隨着信息化技術的飛速發展,用戶經營管理對計算機應用系統的依賴性增強,計算機應用系統對網絡的依賴性增強。計算機網絡規模不斷擴大,網絡結構日益複雜。計算機網絡和計算機應用系統的正常運行對網絡安全提出了更高的要求。信息安全防範應做整體的考慮,全面覆蓋信息系統的各層次,針對網絡、系統、應用、數據做全面的防範。信息安全防範體系模型顯示安全防範是一個動態的過程,事前、事中和事後的技術手段應當完備,安全管理應貫穿安全防範活動的始終。
第1章 網絡安全應用需求
網絡安全,是計算機信息系統安全的一個重要方面。如同打開了的潘多拉魔盒,計算機系統的互聯,在大大擴展信息資源的共享空間的同時,也將其本身暴露在更多惡意攻擊之下。從網絡運行和管理者角度說,他們往往對網絡安全具有以下應用需求:
- 訪問控制:通過對特定網段、服務建立訪問控制體系,將絕大多數攻擊阻止在到達攻擊目標之前。
- 攻擊監控:通過對特定網段、服務建立的攻擊監控體系,可實時檢測出絕大多數攻擊,並採取相應的行動(如斷開網絡連接、記錄攻擊過程、跟蹤攻擊源等)。
- 備份和恢復:良好的備份和恢復機制,可在攻擊造成損失時,儘快地恢復數據和系統服務。
- 設立安全監控中心:爲信息系統提供安全體系管理、監控、保護及緊急情況服務。
- 完整的安全策略、政策。
- 有效的手段監視、評估網絡系統和操作系統的安全性。
第2章 智和網管平臺網絡安全實現效果
2.1. 應用效果
1. 准入控制:支持設備身份識別與訪問策略管理
2. MAC-IP和黑白名單控制
3. 用戶和權限管理:支持多級網絡/區域的組織結構,而且可以對不同的用戶分配管理不同的網絡/區域。用戶登陸後只能看到自己權限下的網絡和設備;
4. 日誌管理:支持追溯管理員的操作內容、操作對象以及操作時間
5. 自動發現網絡、設備、設備組件、以及設備間的物理連接關係;
6. 支持ACL訪問控制列表策略;
7. 支持端口遠程控制策略;
8. 管理網絡設備的端口、帶寬、吞吐量、流量、丟包率、錯誤包、運行狀況等;
9. 圖形化監視網絡鏈路的故障、流量、網絡數據,管理Windows、Linux、Unix服務器的運行狀態等,監視各種數據庫服務器、Web服務器、郵件服務器、J2EE服務器、應用系統等。
2.2. 方案價值
有效防範和應對各種網絡安全問題,加強網絡安全技術平臺建設,實現對網絡安全運行情況的全方位監控,提高網絡安全事件的異常發現能力和分析能力,確保骨幹通信網絡和重要信息系統安全可靠。在健全和完善網絡信息化系統的同時,智和網管平臺能有針對性地監視網絡性能,具備強大的應急處置能力和協調處理能力,確保在網絡安全緊急事件發生時能夠主動預防,準確判斷、快速反映和有效應對,儘可能避免或減少網絡安全突發事件對經濟社會發展帶來的影響和破壞。
第3章 關於可開發可擴展的智能網管平臺-智和網管平臺
智和網管平臺(SugarNMS)由北京智和信通技術有限公司自主研發,完美兼容主流/國產系統及數據庫,提供C/S和B/S兩種客戶端界面,兼容PC以及移動設備。已實現包括設備拓撲、故障管理、性能管理、配置管理以及安全管理等在內的超過1000種基礎網管功能,從用戶角度出發,實現產品的智能化、自動化,滿足用戶不斷髮展的設備管控,功能擴展以及開發集成的需求。
智和網管平臺以“管控萬物,無所不能,無處不在”爲理念,採用了設備統一接入模型,可以管理網絡設備、計算機、服務器、智能設備、物聯網、工業設備等所有聯網設備;適用於國防、電信、電力、金融、電力、電力、企業、工業、製造等多種領域。
智和網管平臺以“管控萬物,無所不能,無處不在”爲理念,追求實現網管平臺的無限拓展開發。從用戶角度出發,實現產品的智能化、自動化操作,滿足用戶不斷髮展的設備管控,功能擴展以及開發集成的需求。
第4章 綜合網管解決方案
智和網管平臺,全面滿足用戶設備拓撲、故障管理、性能管理、配置管理以及安全管理的網管需求,真正解決了用戶的設備管控、功能實現、運營維護以及拓展集成難題。智和網管平臺可穩定運行於全平臺,智能管控超過500種設備,爲用戶提高管理效率,降低管理成本以及管理風險。
4.1. 國產化網絡管理
智和網管平臺是國內首家國產化網絡管理平臺,已有成熟網絡管理功能,既支持Windows、Linux平臺,也支持國產化平臺,並能智能管控國產化設備,真正實現100%的國產化網絡、設備以及軟件綜合管理方案。
4.2. 全平臺運行,多端響應
智和網管平臺支持B/S和C/S構架,能夠穩定運行於Windows端、Linux/Unix端,支持通過PC端、Pad端以及手機端對平臺進行訪問。
4.3. 全設備監控管理
智和網管平臺全面監控網絡設備、主機/服務器、中間件應用、Web服務。
4.4. 智和網管平臺基礎功能解決方案
自動發現:在自動發現的過程中可搜索到網絡設備,並識別設備類型和廠商型號,生成設備的面板圖或搜索設備資源,如:板卡、端口、CPU、內存、磁盤等,並發現設備之間的鏈路關係。
拓撲管理:以具象化拓撲圖方式展示網絡設備及其連接關係,用戶可編輯。通過拓撲圖可以對設備、設備資源、連接進行管理。
設備管理:通過拓撲視圖中,用戶可以方便的管理設備及其配置參數。
設備資源管理:支持在拓撲圖的基礎上,進一步展示設備細節,包括設備的物理組件,服務器上的服務(Web服務器、中間件應用服務、數據庫服務器、郵件服務器)或者用戶定義的其他監控對象。
連接管理:用戶可以通過拓撲視圖編輯連接,選擇連接實時顯示的性能數據項。
故障管理:可以收集多種故障信息,並及時的展現出來,通過設備、資源、連接可以查看到故障信息,也可以通過統一的故障管理界面管理故障。
性能管理:全面採集或接收設備資源的多種新能數據,通過曲線圖、柱狀圖或表格等形象化的展示出來,按天、星期、月 查看性能指標變化。
事件管理:可以設備/服務器主動發送的消息,集中處理後,及時的通知用戶,並可以通過集中的管理界面進行管理。
安全管理:支持多級網絡/區域的組織結構,且可以對不同的用戶分配管理不同的網絡/區域。用戶登陸後只能看到自己權限下的網絡和設備。黑白名單功能用來檢測用戶所關心的設備(通過IP或MAC來識別)是否在網絡中出現及出現時間,一提醒用戶是否進行下一步的操作。
配置管理:支持同時對每多臺設備進行配置/備份和軟件升級,以減少管理員的工作量,提高系統的可用性。
統計報表:支持多項數據的統計功能,讓用戶對網絡有一個全面直觀的瞭解放。支持將軟件中的統計圖表導出或打印,以便備份或對比查看。
4.5. 電力行業網管開發集成解決方案
智和網管平臺(www.zhtelecom.com)充分利用軟件已有功能,提供多種開發模式和可拓展的框架模塊供用戶選擇,簡化複雜的網管基礎技術研究。開發人員可以選擇進行模塊式或者代碼式的開發形式,以便在最短的時間內滿足用戶各種定製需求,提高研發效率。同時智和信通提供全套開發資料以及完善的培訓服務,用戶可以隨心定製出符合自身需求的網管平臺,並對平臺功能不斷更新,以滿足日益變化的管理需求。
平臺組件和開發模式
在通用網管功能的基礎上,開發人員可以選擇進行模塊式或者代碼式的開發形式,以便在最短的時間內滿足用戶各種定製需求,提高研發效率。同時智和信通提供全套開發資料以及完善的培訓服務,用戶可以隨心定製出符合自身需求的網管平臺,並對平臺功能不斷更新,以滿足日益變化的管理需求。
開發特性
- 快速開發:充分利用已有軟件功能,提供可複用可擴展的框架模塊,實現平臺快速開發。
- 全面開發:提供全面的開發模式,從平臺的界面到功能、管控設備均可根據用戶需求自定義開發,從而完全開發出一款專屬於用戶自己的網管軟件。
- 深入開發:客戶端完全開發代碼,用戶可根據滋生需要更改服務端插件開發,用戶可以自定義修改數據庫在不改變現有表的基礎上進行修改。
- 愉悅開發:完全滿足用戶個性化需求的開發模式,通過一週的標準培訓即可上手,並在培訓中解決80%的開發問題,讓開發過程愉悅簡單。
代碼級開放開發服務
智和網管平臺提供代碼級開放模式,研發人員深入客戶端源代碼,實現用戶個性化需求。同時提供完善的開發文檔、實施培訓以及技術支持服務,讓用戶從開發起始到平臺使用全無後顧之憂。
- 開放源代碼:深入客戶端底層,開放客戶端源代碼,用戶可根據代碼進行界面、功能、設備的開發集成。
- 開發文檔:提供《智和網管平臺入門指南》,詳細介紹開發過過程,以及過程中可能面臨的問題。
- 開發培訓:一週的標準培訓即可掌握軟件開發集成的操作,同時在培訓中解決80%的開發集成問題。
- 技術支持服務:從需求分析到培訓,開發過程中,提供完善的技術支持,在產品實施後,提供完善的售後服務體系。
第五章 應用案例-北京XX科技有限公司
北京XX科技有限公司需要在BTA傳統桌面安全管理的基礎上,進一步實現網絡安全策略聯動,根據設置的安全策略,對網絡設備如交換機、路由器、PC機能採取遠程控制動作,如關閉端口、開通端口、控制網絡訪問、設置ACL等。
用戶需求:
- 服務器准入基準表生成:根據提供的交換機列表掃描交換機MAC表,獲取IP、MAC、交換機端口對應信息,生成服務器准入基準表;
- 服務器准入控制:根據生成的基準表完成服務器准入控制,即時發現接入的非法設備併產生告警、端口關閉等相關動作;
- 基準表的變更:在基準表中手工增加新設備信息;
- 新發現未識別服務器的處理:對於新發現未識別的服務器,管理員基於此類告警,確定服務器是否合法,若合法可以進行審批加入MAC准入控制清單;
- 服務器准入基準表的管理:支持擴展字段,支持MAC准入控制清單的查詢,比如根據IP、主機名等;
- 告警方式:根據收到的未識別設備告警,支持單獨告警、告警+延時端口關閉、直接關端口+延時自動恢復等策略。
解決方案:
智和安全策略網管通過SNMP、Telnet從設備上搜集各種信息數據,並根據安全策略,向設備發出控制命令,通過MAC-IP安全策略、ACL安全策略、端口控制策略、身份識別等手段實現對網絡訪問的受控訪問。最終與Cisco、華爲、華三、中興、邁普的網絡設備順利對接。
