?

采用浪潮英信服務器作主機

1、??? 軟件系統：
操作系統：WINGDOWS2000SERVER
數據庫：MS SQL Server2000
防火墻：天融信、諾頓防病毒軟件

2、??? 硬件系統：

????? 主機位置及帶寬：系統主機設在IDC主機房內，通過100M帶寬光纖與CHINGANET骨干網相連接。

?

1.???? 建立全員安全意識，合理規劃信息安全

安全意識的強弱對于整個信息系統避免或盡量減小損失，乃至整個具備主動防御能力的信息安全體系的搭建，都具有重要的戰略意義。我們首先建立起全員防護的環境。在意識上建立牢固的防患意識，并有足夠的資金支持，形成企業內部的信息安全的共識與防御信息風險的基本常識，其次是選用安全性強的軟硬件產品，構筑軟硬協防的安全體系，確保安全應用。
?

2.???? 建立信息采集（來源）、審核、發布管理制度并結合關鍵字過濾系統，保障信息安全。采編部按照采編制度和相關互聯網規定，嚴格把關。
?

3.???? 涉密信息，包括在對外交往與合作中經審查、批準與外部交換的秘密信息，不得在連有外網的計算機信息系統中存儲、處理、傳遞。加強對計算機介質（軟盤、磁帶、光盤、磁卡等）的管理，對儲存有秘密文件、資料的計算機等設備要有專人操作，采取必要的防范措施，嚴格對涉密存儲介質的管理，建立規范的管理制度，存儲有涉密內容的介質一律不得進入互聯網絡使用
?

4.?????? 建立系統保密措施，嚴格實行安全管理。系統的安全、帳號及權限的管理，責任到人；對系統軟件的管理；在系統維護過程中，產生的記錄：系統維護日志、系統維護卡片、詳細維護記錄。
?

5.?????? 對涉密信息實行加密、解密及管理，確保數據傳輸的安全。
?

6.?????? 建立數據庫的信息保密管理制度，保障數據庫安全。數據庫由專人管理并負責。
?

7.?????? 建立日志的跟蹤、記錄及查閱制度，及時發現和解決安全漏洞。

?

?

?

?

1.?????? 加強內部網絡管理、監測違規

(1)在強、弱電安全方面，采用雙路交流電供電形成電源冗余并配置UPS的設計方案保證強電安全，另外，采用避雷防電和放置屏蔽管道的方法來保證弱電線路(交換機、網線)的安全。?

(2)在IP資源管理方面，采用IP+MAC捆綁的技術手段防止用戶隨意更改IP地址和隨意更換交換機上的端口。通過網管中心的管理軟件，對該交換機遠程實施Port?Security策略，將客戶端網卡MAC地址固定綁在相應端口上。
　
(3)在網絡流量監測方面，使用網絡監測軟件對網絡傳輸數據協議類型進行分類統計，查看數據、視頻、語音等各種應用的利用帶寬，防止頻繁進行大文件的傳輸，甚至發現病毒的轉移及傳播方向。?

(4)在違規操作監控方面，對涉秘信息的處理，嚴禁“一機兩用”事件的發生。即一臺計算機同時聯接內部網和互聯網，還包括輪流上內部網和國際互聯網的情形，因此我們對每個客戶端安裝了監控系統，實行電腦在線監測、電腦在線登記、一機兩用監測報警、電腦阻斷、物理定位等措施。?
?

2.?????? 管理服務器

應用服務器安裝的操作系統為Windows系列,服務器的管理包括服務器安全審核、組策略實施、服務器的備份策略。?

服務器安全審核的范圍包括安全漏洞檢查、日志分析、補丁安裝情況檢查等，審核的對象是DC、Exchange?Server、SQL?Server、IIS等。?

在組策略實施時，使用軟件限制策略，即哪些內部用戶不能使用哪個軟件，對操作用戶實行分權限管理。

服務器的備份策略包括系統軟件備份和數據庫備份兩部分，系統軟件備份擬利用現有的ARC?Server?專用備份程序，制定合理的備份策略，每周日晚上做一次完全備份，然后周一到周五晚上做增量備份或差額備份；定期對服務器備份工作情況進行檢查（數據庫備份后面有論述）。
?

3.?????? 管理客戶端

(1)將客戶端都加入到域中，客戶端納入管理員集中管理的范圍。出于安全上的考慮，安裝win2000系列客戶端。?

(2)只給用戶以普通域用戶的身份登錄到域，因為普通域用戶不屬于本地Administrators和Power?Users組，這樣就可以限制他們在本地計算機上安裝大多數軟件。當然為了便于用戶工作，通過本地安全策略措施，授予基本操作權利。?

(3)實現客戶端操作系統補丁程序的自動安裝。

(4)實現客戶端防病毒軟件的自動更新。

(5)利用SMS對客戶端進行不定期監控，發現不正常情況及時處理。
?

4.?????? 數據備份與冗余

考慮到綜合因素，采用如下數據備份和冗余方案：

(1)在網絡中心的異地機房建立單機+磁盤陣列的硬件環境，作為容災異地在線備份點，安裝VERITAS的服務器端軟件。?

(2)在網絡中心的SQL?Server服務器、Lotus?Note?Mail服務器、Oracle服務器以及文件服務器上分別安裝VERITAS的相關客戶端Agent軟件。?

(3)在服務器上設置在線備份策略，每天凌晨1點自動備份SQL數據庫、凌晨2點自動備份Oracle數據庫、凌晨3點自動備份郵件，主要用于系統層恢復后的數據加載。?

(4)采用本地硬件RAID?5對硬件級磁盤故障進行保護。
?

5.?????? 數據加密

考慮到網絡上非認證用戶可能試圖旁路系統的情況，如物理地“取走”數據庫，在通信線路上竊聽截獲。對這樣的威脅采取了有效方法：數據加密。即以加密格式存儲和傳輸敏感數據。發送方用加密密鑰，通過加密設備或算法，將信息加密后發送出去。接收方在收到密文后，用解密密鑰將密文解密，恢復為明文。如果傳輸中有人竊取，他只能得到無法理解的密文，從而對信息起到保密作用。
?

6.?????? 病毒防治措施

我們對防病毒軟件的要求是：能支持多種平臺，至少是在Windows系列操作系統上都能運行；能提供中心管理工具，對各類服務器和工作站統一管理和控制；在軟件安裝、病毒代碼升級等方面，可通過服務器直接進行分發，盡可能減少客戶端維護工作量；病毒代碼的升級要迅速有效。所以，綜合以上各種因素，我們選擇了SYMANTEC公司的Norton?Antivirus企業版。在實施過程中，本單位以一臺服務器作為中央控制一級服務器，實現對網絡中所有計算機的保護和監控，并使用其中有效的管理功能，如:?管理員可以向客產端發送病毒警報、強制對遠程客戶端進行病毒掃描、鎖定遠程客產端等。正常情況下，一級服務器病毒代碼庫升級后半分鐘內，客戶端的病毒代碼庫也進行了同步更新。?
?

7.?????? 補丁更新與軟件分發

網絡安全防御不是簡單的防病毒或者防火墻。只有通過提高網絡整體系統安全，才能讓病毒進攻無門。然而提高網絡整體系統安全不僅僅是一個技術問題，更重要的是管理問題。

自動分發軟件、升級補丁等工作是確保系統安全的關鍵步驟。我們使用微軟的Systems?Management?Server（SMS）和Software?Update?Service（SUS）軟件來自動實現這一功能。?

(1)我們使用微軟的Software?Update?Service（SUS）解決運行Windows操作系統的計算機免受病毒和黑客攻擊，將需要升級的軟件從Internet下載到公司Intranet的服務器上，并為公司內的所有客戶端PC提供自動升級，打上所有需要的“補丁”。?

(2)我們使用微軟Systems?Management?Server（SMS）進行軟件分發、資產管理、遠程問題解決等。