【正文】 。 為了實(shí)現(xiàn)上述數(shù)據(jù)備份的策略，在系統(tǒng)建設(shè)時(shí)采用如下幾種技術(shù)來(lái)實(shí)現(xiàn)： ① 基于硬件的數(shù)據(jù)復(fù)制 優(yōu)點(diǎn)：不消耗應(yīng)用系統(tǒng) CPU 資源。做為一個(gè)全面的容災(zāi)方案，不建議使用這種方式。 6．災(zāi)難恢復(fù)模式分析 容災(zāi)按級(jí)別可分為數(shù)據(jù)容災(zāi)和應(yīng)用容災(zāi)兩部分： （ 1）數(shù)據(jù)容 災(zāi)： 在異地建立一個(gè)數(shù)據(jù)拷貝，這個(gè)拷貝在本地生產(chǎn) 系統(tǒng)的 “數(shù)據(jù)系統(tǒng) ”出現(xiàn)不可恢復(fù)的 “物理故障 ”時(shí)，提供可用的數(shù)據(jù)。一旦發(fā)生災(zāi)難，需安裝配置所需的運(yùn)行環(huán)境，用數(shù)據(jù)備份介質(zhì)（磁帶或光盤）恢復(fù)應(yīng)用數(shù)據(jù)，手工逐筆或自動(dòng)批量追補(bǔ)孤立數(shù)據(jù)，將用戶通過(guò)通訊線路切換到備份系統(tǒng)，恢復(fù)業(yè)務(wù)運(yùn)行。一旦發(fā)生災(zāi)難，直接使用定期備份數(shù)據(jù)，手 工逐筆或自動(dòng)批量追補(bǔ)孤立數(shù)據(jù)或?qū)⒂脩敉ㄟ^(guò)通訊線路切換到備份系統(tǒng)，恢復(fù)業(yè)務(wù)運(yùn)行。也可定時(shí)在災(zāi)備系統(tǒng)上恢復(fù)生產(chǎn)系統(tǒng)的數(shù)據(jù)。 7． 市級(jí) 容災(zāi)備份中心建設(shè)模式分析 對(duì)于市數(shù)據(jù)中心數(shù)據(jù)備份和容災(zāi)系統(tǒng)的建設(shè)，應(yīng)結(jié)合自身業(yè)務(wù)系統(tǒng)的穩(wěn)定性、有效性和 不間斷 需求，以及網(wǎng)絡(luò)系統(tǒng)的實(shí)際情況進(jìn)行考慮。 優(yōu)點(diǎn)：恢復(fù)時(shí)間短，一般幾十分鐘到數(shù)小時(shí)，數(shù)據(jù)完整性與一致性最好，數(shù)據(jù)丟失 可能性最小。 缺點(diǎn)：恢復(fù)時(shí)間長(zhǎng)，一般要十幾小時(shí)至數(shù)天，數(shù)據(jù)完整性與一致性較差。 缺點(diǎn)：恢復(fù)時(shí)間較長(zhǎng)，一般要數(shù)天至一周，數(shù)據(jù)完整性與一致性較差。 容災(zāi)系統(tǒng)按投資成本與恢復(fù)所需時(shí)間的不同包括如下模式： Tier 0 沒(méi)有異地?cái)?shù)據(jù) Tier 1 PTAM 卡車運(yùn)送訪問(wèn)方式 Pickup Truck Access Method Tier 2 PTAM 卡車運(yùn)送訪問(wèn)方式 + 熱備份中心 PTAM + Hot Site Tier 3 電子鏈接 Electronic Vaulting Tier 4 – 批量 /在線數(shù)據(jù)庫(kù)鏡像與日志 Active Secondary Site Tier 5 – 兩中心兩階段確認(rèn) TwoSite TwoPhase Commit Tier 6 0 數(shù)據(jù)丟失遠(yuǎn)程磁盤鏡像與自動(dòng)切換 Zero Data Loss 根據(jù)容災(zāi)恢復(fù)時(shí)間和數(shù)據(jù)恢復(fù)程度等不同容災(zāi)恢復(fù)要求，將這 6種容災(zāi)備份模式劃分為三個(gè)等級(jí)。在異步模式下，可以確保數(shù)據(jù)的完整性、可以長(zhǎng)距離實(shí)時(shí)復(fù)制數(shù)據(jù)。 ② 數(shù)據(jù) 庫(kù)復(fù)制 優(yōu)點(diǎn)：可用于脫機(jī)（ OFFHOST） 處理。 優(yōu)點(diǎn)：可以確保最大的數(shù)據(jù)同步（ RPO）；在災(zāi)備中心數(shù)據(jù)可以立即可用。 ② 異步復(fù)制 異步復(fù)制通常是以間隔多少分鐘為單位進(jìn)行數(shù)據(jù)復(fù)制。 從數(shù)據(jù)備份角度講，上述各種不同的數(shù)據(jù)類型需采取不同的備份策略，如采取相應(yīng)的數(shù)據(jù)備份技術(shù)及不同的備份周期，重點(diǎn)保護(hù)應(yīng)用數(shù)據(jù) 等。在有大災(zāi)難時(shí)，關(guān)鍵業(yè)務(wù)的客戶端的請(qǐng)求自動(dòng)被送往異地備份中心的服務(wù)器，而異地備份中心的數(shù)據(jù)庫(kù)提供已同步的數(shù)據(jù)響應(yīng)客戶端的請(qǐng)求，從而保證數(shù)據(jù)的完整性和一致性，保證業(yè)務(wù) 7 24 不間斷運(yùn)行。大災(zāi)難使得本地的 網(wǎng)絡(luò)、服務(wù)器、存儲(chǔ)設(shè)備宕機(jī)，技術(shù)支持人員不能及時(shí)到現(xiàn)場(chǎng)恢復(fù)，業(yè)務(wù)系統(tǒng)中斷，從而造成重大損失和災(zāi)難。 容災(zāi)備份中心的建設(shè)須滿足以下要求： 備份中心與數(shù)據(jù)中心在地理位置上保持較遠(yuǎn)的距離，使得當(dāng)數(shù)據(jù)中心遭受災(zāi)害破壞時(shí)，不會(huì)影響到備份中心； 須保證備份中心與數(shù)據(jù)中心的數(shù)據(jù)同步； 備份中心的所有應(yīng)用系統(tǒng)必須經(jīng)過(guò)嚴(yán)格的測(cè)試，確保業(yè)務(wù)系統(tǒng)能夠正常運(yùn)行； 備份中心與數(shù)據(jù)中心間網(wǎng)絡(luò)帶寬應(yīng)能保證兩地間數(shù)據(jù)的可靠同步； 備份中心計(jì)算機(jī)系統(tǒng)有足夠的處理能力來(lái)接管數(shù)據(jù)中心的業(yè)務(wù)；同時(shí)應(yīng)具有不低于數(shù)據(jù)中心的安全防護(hù)能力； 數(shù)據(jù)中心和備份中心的應(yīng)用切換快速可靠，并可進(jìn)行自動(dòng)和手動(dòng)切換。所 選產(chǎn)品要有良好的兼容特性，將目前現(xiàn)有和原有的資源充分整合利用，建立跨平臺(tái)、開放性的容錯(cuò)、容災(zāi)系統(tǒng)。在系統(tǒng)容錯(cuò)、容災(zāi)技術(shù)的實(shí)現(xiàn)過(guò)程中，如果不能將系統(tǒng)的故障和問(wèn)題自動(dòng)恢復(fù)，那么這始終會(huì)是整個(gè)容錯(cuò)、容災(zāi)系統(tǒng)的一個(gè)薄弱環(huán)節(jié)，難以實(shí)現(xiàn)高效的、不間斷的服務(wù)。在系統(tǒng)設(shè)計(jì)時(shí)，應(yīng)該滿足以下原則： （ 1）容錯(cuò)、容災(zāi)系統(tǒng)的全面性 需保證的業(yè)務(wù)系統(tǒng)涉及多個(gè)層面的資源：網(wǎng)絡(luò)層資源、應(yīng)用層資源、數(shù)據(jù)庫(kù)層資源。 （ 2）面向數(shù)據(jù)中心提供部分關(guān)鍵業(yè)務(wù)系統(tǒng)的容錯(cuò)和異地容災(zāi)。 如果沒(méi)有全面的考慮容錯(cuò)、容災(zāi)設(shè)計(jì)，那么在任何一個(gè)環(huán)節(jié)上發(fā)生故障和災(zāi)難，都會(huì)導(dǎo)致業(yè)務(wù)無(wú)法正常進(jìn)行，造成重要數(shù)據(jù)的丟失、破壞，相關(guān)的業(yè)務(wù)系統(tǒng)也會(huì)受到影響，給國(guó)家?guī)?lái)?yè)p失，給廣大用戶帶來(lái)不便，嚴(yán)重時(shí)更帶來(lái)重大的社會(huì)影響和政治影響。 社會(huì)保險(xiǎn)信息系統(tǒng)作為一個(gè)大型的應(yīng)用系統(tǒng)，其范圍往往覆蓋了一個(gè)城市的所以區(qū)縣，這種情況下，如 果數(shù)據(jù)是通過(guò)政務(wù)外網(wǎng)傳送的話，為了防止在數(shù)據(jù)傳輸過(guò)程中對(duì)敏感數(shù)據(jù)的篡改，也需要對(duì)數(shù)據(jù)進(jìn)行數(shù)字簽名。 ② 資料維護(hù)類交易的 CA 安全應(yīng)用 根據(jù)操作對(duì)象的不同，該類交易可分為敏感類資料維護(hù)交易和非敏感類資料維護(hù)交易。 （ 2） CA 在各類交易應(yīng)用的應(yīng)用 ① 系統(tǒng)登錄類交易的 CA 安全應(yīng)用 a）個(gè)人數(shù)字證書的應(yīng)用 由數(shù)字證書認(rèn)證中心為每位系統(tǒng)操作人員頒發(fā)數(shù)字 證書，用于操作員身份識(shí)別。 4． CA認(rèn)證系統(tǒng)的應(yīng)用系統(tǒng)部署 （ 1）社會(huì)保險(xiǎn)信息系統(tǒng)交易分類 ① 系統(tǒng)登錄 該類交易主要包括操作員的身份認(rèn)證及權(quán)限分配。 ② 分布式授權(quán)服務(wù)系統(tǒng) 分布授權(quán)服務(wù)系統(tǒng)提供分布式管理服務(wù)，可在客戶端根據(jù)用戶的具體情況進(jìn)行個(gè)性化定制，靈活設(shè)置有效授權(quán)信息，由資源所有者分配資源的訪問(wèn)權(quán)限，并加數(shù)字簽名，防止抵賴。根據(jù)實(shí)際的應(yīng)用，把資源和用戶角色關(guān)聯(lián)起來(lái)，標(biāo)示用戶角色對(duì)資源的訪問(wèn)權(quán)限。 ① 集中式授權(quán) 服務(wù)系統(tǒng) 集中式授權(quán)服務(wù)系統(tǒng)提供集中式管理，通過(guò)在數(shù)字證書的擴(kuò)展項(xiàng)增加用戶的屬性或權(quán)限信息，在服務(wù)器端構(gòu)建授權(quán)服務(wù)系統(tǒng)，提供授權(quán)管理。授權(quán)管理服務(wù)系統(tǒng)以擴(kuò)展的 PKI 技術(shù)為基礎(chǔ)，對(duì)資源的訪問(wèn)授權(quán)由資源的管理者來(lái)進(jìn)行控制分配。采用國(guó)家密碼管理部門審查批準(zhǔn)的密碼算法、密碼設(shè)備和安全載體；密碼運(yùn)算須在密碼硬件內(nèi)運(yùn)行，密鑰不以明文形式暴露在系統(tǒng)外；具備設(shè)備安全和敏感信息保護(hù)機(jī)制；關(guān)鍵設(shè)備的真實(shí)性鑒別功能；密碼函數(shù)接口采用統(tǒng)一標(biāo)準(zhǔn)接口，對(duì)應(yīng)用系統(tǒng)提供 Java 和 C /C++ /C 等接口。 密碼服務(wù)系統(tǒng) 的功能與接口要求是 ： ① 基礎(chǔ)加解密服務(wù)，主要提供：對(duì)數(shù)據(jù)的加密和解密的運(yùn)算功能；對(duì)數(shù)據(jù)的簽名和簽名驗(yàn)證的運(yùn)算功能；數(shù)字證書簽發(fā)和驗(yàn)證等基本證書運(yùn)算服務(wù)功能；對(duì)數(shù)據(jù)的數(shù)字信封封裝和解封裝等運(yùn)算功能；對(duì)數(shù)據(jù)進(jìn)行摘要運(yùn)算并具有驗(yàn)證數(shù)據(jù)完整性功能；會(huì)話密鑰生成和存儲(chǔ)功能。 （ 5）密碼服務(wù)系統(tǒng) 密碼服務(wù)系統(tǒng)提供加解密、簽名及簽名驗(yàn)證、數(shù)字信封等安全服務(wù)，以支持信息的機(jī)密性、完整性、真實(shí)性和不可抵賴性。 ⑨ 密鑰管理中心安全管理 ， 包括 系統(tǒng)、設(shè)備、數(shù)據(jù)、人員等安全管理。 ⑤ 密鑰查詢：個(gè)人查詢，通過(guò) 審核注冊(cè)機(jī)構(gòu) 證書 認(rèn)證中心 ，向密鑰管理中心訪問(wèn)查詢；法律 憑證查詢，直接到密鑰管理中心查詢。 ② 密鑰發(fā)送：采用安全協(xié)議通過(guò) 證書認(rèn)證中心 ，把密鑰對(duì)傳送給用戶。 圖 661 市級(jí)證書審核注冊(cè)機(jī)構(gòu)（ RA）部署結(jié)構(gòu)圖 圖 662 證書 查驗(yàn) 服務(wù)系統(tǒng) 體系 結(jié)構(gòu) 圖 （ 4）密鑰管理系統(tǒng) 密鑰管理系統(tǒng)提供加密密鑰的產(chǎn)生、登記、認(rèn)證、分發(fā)、查詢、注銷、歸檔 及恢復(fù)等管理服務(wù)。基于 OCSP 協(xié)議針對(duì)實(shí)時(shí)證書狀態(tài)查詢應(yīng)用或客戶端應(yīng)用 ， 提供證書狀態(tài)的在線智能查詢。 （ 3）證書查詢驗(yàn)證服務(wù)系統(tǒng) 證書查詢驗(yàn)證服務(wù)系統(tǒng)為應(yīng)用支撐平臺(tái)及業(yè)務(wù)系統(tǒng)提供證書認(rèn)證服務(wù)，包括目錄查詢服務(wù)和證書在線狀態(tài)查詢服務(wù)。證書注冊(cè)系統(tǒng)要提供用戶簽名證書密鑰對(duì)的生成功能，該功能必須通過(guò)證書載體內(nèi)的密碼運(yùn)算功能實(shí)現(xiàn)。 （ 2）市級(jí)證書審核注冊(cè)機(jī)構(gòu)（ RA） 市級(jí)證書審核注冊(cè)機(jī)構(gòu)在上一級(jí)證書認(rèn)證中心的授權(quán)下， 提供用戶數(shù)字證書申請(qǐng)的注冊(cè)受理 、 用戶真實(shí)身份的審核 、 用戶數(shù)字證書的申請(qǐng)與下載 、 用戶數(shù)字證書的撤消與恢復(fù) 、證書受理核發(fā)點(diǎn)的設(shè)立審核及管理等 服務(wù) ： 要求證書審核注冊(cè)系統(tǒng)具有以下功能： ① 證書申請(qǐng) 、 身份審核 、 證書下載 等服務(wù)都可采用在線或離線兩種方式。 圖 659 二級(jí) CA 認(rèn)證中心部署結(jié)構(gòu)圖 勞動(dòng)和社會(huì)保障證書服務(wù)系統(tǒng)體系結(jié)構(gòu)如圖 6－ 60 所示： 圖 660 勞動(dòng)和社會(huì)保障證書服務(wù)系統(tǒng)體系結(jié)構(gòu) 圖 3．二級(jí)系統(tǒng)建設(shè) 在勞動(dòng)和社會(huì)保障信任服務(wù)體系中， 市級(jí) 證書服務(wù)系統(tǒng)屬于二級(jí)系統(tǒng)，包括二級(jí)證書認(rèn)證（ CA）中心和市級(jí)證書審核注冊(cè)機(jī)構(gòu)（ RA），證書查詢驗(yàn)證服務(wù)系統(tǒng)、密鑰管理系統(tǒng)、密碼服務(wù)系統(tǒng)、可信授權(quán)服務(wù)系統(tǒng)。 本 市將按照勞動(dòng)和社會(huì)保障部的技術(shù)規(guī)范，以勞動(dòng)和社會(huì)保障部的根系統(tǒng)為依托，建立相應(yīng)的證書服務(wù)系統(tǒng)。 （九） CA 認(rèn)證中心系統(tǒng)建設(shè) 1．總體描述 勞動(dòng)保障安全應(yīng)用支撐平臺(tái)以密碼服務(wù)為基礎(chǔ)，以數(shù)字證書技術(shù)為核心，為勞動(dòng)和社會(huì)保障業(yè)務(wù)專網(wǎng)上的各項(xiàng)業(yè)務(wù)系統(tǒng)和公共服務(wù)系統(tǒng)等提供信任、授權(quán)及應(yīng)用支撐服務(wù)。 （ 6）完善的自保護(hù)能力 。包括用戶操作的時(shí)間、用戶名、操作的結(jié)果以及名稱和路徑。 安全審計(jì)系統(tǒng)的功能要求： （ 1）能夠從多種服務(wù)器（ UNIX、 Windows 20 Linux）自動(dòng)收集系統(tǒng)事件，并將這些事件保存在中心數(shù)據(jù)庫(kù)。 （ 2）支持對(duì) Inter/Intra 服務(wù)器的病毒防治，能夠阻止惡意的 Java 或 Active X 小程序的破壞； （ 3）支持對(duì)電子郵件附件的病毒防治，包括 WORD、 EXCEL中的宏病毒； （ 4）支持多的病毒處理選項(xiàng)，如對(duì)染毒文件進(jìn)行實(shí)時(shí)殺毒、移出、刪除、重新命名等； （ 5）提供對(duì)病毒特征信息和檢測(cè)引擎的定期在線更新服務(wù)； （ 6）提供集中式網(wǎng)絡(luò)防病毒管理 5．安全審計(jì) 在利用防火墻、 IDS 等安全產(chǎn)品本身的審計(jì)功能，以及操作系統(tǒng)的審計(jì)功能的同時(shí)，在網(wǎng)絡(luò)系統(tǒng)中配置跨平臺(tái)的綜合審計(jì)系統(tǒng)，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)系統(tǒng)的全方位集中安全審計(jì)。配置內(nèi)容包括： ? 客戶端防病毒軟件的缺省安裝方式和參數(shù)； ? 防病毒軟件的運(yùn)行參數(shù)； ? 掃描方式定制； ? 缺省掃描范圍確定； ? 碰到病毒后的處理等； ? 定時(shí)升級(jí)和更新設(shè)置。 4．防病毒系統(tǒng) 為了防止病毒在內(nèi)部網(wǎng)絡(luò)傳播，防止病毒對(duì)內(nèi)部的重要信息和網(wǎng)絡(luò) 造成破壞，并定位感染的來(lái)源與類型，在網(wǎng)絡(luò)中部署病毒防護(hù)系統(tǒng)，采用網(wǎng)絡(luò) 集中防病毒和分散防病毒兩種 方式 。 3．漏洞掃描系統(tǒng) 漏洞掃描系統(tǒng)是一種系統(tǒng)安全評(píng)估技術(shù)，可以測(cè)試和評(píng)價(jià)系統(tǒng)的安全性， 并及時(shí)發(fā)現(xiàn)安全漏洞。 （ 8）自帶數(shù)據(jù)庫(kù)， 不需第三方數(shù)據(jù)源 。 同時(shí)要做到個(gè)人隱私和安全的兼顧，根據(jù)不同的權(quán)限控制內(nèi)容恢復(fù)的程度。檢測(cè)引擎和攻擊特征庫(kù)及時(shí)升級(jí)和更新。 入侵監(jiān)測(cè)系統(tǒng)由控制中心和探測(cè)引擎（ 網(wǎng)絡(luò)、主機(jī)）組成，控制中心作為入侵監(jiān)測(cè)系統(tǒng)的管理和配置工具，可以編輯、修改和分發(fā)各網(wǎng)絡(luò)探測(cè)引擎、子控制中心的策略定義，給各探測(cè)引擎升級(jí)特征庫(kù)，同時(shí)接收所有探測(cè)引擎的實(shí)時(shí)報(bào)警信息。當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問(wèn)嘗試時(shí)，網(wǎng)絡(luò)信息安全檢測(cè)系統(tǒng)預(yù)警系統(tǒng)能夠根據(jù)系統(tǒng)安全策略作出反應(yīng)。 ⑨ 在防火墻設(shè)備的基礎(chǔ)上，具有平滑的 VPN 擴(kuò)充功能， VPN采用國(guó)家密碼管理部門批準(zhǔn)使用的硬件加密和認(rèn)證算法。 ⑤ 支持不同子網(wǎng)間的視頻、語(yǔ)音應(yīng)用，其他安全策略不受影響。在交換模式下和路由模式下均可以對(duì)應(yīng)用級(jí)協(xié)議進(jìn)行細(xì)度的控制，支持通配符過(guò)濾。當(dāng)防火墻工作在交換模式時(shí)，內(nèi)網(wǎng)、 DMZ 區(qū)和路由器的內(nèi)部端口構(gòu)成一個(gè)統(tǒng)一的交換式物理子網(wǎng)，內(nèi)網(wǎng)和 DMZ 區(qū)還可以有自己的第二級(jí)路由器，這種模式不需要改變?cè)械木W(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和各主機(jī)和設(shè)備的網(wǎng)絡(luò)設(shè)置；當(dāng)防火墻工作在路由模式時(shí)，可以作為三個(gè)區(qū)之間的路由器，同時(shí)提供內(nèi)網(wǎng)到外網(wǎng)、 DMZ 到外網(wǎng)的網(wǎng)絡(luò)地址轉(zhuǎn)換，也就是說(shuō)，內(nèi)網(wǎng)和 DMZ 都可以使用保留地址，內(nèi)網(wǎng)用戶通過(guò)地址轉(zhuǎn)換訪問(wèn) Inter?？梢詫⑷我馊齻€(gè)物理網(wǎng)絡(luò)連接起來(lái)構(gòu)成一個(gè)互通的物理網(wǎng)絡(luò)。 防火墻主要利用 IP 和 TCP 包的頭信息對(duì)進(jìn)出被保護(hù)網(wǎng)絡(luò)的 IP包信息進(jìn)行過(guò)濾，根據(jù)在其上配置的安全策略來(lái)控制（允許、拒絕、監(jiān)測(cè)）出入網(wǎng)絡(luò)的信息流。金保工程業(yè)務(wù)專網(wǎng)市數(shù)據(jù)中心基礎(chǔ)安全防護(hù)系統(tǒng)的部署方案如圖 6－ 58 所示。 4．故障恢復(fù)和容災(zāi)備份策略 除配置數(shù)據(jù)備份系統(tǒng)，實(shí)現(xiàn)本地關(guān)鍵系統(tǒng)和重要數(shù)據(jù)的備份外，為保證社會(huì)保險(xiǎn)關(guān)鍵業(yè)務(wù)系統(tǒng)以及其他業(yè)務(wù)服務(wù)的穩(wěn)定性與連續(xù)性， 考慮在本地地理位置相異的其他勞動(dòng)保障機(jī)構(gòu)或合作單位數(shù)據(jù)中心機(jī)房建設(shè)同城 異地容災(zāi)備份中心 。 網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)備份涉及兩種類型的備份內(nèi)容：網(wǎng)絡(luò)系統(tǒng)中關(guān)鍵應(yīng)用系統(tǒng)及運(yùn)行的操作系統(tǒng)的備份；網(wǎng)絡(luò)系統(tǒng)中數(shù)據(jù)的備份。在網(wǎng)絡(luò)環(huán)境下，計(jì)算機(jī)病毒具有不可估量的威脅性和破壞力，因而計(jì)算機(jī)病毒的防范也是網(wǎng)絡(luò)安全建設(shè)的重要環(huán)節(jié)。 對(duì)于 WWW 站點(diǎn)，需要配置頁(yè)面?zhèn)蓽y(cè)和自動(dòng)修復(fù)系統(tǒng)，以提高站點(diǎn)的抗破壞能力。 （ 2）應(yīng)用系統(tǒng)安全 應(yīng)用層安全是建立在網(wǎng)絡(luò)層安全基礎(chǔ)之上，主要是對(duì)資源的有效性進(jìn)行控制，管理和控制什么用戶對(duì)信息資源和服務(wù)資源具有什么權(quán)限。嚴(yán)格制定操作系統(tǒng)的管理制度，定期檢查系統(tǒng)配置。 （ 2）網(wǎng)絡(luò)基礎(chǔ)設(shè)施的可用性策略 對(duì)于數(shù)據(jù)中心局域網(wǎng)、省市縱向業(yè)務(wù)專網(wǎng)和本地城域網(wǎng)的網(wǎng)絡(luò)基礎(chǔ)如局域網(wǎng)主干交換機(jī)、廣域網(wǎng)路由器、廣域網(wǎng)線路、網(wǎng)絡(luò)邊界安全設(shè)備（如防火墻）等考