網路與資訊保安保障措施

為了全面確保本公司網路安全，在本公司網路平台解決方案設計中，主要將基於以下設計原則：

1、安全性

在本方案的設計中，我們將從網路、系統、應用、執行管理、系統冗餘等角度綜合分析，採用先進的安全技術，如防火牆、加密技術，為熱點**提供系統、完整的安全體系。確保系統安全執行。

2、高效能

考慮本公司網路平台未來業務量的增長，在本方案的設計中，我們將從網路、伺服器、軟體、應用等角度綜合分析，合理設計結構與配置，以確保大量使用者併發訪問峰值時段，系統仍然具有足夠的處理能力，保障服務質量。

3、可靠性

本公司網路平台作為b2c平台，設計中將做到可靠簡單操作，從系統結構、網路結構、技術措施、設施選型等方面綜合考慮，以儘量減少系統中的單故障節點，實現7×24小時的不間斷服務。

4、可擴充套件性

優良的體系結構（包括硬體、軟體體系結構）設計對於系統是否能夠適應未來業務的發展至關重要。在本系統的設計中，硬體系統（如伺服器、存貯設計等）將遵循可擴充的原則，以確保系統隨著業務量的不斷增長，在不停止服務的前提下無縫平滑擴充套件；同時軟體體系結構的設計也

將遵循可擴充的原則，適應新業務增長的需要。

5、開放性

考慮到本系統中將涉及不同廠商的裝置技術，以及不斷擴充套件的系統需求，在本專案的產品技術選型中，全部採用國際標準/工業標準，使本系統具有良好的開放性。

6、先進性

本系統中的軟硬體平台建設、應用系統的設計開發以及系統的維護管理所採用的產品技術均綜合考慮當今網際網路發展趨勢，採用相對先進同時市場相對成熟的產品技術，以滿足未來熱點**的發展需求。

7、系統整合性

在本方案中的軟硬體系統包括我公司以及第三方廠商的優秀產品。我們將為廣大客戶提供完整的應用整合服務，使客戶**將更多的資源集中在業務的開拓與運營中，而不是具體的整合工作中。

8、硬體設施保障措施：

我公司的資訊伺服器裝置符合電子商務網路平台的各項技術介面指標和終端交易的技術標準，不會影響公網的安全。本公司租用新疆電信的idc放置資訊伺服器的標準機房環境，包括：空調、照明、濕度、不間斷電源、防靜電地板等。

新疆電信為本公司伺服器提供一條高速資料埠用以接入china***網路。系統主機系統的應用模式決定了系統將面向大量的使用者和面對大量的併發訪問，系統要求是高可靠性的關鍵性應用系統，要求系統避免任何可能的停機和資料的破壞與丟失。系統要求採用最新的應用伺服器技術實現負載均衡和避免單點故障。

1）、系統主機硬體技術

cpu：32位長以上cpu，支援多cpu結構，並支援平滑公升級。

伺服器具有高可靠性，具有長時間工作能力，系統整機平均無故障時間(mtbf)不低於100000小時，系統提供強大的診斷軟體，對系統進行診斷。伺服器具有鏡象容錯功能，採用雙盤容錯，雙機容錯。主機系統具有強大的匯流排頻寬和i/o吞吐能力，並具有靈活強大的可擴充能力

2）、配置原則

(1)處理器的負荷峰值為75%；

(2)處理器、記憶體和磁碟需要配置平衡以提供好效果；

(3)磁碟(以映象為佳)應有30-40%冗餘量應付高峰。

(4)記憶體配置應配合資料庫指標。

(5)i/o與處理器同樣重要。

3）、系統主機軟體技術：

伺服器平台的系統軟體符合開放系統互連標準和協議。作業系統選用通用的多使用者、多工ubuntu server作業系統，系統應具有高度可靠性、開放性，支援對稱多重處理（**p）功能，支援包括tcp/ip在內的多種網路協議。符合c2級安全標準：

提供完善的作業系統監控、報警和故障處理。應支援當前流行的資料庫系統和開發工具。

4）、系統的儲存裝置的技術

raid5的磁碟陣列等措施保證系統的安全和可靠。

i/o能力可達6m/s。

提供足夠的擴充槽位。

5）、系統的儲存能力設計

系統的儲存能力主要考慮使用者等資料的儲存空間、檔案系統、備份空間、測試系統空間、資料庫管理空間和系統的擴充套件空間。伺服器系統的擴容能力系統主機的擴容能力主要包括三個方面：效能、處理能力的擴充－包括cpu及記憶體的擴充儲存容量的擴充－磁碟儲存空間的擴充套件i/o能力的擴充,包括網路介面卡的擴充(如fddi卡和atm卡)及外部裝置的擴充（如外接磁帶庫、光碟機等）

6）、軟體系統保證措施：

作業系統：ubuntu server網路作業系統

防火牆：cisco pix硬體防火牆ubuntu server 作業系統具有龐大的社群力量使用者可以方便地從社群公升級站點保持資料聯絡，確保作業系統修補現已知的漏洞。

利用ntfs分割槽技術嚴格控制使用者對伺服器資料訪問許可權。

作業系統上建立了嚴格的安全策略和日誌訪問記錄. 保障了使用者安全、密碼安全、以及網路對系統的訪問控制安全、並且記錄了網路對系統的一切訪問以及動作。系統實現上採用標準的基於web中介軟體技術的三層體系結構，即：

所有基於web的應用都採用web應用伺服器技術來實現。

7）中介軟體平台的效能設計：

可伸縮性：允許使用者開發系統和應用程式，以簡單的方式滿足不斷增長的業務需求。

安全性：利用各種加密技術，身份和授權控制及會話安全技術，以及web安全性技術，避免使用者資訊免受非法入侵的損害。

完整性：通過中介軟體實現可靠、高效能的分布式交易功能，確保準確的資料更新。

可維護性：能方便地利用新技術公升級現有應用程式，滿足不斷增長的企業發展需要。

互操作性和開放性：中介軟體技術應基於開放標準的體系，提供開發分布交易應用程式功能，可跨異構環境實現現有系統的互操作性。能支援多種硬體和作業系統平台環境。

8）網路安全方面：

多層防火牆：根據使用者的不同需求，採用多層高效能的硬體防火牆對客戶託管的主機進行全面的保護。

異構防火牆：同時採用業界最先進成熟的 cisco pix 硬體防火牆進行保護，不同廠家不同結構的防火牆更進一步保障了使用者網路和主機的安全。

防病毒掃瞄：專業的防病毒掃瞄軟體，杜絕病毒對客戶主機的感染。

入侵檢測：專業的安全軟體，提供基於網路、主機、資料庫、應用程式的入侵檢測服務，在防火牆的基礎上又增加了幾道安全措施，確保使用者

9）系統的高度安全。

漏洞掃瞄：定期對使用者主機及應用系統進行安全漏洞掃瞄和分析，排除安全隱患，做到安全防患於未然。cisco pix硬體防火牆執行在cisco交換機上層提供了專門的主機上監視所有網路上流過的資料報，發現能夠正確識別攻擊在進行的攻擊特徵。

攻擊的識別是實時的，使用者可定義報警和一旦攻擊被檢測到的響應。此處，我們有如下保護措施：

a、全部事件監控策略此項策略用於測試目的，監視報告所有安全事件。在現實環境下面，此項策略將嚴重影響檢測伺服器的效能。

b、攻擊檢測策略此策略重點防範來自網路上的惡意攻擊，適合管理員了解網路上的重要的網路事件。

c、協議分析此策略與攻擊檢測策略不同，將會對網路的會話進行協議分析，適合安全管理員了解網路的使用情況。

d、**保護此策略用於監視網路上對http流量的監視，而且只對http攻擊敏感。適合安全管理員了解和監視網路上的**訪問情況。

ubuntu網路保護此策略重點防護ubuntu網路環境。

e、會話複製此項策略提供了複製tel***, ftp, **tp會話的功能。此功能用於安全策略的定製。

dmz監控此項策略重點保護在防火牆外的dmz區域的網路活動。這個策略監視網路攻擊和典型的網際網路協議弱點攻擊，例如（http,ftp,**tp,pop和dns），適合安全管理員監視企業防火牆以外的網路事件。

f、防火牆內監控此項策略重點針對穿越防火牆的網路應用的攻擊和協議弱點利用，適合防火牆內部安全事件的監視。

10）資料庫伺服器平台

資料庫平台是應用系統的基礎,直接關係到整個應用系統的效能表現及資料的準確性和安全可靠性以及資料的處理效率等多個方面。本系統對資料庫平台的設計包括：

資料庫系統應具有高度的可靠性，支援分布式資料處理；

支援包括tcp/ip協議及ipx/spx協議在內的多種網路協議；

支援unix和ms nt等多種作業系統，支援客戶機/伺服器體系結構，具備開放式的客戶程式設計介面，支援漢字操作；具有支援並行操作所需的技術（如：多伺服器協同技術和事務處理的完整性控制技術等）；支援聯機分析處理（olap）和聯機事務處理（oltp），支援資料倉儲的建立；

要求能夠實現資料的快速裝載，以及高效的併發處理和互動式查詢；支援c2級安全標準和多級安全控制，提供web服務介面模組，對客戶端輸出協議支援http2.0﹑ssl3.0等；支援聯機備份，具有自動備份和日誌管理功能。

網路與資訊保安保障措施

前置審批網路與資訊保安保障措施

資訊保安保障措施

資訊保安保障措施

相關推薦