机房整改方案

XX机房整改方案目录一、XX站整改工程说明3二、XX站整改工程目标3三、工程实施要求41、可靠性：42、环境保护：43、灵活性：44、平安性：4四、施工方案简述4第一局部机房工程方案4第二局部：机房装修设计及施工方案6第三局部机房外缆整改及设备支座制作8五、机房综合工程设计标准10六、效果图11XX站整改工程说明本次XX站机房整改工程主要涉及XXX二楼机房、话务机房、电源机房等机房的整体维护。其中程控设备机房包含XXX交换机、传输设备、配线架等核心会聚设备。机房在多年的扩容和新建工程施工过程中，遗留了较多的硬件施工问题，为实现标准化机房建设实施本次整改工程。目前主要问题为：新建机柜需增加设备底座、线缆布防不标准、标签缺失、走线槽道缺失、外缆布防防护盒腐蚀、机房密闭条件差等，为设备平安运行造成重大隐患，也为机房日常维护工作带来了诸多困难。XX站整改工程目标本次整改将主要针对机房现存硬件安装问题进行整改，从根本上解决现存的硬件质量问题：整改子方案涉及机房装修工程UPS配电系统整改机房照明系统整改接地系统整改综合布线系统整改增加温湿度监控系统机房设备整改方案建设通过整改电源线、光纤、信号线等线缆的不标准布放，做到线缆布放科学、平安、整齐、美观；通过设备运行环境整改使机柜外观及内部设备防尘网干净、整洁，从而到达消除通信平安隐患、便于机房日常维护的目的；通过机房维护环境整改，实现标准化机房建设，确保设备维护环境达标；整改完成后：实施单位需汇总机房现场数据信息；对机房设备数据资料更新统计和修订；设备线缆标签整改；为机房后期的日常维护、扩容和巡检工作提供准确的数据资料。工程实施要求通过机房标准化整改考虑以下方面：可靠性：设备纤缆改造充分考虑“三防”、“三护”，XX机房敷设相关备用线缆；环境保护：考虑机房环境的特殊性，选用相关防火阻燃材料；灵活性：为节约资金，充分利旧原通信站线缆进行整改；平安性：工程实施过程中对XX站相关技术资料做到严格保密，需签订相关保密协议；施工方案简述第一局部机房工程方案整体机房面积约XX平方米左右。XX设备机房、XX机房及电源机房按国家标准B级机房设计和施工。1、机房功能区划分：主机房设在二楼。按国家B级标准机房设计和施工，按功能划分为XX机房、XX室、XX机房、电源机房、XX室五个功能区。2、机房装修使用：XX机房及XX机房采用防静电地板、微孔天花板、无眩光灯管等材料、防火窗帘及敷设防静电漆。3、机房配电系统：电源走线全部捋顺绑扎、重新制作标签、制作走线槽道，并充分考虑机房电源插座的冗余，保证机房配电的平安。4、机房防雷接地系统：机房接地和大楼接地共用，XX机房设备共地整改，地板支脚采用铜带接地，直流接地电阻小于2欧姆。5、机房控温系统：原有空调利旧，暖气方案采用装修包装或者更换为新型彩钢暖气两种预案，加装温湿度检测仪表。6、机房综合布线系统：要求整改厂家对机房进行了综合布线的设计，在各个功能区域相应墙壁地面30厘米高度处设置了相应数量的有网络信息点、点。保证在每个机柜下方开凿相应的穿线孔〔包括地板和线槽〕。在地板下均安装走线线槽，强电和弱电线槽相距30厘米以上。信号光纤及中继线缆均整改后放入线槽敷设；光纤布防：保护套管切口应光滑，否那么要用绝缘胶布等做防割处理；尾纤绑扎不应过紧，尾纤在线扣环中可抽动为宜，不能有扎痕；布放后不应有其它电缆或物品压在上面。机柜内的过长尾纤应整齐盘绕于盘纤盒内或绕成直径大于8cm的圈后固定。7、保存原巡检系统涉及的巡检按钮操作板，施工时注意相关线缆的防护；第二局部：机房装修设计及施工方案机房装饰：机房内放置有复杂的电子设备和通信设备，对装饰的要求，主要是满足通信设备对机房提出的技术要求，在机房装饰艺术上以既大方舒适，又满足其技术要求为原那么。对装饰材料的选择要到达吸音、防火、防潮、防变形、抗干扰、防静电等要求。装饰后，要使整个机房色调柔和、通透宽敞、不压抑、舒适。以其到达现代化的装饰水平和视觉效果。后续附机房装修效果图：1、机房高度设计正常要求为装修后净空高度〔指活动地板面至天花顶棚高度〕为2.3米~2.6米左右较为理想，这样既能满足人的视觉效果，不致于使人感到压抑，又能减少空调的制冷量，以节约能源。2、机房天花设计考虑设备机房的技术要求以及机房高度要求，整个机房天花吊顶选用全铝喷塑微孔天花板：色调柔和，不产生眩光、防火、防潮、易清洁、吸音，照明灯具均匀分布于天花吊顶上。施工要求：〔1〕对吊顶局部进行防尘处理，刷防尘漆，确保天花根底局部不起尘。〔2〕天花上部的照明线缆涉及线槽及天花板部份都要接地机房防静电地板局部1、防静电地板设计及选用标准〔1〕抗静电地板电阻率：〔10×107—10×108〕Ωcm〔2〕分布载荷：大于1500kg/m2。集中载荷：大于200kg/m2〔3〕抗静电活动地板高度：350±20mm〔地板下空间为送风静压箱〕2、地板材料选型视厂家报价选择木质、铝合金防静电活动地板、钢质地板等种类；建议采用：复合抗静电地板，该防静电地板外表采用进口抗静电复合材料，抗静电效果良好，此外还具有防火、防潮作用；该地板为无边地板，配合精度高，且美观、整洁、耐用、其抗静电、耐磨、承受力等各项指标均可与进口复合抗静电地板比美。安装要求：建议机房防静电活动地板的安装高度为300mm左右，活动地板下面可以有较大空间用作机房内的强弱电管线铺设和空调净压箱使用。3、防静电地板施工方案首先对机房地面，作防尘、防水处理，再开始刷地台漆二遍，起防潮、防霉作用，然后再刷防静电水泥漆一遍。在地板安装中，施工人员需严格按照图纸设计，拉好对角线后再安装地板，保证整体效果和配合精度。地板板面标高300~350mm，具有足够空间形成地板下净压风库并结合供配电系统的设计及施工。在地板施工中，要求注意异形地板〔如风口地板、走线地板、电源插座安装地板等〕的安装。另外需保证地板工程的防静电效果、接地效果。第三局部机房外缆整改及设备支座制作1、电缆缆绑扎整齐不交叉，路由合理，便于今后维护和扩容。2、电缆外表不能有划伤，中间不允许有接头，转弯处应圆滑。3、信号线和电源线分开绑扎，间距大于3CM。4、电源线不允许盘绕，一般交流电源线和直流电源线分开绑扎5、外缆接头处应加装防护箱；电源线与其它线缆分开电源线与其它线缆分开走线出口处需进行胶泥封堵，并增加相应标示；XX机房新增机柜缺失支座，安装完毕后另增加静电防护板，入设备纤缆增加波纹管并做好防护；安装细那么：机柜所有进出线孔应封闭处理，如采用小盖板的缝隙宽度不大于1个盖板宽度，采用布袋式的袋口应绑扎紧固；采用塑胶件的出线口大小切割应适宜。现场也可采取整齐美观、绝缘、阻燃的材料进行可靠封闭。设备支座采用标准支座，安装后要求设备底座与防静电地板平齐，并加装防静电防护板；机房综合工程设计标准新机房按国家标准B级标准机房设计和规划。本方案按机房建设方案依据标准〔B级〕设计，依据以下国家标准：《中华人民共和国计算机信息系统平安保护条例》《建筑与建筑群综合布线系统工程设计标准》〔CECS72:97〕《电子计算机机房设计标准》〔GB50057—1994〕《低压配电设计标准》〔GB50054-1995〕《电缆线路施工及验收标准》〔GB50168-1992〕《计算机机房用活动地板技术条件》〔GB6650-1986〕《通风与空调工程施工及验收标准》GBJ243-1982《工业企业通信接地设计标准》GBJ79-1985《电气装置安装工程接地装置施工及验收标准》〔GB50169-1992〕效果图电源标签安装图用户线标签安装图机房设备整改方案建设8.1优化后信息化建设拓扑图8.2IP地址及区域设计根据本工程需求，本方案将重新设计IP地址编址，重设计网络区域结构。具体如下:区域VLAN平安域外网/非信任域办公区独立VLAN1独立平安域领导区独立VLAN2独立平安域应用区独立VLAN200独立平安域数据库独立VLAN500独立平安域文件存储独立VLAN100独立平安域8.3路由设计本技术改造方案主要通过路由技术，采用静态路由技术引导数据流向走向，别离业务流量，提升业务效率。设备网络地址下一跳地址防火墙防火墙模式防病毒网关部署根据用户现场实际环境规划网络行为审计系统透明部署ZTE三层交换DHCP内网核心入侵防御系统透明部署数据库审计系统旁路部署8.4区域设计本方案设计的网络结构呈现出区域化，层次化构架，主要目的是为了便于网络管理、维护以及平安策略的针对性部署。各区域结构如下所述：Internet区域Internet区域将原有启明防火墙部署为互联网防火墙，连接新增的100M光纤链路，为档案局内网区域所有需要上网的终端和效劳器提供Internet代访问的防护，并设置相应管理策略，控制Internet访问权限和访问应用类型，保证Internet平安访问的需求。楼层接入区域楼层接入区域为如10.1.x.0/24网段，与原网络构架保持不变。其访问平安策略主要由其他区域的网关防火墙根据源端进行设置。核心网区域部署防病毒网关做为出口网关设备，具备高速转发的能力，在数据进行内外网交换机的时候并发进行蠕虫病毒的防护和杀毒过滤，保证上网内网的平安。满足82号令的要求进行网络综合行为的管控设计、存储日志的能力到达60天以上，并且具备公安部门认证资质，在下一阶段平安评测做好根底效劳。效劳器区域 效劳器区域设计为如/24网段，所有效劳器网关指向核心交换机效劳器区区域接口，即如。 效劳器区域主要有档案信息化应用效劳器、WEB效劳器、信息化数据库效劳器、文件效劳器、存储区域网络(SAN)设备等。 所有效劳器流量均由山石网科入侵防御系统根据平安策略控制访问，开启3000种入侵规那么防护策略，应用防护策略。平安策略采用白名单方式，根据源目IP地址以及目标端口进行设置，最大限度的保证外部区域对效劳器区域的平安访问。内容终端区域开启此技术特有功能，有效对内网数据、设备接口进行控制网络及终端平安设计方案网络系统拓扑图网络平安优化方案描述网络综合行为审计与控制网络的内容日益丰富，变得复杂、多样化。当今，互联网进入了应用级网络时代，大量未知的内容和信息纷纷涌进网络，病毒、黑客攻击、内部员工泄密等防不胜防，然而这些问题的本质是“管理”，如何管理员工上网行为，标准上网行为成为了每个企业首要面临的问题。目前，用户面临网络管理问题具体如下：无法为员工的上网行为进行有效管理随着业务不断的扩展，工作人员大大的扩充，现有的设备中已经无法满足公司的对员工上网行为的管理。关键业务流量无法保证，带宽受到严重堵塞虽然企业有很高的带宽，可是网络还是常常造成拥堵，网络中存在着大量的P2P软件，不能有效的管理和封堵，使得办公系统运转不顺畅，办公网页无法翻开，严重影响了正常业务的顺利进行。发现异常流量无法有效定位员工的不合理访问网络，带来多种隐患，导致网络中充满着大量病毒〔如ARP病毒〕。病毒在局域网内传输，制造网络攻击，常常造成网络的中断。档案信息化机密数据的保密无法得到真正的保障防火墙只能防御外部的侵袭，对于内部数据的泄露显得苍白无力，电子邮件、MSN/QQ以及BBS论坛等网络应用固然给企业带来了网络化使用的方便同时也是造成公司机密文档泄密的途径，必须进行必要的管理。非法网站的访问带来了较多的法律风险员工的上网不节制行为利用企业内部网络访问反动，色情，违反法律等网站，发表不发的言论等，这些都会给企业带来负面影响以及要肩负起法律责任，需要对这种行为进行限制。上班做私事，利用局里网络享受上网娱乐，降低工作效率员工在工作时间玩网络游戏、看网络电视、炒股等等，既占用公司正常业务流量也严重影响了员工的工作效率，带来企业无形资产的损失。涉及到的管理带宽管理如何令有限的带宽合理分配使用，需要上网行为管理提供精细网络带宽管理功能。可根据主机(单IP、IP组、用户组)、效劳(效劳组)、应用程序、时间、URL、文件类型等不同参数，提供灵活组合来实现带宽的预留、保障和限制。控制风险管理信息平安是一个复杂的系统工程。要实施一个完整的网络与信息平安体系，应包括一下三个结合：*根据国家与企业切身情况制定相关网络管理规章制度，行政与技术部门切实规章制度的落实。*网络平安技术的参加，如防火墙技术、网络防毒、身份认证、授权等。提供平安的网络边界。*对上网行为进行审计和管理。提供实时监控企业网络平安状态、提供实时改变平安策略的能力、对现有的平安漏洞进行查漏补缺等，以防患于未然。合规管理国家《互联网平安保护技术措施规定》、《信息平安等级保护》、《企业信息系统风险管理》等平安指导，均对学校、政府、企业、银行互联网访问的控制、审计提出要求。公安部33号令以及2006年3月1日公布实施的公安部82号令，都对互联网使用单位内部用户的上网行为提出了行为审计和记录的要求，尤其82号令要求互联网访问行为日志“至少留存60天”。行为管理通过策略与日志，管理者可以跟踪网络中的任何操作。对用户上网行为操作做出标准管理，减少内部泄密行为与病毒传播隔离。防病毒网关系统随着网络应用的不断开展，越来越多的木马入侵、病毒等攻击通过网络进行实施及传播，病毒传播的范围广、速度快，对网络用户造成了难以估量的损害。在金融网络中，由于内部网络与外界连接方式多样，联系业务众多，因此，在应用中难免也存在木马、病毒及恶意程序等泛滥传播的情况。为了解决病毒及恶意程序通过网络的传播问题，很多平安厂家，开始尝试发布病毒防护网关。但是，多数设备厂商都遇到了一个很大的技术难题，就是网关病毒防护会消耗大量的网关设备资源，而对数据的转发及处理造成很大的延时，成为数据快速转发的瓶颈，降低网络使用效率。Hillstone山石网科公司为了解决网络病毒传播及网关查杀毒性能瓶颈的问题，提出了全新的第二代网关防毒设计理念，采用全新多核处理器+ASIC+高速交换总线的硬件设计，结合基于并行流的杀毒机制，为了提高病毒查杀的识别能力，整合了杀毒业内知名防毒公司病毒库，最终实现了高性能的网关病毒防护功能。Hillstone山石网科产品的病毒防护功能主要有以下特性：基于64位多核处理器的设计架构，满足病毒防护对CPU和内存资源的高需求。多核CPU及专业的64位专用平安系统，确保了CPU的高效性能输出。基于并行流扫描机制的杀毒引擎，充分发挥硬件优势，确保病毒处理的高性能。先进的多核CPU并行处理方式，硬件数据包重组，确保了高性能。基于流的多层压缩文件解压。确保对压缩文件中病毒的彻底查杀。整合成熟知名杀毒厂家病毒库的实时自动升级，确保了最短时间内，及时的响应对最新病毒的查杀需求。支持对HTTP、FTP、POP3、SMTP和IMAP协议杀毒。能够及时发现多种常用协议传输数据中的病毒，进行有效的处理中断传输会话、杀毒、日志记录等多种处理机制。对于发现有病毒传播的数据流，可以设置多种处理方式。网关杀毒支持透明、路由、混合模式。可以满足各种网络环境部署需要。病毒防护功能开启时最大吞吐量达1.68G保证用户的主干链路数据传输延时不会过大，可让用户放心使用Hillstone山石网科平安网关。Hillstone山石网科的病毒过滤网关通过高性能、高可升级性解决方案，能满足金融网络现今低延迟和低响应时间应用的需求。如果配合网络版防病毒软件一起使用，这样为金融用户网络的病毒防护起到一个双保险的作用，效果更为显著。部署内网平安方案详解：>>信息保密管理：IP-guard严格控制网络连接，综合考虑政府文件的各种存在状态与访问途径，全方位多角度的保证机密文件只在可控范围内流通，文件平安无懈可击。控制网络接入，保证访问平安外部入侵检测：系统登记网络内计算机，即时检测是否有新计算机接入内网，对非法接入的计算机进行阻止，限制个人电脑随意接入内网，防止外部计算机非法入侵对政府信息网络造成的文件泄密与系统风险。内部通讯控制：设定网内计算机相互通讯权限，有效控制不同部门间的网络访问，保证需要保护的敏感计算机的平安。控制外部设备，防止外设泄密控制网内计算机外部设备的使用权限，包括存储设备、通讯设备、USB设备、网络设备及其他主流的计算机外部设备，并可监控禁止新设备的使用，多种途径阻止外接设备造成敏感文件外流各类设备控制可细化到最小分类，如USB设备可细分键盘、鼠标、光驱、Modem等，最大限度保证正常的设备应用控制移动存储，防止U盘泄密对指定移动存储设备中存取的文档进行自动透明加解密，U盘超出可信使用范围即无法访问，保证机密文件即使不慎流出也不会泄露导致严重后果分类管理内部流通的移动存储设备，只有经过认证加密的设备才可以在系统中使用，在保证合理应用的同时防止敏感文档经由非法存储设备流出控制文档操作，强化操作审计灵活限定网内计算机对特定文件的操作权限，包括创立、访问、移动、修改、删除、重命名等，防止敏感文件被泄露或删除当有设定的非法操作出现时，自动报警并备份文档，防止文件被篡改或者删除而造成严重后果完整记录网内计算机文档操作，多种条件灵活查询，以便有重大事件发生时进行审计定时记录客户端屏幕画面，支持输出为通用格式视频文件存档，便于在事件发生时直观复原事件原貌控制打印操作，防止打印泄密严格控制打印机的使用权限，控制打印程序，防止敏感文件通过打印途径泄露的同时，还可以管理打印消耗多个工程详细记录打印操作，并可完整记录每次打印的映像图像，直观查看打印内容，便于发生问题时追根溯源控制外发工具，防止传输泄密限制通过即时通讯工具如QQ、MSN等传输文件，支持在传输时进行备份以降低文件损失风险，持续更新并支持绝大局部的即时通讯工具控制邮件发送，阻止向不被允许的收件人发送邮件，控制附件的使用，支持在发送附件时自动进行备份，降低文件损失风险必要时也可禁止指定类别的IM及邮件程序的使用，即使改变程序名也继续有效，彻底杜绝通过网络传输泄密的风险﹡如需要，可提供即时通讯记录查看与邮件完整记录功能>>系统应用管理：IP-guard全面控制网内计算机应用程序与网络应用，完整的审计为IT管理者提供依据，杜绝平安隐患，做到专机专用，专网专用，有效提升应用效率。管理应用程序，保持系统高效自动收集网内计算机运行的各类程序，分类管理客户端运行的应用程序，防止危险程序运行带来的未知风险合理限制某些与政务无关的应用程序的使用，如游戏、炒股等，符合政府内网专机专用的要求，保持系统高效应用对网内计算机程序运行状况进行统计，生成报表，为管理提升提供依据﹡如需要，可提供客户端屏幕即时查看功能，方便管理管理网页浏览，降低染毒及未知风险控制网内计算机访问网站的范围，限制访问无关网页，完全禁止访问色情、暴力、反动网页，预防病毒、木马等平安威胁及政治风险策略设置灵活，支持黑名单和白名单，可以分时段、分类别进行控制详细记录统计网内计算机网页浏览状况，生成直观图表，方便管理者发现问题管理网络流量，高效利用带宽资源限制客户端网络流量，禁止P2P下载、在线视听等无关网络应用，防治网络拥堵，保证正常政务处理业务流量，使带宽资源得到最优利用可针对时段、端口、IP地址等参数灵活控制，实现更加人性化的管理统计客户端流量使用情况，迅速发现网络拥堵症结所在，为网络资源分配提供依据>>维护与资产管理：IP-guard加强集中管理，远程维护简化冗繁工作，轻松管理补丁与漏洞，保证系统持续稳定；全面资产管理让国有资产绝不轻易流失。简化系统管理，迅速排除故障实时远程查看网内计算机进程、性能等运行状态，分析故障原因并进行远程协助，快速排除故障，解决系统问题支持远程连接操作网内计算机桌面，方便进行协助或者示范操作支持文件在客户端与控制机间双向传送，方便内部沟通便捷资产管理，保卫国有资产即时监控网内计算机软硬件资产状态，包括硬件、操作系统、应用程序等，记录资产变更，保证国有资产绝不流失支持自定义管理非IT资产，扩大资产管理的覆盖范围，查询便捷强化补丁及漏洞管理，让系统无懈可击集中扫描网内计算机补丁安装情况，及时下载并集中部署安装，保证系统安装最新补丁，及时修补严重威胁漏洞集中扫描网内计算机系统漏洞，包括权限、密码及系统设置等问题，提出改良建议，帮助消除平安隐患快捷软件分发，便利程序安装便捷制作软件安装包，部署任务，分发到系统内各计算机并自动安装，大大减轻IT管理人员逐机部署应用程序的负担，方便应用软件在内部的大规模应用支持复制特定程序或文件到客户端，简化文件分发，加快信息传递使用产品选型设备需求品牌参数生产地网络行为综合审计系统网神北京防病毒网关山石北京内网平安系统溢信内网终端管控系统广州IT运维与库房机房环境动力平安建设目标在中心机房和库房独立部署整体的机房动力和环境监控。主要包括精密空调〔或家用空调〕、UPS运行状态监控、温湿度、烟感和漏水监控、配电柜开关及市电监控。对机房内运行的各应用系统平台的可用性、以及支撑应用系统运行的网络设备、效劳器、数据库等的运行状态进行监控。提供机房动力环境长期的监控报告，提供机房内各系统及设备长期运行状态分析报告。当不利的动力和环境状况出现时，当网内内各系统及设备运行异常时能进行声音、监控屏幕弹出窗、短信、电子邮件远程报警等各种手段的预警，以及在发生故障时进行迅速的警告。资产管理。可对设备的使用壮况如名称、型号、购置日期、质保时间、使用人〔处室〕等提供在线管理。建设原那么平安生产的原那么：

由于网络系统的重要性，各种技术方案、产品、客户化工作的实际实施必须经过充分的测试和验证，并需精心设计实施方案，以保证不会对用户现有网络的正常运行和业务系统的正常使用造成任何影响；同时，应充分考虑工程实施过程中的回退和应急方案，以保证在最短时间内恢复由于新系统的实施对网络造成的影响。开放性原那么：

网络系统管理平台需要基于开放的管理平台，遵循业界标准，并提供开放、灵活的信息交互及管理接口，能提供开发接口，方便扩展管理功能，并且支持第三方厂商的应用集成，为产品的选型提供更高的灵活性。可用性原那么：

网络系统管理平台的部署不需对原有的网络系统结构、平安策略等方面做较大修改和调整，对原有网络系统性能影响最小化，尽量少的占用网络资源、被监控效劳器资源不得超过现有资源的百分之五，可定期自动去除“垃圾”文件和“垃圾”数据。健壮性原那么

网络系统管理平台具有较强的免维护能力，能够长时间稳定运行，自身维护要求简单，具有快速恢复功能。扩展性原那么：

网络系统管理平台具有较强的扩展性，能够在包括管理范围、管理功能、管理数量等方面提供灵活、多样的扩展能力。展示形式多样性原那么：

网络系统管理平台能够对收集的数据进行分析处理，生成技术、运维管理等层面的相关报表、视图等，根据不同级别用户的实际需求，提供灵活、多样的展示形式，能提供中文界面。可定制原那么：

提供灵活的部署方式，在客户化、管理策略、事件关联、报警方式、报表生成、信息展示、管理流程等方面可以按实际需求进行定制，并支持用户的二次开发。成熟优先、适度超前原那么：

系统整体设计应该统一标准，模块设计清晰合理，通信接口明确透明，能够有效地实现后台一体化管理。在此根底上，该网络管理系统应具有适度的先进性。解决方案监控系统简介“飞思网巡”是创新和领先的IT运维管理硬件产品。“极简”的设计提供全网IP通信线路，以及机房IP网络全面监控预警解决方案。内容包括DDN专线和VPN隧道等通信线路、效劳器的硬件和各种操作系统、数据库和应用系统、网络设备的运行状态和性能，IP和应用流量分析，机房动力环境等。“飞思网巡”系统为方便的全Web方式配置和管理，以“简约”设计为核心，使用简单，运行平安稳定。系统为旁路接入用户IP网络中。它不改变任何网络结构，带来新的单点故障，对网络带来不利影响，对监控管理目标影响极低。系统具有全面的监控管理功能，主要对用户的机房网络根底设施和IT系统带来全面的监控、管理、预警和运维能力。架构“飞思网巡”专用系统基于高效平安Linux内核，全web配置管理，运行更稳定可靠，监控预警更快速准确。优化的核心程序，对网络带宽占用极低，同时对目标网络设备和效劳器性能影响极低。系统主要由数据采集、数据储存和分析处理、B/S可视化人机界面、报警等模块组成，并提供多种扩展组件。系统架构数据采集模块数据采集模块通过SNMP、WMI、SYSLOG、IPMI、各种应用层协议〔ICMP、HTTP、FTP、TELNET、SMTP、POP3等〕及私有协议，对网络专线〔DDN、VPN〕、网络设备、效劳器、各种应用和数据库系统、机房环境等进行各种数据采集，提交到数据储存和分析模块处理。数据储存和分析模块数据储存和分析处理模块对采集模块提交的的数据进行分析，确定监控目标的状态〔正常、一级和二级告警、错误等〕，向B/S可视化人机界面模块提交状态信息。同时，将数据储存到数据库中，提供接口供人机界面模块进行历史数据查询。B/S可视化人机界面模块B/S可视化人机界面模块通过web对用户提供配置、管理和告警接口。用户通过web进行系统配置、监控目标配置，查看网络拓扑图和监控目标的状态，查询历史数据生成详尽的性能曲线图、故障和告警历史记录，生成报表。人机界面也提供完整的管理员操作日志查询、配置备份和恢复、系统手动和自动升级等多种管理功能。预警模块预警模块通过人机界面的弹出窗口和声音进行声光预警，同时支持通过发送电子邮件和短信等多种手段进行预警。扩展组件系统提供流量分析、机房动力环境、设备日志储存管理等多种组件，根据需要可灵活扩展。流量分析组件通过netflow/sflow/抓包分析等进行IP和应用流量统计、TOPN列表、故障诊断、带宽容量规划决策等高级功能。机房动力环境组件结合动力和环境探测设备，可以实现对机房动力〔市电〕、环境参数〔温度、湿度、烟雾、漏水〕和UPS、精密空调等智能设备的监控预警。日志储存效劳组件通过SYSLOG协议接收和储存被监控的网络设备、效劳器的日志。提供查询和管理，快速发现和定位存在的设备和效劳器平安事件，设置指定关键字日志监控预警等高级功能。建议方案机房方案图中心机房和两小机房全面监控预警方案图在中心机房和两小机房各部署一台“飞思网巡”硬件设备，以及相应的环境监控设备。如上图所示。主要应用价值实现对机房的各应用系统，以及支撑业务系统运行的网络、效劳器、数据库、机房动力和环境等根底设施的平安性、可靠性、稳定性和性能表现进行深入监控，以及能提前预知故障和排除故障，防止对中心业务带来影响。主要内容为：机房动力环境：市电/UPS等动力情况，温度/湿度/烟雾/漏水等环境参数。应用系统：业务系统/OA/ERP/WEB/邮件系统/中间件等可用性、响应时间和运行状态。网络设备：CPU/内存/Flash/端口状态和流量等。效劳器：机箱、CPU温度/风扇转速/电源等硬件状态；CPU/内存/磁盘空间/IO读写/网口状态和流量/进程效劳等操作系统性能状态。数据库：表空间/响应速度等数据库性能指标。链路：上网专线/到异地DDN和VPN/互联链路的通断/丢包率/延时和流量等。流量分析：通过netflow/sflow/抓包分析等进行IP和应用流量统计、TOPN列表、故障诊断、带宽容量规划决策。SYSLOG收集分析：集中管理网络设备/效劳器等的日志信息，快速发现和定位存在的设备和效劳器平安事件。预警和管理：设置两级阀值，弹出窗口/电子邮件/短信预警，实现运维流程管理。不断提升网络管理人员的工作效率，与效劳器中心的整体开展要求相适应。通过监控系统对效劳器定时关闭开启的能力，打造节能绿色机房。方案特点“飞思网巡”硬件平台，是创新和领先的硬件产品，具有鲜明的特点，主要为：硬件产品，旁路接入，全web管理，简单易用。基于linux定制的专业操作系统，集成数据库，降低本钱，不会感染病毒，长时间不间断运行，高效平安。创新的“云技术”应用，实现可靠的分布式部署，集中监控。优化的数据采集程序设计，对带宽占用低、目标网络设备、效劳器等性能占用接近零。对效劳器定时关闭开启的能力，打造节能绿色机房。加强的预警机制，多级阀值设定，电子邮件和短信通知准确迅速。模块化设计，定制支持能力更强。产品选型本工程建议选用专用硬件平台，通过跟高效和平安的Linux操作系统、模块化设计的软件进行优化整合，形成的一体化产品具有更高的稳定性、性能，并且易于部署和维护。中心机房〔一套〕设备需求品牌参数生产地”IT运维管理与机环动环监控系统飞思·全web配置管理，可视化图形界面，自定义首页，曲线图循环播放展示。·IP和网段自动扫描，自动分类，自动形成树形结构。·短信、电子邮件、弹出窗口等多种种报警方式，支持多级阀值设定。·对DDN和VPN等链路的可用性、质量进行监控。·对主流网络厂家的网络设备进行监控，包括ping存活探测，cpu、内存、存储器空间、接口流量等运行状态。对F5负载均衡设备业务性能提供深入支持。·主流效劳器厂商的效劳器〔支持IPMI协议〕的硬件状态进行监控，包括效劳器内部环境温度、主板温度、CPU温度、CPU风扇转速、电源状态、电源电压、CPU电压、CMOS电池容量等。并且可实现远程开关机等管理功能。·对Windows、Linux、AIX、HP-UX、VmwareESX(i)/vSphere等操作系统的效劳器的ping存活、系统资源〔cpu、内存和磁盘空间〕、接口流量、进程等进行监控。·支持对HTTP、HTTPS、FTP、Telnet、FTP、ICMP、IMAP、Pop3、SMTP和任意TCP端口上的应用效劳进行监控。·对广泛应用的IIS、Apache、Nginx，以及Tomcat、Weblogic、WebSphere中间件等效劳的详细运行状态和性能参数进行监控。·对Oracle、Mysql、SqlServer、DB2等主流数据库进行表空间利用率、数据文件的每秒I/O操作、已连接的用户数等众多参数进行监控。·对机房温湿度、漏水、烟雾等环境参数，以及市电和UPS等动力状况进行监控〔需要额外的附加探头支持〕。·支持历史性能曲线、故障和通知历史记录、管理员操作历史记录和报表功能，支持导出excel格式的报表。·支持基于角色定义的分级权限管理·支持自动网段扫描和智能向导配置，以及网络拓扑图功能，支持导入机房真实图片及拓扑图。·支持PING、Traceroute、CheckTCP、SNMPWALK、Ipmitool等诊断工具。·支持远程协助，提供在线帮助系统。本次配置30个监控网元，3套温湿一体型传感器，1路缆式水浸传感，2个烟雾传感器，1套三相智能电量检测仪，1个开关量采集器，1路智能设备监控主机〔精密空调，1路智能设备监控主机〔UPS〕，1个GSM短信猫 北京详细描述如下：监控系统主设备 “飞思网巡”IT运维管理设备1000型〔需支持监控30IP〕Web方式配置管理，采集网络、效劳器、数据库、机房动力和环境等根底设施等各种数据，分析数据，提供历史记录和报表，发送电子邮件、短信等报警信息。1安装在机柜中。通过网线接入交换机。网络型动力环境监控设备 APEM6300环境监控主机可总线式接入最多8路TH3101〔数字温湿一体型传感器。如需接入超过8路，可定制〕。带3路开关量输入，可接入共3路漏水和烟雾监控。带1路485接口。带液晶显示。1APEM6300安装在机房入口处，并将TH3101安装在需监测温湿度的地方。如墙壁和机柜位置。APEM6300通过网线接入交换机。TH3101数字温湿一体型传感器数字温湿一体型传感器3APEM6300带3个TH3101。5803缆式水浸传感器区域漏水检测。含控制器，引出线，〔5米〕感应线，终止端，固定胶贴。1安装在精密空调主机周围。通过2根信号线接入环境主机的开关量端口。668烟雾传感器离子型。2安装在机房2个需重点监测烟雾的天花板上。通过2根信号线接入环境主机的开关量端口。AJ34三相智能电量检测仪液晶显示，485通信端口。测量三相四线制电力线路的电压、电流、频率、功率因数、有功功率、无功功率、总基波功率、总谐波功率，有功电度、无功电度。1安装在配电柜内。通过2根信号线接入环境主机的485端口。D86开关量采集器485通信端口。监控空气开关状态。1安装在配电柜内。通过2根信号线与AJ34三相智能电量仪手拉手链接，最终接入环境主机的485端口。TS100智能设备监控主机〔精密空调〕485通信端口及以太网口。监控精密空调运行状态。1安装在精密空调控制板附近。通过2根信号线将485通信端口连接精密空调485通讯端口。通过网线将以太网口接入交换机。TS100智能设备监控主机〔UPS〕RS-232通信端口及以太网口。监控UPS运行状态。1安装在UPS附近。通过UPS随机附带的串口线缆〔如不了解，需咨询UPS厂家〕连接RS-232通信端口与UPS智能通信口。通过网线将以太网口接入交换机。短信发送附件GSM短信猫 用于发送预警短信。USB接口。1通过USB线缆连接“飞思网巡”IT运维管理设备USB端口。数据中心的存容灾备份与平安数据中心现状数据中心优化前方案数据中心防入侵系统在档案局效劳器入口处处部署一套网络入侵防御系统，通过设置检测与阻断策略对流经入侵防御系统的网络流量进行分析过滤，并对异常及可疑流量进行积极阻断，同时向管理员通报攻击信息，从而提供对网络系统内部IT资源的平安保护。入侵防御系统能够在第一时间阻断各种非法攻击行为，比方利用网络系统薄弱点进行的直接攻击和增加网络流量负荷造成网络环境恶化的DoS攻击等。保护关键业务隔离企业内网攻击hillstone网络入侵防御系统解决方案优势它可以完成多种协议的格式解析按照协议来划分，没有协议特性的归入全端口检测当前支持６个协议：DNS、FTP、HTTP、POP3、SMTP、Telnet 支持3000多个signature的检测结合应用识别模块可以检测非标准端口对于HTTP的防护非常细致颗粒化HTTP防护分类：Web平台Web认证Web授权输入验证Web数据存储〔例如SQL〕XMLWeb效劳Web应用管理Web客户端DOS支持IPS在线模拟和IPS模式IPS在线模拟模式，仅提供协议异常和网络攻击行为的告警、日志功能，不对检出攻击做reset、block操作。IPS模式，提供协议异常和网络攻击行为的告警、reset、阻断功能。提供防御暴力破解功能，并在设定时间内阻断后续认证登陆尝试暴力破解，检测每分钟对多允许的登录〔密码验证〕尝试次数。如果超过配置阈值，那么根据用户配置的行为进行处理。对SMTP、POP3、FTP、Telnet协议提供暴力破解功能。暴力破解被认为是一个”Critical”级别事件。对网络攻击事件分为Info、warning、critical三个平安级别，可根据平安级别对网络攻击行为设定告警、重置及block的操作。平安级别设置三级，Information、Warning、Critical。用户针对不同平安级别可配置不同的操作，包括仅记录日志、重置连接、阻断攻击IP或service。提供效劳器信息保护由于Web、Mail、FTP等效劳器平安设置级别不高，可能在应用交互过程中泄露效劳器版本等重要信息，成为黑客进行入侵攻击的通道之一。IPS提供HTTP、SMTP、POP3、FTP效劳器信息的保护功能，替换在应用交互中效劳器回应给客户端的信息。提供协议异常和网络攻击行为的告警、reset、阻断功能提供详细的攻击防护日志输出提供详尽的在线帮助文档，帮助用户了解IPS检测出的网络攻击行为的详细信息及解决方案提供用户基于signatureid、application、ip、user、zone、interface的入侵次数统计集设置。用户可通过这些统计集从不同纬度分析网络攻击行为。支持IPS特征库及IPS相关配置的双机热备功能支持IPS特征库的批量及实时同步支持IPS相关配置的批量及实时同步Hillstone山石网科入侵防御系统能够提供很好的内网攻击防护功能，结合来自网络外部的攻击防护功能，能全面杜绝内网ARP、DDoS攻击和外部非可信网络的攻击，全面、高效、平安的保护用户的网络，还用户一个平安、干净、舒适的信息环境。高可靠性和稳定性依靠积累多年被证实的专业硬件平安产品研发和市场经验，Hillstone山石网科入侵防御系产品无论在软件还是硬件的稳定性和可靠性上都有了进一步提高。全面优化的软硬件系统的稳定性和高可靠性为网络流量和网络攻击日益膨胀的xxx单位网络IT环境提供了强大的保障。最低的总体拥有本钱Hillstone山石网科入侵防御系提供了非常友好的使用和管理界面，部署简单、易于维护和管理。灵活的特性可以满足不同用户不同应用环境的需求。独特创新的新一代网络平安架构提供应用户最大化的可扩展能力，最大化地保护用户投资。强健的专用实时操作系统Hillstone山石网科入侵防御系采用了专用的64位实时并行操作系统——StoneOS，其并行处理能力和模块化的结构易于集成和扩展更多的平安功能。针对新一代多核处理器进行的全面优化和平安加固极大地提高了系统处理效率、稳定性和平安性。模块化和并行多任务的处理机制，为Hillstone山石网科入侵防御系提供了极大的可扩展能力，包括支持更多的核处理器和集成更多的平安功能。强大的抗攻击能力Hillstone山石网科入侵防御系的多核处理器具有天生的高性能内容平安处理能力，结合专用定制操作系统，能够提供高性能的应用平安处理能力和更强的应用层抗攻击能力。Hillstone山石网科入侵防御系每秒能够提供多达40万的TCP会话请求，具有超强的SYNFlood抗攻击能力和DDoS抗攻击能力。产品选型设备需求品牌参数生产地入侵防御系统山石网科北京数据中心数据审计由于政府和企事业单位的数据库系统都实现了网络化访问，内部用户可以方便地利用内部网络通过各种通讯协议进行刺探，获取、删除或者篡改重要的数据和信息。同时，一些内部授权用户由于对系统不熟悉而导致的误操作也时常给数据库系统造成难以恢复的损失。此外，对于使用IT外包和代维的大型机构而言，如何限制外部人员对数据库系统的访问权限也是一个难题，外包方的技术工程师可能在开发数据库应用的时候留下后门或者幽灵帐号，为将来侵入数据库系统埋下隐患。另一方面，为了保护敏感信息、加强内控，国家强制机关和行业的主管部门相继公布了各种保护公民隐私，以及合规和内控方面的法律法规和指引，例如《企业内部控制根本标准》、《银行业信息科技风险管理指引》、《证券公司内部控制指引》、《保险公司风险管理指引〔试行〕》等。其中《中华人民共和国刑法〔七〕》第253条明确规定“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供效劳过程中获得的公民个人信息，出售或者非法提供应他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处分金。”此外，在国际上，美国政府针对上市公司的萨班斯〔SOX〕法案、针对医疗卫生机构的HIPAA法案、针对联邦政府机构的FISMA法案，支付卡行业数据平安标准〔PCIDSS〕都对信息保护和内控提出了严格的要求。这些条例和指引都要求对网络中的重要数据库系统进行专门的平安审计。可以说，随着平安需求的不断提升，网络平安已经从以防范外部入侵和攻击为主逐渐转变为以防止内部违规和信息泄露为主了。在这种情况下，政府和企事业单位迫切需要一款专门针对网络中数据库及其业务信息系统进行全方位审计的系统。网神借助多年在平安管理领域的积累，推出了SecFox-NBA〔业务审计型〕，很好地满足了客户的平安审计需求。网神SecFox-NBA〔NetworkBehaviorAnalysisforBusinessAudit〕网络行为审计系统〔业务审计型〕通过对连接到重要业务系统〔效劳器、数据库、业务中间件、数据文件等〕的数据流进行采集、分析和识别，实时监视用户对业务系统的访问，记录、发现并及时制止用户的误操作、违规访问或者可疑行为。SecFox-NBA〔业务审计型〕能够对复杂网络环境下的各种数据库操作行为进行细粒度审计。产品能够对运行在各种操作系统上的各种品牌数据库的操作进行记录并回放，审计的行为包括DDL、DML、DCL，以及其它操作等行为；审计的内容可以细化到库、表、记录、用户、存储过程、函数、调用参数，等等；不仅能够审计请求信息，也能够审计返回结果，还支持操作内容回放。SecFox-NBA〔业务审计型〕独有面向业务的平安审计技术，通过业务网络拓扑记录客户业务网络中各种数据库、主机、web应用系统相互的关联性，审计人员可以根据业务网络的变化快速查看业务网络中各个设备和整个业务网络的事件和告警信息。SecFox-NBA〔业务审计型〕能够自动地或者在管理员人工干预的情况下对审计告警进行各种响应，并与包括各种类型的交换机、路由器、防火墙、IDS、主机系统等在内的众多第三方设备和系统进行预定义的策略联动，并能够实时阻断可疑的网络通讯，实现平安审计的管理闭环。SecFox-NBA〔业务审计型〕为客户提供了丰富的报表，使得管理人员能够从各个角度对业务系统的平安状况进行审计，并自动、定期地产生报表。产品部署简便，不需要修改任何网络结构和应用配置，不会影响用户的业务运行。产品特点SecFox-NBA网络行为审计系统〔业务审计型〕的主要特点包括：全方位的数据库审计数据库操作实时回放多角度的业务审计应用效劳实时监控资源转换与审计控制内置数据库防攻击策略快速响应和协同防御海量存储便于事后分析部署灵活简单易用详尽有效审计报表多数据库系统及运行平台支持SecFox-NBA〔业务审计型〕产品能够对多种操作系统平台下各个品牌、各个版本的数据库进行审计。产品能够审计的数据库系统包括：Oracle8i/9i/10g/11gSQLServer2000/2005/2008IBMDB27.x/8.x/9.xIBMInformixDynamicServer9.x/10.x/11.xSybaseASE12.x/15.xMySQL4.x/5.x/6.x国产数据库，例如达梦、人大金仓等产品能够审计的数据库运行平台包括：Windows、Linux、HP-UX、Solaris、AIX。细粒度数据库操作审计SecFox-NBA〔业务审计型〕能够深入细致地对数据库的各种操作及其内容进行审计，并且能够用户通过各种方式访问数据库的行为。系统审计的行为包括DDL、DML、DCL，以及其它操作等行为；审计的内容可以细化到库、表、记录、用户、存储过程、函数、调用参数，等等。如下表所示：操作行为内容和描述用户行为数据库用户的登录、注销数据定义语言〔DDL〕操作CREATE，ALTER，DROP等创立、修改或者删除数据库对象〔表、索引、视图、存储过程、触发器、域，等等〕的SQL指令数据操作语言〔DML〕操作SELECT，DELETE，UPDATE，INSERT等用于检索或者修改数据的SQL指令数据控制语言〔DCL〕操作GRANT，REVOKE等定义数据库用户的权限的SQL指令其它操作包括EXECUTE、COMMIT、ROLLBACK等事务操作指令系统不仅能够审计数据库操作请求，还能审计操作的返回结果，包括成功或者失败。如果失败，能够审计到返回的错误码。系统能够对各种访问数据库的途径进行监控和审计，参见下列图：如上图Oracle数据库审计所示，无论用户通过Oracle自带的企业管理控制台、PL/SQL命令行、SQL*PLUS进行访问，还是通过第三方的QuestTOAD〔ToolforOracleApplicationDevelopers〕工具访问，抑或通过中间件、浏览器、客户端程序/代理方式访问，等等，SecFox-NBA〔业务审计型〕都能够进行审计。特别地，如果被审计的数据库网络数据被加密处理了，SecFox-NBA〔业务审计型〕为用户提供了一个通用日志采集器模块，借助该模块，系统能够自动的采集被审计数据库的日志信息，并在审计中心对其进行归一化和关联分析。此外，SecFox-NBA〔业务审计型〕还能够监测数据库系统所在主机的网络通讯，对该主机的FTP、文件共享等协议进行审计，确保数据库系统上的数据平安。可视化的数据库审计SecFox-NBA〔业务审计型〕系统为用户提供了简介易用的操作界面，使得普通管理员就能够对复杂的数据库系统进行审计。系统提供了多种可视化的审计手段，包括：智能监控频道智能监控频道为用户提供了一个从总体上把握企业和组织中所有数据库及其相关系统平安情况的界面。每个频道包括多个监控窗口，可以显示多方面的平安信息，窗口可以缩放、可以移动换位、可以更换布局、可以调台，显示管理员想看的内容。SecFox-NBA〔业务审计型〕提供丰富的频道切换器，用户可以在不同的频道间切换。同时，用户也可以自定义频道，包括自定义布局和展示内容。行为分析图用户可以对一段时间内的数据库操作指令进行行为分析，并生成行为分析图。行为分析图将一段时间内的数据库操作按照不同的属性进行排列和连接，形象地展示在坐标轴上，让管理员一目了然的看到操作所代表的用户〔IP〕行为。业务拓扑图通过网神独有的业务拓扑功能，可将业务系统中相关的数据库、主机、效劳等对象以拓扑图的方式展现出来。通过业务拓扑，用户能够直观地看到该业务系统的组成，并方便地查看业务系统的告警信息和流量信息。数据库操作实时回放SecFox-NBA〔业务审计型〕对访问数据库、FTP、网络主机的各种操作进行实时、详细的监控和审计，包括各种登录命令、数据操作指令、网络操作指令，并审计操作结果，支持过程回放，真实地展现用户的操作。传统的数据库或者网络审计系统都采用基于指令的操作分析〔Command-basedRecordAnalysis〕技术，可以显示出所有与数据库主机相关的操作，但是这些操作都是一条条孤立的指令，无法表达这些操作之间的关联，例如是否是同一用户的操作、以及操作的时间先后，审计员被迫从大量的操作记录中自行寻找蛛丝马迹，效率低下。借助网神独有基于会话的行为分析〔Session-basedBehaviorAnalysis〕技术，审计员可以对当前网络中所有访问者进行基于时间的审查，了解每个访问者任意一段时间内先后进行了什么操作，并支持访问过程回放。SecFox-NBA〔业务审计型〕真正实现了对“谁、什么时间段内、对什么〔数据〕、进行了哪些操作、结果如何”的全程审计。多角度的业务审计对于用户而言，要保护核心数据，仅仅依靠对数据库的审计是不够的。内部人员违规操作的途径有很多，有的是直接违规访问数据库，有的是登录到数据库所在的主机效劳器上，有的是透过FTP去下载数据库所在主机的重要数据文件，还有的是透过其他程序或者中间件系统访问数据库。所以，必须对数据库、主机、HTTP协议、TELNET、FTP协议，网络流量、中间件系统都进行审计，才能更加全面的发现违规、防止信息泄漏。这就是面向业务的平安审计。业务系统是由包括主机、网络设备、平安设备、应用系统、数据库系统等在内的多种IT资源有机组合而成的。因此，面向业务的审计就要对构成业务系统的各个IT资源之间的访问行为以及业务系统之间的操作的审计，这样才能真正反映出业务系统的平安状态。网神SecFox-NBA〔业务审计型〕就是这样一个集成了数据库审计、主机审计、应用审计和网络流量审计的面向业务的综合平安审计系统。SecFox-NBA〔业务审计型〕产品采用多种方式来更深入具体地分析业务系统：复杂环境支持：根据实际网络情况，系统管理员可以定义多个业务网络。业务网络拓扑：系统能够记录客户业务网络中各种数据库、主机、web应用系统相互的关联性，根据业务网络的变化可以快速查看业务网络中各个设备和整个业务网络的事件和告警信息。可视化行为分析：通过可视化的行为分析，可以清晰地定位访问源、访问目标效劳器、应用协议及其操作内容。业务流量展现：系统能够展示出业务网络中各个节点〔包括主机、无IP设备〕在网络中的应用层的流量分布情况，管理员可以根据业务网络流量优化业务网络。三层架构的业务审计：现行的很多业务系统都是基于客户端/浏览器、应用效劳器和数据库的三层架构。单纯审计数据库，可能获取的用户名称和访问地址都是中间件的用户和地址，难于定位访问源。采用基于业务的审计就可能化解这个问题，系统可以将客户端访问的效劳，中间件，数据库建立一个审计的业务，利用访问时间作为关联条件，将客户端访问和数据库访问关联，通过可视化的行为分析，定位访问源。应用效劳实时监控应用效劳是企业和组织IT应用的核心，SecFox-NBA〔业务审计型〕采用先进的主动探测监控方式，无需在应用效劳系统中安装任何代理或软件，模拟应用数据直接监控这些应用效劳，一旦这些效劳出现无法响应或响应太慢，将会触发事件告警及时通知管理员，管理员可以迅速采取相应的措施。管理员可以根据自定义的时间段生成监控报表，报表可以另存为HTML、EXCEL、文本、PDF等多种格式。通过这些报表可以了解应用效劳的实际运行性能，帮助管理员制定相关应变措施，帮助应用开发人员进行调整优化。SecFox-NBA〔业务审计型〕可监控企业和组织的各类应用效劳，包括各类数据库、中间件等，不但可以监控这些应用和效劳的状态和响应时间，还可以监控他们的详细性能指标，例如Oracle数据库的表空间大小等，可以为管理员提供全面而详实的参考信息。系统还提供监控快照功能，实时提供各种详细的监控指标。管理员可以在一个界面上查看所有的监控信息，并了解之间的联系，而不是孤立地看待每个指标。系统提供图形和数据等多种方式，便于管理员全面的了解和分析应用和业务的性能和故障。资源转换与审计控制SecFox-NBA〔业务审计型〕支持敏感信息的屏蔽，防止审计人员看到不归他管的敏感数据；当用户所属角色没有敏感信息查看的权限时，那么该用户在查看事件明细时，将无法查看【操作内容】、【返回信息】、【原始消息】三个可能包含敏感内容的字段。资源转换：将原始的SQL语句中某些字段以指定内容进行显示。包括：帐号资源、数据表资源。此功能可自动将原始的SQL语句转换成用户一目了然的业务操作流程，以中文方式显示审计内容中的重要字段，不仅方便数据库管理员，也方便非专业人员进行审计信息的查看。内置数据库防攻击策略SecFox-NBA〔业务审计型〕内置抗攻击策略，在识别出对数据库效劳器进行攻击时记录相关操作。用户可以手动设置报警，以便及时进行相应。典型的内置防攻击策略包括：SQLinsert注入攻击SQLexec注入攻击SQLupdate注入攻击IBMDB2数据库xmlquery缓冲区溢出尝试Oracle平安备份命令exec_qr注入攻击OracleBEAWebLogicApache连接器HTTP版本拒绝效劳攻击Oracle平安备份POSTexec_qr注入攻击Oracle平安备份msgid0x901用户名字段缓冲区溢出尝试快速响应和协同防御SecFox-NBA〔业务审计型〕在识别出平安事故后，能够自动或者用户手工的对威胁进行响应，采取平安对策，从而形成平安审计的闭环。SecFox-NBA〔业务审计型〕能够对业务网中所有IP的流量进行分析，因而能够更为精确地定位平安威胁，并对符合策略的告警事件进行阻断，实时自动阻止可疑行为。在发生告警后，SecFox-NBA〔业务审计型〕可以通过电子邮件、SNMPTrap等方式对外发出通告，能够执行预定义命令行程序，并将事件属性作为参数传递给该命令行程序。SecFox-NBA〔业务审计型〕可通过与网络设备或平安设备共同协作来关闭威胁通信，以阻止正在进行的攻击。SecFox-NBA〔业务审计型〕可以与众多第三方网络设备、平安设备进行联动。例如，在发现攻击后，阻断网络交换机的端口，或者更改防火墙和入侵检测系统的平安规那么，阻止攻击的扩散和恶化。SecFox-NBA〔业务审计型〕支持与市场上大局部平安设备和网络设备之间的策略联动。此外，通过SecFox-NBA〔业务审计型〕与网神其他SecFox平安管理产品的综合使用，可以实现完整的从平安风险监控、分析到决策的平安管理流程的闭环。海量存储便于事后分析SecFox-NBA〔业务审计型〕可以将采集到的所有数据包和告警信息统一存储起来，建立一个企业和组织的集中事件存储系统，满足国家标准和法律法规中对于事件存储的强制性要求，为平安事故增加追查取证的信息来源和依据。SecFox-NBA〔业务审计型〕具有海量事件处理和存储的能力。单个SecFox-NBA〔业务审计型〕系统能够以每秒6000条到24000条的规模接收数据包，能够在线存储10亿到40亿条事件记录。加上系统的数据归档与离线存储功能，SecFox-NBA〔业务审计型〕能够存储的数据量大小仅取决于效劳器磁盘存储空间的大小。SecFox-NBA〔业务审计型〕具有极强的存储扩展能力，产品自带500GB～2TB的存储空间，用户亦可以在后期进行容量扩展，或者直接外接存储设备。SecFox-NBA〔业务审计型〕在进行数据管理的时候，对数据存储算法进行了充分优化，使得使用小型数据库的情况下就到达了上述性能。此外，用户在使用本系统的时候，无需购置额外的数据库管理系统和许可，也不必花费专门的精力去维护数据库，这些都大大降低了用户的总拥有本钱。SecFox-NBA〔业务审计型〕提供多种事件存储策略，能够方便地进行事件备份和恢复。SecFox-NBA〔业务审计型〕为管理员提供了强大的事后分析工具，使得管理员能够最大限度地对这些事件进行深度挖掘，寻找潜在的平安威胁。此外，SecFox-NBA〔业务审计型〕的事后分析功能可以协助管理员进行计算机取证分析，收集外部入侵或者内部违规的证据。部署灵活简单易用SecFox-NBA〔业务审计型〕采用旁路侦听的方式进行工作，对业务网络中的数据包进行应用层协议和流量分析与审计，就像真实世界的摄像机。利用网神先进的业务协议检测技术〔BusinessProtocolInspectionTechnology〕，SecFox-NBA〔业务审计型〕能够识别各类数据库的访问协议、FTP协议、TELNET协议、VNC协议、文件共享协议，以及其它20多种应用层协议，经过审计系统的智能分析，发现网络入侵和操作违规行为。同时，借助网神先进的业务流量监测技术〔BusinessFlowInspectionTechnology〕，SecFox-NBA〔业务审计型〕识别网络中各种应用层协议的流量，及时发现流量违规和异常。SecFox-NBA〔业务审计型〕部署十分方便，即插即用，不必对业务网络结构做任何更改，对业务网络没有任何影响。SecFox-NBA〔业务审计型〕可以同时审计多个不同的网段；多个系统可以级联，实现分布式部署，实现对大规模业务网络的审计。系统部署后立竿见影，即可自动发现所侦听网络中的数据库访问行为。详尽有效审计报表SecFox-NBA〔业务审计型〕具有强大的报表分析功能。系统的报表分析引擎能从多种角度多种维度对数据进行分析；能提供实时分析、历史分析等分析手段；能比照统计的结果，分析数据的开展趋势；能将结果以图形方式〔柱图、饼图、曲线图等〕显示、打印；报告可用PDF、HTML、Excel或RTF等格式存档。SecFox-NBA〔业务审计型〕的报表报告生成系统灵活易用。它提供大量预定义的报表模板，用户可使用预定义的报表模板生成报表。SecFox-NBA〔业务审计型〕具备强大的自定义报表功能。用户可以通过报表编辑器，只需4步，即可方便地自己定义各种复杂的报表，包括报表的内容、布局，以及运行调度设置，满足企业和组织自身不断业务开展的需要。SecFox-NBA〔业务审计型〕允许用户对报表生成进行日程规划，定期自动生成审计报表，提供打印、导出以及邮件送达等效劳，并根据方案归档报告，归档之后发送邮件通知。SecFox-NBA〔业务审计型〕支持审计主机用户和数据库用户的行为趋势报表，可以生成指定时间段用户行为趋势报表，包含用户的操作行为曲线，可以审计和分析用户的行为特点，为决策分析和调查取证提供数据支持。产品简介产品组成SecFox-NBA〔业务审计型〕产品仅包括硬件形态的审计器。产品采用B/S架构，管理员无需安装任何客户端软件，通过IE浏览器登录审计器即可进行各种操作。管理员也可以将分布在网络上的多个审计器的信息统一发送到SecFox平安管理中心，通过IE浏览器登录SecFox平安管理中心进行集中审计。Web控制台平台支持的操作系统系统需求WindowsMicrosoftWindows2000系列MicrosoftWindows2003系列MicrosoftWindowsXP系列-最低PentiumIII1.1GHzCPU-至少512M内存-16位真彩，建议分辨率为1024×768以上-InternetExplorer7.0+功能列表功能点说明数据库及业务效劳审计范围支持对包括MSSQLServer、Oracle、DB2、Sybase、MySQL、Infomix、达梦在内的多种数据库，包括Windows、Unix、Linux、AIX在内的各种操作系统，包括WebShpere、WebLogic在内的中间件，以及VNC、FTP、HTTP、SMTP、POP3、NETBIOS、TELNET、WebService等各种网络通讯和数据访问协议进行审计数据库操作记录审计可审计数据库的DDL〔数据定义语言〕：例如Create、Alter、Dro等；DML〔数据操纵语言〕：例如insert、delete、update、select等；DCL〔数据控制语言〕：例如特权帐户执行的grant、deny、revoke等操作；以及其它操作：例如事务处理操作、备份恢复操作、执行系统或者自定义存储过程等〕。审计内容可以细化到域、模式、库、表、视图、记录、字段、用户、存储过程、函数、绑定变量数据库返回记录审计系统能够记录数据操作请求的返回结果，包括成功和失败。如果返回失败信息，那么还能记录错误码数据库敏感信息隐藏系统能够在审计员进行操作查询分析的时候隐藏敏感信息，例如涉及公司机密的重要字段对应的数值，防止因为平安审计本身出现信息泄露网络行为审计可审计VNC、Telnet、网上邻居和定制的主机协议的登录、注销和一般操作等行为；可审计FTP协议的登录、注销和一般操作等行为，可以审计FTP操作的文件/目录名称；可审计HTTP协议的访问行为，并可以对URL进行基于正那么表达式的关键字匹配审计；可审计SMTP/POP3协议的访问行为，包括发件人、收件人、邮件主题等内容流量审计审计从三层到七层协议的流量，能够审计20种以上的应用层协议，包括IM、P2P、HTTP、POP3、SMTP、DNS等。流量审计的内容包括数据包分布审计、流量分布审计、应用协议流量审计、端口流量审计，用户可以进行协议分析、会话分析、节点分析业务审计管理员可以根据实际网络情况定义多个业务，并建立可视化的业务拓扑视图，快速查看业务网络中各个设备和整个业务网络的事件和告警信息。用户对业务拓扑进行编辑、拖放、连接等操作操作回放系统能够对记录下来的数据库操作及其返回结果以会话为单位进行回放。回放的时候能够显示当前会话的源、目的地址以及会话持续的时长实时统计可以通过实时统计功能清楚看到业务网内部告警事件、活动会话、活动会话的事件列表、被保护对象的访问情况，统计最近10分钟的数据事件查询事件查询为用户提供了历史事件查询的手段，用户可以指定复杂的查询条件，快速检索到需要的事件信息，从而协助管理员进行计算机取证分析，收集外部访问或者内部违规的证据审计谋略管理审计谋略是系统的核心，它为系统的数据采集和分析引擎提供输入。系统对通过引擎的数据包根据策略进行过滤，将符合策略的数据包供审计功能使用。用户可以自由定义审计谋略，系统提供便捷的添加、修改、删除、导入、导出、启用和禁用等策略管理功能告警与响应管理告警规那么包括系统预定义规那么和用户自定义规那么两大类，用户在制定规那么的时候，既可以设定审计的触发条件，也可以设定触发审计后的自动响应动作，告警后可进行发送邮件、SNMPTrap、执行程序脚本、设备联动等响应动作。系统可以直接阻断可疑的网络通讯审计报表内置大量报表报告，包括数据库报表、FTP报表、主机报表、综合报表，等等。生成的报表图文并茂，报表可以按组管理，可以对报表生成进行日程规划，提供打印、导出以及邮件送达等效劳，并根据方案归档报告，归档之后发送邮件通知。报告可用PDF、HTML、Excel、CSV或RTF等格式存