【正文】 在附錄1第2頁中，表示著文檔的版本及修訂記錄，在每次修訂版本及相關內容的時候，我們就需要按照表中的格式來填寫，這樣，每次的修訂將會指出修訂了哪些地方？這樣，給整個部門需要看此文檔的人，會帶來很多方便，在技術沉淀上也會有很大積累。標準文檔需包含：應急預案、故障記錄、IP地址統(tǒng)計、服務器統(tǒng)計、網絡設備統(tǒng)計、運營記錄、流量統(tǒng)計分析、工作報告、安裝操作標準等。在網絡帶寬利用方面，我們選用mrtg做為對帶寬使用的檢測工具，主要來監(jiān)控外部網絡出口的帶寬使用情況。系統(tǒng)部的建議：每周周二對以上目錄進行全面?zhèn)浞?，拷至移動硬盤上，一個月之內全部進行增量備份，匯總每月的所有數(shù)據(jù)，每月再做一次全面?zhèn)浞荨５虢z測系統(tǒng)這一塊，相對來說價格較高，有一定誤報率，如果購買的話，一定要選擇品牌可信度較高的廠家。它從計算機網絡系統(tǒng)中的若干關鍵點收集信息并進行分析，查看網絡中是否有違反安全策略的行為和遭到襲擊的跡象。從滲透性試中，我們能得到的收益至少有：1． 發(fā)現(xiàn)網絡中的安全最短板，協(xié)助我們有效的了解目前最低風險的初始任務；2． 一份文檔齊全有效的滲透性測試報告有助于組織IT管理者以案例說明目前的安全狀況，從而增強信息安全的認知程度。這樣在密碼的安全方面，可以達到多重的防御。我公司未來的網絡結構比較清晰，容易劃分安全邊界，并且容易明確在不同界限之間需要保護的對象，根據(jù)我公司拓撲圖，我們采用紅色圈圈來表示高風險，藍色表示中風險，如下圖：從上圖所示：我們必須將我們的系統(tǒng)建成一個縱深防御系統(tǒng)，達到層層設防。目前還沒有形成一整套安全方面的流程，未來我們需要建立一整套安全方面的流程。階段2為安全風險評估服務。 網絡設備的選擇網絡設備方面的選擇，暫時定為如下，以后可選擇同系列型號的設備：前端兩個交換機：思科２９５０兩個負載均衡器：F５內部核心交換機：思科３５００三層交換VPN防火墻　?。簄etscreen204內網其它交換機：思科2950　 IP地址的規(guī)劃 在IP地址分配方面，外網需要兩段IP地址，一段用于會員中心官網、BBS等這類的應用，加上雙負載均衡器的3個IP地址，以及前端2個兩層交換機的IP地址，實際的需求14個就可以滿足。所以，在選擇新辦公區(qū)的時候，我們就需要將此考慮進去。 網絡帶寬的選擇　　在網絡帶寬選擇方面，我們至少需要兩根線路，分別為一根網通，一根電信，主線路為１０M獨享專線網通線路或電信線路，最好是電信通的線路，輔助線路為５M獨享專線與主線路應相反（即主線路為網通時，此線路為電信，主線路為電信時，此線路為網通）?！　∞k公網網關的選型：辦公網網關，主要需求為兩臺VPN網關，主網關的我們可采用netscreen 50VPN路由器。公司目前IP地址的現(xiàn)狀如下：所有地址全部為C類地址，由于主要是開發(fā)，在一些網絡的高可用性方面并未開始設計和使用，所以網絡的結構非常簡單。路由冗余的方法有很多種來實現(xiàn)，考慮到性價比，我們還是使用網關或辦公網多層交換機路由優(yōu)先級的方式來實現(xiàn)，具體實現(xiàn)的方法我們在后續(xù)的辦公網子系統(tǒng)中來寫明實施方案。 系統(tǒng)互聯(lián)框架 游戲行業(yè)的整體架構網，在業(yè)界基本上有著固定的模式，主要分為三部分1. 辦公室網絡（主要用于公司辦公及運營中心的人員對游戲分區(qū)及會員中心的訪問）2. 會員中心（提供會員注冊、沖值、網站及與游戲分區(qū)的數(shù)據(jù)交換）3. 游戲分區(qū)（主要給游戲用戶提供一個穩(wěn)定的游戲環(huán)境）大致如下圖：如上圖所示，公司辦公網、會員中心、游戲分區(qū)，這三個網絡全部需要通過VPN line連接起來，上圖僅僅只顯示出了一個游戲分區(qū)，可能到實際的情況中，我們需要開設數(shù)十個以上游戲分區(qū)，此中間會包含電信和網通的區(qū)，所以會員中心、官網，一般都建議采用雙線機房。經過一些資料的查證（針對netscreenVPN路由器），只可以達到上述的要求。辦公網設備的選型：　　辦公室的設備主要滿足如下要求：１． 穩(wěn)定的內網辦公環(huán)境（internet上網，收發(fā)郵件）２． 內部測試服務器的功能、性能測試３． 外部的VPN訪問達到以上這些要求，我們可以通過很多方案來實施，我們提出的方案不一定是最便宜或最貴的，但從基本上滿足我們運營狀況的同時，又可以給未來做為擴充。 辦公網的網絡拓撲首先我給出整個辦公網的網絡拓撲，里面已經包括了網絡設備和一些IP地址的規(guī)劃：上圖中，總體的vlan控制全部通過cisco3550來完成，它相當于整個內部網絡的數(shù)據(jù)轉發(fā)中心，在出局的地方，我們主要通過netscreen 50來負責處理所有的數(shù)據(jù)包出局，在出現(xiàn)問題的時候，將在3550上通過路由的優(yōu)先級來將數(shù)據(jù)包轉發(fā)到netscreen 5GT上，以保證線路的冗余。那么辦公室機房得配置多大的UPS方能滿足關鍵設備的電源可用性呢。 IDC的選擇　　IDC方面，中國的南北互通一直存在問題，所以，選擇一個雙線機房來應用會員系統(tǒng)是非常有必要的。由于目前uworld的技術成型產品及運營策略未定，所以在方案的編寫上面，此節(jié)暫時忽略。總結一下，安全是一個系統(tǒng)工程，缺少一個環(huán)節(jié)或者一個點出現(xiàn)問題可能導致整個安全系統(tǒng)的崩潰。在網絡安全邊界的確定過程中，需要解決以下安全隱患：l 在Internet和內部網之間沒有明晰的界限，網絡的邊緣不清晰，存在著內外混雜的情況。對于數(shù)據(jù)庫安全方面：1． 設置強密碼2． 打好最新數(shù)據(jù)庫補丁3． 做好備份策略4． 限制特定的IP訪問5． 可以考慮使用商業(yè)加密軟件來對數(shù)據(jù)進行加密6． 定期對數(shù)據(jù)庫進行滲透性測試（推薦一個月一次）7． 定期對數(shù)據(jù)庫前端的注冊網站進行滲透性、溢出測試（推薦一個月一次）對于網站安全，我們的開發(fā)模式是j2ee，需要走apache+resin+mysql的方式來布署，程序方面會有QA部門進行程序的QA，系統(tǒng)層面，我們會采用在各個軟件上開最少模塊加一些過濾的程序，來布署上面這些軟件，整個流程為：布署功能測試安全測試成功簽立上線通知書按時間點上線