《eCop3000T内网安全解决方案模板13501.docx》由会员分享,可在线阅读,更多相关《eCop3000T内网安全解决方案模板13501.docx(39页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、上海宝信软件股份有限公司Shanghai Baosight Software Co.,Ltd.内网安全全解决方方案上海宝信信软件股股份有限限公司2022年11月19日目 录第1章背背景与现现状51.1项项目背景景51.2建建设内网网安全管管理系统统的必要要性6第2章建建设目标标和原则则82.1设设计目标标82.2设设计原则则82.3设设计依据据10第3章问问题分析析与解决决思路1113.1外外来用户户的接入入控制1113.2IIP地址址管理问问题1113.3用用户资产产信息管管理问题题113.4软软硬件违违规行为为监控1133.5非非法外联联问题1133.6网网络拓扑扑查看与与安全事事件定位位
2、困难1143.7服服务器与与端口监监控困难难153.8缺缺乏完整整的用户户授权认认证系统统15第4章系系统架构构与内网网安全解解决方案案174.1eeCopp系统架架构1774.2eeCopp系统功功能模块块184.3内内网安全全解决方方案199第5章系系统功能能实现2205.1IIP地址址管理子子系统2205.2客客户端管管理子系系统2005.2.1客户户端的安安装、卸卸载和升升级2005.2.2客户户端资产产信息管管理模块块215.2.3客户户端软硬硬件监控控模块2225.2.4非法法外联监监控模块块225.3网网络拓扑扑管理子子系统2235.3.1扫描描子网/路由器器层网络络拓扑2235
3、.3.2扫描描子网逻逻辑拓扑扑245.3.3扫描描子网物物理拓扑扑255.3.4交换换机端口口控制2255.3.5展现现网络设设备重要要MIBB信息2555.4服服务监视视与端口口扫描子子系统2265.5系系统管理理子系统统265.5.1身份份认证与与授权模模块2665.5.2报警警与日志志管理模模块2775.5.3系统统备份模模块288第6章 ECOOP系统统主要优优势2996.1技技术优势势296.2质质量优势势316.3资资质认证证316.4客客户名单单32第7章人人员培训训347.1试试运行期期间的常常规培训训和练习习347.2其其他培训训34第8章售售后服务务和具体体的保证证措施33
4、58.1宝宝信的系系统服务务队伍3358.2售售后服务务模式335第1章背背景与现现状1.1 项目背景景近年来,随随着计算算机及通通信技术术的迅猛猛发展,全全球信息息化步伐伐日益加加快,现现代计算算机网络络已成为为信息社社会的基基础设施施,渗透透到社会会的各个个方面。(下简称)的网络建设速度也在不断加快,正逐渐步入一个高效运转、快速服务的全新轨道。经过初步步调查,的网络现况如下:1) 整个网络络分为两两个层次次:总网和和各地市市级分网,均均为以太太网络,以以总网为中中心,通通过路由由器连接接各地分分,如如下图示示。总内网网安全的的防护是是此次方方案的重重点。(网络拓拓扑图中中的网络络设备图图标
5、需统统一)2)总大楼楼里有一一个内网网,与内内网逻辑辑隔离,内内网不对对外公开开,内人士士可以访访问内网网和内网网。大楼楼内划分分约144个网段段,VLLAN划划分比较较活跃,约约25个个。3)总大楼楼共一个个机房,使使用北电电86112型交交换机,下下部的以以太端口口直接接接有200多台服服务器,上上部的光光纤端口口接有227个楼楼层的所所有网段段,每个个楼层有有2个小小型交换换机(11楼有33台)。4)总大楼楼共200台服务务器,全全部接在在中心机机房;约约有40005500台台办公电电脑,其其中使用用Winndowws988第二版版本约330,使使用Wiindoows220000的约66
6、0;内网使使用趋势势防火墙墙。网络信息息安全是是一项系系统工程程,局域域网络极极大地提提高了工工作效率率,降低低了行政政管理成成本。但但与此同同时,黑黑客、病病毒以及及网上作作案日益益猖獗,信信息安全全问题越越来越显显得突出出。调查显示示,信息息安全问问题在很很多情况况下不是是由外来来的黑客客所引起起,而是是来自于于那些“内部人人士”或曾经经是“内部人人士”的威胁胁。因此此,信息息安全问问题首先先应该从从内部的的安全着着手。1.2 建设内网网安全管管理系统统的必要要性目前,的网络络建设有有了很大大的发展展,但还还比较脆脆弱,自自身安全全性不高高,在日日常管理理中还存存在着不不少问题题:(一)、
7、缺缺乏完整整的内部部安全防防护体系系。一个个大型计计算机网网络的整整体安全全体系包包括网络络边界安安全、网网络内部部安全和和人为因因素等多多个方面面,通过过在网络络边界部部署防火火墙、入入侵检测测等系统统可以有有效地将将内部网网络与外外部网络络进行隔隔绝。但但是对内内而言还还处于基基本不设设防的状状况,内内部安全全管理工工作缺乏乏有效的的技术手段段。(二)、网网络安全全管理的的基础工工作较薄薄弱,各各类网络络基础信信息采集集不全。大大型计算算机网络络的管理理应该以以基础信信息的管管理为核核心,信信息管理理中心如如果对所所管辖网网络的用用户和资资源状况况难以掌掌握的话话,对整整个网络络的管理理工
8、作也也就无从从谈起,在在发生违违规事件件时也很很难及时时将问题题定位到到具体的的用户。(三)、IP地址使用存在一定混乱。IP地址是网络连接协议TCP/IP的基础,IP地址就是每一台计算机在网络上的身份标识,因此在网络上要求IP地址是唯一的。如果两台计算机设置了相同的IP地址,则会发生IP地址冲突的现象,造成两台计算机均无法正常使用网络连接,从而影响正常业务工作的开展。(四)、外外围设备备的接入入控制困困难。为为了保证证内部安安全,要要求对网网内各计计算机设设备的外外围设备备使用情情况进行行控制,禁禁止或限限制使用用软驱、光光驱、UUSB盘盘、并行行、串行行口、红红外口、113944口、MMod
9、eem等外外围设备备,防止止利用移移动存储储设备进进行数据据文件的的拷贝。(五)、难难以监控控外来用用户的计计算机接接入内网网。内网网的计算算机,应应该是专专门用于于完成业业务工作作且经过过认可的的计算机机。但是是存在着着用户利利用这些些计算机机设备进进行其他他活动,或或使用未未经确认认许可的的计算机机接入内内网的可可能性,管管理人员员对这些些情况难难以进行行监视和和控制。(六)、网网络复杂杂庞大,安安全问题题难以定定位。当当出现网网络不通通情况时时,究竟竟是网络络发生故故障还是是本身主主机系统统的问题题,难以以在较快快时间内内判断并并做出响响应。对对违规操操作或感感染病毒毒的计算算机,不不能
10、快速速、准确确定位,不不能及时时阻断有有害侵袭袭并快速速查出侵侵袭的设设备和人人员。(七)、服服务器众众多,状状态监控控的工作作量大,端端口开放放信息不不明确。上述问题题的存在在,可能能会造成成机密信信息外泄泄、影响响正常业业务进行行等多种种严重的的后果。究究其根本本原因,是是缺乏信信息网络络安全管管理完整整体系和和有效管管理手段段。因此此,建立立一整套套内网安安全管理理及监控控系统,对对于提高高内网的的安全性性和稳定定可靠性性具有重重要意义义。第2章 建设目目标和原原则2.1 设计目标标内内网安全全系统设设计应从从实际需需求出发发,实现现内网信信息严格格保密的的需要,同同时系统统应是一一个具
11、有有灵活性性,开放放性,便便于扩充充升级的的综合系系统。网络安全全管理平平台方案案应具有有以下特特点:1) 采用最新新的高科科技成果果,使其其在网络络信息管管理领域域具有较较高的水水平。2) 扩充方便便,修改改灵活,操操作维护护简单,系系统重启启时间短短,能适适应业务务的快速速变化。3) 充分利用用现有各各种系统统的资源源,以节节省运行行成本。4) 规范系统统,从整整体的角角度来考考虑系统统的结构构设计,基本包包括计算算机管理理系统、相相关数据据库系统统间的直直接或间接接互连。2.2 设计原则则依照本系系统的基基本需求求及今后后的发展展规划,我我们的设设计遵循循以下原原则:2.2.1 开放性开
12、放系统统结构在在国际上上广为流流行,它它能有效效地保护护用户已已有的投投资和资资源,便便于系统统间的联联接。无无论是硬硬件或软件的的升级或移植植,开放放系统有有它不可可比拟的的优越性性,主要体体现在 : 1) 主机系统统开放性性环境:主机系系统开放放性环境境是一个个不可缺缺少的因因素,它它基于WWinddowss 20000或或Linnux等等技术的的操作系系统,便便于系统统扩充并并保持应应用软件件的可移移植性。2) 应用软件件的独立立性:建立一一套基于于通用的的Winndowws220000或Liinuxx操作系系统和开开放关系系数据库库管理系系统的应应用软件件。应用用软件应应独立于于具体的
13、的硬件平平台,具具有很强强的适用用性和先先进性,并并且可以以进一步步推广和和使用。3) 可互联的的网络系系统:网络的的互联能能力体现现在网络络的开放放性和与异种种网互联联的支持持能力二方方面。一一个开放放的网络络,通常常指符合合国际标标准或事事实工业业标准的的网络,此种网络能被经过其它授权的各类计算机访问,而不需要增加额外的软硬件。基于TCCP/IIP网络络协议在在多种主主机互联联的实用用性、用户接接口方面面的标准准化、可可用性,我我们建议议采用TTCP/IP协协议,以以保证用用户接口口的一致致性,为为应用软软件独立立于网络络系统提提供保证证。2.2.2 实用性在设计中中首先要要考虑实实用性和
14、和易操作作性,需需选择技技术成熟熟的设备备及应用用软件,同同时考虑虑到对现现有设备备和资源源的利用用。为使使系统具具备长时时期技术术领先的的竞争能能力,除除保证系系统的高高稳定性性之外,还还必须使使其具有有高效的的故障诊诊断能力力、简便便的数据据库更新新功能、系系统维护护功能、灵灵活高效效的业务务变更对对应能力力等,使使无用功功减至最最少。实用性还还体现在在信息系系统业务务界面的的友好性性上,因因为灵活活简洁的的操作会会直接提提升管理理的效率率。以上上均是系系统设计计时必须须考虑的的问题。2.2.3 先进性选择符合合国家安安全保密密规定的的、业界界最先进进的产品品,同时时提供业业界最前前沿的管
15、管理理念念,使得得用户始始终能与与世界领领先技术术和管理理理念同同步。在设计时时,应充充分考虑虑到各地地千差万万别的实实际业务务需求及及现代计计算机和和通讯技技术发展展的先进进成果。为为能保证证本系统统在一个个较长的的时期内内处于同同行业技技术领先先水平,必必须从较较高的起起点出发发,实现现一个展展现网络络新面貌貌的信息息系统。2.2.4 服务的持持续性安全产品品对网络络和主机机的带宽宽占用很很小,不不会影响响正常的的网络通通讯和主主机系统统资源的的使用。2.2.5 可扩充性性系统的设设计应能能最大限限度保护护用户现现有投资资。主机机、网络络及应用用系统除除能满足足目前及及未来若若干年业业务发
16、展展规模之之外,还还应能随随业务的的发展而而进一步步扩充,这这要求目目标系统统具有很很强的扩扩充能力力,相应应的主机机系统、应应用软件件、网络络都能够够平滑升升级和扩扩充。即即:要求求系统随随着企业业业务的的发展在在功能上上可扩充充,且不不影响现现有功能能为前提提;要求求系统能能随企业业服务水水平和技技术要求求的整体体提高适适应国内内安全系系统联网网的需求求。在用户网网络发生生改变的的时候,安安全系统统的改变变最小,只只是简单单通过添添加授权权KEYY和监控点点,就可可以完成成整个安安全系统统的改造造。2.2.6 安全性与与可靠性性网网络安全全平台对对维持网网络的顺顺利运行行有非常常重要的的作
17、用,其其安全性性与可靠靠性是非非常重要要的。这这个特性性体现在在主机、网网络硬件件设备、数数据库及及应用系系统等各各个方面面,并希希望实现现集中式式的管理理与控制制。因而而要求整整个系统统有完整整的故障障对策,以以保证主主机系统统、网络络系统的的工作的的连续性性,以及及数据的的完整性性和安全全性。对对策具体体可分为为:1) 网络传输输的完整整性与安安全性:鉴于系系统具有有多个后后台系统统的集成成联网的的特点,整整体网络络系统应应从网络络软、硬硬件技术术及网络络运行组组织和管管理上采采取必要要的措施施。2) 数据的完完整性与与安全性性:应保保证机器器中的数数据是可可靠的。当当因系统统故障或或事故
18、造造成中断断时,要要求系统统对数据据的完整整性具有有检测、保保护和恢恢复的功功能。2.3 设计依据据系统的开开发和建建设在严严格遵循循国家和和部、省省有关信信息系统统建设的的相关规规范标准准。采用用和参考考的部颁颁发标准准有:1) 公安部公公安计算算机信息息系统“九九五”规规划2) 公安部中间件传输技术标准规范3) 公共数数据交换换系统标标准4) 请求服服务系统统标准5) 信息授授权策略略标准6) 数字证证书格式式标准第3章 问题分分析与解解决思路路3.1 外来用户户的接入入控制接入内网网的计算算机应该该是专用用于办公公的计算算机,其其他外来来用户随随意接入入内网网网络,可可能会造造成重要要机
19、密数数据泄露露等危险险。从传传统的网网络管理理手段来来说,可可以通过过在交换换机上进进行MAAC地址址与端口口的绑定定来达到到防止外外来用户户随意接接入的目目的。但但是这种种方法会会给管理理人员带带来比较较大的工工作量,特特别是大大型网络络,且这这种方式式的灵活活性也不不够,对对于任何何一台新新接入的的设备都都必须要要在相应应的交换换机上进进行配置置,管理理非常不不便。内内网安全全系统应应该能够够及时发发现外来来用户的的接入,通通知管理理人员,并并提供将将其从网网络上断断开的手手段。3.2 IP地址址管理问问题采用计算算机管理理IP地地址和用用户信息息,若管管理项目目不统一一,不便便于统一一管
20、理范范围的扩扩大化和和信息共共享。经经调查,内部网络存在IP地址、计算机名乱用、冒用的危险。一些用户自行购置的计算机和网络设备,不登记即自行安装上网,信息中心缺乏有效的监控手段,使得上网设备的IP地址冲突现象时有发生,合法设备无法正常工作,影响业务工作的开展。对违反规定或禁止上网的计算机及网络设备,希望能从技术手段上限制其上网。在上面的的这些问问题中,核核心问题题是IPP地址的的改动和和盗用,主主要表现现为: (1)IIP地址址非正常常改动。恶意的改动可能基于不可告人的目的,如:逃避服务器的记录、让服务器或某些重要任务的机器无法上网;而非恶意的改动也会造成同样的后果。(2)IIP地址址盗用。将
21、非法节点接入网络,盗窃网上的资源,甚至对主机发动攻击。本方案将将对计算算机及网网络设备备IP地址址进行有有效的管管理,可可以对计计算机和和网络设设备的IIP地址址、MAAC地址址以及主主机名进进行绑定定,通过过被动侦侦听、主主动扫查查相结合合的方式式发现非非法节点点,并且且可以阻阻断非法法节点的的网络通通讯,对对非法节节点信息息进行报报警和日日志记录录等。3.3 用户资产产信息管管理问题题目前内网网中,管管理人员员对所管管辖网络络的资源源占用和和用户情情况难以以准确掌掌握,实实际接入入的计算算机数量量难以进进行精确确的统计计,对面面临的危危害难以以做出动动态的评评估和有有效的防防范。作为用户户
22、与设备备基础管管理功能能,希望望建立起起台帐信信息,对对所有接接入计算算机和网网络设备备的用户户信息进进行登记记注册,这这些登记记的信息息主要包包括:用用户姓名名、单位位名称、工工作岗位位、用户户工号、联联系电话话、使用用地点、主主要用途途、资产产编号、设设备品牌牌、设备备类型、设设备序列列号等信信息,在在发生安安全事件件时能够够以最快快速度定定位到具具体的用用户。对对于未进进行登记记注册的的微机,自自动将其其隔离在在系统之之外。同同时,应应该能够够做到动动态地搜搜索各专专用微机机的硬件件信息和和安装软软件信息息,并能能够对这这些信息息进行统统计和分分析,生生成相应应的基础础信息报报告。需需要
23、搜索索的硬件件信息主主要包括括:计算算机类型型、CPPU型号号、CPPU主频频、内存存大小、磁磁盘序列列号、磁磁盘容量量、磁盘盘剩余空空间、网网卡型号号、网卡卡物理地地址、鼠鼠标型号号、键盘盘型号、显显卡型号号、声卡卡型号以以及各外外围设备备的情况况;同时时应该对对各计算算机所安安装的软软件自动动进行搜搜索,并并与预先先指定的的软件进进行比较较,警示示那些未未按要求求安装软软件的用用户,并及时时报警,利用短消息手段,通知信息安全管理部门和相关的系统管理员。另外,系系统还应应该与安安全策略略紧密结结合,自自动收集集与安全全相关的的一些系系统信息息,包括括:操作作系统版版本信息息、操作作系统补补丁
24、信息息等,同同时针对对这些收收集的信信息进行行统计和和分析,给给出安全全状况报报告。例例如,要要求全网网安装最最新的操操作系统统安全补补丁,如如有计算算机未按按照要求求安装安安全补丁丁,可能能会影响响到整个个系统的的安全状状况。在在对这些些系统安安全信息息进行收收集后,可可迅速统统计分析析出那些些不符合合安全管管理策略略的微机机,对其其进行更更新,从从而保证证各微机机的安全全性。目前,大大多的IIP地址址是按网网段分配配的,信信息中心心对所管管辖网络络的IPP地址等等资源占占用和用用户情况况难以掌掌握,网网上的计计算机设设备、网网络设备备的数量量难以准准确统计计,具体体设备的的基础软软硬件信信
25、息也难难于收集集和进行行有效的的管理,一一些实时时运行的的网络设设备和重重要服务务器的运运行状况况不能集集中监控控,日常常管理难难度和工工作量都都很大。 本方案实实施后,客客户端管管理功能能将自动动扫查计计算机的的硬件信信息和软软件信息息,登记记管理计计算机的的基本信信息,并并支持统统计查询询。硬件件信息包包括计算算机类型型、CPPU型号号、主频频、内存存大小、磁磁盘容量量、剩余余空间、网网卡型号号等;对对Winn32系系统,可可收集的的软件信信息包括括计算机机安装的的操作系系统,计计算机安安装的软软件清单单等;基基本信息息包括IIP地址址、MAAC地址址、计算算机所在在位置、使使用人、所所属
26、单位位等。3.4 软硬件违违规行为为监控计算机的的外围设设备(包包括软驱驱、光驱驱、USSB盘、并并行、串串行口、红红外口、113944端口、MModeem等)为为各种信信息在不不同的计计算机设设备之间间交流提提供了一一个方便便的途径径,通过过它们可可以将各各种信息息(包括括病毒、木木马等)复复制到不不同的计计算机中中。但是是内网中中的主机机上保存存着一些些涉密的的内部信信息,这这些信息息不能够够随意地地传播,因因此有必必要对外外围设备备的使用用进行控控制,不不允许随随意地使使用外围围设备拷拷贝机密密数据。安安全管理理及监控控系统应应该实现现对各客客户机外外围设备备的集中中监视和和控制,通通过
27、在管管理端进进行设置置,可禁禁止和启启用各客客户机的的外围设设备,有有效地保保护计算算机上的的信息。另外,内内部存在在违规使使用软件件的行为为。有些些人员在在计算机机上安装装使用盗盗版软件件,不但但引入了了潜在的的安全漏漏洞,降降低了计计算机系系统的安安全系数数,还有有可能惹惹来版权权诉讼的的麻烦;而一些些内部人人员出于于好奇心心或者恶恶意破坏坏的目的的,在计计算机上上安装使使用一些些黑客软软件,从从内部发发起攻击击;还有有一些内内部人员员安全意意识淡薄薄,不安安装指定定的防毒毒软件等等等。这这些行为为都对内内网构成成了重大大的安全全威胁。要解决这这个问题题,可以以通过安安装在各各计算机机上的
28、代代理终端端自动搜搜集各计计算机所所有的软软件信息息,并汇汇总到控控制器,形形成内网网计算机机的软件件资产报报表,管管理员可可以全面面了解各各计算机机所安装装软件的的版本信信息,及及时发现现安全隐隐患并升升级系统统。同时时,管理理员可以以在管理理控制器器上配置置软件预预案,指指定内网网计算机机必须运运行的软软件或禁禁止运行行的软件件,由代代理终端端对计算算机上的的软件运运行情况况进行比比对检查查,对未未运行必必备软件件的情况况发出报报警,终终止已运运行的禁禁用软件件的进程程。3.5 非法外联联问题作为内网网中的计计算机,应应该是专专机专用用,因此此接入系系统的计计算机应应该禁止止与内网网或互联
29、联网等其其他外部部网络发发生直接接或间接接的连接接。但是是可能有有个别的的工作人人员,将将专用计计算机挪挪作他用用,或是是为了上上网浏览览信息、玩玩游戏、发发私人邮邮件等目目的与IInteerneet连接接,从而而造成外外网与政政务内网网或互联联网等其其他外部部网络发发生直接接或间接接的连接接,可能能造成以以下后果果:(一)破破坏整体体安全防防护体系系。网络的安安全是靠靠整体的的安全防防护体系系来保证证的,在在这个防防护体系系里除了了必要的的安全防防护措施施以外,还还需要建建立一系系列的管管理规章章制度,通通过这些些制度限限定人们们的网络络行为。非非法外联联行为看看似小事事,但却却是对整整体安
30、全全防护体体系的严严重破坏坏。它在在内网与与其他外外部网络络之间,开开辟了一一个不经经过安全全防护机机制检查查的“后门”,这个个“后门”使整个个网络的的安全性性大大降降低。(二)引引入恶意意的入侵侵。非法外联联具有一一定的隐隐蔽性,管管理人员员不易发发现,没没有一定定的手段段,很难难对此进进行必要要的防护护,容易易遭受恶恶意的入入侵。安安装着桌桌面操作作系统的的客户机机的安全全性明显显低于网网络操作作系统的的安全性性,存在在着许多多安全方方面的隐隐患,在在缺少安安全防护护措施(如如防火墙墙等)的的条件下下,很容容易被攻攻破。来来自互联联网的恶恶意入侵侵者可以以轻而易易举地入入侵和控控制这台台计
31、算机机,使入入侵者获获得网络络内的合合法身份份,它可可以访问问网络中中的信息息资源,可可以对重重要服务务器进行行漏洞扫扫描、入入侵尝试试。如果果这些服服务器没没有采取取入侵检检测等进进一步的的防护措措施,恶恶意入侵侵者就可可以比较较容易地地获取这这些服务务器的访访问、控控制权限限,随意意地窃取取、篡改改和删除除重要敏敏感的数数据,安安装木马马程序、病病毒程序序,中断断其正常常的服务务,使单单位蒙受受巨大损损失。(三)、引引起病毒毒的感染染和传播播。目前计算算机病毒毒越来越越泛滥,危危害越来来越大,一一个普通通的病毒毒可能会会造成整整个计算算机网络络的瘫痪痪,而各各种计算算机病毒毒都汇集集在互联
32、联网上,不不采取任任何防护护措施而而随意地地访问互互联网,很很容易造造成这些些病毒传传播到系系统内部部,影响响正常业业务工作作的开展展。非法法外联行行为存在在着将外外部网络络病毒入入侵的隐隐患。(四)、为为不良信信息(例例如反动动、色情情信息)的的访问和和传播提提供了途途径。从上边的的分析可可以看出出,非法法外联具具有很大大的危害害性,因因此作为为安全管管理及监监控系统统,应该该对非法法外联的的行为进进行监视视,一旦旦发现这这种现象象及时通通知各级级管理人人员,在在必要的的情况下下可自行行将这些些连接断断开,保保护内部部网络的的整体安安全。3.6 网络拓扑扑查看与与安全事事件定位位困难在安全事
33、事件发生生时,往往往管理理人员最最初仅能能获取到到事故计计算机的的IP地址址和MAAC地址址等基本本信息,无无法迅速速定位到到其实际际物理位位置和用用户,从从而延误误对重要要安全事事件的处处理。内内网安全全系统应应能提供供根据计计算机的的基本信信息,迅迅速定位位物理位位置和用用户的手手段。当当网络不不通时,可可以查看看网络拓拓扑中的的交换机机该端口口的状态态,端口口工作正正常,则则说明是是网络完完好,是是主机自自身系统统或网卡卡驱动问问题;若若端口工工作异常常或不工工作,则则说明网网络存在在问题,可可以继续续排查。目前,绝绝大多数数的网络络设备都都能够支支持简单单网络管管理协议议(SNNMP)
34、,所所以可以以通过SSNMPP协议,达达到自动动网络拓拓扑功能能,实现现网络拓拓扑结构构的自动动发现,从从而实现现对实际际物理位位置的迅迅速定位位,同时时辅以设设备信息息管理功功能,实实现具体体用户的的定位。自自动网络络拓扑是是系统依依据网络络的路由由信息,自自动查找找整个网网络的路路由设备备、网络络交换机机以及主主机,根根据这些些网络设设备信息息生成并并以直观观的图形形方式显显示网络络的拓扑扑结构。当当网络管管理员已已经知道道了某台台或多台台设备的的IP地址址,可以以用单个个网络拓拓扑或多多个网络络拓扑功功能,直直接拓扑扑发现设设备。网网络拓扑扑结构的的显示方方式可以以按照用用户的爱爱好自行
35、行拖拽编编排,从从而以最最方便直直观的方方式展示示网络结结构。3.7 服务器与与端口监监控困难难随着计算算机越来来越渗入入工作,计计算机使使用领域域日益拓拓展,计计算机相相应提供供服务逐逐渐增多多,服务务器也逐逐渐增多多,服务务器群越越来越庞庞大。这这些计算算机、服服务器上上的服务务对单位位公务员员的工作作日益重重要,与与此同时时,对这这些服务务运行状状况的监监控变得得日益困困难。靠工作人人员每周周、每日日的巡检检已经越越来越不不能满足足工作的的需要。因因为现在在单位机机构日益益精练,公公务员工工作效率率大大提提高,一一专多能能是主要要的特点点,计算算机网络络管理人人员身兼兼数职,工工作负荷荷
36、很重,繁繁琐地巡巡检会消消耗大量量的工作作人员的的精力和和时间。同同时,因因巡检方方法本身身的局限限性,巡巡检的效效率和效效果总是是不能令令人满意意,但人人工巡检检的频度度和时间间的消耗耗总是相相矛盾的的。3.8 缺乏完整整的用户户授权认认证系统统身份认证证服务是是帮助系系统识别别用户的的身份,决决定并控控制他们们在网络络上能干干什么工工作,即即所谓的的授权管管理。本内网安安全管理理系统在在信息系系统中实实现对用用户的身身份鉴别别、实现现信息的的保密性性、完整整性、真真实性和和抗抵赖赖性等保保护,采采用当今今流行的的高强度度安全策策略我国自自主知识识产权的的PKII技术为为基础的的数字证证书技
37、术术。应用用系统可可以基于于数字证证书以及及相关的的经国家家有关部部门认可可的密码码算法认认证登录录系统的的用户的的真实身身份,进进行数字字签名和和验证签签名,采采用数字字签名技技术解决决抗抵赖赖性和数数据完整整性的的的问题,利利用安全全系统提提供的加加密算法法,解决决信息的的保密性性问题。第4章 系统架架构与内内网安全全解决方方案4.1 eCopp系统架架构eCopp的体系系结构如如上图所所示,在在内部网网络部署署一台eeCopp中央控控制器,它它基于浏浏览器/客户端端模式设设计,采采用软硬硬件一体体化的功功能服务务器设计计方式。同同时,在在内部网网络中各各被管理理计算机机上安装装相应的的客
38、户端端程序,对对各客户户机进行行管理、监监视和控控制。每每一台接接入内部部网络中中的计算算机设备备必须下下载安装装客户端端程序,或或者在eeCopp中央控控制器上上保存其其IP及及MACC地址配配置信息息,否则则将会被被管理系系统认为为是非法法接入内内部网络络,客户户端程序序的下载载安装由由各客户户机通过过浏览器器连接到到控制器器后自动动完成。整整个系统统支持在在线升级级,控制制器系统统进行升升级后,客客户端程程序可以以按照控控制器端端的配置置在启动动时自动动升级。eCopp以Jaava、WWeb技技术为架架构,采采用面向向对象和和Messsagge QQueuue技术术构建信信息交换换平台,
39、使使系统的的各项功功能构建建于该平平台之上上,使整整个系统统具备灵灵活的扩扩展性。eCopp使用jjsp/javva bbeann技术向向用户提提供Weeb方式式的操作作界面,系系统内置置预写日日志式数数据库, 大大提提高了系系统在突突然宕机机事件发发生时的的可靠性性。4.2 eCopp系统功功能模块块上图中各各子系统统的功能能如下:一. IP地址址管理子子系统完完成对网网内计算算机IPP地址信信息的实实时扫描描和比对对,发现现非法接接入的计计算机,并并采取手手段将其其隔离在在网络之之外;二. 客户端管管理子系系统完成成对网内各专专用微机机的信息息收集、管管理、监监视和控控制功能能,该子子系统
40、划划分为资资产信息息管理、客客户端监监控、非非法外联联监控三三个功能能模块。其其中,资资产信息息管理模模块负责责登记专专用计算算机用户户信息,自自动收集集各计算算机设备备的硬件件信息、软软件信息息和系统统信息,将将这些信信息保存存到数据据库中,提提供友好好的查询询、统计计和分析析界面;客户端端监控模模块完成成对客户户端软件件使用的的控制和和远程截截屏功能能;非法法外联监监控模块块完成对对客户端端非法连连接其他他外部网网络的行行为进行行监控、报报警和记记录,并并提供查查询功能能。三. 网络拓扑扑管理子子系统完完成对全全网的网网络拓扑扑结构、网网络设备备状态、网网络设备备性能等等信息的的扫描收收集
41、,并并保存到到数据库库中,同同时提供供友好的的查询界界面和归归档功能能;还提提供远程程查看、修修改网络络设备参参数的功功能;四. 服务监视视与端口口扫描子子系统完完成对内内网内重重要控制制器服务务运行状状况的监监视和对对指定网网段或计计算机端端口开放放状况的的扫描,发发现异常常及时报报警;五. 系统管理理子系统统完成对对安全管管理及监监控系统统自身的的管理和和配置功功能,该该子系统统划分为为身份认认证与授授权模、报报警与日日志管理理和系统统备份三三个模块块。身份份认证与与授权模模块完成成对登录录用户的的身份确确认,对对不同用用户授予予相应的的系统操操作权限限,管理理和控制制用户在在系统中中的行
42、为为;报警警与日志志管理模模块完成成对系统统报警条条件、报报警方式式的配置置,在报报警条件件触发时时按照指指定的方方式进行行报警,并并记录报报警信息息,提供供方便的的查询和和归档功功能;对对系统运运行日志志和用户户操作日日志的记记录、查查询和归归档功能能;系统统备份模模块完成成对系统统自身的的配置信信心和用用户数据据的备份份和恢复复功能。4.3 内网安全全解决方方案通过对内内网现状状以及需需求进行行认真的的分析和和研究后后,提出出如下解解决方案案:1)各地地市区分分可根根据需要要选配或或不配eecopp的IPP地址管管理功能能,即选选配或不不配IPPA硬件件。在网网络畅通通的情况况下,安安装客
43、户户端,实实现客户户端管理理和网络络拓扑管管理的功功能。2)对于于总大楼楼的内网网安全,提提出:中中心机房房配备eecopp30000CMM3型中中央控制制器,加加IPCC2,根根据VLLAN的的确定个个数决定定IPAA3的个个数。功功能模块块选配IIP地址址管理,客客户端中中的资产产信息、软软硬件禁禁用、远远程桌面面监控,网网络拓扑扑发现,服服务监视视可以试试用。大大楼内部部署客户户端个数数40005000。第5章系系统功能能实现5.1 IP地址址管理子子系统 实时扫描描获取与与分析在在线计算算机的IIP、MMAC地地址信息息 IP地址址、MAAC地址址的合法法性判定定, 支支持IPP-MA
44、AC绑定定、特权权MACC地址和和DHCCP MMAC地地址三种种合法性性管理方方式 警告和阻阻断不满满足合法法性判定定的计算算机 统计分析析非法IIP地址址使用的的历史情情况 支持主动动探测和和被动侦侦听等多多种扫描描方式,采采用特定定算法对对扫描过过程进行行控制,避避免对网网络流量量造成明明显负荷荷 灵活的部部署方式式,可以以适应不不同网络络环境的的需要,通通过在各各网段部部署的IIP地址址管理代代理装置置,使IIP管理理目标和和部署成成本达到到最优比比例 灵活的配配置,可可以以图图形化方方式配置置每一台台代理装装置的监监控参数数,并查查询各个个网络接接口的扫扫描结果果 对于监视视到的违违
45、规信息息,调用用报警模模块向管管理员进进行报警警5.2 客户端管管理子系系统5.2.1 客户端的的安装、卸卸载和升升级客户端程程序的安安装可以以通过以以下几种种方式实实现:l 通过客户户机浏览览器连接接控制器器下载安安装;l 在采用域域管理策策略的网网络中,通通过域登登录脚本本安装;l 采用软件件分发服服务进行行分发安安装。l 使用安装装光盘安安装系统可自自动发现现接入内内网但未未安装客客户端程程序的计计算机,并并提示管管理人员员,由管管理人员员对其进进行警告告或者阻阻断其接接入网络络。客户端程程序使用用进程保保护和文文件保护护技术,使使用户无无法在其其计算机机上停止止或者卸卸载客户户端程序序
46、,只能能通过专专用的卸卸载工具具来完成成客户端端程序的的卸载。客户端程程序的升升级完全全自动完完成,各各微机上上安装的的客户端端程序将将在每次次微机启启动时自自动检测测其版本本是否与与控制器器端版本本一致,发发现控制制器端版版本更新新时,自自动连接接控制器器下载最最新的客客户端程程序,并并自动完完成客户户端程序序的更新新。5.2.2 客户端资资产信息息管理模模块 用户信息息登记注注册管理理接入到内内网中的的计算机机,要求求必须安安装客户户端程序序,安装装完成后后在客户户机填写写用户登登记注册册信息客户机用用户填写写完这些些信息之之后,将将其提交交到控制制器端,等等待管理理人员进进行审批批确认。
47、客客户机一一旦提交交这些信信息后,系系统将锁锁定这些些信息,不不允许再再次填写写,仅当当管理人人员通过过在控制制器端进进行解锁锁后,才才能再次次填写并并提交。控制器端端接收从从客户机机提交的的这些信信息,将将其保存存在数据据库中,等等待管理理人员进进行审批批确认。在在管理人人员对信信息确认认之后,该该客户机机即被认认为是合合法接入入内网的计计算机。在用户的的登记注注册过程程完成之之后,系系统将自自动把该该计算机机设备分分类到用用户填写写的单位位下,系系统采用用组织机机构层次次结构图图的方式式作为向向导,使使管理人人员能够够方便快快速地查查找到某某台计算算机。 计算机硬硬件信息息管理客户端程程序自动动完成对对计算机机硬件设设备信息息的收集集,并将将这些信信息汇报报到控制制器端,控控制器端端将它们们保存在在数据库库中。同同时客户户端程序序会自动动将硬件件设备信信息与该该计算机机的历史史硬件信信息情况况进行比比对,发发现信息息变更时时,向控控制器端端发送变变更通知知消息。客户端程程序收集集的硬件件信息包包括:CCPU型型号、CCPU主主频、内内存大小小、硬盘盘序列号号、磁盘盘容量、磁磁盘剩余余空间、网网卡型号号、网卡卡物理地地址、显显卡型号号、声卡卡型号、键键盘型号号、鼠标标型号。