1、XXXX 商场信息安全建设项目方案书北京中辰华创科技有限公司2014.6目 录第一:项目建设背景 3第二:建设标准(等级保护二级) .4第三:XXXX 商场安全防护需求 .73.1 网络 VLAN 划分 .73.2 重要边界及出口安全防护 73.3 上网行为审计管理 83.4 终端管理及移动存储介质管理 83.5 IT 运维集中管理 .8第四:XXXX 商场安全防护方案设计 .104.1 互联网出口安全网关 114.2 互联网上网行为管理系统 134.3 终端安全及移动存储介质管理 174.3.1 全网视图管理 184.3.2 IT 资产管理 194.3.3 用户行为管理 214.3.4 移动
2、介质管理 234.3.5 桌面管理 244.4 IT 运维网络管理 .264.4.1 网络拓扑管理 264.4.2 设备性能管理 284.4.3 网络安全设备管理 .304.4.4 真实设备面板 304.4.5 设备配置备份 314.4.6 IP-MAC 地址管理 .33第五:设备应用清单 35第一:项目建设背景XXXX 商场是一家大型集团化公司,目前在 yy 进行规模化运营,是集品质购物、高端餐饮、休闲娱乐、体验观光于一体的一站式购物广场,将成为市民休闲购物娱乐的理想去处。随着业务的拓展和规模的扩大,商场信息化程度不断深入,随着而来的是需要进行严格安全防护和管理,当前 XXXX 商场面临着新
3、建和深化网络安全防护的任务,主要面临问题如下:1、互联网出口安全威胁:商场内部员工办公安全保密管理以及外部顾客快捷接入安全管理,需要对统一的互联网出口进行安全访问控制以及外部入侵进行防护;2、内部数据传输威胁:商场内部员工办公文件敏感信息安全防护,防止通过互联网通道如即时通讯、邮件等方式将内部商业信息传送;3、移动存储介质威胁:商场内部员工移动存储介质如 U 盘、移动硬盘等使用缺乏管理,导致病毒交叉感染,数据传输缺乏监控;4、病毒流窜安全威胁:商场病毒统一安全防护,在对终端计算机进行病毒防护、补丁修复,同时在网关出口进行统一的病毒过滤;5、外来终端 PC 带来威胁:内部办公网经常有外来计算机随
4、意接入内部网络,存在数据非法访问(非授权访问)和外来攻击威胁(如病毒、木马等) ;6、IT 运维管理威胁:商场有自有中心机房,核心交换机和各种应用服务器,同时,随着安全设备的部署,如何保证这些设备实时正常运行,需要建立集中的 IT 运维管理系统,对网络设备、服务器、安全设备进行统一的管理和运维监控。第二:建设标准(等级保护二级)本次安全系统建设,在满足商场办公环境的业务和安全基础上,按照公安机关等级保护要求进行网络性能、安全防护实施。计算机等级保护是针对基础网络、信息系统的安全运行和使用提出保护要求,在 XXXX 商场网络中,通过界定的使用人群、涵盖的应用系统,并保障商场信息管理外的正常办公所
5、需,在此基础上购置相关资源,新建安全网络,新建或者升级主要应用系统,使其在物理环境、网络、系统、应用、数据、终端和系统集成六方面均达到对应等级要求;完善该网络相关安全保障体系和日常管理办法。通过等级保护要求的建设实施,进一步提高商场基础网络和信息系统等级保护符合性要求,将整个网络系统的可用状况和安全状况提升到一个较高的水平,并尽可能地消除或降低系统的安全风险。等级保护二级技术建设要求安全类别 控制项 主要安全措施 二级保护措施机房安排专人负责,来访人员须审批和陪同物理访问控制重要区域配置门禁系统 暴露在公共场所的网络设备须具备安全保护措施防盗窃和防破坏主机房安装监控报警系统 物理安全防雷击 机
6、房计算机系统接地符合 GB 500571994建筑物防雷设计规范中的计算机机房防雷要求机房电源、网络信号线、重要设备安装有资质的防雷装置机房设置灭火设备和火灾自动报警系统防火机房配置自动灭火装置 机房及关键设备应配置 UPS 备用电力供应电力供应重要科室应采用双回路电源供电机房设置温、湿度自动调节设施 机房设置防水检测和报警设施 环境监控对机房关键设备和磁介质实施电磁屏蔽网络应按职能和重要程度不同划分网段结构安全重要网段之间应采用防火墙进行隔离访问控制 网络边界部署防火墙或网闸 网络安全安全审计网络日志审计、网络运维管理安全审计采用准入控制系统,实现准入控制、非法外联检查边界完整性检查 采用准
7、入控制系统,实现准入控制及非法外联可阻断入侵防范 入侵检测系统/入侵防御系统 恶意代码防范 防病毒网关 入侵防范 采用服务器安全加固 安全审计 采用终端管理系统实现安全审计 主机安全恶意代码防范 防病毒软件 身份鉴别 采用电子认证措施应用安全安全审计 数据库安全审计系统备份和恢复 本地数据备份与恢复 硬件冗余关键网络设备、线路和服务器硬件冗余数据安全与备份恢复异地备份 异地数据备份第三:XXXX 商场安全防护需求3.1 网络 VLAN 划分通过使用 VLAN,可以把物理意义上的一个网络划分成很多个逻辑意义上的子网,使网络的边界更加清晰。VLAN 的出现使交换机承担网络的分段工作,而不再使用路由
8、器来完成。各 VLAN 间是逻辑隔离的,相同 VLAN 内的主机间数据传输不会被其他 VLAN 上的主机得到,因此减少了整个大网络内部各种相互攻击行为发生的可能性,增强了网络的安全性。另外各 VLAN 分属不同的广播域,限制了各种广播报文的流转,能够减少网络流量。3.2 重要边界及出口安全防护网络出口边界保护的有效控制措施包括防火墙、鉴别/访问控制等。有效的监督措施包括基于网络的入侵防护系统(IPS) 、漏洞扫描、网关防病毒等。这些机制可以单独使用或结合使用,可以对边界内的各类系统提供保护。防火墙是一种部署在不同安全域之间的高级访问控制设备,能根据制定好的安全策略控制不同安全域之间的访问行为。
9、网络中使用防火墙将用户域和服务器域隔离开来,并制定相应的访问规则。服务器域分为安全管理域和应用服务域。安全管理域包括一些应用无关的服务器,如 IDS、防火墙控制台等;应用服务域包括各应用服务器、数据库服务器等。3.3 上网行为审计管理在享受互联网带来的巨大便利的时候,由其带来的负面影响和安全威胁也日趋严重。工作效率降低、带宽滥用、下载传播非法、黄色信息、机密信息泄露等问题日益突出,并由此产生法律、名誉、经济等各方面问题。特别是互联网安全保护技术措施规定 (公安部第 82 号令)明确要求提供互联网接入服务的单位必须保留用户上网日志 60 天以上。这对于互联网管理,上网行为规范,提高网络利用率等方
10、面提出了迫切的需要。3.4 终端管理及移动存储介质管理在日常的网络维护中,来自终端的安全威胁是最大的。终端任何不当甚至恶意的操作都可能对网络安全造成影响,因此必须对于终端的行为做出一定的控制。控制采用 C/S 方式进行,在服务器端发布安全策略,终端安装安全代理软件限制用户行为。可行的策略包括禁止网络文件共享,关闭主机的 U 口、COM 口、串口,禁止终端安装软件,监控终端的拨号外联行为,监控终端的启动服务、运行进程等。终端的安全代理软件隐藏运行,当发现有不符合安全策略的行为发生时,按照规则做出反应。重要服务器和用户终端的并口、串口、USB 接口等数据接口以及软驱光驱等设备应该采取安全控制措施,
11、防止被非授权使用。3.5 网络出口访问速度商场出口带宽目前仅仅有 2 个 10M 接入互联网,商场日常承载人数已到1000 人 /日,带宽已捉襟见肘,已无法满足顾客的正常应用体验,尤其是HTTP 下载体验、WEB 视频观看体验、P2P 下载体验,仅仅依靠出口扩容也不能完全解决用户体验问题3.6 IT 运维集中管理机房中心拥有各种不同厂商、不同类型的设备,支撑着用户日常工作。面对如此庞杂的异构网络环境,维护网络设备、服务器数量众多、品牌众多,维护工作量太大;无法及时发现网络故障和系统故障原因;管理员无法整体掌控网络和系统运行情况;管理员无法掌控未来网络及系统运行的趋势;无法对维护人员的工作内容进
12、行有效记录和考核;没有形成符合国际规范的运维管理制度体系等等。而这些问题将随着各类信息系统的建设进一步扩大并会产生新的维护管理问题,严重威胁着系统网络的稳健运行。如何实现对全网进行全面、统一、准确、及时的管理,保障系统网络以及依系统网络运行的各应用系统的稳定、安全运行成为用户需首要解决的问题。第四:XXXX 商场安全防护方案设计针对 XXXX 商场现有网络结构现状,以及未来业务扩展需求,建立基本的商场网络安全防护和运维体系。基础网络信息安全防护体系包括:互联网出口安全网关(防火墙、IPS 入侵防护、AV 防病毒网关) 、互联网上网行为管理、内网终端安全及移动存储介质管理、IT 运维网络管理系统
13、。通过上述四个系统的建设,能够基本满足 XXXX 商场现有安全管理需求。XXXX 商场网络安全防护体系示意图4.1 互联网出口安全网关1800S-H-V2 多核安全网关是推出的的新一代多功能安全网关产品,它主要是面中小企业、网吧、酒店、政府机关等网络使用环境,1800S-H-V2 安全网关采用了领先的 64 位多核 MIPS 体系架构和高速交换总线技术,这让它不但在防火墙性能上实现了全面的跨越,而且在防病毒、IPS、VPN 、流量整形及应用层行为管理等方面的处理能力也得到了前所未有的提升,1800S-H-V2 安全网关支持的如防 ARP 欺骗、上网行为管理、带宽管理、多 PPPOE 链路捆绑和
14、用户认证等诸多丰富的功能特性,让它成为了中小型网络安全部署的首选产品。1800S-H-V2 安全网关提供 5 个 GE 接口,可充分满足中小型网络对于安全设备的接口使用需求。1. 1800S-H-V2 安全网关拥有先进的安全防护功能,除具有高级状态检测包过滤技术外,还支持对应用层报文进行检测和过滤,可根据包括安全域、协议、端口、应用、用户以及时段等在内的诸多条件定制访问控制策略,1800S-H-V2 的 ALG 功能还支持对 FTP、HTTP、MS-RPC、H.323 、RTSP 、SIP 、RSA、SQLNetV2 等应用层协议进行状态监控。2. 1800S-H-V2 安全网关采用基于硬件加
15、速方案的高效专业防病毒引擎,结合会话流智能病毒扫描技术,能够对 HTTP、FTP、POP3、SMTP、IMAP等应用协议进行在线实时病毒查杀,多核安全网关采用了创新性的病毒检测技术,能将接收数据和病毒扫描同步进行,并对扫描的文件大小及数量没有限制,该技术在提升防病毒吞吐量的同时也降低了延迟。3. 1800S-H-V2 安全网关提供基于深度应用识别的入侵防御解决方案,能有效防范网络中各种复杂的应用攻击,1800S-H-V2 安全网关支持超过 3000种以上的攻击检测和防御,并以强大的多核处理器为后盾,能为用户提供强劲精准的入侵防御功能。4. 1800S-H-V2 安全网关采用的多核 MIPS 处
16、理器提供了强大的 VPN 加解密性能,在功能上支持包括 IPSec、GRE、SSL、L2TP 等多种 VPN 业务,可提供包括星型 VPN、动态 VPN、速连 VPN 等诸多 VPN 组网技术及组网方案,1800S-H-V2 安全网关的 SSL VPN 支持用户名及 USBkey 双因素认证技术、单点登录技术、客户端安全完整性检查技术、主机绑定技术等,这些为客户端的远程接入提供了安全便捷的手段,此外,对于 GRE 的支持也为用户在 VPN 组网上提供了更多的选择。5. 1800S-H-V2 安全网关具有丰富的 2-7 层应用识别能力和管控手段,可对网络中的各种 P2P、IM 、网游、炒股及在线
17、视频等众多应用进行管控,而且随着系统应用特征库的升级可识别的应用种类和数量还将不断增加;1800S-H-V2 安全网关内置了专业的 URL 分类过滤功能,它根据各网站提供的内容不同,将 WEB 站点分为 40 大类,其涵盖的 WEB 站点数量截至目前已超过 2000 多万,而且我们的 URL 分类库的种类和规模还在不断的升级更新。此外 1800S-H-V2 安全网关还提供网页内容过滤、邮件过滤、论坛发贴过滤等多种上网行为管理功能。6. 1800S-H-V2 安全网关具有堪比专业流量整形设备的强大的流控功能,其支持在设备各接口的上下行双方向上针对多种元素进行多级带宽控制,包括基于 IP 的流量整
18、形、基于协议和应用的流量整形(支持的 7 层应用数量随特征库的更新不断增加) 、基于认证用户的流量整形、按时间段控制流控策略的生效以及基于以上多种手段进行组合控制的流量整形。1800S-H-V2安全网关所拥有的丰富流量整形功能可为用户提供更加灵活的网络管理手段,同时也能为用户带来更加理想的网络使用体验。7. 1800S-H-V2 安全网关拥有完善的路由特性,支持包括静态路由、ISP 路由、策略路由、动态路由(RIPv1&v2 、OSPF 、BGP) ;基于对多等价路由特性的支持还可以实现多种算法的多链路负载均衡功能;此外,基于二三四层的链路备份技术也为网络的稳定运行提供了有效的保障。8. 拥有
19、完善的 NAT 处理机制,完美支持当前各种源或目的地址转换功能。领先的 NAT 地址池端口复用技术,可使得单个 IP 最高可支持 100 万条 NAT会话处理请求。在 IPv4 地址快要枯竭的今天,该技术可最大程度上为用户节约宝贵的 IP 地址资源。9. 1800S-H-V2 安全网关独有 DCSD 防 ARP 欺骗机制,通过为网络中的客户端下发 DCSD 防 ARP 欺骗客户端可彻底杜绝网络中的 ARP 欺骗问题发生,同时支持自动 IP-MAC 绑定,防 ARP 攻击,反向 ARP 查询、DHCP Snooping 等多种 ARP 安全防护手段。4.2 互联网上网行为管理系统 高可靠性设计,
20、硬件网络接口具备 ByPass 功能,系统故障时自动物理导通; 采用 CF 卡/DOM 盘+ 硬盘的双系统设计,降低宕机风险;软件支持双击热备,支持系统产生故障时自动从主机切换到备机 精准的协议分析,采用 DPI 和 DFI 相结合的技术 系统软件、应用协议库以及 URL 分类库实时在线更新 分角色管理设置,可对运维层和管理层授予不同管理权限 层进式管理设计,网络管理清晰明了 强大的 URL 分类库DCBI-NETLOG 集成了默认的 URL 分类库,总的域名达到近千万条,这些分类库是由公司组织专门的团队进行人工分类的,符合中国国情,分类结果较为准确。同时支持用户手动添加 URL 分类。 本土
21、化应用及协议分类库IM 应用QQ2008 彩虹QQ2009MSN ICQ sina UT Sina UCQQ2009 网易POPO百度 Hi 飞信聊天 淘宝旺旺 Skype 聊天QQ2009 GTalk AIM IRC Lava-Lava TeamSpeakDCBI-Netlog 立足国内进行本土化开发,对网络主流应用和协议准确识别,为国内用户提供最及时、最准确的协议分类库。IM 应用识别:支持 QQ 不同版本、MSN 、ICQ、网易 POPO、飞信、淘宝旺旺、Skype、GoogleTalk、SinaUC 、SinaUT 、AIM、IRC、TeamSpeak 等聊天软件的应用识别文件传输:支
22、持识别 QQ 文件传输、MSN 文件传输文件、飞信文件传输、YaHoo 文件传输、ICQ 文件传输、FTP 文件传输、TFTP 文件传输、HTTP Download 等文件传输应用邮件识别:支持 SMTP、POP3、IMAP 邮件应用识别流媒体识别:支持RTSP、RTMP、MMS、QuickTime、WMPlayer、RealPlayer 等流媒体应用Web-Mail 识别:支持Sina、Sohu、163、21cn、263 、Hotmail、eyou、Tom、126、Sogou、Hexun、QQ、139、Foxmail 、Yeah 、Gmail、天涯等 WEB 邮箱应用股票软件识别:支持大智慧
23、、钱龙、指南针、龙卷风、通达信、证券之星、湘财证券、大福星、分析家、文华财经、广发证券、国泰君安、股票之星、富远行情、行情眼、大有期货等股票应用及行情软件网络游戏识别:支持魔兽世界、武林外传、梦幻西游、征途、梦幻诛仙、完美世界、劲舞团、船体、地下城与勇士、永恒之塔、穿越火线、QQ 游戏、街头篮球等 60 余种网络游戏的应用识别P2P 应用识别:支持对BT、BitTorrent 、BitComet、eDonkey 、Emule、Vagaa、PPGou、WinMX、DirectConnect、SoulSeek、Xunlei 、Ares、RaySource、Winny、Share、Maze、QQ 旋
24、风、PP 点点通等 30 余种 P2P 及加密 P2P 应用地下浏览识别:能够识别使用地下浏览软件逃避普通监管的网络行为,能够识别火凤凰、世界通、洋葱头、花园、自由门、无界、Socks4/5、TGate 等代理软件。网络视频识别:能够识别PPStream、PPLive、QQLive、PPFilem、UUSee 、STTV、MySee、TVKoo、TTLivw、MOP、BBSee、Sopcast 、TVUPlayer、QVOD 、PPGou 、YouTube、新浪 TV、酷 6、优酷、迅雷看看、土豆视频、风行在线、网易视频、六间房、沸点、皮皮影视、日月、搜狐 TV 等多种网络视频应用数据库应用识
25、别:能够识别 Oracke、Informix、 SQL Server、DB2、Sybase、FireBird、Access、BerkleyDB 、MySQL、Postgres SQL 等数据库应用远程连接识别:能够识别SSH、Telnet、Rlogin、Rsh 、X11 、RDP、VNC、PCAnywhere、远程桌面等远程连接应用 管理策略灵活可基于 IP 地址、时间段、用户、部门、协议等实施监控。 灵活多样的审计、报警功能可根据 URL、关键字等进行自动审计,并可通过网页、邮件方式进行报警,也可以对 web 访问、邮件、下载等网络行为进行阻断。 完善的报表输出报表输出是日志审计系统的重要功
26、能,DCBI-NETLOG 支持全局流量、流量-时间、时间趋势、上网 TOP-N 以及自定义的流量报表功能。 在线信息管理DCBI-NETLOG 支持对在线用户的实时监控,比如聊天用户监控,并对实时网络使用情况进行监控。 硬件参数型号 DCBI-NETLOG(200) DCBI-NETLOG(500) DCBI-NETLOG(2000) DCBI-NETLOG(5000) 规格尺寸 1U 机架 1U 机架 2U 机架 2U 机架 适用范围 小型企业 小型企业 中型企业 大中型企业 推荐并发用户数 200 500 2000 5000 网络接口 4 个千兆电口 4 个千兆电口 3 个千兆电口,2
27、个千兆 GBIC光口 3 个千兆电口,2 个千兆GBIC 光口 5000-10000 并发用户,同时部署 2 台 DCBI-NETLOG(5000) 4.3 终端安全及移动存储介质管理IT 管理人员可以通过系统分析模块实时查看“系统事件信息” 、 “软硬件资产信息(CPU 、内存、硬盘、操作系统和防病毒软件) ”、 “设备注册信息(注册设备、未注册设备和卸载设备的比例关系) ”和“注册设备在线信息” 。用户可以对“系统事件信息”进行多种时间段的调取,包括:日、周、月、季度和自定义时间范围。4.3.1 全网视图管理DeskMaster 除了提供了“全局配置” 、 “系统配置” 、 “注册管理”和
28、“终端管理”之外,还通过自身访问控制和帐户控制功能加强了服务器端的安全防护,另外,系统自身强大的日志审计功能也是 DeskMaster 的亮点之一,如下图所示:4.3.2 IT 资产管理DeskMaster 的资产管理功能实现了对应用中的资产和备用资产的统一管理,以及资产使用过程中的资产维护,真正实现了无论是使用中的资产还是备用资产“履历”的记录和分析。资产管理包含:注册和非注册设备资产信息,使用中资产的管理和备用资产的管理;1 注册设备和非注册设备资产信息:(1)注册设备基本信息:当前注册设备运行的操作系统类型和版本、内存和硬盘大小空间信息、个人注册信息、IP 和 MAC 等(2)注册设备软
29、件信息:当前注册设备运行的应用软件类型和版本等详细资产信息(3)注册设备硬件信息:当前注册设备各个部件的详细信息(4)非注册设备信息:IP 和 MAC 信息2. 资产统计:包括软件资产分类、硬件资产、软件资产、IP 资源统计和软硬件变更等,如下图所示:4.3.3 用户行为管理(一)用户上网行为审计、控制1. 上网行为审计可以按照特定后缀名(.html、.asp )对 URL 进行审计,并且提取文件标题,根据 URL 信息从 URL 库查找相应的归类,将这些信息上报中心服务器,IT 管理员可以通过数据分析平台很直观的了解到本企业的 URL 访问情况,比如某人在某时访问了体育类网站,某时访问了娱乐
30、类网站,并且可以查看相应网站的标题。2. 上网行为控制可以定制基于 URL 类别的控制策略,灵活的控制某一类网址访问,简化了IT 管理员的策略配置,使 IT 管理员可以灵活、有效的制定出相应的管理策略。3. 邮件审计可以灵活配置发送者和接收者的邮局地址,并且可以指定记录发送/接收的正文附件,并且将压缩后的邮件内容上报中心服务器,为日后审查提供数据依据,比如通过邮件泄露公司的机密信息的事件。4. 邮件控制可以设定全部禁止、而只允许本司的邮箱等相应管理策略,从而可以严格限制企业员工的滥发邮件,并由此导致机密信息的外泄。5. FTP 行为审计可以定制相应审计策略详细记录某个 ftp 用户上传了什么文
31、件,下载了什么文件,并且可以灵活的设置针对文件名或者文件内容的记录。6. FTP 行为控制可以定制相应控制策略,灵活的控制对 ftp 的使用,比如禁止影音类文件的下载。(二)本地文件审计对终端访问本地的文件资源进行详细的审计,可以检测到该主机上“创建文件” 、 “删除文件”和“重命名”文件的操作。(三)剪贴板审计DeskMaster 提供了对微软剪帖板内容的审计。(四)光驱使用控制DeskMaster 通过下发光驱使用控制策略,可对终端的光盘读写(刻录)行为控制和记录。(五)访问共享审计对终端访问他人的网络共享资源进行详细的审计跟踪,可以检测到对某个IP 主机的某文件夹读操作、写操作、修改操作
32、,并且可以检测到对某文件的读操作、写操作、修改操作。(六)打印审计、控制对打印文件的名称、内容进行详细记录,可以有效监管企业员工对打印的使用。(七)即时通讯审计对主流的即时通讯软件进行侦听,对通讯信息进行及时查看和监督,对可能存在的涉密行为进行及时的阻止,便于对内网用户的通讯管理。4.3.4 移动介质管理移动介质的使用不当已经造成了越来越多的政府和企事业机密信息的泄露,造成了巨大的损失。人们对移动介质的管理的意识也越来越强,各单位也都加强了对移动介质管理的力度。DeskMaster 采用了以下方法对移动介质进行管理。1. 入网授权:移动存储在注册打标签之后,才能在内网中使用。2. 人机绑定:通
33、过制定移动存储的访问策略,将通过授权的移动存储的使用绑定到某个特定计算机上,达到专盘专机用的目的。3. 人盘绑定:移动存储设备注册时,通过注册程序对移动存储打上标签,在移动存储上对用户信息进行记录,达到人盘绑定的效果。4. 操作日志审计:通过在移动存储上建立专门的日志区,保证了移动存储在网内、网外的使用记录得到全面的记录。5. 身份认证体系:通过审核的移动存储在网内使用时,需要通过身份认证才能正常的使用。移动存储不同的分区可以设置不同的身份认证密码。6. 磁盘访问控制:对移动存储访问采用读写控制模式,从底层彻底杜绝了病毒和木马。通过策略对移动存储的访问模式进行控制,可对移动存储和终端主机中的重
34、要数据进行保护。4.3.5 桌面管理(一)终端点对点控制随着计算机网络规模的膨胀,几乎每个 IT 管理员都面临着众多工作终端的故障处理,并且疲于奔波于这些故障终端之间,其中大多数故障都是简单故障,只需 IT 管理员对其进行简单分析处理即可。“终端点对点”是一个有效应对于简单问题处理的工具,可以从任何一个可以访问网络的主机来登陆 DeskMaster 网页平台,找到相应的故障终端,点击控制,网页会自动加载/下载“终端点对点”工具。该工具从系统状态、进程管理、服务管理等三方面入手,对远程终端的基本运行状态进行了比较全面的动态分析展现。并且可以同时启动多个“终端点对点” ,对某些重要的服务器的运行实
35、时监控。比如:关键服务器的 CPU、内存使用走势图,以及所运行的关键应用程序的 CPU、内存使用走势图。(二)进程执行控制通过终端代理对本终端进程知识信息的采集上报,为 IT 管理员对本单位的进程运行许可策略的定制带来了便利,IT 管理员可以根据对不同类别的进程制定相应的管理策略,比如对一些聊天性质的进程:QQ、MSN 等进行禁止,从而规范对员工的管理,提高工作效率。并且还可以对某些关键服务器的应用进程进行保护,确保其在某一时间段内必须运行。(三)服务执行控制通过终端对本主机服务知识信息的采集,并且实时更新采集信息,将信息上报中心服务器。IT 管理员可以依据终端的工作特性,制定相应的控制策略,
36、比如将某些没有必要的、影响工作性能的、或者有安全隐患的服务禁止掉,并且可以对关键服务器的某些关键服务制定在某段时间必须运行的策略。(四)文件分发文件分发功能用于集中从管理端向客户端分发文件,考虑到文件大规模分发可能带来的网络拥塞问题,DeskMaster 系统采用了自主研发的网络负载平衡数据传输技术,使多文件、大文件,在不影响网络质量的情况下尽可能快的分发到每个终端,为用户的文件共享资源的快速传播提供了便利。(五)软件部署DeskMaster 系统的软件部署功能作为文件分发的一个补充,他的确从应用层面给 IT 管理员的软件安装部署工作代来充分便利,可以让安装软件的时间大大节省:单个软件安装时间
37、 终端数 x 单个软件安装时间 = 总时间(六)外设接口控制可针对每个终端进行外设端口使用的授权,如允许或禁止 USB 存储设备的使用等。这些端口和设备类型包括 USB 存储设备、USB 普通设备、Modem 拨号、无线通讯、红外、串口、并口(打印端口) 、键盘鼠标、光驱、软驱和1394 端口等,管理所有终端上的外围设备。(七)网络接口管理从制定策略时起,终端代理对本地网络接口配置进行存根,在日后的工作中,无论在线(连接本单位的中心服务器) ,还是离线(不能与本单位的中心服务器连接) 。终端代理都可以严格执行 IT 管理员所制定的策略,可以对 IP 地址滥用、随意添加网络接口等进行有效控制。4
38、.4 IT 运维网络管理4.4.1 网络拓扑管理网络拓扑管理用业界领先的,具有自主知识产权的智能拓扑生成算法,能够根据用户的实际网络情况,生成基于数据链路层的物理拓扑图和 IP 层的网络拓扑图。在准确地发现拓扑结构的同时,系统的动态生成算法,也充分考虑到用户网络拓扑结构可能因为网络改造、设备调整等原因引起的拓扑结构发生变化,为用户提供了拓扑变更确认机制,并将网络拓扑的变化情况通过拓扑视图及时呈现,真正做到智能、动态的拓扑呈现。通过形象的网络拓扑图,全面了解企业的网络结构,并对故障进行形象而精准的定位,各个网络设备的工作状态和流量信息在网络拓扑图上通过各种不同的颜色,来显示其性能负载情况。图:物
39、理拓扑视图 可视化的拓扑管理,自动生成实际网络拓扑图 支持多维度的拓扑视图生成,包括基于数据链路层的物理拓扑图和基于IP 网络层的网络拓扑图; 支持管理与设定网络搜寻、制作拓朴图与设备软硬件信息; 排序与显示网络设备信息,如设备类别、设备列表、网络图、网段链接、与虚拟环境信息; 支持设备类型的分类展示; 强大的拓扑发现引擎 支持动态扫描技术,可以及时、准确的发现网络拓扑结构; 提供数据链路层和 IP 网络层的数据扫描,真实再现网络中的 VLAN 和IP 网段互联信息; 支持多种 Spanning Tree 协议和 Bridge Port 的扫描算法。 支持拓扑视图自定义 支持基于管理地域的拓扑显示;图:拓扑视图4.4.2 设备性能管理系统对于监控对象,提供层次化的性能指标监控策略,用户可以根据自己的管理需求,灵活定义不同监控阀值所产生的告警级别,更好、更精确地掌握设备负荷情况;同时网络设备的管理可以通过实时性能分析工具查看当时设备的实时负载情况,可方便管理员进行有效管理。端口流量趋势可以根据指定端口进行流量的趋势分析随时记录入流量,与出流量示数,端口的管理状态、接口发送/接收速率等信息,根据开始时间和结束时间查询指定时间段的流量分析,实时监控网络指定端口的带宽。