第一篇：移動服務器托管SDH專線組網(wǎng)方案建議書

004km.cn

樂拓SDH專線組網(wǎng)

建議方案書

方

案：純軟雙節(jié)點集群

銷 售：潘玉書

地址：上海蘭溪路10弄3號1901室（２０００２０）電話：021-62166977，62166978-16 傳真：021-32251058 網(wǎng)址：http://004km.cn

2011年7月

專業(yè)于網(wǎng)絡

專心于服務

004km.cn

SDH專線介紹：

專線（電路）出租業(yè)務是上海移動依托城域網(wǎng)傳輸資源，為客戶提供點對點的數(shù)字電路連接服務，支撐客戶實現(xiàn)多業(yè)務接點間的內(nèi)部互聯(lián)。該業(yè)務承載客戶內(nèi)部數(shù)據(jù)，語音，多媒體各種通信業(yè)務，具體質(zhì)量穩(wěn)定，高帶寬，可擴展等優(yōu)越特性。

移動SDH專線優(yōu)勢:

（1）采用DWDM（Dense Wavelength Division Multiplexing）、SDH(Synchronous Digital Hierarchy)等先進傳輸技術，傳輸網(wǎng)絡高帶寬、自愈性能強、穩(wěn)定可靠;（2）帶寬可擴展性強，支持大容量的帶寬需求；（3）支持承載數(shù)據(jù)、語音、多媒體各種通信業(yè)務；（4）實時網(wǎng)絡監(jiān)控，保障網(wǎng)絡穩(wěn)定運行；

（5）移動SDH專線在國內(nèi)起步較晚，但屬于全光網(wǎng)，其他電信運營商為光模網(wǎng)。（6）全國設備統(tǒng)一，維護方便，處理問題快速。

專業(yè)于網(wǎng)絡

專心于服務

004km.cn

SDH組網(wǎng)案例：

案例二：某上?？蛻艚鉀Q本地多處辦公數(shù)據(jù)通訊問題同時解決企業(yè)上網(wǎng)需求。所有企業(yè)數(shù)據(jù)匯集到一個數(shù)據(jù)匯集點（移動IDC機房）,比如ERP等。

專業(yè)于網(wǎng)絡

專心于服務

004km.cn

案例三：超大型企業(yè)或機構,為滿足多業(yè)務通信需求,如視頻會議,視頻檢控,語音,數(shù)據(jù)同步等.一般也是一個核心點對全國多個點.目前,浦東有軌電車,世貿(mào)汽車,上海地震局,上?？萍季W(wǎng),旺旺集團,太平洋電信等都采用了樂拓數(shù)據(jù)中心提供的SDH專線出租或SDH專線組網(wǎng)業(yè)務.樂拓數(shù)據(jù)中心也希望依托中國移動的優(yōu)質(zhì)光纖資源,利用自身的服務優(yōu)勢及技術實力為不同需求的企業(yè)提供專業(yè)通信服務.方案優(yōu)勢

1、優(yōu)化投資、提高設備利用率，這種工作方式在數(shù)據(jù)流量不大情況下的一種最佳解決方案，實現(xiàn)服務器間的高可用保護；

2、服務保障，國內(nèi)擁有完善的技術支持平臺，網(wǎng)上客服、800熱線和現(xiàn)場支持能力；

3、方案擴展性：通過增加SDH專線，可以支持、多節(jié)點擴展、異地容災實現(xiàn)等；

4、穩(wěn)定可靠：經(jīng)歷近10年的市場考驗，具有相當?shù)目煽啃裕?/p>

5、維護成本低：整個環(huán)境維護相當?shù)暮唵?，大大降低了管理成本?/p>

技術服務及產(chǎn)品介紹

樂拓的技術支持信息可以從樂拓官方網(wǎng)站： http://004km.cn/ 上得到。

樂拓技術支持及咨詢電話：021-62166978-16 專業(yè)于網(wǎng)絡

專心于服務

004km.cn

專業(yè)于網(wǎng)絡

專心于服務

第二篇：高速移動列車無線組網(wǎng)方案范文

高速移動列車無線組網(wǎng)方案

為滿足快速增長的旅客運輸需求，國家“十一五”規(guī)劃了“四縱四橫”鐵路快速客運通道以及3個城際快速客運系統(tǒng)，時速高達380 km/h。隨著列車時速的不斷加快，車廂內(nèi)手機用戶通信時發(fā)生切換混亂、接通率低和掉話等現(xiàn)象，無線網(wǎng)絡覆蓋面臨挑戰(zhàn)。文章立足于高鐵專網(wǎng)設計總體目標，基于高速移動通信性能影響因素，采用分布式基站和一體化基站，提出一種高速鐵路組網(wǎng)方案。1 高速移動通信性能影響因素 1.1高速移動帶來的問題

高鐵列車采用全封閉式車體結(jié)構，且部分車采用金屬鍍膜玻璃，導致在無線傳輸中車體穿透損耗較大，信號衰減比普通列車大10 dB以上，特殊的材質(zhì)和極好的密閉性對手機信號的屏蔽會超過24 db以上，基站信號覆蓋范圍縮小為原來的1/5。當損耗為30 dB時，相當于信號在透過車體時只有原來千分之一的信號強度。對移動用戶通信造成非常大的影響。為了克服車體穿透損耗，要求室外的信號發(fā)射機功率增強，要求更高的基站接收機靈敏度或者要求用戶終端(UE)的發(fā)射信號增強。

超過300 km/h的時速將使用戶在非常短的時間內(nèi)穿過多個信號小區(qū)，引起用戶在通話過程中在不同的小區(qū)覆蓋范圍內(nèi)頻繁切換，會導致掉話等諸多問題。手機在不同基站間切換至少需要6 s，而全速行速的高鐵列車通過兩個基站的時間要經(jīng)常小于6 s，手機基本上無法完成切換。

當行駛速度高達200 km/h甚至更高時，相較于正常狀態(tài)，移動通信網(wǎng)絡的覆蓋率會從99%以上下降到84%左右，話音接通率會從原來96%以上下降到81%左右，掉話率也會從原來幾平為0上升到25%以上，其他話音指標及數(shù)據(jù)業(yè)務指標均會有不同程度的下降。

因波源或觀察者相對于傳播介質(zhì)的運動而使觀察者接收到的波的頻率發(fā)生變化的現(xiàn)象稱為多普勒效應。在移動通信系統(tǒng)中，特別是高速鐵路場景下，這種效應尤其明顯。多普勒效應所引起的頻移稱為多普勒頻移。

1.2 3G業(yè)務面臨的挑戰(zhàn) 高速鐵路將是3G業(yè)務應用的一個重要場景。高速鐵路的覆蓋是整個3G覆蓋不能或缺的重要部分。許多高端的3G用戶經(jīng)常由于商務旅行的原因，需要在高速鐵路上使用各種移動通信業(yè)務。這些業(yè)務不僅包括語音業(yè)務、視頻業(yè)務、還有高速數(shù)據(jù)上下行業(yè)務。

由于高鐵主要的目標客戶是商務出行或者旅游出行，這些人在列車上使用語音或高速數(shù)據(jù)業(yè)務的需求較為明確。在人們連續(xù)乘坐高速列車的時候，特別希望能夠通過無線數(shù)據(jù)業(yè)務來排解旅途中的無聊與煩悶。這正是3G豐富多彩的數(shù)據(jù)業(yè)務，如手機網(wǎng)游、手機電視以及視頻通話等大顯身手的時候。為用戶提供高速上下行數(shù)據(jù)業(yè)務是3G時代顯著的業(yè)務特點，因此，快速發(fā)展的高速鐵路已成為移動話音和數(shù)據(jù)業(yè)務的新熱點。上下行數(shù)據(jù)業(yè)務的速率在很大程度上取決于網(wǎng)絡的覆蓋質(zhì)量：一方面為了保證高速列車中用戶的網(wǎng)絡信號接受質(zhì)量，抵御車廂的穿透損耗，基站間距需要盡可能縮短；而另一方面，為滿足切換的需要以及減少切換及小區(qū)重選的次數(shù)，基站間又要保持盡量長的距離。高速移動通信網(wǎng)絡的規(guī)劃設計

在進行高速鐵路覆蓋設計時，充分研究鐵路發(fā)展趨勢，通常以最大穿透損耗的車型作為覆蓋優(yōu)化的目標?；具x址要合理，避免越區(qū)覆蓋產(chǎn)生，在保證覆蓋距離的情況下，盡可能與鐵路保持一定距離，克服多普勒效應。盡量將沿線基站放在同一個基站控制器(BSC)或移動交換中心(MSC)中，以減少MSC間、BSC間的切換，避免過長的切換時間對網(wǎng)絡服務質(zhì)量造成不利的影響。

2.1 充分發(fā)揮高速鐵路鏈型網(wǎng)絡結(jié)構的特點

對原有網(wǎng)絡結(jié)構進行改造，根據(jù)高速鐵路線形覆蓋的特點，將小區(qū)結(jié)構規(guī)劃成鏈形鄰區(qū)，并針對高速鐵路沿線的鏈形鄰區(qū)，讓用戶沿運動方向優(yōu)先切換到前向鏈形鄰區(qū)，這樣將盡可能減少切換次數(shù)，避免前后小區(qū)乒乓切換，也避免了側(cè)向小區(qū)的無序切換，提升切換效率，提升業(yè)務質(zhì)量。

2.2 切換帶的規(guī)劃

切換帶的規(guī)劃一方面保證高速移動的手機終端順利完成切換，同時要盡可能減少基站數(shù)量，降低投資，因此切換帶的設計要合理。根據(jù)快速切換算法觸發(fā)時間的估算，完成2次快速切換的時間為5～6 s，網(wǎng)絡設計過程中通常建議為7～8 s。

2.3 站型和天線的選擇

周邊用戶比較少的農(nóng)村區(qū)域，在鐵路比較筆直的場景下，優(yōu)先選擇高增益窄波瓣天線，基站覆蓋范圍大，切換次數(shù)少；對于市區(qū)、郊區(qū)、沿途有車站、鐵路有弧度區(qū)域適合選擇中等增益天線；功分器雖然增加了3.5 dB損耗，降低了基站覆蓋范圍，但是兩個扇區(qū)為同一個小區(qū)，減少了切換次數(shù)，并且不需要考慮天線前后比的問題，在合適的場景下可以考慮使用；8字形天線比較適合覆蓋直線鐵路。3 分布式基站和一體化基站的使用

分布式基站組網(wǎng)方案核心思想是將基站的基帶部分和射頻部分分開：射頻部分可以靈活地放置，基帶池集中放置使基帶可以共享，基帶池通過光纖與射頻拉遠單元連接。鐵路沿線比較容易鋪設光纜，為分布式基站的建設提供了便利條件，另外基帶池集中放置，適用于沿線城鎮(zhèn)容量較大區(qū)域，減少對機房資源的需求，便于站址獲取、集中管理和維護。

室外一體化基站體積小、重量輕，不需要機房，安裝方式靈活，可安裝在水泥桿、拉線塔以及建筑物的墻體上，無需空調(diào)，能有效減低配套成本，適合鐵路沿線覆蓋使用。射頻拉遠單元是利用基站剩余的信道板和基帶處理設備組成新的扇區(qū)，通過光纖系統(tǒng)拉到遠處。它具有硬件容量，并且擁有新的擾碼和同步碼。

基帶處理單元+射頻拉遠單元(BBU+RRU)構成傳統(tǒng)意義上的完整基站。BBU部分實現(xiàn)的功能主要為：主控、時鐘、基帶處理；RRU實現(xiàn)的功能主要包括：數(shù)字中頻、收發(fā)信機、功放和低噪放。

RRU的工作原理是：基帶信號下行經(jīng)變頻、濾波，經(jīng)過射頻濾波、經(jīng)線性功率放大器后通過發(fā)送濾波傳至天饋。上行將收到的移動終端上行信號進濾波、低噪聲放大、進一步的射頻小信號放大濾波和下變頻，然后完成模數(shù)轉(zhuǎn)換和數(shù)字中頻處理等。

RRU同基站接口的連接接口有兩種：通用公共射頻接口(CPRI)及開放式基站架構(OBASI)。網(wǎng)絡覆蓋方案 4.1 高速移動場景特征

高速鐵路干線網(wǎng)絡覆蓋的特點是容量需求不高，呈帶狀結(jié)構，屬于典型的覆蓋受限系統(tǒng)，話務量需求較低，但是對連續(xù)覆蓋的要求比較高。鐵路沿線采用BBU+RRU組網(wǎng)，采用小區(qū)分集和高速頻偏補償算法，在高速列車上裝載直放站克服穿透損耗。

4.2 分布式天線覆蓋方案

為了增強高速鐵路場景下的覆蓋性能，提高網(wǎng)絡覆蓋質(zhì)量，我們提出了分布式天線結(jié)構在高速移動環(huán)境中應用的技術方案。在設備選型上，采用分布式光纖基站BBU+RRU組網(wǎng)設備。優(yōu)點是在某一區(qū)域可以只放置一個BBU，鏈接多個RRU進行高速鐵路覆蓋，同時RRU具備級聯(lián)功能，通過級聯(lián)的方式能夠節(jié)省光纖，提供靈活的建網(wǎng)方式。

在分布式天線系統(tǒng)高速鐵路應用場景中，沿高速鐵路架設了4個天線組，每個天線組采用2根天線進行覆蓋，8根天線的覆蓋區(qū)域共同構成一個小區(qū)。在條件允許的條件下每個天線組的2根天線盡可能按照相互獨立的放置，如無法滿足條件，也必須存在一定的相關性。專網(wǎng)模式解決高速接入難題 5.1 專網(wǎng)方案

在高速鐵路覆蓋中，有專網(wǎng)和大網(wǎng)2種組網(wǎng)方案。專網(wǎng)組網(wǎng)即以專用網(wǎng)絡覆蓋高速鐵路沿線，與大網(wǎng)相對獨立。一般在普通鐵路和高速公路場景下可以考慮采用大網(wǎng)組網(wǎng)方式，在高速鐵路場景中建議采用專網(wǎng)方式。尤其是300 km/h以上的高速鐵路無線覆蓋需要多種方式并舉才能夠得到較好的效果。

大網(wǎng)組網(wǎng)即不單獨考慮高速場景的覆蓋，與其他場景合為一體統(tǒng)一地由室外宏蜂窩大網(wǎng)提供覆蓋。大網(wǎng)方案則不用考慮誤附著等問題，且資源利用率高，成本相對低，但是大網(wǎng)很難兼顧一般場景和高速場景的通信需求，優(yōu)化難度大。

專網(wǎng)組網(wǎng)有利于切換鏈的設計，除了在車站和列車停留區(qū)域與大網(wǎng)允許切換外，沿線采用鏈形鄰區(qū)設計，不與大網(wǎng)發(fā)生切換?？梢院芎帽ＷC高鐵的用戶在高速移動時切換和重選的路徑，提高通信質(zhì)量；有利于應用專用于高速場景的無線資源管理算法、切換和重選策略和網(wǎng)絡參數(shù)值，從而更好地提高整個網(wǎng)絡的質(zhì)量。但在實現(xiàn)專網(wǎng)化的過程中一個必要條件是實現(xiàn)對專網(wǎng)信號的嚴格控制，避免對周圍城鎮(zhèn)用戶造成影響。

5.2 鏈形鄰區(qū)

現(xiàn)網(wǎng)調(diào)整可以通過逐步對鐵路覆蓋的基站覆蓋進行加強，逐步控制鐵路覆蓋信號對周邊城鎮(zhèn)的影響，將現(xiàn)網(wǎng)具備條件的小區(qū)進行專網(wǎng)化，實現(xiàn)逐個小區(qū)的推進，最終形成專網(wǎng)的覆蓋結(jié)構，實現(xiàn)全線的專網(wǎng)化?？紤]到高速鐵路沿線覆蓋區(qū)域低速用戶很少，可以在高鐵沿線小區(qū)采用鏈形鄰區(qū)設置、專用于高速場景的無線資源管理算法，根據(jù)快速切換的需要規(guī)劃切換帶、優(yōu)化切換參數(shù)。通過數(shù)據(jù)設置將現(xiàn)有的公眾網(wǎng)絡和高鐵專網(wǎng)區(qū)分開來，使公網(wǎng)的用戶切不進來，專網(wǎng)的用戶切不出去，只在兩端的車站設置網(wǎng)絡的出入口。

5.3 專網(wǎng)保護帶

專網(wǎng)一個很大的問題是和大網(wǎng)的融合問題：在密集城區(qū)和列車的站點附近是專網(wǎng)和大網(wǎng)的進出口。如何判斷由哪個網(wǎng)絡給用戶提供服務，如何防止用戶誤附著，以及對誤附著的用戶如何處理是專網(wǎng)方案設計的難題。在專網(wǎng)和公網(wǎng)的重疊區(qū)域，專網(wǎng)和公網(wǎng)通過不同的接入策略接入，保證低速用戶接入公網(wǎng)，高速用戶接入專網(wǎng)。

專網(wǎng)保護帶的思路是在專網(wǎng)覆蓋小區(qū)的兩側(cè)選擇一些非專網(wǎng)小區(qū)作為專網(wǎng)與公網(wǎng)的隔離帶小區(qū)，這些小區(qū)可以與專網(wǎng)小區(qū)進行重選和切換，以此避免周邊城鎮(zhèn)用戶一進入專網(wǎng)就無法正常退出的問題，同時又可以避免專網(wǎng)小區(qū)切換關系過多所引起的麻煩。在專網(wǎng)大網(wǎng)出入口，如車站小區(qū)，可以根據(jù)移動路徑靈活規(guī)劃鄰區(qū)關系和切換帶，從而滿足切換需求。如果條件不具備可以適當考慮建立專網(wǎng)保護帶的方式來保證專網(wǎng)的有效運行。高鐵用戶能順暢地進入專網(wǎng)，而沿線普通用戶在切入專網(wǎng)后還能夠順利切出，巧妙地解決了高鐵途經(jīng)密集市區(qū)、郊縣縣城且和常規(guī)鐵路線部分重疊的復雜場景覆蓋難題，確保高鐵用戶百分之百切入切出成功。結(jié)束語

高速鐵路的無線網(wǎng)絡覆蓋非常復雜，需要網(wǎng)絡規(guī)劃設計和優(yōu)化人員根據(jù)實際情況和設備性能，通過充分的實地考察、理論計算和測量，合理確定解決方案，做到在保證通信質(zhì)量情況下，嚴格控制網(wǎng)絡建設成本。

第三篇：鷹潭農(nóng)商行網(wǎng)站服務器托管方案

關于鷹潭農(nóng)商行外網(wǎng)網(wǎng)站服務器托管建議

根據(jù)行領導對網(wǎng)站的安全性要求，通過調(diào)查，我們對網(wǎng)站服務器托管提出以下建議，供領導參考：

一、服務器托管的概念及優(yōu)勢：

服務器托管是指為了提高企業(yè)信息系統(tǒng)的運行效率，將您的服務器及相關設備托管到具有完善機房設施、高品質(zhì)網(wǎng)絡環(huán)境、豐富帶寬資源和運營經(jīng)驗以及可對用戶的網(wǎng)絡和設備進行實時監(jiān)控的網(wǎng)絡數(shù)據(jù)中心內(nèi)，以此使系統(tǒng)達到安全、可靠、穩(wěn)定、高效運行的目的。當用戶有意擁有自己的Web網(wǎng)站的系統(tǒng)服務器時，可以有兩種方法： 一是自建，二是托管。

二、自建服務器存在的問題：

自建服務器打個比方就好比“您需要喝一杯牛奶，自己來辦養(yǎng)殖場一樣”什么都要考慮到。所以貴行開發(fā)運行的網(wǎng)站，其中網(wǎng)站所需要的服務器軟件及核心數(shù)據(jù)需要專業(yè)的信息管理系統(tǒng)和數(shù)據(jù)庫系統(tǒng)等，我們不但要購買了正版的昂貴的操作系統(tǒng)及軟件來運行系統(tǒng)以保證服務器系統(tǒng)的穩(wěn)定性和安全性，還要考慮到要投入較大的資金購臵軟硬件，包括服務器、硬件防火墻等網(wǎng)絡安全等硬件設備，此外還要支付上不封頂?shù)娜粘＞S護和線路通信費，一年365天不間斷電源費用，硬件防火墻等費用，還有日常的人工維護成本。因此，會產(chǎn)生高額的運營費用，可能多達幾十萬，甚至上百萬。所以一般很多大的公司就直接采取服務器托管服務。相比自建情況下托管則經(jīng)濟，快捷而實用。

三、托管服務器的方式及優(yōu)劣勢：

服務器的托管有很多的方式，其中網(wǎng)站服務器托管到本地電信可能存在的問題有如下：

1、電信機房只負責你的服務器的保管，而不是完全意義上的托管，因為只是一臺服務器，沒有硬件防火墻，沒有相應的軟件，專業(yè)的維護人員也是電信的員工兼任的，并不能完全實現(xiàn)7*24小時的及時響應，如新余農(nóng)商行外網(wǎng)初期也曾托管在南昌市電信，但經(jīng)常受黑客攻擊，于是后來才改由南昌一家專業(yè)做網(wǎng)站的公司承包維護。另外、月湖區(qū)委官方網(wǎng)站放臵鷹潭市電信，前段時間被黑客篡改成一穆斯林網(wǎng)站，現(xiàn)在暫時關閉準備另尋托管。

2、服務器放臵鷹潭市政府信息辦，鷹潭市政府信息辦是專門負責市委、市政府及各市直機關的信息化網(wǎng)站，曾先后投資一百多萬購買拓爾斯電子政務系統(tǒng)軟件，硬件的投資也是高達數(shù)百萬元，鷹潭市委、市政府及各市直機關網(wǎng)站都用專門的軟件系統(tǒng)制作，實行內(nèi)外網(wǎng)隔離的方式，如我行網(wǎng)站如能放臵在此，網(wǎng)絡安全也可得到保障。但根據(jù)我們所了解，市政府信息辦服務器一般不接納事業(yè)及企業(yè)網(wǎng)站，另網(wǎng)站的開發(fā)軟件也是側(cè)重于電子政務，不適合我們銀行。如我行網(wǎng)站如放臵于此，需領導進行嘗試溝通，成本也較大。

3、服務器托管到專業(yè)的公司，目前根據(jù)調(diào)查了解，鷹潭本地專業(yè)公司，與鷹潭市委、市政府、各市直機關有深度合作的公司，他們公司所代理的阿里云服務器，在國內(nèi)也是領先的服務器，其中阿里云服務器也是中國最大的網(wǎng)絡公司阿里巴巴旗下的子公司，服務于全國各大行業(yè)客戶，我們即可以享受到阿里云的優(yōu)勢服務，又可以及時方便的和本地該公司進行合作交流，日后維護溝通也非常方便。就好比“我們在鷹潭就可以喝到本地專業(yè)公司代理的國內(nèi)知名的品牌牛奶”，既保證了安全和服務，還可隨時讓本地公司提供最佳的售后服務和最便捷的溝通服務。如果采用南昌公司的話，那溝通等問題就無法及時有效的第一時間解決問題。

綜上所述：建議采用第三種形式，服務器托管到阿里云服務器上，其優(yōu)勢如下：

1、節(jié)約購臵成本

線路：企業(yè)或個人不必自已拉昂貴的電信或網(wǎng)通線路，可以共享或獨享數(shù)據(jù)中心高速帶寬。比自己單獨拉一條光纖要經(jīng)濟實惠，目前阿里云服務器可以為用戶提供最完善的設備及服務，為你打造一個良好的網(wǎng)絡環(huán)境。

2、節(jié)約人員維護成本

機房人員：由我公司專業(yè)工程師擔任7X24小時X365全天候咨詢維護，省去了對維護人員的支出。

3、服務內(nèi)容包括：

1）、應用系統(tǒng)維護及無限次重啟服務器； 2）、操作系統(tǒng)安裝及安全策略實施； 3）、代為安裝指定軟件（一個工作日內(nèi)）4）、所有服務器硬件代為進行故障排除

5）、7*24熱線電話+QQ支持服務，365天網(wǎng)絡工程師應急電話服務 ； 6）、365天享網(wǎng)工程師遠程技術支持服務。

機房現(xiàn)場：完善的電力、空調(diào)、監(jiān)控等設備保證企業(yè)服務器的正常運轉(zhuǎn)，節(jié)省了大量建設機房的費用。阿里云會安排專業(yè)工程師維護機房設備，可以提供全年365天的技術服務。客戶就算是機房所處地范圍內(nèi)的，也不需要到機房處理服務器故障，我公司的技術人員可以全部幫處理完，省去了客戶很多麻煩，讓客戶更省心。

4、節(jié)約環(huán)境建設成本

良好的機房環(huán)境，提供大型不間斷電源系統(tǒng)，提供24小時恒溫空調(diào)環(huán)境，不會因為斷電而影響服務器的正常工作，也不會因為服務器溫度過高而癱瘓。合理的網(wǎng)絡設臵，使網(wǎng)絡負載均衡，從而提高網(wǎng)絡的暢通及穩(wěn)定。

5、安全性：只要服務器接入互聯(lián)網(wǎng)，就存在安全隱患，有很多人為的惡意攻擊或者一些病毒的傳播會導致服務器的系統(tǒng)崩潰，造成客戶無法挽回的損失。在獨立主機的環(huán)境下，可以自己設臵主機權限，自由選擇防火墻和防病毒設施。一般的ISP在大網(wǎng)的外面都會有自己的硬件防火墻，用戶根據(jù)自己的需要情況去添臵硬件及軟件防火墻。阿里云實行全網(wǎng)段硬件防火墻接入，對全網(wǎng)段內(nèi)服務器都可以起到及時的監(jiān)控，盡早發(fā)現(xiàn)問題的作用，并可以對單個服務器獨力防護解決受攻擊問題。對特殊客戶還可以提供網(wǎng)絡安全的增值服務，使客戶使用服務器更加無后顧之憂。

6、網(wǎng)絡穩(wěn)定性：共享線路就是多個用戶不規(guī)則的分享同一條網(wǎng)絡的資源，由于用戶數(shù)量及用戶類別的不確定性，所以對線路的使用的情況就不確定，因此在共享網(wǎng)絡環(huán)境下，用戶無法享受到相對穩(wěn)定的線路。而阿里云所提供的機房網(wǎng)絡環(huán)境，是基于獨享帶寬的設計方案建設的，每個機柜都限制客戶；獨立的線路使用，使每個客戶可以自己選擇足夠的網(wǎng)絡帶寬資源，所享受的帶寬在自己的選擇范圍內(nèi)，而不會占用其它用戶的帶寬，這樣的網(wǎng)絡設臵，使每個用戶都不用擔心別人的使用會影響到自己的線路情況，從而實現(xiàn)帶寬的穩(wěn)定性，保證了主機響應和網(wǎng)絡的高速性。

7、本地專業(yè)公司的7*24熱線電話+QQ支持服務，365天網(wǎng)絡工程師應急電話服務，我們隨時可根據(jù)需要與本地公司聯(lián)系，對網(wǎng)站、對服務器進行隨時調(diào)整，如今后可提供升級服務，包括對Email、OA辦公、基于安卓系統(tǒng)的服務、及各種信息系統(tǒng)的拓展業(yè)務提升。

第四篇：移動網(wǎng)絡安全防護方案建議書

XX單位網(wǎng)絡安全防護方案書

北京天融信公司長春辦事處

2011年9月

一． 前言

隨著計算機網(wǎng)絡的不斷發(fā)展,信息產(chǎn)業(yè)已經(jīng)成為人類社會的支柱產(chǎn)業(yè)，全球信息化已成為人類社會發(fā)展的大趨勢,由此帶動了計算機網(wǎng)絡的迅猛發(fā)展和普遍應用。但由于計算機網(wǎng)絡具有聯(lián)結(jié)形式多樣性、終端分布不均勻性和網(wǎng)絡的開放性、互連性等特征，致使網(wǎng)絡易受黑客、病毒、蠕蟲、惡意軟件和其他惡意的攻擊，所以網(wǎng)上信息的安全和保密是一個至關重要的問題。無論是有意的攻擊，還是無意的誤操作，都將會給系統(tǒng)帶來不可估量的損失。攻擊者可以竊聽網(wǎng)絡上的信息，竊取用戶的口令、數(shù)據(jù)庫的信息；還可以篡改數(shù)據(jù)庫內(nèi)容，偽造用戶身份，否認自己的簽名。這些都使信息安全問題越來越復雜。所以網(wǎng)絡的安全性也就成為廣大網(wǎng)絡用戶普遍關心的問題。無論是在局域網(wǎng)還是在廣域網(wǎng)中都存在著自然和人為等諸多因素的脆弱性和潛在威脅。發(fā)展和推廣網(wǎng)絡應用的同時進一步提高網(wǎng)絡的安全性，真正做到“既要使網(wǎng)絡開放又要使網(wǎng)絡安全”這一問題已成為了網(wǎng)絡界積極研究的課題。

在我國，近幾年隨著網(wǎng)絡技術的發(fā)展，網(wǎng)絡應用的普及和豐富，網(wǎng)絡安全的問題也日益嚴重，利用信息技術進行的高科技犯罪事件呈現(xiàn)增長態(tài)勢。根據(jù)國際權威應急組織CERT/CC統(tǒng)計，自1995年以來漏洞累計達到24313個，2006年第一季度共報告漏洞1597個，平均每天超過17個，超過去年同期2個。CNCERT/CC 2005年共整理發(fā)布漏洞公告75個，CNCERT/CC 2006年上半年共整理發(fā)布漏洞公告34個。從統(tǒng)計情況來看，2006年上半年漏洞報告數(shù)量仍處較高水平，大量漏洞的存在使得網(wǎng)絡安全總體形勢仍然嚴峻。

對信息系統(tǒng)的安全威脅，包括網(wǎng)上病毒泛濫和蔓延、信息間諜的潛入和竊密、網(wǎng)絡恐怖集團的攻擊和破壞、內(nèi)部人員的違規(guī)和違法操作、網(wǎng)絡系統(tǒng)的脆弱和癱瘓、信息產(chǎn)品的失控等，應引起足夠警惕，采取安全措施，應對這種挑戰(zhàn)。北京天融信公司作為中國信息產(chǎn)業(yè)的排頭兵，決心憑借自身成熟的安全建設經(jīng)驗，網(wǎng)絡安全系統(tǒng)出謀劃策。

隨著XX單位網(wǎng)絡化和信息化建設的發(fā)展，安全問題對于XX單位信息網(wǎng)絡的發(fā)展也越來越重要。安全問題已經(jīng)成為影響XX單位業(yè)務平臺的穩(wěn)定性和業(yè)務的正常提供的一個重大問題，所以提升XX單位自身的安全性已經(jīng)成為不可忽視的問題。XX單位的領導充分認識到網(wǎng)絡安全建設的重要性，為了更好的開展、配合XX單位各方面工作，決定對現(xiàn)有信息系統(tǒng)進行網(wǎng)絡安全技術改造。

本方案主要針對目前XX單位的最重要部分，即財務系統(tǒng)的安全進行重點防護，提出我們的觀點和意見。

二． 用戶現(xiàn)狀分析 1 用戶網(wǎng)絡現(xiàn)狀

目前XX單位的網(wǎng)絡主要是一套星形交換網(wǎng)絡，辦公網(wǎng)對外出口為互聯(lián)網(wǎng)，辦公網(wǎng)通過部署的一臺核心交換機分別為辦公網(wǎng)絡和財務網(wǎng)絡兩個子網(wǎng), 具體如下圖所示： 系統(tǒng)資源分析

XX單位網(wǎng)絡資產(chǎn)主要可以分為三大類： 物理資源； 軟件資源； 其他資源。物理資源：

網(wǎng)絡基礎設施：包括連接網(wǎng)絡的光纜、各個資源內(nèi)網(wǎng)電纜、路由器、交換設備、數(shù)據(jù)存儲服務器、光電轉(zhuǎn)換設備、個人電腦等。

系統(tǒng)運營保障設施：包括供電設施、供水設施、機房、防火設備、UPS、加濕器、防靜電設備等。軟件資源：

重要業(yè)務軟件，如業(yè)務應用軟件以及其他基本的應用辦公軟件； 計算機平臺軟件，包括操作系統(tǒng)、軟件開發(fā)平臺軟件、數(shù)據(jù)庫系統(tǒng)、WEB應用軟件等；

工具軟件，如殺毒軟件、OFFICE辦公軟件、硬件驅(qū)動庫等。其他資源：

XX單位網(wǎng)絡中還包括其他重要的資產(chǎn)，如文檔資料等。這些資源在構建信息安全保障體系時也應當被考慮。安全風險分析

XX單位信息系統(tǒng)的建設，給XX單位辦公帶來了極大的便利，利用此信息平臺，極大的提高了辦公的效率，提高了事件處理響應速度，同時我們也看到，系統(tǒng)的建設帶來了許多安全風險，必然會受到來自外部或內(nèi)部的各種攻擊，包括信息竊取、病毒入侵和傳播等行為。針對內(nèi)部業(yè)務網(wǎng)和外部辦公網(wǎng)，要保證網(wǎng)絡的整體安全，就必須從分析攻擊的方式入手。攻擊行為一般包括偵聽、截獲、竊取、破譯等被動攻擊和修改、偽造、破壞、冒充、病毒擴散等主動攻擊。針對主動和被動攻擊，通過對XX單位網(wǎng)絡結(jié)構和應用系統(tǒng)分析，我們認為，網(wǎng)絡面臨的主要安全威脅包括：物理層安全風險、網(wǎng)絡層安全風險、系統(tǒng)層安全風險、應用層安全風險：（1）

物理層安全風險

我們所說的物理層指的是整個網(wǎng)絡中存在的所有的信息機房、通信線路、網(wǎng) 絡設備、安全設備等，保證計算機信息系統(tǒng)各種設備的物理安全是保障整個 網(wǎng)絡系統(tǒng)安全的前提，然而，這些設備都面臨著地震、水災、火災等環(huán)境事 故以及人為操作失誤、錯誤及各種計算機犯罪行為導致的破壞過程，設備安 全威脅主要包括設備的被盜、惡意破壞、電磁信息輻射泄漏、線路截獲監(jiān)聽、電磁干擾、電源掉電、服務器宕機以及物理設備的損壞等等。這些都對整個 網(wǎng)絡的基礎設備及上層的各種應用有著嚴重的安全威脅，這些事故一旦出現(xiàn)，就會使整個網(wǎng)絡不可用，給內(nèi)網(wǎng)平臺造成極大的損失。

(A)信息機房周邊對設備運行產(chǎn)生不良影響的環(huán)境條件，如：周邊環(huán)境溫度、空氣濕度等。

(B)供電系統(tǒng)產(chǎn)生的安全威脅，UPS自身的安全性。

(C)各種移動存儲媒體(如軟盤、移動硬盤、USB盤、光盤等)在應用后得不到及時的處置，也會造成機密信息的外泄。

(D)一些重要的數(shù)據(jù)庫服務器系統(tǒng)的存在著硬件平臺的物理損壞、老化等現(xiàn)象，導致數(shù)據(jù)的丟失。

(E)網(wǎng)絡安全設備有直接暴露在非網(wǎng)絡管理人員或外來人員的面前，外來人有可能直接使安全設備喪失功能，為以后的侵入打下基礎，如：直接關掉入侵檢測系統(tǒng)的電源、關掉防病毒系統(tǒng)等。

(F)外來人員及非網(wǎng)絡管理人員可以直接對一些設備進行操作，更改通信設備(如交換機、路由器)、安全設備(如更改防火墻的安全策略配置)等。（2）網(wǎng)絡層安全風險

網(wǎng)絡層是網(wǎng)絡入侵者攻擊信息系統(tǒng)的渠道和通路。許多安全問題都集中體現(xiàn)在網(wǎng)絡的安全方面。大型網(wǎng)絡系統(tǒng)內(nèi)運行的TCP/IP協(xié)議并非專為安全通訊而設計，所以網(wǎng)絡系統(tǒng)存在大量安全隱患和威脅。網(wǎng)絡入侵者一般采用預攻擊探測、竊聽等搜集信息，然后利用 IP欺騙、重放或重演、拒絕服務攻擊（SYN FLOOD，PING FLOOD等）、分布式拒絕服務攻擊、篡改、堆棧溢出等手段進行攻擊。（A）網(wǎng)絡設備存在的風險

在網(wǎng)絡中的重要的安全設備如路由器、交換機等有可能存在著以下的安全威脅：（以最常用的交換機為例）

a)交換機缺省情況下只使用簡單的口令驗證用戶的身份，并且遠程TELNET 登錄時以明文傳輸口令。一旦口令泄密路由器將失去所有的保護能力。b)交換機口令的弱點是沒有計數(shù)器功能的，所有每個人都可以不限數(shù)的嘗 試登錄口令，在口令字典等工具的幫助下很容易破解登錄口令。c)每個管理員都可能使用相同的口令，因此，交換機對于誰曾經(jīng)作過什么 修改，系統(tǒng)沒有跟蹤審計能力。

d)交換機實現(xiàn)的協(xié)議存在著一定的安全漏洞，有可能被惡意的攻擊者利用

來破壞網(wǎng)絡的設置，達到破壞網(wǎng)絡或為攻擊做準備。

（B）網(wǎng)絡訪問的合理性

網(wǎng)絡的訪問策略是不是合理，訪問是不是有序，訪問的目標資源是否受控等問題，都會直接影響到內(nèi)網(wǎng)平臺的穩(wěn)定與安全。如果存在網(wǎng)絡內(nèi)訪問混亂，外來人員也很容易接入網(wǎng)絡，地址被隨意使用等問題，將導致網(wǎng)絡難以管理，網(wǎng)絡工作效率下將，無法部署安全設備、對攻擊者也無法進行追蹤審計。

對于XX單位的網(wǎng)絡來講，嚴格地控制專網(wǎng)內(nèi)終端設備的操作及使用是非常必要的，例如，一位非法外聯(lián)的撥號用戶將會使在網(wǎng)絡邊界的防火墻設備的所有安全策略形同虛設。

（C）TCP/IP網(wǎng)絡協(xié)議的缺陷

TCP/IP協(xié)議是當前網(wǎng)絡的主流通信協(xié)議，已成為網(wǎng)絡通信和應用的實際標準。然而，基于數(shù)據(jù)流設計的TCP/IP協(xié)議自身存在著許多安全漏洞，在網(wǎng)絡發(fā)展的

早期，由于應用范圍和技術原因，沒有引起重視。但這些安全漏洞正日益成為黑客們的攻擊點。在網(wǎng)上辦公、網(wǎng)上文件審批、網(wǎng)上數(shù)據(jù)傳遞等活動中，對TCP/IP網(wǎng)絡服務的任一環(huán)節(jié)的攻擊，都有可能威脅到用戶機密，都可能使重要的信息，比如重要數(shù)據(jù)、重要的口令在傳遞過程中遭到竊聽和篡改。因此，針對網(wǎng)絡層安全協(xié)議的攻擊將給網(wǎng)絡帶來嚴重的后果。（D）傳輸上存在的風險

從網(wǎng)絡結(jié)構的分析上，我們看到，現(xiàn)今網(wǎng)絡接入互聯(lián)網(wǎng)，網(wǎng)絡間只是通過交換機連接，完全透明，那么當數(shù)據(jù)以明文的方式在這種不可信任網(wǎng)絡中進行傳遞和交換時，就給數(shù)據(jù)的安全性、保密性帶來極大的挑戰(zhàn)，具體來講對數(shù)據(jù)傳輸安全造成威脅的主要行為有：

竊聽、破譯傳輸信息：由于網(wǎng)絡間的完全透明，攻擊者能夠通過線路偵聽等 方式，獲取傳輸?shù)男畔?nèi)容，造成信息泄露；或通過開放環(huán)境中的路由或交 換設備，非法截取通信信息；

篡改、刪減傳輸信息：攻擊者在得到報文內(nèi)容后，即可對報文內(nèi)容進行修改，造成收信者的錯誤理解。即使沒有破譯傳輸?shù)男畔?，也可以通過刪減信息內(nèi) 容等方式，造成對信息的破壞，比如將一份報文的后半部分去掉，造成時間、地點等重要內(nèi)容的缺失，導致信息的嚴重失真；

重放攻擊：即使攻擊者無法破譯報文內(nèi)容，也無法對報文進行篡改或刪減，但也可以通過重新發(fā)送收到的數(shù)據(jù)包的方式，進行重放攻擊。對于一些業(yè)務 系統(tǒng)，特別是數(shù)據(jù)庫系統(tǒng)，這種重放攻擊會造成數(shù)據(jù)失真以及數(shù)據(jù)錯誤； 偽裝成合法用戶：利用偽造用戶標識，通過實時報文或請求文件傳輸?shù)靡赃M 入通信信道，實現(xiàn)惡意目的。例如，偽裝成一個合法用戶，參與正常的通信 過程，造成數(shù)據(jù)泄密。

網(wǎng)絡中病毒的威脅：由于網(wǎng)絡間都為透明模式，一旦有機器中病毒，就會在 整個網(wǎng)絡上大量傳播，造成整個網(wǎng)絡癱瘓，造成無法辦公。（3）應用層安全

操作系統(tǒng)安全即是主機安全。整個網(wǎng)絡是一個分布式交換的服務平臺，其最核心的和需要保護的是財務處網(wǎng)絡中的服務器，從操作系統(tǒng)本身來講，現(xiàn)在代碼的龐大和程序人員編碼的習慣等等都會給操作系統(tǒng)留下一些BUG，比如一些鮮為人知的如 WINGDOW 2000的3389、139等等漏洞，都會給財務處網(wǎng)絡帶來一定的風險。一旦通過其操作系統(tǒng)的問題而造成的網(wǎng)絡的崩潰，其后果是不可設想的。

操作系統(tǒng)面臨的安全風險主要來自兩個方面，一方面來自操作系統(tǒng)本身的脆弱性，另一方面來自對系統(tǒng)的使用、配置和管理，主要有：

? 操作系統(tǒng)是否安裝補丁和修正程序：由于技術開發(fā)原因，幾乎所有網(wǎng)絡中的操作系統(tǒng)在設計時就存在各種各樣的漏洞，大多數(shù)漏洞直接與系統(tǒng) 的安全有關，操作系統(tǒng)的開發(fā)公司發(fā)現(xiàn)后都安裝了補丁和修正程序，但這種補丁和修正程序不一定為用戶所知。

? 操作系統(tǒng)的后門：對于中國來說，恐怕沒有絕對安全的操作系統(tǒng)可以選擇，無論是Microsoft的產(chǎn)品或者其他任何商用操作系統(tǒng)，其開發(fā)廠商必然有其Back-Door，這將成為潛在的安全隱患。

? 系統(tǒng)配置：系統(tǒng)的安全程度與系統(tǒng)的應用面及嚴格管理有很大關系，一個工作組的打印服務器和一個機要部門的數(shù)據(jù)庫服務器的選擇標準顯而易見是不可同日而與的，因此應正確估價自己的網(wǎng)絡風險并根據(jù)自己的網(wǎng)絡風險大小作出相應的安全解決方案。不同的用戶應從不同的方面對其網(wǎng)絡作詳盡的分析，以正確評定數(shù)據(jù)流向。比如,由于服務器需要進行日常的維護與管理及內(nèi)容更新，這就要求系統(tǒng)管理員或服務提供者能登錄到服務器上。對此類訪問服務器不應拒絕。在使用防火墻之前，服務器通過簡單靜態(tài)的口令字進行身份鑒別（如使用服務器或數(shù)據(jù)庫的認證機制），一旦身份鑒別通過，用戶即可訪問服務器。侵襲者可以通過以下幾種方式很容易地獲取口令字：

? 一是內(nèi)部的管理人員因安全管理不當而造成泄密； ? 二是通過在公用網(wǎng)上搭線竊取口令字； ? 三是通過假冒，植入嗅探程序，截獲口令字； ? 四是采用字典攻擊方式，獲得口令字。

侵襲者一旦掌握了某一用戶口令字，就有可能得到管理員的權限并可造成不可估量的損失。

由于操作系統(tǒng)的配置牽涉到各個方面，上面運行的服務也各種各樣，故在系統(tǒng)的配置上很容易出錯，因此，我們認為的系統(tǒng)的配置錯誤地很難避免，但是，我們可以對現(xiàn)有的操作平臺進行安全配置、對操作和訪問權限進行嚴格控制，提高系統(tǒng)的安全性。因此，不但要選用盡可能可靠的操作系統(tǒng)和硬件平臺。而且，必須加強登錄過程的認證（特別是在到達服務器主機之前的認證），確保用戶的合法性；其次應該嚴格限制登錄者的操作權限，將其完成的操作限制在最小的范圍內(nèi)。

（4）應用層安全

數(shù)據(jù)庫安全也是整個財務處網(wǎng)絡最為重要的應用，同時也是需要重點考慮的問題之一。整個網(wǎng)絡主要的業(yè)務就是信息的共享和數(shù)據(jù)交換的方便性。從應用系統(tǒng)的角度，占據(jù)本網(wǎng)絡整個信息平臺的就是數(shù)據(jù)庫，如果在數(shù)據(jù)庫上不能保證安全，整個本網(wǎng)絡的信息中心基本上就是空設防地帶，數(shù)據(jù)庫管理系統(tǒng)面臨的安全風險有：

? 系統(tǒng)認證口令強度不夠，過期賬號，登錄攻擊的風險； ? 系統(tǒng)授權。帳號權限，登錄時間超時的風險；

? 系統(tǒng)完整性。如：Y2K兼容，特洛伊木馬，審核配置，補丁和修正程序； ? 脆弱的帳號設置。在許多情況下，數(shù)據(jù)庫用戶往往缺乏足夠的安全設置，例如未禁用缺省用戶帳號和密碼，用戶口令設置存在脆弱性等。? 缺乏角色分離。傳統(tǒng)數(shù)據(jù)庫管理并沒有“安全管理員(Security Administrator)，這一角色，這就迫使數(shù)據(jù)庫管理員(DBA)既要負責帳號的維護管理，又要專門對數(shù)據(jù)庫執(zhí)行性能和操作行為進行調(diào)試跟蹤，從而導致安全管理效率低下。

? 缺乏審計跟蹤。數(shù)據(jù)庫審計經(jīng)常被DBA以提高性能或節(jié)省磁盤空間為由忽視或關閉，這大大降低了安全管理的效率。XX單位財務系統(tǒng)可能存在的風險和問題

1)來自財務網(wǎng)絡外部的風險

雖然財務網(wǎng)絡依托于XX單位的辦公網(wǎng)絡，但是財務網(wǎng)絡畢竟是獨立的網(wǎng)絡個體，如果沒有邊界防護將是危險的。財務網(wǎng)絡很容易遭到來自于辦公網(wǎng)絡可能的入侵者的攻擊。如：入侵者通過Sniffer等嗅探程序來探測掃描網(wǎng)絡及操作系統(tǒng)存在的安全漏洞，如網(wǎng)絡IP地址、應用操作系統(tǒng)的類型、開放哪些TCP端口號、系統(tǒng)保存用戶名和口令等安全信息的關鍵文件等，并通過相應攻擊程序?qū)?nèi)網(wǎng)進行攻擊。入侵者通過網(wǎng)絡監(jiān)聽等先進手段獲得內(nèi)部網(wǎng)用戶的用戶名、口令等信息，進而假冒內(nèi)部合法身份進行非法登錄，竊取內(nèi)部網(wǎng)重要信息。惡意攻擊：入侵者通過發(fā)送大量PING包對內(nèi)部網(wǎng)重要服務器進行攻擊，使得服務器超負荷工作以至拒絕服務甚至系統(tǒng)癱瘓在Internet上爆發(fā)網(wǎng)絡蠕蟲病毒的時候，如果內(nèi)網(wǎng)的邊界處沒有訪問控制設備對蠕蟲病毒在第一時間進行隔離，那么蠕蟲的攻擊

將會對網(wǎng)絡造成致命的影響。2)來自財務網(wǎng)絡外部的非授權訪問

非授權訪問沒有預先經(jīng)過同意，就使用網(wǎng)絡或計算機資源被看作非授權訪問，如有意避開系統(tǒng)訪問控制機制，對網(wǎng)絡設備及資源進行非正常使用，或擅自擴大權限，越權訪問信息。它主要有以下幾種形式：假冒、身份攻擊、非法用戶進入網(wǎng)絡系統(tǒng)進行違法操作、合法用戶以未授權方式進行操作等。3)來自財務網(wǎng)絡內(nèi)部的風險

目前財務網(wǎng)絡內(nèi)部的財務主服務器與財務辦公主機，混雜在一臺交換機上，這對于財務主服務器是完全不可取的，由于財務辦公主機的使用人員紛雜，計算機安全意識參差不齊，所以財務辦公主機的安全性和可靠性完全不能保證，而財務辦公主機與財務主服務器之間完全沒有任何防護手段。4)來自財務網(wǎng)絡內(nèi)部的非授權訪問

對于財務處網(wǎng)絡向外部網(wǎng)絡的訪問沒有任何的限制，也是不可取的，針對不同用戶的不同訪問需求，應給于不同的訪問權限。無限制的任由用戶使用現(xiàn)有的網(wǎng)絡資源，將會造成網(wǎng)絡品質(zhì)的整體下降。同時當財務處網(wǎng)絡中的主機因蠕蟲原因大量向外發(fā)送數(shù)據(jù)包，沒有相應安全防護設備，將造成包括辦公網(wǎng)絡的整個網(wǎng)絡的癱瘓。同時，沒有完善的日志能力，對于日后的責任認定也造成了很大的麻煩。

5)病毒的風險

病毒的危險是現(xiàn)在網(wǎng)絡最需要解決的問題，目前的病毒傳播途徑多樣化，傳播方式智能化，決定了使用單一的防病毒軟件是無法完全解決病毒問題的，在網(wǎng)絡的邊界處，部署網(wǎng)關防護設備，可以有效地抑制病毒的傳播，尤其是當出現(xiàn)大規(guī)模爆發(fā)的蠕蟲病毒的時候，網(wǎng)關防護設備可以有效地把蠕蟲病毒抑制在小范圍之內(nèi)，而不至于繼續(xù)擴散。6)沒有完善的日志系統(tǒng)

財務處網(wǎng)絡中數(shù)據(jù)的完整性，可靠性，要求對于任何一次訪問，都要有明確的記錄，以便日后審查使用，而目前XX單位的財務網(wǎng)絡中沒有這樣的能力，這對日后的究責是非常不利的 三．整體方案的設計

根據(jù)XX單位的現(xiàn)有網(wǎng)絡環(huán)境，分析可能存在的威脅和風險，考慮通過部署

天融信防火墻系統(tǒng)，入侵防御系統(tǒng)及病毒過濾網(wǎng)關系統(tǒng)來加固XX單位的信息網(wǎng)絡。

采用千兆天融信防火墻系統(tǒng)，入侵防御系統(tǒng)及病毒過濾網(wǎng)關系統(tǒng)部署在互聯(lián) 網(wǎng)與XX單位辦公網(wǎng)接入處用于互聯(lián)網(wǎng)與XX單位辦公網(wǎng)的安全防護，百兆天融信防火墻系統(tǒng)，入侵防御系統(tǒng)及病毒過濾網(wǎng)關系統(tǒng)部署在財務網(wǎng)絡與XX單位辦公網(wǎng)絡的邊界處，用于隔離財務網(wǎng)絡中的工作主機和內(nèi)部業(yè)務網(wǎng)絡中的服務器，通過天融信防火墻系統(tǒng)，入侵防御系統(tǒng)及病毒過濾網(wǎng)關系統(tǒng)，保護服務器不受外來攻擊。

具體部署如下圖所示：

四．防火墻子系統(tǒng) 1 防火墻部署的意義

防火墻是近年發(fā)展起來的重要安全技術，其主要作用是在網(wǎng)絡區(qū)域邊界處檢查網(wǎng)絡通信，根據(jù)用戶設定的安全規(guī)則，在保護重要網(wǎng)絡區(qū)域安全的前提下，提供不同網(wǎng)絡區(qū)域間通信。通過使用防火墻過濾不安全的通信，提高網(wǎng)絡安全和減少主機的風險，提供對系統(tǒng)的訪問控制；阻止攻擊者獲得攻擊網(wǎng)絡系統(tǒng)的有用信息，記錄和統(tǒng)計網(wǎng)絡利用數(shù)據(jù)以及非法使用數(shù)據(jù)、攻擊和探測策略執(zhí)行。設立防火墻的目的就是保護一個網(wǎng)絡區(qū)域不受來自另一個網(wǎng)絡區(qū)域的攻擊，防火墻的主要功能包括以下幾個方面：

（A）防火墻提供安全邊界控制的基本屏障。設置防火墻可提高網(wǎng)絡安全性，降

低受攻擊的風險。

（B）防火墻體現(xiàn)網(wǎng)絡安全策略的具體實施。防火墻集成所有安全軟件（如口令、加密、認證、審計等），比分散管理更經(jīng)濟。

（C）防火墻強化安全認證和監(jiān)控審計。因為所有進出網(wǎng)絡的通信流都通過防火

墻，使防火墻也能提供日志記錄、統(tǒng)計數(shù)據(jù)、報警處理、審計跟蹤等服務。（D）防火墻能阻止內(nèi)部信息泄漏。防火墻實際意義上也是一個隔離器，即能防

外，又能防止內(nèi)部業(yè)務網(wǎng)絡中未經(jīng)授權主機對服務器區(qū)域的訪問。防火墻的安裝部署

防火墻部署的目的是隔離不同安全等級的網(wǎng)絡區(qū)域，所以我們把XX單位辦公網(wǎng)絡，XX單位財務網(wǎng)絡分別看作一個網(wǎng)絡區(qū)域，同時XX單位辦公網(wǎng)絡與財務網(wǎng)絡之外的所有節(jié)點看作另一個網(wǎng)絡區(qū)域，防火墻部署在兩個網(wǎng)絡區(qū)域之間，即部署在財務網(wǎng)絡和辦公網(wǎng)絡的接口處。XX單位辦公網(wǎng)絡與互聯(lián)網(wǎng)絡接口處。防火墻的工作模式和接入方式

防火墻提供多種工作模式，包括透明接入，路由接入和混合接入。

? 連接方式：將百兆天融信防火墻的接口1連接財務網(wǎng)絡區(qū)域交換機，接口 2連接XX單位辦公網(wǎng)絡，接口3連接財務網(wǎng)絡服務器區(qū)域交換機，千兆天融信

防火墻接口1連接XX單位辦公網(wǎng)絡，接口2連接互聯(lián)網(wǎng)區(qū)域，這樣我們使用防火墻實現(xiàn)了各個安全區(qū)域的隔離作用。

? 工作模式：考慮到對XX單位辦公網(wǎng)絡和財務網(wǎng)絡的影響盡可能小，建議將 百兆防火墻配置成透明工作模式，即防火墻本身不參與路由轉(zhuǎn)發(fā)和運算，只提供訪問控制等防護功能，這樣對網(wǎng)絡中原有IP地址的配置影響小，互聯(lián)網(wǎng)與XX單位辦公網(wǎng)絡需要地址轉(zhuǎn)換，將配置成的路由工作模式。防火墻的配置和功能

1)通過防火墻隔離財務網(wǎng)絡的各個區(qū)域

通過防火墻的連接，原本屬于一個網(wǎng)絡（XX單位辦公網(wǎng)絡）的節(jié)點，被劃分為不同的網(wǎng)絡區(qū)域（財務處辦公區(qū)域、財務處服務器區(qū)域、辦公區(qū)域、互聯(lián)網(wǎng)區(qū)域等），通過對訪問請求的審核，我們隔離不同網(wǎng)絡區(qū)域間的網(wǎng)絡連接，可以達到保護脆弱的服務、控制對財務服務器的訪問、記錄和統(tǒng)計網(wǎng)絡利用數(shù)據(jù)以及非法使用數(shù)據(jù)和策略執(zhí)行等功能。這樣在工作主機訪問財務服務器時，全部通信都受到防火墻的監(jiān)控，通過防護墻的策略可以設置成相應的保護級別，以保證系統(tǒng)的安全。2)通過防火墻保護財務服務器

通過在防火墻上設置詳細的訪問控制規(guī)則，各個區(qū)域，各個IP節(jié)點間的通信，必須要符合防火墻的訪問控制規(guī)則，例如當工作主機向服務器請求訪問時，也只能訪問服務器的相應服務端口，在保護了服務器的同時，也清除了網(wǎng)絡中傳輸?shù)牟槐匾臄?shù)據(jù)。保證了整個業(yè)務網(wǎng)絡的純凈，提高了網(wǎng)絡的品質(zhì)。通過防火墻的阻斷功能，使得內(nèi)部業(yè)務網(wǎng)絡各個區(qū)域不受到惡意的攻擊，攻擊者無法通過防火墻進行掃描、攻擊等非法動作。防火墻可防止攻擊者對重要服務器的TCP/UDP的端口非法掃描，消除系統(tǒng)安全的隱患?？煞乐构粽咄ㄟ^外部網(wǎng)對重要服務器的源路由攻擊、IP碎片包攻擊、DNS / RIP / ICMP攻擊、SYN攻擊、拒絕服務攻擊等多種攻擊。測的功能.3)通過防火墻限制對服務器的訪問權限

通過在防火墻上進行嚴格的訪問控制，通過對不同的用戶進行分組，對于不同的用戶組，給予不同的訪問權限進行訪問服務器，減小用戶對于服務器可以進行操作的權限，極大地降低了服務器面臨的風險。

4)通過防火墻限制財務網(wǎng)用戶向外的訪問

通常大多數(shù)用戶認為從財務網(wǎng)絡向外部的訪問不會造成風險和威脅，這種想法是錯誤的，例如反彈型木馬就是借助這種麻痹大意的想法進行侵入的。

缺乏安全控制的濫用互聯(lián)網(wǎng)絡，可能導致：組織內(nèi)部重要資料和秘密資料通過 BBS、Email、QQ 和 MSN 等途徑向外散發(fā)，或被別有用心的人截獲而加以利用，或是進行不當互聯(lián)網(wǎng)訪問而引起組織內(nèi)部計算機感染木馬病毒，加大了組織重要及秘密信息的曝光率，給組織信息安全帶來隱患：對于政府、事業(yè)單位以及其他公共服務單位，如果互聯(lián)網(wǎng)管理的不夠完善，將會帶來極大信息安全隱患，例如經(jīng)濟等類型的重要的信息被通過非法渠道泄漏，此舉必然會有損組織的權威及名譽，并導致組織的公信力下降。對于公司企業(yè)等盈利性機構而言，企業(yè)的機密信息等同于企業(yè)的生命。而在互聯(lián)網(wǎng)極度開放的今天，任何的疏忽都有可能導致企業(yè)機密信息外泄；而一旦發(fā)生企業(yè)機密信息外泄的情況，企業(yè)因此而投入了的大量人力物力將會付諸東流，此類案例在互聯(lián)網(wǎng)廣泛使用的今天是屢見不鮮的。

5)通過防火墻調(diào)整網(wǎng)絡使用效率

通過防火墻具有帶寬控制的特性，可以依據(jù)應用來限制流量，來調(diào)整鏈路的帶寬利用如：在網(wǎng)絡中如果有工作主機向服務器區(qū)域FTP的訪問、Web訪問等等，可以在防火墻中直接加載控制策略，使FTP訪問、Web訪問按照預定的帶寬進行數(shù)據(jù)交換。實現(xiàn)每個用戶、每個服務的帶寬控制，調(diào)整鏈路帶寬利用的效率。

6)通過防火前完善日志

通過防火墻可以采集所有流經(jīng)防火墻的數(shù)據(jù)，記錄到防火墻的日志服務器中，通過日志服務器的日志分析和統(tǒng)計功能，在對收集的事件進行詳盡分析及統(tǒng)計的基礎上輸出豐富的報表，實現(xiàn)分析結(jié)果的可視化；系統(tǒng)提供多達300多種的報表模板，不僅支持對網(wǎng)絡事件按條件統(tǒng)計，更提供了對流量等變化趨勢的形象表現(xiàn)；對于分析結(jié)果系統(tǒng)提供了表格及多種圖形表現(xiàn)形式（柱狀圖、曲線圖），使管理員一目了然。同時采用多種告警方式，通知網(wǎng)絡管理人員。7)實現(xiàn)了重要財務工作人員直接訪問財務處網(wǎng)絡

通過天融信防火墻的訪問控制能力，我們可以控制各個訪問者訪問的權限，同時我們采用用戶名，口令，證書等驗證方式，徹底實現(xiàn)了對于訪問者身份驗證的目的。

五．入侵防御子系統(tǒng)

通常通過防火墻進行網(wǎng)絡安全防范。從理論上分，防火墻可以說是第一層安全防范手段，通常安裝在網(wǎng)絡入口來保護來自外部的攻擊。其主要防范原理為基于TCP/IP的IP地址和及端口進行過濾、限制。由于防火墻本身為穿透型（所有數(shù)據(jù)流需要經(jīng)過防火墻才能到達目的地），因此為了提高其過濾、轉(zhuǎn)發(fā)效率，通常不會對每個數(shù)據(jù)報文或者數(shù)據(jù)流進行過多的、細致地分析、檢查。但是恰恰很多符合防火墻的TCP/IP過濾安全策略的數(shù)據(jù)流或者報文中參雜著惡意的攻擊企圖。雖然目前一些防火墻增強了對于應用層內(nèi)容分析的功能，但是考慮其因分析、處理應用層內(nèi)容而導致的網(wǎng)絡延遲的增加，因此從其實際應用角度來說，存在一些局限性。但是網(wǎng)絡入侵防御系統(tǒng)由于其以串接模式部署到現(xiàn)有網(wǎng)絡中，執(zhí)行各種復雜的應用層分析工作。因此可以成為防火墻有效的擴展。同時自帶阻斷功能，可以實現(xiàn)整體的安全防范體系。1入侵防御產(chǎn)品概述

天融信公司新版本的“網(wǎng)絡衛(wèi)士入侵防御系統(tǒng) TopIDP”是基于新一代并行處理技術，它通過設置檢測與阻斷策略對流經(jīng)TopIDP的網(wǎng)絡流量進行分析過濾，并對異常及可疑流量進行積極阻斷，同時向管理員通報攻擊信息，從而提供對網(wǎng)絡系統(tǒng)內(nèi)部IT資源的安全保護。TopIDP能夠阻斷各種非法攻擊行為，比如利用薄弱點進行的直接攻擊和增加網(wǎng)絡流量負荷造成網(wǎng)絡環(huán)境惡化的DoS攻擊等，安全地保護內(nèi)部IT資源。

網(wǎng)絡衛(wèi)士入侵防御系統(tǒng)部署于網(wǎng)絡中的關鍵點，實時監(jiān)控各種數(shù)據(jù)報文及網(wǎng)絡行為，提供及時的報警及響應機制。其動態(tài)的安全響應體系與防火墻、路由器等靜態(tài)的安全體系形成強大的協(xié)防體系，大大增強了用戶的整體安全防護強度。

2入侵防御系統(tǒng)產(chǎn)品特點 強大的高性能并行處理架構

TopIDP應用了先進的多核處理器硬件平臺，將并行處理技術成功融入天融信自主知識產(chǎn)權的安全操作系統(tǒng)TOS（Topsec Operating System）系統(tǒng)，集成多項發(fā)明專利，形成了先進的多核架構技術體系。在此基礎上的TopIDP產(chǎn)品具有高速的數(shù)據(jù)并行檢測處理和轉(zhuǎn)發(fā)能力，能夠勝任高速網(wǎng)絡的安全防護要求。

精確的基于目標系統(tǒng)的流重組檢測引擎

傳統(tǒng)的基于單個數(shù)據(jù)包檢測的入侵防御產(chǎn)品無法有效抵御TCP流分段重疊的攻擊，任何一個攻擊行為通過簡單的TCP流分段組合即可輕松穿透這種引擎，在受保護的目標服務器主機上形成真正的攻擊。TopIDP產(chǎn)品采用了先進的基于目標系統(tǒng)的流重組檢測引擎，首先對到達的TCP數(shù)據(jù)包按照其目標服務器主機的操作系統(tǒng)類型進行流重組，然后對重組后的完整數(shù)據(jù)進行攻擊檢測，從而從根源上徹底阻斷了TCP流分段重疊攻擊行為。

準確與完善的檢測能力

TopIDP產(chǎn)品的智能檢測引擎可分析網(wǎng)絡攻擊的組合行為特征來準確識別各種攻擊，準確性更高；可以智能地識別出多種攻擊隱藏手段及變種攻擊，帶來更

高安全性；通過智能化檢測引擎，能夠識別出多種高危網(wǎng)絡行為，并可以將此類行為以告警方式通知管理員，達到防患于未然的目的，帶來更高網(wǎng)絡安全性；同時新版TopIDP具有強大的木馬檢測與識別能力；完善的應用攻擊檢測與防護能力；豐富的網(wǎng)絡應用控制能力和及時的應急響應能力。豐富靈活的自定義規(guī)則能力

TopIDP產(chǎn)品內(nèi)置了豐富靈活的自定義規(guī)則能力，能夠根據(jù)協(xié)議、源端口、目的端口及協(xié)議內(nèi)容自行定義攻擊行為，其中協(xié)議內(nèi)容支持強大靈活的PCRE（兼容perl的正則表達式）語法格式，特定協(xié)議支持更多達10種，包括：ip、tcp、http、dns、ftp、pop3、smtp、qq、msn、imap等。借助于靈活的自定義規(guī)則能力，用戶可以輕松定義自己的應用層檢測和控制功能。

可視化的實時報表功能

現(xiàn)實網(wǎng)絡中的攻擊行為紛繁復雜且瞬息萬變，TopIDP產(chǎn)品提供了可視化的實時報表功能，可以實時顯示按發(fā)生次數(shù)排序的攻擊事件排名，使網(wǎng)絡攻擊及其威脅程度一目了然。應用配套的TopPolicy產(chǎn)品，可以實時顯示Top10攻擊者、Top10被攻擊者、Top10攻擊事件等統(tǒng)計報表，更可以顯示24小時連續(xù)變化的事件發(fā)生統(tǒng)計曲線圖。借助于可視化的實時報表功能，用戶可以輕松實現(xiàn)全網(wǎng)威脅分析。

3入侵防御產(chǎn)品的作用

在基于TCP/IP的網(wǎng)絡中，普遍存在遭受攻擊的風險。除了惡意的攻擊外，非惡意目的發(fā)起的攻擊也是非常重要的一部分。有效的入侵防御系統(tǒng)可以同時檢測內(nèi)部和外部威脅。入侵防御系統(tǒng)的目的是檢測惡意和非預期的數(shù)據(jù)和行為（如變更數(shù)據(jù)、惡意執(zhí)行、允許非預期資源訪問的請求和非預期使用服務）。一旦入侵被檢測到，會引發(fā)某種響應（如斷開攻擊者連接、通知操作員、自動停止或減輕攻擊、跟蹤攻擊來源或適當?shù)胤垂簦?/p>

利用防火墻技術，經(jīng)過精心的配置，通常能夠在內(nèi)外網(wǎng)之間提供安全的網(wǎng)絡保護，降低網(wǎng)絡安全風險。但是，存在著一些防火墻等其它安全設備所不能防范的安全威脅，這就需要入侵防御系統(tǒng)提供實時的入侵檢測及采取相應的防護手

段，如記錄證據(jù)用于跟蹤和恢復、斷開網(wǎng)絡連接等，來保護電子政務局域網(wǎng)的安全。

入侵防御是防火墻等其它安全措施的補充，幫助系統(tǒng)對付網(wǎng)絡攻擊，擴展系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、進攻識別和響應），提高了信息安全基礎結(jié)構的完整性。它從計算機網(wǎng)絡系統(tǒng)中的流量中收集信息，并分析這些信息，看看網(wǎng)絡中是否有違反安全策略的行為和遭到襲擊的跡象。入侵防御被認為是防火墻之后的第二道安全閘門，對網(wǎng)絡進行監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時檢測。

除了入侵防御技術能夠保障系統(tǒng)安全之外，下面幾點也是使用入侵防御的原因：

（1）計算機安全管理的基本目標是規(guī)范單個用戶的行為以保護信息系統(tǒng)免受安全問題的困擾。入侵檢測系統(tǒng)可以發(fā)現(xiàn)已有的威脅，并對攻擊者進行懲罰，有助于上述目標的實現(xiàn)，并對那些試圖違反安全策略的人造成威懾。

（2）入侵防御可以檢測其它安全手段無法防止的問題。攻擊者使用越來越容易得到的攻擊技術，能夠?qū)Υ罅肯到y(tǒng)進行非授權的訪問，尤其是連接到電子政務局域網(wǎng)的系統(tǒng)，而當這些系統(tǒng)具有已知漏洞的時候這種攻擊更容易發(fā)生。盡管開發(fā)商和管理員試圖將漏洞帶來的威脅降到最低程度，但是很多情況下這是不能避免的：

? 很多系統(tǒng)的操作系統(tǒng)不能得到及時的更新

? 有的系統(tǒng)雖然可以及時得到補丁程序，但是管理員沒有時間或者資源進行系統(tǒng)更新，這個問題很普遍，特別是在那些具有大量主機或多種類型的軟硬件的環(huán)境中。

? 正常工作可能需要開啟網(wǎng)絡服務，而這些協(xié)議是具有漏洞，容易被攻擊的。

? 用戶和管理員在配置和使用系統(tǒng)時可能犯錯誤。

? 在進行系統(tǒng)訪問控制機制設置時可能產(chǎn)生矛盾，而這將造成合法用戶逾越他們權限的錯誤操作。

（3）當黑客攻擊一個系統(tǒng)時，他們總是按照一定的步驟進行。首先是對系統(tǒng)或網(wǎng)絡的探測和分析，如果一個系統(tǒng)沒有配置入侵防御，攻擊者可以自

由的進行探測而不被發(fā)現(xiàn)，這樣很容易找到最佳攻入點。如果同樣的系統(tǒng)配置了入侵防御，則會對攻擊者的行動帶來一定難度，它可以識別可疑探測行為，阻止攻擊者對目標系統(tǒng)的訪問，或者對安全人員報警以便采取響應措施阻止攻擊者的下一步行動。

（4）入侵防御證實并且詳細記錄內(nèi)部和外部的威脅，在制定網(wǎng)絡安全管理方案時，通常需要證實網(wǎng)絡很可能或者正在受到攻擊。此外，攻擊的頻率和特征有助于選擇保護網(wǎng)絡免受相應攻擊的安全手段。

（5）在入侵防御運行了一段時間后，系統(tǒng)使用模式和檢測問題變得明顯，這會使系統(tǒng)的安全設計與管理的問題暴露出來，在還沒有造成損失的時候進行糾正。

（6）即使當入侵防御不能阻止攻擊時，它仍可以收集該攻擊的可信的詳細信息進行事件處理和恢復，此外，這些信息在某些情況下可以作為犯罪的佐證。

4入侵防御產(chǎn)品部署

我們建議在XX單位辦公網(wǎng)與財務網(wǎng)接入處部署一臺天融信百兆入侵防御系統(tǒng)，主要監(jiān)控不同區(qū)域和財務網(wǎng)服務器的安全狀況。在互聯(lián)網(wǎng)與XX單位辦公網(wǎng)接入處部署一臺天融信千兆入侵防御系統(tǒng).IDP的探測引擎應串連部署在XX單位辦公網(wǎng)與財務網(wǎng), 互聯(lián)網(wǎng)與XX單位辦公網(wǎng)連接線路上。5入侵防御策略配置

1）配置事件庫升級

配置入侵防御系統(tǒng)進行定期的事件庫升級。2）配置服務器區(qū)網(wǎng)絡的全局預警策略

入侵防御系統(tǒng)將發(fā)現(xiàn)的針對XX單位財務網(wǎng)絡的入侵事件進行整理，并建立戰(zhàn)略級全局預警事件庫，進而可以據(jù)此對XX單位網(wǎng)絡做出有針對性的全局預警。

3）配置XX單位網(wǎng)絡特有的異常事件集策略

修改或定義XX單位網(wǎng)絡特有的事件，動態(tài)生成XX單位網(wǎng)絡自己的事件庫，提高入侵防御系統(tǒng)對XX單位網(wǎng)絡應用的適應性和事件檢測的準確性。4）配置XX單位網(wǎng)絡異常流量分析策略

根據(jù)實時監(jiān)控XX單位網(wǎng)絡流量，進行網(wǎng)絡流量的分類分析和統(tǒng)計情況，定義XX單位網(wǎng)絡流量異常的閥值，對異常流量進行實時報警。5）配置XX單位網(wǎng)絡內(nèi)容異常分析策略

配置內(nèi)容異常分析策略對XX單位網(wǎng)絡所設定的異常報警內(nèi)容進行多方位的定點跟蹤和顯示，對異常內(nèi)容進行實時報警。6）配置XX單位網(wǎng)絡安全報表策略

根據(jù)XX單位網(wǎng)絡中所需要的事件記錄內(nèi)容，建立報表模板。按照XX單位網(wǎng)絡中的需求選擇報表類型，定制相應的報表。7）配置XX單位網(wǎng)絡蠕蟲分析策略

XX單位網(wǎng)絡中心針對當前流行的網(wǎng)絡蠕蟲和病毒進行配置網(wǎng)絡蠕蟲策略，包括Nimda蠕蟲、Sql slammer蠕蟲等。9）配置XX單位網(wǎng)絡入侵防御管理策略

針對XX單位網(wǎng)絡不同安全等級的入侵事件進行不同的響應方式。包括記錄，報警，阻斷。

10）配置日志輸出策略

配置將日志輸出到綜合審計系統(tǒng)上的策略

六．防病毒網(wǎng)關系統(tǒng)

1XX單位網(wǎng)絡防毒需求分析和產(chǎn)品選型

通過對XX單位網(wǎng)絡的網(wǎng)絡環(huán)境和主要網(wǎng)絡業(yè)務狀況進行分析，我們認為計算機病毒是威脅系統(tǒng)正常運行的一個重要因素。

當前的病毒發(fā)展呈現(xiàn)出復合型威脅態(tài)勢，傳播方式多樣化、速度極快，在網(wǎng)絡中極易形成交叉感染的狀況，同時計算機病毒的危害也不再只限于破壞文件和本機，它甚至可以發(fā)動網(wǎng)絡攻擊，導致網(wǎng)絡設備和服務器崩潰。一旦病毒爆發(fā)，肯定會給網(wǎng)絡系統(tǒng)帶來很大損失。

針對混合型安全威脅攻擊，還需要加強邊界防毒的防范過濾，這樣才能更有效的保證系統(tǒng)的安全性、網(wǎng)絡的可用性。我們建議在XX單位財務網(wǎng)絡與XX單位辦公網(wǎng)，XX單位辦公網(wǎng)與互聯(lián)網(wǎng)接入處部署天融信防病毒網(wǎng)關，工作在互

聯(lián)網(wǎng)與XX單位辦公網(wǎng)，XX單位辦公網(wǎng)與財務網(wǎng)絡的接入口處。防病網(wǎng)關可以進行病毒特征碼升級。

通過配置防病毒網(wǎng)關，我們可以實現(xiàn)： ? 保證所有通過郵件/HTTP/FTP等方式進入外網(wǎng)辦公網(wǎng)網(wǎng)絡及用戶系統(tǒng)前都會通過防病毒模塊查殺毒。

2防病毒網(wǎng)關產(chǎn)品組成

防病毒網(wǎng)關主要是處理網(wǎng)絡中數(shù)據(jù)，對數(shù)據(jù)進行分析過濾，防止病毒代碼從設備中穿過滲透到內(nèi)部網(wǎng)絡。同時防止蠕蟲的攻擊，和垃圾郵件對正常辦公的干擾。

WEB方式管理主要是通過遠程登陸防火墻，對防病毒網(wǎng)關進行配置和管理。用戶可以遠程地管理硬件設備，對要處理的主要網(wǎng)絡協(xié)議進行設置，設置相應協(xié)議中的方便管理員的操作和管理。同時用戶可以通過WEB方式查詢相應的日志和生成所要的報表。

3防病毒網(wǎng)關產(chǎn)品部署

在本方案中將在XX單位辦公網(wǎng)絡與財務處網(wǎng)絡接入處部署天融信百兆防病毒網(wǎng)關，XX單位辦公網(wǎng)絡與互聯(lián)網(wǎng)接入處部署天融信千兆防病毒網(wǎng)關,對來自互聯(lián)網(wǎng)的數(shù)據(jù)及財務網(wǎng)絡區(qū)以外的數(shù)據(jù)，進行病毒檢測，針對SMTP、POP3、FTP、HTTP等協(xié)議的數(shù)據(jù)流進行病毒掃描，從而提供網(wǎng)關層次的防毒能力。

天融信防病毒網(wǎng)關的部署,實現(xiàn)了真正的即插即用，不需要改動現(xiàn)有網(wǎng)絡的任何設置。部署的位置被確定，只需要為防病毒網(wǎng)關連接上網(wǎng)線，開啟電源開關就可以進行掃描。管理IP地址就是防病毒網(wǎng)關管理IP地址。安裝向?qū)笇Ч芾韱T進行基本的設置，非常簡單易懂。

4防病毒網(wǎng)關產(chǎn)品功能

天融信防病毒網(wǎng)關處理所有主要的網(wǎng)絡協(xié)議，它能處理以下協(xié)議：SMTP、POP3、HTTP、FTP和IMAP。管理員還可以針對每個協(xié)議設置高級選項，例如：可以選擇清除病毒、刪除文件、隔離病毒或是記錄日志的方式來處理病毒。而且還可以在相應的協(xié)議中設置一些附加功能的設置，如對關鍵字的過濾設置，對文件類型的掃描設置等。

七 系統(tǒng)層安全設計

1系統(tǒng)層安全目標

? 操作系統(tǒng)：保障操作系統(tǒng)平臺的安全和正常運行，為應用系統(tǒng)提供及時多樣的服務；

? 數(shù)據(jù)庫：保證數(shù)據(jù)庫不受到惡意侵害或未經(jīng)授權的存取與修改。? 應用系統(tǒng)：能提供有效的訪問控制和身份驗證手段，保證應用平臺的持續(xù)、可靠的提供服務。

2操作系統(tǒng)安全要求

操作系統(tǒng)是所有計算機終端、工作站和服務器等正常運行的基礎，操作系統(tǒng)的安全十分重要。目前的商用操作系統(tǒng)主要有IBM AIX、Linux、AS/400、OS/390、SUN Solaris、HP Unix、Windows/3x、Windows 95/98、Windows NT Workstation/Server、Windows 2000/2003、OS/

2、NOVELL Netware等。這些操作系統(tǒng)大部分獲得了美國政府的C-2級安全性認證。但是針對操作系統(tǒng)應用環(huán)境對安全要求的不同，公司網(wǎng)絡對操作系統(tǒng)的不同適用范圍作如下要求：

在XX單位網(wǎng)絡中關鍵的服務器群和工作站（如數(shù)據(jù)庫服務器、WWW服務器、代理服務器、Email服務器、病毒服務器、DHCP主域服務器、備份服務器和網(wǎng)管工作站）應該采用服務器版本的操作系統(tǒng)。典型的有：SUN Solaris、HP Unix、Windows NT Server、Windows 2000 /2003Server。網(wǎng)管終端、辦公終端可以采用通用圖形窗口操作系統(tǒng)，如Windows NT Workstation/Server、Windows 2000等。

3操作系統(tǒng)安全管理

操作系統(tǒng)因為設計和版本的問題，存在許多的安全漏洞；同時因為在使用中安全設置不當，也會增加安全漏洞，帶來安全隱患。在沒有其它更高安全級別的商用操作系統(tǒng)可供選擇的情況下，安全關鍵在于操作系統(tǒng)的安全管理。

為了加強操作系統(tǒng)的安全管理，要從物理安全、登錄安全、用戶安全、文件系統(tǒng)和打印機安全、注冊表安全、RAS安全、數(shù)據(jù)安全、各應用系統(tǒng)安全等方面制定強化安全的措施。

加強物理安全管理，系統(tǒng)要有能力限制對I/O設備（軟驅(qū)、打印設備）的訪問。例如：

? 如果沒有必要，建議去掉或鎖死軟盤驅(qū)動器，禁止DOS或其他操作系統(tǒng)訪問NTFS分區(qū)；

? 在服務器上設置系統(tǒng)啟動口令，設置BIOS禁用軟盤引導系統(tǒng)； ? 不創(chuàng)建任何DOS分區(qū)； ? 保證機房的物理安全。

? 下載安裝最新的操作系統(tǒng)及其它應用軟件的安全和升級補丁。如用最新的Service Pack（SP6）升級Windows NT Server 4。0，包括所有補丁程序和后來發(fā)表的很多安全補丁程序。

? 掌握并使用操作系統(tǒng)提供的安全功能，關閉不必要的服務和端口，專用主機只開專用功能。例如：運行網(wǎng)管、數(shù)據(jù)庫重要進程的主機上不應該運行如sendmail這種bug比較多的程序。網(wǎng)管網(wǎng)段路由器中的訪問控制應該限制在最小限度，與系統(tǒng)集成商研究清楚各進程必需的進程端口號，關閉不必要的端口。

? Windows NT缺省安裝未禁用Guest賬號，并且給Everyone（每個人）工作組授予“完全控制”權限，沒有實施口令策略等，都給網(wǎng)絡的安全留下了漏洞。要加強服務器的安全，必須根據(jù)需要設置這些功能。? 控制授權用戶的訪問，實行“用戶權限最小化” 配置原則，將用戶以“組”的方式進行管理。例如：“用戶權限最小化” 配置。域里配置適當?shù)腘TFS訪問控制可以增強網(wǎng)絡的安全。取消或更改缺省情況下的Everyone組的：“完全控制”權限，要始終設置用戶所能允許的最小的文件夾和文件的訪問權限。另外，不要共享任何一個FAT卷。? 避免給用戶定義特定的訪問控制。將用戶以“組”的方式進行管理是一個用戶管理的有效方法。如果一個用戶在公司里的角色變了，很難跟蹤并更改他的訪問權。最明智的作法就是為每個用戶指定一個工作組，為工作組指定文件、文件夾訪問權。如果要收回或更改某個用戶的訪問權，只要把該用戶從工作組中刪除或指定另一個工作組。

? 實施賬號及口令策略。配置口令策略，設置賬號鎖定。主要原則有：登錄名稱中字符不要重復或循環(huán)；至少包含兩個字母字符和一個非字母字符；至少有6個字符長度；不是用戶的姓名，不是相關人物、著名人物的姓名，不是用戶的生日和電話號碼及其他容易猜測的字符組合等；要

求用戶定期更改口令；給系統(tǒng)的默認用戶特別是Administrator、Root改名，禁用Guest賬號；不要使用無口令的賬號，否則會給安全留下隱患；設置賬號鎖定，建議設置嘗試注冊三次后鎖定賬號，在合適的鎖定時間后被鎖定的賬號自動打開，或者只有管理員才能打開，用戶恢復正常。

? 控制遠程訪問服務。遠程訪問是黑客攻擊系統(tǒng)的常用手段，應在系統(tǒng)中集成強認證系統(tǒng)，如交換加密用戶ID和口令數(shù)據(jù)，使用專用的挑戰(zhàn)響應協(xié)議（Challenge / Response Protocol），確保不會多次出現(xiàn)相同的認證數(shù)據(jù)，阻止內(nèi)部黑客捕捉網(wǎng)絡信息包。同時，如條件允許，應該使用回叫安全機制，并盡量采用數(shù)據(jù)加密技術，保證數(shù)據(jù)安全。

? 啟用登錄工作站和登錄時間限制。如果每個用戶只有一個PC，并且只允許工作時間登錄，可以把每個用戶的賬號限制在自己的PC上，且在工作時間內(nèi)使用，從而保護網(wǎng)絡數(shù)據(jù)的安全。

? 啟動審查功能。為防止未經(jīng)授權的訪問，應該啟用安全審查功能，以便在事件查看器安全日志中記錄未經(jīng)授權的訪問企圖，以便盡早發(fā)現(xiàn)安全漏洞。但要結(jié)合工作實際，設置合理的審計規(guī)則，切忌審查事件太多，以免無時間全部審查安全問題。

? 定期檢查系統(tǒng)日志文件，在備份設備上及時備份。如對用戶開放的各個主機的日志文件全部定向到一個syslogd server上，集中管理。服務器可以由一臺擁有大容量存貯設備的Unix或NT主機承擔。

? 確保注冊表、系統(tǒng)文件、關鍵配置文件安全。首先，取消或限制對regedit。exe、regedit32。exe的訪問；其次，利用regedit。exe或文件管理器設置只允許管理員訪問注冊表，其他任何用戶不得訪問注冊表；定期檢查關鍵配置文件（最長不超過一個月）。? 制定完整的系統(tǒng)備份計劃，并嚴格實施。

? 制定詳盡的系統(tǒng)漏洞掃描以及匯報制度，及時更新系統(tǒng)安全補丁，完善系統(tǒng)安全設置，關閉不必要和危險的服務。

4應用層系統(tǒng)安全

在應用系統(tǒng)安全上，應用服務器盡量不要開放一些沒有經(jīng)常用的協(xié)議及協(xié)議端口號。如文件服務、電子郵件服務器等應用系統(tǒng)，可以關閉服務器上如HTTP、FTP、TELNET、RLOGIN等服務。還有就是加強登錄身份認證。確保用戶使用的合法性；并嚴格限制登錄者的操作權限，將其完成的操作限制在最小的范圍內(nèi)。充分利用操作系統(tǒng)和應用系統(tǒng)本身的日志功能，對用戶所訪問的信息做記錄，為事后審查提供依據(jù)。

5數(shù)據(jù)庫系統(tǒng)安全

數(shù)據(jù)庫管理系統(tǒng)自身安全策略

目前的商用數(shù)據(jù)庫管理系統(tǒng)主要有MS SQL Sever、Oracal、Sybase、Infomix等。在XX單位網(wǎng)絡中的數(shù)據(jù)庫管理系統(tǒng)應具有如下安全能力：

? 自主訪問控制（DAC）：DAC用來決定用戶是否有權訪問數(shù)據(jù)庫對象； ? 驗證：保證只有授權的合法用戶才能注冊和訪問； ? 授權：對不同的用戶訪問數(shù)據(jù)庫授予不同的權限； ? 審計：監(jiān)視各用戶對數(shù)據(jù)庫施加的動作。

? 數(shù)據(jù)庫管理系統(tǒng)應能夠提供與安全相關事件的審計能力： ? 試圖改變訪問控制許可權

? 試圖創(chuàng)建、拷貝、清除或執(zhí)行數(shù)據(jù)庫。

? 系統(tǒng)應能在下面列出的級別對數(shù)據(jù)庫的訪問控制授權：

表；視圖；紀錄；或元素。

? 系統(tǒng)應提供在數(shù)據(jù)庫級和紀錄級標識數(shù)據(jù)庫信息的能力。

數(shù)據(jù)庫系統(tǒng)的增強加固技術

數(shù)據(jù)庫管理系統(tǒng)的安全保護策略實現(xiàn)了對數(shù)據(jù)庫中數(shù)據(jù)的有效保護。而現(xiàn)實中某些應用環(huán)境需要保持當前主流數(shù)據(jù)庫管理系統(tǒng)的某些特性，同時又需要其滿足一定程度的安全性要求，提供必需的安全功能。針對這種客觀需要，比較直接經(jīng)濟的方法是對數(shù)據(jù)庫及數(shù)據(jù)庫管理系統(tǒng)進行安全增強與加固。

對數(shù)據(jù)庫管理系統(tǒng)的安全功能增強主要是指對已存在的主流數(shù)據(jù)庫管理系統(tǒng)進行安全封裝與數(shù)據(jù)過濾，增加數(shù)據(jù)庫管理系統(tǒng)的安全功能，實現(xiàn)數(shù)據(jù)保密性、完整性、可訪問性，最終達到保護數(shù)據(jù)的目的。這些數(shù)據(jù)庫管理系統(tǒng)自身缺乏或部分缺乏必要的安全功能，可在其外部增加安全控制模塊，一個或多個安全功能子系統(tǒng)，封裝后對外展現(xiàn)安全特性。一種典型安全增強配置參見下圖?？梢愿郊?的子系統(tǒng)包括：

? 認證子系統(tǒng) ? 訪問控制子系統(tǒng)

? 數(shù)據(jù)的加密存儲與解密子系統(tǒng) ? 傳輸加密子系統(tǒng) ? 審計子系統(tǒng)

方案總結(jié)

實施以上方案后，可以解決XX單位網(wǎng)絡的如下安全問題：

針對網(wǎng)絡層：在網(wǎng)絡邊界和內(nèi)部引入了訪問控制措施、對限制措施和強化邊界訪問的授權、受控。

針對應用層：解決應用的安全優(yōu)化，,對網(wǎng)絡攻擊的防護，對病毒的查殺。針對管理層：建議建立網(wǎng)絡安全管理組織，結(jié)合實際情況建立完整的一系列安全策略以及安全策略的發(fā)布、執(zhí)行、審查、修訂的相關流程。對網(wǎng)絡的安全事件進行統(tǒng)一的整理和歸納，確保網(wǎng)絡系統(tǒng)的整體安全。

第五篇：IBM Power服務器簡化管理方案建議書要點

IBM Power服務器 簡化管理方案建議書 【摘要】

隨著企業(yè)業(yè)務的不斷發(fā)展,企業(yè)的IT環(huán)境也在不斷進行演變。IT設備越來越多,大量的服務器系統(tǒng)運行著企業(yè)的各種業(yè)務應用;新技術不斷出現(xiàn),系統(tǒng)關聯(lián)性越來越高,IT復雜度越來越高,導致系統(tǒng)管理成本急劇上升;缺少企業(yè)管理工具,無法有效地將IT資源管理與業(yè)務服務相關聯(lián)、與業(yè)務目標相匹配。

對許多企業(yè)來說,IT 基礎設施的管理成本現(xiàn)在都是增長速度最快、分量最重的IT 開銷。虛擬化技術可通過整合物理資源在一定程度上解決這個問題。然而,虛擬化技術也因為大幅度增加了需要管理的虛擬資源數(shù)量而加劇了復雜性。

IBM Power Systems系統(tǒng)管理為用戶提供一整套從IT資源管理到企業(yè)級服務管理的解決方案。提供統(tǒng)一的IT資源管理控制臺IBM systems Director,為您更好地調(diào)配并管理數(shù)據(jù)中心的所有虛擬和物理資源提供所需工具,有效地簡化系統(tǒng)管理。

第2章簡化系統(tǒng)管理方案介紹

IBM Power Systems系統(tǒng)管理解決方案將IBM systems Director和AIX Enterprise Edition或Management Edition for AIX配合使用,從底層的資源管理,到中

間層的平臺級管理,再到企業(yè)級服務管理,形成了一套IT資源管理到企業(yè)級服務管理完美管理體系。

System Director為平臺管理提供一體化的方法,有效調(diào)配并管理數(shù)據(jù)中心的所有虛擬和物理資源,隨著服務器虛擬化程度的增加,IBM Systems Director 可幫助企業(yè)實現(xiàn)全部潛能,降低IT 運行成本并提高生產(chǎn)率。

AIX Enterprise Edition將AIX 6 和企業(yè)管理功能加入到單一的、易于訂購的產(chǎn)品中,旨在提高可用性、提高運營效率、在虛擬化的環(huán)境中測量資源的使用情況,簡化管理虛擬化AIX 環(huán)境的流程。AIX Enterprise Edition通過更透徹地了解IT 資源對業(yè)務服務交付產(chǎn)生了哪些影響,為服務管理奠定堅實的基礎。

IBM Management Edition for AIX 可以作為單純的AIX系統(tǒng)的一個選件產(chǎn)品,功能包括:監(jiān)控和管理Power System環(huán)境中關鍵IT服務和資源;更好地

了解Power服務器和相關應用程序和業(yè)務服務的關系;收集并報告Power平臺資源使用情況。Management Edition for AIX和AIX Enterprise Edition提供了同樣的企業(yè)管理功能,與IBM systems Director結(jié)合使用實現(xiàn)簡化管理的目標。

2.1 IBM systems Director介紹

IBM Systems Director 管理系統(tǒng),為企業(yè)的IT 系統(tǒng)管理而設計,它包括資產(chǎn)管理,硬件狀態(tài)監(jiān)控,服務運行監(jiān)控,日志信息收集等功能模塊。這些基本的管理功能足可以解決絕大多數(shù)的客戶管理需求。其開放的設計架構具有良好的可擴展性,以及與商業(yè)管理軟件的兼容性,特別適合初次部署管理系統(tǒng)的IT 環(huán)境。

IBM Systems Director 作為一款免費的軟件,對需要硬件管理監(jiān)控而又不希望增加投入的用戶來說,是絕對的免費午餐。并且隨著用戶對監(jiān)控功能要求的提高,客戶可以選擇自己開發(fā)套件、購買付費的插件,或者整合Tivoli 管理套件實現(xiàn)按需升級。

對許多機構來說,在IT 建設的總投入成本中(TCO,基礎設施的管理成本增長速度最快、分量最重。虛擬化技術可通過整合物理資源來解決這個問題。然而,虛擬化技術也因為大幅度增加了需要管理的虛擬資源數(shù)量而加劇了復雜性。IT 專家希望通過更高級的功能和工具來同時管理多個架構和環(huán)境中的物理和虛擬系統(tǒng)。

IBM Systems Director 可幫助解決這個問題,將這些需求統(tǒng)一到一個業(yè)界領先的服務器管理產(chǎn)品平臺,并提供全新的增強型虛擬化管理支持。IBM Systems Director 家族系列提供基于開放標準的模塊化解決方案,可通過輕松定制來滿足任何企業(yè)的要求。IBM Systems Director 提供配置、發(fā)現(xiàn)、系統(tǒng)健康狀態(tài)監(jiān)控、自動響應以及電源和虛擬化管理等功能,使IT 專家能夠同時管理多個IT 環(huán)境中的物理和虛擬系統(tǒng)。

隨著IT 基礎設施的不斷擴展,IBM Systems Director 可幫助企業(yè)實現(xiàn)全部潛能,為平臺管理提供一體化的方法,旨在降低IT 運行成本并提高生產(chǎn)率。

系統(tǒng)結(jié)構和部署IBM Systems Director 系統(tǒng)結(jié)構由三個部分組成: Server、Console、Agent。

●Server 是指運行IBM Systems Director 管理軟件的中心平臺,本方案中IBM Systems Director 管理軟件運行在IBM Power 服務器上。

●Console 是指IBM Systems Director 管理軟件的管理終端。Console 可以與Server 運行在同一平臺上,也可以不同,并支持異構平臺。

Agent 是指安裝在被管理節(jié)點上的客戶端。IBM Systems Director 的Agent 不僅支持所有的IBM 的服務器產(chǎn)品,而且還支持HP,DELL 等第三方的平臺管理。如考慮到Agent 占用客戶端資源,IBM Systems Director 支持不同級別的Agent,包括無Agent 的管理。

第3章IBM Power服務器產(chǎn)品介紹

Power 520產(chǎn)品特點 要點

●用于分布式UNIX?、IBM i(以前稱為i5/OS?和Linux? ERP/CRM 應用 程序服務器

●用于小型數(shù)據(jù)庫服務器

●用于UNIX、IBM i 和Linux 工作負載的小規(guī)模整合服務器 ●用于帶有集成數(shù)據(jù)庫和應用程序服務器的完整業(yè)務系統(tǒng)

作為分布式應用程序服務器,IBM Power? 520 以極具吸引力的低價格提供了近乎持續(xù)的應用程序可用性。這使得分支機構和店內(nèi)應用程序能夠在盡量不中斷操作的情況下處理更多的工作。

作為小型數(shù)據(jù)庫服務器,Power 520 提供了世界上最快的芯片IBM POWER6? 處理器所帶來的超凡性能。這一領先的性能使應用程序能夠更快速地運行并具備更出色的響應能力,從而為您的企業(yè)帶來顯著的優(yōu)勢。

作為小規(guī)模整合服務器,520 提供了出色的靈活性,可以在同一系統(tǒng)中使用尖端的AIX?、IBM i、Linux for Power 和x86 Linux 應用程序。IBM PowerVM? 版本提供了全面的虛擬化技術,可以整合和管理資源并同時幫助簡化和優(yōu)化IT 基礎架構以及減少服務器的無序擴張。

特性

第4章為什么選擇IBM IBM 作為全球最大的IT 供應商,我們將Power Systems 的"芯能量” ——先進的技術和產(chǎn)品,卓越的IT 基礎架構解決方案等等用于幫助客戶提高ROI(投資回報率,降低TCO(總體擁有成本,通過提高系統(tǒng)利用率間接降低客戶采購成本,通過綠色環(huán)保技術降低客戶IT 能源成本,通過提供安全可靠的系統(tǒng)和簡化系統(tǒng)管理幫助客戶降低IT 系統(tǒng)維護成本,降低人員成本,以此為“新動力” 助力客戶在危機中尋求新的生機,從而謀求短期生存與長期發(fā)展,最終實現(xiàn)“興經(jīng)濟” 的目標。

======== 文章來源: 歡迎訪問IBM官方網(wǎng)站,獲取更多解決方案,助力成長型企業(yè)的業(yè)務持續(xù)增長。========