【正文】 在下一步對 XXXX 公司的電子商務(wù)平臺(tái)建設(shè)的詳細(xì)需求和目標(biāo)明確后，將給出一個(gè)更有針對性、更全面的詳細(xì)設(shè)計(jì)方案。此外，支持信息資產(chǎn)安全分級管理，各種安全管理策略可以按照：部門、IP 網(wǎng)段、 IP 范圍、設(shè)備組、操作系統(tǒng)類型、操作系統(tǒng)語言等條件定義安全管理策略的應(yīng)用范圍。? 內(nèi)置上百種監(jiān)控參數(shù)模板? 為了方便管理員設(shè)置要監(jiān)控的參數(shù)，LeagView TM 缺省帶了上百種監(jiān)控參數(shù)的配置模板，管理員只要選擇要監(jiān)控哪個(gè)設(shè)備的哪個(gè)參數(shù)。? 可自定義的監(jiān)控畫面? 管理員可以根據(jù)實(shí)際系統(tǒng)和管理理念，自己定義和組織監(jiān)控畫面，包括監(jiān)控畫面之間的層次結(jié)構(gòu)、監(jiān)控畫面內(nèi)容、監(jiān)控畫面的訪問權(quán)限。? 數(shù)據(jù)庫系統(tǒng)監(jiān)控? 支持主流數(shù)據(jù)庫系統(tǒng)的監(jiān)控，包括 SQL Server、DBOracle、Sybase；? 監(jiān)控?cái)?shù)據(jù)庫系統(tǒng)的服務(wù)狀態(tài)，數(shù)據(jù)庫服務(wù)主要進(jìn)程的狀態(tài)、CPU 利用率和內(nèi)存大小，數(shù)據(jù)庫表空間利用率、日志空間利用率、并發(fā)連接數(shù)，指定 SQL 語句的執(zhí)行效率。采用集中式管理方式，提供了以下多個(gè)方面的運(yùn)行監(jiān)控功能：? 網(wǎng)絡(luò)系統(tǒng)監(jiān)控? 支持主流網(wǎng)絡(luò)設(shè)備監(jiān)控，包括思科、華為、3Com、北電、阿爾卡特等；? 監(jiān)控網(wǎng)絡(luò)設(shè)備 CPU、內(nèi)存；? 監(jiān)控網(wǎng)絡(luò)線路的連通性、響應(yīng)時(shí)間、流量、帶寬利用率、廣播包、錯(cuò)包率、丟包率等。. 統(tǒng)一運(yùn)行監(jiān)控功能在系統(tǒng)監(jiān)控上，遵循 IT 服務(wù)管理標(biāo)準(zhǔn) ITIL 標(biāo)準(zhǔn)。? 可以方便靈活地安裝網(wǎng)段、部門、IP、操作系統(tǒng)類型等條件選擇軟件分發(fā)目標(biāo)。? 桌面安全主動(dòng)評估，發(fā)現(xiàn)安全隱患? 自動(dòng)發(fā)現(xiàn)存在安全隱患的 PC 機(jī)，并提示系統(tǒng)管理員和用戶要采取的彌補(bǔ)措施；? 桌面電腦網(wǎng)絡(luò)流量異常評估，及時(shí)發(fā)現(xiàn)異常流量桌面 PC；? 桌面電腦安全配置評估，及時(shí)發(fā)現(xiàn)安全設(shè)置不完善的桌面 PC；? 可疑注冊表項(xiàng)、可疑文件檢查；? 靈活配置各種安全隱患條件；? 多種方式控制/限制存在安全隱患的 PC 機(jī)接入內(nèi)部網(wǎng)絡(luò)。. 桌面安全管理功能具體來說，桌面安全管理采用集中式管理方式，提供了以下幾個(gè)方面的管理功能：? 網(wǎng)絡(luò)準(zhǔn)入控制，防止非法電腦接入? 支持基于 的網(wǎng)絡(luò)準(zhǔn)入控制；? 在非 的環(huán)境下，也可以實(shí)現(xiàn)接入控制；? 用戶可以自行定義多種準(zhǔn)入控制策略；? 防止有安全隱患的電腦或者非法電腦直接訪問內(nèi)部網(wǎng)絡(luò)。采用統(tǒng)一的 WEB 管理門戶，以 WEB 方式展現(xiàn)整個(gè) IT 系統(tǒng)的運(yùn)行狀況，包括桌面PC 的資產(chǎn)信息、安全信息，網(wǎng)絡(luò)、服務(wù)器、數(shù)據(jù)庫、應(yīng)用系統(tǒng)的故障和性能信息。確保在定義策略的前提下，每一類用戶或應(yīng)用都能獲得最佳的服務(wù)水平。每個(gè)設(shè)備都可以從本地解決方案升級為全局解決方案。13．完全集成的解決方案一個(gè)設(shè)備可以同時(shí)提供全局和本地的流量管理解決方案WSD 系列產(chǎn)品提供完整的集成解決方案，可以在一個(gè)設(shè)備中提供全局負(fù)網(wǎng)絡(luò)平臺(tái)系統(tǒng)暨信息安全建設(shè)整體解決方案建議書~ 29 ~載均衡的所有需要。12．無限的可擴(kuò)展性WSD 的全局流量管理解決方案提供無限的可擴(kuò)展性和投資保護(hù)。如果整個(gè)站點(diǎn)發(fā)生故障，則備用站點(diǎn)將自動(dòng)提供服務(wù)，確保整個(gè)服務(wù)可用。11．完全的冗余與容錯(cuò)通過提供多級冗余，WSD 在服務(wù)器、WSD 設(shè)備和站點(diǎn)之間三個(gè)層次提供冗余和容錯(cuò)。用戶還可以選擇這些方法的組合用于多階段流量分配。WSD 的內(nèi)容交換能力可以廣泛支持 SSL ID 和 Session ID， 保持客戶持續(xù)性，保證最佳流量管理和應(yīng)用內(nèi)容個(gè)性化。9．內(nèi)容交換內(nèi)容交換使管理員可以根據(jù)交易的內(nèi)容來分配服務(wù)器資源。每個(gè) URL 都可以重定向到某服務(wù)器，或在多個(gè)服務(wù)器之間進(jìn)行負(fù)載均衡，從而提供優(yōu)化的 Web 交換性能。Radware 還為運(yùn)行于動(dòng)態(tài)端口并要求同步的應(yīng)用設(shè)計(jì)了特殊支持功能。這樣，管理員就可以為不同類型的應(yīng)用程序分配不同的服務(wù)器資源。除了這些算法，WSD 還可以為每個(gè)服務(wù)器分配一個(gè)可以配置的性能加權(quán)，從而提高服務(wù)器組的性能。6．通過負(fù)載均衡優(yōu)化服務(wù)器資源WSD 執(zhí)行復(fù)雜的負(fù)載均衡算法，在多個(gè)本地和遠(yuǎn)程服務(wù)器間動(dòng)態(tài)分配負(fù)載。所以，在將新服務(wù)器引入服務(wù)器組時(shí)，WSD 將逐漸地增加分配到該服務(wù)器的流量，直至達(dá)到其完全的處理能力。從而保證了無中斷的優(yōu)質(zhì)服務(wù)，以及服務(wù)器組的簡易管理能力。當(dāng)選定某臺(tái)服務(wù)器要從服務(wù)器退出服務(wù)后，WSD 將不會(huì)將任何新的用戶分配到該服務(wù)器。并且所有的信息都可在設(shè)備間進(jìn)行鏡像，從而提供透明的冗余和完全的容錯(cuò)，確保在任何時(shí)候用戶都可以獲得從點(diǎn)擊到內(nèi)容的最佳服務(wù)。兩個(gè)設(shè)Hong KongRadwreNYCRadwreRadwreTokyRadwreLond20ms40ms 30ms10ms網(wǎng)絡(luò)平臺(tái)系統(tǒng)暨信息安全建設(shè)整體解決方案建議書~ 27 ~備通過網(wǎng)絡(luò)相互檢查各自的工作狀態(tài)，為其所管理的應(yīng)用保障完全的網(wǎng)絡(luò)可用性。如果存在一個(gè)故障服務(wù)器，WSD 則不會(huì)將用戶分配到這個(gè)發(fā)生故障路徑的服務(wù)器，從而保證為用戶提供透明的數(shù)據(jù)完整性保障。這可以保證用戶始終能夠獲得他們所期望的信息。WSD 可以監(jiān)視服務(wù)器在 IP、TCP、UDP、應(yīng)用和內(nèi)容等所有協(xié)議層上的工作狀態(tài)。設(shè)備的 SynApps應(yīng)用安全模塊能夠?qū)崟r(shí)偵測和阻止 1300 多種的黑客惡意攻擊和常見的惡性病毒，確保網(wǎng)絡(luò)資源的安全，并支持用戶自定義和實(shí)時(shí)更新的能力。確保在定義策略的前提下，每一類用戶或應(yīng)用都能獲得最佳的服務(wù)水平。 冗余配置：設(shè)備具有靈活的冗余配置能力，支持標(biāo)準(zhǔn) VRRP 冗余配置方式。 基于用戶針對前往目的地的跳數(shù)和測得的延遲所定義的均衡點(diǎn)，設(shè)備可確保每個(gè)會(huì)話實(shí)現(xiàn)最快的 Inter 服務(wù)響應(yīng)時(shí)間。設(shè)備具有鏈路健康檢查專用模塊，提供豐富的 2～7 層的健康檢查方式，并且具有獨(dú)有的 “與”“或”檢查結(jié)果綁定動(dòng)能，使用戶能夠完全按照自己的意愿檢查和判斷鏈路的健康。網(wǎng)絡(luò)平臺(tái)系統(tǒng)暨信息安全建設(shè)整體解決方案建議書~ 24 ~ I S P 1I S P 2I S P 3I S P 4應(yīng)實(shí)現(xiàn)如下功能：流量管理：設(shè)備通過使用智能網(wǎng)絡(luò)地址轉(zhuǎn)換（Smart NAT）和自動(dòng)流量路由實(shí)現(xiàn)了完備的地址配置處理，從而可提供透明的多宿主管理。為了避免單點(diǎn)故障，采用兩臺(tái)設(shè)備配置為冗余結(jié)構(gòu)。注意：標(biāo)準(zhǔn)的發(fā)布服務(wù)器版本中不包含此功能，發(fā)布服務(wù)器雙機(jī)是獨(dú)立的擴(kuò)展模塊。當(dāng)主發(fā)布服務(wù)器修復(fù)后，兩機(jī)同時(shí)工作，經(jīng)過一段時(shí)間的數(shù)據(jù)交接時(shí)間，熱備發(fā)布服務(wù)器重新進(jìn)入熱備狀態(tài)。顯然，熱備發(fā)布服務(wù)器失效不影響系統(tǒng)運(yùn)作，一旦在它修復(fù)后可以從主發(fā)布服務(wù)器恢復(fù)數(shù)據(jù)，進(jìn)入正常熱備狀態(tài)。在這種部署情形下，內(nèi)容管理系統(tǒng)（CMS）需要將內(nèi)容同時(shí)發(fā)布到兩臺(tái)系統(tǒng)服務(wù)器上。注意：標(biāo)準(zhǔn)的發(fā)布服務(wù)器版本已支持 Web 服務(wù)器集群。在失效期間，系統(tǒng)發(fā)布服務(wù)器會(huì)嘗試連接這臺(tái) Web 服務(wù)器，一旦它修復(fù)后重新工作，即可自動(dòng)進(jìn)行連接，并自動(dòng)進(jìn)行內(nèi)容同步。當(dāng)單臺(tái) Web 服務(wù)器失效時(shí)，由于 Web 服務(wù)器集群前端通常有負(fù)載均衡設(shè)備，因此，它并不影響公眾訪問網(wǎng)站。它實(shí)現(xiàn)了 2Xn 的同步機(jī)制（2 為發(fā)布服務(wù)器，n 為 Web 服務(wù)器），當(dāng) 2 或 n 的單點(diǎn)失效完全不影響系統(tǒng)的正常運(yùn)行，且在修復(fù)后自動(dòng)工作。. 平臺(tái)支持. Web 服務(wù)器端支持以下操作系統(tǒng)：? Microsoft/Windows NT/2022/XP/2022? Linux? Sun/Solaris? HP/HPUX? IBM/AIX支持以下 Web 服務(wù)器：? IIS? Apache? iPla? SunONE? Weblogic? WebSphere? resin? tomcat? HPAS網(wǎng)絡(luò)平臺(tái)系統(tǒng)暨信息安全建設(shè)整體解決方案建議書~ 21 ~. 發(fā)布服務(wù)器端需要如下軟硬件：? CPU：Intel PIII 或以上? 內(nèi)存：256M 或以上? 硬盤：整個(gè)網(wǎng)站容量 + 5G? 操作系統(tǒng)：Windows 2022 / Linux . 冗余部署. 概況Web 站點(diǎn)運(yùn)行的穩(wěn)定性是最關(guān)鍵的。. 監(jiān)控管理子系統(tǒng)負(fù)責(zé)篡改后自動(dòng)恢復(fù)，也提供系統(tǒng)管理員的使用界面。所有合法網(wǎng)頁的增加、修改和刪除都通過自動(dòng)發(fā)布子系統(tǒng)進(jìn)行。對于 Windows/Linux 系統(tǒng)，頁面保護(hù)子系統(tǒng)還包括一個(gè)增強(qiáng)型事件觸發(fā)式檢測模塊，該模塊駐留于操作系統(tǒng)內(nèi)核，使得大部分常規(guī)篡改手段失效。子系統(tǒng)依據(jù)不同的 Web 服務(wù)器使用不同的內(nèi)嵌技術(shù)實(shí)現(xiàn)，例如：ISAPI 、ApacheModule、NSAPI 、JAVAclass 等。系統(tǒng)一般情況下與內(nèi)容管理系統(tǒng)分開部署，當(dāng)然它也可以與內(nèi)容管理系統(tǒng)部署在一臺(tái)機(jī)器上，在這種情形下，系統(tǒng)還可以提供接口，與內(nèi)容管理系統(tǒng)進(jìn)行互相的功能調(diào)用，以實(shí)現(xiàn)整合性更強(qiáng)的功能。網(wǎng)頁變更后，由自動(dòng)發(fā)布子系統(tǒng)將其同步到 Web 服務(wù)器上。發(fā)布服務(wù)器上具有與 Web 服務(wù)器上的網(wǎng)站文件完全相同的目錄結(jié)構(gòu)，任何文件/ 目錄的變化都會(huì)自動(dòng)映射到 Web 服務(wù)器的相應(yīng)位置上。圖表 01 系統(tǒng)硬件部署為一個(gè)已有的 Web 站點(diǎn)部署系統(tǒng)時(shí)， Web 服務(wù)器和內(nèi)容管理系統(tǒng) (CMS)都沿用原來的機(jī)器，而需要在其間增加一臺(tái)發(fā)布服務(wù)器。? 發(fā)布服務(wù)器：位于內(nèi)網(wǎng)中，有著較高的安全防護(hù)級別，其上運(yùn)行自動(dòng)發(fā)布程序和管理子系統(tǒng)。在這里我們選用了中國最優(yōu)秀的網(wǎng)站防篡改系統(tǒng)，為企業(yè)的網(wǎng)站正常運(yùn)行打下堅(jiān)實(shí)的基礎(chǔ)。另外，系統(tǒng)內(nèi)應(yīng)盡可能選用經(jīng)國家相關(guān)主管部門批準(zhǔn)使用的安全數(shù)據(jù)庫，或者采用技術(shù)措施（如，安全中間件）對數(shù)據(jù)庫在數(shù)據(jù)存儲(chǔ)與訪問的機(jī)密性、完整性和可用性方面進(jìn)行安全增強(qiáng)改造。但由于我國尚無可供辦公和業(yè)務(wù)應(yīng)用的自主知識版權(quán)的操作系統(tǒng)，因此大多數(shù)采用 Unix、Windows 系列操作系統(tǒng)。而且，能夠同時(shí)監(jiān)控內(nèi)部和外部網(wǎng)絡(luò)行為的入侵檢測系統(tǒng)可以使安全策略更臻于完善。（5）加強(qiáng)網(wǎng)絡(luò)的安全管理借助網(wǎng)絡(luò) IDS 系統(tǒng)，網(wǎng)絡(luò)管理人員可以隨時(shí)了解人們正在進(jìn)行的網(wǎng)絡(luò)訪問。報(bào)警信息可以通過發(fā)送系統(tǒng)消息（PopUpMessage）、電子郵件、手機(jī)短信息、尋呼等多種方式通知系統(tǒng)管理員；并且所有的報(bào)警信息都將記錄網(wǎng)絡(luò)平臺(tái)系統(tǒng)暨信息安全建設(shè)整體解決方案建議書~ 16 ~到日志文件中，以備核查。（4）實(shí)時(shí)報(bào)警和響應(yīng)網(wǎng)絡(luò) IDS 在檢測到入侵行為后，可以根據(jù)用戶預(yù)先定義的事件響應(yīng)規(guī)則進(jìn)行實(shí)時(shí)的報(bào)警。通過對網(wǎng)絡(luò)會(huì)話的連接方式、連接端口以及連接中的特定內(nèi)容等特征的分析，可以有效地發(fā)現(xiàn)網(wǎng)絡(luò)中利用系統(tǒng)漏洞所進(jìn)行的非法行為。網(wǎng)絡(luò) IDS 可以監(jiān)控的誤操作、資源濫用和惡意行為有：? 對重要服務(wù)器的過于頻繁的訪問，致使系統(tǒng)效率下降；? 非授權(quán)用戶對重要服務(wù)器的多次登錄請求；? 對重要文件的拷貝、刪除和移動(dòng)；? 上網(wǎng)聊天、網(wǎng)絡(luò)游戲和上下載大型文件；? 瀏覽非法網(wǎng)站和不健康網(wǎng)站；? 利用 FTP、Tel、Web、聊天、電子郵件等泄露商業(yè)、技術(shù)機(jī)密。網(wǎng)絡(luò) IDS 可以根據(jù)用戶需要定義各種需檢測的安全事件，例如對特定目標(biāo)主機(jī)的訪問的檢測、對數(shù)據(jù)傳輸中包含的特定內(nèi)容的檢測。（2）監(jiān)控內(nèi)部人員的誤操作、資源濫用和惡意行為網(wǎng)絡(luò) IDS 記錄網(wǎng)絡(luò)行為的屬性、特征、來源和目標(biāo)，并能在控制臺(tái)的監(jiān)控視圖上顯示實(shí)時(shí)活動(dòng)的 TCP 連接和正在訪問的 URL。入侵檢測被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進(jìn)行監(jiān)測，從而提供對整個(gè)網(wǎng)絡(luò)系統(tǒng)的實(shí)時(shí)保護(hù)。入侵檢測功能是防火墻的合理補(bǔ)充，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、進(jìn)攻識別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。. 入侵檢測系統(tǒng)入侵檢測技術(shù)是一種利用入侵者留下的痕跡，如試圖登錄的失敗記錄等信息來有效地發(fā)現(xiàn)來自外部或內(nèi)部的非法入侵的技術(shù)。因此，漏洞掃描與入侵檢測在安全保護(hù)方面不但有共同的安全目標(biāo)，而且關(guān)系密切。漏洞掃描功能是協(xié)助安全管理、掌握網(wǎng)絡(luò)安全態(tài)勢的必要輔助手段，對使用這一工具的安全管理員或系統(tǒng)管理員有較高的技術(shù)素質(zhì)要求。主機(jī)漏洞掃描可以主動(dòng)發(fā)網(wǎng)絡(luò)平臺(tái)系統(tǒng)暨信息安全建設(shè)整體解決方案建議書~ 14 ~現(xiàn)主機(jī)系統(tǒng)中存在的系統(tǒng)缺陷和可能的安全漏洞，并提醒系統(tǒng)管理員對該缺陷和漏洞進(jìn)行修補(bǔ)或堵塞。本策略是為了有限的帶寬被合理的利用，保證服務(wù)器能正常的為外部客戶提供服務(wù). 漏洞掃描系統(tǒng)除利用防火墻控制對網(wǎng)絡(luò)的入侵外，還需要針對主機(jī)系統(tǒng)的漏洞采取檢查和發(fā)現(xiàn)措施。Inter用戶向公網(wǎng)地址發(fā)起連接，在防火墻的