1、系統安全方案物理級安全解決方案保證計算機信息系統各種設備的物理安全是保障整個網絡系統安全的前提。物理安全是保護計算機網絡設備、設施以及其它媒體免遭地震、水災、火災等環境事故以及人為*作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。它主要包括三個方面： 環境安全對系統所在環境的安全保護，如區域保護和災難保護；（參見國家標準GB5017393電子計算機機房設計規范、國標GB288789計算站場地技術條件、GB936188計算站場地安全要求 設備安全設備安全主要包括設備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護等；設備冗余備份；通過嚴格管理及提高員工的整體安全意識來實現。媒

2、體安全包括媒體數據的安全及媒體本身的安全。顯然，為保證信息網絡系統的物理安全，除在網絡規劃和場地、環境等要求之外，還要防止系統信息在空間的擴散。計算機系統通過電磁輻射使信息被截獲而失密的案例已經很多，在理論和技術支持下的驗證工作也證實這種截取距離在幾百甚至可達千米的復原顯示技術給計算機系統信息的保密工作帶來了極大的危害。為了防止系統中的信息在空間上的擴散，通常是在物理上采取一定的防護措施，來減少或干擾擴散出去的空間信號。這對重要的政策、軍隊、金融機構在興建信息中心時都將成為首要設置的條件。正常的防范措施主要在三個方面：對主機房及重要信息存儲、收發部門進行屏蔽處理，即建設一個具有高效屏蔽效能的屏

3、蔽室，用它來安裝運行主要設備，以防止磁鼓、磁帶與高輻射設備等的信號外泄。為提高屏蔽室的效能，在屏蔽室與外界的各項聯系、連接中均要采取相應的隔離措施和設計，如信號線、電話線、空調、消防控制線，以及通風、波導，門的關起等。對本地網、局域網傳輸線路傳導輻射的抑制，由于電纜傳輸輻射信息的不可避免性，現均采光纜傳輸的方式，大多數均在Modem出來的設備用光電轉換接口，用光纜接出屏蔽室外進行傳輸。對終端設備輻射的防范。終端機尤其是CRT顯示器，由于上萬伏高壓電子流的作用，輻射有極強的信號外泄，但又因終端分散使用不宜集中采用屏蔽室的辦法來防止，故現在的要求除在訂購設備上盡量選取低輻射產品外，目前主要采取主動

4、式的干擾設備如干擾機來破壞對應信息的竊取，個別重要的首腦或集中的終端也可考慮采用有窗子的裝飾性屏蔽室，這種方法雖降低了部份屏蔽效能，但可大大改善工作環境，使人感到在普通機房內一樣工作。網絡級安全解決方案網絡安全是整個安全解決方案的關鍵，從訪問控制、通信保密、入侵檢測、網絡安全掃描系統、防病毒分別描述。隔離與訪問控制嚴格的管理制度可制定的制度用戶授權實施細則、口令字及帳戶管理規范、權限管理制度、安全責任制度等。劃分虛擬子網(VLAN)內部網絡根據不同用戶安全級別或者根據不同部門的安全需求，利用三層交換機來劃分虛擬子網（VLAN），在沒有配置路的情況下，不同虛擬子網間是不能夠互相訪問。通過虛擬子網

5、的劃分,能夠實較粗略的訪問控制。防火墻防火墻是實現網絡安全最基本、最經濟、最有效的安全措施之一。防火墻通過制定嚴格的安全策略實現內外網絡或內部網絡不同信任域之間的隔離與訪問控制。并且防火墻可以實現單向或雙向控制，對一些高層協議實現較細粒的訪問控制。FortiGate產品從網絡層到應用層都實現了自由控制。通信保密數據的機密性與完整性，主要是為了保護在網上傳送的涉及企業秘密的信息，經過配備加密設備，使得在網上傳送的數據是密文形式，而不是明文。可以選擇以下幾種方式。鏈路層加密對于連接各涉密網節點的廣域網線路，根據線路種類不同可以采用相應的鏈路級加密設備，以保證各節點涉密網之間交換的數據都是加密傳送，

6、以防止非授權用戶讀懂、篡改傳輸的數據。鏈路加密機由于是在鏈路級，加密機制是采用點對點的加密、解密。即在有相互訪問需求并且要求加密傳輸的各網點的每條外線線路上都得配一臺鏈路加密機。通過兩端加密機的協商配合實現加密、解密過程。網絡層加密鑒于網絡分布較廣，網點較多，而且可能采用DDN、FR等多種通訊線路。如果采用多種鏈路加密設備的設計方案則增加了系統投資費用，同時為系統維護、升級、擴展也帶來了相應困難。因此在這種情況下我們建議采用網絡層加密設備（VPN），VPN是網絡加密機，是實現端至端的加密，即一個網點只需配備一臺VPN加密機。根據具體策略，來保護內部敏感信息和企業秘密的機密性、真實性及完整性。I

7、Psec是在TCP/IP體系中實現網絡安全服務的重要措施。而VPN設備正是一種符合IPsec標準的IP協議加密設備。它通過利用跨越不安全的公共網絡的線路建立IP安全隧道，能夠保護子網間傳輸信息的機密性、完整性和真實性。經過對VPN的配置，可以讓網絡內的某些主機通過加密隧道，讓另一些主機仍以明文方式傳輸，以達到安全、傳輸效率的最佳平衡。一般來說，VPN設備可以一對一和一對多地運行，并具有對數據完整性的保證功能，它安裝在被保護網絡和路由器之間的位置。設備配置見下圖。目前全球大部分廠商的網絡安全產品都支持IPsec標準。由于VPN設備不依賴于底層的具體傳輸鏈路，它一方面可以降低網絡安全設備的投資；而

8、另一方面，更重要的是它可以為上層的各種應用提供統一的網絡層安全基礎設施和可選的虛擬專用網服務平臺。對政府行業網絡系統這樣一種大型的網絡，VPN設備可以使網絡在升級提速時具有很好的擴展性。鑒于VPN設備的突出優點，應根據企業具體需求，在各個網絡結點與公共網絡相連接的進出口處安裝配備VPN設備。入侵檢測利用防火墻并經過嚴格配置，可以阻止各種不安全訪問通過防火墻，從而降低安全風險。但是，網絡安全不可能完全依靠防火墻單一產品來實現，網絡安全是個整體的，必須配相應的安全產品，作為防火墻的必要補充。入侵檢測系統就是最好的安全產品，入侵檢測系統是根據已有的、最新的攻擊手段的信息代碼對進出網段的所有*作行為進

9、行實時監控、記錄，并按制定的策略實行響應（阻斷、報警、發送E-mail）。從而防止針對網絡的攻擊與犯罪行為。入侵檢測系統一般包括控制臺和探測器（網絡引擎）。控制臺用作制定及管理所有探測器（網絡引擎）。探測器（網絡引擎）用作監聽進出網絡的訪問行為，根據控制臺的指令執行相應行為。由于探測器采取的是監聽不是過濾數據包，因此，入侵檢測系統的應用不會對網絡系統性能造成多大影響。掃描系統網絡掃描系統可以對網絡中所有部件（Web站點，防火墻，路由器，TCP/IP及相關協議服務）進行攻擊性掃描、分析和評估，發現并報告系統存在的弱點和漏洞，評估安全風險，建議補救措施。系統掃描系統可以對網絡系統中的所有*作系統進

10、行安全性掃描，檢測*作系統存在的安全漏洞，并產生報表，以供分析；還會針對具體安全漏洞提出補救措施。病毒防護由于在網絡環境下，計算機病毒有不可估量的威脅性和破壞力。我們都知道，政府網絡系統中使用的*作系統一般均為WINDOWS系統，比較容易感染病毒。因此計算機病毒的防范也是網絡安全建設中應該考濾的重要的環節之一。反病毒技術包括預防病毒、檢測病毒和殺毒三種技術：預防病毒技術預防病毒技術通過自身常駐系統內存，優先獲得系統的控制權，監視和判斷系統中是否有病毒存在，進而阻止計算機病毒進入計算機系統和對系統進行破壞。這類技術有，加密可執行程序、引導區保護、系統監控與讀寫控制（如防病毒卡等）。檢測病毒技術檢

11、測病毒技術是通過對計算機病毒的特征來進行判斷的技術（如自身校驗、關鍵字、文件長度的變化等），來確定病毒的類型。殺毒技術殺毒技術通過對計算機病毒代碼的分析，開發出具有刪除病毒程序并恢復原文件的軟件。反病毒技術的具體實現方法包括對網絡中服務器及工作站中的文件及電子郵件等進行頻繁地掃描和監測。一旦發現與病毒代碼庫中相匹配的病毒代碼，反病毒程序會采取相應處理措施（清除、更名或刪除），防止病毒進入網絡進行傳播擴散。系統級安全解決方案網絡結構安全網絡結構的安全主要指，網絡拓撲結構是否合理；線路是否有冗余；路由是否冗余，防止單點失敗等。工行網絡在設計時，比較好的考慮了這些因素，可以說網絡結構是比較合理的、比

12、較安全的。操作系統安全對于操作系統的安全防范可以采取如下策略：盡量采用安全性較高的網絡操作系統并進行必要的安全配置、關閉一些起不常用卻存在安全隱患的應用、對一些保存有用戶信息及其口令的關鍵文件（如UNIX下：/.rhost、etc/host、passwd、shadow、group等；Windows NT下的LMHOST、SAM等）使用權限進行嚴格限制；加強口令字的使用（增加口令復雜程度、不要使用與用戶身份有關的、容易猜測的信息作為口令），并及時給系統打補丁、系統內部的相互調用不對外公開。通過配備操作系統安全掃描系統對操作系統進行安全性掃描，發現其中存在的安全漏洞，并有針對性地進行對網絡設備重新

13、配置或升級。應用系統安全在應用系統安全上，應用服務器盡量不要開放一些沒有經常用的協議及協議端口號。如文件服務、電子郵件服務器等應用系統，可以關閉服務器上如HTTP、FTP、TELNET、RLOGIN等服務。還有就是加強登錄身份認證。確保用戶使用的合法性；并嚴格限制登錄者的操作權限，將其完成的操作限制在最小的范圍內。充分利用操作系統和應用系統本身的日志功能，對用戶所訪問的信息做記錄，為事后審查提供依據。Windows操作系統的安全解決方案安裝防火墻、病毒軟件并及時更新病毒庫計算機病毒的危害日益加重，我們必須在服務器上安裝防病毒軟件，并做到及時更新。安裝殺毒軟件曾幾何時，大家都在為卡巴斯基的殺毒能

14、力叫好，每次聽見卡巴的“殺豬聲”讓人格外興奮，卡巴斯基就是有著這樣的鮮明特點。早在卡巴斯基6、7 KIS開始，網頁防護功能、與游戲平臺的兼容、與部分軟件、網絡游戲的兼容存在問題。卡巴斯基用它的非常“暴力”特點，征服了用戶未來將會繼續走紅。安裝系統防火墻瑞星個人防火墻是瑞星公司較早出品的安全軟件之一。瑞星個人防火墻的特點是資源占用不大，對于中文軟件的識別率高，且不依賴于防火墻規則設定與用戶自主操作，防護能力尚可。經歷了數年的滄桑磨練，是一款比較成熟的防火墻軟件。關閉系統自動播放自動播放類病毒防不勝防，為了安全起見最好禁止自動播放功能,可用多種軟件進行設置,如360安全衛士、超級兔子和優化大師的系

15、統防護設置，當然也可以用XP下從開始菜單運行命令“gpedit.msc”，通過左側菜單欄“計算機配置-管理模板-系統”內，找到“自動播放”項，進行關閉操作。及時安裝最新版本的SP和Hotfixes補丁程序要及時跟蹤Microsoft公司發布SP以及hotfixes的消息，從而根據具體環境，在機器中安裝最新的SP及hotfixes補丁程序。微軟公司的產品補丁分為2類：SP（Service Pack）和HotFixes。SP是集合一段時間發布的HotFixes的大補丁，一般命名為SP1、SP2，一段時間才發布一次。HotFixes是小補丁，它位于當前SP和下一個SP之間，是為解決微軟網站上最新安全

16、告示（Security bulletin）中的系統漏洞而發布的，一般命名為“MS年份-序號”，比如MS01-044表示2001第44個HotFixes。可以設置系統為自動下載更新系統補丁。關掉不需要的服務安裝完Windows 2000 Server后，我們就應該禁止掉該服務器不承擔的任何網絡服務程序。特別要考慮的是，是否需要運行文件和打印機共享服務。另外，除非特別需要，我們也不要在服務器上安裝其他應用程序。比如說，不要安裝電子郵件客戶端程序、office產品等等。總之，不是必須運行的程序，不安裝！對系統帳戶進行安全設置禁用Guest賬號 在計算機管理的用戶里面把Guest賬號禁用。為了保險起見

17、，最好給Guest加一個復雜的密碼。你可以打開記事本，在里面輸入一串包含特殊字符、數字、字母的長字符串，然后把它作為Guest用戶的密碼拷進去。限制不必要的用戶去掉所有的Duplicate User用戶、測試用戶、共享用戶等等。用戶組策略設置相應權限，并且經常檢查系統的用戶，刪除已經不再使用的用戶。這些用戶很多時候都是黑客們入侵系統的突破口。創建兩個管理員賬號創建一個一般權限用戶用來收信以及處理一些日常事物，另一個擁有Administrators 權限的用戶只在需要的時候使用。把系統Administrator賬號改名大家都知道，Windows 2000 的Administrator用戶是不能被

18、停用的，這意味著別人可以一遍又一遍地嘗試這個用戶的密碼。盡量把它偽裝成普通用戶，比如改成Guesycludx。創建一個陷阱用戶什么是陷阱用戶?即創建一個名為“Administrator”的本地用戶，把它的權限設置成最低，什么事也干不了的那種，并且加上一個超過10位的超級復雜密碼。這樣可以讓那些 Hacker們忙上一段時間，借此發現它們的入侵企圖。把共享文件的權限從Everyone組改成授權用戶任何時候都不要把共享文件的用戶設置成“Everyone”組，包括打印共享，默認的屬性就是“Everyone”組的，一定不要忘了改。開啟用戶策略使用用戶策略，分別設置復位用戶鎖定計數器時間為20分鐘，用戶鎖

19、定時間為20分鐘，用戶鎖定閾值為3次。不讓系統顯示上次登錄的用戶名默認情況下，登錄對話框中會顯示上次登錄的用戶名。這使得別人可以很容易地得到系統的一些用戶名，進而做密碼猜測。修改注冊表可以不讓對話框里顯示上次登錄的用戶名。方法為：打開注冊表編輯器并找到注冊表項“HKLMSoftwareMicrosoftWindowsTCurrentVersionWinlogonDont-DisplayLastUserName”，把REG_SZ的鍵值改成1。密碼安全設置使用安全密碼一些公司的管理員創建賬號的時候往往用公司名、計算機名做用戶名，然后又把這些用戶的密碼設置得太簡單，比如“welcome”等等。因此，

20、要注意密碼的復雜性，還要記住經常改密碼。開啟密碼策略注意應用密碼策略，如啟用密碼復雜性要求，設置密碼長度最小值為6位 ，設置強制密碼歷史為5次，時間為42天。考慮使用智能卡來代替密碼對于密碼，總是使安全管理員進退兩難，密碼設置簡單容易受到黑客的攻擊，密碼設置復雜又容易忘記。如果條件允許，用智能卡來代替復雜的密碼是一個很好的解決方法。開啟審核策略開啟安全審核是win2000最基本的入侵檢測方法。當有人嘗試對你的系統進行某些方式（如嘗試用戶密碼,改變帳戶策略，未經許可的文件訪問等等）入侵的時候，都會被安全審核記錄下來。很多的管理員在系統被入侵了幾個月都不知道，直到系統遭到破壞。下面的這些審核是必須

21、開啟的，其他的可以根據需要增加：策略設置：審核系統登陸事件 成功，失敗 審核帳戶管理 成功，失敗 審核登陸事件 成功，失敗 審核對象訪問 成功 審核策略更改 成功，失敗 審核特權使用 成功，失敗 審核系統事件 成功，失敗限制LAS信息不被匿名訪問LSA 是Local Security Authority的縮寫，即本地安全頒發機構，它的功能是負責在本地計算機上處理用戶登錄與身份驗證。LSA的信息非常重要，我們應該限制匿名用戶對LSA的訪問。要實現這個目的，需要修改注冊表，步驟如下： 創建鍵值HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSARe

22、strictAnonymous賦值為1，類型為REG_DWORD禁止對注冊表的遠程訪問對注冊表的遠程訪問會造成安全上的問題，我們的注冊表中保留了機器的配置和安全信息，讓別人知道總不是件好事。可以通過下面的方法禁止對注冊表的遠程訪問：打開注冊表編輯器，找到HKEY_LOCAL_MACHINESystemCurrentControlSetControlSecurePipeServersWinReg，設置其值為1即可。關閉不需要的端口用端口掃描器掃描系統所開放的端口，確定開放了哪些端口，關閉不必要的端口，在system32driversetcservices文件中有知名端口和服務的對照表可供參考。具

23、體方法為： 網上鄰居屬性本地連接屬性internet 協議(tcp/ip)屬性高級選項tcp/ip篩選屬性打開tcp/ip篩選，添加需要的tcp,udp,協議即可。應用級安全解決方案系統安全身份認證系統提供多種認證方式，包括普通口令認證、AD認證、身份認證卡等。普通口令認證采用MD5加密算法，128位密鑰加密確保系統安全。AD認證通過系統與WINDOWS操作系統的AD目錄（活動目錄）集成接口，實現統一管理、統一登錄的功能，為以后與其他應用系統整合留下足夠接口。身份認證卡可以滿足對安全要求更高的用戶的需求。身份認證卡為硬件認證卡，內置MD5 哈希(HASH)算法，32K加密存儲器，通過加密方式保

24、存用戶的密鑰和CA數字證書，曾獲得中國人民解放軍信息安全測評認證中心最高的認證等級：“軍C”，具有比一般認證方式安全性更高、運算速度更快、效率更高的特性。授權/訪問控制系統采用嚴格的授權/訪問控制，系統不僅控制應用/用戶訪問哪些信息，而且控制應用或用戶有權執行哪些操作。此外系統能夠對管理權進行委托，以能夠管理大型組織結構的跨應用的訪問授權。數字簽名在系統間消息通訊中，特別是對那些跨越企業或不同行政單位的消息，需要保證消息的完整性、防篡改，還要保證該消息確定來自于所期望的源。這一切都可以通過數字簽名來實現。數字簽名使用強大的加密技術和公鑰基礎結構，提供端到端的消息完整性保證，實現對原始報文的鑒別

25、和不可抵賴性，以更好地保證文檔的真實性、完整性和受認可性。 事務處理系統采用事務的方式處理系統中重要的業務流程，這樣可以保證在系統遇到意外狀況（比如掉電）發生的時候，系統不會對數據庫作任何修改，達到控制和維護數據庫數據的一致性和完整性，維護業務數據不會丟失。操作日志系統提供日志功能，將用戶登錄、退出系統，以及重要的模塊所有的操作都記錄在日志中，并且重要的數據系統采用回收站的方式保留，系統管理員能夠恢復被刪除的數據，有效追蹤非法入侵和維護系統數據安全。數據備份容錯雙機熱備份保證7*24小時應用不間斷。為了滿足辦公自動化系統的持續運行能力的高要求。在繼續進行信息化建設的同時保障系統的高可用性我們可

26、以建議使用雙機熱備份的方案。提供高可用性讓系統無論是硬件或是軟件失效，保證辦公應用服務不間斷的能力。高可用性軟件簡單的說是兩種功能的綜合：監控功能、切換功能，其基本工作原理是服務器間通過軟件監控服務器，當某服務器硬件或是軟件失效，軟件的切換功能發生作用將中斷服務器的工作在指定服務器上啟動起來使服務器的工作得以繼續。高可用性軟件從功能上分可以分為熱備、容錯兩種，細分為雙機熱備、雙機容錯、集群熱備、集群容錯。熱備與容錯的區別在于容錯軟件是應用級的監控，而熱備是主機級的監控。容錯軟件有著比熱備軟件更高的不間斷性，具有保護業務關鍵數據和維持和應用程序高可用的能力，做到堅持24*7的運作將保證系統的安全

27、運行。Legato公司提供的系列雙機軟件被認為是當今性價比極高的產品。同時也是可用于各種不同操作系統環境中的可用性數據備份與災難恢復的解決方案。磁盤陣列磁盤陣列是由一個硬盤控制器來控制多個硬盤的相互連接，使多個硬盤的讀寫同步，減少錯誤，增加效率和可靠度的技術。磁盤陣列可以通過兩種方法來實現：軟件陣列與硬件陣列。軟件陣列是通過網絡操作系統自身提供的磁盤管理功能將連接的普通SCSI卡上的多塊硬盤配置成邏輯盤，組成陣列，可以提供數據冗余功能，但是磁盤子系統的性能會有所降低。硬件陣列是使用專門的磁盤陣列卡來實現的。硬件陣列能夠提供在線擴容、動態修改陣列級別、自動數據恢復、驅動器漫游、超高速緩沖等功能。

28、并且磁盤陣列卡擁有一個專門的處理器和存貯器，這樣服務器對磁盤的操作就直接通過磁盤陣列卡來進行處理，不會降低磁盤子系統的性能。安全管理體系管理目標網絡安全管理目標是：采取集中控制、分級管理的模式，建立由專人負責安全事件定期報告和檢查制度，從而在管理上確保全方位、多層次、快速有效的網絡安全防護。管理框架考慮到管理體系建立需要有詳細的組織架構、人員配備及網絡結構等方面的信息，所以此建議書中僅就網絡安全規范提供一個框架性建議，具體管理規范有待我們對系統進行全面、詳細的調查后，與信息中心合作或獨立完成。根據管理規范內容的重要程度和安全管理的復雜性特點，我們認為管理規范應包括技術、人員與組織結構、應急事件

29、、安全響應服務、安全培訓五個方面的內容，如下圖：安全技術規范日常操作管理辦法：日常操作規范主要是對日常工作職責、內容、操作流程所做的規定，從而實現安全防護的程序化和統一化管理，主要內容包括：各種軟件安裝、調試、維護、卸載權限和流程；管理員日常監管職責劃分；安全掃描評估方式選擇；安全事件發現后的分析與記錄；對本級和下級安全設備及軟件運行狀態、問題處理的監控；突發事件緊急處理、報告程序安全策略配置管理辦法：根據安全問題潛存環境的差異和對環境關注程度的不同，選擇相應的網絡安全策略是網絡安全建設非常重要的一步，突出重點、兼顧一般的策略配置能夠降低風險，其主要內容包括：策略配置目標不同環境要求下的策略分

30、類不同策略配置權限劃分和配置流程策略配置效果分析策略配置修正數據備份管理辦法：出于對數據安全性、可恢復性考慮，適時的數據備份能夠實現防范的目的，同時能夠提高遭破壞后的數據恢復速度，而更重要的是對備份數據是否存在安全隱患，確保備份數據的真正安全可靠，這是數據備份管理規范區別于傳統數據備份的重大區別所在，其主要內容包括：數據重要性級別劃分；不同級別數據備份更新頻率；備份流程；備份數據的保管；備份數據病毒查殺與恢復；攻擊事件預警管理辦法；預警是對出現攻擊事件的報警，其主要內容包括；安全事件報警形式（電子郵件、手機短信、LAN即時消息等）預警結果傳送渠道；預警結果的處理；日志管理辦法：日志是軟件對安全

31、防護系統工作運行結果進行的記錄，是管理員進行統計分析和發現問題的一種方主要包括：日志生成統計分析 重要情況通報人員與組織結構安全防護系統能否真正實現最終取決于如何對政務各類人員進行有效的人員配置和組織結構的設定以及檢查監督機制的建立。安全崗位職責設置（體現集中控制，分級管理）主要內容包括：人員崗位、數量、職責定義計算機軟件及文件管理辦法（針對所有人員）：此項適用所有人員，其主要內容包括：軟件購置的授權、病毒測試、安裝流程軟件的日常維護計算機文件保存、傳送流程外界存儲介質使用前的病毒測試有無BUG，對現有版本的軟件進行補丁升級文檔管理辦法：其主要內容包括：文檔標準定義文檔管理要求文檔分類文檔密級的產生、整理、存儲、使用、管理步驟檢查及獎懲辦法建立有效的安全約束與監督機制能夠保證其他規范得到實際遵守和執行，其主要