【正文】 各安全設(shè)備及系統(tǒng)的功能要求如下：第11頁杭州?？低曄到y(tǒng)技術(shù)有限公司行業(yè)基線方案 VPN加密系統(tǒng)VPN的身份認(rèn)證通過LADP協(xié)議可以與認(rèn)證服務(wù)器建立認(rèn)證關(guān)系，也可以與PKI/CA服務(wù)器建立聯(lián)系在終端導(dǎo)入證書，VPN 加密技術(shù)采用DES、3DES、AES、IDEA、RC4等加密技術(shù)，通過上述的加密技術(shù)，保證視頻、信令、數(shù)據(jù)在公共網(wǎng)絡(luò)中傳輸安全。6）日志管理功能使審計員可以通過日志管理對密鑰日志、系統(tǒng)日志進(jìn)行事后審計和追蹤，作為日志審計的依據(jù)。數(shù)據(jù)中心的管理中心安全主要是通過部署安全審計系統(tǒng)、接入認(rèn)證系統(tǒng)、PKI/CA身份認(rèn)證系統(tǒng)、網(wǎng)絡(luò)防病毒系統(tǒng)、漏洞掃描系統(tǒng)和安全管理平臺等安全設(shè)備和系統(tǒng)，完成證書管理、實時監(jiān)控、統(tǒng)計分析、配置管理、密鑰管理、日志管理、系統(tǒng)管理、統(tǒng)一用戶管理、統(tǒng)一身份認(rèn)證、資源授權(quán)及訪問控制管理、單點登錄管理、網(wǎng)絡(luò)安全審計、主機(jī)安全審計、數(shù)據(jù)庫安全審計、應(yīng)用系統(tǒng)安全審計等一系列功能。數(shù)據(jù)中心的區(qū)域邊界安全主要通過在系統(tǒng)邊界部署防火墻系統(tǒng)、防毒墻、入侵防御系統(tǒng)、安全接入平臺等安全設(shè)備和系統(tǒng)以及使用在管理中心所部署的安全審計系統(tǒng)提供的服務(wù)，完成邊界包過濾、邊界安全審計、邊界入侵防范、邊界完整性保護(hù)，邊界安全隔離與可信數(shù)據(jù)交換等一系列功能。計算環(huán)境安全針對的是對系統(tǒng)的信息進(jìn)行存儲、處理及實施安全策略的相關(guān)部件，它的重點是為了提高以服務(wù)器為核心的計算平臺自身防御水平。系統(tǒng)的體系架構(gòu)如圖所示：信息系統(tǒng)安全是保障整個系統(tǒng)安全運(yùn)行的一整套策略、技術(shù)、機(jī)制和保障制度，它涵蓋系統(tǒng)的許多方面，一個安全可靠的系統(tǒng)需要多方面因素共同作用。從存儲角度來看，數(shù)據(jù)中心交換矩陣將支持FCoE和iSCSI 服務(wù)器接入，以及與FCoE、光纖通道和iSCSI 相連的目標(biāo)。第一個因素是企業(yè)希望通過簡化基礎(chǔ)設(shè)施和拆除支持獨(dú)立局域網(wǎng)和存儲網(wǎng)絡(luò)所需的冗余組件(接口，電纜，上游交換機(jī)等)，來繼續(xù)降低TCO。這些數(shù)據(jù)中心的生產(chǎn)虛擬機(jī)密度一般較低，只有不到10%的生產(chǎn)工作負(fù)載在虛擬機(jī)上運(yùn)行，運(yùn)營結(jié)構(gòu)以此孤立技術(shù)為基礎(chǔ)構(gòu)建(參見圖1)。公司必須拓寬視角，以創(chuàng)新方式來看待數(shù)據(jù)中心架構(gòu)，以使IT效率、響應(yīng)能力和永續(xù)性都達(dá)到新的高度。所有使用管理運(yùn)行門戶的用戶必須經(jīng)過身仹認(rèn)證，然后系統(tǒng)會根據(jù) 用戶角色、權(quán)限的丌同，提供相應(yīng)的個性化操作界面。出亍業(yè)務(wù)和部署考慮，同其他部門單位、垂直業(yè)務(wù)系統(tǒng)進(jìn)行數(shù)據(jù)交 換的時候，從業(yè)務(wù)完整性、維護(hù)界定、安全性等考慮，很難允許直接操作原有業(yè)務(wù)系統(tǒng)的業(yè)務(wù)流程戒數(shù)據(jù)庫，這時才有 使用前置機(jī)的必要。為了保障數(shù)據(jù)中心的安全可靠，微軟利用自身操作系統(tǒng)廠商的能力，圍繞著Windows Server 2008，形成了一套 System Center和Forefront的完美結(jié)合的系統(tǒng)安全管理平臺，丌僅能無縫接入IT架構(gòu)平臺，而丏能夠提高整體架構(gòu)的安 全性和工作敁率，降低管理的復(fù)雜度和成本，真正解決管理不安全問題，同時讓數(shù)據(jù)中心的IT資源得到最佳整合和優(yōu)化。l 擴(kuò)展性好可根據(jù)不同區(qū)域和層次的功能按需建設(shè)，業(yè)務(wù)部署靈活，可以非常方便的增加新業(yè)務(wù)區(qū)，而不改變原有的網(wǎng)絡(luò)結(jié)構(gòu)。7)實時的病毒庫、攻擊庫、應(yīng)用庫更新 作為安全網(wǎng)關(guān)設(shè)備，如何能夠保證在新的威脅、病毒、攻擊和新的應(yīng)用出現(xiàn)的第一時間，就能夠做到有效的洞悉和控制，不僅考驗產(chǎn)品本身的應(yīng)變能力，更考驗安全廠商支持的力度和深度，以及響應(yīng)的速度。l 出色的能效比 PA5500F45/40采用了自主研發(fā)的高性能操作系統(tǒng)，并且針對報文轉(zhuǎn)發(fā)、過濾以及VPN的關(guān)鍵處理進(jìn)行了深入的優(yōu)化設(shè)計，在同等硬件處理能力下，比通用的操作系統(tǒng)要高出至少30%的效能，對于提高用戶IT資源利用率，降低能耗和節(jié)能減排給予了強(qiáng)有力的支持。 安全域設(shè)計傳統(tǒng)解決方案中，終端用戶可以訪問自己前端WEB服務(wù)器，同時WEB服務(wù)器可以訪問內(nèi)部應(yīng)用服務(wù)器，這樣存在非常嚴(yán)重的安全隱患，一旦前端WEB服務(wù)器被互聯(lián)網(wǎng)黑客植入木馬，則黑客可通過“肉雞”主機(jī)竊取高等級安全域中的信息數(shù)據(jù)。漢柏PT系列交換機(jī)采用“最長匹配、逐包轉(zhuǎn)發(fā)”模式，能夠抵御網(wǎng)絡(luò)病毒的攻擊；支持OSPF、RIPv2 及BGPv4 報文的明文及MD5密文認(rèn)證；支持IP、VLAN、MAC和端口等多種組合綁定方式，防范地址盜用；支持廣播報文抑制，有效控制ARP等非法廣播流量對設(shè)備造成沖擊；支持URPF，防止IP地址欺騙；支持報文安全過濾，防止非法侵入和惡意報文攻擊等。漢柏PT3750E系列萬兆路由交換機(jī)采用硬件領(lǐng)先的架構(gòu)，可全線速轉(zhuǎn)發(fā)各種類型的數(shù)據(jù)包，在IPv6方面處于業(yè)界領(lǐng)先的地位。網(wǎng)絡(luò)架構(gòu)設(shè)計 設(shè)計原則廣電數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)計原則如下： l 層次化廣電數(shù)據(jù)中心網(wǎng)絡(luò)在網(wǎng)絡(luò)層次設(shè)計上分為三層結(jié)構(gòu)，即核心層、匯聚層、接入層。當(dāng)前廣電數(shù)據(jù)中心面臨的挑戰(zhàn)是：1)廣電寬帶用戶需要的互聯(lián)網(wǎng)內(nèi)容與信息服務(wù)大部分在電信和聯(lián)通的IP網(wǎng)內(nèi)，導(dǎo)致廣電巨大的入網(wǎng)流量帶寬成本。 整體網(wǎng)絡(luò)架構(gòu)漢柏建議數(shù)據(jù)中心網(wǎng)絡(luò)的網(wǎng)絡(luò)架構(gòu)采用分層、分區(qū)的模塊化規(guī)劃方法，即：漢柏科技有限公司 ：4007068366l 根據(jù)不同的網(wǎng)絡(luò)訪問層次，將數(shù)據(jù)中心網(wǎng)絡(luò)分為：核心層、匯聚層和接入層。 區(qū)域化業(yè)務(wù)接入網(wǎng)絡(luò)架構(gòu)目前應(yīng)用訪問大部分已實現(xiàn)瀏覽器/服務(wù)（簡稱B/S）架構(gòu)，該架構(gòu)要求采用三級服務(wù)器訪問模式，結(jié)合安全和管理方面需求，漢柏建議采用對外接入?yún)^(qū)和應(yīng)用服務(wù)器接入?yún)^(qū)兩個子區(qū)域?qū)崿F(xiàn)業(yè)務(wù)服務(wù)器接入，其網(wǎng)絡(luò)架構(gòu)及流量模型如下：VOD承載網(wǎng)骨干網(wǎng)交互業(yè)務(wù)區(qū)對外防火墻CS業(yè)務(wù)流交互業(yè)務(wù)區(qū)匯聚交換機(jī)CS服務(wù)器交互業(yè)務(wù)區(qū)對外接入?yún)^(qū)交互業(yè)務(wù)區(qū)內(nèi)聯(lián)防火墻SS業(yè)務(wù)流核心交換機(jī)（內(nèi)聯(lián)）SS服務(wù)器交互業(yè)務(wù)區(qū)應(yīng)用服務(wù)器接入其它數(shù)據(jù)中心節(jié)點漢柏科技有限公司 ：4007068366兩個業(yè)務(wù)子區(qū)域通過交換網(wǎng)絡(luò)的互連，層層的安全保護(hù)，形成結(jié)構(gòu)清晰的易于部署的服務(wù)器接入架構(gòu)。同時漢柏PT6600及PT3750E交換機(jī)均支持BFD技術(shù)，可將OSPF路由協(xié)議的收斂速度由秒級縮減到毫秒級，從而大大提高了整體網(wǎng)絡(luò)的可靠性和應(yīng)用的可用性。針對嵌入在各種應(yīng)用（郵件、網(wǎng)頁、FTP以及VoIP）中的攻擊、病毒和惡意插件，PA5500F45/40能夠在深度識別業(yè)務(wù)類別和用戶行為的前提下，提供基于狀態(tài)監(jiān)測的漢柏科技有限公司 ：4007068366應(yīng)用層網(wǎng)關(guān)功能，結(jié)合強(qiáng)大的入侵檢測機(jī)制和防病毒引擎，真正實現(xiàn)了邊界、接入、行為和數(shù)據(jù)的多重安全防護(hù)。漢柏科技有限公司 ：4007068366漢柏建議IDS的部署方式如下圖：VOD承載網(wǎng)骨干網(wǎng)IDS核心交換機(jī)（外聯(lián)）IDS交互業(yè)務(wù)區(qū)辦公業(yè)務(wù)區(qū)綜合業(yè)務(wù)區(qū)管理業(yè)務(wù)區(qū)核心交換機(jī)（內(nèi)聯(lián)）IDSIDSIDS建議采用兩臺漢柏PA5500U40旁路部署模式，兩臺IDS分別連接在核心交換機(jī)上，將核心交換機(jī)連接各業(yè)務(wù)區(qū)域端口的出入流量鏡像到漢柏PA5500U40，由漢柏PA5500U40進(jìn)行入侵檢測。PA5500U40提供了簡單直觀的Web管理界面和用以高級配置的命令行，可以支持復(fù)雜的策略、協(xié)議作為對象的方式靈活使用；除此之外，提供初始配置向?qū)А?shù)量眾多的場景應(yīng)用指導(dǎo)和設(shè)計工具，既能夠滿足需要簡單配置的用戶，也能夠為專業(yè)的安全管理人員提供全面而直接的配置方法。目前，漢柏具有業(yè)界領(lǐng)先的基礎(chǔ)網(wǎng)絡(luò)、安全網(wǎng)絡(luò)、應(yīng)用網(wǎng)絡(luò)及云計算等多條產(chǎn)品線及解決方案，業(yè)務(wù)涵蓋眾多領(lǐng)域，包括政府、電信、交通、公安、社保、廣電、教育、金融、智能樓宇、醫(yī)療、酒店等各行業(yè)，并擁有眾多全球成功典范案例客戶。在數(shù)據(jù)存儲不管理層安裝ISA Server，可以將其配置成防火墻，可以開放限制的數(shù)據(jù)訪問端口，達(dá)到安全防護(hù)的功能。而非結(jié)構(gòu)化數(shù)據(jù)的文檔數(shù)據(jù)存儲和管理，可利用WEB方式 的文檔庫，集中地對政府內(nèi)非結(jié)構(gòu)化的數(shù)據(jù)（如公文等）提供整個信息生命周期的管理。當(dāng)出現(xiàn)需要處理的事件時，管理 員使用相應(yīng)的管理工具對系統(tǒng)進(jìn)行管理，從而解決問題，保證系統(tǒng)穩(wěn)定運(yùn)行。這個模式從根本上改變了IT運(yùn)行其核心資源的方式，在效率和企業(yè)響應(yīng)能力方面獲得了突破性的優(yōu)勢。將多個一般較少使用的物理機(jī)整合為虛擬機(jī)，減少物理服務(wù)器數(shù)目的能力，能為客戶帶來巨大的成本優(yōu)勢。為部署以太網(wǎng)光纖通道(FCoE)，在服務(wù)器方需采用Emulex和QLogic等公司的新型融合網(wǎng)絡(luò)適配器，或為Intel的萬兆以太網(wǎng)適配器部署一個新軟件驅(qū)動程序。階段5: 統(tǒng)一計算該解決方案的最終目的是一個完全虛擬化的數(shù)據(jù)中心，由計算、網(wǎng)絡(luò)和存儲資源池組成。國家標(biāo)準(zhǔn)《信息安全技術(shù) 信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求》是根據(jù)中國信息安全等級保護(hù)的實際需要，按照信息安全等級保護(hù)對信息系統(tǒng)安全整改的要求制訂的，對信息系統(tǒng)等級保護(hù)安全整改階段技術(shù)方案的設(shè)計具有指導(dǎo)和參考作用。2）訪問控制功能在安全策略控制范圍內(nèi)，使用戶對其創(chuàng)建的客體具有相應(yīng)的訪問操作權(quán)限，并能將這些權(quán)限的部分或全部授予其他用戶。4）邊界完整性保護(hù)功能第7頁杭州?？低曄到y(tǒng)技術(shù)有限公司行業(yè)基線方案在區(qū)域邊界設(shè)置探測器，可對內(nèi)部網(wǎng)絡(luò)中出現(xiàn)的內(nèi)部用戶未通過準(zhǔn)許私自聯(lián)到外部網(wǎng)絡(luò)，以及外部用戶未經(jīng)許可違規(guī)接入內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查和控制。提供邏輯視圖、物理視圖兩種實時監(jiān)控模式和多種不同的圖形化及文字報警方式。統(tǒng)一用戶管理應(yīng)支持分級管理功能。防火墻可以做到網(wǎng)絡(luò)間的單向訪問需求，過濾一些不安全服務(wù)；防火墻可以針對協(xié)議、端號、時間、流量等條件實現(xiàn)安全的訪問控制。12）網(wǎng)絡(luò)安全審計功能配合網(wǎng)管系統(tǒng)，實現(xiàn)對網(wǎng)絡(luò)異常行為及安全事件的審計。配置后，統(tǒng)計信息可在實時監(jiān)控頁面中實時顯示，也可以通過統(tǒng)計分析進(jìn)行查看。通信網(wǎng)絡(luò)安全采用基于商密算法的網(wǎng)絡(luò)傳輸安全防護(hù)系統(tǒng)（SSL VPN），實現(xiàn)數(shù)據(jù)安全傳輸與安全審計、保障通信兩端的可信接入、保障數(shù)據(jù)傳輸?shù)耐暾院捅Ｃ苄浴?）數(shù)據(jù)安全保護(hù)功能采用常規(guī)校驗機(jī)制，檢驗存儲的用戶數(shù)據(jù)的完整性，以發(fā)現(xiàn)其完整性是否被破壞，可采用密碼等技術(shù)支持的保密性保護(hù)機(jī)制，對在計算環(huán)境安全中存儲和處理的用戶數(shù)據(jù)進(jìn)行保密性保護(hù)。通信網(wǎng)絡(luò)安全主要提供網(wǎng)絡(luò)通信的安全審計、網(wǎng)絡(luò)傳輸?shù)臋C(jī)密性和完整性等安全服務(wù)。一期投資2億元，建成2000平方米的主機(jī)房。然而，從實際角度來說，“統(tǒng)一交換矩陣”也可以是Ip 小型計算機(jī)系統(tǒng)接口(iSCSI)。Cisco Nexus 2000 系列交換矩陣擴(kuò)展器支持其余的與千兆以太網(wǎng)相連的服務(wù)器，并同時在整個網(wǎng)絡(luò)中保持一致的運(yùn)營環(huán)境。它還通過復(fù)制關(guān)鍵數(shù)據(jù)，以便在發(fā)生故障時輕松回退，支持更高水平的業(yè)務(wù)連續(xù)性和恢復(fù)能力。在 上 述 總 體 設(shè) 計 的 框 架 下，數(shù) 據(jù) 中 心 的 運(yùn) 維 管 理 系 統(tǒng) 逡 輯 設(shè) 計 可 以 細(xì) 化 如 下 ：五、系統(tǒng)配置第三篇：（本站推薦）　數(shù)據(jù)中心一直是重要的企業(yè)資產(chǎn)，也是IT用以保護(hù)、優(yōu)化和發(fā)展業(yè)務(wù)的戰(zhàn)略性重點機(jī)構(gòu)，但如果您的數(shù)據(jù)中心出現(xiàn)了服務(wù)器、存儲資源使用率低下，能源和人員成本占數(shù)據(jù)中心總運(yùn)行成本的25%30%，在IT預(yù)算中，70%花費(fèi)都在維護(hù)方面，而不是使企業(yè)更具競爭力，這是當(dāng)前CIO最需要迫切解決的問題。在整個數(shù)據(jù)中心建設(shè)中，系統(tǒng)管理不運(yùn)行維護(hù)也非常重要，除軟件的基礎(chǔ)架構(gòu)支持外，服務(wù)器的安全、穩(wěn)定運(yùn)行也 是數(shù)據(jù)中心安全和穩(wěn)定的基礎(chǔ)。安全管理和服務(wù)器運(yùn)維管理 基亍AD目彔服務(wù)的安全認(rèn)證體系，實現(xiàn)了如下的特性：數(shù)據(jù)安全性、信息化部門間通信的安全性、信息化部門和Internet網(wǎng)的單點安全登彔、以及易用和良好擴(kuò)展性的安全管理。因此 合理使用龐大的政府信息資源，為管理出謀劃策，提供準(zhǔn)確完備的后臺數(shù)據(jù)支持，就成為制定戓略決策過程中備受重視 的焦點。3)IT支撐系統(tǒng)中網(wǎng)管流量，屬于一種數(shù)據(jù)傳輸業(yè)務(wù)，其對延時并不敏感，但是不允許數(shù)據(jù)丟失，將其定義為次高優(yōu)先級。3)Web安全 針對不斷涌現(xiàn)的Web安全，PA5500U40也提供了一定程度的防護(hù)，不僅包括能夠有效的識別或過濾出嵌入在Web頁面中的Java Applet、Java Script、Cookie和ActiveX等信息，還能夠提供關(guān)鍵字過濾和基于超過4000萬域名的Web頁面分類數(shù)據(jù)庫，幫助管理員輕松設(shè)置工作時間禁止訪問的網(wǎng)頁，提高工作效率和控制對不良網(wǎng)站的訪問，杜絕潛在的威脅。l 內(nèi)置交換芯片 PA5500F45/40在業(yè)內(nèi)首次創(chuàng)新的采用了先進(jìn)的防火墻+交換機(jī)的設(shè)計架構(gòu)，采用高性能的千兆交換芯片，提供高達(dá)128Gbps的交換容量，不僅能夠?qū)崿F(xiàn)接口之間的L2/L3線速轉(zhuǎn)發(fā)，還同時能夠提供鏈路匯聚()、靈活的VLAN配置以及端口鏡像等功能，內(nèi)置的硬件ACL還能夠配合防火墻，實現(xiàn)安全層面和轉(zhuǎn)發(fā)層面依據(jù)硬件分離，提供更為全面的高性能安全接入功能。建設(shè)一套覆蓋全面、重點突出、持續(xù)運(yùn)行的信息安全管理體系，該體系覆蓋信息系統(tǒng)安全所要求的安全技術(shù)和安全運(yùn)維等內(nèi)容，符合信息系統(tǒng)的業(yè)務(wù)特性和發(fā)展戰(zhàn)略，可持續(xù)發(fā)展與完善。其它業(yè)務(wù)區(qū)域服務(wù)器網(wǎng)關(guān)均部署在匯聚交換機(jī)上，防火墻透明部署，并增加安全訪問控制策略。漢柏PT6600系列適合為用戶組建高性能、高安全、高可靠的數(shù)據(jù)中心。漢柏科技有限公司 ：4007068366漢柏認(rèn)為數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)目標(biāo)是：在統(tǒng)籌廣電數(shù)據(jù)中心項目業(yè)務(wù)需求和發(fā)展的基礎(chǔ)上，兼顧遠(yuǎn)期發(fā)展目標(biāo)，建設(shè)一個高度可靠、安全、快速、可擴(kuò)展的基礎(chǔ)網(wǎng)絡(luò)平臺，為各項業(yè)務(wù)提供優(yōu)質(zhì)高效的網(wǎng)絡(luò)服務(wù)。根據(jù)對廣電行業(yè)業(yè)務(wù)對數(shù)據(jù)中心的建設(shè)需求，漢柏科技提出了廣電數(shù)據(jù)中心網(wǎng)絡(luò)解決方案，對數(shù)據(jù)中心網(wǎng)絡(luò)的總體架構(gòu)、網(wǎng)絡(luò)功能、可靠性、安全設(shè)計、服務(wù)質(zhì)量設(shè)計進(jìn)行了詳細(xì)的描述，以指導(dǎo)建設(shè)一個高度可靠、安全、快速、可擴(kuò)展的數(shù)據(jù)中心網(wǎng)絡(luò)平臺。核心交換機(jī)建議采用漢柏萬兆模塊化交換機(jī)PT6600系列交換機(jī)，通過萬兆鏈路與匯聚交換機(jī)實現(xiàn)互聯(lián)互通。 路由設(shè)計考慮到交互應(yīng)用系統(tǒng)內(nèi)ClienttoServer網(wǎng)絡(luò)中服務(wù)器對負(fù)載均衡的需求，漢柏建議將ClienttoServer網(wǎng)絡(luò)網(wǎng)關(guān)部署在負(fù)載均衡器上，而ServertoServer網(wǎng)絡(luò)中的服務(wù)器網(wǎng)關(guān)部署在區(qū)域防火墻上，由防火墻實現(xiàn)安全訪問控制。(4)實現(xiàn)集中的安全管理網(wǎng)絡(luò)與信息安全不是單純的技術(shù)問題，需要在采用安全技術(shù)和產(chǎn)品的同時，重視安全管理，不斷完善各類安全管理規(guī)章制度和操作規(guī)程，全面提高安全管理水平。借助出色的硬件平臺研發(fā)能力，漢柏科技率先推出了全球第一款在1RU體積上實現(xiàn)萬兆接口的防火墻，