網絡與信息安全保護措施

一、網絡安全保障措施

為了全面確保本公司網絡安全，在本公司網絡平臺解決方案設

計中，主要將基于以下設計原則：

a安全性

在本方案的設計中，我們將從網絡、系統(tǒng)、應用、運行管理、系統(tǒng)冗余等角度綜合分析，采納先進的安全技術，如防火墻、加密技術，為

熱點網站供應系統(tǒng)、完整的安全體系。確保系統(tǒng)安全運行。

b高性能

考慮本公司網絡平臺將來業(yè)務量的增長，在本方案的設計中，我們將從網絡、服務器、軟件、應用等角度綜合分析，合理設計結構與配置

，以確保大量用戶并發(fā)訪問峰值時段，系統(tǒng)仍舊具有足夠的處理力量，保障服務質量。

c牢靠性

本公司網絡平臺作為企業(yè)門戶平臺，設計中將在盡可能削減投資的狀況下，從系統(tǒng)結構、網絡結構、技術措施、設施選型等方面綜合考慮

，以盡量削減系統(tǒng)中的單故障節(jié)點，實現7×24小時的不間斷服務

d可擴展性

優(yōu)良的體系結構（包括硬件、軟件體系結構）設計對于系統(tǒng)是否能夠適應將來業(yè)務的進展至關重要。在本系統(tǒng)的設計中，硬件系統(tǒng)（如服務器

、存貯設計等）將遵循可擴充的原則，以確保系統(tǒng)隨著業(yè)務量的不斷增長，在不停止服務的前提下無縫平滑擴展；同時軟件體系結構的設計也

將遵循可擴充的原則，適應新業(yè)務增長的需要。

e開放性

考慮到本系統(tǒng)中將涉及不同廠商的設備技術，以及不斷擴展的系統(tǒng)需求，在本項目的產品技術選型中，全部采納國際標準/工業(yè)標準，使本

系統(tǒng)具有良好的開放性。

f先進性

本系統(tǒng)中的軟硬件平臺建設、應用系統(tǒng)的設計開發(fā)以及系統(tǒng)的維護管理所采納的產品技術均綜合考慮當今互聯(lián)網進展趨勢，采納相對先進同時

市場相對成熟的產品技術，以滿意將來熱點網站的進展需求。

g系統(tǒng)集成性

在本方案中的軟硬件系統(tǒng)包括時力科技以及第三方廠商的優(yōu)秀產品。我們將為滿拉網站供應完整的應用集成服務，使?jié)M拉網站將更多的資源集

中在業(yè)務的開拓與運營中，而不是詳細的集成工作中。

1、硬件設施保障措施：

重慶市滿拉科技進展有限公司的信息服務器設備符合郵電公用通信網絡的各項技術接口指標和終端通信的技術標準、電氣特性和通信方式等，

不會影響公網的安全。本公司租用重慶聯(lián)通的IDC放置信息服務器的標準機房環(huán)境，包括：空調、照明、濕度、不間斷電源、防靜電地板等。重慶聯(lián)通為本公司服務器供應一條高速數據端口用以接入CHINANET網絡。系統(tǒng)主機系統(tǒng)的應用模式打算了系統(tǒng)將面對大量的用戶和面對大量的并發(fā)訪問，系統(tǒng)要求是高牢靠性的關鍵性應用系統(tǒng)，要求系統(tǒng)避開任何可能的停機和數據的破壞與丟失。系統(tǒng)要求采納最新的應用服務器技術實

現負載均衡和避開單點故障。

系統(tǒng)主機硬件技術

CPU：64位長以上CPU，支持多CPU結構，并支持平滑升級。

服務器具有高牢靠性，具有長時間工作力量，系統(tǒng)整機平均無故障時間(MTBF)不低于100000小時，系統(tǒng)供應強大的診斷軟件，對系統(tǒng)進行診斷

服務器具有鏡象容錯功能，采納雙盤容錯，雙機容錯。

主機系統(tǒng)具有強大的總線帶寬和I/O吞吐力量，并具有敏捷強大的可擴充力量

配置原則

(1)處理器的負荷峰值為75%；

(2)處理器、內存和磁盤需要配置平衡以供應好效果；

(3)磁盤(以鏡像為佳)應有30-40%冗余量應付高峰。

(4)內存配置應協(xié)作數據庫指標。

(5)I/O與處理器同樣重要。

系統(tǒng)主機軟件技術：

服務器平臺的系統(tǒng)軟件符合開放系統(tǒng)互連標準和協(xié)議。

操作系統(tǒng)選用通用的多用戶、多任務winduws2000或者Linux操作系統(tǒng)，系統(tǒng)應具有高度牢靠性、開放性，支持對稱多重處理（SMP）功能，支持包括TCP/IP在內的多種網絡協(xié)議。符合C2級安全標準：供應完善的操作系統(tǒng)監(jiān)控、報警和故障處理。應支持當前流行的數據庫系統(tǒng)和開發(fā)工具。

系統(tǒng)主機的存儲設備:

系統(tǒng)的存儲設備的技術RAID0+1或者RAID5的磁盤陣列等措施保證系統(tǒng)的安全和牢靠。I/O力量可達6M/s。

供應足夠的擴充槽位。

系統(tǒng)的存儲力量設計

系統(tǒng)的存儲力量主要考慮用戶等數據的存儲空間、文件系統(tǒng)、備份空間、測試系統(tǒng)空間、數據庫管理空間和系統(tǒng)的擴展空間。

服務器系統(tǒng)的擴容力量

系統(tǒng)主機的擴容力量主要包括三個方面：

性能、處理力量的擴充－包括CPU及內存的擴充

存儲容量的擴充－磁盤存儲空間的擴展

I/O力量的擴充,包括網絡適配器的擴充(如FDDI卡和ATM卡)及外部設備的擴充（如外接磁帶庫、光盤機等）

2、軟件系統(tǒng)保證措施：

操作系統(tǒng)：Windows2023SERVER網絡操作系統(tǒng)

防火墻：CISCOPIX硬件防火墻

Windows2023SERVER操作系統(tǒng)和美國微軟公司的windowsupdate站點升級站點保持數據聯(lián)系，確保操作系統(tǒng)修補現已知的漏洞。利用NTFS分區(qū)技術嚴格掌握用戶對服務器數據訪問權限。

操作系統(tǒng)上建立了嚴格的安全策略和日志訪問記錄.保障了用戶安全、密碼安全、以及網絡對系統(tǒng)的訪問掌握安全、并且記錄了網絡對系統(tǒng)的一切訪問以及動作。系統(tǒng)實現上采納標準的基于WEB中間件技術的三層體系結構，即：全部基于WEB的應用都采納WEB應用服務器技術來實現。

中間件平臺的性能設計：

可伸縮性：允許用戶開發(fā)系統(tǒng)和應用程序，以簡潔的方式滿意不斷增長的業(yè)務需求。

安全性：利用各種加密技術，身份和授權掌握及會話安全技術，以及Web安全性技術，避開用戶信息免受非法入侵的損害。

完整性：通過中間件實現牢靠、高性能的分布式交易功能，確保精確?????的數據更新。

可維護性：能便利地利用新技術升級現有應用程序，滿意不斷增長的企業(yè)進展需要。

互操作性和開放性：中間件技術應基于開放標準的體系，供應開發(fā)分布交易應用程序功能，可跨異構環(huán)境實現現有系統(tǒng)的互操作性。能支持多

種硬件和操作系統(tǒng)平臺環(huán)境。

網絡安全方面：

多層防火墻：依據用戶的不同需求，采納多層高性能的硬件防火墻對客戶托管的主機進行全面的愛護。

異構防火墻：同時采納業(yè)界最先進成熟的CiscoPIX硬件防火墻進行愛護，不同廠家不同結構的防火墻更進一步保障了用戶網絡和主機的安全。

防病毒掃描：專業(yè)的防病毒掃描軟件，杜絕病毒對客戶主機的感染。

入侵檢測：專業(yè)的安全軟件，供應基于網絡、主機、數據庫、應用程序的入侵檢測服務，在防火墻的基礎上又增加了幾道安全措施，確保用戶系統(tǒng)的高度安全。漏洞掃描：定期對用戶主機及應用系統(tǒng)進行安全漏洞掃描和分析，排解安全隱患，做到安全防患于未然。CISCOPIX硬件防火墻運行在CISCO交換機上層供應了特地的主機上監(jiān)視全部網絡上流過的數據包，發(fā)覺能夠正確識別攻擊在進行的攻擊特征。攻擊的識別是實時的，用戶可定義報警和一旦攻擊被檢測到的響應。此處，我們有如下愛護措施：全部大事監(jiān)控策略此項策略用于測試目的，監(jiān)視報告全部安全大事。在現實環(huán)境下面，此項策略將嚴峻影響檢測服務器的性能。攻擊檢測策略此策略重點防范來自網絡上的惡意攻擊，適合管理員了解網絡上的重要的網絡大事。

協(xié)議分析此策略與攻擊檢測策略不同，將會對網絡的會話進行協(xié)議分析，適合安全管理員了解網絡的使用狀況。

網站愛護此策略用于監(jiān)視網絡上對HTTP流量的監(jiān)視，而且只對HTTP攻擊敏感。適合安全管理員了解和監(jiān)視網絡上的網站訪問狀況。Windows網絡愛護此策略重點防護Windows網絡環(huán)境。會話復制此項策略供應了復制Telnet,FTP,SMTP會話的功能。此功能用于安全策略的定制。

DMZ監(jiān)控此項策略重點愛護在防火墻外的DMZ區(qū)域的網絡活動。這個策略監(jiān)視網絡攻擊和典型的互聯(lián)網協(xié)議弱點攻擊，例如（HTTP,FTP,SMTP,POP和DNS），適合安全管理員監(jiān)視企業(yè)防火墻以外的網絡大事。防火墻內監(jiān)控此項策略重點針對穿越防火墻的網絡應用的攻擊和協(xié)議弱點利用，適合防火墻內部安全大事的監(jiān)視。

數據庫服務器平臺

數據庫平臺是應用系統(tǒng)的基礎,直接關系到整個應用系統(tǒng)的性能表現及數據的精確?????性和安全牢靠性以及數據的處理效率等多個方面。本系統(tǒng)對數據庫平臺的設計包括：數據庫系統(tǒng)應具有高度的牢靠性，支持分布式數據處理；支持包括TCP/IP協(xié)議及IPX/SPX協(xié)議在內的多種網絡協(xié)議；支持UNIX和MSNT等多種操作系統(tǒng)，支持客戶機/服務器體系結構，具備開放式的客戶編程接口，支持漢字操作；具有支持并行操作所需的技術（如：多服務器協(xié)同技術和事務處理的完整性掌握技術等）；支持聯(lián)機分析處理（OLAP）和聯(lián)機事務處理（OLTP），支持數據倉庫的建立；要求能夠實現數據的快速裝載，以及高效的并發(fā)處理和交互式查詢；支持C2級安全標準和多級安全掌握，供應WEB服務接口模塊，對客戶端輸出協(xié)議支持HTTP2.0、SSL3.0等；支持聯(lián)機備份，具有自動備份和日志管理功能。

二、信息安全保密管理制度

1、信息監(jiān)掌握度：

（1）、網站信息必需在網頁上標明來源;(即有關轉載信息都必需標明轉載的地址)

（2）、相關責任人定期或不定期檢查網站信息內容，實施有效監(jiān)控，做好安全監(jiān)督工作；

（3）、不得利用國際互聯(lián)網制作、復制、查閱和傳播一系列以下信息，如有違反規(guī)定有關部門將按規(guī)定對其進行處理；

A、反對憲法所確定的基本原則的；

B、危害國家安全，泄露國家隱秘，顛覆國家政權，破壞國家統(tǒng)一的；

C、損害國家榮譽和利益的；

D、煽動民族仇恨、民族卑視、破壞民族團結的；

E、破壞國家宗教政策，宣揚邪教和封建迷信的；

F、散布謠言，擾亂社會秩序，破壞社會穩(wěn)定的；

G、散布淫穢、色情、賭博、暴力、兇殺、恐怖或者教唆犯罪的；

H、污辱或者誹謗他人，侵害他人合法權益的；

含有法律、行政法規(guī)禁止的其他內容的。

2、組織結構：

設置特地的網絡管理員，并由其上級進行監(jiān)督、凡向國際聯(lián)網的站點供應或發(fā)布信息，必需經過保密審查批準。保密審批實行部門管理，有關單位應當依據國家保密法規(guī)，審核批準后發(fā)布、堅持做到來源不名的不發(fā)、為經過上級部門批準的不發(fā)、內容有問題的不發(fā)、的三不發(fā)制度。

對網站管理實行責任制對網站的管理人員，以及領導明確各級人員的責任，管理網站的正常運行，嚴格抓管理工作，實行誰管理誰負責。

三、用戶信息安全管理制度

一、信息安全內部人員保密管理制度：

1、相關內部人員不得對外泄露需要保密的信息；

2、內部人員不得發(fā)布、傳播國家法律禁止的內容；

3、信息發(fā)布之前應當經過相關人員審核；

4、對相關管理人