交通指挥中心系统安全体系设计说明书.doc

交通指挥中心系统安全体系设计说明书1概述在泉州公安交通指挥中心整修升级项目的整个安全体系建设过程中，需要综合考虑安全要素，主要包含贯穿始终的安全策略、安全评估和安全管理；而在技术层面上需要考虑实体的物理安全，网络的基础结构、网络层的安全、操作系统平台的安全、应用平台的安全，以及在此基础之上的应用数据的安全。这几个方面，既是一种防护基础，也是相互促进的，同时是一个循环递进的工程，需要不断的自我完善和增强，才能够形成一套合理有效的整体安全防护系统。具体请参照下图：2安全策略公安交通指挥中心采用安装安全隔离网闸（根据交警支队网络管理实际需求情况，另议）,实现了物理传导上使内、外网络物理隔断，同时确保信息在支队内部之间交换，同时防止内部网信息通过网络连接泄漏到外部网。对于将来如有业务确须和非公安系统连接时，主要采用防火墙+安全隔离网闸+入侵检测系统加以隔离、防护，内部局域网不同部门或用户之间如果没有采用相应一些访问控制，也可能造成信息泄漏或非法攻击。据统计在网络安全事件中，70%是来自内部。因此内部网的安全风险更严重。内部人员对自身网络结构、应用比较熟悉，将可能成为导致系统受攻击的安全威胁。因此制订安全管理策略和措施，采用“远程控制、集中管理”的方式对网络中的安全设备和系统进行管理，以确保安全策略的一致性。 3安全措施6.3.1 IP地址和MAC地址的绑定和身份认证为了防止使用未经登记的设备访问网络服务，在主交换上配置IP地址和MAC地址的对应关系，当终端机访问网络服务时，判断其合法性。在交换机的端口限制MAC地址，可以有效地防止非法用户的入侵。绝大多数的用户都是合法用户。但是，如果有非法用户使用自带的笔记本电脑连入计算机网络系统，并使用网络系统所给的合法帐号上网，那么就能取得服务器的资料，甚至破坏服务器。每个工作站上网时，交换机在自己的内存中查找所有被允许的MAC，如果能够匹配，交换机就允许该工作站上网，否则交换机自动禁用该端口，使非法工作站无法上网。6.3.2 VLAN划分及其访问控制 在主交换机上将全单位内网环境按照部门、楼宇划分不同的VLAN。在主交换机上配置了VLAN之间的访问控制，除提供信息服务的VLAN之外，禁止了其它VLAN之间的访问。通过这项措施，使得不同楼宇、不同办公区的同一部门使用网络如同在一起办公。有效地阻止了网络广播的大量散发，通过访问控制限制了各个部门之间的相互干扰。6.3.3 访问控制列表Cisco路由器上的访问控制由Access list（访问控制列表）功能实现。Access list选择路由器的端口作为控制点，检查每一个进出的数据包。Access list是基于网络层协议的，支持IP、IPX等多种协议。对于IP，Access list可检查IP包的源地址、目的地址、TCP和UDP、TCP和UDP上的端口号等深层信息，提供了良好的控制能力。Cisco 的Access list，可分离不同部门的不同应用，保证局域网的内部访问安全性。 中心交换机可以隐蔽并保护信息中心服务器群，可以保护重点计算机,可以有效防止对不当资源的访问，如TELNET、FTP等等。6.3.4 安全审计 安全审计是一个安全的网络必须支持的功能特性，审计是记录用户使用计算机网络系统进行所有活动的过程，它是提高安全性的重要工具。它不仅能够识别谁访问了系统，还能指出系统正被怎样地使用。对于确定是否有网络攻击的情况，审计信息对于确定问题和攻击源很重要。同时，系统事件的记录能够更迅速和系统地识别问题，并且它是后面阶段事故处理的重要依据，为网络犯罪行为及泄密行为提供取证基础。另外，通过对安全事件的不断收集与积累并且加以分析，有选择性地对其中的某些站点或用户进行审计跟踪，以便对发现或可能产生的破坏性行为提供有力的证据。网络系统作为企业网络信息系统也应具备安全审计措施。并通过多层次的审计手段，形成一个功能较完备的安全审计系统。具体而言，网络的审计系统应该由三个层次组成，分别是： 网络层层次的安全审计：主要利用网络监控系统来实现。 如针对性的漏洞扫描。 系统的安全审计。主要是利用各种操作系统和应用软件系统的审计功能实现。包括，用户访问时间、操作记录、系统运行信息、资源占用等。 对信息内容的安全审计，属高层审计。 a) 采用各层次的安全审计措施是网络安全系统的重要组成部分。该项工作需要购置部门级网络安全审计系统。主要达到以下目的： 阻止内网终端拨号上网或提供拨号服务； 阻止计算机运行嗅探程序或有扫描软件扫描端口； 阻止并阻断黑客攻击和侵入，并能记录来源； 阻止木马攻击； 防堵因系统原因造成的网络漏洞； 特殊情况下，控制台可完全接管终端； 控制台的数据及报警记录的管理、分析。6.4 系统安全6.4.1 系统审计措施 在部署好主机/服务器的安防措施之后，需要对它们的配置情况进行审计以保证主机/服务器系统得到了有效的保护。系统审计的策略和方法有很多，所网的系统管理员应该根据具体的情况制订恰当的审计策略并选择合适的审计工具。6.4.2 对数据中心的重点保护 安装百兆防火墙和部署百兆入侵探测系统，对信息中心的服务器进行重点保护，隐藏其真实的IP地址，开放有限的端口，对流经的IP包进行强度扫描和过滤。6.4.3 漏洞扫描和探测 通过和网络规划联动，将提供服务和重要的计算机划分不同的VLAN，定期对这些设备进行漏洞扫描和探测。6.4.4 病毒防护措施 病毒是网络上另一个不可轻视的安全问题。由于病毒自身普遍具有较强的再生机制，并且网络上各种信息的交换频繁，从而大大增加了病毒接触不同用户的机会，病毒如果不被有效地控制，它对计算机的影响将是灾难性的。考虑到病毒的上述特性，网络的病毒防护系统必须具备集中式的管理功能，并且能够覆盖从桌面计算机到服务器系统的所有平台。6.4.5 重点计算机防护措施 如前所述，采取的措施之一是在防火墙上设置对重点计算机的保护；措施之二是安装安全审计系统客户端。除了这两点之外，还可以安装符合个人特点的防火墙。这些措施的结合可以在防止不合适的人访问重点计算机的内容，甚至攻击。6.4.6 重点计算机密级文件的加密措施在重点计算机上，配置专用的加密设施，达到以下目的： 计算机中的文件离开本机后，因为是加密后的密文，不可用； 应用的对象可以是部分盘符，也可以是部分文件夹； 加密文件传递后，可采用对等解密。6.4.7 CA/PKI身份验证措施 全单位网络访问的用户配置唯一的用户证书和唯一的一对公钥/私钥，在应用过程中进行基于身份的加密传输和加密存储。6.4.8 数据备份 目前，需要购买数据备份产品，来满足网络在数据备份与恢复方面的基本需求。另外，可以实施了异地备份策略，进一步保障了系统的数据安全。6.4.9 安全防护系统的维护和监控 设计和部署防护系统的体系结构只是建立安防体系的第一步。当一切都安装部署到位并开始进入实际使用阶段之后，安防工作的重点将转移到维护和监控工作上来。维护和监控的目标是让自己的系统和网络跟上形式的发展变化，按照实际需要调整系统的配置情况，并且对可疑的行为进行分析和研究。我们考虑，网络的维护和监控工作主要应包括以下几个步骤：b) 与最新的补丁和升级同步 事实表明，大部分成功的攻击其罪魁祸首只是软件中数量很少的几种“老”脆弱点。攻击者之所以会利用这些最简单方便的脆弱点，是因为利用这些“著名”安防漏洞的工具在因特网上到处都有；而攻击者之所以能够得手却完全是因为众多的企业自身对这些“著名”的安防漏洞视而不见，给攻击者以可乘之机。c) 监控和分析日志文件每一台系统都会生成日志文件，Windows服务器会生成事件日志，Unix服务器会产生Syslog日志， 而Web服务器软件、防火墙、入侵监测系统以及其它第三方应用软件、安防产品也会生成各种各样的日志文件。对这些日志文件的监控和分析，可以帮助我们准确地理解所网中都发生了那些事情。d) 定期复查系统配置为了确保系统不因非法的对系统配置进行修改而产生安全问题，应定期地复查关键系统的系统配置。当然，如果需要复查的系统太多，一台一台系统地检查它们的配置是不现实的，这时应该采用一些工具软件来提供帮助，如微软公司的Security Configuration Manager和Sun公司的Security Manager套装软件。e) 密切关注安防邮件表安防邮件表（如：和）是了解新动态和新技术的最佳场所。通过密切关注安防邮件表（尤其是关注那些与所网中最宝贵和最容易受到攻击的系统有关的消息），我们可以及时掌握第一手资料并采取相应的措施。相反，如果不重视这些邮件表，一种全新的攻击手法就有可能会给所网带来很大的伤害。6.4.10 其它方面的考虑 安全评估 随着入侵手段的日益复杂和通用系统不时出现的安全缺陷，预先评估分析网络系统中存在的安全问题，已经成为网络管理员们的重要需求。基于网络的安全扫描主要扫描设定网络内的服务器、路由器、网桥、交换机、访问服务器、防火墙等设备的安全漏洞，并可设定模拟攻击，以测试系统的防御能力。这种技术模拟入侵者可能的攻击行为，从系统外部进行扫描，以探测是否存在可以被入侵者利用的系统安全薄弱之处。 远程安全评估系统是一套典型的模拟黑客攻击，发现网络潜在安全风险的系统。RSAS 通过不同功能的检测模块，收集和测试网络的信息和远程安全风险所在，并以直观的方式报告给使用者，提供解决方案的建议，在经过分析后，还可帮助使用者了解自己网络的风险变化趋势和严重风险点，从而有效降低网络的总体风险，保护关键业务和数据。 主要目的： 同时扫描不限数量的目标主机能力：在安全扫描中，只要硬件设备的资源能够承受，用户可以同时扫描两台、十台、四十台甚至更多的主机。与通常的软件扫描器相比，由于承载的硬件嵌入系统平台经过特别优化，其扫描效率远远高于一般的安全扫描软件。 完备的检测模块：能检测800条以上最重要和全新的安全问题，包括多种流行操作系统 (Unix、 Windows ), 设备(Switch、Router等) 和应用服务 (web、ftp、mail等)。 针对大规模网络系统的安全管理与检测定制：要考虑到数千台系统、多级管理员这样的大规模网络评估的需求，从而开发出具有强大而灵活的分级用户管理和权限设置的评估系统。 强大的任务管理功能：充分满足大规模复杂网络的安全检测，能方便的制订不同频率和级别的扫描计划。 强大方便的模版定义：内置多种预定义模版，和多样的模版自定义能力，使得安全管理员在配置时得心应手。 主机加固措施 操作系统的硬化对于所网中特殊功用的服务器来说是十分重要的，不合理的系统配置等于向非授权访问敞开了大门。因此建议，系统管理员在细致分析各服务器角色的基础上，尽可能地减少服务器与外界的交流渠道，尽可能地减少在服务器上面运行的不必要的服务项目。 内网邮件系统安全措施 在内网的具有较高保密级别的产品进行加密传输，具有抗抵赖、规则检验和防篡改功能。该措施需要与PKI/CA一并考虑实施。 安全服务 安全服务是一个完整安全体系中不可或缺的一部分，安全服务和各种安全产品和技术的融合使用，才能真正地保障一个大型网络的动态和持续安全。主要包括以下功能： 网络安全评估：全方位的监测服务，包括本地和远程的评估计划； 网络安全咨询服务：电话、Email、WWW等多种咨询服务； 网络安全产品的销售、服务和测试； 网络安全培训：多层次的技术培训； 紧急响应：使系统恢复正常工作，协助检查入侵来源、事故分析报告 网络安全通告：全面及时的安全信息； 网络与系统安全加固：安全加强与加固的实施； 整体安全规划和实施服务：帮助构建整体的安全体系，包括网络与系统安全，防病毒，PKI等。6.4.11 统一安全管理平台 全单位范围的、针对不同技术方面、采用不同技术或手段的安全防范体系，如果没有一套集中统一的安全管理平台，对于安全管理人员来说，其工作之不便、工作量之大、判断问题之片面性等都很难避免。因此，针对网络安全综合措施，需要引进一套综合管理平台，改善安全管理人员的工作环境。6.4.12 外网的安全防护 如前所述，单位的外网是与内网在物理上相互隔离的，这种方式为内网的安全提供了更多的保障。外网中需要被保护的对象主要有：数据库服务器和邮件服务器等。采取的措施有：实施外网计算机的IP地址和MAC地址的绑定，有限度地开放外网服务的端口地址。6.5 网络安全解决方案6.5.1 网络层安全解决方案 从网络层的安全解决方案来看，目前安全市场的主要产品包括，物理隔离网闸、抗攻击网关、防火墙、防病毒网关、身份认证、加密、入侵检测和集中网管等因此在进行网络安全设计时,应根据不同的应用类型和网络规模及对安全性的要求选择相应的安全设备和体系。根据泉州公安公安交通指挥中心局域网的设计现状和未来需求，将非公安公安交通指挥中心网络信息数据与公安交通指挥中心其它网络和系统连接，需要在本系统和外网的连接处配置防火墙（根据实际需求情况，另议），通过防火墙的策略配置，可以阻止大部分外部的恶意攻击。但防火墙本身在安全防护方面存在一定的缺陷，即它只能提供静态的、被动的保护，而对动态的威胁无能为力。因此还需要在防火墙后配备入侵检测系统，通过入侵检测系统（根据实际需求情况，另议）发现外部的可疑攻击并调整防火墙的策略。最大可能的把非预期的信息屏蔽在外。在本网络系统中，与非公安信息系统数据交换考虑采用公安部认可的,可以在公安网使用的安全网关，这样整体的网络系统安全可以有更多的保障。本系统中，在与非公安信息系统数据交换的接口，建议使用安全隔离网闸实现信息交换、共享等问题，这种产品的设计保证了隔离硬件卡中的数据暂存区在任一时刻仅连通内网或者外网，从而实现内外网的安全隔离。对网络间各种类型数据进行安全传输，防止并抵御各种网络攻击及病毒入侵。通过对病毒在网络中存储、传播、感染的各种方式和途径进行分析，结合本系统网络的特点，在网络安全的病毒防护方面建议采用“多级防范，集中管理，以防为主、防治结合”的动态防毒策略。从用户端PC、网络安全区域结合部、邮件服务器、文件服务器和应用服务器等病毒可能的传输途径进行防治，实现全方位的立体防毒。泉州网络安全拓扑图： 设备技术规格及性能1、防火墙（根据实际需求情况，另议）防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入本网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问本网络，防止它们更改、拷贝、毁坏本网络的重要信息。本设计建议选用的防火墙。具体的参数为：设备类型：百兆级防火墙 并发连接数：500000 网络吞吐量（Mpps）：170 安全过滤带宽（MB）：100 用户数限制：无用户数限制 VPN支持：支持 支持产品性能指标基本规格并发连接数500000VPN支持支持网络网络吞吐量（Mpps）170安全性安全过滤带宽（MB）100用户数限制无用户数限制入侵检测DoS、IDS其它控制端口RS-232管理CSPM、PDM电气规格电源电压（V）220电源功率（W）75外观特征重量(Kg)5长度宽度高度(mm)30042744环境条件工作温度（）-5 - 55工作湿度10% - 90%存储温度（）-20 - 70存储湿度10% - 90%2、安全隔离网闸（根据实际需求情况，另议）本系统中在与非公安信息系统数据交换的接口，建议使用安全隔离网闸实现信息交换、共享等问题，该产品的设计保证了隔离硬件卡中的数据暂存区在任一时刻仅连通内网或者外网，从而实现内外网的安全隔离。对网络间各种类型数据进行安全传输，防止并抵御各种网络攻击及病毒入侵。产品建议采用北京天行网安信息技术有限公司的天行安全隔离网闸(Topwalk-GAP)。 天行安全隔离网闸(Topwalk-GAP)是天行网安信息技术有限公司与公安部信息通信局联合研制的新一代安全隔离产品。该产品是中国特色的GAP技术的代表产品，它采用自主产权的专用隔离硬件和多个处理单元紧密集成的独特设计，集成各种安全模块为一体，布署于信任网络与非信任网络之间，能够防止并抵御各种网络攻击及病毒入侵，用户可以安全地浏览、收发邮件及文件传输与数据库交换。天行安全隔离网闸(Topwalk-GAP)从硬件上来分主要包括三部分，分别是专用安全隔离切换装置（数据暂存区）、内部处理单元和外部处理单元。系统中的专用安全隔离切换装置分别连接内部处理单元和外部处理单元，这种独特设计保证了安全隔离切换装置中的数据暂存区在任一时刻仅连通内部或者外部处理单元，从而实现内外网的安全隔离。天行安全隔离网闸(Topwalk-GAP)通常部署于信任网络与非信任网络之间，如图所示：通过采用多主机结构设计和专用硬件切断TCP/IP协议通讯，形成网络间的隔离；面向应用数据，采用白名单策略，进行高度可控的数据交换：不接受任何未知来源的主动请求，通过对可定义数据的主动请求的方法读取和发送应用数据（PULL-PUSH），通过专用具备强认证功能的API接口读取和发送应用数据；并通过可进行扩展定义的内容检查机制为白名单策略提供进一步的保障机制。彻底杜绝有害信息，组成网络之间数据交换的安全通道，构筑成网络间的黑客不可逾越的安全网闸。 产品模块介绍： 天行安全隔离网闸(Topwalk-GAP)的一个基本模块与其它应用模块：基本模块整个安全隔离网闸的核心部件，是其它应用模块的安全平台。数据库交换模块 支持多种主流数据库在网络间的可控方向的安全数据交换。 文件交换模块提供网络间的基于文件的可控方向的安全文件传输。消息模块提供与不信任网络进行安全消息传输的功能，提供C、Java两种编程接口。邮件模块安全可定制的地址内容检查、审核和控制；支持多种方式的安全收 发邮件。浏览模块安全浏览外网最新网页，采用多种过滤机制过滤Cookie、URL等信息。 天行安全隔离网闸(Topwalk-GAP)采用自主开发的软硬件系统，保证核心技术的自主版权。良好的通用性，适用于标准邮件协议、多种文件格式、多种主流数据库系统之间的数据交换。安装配置简单，整个安装配置非常简单，无需调整现有网络设备。集成多种安全技术：内核防护、防扫描、安全审计、病毒查杀等采用全中文管理界面，界面友好、使用方便。6.5.2 网络杀毒软件网络是病毒传播的最好、最快的途径之一。病毒程序可以通过网上下载、电子邮件、使用盗版光盘或软盘、人为投放等传播途径潜入内部网。网络中一旦有一台主机受病毒感染，则病毒程序就完全可能在极短的时间内迅速扩散，传播到网络上的所有主机，有些病毒会在你的系统中自动打包一些文件自动从发件箱中发出。可能造成信息泄漏、文件丢失、机器死机等不安全因素。针对防病毒危害性极大并且传播极为迅速，必须配备从服务器到单机的整套防病毒软件，防止病毒入侵主机并扩散到全网，实现全网的病毒安全防护。并且由于新病毒的出现比较快，所以要求防病毒系统的病毒代码库的更新周期必须比较短。本方案建议使用瑞星网络杀毒软件，瑞星杀毒软件网络版 2004 荣获权威反病毒检测机构公安部同类产品检测第一名。瑞星杀毒软件通过一个系统中心的统一管理，提供灵活、快捷的网络防病毒支持，可确保网络不受病毒侵扰。 瑞星杀毒软件网络版系统中心可以很容易的在整个网络内实现远程管理、智能升级、自动分发、远程报警等多种功能，有效地管理和保护所有的病毒入口。 瑞星管理员控制台使管理员可以在网络中的任意一台计算机上对整个网络进行集中控制管理，清楚地掌握整个网络环境中各个节点的病毒监测状态，既方便了管理员，又最大程度的减少了整个网络中的安全漏洞，真正做到保证整个网络的系统安全，具有其它网络版产品无以比拟的优越性。 瑞星杀毒软件企业版主要适用的操作系统平台：Windows NT、Windows2000、Windows 9X/Me、Windows XP。具体的功能如下：远程化远程安装 在主服务器安装系统后可远程安装各个辅助服务器和客户端。远程管理 系统管理员可以通过控制台对客户端的瑞星杀毒软件进行设置，避免客户端的疏忽而产生整个病毒防护系统的漏洞。自动化自动核对版本、下载 系统定时自动核对版本，采用自行研制的断点续传技术下载升级包，避免重复下载，使升级迅速、可靠。自动分发、升级 升级程序下载后，自动分发给局域网内的各服务器与客户端，全面升级。自动化的版本核对、下载、分发、升级，使网络管理员不必整日深陷于雷同而繁琐的操作。同时实时监控功能能自动保障整个网络时时刻刻处于瑞星杀毒软件的安全保护下。智能化智能安装: 智能识别系统环境，实现智能安装。智能查询核对并分发:对登录的客户端实行版本智能查询核对，自动更新升级，保证全部节点版本一致，避免因版本差异导致杀毒能力差异，出现网络防毒的薄弱环节。智能化功能能够大大减少系统管理员的工作量，同时避免整个网络出现防毒的薄弱环节。易实现、易扩展系统资源占用小，对环境要求少，可方便实现界面简洁明了，易学易用扩展实现简易、方便实现了与操作系统的底层无缝链接，系统资源占用小。同时避免了其他杀毒软件复杂而不实用的界面，整个界面简洁明了、功能全面，使系统管理员能够清楚的掌握整个网络环境中各个节点的安全状态，轻易实现整个网络的查杀病毒与网络安全管理。同时能够方便而简易地实现扩展，用户不必担心因网络的不断扩展而引发的问题，在现有资源基础上，不必重复建设，可轻易实现扩展。安全与隐密的协调统一保障客户局域网系统的隐秘性与安全性统一而不矛盾瑞星杀毒软件在保证系统管理员对局域网进行全面安全管理的同时更确保了局域网用户的个人隐私不受侵犯。贴身设计，设置灵活依据系统管理员需求选择控制管理和查杀毒的系统范围自由选择不同的扫描方式，对文件分类查杀，提高效率自由选择查杀毒的操作方式，灵活方便自由选择下载方式，依据系统要求，对下载、升级进行定时设置，并由系统管理员在全自动、半自动、手工操作方式中任意选择。在尽可能简洁的基础上为用户提供必要而实用的设置，确保不同用户的需求。集中式管理，分布式查杀中央系统中心结合移动控制台实现全局方便管理管理员可以将任意一台服务器或客户端设置为移动控制台，对局域网进行远程集中式安全管理，并可通过帐号和口令设置控制移动控制台的使用。先进的分布计算技术采用了先进的分布式计算技术，利用本地资源和本地杀毒引擎，对本地节点的所有文件全面、及时、高效地查杀病毒，同时保障用户的隐私，减少了网络传输的负载，避免因大量传输文件而引起的网络拥塞。迅速、彻底、强大的查杀毒功能查杀各种病毒-先进的杀毒引擎确保查杀精确、迅速查杀黑客程序-实时监控速度在同类软件中极为突出查杀各种形式的压缩文件6.5.3 双机容错存储方案随着计算机技术的发展，信息已成为交通系统日常活动中十分重要的一个组成部分，同时，由于系统的复杂性和开放性以及应用环境的多样化，也给应用系统的运行带来了许多不确定因素。这些因素也导致对服务器的安全性也提出了更高的要求，基于该平台业务系统的安全，稳定可靠和系统的持续运行成为系统的关键。在一般情况下，当系统不能正常运行时，需要用人工的方法进行故障的认定、分析、恢复及测试。这些都需要花费很长的时间。在这段时间内，系统必须停顿下来以等待恢复，从而给企业带来难以估计的经济损失。双机容错是计算机应用系统稳定、可靠、有效、持续运行的重要保证。目前在PC服务器上应用最多的MSCS是一个高可靠性的容错系统，它通过系统冗余的方法解决计算机应用系统的可靠性问题，并具有安装维护简单、稳定可靠、监测直观等优点。当一台主机出现故障，该软件可及时启动另一台主机接替原主机任务，保证了用户数据的可靠性和系统的持续运行。双机容错的目的在于保证数据永不丢失和系统永不停机。采用智能型磁盘阵列柜可保证数据永不丢失；采用双机容错软件可保证系统永不停机。基本架构共分两种模式：双机互备援（Dual Active）模式和双机热备份（Hot Standby）模式。 双机互备援（Dual Active）双机热备援就是两台主机均为工作机，在正常情况下，两台工作机均为信息系统提供支持，并互相监视对方的运行情况。当一台主机出现异常时不能支持信息系统正常运营，另一主机则主动接管（Take Over）异常机的工作，继续主持信息的运营，从而保证信息系统能够不间断的运行，而达到不停机的功能（Non-Stop），但正常运行主机的负载（Loading）会有所增加。此时必须尽快将异常机修复以缩短正常机所接管的工作切换回忆备修复的异常机。 双机热备份（Hot Standby）双机热备份就是一台主机为工作机（Primary Server），另一台主机为备份机（Standy Server），在系统正常情况下，工作机为信息系统提供支持，备份机监视工作机的运行情况（工作机也同时监视备份机是否正常，有时备份机因某种原因出现异常，工作机可尽早通知系统管理员解决，确保下一次切换的可靠性）。当工作机出现异常，不能支持信息系统运营时，备份机主动接管（Take Over）工作机的工作，继续支持信息的运营，从而保证信息系统能够不间断的运行（Non-Stop）。宕工作机经过修复正常后，系统管理员通过管理命令或经由以人工或自动的方式将备份机的工作切换回工作机；也可以激活监视程序，监视备份机的运行情况，此时，原来的备份机就成了工作机，而原来的工作机就成了备份机。 对磁盘阵列系统的要求在一般性的应用上，单一服务器在遇到问题造成停顿或宕机时，作业都必须停止一段时间，以便进行整理或维修，这样的情况在大部分的单位里是不被允许的（根据统计，服务器上最易损坏的配件是硬盘），因此而有了双服务器的应用方案，但双服务器方案容易造成原配置的数据通道不够，或资料IN/OUT的时间，位置不统一的状况，此时磁盘阵列柜将可以把上述的问题迎刃而解，因为磁盘阵列大多配备了多个通道，提供给二个以上的服务器使用，同时RAID透过控制器的切割，可以切割出多个区间提供给不同服务器的需要。在双机集群系统中，磁盘存储系统就硬件而言，可以成为服务器的得力助手， 因为它提供了以下几个功能：足够的扩容空间安全的资料保护（服务器当机或硬盘损毁，资料不流失）降低服务器的维护率维护作业简便就硬件结构而言，磁盘阵列被视为一个外设装置，并且各自对应一个或多个储存区间，因此其结构性是相当简单的，如此的设计方式有几项好处：简化服务器系统的结构以减少对服务器的影响所有复杂的储存，备份，侦错，检查工作，完全由RAID的控制器负责，不占用服务器的资源，使服务器达到最高的可利用率完全独立的硬件结构相连接，不需要再另外加装任何驱动程序标准接口，安装容易磁盘阵列系统除了对硬件及内含资料的保护之外，另外还必须具备的一项功能是“容错切换”，它是透过一套具有监控，管理服务器和存储资源的功能软件，在存储系统和主机的连接或存储系统部件出现任何故障时，自动将数据链路切换到备用链路或系统部件上，这也是实现双机集群的基础，即存储系统的绝对安全可靠。6.5.4 存储备份 泉州市公安交通指挥中心作为信息资源中心，最为重要的部分是数据库服务器里面的信息数据，数据同其他有形设备一样，是单位的重要资产。因此必须建立完善的备份方案以保证数据的完整性和一致性。很多系统管理人员以及CIO对备份的认识有着一定的误区。误区之一是：用拷贝来代替备份。实际上，备份等于拷贝加管理，备份能实现可计划性以及自动化，以及历史记录的保存和日志记录。在海量数据情况下，如果不对数据进行管理，则会陷入数据汪洋之中。误区之二是用双机、磁盘阵列、镜像等系统冗余替代数据备份。需要指出的是，系统冗余保证了业务的连续性和系统的高可靠性，系统冗余不能替代数据备份，因为它避免不了人为破坏、恶意攻击、病毒、天灾人祸，只有备份才能保证数据的万无一失。误区之三是只备份数据文件。在这样的条件下，一旦系统崩溃，恢复时就要全部重新安装操作系统、重新安装所有的应用程序，需要相当长的时间才能恢复所有的数据，因此，正确的方法是对网络系统进行全部备份。 目前，备份的趋势是无人值守的自动化备份、可管理性、灾难性恢复，这三点正是针对系统的高效率、数据与业务的高可用性而增强的。备份作为一种保证数据使用的手段，备份的目的是为了防止数据灾难，缩短停机时间，保证数据安全，服务器硬件升级；而备份的最终目的就是迅速恢复。其中，磁带机提供了经济有效的备份，它能够以10%20%的投资，实现100%的可靠。在选择备份硬件时，应考虑以下几点：备份速度；备份介质费用；备份数据的易保管性；备份硬件的可维护性。在系统日益复杂，数据量日益增大的情况下，磁带是最理想的备份介质。用磁带备份，主要有以下几个优点：磁带的发展，已有30多年时间。历史证明磁带技术是相当稳定可靠的。磁带的容量高，成本低。一盒磁带可存储高达70GB的数据，而每GB的存储成本在10元左右；磁带的数据传输速率非常高，最低可达60MB/分，最高可以达到600 MB/分；可重复使用，易于携带和保管；允许无人操作的自动备份；对于泉州公安公安交通指挥中心来说，采用HP Surestore DLT 80e外置式磁带机产品加上HP单键灾难恢复技术（OBDR）可以用于灾难恢复以及数据传递等。利用该技术，一旦系统出现故障，管理人员可以直接从磁带机上引导整个系统，同时将数据完整地恢复出来，无需重新安装操作系统和应用程序，使用极为简便。利用OBDR，DR在每次备份时自动生成，在灾难恢复时无需软件/CD，而且只需要少量的时间、少量的技术知识，从单一介质上恢复。与常规的灾难性恢复方案相比，HP单键灾难恢复方案让以往需要四步的工作简化为两步，而且操作人员可以完全不懂计算机管理。管理人员只需要更换硬件，然后以DR方式启动，只需要按一个键，系统就能整个自动恢复。单键灾难恢复方案的特点是高可靠性、速度快、最易实现性以及具有无人值守的备份功能。技术指标：系统参数存储容量(GB)40压缩后存储容量(GB)80持续传输率(MB/s)6压缩后传输率(MB/s)12接口类型单端宽式SCSI-3平均无故障时间（MTBF）(小时)250000磁带尺寸(英寸)6-10.5存储技术DLT记录密度(bpi)82000存储记录格式DLT5支持存储介质HP DLTtape IV数据磁带读带速度(ips)60倒带速度(ips)120装带方式自动内外置外置电气规格电源100-240V,0.7A,50-60Hz功率(W)11.3环境参数工作温度10-40工作湿度20-80%存储温度-40-66存储湿度10-90%外观参数重量(g)6630长度(mm)325宽度(mm)1756.6 安全防护体系的基本构成6.6.1 安全防护的要素安全防护系统不是件孤立的事情，它是规章制度、人和技术三者之间相互作用的统一体。安防是一个过程而不是一个产品。a) 规章制度规章制度是企业安全防护体系的基础，它定义了公司将如何实现安全防护措施。如果企业里没有强有力的安防制度并定期进行复查，就不可能得到一个真正意义上的安全防护体系，在这种情况下，企业即使安装再好的安防产品也没有用，原因是企业缺乏建立一个安防体系的基础。b) 职工一般来说，人是任何安全防护体系里最薄弱的环节。必须使职工了解安防的意义并在企业里营造安防意识的环境，在安防方面比较自觉和警惕的职工是安全防护体系中不可缺少的重要环节。c) 技术或产品技术或产品是帮助企业实现其安防规章制度所不可缺少的手段。企业需要综合地利用各种类型的技术或产品，来构建一个适合于自己的多层次的安全防护体系。技术或产品在安防体系中固然重要，它们却确实不如强有力的规章制度和具备安全意识的职工来得更重要。d) 监控和维护安全防护体系中另一项非常重要的工作是：永不停息地检查和维护。安防体系不是个静止的一次性的项目，它是永无休止地变化着的东西，必须不停地监控、维护和进行必要的升级。6.6.2 安全防护系统设立的原则安全防护系统的设立有三条基本的原则，即：a) 合理地确定安防制度；b) 综合采用各项措施（策略、技术和产品）；c) 加强管理和维护。6.6.3 安全防护的规章制度安防制度是企业安全防护体系的基础，如果没有健全的规章制度，企业就很容易陷入信息泄密、利润损失、恶劣的公众形象、甚至是法律诉讼等被动的境地 安防制度的生命周期企业在制订、推行和监督实施安防制度时必须遵行的过程是：a) 规章制度的制订即规章制度的编制工作，其主要任务是制订出消除、减轻和转移风险所需要的安防控制措施；b) 规章制度的执行即发布执行规章制度的工作，企业必须保证所有违反规章制度的行为都要得到与之相匹配的惩罚；c) 规章制度的监督实施规章制度必须长抓不懈，这项工作需要长期反复地进行，必须保证它们能够跟上企业的发展和变化。 安防制度的制定从全局的角度来看，规章制度的制订工作应包括以下三个方面：a) 明确企业关键性的资源；b) 界定企业中的各个岗位；c) 确定企业各岗位人员的权利和义务。 安防制度的组成随着安全问题的日趋复杂，一个集中性的安防制度已不能满足企业的需要，企业必须制订一系列的规章制度来作为其构建安全防护体系的基础。一般来说，安防制度里应包括以下几个重要部分：a) 网络安全管理制度b) 信息发布登记制度c) 信息内容审核制度d) 用户备案制度e) 信息中心机房网络安全管理制度f) 所网安全管理制度g) 电子公告系统的用户登记和信息管理制度6.6.4 安防体系的基本结构安防体系应该按从外向内的顺序展开，即先从边境上的安全防护措施开始，然后逐层深入，直到所有的服务器和主机都被保护起来为止。这种层次化的安防体系增加了保护层的数量，即使某个层次被突破了，下面还有好几个层次可以继续为企业的敏感信息提供保护。当然，各个保护层必须有机地结合起来才能建立一个完整的安全防护体系。图2.4给出了一个层次化安防体系基本结构的示意图。 规 边境安全 加密访问控制 远程访问控制 监 章 入侵检测系统 控制 服务器、 主机安全 维度 应用程序安全 护 图6.6.4-1 安全防护体系基本结构示意图6.6.5 安全防护的基本技术 边境安全技术边境安全技术一般指的就是防火墙技术，其作用是监视和控制可信任网络和不可信任网络之间的访问通道。防火墙可被用来：a) 把企业内部网络和不可信任的Internet隔离开来并加以保护；b) 把企业网中比较敏感的网段（一个子网）与相对开放的网段（其它子网）隔离开来并加以保护。防火墙技术主要有三种：a) 数据包过滤（Packet Filter）数据包过滤器在网络层对每一个数据包进行检查，并根据事先确定的过滤规则（即访问控制列表）来决定数据包是否被允许通过。可以被过滤的TCP/IP数据包元素包括：IP地址和TCP/UDP端口。b) 代理服务器（Proxy Server）代理服务器作用于网络的应用层，它位于内部网络上的用户和因特网上的服务这二者之间，提供替换性连接，既代理内部网络对外部网络进行访问，也代理外部网络对内部网络进行访问。c) 状态监测（State Inspection）状态监测技术是数据包过滤技术的延伸，它将数据包过滤功能扩展到应用级，经常被成为“动态数据包过滤”。状态监测技术在网络层截获数据包，然后从各个应用层里提取出安防决策所需要的状态信息并把这些信息保存到动态状态表中，通过这些状态表分析与该数据包有关的后续连接请求并做出适当的决定。在构建一个防火墙体系结构时，防火墙组件的组合办法主要有：a) 双网主机式体系结构；b) 筛选主机式体系结构；c) 筛选子网式体系结构。 加密访问控制技术加密访问控制技术包括数据加密技术和访问权限控制技术。 数据加密技术数据加密技术用来保护网络系统中包括用户数据在内的所有数据流。只有指定的用户和设备才能识别和解释加密的数据，从而保证网络服务的可用性和信息的完整性。数据加密技术可分为两大类，即对称加密和不对称加密。a) 对称加密对称加密技术采用单个密钥来进行加密和解密，其特点是计算量小、加密效率高，但在传递密钥的通道方面存在着不安全性，不适合在分布式系统中应用。b) 不对称加密不对称加密技术使用了两个密钥（公用密钥和私用密钥），只有二者搭配使用才能完成加密和解密的全过程，其特点是解决了对称加密技术在传递密钥的通道方面存在的不安全性，适合在分布式系统中应用，但它的加密和解密过程却需要增加大量的处理时间。现在已经有一种混合机密系统，它可以把对称加密技术的处理速度和不对称加密技术对密钥的保密功能结合在一起。 访问权限控制一般来说，身份、身份验证和授权通常被总称为访问权限控制。在身份验证的过程中需要验证的东西一般有两样，即身份和授权。“身份”的作用是让系统知道确实存在这样一个用户（如用户名）；“授权”的作用是让系统判断该用户是否有权力访问他申请访问的资源或数据。身份验证的方法有下面几种：a) 用户ID和口令字用户ID和口令字的组合是一种简单有效的身份验证方法，也是大家最熟悉的方法。在使用这种方法时需要注意的一个问题是应用程序不应该以明文（即没有加密）的形式把口令字发往用于验证的服务器。b) 数字证书数字证书相当于电子化的身份证明，它包含了一些帮助确定用户身份的信息资料。数字证书可以用来强有力地验证某个用户或某个系统的身份，也可以用来加密电子邮件消息或其它种类的通信内容。c) SecurIDSecurID是令牌身份验证的一种标准，它采用了一个能够验证用户身份的硬件装置（即安全卡），这种安全卡使用一组与时间变化同步的数字来做为用户登录资源的口令。d) 生物测定技术生物测定装置能够对人体的一处或多处特征进行测定（如指纹），它能够从物理角度验证出用户独一无二的身份。但是生物测定技术还存在着识别精确度和投资效果方面的问题。e) Kerberos协议Kerberos是一种网络身份验证的协议，它使应用程序能够通过一个无安防措施的网络向服务器提供自己的身份，或者是服务器向应用程序提供身份。应用程序和服务器之间通过Kerberos证明了彼此的身份之后，还可以对彼此之间的全部通信进行加密以保证私密性和数据的完整性。 远程访问控制 当用户需要通过一个中间系统远程访问企业内部网络的资源时，远程访问技术必须采取一定的安防措施来对传输中的数据和传输端点上的数据进行保护。常用的远程访问技术有下面几种：a) 拨号访问 拨号访问可分为基于modem阵列或基于因特网两种方式。在前一种远程访问方式下，用户通过公共电话网与企业内部网中的modem阵列相连，便可以进入内部网络获取资料或数据。而在后一种远程访问方式中，用户可以通过多种宽带接入技术（如DSL），经ISP接入到因特网中来远程访问内部网中的资料或数据。在这两种访问方式下，数据的安全性都存在问题，需要提供额外的安防措施来对传输中的数据和传输端点上的数据进行保护（相对而言，前者的安全性好于后者，原因是数据是在电话网而非数据网中传输的）。b) DDN专线接入DDN是采用数字信道来传输信号的数据传输网，它一般被用来向用户提供专用的数字数据传输信道，或提供将用户接入公用数据交换网的接入信道。DDN提供的是一种半永久性连接电路的数据传输网（所谓半永久性指的是DDN所提供的信道是非交换型的，用户之间的通信通常是固定的）。接入DDN的可能是一个用户终端，也可以是一个网络。DDN本身的安全性较差，需要提供额外的安防措施来对传输中的数据和传输端点上的数据进行保护。c) 虚拟专用网络虚拟专用网络（即VPN）是远程访问技术的最新成果，它是一种最具成本效益、最灵活和最容易扩展的远程访问解决方案。VPN是在公用数据网中形成企业专用的链路，将处于不同地区的终端或局域网连成一个整体，从而构成一个为企业专用的、扩展的内部网。在数据的安全性方面，VPN通过IPSec协议族把多种安全技术集合到一起来建立一个供数据进行传输的安全“隧道”，并且在为“隧道”中传输的数据提供安全防护的同时，以提供身份验证的方式为传输端点上的数据提供保护。6.6.6 入侵检测技术入侵监测系统（即IDS）的作用是监控网络和计算机系统是否出现被入侵或滥用的征兆。IDS是以后台进程的形式运行的，它们不间断地监视着网络通信和系统日志，不放过任何可疑的行为。 入侵检测的类别根据被监测对象的不同，入侵监测可分为以下几类：a) 应用软件入侵监测应用软件入侵监测在应用软件级收集信息，包括各种应用软件的日志（如数据库管理软件日志、Web服务器日志和防火墙日志等）。大多数的IDS系统都能提供集中式的管理手段，将“监测感应器”收集到的日志信息集中到一个中央仓库供人们检查和分析。