【正文】 公網(wǎng)接口上將該報文IP目的地轉(zhuǎn)換為內(nèi)部服務(wù)器地址，即可以到達(dá)內(nèi)部公共服務(wù)器的訪問目的。本策略僅允許從園區(qū)網(wǎng)內(nèi)部主動發(fā)起的TCP連接，即如果報文是內(nèi)部網(wǎng)絡(luò)用戶發(fā)起的TCP連接的返回報文，則允許其通過防火墻進(jìn)入內(nèi)部網(wǎng)絡(luò)，其他報文被禁止；? 園區(qū)內(nèi)部通過NAT訪問Inter：首先需要確認(rèn)訪問Inter的流量，然后對這些流量的地址進(jìn)行NAT轉(zhuǎn)換，其次要設(shè)置地址池，即申請到的公網(wǎng)地址。就是通常說的“堆棧溢出或緩沖溢出拒絕服務(wù)攻擊”網(wǎng)絡(luò)平臺系統(tǒng)暨信息安全建設(shè)整體解決方案建議書~ 13 ~. 解決方案建議. 網(wǎng)絡(luò)邊界安全隔離我們對 XXXX 公司電子商務(wù)平臺網(wǎng)絡(luò)劃分為企業(yè)網(wǎng)與互聯(lián)網(wǎng)之間的邊界和服務(wù)器區(qū)與局域網(wǎng)之間的邊界，利用網(wǎng)絡(luò)隔離設(shè)備如防火墻或安全網(wǎng)關(guān)設(shè)備分別進(jìn)行隔離保護(hù)，提供可控的過濾網(wǎng)絡(luò)通信，只允許授權(quán)的通信。這主要是因為 C 語言不檢查緩沖區(qū)的邊界。常用的監(jiān)聽工具有 Sniffit、Windump ，防范監(jiān)聽的辦法之一是加密? 端口掃描，利用常用的掃描工具如 SATAN、NSS、Strobe 、Superscan和 Ping 命令、 Tracert 命令等人工方式對系統(tǒng)開放的端口進(jìn)行掃描? 口令破解，一般的口令破解方式是從存放許多常用的口令的數(shù)據(jù)庫中，逐一地取出口令進(jìn)行嘗試；另一種做法是設(shè)法偷走系統(tǒng)的口令文件，如Email 欺騙，然后用口令破解工具破譯這些經(jīng)過加密的口令? IP 欺騙，通常是用編寫的程序?qū)崿F(xiàn)偽造某臺主機(jī)的 IP 地址，被偽造的主機(jī)往往具有某種特權(quán)或者被另外的主機(jī)所信任? 拒絕服務(wù)攻擊簡稱 DoS。網(wǎng)絡(luò)平臺系統(tǒng)暨信息安全建設(shè)整體解決方案建議書~ 12 ~. 防黑客攻擊. 黑客攻擊方式黑客能夠?qū)W(wǎng)絡(luò)進(jìn)行攻擊的主要原因是網(wǎng)絡(luò)系統(tǒng)的缺陷與漏洞。而每天兩次病毒數(shù)據(jù)庫的更新，緊急情況下 45 分鐘的全球用戶更新，確保在任何新病毒出現(xiàn)的情況下通過快速高效的防病毒更新機(jī)制，使所有用戶得到最大程度的防病毒保護(hù)。在提高病毒檢測力的同時，對檢測出的病毒也有很高的清除能力，依靠程序本身就可徹底清除感染文件的病毒，減輕管理人員對中毒事件的介入，把更多的精力放在構(gòu)建完整的病毒防護(hù)體系和管理工作上。? 優(yōu)秀的產(chǎn)品性能選用產(chǎn)品應(yīng)具備對多種文件格式、多層壓縮文件的病毒檢測。采用世界最先進(jìn)的清除病毒能力較強(qiáng)的防毒產(chǎn)品，可確保計算機(jī)網(wǎng)絡(luò)系統(tǒng)具有最佳的病毒、黑客軟件防護(hù)能力。? 降低系統(tǒng)總體成本在讓客戶在獲得優(yōu)質(zhì)的防病毒服務(wù)的同時，能夠盡量減少所需增加的費(fèi)用支出。防病毒系統(tǒng)也應(yīng)適應(yīng)企業(yè)的發(fā)展趨勢，自身具有較大的可擴(kuò)展能力。防毒軟件的特點(diǎn)是隨著各類新病毒的出現(xiàn)而必須盡快進(jìn)行更新和升級，其中包括病毒定義、網(wǎng)絡(luò)平臺系統(tǒng)暨信息安全建設(shè)整體解決方案建議書~ 11 ~產(chǎn)品組件的更新。在有限的人力資源情況下，IT 管理員的工作是非常復(fù)雜和繁忙的，要管理好防病毒系統(tǒng)的安裝、升級、配置和工作報告是一個非常繁瑣的事，因此產(chǎn)品本身應(yīng)帶有集成的、易用的管理工具，管理員可以從一個集中管理控制臺對整個防毒系統(tǒng)進(jìn)行監(jiān)控管理和維護(hù)。防毒產(chǎn)品的安裝和設(shè)置應(yīng)盡量簡易，充分考慮系統(tǒng)數(shù)據(jù)、文件的安全可靠性，所選產(chǎn)品與現(xiàn)系統(tǒng)具有良好的一致性和兼容性，以及最低的系統(tǒng)資源占用，保證不對現(xiàn)有系統(tǒng)運(yùn)行產(chǎn)生不良影響。之所以稱為“啟發(fā)式”，是因為它可以在不更新病毒庫 的前提下，發(fā)現(xiàn)未知病毒，例證：愛蟲、Bagle 惡意木馬程序等。獨(dú)有全球頂尖的掃描引擎技術(shù)。是微軟的金牌認(rèn)證伙伴。. 解決方案建議我們建議采用業(yè)界和行業(yè)認(rèn)可技術(shù)性能優(yōu)異的卡巴斯基網(wǎng)絡(luò)防病毒體系部署解決。由于網(wǎng)絡(luò)共享的便利性，某個感染病毒的桌面機(jī)可能隨時會感染其它的機(jī)器，或是被種上了黑客程序而向外傳送機(jī)密文件。因此文件服務(wù)器也需要設(shè)置防病毒保護(hù)。文件服務(wù)器大大提高了資源的重復(fù)利用率，并且能對信息進(jìn)行長期有效的存儲和保護(hù)。因此在郵件系統(tǒng)上部署防病毒也顯得尤為重要。但很明顯，它只能阻擋進(jìn)出內(nèi)部系網(wǎng)絡(luò)平臺系統(tǒng)暨信息安全建設(shè)整體解決方案建議書~ 9 ~統(tǒng)病毒的入侵。? 來自系統(tǒng)外部（Inter 或外網(wǎng)）的病毒入侵：這是目前病毒進(jìn)入最多的途，耗費(fèi)資源最少的措施。對于一個網(wǎng)絡(luò)系統(tǒng)而言，針對病毒的入侵渠道和病毒集散地進(jìn)行防護(hù)是最有效的防治策略?；谝陨线@些情況，為了企業(yè)的財產(chǎn)免受損失，大多數(shù)企業(yè)都需要選擇多層的病毒防衛(wèi)體系，所謂多層病毒防衛(wèi)體系，是指在企業(yè)的每個臺式機(jī)上要安裝臺式機(jī)的反病毒軟件，在服務(wù)器上要安裝基于服務(wù)器的反病毒軟件，在INTERNET 網(wǎng)關(guān)上要安裝基于 INTERNET 同關(guān)的反病毒軟件，因為對企業(yè)來說，防止病毒的攻擊并不是某一個管理員的責(zé)任，而是每一個員工的責(zé)任，每一個員工都要做到個人使用的臺式機(jī)上不受病毒的感染，從而保證整個企業(yè)網(wǎng)不受病毒的感染。據(jù) 2022 年新華網(wǎng)調(diào)查結(jié)果顯示，計算機(jī)病毒發(fā)作造成損失的比例為 62%。目前幾乎每天都有新的病毒出現(xiàn)在 Inter 上，并且由于其借助Inter 上的信息往來，所以傳播速度極快。每三個月的系統(tǒng)全備份采用每日備份策略外的磁帶，定義不同的備份策略，與每日的備份互不干擾，獨(dú)立進(jìn)行。每日的數(shù)據(jù)備份按一定備份策略執(zhí)行，保留一段時間的數(shù)據(jù)（如一個星期），過了該段時間后數(shù)據(jù)被覆寫。. 備份策略設(shè)置：我們初步制定的備份策略為：每天做應(yīng)用數(shù)據(jù)（數(shù)據(jù)庫、群件等）和用戶數(shù)據(jù)的備份，盡量在中午或夜間進(jìn)行。上述數(shù)據(jù)備份系統(tǒng)的功能實現(xiàn)能夠充分滿足備份系統(tǒng)的要求，同時，由于其備份層次的靈活性，可以根據(jù)數(shù)據(jù)量和應(yīng)用繁忙程度的不同而靈活實施備份。此外，合成備份使用戶能夠從一個備份映像進(jìn)行快速的客戶端恢復(fù)，而無需從多盤磁帶和增量備份進(jìn)行恢復(fù)（即：我們經(jīng)常說的 D2D2T）。高級磁盤備份和恢復(fù)通過基于磁盤的高級備份和恢復(fù)，包括合成備份、脫機(jī)備份，可以實現(xiàn)更快的備份和恢復(fù)，進(jìn)行零影響的備份。同時減少磁帶的使用量。系統(tǒng)數(shù)據(jù)在備份控制服務(wù)器的統(tǒng)一控制和管理下，實現(xiàn)增量備份、差分備份，當(dāng)數(shù)據(jù)量為海量數(shù)據(jù)，無法實現(xiàn)每天的完全備份時，可以把備份策略制定成增量，差分和全備份相結(jié)合的方式。. 存儲備份系統(tǒng)部署1． 備份服務(wù)器備份服務(wù)器的作用相當(dāng)于備份系統(tǒng)的“大腦”，管理制定整個備份系統(tǒng) (包括全部需要備份的服務(wù)器和存儲設(shè)備、磁帶歸檔設(shè)備) 的備份策略和跟蹤客戶端的備份。網(wǎng)絡(luò)平臺系統(tǒng)暨信息安全建設(shè)整體解決方案建議書~ 6 ~目標(biāo)是構(gòu)造一個以數(shù)據(jù)為中心，功能齊全、運(yùn)行高效、使用靈活、維護(hù)方便、易于擴(kuò)展、投資省、安全可靠的數(shù)據(jù)存儲備份系統(tǒng)，為了達(dá)到這個目標(biāo)，必須遵守以下幾個設(shè)計原則：? 以原有存儲資源的合理利用為基礎(chǔ)，以數(shù)據(jù)為中心，構(gòu)架一個全新的數(shù)據(jù)備份模式? 存儲備份系統(tǒng)應(yīng)以目前的 Windows 平臺為主，同時還要考慮到將來關(guān)鍵業(yè)務(wù)系統(tǒng)與其它 Unix、LINUX 平臺兼容? 提供較好的可擴(kuò)展性能，保護(hù)貴單位投資? 提供完備的、易操作的備份管理功能。本地存儲備份歸檔系統(tǒng)的完善部屬，一方面可以解決現(xiàn)有數(shù)據(jù)的集中存儲問題和數(shù)據(jù)的備份問題。設(shè)計拓?fù)浣Y(jié)構(gòu)圖如下：交 易 系 統(tǒng)核 心 交 換 機(jī)身 份 認(rèn) 證 系 統(tǒng)核 心 交 換 機(jī)結(jié) 算 系 統(tǒng)核 心 交 換 機(jī)O A 系 統(tǒng)核 心 交 換 機(jī)F D D I 光 纖 網(wǎng) 絡(luò)F D D I 光 纖 網(wǎng) 絡(luò)千 兆 路 由 器千 兆 防 火 墻網(wǎng)絡(luò)平臺系統(tǒng)暨信息安全建設(shè)整體解決方案建議書~ 5 ~. 數(shù)據(jù)存儲、備份、災(zāi)難恢復(fù)系統(tǒng)方案設(shè)計 服 務(wù) 器 群磁 帶 庫光 通 道 交 換 機(jī)光 通 道 交 換 機(jī)F C － S A N 存 儲 系 統(tǒng)以 太 網(wǎng)客 戶 端數(shù) 據(jù) 庫 服 務(wù) 器（ 雙 機(jī) ）應(yīng) 用 服 務(wù) 器應(yīng) 用 服 務(wù) 器備 份 服 務(wù) 器I P － S A N 備 份 系 統(tǒng)千 兆 以 太 網(wǎng) 交 換 機(jī) 　　　　　數(shù)據(jù)集中存儲備份系統(tǒng)拓?fù)浣Y(jié)構(gòu)圖. 方案描述本地存儲備份系統(tǒng)設(shè)計了一個核心主存儲系統(tǒng)，一個備份系統(tǒng)，備份架構(gòu)采用了業(yè)界先進(jìn)的 D2D2T 模式，數(shù)據(jù)集中存放在 “存儲中心”的磁盤設(shè)備上，這是第一個“D” ，數(shù)據(jù)備份到備份用的磁盤介質(zhì)上，這是第二個“D”，磁盤存儲和備份及數(shù)據(jù)恢復(fù)都更加快速，以保證用戶在數(shù)據(jù)或者系統(tǒng)出現(xiàn)故障時在最短的時間內(nèi)使信息系統(tǒng)得到恢復(fù)。到目前為止，速度最快，帶寬最大的技術(shù)莫過于 FDDI 技術(shù)。. 網(wǎng)絡(luò)平臺方案設(shè)計現(xiàn)代電子商務(wù)網(wǎng)站的建設(shè)，廣域網(wǎng)聯(lián)接部分大多考慮如下三種方式：中國電信的寬帶接入，中國網(wǎng)通的寬帶接入，其它方式還有：中國教育網(wǎng)（CERNET）等。存儲系統(tǒng)必須是可以擴(kuò)充的，必須具備較高的擴(kuò)展能力，而且隨著計算機(jī)技術(shù)的發(fā)展可以對系統(tǒng)進(jìn)行升級。另外，計算機(jī)網(wǎng)絡(luò)系統(tǒng)的外部環(huán)境是多變的，設(shè)計方案必須是強(qiáng)健的，能夠很方便地進(jìn)行調(diào)整，以滿足外部環(huán)境的變化。因此，設(shè)計方案必須具備很高的性能價格比。? 實用性：建設(shè)系統(tǒng)的目的是要解決企業(yè)數(shù)據(jù)信息的共享、交換和安全，提供現(xiàn)代化的管理，因此，設(shè)計方案的出發(fā)點(diǎn)就是要滿足用戶的信息要求。以備災(zāi)難發(fā)生時能及時有效的進(jìn)行數(shù)據(jù)恢復(fù)? 建設(shè)一套大規(guī)模網(wǎng)絡(luò)運(yùn)維管理系統(tǒng)，對建成的網(wǎng)絡(luò)系統(tǒng)進(jìn)行有效的管理和維護(hù)網(wǎng)絡(luò)平臺系統(tǒng)暨信息安全建設(shè)整體解決方案建議書~ 3 ~3. 方案設(shè)計. 方案設(shè)計特點(diǎn)? 先進(jìn)性：系統(tǒng)采用的技術(shù)必須是先進(jìn)而成熟的。根據(jù)企業(yè)自身的發(fā)展以及企業(yè)自身的特點(diǎn)，決定建設(shè)一整套電子商務(wù)平臺建設(shè)。典型的電子商務(wù)數(shù)據(jù)流過程：交易用戶通過 Inter 瀏覽電子商務(wù)系統(tǒng)的 Web 服務(wù)器，在頁面上點(diǎn)擊發(fā)起交易或查詢請求； Web 服務(wù)器向應(yīng)用服務(wù)器發(fā)起事務(wù)處理請求，等待應(yīng)用服務(wù)器應(yīng)答；應(yīng)用服務(wù)器將交易或查詢信息傳遞到數(shù)據(jù)庫服務(wù)器，由數(shù)據(jù)庫服務(wù)器作應(yīng)答；各級服務(wù)器在收到后臺應(yīng)答后向前臺設(shè)備作響應(yīng)，最終響應(yīng)給交易用戶，完成一筆交易或查詢。網(wǎng)絡(luò)平臺系統(tǒng)暨信息安全建設(shè)整體解決方案建議書~ 2 ~2. 需求分析典型的電子商務(wù)系統(tǒng)擁有三級架構(gòu)：直接面向交易用戶的 Web 服務(wù)器層，后臺事務(wù)處理的應(yīng)用服務(wù)器層，后臺數(shù)據(jù)存儲的數(shù)據(jù)庫服務(wù)器層。而這個數(shù)字還在不斷擴(kuò)大。在電子商務(wù)企業(yè)故障切換時間中，全球大型電子商務(wù)企業(yè)的可以做到在1 分鐘中完成應(yīng)用系統(tǒng)切換。來自各方面的威脅不斷增加：病毒、誤操作、電力故障、設(shè)備硬件故障等等，這些故障只要其一就可以使電子商務(wù)限于停滯或者完全癱瘓狀態(tài)，小則影響企業(yè)的正常業(yè)務(wù)應(yīng)用，大則完全可以把企業(yè)推向失敗的邊緣。如何使信息網(wǎng)絡(luò)系統(tǒng)不受黑客和工業(yè)間諜的入侵，已成為政府機(jī)構(gòu)、企事業(yè)單位信息化健康發(fā)展所要考慮的重要事情之一。網(wǎng)絡(luò)平臺系統(tǒng)暨信息安全建設(shè)整體解決方案建議書I電子商務(wù)平臺網(wǎng)絡(luò)平臺系統(tǒng)暨信息安全建設(shè)整體解決方案建議書網(wǎng)絡(luò)平臺系統(tǒng)暨信息安全建設(shè)整體解決方案建議書II目　錄目　錄 ........................................................................................................................................................I1. 概述 .......................................................................................................................................................12. 需求分析 ...............................................................................................................................................23. 方案設(shè)計 ...............................................................................................................................................3. 方案設(shè)計特點(diǎn) ........................................