信息安全集成設(shè)計(jì)方案

信息安全集成設(shè)計(jì)方案信息安全集成系統(tǒng)方案XX科技有限公司2010.121、項(xiàng)目背景32、需求分析43、系統(tǒng)設(shè)計(jì)4設(shè)計(jì)依據(jù)及設(shè)計(jì)原則63.2信息安全技術(shù)設(shè)計(jì)93.3信息安全治理設(shè)計(jì)錯(cuò)誤!未定義書簽3.4產(chǎn)品選型171、項(xiàng)目背景2010年10月18日，國務(wù)院設(shè)置成都高新綜合保稅區(qū)。按照國務(wù)院批復(fù)，成都高新綜合保稅區(qū)規(guī)劃面積4.68平方公里，位于成都高新區(qū)西部園區(qū)。新設(shè)置的成都高新綜合保稅區(qū)是對現(xiàn)有四川成都出口加工區(qū)、成都保稅物流中心（B型）和成都出口加工區(qū)南區(qū)（803區(qū)）進(jìn)行整合擴(kuò)展而成的。四川成都出口加工區(qū)2000年4月經(jīng)國務(wù)院批準(zhǔn)設(shè)置，是中國首批出口加工區(qū)之一，2009年進(jìn)出口總額64.2億美元，2010年1—7月進(jìn)出口總額50.75億美元，增長43%，綜合排名全國第5、中西部第1，是全國進(jìn)展最好的出口加工區(qū)之一；成都保稅物流中心（B型）于2009年3月通過驗(yàn)收，7月正式封關(guān)運(yùn)行，目前進(jìn)展情形良好。整合擴(kuò)展后的成都高新綜合保稅區(qū)集保稅出口、保稅物流、口岸功能于一身，是目前國內(nèi)功能最全、政策最優(yōu)的海關(guān)專門監(jiān)管區(qū)域，有利于海關(guān)監(jiān)管運(yùn)行，更有利于企業(yè)的進(jìn)一步進(jìn)展。為了將成都綜合保稅區(qū)建設(shè)成為中國中西部一流的保稅區(qū)和口岸平臺，提升出口加工區(qū)現(xiàn)代化的監(jiān)管水平，利用現(xiàn)代監(jiān)控技術(shù)、網(wǎng)絡(luò)與通信技術(shù)、運(yùn)算機(jī)處理技術(shù)和自動(dòng)操縱技術(shù)，構(gòu)建一個(gè)先進(jìn)、有用、可靠的保稅區(qū)海關(guān)聯(lián)網(wǎng)監(jiān)管系統(tǒng)。信息技術(shù)的進(jìn)展，為海關(guān)治理創(chuàng)新提供了手段，實(shí)現(xiàn)信息化將使海關(guān)治理水平產(chǎn)生質(zhì)的飛躍。通過多年的建設(shè)，海關(guān)已形成了涉密辦公網(wǎng)、辦公治理網(wǎng)、業(yè)務(wù)運(yùn)行網(wǎng)、對外接入網(wǎng)等功能齊全的復(fù)雜辦公環(huán)境，在業(yè)務(wù)協(xié)同、辦公治理、對外服務(wù)等方面發(fā)揮了越來越重要的作用。建設(shè)統(tǒng)一的技術(shù)支撐平臺，建立科學(xué)的信息治理體系，關(guān)鍵的一環(huán)確實(shí)是信息部門必須對其信息技術(shù)設(shè)備和服務(wù)進(jìn)行全面的、整體的網(wǎng)絡(luò)運(yùn)行監(jiān)控和安全治理。這其中，既涉及到網(wǎng)絡(luò)治理，也有安全治理。技術(shù)支撐層，充分利用技術(shù)手段，建立高效、協(xié)同的信息安全治理平臺，將網(wǎng)絡(luò)監(jiān)控與安全監(jiān)控有機(jī)地結(jié)合在一起，注重能夠及時(shí)定位故障。技術(shù)支撐體系應(yīng)該包括三個(gè)層次：展現(xiàn)層、運(yùn)維治理層、集中監(jiān)控層。1）展現(xiàn)層。提供面向信息安全層面和信息安全治理決策層面的展現(xiàn)視角，在信息安全治理界面上實(shí)現(xiàn)集中運(yùn)維的統(tǒng)一治理功能和信息展現(xiàn)與交互功能。2）流程及業(yè)務(wù)信息安全治理層。在集中信息安全治理模式下實(shí)現(xiàn)流程執(zhí)行和治理操縱功能、業(yè)務(wù)安全治理功能。3）集中操縱層。通過監(jiān)控工具實(shí)現(xiàn)對不同服務(wù)對象和IT資源的實(shí)時(shí)監(jiān)控，包括主機(jī)、數(shù)據(jù)庫、中間件、儲(chǔ)備備份、網(wǎng)絡(luò)、安全、機(jī)房、業(yè)務(wù)應(yīng)用和客戶端等技術(shù)支持治理子系統(tǒng)進(jìn)行綜合處理和集中治理。2、需求分析2.1廣域網(wǎng)網(wǎng)絡(luò)鏈接2.1.1海關(guān)業(yè)務(wù)線路為保證綜保區(qū)海關(guān)業(yè)務(wù)正常開展，按海關(guān)部署有關(guān)規(guī)定，要求綜保區(qū)到成都海關(guān)中心機(jī)房廣域網(wǎng)線路“雙線熱備”方案。“雙線熱備”方案已在成都海關(guān)中心機(jī)房至出口加工西區(qū)、機(jī)場海關(guān)等四個(gè)重要業(yè)務(wù)現(xiàn)場實(shí)施部署。其具體需求是海關(guān)業(yè)務(wù)運(yùn)行網(wǎng)和業(yè)務(wù)治理網(wǎng)在網(wǎng)絡(luò)正常時(shí)各走一條鏈路，當(dāng)其中一條鏈路出理故障時(shí)互為備份，故障排除后自動(dòng)切換回原有鏈路，無需人工干預(yù)。線路上分不選擇電信和網(wǎng)通的一條鏈路，更好地保證備份的可靠。系統(tǒng)建設(shè)配置包括廣域網(wǎng)路由設(shè)備，不同的運(yùn)營網(wǎng)分不租用4M以上的寬帶線路。電子口岸專線為滿足電子口岸錄入的需要，要求建設(shè)電子口岸電子專網(wǎng)。電子口岸專網(wǎng)也采納“雙線熱備”方案，原則上由部署數(shù)據(jù)中心負(fù)責(zé)審批。2.2綜合布線2.2.1分類綜合布線系統(tǒng)包括治理網(wǎng)G（六類系統(tǒng)）、業(yè)務(wù)網(wǎng)Y（超五類系統(tǒng)）、互聯(lián)網(wǎng)W（超五類系統(tǒng)）語音網(wǎng)T（水平超五類系統(tǒng)）、備用網(wǎng)絡(luò)B（超五類系統(tǒng)）共計(jì)5個(gè)系統(tǒng)（可按照監(jiān)管要求及功能設(shè)置作相應(yīng)調(diào)整）。各網(wǎng)絡(luò)物理隔離、獨(dú)立組網(wǎng)，新設(shè)機(jī)構(gòu)可按照實(shí)際情形選擇網(wǎng)絡(luò)系統(tǒng)的建設(shè)。樓層弱電井設(shè)置不同功能的配線間。主干數(shù)據(jù)采納4芯多模室內(nèi)光纜、語音采納25芯5類大對數(shù)電纜及超5類屏蔽電纜。網(wǎng)線布線系統(tǒng)治理網(wǎng)：水平布線采納六類非屏蔽網(wǎng)線，垂直干線采納4芯多模光纖運(yùn)行網(wǎng)、互聯(lián)網(wǎng)、備用網(wǎng)絡(luò)：水平布線采納超五類非屏蔽網(wǎng)線，垂直干線采納4芯多模光纖；機(jī)房：水平布線采納六類非屏蔽網(wǎng)線及超五類屏蔽網(wǎng)線。機(jī)柜的配置在樓層弱電井設(shè)有不同功能的獨(dú)立配線間。各樓層布線系統(tǒng)統(tǒng)一匯聚到機(jī)房。配線間：治理網(wǎng)、業(yè)務(wù)網(wǎng)可共用一個(gè)機(jī)柜，互聯(lián)網(wǎng)、電話、備用網(wǎng)共用一個(gè)機(jī)柜；機(jī)房：治理網(wǎng)、業(yè)務(wù)網(wǎng)可共用一個(gè)機(jī)柜，互聯(lián)網(wǎng)、備用網(wǎng)共用一個(gè)機(jī)柜，電話共用一個(gè)機(jī)柜。2.2.4綜合布線標(biāo)識講明由于網(wǎng)絡(luò)的種類比較多，在前面板用顏色加編號的方式對點(diǎn)位的功能進(jìn)行分區(qū)。使用時(shí)從面板標(biāo)識的顏色可確定點(diǎn)位所屬的網(wǎng)絡(luò)或電話。綜合布線標(biāo)識面板、水平線纜、配線架用相機(jī)的編號，垂直主干用另一種編號具體編號講明參見海關(guān)相應(yīng)文件。機(jī)房的網(wǎng)絡(luò)布線系統(tǒng)設(shè)計(jì)，除應(yīng)符合本規(guī)范的規(guī)定外，還應(yīng)符合現(xiàn)行國家標(biāo)準(zhǔn)《綜合布線系統(tǒng)工程設(shè)計(jì)規(guī)范》GB50311的有關(guān)規(guī)定。2.2.5園區(qū)網(wǎng)建設(shè)園區(qū)內(nèi)應(yīng)建設(shè)園區(qū)網(wǎng)，以實(shí)現(xiàn)區(qū)內(nèi)所有企業(yè)與管委會(huì)之間信息的互通和治理，同時(shí)考慮相應(yīng)的安全治理建設(shè)，包括防病毒治理、客戶端準(zhǔn)入等園區(qū)網(wǎng)為封閉局域網(wǎng)，但保留對外互聯(lián)網(wǎng)出口。園區(qū)網(wǎng)建設(shè)方案應(yīng)提交海關(guān)技術(shù)處審批，海關(guān)技術(shù)處可對園區(qū)網(wǎng)的建設(shè)進(jìn)行協(xié)助和指導(dǎo)。機(jī)房建設(shè)機(jī)房建設(shè)要求為海關(guān)設(shè)置獨(dú)立機(jī)房，桐廬工程包括桐廬地面裝修、電氣部分的配電柜、防雷工程、消防報(bào)警、機(jī)房空調(diào)、UPS、機(jī)房監(jiān)控、綜合布線系統(tǒng)等。機(jī)房面積：按二類機(jī)房的有關(guān)要求，面積在90~130平方米之間；機(jī)房走線與裝修：按上走線方式進(jìn)行綜合布線，吊頂應(yīng)可拆卸，或留有出入口，以方便管道和設(shè)備的安裝愛護(hù)。纜線采納線槽或橋架敷設(shè)時(shí)，線槽或橋架的髙度不宜大于150mm，橋架宜采納網(wǎng)格式橋架。地面工程：地面應(yīng)平坦，必須進(jìn)行防塵處理，采納防塵涂料時(shí)，至少粉刷2遍以上。防雷工程：防雷部分的電源防雷器選用進(jìn)口產(chǎn)品。機(jī)房空調(diào)：能夠滿足機(jī)房使用條件的專用獨(dú)立溫濕度調(diào)劑空調(diào)。機(jī)房綜合布線：機(jī)房的綜合布線系統(tǒng)選用進(jìn)口6類非屏蔽系統(tǒng)，配線架全部選用6類24口快跳式配線架，光纖部分采納24口光纖配線盤連接。各樓層匯聚機(jī)房配線架，配線架型號選擇參見綜合布線各網(wǎng)絡(luò)設(shè)計(jì)要求。UPS：配置10KVAUPS設(shè)備2臺，電池能夠滿足10KVA設(shè)備支持30分鐘。消防報(bào)警：按照具體情形自行設(shè)計(jì)。機(jī)房監(jiān)控：按照具體情形自行設(shè)計(jì)。3、系統(tǒng)設(shè)計(jì)設(shè)計(jì)依據(jù)及設(shè)計(jì)原則3.1.1、設(shè)計(jì)依據(jù)《運(yùn)算機(jī)信息系統(tǒng)安全愛護(hù)等級劃分準(zhǔn)則》(GB17859-1999)《信息系統(tǒng)安全等級愛護(hù)差不多要求》(GB/T22239-2008)?！缎畔⑾到y(tǒng)安全愛護(hù)等級定級指南》(GB/T22240-2008)《信息系統(tǒng)安全等級愛護(hù)實(shí)施指南》(信安字[2007]10號)《信息系統(tǒng)通用安全技術(shù)要求》(GB/T20271-2006)《信息系統(tǒng)等級愛護(hù)安全設(shè)計(jì)技術(shù)要求》(信安秘字[2009]059號)《信息系統(tǒng)安全治理要求》(GB/T20269-2006)《信息系統(tǒng)安全工程治理要求》(GB/T20282-2006)《信息系統(tǒng)物理安全技術(shù)要求》(GB/T21052-2007)《網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》(GB/T20270-2006)《信息系統(tǒng)安全等級愛護(hù)體系框架》(GA/T708-2007)《信息系統(tǒng)安全等級愛護(hù)差不多模型》(GA/T709-2007)《信息系統(tǒng)安全等級愛護(hù)差不多配置》(GA/T710-2007)信息系統(tǒng)安全等級愛護(hù)測評要求》(報(bào)批稿)信息系統(tǒng)安全等級愛護(hù)測評過程指南》(報(bào)批稿)《信息系統(tǒng)安全治理測評》(GA/T713-2007)《操作系統(tǒng)安全技術(shù)要求》(GB/T20272-2006)《操作系統(tǒng)安全評估準(zhǔn)則》(GB/T20008-2005)《數(shù)據(jù)庫治理系統(tǒng)安全技術(shù)要求》(GB/T20273-2006)《數(shù)據(jù)庫治理系統(tǒng)安全評估準(zhǔn)則》(GB/T20009-2005)《網(wǎng)絡(luò)端設(shè)備隔離部件技術(shù)要求》(GB/T20279-2006)《網(wǎng)絡(luò)端設(shè)備隔離部件測試評判方法》(GB/T20277-2006)《網(wǎng)絡(luò)脆弱性掃描產(chǎn)品技術(shù)要求》(GB/T20278-2006)《網(wǎng)絡(luò)脆弱性掃描產(chǎn)品測試評判方法》(GB/T20280-2006)《網(wǎng)絡(luò)交換機(jī)安全技術(shù)要求》(GA/T684-2007)《虛擬專用網(wǎng)安全技術(shù)要求》(GA/T686-2007)《網(wǎng)關(guān)安全技術(shù)要求》(GA/T681-2007)《服務(wù)器安全技術(shù)要求》(GB/T21028-2007)《入侵檢測系統(tǒng)技術(shù)要求和檢測方法》(GB/T20275-2006)《運(yùn)算機(jī)網(wǎng)絡(luò)入侵分級要求》(GA/T700-2007)《防火墻安全技術(shù)要求》(GA/T683-2007)防火墻技術(shù)測評方法》(報(bào)批稿)信息系統(tǒng)安全等級愛護(hù)防火墻安全配置指南》(報(bào)批稿)《防火墻技術(shù)要求和測評方法》(GB/T20281-2006)《包過濾防火墻評估準(zhǔn)則》(GB/T20010-2005)《路由器安全技術(shù)要求》(GB/T18018-2007)《路由器安全評估準(zhǔn)則》(GB/T20011-2005)《路由器安全測評要求》(GA/T682-2007)《網(wǎng)絡(luò)交換機(jī)安全技術(shù)要求》(GB/T21050-2007)《交換機(jī)安全測評要求》(GA/T685-2007)《終端運(yùn)算機(jī)系統(tǒng)安全等級技術(shù)要求》(GA/T671-2006)《終端運(yùn)算機(jī)系統(tǒng)測評方法》(GA/T671-2006)《虛擬專網(wǎng)安全技術(shù)要求》(GA/T686-2007)《應(yīng)用軟件系統(tǒng)安全等級愛護(hù)通用技術(shù)指南》(GA/T711-2007)《應(yīng)用軟件系統(tǒng)安全等級愛護(hù)通用測試指南》(GA/T712-2007)《網(wǎng)絡(luò)和終端設(shè)備隔離部件測試評判方法》(GB/T20277-2006)《網(wǎng)絡(luò)脆弱性掃描產(chǎn)品測評方法》(GB/T20280-2006)《信息安全風(fēng)險(xiǎn)評估規(guī)范》(GB/T20984-2007)《信息安全事件治理指南》(GB/Z20985-2007)《信息安全事件分類分級指南》(GB/Z20986-2007)《信息系統(tǒng)災(zāi)難復(fù)原規(guī)范》(GB/T20988-2007)3.1.2、設(shè)計(jì)原則在技術(shù)方案設(shè)計(jì)中，遵循以下的系統(tǒng)總體設(shè)計(jì)原則：1、統(tǒng)一規(guī)劃、分布實(shí)施遵循統(tǒng)一規(guī)劃、分布實(shí)施的原則，在信息中心軟硬件支持平臺擴(kuò)容規(guī)劃和建設(shè)中，首要的工作確實(shí)是明確近期和長期的建設(shè)目標(biāo)，立足于應(yīng)用分布實(shí)施。2、開放性、互連性和標(biāo)準(zhǔn)化采納國際、國家標(biāo)準(zhǔn)、協(xié)議和接口，能與現(xiàn)有的和以后的系統(tǒng)互連與集成。3、先進(jìn)性在保證系統(tǒng)的整體性和有用性的前提下，考慮系統(tǒng)的先進(jìn)性，所采納的技術(shù)和設(shè)備應(yīng)能保證在目前同行業(yè)中是先進(jìn)的，能夠滿足成都海關(guān)信息中心軟硬件支持平臺擴(kuò)容以后5年以上的需求進(jìn)展。4、成熟性技術(shù)方案中所采納的系統(tǒng)體系結(jié)構(gòu)和技術(shù)必須是差不多過實(shí)踐檢驗(yàn)，證明是成熟的。5、可靠性、穩(wěn)固性和容錯(cuò)性通過選擇成熟的技術(shù)、冗余的設(shè)計(jì)、可靠性產(chǎn)品保證整個(gè)系統(tǒng)具有高度的可靠性、穩(wěn)固性和容錯(cuò)性。6、安全性建立完善的網(wǎng)絡(luò)安全體系，保證海關(guān)信息中心網(wǎng)絡(luò)設(shè)備的安全運(yùn)行。7、高性能網(wǎng)絡(luò)系統(tǒng)、服務(wù)器系統(tǒng)和安全系統(tǒng)的設(shè)計(jì)和產(chǎn)品選擇都要考慮到高性能要求。8、升級性和可擴(kuò)展性系統(tǒng)設(shè)計(jì)要充分考慮到擴(kuò)容和升級的需要，能靈活方便地適應(yīng)以后系統(tǒng)可能的變化。選擇開放性標(biāo)準(zhǔn)的產(chǎn)品，確保設(shè)備的兼容性；通過系統(tǒng)結(jié)構(gòu)的合理設(shè)計(jì)和適度資源冗余，為以后的系統(tǒng)擴(kuò)充打下基礎(chǔ)，保證需求增加時(shí)系統(tǒng)的平滑擴(kuò)充，保證前期的投資。9、高可治理性整個(gè)系統(tǒng)的設(shè)計(jì)要層次清晰、功能明確，便于性能分析、故障診斷，能實(shí)現(xiàn)對系統(tǒng)資源的全面監(jiān)控和優(yōu)化配置，對訪咨詢的有效監(jiān)控和審計(jì)，保證整個(gè)系統(tǒng)具有高度的可治理性。3.2信息安全技術(shù)設(shè)計(jì)機(jī)房設(shè)計(jì)機(jī)房位置的選擇機(jī)房設(shè)置在綜合保稅區(qū)A區(qū)2樓，按照國家機(jī)房標(biāo)準(zhǔn)設(shè)置，具有防震、防風(fēng)和防雨等能力。機(jī)房訪咨詢操縱機(jī)房出入口應(yīng)安排專人值守，操縱、鑒不和記錄進(jìn)入的人員；需進(jìn)入機(jī)房的來訪人員應(yīng)通過申請和審批流程，并限制和監(jiān)控其活動(dòng)范疇。防盜竊和防破壞應(yīng)將要緊設(shè)備放置在機(jī)房內(nèi)；應(yīng)將設(shè)備或要緊部件進(jìn)行固定，并設(shè)置明顯的不易除去的標(biāo)記；應(yīng)將通信線纜鋪設(shè)在隱藏處，可鋪設(shè)在地下或管道中；應(yīng)對介質(zhì)分類標(biāo)識，儲(chǔ)備在介質(zhì)庫或檔案室中；主機(jī)房安裝必要的防盜報(bào)警設(shè)施。3.2.1.4防雷擊a)機(jī)房建筑設(shè)置了電源防雷器、數(shù)據(jù)防雷器和視頻信息防雷器等避雷裝置；b)機(jī)房設(shè)置交流電源地線。3.2.1.5防火機(jī)房應(yīng)當(dāng)設(shè)置滅火設(shè)備和火災(zāi)自動(dòng)報(bào)警系統(tǒng)。3.2.1.6防水和防潮a)水管安裝，不得穿過機(jī)房屋頂和活動(dòng)地板下；b)采取措施防止雨水通過機(jī)房窗戶、屋頂和墻壁滲透；采取措施防止機(jī)房內(nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透。3.2.1.7防靜電整個(gè)機(jī)房采納防靜電地板設(shè)計(jì)。3.2.1.8溫濕度操縱機(jī)房設(shè)置溫、濕度自動(dòng)調(diào)劑設(shè)施，使機(jī)房溫、濕度的變化在設(shè)備運(yùn)行所承諾的范疇之內(nèi)。3.2.1.9電力供應(yīng)a)應(yīng)在機(jī)房供電線路上配置穩(wěn)壓器和過電壓防護(hù)設(shè)備；b)應(yīng)提供了30KVA的UPS,用于短期的備用電力供應(yīng)，至少滿足關(guān)鍵設(shè)備在斷電情形下的正常運(yùn)行要求。3.2.1.10電磁防護(hù)電源線和通信線纜應(yīng)隔離鋪設(shè)，幸免互相干擾。網(wǎng)絡(luò)設(shè)計(jì)3.2.2.1網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)

接口三個(gè)成夠合癢［...據(jù)通信區(qū)E輸.=主用50M10DM血二F電路主用50X11&0M接口三個(gè)成夠合癢［...據(jù)通信區(qū)E輸.=主用50M10DM血二F電路主用50X11&0M區(qū)通通■電路MSTP電陪中國電倍

AISFI網(wǎng)絡(luò)王用100MMWTT電路熱飪10150MMSTP^tg&(RJ45通訊、組成數(shù)覿勲皿IAI

血丁?電賂成都棕合尿稅區(qū)（:區(qū)圖9：網(wǎng)絡(luò)結(jié)構(gòu)圖網(wǎng)絡(luò)中設(shè)備、電路均安全可靠，關(guān)鍵設(shè)備、電路均有冗余備份，并采納先進(jìn)的容錯(cuò)技術(shù)和故障處理技術(shù)，保證數(shù)據(jù)傳輸?shù)陌踩煽?，保證網(wǎng)絡(luò)可用性達(dá)到使用要求。如此設(shè)計(jì)，得以實(shí)現(xiàn)系統(tǒng)網(wǎng)絡(luò)安全：保證關(guān)鍵網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要；保證接入網(wǎng)絡(luò)和核心網(wǎng)絡(luò)的帶寬滿足業(yè)務(wù)高峰期需要；按照各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便治理和操縱的原則為各子網(wǎng)、網(wǎng)段分配地址段。訪咨詢操縱在網(wǎng)絡(luò)邊界部署訪咨詢操縱設(shè)備，啟用訪咨詢操縱功能；按照會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的承諾/拒絕訪咨詢的能力，操縱粒度為網(wǎng)段級。按用戶和系統(tǒng)之間的承諾訪咨詢規(guī)則，決定承諾或拒絕用戶對受控系統(tǒng)進(jìn)行資源訪咨詢，操縱粒度為單個(gè)用戶；限制具有撥號訪咨詢權(quán)限的用戶數(shù)量。安全審計(jì)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄；審計(jì)記錄應(yīng)包括事件的日期和時(shí)刻、用戶、事件類型、事件是否成功及其他與審計(jì)有關(guān)的信息。邊界完整性檢查

部網(wǎng)絡(luò)的行部網(wǎng)絡(luò)的行木馬后門攻攻擊等。惡意使用行檢測引擎是一個(gè)高性能的專用硬件，運(yùn)行安全的操作系統(tǒng)，對網(wǎng)絡(luò)中的所有數(shù)據(jù)包進(jìn)行記錄和分析。按照規(guī)則判定是否有專門事件發(fā)生，并及時(shí)報(bào)警和響應(yīng)。同時(shí)記錄網(wǎng)絡(luò)中發(fā)生的所有事件，以便事后重放和分析。治理主機(jī)運(yùn)行于Windows操作系統(tǒng)的圖形化治理軟件。能夠查看分析一個(gè)或多個(gè)檢測引擎，進(jìn)行策略配置，系統(tǒng)治理。顯示攻擊事件的詳細(xì)信息和解決計(jì)策。復(fù)原和重放網(wǎng)絡(luò)中發(fā)生的事件。提供工具分析網(wǎng)絡(luò)運(yùn)行狀況。并可產(chǎn)生圖文并茂的報(bào)表輸出。3.2.2.6網(wǎng)絡(luò)設(shè)備防護(hù)對登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒不；對網(wǎng)絡(luò)設(shè)備的治理員登錄地址進(jìn)行限制；網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識應(yīng)唯獨(dú)；身份鑒不信息應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；具有登錄失敗處理功能，可采取終止會(huì)話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等措施；當(dāng)對網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程治理時(shí)，應(yīng)采取必要措施防止鑒不信息在網(wǎng)絡(luò)傳輸過程中被竊聽。3.2.3主機(jī)安全身份鑒不應(yīng)對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進(jìn)行身份標(biāo)識和鑒不；操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)治理用戶身份標(biāo)識應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；應(yīng)啟用登錄失敗處理功能，可采取終止會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施；當(dāng)對服務(wù)器進(jìn)行遠(yuǎn)程治理時(shí)，應(yīng)采取必要措施，防止鑒不信息在網(wǎng)絡(luò)傳輸過程中被竊聽；應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名具有唯獨(dú)性。訪咨詢操縱應(yīng)啟用訪咨詢操縱功能，依據(jù)安全策略操縱用戶對資源的訪咨詢；應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離；應(yīng)限制默認(rèn)帳戶的訪咨詢權(quán)限，重命名系統(tǒng)默認(rèn)帳戶，修改這些帳戶的默認(rèn)口令；應(yīng)及時(shí)刪除余外的、過期的帳戶，幸免共享帳戶的存在。安全審計(jì)審計(jì)范疇?wèi)?yīng)覆蓋到服務(wù)器上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；審計(jì)內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的專門使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全有關(guān)事件；審計(jì)記錄應(yīng)包括事件的日期、時(shí)刻、類型、主體標(biāo)識、客體標(biāo)識和結(jié)果等；應(yīng)愛護(hù)審計(jì)記錄，幸免受到未預(yù)期的刪除、修改或覆蓋等。3.2.3.4入侵防范操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過設(shè)置升級服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時(shí)得到更新。惡意代碼防范應(yīng)安裝防惡意代碼軟件，并及時(shí)更新防惡意代碼軟件版本和惡意代碼庫；應(yīng)支持防惡意代碼軟件的統(tǒng)一治理。資源操縱應(yīng)通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范疇等條件限制終端登錄；應(yīng)按照安全策略設(shè)置登錄終端的操作超時(shí)鎖定；應(yīng)限制單個(gè)用戶對系統(tǒng)資源的最大或最小使用限度。3.2.4應(yīng)用安全3.2.4.1身份鑒不應(yīng)提供專用的登錄操縱模塊對登錄用戶進(jìn)行身份標(biāo)識和鑒不；應(yīng)提供用戶身份標(biāo)識唯獨(dú)和鑒不信息復(fù)雜度檢查功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識，身份鑒不信息不易被冒用；應(yīng)提供登錄失敗處理功能，可采取終止會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施；應(yīng)啟用身份鑒不、用戶身份標(biāo)識唯獨(dú)性檢查、用戶身份鑒不信息復(fù)雜度檢查以及登錄失敗處理功能，并按照安全策略配置有關(guān)參數(shù)。訪咨詢操縱應(yīng)提供訪咨詢操縱功能，依據(jù)安全策略操縱用戶對文件、數(shù)據(jù)庫表等客體的訪咨詢；訪咨詢操縱的覆蓋范疇?wèi)?yīng)包括與資源訪咨詢有關(guān)的主體、客體及它們之間的操作；應(yīng)由授權(quán)主體配置訪咨詢操縱策略，并嚴(yán)格限制默認(rèn)帳戶的訪咨詢權(quán)限；應(yīng)授予不同帳戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限，并在它們之間形成相互制約的關(guān)系。安全審計(jì)應(yīng)提供覆蓋到每個(gè)用戶的安全審計(jì)功能，對應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì)；應(yīng)保證無法刪除、修改或覆蓋審計(jì)記錄；審計(jì)記錄的內(nèi)容至少應(yīng)包括事件日期、時(shí)刻、發(fā)起者信息、類型、描述和結(jié)果等。通信完整性應(yīng)采納校驗(yàn)碼技術(shù)保證通信過程中數(shù)據(jù)的完整性。通信保密性在通信雙方建立連接之前，應(yīng)用系統(tǒng)應(yīng)利用密碼技術(shù)進(jìn)行會(huì)話初始化驗(yàn)證；應(yīng)對通信過程中的敏銳信息字段進(jìn)行加密。軟件容錯(cuò)應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能，保證通過人機(jī)接口輸入或通過通信接口輸入的數(shù)據(jù)格式或長度符合系統(tǒng)設(shè)定要求；在故障發(fā)生時(shí)，應(yīng)用系統(tǒng)應(yīng)能夠連續(xù)提供一部分功能，確保能夠?qū)嵤┍匾拇胧ＹY源操縱當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時(shí)刻內(nèi)未作任何響應(yīng)，另一方應(yīng)能夠自動(dòng)終止會(huì)話；應(yīng)能夠?qū)?yīng)用系統(tǒng)的最大并發(fā)會(huì)話連接數(shù)進(jìn)行限制；應(yīng)能夠?qū)蝹€(gè)帳戶的多重并發(fā)會(huì)話進(jìn)行限制。數(shù)據(jù)安全及備份復(fù)原3.2.5.1數(shù)據(jù)完整性應(yīng)能夠檢測到鑒不信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中完整性受到破壞。系統(tǒng)提供完整的日志功能，對所有的業(yè)務(wù)數(shù)據(jù)，進(jìn)行日志記錄，以備后查。3.2.5.2數(shù)據(jù)保密性應(yīng)采納加密或其他愛護(hù)措施實(shí)現(xiàn)鑒不信息的儲(chǔ)備保密性。系統(tǒng)使用IC卡儲(chǔ)備業(yè)務(wù)數(shù)據(jù)時(shí)，采納了DES加密算法，對關(guān)鍵數(shù)據(jù)進(jìn)行加密。3.2.5.3備份和復(fù)原a）采納了Rose公司提供的、基于共享磁盤陣列的髙可用RoseHA解決方案，為用戶提供了具有單點(diǎn)故障容錯(cuò)能力的系統(tǒng)平臺。b）采納MSTP的組網(wǎng)方式，A、B、C三區(qū)采納MSTP光纖電路（RJ45接口），通過中國電信MSTP網(wǎng)絡(luò)，實(shí)現(xiàn)了A、B、C三個(gè)區(qū)的互聯(lián)通訊、三個(gè)區(qū)的網(wǎng)絡(luò)熱備以及A區(qū)通過互聯(lián)網(wǎng)接入與成都海關(guān)總部互訪，組成數(shù)據(jù)通信傳輸通信專網(wǎng)。c）制定詳細(xì)的數(shù)據(jù)庫備份與災(zāi)難復(fù)原策略，并通過模擬故障對每種可能的情形進(jìn)行嚴(yán)格測試，保證了數(shù)據(jù)的高可用性。綜合布線系統(tǒng)3.2.6.1概述綜合布線系統(tǒng)范疇要緊包括聯(lián)檢大樓、閘口及閘口辦公區(qū)、查驗(yàn)平臺及查驗(yàn)倉庫及實(shí)驗(yàn)樓等。本綜合布線系統(tǒng)涉及海關(guān)、檢驗(yàn)檢疫和用戶三方的綜合布線系統(tǒng)。綜合布線系統(tǒng)設(shè)計(jì)為保證系統(tǒng)先進(jìn)性、開放性和擴(kuò)展性，實(shí)現(xiàn)語音、多媒體、數(shù)據(jù)等應(yīng)用的承載能力，綜合布線系統(tǒng)采納六類結(jié)構(gòu)化布線系統(tǒng)，采納星型拓?fù)浣Y(jié)構(gòu)，主干網(wǎng)絡(luò)采納千兆以太網(wǎng)絡(luò)，實(shí)現(xiàn)百兆接入、千兆上行的物理鏈路。綜合布線系統(tǒng)由工作區(qū)，水平區(qū)，垂直區(qū)，設(shè)備治理及樓群子系統(tǒng)組成，各部分均采納標(biāo)準(zhǔn)的模塊化構(gòu)件，以利于今后的升級、擴(kuò)展。工作區(qū)子系統(tǒng)工作區(qū)子系統(tǒng)由設(shè)在各工作區(qū)的信息插座、跳線（連接信息插座至終端設(shè)備之間的線纜）構(gòu)成。信息插座采納雙孔面板及相配合的六類信息模塊。水平干線子系統(tǒng)水平子系統(tǒng)由各大樓內(nèi)樓層配線間至各個(gè)工作區(qū)之間的電纜和多模水平光纜構(gòu)成。水平干線子系統(tǒng)采納六類阻燃雙絞線電纜。本系統(tǒng)采納六類雙絞線，用于所有的數(shù)據(jù)點(diǎn)和語音點(diǎn)，實(shí)現(xiàn)信息點(diǎn)可完全互換。垂直主干子系統(tǒng)垂直主干子系統(tǒng)采納單模光纜，提供全雙工傳輸通道，具有極大的傳輸帶寬和極高的傳輸質(zhì)量。治理子系統(tǒng)治理子系統(tǒng)由各層分設(shè)的樓層配線系統(tǒng)及主機(jī)房中的主配線系統(tǒng)（設(shè)備間子系統(tǒng)）構(gòu)成，負(fù)責(zé)樓層內(nèi)及信息通道的統(tǒng)一治理。要緊由跳線面板跳線治理器、跳線、光纜端接面板、機(jī)柜（或機(jī)架）等組成。治理子系統(tǒng)將電話模塊、電腦模塊和網(wǎng)絡(luò)模塊安裝在機(jī)柜中，對線纜進(jìn)行統(tǒng)一布局和治理。系統(tǒng)采納19”標(biāo)準(zhǔn)機(jī)柜，髙42U，頂部安裝有2-4個(gè)風(fēng)扇，背后安裝電源線槽，正面安裝玻璃門，后背板和側(cè)板均可拆卸。機(jī)柜內(nèi)所有的信息點(diǎn)符合規(guī)定的編號規(guī)則和顏色規(guī)則，以方便用戶的使用。主配線間（BD）為實(shí)現(xiàn)髙可靠性，本系統(tǒng)將主配線架全部安裝在機(jī)柜內(nèi)。樓層配線間（FD）在各樓層配線架中，與水平雙絞線連接的用戶區(qū)采納六類配線架，每個(gè)信息點(diǎn)完全靈活用于語音或數(shù)據(jù)。各配線間設(shè)置光纖配線架,用來連接多芯光纜，安裝在19”標(biāo)準(zhǔn)機(jī)柜內(nèi)用于各種運(yùn)算機(jī)網(wǎng)絡(luò)設(shè)備。通過更換跳線實(shí)現(xiàn)與其他網(wǎng)絡(luò)設(shè)備的連接。3.2.6.3海關(guān)綜合布線系統(tǒng)海關(guān)網(wǎng)絡(luò)按照海關(guān)總署“五網(wǎng)”獨(dú)立要求，分不設(shè)置治理網(wǎng)、運(yùn)行網(wǎng)電子口岸專網(wǎng)、互聯(lián)網(wǎng)和語音網(wǎng)。海關(guān)網(wǎng)絡(luò)覆蓋范疇包括：閘口及閘口辦公區(qū)、查驗(yàn)平臺及查驗(yàn)倉庫及聯(lián)檢大樓海關(guān)辦公場地等。海關(guān)網(wǎng)絡(luò)采納三層結(jié)構(gòu)設(shè)計(jì)，由核心層、匯聚層、接入層組成。核心層設(shè)置在海關(guān)信息中心機(jī)房，匯聚層設(shè)置在海關(guān)信息中心機(jī)房、查驗(yàn)平臺機(jī)房，接入層設(shè)置在卡口。海關(guān)網(wǎng)絡(luò)應(yīng)與成都海關(guān)的網(wǎng)絡(luò)無縫地實(shí)現(xiàn)互聯(lián)互通。在海關(guān)網(wǎng)絡(luò)核心層選擇1臺髙性能交換機(jī)作為系統(tǒng)主交換機(jī)。主交換機(jī)與系統(tǒng)服務(wù)器連接采納1000M連接。3.3產(chǎn)品選型3.3.1選型原則在本方案的技術(shù)選擇和設(shè)備選型第一是基于對本項(xiàng)目的明白得和分析，并專門考慮到滿足以后5到10年的業(yè)務(wù)進(jìn)展要求做出的，并遵循以下原則得出的：有用性采納成熟、穩(wěn)固的技術(shù)，滿足業(yè)務(wù)的實(shí)際要求；先進(jìn)性按照當(dāng)前業(yè)務(wù)要求，考慮今后5到10年的業(yè)務(wù)進(jìn)展需要，在設(shè)計(jì)上留有余量；可靠性采納目前國際上商用SAN交換機(jī)最先進(jìn)且成熟可靠的軟硬件技術(shù)；選用可靠性高的產(chǎn)品與技術(shù)，充分考慮到在系統(tǒng)顯現(xiàn)專門時(shí)的應(yīng)變與容錯(cuò)能力，從而確保整個(gè)系統(tǒng)的高可靠性。擴(kuò)展性在系統(tǒng)結(jié)構(gòu)、產(chǎn)品系列和處理性能等各方面具有良好的擴(kuò)充，升級能力，完全能滿足以后5到10年的業(yè)務(wù)進(jìn)展要求3.3.2產(chǎn)品配置清單序號名稱規(guī)則型號單位數(shù)量1數(shù)據(jù)服務(wù)器1?名稱:數(shù)據(jù)服務(wù)器臺22?技術(shù)參數(shù)：HPDL580G7E75202P16GBSvr（配4*146G雙端口熱插拔硬盤，3年保修現(xiàn)場金牌服務(wù)）2應(yīng)用服務(wù)器1?名稱:應(yīng)用服務(wù)器臺12?技術(shù)參數(shù)：HPDL388G7E5506EntryCNSvr（配內(nèi)置光驅(qū)，2*146G雙端口熱插拔硬盤，液晶顯示器，3年保修現(xiàn)場金牌服務(wù)）3操作系統(tǒng)（服務(wù)器）Windowsserver2003coem企業(yè)版1?名稱:操作系統(tǒng)（服務(wù)器）套32?規(guī)格型號：Windowsserver2003coem企業(yè)版4數(shù)據(jù)庫軟件SQLServer2008工作組版1?名稱:數(shù)據(jù)庫軟件套22?規(guī)格型號：SQLServer2008工作組版5網(wǎng)絡(luò)交換機(jī)LS-5120-28P-SI-H31?名稱：網(wǎng)絡(luò)交換機(jī)臺132?技術(shù)參數(shù):LS-5120-28P-SI-H3,配光模塊6網(wǎng)絡(luò)交換機(jī)LS-5500-28C-EI1?名稱：網(wǎng)絡(luò)交換機(jī)臺202?技術(shù)參數(shù):LS-5500-28C-EI,配光模塊、1?名稱:聲光報(bào)警裝置JBU-VM1372B1?名稱:聲光報(bào)警裝置JBU-VM1372B2?其它：符合設(shè)計(jì)及規(guī)范要求臺3網(wǎng)絡(luò)交換機(jī)LS-5500-28F-EI-AC操作系統(tǒng)（客戶機(jī)）WindowsXPPCOEM磁盤陣列10雙機(jī)熱備份軟件11電源防雷器12接地銅心線BVR-25mm213接地銅心線BVR-50mm214抗靜電地板接地跨線15等電位接地銅排161718防雷器B級ZGG120-385防雷器C級ZGG80-385防雷器D級ZGG40-38519輸入輸出模塊20接線端子箱21感煙探測器22感溫探測器23手動(dòng)報(bào)警按扭24聲光報(bào)警裝置堆疊模塊、堆疊線1?名稱：網(wǎng)絡(luò)交換機(jī)2.技術(shù)參數(shù):LS-5500-28F-EI-AC,配8個(gè)光模塊1?名稱:操作系統(tǒng)（客戶機(jī)）2.規(guī)格型號：WindowsXPPCOEM1?名稱：磁盤陣列2?規(guī)格型號：MSA2300SAG2,含磁盤柜，支持12槽，配6x300GSAS熱拔插硬盤1?名稱:雙機(jī)熱備份軟件2.規(guī)格型號：ROSEFORWINDOWS8.5版本1?名稱：電源防雷器2.型號：ZFDF-2203?參數(shù)：標(biāo)稱通流容量：220KA最大通流量：250KA殘壓：＜200V響應(yīng)時(shí)刻：〈25ns1.引下線材質(zhì)、規(guī)格、技術(shù)要求（引下形式）:BVR-25mm2銅芯線，均壓環(huán)引至聯(lián)合接地體2?部位：主龍骨接地線、配電柜接地線引下線材質(zhì)、規(guī)格、技術(shù)要求（引下形式）:BVR-50mm2銅芯線，均壓環(huán)引至聯(lián)合接地體2?部位：主龍骨接地線、配電柜接地線1?名稱：抗靜電地板接地跨線BVR61?均壓環(huán)材質(zhì)、規(guī)格、技術(shù)要求:30*3銅排,地板下安裝，做等電位均壓環(huán)1?名稱、型號：防雷器B級ZGG120-385電壓等級：400V1?名稱、型號：防雷器C級ZGG80-3852.電壓等級：400V1?名稱、型號：防雷器C級ZGG40-3852.電壓等級：400V1?名稱：輸入輸出模塊JF-M022?輸出形式：單輸出1?名稱：接線端子箱2.型號：JPH9011?名稱:感煙探測器JTY-GD/JF-D112?其它：符合設(shè)計(jì)及規(guī)范要求1?名稱:感溫探測器JTW-BCD/JF-D122?其它：符合設(shè)計(jì)及規(guī)范要求1?名稱:手動(dòng)報(bào)警按扭J-SAP-M/JF-D132?其它：符合設(shè)計(jì)及規(guī)范要求1296.837.810890核心網(wǎng)交換機(jī)LS-5500-28C-EIH3CS5500-EI系列交換機(jī)是H3C公司最新開發(fā)的增強(qiáng)型IPv6強(qiáng)三層萬兆以太網(wǎng)交換機(jī)產(chǎn)品，具備業(yè)界盒式交換機(jī)最先進(jìn)的硬件處理能力和最豐富的業(yè)務(wù)特性。支持最多4個(gè)萬兆擴(kuò)展接口；支持IPv4/IPv6硬件雙棧及線速轉(zhuǎn)發(fā)，使客戶能夠鎮(zhèn)定應(yīng)對立即帶來的IPv6時(shí)代；除此以外，其杰出的安全性，可靠性和多業(yè)務(wù)支持能力使其成為大型企業(yè)網(wǎng)絡(luò)和園區(qū)網(wǎng)的匯聚，中小企業(yè)網(wǎng)核心、以及城域網(wǎng)邊緣設(shè)備的第一選擇。隨著用戶端速度持續(xù)提升，用戶最終會(huì)使集群千兆鏈路達(dá)到飽和，而能夠擁有多條集群10GE鏈路將是我們的以后進(jìn)展方向。H3CS5500-EI系列交換機(jī)支持兩個(gè)擴(kuò)展槽位，每個(gè)槽位支持單端口或雙端口的10GE擴(kuò)展模塊，在實(shí)現(xiàn)千兆匯聚或接入時(shí)保留進(jìn)一步支持10GE的擴(kuò)展能力，盡力愛護(hù)用戶投資。IPv4到IPv6的演變是以太網(wǎng)進(jìn)展的大勢所趨，網(wǎng)絡(luò)設(shè)備關(guān)于IPv6的支持不僅是簡單的可用就行，而是需要達(dá)到商用的標(biāo)準(zhǔn)，S5500-EI差不多通過了國際最權(quán)威的IPv6Ready第二時(shí)期認(rèn)證，而且通過了信息產(chǎn)業(yè)部嚴(yán)格的IPv6入網(wǎng)測試。那個(gè)系列產(chǎn)品是基于硬件的IPv4/IPv6雙棧平臺，支持豐富的IPv4和IPv6三層路由協(xié)議、組播協(xié)議和策略路由機(jī)制，實(shí)現(xiàn)IPv4到IPv6的平滑升級。完備的安全操縱策略H3CS5500-EI系列交換機(jī)支持EAD（端點(diǎn)準(zhǔn)入防備）功能，配合后臺系統(tǒng)能夠?qū)⒔K端防病毒、補(bǔ)丁修復(fù)等終端安全措施與網(wǎng)絡(luò)接入操縱、訪咨詢權(quán)限操縱等網(wǎng)絡(luò)安全措施整合為一個(gè)聯(lián)動(dòng)的安全體系，通過對網(wǎng)絡(luò)接入終端的檢查、隔離、修復(fù)、治理和監(jiān)控，使整個(gè)網(wǎng)絡(luò)變被動(dòng)防備為主動(dòng)防備、變單點(diǎn)防備為全面防備、變分散治理為集中策略治理，提升了網(wǎng)絡(luò)對病毒、蠕蟲等新興安全威逼的整體防備能力。H3CS5500-EI交換機(jī)支持集中式MAC地址認(rèn)證、802.1x認(rèn)證、PORTAL認(rèn)證，支持用戶帳號、IP、MAC、VLAN、端口等用戶標(biāo)識元素的動(dòng)態(tài)或靜態(tài)綁定，同時(shí)實(shí)現(xiàn)用戶策略（VLAN、QoS、ACL）的動(dòng)態(tài)下發(fā)；支持配合H3C公司的CAMS系統(tǒng)對在線用戶進(jìn)行實(shí)時(shí)的治理，及時(shí)的診斷和瓦解網(wǎng)絡(luò)非法行為。H3CS5500-EI系列交換機(jī)提供增強(qiáng)的ACL操縱邏輯，支持超大容量的入端口和出端口ACL，同時(shí)支持基于VLAN的ACL下發(fā)，在簡化用戶配置過程的同時(shí)，幸免了ACL資源的白費(fèi)。另外，S5500-EI系列還將支持單播反向路徑查找技術(shù)（uRPF），原理是當(dāng)設(shè)備的一個(gè)接口上收到一個(gè)數(shù)據(jù)包時(shí)，會(huì)反向查找路徑來驗(yàn)證是否存在從該接收接口到包中制定的源地址之間的路由，即驗(yàn)證了其真實(shí)性，如果不存在就將數(shù)據(jù)包刪除，如此我們就能夠有效杜絕網(wǎng)絡(luò)中日益泛濫的源地址欺詐。多重可靠性愛護(hù)S5500-EI系列交換機(jī)還具備設(shè)備級和鏈路級的多重可靠性愛護(hù)。所有機(jī)型都支持內(nèi)置的雙冗余電源，其中S5500-28F-EI支持可插拔的冗余電源模塊，也確實(shí)是講我們能夠按照實(shí)際環(huán)境的需要靈活配置交流或直流電源模塊，此外整機(jī)還支持電源和風(fēng)扇的故障檢測及告警，能夠按照溫度的變化自動(dòng)調(diào)劑風(fēng)扇的轉(zhuǎn)速，這些設(shè)計(jì)使我們這款盒式交換機(jī)具備了機(jī)柜式交換機(jī)的高可靠性。除了設(shè)備級可靠性以外，還支持豐富的鏈路可靠性以外，還支持豐富的鏈路可靠性技術(shù)。當(dāng)網(wǎng)絡(luò)上承載多業(yè)務(wù)、大流量的時(shí)候也不阻礙網(wǎng)絡(luò)的收斂時(shí)刻，保證業(yè)務(wù)的正常開展。多業(yè)務(wù)支持能力支持PoE（PoweroverEthernet）技術(shù)，通過以太網(wǎng)對所連接的設(shè)備（如IPPhone,WirelessAP等）進(jìn)行遠(yuǎn)程供電，從而使得不必在使用現(xiàn)場為設(shè)備部署單獨(dú)的電源系統(tǒng)，能夠極大地減少部署終端設(shè)備的布線和治理成本。支持VoiceVLAN技術(shù)，交換機(jī)通過識不端口的語音流，將對應(yīng)的接入端口加入VoiceVLAN（專用語音VLAN）中，為語音流量提供專門通道，并自動(dòng)下發(fā)優(yōu)先級規(guī)則保證語音流的優(yōu)先傳輸來保證通話質(zhì)量。同時(shí)通過設(shè)置VoiceVLAN安全特性，只承諾語音流量通過，能夠有效防止突發(fā)數(shù)據(jù)流量對VoiceVLAN內(nèi)的語音流量的沖擊。雙機(jī)熱備份軟件ROSEFORWINDOWS8.5版本RoseHA雙機(jī)系統(tǒng)的兩臺服務(wù)器（主機(jī)）都與磁盤陣列（共享儲(chǔ)備）系統(tǒng)直截了當(dāng)連接，用戶的操作系統(tǒng)、應(yīng)用軟件和RoseHA髙可用軟件分不安裝在兩臺主機(jī)上，數(shù)據(jù)庫等共享數(shù)據(jù)存放在儲(chǔ)備系統(tǒng)上，兩臺主機(jī)之間通過私用心跳網(wǎng)絡(luò)連接。配置好的系統(tǒng)主機(jī)開始工作后，RoseHA軟件開始監(jiān)控系統(tǒng)，通過私用網(wǎng)絡(luò)傳遞的心跳信息，每臺主機(jī)上的RoseHA軟件都可監(jiān)控另一臺主機(jī)的狀態(tài)。當(dāng)工作主機(jī)發(fā)生故障時(shí)，心跳信息就會(huì)產(chǎn)生變化，這種變化能夠通過私用網(wǎng)絡(luò)被RoseHA軟件捕捉。當(dāng)捕捉到這種變化后RoseHA就會(huì)操縱系統(tǒng)進(jìn)行主機(jī)切換，即備份機(jī)啟動(dòng)和工作主機(jī)一樣的應(yīng)用程序接管工作主機(jī)的工作（包括提供TCP/IP網(wǎng)絡(luò)服務(wù)、儲(chǔ)備系統(tǒng)的存取等服務(wù)）并進(jìn)行報(bào)警，提示治理人員對故障主機(jī)進(jìn)行修理。當(dāng)修理完畢后，能夠按照RoseHA的設(shè)定自動(dòng)或手動(dòng)再切換回來，也能夠不切換，現(xiàn)在修理好的主機(jī)就作為備份機(jī)，雙機(jī)系統(tǒng)連續(xù)工作。RoseHA實(shí)現(xiàn)容錯(cuò)功能的關(guān)鍵在于，對客戶端來講主機(jī)是透亮的，當(dāng)系統(tǒng)發(fā)生錯(cuò)誤而進(jìn)行切換時(shí)，即主機(jī)的切換在客戶端看來沒有變化，所有基于主機(jī)的應(yīng)用都仍舊正常運(yùn)行。RoseHA采納了虛擬IP地址映射技術(shù)來實(shí)現(xiàn)此功能?？蛻舳送ㄟ^虛擬地址和工作主機(jī)通訊，不管系統(tǒng)是否發(fā)生切換，虛擬地址始終指向工作主機(jī)。在進(jìn)行網(wǎng)絡(luò)服務(wù)時(shí)，RoseHA提供一個(gè)邏輯的虛擬地址，任何一個(gè)客戶端需要要求服務(wù)時(shí)只需要使用那個(gè)虛擬地址。正常運(yùn)行時(shí)，虛擬地址及網(wǎng)絡(luò)服務(wù)由主服務(wù)器提供。當(dāng)主服務(wù)器顯現(xiàn)故障時(shí)，RoseHA會(huì)將虛擬地址轉(zhuǎn)移到另外一臺服務(wù)器的網(wǎng)卡上，連續(xù)提供網(wǎng)絡(luò)服務(wù)。切換完成后，在客戶端看來系統(tǒng)并沒有顯現(xiàn)故障，網(wǎng)絡(luò)服務(wù)仍舊能夠使用。除IP地址外，HA還能夠提供虛擬的運(yùn)算機(jī)不名供客戶端訪咨詢。關(guān)于數(shù)據(jù)庫服務(wù)，當(dāng)有主服務(wù)器顯現(xiàn)故障時(shí)，另外一臺服務(wù)器就會(huì)自動(dòng)接管，同時(shí)啟動(dòng)數(shù)據(jù)庫和應(yīng)用程序，使用戶數(shù)據(jù)庫能夠正常操作。RoseHA雙機(jī)系統(tǒng)的兩臺服務(wù)器（主機(jī)）都與磁盤陣列（共享儲(chǔ)備）系統(tǒng)直截了當(dāng)連接，用戶的操作系統(tǒng)、應(yīng)用軟件和RoseHA髙可用軟件分不安裝在兩臺主機(jī)的內(nèi)部儲(chǔ)備（硬盤）上，數(shù)據(jù)庫等共享數(shù)據(jù)存放在儲(chǔ)備系統(tǒng)上，兩臺主機(jī)之間通過私用心跳網(wǎng)絡(luò)連接。系統(tǒng)主機(jī)開始工作后，RoseRoseHA支持Active-Active模式和Active-Standby模式。用戶可指定每臺服務(wù)器的作用（activeorstandby）,指定要監(jiān)控的服務(wù)和硬件部分，定義指定的服務(wù)發(fā)生故障后要采取的進(jìn)一步行動(dòng)（如是否重新啟動(dòng)該服務(wù)、承諾的最大啟動(dòng)時(shí)刻等）。支持多條心跳路徑能夠?qū)⒕W(wǎng)線和RS-232串口線作為在RoseHA軟件的心跳路徑。配置多條心跳路徑能夠幸免系統(tǒng)的單點(diǎn)故障。自動(dòng)切換當(dāng)系統(tǒng)顯現(xiàn)故障時(shí)（如：系統(tǒng)宕機(jī)、HA進(jìn)程/應(yīng)用進(jìn)程被殺掉、RS-232、SCSI、光纖、網(wǎng)絡(luò)線纜斷開），RoseHA將確定故障緣故，并采取相應(yīng)計(jì)策，并將這些應(yīng)用切換到備份服務(wù)器上。而故障服務(wù)器中未受阻礙的應(yīng)用可不能被切換，既可不能受任何阻礙。不需要系統(tǒng)治理員干預(yù)。自動(dòng)檢測在集群系統(tǒng)的每一臺服務(wù)器內(nèi)，RoseHA具有兩個(gè)核心進(jìn)程，它們互相監(jiān)控，如果其中一個(gè)進(jìn)程失敗，另一個(gè)進(jìn)程會(huì)趕忙進(jìn)行復(fù)原。服務(wù)器可靠性在主服務(wù)器顯現(xiàn)故障（如掉電或宕機(jī)）時(shí)，另外一臺服務(wù)器接管故障服務(wù)器上運(yùn)行的所有的關(guān)鍵性應(yīng)用。網(wǎng)絡(luò)可靠性如果服務(wù)器的網(wǎng)絡(luò)部分發(fā)生故障，會(huì)導(dǎo)致客戶不能連接和訪咨詢到服務(wù)器，這同樣是致命的故障。如果該服務(wù)器配備了冗余的網(wǎng)絡(luò)接口，RoseHA會(huì)使用它來復(fù)原網(wǎng)絡(luò)連接。在沒有配備冗余的網(wǎng)絡(luò)接口，或者所有的網(wǎng)絡(luò)接口均顯現(xiàn)故障時(shí)，HA會(huì)將該應(yīng)用切換到另外一臺服務(wù)器上。切換完成后，客戶在短暫的切換過程后能夠連續(xù)訪咨詢所需的服務(wù)。儲(chǔ)備可靠性需要將應(yīng)用的全部數(shù)據(jù)儲(chǔ)備在兩臺服務(wù)器都能訪咨詢到的共享磁盤中。建議使用磁盤陣列來儲(chǔ)備數(shù)據(jù)，如此能夠幸免單點(diǎn)固障，而且便于對系統(tǒng)的容量進(jìn)行擴(kuò)充。對由VolumeManager軟件治理的磁盤陣列，RoseHA提供了相應(yīng)的處理程序，以保證磁盤陣列及數(shù)據(jù)的可靠性。應(yīng)用可靠性在高可用性系統(tǒng)中能夠運(yùn)行多個(gè)應(yīng)用。每一個(gè)應(yīng)用是作為一個(gè)服務(wù)而存在的。在服務(wù)器中，當(dāng)某個(gè)服務(wù)失敗而其它服務(wù)正常運(yùn)行時(shí)，RoseHA將處理那個(gè)失敗的服務(wù)。在將那個(gè)服務(wù)切換到另一臺服務(wù)器上時(shí)，該服務(wù)器上運(yùn)行的服務(wù)也可不能受到阻礙。關(guān)于與網(wǎng)絡(luò)不有關(guān)的純數(shù)據(jù)應(yīng)用，只需要切換數(shù)據(jù)儲(chǔ)備和數(shù)據(jù)處理軟件。而在與網(wǎng)絡(luò)有關(guān)的客戶機(jī)/服務(wù)器應(yīng)用，除了要切換數(shù)據(jù)儲(chǔ)備和數(shù)據(jù)處理軟件外，還需要切換有關(guān)的虛擬IP。如果期望兩個(gè)服務(wù)獨(dú)立地進(jìn)行切換，則此兩個(gè)IP地址不能相同。如果使用了相同的IP地址，在發(fā)生切換時(shí)，RoseHA會(huì)將所有使用該IP的服務(wù)都切換到另外一臺服務(wù)器上去。豐富的附加功能提供不同的針對特定應(yīng)用的Agent程序，使服務(wù)監(jiān)控更切實(shí)際，更加有效；提供用于開發(fā)Agent程序的應(yīng)用程序界面（API），使用者可針對特定的服務(wù)編寫Agent程序，執(zhí)行與特定服務(wù)有關(guān)的狀態(tài)診斷及錯(cuò)誤復(fù)原工作的。SQLServer2008R2概述MicrosoftSQLServer2008提供了有助于有效治理安全性功能配置、強(qiáng)身份驗(yàn)證和訪咨詢操縱的安全性增強(qiáng)功能、功能強(qiáng)大的加密和密鑰治理功能，以及增強(qiáng)型審核功能。重大的新功能使用基于策略的治理，針對企業(yè)內(nèi)的數(shù)據(jù)來治理及檢測不符合安全策略的情形不需修改應(yīng)用程序即可使用透亮數(shù)據(jù)加密來加密數(shù)據(jù)使用可擴(kuò)展密鑰治理和硬件安全性模塊，利用整個(gè)企業(yè)的加密解決方案使用SQLServerAudit實(shí)現(xiàn)高性能的細(xì)微審核愛護(hù)企業(yè)中數(shù)據(jù)的安全使用預(yù)設(shè)為安全且在部署中為安全的數(shù)據(jù)庫解決方案來愛護(hù)數(shù)據(jù)的安全。使用自動(dòng)化基于策略的治理來設(shè)定接口區(qū)使用基于策略的治理，針對企業(yè)內(nèi)的服務(wù)器、數(shù)據(jù)庫和數(shù)據(jù)庫對象來確認(rèn)符合配置策略。使用新的接口區(qū)Facet操縱使用中的服務(wù)和功能，以降低暴露在安全性威逼下的機(jī)會(huì)。自動(dòng)應(yīng)用軟件更新使用WindowsUpdate自動(dòng)更新SQLServer2008。減少已知軟件弱點(diǎn)所造成的威逼。操縱對數(shù)據(jù)資源的訪咨詢有效治理驗(yàn)證和授權(quán)以及只提供訪咨詢權(quán)給需要的用戶，藉此來取得數(shù)據(jù)的操縱權(quán)。強(qiáng)制實(shí)行密碼策略自動(dòng)應(yīng)用MicrosoftWindowsServer2003（或更新版本）的密碼策略，以強(qiáng)制實(shí)行最小密碼長度、適當(dāng)?shù)淖址M合以及定期變更的密碼，即便使用SQLServer登入也是。使用角色和Proxy賬戶使用msdb數(shù)據(jù)庫的固定數(shù)據(jù)庫角色，增加關(guān)于代理程序服務(wù)的操縱權(quán)使用多個(gè)Proxy帳戶，讓當(dāng)做作業(yè)步驟的SQLServerIntegrationServices（SSIS）封裝執(zhí)行更安全提供安全性增強(qiáng)型元數(shù)據(jù)訪咨詢使用名目視圖來提供關(guān)于元數(shù)據(jù)的安全性增強(qiáng)訪咨詢，好讓用戶只針對他們具有訪咨詢權(quán)的對象來查看元數(shù)據(jù)使用執(zhí)行內(nèi)容來增強(qiáng)安全性功能使用執(zhí)行內(nèi)容標(biāo)示模塊，以便使用特定的用戶身分（而不是調(diào)用的用戶身分）來執(zhí)行模塊內(nèi)的語句授與調(diào)用的用戶執(zhí)行模塊的權(quán)限，然而針對模塊內(nèi)的語句使用執(zhí)行內(nèi)容的權(quán)限簡化權(quán)限治理使用架構(gòu)來簡化及改良大型數(shù)據(jù)庫的彈性。給某個(gè)架構(gòu)授與權(quán)限，以便將權(quán)限授與給此架構(gòu)內(nèi)所包含的每一個(gè)對象，以及以后在此架構(gòu)內(nèi)置立的每一個(gè)對象。加密敏銳數(shù)據(jù)通過內(nèi)置密碼編譯功能及關(guān)于企業(yè)密鑰管明白得決方案的支持來愛護(hù)敏銳數(shù)據(jù)。充分利用內(nèi)置密碼編譯層次結(jié)構(gòu)在SQLServer2008中使用內(nèi)置密碼編譯層次結(jié)構(gòu)來創(chuàng)建非對稱密鑰、對稱密鑰和憑證以透亮方式加密數(shù)據(jù)通過安全性增強(qiáng)型數(shù)據(jù)庫加密密鑰（DEK），以透亮方式在數(shù)據(jù)庫層次結(jié)構(gòu)執(zhí)行所有加密，讓開發(fā)需要加密數(shù)據(jù)的應(yīng)用程序復(fù)雜度降低。讓應(yīng)用程序開發(fā)人員訪咨詢加密的數(shù)據(jù)，而不需要變更現(xiàn)有的應(yīng)用程序。利用可擴(kuò)展密鑰治理使用企業(yè)密鑰治理系統(tǒng)來聚合企業(yè)加密。使用硬件安全性模塊，將密鑰存放在不同的硬件上，好讓您的數(shù)據(jù)與密鑰分開。使用專門系統(tǒng)來簡化密鑰治理。簽署程序代碼模塊使用密鑰或憑證，將數(shù)字簽名添加到程序代碼模塊（如儲(chǔ)備結(jié)構(gòu)和函數(shù)），然后在程序代碼模塊執(zhí)行期間，將其他權(quán)限與此簽章產(chǎn)生關(guān)審核數(shù)據(jù)庫活動(dòng)為了可講明性和符合性來審核數(shù)據(jù)庫系統(tǒng)中的活動(dòng)。使用SQLServerAudit進(jìn)行增強(qiáng)型審核定義審核，自動(dòng)將活動(dòng)記錄在記錄文件、Windows應(yīng)用程序記錄文件或Windows安全日志中。創(chuàng)建審核規(guī)格來判定要并入審核的服務(wù)器和數(shù)據(jù)庫動(dòng)作，以獵取審核的完全操縱權(quán)。使用DDL觸發(fā)程序創(chuàng)建自定義審核解決方案使用觸發(fā)程序捕捉及審核數(shù)據(jù)定義語言(DDL)活動(dòng)。擴(kuò)充觸發(fā)程序來響應(yīng)DDL事件和數(shù)據(jù)操作語言(DML)事件，并記錄DDL事件，以改善審核及增強(qiáng)安全性。WindowsServer2003R2WindowsServer2003R2安全性概述微軟公司在MicrosoftWindows2003Server安全性技術(shù)方面做出的創(chuàng)新給客戶帶來了全新的體驗(yàn)，不但可關(guān)心客戶建立趕忙可用的安全連接基礎(chǔ)架構(gòu)，更能關(guān)心客戶建立、部署和治理其它的安全解決方案。微軟公司進(jìn)行了許多工程設(shè)計(jì)上的改變，調(diào)整多項(xiàng)阻礙安全的系統(tǒng)默認(rèn)值設(shè)定，并提供多項(xiàng)能夠增強(qiáng)Windows平臺安全性的新功能和新技術(shù)。Windows2003Server以安全為理念重新設(shè)計(jì)了許多組件，而這些組件也建構(gòu)出以安全為要緊目標(biāo)的創(chuàng)新。Windows2003Server由基于全新的安全設(shè)計(jì)原則的組件構(gòu)成：InternetInformationServices(IIS)6.0。通過重新設(shè)計(jì)，承諾應(yīng)用程序或Webservices的工作程序以較低權(quán)限的使用者賬戶來執(zhí)行，借由限制網(wǎng)絡(luò)存取的方法降低潛在的攻擊，并修改了IIS5.0服務(wù)器證書不能刪除的Bug。CommonLanguageRuntime(CLR)。本軟件引擎是Windows2003Server的關(guān)鍵部分，它提升了可靠性并有助于保證運(yùn)算環(huán)境的安全，降低了錯(cuò)誤數(shù)量，并減少了由常見的編程錯(cuò)誤引起的安全漏洞。公共語言運(yùn)行庫還驗(yàn)證應(yīng)用程序是否能無錯(cuò)誤運(yùn)行，并檢查適當(dāng)?shù)陌踩詸?quán)限，以確保代碼只執(zhí)行適當(dāng)?shù)牟僮?。Windows2003Server為客戶提供一個(gè)趕忙可用的安全基礎(chǔ)，關(guān)心企業(yè)建立一個(gè)不容易遭受攻擊的網(wǎng)絡(luò)環(huán)境。產(chǎn)品在安裝起來之時(shí)就處于安全鎖定的狀態(tài)，其中有二十多項(xiàng)服務(wù)預(yù)設(shè)為不安裝或以較低的權(quán)限執(zhí)行，以便關(guān)心IT治理員在最安全的組態(tài)下執(zhí)行其服務(wù)器。它在默認(rèn)設(shè)置中將安全放到了最優(yōu)先考慮的位置，追加了用于強(qiáng)化Windows平臺安全性的新功能和新技術(shù)：IIS6.0在Windows2003Server中的默認(rèn)值為關(guān)閉。InternetExplorer在Windows2003Server中，安全設(shè)定的默認(rèn)值為“高”安全性。密碼安全性差不多過強(qiáng)化，因此使用者無法使用任何沒有密碼的賬戶進(jìn)行遠(yuǎn)程登入。如此可降低網(wǎng)絡(luò)因不良密碼而遭受遠(yuǎn)程攻擊的可能性