【正文】 全。 電腦通過(guò)軟件與硬件設(shè)備的配合，其硬盤被劃分成三個(gè)具有不同狀態(tài)的邏輯分區(qū)：外網(wǎng)區(qū)、數(shù)據(jù)交換區(qū)和內(nèi)網(wǎng)區(qū)。當(dāng)切換到內(nèi)網(wǎng)時(shí)，操作系統(tǒng)對(duì)于數(shù)據(jù)交換區(qū)是只讀的，無(wú)法寫入任何數(shù)據(jù)，但這時(shí)我們就可以把外網(wǎng)復(fù)制到數(shù)據(jù)交換區(qū)中的數(shù)據(jù)復(fù)制到內(nèi)網(wǎng)中使用。當(dāng)然，在這種方式下，如果復(fù)制進(jìn)來(lái)的程序帶有病毒，是有可能感染到內(nèi)網(wǎng)的。 如果用戶把內(nèi)網(wǎng)的一些信息往 Inter上發(fā)放和從 Inter上下載數(shù)據(jù)到內(nèi)部網(wǎng)絡(luò)都非常頻繁，用戶可以把數(shù)據(jù)交換區(qū)設(shè)置成雙向通道（內(nèi)網(wǎng)：可讀寫；外網(wǎng)：可讀寫），這時(shí)數(shù)據(jù)交換區(qū)就可以象一個(gè)普通的磁盤一樣使用。 VPN 虛虛 擬擬 專專 用用 網(wǎng)網(wǎng) 技技 術(shù)術(shù) VPN（ Virtual Private Networks）是在公共網(wǎng)絡(luò)上架構(gòu)私有網(wǎng)絡(luò)的一項(xiàng)通信技術(shù)，它利用數(shù)據(jù)加密算法在一個(gè)公共的 IP 網(wǎng)絡(luò)（如 Inter 或其它商業(yè)性網(wǎng)絡(luò)）來(lái)完成內(nèi) 部數(shù)據(jù)中心、移動(dòng)工作員工、遠(yuǎn)程辦公室、公司用戶、供應(yīng)商及商業(yè)伙伴之間的信息傳輸，其目的主要是為了保護(hù)在網(wǎng)上所傳送的內(nèi)部秘密的信息，防止其它人員竊聽、篡改，避免機(jī)密信息泄露。 在本次政務(wù)網(wǎng)絡(luò)的建設(shè)中，建議采用 VPN 的方 式將分布在不同位置的各個(gè)部、委、辦的局域網(wǎng)連到 XXX 行政中心大樓網(wǎng)絡(luò)信息中心，如下圖示，將有效地提高了整個(gè)系統(tǒng)的安全性。攻擊所造成的危害可以是非常嚴(yán)重的：機(jī)密數(shù)據(jù)被竊取或修改、系統(tǒng)活動(dòng)被監(jiān)視、系統(tǒng)服務(wù)被干擾，甚至系統(tǒng)崩潰。 網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警系統(tǒng)是這樣一個(gè)系統(tǒng)，它負(fù)責(zé)監(jiān)視網(wǎng)絡(luò)上的通信數(shù)據(jù)流和網(wǎng)絡(luò)服務(wù)器系統(tǒng)中的審計(jì)信息，捕捉可疑的網(wǎng)絡(luò)和服務(wù)器系統(tǒng)活動(dòng)，發(fā)現(xiàn)信息網(wǎng)絡(luò)中存在的安全問(wèn)題，進(jìn)行實(shí)時(shí)響應(yīng)和報(bào)警，提供詳盡的網(wǎng)絡(luò)安全審計(jì)分析報(bào)告。網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，單機(jī)防病毒難以保障整個(gè)系統(tǒng)的反病毒的能力，我們建議使用網(wǎng)絡(luò)防病毒技術(shù)。 消毒技術(shù)：它通過(guò)對(duì)計(jì)算機(jī)病毒的分析，開發(fā)出具有刪除病毒程序并恢復(fù)原文件的軟件。應(yīng)該根據(jù)每個(gè)局域網(wǎng)的防病毒要求，建立局域網(wǎng)防病毒控制系統(tǒng)，分別設(shè)置有針對(duì)性的防病毒策略。系統(tǒng)管理員可以強(qiáng)制客戶端執(zhí)行統(tǒng)一設(shè)置和制定的網(wǎng)絡(luò)防病毒策略，客戶端不能改動(dòng)，包括不能卸載防病毒軟件。 設(shè)立 Password 和 Banners 為 了控制對(duì)路由器交換機(jī)的訪問(wèn)，分別對(duì) Console、 Tel 和 SNMP 配置兩級(jí)口令，即非特權(quán)口令和特權(quán)口令。如果用戶在離開特權(quán)狀態(tài)下未退出，第 30 頁(yè) 任何用戶都可以改動(dòng)設(shè)備配置。 盡管可以在網(wǎng)絡(luò)設(shè)備上配置用戶名和口令，但我們建議將對(duì)安全性的處理放在一個(gè)集中的位置，這可以通過(guò)稱為 AAA（認(rèn)證、授權(quán)、統(tǒng)計(jì)）的程序來(lái)完成。 對(duì)網(wǎng)絡(luò)設(shè)備的 TELNET 進(jìn)行有限制性的訪問(wèn) 配置命令 accessclass nn 可定義一個(gè)訪問(wèn)控制列表，對(duì)通過(guò) virtual terminal lines訪問(wèn)路由器的用戶進(jìn)行限制。在網(wǎng)絡(luò)設(shè)備中顯示地將 SNMP 信息導(dǎo)向網(wǎng)管工作站，并對(duì) SNMP 的 munity 口令字加以保護(hù)。從未經(jīng)授權(quán)的源地址發(fā)出的 Tel連接請(qǐng)求將被否決， SNMP 請(qǐng)求收不到回答從而請(qǐng)求超時(shí)。 CA 認(rèn)認(rèn) 證證 及及 數(shù)數(shù) 字字 簽簽 名名 PKI（ Public Key Infrastructure）公鑰體系結(jié)構(gòu)是當(dāng)前數(shù)據(jù)加密領(lǐng)域最可靠的加密 技第 31 頁(yè) 術(shù)，它依據(jù)一套最嚴(yán)密的數(shù)學(xué)算法，實(shí)現(xiàn)數(shù)據(jù)的非對(duì)稱加密和解密，目前還沒(méi)有任何方法對(duì)PKI 公鑰體系進(jìn)行有效的攻擊。 CA 認(rèn)證系統(tǒng)通過(guò)為用戶或設(shè)備簽發(fā)公鑰證書來(lái)保證用戶或設(shè)備的唯一性和合法性。 因?yàn)?CA 認(rèn)證中心在安全體系中具有舉足輕重的地位，因此 建議 在政務(wù)網(wǎng)二期建設(shè)中建立 CA 認(rèn) 證中心， CA 的建設(shè)必須與區(qū)政府的 CA 認(rèn)證系統(tǒng)無(wú)縫對(duì)接，以實(shí)現(xiàn)全區(qū)一盤棋的統(tǒng)一規(guī)劃。對(duì)軟件，包括：選型與購(gòu)置審查、安全檢測(cè)于驗(yàn)收、安全跟蹤與報(bào)告、版本管理、介質(zhì)管理等。一個(gè)好的負(fù)責(zé)任的網(wǎng)管人員和完善的規(guī)章制度是網(wǎng)絡(luò)安全最重要的決定因素。 HA Cluster（（ 群群 集集 ）） 的的 工工 作作 原原 理理 兩臺(tái)數(shù)據(jù)庫(kù)服務(wù)器一臺(tái)為 Node A（主生產(chǎn)服務(wù)器），另一臺(tái)為 Node B（備用服務(wù)器），一臺(tái)作為服務(wù)器主機(jī)，另一臺(tái)作為服務(wù)器備機(jī)，兩臺(tái)服務(wù)器配置相同，當(dāng)主用生產(chǎn)服務(wù)器 A發(fā)生機(jī)器故障時(shí) (如系統(tǒng)宕機(jī) )，其上的 Service IP 地址自動(dòng)漂移到備用服務(wù)器 B 上，服務(wù)器B 可以馬上接管并自動(dòng)啟動(dòng)數(shù)據(jù)庫(kù)，自動(dòng)接管共享磁盤陣列，并從磁盤陣列上讀取數(shù)據(jù)庫(kù)表內(nèi)容，承擔(dān)原有主用服務(wù)器的全部生產(chǎn)工作。因此 node A 在 cluster 中處于 active 狀態(tài)時(shí)，它會(huì)控制資源組 a 中的所有資源，此時(shí) node B 相對(duì)應(yīng)資源組 a 是處于閑置 (idle)狀態(tài)，僅當(dāng) node A down 掉， node B 才會(huì)接管資源組 a，而且一旦 node A 重新加入 cluster， node B 將不得不釋放資源組 a, node A 將重新第 34 頁(yè) 控制資源組 a。 XXX 電子政務(wù)信息業(yè)務(wù)運(yùn)行效率除了和業(yè)務(wù)開發(fā)的軟件息息相關(guān)外，對(duì)承載該軟件系統(tǒng)的硬件服務(wù)器平臺(tái)及其運(yùn)行方式關(guān)系也非常大。從目前 XXX 電子政務(wù)信息業(yè)務(wù)發(fā)展趨勢(shì)來(lái)看，ARGAvgAServerBidleServerAOnlineClusterResourceGroup a Server A FailsAServerBOnlineServerADownClusterResourceGroup aServerA Reintegrates And Restarts ServiceAServerBidleServerABackOnlineClusterResourceGroup a第 35 頁(yè) 由于是新上線的系統(tǒng)，業(yè)務(wù)量在開始階段會(huì)有較大的攀升，經(jīng)一段時(shí)間后會(huì)逐步穩(wěn)定下來(lái)。 第 36 頁(yè) 第第 三三 章章 綜綜 合合 布布 線線 系系 統(tǒng)統(tǒng) 項(xiàng)項(xiàng) 目目 背背 景景 Inter 服務(wù)和信息 技術(shù)的不斷成熟和廉價(jià)優(yōu)勢(shì)，使現(xiàn)代辦公自動(dòng)化、信息化成為一種必然。 其其 他他 服服 務(wù)務(wù) 器器 系系 統(tǒng)統(tǒng) Web 服務(wù)器作為前端展示系統(tǒng)，主要處理來(lái)自業(yè)務(wù)終端的數(shù)據(jù)、命令收集，送往應(yīng)用服務(wù)器，并將應(yīng)用服務(wù)器的處理結(jié)果返還用戶，總的來(lái)說(shuō)，壓力不會(huì)太大，解決其可靠性、處理能力和安全問(wèn)題外，就不用太操心其他方面的問(wèn)題， Web 服務(wù)器建議采用普通 UNIX服務(wù)器或者 PC 服務(wù)器。 HA 雙機(jī)的方式和數(shù)據(jù)庫(kù)的實(shí)現(xiàn)方式一樣，集群的方式可以部署多臺(tái)應(yīng)用服務(wù)器，由集群的主服務(wù)器負(fù)責(zé)調(diào)度 來(lái)自前端 Web 服務(wù)器的業(yè)務(wù)處理請(qǐng)求，在集群中的服務(wù)器發(fā)生故障的情況下，只要集群中還有其他應(yīng)用服務(wù)器提供服務(wù)，就不會(huì)因故障服務(wù)器的癱瘓導(dǎo)致業(yè)務(wù)處理中斷。該過(guò)程下圖所示。這種集群配置是高性能、低價(jià)格、高穩(wěn)定性、高可靠性、擴(kuò)展性強(qiáng)的主 機(jī)組合。 第 33 頁(yè) 第第 二二 章章 服服 務(wù)務(wù) 器器 及及 存存 儲(chǔ)儲(chǔ) 規(guī)規(guī) 劃劃 方方 案案 數(shù)數(shù) 據(jù)據(jù) 庫(kù)庫(kù) 服服 務(wù)務(wù) 器器 系系 統(tǒng)統(tǒng) 運(yùn)行 XXX 電子政務(wù) 信息系統(tǒng) 后臺(tái)的 中心數(shù)據(jù)庫(kù)系統(tǒng)是一個(gè)綜合的業(yè)務(wù)及各系統(tǒng)群件平臺(tái)，是 XXX 電子政務(wù) 信息系統(tǒng)的核心業(yè)務(wù)系統(tǒng)，它對(duì)主機(jī)的性能要求較高，同時(shí)對(duì)系統(tǒng)的可靠性 、 可用性要求也非常高，不能因?yàn)橹鳈C(jī)系統(tǒng)的故障而影響系統(tǒng)的正常運(yùn)行，更不能因?yàn)橹鳈C(jī)的故障而使系統(tǒng)的數(shù)據(jù)丟失，為了保證系統(tǒng)的穩(wěn)定、安全、高效運(yùn)行，我們 建議采用兩臺(tái)主機(jī)共享一套存儲(chǔ)設(shè)備的高可用性群集方案 ，兩臺(tái)主機(jī)之間通過(guò)物理連接形成一定的相互聯(lián)系，與 相應(yīng)的群集軟件配合，可以實(shí)現(xiàn)如下功能：前端用戶通過(guò)局域網(wǎng)與主機(jī)相連，獲得相應(yīng)的服務(wù)，一旦一臺(tái)主機(jī)無(wú)法正常工作，另一臺(tái)預(yù)先定義好的主機(jī)將接管這臺(tái)主機(jī)上的所有應(yīng)用（包括網(wǎng)絡(luò)地址），這一過(guò)程對(duì)于前端 業(yè)務(wù)系統(tǒng) 完全透明 ，用戶察覺(jué)不到后臺(tái)的這些變化。 這里需要指出的是，上面提到的各種安全技術(shù)、方法、措施，客戶要根據(jù)自己的需求，以及對(duì)安全要求的程度來(lái)加以選擇，當(dāng)然，安全系統(tǒng)的建立是一個(gè)整體策略，它需要很多方面的配合，才能使安全系統(tǒng)更加富有成效。 系統(tǒng)運(yùn)行環(huán)境安全管理制度：包括機(jī)房出入管理、環(huán)境條件保障、自然災(zāi)害防護(hù)、防護(hù)設(shè)施管理、電磁與磁場(chǎng)防護(hù)等。利用公私鑰對(duì)數(shù)據(jù)進(jìn)行簽名，對(duì)加密密鑰進(jìn)行管理和分發(fā)，以實(shí)現(xiàn)數(shù)據(jù)的加密和解密。在我國(guó)CA 的應(yīng)用起步較晚，應(yīng)用的水平和層次也非常落后，原因是多方面的。在所有網(wǎng)絡(luò)設(shè)備中關(guān)掉這四種應(yīng)用。在交換機(jī)上設(shè)置 IP Permit 后，所有其它的 TCP/IP 服務(wù)（例如 IP traceroute and IP ping）仍然可以正常工作。僅允許網(wǎng)管工作站所在的子網(wǎng)通過(guò) TELNET 訪問(wèn)網(wǎng)絡(luò)設(shè)備。 TACACS+是一個(gè)可提供詳細(xì)統(tǒng)計(jì)信息，以靈活管理控制認(rèn)證和授權(quán)過(guò)程的 協(xié)議。配置 service passwordencryption 命令可隱藏配置文件中的口令的明文顯示。配置 SNMP 的 munity string 實(shí)現(xiàn)用戶的特權(quán)和非特權(quán)訪問(wèn)。 安安 全全 策策 略略 安全策略的實(shí)現(xiàn)中主要有以下幾個(gè)方面，即對(duì)網(wǎng)絡(luò)設(shè)備自身的保護(hù)、防火墻的設(shè)置策略及對(duì)網(wǎng)絡(luò)資源的保護(hù)策略。 第 29 頁(yè) 我們提供全方位、多層次的、整體的網(wǎng)絡(luò)防病毒解決方案。 要保證整個(gè)網(wǎng)絡(luò)安全無(wú)毒，首先要保證每一個(gè)局域網(wǎng)的安全無(wú)毒。這類技術(shù)有，加密可執(zhí)行程序、引導(dǎo)區(qū)保護(hù)、系統(tǒng)監(jiān)控與讀寫控制（如防病毒卡等）。 我們建議使用部署入侵檢測(cè)系統(tǒng) IDS，還建議部署基于主機(jī)的監(jiān)測(cè)系統(tǒng)，漏洞掃描系統(tǒng)、基于數(shù)據(jù)庫(kù)的監(jiān)測(cè)系統(tǒng)，這樣就可以比較全面的對(duì)整個(gè)系統(tǒng)提供更高的安全保護(hù)。及時(shí)掌握這方面的情況對(duì)于網(wǎng)絡(luò)安全是極為重要的。然而，如果沒(méi)有技術(shù)手段，要了解信息網(wǎng)絡(luò)的安全狀況是非常困難的。此外，還可以使用寬帶和分組交換服務(wù)（如 ATM、 Frame Relay 或 ）來(lái)提供 VPN。 如果用戶內(nèi)外網(wǎng)并不需要交流數(shù)據(jù)的話，也可以把其中一方不接入數(shù) 據(jù)交換區(qū)（如內(nèi)網(wǎng)：不接入；外網(wǎng)：可讀寫），這時(shí)數(shù)據(jù)交換區(qū)在外網(wǎng)時(shí)就可以和普通分區(qū)一樣使用，而內(nèi)網(wǎng)無(wú)法看見數(shù)據(jù)交換區(qū)，內(nèi)外網(wǎng)就實(shí)現(xiàn)了完全的隔斷。 除了默認(rèn)設(shè)置的那種方式外，內(nèi)外網(wǎng)對(duì)于數(shù)據(jù)交換區(qū)的讀寫屬性還可以根據(jù)用戶的需要隨意設(shè)置（正常工作時(shí)不能改變，只能在設(shè)置模式下進(jìn)行）。也就是說(shuō)即使黑客寫了一段很高明的程序進(jìn)入內(nèi)網(wǎng)，也很難 竊取到 保密數(shù)據(jù)。在默認(rèn)的設(shè)置下，數(shù)據(jù)交換區(qū)是一個(gè)單向的通道。 我們建議采用單硬盤的物理隔離卡，其具有獨(dú)特的數(shù)據(jù)交換功能，使得內(nèi)外網(wǎng)之間的數(shù)據(jù)可以進(jìn)行交換，也使用戶使用起來(lái)更加方便。防火墻是指設(shè)置在不同網(wǎng)絡(luò)（可信內(nèi)部網(wǎng)絡(luò)和不可信公共網(wǎng) 絡(luò)）之間的一系列部件的組合。 利用 VLAN 技術(shù)我們可以對(duì)網(wǎng)絡(luò)用戶進(jìn)行分類歸組并進(jìn)行隔離，采用 ACL 對(duì)各個(gè)組之第 26 頁(yè) 間的通信進(jìn)行控制。我們只需簡(jiǎn)單地將在每一組屬于同一子網(wǎng)的端口定義為一個(gè) VLAN，然后將這個(gè) VLAN“連接”到一個(gè)在多層交換機(jī)中的第三層轉(zhuǎn)發(fā)模塊中的邏輯“路由器端口”上。為簡(jiǎn)便起見，我們假設(shè)每一個(gè) IP 子網(wǎng)都可以擁有自己的 VLAN，但每一個(gè) VLAN 只能有一個(gè) IP 子網(wǎng)。局域網(wǎng)中站點(diǎn)的數(shù)量及采用的協(xié)議類型會(huì)造成巨大的廣播風(fēng)暴。 網(wǎng)絡(luò)系統(tǒng)的安裝中都需用 VLAN 的原因： 許多現(xiàn)存的網(wǎng)絡(luò)依賴第三層轉(zhuǎn)發(fā)功能 (如傳統(tǒng)的路由器 )來(lái)提供一定程度的安全性和存取控 制。 VLAN 技技 術(shù)術(shù) 第 25 頁(yè) 用最簡(jiǎn)單的方式來(lái)說(shuō)，從網(wǎng)絡(luò)管理的角度， VLAN 是一組可以互換單一播送 和廣播數(shù)據(jù)包的局域網(wǎng)交換機(jī)上的端口。隨著信息網(wǎng)絡(luò)的發(fā)展，這些技術(shù)已遠(yuǎn)遠(yuǎn)不能滿足信息網(wǎng)絡(luò)的安全防護(hù)需求。 在 XXX 政府網(wǎng)絡(luò)系統(tǒng)中，在安全性方面的需求和面臨的威脅有以下幾個(gè)方面： 網(wǎng)絡(luò)系統(tǒng)中信息種類較多，不同種類、不同級(jí)別的信息對(duì)不同的用戶有不同程度的保密要求； 數(shù)據(jù)分布于各個(gè)系統(tǒng)，保障信息保密性的設(shè)計(jì)與實(shí)現(xiàn)變得較復(fù)雜，要求系統(tǒng)具有統(tǒng)一的第 24 頁(yè) 身份機(jī)制，適應(yīng)網(wǎng)絡(luò)系統(tǒng)分級(jí)、多管理域的管理模式； 內(nèi)部人員（合法用戶）濫用權(quán)利，有意犯罪、越權(quán)訪 問(wèn)機(jī)密信息，或者惡意篡改數(shù)據(jù)； 來(lái)自外部的黑客針對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施、主機(jī)系統(tǒng)和應(yīng)用服務(wù)的各種攻擊，造成網(wǎng)絡(luò)或系統(tǒng)服務(wù)不可用、信息泄密、數(shù)據(jù)被篡改等破壞； 有害信息（如病毒）的傳播等； 系統(tǒng)軟硬件故障造成的服務(wù)不可用或者數(shù)據(jù)丟失； 自然災(zāi)害（地震、雷電）或來(lái)自人類社會(huì)（火災(zāi)）的物理破壞。 。 在 TCP/IP 協(xié)議的不同層次，實(shí)體都有主體和客體（或資源）之分：在網(wǎng)絡(luò)層，對(duì)主體和資源的識(shí)別以主機(jī)或協(xié)議端口為 粒度，身份鑒別服務(wù)主要指主機(jī)地址的鑒別，網(wǎng)絡(luò)層的訪問(wèn)控制主要指防火墻等過(guò)濾機(jī)制；在應(yīng)用系統(tǒng)中，主體的身份鑒別以用戶為粒度，客體是業(yè)務(wù)信息資源，身份鑒別是指用戶身份的鑒別和應(yīng)用服務(wù)的鑒別，訪問(wèn)控制的粒度可以具體到某種操作，如對(duì)數(shù)據(jù)項(xiàng)的追加、修改和刪除。 國(guó)際標(biāo)準(zhǔn)化組織所定義的安全體系結(jié)構(gòu)中包括身份鑒別、訪問(wèn)控制、數(shù)據(jù)完整性、數(shù)據(jù)保密性、抗抵賴等五 種重要的安全服務(wù)，這些安全服務(wù)反映了信息系統(tǒng)的安全需求。 信息網(wǎng) 絡(luò)安全體系結(jié)構(gòu) 該模型分別從安全服務(wù)、協(xié)議層次和系統(tǒng)單元三個(gè)層面對(duì)信息網(wǎng)絡(luò)的安全體系的建設(shè)進(jìn)行了全面的分析。根據(jù)應(yīng)用方面的要求，以系統(tǒng)和應(yīng)用方面的安全考慮為重點(diǎn)論述，重點(diǎn)分為數(shù)據(jù)庫(kù)和 WEB 應(yīng)用的訪問(wèn)控制，網(wǎng)絡(luò)防病毒、主機(jī)監(jiān)測(cè)和安全預(yù)警系統(tǒng)以及建立 PKI 體系的 CA 認(rèn)證系統(tǒng)等幾個(gè)部分。并在此基礎(chǔ)上協(xié)助客戶制定出相應(yīng)的網(wǎng)絡(luò)安全體系標(biāo)準(zhǔn)，并對(duì)