系统安全性设计方案.docx

系统安全性 项目符合对应的数据安全标准。通过对存储系统的性能、使用情况、操作情况、安全情况和流量情况的监测，满足相关审计法规的要求。在不损失数据内容的前提下，保护敏感数据，能做到透明管理，并提供支持同原始数据相同的业务能力。 网络系统安全 实现网络层的安全防护和监控预警，主要包括网络层DDOS防护、流量监控管理、网络安全隔离、入侵检测和APT攻击监测分析等系统。 DDOS防护 异常流量的清洗过滤： 通过DDOS硬件防火墙对异常流量的清洗过滤，通过数据包的规则过滤、数据流指纹检测过滤、及数据包内容定制过滤等顶尖技术能准确判断外来访问流量是否正常，进一步将异常流量禁止过滤。单台负载每秒可防御800-927万个syn攻击包。 分布式集群防御： 这是目前网络安全界防御大规模DDOS攻击的最有效办法。分布式集群防御的特点是在每个节点服务器配置多个IP地址，并且每个节点能承受不低于10G的DDOS攻击，如一个节点受攻击无法提供服务，系统将会根据优先级设置自动切换另一个节点，并将攻击者的数据包全部返回发送点，使攻击源成为瘫痪状态，从更为深度的安全防护角度去影响的安全执行决策。 高防智能DNS解析： 高智能DNS解析系统与DDOS防御系统的完美结合，为提供对抗新兴安全威胁的超级检测功能。它颠覆了传统一个域名对应一个镜像的做法，智能根据用户的上网路线将DNS解析请求解析到用户所属网络的服务器。同时智能DNS解析系统还有宕机检测功能，随时可将瘫痪的服务器IP智能更换成正常服务器IP，为的网络保持一个永不宕机的服务状态。 流量监控管理 全面透视网络流量，快速发现与定位网络故障 从整体、应用、员工多个角度透视网络流量。通过对出口带宽利用率、应用流量排名、员工流量排名、主要流量流向、主要使用端口、员工流量排名、部门流量排名、网络的质量、连接成功率、数据重传率等反映网络真实状况等数据与指标的分析，为设置流量管理策略提供依据。所有实时分析每5秒刷新一次，方便及时发现网络问题；并可通过几次鼠标点击操作就可以快速定位到出现异常或故障的主机或应用。 2.保障关键应用的稳定运行，确保重要员工顺畅地使用网络 支持多种智能带宽保障模式，满足关键业务（VPN、ERP、OA、视频会议、邮件等业务）与重要员工的带宽保障需求。动态保障这些业务与员工所需的带宽，在其需要使用网络时得到带宽的保障，优先使用网络；在其空闲的时候，带宽可以被其他业务或者员工使用。在不增加带宽的前提下，提升被保障业务与员工访问互联网的质量与速度。 3.限制与工作无关的流量，防止对带宽的滥用 对那些与工作无关且会消耗大量带宽的信息流，如P2P下载、网络视频、娱乐信息流、可疑数据流等进行必要的限制，减少其对网络资源的占用，提高员工与办公业务的上网速度。 网络安全隔离 防火墙 安全域的核心交换机和 IT 支撑系统互联网接入域交换机只能与网络及安全防护设备互联，不能直连服务器设备。 防火墙技术是目前网络边界防护最成熟的和最常见的技术。采用防火墙技术， 重点保护综合应用系统平台的安全，阻止非法访问和滥用系统资源的网络行为。同时，需要启用防火墙的蠕虫病毒检测控制功能，有效抵御 blaster，nachi， nimda，redcode，Sasser，slapper，sqlexp，zotob 等主流蠕虫病毒，避免对平台服务器的影响。在平台局域网入口边界部署防火墙，基于 IP 地址、服务端口、IP 协议、用户、时间等信息定义安全策略，可以有效控制非法网络访问行为。 通过在平台边界部署防火墙并正确配置安全策略，可以解决以下安全问题： 保护脆弱的服务,通过过滤不安全的服务，防火墙可以极大地提高网络安全和减少子网中主机的风险。例如，防火墙可以禁止 NIS、NFS 服务通过，防火墙同时可以拒绝源路由和 ICMP 重定向封包等安全威胁。 控制对系统的访问,防火墙可以灵活的部署安全策略，开放系统对外提供的合法服务。这使得系统各服务器隐藏在防火墙后面，避免全部暴露给普通计算机用户。 规范终端用户行为,防火墙作为边界安全防护设备，可以有效的控制终端用户与系统相关服务器的访问连接，通过合理的应用连接管理和良好的带宽控制管理将有效的保护服务器免受恶意攻击而消耗大量资源。 防火墙双机部署，可以灵活地工作在透明模式、路由模式甚至混合模式下，当主用设备发生故障后，可以快速切换到备用设备上，故障切换时间小于 1 秒钟，实现了高可靠的要求。 记录和统计网络日志,防火墙可以记录和统计通过防火墙的网络通讯， 提供关于网络使用的统计数据并对非法访问作记录日志，从防火墙或专门的日志服务器提供统计数据，来判断可能的攻击和探测，利用日志对入侵和非法访问进行跟踪以及事后分析。 防火墙必须部署在的外部边界上，但是它也可以安置在网络的内部，保护各网络段的数据安全。在内