【文章內(nèi)容簡(jiǎn)介】 對(duì)有涉及企業(yè)秘密信息的用戶主機(jī)，使用者在應(yīng)用過程中應(yīng)該做到盡量少開放一些不常用的網(wǎng)絡(luò)服務(wù)。對(duì)數(shù)據(jù)庫(kù)服務(wù)器中的數(shù)據(jù)庫(kù)必須做安全備份。通過網(wǎng)絡(luò)備份系統(tǒng)，可以對(duì)數(shù)據(jù)庫(kù)進(jìn)行遠(yuǎn)程備份存儲(chǔ)。 配置防火墻 防火墻是實(shí)現(xiàn)網(wǎng)絡(luò)安全最基本、最經(jīng)濟(jì)、最有效的安全措施之一。防火墻 通過制定嚴(yán)格的安全策略實(shí)現(xiàn)內(nèi)外網(wǎng)絡(luò)或內(nèi)部網(wǎng)絡(luò)不同信任域之間的隔離與訪問控制。并且防火墻可以實(shí)現(xiàn)單向或雙向控制，對(duì)一些高層協(xié)議實(shí)現(xiàn)較細(xì)粒的訪問控制。 華城公司 網(wǎng)絡(luò)中使用的是神州數(shù)碼的 DCFW1800S UTM，里面包含了防火墻和 VPN 等功能。 由于采用防火墻、 VPN 技術(shù)融為一體的安全設(shè)備，并采取網(wǎng)絡(luò)化的統(tǒng)一管理，因此具有以下幾個(gè)方面的優(yōu)點(diǎn)： （ 1） 管理、維護(hù)簡(jiǎn)單、方便 。 （ 2） 安全性高 (可有效降低在安全設(shè)備使用上的配置漏洞 )。 （ 3） 硬件成本和維護(hù)成本低 。 （ 4） 網(wǎng)絡(luò)運(yùn)行的穩(wěn)定性更高 由于是采用一體化設(shè)備，比之傳統(tǒng)解決方案中采用防火墻和加密機(jī)兩個(gè)設(shè)備而言，其穩(wěn)定性更高，故障率更低。 網(wǎng)絡(luò)結(jié)構(gòu) 網(wǎng)絡(luò)拓?fù)鋱D，如圖 所示 圖 公司網(wǎng)絡(luò)結(jié)構(gòu) 由于華城網(wǎng)絡(luò)公司是直接從電信接入 IP 為 ，直接經(jīng)由防火墻分為 DMZ 區(qū)域和普通區(qū)域。防火墻上做 NAT 轉(zhuǎn)換，分別給客戶機(jī)端的地址為 。防火墻接客戶區(qū)端口地址為 。 DMZ 內(nèi) 主 要 有 各 類的 服 務(wù) 器 ， 地址 分配為 。防火墻 DMZ 區(qū)的接口地址為 。內(nèi)網(wǎng)主要由 3 層交換機(jī)作為核心交換機(jī)，下面有兩臺(tái) 2 層交換機(jī)做接入。 第三章 系統(tǒng)安全架構(gòu) 系統(tǒng)設(shè)計(jì) 安全系統(tǒng)設(shè)計(jì)是在信息系統(tǒng)安全策略的基礎(chǔ)上，從安全策略的分析中抽象出安全系統(tǒng)及其服務(wù)。安全系統(tǒng)的設(shè)計(jì)如圖 1 所示。安全系統(tǒng)設(shè)計(jì)的目標(biāo)是設(shè)計(jì)出系統(tǒng)安全防御體系，設(shè)計(jì)和部署體系中各種安全機(jī)制從而形成自動(dòng)的安全防御、監(jiān)察和反應(yīng)體系，忠實(shí)地貫徹系統(tǒng)安全策略。 系統(tǒng)組建 目前市場(chǎng)主流 終端架構(gòu)有獨(dú)立 PC 機(jī)、無盤工作站和虛擬化終端。從節(jié)約成本和簡(jiǎn)化管理工作量角度來看， PC 機(jī)的模式基本不予以考慮。綜合對(duì)比無盤工作站和虛擬化終端無盤工作站要求前端硬件型號(hào)及配置一致，擴(kuò)展性較差。而瘦客戶機(jī)訪問虛擬桌面時(shí)采用的是統(tǒng)一架構(gòu)與協(xié)議，與瘦客戶機(jī)及后端服務(wù)器品牌及型號(hào)均無要求。 無盤工作站與傳統(tǒng) PC 的唯一不同就是將本地的硬盤移除，但用戶數(shù)據(jù)仍會(huì)駐留在工作站的內(nèi)存中，非常容易被竊取。而虛擬桌面的運(yùn)算均駐留在數(shù)據(jù)中心的服務(wù)器上，保證了數(shù)據(jù)及應(yīng)用的安全性。 采用無盤工作站方式對(duì)客戶端及服務(wù)器的資 源要求均很高，當(dāng)無盤工作站數(shù)量達(dá)到一定數(shù)量時(shí)，速度會(huì)變得緩慢，同時(shí)整體系統(tǒng)的穩(wěn)定性不高，由此帶來的維護(hù)成本也較高。 因此綜合如上因素： 我們推薦針對(duì)辦公計(jì)算機(jī)和試驗(yàn)辦公計(jì)算機(jī)均采用虛擬化終端架構(gòu)。 但是針對(duì)試驗(yàn)計(jì)算機(jī)終端需要通過傳統(tǒng)的 口連接試驗(yàn)儀器，而一般虛擬化瘦客戶端機(jī)器都不具備這些接口。因此為試驗(yàn)室使用計(jì)算機(jī)我們還是采用傳統(tǒng)的獨(dú)立 PC 機(jī)終端模式 。 第四章 數(shù)據(jù)安全設(shè)計(jì) 數(shù)據(jù)層的架構(gòu) 該數(shù)據(jù)層架構(gòu)主要是針對(duì)實(shí)驗(yàn)計(jì)算機(jī)上所有機(jī)密數(shù)據(jù)采用何種數(shù)據(jù)存儲(chǔ)而言。首先我們明確要對(duì)實(shí)驗(yàn)計(jì)算機(jī)每日生成的機(jī)密實(shí)驗(yàn) 數(shù)據(jù)需要進(jìn)行集中存儲(chǔ)，而且要實(shí)現(xiàn)自動(dòng)存儲(chǔ)。 一般來說，會(huì)被企業(yè)采用的存儲(chǔ)架構(gòu)，可分為 3 種，以下作簡(jiǎn)單的說明： 一、 DAS：在數(shù)字?jǐn)?shù)據(jù)尚未大量暴增的早期，比較簡(jiǎn)單的存儲(chǔ)架構(gòu)就是采用直接附加存儲(chǔ)（ Direct Attached Storage； DAS）。所有的存儲(chǔ)裝置，包括硬盤、光盤、軟盤、隨身碟等存儲(chǔ)設(shè)備，皆附屬于計(jì)算機(jī)本身，這些由個(gè)人使用的計(jì)算機(jī)延伸出來的裝置，透由計(jì)算機(jī)連接到服務(wù)器上，就形成 1 個(gè)簡(jiǎn)單的存儲(chǔ)架構(gòu)。 現(xiàn)今企業(yè)數(shù)據(jù)的復(fù)雜化，種類也漸趨多元，伴隨著異質(zhì)平臺(tái)互相分享文件的需求，也就需要更為完整的存儲(chǔ) 架構(gòu)，作為理想的解決方案。不過，只要企業(yè)數(shù)據(jù)量增加，就必須另外購(gòu)買存儲(chǔ)設(shè)備與服務(wù)器，因?yàn)檫@些零散的服務(wù)器大大增加管理者的工作份量。 由于 DAS 多是透過 SCSI 硬盤進(jìn)行存儲(chǔ)，在硬盤的 I/O 表現(xiàn)比網(wǎng)絡(luò)慢的情形下， DAS 架構(gòu)效能及存取速度也的確是 1 個(gè)問題，因此透過網(wǎng)絡(luò)進(jìn)行存儲(chǔ)的方式，成為企業(yè)采取的主要存儲(chǔ)架構(gòu)，而 NAS 和 SAN 又為企業(yè)最常用的 2 種。 二、 NAS：運(yùn)用以太網(wǎng)絡(luò)所建構(gòu)的局域網(wǎng)絡(luò)，來串連公司內(nèi)部的存儲(chǔ)設(shè)備，就是網(wǎng)絡(luò)附加存儲(chǔ)（ Network Attached Storage； NAS）的基本精神。簡(jiǎn)單說來，NAS 就是網(wǎng)絡(luò)硬盤的概念，透過 1 臺(tái) NAS 主機(jī)來管理數(shù)據(jù)，以減少在個(gè)人使用者端，所必須花費(fèi)的存儲(chǔ)設(shè)備購(gòu)買成本。 NAS 已經(jīng)是相當(dāng)成熟且便利的解決方案，對(duì)于進(jìn)行文件式的數(shù)據(jù)存取，也相當(dāng)方便，不過，由于是透過 IP 網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)的存取，走的是開放架構(gòu)，代表流竄于網(wǎng)絡(luò)上的病毒、黑客攻擊，極有可能造成網(wǎng)絡(luò)磁盤驅(qū)動(dòng)器的癱瘓。此外，當(dāng)終端使用者人數(shù)增加，多人同時(shí)存取的時(shí)候，就會(huì)造成服務(wù)器的過度負(fù)擔(dān)，甚至當(dāng)機(jī)，這些狀況往往會(huì)延誤到前端使用者的工作進(jìn)行。 三、 SAN：所謂的存儲(chǔ)局域網(wǎng)絡(luò)（ Storage Area Network； SAN），是 1 種更為專門、精準(zhǔn)的存儲(chǔ)架構(gòu)。透過光纖信道，以及光纖交換機(jī)（ switch）、 HBA 卡、和存儲(chǔ)設(shè)備的串接，自成 1 個(gè)網(wǎng)絡(luò)。和 NAS 不同的是，為了保護(hù)數(shù)據(jù)的完整性，SAN 完全藉由光纖網(wǎng)絡(luò)將網(wǎng)絡(luò)存儲(chǔ)元素串起來，并自成 1 個(gè)系統(tǒng)。不會(huì)受到網(wǎng)絡(luò)頻寬質(zhì)量與服務(wù)器速度的限制。 因此在本次項(xiàng)目中的數(shù)據(jù)存儲(chǔ)架構(gòu)中，我們推薦 IP SAN 存儲(chǔ)架構(gòu)。將一個(gè)大的存儲(chǔ)空間為每個(gè)實(shí)驗(yàn)計(jì)算機(jī)映射為一定空間大小的本地磁盤，讓所有生成的實(shí)驗(yàn)數(shù)據(jù)保存到該空間中。 數(shù)據(jù)安全測(cè)試 數(shù)據(jù)加密保護(hù)通過每臺(tái)實(shí)驗(yàn)計(jì)算機(jī)上安裝加密程序，對(duì) 存儲(chǔ)設(shè)備對(duì)應(yīng)本地的磁盤空間進(jìn)行全盤加密，這樣保存在上面的文件即為密文。只有安裝了加密程序并且被授權(quán)的計(jì)算機(jī)才有權(quán)限以明文方式看到對(duì)應(yīng)的文檔。 數(shù)據(jù)備份異地備份通過一臺(tái)備份服務(wù)器和備份軟件對(duì) IP SAN 存儲(chǔ)設(shè)備中的數(shù)據(jù)每天進(jìn)行數(shù)據(jù)備份。可以采用離線備份如磁帶機(jī)，或者采用另外一臺(tái)磁盤陣列存儲(chǔ)設(shè)備。 第五章 安全設(shè)備選型 設(shè)備選型 服務(wù)器選型 IBM x3400 M2(7837I01)基本資料 產(chǎn)品型號(hào) System x3400 M2(7837I01) 產(chǎn)品類型 塔式 產(chǎn)品結(jié)構(gòu) 5U 處理器 處理器 型號(hào) Intel