網(wǎng)絡(luò)與信息安全保護(hù)措施

網(wǎng)絡(luò)與信息安全保護(hù)措施

一、網(wǎng)絡(luò)安全保障措施

為了全面確保本公司網(wǎng)絡(luò)安全，在本公司網(wǎng)絡(luò)平臺解決方案設(shè)

計中，主要將基于以下設(shè)計原則：

a安全性

在本方案的設(shè)計中，我們將從網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、運(yùn)行管理、系統(tǒng)冗余等角度綜合分析，采納先進(jìn)的安全技術(shù)，如防火墻、加密技術(shù)，為

熱點(diǎn)網(wǎng)站供應(yīng)系統(tǒng)、完整的安全體系。確保系統(tǒng)安全運(yùn)行。

b高性能

考慮本公司網(wǎng)絡(luò)平臺將來業(yè)務(wù)量的增長，在本方案的設(shè)計中，我們將從網(wǎng)絡(luò)、服務(wù)器、軟件、應(yīng)用等角度綜合分析，合理設(shè)計結(jié)構(gòu)與配置

，以確保大量用戶并發(fā)訪問峰值時段，系統(tǒng)仍舊具有足夠的處理力量，保障服務(wù)質(zhì)量。

c牢靠性

本公司網(wǎng)絡(luò)平臺作為企業(yè)門戶平臺，設(shè)計中將在盡可能削減投資的狀況下，從系統(tǒng)結(jié)構(gòu)、網(wǎng)絡(luò)結(jié)構(gòu)、技術(shù)措施、設(shè)施選型等方面綜合考慮

，以盡量削減系統(tǒng)中的單故障節(jié)點(diǎn)，實(shí)現(xiàn)7×24小時的不間斷服務(wù)

d可擴(kuò)展性

優(yōu)良的體系結(jié)構(gòu)（包括硬件、軟件體系結(jié)構(gòu)）設(shè)計對于系統(tǒng)是否能夠適應(yīng)將來業(yè)務(wù)的進(jìn)展至關(guān)重要。在本系統(tǒng)的設(shè)計中，硬件系統(tǒng)（如服務(wù)器

、存貯設(shè)計等）將遵循可擴(kuò)充的原則，以確保系統(tǒng)隨著業(yè)務(wù)量的不斷增長，在不停止服務(wù)的前提下無縫平滑擴(kuò)展；同時軟件體系結(jié)構(gòu)的設(shè)計也

將遵循可擴(kuò)充的原則，適應(yīng)新業(yè)務(wù)增長的需要。

e開放性

考慮到本系統(tǒng)中將涉及不同廠商的設(shè)備技術(shù)，以及不斷擴(kuò)展的系統(tǒng)需求，在本項(xiàng)目的產(chǎn)品技術(shù)選型中，全部采納國際標(biāo)準(zhǔn)/工業(yè)標(biāo)準(zhǔn)，使本

系統(tǒng)具有良好的開放性。

f先進(jìn)性

本系統(tǒng)中的軟硬件平臺建設(shè)、應(yīng)用系統(tǒng)的設(shè)計開發(fā)以及系統(tǒng)的維護(hù)管理所采納的產(chǎn)品技術(shù)均綜合考慮當(dāng)今互聯(lián)網(wǎng)進(jìn)展趨勢，采納相對先進(jìn)同時

市場相對成熟的產(chǎn)品技術(shù)，以滿意將來熱點(diǎn)網(wǎng)站的進(jìn)展需求。

g系統(tǒng)集成性

在本方案中的軟硬件系統(tǒng)包括時力科技以及第三方廠商的優(yōu)秀產(chǎn)品。我們將為滿拉網(wǎng)站供應(yīng)完整的應(yīng)用集成服務(wù)，使?jié)M拉網(wǎng)站將更多的資源集

中在業(yè)務(wù)的開拓與運(yùn)營中，而不是詳細(xì)的集成工作中。

1、硬件設(shè)施保障措施：

重慶市滿拉科技進(jìn)展有限公司的信息服務(wù)器設(shè)備符合郵電公用通信網(wǎng)絡(luò)的各項(xiàng)技術(shù)接口指標(biāo)和終端通信的技術(shù)標(biāo)準(zhǔn)、電氣特性和通信方式等，

不會影響公網(wǎng)的安全。本公司租用重慶聯(lián)通的IDC放置信息服務(wù)器的標(biāo)準(zhǔn)機(jī)房環(huán)境，包括：空調(diào)、照明、濕度、不間斷電源、防靜電地板等。重慶聯(lián)通為本公司服務(wù)器供應(yīng)一條高速數(shù)據(jù)端口用以接入CHINANET網(wǎng)絡(luò)。系統(tǒng)主機(jī)系統(tǒng)的應(yīng)用模式打算了系統(tǒng)將面對大量的用戶和面對大量的并發(fā)訪問，系統(tǒng)要求是高牢靠性的關(guān)鍵性應(yīng)用系統(tǒng)，要求系統(tǒng)避開任何可能的停機(jī)和數(shù)據(jù)的破壞與丟失。系統(tǒng)要求采納最新的應(yīng)用服務(wù)器技術(shù)實(shí)

現(xiàn)負(fù)載均衡和避開單點(diǎn)故障。

系統(tǒng)主機(jī)硬件技術(shù)

CPU：64位長以上CPU，支持多CPU結(jié)構(gòu)，并支持平滑升級。

服務(wù)器具有高牢靠性，具有長時間工作力量，系統(tǒng)整機(jī)平均無故障時間(MTBF)不低于100000小時，系統(tǒng)供應(yīng)強(qiáng)大的診斷軟件，對系統(tǒng)進(jìn)行診斷

服務(wù)器具有鏡象容錯功能，采納雙盤容錯，雙機(jī)容錯。

主機(jī)系統(tǒng)具有強(qiáng)大的總線帶寬和I/O吞吐力量，并具有敏捷強(qiáng)大的可擴(kuò)充力量

配置原則

(1)處理器的負(fù)荷峰值為75%；

(2)處理器、內(nèi)存和磁盤需要配置平衡以供應(yīng)好效果；

(3)磁盤(以鏡像為佳)應(yīng)有30-40%冗余量應(yīng)付高峰。

(4)內(nèi)存配置應(yīng)協(xié)作數(shù)據(jù)庫指標(biāo)。

(5)I/O與處理器同樣重要。

系統(tǒng)主機(jī)軟件技術(shù)：

服務(wù)器平臺的系統(tǒng)軟件符合開放系統(tǒng)互連標(biāo)準(zhǔn)和協(xié)議。

操作系統(tǒng)選用通用的多用戶、多任務(wù)winduws2000或者Linux操作系統(tǒng)，系統(tǒng)應(yīng)具有高度牢靠性、開放性，支持對稱多重處理（SMP）功能，支持包括TCP/IP在內(nèi)的多種網(wǎng)絡(luò)協(xié)議。符合C2級安全標(biāo)準(zhǔn)：供應(yīng)完善的操作系統(tǒng)監(jiān)控、報警和故障處理。應(yīng)支持當(dāng)前流行的數(shù)據(jù)庫系統(tǒng)和開發(fā)工具。

系統(tǒng)主機(jī)的存儲設(shè)備:

系統(tǒng)的存儲設(shè)備的技術(shù)RAID0+1或者RAID5的磁盤陣列等措施保證系統(tǒng)的安全和牢靠。I/O力量可達(dá)6M/s。

供應(yīng)足夠的擴(kuò)充槽位。

系統(tǒng)的存儲力量設(shè)計

系統(tǒng)的存儲力量主要考慮用戶等數(shù)據(jù)的存儲空間、文件系統(tǒng)、備份空間、測試系統(tǒng)空間、數(shù)據(jù)庫管理空間和系統(tǒng)的擴(kuò)展空間。

服務(wù)器系統(tǒng)的擴(kuò)容力量

系統(tǒng)主機(jī)的擴(kuò)容力量主要包括三個方面：

性能、處理力量的擴(kuò)充－包括CPU及內(nèi)存的擴(kuò)充

存儲容量的擴(kuò)充－磁盤存儲空間的擴(kuò)展

I/O力量的擴(kuò)充,包括網(wǎng)絡(luò)適配器的擴(kuò)充(如FDDI卡和ATM卡)及外部設(shè)備的擴(kuò)充（如外接磁帶庫、光盤機(jī)等）

2、軟件系統(tǒng)保證措施：

操作系統(tǒng)：Windows2023SERVER網(wǎng)絡(luò)操作系統(tǒng)

防火墻：CISCOPIX硬件防火墻

Windows2023SERVER操作系統(tǒng)和美國微軟公司的windowsupdate站點(diǎn)升級站點(diǎn)保持?jǐn)?shù)據(jù)聯(lián)系，確保操作系統(tǒng)修補(bǔ)現(xiàn)已知的漏洞。利用NTFS分區(qū)技術(shù)嚴(yán)格掌握用戶對服務(wù)器數(shù)據(jù)訪問權(quán)限。

操作系統(tǒng)上建立了嚴(yán)格的安全策略和日志訪問記錄.保障了用戶安全、密碼安全、以及網(wǎng)絡(luò)對系統(tǒng)的訪問掌握安全、并且記錄了網(wǎng)絡(luò)對系統(tǒng)的一切訪問以及動作。系統(tǒng)實(shí)現(xiàn)上采納標(biāo)準(zhǔn)的基于WEB中間件技術(shù)的三層體系結(jié)構(gòu)，即：全部基于WEB的應(yīng)用都采納WEB應(yīng)用服務(wù)器技術(shù)來實(shí)現(xiàn)。

中間件平臺的性能設(shè)計：

可伸縮性：允許用戶開發(fā)系統(tǒng)和應(yīng)用程序，以簡潔的方式滿意不斷增長的業(yè)務(wù)需求。

安全性：利用各種加密技術(shù)，身份和授權(quán)掌握及會話安全技術(shù)，以及Web安全性技術(shù)，避開用戶信息免受非法入侵的損害。

完整性：通過中間件實(shí)現(xiàn)牢靠、高性能的分布式交易功能，確保精確?????的數(shù)據(jù)更新。

可維護(hù)性：能便利地利用新技術(shù)升級現(xiàn)有應(yīng)用程序，滿意不斷增長的企業(yè)進(jìn)展需要。

互操作性和開放性：中間件技術(shù)應(yīng)基于開放標(biāo)準(zhǔn)的體系，供應(yīng)開發(fā)分布交易應(yīng)用程序功能，可跨異構(gòu)環(huán)境實(shí)現(xiàn)現(xiàn)有系統(tǒng)的互操作性。能支持多

種硬件和操作系統(tǒng)平臺環(huán)境。

網(wǎng)絡(luò)安全方面：

多層防火墻：依據(jù)用戶的不同需求，采納多層高性能的硬件防火墻對客戶托管的主機(jī)進(jìn)行全面的愛護(hù)。

異構(gòu)防火墻：同時采納業(yè)界最先進(jìn)成熟的CiscoPIX硬件防火墻進(jìn)行愛護(hù)，不同廠家不同結(jié)構(gòu)的防火墻更進(jìn)一步保障了用戶網(wǎng)絡(luò)和主機(jī)的安全。

防病毒掃描：專業(yè)的防病毒掃描軟件，杜絕病毒對客戶主機(jī)的感染。

入侵檢測：專業(yè)的安全軟件，供應(yīng)基于網(wǎng)絡(luò)、主機(jī)、數(shù)據(jù)庫、應(yīng)用程序的入侵檢測服務(wù)，在防火墻的基礎(chǔ)上又增加了幾道安全措施，確保用戶系統(tǒng)的高度安全。漏洞掃描：定期對用戶主機(jī)及應(yīng)用系統(tǒng)進(jìn)行安全漏洞掃描和分析，排解安全隱患，做到安全防患于未然。CISCOPIX硬件防火墻運(yùn)行在CISCO交換機(jī)上層供應(yīng)了特地的主機(jī)上監(jiān)視全部網(wǎng)絡(luò)上流過的數(shù)據(jù)包，發(fā)覺能夠正確識別攻擊在進(jìn)行的攻擊特征。攻擊的識別是實(shí)時的，用戶可定義報警和一旦攻擊被檢測到的響應(yīng)。此處，我們有如下愛護(hù)措施：全部大事監(jiān)控策略此項(xiàng)策略用于測試目的，監(jiān)視報告全部安全大事。在現(xiàn)實(shí)環(huán)境下面，此項(xiàng)策略將嚴(yán)峻影響檢測服務(wù)器的性能。攻擊檢測策略此策略重點(diǎn)防范來自網(wǎng)絡(luò)上的惡意攻擊，適合管理員了解網(wǎng)絡(luò)上的重要的網(wǎng)絡(luò)大事。

協(xié)議分析此策略與攻擊檢測策略不同，將會對網(wǎng)絡(luò)的會話進(jìn)行協(xié)議分析，適合安全管理員了解網(wǎng)絡(luò)的使用狀況。

網(wǎng)站愛護(hù)此策略用于監(jiān)視網(wǎng)絡(luò)上對HTTP流量的監(jiān)視，而且只對HTTP攻擊敏感。適合安全管理員了解和監(jiān)視網(wǎng)絡(luò)上的網(wǎng)站訪問狀況。Windows網(wǎng)絡(luò)愛護(hù)此策略重點(diǎn)防護(hù)Windows網(wǎng)絡(luò)環(huán)境。會話復(fù)制此項(xiàng)策略供應(yīng)了復(fù)制Telnet,FTP,SMTP會話的功能。此功能用于安全策略的定制。

DMZ監(jiān)控此項(xiàng)策略重點(diǎn)愛護(hù)在防火墻外的DMZ區(qū)域的網(wǎng)絡(luò)活動。這個策略監(jiān)視網(wǎng)絡(luò)攻擊和典型的互聯(lián)網(wǎng)協(xié)議弱點(diǎn)攻擊，例如（HTTP,FTP,SMTP,POP和DNS），適合安全管理員監(jiān)視企業(yè)防火墻以外的網(wǎng)絡(luò)大事。防火墻內(nèi)監(jiān)控此項(xiàng)策略重點(diǎn)針對穿越防火墻的網(wǎng)絡(luò)應(yīng)用的攻擊和協(xié)議弱點(diǎn)利用，適合防火墻內(nèi)部安全大事的監(jiān)視。

數(shù)據(jù)庫服務(wù)器平臺

數(shù)據(jù)庫平臺是應(yīng)用系統(tǒng)的基礎(chǔ),直接關(guān)系到整個應(yīng)用系統(tǒng)的性能表現(xiàn)及數(shù)據(jù)的精確?????性和安全牢靠性以及數(shù)據(jù)的處理效率等多個方面。本系統(tǒng)對數(shù)據(jù)庫平臺的設(shè)計包括：數(shù)據(jù)庫系統(tǒng)應(yīng)具有高度的牢靠性，支持分布式數(shù)據(jù)處理；支持包括TCP/IP協(xié)議及IPX/SPX協(xié)議在內(nèi)的多種網(wǎng)絡(luò)協(xié)議；支持UNIX和MSNT等多種操作系統(tǒng)，支持客戶機(jī)/服務(wù)器體系結(jié)構(gòu)，具備開放式的客戶編程接口，支持漢字操作；具有支持并行操作所需的技術(shù)（如：多服務(wù)器協(xié)同技術(shù)和事務(wù)處理的完整性掌握技術(shù)等）；支持聯(lián)機(jī)分析處理（OLAP）和聯(lián)機(jī)事務(wù)處理（OLTP），支持?jǐn)?shù)據(jù)倉庫的建立；要求能夠?qū)崿F(xiàn)數(shù)據(jù)的快速裝載，以及高效的并發(fā)處理和交互式查詢；支持C2級安全標(biāo)準(zhǔn)和多級安全掌握，供應(yīng)WEB服務(wù)接口模塊，對客戶端輸出協(xié)議支持HTTP2.0、SSL3.0等；支持聯(lián)機(jī)備份，具有自動備份和日志管理功能。

二、信息安全保密管理制度

1、信息監(jiān)掌握度：

（1）、網(wǎng)站信息必需在網(wǎng)頁上標(biāo)明來源;(即有關(guān)轉(zhuǎn)載信息都必需標(biāo)明轉(zhuǎn)載的地址)

（2）、相關(guān)責(zé)任人定期或不定期檢查網(wǎng)站信息內(nèi)容，實(shí)施有效監(jiān)控，做好安全監(jiān)督工作；

（3）、不得利用國際互聯(lián)網(wǎng)制作、復(fù)制、查閱和傳播一系列以下信息，如有違反規(guī)定有關(guān)部門將按規(guī)定對其進(jìn)行處理；

A、反對憲法所確定的基本原則的；

B、危害國家安全，泄露國家隱秘，顛覆國家政權(quán)，破壞國家統(tǒng)一的；

C、損害國家榮譽(yù)和利益的；

D、煽動民族仇恨、民族卑視、破壞民族團(tuán)結(jié)的；

E、破壞國家宗教政策，宣揚(yáng)邪教和封建迷信的；

F、散布謠言，擾亂社會秩序，破壞社會穩(wěn)定的；

G、散布淫穢、色情、賭博、暴力、兇殺、恐怖或者教唆犯罪的；

H、污辱或者誹謗他人，侵害他人合法權(quán)益的；

含有法律、行政法規(guī)禁止的其他內(nèi)容的。

2、組織結(jié)構(gòu)：

設(shè)置特地的網(wǎng)絡(luò)管理員，并由其上級進(jìn)行監(jiān)督、凡向國際聯(lián)網(wǎng)的站點(diǎn)供應(yīng)或發(fā)布信息，必需經(jīng)過保密審查批準(zhǔn)。保密審批實(shí)行部門管理，有關(guān)單位應(yīng)當(dāng)依據(jù)國家保密法規(guī)，審核批準(zhǔn)后發(fā)布、堅持做到來源不名的不發(fā)、為經(jīng)過上級部門批準(zhǔn)的不發(fā)、內(nèi)容有問題的不發(fā)、的三不發(fā)制度。

對網(wǎng)站管理實(shí)行責(zé)任制對網(wǎng)站的管理人員，以及領(lǐng)導(dǎo)明確各級人員的責(zé)任，管理網(wǎng)站的正常運(yùn)行，嚴(yán)格抓管理工作，實(shí)行誰管理誰負(fù)責(zé)。

三、用戶信息安全管理制度

一、信息安全內(nèi)部人員保密管理制度：

1、相關(guān)內(nèi)部人員不得對外泄露需要保密的信息；

2、內(nèi)部人員不得發(fā)布、傳播國家法律禁止的內(nèi)容；

3、信息發(fā)布之前應(yīng)當(dāng)經(jīng)過相關(guān)人員審核；

4、對相關(guān)管理人