【正文】 中心的計算機(jī)系統(tǒng)上，數(shù)據(jù)也存放在主中心的存儲系統(tǒng)中。 傳統(tǒng)的磁帶備份方式一般采取定點備份，而當(dāng)系統(tǒng)崩潰時。它的主要原理是在備份中心建立一套硬盤存儲系統(tǒng)，通過通信線路，實時地將主中心更新數(shù)據(jù)拷貝至備份中心存儲系統(tǒng)中，保證主、備中心數(shù)據(jù)的實時一致性。主機(jī)上安裝災(zāi)備軟件，如AIX上的HAGEO、SUN上的VERITAS（VERITAS Volume Replicator）等。而且上層可以是不同主機(jī)平臺。第三種方案能夠完全確保數(shù)據(jù)的一致性，同時對主機(jī)系統(tǒng)的性能影響較小，對主機(jī)平臺的要求也低，但缺點是系統(tǒng)投資較大。根據(jù)上表，我們知道，業(yè)務(wù)生產(chǎn)系統(tǒng)的數(shù)據(jù)備份工作以嚴(yán)密、最大限度保護(hù)數(shù)據(jù)、快速恢復(fù)為宗旨。如果網(wǎng)絡(luò)設(shè)備的配置能夠被隨意看到，其所配置的路由識別ID、密碼等都失去意義；VLAN的配置如能被隨意改動，則VLAN將形同虛設(shè)。針對于單一管理員權(quán)限無限大的問題，我們可以根據(jù)具體管理員的職能分工進(jìn)行權(quán)限分配。 限制登錄會話數(shù)Cisco網(wǎng)絡(luò)設(shè)備必須通過嚴(yán)格的認(rèn)證程序才能夠進(jìn)行登錄，這種認(rèn)證既包括對遠(yuǎn)程登錄，也包括本地的Console登錄。另一種方法是用AAA來保護(hù)路由器，由一中心AAA(TACACS+/Radius)服務(wù)器維護(hù)Username/Password。Cisco Secure ACS服務(wù)器支持RADIUS，TACACS+等標(biāo)準(zhǔn)的認(rèn)證協(xié)議，提供網(wǎng)絡(luò)設(shè)備的用戶AAA服務(wù)。(2) 用戶輸入口令后，網(wǎng)絡(luò)設(shè)備向AAA服務(wù)器查詢該用戶是否有權(quán)登錄AAA服務(wù)器檢索用戶數(shù)據(jù)庫，如果該用戶允許登錄則向網(wǎng)絡(luò)設(shè)備返回PERMIT信息和該用戶在該網(wǎng)絡(luò)設(shè)備上可執(zhí)行的命令同時將用戶登錄的時間、IP作詳細(xì)記錄；若不能在用戶數(shù)據(jù)庫中檢索到該用戶的信息則返回DENY信息，并可以根據(jù)設(shè)置向網(wǎng)管工作站發(fā)送SNMP的警告消息。在拒絕服務(wù)（DoS）攻擊中，惡意用戶向網(wǎng)絡(luò)設(shè)備發(fā)送多個請求，使其滿負(fù)載，并且所有請求的返回地址都是偽造的。 分布式拒絕服務(wù)（DDOS）把DoS又向前發(fā)展了一步。黑客(client)在不同的主機(jī)(handler)上安裝大量的DoS服務(wù)程序，它們等待來自中央客戶端(client)的命令，中央客戶端隨后通知全體受控服務(wù)程序(agent)，并指示它們對一個特定目標(biāo)發(fā)送盡可能多的網(wǎng)絡(luò)訪問請求。它們發(fā)送原始的IP包（raw IP packet），由于Internet協(xié)議本身的缺陷，IP包中包括的源地址是可以偽裝的，這也是追蹤DDOS攻擊者很困難的主要原因。A. 在路由器全局模式下鍵入no service tcpsmallserversno service udpsmallservers可以避免UDP/TCP診斷端口DoS(Denial of Service) 攻擊B. 在路由器全局模式下鍵入no service finger可以避免被外人窺測出用戶login信息。(3)可疑數(shù)據(jù)流帶寬控制在各接入分支節(jié)點交換機(jī)、路由器和核心路由器上，使用隊列技術(shù)或者CAR的方法對ping及SYN數(shù)據(jù)流進(jìn)行帶寬控制，以預(yù)防DDOS的攻擊。在我們的方案中所推薦的路由協(xié)議ISIS支持路由認(rèn)證。在源路由環(huán)境中，即使我們有效的保護(hù)了私網(wǎng)路由信息不擴(kuò)散、不被寫入非法路由信息，黑客仍能利用源路由傳輸方式完成攻擊。另外，通過在網(wǎng)絡(luò)設(shè)備上設(shè)置SNMP的ACL，可以限定只有特定IP地址的網(wǎng)管工作站才能對網(wǎng)絡(luò)設(shè)備進(jìn)行SNMP的操作。要求具備自主研發(fā)的安全操作系統(tǒng)，要求支持多系統(tǒng)引導(dǎo)，并可在WEB界面上直接配置啟動順序；支持多個系統(tǒng)配置文件，可導(dǎo)入導(dǎo)出恢復(fù)配置。基于IP地址、服務(wù)、網(wǎng)口、時間等定義帶寬分配策略；支持最小保證帶寬和最大限制帶寬；根據(jù)用戶角色進(jìn)行帶寬策略配置。支持漏洞掃描功能支持后門、服務(wù)探測、文件共享、系統(tǒng)補(bǔ)丁、IE漏洞等主動式掃描。能夠?qū)崿F(xiàn)對blaster，nachi，nimda，codered，sasser，slapper，sqlexp，zotob等主流蠕蟲病毒的識別、過濾和攔截；可識別和防御syn flood、Ping flood、udp flood、teardrop、sweep、landbase、ping of death、smurf、winnuke、圣誕樹、碎片等多種攻擊。我們推薦的三層交換機(jī)和路由器支持線速ACL功能，可以支持：基本的存取列表：基于源IP地址進(jìn)行檢查；擴(kuò)展的存取列表：基于源IP地址，源端口號，目的IP地址，目的端口號及 ICMP包的各種類型進(jìn)行檢查。它能夠?qū)崟r監(jiān)控網(wǎng)絡(luò)傳輸，自動檢測可疑行為，及時發(fā)現(xiàn)來自網(wǎng)絡(luò)外部或內(nèi)部的攻擊，并可以實時響應(yīng)，切斷攻擊方的連接。xxxx能夠在外網(wǎng)和內(nèi)網(wǎng)環(huán)境中操作，從而保護(hù)組織的整個網(wǎng)絡(luò)和重要主機(jī)；具備綜合的攻擊識別/特征覆蓋，探測引擎能夠檢測各類攻擊，包括那些復(fù)雜的IP 碎片重組以及“Whisker”反IDS 檢測功能；優(yōu)化的網(wǎng)絡(luò)引擎在1000M 環(huán)境中仍保持最佳的運行狀態(tài)，優(yōu)化的主機(jī)引擎占用的資源消耗對主機(jī)的正常運行幾無影響；硬件網(wǎng)絡(luò)引擎提供即插即用的解決方案，軟件操作界面友好；維護(hù)成本很低，探測引擎的安裝、配置和維護(hù)簡單易行；不僅不會影響網(wǎng)絡(luò)性能，對于最終用戶也是完全透明的。 漏洞掃描技術(shù)漏洞檢測就是對重要計算機(jī)信息系統(tǒng)進(jìn)行檢查，發(fā)現(xiàn)其中可被黑客利用的漏洞。能進(jìn)行系統(tǒng)掃描。當(dāng)收到安全性消息時圖形用戶界面上相應(yīng)的主機(jī)狀態(tài)顏色和安全性消息組的圖標(biāo)都應(yīng)有相應(yīng)變化，以幫助操作人員快速地確定報警的原因和范疇。物理環(huán)境的安全管理現(xiàn)已有大量標(biāo)準(zhǔn)和規(guī)范，如GB936188《計算機(jī)場地安全要求》、GFB288788《計算機(jī)場地技術(shù)條件》等，應(yīng)當(dāng)參照執(zhí)行。安全系統(tǒng)需要人來執(zhí)行，即使是最好的、最值得信賴的系統(tǒng)安全措施，也不能完全由計算機(jī)系統(tǒng)來完全承擔(dān)安全保證任務(wù)，因此必須建立完備的安全組織和管理制度。這些人應(yīng)是系統(tǒng)主管領(lǐng)導(dǎo)指派的，應(yīng)忠誠可靠，能勝任此項工作。這里要重申，安全系統(tǒng)需要由人來計劃和管理，任何系統(tǒng)安全設(shè)施也不能完全由計算機(jī)系統(tǒng)獨立承擔(dān)系統(tǒng)安全保障的任務(wù)。第5章 機(jī)房環(huán)境要求 數(shù)據(jù)網(wǎng)絡(luò)機(jī)房環(huán)境大型的網(wǎng)絡(luò)系統(tǒng)是計算機(jī)應(yīng)用系統(tǒng)的基礎(chǔ)，應(yīng)用系統(tǒng)的可靠運行依賴于網(wǎng)絡(luò)系統(tǒng)的正常工作。 場地選擇場地的位置應(yīng)該于海平面0～4000米的高度之間。機(jī)房必須有足夠的空間，以利于系統(tǒng)的安裝、操作、維護(hù)，以及資料、手冊的保存和將來可能的擴(kuò)充。注意窗戶的位置、數(shù)量和形式，不可讓陽光直接照射在機(jī)器設(shè)備上，必要時需加裝窗簾，以避免影響機(jī)房的溫度控制。勿在機(jī)房內(nèi)或設(shè)備放置場所鋪設(shè)地毯，以防靜電產(chǎn)生；如果是高架地板，請在地面上鋪設(shè)適當(dāng)隔離材料，以提高空調(diào)效率。4. 接地線不可使用零線或以鐵管代替。8. 地線與零線之間所測得的交流電壓應(yīng)小于1伏特。請在機(jī)房內(nèi)安裝適當(dāng)數(shù)量的普通插座，以供維修人員使用，并且這些插座不宜與電源系統(tǒng)共用電源。環(huán)境散熱量參考表：名稱散熱量(BTU/小時)墻體 (包括窗戶)每平方米30～120窗戶 (無百葉窗)每平方米290～830窗戶 (有百葉窗)每平方米230～550空間每平方米600電燈、日光燈工作人員每人500通風(fēng)設(shè)備每臺340～825安全量總量的130％19英寸標(biāo)準(zhǔn)機(jī)柜的選擇(Equipment Rack)選擇重點前、后門可拆卸設(shè)計(前門可選用透明材料)后骨架采用電源插板設(shè)計頂部采用抽風(fēng)扇設(shè)計前后采用19英寸骨架設(shè)計(符合DIN25mm間距方孔及圓孔設(shè)計)載重托板(mounting plate)設(shè)計建議尺寸： 84TE40U ( 60cm(寬) 85cm(長) 200cm(高) ) (1TE=寬, 1U=高) 注意事項。 空調(diào)系統(tǒng)環(huán)境溫度濕度的要求如下：溫度： 18℃ ~ 24℃；溫度變化率： 不高于2℃/小時相對濕度： 40％～60％ (不結(jié)霜)相對濕度變化率：2％/小時機(jī)房空調(diào)冷卻系統(tǒng)容量計算：總安全量=(設(shè)備散熱量＋環(huán)境散熱量）130％(未包括未來擴(kuò)充設(shè)備容量)環(huán)境散熱量，可簡單地以每平方米600BTU/小時預(yù)估(不含操作員)您所需冷氣量=總安全量BTU/小時184。機(jī)房用電應(yīng)使用獨立的電線，專用變壓器、電源穩(wěn)壓器(AVR)，若考慮系統(tǒng)的穩(wěn)定性與資料的重要性，須增設(shè)不間斷電源設(shè)備(UPS)。6. 網(wǎng)絡(luò)設(shè)備的接地系統(tǒng)不可與避雷裝置共用，應(yīng)各自獨立，并且其間距應(yīng)在10米以上；與其他接地裝置也應(yīng)有4米以上的間距。2. 分支電路的每一條回路都需有獨立的接地線，并接至配電箱內(nèi)與接地總線相連。打印機(jī)等應(yīng)隔間放置，以防止紙屑污染。 環(huán)境要求地板載重量必須大于500kg/m2，；若使用高架地板，對地距離（即地板高度）應(yīng)大于25cm，建議為30cm。設(shè)備機(jī)房應(yīng)遠(yuǎn)離高電壓、大電流及腐蝕性氣體、易燃易爆物品等儲放地點或工作場所。提供良好的網(wǎng)絡(luò)設(shè)備安裝及運行環(huán)境，避免設(shè)備在惡劣的環(huán)境中運行，既有利于提高網(wǎng)絡(luò)系統(tǒng)的無故障運行時間，也會減少意外事故的發(fā)生。其次，對各級管理員的培訓(xùn)也十分重要，只有各級管理員對網(wǎng)絡(luò)安全性都有了深入了解后，才能降低網(wǎng)絡(luò)信息系統(tǒng)的安全風(fēng)險。（3）職責(zé)分離原則除非系統(tǒng)主管領(lǐng)導(dǎo)批準(zhǔn)，在信息處理系統(tǒng)工作的人員不要打聽、了解或參與職責(zé)以外、與安全有關(guān)的任何事情。 安全管理原則計算機(jī)信息系統(tǒng)的安全管理主要基于三個原則。但是，很多安全威脅不是首先起因于技術(shù)上的落后，而是直接源于管理上的松懈及對安全威脅認(rèn)識的淡化。 系統(tǒng)安全的非技術(shù)因素安全體系的建立是全方位多因素制約的復(fù)雜過程，存在許多非技術(shù)因素同樣對信息系統(tǒng)的安全起至關(guān)重要的作用。系統(tǒng)掃描通過比較規(guī)定的安全策略和實際的主機(jī)配置來發(fā)現(xiàn)潛在的安全風(fēng)險，包括缺少安全補(bǔ)丁、詞典中可猜的口令、不適當(dāng)?shù)挠脩魴?quán)限、不正確的系統(tǒng)登錄權(quán)限、不安全的服務(wù)配置和代表攻擊的可疑的行為。安全掃描服務(wù)器可以對網(wǎng)絡(luò)設(shè)備進(jìn)行自動的安全漏洞檢測和分析，并且在實行過程中支持基于策略的安全風(fēng)險管理過程。我們建議在xx省辦公廳信息中心核心路由器上部署，用于監(jiān)控訪問信息中心的網(wǎng)絡(luò)連接，我們可以獲得如下效果：(1)對合法流量/網(wǎng)絡(luò)使用透明的實時入侵檢測 ；(2)對未經(jīng)授權(quán)活動的實時應(yīng)對可以阻止黑客訪問網(wǎng)絡(luò)或終止違規(guī)會話 ；(3)全面的攻擊簽名目錄可以檢測廣泛的攻擊，檢測基于內(nèi)容和上下文的攻擊 (4)取得證據(jù)：從相關(guān)的事件和活動的多個角度提供了具有標(biāo)準(zhǔn)格式的獨特數(shù)據(jù)。其聯(lián)機(jī)文檔提供了豐富的事件說明及恢復(fù)措施，可以最大程度地為網(wǎng)絡(luò)系統(tǒng)提供安全保障。 我們推薦的 xxxx黑客入侵檢測與預(yù)警系統(tǒng)是是國內(nèi)第一批在入侵檢測方面獲得國家公安部銷售許可證的網(wǎng)絡(luò)安全產(chǎn)品，同時xxxx還通過了所有權(quán)威管理部門的測評和認(rèn)證。（該參數(shù)描述為中高端防火墻設(shè)備，具體項目可根據(jù)實際需要來選配合適的型號） 入侵檢測防御系統(tǒng)選型依據(jù)項目實際需求