第一篇:移動服務(wù)器托管SDH專線組網(wǎng)方案建議書
www.tmdps.cn
樂拓SDH專線組網(wǎng)
建議方案書
方
案:純軟雙節(jié)點集群
銷 售:潘玉書
地址:上海蘭溪路10弄3號1901室(200020)電話:021-62166977,62166978-16 傳真:021-32251058 網(wǎng)址:http://www.tmdps.cn
2011年7月
專業(yè)于網(wǎng)絡(luò)
專心于服務(wù)
www.tmdps.cn
SDH專線介紹:
專線(電路)出租業(yè)務(wù)是上海移動依托城域網(wǎng)傳輸資源,為客戶提供點對點的數(shù)字電路連接服務(wù),支撐客戶實現(xiàn)多業(yè)務(wù)接點間的內(nèi)部互聯(lián)。該業(yè)務(wù)承載客戶內(nèi)部數(shù)據(jù),語音,多媒體各種通信業(yè)務(wù),具體質(zhì)量穩(wěn)定,高帶寬,可擴展等優(yōu)越特性。
移動SDH專線優(yōu)勢:
(1)采用DWDM(Dense Wavelength Division Multiplexing)、SDH(Synchronous Digital Hierarchy)等先進傳輸技術(shù),傳輸網(wǎng)絡(luò)高帶寬、自愈性能強、穩(wěn)定可靠;(2)帶寬可擴展性強,支持大容量的帶寬需求;(3)支持承載數(shù)據(jù)、語音、多媒體各種通信業(yè)務(wù);(4)實時網(wǎng)絡(luò)監(jiān)控,保障網(wǎng)絡(luò)穩(wěn)定運行;
(5)移動SDH專線在國內(nèi)起步較晚,但屬于全光網(wǎng),其他電信運營商為光模網(wǎng)。(6)全國設(shè)備統(tǒng)一,維護方便,處理問題快速。
專業(yè)于網(wǎng)絡(luò)
專心于服務(wù)
www.tmdps.cn
SDH組網(wǎng)案例:
案例二:某上海客戶解決本地多處辦公數(shù)據(jù)通訊問題同時解決企業(yè)上網(wǎng)需求。所有企業(yè)數(shù)據(jù)匯集到一個數(shù)據(jù)匯集點(移動IDC機房),比如ERP等。
專業(yè)于網(wǎng)絡(luò)
專心于服務(wù)
www.tmdps.cn
案例三:超大型企業(yè)或機構(gòu),為滿足多業(yè)務(wù)通信需求,如視頻會議,視頻檢控,語音,數(shù)據(jù)同步等.一般也是一個核心點對全國多個點.目前,浦東有軌電車,世貿(mào)汽車,上海地震局,上海科技網(wǎng),旺旺集團,太平洋電信等都采用了樂拓數(shù)據(jù)中心提供的SDH專線出租或SDH專線組網(wǎng)業(yè)務(wù).樂拓數(shù)據(jù)中心也希望依托中國移動的優(yōu)質(zhì)光纖資源,利用自身的服務(wù)優(yōu)勢及技術(shù)實力為不同需求的企業(yè)提供專業(yè)通信服務(wù).方案優(yōu)勢
1、優(yōu)化投資、提高設(shè)備利用率,這種工作方式在數(shù)據(jù)流量不大情況下的一種最佳解決方案,實現(xiàn)服務(wù)器間的高可用保護;
2、服務(wù)保障,國內(nèi)擁有完善的技術(shù)支持平臺,網(wǎng)上客服、800熱線和現(xiàn)場支持能力;
3、方案擴展性:通過增加SDH專線,可以支持、多節(jié)點擴展、異地容災(zāi)實現(xiàn)等;
4、穩(wěn)定可靠:經(jīng)歷近10年的市場考驗,具有相當(dāng)?shù)目煽啃裕?/p>
5、維護成本低:整個環(huán)境維護相當(dāng)?shù)暮唵危蟠蠼档土斯芾沓杀荆?/p>
技術(shù)服務(wù)及產(chǎn)品介紹
樂拓的技術(shù)支持信息可以從樂拓官方網(wǎng)站: http://www.tmdps.cn/ 上得到。
樂拓技術(shù)支持及咨詢電話:021-62166978-16 專業(yè)于網(wǎng)絡(luò)
專心于服務(wù)
www.tmdps.cn
專業(yè)于網(wǎng)絡(luò)
專心于服務(wù)
第二篇:高速移動列車無線組網(wǎng)方案范文
高速移動列車無線組網(wǎng)方案
為滿足快速增長的旅客運輸需求,國家“十一五”規(guī)劃了“四縱四橫”鐵路快速客運通道以及3個城際快速客運系統(tǒng),時速高達(dá)380 km/h。隨著列車時速的不斷加快,車廂內(nèi)手機用戶通信時發(fā)生切換混亂、接通率低和掉話等現(xiàn)象,無線網(wǎng)絡(luò)覆蓋面臨挑戰(zhàn)。文章立足于高鐵專網(wǎng)設(shè)計總體目標(biāo),基于高速移動通信性能影響因素,采用分布式基站和一體化基站,提出一種高速鐵路組網(wǎng)方案。1 高速移動通信性能影響因素 1.1高速移動帶來的問題
高鐵列車采用全封閉式車體結(jié)構(gòu),且部分車采用金屬鍍膜玻璃,導(dǎo)致在無線傳輸中車體穿透損耗較大,信號衰減比普通列車大10 dB以上,特殊的材質(zhì)和極好的密閉性對手機信號的屏蔽會超過24 db以上,基站信號覆蓋范圍縮小為原來的1/5。當(dāng)損耗為30 dB時,相當(dāng)于信號在透過車體時只有原來千分之一的信號強度。對移動用戶通信造成非常大的影響。為了克服車體穿透損耗,要求室外的信號發(fā)射機功率增強,要求更高的基站接收機靈敏度或者要求用戶終端(UE)的發(fā)射信號增強。
超過300 km/h的時速將使用戶在非常短的時間內(nèi)穿過多個信號小區(qū),引起用戶在通話過程中在不同的小區(qū)覆蓋范圍內(nèi)頻繁切換,會導(dǎo)致掉話等諸多問題。手機在不同基站間切換至少需要6 s,而全速行速的高鐵列車通過兩個基站的時間要經(jīng)常小于6 s,手機基本上無法完成切換。
當(dāng)行駛速度高達(dá)200 km/h甚至更高時,相較于正常狀態(tài),移動通信網(wǎng)絡(luò)的覆蓋率會從99%以上下降到84%左右,話音接通率會從原來96%以上下降到81%左右,掉話率也會從原來幾平為0上升到25%以上,其他話音指標(biāo)及數(shù)據(jù)業(yè)務(wù)指標(biāo)均會有不同程度的下降。
因波源或觀察者相對于傳播介質(zhì)的運動而使觀察者接收到的波的頻率發(fā)生變化的現(xiàn)象稱為多普勒效應(yīng)。在移動通信系統(tǒng)中,特別是高速鐵路場景下,這種效應(yīng)尤其明顯。多普勒效應(yīng)所引起的頻移稱為多普勒頻移。
1.2 3G業(yè)務(wù)面臨的挑戰(zhàn) 高速鐵路將是3G業(yè)務(wù)應(yīng)用的一個重要場景。高速鐵路的覆蓋是整個3G覆蓋不能或缺的重要部分。許多高端的3G用戶經(jīng)常由于商務(wù)旅行的原因,需要在高速鐵路上使用各種移動通信業(yè)務(wù)。這些業(yè)務(wù)不僅包括語音業(yè)務(wù)、視頻業(yè)務(wù)、還有高速數(shù)據(jù)上下行業(yè)務(wù)。
由于高鐵主要的目標(biāo)客戶是商務(wù)出行或者旅游出行,這些人在列車上使用語音或高速數(shù)據(jù)業(yè)務(wù)的需求較為明確。在人們連續(xù)乘坐高速列車的時候,特別希望能夠通過無線數(shù)據(jù)業(yè)務(wù)來排解旅途中的無聊與煩悶。這正是3G豐富多彩的數(shù)據(jù)業(yè)務(wù),如手機網(wǎng)游、手機電視以及視頻通話等大顯身手的時候。為用戶提供高速上下行數(shù)據(jù)業(yè)務(wù)是3G時代顯著的業(yè)務(wù)特點,因此,快速發(fā)展的高速鐵路已成為移動話音和數(shù)據(jù)業(yè)務(wù)的新熱點。上下行數(shù)據(jù)業(yè)務(wù)的速率在很大程度上取決于網(wǎng)絡(luò)的覆蓋質(zhì)量:一方面為了保證高速列車中用戶的網(wǎng)絡(luò)信號接受質(zhì)量,抵御車廂的穿透損耗,基站間距需要盡可能縮短;而另一方面,為滿足切換的需要以及減少切換及小區(qū)重選的次數(shù),基站間又要保持盡量長的距離。高速移動通信網(wǎng)絡(luò)的規(guī)劃設(shè)計
在進行高速鐵路覆蓋設(shè)計時,充分研究鐵路發(fā)展趨勢,通常以最大穿透損耗的車型作為覆蓋優(yōu)化的目標(biāo)。基站選址要合理,避免越區(qū)覆蓋產(chǎn)生,在保證覆蓋距離的情況下,盡可能與鐵路保持一定距離,克服多普勒效應(yīng)。盡量將沿線基站放在同一個基站控制器(BSC)或移動交換中心(MSC)中,以減少MSC間、BSC間的切換,避免過長的切換時間對網(wǎng)絡(luò)服務(wù)質(zhì)量造成不利的影響。
2.1 充分發(fā)揮高速鐵路鏈型網(wǎng)絡(luò)結(jié)構(gòu)的特點
對原有網(wǎng)絡(luò)結(jié)構(gòu)進行改造,根據(jù)高速鐵路線形覆蓋的特點,將小區(qū)結(jié)構(gòu)規(guī)劃成鏈形鄰區(qū),并針對高速鐵路沿線的鏈形鄰區(qū),讓用戶沿運動方向優(yōu)先切換到前向鏈形鄰區(qū),這樣將盡可能減少切換次數(shù),避免前后小區(qū)乒乓切換,也避免了側(cè)向小區(qū)的無序切換,提升切換效率,提升業(yè)務(wù)質(zhì)量。
2.2 切換帶的規(guī)劃
切換帶的規(guī)劃一方面保證高速移動的手機終端順利完成切換,同時要盡可能減少基站數(shù)量,降低投資,因此切換帶的設(shè)計要合理。根據(jù)快速切換算法觸發(fā)時間的估算,完成2次快速切換的時間為5~6 s,網(wǎng)絡(luò)設(shè)計過程中通常建議為7~8 s。
2.3 站型和天線的選擇
周邊用戶比較少的農(nóng)村區(qū)域,在鐵路比較筆直的場景下,優(yōu)先選擇高增益窄波瓣天線,基站覆蓋范圍大,切換次數(shù)少;對于市區(qū)、郊區(qū)、沿途有車站、鐵路有弧度區(qū)域適合選擇中等增益天線;功分器雖然增加了3.5 dB損耗,降低了基站覆蓋范圍,但是兩個扇區(qū)為同一個小區(qū),減少了切換次數(shù),并且不需要考慮天線前后比的問題,在合適的場景下可以考慮使用;8字形天線比較適合覆蓋直線鐵路。3 分布式基站和一體化基站的使用
分布式基站組網(wǎng)方案核心思想是將基站的基帶部分和射頻部分分開:射頻部分可以靈活地放置,基帶池集中放置使基帶可以共享,基帶池通過光纖與射頻拉遠(yuǎn)單元連接。鐵路沿線比較容易鋪設(shè)光纜,為分布式基站的建設(shè)提供了便利條件,另外基帶池集中放置,適用于沿線城鎮(zhèn)容量較大區(qū)域,減少對機房資源的需求,便于站址獲取、集中管理和維護。
室外一體化基站體積小、重量輕,不需要機房,安裝方式靈活,可安裝在水泥桿、拉線塔以及建筑物的墻體上,無需空調(diào),能有效減低配套成本,適合鐵路沿線覆蓋使用。射頻拉遠(yuǎn)單元是利用基站剩余的信道板和基帶處理設(shè)備組成新的扇區(qū),通過光纖系統(tǒng)拉到遠(yuǎn)處。它具有硬件容量,并且擁有新的擾碼和同步碼。
基帶處理單元+射頻拉遠(yuǎn)單元(BBU+RRU)構(gòu)成傳統(tǒng)意義上的完整基站。BBU部分實現(xiàn)的功能主要為:主控、時鐘、基帶處理;RRU實現(xiàn)的功能主要包括:數(shù)字中頻、收發(fā)信機、功放和低噪放。
RRU的工作原理是:基帶信號下行經(jīng)變頻、濾波,經(jīng)過射頻濾波、經(jīng)線性功率放大器后通過發(fā)送濾波傳至天饋。上行將收到的移動終端上行信號進濾波、低噪聲放大、進一步的射頻小信號放大濾波和下變頻,然后完成模數(shù)轉(zhuǎn)換和數(shù)字中頻處理等。
RRU同基站接口的連接接口有兩種:通用公共射頻接口(CPRI)及開放式基站架構(gòu)(OBASI)。網(wǎng)絡(luò)覆蓋方案 4.1 高速移動場景特征
高速鐵路干線網(wǎng)絡(luò)覆蓋的特點是容量需求不高,呈帶狀結(jié)構(gòu),屬于典型的覆蓋受限系統(tǒng),話務(wù)量需求較低,但是對連續(xù)覆蓋的要求比較高。鐵路沿線采用BBU+RRU組網(wǎng),采用小區(qū)分集和高速頻偏補償算法,在高速列車上裝載直放站克服穿透損耗。
4.2 分布式天線覆蓋方案
為了增強高速鐵路場景下的覆蓋性能,提高網(wǎng)絡(luò)覆蓋質(zhì)量,我們提出了分布式天線結(jié)構(gòu)在高速移動環(huán)境中應(yīng)用的技術(shù)方案。在設(shè)備選型上,采用分布式光纖基站BBU+RRU組網(wǎng)設(shè)備。優(yōu)點是在某一區(qū)域可以只放置一個BBU,鏈接多個RRU進行高速鐵路覆蓋,同時RRU具備級聯(lián)功能,通過級聯(lián)的方式能夠節(jié)省光纖,提供靈活的建網(wǎng)方式。
在分布式天線系統(tǒng)高速鐵路應(yīng)用場景中,沿高速鐵路架設(shè)了4個天線組,每個天線組采用2根天線進行覆蓋,8根天線的覆蓋區(qū)域共同構(gòu)成一個小區(qū)。在條件允許的條件下每個天線組的2根天線盡可能按照相互獨立的放置,如無法滿足條件,也必須存在一定的相關(guān)性。專網(wǎng)模式解決高速接入難題 5.1 專網(wǎng)方案
在高速鐵路覆蓋中,有專網(wǎng)和大網(wǎng)2種組網(wǎng)方案。專網(wǎng)組網(wǎng)即以專用網(wǎng)絡(luò)覆蓋高速鐵路沿線,與大網(wǎng)相對獨立。一般在普通鐵路和高速公路場景下可以考慮采用大網(wǎng)組網(wǎng)方式,在高速鐵路場景中建議采用專網(wǎng)方式。尤其是300 km/h以上的高速鐵路無線覆蓋需要多種方式并舉才能夠得到較好的效果。
大網(wǎng)組網(wǎng)即不單獨考慮高速場景的覆蓋,與其他場景合為一體統(tǒng)一地由室外宏蜂窩大網(wǎng)提供覆蓋。大網(wǎng)方案則不用考慮誤附著等問題,且資源利用率高,成本相對低,但是大網(wǎng)很難兼顧一般場景和高速場景的通信需求,優(yōu)化難度大。
專網(wǎng)組網(wǎng)有利于切換鏈的設(shè)計,除了在車站和列車停留區(qū)域與大網(wǎng)允許切換外,沿線采用鏈形鄰區(qū)設(shè)計,不與大網(wǎng)發(fā)生切換。可以很好保證高鐵的用戶在高速移動時切換和重選的路徑,提高通信質(zhì)量;有利于應(yīng)用專用于高速場景的無線資源管理算法、切換和重選策略和網(wǎng)絡(luò)參數(shù)值,從而更好地提高整個網(wǎng)絡(luò)的質(zhì)量。但在實現(xiàn)專網(wǎng)化的過程中一個必要條件是實現(xiàn)對專網(wǎng)信號的嚴(yán)格控制,避免對周圍城鎮(zhèn)用戶造成影響。
5.2 鏈形鄰區(qū)
現(xiàn)網(wǎng)調(diào)整可以通過逐步對鐵路覆蓋的基站覆蓋進行加強,逐步控制鐵路覆蓋信號對周邊城鎮(zhèn)的影響,將現(xiàn)網(wǎng)具備條件的小區(qū)進行專網(wǎng)化,實現(xiàn)逐個小區(qū)的推進,最終形成專網(wǎng)的覆蓋結(jié)構(gòu),實現(xiàn)全線的專網(wǎng)化。考慮到高速鐵路沿線覆蓋區(qū)域低速用戶很少,可以在高鐵沿線小區(qū)采用鏈形鄰區(qū)設(shè)置、專用于高速場景的無線資源管理算法,根據(jù)快速切換的需要規(guī)劃切換帶、優(yōu)化切換參數(shù)。通過數(shù)據(jù)設(shè)置將現(xiàn)有的公眾網(wǎng)絡(luò)和高鐵專網(wǎng)區(qū)分開來,使公網(wǎng)的用戶切不進來,專網(wǎng)的用戶切不出去,只在兩端的車站設(shè)置網(wǎng)絡(luò)的出入口。
5.3 專網(wǎng)保護帶
專網(wǎng)一個很大的問題是和大網(wǎng)的融合問題:在密集城區(qū)和列車的站點附近是專網(wǎng)和大網(wǎng)的進出口。如何判斷由哪個網(wǎng)絡(luò)給用戶提供服務(wù),如何防止用戶誤附著,以及對誤附著的用戶如何處理是專網(wǎng)方案設(shè)計的難題。在專網(wǎng)和公網(wǎng)的重疊區(qū)域,專網(wǎng)和公網(wǎng)通過不同的接入策略接入,保證低速用戶接入公網(wǎng),高速用戶接入專網(wǎng)。
專網(wǎng)保護帶的思路是在專網(wǎng)覆蓋小區(qū)的兩側(cè)選擇一些非專網(wǎng)小區(qū)作為專網(wǎng)與公網(wǎng)的隔離帶小區(qū),這些小區(qū)可以與專網(wǎng)小區(qū)進行重選和切換,以此避免周邊城鎮(zhèn)用戶一進入專網(wǎng)就無法正常退出的問題,同時又可以避免專網(wǎng)小區(qū)切換關(guān)系過多所引起的麻煩。在專網(wǎng)大網(wǎng)出入口,如車站小區(qū),可以根據(jù)移動路徑靈活規(guī)劃鄰區(qū)關(guān)系和切換帶,從而滿足切換需求。如果條件不具備可以適當(dāng)考慮建立專網(wǎng)保護帶的方式來保證專網(wǎng)的有效運行。高鐵用戶能順暢地進入專網(wǎng),而沿線普通用戶在切入專網(wǎng)后還能夠順利切出,巧妙地解決了高鐵途經(jīng)密集市區(qū)、郊縣縣城且和常規(guī)鐵路線部分重疊的復(fù)雜場景覆蓋難題,確保高鐵用戶百分之百切入切出成功。結(jié)束語
高速鐵路的無線網(wǎng)絡(luò)覆蓋非常復(fù)雜,需要網(wǎng)絡(luò)規(guī)劃設(shè)計和優(yōu)化人員根據(jù)實際情況和設(shè)備性能,通過充分的實地考察、理論計算和測量,合理確定解決方案,做到在保證通信質(zhì)量情況下,嚴(yán)格控制網(wǎng)絡(luò)建設(shè)成本。
第三篇:鷹潭農(nóng)商行網(wǎng)站服務(wù)器托管方案
關(guān)于鷹潭農(nóng)商行外網(wǎng)網(wǎng)站服務(wù)器托管建議
根據(jù)行領(lǐng)導(dǎo)對網(wǎng)站的安全性要求,通過調(diào)查,我們對網(wǎng)站服務(wù)器托管提出以下建議,供領(lǐng)導(dǎo)參考:
一、服務(wù)器托管的概念及優(yōu)勢:
服務(wù)器托管是指為了提高企業(yè)信息系統(tǒng)的運行效率,將您的服務(wù)器及相關(guān)設(shè)備托管到具有完善機房設(shè)施、高品質(zhì)網(wǎng)絡(luò)環(huán)境、豐富帶寬資源和運營經(jīng)驗以及可對用戶的網(wǎng)絡(luò)和設(shè)備進行實時監(jiān)控的網(wǎng)絡(luò)數(shù)據(jù)中心內(nèi),以此使系統(tǒng)達(dá)到安全、可靠、穩(wěn)定、高效運行的目的。當(dāng)用戶有意擁有自己的Web網(wǎng)站的系統(tǒng)服務(wù)器時,可以有兩種方法: 一是自建,二是托管。
二、自建服務(wù)器存在的問題:
自建服務(wù)器打個比方就好比“您需要喝一杯牛奶,自己來辦養(yǎng)殖場一樣”什么都要考慮到。所以貴行開發(fā)運行的網(wǎng)站,其中網(wǎng)站所需要的服務(wù)器軟件及核心數(shù)據(jù)需要專業(yè)的信息管理系統(tǒng)和數(shù)據(jù)庫系統(tǒng)等,我們不但要購買了正版的昂貴的操作系統(tǒng)及軟件來運行系統(tǒng)以保證服務(wù)器系統(tǒng)的穩(wěn)定性和安全性,還要考慮到要投入較大的資金購臵軟硬件,包括服務(wù)器、硬件防火墻等網(wǎng)絡(luò)安全等硬件設(shè)備,此外還要支付上不封頂?shù)娜粘>S護和線路通信費,一年365天不間斷電源費用,硬件防火墻等費用,還有日常的人工維護成本。因此,會產(chǎn)生高額的運營費用,可能多達(dá)幾十萬,甚至上百萬。所以一般很多大的公司就直接采取服務(wù)器托管服務(wù)。相比自建情況下托管則經(jīng)濟,快捷而實用。
三、托管服務(wù)器的方式及優(yōu)劣勢:
服務(wù)器的托管有很多的方式,其中網(wǎng)站服務(wù)器托管到本地電信可能存在的問題有如下:
1、電信機房只負(fù)責(zé)你的服務(wù)器的保管,而不是完全意義上的托管,因為只是一臺服務(wù)器,沒有硬件防火墻,沒有相應(yīng)的軟件,專業(yè)的維護人員也是電信的員工兼任的,并不能完全實現(xiàn)7*24小時的及時響應(yīng),如新余農(nóng)商行外網(wǎng)初期也曾托管在南昌市電信,但經(jīng)常受黑客攻擊,于是后來才改由南昌一家專業(yè)做網(wǎng)站的公司承包維護。另外、月湖區(qū)委官方網(wǎng)站放臵鷹潭市電信,前段時間被黑客篡改成一穆斯林網(wǎng)站,現(xiàn)在暫時關(guān)閉準(zhǔn)備另尋托管。
2、服務(wù)器放臵鷹潭市政府信息辦,鷹潭市政府信息辦是專門負(fù)責(zé)市委、市政府及各市直機關(guān)的信息化網(wǎng)站,曾先后投資一百多萬購買拓爾斯電子政務(wù)系統(tǒng)軟件,硬件的投資也是高達(dá)數(shù)百萬元,鷹潭市委、市政府及各市直機關(guān)網(wǎng)站都用專門的軟件系統(tǒng)制作,實行內(nèi)外網(wǎng)隔離的方式,如我行網(wǎng)站如能放臵在此,網(wǎng)絡(luò)安全也可得到保障。但根據(jù)我們所了解,市政府信息辦服務(wù)器一般不接納事業(yè)及企業(yè)網(wǎng)站,另網(wǎng)站的開發(fā)軟件也是側(cè)重于電子政務(wù),不適合我們銀行。如我行網(wǎng)站如放臵于此,需領(lǐng)導(dǎo)進行嘗試溝通,成本也較大。
3、服務(wù)器托管到專業(yè)的公司,目前根據(jù)調(diào)查了解,鷹潭本地專業(yè)公司,與鷹潭市委、市政府、各市直機關(guān)有深度合作的公司,他們公司所代理的阿里云服務(wù)器,在國內(nèi)也是領(lǐng)先的服務(wù)器,其中阿里云服務(wù)器也是中國最大的網(wǎng)絡(luò)公司阿里巴巴旗下的子公司,服務(wù)于全國各大行業(yè)客戶,我們即可以享受到阿里云的優(yōu)勢服務(wù),又可以及時方便的和本地該公司進行合作交流,日后維護溝通也非常方便。就好比“我們在鷹潭就可以喝到本地專業(yè)公司代理的國內(nèi)知名的品牌牛奶”,既保證了安全和服務(wù),還可隨時讓本地公司提供最佳的售后服務(wù)和最便捷的溝通服務(wù)。如果采用南昌公司的話,那溝通等問題就無法及時有效的第一時間解決問題。
綜上所述:建議采用第三種形式,服務(wù)器托管到阿里云服務(wù)器上,其優(yōu)勢如下:
1、節(jié)約購臵成本
線路:企業(yè)或個人不必自已拉昂貴的電信或網(wǎng)通線路,可以共享或獨享數(shù)據(jù)中心高速帶寬。比自己單獨拉一條光纖要經(jīng)濟實惠,目前阿里云服務(wù)器可以為用戶提供最完善的設(shè)備及服務(wù),為你打造一個良好的網(wǎng)絡(luò)環(huán)境。
2、節(jié)約人員維護成本
機房人員:由我公司專業(yè)工程師擔(dān)任7X24小時X365全天候咨詢維護,省去了對維護人員的支出。
3、服務(wù)內(nèi)容包括:
1)、應(yīng)用系統(tǒng)維護及無限次重啟服務(wù)器; 2)、操作系統(tǒng)安裝及安全策略實施; 3)、代為安裝指定軟件(一個工作日內(nèi))4)、所有服務(wù)器硬件代為進行故障排除
5)、7*24熱線電話+QQ支持服務(wù),365天網(wǎng)絡(luò)工程師應(yīng)急電話服務(wù) ; 6)、365天享網(wǎng)工程師遠(yuǎn)程技術(shù)支持服務(wù)。
機房現(xiàn)場:完善的電力、空調(diào)、監(jiān)控等設(shè)備保證企業(yè)服務(wù)器的正常運轉(zhuǎn),節(jié)省了大量建設(shè)機房的費用。阿里云會安排專業(yè)工程師維護機房設(shè)備,可以提供全年365天的技術(shù)服務(wù)。客戶就算是機房所處地范圍內(nèi)的,也不需要到機房處理服務(wù)器故障,我公司的技術(shù)人員可以全部幫處理完,省去了客戶很多麻煩,讓客戶更省心。
4、節(jié)約環(huán)境建設(shè)成本
良好的機房環(huán)境,提供大型不間斷電源系統(tǒng),提供24小時恒溫空調(diào)環(huán)境,不會因為斷電而影響服務(wù)器的正常工作,也不會因為服務(wù)器溫度過高而癱瘓。合理的網(wǎng)絡(luò)設(shè)臵,使網(wǎng)絡(luò)負(fù)載均衡,從而提高網(wǎng)絡(luò)的暢通及穩(wěn)定。
5、安全性:只要服務(wù)器接入互聯(lián)網(wǎng),就存在安全隱患,有很多人為的惡意攻擊或者一些病毒的傳播會導(dǎo)致服務(wù)器的系統(tǒng)崩潰,造成客戶無法挽回的損失。在獨立主機的環(huán)境下,可以自己設(shè)臵主機權(quán)限,自由選擇防火墻和防病毒設(shè)施。一般的ISP在大網(wǎng)的外面都會有自己的硬件防火墻,用戶根據(jù)自己的需要情況去添臵硬件及軟件防火墻。阿里云實行全網(wǎng)段硬件防火墻接入,對全網(wǎng)段內(nèi)服務(wù)器都可以起到及時的監(jiān)控,盡早發(fā)現(xiàn)問題的作用,并可以對單個服務(wù)器獨力防護解決受攻擊問題。對特殊客戶還可以提供網(wǎng)絡(luò)安全的增值服務(wù),使客戶使用服務(wù)器更加無后顧之憂。
6、網(wǎng)絡(luò)穩(wěn)定性:共享線路就是多個用戶不規(guī)則的分享同一條網(wǎng)絡(luò)的資源,由于用戶數(shù)量及用戶類別的不確定性,所以對線路的使用的情況就不確定,因此在共享網(wǎng)絡(luò)環(huán)境下,用戶無法享受到相對穩(wěn)定的線路。而阿里云所提供的機房網(wǎng)絡(luò)環(huán)境,是基于獨享帶寬的設(shè)計方案建設(shè)的,每個機柜都限制客戶;獨立的線路使用,使每個客戶可以自己選擇足夠的網(wǎng)絡(luò)帶寬資源,所享受的帶寬在自己的選擇范圍內(nèi),而不會占用其它用戶的帶寬,這樣的網(wǎng)絡(luò)設(shè)臵,使每個用戶都不用擔(dān)心別人的使用會影響到自己的線路情況,從而實現(xiàn)帶寬的穩(wěn)定性,保證了主機響應(yīng)和網(wǎng)絡(luò)的高速性。
7、本地專業(yè)公司的7*24熱線電話+QQ支持服務(wù),365天網(wǎng)絡(luò)工程師應(yīng)急電話服務(wù),我們隨時可根據(jù)需要與本地公司聯(lián)系,對網(wǎng)站、對服務(wù)器進行隨時調(diào)整,如今后可提供升級服務(wù),包括對Email、OA辦公、基于安卓系統(tǒng)的服務(wù)、及各種信息系統(tǒng)的拓展業(yè)務(wù)提升。
第四篇:移動網(wǎng)絡(luò)安全防護方案建議書
XX單位網(wǎng)絡(luò)安全防護方案書
北京天融信公司長春辦事處
2011年9月
一. 前言
隨著計算機網(wǎng)絡(luò)的不斷發(fā)展,信息產(chǎn)業(yè)已經(jīng)成為人類社會的支柱產(chǎn)業(yè),全球信息化已成為人類社會發(fā)展的大趨勢,由此帶動了計算機網(wǎng)絡(luò)的迅猛發(fā)展和普遍應(yīng)用。但由于計算機網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開放性、互連性等特征,致使網(wǎng)絡(luò)易受黑客、病毒、蠕蟲、惡意軟件和其他惡意的攻擊,所以網(wǎng)上信息的安全和保密是一個至關(guān)重要的問題。無論是有意的攻擊,還是無意的誤操作,都將會給系統(tǒng)帶來不可估量的損失。攻擊者可以竊聽網(wǎng)絡(luò)上的信息,竊取用戶的口令、數(shù)據(jù)庫的信息;還可以篡改數(shù)據(jù)庫內(nèi)容,偽造用戶身份,否認(rèn)自己的簽名。這些都使信息安全問題越來越復(fù)雜。所以網(wǎng)絡(luò)的安全性也就成為廣大網(wǎng)絡(luò)用戶普遍關(guān)心的問題。無論是在局域網(wǎng)還是在廣域網(wǎng)中都存在著自然和人為等諸多因素的脆弱性和潛在威脅。發(fā)展和推廣網(wǎng)絡(luò)應(yīng)用的同時進一步提高網(wǎng)絡(luò)的安全性,真正做到“既要使網(wǎng)絡(luò)開放又要使網(wǎng)絡(luò)安全”這一問題已成為了網(wǎng)絡(luò)界積極研究的課題。
在我國,近幾年隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,網(wǎng)絡(luò)應(yīng)用的普及和豐富,網(wǎng)絡(luò)安全的問題也日益嚴(yán)重,利用信息技術(shù)進行的高科技犯罪事件呈現(xiàn)增長態(tài)勢。根據(jù)國際權(quán)威應(yīng)急組織CERT/CC統(tǒng)計,自1995年以來漏洞累計達(dá)到24313個,2006年第一季度共報告漏洞1597個,平均每天超過17個,超過去年同期2個。CNCERT/CC 2005年共整理發(fā)布漏洞公告75個,CNCERT/CC 2006年上半年共整理發(fā)布漏洞公告34個。從統(tǒng)計情況來看,2006年上半年漏洞報告數(shù)量仍處較高水平,大量漏洞的存在使得網(wǎng)絡(luò)安全總體形勢仍然嚴(yán)峻。
對信息系統(tǒng)的安全威脅,包括網(wǎng)上病毒泛濫和蔓延、信息間諜的潛入和竊密、網(wǎng)絡(luò)恐怖集團的攻擊和破壞、內(nèi)部人員的違規(guī)和違法操作、網(wǎng)絡(luò)系統(tǒng)的脆弱和癱瘓、信息產(chǎn)品的失控等,應(yīng)引起足夠警惕,采取安全措施,應(yīng)對這種挑戰(zhàn)。北京天融信公司作為中國信息產(chǎn)業(yè)的排頭兵,決心憑借自身成熟的安全建設(shè)經(jīng)驗,網(wǎng)絡(luò)安全系統(tǒng)出謀劃策。
隨著XX單位網(wǎng)絡(luò)化和信息化建設(shè)的發(fā)展,安全問題對于XX單位信息網(wǎng)絡(luò)的發(fā)展也越來越重要。安全問題已經(jīng)成為影響XX單位業(yè)務(wù)平臺的穩(wěn)定性和業(yè)務(wù)的正常提供的一個重大問題,所以提升XX單位自身的安全性已經(jīng)成為不可忽視的問題。XX單位的領(lǐng)導(dǎo)充分認(rèn)識到網(wǎng)絡(luò)安全建設(shè)的重要性,為了更好的開展、配合XX單位各方面工作,決定對現(xiàn)有信息系統(tǒng)進行網(wǎng)絡(luò)安全技術(shù)改造。
本方案主要針對目前XX單位的最重要部分,即財務(wù)系統(tǒng)的安全進行重點防護,提出我們的觀點和意見。
二. 用戶現(xiàn)狀分析 1 用戶網(wǎng)絡(luò)現(xiàn)狀
目前XX單位的網(wǎng)絡(luò)主要是一套星形交換網(wǎng)絡(luò),辦公網(wǎng)對外出口為互聯(lián)網(wǎng),辦公網(wǎng)通過部署的一臺核心交換機分別為辦公網(wǎng)絡(luò)和財務(wù)網(wǎng)絡(luò)兩個子網(wǎng), 具體如下圖所示: 系統(tǒng)資源分析
XX單位網(wǎng)絡(luò)資產(chǎn)主要可以分為三大類: 物理資源; 軟件資源; 其他資源。物理資源:
網(wǎng)絡(luò)基礎(chǔ)設(shè)施:包括連接網(wǎng)絡(luò)的光纜、各個資源內(nèi)網(wǎng)電纜、路由器、交換設(shè)備、數(shù)據(jù)存儲服務(wù)器、光電轉(zhuǎn)換設(shè)備、個人電腦等。
系統(tǒng)運營保障設(shè)施:包括供電設(shè)施、供水設(shè)施、機房、防火設(shè)備、UPS、加濕器、防靜電設(shè)備等。軟件資源:
重要業(yè)務(wù)軟件,如業(yè)務(wù)應(yīng)用軟件以及其他基本的應(yīng)用辦公軟件; 計算機平臺軟件,包括操作系統(tǒng)、軟件開發(fā)平臺軟件、數(shù)據(jù)庫系統(tǒng)、WEB應(yīng)用軟件等;
工具軟件,如殺毒軟件、OFFICE辦公軟件、硬件驅(qū)動庫等。其他資源:
XX單位網(wǎng)絡(luò)中還包括其他重要的資產(chǎn),如文檔資料等。這些資源在構(gòu)建信息安全保障體系時也應(yīng)當(dāng)被考慮。安全風(fēng)險分析
XX單位信息系統(tǒng)的建設(shè),給XX單位辦公帶來了極大的便利,利用此信息平臺,極大的提高了辦公的效率,提高了事件處理響應(yīng)速度,同時我們也看到,系統(tǒng)的建設(shè)帶來了許多安全風(fēng)險,必然會受到來自外部或內(nèi)部的各種攻擊,包括信息竊取、病毒入侵和傳播等行為。針對內(nèi)部業(yè)務(wù)網(wǎng)和外部辦公網(wǎng),要保證網(wǎng)絡(luò)的整體安全,就必須從分析攻擊的方式入手。攻擊行為一般包括偵聽、截獲、竊取、破譯等被動攻擊和修改、偽造、破壞、冒充、病毒擴散等主動攻擊。針對主動和被動攻擊,通過對XX單位網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用系統(tǒng)分析,我們認(rèn)為,網(wǎng)絡(luò)面臨的主要安全威脅包括:物理層安全風(fēng)險、網(wǎng)絡(luò)層安全風(fēng)險、系統(tǒng)層安全風(fēng)險、應(yīng)用層安全風(fēng)險:(1)
物理層安全風(fēng)險
我們所說的物理層指的是整個網(wǎng)絡(luò)中存在的所有的信息機房、通信線路、網(wǎng) 絡(luò)設(shè)備、安全設(shè)備等,保證計算機信息系統(tǒng)各種設(shè)備的物理安全是保障整個 網(wǎng)絡(luò)系統(tǒng)安全的前提,然而,這些設(shè)備都面臨著地震、水災(zāi)、火災(zāi)等環(huán)境事 故以及人為操作失誤、錯誤及各種計算機犯罪行為導(dǎo)致的破壞過程,設(shè)備安 全威脅主要包括設(shè)備的被盜、惡意破壞、電磁信息輻射泄漏、線路截獲監(jiān)聽、電磁干擾、電源掉電、服務(wù)器宕機以及物理設(shè)備的損壞等等。這些都對整個 網(wǎng)絡(luò)的基礎(chǔ)設(shè)備及上層的各種應(yīng)用有著嚴(yán)重的安全威脅,這些事故一旦出現(xiàn),就會使整個網(wǎng)絡(luò)不可用,給內(nèi)網(wǎng)平臺造成極大的損失。
(A)信息機房周邊對設(shè)備運行產(chǎn)生不良影響的環(huán)境條件,如:周邊環(huán)境溫度、空氣濕度等。
(B)供電系統(tǒng)產(chǎn)生的安全威脅,UPS自身的安全性。
(C)各種移動存儲媒體(如軟盤、移動硬盤、USB盤、光盤等)在應(yīng)用后得不到及時的處置,也會造成機密信息的外泄。
(D)一些重要的數(shù)據(jù)庫服務(wù)器系統(tǒng)的存在著硬件平臺的物理損壞、老化等現(xiàn)象,導(dǎo)致數(shù)據(jù)的丟失。
(E)網(wǎng)絡(luò)安全設(shè)備有直接暴露在非網(wǎng)絡(luò)管理人員或外來人員的面前,外來人有可能直接使安全設(shè)備喪失功能,為以后的侵入打下基礎(chǔ),如:直接關(guān)掉入侵檢測系統(tǒng)的電源、關(guān)掉防病毒系統(tǒng)等。
(F)外來人員及非網(wǎng)絡(luò)管理人員可以直接對一些設(shè)備進行操作,更改通信設(shè)備(如交換機、路由器)、安全設(shè)備(如更改防火墻的安全策略配置)等。(2)網(wǎng)絡(luò)層安全風(fēng)險
網(wǎng)絡(luò)層是網(wǎng)絡(luò)入侵者攻擊信息系統(tǒng)的渠道和通路。許多安全問題都集中體現(xiàn)在網(wǎng)絡(luò)的安全方面。大型網(wǎng)絡(luò)系統(tǒng)內(nèi)運行的TCP/IP協(xié)議并非專為安全通訊而設(shè)計,所以網(wǎng)絡(luò)系統(tǒng)存在大量安全隱患和威脅。網(wǎng)絡(luò)入侵者一般采用預(yù)攻擊探測、竊聽等搜集信息,然后利用 IP欺騙、重放或重演、拒絕服務(wù)攻擊(SYN FLOOD,PING FLOOD等)、分布式拒絕服務(wù)攻擊、篡改、堆棧溢出等手段進行攻擊。(A)網(wǎng)絡(luò)設(shè)備存在的風(fēng)險
在網(wǎng)絡(luò)中的重要的安全設(shè)備如路由器、交換機等有可能存在著以下的安全威脅:(以最常用的交換機為例)
a)交換機缺省情況下只使用簡單的口令驗證用戶的身份,并且遠(yuǎn)程TELNET 登錄時以明文傳輸口令。一旦口令泄密路由器將失去所有的保護能力。b)交換機口令的弱點是沒有計數(shù)器功能的,所有每個人都可以不限數(shù)的嘗 試登錄口令,在口令字典等工具的幫助下很容易破解登錄口令。c)每個管理員都可能使用相同的口令,因此,交換機對于誰曾經(jīng)作過什么 修改,系統(tǒng)沒有跟蹤審計能力。
d)交換機實現(xiàn)的協(xié)議存在著一定的安全漏洞,有可能被惡意的攻擊者利用
來破壞網(wǎng)絡(luò)的設(shè)置,達(dá)到破壞網(wǎng)絡(luò)或為攻擊做準(zhǔn)備。
(B)網(wǎng)絡(luò)訪問的合理性
網(wǎng)絡(luò)的訪問策略是不是合理,訪問是不是有序,訪問的目標(biāo)資源是否受控等問題,都會直接影響到內(nèi)網(wǎng)平臺的穩(wěn)定與安全。如果存在網(wǎng)絡(luò)內(nèi)訪問混亂,外來人員也很容易接入網(wǎng)絡(luò),地址被隨意使用等問題,將導(dǎo)致網(wǎng)絡(luò)難以管理,網(wǎng)絡(luò)工作效率下將,無法部署安全設(shè)備、對攻擊者也無法進行追蹤審計。
對于XX單位的網(wǎng)絡(luò)來講,嚴(yán)格地控制專網(wǎng)內(nèi)終端設(shè)備的操作及使用是非常必要的,例如,一位非法外聯(lián)的撥號用戶將會使在網(wǎng)絡(luò)邊界的防火墻設(shè)備的所有安全策略形同虛設(shè)。
(C)TCP/IP網(wǎng)絡(luò)協(xié)議的缺陷
TCP/IP協(xié)議是當(dāng)前網(wǎng)絡(luò)的主流通信協(xié)議,已成為網(wǎng)絡(luò)通信和應(yīng)用的實際標(biāo)準(zhǔn)。然而,基于數(shù)據(jù)流設(shè)計的TCP/IP協(xié)議自身存在著許多安全漏洞,在網(wǎng)絡(luò)發(fā)展的
早期,由于應(yīng)用范圍和技術(shù)原因,沒有引起重視。但這些安全漏洞正日益成為黑客們的攻擊點。在網(wǎng)上辦公、網(wǎng)上文件審批、網(wǎng)上數(shù)據(jù)傳遞等活動中,對TCP/IP網(wǎng)絡(luò)服務(wù)的任一環(huán)節(jié)的攻擊,都有可能威脅到用戶機密,都可能使重要的信息,比如重要數(shù)據(jù)、重要的口令在傳遞過程中遭到竊聽和篡改。因此,針對網(wǎng)絡(luò)層安全協(xié)議的攻擊將給網(wǎng)絡(luò)帶來嚴(yán)重的后果。(D)傳輸上存在的風(fēng)險
從網(wǎng)絡(luò)結(jié)構(gòu)的分析上,我們看到,現(xiàn)今網(wǎng)絡(luò)接入互聯(lián)網(wǎng),網(wǎng)絡(luò)間只是通過交換機連接,完全透明,那么當(dāng)數(shù)據(jù)以明文的方式在這種不可信任網(wǎng)絡(luò)中進行傳遞和交換時,就給數(shù)據(jù)的安全性、保密性帶來極大的挑戰(zhàn),具體來講對數(shù)據(jù)傳輸安全造成威脅的主要行為有:
竊聽、破譯傳輸信息:由于網(wǎng)絡(luò)間的完全透明,攻擊者能夠通過線路偵聽等 方式,獲取傳輸?shù)男畔?nèi)容,造成信息泄露;或通過開放環(huán)境中的路由或交 換設(shè)備,非法截取通信信息;
篡改、刪減傳輸信息:攻擊者在得到報文內(nèi)容后,即可對報文內(nèi)容進行修改,造成收信者的錯誤理解。即使沒有破譯傳輸?shù)男畔ⅲ部梢酝ㄟ^刪減信息內(nèi) 容等方式,造成對信息的破壞,比如將一份報文的后半部分去掉,造成時間、地點等重要內(nèi)容的缺失,導(dǎo)致信息的嚴(yán)重失真;
重放攻擊:即使攻擊者無法破譯報文內(nèi)容,也無法對報文進行篡改或刪減,但也可以通過重新發(fā)送收到的數(shù)據(jù)包的方式,進行重放攻擊。對于一些業(yè)務(wù) 系統(tǒng),特別是數(shù)據(jù)庫系統(tǒng),這種重放攻擊會造成數(shù)據(jù)失真以及數(shù)據(jù)錯誤; 偽裝成合法用戶:利用偽造用戶標(biāo)識,通過實時報文或請求文件傳輸?shù)靡赃M 入通信信道,實現(xiàn)惡意目的。例如,偽裝成一個合法用戶,參與正常的通信 過程,造成數(shù)據(jù)泄密。
網(wǎng)絡(luò)中病毒的威脅:由于網(wǎng)絡(luò)間都為透明模式,一旦有機器中病毒,就會在 整個網(wǎng)絡(luò)上大量傳播,造成整個網(wǎng)絡(luò)癱瘓,造成無法辦公。(3)應(yīng)用層安全
操作系統(tǒng)安全即是主機安全。整個網(wǎng)絡(luò)是一個分布式交換的服務(wù)平臺,其最核心的和需要保護的是財務(wù)處網(wǎng)絡(luò)中的服務(wù)器,從操作系統(tǒng)本身來講,現(xiàn)在代碼的龐大和程序人員編碼的習(xí)慣等等都會給操作系統(tǒng)留下一些BUG,比如一些鮮為人知的如 WINGDOW 2000的3389、139等等漏洞,都會給財務(wù)處網(wǎng)絡(luò)帶來一定的風(fēng)險。一旦通過其操作系統(tǒng)的問題而造成的網(wǎng)絡(luò)的崩潰,其后果是不可設(shè)想的。
操作系統(tǒng)面臨的安全風(fēng)險主要來自兩個方面,一方面來自操作系統(tǒng)本身的脆弱性,另一方面來自對系統(tǒng)的使用、配置和管理,主要有:
? 操作系統(tǒng)是否安裝補丁和修正程序:由于技術(shù)開發(fā)原因,幾乎所有網(wǎng)絡(luò)中的操作系統(tǒng)在設(shè)計時就存在各種各樣的漏洞,大多數(shù)漏洞直接與系統(tǒng) 的安全有關(guān),操作系統(tǒng)的開發(fā)公司發(fā)現(xiàn)后都安裝了補丁和修正程序,但這種補丁和修正程序不一定為用戶所知。
? 操作系統(tǒng)的后門:對于中國來說,恐怕沒有絕對安全的操作系統(tǒng)可以選擇,無論是Microsoft的產(chǎn)品或者其他任何商用操作系統(tǒng),其開發(fā)廠商必然有其Back-Door,這將成為潛在的安全隱患。
? 系統(tǒng)配置:系統(tǒng)的安全程度與系統(tǒng)的應(yīng)用面及嚴(yán)格管理有很大關(guān)系,一個工作組的打印服務(wù)器和一個機要部門的數(shù)據(jù)庫服務(wù)器的選擇標(biāo)準(zhǔn)顯而易見是不可同日而與的,因此應(yīng)正確估價自己的網(wǎng)絡(luò)風(fēng)險并根據(jù)自己的網(wǎng)絡(luò)風(fēng)險大小作出相應(yīng)的安全解決方案。不同的用戶應(yīng)從不同的方面對其網(wǎng)絡(luò)作詳盡的分析,以正確評定數(shù)據(jù)流向。比如,由于服務(wù)器需要進行日常的維護與管理及內(nèi)容更新,這就要求系統(tǒng)管理員或服務(wù)提供者能登錄到服務(wù)器上。對此類訪問服務(wù)器不應(yīng)拒絕。在使用防火墻之前,服務(wù)器通過簡單靜態(tài)的口令字進行身份鑒別(如使用服務(wù)器或數(shù)據(jù)庫的認(rèn)證機制),一旦身份鑒別通過,用戶即可訪問服務(wù)器。侵襲者可以通過以下幾種方式很容易地獲取口令字:
? 一是內(nèi)部的管理人員因安全管理不當(dāng)而造成泄密; ? 二是通過在公用網(wǎng)上搭線竊取口令字; ? 三是通過假冒,植入嗅探程序,截獲口令字; ? 四是采用字典攻擊方式,獲得口令字。
侵襲者一旦掌握了某一用戶口令字,就有可能得到管理員的權(quán)限并可造成不可估量的損失。
由于操作系統(tǒng)的配置牽涉到各個方面,上面運行的服務(wù)也各種各樣,故在系統(tǒng)的配置上很容易出錯,因此,我們認(rèn)為的系統(tǒng)的配置錯誤地很難避免,但是,我們可以對現(xiàn)有的操作平臺進行安全配置、對操作和訪問權(quán)限進行嚴(yán)格控制,提高系統(tǒng)的安全性。因此,不但要選用盡可能可靠的操作系統(tǒng)和硬件平臺。而且,必須加強登錄過程的認(rèn)證(特別是在到達(dá)服務(wù)器主機之前的認(rèn)證),確保用戶的合法性;其次應(yīng)該嚴(yán)格限制登錄者的操作權(quán)限,將其完成的操作限制在最小的范圍內(nèi)。
(4)應(yīng)用層安全
數(shù)據(jù)庫安全也是整個財務(wù)處網(wǎng)絡(luò)最為重要的應(yīng)用,同時也是需要重點考慮的問題之一。整個網(wǎng)絡(luò)主要的業(yè)務(wù)就是信息的共享和數(shù)據(jù)交換的方便性。從應(yīng)用系統(tǒng)的角度,占據(jù)本網(wǎng)絡(luò)整個信息平臺的就是數(shù)據(jù)庫,如果在數(shù)據(jù)庫上不能保證安全,整個本網(wǎng)絡(luò)的信息中心基本上就是空設(shè)防地帶,數(shù)據(jù)庫管理系統(tǒng)面臨的安全風(fēng)險有:
? 系統(tǒng)認(rèn)證口令強度不夠,過期賬號,登錄攻擊的風(fēng)險; ? 系統(tǒng)授權(quán)。帳號權(quán)限,登錄時間超時的風(fēng)險;
? 系統(tǒng)完整性。如:Y2K兼容,特洛伊木馬,審核配置,補丁和修正程序; ? 脆弱的帳號設(shè)置。在許多情況下,數(shù)據(jù)庫用戶往往缺乏足夠的安全設(shè)置,例如未禁用缺省用戶帳號和密碼,用戶口令設(shè)置存在脆弱性等。? 缺乏角色分離。傳統(tǒng)數(shù)據(jù)庫管理并沒有“安全管理員(Security Administrator),這一角色,這就迫使數(shù)據(jù)庫管理員(DBA)既要負(fù)責(zé)帳號的維護管理,又要專門對數(shù)據(jù)庫執(zhí)行性能和操作行為進行調(diào)試跟蹤,從而導(dǎo)致安全管理效率低下。
? 缺乏審計跟蹤。數(shù)據(jù)庫審計經(jīng)常被DBA以提高性能或節(jié)省磁盤空間為由忽視或關(guān)閉,這大大降低了安全管理的效率。XX單位財務(wù)系統(tǒng)可能存在的風(fēng)險和問題
1)來自財務(wù)網(wǎng)絡(luò)外部的風(fēng)險
雖然財務(wù)網(wǎng)絡(luò)依托于XX單位的辦公網(wǎng)絡(luò),但是財務(wù)網(wǎng)絡(luò)畢竟是獨立的網(wǎng)絡(luò)個體,如果沒有邊界防護將是危險的。財務(wù)網(wǎng)絡(luò)很容易遭到來自于辦公網(wǎng)絡(luò)可能的入侵者的攻擊。如:入侵者通過Sniffer等嗅探程序來探測掃描網(wǎng)絡(luò)及操作系統(tǒng)存在的安全漏洞,如網(wǎng)絡(luò)IP地址、應(yīng)用操作系統(tǒng)的類型、開放哪些TCP端口號、系統(tǒng)保存用戶名和口令等安全信息的關(guān)鍵文件等,并通過相應(yīng)攻擊程序?qū)?nèi)網(wǎng)進行攻擊。入侵者通過網(wǎng)絡(luò)監(jiān)聽等先進手段獲得內(nèi)部網(wǎng)用戶的用戶名、口令等信息,進而假冒內(nèi)部合法身份進行非法登錄,竊取內(nèi)部網(wǎng)重要信息。惡意攻擊:入侵者通過發(fā)送大量PING包對內(nèi)部網(wǎng)重要服務(wù)器進行攻擊,使得服務(wù)器超負(fù)荷工作以至拒絕服務(wù)甚至系統(tǒng)癱瘓在Internet上爆發(fā)網(wǎng)絡(luò)蠕蟲病毒的時候,如果內(nèi)網(wǎng)的邊界處沒有訪問控制設(shè)備對蠕蟲病毒在第一時間進行隔離,那么蠕蟲的攻擊
將會對網(wǎng)絡(luò)造成致命的影響。2)來自財務(wù)網(wǎng)絡(luò)外部的非授權(quán)訪問
非授權(quán)訪問沒有預(yù)先經(jīng)過同意,就使用網(wǎng)絡(luò)或計算機資源被看作非授權(quán)訪問,如有意避開系統(tǒng)訪問控制機制,對網(wǎng)絡(luò)設(shè)備及資源進行非正常使用,或擅自擴大權(quán)限,越權(quán)訪問信息。它主要有以下幾種形式:假冒、身份攻擊、非法用戶進入網(wǎng)絡(luò)系統(tǒng)進行違法操作、合法用戶以未授權(quán)方式進行操作等。3)來自財務(wù)網(wǎng)絡(luò)內(nèi)部的風(fēng)險
目前財務(wù)網(wǎng)絡(luò)內(nèi)部的財務(wù)主服務(wù)器與財務(wù)辦公主機,混雜在一臺交換機上,這對于財務(wù)主服務(wù)器是完全不可取的,由于財務(wù)辦公主機的使用人員紛雜,計算機安全意識參差不齊,所以財務(wù)辦公主機的安全性和可靠性完全不能保證,而財務(wù)辦公主機與財務(wù)主服務(wù)器之間完全沒有任何防護手段。4)來自財務(wù)網(wǎng)絡(luò)內(nèi)部的非授權(quán)訪問
對于財務(wù)處網(wǎng)絡(luò)向外部網(wǎng)絡(luò)的訪問沒有任何的限制,也是不可取的,針對不同用戶的不同訪問需求,應(yīng)給于不同的訪問權(quán)限。無限制的任由用戶使用現(xiàn)有的網(wǎng)絡(luò)資源,將會造成網(wǎng)絡(luò)品質(zhì)的整體下降。同時當(dāng)財務(wù)處網(wǎng)絡(luò)中的主機因蠕蟲原因大量向外發(fā)送數(shù)據(jù)包,沒有相應(yīng)安全防護設(shè)備,將造成包括辦公網(wǎng)絡(luò)的整個網(wǎng)絡(luò)的癱瘓。同時,沒有完善的日志能力,對于日后的責(zé)任認(rèn)定也造成了很大的麻煩。
5)病毒的風(fēng)險
病毒的危險是現(xiàn)在網(wǎng)絡(luò)最需要解決的問題,目前的病毒傳播途徑多樣化,傳播方式智能化,決定了使用單一的防病毒軟件是無法完全解決病毒問題的,在網(wǎng)絡(luò)的邊界處,部署網(wǎng)關(guān)防護設(shè)備,可以有效地抑制病毒的傳播,尤其是當(dāng)出現(xiàn)大規(guī)模爆發(fā)的蠕蟲病毒的時候,網(wǎng)關(guān)防護設(shè)備可以有效地把蠕蟲病毒抑制在小范圍之內(nèi),而不至于繼續(xù)擴散。6)沒有完善的日志系統(tǒng)
財務(wù)處網(wǎng)絡(luò)中數(shù)據(jù)的完整性,可靠性,要求對于任何一次訪問,都要有明確的記錄,以便日后審查使用,而目前XX單位的財務(wù)網(wǎng)絡(luò)中沒有這樣的能力,這對日后的究責(zé)是非常不利的 三.整體方案的設(shè)計
根據(jù)XX單位的現(xiàn)有網(wǎng)絡(luò)環(huán)境,分析可能存在的威脅和風(fēng)險,考慮通過部署
天融信防火墻系統(tǒng),入侵防御系統(tǒng)及病毒過濾網(wǎng)關(guān)系統(tǒng)來加固XX單位的信息網(wǎng)絡(luò)。
采用千兆天融信防火墻系統(tǒng),入侵防御系統(tǒng)及病毒過濾網(wǎng)關(guān)系統(tǒng)部署在互聯(lián) 網(wǎng)與XX單位辦公網(wǎng)接入處用于互聯(lián)網(wǎng)與XX單位辦公網(wǎng)的安全防護,百兆天融信防火墻系統(tǒng),入侵防御系統(tǒng)及病毒過濾網(wǎng)關(guān)系統(tǒng)部署在財務(wù)網(wǎng)絡(luò)與XX單位辦公網(wǎng)絡(luò)的邊界處,用于隔離財務(wù)網(wǎng)絡(luò)中的工作主機和內(nèi)部業(yè)務(wù)網(wǎng)絡(luò)中的服務(wù)器,通過天融信防火墻系統(tǒng),入侵防御系統(tǒng)及病毒過濾網(wǎng)關(guān)系統(tǒng),保護服務(wù)器不受外來攻擊。
具體部署如下圖所示:
四.防火墻子系統(tǒng) 1 防火墻部署的意義
防火墻是近年發(fā)展起來的重要安全技術(shù),其主要作用是在網(wǎng)絡(luò)區(qū)域邊界處檢查網(wǎng)絡(luò)通信,根據(jù)用戶設(shè)定的安全規(guī)則,在保護重要網(wǎng)絡(luò)區(qū)域安全的前提下,提供不同網(wǎng)絡(luò)區(qū)域間通信。通過使用防火墻過濾不安全的通信,提高網(wǎng)絡(luò)安全和減少主機的風(fēng)險,提供對系統(tǒng)的訪問控制;阻止攻擊者獲得攻擊網(wǎng)絡(luò)系統(tǒng)的有用信息,記錄和統(tǒng)計網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用數(shù)據(jù)、攻擊和探測策略執(zhí)行。設(shè)立防火墻的目的就是保護一個網(wǎng)絡(luò)區(qū)域不受來自另一個網(wǎng)絡(luò)區(qū)域的攻擊,防火墻的主要功能包括以下幾個方面:
(A)防火墻提供安全邊界控制的基本屏障。設(shè)置防火墻可提高網(wǎng)絡(luò)安全性,降
低受攻擊的風(fēng)險。
(B)防火墻體現(xiàn)網(wǎng)絡(luò)安全策略的具體實施。防火墻集成所有安全軟件(如口令、加密、認(rèn)證、審計等),比分散管理更經(jīng)濟。
(C)防火墻強化安全認(rèn)證和監(jiān)控審計。因為所有進出網(wǎng)絡(luò)的通信流都通過防火
墻,使防火墻也能提供日志記錄、統(tǒng)計數(shù)據(jù)、報警處理、審計跟蹤等服務(wù)。(D)防火墻能阻止內(nèi)部信息泄漏。防火墻實際意義上也是一個隔離器,即能防
外,又能防止內(nèi)部業(yè)務(wù)網(wǎng)絡(luò)中未經(jīng)授權(quán)主機對服務(wù)器區(qū)域的訪問。防火墻的安裝部署
防火墻部署的目的是隔離不同安全等級的網(wǎng)絡(luò)區(qū)域,所以我們把XX單位辦公網(wǎng)絡(luò),XX單位財務(wù)網(wǎng)絡(luò)分別看作一個網(wǎng)絡(luò)區(qū)域,同時XX單位辦公網(wǎng)絡(luò)與財務(wù)網(wǎng)絡(luò)之外的所有節(jié)點看作另一個網(wǎng)絡(luò)區(qū)域,防火墻部署在兩個網(wǎng)絡(luò)區(qū)域之間,即部署在財務(wù)網(wǎng)絡(luò)和辦公網(wǎng)絡(luò)的接口處。XX單位辦公網(wǎng)絡(luò)與互聯(lián)網(wǎng)絡(luò)接口處。防火墻的工作模式和接入方式
防火墻提供多種工作模式,包括透明接入,路由接入和混合接入。
? 連接方式:將百兆天融信防火墻的接口1連接財務(wù)網(wǎng)絡(luò)區(qū)域交換機,接口 2連接XX單位辦公網(wǎng)絡(luò),接口3連接財務(wù)網(wǎng)絡(luò)服務(wù)器區(qū)域交換機,千兆天融信
防火墻接口1連接XX單位辦公網(wǎng)絡(luò),接口2連接互聯(lián)網(wǎng)區(qū)域,這樣我們使用防火墻實現(xiàn)了各個安全區(qū)域的隔離作用。
? 工作模式:考慮到對XX單位辦公網(wǎng)絡(luò)和財務(wù)網(wǎng)絡(luò)的影響盡可能小,建議將 百兆防火墻配置成透明工作模式,即防火墻本身不參與路由轉(zhuǎn)發(fā)和運算,只提供訪問控制等防護功能,這樣對網(wǎng)絡(luò)中原有IP地址的配置影響小,互聯(lián)網(wǎng)與XX單位辦公網(wǎng)絡(luò)需要地址轉(zhuǎn)換,將配置成的路由工作模式。防火墻的配置和功能
1)通過防火墻隔離財務(wù)網(wǎng)絡(luò)的各個區(qū)域
通過防火墻的連接,原本屬于一個網(wǎng)絡(luò)(XX單位辦公網(wǎng)絡(luò))的節(jié)點,被劃分為不同的網(wǎng)絡(luò)區(qū)域(財務(wù)處辦公區(qū)域、財務(wù)處服務(wù)器區(qū)域、辦公區(qū)域、互聯(lián)網(wǎng)區(qū)域等),通過對訪問請求的審核,我們隔離不同網(wǎng)絡(luò)區(qū)域間的網(wǎng)絡(luò)連接,可以達(dá)到保護脆弱的服務(wù)、控制對財務(wù)服務(wù)器的訪問、記錄和統(tǒng)計網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用數(shù)據(jù)和策略執(zhí)行等功能。這樣在工作主機訪問財務(wù)服務(wù)器時,全部通信都受到防火墻的監(jiān)控,通過防護墻的策略可以設(shè)置成相應(yīng)的保護級別,以保證系統(tǒng)的安全。2)通過防火墻保護財務(wù)服務(wù)器
通過在防火墻上設(shè)置詳細(xì)的訪問控制規(guī)則,各個區(qū)域,各個IP節(jié)點間的通信,必須要符合防火墻的訪問控制規(guī)則,例如當(dāng)工作主機向服務(wù)器請求訪問時,也只能訪問服務(wù)器的相應(yīng)服務(wù)端口,在保護了服務(wù)器的同時,也清除了網(wǎng)絡(luò)中傳輸?shù)牟槐匾臄?shù)據(jù)。保證了整個業(yè)務(wù)網(wǎng)絡(luò)的純凈,提高了網(wǎng)絡(luò)的品質(zhì)。通過防火墻的阻斷功能,使得內(nèi)部業(yè)務(wù)網(wǎng)絡(luò)各個區(qū)域不受到惡意的攻擊,攻擊者無法通過防火墻進行掃描、攻擊等非法動作。防火墻可防止攻擊者對重要服務(wù)器的TCP/UDP的端口非法掃描,消除系統(tǒng)安全的隱患。可防止攻擊者通過外部網(wǎng)對重要服務(wù)器的源路由攻擊、IP碎片包攻擊、DNS / RIP / ICMP攻擊、SYN攻擊、拒絕服務(wù)攻擊等多種攻擊。測的功能.3)通過防火墻限制對服務(wù)器的訪問權(quán)限
通過在防火墻上進行嚴(yán)格的訪問控制,通過對不同的用戶進行分組,對于不同的用戶組,給予不同的訪問權(quán)限進行訪問服務(wù)器,減小用戶對于服務(wù)器可以進行操作的權(quán)限,極大地降低了服務(wù)器面臨的風(fēng)險。
4)通過防火墻限制財務(wù)網(wǎng)用戶向外的訪問
通常大多數(shù)用戶認(rèn)為從財務(wù)網(wǎng)絡(luò)向外部的訪問不會造成風(fēng)險和威脅,這種想法是錯誤的,例如反彈型木馬就是借助這種麻痹大意的想法進行侵入的。
缺乏安全控制的濫用互聯(lián)網(wǎng)絡(luò),可能導(dǎo)致:組織內(nèi)部重要資料和秘密資料通過 BBS、Email、QQ 和 MSN 等途徑向外散發(fā),或被別有用心的人截獲而加以利用,或是進行不當(dāng)互聯(lián)網(wǎng)訪問而引起組織內(nèi)部計算機感染木馬病毒,加大了組織重要及秘密信息的曝光率,給組織信息安全帶來隱患:對于政府、事業(yè)單位以及其他公共服務(wù)單位,如果互聯(lián)網(wǎng)管理的不夠完善,將會帶來極大信息安全隱患,例如經(jīng)濟等類型的重要的信息被通過非法渠道泄漏,此舉必然會有損組織的權(quán)威及名譽,并導(dǎo)致組織的公信力下降。對于公司企業(yè)等盈利性機構(gòu)而言,企業(yè)的機密信息等同于企業(yè)的生命。而在互聯(lián)網(wǎng)極度開放的今天,任何的疏忽都有可能導(dǎo)致企業(yè)機密信息外泄;而一旦發(fā)生企業(yè)機密信息外泄的情況,企業(yè)因此而投入了的大量人力物力將會付諸東流,此類案例在互聯(lián)網(wǎng)廣泛使用的今天是屢見不鮮的。
5)通過防火墻調(diào)整網(wǎng)絡(luò)使用效率
通過防火墻具有帶寬控制的特性,可以依據(jù)應(yīng)用來限制流量,來調(diào)整鏈路的帶寬利用如:在網(wǎng)絡(luò)中如果有工作主機向服務(wù)器區(qū)域FTP的訪問、Web訪問等等,可以在防火墻中直接加載控制策略,使FTP訪問、Web訪問按照預(yù)定的帶寬進行數(shù)據(jù)交換。實現(xiàn)每個用戶、每個服務(wù)的帶寬控制,調(diào)整鏈路帶寬利用的效率。
6)通過防火前完善日志
通過防火墻可以采集所有流經(jīng)防火墻的數(shù)據(jù),記錄到防火墻的日志服務(wù)器中,通過日志服務(wù)器的日志分析和統(tǒng)計功能,在對收集的事件進行詳盡分析及統(tǒng)計的基礎(chǔ)上輸出豐富的報表,實現(xiàn)分析結(jié)果的可視化;系統(tǒng)提供多達(dá)300多種的報表模板,不僅支持對網(wǎng)絡(luò)事件按條件統(tǒng)計,更提供了對流量等變化趨勢的形象表現(xiàn);對于分析結(jié)果系統(tǒng)提供了表格及多種圖形表現(xiàn)形式(柱狀圖、曲線圖),使管理員一目了然。同時采用多種告警方式,通知網(wǎng)絡(luò)管理人員。7)實現(xiàn)了重要財務(wù)工作人員直接訪問財務(wù)處網(wǎng)絡(luò)
通過天融信防火墻的訪問控制能力,我們可以控制各個訪問者訪問的權(quán)限,同時我們采用用戶名,口令,證書等驗證方式,徹底實現(xiàn)了對于訪問者身份驗證的目的。
五.入侵防御子系統(tǒng)
通常通過防火墻進行網(wǎng)絡(luò)安全防范。從理論上分,防火墻可以說是第一層安全防范手段,通常安裝在網(wǎng)絡(luò)入口來保護來自外部的攻擊。其主要防范原理為基于TCP/IP的IP地址和及端口進行過濾、限制。由于防火墻本身為穿透型(所有數(shù)據(jù)流需要經(jīng)過防火墻才能到達(dá)目的地),因此為了提高其過濾、轉(zhuǎn)發(fā)效率,通常不會對每個數(shù)據(jù)報文或者數(shù)據(jù)流進行過多的、細(xì)致地分析、檢查。但是恰恰很多符合防火墻的TCP/IP過濾安全策略的數(shù)據(jù)流或者報文中參雜著惡意的攻擊企圖。雖然目前一些防火墻增強了對于應(yīng)用層內(nèi)容分析的功能,但是考慮其因分析、處理應(yīng)用層內(nèi)容而導(dǎo)致的網(wǎng)絡(luò)延遲的增加,因此從其實際應(yīng)用角度來說,存在一些局限性。但是網(wǎng)絡(luò)入侵防御系統(tǒng)由于其以串接模式部署到現(xiàn)有網(wǎng)絡(luò)中,執(zhí)行各種復(fù)雜的應(yīng)用層分析工作。因此可以成為防火墻有效的擴展。同時自帶阻斷功能,可以實現(xiàn)整體的安全防范體系。1入侵防御產(chǎn)品概述
天融信公司新版本的“網(wǎng)絡(luò)衛(wèi)士入侵防御系統(tǒng) TopIDP”是基于新一代并行處理技術(shù),它通過設(shè)置檢測與阻斷策略對流經(jīng)TopIDP的網(wǎng)絡(luò)流量進行分析過濾,并對異常及可疑流量進行積極阻斷,同時向管理員通報攻擊信息,從而提供對網(wǎng)絡(luò)系統(tǒng)內(nèi)部IT資源的安全保護。TopIDP能夠阻斷各種非法攻擊行為,比如利用薄弱點進行的直接攻擊和增加網(wǎng)絡(luò)流量負(fù)荷造成網(wǎng)絡(luò)環(huán)境惡化的DoS攻擊等,安全地保護內(nèi)部IT資源。
網(wǎng)絡(luò)衛(wèi)士入侵防御系統(tǒng)部署于網(wǎng)絡(luò)中的關(guān)鍵點,實時監(jiān)控各種數(shù)據(jù)報文及網(wǎng)絡(luò)行為,提供及時的報警及響應(yīng)機制。其動態(tài)的安全響應(yīng)體系與防火墻、路由器等靜態(tài)的安全體系形成強大的協(xié)防體系,大大增強了用戶的整體安全防護強度。
2入侵防御系統(tǒng)產(chǎn)品特點 強大的高性能并行處理架構(gòu)
TopIDP應(yīng)用了先進的多核處理器硬件平臺,將并行處理技術(shù)成功融入天融信自主知識產(chǎn)權(quán)的安全操作系統(tǒng)TOS(Topsec Operating System)系統(tǒng),集成多項發(fā)明專利,形成了先進的多核架構(gòu)技術(shù)體系。在此基礎(chǔ)上的TopIDP產(chǎn)品具有高速的數(shù)據(jù)并行檢測處理和轉(zhuǎn)發(fā)能力,能夠勝任高速網(wǎng)絡(luò)的安全防護要求。
精確的基于目標(biāo)系統(tǒng)的流重組檢測引擎
傳統(tǒng)的基于單個數(shù)據(jù)包檢測的入侵防御產(chǎn)品無法有效抵御TCP流分段重疊的攻擊,任何一個攻擊行為通過簡單的TCP流分段組合即可輕松穿透這種引擎,在受保護的目標(biāo)服務(wù)器主機上形成真正的攻擊。TopIDP產(chǎn)品采用了先進的基于目標(biāo)系統(tǒng)的流重組檢測引擎,首先對到達(dá)的TCP數(shù)據(jù)包按照其目標(biāo)服務(wù)器主機的操作系統(tǒng)類型進行流重組,然后對重組后的完整數(shù)據(jù)進行攻擊檢測,從而從根源上徹底阻斷了TCP流分段重疊攻擊行為。
準(zhǔn)確與完善的檢測能力
TopIDP產(chǎn)品的智能檢測引擎可分析網(wǎng)絡(luò)攻擊的組合行為特征來準(zhǔn)確識別各種攻擊,準(zhǔn)確性更高;可以智能地識別出多種攻擊隱藏手段及變種攻擊,帶來更
高安全性;通過智能化檢測引擎,能夠識別出多種高危網(wǎng)絡(luò)行為,并可以將此類行為以告警方式通知管理員,達(dá)到防患于未然的目的,帶來更高網(wǎng)絡(luò)安全性;同時新版TopIDP具有強大的木馬檢測與識別能力;完善的應(yīng)用攻擊檢測與防護能力;豐富的網(wǎng)絡(luò)應(yīng)用控制能力和及時的應(yīng)急響應(yīng)能力。豐富靈活的自定義規(guī)則能力
TopIDP產(chǎn)品內(nèi)置了豐富靈活的自定義規(guī)則能力,能夠根據(jù)協(xié)議、源端口、目的端口及協(xié)議內(nèi)容自行定義攻擊行為,其中協(xié)議內(nèi)容支持強大靈活的PCRE(兼容perl的正則表達(dá)式)語法格式,特定協(xié)議支持更多達(dá)10種,包括:ip、tcp、http、dns、ftp、pop3、smtp、qq、msn、imap等。借助于靈活的自定義規(guī)則能力,用戶可以輕松定義自己的應(yīng)用層檢測和控制功能。
可視化的實時報表功能
現(xiàn)實網(wǎng)絡(luò)中的攻擊行為紛繁復(fù)雜且瞬息萬變,TopIDP產(chǎn)品提供了可視化的實時報表功能,可以實時顯示按發(fā)生次數(shù)排序的攻擊事件排名,使網(wǎng)絡(luò)攻擊及其威脅程度一目了然。應(yīng)用配套的TopPolicy產(chǎn)品,可以實時顯示Top10攻擊者、Top10被攻擊者、Top10攻擊事件等統(tǒng)計報表,更可以顯示24小時連續(xù)變化的事件發(fā)生統(tǒng)計曲線圖。借助于可視化的實時報表功能,用戶可以輕松實現(xiàn)全網(wǎng)威脅分析。
3入侵防御產(chǎn)品的作用
在基于TCP/IP的網(wǎng)絡(luò)中,普遍存在遭受攻擊的風(fēng)險。除了惡意的攻擊外,非惡意目的發(fā)起的攻擊也是非常重要的一部分。有效的入侵防御系統(tǒng)可以同時檢測內(nèi)部和外部威脅。入侵防御系統(tǒng)的目的是檢測惡意和非預(yù)期的數(shù)據(jù)和行為(如變更數(shù)據(jù)、惡意執(zhí)行、允許非預(yù)期資源訪問的請求和非預(yù)期使用服務(wù))。一旦入侵被檢測到,會引發(fā)某種響應(yīng)(如斷開攻擊者連接、通知操作員、自動停止或減輕攻擊、跟蹤攻擊來源或適當(dāng)?shù)胤垂簦?/p>
利用防火墻技術(shù),經(jīng)過精心的配置,通常能夠在內(nèi)外網(wǎng)之間提供安全的網(wǎng)絡(luò)保護,降低網(wǎng)絡(luò)安全風(fēng)險。但是,存在著一些防火墻等其它安全設(shè)備所不能防范的安全威脅,這就需要入侵防御系統(tǒng)提供實時的入侵檢測及采取相應(yīng)的防護手
段,如記錄證據(jù)用于跟蹤和恢復(fù)、斷開網(wǎng)絡(luò)連接等,來保護電子政務(wù)局域網(wǎng)的安全。
入侵防御是防火墻等其它安全措施的補充,幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊,擴展系統(tǒng)管理員的安全管理能力(包括安全審計、監(jiān)視、進攻識別和響應(yīng)),提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計算機網(wǎng)絡(luò)系統(tǒng)中的流量中收集信息,并分析這些信息,看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵防御被認(rèn)為是防火墻之后的第二道安全閘門,對網(wǎng)絡(luò)進行監(jiān)測,從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時檢測。
除了入侵防御技術(shù)能夠保障系統(tǒng)安全之外,下面幾點也是使用入侵防御的原因:
(1)計算機安全管理的基本目標(biāo)是規(guī)范單個用戶的行為以保護信息系統(tǒng)免受安全問題的困擾。入侵檢測系統(tǒng)可以發(fā)現(xiàn)已有的威脅,并對攻擊者進行懲罰,有助于上述目標(biāo)的實現(xiàn),并對那些試圖違反安全策略的人造成威懾。
(2)入侵防御可以檢測其它安全手段無法防止的問題。攻擊者使用越來越容易得到的攻擊技術(shù),能夠?qū)Υ罅肯到y(tǒng)進行非授權(quán)的訪問,尤其是連接到電子政務(wù)局域網(wǎng)的系統(tǒng),而當(dāng)這些系統(tǒng)具有已知漏洞的時候這種攻擊更容易發(fā)生。盡管開發(fā)商和管理員試圖將漏洞帶來的威脅降到最低程度,但是很多情況下這是不能避免的:
? 很多系統(tǒng)的操作系統(tǒng)不能得到及時的更新
? 有的系統(tǒng)雖然可以及時得到補丁程序,但是管理員沒有時間或者資源進行系統(tǒng)更新,這個問題很普遍,特別是在那些具有大量主機或多種類型的軟硬件的環(huán)境中。
? 正常工作可能需要開啟網(wǎng)絡(luò)服務(wù),而這些協(xié)議是具有漏洞,容易被攻擊的。
? 用戶和管理員在配置和使用系統(tǒng)時可能犯錯誤。
? 在進行系統(tǒng)訪問控制機制設(shè)置時可能產(chǎn)生矛盾,而這將造成合法用戶逾越他們權(quán)限的錯誤操作。
(3)當(dāng)黑客攻擊一個系統(tǒng)時,他們總是按照一定的步驟進行。首先是對系統(tǒng)或網(wǎng)絡(luò)的探測和分析,如果一個系統(tǒng)沒有配置入侵防御,攻擊者可以自
由的進行探測而不被發(fā)現(xiàn),這樣很容易找到最佳攻入點。如果同樣的系統(tǒng)配置了入侵防御,則會對攻擊者的行動帶來一定難度,它可以識別可疑探測行為,阻止攻擊者對目標(biāo)系統(tǒng)的訪問,或者對安全人員報警以便采取響應(yīng)措施阻止攻擊者的下一步行動。
(4)入侵防御證實并且詳細(xì)記錄內(nèi)部和外部的威脅,在制定網(wǎng)絡(luò)安全管理方案時,通常需要證實網(wǎng)絡(luò)很可能或者正在受到攻擊。此外,攻擊的頻率和特征有助于選擇保護網(wǎng)絡(luò)免受相應(yīng)攻擊的安全手段。
(5)在入侵防御運行了一段時間后,系統(tǒng)使用模式和檢測問題變得明顯,這會使系統(tǒng)的安全設(shè)計與管理的問題暴露出來,在還沒有造成損失的時候進行糾正。
(6)即使當(dāng)入侵防御不能阻止攻擊時,它仍可以收集該攻擊的可信的詳細(xì)信息進行事件處理和恢復(fù),此外,這些信息在某些情況下可以作為犯罪的佐證。
4入侵防御產(chǎn)品部署
我們建議在XX單位辦公網(wǎng)與財務(wù)網(wǎng)接入處部署一臺天融信百兆入侵防御系統(tǒng),主要監(jiān)控不同區(qū)域和財務(wù)網(wǎng)服務(wù)器的安全狀況。在互聯(lián)網(wǎng)與XX單位辦公網(wǎng)接入處部署一臺天融信千兆入侵防御系統(tǒng).IDP的探測引擎應(yīng)串連部署在XX單位辦公網(wǎng)與財務(wù)網(wǎng), 互聯(lián)網(wǎng)與XX單位辦公網(wǎng)連接線路上。5入侵防御策略配置
1)配置事件庫升級
配置入侵防御系統(tǒng)進行定期的事件庫升級。2)配置服務(wù)器區(qū)網(wǎng)絡(luò)的全局預(yù)警策略
入侵防御系統(tǒng)將發(fā)現(xiàn)的針對XX單位財務(wù)網(wǎng)絡(luò)的入侵事件進行整理,并建立戰(zhàn)略級全局預(yù)警事件庫,進而可以據(jù)此對XX單位網(wǎng)絡(luò)做出有針對性的全局預(yù)警。
3)配置XX單位網(wǎng)絡(luò)特有的異常事件集策略
修改或定義XX單位網(wǎng)絡(luò)特有的事件,動態(tài)生成XX單位網(wǎng)絡(luò)自己的事件庫,提高入侵防御系統(tǒng)對XX單位網(wǎng)絡(luò)應(yīng)用的適應(yīng)性和事件檢測的準(zhǔn)確性。4)配置XX單位網(wǎng)絡(luò)異常流量分析策略
根據(jù)實時監(jiān)控XX單位網(wǎng)絡(luò)流量,進行網(wǎng)絡(luò)流量的分類分析和統(tǒng)計情況,定義XX單位網(wǎng)絡(luò)流量異常的閥值,對異常流量進行實時報警。5)配置XX單位網(wǎng)絡(luò)內(nèi)容異常分析策略
配置內(nèi)容異常分析策略對XX單位網(wǎng)絡(luò)所設(shè)定的異常報警內(nèi)容進行多方位的定點跟蹤和顯示,對異常內(nèi)容進行實時報警。6)配置XX單位網(wǎng)絡(luò)安全報表策略
根據(jù)XX單位網(wǎng)絡(luò)中所需要的事件記錄內(nèi)容,建立報表模板。按照XX單位網(wǎng)絡(luò)中的需求選擇報表類型,定制相應(yīng)的報表。7)配置XX單位網(wǎng)絡(luò)蠕蟲分析策略
XX單位網(wǎng)絡(luò)中心針對當(dāng)前流行的網(wǎng)絡(luò)蠕蟲和病毒進行配置網(wǎng)絡(luò)蠕蟲策略,包括Nimda蠕蟲、Sql slammer蠕蟲等。9)配置XX單位網(wǎng)絡(luò)入侵防御管理策略
針對XX單位網(wǎng)絡(luò)不同安全等級的入侵事件進行不同的響應(yīng)方式。包括記錄,報警,阻斷。
10)配置日志輸出策略
配置將日志輸出到綜合審計系統(tǒng)上的策略
六.防病毒網(wǎng)關(guān)系統(tǒng)
1XX單位網(wǎng)絡(luò)防毒需求分析和產(chǎn)品選型
通過對XX單位網(wǎng)絡(luò)的網(wǎng)絡(luò)環(huán)境和主要網(wǎng)絡(luò)業(yè)務(wù)狀況進行分析,我們認(rèn)為計算機病毒是威脅系統(tǒng)正常運行的一個重要因素。
當(dāng)前的病毒發(fā)展呈現(xiàn)出復(fù)合型威脅態(tài)勢,傳播方式多樣化、速度極快,在網(wǎng)絡(luò)中極易形成交叉感染的狀況,同時計算機病毒的危害也不再只限于破壞文件和本機,它甚至可以發(fā)動網(wǎng)絡(luò)攻擊,導(dǎo)致網(wǎng)絡(luò)設(shè)備和服務(wù)器崩潰。一旦病毒爆發(fā),肯定會給網(wǎng)絡(luò)系統(tǒng)帶來很大損失。
針對混合型安全威脅攻擊,還需要加強邊界防毒的防范過濾,這樣才能更有效的保證系統(tǒng)的安全性、網(wǎng)絡(luò)的可用性。我們建議在XX單位財務(wù)網(wǎng)絡(luò)與XX單位辦公網(wǎng),XX單位辦公網(wǎng)與互聯(lián)網(wǎng)接入處部署天融信防病毒網(wǎng)關(guān),工作在互
聯(lián)網(wǎng)與XX單位辦公網(wǎng),XX單位辦公網(wǎng)與財務(wù)網(wǎng)絡(luò)的接入口處。防病網(wǎng)關(guān)可以進行病毒特征碼升級。
通過配置防病毒網(wǎng)關(guān),我們可以實現(xiàn): ? 保證所有通過郵件/HTTP/FTP等方式進入外網(wǎng)辦公網(wǎng)網(wǎng)絡(luò)及用戶系統(tǒng)前都會通過防病毒模塊查殺毒。
2防病毒網(wǎng)關(guān)產(chǎn)品組成
防病毒網(wǎng)關(guān)主要是處理網(wǎng)絡(luò)中數(shù)據(jù),對數(shù)據(jù)進行分析過濾,防止病毒代碼從設(shè)備中穿過滲透到內(nèi)部網(wǎng)絡(luò)。同時防止蠕蟲的攻擊,和垃圾郵件對正常辦公的干擾。
WEB方式管理主要是通過遠(yuǎn)程登陸防火墻,對防病毒網(wǎng)關(guān)進行配置和管理。用戶可以遠(yuǎn)程地管理硬件設(shè)備,對要處理的主要網(wǎng)絡(luò)協(xié)議進行設(shè)置,設(shè)置相應(yīng)協(xié)議中的方便管理員的操作和管理。同時用戶可以通過WEB方式查詢相應(yīng)的日志和生成所要的報表。
3防病毒網(wǎng)關(guān)產(chǎn)品部署
在本方案中將在XX單位辦公網(wǎng)絡(luò)與財務(wù)處網(wǎng)絡(luò)接入處部署天融信百兆防病毒網(wǎng)關(guān),XX單位辦公網(wǎng)絡(luò)與互聯(lián)網(wǎng)接入處部署天融信千兆防病毒網(wǎng)關(guān),對來自互聯(lián)網(wǎng)的數(shù)據(jù)及財務(wù)網(wǎng)絡(luò)區(qū)以外的數(shù)據(jù),進行病毒檢測,針對SMTP、POP3、FTP、HTTP等協(xié)議的數(shù)據(jù)流進行病毒掃描,從而提供網(wǎng)關(guān)層次的防毒能力。
天融信防病毒網(wǎng)關(guān)的部署,實現(xiàn)了真正的即插即用,不需要改動現(xiàn)有網(wǎng)絡(luò)的任何設(shè)置。部署的位置被確定,只需要為防病毒網(wǎng)關(guān)連接上網(wǎng)線,開啟電源開關(guān)就可以進行掃描。管理IP地址就是防病毒網(wǎng)關(guān)管理IP地址。安裝向?qū)笇?dǎo)管理員進行基本的設(shè)置,非常簡單易懂。
4防病毒網(wǎng)關(guān)產(chǎn)品功能
天融信防病毒網(wǎng)關(guān)處理所有主要的網(wǎng)絡(luò)協(xié)議,它能處理以下協(xié)議:SMTP、POP3、HTTP、FTP和IMAP。管理員還可以針對每個協(xié)議設(shè)置高級選項,例如:可以選擇清除病毒、刪除文件、隔離病毒或是記錄日志的方式來處理病毒。而且還可以在相應(yīng)的協(xié)議中設(shè)置一些附加功能的設(shè)置,如對關(guān)鍵字的過濾設(shè)置,對文件類型的掃描設(shè)置等。
七 系統(tǒng)層安全設(shè)計
1系統(tǒng)層安全目標(biāo)
? 操作系統(tǒng):保障操作系統(tǒng)平臺的安全和正常運行,為應(yīng)用系統(tǒng)提供及時多樣的服務(wù);
? 數(shù)據(jù)庫:保證數(shù)據(jù)庫不受到惡意侵害或未經(jīng)授權(quán)的存取與修改。? 應(yīng)用系統(tǒng):能提供有效的訪問控制和身份驗證手段,保證應(yīng)用平臺的持續(xù)、可靠的提供服務(wù)。
2操作系統(tǒng)安全要求
操作系統(tǒng)是所有計算機終端、工作站和服務(wù)器等正常運行的基礎(chǔ),操作系統(tǒng)的安全十分重要。目前的商用操作系統(tǒng)主要有IBM AIX、Linux、AS/400、OS/390、SUN Solaris、HP Unix、Windows/3x、Windows 95/98、Windows NT Workstation/Server、Windows 2000/2003、OS/
2、NOVELL Netware等。這些操作系統(tǒng)大部分獲得了美國政府的C-2級安全性認(rèn)證。但是針對操作系統(tǒng)應(yīng)用環(huán)境對安全要求的不同,公司網(wǎng)絡(luò)對操作系統(tǒng)的不同適用范圍作如下要求:
在XX單位網(wǎng)絡(luò)中關(guān)鍵的服務(wù)器群和工作站(如數(shù)據(jù)庫服務(wù)器、WWW服務(wù)器、代理服務(wù)器、Email服務(wù)器、病毒服務(wù)器、DHCP主域服務(wù)器、備份服務(wù)器和網(wǎng)管工作站)應(yīng)該采用服務(wù)器版本的操作系統(tǒng)。典型的有:SUN Solaris、HP Unix、Windows NT Server、Windows 2000 /2003Server。網(wǎng)管終端、辦公終端可以采用通用圖形窗口操作系統(tǒng),如Windows NT Workstation/Server、Windows 2000等。
3操作系統(tǒng)安全管理
操作系統(tǒng)因為設(shè)計和版本的問題,存在許多的安全漏洞;同時因為在使用中安全設(shè)置不當(dāng),也會增加安全漏洞,帶來安全隱患。在沒有其它更高安全級別的商用操作系統(tǒng)可供選擇的情況下,安全關(guān)鍵在于操作系統(tǒng)的安全管理。
為了加強操作系統(tǒng)的安全管理,要從物理安全、登錄安全、用戶安全、文件系統(tǒng)和打印機安全、注冊表安全、RAS安全、數(shù)據(jù)安全、各應(yīng)用系統(tǒng)安全等方面制定強化安全的措施。
加強物理安全管理,系統(tǒng)要有能力限制對I/O設(shè)備(軟驅(qū)、打印設(shè)備)的訪問。例如:
? 如果沒有必要,建議去掉或鎖死軟盤驅(qū)動器,禁止DOS或其他操作系統(tǒng)訪問NTFS分區(qū);
? 在服務(wù)器上設(shè)置系統(tǒng)啟動口令,設(shè)置BIOS禁用軟盤引導(dǎo)系統(tǒng); ? 不創(chuàng)建任何DOS分區(qū); ? 保證機房的物理安全。
? 下載安裝最新的操作系統(tǒng)及其它應(yīng)用軟件的安全和升級補丁。如用最新的Service Pack(SP6)升級Windows NT Server 4。0,包括所有補丁程序和后來發(fā)表的很多安全補丁程序。
? 掌握并使用操作系統(tǒng)提供的安全功能,關(guān)閉不必要的服務(wù)和端口,專用主機只開專用功能。例如:運行網(wǎng)管、數(shù)據(jù)庫重要進程的主機上不應(yīng)該運行如sendmail這種bug比較多的程序。網(wǎng)管網(wǎng)段路由器中的訪問控制應(yīng)該限制在最小限度,與系統(tǒng)集成商研究清楚各進程必需的進程端口號,關(guān)閉不必要的端口。
? Windows NT缺省安裝未禁用Guest賬號,并且給Everyone(每個人)工作組授予“完全控制”權(quán)限,沒有實施口令策略等,都給網(wǎng)絡(luò)的安全留下了漏洞。要加強服務(wù)器的安全,必須根據(jù)需要設(shè)置這些功能。? 控制授權(quán)用戶的訪問,實行“用戶權(quán)限最小化” 配置原則,將用戶以“組”的方式進行管理。例如:“用戶權(quán)限最小化” 配置。域里配置適當(dāng)?shù)腘TFS訪問控制可以增強網(wǎng)絡(luò)的安全。取消或更改缺省情況下的Everyone組的:“完全控制”權(quán)限,要始終設(shè)置用戶所能允許的最小的文件夾和文件的訪問權(quán)限。另外,不要共享任何一個FAT卷。? 避免給用戶定義特定的訪問控制。將用戶以“組”的方式進行管理是一個用戶管理的有效方法。如果一個用戶在公司里的角色變了,很難跟蹤并更改他的訪問權(quán)。最明智的作法就是為每個用戶指定一個工作組,為工作組指定文件、文件夾訪問權(quán)。如果要收回或更改某個用戶的訪問權(quán),只要把該用戶從工作組中刪除或指定另一個工作組。
? 實施賬號及口令策略。配置口令策略,設(shè)置賬號鎖定。主要原則有:登錄名稱中字符不要重復(fù)或循環(huán);至少包含兩個字母字符和一個非字母字符;至少有6個字符長度;不是用戶的姓名,不是相關(guān)人物、著名人物的姓名,不是用戶的生日和電話號碼及其他容易猜測的字符組合等;要
求用戶定期更改口令;給系統(tǒng)的默認(rèn)用戶特別是Administrator、Root改名,禁用Guest賬號;不要使用無口令的賬號,否則會給安全留下隱患;設(shè)置賬號鎖定,建議設(shè)置嘗試注冊三次后鎖定賬號,在合適的鎖定時間后被鎖定的賬號自動打開,或者只有管理員才能打開,用戶恢復(fù)正常。
? 控制遠(yuǎn)程訪問服務(wù)。遠(yuǎn)程訪問是黑客攻擊系統(tǒng)的常用手段,應(yīng)在系統(tǒng)中集成強認(rèn)證系統(tǒng),如交換加密用戶ID和口令數(shù)據(jù),使用專用的挑戰(zhàn)響應(yīng)協(xié)議(Challenge / Response Protocol),確保不會多次出現(xiàn)相同的認(rèn)證數(shù)據(jù),阻止內(nèi)部黑客捕捉網(wǎng)絡(luò)信息包。同時,如條件允許,應(yīng)該使用回叫安全機制,并盡量采用數(shù)據(jù)加密技術(shù),保證數(shù)據(jù)安全。
? 啟用登錄工作站和登錄時間限制。如果每個用戶只有一個PC,并且只允許工作時間登錄,可以把每個用戶的賬號限制在自己的PC上,且在工作時間內(nèi)使用,從而保護網(wǎng)絡(luò)數(shù)據(jù)的安全。
? 啟動審查功能。為防止未經(jīng)授權(quán)的訪問,應(yīng)該啟用安全審查功能,以便在事件查看器安全日志中記錄未經(jīng)授權(quán)的訪問企圖,以便盡早發(fā)現(xiàn)安全漏洞。但要結(jié)合工作實際,設(shè)置合理的審計規(guī)則,切忌審查事件太多,以免無時間全部審查安全問題。
? 定期檢查系統(tǒng)日志文件,在備份設(shè)備上及時備份。如對用戶開放的各個主機的日志文件全部定向到一個syslogd server上,集中管理。服務(wù)器可以由一臺擁有大容量存貯設(shè)備的Unix或NT主機承擔(dān)。
? 確保注冊表、系統(tǒng)文件、關(guān)鍵配置文件安全。首先,取消或限制對regedit。exe、regedit32。exe的訪問;其次,利用regedit。exe或文件管理器設(shè)置只允許管理員訪問注冊表,其他任何用戶不得訪問注冊表;定期檢查關(guān)鍵配置文件(最長不超過一個月)。? 制定完整的系統(tǒng)備份計劃,并嚴(yán)格實施。
? 制定詳盡的系統(tǒng)漏洞掃描以及匯報制度,及時更新系統(tǒng)安全補丁,完善系統(tǒng)安全設(shè)置,關(guān)閉不必要和危險的服務(wù)。
4應(yīng)用層系統(tǒng)安全
在應(yīng)用系統(tǒng)安全上,應(yīng)用服務(wù)器盡量不要開放一些沒有經(jīng)常用的協(xié)議及協(xié)議端口號。如文件服務(wù)、電子郵件服務(wù)器等應(yīng)用系統(tǒng),可以關(guān)閉服務(wù)器上如HTTP、FTP、TELNET、RLOGIN等服務(wù)。還有就是加強登錄身份認(rèn)證。確保用戶使用的合法性;并嚴(yán)格限制登錄者的操作權(quán)限,將其完成的操作限制在最小的范圍內(nèi)。充分利用操作系統(tǒng)和應(yīng)用系統(tǒng)本身的日志功能,對用戶所訪問的信息做記錄,為事后審查提供依據(jù)。
5數(shù)據(jù)庫系統(tǒng)安全
數(shù)據(jù)庫管理系統(tǒng)自身安全策略
目前的商用數(shù)據(jù)庫管理系統(tǒng)主要有MS SQL Sever、Oracal、Sybase、Infomix等。在XX單位網(wǎng)絡(luò)中的數(shù)據(jù)庫管理系統(tǒng)應(yīng)具有如下安全能力:
? 自主訪問控制(DAC):DAC用來決定用戶是否有權(quán)訪問數(shù)據(jù)庫對象; ? 驗證:保證只有授權(quán)的合法用戶才能注冊和訪問; ? 授權(quán):對不同的用戶訪問數(shù)據(jù)庫授予不同的權(quán)限; ? 審計:監(jiān)視各用戶對數(shù)據(jù)庫施加的動作。
? 數(shù)據(jù)庫管理系統(tǒng)應(yīng)能夠提供與安全相關(guān)事件的審計能力: ? 試圖改變訪問控制許可權(quán)
? 試圖創(chuàng)建、拷貝、清除或執(zhí)行數(shù)據(jù)庫。
? 系統(tǒng)應(yīng)能在下面列出的級別對數(shù)據(jù)庫的訪問控制授權(quán):
表;視圖;紀(jì)錄;或元素。
? 系統(tǒng)應(yīng)提供在數(shù)據(jù)庫級和紀(jì)錄級標(biāo)識數(shù)據(jù)庫信息的能力。
數(shù)據(jù)庫系統(tǒng)的增強加固技術(shù)
數(shù)據(jù)庫管理系統(tǒng)的安全保護策略實現(xiàn)了對數(shù)據(jù)庫中數(shù)據(jù)的有效保護。而現(xiàn)實中某些應(yīng)用環(huán)境需要保持當(dāng)前主流數(shù)據(jù)庫管理系統(tǒng)的某些特性,同時又需要其滿足一定程度的安全性要求,提供必需的安全功能。針對這種客觀需要,比較直接經(jīng)濟的方法是對數(shù)據(jù)庫及數(shù)據(jù)庫管理系統(tǒng)進行安全增強與加固。
對數(shù)據(jù)庫管理系統(tǒng)的安全功能增強主要是指對已存在的主流數(shù)據(jù)庫管理系統(tǒng)進行安全封裝與數(shù)據(jù)過濾,增加數(shù)據(jù)庫管理系統(tǒng)的安全功能,實現(xiàn)數(shù)據(jù)保密性、完整性、可訪問性,最終達(dá)到保護數(shù)據(jù)的目的。這些數(shù)據(jù)庫管理系統(tǒng)自身缺乏或部分缺乏必要的安全功能,可在其外部增加安全控制模塊,一個或多個安全功能子系統(tǒng),封裝后對外展現(xiàn)安全特性。一種典型安全增強配置參見下圖。可以附加 的子系統(tǒng)包括:
? 認(rèn)證子系統(tǒng) ? 訪問控制子系統(tǒng)
? 數(shù)據(jù)的加密存儲與解密子系統(tǒng) ? 傳輸加密子系統(tǒng) ? 審計子系統(tǒng)
方案總結(jié)
實施以上方案后,可以解決XX單位網(wǎng)絡(luò)的如下安全問題:
針對網(wǎng)絡(luò)層:在網(wǎng)絡(luò)邊界和內(nèi)部引入了訪問控制措施、對限制措施和強化邊界訪問的授權(quán)、受控。
針對應(yīng)用層:解決應(yīng)用的安全優(yōu)化,,對網(wǎng)絡(luò)攻擊的防護,對病毒的查殺。針對管理層:建議建立網(wǎng)絡(luò)安全管理組織,結(jié)合實際情況建立完整的一系列安全策略以及安全策略的發(fā)布、執(zhí)行、審查、修訂的相關(guān)流程。對網(wǎng)絡(luò)的安全事件進行統(tǒng)一的整理和歸納,確保網(wǎng)絡(luò)系統(tǒng)的整體安全。
第五篇:IBM Power服務(wù)器簡化管理方案建議書要點
IBM Power服務(wù)器 簡化管理方案建議書 【摘要】
隨著企業(yè)業(yè)務(wù)的不斷發(fā)展,企業(yè)的IT環(huán)境也在不斷進行演變。IT設(shè)備越來越多,大量的服務(wù)器系統(tǒng)運行著企業(yè)的各種業(yè)務(wù)應(yīng)用;新技術(shù)不斷出現(xiàn),系統(tǒng)關(guān)聯(lián)性越來越高,IT復(fù)雜度越來越高,導(dǎo)致系統(tǒng)管理成本急劇上升;缺少企業(yè)管理工具,無法有效地將IT資源管理與業(yè)務(wù)服務(wù)相關(guān)聯(lián)、與業(yè)務(wù)目標(biāo)相匹配。
對許多企業(yè)來說,IT 基礎(chǔ)設(shè)施的管理成本現(xiàn)在都是增長速度最快、分量最重的IT 開銷。虛擬化技術(shù)可通過整合物理資源在一定程度上解決這個問題。然而,虛擬化技術(shù)也因為大幅度增加了需要管理的虛擬資源數(shù)量而加劇了復(fù)雜性。
IBM Power Systems系統(tǒng)管理為用戶提供一整套從IT資源管理到企業(yè)級服務(wù)管理的解決方案。提供統(tǒng)一的IT資源管理控制臺IBM systems Director,為您更好地調(diào)配并管理數(shù)據(jù)中心的所有虛擬和物理資源提供所需工具,有效地簡化系統(tǒng)管理。
第2章簡化系統(tǒng)管理方案介紹
IBM Power Systems系統(tǒng)管理解決方案將IBM systems Director和AIX Enterprise Edition或Management Edition for AIX配合使用,從底層的資源管理,到中
間層的平臺級管理,再到企業(yè)級服務(wù)管理,形成了一套IT資源管理到企業(yè)級服務(wù)管理完美管理體系。
System Director為平臺管理提供一體化的方法,有效調(diào)配并管理數(shù)據(jù)中心的所有虛擬和物理資源,隨著服務(wù)器虛擬化程度的增加,IBM Systems Director 可幫助企業(yè)實現(xiàn)全部潛能,降低IT 運行成本并提高生產(chǎn)率。
AIX Enterprise Edition將AIX 6 和企業(yè)管理功能加入到單一的、易于訂購的產(chǎn)品中,旨在提高可用性、提高運營效率、在虛擬化的環(huán)境中測量資源的使用情況,簡化管理虛擬化AIX 環(huán)境的流程。AIX Enterprise Edition通過更透徹地了解IT 資源對業(yè)務(wù)服務(wù)交付產(chǎn)生了哪些影響,為服務(wù)管理奠定堅實的基礎(chǔ)。
IBM Management Edition for AIX 可以作為單純的AIX系統(tǒng)的一個選件產(chǎn)品,功能包括:監(jiān)控和管理Power System環(huán)境中關(guān)鍵IT服務(wù)和資源;更好地
了解Power服務(wù)器和相關(guān)應(yīng)用程序和業(yè)務(wù)服務(wù)的關(guān)系;收集并報告Power平臺資源使用情況。Management Edition for AIX和AIX Enterprise Edition提供了同樣的企業(yè)管理功能,與IBM systems Director結(jié)合使用實現(xiàn)簡化管理的目標(biāo)。
2.1 IBM systems Director介紹
IBM Systems Director 管理系統(tǒng),為企業(yè)的IT 系統(tǒng)管理而設(shè)計,它包括資產(chǎn)管理,硬件狀態(tài)監(jiān)控,服務(wù)運行監(jiān)控,日志信息收集等功能模塊。這些基本的管理功能足可以解決絕大多數(shù)的客戶管理需求。其開放的設(shè)計架構(gòu)具有良好的可擴展性,以及與商業(yè)管理軟件的兼容性,特別適合初次部署管理系統(tǒng)的IT 環(huán)境。
IBM Systems Director 作為一款免費的軟件,對需要硬件管理監(jiān)控而又不希望增加投入的用戶來說,是絕對的免費午餐。并且隨著用戶對監(jiān)控功能要求的提高,客戶可以選擇自己開發(fā)套件、購買付費的插件,或者整合Tivoli 管理套件實現(xiàn)按需升級。
對許多機構(gòu)來說,在IT 建設(shè)的總投入成本中(TCO,基礎(chǔ)設(shè)施的管理成本增長速度最快、分量最重。虛擬化技術(shù)可通過整合物理資源來解決這個問題。然而,虛擬化技術(shù)也因為大幅度增加了需要管理的虛擬資源數(shù)量而加劇了復(fù)雜性。IT 專家希望通過更高級的功能和工具來同時管理多個架構(gòu)和環(huán)境中的物理和虛擬系統(tǒng)。
IBM Systems Director 可幫助解決這個問題,將這些需求統(tǒng)一到一個業(yè)界領(lǐng)先的服務(wù)器管理產(chǎn)品平臺,并提供全新的增強型虛擬化管理支持。IBM Systems Director 家族系列提供基于開放標(biāo)準(zhǔn)的模塊化解決方案,可通過輕松定制來滿足任何企業(yè)的要求。IBM Systems Director 提供配置、發(fā)現(xiàn)、系統(tǒng)健康狀態(tài)監(jiān)控、自動響應(yīng)以及電源和虛擬化管理等功能,使IT 專家能夠同時管理多個IT 環(huán)境中的物理和虛擬系統(tǒng)。
隨著IT 基礎(chǔ)設(shè)施的不斷擴展,IBM Systems Director 可幫助企業(yè)實現(xiàn)全部潛能,為平臺管理提供一體化的方法,旨在降低IT 運行成本并提高生產(chǎn)率。
系統(tǒng)結(jié)構(gòu)和部署IBM Systems Director 系統(tǒng)結(jié)構(gòu)由三個部分組成: Server、Console、Agent。
●Server 是指運行IBM Systems Director 管理軟件的中心平臺,本方案中IBM Systems Director 管理軟件運行在IBM Power 服務(wù)器上。
●Console 是指IBM Systems Director 管理軟件的管理終端。Console 可以與Server 運行在同一平臺上,也可以不同,并支持異構(gòu)平臺。
Agent 是指安裝在被管理節(jié)點上的客戶端。IBM Systems Director 的Agent 不僅支持所有的IBM 的服務(wù)器產(chǎn)品,而且還支持HP,DELL 等第三方的平臺管理。如考慮到Agent 占用客戶端資源,IBM Systems Director 支持不同級別的Agent,包括無Agent 的管理。
第3章IBM Power服務(wù)器產(chǎn)品介紹
Power 520產(chǎn)品特點 要點
●用于分布式UNIX?、IBM i(以前稱為i5/OS?和Linux? ERP/CRM 應(yīng)用 程序服務(wù)器
●用于小型數(shù)據(jù)庫服務(wù)器
●用于UNIX、IBM i 和Linux 工作負(fù)載的小規(guī)模整合服務(wù)器 ●用于帶有集成數(shù)據(jù)庫和應(yīng)用程序服務(wù)器的完整業(yè)務(wù)系統(tǒng)
作為分布式應(yīng)用程序服務(wù)器,IBM Power? 520 以極具吸引力的低價格提供了近乎持續(xù)的應(yīng)用程序可用性。這使得分支機構(gòu)和店內(nèi)應(yīng)用程序能夠在盡量不中斷操作的情況下處理更多的工作。
作為小型數(shù)據(jù)庫服務(wù)器,Power 520 提供了世界上最快的芯片IBM POWER6? 處理器所帶來的超凡性能。這一領(lǐng)先的性能使應(yīng)用程序能夠更快速地運行并具備更出色的響應(yīng)能力,從而為您的企業(yè)帶來顯著的優(yōu)勢。
作為小規(guī)模整合服務(wù)器,520 提供了出色的靈活性,可以在同一系統(tǒng)中使用尖端的AIX?、IBM i、Linux for Power 和x86 Linux 應(yīng)用程序。IBM PowerVM? 版本提供了全面的虛擬化技術(shù),可以整合和管理資源并同時幫助簡化和優(yōu)化IT 基礎(chǔ)架構(gòu)以及減少服務(wù)器的無序擴張。
特性
第4章為什么選擇IBM IBM 作為全球最大的IT 供應(yīng)商,我們將Power Systems 的"芯能量” ——先進的技術(shù)和產(chǎn)品,卓越的IT 基礎(chǔ)架構(gòu)解決方案等等用于幫助客戶提高ROI(投資回報率,降低TCO(總體擁有成本,通過提高系統(tǒng)利用率間接降低客戶采購成本,通過綠色環(huán)保技術(shù)降低客戶IT 能源成本,通過提供安全可靠的系統(tǒng)和簡化系統(tǒng)管理幫助客戶降低IT 系統(tǒng)維護成本,降低人員成本,以此為“新動力” 助力客戶在危機中尋求新的生機,從而謀求短期生存與長期發(fā)展,最終實現(xiàn)“興經(jīng)濟” 的目標(biāo)。
======== 文章來源: 歡迎訪問IBM官方網(wǎng)站,獲取更多解決方案,助力成長型企業(yè)的業(yè)務(wù)持續(xù)增長。========
點擊咨詢 