中国海洋石油总公司网络管理成功案例.doc

中国海洋石油总公司网络管理成功案例 来源:郑明智 中国海洋石油总公司是经国务院批准于1982年2月15日成立的国家石油公司。应用需求:中国海洋石油总公司的计算机分布在北京总部及上海、渤海、湛江、蛇口等各地分公司中，几十个服务器分别承担着认证、对内对外域名解析、内部和外部的WEB SERVER、邮件应用代理服务器以及网络管理和防火墙功能。同时还有NOTES应用、财务软件、WEB应用。这对于一个十几人的信息技术管理部来说，如果没有一个高效的管理软件，要监控这么多关键的计算机及应用，并使它们高效安全的运转是个艰巨的任务,随着现代企业IT应用的不断发展, 计算机网络应用规模越来越大，网络结构、应用越来越复杂。中国海洋石油总公司信息科技管理部多次提到，要建设一个先进的支撑整个业运行的计算机系统环境，而且还要建设具有一个先进水平的计算机管理系统。从而构造一个覆盖整个海洋石油网络应用的管理框架，利用这个管理框架可以自上而下的、全面集中统一的管理海洋石油网络应用。中国海洋石油总公司信息科技管理部认为计算机系统网络管理是一个系统工程，而不是一个简单的产品采购，因此必须选择一家能够对高端产品同时具有研发、销售和服务能力的公司作为合作伙伴，才能使自己的IT发展与业务的增长紧密结合起来。解决方案:对象海洋石油企业网络这样先进复杂的大型网络应用的管理，如何实现对其自上而下、全面的集中的管理，是一个重要的、迫切的问题。在实施该项目之前，海洋石油总公司网络应用管理是分散的、被动的。应用系统是客户机/服务器结构的分布式应用系统，整个业务应用环境是分布式的，同一应用的不同部分要分布在网络的不同节点上。在这种应用环境中，网络是承载关键业务系统的基础。应用不可能脱离网络，它不但联系最终用户和应用，而且要联系同一应用中的不同模块。因此，要把问题从各种IT资源中孤立出来也越来越难。管理员要不停的关注网络设备和应用的运行状况，网络管理员要想了解网络上有多少IP子网，这些子网是如何连接的，每个子网上有那些网络设备和主机等信息，只能查看过时的网络设计，并要记住不断变化的网络拓扑。Notes服务器复制是否失败，Route服务是否宕掉，当前等待队列中的邮件是多少等等，邮件管理员只能到服务器查看。用户经常反映应用系统很慢，实际上导致系统响应变慢的原因不仅仅是应用程序和数据库，也可能与用户到服务器之间的所有计算机和网络设备、线路都有关系。中国海洋石油总公司需要一套网络管理产品，来监控网络运行情况和性能，定期给出网络状况的报告，分析网络瓶颈，实现网络系统的量化管理，为系统的日常维护和升级提供科学客观的依据。在中国海洋石油总公司信息科技管理部技术人员大力配合下，北京神州泰岳软件股份有限公司作为管理服务提供商，对海洋石油总公司网络进行深入的需求分析，并在技术实验室模拟了有关必要工作环境之后，反复论证并编制出海洋石油总公司网络管理技术解决方案。其内容包括产品定购、安装前准备、产品安装、技术培训、客户化定制、项目评审、项目验收等。在每个阶段都会产生相应项目文件。在实施过程中，中国海洋石油总公司信息管理技术部与北京神州泰岳软件股份有限公司的技术人员每周召开一次本周实施总结和下周实施计划的协调会，以保证对项目实施进行有效的管理。同时，信息管理技术部的技术人员本着高度负责的精神，紧密配合神州泰岳工程师的实施工作。神州泰岳软件股份有限公司技术人员把握用户需求，根据海洋石油计算机系统网络管理的实际情况，辅以大量的客户化工作。可以说，以上几点保证了此项目的成功实施。 用户收益:通过实施该项目，信息管理技术部的技术人员可以全面掌握覆盖面广，设备繁多结构复杂的总公司IT系统，以二维和三维视图方式查看拓扑结构图，实现网络各节点的轮巡、各网络设备的性能监控，支持各种网络协议，并与第三方网络设备管理软件集成，对全网进行集中统一的网络管理。在一个控制台上管理广域网上的所有设备。提高了系统整体可用性，提供与非IT部门交流的必要手段。同时加快了系统故障定位，明确问题的责任，提高了网络系统的可用性, 如DNS由于意外原因不能工作, 通过网管的主控台, 可监测到网络的实际情况, 利用网管的选件功能, 可重起其系统，恢复网络的正常工作。另一方面，对WEB服务器可用性、状态和性能进行实时监控的基础上，监控内部网络对于INTERNET的使用，审计非法使用者访问情况，综合分析带宽的利用效率、各种应用占用带宽的比率，各个时间带宽的利用率等等，提供系统优化的必要数据，保证WEB服务器的高效运行，为企业提供高效的国际信息通道。神州泰岳软件股份有限公司作为管理服务提供商，拥一支高水平、高素质的技术队伍，对客户高度负责，充分发挥网管系统的各种选件功能，并辅以大量的客户化定制工作，挖掘已有系统的功能，并使之与网管系统高度集成，以客户的需求为自己工作的目标。与中国海洋石油总公司信息管理技术部一起形成了一套高效、规范的计算机系统和网络管理体系。通过在中国海洋石油总公司成功实施此项目，进一步提高了其IT管理部门在企业中的重要性，从而在中国海洋石油总公司实现了网络和系统的全面、集中、高效管理。中海油反垃圾邮件应用案例应用背景： 在近几年的时间里，大型传统行业随着电子信息化的大力推进，依赖网络开展业务和管理的模式逐渐普遍，而信息系统面临垃圾邮件的威胁也不可避免的成指数级增长，垃圾邮件占电子邮件总通讯量达到 75%以上，而这一数字在三年前仅为8%；与此同时，垃圾邮件的类型以及发送手段也愈加复杂化、多样化；电子邮件也一跃成为病毒的主要传播方式；这一系列的变化对大型传统行业信息系统网络构成了严重的威胁。中海油网络现状： 本次采用梭子鱼垃圾邮件防火墙的客户是中国最大的国家石油公司之一中国海洋石油总公司（以下简称中国海油）。是中国最大的海上油气生产商。公司成立于1982年，注册资本500亿元人民币，总部位于北京，现有员工4.4万人。 公司的内部管理和海外业务拓展，随着网络系统的建设而日益高效便利，只是伴随着病毒，木马，间谍软件的垃圾邮件对公司的危害已经到了非治理不可的地步： 公司形象这是电子邮件使用者的第一大问题，由于垃圾邮件的泛滥，对于中海油而言，则可能造成员工弃用本公司邮箱，这不仅对公司以前网络投入造成浪费，且有损公司在客户和公众心中的形象。 降低工作效率使用者会浪费无谓的时间阅读并处理这些无用的电子邮件。使用者工作效率降低被认为是公司因垃圾邮件所导致的最大损失。 不当内容垃圾邮件中可能包含攻击性文字，大多是政党攻击，此种邮件可能会伤害特定的群组，甚至牵连公司受到行政审查。此外，还有相当数量的色情、非法宗教、以及其他与国家法规相悖的信息，也将对收件人造成不同程度的冲击。 浪费IT资源进入网络的大量垃圾邮件，会影响公司的网络使用带宽。 对安全和隐私造成危害例如邮件病毒、Phisher诈骗邮件、身份盗窃信等。 现代垃圾邮件技术和危害： 当垃圾邮件成为跨国有组织转发垃圾邮件的犯罪行为，单靠一个国家的行政力量或单纯依靠公司IT部门自有技术很难应对，因此中海油必须主动采取相应手段，防御垃圾邮件的威胁。 电子邮件系统目前是中海油的关键业务系统之一，所有Internet电子邮件均统一发送到总邮件服务器，由邮件服务器通过网络分发到各分支机构的电子邮件客户端。目前邮件网关服务器，主要用于收发INTERNET邮件，操作系统Windows 2003，邮件系统为Exchange 20000，前置机部署在DMZ区，后台主要收发邮件服务器部署位置在内部防火墙后边，高峰邮件大约为7001000左右，每天的电子邮件流量在5万封左右。 目前大量垃圾邮件、病毒邮件通过电子邮件系统传播，不定期对中海油邮件服务器洪水攻击、DDos攻击、列举式字典攻击，初步估计5%左右的电子邮件为病毒邮件，而垃圾邮件数量占邮件总数量的85%以上；而这些垃圾邮件给邮件系统带来了大量潜在威胁： 钓鱼式攻击； 木马； 间谍软件； 病毒； 后门程序 以上这些威胁已经使垃圾邮件成为中海油很大的安全漏洞，迫切需要通过实施专业的反垃圾反病毒硬件网关产品来加以解决，也可以大大减轻公司的邮件服务器负荷，节省大量邮件服务器资源。 实施梭子鱼垃圾邮件防火墙 垃圾邮件是对简单邮件传输协议(SMTP)协议的一种滥用，该协议是基于RFC 524基础在实施在邮件系统之中。RFC 524在1973年提出，是在计算机安全还不是主要问题的时代发展起来。正因为如此，RFC 524不是一个绝对安全的命令集，它及SMTP协议很容易被滥用。绝大多数垃圾邮件制作工具利用了SMTP的安全漏洞。伪造信头，伪装发件人地址，隐藏发件人系统，混淆邮件内容，这样就造成真实发件人识别困难甚至无法识别。 针对不同类型的垃圾邮件，梭子鱼采用了十二层垃圾邮件过滤技术，从不同的角度对邮件进行严格的检查，准确的识别出垃圾邮件将其隔离或阻断。 需要指出的是，梭子鱼之所以要采用这么多过滤技术，原因在于不同的垃圾邮件阻断技术帮助用户阻断不同类型的垃圾邮件，任何一种垃圾邮件阻断技术都有优点和缺点及限制，垃圾邮件发送者一直试图通过变化的发送技术绕过反垃圾邮件技术，因此要采用一个全面包含最有效垃圾邮件阻断技术的整体解决方案，针对中海油的状况，推荐使用400型号的邮件防火墙。 梭子鱼垃圾邮件防火墙投资报酬率分析 计算结果 具体方案 博威特技术工程师建议用户将梭子鱼垃圾邮件防火墙安装在网关处。由于传统的垃圾邮件防护方案只是在每台计算机上安装反垃圾邮件软件，这样无法在当前邮件垃圾的主要入口处进行防护，也就是只有在垃圾邮件到达网络中的客户端计算机和服务器后，才通过本地已经安装的防垃圾邮件软件进行过滤，服务器负载依然很高，因此在其网关处进行垃圾邮件保护的实际意义尤为显著。 除了通过减少邮件量来减轻服务器负担之外，产品还通过一套简便的管理系统简化管理员的工作。强大的管理功能表现在，提供完整在线邮件纪录报表并具查询、管理功能。独特的个人分用户隔离功能，终端使用者可分类管理邮件，与此同时对邮件防火墙进行了贝耶斯培训，大大分担了管理员的工作量。“分用户隔离”中多项人性化选择被网管员所称道。使用者可自定每日、每周(或不寄发)自动寄发隔离区通知信给使用者。不需登入主机，通知信件上便可直接勾选邮件进行送出、删除、加入白名单等动作。Microsoft Outlook接口下还可用 Plug-in程序将信件分类为垃圾、非垃圾做为Bayesian邮件分析样本。 即使有以上种种优特点，但如果安装起来会影响到现有系统运行，设置繁琐，也会影响到盛大邮件系统的稳定和服务的持续。梭子鱼垃圾邮件防火墙即插即用的硬件性能解决这一软件解决方案无法克服的问题，安装的时候不需要安装软件也不需要对即有的邮件系统进行任何修改，兼容于所有的SMTP邮件服务器如:Sendmail、QMail、Exchange、Notes等。 博威特技术经理江磊表示，梭子鱼防火墙的易用性和高效能能保证在无需配备专门技术人员的情况下为盛大提供一个世界顶级的邮件系统防护带。 梭子鱼垃圾邮件防火墙使用效益及客户评价： 保护邮件服务器免受各种攻击，提高邮件服