随着信息化技术的飞速发展,用户经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终。
第1章 网络安全应用需求
网络安全,是计算机信息系统安全的一个重要方面。如同打开了的潘多拉魔盒,计算机系统的互联,在大大扩展信息资源的共享空间的同时,也将其本身暴露在更多恶意攻击之下。从网络运行和管理者角度说,他们往往对网络安全具有以下应用需求:
- 访问控制:通过对特定网段、服务建立访问控制体系,将绝大多数攻击阻止在到达攻击目标之前。
- 攻击监控:通过对特定网段、服务建立的攻击监控体系,可实时检测出绝大多数攻击,并采取相应的行动(如断开网络连接、记录攻击过程、跟踪攻击源等)。
- 备份和恢复:良好的备份和恢复机制,可在攻击造成损失时,尽快地恢复数据和系统服务。
- 设立安全监控中心:为信息系统提供安全体系管理、监控、保护及紧急情况服务。
- 完整的安全策略、政策。
- 有效的手段监视、评估网络系统和操作系统的安全性。
第2章 智和网管平台网络安全实现效果
2.1. 应用效果
1. 准入控制:支持设备身份识别与访问策略管理
2. MAC-IP和黑白名单控制
3. 用户和权限管理:支持多级网络/区域的组织结构,而且可以对不同的用户分配管理不同的网络/区域。用户登陆后只能看到自己权限下的网络和设备;
4. 日志管理:支持追溯管理员的操作内容、操作对象以及操作时间
5. 自动发现网络、设备、设备组件、以及设备间的物理连接关系;
6. 支持ACL访问控制列表策略;
7. 支持端口远程控制策略;
8. 管理网络设备的端口、带宽、吞吐量、流量、丢包率、错误包、运行状况等;
9. 图形化监视网络链路的故障、流量、网络数据,管理Windows、Linux、Unix服务器的运行状态等,监视各种数据库服务器、Web服务器、邮件服务器、J2EE服务器、应用系统等。
2.2. 方案价值
有效防范和应对各种网络安全问题,加强网络安全技术平台建设,实现对网络安全运行情况的全方位监控,提高网络安全事件的异常发现能力和分析能力,确保骨干通信网络和重要信息系统安全可靠。在健全和完善网络信息化系统的同时,智和网管平台能有针对性地监视网络性能,具备强大的应急处置能力和协调处理能力,确保在网络安全紧急事件发生时能够主动预防,准确判断、快速反映和有效应对,尽可能避免或减少网络安全突发事件对经济社会发展带来的影响和破坏。
第3章 关于可开发可扩展的智能网管平台-智和网管平台
智和网管平台(SugarNMS)由北京智和信通技术有限公司自主研发,完美兼容主流/国产系统及数据库,提供C/S和B/S两种客户端界面,兼容PC以及移动设备。已实现包括设备拓扑、故障管理、性能管理、配置管理以及安全管理等在内的超过1000种基础网管功能,从用户角度出发,实现产品的智能化、自动化,满足用户不断发展的设备管控,功能扩展以及开发集成的需求。
智和网管平台以“管控万物,无所不能,无处不在”为理念,采用了设备统一接入模型,可以管理网络设备、计算机、服务器、智能设备、物联网、工业设备等所有联网设备;适用于国防、电信、电力、金融、能源、通信、企业、工业、制造等多种领域。
智和网管平台以“管控万物,无所不能,无处不在”为理念,追求实现网管平台的无限拓展开发。从用户角度出发,实现产品的智能化、自动化操作,满足用户不断发展的设备管控,功能扩展以及开发集成的需求。
第4章 综合网管解决方案
智和网管平台,全面满足用户设备拓扑、故障管理、性能管理、配置管理以及安全管理的网管需求,真正解决了用户的设备管控、功能实现、运营维护以及拓展集成难题。智和网管平台可稳定运行于全平台,智能管控超过500种设备,为用户提高管理效率,降低管理成本以及管理风险。
4.1. 国产化网络管理
智和网管平台是国内首家国产化网络管理平台,已有成熟网络管理功能,既支持Windows、Linux平台,也支持国产化平台,并能智能管控国产化设备,真正实现100%的国产化网络、设备以及软件综合管理方案。
4.2. 全平台运行,多端响应
智和网管平台支持B/S和C/S构架,能够稳定运行于Windows端、Linux/Unix端,支持通过PC端、Pad端以及手机端对平台进行访问。
4.3. 全设备监控管理
智和网管平台全面监控网络设备、主机/服务器、中间件应用、Web服务。
4.4. 智和网管平台基础功能解决方案
自动发现:在自动发现的过程中可搜索到网络设备,并识别设备类型和厂商型号,生成设备的面板图或搜索设备资源,如:板卡、端口、CPU、内存、磁盘等,并发现设备之间的链路关系。
拓扑管理:以具象化拓扑图方式展示网络设备及其连接关系,用户可编辑。通过拓扑图可以对设备、设备资源、连接进行管理。
设备管理:通过拓扑视图中,用户可以方便的管理设备及其配置参数。
设备资源管理:支持在拓扑图的基础上,进一步展示设备细节,包括设备的物理组件,服务器上的服务(Web服务器、中间件应用服务、数据库服务器、邮件服务器)或者用户定义的其他监控对象。
连接管理:用户可以通过拓扑视图编辑连接,选择连接实时显示的性能数据项。
故障管理:可以收集多种故障信息,并及时的展现出来,通过设备、资源、连接可以查看到故障信息,也可以通过统一的故障管理界面管理故障。
性能管理:全面采集或接收设备资源的多种新能数据,通过曲线图、柱状图或表格等形象化的展示出来,按天、星期、月 查看性能指标变化。
事件管理:可以设备/服务器主动发送的消息,集中处理后,及时的通知用户,并可以通过集中的管理界面进行管理。
安全管理:支持多级网络/区域的组织结构,且可以对不同的用户分配管理不同的网络/区域。用户登陆后只能看到自己权限下的网络和设备。黑白名单功能用来检测用户所关心的设备(通过IP或MAC来识别)是否在网络中出现及出现时间,一提醒用户是否进行下一步的操作。
配置管理:支持同时对每多台设备进行配置/备份和软件升级,以减少管理员的工作量,提高系统的可用性。
统计报表:支持多项数据的统计功能,让用户对网络有一个全面直观的了解放。支持将软件中的统计图表导出或打印,以便备份或对比查看。
4.5. 智和网管平台开发集成解决方案
智和网管平台(www.zhtelecom.com)充分利用软件已有功能,提供多种开发模式和可拓展的框架模块供用户选择,简化复杂的网管基础技术研究。开发人员可以选择进行模块式或者代码式的开发形式,以便在最短的时间内满足用户各种定制需求,提高研发效率。同时智和信通提供全套开发资料以及完善的培训服务,用户可以随心定制出符合自身需求的网管平台,并对平台功能不断更新,以满足日益变化的管理需求。
平台组件和开发模式
在通用网管功能的基础上,开发人员可以选择进行模块式或者代码式的开发形式,以便在最短的时间内满足用户各种定制需求,提高研发效率。同时智和信通提供全套开发资料以及完善的培训服务,用户可以随心定制出符合自身需求的网管平台,并对平台功能不断更新,以满足日益变化的管理需求。
开发特性
- 快速开发:充分利用已有软件功能,提供可复用可扩展的框架模块,实现平台快速开发。
- 全面开发:提供全面的开发模式,从平台的界面到功能、管控设备均可根据用户需求自定义开发,从而完全开发出一款专属于用户自己的网管软件。
- 深入开发:客户端完全开发代码,用户可根据滋生需要更改服务端插件开发,用户可以自定义修改数据库在不改变现有表的基础上进行修改。
- 愉悦开发:完全满足用户个性化需求的开发模式,通过一周的标准培训即可上手,并在培训中解决80%的开发问题,让开发过程愉悦简单。
代码级开放开发服务
智和网管平台提供代码级开放模式,研发人员深入客户端源代码,实现用户个性化需求。同时提供完善的开发文档、实施培训以及技术支持服务,让用户从开发起始到平台使用全无后顾之忧。
- 开放源代码:深入客户端底层,开放客户端源代码,用户可根据代码进行界面、功能、设备的开发集成。
- 开发文档:提供《智和网管平台入门指南》,详细介绍开发过过程,以及过程中可能面临的问题。
- 开发培训:一周的标准培训即可掌握软件开发集成的操作,同时在培训中解决80%的开发集成问题。
- 技术支持服务:从需求分析到培训,开发过程中,提供完善的技术支持,在产品实施后,提供完善的售后服务体系。
第五章 应用案例-北京XX科技有限公司
北京XX科技有限公司需要在BTA传统桌面安全管理的基础上,进一步实现网络安全策略联动,根据设置的安全策略,对网络设备如交换机、路由器、PC机能采取远程控制动作,如关闭端口、开通端口、控制网络访问、设置ACL等。
用户需求:
- 服务器准入基准表生成:根据提供的交换机列表扫描交换机MAC表,获取IP、MAC、交换机端口对应信息,生成服务器准入基准表;
- 服务器准入控制:根据生成的基准表完成服务器准入控制,即时发现接入的非法设备并产生告警、端口关闭等相关动作;
- 基准表的变更:在基准表中手工增加新设备信息;
- 新发现未识别服务器的处理:对于新发现未识别的服务器,管理员基于此类告警,确定服务器是否合法,若合法可以进行审批加入MAC准入控制清单;
- 服务器准入基准表的管理:支持扩展字段,支持MAC准入控制清单的查询,比如根据IP、主机名等;
- 告警方式:根据收到的未识别设备告警,支持单独告警、告警+延时端口关闭、直接关端口+延时自动恢复等策略。
解决方案:
智和安全策略网管通过SNMP、Telnet从设备上搜集各种信息数据,并根据安全策略,向设备发出控制命令,通过MAC-IP安全策略、ACL安全策略、端口控制策略、身份识别等手段实现对网络访问的受控访问。最终与Cisco、华为、华三、中兴、迈普的网络设备顺利对接。