中心機(jī)房及網(wǎng)絡(luò)系統(tǒng)方案建議書(shū)

××證券中心機(jī)房及網(wǎng)絡(luò)系統(tǒng)方案建議書(shū)XXXXXX有限公司2002年8月

齊全的資料：中心機(jī)房及網(wǎng)絡(luò)系統(tǒng)方案建議書(shū)目錄TOC\o"1-3"\h\z第一章需求分析

千兆以太網(wǎng)心跳線(xiàn)GDJM2GDJM120-0420-0320-06千兆以太網(wǎng)心跳線(xiàn)GDJM2GDJM120-0420-0320-0620-0520-0120-02S5S4S4S5S6S2/3S2/3圖例：光纖跳線(xiàn)SX:跳線(xiàn)聯(lián)接服務(wù)器相應(yīng)槽(X)20-0X:光纖跳線(xiàn)標(biāo)簽StorageHUB7StorageHUB7RA4100陣列柜聯(lián)接示意圖RA4100在XX證券廣域網(wǎng)系統(tǒng)中，由于需要連接Internet，所以如何防止來(lái)自Internet的安全威脅是非常重要的，XX證券總部建議采用天融信3000防火墻作為其INTERNET防火墻（該防火墻是基于包過(guò)濾防火墻技術(shù)，較為先進(jìn)并且有良好的可管理性），可以防止網(wǎng)絡(luò)層的入侵，給券商安全的環(huán)境。除了防火墻之外，XX證券建議統(tǒng)一部署了NORTON企業(yè)版防病毒軟件，能夠有效的抵御病毒入侵。此外，對(duì)于關(guān)鍵業(yè)務(wù)部門(mén)（如：財(cái)務(wù)、清算、自營(yíng)），通過(guò)基于路由器的ACL（訪(fǎng)問(wèn)控制列表）實(shí)現(xiàn)了更深一層的安全防護(hù)。下面，我們就網(wǎng)絡(luò)安全進(jìn)行簡(jiǎn)要的分析并將著重介紹目前XX證券所不具備的安全防護(hù)手段：入侵檢測(cè)和安全掃描。6.1廣域網(wǎng)安全分析網(wǎng)絡(luò)系統(tǒng)的安全問(wèn)題：一般網(wǎng)絡(luò)系統(tǒng)本身具有的安全性包括為：利用操作系統(tǒng)、數(shù)據(jù)庫(kù)、電子郵件、應(yīng)用系統(tǒng)本身的安全性，對(duì)合法用戶(hù)和非法用戶(hù)進(jìn)行權(quán)限控制。內(nèi)部網(wǎng)絡(luò)系統(tǒng)采可用非注冊(cè)IP地址，外出訪(fǎng)問(wèn)用NAT等方式進(jìn)行IP地址轉(zhuǎn)換，對(duì)外進(jìn)行屏蔽內(nèi)部機(jī)器，保護(hù)系統(tǒng)和Internet網(wǎng)絡(luò)系統(tǒng)，或者與外界基本隔絕。這樣系統(tǒng)安全漏洞比較多，如Internet服務(wù)提供系統(tǒng)直接暴露在內(nèi)外部合法和非法用戶(hù)面前，會(huì)給系統(tǒng)的記費(fèi)系統(tǒng)、DNS、MAIL等服務(wù)器造成致命打擊。由于大型網(wǎng)絡(luò)系統(tǒng)內(nèi)運(yùn)行多種網(wǎng)絡(luò)協(xié)議（TCP／IP,IPX/SPX，NETBIUE），而這些網(wǎng)絡(luò)協(xié)議并非專(zhuān)為安全通訊而設(shè)計(jì)，也可能遭到內(nèi)部的攻擊。所以，網(wǎng)絡(luò)服務(wù)提供系統(tǒng)可能存在的安全威脅來(lái)自以下方面：1）操作系統(tǒng)的安全性。目前流行的許多操作系統(tǒng)均存在網(wǎng)絡(luò)安全漏洞，如UNIX服務(wù)器，ＮＴ服務(wù)器及Windows桌面PC。2）來(lái)自外部非法用戶(hù)或者黑客的攻擊。3）來(lái)自?xún)?nèi)部網(wǎng)用戶(hù)的安全威脅。4）缺少有效的保護(hù)措施。5）缺乏有效的手段監(jiān)視、評(píng)估網(wǎng)絡(luò)系統(tǒng)的安全性。6）采用的TCP/IP協(xié)議族軟件，本身缺乏安全性。7）未能對(duì)來(lái)自Internet的電子郵件挾帶的病毒及Web瀏覽可能存在的惡意Java/ActiveX控件進(jìn)行有效控制。8）應(yīng)用服務(wù)的安全，許多應(yīng)用服務(wù)系統(tǒng)在訪(fǎng)問(wèn)控制及安全通訊方面考慮較少，并且，如果系統(tǒng)設(shè)置錯(cuò)誤，很容易造成損失。系統(tǒng)安全結(jié)構(gòu)網(wǎng)絡(luò)系統(tǒng)的安全涉及到平臺(tái)的各個(gè)方面。按照網(wǎng)絡(luò)OSI的７層模型，網(wǎng)絡(luò)安全貫穿于整個(gè)７層模型。針對(duì)網(wǎng)絡(luò)系統(tǒng)實(shí)際運(yùn)行的TCP／ＩＰ協(xié)議，網(wǎng)絡(luò)安全貫穿于信息系統(tǒng)的４個(gè)層次。下圖表示了對(duì)應(yīng)網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)的安全體系層次模型：物理層物理層信息安全，主要防止物理通路的損壞、物理通路的竊聽(tīng)、對(duì)物理通路的攻擊（干擾等）。鏈路層鏈路層的網(wǎng)絡(luò)安全需要保證通過(guò)網(wǎng)絡(luò)鏈路傳送的數(shù)據(jù)不被竊聽(tīng)。主要采用劃分VLAN（局域網(wǎng)）、加密通訊（遠(yuǎn)程網(wǎng)）等手段。網(wǎng)絡(luò)層網(wǎng)絡(luò)層的安全需要保證網(wǎng)絡(luò)只給授權(quán)的客戶(hù)使用授權(quán)的服務(wù)，保證網(wǎng)絡(luò)路由正確，避免被攔截或監(jiān)聽(tīng)。操作系統(tǒng)操作系統(tǒng)安全要求保證客戶(hù)資料、操作系統(tǒng)訪(fǎng)問(wèn)控制的安全，同時(shí)能夠?qū)ο到y(tǒng)上的應(yīng)用進(jìn)行審計(jì)。應(yīng)用平臺(tái)應(yīng)用平臺(tái)指建立在網(wǎng)絡(luò)系統(tǒng)之上的應(yīng)用軟件服務(wù)，如數(shù)據(jù)庫(kù)服務(wù)器。電子郵件服務(wù)器、Ｗｅｂ服務(wù)器等。由于應(yīng)用平臺(tái)的系統(tǒng)非常復(fù)雜，通常采用多種技術(shù)（如SSL等）來(lái)增強(qiáng)應(yīng)用平臺(tái)的安全性。應(yīng)用系統(tǒng)應(yīng)用系統(tǒng)完成網(wǎng)絡(luò)系統(tǒng)的最終目的—為用戶(hù)服務(wù)。應(yīng)用系統(tǒng)的安全與系統(tǒng)設(shè)計(jì)和實(shí)現(xiàn)關(guān)系密切。應(yīng)用系統(tǒng)使用應(yīng)用平臺(tái)提供的安全服務(wù)來(lái)保證基本安全，如通訊內(nèi)容安全，通訊雙方的認(rèn)證，審計(jì)等手段。廣域網(wǎng)的安全的必要性由于廣域網(wǎng)采用公網(wǎng)傳輸數(shù)據(jù)，因而在廣域網(wǎng)上進(jìn)行傳輸時(shí)信息也可能會(huì)被不法分子截取。如分支機(jī)構(gòu)從異地上發(fā)一個(gè)信息到總部時(shí)，這個(gè)信息包就有可能被人截取和利用。因此在廣域網(wǎng)上發(fā)送和接收信息時(shí)要保證：１．除了發(fā)送方和接收方外，其他人是不可知悉的（保密性）；２．傳輸過(guò)程中不被篡改（完整性）；3．發(fā)送方能確信接收方不會(huì)是假冒的（真實(shí)性）；４．發(fā)送方不能否認(rèn)自己的發(fā)送行為（唯一性）如果沒(méi)有專(zhuān)門(mén)的軟件對(duì)數(shù)據(jù)進(jìn)行控制，所有的廣域網(wǎng)通信都將不受限制地進(jìn)行傳輸，因此任何一個(gè)對(duì)通信進(jìn)行監(jiān)測(cè)的人都可以對(duì)通信數(shù)據(jù)進(jìn)行截取。這種形式的“攻擊”是相對(duì)比較容易成功的，只要使用現(xiàn)在可以很容易得到的“包檢測(cè)”軟件即可。如果從一個(gè)聯(lián)網(wǎng)的UNIX工作站上使用“跟蹤路由”命令的話(huà)，就可以看見(jiàn)數(shù)據(jù)從客戶(hù)機(jī)傳送到服務(wù)器要經(jīng)過(guò)多少種不同的節(jié)點(diǎn)和系統(tǒng)，所有這些都被認(rèn)為是最容易受到黑客攻擊的目標(biāo)。一般地，一個(gè)監(jiān)聽(tīng)攻擊只需通過(guò)在傳輸數(shù)據(jù)的末尾獲取IP包的信息即可以完成。這種辦法并不需要特別的物理訪(fǎng)問(wèn)。如果對(duì)網(wǎng)絡(luò)用線(xiàn)具有直接的物理訪(fǎng)問(wèn)的話(huà)，還可以使用網(wǎng)絡(luò)診斷軟件來(lái)進(jìn)行竊聽(tīng)。對(duì)付這類(lèi)攻擊的辦法就是對(duì)傳輸?shù)男畔⑦M(jìn)行加密，或者是至少要對(duì)包含敏感數(shù)據(jù)的部分信息進(jìn)行加密。6.2網(wǎng)絡(luò)安全建議為了保證XX證券企業(yè)信息系統(tǒng)的安全性，需要在網(wǎng)絡(luò)中的各個(gè)部分采取了多種防范手段，使用各種安全防范技術(shù)，下面我們就針對(duì)這些內(nèi)容進(jìn)行闡述：1、防火墻技術(shù)2、入侵檢測(cè)技術(shù)3、漏洞掃描安全評(píng)估技術(shù)4、防病毒技術(shù)通過(guò)以上幾項(xiàng)技術(shù)的運(yùn)用，XX證券的計(jì)算機(jī)網(wǎng)絡(luò)的安全將得到充分的保證。6.2.1防火墻技術(shù)的應(yīng)用提到網(wǎng)絡(luò)安全，人們往往首先想到防火墻。通過(guò)在網(wǎng)絡(luò)中設(shè)置防火墻，可以過(guò)濾網(wǎng)絡(luò)通訊的數(shù)據(jù)包，對(duì)非法訪(fǎng)問(wèn)加以拒絕。防火墻所解決的網(wǎng)絡(luò)安全問(wèn)題系統(tǒng)中設(shè)置防火墻后，可以為網(wǎng)絡(luò)提供各種保護(hù)，主要包括以下幾方面的內(nèi)容：1、隔離不信任網(wǎng)段間的直接通訊2、隔離網(wǎng)絡(luò)內(nèi)部不信任網(wǎng)段間的直接通訊3、拒絕非法訪(fǎng)問(wèn)4、地址過(guò)濾5、訪(fǎng)問(wèn)發(fā)起位置的判斷6、過(guò)濾網(wǎng)絡(luò)服務(wù)請(qǐng)求7、系統(tǒng)認(rèn)證8、日志功能6.2.2入侵檢測(cè)技術(shù)基于主機(jī)的實(shí)時(shí)入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)有兩類(lèi)：基于網(wǎng)絡(luò)的實(shí)時(shí)入侵檢測(cè)系統(tǒng)和基于主機(jī)的實(shí)時(shí)入侵檢測(cè)系統(tǒng)。其中基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)由于受自身應(yīng)用技術(shù)的影響，已經(jīng)不再被廣泛使用。取而代之的是基于主機(jī)的實(shí)時(shí)入侵檢測(cè)系統(tǒng)?；谥鳈C(jī)的入侵檢測(cè)系統(tǒng)安裝在需要保護(hù)的主機(jī)上，為關(guān)鍵服務(wù)提供了實(shí)時(shí)的保護(hù)。它通過(guò)監(jiān)視來(lái)自網(wǎng)絡(luò)的攻擊、非法的闖入、異常進(jìn)程，能夠?qū)崟r(shí)地檢測(cè)出攻擊，并做出切斷服務(wù)、重啟服務(wù)器進(jìn)程、發(fā)出警報(bào)、記錄入侵過(guò)程等動(dòng)作。入侵檢測(cè)系統(tǒng)解決的網(wǎng)絡(luò)安全問(wèn)題利用防火墻技術(shù)，通常能夠在內(nèi)外網(wǎng)之間提供安全保護(hù)。但是，僅僅使用防火墻、網(wǎng)絡(luò)安全還遠(yuǎn)遠(yuǎn)不夠：入侵者可尋找防火墻背后可能敞開(kāi)的后門(mén)；網(wǎng)絡(luò)結(jié)構(gòu)的改變，有時(shí)會(huì)造成防火墻上的安全策略失效。入侵者可能就在防火墻內(nèi)；在每個(gè)企業(yè)的內(nèi)部網(wǎng)絡(luò)中，每個(gè)內(nèi)部網(wǎng)段上除連接著業(yè)務(wù)主機(jī)外，還有許多工作站，這些工作站與主機(jī)的通訊不需要通過(guò)防火墻。如果攻擊行為是從這些工作站上發(fā)起的，主機(jī)將處于無(wú)保護(hù)的狀態(tài)。由于性能的限制，防火墻不能提供實(shí)時(shí)的入侵檢測(cè)能力。單一應(yīng)用防火墻技術(shù)，以上問(wèn)題是不能得到有效解決的。但如果我們?cè)谥匾鳈C(jī)上安裝實(shí)時(shí)入侵檢測(cè)系統(tǒng)就可以解決上述情況引起的安全問(wèn)題。入侵檢測(cè)系統(tǒng)是近年出現(xiàn)的新型網(wǎng)絡(luò)安全技術(shù)，它試圖發(fā)現(xiàn)入侵者或識(shí)別出對(duì)計(jì)算機(jī)的非法訪(fǎng)問(wèn)行為，并對(duì)其進(jìn)行隔離。入侵檢測(cè)系統(tǒng)能發(fā)現(xiàn)其他安全措施無(wú)法發(fā)現(xiàn)的攻擊行為，并能收集可以用來(lái)訴訟的犯罪證據(jù)。實(shí)時(shí)入侵檢測(cè)能力之所以重要首先它能夠?qū)Ω秮?lái)自?xún)?nèi)部網(wǎng)絡(luò)的攻擊，其次它能夠縮短黑客入侵的時(shí)間。我們推薦XX證券總部采用ISS公司的入侵檢測(cè)產(chǎn)品RealSecureRealSecure是一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)上自動(dòng)實(shí)時(shí)的入侵檢測(cè)和響應(yīng)系統(tǒng)，也是全球唯一一個(gè)被權(quán)威機(jī)構(gòu)評(píng)測(cè)為B+級(jí)的實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)安全入侵軟件。RealSecure提供實(shí)時(shí)的網(wǎng)絡(luò)監(jiān)視，并允許用戶(hù)在系統(tǒng)受到危害之前截取和響應(yīng)安全漏洞和內(nèi)部網(wǎng)絡(luò)誤用。RealSecure無(wú)妨礙地監(jiān)控網(wǎng)絡(luò)傳輸并自動(dòng)檢測(cè)和響應(yīng)可疑的行為，從而最大程度的為企業(yè)提供安全。RealSecure有三個(gè)組件。RealSecure引擎（RealSecureEngine）運(yùn)行在一個(gè)專(zhuān)門(mén)的主機(jī)上監(jiān)視所有網(wǎng)絡(luò)上流過(guò)的數(shù)據(jù)包，發(fā)現(xiàn)能夠正確識(shí)別攻擊在進(jìn)行的攻擊特征。攻擊的識(shí)別是實(shí)時(shí)的，用戶(hù)可定義報(bào)警和一旦攻擊被檢測(cè)到的響應(yīng)。RealSecure代理(RealSecureAgent)是一個(gè)基于主機(jī)的對(duì)RealSecure引擎的補(bǔ)充。RealSecure代理分析主機(jī)日志來(lái)識(shí)別攻擊，決定攻擊是否成功并提供其它實(shí)時(shí)環(huán)境中無(wú)法得到的證據(jù)?；谒l(fā)現(xiàn)的信息，RealSecure代理會(huì)作出反應(yīng)，通過(guò)中斷用戶(hù)進(jìn)程和掛起用戶(hù)帳戶(hù)來(lái)阻止進(jìn)一步的侵入。它還會(huì)發(fā)出警報(bào)、記錄事件、發(fā)陷阱和郵件、執(zhí)行用戶(hù)自定義動(dòng)作。所有Realsecure引擎和Realsecure代理向Realsecure控制臺(tái)報(bào)告并由管理器進(jìn)行配置。這個(gè)控制臺(tái)應(yīng)用監(jiān)控任何一個(gè)RealSecure引擎和代理的組合的狀態(tài)，不管它們運(yùn)行在UNIX上或WindowsNT上。這樣的結(jié)果是企業(yè)得到廣泛的入侵檢測(cè)和響應(yīng)，易于配置并可從一個(gè)站點(diǎn)進(jìn)行管理。Realsecure管理器還可作為許多網(wǎng)絡(luò)和系統(tǒng)管理環(huán)境的嵌入模塊。RealSecure的優(yōu)點(diǎn)對(duì)網(wǎng)絡(luò)攻擊實(shí)時(shí)響應(yīng)，包括切斷連接和重新配置防火墻--最小化網(wǎng)絡(luò)攻擊漏洞，在危險(xiǎn)發(fā)生之前阻止攻擊·記錄攻擊事件以便于回放--能夠被用來(lái)收集起訴的證據(jù)·業(yè)界最廣泛的攻擊模式識(shí)別--管理員不需要是安全專(zhuān)家·內(nèi)置的報(bào)告生成--管理員會(huì)快速收到有結(jié)構(gòu)的網(wǎng)絡(luò)事件的歸納總結(jié)·很大范圍的網(wǎng)絡(luò)拓?fù)?-以太網(wǎng)、快速以太網(wǎng)、令牌環(huán)網(wǎng)和FDDI·事件響應(yīng)的在線(xiàn)幫助數(shù)據(jù)庫(kù)--允許RealSecure被缺少經(jīng)驗(yàn)的操作者使用，減少所有權(quán)和培訓(xùn)的費(fèi)用運(yùn)行在WindowsNT和UNIX平臺(tái)--使用RealSecure無(wú)須購(gòu)買(mǎi)特殊的硬件。它可運(yùn)行在已有的WindowsNT和UNIX主機(jī)上，并具有從一個(gè)主控臺(tái)監(jiān)控UNIX和WindowsNT引擎的能力。監(jiān)控Windows的網(wǎng)絡(luò)和TCP/IP傳輸--微軟的Windows網(wǎng)絡(luò)的環(huán)境支持允許RealSecure監(jiān)視內(nèi)部安全策略的違反，包括訪(fǎng)問(wèn)合作者機(jī)器上的口令文件或未授權(quán)讀取被保護(hù)的共享資源。對(duì)網(wǎng)絡(luò)傳輸流無(wú)影響--RealSecure是完全沒(méi)有妨礙的。它對(duì)網(wǎng)絡(luò)傳輸不增加任何延遲。這允許企業(yè)增強(qiáng)安全覆蓋而不會(huì)降低網(wǎng)絡(luò)速度。具體設(shè)計(jì)：在每臺(tái)需要保護(hù)的主機(jī)（如交易前置主機(jī)）上我們都安裝Realsecure的主機(jī)監(jiān)控模塊，systemrealscure可以實(shí)時(shí)監(jiān)視各種對(duì)主機(jī)的訪(fǎng)問(wèn)請(qǐng)求，并及時(shí)將信息反饋給控制臺(tái)，這樣全網(wǎng)任何一臺(tái)主機(jī)受到攻擊時(shí)，系統(tǒng)都可以及時(shí)發(fā)現(xiàn)，并可將反饋信息及時(shí)傳送給控制臺(tái)進(jìn)行處理，并能自動(dòng)對(duì)入侵事件做出反應(yīng)。在需要保護(hù)的重點(diǎn)的網(wǎng)段，我們也將安裝Realsecure的網(wǎng)絡(luò)監(jiān)控模塊，對(duì)這一網(wǎng)段的非正常的訪(fǎng)問(wèn)進(jìn)行監(jiān)視，對(duì)速度的要求及其它原因的綜合考慮，我們建議只在極少數(shù)十分重要的網(wǎng)段安裝。由于反饋信息可以跨越路由，同時(shí)又考慮到管理的方便性和可行性，建議在網(wǎng)絡(luò)上設(shè)置一臺(tái)網(wǎng)管工作站作為網(wǎng)絡(luò)檢測(cè)的控制臺(tái)。如圖：6.2.3漏洞掃描安全評(píng)估技術(shù)網(wǎng)絡(luò)建成后，應(yīng)該制定完善的網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理策略，但實(shí)際情況是，再有經(jīng)驗(yàn)的網(wǎng)絡(luò)管理者也不可能完全依靠自身的能力建立十分完善的安全系統(tǒng)。漏洞掃描安全評(píng)估技術(shù)可以幫助網(wǎng)絡(luò)管理者對(duì)網(wǎng)絡(luò)的安全現(xiàn)狀，發(fā)現(xiàn)漏洞后提出具體的解決辦法。網(wǎng)絡(luò)安全漏洞掃描系統(tǒng)通常安裝在一臺(tái)與網(wǎng)絡(luò)有連接的主機(jī)上。系統(tǒng)中配有一個(gè)信息庫(kù)，其中存放著大量有關(guān)系統(tǒng)安全漏洞和可能的黑客攻擊行為的數(shù)據(jù)。掃描系統(tǒng)根據(jù)這些信息向網(wǎng)路上的主機(jī)和網(wǎng)絡(luò)設(shè)備發(fā)送數(shù)據(jù)包，觀(guān)察被掃描的設(shè)備是否存在與信息庫(kù)中記錄的內(nèi)容相匹配的安全漏洞。掃描的內(nèi)容包括主機(jī)操作系統(tǒng)本身、操作系統(tǒng)的配置、防火墻配置、網(wǎng)絡(luò)設(shè)備配置以及應(yīng)用系統(tǒng)等。通過(guò)網(wǎng)絡(luò)掃描，系統(tǒng)管理著可以及時(shí)發(fā)現(xiàn)網(wǎng)路中存在的安全隱患，并加以必要的修補(bǔ)，從而減小網(wǎng)絡(luò)被攻擊的可能。安全掃描主要分為兩種方式：直接配置檢查：這種技術(shù)的代表是COPS（ComputerOraclePasswordandSecuritysystem）。COPS從系統(tǒng)內(nèi)部常見(jiàn)的Unix安全配置錯(cuò)誤與漏洞，如關(guān)鍵文件權(quán)限設(shè)置，ftp權(quán)限與路徑設(shè)置，root路徑設(shè)置，密碼等等，指出存在的失誤，減少系統(tǒng)可能被入侵者（包括內(nèi)部用戶(hù)）利用的漏洞。模擬入侵：這種技術(shù)模擬入侵者可能的攻擊行為，從系統(tǒng)外部進(jìn)行掃描，以探測(cè)是否存在可以被入侵者利用的系統(tǒng)安全薄弱之處。它的代表有ISS（InternetSecurityScanner）、SATAN（SecurityAnalysisToolforAuditingNetwork）。安全掃描工具通常也分為基于服務(wù)器和基于網(wǎng)絡(luò)的掃描器：基于服務(wù)器的掃描器主要掃描服務(wù)器相關(guān)的安全漏洞，如password文件、目錄和文件權(quán)限、共享文件系統(tǒng)、敏感服務(wù)、軟件、系統(tǒng)漏洞等，并給出相應(yīng)的解決辦法建議。通常與相應(yīng)的服務(wù)器操作系統(tǒng)緊密相關(guān)?；诰W(wǎng)絡(luò)的安全掃描主要掃描設(shè)定網(wǎng)絡(luò)內(nèi)的服務(wù)器、路由器、網(wǎng)橋、交換機(jī)、訪(fǎng)問(wèn)服務(wù)器、防火墻等設(shè)備的安全漏洞，并可設(shè)定模擬攻擊，以測(cè)試系統(tǒng)的防御能力。通常該類(lèi)掃描器限制使用范圍（IP地址或路由器跳數(shù)）。網(wǎng)絡(luò)安全掃描的主要性能應(yīng)該考慮以下方面：速度：因?yàn)樵诰W(wǎng)絡(luò)內(nèi)進(jìn)行安全掃描非常耗時(shí)。網(wǎng)絡(luò)拓?fù)洌和ㄟ^(guò)GUI的圖形界面，可選擇一個(gè)或某些區(qū)域的設(shè)備。能夠發(fā)現(xiàn)的漏洞數(shù)量是否支持可制定的攻擊方法：通常提供強(qiáng)大的工具構(gòu)造特定的攻擊方法。因?yàn)榫W(wǎng)絡(luò)內(nèi)服務(wù)器及其它設(shè)備對(duì)相同協(xié)議的實(shí)現(xiàn)存在差別，所以預(yù)制的掃描方法肯定不能滿(mǎn)足客戶(hù)的需求。報(bào)告：掃描器應(yīng)該能夠給出清楚的安全漏洞報(bào)告。更新周期：提供該項(xiàng)產(chǎn)品的廠(chǎng)商應(yīng)盡快給出新發(fā)現(xiàn)的安全漏洞掃描特征升級(jí)，并給出相應(yīng)的改進(jìn)建議。在本方案中，我們建議采用美國(guó)ISS公司生產(chǎn)的InternetScaner系統(tǒng)針對(duì)網(wǎng)絡(luò)設(shè)備的安全漏洞進(jìn)行檢測(cè)和分析，包括網(wǎng)絡(luò)通信服務(wù)、路由器、防火墻、郵件、WEB服務(wù)器等，從而識(shí)別能被入侵者利用非法進(jìn)入的網(wǎng)絡(luò)漏洞。網(wǎng)絡(luò)掃描系統(tǒng)對(duì)檢測(cè)到的漏洞信息形成詳細(xì)報(bào)告，包括位置、詳細(xì)描述和建議的改進(jìn)方案，使本證券中心網(wǎng)管系統(tǒng)能檢測(cè)和管理安全風(fēng)險(xiǎn)信息。ISS通過(guò)對(duì)網(wǎng)絡(luò)安全弱點(diǎn)全面和自主地檢測(cè)與分析，能夠迅速找到并修復(fù)安全漏洞?；ヂ?lián)網(wǎng)掃描對(duì)所有附屬在網(wǎng)絡(luò)中的設(shè)備進(jìn)行掃描，檢查它們的弱點(diǎn)，將風(fēng)險(xiǎn)分為高、中、低三個(gè)等級(jí)并且生成大范圍的有意義的報(bào)表。從以企業(yè)管理者角度來(lái)分析的報(bào)告到為消除風(fēng)險(xiǎn)而給出的詳盡的逐步指導(dǎo)方案均可以體現(xiàn)在報(bào)表中。InternetScanner包括WebSecurityScannerTM（用于掃描WEB服務(wù)器）、FirewallScannerTM（用于掃描防火墻）、IntranetScannerTM（用于掃描企業(yè)內(nèi)部網(wǎng)）。WebSecurityScannerTM通過(guò)檢測(cè)您WEB服務(wù)器下的操作系統(tǒng)、WEB服務(wù)器的應(yīng)用程序本身及WEB應(yīng)用程序的CGI腳本，幫助您保護(hù)網(wǎng)站內(nèi)部、外部的安全。它測(cè)試WEB服務(wù)器的配置，評(píng)估基礎(chǔ)文件系統(tǒng)的安全性，搜索CGI腳本中的知名漏洞并設(shè)法利用用戶(hù)CGI腳本。FirewallScannerTM通過(guò)檢測(cè)防火墻下操作系統(tǒng)的安全性、防火墻應(yīng)用程序和能透過(guò)防火墻的服務(wù)來(lái)測(cè)試防火墻的安全性。IntranetScannerTM最全面地掃描安全漏洞，提供可靠的方法評(píng)估您的TCP/IP連接系統(tǒng)的安全配置。它能熟悉您的網(wǎng)絡(luò)，系統(tǒng)地檢測(cè)每個(gè)網(wǎng)絡(luò)設(shè)備的安全漏洞并自動(dòng)推薦合適的校正措施。網(wǎng)絡(luò)設(shè)備包括UNIX主機(jī)、WindowsNT或Windows95系統(tǒng)、一個(gè)路由器、甚至一個(gè)X終端。A、互聯(lián)網(wǎng)掃描的掃描種類(lèi)網(wǎng)絡(luò)服務(wù)Web服務(wù)器防火墻和路由器防火墻特定的強(qiáng)烈攻擊選項(xiàng)防火墻拒絕服務(wù)攻擊檢測(cè)WindowsNT配置UNIX配置B、系統(tǒng)要求支持WindowsNT的互聯(lián)網(wǎng)掃描支持UNIX的互聯(lián)網(wǎng)掃描IBMAIX3.25或更高HP-UX9.05或更高SunSolaris2.3或更高SunSolarisx862.4或更高SunOS4.1.3或更高Linux1.2x（含內(nèi)核補(bǔ)?。┗蚋週inux1.3x先于（含內(nèi)核補(bǔ)?。㎜inux或更高（不需補(bǔ)?。〤、硬盤(pán)空間和內(nèi)存要求支持WindowsNT的互聯(lián)網(wǎng)掃描硬盤(pán)空間——安裝需要90MB，每100個(gè)主機(jī)需要增加2.5MB內(nèi)存——64MB，每1000個(gè)主機(jī)需要增加8MB支持UNIX的互聯(lián)網(wǎng)掃描硬盤(pán)空間——至少10MB內(nèi)存——32MB設(shè)計(jì)：針對(duì)XX證券中心網(wǎng)絡(luò)現(xiàn)狀，我們建議采用安全管理中心進(jìn)行掃描的方式來(lái)進(jìn)行日常安全檢測(cè)和掃描任務(wù)。建議購(gòu)買(mǎi)ISSSCANER由證券中心對(duì)主要結(jié)點(diǎn)的重要ip進(jìn)行日常掃描，同時(shí)定期匯報(bào)掃描情況。對(duì)發(fā)現(xiàn)的安全問(wèn)題提出解決方案并協(xié)助證券中心網(wǎng)管解決問(wèn)題。同時(shí)由安全管理小組負(fù)責(zé)掃描軟件版本升級(jí)，錯(cuò)誤修改，輔助模塊開(kāi)發(fā)的工作，保證外部掃描的及時(shí)性和準(zhǔn)確性。一份格式漂亮的結(jié)果報(bào)告是任何掃描軟件能夠生成的，但是實(shí)際的風(fēng)險(xiǎn)和解決，將有我公司的專(zhuān)業(yè)人員幫助識(shí)別和解決。如圖示;6.2.4防病毒技術(shù)病毒的防范早已不是什么新鮮話(huà)題，但是我們所熟悉的多數(shù)是基于桌面的防病毒技術(shù)。除此之外，還有一種更安全的基于網(wǎng)絡(luò)的防病毒技術(shù)?；诰W(wǎng)絡(luò)的防病毒技術(shù)可以在網(wǎng)絡(luò)的各個(gè)環(huán)節(jié)上實(shí)現(xiàn)對(duì)計(jì)算機(jī)病毒的防范，其中包括基于網(wǎng)關(guān)的防病毒系統(tǒng)、基于服務(wù)器的防病毒系統(tǒng)和基于桌面的防病毒系統(tǒng)。XX證券總部建議采用了基于網(wǎng)絡(luò)的NORTON企業(yè)版防病毒軟件.6.3路由器級(jí)安全控制1訪(fǎng)問(wèn)控制列表（AccessControlList，ACL）CISCO路由器操作系統(tǒng)IOS通過(guò)訪(fǎng)問(wèn)控制列表（ACL）技術(shù)支持包過(guò)濾防火墻技術(shù)，根據(jù)事先確定的安全策略建立相應(yīng)的訪(fǎng)問(wèn)列表，可以對(duì)數(shù)據(jù)包、路由信息包進(jìn)行攔截與控制，可以根據(jù)源/目的地址、協(xié)議類(lèi)型、TCP端口號(hào)進(jìn)行控制。這樣，我們就可以在Extranet上建立第一道安全防護(hù)墻，屏蔽對(duì)內(nèi)部網(wǎng)Intranet的非法訪(fǎng)問(wèn)。例如，我們可以通過(guò)ACL限制可以進(jìn)入內(nèi)部網(wǎng)絡(luò)的外部網(wǎng)絡(luò)甚至是某一臺(tái)或幾臺(tái)主機(jī)；限制可以被訪(fǎng)問(wèn)的內(nèi)部主機(jī)的地址；為保證主機(jī)的安全，可以限制外部用戶(hù)對(duì)主機(jī)的TELNET方式登陸等。如下圖：2地址轉(zhuǎn)換（NetworkAddressTranslation，NAT）CISCO路由器操作系統(tǒng)IOS的防火墻功能還包括IP地址轉(zhuǎn)換的功能。進(jìn)行IP地址轉(zhuǎn)換有兩個(gè)好處：其一是隱藏內(nèi)部網(wǎng)絡(luò)真正的IP地址，這可以使黑客（hacker）無(wú)法直接攻擊內(nèi)部網(wǎng)絡(luò)，因?yàn)樗恢纼?nèi)部網(wǎng)絡(luò)的IP地址及網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)；另一個(gè)好處是可以讓內(nèi)部網(wǎng)絡(luò)使用自己定義的網(wǎng)絡(luò)地址方案，而不必考慮與外界地址沖突的情況。3路由認(rèn)證技術(shù)為了保證發(fā)出和進(jìn)入的路由更新不被竊取和攻擊，CISCO路由器操作系統(tǒng)IOS提供對(duì)動(dòng)態(tài)路由協(xié)議進(jìn)行加密和認(rèn)證的技術(shù)，只有在經(jīng)過(guò)認(rèn)證的路由器才能互相學(xué)習(xí)路由信息，同時(shí)路由信息的傳輸完全是以加密的形勢(shì)進(jìn)行的。鑒于網(wǎng)絡(luò)主干的開(kāi)放性，可以利用CISCO路由器的路由認(rèn)證技術(shù)對(duì)所有路由器的路由信息進(jìn)行認(rèn)證與加密，以防止路由信息的泄漏，保證網(wǎng)絡(luò)的安全。4路由器自身的安全防護(hù)在保證數(shù)據(jù)信息的安全性的同時(shí)，必須考慮到路由器自身的安全性。如果路由器本身失去安全保護(hù)，那么前面所做的一切都是徒勞的。在這方面，CISCO路由器IOS提供了一系列防范措施。首先，進(jìn)行口令保護(hù)，用戶(hù)登錄路由器必須經(jīng)過(guò)口令的認(rèn)證；其次，利用口令授權(quán)，將不同的權(quán)限等級(jí)與不同的口令進(jìn)行關(guān)聯(lián)，對(duì)用戶(hù)進(jìn)行等級(jí)的劃分，通過(guò)減少超級(jí)用戶(hù)來(lái)減少不安定因素；再次，對(duì)口令進(jìn)行加密，以避免口令在網(wǎng)上以明碼的方式進(jìn)行傳輸，同時(shí)避免配置文件以明碼的方式顯示口令；最后，對(duì)無(wú)人職守的控制臺(tái)和端口進(jìn)行超時(shí)限制，以提高設(shè)備的安全性。5內(nèi)部網(wǎng)絡(luò)端口的安全性為了進(jìn)一步保證關(guān)鍵網(wǎng)絡(luò)設(shè)備（路由器）的安全可靠性，我們可以在其內(nèi)部網(wǎng)段以太網(wǎng)上通過(guò)ARP控制進(jìn)行IP地址與MAC地址的綁定，結(jié)合ACL對(duì)登陸到路由器的主機(jī)與用戶(hù)進(jìn)行限制，可以更好的保證路由器的安全，防止非法用戶(hù)盜用地址對(duì)路由器進(jìn)行攻擊。

第七章、信息監(jiān)控系統(tǒng)7.1、IT環(huán)境簡(jiǎn)介XX券證公司是一家全國(guó)性的證券公司，在各地有相應(yīng)的營(yíng)業(yè)部。公司建有一個(gè)信息中心，為公司的交易和網(wǎng)絡(luò)中心，通過(guò)路由器與各地營(yíng)業(yè)部連成廣域網(wǎng)，新建信息中心配置大約如下：交易服務(wù)器4臺(tái)(CompaqPLTDL系列)其他服務(wù)器若干路由器4臺(tái)(Cisco7500/7200/2600/3600)交換機(jī)若干臺(tái)(CISCO)工作站250臺(tái)（其中30臺(tái)左右機(jī)器為重要的轉(zhuǎn)換機(jī)，要求進(jìn)行監(jiān)控）為了有效地對(duì)信息中心的網(wǎng)絡(luò)系統(tǒng)進(jìn)行監(jiān)管，隨時(shí)掌握網(wǎng)絡(luò)系統(tǒng)情況，需要建立一個(gè)網(wǎng)絡(luò)監(jiān)控和管理系統(tǒng)。7.1.1系統(tǒng)主要需求：該系統(tǒng)當(dāng)然擬建立基本如下功能，其他功能在系統(tǒng)成熟后再擴(kuò)充。監(jiān)控中心網(wǎng)絡(luò)狀況，對(duì)服務(wù)器(Unix、Novell、NT)、數(shù)據(jù)庫(kù)(SQLserver、Oracle)的狀態(tài)性能進(jìn)行監(jiān)控，對(duì)轉(zhuǎn)換機(jī)、處理機(jī)、路由器、交換機(jī)等進(jìn)行監(jiān)控，出現(xiàn)異?；騾?shù)超過(guò)設(shè)定閥值時(shí)，有報(bào)警功能，當(dāng)將來(lái)系統(tǒng)擴(kuò)展時(shí)可以直接監(jiān)控各營(yíng)業(yè)部狀況；7.1.2系統(tǒng)其它功能能方便地了解網(wǎng)絡(luò)系統(tǒng)的配置情況，具有資產(chǎn)管理功能并生成報(bào)表；能有效地提供資源利用情況和性能趨勢(shì)，為系統(tǒng)的升級(jí)提供依據(jù)；具有完善和方便的二次開(kāi)發(fā)功能；7.2系統(tǒng)的目標(biāo)高效性:采用統(tǒng)一、全面、集成的管理工具，管理復(fù)雜的IT環(huán)境。實(shí)用性:主動(dòng)預(yù)警報(bào)告、靈活策略制定、防患于未然。安全可靠性:一個(gè)安全、可靠的管理平臺(tái)是“有效管理”的充分保證。可擴(kuò)展性:配置靈活、適應(yīng)未來(lái)發(fā)展，保護(hù)以往投資?？煽康募夹g(shù)支持與服務(wù):完善的技術(shù)支持服務(wù)網(wǎng)絡(luò)，保證管理實(shí)施的連續(xù)有效。7.3具體技術(shù)要求7.3.1系統(tǒng)性能管理(1)支持多平臺(tái),保持系統(tǒng)的可擴(kuò)展性,如SCO、NT、SUN、NetWare...(2)對(duì)文件系統(tǒng)進(jìn)行監(jiān)控,并能定義預(yù)警和嚴(yán)重性的門(mén)限。(3)對(duì)操作系統(tǒng)的關(guān)鍵進(jìn)程監(jiān)控,進(jìn)行報(bào)警,發(fā)生故障時(shí)能自動(dòng)處理。(4)對(duì)系統(tǒng)的內(nèi)存進(jìn)行監(jiān)控,并能預(yù)警CPU和交換區(qū)。(5)對(duì)操作系統(tǒng)的各種日志文件進(jìn)行收集和監(jiān)控,從而發(fā)現(xiàn)錯(cuò)誤并進(jìn)行預(yù)警。(6)對(duì)操作系統(tǒng)的各種資源,包括CPU使用情況,內(nèi)存使用情況,交換區(qū)使用情況,當(dāng)前用戶(hù)登錄,工作隊(duì)列,系統(tǒng)信號(hào)量,文件系統(tǒng)可用性,進(jìn)出網(wǎng)卡的數(shù)據(jù)包流量等,有實(shí)時(shí)、動(dòng)態(tài)的圖形界面顯示。7.3.2網(wǎng)絡(luò)管理(1)能自動(dòng)地發(fā)現(xiàn)并識(shí)別分布式網(wǎng)絡(luò)環(huán)境中的所有資源,如網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)節(jié)點(diǎn)、數(shù)據(jù)庫(kù)和應(yīng)用(安裝了管理代理)。網(wǎng)絡(luò)拓?fù)渫ㄟ^(guò)二維圖顯示,并能直觀(guān)地監(jiān)控和顯示到各個(gè)資源的狀態(tài)變化,并能非常方便地查看到是什么因素造成該設(shè)備的狀態(tài)變化。(2)自動(dòng)地收集網(wǎng)絡(luò)性能信息,并可以根據(jù)預(yù)先設(shè)定的網(wǎng)絡(luò)參數(shù)目標(biāo),來(lái)監(jiān)控客戶(hù)/服務(wù)器,網(wǎng)絡(luò)硬件及軟件等,產(chǎn)生相應(yīng)報(bào)警信息。(3)具體分析最終用戶(hù)的響應(yīng)時(shí)間,LAN的容量利用及出錯(cuò)統(tǒng)計(jì)等等,應(yīng)具有報(bào)表機(jī)制,提供圖形化或表格方式的數(shù)據(jù)表達(dá),提供詳細(xì)的有關(guān)服務(wù)器,LAN負(fù)載的歷史報(bào)表,提供網(wǎng)絡(luò)資源性能的實(shí)時(shí)報(bào)表。(4)對(duì)網(wǎng)絡(luò)設(shè)備參數(shù)進(jìn)行監(jiān)視和調(diào)整,對(duì)網(wǎng)絡(luò)設(shè)備端口進(jìn)行數(shù)據(jù)流量統(tǒng)計(jì)和分析,對(duì)網(wǎng)絡(luò)設(shè)備性能進(jìn)行實(shí)時(shí)監(jiān)視,對(duì)網(wǎng)絡(luò)設(shè)備操作狀態(tài)和端口操作進(jìn)行實(shí)時(shí)監(jiān)視,對(duì)網(wǎng)絡(luò)消息進(jìn)行記錄,統(tǒng)計(jì)和操作報(bào)告,對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行故障告警,問(wèn)題定位和問(wèn)題分析能力。(5)監(jiān)視整個(gè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),實(shí)時(shí)監(jiān)視整個(gè)網(wǎng)絡(luò)流量,監(jiān)視和管理網(wǎng)絡(luò)路由,捕獲、存儲(chǔ)和管理異常事件,獲得網(wǎng)絡(luò)運(yùn)行報(bào)告。7.3.3數(shù)據(jù)庫(kù)管理(1)對(duì)MSSQLServer、Oracle等數(shù)據(jù)庫(kù)自動(dòng)管理。(2)監(jiān)控?cái)?shù)據(jù)庫(kù)的可用性,應(yīng)能監(jiān)控?cái)?shù)據(jù)庫(kù)引擎的關(guān)鍵參數(shù),如文件存儲(chǔ)空間,系統(tǒng)的使用率,配置情況,當(dāng)前各種鎖資源情況,數(shù)據(jù)庫(kù)進(jìn)程狀態(tài),進(jìn)程所占用空間。(3)可定制閥值,自動(dòng)監(jiān)控?cái)?shù)據(jù)庫(kù)資源的變化,并應(yīng)能在達(dá)到限值時(shí)發(fā)生警告和錯(cuò)誤信息,并應(yīng)能觸發(fā)一定的動(dòng)作,以便及時(shí)采取措施。(4)監(jiān)控表空間的使用情況,包括表的分配空間,已用空間和表記錄數(shù)的情況。(5)監(jiān)控事件日志空間的使用情況,自動(dòng)監(jiān)控?cái)?shù)據(jù)庫(kù)日志的變化,并且有智慧預(yù)警的功能。(6)與數(shù)據(jù)庫(kù)本身的管理工具無(wú)縫地集成起來(lái),使戶(hù)通過(guò)統(tǒng)一的界面就可對(duì)數(shù)據(jù)庫(kù)進(jìn)行細(xì)致的管理,如數(shù)據(jù)庫(kù)設(shè)備定義,數(shù)據(jù)庫(kù)建立,用戶(hù)管理。7.3.4桌面系統(tǒng)的管理具有軟件Metering功能，定義對(duì)用戶(hù)的某一特定軟件進(jìn)行監(jiān)視，如該軟件正在非正常運(yùn)行，產(chǎn)生系統(tǒng)報(bào)警，提醒管理員注意。7.4、技術(shù)選型使用UnicenterTNG企業(yè)管理方案CA公司的企業(yè)管理策略核心是UnicenterTNG。TNG為企業(yè)中的所有IT資源提供詳盡的、開(kāi)放的及高度可擴(kuò)展的管理解決方案。UnicenterTNG提供了非常豐富的管理功能。所有的功能都是建立在同一個(gè)面向?qū)ο螅Y(jié)構(gòu)開(kāi)放及高度擴(kuò)展的管理者/代理結(jié)構(gòu)之上。只有UnicenterTNG能提供如此大量的創(chuàng)新功能，并將這些管理功能集成在一起。UnicenterTNG提供了業(yè)界最佳的解決方案，它具有以下特點(diǎn)：“端對(duì)端”的網(wǎng)絡(luò)、系統(tǒng)、數(shù)據(jù)庫(kù)及應(yīng)用管理。詳盡及集成化的CA及第三方廠(chǎng)商的管理功能集。具有高度可擴(kuò)展的多層管理者/代理結(jié)構(gòu)?！罢鎸?shí)世界界面”將企業(yè)的IT資源用簡(jiǎn)單明了的二維和三維圖像方式顯示。提供面向業(yè)務(wù)的“業(yè)務(wù)流程視圖”。面向?qū)ο?、開(kāi)放及可擴(kuò)充的體系結(jié)構(gòu)。7.4.1端對(duì)端管理UnicenterTNG使得IT機(jī)構(gòu)，第一次利用單一管理方案管理他們?nèi)康腎T資源，包括異種網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用和數(shù)據(jù)庫(kù)。UnicenterTNG強(qiáng)大的管理功能涵蓋了傳統(tǒng)的分散的IT資源。例如，發(fā)現(xiàn)服務(wù)是典型的僅與網(wǎng)絡(luò)相關(guān)的服務(wù)，而發(fā)現(xiàn)服務(wù)在UnicenterTNG中除了發(fā)現(xiàn)網(wǎng)絡(luò)設(shè)備及其拓?fù)鋱D，還可以發(fā)現(xiàn)系統(tǒng)、數(shù)據(jù)庫(kù)和應(yīng)用等全部的IT資源。UnicenterTNG是第一個(gè)達(dá)到端對(duì)端管理目標(biāo)的方案。一個(gè)重要的原因是其范圍廣泛的網(wǎng)絡(luò)管理功能。UnicenterTNG不僅能夠提供傳統(tǒng)的網(wǎng)管功能，如：網(wǎng)絡(luò)發(fā)現(xiàn)，拓?fù)鋱D顯示和SNMP支持，而且還能夠提供遠(yuǎn)遠(yuǎn)超越網(wǎng)管結(jié)構(gòu)的其它功能。例如，UnicenterTNG的網(wǎng)絡(luò)管理功能使用公共對(duì)象庫(kù)(CommonObjectRepository)存儲(chǔ)信息。這個(gè)共享的存儲(chǔ)庫(kù)有利于保證管理策略、用戶(hù)接口和互操作的高度一致性。另外，UnicenterTNG中網(wǎng)絡(luò)管理功能與管理者(Manager)/代理(Agent)技術(shù)可以進(jìn)行互相操作。不支持標(biāo)準(zhǔn)網(wǎng)管協(xié)議(SNMP)的設(shè)備也能生成Agent，事實(shí)上，生成的Agent可監(jiān)控廣泛的設(shè)備，如網(wǎng)絡(luò)交換機(jī)、調(diào)制解調(diào)器、視頻設(shè)備、多段無(wú)線(xiàn)接收器、電話(huà)安全接收裝置、幀中繼交換器和DoD加密設(shè)備。具備了這些能力，企業(yè)機(jī)構(gòu)現(xiàn)在可以監(jiān)控和管理他們整個(gè)網(wǎng)絡(luò)的全部資源，而不僅僅是典型的TCP/IP網(wǎng)絡(luò)。UnicenterTNG的端到端管理還包括擴(kuò)充和客戶(hù)化這些強(qiáng)大的管理功能。例如，發(fā)現(xiàn)代理的擴(kuò)展能力使其不僅能發(fā)現(xiàn)網(wǎng)絡(luò)資源,而且能夠發(fā)現(xiàn)客戶(hù)的其他任何IT資源，如客戶(hù)自己開(kāi)發(fā)的應(yīng)用或甚至非IT資源，如環(huán)境系統(tǒng)、建筑物安全控制系統(tǒng)和智能空調(diào)。UnicenterTNG的這一切優(yōu)勢(shì)得益于其開(kāi)放和可擴(kuò)展的總體架構(gòu)。7.4.2開(kāi)放和可擴(kuò)展的架構(gòu)UnicenterTNG的特征是面向?qū)ο蟮募軜?gòu)，也即：開(kāi)放、分布式、可擴(kuò)展和跨平臺(tái)。這個(gè)結(jié)構(gòu)使UnicenterTNG得以提供端到端管理，并具備無(wú)可比擬的擴(kuò)展性與靈活性。UnicenterTNG的結(jié)構(gòu)由下列幾層組成：智能代理層：提供分布式智能手段監(jiān)測(cè)和控制全部的IT資源。企業(yè)管理層：同樣是分布式地提供管理功能.公共對(duì)象庫(kù)：存儲(chǔ)管理對(duì)象和相關(guān)的管理策略.真實(shí)世界界面：由對(duì)象庫(kù)的信息驅(qū)動(dòng)，提供豐富和多樣化的方法透視和管理IT環(huán)境。各結(jié)構(gòu)層次通過(guò)眾多的創(chuàng)新技術(shù)形成了整個(gè)方案的開(kāi)放性、靈活性、可擴(kuò)展性和伸縮性。UnicenterTNG單獨(dú)的開(kāi)放、擴(kuò)展的結(jié)構(gòu)層提供了集成全部各層的接口，使其它開(kāi)發(fā)者開(kāi)發(fā)的功能可與CA本身的管理功能進(jìn)行無(wú)縫集成。智能代理層：UnicenterTNG的管理者/代理(Manager/Agent)結(jié)構(gòu)具有很強(qiáng)的伸縮性。智能的代理可與其它同層代理共享數(shù)據(jù)，能自己執(zhí)行過(guò)濾、關(guān)聯(lián)和自動(dòng)響應(yīng)等功能。這樣可減少網(wǎng)絡(luò)流量和管理者負(fù)荷，提高效率。UnicenterTNGAgentFactory提供給子代理(Subagent)豐富的服務(wù)集，便于高效的代理開(kāi)發(fā)與部署。將公共的功能進(jìn)行單一化的集成，簡(jiǎn)化數(shù)據(jù)分享和關(guān)聯(lián)子代理產(chǎn)生的事件，提供基于策略的自動(dòng)響應(yīng)和對(duì)第三方所寫(xiě)代理的集成。具備高效的代理間層到層的信息共享，例如：子代理可將共享的信息送回主代理，其它的子代理可通過(guò)標(biāo)準(zhǔn)的對(duì)AgentFactoryAPI的呼叫訪(fǎng)問(wèn)這些信息。所有的這一切是可配置的，包括共享數(shù)據(jù)更新的頻率，提供完整靈活性和對(duì)代理環(huán)境的控制。在UnicenterTNG中，管理者和代理是多對(duì)多的關(guān)系。例如一個(gè)管理者可管理多個(gè)代理，一個(gè)代理可被多個(gè)管理者管理。使得管理功能的實(shí)施具容錯(cuò)性，因?yàn)槠渌墓芾碚呖山犹嬗泄收系墓芾碚?。管理者也可成為其它管理者的代理－－這種雙重角色能力提供了UnicenterTNG部署的高效性，尤其是在大范圍的環(huán)境中。UnicenterTNG管理者和代理透明地支持廣闊領(lǐng)域的多廠(chǎng)商平臺(tái)和網(wǎng)絡(luò)，提供多種多樣的服務(wù)，如支持眾多的操作系統(tǒng)和通信協(xié)議。同時(shí)對(duì)那些特殊的、獨(dú)立的設(shè)備可生成實(shí)際易用的方案。通過(guò)過(guò)濾和關(guān)聯(lián)，按照基于主代理層策略的動(dòng)作，UnicenterTNG提供一種非常高效的管理者/代理方案。UnicenterTNG是世界第一個(gè)滿(mǎn)足復(fù)雜環(huán)境下當(dāng)今企業(yè)管理全方位需求的解決方案。同時(shí)這些代理可在Internet和Intranet上運(yùn)行，使它們?yōu)榭蛻?hù)明天的計(jì)算機(jī)環(huán)境作好準(zhǔn)備。企業(yè)管理層：UnicenterTNG提供豐富的管理功能，可覆蓋廣泛的領(lǐng)域，如網(wǎng)絡(luò)管理、自動(dòng)發(fā)現(xiàn)、事件管理、安全性、數(shù)據(jù)庫(kù)管理、Web服務(wù)器管理、工作流調(diào)度、時(shí)間安排、軟件分發(fā)，防火墻技術(shù)等等。作為UnicenterTNG的開(kāi)放和擴(kuò)展結(jié)構(gòu)的一部分，全部的功能均可為其它管理和業(yè)務(wù)應(yīng)用服務(wù)，同樣可用于第三方廠(chǎng)家，CA與客戶(hù)和合作伙伴一起完善管理功能。企業(yè)管理層同樣也提供針對(duì)不同協(xié)議標(biāo)準(zhǔn)的管理功能的APIs，例如：UnicenterTNG的開(kāi)放桌面管理接口，使設(shè)備的管理即支持DMI也支持MicrosoftHMM。同時(shí)也提供使用這些標(biāo)準(zhǔn)的公共集成工具。因此，UnicenterTNG能提供高度集成的，同時(shí)具有良好的擴(kuò)展性、功能強(qiáng)大的開(kāi)放式管理的功能集合?？蓴U(kuò)展性是由UnicenterTNG面向?qū)ο筇匦詻Q定的。因?yàn)樗械墓芾韺?duì)象均被定義于公共對(duì)象庫(kù)中，而管理它們的方法是全文件格式的，另外增加的對(duì)象能自動(dòng)獲得UnicenterTNG其它方面的特性，如可作為易于使用的真實(shí)世界界面和業(yè)務(wù)處理視圖的一部分。7.5系統(tǒng)管理方案通過(guò)對(duì)系統(tǒng)的有效管理，如對(duì)于Novell,NT,UNIX服務(wù)器(Solaris)系統(tǒng)，桌面系統(tǒng)等，實(shí)現(xiàn)自動(dòng)化的和主動(dòng)的管理，從而保障廣發(fā)證券各項(xiàng)業(yè)務(wù)的順利運(yùn)行。7.5.1服務(wù)器的管理和性能監(jiān)控證券總部采用NT，Novell,Unix等服務(wù)器。為保障系統(tǒng)高效、可靠、安全地運(yùn)轉(zhuǎn)，為了適應(yīng)廣域分布、中心主機(jī)、端對(duì)端管理，以及性能監(jiān)測(cè)的要求，UnicenterTNG將根據(jù)實(shí)際環(huán)境中管理功能的需要，把Manager和Agent分布在各種結(jié)構(gòu)中。Agent是智能型的和主動(dòng)的，能夠?qū)嵤┎呗圆f(xié)調(diào)與Manager的關(guān)系；它們監(jiān)控事件和狀態(tài)。它們能夠?qū)nix和WindowsNTServer及Novell系統(tǒng)和應(yīng)用程序進(jìn)行監(jiān)控和管理。7.5.2通過(guò)OSAgent監(jiān)控操作系統(tǒng)的主要參數(shù)利用UnicenterTNGOSAgent,可實(shí)時(shí)監(jiān)控UNIX和WindowsNT、Novell等服務(wù)器和工作站、PC機(jī)運(yùn)行以下指標(biāo)：CPU利用率，顯示系統(tǒng)、用戶(hù)、空閑時(shí)間的百分比；交換空間(SwapSpace)利用率；虛擬內(nèi)存(VirtualMemory)利用率；消息隊(duì)列空間使用情況；并可根據(jù)需要定義報(bào)警閾值，當(dāng)某參數(shù)超閾值時(shí)，Agent自動(dòng)通知上一級(jí)Manager,并執(zhí)行用戶(hù)預(yù)定義的動(dòng)作。這樣可靈活定制自己的管理策略。7.5.3通過(guò)OSAgent監(jiān)控特定的文件系統(tǒng)利用UnicenterTNGOSAgent,可實(shí)時(shí)監(jiān)控UNIX和Windows,Novell服務(wù)器上文件系統(tǒng)資源使用情況：1.文件系統(tǒng)使用情況，顯示磁盤(pán)空間；2.監(jiān)視文件系統(tǒng)的使用率，當(dāng)使用率超過(guò)特定閾值時(shí)，向系統(tǒng)管理員報(bào)警；3.監(jiān)視重要的文件，如果發(fā)現(xiàn)文件被修改或文件大小迅速增長(zhǎng)時(shí)，向系統(tǒng)管理員報(bào)警和產(chǎn)生相應(yīng)的動(dòng)作；并可通過(guò)視圖界面實(shí)時(shí)反映被管理節(jié)點(diǎn)上的重要文件系統(tǒng)占用的情況。當(dāng)被監(jiān)控的文件系統(tǒng)超過(guò)所定義的門(mén)限時(shí)，自動(dòng)執(zhí)行相應(yīng)的操作。7.5.4通過(guò)PerformanceAgent進(jìn)行性能監(jiān)控系統(tǒng)性能監(jiān)控是系統(tǒng)管理中的最重要的部分之一，也是UnicenterTNG系統(tǒng)管理中最有特色的功能之一。通過(guò)管理機(jī)上的PerformanceManager，可以對(duì)UNIX和NT,Novell服務(wù)器進(jìn)行性能管理。在性能管理中有PerformanceScope及PerformanceTrend。PerformanceScope能夠根據(jù)用戶(hù)所關(guān)心的內(nèi)容，實(shí)時(shí)監(jiān)控系統(tǒng)性能的變化，對(duì)歷史數(shù)據(jù)進(jìn)行比較。PerformanceTrend可以詳細(xì)分析系統(tǒng)性能的變化趨勢(shì)。PerformanceManager所監(jiān)控的對(duì)象包括CPU、文件系統(tǒng)、進(jìn)程、Buffer、隊(duì)列、系統(tǒng)調(diào)用、用戶(hù)登錄等等。CA公司給用戶(hù)提供了圖形化的、易理解的、連續(xù)的、一致的性能報(bào)告，可以幫助用戶(hù)去分析系統(tǒng)發(fā)生的問(wèn)題。TNG的性能分析圖示系統(tǒng)性能監(jiān)控模塊(Agent)功能如下：收集的性能數(shù)據(jù)可以用三維數(shù)學(xué)模型存儲(chǔ)在本地(被管理機(jī)上)，允許本地進(jìn)行數(shù)據(jù)分析，減少管理機(jī)負(fù)載；界面可以根據(jù)用戶(hù)需要定制。在TNG的管理機(jī)上，可以從TNG的WorldView上實(shí)時(shí)看到性能管理Agent收集的數(shù)據(jù)，可以用各種圖形方式對(duì)歷史數(shù)據(jù)進(jìn)行顯示，從圖形中可以：發(fā)現(xiàn)性能瓶頸；發(fā)現(xiàn)使用過(guò)多資源的組件；發(fā)現(xiàn)在系統(tǒng)參數(shù)改變后，對(duì)性能的影響；對(duì)發(fā)現(xiàn)的問(wèn)題進(jìn)行歷史跟蹤；可以用集中界面對(duì)被管理上的Agent進(jìn)行參數(shù)調(diào)整；可以對(duì)監(jiān)控的資源進(jìn)行計(jì)費(fèi)統(tǒng)計(jì)；可以設(shè)置監(jiān)控資源Agent的門(mén)限值，當(dāng)超過(guò)門(mén)限值時(shí)，會(huì)自動(dòng)通知TNG的事件管理模塊，以便系統(tǒng)管理員采取相應(yīng)措施；可以通過(guò)性能監(jiān)控及分析機(jī)制，詳細(xì)分析操作系統(tǒng)、應(yīng)用系統(tǒng)及數(shù)據(jù)庫(kù)系統(tǒng)對(duì)諸如CPU、內(nèi)存、網(wǎng)絡(luò)等的使用狀況，從而精確地定位系統(tǒng)性能瓶頸之所在，實(shí)現(xiàn)計(jì)算機(jī)資源的合理利用及分配。7.5.5資產(chǎn)管理(AssetManagement選件)在一般計(jì)算機(jī)系統(tǒng)中，PC機(jī)的維護(hù)占據(jù)非常重要的地位，對(duì)PC機(jī)資源的有效管理，可以更好地了解企業(yè)內(nèi)部PC機(jī)的配置情況，以更好地發(fā)揮PC機(jī)的效率。UnicenterTNG資產(chǎn)管理選件(AMO)是一套完整的客戶(hù)機(jī)管理工具，可用來(lái)管理PC桌面機(jī)(DOS，Windows3.x，Windows95，WindowsNT，OS/2),Macintosh，Netware甚至Unix工作站。AMO可以自動(dòng)檢測(cè)客戶(hù)機(jī)詳細(xì)的硬件、軟件和網(wǎng)絡(luò)配置，保存重要的配置文件，監(jiān)測(cè)特定軟件的使用。從而實(shí)現(xiàn)降低總擁有成本(TotalCostofOwnership，TCO)，增加最終用戶(hù)的生產(chǎn)效率。AMO支持所有的網(wǎng)絡(luò)平臺(tái)，包括Netware,LANManager,PathWorks,BanyanVINES,PC-NFSandWindowsNT。AMO的資產(chǎn)數(shù)據(jù)庫(kù)支持ODBC兼容的數(shù)據(jù)庫(kù)系統(tǒng)，如MS-SQLServer,Sybase。通過(guò)保存資產(chǎn)數(shù)據(jù)的變化量，有效減少網(wǎng)絡(luò)負(fù)載。7.5.6結(jié)構(gòu)和功能AMO是Client/Server結(jié)構(gòu)的客戶(hù)機(jī)管理軟件，包含有四個(gè)功能模塊：AMOConsole,AMO的控制和顯示用戶(hù)界面。AMOEngine，AMO信息搜索引擎，檢測(cè)客戶(hù)機(jī)配置和處理AMO的各種狀態(tài)信息。AMOClient，安裝有AMO代理，可被AMO管理的客戶(hù)機(jī)。AMODatabase，存儲(chǔ)AMO客戶(hù)機(jī)配置和狀態(tài)信息的數(shù)據(jù)庫(kù)。AMODatabase、AMOEngine和AMOConsole也可以安裝在同一臺(tái)服務(wù)器上。7.5.7系統(tǒng)資源管理利用AMO檢測(cè)客戶(hù)機(jī)的硬件配置。啟動(dòng)AMO信息搜索引擎(AMOEngine)，AMOEngine自動(dòng)在網(wǎng)絡(luò)上搜索安裝有AMO代理的客戶(hù)機(jī)，并把搜索結(jié)果按管理員定義的域(Domain)存儲(chǔ)在A(yíng)MO數(shù)據(jù)庫(kù)中。啟動(dòng)AMO控制用戶(hù)界面(AMOConsole)，查看存儲(chǔ)在A(yíng)MO數(shù)據(jù)庫(kù)中客戶(hù)機(jī)硬件的詳細(xì)信息，包括CPU、協(xié)處理器、內(nèi)存、硬盤(pán)、顯示分辨率、BIOS版本等等。并可根據(jù)某一硬件配置對(duì)客戶(hù)機(jī)進(jìn)行分類(lèi)顯示如顯示所有安裝有“PentimuII”CPU的客戶(hù)機(jī)。利用AMO檢測(cè)客戶(hù)機(jī)的軟件配置啟動(dòng)AMOConsole，查看AMO數(shù)據(jù)庫(kù)中存儲(chǔ)的客戶(hù)機(jī)軟件詳細(xì)信息。AMO自動(dòng)識(shí)別超過(guò)五千種應(yīng)用程序，如MSWord、Lotus1-2-3等等。并且AMO提供了工具，允許系統(tǒng)管理員人工添加可被自動(dòng)發(fā)現(xiàn)軟件的特征值表，從而實(shí)現(xiàn)對(duì)用戶(hù)自己開(kāi)發(fā)的應(yīng)用程序的自動(dòng)發(fā)現(xiàn)與分類(lèi)。利用AMO檢測(cè)客戶(hù)機(jī)的網(wǎng)絡(luò)配置啟動(dòng)AMOConsole，查看AMO數(shù)據(jù)庫(kù)中存儲(chǔ)的客戶(hù)機(jī)網(wǎng)絡(luò)參數(shù)的詳細(xì)信息，如客戶(hù)機(jī)支持的網(wǎng)絡(luò)協(xié)議，各通訊網(wǎng)絡(luò)通訊協(xié)議的驅(qū)動(dòng)程序版本，網(wǎng)卡占用的地址空間等等。管理重要的配置文件利用AMOConsole，定義對(duì)客戶(hù)機(jī)上重要的配置文件，如Windows客戶(hù)機(jī)的config.sys文件，進(jìn)行備份，備份數(shù)據(jù)存儲(chǔ)在A(yíng)MO中央數(shù)據(jù)庫(kù)中。AMO可保存一個(gè)配置文件的多個(gè)拷貝。檢測(cè)特定軟件的使用啟動(dòng)AMOConsole中的軟件Metering功能，定義對(duì)用戶(hù)的某一特定軟件進(jìn)行監(jiān)視，如該軟件正在非正常運(yùn)行，AMO產(chǎn)生系統(tǒng)報(bào)警，提醒管理員注意。7.5.8利用SqlServerAgent完成對(duì)數(shù)據(jù)庫(kù)SqlServer的管理UnicenterTNGDBAgent可以對(duì)SQLServer等數(shù)據(jù)庫(kù)進(jìn)行自動(dòng)管理。它能夠連續(xù)地監(jiān)控?cái)?shù)據(jù)庫(kù)引擎(DatabaseEngine)的關(guān)鍵參數(shù)：例如：數(shù)據(jù)庫(kù)系統(tǒng)設(shè)計(jì)的文件存儲(chǔ)空間、系統(tǒng)資源的使用率、配置情況、數(shù)據(jù)庫(kù)當(dāng)前的各種鎖資源情況、監(jiān)控?cái)?shù)據(jù)庫(kù)進(jìn)程的狀態(tài)、進(jìn)程所占內(nèi)存空間、可用性等。UnicenterTNGDBAgent可以在服務(wù)中斷時(shí)捕獲問(wèn)題信息，并且自動(dòng)發(fā)送到事件控制臺(tái)，使系統(tǒng)管理員能夠及時(shí)采取措施避免災(zāi)難性的事故。數(shù)據(jù)庫(kù)可用性:能夠監(jiān)控?cái)?shù)據(jù)庫(kù)引擎的關(guān)鍵參數(shù)：例如：數(shù)據(jù)庫(kù)系統(tǒng)設(shè)計(jì)的文件存儲(chǔ)空間、系統(tǒng)資源的使用率、配置情況、數(shù)據(jù)庫(kù)當(dāng)前的各種鎖資源情況、監(jiān)控?cái)?shù)據(jù)庫(kù)進(jìn)程的狀態(tài)、進(jìn)程所占內(nèi)存空間等。在數(shù)據(jù)庫(kù)進(jìn)行應(yīng)用時(shí)，經(jīng)常有數(shù)據(jù)超出邏輯數(shù)據(jù)存儲(chǔ)空間的可能。在DB數(shù)據(jù)庫(kù)中，用戶(hù)可能建有多個(gè)數(shù)據(jù)庫(kù)設(shè)備(databasedevices)、多個(gè)數(shù)據(jù)庫(kù)(data-base)、數(shù)據(jù)庫(kù)中建有多個(gè)表(tables)，而每個(gè)數(shù)據(jù)庫(kù)都可能建立在多個(gè)設(shè)備之上，如果用手工去監(jiān)測(cè)數(shù)據(jù)的變化，將會(huì)帶來(lái)困難并且耗費(fèi)時(shí)間。UnicenterTNGDBAgent可以自動(dòng)監(jiān)控?cái)?shù)據(jù)庫(kù)資源的變化，并且在到達(dá)門(mén)限值時(shí)發(fā)出警告(warning)和錯(cuò)誤信息(critical),這個(gè)信息會(huì)被TNG的事件管理所截獲，并報(bào)告給數(shù)據(jù)庫(kù)管理員(sa),以便及時(shí)采取措施。數(shù)據(jù)庫(kù)文件系統(tǒng)可以對(duì)數(shù)據(jù)庫(kù)設(shè)備或其敏感文件所在的文件系統(tǒng)進(jìn)行監(jiān)控。表空間(Tablespace)使用情況可以對(duì)數(shù)據(jù)庫(kù)中的表空間進(jìn)行監(jiān)控，包括該表的分配空間、已用空間，和表記錄數(shù)的情況。事物日志空間的使用情況事物日志文件是數(shù)據(jù)庫(kù)對(duì)每一個(gè)數(shù)據(jù)庫(kù)所發(fā)生事務(wù)的記錄。日志只有在事務(wù)完成后，才能夠刪除(dumptransaction)。當(dāng)一個(gè)數(shù)據(jù)庫(kù)的日志文件滿(mǎn)了以后，對(duì)此數(shù)據(jù)庫(kù)的任何操作都不能進(jìn)行。UnicenterTNGDBAgent可以自動(dòng)監(jiān)控?cái)?shù)據(jù)庫(kù)日志的變化，并且在到達(dá)門(mén)限值時(shí)發(fā)出警告(warning)和錯(cuò)誤信息(critical)。數(shù)據(jù)庫(kù)死鎖為避免死鎖的發(fā)生，UnicenterTNGDBAgent可以自動(dòng)監(jiān)控可用的鎖資源，同時(shí)也對(duì)多個(gè)應(yīng)用企圖修改同一信息引起的鎖沖突進(jìn)行監(jiān)控。數(shù)據(jù)庫(kù)進(jìn)程的監(jiān)控監(jiān)控?cái)?shù)據(jù)庫(kù)進(jìn)程的狀態(tài)，在數(shù)據(jù)庫(kù)進(jìn)程關(guān)閉(shutdown)時(shí)，給出嚴(yán)重警告(critical)錯(cuò)誤。另外，UnicenterTNG還可以將數(shù)據(jù)庫(kù)本身的管理工具：數(shù)據(jù)庫(kù)本身的管理工具無(wú)縫的集成到TNG的中心管理界面中，使用戶(hù)通過(guò)統(tǒng)一的界面就可對(duì)數(shù)據(jù)庫(kù)進(jìn)行細(xì)致管理：如對(duì)數(shù)據(jù)庫(kù)設(shè)備定義、數(shù)據(jù)庫(kù)建立、用戶(hù)管理等工作。UnicenterTNG與數(shù)據(jù)庫(kù)本身的管理工具相結(jié)合完成對(duì)數(shù)據(jù)庫(kù)的性能和安全管理。7.5.9利用NotesAgent進(jìn)行LotusNotes的管理UnicenterTNGLotusNotesAgent為管理員提供了一個(gè)友好的界面、易于監(jiān)控、分析、優(yōu)化和修復(fù)郵件服務(wù)器的方法。它可以和UnicenterTNG的其他模塊非常容易的結(jié)合在一起為用戶(hù)提供對(duì)郵件服務(wù)器的存儲(chǔ)管理、病毒監(jiān)測(cè)、軟件分發(fā)、資產(chǎn)管理、系統(tǒng)管理。提供針對(duì)郵件服務(wù)器的商業(yè)處理視圖。使管理員快速發(fā)現(xiàn)引起MTA或連接錯(cuò)誤的路由器或網(wǎng)橋。提供完整的服務(wù)結(jié)構(gòu)。對(duì)于TNG發(fā)現(xiàn)的MailServer錯(cuò)誤，可以傳送到TNG的事件管理中，并且對(duì)此信息可作相應(yīng)的動(dòng)作來(lái)修正錯(cuò)誤。提供連接心跳測(cè)試。Agent可以發(fā)送和接收心跳信息以監(jiān)測(cè)MTA/connection和網(wǎng)絡(luò)層的連接狀態(tài)。管理員可以制定發(fā)送間隔和次數(shù)。另外，CA公司還單獨(dú)提供了UNIXSMTPAgent,允許用戶(hù)對(duì)SMTPMTA/connection進(jìn)行監(jiān)控。提供對(duì)磁盤(pán)空間使用情況的監(jiān)控。監(jiān)控MailServer運(yùn)行機(jī)器的磁盤(pán)空間使用情況，報(bào)告他們的使用情況：Installed,LogFile,Databases,Mailstore等等。提供對(duì)用戶(hù)限制數(shù)的監(jiān)控。監(jiān)控用戶(hù)的限制數(shù)，報(bào)告當(dāng)前用戶(hù)連接數(shù)占MailServer管理員設(shè)置的百分比數(shù)，并根據(jù)用戶(hù)給定的門(mén)限值給出報(bào)警信息。提供性能的監(jiān)控。對(duì)用戶(hù)加載，內(nèi)存使用，I/O和CPU的使用情況進(jìn)行監(jiān)控。7.5.10系統(tǒng)管理方案小結(jié)針對(duì)具體的網(wǎng)絡(luò)和系統(tǒng)環(huán)境，建議采用下列方案進(jìn)行管理：UnicenterTNG主控機(jī)作為證券系統(tǒng)管理的中心。安裝所有系統(tǒng)管理模塊。并位于中心主控機(jī)房。監(jiān)控Novell服務(wù)器，進(jìn)行性能分析，并從中心控制臺(tái)抓取NovellConsole和Log界面。監(jiān)控NT和UNIX服務(wù)器(Solaris)，進(jìn)行性能分析和故障報(bào)警維護(hù)。利用數(shù)據(jù)庫(kù)Agent監(jiān)控Oracle,SqlServer等數(shù)據(jù)庫(kù)的運(yùn)行和性能。利用NotesAgent完成對(duì)于LotusNotes的管理。在PC機(jī)上安裝AssetAgent,進(jìn)行資產(chǎn)管理和匯總分析。UnicenterTNG產(chǎn)品配置為了實(shí)現(xiàn)上面所述的綜合系統(tǒng)管理方案，CA推薦的UnicenterTNG產(chǎn)品如下：產(chǎn)品功能UnicenterTNGBaseManager/Agent(UnicenterTNG基本代理及管理者)*網(wǎng)絡(luò)管理*系統(tǒng)代理*性能代理*事件管理*報(bào)表生成*UnicenterTNG開(kāi)發(fā)工具TNGAssetManagementOption(資產(chǎn)管理選件)資產(chǎn)管理SqlServerAgent(SqlServer選件)SqlServer管理LotusNotesOption(LotusNotes選件)LotusNotes管理機(jī)器操作系統(tǒng)業(yè)務(wù)功能數(shù)量TNG組件UnicenterTNG一級(jí)主控機(jī)WindowsNT4.0SQLServer6.5Excel97管理監(jiān)控中心1UnicenterTNGforWinNTBaseManagerandAgentsAssetManagementManagerLotusNotesManagerCompaqPLTNT業(yè)務(wù)服務(wù)器SqlServer4UnicenterTNGBaseAgentSqlServerAgentCompaqPLTNovell業(yè)務(wù)服務(wù)器4UnicenterTNGBaseAgentUNIcenterTNGfornovellagentCompaqPLTNTLotusNotes服務(wù)器1UnicenterTNGBaseAgentLotusNotesAgentAssetmanagementAgentDesktopWin95Win98PC30AssetmanagementAgent7.6網(wǎng)絡(luò)管理方案網(wǎng)絡(luò)管理性能是衡量一個(gè)網(wǎng)絡(luò)系統(tǒng)性能高低的重要因素之一。網(wǎng)絡(luò)管理系統(tǒng)完成設(shè)置網(wǎng)絡(luò)設(shè)備、監(jiān)控網(wǎng)絡(luò)運(yùn)行、保障網(wǎng)絡(luò)安全，查找并隔離網(wǎng)絡(luò)故障，記錄網(wǎng)絡(luò)中的各種事件以及劃分虛擬網(wǎng)絡(luò)等功能?？傊?，對(duì)所有網(wǎng)絡(luò)上的信息進(jìn)行統(tǒng)一管理。網(wǎng)管通常結(jié)合硬件和軟件的手段來(lái)實(shí)施，對(duì)不同的拓?fù)浣Y(jié)構(gòu)及不同的物理和邏輯部分進(jìn)行監(jiān)控和分析。網(wǎng)管系統(tǒng)支持五大網(wǎng)管功能：配置管理、性能管理、計(jì)費(fèi)管理、故障管理以及安全管理。這些管理功能由網(wǎng)管系統(tǒng)和網(wǎng)絡(luò)設(shè)備共同完成。以下我們介紹的網(wǎng)絡(luò)管理（包括利用CISCOWORKS進(jìn)行網(wǎng)絡(luò)管理和利用WIN2000ACTIVEDIRECTORY進(jìn)行資源/用戶(hù)管理）不局限于XX證券總部的局域網(wǎng)，還包括XX證券廣域網(wǎng)的管理內(nèi)容。7.6.1網(wǎng)絡(luò)管理內(nèi)容1、配置管理網(wǎng)絡(luò)節(jié)點(diǎn)插板、端口和冗余結(jié)構(gòu)的配置；網(wǎng)絡(luò)節(jié)點(diǎn)訪(fǎng)問(wèn)口令的設(shè)置和更改。2、性能管理可以實(shí)時(shí)連續(xù)地收集網(wǎng)絡(luò)運(yùn)行的相關(guān)數(shù)據(jù)，可用數(shù)字和圖形的方式顯示網(wǎng)絡(luò)運(yùn)行的各種情況以及重要程度，需要時(shí)可發(fā)布指令到各節(jié)點(diǎn)，進(jìn)行網(wǎng)絡(luò)控制?？蓮南嚓P(guān)節(jié)點(diǎn)收集業(yè)務(wù)量數(shù)據(jù)，進(jìn)行統(tǒng)計(jì)、分類(lèi)、記錄歸擋。并形成報(bào)告向上一級(jí)中心報(bào)告和提示系統(tǒng)管理員。使用這些信息為網(wǎng)絡(luò)建設(shè)提供規(guī)劃設(shè)計(jì)依據(jù)。3、故障管理能實(shí)時(shí)監(jiān)視故障信息，并對(duì)其統(tǒng)計(jì)分析，低層網(wǎng)管設(shè)備應(yīng)把重要的故障信息報(bào)告給高層網(wǎng)管中心。可形成節(jié)點(diǎn)、中繼線(xiàn)及用戶(hù)端口的告警產(chǎn)生、告警內(nèi)容和告警清除的統(tǒng)計(jì)報(bào)告?？蓪?shí)時(shí)修改狀態(tài)圖以反映此故障：如果該故障影響了用戶(hù)服務(wù)，為重大故障，故障點(diǎn)的顏色即從綠色變?yōu)榧t色；如果該故障為輕微故障，則故障點(diǎn)的顏色從綠色變?yōu)辄S色。4、計(jì)費(fèi)管理功能計(jì)費(fèi)管理分為三級(jí)：原始計(jì)費(fèi)數(shù)據(jù)收集、計(jì)費(fèi)數(shù)據(jù)處理和帳單的生成。5、安全管理安全管理是指保證運(yùn)行中的網(wǎng)絡(luò)安全的一系列功能，應(yīng)避免非法接入網(wǎng)絡(luò)，控制接入級(jí)別和范圍。要求：具有用戶(hù)認(rèn)證能力；多級(jí)別訪(fǎng)問(wèn)權(quán)限；防止繞過(guò)鑒權(quán)；記錄所有的登錄；具有網(wǎng)絡(luò)配置、運(yùn)行、故障、計(jì)費(fèi)、訪(fǎng)問(wèn)等數(shù)據(jù)信息的保護(hù)和備份措施。7.6.2骨干網(wǎng)的管理我們建議在總部網(wǎng)絡(luò)配置一臺(tái)網(wǎng)管工作站，運(yùn)行CiscoWorks網(wǎng)管軟件，對(duì)網(wǎng)絡(luò)進(jìn)行管理，此建議書(shū)中所配置的路由器及交換機(jī)產(chǎn)品，都具有管理功能，包括SNMP、RMON、NetflowStatistics(網(wǎng)絡(luò)流量統(tǒng)計(jì))、HTTP、診斷／故障排除、Syslog、拓?fù)浒l(fā)現(xiàn)代理等等很多功能。我們可以通過(guò)實(shí)施分層式網(wǎng)絡(luò)管理，減少SNMP查詢(xún)信息在廣域網(wǎng)中的流量，節(jié)約帶寬，我們還可通過(guò)在路由器上對(duì)SNMP的過(guò)濾，控制其流向，實(shí)施總行監(jiān)測(cè)全網(wǎng)，各地市行和省行營(yíng)業(yè)廳各自管理自己領(lǐng)域的網(wǎng)管構(gòu)架。為了更好地利用這些功能，我們向XX證券推薦CiscoWorks產(chǎn)品－－Cisco基于Internet的新一代網(wǎng)絡(luò)管理產(chǎn)品。CiscoWorks作為管理產(chǎn)品的一個(gè)家族，將傳統(tǒng)的路由器及交換機(jī)管理功能中的優(yōu)點(diǎn)與基于Web的最新技術(shù)相結(jié)合。這一方面利用了已有工具和設(shè)備中內(nèi)置的管理數(shù)據(jù)源，另一方面又為規(guī)模巨大、日新月異的企業(yè)網(wǎng)提供了管理工具的新典范。7.6.1產(chǎn)品選型因所有網(wǎng)絡(luò)產(chǎn)品為CISCO公司的產(chǎn)品。主要有catalyst4006、6509、2900系列交換機(jī)。廣域網(wǎng)所有產(chǎn)品使用CISCO路由器。建議使用CISCOworksforWAN實(shí)現(xiàn)網(wǎng)絡(luò)管理。

第八章、磁帶機(jī)備份系統(tǒng)8.1、引言證券系統(tǒng)的連續(xù)穩(wěn)定運(yùn)行及數(shù)據(jù)安全至關(guān)重要。一旦行情或資金系統(tǒng)中斷運(yùn)行，將給營(yíng)業(yè)部的運(yùn)行帶來(lái)極大的混亂；而數(shù)據(jù)一旦丟失，則帶來(lái)的后果（損失）將是災(zāi)難性的。因此，如何確保數(shù)據(jù)的安全，如何保證行情或資金系統(tǒng)的連續(xù)穩(wěn)定運(yùn)行，就成為證券業(yè)電腦主管和系統(tǒng)管理人員非常關(guān)切的問(wèn)題。同時(shí)在災(zāi)難情況下（如病毒發(fā)作），如何快捷準(zhǔn)確無(wú)誤地進(jìn)行恢復(fù)，減少或避免災(zāi)難發(fā)生時(shí)的損失，亦是電腦主管和系統(tǒng)維護(hù)人員關(guān)切的問(wèn)題。雙機(jī)容錯(cuò)軟件的采用，保證了數(shù)據(jù)不因硬盤(pán)故障而丟失，系統(tǒng)不因硬盤(pán)和服務(wù)器故障而中止運(yùn)行。但病毒、人為破壞、自然災(zāi)難等仍可導(dǎo)致數(shù)據(jù)的丟失。此時(shí)推薦采用磁帶備份軟件及相應(yīng)磁帶庫(kù)來(lái)進(jìn)行自動(dòng)備份并在災(zāi)難發(fā)生時(shí)予以智能快速地對(duì)整個(gè)系統(tǒng)進(jìn)行恢復(fù)。來(lái)避免或減少數(shù)據(jù)丟失帶來(lái)的損失。8.2、需求描述數(shù)據(jù)量及每日增量要求大致如下：財(cái)務(wù)系統(tǒng)，SQL7，2.5GB，增長(zhǎng)量：50MB/天，要求每天作增量數(shù)據(jù)備份，周期約一周。交易通信系統(tǒng)，DBFFILE，80MB/天，每天備份的數(shù)據(jù)均不同?？蛻?hù)服務(wù)在線(xiàn)交易系統(tǒng)，ORACLE&SQL2000，500MB，增長(zhǎng)量：較小，要求每天作全數(shù)據(jù)備份?？蛻?hù)服務(wù)在線(xiàn)交易系統(tǒng)，語(yǔ)音LOGFILE，100MB/天，每天備份的數(shù)據(jù)均不同。OA系統(tǒng)，LOTUS，10GB，增長(zhǎng)量：20MB/天，要求每天作增量數(shù)據(jù)備份，周期約二周。還有其他不確定的數(shù)據(jù)：如服務(wù)器操作系統(tǒng)、數(shù)據(jù)挖掘系統(tǒng)等數(shù)據(jù)不確定數(shù)據(jù)。8.3、廠(chǎng)家選擇根據(jù)以上要求，選擇veritas磁帶備份軟件。使用HP4/40磁帶庫(kù)存作為備份設(shè)備。數(shù)據(jù)備份系統(tǒng)的選擇目前NT、NetWare市場(chǎng)上的數(shù)據(jù)備份軟件主要有三家公司的產(chǎn)品，分別是VERITAS、CA和Legato。其中VERITAS公司的BackupExec系列產(chǎn)品由于技術(shù)上的成熟與先進(jìn)性，占據(jù)了42%的市場(chǎng)份額，將競(jìng)爭(zhēng)對(duì)手遠(yuǎn)遠(yuǎn)甩在了身后，而NT/Win2000、Windows95/98、和NetWare都選擇了VERITAS作為操作系統(tǒng)自帶備份功能的OEM廠(chǎng)家，使得VERITAS的可操作性、兼容性以及和操作系統(tǒng)的集成性更加脫穎而出。作為企業(yè)級(jí)應(yīng)用存儲(chǔ)管理軟件的領(lǐng)先提供商，VERITAS?Sofftware(Nasdap:VRTS)公司專(zhuān)門(mén)提供集成的跨平臺(tái)存儲(chǔ)管理軟件解決方案，用來(lái)保證關(guān)鍵業(yè)務(wù)的連續(xù)可用性。VERITAS公司于1982年成立于加利福尼亞洲的MountainView,現(xiàn)擁有員工3000余名，在全球17個(gè)國(guó)家設(shè)有分公司或辦事處。VERITASSoftware公司是應(yīng)用存儲(chǔ)管理的事實(shí)標(biāo)準(zhǔn)，世界領(lǐng)先的服務(wù)器和操作系統(tǒng)中有60%使用它的軟件。為保證提供集成的一攬子軟件存儲(chǔ)管理解決方案，VERITASSoftware與業(yè)界所有大型企業(yè)都建立了戰(zhàn)略合作伙伴關(guān)系。公司的OEM客戶(hù)和戰(zhàn)略聯(lián)盟包括從設(shè)施到高端UNIX領(lǐng)域的主要廠(chǎng)商。VERITASSoftware為各種規(guī)模的企業(yè)提供關(guān)鍵業(yè)務(wù)信息的連續(xù)可用性，它的用戶(hù)既有世界知名的藍(lán)籌股公司，也有企業(yè)經(jīng)理和IT專(zhuān)業(yè)人士。VERITASSoftware是客戶(hù)可以信賴(lài)的企業(yè)級(jí)應(yīng)用存儲(chǔ)管理軟件解決方案供應(yīng)商，Veritas是以哈佛大學(xué)校訓(xùn)命名的全球第四大軟件公司。是全球最大的高可用性公司。HP公司提供磁帶庫(kù)存全系列產(chǎn)品。從低端至高端。8.4、技術(shù)選型8.4.1磁帶庫(kù)技術(shù)選型數(shù)據(jù)備份/恢復(fù)系統(tǒng)一直是證券公司維持信息系統(tǒng)正常運(yùn)行的保護(hù)措施之一。以前此證券公司已選用備份軟件和磁帶機(jī)進(jìn)行系統(tǒng)備份，但仍存在備份設(shè)備分散且速度較慢，自動(dòng)化程度不高，無(wú)法集中管理所有備份作業(yè)等諸多問(wèn)題。隨著數(shù)據(jù)量的不斷增多，這些問(wèn)題日益明顯。結(jié)合對(duì)該證券公司的現(xiàn)狀分析，實(shí)現(xiàn)高效的在線(xiàn)自動(dòng)備份，以備在意外發(fā)生之時(shí)能迅速恢復(fù)整個(gè)系統(tǒng)正常運(yùn)作，才是證券公司改造的當(dāng)務(wù)之急。不僅如此，這個(gè)備份系統(tǒng)應(yīng)該能夠應(yīng)付將來(lái)業(yè)務(wù)擴(kuò)張的需求。目前該公司的主要應(yīng)用環(huán)境中有多臺(tái)非常關(guān)鍵的文件服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器，操作系統(tǒng)全部是NT/2000SERVER，運(yùn)行SQLSERVER和ORACLE兩種數(shù)據(jù)庫(kù)，備份網(wǎng)絡(luò)使用千兆以太網(wǎng)。采用的備份策略是全備份加增量備份。在使用Veritas備份軟件的基礎(chǔ)之上，為了充分發(fā)揮千兆以太網(wǎng)的性能，提高備份速度，在不改變用戶(hù)原有配置的基礎(chǔ)上，將用戶(hù)一臺(tái)性能較好的NT服務(wù)器作為專(zhuān)用的備份服務(wù)器，并通過(guò)Ultra3高速SCSI卡與備份設(shè)備相連。備份設(shè)備則選用HP公司的4/40Ultrium磁帶庫(kù)。HPSureStore系列磁帶庫(kù)性能介紹：2/204/406/606/14010/18020/700最大驅(qū)動(dòng)器數(shù)246610(DLT&Ultrium)6(9840)20(DLT&Ultrium)12(9840)最大插槽數(shù)204060140180700可用驅(qū)動(dòng)器技術(shù)DLT8000DLT1UltriumDLT8000DLT1UltriumDLT8000DLT1UltriumDLT8000UltriumDLT80009840UltriumDLT80009840Ultrium最大容量1.6TB1.6TB4TB3.2TB3.2TB8TB4.8TB4.8TB12TB11.2TB28TB13.9TB7TB34.8TB56TB28TB138TB單驅(qū)動(dòng)器性能12MB/s6MB/s30MB/s12MB/s6MB/s30MB/s12MB/s6MB/s30MB/s12MB/s30MB/s12MB/s20MB/s30MB/s12MB/s20MB/s30MB/s平均磁帶存取時(shí)間15s24s3s7s平均磁帶交換時(shí)間46s52s8s18s接口LVD/HVD/FiberChannel(訂貨選擇)SE/HVD(訂貨選擇)SE/HVD(開(kāi)關(guān)選擇)保修1年現(xiàn)場(chǎng)1年現(xiàn)場(chǎng)針對(duì)用戶(hù)的需求，在選取存儲(chǔ)產(chǎn)品時(shí)，充分考慮了以下原則：使用專(zhuān)門(mén)的備份服務(wù)器，不對(duì)其他應(yīng)用服務(wù)器的關(guān)鍵業(yè)務(wù)形成干擾；可集中管理整個(gè)備份系統(tǒng)，并提高備份效率。如根據(jù)各業(yè)務(wù)系統(tǒng)具體情況定制備份策略，在一個(gè)點(diǎn)上監(jiān)控所有備份設(shè)備及備份介質(zhì)的狀態(tài)等等，易于管理。本著這樣的選型原則，為該證券公司配置了數(shù)據(jù)傳輸速率為15MB/sec的Ultrium磁帶驅(qū)動(dòng)器，該產(chǎn)品單盤(pán)數(shù)據(jù)容量可達(dá)100GB，每天用戶(hù)只需幾分鐘就可完成備份作業(yè)。完全能夠滿(mǎn)足其對(duì)較高備份速度的要求。另外，Ultrium磁帶驅(qū)動(dòng)器還具備非常優(yōu)秀的擴(kuò)展性，惠普4/40Ultrium磁帶庫(kù)本機(jī)容量為2TB，隨著用戶(hù)數(shù)據(jù)量的增長(zhǎng)和自動(dòng)化要求的提高，可擴(kuò)展至10/100磁帶庫(kù)，容量可達(dá)10TB。不僅如此，惠普的4/40Ultrium磁帶庫(kù)還具有驅(qū)動(dòng)器可熱插拔，機(jī)械手壽命長(zhǎng)，可集成多種主流管理程序，并通過(guò)集成的網(wǎng)絡(luò)卡實(shí)現(xiàn)遠(yuǎn)端管理等諸多優(yōu)點(diǎn)。非常適用于大型企業(yè)用戶(hù)。Ultrium磁帶驅(qū)動(dòng)器將線(xiàn)性、多通道、雙向格式與伺服技術(shù)、數(shù)據(jù)壓縮以及誤差編碼等方面的增強(qiáng)技術(shù)結(jié)合起來(lái)，實(shí)現(xiàn)了最大的容量、性能和可靠性。Ultrium格式使用單卷輪介質(zhì)，實(shí)現(xiàn)了高容量和高性能的優(yōu)化。除此之外，Ultrium磁帶驅(qū)動(dòng)器支持惠普獨(dú)有的單鍵災(zāi)難恢復(fù)功能（OBDR），該功能利用專(zhuān)利技術(shù)，把磁帶驅(qū)動(dòng)器轉(zhuǎn)到特殊的模式下，仿效加載可引導(dǎo)的CD-ROM。當(dāng)災(zāi)難發(fā)生時(shí)，用戶(hù)僅需對(duì)磁帶驅(qū)動(dòng)器單鍵操作，即可將系統(tǒng)還原為災(zāi)難發(fā)生前的狀態(tài)，為重要數(shù)據(jù)的安全提供了堅(jiān)實(shí)的基礎(chǔ)。8.4.2備份軟件技術(shù)選型Veritas公司有二大類(lèi)軟件:veritasnetbackup與backupExec。Veritas提供從單機(jī)到網(wǎng)絡(luò)的數(shù)據(jù)保護(hù)。當(dāng)今企業(yè)對(duì)信息的依賴(lài)性日益增強(qiáng)，而對(duì)信息的依賴(lài)導(dǎo)致了企業(yè)爭(zhēng)相采用大量的應(yīng)用：從數(shù)據(jù)庫(kù)、ERP到在線(xiàn)分析處理和電子商務(wù)等，而這些應(yīng)用對(duì)數(shù)據(jù)的可用性提出了非常高的要求。為了實(shí)現(xiàn)無(wú)中斷的商務(wù)環(huán)境，企業(yè)就需要一個(gè)可優(yōu)化其應(yīng)用環(huán)境的存儲(chǔ)管理解決方案。對(duì)此，Veritas軟件公司提供了一些數(shù)據(jù)可用性軟件解決方案，幫助企業(yè)用戶(hù)保護(hù)和管理他們的關(guān)鍵任務(wù)信息。Veritas開(kāi)發(fā)出的存儲(chǔ)軟件數(shù)據(jù)保護(hù)解決方案包括下面的一些產(chǎn)品：●VeritasNetBackup系列這種解決方案為企業(yè)提供從桌面電腦到數(shù)據(jù)中心的數(shù)據(jù)保護(hù)，幫助企業(yè)在不同類(lèi)的系統(tǒng)上存儲(chǔ)關(guān)鍵信息，并將這些信息傳輸?shù)绞澜绺鞯亍eritasNetBackup包括VeritasNetBackup數(shù)據(jù)中心、NetBackupBusinesServer和NetBackupProfessional等產(chǎn)品，它們可以在復(fù)雜的企業(yè)級(jí)環(huán)境中保護(hù)1TB以上的數(shù)據(jù)容量，為小型的Unix、WindowsNT和Windows2000網(wǎng)絡(luò)提供了經(jīng)濟(jì)、高效的備份和恢復(fù)解決方案，還可以為企業(yè)的桌面電腦和便攜式電腦提供自動(dòng)的數(shù)據(jù)保護(hù)等?！馰eritasExec系列該系列產(chǎn)品為WindowsNT/2000和NovellNetWare環(huán)境中的應(yīng)用提供全面的備份解決方案，適用于各種網(wǎng)絡(luò)和用戶(hù)，并具有多種操作系統(tǒng)的版本。