某电业局安全存储网络建设技术建议书 (3).doc

*电业局电业局 安全存储网络建设技术建议书安全存储网络建设技术建议书 二零零九年十月二零零九年十月 目目 录录 安全存储网络建设技术建议书安全存储网络建设技术建议书 1 1 1 1概述概述 3 3 1.11.1项目建设背景需求项目建设背景需求 3 3 .1网络现状网络现状3 1.21.2网络建设目标网络建设目标 3 3 1.31.3网络建设原则网络建设原则 3 3 2 2整体方案设计整体方案设计 4 4 2.12.1组网方案组网方案 4 4 2.22.2方案建议及设备选型依据方案建议及设备选型依据 4 4 3 3网络解决方案网络解决方案 5 5 3.13.1ipip 地址规划地址规划 5 5 3.23.2vlanvlan 规划规划6 6 3.33.3路由规划路由规划 6 6 3.43.4qosqos 设计设计 6 6 3.53.5设备介绍设备介绍 8 8 .1s9300s9300 系系列列交换机系统特性交换机系统特性.8 .2oceanspaceoceanspace s2000s2000 系列存储系统系列存储系统.16 4 4安全解决方案安全解决方案 2020 4.14.1安全体系层次设计安全体系层次设计 2020 .1层次一：物理环境的安全性（物理层安全）层次一：物理环境的安全性（物理层安全）20 .2层次二：操作系统的安全性（系统层安全）层次二：操作系统的安全性（系统层安全）20 .3层次三：网络的安全性（网络层安全）层次三：网络的安全性（网络层安全）20 .4层次四：应用的安全性（应用层安全）层次四：应用的安全性（应用层安全）21 .5层次五：管理的安全性（安全管理）层次五：管理的安全性（安全管理）21 .6总体部署总体部署21 4.24.2入侵检测系统部署入侵检测系统部署 2222 .1安全风险分析安全风险分析22 .2安全风险解决安全风险解决22 .3智能网络入侵检测设备智能网络入侵检测设备23 .4nipnip 10001000 性能指标性能指标.28 4.34.3终端安全管理系统部署终端安全管理系统部署 3030 .1终端安全管理系统终端安全管理系统30 .2安全监控功能安全监控功能33 .3资产管理应用功能资产管理应用功能33 .4安全接入控制网关应用安全接入控制网关应用34 .5secospacesecospace 系统性能指标系统性能指标.34 1 1概述概述 1.11.1 项目建设背景需求项目建设背景需求 .1网络现状网络现状 *电业局网络建设主要分为内部办公网络和外部互联网络两部 分，现有核心设备是用的是华为5500系列交换机，交换机使用年限 已久，随着网络规模的不断扩大，现有网络接口已逐渐不能满足网 络的需求；内部服务器数量已达到10台左右，数据量增加的比较快， 需要一套网络存储设备。内部安全需要进一步的管理。 1.21.2 网络建设目标网络建设目标 为了提高整网核心的可靠性，设计考虑设备冗余（电源、超级 引擎采用双配置） ，为整网提供更加稳定的网络服务。 华为核心设备最多支持 144 个光接口，能够极大地满足现在及 将来网络的需求。 1.31.3 网络建设原则网络建设原则 我单位针对*电业局存储及安全工程将采用华为先进的高端电 信级设备作为构建网络的基础单元，建立一个高带宽、高可用性及 高可靠性的数据网络，为濮阳县电业局业务系统提供强有力的保证， 本次工程基于以下原则进行： 综合性综合性：将网络建设成为不仅支撑现有濮阳县电业局数据业务， 而且支撑未来实时业务的综合业务传送平台。 支持支持 qosqos：能根据业务的要求提供不同等级的服务并保证服务 质量，提供资源预留，拥塞控制，报文分类，流量整形等强大的 ip qos 功能。 高可靠性高可靠性：具有很高的容错能力，具有抵御外界环境和人为操 作失误的能力，保证任何单点故障都不影响整个网络的正常运作。 高性能高性能：在高负荷情况下仍然具有较高的吞吐能力和效率，延 迟低。 安全性安全性：具有保证系统安全，防止系统被人为破坏的能力。 扩展性扩展性：易于增加新设备、新用户，易于和各种公用网络连接， 随系统应用的逐步成熟不断延伸和扩充，充分保护现有投资利益。 开放性开放性：符合开放性规范，方便接入不同厂商的设备和网络产 品。 标准化标准化：通讯协议和接口符合国际标准。 实用性实用性：具有良好的性能价格比，经济实用，拓扑结构和技术 符合骨干网信息量大、信息流集中的特点。 2 2整体方案设计整体方案设计 2.12.1 组网方案组网方案 出于安全性和稳定性的要求，工程中采用电信级核心层交换机 从而提高整网结构的健壮性、可靠性，高效性。在存储方面采用华 为 2300 的存储，可提供 96t 的存储容量，满足将来存储的需求。 2.22.2 方案建议及设备选型依据方案建议及设备选型依据 根据*电业局数据库项目的技术规范要求以及华为公司全系列 数通产品及解决方案特点，本着满足业务优先、先进实用、平滑演 进等原则，我单位选择华为公司在本期项目中建议的设备以及相关 设备的建网方案优势如下： 网络档次高、层次分明网络档次高、层次分明：采用最高能力交换机，按照网络层次 依次选择合理产品，各层次产品之间系列化程度高，可靠性强。 负载分担的网络：负载分担的网络：以最大化网络资源负载分担为原则，通过设 备间链路的分配调整，实现网络资源合理分布，增加可靠性。 安全的双平面的设计：安全的双平面的设计：本次为网络结构通过充分利用两期建设 中的设备，充分保证网络安全备份及冗余性，整体提高网络的可靠 性等级系数。 良好网络兼容性能：良好网络兼容性能：在现网大量的应用环境中，华为设备表现 出与其他设备厂商良好的互通性，在各大电信运营商网络都有商用。 优化的网络性能：优化的网络性能：华为建议的部署方案，能够保证网络在故障 情况下快速实现业务流量疏导，提高整个网络质量，保证网络能够 承载。 多业务的多业务的ipip网络网络：优化后的网络具备极强的可扩展性能，除了 具备大流量承载能力，还可提供iptv等多种业务。 平滑的割接方案：平滑的割接方案：华为公司有丰富的网络割接经验，可以保证 网络调整到合理的结构，并保证现网业务尽可能的不受影响，保证 平滑割接。 平滑的向平滑的向ipv6ipv6过渡：过渡：我单位本次采用的华为产品具备ipv6高性 能转发，满足未来性能要求，并支持多种过渡解决方案，例如 ipv4/ipv6双栈、多种过渡隧道等等，是业界过渡方案中最好的产品， 能够极大方便实际网络ipv4-ipv6过渡的灵活性。 3 3网络解决方案网络解决方案 3.13.1 ipip 地址规划地址规划 ip 地址的合理分配是保证网络顺利运行和网络资源有效利用的 关键。需要在所分配的 ip 地址网段中尽可能地利用地址空间，充分 考虑地址空间的合理使用，保证实现最佳的网络内地址分配及业务 流量的均匀分布。 ip 地址空间的分配与合理使用与网络拓扑结构、网络组织及路 由政策有非常密切的关系，将*电业局业务工作的可用性、可靠性 和有效性以及保密性产生显著影响。 通常合理的地址规划是使连续的地址尽量集中在一个区域内。 因此，核心层应象一个区域或一个节点一样，被分配一段连续的地 址。 ip 地址规划遵循以下原则： 1. ip 地址的规划与划分应该考虑到业务飞速发展，能够满足未 来发展的需要；即要满足本期工程对 ip 地址的需求，同时要 充分考虑未来业务发展，预留相应的地址段； 2. ip 地址的分配需要有足够的灵活性，能够满足各种用户接入； 3. ip 地址的分配可以采用 vlsm 技术，以保证 ip 地址的利用效 率； 4.充分合理利用已申请的地址空间，提高地址的利用效率。 3.23.2 vlanvlan 规划规划 vlan（virtual local area network）又称虚拟局域网，是指 在交换局域网的基础上，采用网络管理软件构建的可跨越不同网段、 不同网络的端到端的逻辑网络。一个 vlan 组成一个逻辑子网，即一 个逻辑广播域，它可以覆盖多个网络设备，允许处于不同地理位置 的网络用户加入到一个逻辑子网中。 从技术角度讲，vlan 的划分可依据不同原则，一般有以下三种 划分方法： 1. 基于端口的 vlan 划分 2. 基于 mac 地址的 vlan 划分 3. 基于路由的 vlan 划分 而本期项目中以基于端口和基于路由的 vlan 划分方法为主，除 了公共 vlan，网管 vlan，关键领导 vlan 等特殊网段，按照部门和 单位进行其他 vlan 网段的划分。 3.33.3 路由规划路由规划 在所建网络系统中将涉及*电业局内部不同虚拟网络之间的路 由转发以及与外网之间的互联，因此需要结合实际，在汇聚交换机 对三层转发协议进行设置，由于通过 vlan 隔离业务，在接入层交换 机启用二层接入功能，网关设在汇聚交换机，vlan 终结于汇聚交换 机。 3.43.4 qosqos 设计设计 在传统的 ip 网络中，所有的报文都被无区别的等同对待，每个 路由器对所有的报文均采用先入先出（fifo）的策略进行处理，它 尽最大的努力（best-effort）将报文送到目的地，但对报文传送的 可靠性、传送延迟等性能不提供任何保证。 随着 ip 技术的日趋成熟，ip 网络电信化已经成为大势所趋， 于是形成了语音、视频、数据等多种业务 ip 统一承载，由于语音、 视频等实时业务自身的特点对承载平台提出了严格的服务质量要求， 因此就必须在网络中部署相应的 qos 技术，使得网络管理者能够有 效地控制网络资源的使用，能够在有限资源的 ip 平台上综合语音、 视频及数据等多种业务，能够区分业务、针对不同的业务提供特色 的差分服务。 qos 旨在针对各种应用的不同需求，为其提供不同的服务质量， 例如：提供专用带宽、减少报文丢失率、降低报文传送时延及时延 抖动等。为实现上述目的，qos 提供了下述功能： 1. 报文分类和着色 2. 避免和管理网络拥塞 3. 流量监管和流量整形 4. qos 信令协议 在*电业局数据库项目网络构建中，将会设计合理的 qos 保障 方案，利用有限的资源，以获得更好的网络使用效益，是非常必要 的。良好的 qos 保障方案可以确保一般情况下网络具有最好的使用 效率、实时业务具有较小延时，恶劣情况下保证关键业务得到应有 的网络服务。 衡量 qos 的指标包括： 带宽带宽/ /吞吐量吞吐量 - 指网络的两个节点之间特定应用业务流的平均 速率； 时延时延 - 指数据包在网络的两个节点之间传送的平均往返时间； 抖动抖动 - 指时延的变化； 丢包率丢包率 - 指在网络传输过程中丢失报文的百分比，用来衡量网 络正确转发用户数据的能力； 可用性可用性 - 指网络可以为用户提供服务的时间的百分比。 在*电业局数据库项目网络中 qos 方案部署如下： 接入层交换机接入端口不同业务进行 vlan 标记,并可以对报文 进行 802.1p 优先级标记，以便后续的汇聚交换机和核心交换根据相 应优先级标记（802.1p、dscp）进行调度，当然还可以根据策略的 需要部署 car 流量监管策略，对用户的接入速率进行控制，保证* 电业局网网络始终处于健康（轻载）的运行状态。 本次工程采用的 s9300 高端交换机均支持选择性 svlan 功能 （灵活 qinq） ，可以在同一个物理端口上支持根据单层 vlan id 灵 活加载外层 vlan id，同时能够透传标准 vlan（单 vlan）流量。上 述功能实现没有 vlan id 范围数量的限制，对于设备性能没有影响。 支持根据 802.1p 参数、入端口、入 vlan id 等条件进行双 vlan 透 传、双层 vlan 改写外层 vlan、双层 vlan 改写内外层 vlan 等并且 支持在同一物理接口上对以上操作的并行处理。并支持 tpid 可配置， 同时对设备性能没有影响 s9300 交换机提供完善的 diff-serv/qos 支持。支持基于源端口、源 vlan id、源 mac 地址、报文种类、 tcp/udp 端口号、ip 报文地址前缀等多种流分类规则，提供多种规 则组合条件下的流映射和分类、流量监管（car） 、拥塞避免方法 （wred、tail-drop） 、队列调度（wrr、sp）和输出流量整形等功能， 支持 802.1p 的 8 个优先级。完全做到业务区分并保证带宽/时延/ 抖动，可以为用户提供具有不同服务质量等级的服务保证，使 ip 网 络真正成为同时承载数据、语音和视频业务的综合网络。 3.53.5 设备介绍设备介绍 .1s9300s9300 系列交换机系统特性系列交换机系统特性 quidway s9300系列以太汇聚交换机（以下简称s9300）是基于华为公司 统一的vrp（versatile routing platform）系统而推出的下一代以太网汇聚交换 机，提供整机高达2t交换容量，二、三层线速转发能力，具备强大组播功能， epon接口和完善的qos保障，满足城域网、企业园区网对multi-play业务承载 和全光接入的组网需求，为运营商和企业网提供强大的网络交换和业务运营能 力，支持ip专线、vpn、iptv、ipv6等多种业务。 s9300系列包括s9303、s9306、s9312三个产品形态，整个系列秉承模块通 用化、归一化的设计理念，最小化备件成本，在保证设备扩展性的同时最大限 度地保护用户投资。 s9303 s9306 s9312 产品特点产品特点 创新的三平面设计创新的三平面设计 s9300在传统交换机数据转发、管理控制双平面基础上进行了创新，增加了 独立的环境监控平面，率先实现整机三平面设计。业界首创的环境监控板，其 核心芯片采用华为自主知识产权的中控芯片，实现硬件级的按流量动态调整功 率、风扇分区控制、风扇智能调速、端口休眠技术等多项节能技术，独立环境 监控与网管联动，实现整机运营维护的全面可视化管理。 高速 背板 交换网 模块 控制面通讯模块 系统时钟 模块 系统主控模块 控制层软件 业务层软件 网管系统 物理接口模块业务处理模块 单板时钟模块 单板主控模块 单板监控模块 业务模块业务模块 交换路由模块交换路由模块 管理层软件 创新的三平面设计创新的三平面设计 一机多用，全业务承载的以太汇聚平台一机多用，全业务承载的以太汇聚平台 s9300支持高密度的epon接口，能实现dslam汇聚、epon和纯以太的统 一接入，满足全光接入的需求；分布式l2/l3 mpls vpn功能，支持 mpls、vpls、hvpls、vll，满足大客户vpn专线、企业vpn等高端用户的 接入需求。 s9300具备线速的跨vlan组播复制能力，实现端口的满负荷复制，满足大 容量的iptv用户接入需求；完善的二、三层组播协议，可作为组播复制点和控 系统监控模块系统监控模块 制点。 s9300支持ipv6功能，支持 ripng，ospfv3，isisv6，bgp4+，mld，mld snooping，pimv6，ipv6 multicast vlan，icmpv6等单/组播ipv6路由协议，实现网络ipv4向ipv6的平滑 迁移。 三维扩展，容量三维扩展，容量“无级变速无级变速” 作为新一代的以太汇聚平台，s9300可以从容应对城域骨干网和大容量idc 对核心汇聚设备的带宽需求。s9300单槽位支持1210ge线速转发，整机支持 2t的交换能力，更好地满足iptv等大带宽业务和idc机房的接入需求。 s9300系列交换机可以扩展到3.84t交换容量，单槽位支持240g线速转发， 充分考虑未来35年的带宽需求，提供带宽平滑扩展能力。 六项创新，省电六项创新，省电 30% s9300基于绿色环保理念设计，独特的“变流”芯片，实现按流量动态调整 功率，降低功耗8%。 独特的“旋转”风道设计，提高整机散热效率，降低功耗3%，同时整机出 线能力提高6倍。 “积木式”电源，按需配置，减少初期投资，降低设备功耗10%。 独立风扇分区控制，降低噪声10%，并延长风扇使用寿命。 风扇智能调速，根据关键器件温度，灵活调整风扇转速，降低功耗3%，提 高风扇抗扰动能力，延长风扇寿命。 真正的端口休眠技术，可以依据端口实际流量调整输出功耗，降低功耗 6%，节电“不丢包”。 产品规格产品规格 项目项目 s9303s9306s9312 背板容量 1.2tbps2.4tbps4.8tbps 业务槽位 3612 ge端口密度 144288576 10g端口密 度 3672144 支持access、trunk、hybrid方式 支持default vlan 支持vlan 交换 vlan 支持qinq、增强型灵活qinq 支持mac地址自动学习和老化 支持静态、动态、黑洞mac表项 支持源mac地址过滤 mac地址功 能 支持基于端口和vlan的mac地址学习限制 支持stp，rstp和mstp 支持bpdu保护、root保护、环路保护stp 支持bdpu tunnel 项目项目 s9303s9306s9312 支持rip、ospf、isis、bgp等ipv4动态路由协议 ip路由 支持ripng、ospfv3、isisv6、bgpv4等ipv6动态路由协议 支持igmp snooping功能 支持用户快速离开机制 支持组播流量控制 支持组播查询器 支持组播协议报文抑制功能 组播 支持组播acl 支持mpls基本功能 支持mpls oam 支持mpls te mpls 支持mpls vpn/vll/vpls 支持基于layer2协议头、layer3协议、layer4协议、802.1p优 先级等的组合流分类 支持acl、car、remark、schedule等动作 支持pq、wrr、drr、pq+wrr、pq+drr等队列调度方 式 支持wred、尾丢弃等拥塞避免机制 qos 支持流量整形 支持console、telnet、ssh等终端服务 配置与维护 支持snmpv1/v2/v3等网络管理协议 项目项目 s9303s9306s9312 支持通过ftp、tftp方式上载、下载文件 支持bootrom升级和远程在线升级 支持热补丁 支持用户操作日志 命令行分级保护，未授权用户无法侵入 支持radius和hwtacacs用户登录认证 支持防范dos攻击、tcp的syn flood攻击、udp flood攻击、 广播风暴攻击、大流量攻击 支持cpu通道的保护 支持icmp实现ping和traceroute功能 安全和管理 支持rmon 机箱尺寸 mm（宽深 高） 442476175442476442442476664 机箱重量 （空配） 15kg30kg45kg 工作电压 dc：38.4v72v ac：90v264v 典型功耗 180w350w650w 整机供电能 350w800w1600w 订购信息订购信息 1、quidway s9300 主机选购一览表 产品描述产品描述 s9303总装机箱 s9306总装机箱 s9312总装机箱 2、quidway s9300 交换路由处理板选购一览表 产品描述产品描述 s9306/s9312交换路由单元 s9303主控处理单元 增强灵活业务子卡 3、quidway s9300 业务单板选购一览表 产品描述产品描述 48端口百兆以太网光接口板 48端口百兆以太网电接口板 48端口百兆/千兆以太网光接口板 48端口百兆/千兆以太网电接口板 24端口百兆/千兆以太网光接口板 24端口百兆/千兆以太网光接口和8端口百兆/千兆combo电口板 4端口万兆以太网光接口板 2端口万兆以太网光接口板 .2oceanspaceoceanspace s2000s2000 系列存储系统系列存储系统 概述 华为赛门铁克 oceanspace s2000 系列（以下简称 s2000）产品是中国第 一款拥有完全自主知识产权的存储。融合了高密、接口模块化设计、多重数据 保护技术，满足数据库等应用系统、备份、数据中心等不同的存储资源部署需 求。 产品特点 高性能高性能 64 位系统架构：位系统架构：64 位多核处理器，64 位系统总线，64 位实时操作系 统 交换体系架构：交换体系架构：交换架构，高性能，低延时；硬盘独立，单个硬盘故障 不影响其他盘，便于故障检测和排除 高密设计：高密设计：硬盘框 4u 高度，可容纳 24 块硬盘，产品占用空间小，扩 1 个硬盘框能扩展 24 块硬盘，大幅降低扩容成本 高可靠高可靠 全冗余模块化设计：全冗余模块化设计：冗余控制器，1+1 冗余电源/风扇模块；冗余掉电保 护电池 一体化一体化 ups 技术：技术：ups 集成在控制框内，节省机架空间；意外掉电时， 可以保证 cache 数据可安全写入数据保险箱；恢复供电后，可以把数据保险箱 的数据恢复到 cache 中，保证 cache 数据不丢失 硬盘坏道修复技术：硬盘坏道修复技术：最大限度修复硬盘坏道，将硬盘故障率降低 50%， 延长硬盘寿命 硬盘预拷贝技术：硬盘预拷贝技术：提前发现故障盘，主动迁移故障盘数据，规避系统降 级的风险，有效降低两个硬盘同时故障导致数据丢失的概率 灵活灵活 灵活组网：灵活组网：iscsi 主机口满足与 ip 网络无缝融合的组网需求；sas 主 机口满足高性价比的组网需求；fc 主机口满足高速率、高可靠的组网需求 控制器选配：控制器选配：单控制器配置满足低成本需求，平滑升级到双控制器配置， 满足高性能、高可靠的需求 分级存储：分级存储：支持 sas/sata 硬盘混插，可以根据业务级别选择存储介 质 便捷便捷 便捷管理：便捷管理：支持图形化 gui 及 cli 管理方式，提升管理效率；支持 lun 后台格式化，压缩设备安装及配置时间 便捷维护：便捷维护：主要模块及硬盘组件支持热插拔，减少维护复杂性；支持 web 和 modem 拨号等远程管理能力，增加维护及时性；提供声光、邮件、短 信等告警模式，确保设备故障信息不会被忽视或遗漏 产品规格 型号型号s2100s2300 硬件特性 存储处理器64 位多核处理器 标配缓存(可扩展) 单控 2gb、双控 4gb 控制器数量1 or 2 标配主机端口(可扩展) 单控:2 个 43gb sas 或 2 个 1gb iscsi 双控:4 个 43gb sas 或 4 个 1gb iscsi 单控:2 个 4gb fc 或 4 个 1gb iscsi 双控:4 个 4gb fc 或 8 个 1gb iscsi 硬盘数量(可扩展)单控 48 /双控 96 硬盘规格 sata 硬盘： 500gb/1tb（7200 rpm） sas 硬盘：300gb/450gb（15k rpm） 硬盘密度24 个/框 性能特性 主机连接数量(可扩展)128128 luns(可扩展)5121024 raid 特性 raid 支持能力0、1、5、10 等 可靠性 冗余保护能力 控制器、电源、风扇、ups 模块、级联模块（硬盘框） 热备盘全局热备、预拷贝 掉电保护数据保险箱、一体化 ups 技术 主机兼容性 支持的操作系统 windows、linux、solaris、hp- ux、aix、freebsd、vmware 等 软件特性 主机多路径 ultrapath（for windows/linux/aix）、stms(for solaris）、pv-links（for hp-ux） 管理特性 管理界面web gui、cli 等 san 资源管理lun 动态调整 故障告警网管界面告警、声光告警、e-mail 告警、短信告警 远程管理 支持 web 远程登录模式、支持 modem 拨号连接，命 令行配置 物理特性 电源ac 200v240v(50/60hz), dc -48v -60v 功耗（控制框） 单控：交流：725w/直流： 625w 双控：交流：828w/ 直流：728w 单控：交流：725w/直流： 674w 双控：交流：835w/ 直流：775w 功耗（硬盘框） 单控：交流：668w/直流： 617w 双控：交流：680w/ 直流：630w 单控：交流：668w/直流： 617w 双控：交流：680w/ 直流：630w 尺寸4u，175mm(h)*446mm(w)* 600mm(d) 重量不带硬盘45kg（控制框）；38kg（硬盘框） 4 4安全解决方案安全解决方案 4.14.1 安全体系层次设计安全体系层次设计 由于本次*电业局属于新建系统，因此整个*电业局网络安 全的需求是全方位的、整体的，相应的网络安全体系也是分层次的， 在不同层次反映了不同的安全问题。根据第三章中我单位对于安全 的风险分析，我单位将安全体系的层次划分为五层：物理层安全、 系统层安全、网络层安全、应用层安全、安全保密管理。 .1层次一：物理环境的安全性（物理层安全）层次一：物理环境的安全性（物理层安全） 包括通信线路的安全，物理设备的安全，机房的安全等。物理 层的安全主要体现在通信线路的可靠性（线路备份、网管软件、传 输介质）；软硬件设备安全性（替换设备；拆卸设备；增加设备）； 设备的备份；防灾害能力、防干扰能力；设备的运行环境（温度、 湿度、烟尘）；不间断电源保障，等等。 .2层次二：操作系统的安全性（系统层安全）层次二：操作系统的安全性（系统层安全） 这一层次的安全问题来自网络内使用的操作系统：windows 2003，windows 2000，unix等。系统层的安全性问题表现在三方面： 一是操作系统本身的缺陷带来的不安全因素，主要包括身份认证、 访问控制、系统漏洞等；二是对操作系统的安全配置问题；三是病 毒对操作系统的威胁。 .3层次三：网络的安全性（网络层安全）层次三：网络的安全性（网络层安全） 该层次的安全问题主要体现在网络信息的安全性。包括网络层 身份认证，网络资源的访问控制，数据传输的保密与完整性，远程 接入的安全，域名系统的安全，路由系统的安全，入侵检测的手段， 网络设施防病毒等。 .4层次四：应用的安全性（应用层安全）层次四：应用的安全性（应用层安全） 该层次的安全考虑提供服务所采用的应用软件和数据的安全性， 包括：web服务、电子邮件系统等。此外，还包括病毒对系统的威胁。 .5层次五：管理的安全性（安全管理）层次五：管理的安全性（安全管理） 安全管理包括安全技术和设备的管理，安全管理制度，部门与 人员的组织规则等。管理的制度化程度极大地影响着整个网络的安 全，严格的安全管理制度、明确的部门安全职责划分、合理的人员 角色定义都可以在很大程度上降低其它层次的安全漏洞。 .6总体部署总体部署 *电业局的安全问题是一个系统工程，我单位在制定安全网络 策略时尽可能地考虑到网络中的各个方面及网络的拓展性，采用 tcp/ip协议进行网络通信的网络，在网络层对计算机通信进行安全 保护是业界流行的安全解决办法。 综合考虑*电业局的实际安全状况，本方案中我单位从以下几 个方面来采取相应的安全措施： 1. 采用 vlan 技术 2. 部署防火墙 3. 部署入侵检测系统 4. 部署安全审计系统 以上部署的安全产品在严格按照电子政务信息安全要求标准基 础上，并遵循稳定性、先进性、可扩展性等原则进行选型。 *电业局的安全管理部门应根据管理原则和*电业局数据处 理的保密性，制订相应的安全管理制度或采用相应的安全规范。可 根据工作的重要程度，确定该系统的安全等级；及根据确定的安全 等级，确定安全管理的范围。 4.24.2 入侵检测系统部署入侵检测系统部署 .1安全风险分析安全风险分析 随着网络基础设施及其应用的不断丰富，基于网络的各种安全 事故也不断出现。造成这些网络安全事故最根本的原因是设计网络 基础协议时主要考虑的协议的互联互通性，很少考虑协议可能存在 的安全漏洞，当这些安全漏洞被恶意的人们利用就出现了层出不穷 的安全事件。但是当人们发现这些问题逐渐影响正常网络甚至业务 运行的时候，再去修改这些相关基础应用协议代价太大。因此作为 亡羊补牢的方式，出现了相关的网络安全防护产品。比如说防火墙、 防病毒产品等等。 然而，防火墙无法正确分析掺杂在允许应用数据流中的恶意代 码，很多攻击或者恶意的行为常常利用防火墙开放的应用数据流来 造成破坏。这就有必要提供专门针对各种应用数据流进行完整重组、 判断其是否为正常数据包的产品。 这种产品就是入侵检测系统（intrusion detection system） ， 入侵检测系统通过对计算机网络或计算机系统中的若干关键点信息 进行分析，可以从中发现网络或系统中违反安全策略的行为和被攻 击的迹象，实时作出响应。 入侵检测系统分为基于网络的入侵检测系统（nids）和基于主 机的入侵检测系统（hids） 。 华为公司推出即是基于网络的智能网络入侵检测系统（以下简 称 nip） 。 .2安全风险解决安全风险解决 nip 网络智能入侵检测系统是华为自主开发，拥有知识产权的 新一代基于会话的智能网络入侵检测系统。采用异常使用模式 （anomaly）和误用检测模式（misuse）相结合的检测方式，部署于 网络中的关键点，实时监控各种数据报文及网络行为，提供及时的 报警及响应机制。其动态的安全响应体系与防火墙等静态的安全体 系形成强大的协防体系，大大增强了用户的整体安全防护强度。 .3智能网络入侵检测设备智能网络入侵检测设备 华为公司凭借在电信领域多年的技术积累，深刻的认识到可靠 性设计对于一个网络设备的重要性。华为防火墙从硬件到软件，从 每个部件到整体构架都进行了深入的分析和考虑，在设计的每个环 节都融入了可靠性的设计理念，保证从根本上为用户提供了安全可 靠的网络环境，使得华为防火墙成为了一款真正安全的电信级高可 靠的防火墙设备。 华为防火墙的硬件平台全部采用高可靠的元器件设计，保证了 防火墙的硬件平台可以 24 小时不间断工作，这方面的硬件设计是很 多防火墙厂商无法保证的，通过对硬件平台精益求精的设计使得华 为防火墙有了一个稳定运行的基石。 1.1. 强大的入侵检测能力强大的入侵检测能力 nip 内置强大的 ip 分片功能、智能协议解码器、高效的 tcp 流 重组及细粒度的会话分析功能，可以迅速、准确地检测各种攻击行 为。同时 nip 具有 2000 余种入侵特征库，可以检测 dos、扫描、代 码攻击、后门等多种入侵攻击。有效降低漏报和误报。 2.2. 灵活的响应方式灵活的响应方式 nip 内置强大的 ip 分片功能、智能协议解码器、高效的 tcp 流 重组及细粒度的会话分析功能，可以迅速、准确地检测各种攻击行 为。同时 nip 具有 3000 余种入侵特征库，可以检测 dos、扫描、代 码攻击、后门等多种入侵攻击。有效降低漏报和误报。 nip 对检测到的入侵企图或违背已设定的安全策略的活动做出 实时响应，并提供多种响应方式。包括： 切断与入侵有关的会话。 通过移动电话发送报警消息。 通过电子邮件发送报警信息。 运行用户指定的应用程序。 在 windows 操作系统事件日志中记录报警。 将与入侵有关的信息保存在数据库中。 联动防火墙。当有入侵事件发生时，入侵检测系统向防火 墙发送消息，防火墙将动态生成规则，阻断入侵者。 3.3. 增强的安全性增强的安全性 nip 提供根据入侵信息发出入侵警报以及限制网络访问等功能， 以保护服务器免受外部和内部的攻击。 nip 通过简单易用的管理界面和入侵检测、入侵阻断、入侵报 警、入侵日志等功能，提供最佳的策略来增强 internet 商业环境 的安全性。 nip 特别适用于需要极高网络安全性的机构，例如：审 计机构、安全顾问机构、安全法律执行机构、大型企业、internet 服务提供商、培训机构以及涉及敏感信息的政府机构等。 nip 采用 stealth 技术，有效地防止入侵检测系统的暴露，提 高入侵检测系统自身的安全性。 4.4. 强大的报表功能强大的报表功能 nip 提供基于 crystal report 的报表功能。可提供 100 余种 报表样式，同时还可实现自定义报表的功能。 5.5. 分级用户管理分级用户管理 nip 的管理员类型包括三种：超级管理员、普通管理员和只读 管理员。 超级管理员：具有超级权限，可以进行任何操作。 普通管理员：可以对授权的引擎进行查询、配置、编辑。 只读管理员：只能对授权的引擎进行日志查询操作。 不同级别的管理员拥有不同的管理权限，最大限度的保证了 nip 的系统安全。 6.6. 检测检测并分析各种入侵行为并分析各种入侵行为 nip 采用基于协议分析的智能模式匹配，结合状态分析技术和 异常行为检测技术，大大提高了检测的准确度，减少了漏报、误报 现象。通过高效的模式匹配算法，大大提高了检测效率。内置 2500 种以上入侵规则，提供对 dos、扫描、代码攻击、病毒、后门等各 种攻击的检测能力。 基本的检测功能包括下面几种： 蠕虫检测 nip 实时跟踪当前最新的蠕虫事件，同时针对已经发现的蠕虫 及时提供相关的事件规则。对于存在漏洞但是还未发现相关蠕虫事 件的情况，通过分析其漏洞提供相关的入侵事件规则，最大限度地 解决蠕虫发现滞后的问题。 协议解码 nip 对常用网络应用层协议解码分析，记录网络中的异常行为。 用户可以方便的自定义基于 tcp/ip 各种协议的分析事件，如： http、smtp、ftp、telnet 等应用层协议连接、关闭；pop3 命令连 接请求、应答，各种应用层协议的关键字解码等。 ip 碎片重组 nip 对所监视网络中的 ip 碎片报文重组后进行分析，防止 ip 碎片欺骗。 日志风暴处理 nip 可以将一定时间范围内的同种攻击类型事件合并成同一条 事件，在控制台显示并记录攻击次数，防止控制台的日志风暴。 协议过滤和误报处理 nip 能够对不需 nids 记录的某类 tcp/ip 协议的数据流进行过 滤处理。同时，可以根据事件规则名和事件发生的源或目的绑定对 事件进行排除，避免无需上报的事件再次出现在控制台或给 nids 增 加不必要的负担。 7.7. 对安全事件做出响应对安全事件做出响应 nip 针对各个入侵事件提供实时响应功能，响应方式多种多样。 主要包括： 报警 声音报警： 设置声音报警后，当有事件发生时，控制台会发出不同的声音 提示管理员。 焦点窗口： 设置焦点窗口后，当有事件发生时，即使控制台不是当前的焦 点窗口，也会自动弹出成为焦点窗口，以使管理员及时发现发生的 事件。 报警灯显示： 设置报警灯显示后，当有事件发生时，在控制台的左下角会有 红色的报警灯闪烁，以提醒管理员。 邮件报警： 设置好邮件参数后，当有事件发生时，系统将向预先定义的信 箱发送报警信息。 短消息报警： 设置好短消息参数后，当有事件发生时，系统向预先设置的手 机发送短消息报警。 执行报警器程序： 通过拷贝 alertmessenger.exe 和 alertmessenger.ini 两个文 件，不需要安装完整的控制台程序也可以实时显示报警信息。 snmp trap 报警： 当有事件发生时，向网络内的网管软件发送 snmp trap 消息报 警。 生成日志 生成常规审计日志： 常规审计日志在控制台实时显示报警事件，同时记录到数据库 中。 生成详细审计日志： 对设置详细审计日志的事件，系统会详细记录整个会话的过程， 事后可以通过报文回放工具重现整个会话过程，以便管理员分析， 并可作为证据保留。 生成系统日志： 在 windows 操作系统日志中，生成记录。 切断会话 针对 tcp 连接，可以通过 tcprest 的方式切断入侵会话。 执行程序 执行本地程序。 联动防火墙 当有入侵事件发生时，入侵检测系统向防火墙发送消息，防火 墙将动态生成规则，阻断入侵者的入侵，以保护网络的安全。 8.8. 监控监控系统的活动和状态系统的活动和状态 除了提供入侵检测功能外，nip 还提供对各种信息和状态的监 控功能： 引擎状态监控 管理员可以实时查看引擎的状态，包括资源的使用情况和监听 网卡的网络流量（当前会话数、当前流量、每秒报文数和每秒丢包 数） ，通过显示每秒丢包数，可以及时发现网络中出现的异常情况。 服务器工作状态监控 网络中存在很多提供应用服务的服务器，如：web 服务器、ftp 服务器、邮件服务器等，这些服务器一般情况下都需要 24 小时运行， 因此需要实时监控这些服务器是否正常运行。通过服务器工作状态 监控功能，用户可以及时发现服务器的存活状态和相应服务的运行 情况，以便第一时间发现并解决问题，最大限度地减少由于这些服 务器不能正常运行而造成的损失。 邮件监控 邮件监控可以对通过 smtp、pop3、imap 和 web 传送的邮件信息 进行监控，以避免泄漏敏感信息。 msn 监控 nip 可以对 msn 的会话进行监控。 文件传输监控 nip 以对通过 ftp 或 msn 传输的文件进行监控，以避免泄漏敏 感信息。 实时会话监控 系统可以实时显示当前会话列表。针对每一个会话，用户可以 查看并记录会话内容，或者切断该会话。 有害站点监控 nip 可以对黄色和暴力等有害站点的访问进行监控。 多端口监听 nip 可以为每个引擎定义多个监听端口，以保护不同网段。默 认配置有三个接口：管理、监听和扩展。其中： 管理口负责与控制台进行通信； 监听口负责监视网络流量； 扩展口满足可扩展性。 经过配置，引擎可以同时对多个端口进行监听，以适应不同的 应用环境，如：支持跨网段监听、支持 tap 设备等。 9.9. 日志管理日志管理 nip 的日志管理功能主要包括： 日志查询：根据风险级别设置不同的颜色显示。 日志备份：将日志信息备份到指定的目录下。 日志同步：从各引擎接收最新的日志信息。 日志删除：删除当前的日志记录。 日志压缩：通过压缩可以释放未使用的空间。 同时提供备份文件信息记录和显示功能，防止备份文件的丢失。 10.10.统计功能统计功能 入侵统计 nip 可以按风险级别和事件类型对入侵事件进行统计，还可以 按照一定周期查看入侵统计的发展趋势。 流量统计 nip 的控制台可以从引擎获得网络流量信息，包括 web 流量统 计，网络流量统计，入侵网络流量统计，以及实时流量统计等，并 可通过小时统计、日统计、月统计、年统计等多种方式显示流量统 计结果。 .4 nipnip 10001000 性能指标性能指标 项目nip1000性能 设备类型 电信级4 探头千兆入 侵检测 吞吐量 1.6g 检测效率 100m网络环境下漏报 率：低于1% 1000m网络环境下漏报 率：低于5% 项目nip1000性能 攻击特征 攻击特征数：30大类 3000余条规则 响应方式 日志记录/tcp连接主 动切断/重新配置边缘 设备（如交换机、防 火墙）/e-mail告警 /snmp trap告警 /syslog告警 机柜尺寸（宽深高） 425 mm x 652 mm x88 mm 满配置时最大重量 15kg 整机最大功耗 400w 电源要求 交流输入电压： 220vac30% 处理器 2 个 intel xeon2.4ghz 内存 2g 接口类型两个个10/100/1000m 项目nip1000性能 探测端口(电口) 两个1000m探测端口 （光口） 一个 100 管理端口(电 口) 一个配置串口 4.34.3 终端安全管理系统部署终端安全管理系统部署 .1终端安全管理系统终端安全管理系统 系统的设计开发中完全遵从国际和国内的相关行业标准和软件 工程管理规范，并完全采用通用化和模块化设计，保证了系统的可 扩充性，允许用户开发新的安全策略来满足更灵活的安全需求，可 以使有安全问题的终端无法接入网络，或是在接入网络之前已经消 除了自身的安全问题，从而保证了整个网络的安全。概念设计阶段 就充分考虑了大中型企业网络的应用特点，从部署、扩容、管理和 性能等多方面进行了充分验证，系统中的 sps、srs 系统可以灵活的 部署在企业网络的任何地方，sacg 设备也可以根据网络情况进行灵 活配置，服务器端采用专用端口和协议，并内嵌防火墙技术，可防 止黑客和病毒的攻击； agent 软件自身进行了加密处理，可防止黑客篡改和假冒 agent；agent 与 sps 之间采用专有通信协议，认证信息和通讯信息 进行加密处理，并加入时间戳，可防止黑客的假冒、篡改和重演攻 击； 客户端认证采用用户名、密码、ip 地址、mac 地址等多因素绑 定方式，保证了认证的可信度。 客户端 agent 软件可通过网络自动升级，不会影响用户终端的 使用，十分利于大规模网络的实施和管理。 一个用于审计监控的安全系统，首先要考虑使用管理上的安全 性。secospace 系统在设计上对审计人员和管理人员的职能划分采 取了分级分权管理，确保每一个人的操作都会被审计被监控，从而 保证了使用的安全性。系统的扩容可简单通过添加 sacg 设备和 sps 服务器来实现。系统提供非常方便的各种日志的查询功能，多种形 式的审计报表，帮助审计人员更好完成审计工作。 1. 安全防护功能安全防护功能 终端安全防护系统主要是通过身份认证和安全策略检查的方式， 对未通过身份认证或不符合安全策略的用户终端进行网络隔离，并 帮助终端进行安全修复，以达到防范不安全网络用户终端给安全网 络带来安全威胁的目的。 终端安全性检查 windows、应用程序补丁检查； 防病毒软件版本、病毒特征库版本检查； 违规软件安装检查； 共享目录检查； 屏幕保护密码检查； sql server 版本检查。 网络强身份认证检查 用户名、密码认证； mac 地址认证； ad 域认证； 802.1x 认证； web 认证； 设备指纹与用户名绑定认证 与 ad 域结合进行认证 secospace 可以与微软 ad 域管理器进行结合，把 ad 的用户/帐 号信息同步到 secospace 系统中来。用户在认证的时候把 ad 域帐号 作为信任对象，认证过程中从终端取得域帐号信息直接进行认证。 详细功能点包括： 域帐号信息同步； secospace 服务器通过配置 ad 域服务器信息，自动同步 ad 域 服务器上的帐号信息到 secospace 服务器上，作为域认证的一句。 终端域帐号信息获取； secospace 客户端能够根据用户登录的情况，提取域帐号信息。 域帐号认证。 在 secospace 的认证界面中自动添加域帐号信息