數(shù)據(jù)中心機房基礎(chǔ)設(shè)施建設(shè)方案數(shù)據(jù)中心機房基礎(chǔ)設(shè)施建設(shè)方案 a)ServerProtect安裝時分為三部分：普通服務(wù)器模塊、信息分發(fā)服務(wù)器模塊、管理控制臺模塊。b)ServerProtect應(yīng)安裝在所有的NT和NetWare服務(wù)器上，其中的一臺將做為信息分發(fā)服務(wù)器（InformationServer），由它對所有服務(wù)器上的ServerProtect進(jìn)行管理和控制。c)管理控制臺模塊可安裝在win95/98/NT上，管理員可以在安裝有控制臺模塊的機器上對整個ServerProtect系統(tǒng)進(jìn)行中央管理。ii)OfficeScand)OfficeScan是單機產(chǎn)品的企業(yè)版軟件，整個軟件只需安裝在一臺NT服務(wù)器上，客戶機上的防毒模塊可以自動地、透明地分發(fā)到各個客戶機上，包括win3.x、win95/98、winNT/2000等平臺的機器。所有客戶機的防毒工作由服務(wù)器管理，管理員籍此可以實現(xiàn)對所有客戶機防毒工作的集中管理和配置。防毒軟件中央控制系統(tǒng)：TrendVirusControlSystem——TVCSi)趨勢科技的所有防毒產(chǎn)品都可以選裝TVCS的客戶端代理模塊，一旦企業(yè)安裝了TVCS系統(tǒng)，就可以實現(xiàn)不論何時何地都可以從某個WEB瀏覽器上對整個防毒系統(tǒng)進(jìn)行管理和控制，為管理工作提供了極大的便利性。4xx上海IDC信息安全策略解決方案4.1概述惠普公司提供的安全服務(wù)符合安全體系結(jié)構(gòu)的安全周期理論，安全周期是包含如下4個環(huán)節(jié)的循環(huán)過程：評估策略結(jié)構(gòu)實施通過風(fēng)險評估來客觀地確定當(dāng)前狀況的安全狀態(tài)，了解沒有達(dá)到預(yù)期安全狀態(tài)的地方，根據(jù)評估的結(jié)果以及相應(yīng)的標(biāo)準(zhǔn)制定安全策略，明確安全的指導(dǎo)方針和各種行為的安全準(zhǔn)則，在此基礎(chǔ)上確定安全體系結(jié)構(gòu)，并進(jìn)行實施。由于網(wǎng)絡(luò)狀態(tài)以及其他安全因素的不斷變化，安全評估需要定期進(jìn)行，這就又啟動了一個安全過程，上圖所示的循環(huán)不斷地重復(fù)，來保證安全在動態(tài)過程中的持續(xù)性和穩(wěn)定性；就上述安全系統(tǒng)周期惠普公司提供了相應(yīng)的安全服務(wù)。安全服務(wù)包括：風(fēng)險分析服務(wù)：用于使企業(yè)能夠在信息系統(tǒng)安全方面作出正確的投資決定和安全措施，此項服務(wù)分析企業(yè)當(dāng)前的信息系統(tǒng)面臨的風(fēng)險，以及由此而帶來的經(jīng)濟損失，從而達(dá)到作出正確安全措施和合理投資決策的目的。系統(tǒng)與應(yīng)用的安全加固：協(xié)助企業(yè)以及企業(yè)所屬的客戶對網(wǎng)絡(luò)中的重要操作系統(tǒng)、應(yīng)用程序進(jìn)行安全配置加固。安全策略配置服務(wù)：通過業(yè)務(wù)需求和相應(yīng)的法律以及法規(guī)，協(xié)助企業(yè)編寫安全策略，定義安全組織結(jié)構(gòu)，以及相應(yīng)的安全操作流程和人員分工。協(xié)助企業(yè)將其安全策略下發(fā)以保證安全策略在整體組織內(nèi)具體實現(xiàn)。安全意識規(guī)范化咨詢服務(wù)：協(xié)助企業(yè)在企業(yè)內(nèi)部實施安全教育，幫助企業(yè)員工建立良好的安全意識，推動企業(yè)安全策略的貫徹執(zhí)行。4.2風(fēng)險分析服務(wù)鑒于xxIDC當(dāng)前的系統(tǒng)情況，建議首先采取惠普公司提供的風(fēng)險分析服務(wù)，協(xié)助客戶定位系統(tǒng)中的漏洞及其出現(xiàn)的可能性，從而估計對業(yè)務(wù)產(chǎn)生的影響?；萜展镜娘L(fēng)險分析服務(wù)，使用標(biāo)準(zhǔn)的表格和向關(guān)鍵人員提供問卷的方式搜集基礎(chǔ)數(shù)據(jù)，進(jìn)行評估工作，以用于漏洞和業(yè)務(wù)影響分級，惠普公司的技術(shù)顧問將完成下列工作：分析企業(yè)信息系統(tǒng)的資產(chǎn)狀況，確定其分類，價值以及問題發(fā)生后對業(yè)務(wù)造成的影響。分析從不同的角度企業(yè)信息系統(tǒng)面臨的威脅。分析在企業(yè)信息系統(tǒng)，安全策略和操作流程中的漏洞。風(fēng)險分析，確定關(guān)鍵信息系統(tǒng)資產(chǎn)的保護(hù)級別。選擇安全控制措施以降低風(fēng)險到可以接受的水平。4.3系統(tǒng)與應(yīng)用的安全加固服務(wù)系統(tǒng)與應(yīng)用的安全是網(wǎng)絡(luò)運行過程中最基本的安全要素，但往往客戶在使用安裝系統(tǒng)與應(yīng)用軟件時忽略了這一部分的安全或者沒有充分考慮到它們的不安全因素，因此惠普的技術(shù)顧問通過專門的評估系統(tǒng)或風(fēng)險評估工具對重要的操作系統(tǒng)及應(yīng)用程序進(jìn)行安全加固配置，把操作系統(tǒng)與應(yīng)用程序的風(fēng)險降到安全策略中定義的等級?；萜展镜募夹g(shù)顧問為客戶完成以下工作：獲得風(fēng)險評估的結(jié)果；根據(jù)不同的操作系統(tǒng)及應(yīng)用程序提出安全漏洞分析報告；與客戶相應(yīng)的管理人員協(xié)商，進(jìn)行系統(tǒng)與應(yīng)用的漏洞配置及安全配置工作；提供配置后的系統(tǒng)與應(yīng)用的安全狀況分析及相關(guān)報告。4.4安全策略配置4.4.1安全策略創(chuàng)建大多數(shù)信息系統(tǒng)在設(shè)計時，沒有考慮到安全的問題。通過技術(shù)手段得到的安全性是有限的，必須得到相應(yīng)的管理手段和操作程序的支持，才能得到真正的安全。如果對安全需求說明和設(shè)計過程進(jìn)行整體考慮時，信息安全控制是相當(dāng)經(jīng)濟和有效的。惠普公司的安全技術(shù)顧問采用國際通用的標(biāo)準(zhǔn)方法，對應(yīng)用于用戶網(wǎng)絡(luò)的信息資產(chǎn)進(jìn)行安全保護(hù)。該方法考慮到了客戶的商業(yè)需求、安全規(guī)則、風(fēng)險評估、法律以及企業(yè)特有的安全需求，保證與客戶商業(yè)目標(biāo)和法律要求相一致的安全策略?；萜展镜募夹g(shù)顧問為客戶完成以下工作：協(xié)助企業(yè)在高級管理層中確定安全策略項目負(fù)責(zé)人；協(xié)助企業(yè)明確現(xiàn)有的信息安全策略及執(zhí)行狀態(tài)；根據(jù)國際通用的標(biāo)準(zhǔn)和方法制定安全策略的大綱，并通過召開策略設(shè)計專題研討會，確定每個安全項目的職能與責(zé)任；創(chuàng)建策略文件并確定最終策略文件；安排和準(zhǔn)備組織結(jié)構(gòu)、市場及執(zhí)行計劃專題討論會；向最高管理層介紹結(jié)果及完成的目標(biāo)。4.4.2安全策略實施信息安全策略實施的目的是保證企業(yè)所有的行為與制定的安全策略一致。不同的任務(wù)會在策略實施過程中定義，該過程存在于所有的企業(yè)安全策略中。除策略之外，信息安全的所有要素都必須放置在企業(yè)的適當(dāng)?shù)奈恢??；萜展镜募夹g(shù)顧問為客戶完成以下工作：與企業(yè)合作組建安全策略實施小組，定義安全小組及其成員的責(zé)任、義務(wù)；提供策略實施所需的資源計劃；召開安全策略培訓(xùn)專題研討會；為企業(yè)提供基于安全策略的安全調(diào)查問卷；為調(diào)查結(jié)果做出評價，分析企業(yè)當(dāng)前策略執(zhí)行狀態(tài)與應(yīng)達(dá)到狀態(tài)的差距，并形成文件，定義需要實施的內(nèi)容；信息小組監(jiān)督安全策略實施內(nèi)容在各個安全要素的執(zhí)行情況；與企業(yè)合作形成實施文檔。4.4.3安全策略內(nèi)容依照國際通用的安全標(biāo)準(zhǔn)作為制定組織專用的指導(dǎo)原則的起點。通用的安全標(biāo)準(zhǔn)中的指導(dǎo)原則和控制措施并非全部適用。因此，還可能需要包括的其它控制措施，各控制措施之間相互參照很有用，有利于審計人員和業(yè)務(wù)伙伴檢查是否符合安全指導(dǎo)原則。安全策略的主要內(nèi)容包括以下幾個方面：關(guān)于信息安全、風(fēng)險評估、風(fēng)險管理、安全策略的定義；建立企業(yè)的安全組織，包括安全論壇、安全責(zé)任劃分、安全專家建議體系、安全組織間的合作以及第三方和外包服務(wù)的安全性；進(jìn)行信息資產(chǎn)分類，明確資產(chǎn)責(zé)任；個人行為的安全規(guī)范，定義個人的安全行為、人員聘用原則、安全事故和責(zé)任處理；物理和環(huán)境的安全，包括安全區(qū)域的劃分、設(shè)備的安全性定義、常規(guī)的安全性規(guī)章；通信與操作管理的安全，包括系統(tǒng)規(guī)劃與驗收、操作的安全流程、事故管理、惡意軟件的防范、網(wǎng)絡(luò)安全控制管理、郵件安全、辦公系統(tǒng)安全、軟件使用安全；訪問控制，包括用戶安全等級定義和權(quán)限檢查、口令使用的安全性、外部用戶的身份驗證、節(jié)點/端口的使用、操作系統(tǒng)的訪問控制、應(yīng)用程序的訪問控制、移動用戶的訪問控制；系統(tǒng)的開發(fā)和維護(hù)的安全管理；業(yè)務(wù)連續(xù)性的安全管理；安全審計。4.5安全意識規(guī)范化咨詢服務(wù)員工對安全策略的認(rèn)識是成功執(zhí)行安全策略的關(guān)鍵，如果員工沒有確立安全理念或沒有得到相應(yīng)維護(hù)安全策略的教育，安全策略的執(zhí)行就會背離法律和他們的義務(wù)。成功執(zhí)行并維護(hù)企業(yè)信息安全方案要高度依賴于一個良好的結(jié)構(gòu)的、確定的和易于管理的安全理念計劃?；萜展镜募夹g(shù)顧問幫助客戶設(shè)計、執(zhí)行、監(jiān)控并管理信息安全理念計劃，使之適合于可以自維護(hù)并能夠高效運轉(zhuǎn)的客戶環(huán)境。惠普公司的技術(shù)顧問為客戶完成以下工作：從企業(yè)高級管理層中選出負(fù)責(zé)人，啟動培訓(xùn)活動。明確企業(yè)的培訓(xùn)需求，并明確不同級別的培訓(xùn)需求。4.6系統(tǒng)攻擊測試服務(wù)惠普公司企業(yè)放置在網(wǎng)通IDC的設(shè)備提供模擬入侵的系統(tǒng)攻擊測試服務(wù)，其目的是幫助企業(yè)發(fā)現(xiàn)可能遭受的攻擊是否能穿透提供服務(wù)的各種設(shè)備?；萜展镜脑擁椃?wù)面向全球，提供模擬攻擊的中心設(shè)立在香港。通過系統(tǒng)攻擊測試服務(wù)，為客戶完成以下工作：得到安全掃描和風(fēng)險分析的結(jié)果；根據(jù)客戶的網(wǎng)絡(luò)服務(wù)需求制定模擬攻擊的手段與工具；與客戶共同配合完成模擬攻擊；生成攻擊結(jié)果報告并根據(jù)情況提供相應(yīng)建議。通過以上的服務(wù)，惠普公司幫助xx上海IDC制訂系列的安全管理制度和普及安全意識教育，包括：用戶守則制訂，如應(yīng)包括：未知請求一律禁止通過、只有網(wǎng)絡(luò)管理員才可進(jìn)行物理訪問、分部不應(yīng)使用單一標(biāo)準(zhǔn)的Modem、只有網(wǎng)絡(luò)人員才可進(jìn)行軟件安裝工作、訪問Internet必須通過代理、所有安全軟件必須能保留完整的日志、重要系統(tǒng)應(yīng)使用難猜測的口令并經(jīng)常改換口令。機房管理制度的制訂分層次的安全培訓(xùn)，對行政、技術(shù)的各級人員有針對地進(jìn)行培訓(xùn)。建立安全信息分發(fā)系統(tǒng)，對安全管理的階段性結(jié)果，以可讀性好的報告形式分發(fā)給各個結(jié)點的安全部門。應(yīng)對具體的分發(fā)方式、分發(fā)渠道、保密措施做出規(guī)定。網(wǎng)絡(luò)安全方案必須架構(gòu)在科學(xué)的安全體系和安全框架之上。安全框架是安全方案設(shè)計和分析的基礎(chǔ)。為了系統(tǒng)地描述和分析安全問題，本節(jié)將從系統(tǒng)層次結(jié)構(gòu)的角度展開，分析xxIDC各個層次可能存在的安全漏洞和安全風(fēng)險，并提出解決方案。5xx上海IDC安全增值服