【正文】 技術(shù)）、摘要驗(yàn)證、 Kerberos v5 驗(yàn)證和Fortezza。 高可靠性 1）內(nèi)核方式寫保護(hù)：有助于防止錯(cuò)誤代碼干擾系統(tǒng)運(yùn)行。 2） Windows 文件保護(hù)：防止新安裝的軟件替換重要的系統(tǒng)文件。 3）驅(qū)動(dòng)程序證書：識別出那些已經(jīng)通過 Windows 硬件質(zhì)量實(shí)驗(yàn)室測試的設(shè) １７ 備驅(qū)動(dòng)程序，如果用戶企圖安裝無證書驅(qū) 動(dòng)程序，系統(tǒng)將給出警告。 4） IIS 應(yīng)用程序保護(hù)：應(yīng)用程序保護(hù)將 Web 應(yīng)用程序和 Web 服務(wù)器的運(yùn)行隔離開來，從而有效地防止某應(yīng)用程序?qū)е抡麄€(gè) Web 服務(wù)器的崩潰。 更高的服務(wù)器和網(wǎng)絡(luò)可用性 1）群集服務(wù)：雙節(jié)點(diǎn)群集服務(wù)提供了對關(guān)鍵應(yīng)用的硬件或軟件故障的容錯(cuò)性，這些關(guān)鍵應(yīng)用包括數(shù)據(jù)庫、知識管理、 ERP 及文件打印服務(wù)。 2）網(wǎng)絡(luò)負(fù)載平衡（ NLB）：在 Web 或終端服務(wù)服務(wù)器組中，一旦某服務(wù)器出現(xiàn)硬件或軟件故障， NLB 技術(shù)將在 10 秒內(nèi)自動(dòng)在剩余的服務(wù)器中重新分配工作負(fù)載。 3）分布式文件系統(tǒng)（ DFS）：在一個(gè)網(wǎng)絡(luò) 上創(chuàng)建多個(gè)文件服務(wù)器和文件服務(wù)器共享的單個(gè)分級視圖。 DFS 可以讓用戶更方便地定位文件，并通過在分布式服務(wù)器上保持多個(gè)文件副本的方法提高可用性。 數(shù)據(jù)庫平臺 目前市場上關(guān)系型數(shù)據(jù)產(chǎn)品主要有： Oracle 公司的 Oracle 9i、 Microsoft公司的 SQL Server20 IBM 公司的 DB2 等。該系統(tǒng)運(yùn)行涉及大量數(shù)據(jù)管理能力、同時(shí)要求對空間數(shù)據(jù)存儲的支持能力等，同時(shí)又要求方便管理，所以擬采用Oracle 企業(yè)版或 SQL Server2020 作為數(shù)據(jù)庫平臺。 系統(tǒng)開發(fā)平臺 系統(tǒng)采用基于 微軟的 .NET 框架，利用 C與 進(jìn)行開發(fā)。 硬件環(huán)境設(shè)計(jì)主要針對數(shù)據(jù)庫和應(yīng)用服務(wù)器而言。 ? 硬件設(shè)備應(yīng)具備出色的數(shù)據(jù)處理能力及可擴(kuò)展性，采用先進(jìn)的監(jiān)控、冗余、容錯(cuò)等技術(shù)。 ? 存儲、備份設(shè)備。增強(qiáng)數(shù)據(jù)存儲及備份能力，根據(jù)數(shù)據(jù)存儲數(shù)量及其增長情況，適當(dāng)增加盤陣、磁帶機(jī)、光盤刻錄機(jī)等。 ? 配備加密機(jī)和防火墻等設(shè)備，加強(qiáng)數(shù)據(jù)的安全性。 ? 通過配置網(wǎng)絡(luò)存儲環(huán)境，實(shí)現(xiàn)集中的存儲管理； ? 進(jìn)一步，應(yīng)配置遠(yuǎn)程的備份網(wǎng)絡(luò)存儲環(huán)境和應(yīng)用環(huán)境，實(shí)現(xiàn)數(shù)據(jù)和應(yīng)用的異 １８ 地容災(zāi)。 網(wǎng)絡(luò) 計(jì)算機(jī)系統(tǒng)的安全不是孤立某一方面的安全問題，而是一個(gè)安全體系，一般包括物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全等多個(gè)層次。 物理安全 保證計(jì)算機(jī)信息系統(tǒng)各種設(shè)備的物理安全是保障整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提。物理安全是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過程。它主要包括三個(gè)方面： 環(huán)境安全，對系統(tǒng)所在環(huán)境的安全保護(hù)，如區(qū)域保護(hù)和災(zāi)難保護(hù)；（參見國家標(biāo)準(zhǔn) GB50173－ 93《電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范》、國標(biāo) GB2887－ 89《計(jì)算站場地技術(shù)條件》、 GB9361－ 88《計(jì)算站場地安全要求》 設(shè)備安全，設(shè)備安全主要包括設(shè)備的防盜、防毀、防電磁信息輻射泄漏、抗電磁干擾及電源保護(hù)等，保證整個(gè)系統(tǒng)的高可用性；主要服務(wù)器、網(wǎng)絡(luò)設(shè)備、 UPS設(shè)備、主要線路冗余備份。 媒體安全，包括媒體數(shù)據(jù)的安全及媒體本身的安全，對主機(jī)房及重要信息存儲、收發(fā)部門進(jìn)行屏蔽處理。 操作系統(tǒng)安全 目前的操作系統(tǒng)或應(yīng)用系統(tǒng)無論是 Windows 還是其它任何商用 UNIX 操作系統(tǒng)，其開發(fā)廠商必然有其后門。而且系統(tǒng)本身必定存在安全漏洞。這些 后門 或安全漏洞都將 存在重大安全隱患。系統(tǒng)的安全程度跟對其進(jìn)行安全配置及系統(tǒng)的應(yīng)用面有很大關(guān)系，操作系統(tǒng)如果沒有采用相應(yīng)的安全配置，則其是漏洞百出，掌握一般攻擊技術(shù)的人都可能入侵得手。 對于操作系統(tǒng)的安全防范可以采取如下策略：盡量采用安全性較高的網(wǎng)絡(luò)操作系統(tǒng)并進(jìn)行必要的安全配置、關(guān)閉一些起不常用卻存在安全隱患的應(yīng)用、對一些保存有用戶信息及其口令的關(guān)鍵文件使用權(quán)限進(jìn)行嚴(yán)格限制；加強(qiáng)口令字的使用，并及時(shí)給系統(tǒng)打補(bǔ)丁、系統(tǒng)內(nèi)部的相互調(diào)用不對外公開。填補(bǔ)安全漏洞，關(guān) １９ 閉一些不常用的服務(wù)，禁止開放一些不常用而又比較敏感的端口等，那么入侵者要成功進(jìn)行內(nèi)部網(wǎng)是不容易，這需要相當(dāng)高的技術(shù)水平及相當(dāng)長時(shí)間。通過配備操作系統(tǒng)安全掃描系統(tǒng)對操作系統(tǒng)進(jìn)行安全性掃描，發(fā)現(xiàn)其中存在的安全漏洞，并有針對性地進(jìn)行對網(wǎng)絡(luò)設(shè)備重新配置或升級。 應(yīng)用系統(tǒng)安全 在應(yīng)用系統(tǒng)安全上，在應(yīng)用系統(tǒng)開發(fā)過程中，應(yīng)注意在以下方面加強(qiáng)系統(tǒng)安全：加強(qiáng)登錄身份認(rèn)證，確保用戶使用的合法性；并嚴(yán)格限制登錄者的操作權(quán)限，將其完成的操作限制在最小的范圍內(nèi)；對重要信息的修改 /變更要充分利用應(yīng)用系統(tǒng)本身的日志功能，對用戶所訪問的信息做記錄，為事后審查提供依據(jù)。 防火墻方案 防火墻 是實(shí)現(xiàn)網(wǎng)絡(luò)安全最基本、最經(jīng)濟(jì)、最有效的安全措施之一。防火墻通過制定嚴(yán)格的安全策略實(shí)現(xiàn)內(nèi)外網(wǎng)絡(luò)或內(nèi)部網(wǎng)絡(luò)不同信任域之間的隔離與訪問控制。并且防火墻可以實(shí)現(xiàn)單向或雙向控制，對一些高層協(xié)議實(shí)現(xiàn)較細(xì)粒的訪問控制。 通信保密方案 數(shù)據(jù)的機(jī)密性與完整性，主要是為了保護(hù)在網(wǎng)上傳送的涉及秘密的信息，經(jīng)過配備加密設(shè)備，使得在網(wǎng)上傳送的數(shù)據(jù)是密文形式，而不是明文。鑒于網(wǎng)絡(luò)分布較廣，網(wǎng)點(diǎn)較多，而且可能采用 DDN、 FR 等多種通訊線路。建議采用網(wǎng)絡(luò)層加密設(shè)備（ VPN）， VPN 是網(wǎng)絡(luò)加密機(jī)，是實(shí)現(xiàn)端至端的加密，即一個(gè)網(wǎng)點(diǎn)只需 配備一臺 VPN 加密機(jī)。根據(jù)具體策略，來保護(hù)內(nèi)部敏感信息的機(jī)密性、真實(shí)性及完整性。 入侵檢測方案 利用防火墻并經(jīng)過嚴(yán)格配置，可以阻止各種不安全訪問通過防火墻，從而降低安全風(fēng)險(xiǎn)。但是，網(wǎng)絡(luò)安全不可能完全依靠防火墻單一產(chǎn)品來實(shí)現(xiàn)，網(wǎng)絡(luò)安全是個(gè)整體的，必須配相應(yīng)的安全產(chǎn)品，作為防火墻的必要補(bǔ)充。入侵檢測系統(tǒng)就是最好的安全產(chǎn)品，入侵檢測系統(tǒng)是根據(jù)已有的、最新的攻擊手段的信息代碼對 ２０ 進(jìn)出網(wǎng)段的所有操作行為進(jìn)行實(shí)時(shí)監(jiān)控、記錄，并按制定的策略實(shí)行響應(yīng)（阻斷、報(bào)警、發(fā)送 Email）。從而防止針對網(wǎng)絡(luò)的攻擊與犯罪行為 。入侵檢測系統(tǒng)一般包括控制臺和探測器（網(wǎng)絡(luò)引擎）?？刂婆_用作制定及管理所有探測器（網(wǎng)絡(luò)引擎）。探測器（網(wǎng)絡(luò)引擎）用作監(jiān)聽進(jìn)出網(wǎng)絡(luò)的訪問行為，根據(jù)控制臺的指令執(zhí)行相應(yīng)行為。由于探測器采取的是監(jiān)聽不是過濾數(shù)據(jù)包，因此，入侵檢測系統(tǒng)的應(yīng)用不會對網(wǎng)絡(luò)系統(tǒng)性能造成多大影響。 漏洞掃描系統(tǒng) 網(wǎng)絡(luò)掃描系統(tǒng)可以對網(wǎng)絡(luò)中所有部件（ Web 站點(diǎn)，防火墻，路由器， TCP/IP及相關(guān)協(xié)議服務(wù)）進(jìn)行攻擊性掃描、分析和評估，發(fā)現(xiàn)并報(bào)告系統(tǒng)存在的弱點(diǎn)和漏洞，評估安全風(fēng)險(xiǎn)，建議補(bǔ)救措施。 系統(tǒng)掃描系統(tǒng)可以對網(wǎng)絡(luò)系統(tǒng)中的所有操作系統(tǒng) 進(jìn)行安全性掃描，檢測操作系統(tǒng)存在的安全漏洞，并產(chǎn)生報(bào)表，以供分析；還會針對具體安全漏洞提出補(bǔ)救措施。 實(shí)施漏洞掃描方案可以采取購買漏洞掃描軟件并經(jīng)常更新漏洞知識庫，定期對系統(tǒng)和網(wǎng)絡(luò)進(jìn)行掃描； 防病毒方案 關(guān)于整個(gè)網(wǎng)絡(luò)的防病毒解決方案，要考慮以下幾個(gè)方面：要有全球病毒檢測網(wǎng)；隨時(shí)提供病毒資料及殺毒補(bǔ)丁下載；自動(dòng)分發(fā)功能，易于快速更新；實(shí)時(shí)監(jiān)控，具有免疫功能等。建議采用高級防病毒套件，這些防病毒套件為用戶的網(wǎng)絡(luò)提供全面、完善的防病毒解決方案，采用服務(wù)器 /客戶端體系架構(gòu) , 對用戶的網(wǎng)絡(luò)實(shí)施從服務(wù)器到工作 站客戶端的全方位的防病毒保護(hù)。可以防止各種引導(dǎo)型病毒、文件型病毒、宏病毒、傳播速度快且破壞性很大的蠕蟲病毒等進(jìn)入內(nèi)部網(wǎng)，阻止不懷好意的 Java、 ActiveX 小程序等攻擊內(nèi)部網(wǎng)絡(luò)系統(tǒng)。 數(shù)據(jù)存儲方案 磁帶存貯系統(tǒng)是所有存貯介質(zhì)中單位存貯信息成本最低、容量最大、標(biāo)準(zhǔn)化程度最高的存貯介質(zhì)；磁盤陣列由多個(gè)磁盤驅(qū)動(dòng)器組成，由主機(jī) (利用陣列卡 )或自帶控制器進(jìn)行控制，提供大容量的存貯能力和較高的數(shù)據(jù)訪問速率，是實(shí)現(xiàn) ２１ 企業(yè)存貯的主力設(shè)備；光盤庫具有容量大、換盤速度快、支持跨盤檢索、支持網(wǎng)絡(luò)無縫數(shù)據(jù)刻錄等。利用這些 存貯介質(zhì)可以大大提高數(shù)據(jù)的存貯能力和安全性。 網(wǎng)絡(luò)存貯技術(shù)也是提高數(shù)據(jù)存貯安全的有效手段之一，且目前在各種企業(yè)級存貯方案中被廣泛采用。 NAS(網(wǎng)絡(luò)直邊存貯