【導(dǎo)讀】——————————————————————————————————————————————。廣州市地鐵總公司網(wǎng)絡(luò)工程方案

　　

【正文】 戶身份的驗證，也可以使用證書和 Active Directory 的結(jié)合來驗證用戶。這為電子商務(wù)系統(tǒng)提供了即靈活又可靠的對用戶身份的確認(rèn)。 第 22 頁 共 77 頁 —————————————————————— ———————————————————————— ? IIS 上的 Web 站點的開發(fā)使用的時 Active Server Page (ASP) 。 ASP提供了強大的功能和與 Windows 的緊密集成，同時 ASP 又進一步提高了效率。 ASP 提供了和 XML 的集成，同時也可以用 ADSI 對 Windows 2020 Active Directory 進行操作。使用 Microsoft Visual InterDev 開發(fā)工具，您可以快速建立您的電子商務(wù)系 統(tǒng)，也可以建立一個復(fù)雜但是功能強勁的電子商務(wù)系統(tǒng)。 因此在本系統(tǒng)中將配置一臺 Web 服務(wù)器，使用 IIS 進行 Web 開發(fā)，提供完善的 Web 服務(wù)。 6） 多媒體信息傳輸 根據(jù)客戶的需求，本系統(tǒng)采用 Microsoft NetMeeting 構(gòu)建多媒體會議系統(tǒng)。 第 23 頁 共 77 頁 —————————————————————— ———————————————————————— 備份服務(wù)（建議采用） 使用計算機系統(tǒng)處理日常業(yè)務(wù)在提高效率的同時， 有一個問題越來越不容忽視， 即數(shù)據(jù)失效問題。 一旦發(fā)生數(shù)據(jù)失效， 企業(yè)就會陷入困境： 客戶資料、 技術(shù)文件、 財務(wù)賬目等數(shù)據(jù)可能被破壞得面 目全非， 如果系 統(tǒng)無法順利恢復(fù)， 最終結(jié)局將不堪設(shè)想。 所以企業(yè)信息化程度越高， 備份和災(zāi)難恢復(fù) 措施就越重要。根據(jù)系統(tǒng)自身的特點和對備份功能的要求， 我們建議 在本系統(tǒng)中采用 CA公司的 ARC serve 備份系統(tǒng)。 ARCserve 是一 個 跨平臺的網(wǎng)絡(luò)數(shù)據(jù)備份軟件，在數(shù)據(jù)保護、災(zāi)難恢復(fù)、病毒防護方面均提供全面的產(chǎn)品支持，目前已成為了業(yè)界的事實標(biāo)準(zhǔn)。 CA 公司的軟件產(chǎn)品涵蓋大型網(wǎng)絡(luò)管理、數(shù)據(jù)庫系統(tǒng)和工具軟件等諸多方面。全球最大的500 家企業(yè)中有 95%使用了 CA 公司的產(chǎn)品。 產(chǎn)品 特性： ? 全面保護 Windows 操作系統(tǒng) ? 支持打開文件備份 ? 支持對各種數(shù)據(jù)庫如 Betrieve、 Sybase、 Oracle 等的備份 ? 支持從服務(wù)器到工作站的全面網(wǎng)絡(luò)備份 ? 可以實現(xiàn)無人值守的自動備份 ? 備份前掃描病毒，可以實現(xiàn)無毒備份 ? 支 持災(zāi)難恢復(fù) 第 24 頁 共 77 頁 —————————————————————— ———————————————————————— Cisco 網(wǎng)絡(luò)管理 CiscoWorks Windows 是一個適合中小企業(yè)網(wǎng)絡(luò)的全面網(wǎng)絡(luò)管理解決方案。該經(jīng)濟有效而又易于學(xué)習(xí)的產(chǎn)品為管理基于 Cisco 的交換機、路由器、集線器和訪問服務(wù)器網(wǎng)絡(luò)提供一系列強大的監(jiān)控和配置工具。通過使用 Ipswitch 的 WhatsUp Gold， 您還可以監(jiān)控打印機、工作站、服務(wù)器和重要的網(wǎng)絡(luò)服務(wù)。 CiscoWorks Windows 含有下列組件： ? CiscoView 版 提供 Cisco 設(shè)備的圖形后視圖和前視圖；動態(tài)的色標(biāo)圖形顯示簡化了設(shè)備狀態(tài)監(jiān)控；特定設(shè)備的組件診斷、設(shè)備配置和應(yīng)用發(fā)布； ? Ipswitch 公司的 WhatsUp Gold 版 提供網(wǎng)絡(luò)發(fā)現(xiàn)、映象、監(jiān)控和報警跟蹤； ? 閾值管理器 增強了在 Cisco RMON 啟動的設(shè)備上設(shè)定閾值的能力，降低了管理開銷，改進了故障診斷功能； ? StackMaker 允許用戶將特定類型的多個 Cisco 設(shè)備結(jié)合在單個堆疊中，并在單個窗口中可視地管理它們； ? 顯示命令 顯示詳細(xì)的路由器系統(tǒng)和協(xié)議信息，而無需用戶記住復(fù)雜的 Cisco IOS 命令行語言和語法。 Cisco Works Windows 提 供 以 下 特 性： ? 對連網(wǎng)設(shè)備自動識別程序可以用色彩鮮明的分級網(wǎng)絡(luò)視 IP IPX 網(wǎng)生成網(wǎng)絡(luò)拓樸圖； ? 能為 Cisco 設(shè)備獲取端口狀態(tài)，帶寬使用率，流量統(tǒng)計，協(xié)議信息及其它網(wǎng)絡(luò)性 能統(tǒng)計等擴展數(shù)據(jù)； ? 繪圖功能靈活，可快速記錄和分析可能輸出到 文件以備電子數(shù)據(jù)表或其它工具 使用的歷史數(shù)據(jù)； ? 管理信息 率（ MIB）編輯器和測覽器可以管理第三方 SNMP 設(shè)備； 第 25 頁 共 77 頁 —————————————————————— ———————————————————————— ? 可以定多種性能變量設(shè)置，以便產(chǎn)生報警或事件通知； ? 事件篩選器可以篩選出有用信息以加速故障排除； ? 設(shè)備配置特性用于在 Cisco 交換機內(nèi)配置簡單的虛擬 LAN（ VLAN）。 第 26 頁 共 77 頁 —————————————————————— ———————————————————————— 局域網(wǎng)拓?fù)鋱D 第 27 頁 共 77 頁 —————————————————————— ———————————————————————— 網(wǎng)絡(luò)安全風(fēng)險分析 對于信息網(wǎng)所面臨的安全風(fēng)險涉及網(wǎng)絡(luò)環(huán)境多方面，包括： ? 自然災(zāi)害 —— 水災(zāi)、火災(zāi)、地震等； ? 電子化系統(tǒng)故障 —— 系統(tǒng)硬件、電力 系統(tǒng)故障等； ? 人員無意識行為 —— 編碼缺陷、系統(tǒng)配置漏洞、誤操作及無意泄漏等； ? 人員蓄意行為 —— 網(wǎng)絡(luò)環(huán)境可用性破壞、惡意攻擊等。 其中，前三個方面的風(fēng)險能夠通過增強對網(wǎng)絡(luò)環(huán)境的抗自然災(zāi)害的能力、加強網(wǎng)絡(luò)設(shè)備管理維護、系統(tǒng)操作管理等手段來加以完善，盡可能將風(fēng)險降低到能夠被控制和管理的程度。 而對于第四方面的安全風(fēng)險，對整個信息網(wǎng)的安全環(huán)境所構(gòu)成的危害最大，同時也是最難于管理與防范的。且不僅僅能夠通過加強對網(wǎng)絡(luò)環(huán)境及人員的安全管理所能夠?qū)崿F(xiàn)的，盡管安全管理非常重要。同時需要相應(yīng)的安全技術(shù)手段輔助完成。這 也是本安全方案所要詳細(xì)闡述的。 對于在信息網(wǎng)環(huán)境中，采取何種安全技術(shù)手段且如何實現(xiàn)，就需要通過對前面提到第四方面的安全風(fēng)險的分析的基礎(chǔ)上，針對信息網(wǎng)安全需求來確定。 對于風(fēng)險來說，它應(yīng)包括那些可以被管理但又不能被清除的，以及那些能夠 中斷網(wǎng)絡(luò)工作流并對工作環(huán)境造成破壞性的威脅。其中，主要包括： ? 對于網(wǎng)絡(luò)應(yīng)用服務(wù)的非授權(quán)訪問； ? 信息交互的保密性； 第 28 頁 共 77 頁 —————————————————————— ———————————————————————— ? 網(wǎng)絡(luò)病毒的傳播與滲入； ? 網(wǎng)絡(luò)黑客行為。 通過對以上主要的網(wǎng)絡(luò)威脅分析，使我們能夠準(zhǔn)確把握信息網(wǎng)的網(wǎng)絡(luò)安全需 求。 需求分析 網(wǎng)絡(luò)安全 需求是保護網(wǎng)絡(luò)不受破壞，確保網(wǎng)絡(luò)服務(wù)的可用性。對于信息網(wǎng)絡(luò)內(nèi)部安全需求，包括： ? 能夠滿足信息網(wǎng)絡(luò)內(nèi)的授權(quán)用戶對相關(guān)專用網(wǎng)絡(luò)資源訪問； ? 能夠?qū)τ诜鞘跈?quán)用戶的訪問進行有效控制和報警； ? 能夠堅決杜絕病毒和其他危險程序進入網(wǎng)絡(luò)； ? 能夠?qū)τ谶h(yuǎn)程訪問用戶進行安全管理； ? 加強對于整個信息網(wǎng)絡(luò)資源和人員的安全管理與培訓(xùn)。 安全管理需求分析 如前所述，能否制定一個統(tǒng)一的安全策略，在全網(wǎng)范圍內(nèi)實現(xiàn)統(tǒng)一的安全管理，對于信息網(wǎng)來說就至關(guān)重要了。 安全管理主要包括兩個方面： ? 內(nèi)部安全管理 主要是建立 內(nèi)部安全管理制度，如機房管理制度、設(shè)備管理制度、安全系統(tǒng)管理制度、病毒防范制度、操作安全管理制度、安全事件應(yīng)急制度等，并采取切實有效的措施保證制度的執(zhí)行。內(nèi)部安全管理主要采取行政手段和技術(shù)手段相結(jié) 第 29 頁 共 77 頁 —————————————————————— ———————————————————————— 合的方法。 第 30 頁 共 77 頁 —————————————————————— ———————————————————————— ? 網(wǎng)絡(luò)安全管理 在網(wǎng)絡(luò)上設(shè)置防病毒安全檢測系統(tǒng)后，必須保證防病毒系統(tǒng)的設(shè)置正確，且其配置不允許被隨便修改。采用用戶和口令認(rèn)證機制加強對用戶的管理，可以通過財務(wù)軟件本身和一些網(wǎng)絡(luò)層的管理工具來實現(xiàn)。 安全方案 根據(jù)對信息網(wǎng)現(xiàn)階段的安全需求分析，我們在設(shè)計本安全方案時，將采取一切有力 的措施，來實現(xiàn)信息網(wǎng)現(xiàn)階段的安全目標(biāo)，考慮到現(xiàn)階段對網(wǎng)絡(luò)病毒的管理要求，本方案提出對網(wǎng)絡(luò)病毒防范和管理控制建議，并提出了現(xiàn)階段的網(wǎng)絡(luò)安全管理方案。 網(wǎng)絡(luò)設(shè)備的安全配置 信息網(wǎng)中，整個網(wǎng)絡(luò)的安全首先要確保網(wǎng)絡(luò)設(shè)備的安全，保證非授權(quán)用戶不能訪問網(wǎng)絡(luò)任意的網(wǎng)絡(luò)通訊設(shè)備（例如：路由器，集線器等）。對不同型號、廠家的網(wǎng)絡(luò)設(shè)備，要防范的內(nèi)容是一樣的，但具體的配置方法須依照設(shè)備要求來實現(xiàn)。 對服務(wù)器訪問的控制 對于服務(wù)器用戶可以設(shè)置不同的用戶權(quán)限，如“非特權(quán)”和“特權(quán)”兩種訪問權(quán)限，非特權(quán)訪問 權(quán)限允許用戶在服務(wù)器上查詢某些公眾信息但無法對服務(wù)器進行配置；特權(quán)訪問權(quán)限則允許用戶對服務(wù)器進行完全的配置。 第 31 頁 共 77 頁 —————————————————————— ———————————————————————— 對服務(wù)器訪問的控制建議使用以下的方式： ? 控制臺訪問控制 ? 限制訪問空閑時間 ? 口令的保護 ? 多級管理員權(quán)限 CheckPoint FireWall1 產(chǎn)品簡介 作為開放安全企業(yè)互聯(lián)聯(lián)盟 (OPSEC)的組織和倡導(dǎo)者之一， CheckPoint 公司致力于企業(yè)級網(wǎng)絡(luò)安全產(chǎn)品的研發(fā)，據(jù) IDC 的最近統(tǒng)計，其 FireWall1 防火墻在 市場占有率上已超過 44%， 《財富》排名前 100 的大企業(yè)里近 80%選用了CheckPoint FireWall1 防火墻。 CheckPoint FireWall1 產(chǎn)品包括以下模塊： 1) 基本模塊： 狀態(tài)檢測模塊（ Inspection Module）：提供訪問控制、客戶機認(rèn)證、會話認(rèn)證、地址翻譯和審計功能； 防火墻模塊（ FireWall Module）：包含一個狀態(tài)檢測模塊，另外提供用戶認(rèn)證、內(nèi)容安全和多防火墻同步功能； 管理模塊（ Management Module）：對一個或多個安全策略執(zhí)行點（安裝了 FireWall1的某個模塊，如狀態(tài)檢測模塊、防火墻模塊或路由器安全管理模塊等的系統(tǒng)）提供集中的、圖形化的安全管理功能； 第 32 頁 共 77 頁 —————————————————————— ———————————————————————— 第 33 頁 共 77 頁 —————————————————————— ———————————————————————— 2) 可選模塊 連接控制（ Connect Control）：為提供相同服務(wù)的多個應(yīng)用服務(wù)器提供負(fù)載平衡功能； 路由器安全管理模塊（ Router Security Management）：提供通過防火墻管理工作站配置、維護 3Com， Cisco， Bay等路由器的安全規(guī)則； 其它模塊，如加密模塊等。 ? 圖形用戶界面（ GUI）：是管理模塊功能的體現(xiàn)，包括 策略編輯器：維護管理對象、建立安全規(guī)則、把安全規(guī)則施加 到安全策略執(zhí)行點上去； 日志查看器：查看經(jīng)過防火墻的連接，識別并阻斷攻擊； 系統(tǒng)狀態(tài)查看器：查看所有被保護對象的狀態(tài)。 FireWall1提供單網(wǎng)關(guān)和企業(yè)級兩種產(chǎn)品組合： 單網(wǎng)關(guān)產(chǎn)品：只有防火墻模塊（包含狀態(tài)檢測模塊）、管理模塊和圖形用戶界面各一個，且防火墻模塊和管理模塊必須安裝在同一臺機器上。 企業(yè)級產(chǎn)品：可以有若干基本模塊和可選模塊以及圖形用戶界面組成，特別是可能配置較多的防火墻模塊和獨立的狀態(tài)檢測模塊。企業(yè)級產(chǎn)品的不同模塊可以安裝在不同的機器上。 第 34 頁 共 77 頁 —————————————————————— ———————————————————————— 狀態(tài)檢測機制 FireWall1 采 用 CheckPoint 公司的狀態(tài)檢測（ Stateful Inspection）專利技術(shù)，以不同的服務(wù)區(qū)分應(yīng)用類型，為網(wǎng)絡(luò)提供高安全、高性能和高擴展性保證。FireWall1 狀態(tài)檢測模塊分析所有的包通訊層，汲取相關(guān)的通信和應(yīng)用程序的狀態(tài)信息。狀態(tài)檢測模塊能夠理解并學(xué)習(xí)各種協(xié)議和應(yīng)用，以支持各種最新的應(yīng)用。狀態(tài)檢測模塊截獲、分析并處理所有試圖通過防火墻的數(shù)據(jù)包，保證網(wǎng)絡(luò)的高度安全和數(shù)據(jù)完整。網(wǎng)絡(luò)和各種應(yīng)用的通信狀態(tài)動態(tài)存儲、更新到動態(tài)狀態(tài)表中，結(jié)合預(yù)定義好的規(guī)則，實現(xiàn)安全策略。 狀態(tài)檢測模塊可以識別不同 應(yīng)用的服務(wù)類型，還可以通過以前的通信及其它應(yīng)用程序分析出狀態(tài)信息。狀態(tài)檢測