中数博阳_网站综合服务建议书.doc

北京中数博阳信息技术有限公司 网站综合服务项目建议书Prepared by中数博阳Beyond Digital China Co.Dec 1, 2010一、 网站监控服务随着电子商务和网络应用的迅猛发展，越来越多的公司开始构建于Web应用之上开展核心业务。但是互联网的不可靠性与不安全给网站运营带来前所未有的挑战。Web应用系统监控则成为提升网站可访问性和优化网站性能的必不可少的工作。中数博阳网站监控服务为用户提供网站7X24小时的不间断监控，每1分钟一次的检查频率保障能够及时准确的向用户报告网站的当前运行状况。中数网站监控服务包括：l 网站故障监控 l 网站响应时间监控 l 故障历史记录 l 故障重试次数 l HTTP协议高级监控 l Ping网络到达率监控 l Ping丢包率监控 l DNS域名解析监控 l FTP可用率监控 l TCP/UDP端口监控 l SMTP邮件服务器监控 l 多监测点响应时间对比 l 服务器访问速度跟踪 l 服务器SNMP性能监控 l 网卡流量监控 l CPU使用率监控 l 内存使用率监控 l 磁盘空间使用率监控 l 磁盘I/O监控 l Apache性能监控 l Lighttpd性能监控 l Nginx性能监控 l MySQL性能监控 l Email告警 l 手机短信告警 l 每周性能报告 l 每月性能报告 二、 云计算基础架构服务IT基础架构变得过于复杂和脆弱。目前，70%的IT投资主要用于维护，只用很少的时间去支持战略性业务项目。随着用户要求的响应时间越来越短和管理成本越来越低，IT组织需要一种更好的策略。云计算是一种能够降低IT复杂性的新方法，它将按需提供的自助管理虚拟基础架构汇集成高效池，以服务的形式提供计算，云计算就是这种更佳策略的核心。如今，面对资源不断减少而业务需求却不断增加的窘境，IT 部门开始求助于云计算，希望利用更加高效、灵活而且经济的“IT 即服务”模式为业务部门提供 IT 服务。1. 我们如何保障云安全虚拟化是从旧式应用程序向新式云计算基础架构进行转变不可或缺的基础，是云计算环境中重要的安全保障条件。中数博阳与北交大安全实验室一道为新一代云计算解决方案SuperXEN 奠定了基础，可有效应对云计算环境中面临的应用程序和数据安全挑战。中数博阳SuperXEN基础架构解决方案采用了数据隔离与数据通讯商用加密的方法，不仅能够保障云计算管理平台的正常通信，同时能够实现管理数据与应用数据分离，防止入侵者通过sniffer的方式破坏云基础架构管理环境。SuperXEN解决方案融合了Web安全主动防御解决方案，可帮助用户识别应用层攻击以及难以检测到的问题并实现全面的安全控制。这些功能进一步提高了应用的性能、降低了复杂性并提供了更全面的安全保护。2. 如何实现自动化管理企业无需花费宝贵的时间管理物理基础架构或应用程序，SuperXEN解决方案使他们能够专注于创新和为企业提供价值。将所有硬件资源集中到虚拟构造块中并定义关联应用程序服务级别后，企业可以根据业务规则和应用程序需求部署自动化计划。当您的应用系统计算资源不足，系统可按照您的自定义规则自动创建一个新的虚拟应用服务器以增强应用的服务能力。这种云计算自动化和云计算管理可帮助 IT 部门实现超高效率，确保计划和策略与业务情况相符并在云的服务交付机制（根据服务级别交付的应用程序和服务）中定义计划和策略。3. 资源池和动态资源分配SuperXEN可以将 IT 部门的资源管理方法由管理离散的硬件更改为管理虚拟化的共享资源池，其中包括服务器、存储和网络连接。通过虚拟化所有 IT 资源，IT 人员可以提高资源利用效率和针对高优先级应用程序进行动态资源分配。这些共享资源池可以抽象为逻辑构造块（包含存储、网络和服务器单元等）从而有效创建虚拟数据中心。根据业务需求，这些资源容器经过构造可提供特定的服务级别或满足特定的业务需求，也可以按照逻辑业务单元或职能细分这些资源容器。通过标准化一组设计合理的产品，企业可以向着策略驱动的计算方法发展。4. SuperXEN的自动迁移策略SuperXEN包含一套完善的自迁移算法，无论是服务器负载过高或过低，或者服务器及其应用无响应，均可按照迁移策略自动将问题服务器或应用迁移到正常的服务器上，一可以提高服务器的资源利用率，扭转当前服务器利用率低下的现状。第二可以将负载过低的服务器迁移后进行休眠或关机，提高能源使用效率。第三可以保障应用的不间断性，为关键应用提供可靠保障。5. SuperXEN能够为用户带来的收益通过SuperXEN来整合服务器硬件，您的组织可以：将现有硬件利用率从 5-15% 最多提高到 80%；将硬件需求减少到原来的十分之一或更少；将执行部署的时间缩短 50-70%；从中央位置管理虚拟机；监控虚拟机及其主机的性能与安全；通过实时迁移虚拟机避免计划内或意外停机；通过自动执行负载平衡实现基于策略的 IT 资源动态分配；消除许多重复的配置和维护任务；中数博阳专业服务和我们的合作伙伴可以帮助您的组织在日常策略中利用这些独特功能。三、 网站弱点与漏洞扫描服务随着互联网大潮方兴未艾，Web 2.0的技术在大规模的使用，但却忽视了安全问题。赛门铁克公司的互联网安全报告指出，用于创建Web2.0项目的企业协作为安全隐患打开了大门。Web2.0造成了“很多领域的安全问题”，“仓促构建”的服务是其中的典型代表，而且很多Web2.0的应用软件并没有实现和传统的客户端软件相同级别的安全审核。中数博阳携国家网战部队专家，共同为用户提供网站、应用系统的弱点与漏洞扫描服务。我们不仅使用专业的Web应用扫描工具对您的系统进行全面的扫面，进行网站的健康检查，同时可以对网站进行渗透性测试，以检测系统的漏洞是否真实存在且可以被利用。如果用户的系统存在漏洞，我们将为其提供修补漏洞的方法及改善建议，同时为用户提供完整的网站扫描报告和漏洞检查报告。四、 网站主动安全防御服务Web网站多层主动防御系统是指从网络、操作系统和应用等层面出发，结合防护、检测和安全恢复等技术手段对网站进行综合主动防护，其好处还包括：支持用户已有应用及应用模式、兼容用户现有网络拓扑、支持网站远程维护和安全管理。Web网站多层主动防御系统体系结构可以从网站服务器、网站服务和网站内容等多个层面综合保护网站的安全性。Web网站多层主动防御系统体系结构如图1所示：图1：Web网站主动防御系统主动防护结构Web网站多层主动防御系统遵循安全防护体系结构，在系统构成上主要由Web应用防火墙和Web主动防护系统软件构成。1. 中数网胄Web应用硬件防火墙中数博阳向用户提供Web应用防火墙租用服务，用户每月只需花费不到两千元，即可享受花费十几万元购买应用防火墙同等的应用层防护效果。防火墙功能描述威胁描述中数网胄解决方案SQL注入利用SQL注入漏洞，攻击者通过在URL、表格域，或其他的输入域中输入自己的SQL命令，以此改变查询属性，骗过Web应用程序，从而对数据库进行不受限的访问。 中数网胄基于特征分析，针对SQL注入-当前国内网页篡改采用的最主要攻击手段，提供了有效识别、阻断并告警。中数网胄可有效防护传统注入手段，以及逃逸检测手段。XSS跨站脚本利用XSS漏洞，通过虚假的Web页面内容伪装用户的常用方法。恶意攻击可以通过XSS来盗取用户的cookie，将用户引导至其他的恶意页面，并且向其提供虚假的内容。 中数网胄基于特征分析，检查过滤用户的请求数据，可阻断XSS攻击。缓冲区溢出当Web应用程序无法检查正在处理的数据输入时就有可能发生缓冲区溢出问题。多数情况，缓冲区溢出会导致软件崩溃。最为危险的情形是输入数据的溢出侵占了用于指示下一条执行代码的内存，用户输入的数据会导致机器代码执行顺序的改变，从而使得攻击者能够在服务器上运行们的攻击代码。利用缓冲区溢出可作为蠕虫和非法代码段的传递机制。中数网胄基于特征分析，检查用户提交的参数数据，发现和阻断缓冲区溢出攻击。产品型号配置参数BDC-WSG-3000A网络接口标准410/1000M电口吞吐量(综合)800MbpsBypass支持多路部署2路硬件规格CPU：Intel Core 2 2.8GHZ, 内存：1GBWeb应用防火墙可靠性机制可靠性机制描述性能指标ByPass功能当防火墙突然断电，ByPass机制会可以自动在物理层将两个端口直接连接，从而避免自身电源问题导致的不能正常提供通信。瞬时切换，不影响正常数据传输。切换时丢包率不超过千分之一。守护进程守护进程实时监控主程序运行状态，如果发生主程序挂起或未启动，则自动重新启动主程序。最大允许挂起时间3秒钟，重启服务时间小于100毫秒。二层回退当检测引擎或软件系统故障，中数网胄会退到二层工作模式，直接将接收到的网络流量在二层就转发出去，不再进行上层的检测处理，以保证在设备软件故障时仍能保证网络业务连续性。在5秒内如果主程序未能启动，则自动做二层回退。防火墙冗余部署防火墙支持HA模式，如果一台防火墙发生故障，另外一台设备会接管其工作。HA切换时间小于6秒。2. 服务器加固+防篡改（软件）中数网固服务内容功能描述服务器加固（白名单） 本功能通过“可执行代码白名单”机制对未经允许的可执行代码进行限制，防止其被调入系统并执行。此套机制不仅可以有效阻止病毒等恶意代码对网站的攻击，而且还可以阻止非法应用程序在系统中的运行，使得网站系统的状态保持可信安全。 “可执行代码白名单”机制以密码技术为基础，可以对系统所有可执行代码进行安全验证，而不依赖于可执行代码的文件后缀类型。与传统的杀毒软件只能清除已知病毒不同，“可执行代码白名单”机制未知病毒同样有效。网页防篡改 本功能通过实现“职责分离”、“最小特权”和基于密码的安全访控隧道机制，对网页内容及系统其它重要资源进行分级保护，即使是操作系统的超级管理员也无法对资源进行修改、删除、重命名等操作，防止攻击者通过系统漏洞（比如溢出类漏洞）获得管理员权限，并利用此权限对网站系统如网站服务的配置文件等进行攻击和破坏，尤其是对网页内容的恶意篡改。 五、 服务价值1. 保障客户网站持续稳定运行，防止黑客攻击，防止服务器宕机，网站瘫痪而造成的客户信任度下降；2. 对黑客攻击进行实时监测，实时阻隔，防止被挂马，中毒等而产生经济损失和信誉损害；3. 对网站和服务器信息进行实时监测，可以轻松查看各类安全信息和运行状况；4. 当发现问题时，用户可以收到EMAIL或短信及时告警来进行处理，防止出现重大损失；5. 对系统漏洞进行扫描，为用户合理架构安全防护体系，在出现问题之前扼杀；6. 服务的形式，解决了攻击手段更新换代快，但是软硬件一旦购买，难以换代的尴尬局面；7. 良好的用户体验，专业的技术支持，为服务器运维人员紧张的公司解决后顾之忧。六、 关于我们中数博阳（BDC）致力于为企业、家庭和个人的服务器或终端提供标准化安全、运维与系统优化服务。我们专