【正文】 供應(yīng)用程序?qū)π畔⒑x進行評估，并就所應(yīng)做出的響應(yīng)提供決策。上述知識主要以管理軟件包形式出現(xiàn)，不僅有助于在故障發(fā)生的第一時間盡快診斷出問題根源并做出適當反應(yīng)，而且，還可通過就問題隱患向管理人員發(fā)出警告，并在其發(fā)生前提供解決方案建議的方式來預(yù)防故障事件的實際發(fā)生。MOM 2005主要具備以下特性和優(yōu)勢：1. 具備可擴展內(nèi)建知識儲備的管理軟件包。2. 集中化服務(wù)器事件與性能監(jiān)控特性。3. 具備高度可伸縮性的分布式體系結(jié)構(gòu)。4. 針對基于Windows操作系統(tǒng)的服務(wù)器性能實施監(jiān)控的能力。5. 針對基于Windows操作系統(tǒng)的服務(wù)器事件實施監(jiān)控的能力。6. 根據(jù)警告提示執(zhí)行專項操作的能力。7. 和第三方管理產(chǎn)品實現(xiàn)事件集成的能力和通過第三方廠商提供的管理軟件包實現(xiàn)對包括路由器和非Windows系統(tǒng)在內(nèi)的整體監(jiān)控能力。其中Microsoft Systems Management Server 2008 (SMS 2008)也是DSI發(fā)展路線圖上至關(guān)重要的一個組成部分。Systems Management Server 2008在系統(tǒng)漏洞檢測以及補丁管理上的特性：在Windows環(huán)境下分發(fā)任意更新清單管理和基于清單的目標軟件安裝安裝校驗和詳細報告可伸縮的內(nèi)容同步和安裝日程對安裝進行集中、完全的管理控制優(yōu)化內(nèi)容分發(fā)的帶寬第5章 系統(tǒng)安全系統(tǒng)安全是整個系統(tǒng)可靠運行和進行安全防范的基石，在統(tǒng)一設(shè)計原則下，在不同的安全層次，在預(yù)防、檢測和采取安全措施等各個階段，確保系統(tǒng)的持續(xù)穩(wěn)定運行，防止信息的損壞、泄露或被非法修改，并保證系統(tǒng)平臺的安全。一個完整的安全解決方案應(yīng)涵蓋系統(tǒng)中所有的用戶、網(wǎng)絡(luò)、主機、應(yīng)用服務(wù)器以及應(yīng)用程序，并建立高效、可靠的安全管理策略。某省培訓(xùn)平臺安全將包括以下幾個部分：。網(wǎng)絡(luò)安全關(guān)系到什么人對什么內(nèi)容具有訪問權(quán)，查明任何非法訪問或偶然訪問的入侵者，防止外來非法入侵和內(nèi)部攻擊，保證只有授權(quán)許可的通信或訪問才可以在客戶機和服務(wù)器之間建立連接。應(yīng)用系統(tǒng)安全包括用戶安全、數(shù)據(jù)安全存儲及數(shù)據(jù)傳輸安全。用戶安全包括用戶的身份識別、用戶認證數(shù)據(jù)的安全存放、用戶的權(quán)限管理等。數(shù)據(jù)安全存儲主要依靠數(shù)據(jù)庫的安全存放及訪問控制來保證，對于一些企業(yè)資信的敏感信息還要建立安全隔離的措施以及數(shù)據(jù)加密存放；數(shù)據(jù)傳輸安全包括數(shù)據(jù)保密性、完整性、來源正確性和不可抵賴性。為了保證企業(yè)征信系統(tǒng)的運行安全，相關(guān)機構(gòu)必須建立相應(yīng)的管理制度，如定期更換密鑰，專人管理，機房安全設(shè)置等措施。制定周密的防災(zāi)難方案，及時進行故障檢測和恢復(fù)，并能防治各種病毒。建立定期網(wǎng)絡(luò)及系統(tǒng)漏洞掃描的制度，從系統(tǒng)自身查找漏洞，將安全隱患杜絕在萌芽狀態(tài)。根據(jù)系統(tǒng)安全的各個層次要求，針對本項目的具體情況設(shè)計了相應(yīng)的安全架構(gòu)。安全防范方面安全產(chǎn)品及方案入侵檢測MS ISA2004產(chǎn)品線路加密信息產(chǎn)業(yè)部電子第三十研究所的SVPN技術(shù)（密鑰管理中心、IP加密機、客戶端S－SAS套件）網(wǎng)絡(luò)隔離上海隸平公司的信息安全交換器防病毒Symantec公司的Norton Antivus企業(yè)版防火墻Cisco公司的PIX525硬件防火墻微軟公司的安全防御系統(tǒng)ISA2004數(shù)據(jù)安全傳輸采集端采用SVPN線路加密撥號路由器訪問控制查詢服務(wù)區(qū)用戶到應(yīng)用服務(wù)器之間采用CA中心提供的基于數(shù)字證書的安全整體解決方案數(shù)據(jù)安全存儲利用隸平公司的信息安全交換器進行敏感數(shù)據(jù)的物理隔離和信息交換采取對敏感數(shù)據(jù)加密存放設(shè)定數(shù)據(jù)訪問級別控制和跟蹤審計撥號路由器訪問控制網(wǎng)絡(luò)安全包括防火墻技術(shù)，入侵檢測檢測技術(shù)、防病毒技術(shù)、VPN技術(shù)等； 網(wǎng)絡(luò)安全主要分為三個區(qū)域——服務(wù)區(qū)、網(wǎng)絡(luò)中心區(qū)、前置服務(wù)區(qū)分別考慮。服務(wù)區(qū)是直接面對某省培訓(xùn)平臺的最終用戶，最終用戶可以是政府、企業(yè)、社會等對象。其訪問的系統(tǒng)的連接方式可以多種，有通過報號和專線方式、未來可能有通過Internet方式接入。因此服務(wù)區(qū)的安全必須考慮開放系統(tǒng)遭受的任何攻擊。服務(wù)區(qū)主要負責來自外網(wǎng)的接入和服務(wù)訪問。服務(wù)區(qū)面對相對開放的網(wǎng)絡(luò)，其安全除了在路由器上部分安全設(shè)置外，主要依靠外層防火墻、入侵檢測、漏洞掃描、防病毒等措施。網(wǎng)絡(luò)中心區(qū)是某省培訓(xùn)平臺的核心保護區(qū)域，該區(qū)域包括各種應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器等重要設(shè)備。因此確保網(wǎng)絡(luò)及服務(wù)器的安全就非常重要。同樣其安全要求更高于服務(wù)區(qū)的級別。網(wǎng)絡(luò)中心區(qū)的安全同樣依靠內(nèi)層防火墻、入侵檢測、漏洞掃描防病毒等措施來保證安全。前置服務(wù)區(qū)是面向各省市政府機構(gòu)。該區(qū)域應(yīng)當確保數(shù)據(jù)傳輸?shù)陌踩?、完整性等特點。前置服務(wù)區(qū)面對專有網(wǎng)絡(luò)，服務(wù)特定用戶，除通過防火墻入侵檢測、漏洞掃描等措施保證訪問安全外，其安全還通過IP加密機與用戶端S－SAS套件構(gòu)建VPN數(shù)據(jù)專用安全通道。用戶通過專網(wǎng)訪問撥號路由器。另外，需要的話，可以在各委辦局側(cè)通過設(shè)置一個硬件通訊開關(guān)或采用信息安全交換器，通過設(shè)置在各機構(gòu)的前置機實現(xiàn)與各機構(gòu)數(shù)據(jù)的抽取、發(fā)送等。防火墻設(shè)置分為兩個層次，內(nèi)外層防火墻：外層防火墻對網(wǎng)站采取對來往的IP包按照設(shè)定的安全規(guī)則進行過濾、應(yīng)用代理和地址轉(zhuǎn)換等多種防御技術(shù)，可有效地防止黑客對內(nèi)部網(wǎng)絡(luò)的入侵。外層防火墻采用Cisco的PIX525硬件防火墻設(shè)備。內(nèi)層防火墻采用與外層防火墻不同廠家的產(chǎn)品，防止黑客對網(wǎng)絡(luò)中心區(qū)服務(wù)器的攻擊。內(nèi)層防火墻采用微軟網(wǎng)絡(luò)安全防御系統(tǒng)ISA。Microsoft Internet Security and Acceleration (ISA) Server 2004 提供了網(wǎng)絡(luò)，服務(wù)器間的受控的安全訪問，同時還可以作為提供快速web訪問響應(yīng)和離線訪問能力的代理服務(wù)器. 它的多層次架構(gòu)以及高級策略引擎在客戶需要的安全級別與資源之間的平衡上實現(xiàn)了精細的控制. 作為連接多個網(wǎng)絡(luò)的邊緣服務(wù)器, ISA Server 要比單位中其他的服務(wù)器處理更多的網(wǎng)絡(luò)流量，符合當前我國網(wǎng)絡(luò)安全防范與病毒防范項結(jié)合的趨勢。下表顯示了 ISA Server 2004 提供的主要功能。表 1：ISA Server 2004 功能一覽企業(yè)防火墻安全功能 說明 多層防火墻安全組織可以使用數(shù)據(jù)包、鏈路和應(yīng)用程序級別的通信篩選最大限度地增強安全性： 有狀態(tài)數(shù)據(jù)包篩選確定允許哪些數(shù)據(jù)包通過并到達受保護的網(wǎng)絡(luò)鏈路和應(yīng)用程序?qū)哟矸?wù)。有狀態(tài)篩選只在需要時自動打開端口，并在通信結(jié)束時關(guān)閉這些端口。 鏈路篩選為 Telnet、RealAudio、Windows Media 技術(shù)、IRC 以及許多其他 Internet 協(xié)議和服務(wù)的多平臺訪問提供了應(yīng)用程序透明的鏈路網(wǎng)關(guān)。與其他鏈路層代理不同，ISA Server 鏈路層安全可以與動態(tài)數(shù)據(jù)包篩選配合工作，從而增強安全性和易用性。 應(yīng)用程序篩選和有狀態(tài)檢查可以識別客戶端 PC 應(yīng)用程序協(xié)議（如 HTTP、FTP 和 Gopher）中的命令。ISA Server 2004 代表客戶端 PC 進行操作，并對外部網(wǎng)絡(luò)隱藏網(wǎng)絡(luò)拓撲結(jié)構(gòu)和 IP 地址。 有狀態(tài)檢查ISA Server 2004 以動態(tài)、智能化的方式對通過防火墻的通信執(zhí)行應(yīng)用程序?qū)佑袪顟B(tài)檢查。為確保通信的完整性并防止安全漏洞，在應(yīng)用程序?qū)訁f(xié)議和連接狀態(tài)的上下文中都進行此項檢查。智能應(yīng)用程序篩選通過使用應(yīng)用程序、命令和數(shù)據(jù)層篩選器控制應(yīng)用程序特定通信，ISA Server 2004 已經(jīng)超越了基本的應(yīng)用程序篩選。通過對 VPN、HTTP、FTP、SMTP、POPDNS、 會議、流媒體和 RPC 通信進行智能篩選，ISA Server 可以根據(jù)通信的內(nèi)容來接受、拒絕、重定向和修改通信。安全的服務(wù)器發(fā)布安全的服務(wù)器發(fā)布有助于保護 Web 服務(wù)器、電子郵件服務(wù)器和電子商務(wù)應(yīng)用程序免遭外部攻擊。ISA Server 2004 可以通過模擬已發(fā)布的服務(wù)器來添加一個安全層。Web 發(fā)布規(guī)則通過允許您指定可以訪問的計算機來保護內(nèi)部 Web 服務(wù)器。服務(wù)器發(fā)布規(guī)則保護內(nèi)部服務(wù)器免遭外部用戶的不可靠訪問。智能應(yīng)用程序篩選保護所有已發(fā)布的服務(wù)器免遭外部攻擊。入侵檢測使用集成的入侵檢測功能（基于 Internet 安全系統(tǒng)的技術(shù)），ISA Server 2004 可以在檢測到網(wǎng)絡(luò)入侵嘗試（如端口掃描、WinNuke 或 ping 失?。r生成警報并執(zhí)行操作。集成的虛擬專用網(wǎng)絡(luò)通過將其服務(wù)與 Windows 2000 和 Windows Server 2008 的 VPN 服務(wù)集成在一起，ISA Server 2004 使您能夠提供基于標準的安全遠程訪問，以將分支機構(gòu)和遠程用戶連接到企業(yè)網(wǎng)絡(luò)。您可以將 ISA Server 防火墻策略應(yīng)用于 VPN 連接，以獲得對 VPN 用戶可以訪問的資源和協(xié)議的精確控制。防火墻透明度通過用全球有效的 IP 地址替換內(nèi)部 IP 地址，SecureNAT 為所有 IP 客戶端提供了透明的防火墻訪問和保護，并且無需客戶端軟件或配置。成熟的應(yīng)用程序?qū)雍Y選器包括為 SecureNAT 客戶端提供復(fù)雜協(xié)議支持的連接管理功能。嚴格的用戶身份驗證ISA Server 2004 支持通過集成的 Windows 身份驗證（Windows NT/LAN 管理器和 Kerberos）對其防火墻和 Web 代理客戶端進行嚴格的用戶身份驗證。對于 Web 代理客戶端，本產(chǎn)品支持客戶端證書以及摘要式身份驗證、基本身份驗證、基于窗體的身份驗證和匿名 Web 身份驗證。ISA Server 可以根據(jù)防火墻或 Active Directory 上的本地用戶數(shù)據(jù)庫（也可以使用 RADIUS）對用戶進行身份驗證。SSL 到 SSL 的橋接對于需要經(jīng)過身份驗證和加密的客戶端訪問的 Web 服務(wù)器，ISA Server 2004 可以使用 SSL 到 SSL 的橋接提供端對端的安全性和應(yīng)用程序?qū)雍Y選。與大多數(shù)防火墻不同，ISA Server 2004 防火墻可以在加密數(shù)據(jù)到達 Web 服務(wù)器之前對其進行檢查。防火墻將 SSL 流解密，執(zhí)行有狀態(tài)檢查，然后重新加密數(shù)據(jù)并將其轉(zhuǎn)發(fā)到已發(fā)布的 Web 服務(wù)器。Web 緩存服務(wù)器功能 說明 高性能 Web 緩存ISA Server 2004 使用快速的 RAM 緩存和優(yōu)化的磁盤緩存來增強訪問 Internet Web 服務(wù)器的內(nèi)部客戶端和訪問企業(yè) Web 服務(wù)器的外部 Internet 用戶的 Web 性能。智能緩存常用對象的前瞻性緩存可為用戶提供最新的 Web 內(nèi)容。ISA Server 2004 根據(jù)對象在緩存中存在的時間以及上次檢索該對象的時間，自動確定最常用的 Web 站點及其內(nèi)容的刷新頻率。無需網(wǎng)絡(luò)管理員干預(yù)，ISA Server 2004 可在網(wǎng)絡(luò)使用率較低期間將 Web 內(nèi)容預(yù)加載到緩存中。此外，Web 緩存可以預(yù)加載 CD 或 DVD 介質(zhì)上存儲的脫機內(nèi)容。計劃緩存可以按照定義的計劃將整個 Web 站點預(yù)加載到緩存中。計劃下載可以確保為每個用戶提供最新的緩存內(nèi)容，同時使用戶可以使用脫機 Web 服務(wù)器上的內(nèi)容。直觀的防火墻管理功能 說明 基于策略的訪問控制可以根據(jù)用戶、組、應(yīng)用程序、來源、目的地、內(nèi)容和計劃控制入站和出站訪問。防火墻策略向?qū)е付ㄏ铝袃?nèi)容：可訪問哪些站點和內(nèi)容；入站和出站通信是否都可以訪問特定協(xié)議；以及是否允許指定 IP 地址（使用指定的協(xié)議和端口）之間的通信。簡化的管理ISA Server 2004 使您能將整個防火墻配置復(fù)制到 XML 文件中。通過將配置復(fù)制到可移動介質(zhì)或通過安全的電子郵件將其發(fā)送給其他防火墻管理員，可以輕松地創(chuàng)建一個組織通用的標準化防火墻配置。還可以將防火墻配置的選定元素復(fù)制到 XML 文件中，然后導(dǎo)入它們。Active Directory 集成ISA Server 2004 防火墻可以利用 Active Directory 中存儲的用戶數(shù)據(jù)庫對通過防火墻的入站和出站訪問進行身份驗證。圖形任務(wù)板和配置向?qū)D形任務(wù)板和配置向?qū)Э梢詭椭喕Ｒ姺阑饓θ蝿?wù)的配置。例如，向?qū)Э梢栽?ISA Server 2004 計算機之后的網(wǎng)絡(luò)上發(fā)布基于 Exchange Server 的服務(wù)器、將防火墻配置為 VPN 服務(wù)器或網(wǎng)關(guān)或者創(chuàng)建一個新的防火墻規(guī)則。遠程管理可以通過 Microsoft 管理控制臺 (MMC)、Windows 2000 終端服務(wù)、Windows Server 2008 遠程桌面和命令行腳本以遠程方式管理 ISA Server 2004。對于 Windows Server 2008 上安裝的 ISA Server 2004 防火墻，還可以使用安全的 SSL/遠程桌面協(xié)議 (RDP) 隧道進行遠程管理。 記錄、報告和警報ISA Server 2004 以標準數(shù)據(jù)格式（如分隔的文本文件、SQL 數(shù)據(jù)庫或 Microsoft 數(shù)據(jù)引擎 (MSDE) 數(shù)據(jù)庫）提供詳細的安全和訪問日志?？梢赃\行關(guān)于 Web 使用情況、應(yīng)用程序使用情況、網(wǎng)絡(luò)通信模式和安全性的計劃內(nèi)置報告，并可以自動將這些報告發(fā)布到本地文件夾或遠程文件共享。事件驅(qū)動的警報可以觸發(fā)向管理員發(fā)送電子郵件、啟動和停止防火墻服務(wù)以及根據(jù)警報條件執(zhí)行自動化操作。用戶級管理對于 ISA Server 2004 Web 代理和防火墻客戶端，不僅可以根據(jù) IP 地址還可以根據(jù)用戶名來限制訪問，從而對所有協(xié)議的入站和出站訪問進行更精細的控制。可擴展的平臺功能 說明 廣泛的應(yīng)用程序支持ISA Server 2004 支持許多 Internet 協(xié)議，包括 HTTP/SSL、FTP、RDP、Telnet、RealAudio、RealVideo、Internet 中繼聊天 (IRC)、Windows 媒體流以及電子郵件和新聞協(xié)議。廣泛的供應(yīng)商支持獨立供應(yīng)商提供構(gòu)建在 ISA Server 2004 上和與之集成的產(chǎn)品，包括病毒檢測軟件、管理工具以及內(nèi)容篩選和報告軟件。例如，可以使用第三方篩選器防止將最新的病毒、Java 腳本或 ActiveX 控件下載到受保護的網(wǎng)絡(luò)上