机房综合工程设计标准_第1页
机房综合工程设计标准_第2页
机房综合工程设计标准_第3页
机房综合工程设计标准_第4页
机房综合工程设计标准_第5页
已阅读5页,还剩63页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

机房综合工程设计标准新机房按国家标准B级标准机房设计和规划。本方案按机房建设方案依据标准(B级)设计,依据以下国家标准:《中华人民共和国计算机信息系统安全保护条例》《建筑与建筑群综合布线系统工程设计规范》(CECS72:97)《电子计算机机房设计规范》(GB50057—1994)《低压配电设计规范》(GB50054-1995)《电缆线路施工及验收规范》(GB50168-1992)《计算机机房用活动地板技术条件》(GB6650-1986)《通风与空调工程施工及验收规范》GBJ243-1982《工业企业通信接地设计规范》GBJ79-1985《电气装置安装工程接地装置施工及验收规范》(GB50169-1992)效果图电源标签安装图用户线标签安装图机房设备整改方案建设8.1优化后信息化建设拓扑图8.2IP地址及区域设计根据本项目需求,本方案将重新设计IP地址编址,重设计网络区域结构。具体如下:区域VLAN安全域外网/非信任域办公区独立VLAN1独立安全域领导区独立VLAN2独立安全域应用区独立VLAN200独立安全域数据库独立VLAN500独立安全域文件存储独立VLAN100独立安全域8.3路由设计本技术改造方案主要通过路由技术,采用静态路由技术引导数据流向走向,分离业务流量,提升业务效率。设备网络地址下一跳地址防火墙防火墙模式防病毒网关部署根据用户现场实际环境规划网络行为审计系统透明部署ZTE三层交换DHCP内网核心入侵防御系统透明部署数据库审计系统旁路部署8.4区域设计本方案设计的网络结构呈现出区域化,层次化构架,主要目的是为了便于网络管理、维护以及安全策略的针对性部署。各区域结构如下所述:Internet区域Internet区域将原有启明防火墙部署为互联网防火墙,连接新增的100M光纤链路,为档案局内网区域所有需要上网的终端和服务器提供Internet代访问的防护,并设置相应管理策略,控制Internet访问权限和访问应用类型,保证Internet安全访问的需求。楼层接入区域楼层接入区域为如10.1.x.0/24网段,与原网络构架保持不变。其访问安全策略主要由其他区域的网关防火墙根据源端进行设置。核心网区域部署防病毒网关做为出口网关设备,具备高速转发的能力,在数据进行内外网交换机的时候并发进行蠕虫病毒的防护和杀毒过滤,保证上网内网的安全。满足82号令的要求进行网络综合行为的管控设计、存储日志的能力到达60天以上,并且具备公安部门认证资质,在下一阶段安全评测做好基础服务。服务器区域 服务器区域设计为如/24网段,所有服务器网关指向核心交换机服务器区区域接口,即如。 服务器区域主要有档案信息化应用服务器、WEB服务器、信息化数据库服务器、文件服务器、存储区域网络(SAN)设备等。 所有服务器流量均由山石网科入侵防御系统根据安全策略控制访问,开启3000种入侵规则防护策略,应用防护策略。安全策略采用白名单方式,根据源目IP地址以及目标端口进行设置,最大限度的保证外部区域对服务器区域的安全访问。内容终端区域开启此技术特有功能,有效对内网数据、设备接口进行控制网络及终端安全设计方案网络系统拓扑图网络安全优化方案描述网络综合行为审计与控制网络的内容日益丰富,变得复杂、多样化。当今,互联网进入了应用级网络时代,大量未知的内容和信息纷纷涌进网络,病毒、黑客攻击、内部员工泄密等防不胜防,然而这些问题的本质是“管理”,如何管理员工上网行为,规范上网行为成为了每个企业首要面临的问题。目前,用户面临网络管理问题具体如下:无法为员工的上网行为进行有效管理随着业务不断的扩展,工作人员大大的扩充,现有的设备中已经无法满足公司的对员工上网行为的管理。关键业务流量无法保证,带宽受到严重堵塞虽然企业有很高的带宽,可是网络还是常常造成拥堵,网络中存在着大量的P2P软件,不能有效的管理和封堵,使得办公系统运转不顺畅,办公网页无法打开,严重影响了正常业务的顺利进行。发现异常流量无法有效定位员工的不合理访问网络,带来多种隐患,导致网络中充斥着大量病毒(如ARP病毒)。病毒在局域网内传输,制造网络攻击,常常造成网络的中断。档案信息化机密数据的保密无法得到真正的保障防火墙只能防御外部的侵袭,对于内部数据的泄露显得苍白无力,电子邮件、MSN/QQ以及BBS论坛等网络应用固然给企业带来了网络化使用的方便同时也是造成公司机密文档泄密的途径,必须进行必要的管理。非法网站的访问带来了较多的法律风险员工的上网不节制行为利用企业内部网络访问反动,色情,违反法律等网站,发表不发的言论等,这些都会给企业带来负面影响以及要肩负起法律责任,需要对这种行为进行限制。上班做私事,利用局里网络享受上网娱乐,降低工作效率员工在工作时间玩网络游戏、看网络电视、炒股等等,既占用公司正常业务流量也严重影响了员工的工作效率,带来企业无形资产的损失。涉及到的管理带宽管理如何令有限的带宽合理分配使用,需要上网行为管理提供精细网络带宽管理功能。可根据主机(单IP、IP组、用户组)、服务(服务组)、应用程序、时间、URL、文件类型等不同参数,提供灵活组合来实现带宽的预留、保障和限制。控制风险管理信息安全是一个复杂的系统工程。要实施一个完整的网络与信息安全体系,应包括一下三个结合:*根据国家与企业切身情况制定相关网络管理规章制度,行政与技术部门切实规章制度的落实。*网络安全技术的加入,如防火墙技术、网络防毒、身份认证、授权等。提供安全的网络边界。*对上网行为进行审计和管理。提供实时监控企业网络安全状态、提供实时改变安全策略的能力、对现有的安全漏洞进行查漏补缺等,以防患于未然。合规管理国家《互联网安全保护技术措施规定》、《信息安全等级保护》、《企业信息系统风险管理》等安全指导,均对学校、政府、企业、银行互联网访问的控制、审计提出要求。公安部33号令以及2006年3月1日颁布实施的公安部82号令,都对互联网使用单位内部用户的上网行为提出了行为审计和记录的要求,尤其82号令要求互联网访问行为日志“至少留存60天”。行为管理通过策略与日志,管理者可以跟踪网络中的任何操作。对用户上网行为操作做出规范管理,减少内部泄密行为与病毒传播隔离。防病毒网关系统随着网络应用的不断发展,越来越多的木马入侵、病毒等攻击通过网络进行实施及传播,病毒传播的范围广、速度快,对网络用户造成了难以估量的损害。在金融网络中,由于内部网络与外界连接方式多样,联系业务众多,因此,在应用中难免也存在木马、病毒及恶意程序等泛滥传播的情况。为了解决病毒及恶意程序通过网络的传播问题,很多安全厂家,开始尝试发布病毒防护网关。但是,多数设备厂商都遇到了一个很大的技术难题,就是网关病毒防护会消耗大量的网关设备资源,而对数据的转发及处理造成很大的延时,成为数据快速转发的瓶颈,降低网络使用效率。Hillstone山石网科公司为了解决网络病毒传播及网关查杀毒性能瓶颈的问题,提出了全新的第二代网关防毒设计理念,采用全新多核处理器+ASIC+高速交换总线的硬件设计,结合基于并行流的杀毒机制,为了提高病毒查杀的识别能力,整合了杀毒业内知名防毒公司病毒库,最终实现了高性能的网关病毒防护功能。Hillstone山石网科产品的病毒防护功能主要有以下特性:基于64位多核处理器的设计架构,满足病毒防护对CPU和内存资源的高需求。多核CPU及专业的64位专用安全系统,确保了CPU的高效性能输出。基于并行流扫描机制的杀毒引擎,充分发挥硬件优势,确保病毒处理的高性能。先进的多核CPU并行处理方式,硬件数据包重组,确保了高性能。基于流的多层压缩文件解压。确保对压缩文件中病毒的彻底查杀。整合成熟知名杀毒厂家病毒库的实时自动升级,确保了最短时间内,及时的响应对最新病毒的查杀需求。支持对HTTP、FTP、POP3、SMTP和IMAP协议杀毒。能够及时发现多种常用协议传输数据中的病毒,进行有效的处理中断传输会话、杀毒、日志记录等多种处理机制。对于发现有病毒传播的数据流,可以设置多种处理方式。网关杀毒支持透明、路由、混合模式。可以满足各种网络环境部署需要。病毒防护功能开启时最大吞吐量达1.68G保证用户的主干链路数据传输延时不会过大,可让用户放心使用Hillstone山石网科安全网关。Hillstone山石网科的病毒过滤网关通过高性能、高可升级性解决方案,能满足金融网络现今低延迟和低响应时间应用的需求。如果配合网络版防病毒软件一起使用,这样为金融用户网络的病毒防护起到一个双保险的作用,效果更为显著。部署内网安全方案详解:>>信息保密管理:IP-guard严格控制网络连接,综合考虑政府文件的各种存在状态与访问途径,全方位多角度的保证机密文件只在可控范围内流通,文件安全无懈可击。控制网络接入,保证访问安全外部入侵检测:系统登记网络内计算机,即时检测是否有新计算机接入内网,对非法接入的计算机进行阻止,限制个人电脑随意接入内网,防止外部计算机非法入侵对政府信息网络造成的文件泄密与系统风险。内部通讯控制:设定网内计算机相互通讯权限,有效控制不同部门间的网络访问,保证需要保护的敏感计算机的安全。控制外部设备,防止外设泄密控制网内计算机外部设备的使用权限,包括存储设备、通讯设备、USB设备、网络设备及其他主流的计算机外部设备,并可监控禁止新设备的使用,多种途径阻止外接设备造成敏感文件外流各类设备控制可细化到最小分类,如USB设备可细分键盘、鼠标、光驱、Modem等,最大限度保证正常的设备应用控制移动存储,防止U盘泄密对指定移动存储设备中存取的文档进行自动透明加解密,U盘超出可信使用范围即无法访问,保证机密文件即使不慎流出也不会泄露导致严重后果分类管理内部流通的移动存储设备,只有经过认证加密的设备才可以在系统中使用,在保证合理应用的同时防止敏感文档经由非法存储设备流出控制文档操作,强化操作审计灵活限定网内计算机对特定文件的操作权限,包括创建、访问、移动、修改、删除、重命名等,防止敏感文件被泄露或删除当有设定的非法操作出现时,自动报警并备份文档,防止文件被篡改或者删除而造成严重后果完整记录网内计算机文档操作,多种条件灵活查询,以便有重大事件发生时进行审计定时记录客户端屏幕画面,支持输出为通用格式视频文件存档,便于在事件发生时直观还原事件原貌控制打印操作,防止打印泄密严格控制打印机的使用权限,控制打印程序,防止敏感文件通过打印途径泄露的同时,还可以管理打印消耗多个项目详细记录打印操作,并可完整记录每次打印的映像图像,直观查看打印内容,便于发生问题时追根溯源控制外发工具,防止传输泄密限制通过即时通讯工具如QQ、MSN等传输文件,支持在传输时进行备份以降低文件损失风险,持续更新并支持绝大部分的即时通讯工具控制邮件发送,阻止向不被允许的收件人发送邮件,控制附件的使用,支持在发送附件时自动进行备份,降低文件损失风险必要时也可禁止指定类别的IM及邮件程序的使用,即使改变程序名也继续有效,彻底杜绝通过网络传输泄密的风险﹡如需要,可提供即时通讯记录查看与邮件完整记录功能>>系统应用管理:IP-guard全面控制网内计算机应用程序与网络应用,完整的审计为IT管理者提供依据,杜绝安全隐患,做到专机专用,专网专用,有效提升应用效率。管理应用程序,保持系统高效自动收集网内计算机运行的各类程序,分类管理客户端运行的应用程序,防止危险程序运行带来的未知风险合理限制某些与政务无关的应用程序的使用,如游戏、炒股等,符合政府内网专机专用的要求,保持系统高效应用对网内计算机程序运行状况进行统计,生成报表,为管理提升提供依据﹡如需要,可提供客户端屏幕即时查看功能,方便管理管理网页浏览,降低染毒及未知风险控制网内计算机访问网站的范围,限制访问无关网页,完全禁止访问色情、暴力、反动网页,预防病毒、木马等安全威胁及政治风险策略设置灵活,支持黑名单和白名单,可以分时段、分类别进行控制详细记录统计网内计算机网页浏览状况,生成直观图表,方便管理者发现问题管理网络流量,高效利用带宽资源限制客户端网络流量,禁止P2P下载、在线视听等无关网络应用,防治网络拥堵,保证正常政务处理业务流量,使带宽资源得到最优利用可针对时段、端口、IP地址等参数灵活控制,实现更加人性化的管理统计客户端流量使用情况,迅速发现网络拥堵症结所在,为网络资源分配提供依据>>维护与资产管理:IP-guard加强集中管理,远程维护简化冗繁工作,轻松管理补丁与漏洞,保证系统持续稳定;全面资产管理让国有资产绝不轻易流失。简化系统管理,迅速排除故障实时远程查看网内计算机进程、性能等运行状态,分析故障原因并进行远程协助,快速排除故障,解决系统问题支持远程连接操作网内计算机桌面,方便进行协助或者示范操作支持文件在客户端与控制机间双向传送,方便内部沟通便捷资产管理,保卫国有资产即时监控网内计算机软硬件资产状态,包括硬件、操作系统、应用程序等,记录资产变更,保证国有资产绝不流失支持自定义管理非IT资产,扩大资产管理的覆盖范围,查询便捷强化补丁及漏洞管理,让系统无懈可击集中扫描网内计算机补丁安装情况,及时下载并集中部署安装,保证系统安装最新补丁,及时修补严重威胁漏洞集中扫描网内计算机系统漏洞,包括权限、密码及系统设置等问题,提出改进建议,帮助消除安全隐患快捷软件分发,便利程序安装便捷制作软件安装包,部署任务,分发到系统内各计算机并自动安装,大大减轻IT管理人员逐机部署应用程序的负担,方便应用软件在内部的大规模应用支持复制特定程序或文件到客户端,简化文件分发,加快信息传递使用产品选型设备需求品牌参数生产地网络行为综合审计系统网神北京防病毒网关山石北京内网安全系统溢信内网终端管控系统广州IT运维与库房机房环境动力安全建设目标在中心机房和库房独立部署整体的机房动力和环境监控。主要包括精密空调(或家用空调)、UPS运行状态监控、温湿度、烟感和漏水监控、配电柜开关及市电监控。对机房内运行的各应用系统平台的可用性、以及支撑应用系统运行的网络设备、服务器、数据库等的运行状态进行监控。提供机房动力环境长期的监控报告,提供机房内各系统及设备长期运行状态分析报告。当不利的动力和环境状况出现时,当网内内各系统及设备运行异常时能进行声音、监控屏幕弹出窗、手机短信、电子邮件远程报警等各种手段的预警,以及在发生故障时进行迅速的警告。资产管理。可对设备的使用壮况如名称、型号、购买日期、质保时间、使用人(处室)等提供在线管理。建设原则安全生产的原则:

由于网络系统的重要性,各种技术方案、产品、客户化工作的实际实施必须经过充分的测试和验证,并需精心设计实施方案,以保证不会对用户现有网络的正常运行和业务系统的正常使用造成任何影响;同时,应充分考虑工程实施过程中的回退和应急方案,以保证在最短时间内恢复由于新系统的实施对网络造成的影响。开放性原则:

网络系统管理平台需要基于开放的管理平台,遵循业界标准,并提供开放、灵活的信息交互及管理接口,能提供开发接口,方便扩展管理功能,并且支持第三方厂商的应用集成,为产品的选型提供更高的灵活性。可用性原则:

网络系统管理平台的部署不需对原有的网络系统结构、安全策略等方面做较大修改和调整,对原有网络系统性能影响最小化,尽量少的占用网络资源、被监控服务器资源不得超过现有资源的百分之五,可定期自动清除“垃圾”文件和“垃圾”数据。健壮性原则

网络系统管理平台具有较强的免维护能力,能够长时间稳定运行,自身维护要求简单,具有快速恢复功能。扩展性原则:

网络系统管理平台具有较强的扩展性,能够在包括管理范围、管理功能、管理数量等方面提供灵活、多样的扩展能力。展示形式多样性原则:

网络系统管理平台能够对收集的数据进行分析处理,生成技术、运维管理等层面的相关报表、视图等,根据不同级别用户的实际需求,提供灵活、多样的展示形式,能提供中文界面。可定制原则:

提供灵活的部署方式,在客户化、管理策略、事件关联、报警方式、报表生成、信息展示、管理流程等方面可以按实际需求进行定制,并支持用户的二次开发。成熟优先、适度超前原则:

系统整体设计应该统一规范,模块设计清晰合理,通信接口明确透明,能够有效地实现后台一体化管理。在此基础上,该网络管理系统应具有适度的先进性。解决方案监控系统简介“飞思网巡”是创新和领先的IT运维管理硬件产品。“极简”的设计提供全网IP通信线路,以及机房IP网络全面监控预警解决方案。内容包括DDN专线和VPN隧道等通信线路、服务器的硬件和各种操作系统、数据库和应用系统、网络设备的运行状态和性能,IP和应用流量分析,机房动力环境等。“飞思网巡”系统为方便的全Web方式配置和管理,以“简约”设计为核心,使用简单,运行安全稳定。系统为旁路接入用户IP网络中。它不改变任何网络结构,带来新的单点故障,对网络带来不利影响,对监控管理目标影响极低。系统具有全面的监控管理功能,主要对用户的机房网络基础设施和IT系统带来全面的监控、管理、预警和运维能力。架构“飞思网巡”专用系统基于高效安全Linux内核,全web配置管理,运行更稳定可靠,监控预警更快速准确。优化的核心程序,对网络带宽占用极低,同时对目标网络设备和服务器性能影响极低。系统主要由数据采集、数据储存和分析处理、B/S可视化人机界面、报警等模块组成,并提供多种扩展组件。系统架构数据采集模块数据采集模块通过SNMP、WMI、SYSLOG、IPMI、各种应用层协议(ICMP、HTTP、FTP、TELNET、SMTP、POP3等)及私有协议,对网络专线(DDN、VPN)、网络设备、服务器、各种应用和数据库系统、机房环境等进行各种数据采集,提交到数据储存和分析模块处理。数据储存和分析模块数据储存和分析处理模块对采集模块提交的的数据进行分析,确定监控目标的状态(正常、一级和二级告警、错误等),向B/S可视化人机界面模块提交状态信息。同时,将数据储存到数据库中,提供接口供人机界面模块进行历史数据查询。B/S可视化人机界面模块B/S可视化人机界面模块通过web对用户提供配置、管理和告警接口。用户通过web进行系统配置、监控目标配置,查看网络拓扑图和监控目标的状态,查询历史数据生成详尽的性能曲线图、故障和告警历史记录,生成报表。人机界面也提供完整的管理员操作日志查询、配置备份和恢复、系统手动和自动升级等多种管理功能。预警模块预警模块通过人机界面的弹出窗口和声音进行声光预警,同时支持通过发送电子邮件和手机短信等多种手段进行预警。扩展组件系统提供流量分析、机房动力环境、设备日志储存管理等多种组件,根据需要可灵活扩展。流量分析组件通过netflow/sflow/抓包分析等进行IP和应用流量统计、TOPN列表、故障诊断、带宽容量规划决策等高级功能。机房动力环境组件结合动力和环境探测设备,可以实现对机房动力(市电)、环境参数(温度、湿度、烟雾、漏水)和UPS、精密空调等智能设备的监控预警。日志储存服务组件通过SYSLOG协议接收和储存被监控的网络设备、服务器的日志。提供查询和管理,快速发现和定位存在的设备和服务器安全事件,设置指定关键字日志监控预警等高级功能。建议方案机房方案图中心机房和两小机房全面监控预警方案图在中心机房和两小机房各部署一台“飞思网巡”硬件设备,以及相应的环境监控设备。如上图所示。主要应用价值实现对机房的各应用系统,以及支撑业务系统运行的网络、服务器、数据库、机房动力和环境等基础设施的安全性、可靠性、稳定性和性能表现进行深入监控,以及能提前预知故障和排除故障,避免对中心业务带来影响。主要内容为:机房动力环境:市电/UPS等动力情况,温度/湿度/烟雾/漏水等环境参数。应用系统:业务系统/OA/ERP/WEB/邮件系统/中间件等可用性、响应时间和运行状态。网络设备:CPU/内存/Flash/端口状态和流量等。服务器:机箱、CPU温度/风扇转速/电源等硬件状态;CPU/内存/磁盘空间/IO读写/网口状态和流量/进程服务等操作系统性能状态。数据库:表空间/响应速度等数据库性能指标。链路:上网专线/到异地DDN和VPN/互联链路的通断/丢包率/延时和流量等。流量分析:通过netflow/sflow/抓包分析等进行IP和应用流量统计、TOPN列表、故障诊断、带宽容量规划决策。SYSLOG收集分析:集中管理网络设备/服务器等的日志信息,快速发现和定位存在的设备和服务器安全事件。预警和管理:设置两级阀值,弹出窗口/电子邮件/短信预警,实现运维流程管理。不断提升网络管理人员的工作效率,与服务器中心的整体发展要求相适应。通过监控系统对服务器定时关闭开启的能力,打造节能绿色机房。方案特点“飞思网巡”硬件平台,是创新和领先的硬件产品,具有鲜明的特点,主要为:硬件产品,旁路接入,全web管理,简单易用。基于linux定制的专业操作系统,集成数据库,降低成本,不会感染病毒,长时间不间断运行,高效安全。创新的“云技术”应用,实现可靠的分布式部署,集中监控。优化的数据采集程序设计,对带宽占用低、目标网络设备、服务器等性能占用接近零。对服务器定时关闭开启的能力,打造节能绿色机房。加强的预警机制,多级阀值设定,电子邮件和短信通知准确迅速。模块化设计,定制支持能力更强。产品选型本项目建议选用专用硬件平台,通过跟高效和安全的Linux操作系统、模块化设计的软件进行优化整合,形成的一体化产品具有更高的稳定性、性能,并且易于部署和维护。中心机房(一套)设备需求品牌参数生产地”IT运维管理与机环动环监控系统飞思·全web配置管理,可视化图形界面,自定义首页,曲线图循环播放展示。·IP和网段自动扫描,自动分类,自动形成树形结构。·手机短信、电子邮件、弹出窗口等多种种报警方式,支持多级阀值设定。·对DDN和VPN等链路的可用性、质量进行监控。·对主流网络厂家的网络设备进行监控,包括ping存活探测,cpu、内存、存储器空间、接口流量等运行状态。对F5负载均衡设备业务性能提供深入支持。·主流服务器厂商的服务器(支持IPMI协议)的硬件状态进行监控,包括服务器内部环境温度、主板温度、CPU温度、CPU风扇转速、电源状态、电源电压、CPU电压、CMOS电池容量等。并且可实现远程开关机等管理功能。·对Windows、Linux、AIX、HP-UX、VmwareESX(i)/vSphere等操作系统的服务器的ping存活、系统资源(cpu、内存和磁盘空间)、接口流量、进程等进行监控。·支持对HTTP、HTTPS、FTP、Telnet、FTP、ICMP、IMAP、Pop3、SMTP和任意TCP端口上的应用服务进行监控。·对广泛应用的IIS、Apache、Nginx,以及Tomcat、Weblogic、WebSphere中间件等服务的详细运行状态和性能参数进行监控。·对Oracle、Mysql、SqlServer、DB2等主流数据库进行表空间利用率、数据文件的每秒I/O操作、已连接的用户数等众多参数进行监控。·对机房温湿度、漏水、烟雾等环境参数,以及市电和UPS等动力状况进行监控(需要额外的附加探头支持)。·支持历史性能曲线、故障和通知历史记录、管理员操作历史记录和报表功能,支持导出excel格式的报表。·支持基于角色定义的分级权限管理·支持自动网段扫描和智能向导配置,以及网络拓扑图功能,支持导入机房真实图片及拓扑图。·支持PING、Traceroute、CheckTCP、SNMPWALK、Ipmitool等诊断工具。·支持远程协助,提供在线帮助系统。本次配置30个监控网元,3套温湿一体型传感器,1路缆式水浸传感,2个烟雾传感器,1套三相智能电量检测仪,1个开关量采集器,1路智能设备监控主机(精密空调,1路智能设备监控主机(UPS),1个GSM短信猫 北京详细描述如下:监控系统主设备 “飞思网巡”IT运维管理设备1000型(需支持监控30IP)Web方式配置管理,采集网络、服务器、数据库、机房动力和环境等基础设施等各种数据,分析数据,提供历史记录和报表,发送电子邮件、手机短信等报警信息。1安装在机柜中。通过网线接入交换机。网络型动力环境监控设备 APEM6300环境监控主机可总线式接入最多8路TH3101(数字温湿一体型传感器。如需接入超过8路,可定制)。带3路开关量输入,可接入共3路漏水和烟雾监控。带1路485接口。带液晶显示。1APEM6300安装在机房入口处,并将TH3101安装在需监测温湿度的地方。如墙壁和机柜位置。APEM6300通过网线接入交换机。TH3101数字温湿一体型传感器数字温湿一体型传感器3APEM6300带3个TH3101。5803缆式水浸传感器区域漏水检测。含控制器,引出线,(5米)感应线,终止端,固定胶贴。1安装在精密空调主机周围。通过2根信号线接入环境主机的开关量端口。668烟雾传感器离子型。2安装在机房2个需重点监测烟雾的天花板上。通过2根信号线接入环境主机的开关量端口。AJ34三相智能电量检测仪液晶显示,485通信端口。测量三相四线制电力线路的电压、电流、频率、功率因数、有功功率、无功功率、总基波功率、总谐波功率,有功电度、无功电度。1安装在配电柜内。通过2根信号线接入环境主机的485端口。D86开关量采集器485通信端口。监控空气开关状态。1安装在配电柜内。通过2根信号线与AJ34三相智能电量仪手拉手链接,最终接入环境主机的485端口。TS100智能设备监控主机(精密空调)485通信端口及以太网口。监控精密空调运行状态。1安装在精密空调控制板附近。通过2根信号线将485通信端口连接精密空调485通讯端口。通过网线将以太网口接入交换机。TS100智能设备监控主机(UPS)RS-232通信端口及以太网口。监控UPS运行状态。1安装在UPS附近。通过UPS随机附带的串口线缆(如不了解,需咨询UPS厂家)连接RS-232通信端口与UPS智能通信口。通过网线将以太网口接入交换机。短信发送附件GSM短信猫 用于发送预警短信。USB接口。1通过USB线缆连接“飞思网巡”IT运维管理设备USB端口。数据中心的存容灾备份与安全数据中心现状数据中心优化后方案数据中心防入侵系统在档案局服务器入口处处部署一套网络入侵防御系统,通过设置检测与阻断策略对流经入侵防御系统的网络流量进行分析过滤,并对异常及可疑流量进行积极阻断,同时向管理员通报攻击信息,从而提供对网络系统内部IT资源的安全保护。入侵防御系统能够在第一时间阻断各种非法攻击行为,比如利用网络系统薄弱点进行的直接攻击和增加网络流量负荷造成网络环境恶化的DoS攻击等。保护关键业务隔离企业内网攻击hillstone网络入侵防御系统解决方案优势它可以完成多种协议的格式解析按照协议来划分,没有协议特性的归入全端口检测当前支持6个协议:DNS、FTP、HTTP、POP3、SMTP、Telnet 支持3000多个signature的检测结合应用识别模块可以检测非标准端口对于HTTP的防护非常细致颗粒化HTTP防护分类:Web平台Web认证Web授权输入验证Web数据存储(例如SQL)XMLWeb服务Web应用管理Web客户端DOS支持IPS在线模拟和IPS模式IPS在线模拟模式,仅提供协议异常和网络攻击行为的告警、日志功能,不对检出攻击做reset、block操作。IPS模式,提供协议异常和网络攻击行为的告警、reset、阻断功能。提供防御暴力破解功能,并在设定时间内阻断后续认证登陆尝试暴力破解,检测每分钟对多允许的登录(密码验证)尝试次数。如果超过配置阈值,则根据用户配置的行为进行处理。对SMTP、POP3、FTP、Telnet协议提供暴力破解功能。暴力破解被认为是一个”Critical”级别事件。对网络攻击事件分为Info、warning、critical三个安全级别,可根据安全级别对网络攻击行为设定告警、重置及block的操作。安全级别设置三级,Information、Warning、Critical。用户针对不同安全级别可配置不同的操作,包括仅记录日志、重置连接、阻断攻击IP或service。提供服务器信息保护由于Web、Mail、FTP等服务器安全设置级别不高,可能在应用交互过程中泄露服务器版本等重要信息,成为黑客进行入侵攻击的通道之一。IPS提供HTTP、SMTP、POP3、FTP服务器信息的保护功能,替换在应用交互中服务器回应给客户端的信息。提供协议异常和网络攻击行为的告警、reset、阻断功能提供详细的攻击防护日志输出提供详尽的在线帮助文档,帮助用户了解IPS检测出的网络攻击行为的详细信息及解决方案提供用户基于signatureid、application、ip、user、zone、interface的入侵次数统计集设置。用户可通过这些统计集从不同纬度分析网络攻击行为。支持IPS特征库及IPS相关配置的双机热备功能支持IPS特征库的批量及实时同步支持IPS相关配置的批量及实时同步Hillstone山石网科入侵防御系统能够提供很好的内网攻击防护功能,结合来自网络外部的攻击防护功能,能全面杜绝内网ARP、DDoS攻击和外部非可信网络的攻击,全面、高效、安全的保护用户的网络,还用户一个安全、干净、舒适的信息环境。高可靠性和稳定性依靠积累多年被证实的专业硬件安全产品研发和市场经验,Hillstone山石网科入侵防御系产品无论在软件还是硬件的稳定性和可靠性上都有了进一步提高。全面优化的软硬件系统的稳定性和高可靠性为网络流量和网络攻击日益膨胀的xxx单位网络IT环境提供了强大的保障。最低的总体拥有成本Hillstone山石网科入侵防御系提供了非常友好的使用和管理界面,部署简单、易于维护和管理。灵活的特性可以满足不同用户不同应用环境的需求。独特创新的新一代网络安全架构提供给用户最大化的可扩展能力,最大化地保护用户投资。强健的专用实时操作系统Hillstone山石网科入侵防御系采用了专用的64位实时并行操作系统——StoneOS,其并行处理能力和模块化的结构易于集成和扩展更多的安全功能。针对新一代多核处理器进行的全面优化和安全加固极大地提高了系统处理效率、稳定性和安全性。模块化和并行多任务的处理机制,为Hillstone山石网科入侵防御系提供了极大的可扩展能力,包括支持更多的核处理器和集成更多的安全功能。强大的抗攻击能力Hillstone山石网科入侵防御系的多核处理器具有天生的高性能内容安全处理能力,结合专用定制操作系统,能够提供高性能的应用安全处理能力和更强的应用层抗攻击能力。Hillstone山石网科入侵防御系每秒能够提供多达40万的TCP会话请求,具有超强的SYNFlood抗攻击能力和DDoS抗攻击能力。产品选型设备需求品牌参数生产地入侵防御系统山石网科北京数据中心数据审计由于政府和企事业单位的数据库系统都实现了网络化访问,内部用户可以方便地利用内部网络通过各种通讯协议进行刺探,获取、删除或者篡改重要的数据和信息。同时,一些内部授权用户由于对系统不熟悉而导致的误操作也时常给数据库系统造成难以恢复的损失。此外,对于使用IT外包和代维的大型机构而言,如何限制外部人员对数据库系统的访问权限也是一个难题,外包方的技术工程师可能在开发数据库应用的时候留下后门或者幽灵帐号,为将来侵入数据库系统埋下隐患。另一方面,为了保护敏感信息、加强内控,国家强制机关和行业的主管部门相继颁布了各种保护公民隐私,以及合规和内控方面的法律法规和指引,例如《企业内部控制基本规范》、《银行业信息科技风险管理指引》、《证券公司内部控制指引》、《保险公司风险管理指引(试行)》等。其中《中华人民共和国刑法(七)》第253条明确规定“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。”此外,在国际上,美国政府针对上市公司的萨班斯(SOX)法案、针对医疗卫生机构的HIPAA法案、针对联邦政府机构的FISMA法案,支付卡行业数据安全标准(PCIDSS)都对信息保护和内控提出了严格的要求。这些条例和指引都要求对网络中的重要数据库系统进行专门的安全审计。可以说,随着安全需求的不断提升,网络安全已经从以防范外部入侵和攻击为主逐渐转变为以防止内部违规和信息泄露为主了。在这种情况下,政府和企事业单位迫切需要一款专门针对网络中数据库及其业务信息系统进行全方位审计的系统。网神借助多年在安全管理领域的积累,推出了SecFox-NBA(业务审计型),很好地满足了客户的安全审计需求。网神SecFox-NBA(NetworkBehaviorAnalysisforBusinessAudit)网络行为审计系统(业务审计型)通过对连接到重要业务系统(服务器、数据库、业务中间件、数据文件等)的数据流进行采集、分析和识别,实时监视用户对业务系统的访问,记录、发现并及时制止用户的误操作、违规访问或者可疑行为。SecFox-NBA(业务审计型)能够对复杂网络环境下的各种数据库操作行为进行细粒度审计。产品能够对运行在各种操作系统上的各种品牌数据库的操作进行记录并回放,审计的行为包括DDL、DML、DCL,以及其它操作等行为;审计的内容可以细化到库、表、记录、用户、存储过程、函数、调用参数,等等;不仅能够审计请求信息,也能够审计返回结果,还支持操作内容回放。SecFox-NBA(业务审计型)独有面向业务的安全审计技术,通过业务网络拓扑记录客户业务网络中各种数据库、主机、web应用系统相互的关联性,审计人员可以根据业务网络的变化快速查看业务网络中各个设备和整个业务网络的事件和告警信息。SecFox-NBA(业务审计型)能够自动地或者在管理员人工干预的情况下对审计告警进行各种响应,并与包括各种类型的交换机、路由器、防火墙、IDS、主机系统等在内的众多第三方设备和系统进行预定义的策略联动,并能够实时阻断可疑的网络通讯,实现安全审计的管理闭环。SecFox-NBA(业务审计型)为客户提供了丰富的报表,使得管理人员能够从各个角度对业务系统的安全状况进行审计,并自动、定期地产生报表。产品部署简便,不需要修改任何网络结构和应用配置,不会影响用户的业务运行。

产品特点SecFox-NBA网络行为审计系统(业务审计型)的主要特点包括:全方位的数据库审计数据库操作实时回放多角度的业务审计应用服务实时监控资源转换与审计控制内置数据库防攻击策略快速响应和协同防御海量存储便于事后分析部署灵活简单易用详尽有效审计报表多数据库系统及运行平台支持SecFox-NBA(业务审计型)产品能够对多种操作系统平台下各个品牌、各个版本的数据库进行审计。产品能够审计的数据库系统包括:Oracle8i/9i/10g/11gSQLServer2000/2005/2008IBMDB27.x/8.x/9.xIBMInformixDynamicServer9.x/10.x/11.xSybaseASE12.x/15.xMySQL4.x/5.x/6.x国产数据库,例如达梦、人大金仓等产品能够审计的数据库运行平台包括:Windows、Linux、HP-UX、Solaris、AIX。细粒度数据库操作审计SecFox-NBA(业务审计型)能够深入细致地对数据库的各种操作及其内容进行审计,并且能够用户通过各种方式访问数据库的行为。系统审计的行为包括DDL、DML、DCL,以及其它操作等行为;审计的内容可以细化到库、表、记录、用户、存储过程、函数、调用参数,等等。如下表所示:操作行为内容和描述用户行为数据库用户的登录、注销数据定义语言(DDL)操作CREATE,ALTER,DROP等创建、修改或者删除数据库对象(表、索引、视图、存储过程、触发器、域,等等)的SQL指令数据操作语言(DML)操作SELECT,DELETE,UPDATE,INSERT等用于检索或者修改数据的SQL指令数据控制语言(DCL)操作GRANT,REVOKE等定义数据库用户的权限的SQL指令其它操作包括EXECUTE、COMMIT、ROLLBACK等事务操作指令系统不仅能够审计数据库操作请求,还能审计操作的返回结果,包括成功或者失败。如果失败,能够审计到返回的错误码。系统能够对各种访问数据库的途径进行监控和审计,参见下图:如上图Oracle数据库审计所示,无论用户通过Oracle自带的企业管理控制台、PL/SQL命令行、SQL*PLUS进行访问,还是通过第三方的QuestTOAD(ToolforOracleApplicationDevelopers)工具访问,抑或通过中间件、浏览器、客户端程序/代理方式访问,等等,SecFox-NBA(业务审计型)都能够进行审计。特别地,如果被审计的数据库网络数据被加密处理了,SecFox-NBA(业务审计型)为用户提供了一个通用日志采集器模块,借助该模块,系统能够自动的采集被审计数据库的日志信息,并在审计中心对其进行归一化和关联分析。此外,SecFox-NBA(业务审计型)还能够监测数据库系统所在主机的网络通讯,对该主机的FTP、文件共享等协议进行审计,确保数据库系统上的数据安全。可视化的数据库审计SecFox-NBA(业务审计型)系统为用户提供了简介易用的操作界面,使得普通管理员就能够对复杂的数据库系统进行审计。系统提供了多种可视化的审计手段,包括:智能监控频道智能监控频道为用户提供了一个从总体上把握企业和组织中所有数据库及其相关系统安全情况的界面。每个频道包括多个监控窗口,可以显示多方面的安全信息,窗口可以缩放、可以移动换位、可以更换布局、可以调台,显示管理员想看的内容。SecFox-NBA(业务审计型)提供丰富的频道切换器,用户可以在不同的频道间切换。同时,用户也可以自定义频道,包括自定义布局和展示内容。行为分析图用户可以对一段时间内的数据库操作指令进行行为分析,并生成行为分析图。行为分析图将一段时间内的数据库操作按照不同的属性进行排列和连接,形象地展示在坐标轴上,让管理员一目了然的看到操作所代表的用户(IP)行为。业务拓扑图通过网神独有的业务拓扑功能,可将业务系统中相关的数据库、主机、服务等对象以拓扑图的方式展现出来。通过业务拓扑,用户能够直观地看到该业务系统的组成,并方便地查看业务系统的告警信息和流量信息。数据库操作实时回放SecFox-NBA(业务审计型)对访问数据库、FTP、网络主机的各种操作进行实时、详细的监控和审计,包括各种登录命令、数据操作指令、网络操作指令,并审计操作结果,支持过程回放,真实地展现用户的操作。传统的数据库或者网络审计系统都采用基于指令的操作分析(Command-basedRecordAnalysis)技术,可以显示出所有与数据库主机相关的操作,但是这些操作都是一条条孤立的指令,无法体现这些操作之间的关联,例如是否是同一用户的操作、以及操作的时间先后,审计员被迫从大量的操作记录中自行寻找蛛丝马迹,效率低下。借助网神独有基于会话的行为分析(Session-basedBehaviorAnalysis)技术,审计员可以对当前网络中所有访问者进行基于时间的审查,了解每个访问者任意一段时间内先后进行了什么操作,并支持访问过程回放。SecFox-NBA(业务审计型)真正实现了对“谁、什么时间段内、对什么(数据)、进行了哪些操作、结果如何”的全程审计。多角度的业务审计对于用户而言,要保护核心数据,仅仅依靠对数据库的审计是不够的。内部人员违规操作的途径有很多,有的是直接违规访问数据库,有的是登录到数据库所在的主机服务器上,有的是透过FTP去下载数据库所在主机的重要数据文件,还有的是透过其他程序或者中间件系统访问数据库。所以,必须对数据库、主机、HTTP协议、TELNET、FTP协议,网络流量、中间件系统都进行审计,才能更加全面的发现违规、防止信息泄漏。这就是面向业务的安全审计。业务系统是由包括主机、网络设备、安全设备、应用系统、数据库系统等在内的多种IT资源有机组合而成的。因此,面向业务的审计就要对构成业务系统的各个IT资源之间的访问行为以及业务系统之间的操作的审计,这样才能真正反映出业务系统的安全状态。网神SecFox-NBA(业务审计型)就是这样一个集成了数据库审计、主机审计、应用审计和网络流量审计的面向业务的综合安全审计系统。SecFox-NBA(业务审计型)产品采用多种方式来更深入具体地分析业务系统:复杂环境支持:根据实际网络情况,系统管理员可以定义多个业务网络。业务网络拓扑:系统能够记录客户业务网络中各种数据库、主机、web应用系统相互的关联性,根据业务网络的变化可以快速查看业务网络中各个设备和整个业务网络的事件和告警信息。可视化行为分析:通过可视化的行为分析,可以清晰地定位访问源、访问目标服务器、应用协议及其操作内容。业务流量展现:系统能够展示出业务网络中各个节点(包括主机、无IP设备)在网络中的应用层的流量分布情况,管理员可以根据业务网络流量优化业务网络。三层架构的业务审计:现行的很多业务系统都是基于客户端/浏览器、应用服务器和数据库的三层架构。单纯审计数据库,可能获取的用户名称和访问地址都是中间件的用户和地址,难于定位访问源。采用基于业务的审计就可能化解这个问题,系统可以将客户端访问的服务,中间件,数据库建立一个审计的业务,利用访问时间作为关联条件,将客户端访问和数据库访问关联,通过可视化的行为分析,定位访问源。应用服务实时监控应用服务是企业和组织IT应用的核心,SecFox-NBA(业务审计型)采用先进的主动探测监控方式,无需在应用服务系统中安装任何代理或软件,模拟应用数据直接监控这些应用服务,一旦这些服务出现无法响应或响应太慢,将会触发事件告警及时通知管理员,管理员可以迅速采取相应的措施。管理员可以根据自定义的时间段生成监控报表,报表可以另存为HTML、EXCEL、文本、PDF等多种格式。通过这些报表可以了解应用服务的实际运行性能,帮助管理员制定相关应变措施,帮助应用开发人员进行调整优化。SecFox-NBA(业务审计型)可监控企业和组织的各类应用服务,包括各类数据库、中间件等,不但可以监控这些应用和服务的状态和响应时间,还可以监控他们的详细性能指标,例如Oracle数据库的表空间大小等,可以为管理员提供全面而详实的参考信息。系统还提供监控快照功能,实时提供各种详细的监控指标。管理员可以在一个界面上查看所有的监控信息,并了解之间的联系,而不是孤立地看待每个指标。系统提供图形和数据等多种方式,便于管理员全面的了解和分析应用和业务的性能和故障。资源转换与审计控制SecFox-NBA(业务审计型)支持敏感信息的屏蔽,防止审计人员看到不归他管的敏感数据;当用户所属角色没有敏感信息查看的权限时,则该用户在查看事件明细时,将无法查看【操作内容】、【返回信息】、【原始消息】三个可能包含敏感内容的字段。资源转换:将原始的SQL语句中某些字段以指定内容进行显示。包括:帐号资源、数据表资源。此功能可自动将原始的SQL语句转换成用户一目了然的业务操作流程,以中文方式显示审计内容中的重要字段,不仅方便数据库管理员,也方便非专业人员进行审计信息的查看。内置数据库防攻击策略SecFox-NBA(业务审计型)内置抗攻击策略,在识别出对数据库服务器进行攻击时记录相关操作。用户可以手动设置报警,以便及时进行相应。典型的内置防攻击策略包括:SQLinsert注入攻击SQLexec注入攻击SQLupdate注入攻击IBMDB2数据库xmlquery缓冲区溢出尝试Oracle安全备份命令exec_qr注入攻击OracleBEAWebLogicApache连接器HTTP版本拒绝服务攻击Oracle安全备份POSTexec_qr注入攻击Oracle安全备份msgid0x901用户名字段缓冲区溢出尝试快速响应和协同防御SecFox-NBA(业务审计型)在识别出安全事故后,能够自动或者用户手工的对威胁进行响应,采取安全对策,从而形成安全审计的闭环。SecFox-NBA(业务审计型)能够对业务网中所有IP的流量

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论