商场网络安全解决方案

1、商场信息安全建设项目方案书北京中辰华创科技有限公司目录第一：项目建设背景 错误 !未指定书签。第二：建设标准（等级保护二级） 错误!未指定书签。第三：商场安全防护需求 错误 ! 未指定书签。网络划分 错误 !未指定书签。重要边界及出口安全防护 错误 !未指定书签。上网行为审计管理 错误 !未指定书签。终端管理及移动存储介质管理 错误!未指定书签。运维集中管理 错误 !未指定书签。第四：商场安全防护方案设计 错误 !未指定书签。互联网出口安全网关 错误 !未指定书签。互联网上网行为管理系统 错误 !未指定书签。终端安全及移动存储介质管理 错误!未指定书签。全网视图管理 错误 !未指定书签。资产管

2、理 错误 !未指定书签。用户行为管理 错误 !未指定书签。移动介质管理 错误 !未指定书签。桌面管理 错误 !未指定书签。运维网络管理 错误 !未指定书签。网络拓扑管理 错误 ! 未指定书签。设备性能管理 错误 !未指定书签。网络安全设备管理 错误 !未指定书签。39 / 38真实设备面板错误 ! 未指定书签。设备配置备份错误 ! 未指定书签。地址管理错误 ! 未指定书签。第五：设备应用清单 错误 ! 未指定书签。第一：项目建设背景商场是一家大型集团化公司， 目前在进行规模化运营， 是集品质购物、 高端 餐饮、休闲娱乐、 体验观光于一体的一站式购物广场， 将成为市民休闲购物娱乐 的理想去处。

3、随着业务的拓展和规模的扩大， 商场信息化程度不断深入， 随着而 来的是需要进行严格安全防护和管理， 当前商场面临着新建和深化网络安全防护 的任务，主要面临问题如下：、互联网出口安全威胁：商场内部员工办公安全保密管理以及外部顾客快捷 接入安全管理，需要对统一的互联网出口进行安全访问控制以及外部入侵进行防 护；、内部数据传输威胁：商场内部员工办公文件敏感信息安全防护，防止通过 互联网通道如即时通讯、邮件等方式将内部商业信息传送；、移动存储介质威胁：商场内部员工移动存储介质如盘、移动硬盘等使用缺 乏管理，导致病毒交叉感染，数据传输缺乏监控；、病毒流窜安全威胁：商场病毒统一安全防护，在对终端计算机进行

4、病毒防 护、补丁修复，同时在网关出口进行统一的病毒过滤；、外来终端带来威胁： 内部办公网经常有外来计算机随意接入内部网络， 存 在数据非法访问（非授权访问）和外来攻击威胁（如病毒、木马等） ；、运维管理威胁：商场有自有中心机房，核心交换机和各种应用服务器，同 时，随着安全设备的部署， 如何保证这些设备实时正常运行， 需要建立集中的运 维管理系统，对网络设备、服务器、安全设备进行统一的管理和运维监控。第二：建设标准（等级保护二级）本次安全系统建设，在满足商场办公环境的业务和安全基础上，按照公安 机关等级保护要求进行网络性能、安全防护实施。计算机等级保护是针对基础网 络、信息系统的安全运行和使用提

5、出保护要求， 在商场网络中，通过界定的使用 人群、涵盖的应用系统，并保障商场信息管理外的正常办公所需， 在此基础上购 置相关资源，新建安全网络，新建或者升级主要应用系统，使其在物理环境、网 络、系统、应用、数据、终端和系统集成六方面均达到对应等级要求；完善该网 络相关安全保障体系和日常管理办法。通过等级保护要求的建设实施，进一步提高商场基础网络和信息系统等级保护符合性要求，将整个网络系统的可用状况和安全状况提升到一个较高的水平，并尽可能地消除或降低系统的安全风险。等级保护二级技术建设要求安全类别控制项主要安全措施二级保护措施物理安全物理访问控制机房安排专人负责，来访人员须审 批和陪同V重要区域

6、配置门禁系统V防盗窃和防破坏暴露在公共场所的网络设备须具备安全保护措施V主机房安装监控报警系统V防雷击机房计算机系统接地符合-建筑物防雷设计规范中的计算机机房防雷要求V机房电源、网络信号线、重要设备安装有资质的防雷装置V防火机房设置灭火设备和火灾自动报警系统V机房配置自动灭火装置V电力供应机房及关键设备应配置备用电力供应V重要科室应采用双回路电源供电环境监控机房设置温、湿度自动调节设施V机房设置防水检测和报警设施V对机房关键设备和磁介质实施电磁屏蔽网络安全结构安全网络应按职能和重要程度不同划分网段V重要网段之间应采用防火墙进行隔离V访问控制网络边界部署防火墙或网闸V安全审计网络日志审计、网络运

7、维管理安全审计V边界完整性检查采用准入控制系统，实现准入控制、非法外联检查V采用准入控制系统，实现准入控制及非法外联可阻断V入侵防范入侵检测系统入侵防御系统V恶意代码防范防病毒网关V主机安全入侵防范采用服务器安全加固V安全审计采用终端管理系统实现安全审计V恶意代码防范防病毒软件V应用安全身份鉴别采用电子认证措施安全审计数据库安全审计系统数据安全与备份恢复备份和恢复本地数据备份与恢复V硬件冗余关键网络设备、线路和服务器硬件冗余异地备份异地数据备份第三：商场安全防护需求网络划分通过使用，可以把物理意义上的一个网络划分成很多个逻辑意义上的子网， 使网络的边界更加清晰。 的出现使交换机承担网络的分段工

8、作， 而不再使用路由 器来完成。各间是逻辑隔离的， 相同内的主机间数据传输不会被其他上的主机得 到，因此减少了整个大网络内部各种相互攻击行为发生的可能性， 增强了网络的 安全性。另外各分属不同的广播域， 限制了各种广播报文的流转， 能够减少网络重要边界及出口安全防护网络出口边界保护的有效控制措施包括防火墙、 鉴别访问控制等。 有效的监 督措施包括基于网络的入侵防护系统（） 、漏洞扫描、网关防病毒等。这些机制 可以单独使用或结合使用，可以对边界内的各类系统提供保护。防火墙是一种部署在不同安全域之间的高级访问控制设备， 能根据制定好的 安全策略控制不同安全域之间的访问行为。 网络中使用防火墙将用户

9、域和服务器 域隔离开来，并制定相应的访问规则。服务器域分为安全管理域和应用服务域。 安全管理域包括一些应用无关的服务器， 如、防火墙控制台等； 应用服务域包括 各应用服务器、数据库服务器等。上网行为审计管理在享受互联网带来的巨大便利的时候， 由其带来的负面影响和安全威胁也日趋严重。工作效率降低、带宽滥用、下载传播非法、黄色信息、机密信息泄露等 问题日益突出，并由此产生法律、名誉、经济等各方面问题。特别是互联网安 全保护技术措施规定 （公安部第号令）明确要求提供互联网接入服务的单位必 须保留用户上网日志天以上。 这对于互联网管理， 上网行为规范， 提高网络利用 率等方面提出了迫切的需要。终端管理

10、及移动存储介质管理在日常的网络维护中， 来自终端的安全威胁是最大的。 终端任何不当甚至恶 意的操作都可能对网络安全造成影响，因此必须对于终端的行为做出一定的控 制。控制采用方式进行， 在服务器端发布安全策略， 终端安装安全代理软件限制 用户行为。可行的策略包括禁止网络文件共享，关闭主机的口、口、串口，禁止 终端安装软件，监控终端的拨号外联行为，监控终端的启动服务、运行进程等。 终端的安全代理软件隐藏运行， 当发现有不符合安全策略的行为发生时， 按照规 则做出反应。重要服务器和用户终端的并口、 串口、接口等数据接口以及软驱光驱等设备 应该采取安全控制措施，防止被非授权使用。网络出口访问速度商场出

11、口带宽目前仅仅有个接入互联网， 商场日常承载人数已到人日， 带宽 已捉襟见肘，已无法满足顾客的正常应用体验， 尤其是下载体验、 视频观看体验、 下载体验，仅仅依靠出口扩容也不能完全解决用户体验问题运维集中管理机房中心拥有各种不同厂商、 不同类型的设备， 支撑着用户日常工作。 面对 如此庞杂的异构网络环境，维护网络设备、服务器数量众多、品牌众多，维护工 作量太大； 无法及时发现网络故障和系统故障原因； 管理员无法整体掌控网络和 系统运行情况； 管理员无法掌控未来网络及系统运行的趋势； 无法对维护人员的 工作内容进行有效记录和考核；没有形成符合国际规范的运维管理制度体系等 等。而这些问题将随着各类

12、信息系统的建设进一步扩大并会产生新的维护管理问 题，严重威胁着系统网络的稳健运行。如何实现对全网进行全面、统一、准确、及时的管理，保障系统网络以及依 系统网络运行的各应用系统的稳定、安全运行成为用户需首要解决的问题。第四：商场安全防护方案设计针对商场现有网络结构现状，以及未来业务扩展需求，建立基本的商场网络 安全防护和运维体系。基础网络信息安全防护体系包括：互联网出口安全网关（防火墙、入侵防护、防病毒网关）、互联网上网行为管理、内网终端安全及移动存 储介质管理、运维网络管理系统。通过上述四个系统的建设，能够基本满足商场现有安全管理需求员工办公城服务器域IT运现网络堂理罚响毒星中桓刮台终峯安全及

13、移功存倚介瞳管理网络管理域商场网络安全防护体系示意图互联网出口安全网关多核安全网关是推出的的新一代多功能安全网关产品，它主要是面中小企 业、网吧、酒店、政府机关等网络使用环境，安全网关采用了领先的位多核体系 架构和高速交换总线技术， 这让它不但在防火墙性能上实现了全面的跨越， 而且 在防病毒、流量整形及应用层行为管理等方面的处理能力也得到了前所未有的 提升，安全网关支持的如防 欺骗、上网行为管理、带宽管理、多链路捆绑和用 户认证等诸多丰富的功能特性， 让它成为了中小型网络安全部署的首选产品。 安 全网关提供个接口，可充分满足中小型网络对于安全设备的接口使用需求。1. 安全网关拥有先进的安全防护

14、功能，除具有高级状态检测包过滤技术外，还 支持对应用层报文进行检测和过滤， 可根据包括安全域、 协议、端口、应用、 用户以及时段等在内的诸多条件定制访问控制策略，的功能还支持 对、等应用层协议进行状态监控。2. 安全网关采用基于硬件加速方案的高效专业防病毒引擎， 结合会话流智能病 毒扫描技术，能够对、 、等应用协议进行在线实时病毒查杀，多核安全网 关采用了创新性的病毒检测技术，能将接收数据和病毒扫描同步进行，并对 扫描的文件大小及数量没有限制， 该技术在提升防病毒吞吐量的同时也降低 了延迟。3. 安全网关提供基于深度应用识别的入侵防御解决方案， 能有效防范网络中各 种复杂的应用攻击，安全网关支

15、持超过种以上的攻击检测和防御，并以强大 的多核处理器为后盾，能为用户提供强劲精准的入侵防御功能。4. 安全网关采用的多核处理器提供了强大的加解密性能，在功能上支持包 括、等多种业务，可提供包括星型、动态、速连等诸多组网技术及组网方 案，安全网关的 支持用户名及双因素认证技术、单点登录技术、客户端安 全完整性检查技术、主机绑定技术等，这些为客户端的远程接入提供了安全 便捷的手段，此外，对于的支持也为用户在组网上提供了更多的选择。5. 安全网关具有丰富的层应用识别能力和管控手段，可对网络中的各种、 、网 游、炒股及在线视频等众多应用进行管控，而且随着系统应用特征库的升级 可识别的应用种类和数量还将

16、不断增加； 安全网关内置了专业的分类过滤功 能，它根据各网站提供的内容不同，将站点分为大类，其涵盖的站点数量截 至目前已超过多万，而且我们的分类库的种类和规模还在不断的升级更新。 此外安全网关还提供网页内容过滤、邮件过滤、论坛发贴过滤等多种上网行 为管理功能。6. 安全网关具有堪比专业流量整形设备的强大的流控功能， 其支持在设备各接 口的上下行双方向上针对多种元素进行多级带宽控制，包括基于的流量整 形、基于协议和应用的流量整形（支持的层应用数量随特征库的更新不断增 加）、基于认证用户的流量整形、按时间段控制流控策略的生效以及基于以 上多种手段进行组合控制的流量整形。 安全网关所拥有的丰富流量整

17、形功能 可为用户提供更加灵活的网络管理手段， 同时也能为用户带来更加理想的网 络使用体验。7. 安全网关拥有完善的路由特性，支持包括静态路由、路由、策略路由、动态 路由（、）；基于对多等价路由特性的支持还可以实现多种算法的多链路负 载均衡功能；此外，基于二三四层的链路备份技术也为网络的稳定运行提供了有效的保障。8. 拥有完善的处理机制，完美支持当前各种源或目的地址转换功能。领先的地 址池端口复用技术，可使得单个最高可支持万条会话处理请求。在地址快要 枯竭的今天，该技术可最大程度上为用户节约宝贵的地址资源。9. 安全网关独有防欺骗机制，通过为网络中的客户端下发防欺骗客户端可彻底杜绝网络中的欺骗问

18、题发生，同时支持自动绑定，防攻击，反向查询、等多种安全防护手段。互联网上网行为管理系统? 高可靠性设计，硬件网络接口具备功能，系统故障时自动物理导通； 采 用卡盘硬盘的双系统设计，降低宕机风险；软件支持双击热备，支持系 统产生故障时自动从主机切换到备机? 精准的协议分析，采用和相结合的技术? 系统软件、应用协议库以及分类库实时在线更新? 分角色管理设置，可对运维层和管理层授予不同管理权限? 层进式管理设计，网络管理清晰明了强大的分类库集成了默认的分类库，总的域名达到近千万条，这些分类库是由公司组织专 门的团队进行人工分类的，符合中国国情，分类结果较为准确。同时支持用 户手动添加分类。本土化应用

19、及协议分类库应用彩虹网易百度飞信聊天淘宝旺旺聊天.I1tel帆恵电时吨立足国内进行本土化开发，对网络主流应用和协议准确识别，为国内用户提 供最及时、最准确的协议分类库。应用识别：支持不同版本、网易、飞信、淘宝旺旺、等聊天软件的 应用识别文件传输：支持识别文件传输、文件传输文件、飞信文件传输、文件传输、文件传输、文件传输、文件传输、等文件传输应用邮件识别：支持、邮件应用识别流媒体识别：支持、等流媒体应用识别：支持、天涯等邮箱应用股票软件识别：支持大智慧、钱龙、指南针、龙卷风、通达信、证券之星、 湘财证券、大福星、分析家、文华财经、广发证券、国泰君安、股票之星、 富远行情、行情眼、大有期货等股票应

20、用及行情软件网络游戏识别：支持魔兽世界、武林外传、梦幻西游、征途、梦幻诛仙、完 美世界、劲舞团、船体、地下城与勇士、永恒之塔、穿越火线、游戏、街头 篮球等余种网络游戏的应用识别应用识别：支持对、旋风、点点通等余种及加密应用 地下浏览识别：能够识别使用地下浏览软件逃避普通监管的网络行为，能够识别火凤凰、世界通、洋葱头、花园、自由门、无界、等代理软件。网络视频识别：能够识别新浪、酷、优酷、迅雷看看、土豆视频、风行在线、网易视频、六间房、沸点、皮皮影视、日月、搜狐等 多种网络视频应用数据库应用识别：能够识别等数据库应用远程连接识别：能够识别远程桌面等远程连接应用管理策略灵活可基于地址、时间段、用户、

21、部门、协议等实施监控。灵活多样的审计、报警功能可根据、关键字等进行自动审计，并可通过网页、邮件方式进行报警，也可以对访问、邮件、下载等网络行为进行阻断。完善的报表输出报表输出是日志审计系统的重要功能， 支持全局流量、流量时间、时间趋势、 上网以及自定义的流量报表功能。在线信息管理支持对在线用户的实时监控，比如聊天用户监控，并对实时网络使用情况进 行监控。硬件参数型号()()()()规格尺寸机架机架机架机架适用范围小型企业小型企业中型企业大中型企业推荐并发用户数网络接口个千兆电口个千兆电口个千兆电口，个千兆光口个千兆电口，个千兆光口并发用户，同时部署台（）终端安全及移动存储介质管理管理人员可以通

22、过系统分析模块实时查看“系统事件信息”、“软硬件资产信 息（、内存、硬盘、操作系统和防病毒软件）”、“设备注册信息（注册设备、未 注册设备和卸载设备的比例关系）”和“注册设备在线信息”。5岛!-文徉和 WE! ，喟I ”了 TH|事丹耐r ffBMWTWt ft|1) XJV 1 讨*& 1 1雪二 亠*r 上我曼撫Jnil -S-Jt n 17用户可以对“系统事件信息”进行多种时间段的调取，包括：日、周、月、 季度和自定义时间范围。全网视图管理除了提供了 “全局配置”、“系统配置”、“注册管理”和“终端管理”之外， 还通过自身访问控制和帐户控制功能加强了服务器端的安全防护，另外，系统自身强大

23、的日志审计功能也是的亮点之一，如下图所示：资产管理的资产管理功能实现了对应用中的资产和备用资产的统一管理， 以及资产使 用过程中的资产维护，真正实现了无论是使用中的资产还是备用资产 “履历”的 记录和分析。资产管理包含：注册和非注册设备资产信息，使用中资产的管理和备用资产 的管理；注册设备和非注册设备资产信息：()注册设备基本信息：当前注册设备运行的操作系统类型和版本、内存和硬盘大小空间信息、个人注册信息、和等曹产耳1片 w嘿占的駁奶楓FT曜 草币叭|彳jfirtff-呻佯审存|：严iWTi说_lttflQ_4fi* 的M 丹如賦蠢 届覽熨覽 UWB4AAi sno-rOTmTrrffnan|

24、尸忡鼻器总ttBR* Ki -3-W II * *=ff.K-Kbcm *4 fiB. 4i-nilill TiMirl M Pi-iffMo 平 E?micb rtric 5gf IMHTnl )u TU TWORlw 弓IH葛.m硯董Hi币巴利VUXfflHt* 1 & TM IJ/ irflMari上址* In.mi Fivi z厂Ii1iJ:i nL Lar4L MdEa Din Gi- FarIIl 皿価 Fl -*!r申li twH wr7rnrhcr FflFI 盯爭* a . Un bu .a r*a 冲 a 4TM 砂 0 4 DHF JeEbt Xdl1vJ -用户行为管理

25、（一）用户上网行为审计、控制.上网行为审计可以按照特定后缀名（、）对进行审计，并且提取文件标题，根据信息从库 查找相应的归类，将这些信息上报中心服务器，管理员可以通过数据分析平台很 直观的了解到本企业的访问情况，比如某人在某时访问了体育类网站，某时访问 了娱乐类网站，并且可以查看相应网站的标题。.上网行为控制可以定制基于类别的控制策略，灵活的控制某一类网址访问，简化了管理员 的策略配置，使管理员可以灵活、有效的制定出相应的管理策略。.邮件审计可以灵活配置发送者和接收者的邮局地址， 并且可以指定记录发送接收的正 文附件，并且将压缩后的邮件内容上报中心服务器，为日后审查提供数据依据， 比如通过邮件

26、泄露公司的机密信息的事件。. 邮件控制可以设定全部禁止、 而只允许本司的邮箱等相应管理策略， 从而可以严格限 制企业员工的滥发邮件，并由此导致机密信息的外泄。. 行为审计 可以定制相应审计策略详细记录某个用户上传了什么文件，下载了什么文 件，并且可以灵活的设置针对文件名或者文件内容的记录。. 行为控制可以定制相应控制策略，灵活的控制对的使用， 比如禁止影音类文件的下载。（二）本地文件审计对终端访问本地的文件资源进行详细的审计， 可以检测到该主机上 “创建文 件”、“删除文件”和“重命名”文件的操作。（三）剪贴板审计 提供了对微软剪帖板内容的审计。（四）光驱使用控制 通过下发光驱使用控制策略，

27、可对终端的光盘读写 （刻录）行为控制和记录。（五）访问共享审计对终端访问他人的网络共享资源进行详细的审计跟踪， 可以检测到对某个主 机的某文件夹读操作、写操作、修改操作，并且可以检测到对某文件的读操作、写操作、修改操作。（六）打印审计、控制对打印文件的名称、 内容进行详细记录， 可以有效监管企业员工对打印的使 用。（七）即时通讯审计对主流的即时通讯软件进行侦听， 对通讯信息进行及时查看和监督， 对可能 存在的涉密行为进行及时的阻止，便于对内网用户的通讯管理。移动介质管理移动介质的使用不当已经造成了越来越多的政府和企事业机密信息的泄露， 造成了巨大的损失。 人们对移动介质的管理的意识也越来越强，

28、 各单位也都加强 了对移动介质管理的力度。采用了以下方法对移动介质进行管理。. 入网授权：移动存储在注册打标签之后，才能在内网中使用。. 人机绑定：通过制定移动存储的访问策略，将通过授权的移动存储的使 用绑定到某个特定计算机上，达到专盘专机用的目的。. 人盘绑定：移动存储设备注册时，通过注册程序对移动存储打上标签， 在移动存储上对用户信息进行记录，达到人盘绑定的效果。. 操作日志审计：通过在移动存储上建立专门的日志区，保证了移动存储 在网内、网外的使用记录得到全面的记录。. 身份认证体系：通过审核的移动存储在网内使用时，需要通过身份认证 才能正常的使用。移动存储不同的分区可以设置不同的身份认证

29、密码。. 磁盘访问控制：对移动存储访问采用读写控制模式，从底层彻底杜绝了 病毒和木马。 通过策略对移动存储的访问模式进行控制， 可对移动存储和终端主 机中的重要数据进行保护。桌面管理（一）终端点对点控制随着计算机网络规模的膨胀， 几乎每个管理员都面临着众多工作终端的故障 处理，并且疲于奔波于这些故障终端之间， 其中大多数故障都是简单故障， 只需 管理员对其进行简单分析处理即可。“终端点对点” 是一个有效应对于简单问题处理的工具， 可以从任何一个可 以访问网络的主机来登陆网页平台， 找到相应的故障终端， 点击控制， 网页会自 动加载下载“终端点对点”工具。该工具从系统状态、 进程管理、 服务管理

30、等三方面入手， 对远程终端的基本 运行状态进行了比较全面的动态分析展现。并且可以同时启动多个“终端点对 点”，对某些重要的服务器的运行实时监控。比如：关键服务器的、内存使用走 势图，以及所运行的关键应用程序的、内存使用走势图。（二）进程执行控制通过终端代理对本终端进程知识信息的采集上报， 为管理员对本单位的进程 运行许可策略的定制带来了便利， 管理员可以根据对不同类别的进程制定相应的 管理策略，比如对一些聊天性质的进程： 、等进行禁止，从而规范对员工的管理， 提高工作效率。 并且还可以对某些关键服务器的应用进程进行保护， 确保其在某 一时间段内必须运行。（三）服务执行控制通过终端对本主机服务知

31、识信息的采集， 并且实时更新采集信息， 将信息上 报中心服务器。 管理员可以依据终端的工作特性， 制定相应的控制策略， 比如将 某些没有必要的、 影响工作性能的、 或者有安全隐患的服务禁止掉， 并且可以对 关键服务器的某些关键服务制定在某段时间必须运行的策略。（四）文件分发 文件分发功能用于集中从管理端向客户端分发文件， 考虑到文件大规模分发 可能带来的网络拥塞问题，系统采用了自主研发的网络负载平衡数据传输技术， 使多文件、 大文件，在不影响网络质量的情况下尽可能快的分发到每个终端， 为 用户的文件共享资源的快速传播提供了便利。（五）软件部署 系统的软件部署功能作为文件分发的一个补充， 他的确

32、从应用层面给管理员 的软件安装部署工作代来充分便利，可以让安装软件的时间大大节省：单个软件安装时间 F-R382问 14-dCOPQR3825-015-02車庆|I 7耳阳T呷骇瓠燈兀-FDR3合岛-号驾乂河献半蹲严虫匕躱f湖北炉弋冷HL SHfC. P3S25-015-02：in comsc旳江西*8亠pclr竺畑yam iil福建贵州云南广西图：拓扑视图设备性能管理系统对于监控对象，提供层次化的性能指标监控策略，用户可以根据自己的 管理需求，灵活定义不同监控阀值所产生的告警级别， 更好、更精确地掌握设备 负荷情况；同时网络设备的管理可以通过实时性能分析工具查看当时设备的实时 负载情况，可方

33、便管理员进行有效管理。端口流量趋势可以根据指定端口进行流量的趋势分析随时记录入流量， 与出 流量示数，端口的管理状态、接口发送接收速率等信息，根据开始时间和结束时 间查询指定时间段的流量分析，实时监控网络指定端口的带宽。Gv tch ta制口d上iICCK SdCK SCLK. locik.nmMlio啊 :rs Str 计1;,科10 d-r+rlm .iTJ口 E图：端口流量显示在下图可以看见出，入流量每一小时时间的实时分析记录带宽信息图：入流量显示表图：出流量显示表网络安全设备管理通过系统性能管理，系统自动定时轮询采集被管网络安全设备的性能数据， 以图形的方式展现性能指标， 并可根据用户

34、需求来定义监测指标， 可监测的性能 指标有：? 设备的负载；? 设备的内存利用率；? 设备各接口的流量，进行、 、和统计，区分入流量及出流量；? 设备接口丢包率和错包率；? 设备接口到对端的丢包率和网络延迟；? 设备接口的利用率；? 设备的端口流量；? 设备的端口速率；? 指定链路的延迟、可用带宽同时支持通过 方式，对设备日志信息进行基于告警规则的关联分析，快速 定位故障。真实设备面板依托网络管理模版特有的面板管理引擎， 系统可以准确生成所有模块和非模 块网络设备的真实面板图， 并在设备面板图上真实、 实时地显示设备及其各端口 状态信息。EEi:T：】虽丄丄吐几.L* 士九”-”第VJ9 .

35、二二船r| ws IIJk A- *fc. -M. Jfc 4llLtV ,OKIH厂4 jflah-cl_iyLTi l iJ图：模块网络设备面板呈现10 1.1 lS3Rndih图：非模块设备面板设备配置备份设备配置备份功能是通过、两种备份类型对不同厂商和不同设备类型的网络设备进行备份，这样使用户通过多种策略对设备进行自定义的备份来防止数据的丢失，为设备的性能检测与对照提供依据。按设备进行配置备份设备配置备份支持二层交换机、三层交换机、路由器等网络设备进行备份:贰Ml黑曇K相F Qm 谒 2M,；3I=.1 H3-卄啊1期- pR*MAtMAW.豪1驗帽囱KI| 屯J-QIXiiiMMfi

36、flrNKi2 :ZDI MZ-IT 10 Hl Iff3 口 口皿咄icLia占-J MXJ46HFMlMt ifrlMiWittHHMM3 ig ivcERN Vfl -ni9miE iff图：设备按品牌配置备份按厂商进行配置备份支持、华为、网神、等跨平台设备进行配置有效备份:QMb日和事如*N 时BIN乔 Hmi 三 UW1KI? a vi：i 肛M-円i* ：“AJ 二 Cfcf d kxjiwS CkqMi 1.13.11：r-i24?1(WiEIMMfliltaH3)r 1-13-4= ICC-1X*ZTZTWjT- = 归|匚 wrr- SHIP图：设备按类型配置备份设备配置备份

37、策略备份策略根据、的类型进行周期的选择如每天、 每周、每月来自动或手动备份指定网络设备；同时以网页的形式查看与导出设备备份的信息， 对不需要的信息可以自行删除。当配置修改不成功的时候提供配置备份、回滚的功能，将由于操作失误造成 的损害降到最低提供完善的审计功能对配置管理的操作进行记录， 由专门的审计人员对记录 进行管理图：备份详情地址管理通过系统的地址管理策略，系统能在不额外消耗网络带宽的情况下， 自动发 现和监测网内终端设备的基本属性（地址、地址、所在端口等），系统能够通过 主机人等信息绑定，建立资源信息库。管理范围配置系统支持用户配置终端管理地址段，实现对设备地址信息按照地址段进行地址的添

38、加与查询，提供了可控的地址源。图：地址管理策略地址管理网络中的配置地址的端口的管理状态或协议状态是根据系统获得数据呈现出的地址，在所有信息组成的列表中可以直观的看到地址、地址、上联设备、上 联端口等信息，同时可以完成将地址状态改变为合法地址、 非法地址等功能旦有外来用户进入的，系统就产生告警通知，使用户对进行有效的剔除与管理廖它誉；: HE普总EPtMtH&LM*上峡若帚上展设需暮上1HI4淤引間赴!_!* LAM酬i”192L.ITfl10.1 ln2MCisco.onoa怡 sflft 卜 bF：3C：0L翔個192.伽 L.iLl1Q.1 r 3M宙气哙卜L汕 mu初 iO M；lll

39、0CiMf.itL.1L3M-4C-CB19. L “事Ji唔展才書ms即mum ITiZDlQC 0厂iHUMLLUaCQKlf:t tt吩PRBI I RE4frTiK；;20LL-L2 DI LQlMlUJO1二章!| K I T Rg J*JQ：.1U D5 UUHll&JOB2 Sfi5 t.rfi1SL 1.2VDim伽击ihhel規30E1-L3-DI LI0：M：UXi1zej.jfis Li?eO3C-2f-5-Ei-?llB.Lt.J5i：C: i l； D51ZQl.lbii L .Cfl-lfe-a2-DiDF-56:ta.L-sa.：述idd-4rri11-47+4-

40、3+W2D：1-l5D5 li：35:ilJ31岸F走x&i.sga.L.iiaiC-22-Dl-ljF-5fi:t2.LB.：ld-A-nl；-47+435W20rx.jj.DE 工口： 丁i汚二qD19Z-6a-t,36C0-iX-S-3-4E-361?2.L56.： 9Sdd-wr|2011-12-05 10;21;511 -I9id6a-L,z图：地址合规审计互联网出口加速缓存针对商场顾客无线接入商场网络人数众多，网络出口带宽小的问题，在商场网络出口处增加互联网出口缓存流量加速系统,加速上网访问速度和提升上网体验。流量加速系统实现自动按需缓存内容， 在网络使用高峰期减少下载和在线视 频等高占带宽应用对互联网骨干的流量压力， 帮助宽带运营获得更高的网络带宽 使用效率。 同时，系统还有效的改进对和非应用的网络响应速度， 增强了用户体 验。对于经常使用下载和在线视频的用户， 他们可以用更快的速度透明的从系统 中访问到已缓存的内容， 而无需占用互联网骨干带宽。 不再通过限制和禁止等手 段来控制下载和下载对网络的影响。 帮助宽带管理者优化网络流量， 提供更多增 值服务创造更好条件。华创科技流量加速系统作为旁路监听设备， 挂载在核心交换机， 通过交换机 的镜像口， 抓取核心交换机的通讯数据， 经过数据分析