隨着信息化技術的飛速發展,用戶經營管理對計算機應用系統的依賴性增強,計算機應用系統對網絡的依賴性增強。計算機網絡規模不斷擴大,網絡結構日益複雜。計算機網絡和計算機應用系統的正常運行對網絡安全提出了更高的要求。信息安全防範應做整體的考慮,全面覆蓋信息系統的各層次,針對網絡、系統、應用、數據做全面的防範。信息安全防範體系模型顯示安全防範是一個動態的過程,事前、事中和事後的技術手段應當完備,安全管理應貫穿安全防範活動的始終。
網絡安全管理的需求
要實現網絡安全的目的,需要網管能提供兩方面功能,一是網絡安全管控功能,從權限、設備配置、非法設備識別等方面來保證網絡架構安全,二是網絡運行管理功能,通過設備告警、性能等方面來保證網絡的運行安全。
網絡安全管控
1.訪問控制,完善的權限管理
可以對不同的管理人員分配不同的操作權限,可以對不同的管理人員分配不同的網絡,做到粗、細粒度的權限控制,避免越權管理。同時,針對危險操作,能夠有良好的提示以及提供日誌記錄。
2.提供安全管控功能
網管提供安全控制功能,支持通過網管簡單操作,完成對設備的用戶、各種服務、VLAN、QOS、端口限速、靜態路由等進行配置的功能。
網管提供端口控制功能,支持通過網管簡單操作,完成對設備的端口狀態、dot1x、STP、端口應用VLAN、QOS策略等進行配置的功能。
3.網絡接入設備控制
當網絡中非法設備接入時產生告警通知網管人員。
網絡運行管理
1.故障發現與故障通知
設備故障出現時可以立刻通知到管理員,快速定位到故障環節,以便於快速恢復系統。
2.設備性能監視
實時獲取網絡設備性能數據,對於設備的端口流量、數據庫讀寫速率、CPU負載等性能全面掌控,提前避免由於設備性能帶來的網絡運行不安全事件發生。
智和網管平臺網絡安全管理解決方案
智和網管平臺網絡安全管理解決方案,是基於網絡安全的特殊需求提出的定製化解決方案,通過網絡安全管控和網絡運行管理功能,來達到網絡安全的目標。
智和網管平臺網絡安全管理解決方案,實現了權限管控、安全控制、端口控制、策略對比、接入設備控制、故障管理、性能監控等功能。
權限管理與控制
智和網管平臺採用多種權限管理方式,可以對用戶分配只讀權限,可以對用戶分配不同的功能菜單,也可以分配用戶不同的網絡管理權限,通過多種權限控制,做到了完善的權限管理,避免出現越權管理 ,保證網絡安全。同時,系統中的日誌模塊會記錄各個用戶對系統的操作情況,包括操作時間、內容、操作人等信息,便於及時的排查問題。
安全管控功能
安全控制:智和網管平臺通過對不同設備的配置命令進行分析,使用多線程技術、遠程連接技術實現特定配置命令的下發,來實現對設備的用戶、各種服務、VLAN、QOS、端口限速、靜態路由等功能的配置,控制網絡訪問,保證減少網絡受到的入侵攻擊,實現網絡安全。
端口控制:智和網管平臺通過SNMP協議操作設備和對設備下發配置命令,來實現對端口狀態、dot1x、STP、端口應用VLAN、QOS策略等功能的配置,從端口層面來實現網絡安全。
策略比對:智和網管平臺提供設備配置策略的比對功能,可以智能化地對策略信息進行分析,將不同策略的異同差異化地展示給用戶,以便用戶確認策略配置。
接入設備控制
智和網管平臺通過安全管理審計模塊,添加黑名單、白名單、mac-ip綁定等管理策略,網管人員只需提前做簡單配置即可及時發現非法接入設備。當非法設備接入時網管及時產生告警通知網管人員。
全面性網絡運行管理
1、故障發現與故障通知
智和網管平臺通過多線程主動輪詢以及接收設備trap/syslog等上報信息來發現網絡中存在的故障,並通過拓撲圖實現設備的快速定位,使用軟件界面、郵件通知、短信通知多種方式來通知網絡管理人員,保證了網管人員及時掌控網絡運行的異常信息。
2、設備性能監視
智和網管平臺通過多線程主動輪詢機制獲取路由器、交換機、數據庫、中間件等設備的性能信息,並將性能信息以統計圖與列表的方式展現給用戶,讓用戶直觀地掌控網絡設備運行情況。
通用網管功能
除了優秀的網管安全管理功能,智和網管平臺還提供了全面的網管功能,如提供拓撲管理功能,並支持拓撲顯示網絡告警,支持拓撲完成各種網管操作;提供擴展功能,支持通過配置擴展支持的設備類型、資源類型、監視器任務;提供業務管理功能,通過表格和拓撲的方式實現對業務的查看和管理。
應用價值
採用智和網管平臺網絡安全管理解決方案,可以有效管理網絡運行狀態,防範和組織網絡不安全事件發生。
- 實現用戶分級、網絡分級的權限管理。
- 實現操作簡單、功能強大的安全控制、端口控制、策略比對功能。
- 實現接入設備控制。
- 實現故障及時發現和通知。
- 實現全方位掌控網絡的安全運行。
技術特徵
智和網管平臺網絡安全管理解決方案,主要具有以下技術特徵:
- 使用JAVA多線程技術,實現對網絡安全的高效管控。
- 使用SSH、Telnet等遠程連接方式,實現對網絡設備的命令下發。
- 對要管理的設備進行命令分析,處理要發送的命令和設備返回的結果。
- 通過SNMP獲取設備信息,產生告警和性能數據,處理trap/syslog數據。
- 通過主動發現網絡中的MAC、IP信息,與用戶設置黑白名單進行比對,實現准入控制。
- 建立高效的消息隊列,實時推送消息事件。
- 運用成熟的JAVA框架,如Spirng、Struts、Hibernate、WebService、WebSocket等