xx单位整体网络安全解决方案.docx
《xx单位整体网络安全解决方案.docx》由会员分享,可在线阅读,更多相关《xx单位整体网络安全解决方案.docx(129页珍藏版)》请在冰豆网上搜索。
xx单位整体网络安全解决方案
XX 单位
整体网络安全解决方案
深圳励康科技有限公司
2009-7
XX 单位整体网络安全解决方案
目 录
1前言...........................................................................................................................................3
2需求分析...................................................................................................................................5
2.1目前存在问题:
...............................................................................................................5
2.1.1终端不自觉的上网行为...........................................................................................5
2.1.2网络运维存在问题...................................................................................................5
2.2需求...................................................................................................................................6
2.2.1XX 单位上网行为管理需求:
.................................................................................6
2.2.2IT 核心业务监控管理需求:
..................................................................................6
3系统架构...................................................................................................................................8
3.1产品选型...........................................................................................................................8
3.2部署...................................................................................................................................9
3.2.1网络督察...................................................................................................................9
3.2.2美信 IT 业务监控平台部署:
...............................................................................10
4产品系统功能.........................................................................................................................11
4.1网络督察功能及特点.....................................................................................................11
4.1.1独创技术.................................................................................................................17
4.1.2系统特色.................................................................................................................18
4.2美信 IT 业务监控平台功能及特点...............................................................................20
4.2.1全面的拓扑管理.....................................................................................................20
4.2.2通用 IT 业务监控 ...................................................................................................27
4.2.3故障告警管理.........................................................................................................40
4.2.4报表系统解决方案.................................................................................................44
4.2.5用户权限设计.........................................................................................................52
4.2.6安全管理.................................................................................................................53
4.2.7数据存储层设计.....................................................................................................54
4.3产品规格.........................................................................................................................56
4.3.1外观.........................................................................................................................56
4.3.2接口类型.................................................................................................................56
1
XX 单位整体网络安全解决方案
1 前言
信息化发展的加速和深入使得企业和政府单位的工作方式发生是翻天覆地
的变化,IT 和网络应用逐渐融入到单位的日常工作中,信息化的迅速发展为企
业和政府单位的日常工作带来很多的便利,并大幅度提高了政府企业单位办公
效率,但是同时也使得企业和政府单位的 IT 系统和网络越来越复杂,各级单位
对网络正常运转的依赖性越来越大,网络基础设施和各种应用系统在不断增加,
对于我们赖以工作的数据中心的管理日益复杂,然而一旦 IT 核心系统和网络运
行出现问题,将会对所有的依赖于信息化平台的正常工作产生影响。
因此,高
效的系统与管理已经成为企业和各级单位信息化建设是否成功的重要条件。
如何应对互联网和信息化自动化办公带来的负面作用?
难道是拒绝使用?
这恐怕是不可能的,互联网和信息化已经成为绝大部分公司企业和政府部门的
不可缺少的工作手段,害怕互联网和信息化的负面影响而隔离于互联世界之外,
回归到以前的低效率办公方式无异于“闭关自守”。
那么,在使用互联网,使用
自动化办公的前提下,怎样使网络资源更好地发挥作用数据中心更好的为我们
的日常工作稳定高效的服务,就摆在了所有网络管理者的面前了。
以下是网络
管理者常遇到的问题:
●如何保证我们的关键应用稳定高效的运行?
●如何能够让我们的 IT 运维管理员对我们复杂的 IT 业务环境进行统一
有序的管理?
●如何能够让我们的管理员在故障还没有发生前就能够有所准备?
●如何保证当我们的网络出现问题的时候能够在最短的时间将故障排除,
恢复工作?
●如何保证人们的上网行为是合理的、有效的?
●如何有效实施主管部门的互联网管理政策?
●如何避免不法之徒通过互联网传播不良信息?
●如何保证一个健康、有序的网络环境?
●如何准确、及时发现异常的网络行为?
2
XX 单位整体网络安全解决方案
●如何实现网络准入控制?
3
XX 单位整体网络安全解决方案
2 需求分析
2.1 目前存在问题:
2.1.1终端不自觉的上网行为
XX 单位目前绝大多数信息安全上的问题都不是外部所来的攻击,而是由于
内部人员不自觉的上网行为而造成的。
主要存在以下一些问题:
(1) 工作效率底下:
员工在上班时间用 QQ、MSN 聊天;工作时间网上炒
股,网上购买;上班时间下载游戏,打网络游戏,在线听歌看电影
等。
(2) 网速越来越慢:
P2P 下载,HTTP 下载等消耗了大量的网络出口带宽;
在线电影,网络直播产生了大量的广域网流量。
(3) 安全隐患不断:
蠕虫病毒从公网入侵至局域网;钓鱼网站欺骗了众
多电子银行使用者,造成不可估量的损失。
(4) 信息机密外泄:
邮件发送了单位的内部文件,数据;聊天软件,论
坛发帖,博客让个人轻易泄露机密;
(5) 网络违法行为:
非法网站(色情、暴力、反动)的访问;在论坛上
的不负责任言论;
2.1.2 网络运维存在问题
1、设备数量多、种类多,故障原因复杂:
网络平台使用的相关网络设备较多,因此造成网络传输不稳定的因素也很
多,包括网络设备故障、安全设备故障、用户服务器运行状态以及用户端设备
环境等因素。
2、网络维护响应不及时,维护效率低;
3、出现故障时不能准确定位;
4、每天需要手工检测各系统的运行情况,没有自动化的工具辅助检测;
……
4
XX 单位整体网络安全解决方案
2.2 需求
2.2.1 XX 单位上网行为管理需求:
综合以上问题,并且通过与 XX 单位相关管理人员交流,推荐用户采用上网
行为管理系统即可解决以下问题:
1. 管理范围:
所有的访问外部网络的用户;
2. 实时监控:
查看用户访问外部网络的信息,包括访问的协议、IP 地址、
访问的内容、数据的流量和访问时间;
3. 审计查询:
根据组合条件查询用户历史上网记录,包括访问内容,发送
信息内容等;
4. 统计分析:
强大的统计分析功能,丰富的统计表现手段,对不同地点上
网的人员的数据可以归并;
5. 用户管理:
灵活的用户权限管理和分组;
6. 内容监控:
对在网上传送的数据内容进行监控,包括邮件的收发、BBS
发贴、通过 Web 上传的文件、MSN 发送的信息内容,并能针对敏感信息
进行分类和通知;
7. 访问控制:
多级别或基于用户角色的灵活控制上网权限的方式;
8. 准入控制:
根据单位要求,对接入内网的机器进行控制;
9. 带宽管理:
对用户的上网流量和带宽进行管理;
10.日志存储:
所有日志可用存储、查询;
11.权限管理:
管理员有不同的系统管理和查询权限。
2.2.2 IT 核心业务监控管理需求:
1. 可通过统一平台实现对主机、网络、数据库的实时监控;
2. 主机和应用支持代理和非代理两种监控方式,既可以通过代理软件
Agent 来监控,也可以通过无代理来实现监控;可将网络设备、服务器、
数据库应用等分组管理,提供方便如资源管理器一样的树型视图;
3. 自动生成网络拓扑图,既支持三层的逻辑拓扑图,也支持二层的物理拓
5
XX 单位整体网络安全解决方案
扑图;
4. 自定义拓扑图的背景图、网络元素图等,支持网络设备背板管理,支持
网络设备端口启动和停止,支持机房设备分布图管理,可将自己的图片
上传应用于网络拓扑图中;
5. 支持拓扑图的导入导出成 XML 文件;支持显示网络设备的实际流量;支
持网络设备流量告警,端口之间流量超过阈值,网络拓扑中的连线以黄
色或红色表示;
6. 支持拓扑图中网络设备的搜索;支持网络拓扑中的告警统计;支持网络
拓扑的权限控制,不同角色人员看到不同的拓扑图;支持常用的网络工
具;
7. 支持 MAC 地址和 IP 地址定位,通过 MAC 地址或者 IP 地址找到计算机连
接的网络交换机的端口;
8. 支持 MAC 地址和 IP 地址绑定,支持 MAC 地址和交换机 PORT 端口绑定。
9. 支持网络设备的 CPU 利用率、内存利用率、网络端口的吞吐量和丢包率、
接收和发送的 ICMP 包率,支持端口的 ARP 包率、单播包率、发送利用
率、发送丢包率、发送错包率、发送速率、广播包率、组播包率、接收
速率、接收的错包率、接收的丢包率等指标。
10.可支持监测包括 windows, Unix,HPUX,Linux 等不同平台的操作系统,
从而实现对多种操作平台的网络环境进行统一集中管理
11.可以直观的反映出服务器当前的 CPU 负载、内存占用比、连续运行时间、
硬盘读写速率、虚拟内存使用率、网卡使用率、内存页交互速率等情况。
12.通过 VisualManagement,实时显示服务器的 CPU、内存、硬盘、分区
等的使用情况,实时更新,可以通过配置,修改监控的内容和监控的频
度。
13.支持服务器进程监视和告警,可设置关键应用进程,进程启动和停止告
警,支持 window 服务器的服务监控。
14.支持对主流数据库基本性能状态的监控,应包括但不限于:
Oracle、DB2、Sybase、informix、MSSQL、mysql 等。
如:
Oracle数
6
XX 单位整体网络安全解决方案
据库的主要运行性能指标应包括:
表空间、进程、状态、Listener 状
态等。
15.当网络或设备出现故障,或者某些检测数据超出阀值时,能够提供声音、
Email、桌面告警等多种报警方式。
16.支持根本原因分析、支持网络闪断和 CPU 瞬时增加情况下的告警过滤。
17.支持故障告警升级功能。
18.支持统一的策略管理,不管是主机、网络还是数据库,可以统一管理取
哪些指标,多长时间取一次,告警的阈值,产生时间的级别,产生时间
的紧急程度。
19.支持监控资源的批量监控,可以用一条策略,管理一种类型的主机。
比
如针对 Solaris 的主机,只需要一条策略。
20.支持策略细粒度管理,一台主机,有很多个文件系统,针对这个文件系
统,可以设置一种阈值,针对另外一个文件系统,可以设置不同的阈值。
21.支持经验值,针对所有的监控指标,系统默认提供经验值。
针对所有的
事件,系统提供经验的事件告警级别。
22.“所见即所得”全部图形界面,不需要导入配置文件。
23.支持用户 Portal 的安全措施,包括指定可以登录的时间段,如白天可
以登录,晚上不能登录;登录三次,帐号锁定等措施。
24.支持提供工作报告、资源对比报表、可用性报表、故障报表、趋势分析
报表、统计报表等功能。
25.支持提供报告订阅功能,用户可以订阅需要的报告。
系统会自动生成相
应的报告,发送给系统管理员。
报告格式可以完全定制。
报告格式支持
pdf 和 word.
3 系统架构
3.1 产品选型
根据以上分析,我们推荐用网络督察管理终端的上网行为,用美信 IT 业务
7
产品名称
产品型号
功能模块
网络督察
ProEIM2000N
用户管理
实时监控
日志记录
规则设置
带宽管理
准入控制
终端管理
访问控制
美信 IT 业务
监控平台
MX-BMP
Professional
Edition
自动搜索生成网络拓扑
分级管理员权限设置
网络基础设备监控管理
防火墙监控管理
Windows 系统监控管理
Unix、linux 系统监控管理
数据库监控管理
IIS、Aphche 等各种 Web Server 监控管理
Mail Server 监控管理
URL、FTP 和 DNS 监控管理
颜色、声音、邮件、短信报警
多种形式 IT 业务监控报表
支持报表导出到 excel、word
XX 单位整体网络安全解决方案
监控平台管理 XX 单位的 IT 核心架构,以满足 XX 单位从终端到核心机房的全面
3.2 部署
3.2.1 网络督察
网络督察以桥接方式串接在网络出口位置,网络督察通过对转发的数据采
集,对过往的数据进行分析和还原,所有的用户管理和访问控制等规则设置都
在这台机器上完成。
串接方式如下图:
8
XX 单位整体网络安全解决方案
3.2.2 美信 IT 业务监控平台部署:
Unix/Linux
Web服务器
服务器
数据库服
Windows服
务器
务器
中间件服
交换机
防火墙
SNMP
SNM P
面
QOE模 拟监
务器
应用服务
器
SNMP
Agent、QOE模拟监控
路由器
邮件服务器
9
XX 单位整体网络安全解决方案
4 产品系统功能
4.1 网络督察功能及特点
网络督察是一个功能强大的网络行为管理系统,其所有功能都是面向管理
人员而设计的,其目的是为了解决内部局域网人员的上网管理。
网络督察功能:
●用户管理
系统支持以 IP 地址、MAC 地址、验证帐号等为参照的用户管理模式,并可
对用户分组多层管理。
对不同人员可以设置免监控、不监控邮件内容等不同的
监控级别。
●实时监控
可以通过浏览器实时查看用户当前的上网情况,包括其访问的 IP 地址、网
址、服务类型、流量等等,了解网络目前应用状况,及时进行控制和调整,保
障网络正常运行。
10
XX 单位整体网络安全解决方案
●日志记录
详细记录用户的上网的各类日志,包括
HTTP、SMTP、POP3、Telnet、FTP、QQ、MSN、游戏等数十种日志,同时记录了
访问时间、IP 地址、MAC 地址、流量等重要信息,日志可以按照要求保留 90 天
以上并可组合查询。
●访问控制
提供完整的访问控制管理策略,可灵活地按用户角色或者分组对用户上网
11
XX 单位整体网络安全解决方案
行为进行控制,可以根据时间段、服务、网址、流量等手段进行控制,并提供
百万级的有害信息过滤网址库防堵不良网站。
●带宽管理
可以按组和服务类型等来制定策略对带宽进行管理。
可将带宽划分成若干
个虚拟通道,设定每个通道的带宽,上、下载速度的限制,优先级和管理策略,
保证等关键应用或重要人员的上网带宽。
●邮件拦截审核
新网程在国内独创,通过预先设定的规则,根据收发件人、主题、邮件正
文、附件名称等条件,对外发的邮件进行拦截、控制,避免人员以电子邮件的
方式泄露关键信息。
审核人员可以阅读被拦截下的邮件的全文及附件,再决定
发送、转发或拒绝等。
12
XX 单位整体网络安全解决方案
授权审核人员
Internet
网络督察
●准入控制
网络督察可以按照要求,检查接入网络中的终端是否安装和运行了某
些软件,对于不符合要求的机器,可以设定弹出告示,要求必须安装哪些
软件,客户端必须安装后才可正常接入网络中。
●终端管理
网络督察的客户端管理,可以对终端机器的系统情况进行检查,包括
安装软件的情况、系统运行进程等,看其是否按照安装了集团要求的软件,
如杀毒、补丁等。
13
XX 单位整体网络安全解决方案
●统计分析
提供数十种统计报表对上网流量、时间等进行统计,可生成各类排行榜,
并可以图表的方式从各个角度对用户上网情况进行分析。
统计结果可导出到
Excel 表格,方便进行二次处理。
●自动整理和备份
14
XX 单位整体网络安全解决方案
对用户数据和系统数据进行自动备份和整理。
系统将根据设定的各种数据
的保存时间定时自动整理,删除不必要的数据,从而保证系统可以长期稳定地
运行。
系统还可以按要求对关键数据和存档数据进行本地或异地备份,备份的
信息可以离线查看。
●日志内容审计
能够对 HTTP、SMTP、POP3、WebMail、Telnet、FTP、QQ、MSN 等常见应用
记录其访问日志并对其内容进行还原,可根据进行实时分析、匹配。
15
XX 单位整体网络安全解决方案
●日志服务器
日志服务器可以实时同步网络督察的日志记录,并对日志进行统计分析,
提供多种组合条件进行模糊查询。
4.1.1 独创技术
新网程公司在 Linux 核心技术上有八年的研发经历,在网络行为管理领域
也有近五年的研发历史,网络督察是新网程公司技术上不断创新的结果,独有
的技术涵盖了网络行为管理产品各个方面。
●旁路侦听
网络督察对流经的数据并不截留而是直接转发,同时将数据镜像到内存进
行分析处理,发现有违规行为再对相关数据进行截留,数据经过网络督察的延
迟小于 0.2ms,因此完全不影响原有网络传输效率。
●网络零拷贝
为在大流量的状态上保证抓包效率,采用网络零拷贝技术直接将流经网卡
的数据映射到内存区间,而不通过内核透传,减少系统资源消耗,使丢包率为
零。
●连线跟
升级会员 