【正文】 多數(shù)組織不會將它們域基礎(chǔ)結(jié)構(gòu)擴(kuò)展到網(wǎng)絡(luò)中的對外開放部分。其他功能（如 Asp、服務(wù)器–端包含、WebDAV 發(fā)布 和 Microsoft FrontPage174。服務(wù)器消息塊 (SMB) 和通用 Internet 文件系統(tǒng) (CIFS) 協(xié)議可以向未進(jìn)行身份驗(yàn)證的用戶提供豐富的信息，但是，在高安全性 Windows 環(huán)境中通常建議禁用這些協(xié)議。l Windows Server 2003 R2安全措施1. 強(qiáng)化 Windows Server 2003 域控制器在任何包括運(yùn)行 Windows Server 2003 的計(jì)算機(jī)的 Active Directory 環(huán)境中，域控制器服務(wù)器都是需要確保其安全性的最重要角色之一。企業(yè)現(xiàn)在可以在安全無誤的狀況下對使用者及其它合作伙伴、供貨商或客戶延伸其企業(yè)網(wǎng)絡(luò)的存取。產(chǎn)品在安裝起來之時就處于安全鎖定的狀態(tài)，其中有二十多項(xiàng)服務(wù)預(yù)設(shè)為不安裝或以較低的權(quán)限執(zhí)行，以便幫助IT 管理員在最安全的組態(tài)下執(zhí)行其服務(wù)器。微軟公司進(jìn)行了許多工程設(shè)計(jì)上的改變，調(diào)整多項(xiàng)影響安全的系統(tǒng)默認(rèn)值設(shè)定，并提供多項(xiàng)可以增強(qiáng)Windows 平臺安全性的新功能和新技術(shù)。使用硬件安全性模塊，將密鑰存放在不同的硬件上，好讓您的數(shù)據(jù)與密鑰分開。l 控制對數(shù)據(jù)資源的訪問有效管理驗(yàn)證和授權(quán)以及只提供訪問權(quán)給需要的用戶，藉此來取得數(shù)據(jù)的控制權(quán)。 使用基于策略的管理，針對企業(yè)內(nèi)的數(shù)據(jù)來管理及檢測不符合安全策略的情況在將這個服務(wù)切換到另一臺服務(wù)器上時，該服務(wù)器上運(yùn)行的服務(wù)也不會受到影響。在沒有配備冗余的網(wǎng)絡(luò)接口，或者所有的網(wǎng)絡(luò)接口均出現(xiàn)故障時，HA會將該應(yīng)用切換到另外一臺服務(wù)器上。配置多條心跳路徑可以避免系統(tǒng)的單點(diǎn)故障。而系統(tǒng)服務(wù)器故障監(jiān)控切換處理由HA軟件來完成。當(dāng)工作主機(jī)發(fā)生故障時，心跳信息就會產(chǎn)生變化，這種變化可以通過私用網(wǎng)絡(luò)傳遞到備份機(jī)的RoseHA軟件。在進(jìn)行網(wǎng)絡(luò)服務(wù)時， RoseHA提供一個邏輯的虛擬地址，任何一個客戶端需要請求服務(wù)時只需要使用這個虛擬地址。支持特性S550028CEI交換容量（全雙工）192Gbps包轉(zhuǎn)發(fā)率（整機(jī)）外形尺寸（長寬高）（單位：mm）440300重量4kg管理端口1個Console口業(yè)務(wù)端口描述24個10/100/1000BaseT以太網(wǎng)端口4個復(fù)用的1000BaseX千兆SFP端口 雙機(jī)熱備份軟件ROSE FOR WINDOWS RoseHA雙機(jī)系統(tǒng)的兩臺服務(wù)器（主機(jī)）都與磁盤陣列（共享存儲）系統(tǒng)直接連接，用戶的操作系統(tǒng)、應(yīng)用軟件和RoseHA高可用軟件分別安裝在兩臺主機(jī)上，數(shù)據(jù)庫等共享數(shù)據(jù)存放在存儲系統(tǒng)上，兩臺主機(jī)之間通過私用心跳網(wǎng)絡(luò)連接。這樣不但能夠隔離私網(wǎng)內(nèi)不同VPN的報文轉(zhuǎn)發(fā)路徑，而且通過與PE間的配合，也能夠?qū)⒚總€VPN的路由正確發(fā)布至對端PE，保證VPN報文在公網(wǎng)內(nèi)的傳輸。l 多重可靠性保護(hù)S5500EI系列交換機(jī)還具備設(shè)備級和鏈路級的多重可靠性保護(hù)。隨著用戶端速度不斷提高，用戶最終會使集群千兆鏈路達(dá)到飽和，而能夠擁有多條集群10GE鏈路將是我們的未來發(fā)展方向。同時還支持客戶端軟件版本檢測、Guest VLAN等功能，和CAMS服務(wù)器配合還可以實(shí)現(xiàn)代理檢測、雙網(wǎng)卡檢測等功能。具有即插即用、單一IP管理?；萜誗torageWorks MSA2300FC(AJ798A)磁盤陣列支持Microsoft Windows Server 2008 IA32, x64, IA64 (Standard, Enterprise, Datacenter)，Microsoft Windows 2003 and 2003 R2 IA32, x64, IA64和Red Hat Linux (32/64)等多種操作系統(tǒng)。每個控制器有2個4Gb Fibre Channel 端口?；萜誔roLiant DL388 G7(616659AA1)機(jī)架式服務(wù)器配置有2個NC382i雙端口千兆網(wǎng)卡，并配合iLO 3管理程序，增加機(jī)體整體可控程度。iLO 3遠(yuǎn)程控制面板的執(zhí)行速度比之前版本快8倍，提高管理員的管理效率。主交換機(jī)與系統(tǒng)服務(wù)器連接采用1000M 連接。各配線間設(shè)置光纖配線架,用來連接多芯光纜，安裝在19”標(biāo)準(zhǔn)機(jī)柜內(nèi)，用于各種計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備。l 垂直主干子系統(tǒng)垂直主干子系統(tǒng)采用單模光纜，提供全雙工傳輸通道，具有極大的傳輸帶寬和極高的傳輸質(zhì)量。本綜合布線系統(tǒng)涉及海關(guān)、檢驗(yàn)檢疫和用戶三方的綜合布線系統(tǒng)。 數(shù)據(jù)安全及備份恢復(fù) 應(yīng)能夠檢測到鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中完整性受到破壞。 l 應(yīng)通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄； l 應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時鎖定； l 應(yīng)限制單個用戶對系統(tǒng)資源的最大或最小使用限度。提供工具分析網(wǎng)絡(luò)運(yùn)行狀況。系統(tǒng)設(shè)置一臺IDS檢測引擎，用于對計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為進(jìn)行識別和相應(yīng)處理。 網(wǎng)絡(luò)設(shè)計(jì) 采用MSTP的組網(wǎng)方式，A、B、C三區(qū)采用MSTP光纖電路（RJ45接口），通過中國電信MSTP網(wǎng)絡(luò)，實(shí)現(xiàn)了A、B、C三個區(qū)的互聯(lián)通訊、三個區(qū)的網(wǎng)絡(luò)熱備以及A區(qū)通過互聯(lián)網(wǎng)接入與成都海關(guān)總部互訪，組成數(shù)據(jù)通信傳輸通信專網(wǎng)。 a) 應(yīng)將主要設(shè)備放置在機(jī)房內(nèi)； b) 應(yīng)將設(shè)備或主要部件進(jìn)行固定，并設(shè)置明顯的不易除去的標(biāo)記； c) 應(yīng)將通信線纜鋪設(shè)在隱蔽處，可鋪設(shè)在地下或管道中； d) 應(yīng)對介質(zhì)分類標(biāo)識，存儲在介質(zhì)庫或檔案室中； e) 主機(jī)房安裝必要的防盜報警設(shè)施?？煽啃浴⒎€(wěn)定性和容錯性通過選擇成熟的技術(shù)、冗余的設(shè)計(jì)、可靠性產(chǎn)品保證整個系統(tǒng)具有高度的可靠性、穩(wěn)定性和容錯性。UPS：配置10KVA UPS設(shè)備2臺，電池能夠滿足10KVA設(shè)備支持30分鐘。機(jī)房建設(shè)要求為海關(guān)設(shè)立獨(dú)立機(jī)房，桐廬工程包括桐廬地面裝修、電氣部分的配電柜、防雷工程、消防報警、機(jī)房空調(diào)、UPS、機(jī)房監(jiān)控、綜合布線系統(tǒng)等。由于網(wǎng)絡(luò)的種類比較多，在前面板用顏色加編號的方式對點(diǎn)位的功能進(jìn)行分區(qū)。綜合布線系統(tǒng)包括管理網(wǎng)G（六類系統(tǒng)）、業(yè)務(wù)網(wǎng)Y（超五類系統(tǒng)）、互聯(lián)網(wǎng)W（超五類系統(tǒng)）語音網(wǎng)T（水平超五類系統(tǒng)）、備用網(wǎng)絡(luò)B（超五類系統(tǒng)）共計(jì)5個系統(tǒng)（可根據(jù)監(jiān)管要求及功能設(shè)置作相應(yīng)調(diào)整）。通過監(jiān)控工具實(shí)現(xiàn)對不同服務(wù)對象和IT資源的實(shí)時監(jiān)控，包括主機(jī)、數(shù)據(jù)庫、中間件、存儲備份、網(wǎng)絡(luò)、安全、機(jī)房、業(yè)務(wù)應(yīng)用和客戶端等技術(shù)支持管理子系統(tǒng)進(jìn)行綜合處理和集中管理。這其中，既涉及到網(wǎng)絡(luò)管理，也有安全管理。根據(jù)國務(wù)院批復(fù)，位于成都高新區(qū)西部園區(qū)。信息技術(shù)的發(fā)展，為海關(guān)管理創(chuàng)新提供了手段，實(shí)現(xiàn)信息化將使海關(guān)管理水平產(chǎn)生質(zhì)的飛躍。2）流程及業(yè)務(wù)信息安全管理層。系統(tǒng)建設(shè)配置包括廣域網(wǎng)路由設(shè)備，不同的運(yùn)營網(wǎng)分別租用4M以上的寬帶線路。在樓層弱電井設(shè)有不同功能的獨(dú)立配線間。園區(qū)內(nèi)應(yīng)建設(shè)園區(qū)網(wǎng)，以實(shí)現(xiàn)區(qū)內(nèi)所有企業(yè)與管委會之間信息的互通和管理，同時考慮相應(yīng)的安全管理建設(shè)，包括防病毒管理、客戶端準(zhǔn)入等。機(jī)房空調(diào)：能夠滿足機(jī)房使用條件的專用獨(dú)立溫濕度調(diào)節(jié)空調(diào)。開放性、互連性和標(biāo)準(zhǔn)化采用國際、國家標(biāo)準(zhǔn)、協(xié)議和接口，能與現(xiàn)有的和未來的系統(tǒng)互連與集成。高可管理性整個系統(tǒng)的設(shè)計(jì)要層次清晰、功能明確，便于性能分析、故障診斷，能實(shí)現(xiàn)對系統(tǒng)資源的全面監(jiān)控和優(yōu)化配置，對訪問的有效監(jiān)控和審計(jì)，保證整個系統(tǒng)具有高度的可管理性。 機(jī)房設(shè)置溫、濕度自動調(diào)節(jié)設(shè)施，使機(jī)房溫、濕度的變化在設(shè)備運(yùn)行所允許的范圍之內(nèi)。 l 對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄； l 審計(jì)記錄應(yīng)包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息?？梢圆榭捶治鲆粋€或多個檢測引擎，進(jìn)行策略配置，系統(tǒng)管理。 l 審計(jì)范圍應(yīng)覆蓋到服務(wù)器上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶； l 審計(jì)內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件； l 審計(jì)記錄應(yīng)包括事件的日期、時間、類型、主體標(biāo)識、客體標(biāo)識和結(jié)果等； l 應(yīng)保護(hù)審計(jì)記錄，避免受到未預(yù)期的刪除、修改或覆蓋等。 l 在通信雙方建立連接之前，應(yīng)用系統(tǒng)應(yīng)利用密碼技術(shù)進(jìn)行會話初始化驗(yàn)證； l 應(yīng)對通信過程中的敏感信息字段進(jìn)行加密。 b) 采用MSTP的組網(wǎng)方式，A、B、C三區(qū)采用MSTP光纖電路（RJ45接口），通過中國電信MSTP網(wǎng)絡(luò)，實(shí)現(xiàn)了A、B、C三個區(qū)的互聯(lián)通訊、三個區(qū)的網(wǎng)絡(luò)熱備以及A區(qū)通過互聯(lián)網(wǎng)接入與成都海關(guān)總部互訪，組成數(shù)據(jù)通信傳輸通信專網(wǎng)。l 水平干線子系統(tǒng)水平子系統(tǒng)由各大樓內(nèi)樓層配線間至各個工作區(qū)之間的電纜和多模水平光纜構(gòu)成。機(jī)柜內(nèi)所有的信息點(diǎn)符合規(guī)定的編號規(guī)則和顏色規(guī)則，以方便用戶的使用。核心層設(shè)置在海關(guān)信息中心機(jī)房，匯聚層設(shè)置在海關(guān)信息中心機(jī)房、查驗(yàn)平臺機(jī)房，接入層設(shè)置在卡口。因?yàn)椴捎肐ntel 7500 系列處理器，該服務(wù)器允許向上擴(kuò)展更多的客戶端?；萜?ProLiant DL388 G7(616659AA1) 圖片惠普ProLiant DL388 G7(616659AA1)機(jī)架式服務(wù)器配置Intel 至強(qiáng)5600系列Xeon E5620型號處理器。每個控制器有2個4Gb Fibre Channel 端口；支持RAID 0, 1, 3, 5, 6, 10, 50；最大支持64個主機(jī)；；冗余電源1AJ805AHP MSA2312sa 雙控制器磁盤陣列：冗余控制器，帶1GB緩存。RAID的采用為存儲系統(tǒng)(或者服務(wù)器的內(nèi)置存儲)帶來巨大利益，其中提高傳輸速率和提供容錯功能是最大的優(yōu)點(diǎn)。l 靈活的千兆接入和集群管理H3C S5120SI系列全千兆以太網(wǎng)交換機(jī)提供靈活的16/24/48個10/100/1000M自適應(yīng)電口接入；并且支持非復(fù)用的SFP插槽，充分考慮用戶的帶寬升級的實(shí)際情況，既可以支持千兆光模塊，也可以支持百兆光模塊，保護(hù)用戶投資。H3C S5120SI系列交換機(jī)支持端口安全特性族可以有效防范基于MAC地址的攻擊。H3C S5120SI系列交換機(jī)支持VCT（Virtual Cable Test）電纜檢測功能，便于快速定位網(wǎng)絡(luò)故障點(diǎn)。H3C S5500EI交換機(jī)支持集中式MAC地址認(rèn)證、PORTAL認(rèn)證，支持用戶帳號、IP、MAC、VLAN、端口等用戶標(biāo)識元素的動態(tài)或靜態(tài)綁定，同時實(shí)現(xiàn)用戶策略（VLAN、QoS、ACL）的動態(tài)下發(fā)；支持配合H3C公司的CAMS系統(tǒng)對在線用戶進(jìn)行實(shí)時的管理，及時的診斷和瓦解網(wǎng)絡(luò)非法行為。支持Voice VLAN技術(shù)，交換機(jī)通過識別端口的語音流，將對應(yīng)的接入端口加入Voice VLAN（專用語音VLAN）中，為語音流量提供專門通道，并自動下發(fā)優(yōu)先級規(guī)則保證語音流的優(yōu)先傳輸來保證通話質(zhì)量。l 出色的管理性H3C S5500EI系列交換機(jī)支持SNMPv1/v2/v3（Simple Network Management Protocol），可支持Open View等通用網(wǎng)管平臺以及iMC智能管理中心。 RoseHA實(shí)現(xiàn)容錯功能的關(guān)鍵在于，對客戶端來說主機(jī)是透明的，當(dāng)系統(tǒng)發(fā)生錯誤而進(jìn)行切換時，即主機(jī)的切換在客戶端看來沒有變化，所有基于主機(jī)的應(yīng)用都仍然正常運(yùn)行。對于數(shù)據(jù)庫服務(wù)，當(dāng)有主服務(wù)器出現(xiàn)故障時，另外一臺服務(wù)器就會自動接管，同時啟動數(shù)據(jù)庫和應(yīng)用程序，使用戶數(shù)據(jù)庫可以正常操作。 l 系統(tǒng)切換時間短，最大程度減少業(yè)務(wù)中斷的影響。通過直觀而又方便的Java Applet管理界面，用戶可以交互式地對集群系統(tǒng)進(jìn)行配置、監(jiān)控和管理，并可以利用Applet的網(wǎng)絡(luò)特性，通過網(wǎng)絡(luò)對系統(tǒng)進(jìn)行遠(yuǎn)程管理，實(shí)時地顯示出主機(jī)系統(tǒng)及服務(wù)的狀態(tài)l 靈活的ActiveActive模式和ActiveStandby模式RoseHA支持ActiveActive模式和ActiveStandby模式。l 服務(wù)器可靠性在主服務(wù)器出現(xiàn)故障（如掉電或宕機(jī)）時，另外一臺服務(wù)器接管故障服務(wù)器上運(yùn)行的所有的關(guān)鍵性應(yīng)用。l 應(yīng)用可靠性在高可用性系統(tǒng)中可以運(yùn)行多個應(yīng)用。l 豐富的附加功能 提供不同的針對特定應(yīng)用的Agent程序，使服務(wù)監(jiān)控更切實(shí)際，更加有效；提供用于開發(fā)Agent程序的應(yīng)用程序界面（API），使用者可針對特定的服務(wù)編寫Agent程序，執(zhí)行與特定服務(wù)相關(guān)的狀態(tài)診斷及錯誤恢復(fù)工作的。使用新的接口區(qū) Facet 控制使用中的服務(wù)和功能，以降低暴露在安全性威脅下的機(jī)會。在 SQL Server 2008 中使用內(nèi)置密碼編譯層次結(jié)構(gòu)來創(chuàng)建非對稱密鑰、對稱密鑰和憑證通過安全性增強(qiáng)型數(shù)據(jù)庫加密密鑰 (DEK)，以透明方式在數(shù)據(jù)庫層次結(jié)構(gòu)執(zhí)行所有加密，讓開發(fā)需要加密數(shù)據(jù)的應(yīng)用程序復(fù)雜度降低。 DDL 觸發(fā)程序創(chuàng)建自定義審核解決方案使用觸發(fā)程序捕獲及審核數(shù)據(jù)定義語言 (DDL) 活動。本軟件引擎是Windows2003 Server 的關(guān)鍵部分，它提高了可靠性并有助于保證計(jì)算環(huán)境的安全，降低了錯誤數(shù)量，并減少了由常見的編程錯誤引起的安全漏洞。4. 在安裝Windows2003過程中，計(jì)算機(jī)管理員賬號密碼的設(shè)置應(yīng)符合強(qiáng)密碼要求。2. Protected Extensible Authentication Protocol(受保護(hù)的延伸驗(yàn)證協(xié)議，PEAP)提供以密碼為基礎(chǔ)驗(yàn)證程序的加密功能，可用以增強(qiáng)無線通訊的安全性。服務(wù)器消息塊 (SMB) 和通用 Internet 文件系統(tǒng) (CIFS) 協(xié)議可以向未進(jìn)行身份驗(yàn)證的用戶提供豐富的信息，但是，在高安全性 Windows 環(huán)境中通常建議禁用這些協(xié)議。在默認(rèn)情況下，IIS 沒有安裝在 Windows 服務(wù)器系統(tǒng)家族的成員上。本模塊詳細(xì)描述了在哪些方面，用戶環(huán)境中的證書服務(wù)器可以受益于非 MSBP 策略的安全設(shè)置。44。本模塊詳細(xì)說明了在哪些方面，用戶環(huán)境中的 ISA 服務(wù)器可以受益