一、 網絡安全保障措施

為了全面確保本公司網絡安全，在本公司網絡平臺解決方案設

計中，主要將基于以下設計原則：

a安全性

在本方案的設計中，我們將從網絡、系統、應用、運行管理、系統冗余等角度綜合分析，采用先進的安全技術，如防火墻、加密技術，為

熱點網站提供系統、完整的安全體系。確保系統安全運行。

b高性能

考慮本公司網絡平臺未來業務量的增長，在本方案的設計中，我們將從網絡、服務器、軟件、應用等角度綜合分析，合理設計結構與配置

，以確保大量用戶并發訪問峰值時段，系統仍然具有足夠的處理能力，保障服務質量。

c可靠性

本公司網絡平臺作為企業門戶平臺，設計中將在盡可能減少投資的情況下，從系統結構、網絡結構、技術措施、設施選型等方面綜合考慮

，以盡量減少系統中的單故障節點，實現7×24小時的不間斷服務

d可擴展性

優良的體系結構(包括硬件、軟件體系結構)設計對于系統是否能夠適應未來業務的發展至關重要。在本系統的設計中，硬件系統(如服務器

、存貯設計等)將遵循可擴充的原則，以確保系統隨著業務量的不斷增長，在不停止服務的前提下無縫平滑擴展;同時軟件體系結構的設計也

將遵循可擴充的原則，適應新業務增長的需要。

e開放性

考慮到本系統中將涉及不同廠商的設備技術，以及不斷擴展的系統需求，在本項目的產品技術選型中，全部采用國際標準/工業標準，使本

系統具有良好的開放性。

f先進性

本系統中的軟硬件平臺建設、應用系統的設計開發以及系統的維護管理所采用的產品技術均綜合考慮當今互聯網發展趨勢，采用相對先進同時

市場相對成熟的產品技術，以滿足未來熱點網站的發展需求。

g系統集成性

在本方案中的軟硬件系統包括時力科技以及第三方廠商的優秀產品。我們將為滿拉網站提供完整的應用集成服務，使滿拉網站將更多的資源集

中在業務的開拓與運營中，而不是具體的集成工作中。

1、硬件設施保障措施：

重慶市滿拉科技發展有限公司的信息服務器設備符合郵電公用通信網絡的各項技術接口指標和終端通信的技術標準、電氣特性和通信方式等，

不會影響公網的安全。本公司租用重慶聯通的IDC放置信息服務器的標準機房環境，包括：空調、照明、濕度、不間斷電源、防靜電地板等。重慶聯通為本公司服務器提供一條高速數據端口用以接入CHINANET網絡。系統主機系統的應用模式決定了系統將面向大量的用戶和面對大量的并發訪問，系統要求是高可靠性的關鍵性應用系統，要求系統避免任何可能的停機和數據的破壞與丟失。系統要求采用最新的應用服務器技術實

現負載均衡和避免單點故障。

系統主機硬件技術

CPU：64位長以上CPU，支持多CPU結構，并支持平滑升級。

服務器具有高可靠性，具有長時間工作能力，系統整機平均無故障時間(MTBF)不低于100000小時，系統提供強大的診斷軟件，對系統進行診斷

服務器具有鏡象容錯功能，采用雙盤容錯，雙機容錯。

主機系統具有強大的總線帶寬和I/O吞吐能力，并具有靈活強大的可擴充能力

配置原則

(1)處理器的負荷峰值為75%;

(2)處理器、內存和磁盤需要配置平衡以提供好效果;

(3)磁盤(以鏡像為佳)應有30-40%冗余量應付高峰。

(4)內存配置應配合數據庫指標。

(5)I/O與處理器同樣重要。

系統主機軟件技術：

服務器平臺的系統軟件符合開放系統互連標準和協議。

操作系統選用通用的多用戶、多任務winduws 2000或者Linux操作系統，系統應具有高度可靠性、開放性，支持對稱多重處理(SMP)功能，支持包括TCP/IP在內的多種網絡協議。符合C2級安全標準：提供完善的操作系統監控、報警和故障處理。應支持當前流行的數據庫系統和開發工具。

系統主機的存儲設備:

系統的存儲設備的技術RAID0+1或者RAID5的磁盤陣列等措施保證系統的安全和可靠。I/O能力可達6M/s。

提供足夠的擴充槽位。

系統的存儲能力設計

系統的存儲能力主要考慮用戶等數據的存儲空間、文件系統、備份空間、測試系統空間、數據庫管理空間和系統的擴展空間。

服務器系統的擴容能力

系統主機的擴容能力主要包括三個方面：

性能、處理能力的擴充-包括CPU及內存的擴充

存儲容量的擴充-磁盤存儲空間的擴展

I/O能力的擴充,包括網絡適配器的擴充(如FDDI卡和ATM卡)及外部設備的擴充(如外接磁帶庫、光盤機等)

2、軟件系統保證措施：

操作系統：Windows 2003 SERVER網絡操作系統

防火墻：CISCO PIX硬件防火墻

Windows 2003 SERVER 操作系統和美國微軟公司的windowsupdate站點升級站點保持數據聯系，確保操作系統修補現已知的漏洞。利用NTFS分區技術嚴格控制用戶對服務器數據訪問權限。

操作系統上建立了嚴格的安全策略和日志訪問記錄. 保障了用戶安全、密碼安全、以及網絡對系統的訪問控制安全、并且記錄了網絡對系統的一切訪問以及動作。系統實現上采用標準的基于WEB中間件技術的三層體系結構，即：所有基于WEB的應用都采用WEB應用服務器技術來實現。

中間件平臺的性能設計：

可伸縮性：允許用戶開發系統和應用程序，以簡單的方式滿足不斷增長的業務需求。

安全性：利用各種加密技術，身份和授權控制及會話安全技術，以及Web安全性技術，避免用戶信息免受非法入侵的損害。

完整性：通過中間件實現可靠、高性能的分布式交易功能，確保準確的數據更新。

可維護性：能方便地利用新技術升級現有應用程序，滿足不斷增長的企業發展需要。

互操作性和開放性：中間件技術應基于開放標準的體系，提供開發分布交易應用程序功能，可跨異構環境實現現有系統的互操作性。能支持多

種硬件和操作系統平臺環境。

網絡安全方面：

多層防火墻：根據用戶的不同需求，采用多層高性能的硬件防火墻對客戶托管的主機進行全面的保護。

異構防火墻：同時采用業界最先進成熟的 Cisco PIX 硬件防火墻進行保護，不同廠家不同結構的防火墻更進一步保障了用戶網絡和主機的安全。

防病毒掃描：專業的防病毒掃描軟件，杜絕病毒對客戶主機的感染。

入侵檢測：專業的安全軟件，提供基于網絡、主機、數據庫、應用程序的入侵檢測服務，在防火墻的基礎上又增加了幾道安全措施，確保用戶系統的高度安全。漏洞掃描：定期對用戶主機及應用系統進行安全漏洞掃描和分析，排除安全隱患，做到安全防患于未然。CISCO PIX硬件防火墻運行在CISCO交換機上層提供了專門的主機上監視所有網絡上流過的數據包，發現能夠正確識別攻擊在進行的攻擊特征。攻擊的識別是實時的，用戶可定義報警和一旦攻擊被檢測到的響應。此處，我們有如下保護措施：全部事件監控策略 此項策略用于測試目的，監視報告所有安全事件。在現實環境下面，此項策略將嚴重影響檢測服務器的性能。攻擊檢測策略 此策略重點防范來自網絡上的惡意攻擊，適合管理員了解網絡上的重要的網絡事件。

協議分析 此策略與攻擊檢測策略不同，將會對網絡的會話進行協議分析，適合安全管理員了解網絡的使用情況。

網站保護 此策略用于監視網絡上對HTTP流量的監視，而且只對HTTP攻擊敏感。適合安全管理員了解和監視網絡上的網站訪問情況。Windows網絡保護 此策略重點防護Windows網絡環境。會話復制 此項策略提供了復制Telnet, FTP, SMTP會話的功能。此功能用于安全策略的定制。

DMZ監控此項策略重點保護在防火墻外的DMZ區域的網絡活動。這個策略監視網絡攻擊和典型的互聯網協議弱點攻擊，例如(HTTP,FTP,SMTP,POP和DNS)，適合安全管理員監視企業防火墻以外的網絡事件。防火墻內監控 此項策略重點針對穿越防火墻的網絡應用的攻擊和協議弱點利用，適合防火墻內部安全事件的監視。

數據庫服務器平臺

數據庫平臺是應用系統的基礎,直接關系到整個應用系統的性能表現及數據的準確性和安全可靠性以及數據的處理效率等多個方面。本系統對數據庫平臺的設計包括：數據庫系統應具有高度的可靠性，支持分布式數據處理;支持包括TCP/IP協議及IPX/SPX協議在內的多種網絡協議;支持UNIX和MS NT等多種操作系統，支持客戶機/服務器體系結構，具備開放式的客戶編程接口，支持漢字操作;具有支持并行操作所需的技術(如：多服務器協同技術和事務處理的完整性控制技術等);支持聯機分析處理(OLAP)和聯機事務處理(OLTP)，支持數據倉庫的建立;要求能夠實現數據的快速裝載，以及高效的并發處理和交互式查詢;支持C2級安全標準和多級安全控制，提供WEB服務接口模塊，對客戶端輸出協議支持HTTP2.0、SSL3.0等;支持聯機備份，具有自動備份和日志管理功能。

二、信息安全保密管理制度

1、 信息監控制度：

(1)、網站信息必須在網頁上標明來源;(即有關轉載信息都必須標明轉載的地址)

(2)、相關責任人定期或不定期檢查網站信息內容，實施有效監控，做好安全監督工作;

(3)、不得利用國際互聯網制作、復制、查閱和傳播一系列以下信息，如有違反規定有關部門將按規定對其進行處理;

A、反對憲法所確定的基本原則的;

B、危害國家安全，泄露國家秘密，顛覆國家政權，破壞國家統一的;

C、損害國家榮譽和利益的;

D、煽動民族仇恨、民族歧視、破壞民族團結的;

E、破壞國家宗教政策，宣揚邪教和封建迷信的;

F、散布謠言，擾亂社會秩序，破壞社會穩定的;

G、散布淫穢、色情、賭博、暴力、兇殺、恐怖或者教唆犯罪的;

H、侮辱或者誹謗他人，侵害他人合法權益的;

含有法律、行政法規禁止的其他內容的。

2、 組織結構：

設置專門的網絡管理員，并由其上級進行監督、凡向國際聯網的站點提供或發布信息，必須經過保密審查批準。保密審批實行部門管理，有關單位應當根據國家保密法規，審核批準后發布、堅持做到來源不名的不發、為經過上級部門批準的不發、內容有問題的不發、的三不發制度。

對網站管理實行責任制對網站的管理人員，以及領導明確各級人員的責任，管理網站的正常運行，嚴格抓管理工作，實行誰管理誰負責。

三、用戶信息安全管理制度

一、 信息安全內部人員保密管理制度：

1、 相關內部人員不得對外泄露需要保密的信息;

2、 內部人員不得發布、傳播國家法律禁止的內容;

3、 信息發布之前應該經過相關人員審核;

4、 對相關管理人員設定網站管理權限，不得越權管理網站信息;

5、 一旦發生網站信息安全事故，應立即報告相關方并及時進行協調處理;

6、 對有毒有害的信息進行過濾、用戶信息進行保密。

二、 登陸用戶信息安全管理制度：

1、 對登陸用戶信息閱讀與發布按需要設置權限;

2、 對會員進行會員專區形式的信息管理;

3、 對用戶在網站上的行為進行有效監控，保證內部信息安全;

4、 固定用戶不得傳播、發布國家法律禁止的內容。

關鍵詞： 網絡 信息安全 保護措施