某电业局安全存储网络建设技术建议书

*电业局 安全 存储 网络建设技术建议书 二零零 九 年 十 月 目 录 安全存储网络建设技术建议书 . 1 1 概述 . 3 1.1 项目建设背景需求 . 3 1.1.1 网络现状 . 3 1.2 网络建设目标 . 3 1.3 网络建设原则 . 3 2 整体方案设计 . 4 2.1 组网方案 . 4 2.2 方案建议及设备选型依据 . 4 3 网络解决方案 . 5 3.1 IP 地址规划 . 5 3.2 VLAN 规划 . 6 3.3 路由规划 . 6 3.4 QOS 设计 . 6 3.5 设备介绍 . 8 3.5.1 S9300 系列 交换机系统特性 . 8 3.5.2 Oceanspace S2000 系列存储系统 . 15 4 安全解决方案 . 20 4.1 安全体系层次 设计 . 20 4.1.1 层次一：物理环境的安全性（物理层安全） . 20 4.1.2 层次二：操作系统的安全性（系统层安全） . 20 4.1.3 层次三：网络的安全性（网络层安全） . 20 4.1.4 层次四：应用的安全性（应用层安全） . 21 4.1.5 层次五：管理的安全性（安全管理） . 21 4.1.6 总体部署 . 21 4.2 入侵检测系统部署 . 22 4.2.1 安全风险分析 . 22 4.2.2 安全风险解决 . 22 4.2.3 智能网络入侵检测设备 . 23 4.2.4 NIP 1000 性能指标 . 28 4.3 终端安全 管理系统部署 . 30 4.3.1 终端安全管理系统 . 30 4.3.2 安全监控功能 . 32 4.3.3 资产管理应用功能 . 33 4.3.4 安全接入控制网关应用 . 33 4.3.5 Secospace 系统性能指标 . 33 1 概述 1.1 项目建设背景需求 1.1.1 网络现状 *电业局网络建设主要分为内部办公网络和外部互联网络两部分 ，现有核 心设备是用的是华为 5500系列交换机，交换机使用年限已久，随着网络规模的不断扩大，现有网络接口已逐渐不能满足网络的需求；内部服务器数量已达到 10台左右，数据量增加的比较快，需要一套网络存储设备。 内部安全需要进一步的管理。 1.2 网络建设目标 为了提高整网核心的可靠性， 设计 考虑设备冗余（电源、超级引擎采用双配置）， 为整网提供更加稳定的网络服务。 华为核心设备最多支持 144 个光接口，能够极大地满足现在及将来网络的需求。 1.3 网络建设原则 我单位针对 *电业局 存储及安全 工程将采用华为先进的高端电信级设备作为构建网络的基础 单元，建立一个高带宽、高可用性及高可靠性的数据网络，为 濮阳县电业局 业务系统提供强有力的保证，本次工程基于以下原则进行： 综合性 ：将网络建设成为不仅支撑现有 濮阳县电业局 数据业务，而且支撑未来实时业务的综合业务传送平台。 支持 QOS：能根据业务的要求提供不同等级的服务并保证服务质量，提供资源预留，拥塞控制，报文分类，流量整形等强大的 IP QOS功能。 高可靠性 ：具有很高的容错能力，具有抵御外界环境和人为操作失误的能力，保证任何单点故障都不影响整个网络的正常运作。 高性能 ：在高负荷情况下仍然具有较高的吞吐能力和效 率，延迟低。 安全性 ：具有保证系统安全，防止系统被人为破坏的能力。 扩展性 ：易于增加新设备、新用户，易于和各种公用网络连接，随系统应用的逐步成熟不断延伸和扩充，充分保护现有投资利益。 开放性 ：符合开放性规范，方便接入不同厂商的设备和网络产品。 标准化 ：通讯协议和接口符合国际标准。 实用性 ：具有良好的性能价格比，经济实用，拓扑结构和技术符合骨干网信息量大、信息流集中的特点。 2 整体方案设计 2.1 组网方案 出于安全性和稳定性的要求，工程中采用 电信级核心 层交换机从而提高整网结构的健壮性、可靠性，高效性。 在存储方面采用华 为2300 的存储，可提供 96T 的存储容量，满足将来存储的需求。 2.2 方案建议及设备选型依据 根据 *电业局 数据库项目 的技术规范要求以及华为公司全系列数通产品及解决方案特点，本着满足业务优先、先进实用、平滑演进等原则， 我单位 选择华为公司在本期项目中建议的设备以及相关设备的建网方案优势如下： 网络档次高、层次分明 ：采用最高能力交换机，按照网络层次依次选择合理产品，各层次产品之间系列化程度高，可靠性强。 负载分担的网络： 以最大化网络资源负载分担为原则，通过设备间链路的分配调整，实现网络资源合理分布，增加可靠性。 安 全的双平面的设计： 本次为网络结构通过充分利用两期建设中的设备，充分保证网络安全备份及冗余性，整体提高网络的可靠性等级系数。 良好网络兼容性能： 在现网大量的应用环境中，华为设备表现出与其他设备厂商良好的互通性，在各大电信运营商网络都有商用。 优化的网络性能： 华为建议的部署方案， 能够 保证网络在故障情况下快速实现业务流量疏导，提高整个网络质量，保证网络能够承载。 多业务的 IP网络 ：优化后的网络具备极强的可扩展性能，除了具备大流量承载能力，还 可 提供 IPTV等多种业务。 平滑的割接方案： 华为 公司有丰富的网络割接经验 ，可以 保证网络调整到合理的结构，并保证现网业务尽可能的不受影响，保证平滑割接。 平滑的向 IPv6过渡： 我单位本次采用的华为 产品具备 IPv6高性能转发，满足未来性能要求，并支持多种过渡解决方案，例如 IPv4/IPv6双栈、多种过渡隧道等等，是业界过渡方案中最好的产品，能够极大方便实际网络 IPv4-IPv6过渡的灵活性。 3 网络解决方案 3.1 IP 地址规划 IP 地址的合理分配是保证网络顺利运行和网络资源有效利用的关键。需要在所分配的 IP 地址网段中尽可能地利用地址空间，充分考虑地址空间的合理使用，保证实现最佳的网络内 地址分配及业务流量的均匀分布。 IP 地址空间的分配与合理使用与网络拓扑结构、网络组织及路由政策有非常密切的关系，将 *电业局 业务工作的可用性、可靠性和有效性以及保密性产生显著影响。 通常合理的地址规划是使连续的地址尽量集中在一个区域内。因此，核心层应象一个区域或一个节点一样，被分配一段连续的地址。 IP 地址规划遵循以下原则： 1. IP 地址的规划与划分应该考虑到业务飞速发展，能够满足未来发展的需要；即要满足本期工程对 IP 地址的需求，同时要充分考虑未来业务发展，预留相应的地址段； 2. IP 地址的分配需要有足够的灵活性 ，能够满足各种用户接入； 3. IP 地址的分配可以采用 VLSM 技术，以保证 IP 地址的利用效率； 4. 充分合理利用已申请的地址空间，提高地址的利用效率。 3.2 VLAN 规划 VLAN（ Virtual Local Area Network）又称虚拟局域网，是指在交换局域网的基础上，采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个 VLAN 组成一个逻辑子网，即一个逻辑广播域，它可以覆盖多个网络设备，允许处于不同地理位置的网络用户加入到一个逻辑子网中。 从技术角度讲， VLAN 的划分可依据不同原则，一般有以下三种划分方法： 1. 基于端口的 VLAN 划分 2. 基于 MAC 地址的 VLAN 划分 3. 基于路由的 VLAN 划分 而本期项目中 以基于端口和基于路由的 VLAN 划分方法为主，除了公共 VLAN，网管 VLAN，关键领导 VLAN 等特殊网段，按照部门和单位进行其他 VLAN 网段的划分。 3.3 路由规划 在所建网络系统中将涉及 *电业局 内部不同虚拟网络之间的路由转发以及与外网之间的互联，因此需要结合实际，在汇聚交换机对三层转发协议进行设置，由于通过 VLAN 隔离业务，在接入层交换机启用二层接入功能，网关设在汇聚交换机， VLAN 终结于汇聚交换机。 3.4 QOS 设计 在传统的 IP 网络中，所有的报文都被无区别的等同对待，每个路由器对所有的报文均采用先入先出（ FIFO）的策略进行处理，它尽最大的努力（ best-effort）将报文送到目的地，但对报文传送的可靠性、传送延迟等性能不提供任何保证。 随着 IP 技术的日趋成熟， IP 网络电信化已经成为大势所趋，于是形成了语音、视频、数据等多种业务 IP 统一承载，由于语音、视频等实时业务自身的特点对承载平台提出了严格的服务质量要求，因此就必须在网络中部署相应的 QoS 技术，使得 网络管理者 能够有效地控制网络资源 的 使用，能够在 有 限资源的 IP 平台上 综合 语音、视频及数据等多种业务，能够 区分业务 、针对不同的 业务 提供特色的差 分服务。 QoS 旨在针对各种应用的不同需求，为其提供不同的服务质量，例如：提供专用带宽、减少报文丢失率、降低报文传送时延及时延抖动等。为实现上述目的， QoS 提供了下述功能： 1. 报文分类和着色 2. 避免和管理网络拥塞 3. 流量监管和流量整形 4. QoS 信令协议 在 *电业局 数据库项目 网络 构建中， 将会 设计合理的 QOS 保障方案，利用有限的资源， 以 获得更好的网络使用效益， 是 非常必要 的 。良好的 QOS 保障方案可以 确保一般情况下网络具有最好的使 用效率、实时业务具有较小延 时 ，恶劣情况下保证关键业务得到应有的网络服务。 衡量 QoS 的指标包括： 带宽 /吞吐量 - 指网络的两个节点之间特定应用业务流的平均速率； 时延 - 指数据包在网络的两个节点之间传送的平均往返时间； 抖动 - 指时延的变化； 丢包率 - 指在网络传输过程中丢失报文的百分比，用来衡量网络正确转发用户数据的能力； 可用性 - 指网络可以为用户提供服务的时间的百分比。 在 *电业局 数据库项目 网络中 QOS 方案 部署如下： 接入层交换机接入端口不同业务进行 VLAN 标记 ,并可以对报文进行 802.1P 优先级标记，以便后续的汇聚交换机和核心交换根据相应优先级标记（ 802.1P、 DSCP）进行调度，当然还可以根据策略的需要部署 CAR 流量监管策略，对用户的接入速率进行控制，保证 *电业局 网 网络 始终处于健康（轻载）的运行状态。 本次工程采用的 S9300 高端交换机均支持选择性 SVLAN 功能（灵活 QinQ），可以在同一个物理端口上支持根据单层 VLAN ID 灵活加载外层 VLAN ID，同时能够透传标准 VLAN（单 VLAN）流量。上述功能实现没有 VLAN ID 范围数量的限制，对于设备性能没有影响。支持根据 802.1p 参数、入端口、入 VLAN ID 等条件进行双 VLAN 透传、双层VLAN 改写外层 VLAN、双层 VLAN 改写内外层 VLAN 等并且支持在同一物理接口上对以上操作的并行处理。并支持 TPID 可配置，同时对设备性能没有影响 S9300 交换机提供完善的 Diff-Serv/QoS 支持。支持基于源端口、源 VLAN ID、源 MAC 地址、报文种类、 TCP/UDP 端口号、IP 报文地址前缀等多种流分类规则，提供多种规则组合条件下的流映射和分类、流量监管（ CAR）、拥塞避免方法（ WRED、 Tail-Drop）、队列调度（ WRR、 SP）和输出流量整形等功能，支持 802.1p 的 8 个优先级。完全做到业务区分并保证带宽 /时延 /抖动，可以为用户提供具有不同服务质量等级的服务保证，使 IP 网络真正成为同时承载数据、语音和视频业务的综合网络。 3.5 设备介绍 3.5.1 S9300 系列 交换机 系统特性 Quidway S9300系列以太汇聚 交换机（以下简称 S9300）是基于 华为公司统一的 VRP（ Versatile Routing Platform）系统 而推出的下一代以太网汇聚交换机，提供整机高达 2T交换容量，二、三层线速转发能力，具备 强大组播功能， EPON接口 和 完善的 QoS保障 ， 满足城域网、企业园区网对 Multi-Play业务承载和全光接入的组网需求，为运营商和企业网提供强大的网络交换和业务运营能力，支持IP专线、 VPN、 IPTV、 IPv6等多种 业务 。 S9300系列包括 S9303、 S9306、 S9312三个产品形态，整个系列秉承模块通用化、归一化的设计理念，最小化备件成本，在保证设备扩展性的同时最大限度地保护用户投资。 S9303 S9306 S9312 产品特点 创新的三平面设计 S9300在传统交换机数据转发、管理控制双平面基础上进行了创新，增加了独立的环境监控平面，率先实现整机三平面设计。业界首创的环境监控板，其核心芯片采用华为自主知识产权的中控芯片，实现硬件级的 按流量动态调整功率 、风扇分区控制、风扇智能调速、端口休眠技术 等多项节能技术，独立环境监控与网管联动，实现整机运营维护的全面可视化管理。 创新的三平面设计 一机多用，全业务承载的以太汇聚平台 S9300支持高密度的 EPON接口，能实现 DSLAM汇聚、 EPON和纯以太 的统一接入，满足全光接入的需求；分布式 L2/L3 MPLS VPN功能，支持 MPLS、 VPLS、HVPLS、 VLL，满足大客户 VPN专线、企业 VPN等高端用户的接入需求。 S9300具备 线速的跨 VLAN组播复制能力，实现端口的满负荷复制，满足大容量的 IPTV用户接入需求；完善的二、三层组播协议，可作为组播复制点和控制点。 高速 背板 交换网 模块 控制面通讯模块 系统时钟模块 系统主控模块 控制层软件 业务层软件 网管系统 物理接口模块 业务处理模块 单板时钟模块 单板主控模块 单板监控模块 业务模块 交换路由模块 管理 层软件 系统监控模块 S9300支持 IPv6功能， 支持 RIPng， OSPFv3， ISISv6， BGP4+， MLD， MLD Snooping， PIMv6， IPv6 multicast VLAN， ICMPv6等单 /组播 IPv6路由协议， 实现网络 IPv4向 IPv6的平滑迁移 。 三维扩展 ， 容量 “无级变速 ” 作为新一代的以太汇聚 平台， S9300可以从容应对城域骨干网和大容量 IDC对核心汇聚设备的带宽需求 。 S9300单槽位支持 12 10GE线速转发，整机支持 2T的交换能力， 更好地满足 IPTV等大带宽业务和 IDC机房的接入需求。 S9300系列交换机可以扩展到 3.84T交换容量， 单槽位支持 240G线速转发，充分考虑未来 3 5年的带宽需求，提供带宽平滑扩展能力 。 六项创新，省电 30% S9300基于绿色环保理念设计，独特的“变流”芯片，实现按流量动态调整功率，降低功耗 8%。 独特的“旋转”风道设计，提高整机散热效率，降低功耗 3%，同时整机出线能力提高 6倍。 “积木式”电源，按需配置，减少初期投资，降低设备功耗 10%。 独立风扇分区控制，降低噪声 10%，并延长风扇使用寿命。 风扇智能调速，根据关键器件温度，灵活调整风扇转速，降低功耗 3%，提高风扇抗扰动能力，延长风扇寿命。 真正的端口休眠技术，可以依据端口实际流量调整输出功耗，降低功耗 6%，节电“不丢包”。 产 品规格 项目 S9303 S9306 S9312 背板容量 1.2Tbps 2.4Tbps 4.8Tbps 业务槽位 3 6 12 GE端口密度 144 288 576 10G端口密度 36 72 144 VLAN 支持 Access、 Trunk、 Hybrid方式 支持 default VLAN 支持 VLAN 交换 支持 QinQ、增强型灵活 QinQ MAC地址功能 支持 MAC地址自动学习和老化 支持静态、动态、黑洞 MAC表项 支持源 MAC地址过滤 支持基于端口和 VLAN的 MAC地址学习限制 STP 支持 STP， RSTP和 MSTP 支持 BPDU保护、 Root保护、环路保护 支持 BDPU Tunnel IP路由 支持 RIP、 OSPF、 ISIS、 BGP等 IPv4动态路由协议 支持 RIPng、 OSPFv3、 ISISv6、 BGPv4等 IPv6动态路由协议 项目 S9303 S9306 S9312 组播 支持 IGMP Snooping功能 支持用户快速离开机制 支持组播流量控制 支持组播查询器 支持组播协议报文抑制功能 支持组播 ACL MPLS 支持 MPLS基本功能 支持 MPLS OAM 支持 MPLS TE 支持 MPLS VPN/VLL/VPLS QoS 支持基于 Layer2协议头、 Layer3协议、 Layer4协议、 802.1p优先级等的组合流分类 支持 ACL、 CAR、 Remark、 Schedule等动作 支持 PQ、 WRR、 DRR、 PQ+WRR、 PQ+DRR等队列调度方式 支持 WRED、尾丢弃等拥塞避免机制 支持流量整形 配置与维护 支持 Console、 Telnet、 SSH等 终端服务 支持 SNMPv1/v2/v3等网络管理协议 支持通过 FTP、 TFTP方式上载、下载文件 支持 BootROM升级和远程在线升级 支持热补丁 项目 S9303 S9306 S9312 支持用户操作日志 安全和管理 命令行分级保护，未授权用户无法侵入 支持 RADIUS和 HWTACACS用户登录认证 支持防范 DoS攻击、 TCP的 SYN Flood攻击、 UDP Flood攻击、广播风暴攻击、大流量攻击 支持 CPU通道的保护 支持 ICMP实现 ping和 traceroute功能 支持 RMON 机箱尺寸mm（ 宽 深 高 ） 442476175 442476442 442476664 机箱重量（空配） 15Kg 30Kg 45Kg 工作电压 DC： 38.4V 72V AC： 90V 264V 典型功耗 180W 350W 650W 整机供电能 350W 800W 1600W 订购信息 1、 Quidway S9300 主机选购一览表 产品 描述 S9303总装机箱 S9306总装机箱 S9312总装机箱 2、 Quidway S9300 交换路由处理板 选购一览表 产品 描述 S9306/S9312交换路由单元 S9303主控处理单元 增强灵活业务子卡 3、 Quidway S9300 业务单板选购一览表 产品 描述 48端口 百 兆以太网光接口板 48端口 百 兆以太网 电 接口板 48端口 百 兆 /千兆以太网光接口板 48端口 百 兆 /千兆以太网电接口板 24端口 百 兆 /千兆以太网光接口板 24端口 百 兆 /千兆以太网光接口和 8端口 百 兆 /千兆 Combo电口板 4端口万兆以太网光接口板 2端口万兆以太网光接口板 3.5.2 Oceanspace S2000 系列存储系统 概述 华为赛门铁克 Oceanspace S2000 系列（以下简称 S2000）产品是中国第一款拥有完全自主知识产权的存储。融合了高密、接口模块化设计、多重数据保护技术，满足数据库等应用系统、备份、数据中心等不同的存储资源部署需求。 产品特点 高性能 64 位系统架构： 64 位多核处理器， 64 位系统总线， 64 位实时操作系统 交换体系架构： 交换架构，高性能，低延时；硬盘独立，单个硬盘故障不影响其他盘，便于故障检测和排除 高密设计： 硬盘框 4U 高度，可容纳 24 块硬盘，产品占用空间小，扩 1个硬盘框能扩展 24 块硬盘，大幅降低扩容成本 高可靠 全冗余模块化设计： 冗余控制器， 1+1 冗余电源 /风扇模块；冗余掉电保护电池 一体化 UPS 技术： UPS 集成在控制框内，节省机架空间；意外掉电时，可以保证 Cache 数据可安全写入数据保险箱；恢复供电后，可以把数据保险箱的数据恢复到 Cache 中，保证 Cache 数据不丢失 硬盘坏道修复技术： 最大限度修复硬盘坏道，将硬盘故障率降低 50%，延长硬盘寿命 硬盘预拷贝技术： 提前发现故障盘，主动迁移故障盘数据，规避系统降级的风险，有效降低两个硬盘同时故障导致数据丢失的概率 灵活 灵活组网： iSCSI 主机口满足与 IP 网络无缝融合的 组网需求； SAS 主机口满足高性价比的组网需求； FC 主机口满足高速率、高可靠的组网需求 控制器选配： 单控制器配置满足低成本需求，平滑升级到双控制器配置，满足高性能、高可靠的需求 分级存储： 支持 SAS/SATA 硬盘混插，可以根据业务级别选择存储介质 便捷 便捷管理： 支持图形化 GUI 及 CLI 管理方式，提升管理效率；支持 LUN后台格式化，压缩设备安装及配置时间 便捷维护： 主要模块及硬盘组件支持热插拔，减少维护复杂性；支持 Web和 Modem 拨号等远程管理能力，增加维护及时性；提供声光、邮件、短信等告警 模式，确保设备故障信息不会被忽视或遗漏 产品规格 型号 S2100 S2300 硬件特性 存储处理器 64 位多核处理器 标配缓存 (可扩展 ) 单控 2GB、双控 4GB 控制器数量 1 or 2 标配主机端 口 (可扩展 ) 单控 :2 个 43Gb SAS 或 2个 1Gb iSCSI 双控 :4 个 43Gb SAS 或 4个 1Gb iSCSI 单控 :2 个 4Gb FC 或 4 个1Gb iSCSI 双控 :4 个 4Gb FC 或 8 个1Gb iSCSI 硬盘数量 (可扩展 ) 单控 48 /双控 96 硬盘规格 SATA 硬盘： 500GB/1TB（ 7200 rpm） SAS 硬盘： 300GB/450GB（ 15k rpm） 硬盘密度 24 个 /框 性能特性 主机连接数量 (可扩展 ) 128 128 LUNs(可扩展 ) 512 1024 RAID 特性 RAID 支持能力 0、 1、 5、 10 等 可靠性 冗余保护能力 控制器、电源、风扇、 UPS 模块、级联模块（硬盘框） 热备盘 全局热备、预拷贝 掉电保护 数据保险箱、一体化 UPS 技术 主机兼容性 支持的操作系统 Windows、 Linux、 Solaris、 HP-UX、 AIX、 FreeBSD、VMware 等 软件特性 主机多路径 UltraPath（ for Windows/Linux/AIX）、 STMS(for Solaris）、 PV-Links（ for HP-UX） 管理特性 管理界面 Web GUI、 CLI 等 SAN 资源管理 LUN 动态调整 故障告警 网管界面告警、声光告警、 E-mail 告警、短信告警 远程管理 支持 Web 远程登录模式、支持 Modem 拨号连接，命令行配置 物理特性 电源 AC 200V 240V(50/60Hz), DC -48V -60V 功耗（控制框） 单控：交流： 725W/直流：625W 双控：交流： 828W/直流： 728W 单控：交流： 725W/直流：674W 双控：交流： 835W/直流： 775W 功耗（硬 盘框） 单控：交流： 668W/直流：617W 双控：交流： 680W/直流： 630W 单控：交流： 668W/直流：617W 双控：交流： 680W/直流： 630W 尺寸 4U， 175mm(H)*446mm(W)* 600mm(D) 重量 不带硬盘 45Kg（控制框）； 38Kg（硬盘框） 4 安全解决方案 4.1 安全体系层次设计 由于本次 *电业局 属于新建系统，因此整个 *电业局 网络安全的需求是全方位的、整体的，相应的网络安全体系也是分层次的，在不同层次反映了不同的安全问题。根据第三章中 我单位 对于安全 的风险分析， 我单位 将安全体系的层次划分为五层：物理层安全、系统层安全、网络层安全、应用层安全、安全保密管理。 4.1.1 层次一：物理环境的安全性（物理层安全） 包括通信线路的安全，物理设备的安全，机房的安全等。物理层的安全主要体现在通信线路的可靠性（线路备份、网管软件、传输介质）；软硬件设备安全性（替换设备；拆卸设备；增加设备）；设备的备份；防灾害能力、防干扰能力；设备的运行环境（温度、湿度、烟尘）；不间断电源保障，等等。 4.1.2 层次二：操作系统的安全性（系统层安全） 这一层次的安全问题来自网络内使用的操作系统： Windows 2003， Windows 2000， Unix等。系统层的安全性问题表现在三方面：一是操作系统本身的缺陷带来的不安全因素，主要包括身份认证、访问控制、系统漏洞等；二是对操作系统的安全配置问题；三是病毒对操作系统的威胁。 4.1.3 层次三：网络的安全性（网络层安全） 该层次的安全问题主要体现在网络信息的安全性。包括网络层身份认证，网络资源的访问控制，数据传输的保密与完整性，远程接入的安全，域名系统的安全，路由系统的安全，入侵检测的手段，网络设施防病毒等。 4.1.4 层次四：应用的安全性（应用层安全） 该层次的安全考虑提供服务 所采用的应用软件和数据的安全性，包括： Web服务、电子邮件系统等。此外，还包括病毒对系统的威胁。 4.1.5 层次五：管理的安全性（安全管理） 安全管理包括安全技术和设备的管理，安全管理制度，部门与人员的组织规则等。管理的制度化程度极大地影响着整个网络的安全，严格的安全管理制度、明确的部门安全职责划分、合理的人员角色定义都可以在很大程度上降低其它层次的安全漏洞。 4.1.6 总体部署 *电业局 的安全问题是一个系统工程， 我单位 在制定安全网络策略时尽可能地考虑到网络中的各个方面及网络的拓展性，采用TCP/IP协议进行网络通信的网络 ，在网络层对计算机通信进行安全保护是业界流行的安全解决办法。 综合考虑 *电业局 的实际安全状况，本方案中 我单位 从以下几个方面来采取相应的安全 措施： 1. 采用 VLAN 技术 2. 部署防火墙 3. 部署入侵检测系统 4. 部署安全审计系统 以上部署的安全产品在严格按照电子政务信息安全要求标准基础上，并遵循稳定性、先进性、可扩展性等原则进行选型。 *电业局 的安全管理部门应根据管理原则和 *电业局 数据 处理的保密性，制订相应的安全管理制度或采用相应的安全规范。可根据工作的重要程度，确定该系统的安全等级；及根据确定的安全等级，确定安 全管理的范围。 4.2 入侵检测系统部署 4.2.1 安全风险分析 随着网络基础设施及其应用的不断丰富，基于网络的各种安全事故也 不断出现 。造成这些网络安全事故最 根本的 原因是设计网络基础协议 时主要 考虑的 协议的互联互通性 ， 很少 考虑 协议 可能 存在的 安全漏洞， 当这些安全漏洞 被恶意的人们 利用就出现了层出不穷的安全事件 。但是当人们发现这些问题逐渐影响正常网络甚至业务运行的时候，再去修改这些相关基础应用协议代价太大。因此作为亡羊补牢的方式，出现了相关的网络安全防护产品。比如说防火墙、防病毒 产品等等。 然而， 防火墙无法正确分析掺杂在允许应用数据 流中的恶意代码，很多攻击或者恶意的行为常常 利用 防火墙开放的应用数据流来造成破坏。这就有必要提供专门针对各种应用数据流进行完整重组、判断其是否为正常 数据包 的产品 。 这种产品就是 入侵检测 系统 （ Intrusion Detection System） ，入侵检测系统 通过对计算机网络或计算机系统中 的 若干关键点 信息进行分析， 可以 从中发现网络或系统中违反安全策略的行为和被攻击的迹象 ，实时作出响应 。 入侵检测系统分为 基于网络的入侵检测系统（ NIDS）和基于主机的入侵检测系统 （ HIDS） 。 华为公司推出即 是基于 网络的 智能网络入 侵检测系统 （以下简称 NIP）。 4.2.2 安全风险解决 NIP 网络智能入侵检测系统是华为自主开发 ， 拥有知识产权的新一代基于会话的智能网络入侵检测系统 。 采用异常使用模式（ Anomaly） 和误用检测模式 （ Misuse） 相结合的检测方式 ， 部署于网络中的关键点，实时监控各种数据报文及网络行为，提供及时的报警及响应机制。其动态的安全响应体系与防火墙等静态的安全体系形成强大的协防体系，大大增强了用户的整体安全防护强度 。 4.2.3 智能网络入侵检测 设备 华为公司凭借在电信领域多年的技术积累，深刻的认识到可靠性设计对于一个网络设备的重要性。华 为防火墙从硬件到软件，从每个部件到整体构架都进行了深入的分析和考虑，在设计的每个环节都融入了可靠性的设计理念，保证从根本上为用户提供了安全可靠的网络环境，使得华为防火墙成为了一款真正安全的电信级高可靠的防火墙设备。 华为防火墙的硬件平台全部采用高可靠的元器件设计，保证了防火墙的硬件平台可以 24 小时不间断工作，这方面的硬件设计是很多防火墙厂商无法保证的，通过对硬件平台精益求精的设计使得华为防火墙有了一个稳定运行的基石。 1. 强大的入侵检测能力 NIP 内置强大的 IP 分片功能、智能协议解码器、高效的 TCP 流重组及细粒 度的会话分析功能，可以迅速、准确地检测各种攻击行为。同时 NIP 具有 2000 余种入侵特征库，可以检测 DoS、扫描、代码攻击、后门等多种入侵攻击。有效降低漏报和误报。 2. 灵活的响应方式 NIP 内置强大的 IP 分片功能、智能协议解码器、高效的 TCP 流重组及细粒度的会话分析功能，可以迅速、准确地检测各种攻击行为。同时 NIP 具有 3000 余种入侵特征库，可以检测 DoS、扫描、代码攻击、后门等多种入侵攻击。有效降低漏报和误报。 NIP 对检测到的入侵企图 或 违背 已 设定 的 安全策略的活动 做出实时 响应，并提供多种响应 方式 。包括： 切 断与入侵有关的会话 。 通过移动电话发送报警消息 。 通过电子邮件发送报警信息 。 运行用户指定的应用程序 。 在 Windows 操作系统 事件日志中记录报警 。 将与入侵有关的信息保存在数据库中 。 联动防火墙。当有入侵事件发生时，入侵检测系统向防火墙发送消息，防火墙将动态生成规则，阻断入侵者。 3. 增强的安全性 NIP 提供 根据入侵信息 发出入侵警报以及限制网络访问等功能，以保护服务器免受外部和内部的攻击。 NIP 通过简单易用的管理界面和 入侵检测、入侵阻断、入侵报警、入侵日志等功能，提供最佳的策略来增强 Internet 商 业环境的安全性。 NIP 特别适用于需要极高网络安全性的 机构 ，例如：审计 机构、安全顾问 机构 、安全法律执行机构、大型企业、 Internet 服务提供商、培训机构以及 涉及敏感信息的 政府机构等。 NIP 采用 stealth 技术，有效地防止入侵检测系统 的 暴露 ，提高 入侵检测系统自身的安全性。 4. 强大的报表功能 NIP 提供基于 Crystal Report 的报表功能。 可提供 100 余种报表样式，同时还 可实现 自定义报表的功能 。 5. 分级用户管理 NIP 的管理员类型包括三种：超级管理员、普通管理员和只读管理员。 超级管理员： 具有超级 权限，可以进行任何操作 。 普通管理员： 可以对授权的引擎进行查询、配置、编辑。 只读管理员：只能对授权的引擎进行日志查询操作。 不同级别的管理员拥有不同的管理权限，最大限度的保证了 NIP的系统安全。 6. 检测并分析各种入侵行为 NIP 采用基于协议分析的智能模式匹配，结合状态分析技术和异常行为检测技术，大大提高了检测的准确度，减少了漏报、误报现象。通过高效的模式匹配算法，大大提高了检测效率。内置 2500 种以上入侵规则，提供对 DoS、扫描、代码攻击、病毒、后门等各种攻击的检测能力。 基本的检测功能包括下面几种： 蠕虫 检测 NIP 实时跟踪当前最新的蠕虫事件，同时针对已经发现的蠕虫及时提供相关的事件规则。对于存在漏洞但是还未发现相关蠕虫事件的情况，通过分析其漏洞提供相关的入侵事件规则，最大限度地解决蠕虫发现滞后的问题。 协议解码 NIP 对常用网络应用层协议解码分析，记录网络中的异常行为。用户可以方便的自定义基于 TCP/IP 各种协议的分析事件，如： HTTP、SMTP、 FTP、 Telnet 等应用层协议连接、关闭； pop3 命令连接请求、应答，各种应用层协议的关键字解码等。 IP 碎片重组 NIP 对所监视网络中的 IP 碎片报文重组后 进行分析，防止 IP 碎片欺骗。 日志风暴处理 NIP可以将一定时间范围内的同种攻击类型事件合并成同一条事件，在控制台显示并记录攻击次数，防止控制台的日志风暴。 协议过滤和误报处理 NIP 能够对不需 NIDS 记录的某类 TCP/IP 协议的数据流进行过滤处理。同时，可以根据事件规则名和事件发生的源或目的绑定对事件进行排除，避免无需上报的事件再次出现在控制台或给 NIDS 增加不必要的负担。 7. 对安全事件做出响应 NIP 针对各个入侵事件提供实时响应功能，响应方式多种多样。主要包括： 报警 声音报警： 设置声音报警后，当有事 件发生时，控制台会发出不同的声音提示管理员。 焦点窗口： 设置焦点窗口后，当有事件发生时，即使控制台不是当前的焦点窗口，也会自动弹出成为焦点窗口，以使管理员及时发现发生的事件。 报警灯显示： 设置报警灯显示后，当有事件发生时，在控制台的左下角会有红色的报警灯闪烁，以提醒管理员。 邮件报警： 设置好邮件参数后，当有事件发生时，系统将向预先定义的信箱发送报警信息。 短消息报警： 设置好短消息参数后，当有事件发生时，系统向预先设置的手机发送短消息报警。 执行报警器程序： 通过拷贝 AlertMessenger.exe 和 AlertMessenger.ini 两个文件，不需要安装完整的控制台程序也可以实时显示报警信息。 SNMP Trap 报警： 当有事件发生时，向网络内的网管软件发送 SNMP Trap消息报警。 生成日志 生成常规审计日志： 常规审计日志在控制台实时显示报警事件，同时记录到数据库中。 生成详细审计日志： 对设置详细审计日志的事件，系统会详细记录整个会话的过程，事后可以通过报文回放工具重现整个会话过程，以便管理员分析，并可作为证据保留。 生成系统日志： 在 Windows 操作系统日志中，生成记录。 切断会话 针 对 TCP 连接，可以通过 TcpRest 的方式切断入侵会话。 执行程序 执行本地程序。 联动防火墙 当有入侵事件发生时，入侵检测系统向防火墙发送消息，防火墙将动态生成规则，阻断入侵者的入侵，以保护网络的安全。 8. 监控系统的活动和状态 除了提供入侵检测功能外， NIP 还提供对各种信息和状态的监控功能： 引擎状态监控 管理员可以实时查看引擎的状态，包括资源的使用情况和监听网卡的网络流量（当前会话数、当前流量、每秒报文数和每秒丢包数），通过显示每秒丢包数，可以及时发现网络中出现的异常情况。 服务器工作状态监控 网络中存在 很多提供应用服务的服务器，如： Web 服务器、 FTP服务器、邮件服务器等，这些服务器一般情况下都需要 24 小时运行，因此需要实时监控这些服务器是否正常运行。通过服务器工作状态监控功能，用户可以及时发现服务器的存活状态和相应服务的运行情况，以便第一时间发现并解决问题，最大限度地减少由于这些服务器不能正常运行而造成的损失。 邮件监控 邮件监控可以对通过 SMTP、 POP3、 IMAP 和 Web 传送的邮件信息进行监控，以避免泄漏敏感信息。 MSN 监控 NIP 可以对 MSN 的会话进行监控。 文件传输监控 NIP 以对通过 FTP 或 MSN 传输的文件进行监控，以避免泄漏敏感信息。 实时会话监控 系统可以实时显示当前会话列表。针对每一个会话，用户可以查看并记录会话内容，或者切断该会话。 有害站点监控 NIP 可以对黄色和暴力等有害站点的访问进行监控。 多端口监听 NIP 可以为每个引擎定义多个监