ecop网络管理分系统方案.docx
《ecop网络管理分系统方案.docx》由会员分享,可在线阅读,更多相关《ecop网络管理分系统方案.docx(12页珍藏版)》请在冰豆网上搜索。
ecop网络管理分系统方案
第一章网络管理分系统方案
7.1产品概述
7.1.1为什么要用eCop?
随着计算机网络技术的快速发展和全球信息化步伐的日益加快,现代计算机网络(Internet、Intranet)作为信息社会的基础设施已经渗透到社会的各个方面,伴随着计算机网络规模的日益扩大,网络安全问题越来越突出地呈现在广大客户面前,黑客、计算机病毒等因素严重威胁着计算机网络的安全。
网络安全问题可以分为内部安全与外部安全两大方面,据美国安全软件公司Camelot和eWEEK电子杂志联合进行的一项调查显示,网络安全问题在很多情况下都是由“内部人士”而非外来黑客所引起,在政府机关、企事业单位中,普遍存在着如下的问题:
(一)、缺乏完整的内部安全防护体系。
一个大型计算机网络的整体安全体系包括网络边界安全、网络内部安全和人为因素等多个方面,通过在网络边界部署防火墙、入侵检测等系统可以有效地将内部网络与外部网络进行隔绝,但是对内而言还处于基本不设防的状况,内部安全管理工作缺乏有效的技术手段。
(二)、网络安全管理的基础工作较薄弱,各类网络基础信息采集不全。
大型计算机网络的管理应该以基础信息的管理为核心,信息管理中心如果对所管辖网络的用户和资源状况难以掌握的话,对整个网络的管理工作也就无从谈起,在发生违规事件时也很难及时将问题定位到具体的用户。
(三)、存在一机多网和一机多用的可能性。
“一机多网”现象是指计算机同时连接在内部网络与其他网络或Internet上的现象,“一机多用”是指已连接过外部网络的计算机,再连接到内部网络的现象。
这两种现象统称为非法外联。
非法外联行为造成内部网络与外部网络互联,为恶意入侵提供了入口,可能造成内部资料泄密的严重后果。
(四)、外围设备的接入控制困难。
为了保证网络的内部安全,要求对运行网中各计算机设备的外围设备使用情况进行控制,禁止和限制使用软驱、光驱、USB设备、并行、串行口等外围设备,防止利用移动存储设备进行数据文件的拷贝。
而目前采取的策略通常是对外围设备“能拆则拆,能封则封”,对每一台接入内部网络的计算机都要拆除或者封禁掉这些外围设备,管理人员的工作量非常大,在真正需要使用这些设备的时候又要去现场安装或解封这些设备,管理非常繁琐,也不可能做好外围设备接入的控制工作。
(五)、难以监控用户对计算机的使用情况。
接入内部网络的计算机,应该是经过网管人员认可的计算机。
但是存在着用户利用这些计算机设备进行其他活动或使用未经确认许可的计算机接入内部网络的可能性,管理人员对这些情况难以进行监视和控制。
(六)、难以监控外来用户的计算机接入内部网络及未拆除光驱等外围设备的计算机接入内部网络后的使用管理。
存在上述问题的根本原因,是缺乏信息网络安全管理的完整体系结构和有效的管理手段,因此建立一整套内网安全防护体系具有重要的意义。
7.1.2什么是eCop?
eCop是由上海宝信软件股份有限公司根据广大客户的实际需求,结合多年产品研究和实际应用的经验,精心开发的一套面向计算机局域网络的安全运行管理产品。
本系统采用先进的软硬件一体化的功能服务器结构设计理念,基于Linux操作系统和TCP/IP协议标准,为广大客户提供了一套完整的局域网内网安全管理方案。
7.2系统结构
eCop的体系结构如上图所示,在内部网络部署一台eCop中央控制服务器,它基于浏览器/客户端模式设计,采用软硬件一体化的功能服务器设计方式。
同时,在内部网络中各被管理计算机上安装相应的客户端程序,对各客户机进行管理、监视和控制。
每一台接入内部网络中的计算机设备必须下载安装客户端程序,或者在eCop中央控制服务器上保存其IP及MAC地址配置信息,否则将会被管理系统认为是非法接入内部网络,客户端程序的下载安装由各客户机通过浏览器连接到服务器后自动完成。
整个系统支持在线升级,服务器系统进行升级后,客户端程序可以按照服务器端的配置在启动时自动升级。
eCop以Java、Web技术为架构,采用面向对象和MessageQueue技术构建信息交换平台,使系统的各项功能构建于该平台之上,使整个系统具备灵活的扩展性。
eCop使用Jsp/Javabean技术向用户提供Web方式的操作界面,系统内置预写日志式数据库,大大提高了系统在突然宕机事件发生时的可靠性。
7.3系统功能
整个系统的功能模块如下所示:
以下将结合功能模块划分说明eCop的主要功能。
7.3.1客户端管理子系统
1客户端的安装与卸载
客户端程序的安装可以通过以下几种方式实现:
✓通过客户机浏览器连接服务器下载安装;
✓在采用域管理策略的网络中,通过域登录脚本安装;
✓采用软件分发服务进行分发安装。
系统可自动发现接入内部网络但未安装客户端程序的计算机,并提示管理人员,由管理人员对其进行警告或者阻断其接入网络。
客户端程序使用进程保护和文件保护技术,以使用户无法在其计算机上停止或者卸载客户端程序,只能通过专用的卸载工具来完成客户端程序的卸载。
客户端支持自动升级,并且可以在服务器端配置客户端升级策略,整个升级过程普通用户无需干预。
2客户端基础信息管理模块
✓用户信息登记注册管理
接入到内部网络中的计算机,要求必须安装客户端程序,安装完成后在各客户机填写用户登记注册信息,客户机用户填写完这些信息之后,将其提交到服务器端,等待管理人员进行审批确认。
管理人员一旦审批结束,将锁定这些信息,仅当管理人员在服务器端进行解锁后,才能再次填写并提交。
在用户的登记注册过程完成之后,系统将自动把该计算机设备分类到用户填写的单位下,系统采用组织机构层次结构图的方式作为向导和管理授权基础,使管理人员能够方便快速地查找到某台计算机,同时限制了不同组织机构管理人员的管理权限。
✓计算机硬件信息管理
客户端程序自动完成对计算机硬件设备信息的收集,并将这些信息汇报到服务器端,服务器端将它们保存在数据库中。
同时客户端程序会自动将硬件设备信息与该计算机的历史硬件信息情况进行比对,发现信息变更时,向服务器端发送变更通知消息。
客户端程序收集的硬件信息包括:
CPU型号、CPU主频、内存大小、硬盘序列号、磁盘容量、磁盘剩余空间、网卡型号、网卡物理地址、显卡型号、声卡型号、键盘型号、鼠标型号。
✓计算机系统信息管理
客户端程序自动完成对计算机系统信息的收集,并将这些信息汇报到服务器端,服务器端将它们保存在数据库中。
同时客户端程序会自动将部分系统信息与该计算机的历史系统信息进行比对,发现信息变更时,向服务器端发送变更通知消息。
客户端程序收集的系统信息包括:
操作系统类型、操作系统版本号、IE浏览器代理服务器设置情况、当前登录用户、当前登录域、客户端程序的版本号、操作系统补丁信息。
✓计算机软件信息管理
客户端程序自动完成对计算机安装的所有软件信息的收集,并将这些信息汇报到服务器端,服务器端将它们保存在数据库中。
同时客户端程序会自动将软件信息与该计算机的历史软件信息进行比对,发现信息变更时,向服务器端发送变更通知消息。
✓查询及报表统计
可根据上述收集的各种信息,包括用户信息、硬件设备信息、系统信息和软件信息进行组合查询搜索,以查找出满足条件的计算机,并生成相应的统计报表。
3客户端远程监控模块
✓外围设备控制
管理人员可在服务器端设定启用或禁用各计算机的外围设备,客户端将根据服务器端的配置自动禁用或启用软驱、光驱、U盘、MODEM、串口、并口、红外接口、1394口等外围设备和接口。
✓进程监控
管理人员可在服务器端指定各计算机必须运行和禁止运行的软件,客户端程序将定期检查运行的进程情况,发现未运行必须运行的进程和运行了禁止运行的进程时,将向服务器端发送违规情况,并向管理人员发送报警通知消息。
✓远程计算机屏幕截取
管理人员可在服务器端远程获取某客户端计算机的屏幕图像,获取方式分为实时获取和定期获取两种。
此功能可有助于管理人员进行远程的故障诊断和排除。
4非法外联监控模块
✓非法外联行为的监控
客户端程序定周期检测该计算机的网络连接情况,能够及时发现连接其他外部网络的行为,记录下其违规外联的信息并向服务器端发送违规记录和报警通知。
非法外联监控对于连接内部网络的外联和不连接内部网络的外联均能够进行检测,管理人员可在服务器端进行监控策略的配置,选择上述某一种监控方式。
✓非法外联行为的控制
对于发生非法外联行为的计算机,客户端可自动断开其各种网络连接,包括网卡连接、拨号连接、无线连接等。
管理人员可在服务器端配置恢复该计算机网络连接的策略,可选择自动恢复网络连接和确认恢复网络连接两种方式。
✓免检范围配置
在服务器端可配置无须进行外联监控的计算机,这些计算机将允许连接其他外部网络,在连接外部网络时不会断开其网络连接。
7.3.2网络拓扑管理子系统
该子系统进行网络拓扑的发现,展示全网拓扑结构以及子网详细拓扑,并对网络节点的连通状态进行实时监视。
获取网络节点的MIB库中的信息并进行统计,以图表的形式展现给用户。
利用该子系统可以实现:
✓根据用户输入的种子路由器的IP地址以及路由器跳数,快速扫描子网/路由器层网络拓扑,能够在60秒内发现一个有10个路由器的中等规模的网络结构。
该层拓扑图显示路由器与子网的连接状况,以及路由器自身的地址信息
✓扫描指定子网中的逻辑拓扑,判断该子网的逻辑结构,如总线型,令牌环等;扫描该子网内所有网络节点,判断节点类型,如路由器、交换机、主机、打印机等,并获取其相应信息(IP地址、MAC地址、名字等)
✓在子网逻辑拓扑的基础上,扫描该子网的物理拓扑:
以交换机为中心,分析该子网内所有节点的连接关系,包括主机与交换机之间、交换机与交换机之间的连接关系,在此表明它们分别连接到交换机的哪个端口上。
在发生安全事件时,利用网络拓扑结构图,可以大大提高定位的速度,有利于在最短时间内处理安全事件
✓在扫描获得的网络拓扑结构图上,可以对各交换机的端口进行打开/关闭的控制;
✓对于开启SNMP(SimplyNetworkManagementProtocle,简单网管协议)服务的网络设备,可以查看MIB库中的信息,包括系统信息、网络接口信息、ARP交换表、路由表、服务信息、帐户信息、共享信息、端口对应表、进程信息、IP统计信息、ICMP统计信息、UDP统计信息、TCP统计信息等
7.3.3IP地址管理子系统
✓实时扫描获取与分析在线计算机的IP、mac地址信息
✓IP地址、MAC地址的合法性判定,支持IP-MAC绑定、特权MAC地址和DHCPMAC地址三种合法性管理方式
✓警告和阻断不满足合法性判定的计算机
✓统计分析非法IP地址使用的历史情况
✓支持主动探测和被动侦听等多种扫描方式,采用特定算法对扫描过程进行控制,避免对网络流量造成明显负荷
✓灵活的部署方式,可以适应不同网络环境的需要,通过在各网段部署的IP地址管理代理装置,使IP管理目标和部署成本达到最优比例
✓灵活的配置,可以以图形化方式配置每一台代理装置的监控参数,并查询各个网络接口的扫描结果
✓对于监视到的违规信息,调用报警模块向管理员进行报警
7.3.4服务监视与端口扫描子系统
✓监视Apache服务的运行状况
✓监视Tomcat服务的运行状况
✓监视IIS服务的运行状况
✓监视MySQL服务的运行状况
✓监视Oracle服务的运行状况
✓监视SQLServer2000服务的运行状况
✓监视FTP服务的运行状况
✓扫描指定网段内所有计算机某一端口的开放状况
✓扫描指定计算机某个端口范围内的开放状况
✓通过报警模块向管理员报警
✓强大的可扩展功能,可以以模块方式加载新的服务监视功能。
7.3.5系统管理子系统
身份认证与授权模块
在用户管理方面,我们采用本公司自主研发的ePass授权管理系统(以下简称ePass)。
ePass是一个管理应用系统中的资源使用权限的标准软件系统。
它针对应用系统开发人员和应用人员,旨在提供标准统一的应用资源授权管理。
它可以对应用系统中的资源,如应用系统菜单,画面,报表和文档等资源的使用权进行集中管理。
同时,对应用系统使用者的账号进行集中管理。
提供统一的标准登录画面和应用画面模版,提供对指定账号、指定资源权限检查接口。
应用系统开发人员通过ePass系统可在应用系统中对资源的使用者权限进行跟踪和控制,应用系统的最终用户可对所有的资源和资源使用者通过ePass系统进行集中的授权管理。
ePass授权管理系统参考并应用了Kerberos安全协议。
不仅ePass系统本身得到了安全保护,而且ePass向搭建在其之上的应用系统提供安全服务,保证应用系统的安全。
利用ePass中间件所提供的应用接口,该系统提供如下一些功能:
✓用户的创建和删除
系统管理员可进行创建、删除用户的操作,可指定每一个用户的有效期,并可以为用户重置密码。
✓用户个人信息管理
系统的每个用户可对自己的用户信息进行管理,信息包括用户的姓名、电子邮件、商务电话、住宅电话、移动电话和口令信息。
✓组织机构管理
系统管理员可在系统中维护该组织的机构层次结构图,在管理中可按照组织机构层次进行导航,方便查找和管理。
✓用户群组管理
系统内置IP地址管理、客户端管理群组、网络拓扑管理群组、报警管理群组、日志管理群组和系统配置群组等多个群组,将用户加入到某个群组中,即可获得该群组所拥有的操作权限,从而达到对用户进行授权的目的。
✓组织机构授权管理
在客户端管理子系统中,可分别为每一个组织机构指定相应的管理用户,该用户登录系统后即可拥有该组织及其下级组织客户端管理的操作权限。
在IP管理子系统中,可以为每一个IP管理代理指定管理用户。
通过该功能,可以达到按照组织机构进行分级管理的目的。
报警与日志管理模块
✓报警方案和策略配置
系统预先定义了系统内各种可能发生的报警事件,管理人员可为每一类报警事件指定相应的报警接收人员,以此形成报警的方案和策略。
✓多种报警方式
系统支持手机短信报警(此方式需要手机短信专用模块支持)、eMail报警和桌面精灵报警等多种报警通知方式。
✓报警日志的记录与查询
系统在每次发送报警通知的同时,将在服务器端记录下该次报警的相关信息,方便日后进行查询。
✓日志浏览
可以列出所有当前或历史的日志记录,统计了所选日志表的总记录数和总页数。
在显示日志记录时,采用了分页显示,可以对具体的某一页进行浏览。
日志分为系统日志和操作日志两种类型,系统日志主要记录该系统工作的情况,操作日志则记录用户所进行的各种操作。
✓日志查询
可以对某一特定的日志表进行查询。
可以对日志记录的各个字段进行分类查询,如系统日志可按日期、功能模块、日志信息等级、日志标题、具体描述等查询,操作日志可按日期、用户等查询。
✓日志归档
为了防止日志记录在一张表中无限制膨胀,系统会定期对当前日志进行归档,系统自动生成一张新表。
这样既能有效地管理日志,又能达到保护日志记录的目的。
对归档的日志记录,可以定时自动清理。
系统配置
✓修改eCop自身的网络参数,包括IP地址、网络掩码、主机名、网关、DNS等信息设置;
✓提供界面供用户下载最近三天的系统备份文件,用于发生系统灾难事件时进行恢复。
✓提供在线升级功能。
✓提供一些相关工具的网络下载功能,包括客户端程序的卸载工具、桌面报警程序的安装程序、察看拓扑信息显示所需的jre环境安装程序等
✓提供安全关机和安全重启的功能。
7.4系统特性和技术优势
实用性:
eCop充分考虑客户的实际需求,进行实用化的功能设计;以最小的投资实现最全面实际的网络管理功能。
使网络管理系统的使用性能得到极大地提高,也提高了网络管理系统的使用效率,提高了企业资产利用率。
易用性:
eCop将所有的网络管理功能集于统一的浏览器界面,产品功能的集成性是是其它产品所无法比拟的。
提供全浏览器、中文化的用户操作界面,使用和操作非常简单、直截了当,网络管理人员无须任何培训就可以使用该系统进行网络管理操作,并且为客户提供个性化设置功能;
移动性:
eCop是基于Web的网络管理系统,具有Web环境下的各种优良特点,包括使用方便,不限于指定的操作工作站,可以同时支持多人在不同的地点访问管理网络,方便地分级监控体系架构,适合于任何规模的网络管理。
适合于多人多点同时进行网络管理操作;
安全性:
eCop自身带有用户身份认证和授权管理系统,保证其自身的安全;完全采用Linux操作系统作为开发支撑平台,因此系统不会遭受越来越凶猛的软件病毒的影响,同时Linux系统具有很好的可靠性,可以支持系统长期稳定地运行。
灵活性:
eCop以Linux为技术支撑平台,以Web技术为架构基础,安装和维护非常简便;由于采用Internet和Web技术,系统的分级组网非常方便,支持分级架构和多服务器架构;eCop采用先进的结构化、模块化设计,各功能模块拆分非常容易,可根据用户的实际需要加载各模块,具有自主知识产权,可为客户定制特定的功能需求。
7.5运行环境和系统指标
7.5.1运行环境
✧硬件配置
研华(Advantech)工控机SG-2103-A型
CPU:
VIA嵌入式低功耗芯片Ezra800型
内存:
184针DIMM插口SDRAM内存,512MB
硬盘:
3.5吋ATA硬盘WD400BB,40GB
网卡:
100Base-T以太网卡RTL8139C+型,3块
✧软件配置
服务器操作系统:
RedhatLinux8.0
Web服务:
ApacheTomcat4
数据库:
Postgresql7.3
客户端操作系统:
WinNT/2000/XP/2003
网络协议:
TCP/IP协议、HTTP协议
开发工具:
VisualStudio6.0,GCC3.2
✧环境规范
交流电源:
150W,100V~240V
操作温度:
0~40ºC
存储温度:
-20~75ºC
操作湿度:
5%~95%
存储湿度:
5%~95%
✧模块环境
eCop各模块目前支持的主流环境
功能模块
环境要求
备注
IP地址管理
网络环境:
10/100MEthernet,TCP/IP协议
客户端管理
操作系统:
Windows2000Professional
Windows2000Server
Windows2000AdvancedServer
WindowsXPProfessional
WindowsXPHomeEdition
Windows2003
拓扑发现
服务器版本:
Apache1.3/2.0
Tomcat4.x
IIS5/6
MySQL4
Oracle8.1.7
SQLServer2000
IBM不能控制交换机端口
服务监视
服务器版本:
Apache1.3/2.0
Tomcat4.x
IIS5/6
MySQL4
Oracle8.1.7
SQLServer2000
客户端卸载工具
同客户端管理
客户端诊断修复工具
同客户端管理
DhcpSniffer
操作系统:
Windows2000Server
Windows2000AdvancedServer
Windows2003
桌面精灵
操作系统:
Windows2000Professional
Windows2000Server
Windows2000AdvancedServer
WindowsXPProfessiona
7.5.2系统指标
指标体系
指标值
总体
产品名称
eCop服务器
产品类型
软硬件一体化功能服务器
产品介质
硬件服务器
运行平台
专业的机架式服务器
技术架构
B/S体系,基于Web方式设计
功能概述
IP地址管理,客户端管理,网络拓扑,服务监视与端口扫描,系统管理
主要性能参数
网络部署
适合各类网络
参数配置
Web方式,可配置网络参数及各功能设置
用户认证及权限
支持,根据各功能模块划分管理权限
数据加密
支持
通信加密
支持
日志审计
支持
升级会员 