【正文】 具體信息安全方案設計 就 中小型企業(yè)網(wǎng)絡服務平臺 安全建設的情況，結合系統(tǒng)的特點，我們設計如下信息安全防護方案： 序號 防護內(nèi)容 具體措施 采用設備 1 數(shù)據(jù)中心安全防護 在核心交換機上劃分 VLAN，實現(xiàn)邏輯隔離 核心交換機 針對數(shù)據(jù)中心的特點劃分安全域，明確安全域邊界，制定安全域邊界訪問控制策略 部署數(shù)據(jù)中心防火墻，作為安全域邊界防護設備 數(shù) 據(jù)中心防火墻 在數(shù)據(jù)中心交換機上劃分 VLAN，實現(xiàn)數(shù)據(jù)中心內(nèi)部各個安全區(qū)域（核心生產(chǎn)區(qū)、數(shù)據(jù)交換區(qū)、服務管理區(qū)、容災備份區(qū)等）邏輯隔離 數(shù)據(jù)中心交換機 數(shù)據(jù)中心交換機和數(shù)據(jù)中心防火墻形成 Trunk 連接，設定安全域邊界防護策略，即不同安全域的成員相互訪問必須經(jīng)數(shù)據(jù)中心防火墻過濾，符合條件方可進行數(shù)據(jù)訪問。 安全管理中心 ：安全管理中心是為整個信息安全系統(tǒng)搭建一個統(tǒng)一的管理平臺，該平臺通過 PKI/KMI、綜合安全審計平臺、安全運維中心等三個方面組成。安全管理制度是在落實和完善安全策略的基礎上，站在全院組織關系和信息安全管理、運維管理的角度，對安全策略進行分級、分層的落實，指導整個信息安全建設的承上啟下的環(huán)節(jié)。其中： 安全策略 ：安全策略是指為了保證中小型企業(yè)網(wǎng)絡服務平臺而特定的管理制度，它包含了全院的組織管理、信息安全制度管理等內(nèi)容。 網(wǎng)絡防病毒 終端管理 主機安全評估與加固 應用安全 提供 Web 服務系統(tǒng)漏洞風險； 文件服務器配置不當帶來的風險； 業(yè)務系統(tǒng)應用軟件本身的設計缺陷帶來的風險； 數(shù)據(jù)庫配置或自身漏洞帶來的風險。同時，對 于某一安全區(qū)域內(nèi)發(fā)生突發(fā)的安全事件，現(xiàn)有的安全管理手段很難迅速準確對這種風險進行快速響應，也無法快速定位威脅來源在哪里，因此也無法及時調(diào)整安全策略來應對這樣的安全事件。 Informix 不僅可以建立數(shù)據(jù)庫，還可以重構數(shù)據(jù)庫，其管理員權限非常 大，這也給黑客帶來了很多的機會，如果因為管理員口令不強，一旦有人使用管理員用戶非法登陸和配置，這樣就會直接構成中小型企業(yè)網(wǎng)絡服務平臺的客戶和資金流失。 中小型企業(yè)網(wǎng)絡服務平臺應用軟件如果存在以上的任何一種可能性，都會給中小型企業(yè)網(wǎng)絡服務 平臺帶來致命的威脅。 ? 源程序中出于程序調(diào)試的方便，人為設置許多“后門”。 ? Web 服務的某些目錄可寫。 ? 拒絕服務攻擊或分布式拒絕服務攻擊。 ? Web 頁面被惡意刪改。這些平臺、系統(tǒng)和服務主要依賴 Web Server、 FTP 服務、 Email 服務、瀏覽器等通用軟件，或者依賴商用數(shù)據(jù)庫、中間件等應用開發(fā)平臺所開發(fā)的應用軟件，這些通用程序和第三方開發(fā)的應用程序自身的安全漏洞和配置不當造成的安全脆弱性會導致整個系統(tǒng)的安全性下降。 42 內(nèi)部用戶誤操作 例如某些用戶在惡意網(wǎng)站上下載或 是錯誤使用了某些存儲介質(zhì)，從而導致計算機感染了病毒或木馬程序，很可能會給整個內(nèi)部網(wǎng)絡帶來災難性的破壞。其主要包括以下幾個方面： 主機系統(tǒng)漏洞 中小型企業(yè)網(wǎng)絡服務平臺系統(tǒng)應用紛繁復雜，內(nèi)部運行著大量的計算機設備，包括高端服務器以及大量的終端設備，尤其是核心服務器作為各種重要應用服務的載體，其操作系統(tǒng)也各有不同，對于不同的操作系統(tǒng)可能會存在不同的安全漏洞，這些安全漏洞隨時構成中小型企業(yè)網(wǎng)絡服務平臺系統(tǒng)的致命威脅。例如內(nèi)部安全意識較低的用戶，直接打開來自 Inter 的惡意郵件，就有可能感染木馬程序，這樣他就可能成為黑客的跳板，然后黑客可以利用他直接攻擊中小型企業(yè)網(wǎng)絡服務平臺內(nèi)部網(wǎng)絡。 病毒入侵 當前病毒威脅也非常嚴峻。因業(yè)務需要，中小型企業(yè)網(wǎng)絡服務平臺向Inter 提供多項服務，因為 Inter 的開放性，對于開放的每一項服務都有可能帶來黑客攻 擊。為了全面地對中小型企業(yè)網(wǎng)絡服務平臺安全威脅進行分析和歸類，根據(jù)安全風險的來源，我們參照業(yè)界通用的分析方法和國家39 《信息安全風險評估指南》，將中小型企業(yè)網(wǎng)絡服務平臺系統(tǒng)面臨的安全風險分為邊界安全風險、內(nèi)網(wǎng)安全風險、應用安全風 險和管理安全風險四個層面，針對每一層面分別具體分析所面臨的安全風險。 1同時應急庫系統(tǒng)上還保留一段時間內(nèi)的歸檔日志，所以用戶可以回退到故障發(fā)生的任意時間點。 一些不方便在生產(chǎn)庫上做的一些操作，實驗。 復制的時候支持網(wǎng)絡流量的控制和操作時間窗口，能夠適應窄帶寬和廣域網(wǎng)的環(huán)境。包括系統(tǒng)當機，服務器出現(xiàn)故障等等硬件，軟件故障。 B、如果生產(chǎn)庫數(shù)據(jù)崩潰，我們可以將上一次備份恢復，然后從應急庫里反向復制歸檔日志，并且回滾，從而重建生產(chǎn)數(shù)據(jù)庫 。每天做應急數(shù)據(jù)庫的冷拷貝備份（建議） (做應急庫的冷備份，可以保證數(shù)據(jù)在加一層安全拷貝，增加一道安全級別） 3）每天做本地數(shù)據(jù)庫的熱備份（也就是正常的磁帶備份，增加安全級別，同時模塊已經(jīng)含進去了） 應急啟動階段： 只要將應急數(shù)據(jù)庫啟動即可；（如果生產(chǎn)主機發(fā)生故障了，完全起不來了，就比如本地的服務器，網(wǎng)絡真?zhèn)€癱瘓了。 數(shù)據(jù)管理區(qū)總體設計如下表所示： 序號 設備名稱 基本參數(shù) 數(shù)量 單位 1 管理應用服 務器 應用服務器，采用國際知名品牌；應用服務器配置 2 顆英特爾至強 E5600系列 4 核處理器，處理器主頻至少 2G以上；每服務器配置 16GB 內(nèi)存，每臺服務器配置 3 塊 300GB 硬盤；每服務器配置一套智能數(shù)據(jù)保護軟件，可實現(xiàn)應 用服務器的故障快速恢復；應用服務器配置雙電源 6 套 容災系統(tǒng)架構設計 容災系統(tǒng)總體架構設計 在本項目中，我們設計采用 CDP 持續(xù)數(shù)據(jù)保護系統(tǒng)實現(xiàn)中小型企業(yè)網(wǎng)絡服務平臺業(yè)務系統(tǒng)的數(shù)據(jù)容災防護。同時該智能數(shù)據(jù)保護系統(tǒng)還支持物理服務器和虛擬服務器之間靈活的恢復功能。我們設計除了應用服務器自身的功能特點外，每服務器額外配置一套智能數(shù)據(jù)保護系統(tǒng)。因此在本項目的規(guī)劃中，我們設計采用 2 臺高性能服務器負載均衡設備，通過調(diào)度的技術，實現(xiàn)前端用戶對后端服務器發(fā)起應用請求時的信息負載均衡，提升信息系統(tǒng)運行的穩(wěn)定性、安全性和高效性。 首先，在數(shù)據(jù)中心交換機方面，由于應用系統(tǒng)采用多層應用架構，因此所有的業(yè)務請求都將經(jīng)數(shù)據(jù)中心交換機（數(shù)據(jù)中心匯聚交換機）發(fā)送至應用服務器。因此我們設計 在核心生產(chǎn)區(qū)中，首先由虛擬磁帶庫實現(xiàn)快速近線備份，在近線備份完成后，由虛擬磁帶庫和物理磁帶庫共同完成離線備份和數(shù)據(jù)歸檔。在日常生產(chǎn)中，我們設計每天中午和晚上各進行一次增量備份，每天夜里進行一次全備份，每周進行一次全備份，每月進行一次全備份。 雙機雙柜采用磁盤陣列冗余配置，徹底避免了磁盤陣列的單點故障，使得用戶的應用服務、關鍵數(shù)據(jù)均得到了保護，是一種完善的在線保護方案。 完整的核心生產(chǎn)區(qū)架構設計示意圖如下圖所示： 28 如上圖所示，在核心生產(chǎn)區(qū)，我們設計采用兩臺服務器作為數(shù)據(jù)庫服務器。 網(wǎng)絡系統(tǒng)設計 由于中小企業(yè)網(wǎng)絡服務平臺對于網(wǎng)絡系統(tǒng)的穩(wěn)定性、安全性和高效性的要求較高，我們在網(wǎng)絡系統(tǒng)設計過程中，以《 GBT 222392020 信息安全技術、信息系統(tǒng)安全等級保護基本要求》中關于網(wǎng)絡信息系統(tǒng)設計的標準，結合洛陽市的實際情況，設計如下完整網(wǎng)絡系統(tǒng)： 26 如上圖所示：在網(wǎng)絡系統(tǒng)設計過程中，以網(wǎng)絡核心交換機為核心， 分別設計數(shù)據(jù)中心網(wǎng)絡交換系統(tǒng)、容災備份中心網(wǎng)絡交換系統(tǒng)、終端用戶接入網(wǎng)絡交換系統(tǒng)、廣域網(wǎng)網(wǎng)絡交換系統(tǒng) 5 個子系統(tǒng)。在本方案中，我們設計在接入層交換機進行 VLAN劃分、訪問控制、流量控制等配置，提高網(wǎng)絡系統(tǒng)的安全性，減輕核心交換機運行的壓力。 容災備份區(qū)：容災備份區(qū)在建設規(guī)模上類似于數(shù)據(jù)中心。 統(tǒng)一管理服務 洛陽市中小企業(yè)網(wǎng)絡服務平臺建設架構提供系統(tǒng)管理所需要的支撐環(huán)境、工具、規(guī)范、方法等。 另一方面看，基礎設施是最容易出現(xiàn)重復建設的環(huán)節(jié)。這是許多電子政務系22 統(tǒng)已經(jīng)遇到并亟需解決的問題，也是中國電子政務建設的一個重點領域。 洛陽中小企業(yè)網(wǎng)絡服務平臺建設架構提供了建設的運行各種應用系統(tǒng)的共享平臺環(huán)境。 統(tǒng)一業(yè)務門戶支撐平臺提供了建設這些門戶的平臺環(huán)境。 下面對架構中的”四橫三縱“做簡要介紹。 系統(tǒng)的易管理性、整體的性價比。 系統(tǒng)的先進性、穩(wěn)定性。 首先是可靠性， 承載 核心數(shù)據(jù)在 的設備 一旦出現(xiàn)問題都會造成不可彌補的損失；同時要求服務器具有強大的性能和海量的數(shù)據(jù)處理能力，業(yè)務數(shù)據(jù)量大，更新速度快，系統(tǒng)服務器必須能夠快速的進行數(shù)據(jù)處理，同時滿足來自系統(tǒng) 錄入、 查詢、核對、傳遞、匯總等要求以及用戶的使用，要求服務器響應速度和處理能力必須突出。 四、項目實施方案 系統(tǒng)構架及其原則 洛陽市中小企業(yè)網(wǎng)絡服務平臺是 由一個統(tǒng)籌全 市 服務資源的樞紐服務平臺與若干個 “ 窗口 ” 服務平臺通過互聯(lián)互通、資源共享，共同構成的中小企業(yè)服務體系骨干架構和基礎環(huán)境。公司技術規(guī)劃和技術管理制度的落實，主要通過對研發(fā)項目、工程項目和服務項目的實施以及對技術人員的系統(tǒng)管理來實現(xiàn)。公司的領導已經(jīng)認識到企業(yè)未來的成功必然是建立在具有先進管理理念的企業(yè)運營體系基礎上的。 企業(yè)完善的質(zhì)量管理體系 科融公司從創(chuàng)立之日起就將建立科學的、適應市場競爭環(huán)境和自身發(fā)展需要的管理體系作為執(zhí)著追求的目標?！熬盼濉逼陂g， 信息工程大學承擔多項國家和軍隊的研究項目，基中國家自然科學基金項目 13 項，“ 863”項目 17 項，軍隊重點攻關項目 296 項， 90 年以來，有一百多項科研成果獲得國家、軍隊和省部級科技進步獎。 科融公司為不同行業(yè)客戶設計了專項的解決方案，并建立了可靠的咨詢和應急體系，對不同的客戶群設計了專項的培訓課程，這使公司在方案設計、專業(yè)咨詢、培訓體系和應急響應上處于領先地位。多年來，公司不斷加大人力資源引進力度，積極開展培訓活動，創(chuàng)建了一支富有活力的優(yōu)秀銷售團隊和具有戰(zhàn)斗力的技術團隊。同時建立“永遠為用戶著想”的人性化服務，配備專職的服務支持工程師和先進的服務設施，建立專業(yè)規(guī)范的服務制度，為用 戶提供就近、方便、周到、快速和準確的服務。 中小企業(yè)服務窗口平臺是市中小企業(yè)局面向全市中小企業(yè)提供14 各種服務的執(zhí)行機構，是政府聯(lián)系中小企業(yè)和各類社會中介機構的橋梁和紐帶。 小企業(yè)公共服務“窗口”平臺建設完成后將提供的主要服務內(nèi)容： ? 中小企業(yè) 合作項目服務 ? 新產(chǎn)品設計開發(fā)服務 ? 產(chǎn)權交易和融資擔保服務 ? 人才培訓 /招聘服務 ? 企業(yè)信息化服務 /企業(yè)電子商務平臺 ? 市場開發(fā) /產(chǎn)品推廣服務 13 ? 中小企業(yè)競爭情報等綜合信息服務 三、項目承擔單位概況 河南省科融科技有限公司成立于 2020 年，注冊資金 1000 萬元，資產(chǎn) 3000 多萬元，擁有員工 82 人，中級以上職稱者 80%以上，高級職稱及廠商認證工程師多人，其中：博士學位 2 人；碩士學位 23 人；大專以上學歷 61 人；各類認證工程師 35 人，已發(fā)展成為河南省 IT界內(nèi)從事技術開發(fā)、應用軟件推廣和研發(fā)、弱電系統(tǒng)集成和網(wǎng)絡設計于一體的 著名高新技術企業(yè)。建設信息化體驗室， 建設為各類軟件體驗、產(chǎn)品推介發(fā)布、新產(chǎn)品（設備）新技術新成果的應用推廣等提供基礎，打造特色中小企業(yè)和中小企業(yè)特色產(chǎn)品的孵化器，滿足中小企性化服務和體驗服務。 創(chuàng)業(yè)輔導服務區(qū) 平臺將依托創(chuàng)業(yè)服務數(shù)據(jù)庫和政策法規(guī)數(shù)據(jù)庫，向中小企業(yè)初創(chuàng)者提供策劃咨詢、手續(xù)代理、創(chuàng)業(yè)園地、人員培訓、技術應用、融資支持、登記注冊以及工商、稅務、能源、運輸、勞動就業(yè)、社會保障甚至財政支持等方面的政策咨詢和服務，幫助企業(yè)解決初創(chuàng)階段的突出困難，提高企業(yè)創(chuàng)辦成功率。 公共服務現(xiàn)場受理咨詢區(qū) 服務中心將作為政府政策信息發(fā)布、為企業(yè)服務事項辦理、開展交流交易和系列咨詢培訓活動的重要場所之一，集中、快捷、方便地幫助中小企業(yè)解決生產(chǎn)經(jīng)營中的共性需求和問題，為全市中小企業(yè)發(fā)展提供良好的環(huán)境。 項目提供的主要服務內(nèi)容 該項目建成后可提供以下服務： ? 中小企業(yè)合作項目服務 ? 新產(chǎn)品設計開發(fā)服務 ? 產(chǎn)權交易和融資擔保服務 9 ? 人才培訓 /招聘服務 ? 企業(yè)信息化服務 /電子商務平臺 ? 市場開發(fā) /產(chǎn)品推廣服務 ? 中小企業(yè)競爭情報等綜合信息服務 二、 項目建設目標和范圍 建設目標 以電子信息 技術為手段，以網(wǎng)絡為平臺，以知識管理為核心，有效整合各類社會資源，構架基于 web 方式的，服務于中小企業(yè)的網(wǎng)絡工作平臺。 從地域分布來看，國內(nèi)一些為中小企業(yè)服務的網(wǎng)站多建在經(jīng)濟發(fā)達地區(qū)如北京、上海、深圳、杭州等，而洛陽目前為中小企業(yè)服務的專業(yè)信息網(wǎng)絡平臺還多處于初級階段。 經(jīng)過近二十多年的實踐，電子信息技術已經(jīng)滲透到國民經(jīng)濟和社會生產(chǎn)的各個領域，并深刻地 影響著企業(yè)運營的方式。 因此，迅速整個各類社會有效資源，增強中介組織的服務水平和7 能力，切實滿足中小企業(yè)的需要，就成為完善我市中小企業(yè)公共服務“窗口”平臺體系的重要內(nèi)容。以信用擔保、 信息咨詢、人才培訓、技術創(chuàng)新為重點，建立多種形式的中小企業(yè)服務平臺，推動洛陽以城市為中心的中小企業(yè)服務體系建設逐步展開。因此，從經(jīng)濟建設實際情況出發(fā)，加快“窗口”服務平臺的建設，以