紹興市國(guó)土資源局信息化建設(shè)方案技術(shù)建議書V1.0.doc

紹興市國(guó)土資源局信息化建設(shè)方案技術(shù)建議書浙江公眾信息系統(tǒng)集成有限公司系統(tǒng)集成部文檔編號(hào)：GX-DN-2006-09-20-01方案版本：V1.0文檔編制：文檔審核：項(xiàng)目名稱：紹興市國(guó)土資源局信息化建設(shè)方案共62頁(yè)紹興市國(guó)土資源局信息化建設(shè)方案技術(shù)建議書浙江公眾信息系統(tǒng)集成有限公司2006年9月地址：浙江省杭州市延安路378號(hào)6樓 郵編：310006電話：86-571-87076766 傳真：86-571-87077399目 錄前 言4第1章項(xiàng)目概述51.1項(xiàng)目背景51.2需求分析61.3建設(shè)原則61.3.1指導(dǎo)方針61.3.2建設(shè)原則61.4建設(shè)目標(biāo)7第2章網(wǎng)絡(luò)安全系統(tǒng)建設(shè)72.1網(wǎng)絡(luò)安全建設(shè)意義72.1.1網(wǎng)絡(luò)安全概述72.1.2網(wǎng)絡(luò)面臨的主要威脅92.2網(wǎng)絡(luò)安全的基礎(chǔ)102.2.1網(wǎng)絡(luò)安全的實(shí)現(xiàn)基礎(chǔ)102.2.2網(wǎng)絡(luò)安全系統(tǒng)建設(shè)中存在的問(wèn)題112.3安全體系設(shè)計(jì)目標(biāo)、原則和設(shè)計(jì)范疇122.3.1安全系統(tǒng)總體規(guī)劃122.4網(wǎng)絡(luò)及安全需求分析162.4.1網(wǎng)絡(luò)安全需求概述162.4.2網(wǎng)絡(luò)安全系統(tǒng)總體規(guī)劃192.5系統(tǒng)安全建設(shè)的實(shí)施192.5.1防火墻系統(tǒng)的設(shè)計(jì)212.5.2VPN的設(shè)計(jì)實(shí)施242.5.3防病毒的設(shè)計(jì)實(shí)施252.5.4風(fēng)險(xiǎn)評(píng)估262.5.5入侵偵測(cè)292.5.6網(wǎng)絡(luò)安全服務(wù)建議332.5.7IP網(wǎng)絡(luò)安全管理體系建議35第3章主機(jī)存儲(chǔ)與備份系統(tǒng)建設(shè)363.1主機(jī)存儲(chǔ)系統(tǒng)建設(shè)363.1.1主機(jī)集群363.1.2存儲(chǔ)解決方案的技術(shù)選擇363.2備份系統(tǒng)建設(shè)403.2.1備份技術(shù)和架構(gòu)選型403.2.2備份軟件選型443.2.3備份及恢復(fù)方案說(shuō)明473.2.4對(duì)數(shù)據(jù)備份的管理523.2.5恢復(fù)的管理533.2.6介質(zhì)管理543.2.7數(shù)據(jù)恢復(fù)的周期性演練制度553.3數(shù)據(jù)庫(kù)建設(shè)與整合553.3.1數(shù)據(jù)庫(kù)建設(shè)與整合的內(nèi)容553.3.2數(shù)據(jù)庫(kù)建設(shè)與整合的方式563.3.3數(shù)據(jù)庫(kù)管理與更新維護(hù)563.3.4形成有效的數(shù)據(jù)更新機(jī)制563.4國(guó)土資源數(shù)據(jù)中心建設(shè)563.4.1數(shù)據(jù)管理和運(yùn)行模式573.4.2數(shù)據(jù)交換系統(tǒng)573.4.3各級(jí)基礎(chǔ)數(shù)據(jù)庫(kù)的同步與備份58第4章網(wǎng)絡(luò)擴(kuò)容方案建議584.1需求分析584.2網(wǎng)絡(luò)基礎(chǔ)平臺(tái)設(shè)計(jì)594.2.1網(wǎng)絡(luò)平臺(tái)建設(shè)思路594.2.2網(wǎng)絡(luò)技術(shù)選型594.3網(wǎng)絡(luò)的設(shè)計(jì)與實(shí)現(xiàn)594.3.1遠(yuǎn)程撥號(hào)接入614.3.2IP地址規(guī)劃614.3.3路由設(shè)計(jì)-靜態(tài)路由614.3.4網(wǎng)絡(luò)管理6262Copyright2006 浙江公眾信息系統(tǒng)集成有限公司前 言首先，非常感謝浙江電信紹興分公司為我浙江公眾信息系統(tǒng)集成有限公司提供此次技術(shù)交流的機(jī)會(huì)。能為紹興市國(guó)土資源信息網(wǎng)網(wǎng)絡(luò)建設(shè)盡一份力量，我們感到非常榮幸。 在了解技術(shù)要求以后, 我們立即組織相關(guān)工程師進(jìn)行了深入、細(xì)致的討論和研究。根據(jù)我們對(duì)技術(shù)要求的理解，結(jié)合我們技術(shù)實(shí)力和優(yōu)勢(shì)，我們精心制作了此方案，敬請(qǐng)各位領(lǐng)導(dǎo)、專家審閱。我們相信，憑借公信公司8年來(lái)致力于IT系統(tǒng)存儲(chǔ)、備份建設(shè)、網(wǎng)絡(luò)建設(shè)的技術(shù)優(yōu)勢(shì)、完善的服務(wù)、科學(xué)的管理以及豐富的服務(wù)經(jīng)驗(yàn)，公信公司完全有能力滿足此次紹興市國(guó)土資源信息網(wǎng)網(wǎng)絡(luò)的建設(shè)要求，為您提供滿意的方案。 由于我們對(duì)技術(shù)要求的理解可能有不夠準(zhǔn)確的地方，加之時(shí)間緊迫，因此方案中可能會(huì)有不符合客戶內(nèi)部細(xì)節(jié)的情況，我們熱忱歡迎各位領(lǐng)導(dǎo)和專家對(duì)此方案提出寶貴意見(jiàn)，以便改進(jìn)和提高我們的工作，為客戶提供更好的服務(wù)。本方案的提供者浙江公眾信息系統(tǒng)集成有限公司（以下簡(jiǎn)稱：浙江公信），成立于1997年，公司主要從事數(shù)據(jù)通信、多媒體信息服務(wù)及網(wǎng)絡(luò)安全的系統(tǒng)集成、軟件開發(fā)，包括INTERNET、INTRANET、EXTRANET網(wǎng)絡(luò)的系統(tǒng)集成、IP寬帶技術(shù)應(yīng)用和無(wú)線應(yīng)用等業(yè)務(wù)。同時(shí)開展互聯(lián)網(wǎng)相關(guān)的應(yīng)用軟件開發(fā)，提供高起點(diǎn)的全面解決方案，是浙江省內(nèi)領(lǐng)先的數(shù)據(jù)網(wǎng)絡(luò)全面解決方案提供商。第1章 項(xiàng)目概述1.1 項(xiàng)目背景信息化使當(dāng)今世界正在經(jīng)歷著的深刻變革，重新塑造著世界經(jīng)濟(jì)競(jìng)爭(zhēng)、文化滲透的新格局，加快信息化已經(jīng)成為各國(guó)不可回避的戰(zhàn)略選擇。貫徹落實(shí)黨的十六大關(guān)于本世紀(jì)頭二十年的總體戰(zhàn)略部署，牢固樹立和落實(shí)科學(xué)發(fā)展觀，緊緊抓住重要戰(zhàn)略機(jī)遇期，大力推進(jìn)信息化，是加快實(shí)現(xiàn)全面建設(shè)小康社會(huì)的必由之路。國(guó)土資源信息化是國(guó)家信息化的重要組成部分，是保障國(guó)家對(duì)土地、礦產(chǎn)和海洋資源的監(jiān)測(cè)、監(jiān)管，提高國(guó)土資源開發(fā)利用水平的戰(zhàn)略舉措，是實(shí)現(xiàn)國(guó)土資源工作科學(xué)化、現(xiàn)代化，加強(qiáng)國(guó)土資源對(duì)經(jīng)濟(jì)的宏觀調(diào)控能力的重要基礎(chǔ)。國(guó)土資源信息化作為國(guó)家信息化的重要組成部分，為各行業(yè)、各部門提供地理空間和自然資源環(huán)境方面的基礎(chǔ)數(shù)據(jù)，成為國(guó)家和區(qū)域經(jīng)濟(jì)社會(huì)發(fā)展信息化的重要支撐。國(guó)土資源部一貫高度重視信息化工作。在黨中央、國(guó)務(wù)院領(lǐng)導(dǎo)的親切關(guān)懷下，在各級(jí)地方政府的大力支持下，各級(jí)國(guó)土資源管理部門和信息化工作者共同努力，國(guó)土資源信息化迅猛發(fā)展，全國(guó)國(guó)土資源信息化總體框架已初步形成，國(guó)土資源信息化在國(guó)家信息化整體框架中的作用和地位得到明顯提高。國(guó)家、省和部分市縣國(guó)土資源信息化機(jī)構(gòu)普遍建立，信息化投入不斷加大，人才隊(duì)伍日益壯大；信息技術(shù)在國(guó)土資源管理工作中得到廣泛應(yīng)用，一大批政務(wù)管理信息系統(tǒng)的開發(fā)和應(yīng)用，信息化應(yīng)用水平穩(wěn)步上升；全國(guó)性面向社會(huì)的國(guó)土資源網(wǎng)上政務(wù)信息公開和信息服務(wù)全面展開，提高了國(guó)土資源行政效能，提升了國(guó)土資源部門的形象；一批基礎(chǔ)地理、地質(zhì)、土地、礦產(chǎn)和海洋方面重要數(shù)據(jù)庫(kù)的建成，對(duì)國(guó)土資源管理和國(guó)民經(jīng)濟(jì)各部門的支撐作用日益顯著；各類國(guó)土資源調(diào)查、監(jiān)測(cè)信息系統(tǒng)和分析、評(píng)價(jià)系統(tǒng)的不斷涌現(xiàn)，使調(diào)查評(píng)價(jià)工作現(xiàn)代化程度明顯加強(qiáng)。各級(jí)國(guó)土資源部門網(wǎng)絡(luò)系統(tǒng)的建設(shè)和網(wǎng)絡(luò)互聯(lián)的不斷延伸，為國(guó)土資源信息的遠(yuǎn)程交換和信息共享提供了條件。全省國(guó)土資源信息網(wǎng)是由省、市、縣三級(jí)國(guó)土資源部門互聯(lián)而成的廣域網(wǎng)，它是我省國(guó)土資源系統(tǒng)內(nèi)部實(shí)現(xiàn)信息系統(tǒng)數(shù)據(jù)共享的基礎(chǔ)，是國(guó)土資源信息化建設(shè)的重要保障，也是實(shí)現(xiàn)國(guó)土資源業(yè)務(wù)三級(jí)聯(lián)網(wǎng)審批的重要保證。目前，全省國(guó)土資源信息網(wǎng)組網(wǎng)工作已進(jìn)入實(shí)施階段，各市局線路已基本到位，建設(shè)用地三級(jí)聯(lián)網(wǎng)審批管理信息系統(tǒng)已準(zhǔn)備就緒。紹興市國(guó)土資源信息網(wǎng)作為全省國(guó)土資源信息網(wǎng)的重要組成部分之一，紹興國(guó)土資源部門也結(jié)合當(dāng)?shù)貙?shí)際，開始緊鑼密鼓的部署組網(wǎng)工作。我公信公司在了解了紹興市國(guó)土資源信息網(wǎng)情況之后，進(jìn)行了積極的、嚴(yán)謹(jǐn)?shù)募夹g(shù)分析和討論，形成了本技術(shù)建議書初稿，希望對(duì)紹興國(guó)土資源部門相關(guān)人員有所幫助。1.2 需求分析根據(jù)省國(guó)土資源廳關(guān)于關(guān)于做好全省國(guó)土資源信息網(wǎng)組網(wǎng)工作的通知（浙土資辦2006113號(hào)）文件精神，確保在2006年底前完成紹興市國(guó)土資源信息化建設(shè)，并實(shí)現(xiàn)全省國(guó)土資源信息聯(lián)網(wǎng)。1.3 建設(shè)原則1.3.1 指導(dǎo)方針紹興市國(guó)土資源信息化建設(shè)要遵循國(guó)土資源信息化建設(shè)的總體指導(dǎo)方針，即“統(tǒng)一領(lǐng)導(dǎo)、統(tǒng)籌規(guī)劃，統(tǒng)一標(biāo)準(zhǔn)、信息共享，服務(wù)管理、面向社會(huì)”，加快國(guó)土資源工作主流程的信息化，以國(guó)土資源信息化建設(shè)帶動(dòng)國(guó)土資源信息技術(shù)跨越式發(fā)展和國(guó)土資源管理方式的根本轉(zhuǎn)變，抓住國(guó)民經(jīng)濟(jì)和社會(huì)信息化的機(jī)遇，加快國(guó)土資源管理的信息化，以管理信息化帶動(dòng)管理科學(xué)化和服務(wù)社會(huì)化，全面提升國(guó)土資源管理與服務(wù)水平。1.3.2 建設(shè)原則1. 技術(shù)先進(jìn)性：硬件系統(tǒng)設(shè)計(jì)應(yīng)采用當(dāng)前先進(jìn)而成熟的技術(shù)，充分吸收國(guó)際廠商的先進(jìn)經(jīng)驗(yàn)，不僅可以滿足紹興市國(guó)土資源部門現(xiàn)有的需求，也應(yīng)把握未來(lái)的發(fā)展方向；2. 可擴(kuò)充性：在系統(tǒng)設(shè)備選型設(shè)計(jì)時(shí)應(yīng)充分考慮可擴(kuò)充性，從而確保新功能、新業(yè)務(wù)的增加應(yīng)可以在不影響原系統(tǒng)運(yùn)行的情況下實(shí)現(xiàn)；在系統(tǒng)進(jìn)行擴(kuò)容中出現(xiàn)不可預(yù)見(jiàn)的故障時(shí)，具備過(guò)渡處理能力，并在規(guī)定時(shí)限內(nèi)恢復(fù)正常運(yùn)行狀態(tài)；3. 安全性：硬件系統(tǒng)應(yīng)保證數(shù)據(jù)不被非法入侵者破壞和盜用，并保證數(shù)據(jù)的一致性，對(duì)欺詐行為應(yīng)采取多種檢查和處理手段；4. 可靠性及穩(wěn)定性：應(yīng)采用相應(yīng)的故障檢查、告警和處理機(jī)制，保證數(shù)據(jù)不會(huì)因意外情況丟失或損壞；采用靈活的任務(wù)調(diào)度機(jī)制實(shí)現(xiàn)負(fù)載均衡，防止“瓶頸”產(chǎn)生，在任何情況下，都應(yīng)該保持可預(yù)見(jiàn)的輸出；充分考慮各種可能出現(xiàn)的問(wèn)題，通過(guò)采用多種手段來(lái)保證系統(tǒng)具有較強(qiáng)的容錯(cuò)、糾錯(cuò)和故障恢復(fù)能力；5. 可管理性：該系統(tǒng)的管理體系應(yīng)能保證對(duì)系統(tǒng)運(yùn)行狀態(tài)進(jìn)行監(jiān)控，及時(shí)發(fā)現(xiàn)系統(tǒng)中可能出現(xiàn)的問(wèn)題，使系統(tǒng)易于管理維護(hù)； 6. 利舊性：在系統(tǒng)工程的建設(shè)中，應(yīng)當(dāng)充分考慮到現(xiàn)有的設(shè)備、技術(shù)資源及其它資源的充分利用；7. 準(zhǔn)確性：應(yīng)該能夠提供多種稽核手段，保證系統(tǒng)數(shù)據(jù)的準(zhǔn)確性；8. 成熟性：應(yīng)盡量選用經(jīng)過(guò)大量運(yùn)用、成熟可靠的系統(tǒng)；9. 經(jīng)濟(jì)性：在滿足上述的前提下，選擇經(jīng)濟(jì)、實(shí)用的設(shè)備；1.4 建設(shè)目標(biāo)項(xiàng)目建設(shè)總體目標(biāo)是：基本建立監(jiān)管有效、服務(wù)周全、結(jié)構(gòu)合理、功能完整、安全穩(wěn)定、覆蓋全局的紹興市國(guó)土資源信息化體系。實(shí)現(xiàn)國(guó)土資源政務(wù)管理和決策支持的網(wǎng)絡(luò)化運(yùn)行，增強(qiáng)國(guó)土資源行政管理的效能。完善網(wǎng)上雙向互動(dòng)式的國(guó)土資源信息服務(wù)體系，滿足社會(huì)公眾對(duì)國(guó)土資源信息的需求。實(shí)現(xiàn)國(guó)土資源調(diào)查評(píng)價(jià)的自動(dòng)化和數(shù)字化，提高國(guó)土資源基礎(chǔ)數(shù)據(jù)獲取的精度和效率。按時(shí)間劃分，具體目標(biāo)如下：1. 近期：2006年年底完成網(wǎng)絡(luò)安全工程，滿足建設(shè)用地報(bào)批系統(tǒng)的運(yùn)行、檔案軟件3.0版的開發(fā)，商業(yè)化網(wǎng)站的開發(fā)、土地登記公開查詢，土地利用更新調(diào)查、集體所有權(quán)登記發(fā)證系統(tǒng)（包括建庫(kù)）；2. 中期：2007-2008年，完成業(yè)務(wù)系統(tǒng)整合，數(shù)據(jù)庫(kù)的整合、以及數(shù)據(jù)安全備份，建全數(shù)據(jù)交換中心、省市縣三級(jí)連網(wǎng)；3. 遠(yuǎn)期：2008-2010年，新大樓的網(wǎng)絡(luò)建設(shè)工程。第2章 網(wǎng)絡(luò)安全系統(tǒng)建設(shè)2.1 網(wǎng)絡(luò)安全建設(shè)意義2.1.1 網(wǎng)絡(luò)安全概述隨著因特網(wǎng)的迅速發(fā)展，網(wǎng)絡(luò)信息資源可以高度共享。現(xiàn)在，幾乎世界上每一個(gè)國(guó)家都高度依賴于相同的、內(nèi)部連接的通訊、能源、運(yùn)輸和公用網(wǎng)絡(luò)。同時(shí)信息系統(tǒng)的安全面臨嚴(yán)重的挑戰(zhàn)。黑客入侵事件及計(jì)算機(jī)病毒常有發(fā)生。在基于TCP/IP的網(wǎng)絡(luò)中，不管用國(guó)際互聯(lián)網(wǎng)、調(diào)制解調(diào)器或是租用的專線，幾乎每一個(gè)互通網(wǎng)絡(luò)都能互相跟蹤。在一定的程度上產(chǎn)生了嚴(yán)重的安全威脅。安全問(wèn)題是組建網(wǎng)絡(luò)面臨的敏感和重要問(wèn)題。網(wǎng)絡(luò)提供了信息流通的便利渠道，提供了客戶服務(wù)及信息交流的平臺(tái)。但同時(shí)也給信息的保密和真實(shí)性，系統(tǒng)的正常運(yùn)行帶來(lái)嚴(yán)重的挑戰(zhàn)。因此，如何協(xié)調(diào)系統(tǒng)安全和系統(tǒng)的靈活、高效和開放性，保證網(wǎng)絡(luò)的可靠運(yùn)行，動(dòng)態(tài)地監(jiān)控和調(diào)節(jié)網(wǎng)絡(luò)性能，是在設(shè)計(jì)系統(tǒng)安全體系和選擇網(wǎng)絡(luò)安全管理產(chǎn)品時(shí)必須要考慮的問(wèn)題。據(jù)Warroom Reseach的調(diào)查，世界排名前一千的公司幾乎都曾被黑客闖入。據(jù)美國(guó)FBI統(tǒng)計(jì)，美國(guó)每年因網(wǎng)絡(luò)安全造成的損失高達(dá)75億美元。計(jì)算機(jī)緊急響應(yīng)小組（CERT）的年度報(bào)告中列出了1997年發(fā)生的將近2500個(gè)報(bào)道的安全事故，其影響涉及到12個(gè)Internet站點(diǎn)。Ernst和Young報(bào)告由于信息安全被竊或?yàn)E用，幾乎80%的大型企業(yè)遭受損失。 我國(guó)的ISP、證券公司及銀行也多次被國(guó)內(nèi)外和黑客攻擊。前幾年上海的幾個(gè)著名的網(wǎng)絡(luò)站點(diǎn)就被一學(xué)生通過(guò)電話撥號(hào)的方式非法侵入，并被破解了大部分系統(tǒng)帳號(hào)。中國(guó)的一個(gè)有關(guān)中國(guó)人權(quán)站點(diǎn)主頁(yè)也被黑客替換成一個(gè)可以連接到一些中國(guó)批評(píng)站點(diǎn)的網(wǎng)頁(yè)。 這還僅僅是來(lái)自企業(yè)外部的通過(guò)Internet進(jìn)行的系統(tǒng)入侵，實(shí)際上在系統(tǒng)資源損失中，更大部分的威脅來(lái)自系統(tǒng)內(nèi)部，據(jù)Ernst和Young統(tǒng)計(jì)，來(lái)自系統(tǒng)內(nèi)部的攻擊行為在整個(gè)系統(tǒng)受到的攻擊中占到了70%以上。 另一方面，系統(tǒng)的安全漏洞和系統(tǒng)的加密已經(jīng)不再象以前一樣僅僅為為數(shù)不多的專業(yè)人士知道，在國(guó)際互聯(lián)網(wǎng)上，有數(shù)以萬(wàn)計(jì)的黑客站點(diǎn)在時(shí)時(shí)刻刻地發(fā)布這些信息，并提供各種工具和技術(shù)以利用這些漏洞來(lái)破解保密體系，進(jìn)行系統(tǒng)攻擊。一個(gè)普通的計(jì)算機(jī)用戶，只要能上Internet網(wǎng)絡(luò)，他就能輕易地獲得這些信息，輕松地變?yōu)橐粋€(gè)具有很大威脅的黑客。 在我國(guó)，網(wǎng)絡(luò)安全問(wèn)題還沒(méi)有得到充分的重視，許多大型的信息港和企業(yè)的Intranet在配置方案中僅配置了一道防火墻作為安全的保障，并沒(méi)有在安全方面下大的工夫，結(jié)果往往在遭受重大損失后才意識(shí)到安全問(wèn)題的重要性。許多個(gè)人用戶也經(jīng)常為自己的郵箱遭受郵件炸彈的攻擊而苦惱，而一些大單位更是為自己的主頁(yè)被黑客的任意篡改而感到尷尬，至于那些由于網(wǎng)絡(luò)安全漏洞造成的大型經(jīng)濟(jì)犯罪案件更是屢見(jiàn)不鮮。因此，一句話來(lái)總結(jié)中國(guó)網(wǎng)絡(luò)安全的現(xiàn)狀，可以說(shuō)是目前的系統(tǒng)就象是一幢門戶大開的大樓，罪犯可以如同進(jìn)入無(wú)人之境那樣隨便做案，并且可以不留下任何蛛絲馬跡。 因此，保護(hù)網(wǎng)絡(luò)的安全刻不容緩！2.1.2 網(wǎng)絡(luò)面臨的主要威脅日益嚴(yán)重的網(wǎng)絡(luò)信息安全問(wèn)題，不僅使上網(wǎng)企業(yè)、機(jī)構(gòu)及用戶蒙受巨大經(jīng)濟(jì)損失，而且使國(guó)家的安全與主權(quán)面臨嚴(yán)重威脅。要避免網(wǎng)絡(luò)信息安全問(wèn)題，首先必須搞清楚觸發(fā)這一問(wèn)題的原因。總結(jié)起來(lái)，主要有以下幾個(gè)方面原因。 2.1.2.1 黑客的攻擊黑客對(duì)于大家來(lái)說(shuō)，不再是一個(gè)高深莫測(cè)的人物，黑客技術(shù)逐漸被越來(lái)越多的人掌握和發(fā)展，目前，世界上有20多萬(wàn)個(gè)黑客網(wǎng)站，這些網(wǎng)站都介紹一些攻擊方法和攻擊軟件的使用以及系統(tǒng)的一些漏洞，因而系統(tǒng)、站點(diǎn)遭到攻擊的可能性就變大了。尤其是現(xiàn)在還缺乏針對(duì)網(wǎng)絡(luò)犯罪卓有成效的反擊和跟蹤手段，使得黑客攻擊的隱蔽性好，殺傷力強(qiáng)，是網(wǎng)絡(luò)安全的主要威脅。 2.1.2.2 管理的欠缺網(wǎng)絡(luò)系統(tǒng)的嚴(yán)格管理是企業(yè)、機(jī)構(gòu)及用戶免受攻擊的重要措施。事實(shí)上，很多企業(yè)、機(jī)構(gòu)及用戶的網(wǎng)站或系統(tǒng)都疏于這方面的管理。據(jù)IT界企業(yè)團(tuán)體ITAA的調(diào)查顯示，美國(guó)90%的IT企業(yè)對(duì)黑客攻擊準(zhǔn)備不足。目前，美國(guó)75%-85%的網(wǎng)站都抵擋不住黑客的攻擊，約有75%的企業(yè)網(wǎng)上信息失竊，其中25%的企業(yè)損失在25萬(wàn)美元以上。 2.1.2.3 網(wǎng)絡(luò)的缺陷因特網(wǎng)的共享性和開放性使網(wǎng)上信息安全存在先天不足，因?yàn)槠滟囈陨娴腡CP/IP協(xié)議族，缺乏相應(yīng)的安全機(jī)制，而且因特網(wǎng)最初的設(shè)計(jì)考慮是該網(wǎng)不會(huì)因局部故障而影響信息的傳輸，基本沒(méi)有考慮安全問(wèn)題，因此它的安全可靠、服務(wù)質(zhì)量、帶寬和方便性等方面存在著不適應(yīng)性。 2.1.2.4 軟件的漏洞或“后門”隨著軟件系統(tǒng)規(guī)模的不斷增大，系統(tǒng)中的安全漏洞或后門也不可避免的存在，比如我們常用的操作系統(tǒng)，無(wú)論是Windows還是UNIX幾乎都存在或多或少的安全漏洞，眾多的各類服務(wù)器、瀏覽器、一些桌面軟件等等都被發(fā)現(xiàn)過(guò)安全隱患?？梢哉f(shuō)任何一個(gè)軟件系統(tǒng)都可能會(huì)因?yàn)槌绦騿T的一個(gè)疏忽、設(shè)計(jì)中的一個(gè)缺陷等原因而存在漏洞，這也是網(wǎng)絡(luò)安全的主要威脅之一。 影響計(jì)算機(jī)網(wǎng)絡(luò)安全的因素有很多，所以保護(hù)網(wǎng)絡(luò)的安全也不止一種手段，而且，在決大多數(shù)情況下，必須綜合使用這些技術(shù)手段，才能達(dá)到良好的安全效果。一般來(lái)說(shuō)，保護(hù)網(wǎng)絡(luò)安全的主要有防火墻技術(shù)、加密技術(shù)、入侵檢測(cè)技術(shù)、身份認(rèn)證技術(shù)等，通過(guò)這些技術(shù)的綜合使用，能夠有效的解決網(wǎng)絡(luò)所面臨的安全威脅。然而先進(jìn)的技術(shù)固然重要，優(yōu)質(zhì)的服務(wù)也是必不可少的，用戶需要的不僅僅是將先進(jìn)的產(chǎn)品買回家，他們更需要的是如何使這些產(chǎn)品發(fā)揮更好的作用、如何得到更多的幫助，從而能夠使他們的網(wǎng)絡(luò)真正安全。因此用戶的網(wǎng)絡(luò)安全要得到保證，必須有一流的產(chǎn)品和一流的服務(wù)，只有這兩者的相互配合，相互作用，才能為用戶提供一個(gè)整體的、立體的、有效的安全解決方案。2.2 網(wǎng)絡(luò)安全的基礎(chǔ)2.2.1 網(wǎng)絡(luò)安全的實(shí)現(xiàn)基礎(chǔ)并沒(méi)有一種技術(shù)可完全消除網(wǎng)絡(luò)中的安全漏洞。網(wǎng)絡(luò)的安全實(shí)際上是理想中的安全策略和實(shí)際的執(zhí)行之間的一個(gè)平衡。不幸的是，由于缺乏安全技術(shù)、網(wǎng)絡(luò)增長(zhǎng)迅速、網(wǎng)絡(luò)應(yīng)用對(duì)安全的需求及不斷快速增長(zhǎng)的安全威脅等因素，給有限的安全資源帶來(lái)巨大的壓力。這些增長(zhǎng)的壓力有一個(gè)明顯的后果重要的在線資源頻繁而不可預(yù)料地發(fā)生安全問(wèn)題和危險(xiǎn)的誤操作問(wèn)題。通常人們?cè)谶M(jìn)行系統(tǒng)安全維護(hù)時(shí)僅會(huì)考慮認(rèn)證，授權(quán)，加密和存取控制這四機(jī)制，但很少考慮到真正的應(yīng)用系統(tǒng)是構(gòu)筑在網(wǎng)絡(luò)通信層、操作系統(tǒng)層、系統(tǒng)應(yīng)用層、數(shù)據(jù)庫(kù)層、安全管理層等數(shù)個(gè)層次綜合的基礎(chǔ)之上的。例如，在業(yè)務(wù)系統(tǒng)中采用了加密機(jī)制，能夠保證數(shù)據(jù)傳輸過(guò)程中的安全性，但數(shù)據(jù)本身的安全性還依賴于網(wǎng)絡(luò)協(xié)議的安全性、操作系統(tǒng)的安全性，甚至業(yè)務(wù)系統(tǒng)的安全性，任何一個(gè)環(huán)節(jié)的漏洞都可能使數(shù)據(jù)傳輸之前遭到攻擊。而網(wǎng)絡(luò)本身是動(dòng)態(tài)的，所以網(wǎng)絡(luò)的安全程度也是動(dòng)態(tài)變化的，網(wǎng)絡(luò)安全不可是一個(gè)靜態(tài)的結(jié)果，需隨著網(wǎng)絡(luò)環(huán)境的變化，并綜合各種可能影響安全的因素來(lái)制訂整個(gè)網(wǎng)絡(luò)的安全策略。針對(duì)于此，我們提出網(wǎng)絡(luò)安全管理的完整解決方案可適應(yīng)安全管理模型，即針對(duì)安全威脅和進(jìn)攻弱點(diǎn)，通過(guò)監(jiān)控，檢測(cè)和響應(yīng)三個(gè)環(huán)節(jié)實(shí)時(shí)地強(qiáng)制實(shí)施的群體安全策略。2.2.2 網(wǎng)絡(luò)安全系統(tǒng)建設(shè)中存在的問(wèn)題我們?cè)诙嗄甑木W(wǎng)絡(luò)以及信息化建設(shè)中發(fā)現(xiàn)，在國(guó)內(nèi)的網(wǎng)絡(luò)系統(tǒng)包括政府、企業(yè)、教育等行業(yè)，由于對(duì)信息化安全建設(shè)沒(méi)有太多的概念，在網(wǎng)絡(luò)安全系統(tǒng)建設(shè)和維護(hù)中的投入不多，存在的常見(jiàn)問(wèn)題：1. 信息化意識(shí)不強(qiáng)。領(lǐng)導(dǎo)對(duì)網(wǎng)絡(luò)信息化的作用認(rèn)識(shí)不清楚，對(duì)信息網(wǎng)絡(luò)化的建設(shè)不夠重視。還沒(méi)有把信息網(wǎng)絡(luò)的建設(shè)放在重要位置，特別是網(wǎng)絡(luò)安全的建設(shè)重要性認(rèn)識(shí)不夠。在資金投入、機(jī)構(gòu)建設(shè)、人才培養(yǎng)方面研究不夠、支持不足；2. 計(jì)算機(jī)應(yīng)用總體水平低，發(fā)展不平衡。目前網(wǎng)絡(luò)系統(tǒng)雖然在大量使用計(jì)算機(jī)。但應(yīng)用水平層次不等，整體水平較低，使用中以應(yīng)用和電子檔案型應(yīng)用為主。在辦公中對(duì)網(wǎng)絡(luò)的應(yīng)用程度不夠，安全意識(shí)不強(qiáng)，對(duì)重要的資源的保護(hù)不夠。各地區(qū)、各部門之間的建設(shè)水平、應(yīng)用狀況相差懸殊；3. 網(wǎng)絡(luò)安全建設(shè)總體規(guī)劃不夠全面。當(dāng)前大部分市、縣以建成的局域網(wǎng)或廣域網(wǎng)中的安全建設(shè)除了數(shù)據(jù)備份幾乎沒(méi)有。在安全方面的總體規(guī)劃不足；4. 管理機(jī)構(gòu)不健全、專業(yè)技術(shù)人員缺乏。全省各企事業(yè)單位雖然很多都建立了信息中心或數(shù)據(jù)中心，但整體不足，對(duì)網(wǎng)絡(luò)安全的管理機(jī)構(gòu)建設(shè)極度缺乏。全省擁有的計(jì)算機(jī)類專業(yè)人員對(duì)整個(gè)網(wǎng)絡(luò)來(lái)說(shuō)太少，而且還有相當(dāng)一部分人員安排在其他崗位。安全建設(shè)是信息建設(shè)重中之重，也是信息建設(shè)的基礎(chǔ)和實(shí)現(xiàn)保障，只有著保證了信息的安全之后，以信息為基礎(chǔ)的所有應(yīng)用才有可能得以報(bào)證安全實(shí)施。為了便于規(guī)劃、實(shí)施和維護(hù)，在紹興市國(guó)土資源局網(wǎng)絡(luò)系統(tǒng)安全建設(shè)建議使用“四個(gè)統(tǒng)一”的原則1. 統(tǒng)一領(lǐng)導(dǎo)。整個(gè)系統(tǒng)網(wǎng)絡(luò)安全建設(shè)和實(shí)施在紹興市國(guó)土資源局系統(tǒng)信息化工作領(lǐng)導(dǎo)小組的統(tǒng)一領(lǐng)導(dǎo)下進(jìn)行，保證整個(gè)網(wǎng)絡(luò)安全的建設(shè)實(shí)施工作有領(lǐng)導(dǎo)、有組織、有計(jì)劃地進(jìn)行；2. 統(tǒng)一規(guī)劃。網(wǎng)絡(luò)安全建設(shè)要適應(yīng)行政管理體制要求，總部應(yīng)對(duì)網(wǎng)絡(luò)安全建設(shè)的總體目標(biāo)、網(wǎng)絡(luò)構(gòu)架，組織機(jī)構(gòu)、投資方式等個(gè)方面進(jìn)行全面規(guī)劃；3. 統(tǒng)一標(biāo)準(zhǔn)。紹興市國(guó)土資源局系統(tǒng)網(wǎng)絡(luò)安全建設(shè)要根據(jù)國(guó)家有關(guān)標(biāo)準(zhǔn)，統(tǒng)一制定內(nèi)部網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，網(wǎng)絡(luò)平臺(tái)、數(shù)據(jù)庫(kù)、應(yīng)用軟件系統(tǒng)等都應(yīng)該應(yīng)該制定統(tǒng)一標(biāo)準(zhǔn)。以確保網(wǎng)絡(luò)的互連互通，實(shí)現(xiàn)資源共享；4. 統(tǒng)一建設(shè)。信息系統(tǒng)網(wǎng)絡(luò)安全建設(shè)要統(tǒng)一實(shí)施，建設(shè)的統(tǒng)一性主要體現(xiàn)在關(guān)鍵網(wǎng)絡(luò)安全產(chǎn)品統(tǒng)一購(gòu)買，在統(tǒng)一規(guī)劃的前提下對(duì)網(wǎng)絡(luò)進(jìn)行統(tǒng)一維護(hù)。2.3 安全體系設(shè)計(jì)目標(biāo)、原則和設(shè)計(jì)范疇信息系統(tǒng)安全體系主要考慮的是信息、關(guān)鍵數(shù)據(jù)、管理、工作流的安全性、可用性、完整性，以及對(duì)信息流、敏感信息的不可篡改、不可否認(rèn)和不可抵賴。2.3.1 安全系統(tǒng)總體規(guī)劃2.3.1.1 安全體系框架公信公司的安全體系理念突出地表現(xiàn)在三個(gè)方面安全策略體系、安全管理體系和安全技術(shù)體系。l 安全策略體系 包括各種策略、法律法規(guī)、規(guī)章制度、技術(shù)標(biāo)準(zhǔn)、管理標(biāo)準(zhǔn)等，是安全體系框架的核心問(wèn)題，是整個(gè)安全系統(tǒng)建設(shè)的依據(jù)；l 安全管理體系 主要是人員、組織和流程的管理，是實(shí)現(xiàn)網(wǎng)絡(luò)安全的落實(shí)手段；l 安全技術(shù)體系 包含安全工具、安全產(chǎn)品和安全服務(wù)等，是實(shí)現(xiàn)信息安全的有力保證。根據(jù)安全體系框架，公信公司提供的網(wǎng)絡(luò)安全完整解決方案不僅僅包含各種安全產(chǎn)品和技術(shù)，更重要的是要建立一個(gè)整體的安全系統(tǒng)體系，也就是建立安全策略體系、安全管理體系和安全技術(shù)體系。2.3.1.2 安全過(guò)程控制理念公信公司對(duì)網(wǎng)絡(luò)安全控制過(guò)程的理念是：任何網(wǎng)絡(luò)的安全過(guò)程都是一個(gè)不斷重復(fù)改進(jìn)的循環(huán)過(guò)程，它主要包含風(fēng)險(xiǎn)評(píng)估、安全策略、安全系統(tǒng)規(guī)劃、安全要素實(shí)施、安全管理與維護(hù)、安全意識(shí)培養(yǎng)。這也是公信公司倡導(dǎo)的網(wǎng)絡(luò)安全周期：風(fēng)險(xiǎn)評(píng)估：對(duì)IP網(wǎng)絡(luò)中的威脅、漏洞等內(nèi)容進(jìn)行評(píng)估，獲取安全風(fēng)險(xiǎn)的客觀數(shù)據(jù)；安全策略：進(jìn)行安全行為的規(guī)范，明確安全的尺度；安全系統(tǒng)規(guī)劃：參照風(fēng)險(xiǎn)評(píng)估結(jié)果，依據(jù)安全策略及網(wǎng)絡(luò)實(shí)際業(yè)務(wù)狀況，進(jìn)行安全系統(tǒng)規(guī)劃和設(shè)計(jì)；安全要素實(shí)施：包括安全系統(tǒng)規(guī)劃和設(shè)計(jì)中的安全產(chǎn)品及安全服務(wù)各項(xiàng)要素的有效執(zhí)行；安全管理與維護(hù)：按照安全策略以及安全系統(tǒng)規(guī)劃和設(shè)計(jì)方案進(jìn)行日常的安全管理與維護(hù)，包括變更管理、事件管理、風(fēng)險(xiǎn)管理和配置管理；安全意識(shí)培養(yǎng)：幫助培訓(xùn)員工，建立必要的安全觀念。2.3.1.3 安全技術(shù)體系設(shè)計(jì)原則我們?cè)谶M(jìn)行IP網(wǎng)絡(luò)安全技術(shù)體系規(guī)劃、設(shè)計(jì)時(shí)，將遵循以下原則：l 綜合性、整體性原則：運(yùn)用系統(tǒng)工程方法，分析安全問(wèn)題，制定具體措施。把多環(huán)節(jié)、多層次的安全解決措施納入一個(gè)整合的系統(tǒng)性規(guī)劃設(shè)計(jì)之中。l 一致性原則：網(wǎng)絡(luò)安全問(wèn)題與整個(gè)網(wǎng)絡(luò)的工作周期（或生命周期）同時(shí)存在，安全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)的安全需求相一致。 l 多重保護(hù)原則：任何安全保護(hù)措施都不是絕對(duì)安全的，都可能被攻破。多重保護(hù)原則是指各層保護(hù)相互補(bǔ)充，當(dāng)一層保護(hù)被攻破時(shí)，其它層仍可保護(hù)。l 適應(yīng)性、靈活性原則：安全措施能隨著網(wǎng)絡(luò)性能及安全需求的變化而變化，便于定制，策略易于修改。l 易操作性原則：安全措施是由人來(lái)完成的，如果措施過(guò)于復(fù)雜，對(duì)人的要求過(guò)高，本身就降低了安全性。其次，采用的措施不能影響系統(tǒng)正常運(yùn)行。l 利舊原則：充分利用設(shè)備本身安全防護(hù)功能和網(wǎng)絡(luò)中原有的安全產(chǎn)品，避免重復(fù)投資，造成浪費(fèi)。在安全技術(shù)體系規(guī)劃和實(shí)施過(guò)程中，公信公司將遵循和參照最新的、最權(quán)威的、最具有代表性的信息安全標(biāo)準(zhǔn)。這些安全標(biāo)準(zhǔn)包括：n ISO/IEC 17799 Information technologyCode of practice for information security managementn ISO/IEC 13335 Information technology Guidelines for The Management of IT Security n ISO/IEC 15408 Information technology Security techniques Evaluation criteria for IT securityn 我國(guó)的國(guó)家標(biāo)準(zhǔn)GB、國(guó)家軍用標(biāo)準(zhǔn)GJB、公共安全行業(yè)標(biāo)準(zhǔn)GA、行業(yè)標(biāo)準(zhǔn)SJ等標(biāo)準(zhǔn)作為本項(xiàng)目的參考標(biāo)準(zhǔn)。2.3.1.4 安全技術(shù)策略理念針對(duì)紹興市國(guó)土資源局網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)層和業(yè)務(wù)層的現(xiàn)狀，我們認(rèn)為一個(gè)完整的安全技術(shù)體系至少應(yīng)該完全覆蓋IP網(wǎng)絡(luò)層和業(yè)務(wù)應(yīng)用層，要清楚地體現(xiàn)在這兩個(gè)層次上的不同策略重點(diǎn)。IP網(wǎng)絡(luò)層主要完成對(duì)非法使用網(wǎng)絡(luò)資源的控制，而業(yè)務(wù)應(yīng)用層安全策略主要針對(duì)非法使用業(yè)務(wù)資源的控制，兩者的相互結(jié)合，才能構(gòu)成一個(gè)完整的安全技術(shù)體系。公信公司的安全技術(shù)策略反映在以下幾方面，也是我們制定具體總體規(guī)劃設(shè)計(jì)的依據(jù)。1、基本訪問(wèn)控制、身份鑒別方面采用合理的技術(shù)手段 l 使用防火墻產(chǎn)品劃分網(wǎng)絡(luò)區(qū)域，對(duì)需要保護(hù)的區(qū)域進(jìn)行網(wǎng)絡(luò)層的訪問(wèn)控制。 l 充分利用系統(tǒng)中已有的安全機(jī)制，如身份認(rèn)證、訪問(wèn)控制和審計(jì)功能，以減少系統(tǒng)可被利用的漏洞。 l 采用專用產(chǎn)品強(qiáng)化系統(tǒng)中對(duì)安全構(gòu)成威脅的薄弱環(huán)節(jié)（包括防病毒），以改善系統(tǒng)的安全特性。它們是： n 增強(qiáng)的身份鑒別產(chǎn)品，如RSA的SecurID,SecureComputing的SafeWord等。 n 增強(qiáng)的訪問(wèn)控制產(chǎn)品，如CA的eTrust AccessControl，即著名的SeOS。 n 防病毒系統(tǒng)，如趨勢(shì)科技公司(Trend Micro)的產(chǎn)品是不錯(cuò)的選擇。2、采用有效的監(jiān)控和審查機(jī)制，對(duì)相關(guān)系統(tǒng)進(jìn)行定期、持續(xù)的審查和監(jiān)控l 使用具有漏洞知識(shí)庫(kù)的安全掃描軟件對(duì)系統(tǒng)的安全進(jìn)行實(shí)時(shí)審查，以驗(yàn)證現(xiàn)有被審查系統(tǒng)的安全特性。l 對(duì)系統(tǒng)中發(fā)生的事件進(jìn)行監(jiān)控和審查，根據(jù)入侵知識(shí)庫(kù)的信息，及時(shí)發(fā)現(xiàn)正在進(jìn)行或即將進(jìn)行的入侵或破壞行為。3、部署必要的技術(shù)和產(chǎn)品在安全機(jī)制失效的情況下采取正確、及時(shí)、有效的措施l 及時(shí)報(bào)警，以爭(zhēng)取管理和技術(shù)人員及時(shí)介入，專門的實(shí)時(shí)檢測(cè)產(chǎn)品和某些具有識(shí)別攻擊企圖的防火墻產(chǎn)品能夠在發(fā)生危險(xiǎn)事件時(shí)向系統(tǒng)管理員報(bào)告。l 在入侵正在進(jìn)行時(shí)自動(dòng)或通過(guò)人工干預(yù)以中止威脅系統(tǒng)安全的行為，入侵檢測(cè)系統(tǒng)具備根據(jù)管理員的配置對(duì)某些入侵事件作出響應(yīng)的功能。l 在系統(tǒng)遭到破壞時(shí)在盡可能短的時(shí)間內(nèi)恢復(fù)系統(tǒng)的運(yùn)轉(zhuǎn)。4、追蹤最新安全動(dòng)態(tài)與咨詢安全廠商網(wǎng)絡(luò)設(shè)備不斷翻新，網(wǎng)絡(luò)協(xié)議不斷更新和出現(xiàn)，新系統(tǒng)漏洞不斷產(chǎn)生以及新的攻擊手法不斷出現(xiàn)，決定了我們對(duì)網(wǎng)絡(luò)安全的保障措施必須不斷追蹤最新安全動(dòng)態(tài)，并不斷咨詢安全廠商?？梢圆捎靡幌麓胧簂 聘請(qǐng)網(wǎng)絡(luò)安全專家作為網(wǎng)絡(luò)信息系統(tǒng)的安全顧問(wèn)；l 網(wǎng)絡(luò)安全管理員經(jīng)常瀏覽國(guó)際上一些著名網(wǎng)絡(luò)安全組織的信息主頁(yè)，了解最新技術(shù)動(dòng)態(tài)，獲取系統(tǒng)和網(wǎng)絡(luò)安全軟件；l 加入有關(guān)Maillist或新聞組，獲取最新安全技術(shù)；l 定期進(jìn)行全面的網(wǎng)絡(luò)安全評(píng)估，分析當(dāng)前系統(tǒng)和網(wǎng)絡(luò)環(huán)境，找出安全弱點(diǎn)，作出正確安全建議。5、防火墻、入侵檢測(cè)系統(tǒng)、漏洞掃描和防病毒多層次、多方位的安全保障措施對(duì)于如何采取技術(shù)手段獲得全面安全保障，業(yè)界已取得共識(shí)：防火墻、入侵檢測(cè)系統(tǒng)和漏洞掃描、防病毒幾個(gè)方面缺一不可。這樣，一個(gè)入侵者將面對(duì)防火墻、入侵檢測(cè)系統(tǒng)和加固了的目標(biāo)系統(tǒng)這樣幾道屏障，一來(lái)大大增加了安全度，二來(lái)也增加了審核信息的數(shù)量，利用這些審核信息可以追蹤到入侵者。2.4 網(wǎng)絡(luò)及安全需求分析通過(guò)多年的建設(shè)，紹興市國(guó)土資源局初步形成比較完善的綜合網(wǎng)絡(luò)，而且在這個(gè)網(wǎng)絡(luò)系統(tǒng)上承載著大量的關(guān)鍵性業(yè)務(wù)，包括業(yè)務(wù)、財(cái)務(wù)，管理等等許多重要應(yīng)用，這些業(yè)務(wù)運(yùn)轉(zhuǎn)緊密的依賴于市國(guó)土資源局內(nèi)部的復(fù)雜而完善的信息系統(tǒng)，因此只有信息系統(tǒng)高效、穩(wěn)定的運(yùn)行，才能保證業(yè)務(wù)正常運(yùn)轉(zhuǎn)，不會(huì)因信息系統(tǒng)的安全性問(wèn)題而帶來(lái)巨大損失。2.4.1 網(wǎng)絡(luò)安全需求概述2.4.1.1 主要網(wǎng)絡(luò)安全威脅網(wǎng)絡(luò)系統(tǒng)的可靠運(yùn)轉(zhuǎn)是基于通訊子網(wǎng)、計(jì)算機(jī)硬件和操作系統(tǒng)及各種應(yīng)用軟件等各方面、各層次的良好運(yùn)行。因此，它的風(fēng)險(xiǎn)將來(lái)自對(duì)紹興市國(guó)土資源局的各個(gè)關(guān)鍵點(diǎn)可能造成的威脅，這些威脅可能造成總體功能的失效。由于在這種廣域網(wǎng)分布式計(jì)算環(huán)境中，相對(duì)于過(guò)去的局域網(wǎng)、主機(jī)環(huán)境、單機(jī)環(huán)境，安全問(wèn)題變得越來(lái)越復(fù)雜和突出，所以網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析成為制定有效的安全管理策略和選擇有作用的安全技術(shù)實(shí)施措施的基礎(chǔ)。安全保障不能完全基于思想教育或信任。而應(yīng)基于“最低權(quán)限”和“相互監(jiān)督”的法則，減少保密信息的介入范圍，盡力消除使用者為使用資源不得不信任他人或被他人信任的問(wèn)題，建立起完整的安全控制體系和保證體系。u 網(wǎng)絡(luò)安全威脅網(wǎng)絡(luò)的開放性和資源共享是安全問(wèn)題的主要根源。信息系統(tǒng)所受到的威脅主要有：1、來(lái)自內(nèi)部的竊密和破壞：l 內(nèi)部涉密人員有意或無(wú)意泄密、更改記錄信息；l 內(nèi)部非授權(quán)人員有意竊取機(jī)密信息、更改記錄信息；l 內(nèi)部人員破壞信息系統(tǒng)；2、非法訪問(wèn)：l 非法用戶進(jìn)入網(wǎng)絡(luò)或系統(tǒng)；l 合法用戶越權(quán)操作3、破壞信息的完整性：l 篡改：改變信息流的次序、時(shí)序或流向，更改信息的內(nèi)容或形式l 刪除：刪除某條數(shù)據(jù)或數(shù)據(jù)的某些部分l 插入：在數(shù)據(jù)中插入一些信息4、冒充：l 冒充超級(jí)管理員，調(diào)閱秘密文件l 冒充主機(jī)欺騙合法主機(jī)及合法用戶l 冒充網(wǎng)絡(luò)控制程序套取或修改使用權(quán)限、通行字、密鑰等信息，越權(quán)使用網(wǎng)絡(luò)設(shè)備和資源l 接管合法用戶，欺騙系統(tǒng)，占用合法用戶的資源5、破壞系統(tǒng)的可用性：l 使合法用戶不能正常訪問(wèn)網(wǎng)絡(luò)資源、使有嚴(yán)格時(shí)間要求的服務(wù)不能及時(shí)得到響應(yīng)l 摧毀系統(tǒng)6、其他安全威脅：l 計(jì)算機(jī)病毒l 操作失誤u 安全管理問(wèn)題網(wǎng)絡(luò)安全體系建立的一個(gè)重要因素就是要有良好的網(wǎng)絡(luò)安全管理制度和規(guī)范，安全體系得到有效利用，與嚴(yán)格的人員管理分不開的?，F(xiàn)有的信息系統(tǒng)，絕大多數(shù)都缺少安全管理員，缺少信息系統(tǒng)安全管理的技術(shù)規(guī)范，沒(méi)有定期的安全測(cè)試與檢查，更沒(méi)有安全監(jiān)控。許多使用人員沒(méi)有明確的安全意識(shí)，國(guó)內(nèi)許多信息系統(tǒng)已經(jīng)使用了許多年了，計(jì)算機(jī)的系統(tǒng)管理員與用戶的注冊(cè)還是缺省狀態(tài)。概括的來(lái)說(shuō)：在紹興市國(guó)土資源局網(wǎng)絡(luò)中存在著以下幾個(gè)常見(jiàn)的安全問(wèn)題：1. 整個(gè)信息系統(tǒng)與外部網(wǎng)絡(luò)的連接沒(méi)有安全防范，網(wǎng)絡(luò)之間的通信沒(méi)有嚴(yán)格的安全策略；2. 將來(lái)的信息系統(tǒng)中會(huì)存在許多遠(yuǎn)程的訪問(wèn)用戶和單位，對(duì)這些遠(yuǎn)程用戶和單位缺乏嚴(yán)格的訪問(wèn)控制規(guī)劃；3. 信息系統(tǒng)內(nèi)部缺乏對(duì)網(wǎng)絡(luò)及主機(jī)設(shè)備的監(jiān)控，以及對(duì)網(wǎng)絡(luò)資源使用的監(jiān)控，缺乏對(duì)網(wǎng)絡(luò)設(shè)備及主機(jī)的抗攻擊能力的評(píng)估；4. 對(duì)互聯(lián)網(wǎng)出口沒(méi)有嚴(yán)格的訪問(wèn)限制，及冗余措施；5. 沒(méi)有統(tǒng)一立體的防病毒體系，抵抗源于各個(gè)方面的病毒入侵；6. 缺乏嚴(yán)格的安全制度管理，以降低人為因素的信息系統(tǒng)安全風(fēng)險(xiǎn)。2.4.1.2 網(wǎng)絡(luò)安全現(xiàn)狀目前，對(duì)網(wǎng)絡(luò)安全采取的主要措施有：1. 利用操作系統(tǒng)、數(shù)據(jù)庫(kù)、電子郵件、應(yīng)用系統(tǒng)本身的安全性，對(duì)用戶進(jìn)行權(quán)限控制；2. 某些桌面防病毒軟件。實(shí)際上，僅靠以上的安全措施，不能達(dá)到整體網(wǎng)絡(luò)安全的要求。2.4.1.3 系統(tǒng)安全目標(biāo)基于以上的分析，我們認(rèn)為紹興市國(guó)土資源局網(wǎng)絡(luò)安全應(yīng)該實(shí)現(xiàn)以下內(nèi)容：1. 建立一套完備可行的網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理策略；2. 在內(nèi)外網(wǎng)上設(shè)置隔離手段，將內(nèi)部網(wǎng)與其他網(wǎng)絡(luò)隔離；3. 建立全面的用戶權(quán)限認(rèn)證體系，健全系統(tǒng)訪問(wèn)日志，提供有效的監(jiān)督機(jī)制；4. 實(shí)現(xiàn)安全認(rèn)證和數(shù)字簽名技術(shù)，保證通訊安全和通訊的不可抵賴性；5. 對(duì)內(nèi)部用戶進(jìn)行嚴(yán)格的訪問(wèn)控制及權(quán)限分配；6. 及時(shí)發(fā)現(xiàn)黑客攻擊活動(dòng)，提出報(bào)警，并自動(dòng)采取相應(yīng)對(duì)策；7. 建立完整的系統(tǒng)防病毒體系，防止病毒的侵害；8. 提供監(jiān)控和安全維護(hù)工具，及時(shí)分析和排除網(wǎng)絡(luò)故障；9. 加強(qiáng)人員管理，提高全體人員的網(wǎng)絡(luò)安全意識(shí)和防范技術(shù)。2.4.2 網(wǎng)絡(luò)安全系統(tǒng)總體規(guī)劃網(wǎng)絡(luò)安全方案必須架構(gòu)在科學(xué)的安全體系和安全框架之上。安全框架是安全方案設(shè)計(jì)和分析的基礎(chǔ)。為了系統(tǒng)地描述和分析安全問(wèn)題，本節(jié)將通過(guò)對(duì)紹興市國(guó)土資源局網(wǎng)絡(luò)分析各個(gè)層次可能存在的安全漏洞和安全風(fēng)險(xiǎn)，按照網(wǎng)絡(luò)安全系統(tǒng)的總體規(guī)劃以及相應(yīng)的國(guó)內(nèi)國(guó)際安全標(biāo)準(zhǔn)，提出我們的解決方案。本節(jié)，我們將針對(duì)以上的內(nèi)容，提出解決紹興市國(guó)土資源局網(wǎng)絡(luò)的安全問(wèn)題的全局方案，其中討論針對(duì)的問(wèn)題和所采用的相應(yīng)技術(shù)，主要包括以下內(nèi)容：1. 應(yīng)用防火墻技術(shù)，控制訪問(wèn)權(quán)限，實(shí)現(xiàn)網(wǎng)絡(luò)安全集中管理；2. 應(yīng)用VPN功能，保證數(shù)據(jù)傳輸過(guò)程中的保密性；3. 應(yīng)用入侵檢測(cè)技術(shù)保護(hù)主機(jī)資源，防止非法訪問(wèn)和惡意攻擊；4. 應(yīng)用安全掃描技術(shù)主動(dòng)探測(cè)網(wǎng)絡(luò)安全漏洞，進(jìn)行網(wǎng)絡(luò)安全評(píng)估；5. 應(yīng)用認(rèn)證和數(shù)字簽名技術(shù)，保證通訊過(guò)程中通訊雙方的身份認(rèn)可，同時(shí)實(shí)現(xiàn)通訊的不可抵賴要求；6. 網(wǎng)絡(luò)版防殺病毒軟件，保證網(wǎng)絡(luò)不被病毒感染，萬(wàn)一感染后的及時(shí)清除，不會(huì)因?yàn)椴《径绊懢W(wǎng)絡(luò)工作效率。2.5 系統(tǒng)安全建設(shè)的實(shí)施根據(jù)紹興市國(guó)土資源局網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)特點(diǎn)、安全需求等角度，我們建議紹興市國(guó)土資源局網(wǎng)絡(luò)安全建設(shè)實(shí)施應(yīng)該具備以下方面：從整個(gè)紹興市國(guó)土資源局網(wǎng)絡(luò)系統(tǒng)考慮，要保證整個(gè)網(wǎng)絡(luò)系統(tǒng)的專網(wǎng)特性和整個(gè)專網(wǎng)對(duì)外部的安全性，鏈路傳輸?shù)陌踩宰顬橹匾?，在市?guó)土資源局到縣國(guó)土資源局、市國(guó)土資源局到辦事處的出口處都加上VPN設(shè)備，這樣從市國(guó)土資源局向下一直到縣國(guó)土資源局就組成一個(gè)虛擬專網(wǎng)，保證了數(shù)據(jù)傳輸?shù)募用苄?。從每個(gè)局域網(wǎng)的安全需求來(lái)考慮，在各處局域網(wǎng)出口處放置防火墻，重要服務(wù)器都放置再DMZ區(qū)來(lái)保證局域網(wǎng)及服務(wù)器組對(duì)外的安全。防火墻與VPN功能可以集成在一起，確保網(wǎng)絡(luò)以及子網(wǎng)邊界安全以及各子網(wǎng)之間數(shù)據(jù)傳輸?shù)陌踩A(chǔ)上的成本控制。對(duì)整個(gè)廣域網(wǎng)絡(luò)作為一個(gè)整體來(lái)防止病毒入侵，便于管理和控制。防病毒產(chǎn)品的配置置為：在市國(guó)土資源局安裝一級(jí)病毒服務(wù)器，縣國(guó)土資源局裝二級(jí)病毒服務(wù)器。同時(shí)在市國(guó)土資源局放置一級(jí)控制臺(tái)、縣國(guó)土資源局放置二級(jí)控制臺(tái)來(lái)進(jìn)行分級(jí)管理。病毒庫(kù)更新也采用統(tǒng)一更新。由市國(guó)土資源局的一級(jí)服務(wù)器定時(shí)下載更新病毒庫(kù)，然后由一級(jí)服務(wù)器向二級(jí)服務(wù)器分發(fā)更新的病毒庫(kù)，再由二級(jí)服務(wù)器分發(fā)到客戶端，保證在病毒升級(jí)過(guò)程中，不會(huì)產(chǎn)生網(wǎng)絡(luò)到INTERNET出口的安全隱患和帶寬浪費(fèi)。每臺(tái)服務(wù)器都有安全漏洞隱患，解決辦法是安全評(píng)估，建議由專業(yè)安全工程師使用SCANNER等工具和人工對(duì)它們進(jìn)行安全評(píng)估，并用相應(yīng)的技術(shù)和工具,制定具體的安全策略對(duì)服務(wù)器和重要主機(jī)進(jìn)行加固，使安全隱患降到最低。為能夠在非法入侵者攻擊網(wǎng)絡(luò)特別是重要服務(wù)器時(shí)作出及時(shí)響應(yīng)，可在每個(gè)局域網(wǎng)的服務(wù)器區(qū)放置基于網(wǎng)絡(luò)的IDS，如有特別重要的服務(wù)器，可以加上基于主機(jī)的IDS。為保證整個(gè)網(wǎng)絡(luò)的下級(jí)終端安全登錄數(shù)據(jù)庫(kù)等重要服務(wù)器，從而避免非法用戶的入侵，建議使用身份認(rèn)證系統(tǒng)。整個(gè)網(wǎng)絡(luò)使用一個(gè)認(rèn)證體系，認(rèn)證服務(wù)器設(shè)在市國(guó)土資源局，由它來(lái)分派身份權(quán)限，這樣當(dāng)下級(jí)登錄上級(jí)時(shí)都必須通過(guò)身份認(rèn)證時(shí)才能完成。下圖為經(jīng)過(guò)優(yōu)化和實(shí)施網(wǎng)絡(luò)安全整體防護(hù)體系保護(hù)的紹興市國(guó)土資源局網(wǎng)絡(luò)拓?fù)洌?.5.1 防火墻系統(tǒng)的設(shè)計(jì)防火墻是解決子網(wǎng)的邊界安全問(wèn)題、實(shí)現(xiàn)網(wǎng)絡(luò)訪問(wèn)控制的有效解決方法。在紹興市國(guó)土資源局網(wǎng)絡(luò)中，我們按照地理區(qū)域劃分子網(wǎng)。并考慮整個(gè)網(wǎng)絡(luò)同其他網(wǎng)絡(luò)之間的邊界以及子網(wǎng)之間的邊界安全。根據(jù)紹興市國(guó)土資源局網(wǎng)絡(luò)系統(tǒng)的特點(diǎn)，可以使用防火墻解決專網(wǎng)的邊界安全問(wèn)題、實(shí)現(xiàn)網(wǎng)絡(luò)訪問(wèn)控制，因此對(duì)防火墻的配置為：紹興市國(guó)土資源局、縣國(guó)土資源局的各種服務(wù)器、以及個(gè)人電腦單獨(dú)劃開，通過(guò)防火墻的多個(gè)網(wǎng)口將不同的功能區(qū)域劃分開，將防火墻作為各種不同區(qū)域的分割點(diǎn)。因此，防火墻可以進(jìn)行邊界安全的防護(hù)，來(lái)保護(hù)整個(gè)局域網(wǎng)。一般防火墻有三個(gè)接口，外網(wǎng)、內(nèi)網(wǎng)、DMZ區(qū)，把防火墻配置在路由器之后，再經(jīng)過(guò)防火墻到內(nèi)網(wǎng)和DMZ區(qū)，服務(wù)器組設(shè)在DMZ區(qū)，除對(duì)外提供服務(wù)以為個(gè)人電腦作為內(nèi)網(wǎng)來(lái)保護(hù)。其中防火墻加裝有VPN模塊，保證與下級(jí)單位數(shù)據(jù)傳輸安全。由于各個(gè)縣國(guó)土資源局內(nèi)部局域網(wǎng)絡(luò)結(jié)構(gòu)相當(dāng)，所以針對(duì)防火墻的配置結(jié)構(gòu)大致相同，對(duì)于結(jié)構(gòu)特殊，情況有所出入的地點(diǎn)也可以針對(duì)具體情況具體分析，對(duì)放置方法做相應(yīng)改動(dòng)。在關(guān)鍵業(yè)務(wù)網(wǎng)絡(luò)上，應(yīng)該考慮防火墻的高可用性，來(lái)減少網(wǎng)絡(luò)的單點(diǎn)故障和流量的負(fù)載平衡。防火墻的主要功能：l 包過(guò)濾包過(guò)濾（Packet Filter）是在網(wǎng)絡(luò)層、傳輸層中對(duì)數(shù)據(jù)包實(shí)施有選擇的通過(guò)。如當(dāng)你從Internet上下載文件或收發(fā)E-mail時(shí)，防火墻監(jiān)測(cè)每一個(gè)進(jìn)入或離開的數(shù)據(jù)包，依據(jù)系統(tǒng)內(nèi)設(shè)定的過(guò)濾規(guī)則，根據(jù)數(shù)據(jù)包的源地址、目的地址、所用的端口與鏈路狀態(tài)等因素來(lái)確定是否允許數(shù)據(jù)包通過(guò)。防火墻定義了多種包過(guò)濾方式：IP源地址和IP目標(biāo)地址：數(shù)據(jù)包經(jīng)過(guò)防火墻時(shí)，防火墻就會(huì)檢查目標(biāo)地址和源地址，然后根據(jù)規(guī)則決定是否允許該包通過(guò)。服務(wù)類型：取舍以一個(gè)特殊服務(wù)為基礎(chǔ)的信息流協(xié)議：如IP、ICMP、TCP、UDP、SMTP等MAC地址：在MAC層上執(zhí)行包過(guò)濾檢測(cè)日期和時(shí)間：包括起始時(shí)間、終止時(shí)間，區(qū)間從年、月、日直至小時(shí)、分鐘域名：根據(jù)用戶的需求對(duì)特定站點(diǎn)（URL）進(jìn)行過(guò)濾。l 網(wǎng)絡(luò)地址轉(zhuǎn)換-NAT防火墻提供了多種NAT方式，使防火墻在復(fù)雜的網(wǎng)絡(luò)環(huán)境可以進(jìn)行靈活的設(shè)置而不降低對(duì)安全性的需求。靜態(tài)映射：一對(duì)一轉(zhuǎn)換類型，所有從“源地址”網(wǎng)絡(luò)發(fā)出的IP包，經(jīng)過(guò)防火墻后，IP包的源地址更換為“映射IP地址”，源端口號(hào)不變；返回?cái)?shù)據(jù)包作相應(yīng)的反向變換；適用于需要將一個(gè)內(nèi)部服務(wù)器或主機(jī)映射為“注冊(cè)IP”服務(wù)器或主機(jī)的情況。動(dòng)態(tài)映射：多對(duì)一的轉(zhuǎn)換類型，可以將內(nèi)網(wǎng)中一個(gè)子網(wǎng)映射成外網(wǎng)的一個(gè)合法地址。經(jīng)過(guò)了兩個(gè)的網(wǎng)絡(luò)之間的動(dòng)態(tài)映射后，其中一臺(tái)內(nèi)網(wǎng)的主機(jī)經(jīng)過(guò)防火墻后，自動(dòng)轉(zhuǎn)化成外網(wǎng)中的合法地址。反向映射：當(dāng)外部主機(jī)對(duì)內(nèi)網(wǎng)中的某臺(tái)主機(jī)主動(dòng)發(fā)起連接時(shí)，需要進(jìn)行反向映射，將外網(wǎng)的一個(gè)合法地址的某個(gè)端口指向內(nèi)網(wǎng)中的某臺(tái)主機(jī)的某個(gè)端口，這個(gè)合法地址與防火墻外網(wǎng)口在一個(gè)網(wǎng)段中。如此的話，如果外網(wǎng)訪問(wèn)該合法地址時(shí)，防火墻將數(shù)據(jù)包目的地址和端口自動(dòng)轉(zhuǎn)換成內(nèi)網(wǎng)中的主機(jī)地址及對(duì)應(yīng)端口。l 安全簡(jiǎn)單的管理方式系統(tǒng)管理員通過(guò)一個(gè)防火墻管理軟件建立、維護(hù)安全策略，加載安全規(guī)則防火墻。防火墻采用B/S結(jié)構(gòu),可以使用各種瀏覽器(IE, Netscape等)對(duì)防火墻進(jìn)行安全策略與規(guī)則的配置及審計(jì)信息的維護(hù)等，為集中管理、執(zhí)行安全策略提供了強(qiáng)有力的工具。使用防火墻的內(nèi)置WEB服務(wù)器可以實(shí)現(xiàn)防火墻的遠(yuǎn)程管理或本地管理，同時(shí)也可通過(guò)命令行界面對(duì)防火墻進(jìn)行本地管理。安全策略編輯器：維護(hù)規(guī)則庫(kù)，添加、編輯、刪除規(guī)則，加載規(guī)則到防火墻系統(tǒng)上。日志管理器：提供可視化的對(duì)所有通過(guò)防火墻網(wǎng)關(guān)的連接跟蹤、監(jiān)視和統(tǒng)計(jì)信息，提供實(shí)時(shí)報(bào)警和入侵檢測(cè)及阻斷功能。系統(tǒng)狀態(tài)查看器：提供實(shí)時(shí)的系統(tǒng)狀態(tài)、審計(jì)和報(bào)警功能。l 實(shí)時(shí)日志與報(bào)警記錄由于所有進(jìn)出的信息包都必須經(jīng)過(guò)防火墻，防火墻非常適用于收集關(guān)于系統(tǒng)和網(wǎng)絡(luò)使用和誤用的信息。作為訪問(wèn)的唯一點(diǎn)，防火墻能在被保護(hù)的網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間進(jìn)行記錄。這些記錄可以清楚地知道防火墻是否能夠抵擋攻擊者的探測(cè)和攻擊？防火墻的控制是否有效？網(wǎng)絡(luò)是否存在著安全威脅等等。通過(guò)防火墻的實(shí)時(shí)日志和報(bào)警記錄，使網(wǎng)絡(luò)管理員能夠?qū)崟r(shí)地監(jiān)控網(wǎng)絡(luò)狀態(tài)。我們?cè)谶x擇防火墻時(shí)，考慮到了衡量防火墻性能的五大指標(biāo)：1、吞吐量：該指標(biāo)直接影響網(wǎng)絡(luò)的性能，是指防火墻在不丟包的情況下能夠達(dá)到的最大速率。2、時(shí)延： 入口處輸入幀最后一個(gè)比特到達(dá)至出口處輸出幀的第1個(gè)比特輸出所用的時(shí)間間隔。3、丟包率：在穩(wěn)態(tài)負(fù)載下，應(yīng)由網(wǎng)絡(luò)設(shè)備傳輸，但由于資源缺乏而被丟棄的幀的百分比。4、背靠背：從空閑狀態(tài)開始，以達(dá)到傳輸介質(zhì)最小合法間隔極限的傳輸速率發(fā)送相當(dāng)數(shù)量的固定長(zhǎng)度的幀，當(dāng)出現(xiàn)第一個(gè)幀丟失時(shí)，發(fā)送的幀數(shù)。5、并發(fā)連接數(shù)：并發(fā)連接數(shù)是指穿越防火墻的主機(jī)之間或主機(jī)與防火墻之間能同時(shí)建立的最大連接數(shù)。此外，我們還考慮到了以下不容忽視的兩個(gè)要素： 1. 防火墻管理的難易度 防火墻管理的難易度是防火墻能否達(dá)到目的的主要考慮因素之一；2. 防火墻自身的安全性 大多數(shù)人在選擇防火墻時(shí)都將注意力放在防火墻如何控制連接以及防火墻支持多少種服務(wù)，但往往忽略了一點(diǎn)：防火墻也是網(wǎng)絡(luò)上的主機(jī)之一，也可能存在安全問(wèn)題，防火墻如果不能確保自身安全，則防火墻的控制功能再?gòu)?qiáng)，也不能完全保護(hù)內(nèi)部網(wǎng)絡(luò)。 2.5.2 VPN的設(shè)計(jì)實(shí)施VPN是利用公網(wǎng)來(lái)構(gòu)建專用網(wǎng)絡(luò)，它是通過(guò)特殊設(shè)計(jì)的硬件和軟件直接通過(guò)共享的IP網(wǎng)所建立的隧道來(lái)完成的。我們通常將 VPN當(dāng)作 WAN解決方案，但它也可以簡(jiǎn)單地用于 LAN。VPN類似于點(diǎn)到點(diǎn)直接撥號(hào)連接或租用線路連接，盡管它是以交換和路由的方式工作，在大多數(shù)情況下，在VPN上傳輸?shù)臄?shù)據(jù)流是經(jīng)過(guò)加密處理的。使用VPN，紹興市國(guó)土資源局內(nèi)部資源享用者只需連入本地ISP的POP（介入服務(wù)提供點(diǎn)）即可相互通信。而利用傳統(tǒng)的WAN組網(wǎng)技術(shù)，彼此之間要有專線相連才可達(dá)到相同目的。在紹興市國(guó)土資源局網(wǎng)絡(luò)互聯(lián)中，可以采用VPN的工作形式，在較低的投資情況下保證數(shù)據(jù)傳輸?shù)陌踩?。本方案建議在各處，包括紹興市國(guó)土資源局、各縣國(guó)土資源局的出口處加上VPN設(shè)備，其中VPN設(shè)備可以為專用設(shè)備或防火墻的一個(gè)功能模塊，而在各辦事處采用VPN客戶端軟件來(lái)建立到上級(jí)的VPN隧道。這樣，可使保障整個(gè)網(wǎng)絡(luò)的虛擬通道，確保全網(wǎng)的鏈路安全。配置VPN設(shè)備應(yīng)具有：1）安全保障性；2）服務(wù)質(zhì)量保證（QoS）性；3）網(wǎng)絡(luò)優(yōu)化性；4）可擴(kuò)充性和靈活性；5）可管理性。VPN介紹：公網(wǎng)開“隧道”VPN的核心是被稱為“隧道”的技術(shù)。隧道允許 VPN的數(shù)據(jù)流被路由通過(guò) IP網(wǎng)絡(luò)而不管生成該數(shù)據(jù)流的是何種類型的網(wǎng)絡(luò)或設(shè)備。從這個(gè)意義上說(shuō)，VPN的操作獨(dú)立于其他的網(wǎng)絡(luò)協(xié)議，隧道內(nèi)的數(shù)據(jù)流可以是IP、IPX、AppleTalk或其他類型的數(shù)據(jù)包。 隧道技術(shù)的核心是隧道協(xié)議。由 3Com公司和 Microsoft公司合作開發(fā)的點(diǎn)對(duì)點(diǎn)隧道協(xié)議 (PPTP)是第一個(gè)廣泛使用來(lái)建立 VPN的協(xié)議。目前，Windows 95、98和 NT 4.0都支持 PPTP，這就使絕大多數(shù)的桌面計(jì)算機(jī)可以初始化一個(gè) VPN。PPTP可以將其他類型協(xié)議的數(shù)據(jù)包提取出來(lái)，然后封裝在一個(gè)PPTP包中，這樣就可以支持客戶機(jī) - LAN（例如：移動(dòng)用戶到園區(qū) LAN）和 LAN - LAN（例如：銷售機(jī)構(gòu)到園區(qū) LAN）兩種隧道。 2.5.3 防病毒的設(shè)計(jì)實(shí)施由于病毒的特性決定了在實(shí)施網(wǎng)絡(luò)防病毒時(shí)必須由紹興市國(guó)土資源局規(guī)劃統(tǒng)一進(jìn)行，病毒服務(wù)器放置時(shí)，在紹興市國(guó)土資源局、縣國(guó)土資源局都規(guī)劃一個(gè)服務(wù)器組。在紹興市國(guó)土資源局、縣國(guó)土資源局都設(shè)置控制臺(tái)，紹興市國(guó)土資源局為一級(jí)控制臺(tái)，各縣國(guó)土資源局為二級(jí)控制臺(tái)。在設(shè)置病毒庫(kù)升級(jí)時(shí)，整個(gè)廣域網(wǎng)由下級(jí)通過(guò)上級(jí)升級(jí)，最后由紹興市國(guó)土資源局到公網(wǎng)上升級(jí)更新病毒庫(kù)。在選擇防毒軟件時(shí)，應(yīng)確定防病毒軟件達(dá)到或具有以下功能：l 能夠在中心控制臺(tái)上向多個(gè)目標(biāo)系統(tǒng)分發(fā)新版殺毒軟件；l 能夠在中心控制臺(tái)上對(duì)多個(gè)目標(biāo)系統(tǒng)監(jiān)視病毒防治情況；l 支持多種平臺(tái)的病毒防范；l 能夠識(shí)別廣泛的已知和未知病毒，包括宏病毒；l 支持對(duì)服務(wù)器的病毒防治，能夠阻止惡意的小程序破壞l 支持對(duì)電子郵件附件的病毒防治，包括WORD/EXCEL中的宏病毒l 支持對(duì)壓縮文件的病毒檢測(cè)； l 持廣泛的病毒處理選項(xiàng)，如實(shí)時(shí)殺毒、移出、刪除、重新命名等；l 支持病毒隔離，當(dāng)客戶機(jī)試圖上載染毒文件時(shí)，服務(wù)器可自動(dòng)關(guān)閉對(duì)該工作站的連接；l 提供對(duì)病毒特征信息和檢測(cè)引擎的定期在線更新服務(wù)；l 支持日志記錄功能；l 支持多種方式的告警功能（聲音、圖像、e-mail等）。2.5.4 風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估（Vulnerability Asse