【文章內容簡介】 性能路由交換機或者路由器，實現(xiàn)端口線速ACL；在需要對外提供服務的重要的網段，配置入侵檢測傳感器，給單個或多個用戶提供入侵檢測服務。 數(shù)據(jù)災備系統(tǒng)設計 設計原則為XX市電子政務外網數(shù)據(jù)中心提供災備方案時，主要考慮以下三方面因素：災難承受程度：要明確用戶計算機系統(tǒng)需要承受的災難類型、系統(tǒng)故障、 通信故障、長時間斷電甚至火災、地震等各種意外情況所采取的保護方案不盡相同；業(yè)務影響程度：讓用戶必須明確當計算機系統(tǒng)發(fā)生意外無法工作時，導致業(yè)務停頓所造成的損失程度，也就是定義用戶對于IT環(huán)境發(fā)生故障的最大容忍時間。這是我們設計災難恢復方案的重要技術指標；數(shù)據(jù)保護程度：是否要求數(shù)據(jù)庫可以恢復所有提交的交易并且要求實時 同步數(shù)據(jù)也就是數(shù)據(jù)的連續(xù)性和一致性，決定了災難恢復方案規(guī)模和復雜程度的重要依據(jù)。提供的災難恢復方案可以滿足XX市電子政務外網數(shù)據(jù)中心對于計算機系統(tǒng)、數(shù)據(jù)的嚴格保護要求，保證即使發(fā)生斷電，火災等嚴重災難時，政務外網業(yè)務的相關關鍵數(shù)據(jù)不會丟失和缺損，確保業(yè)務數(shù)據(jù)在主中心和備份中心同步更新，保證數(shù)據(jù)最大的完整性。 災備技術比較通常說來，災難恢復方案建議用戶建立兩個數(shù)據(jù)中心，XX主數(shù)據(jù)中心和南寧備份數(shù)據(jù)中心。正常情況下，應用運行在主數(shù)據(jù)中心的計算機系統(tǒng)上，數(shù)據(jù)也存放在主中心的存儲系統(tǒng)中。當主數(shù)據(jù)中心由于斷電，火災甚至地震等災難無法工作時，則立即采取一系列相關措施，將網絡、電話線路切換至備份中心，并且利用備份中心計算機系統(tǒng)重新啟動應用系統(tǒng)。而這里最關鍵的問題就是切換過程時間最短，同時盡可能保持主數(shù)據(jù)中心和備份中心數(shù)據(jù)的連續(xù)性和完整性。而由于社保數(shù)據(jù)的重要性，如何解決主、備中心數(shù)據(jù)庫數(shù)據(jù)備份，恢復則是災難恢復方案的重點。 傳統(tǒng)的磁帶備份方式一般采取定點備份，而當系統(tǒng)崩潰時。距最近一次備份時間之間的數(shù)據(jù)將全部丟失，無法恢復。而且磁帶備份和恢復時間比較長，由于速度慢，缺乏實時性，無法滿足用戶大數(shù)據(jù)量數(shù)據(jù)恢及數(shù)據(jù)庫連續(xù)性、實時性的要求。現(xiàn)在流行的災難恢復方案主要是采用硬盤備份的方式。它的主要原理是在備份中心建立一套硬盤存儲系統(tǒng)，通過通信線路，實時地將主中心更新數(shù)據(jù)拷貝至備份中心存儲系統(tǒng)中，保證主、備中心數(shù)據(jù)的實時一致性。當主中心無法工作時，備份中心可以立即接管業(yè)務，并且確保數(shù)據(jù)的最大完整性。其主要實施方法有以下三種：利用數(shù)據(jù)庫廠家的軟件產品完成遠程備份：現(xiàn)有的一些數(shù)據(jù)庫廠家例如 Oracle數(shù)據(jù)庫可以提供STANDBY數(shù)據(jù)庫功能，通過通信網絡將實際數(shù)據(jù)庫日志文件傳至備份中心存儲系統(tǒng)，備份中心的STANDBY數(shù)據(jù)庫按照主數(shù)據(jù)庫結構從日志文件中重新恢復數(shù)據(jù)庫。這種方法投資成本小，數(shù)據(jù)恢復相對磁帶較快，缺點就是占用主機資源，日志文件建立過程中發(fā)生災難時，整個日志文件數(shù)據(jù)將丟失；利用主機進行遠程數(shù)據(jù)鏡像：主中心存儲設備與備份中心存儲設備進行 鏡像，主機同時將數(shù)據(jù)分別寫到本地和遠程磁盤上。主機上安裝災備軟件，如AIX上的HAGEO、SUN上的VERITAS（VERITAS Volume Replicator）等。這種方法優(yōu)點就是可以保證數(shù)據(jù)的實時一致性，但是存儲鏡像通過主機完成，這將極大地影響主機性能，當由于通信故障，一個鏡像操作無法完成時，主機將無法進行下一個寫操作；基于智能存儲系統(tǒng)的遠程數(shù)據(jù)復制：磁盤陣列將磁盤鏡象功能的處理 負荷從主機轉移到智能磁盤控制器—智能存儲系統(tǒng)上。如IBM的PPRC、EMC的SRDF等，基于智能存儲的數(shù)據(jù)復制由智能存儲系統(tǒng)自身功能實現(xiàn)數(shù)據(jù)的遠程復制和同步，即智能存儲系統(tǒng)本身來完成數(shù)據(jù)的復制功能，同主機無關，不占用主機的CPU，連接可以采用裸光纖、ATM、E1/ET1/TTCP/IP等。由于這種方式下數(shù)據(jù)復制軟件運行在存貯系統(tǒng)內，因此較容易實現(xiàn)主中心和容災備份中心的操作系統(tǒng)、數(shù)據(jù)庫、系統(tǒng)庫和目錄的實時拷貝維護能力，且一般不會影響主中心主機系統(tǒng)的性能。而且上層可以是不同主機平臺。如果在系統(tǒng)恢復場所具備了實時數(shù)據(jù)，那么就可能做到在災難發(fā)生的同時及時開始應用處理過程的恢復。三種實施方法的比較：第一種方案的最大缺點就是災難發(fā)生時，系統(tǒng)數(shù)據(jù)備份可能不完全，丟失數(shù)據(jù)量較大，而且對系統(tǒng)正常工作時的系統(tǒng)性能影響較大。第二種案由于遠程備份要占用主機的CPUI/O等資源，同時根據(jù)備份方式的不同，可能對主機的性能有一定的影響，但它能夠保證數(shù)據(jù)備份的完整性。第三種方案能夠完全確保數(shù)據(jù)的一致性，同時對主機系統(tǒng)的性能影響較小，對主機平臺的要求也低，但缺點是系統(tǒng)投資較大。 災備解決方案數(shù)據(jù)中心系統(tǒng)的主要數(shù)據(jù)存儲包括兩大部分：應用系統(tǒng)數(shù)據(jù)以及統(tǒng)計分析系統(tǒng)數(shù)據(jù)。兩個業(yè)務特性的不同決定了我們需要考慮實施不同的數(shù)據(jù)備份策略。下表是我們針對其備份系統(tǒng)需要考慮的業(yè)務特性所進行的比較。根據(jù)上表，我們知道，業(yè)務生產系統(tǒng)的數(shù)據(jù)備份工作以嚴密、最大限度保護數(shù)據(jù)、快速恢復為宗旨。而統(tǒng)計分析系統(tǒng)的數(shù)據(jù)備份工作以高效、簡便，對數(shù)據(jù)起比較好保護作用為宗旨。數(shù)據(jù)中心系統(tǒng)數(shù)據(jù)量很大，統(tǒng)的LANBase以及ServerBase的備份方式難以滿足XX市電子政務外網數(shù)據(jù)中心的需求，我們建議采用基于IP SAN架構的企業(yè)備份解決方案。 網絡設備安全實現(xiàn)整個xx省電子政務數(shù)據(jù)網絡系統(tǒng)是由許多路由交換設備組成的，網絡設備的安全是是許多安全措施能夠順利實施的基礎。如果網絡設備的配置能夠被隨意看到，其所配置的路由識別ID、密碼等都失去意義；VLAN的配置如能被隨意改動，則VLAN將形同虛設。保護網絡設備應注意兩個方面：設備的配置需要保護，防止非授權訪問；設備的資源必須有效保護，防止像DOS這樣的資源掠奪式攻擊。 網絡設備分級登錄驗證防范對網絡設備的非法訪問，需要保護關鍵的配置信息（如密碼、ID等），管理員必須經過嚴格身份鑒別和授權。在本次xx省電子政務網絡工程數(shù)據(jù)系統(tǒng)建設項目中，我們推薦的Cisco所有設備本身都有相應的安全措施。針對于單一管理員權限無限大的問題，我們可以根據(jù)具體管理員的職能分工進行權限分配。在Cisco 的路由交換設備上，可以將管理員的權限劃分為15級權限檔次，針對每個權限可以定制相應的命令集，為實現(xiàn)各種管理目的而設立的不同職能管理員之間可互不侵擾的完成各自工作。例如，普通操作員只能監(jiān)視設備運行，不可進行其他操作；高級的管理員可做故障診斷，不可修改設備配置文件；系統(tǒng)管理員可具有所有功能權限等。同樣，對于SNMP服務也可以通過設置不同級別的Community，讓不同級別的網管系統(tǒng)獲得不同的操作權限。 限制登錄會話數(shù)Cisco網絡設備必須通過嚴格的認證程序才能夠進行登錄，這種認證既包括對遠程登錄，也包括本地的Console登錄。Cisco網絡設備可以設定對本身的登錄會話數(shù)，這種限制包括兩個層次：(1)并發(fā)遠程登錄會話總數(shù)的限制；(2)一個用戶同時登錄數(shù)的限制；建議對每個管理員都分配一個UserID。有兩種方法登記UserID。一種是在路由器上配置username/password。另一種方法是用AAA來保護路由器，由一中心AAA(TACACS+/Radius)服務器維護Username/Password。第二種方法更具擴展性和安全性。另外使用Token服務器提供一次性口令的更換，與AAA服務器相結合便可向網絡管理員提供對設備的一次性口令登錄。我們推薦在網絡中心配置Cisco Secure ACS服務器，為管理員登錄到Cisco設備提供統(tǒng)一的身份認證中心。Cisco Secure ACS服務器支持RADIUS，TACACS+等標準的認證協(xié)議，提供網絡設備的用戶AAA服務。Cisco Secure ACS 具有良好的管理界面，管理員可以通過瀏覽器進行用戶管理與配置。管理員登錄網絡設備的過程如下：(1) 用戶執(zhí)行遠程登錄命令(例如：Telnet)，網絡設備判斷當前的并發(fā)連接數(shù)是否已經達到上限。如果數(shù)量沒有超，網絡設備提示輸入用戶姓名、口令。(2) 用戶輸入口令后，網絡設備向AAA服務器查詢該用戶是否有權登錄AAA服務器檢索用戶數(shù)據(jù)庫，如果該用戶允許登錄則向網絡設備返回PERMIT信息和該用戶在該網絡設備上可執(zhí)行的命令同時將用戶登錄的時間、IP作詳細記錄；若不能在用戶數(shù)據(jù)庫中檢索到該用戶的信息則返回DENY信息，并可以根據(jù)設置向網管工作站發(fā)送SNMP的警告消息。(3) 當網絡設備得到AAA的應答后，可以根據(jù)應答的內容作出相應的操作，如果應答為DENY則關閉掉當前的SESSION進程；如果為PERMIT則根據(jù)AAA服務器返回的用戶權限為該用戶開啟SESSION進程，并將用戶所執(zhí)行的操作向AAA服務器進行報告。由于本次項目中并沒有該設備和軟件的采購，如果原先xx省網絡沒有部署，同時考慮到投資，我們可先在路由器上配置username/password，手工進行登錄控制。 防資源掠奪式攻擊 攻擊特點和原理對設備的另一種安全威脅是資源掠奪式攻擊，是指通過持續(xù)調用設備的一些檢測用途的應用和端口號或利用設備對異常包處理的漏洞占用CPU資源或導致內存溢出，影響設備的正常功能，嚴重的甚至導致網絡設備死機，常見的DOS，DDOS和ping攻擊都屬于此種情況。在拒絕服務（DoS）攻擊中，惡意用戶向網絡設備發(fā)送多個請求，使其滿負載，并且所有請求的返回地址都是偽造的。當網絡設備企圖將結果返回給用戶時，它將無法找到這些用戶。在這種情況下，網絡設備只好等待，有時甚至會等待1分鐘才能關閉此次連接。當網絡設備關閉連接之后，攻擊者又發(fā)送新的一批虛假請求，以上過程又重復發(fā)生，直到網絡設備因過載而拒絕提供服務。 分布式拒絕服務（DDOS）把DoS又向前發(fā)展了一步。DoS攻擊需要攻擊者手工操作，而DDOS則將這種攻擊行為自動化。與其他分布式概念類似，分布式拒絕服務可以方便地協(xié)調從多臺計算機上啟動的進程。在這種情況下，就會有一股拒絕服務洪流沖擊網絡，并使其因過載而崩潰。黑客(client)在不同的主機(handler)上安裝大量的DoS服務程序，它們等待來自中央客戶端(client)的命令，中央客戶端隨后通知全體受控服務程序(agent)，并指示它們對一個特定目標發(fā)送盡可能多的網絡訪問請求。該工具將攻擊一個目標的任務分配給所有可能的DoS服務程序，這就是它被叫做分布式DoS的原因。 實際的攻擊并不僅僅是簡單地發(fā)送海量信息，而是采用DDOS的變種工具，這些工具可以利用網絡協(xié)議的缺陷使攻擊力更強大或者使追蹤攻擊者變得更困難。首先，現(xiàn)在的DDOS工具基本上都可以偽裝源地址。它們發(fā)送原始的IP包（raw IP packet），由于Internet協(xié)議本身的缺陷，IP包中包括的源地址是可以偽裝的，這也是追蹤DDOS攻擊者很困難的主要原因。其次，DDOS也可以利用協(xié)議的缺陷，例如，它可以通過SYN打開半開的TCP連接，這是一個很老且早已為人所熟知的協(xié)議缺陷。為了使攻擊力更強，DDOS通常會利用任何一種通過發(fā)送單獨的數(shù)據(jù)包就能探測到的協(xié)議缺陷，并利用這些缺陷進行