内网安全解决方案模板_第1页
内网安全解决方案模板_第2页
内网安全解决方案模板_第3页
内网安全解决方案模板_第4页
内网安全解决方案模板_第5页
已阅读5页,还剩35页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、 可修改 欢送下载 精品 Word 可修改 欢送下载 精品 Word 可修改 欢送下载 精品 Word内网平安(png n)解决方案上海宝信软件(run jin)股份 DATE yyyy年M月d日 * MERGEFORMAT 2005年5月21日目 录 TOC o 1-3 h z u HYPERLINK l _Toc101081807 第1章 背景(bijng)与现状 PAGEREF _Toc101081807 h 5 HYPERLINK l _Toc101081808 1.1工程(gngchng)背景(bijng) PAGEREF _Toc101081808 h 5 HYPERLINK l

2、_Toc101081809 1.2建设(jinsh)内网平安(png n)管理系统的必要性 PAGEREF _Toc101081809 h 6 HYPERLINK l _Toc101081810 第2章 建设目标和原那么 PAGEREF _Toc101081810 h 8 HYPERLINK l _Toc101081811 2.1设计目标 PAGEREF _Toc101081811 h 8 HYPERLINK l _Toc101081812 2.2设计原那么 PAGEREF _Toc101081812 h 8 HYPERLINK l _Toc101081813 2.3设计依据 PAGEREF

3、_Toc101081813 h 10 HYPERLINK l _Toc101081814 第3章 问题分析与解决思路 PAGEREF _Toc101081814 h 11 HYPERLINK l _Toc101081815 3.1外来用户的接入控制 PAGEREF _Toc101081815 h 11 HYPERLINK l _Toc101081816 3.2IP地址管理问题 PAGEREF _Toc101081816 h 11 HYPERLINK l _Toc101081817 3.3用户资产信息管理问题 PAGEREF _Toc101081817 h 11 HYPERLINK l _Toc

4、101081818 3.4软硬件违规行为监控 PAGEREF _Toc101081818 h 13 HYPERLINK l _Toc101081819 3.5非法外联问题 PAGEREF _Toc101081819 h 13 HYPERLINK l _Toc101081820 3.6网络拓扑查看与平安事件定位困难 PAGEREF _Toc101081820 h 14 HYPERLINK l _Toc101081821 3.7效劳器与端口监控困难 PAGEREF _Toc101081821 h 15 HYPERLINK l _Toc101081822 3.8缺乏完整的用户授权认证系统 PAGER

5、EF _Toc101081822 h 15 HYPERLINK l _Toc101081823 第4章 系统架构与内网平安解决方案 PAGEREF _Toc101081823 h 17 HYPERLINK l _Toc101081824 4.1eCop系统架构 PAGEREF _Toc101081824 h 17 HYPERLINK l _Toc101081825 4.2eCop系统功能模块 PAGEREF _Toc101081825 h 18 HYPERLINK l _Toc101081826 4.3内网平安解决方案 PAGEREF _Toc101081826 h 19 HYPERLINK

6、l _Toc101081827 第5章 系统功能实现 PAGEREF _Toc101081827 h 20 HYPERLINK l _Toc101081828 5.1IP地址管理子系统 PAGEREF _Toc101081828 h 20 HYPERLINK l _Toc101081829 5.2客户端管理子系统 PAGEREF _Toc101081829 h 20 HYPERLINK l _Toc101081830 5.2.1客户端的安装、卸载和升级 PAGEREF _Toc101081830 h 20 HYPERLINK l _Toc101081831 5.2.2客户端资产信息管理模块 P

7、AGEREF _Toc101081831 h 21 HYPERLINK l _Toc101081832 5.2.3客户端软硬件监控模块 PAGEREF _Toc101081832 h 22 HYPERLINK l _Toc101081833 5.2.4非法外联监控模块 PAGEREF _Toc101081833 h 22 HYPERLINK l _Toc101081834 5.3网络拓扑管理子系统 PAGEREF _Toc101081834 h 23 HYPERLINK l _Toc101081835 5.3.1扫描子网/路由器层网络拓扑 PAGEREF _Toc101081835 h 23

8、HYPERLINK l _Toc101081836 5.3.2扫描子网逻辑拓扑 PAGEREF _Toc101081836 h 24 HYPERLINK l _Toc101081837 5.3.3扫描子网物理拓扑 PAGEREF _Toc101081837 h 25 HYPERLINK l _Toc101081838 5.3.4交换机端口控制 PAGEREF _Toc101081838 h 25 HYPERLINK l _Toc101081839 5.3.5展现网络设备重要MIB信息 PAGEREF _Toc101081839 h 25 HYPERLINK l _Toc101081840 5.

9、4效劳监视与端口扫描子系统 PAGEREF _Toc101081840 h 26 HYPERLINK l _Toc101081841 5.5系统管理子系统 PAGEREF _Toc101081841 h 26 HYPERLINK l _Toc101081842 5.5.1身份认证与授权模块 PAGEREF _Toc101081842 h 26 HYPERLINK l _Toc101081843 5.5.2报警与日志管理模块 PAGEREF _Toc101081843 h 27 HYPERLINK l _Toc101081844 5.5.3系统备份模块 PAGEREF _Toc101081844

10、 h 28 HYPERLINK l _Toc101081845 第6章 eCop系统主要(zhyo)优势 PAGEREF _Toc101081845 h 29 HYPERLINK l _Toc101081846 6.1技术(jsh)优势 PAGEREF _Toc101081846 h 29 HYPERLINK l _Toc101081847 6.2质量(zhling)优势 PAGEREF _Toc101081847 h 31 HYPERLINK l _Toc101081848 6.3资质(zzh)认证 PAGEREF _Toc101081848 h 31 HYPERLINK l _Toc101

11、081849 6.4客户名单 PAGEREF _Toc101081849 h 32 HYPERLINK l _Toc101081850 第7章 人员培训 PAGEREF _Toc101081850 h 34 HYPERLINK l _Toc101081851 7.1试运行期间(qjin)的常规培训和练习 PAGEREF _Toc101081851 h 34 HYPERLINK l _Toc101081852 7.2其他培训 PAGEREF _Toc101081852 h 34 HYPERLINK l _Toc101081853 第8章 售后效劳和具体的保证措施 PAGEREF _Toc1010

12、81853 h 35 HYPERLINK l _Toc101081854 8.1宝信的系统效劳队伍 PAGEREF _Toc101081854 h 35 HYPERLINK l _Toc101081855 8.2售后效劳模式 PAGEREF _Toc101081855 h 35第1章 背景(bijng)与现状(xinzhung)工程(gngchng)背景(bijng)近年来,随着(su zhe)计算机及通信技术的迅猛开展,全球信息化步伐日益加快,现代计算机网络已成为信息社会的根底设施,渗透到社会的各个方面。下简称的网络建设速度也在不断加快,正逐渐步入一个高效运转、快速效劳的全新轨道。经过初步调

13、查,的网络现况如下:整个网络分为两个层次:总网和各地市级分网,均为以太网络,以总网为中心,通过路由器连接各地分,如下列图示。总内网平安的防护是此次方案的重点。网络拓扑图中的网络设备图标需统一2总大楼里有一个内网,与内网逻辑隔离,内网不对外公开,内人士可以访问内网和内网。大楼内划分约14个网段,VLAN划分比较活泼,约25个。3总大楼共一个机房,使用北电8612型交换机,下部的以太端口直接接有20多台效劳器,上部的光纤端口接有27个楼层的所有网段,每个楼层有2个小型交换机1楼有3台。4总大楼共20台效劳器,全部接在中心机房;约有400500台办公电脑,其中使用Windows98第二版本约30,使

14、用Windows2000的约60;内网使用趋势防火墙。网络(wnglu)信息平安(png n)是一项系统工程,局域网络极大地提高了工作效率,降低了行政(xngzhng)管理本钱(bn qin)。但与此同时,黑客(hi k)、病毒以及网上作案日益猖獗,信息平安问题越来越显得突出。调查显示,信息平安问题在很多情况下不是由外来的黑客所引起,而是来自于那些“内部人士或曾经是“内部人士的威胁。因此,信息平安问题首先应该从内部的平安着手。建设内网平安管理系统的必要性目前,的网络建设有了很大的开展,但还比较脆弱,自身平安性不高,在日常管理中还存在着不少问题:一、缺乏完整的内部平安防护体系。一个大型计算机网络

15、的整体平安体系包括网络边界平安、网络内部平安和人为因素等多个方面,通过在网络边界部署防火墙、入侵检测等系统可以有效地将内部网络与外部网络进行隔绝。但是对内而言还处于根本不设防的状况,内部平安管理工作缺乏有效的技术手段。二、网络平安管理的根底工作较薄弱,各类网络根底信息采集不全。大型计算机网络的管理应该以根底信息的管理为核心,信息管理中心如果对所管辖网络的用户和资源状况难以掌握的话,对整个网络的管理工作也就无从谈起,在发生违规事件时也很难及时将问题定位到具体的用户。三、IP地址使用存在一定混乱。IP地址是网络连接协议TCP/IP的根底,IP地址就是每一台计算机在网络上的身份标识,因此在网络上要求

16、IP地址是唯一的。如果两台计算机设置了相同的IP地址,那么会发生IP地址冲突的现象,造成两台计算机均无法正常使用网络连接,从而影响正常业务工作的开展。 四、外围设备的接入控制困难。为了保证内部平安,要求对网内各计算机设备的外围设备使用情况进行控制,禁止或限制使用软驱、光驱、USB盘、并行、串行口、红外口、1394口、Modem等外围设备,防止利用移动存储设备进行数据文件的拷贝。五、难以监控外来用户的计算机接入内网。内网的计算机,应该是专门用于完成业务工作且经过认可的计算机。但是(dnsh)存在着用户利用这些计算机设备进行其他活动,或使用未经确认许可的计算机接入内网的可能性,管理人员对这些情况难

17、以进行监视和控制。六、网络复杂(fz)庞大,平安(png n)问题难以定位。当出现网络不通情况时,究竟是网络发生故障还是本身主机系统的问题,难以在较快时间内判断并做出响应(xingyng)。对违规操作或感染病毒的计算机,不能快速、准确定位,不能及时阻断有害侵袭并快速查出侵袭的设备和人员。七、效劳(xio lo)器众多,状态监控的工作量大,端口开放信息不明确。上述问题的存在,可能会造成机密信息外泄、影响正常业务进行等多种严重的后果。究其根本原因,是缺乏信息网络平安管理完整体系和有效管理手段。因此,建立一整套内网平安管理及监控系统,对于提高内网的平安性和稳定可靠性具有重要意义。第2章 建设目标和原

18、那么设计(shj)目标内网平安(png n)系统设计应从(yn cn)实际需求出发,实现内网信息严格保密的需要,同时系统应是一个(y )具有灵活性,开放性,便于扩充升级的综合系统。网络(wnglu)平安管理平台方案应具有以下特点:采用的高科技成果,使其在网络信息管理领域具有较高的水平。扩充方便,修改灵活,操作维护简单,系统重启时间短,能适应业务的快速变化。充分利用现有各种系统的资源,以节省运行本钱。标准系统,从整体的角度来考虑系统的结构设计,根本包括计算机管理系统、相关数据库系统间的直接或间接互连。设计原那么依照本系统的根本需求及今后的开展规划,我们的设计遵循以下原那么: 开放性开放系统结构在

19、国际上广为流行,它能有效地保护用户已有的投资和资源,便于系统间的联接。无论是硬件或软件的升级或移植,开放系统有它不可比较的优越性,主要表达在 : 主机系统开放性环境:主机系统开放性环境是一个不可缺少的因素,它基于Windows 2000或Linux等技术的操作系统,便于系统扩充并保持应用软件的可移植性。应用软件的独立性:建立一套基于通用的Windows2000或Linux操作系统和开放关系数据库管理系统的应用软件。应用软件应独立于具体的硬件平台,具有很强的适用性和先进性,并且可以进一步推广和使用。可互联的网络系统:网络的互联能力表达在网络的开放性和与异种网互联的支持能力二方面。一个开放的网络,

20、通常指符合国际标准或事实工业标准的网络,此种网络能被经过其它授权的各类计算机访问,而不需要增加额外的软硬件。基于TCP/IP网络协议在多种主机(zhj)互联的实用性、用户接口方面的标准化、可用性,我们建议采用(ciyng)TCP/IP协议,以保证用户接口的一致性,为应用软件独立于网络系统提供保证。 实用性在设计中首先要考虑(kol)实用性和易操作性,需选择技术成熟的设备及应用软件,同时考虑到对现有设备和资源的利用。为使系统具备长时期技术领先的竞争能力,除保证系统的高稳定性之外,还必须使其具有高效的故障诊断能力、简便的数据库更新功能、系统维护功能、灵活高效的业务变更对应能力等,使无用功减至最少。

21、实用性还表达(biod)在信息系统(xtng)业务界面的友好性上,因为灵活简洁的操作会直接提升管理的效率。以上均是系统设计时必须考虑的问题。 先进性选择符合国家平安保密规定的、业界最先进的产品,同时提供业界最前沿的管理理念,使得用户始终能与世界领先技术和管理理念同步。在设计时,应充分考虑到各地千差万别的实际业务需求及现代计算机和通讯技术开展的先进成果。为能保证本系统在一个较长的时期内处于同行业技术领先水平,必须从较高的起点出发,实现一个展现网络新面貌的信息系统。 效劳的持续性平安产品对网络和主机的带宽占用很小,不会影响正常的网络通讯和主机系统资源的使用。 可扩充性系统的设计应能最大限度保护用户

22、现有投资。主机、网络及应用系统除能满足目前及未来假设干年业务开展规模之外,还应能随业务的开展而进一步扩充,这要求目标系统具有很强的扩充能力,相应的主机系统、应用软件、网络都能够平滑升级和扩充。即:要求系统随着企业业务的开展在功能上可扩充,且不影响现有功能为前提;要求系统能随企业效劳水平和技术要求的整体提高适应国内平安系统联网的需求。在用户(yngh)网络发生(fshng)改变的时候,平安(png n)系统的改变最小,只是(zhsh)简单通过添加授权KEY和监控点,就可以(ky)完成整个平安系统的改造。 平安性与可靠性网络平安平台对维持网络的顺利运行有非常重要的作用,其平安性与可靠性是非常重要的

23、。这个特性表达在主机、网络硬件设备、数据库及应用系统等各个方面,并希望实现集中式的管理与控制。因而要求整个系统有完整的故障对策,以保证主机系统、网络系统的工作的连续性,以及数据的完整性和平安性。对策具体可分为:网络传输的完整性与平安性:鉴于系统具有多个后台系统的集成联网的特点,整体网络系统应从网络软、硬件技术及网络运行组织和管理上采取必要的措施。数据的完整性与平安性:应保证机器中的数据是可靠的。当因系统故障或事故造成中断时,要求系统对数据的完整性具有检测、保护和恢复的功能。设计依据系统的开发和建设在严格遵循国家和部、省有关信息系统建设的相关标准标准。采用和参考的部颁发标准有:公安部?公安计算机

24、信息系统“九五规划?公安部?中间件传输技术标准标准?公共数据交换系统标准?请求效劳系统标准?信息授权策略标准?数字证书格式标准?第3章 问题分析与解决思路外来(wili)用户的接入控制接入内网的计算机应该是专用于办公的计算机,其他外来用户随意接入内网网络,可能会造成重要机密数据泄露等危险(wixin)。从传统的网络管理手段来说,可以通过在交换机上进行MAC地址(dzh)与端口的绑定来到达(dod)防止外来用户(yngh)随意接入的目的。但是这种方法会给管理人员带来比较大的工作量,特别是大型网络,且这种方式的灵活性也不够,对于任何一台新接入的设备都必须要在相应的交换机上进行配置,管理非常不便。内

25、网平安系统应该能够及时发现外来用户的接入,通知管理人员,并提供将其从网络上断开的手段。IP地址管理问题 采用计算机管理IP地址和用户信息,假设管理工程不统一,不便于统一管理范围的扩大化和信息共享。经调查,内部网络存在IP地址、计算机名乱用、冒用的危险。一些用户自行购置的计算机和网络设备,不登记即自行安装上网,信息中心缺乏有效的监控手段,使得上网设备的IP地址冲突现象时有发生,合法设备无法正常工作,影响业务工作的开展。对违反规定或禁止上网的计算机及网络设备,希望能从技术手段上限制其上网。在上面的这些问题中,核心问题是IP地址的改动和盗用,主要表现为: 1IP地址非正常改动。恶意的改动可能基于不可

26、告人的目的,如:逃避效劳器的记录、让效劳器或某些重要任务的机器无法上网;而非恶意的改动也会造成同样的后果。2IP地址盗用。将非法节点接入网络,盗窃网上的资源,甚至对主机发动攻击。本方案将对计算机及网络设备IP地址进行有效的管理,可以对计算机和网络设备的IP地址、MAC地址以及主机名进行绑定,通过被动侦听、主动扫查相结合的方式发现非法节点,并且可以阻断非法节点的网络通讯,对非法节点信息进行报警和日志记录等。用户(yngh)资产信息管理问题(wnt) 目前内网中,管理人员对所管辖网络的资源占用和用户情况难以准确掌握,实际接入的计算机数量难以进行(jnxng)精确的统计,对面临的危害难以做出动态(d

27、ngti)的评估和有效(yuxio)的防范。作为用户与设备根底管理功能,希望建立起台帐信息,对所有接入计算机和网络设备的用户信息进行登记注册,这些登记的信息主要包括:用户姓名、单位名称、工作岗位、用户工号、联系 、使用地点、主要用途、资产编号、设备品牌、设备类型、设备序列号等信息,在发生平安事件时能够以最快速度定位到具体的用户。对于未进行登记注册的微机,自动将其隔离在系统之外。同时,应该能够做到动态地搜索各专用微机的硬件信息和安装软件信息,并能够对这些信息进行统计和分析,生成相应的根底信息报告。需要搜索的硬件信息主要包括:计算机类型、CPU型号、CPU主频、内存大小、磁盘序列号、磁盘容量、磁盘

28、剩余空间、网卡型号、网卡物理地址、鼠标型号、键盘型号、显卡型号、声卡型号以及各外围设备的情况;同时应该对各计算机所安装的软件自动进行搜索,并与预先指定的软件进行比较,警示那些未按要求安装软件的用户,并及时报警,利用短消息手段,通知信息平安管理部门和相关的系统管理员。另外,系统还应该与平安策略紧密结合,自动收集与平安相关的一些系统信息,包括:操作系统版本信息、操作系统补丁信息等,同时针对这些收集的信息进行统计和分析,给出平安状况报告。例如,要求全网安装的操作系统平安补丁,如有计算机未按照要求安装平安补丁,可能会影响到整个系统的平安状况。在对这些系统平安信息进行收集后,可迅速统计分析出那些不符合平

29、安管理策略的微机,对其进行更新,从而保证各微机的平安性。目前,大多的IP地址是按网段分配的,信息中心对所管辖网络的IP地址等资源占用和用户情况难以掌握,网上的计算机设备、网络设备的数量难以准确统计,具体设备的根底软硬件信息也难于收集和进行有效的管理,一些实时运行的网络设备和重要效劳器的运行状况不能集中监控,日常管理难度和工作量都很大。 本方案(fng n)实施后,客户端管理功能将自动扫查计算机的硬件信息和软件信息,登记管理计算机的根本(gnbn)信息,并支持统计查询(chxn)。硬件信息包括计算机类型、CPU型号、主频、内存大小、磁盘容量、剩余空间、网卡型号等;对Win32系统,可收集的软件信

30、息包括计算机安装的操作系统,计算机安装的软件清单等;根本(gnbn)信息(xnx)包括IP地址、MAC地址、计算机所在位置、使用人、所属单位等。软硬件违规行为监控计算机的外围设备包括软驱、光驱、USB盘、并行、串行口、红外口、1394端口、Modem等为各种信息在不同的计算机设备之间交流提供了一个方便的途径,通过它们可以将各种信息包括病毒、木马等复制到不同的计算机中。但是内网中的主机上保存着一些涉密的内部信息,这些信息不能够随意地传播,因此有必要对外围设备的使用进行控制,不允许随意地使用外围设备拷贝机密数据。平安管理及监控系统应该实现对各客户机外围设备的集中监视和控制,通过在管理端进行设置,可

31、禁止和启用各客户机的外围设备,有效地保护计算机上的信息。另外,内部存在违规使用软件的行为。有些人员在计算机上安装使用盗版软件,不但引入了潜在的平安漏洞,降低了计算机系统的平安系数,还有可能惹来版权诉讼的麻烦;而一些内部人员出于好奇心或者恶意破坏的目的,在计算机上安装使用一些黑客软件,从内部发起攻击;还有一些内部人员平安意识淡薄,不安装指定的防毒软件等等。这些行为都对内网构成了重大的平安威胁。要解决这个问题,可以通过安装在各计算机上的代理终端自动搜集各计算机所有的软件信息,并汇总到控制器,形成内网计算机的软件资产报表,管理员可以全面了解各计算机所安装软件的版本信息,及时发现平安隐患并升级系统。同

32、时,管理员可以在管理控制器上配置软件预案,指定内网计算机必须运行的软件或禁止运行的软件,由代理终端对计算机上的软件运行情况进行比对检查,对未运行必备软件的情况发出报警,终止已运行的禁用软件的进程。非法(fif)外联问题作为内网中的计算机,应该是专机专用,因此接入系统的计算机应该禁止与内网或互联网等其他外部网络发生直接或间接的连接(linji)。但是可能有个别的工作人员,将专用计算机挪作他用,或是为了上网浏览信息、玩游戏、发私人邮件等目的与Internet连接,从而造成外网与政务内网或互联网等其他外部网络发生直接或间接(jin ji)的连接,可能造成以下后果:(一)破坏(phui)整体平安(pn

33、g n)防护体系。网络的平安是靠整体的平安防护体系来保证的,在这个防护体系里除了必要的平安防护措施以外,还需要建立一系列的管理规章制度,通过这些制度限定人们的网络行为。非法外联行为看似小事,但却是对整体平安防护体系的严重破坏。它在内网与其他外部网络之间,开辟了一个不经过平安防护机制检查的“后门,这个“后门使整个网络的平安性大大降低。二引入恶意的入侵。非法外联具有一定的隐蔽性,管理人员不易发现,没有一定的手段,很难对此进行必要的防护,容易遭受恶意的入侵。安装着桌面操作系统的客户机的平安性明显低于网络操作系统的平安性,存在着许多平安方面的隐患,在缺少平安防护措施如防火墙等的条件下,很容易被攻破。来

34、自互联网的恶意入侵者可以轻而易举地入侵和控制这台计算机,使入侵者获得网络内的合法身份,它可以访问网络中的信息资源,可以对重要效劳器进行漏洞扫描、入侵尝试。如果这些效劳器没有采取入侵检测等进一步的防护措施,恶意入侵者就可以比较容易地获取这些效劳器的访问、控制权限,随意地窃取、篡改和删除重要敏感的数据,安装木马程序、病毒程序,中断其正常的效劳,使单位蒙受巨大损失。三、引起病毒的感染和传播。目前计算机病毒越来越泛滥,危害越来越大,一个普通的病毒可能会造成整个计算机网络的瘫痪,而各种计算机病毒都聚集在互联网上,不采取任何防护措施而随意地访问互联网,很容易造成这些病毒传播到系统内部,影响正常业务工作的开

35、展。非法外联行为存在着将外部网络病毒入侵的隐患。四、为不良信息例如反动、色情信息的访问和传播提供了途径。从上边的分析可以看出,非法(fif)外联具有很大的危害性,因此作为平安(png n)管理及监控系统,应该对非法外联的行为进行监视,一旦发现这种现象及时通知各级管理人员,在必要的情况下可自行将这些连接断开,保护内部(nib)网络的整体平安(png n)。网络拓扑查看(chkn)与平安事件定位困难在平安事件发生时,往往管理人员最初仅能获取到事故计算机的IP地址和MAC地址等根本信息,无法迅速定位到其实际物理位置和用户,从而延误对重要平安事件的处理。内网平安系统应能提供根据计算机的根本信息,迅速定

36、位物理位置和用户的手段。当网络不通时,可以查看网络拓扑中的交换机该端口的状态,端口工作正常,那么说明是网络完好,是主机自身系统或网卡驱动问题;假设端口工作异常或不工作,那么说明网络存在问题,可以继续排查。目前,绝大多数的网络设备都能够支持简单网络管理协议SNMP,所以可以通过SNMP协议,到达自动网络拓扑功能,实现网络拓扑结构的自动发现,从而实现对实际物理位置的迅速定位,同时辅以设备信息管理功能,实现具体用户的定位。自动网络拓扑是系统依据网络的路由信息,自动查找整个网络的路由设备、网络交换机以及主机,根据这些网络设备信息生成并以直观的图形方式显示网络的拓扑结构。当网络管理员已经知道了某台或多台

37、设备的IP地址,可以用单个网络拓扑或多个网络拓扑功能,直接拓扑发现设备。网络拓扑结构的显示方式可以按照用户的爱好自行拖拽编排,从而以最方便直观的方式展示网络结构。效劳器与端口监控困难随着计算机越来越渗入工作,计算机使用领域日益拓展,计算机相应提供效劳逐渐增多,效劳器也逐渐增多,效劳器群越来越庞大。这些计算机、效劳器上的效劳对单位公务员的工作日益重要,与此同时,对这些效劳运行状况的监控变得日益困难。靠工作人员每周、每日的巡检已经越来越不能满足工作的需要。因为现在单位机构日益精练,公务员工作效率大大提高,一专多能是主要的特点,计算机网络管理人员身兼数职,工作负荷很重,繁琐地巡检会消耗大量的工作人员

38、的精力和时间。同时,因巡检方法本身的局限性,巡检的效率和效果总是不能令人满意,但人工巡检的频度和时间的消耗总是相矛盾的。缺乏(quf)完整的用户授权认证系统身份(shn fen)认证效劳(xio lo)是帮助系统(xtng)识别用户的身份,决定并控制他们在网络上能干什么工作,即所谓的授权管理。本内网平安(png n)管理系统在信息系统中实现对用户的身份鉴别、实现信息的保密性、完整性、真实性和抗抵赖性等保护,采用当今流行的高强度平安策略我国自主知识产权的PKI技术为根底的数字证书技术。应用系统可以基于数字证书以及相关的经国家有关部门认可的密码算法认证登录系统的用户的真实身份,进行数字签名和验证签

39、名,采用数字签名技术解决抗抵赖性和数据完整性的的问题,利用平安系统提供的加密算法,解决信息的保密性问题。第4章 系统架构与内网平安解决方案eCop系统(xtng)架构 eCop的体系结构如上图所示,在内部网络部署一台eCop中央控制器,它基于浏览器/客户端模式设计(shj),采用软硬件一体化的功能效劳(xio lo)器设计方式。同时(tngsh),在内部网络中各被管理计算机上安装相应的客户端程序,对各客户机进行管理、监视和控制。每一台接入内部网络中的计算机设备必须下载安装客户端程序,或者在eCop中央控制器上保存其IP及MAC地址配置信息,否那么(n me)将会被管理系统认为是非法接入内部网络

40、,客户端程序的下载安装由各客户机通过浏览器连接到控制器后自动完成。整个系统支持在线升级,控制器系统进行升级后,客户端程序可以按照控制器端的配置在启动时自动升级。eCop以Java、Web技术为架构,采用面向对象和Message Queue技术构建信息交换平台,使系统的各项功能构建于该平台之上,使整个系统具备灵活的扩展性。eCop使用jsp/java bean技术向用户提供Web方式的操作界面,系统内置预写日志(rzh)式数据库, 大大提高了系统在突然宕机事件发生时的可靠性。eCop系统(xtng)功能模块 上图中各子系统的功能(gngnng)如下:IP地址(dzh)管理子系统完成对网内计算机I

41、P地址信息的实时扫描和比对,发现非法接入的计算机,并采取手段将其隔离(gl)在网络之外;客户端管理子系统完成对网内各专用微机的信息收集、管理、监视和控制功能,该子系统划分为资产信息管理、客户端监控、非法外联监控三个功能模块。其中,资产信息管理模块负责登记专用计算机用户信息,自动收集各计算机设备的硬件信息、软件信息和系统信息,将这些信息保存到数据库中,提供友好的查询、统计和分析界面;客户端监控模块完成对客户端软件使用的控制和远程截屏功能;非法外联监控模块完成对客户端非法连接其他外部网络的行为进行监控、报警和记录,并提供查询功能。网络拓扑管理子系统完成对全网的网络拓扑结构、网络设备状态、网络设备性

42、能等信息的扫描收集(shuj),并保存到数据库中,同时提供友好的查询界面和归档功能;还提供远程查看、修改网络设备参数的功能;效劳(xio lo)监视(jinsh)与端口扫描子系统完成对内网内重要控制器效劳(xio lo)运行状况的监视和对指定网段或计算机端口开放(kifng)状况的扫描,发现异常及时报警;系统管理子系统完成对平安管理及监控系统自身的管理和配置功能,该子系统划分为身份认证与授权模、报警与日志管理和系统备份三个模块。身份认证与授权模块完成对登录用户的身份确认,对不同用户授予相应的系统操作权限,管理和控制用户在系统中的行为;报警与日志管理模块完成对系统报警条件、报警方式的配置,在报警

43、条件触发时按照指定的方式进行报警,并记录报警信息,提供方便的查询和归档功能;对系统运行日志和用户操作日志的记录、查询和归档功能;系统备份模块完成对系统自身的配置信心和用户数据的备份和恢复功能。内网平安解决方案通过对内网现状以及需求进行认真的分析和研究后,提出如下解决方案:1各地市区分可根据需要选配或不配ecop的IP地址管理功能,即选配或不配IPA硬件。在网络畅通的情况下,安装客户端,实现客户端管理和网络拓扑管理的功能。 2对于(duy)总大楼的内网平安(png n),提出:中心机房配备ecop3000CM3型中央(zhngyng)控制器,加IPC2,根据VLAN确实(qush)定个数决定IP

44、A3的个数。功能模块选配(xun pi)IP地址管理,客户端中的资产信息、软硬件禁用、远程桌面监控,网络拓扑发现,效劳监视可以试用。大楼内部署客户端个数400500。第5章 系统功能实现IP地址(dzh)管理子系统实时扫描获取与分析(fnx)在线计算机的IP、MAC地址信息IP地址、MAC地址的合法性判定, 支持IP-MAC绑定、特权(tqun)MAC地址和DHCP MAC地址三种合法性管理方式警告和阻断不满足(mnz)合法性判定的计算机统计分析非法IP地址使用(shyng)的历史情况支持主动探测和被动侦听等多种扫描方式,采用特定算法对扫描过程进行控制,防止对网络流量造成明显负荷灵活的部署方式

45、,可以适应不同网络环境的需要,通过在各网段部署的IP地址管理代理装置,使IP管理目标和部署本钱到达最优比例灵活的配置,可以以图形化方式配置每一台代理装置的监控参数,并查询各个网络接口的扫描结果对于监视到的违规信息,调用报警模块向管理员进行报警客户端管理子系统客户端的安装、卸载和升级客户端程序的安装可以通过以下几种方式实现:通过客户机浏览器连接控制器下载安装;在采用域管理策略的网络中,通过域登录脚本安装;采用软件分发效劳进行分发安装。使用安装光盘安装系统可自动发现接入内网但未安装客户端程序的计算机,并提示管理人员,由管理人员对其进行警告或者阻断其接入网络。客户端程序使用进程保护和文件保护技术(j

46、sh),使用户无法在其计算机上停止或者卸载客户端程序,只能通过专用的卸载工具来完成客户端程序的卸载。客户端程序的升级完全自动完成,各微机上安装的客户端程序将在每次微机启动时自动检测其版本是否与控制器端版本一致,发现(fxin)控制器端版本更新时,自动连接控制器下载的客户端程序,并自动完成客户端程序的更新。客户端资产(zchn)信息管理模块用户信息(xnx)登记注册管理接入到内网中的计算机,要求必须安装(nzhung)客户端程序,安装完成后在客户机填写用户登记注册信息客户机用户填写完这些信息之后,将其提交到控制器端,等待管理人员进行审批确认。客户机一旦提交这些信息后,系统将锁定这些信息,不允许再

47、次填写,仅当管理人员通过在控制器端进行解锁后,才能再次填写并提交。控制器端接收从客户机提交的这些信息,将其保存在数据库中,等待管理人员进行审批确认。在管理人员对信息确认之后,该客户机即被认为是合法接入内网的计算机。在用户的登记注册过程完成之后,系统将自动把该计算机设备分类到用户填写的单位下,系统采用组织机构层次结构图的方式作为向导,使管理人员能够方便快速地查找到某台计算机。计算机硬件信息管理客户端程序自动完成对计算机硬件设备信息的收集,并将这些信息汇报到控制器端,控制器端将它们保存在数据库中。同时客户端程序会自动将硬件设备信息与该计算机的历史硬件信息情况进行比对,发现信息变更时,向控制器端发送

48、变更通知消息。客户端程序收集的硬件信息包括:CPU型号、CPU主频、内存大小、硬盘序列号、磁盘容量、磁盘剩余空间、网卡型号、网卡物理地址、显卡型号、声卡型号、键盘型号、鼠标型号。计算机系统信息管理客户端程序自动完成对计算机系统信息的收集,并将这些信息汇报(hubo)到控制器端,控制器端将它们保存在数据库中。同时客户端程序会自动将局部(jb)系统信息与该计算机的历史系统信息进行比对,发现信息变更时,向控制器端发送(f sn)变更通知消息。客户端程序收集的系统信息(xnx)包括:操作系统类型、操作系统版本号、IE浏览器代理控制器设置情况、当前登录(dn l)用户、当前登录域、客户端程序的版本号、操

49、作系统补丁信息等。计算机软件信息管理客户端程序自动完成对计算机安装的所有软件信息的收集,并将这些信息汇报到控制器端,控制器端将它们保存在数据库中。同时客户端程序会自动将软件信息与该计算机的历史软件信息进行比对,发现信息变更时,向控制器端发送变更通知消息。查询及报表统计可根据上述收集的各种信息,包括用户信息、硬件设备信息、系统信息和软件信息进行组合查询搜索,以查找出满足条件的计算机,并生成相应的统计报表。客户端软硬件监控模块外围设备控制管理人员可在控制器端设定启用或禁用各计算机的外围设备,客户端将根据控制器端的配置自动禁用或启用软驱、光驱、U盘、MODEM、串口、并口、红外口和1394口等外围设

50、备和接口。进程监控管理人员可在控制器端指定各计算机必须运行和禁止运行的软件,客户端程序将定期检查运行的进程情况,发现正常的进程停止或禁止的进程运行时,将向控制器端发送违规情况,并向管理人员发送报警通知消息。远程计算机屏幕截取管理人员可在控制器端远程获取某客户端计算机的屏幕图像,获取方式分为实时获取和定期获取两种。此功能可有助于管理人员进行远程的故障诊断和排除。非法(fif)外联监控模块非法外联行为(xngwi)的监控客户端程序定周期(zhuq)检测该计算机的网络连接情况,能够及时发现连接其他外部网络的行为,记录下其违规外联的信息并向控制器端发送违规记录和报警通知。非法外联监控对于连接在内网发生

51、外联和脱离内网的发生外联均能够进行检测,管理人员可在控制器端进行监控策略的配置,选择上述某一种监控方式。非法(fif)外联行为的控制对于发生非法外联行为(xngwi)的计算机,客户端可自动断开其各种网络连接,包括网卡连接、拨号连接、无线连接等。管理人员可在控制器端配置恢复该计算机网络连接的策略,可选择自动恢复网络连接和确认恢复网络连接两种方式。免检范围配置在控制器端可配置无须进行外联监控的计算机,这些计算机将允许连接其他外部网络,在连接外部网络时不会断开其网络连接,但是此次连接的信息仍然会被记录,并发送到控制器端保存。网络拓扑管理子系统该子系统进行网络拓扑的发现,展示全网拓扑结构以及子网详细拓

52、扑,并对网络节点的连通状态进行实时监视。获取网络节点的MIB库中的信息并进行统计,以图表的形式展现给用户。该子系统在内网平安系统中主要有两个用处:利用该子系统的交换机端口控制功能,关闭未安装管理客户端程序的计算机,以及发生违规事件的计算机所连接的交换机端口,从而到达阻断该计算机的目的;在发生平安事件时,利用网络拓扑结构图,可以大大提高定位的速度,有利于在最短时间内处理平安事件。扫描子网/路由器层网络拓扑用户输入拓扑发现的种子路由器的IP地址,由该种子所在网络开始向外发现与之相连的网络与路由器,直至超过指定路由器跳数时停止。该模块具有良好的响应性能,能够在60秒内发现一个有10个路由器的中等规模

53、的网络结构。该层拓扑图显示路由器与子网的连接状况,路由器旁显示路由器本身的所有IP地址和名字,子网旁显示该子网的网络地址和子网掩码。如下列图所示:扫描(somio)子网逻辑拓扑系统依次扫描全网拓扑中的各子网,发现其逻辑拓扑:判断该子网的逻辑结构,如总线型,令牌环等;扫描该子网内所有网络(wnglu)节点,判断节点类型,如路由器、交换机、主机、打印机等,并获取其相应信息IP地址(dzh)、MAC地址(dzh)、名字等。用户可以从图上直观(zhgun)的看出该子网内各节点的节点类型以及连通状态等信息。扫描(somio)子网物理拓扑 在子网逻辑(lu j)拓扑的根底(gnd)上,扫描该子网的物理拓扑

54、:以交换机为中心(zhngxn),分析该子网内所有节点的连接关系,包括主机与交换机之间、交换机与交换机之间的连接关系,在此说明(shumng)它们分别连接到交换机的哪个端口上。用户可以从子网物理拓扑图上直观地观察交换机端口状态以及与该端口相连的设备信息,用户还可以通过设置交换机端口状态来控制与其相连的设备。交换机上显示该交换机信息,如名字和IP地址等;交换机端口使用不同颜色表示是否和其它设备相连;主机和路由器节点,显示其详细信息。交换机端口控制(kngzh)在扫描获得的网络拓扑结构图上,可以(ky)对各交换机的端口进行翻开/关闭(gunb)的控制。展现(zhnxin)网络设备重要MIB信息(x

55、nx)对于开启SNMPSimply Network Management Protocol,简单网管协议效劳的网络设备,可以查看MIB库中的信息,包括系统信息、网络接口信息、ARP交换表、路由表、效劳信息、帐户信息、共享信息、端口对应表、进程信息、IP统计信息、ICMP统计信息、UDP统计信息、TCP统计信息等。效劳监视与端口扫描子系统效劳监视子系统有以下功能:1监视Apache效劳的运行状况;2监视Tomcat效劳的运行状况;3监视IIS效劳的运行状况;4监视MySQL效劳的运行状况;5监视Oracle效劳的运行状况;6监视SQLServer2000效劳的运行状况;7监视FTP效劳的运行状况

56、;8扫描指定网段内所有计算机某一端口的开放状况;9扫描指定计算机某个端口范围内的开放状况;10通过报警模块向管理员报警;11强大的可扩展功能,可以以模块方式加载新的效劳监视功能。系统(xtng)管理子系统身份(shn fen)认证与授权模块在用户管理方面(fngmin),我们需要解决“你是谁?和“你能干什么?两个问题,在对实际需求进行研究(ynji)和分析后,决定采用上海宝信软件股份的授权验证(ynzhng)和授权管理中间件:ePass。ePass授权管理系统以下简称ePass是一个管理应用系统中的资源使用权限的标准软件系统。它针对应用系统开发人员和应用人员,旨在提供标准统一的应用资源授权管理

57、。它可以对应用系统中的资源,如应用系统菜单,画面,报表和文档等资源的使用权进行集中管理。同时,对应用系统使用者的账号进行集中管理。提供统一的标准登录画面和应用画面模版,提供对指定账号、指定资源权限检查接口。应用系统开发人员通过ePass系统可在应用系统中对资源的使用者权限进行跟踪和控制,应用系统的最终用户可对所有的资源和资源使用者通过ePass系统进行集中的授权管理。ePass授权管理系统参考并应用了Kerberos平安协议。不仅ePass系统本身得到了平安保护,而且ePass向搭建在其之上的应用系统提供平安效劳,保证应用系统的平安。利用ePass中间件所提供的应用接口,该系统提供如下一些功能

58、:用户的创立和删除系统管理员可进行创立、删除用户的操作,可指定每一个用户的有效期,并可以为用户重置密码。用户个人信息管理系统的每个用户可对自己的用户信息进行管理,信息包括用户的姓名、电子邮件、商务 、住宅 、移动 和口令信息。组织机构管理系统管理员可在系统中维护该组织的机构层次结构图,在管理中可按照组织机构层次进行导航,方便查找和管理。用户群组管理系统(xtng)内置IP地址管理、客户端管理群组、网络拓扑管理群组、报警(bo jng)管理群组、日志管理群组和系统配置群组等多个群组,将用户参加(cnji)到某个群组中,即可获得该群组所拥有的操作权限(qunxin),从而到达(dod)对用户进行授

59、权的目的。组织机构授权管理在客户端管理子系统中,可分别为每一个组织机构指定相应的管理用户,该用户登录系统后即可拥有该组织及其下级组织客户端管理的操作权限。通过该功能,可以到达按照组织机构进行分级管理的目的。报警与日志管理模块报警方案和策略配置系统预先定义了系统内各种可能发生的报警事件,管理人员可为每一类报警事件指定相应的报警接收人员,以此形成报警的方案和策略。多种报警方式系统支持控制器端声音报警、 短信报警此方式需要 短信专用模块支持和桌面精灵报警等多种报警通知方式。报警日志的记录与查询系统在每次发送报警通知的同时,将在控制器端记录下该次报警的相关信息,方便日后进行查询。日志浏览可以列出所有当

60、前相应或历史的日志记录,统计了所选日志表的总记录数和总页数。在显示日志记录时,采用了分页显示,可以对具体的某一页进行浏览。日志分为系统日志和操作日志两种类型,系统日志主要记录该系统工作的情况,操作日志那么记录用户所进行的各种操作。日志查询可以对某一特定的日志表进行查询。可以对日志记录的各个字段进行分类查询,如系统日志可按日期、功能模块、日志信息等级、日志标题、具体描述等查询,操作日志可按日期、用户等查询。日志归档为了防止日志记录在一张表中无限制(xinzh)膨胀,系统会定期对当前日志进行归档,系统自动生成一张新表。这样既能有效地管理日志,又能到达(dod)保护日志记录(jl)的目的。系统备份(

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论