【正文】 的鑒別。 3 數(shù)據(jù)存儲(chǔ)安全系統(tǒng): 在計(jì)算機(jī)信息系統(tǒng)中存儲(chǔ)的信息主要包括純粹的數(shù)據(jù)信息和各種功能文件信息兩大類。對(duì)純粹數(shù)據(jù)信息的安全保護(hù)，以數(shù)據(jù)庫信息的保護(hù)最為典型。而對(duì)各種功能文22 / 87件的保護(hù)，終端安全很重要。 數(shù)據(jù)庫安全：對(duì)數(shù)據(jù)庫系統(tǒng)所管理的數(shù)據(jù)和資源提供安全保護(hù)，一般包括以下幾點(diǎn)?！钜?，物理完整性，即數(shù)據(jù)能夠免于物理方面破壞的問題，如掉電、火災(zāi)等；☆二，邏輯完整性，能夠保持?jǐn)?shù)據(jù)庫的結(jié)構(gòu)，如對(duì)一個(gè)字段的修改不至于影響其它字段；☆三，元素完整性，包括在每個(gè)元素中的數(shù)據(jù)是準(zhǔn)確的；☆四，數(shù)據(jù)的加密；☆五，用戶鑒別，確保每個(gè)用戶被正確識(shí)別，避免非法用戶入侵；☆六，可獲得性，指用戶一般可訪問數(shù)據(jù)庫和所有授權(quán)訪問的數(shù)據(jù)；☆七，可審計(jì)性，能夠追蹤到誰訪問過數(shù)據(jù)庫。 要實(shí)現(xiàn)對(duì)數(shù)據(jù)庫的安全保護(hù)，一種選擇是安全數(shù)據(jù)庫系統(tǒng)，即從系統(tǒng)的設(shè)計(jì)、實(shí)現(xiàn)、使用和管理等各個(gè)階段都要遵循一套完整的系統(tǒng)安全策略；二是以現(xiàn)有數(shù)據(jù)庫系統(tǒng)所提供的功能為基礎(chǔ)構(gòu)作安全模塊，旨在增強(qiáng)現(xiàn)有數(shù)據(jù)庫系統(tǒng)的安全性。 終端安全：主要解決微機(jī)信息的安全保護(hù)問題，一般的安全功能如下。基于口令或（和）密碼算法的身份驗(yàn)證，防止非法使用機(jī)器；自主和強(qiáng)制存取控制，防止非法訪問文件；多級(jí)權(quán)限管理，防止越權(quán)操作；存儲(chǔ)設(shè)備安全管理，防止非法軟盤拷貝和硬盤啟動(dòng)；數(shù)據(jù)和程序代碼加密存儲(chǔ)，防止信息被竊；預(yù)防病毒，防止病毒侵襲；嚴(yán)格的審計(jì)跟蹤，便于追查責(zé)任事故。 4 信息內(nèi)容審計(jì)系統(tǒng)： 實(shí)時(shí)對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的信息進(jìn)行內(nèi)容審計(jì)，以防止或追查可能的泄密行為。因此，為了滿足國家保密法的要求，在某些重要或涉密網(wǎng)絡(luò)，應(yīng)該安裝使用此系統(tǒng)。 安全管理面對(duì)網(wǎng)絡(luò)安全的脆弱性，除了在網(wǎng)絡(luò)設(shè)計(jì)上增加安全服務(wù)功能，完善系統(tǒng)的安全保密措施外，還必須花大力氣加強(qiáng)網(wǎng)絡(luò)的安全管理，因?yàn)橹T多的不安全因素恰恰反映在組織管理和人員錄用等方面，而這又是計(jì)算機(jī)網(wǎng)絡(luò)安全所必須考慮的基本問題，所以應(yīng)引起各計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用部門領(lǐng)導(dǎo)的重視。1 安全管理原則網(wǎng)絡(luò)信息系統(tǒng)的安全管理主要基于三個(gè)原則。(1) 多人負(fù)責(zé)原則23 / 87 每一項(xiàng)與安全有關(guān)的活動(dòng)，都必須有兩人或多人在場(chǎng)。這些人應(yīng)是系統(tǒng)主管領(lǐng)導(dǎo)指派的，他們忠誠可靠，能勝任此項(xiàng)工作；他們應(yīng)該簽署工作情況記錄以證明安全工作已得到保障。以下各項(xiàng)是與安全有關(guān)的活動(dòng)： ① 訪問控制使用證件的發(fā)放與回收； ② 信息處理系統(tǒng)使用的媒介發(fā)放與回收； ③ 處理保密信息； ④ 硬件和軟件的維護(hù)； ⑤ 系統(tǒng)軟件的設(shè)計(jì)、實(shí)現(xiàn)和修改； ⑥ 重要程序和數(shù)據(jù)的刪除和銷毀等；(2) 任期有限原則 一般地講，任何人最好不要長(zhǎng)期擔(dān)任與安全有關(guān)的職務(wù)，以免使他認(rèn)為這個(gè)職務(wù)是專有的或永久性的。為遵循任期有限原則，工作人員應(yīng)不定期地循環(huán)任職，強(qiáng)制實(shí)行休假制度，并規(guī)定對(duì)工作人員進(jìn)行輪流培訓(xùn)，以使任期有限制度切實(shí)可行。(3) 職責(zé)分離原則 在信息處理系統(tǒng)工作的人員不要打聽、了解或參與職責(zé)以外的任何與安全有關(guān)的事情，除非系統(tǒng)主管領(lǐng)導(dǎo)批準(zhǔn)。出于對(duì)安全的考慮，下面每組內(nèi)的兩項(xiàng)信息處理工作應(yīng)當(dāng)分開。 ① 計(jì)算機(jī)操作與計(jì)算機(jī)編程； ② 機(jī)密資料的接收和傳送； ③ 安全管理和系統(tǒng)管理； ④ 應(yīng)用程序和系統(tǒng)程序的編制； ⑤ 訪問證件的管理與其它工作； ⑥ 計(jì)算機(jī)操作與信息處理系統(tǒng)使用媒介的保管等。2 安全管理的實(shí)現(xiàn)信息系統(tǒng)的安全管理部門應(yīng)根據(jù)管理原則和該系統(tǒng)處理數(shù)據(jù)的保密性，制訂相應(yīng)的管理制度或采用相應(yīng)的規(guī)范。具體工作是： ① 根據(jù)工作的重要程度，確定該系統(tǒng)的安全等級(jí)。 ② 根據(jù)確定的安全等級(jí)，確定安全管理的范圍。24 / 87 ③ 制訂相應(yīng)的機(jī)房出入管理制度：對(duì)于安全等級(jí)要求較高的系統(tǒng)，要實(shí)行分區(qū)控制，限制工作人員出入與己無關(guān)的區(qū)域。出入管理可采用證件識(shí)別或安裝自動(dòng)識(shí)別登記系統(tǒng)，采用磁卡、身份卡等手段，對(duì)人員進(jìn)行識(shí)別、登記管理。 ④ 制訂嚴(yán)格的操作規(guī)程：操作規(guī)程要根據(jù)職責(zé)分離和多人負(fù)責(zé)的原則，各負(fù)其責(zé)，不能超越自己的管轄范圍。 ⑤ 制訂完備的系統(tǒng)維護(hù)制度：對(duì)系統(tǒng)進(jìn)行維護(hù)時(shí)，應(yīng)采取數(shù)據(jù)保護(hù)措施，如數(shù)據(jù)備份等。維護(hù)時(shí)要首先經(jīng)主管部門批準(zhǔn)，并有安全管理人員在場(chǎng)，故障的原因、維護(hù)內(nèi)容和維護(hù)前后的情況要詳細(xì)記錄。 ⑥ 制訂應(yīng)急措施：要制訂系統(tǒng)在緊急情況下，如何盡快恢復(fù)的應(yīng)急措施，使損失減至最小。建立人員雇用和解聘制度，對(duì)工作調(diào)動(dòng)和離職人員要及時(shí)調(diào)整相應(yīng)的授權(quán)。 河北省交通廳網(wǎng)絡(luò)規(guī)劃根據(jù)河北省交通廳實(shí)際應(yīng)用及分析，我們認(rèn)為整個(gè)網(wǎng)絡(luò)采用 1000M 光纖骨干、100M 到桌面以太網(wǎng)交換技術(shù)做為網(wǎng)絡(luò)的核心技術(shù)、采用先進(jìn)防火墻設(shè)備、內(nèi)網(wǎng)和外網(wǎng)物理分隔等手段保證整個(gè)網(wǎng)絡(luò)的安全有效地工作。信息中心廣域連接采用 CISCO 3662 路由器。提供局域網(wǎng)到 Inter 的連接。 在信息中心放置一臺(tái) CISCO 公司的 Catalyst 6506 交換機(jī)作為中心交換機(jī)。提供整個(gè)網(wǎng)絡(luò)的核心信息交換功能，2 樓與 4 樓的設(shè)備間里各放置兩臺(tái) CISCO 3550 交換機(jī)做堆疊后連至中心的 Catalyst 6506，作為接入層交換機(jī)，為用戶提供到桌面的連接。 為防止非法入侵及黑客攻擊，在路由器與中心交換機(jī)間放置一臺(tái)世界領(lǐng)先的 CISCO PIX525 防火墻，為網(wǎng)絡(luò)客戶提供安全性、可靠性。用戶的數(shù)據(jù)資料相當(dāng)重要，服務(wù)器應(yīng)能 7X24 小時(shí)的工作，因此，我們選擇 IBM X255 服務(wù)器，作為用戶文件服務(wù)器、DHCP 和主域控制器。河北省交通廳網(wǎng)絡(luò)系統(tǒng)工程整體的網(wǎng)絡(luò)結(jié)構(gòu)如圖 所示，在下面的各章節(jié)中，我們將對(duì)網(wǎng)絡(luò)各部分的設(shè)計(jì)方案作以詳細(xì)的介紹。25 / 87圖 國家文物局廣域網(wǎng)整體網(wǎng)絡(luò)結(jié)構(gòu)圖 網(wǎng)絡(luò)設(shè)備選型分析根據(jù)網(wǎng)絡(luò)系統(tǒng)建設(shè)的原則，從安全可靠、高性能的角度考慮我們推薦使用世界著名的網(wǎng)絡(luò)產(chǎn)品－CISCO 產(chǎn)品系列。網(wǎng)絡(luò)廠商介紹美國 Cisco 系統(tǒng)公司是世界上領(lǐng)先地位的網(wǎng)間網(wǎng)互聯(lián)技術(shù)和產(chǎn)品（包括多協(xié)議路由器、ATM 交換機(jī)、局域網(wǎng)交換機(jī)、訪問服務(wù)器、網(wǎng)間網(wǎng)管理軟件）的供應(yīng)商。Cisco 系統(tǒng)公司在向市場(chǎng)提供產(chǎn)品的近十個(gè)年頭里，一直掌握網(wǎng)際互聯(lián)系統(tǒng)全球市場(chǎng)的 50%以上。迄今為止，Cisco 系統(tǒng)公司已為世界上 40 個(gè)國家的 25，000 多個(gè)用戶安裝了超過300,000 臺(tái)網(wǎng)際網(wǎng)互聯(lián)設(shè)備。上述眾多用戶構(gòu)成了廣泛的縱向市場(chǎng)范圍，包括電信業(yè)、金融業(yè)、服務(wù)業(yè)、工業(yè)、零售業(yè)、政府部門及教育機(jī)構(gòu)等市場(chǎng)部分。Cisco 系統(tǒng)公司是Samp。P500 家之一，亦是” 幸福 ”500 家之一。根據(jù)權(quán)威的市場(chǎng)研究公司 Dataquest 的最新調(diào)查結(jié)果，Cisco 公司在 97 財(cái)年名列世界十大電信公司之一，成為全球最快的電信產(chǎn)品供應(yīng)商。 主干路由器選型由于主干路由器是整個(gè)網(wǎng)絡(luò)的出口，所有進(jìn)出數(shù)據(jù)都匯聚到這里，因此需要中心點(diǎn)具有較高的處理性能、可靠性和冗余度。同時(shí)，考慮到網(wǎng)絡(luò)中心點(diǎn)今后的擴(kuò)展能力，26 / 87在中心點(diǎn)我們配置了一臺(tái)高性能的 Cisco 3662 路由器作為核心路由器。 產(chǎn)品簡(jiǎn)介Cisco 3662 路由器是 Cisco 3660 系列中最具代表性的。Cisco 3660 系列平臺(tái)在非常成功的 Cisco 2600和 3600 系列產(chǎn)品的基礎(chǔ)上，在密度、性能、穩(wěn)固性和可服務(wù)性等方面進(jìn)行了大量改進(jìn)，使其可作為客戶設(shè)備（CPE）用于大型分支機(jī)構(gòu)應(yīng)用或完成電話服務(wù)。Cisco 3600 的通用性保證了它遠(yuǎn)全滿足目前分支機(jī)構(gòu)和企業(yè)對(duì)數(shù)據(jù)、話音、視頻和混合撥號(hào)訪問應(yīng)用的需求，為多服務(wù)應(yīng)用不斷增長(zhǎng)的帶寬需求提供了必要的高速連接。 Cisco 3660 系列平臺(tái)的主板上集成了 10/100 自適應(yīng)以太網(wǎng)端口，釋放了所有 6 個(gè)網(wǎng)絡(luò)模塊插槽，從而能夠支持更高密度的 LAN/WAN 或多服務(wù)集合。另外，主板上的 2 個(gè)高級(jí)集成模塊（AIM）插槽能夠支持更強(qiáng)的處理能力。 Cisco 3660 系列產(chǎn)品插槽多的優(yōu)勢(shì)和新網(wǎng)絡(luò)模塊的增強(qiáng)性能結(jié)合在一起，能夠支持新的商業(yè)應(yīng)用，如更高密度的分組話音集合和分支機(jī)構(gòu)異步傳輸模式（ATM）訪問，后者的范圍可以從 T1/E1 ATM 反向多路復(fù)用技術(shù)（IMA）一直到 OC3 接口。 Cisco 3660 系列產(chǎn)品到目前為止已有 70 多個(gè)不同的接口可供使用，為客戶特定應(yīng)用提供了大量的配置選項(xiàng)，從而具備了空前的通用性、無可匹敵的性能和廣泛的靈活性。 Cisco 3660 系列產(chǎn)品可以與 Cisco 1600，1700，2600 和 3600 系列多服務(wù)平臺(tái)共享模塊接口，因而保護(hù)了客戶投資，降低了與備件有關(guān)的運(yùn)營成本，并簡(jiǎn)化了培訓(xùn)過程。 Cisco 3660 系列產(chǎn)品模塊化機(jī)箱的設(shè)計(jì)充分考慮到了高可用性和可服務(wù)性，使其成為網(wǎng)絡(luò)中一個(gè)非常堅(jiān)實(shí)又高效經(jīng)濟(jì)的單元，關(guān)鍵任務(wù)應(yīng)用可以放心地配置在這樣的網(wǎng)絡(luò)中。 Cisco 3660 系列產(chǎn)品的獨(dú)到之處還包括綜合的電源冗余選項(xiàng)和模塊熱交換能力，它們?yōu)殛P(guān)鍵功能提供了更高的產(chǎn)品可用性。 27 / 87Cisco 3660 系列產(chǎn)品可按照一些不同的配置訂購?；鞠到y(tǒng)由以下部分組成： ? 1 或 2 個(gè)集成 10/100 端口 ? 6 個(gè)用來支持網(wǎng)絡(luò)模塊的擴(kuò)展槽 ? 2 個(gè)用于硬件加速和提高處理能力的高級(jí)集成模塊（AIM）插槽 ? 支持冗余交流或直流電源的機(jī)箱 ? 1 個(gè)輔助端口 ? 1 個(gè)控制臺(tái)端口 ? 2 個(gè)用于備份軟件和配置的 PCMCIA 卡插槽 Cisco 3660 系列產(chǎn)品提供了同類網(wǎng)絡(luò)模塊以及冗余電源的熱交換能力，從而確保了產(chǎn)品的高可用性。后部接入分布線使連接更為容易，模塊化設(shè)計(jì)使現(xiàn)場(chǎng)可更換單元（FRU）的維修更加方便。 通過使用 Cisco Works、CiscoView 和 CiscoViewStack 管理接口應(yīng)用程序，Cisco 3660 系列產(chǎn)品的網(wǎng)絡(luò)管理能力更加強(qiáng)大。上述這些應(yīng)用程序早已被用于管理現(xiàn)有網(wǎng)絡(luò)系統(tǒng)中安裝的大量 Cisco 產(chǎn)品，因此，這為網(wǎng)絡(luò)技術(shù)支持人員提供了較為熟悉的網(wǎng)絡(luò)管理環(huán)境。 Cisco 3660 系列產(chǎn)品的一個(gè)重要優(yōu)點(diǎn)是它運(yùn)行 Cisco IOS 軟件，該操作系統(tǒng)在世界各地大部分的 Inter 骨干設(shè)備都得到了應(yīng)用。安裝使用 Cisco 3660 的客戶馬上可以擁有 Cisco IOS 的豐富功能，它支持大量的應(yīng)用程序，可以滿足客戶日益增長(zhǎng)的業(yè)務(wù)需要。 主要功能和優(yōu)點(diǎn) Cisco 3660 系列產(chǎn)品的主要功能和優(yōu)點(diǎn)包括： ? 密度和性能－－Cisco 3660 系列多服務(wù)平臺(tái)配置了集成端口以及 6 個(gè)擴(kuò)展槽，能夠支持新的業(yè)務(wù)應(yīng)用，如更高密度的分組話音集合和使用 T1/E1 IMA 或 OC3接口的分支機(jī)構(gòu) ATM 訪問。Cisco 3660 系列產(chǎn)品增加了 70％以上的處理能力，28 / 87并且在很多配置中，在更加緊湊的機(jī)箱中，配置密度比 Cisco 3640 提高了一倍。 表 1: Cisco 3660 和 Cisco 3640 的密度對(duì)比功能 Cisco 3660 Cisco 3640模擬話音端口 24 個(gè) 12 個(gè)數(shù)字話音端口 E1 360 個(gè)T1 288 個(gè)E1 或 T1 120 個(gè)內(nèi)置數(shù)字 Modem 端口 120 個(gè) 60 個(gè)內(nèi)置模擬 Modem 端口 96 個(gè) 48 個(gè)異步端口/外部 Modem 端口 192 個(gè) 96 個(gè)同步端口 48 個(gè) 24 個(gè)? 高可用性設(shè)計(jì)－－Cisco 3660 系列產(chǎn)品的冗余交流和直流電源選項(xiàng)為關(guān)鍵任務(wù)應(yīng)用提供了一個(gè)堅(jiān)實(shí)的平臺(tái)。此外，同類網(wǎng)絡(luò)模塊（NM）的熱交換和電源供應(yīng)使高可用性環(huán)境的正常工作時(shí)間更長(zhǎng)。 ? 數(shù)據(jù)、話音、視頻和混合撥號(hào)訪問的集成－－Cisco 3660 系列產(chǎn)品使用戶能夠支持最多種類的應(yīng)用，包括在單一平臺(tái)上實(shí)現(xiàn)數(shù)據(jù)、話音、視頻和混合撥號(hào)訪問的集成。單一平臺(tái)上用程序的集合通過簡(jiǎn)化分支機(jī)構(gòu)網(wǎng)絡(luò)環(huán)境的配置、備份、支持、管理，提高了系統(tǒng)運(yùn)營效率，降低了網(wǎng)絡(luò)成本。目前可用于這些插槽的模塊接口有 70 多個(gè)，從而具備了無與倫比的通用性。 ? 保護(hù)投資－－Cisco 3660 系列產(chǎn)品可以與 Cisco 1600，1700，2600 和 3600 系列平臺(tái)共享模塊接口，這樣簡(jiǎn)化了對(duì)網(wǎng)絡(luò)支持的要求，促進(jìn)了規(guī)模經(jīng)濟(jì)，最大程度地降低了培訓(xùn)成本，為滿足現(xiàn)在和將來小型、中型和大型分支機(jī)構(gòu)的需要提供了用戶特定的各種選項(xiàng)。除此之外，Cisco 3600 系列產(chǎn)品支持模塊組件現(xiàn)場(chǎng)升級(jí)的能力使客戶不必通過遠(yuǎn)程分支機(jī)構(gòu)解決方案的全面升級(jí)，就可以很容易地改就網(wǎng)絡(luò)接口和其它組件。 ? 降低擁有成本－－通過將內(nèi)置數(shù)據(jù)服務(wù)設(shè)備/信道服務(wù)設(shè)備（CSU/DSU）、綜合業(yè)務(wù)數(shù)字網(wǎng)（ISDN）終端（NT1）設(shè)備、以及分支機(jī)構(gòu)布線室內(nèi)其它設(shè)備的功能集成在一起，Cisco 3660 系列產(chǎn)品提供了一個(gè)節(jié)省空間和成本的解決方案，并29 / 87且該解決方案還可以使用 Cisco Works 和 Cisco View 這樣的網(wǎng)絡(luò)管理軟件進(jìn)行遠(yuǎn)程管理。 其它功能和優(yōu)點(diǎn) 通用性 ? 能夠提供大量 LAN、WAN 接口的模塊化結(jié)構(gòu)使針對(duì)個(gè)別需要的客戶化工作非常容易，它所具有靈活性使您能夠根據(jù)業(yè)務(wù)的成長(zhǎng)逐步地添加模塊化接口。 ? 接口饋送和速率的范圍可以從異步 300bps 一直到 ATM OC3，能夠連接IP、ATM、幀中繼以及 TDM 網(wǎng)絡(luò)，滿足任何大型企業(yè)分支機(jī)構(gòu)辦公環(huán)境的需要。對(duì)這些接口的全面描述請(qǐng)參見表 2。 ? 便于高密度數(shù)字話音接口與附加功能的整合，提供了一個(gè)非常節(jié)約成本的解決方案。例如，一個(gè)典型的分支機(jī)構(gòu)可能使用 Cisco 3660 系列產(chǎn)品進(jìn)行以下整合： －