內網安全解決方案模板

1、 可修改 歡送下載 精品 Word 可修改 歡送下載 精品 Word 可修改 歡送下載 精品 Word內網平安(png n)解決方案上海寶信軟件(run jin)股份 DATE yyyy年M月d日 * MERGEFORMAT 2005年5月21日目 錄 TOC o 1-3 h z u HYPERLINK l _Toc101081807 第1章 背景(bijng)與現狀 PAGEREF _Toc101081807 h 5 HYPERLINK l _Toc101081808 1.1工程(gngchng)背景(bijng) PAGEREF _Toc101081808 h 5 HYPERLINK l

2、_Toc101081809 1.2建設(jinsh)內網平安(png n)管理系統的必要性 PAGEREF _Toc101081809 h 6 HYPERLINK l _Toc101081810 第2章 建設目標和原那么 PAGEREF _Toc101081810 h 8 HYPERLINK l _Toc101081811 2.1設計目標 PAGEREF _Toc101081811 h 8 HYPERLINK l _Toc101081812 2.2設計原那么 PAGEREF _Toc101081812 h 8 HYPERLINK l _Toc101081813 2.3設計依據 PAGEREF

3、_Toc101081813 h 10 HYPERLINK l _Toc101081814 第3章 問題分析與解決思路 PAGEREF _Toc101081814 h 11 HYPERLINK l _Toc101081815 3.1外來用戶的接入控制 PAGEREF _Toc101081815 h 11 HYPERLINK l _Toc101081816 3.2IP地址管理問題 PAGEREF _Toc101081816 h 11 HYPERLINK l _Toc101081817 3.3用戶資產信息管理問題 PAGEREF _Toc101081817 h 11 HYPERLINK l _Toc

4、101081818 3.4軟硬件違規(guī)行為監(jiān)控 PAGEREF _Toc101081818 h 13 HYPERLINK l _Toc101081819 3.5非法外聯問題 PAGEREF _Toc101081819 h 13 HYPERLINK l _Toc101081820 3.6網絡拓撲查看與平安事件定位困難 PAGEREF _Toc101081820 h 14 HYPERLINK l _Toc101081821 3.7效勞器與端口監(jiān)控困難 PAGEREF _Toc101081821 h 15 HYPERLINK l _Toc101081822 3.8缺乏完整的用戶授權認證系統 PAGER

5、EF _Toc101081822 h 15 HYPERLINK l _Toc101081823 第4章 系統架構與內網平安解決方案 PAGEREF _Toc101081823 h 17 HYPERLINK l _Toc101081824 4.1eCop系統架構 PAGEREF _Toc101081824 h 17 HYPERLINK l _Toc101081825 4.2eCop系統功能模塊 PAGEREF _Toc101081825 h 18 HYPERLINK l _Toc101081826 4.3內網平安解決方案 PAGEREF _Toc101081826 h 19 HYPERLINK

6、l _Toc101081827 第5章 系統功能實現 PAGEREF _Toc101081827 h 20 HYPERLINK l _Toc101081828 5.1IP地址管理子系統 PAGEREF _Toc101081828 h 20 HYPERLINK l _Toc101081829 5.2客戶端管理子系統 PAGEREF _Toc101081829 h 20 HYPERLINK l _Toc101081830 5.2.1客戶端的安裝、卸載和升級 PAGEREF _Toc101081830 h 20 HYPERLINK l _Toc101081831 5.2.2客戶端資產信息管理模塊 P

7、AGEREF _Toc101081831 h 21 HYPERLINK l _Toc101081832 5.2.3客戶端軟硬件監(jiān)控模塊 PAGEREF _Toc101081832 h 22 HYPERLINK l _Toc101081833 5.2.4非法外聯監(jiān)控模塊 PAGEREF _Toc101081833 h 22 HYPERLINK l _Toc101081834 5.3網絡拓撲管理子系統 PAGEREF _Toc101081834 h 23 HYPERLINK l _Toc101081835 5.3.1掃描子網/路由器層網絡拓撲 PAGEREF _Toc101081835 h 23

8、HYPERLINK l _Toc101081836 5.3.2掃描子網邏輯拓撲 PAGEREF _Toc101081836 h 24 HYPERLINK l _Toc101081837 5.3.3掃描子網物理拓撲 PAGEREF _Toc101081837 h 25 HYPERLINK l _Toc101081838 5.3.4交換機端口控制 PAGEREF _Toc101081838 h 25 HYPERLINK l _Toc101081839 5.3.5展現網絡設備重要MIB信息 PAGEREF _Toc101081839 h 25 HYPERLINK l _Toc101081840 5.

9、4效勞監(jiān)視與端口掃描子系統 PAGEREF _Toc101081840 h 26 HYPERLINK l _Toc101081841 5.5系統管理子系統 PAGEREF _Toc101081841 h 26 HYPERLINK l _Toc101081842 5.5.1身份認證與授權模塊 PAGEREF _Toc101081842 h 26 HYPERLINK l _Toc101081843 5.5.2報警與日志管理模塊 PAGEREF _Toc101081843 h 27 HYPERLINK l _Toc101081844 5.5.3系統備份模塊 PAGEREF _Toc101081844

10、 h 28 HYPERLINK l _Toc101081845 第6章 eCop系統主要(zhyo)優(yōu)勢 PAGEREF _Toc101081845 h 29 HYPERLINK l _Toc101081846 6.1技術(jsh)優(yōu)勢 PAGEREF _Toc101081846 h 29 HYPERLINK l _Toc101081847 6.2質量(zhling)優(yōu)勢 PAGEREF _Toc101081847 h 31 HYPERLINK l _Toc101081848 6.3資質(zzh)認證 PAGEREF _Toc101081848 h 31 HYPERLINK l _Toc101

11、081849 6.4客戶名單 PAGEREF _Toc101081849 h 32 HYPERLINK l _Toc101081850 第7章 人員培訓 PAGEREF _Toc101081850 h 34 HYPERLINK l _Toc101081851 7.1試運行期間(qjin)的常規(guī)培訓和練習 PAGEREF _Toc101081851 h 34 HYPERLINK l _Toc101081852 7.2其他培訓 PAGEREF _Toc101081852 h 34 HYPERLINK l _Toc101081853 第8章 售后效勞和具體的保證措施 PAGEREF _Toc1010

12、81853 h 35 HYPERLINK l _Toc101081854 8.1寶信的系統效勞隊伍 PAGEREF _Toc101081854 h 35 HYPERLINK l _Toc101081855 8.2售后效勞模式 PAGEREF _Toc101081855 h 35第1章 背景(bijng)與現狀(xinzhung)工程(gngchng)背景(bijng)近年來，隨著(su zhe)計算機及通信技術的迅猛開展，全球信息化步伐日益加快，現代計算機網絡已成為信息社會的根底設施，滲透到社會的各個方面。下簡稱的網絡建設速度也在不斷加快，正逐漸步入一個高效運轉、快速效勞的全新軌道。經過初步調

13、查，的網絡現況如下：整個網絡分為兩個層次：總網和各地市級分網，均為以太網絡，以總網為中心，通過路由器連接各地分，如下列圖示。總內網平安的防護是此次方案的重點。網絡拓撲圖中的網絡設備圖標需統一2總大樓里有一個內網，與內網邏輯隔離，內網不對外公開，內人士可以訪問內網和內網。大樓內劃分約14個網段，VLAN劃分比較活潑，約25個。3總大樓共一個機房，使用北電8612型交換機，下部的以太端口直接接有20多臺效勞器，上部的光纖端口接有27個樓層的所有網段，每個樓層有2個小型交換機1樓有3臺。4總大樓共20臺效勞器，全部接在中心機房；約有400500臺辦公電腦，其中使用Windows98第二版本約30，使

14、用Windows2000的約60；內網使用趨勢防火墻。網絡(wnglu)信息平安(png n)是一項系統工程，局域網絡極大地提高了工作效率，降低了行政(xngzhng)管理本錢(bn qin)。但與此同時，黑客(hi k)、病毒以及網上作案日益猖獗，信息平安問題越來越顯得突出。調查顯示，信息平安問題在很多情況下不是由外來的黑客所引起，而是來自于那些“內部人士或曾經是“內部人士的威脅。因此，信息平安問題首先應該從內部的平安著手。建設內網平安管理系統的必要性目前，的網絡建設有了很大的開展，但還比較脆弱，自身平安性不高，在日常管理中還存在著不少問題：一、缺乏完整的內部平安防護體系。一個大型計算機網絡

15、的整體平安體系包括網絡邊界平安、網絡內部平安和人為因素等多個方面，通過在網絡邊界部署防火墻、入侵檢測等系統可以有效地將內部網絡與外部網絡進行隔絕。但是對內而言還處于根本不設防的狀況，內部平安管理工作缺乏有效的技術手段。二、網絡平安管理的根底工作較薄弱，各類網絡根底信息采集不全。大型計算機網絡的管理應該以根底信息的管理為核心，信息管理中心如果對所管轄網絡的用戶和資源狀況難以掌握的話，對整個網絡的管理工作也就無從談起，在發(fā)生違規(guī)事件時也很難及時將問題定位到具體的用戶。三、IP地址使用存在一定混亂。IP地址是網絡連接協議TCP/IP的根底，IP地址就是每一臺計算機在網絡上的身份標識，因此在網絡上要求

16、IP地址是唯一的。如果兩臺計算機設置了相同的IP地址，那么會發(fā)生IP地址沖突的現象，造成兩臺計算機均無法正常使用網絡連接，從而影響正常業(yè)務工作的開展。 四、外圍設備的接入控制困難。為了保證內部平安，要求對網內各計算機設備的外圍設備使用情況進行控制，禁止或限制使用軟驅、光驅、USB盤、并行、串行口、紅外口、1394口、Modem等外圍設備，防止利用移動存儲設備進行數據文件的拷貝。五、難以監(jiān)控外來用戶的計算機接入內網。內網的計算機，應該是專門用于完成業(yè)務工作且經過認可的計算機。但是(dnsh)存在著用戶利用這些計算機設備進行其他活動，或使用未經確認許可的計算機接入內網的可能性，管理人員對這些情況難

17、以進行監(jiān)視和控制。六、網絡復雜(fz)龐大，平安(png n)問題難以定位。當出現網絡不通情況時，究竟是網絡發(fā)生故障還是本身主機系統的問題，難以在較快時間內判斷并做出響應(xingyng)。對違規(guī)操作或感染病毒的計算機，不能快速、準確定位，不能及時阻斷有害侵襲并快速查出侵襲的設備和人員。七、效勞(xio lo)器眾多，狀態(tài)監(jiān)控的工作量大，端口開放信息不明確。上述問題的存在，可能會造成機密信息外泄、影響正常業(yè)務進行等多種嚴重的后果。究其根本原因，是缺乏信息網絡平安管理完整體系和有效管理手段。因此，建立一整套內網平安管理及監(jiān)控系統，對于提高內網的平安性和穩(wěn)定可靠性具有重要意義。第2章 建設目標和原

18、那么設計(shj)目標內網平安(png n)系統設計應從(yn cn)實際需求出發(fā)，實現內網信息嚴格保密的需要，同時系統應是一個(y )具有靈活性，開放性，便于擴充升級的綜合系統。網絡(wnglu)平安管理平臺方案應具有以下特點：采用的高科技成果，使其在網絡信息管理領域具有較高的水平。擴充方便，修改靈活，操作維護簡單，系統重啟時間短，能適應業(yè)務的快速變化。充分利用現有各種系統的資源，以節(jié)省運行本錢。標準系統，從整體的角度來考慮系統的結構設計，根本包括計算機管理系統、相關數據庫系統間的直接或間接互連。設計原那么依照本系統的根本需求及今后的開展規(guī)劃，我們的設計遵循以下原那么： 開放性開放系統結構在

19、國際上廣為流行，它能有效地保護用戶已有的投資和資源，便于系統間的聯接。無論是硬件或軟件的升級或移植，開放系統有它不可比較的優(yōu)越性，主要表達在 : 主機系統開放性環(huán)境：主機系統開放性環(huán)境是一個不可缺少的因素，它基于Windows 2000或Linux等技術的操作系統，便于系統擴充并保持應用軟件的可移植性。應用軟件的獨立性：建立一套基于通用的Windows2000或Linux操作系統和開放關系數據庫管理系統的應用軟件。應用軟件應獨立于具體的硬件平臺,具有很強的適用性和先進性，并且可以進一步推廣和使用。可互聯的網絡系統：網絡的互聯能力表達在網絡的開放性和與異種網互聯的支持能力二方面。一個開放的網絡，

20、通常指符合國際標準或事實工業(yè)標準的網絡，此種網絡能被經過其它授權的各類計算機訪問，而不需要增加額外的軟硬件?；赥CP/IP網絡協議在多種主機(zhj)互聯的實用性、用戶接口方面的標準化、可用性，我們建議采用(ciyng)TCP/IP協議，以保證用戶接口的一致性，為應用軟件獨立于網絡系統提供保證。 實用性在設計中首先要考慮(kol)實用性和易操作性，需選擇技術成熟的設備及應用軟件，同時考慮到對現有設備和資源的利用。為使系統具備長時期技術領先的競爭能力，除保證系統的高穩(wěn)定性之外，還必須使其具有高效的故障診斷能力、簡便的數據庫更新功能、系統維護功能、靈活高效的業(yè)務變更對應能力等，使無用功減至最少。

21、實用性還表達(biod)在信息系統(xtng)業(yè)務界面的友好性上，因為靈活簡潔的操作會直接提升管理的效率。以上均是系統設計時必須考慮的問題。 先進性選擇符合國家平安保密規(guī)定的、業(yè)界最先進的產品，同時提供業(yè)界最前沿的管理理念，使得用戶始終能與世界領先技術和管理理念同步。在設計時，應充分考慮到各地千差萬別的實際業(yè)務需求及現代計算機和通訊技術開展的先進成果。為能保證本系統在一個較長的時期內處于同行業(yè)技術領先水平，必須從較高的起點出發(fā)，實現一個展現網絡新面貌的信息系統。 效勞的持續(xù)性平安產品對網絡和主機的帶寬占用很小，不會影響正常的網絡通訊和主機系統資源的使用。 可擴充性系統的設計應能最大限度保護用戶

22、現有投資。主機、網絡及應用系統除能滿足目前及未來假設干年業(yè)務開展規(guī)模之外，還應能隨業(yè)務的開展而進一步擴充，這要求目標系統具有很強的擴充能力，相應的主機系統、應用軟件、網絡都能夠平滑升級和擴充。即：要求系統隨著企業(yè)業(yè)務的開展在功能上可擴充，且不影響現有功能為前提；要求系統能隨企業(yè)效勞水平和技術要求的整體提高適應國內平安系統聯網的需求。在用戶(yngh)網絡發(fā)生(fshng)改變的時候，平安(png n)系統的改變最小，只是(zhsh)簡單通過添加授權KEY和監(jiān)控點，就可以(ky)完成整個平安系統的改造。 平安性與可靠性網絡平安平臺對維持網絡的順利運行有非常重要的作用，其平安性與可靠性是非常重要的

23、。這個特性表達在主機、網絡硬件設備、數據庫及應用系統等各個方面，并希望實現集中式的管理與控制。因而要求整個系統有完整的故障對策，以保證主機系統、網絡系統的工作的連續(xù)性，以及數據的完整性和平安性。對策具體可分為：網絡傳輸的完整性與平安性：鑒于系統具有多個后臺系統的集成聯網的特點，整體網絡系統應從網絡軟、硬件技術及網絡運行組織和管理上采取必要的措施。數據的完整性與平安性：應保證機器中的數據是可靠的。當因系統故障或事故造成中斷時，要求系統對數據的完整性具有檢測、保護和恢復的功能。設計依據系統的開發(fā)和建設在嚴格遵循國家和部、省有關信息系統建設的相關標準標準。采用和參考的部頒發(fā)標準有：公安部?公安計算機

24、信息系統“九五規(guī)劃?公安部?中間件傳輸技術標準標準?公共數據交換系統標準?請求效勞系統標準?信息授權策略標準?數字證書格式標準?第3章 問題分析與解決思路外來(wili)用戶的接入控制接入內網的計算機應該是專用于辦公的計算機，其他外來用戶隨意接入內網網絡，可能會造成重要機密數據泄露等危險(wixin)。從傳統的網絡管理手段來說，可以通過在交換機上進行MAC地址(dzh)與端口的綁定來到達(dod)防止外來用戶(yngh)隨意接入的目的。但是這種方法會給管理人員帶來比較大的工作量，特別是大型網絡，且這種方式的靈活性也不夠，對于任何一臺新接入的設備都必須要在相應的交換機上進行配置，管理非常不便。內

25、網平安系統應該能夠及時發(fā)現外來用戶的接入，通知管理人員，并提供將其從網絡上斷開的手段。IP地址管理問題 采用計算機管理IP地址和用戶信息，假設管理工程不統一，不便于統一管理范圍的擴大化和信息共享。經調查，內部網絡存在IP地址、計算機名亂用、冒用的危險。一些用戶自行購置的計算機和網絡設備，不登記即自行安裝上網，信息中心缺乏有效的監(jiān)控手段，使得上網設備的IP地址沖突現象時有發(fā)生，合法設備無法正常工作，影響業(yè)務工作的開展。對違反規(guī)定或禁止上網的計算機及網絡設備，希望能從技術手段上限制其上網。在上面的這些問題中，核心問題是IP地址的改動和盜用，主要表現為： 1IP地址非正常改動。惡意的改動可能基于不可

26、告人的目的，如：逃避效勞器的記錄、讓效勞器或某些重要任務的機器無法上網；而非惡意的改動也會造成同樣的后果。2IP地址盜用。將非法節(jié)點接入網絡，盜竊網上的資源，甚至對主機發(fā)動攻擊。本方案將對計算機及網絡設備IP地址進行有效的管理，可以對計算機和網絡設備的IP地址、MAC地址以及主機名進行綁定，通過被動偵聽、主動掃查相結合的方式發(fā)現非法節(jié)點，并且可以阻斷非法節(jié)點的網絡通訊，對非法節(jié)點信息進行報警和日志記錄等。用戶(yngh)資產信息管理問題(wnt) 目前內網中，管理人員對所管轄網絡的資源占用和用戶情況難以準確掌握，實際接入的計算機數量難以進行(jnxng)精確的統計，對面臨的危害難以做出動態(tài)(d

27、ngti)的評估和有效(yuxio)的防范。作為用戶與設備根底管理功能，希望建立起臺帳信息，對所有接入計算機和網絡設備的用戶信息進行登記注冊，這些登記的信息主要包括：用戶姓名、單位名稱、工作崗位、用戶工號、聯系 、使用地點、主要用途、資產編號、設備品牌、設備類型、設備序列號等信息，在發(fā)生平安事件時能夠以最快速度定位到具體的用戶。對于未進行登記注冊的微機，自動將其隔離在系統之外。同時，應該能夠做到動態(tài)地搜索各專用微機的硬件信息和安裝軟件信息，并能夠對這些信息進行統計和分析，生成相應的根底信息報告。需要搜索的硬件信息主要包括：計算機類型、CPU型號、CPU主頻、內存大小、磁盤序列號、磁盤容量、磁盤

28、剩余空間、網卡型號、網卡物理地址、鼠標型號、鍵盤型號、顯卡型號、聲卡型號以及各外圍設備的情況；同時應該對各計算機所安裝的軟件自動進行搜索，并與預先指定的軟件進行比較，警示那些未按要求安裝軟件的用戶，并及時報警，利用短消息手段，通知信息平安管理部門和相關的系統管理員。另外，系統還應該與平安策略緊密結合，自動收集與平安相關的一些系統信息，包括：操作系統版本信息、操作系統補丁信息等，同時針對這些收集的信息進行統計和分析，給出平安狀況報告。例如，要求全網安裝的操作系統平安補丁，如有計算機未按照要求安裝平安補丁，可能會影響到整個系統的平安狀況。在對這些系統平安信息進行收集后，可迅速統計分析出那些不符合平

29、安管理策略的微機，對其進行更新，從而保證各微機的平安性。目前，大多的IP地址是按網段分配的，信息中心對所管轄網絡的IP地址等資源占用和用戶情況難以掌握，網上的計算機設備、網絡設備的數量難以準確統計，具體設備的根底軟硬件信息也難于收集和進行有效的管理，一些實時運行的網絡設備和重要效勞器的運行狀況不能集中監(jiān)控，日常管理難度和工作量都很大。 本方案(fng n)實施后，客戶端管理功能將自動掃查計算機的硬件信息和軟件信息，登記管理計算機的根本(gnbn)信息，并支持統計查詢(chxn)。硬件信息包括計算機類型、CPU型號、主頻、內存大小、磁盤容量、剩余空間、網卡型號等；對Win32系統，可收集的軟件信

30、息包括計算機安裝的操作系統，計算機安裝的軟件清單等；根本(gnbn)信息(xnx)包括IP地址、MAC地址、計算機所在位置、使用人、所屬單位等。軟硬件違規(guī)行為監(jiān)控計算機的外圍設備包括軟驅、光驅、USB盤、并行、串行口、紅外口、1394端口、Modem等為各種信息在不同的計算機設備之間交流提供了一個方便的途徑，通過它們可以將各種信息包括病毒、木馬等復制到不同的計算機中。但是內網中的主機上保存著一些涉密的內部信息，這些信息不能夠隨意地傳播，因此有必要對外圍設備的使用進行控制，不允許隨意地使用外圍設備拷貝機密數據。平安管理及監(jiān)控系統應該實現對各客戶機外圍設備的集中監(jiān)視和控制，通過在管理端進行設置，可

31、禁止和啟用各客戶機的外圍設備，有效地保護計算機上的信息。另外，內部存在違規(guī)使用軟件的行為。有些人員在計算機上安裝使用盜版軟件，不但引入了潛在的平安漏洞，降低了計算機系統的平安系數，還有可能惹來版權訴訟的麻煩；而一些內部人員出于好奇心或者惡意破壞的目的，在計算機上安裝使用一些黑客軟件，從內部發(fā)起攻擊；還有一些內部人員平安意識淡薄，不安裝指定的防毒軟件等等。這些行為都對內網構成了重大的平安威脅。要解決這個問題，可以通過安裝在各計算機上的代理終端自動搜集各計算機所有的軟件信息，并匯總到控制器，形成內網計算機的軟件資產報表，管理員可以全面了解各計算機所安裝軟件的版本信息，及時發(fā)現平安隱患并升級系統。同

32、時，管理員可以在管理控制器上配置軟件預案，指定內網計算機必須運行的軟件或禁止運行的軟件，由代理終端對計算機上的軟件運行情況進行比對檢查，對未運行必備軟件的情況發(fā)出報警，終止已運行的禁用軟件的進程。非法(fif)外聯問題作為內網中的計算機，應該是專機專用，因此接入系統的計算機應該禁止與內網或互聯網等其他外部網絡發(fā)生直接或間接的連接(linji)。但是可能有個別的工作人員，將專用計算機挪作他用，或是為了上網瀏覽信息、玩游戲、發(fā)私人郵件等目的與Internet連接，從而造成外網與政務內網或互聯網等其他外部網絡發(fā)生直接或間接(jin ji)的連接，可能造成以下后果：(一)破壞(phui)整體平安(pn

33、g n)防護體系。網絡的平安是靠整體的平安防護體系來保證的，在這個防護體系里除了必要的平安防護措施以外，還需要建立一系列的管理規(guī)章制度，通過這些制度限定人們的網絡行為。非法外聯行為看似小事，但卻是對整體平安防護體系的嚴重破壞。它在內網與其他外部網絡之間，開辟了一個不經過平安防護機制檢查的“后門，這個“后門使整個網絡的平安性大大降低。二引入惡意的入侵。非法外聯具有一定的隱蔽性，管理人員不易發(fā)現，沒有一定的手段，很難對此進行必要的防護，容易遭受惡意的入侵。安裝著桌面操作系統的客戶機的平安性明顯低于網絡操作系統的平安性，存在著許多平安方面的隱患，在缺少平安防護措施如防火墻等的條件下，很容易被攻破。來

34、自互聯網的惡意入侵者可以輕而易舉地入侵和控制這臺計算機，使入侵者獲得網絡內的合法身份，它可以訪問網絡中的信息資源，可以對重要效勞器進行漏洞掃描、入侵嘗試。如果這些效勞器沒有采取入侵檢測等進一步的防護措施，惡意入侵者就可以比較容易地獲取這些效勞器的訪問、控制權限，隨意地竊取、篡改和刪除重要敏感的數據，安裝木馬程序、病毒程序，中斷其正常的效勞，使單位蒙受巨大損失。三、引起病毒的感染和傳播。目前計算機病毒越來越泛濫，危害越來越大，一個普通的病毒可能會造成整個計算機網絡的癱瘓，而各種計算機病毒都聚集在互聯網上，不采取任何防護措施而隨意地訪問互聯網，很容易造成這些病毒傳播到系統內部，影響正常業(yè)務工作的開

35、展。非法外聯行為存在著將外部網絡病毒入侵的隱患。四、為不良信息例如反動、色情信息的訪問和傳播提供了途徑。從上邊的分析可以看出，非法(fif)外聯具有很大的危害性，因此作為平安(png n)管理及監(jiān)控系統，應該對非法外聯的行為進行監(jiān)視，一旦發(fā)現這種現象及時通知各級管理人員，在必要的情況下可自行將這些連接斷開，保護內部(nib)網絡的整體平安(png n)。網絡拓撲查看(chkn)與平安事件定位困難在平安事件發(fā)生時，往往管理人員最初僅能獲取到事故計算機的IP地址和MAC地址等根本信息，無法迅速定位到其實際物理位置和用戶，從而延誤對重要平安事件的處理。內網平安系統應能提供根據計算機的根本信息，迅速定

36、位物理位置和用戶的手段。當網絡不通時，可以查看網絡拓撲中的交換機該端口的狀態(tài)，端口工作正常，那么說明是網絡完好，是主機自身系統或網卡驅動問題；假設端口工作異常或不工作，那么說明網絡存在問題，可以繼續(xù)排查。目前，絕大多數的網絡設備都能夠支持簡單網絡管理協議SNMP，所以可以通過SNMP協議，到達自動網絡拓撲功能，實現網絡拓撲結構的自動發(fā)現，從而實現對實際物理位置的迅速定位，同時輔以設備信息管理功能，實現具體用戶的定位。自動網絡拓撲是系統依據網絡的路由信息，自動查找整個網絡的路由設備、網絡交換機以及主機，根據這些網絡設備信息生成并以直觀的圖形方式顯示網絡的拓撲結構。當網絡管理員已經知道了某臺或多臺

37、設備的IP地址，可以用單個網絡拓撲或多個網絡拓撲功能，直接拓撲發(fā)現設備。網絡拓撲結構的顯示方式可以按照用戶的愛好自行拖拽編排，從而以最方便直觀的方式展示網絡結構。效勞器與端口監(jiān)控困難隨著計算機越來越滲入工作，計算機使用領域日益拓展，計算機相應提供效勞逐漸增多，效勞器也逐漸增多，效勞器群越來越龐大。這些計算機、效勞器上的效勞對單位公務員的工作日益重要，與此同時，對這些效勞運行狀況的監(jiān)控變得日益困難?？抗ぷ魅藛T每周、每日的巡檢已經越來越不能滿足工作的需要。因為現在單位機構日益精練，公務員工作效率大大提高，一專多能是主要的特點，計算機網絡管理人員身兼數職，工作負荷很重，繁瑣地巡檢會消耗大量的工作人員

38、的精力和時間。同時，因巡檢方法本身的局限性，巡檢的效率和效果總是不能令人滿意，但人工巡檢的頻度和時間的消耗總是相矛盾的。缺乏(quf)完整的用戶授權認證系統身份(shn fen)認證效勞(xio lo)是幫助系統(xtng)識別用戶的身份，決定并控制他們在網絡上能干什么工作，即所謂的授權管理。本內網平安(png n)管理系統在信息系統中實現對用戶的身份鑒別、實現信息的保密性、完整性、真實性和抗抵賴性等保護，采用當今流行的高強度平安策略我國自主知識產權的PKI技術為根底的數字證書技術。應用系統可以基于數字證書以及相關的經國家有關部門認可的密碼算法認證登錄系統的用戶的真實身份，進行數字簽名和驗證簽

39、名，采用數字簽名技術解決抗抵賴性和數據完整性的的問題，利用平安系統提供的加密算法，解決信息的保密性問題。第4章 系統架構與內網平安解決方案eCop系統(xtng)架構 eCop的體系結構如上圖所示，在內部網絡部署一臺eCop中央控制器，它基于瀏覽器/客戶端模式設計(shj)，采用軟硬件一體化的功能效勞(xio lo)器設計方式。同時(tngsh)，在內部網絡中各被管理計算機上安裝相應的客戶端程序，對各客戶機進行管理、監(jiān)視和控制。每一臺接入內部網絡中的計算機設備必須下載安裝客戶端程序，或者在eCop中央控制器上保存其IP及MAC地址配置信息，否那么(n me)將會被管理系統認為是非法接入內部網絡

40、，客戶端程序的下載安裝由各客戶機通過瀏覽器連接到控制器后自動完成。整個系統支持在線升級，控制器系統進行升級后，客戶端程序可以按照控制器端的配置在啟動時自動升級。eCop以Java、Web技術為架構，采用面向對象和Message Queue技術構建信息交換平臺，使系統的各項功能構建于該平臺之上，使整個系統具備靈活的擴展性。eCop使用jsp/java bean技術向用戶提供Web方式的操作界面，系統內置預寫日志(rzh)式數據庫， 大大提高了系統在突然宕機事件發(fā)生時的可靠性。eCop系統(xtng)功能模塊 上圖中各子系統的功能(gngnng)如下：IP地址(dzh)管理子系統完成對網內計算機I

41、P地址信息的實時掃描和比對，發(fā)現非法接入的計算機，并采取手段將其隔離(gl)在網絡之外；客戶端管理子系統完成對網內各專用微機的信息收集、管理、監(jiān)視和控制功能，該子系統劃分為資產信息管理、客戶端監(jiān)控、非法外聯監(jiān)控三個功能模塊。其中，資產信息管理模塊負責登記專用計算機用戶信息，自動收集各計算機設備的硬件信息、軟件信息和系統信息，將這些信息保存到數據庫中，提供友好的查詢、統計和分析界面；客戶端監(jiān)控模塊完成對客戶端軟件使用的控制和遠程截屏功能；非法外聯監(jiān)控模塊完成對客戶端非法連接其他外部網絡的行為進行監(jiān)控、報警和記錄，并提供查詢功能。網絡拓撲管理子系統完成對全網的網絡拓撲結構、網絡設備狀態(tài)、網絡設備性

42、能等信息的掃描收集(shuj)，并保存到數據庫中，同時提供友好的查詢界面和歸檔功能；還提供遠程查看、修改網絡設備參數的功能；效勞(xio lo)監(jiān)視(jinsh)與端口掃描子系統完成對內網內重要控制器效勞(xio lo)運行狀況的監(jiān)視和對指定網段或計算機端口開放(kifng)狀況的掃描，發(fā)現異常及時報警；系統管理子系統完成對平安管理及監(jiān)控系統自身的管理和配置功能，該子系統劃分為身份認證與授權模、報警與日志管理和系統備份三個模塊。身份認證與授權模塊完成對登錄用戶的身份確認，對不同用戶授予相應的系統操作權限，管理和控制用戶在系統中的行為；報警與日志管理模塊完成對系統報警條件、報警方式的配置，在報警

43、條件觸發(fā)時按照指定的方式進行報警，并記錄報警信息，提供方便的查詢和歸檔功能；對系統運行日志和用戶操作日志的記錄、查詢和歸檔功能；系統備份模塊完成對系統自身的配置信心和用戶數據的備份和恢復功能。內網平安解決方案通過對內網現狀以及需求進行認真的分析和研究后，提出如下解決方案：1各地市區(qū)分可根據需要選配或不配ecop的IP地址管理功能，即選配或不配IPA硬件。在網絡暢通的情況下，安裝客戶端，實現客戶端管理和網絡拓撲管理的功能。 2對于(duy)總大樓的內網平安(png n)，提出：中心機房配備ecop3000CM3型中央(zhngyng)控制器，加IPC2，根據VLAN確實(qush)定個數決定IP

44、A3的個數。功能模塊選配(xun pi)IP地址管理，客戶端中的資產信息、軟硬件禁用、遠程桌面監(jiān)控，網絡拓撲發(fā)現，效勞監(jiān)視可以試用。大樓內部署客戶端個數400500。第5章 系統功能實現IP地址(dzh)管理子系統實時掃描獲取與分析(fnx)在線計算機的IP、MAC地址信息IP地址、MAC地址的合法性判定, 支持IP-MAC綁定、特權(tqun)MAC地址和DHCP MAC地址三種合法性管理方式警告和阻斷不滿足(mnz)合法性判定的計算機統計分析非法IP地址使用(shyng)的歷史情況支持主動探測和被動偵聽等多種掃描方式，采用特定算法對掃描過程進行控制，防止對網絡流量造成明顯負荷靈活的部署方式

45、，可以適應不同網絡環(huán)境的需要，通過在各網段部署的IP地址管理代理裝置，使IP管理目標和部署本錢到達最優(yōu)比例靈活的配置，可以以圖形化方式配置每一臺代理裝置的監(jiān)控參數，并查詢各個網絡接口的掃描結果對于監(jiān)視到的違規(guī)信息，調用報警模塊向管理員進行報警客戶端管理子系統客戶端的安裝、卸載和升級客戶端程序的安裝可以通過以下幾種方式實現：通過客戶機瀏覽器連接控制器下載安裝；在采用域管理策略的網絡中，通過域登錄腳本安裝；采用軟件分發(fā)效勞進行分發(fā)安裝。使用安裝光盤安裝系統可自動發(fā)現接入內網但未安裝客戶端程序的計算機，并提示管理人員，由管理人員對其進行警告或者阻斷其接入網絡?？蛻舳顺绦蚴褂眠M程保護和文件保護技術(j

46、sh)，使用戶無法在其計算機上停止或者卸載客戶端程序，只能通過專用的卸載工具來完成客戶端程序的卸載。客戶端程序的升級完全自動完成，各微機上安裝的客戶端程序將在每次微機啟動時自動檢測其版本是否與控制器端版本一致，發(fā)現(fxin)控制器端版本更新時，自動連接控制器下載的客戶端程序，并自動完成客戶端程序的更新。客戶端資產(zchn)信息管理模塊用戶信息(xnx)登記注冊管理接入到內網中的計算機，要求必須安裝(nzhung)客戶端程序，安裝完成后在客戶機填寫用戶登記注冊信息客戶機用戶填寫完這些信息之后，將其提交到控制器端，等待管理人員進行審批確認。客戶機一旦提交這些信息后，系統將鎖定這些信息，不允許再

47、次填寫，僅當管理人員通過在控制器端進行解鎖后，才能再次填寫并提交?？刂破鞫私邮諒目蛻魴C提交的這些信息，將其保存在數據庫中，等待管理人員進行審批確認。在管理人員對信息確認之后，該客戶機即被認為是合法接入內網的計算機。在用戶的登記注冊過程完成之后，系統將自動把該計算機設備分類到用戶填寫的單位下，系統采用組織機構層次結構圖的方式作為向導，使管理人員能夠方便快速地查找到某臺計算機。計算機硬件信息管理客戶端程序自動完成對計算機硬件設備信息的收集，并將這些信息匯報到控制器端，控制器端將它們保存在數據庫中。同時客戶端程序會自動將硬件設備信息與該計算機的歷史硬件信息情況進行比對，發(fā)現信息變更時，向控制器端發(fā)送

48、變更通知消息?？蛻舳顺绦蚴占挠布畔ǎ篊PU型號、CPU主頻、內存大小、硬盤序列號、磁盤容量、磁盤剩余空間、網卡型號、網卡物理地址、顯卡型號、聲卡型號、鍵盤型號、鼠標型號。計算機系統信息管理客戶端程序自動完成對計算機系統信息的收集，并將這些信息匯報(hubo)到控制器端，控制器端將它們保存在數據庫中。同時客戶端程序會自動將局部(jb)系統信息與該計算機的歷史系統信息進行比對，發(fā)現信息變更時，向控制器端發(fā)送(f sn)變更通知消息。客戶端程序收集的系統信息(xnx)包括：操作系統類型、操作系統版本號、IE瀏覽器代理控制器設置情況、當前登錄(dn l)用戶、當前登錄域、客戶端程序的版本號、操

49、作系統補丁信息等。計算機軟件信息管理客戶端程序自動完成對計算機安裝的所有軟件信息的收集，并將這些信息匯報到控制器端，控制器端將它們保存在數據庫中。同時客戶端程序會自動將軟件信息與該計算機的歷史軟件信息進行比對，發(fā)現信息變更時，向控制器端發(fā)送變更通知消息。查詢及報表統計可根據上述收集的各種信息，包括用戶信息、硬件設備信息、系統信息和軟件信息進行組合查詢搜索，以查找出滿足條件的計算機，并生成相應的統計報表。客戶端軟硬件監(jiān)控模塊外圍設備控制管理人員可在控制器端設定啟用或禁用各計算機的外圍設備，客戶端將根據控制器端的配置自動禁用或啟用軟驅、光驅、U盤、MODEM、串口、并口、紅外口和1394口等外圍設

50、備和接口。進程監(jiān)控管理人員可在控制器端指定各計算機必須運行和禁止運行的軟件，客戶端程序將定期檢查運行的進程情況，發(fā)現正常的進程停止或禁止的進程運行時，將向控制器端發(fā)送違規(guī)情況，并向管理人員發(fā)送報警通知消息。遠程計算機屏幕截取管理人員可在控制器端遠程獲取某客戶端計算機的屏幕圖像，獲取方式分為實時獲取和定期獲取兩種。此功能可有助于管理人員進行遠程的故障診斷和排除。非法(fif)外聯監(jiān)控模塊非法外聯行為(xngwi)的監(jiān)控客戶端程序定周期(zhuq)檢測該計算機的網絡連接情況，能夠及時發(fā)現連接其他外部網絡的行為，記錄下其違規(guī)外聯的信息并向控制器端發(fā)送違規(guī)記錄和報警通知。非法外聯監(jiān)控對于連接在內網發(fā)生

51、外聯和脫離內網的發(fā)生外聯均能夠進行檢測，管理人員可在控制器端進行監(jiān)控策略的配置，選擇上述某一種監(jiān)控方式。非法(fif)外聯行為的控制對于發(fā)生非法外聯行為(xngwi)的計算機，客戶端可自動斷開其各種網絡連接，包括網卡連接、撥號連接、無線連接等。管理人員可在控制器端配置恢復該計算機網絡連接的策略，可選擇自動恢復網絡連接和確認恢復網絡連接兩種方式。免檢范圍配置在控制器端可配置無須進行外聯監(jiān)控的計算機，這些計算機將允許連接其他外部網絡，在連接外部網絡時不會斷開其網絡連接，但是此次連接的信息仍然會被記錄，并發(fā)送到控制器端保存。網絡拓撲管理子系統該子系統進行網絡拓撲的發(fā)現，展示全網拓撲結構以及子網詳細拓

52、撲，并對網絡節(jié)點的連通狀態(tài)進行實時監(jiān)視。獲取網絡節(jié)點的MIB庫中的信息并進行統計，以圖表的形式展現給用戶。該子系統在內網平安系統中主要有兩個用處：利用該子系統的交換機端口控制功能，關閉未安裝管理客戶端程序的計算機，以及發(fā)生違規(guī)事件的計算機所連接的交換機端口，從而到達阻斷該計算機的目的；在發(fā)生平安事件時，利用網絡拓撲結構圖，可以大大提高定位的速度，有利于在最短時間內處理平安事件。掃描子網/路由器層網絡拓撲用戶輸入拓撲發(fā)現的種子路由器的IP地址，由該種子所在網絡開始向外發(fā)現與之相連的網絡與路由器，直至超過指定路由器跳數時停止。該模塊具有良好的響應性能，能夠在60秒內發(fā)現一個有10個路由器的中等規(guī)模

53、的網絡結構。該層拓撲圖顯示路由器與子網的連接狀況，路由器旁顯示路由器本身的所有IP地址和名字，子網旁顯示該子網的網絡地址和子網掩碼。如下列圖所示：掃描(somio)子網邏輯拓撲系統依次掃描全網拓撲中的各子網，發(fā)現其邏輯拓撲：判斷該子網的邏輯結構，如總線型，令牌環(huán)等；掃描該子網內所有網絡(wnglu)節(jié)點，判斷節(jié)點類型，如路由器、交換機、主機、打印機等，并獲取其相應信息IP地址(dzh)、MAC地址(dzh)、名字等。用戶可以從圖上直觀(zhgun)的看出該子網內各節(jié)點的節(jié)點類型以及連通狀態(tài)等信息。掃描(somio)子網物理拓撲 在子網邏輯(lu j)拓撲的根底(gnd)上，掃描該子網的物理拓撲

54、：以交換機為中心(zhngxn)，分析該子網內所有節(jié)點的連接關系，包括主機與交換機之間、交換機與交換機之間的連接關系，在此說明(shumng)它們分別連接到交換機的哪個端口上。用戶可以從子網物理拓撲圖上直觀地觀察交換機端口狀態(tài)以及與該端口相連的設備信息，用戶還可以通過設置交換機端口狀態(tài)來控制與其相連的設備。交換機上顯示該交換機信息，如名字和IP地址等；交換機端口使用不同顏色表示是否和其它設備相連；主機和路由器節(jié)點，顯示其詳細信息。交換機端口控制(kngzh)在掃描獲得的網絡拓撲結構圖上，可以(ky)對各交換機的端口進行翻開/關閉(gunb)的控制。展現(zhnxin)網絡設備重要MIB信息(x

55、nx)對于開啟SNMPSimply Network Management Protocol，簡單網管協議效勞的網絡設備，可以查看MIB庫中的信息，包括系統信息、網絡接口信息、ARP交換表、路由表、效勞信息、帳戶信息、共享信息、端口對應表、進程信息、IP統計信息、ICMP統計信息、UDP統計信息、TCP統計信息等。效勞監(jiān)視與端口掃描子系統效勞監(jiān)視子系統有以下功能：1監(jiān)視Apache效勞的運行狀況；2監(jiān)視Tomcat效勞的運行狀況；3監(jiān)視IIS效勞的運行狀況；4監(jiān)視MySQL效勞的運行狀況；5監(jiān)視Oracle效勞的運行狀況；6監(jiān)視SQLServer2000效勞的運行狀況；7監(jiān)視FTP效勞的運行狀況

56、；8掃描指定網段內所有計算機某一端口的開放狀況；9掃描指定計算機某個端口范圍內的開放狀況；10通過報警模塊向管理員報警；11強大的可擴展功能，可以以模塊方式加載新的效勞監(jiān)視功能。系統(xtng)管理子系統身份(shn fen)認證與授權模塊在用戶管理方面(fngmin)，我們需要解決“你是誰？和“你能干什么？兩個問題，在對實際需求進行研究(ynji)和分析后，決定采用上海寶信軟件股份的授權驗證(ynzhng)和授權管理中間件：ePass。ePass授權管理系統以下簡稱ePass是一個管理應用系統中的資源使用權限的標準軟件系統。它針對應用系統開發(fā)人員和應用人員，旨在提供標準統一的應用資源授權管理

57、。它可以對應用系統中的資源，如應用系統菜單，畫面，報表和文檔等資源的使用權進行集中管理。同時，對應用系統使用者的賬號進行集中管理。提供統一的標準登錄畫面和應用畫面模版，提供對指定賬號、指定資源權限檢查接口。應用系統開發(fā)人員通過ePass系統可在應用系統中對資源的使用者權限進行跟蹤和控制，應用系統的最終用戶可對所有的資源和資源使用者通過ePass系統進行集中的授權管理。ePass授權管理系統參考并應用了Kerberos平安協議。不僅ePass系統本身得到了平安保護，而且ePass向搭建在其之上的應用系統提供平安效勞，保證應用系統的平安。利用ePass中間件所提供的應用接口，該系統提供如下一些功能

58、：用戶的創(chuàng)立和刪除系統管理員可進行創(chuàng)立、刪除用戶的操作，可指定每一個用戶的有效期，并可以為用戶重置密碼。用戶個人信息管理系統的每個用戶可對自己的用戶信息進行管理，信息包括用戶的姓名、電子郵件、商務 、住宅 、移動 和口令信息。組織機構管理系統管理員可在系統中維護該組織的機構層次結構圖，在管理中可按照組織機構層次進行導航，方便查找和管理。用戶群組管理系統(xtng)內置IP地址管理、客戶端管理群組、網絡拓撲管理群組、報警(bo jng)管理群組、日志管理群組和系統配置群組等多個群組，將用戶參加(cnji)到某個群組中，即可獲得該群組所擁有的操作權限(qunxin)，從而到達(dod)對用戶進行授

59、權的目的。組織機構授權管理在客戶端管理子系統中，可分別為每一個組織機構指定相應的管理用戶，該用戶登錄系統后即可擁有該組織及其下級組織客戶端管理的操作權限。通過該功能，可以到達按照組織機構進行分級管理的目的。報警與日志管理模塊報警方案和策略配置系統預先定義了系統內各種可能發(fā)生的報警事件，管理人員可為每一類報警事件指定相應的報警接收人員，以此形成報警的方案和策略。多種報警方式系統支持控制器端聲音報警、 短信報警此方式需要 短信專用模塊支持和桌面精靈報警等多種報警通知方式。報警日志的記錄與查詢系統在每次發(fā)送報警通知的同時，將在控制器端記錄下該次報警的相關信息，方便日后進行查詢。日志瀏覽可以列出所有當

60、前相應或歷史的日志記錄，統計了所選日志表的總記錄數和總頁數。在顯示日志記錄時，采用了分頁顯示，可以對具體的某一頁進行瀏覽。日志分為系統日志和操作日志兩種類型，系統日志主要記錄該系統工作的情況，操作日志那么記錄用戶所進行的各種操作。日志查詢可以對某一特定的日志表進行查詢?？梢詫θ罩居涗浀母鱾€字段進行分類查詢，如系統日志可按日期、功能模塊、日志信息等級、日志標題、具體描述等查詢，操作日志可按日期、用戶等查詢。日志歸檔為了防止日志記錄在一張表中無限制(xinzh)膨脹，系統會定期對當前日志進行歸檔，系統自動生成一張新表。這樣既能有效地管理日志，又能到達(dod)保護日志記錄(jl)的目的。系統備份(