【文章內(nèi)容簡(jiǎn)介】 ，但對(duì)一般用戶而言，還是起到一定的安全防護(hù)，即使有刻意破解者，只要口令設(shè)得復(fù)雜些，也得花費(fèi)相當(dāng)長(zhǎng)的時(shí)間。（2）信息存儲(chǔ) 對(duì)有涉及企業(yè)秘密信息的用戶主機(jī)，使用者在應(yīng)用過(guò)程中應(yīng)該做到盡量少開放一些不常用的網(wǎng)絡(luò)服務(wù)。對(duì)數(shù)據(jù)庫(kù)服務(wù)器中的數(shù)據(jù)庫(kù)必須做安全備份。通過(guò)網(wǎng)絡(luò)備份系統(tǒng)，可以對(duì)數(shù)據(jù)庫(kù)進(jìn)行遠(yuǎn)程備份存儲(chǔ)。 配置防火墻 防火墻是實(shí)現(xiàn)網(wǎng)絡(luò)安全最基本、最經(jīng)濟(jì)、最有效的安全措施之一。防火墻通過(guò)制定嚴(yán)格的安全策略實(shí)現(xiàn)內(nèi)外網(wǎng)絡(luò)或內(nèi)部網(wǎng)絡(luò)不同信任域之間的隔離與訪問控制。并且防火墻可以實(shí)現(xiàn)單向或雙向控制，對(duì)一些高層協(xié)議實(shí)現(xiàn)較細(xì)粒的訪問控制。華城公司網(wǎng)絡(luò)中使用的是神州數(shù)碼的DCFW1800S UTM，里面包含了防火墻和VPN等功能?！∮捎诓捎梅阑饓ΑPN技術(shù)融為一體的安全設(shè)備，并采取網(wǎng)絡(luò)化的統(tǒng)一管理，因此具有以下幾個(gè)方面的優(yōu)點(diǎn)：　?。?） 管理、維護(hù)簡(jiǎn)單、方便?！　。?） 安全性高(可有效降低在安全設(shè)備使用上的配置漏洞)?！　。?） 硬件成本和維護(hù)成本低?！　。?） 網(wǎng)絡(luò)運(yùn)行的穩(wěn)定性更高由于是采用一體化設(shè)備，比之傳統(tǒng)解決方案中采用防火墻和加密機(jī)兩個(gè)設(shè)備而言，其穩(wěn)定性更高，故障率更低。 網(wǎng)絡(luò)結(jié)構(gòu) 網(wǎng)絡(luò)拓?fù)鋱D， ，直接經(jīng)由防火墻分為DMZ區(qū)域和普通區(qū)域。防火墻上做NAT轉(zhuǎn)換， 。 。DMZ內(nèi)主要有各類的服務(wù)器， 。 。內(nèi)網(wǎng)主要由3層交換機(jī)作為核心交換機(jī)，下面有兩臺(tái)2層交換機(jī)做接入。第三章 系統(tǒng)安全架構(gòu) 系統(tǒng)設(shè)計(jì) 安全系統(tǒng)設(shè)計(jì)是在信息系統(tǒng)安全策略的基礎(chǔ)上，從安全策略的分析中抽象出安全系統(tǒng)及其服務(wù)。安全系統(tǒng)的設(shè)計(jì)如圖1所示。安全系統(tǒng)設(shè)計(jì)的目標(biāo)是設(shè)計(jì)出系統(tǒng)安全防御體系，設(shè)計(jì)和部署體系中各種安全機(jī)制從而形成自動(dòng)的安全防御、監(jiān)察和反應(yīng)體系，忠實(shí)地貫徹系統(tǒng)安全策略。 系統(tǒng)組建 目前市場(chǎng)主流終端架構(gòu)有獨(dú)立PC機(jī)、無(wú)盤工作站和虛擬化終端。從節(jié)約成本和簡(jiǎn)化管理工作量角度來(lái)看，PC機(jī)的模式基本不予以考慮。綜合對(duì)比無(wú)盤工作站和虛擬化終端無(wú)盤工作站要求前端硬件型號(hào)及配置一致，擴(kuò)展性較差。而瘦客戶機(jī)訪問虛擬桌面時(shí)采用的是統(tǒng)一架構(gòu)與協(xié)議，與瘦客戶機(jī)及后端服務(wù)器品牌及型號(hào)均無(wú)要求。 無(wú)盤工作站與傳統(tǒng)PC 的唯一不同就是將本地的硬盤移除，但用戶數(shù)據(jù)仍會(huì)駐留在工作站的內(nèi)存中，非常容易被竊取。而虛擬桌面的運(yùn)算均駐留在數(shù)據(jù)中心的服務(wù)器上，保證了數(shù)據(jù)及應(yīng)用的安全性。采用無(wú)盤工作站方式對(duì)客戶端及服務(wù)器的資源要求均很高，當(dāng)無(wú)盤工作站數(shù)量達(dá)到一定數(shù)量時(shí)，速度會(huì)變得緩慢，同時(shí)整體系統(tǒng)的穩(wěn)定性不高，由此帶來(lái)的維護(hù)成本也較高。因此綜合如上因素：我們推薦針對(duì)辦公計(jì)算機(jī)和試驗(yàn)辦公計(jì)算機(jī)均采用虛擬化終端架構(gòu)。但是針對(duì)試驗(yàn)計(jì)算機(jī)終端需要通過(guò)傳統(tǒng)的口連接試驗(yàn)儀器，而一般虛擬化瘦客戶端機(jī)器都不具備這些接口。因此為試驗(yàn)室使用計(jì)算機(jī)我們還是采用傳統(tǒng)的獨(dú)立PC機(jī)終端模式。第四章 數(shù)據(jù)安全設(shè)計(jì) 數(shù)據(jù)層的架構(gòu) 該數(shù)據(jù)層架構(gòu)主要是針對(duì)實(shí)驗(yàn)計(jì)算機(jī)上所有機(jī)密數(shù)據(jù)采用何種數(shù)據(jù)存儲(chǔ)而言。首先我們明確要對(duì)實(shí)驗(yàn)計(jì)算機(jī)每日生成的機(jī)密實(shí)驗(yàn)數(shù)據(jù)需要進(jìn)行集中存儲(chǔ)，而且要實(shí)現(xiàn)自動(dòng)存儲(chǔ)。一般來(lái)說(shuō)，會(huì)被企業(yè)采用的存儲(chǔ)架構(gòu)，可分為3種，以下作簡(jiǎn)單的說(shuō)明：一、DAS：在數(shù)字?jǐn)?shù)據(jù)尚未大量暴增的早期，比較簡(jiǎn)單的存儲(chǔ)架構(gòu)就是采用直接附加存儲(chǔ)（Direct Attached Storage；DAS）。所有的存儲(chǔ)裝置，包括硬盤、光盤、軟盤、隨身碟等存儲(chǔ)設(shè)備，皆附屬于計(jì)算機(jī)本身，這些由個(gè)人使用的計(jì)算機(jī)延伸出來(lái)的裝置，透由計(jì)算機(jī)連接到服務(wù)器上，就形成1個(gè)簡(jiǎn)單的存儲(chǔ)架構(gòu)?，F(xiàn)今企業(yè)數(shù)據(jù)的復(fù)雜化，種類也漸趨多元，伴隨著異質(zhì)平臺(tái)互相分享文件的需求，也就需要更為完整的存儲(chǔ)架構(gòu)，作為理想的解決方案。不過(guò)，只要企業(yè)數(shù)據(jù)量增加，就必須另外購(gòu)買存儲(chǔ)設(shè)備與服務(wù)器，因?yàn)檫@些零散的服務(wù)器大大增加管理者的工作份量。由于DAS多是透過(guò)SCSI硬盤進(jìn)行存儲(chǔ)，在硬盤的I/O表現(xiàn)比網(wǎng)絡(luò)慢的情形下，DAS架構(gòu)效能及存取速度也的確是1個(gè)問題，因此透過(guò)網(wǎng)絡(luò)進(jìn)行存儲(chǔ)的方式，成為企業(yè)采取的主要存儲(chǔ)架構(gòu)，而NAS和SAN又為企業(yè)最常用的2種。二、NAS：運(yùn)用以太網(wǎng)絡(luò)所建構(gòu)的局域網(wǎng)絡(luò)，來(lái)串連公司內(nèi)部的存儲(chǔ)設(shè)備，就是網(wǎng)絡(luò)附加存儲(chǔ)（Network Attached Storage；NAS）的基本精神。簡(jiǎn)單說(shuō)來(lái)，NAS就是網(wǎng)絡(luò)硬盤的概念，透過(guò)1臺(tái)NAS主機(jī)來(lái)管理數(shù)據(jù)，以減少在個(gè)人使用者端，所必須花費(fèi)的存儲(chǔ)設(shè)備購(gòu)買成本。NAS已經(jīng)是相當(dāng)成熟且便利的解決方案，對(duì)于進(jìn)行文件式的數(shù)據(jù)存取，也相當(dāng)方便，不過(guò)，由于是透過(guò)IP網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)的存取，走的是開放架構(gòu)，代表流竄于網(wǎng)絡(luò)上的病毒、黑客攻擊，極有可能造成網(wǎng)絡(luò)磁盤驅(qū)動(dòng)器的癱瘓。此外，當(dāng)終端使用者人數(shù)增加，多人同時(shí)存取的時(shí)候，就會(huì)造成服務(wù)器的過(guò)度負(fù)擔(dān)，甚至當(dāng)機(jī)，這些狀況往往會(huì)延誤到前端使用者的工作進(jìn)行。三、SAN：所謂的存儲(chǔ)局域網(wǎng)絡(luò)（Storage Area Network；SAN），是1種更為專門、精準(zhǔn)的存儲(chǔ)架構(gòu)。透過(guò)光纖信道，以及光纖交換機(jī)（switch）、HBA卡、和存儲(chǔ)設(shè)備的串接，自成1個(gè)網(wǎng)絡(luò)。和NAS不同的是，為了保護(hù)數(shù)據(jù)的完整性，SAN完全藉由光纖網(wǎng)絡(luò)將網(wǎng)絡(luò)存儲(chǔ)元素串起來(lái)，并自成1個(gè)系統(tǒng)。不會(huì)受到網(wǎng)絡(luò)頻寬質(zhì)量與服務(wù)器速度的限制。因此在本次項(xiàng)目中的數(shù)據(jù)存儲(chǔ)架構(gòu)中，我們推薦IP SAN存儲(chǔ)架構(gòu)。將一個(gè)大的存儲(chǔ)空間為每個(gè)實(shí)驗(yàn)計(jì)算機(jī)映射為一定空間大小的本地磁盤，讓所有生成的實(shí)驗(yàn)數(shù)據(jù)保存到該空間中。 數(shù)據(jù)安全測(cè)試 數(shù)據(jù)加密保護(hù)通過(guò)每臺(tái)實(shí)驗(yàn)計(jì)算機(jī)上安裝加密程序，對(duì)存儲(chǔ)設(shè)備對(duì)應(yīng)本地的磁盤空間進(jìn)行全盤加密，這樣保存在上面的文件即為密文。只有安裝了加密程序并且被授權(quán)的計(jì)算機(jī)才有權(quán)限以明文方式看到對(duì)應(yīng)的文檔。 數(shù)據(jù)備份異地備份通過(guò)一臺(tái)備份服務(wù)器和備份軟件對(duì)IP SAN存儲(chǔ)設(shè)備中的數(shù)據(jù)每天進(jìn)行數(shù)據(jù)備份?？梢圆捎秒x線備份如磁帶機(jī)，或者采用另外一臺(tái)磁盤陣列存儲(chǔ)設(shè)備。第五章 安全設(shè)備選型 設(shè)備選型服務(wù)器選型IBM x3400 M2(7837I01)基本資料產(chǎn)品型號(hào)System x3400 M2(7837I01)產(chǎn)品類型塔式產(chǎn)品結(jié)構(gòu)5U處理器處理器型號(hào)Intel Xeon,5504 處理器主頻(MHz)2