【文章內(nèi)容簡介】 設(shè)備型號為組裝的PC服務(wù)器，操作系統(tǒng)為WINDOWS 2000 Advance Server SP4，服務(wù)器的管理認(rèn)證方式為用戶名/口令方式，沒有做到分權(quán)管理；利用WINDOWS自帶的口令加密方式進(jìn)行保護(hù)；在管理上服務(wù)器采取高強(qiáng)度口令，并且能夠定期自動更新，對于過期賬戶通過人工方式進(jìn)行定期檢查，并及時刪除過期帳號，開啟了日志審計功能，審計重點(diǎn)是用戶登錄日志。遠(yuǎn)程管理時采用SSL VPN＋遠(yuǎn)程桌面的方式進(jìn)行。 外部服務(wù)器包括對外的WEB發(fā)布、郵件應(yīng)用和一些對外的升級服務(wù)器，服務(wù)器均部署在外部服務(wù)器區(qū)域，該類服務(wù)器包括：WEB服務(wù)器實(shí)現(xiàn)公司主頁對外發(fā)布的服務(wù)器，共安裝了兩臺服務(wù)器，設(shè)備型號為IBM @Server Xseries 335，，管理員認(rèn)證手段為用戶名/口令方式，沒有做到分權(quán)管理，口令保護(hù)采取操作系統(tǒng)自帶的加密措施來保障；操作系統(tǒng)口令有強(qiáng)度要求，定期地進(jìn)行維護(hù)；對于過期賬戶定期地進(jìn)行檢查和刪除，遠(yuǎn)程管理采用SSH的方式進(jìn)行；服務(wù)器沒有開啟日志審計功能；郵件服務(wù)器實(shí)現(xiàn)公司郵件的發(fā)送和傳輸，郵件采取了Mirapoint的郵件解決方案，在硬件上也采取了Micrapoint專用郵件服務(wù)器Mirapoint M500，共使用兩臺，其操作系統(tǒng)也是專用的MOS操作系統(tǒng)，該系統(tǒng)的口令采取內(nèi)部加密措施，可以很好的保障管理員帳號的安全性；系統(tǒng)對管理員登錄的認(rèn)證方式為用戶名/口令方式，其口令強(qiáng)度有一定的要求，定期地進(jìn)行維護(hù)；對于過期賬戶定期地進(jìn)行檢查和刪除，遠(yuǎn)程管理采用TELNET的方式進(jìn)行；服務(wù)器沒有開啟日志審計功能。 研發(fā)服務(wù)器承載研發(fā)部門專用的CVS系統(tǒng)和BUGzilla系統(tǒng)的服務(wù)器，服務(wù)器均部署在研發(fā)專用機(jī)房內(nèi)，該類服務(wù)器包括：CVS應(yīng)用服務(wù)器該系統(tǒng)實(shí)現(xiàn)了對研發(fā)源代碼的管理，系統(tǒng)部署在研發(fā)服務(wù)器區(qū)域內(nèi)的7臺服務(wù)器上，服務(wù)器型號分別為IBM @Server Xseries 335及IBM @Server Xseries 305，操作系統(tǒng)為Rad Hat Linux ；系統(tǒng)對管理員的認(rèn)證方式為用戶名/口令方式，其口令強(qiáng)度有嚴(yán)格的要求，口令必須包含字母和數(shù)組以及特殊字符，防止被隨意破解；另外管理員定期檢查服務(wù)器的管理員帳號，對過期賬戶進(jìn)行刪除；服務(wù)器可通過本地局域網(wǎng)進(jìn)行管理，但不允許通過互聯(lián)網(wǎng)進(jìn)行遠(yuǎn)程訪問，管理方式采用SSH的方式，保障加密傳輸；另外沒有開啟日志服務(wù)器功能；服務(wù)器IP地址分別為：、；服務(wù)器沒有啟用IP地址訪問控制，只通過用戶名和口令來認(rèn)證管理員身份；BUGzilla服務(wù)器該系統(tǒng)包含兩個部分，一部分是提供給技術(shù)服務(wù)中心來提交產(chǎn)品的BUG問題；另一部分是測試人員提交測試過程中發(fā)現(xiàn)的BUG，系統(tǒng)部署在研發(fā)服務(wù)器區(qū)域內(nèi)的2臺服務(wù)器上，系統(tǒng)采用B/S結(jié)構(gòu)，服務(wù)器型號為IBM @Server Xseries 305，系統(tǒng)對管理員的認(rèn)證方式為用戶名/口令方式，其口令強(qiáng)度有嚴(yán)格的要求，口令必須包含字母和數(shù)組以及特殊字符，防止被隨意破解；另外管理員定期檢查服務(wù)器的管理員帳號，對過期賬戶進(jìn)行刪除；服務(wù)器可通過本地局域網(wǎng)進(jìn)行管理，管理方式采用SSH的方式，保障加密傳輸；另外沒有開啟日志服務(wù)器功能。；服務(wù)器IP地址分別為：內(nèi)部研發(fā)使用的服務(wù)器IP地址為：；外部提供給技術(shù)服務(wù)中心等部門使用的服務(wù)器IP地址為：；服務(wù)器沒有啟用IP地址訪問控制，只通過用戶名和口令來認(rèn)證管理員身份； 運(yùn)維服務(wù)器目前已啟用的運(yùn)維服務(wù)器包括了三臺已安裝了天融信終端安全管理平臺和安全信息管理平臺的服務(wù)器，其中兩臺為應(yīng)用服務(wù)器，分別安裝了終端安全管理軟件（TopDesk）和安全信息管理軟件（TopAnalyzer），另外一臺為數(shù)據(jù)庫，數(shù)據(jù)庫版本為Orale 9i。服務(wù)器的型號為IBM @Server Xseries 365，操作系統(tǒng)均為Windows 2003 Server，操作系統(tǒng)對管理員的登錄認(rèn)證方式為用戶名/口令方式，沒有做到分權(quán)管理；利用WINDOWS自帶的口令加密方式進(jìn)行保護(hù)；在管理上服務(wù)器采取高強(qiáng)度口令，并且能夠定期自動更新，對于過期賬戶通過人工方式進(jìn)行定期檢查，并及時刪除過期帳號，開啟了日志審計功能，審計重點(diǎn)是用戶登錄日志。遠(yuǎn)程管理時采用SSL VPN＋遠(yuǎn)程桌面的方式進(jìn)行. 數(shù)據(jù)庫服務(wù)器數(shù)據(jù)庫主要用于支撐業(yè)務(wù)應(yīng)用服務(wù)器，包括用友U8系統(tǒng)的數(shù)據(jù)庫、金蝶CRM的數(shù)據(jù)庫、金蝶K3系統(tǒng)的數(shù)據(jù)庫以及ORACLE EBS系統(tǒng)的數(shù)據(jù)庫，其中用友U8系統(tǒng)以及金蝶K3系統(tǒng)的數(shù)據(jù)庫與應(yīng)用系統(tǒng)均安裝在同一臺服務(wù)器上，其他的則單獨(dú)安裝，該類服務(wù)器包括：用友U8后臺數(shù)據(jù)庫用友U8財務(wù)系統(tǒng)的應(yīng)用和數(shù)據(jù)庫都安裝在一臺服務(wù)器上，設(shè)備型號為IBM Xseries 345，操作系統(tǒng)為WINDOWS 2000 Advance Server SP4，數(shù)據(jù)庫版本為SQL SERVER 2000 SP3，數(shù)據(jù)庫口令與操作系統(tǒng)的口令分離，分別使用不同的帳號與口令；數(shù)據(jù)庫口令沒有嚴(yán)格的強(qiáng)度要求，數(shù)據(jù)庫口令不定期進(jìn)行更換，以保障口令的安全性；并且數(shù)據(jù)庫管理員經(jīng)常查看數(shù)據(jù)庫帳號，對過期賬戶進(jìn)行及時刪除；數(shù)據(jù)庫配置了日志審計功能，審計內(nèi)容僅包含登錄信息審計，對操作沒有審計措施；金蝶K3后臺數(shù)據(jù)庫系統(tǒng)與數(shù)據(jù)庫服務(wù)器均安裝在同一臺設(shè)備上，設(shè)備型號為IBM Xseries 345，操作系統(tǒng)為WINDOWS 2000 Advance Server SP4，數(shù)據(jù)庫版本為SQL SERVER 2000 SP3，數(shù)據(jù)庫口令與操作系統(tǒng)的口令分離，分別使用不同的帳號與口令；數(shù)據(jù)庫口令沒有嚴(yán)格的強(qiáng)度要求，數(shù)據(jù)庫口令不定期進(jìn)行更換，以保障口令的安全性；并且數(shù)據(jù)庫管理員經(jīng)常查看數(shù)據(jù)庫帳號，對過期賬戶進(jìn)行及時刪除；數(shù)據(jù)庫配置了日志審計功能，審計內(nèi)容僅包含登錄信息審計，對操作沒有審計措施；金蝶CRM后臺數(shù)據(jù)庫數(shù)據(jù)庫與應(yīng)用服務(wù)器分離，安裝數(shù)據(jù)庫的設(shè)備型號為IBM Xseries 345，操作系統(tǒng)為WINDOWS 2000 Advance Server SP4，數(shù)據(jù)庫版本為SQL SERVER 2000 SP3，數(shù)據(jù)庫口令與操作系統(tǒng)的口令分離，分別使用不同的帳號與口令；數(shù)據(jù)庫口令沒有嚴(yán)格的強(qiáng)度要求，數(shù)據(jù)庫口令不定期進(jìn)行更換，以保障口令的安全性；并且數(shù)據(jù)庫管理員經(jīng)常查看數(shù)據(jù)庫帳號，對過期賬戶進(jìn)行及時刪除；數(shù)據(jù)庫配置了日志審計功能，審計內(nèi)容僅包含登錄信息審計，對操作沒有審計措施；；ORACLE EBS后臺數(shù)據(jù)庫數(shù)據(jù)庫與應(yīng)用服務(wù)器分離，安裝數(shù)據(jù)庫的設(shè)備型號為IBM 9133 Model 55A，操作系統(tǒng)為AIX ，數(shù)據(jù)庫版本為Oracle 9i，服務(wù)器管理員認(rèn)證方式為用戶名/口令認(rèn)證，操作系統(tǒng)口令有明確的強(qiáng)度要求，并且系統(tǒng)管理員經(jīng)常定期更換操作系統(tǒng)口令；操作系統(tǒng)口令與數(shù)據(jù)庫口令分離，數(shù)據(jù)庫口令也有嚴(yán)格的強(qiáng)度要求，并且定期進(jìn)行更換；系統(tǒng)管理員還不定期地檢查數(shù)據(jù)庫過期賬戶，并及時刪除過期賬戶；服務(wù)器可以通過互聯(lián)網(wǎng)進(jìn)行遠(yuǎn)程管理，管理方式為SSL VPN遠(yuǎn)程管理 + TELNET；數(shù)據(jù)庫配置了日志審計功能，審計內(nèi)容僅包含登錄信息審計，對操作沒有審計措施；。安全管理及終端安全管理數(shù)據(jù)庫數(shù)據(jù)庫與應(yīng)用服務(wù)器分離，安裝數(shù)據(jù)庫的設(shè)備型號為IBM @Server Xseries 365，操作系統(tǒng)為Windows 2003 Server，數(shù)據(jù)庫版本為Oracle 9i，服務(wù)器管理員認(rèn)證方式為用戶名/口令認(rèn)證，操作系統(tǒng)口令有明確的強(qiáng)度要求，并且系統(tǒng)管理員經(jīng)常定期更換操作系統(tǒng)口令；操作系統(tǒng)口令與數(shù)據(jù)庫口令分離，數(shù)據(jù)庫口令也有嚴(yán)格的強(qiáng)度要求，并且定期進(jìn)行更換；系統(tǒng)管理員還不定期地檢查數(shù)據(jù)庫過期賬戶，并及時刪除過期賬戶；服務(wù)器可以通過互聯(lián)網(wǎng)進(jìn)行遠(yuǎn)程管理，管理方式為SSL VPN遠(yuǎn)程管理 + TELNET；數(shù)據(jù)庫配置了日志審計功能，審計內(nèi)容僅包含登錄信息審計，對操作沒有審計措施；。 安全設(shè)備情況目前在天融信信息網(wǎng)絡(luò)中廣泛使用的安全設(shè)備有三大類，一是面向網(wǎng)絡(luò)安全類的防火墻、VPN類安全設(shè)備；二是面向終端的終端安全管理系統(tǒng)以及防病毒軟件類，三是面向全網(wǎng)進(jìn)行安全運(yùn)維的安全管理平臺，各安全設(shè)備的配置情況為： 防火墻系統(tǒng)防火墻是天融信信息網(wǎng)絡(luò)中使用最為廣泛的安全設(shè)備，防火墻系統(tǒng)分別被用在分支機(jī)構(gòu)局域網(wǎng)邊界、總部的辦公終端邊界、業(yè)務(wù)服務(wù)器邊界、研發(fā)終端邊界、研發(fā)服務(wù)器邊界以及外部服務(wù)器邊界，防火墻的引入將天融信信息網(wǎng)絡(luò)隔離為多個安全區(qū)域，實(shí)際上起到了轉(zhuǎn)發(fā)層和核心交換層的作用，取代了轉(zhuǎn)發(fā)層常用的路由器和核心交換層常用的三層交換機(jī)；并且在安全區(qū)域之間執(zhí)行嚴(yán)格的訪問控制策略，有效保護(hù)了重要的信息系統(tǒng)資源。分支機(jī)構(gòu)防火墻在各個分支機(jī)構(gòu)局域網(wǎng)的互聯(lián)網(wǎng)出口處部署天融信防火墻，對分支機(jī)構(gòu)的局域網(wǎng)進(jìn)行有效防護(hù)，其訪問控制規(guī)則為：n 允許分支機(jī)構(gòu)人員通過防火墻訪問互聯(lián)網(wǎng)，進(jìn)行主頁訪問、MSN、等操作，不允許分支機(jī)構(gòu)人員通過P2P軟件訪問互聯(lián)網(wǎng)，不允許分支機(jī)構(gòu)人員在上班時間玩網(wǎng)絡(luò)游戲；n 允許分支機(jī)構(gòu)人員通過防火墻訪問公司的外部服務(wù)器群，包括訪問公司主頁，訪問公司郵件系統(tǒng)；n 允許分支機(jī)構(gòu)的商務(wù)人員通過防火墻訪問總部的EBS、K3系統(tǒng)，進(jìn)行相關(guān)業(yè)務(wù)操作（通過應(yīng)用系統(tǒng)的用戶認(rèn)證來鑒別訪問者是許可的商務(wù)人員）；n 允許分支機(jī)構(gòu)的銷售人員通過防火墻訪問總部的CRM系統(tǒng)，提交項(xiàng)目及客戶相關(guān)信息（通過應(yīng)用系統(tǒng)的用戶認(rèn)證來鑒別訪問者是許可的銷售人員）；n 其他任何類型的訪問均被禁止；防火墻在管理上采取證書＋口令的雙因素認(rèn)證方式，防火墻的策略統(tǒng)一由總部進(jìn)行維護(hù)，以保證防火墻的統(tǒng)一性；防火墻尚未有統(tǒng)一的日志管理措施?？偛亢诵姆阑饓Σ渴鹪谔烊谛趴偛烤钟蚓W(wǎng)的核心，相當(dāng)于作為核心交換機(jī)使用，采用天融信獵豹系列防火墻，使用設(shè)備的五個端口分別連接到辦公終端區(qū)域、研發(fā)終端（服務(wù)器）區(qū)域、業(yè)務(wù)服務(wù)器區(qū)域、網(wǎng)絡(luò)運(yùn)維區(qū)域以及網(wǎng)通互聯(lián)網(wǎng)出口；其訪問控制規(guī)則包括：n 允許辦公終端通過該防火墻訪問互聯(lián)網(wǎng)，許可的訪問行為包括主頁訪問、MSN、郵件、等，上班時間不允許進(jìn)行網(wǎng)游；不允許進(jìn)行P2P下載；n 不允許研發(fā)終端訪問互聯(lián)網(wǎng)；n 允許辦公終端通過該防火墻訪問外部服務(wù)器區(qū)域；n 允許指定的辦公終端訪問EBS、K3系統(tǒng)，進(jìn)行相關(guān)業(yè)務(wù)操作（防火墻對訪問來源不做任何限制，通過應(yīng)用系統(tǒng)的用戶認(rèn)證來鑒別訪問者是許可的商務(wù)、銷售和財務(wù)等人員）；n 允許指定的辦公終端訪問CRM系統(tǒng)，進(jìn)行相關(guān)業(yè)務(wù)操作（防火墻通過應(yīng)用系統(tǒng)的用戶認(rèn)證來鑒別訪問者是許可的銷售等人員）；n 允許指定的辦公終端訪問財務(wù)系統(tǒng)，進(jìn)行相關(guān)業(yè)務(wù)操作（通過應(yīng)用系統(tǒng)的用戶認(rèn)證來鑒別訪問者是許可的銷售等人員）；n 允許運(yùn)行維護(hù)中心的管理平臺及管理終端訪問其他任何區(qū)域；n 只允許辦公終端以及研發(fā)終端的AGENT訪問運(yùn)行維護(hù)中心的管理服務(wù)器；n 不允許研發(fā)終端訪問業(yè)務(wù)服務(wù)器區(qū)域；n 研發(fā)終端只能訪問外部服務(wù)器區(qū)域。防火墻在管理上采取證書＋口令的雙因素認(rèn)證方式，防火墻的策略有運(yùn)行維護(hù)中心的安全維護(hù)終端進(jìn)行配置，不允許通過互聯(lián)網(wǎng)遠(yuǎn)程配置防火墻；防火墻尚未有開啟日志審計功能，公司也沒有配置全網(wǎng)的日志審計系統(tǒng)。網(wǎng)通出口防火墻部署在天融信總部局域網(wǎng)的網(wǎng)通鏈路出口，使用天融信百兆防火墻，使用設(shè)備的三個端口分別連接互聯(lián)網(wǎng)、總部核心防火墻以及外部服務(wù)器區(qū)域，重點(diǎn)是實(shí)現(xiàn)對外部服務(wù)器的保護(hù)，同時配合核心防火墻，執(zhí)行更細(xì)的訪問控制規(guī)則，包括：n 允許辦公終端通過該防火墻訪問互聯(lián)網(wǎng)，許可的訪問行為包括主頁訪問、MSN、郵件、等，上班時間不允許進(jìn)行網(wǎng)游；不允許進(jìn)行P2P下載；n 不允許研發(fā)終端訪問互聯(lián)網(wǎng)；n 允許辦公終端、研發(fā)終端通過該防火墻訪問外部服務(wù)器區(qū)域；n 允許分支機(jī)構(gòu)（北方同樣使用網(wǎng)通鏈路的分支機(jī)構(gòu)）通過該防火墻訪問外部服務(wù)器區(qū)域；n 允許分支機(jī)構(gòu)（北方同樣使用網(wǎng)通鏈路的分支機(jī)構(gòu)）通過該防火墻訪問業(yè)務(wù)服務(wù)器區(qū)域；n 允許互聯(lián)網(wǎng)用戶通過該防火墻訪問外部服務(wù)器區(qū)域；n 不允許互聯(lián)網(wǎng)用戶通過該防火墻訪問總部局域網(wǎng)的任何資源。出口防火墻還執(zhí)行了反向地址轉(zhuǎn)換策略，將外部服務(wù)器的地址轉(zhuǎn)換為網(wǎng)通的互聯(lián)網(wǎng)地址，以便使互聯(lián)網(wǎng)的網(wǎng)通用戶可以訪問；防火墻在管理上采取證書＋口令的雙因素認(rèn)證方式，防火墻的策略有運(yùn)行維護(hù)中心的安全維護(hù)終端進(jìn)行配置，不允許通過互聯(lián)網(wǎng)遠(yuǎn)程配置防火墻；防火墻尚未有開啟日志審計功能，公司也沒有配置全網(wǎng)的日志審計系統(tǒng)。電信出口防火墻在作用和部署上類似與網(wǎng)通出口防火墻，主要是部署在天融信信息網(wǎng)絡(luò)的電信出口處，使用天融信百兆防火墻，使用設(shè)備的兩個端口分別連接互聯(lián)網(wǎng)、總部核心防火墻，針對南方使用電信鏈路的分支機(jī)構(gòu)，可通過該防火墻訪問總部信息網(wǎng)絡(luò)，其執(zhí)行的訪問規(guī)則包括：n 允許分支機(jī)構(gòu)（北方同樣使用電信鏈路的分支機(jī)構(gòu)）通過該防火墻訪問外部服務(wù)器區(qū)域；n 允許分支機(jī)構(gòu)（北方同樣使用電信鏈路的分支機(jī)構(gòu)）通過該防火墻訪問業(yè)務(wù)服務(wù)器區(qū)域；n 允許使用電信寬帶訪問互聯(lián)網(wǎng)用戶通過該防火墻訪問外部服務(wù)器區(qū)域。n 其他的任何訪問均被禁止。該防火墻還針對外部服務(wù)器區(qū)域，執(zhí)行反向地址轉(zhuǎn)換策略，將公司主頁服務(wù)器、郵件服務(wù)器以及升級服務(wù)器的地址轉(zhuǎn)換為電信的互聯(lián)網(wǎng)地址，以提供給電信用戶以及使用電信寬帶的分支機(jī)構(gòu)來訪問外部服務(wù)器區(qū)域；防火墻在管理上采取證書＋口令的雙因素認(rèn)證方式，防火墻的策略有運(yùn)行維護(hù)中心的安全維護(hù)終端進(jìn)行配置，不允許通過互聯(lián)網(wǎng)遠(yuǎn)程配置防火墻；防火墻尚未有開啟日志審計功能，公司也沒有配置全網(wǎng)的日志審計系統(tǒng)。三樓防火墻在三樓機(jī)房內(nèi)部署的防火墻，在核心防火墻的基礎(chǔ)上，針對三樓技術(shù)服務(wù)器中心、生產(chǎn)部執(zhí)行更細(xì)的訪問控制規(guī)則，包括：n 允許三樓的辦公終端訪問互聯(lián)網(wǎng)；n 不允許生產(chǎn)車間的終端訪問互聯(lián)網(wǎng)；n 不允許生產(chǎn)車間的終端訪問業(yè)務(wù)服務(wù)器區(qū)域；n 只允許生產(chǎn)車間的終端訪問EBS以及K3系統(tǒng)；n 允許三樓的辦公終端訪問業(yè)務(wù)服務(wù)器區(qū)域的辦公自動化系統(tǒng)；n 允許三樓的辦公終端訪問訪問外部服務(wù)器區(qū)域；n 允許商務(wù)部訪問KCRM以及EBS系統(tǒng)；n 允許技術(shù)服務(wù)中心訪問研發(fā)的BUGzilla外部服務(wù)器；n 允許運(yùn)維中心的終端安全管理平臺訪問三樓的辦公終端區(qū)域；n 不允許其他任何訪問；防火墻在管理上采取證書＋口令的雙因素認(rèn)證方式，防火墻的策略有