1.1.2.2.1 设计目标
数据存储是系统的核心功能,也是系统安全运行的主要部件,用户的业务价值均最终体现在用户的数据上,因此在本项目的存储系统设计过程中,要达到以下目的:
建立独立灵活的数据存储系统; 可以提供网络级的数据共享访问; 具有多种设备级数据备份技术; 能够提供大容量的数据存储; 能够满足数据存储扩容的需要; 能够满足服务器扩容的需要。
1.1.2.2.2 备份和恢复解决方案
目前,对多个网络连接服务器的数据保护采用以下两种备份和恢复方法:本地备份和恢复、网络备份和恢复。
本地备份和恢复具有速度快的优势,网络备份和恢复是一种高性价比的方法,本项目建设的备份解决方案,将结合两种备份策略,实现数据的快速备份和恢复。
1.1.2.2.3 存储设计方案
数字化社区管理系统存储备份架构的设计采用IP网络存储。
其中数据库服务器集群、社区通服务器、等接入SAN存储区域;应用服务器、系统补丁/防病毒等由于系统特点无需接入SAN区域中,部分数据存放或取自数据库服务器。
1.1.2.2.4 存储部分配置
1、IP-SAN 存储
性能指标:存储处理器 64位多核处理器,缓存 单控2GB,双控4GB、8GB,控制器数量 1或2,主机端口 单控:4个1Gb iSCSI 或2个4×3Gb SAS 或4个4Gb FC 或2个1Gb iSCSI + 2个4Gb FC,双控:8个1Gb iSCSI 或4个4×3Gb SAS 或8个4Gb FC 或4个1Gb iSCSI + 4个4Gb FC,最大硬盘数量 96,硬盘规格 SATA硬盘:1TB/2TB 7200 rpm,SAS硬盘: 300GB/450GB/600GB 15K rpm,单框硬盘密度 12个/框,连接主机数量 256。LUNs 512,RAID支持 0、1、3、5、6、10、50,冗余保护 控制器、电源、风扇、BBU电池,操作系统兼容性 Windows、Linux、Solaris、HP-UX、AIX、VMware、XenServer 本次配置,8GE ISCSI接口,双控,200V交流电源,4GB缓存。5*300GB一体化SAS硬盘。
1.1.3 安全系统
1.1.3.1 建设目标
通过安全风险的分析,数字化社区管理系统的信息安全建设目标是:对数字化社区管理系统进行全方位的安全防范,确保其系统安全,同时保证系统的稳定运行。具体包括:
保护网络系统的可用性; 保护系统服务的连续性;
防范网络资源的非法访问及非授权访问; 防范入侵者的恶意攻击与破坏;
保护网络信息在存储、处理、传输等过程环节上的机密性、完整性 防范病毒的侵害; 实现网络的安全管理。
1.1.3.2 设计原则
数字化社区管理系统信息安全体系建设应按照“统一规划、统筹安排、统一标准、相互配套”的原则进行,避免重复投入、重复建设,充分考虑整体和局部的利益。
进行数字化社区管理系统安全体系设计、规划时,应遵循以下原则: 需求、风险、代价平衡分析的原则
对任何网络安全技术体系的规划、设计来说,必须明确安全需求的尺度。对网络面临的威胁、可能承担的风险及代价进行定性与定量分析,在三方面找出一个平衡的解决原则。
综合性、整体性原则
运用系统工程方法,分析安全问题,制定具体措施。把多环节、多层次的安全解决措施纳入一个整合的系统性规划设计之中。
一致性原则
网络安全问题与整个网络的工作周期(或生命周期)同时存在,安全体系结构必须与网络的安全需求相一致。 多重保护原则
任何安全保护措施都不是绝对安全的,都可能被攻破。多重保护原则是指各层保护相互补充,当一层保护被攻破时,其它层仍可保护。
适应性、灵活性原则
安全措施能随着网络性能及安全需求的变化而变化,便于定制,策略易于修改。
1.1.3.3 解决方案 1.1.3.3.1 安全隔离
数字社区应用系统与多个网络进行互联,本方案在网络互联时采用部署防火墙等方式实现不同网络之间的有效隔离。
防火墙是指设置在不同网络(如可信任的单位内部网和不可信的公共网)或网络安全域之间(如单位内部不同部门之间)的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据单位的安全政策控制(允许、拒
绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。
1.1.3.3.2 VPN网关
VPN网关设备集成IPSec VPN、SSL VPN、防火墙功能。可以低成本的实现和远程分支结构的网间互连;同时适合移动办公人员和合作伙伴的远程安全接入,特有的防火墙功能还可以有效保证企业网络的Internet入口安全。
1.1.3.3.3 入侵防御系统
为了以主动安全方式保证数字社区信息系统的安全,应考虑配置入侵防御系统。入侵防御系统(IPS)是一种智能化的入侵检测和防御产品,它不但能检测入侵的发生,而且能通过一定的响应方式,实时地中止入侵行为的发生和发展,实时地保护信息系统不受实质性的攻击。IPS使得IDS和防火墙走向统一。简单地理解,可认为IPS就是防火墙加上入侵检测系统。但并不是说IPS可以代替防火墙或入侵检测系统。防火墙是粒度比较粗的访问控制产品,它在基于TCP/IP协议的过滤方面表现出色,而且在大多数情况下,可以提供网络地址转换、服务代理、流量统计等功能,甚至有的防火墙还能提供VPN功能。和防火墙比较起来,IPS的功能比较单一,它只能串联在网络上(类似于通常所说的网桥式防火墙),对防火墙所不能过滤的攻击进行过滤。这样一个两级的过滤模式,可以最大地保证系统的安全。
1.1.3.3.4 防病毒系统
网络是病毒传播的最好、最快的途径之一。病毒程序可以通过网上下载、电子邮件、使用盗版光盘或软盘、人为投放等传播途径潜入内部网。因此,病毒的危害的不可以轻视的。网络中一旦有一台主机受病毒感染,则病毒程序就完全可能在极短的时间内迅速扩散,传播到网络上的所有主机,可能造成信息泄漏、文件丢失、机器死机等不安全因素。
病毒的攻击是造成网络损失的重要原因。从单机用户到网络用户和互联网用户都应制定病毒防护策略。保护今天各种网络免遭不断增长的计算机病毒和恶意
代码的威胁决非一项简单的工作。现在的病毒有55,000多种,加之每个月新产生的300多种病毒,因此保护有价值的数据不受病毒的攻击已迫在眉睫。对于数字化社区管理系统网络,全面部署防病毒系统,对网络系统进行全面的保护,从服务器到桌面,非常重要。
由于操作系统及应用程序的多样性,造就了计算机病毒机理的多样性;随着网络的发展,又为计算机病毒提供了更加简便快捷的传播方式。有鉴于此,当今防病毒技术必须具有一系列诸如时实监控性、支持多平台及各类服务应用程序之类技术为基础,对于新型病毒进行不间断监控、快速防治与控制为前提,才能为当今互联网时代提供真正的全方位的防病毒产品及技术。
技术要求
(1)能够在中心控制台上向多个目标系统分发新版杀毒软件; (2)能够在中心控制台上对多个目标系统监视病毒防治情况; (3)支持多种平台的病毒防范;
(4)能够识别广泛的已知和未知病毒,包括宏病毒; (5)支持对服务器的病毒防治,能够阻止恶意的小程序破坏 (6)持对电子邮件附件的病毒防治,包括WORD/EXCEL中的宏病毒 (7)支持对压缩文件的病毒检测;
(8)支持广泛的病毒处理选项,如实时杀毒、移出、删除、重新命名等; (9)支持病毒隔离,当客户机试图上载染毒文件时,服务器可自动关闭对该工作站的连接;
(10)提供对病毒特征信息和检测引擎的定期在线更新服务; (11)支持日志记录功能;
(12)支持多种方式的告警功能(声音、图像、E-mail等)。