【正文】 供應(yīng)用程序?qū)π畔⒑x進(jìn)行評估，并就所應(yīng)做出的響應(yīng)提供決策。上述知識主要以管理軟件包形式出現(xiàn)，不僅有助于在故障發(fā)生的第一時間盡快診斷出問題根源并做出適當(dāng)反應(yīng)，而且，還可通過就問題隱患向管理人員發(fā)出警告，并在其發(fā)生前提供解決方案建議的方式來預(yù)防故障事件的實(shí)際發(fā)生。MOM 2005主要具備以下特性和優(yōu)勢：1. 具備可擴(kuò)展內(nèi)建知識儲備的管理軟件包。2. 集中化服務(wù)器事件與性能監(jiān)控特性。3. 具備高度可伸縮性的分布式體系結(jié)構(gòu)。4. 針對基于Windows操作系統(tǒng)的服務(wù)器性能實(shí)施監(jiān)控的能力。5. 針對基于Windows操作系統(tǒng)的服務(wù)器事件實(shí)施監(jiān)控的能力。6. 根據(jù)警告提示執(zhí)行專項(xiàng)操作的能力。7. 和第三方管理產(chǎn)品實(shí)現(xiàn)事件集成的能力和通過第三方廠商提供的管理軟件包實(shí)現(xiàn)對包括路由器和非Windows系統(tǒng)在內(nèi)的整體監(jiān)控能力。其中Microsoft Systems Management Server 2008 (SMS 2008)也是DSI發(fā)展路線圖上至關(guān)重要的一個組成部分。Systems Management Server 2008在系統(tǒng)漏洞檢測以及補(bǔ)丁管理上的特性：在Windows環(huán)境下分發(fā)任意更新清單管理和基于清單的目標(biāo)軟件安裝安裝校驗(yàn)和詳細(xì)報告可伸縮的內(nèi)容同步和安裝日程對安裝進(jìn)行集中、完全的管理控制優(yōu)化內(nèi)容分發(fā)的帶寬第5章 系統(tǒng)安全系統(tǒng)安全是整個系統(tǒng)可靠運(yùn)行和進(jìn)行安全防范的基石，在統(tǒng)一設(shè)計(jì)原則下，在不同的安全層次，在預(yù)防、檢測和采取安全措施等各個階段，確保系統(tǒng)的持續(xù)穩(wěn)定運(yùn)行，防止信息的損壞、泄露或被非法修改，并保證系統(tǒng)平臺的安全。一個完整的安全解決方案應(yīng)涵蓋系統(tǒng)中所有的用戶、網(wǎng)絡(luò)、主機(jī)、應(yīng)用服務(wù)器以及應(yīng)用程序，并建立高效、可靠的安全管理策略。某省培訓(xùn)平臺安全將包括以下幾個部分：。網(wǎng)絡(luò)安全關(guān)系到什么人對什么內(nèi)容具有訪問權(quán)，查明任何非法訪問或偶然訪問的入侵者，防止外來非法入侵和內(nèi)部攻擊，保證只有授權(quán)許可的通信或訪問才可以在客戶機(jī)和服務(wù)器之間建立連接。應(yīng)用系統(tǒng)安全包括用戶安全、數(shù)據(jù)安全存儲及數(shù)據(jù)傳輸安全。用戶安全包括用戶的身份識別、用戶認(rèn)證數(shù)據(jù)的安全存放、用戶的權(quán)限管理等。數(shù)據(jù)安全存儲主要依靠數(shù)據(jù)庫的安全存放及訪問控制來保證，對于一些企業(yè)資信的敏感信息還要建立安全隔離的措施以及數(shù)據(jù)加密存放；數(shù)據(jù)傳輸安全包括數(shù)據(jù)保密性、完整性、來源正確性和不可抵賴性。為了保證企業(yè)征信系統(tǒng)的運(yùn)行安全，相關(guān)機(jī)構(gòu)必須建立相應(yīng)的管理制度，如定期更換密鑰，專人管理，機(jī)房安全設(shè)置等措施。制定周密的防災(zāi)難方案，及時進(jìn)行故障檢測和恢復(fù)，并能防治各種病毒。建立定期網(wǎng)絡(luò)及系統(tǒng)漏洞掃描的制度，從系統(tǒng)自身查找漏洞，將安全隱患杜絕在萌芽狀態(tài)。根據(jù)系統(tǒng)安全的各個層次要求，針對本項(xiàng)目的具體情況設(shè)計(jì)了相應(yīng)的安全架構(gòu)。安全防范方面安全產(chǎn)品及方案入侵檢測MS ISA2004產(chǎn)品線路加密信息產(chǎn)業(yè)部電子第三十研究所的SVPN技術(shù)（密鑰管理中心、IP加密機(jī)、客戶端S－SAS套件）網(wǎng)絡(luò)隔離上海隸平公司的信息安全交換器防病毒Symantec公司的Norton Antivus企業(yè)版防火墻Cisco公司的PIX525硬件防火墻微軟公司的安全防御系統(tǒng)ISA2004數(shù)據(jù)安全傳輸采集端采用SVPN線路加密撥號路由器訪問控制查詢服務(wù)區(qū)用戶到應(yīng)用服務(wù)器之間采用CA中心提供的基于數(shù)字證書的安全整體解決方案數(shù)據(jù)安全存儲利用隸平公司的信息安全交換器進(jìn)行敏感數(shù)據(jù)的物理隔離和信息交換采取對敏感數(shù)據(jù)加密存放設(shè)定數(shù)據(jù)訪問級別控制和跟蹤審計(jì)撥號路由器訪問控制網(wǎng)絡(luò)安全包括防火墻技術(shù)，入侵檢測檢測技術(shù)、防病毒技術(shù)、VPN技術(shù)等； 網(wǎng)絡(luò)安全主要分為三個區(qū)域——服務(wù)區(qū)、網(wǎng)絡(luò)中心區(qū)、前置服務(wù)區(qū)分別考慮。服務(wù)區(qū)是直接面對某省培訓(xùn)平臺的最終用戶，最終用戶可以是政府、企業(yè)、社會等對象。其訪問的系統(tǒng)的連接方式可以多種，有通過報號和專線方式、未來可能有通過Internet方式接入。因此服務(wù)區(qū)的安全必須考慮開放系統(tǒng)遭受的任何攻擊。服務(wù)區(qū)主要負(fù)責(zé)來自外網(wǎng)的接入和服務(wù)訪問。服務(wù)區(qū)面對相對開放的網(wǎng)絡(luò)，其安全除了在路由器上部分安全設(shè)置外，主要依靠外層防火墻、入侵檢測、漏洞掃描、防病毒等措施。網(wǎng)絡(luò)中心區(qū)是某省培訓(xùn)平臺的核心保護(hù)區(qū)域，該區(qū)域包括各種應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器等重要設(shè)備。因此確保網(wǎng)絡(luò)及服務(wù)器的安全就非常重要。同樣其安全要求更高于服務(wù)區(qū)的級別。網(wǎng)絡(luò)中心區(qū)的安全同樣依靠內(nèi)層防火墻、入侵檢測、漏洞掃描防病毒等措施來保證安全。前置服務(wù)區(qū)是面向各省市政府機(jī)構(gòu)。該區(qū)域應(yīng)當(dāng)確保數(shù)據(jù)傳輸?shù)陌踩浴⑼暾缘忍攸c(diǎn)。前置服務(wù)區(qū)面對專有網(wǎng)絡(luò)，服務(wù)特定用戶，除通過防火墻入侵檢測、漏洞掃描等措施保證訪問安全外，其安全還通過IP加密機(jī)與用戶端S－SAS套件構(gòu)建VPN數(shù)據(jù)專用安全通道。用戶通過專網(wǎng)訪問撥號路由器。另外，需要的話，可以在各委辦局側(cè)通過設(shè)置一個硬件通訊開關(guān)或采用信息安全交換器，通過設(shè)置在各機(jī)構(gòu)的前置機(jī)實(shí)現(xiàn)與各機(jī)構(gòu)數(shù)據(jù)的抽取、發(fā)送等。防火墻設(shè)置分為兩個層次，內(nèi)外層防火墻：外層防火墻對網(wǎng)站采取對來往的IP包按照設(shè)定的安全規(guī)則進(jìn)行過濾、應(yīng)用代理和地址轉(zhuǎn)換等多種防御技術(shù)，可有效地防止黑客對內(nèi)部網(wǎng)絡(luò)的入侵。外層防火墻采用Cisco的PIX525硬件防火墻設(shè)備。內(nèi)層防火墻采用與外層防火墻不同廠家的產(chǎn)品，防止黑客對網(wǎng)絡(luò)中心區(qū)服務(wù)器的攻擊。內(nèi)層防火墻采用微軟網(wǎng)絡(luò)安全防御系統(tǒng)ISA。Microsoft Internet Security and Acceleration (ISA) Server 2004 提供了網(wǎng)絡(luò)，服務(wù)器間的受控的安全訪問，同時還可以作為提供快速web訪問響應(yīng)和離線訪問能力的代理服務(wù)器. 它的多層次架構(gòu)以及高級策略引擎在客戶需要的安全級別與資源之間的平衡上實(shí)現(xiàn)了精細(xì)的控制. 作為連接多個網(wǎng)絡(luò)的邊緣服務(wù)器, ISA Server 要比單位中其他的服務(wù)器處理更多的網(wǎng)絡(luò)流量，符合當(dāng)前我國網(wǎng)絡(luò)安全防范與病毒防范項(xiàng)結(jié)合的趨勢。下表顯示了 ISA Server 2004 提供的主要功能。表 1：ISA Server 2004 功能一覽企業(yè)防火墻安全功能 說明 多層防火墻安全組織可以使用數(shù)據(jù)包、鏈路和應(yīng)用程序級別的通信篩選最大限度地增強(qiáng)安全性： 有狀態(tài)數(shù)據(jù)包篩選確定允許哪些數(shù)據(jù)包通過并到達(dá)受保護(hù)的網(wǎng)絡(luò)鏈路和應(yīng)用程序?qū)哟矸?wù)。有狀態(tài)篩選只在需要時自動打開端口，并在通信結(jié)束時關(guān)閉這些端口。 鏈路篩選為 Telnet、RealAudio、Windows Media 技術(shù)、IRC 以及許多其他 Internet 協(xié)議和服務(wù)的多平臺訪問提供了應(yīng)用程序透明的鏈路網(wǎng)關(guān)。與其他鏈路層代理不同，ISA Server 鏈路層安全可以與動態(tài)數(shù)據(jù)包篩選配合工作，從而增強(qiáng)安全性和易用性。 應(yīng)用程序篩選和有狀態(tài)檢查可以識別客戶端 PC 應(yīng)用程序協(xié)議（如 HTTP、FTP 和 Gopher）中的命令。ISA Server 2004 代表客戶端 PC 進(jìn)行操作，并對外部網(wǎng)絡(luò)隱藏網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和 IP 地址。 有狀態(tài)檢查ISA Server 2004 以動態(tài)、智能化的方式對通過防火墻的通信執(zhí)行應(yīng)用程序?qū)佑袪顟B(tài)檢查。為確保通信的完整性并防止安全漏洞，在應(yīng)用程序?qū)訁f(xié)議和連接狀態(tài)的上下文中都進(jìn)行此項(xiàng)檢查。智能應(yīng)用程序篩選通過使用應(yīng)用程序、命令和數(shù)據(jù)層篩選器控制應(yīng)用程序特定通信，ISA Server 2004 已經(jīng)超越了基本的應(yīng)用程序篩選。通過對 VPN、HTTP、FTP、SMTP、POPDNS、 會議、流媒體和 RPC 通信進(jìn)行智能篩選，ISA Server 可以根據(jù)通信的內(nèi)容來接受、拒絕、重定向和修改通信。安全的服務(wù)器發(fā)布安全的服務(wù)器發(fā)布有助于保護(hù) Web 服務(wù)器、電子郵件服務(wù)器和電子商務(wù)應(yīng)用程序免遭外部攻擊。ISA Server 2004 可以通過模擬已發(fā)布的服務(wù)器來添加一個安全層。Web 發(fā)布規(guī)則通過允許您指定可以訪問的計(jì)算機(jī)來保護(hù)內(nèi)部 Web 服務(wù)器。服務(wù)器發(fā)布規(guī)則保護(hù)內(nèi)部服務(wù)器免遭外部用戶的不可靠訪問。智能應(yīng)用程序篩選保護(hù)所有已發(fā)布的服務(wù)器免遭外部攻擊。入侵檢測使用集成的入侵檢測功能（基于 Internet 安全系統(tǒng)的技術(shù)），ISA Server 2004 可以在檢測到網(wǎng)絡(luò)入侵嘗試（如端口掃描、WinNuke 或 ping 失?。r生成警報并執(zhí)行操作。集成的虛擬專用網(wǎng)絡(luò)通過將其服務(wù)與 Windows 2000 和 Windows Server 2008 的 VPN 服務(wù)集成在一起，ISA Server 2004 使您能夠提供基于標(biāo)準(zhǔn)的安全遠(yuǎn)程訪問，以將分支機(jī)構(gòu)和遠(yuǎn)程用戶連接到企業(yè)網(wǎng)絡(luò)。您可以將 ISA Server 防火墻策略應(yīng)用于 VPN 連接，以獲得對 VPN 用戶可以訪問的資源和協(xié)議的精確控制。防火墻透明度通過用全球有效的 IP 地址替換內(nèi)部 IP 地址，SecureNAT 為所有 IP 客戶端提供了透明的防火墻訪問和保護(hù)，并且無需客戶端軟件或配置。成熟的應(yīng)用程序?qū)雍Y選器包括為 SecureNAT 客戶端提供復(fù)雜協(xié)議支持的連接管理功能。嚴(yán)格的用戶身份驗(yàn)證ISA Server 2004 支持通過集成的 Windows 身份驗(yàn)證（Windows NT/LAN 管理器和 Kerberos）對其防火墻和 Web 代理客戶端進(jìn)行嚴(yán)格的用戶身份驗(yàn)證。對于 Web 代理客戶端，本產(chǎn)品支持客戶端證書以及摘要式身份驗(yàn)證、基本身份驗(yàn)證、基于窗體的身份驗(yàn)證和匿名 Web 身份驗(yàn)證。ISA Server 可以根據(jù)防火墻或 Active Directory 上的本地用戶數(shù)據(jù)庫（也可以使用 RADIUS）對用戶進(jìn)行身份驗(yàn)證。SSL 到 SSL 的橋接對于需要經(jīng)過身份驗(yàn)證和加密的客戶端訪問的 Web 服務(wù)器，ISA Server 2004 可以使用 SSL 到 SSL 的橋接提供端對端的安全性和應(yīng)用程序?qū)雍Y選。與大多數(shù)防火墻不同，ISA Server 2004 防火墻可以在加密數(shù)據(jù)到達(dá) Web 服務(wù)器之前對其進(jìn)行檢查。防火墻將 SSL 流解密，執(zhí)行有狀態(tài)檢查，然后重新加密數(shù)據(jù)并將其轉(zhuǎn)發(fā)到已發(fā)布的 Web 服務(wù)器。Web 緩存服務(wù)器功能 說明 高性能 Web 緩存ISA Server 2004 使用快速的 RAM 緩存和優(yōu)化的磁盤緩存來增強(qiáng)訪問 Internet Web 服務(wù)器的內(nèi)部客戶端和訪問企業(yè) Web 服務(wù)器的外部 Internet 用戶的 Web 性能。智能緩存常用對象的前瞻性緩存可為用戶提供最新的 Web 內(nèi)容。ISA Server 2004 根據(jù)對象在緩存中存在的時間以及上次檢索該對象的時間，自動確定最常用的 Web 站點(diǎn)及其內(nèi)容的刷新頻率。無需網(wǎng)絡(luò)管理員干預(yù)，ISA Server 2004 可在網(wǎng)絡(luò)使用率較低期間將 Web 內(nèi)容預(yù)加載到緩存中。此外，Web 緩存可以預(yù)加載 CD 或 DVD 介質(zhì)上存儲的脫機(jī)內(nèi)容。計(jì)劃緩存可以按照定義的計(jì)劃將整個 Web 站點(diǎn)預(yù)加載到緩存中。計(jì)劃下載可以確保為每個用戶提供最新的緩存內(nèi)容，同時使用戶可以使用脫機(jī) Web 服務(wù)器上的內(nèi)容。直觀的防火墻管理功能 說明 基于策略的訪問控制可以根據(jù)用戶、組、應(yīng)用程序、來源、目的地、內(nèi)容和計(jì)劃控制入站和出站訪問。防火墻策略向?qū)е付ㄏ铝袃?nèi)容：可訪問哪些站點(diǎn)和內(nèi)容；入站和出站通信是否都可以訪問特定協(xié)議；以及是否允許指定 IP 地址（使用指定的協(xié)議和端口）之間的通信。簡化的管理ISA Server 2004 使您能將整個防火墻配置復(fù)制到 XML 文件中。通過將配置復(fù)制到可移動介質(zhì)或通過安全的電子郵件將其發(fā)送給其他防火墻管理員，可以輕松地創(chuàng)建一個組織通用的標(biāo)準(zhǔn)化防火墻配置。還可以將防火墻配置的選定元素復(fù)制到 XML 文件中，然后導(dǎo)入它們。Active Directory 集成ISA Server 2004 防火墻可以利用 Active Directory 中存儲的用戶數(shù)據(jù)庫對通過防火墻的入站和出站訪問進(jìn)行身份驗(yàn)證。圖形任務(wù)板和配置向?qū)D形任務(wù)板和配置向?qū)Э梢詭椭喕Ｒ姺阑饓θ蝿?wù)的配置。例如，向?qū)Э梢栽?ISA Server 2004 計(jì)算機(jī)之后的網(wǎng)絡(luò)上發(fā)布基于 Exchange Server 的服務(wù)器、將防火墻配置為 VPN 服務(wù)器或網(wǎng)關(guān)或者創(chuàng)建一個新的防火墻規(guī)則。遠(yuǎn)程管理可以通過 Microsoft 管理控制臺 (MMC)、Windows 2000 終端服務(wù)、Windows Server 2008 遠(yuǎn)程桌面和命令行腳本以遠(yuǎn)程方式管理 ISA Server 2004。對于 Windows Server 2008 上安裝的 ISA Server 2004 防火墻，還可以使用安全的 SSL/遠(yuǎn)程桌面協(xié)議 (RDP) 隧道進(jìn)行遠(yuǎn)程管理。 記錄、報告和警報ISA Server 2004 以標(biāo)準(zhǔn)數(shù)據(jù)格式（如分隔的文本文件、SQL 數(shù)據(jù)庫或 Microsoft 數(shù)據(jù)引擎 (MSDE) 數(shù)據(jù)庫）提供詳細(xì)的安全和訪問日志?？梢赃\(yùn)行關(guān)于 Web 使用情況、應(yīng)用程序使用情況、網(wǎng)絡(luò)通信模式和安全性的計(jì)劃內(nèi)置報告，并可以自動將這些報告發(fā)布到本地文件夾或遠(yuǎn)程文件共享。事件驅(qū)動的警報可以觸發(fā)向管理員發(fā)送電子郵件、啟動和停止防火墻服務(wù)以及根據(jù)警報條件執(zhí)行自動化操作。用戶級管理對于 ISA Server 2004 Web 代理和防火墻客戶端，不僅可以根據(jù) IP 地址還可以根據(jù)用戶名來限制訪問，從而對所有協(xié)議的入站和出站訪問進(jìn)行更精細(xì)的控制。可擴(kuò)展的平臺功能 說明 廣泛的應(yīng)用程序支持ISA Server 2004 支持許多 Internet 協(xié)議，包括 HTTP/SSL、FTP、RDP、Telnet、RealAudio、RealVideo、Internet 中繼聊天 (IRC)、Windows 媒體流以及電子郵件和新聞協(xié)議。廣泛的供應(yīng)商支持獨(dú)立供應(yīng)商提供構(gòu)建在 ISA Server 2004 上和與之集成的產(chǎn)品，包括病毒檢測軟件、管理工具以及內(nèi)容篩選和報告軟件。例如，可以使用第三方篩選器防止將最新的病毒、Java 腳本或 ActiveX 控件下載到受保護(hù)的網(wǎng)絡(luò)上