保障網(wǎng)絡(luò)設(shè)備安全可靠穩(wěn)定的運(yùn)行，例

word版整理

范文范例指導(dǎo)參考

如防毒墻、防火墻等軟硬件，合理管理網(wǎng)絡(luò)設(shè)備的IP地址，賬號(hào)密碼等不被泄漏，合理設(shè)

置防毒墻、防火墻等軟硬件的過(guò)濾規(guī)則和防護(hù)等級(jí)，合理劃分管理區(qū)域?qū)哟?，例如安全管?/p>

區(qū)域，辦公區(qū)域，網(wǎng)絡(luò)接入?yún)^(qū)，核心交換區(qū)，中心服務(wù)區(qū)，數(shù)據(jù)管理區(qū)等。

對(duì)于高安全性的數(shù)據(jù)保護(hù)措施還需要?jiǎng)澐謪^(qū)域邊界的安全，主要包括：邊界訪(fǎng)問(wèn)控制、

邊界完整性檢測(cè)、邊界入侵防范以及邊界安全審計(jì)等方面。

安全管理平臺(tái)應(yīng)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)設(shè)備的集中管理，實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的升級(jí)、網(wǎng)絡(luò)設(shè)備工作狀態(tài)

監(jiān)管、網(wǎng)絡(luò)流量監(jiān)管、網(wǎng)絡(luò)設(shè)備漏洞分析與加固等功能，同時(shí)具備對(duì)網(wǎng)絡(luò)設(shè)備訪(fǎng)問(wèn)日志的統(tǒng)

一收集和分析。

4.1.1.4應(yīng)用管理

應(yīng)用管理需要加強(qiáng)應(yīng)用開(kāi)發(fā)，應(yīng)用代碼，應(yīng)用服務(wù)等的安全管理。

應(yīng)用開(kāi)發(fā)過(guò)程中需要有相應(yīng)的代碼描述和注釋?zhuān)y(tǒng)一的代碼書(shū)寫(xiě)規(guī)范及命名規(guī)范等。對(duì)

于應(yīng)用代碼需要保證代碼的安全性，例如防止代碼丟失，代碼外泄，代碼混淆等問(wèn)題一般比

較常見(jiàn)，一般可以通過(guò)svn等工具可以從一定程度上提高安全性，但是并不是一定的，也需

要從制度上和習(xí)慣上的嚴(yán)格要求。應(yīng)用服務(wù)需要控制好安全數(shù)據(jù)的私密性，個(gè)人隱私數(shù)據(jù)及

保密數(shù)據(jù)需要做加密及解密措施，以防止隱私數(shù)據(jù)的透漏。

4.1.1.5數(shù)據(jù)管理

數(shù)據(jù)管理主要針對(duì)數(shù)據(jù)庫(kù)內(nèi)存儲(chǔ)的數(shù)據(jù)管理，包括數(shù)據(jù)庫(kù)用戶(hù)，密碼，數(shù)據(jù)表空間及表

的管理。根據(jù)應(yīng)用系統(tǒng)及存儲(chǔ)數(shù)據(jù)的性質(zhì)來(lái)分配應(yīng)用使用的用戶(hù)及密碼，劃分相應(yīng)的數(shù)據(jù)庫(kù)

表結(jié)構(gòu)及表空間。做到數(shù)據(jù)同一規(guī)劃，數(shù)據(jù)存儲(chǔ)形式一致，這樣既可以保證存儲(chǔ)數(shù)據(jù)的安全

性，也可以使我們數(shù)據(jù)的存儲(chǔ)有條理性。現(xiàn)狀是數(shù)據(jù)存儲(chǔ)較混亂，A用戶(hù)的數(shù)據(jù)存在于B

word版整理

范文范例指導(dǎo)參考

用戶(hù)的表空間中，這樣很容易使用戶(hù)的數(shù)據(jù)輕易泄露。而且在數(shù)據(jù)庫(kù)中這樣也很容易造成各

個(gè)應(yīng)用之間對(duì)數(shù)據(jù)的讀取消耗很多資源，更嚴(yán)重的就是耗時(shí)較高，應(yīng)用性能的整體降低。

4.1.2流程制度

4.1.2.1流程制度規(guī)劃

下面我們來(lái)簡(jiǎn)單看一下下面的一個(gè)流程規(guī)劃

疙里云

□□□□□

冬項(xiàng)目迨開(kāi)發(fā)SE

上圖我們可以看到將我們的整體環(huán)境劃分為四個(gè)大的環(huán)境，這四個(gè)大環(huán)境分別有各自的

作用：

開(kāi)發(fā)環(huán)境：

這個(gè)環(huán)境嚴(yán)格規(guī)范在公司的內(nèi)部環(huán)境，在這里有開(kāi)發(fā)人員做主，開(kāi)發(fā)人員在這個(gè)環(huán)

中可以做日常的開(kāi)發(fā)測(cè)試。一般情況下開(kāi)發(fā)人員的代碼程序都是在其本地的電腦上，而

開(kāi)發(fā)環(huán)境中目前只有開(kāi)發(fā)測(cè)試數(shù)據(jù)庫(kù)。這個(gè)環(huán)境只作為開(kāi)發(fā)人員開(kāi)發(fā)測(cè)試程序使用。

測(cè)試環(huán)境：

word版整理

范文范例指導(dǎo)參考

測(cè)試環(huán)境的要求就相對(duì)的要較高一些了。這里的測(cè)試環(huán)境不是開(kāi)發(fā)測(cè)試，這里測(cè)試

環(huán)境是專(zhuān)門(mén)用來(lái)給測(cè)試人員進(jìn)行各種功能測(cè)試及性能測(cè)試的環(huán)境。環(huán)境要求至少需要生

產(chǎn)環(huán)境減半的配置，或者最少是符合生產(chǎn)要求的獨(dú)立環(huán)境。這個(gè)環(huán)境不涉及其他任何,

只做為測(cè)試使用，這樣至少保障測(cè)試環(huán)境的測(cè)試結(jié)果符合生產(chǎn)環(huán)境的要求。只有經(jīng)過(guò)嚴(yán)

格測(cè)試的應(yīng)用，排除了大量的bug和性能問(wèn)題的應(yīng)用，才能說(shuō)是較穩(wěn)定的應(yīng)用。這樣

這個(gè)應(yīng)用才能上線(xiàn)。

演示環(huán)境

這個(gè)環(huán)境可以適當(dāng)?shù)慕档团渲?，但是需要保障環(huán)境的穩(wěn)定運(yùn)行。這個(gè)環(huán)境的主要作

用是公司領(lǐng)導(dǎo)可以在公司內(nèi)外跟客戶(hù)做程序的演示時(shí)使用。其次測(cè)試后的正式應(yīng)用一定

要先都部署在這個(gè)環(huán)境中，經(jīng)過(guò)領(lǐng)導(dǎo)演示，客戶(hù)認(rèn)可，領(lǐng)導(dǎo)審核通過(guò)以后，應(yīng)用產(chǎn)品才

可以正式上線(xiàn)。未審核通過(guò)的應(yīng)用經(jīng)過(guò)提出問(wèn)題或者變更以后，由開(kāi)發(fā)修正測(cè)試通過(guò)后，

再次在演示環(huán)境中由領(lǐng)導(dǎo)檢驗(yàn)審核。最后全部通過(guò)的程序，才能在正式的生產(chǎn)環(huán)境中上

線(xiàn)。

生產(chǎn)環(huán)境

這個(gè)環(huán)境要求一定是能夠承載5年業(yè)務(wù)數(shù)據(jù)增長(zhǎng)量的一個(gè)可靠穩(wěn)定的應(yīng)用環(huán)境。并

且環(huán)境的要求及軟硬件的配置都需要有可靠穩(wěn)定的保障。在之前的安全架構(gòu)中的規(guī)劃只

是針對(duì)與這個(gè)環(huán)境的初步規(guī)劃。生產(chǎn)環(huán)境的可靠穩(wěn)定主要依靠前面的流程嚴(yán)格保障，另

外就是環(huán)境軟硬件的合理規(guī)范化配置。通過(guò)穩(wěn)定可靠的軟硬件支持及相應(yīng)的技術(shù)保障生

產(chǎn)環(huán)境的安全可靠及穩(wěn)定。

word版整理

范文范例指導(dǎo)參考

4.1.2.2規(guī)范流程

有了相應(yīng)的管理，就需要去規(guī)范其管理流程，包括之前提到的用戶(hù)管理，密碼管理，網(wǎng)

絡(luò)管理，應(yīng)用管理以及數(shù)據(jù)管理等，需要哪些資源或者權(quán)限，需要相關(guān)人員給與書(shū)面或者文

字性的申請(qǐng)審核流程，經(jīng)過(guò)審核后方可確認(rèn)使用。

通過(guò)流程的規(guī)范包括從開(kāi)發(fā)環(huán)境到生產(chǎn)環(huán)境的流程，都必須按照流程來(lái)規(guī)范我們的應(yīng)用

程序的開(kāi)發(fā)及上線(xiàn)，這樣我們的后臺(tái)環(huán)境才能有一個(gè)穩(wěn)定安全的基礎(chǔ)。

4.1.2.3流程管理

確定了流程的事項(xiàng)，就要嚴(yán)格的管理流程，相關(guān)的負(fù)責(zé)人或者部門(mén)經(jīng)理要做到流程管理

者的帶頭和監(jiān)督的作用。定制了流程就要安裝流程來(lái)進(jìn)行，除非某種特殊的情況出現(xiàn)。當(dāng)然，

我們并不希望特殊情況的出現(xiàn)，畢竟無(wú)規(guī)則不成方圓。只有規(guī)則制度起了作用我們才能擁有

一個(gè)健康的管理后臺(tái)。

4.1.3制度申請(qǐng)及執(zhí)行

制度的制定需要向制度監(jiān)管人或者部門(mén)提出申請(qǐng)，審核通過(guò)后方可執(zhí)行。由于之前這一

塊兒的欠缺，致使這部分的管理松散，也造成我們后臺(tái)的各種不必要的麻煩，甚至導(dǎo)致影響

安全的生產(chǎn)環(huán)境。后臺(tái)的安全管理必須要有相關(guān)的安全制度的建立。

word版整理

范文范例指導(dǎo)參考

4.2網(wǎng)絡(luò)安全

在整個(gè)數(shù)據(jù)安全體系中，網(wǎng)絡(luò)安全是最重要的一環(huán)，也是安全的第一個(gè)重要關(guān)卡大門(mén)，

所有的數(shù)據(jù)信息都是通過(guò)網(wǎng)絡(luò)來(lái)傳輸交互的，網(wǎng)絡(luò)的安全是安全體系中的最重要的一環(huán)。

4.2.1傳輸安全

4.2.1.1網(wǎng)絡(luò)分區(qū)

根據(jù)應(yīng)用部署要求和新一代數(shù)據(jù)中心建設(shè)的原則，考慮網(wǎng)絡(luò)安全的實(shí)施，數(shù)據(jù)中心內(nèi)劃

分為如下幾個(gè)區(qū)域：

1、數(shù)據(jù)管理區(qū)：集中存儲(chǔ)、管理所有應(yīng)用系統(tǒng)的數(shù)據(jù)。

2、業(yè)務(wù)應(yīng)用區(qū)：部署總局端的業(yè)務(wù)應(yīng)用系統(tǒng)。

3、支撐平臺(tái)應(yīng)用區(qū)：部署平臺(tái)支撐應(yīng)用系統(tǒng)（集中認(rèn)證平臺(tái)、電子服務(wù)平臺(tái)、客戶(hù)端

升級(jí)系統(tǒng)、Session集中系統(tǒng)、分布式緩存系統(tǒng)、分布式任務(wù)調(diào)度系統(tǒng)）。

4、數(shù)據(jù)交換區(qū)：部署電子業(yè)務(wù)平臺(tái)，以供各外掛系統(tǒng)接口使用。

5、公共服務(wù)區(qū)：部署公共服務(wù)、WEB服務(wù)和安全管理所需要的各種設(shè)置和應(yīng)用系統(tǒng)。

6、安全接入?yún)^(qū)：用于實(shí)現(xiàn)與互聯(lián)網(wǎng)的安全連接和邏輯隔離，包括各種安全保障設(shè)施，

以及直接向互聯(lián)網(wǎng)用戶(hù)提供服務(wù)的應(yīng)用系統(tǒng)。

7、IT管控區(qū)：用于實(shí)現(xiàn)對(duì)EQQ主干系統(tǒng)的網(wǎng)絡(luò)管理、安全管理、運(yùn)維管理，包括各

種安全保障設(shè)施和管控平臺(tái)。

安全接入?yún)^(qū)域、數(shù)據(jù)管理區(qū)域、應(yīng)用服務(wù)區(qū)域、IT管控區(qū)域，采用身份鑒別：主機(jī)身份

鑒別和應(yīng)用身份鑒別；訪(fǎng)問(wèn)控制；系統(tǒng)安全審計(jì)；入侵防范；主機(jī)惡意代碼防范；軟件容錯(cuò)；

數(shù)據(jù)完整性與保密性、備份與恢復(fù)等安全保護(hù)措施。詳細(xì)見(jiàn)下圖：

計(jì)算機(jī)環(huán)境保護(hù)措施

操作系統(tǒng)、應(yīng)用安全加固

CA認(rèn)證系統(tǒng)

內(nèi)控運(yùn)維管理系統(tǒng)

入侵防御系統(tǒng)IPS

安全接入?yún)^(qū)域入侵檢測(cè)系統(tǒng)IDS

漏洞掃描系統(tǒng)

補(bǔ)丁管理系統(tǒng)

word版整理

范文范例指導(dǎo)參考

網(wǎng)絡(luò)防病毒系統(tǒng)

安全管理平臺(tái)

數(shù)據(jù)備份系統(tǒng)

操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用安全加固

CA認(rèn)證系統(tǒng)

內(nèi)控運(yùn)維管理系統(tǒng)

入侵防御系統(tǒng)IPS

入侵檢測(cè)系統(tǒng)IDS

數(shù)據(jù)管理區(qū)域數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)

漏洞掃描系統(tǒng)

補(bǔ)丁管理系統(tǒng)

網(wǎng)絡(luò)防病毒系統(tǒng)

安全管理平臺(tái)

數(shù)據(jù)備份系統(tǒng)備份

操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用安全加固

CA認(rèn)證系統(tǒng)

內(nèi)控運(yùn)維管理系統(tǒng)

入侵防御系統(tǒng)IPS

應(yīng)用服務(wù)區(qū)域入侵檢測(cè)系統(tǒng)IDS

漏洞掃描系統(tǒng)

補(bǔ)丁管理系統(tǒng)

網(wǎng)絡(luò)防病毒系統(tǒng)

安全管理平臺(tái)

數(shù)據(jù)備份系統(tǒng)

操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用安全加固

內(nèi)控運(yùn)維管理系統(tǒng)

漏洞掃描系統(tǒng)

IT管控區(qū)域

補(bǔ)丁管理系統(tǒng)

網(wǎng)絡(luò)防病毒系統(tǒng)

安全管理平臺(tái)

對(duì)安全接入?yún)^(qū)域邊界、數(shù)據(jù)管理區(qū)域邊界、應(yīng)用服務(wù)區(qū)域邊界、IT管控區(qū)域邊界采用以

下安全措施：邊界訪(fǎng)問(wèn)控制、邊界完整性檢查、邊界入侵防范、邊界安全審計(jì)、外部邊界惡

意代碼防范等。

4.2.1.2網(wǎng)絡(luò)可靠性

網(wǎng)絡(luò)高可靠性方面需要采用構(gòu)建具備高可靠性的網(wǎng)絡(luò)結(jié)構(gòu)，我們需要建設(shè)的網(wǎng)絡(luò)要可以

對(duì)業(yè)務(wù)流量實(shí)現(xiàn)分流，也可以互為災(zāi)備，因此需要構(gòu)建可靠的硬件冗余以及網(wǎng)絡(luò)協(xié)議冗余,

word版整理

范文范例指導(dǎo)參考

在網(wǎng)絡(luò)出現(xiàn)單點(diǎn)故障時(shí)能夠自動(dòng)偵測(cè)到網(wǎng)絡(luò)的可達(dá)性，并對(duì)全網(wǎng)絡(luò)進(jìn)行宣告，通過(guò)硬件切換

或軟件切換實(shí)現(xiàn)網(wǎng)絡(luò)的可達(dá)性，保證網(wǎng)絡(luò)正常運(yùn)行。

4.2.1.3網(wǎng)絡(luò)負(fù)載均衡

負(fù)載均衡運(yùn)行，在網(wǎng)絡(luò)層面，需要將日常的業(yè)務(wù)流量均衡至整個(gè)數(shù)據(jù)中心。數(shù)據(jù)中心內(nèi)

采用負(fù)載均衡設(shè)備對(duì)網(wǎng)絡(luò)數(shù)據(jù)流量進(jìn)行負(fù)載分擔(dān)。

對(duì)于業(yè)務(wù)流量，采用全局負(fù)載均衡設(shè)備對(duì)用戶(hù)訪(fǎng)問(wèn)數(shù)據(jù)中心分流，根據(jù)策略或負(fù)載情況

不同用戶(hù)訪(fǎng)問(wèn)不同的數(shù)據(jù)中心，分散網(wǎng)絡(luò)流量，減少網(wǎng)絡(luò)擁塞，提高訪(fǎng)問(wèn)和服務(wù)質(zhì)量。

對(duì)于數(shù)據(jù)中心內(nèi)部服務(wù)器數(shù)據(jù)流量，采用本地負(fù)載均衡把數(shù)據(jù)流量合理分配給服務(wù)器群

內(nèi)的服務(wù)器共同負(fù)擔(dān)。

4.2.2網(wǎng)絡(luò)結(jié)構(gòu)安全

網(wǎng)絡(luò)結(jié)構(gòu)的安全是網(wǎng)絡(luò)安全的前提和基礎(chǔ)，對(duì)于北京雙中心主干系統(tǒng)核心路由和網(wǎng)絡(luò)設(shè)

備需要進(jìn)行冗余部署，避免單點(diǎn)故障，并考慮業(yè)務(wù)處理能力的高峰數(shù)據(jù)流量，因此需要冗余

空間滿(mǎn)足業(yè)務(wù)高峰期需要；網(wǎng)絡(luò)各個(gè)部分的帶寬要保證接入網(wǎng)絡(luò)和核心網(wǎng)絡(luò)滿(mǎn)足業(yè)務(wù)高峰期

需要。

按照業(yè)務(wù)系統(tǒng)服務(wù)的重要次序定義帶寬分配的優(yōu)先級(jí)，在網(wǎng)絡(luò)擁堵時(shí)優(yōu)先保障重要業(yè)務(wù)

服務(wù)器，合理規(guī)劃路由，業(yè)務(wù)服務(wù)器之間建立安全路徑繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)?/p>

結(jié)構(gòu)圖：根據(jù)所涉及信息的重要程度等因素，劃分不同的網(wǎng)段或VLAN。

重要業(yè)務(wù)系統(tǒng)及數(shù)據(jù)的重要網(wǎng)段不能直接與外部系統(tǒng)連接，需要和其他網(wǎng)段隔離，單獨(dú)劃分

安全區(qū)域。

4.2.3網(wǎng)絡(luò)安全審計(jì)

網(wǎng)絡(luò)安全審計(jì)系統(tǒng)主要用于監(jiān)視并記錄網(wǎng)絡(luò)中的各類(lèi)操作，偵察系統(tǒng)中存在的現(xiàn)有和潛

在的威脅，實(shí)時(shí)地綜合分析出網(wǎng)絡(luò)中發(fā)生的安全事件，包括各種外部事件和內(nèi)部事件，通過(guò)

word版整理

范文范例指導(dǎo)參考

網(wǎng)絡(luò)監(jiān)控功能及啟用網(wǎng)絡(luò)設(shè)備日志審計(jì)，并納入安全管理平臺(tái)統(tǒng)一監(jiān)控管理實(shí)現(xiàn)。

4.2.4網(wǎng)絡(luò)設(shè)備防護(hù)

為提高網(wǎng)絡(luò)設(shè)備的自身安全性，保障各種網(wǎng)絡(luò)應(yīng)用的正常運(yùn)行，對(duì)網(wǎng)絡(luò)設(shè)備需要進(jìn)行一

系列的安全加固措施，包括：

1、對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶(hù)進(jìn)行身份鑒別，用戶(hù)名必須唯一；

2、對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制；

3、身份鑒別信息具有不易被冒用的特點(diǎn)，口令設(shè)置需3種以上字符、長(zhǎng)度不少于8位，

并定期更換；

4、具有登錄失敗處理功能，失敗后采取結(jié)束會(huì)話(huà)、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連

接超時(shí)自動(dòng)退出等措施；

5、啟用SSH等管理方式，加密管理數(shù)據(jù)，防止被網(wǎng)絡(luò)竊聽(tīng)。

同時(shí)需要部署內(nèi)控運(yùn)維管理系統(tǒng)對(duì)設(shè)備管理用戶(hù)登錄認(rèn)證和審計(jì)確保經(jīng)過(guò)授權(quán)的管理

員通過(guò)可靠路徑才能登錄設(shè)備進(jìn)行管理操作，并對(duì)所有操作過(guò)程進(jìn)行審計(jì)、控制、記錄，避

免授權(quán)用戶(hù)非法操作或誤操作，保證對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行管理維護(hù)的合法性。

4.2.5通信完整性

信息的完整性設(shè)計(jì)包括信息傳輸?shù)耐暾孕ｒ?yàn)以及信息存儲(chǔ)的完整性校驗(yàn)。

對(duì)于信息傳輸和存儲(chǔ)的完整性校驗(yàn)可以采用的技術(shù)包括校驗(yàn)碼技術(shù)、消息鑒別碼、密碼

校驗(yàn)函數(shù)、散列函數(shù)、數(shù)字簽名等。

word版整理

范文范例指導(dǎo)參考

對(duì)于信息傳輸?shù)耐暾孕ｒ?yàn)應(yīng)由傳輸加密系統(tǒng)完成，對(duì)于信息存儲(chǔ)的完整性校驗(yàn)應(yīng)由應(yīng)

用系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)完成。

4.2.6通信保密性

應(yīng)用層的通信保密性主要由應(yīng)用系統(tǒng)完成。在通信雙方建立連接之前，應(yīng)用系統(tǒng)應(yīng)利用

密碼技術(shù)進(jìn)行會(huì)話(huà)初始化驗(yàn)證；并對(duì)通信過(guò)程中的敏感信息字段進(jìn)行加密。對(duì)于信息傳輸?shù)?/p>

通信保密性由應(yīng)用系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)傳輸加密系統(tǒng)完成。

4.2.7網(wǎng)絡(luò)可信接入

為保證網(wǎng)絡(luò)邊界的完整性，不僅需要進(jìn)行非法外聯(lián)行為，同時(shí)對(duì)非法接入進(jìn)行監(jiān)控與阻

斷，形成網(wǎng)絡(luò)可信接入，共同維護(hù)邊界完整性?？梢詫⒎?wù)器的IP和MAC地址綁定，并禁

止修改自身的IP和MAC地址。

4.2.8網(wǎng)絡(luò)安全管理

通信網(wǎng)絡(luò)應(yīng)當(dāng)有網(wǎng)絡(luò)安全監(jiān)控、網(wǎng)絡(luò)審計(jì)?、網(wǎng)絡(luò)備份/冗余與故障恢復(fù)、網(wǎng)絡(luò)應(yīng)急處理、

網(wǎng)絡(luò)數(shù)據(jù)傳輸安全性保護(hù)以及可信網(wǎng)絡(luò)設(shè)備接入，在本項(xiàng)目分別通過(guò)網(wǎng)絡(luò)安全監(jiān)測(cè)、網(wǎng)絡(luò)安

全審計(jì)?、網(wǎng)絡(luò)結(jié)構(gòu)優(yōu)化、設(shè)備加固、以及內(nèi)控運(yùn)維管理系統(tǒng)來(lái)完成。

主干系統(tǒng)按照基本要求保護(hù)級(jí)別設(shè)計(jì)信息系統(tǒng)的保護(hù)環(huán)境模型，依據(jù)《信息系統(tǒng)等級(jí)保

護(hù)安全設(shè)計(jì)技術(shù)要求》，按照安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)和安全管理中心

等進(jìn)行設(shè)計(jì)，結(jié)合管理要求，形成如下圖所示的保護(hù)環(huán)境模型：

word版整理

范文范例指導(dǎo)參考

安

金

安全安全管理平臺(tái)［系希市應(yīng)］「市芹正前；r法至逝J

管

管理里

通信網(wǎng)絡(luò)安全計(jì)算環(huán)境安全區(qū)域邊界安全.r「)

:為

?

一

，

—Ai

*紇

\口界法制拄到—

?.

?

如

?

即

三二線(xiàn)至5F尤二］?

??

一

如

?

陰

-?

二?

C??,

陰

?陰

■?

?

二畝函面;,?

四

::胤

匚亙還可河口v

二二:

一

安

全

心

理

機(jī)

構(gòu)

一

物理安全［徹址\：誡泰城二:嬴贏!一？「酒￡芯蒜譯*］

4.3物理安全

在信息安全體系中，物理安全就是要保證信息系統(tǒng)有一個(gè)安全的物理環(huán)境，對(duì)接觸信息

系統(tǒng)的人員有一套完善的技術(shù)控制手段，且充分考慮到自然事件對(duì)系統(tǒng)可能造成的威脅并加

以規(guī)避。簡(jiǎn)單的說(shuō)，物理安全就是保護(hù)信息系統(tǒng)的軟硬件設(shè)備、設(shè)施以及其他媒體免遭地震、

水災(zāi)、火災(zāi)、雷擊等自然災(zāi)害、人為破壞或操作失誤，以及各種計(jì)算機(jī)犯罪行為導(dǎo)致破壞的

技術(shù)和方法。在信息系統(tǒng)安全中，物理安全是基礎(chǔ)。如果物理安全得不到保證，如計(jì)算機(jī)設(shè)

備遭到破壞或被人非法接觸，那么其他的一切安全措施就都只是空中樓閣。

4.3.1環(huán)境安全

4.3.1.1機(jī)房與設(shè)施安全

要保證信息系統(tǒng)的安全、可靠，必須保證系統(tǒng)實(shí)體有一個(gè)安全的環(huán)境條件。這個(gè)安全環(huán)

word版整理

范文范例指導(dǎo)參考

境就是指機(jī)房及其設(shè)施，它是保證系統(tǒng)正常工作的基本環(huán)境，包括機(jī)房環(huán)境條件、機(jī)房安全

等級(jí)、機(jī)房場(chǎng)地的環(huán)境選擇、機(jī)房的建造、機(jī)房的裝修和計(jì)算機(jī)的安全防護(hù)等。對(duì)系統(tǒng)所在

環(huán)境的安全保護(hù)，如區(qū)域保護(hù)和災(zāi)難保護(hù)等在GB50174-93《電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范》、

GA/T390-2002《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)通用技術(shù)要求》GB2887-2000《電子計(jì)算機(jī)

場(chǎng)地通用規(guī)范員GB9361-88《計(jì)算站場(chǎng)地安全要求》等標(biāo)準(zhǔn)中有詳細(xì)的描述。

43.1.2環(huán)境與人員安全

環(huán)境與人員安全通常是指防火、防水、防震、防振動(dòng)沖擊、防電源掉電、防溫度濕度沖

擊、防盜以及防物理、化學(xué)和生物災(zāi)害等，是針對(duì)環(huán)境的物理災(zāi)害和人為蓄意破環(huán)而采取的

安全措施和對(duì)策。

4.3.13防其他自然災(zāi)害

防其他自然災(zāi)害主要包括濕度、潔凈度、腐蝕、蟲(chóng)害、振動(dòng)與沖擊、噪音、電氣干擾、

地震、雷擊等。

通常，當(dāng)相對(duì)濕度低于40%時(shí)，被認(rèn)為是干燥的；當(dāng)相對(duì)濕度高于80%時(shí)，則被認(rèn)為

是潮濕的。過(guò)高或過(guò)低的相對(duì)濕度，對(duì)計(jì)算機(jī)的可靠性和安全性均有不利影響；潔凈度主要

是指空氣中灰塵量和有害氣體含量，它也是影響計(jì)算機(jī)可靠性和安全性的一個(gè)重要因素；計(jì)

算機(jī)中的金屬部分，如集成電路引腳、適配器以及各種電纜連接器、插頭、接頭等都會(huì)因受

到腐蝕作用而損壞，包括化學(xué)物質(zhì)的直接腐蝕或氧化、空氣腐蝕或氧化、電解液腐蝕等。鼠

蟲(chóng)害也是造成設(shè)備故障的因素之一，竄入機(jī)房?jī)?nèi)的鼠蟲(chóng)會(huì)咬壞電纜嚴(yán)重的會(huì)引起電源短路。

word版整理

范文范例指導(dǎo)參考

據(jù)日本正CC對(duì)國(guó)內(nèi)2000個(gè)用戶(hù)的調(diào)查，在計(jì)算機(jī)事故中，有10%是鼠蟲(chóng)害造成的；振動(dòng)、

沖擊也會(huì)帶來(lái)各種各樣的問(wèn)題；干擾是由非預(yù)料之中的、不需要的或隨機(jī)的電場(chǎng)、磁場(chǎng)、無(wú)

線(xiàn)電信號(hào)或聲音信號(hào)等造成的影響。干擾的來(lái)源有三個(gè)方面：噪音干擾、電氣干擾和電磁干

擾。大多數(shù)地震對(duì)計(jì)算機(jī)設(shè)施造成的損失是房屋倒塌和設(shè)備損壞，除此之外，還有人身安全

威脅，應(yīng)建立防災(zāi)組織和規(guī)章制度，保證地震發(fā)生后能盡快恢復(fù)正常工作。雷電損壞計(jì)算機(jī)

設(shè)備也相當(dāng)普遍，據(jù)報(bào)道，1983年美國(guó)很多計(jì)算機(jī)和通信設(shè)備遭到雷擊損害，1985年一次

雷電竟使美國(guó)一棟大樓15層內(nèi)的計(jì)算機(jī)全部損壞。我國(guó)某氣象中心從日本引進(jìn)的M-170.

160大型機(jī)兩次受到雷擊。1986年7月19日，太原某廠(chǎng)PDP-U/73計(jì)算機(jī)被雷擊損壞。

鐵道部成都鐵路局引進(jìn)的VAX-11機(jī),1985年7月因雷擊損壞了主機(jī)1臺(tái)、終端5臺(tái)。沈

陽(yáng)鐵路局1986年4月9日因雷擊損壞微機(jī)3臺(tái)。在國(guó)內(nèi)外，類(lèi)似事件已發(fā)生多起，因此為

保障計(jì)算機(jī)系統(tǒng)的正常運(yùn)行，避免遭到來(lái)自雷電的襲擊，計(jì)算機(jī)安全機(jī)房應(yīng)設(shè)置避雷針，并

應(yīng)以深埋地下且與大地良好相通的金屬板作為接地點(diǎn)，避雷針的引線(xiàn)則應(yīng)采用粗大的紫銅條,

或者使整個(gè)建筑的鋼筋自地基以下焊接連成鋼筋網(wǎng)作為“大地"，與避雷針相連。

4.3.2設(shè)備安全

設(shè)備安全主要包括計(jì)算機(jī)設(shè)備的防盜、防毀、防電磁泄漏發(fā)射、抗電磁干擾及電源保護(hù)

等。

43.2.1防盜和防毀

當(dāng)計(jì)算機(jī)系統(tǒng)或設(shè)備被盜、被毀時(shí)，除了設(shè)備本身丟失或毀損帶來(lái)的損失外，更多的損

失則是失去了有價(jià)值的程序和數(shù)據(jù)。因此，防盜、防毀是計(jì)算機(jī)防護(hù)的一個(gè)重要內(nèi)容。通常

word版整理

范文范例指導(dǎo)參考

采取的防盜、防毀措施主要有：設(shè)置報(bào)警器——在機(jī)房周?chē)臻g放置侵入報(bào)警器，侵入報(bào)警

的形式主要有光電、微波、紅外線(xiàn)和超聲波；鎖定裝置——在計(jì)算機(jī)設(shè)備中，特別是在個(gè)人

計(jì)算機(jī)中設(shè)置鎖定裝置，以防犯罪盜竊；計(jì)算機(jī)保險(xiǎn)——在計(jì)算機(jī)系統(tǒng)受到侵犯后，可以得

到損失的經(jīng)濟(jì)補(bǔ)償，但是無(wú)法補(bǔ)償失去的程序和數(shù)據(jù)，為此應(yīng)設(shè)置一定的保險(xiǎn)裝置；列出清

單或繪出位置圖——最基本的防盜安全措施是列出設(shè)備的詳細(xì)清單，并繪出其位置圖。

43.2.2防止電磁泄漏發(fā)射

抑制計(jì)算機(jī)中信息泄漏的技術(shù)途徑有兩種：一是電子隱蔽技術(shù)，二是物理抑制技術(shù)。電

子隱蔽技術(shù)主要是用干擾、調(diào)頻等技術(shù)來(lái)掩飾計(jì)算機(jī)的工作狀態(tài)和保護(hù)信息；物理抑制技術(shù)

則是抑制一切有用信息的外泄。物理抑制技術(shù)可分為包容法和抑源法。包容法主要是對(duì)輻射

源進(jìn)行屏蔽，以阻止電磁波的外泄傳播。抑源法就是從線(xiàn)路和元器件入手，從根本上阻止計(jì)

算機(jī)系統(tǒng)向外輻射電磁波，消除產(chǎn)生較強(qiáng)電磁波的根源。

4.3.23防電磁干擾

電磁干擾是指當(dāng)電子設(shè)備輻射出的能量超過(guò)一定程度時(shí)，就會(huì)干擾設(shè)備本身以及周?chē)?/p>

其他電子設(shè)備的現(xiàn)象。計(jì)算機(jī)與各種電子設(shè)備和廣播、電視、雷達(dá)等無(wú)線(xiàn)設(shè)備及電子儀器等

都會(huì)發(fā)出電磁干擾信號(hào)，計(jì)算機(jī)要在這樣復(fù)雜的電磁干擾環(huán)境中工作，其可靠性、穩(wěn)定性和

安全性將受到嚴(yán)重影響。因此，實(shí)際使用中需要了解和考慮計(jì)算機(jī)的抗電磁干擾問(wèn)題，即電

磁兼容性問(wèn)題。

word版整理

范文范例指導(dǎo)參考

4.3.3介質(zhì)安全

介質(zhì)安全包括媒體本身的安全及媒體數(shù)據(jù)的安全。對(duì)媒體本身的安全保護(hù)指防盜、防毀、

防霉等，對(duì)媒體數(shù)據(jù)的安全保護(hù)是指防止記錄的信息不被非法竊取、篡改、破壞或使用。

4.3.3.1介質(zhì)的分類(lèi)

對(duì)介質(zhì)進(jìn)行分類(lèi)，是為了對(duì)那些必須保護(hù)的記錄提供足夠的保護(hù)，而對(duì)那些不重要的記

錄不提供過(guò)保護(hù)。計(jì)算機(jī)系統(tǒng)的記錄按其重要性和機(jī)密程度，可分為以下四類(lèi)。

(1)一類(lèi)記錄——關(guān)鍵性記錄

這類(lèi)記錄對(duì)設(shè)備的功能來(lái)說(shuō)是最重要的、不可替換的，是火災(zāi)或其他災(zāi)害后立即需要，

但又不能再?gòu)?fù)制的那些記錄，如關(guān)鍵性程序、主記錄、設(shè)備分配圖表及加密算法和密鑰等密

級(jí)很高的記錄。

(2)二類(lèi)記錄——重要記錄

這類(lèi)記錄對(duì)設(shè)備的功能來(lái)說(shuō)很重要，可以在不影響系統(tǒng)最主要功能的情況下進(jìn)行復(fù)制，

但比較困難和昂貴，如某些程序、存儲(chǔ)及輸入、輸出數(shù)據(jù)等均屬于此類(lèi)。

(3)三類(lèi)記錄——有用記錄

這類(lèi)記錄的丟失可能引起極大不便，但可以很快復(fù)制，己留有拷貝的程序就屬于此類(lèi)。

(4)四類(lèi)記錄——不重要記錄

這類(lèi)記錄在系統(tǒng)調(diào)試和維護(hù)中很少應(yīng)用。

各類(lèi)記錄應(yīng)加以明顯的分類(lèi)標(biāo)志，可以在封裝上以鮮艷的顏色編碼表示，也可以作磁記

錄標(biāo)志。

word版整理

范文范例指導(dǎo)參考

4.33.2介質(zhì)的防護(hù)要求

全部一類(lèi)記錄都應(yīng)該復(fù)制，其復(fù)制品應(yīng)分散存放在安全地方。二類(lèi)記錄也應(yīng)有類(lèi)似的復(fù)

制品和存放辦法。記錄媒體存放的庫(kù)房或文件柜應(yīng)具有以下條件：存放一類(lèi)、二類(lèi)記錄的保

護(hù)設(shè)備(如金屬文件柜)應(yīng)具有防火、防高溫、防水、防震、防電磁場(chǎng)的性能；三類(lèi)記錄應(yīng)存

放在密閉的金屬文件箱或柜中。這些保護(hù)設(shè)備應(yīng)存放在庫(kù)房?jī)?nèi)。暗鎖應(yīng)隔一段時(shí)間就改變密

碼，密碼應(yīng)符合選取原則，密碼不要寫(xiě)在紙上。

存放機(jī)密材料的辦公室應(yīng)設(shè)專(zhuān)人值班，注意檢查開(kāi)、關(guān)門(mén)情況，并察看機(jī)密材料是否放

入安全箱或柜內(nèi)，辦公室的門(mén)、窗是否關(guān)好。在工作人員吃飯或休息時(shí)，室內(nèi)應(yīng)有人看管。

4.33.3介質(zhì)的管理

為保證介質(zhì)的存放安全和使用安全，介質(zhì)的存放和管理應(yīng)有相應(yīng)的制度和措施。

Q)存放有用數(shù)據(jù)的各類(lèi)記錄介質(zhì)，如紙介質(zhì)、磁介質(zhì)、半導(dǎo)體介質(zhì)和光介質(zhì)等，應(yīng)有

一定措施防止被盜、被毀和受損，例如將介質(zhì)放在有專(zhuān)人職守的庫(kù)房或密碼文件柜內(nèi)。

(2)存放重要數(shù)據(jù)和關(guān)鍵數(shù)據(jù)的各類(lèi)記錄介質(zhì)，應(yīng)采取有效措施，如建立介質(zhì)庫(kù)、異地

存放等，防止被盜、被毀和發(fā)霉變質(zhì)。

(3)系統(tǒng)中有很高使用價(jià)值或很高機(jī)密程度的重要數(shù)據(jù)，或者對(duì)系統(tǒng)運(yùn)行和應(yīng)用來(lái)說(shuō)起

關(guān)鍵作用的數(shù)據(jù)，應(yīng)采用加密等方法進(jìn)行保護(hù)。

(4)應(yīng)該刪除和銷(xiāo)毀的有用數(shù)據(jù)，應(yīng)有一定措施，防止被非法拷貝，例如由專(zhuān)人負(fù)責(zé)集

中銷(xiāo)毀。

(5)應(yīng)該刪除和銷(xiāo)毀的重要數(shù)據(jù)和關(guān)鍵數(shù)據(jù)，應(yīng)采取有效措施，防止被非法拷貝。

(6)重要數(shù)據(jù)的銷(xiāo)毀和處理，要有嚴(yán)格的管理和審批手續(xù)，而對(duì)于關(guān)鍵數(shù)據(jù)則應(yīng)長(zhǎng)期保

word版整理

范文范例指導(dǎo)參考

存。

4.33.4磁介質(zhì)信息的可靠消除

目前，計(jì)算機(jī)最常用的存儲(chǔ)介質(zhì)還是磁介質(zhì)，丟失、廢棄的磁盤(pán)也是導(dǎo)致泄密的一個(gè)主

要原因。所有磁介質(zhì)都存在剩磁效應(yīng)的問(wèn)題，保存在磁介質(zhì)中的信息會(huì)使磁介質(zhì)不同程度地

永久性磁化，所以磁介質(zhì)上記載的信息在一定程度上是很難清除的，即使采用格式化等措施

后，使用高靈敏度的磁頭和放大器也可以將已清除信息(覆蓋)的磁盤(pán)上的原有信息提取出來(lái)。

(1)軟盤(pán)涉密信息的消除

由于軟盤(pán)價(jià)格低廉，沒(méi)有金屬的外保護(hù)層，因此可以采用物理粉碎的辦法進(jìn)行涉密信息

的消除，即在對(duì)軟盤(pán)格式化后，采用專(zhuān)用的粉碎設(shè)備，將軟盤(pán)粉碎到小于一定尺寸的顆粒度，

使得竊取者無(wú)法還原軟盤(pán)曾經(jīng)存儲(chǔ)的涉密信息。另外，強(qiáng)磁場(chǎng)消磁法，即讓軟盤(pán)處在強(qiáng)磁場(chǎng)

中一段時(shí)間，也能夠有效地消除其上的殘余信息。

(2)硬盤(pán)涉密信息的消除

硬盤(pán)從結(jié)構(gòu)上具有一定的特殊性。為了進(jìn)行高速的存儲(chǔ)和讀取數(shù)據(jù)，用來(lái)實(shí)際存儲(chǔ)數(shù)據(jù)

的硬盤(pán)的盤(pán)片被放置在一個(gè)金屬的保護(hù)殼內(nèi)，稱(chēng)為溫徹斯特硬盤(pán)。盤(pán)片主要由基底、襯底層、

磁性層、覆蓋層和潤(rùn)滑層五部分構(gòu)成。

硬盤(pán)即使采取低級(jí)格式化的方式也不能完全消除曾經(jīng)存儲(chǔ)過(guò)的信息，可以采用以下幾種

方式進(jìn)行信息的徹底消除。

物理粉碎：廢棄硬盤(pán)的信息消除可以采用物理粉碎的方式，然而由于其結(jié)構(gòu)的特殊性，

拆除其金屬外殼較為困難，對(duì)其盤(pán)片的粉碎也很困難。因此，物理粉碎的方法由于缺少專(zhuān)用

設(shè)備，在實(shí)際中難以采用，實(shí)際應(yīng)用中只見(jiàn)于一些大型企業(yè)應(yīng)用大型沖壓機(jī)將其徹底毀壞。

word版整理

范文范例指導(dǎo)參考

(3)銷(xiāo)毀機(jī)

現(xiàn)在已經(jīng)出現(xiàn)一種根據(jù)硬盤(pán)內(nèi)部DSP作用機(jī)理，采用覆蓋、重排和打亂的方式，將盤(pán)

片上面的數(shù)據(jù)徹底消除干凈的小型設(shè)備，非常方便可靠。其實(shí)，一般用戶(hù)采用徹底覆蓋的方

式，就可以將數(shù)據(jù)清除得相當(dāng)干凈，尤其是覆蓋5次以上時(shí)，要想將這些數(shù)據(jù)重新恢復(fù)，其

成本將是不可估量的。

4.3.4安防設(shè)備

在監(jiān)控過(guò)程中，保安部門(mén)常提出的問(wèn)題就是：為什么要我整天目不轉(zhuǎn)睛地盯著電視墻

呢？說(shuō)實(shí)話(huà)，這樣盯沒(méi)什么效果，因?yàn)槎⒘?0來(lái)分鐘就頭暈?zāi)垦?，注意力也不集中了。?/p>

不能讓視頻監(jiān)控系統(tǒng)在事件發(fā)生時(shí)實(shí)時(shí)報(bào)警？目前的7x24小時(shí)視頻監(jiān)控系統(tǒng)是在事件發(fā)

生后再去查詢(xún)。這時(shí)，事件已經(jīng)發(fā)生，損失已經(jīng)造成，疑犯己經(jīng)跑了。能不能只針對(duì)需要監(jiān)

控的對(duì)象和事件報(bào)警呢？目前的移動(dòng)偵測(cè)，不管是什么東西觸動(dòng)了系統(tǒng)，它都報(bào)警。能不能

只針對(duì)圖像中的重要區(qū)域或分界線(xiàn)報(bào)警呢？只要監(jiān)視有沒(méi)有人或車(chē)越界就行了。

這些問(wèn)題都形象地反映了傳統(tǒng)視頻監(jiān)控的局限性：是事后記錄，不是預(yù)警工具；是被動(dòng)

的，無(wú)法提供有效、實(shí)時(shí)的指導(dǎo)行動(dòng)的信息。

研究表明：即使指派一個(gè)非常敬業(yè)的人，也無(wú)法支撐一個(gè)高效的安全系統(tǒng)。僅僅20分

鐘后，人們對(duì)視頻監(jiān)視器的注意力就會(huì)下降到一個(gè)很低的水平。

以前的安防設(shè)備，主要是錄像監(jiān)控設(shè)備，現(xiàn)在市場(chǎng)上已經(jīng)有智能監(jiān)控產(chǎn)品出現(xiàn)，不僅可

以監(jiān)控，還可以設(shè)置各種閥值進(jìn)行報(bào)警，并區(qū)分不同的物體，是人、物體，還是交通工具等。

它可以變事后查詢(xún)?yōu)轭A(yù)警，變被動(dòng)為主動(dòng)。具體說(shuō)來(lái)，具有偵測(cè)和鑒別指定的對(duì)象，如人、

車(chē)輛、船只、飛機(jī)等；明確區(qū)分威脅對(duì)象和非威脅對(duì)象，大大減少誤報(bào)警；跟蹤指定的事件,

word版整理

范文范例指導(dǎo)參考

穿越虛擬警戒線(xiàn)或虛擬警戒區(qū)、遺留可疑物體、物體丟失；徘徊/游蕩行為、反向流動(dòng)、超

速等威脅行為，自動(dòng)撲捉并放大跟蹤監(jiān)視對(duì)象；多種方式實(shí)時(shí)發(fā)送警訊，如報(bào)警控制臺(tái)、

E-mail,PDA、手機(jī)、聲音等；兼容任何現(xiàn)有的視頻監(jiān)控系統(tǒng),適用于各種類(lèi)型的攝像機(jī),

任何環(huán)境下都有效；基于網(wǎng)絡(luò)，兼容模擬視頻和網(wǎng)絡(luò)視頻，可將模擬視頻轉(zhuǎn)化為網(wǎng)絡(luò)視頻。

4.3.5竊取技術(shù)防護(hù)

竊取技術(shù)就是秘密的獲取信息，包括竊聽(tīng)技術(shù)。

4.3.5.1竊聽(tīng)技術(shù)

竊聽(tīng)是通過(guò)各種技術(shù)手段來(lái)獲取目標(biāo)的聲音內(nèi)容。因?yàn)橥ㄟ^(guò)聽(tīng)到目標(biāo)的談話(huà)內(nèi)容，就可

能得到許多重要信息，因此許多國(guó)家的情報(bào)機(jī)關(guān)都把竊聽(tīng)作為獲取情報(bào)的重要手段。與其他

情報(bào)技術(shù)相比，竊聽(tīng)具有簡(jiǎn)便、可靠、安全的特點(diǎn)，發(fā)達(dá)國(guó)家把最先進(jìn)的電子技術(shù)應(yīng)用于竊

聽(tīng)器的研究，并大量的使用?，F(xiàn)在，竊聽(tīng)技術(shù)達(dá)到了很高的水平，包括電話(huà)線(xiàn)路（通信線(xiàn)路）

竊聽(tīng)（如電話(huà)局內(nèi)部工作人員竊聽(tīng)、串聯(lián)和并聯(lián)型線(xiàn)路發(fā)射器竊聽(tīng)、磁場(chǎng)感應(yīng)竊聽(tīng)、高阻抗

放大器竊聽(tīng)、磁帶錄音轉(zhuǎn)接器、配線(xiàn)室竊聽(tīng)、分線(xiàn)盒竊聽(tīng)、電話(huà)插座竊聽(tīng)、無(wú)限遠(yuǎn)諧波竊聽(tīng)

等各種竊聽(tīng)方式）、場(chǎng)所竊聽(tīng)（如有線(xiàn)竊聽(tīng)、無(wú)線(xiàn)竊聽(tīng)、紅外線(xiàn)竊聽(tīng)器、激光竊聽(tīng)器、聲音的

直接竊聽(tīng)裝置等）、無(wú)線(xiàn)（移動(dòng)）通信信號(hào)接收并破解，以及無(wú)線(xiàn)局域網(wǎng)的安全問(wèn)題及漏洞攻擊，

藍(lán)牙無(wú)線(xiàn)通信技術(shù)問(wèn)題等。

word版整理

范文范例指導(dǎo)參考

43.5.2竊照技術(shù)

竊照不僅是反間諜機(jī)關(guān)用來(lái)獲取證據(jù)的手段，也是獲取情報(bào)的有效方法。竊照的內(nèi)容包

括秘密文件、設(shè)備的圖片、場(chǎng)所的景象，以及特殊任務(wù)的活動(dòng)等。由于拍攝內(nèi)容和環(huán)境的不

同，在拍照手法和使用設(shè)備上都可能有所差別，包括固定位置竊照技術(shù)（固定位置普通器材

竊照和間諜衛(wèi)星及高空偵察機(jī)）、手持小型竊照裝置（如超小型相機(jī)、隱蔽式相機(jī)和拷貝相機(jī)）

等。

總之，信息之間的對(duì)抗無(wú)處不在，手段也是無(wú)窮無(wú)盡。我們要保護(hù)好核心數(shù)據(jù)，但沒(méi)有

必要過(guò)度保護(hù)，即保護(hù)成本與被保護(hù)目標(biāo)的價(jià)值要相匹配。

4.4服務(wù)器安全

4.4.1服務(wù)器硬件安全

硬件安全主要指的是服務(wù)器的物理硬件的損壞、故障及環(huán)境的保護(hù)。物理硬件包括網(wǎng)卡，

硬盤(pán)，電源等，這些在有冗余保障的情況下盡量采用冗余來(lái)保障服務(wù)器的安全性。例如：網(wǎng)

卡可以在服務(wù)器上做雙網(wǎng)卡綁定，硬盤(pán)可以做Had保護(hù)，電源一般采用冗余電源等。物理

環(huán)境指機(jī)房的環(huán)境安全，避免惡略環(huán)境造成的不利因素，如：網(wǎng)線(xiàn)質(zhì)量問(wèn)題，突然斷電等。

4.4.2服務(wù)器系統(tǒng)安全

服務(wù)器系統(tǒng)安全比較重要，隨著IT技術(shù)的革新，各種病毒層出不窮，黑客們的花招也

越來(lái)越多。而處于互聯(lián)網(wǎng)這個(gè)相對(duì)開(kāi)放環(huán)境中的服務(wù)器遭受的風(fēng)險(xiǎn)比以前更大了。越來(lái)越多

word版整理

范文范例指導(dǎo)參考

的服務(wù)器攻擊、服務(wù)器安全漏洞，以及商業(yè)間諜隱患時(shí)刻威脅著服務(wù)器安全。服務(wù)器的安全

問(wèn)題越來(lái)越受到關(guān)注。

服務(wù)器安全一：從基本做起，及時(shí)安裝系統(tǒng)補(bǔ)丁

不論是Windows還是Linux,任何操作系統(tǒng)都有漏洞，及時(shí)的打上補(bǔ)丁避免漏洞被蓄意

攻擊利用，是服務(wù)器安全最重要的保證之一。

服務(wù)器安全二：安裝和設(shè)置防火墻

現(xiàn)在有許多基于硬件或軟件的防火墻，很多安全廠(chǎng)商也都推出了相關(guān)的產(chǎn)品。對(duì)服務(wù)器

安全而言，安裝防火墻非常必要。防火墻對(duì)于非法訪(fǎng)問(wèn)具有很好的預(yù)防作用，但是安裝了防

火墻并不等于服務(wù)器安全了。在安裝防火墻之后，你需要根據(jù)自身的網(wǎng)絡(luò)環(huán)境，對(duì)防火墻進(jìn)

行適當(dāng)?shù)呐渲靡赃_(dá)到最好的防護(hù)效果。

服務(wù)器安全三：安裝網(wǎng)絡(luò)殺毒軟件

現(xiàn)在網(wǎng)絡(luò)上的病毒非常猖獗，這就需要在網(wǎng)絡(luò)服務(wù)器上安裝網(wǎng)絡(luò)版的殺壽軟件來(lái)控制病

毒傳播，同時(shí)，在網(wǎng)絡(luò)殺毒軟件的使用中，必須要定期或及時(shí)升級(jí)殺毒軟件，并且每天自動(dòng)

更新病毒庫(kù)。

服務(wù)器安全四：關(guān)閉不需要的服務(wù)和端口

服務(wù)器操作系統(tǒng)在安裝時(shí)，會(huì)啟動(dòng)一些不需要的服務(wù)，這樣會(huì)占用系統(tǒng)的資源，而且也

會(huì)增加系統(tǒng)的安全隱患。對(duì)于一段時(shí)間內(nèi)完全不會(huì)用到的服務(wù)器，可以完全關(guān)閉;對(duì)于期間

要使用的服務(wù)器，也應(yīng)該關(guān)閉不需要的服務(wù)，如Telnet等。另外，還要關(guān)掉沒(méi)有必要開(kāi)的

TCP端口。

服務(wù)器安全五：定期對(duì)服務(wù)器進(jìn)行備份

為防止不能預(yù)料的系統(tǒng)故障或用戶(hù)不小心的非法操作，必須對(duì)系統(tǒng)進(jìn)行安全備份。除了

對(duì)全系統(tǒng)進(jìn)行每月一次的備份外，還應(yīng)對(duì)修改過(guò)的數(shù)據(jù)進(jìn)行每周一次的備份。同時(shí)，應(yīng)該將

word版整理