【文章內容簡介】 設備型號為組裝的PC服務器，操作系統(tǒng)為WINDOWS 2000 Advance Server SP4，服務器的管理認證方式為用戶名/口令方式，沒有做到分權管理；利用WINDOWS自帶的口令加密方式進行保護；在管理上服務器采取高強度口令，并且能夠定期自動更新，對于過期賬戶通過人工方式進行定期檢查，并及時刪除過期帳號，開啟了日志審計功能，審計重點是用戶登錄日志。遠程管理時采用SSL VPN＋遠程桌面的方式進行。 外部服務器包括對外的WEB發(fā)布、郵件應用和一些對外的升級服務器，服務器均部署在外部服務器區(qū)域，該類服務器包括：WEB服務器實現(xiàn)公司主頁對外發(fā)布的服務器，共安裝了兩臺服務器，設備型號為IBM @Server Xseries 335，，管理員認證手段為用戶名/口令方式，沒有做到分權管理，口令保護采取操作系統(tǒng)自帶的加密措施來保障；操作系統(tǒng)口令有強度要求，定期地進行維護；對于過期賬戶定期地進行檢查和刪除，遠程管理采用SSH的方式進行；服務器沒有開啟日志審計功能；郵件服務器實現(xiàn)公司郵件的發(fā)送和傳輸，郵件采取了Mirapoint的郵件解決方案，在硬件上也采取了Micrapoint專用郵件服務器Mirapoint M500，共使用兩臺，其操作系統(tǒng)也是專用的MOS操作系統(tǒng)，該系統(tǒng)的口令采取內部加密措施，可以很好的保障管理員帳號的安全性；系統(tǒng)對管理員登錄的認證方式為用戶名/口令方式，其口令強度有一定的要求，定期地進行維護；對于過期賬戶定期地進行檢查和刪除，遠程管理采用TELNET的方式進行；服務器沒有開啟日志審計功能。 研發(fā)服務器承載研發(fā)部門專用的CVS系統(tǒng)和BUGzilla系統(tǒng)的服務器，服務器均部署在研發(fā)專用機房內，該類服務器包括：CVS應用服務器該系統(tǒng)實現(xiàn)了對研發(fā)源代碼的管理，系統(tǒng)部署在研發(fā)服務器區(qū)域內的7臺服務器上，服務器型號分別為IBM @Server Xseries 335及IBM @Server Xseries 305，操作系統(tǒng)為Rad Hat Linux ；系統(tǒng)對管理員的認證方式為用戶名/口令方式，其口令強度有嚴格的要求，口令必須包含字母和數(shù)組以及特殊字符，防止被隨意破解；另外管理員定期檢查服務器的管理員帳號，對過期賬戶進行刪除；服務器可通過本地局域網(wǎng)進行管理，但不允許通過互聯(lián)網(wǎng)進行遠程訪問，管理方式采用SSH的方式，保障加密傳輸；另外沒有開啟日志服務器功能；服務器IP地址分別為：、；服務器沒有啟用IP地址訪問控制，只通過用戶名和口令來認證管理員身份；BUGzilla服務器該系統(tǒng)包含兩個部分，一部分是提供給技術服務中心來提交產(chǎn)品的BUG問題；另一部分是測試人員提交測試過程中發(fā)現(xiàn)的BUG，系統(tǒng)部署在研發(fā)服務器區(qū)域內的2臺服務器上，系統(tǒng)采用B/S結構，服務器型號為IBM @Server Xseries 305，系統(tǒng)對管理員的認證方式為用戶名/口令方式，其口令強度有嚴格的要求，口令必須包含字母和數(shù)組以及特殊字符，防止被隨意破解；另外管理員定期檢查服務器的管理員帳號，對過期賬戶進行刪除；服務器可通過本地局域網(wǎng)進行管理，管理方式采用SSH的方式，保障加密傳輸；另外沒有開啟日志服務器功能。；服務器IP地址分別為：內部研發(fā)使用的服務器IP地址為：；外部提供給技術服務中心等部門使用的服務器IP地址為：；服務器沒有啟用IP地址訪問控制，只通過用戶名和口令來認證管理員身份； 運維服務器目前已啟用的運維服務器包括了三臺已安裝了天融信終端安全管理平臺和安全信息管理平臺的服務器，其中兩臺為應用服務器，分別安裝了終端安全管理軟件（TopDesk）和安全信息管理軟件（TopAnalyzer），另外一臺為數(shù)據(jù)庫，數(shù)據(jù)庫版本為Orale 9i。服務器的型號為IBM @Server Xseries 365，操作系統(tǒng)均為Windows 2003 Server，操作系統(tǒng)對管理員的登錄認證方式為用戶名/口令方式，沒有做到分權管理；利用WINDOWS自帶的口令加密方式進行保護；在管理上服務器采取高強度口令，并且能夠定期自動更新，對于過期賬戶通過人工方式進行定期檢查，并及時刪除過期帳號，開啟了日志審計功能，審計重點是用戶登錄日志。遠程管理時采用SSL VPN＋遠程桌面的方式進行. 數(shù)據(jù)庫服務器數(shù)據(jù)庫主要用于支撐業(yè)務應用服務器，包括用友U8系統(tǒng)的數(shù)據(jù)庫、金蝶CRM的數(shù)據(jù)庫、金蝶K3系統(tǒng)的數(shù)據(jù)庫以及ORACLE EBS系統(tǒng)的數(shù)據(jù)庫，其中用友U8系統(tǒng)以及金蝶K3系統(tǒng)的數(shù)據(jù)庫與應用系統(tǒng)均安裝在同一臺服務器上，其他的則單獨安裝，該類服務器包括：用友U8后臺數(shù)據(jù)庫用友U8財務系統(tǒng)的應用和數(shù)據(jù)庫都安裝在一臺服務器上，設備型號為IBM Xseries 345，操作系統(tǒng)為WINDOWS 2000 Advance Server SP4，數(shù)據(jù)庫版本為SQL SERVER 2000 SP3，數(shù)據(jù)庫口令與操作系統(tǒng)的口令分離，分別使用不同的帳號與口令；數(shù)據(jù)庫口令沒有嚴格的強度要求，數(shù)據(jù)庫口令不定期進行更換，以保障口令的安全性；并且數(shù)據(jù)庫管理員經(jīng)常查看數(shù)據(jù)庫帳號，對過期賬戶進行及時刪除；數(shù)據(jù)庫配置了日志審計功能，審計內容僅包含登錄信息審計，對操作沒有審計措施；金蝶K3后臺數(shù)據(jù)庫系統(tǒng)與數(shù)據(jù)庫服務器均安裝在同一臺設備上，設備型號為IBM Xseries 345，操作系統(tǒng)為WINDOWS 2000 Advance Server SP4，數(shù)據(jù)庫版本為SQL SERVER 2000 SP3，數(shù)據(jù)庫口令與操作系統(tǒng)的口令分離，分別使用不同的帳號與口令；數(shù)據(jù)庫口令沒有嚴格的強度要求，數(shù)據(jù)庫口令不定期進行更換，以保障口令的安全性；并且數(shù)據(jù)庫管理員經(jīng)常查看數(shù)據(jù)庫帳號，對過期賬戶進行及時刪除；數(shù)據(jù)庫配置了日志審計功能，審計內容僅包含登錄信息審計，對操作沒有審計措施；金蝶CRM后臺數(shù)據(jù)庫數(shù)據(jù)庫與應用服務器分離，安裝數(shù)據(jù)庫的設備型號為IBM Xseries 345，操作系統(tǒng)為WINDOWS 2000 Advance Server SP4，數(shù)據(jù)庫版本為SQL SERVER 2000 SP3，數(shù)據(jù)庫口令與操作系統(tǒng)的口令分離，分別使用不同的帳號與口令；數(shù)據(jù)庫口令沒有嚴格的強度要求，數(shù)據(jù)庫口令不定期進行更換，以保障口令的安全性；并且數(shù)據(jù)庫管理員經(jīng)常查看數(shù)據(jù)庫帳號，對過期賬戶進行及時刪除；數(shù)據(jù)庫配置了日志審計功能，審計內容僅包含登錄信息審計，對操作沒有審計措施；；ORACLE EBS后臺數(shù)據(jù)庫數(shù)據(jù)庫與應用服務器分離，安裝數(shù)據(jù)庫的設備型號為IBM 9133 Model 55A，操作系統(tǒng)為AIX ，數(shù)據(jù)庫版本為Oracle 9i，服務器管理員認證方式為用戶名/口令認證，操作系統(tǒng)口令有明確的強度要求，并且系統(tǒng)管理員經(jīng)常定期更換操作系統(tǒng)口令；操作系統(tǒng)口令與數(shù)據(jù)庫口令分離，數(shù)據(jù)庫口令也有嚴格的強度要求，并且定期進行更換；系統(tǒng)管理員還不定期地檢查數(shù)據(jù)庫過期賬戶，并及時刪除過期賬戶；服務器可以通過互聯(lián)網(wǎng)進行遠程管理，管理方式為SSL VPN遠程管理 + TELNET；數(shù)據(jù)庫配置了日志審計功能，審計內容僅包含登錄信息審計，對操作沒有審計措施；。安全管理及終端安全管理數(shù)據(jù)庫數(shù)據(jù)庫與應用服務器分離，安裝數(shù)據(jù)庫的設備型號為IBM @Server Xseries 365，操作系統(tǒng)為Windows 2003 Server，數(shù)據(jù)庫版本為Oracle 9i，服務器管理員認證方式為用戶名/口令認證，操作系統(tǒng)口令有明確的強度要求，并且系統(tǒng)管理員經(jīng)常定期更換操作系統(tǒng)口令；操作系統(tǒng)口令與數(shù)據(jù)庫口令分離，數(shù)據(jù)庫口令也有嚴格的強度要求，并且定期進行更換；系統(tǒng)管理員還不定期地檢查數(shù)據(jù)庫過期賬戶，并及時刪除過期賬戶；服務器可以通過互聯(lián)網(wǎng)進行遠程管理，管理方式為SSL VPN遠程管理 + TELNET；數(shù)據(jù)庫配置了日志審計功能，審計內容僅包含登錄信息審計，對操作沒有審計措施；。 安全設備情況目前在天融信信息網(wǎng)絡中廣泛使用的安全設備有三大類，一是面向網(wǎng)絡安全類的防火墻、VPN類安全設備；二是面向終端的終端安全管理系統(tǒng)以及防病毒軟件類，三是面向全網(wǎng)進行安全運維的安全管理平臺，各安全設備的配置情況為： 防火墻系統(tǒng)防火墻是天融信信息網(wǎng)絡中使用最為廣泛的安全設備，防火墻系統(tǒng)分別被用在分支機構局域網(wǎng)邊界、總部的辦公終端邊界、業(yè)務服務器邊界、研發(fā)終端邊界、研發(fā)服務器邊界以及外部服務器邊界，防火墻的引入將天融信信息網(wǎng)絡隔離為多個安全區(qū)域，實際上起到了轉發(fā)層和核心交換層的作用，取代了轉發(fā)層常用的路由器和核心交換層常用的三層交換機；并且在安全區(qū)域之間執(zhí)行嚴格的訪問控制策略，有效保護了重要的信息系統(tǒng)資源。分支機構防火墻在各個分支機構局域網(wǎng)的互聯(lián)網(wǎng)出口處部署天融信防火墻，對分支機構的局域網(wǎng)進行有效防護，其訪問控制規(guī)則為：n 允許分支機構人員通過防火墻訪問互聯(lián)網(wǎng)，進行主頁訪問、MSN、等操作，不允許分支機構人員通過P2P軟件訪問互聯(lián)網(wǎng)，不允許分支機構人員在上班時間玩網(wǎng)絡游戲；n 允許分支機構人員通過防火墻訪問公司的外部服務器群，包括訪問公司主頁，訪問公司郵件系統(tǒng)；n 允許分支機構的商務人員通過防火墻訪問總部的EBS、K3系統(tǒng)，進行相關業(yè)務操作（通過應用系統(tǒng)的用戶認證來鑒別訪問者是許可的商務人員）；n 允許分支機構的銷售人員通過防火墻訪問總部的CRM系統(tǒng)，提交項目及客戶相關信息（通過應用系統(tǒng)的用戶認證來鑒別訪問者是許可的銷售人員）；n 其他任何類型的訪問均被禁止；防火墻在管理上采取證書＋口令的雙因素認證方式，防火墻的策略統(tǒng)一由總部進行維護，以保證防火墻的統(tǒng)一性；防火墻尚未有統(tǒng)一的日志管理措施?？偛亢诵姆阑饓Σ渴鹪谔烊谛趴偛烤钟蚓W(wǎng)的核心，相當于作為核心交換機使用，采用天融信獵豹系列防火墻，使用設備的五個端口分別連接到辦公終端區(qū)域、研發(fā)終端（服務器）區(qū)域、業(yè)務服務器區(qū)域、網(wǎng)絡運維區(qū)域以及網(wǎng)通互聯(lián)網(wǎng)出口；其訪問控制規(guī)則包括：n 允許辦公終端通過該防火墻訪問互聯(lián)網(wǎng)，許可的訪問行為包括主頁訪問、MSN、郵件、等，上班時間不允許進行網(wǎng)游；不允許進行P2P下載；n 不允許研發(fā)終端訪問互聯(lián)網(wǎng)；n 允許辦公終端通過該防火墻訪問外部服務器區(qū)域；n 允許指定的辦公終端訪問EBS、K3系統(tǒng)，進行相關業(yè)務操作（防火墻對訪問來源不做任何限制，通過應用系統(tǒng)的用戶認證來鑒別訪問者是許可的商務、銷售和財務等人員）；n 允許指定的辦公終端訪問CRM系統(tǒng)，進行相關業(yè)務操作（防火墻通過應用系統(tǒng)的用戶認證來鑒別訪問者是許可的銷售等人員）；n 允許指定的辦公終端訪問財務系統(tǒng)，進行相關業(yè)務操作（通過應用系統(tǒng)的用戶認證來鑒別訪問者是許可的銷售等人員）；n 允許運行維護中心的管理平臺及管理終端訪問其他任何區(qū)域；n 只允許辦公終端以及研發(fā)終端的AGENT訪問運行維護中心的管理服務器；n 不允許研發(fā)終端訪問業(yè)務服務器區(qū)域；n 研發(fā)終端只能訪問外部服務器區(qū)域。防火墻在管理上采取證書＋口令的雙因素認證方式，防火墻的策略有運行維護中心的安全維護終端進行配置，不允許通過互聯(lián)網(wǎng)遠程配置防火墻；防火墻尚未有開啟日志審計功能，公司也沒有配置全網(wǎng)的日志審計系統(tǒng)。網(wǎng)通出口防火墻部署在天融信總部局域網(wǎng)的網(wǎng)通鏈路出口，使用天融信百兆防火墻，使用設備的三個端口分別連接互聯(lián)網(wǎng)、總部核心防火墻以及外部服務器區(qū)域，重點是實現(xiàn)對外部服務器的保護，同時配合核心防火墻，執(zhí)行更細的訪問控制規(guī)則，包括：n 允許辦公終端通過該防火墻訪問互聯(lián)網(wǎng)，許可的訪問行為包括主頁訪問、MSN、郵件、等，上班時間不允許進行網(wǎng)游；不允許進行P2P下載；n 不允許研發(fā)終端訪問互聯(lián)網(wǎng)；n 允許辦公終端、研發(fā)終端通過該防火墻訪問外部服務器區(qū)域；n 允許分支機構（北方同樣使用網(wǎng)通鏈路的分支機構）通過該防火墻訪問外部服務器區(qū)域；n 允許分支機構（北方同樣使用網(wǎng)通鏈路的分支機構）通過該防火墻訪問業(yè)務服務器區(qū)域；n 允許互聯(lián)網(wǎng)用戶通過該防火墻訪問外部服務器區(qū)域；n 不允許互聯(lián)網(wǎng)用戶通過該防火墻訪問總部局域網(wǎng)的任何資源。出口防火墻還執(zhí)行了反向地址轉換策略，將外部服務器的地址轉換為網(wǎng)通的互聯(lián)網(wǎng)地址，以便使互聯(lián)網(wǎng)的網(wǎng)通用戶可以訪問；防火墻在管理上采取證書＋口令的雙因素認證方式，防火墻的策略有運行維護中心的安全維護終端進行配置，不允許通過互聯(lián)網(wǎng)遠程配置防火墻；防火墻尚未有開啟日志審計功能，公司也沒有配置全網(wǎng)的日志審計系統(tǒng)。電信出口防火墻在作用和部署上類似與網(wǎng)通出口防火墻，主要是部署在天融信信息網(wǎng)絡的電信出口處，使用天融信百兆防火墻，使用設備的兩個端口分別連接互聯(lián)網(wǎng)、總部核心防火墻，針對南方使用電信鏈路的分支機構，可通過該防火墻訪問總部信息網(wǎng)絡，其執(zhí)行的訪問規(guī)則包括：n 允許分支機構（北方同樣使用電信鏈路的分支機構）通過該防火墻訪問外部服務器區(qū)域；n 允許分支機構（北方同樣使用電信鏈路的分支機構）通過該防火墻訪問業(yè)務服務器區(qū)域；n 允許使用電信寬帶訪問互聯(lián)網(wǎng)用戶通過該防火墻訪問外部服務器區(qū)域。n 其他的任何訪問均被禁止。該防火墻還針對外部服務器區(qū)域，執(zhí)行反向地址轉換策略，將公司主頁服務器、郵件服務器以及升級服務器的地址轉換為電信的互聯(lián)網(wǎng)地址，以提供給電信用戶以及使用電信寬帶的分支機構來訪問外部服務器區(qū)域；防火墻在管理上采取證書＋口令的雙因素認證方式，防火墻的策略有運行維護中心的安全維護終端進行配置，不允許通過互聯(lián)網(wǎng)遠程配置防火墻；防火墻尚未有開啟日志審計功能，公司也沒有配置全網(wǎng)的日志審計系統(tǒng)。三樓防火墻在三樓機房內部署的防火墻，在核心防火墻的基礎上，針對三樓技術服務器中心、生產(chǎn)部執(zhí)行更細的訪問控制規(guī)則，包括：n 允許三樓的辦公終端訪問互聯(lián)網(wǎng)；n 不允許生產(chǎn)車間的終端訪問互聯(lián)網(wǎng)；n 不允許生產(chǎn)車間的終端訪問業(yè)務服務器區(qū)域；n 只允許生產(chǎn)車間的終端訪問EBS以及K3系統(tǒng)；n 允許三樓的辦公終端訪問業(yè)務服務器區(qū)域的辦公自動化系統(tǒng)；n 允許三樓的辦公終端訪問訪問外部服務器區(qū)域；n 允許商務部訪問KCRM以及EBS系統(tǒng)；n 允許技術服務中心訪問研發(fā)的BUGzilla外部服務器；n 允許運維中心的終端安全管理平臺訪問三樓的辦公終端區(qū)域；n 不允許其他任何訪問；防火墻在管理上采取證書＋口令的雙因素認證方式，防火墻的策略有