時(shí)訊通電子服務(wù)器項(xiàng)目設(shè)計(jì)方案

1、時(shí)訊通電子服務(wù)器項(xiàng)目設(shè)計(jì)方案項(xiàng)目成員： 指導(dǎo)老師： 目 錄1項(xiàng)目設(shè)計(jì)整體概述41.1項(xiàng)目建設(shè)目標(biāo)41.2項(xiàng)目設(shè)計(jì)主要原則42企業(yè)IT系統(tǒng)方案設(shè)計(jì)62.1企業(yè)IT系統(tǒng)拓?fù)鋱D6網(wǎng)絡(luò)系統(tǒng)拓?fù)鋱D6AD總體架構(gòu)拓?fù)鋱D72.2網(wǎng)絡(luò)基本架構(gòu)規(guī)劃7活動(dòng)目錄森林和域結(jié)構(gòu)7組織單元（OU）規(guī)劃8活動(dòng)目錄站點(diǎn)拓?fù)?0DC、GC和FSMO操作主機(jī)11設(shè)計(jì)要點(diǎn)11放置DC服務(wù)器11放置RODC服務(wù)器12放置GC服務(wù)器12FSMO操作主機(jī)的角色分配12網(wǎng)段劃分與IP地址分配13DHCP的部署方案17DNS部署方案18用戶與計(jì)算機(jī)對(duì)象命名規(guī)范19操作系統(tǒng)與應(yīng)用軟件的部署規(guī)劃192.3資源共享規(guī)劃20文件服務(wù)的規(guī)劃20配置與

2、管理存儲(chǔ)技術(shù)20配置與管理分布式文件系統(tǒng)20打印服務(wù)的規(guī)劃22Web站點(diǎn)規(guī)劃222.4網(wǎng)絡(luò)系統(tǒng)安全方案規(guī)劃24網(wǎng)絡(luò)安全體系結(jié)構(gòu)24網(wǎng)絡(luò)現(xiàn)狀分析和安全需求25網(wǎng)絡(luò)結(jié)構(gòu)的分析25網(wǎng)絡(luò)系統(tǒng)安全風(fēng)險(xiǎn)分析26網(wǎng)絡(luò)安全現(xiàn)狀評(píng)估28網(wǎng)絡(luò)安全需求分析29網(wǎng)絡(luò)安全整體解決方案29PKI規(guī)劃與設(shè)計(jì)29網(wǎng)絡(luò)訪問(wèn)保護(hù)（NAP）方案30企業(yè)補(bǔ)丁管理方案31企業(yè)用戶密碼策略32VPN站點(diǎn)之間安全鏈接33IPSec332.5數(shù)據(jù)備份和災(zāi)難恢復(fù)規(guī)劃34AD的日常數(shù)據(jù)備份34企業(yè)重要數(shù)據(jù)的備份35AD的日常數(shù)據(jù)還原353項(xiàng)目管理與實(shí)施計(jì)劃351 項(xiàng)目設(shè)計(jì)整體概述1.1 項(xiàng)目建設(shè)目標(biāo)根據(jù)時(shí)訊通科技有限公司信息化辦公網(wǎng)絡(luò)的總體需求

3、，采用先進(jìn)的計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備和軟件，以及先進(jìn)的系統(tǒng)集成管理模式，實(shí)現(xiàn)一個(gè)高效的辦公網(wǎng)絡(luò)體系。能為處于上?？偛康膯T工和北京分公司的子域員工提供高質(zhì)量的信息化辦公網(wǎng)絡(luò)服務(wù)。滿足集團(tuán)內(nèi)員工的各種辦公需求，且便于集團(tuán)管理員進(jìn)行統(tǒng)一管理配置，形成一高效的時(shí)訊通科技有限公司信息化辦公系統(tǒng)。可將時(shí)訊通科技有限公司內(nèi)部形成高效、通暢、安全的網(wǎng)絡(luò)體系，初步實(shí)現(xiàn)公文管理、資源共享、打印管理的電子化、網(wǎng)絡(luò)化。對(duì)外連接到Internet，使公司保持與外界先進(jìn)事物以及合作伙伴、公司客戶的密切聯(lián)系，并發(fā)布公司的相關(guān)信息。同時(shí)，通過(guò)現(xiàn)有的網(wǎng)絡(luò)總公司和各子公司可以保持緊密聯(lián)系。網(wǎng)絡(luò)中的各類服務(wù)器設(shè)備、客戶機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備以及

4、各種操作系統(tǒng)、應(yīng)用軟件將考慮技術(shù)上的先進(jìn)性、國(guó)內(nèi)外及各行業(yè)的通用性，并且要有良好的市場(chǎng)形象與售后技術(shù)支持，便于維護(hù)、升級(jí)。選購(gòu)的同時(shí)，將考慮在滿足功能與性能的基礎(chǔ)上的最優(yōu)性價(jià)比。1.2 項(xiàng)目設(shè)計(jì)主要原則要實(shí)現(xiàn)時(shí)訊通科技有限公司的信息化辦公網(wǎng)絡(luò)需要各種基礎(chǔ)架構(gòu)以及相應(yīng)的應(yīng)用服務(wù)，最后結(jié)合高效的管理才得以實(shí)現(xiàn)。所以在為時(shí)訊通科技有限公司進(jìn)行規(guī)劃設(shè)計(jì)時(shí)在滿足需求，提供可擴(kuò)展性，穩(wěn)定性，保證集團(tuán)網(wǎng)路的可靠性和安全性。具體的來(lái)講，在為時(shí)訊通科技有限公司進(jìn)行設(shè)計(jì)的時(shí)候遵循以下原則：1) 穩(wěn)定性：采用經(jīng)國(guó)內(nèi)國(guó)外實(shí)踐證明是實(shí)用的、成功的網(wǎng)絡(luò)技術(shù)、網(wǎng)絡(luò)產(chǎn)品。2) 先進(jìn)性：采用目前先進(jìn)的網(wǎng)絡(luò)技術(shù)和產(chǎn)品，以適應(yīng)公司

5、發(fā)展的需要。3) 通用性：網(wǎng)絡(luò)系統(tǒng)中的硬件或軟件模塊能根據(jù)實(shí)際情況，進(jìn)行各種組合和靈活的配置，以適應(yīng)技術(shù)的發(fā)展和業(yè)務(wù)需求的變化。4) 平滑升級(jí)和投資保護(hù)：系統(tǒng)可根據(jù)功能和規(guī)模的發(fā)展進(jìn)行平滑升級(jí)到未來(lái)的新技術(shù)和新功能以保護(hù)客戶的投資、可靠、經(jīng)濟(jì)、力爭(zhēng)最佳性價(jià)比。5) 可靠性：根據(jù)實(shí)際應(yīng)用需要，可考慮采用高可靠性的設(shè)備和必要的容錯(cuò)措施（如：硬件容錯(cuò)，軟件容錯(cuò)、系統(tǒng)容錯(cuò)）。6) 開(kāi)放性和標(biāo)準(zhǔn)化：系統(tǒng)設(shè)計(jì)中優(yōu)先采用有關(guān)的國(guó)際標(biāo)準(zhǔn)、國(guó)家標(biāo)準(zhǔn)、主流的行業(yè)標(biāo)準(zhǔn)和規(guī)范，以保障網(wǎng)絡(luò)的開(kāi)放性。7) 可管理性：網(wǎng)絡(luò)應(yīng)具有網(wǎng)絡(luò)管理設(shè)施，以實(shí)現(xiàn)配置管理、性能管理、故障管理、統(tǒng)計(jì)管理、安全管理等五個(gè)方面的網(wǎng)管功能。8)

6、安全性：根據(jù)業(yè)務(wù)安全性的實(shí)際需要，應(yīng)采用切實(shí)可行的安全措施。9) 可用性：網(wǎng)絡(luò)應(yīng)滿足峰值業(yè)務(wù)需求，保證在3-5年內(nèi)的可用性，并具有很好的可維護(hù)性。隨著網(wǎng)絡(luò)結(jié)構(gòu)不斷調(diào)整及發(fā)展，勢(shì)必會(huì)積累一些安全及運(yùn)行的隱患，要及時(shí)的發(fā)現(xiàn)及消除，這不僅需要購(gòu)買專業(yè)的維護(hù)保養(yǎng)服務(wù)和相關(guān)硬件，還需要專業(yè)的網(wǎng)絡(luò)系統(tǒng)工程師去判斷及處理。通過(guò)設(shè)備和管理雙結(jié)合，保障系統(tǒng)安全、穩(wěn)定的運(yùn)行，將系統(tǒng)停機(jī)時(shí)間減少到最少，保護(hù)公司數(shù)據(jù)安全。2 企業(yè)IT系統(tǒng)方案設(shè)計(jì)2.1 企業(yè)IT系統(tǒng)拓?fù)鋱D2.1.1 網(wǎng)絡(luò)系統(tǒng)拓?fù)鋱D2.1.2 AD總體架構(gòu)拓?fù)鋱D2.2 網(wǎng)絡(luò)基本架構(gòu)規(guī)劃2.2.1 活動(dòng)目錄森林和域結(jié)構(gòu)現(xiàn)在企業(yè)對(duì)信息技術(shù)的要求越來(lái)越高，如

7、何更加高效地組織和管理好公司網(wǎng)絡(luò)現(xiàn)有資源，并使其發(fā)揮最大作用已經(jīng)成為每個(gè)企業(yè)都需要面臨的問(wèn)題。Windows操作系統(tǒng)是企業(yè)中最普遍采用的操作系統(tǒng)，在這樣的環(huán)境下，活動(dòng)目錄無(wú)疑成了管理公司資源的最佳選擇。根據(jù)企業(yè)實(shí)際情況將其活動(dòng)目錄設(shè)計(jì)為單林雙域模式，為了實(shí)現(xiàn)方便靈活的管理，在上?？偛吭O(shè)立林根域：，在北京分公司設(shè)立：子域。 2.2.2 組織單元（OU）規(guī)劃為方便對(duì)企業(yè)域用戶和計(jì)算機(jī)進(jìn)行管理，利用“客戶端計(jì)算機(jī)與用戶”組織單元來(lái)組織所有的客戶機(jī)和用戶，在其下再建立各部門OU，用來(lái)組織本部門的客戶端計(jì)算機(jī)和用戶；另外，建立“成員服務(wù)器”組織單元來(lái)組織所有成員服務(wù)器，并在其下建立子OU來(lái)存放各種不同角

8、色的成員服務(wù)器。主域：建立組織單元后，將屬于該部門的用戶帳戶和計(jì)算機(jī)賬戶移動(dòng)到相應(yīng)的組織單元中。類似于下圖：2.2.3 活動(dòng)目錄站點(diǎn)拓?fù)淦髽I(yè)分布在上海和北京兩個(gè)地區(qū)，為了優(yōu)化活動(dòng)目錄的復(fù)制流量在每個(gè)地區(qū)設(shè)置為一個(gè)站點(diǎn)，每個(gè)站點(diǎn)定義相應(yīng)的子網(wǎng)，站點(diǎn)間采用IP連接作為站點(diǎn)間的數(shù)據(jù)復(fù)制傳輸方式。2.2.4 DC、GC和FSMO操作主機(jī) 設(shè)計(jì)要點(diǎn)設(shè)有兩個(gè)站點(diǎn)，計(jì)劃上海站點(diǎn)把2臺(tái)DC和1臺(tái)RODC放置在總部，并把兩臺(tái)DC都配置為GC，1臺(tái)RODC放置在分支辦事處，北京分公司站點(diǎn)放置1臺(tái)DC并配置為GC，1臺(tái)RODC。利用Windows 2008 AD多主復(fù)制的特性，域控制器之間的數(shù)據(jù)同步和

9、復(fù)制通過(guò)KCC算法自動(dòng)實(shí)現(xiàn)，避免手工配置干預(yù)。 放置DC服務(wù)器站點(diǎn)拓?fù)渲蟹?wù)器的位置對(duì)活動(dòng)目錄的可用性有直接的影響。在站點(diǎn)規(guī)劃過(guò)程決定了哪些站點(diǎn)中的每個(gè)域都有域控制器，但是并不能決定每個(gè)站點(diǎn)中的每個(gè)域放置的域控制器的數(shù)量。為一個(gè)特定域創(chuàng)建的域控制器的數(shù)量首先根據(jù)企業(yè)需求和實(shí)際情況并根據(jù)兩個(gè)因素：容錯(cuò)要求和負(fù)載分布要求。對(duì)于每個(gè)域，使用下列指導(dǎo)方針決定是否需要更多的域控制器： 總是至少創(chuàng)建兩個(gè)域控制器即使是用戶數(shù)量較少的小型域，至少也要?jiǎng)?chuàng)建兩個(gè)域控制器，這樣域就沒(méi)有單個(gè)故障點(diǎn)。在本項(xiàng)目中，我們?cè)O(shè)計(jì)有3臺(tái)DC，并且考慮遠(yuǎn)程容災(zāi)，應(yīng)該能夠較好地避免單點(diǎn)故障。 對(duì)于包含單個(gè)域控制器的每個(gè)

10、站點(diǎn)，決定是否信任 WAN 的故障轉(zhuǎn)移如果單個(gè)域控制器出現(xiàn)故障，可以由位于其他站點(diǎn)中那個(gè)域的域控制器服務(wù)站點(diǎn)中的客戶。如果網(wǎng)絡(luò)連接不太可靠或間歇可用，可能不能信任網(wǎng)絡(luò)處理故障轉(zhuǎn)移。在這種情況下，在站點(diǎn)中為該域放置第二個(gè)域控制器。 在站點(diǎn)中為域放置更多的域控制器以處理客戶工作量一個(gè)特定的服務(wù)器可以處理的客戶的數(shù)量取決于工作量和服務(wù)器的硬件配置。客戶從站點(diǎn)中的可用域控制器中隨機(jī)選擇以均勻地分配客戶負(fù)載。 放置RODC服務(wù)器RODC是只讀的，單向復(fù)制的域控制器。RODC通常放置在安全性無(wú)法保障的區(qū)域中。根據(jù)企業(yè)需求，我們?cè)谏虾：捅本┓謩e部署RODC，作為更新服務(wù)器組的成員，為受限客戶

11、端處理登錄請(qǐng)求。 放置GC服務(wù)器全局編錄服務(wù)器的有效性對(duì)于目錄的運(yùn)行是很關(guān)鍵的。例如，當(dāng)為本機(jī)模式（Windows 2008 Mode）域處理用戶登錄請(qǐng)求時(shí)或當(dāng)用戶使用用戶主要名稱登錄時(shí)，必須有一個(gè)全局編錄服務(wù)器可用。 FSMO操作主機(jī)的角色分配在FSMO角色設(shè)計(jì)時(shí)應(yīng)遵從以下原則：Active Directory 定義了五種操作主機(jī)角色（又稱）：架構(gòu)主機(jī) schema master域命名主機(jī) domain naming master相對(duì)標(biāo)識(shí)號(hào) (RID) 主機(jī) RID master主域控制器模擬器 PDC Emulator基礎(chǔ)結(jié)構(gòu)主機(jī) infrastructure

12、master根據(jù)企業(yè)情況和根據(jù)在FSMO角色設(shè)計(jì)時(shí)遵從的原則，上海總部的SH-DC擁有所有的操作主機(jī)角色，SH-DC2為備用的操作主機(jī)，北京分部的BJ-DC擁有所有操作主機(jī)角色。2.2.5 網(wǎng)段劃分與IP地址分配.實(shí)現(xiàn)IP 地址自動(dòng)化管理，并按地區(qū)實(shí)現(xiàn)子網(wǎng)劃分。分支辦事處.鑒于當(dāng)前IPV4地址枯竭，未來(lái)IPV6將取代IPV4，而且，現(xiàn)在已經(jīng)有很多網(wǎng)絡(luò)部署了IPV6協(xié)議，因此，從前瞻性考慮，為公司網(wǎng)絡(luò)部署IPV6協(xié)議，為全部網(wǎng)絡(luò)設(shè)備配置IPV6地址，同時(shí)為網(wǎng)絡(luò)配置IPV6 over IPV4隧道，以便IPV6網(wǎng)絡(luò)與IPV4網(wǎng)絡(luò)進(jìn)行無(wú)障礙通信。 目前，在沒(méi)有申請(qǐng)到全局單播地址的情況下，為公司部署站

13、點(diǎn)單播地址，公司總部使用FEC:1/64位地址前綴；分子辦事處使用FEC:2/64位地址前綴，北京分部使用FEC:3/64位地址前綴。另外在路由上配置ISATAP隧道，啟用客戶端ISATAP隧道協(xié)議。服務(wù)器配置靜態(tài)IPv6地址，客戶機(jī)通過(guò)路由器宣告IPv6前綴獲取IPv6地址。2.2.6 DHCP的部署方案因?yàn)榭蛻舳瞬捎脛?dòng)態(tài)地址形式，所有需要架設(shè)DHCP服務(wù)器。Queens分支辦事處與總部距離較近，采用在路由器上配置中繼代理，由中繼代理協(xié)議代理客戶端向主域DHCP申請(qǐng)IP地址?？紤]到主域的DHCP服務(wù)器既要為總部分配ip地址又要為分支辦事處分配ip地址，需要一個(gè)高可用性的服務(wù)環(huán)境，所以在上?？?/p>

14、部采用兩臺(tái)服務(wù)器做成DHCP服務(wù)器群集，而北京分部則架設(shè)一臺(tái)DHCP服務(wù)器。在主域DHCP服務(wù)器上為上海總部創(chuàng)建IPv4作用域支辦事處創(chuàng)建IPv4作用IPv4作用域。2.2.7 DNS部署方案n DNS服務(wù)器為活動(dòng)目錄集成方式（AD Integrated），所有的DC均為DNS服務(wù)器。好處是： DNS的復(fù)制將由活動(dòng)目錄完成，不需要為DNS服務(wù)器建立獨(dú)立的復(fù)制拓?fù)洹?活動(dòng)目錄服務(wù)復(fù)制提供了屬性級(jí)的復(fù)制粒度，而且支持增量復(fù)制。 活動(dòng)目錄復(fù)制安全性高。 不再有主DNS服務(wù)器，現(xiàn)在是多主模型，防止了單點(diǎn)失敗。n 配置企業(yè)內(nèi)部、外部DNS，滿足客戶對(duì)內(nèi)部、外部的查詢： 在內(nèi)部的DNS（在防火墻內(nèi)）上，因

15、為需要滿足內(nèi)部客戶的外部DNS查詢，需要?jiǎng)h除Root Hints區(qū)域(Zone)。同時(shí)設(shè)置DNS Forwarder為企業(yè)外部DNS。 在外部DNS（在防火墻外）上，只保存企業(yè)注冊(cè)的資源記錄(RR)，不能泄露內(nèi)部的域名信息。在外部DNS上，可以配置DNS Forwarder到ISP的DNS，或者直接保留缺省配置，安裝最新的Root Hint數(shù)據(jù)。 防火墻配置：必須進(jìn)行防火墻配置（NAT和端口），允許內(nèi)部DNS服務(wù)器進(jìn)行DNS Query。n 客戶機(jī)的查詢模式： 內(nèi)部查詢：從內(nèi)部DNS中直接查詢得到結(jié)果； 外部查詢：內(nèi)部DNS將查詢請(qǐng)求Forward到外部DNS，得到結(jié)果。n 客戶機(jī)的設(shè)置客戶機(jī)

16、和域控制器應(yīng)該使用至少兩個(gè)DNS服務(wù)器IP地址配置：一個(gè)首選本地服務(wù)器和一個(gè)備用服務(wù)器。備用服務(wù)器可以在本地站點(diǎn)，或者如果信任網(wǎng)絡(luò)處理故障轉(zhuǎn)移，也可以是遠(yuǎn)程的備用服務(wù)器。 DNS架構(gòu)設(shè)計(jì)如下圖：2.2.8 用戶與計(jì)算機(jī)對(duì)象命名規(guī)范為方便管理，客戶機(jī)命名按部門標(biāo)識(shí)加編號(hào)的方式進(jìn)行命名，如市場(chǎng)部的客戶機(jī)：market01；對(duì)于服務(wù)器的命名則按照該服務(wù)器所承擔(dān)的角色進(jìn)行命名，如果相同角色的服務(wù)器有多臺(tái)還可加相應(yīng)的編號(hào)，而對(duì)于不同地區(qū)相同角色的服務(wù)器，還可以加上相應(yīng)位置前綴進(jìn)行標(biāo)識(shí)。用戶命名實(shí)行實(shí)名制，即以用戶的真實(shí)姓名的拼音作為用戶賬戶，如果有重名可加部門或編號(hào)標(biāo)示。2.2.9 操作系統(tǒng)與應(yīng)用軟件的

17、部署規(guī)劃各種不同的操作系統(tǒng)可根據(jù)具體情況選擇通過(guò)手工方式進(jìn)行安裝，或通過(guò)windows Server 2008的WDS實(shí)現(xiàn)操作系統(tǒng)的自動(dòng)部署。對(duì)于各種不同的應(yīng)用軟件，就根據(jù)實(shí)際情況可選擇手工方式進(jìn)行安裝。或通過(guò)組策略實(shí)現(xiàn)應(yīng)用軟件的自動(dòng)分發(fā)。2.3 資源共享規(guī)劃2.3.1 文件服務(wù)的規(guī)劃 配置與管理存儲(chǔ)技術(shù)作為DFS文件系統(tǒng)的一部分，必須設(shè)計(jì)磁盤存儲(chǔ)的安全性。項(xiàng)目設(shè)計(jì)如下：所有的數(shù)據(jù)采用RAID 5卷存儲(chǔ)；允許用戶在Hrtemplates文件夾中存儲(chǔ)最大 100 MB 的數(shù)據(jù)。當(dāng)用戶超過(guò) 85% 的配額，或當(dāng)他們嘗試添加大于100 MB 的文件，應(yīng)有一個(gè)事件記錄到服務(wù)器上的事件查看

18、器上，并給用戶警告；不允許用戶存儲(chǔ).avi、MP*等視頻文件。 配置與管理分布式文件系統(tǒng)企業(yè)中部門文件繁多，資料復(fù)雜，企業(yè)員工需要記住不同的共享路徑來(lái)訪問(wèn)共享文件，這樣的設(shè)計(jì)不夠人性化，同時(shí)也未管理人員帶來(lái)巨大的管理工作。企業(yè)需要使得員工方便統(tǒng)一地訪問(wèn)公司中相應(yīng)部門的共享資料，同時(shí)也方便管理員統(tǒng)一管理各個(gè)共享文件。利用Windows Server 2008的DFS（分布式文件系統(tǒng)）在文件服務(wù)器上搭建文件共享服務(wù)。通過(guò)DFS，可以將分散在同一網(wǎng)絡(luò)中的不同計(jì)算機(jī)上的共享資源組織起來(lái)，形成一個(gè)單獨(dú)的、邏輯的和層次式的共享文件系統(tǒng)。這樣，用戶在訪問(wèn)文件時(shí)不需要知道它們的實(shí)際物理位置，也不

19、需要記住各個(gè)不同的共享路徑，或以容易訪問(wèn)和管理物理上跨網(wǎng)絡(luò)分布的文件。為此，選擇在文件服務(wù)器SH-FILE上創(chuàng)建一個(gè)DFS根目錄，命名為resource，這樣，用戶就可以通過(guò)文件訪問(wèn)路徑 resource直接訪問(wèn)企業(yè)的共享資源。另外，為方便公司用戶訪問(wèn)共享文件，利用組策略在客戶端定義一塊虛擬網(wǎng)絡(luò)驅(qū)動(dòng)器“Z”指向DFS文件系統(tǒng)的根root。為公司各部門創(chuàng)建共享節(jié)點(diǎn)，并利用AGDLP方式控制權(quán)限。每個(gè)部門的普通員工只能以只讀方式訪問(wèn)本部門的共享文件夾，部門經(jīng)理可以完全控制訪問(wèn)本部門的共享文件夾，以只讀方式訪問(wèn)其他部門的共享文件夾。當(dāng)用戶從網(wǎng)絡(luò)訪問(wèn)一個(gè)存儲(chǔ)在NTFS文件系統(tǒng)的共享文件夾時(shí)候，會(huì)受兩種

20、權(quán)限的約束，而有效權(quán)限是兩者最嚴(yán)格的權(quán)限。共享權(quán)限NTFS權(quán)限有效權(quán)限完全控制完全控制完全控制更改修改讀取讀取拒絕訪問(wèn)拒絕訪問(wèn)更改完全控制修改修改修改讀取讀取拒絕訪問(wèn)拒絕訪問(wèn)讀取完全控制讀取修改讀取讀取讀取拒絕訪問(wèn)拒絕訪問(wèn)拒絕訪問(wèn)完全控制拒絕訪問(wèn)修改拒絕訪問(wèn)讀取拒絕訪問(wèn)拒絕訪問(wèn)拒絕訪問(wèn)表3-14 權(quán)限關(guān)系表依據(jù)上面的組合權(quán)限，制定下表對(duì)各部門文件夾訪問(wèn)進(jìn)行控制。文件名專用于組名(類型)共享權(quán)限NTFS權(quán)限Finance財(cái)務(wù)部FinAdmins (G)更改修改Fins(G)讀取讀取和執(zhí)行SH-Managers(DL)讀取讀取和執(zhí)行Managerment管理部ManAdmins (G)更改修改Ma

21、ns (G)讀取讀取和執(zhí)行SH-Managers(DL)讀取讀取和執(zhí)行Administrator行政部AdmAminss(G)更改修改Adms(G)讀取讀取和執(zhí)行SH-Managers(DL)讀取讀取和執(zhí)行 Market市場(chǎng)部MarAdmins（G）更改修改Markets（G）讀取讀取和執(zhí)行SH-Managers(DL)讀取讀取和執(zhí)行Sales銷售部SalesAdmins（G)mgrs(G)更改修改Sales (G)讀取讀取和執(zhí)行SH-Managers(DL)讀取讀取和執(zhí)行ITIT部ITAdmin (G)更改修改ITs(G)讀取讀取和執(zhí)行SH-Managers(DL)讀取讀取和執(zhí)行R&D研發(fā)部

22、R&DAdmin (G)更改修改R&Ds(G)讀取讀取和執(zhí)行BJ-Managers(DL)讀取讀取和執(zhí)行Production生產(chǎn)管理部ProAdmins（G）更改修改Pros（G）讀取讀取和執(zhí)行BJ-Managers（DL）讀取讀取和執(zhí)行允許父項(xiàng)的繼承權(quán)限傳播到該對(duì)象中所有子對(duì)象。包括那些在此明確定義的項(xiàng)（A）DFS部署架構(gòu)圖：由于公司的部分文件夾存放在總部的文件服務(wù)器上，分公司用戶要訪問(wèn)總部文件服務(wù)器上的文件要跨越廣域網(wǎng)，速度較慢。為了方便分公司的員工訪問(wèn)總部文件服務(wù)器上的文件，在分公司的文件服務(wù)器BJ-FILE上創(chuàng)建和總公司同名的共享文件夾，讓后利用DFSR將數(shù)據(jù)在這兩臺(tái)文件服務(wù)器上保持同

23、步并提供冗余。通過(guò)DFSR，使分公司始終連接到本部的文件服務(wù)器上，如果分公司的文件服務(wù)器不可用，那么分部客戶端將故障轉(zhuǎn)移到總部的文件服務(wù)器。另外，通過(guò)配置客戶端故障恢復(fù)，那么分部客戶端將在分部的文件服務(wù)器恢復(fù)之后故障回復(fù)到分部的文件服務(wù)器。2.3.2 打印服務(wù)的規(guī)劃在windows server 2008系統(tǒng)中，我們可以利用打印管理控制臺(tái)來(lái)對(duì)企業(yè)中的所有打印機(jī)進(jìn)行統(tǒng)一管理，從而簡(jiǎn)化管理員的管理工作。此外，要將打印機(jī)部署到眾多的計(jì)算機(jī)或者用戶，我們可以使用組策略對(duì)它進(jìn)行指派。通過(guò)組策略來(lái)指派打印機(jī)的做法更便于人們使用，因?yàn)椴恍枰藗冊(cè)偎阉鬟m當(dāng)?shù)拇蛴C(jī)了，經(jīng)過(guò)指派系統(tǒng)已經(jīng)將該打印機(jī)提供出來(lái)了。已經(jīng)

24、指派的打印機(jī)會(huì)根據(jù)策略中的設(shè)置顯示相關(guān)用戶的“打印機(jī)”窗口中。2.3.3 Web站點(diǎn)規(guī)劃隨著網(wǎng)絡(luò)技術(shù)特別是Web技術(shù)的發(fā)展，網(wǎng)站成為企業(yè)展示形象，開(kāi)展業(yè)務(wù)的重要新渠道。特別是未來(lái)電子商務(wù)的需求，公司需要?jiǎng)?chuàng)建并發(fā)布自己的門戶網(wǎng)站。當(dāng)前，發(fā)布網(wǎng)站的平臺(tái)主要有Tomcat，Apache和IIS。在Windows Server 2008的平臺(tái)上，使用IIS來(lái)架構(gòu)Web服務(wù)器，能夠與平臺(tái)更好的兼容和結(jié)合，并且在配置，管理和維護(hù)都相對(duì)比較方便。為了避免Web服務(wù)器宕機(jī)導(dǎo)致網(wǎng)站不可用而造成業(yè)務(wù)中斷和信譽(yù)損失，使用微軟群集技術(shù)為Web服務(wù)器實(shí)現(xiàn)網(wǎng)絡(luò)負(fù)載平衡（NLB）。網(wǎng)絡(luò)負(fù)載平衡（NLB）提供高可用性、高可靠

25、性以及高可伸縮性，每個(gè)節(jié)點(diǎn)都是主動(dòng)節(jié)點(diǎn)，如果一個(gè)節(jié)點(diǎn)發(fā)生故障，其余的節(jié)點(diǎn)會(huì)接管并處理發(fā)往故障節(jié)點(diǎn)的請(qǐng)求。要為Web服務(wù)器部署NLB網(wǎng)絡(luò)負(fù)載均衡群集，每臺(tái)Web服務(wù)器都需要有兩塊網(wǎng)卡，其中一塊網(wǎng)卡的IP地址叫做公用IP地址，用于提供外部的訪問(wèn)；另一塊網(wǎng)卡的IP地址叫做專用IP地址，用于群集內(nèi)各個(gè)節(jié)點(diǎn)之間的相互通信。這兩個(gè)IP地址分別屬于不同的網(wǎng)段。在配置完IP地址之后，按以下步驟部署NLB群集：1、在一臺(tái)Web服務(wù)器上新建一個(gè)NLB群集，名稱為“”2、把第二臺(tái)Web服務(wù)器添加到現(xiàn)有的NLB群集中。4、分別在每臺(tái)Web服務(wù)器上安裝IIS服務(wù)并制作一個(gè)簡(jiǎn)單的網(wǎng)頁(yè)，使外網(wǎng)用戶能夠通過(guò)Http訪問(wèn)。5、

26、為每臺(tái)Web服務(wù)器向CA申請(qǐng)Web服務(wù)器證書，將網(wǎng)站配置為安全站點(diǎn)實(shí)現(xiàn)內(nèi)網(wǎng)用戶的安全訪問(wèn)。6、在數(shù)據(jù)存儲(chǔ)方面，為了保證數(shù)據(jù)安全，提升數(shù)據(jù)存儲(chǔ)速率，并且降低存儲(chǔ)成本，通過(guò)在各個(gè)節(jié)點(diǎn)上部署RAID-5卷用來(lái)存儲(chǔ)網(wǎng)頁(yè)。具體部署場(chǎng)景如下圖：2.4 網(wǎng)絡(luò)系統(tǒng)安全方案規(guī)劃自Internet問(wèn)世以來(lái)，資源共享和信息安全一直作為一對(duì)矛盾體而存在著，計(jì)算機(jī)網(wǎng)絡(luò)資源共享的進(jìn)一步加強(qiáng)隨之而來(lái)的信息安全問(wèn)題也日益突出。據(jù)公安部的資料，利用計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行的各類違法行為在中國(guó)以每年30的速度遞增，中國(guó)95的與Internet相連的網(wǎng)絡(luò)管理中心都遭到過(guò)境內(nèi)外黑客的攻擊或侵入。無(wú)論是有意的攻擊，還是無(wú)意的誤操作，都將會(huì)給系統(tǒng)

27、帶來(lái)不可估量的損失。攻擊者可以竊聽(tīng)網(wǎng)絡(luò)上的信息，竊取用戶的口令、數(shù)據(jù)庫(kù)的信息；還可以篡改數(shù)據(jù)庫(kù)內(nèi)容，偽造用戶身份，否認(rèn)自己的簽名。更有甚者，攻擊者可以刪除數(shù)據(jù)庫(kù)內(nèi)容，摧毀網(wǎng)絡(luò)節(jié)點(diǎn)，釋放計(jì)算機(jī)病毒等等。2.4.1 網(wǎng)絡(luò)安全體系結(jié)構(gòu)網(wǎng)絡(luò)安全遵循“木桶原理”，即一個(gè)木桶的容積決定于組成它的最短的一塊木板，一個(gè)系統(tǒng)的安全強(qiáng)度等于它最薄弱環(huán)節(jié)的安全強(qiáng)度。因此，計(jì)算機(jī)網(wǎng)絡(luò)必須建立在一個(gè)完整的多層次的安全體系之上，任何的薄弱環(huán)節(jié)都將導(dǎo)致整個(gè)安全體系的崩潰。 同時(shí)，也要求安全解決方案中所有的安全產(chǎn)品等所采用的安全核心技術(shù)必須采用具有自主知識(shí)產(chǎn)權(quán)或源碼開(kāi)放的產(chǎn)品。網(wǎng)絡(luò)安全體系結(jié)構(gòu)完整的安全體系可由四部分構(gòu)成，即

28、：可信的基礎(chǔ)安全設(shè)施、安全技術(shù)支撐平臺(tái)、安全管理體系和容災(zāi)與恢復(fù)機(jī)制。可信的基礎(chǔ)安全設(shè)施是一個(gè)為整個(gè)安全體系提供安全服務(wù)的基礎(chǔ)性平臺(tái)，為應(yīng)用系統(tǒng)和安全支撐平臺(tái)提供包括數(shù)據(jù)完整性、真實(shí)性、可用性、不可抵賴性和機(jī)密性在內(nèi)的安全服務(wù)。有了這一基礎(chǔ)設(shè)施，整個(gè)安全策略便有了實(shí)現(xiàn)的保證。安全技術(shù)支撐平臺(tái)是一個(gè)組合現(xiàn)有安全產(chǎn)品和技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)安全策略的平臺(tái)?；诙鄬哟蔚姆烙w系在各個(gè)層次上部署相關(guān)的網(wǎng)絡(luò)安全產(chǎn)品以增加攻擊和侵入時(shí)所需花費(fèi)的時(shí)間、成本和資源，從而有效地降低被攻擊的危險(xiǎn)，達(dá)到安全防護(hù)的目的。例如：訪問(wèn)控制可部署在網(wǎng)絡(luò)層的接入路由器、VLAN交換機(jī)和應(yīng)用層的身份認(rèn)證系統(tǒng)兩層之上。 網(wǎng)絡(luò)信息安全具有動(dòng)

29、態(tài)性的特點(diǎn)：網(wǎng)絡(luò)和應(yīng)用程序的未知漏洞具有動(dòng)態(tài)產(chǎn)生的特點(diǎn)；網(wǎng)絡(luò)升級(jí)優(yōu)化將導(dǎo)致系統(tǒng)配置動(dòng)態(tài)更新。這些都要求我們的防御系統(tǒng)必須具有動(dòng)態(tài)適應(yīng)能力，包括建立入侵檢測(cè)，安全評(píng)估系統(tǒng)等系統(tǒng)，并將它們與防火墻等設(shè)備結(jié)合成聯(lián)動(dòng)系統(tǒng)，以適應(yīng)網(wǎng)絡(luò)環(huán)境的變化。 安全管理體系也是網(wǎng)絡(luò)安全體系的重要組成部分。網(wǎng)絡(luò)安全的核心實(shí)際上是管理，安全技術(shù)實(shí)際上只是實(shí)現(xiàn)管理的一種手段，再好的技術(shù)手段都必須配合合理的制度才能發(fā)揮作用。需要制定的制度包括：日常系統(tǒng)操作及維護(hù)制度、審計(jì)制度、文檔管理制度、應(yīng)急響應(yīng)制度等。2.4.2 網(wǎng)絡(luò)現(xiàn)狀分析和安全需求 網(wǎng)絡(luò)結(jié)構(gòu)的分析（1）網(wǎng)絡(luò)概況 時(shí)訊通電子的局域網(wǎng)是一個(gè)中等規(guī)模的信息系

30、統(tǒng)，所聯(lián)接的現(xiàn)有600個(gè)左右的信息點(diǎn)為整個(gè)企業(yè)內(nèi)各部門提供了一個(gè)快速、方便的信息平臺(tái)。與Internet的連接，打通了一扇通向外部世界的窗戶，各個(gè)部門可以直接與互聯(lián)網(wǎng)用戶進(jìn)行交流、查詢資料等。通過(guò)DDN專線與其集團(tuán)內(nèi)北京分公司內(nèi)部網(wǎng)連接，便于信息交流與共享。高速交換技術(shù)、靈活的網(wǎng)絡(luò)互連方案在為用戶提供快速、方便、靈活通信平臺(tái)的同時(shí)，也為網(wǎng)絡(luò)的安全帶來(lái)了更大的風(fēng)險(xiǎn)。因此，在原有網(wǎng)絡(luò)上實(shí)施一套完整、可操作的安全解決方案不僅是可行的，而且是必需的。l 硬件、網(wǎng)絡(luò)系統(tǒng)：在IT資產(chǎn)方面，公司共計(jì)有400臺(tái)PC和100臺(tái)筆記本客戶端，近100臺(tái)服務(wù)器。擁有自己對(duì)外的郵件服務(wù)器和網(wǎng)站服務(wù)器，在未來(lái)2到3年內(nèi)

31、，這個(gè)數(shù)字可能還會(huì)成倍增長(zhǎng)。l 軟件系統(tǒng)：時(shí)訊通電子目前主要運(yùn)行Windows操作系統(tǒng)，服務(wù)器使用Windows 2003 Server和windows Server 2008，工作站有Windows 7內(nèi)部網(wǎng)部署了Windows 2008活動(dòng)目錄，域名分別是和。（3）網(wǎng)絡(luò)結(jié)構(gòu) 時(shí)訊通電子的網(wǎng)絡(luò)按訪問(wèn)區(qū)域可以劃分為四個(gè)主要的區(qū)域：北京總部?jī)?nèi)部網(wǎng)絡(luò)、分支辦事處、北京分公司內(nèi)部網(wǎng)和Internet外部網(wǎng)絡(luò)。內(nèi)部網(wǎng)絡(luò)又可按照所屬的部門、職能、安全重要程度分為許多子網(wǎng)，包括：財(cái)務(wù)子網(wǎng)、領(lǐng)導(dǎo)子網(wǎng)、辦公子網(wǎng)、技術(shù)部子網(wǎng)、中心服務(wù)器子網(wǎng)等，以及按照地理位置劃分位于不同區(qū)域的子網(wǎng)。在安全方案設(shè)計(jì)中，我們將基于

32、安全的重要程度和被保護(hù)的對(duì)象的類型，分別制定不同的安全策略，構(gòu)建整體安全方案。 （4）網(wǎng)絡(luò)應(yīng)用 時(shí)訊通電子的企業(yè)網(wǎng)絡(luò)為用戶提供如下主要應(yīng)用： l 內(nèi)部網(wǎng)提供用戶身份驗(yàn)證，文件共享、WEB服務(wù)l 提供與Internet的訪問(wèn)l 提供到北京分公司內(nèi)部網(wǎng)的信息交流和共享（5）網(wǎng)絡(luò)結(jié)構(gòu)的特點(diǎn) 在分析時(shí)訊通電子企業(yè)網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)時(shí)，我們考慮到網(wǎng)絡(luò)的如下幾個(gè)特點(diǎn)： l 網(wǎng)絡(luò)存在與Internet直接連接，因此在進(jìn)行安全方案設(shè)計(jì)時(shí)要考慮與Internet連接的有關(guān)風(fēng)險(xiǎn)，包括可能通過(guò)Internet傳播的病毒、黑客攻擊、來(lái)自Internet的非授權(quán)訪問(wèn)等l 網(wǎng)絡(luò)中存在發(fā)布的公開(kāi)服務(wù)器，由于公開(kāi)服務(wù)器對(duì)外必須開(kāi)

33、放部分業(yè)務(wù)，因此在進(jìn)行安全方案設(shè)計(jì)時(shí)應(yīng)該考慮采用安全服務(wù)器網(wǎng)絡(luò)，建議時(shí)訊通電子對(duì)這些服務(wù)器考慮額外的安全保護(hù)措施，比如應(yīng)用安全發(fā)布和入侵檢測(cè)等l 內(nèi)部網(wǎng)絡(luò)中存在多個(gè)子網(wǎng)，不同的子網(wǎng)有不同的安全性要求，因此在進(jìn)行安全方案設(shè)計(jì)時(shí)，應(yīng)考慮將不同功能和安全級(jí)別的網(wǎng)絡(luò)分割開(kāi)，在物理上可以通過(guò)交換機(jī)劃分VLAN來(lái)實(shí)現(xiàn)，同時(shí)應(yīng)用審計(jì)、訪問(wèn)控制等技術(shù)手段l 與北京分公司內(nèi)部網(wǎng)絡(luò)連接，要考慮到避免北京分公司用戶非法訪問(wèn)時(shí)訊通電子上?？偛啃畔?，也要避免北京總部?jī)?nèi)部用戶非法訪問(wèn)北京分公司內(nèi)部網(wǎng)數(shù)據(jù)，以及病毒在兩個(gè)網(wǎng)絡(luò)之間擴(kuò)散的可能性總而言之，在進(jìn)行時(shí)訊通電子信息安全方案設(shè)計(jì)時(shí)，我們將綜合考慮到貴企業(yè)網(wǎng)絡(luò)的特點(diǎn)，同時(shí)

34、結(jié)合性能、價(jià)格、潛在的安全風(fēng)險(xiǎn)，可管理性和可擴(kuò)展性等因素進(jìn)行綜合考慮。 網(wǎng)絡(luò)系統(tǒng)安全風(fēng)險(xiǎn)分析 隨著Internet網(wǎng)絡(luò)急劇擴(kuò)大和上網(wǎng)用戶迅速增加，風(fēng)險(xiǎn)變得更加嚴(yán)重和復(fù)雜。原來(lái)由單個(gè)計(jì)算機(jī)安全事故引起的損害可能傳播到其他系統(tǒng)，引起大范圍的癱瘓和損失；另外加上缺乏有效安全控制機(jī)制和對(duì)Internet安全政策的認(rèn)識(shí)不足，這些風(fēng)險(xiǎn)正日益嚴(yán)重。 針對(duì)時(shí)訊通電子網(wǎng)絡(luò)中存在的安全隱患，在進(jìn)行安全方案設(shè)計(jì)時(shí)，下述安全風(fēng)險(xiǎn)我們將重點(diǎn)考慮，并要針對(duì)面臨的風(fēng)險(xiǎn)，提出相應(yīng)的安全措施。 網(wǎng)絡(luò)安全可以從以下五個(gè)方面來(lái)理解：l 網(wǎng)絡(luò)物理是否安全l 網(wǎng)絡(luò)平臺(tái)是否安全l 系統(tǒng)是否安全l 應(yīng)用是否安全l 管理是否

35、安全針對(duì)每一類安全風(fēng)險(xiǎn)，結(jié)合時(shí)訊通電子網(wǎng)絡(luò)的實(shí)際情況，我們將具體分析網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)。 （1）物理安全風(fēng)險(xiǎn)分析 網(wǎng)絡(luò)的物理安全主要是指地震、水災(zāi)、火災(zāi)等環(huán)境事故；電源故障；人為操作失誤或錯(cuò)誤；設(shè)備被盜、被毀；電磁干擾；線路截獲?？梢酝ㄟ^(guò)實(shí)施高可用性的硬件、雙機(jī)冗余的設(shè)計(jì)、完善的數(shù)據(jù)備份機(jī)制、機(jī)房環(huán)境監(jiān)測(cè)及報(bào)警系統(tǒng)、提高管理員物理安全意識(shí)等手段來(lái)減少物理風(fēng)險(xiǎn)的威脅。物理安全是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提，在時(shí)訊通電子的網(wǎng)絡(luò)中，由于網(wǎng)絡(luò)集中在兩地，只要制定健全的安全管理制度，做好數(shù)據(jù)備份，并且加強(qiáng)網(wǎng)絡(luò)設(shè)備和機(jī)房的管理，這些風(fēng)險(xiǎn)是可以避免的。 （2）網(wǎng)絡(luò)平臺(tái)安全風(fēng)險(xiǎn)分析 網(wǎng)絡(luò)平臺(tái)的成熟與否直接影響整個(gè)系統(tǒng)能

36、否成功地建設(shè)，網(wǎng)絡(luò)平臺(tái)安全涉及到網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)路由狀況及網(wǎng)絡(luò)的環(huán)境等，建議為企業(yè)內(nèi)網(wǎng)提供以下安全防護(hù)：n 為不同部門劃分不同的VLAN，在每臺(tái)交換機(jī)上啟用端口安全。n 對(duì)關(guān)鍵部門的數(shù)據(jù)通信進(jìn)行加密，保證內(nèi)網(wǎng)的通信安全。n 對(duì)無(wú)線網(wǎng)絡(luò)進(jìn)行WPA加密，使得無(wú)線信號(hào)不再是對(duì)所有人都是透明的。n 還可以在每臺(tái)交換機(jī)上啟用端口安全，通過(guò)802.1X認(rèn)證，防止未授權(quán)電腦接入。n VPN也可以采用L2TP/IPSec協(xié)議來(lái)提高鏈路的安全性。（3）系統(tǒng)和應(yīng)用安全風(fēng)險(xiǎn)分析時(shí)訊通電子目前主要采用Microsoft Windows操作系統(tǒng)，考慮到操作系統(tǒng)和應(yīng)用系統(tǒng)的安全是動(dòng)態(tài)的，并且涉及面非常廣，因此及時(shí)安裝廠

37、商提供的各種安全性補(bǔ)丁是保護(hù)系統(tǒng)安全的重要手段。同時(shí)針對(duì)電子郵件系統(tǒng)，著重考慮反垃圾郵件，反病毒郵件。對(duì)數(shù)據(jù)庫(kù)系統(tǒng)，著重考慮數(shù)據(jù)安全。在內(nèi)部網(wǎng)，加強(qiáng)用戶訪問(wèn)控制，建立完善的審計(jì)機(jī)制也應(yīng)作為重點(diǎn)。時(shí)訊通電子的公開(kāi)發(fā)布的WEB服務(wù)器將作為公司的信息發(fā)布和交流的平臺(tái)，一旦受到攻擊，對(duì)企業(yè)的正常運(yùn)行和商業(yè)聲譽(yù)都影響巨大。而公開(kāi)服務(wù)器本身要為外界服務(wù)，就必須開(kāi)放相應(yīng)的訪問(wèn)端口，這必將成為攻擊者的首要目標(biāo)。因此必須對(duì)訪問(wèn)請(qǐng)求加以過(guò)濾，只允許正常通信的數(shù)據(jù)包到達(dá)服務(wù)器，其他的服務(wù)請(qǐng)求在到達(dá)服務(wù)器之前就應(yīng)該遭到拒絕。并做好服務(wù)器工作日志的記錄和分析，以發(fā)現(xiàn)入侵者的蛛絲馬跡。（4）管理安全風(fēng)險(xiǎn)分析 管理是網(wǎng)絡(luò)中

38、安全最最重要的部分。責(zé)權(quán)不明、管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險(xiǎn)。責(zé)權(quán)不明、管理混亂，使得一些員工或管理員隨便讓一些非本地員工甚至外來(lái)人員進(jìn)入機(jī)房重地，或者員工有意無(wú)意泄漏他們所知道的一些重要信息，而管理上卻沒(méi)有相應(yīng)制度來(lái)約束。 當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其他一些安全威脅時(shí)（如內(nèi)部人員的違規(guī)操作等），無(wú)法進(jìn)行實(shí)時(shí)的檢測(cè)、監(jiān)控、報(bào)告與預(yù)警。同時(shí)，當(dāng)事故發(fā)生后，也無(wú)法提供黑客攻擊行為的追蹤線索及破案依據(jù)，即缺乏對(duì)網(wǎng)絡(luò)的可控性與可審查性。這就要求我們必須對(duì)站點(diǎn)的訪問(wèn)活動(dòng)進(jìn)行多層次的記錄，及時(shí)發(fā)現(xiàn)非法入侵行為。建立完善的網(wǎng)絡(luò)安全機(jī)制，必須深刻理解網(wǎng)絡(luò)并能提供直接的解

39、決方案，因此，最可行的做法是管理制度和管理解決方案的結(jié)合。 （5）病毒攻擊 計(jì)算機(jī)病毒一直是計(jì)算機(jī)安全的主要威脅。能在Internet上傳播的新型病毒，例如通過(guò)E-mail傳播的病毒，增加了這種威脅的程度。病毒的種類和傳染方式也在增加，國(guó)際空間的病毒總數(shù)已達(dá)上萬(wàn)甚至更多。必須部署網(wǎng)關(guān)、服務(wù)器、用戶桌面的整體防病毒解決方案，從各個(gè)環(huán)節(jié)消滅病毒。及時(shí)更新病毒定義數(shù)據(jù)庫(kù)是防病毒系統(tǒng)正常工作的重點(diǎn)。（6）來(lái)自內(nèi)部的安全威脅 絕大多數(shù)攻擊，特別是造成嚴(yán)重后果的攻擊，來(lái)自于企業(yè)內(nèi)部。因?yàn)槟壳暗男畔踩鉀Q方案都把重點(diǎn)放在針對(duì)來(lái)自外部網(wǎng)絡(luò)攻擊上，在內(nèi)部網(wǎng)絡(luò)的安全防護(hù)手段非常有限。不滿的內(nèi)部員工更熟悉企業(yè)網(wǎng)絡(luò)

40、結(jié)構(gòu)、服務(wù)器、系統(tǒng)的弱點(diǎn)，獲取和擴(kuò)散企業(yè)機(jī)密數(shù)據(jù)更加隱蔽。應(yīng)加強(qiáng)安全管理，并輔助內(nèi)部權(quán)限控制和安全審計(jì)以減少該類威脅。 （7）網(wǎng)絡(luò)惡意攻擊 目前對(duì)網(wǎng)絡(luò)的攻擊手段主要為：l 非授權(quán)訪問(wèn)：沒(méi)有預(yù)先經(jīng)信息所有者同意，使用網(wǎng)絡(luò)或計(jì)算機(jī)資源被看作非授權(quán)訪問(wèn)，如有意避開(kāi)系統(tǒng)訪問(wèn)控制機(jī)制，對(duì)網(wǎng)絡(luò)設(shè)備及資源進(jìn)行非正常使用，或擅自擴(kuò)大權(quán)限，越權(quán)訪問(wèn)信息。它主要有以下幾種形式：假冒、身份攻擊、非法用戶進(jìn)入網(wǎng)絡(luò)系統(tǒng)進(jìn)行違法操作、合法用戶以未授權(quán)方式進(jìn)行操作等l 信息泄漏或丟失：指敏感數(shù)據(jù)在有意或無(wú)意中被泄漏出去或丟失，它通常包括信息在傳輸中丟失或泄漏（如“黑客”們利用電磁泄漏或搭線竊聽(tīng)等方式可截獲機(jī)密信息，或通過(guò)對(duì)

41、信息流向、流量、通信頻度和長(zhǎng)度等參數(shù)的分析，推算出有用信息，如用戶口令、帳號(hào)等重要信息），信息在存儲(chǔ)介質(zhì)中丟失或泄漏，通過(guò)建立隱蔽隧道等竊取敏感信息等l 破壞數(shù)據(jù)完整性：以非法手段竊得對(duì)數(shù)據(jù)的使用權(quán)，刪除、修改、插入或重發(fā)某些重要信息，以取得有益于攻擊者的響應(yīng)；惡意添加，修改數(shù)據(jù)，以干擾用戶的正常使用l 拒絕服務(wù)攻擊：不斷對(duì)網(wǎng)絡(luò)服務(wù)系統(tǒng)進(jìn)行干擾，改變其正常的作業(yè)流程，執(zhí)行無(wú)關(guān)程序使系統(tǒng)響應(yīng)減慢甚至癱瘓，影響正常用戶的使用，甚至使合法用戶被排斥而不能進(jìn)入計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)或不能得到相應(yīng)的服務(wù)l 利用網(wǎng)絡(luò)傳播病毒：通過(guò)網(wǎng)絡(luò)傳播計(jì)算機(jī)病毒，其破壞性大大高于單機(jī)系統(tǒng)，而且用戶很難防范 網(wǎng)絡(luò)安

42、全現(xiàn)狀評(píng)估（1）安全評(píng)估項(xiàng)目目標(biāo)為了充分了解時(shí)訊通電子網(wǎng)絡(luò)信息系統(tǒng)的當(dāng)前安全狀況（安全隱患），因此需要對(duì)其網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行全面的評(píng)估。評(píng)估將主要進(jìn)行漏洞掃描和安全弱點(diǎn)分析，對(duì)象為時(shí)訊通電子指定的網(wǎng)絡(luò)設(shè)備和計(jì)算機(jī)系統(tǒng)。將安全弱點(diǎn)掃描分析報(bào)告作為提高時(shí)訊通電子網(wǎng)絡(luò)系統(tǒng)整體安全的重要參考依據(jù)，指導(dǎo)網(wǎng)絡(luò)安全解決方案的制訂。（2）安全評(píng)估主機(jī)范圍由時(shí)訊通電子指定并書面授權(quán)后，迅達(dá)IT服務(wù)咨詢公司安全專家將對(duì)被選定的網(wǎng)絡(luò)設(shè)備和計(jì)算機(jī)系統(tǒng)進(jìn)行安全評(píng)估。所有的評(píng)估操作均在時(shí)訊通電子相關(guān)人員的監(jiān)管下進(jìn)行。評(píng)估內(nèi)容分為外部風(fēng)險(xiǎn)和內(nèi)部風(fēng)險(xiǎn)評(píng)估，分別評(píng)估來(lái)自企業(yè)網(wǎng)絡(luò)外部的威脅和內(nèi)部威脅。l 安全評(píng)估策略步驟的制定針對(duì)

43、時(shí)訊通電子信息系統(tǒng)安全評(píng)估分為4個(gè)步驟進(jìn)行： 與相關(guān)人員交流，了解時(shí)訊通電子的安全策略和相關(guān)管理制度 利用工業(yè)標(biāo)準(zhǔn)的安全評(píng)估軟件來(lái)自動(dòng)地探測(cè)安全隱患，并使用Microsoft Baseline Security Analyzer對(duì)所有微軟操作系統(tǒng)和應(yīng)用系統(tǒng)進(jìn)行安全狀態(tài)檢測(cè) 根據(jù)第二步掃描的結(jié)果，由迅達(dá)IT服務(wù)咨詢公司安全評(píng)估人員手工對(duì)評(píng)估對(duì)象進(jìn)行對(duì)照安全檢查列表的檢測(cè)，排除誤報(bào)情況 對(duì)照第一步得到的安全策略，根據(jù)安全掃描程序和人工分析的結(jié)果寫出這次安全評(píng)估的報(bào)告書，反映評(píng)估對(duì)象的安全狀況 網(wǎng)絡(luò)安全需求分析 通過(guò)對(duì)時(shí)訊通電子企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)、應(yīng)用及安全威脅分析，并結(jié)合安全評(píng)估結(jié)果，可以

44、看出其安全問(wèn)題主要集中在對(duì)服務(wù)器的安全保護(hù)、防黑客和病毒、重要網(wǎng)段的保護(hù)以及管理安全上。因此，制定并采取相應(yīng)的安全措施杜絕安全隱患，應(yīng)該包括： l 公開(kāi)服務(wù)器的安全保護(hù)l 操作系統(tǒng)和應(yīng)用系統(tǒng)的保護(hù)l 防止內(nèi)部攻擊l 網(wǎng)絡(luò)接入保護(hù)l 入侵檢測(cè)與監(jiān)控l 信息審計(jì)與記錄l 病毒防護(hù)l 數(shù)據(jù)安全保護(hù) l 數(shù)據(jù)備份與恢復(fù) l 網(wǎng)絡(luò)的安全管理 同時(shí)，在系統(tǒng)考慮如何解決上述安全問(wèn)題，并進(jìn)行安全實(shí)現(xiàn)方案設(shè)計(jì)時(shí)應(yīng)滿足如下要求： l 大幅度地提高系統(tǒng)的安全性（重點(diǎn)是可用性和可控性）l 盡量不影響原網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，盡量減少更改現(xiàn)有網(wǎng)絡(luò)設(shè)置的操作，同時(shí)便于系統(tǒng)及系統(tǒng)功能的擴(kuò)展l 易于操作、維護(hù)，并便于自動(dòng)化管理，而不增

45、加或少增加附加操作l 安全保密系統(tǒng)具有較好的性能價(jià)格比，一次性投資，可以長(zhǎng)期使用l 安全實(shí)施方案具有合法性和可靠性，同時(shí)符合國(guó)家和國(guó)際有關(guān)規(guī)范的認(rèn)可或認(rèn)證2.4.3 網(wǎng)絡(luò)安全整體解決方案 PKI規(guī)劃與設(shè)計(jì)通過(guò)部署企業(yè)PKI架構(gòu)，為企業(yè)提供可信的基礎(chǔ)安全設(shè)施，它是一個(gè)為整個(gè)安全體系提供安全服務(wù)的基礎(chǔ)性平臺(tái)，為應(yīng)用系統(tǒng)和安全支撐平臺(tái)提供包括數(shù)據(jù)完整性、真實(shí)性、可用性、不可抵賴性和機(jī)密性在內(nèi)的安全服務(wù)。有了這一基礎(chǔ)設(shè)施，整個(gè)安全策略便有了實(shí)現(xiàn)的保證。（1）證書需求 當(dāng)服務(wù)器需要使用SSL來(lái)建立安全的連接時(shí)，需要為服務(wù)器申請(qǐng)服務(wù)器證書。 當(dāng)進(jìn)行VPN站點(diǎn)連接時(shí)，需要為VPN服務(wù)器申請(qǐng)服務(wù)

46、器驗(yàn)證證書。（2）CA架構(gòu)根據(jù)企業(yè)證書需求分析，將CA的層次架構(gòu)分為兩級(jí)，一級(jí)為根CA(獨(dú)立CA)，根CA通常為離線CA；二級(jí)為從屬CA(企業(yè)從屬CA)，在上海與北京站點(diǎn)中各部署一臺(tái)企業(yè)從屬CA作為頒發(fā)CA。（3）密鑰恢復(fù)代理（KRA）從企業(yè)證書需求及公司的地理位置分布分析可知，需要為公司兩地各規(guī)劃一個(gè)密鑰恢復(fù)代理人，并為其申請(qǐng)密鑰恢復(fù)代理證書。（4）數(shù)據(jù)恢復(fù)代理（DRA）從企業(yè)證書需求及公司的地理位置分布分析可知，需要為公司兩地各規(guī)劃一個(gè)數(shù)據(jù)恢復(fù)代理人，并為其申請(qǐng)數(shù)據(jù)恢復(fù)代理證書。 網(wǎng)絡(luò)訪問(wèn)保護(hù)（NAP）方案網(wǎng)絡(luò)內(nèi)部安全已經(jīng)成為網(wǎng)絡(luò)安全的重點(diǎn)。用戶水平參差不齊，使用習(xí)慣各不相同

47、。例如，如果網(wǎng)絡(luò)中存在沒(méi)有啟用更新或者防病毒軟件的客戶端，則很可能導(dǎo)致整個(gè)網(wǎng)絡(luò)遭受攻擊。NAP通過(guò)定制健康策略，使得任何不符合健康要求的計(jì)算機(jī)只能訪問(wèn)受限網(wǎng)絡(luò)來(lái)解決這一難題。強(qiáng)制方式：根據(jù)企業(yè)安全的需求，我們將在公司內(nèi)部采用DHCP強(qiáng)制的方式來(lái)確保桌面計(jì)算機(jī)和漫游計(jì)算機(jī)的健康，而對(duì)于外部VPN撥入的員工，則采用VPN強(qiáng)制的方式來(lái)確保外部計(jì)算機(jī)的健康。更新服務(wù)器組：l 在更新服務(wù)器組中添加一臺(tái)RODC以允許客戶端在受限訪問(wèn)的同時(shí)也能成功登陸，并且獲取到各種組策略信息，RODC同時(shí)承載DNS以滿足受限客戶端的名稱解析需求。我們還將RODC部署在server core上以提高安全性。 l 在更新服務(wù)

48、器組中添加WSUS作為修正服務(wù)器，提供受限客戶端的補(bǔ)丁更新和FCS客戶端的病毒庫(kù)更新。 企業(yè)補(bǔ)丁管理方案補(bǔ)丁更新是保證系統(tǒng)安全的一個(gè)重要環(huán)節(jié)，每一次大規(guī)模蠕蟲的爆發(fā)，都在提醒人們要居安思危，打好補(bǔ)丁，做好防范工作。WSUS 3.0作為微軟的一款免費(fèi)的補(bǔ)丁分發(fā)產(chǎn)品，支持微軟公司各種產(chǎn)品的更新，包括操作系統(tǒng)Office，exchange，forefront等，并提供報(bào)表服務(wù)。我們計(jì)劃將使用WSUS 3.0部署整體的補(bǔ)丁管理方案。為了優(yōu)化WAN帶寬，我們將在上?？偛坎渴鹨慌_(tái)WSUS服務(wù)器作為上游服務(wù)器，從Microsfot Update同步更新。在北京分公司則建立一臺(tái)WSUS作為下游服

49、務(wù)器，從總部上游服務(wù)器同步。根據(jù)需求，分別為服務(wù)器、客戶端計(jì)算機(jī)和測(cè)試計(jì)算機(jī)建立不同的計(jì)算機(jī)組。測(cè)試計(jì)算機(jī)組用于測(cè)試補(bǔ)丁更新后是否對(duì)企業(yè)計(jì)算機(jī)產(chǎn)生不良影響，如穩(wěn)定性等?？蛻舳擞?jì)算機(jī)和服務(wù)器計(jì)算機(jī)由于有不同的補(bǔ)丁需求而分開(kāi)不同的組，假如企業(yè)有更一步的細(xì)化管理要求，可以根據(jù)需求建立計(jì)算機(jī)組。 企業(yè)用戶密碼策略公司需要通過(guò)組策略來(lái)管理企業(yè)內(nèi)部所有用戶的密碼策略。上?？偣拘枰话阈缘拿艽a策略；北京分公司由于進(jìn)行產(chǎn)品研發(fā)，需要更強(qiáng)的密碼策略；同時(shí)公司要求在所有的服務(wù)器上使用最強(qiáng)的密碼策略，以保護(hù)服務(wù)器的安全。同時(shí)，利用2008的多元密碼策略，我們?yōu)橛刑厥饷艽a需求的用戶和組定制相應(yīng)的密碼策

50、略。具體策略設(shè)置如下： 上?？偣拘枰獞?yīng)用如下密碼策略： l 強(qiáng)制密碼歷史 2 l 最大密碼時(shí)長(zhǎng) 60 天 l 最小密碼長(zhǎng)度 7個(gè)字符 l 密碼必須符合復(fù)雜性需求 可用 l 使用可逆加密算法存儲(chǔ)密碼 不可用 北京分公司需要應(yīng)用如下密碼策略： l 強(qiáng)制密碼歷史 5 l 最大密碼時(shí)長(zhǎng) 40天 l 最小密碼長(zhǎng)度 9個(gè)字符 l 密碼必須符合復(fù)雜性需求 可用 l 使用可逆加密算法存儲(chǔ)密碼 不可用 上海總公司和北京分公司所有的服務(wù)器需要應(yīng)用最強(qiáng)的密碼策略，如下： l 強(qiáng)制密碼歷史 24 l 最大密碼時(shí)長(zhǎng) 30天 l 最小密碼長(zhǎng)度 14個(gè)字符 l 密碼必須符合復(fù)雜性需求 可用 l 使用可逆加密算法存儲(chǔ)密碼 不可用 VPN站點(diǎn)之間安全鏈接VPN站點(diǎn)之間的安全鏈接圖示為了保護(hù)企業(yè)數(shù)據(jù)安全，需要使上海和北京兩個(gè)站點(diǎn)之間的所有數(shù)據(jù)傳送都必須加密而且通過(guò)VPN站點(diǎn)的方式進(jìn)行連接，所以我們利用遠(yuǎn)程路由訪問(wèn)搭建VPN服務(wù)器，并使用