公司內網絡安全檢查項有以下這些:
系統安全
運行系統安全即保證信息處理和傳輸系統的安全,側重于保證系統正常運行。避免因為系統的崩演和損壞而對系統存儲、處理和傳輸的消息造成破壞和損失。避免由于電磁泄翻,產生信息泄露,干擾他人或受他人干擾。
網絡的安全
網絡上系統信息的安全,包括用戶口令鑒別,用戶存取權限控制,數據存取權限、方式控制,安全審計。安全問題跟踩。計算機病毒防治,數據加密等。
信息傳播安全
網絡上信息傳播安全,即信息傳播后果的安全,包括信息過濾等。它側重于防止和控制由非法、有害的信息進行傳播所產生的后果,避免公用網絡上大云自由傳翰的信息失控。
信息內容安全
網絡上信息內容的安全側重于保護信息的保密性、真實性和完整性。避免攻擊者利用系統的安全漏洞進行竊聽、冒充、詐騙等有損于合法用戶的行為。其本質是保護用戶的利益和隱私。
網絡安全框架是由網絡安全專業機構制定的一套標準、準則和程序,旨在幫助組織了解和管理面臨的網絡安全風險。五大主流網絡安全框架:
NIST 網絡安全框架
NIST 框架的主要目的是幫助組織開發一致的迭代方法,以識別、評估和管理網絡安全風險,其保護的關鍵基礎設施可能由規模、復雜性和技術能力各異的公共或私營部門組織控制,因此,NIST 設計的框架具有廣泛適用性。
該框架的另一個優點是,它使用普遍適用的術語來幫助 IT 經理完成相關任務,如描述當前的網絡安全態勢、目標,識別并優先考慮改進的機會,評估網絡安全工作進展情況,向內外利益相關者告知網絡安全風險等。這種安全管理風險的綜合方法使 NIST 安全框架成為任何行業任何組織保護其基礎設施的較佳起點。
ISO/IEC 27001/ISO 27002
與 NIST CSF 相似,ISO 框架適用于所有類型和規模的組織。它們需要基于以下因素來分析組織的信息安全要求:評估組織面臨的風險,以識別威脅、易受影響的程度、發生的可能性以及潛在影響;組織必須履行的法律和合同義務;組織用于其業務運營的信息管理內部流程、程序和業務要求。這種分析將幫助組織確定適當的信息安全控制措施,以部署適用于組織的信息安全管理系統。
CIS 控制框架
互聯網安全中心 (CIS) 制定其關鍵安全控制框架的方式是,采用眾包模式,以識別最普遍的網絡威脅,并定義安全措施來防范這些威脅。該框架的最新版 CIS Controls Version 8 (截至 2021 年 5 月) 基于活動而不是設備、技術或人員,將這些保護措施歸納到 18 個控制組。其中一些活動包括企業資產的清點和控制、數據保護、電子郵件 Web 瀏覽器和保護、安全意識和技能培訓、事件響應管理、滲透測試。
該框架逐漸變得更易于使用,它根據每個組織的技術能力水平和可用資源,將每個 CIS 控制的保護措施分類到實施組。這種細化確保組織可以將適當的安全措施應用于其 IT 基礎設施,哪怕該組織的專業水平不高。
HIPAA
《醫療保險可攜性及責任性法案》(HIPAA) 是一部美國法律,規范了醫療保健組織處理信息的方式。由于信息技術開始在醫療保健業發揮更突出的作用,該法規新增了《HIPAA 安全規則》。該規則要求醫療服務提供者和企業組織維護醫療保健信息 (ePHI) 的機密性、完整性和安全性。
醫療保健行業管理個人身份信息 (PII_的組織必須遵守《HIPAA 安全規則》,該規則概述了信息安全合規的三大方面,包括采用規則和流程化的管理保障措施,明確組織將如何遵守該法案;針對受保護的數據提供物理訪問控制的物理保障措施;保護處理、存儲和傳輸數據的軟硬件系統技術保障措施。
PCI-DSS
如果組織從事金融服務業,需要處理持卡人信息,就應該了解《支付卡行業數據安全標準》(PCI-DSS)。支付卡行業安全標準委員會 (PCI SSC) 制定了這套框架,以應對越來越多的信用卡數據泄密事件。遵守 PCI-DSS 框架的組織須滿足六個控制目標,包括建立和維護安全的網絡和系統、保護持卡人數據、維護漏洞管理計劃、實施強有力的訪問控制措施、定期監控和測試網絡、維護信息安全政策。如今,在線交易量正在慢慢超過實體交易量,因此對于希望將支付業務轉移到線上的組織來說,遵守這套框架必不可少。
入侵檢測技術可以分為誤用檢測和病毒檢測兩大類,誤用檢測一種基于模式匹配的網絡入侵檢測技術、病毒檢測技術是一種基于病毒的匹配的入侵檢測技術。入侵檢測是指“通過對行為、安全日志或審計數據或其它網絡上可以獲得的信息進行操作,檢測到對系統的闖入或闖入的企圖”。入侵檢測是檢測和響應計算機誤用的學科,其作用包括威懾、檢測、響應、損失情況評估、攻擊預測和起訴支持。
IDS安全檢測系統有以下優點
強大的入侵檢測和攻擊處理能力:KIDS采用了獨特的零拷貝技術,可以有效地降低網絡數據包的處理開銷,最大能支持百兆網絡的數據流量。綜合了最新的協議分析和攻擊模式識別技術,在提高檢測性能的同時也大大降低了誤報率。KIDS可重組的最大的IP碎片數目為8192,同時監控的TCP連接數為10000,管理控制臺同時能管理的傳感器的數目也可以是多個(僅受計算機配置的影響)。這些性能最終形成了KIDS強大的入侵檢測和攻擊處理能力。
全面的檢測知識庫:KIDS具備國內最為全面的檢測知識庫,包括掃描、嗅探、后門、病毒、惡意代碼、拒絕服務、分布式拒絕服務、可疑行為、非授權訪問、主機異常和欺騙等11 大類的安全事件,目前共有檢測規則1509條,安全報警事件1054條。檢測知識庫可以實現定期的更新和升級,用戶完全不必擔心最新黑客攻擊方法的威脅。
強大的響應能力:KIDS一旦發現了攻擊入侵或可疑的行為,便可以采用多種實時的報警方式通知用戶,如屏幕顯示、發聲報警、郵件通知、傳呼通知、手機短消息、WinPop、SNMP Trap或用戶自定義的響應方式等,并將所有的報警信息記錄到日志中。同時KIDS對一些非法的連接也能夠進行及時的阻斷,如中斷TCP會話、偽造ICMP應答、根據黑名單斷開、阻塞HTTP請求、模擬SYN/ACK或通過防火墻阻塞等。
方便的報表生成功能:KIDS的報表功能可以為用戶提供全面細致的統計分析信息,它采用不同的統計分類來顯示或輸出報表,如按重要服務器、重點監測組、常用服務、常見攻擊類型和攻擊風險等級等進行統計。而對于每一類報表KIDS又提供了更為詳細的子分類統計,包括今日事件、三日內事件、本周事件、Top 20個事件(威脅最大的事件)、Top 20個攻擊源(攻擊嫌疑網址)和Top 20個被攻擊地址(有安全隱患的主機/服務器)等。最為方便的是用戶完全可以根據自己的喜好或需要定制特殊形式的報表。
開放式的插件結構:傳感器采用了插件技術進行分析處理。傳感器的核心引擎從網絡上抓取數據包,并調用相應的處理插件對其進行分析處理,處理插件將獲得的數據包特征與知識庫進行比較。對網絡高層協議的分析和數據的處理是由專門的插件來實現的,不同的應用層協議用不同的插件來處理。新的協議檢測,只需要增加新的處理插件。系統在檢測能力上的增強,只需增加和更新插件即可。KIDS包含包特征檢測、端口掃描檢測、流敏感內容監測器、HTTP檢測、POP3分析器、SMTP分析器等多種插件。
企業安全涵蓋以下7大領域:
網絡安全:基礎、狹義但核心的部分,以計算機(PC、服務器、小型機、BYOD……)和網絡為主體的網絡安全,主要聚焦在純技術層面。
平臺和業務安全:跟所在行業和主營業務相關的安全管理,例如反欺詐,不是純技術層面的內容,是對基礎安全的拓展,目的性比較強,屬于特定領域的安全,不算廣義安全。
廣義的信息安全:以IT為核心,包括廣義上的“Information”載體:除了計算機數據庫以外,還有包括紙質文檔、機要,市場戰略規劃等經營管理信息、客戶隱私、內部郵件、會議內容、運營數據、第三方的權益信息等,但凡你想得到的都在其中,加上泛“Technology”的大安全體系。
IT風險管理、IT審計&內控:對于中大規模的海外上市公司而言,有諸如SOX-404這樣的合規性需求,財務之外就是IT,其中所要求的在流程和技術方面的約束性條款跟信息安全管理重疊,屬于外圍和相關領域,而信息安全管理本身從屬于IT風險管理,是CIO視角下的一個子領域。
業務持續性管理:BCM(Business Continuity Management)不屬于以上任何范疇,但又跟每一塊都有交集,如果你覺得3)和4)有點虛,那么BCM絕對是面向實操的領域。
安全品牌營銷、渠道維護:CSO有時候要做一些務虛的事情,例如為品牌的安全形象出席一些市場宣介,presentation。籠統一點講,現在SRC的活動基本也屬于這一類。
CXO們的其他需求:俗稱打雜。這里你不要理解為讓安全團隊去攻擊一下競爭對手的企業這樣負面向的事情,而是有很多公司需要做,但運維開發都不干,干不了或者不適合干的事情,安全團隊能力強大時可以承包下來的部分。
定時循環掃描技術
定時循環掃描技術也稱為“外掛輪詢”,該技術在程序中按用戶設定的間隔對網站目錄進行定時掃描比對,如果發現篡改,就用備份進行恢復。這是早期使用的技術,因為比較落后已經被淘汰了,原因是現在的網站少則幾千個文件,大則幾萬幾十萬個文件,采用定時循環掃描不僅需要耗費大量的時間,還會嚴重影響服務器性能。在掃描的間隙或者掃描過程中,如果有文件被二次篡改,那么在下次循環掃描到該文件之前,文件就一直是被篡改的,公眾訪問到的也將是被篡改的網頁,這是一段“盲區”,“盲區”的時長由網站文件數量、磁盤性能、CPU性能等眾多客觀因素來決定。
事件觸發技術
事件觸發技術使用程序對網站目錄進行實時監控,文件系統稍有變動就進行檢查是否為非法篡改。事件觸發技術是目前主流的防篡改技術之一,該技術以穩定、可靠、占用資源極少著稱,其原理是監控網站目錄,如果目錄中有篡改發生,監控程序就能得到系統通知事件,隨后程序根據相關規則判定是否是非法篡改,如果是非法篡改就立即給予恢復。該技術是典型的“后發制人”,即非法篡改已經發生后才可進行恢復。
核心內嵌(數字水印)技術
核心內嵌技術在用戶請求訪問網頁之后,系統正式提交網頁內容給用戶之前,對網頁進行完整性檢查。核心內嵌技術是目前的主流技術之一,該技術以無進程、篡改網頁無法流出、使用密碼學算法作支撐而著稱,其原理是對每一個流出的網頁進行數字水印(也就是HASH散列)檢查,如果發現當前水印和之前記錄的水印不同,則可斷定該文件被篡改,并且阻止其繼續流出,并傳喚恢復程序進行恢復。即使黑客該技術的特點通過各種各樣未知的手段篡改了網頁文件,被篡改的網頁文件也無法流出而被公眾訪問到。
文件過濾驅動技術
文件過濾驅動技術采用系統底層文件過濾驅動技術,攔截與分析IRP流。文件過濾驅動技術是新興的一種防篡改技術,其原理是采用操作系統底層文件過濾驅動技術,攔截與分析IRP流,對所有受保護的網站目錄的寫操作都立即截斷,與“事件觸發技術”的“后發制人”相反,該技術是典型的“先發制人”,在篡改寫入文件之前就阻止。
網絡安全審查重點評估采購網絡產品和服務可能帶來的國家安全風險,主要考慮以下因素:
產品和服務使用后帶來的關鍵信息基礎設施被非法控制、遭受干擾或破壞,以及重要數據被竊取、泄露、毀損的風險;
產品和服務供應中斷對關鍵信息基礎設施業務連續性的危害;
產品和服務的安全性、開放性、透明性、來源的多樣性,供應渠道的可靠性以及因為政治、外交、貿易等因素導致供應中斷的風險;
產品和服務提供者遵守中國法律、行政法規、部門規章情況;
其他可能危害關鍵信息基礎設施安全和國家安全的因素。
安全物聯網低功耗傳感網節點中間件體系包括以下架構:
通用中間件:在底層運行支撐軟件的支持下實現一系列基本的節點功能,主要包括兩個方面,第一為域中間件提供基本的業務支撐服務,如傳感探測服務、定位服務、時間同步服務等。第二實現基本的管理功能,如安全管理、統計服務、代碼管理、網絡管理、設備管理等,為傳感網運營提供支持。
域中間件:位于通用中間件之上,域中間件在單個或多個通用中間件提供的基本功能服務基礎上,實現較為復雜的業務功能,向上為應用提供配置、控制、數據訪問接口。WSN設備中加載的域中間件類型與特定區域的傳感網功能密切相關。上層傳感網應用只與域中間件有直接接口,其對通用中間件的訪問必須通過域中間件來完成。
中間件容器:域中間件、通用中間件均運行在中間件容器內,受中間件容器的統一控制與調度。每個中間件組件都提供至少一個服務訪問接口,服務訪問接口是中間件與其他軟件模塊之間信息交互的唯一通道。域中間件與通用中間件之間、通用中間件與通用中間件之間都通過在服務訪問接口間傳遞服務原語的形式進行交互。服務的訪問及服務原語的傳遞受中間件容器的集中控制,中間件容器可拒絕執行非法的、未授權的服務訪問及原語傳遞。此外,中間件容器的另一項重要功能就是控制中間件組件的加載與卸載,并在模塊加載與卸載時向其他相關模塊發送通知。
操作系統:不是傳感器網絡節點運行所必需的,但是如果對傳感業務實時性、多任務并發性能有要求的話,配備一款合適的節點操作系統還是非常必要的。節點軟件運行環境位于節點操作系統之上,其主要功能是屏蔽不同操作系統間的差異性,向上層程序提供統一的軟件運行環境。
硬件抽象模塊:功能類似于傳統操作系統軟件中的硬件驅動,不同之處是硬件抽象模塊對上層程序提供了標準化的設備訪問接口。
網絡協議棧:實現傳感網網絡協議,完成網絡組網、鄰居管理、路由管理、流量控制及擁塞避免等功能,通常由媒體接入控制層、網絡層、傳輸層等幾個部分組成。
入侵檢測是一種主動防御技術,他不同于防火墻,防火墻是針對黑客攻擊的一種被動的防御而入侵檢測是主動出擊尋找潛在的攻擊者,防火墻相當于一個機構的門衛,收到各種限制和區域的影響,即凡是防火墻允許的行為都是合法的,而IDS則相當于巡邏兵,不受范圍和限制的約束,這也造成了ISO存在誤報和漏報的情況出現。
IDS安全檢測系統有以下優點
強大的入侵檢測和攻擊處理能力:KIDS采用了獨特的零拷貝技術,可以有效地降低網絡數據包的處理開銷,最大能支持百兆網絡的數據流量。綜合了最新的協議分析和攻擊模式識別技術,在提高檢測性能的同時也大大降低了誤報率。KIDS可重組的最大的IP碎片數目為8192,同時監控的TCP連接數為10000,管理控制臺同時能管理的傳感器的數目也可以是多個(僅受計算機配置的影響)。這些性能最終形成了KIDS強大的入侵檢測和攻擊處理能力。
全面的檢測知識庫:KIDS具備國內最為全面的檢測知識庫,包括掃描、嗅探、后門、病毒、惡意代碼、拒絕服務、分布式拒絕服務、可疑行為、非授權訪問、主機異常和欺騙等11 大類的安全事件,目前共有檢測規則1509條,安全報警事件1054條。檢測知識庫可以實現定期的更新和升級,用戶完全不必擔心最新黑客攻擊方法的威脅。
強大的響應能力:KIDS一旦發現了攻擊入侵或可疑的行為,便可以采用多種實時的報警方式通知用戶,如屏幕顯示、發聲報警、郵件通知、傳呼通知、手機短消息、WinPop、SNMP Trap或用戶自定義的響應方式等,并將所有的報警信息記錄到日志中。同時KIDS對一些非法的連接也能夠進行及時的阻斷,如中斷TCP會話、偽造ICMP應答、根據黑名單斷開、阻塞HTTP請求、模擬SYN/ACK或通過防火墻阻塞等。
方便的報表生成功能:KIDS的報表功能可以為用戶提供全面細致的統計分析信息,它采用不同的統計分類來顯示或輸出報表,如按重要服務器、重點監測組、常用服務、常見攻擊類型和攻擊風險等級等進行統計。而對于每一類報表KIDS又提供了更為詳細的子分類統計,包括今日事件、三日內事件、本周事件、Top 20個事件(威脅最大的事件)、Top 20個攻擊源(攻擊嫌疑網址)和Top 20個被攻擊地址(有安全隱患的主機/服務器)等。最為方便的是用戶完全可以根據自己的喜好或需要定制特殊形式的報表。
開放式的插件結構:傳感器采用了插件技術進行分析處理。傳感器的核心引擎從網絡上抓取數據包,并調用相應的處理插件對其進行分析處理,處理插件將獲得的數據包特征與知識庫進行比較。對網絡高層協議的分析和數據的處理是由專門的插件來實現的,不同的應用層協議用不同的插件來處理。新的協議檢測,只需要增加新的處理插件。系統在檢測能力上的增強,只需增加和更新插件即可。KIDS包含包特征檢測、端口掃描檢測、流敏感內容監測器、HTTP檢測、POP3分析器、SMTP分析器等多種插件。
這里以Nessus軟件為例,介紹在linux下進行漏洞掃描的方法:
下載Nessus軟件包
Nessus的官方下載地址是http://www.tenable.com/products/ nessus/select-your-operating-system。在瀏覽器中輸入該地址,選擇合適自己linux版本的軟件并下載;
安裝軟件包
執行dpkg -i Nessus-5.2.6-debian6_i386.deb命令安裝該工具;
啟動Nessus
執行/etc/init.d/nessusd start命令啟動該軟件,安裝位置不同所進入的路徑也是不同的;
激活Nessus
使用Nessus之前,必須有一個注冊碼,如果已經有激活碼可以執行/opt/nessus/bin/nessus-fetch --register 激活碼命令來進行激活;
創建賬號
執行/opt/nessus/sbin/nessus-adduser命令為Nessus創建一個賬號,為接下來登錄創建一個用戶;
登錄Nessus
在瀏覽器中輸入地址https://主機IP:8834或https://主機名:8834,在登錄界面輸入剛才創建的賬號,然后單擊Sign In按鈕登錄nessus;
添加策略
在主界面切換到Policies選項卡上,單擊New Policy按鈕選擇創建策略類型,設置好策略名、可見性和描述信息,然后單擊左側的Plugins標簽后策略新建完成;
新建掃描任務
在界面切換到Scans選項卡上,該界面可以看到當前沒有任何掃描任務,所以需要添加掃描任務后才能掃描。在該界面單擊New Scan按鈕,設置掃描任務名稱、使用策略、文件夾和掃描的目標,然后單擊Launch按鈕后可以看到掃描任務的狀態為Running(正在運行),表示Sample Scan掃描任務添加成功。如果想要停止掃描,可以單擊(停止一下)按鈕,到此即完成在linux下進行漏洞掃描。
DNS緩存中毒也稱為DNS欺騙,是一種攻擊,產生原因通常是使用UDP協議進行通信,沒有三次握手和四次揮手,更不需要進行身份驗證,以便將有機流量從合法服務器吸引到虛假服務器上。這種攻擊往往被歸類為域欺騙攻擊(pharming attack),由此它會導致出現很多嚴重問題。首先,用戶往往會以為登陸的是自己熟悉的網站,而它們卻并不是。與釣魚攻擊采用非法URL不同的是,這種攻擊使用的是合法的URL地址。
當一個DNS緩存服務器從用戶處獲得域名請求時,服務器會在緩存中尋找是否有這個地址。如果沒有,它就會上級DNS服務器發出請求。
在出現這種漏洞之前,攻擊者很難攻擊DNS服務器:他們必須通過發送偽造查詢響應、獲得正確的查詢參數以進入緩存服務器,進而控制合法DNS服務器。這個過程通常持續不到一秒鐘,因此黑客攻擊很難獲得成功。而現在爆出這種漏洞導致DNS服務器不再是安全的了。
DNS緩存中毒的主要風險是竊取數據。DNS緩存中毒攻擊的最喜歡的目標是醫院,金融機構網站和在線零售商。這些目標容易被欺騙,這意味著任何密碼,信用卡或其他個人信息都可能受到損害。此外,在用戶設備上安裝密鑰記錄器的風險,可能會導致用戶訪問其他站點時暴露其用戶名和密碼。
另一個重大風險是,如果互聯網安全提供商的網站被欺騙,那么用戶的計算機可能會受到其他威脅(如:病毒或特洛伊木馬)的影響,因為一旦被攻擊用戶則不會執行合法的安全更新。
防火墻是通過有機結合各類用于安全管理與篩選的軟件和硬件設備,幫助計算機網絡于其內、外網之間構建一道相對隔絕的保護屏障,以保護用戶資料與信息安全性的一種技術,其部署步驟如下。
將防火墻上架開機;
將所需安裝的防火墻拆箱,將所帶機托安裝在機柜中把防火墻放在機托上,并上禁螺絲,把防火墻開機啟動即可。
配置接口IP地址等;
進入防火墻配置頁面,給防火墻分配一個ip地址。
配置相應的安全策略并刪除原有策略,然后保存并打開。
給防火墻配置NAT,做好內網網交互,如果不鏈接外網可不配置。
把公網地址轉換為私有地址,如果沒有也可以不配置。
將防火墻路由的下一跳設置好讓防火墻接入內網。
開啟包過濾;
如果有則開啟包過濾功能,如果沒有則放棄。
配置登錄用戶和密碼權限;
配置一個用戶并給他設置權限并保存,有需求可以重啟。
防毒墻是指位于網絡入口處(網關),用于對網絡傳輸中的病毒進行過濾的網絡安全設備。通俗的說,防毒墻可以部署在企業局域網和互聯網交界的地方,阻止病毒從互聯網侵入內網。
網絡防毒墻就相當于殺毒軟件的監控程序,他監控的不是程序訪問網絡或黑客攻擊,他負責的是各種文件、注冊表等的監控,看文件是否帶病毒,防止帶病毒的文件運行而擴散。
網絡防毒墻部署在網絡出口下,對所有網絡層病毒進行防護。
部署模式有透明模式、旁路模式。
給正常文件一個通行證
將正常的程序文件數量、名稱記錄下來,并保存每一個正常文件的MD5散列做成數字簽名存入數據庫;如果當遇到黑客攻擊修改主頁、掛馬、提交webshell的時候,由于這些文件被修改過或者是新提交的,沒有在數據庫中存在,則將其刪除或者恢復以達到防護效果;
檢測和防護SQL注入攻擊
通過過濾SQL危險字符如:“’、select、where、insert、,、;”等等將其進行無害化編碼或者轉碼,從源頭遏止;對提交到web服務器的數據報進行過濾檢測是否含有“eval、wscript.shell、iframe”等等;
檢測和防護DNS攻擊解析
不斷在本地通過nslookup解析域名以監視域名的指向是否合法;
檢測和防護ARP攻擊
綁定MAC地址,檢測ARP攻擊并過濾掉危險的ARP數據報;
過濾對WEB服務器的請求
設置訪問控制列表,設置IP黑名單和白名單過濾掉非法訪問后臺的IP;對web服務器文件的請求進行文件預解析,對比解析的文件與原文件差異,存在差異的取源文件返回請求;
做好集群或者數據庫加密
對于NT系統設置好文件夾權限,控制因操作失誤所帶來的損失;對于SQL 2005可以設置管理IP和數據庫加密,切斷數據庫篡改的源頭;
加強培訓
加強安全意識培訓,操作合理化培訓,從程序自身的源頭遏制,從管理員自身的源頭遏制。
遠控木馬的通信方式有:
正向連接是指控制端主動去連接被控制端,需要被控制端開放相關端口來供控制端連接。首先,控制端會去連接被控端,然后發送相關的控制指令,被控端會將主機上的相關信息反饋給控制端,通常包括 IP 地址、MAC 地址、計算機名稱、內存大小等。
第一種方式是右邊的被控端(服務端)主動連接控制端主機,這種情況下防火墻一般會允許通過,尤其是目前很多木馬程序采用 80 端口作為遠程連接的端口,防火墻會非常信任。
私有云對存儲系統的需求原則有以下這些:
先進性原則:技術構成先進,符合信息科技的發展趨勢,能適應在當前不同數據平臺架構下進行大規模數據存儲的需要,保證系統具有較強的開發、使用空間。
均衡性原則:提供較好的系統運行效率,不產生系統瓶頸。
節能性原則:綠色環保為營造良好的節能環境,以節能性原則為前提。
拓展性原則:隨著業務規模的擴大可方便地獨立升級,能夠比較方便地與其他系統進行無縫集成。
穩定性原則:保證系統7×24小時的穩定運行,并能保證重啟系統的穩定性。
安全性原則:有嚴謹周密的安全體系結構,系統能夠提供有效的安全機制,防御各種可能的自然毀壞或惡意攻擊,在運行安全、網絡安全、數據安全和應用系統安全等方面有合理可靠的策略。
風險性原則:提供比較成熟可靠的運行管理、監控、故障處理等技術手段,最大限度地降低實施過程的風險。
經濟性原則:設備有較好的性能價格比,盡量以較低的價格購買合適的設備。
