【正文】 結(jié)構(gòu)的完整性。4． 對于數(shù)據(jù)庫這一塊，我定期使用（每月一次）最新的數(shù)據(jù)庫攻擊工具來對數(shù)據(jù)庫進行模擬攻擊，以達(dá)到對數(shù)據(jù)庫的安全性進行改善。2． WEB服務(wù)方面，對于外網(wǎng)，定期使用（每月一次）acunetix web scanner進行檢測所有的網(wǎng)站，對于網(wǎng)站程序的安全，進行一些模擬攻擊測試。3． 信息安全是一個整體工程，滲透測試有助于組織中所有的成員意識到自己的崗位同樣可能提高或降低風(fēng)險，有助于內(nèi)部安全的提升；當(dāng)然，滲透性測試并不能保證發(fā)現(xiàn)目標(biāo)網(wǎng)絡(luò)中的“所有”弱點，因此我們不宜片面強調(diào)它的重要性。 滲透性測試是一種專業(yè)的安全服務(wù)，類似于軍隊里的“實戰(zhàn)演習(xí)”或者“沙盤推演”的概念，通過實戰(zhàn)和推演，讓用戶清晰的了解目前網(wǎng)絡(luò)的脆弱性、可能造成的損失，以便采取必要的防范措施。 滲透性測試滲透性測試是指安全工程師盡可能的完整地模擬黑客的漏洞發(fā)現(xiàn)技術(shù)和攻擊手段，對目標(biāo)網(wǎng)絡(luò)/系統(tǒng)/主機/應(yīng)用的安全性作深入的探測，發(fā)現(xiàn)系統(tǒng)最脆弱的環(huán)節(jié)的過程。對于公司辦公網(wǎng)安全，有以下需要完善：殺毒軟件系統(tǒng)的布署，由于公司的員工電腦，全部使用windows，windows平臺本身就是病毒木馬黑客喜歡光臨的地方，所以一整套的殺毒軟件系統(tǒng)布署是必須的。對于網(wǎng)絡(luò)設(shè)備安全，我們目前的方法是關(guān)掉所有不用的服務(wù)，對登錄和通訊端口做一些訪問控制的限制，基本上從這個層面出問題的基率是比較小的。另外，可以加上動態(tài)口令卡來配合使用。對于數(shù)據(jù)庫安全方面：1． 設(shè)置強密碼2． 打好最新數(shù)據(jù)庫補丁3． 做好備份策略4． 限制特定的IP訪問5． 可以考慮使用商業(yè)加密軟件來對數(shù)據(jù)進行加密6． 定期對數(shù)據(jù)庫進行滲透性測試（推薦一個月一次）7． 定期對數(shù)據(jù)庫前端的注冊網(wǎng)站進行滲透性、溢出測試（推薦一個月一次）對于網(wǎng)站安全，我們的開發(fā)模式是j2ee，需要走apache+resin+mysql的方式來布署，程序方面會有QA部門進行程序的QA，系統(tǒng)層面，我們會采用在各個軟件上開最少模塊加一些過濾的程序，來布署上面這些軟件，整個流程為：布署功能測試安全測試成功簽立上線通知書按時間點上線 對于系統(tǒng)安全，安裝的時候，只裝可用的包，打上最新補丁，盡量減化，利用現(xiàn)有的系統(tǒng)iptables設(shè)立標(biāo)準(zhǔn)的防火墻，允許特定的通迅端口和IP地址，達(dá)到一個縱深防御的功能。在安全優(yōu)先級上劃分：A為最高，C為最低。對于高風(fēng)險的地方，我們嚴(yán)格設(shè)置訪問控制來檢測所有進出的數(shù)據(jù)，對于中風(fēng)險的地方，我們也需要在不影響業(yè)務(wù)的情況下來限制用戶進出的數(shù)據(jù)，以達(dá)到黑客即使攻入第一道門也被第二道門攔在門口。l 各內(nèi)部網(wǎng)段之間的連接情況比較復(fù)雜，難以界定各網(wǎng)段的職能。在網(wǎng)絡(luò)安全邊界的確定過程中，需要解決以下安全隱患：l 在Internet和內(nèi)部網(wǎng)之間沒有明晰的界限，網(wǎng)絡(luò)的邊緣不清晰，存在著內(nèi)外混雜的情況。 網(wǎng)絡(luò)安全的分界對于網(wǎng)絡(luò)安全來說，首先需要明確的是網(wǎng)絡(luò)安全的邊界。實際上證明，大多數(shù)被攻擊的網(wǎng)絡(luò)，大都是由不規(guī)范的操作所引起的，不規(guī)范的操作大都是由于工作人員的執(zhí)行力不夠，未能按照事先規(guī)范的操作來工作。安全方面的策略主要為一些對常用端口的訪問控制。總結(jié)一下，安全是一個系統(tǒng)工程，缺少一個環(huán)節(jié)或者一個點出現(xiàn)問題可能導(dǎo)致整個安全系統(tǒng)的崩潰。 就目前的情況來看，主要是設(shè)計方案的工作，與以上幾個階段還有一定差距。階段3為應(yīng)用層安全解決方案。階段1為網(wǎng)絡(luò)層安全解決方案，在網(wǎng)絡(luò)層安全解決方案的設(shè)計過程中，我充分考慮了我公司目前在網(wǎng)絡(luò)安全方面的投資，最大限度地利用現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)和安全產(chǎn)品構(gòu)造網(wǎng)絡(luò)安全防護體系，在保證技術(shù)先進，實現(xiàn)安全目標(biāo)，滿足安全需求的前提下，保護已有的投資。由于目前uworld的技術(shù)成型產(chǎn)品及運營策略未定，所以在方案的編寫上面，此節(jié)暫時忽略。 服務(wù)器系統(tǒng)的選擇　　服務(wù)器系統(tǒng)方面，我們經(jīng)過討論和業(yè)務(wù)部門的需求，決定采用Red Hat U5，此版本很多硬件廠商支持，在系統(tǒng)方面，REDHAT公司還提供商業(yè)的支持（收費），在整個linux系統(tǒng)中，市場調(diào)查下來的占用率屬最高的，所以我們采用。另一段主要用于VPN接入，這個1個固定IP即可滿足，主要做于公司及游戲分區(qū)到會員中心的VPN互聯(lián)。所以，未來在運營子系統(tǒng)的選擇上，我們應(yīng)該主要該考慮這兩家服務(wù)商的機房。 IDC的選擇　　IDC方面，中國的南北互通一直存在問題，所以，選擇一個雙線機房來應(yīng)用會員系統(tǒng)是非常有必要的。 網(wǎng)絡(luò)帶寬的選擇運營子系統(tǒng)帶寬方面，可以分為兩條線路。2 運營子系統(tǒng)實施方案 需要達(dá)到的目標(biāo) 運營子系統(tǒng)未來是游戲運營中的一個主要環(huán)節(jié)，未來里面包括會員充值、點數(shù)劃播、產(chǎn)品網(wǎng)站等，也屬于整個公司的重要數(shù)據(jù)存放的地方，此中間數(shù)據(jù)庫的數(shù)據(jù)安全方面要求是最高級別，所以我們設(shè)計這個子系統(tǒng)，要從很多方面來考慮。 雙路電源的選擇　　辦公網(wǎng)的機房中配備雙路的電源可保證，供電系統(tǒng)在一路出現(xiàn)問題，自動切換到另一路供電系統(tǒng)上，這樣對于公司的整個電力系統(tǒng)的支撐，以及整個網(wǎng)絡(luò)的穩(wěn)定性起著一定的作用。那么辦公室機房得配置多大的UPS方能滿足關(guān)鍵設(shè)備的電源可用性呢。 路由冗余的設(shè)計路由冗余主要是解決兩個問題１． 主網(wǎng)關(guān)至備份網(wǎng)關(guān)切換的問題２． VPN冗余的解決方案之一在中心交換機上面添加基于路由優(yōu)先級的冗余，可以保證在公司主網(wǎng)關(guān)不通的情況下，自動切換到備份網(wǎng)關(guān)，在此時，VPN的連接也會自動切換到備份網(wǎng)關(guān)，前提是，須將兩個VPN同時配置與各個IDC連通，默認(rèn)情況下，主網(wǎng)關(guān)是與各地IDC及會員中心通訊，在主網(wǎng)關(guān)線路出現(xiàn)異常時，則自動切換至備份網(wǎng)關(guān)。 程控交換的布署　　目前公司的程控交換為非智能３２路內(nèi)線，８路外線。關(guān)于安全方面，將會在后面的安全子系統(tǒng)中逐個描述，但對于以上設(shè)備的需求，是保障安全的基礎(chǔ)設(shè)施。 辦公網(wǎng)的網(wǎng)絡(luò)拓?fù)涫紫任医o出整個辦公網(wǎng)的網(wǎng)絡(luò)拓?fù)?，里面已?jīng)包括了網(wǎng)絡(luò)設(shè)備和一些IP地址的規(guī)劃：上圖中，總體的vlan控制全部通過cisco3550來完成，它相當(dāng)于整個內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)轉(zhuǎn)發(fā)中心，在出局的