【正文】 拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)及網(wǎng)絡(luò)協(xié)議的選用來(lái)保證。（6） 數(shù)據(jù)安全：通過(guò)存儲(chǔ)陣列的磁盤區(qū)域劃分，對(duì)數(shù)據(jù)進(jìn)行冗余備份，防止因數(shù)據(jù)丟失或者誤操作帶來(lái)?yè)p失。 管理方面的安全措施安全管理在系統(tǒng)安全中占有很重要的地位。在制定制度時(shí)需要遵循如下的原則：1. 多人負(fù)責(zé)原則：每一項(xiàng)與安全有關(guān)的活動(dòng)，都必須有兩人或多人在場(chǎng)。以下各項(xiàng)是與安全有關(guān)的活動(dòng)：訪問(wèn)控制使用證件的發(fā)放與回收；信息處理系統(tǒng)使用的媒介發(fā)放與回收；處理保密信息；硬件和軟件的維護(hù)；系統(tǒng)軟件的設(shè)計(jì)、實(shí)現(xiàn)和修改；重要程序和數(shù)據(jù)的刪除和銷毀等；2. 任期有限原則：一般地講，最好不要讓一個(gè)人長(zhǎng)期擔(dān)任與安全有關(guān)的職務(wù)，以免使他認(rèn)為這個(gè)職務(wù)是專有的或永久性的。為遵循任期有限原則，工作人員應(yīng)不定期地循環(huán)任職，并規(guī)定對(duì)工作人員進(jìn)行輪流培訓(xùn)，以使任期有限制度切實(shí)可行。3. 職責(zé)分離原則：在信息處理系統(tǒng)工作的人員不要打聽、了解或參與職責(zé)以外的任何與安全有關(guān)的事情，除非系統(tǒng)主管領(lǐng)導(dǎo)批準(zhǔn)。出于對(duì)安全的考慮，下面每組內(nèi)的兩項(xiàng)信息處理工作應(yīng)當(dāng)分開。計(jì)算機(jī)操作與計(jì)算機(jī)編程；機(jī)密資料的接收和傳送；安全管理和系統(tǒng)管理；應(yīng)用程序和系統(tǒng)程序的編制；訪問(wèn)證件的管理與其它工作；計(jì)算機(jī)操作與信息處理系統(tǒng)使用媒介的保管等。 網(wǎng)絡(luò)安全設(shè)備設(shè)計(jì)與選型 防火墻防火墻（作為阻塞點(diǎn)、控制點(diǎn)）能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過(guò)過(guò)濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過(guò)精心選擇的應(yīng)用協(xié)議才能通過(guò)防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進(jìn)出受保護(hù)網(wǎng)絡(luò)，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來(lái)攻擊內(nèi)部網(wǎng)絡(luò)。防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，如IP選項(xiàng)中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應(yīng)該可以拒絕所有以上類型攻擊的報(bào)文并通知防火墻管理員。 防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略：通過(guò)以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認(rèn)證、審計(jì)等）配置在防火墻上。與將網(wǎng)絡(luò)安全問(wèn)題分散到各個(gè)主機(jī)上相比，防火墻的集中安全管理更經(jīng)濟(jì)。例如在網(wǎng)絡(luò)訪問(wèn)時(shí)，一次一密口令系統(tǒng)和其它的身份認(rèn)證系統(tǒng)完全可以不必分散在各個(gè)主機(jī)上，而集中在防火墻一身上。 對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì)： 如果所有的訪問(wèn)都經(jīng)過(guò)防火墻，那么，防火墻就能記錄下這些訪問(wèn)并作出日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作時(shí)，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警，并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。另外，收集一個(gè)網(wǎng)絡(luò)的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測(cè)和攻擊，并且清楚防火墻的控制是否充足。而網(wǎng)絡(luò)使用統(tǒng)計(jì)對(duì)網(wǎng)絡(luò)需求分析和威脅分析等而言也是非常重要的。 防止內(nèi)部信息的外泄： 通過(guò)利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離，從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問(wèn)題對(duì)全局網(wǎng)絡(luò)造成的影響。再者，隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問(wèn)題，一個(gè)內(nèi)部網(wǎng)絡(luò)中不引人注意的細(xì)節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內(nèi)部細(xì)節(jié)如Finger，DNS等服務(wù)。Finger顯示了主機(jī)的所有用戶的注冊(cè)名、真名，最后登錄時(shí)間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個(gè)系統(tǒng)使用的頻繁程度，這個(gè)系統(tǒng)是否有用戶正在連線上網(wǎng)，這個(gè)系統(tǒng)是否在被攻擊時(shí)引起注意等等。防火墻可以同樣阻塞有關(guān)內(nèi)部網(wǎng)絡(luò)中的DNS信息，這樣一臺(tái)主機(jī)的域名和IP地址就不會(huì)被外界所了解。除了安全作用，防火墻還支持具有Internet服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系VPN。通過(guò)VPN，將企事業(yè)單位在地域上分布在全世界各地的LAN或?qū)Ｓ米泳W(wǎng)，有機(jī)地聯(lián)成一個(gè)整體。不僅省去了專用通信線路，而且為信息共享提供了技術(shù)保障。選型要求：選用具有VPN功能的千兆防火墻，能防御DoS/DDoS攻擊（如CC、SYN flood、DNS Query Flood、SYN Flood、UDP Flood等）、ARP欺騙攻擊、TCP報(bào)文標(biāo)志位不合法攻擊、Large ICMP報(bào)文攻擊、地址掃描攻擊和端口掃描攻擊等多種惡意攻擊，同時(shí)支持黑名單、MAC綁定、內(nèi)容過(guò)濾等先進(jìn)功能。支持基礎(chǔ)、擴(kuò)展和基于接口的狀態(tài)檢測(cè)包過(guò)濾技術(shù)；支持H3C特有ASPF應(yīng)用層報(bào)文過(guò)濾協(xié)議，支持對(duì)每一個(gè)連接狀態(tài)信息的維護(hù)監(jiān)測(cè)并動(dòng)態(tài)地過(guò)濾數(shù)據(jù)包，支持對(duì)應(yīng)用層協(xié)議的狀態(tài)監(jiān)控。集成IPSec、L2TP、GRE和SSL等多種成熟VPN接入技術(shù)，保證移動(dòng)用戶、合作伙伴和分支機(jī)構(gòu)安全、便捷的接入?？梢杂行У淖R(shí)別網(wǎng)絡(luò)中各種P2P模式的應(yīng)用，并且對(duì)這些應(yīng)用采取限流的控制措施，有效保護(hù)網(wǎng)絡(luò)帶寬；支持郵件過(guò)濾，提供SMTP郵件地址、標(biāo)題、附件和內(nèi)容過(guò)濾；支持網(wǎng)頁(yè)過(guò)濾，提供HTTP URL和內(nèi)容過(guò)濾。提供多對(duì)一、多對(duì)多、靜態(tài)網(wǎng)段、雙向轉(zhuǎn)換 、Easy IP和DNS映射等NAT應(yīng)用方式；支持多種應(yīng)用協(xié)議正確穿越NAT，提供DNS、FTP、NBT等NAT ALG功能。支持本地用戶、RADIUS、TACACS等認(rèn)證方式，支持基于PKI/CA體系的數(shù)字證書（）認(rèn)證功能。支持基于用戶身份的管理，實(shí)現(xiàn)不同身份的用戶擁有不同的命令執(zhí)行權(quán)限，并且支持用戶視圖分級(jí)，對(duì)于不同級(jí)別的用戶賦予不同的管理配置權(quán)限。提供各種日志功能、流量統(tǒng)計(jì)和分析功能、各種事件監(jiān)控和統(tǒng)計(jì)功能、郵件告警功能。 入侵檢測(cè)系統(tǒng)入侵檢測(cè)是防火墻的合理補(bǔ)充，幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測(cè)被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。 入侵檢測(cè)系統(tǒng)的檢測(cè)信息來(lái)源都是通過(guò)自身的檢測(cè)部分Sensor 得到的。 基于網(wǎng)絡(luò)的入侵檢測(cè)，主要是通過(guò)對(duì)網(wǎng)絡(luò)數(shù)據(jù)包的截取分析，來(lái)查找具有攻擊特性和不良企圖的數(shù)據(jù)包的。在網(wǎng)絡(luò)里基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的檢測(cè)部分Sensor 一般被布置在一個(gè)交換機(jī)的鏡象端口（或者一個(gè)普通的HUB任意端口），聽取流經(jīng)網(wǎng)絡(luò)的所有數(shù)據(jù)包，查找匹配的包，來(lái)得到入侵的信息源。 基于主機(jī)的入侵檢測(cè)系統(tǒng)的Sensor 不可能直接從系統(tǒng)內(nèi)部獲取信息的，它是要通過(guò)一個(gè)事先做好的代理程序，安裝在需要檢測(cè)的主機(jī)里的，這些代理程序主要收集系統(tǒng)和網(wǎng)絡(luò)日志文件，目錄和文件中的不期望的改變，程序執(zhí)行中的不期望行為，物理形式的入侵信息。選型要求：接口：4GE電口特征庫(kù)≥10000支持Web保護(hù)、郵件服務(wù)器保護(hù)、FTP服務(wù)器保護(hù)、DNS漏洞、跨站腳本、SNMP漏洞、蠕蟲和病毒、暴力攻擊和防護(hù)、SQL Injections、后門和特洛伊木馬、間諜軟件、DDoS、探測(cè)/掃描、網(wǎng)絡(luò)釣魚、協(xié)議異常、IDS/IPS逃逸攻擊等 病毒防范: 支持文件型、網(wǎng)絡(luò)型和混合型病毒等 P2P識(shí)別: 支持BT、eDonkey、eMule、網(wǎng)際快車、迅雷、PPLive、Live等 IM識(shí)別: 支持 MSN、、Google/Gtalk、Yahoo Messenger等 URL過(guò)濾: 支持自定義URL過(guò)濾規(guī)則庫(kù)、基于時(shí)間段過(guò)濾等 響應(yīng)方式: 支持阻斷、限流、重定向、隔離、Email告警等 升級(jí)方式: 自動(dòng)/手動(dòng) 防病毒軟件滿足20個(gè)用戶。提供檢測(cè)某些非病毒威脅，包括間諜軟件和廣告軟件的工具或手段。掃描 POP3 電子郵件和附件。 防止蠕蟲通過(guò)電子郵件傳播。 自動(dòng)殺除病毒、蠕蟲和特洛伊木馬。提供多種升級(jí)方式，如自動(dòng)、定時(shí)、及時(shí)升級(jí)；集成系統(tǒng)漏洞掃描系統(tǒng)和自動(dòng)補(bǔ)丁分發(fā)系統(tǒng)。 集中安裝、配置和維護(hù)。 允許管理員鎖定企業(yè)范圍內(nèi)的策略和設(shè)置。提供易于查看的集中事件日志記錄。具有先進(jìn)的反病毒技術(shù)，選擇的產(chǎn)品能夠查殺當(dāng)前已知的病毒，并且對(duì)能夠有效攔截和查殺未知病毒。在中國(guó)具有自己的研發(fā)基地和完善的服務(wù)網(wǎng)。能快速響應(yīng)國(guó)內(nèi)的計(jì)算機(jī)病毒事件和技術(shù)支持服務(wù)。防病毒具有多種遠(yuǎn)程安裝方式，滿足在復(fù)雜局域網(wǎng)的方便、快速布置防病毒客戶端。能夠?qū)Σ《究赡軅鞑サ耐緩剑ňW(wǎng)絡(luò)、光驅(qū)、軟驅(qū)、內(nèi)存）進(jìn)行實(shí)時(shí)監(jiān)控，阻止病毒通過(guò)這些途徑傳播。具有具有漏洞攻擊監(jiān)控，能阻斷網(wǎng)絡(luò)中向本機(jī)傳播病毒的機(jī)器的會(huì)話連接。具有對(duì)全系列的操作平臺(tái)的監(jiān)控產(chǎn)品，實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)的層層布防。具有支持大型復(fù)雜網(wǎng)絡(luò)的多級(jí)管理功能，實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)的多級(jí)管理，實(shí)現(xiàn)統(tǒng)一集中管理，內(nèi)部責(zé)任明確。具有全網(wǎng)統(tǒng)一升級(jí)功能，實(shí)現(xiàn)內(nèi)部所有防病毒產(chǎn)品的統(tǒng)一升級(jí)、自動(dòng)更新病毒代碼和反病毒引擎，保證網(wǎng)內(nèi)所有防病毒產(chǎn)品具有最新、一致的防病毒能力。集成全網(wǎng)端點(diǎn)準(zhǔn)入控制管理功能，提供必要的支持模塊，能兼容多家網(wǎng)絡(luò)設(shè)備廠商的產(chǎn)品，實(shí)現(xiàn)無(wú)縫集成和聯(lián)動(dòng)。11 項(xiàng)目建設(shè)周期面對(duì)全校范圍內(nèi)的平臺(tái)搭建，項(xiàng)目建設(shè)計(jì)劃分三期進(jìn)行：1. 第一期，學(xué)校硬件基礎(chǔ)設(shè)施建設(shè)，工期半年至一年。選取區(qū)域，做好平臺(tái)部署的前期基礎(chǔ)設(shè)施建設(shè)工作，確保系統(tǒng)試點(diǎn)學(xué)校的網(wǎng)絡(luò)環(huán)境搭建；2. 第二期，學(xué)校公共服務(wù)平臺(tái)建設(shè)，工期一年。進(jìn)一步深入實(shí)際進(jìn)行需求調(diào)研，細(xì)化平臺(tái)各個(gè)子系統(tǒng)的業(yè)務(wù)需求，進(jìn)行平臺(tái)的設(shè)計(jì)開發(fā)；3. 第三期，學(xué)校平臺(tái)部署及推廣，工期半年。 12 后期系統(tǒng)培訓(xùn) 業(yè)務(wù)人員培訓(xùn)計(jì)劃與系統(tǒng)建設(shè)、項(xiàng)目管理以及系統(tǒng)運(yùn)行管理相關(guān)的培訓(xùn)，使業(yè)務(wù)人員能夠從整體上了解和掌握與大系統(tǒng)建設(shè)相關(guān)的知識(shí)，明確所屬單位在系統(tǒng)建設(shè)中所處的位置和要承擔(dān)的建設(shè)任務(wù)，同時(shí)還對(duì)系統(tǒng)建設(shè)管理方法培訓(xùn)，使之掌握項(xiàng)目管理技能。培訓(xùn)對(duì)象培訓(xùn)內(nèi)容培訓(xùn)時(shí)間確認(rèn)/說(shuō)明學(xué)校信息中心管理人員系統(tǒng)的后臺(tái)管理功能1天學(xué)校教師、行政人員綜合辦公系統(tǒng)，……1～2天 技術(shù)人員培訓(xùn)計(jì)劃在進(jìn)行系統(tǒng)建設(shè)的同時(shí)，必須保證人才的培養(yǎng)。需要預(yù)留一部分資金，組織開展計(jì)算機(jī)、網(wǎng)絡(luò)、機(jī)房、應(yīng)用系統(tǒng)等各方面專業(yè)知識(shí)的培訓(xùn)。對(duì)系統(tǒng)中使用到的相關(guān)技術(shù)和軟硬件的使用進(jìn)行培訓(xùn)，使用戶方技術(shù)人員能夠掌握系統(tǒng)的基本原理、安裝配置及運(yùn)行維護(hù)等方面的技術(shù)。培訓(xùn)完成后，用戶方技術(shù)人員要能夠維護(hù)系統(tǒng)，保障系統(tǒng)安全、高效的運(yùn)行。專業(yè)技術(shù)培訓(xùn)分為系統(tǒng)管理員培訓(xùn)和系統(tǒng)操作員培訓(xùn)，由系統(tǒng)承建方的培訓(xùn)教師來(lái)完成培訓(xùn)任務(wù)，培訓(xùn)教師均要求具有三年以上的教學(xué)經(jīng)驗(yàn)。培訓(xùn)對(duì)象培訓(xùn)內(nèi)容培訓(xùn)時(shí)間確認(rèn)/說(shuō)明信息中心管理員服務(wù)器及其操作系統(tǒng)培訓(xùn)3～5天信息中心管理員網(wǎng)絡(luò)管理系統(tǒng)培訓(xùn)信息中心管理員網(wǎng)絡(luò)安全技術(shù)培訓(xùn)信息中心管理員現(xiàn)場(chǎng)培訓(xùn)全體教師教師班班通設(shè)備使用培訓(xùn)長(zhǎng)期管理員虛擬演播室使用培訓(xùn)13天管理員錄播教室使用培訓(xùn)13天42 / 4