中国海洋石油总公司网络管理成功案例

1、中国海洋石油总公司网络管理成功案例 来源:郑明智中国海洋洋石油总总公司是是经国务务院批准准于19982年年2月115日成成立的国国家石油油公司。应用需求求:中国海洋洋石油总总公司的的计算机机分布在在北京总总部及上上海、渤渤海、湛湛江、蛇蛇口等各各地分公公司中，几十个个服务器器分别承承担着认认证、对对内对外外域名解解析、内内部和外外部的WWEB SERVVER、邮件应应用代理理服务器器以及网网络管理理和防火火墙功能能。同时时还有NNOTEES应用用、财务务软件、WWEB应应用。这这对于一一个十几几人的信信息技术术管理部部来说，如果没没有一个个高效的的管理软件，要要监控这这么多关关键的计计算机及及

2、应用，并使它它们高效效安全的的运转是是个艰巨巨的任务务,随着现现代企业业IT应应用的不不断发展展, 计计算机网网络应用用规模越越来越大大，网络络结构、应用越越来越复复杂。中国国海洋石石油总公公司信息息科技管管理部多多次提到到，要建建设一个个先进的的支撑整整个业运运行的计计算机系系统环境境，而且且还要建建设具有有一个先先进水平平的计算算机管理理系统。从而构构造一个个覆盖整整个海洋洋石油网网络应用用的管理理框架，利用这这个管理理框架可可以自上上而下的的、全面面集中统统一的管管理海洋洋石油网网络应用用。中国国海洋石石油总公公司信息息科技管管理部认认为计算算机系统统网络管管理是一一个系统统工程，而不是

3、是一个简简单的产产品采购购，因此此必须选选择一家家能够对对高端产产品同时时具有研研发、销销售和服服务能力力的公司司作为合合作伙伴伴，才能能使自己己的ITT发展与与业务的的增长紧紧密结合合起来。解决决方案:对象象海洋石石油企业业网络这这样先进进复杂的的大型网网络应用用的管理理，如何何实现对对其自上上而下、全全面的集集中的管管理，是是一个重重要的、迫切的的问题。在实施施该项目目之前，海洋石石油总公司司网络应应用管理理是分散散的、被被动的。应用系系统是客户机机/服务务器结结构的分分布式应用系统统，整个个业务应应用环境境是分布布式的，同一应应用的不不同部分分要分布布在网络络的不同同节点上。在这种种应用

4、环环境中，网络是是承载关关键业务务系统的的基础。应用不不可能脱脱离网络络，它不但但联系最最终用户户和应用用，而且且要联系系同一应应用中的的不同模模块。因因此，要要把问题题从各种IIT资源源中孤立立出来也也越来越越难。管管理员要要不停的的关注网网络设备备和应用用的运行行状况，网络络管理员员要想了了解网络络上有多多少IPP子网，这些子子网是如如何连接接的，每每个子网网上有那些网网络设备备和主机机等信息息，只能能查看过过时的网网络设计计，并要要记住不不断变化化的网络络拓扑。NNotees服务务器复制制是否失失败，RRoutte服务务是否宕宕掉，当当前等待待队列中中的邮件件是多少等等，邮件管管理员只只

5、能到服服务器查查看。用用户经常常反映应用系系统很慢慢，实实际上导导致系统响应应变慢的的原因不不仅仅是是应用程程序和数数据库，也可能能与用户户到服务务器之间间的所有有计算机和和网络设设备、线线路都有有关系。中国国海洋石石油总公公司需要要一套网网络管理理产品，来监控控网络运运行情况况和性能能，定期期给出网络络状况的的报告，分析网网络瓶颈颈，实现现网络系系统的量量化管理理，为系系统的日日常维护护和升级提提供科学学客观的的依据。在中国国海洋石石油总公公司信息息科技管管理部技技术人员员大力配配合下，北北京神州州泰岳软软件股份份有限公公司作为为管理服服务提供供商，对对海洋石石油总公公司网络络进行深入入的需

6、求求分析，并在技技术实验验室模拟拟了有关关必要工工作环境境之后，反复论论证并编编制出海海洋石油油总公司司网络管管理技术术解决方方案。其内容容包括产产品定购购、安装装前准备备、产品安安装、技技术培训训、客户户化定制制、项目目评审、项目验验收等。在每个个阶段都都会产生生相应项目目文件。在实施施过程中中，中国国海洋石石油总公公司信息息管理技技术部与与北京神神州泰岳岳软件股份份有限公公司的技技术人员员每周召召开一次次本周实实施总结结和下周周实施计计划的协协调会，以保证对对项目实实施进行行有效的的管理。同时，信息管管理技术术部的技技术人员员本着高高度负责责的精神，紧密配配合神州州泰岳工工程师的的实施工工

7、作。神神州泰岳岳软件股股份有限限公司技技术人员员把握用用户需求求，根据据海洋石石油计算算机系统统网络管管理的实实际情况况，辅以以大量的的客户化化工作。可以以说，以以上几点点保证了了此项目目的成功功实施。 用户户收益:通过过实施该该项目，信息管管理技术术部的技技术人员员可以全全面掌握握覆盖面面广，设设备繁多多结构复复杂的总总公司IIT系统统，以二二维和三三维视图图方式查查看拓扑扑结构图图，实现现网络各各节点的轮巡巡、各网网络设备备的性能能监控，支持各各种网络络协议，并与第第三方网网络设备备管理软软件集成，对全网网进行集集中统一一的网络络管理。在一个个控制台台上管理理广域网网上的所所有设备备。提高

8、了了系统整整体可用用性，提供与与非ITT部门交交流的必必要手段段。同时时加快了了系统故故障定位，明确确问题的的责任，提高了了网络系系统的可可用性, 如DDNS由由于意外外原因不不能工作作, 通通过网管的主主控台, 可监监测到网网络的实实际情况况, 利利用网管管的选件件功能, 可重重起其系系统，恢恢复网络的的正常工工作。另另一方面面，对WWEB服服务器可可用性、状态和和性能进进行实时时监控的的基础上，监控控内部网网络对于于INTTERNNET的的使用，审计非非法使用用者访问问情况，综合分分析带宽宽的利用效率率、各种种应用占占用带宽宽的比率率，各个个时间带带宽的利利用率等等等，提提供系统统优化的的

9、必要数据据，保证证WEBB服务器器的高效效运行，为企业业提供高高效的国国际信息息通道。神州州泰岳软软件股份份有限公公司作为为管理服服务提供供商，拥拥一支高高水平、高素质质的技术术队伍，对对客户高高度负责责，充分分发挥网网管系统统的各种种选件功功能，并并辅以大大量的客客户化定定制工作，挖掘已已有系统统的功能能，并使使之与网网管系统统高度集集成，以以客户的的需求为为自己工工作的目标标。与中中国海洋洋石油总总公司信信息管理理技术部部一起形形成了一一套高效效、规范范的计算算机系统和和网络管管理体系系。通过过在中国国海洋石石油总公公司成功功实施此此项目，进一步步提高了了其IT管管理部门门在企业业中的重重

10、要性，从而在在中国海海洋石油油总公司司实现了了网络和和系统的的全面、集中中、高效效管理。中海油反反垃圾邮邮件应用用案例应用背景景： 在近几几年的时时间里，大型传传统行业业随着电电子信息息化的大大力推进进，依赖赖网络开开展业务务和管理理的模式式逐渐普普遍，而而信息系系统面临临垃圾邮邮件的威威胁也不不可避免免的成指指数级增增长，垃垃圾邮件件占电子子邮件总总通讯量量达到 75%以以上，而而这一数数字在三三年前仅仅为8%；与此此同时，垃圾邮邮件的类类型以及及发送手手段也愈愈加复杂杂化、多多样化；电子邮邮件也一一跃成为为病毒的的主要传传播方式式；这一一系列的的变化对对大型传传统行业业信息系系统网络络构成

11、了了严重的的威胁。中海油网网络现状状： 本次采采用梭子子鱼垃圾圾邮件防防火墙的的客户是是中国最最大的国国家石油油公司之之一中国海海洋石油油总公司司（以下下简称中中国海油油）。是是中国最最大的海海上油气气生产商商。公司司成立于于19882年，注册资资本5000亿元元人民币币，总部部位于北北京，现现有员工工4.44万人。 公司司的内部部管理和和海外业业务拓展展，随着着网络系系统的建建设而日日益高效效便利，只是伴伴随着病病毒，木木马， HYPERLINK /%E9%97%B4%E8%B0%8D%E8%BD%AF%E4%BB%B6 间间谍软件件的垃圾圾邮件对对公司的的危害已已经到了了非治理理不可的的地

12、步： 公公司形象象这是是电子邮邮件使用用者的第第一大问问题，由由于垃圾圾邮件的的泛滥，对于中中海油而而言，则则可能造造成员工工弃用本本公司邮邮箱，这这不仅对对公司以以前网络络投入造造成浪费费，且有有损公司司在客户户和公众众心中的的形象。 降降低工作作效率使用者者会浪费费无谓的的时间阅阅读并处处理这些些无用的的电子邮邮件。使使用者工工作效率率降低被被认为是是公司因因垃圾邮邮件所导导致的最最大损失失。 不当内内容垃垃圾邮件件中可能能包含攻攻击性文文字，大大多是政政党攻击击，此种种邮件可可能会伤伤害特定定的群组组，甚至至牵连公公司受到到行政审审查。此此外，还还有相当当数量的的色情、非法宗宗教、以以及

13、其他他与国家家法规相相悖的信信息，也也将对收收件人造造成不同同程度的的冲击。 浪浪费ITT资源进入网网络的大大量垃圾圾邮件，会影响响公司的的网络使使用带宽宽。 对安全全和隐私私造成危危害例如邮邮件病毒毒、Phhishher诈诈骗邮件件、身份份盗窃信信等。 现代垃垃圾邮件件技术和和危害： 当垃圾圾邮件成成为跨国国有组织织转发垃垃圾邮件件的犯罪罪行为，单靠一一个国家家的行政政力量或或单纯依依靠公司司IT部部门自有有技术很很难应对对，因此此中海油油必须主主动采取取相应手手段，防防御垃圾圾邮件的的威胁。 电子子邮件系系统目前前是中海海油的关关键业务务系统之之一，所所有Innterrnett电子邮邮件均

14、统统一发送送到总邮邮件 HYPERLINK /server/topic/stor/ 服务务器，由由邮件服服务器通通过网络络分发到到各分支支机构的的电子邮邮件客户户端。目目前邮件件网关服服务器，主要用用于收发发INTTERNNET邮邮件， HYPERLINK /index.php/%E6%93%8D%E4%BD%9C%E7%B3%BB%E7%BB%9F HYPERLINK /%E6%93%8D%E4%BD%9C%E7%B3%BB%E7%BB%9F 操操作系统统 HYPERLINK /index.php/Windows Winndowws 220033，邮件件系统为为Excchannge 2000

15、00，前置机机部署在在DMZZ区，后后台主要要收发邮邮件服务务器部署署位置在在内部防防火墙后后边，高高峰邮件件大约为为700010000左左右，每每天的电电子邮件件流量在在5万封封左右。 目前前大量垃垃圾邮件件、病毒毒邮件通通过电子子邮件系系统传播播，不定定期对中中海油邮邮件服务务器洪水水攻击、DDoos攻击击、列举举式字典典攻击，初步估估计5%左右的的电子邮邮件为病病毒邮件件，而垃垃圾邮件件数量占占邮件总总数量的的85%以上；而这些些垃圾邮邮件给邮邮件系统统带来了了大量潜潜在威胁胁： HYPERLINK /index.php/%E9%92%93%E9%B1%BC HYPERLINK /%E9

16、%92%93%E9%B1%BC 钓鱼式攻攻击； 木马马； 间谍软软件； 病毒毒； 后门程程序 以上这些些威胁已已经使垃垃圾邮件件成为中中海油很很大的安安全漏洞洞，迫切切需要通通过实施施专业的的反垃圾圾反病毒毒硬件网网关产品品来加以以解决，也可以以大大减减轻公司司的邮件件服务器器负荷，节省大大量邮件件服务器器资源。 实施施梭子鱼鱼垃圾邮邮件防火火墙 垃圾邮邮件是对对简单邮邮件传输输协议(SMTTP)协协议的一一种滥用用，该协协议是基基于RFFC 5524基基础在实实施在邮邮件系统统之中。RFCC 5224在119733年提出出，是在在计算机机安全还还不是主主要问题题的时代代发展起起来。正正因为如

17、如此，RRFC 5244不是一一个绝对对安全的的命令集集，它及及SMTTP协议议很容易易被滥用用。绝大大多数垃垃圾邮件件制作工工具利用用了SMMTP的的安全漏漏洞。伪伪造信头头，伪装装发件人人地址，隐藏发发件人系系统，混混淆邮件件内容，这样就就造成真真实发件件人识别别困难甚甚至无法法识别。 针对对不同类类型的垃垃圾邮件件，梭子子鱼采用用了十二二层垃圾圾邮件过过滤技术术，从不不同的角角度对邮邮件进行行严格的的检查，准确的的识别出出垃圾邮邮件将其其隔离或或阻断。 需要要指出的的是，梭梭子鱼之之所以要要采用这这么多过过滤技术术，原因因在于不不同的垃垃圾邮件件阻断技技术帮助助用户阻阻断不同同类型的的垃

18、圾邮邮件，任任何一种种垃圾邮邮件阻断断技术都都有优点点和缺点点及限制制，垃圾圾邮件发发送者一一直试图图通过变变化的发发送技术术绕过反反垃圾邮邮件技术术，因此此要采用用一个全全面包含含最有效效垃圾邮邮件阻断断技术的的整体解解决方案案，针对对中海油油的状况况，推荐荐使用4400型型号的邮邮件防火火墙。 梭子鱼垃垃圾邮件件防火墙墙投资报报酬率分分析计算结果果具体方案案 博威特特技术工工程师建建议用户户将梭子子鱼垃圾圾邮件防防火墙安安装在网网关处。由于传传统的垃垃圾邮件件防护方方案只是是在每台台计算机机上安装装反垃圾圾邮件软软件，这这样无法法在当前前邮件垃垃圾的主主要入口口处进行行防护，也就是是只有在

19、在垃圾邮邮件到达达网络中中的客户户端计算算机和服服务器后后，才通通过本地地已经安安装的防防垃圾邮邮件软件件进行过过滤，服服务器负负载依然然很高，因此在在其网关关处进行行垃圾邮邮件保护护的实际际意义尤尤为显著著。 除除了通过过减少邮邮件量来来减轻服服务器负负担之外外，产品品还通过过一套简简便的管管理系统统简化管管理员的的工作。强大的的管理功功能表现现在，提提供完整整在线邮邮件纪录录报表并并具查询询、管理理功能。独特的的个人分分用户隔隔离功能能，终端端使用者者可分类类管理邮邮件，与与此同时时对邮件件防火墙墙进行了了贝耶斯斯培训，大大分分担了管管理员的的工作量量。“分分用户隔隔离”中中多项人人性化选选择被网网管员所所称道。使用者者可自定定每日、每周(或不寄寄发)自自动寄发发隔离区区通知信信给使用用者。不不需登入入主机，通知信信件上便便可直接接勾选邮邮件进行行送出、删除、加入白白名单等等动作。Miccrossoftt Ouutloook接接口下还还可用 Pluug-iin程序序将信件件分类为为垃圾、非垃圾圾做为BBayeesiaan邮件件分析样样本。 即使有有以上种种种优特特点，但但如果安安装起来