当前位置:首页 >> 电力/水利 >>

国家电力信息网络运维方案


国家电力信息网络运维方案 国家电力信息网络运维方案

目 第一章 第二章



前 言 ...................................................................... 2 电力网络安全需求分析与设计规划 ...........................

...... 3

电力网安全建设需求分析: ................................... 2.1 电力网安全建设需求分析: ................................... 3
2.1.1 网络安全威胁来源............................................................................................... 3 2.1.2 网络安全体系结构............................................................................................... 4

2.2 电力网网络安全建设应重点考虑的几个问题 ..................... 9
2.2.1 机房建设的安全性.................................................................................................. 9 2.2.2 防病毒软件的使用............................................................................................... 10 2.2.3 防火墙的使用....................................................................................................... 10 2.2.4 入侵检测与漏洞扫描........................................................................................... 10 2.2.5 身份验证 .............................................................................................................. 10 2.2.6 虚拟网络技术的应用............................................................................................ 11 2.2.7 网络管理 .............................................................................................................. 11

电力网络安全设计原则: .................................... 2.3 电力网络安全设计原则: .................................... 11
2.3.1 安全体系设计原则................................................................................................ 12 2.3.2 安全策略设计原则................................................................................................ 13 2.3.3 安全管理设计原则................................................................................................ 13 2.3.4 网络结构安全设计原则........................................................................................ 15 2.3.5 安全产品选型原则................................................................................................ 16

第三章 网络安全解决方案 ........................................................... 17
...................................... 3.1 机房安全建设解决方案 ...................................... 17 ........................................ 3.2 网络防病毒解决方案 ........................................ 21 ............................................ 3.3 防火墙解决方案 ............................................ 25 3.4 网络环境下的身份认证解决方案 .............................. 29 3.5 入侵检测与漏洞扫描解决方案 ................................ 30
3.5.1 什么是入侵检测系统? .......................................... 30 3.5.2 入侵检测的必要性............................................... 31 3.5.3 入侵检测系统的工作原理......................................... 34

................................................. 3.6 网络管理 ................................................. 35 .......................................... 3.7 常见安全网络拓扑 .......................................... 40

第四章 方 案 相 关 产 品 介 绍 ............................................... 40
4.1 华为 3COM 公司............................................. 40 ............................................. .............................................. 4.2 华为产品介绍.............................................. 41

第五章 工程业绩与公司简介........................................................ 60
................................................ 5.1 工 程 业 绩 ................................................ 60 5.2 公 司 简 介 ................................................ 64 ................................................

山东博威信息技术有限公司

第 1 页 共 69 页

国家电力信息网络运维方案 国家电力信息网络运维方案

第一章





中国电力系统的信息化从 20 世纪 60 年代就已经开始起步,早期主要集中在发 电厂和变电站自动监测/控制方面等电力生产过程自动化,20 世纪 80~90 年代开始 进入电力系统专项业务应用,涉及电网调度自动化、电力负荷控制、计算机辅助设 计、计算机仿真系统等的使用。20 世纪末,电力信息技术进一步发展到综合应用, 各级电力企业开始建立管理信息系统,实现管理信息化,电力信息化逐渐从生产操 作层走向管理层,并向更深层次拓展。 相对于传统行业,我国电力行业的信息化建设发展较早,已经有了一定的规模, 到目前为止,电力企业的网络普遍建立,电力专用通信网已日趋完善,形成了微波、 卫星、光纤、无线移动通信等多种类通信手段,通信范围覆盖全国。在此基础上, 基本建成从国家电网公司→区域电网中心→省电力公司→地市电力公司→变电所 (局)的四级计算机网络和电力生产调度网络,成为生产控制、电力调度以及信息 传输和交换的重要基础设施。 随着电力市场化以及电网建设的进一步发展,传统的电力系统业务正在发生变 化,这主要体现在电力交易系统、电能量计量系统的建设;会议电视、变电站视频 监控(无人值守)、输变电线路监控及电厂视频监控等视频业务的出现;传统单一主 机的调度自动化体系架构向客户机/服务器体系架构的转变;监视全网运行状况,提 供故障记录和分析的故障录波系统的建设:雷电定位系统、气象信息系统的建设; 多媒体业务的出现等。因此,基于 Internet/Intranet 的体现信息化综合业务应用 的管理信息系统将成为电力企业信息化的发展重点。 电力数据网络承载的业务按照其性质和对安全的要求分为实时控制业务、非控 制生产业务、生产管理业务和管理信息业务。目前网络上所有业务都承载在同一网 络上,存在安全隐患,服务质量也难以保证。按照国家电力公司的统一规划,提出 了“两网分开”的措施。其中实时控制业务和非控制生产业务属于电力生产和控制 的关键业务,对可靠性、实时性、安全性的要求非常严格,由独立的电力调度数据 网承载。而生产管理业务和管理信息业务由电力通信数据网承载。两个网络之间物 理上分离。
山东博威信息技术有限公司 第 2 页 共 69 页

国家电力信息网络运维方案 国家电力信息网络运维方案

无论对于电力调度数据网还是电力通信数据网,建立一个综合、经济、可靠、 安全的通信网络,既能满足现在电力系统语音、数据、图像等各种业务的需求,又 能面向未来,支持不断增多的用户、更大的带宽以及新的业务的广域数据网是关键 所在。 结合我们对电力行业的多方面了解,我们山东电力的信息化建设在国家电力信 息化建设方面,今年是重点推进的项目之一,已进入了加快发展阶段。我 们 山 东 博威信息技术有限公司,无论在电力行业,还是在教育、政府、金 融 、军 队 等 其 他 重 点 行 业 以 及 中 大 型 企 业 的 信 息 化 建 设 ,都 积 累 了 丰 富 的 行 业 项 目 集 成 经 验 。我 们 的 精 英 团 队 深 知 电 力 网 信 息 化 建 设 的 重 任 ,现 在 将 以 更 大 、更 坚 定 的 步 伐 服 务 于 我 们 山 东 电 力 以 及 全 国电力网络的信息化建设。

第二章

电力网络安全需求分析与设计规划 电力网络安全需求分析与设计规划

2.1 电力网安全建设需求分析: 电力网安全建设需求分析 建设需求分析:
2.1.1 网络安全威胁来源
自信息系统开始运行以来就存在信息系统安全问题, 通过网络远程访问而构成 的安全威胁成为日益受到严重关注的问题。根据美国 FBI 的调查,美国每年因为网 络安全造成的经济损失超过 170 亿美元。 网络安全威胁的来源在于网络内运行的多种网络协议, 因为这些网络协议并非 专为安全通讯而设计。因此,网络可能存在的安全威胁来自以下方面: 1.操作系统的安全性。前流行的许多操作系统均存在网络安全漏洞,如 UNIX 服务器,NT 服务器及 Windows 桌面 PC; 2.防火墙的安全性。 防火墙产品自身是否安全, 是否设置错误, 需要经过检验; 3.来自内部网用户的安全威胁; 4.缺乏有效的手段监视、评估网络系统的安全性; 5.采用的 TCP/IP 协议族软件,本身缺乏安全性;
山东博威信息技术有限公司 第 3 页 共 69 页

国家电力信息网络运维方案 国家电力信息网络运维方案

6.应用服务的安全。多应用服务系统在访问控制及安全通讯方面考虑较少,并 且,如果系统设置错误,很容易造成损失

2.1.2 网络安全体系结构
以上所列举的种种网络安全问题, 从网络结构上来讲涉及到网络结构的各个层 次。 按照 OSI 7 层模型, 网络安全贯穿于整个 7 层模型。 针对网络实际运行的 TCP/IP 协议,网络安全贯穿于信息系统的 4 个层次。

2.1.3 平台安全的层次模型

应 用 层

应用系统 应用平台 会话层 网络层 链路层 物理层

应 用 层

应用系统安全 应用平台安全 会话安全

安全路由/访问机制 链路安全 物理层信息安全

上图表示了对应网络的安全体系层次模型:

图 1-1 安全体系层次模型

2.1.3.1. 物理层的安全
物理层信息安全,主要防止物理通路的损坏、物理通路的窃听、对物理通路的 攻击(干扰等) 。

2.1.3.2. 链路层的安全
链路层的网络安全需要保证通过网络链路传送的数据不被窃听。主要采用划分 VLAN(局域网) 、加密通讯 VPN(远程网)等手段。

山东博威信息技术有限公司

第 4 页 共 69 页

国家电力信息网络运维方案 国家电力信息网络运维方案

2.1.3.3. 网络层的安全
网络层的安全需要保证网络只给授权的客户使用授权的服务,保证网络路由正 确,避免被拦截或监听。

2.1.3.4. 操作系统的安全
操作系统安全要求保证客户资料、操作系统访问控制的安全,同时能够对该操 作系统上的应用进行审计。

2.1.3.5. 应用平台的安全
应用平台指建立在网络系统之上的应用软件服务,如数据库服务器、电子邮件 服务器、Web 服务器等。由于应用平台的系统非常复杂,通常采用多种技术(如 SSL 等)来增强应用平台的安全性。

2.1.3.6. 应用系统的安全
应用系统完成网络系统的最终目的--为用户服务。应用系统的安全与系统设计 和实现关系密切。应用系统使用应用平台提供的安全服务来保证基本安全,如通讯 内容安全,通讯双方的认证,审计等手段。

2.1.4 2.1.4 电力网络安全建设的需求分析
根据咱们山东电力信息网络的实际情况,我公司认为电力行业数据网络经过多 年建设,已经建成一个基础良好的网络,但是随着电网建设的新需求、电网市场化 的进一步发展以及信息安全技术的发展,电力数据网络建设正面临若干亟待解决的 挑战: 1.两网分离:在电力调度数据网与电力通信数据网分离的大趋势下,如何实现 两网分离是摆在各级调度机构面前的紧迫问题。全国各地区经济发展不平衡、电网 规模各异、现有数据网络情况千差万别。部分省份已经建设了 ATM 骨干数据网,另 外部分省份建设了 IP 宽带数据网, 也有部分省份网络骨干还是基于微波和窄带线路
山东博威信息技术有限公司 第 5 页 共 69 页

国家电力信息网络运维方案 国家电力信息网络运维方案

的窄带网络。如何实现两网分离,是新建网络还是利用原有网络,如何保护现有投 资,都是各级调度通信中心需要考虑的问题。 2.宽带网络:国家电网公司、南方电网公司和几大发电集团,对电力信息化的 需求日益增强,对数据的即时性、准确性和各公司实际生产运行以及经济运行相关 性将有更高的要求。各电力企业开发的财务系统、人力资源系统、生产管理系统、 电力营销系统、物质设备管理系统、电力负荷管理系统、安全监督管理系统、计划 统计和综合指标系统等业务系统需要整合,提高信息资源共享水平,建立起一个适 应现代市场化环境的电力企业信息系统,为电力公司的产业提升和经营管理服务。 另一方面还需要加强企业信息网络安全建设,确保企业稳定安全发展。要把信息系 统的防灾减灾系统、数据异地备份和双机备份、远程备份等安全理念引入信息网安 全系统中,建立企业的应急处理系统。现有的广域网络的带宽、性能和覆盖率还不 能满足电力市场化运行的需要,企业信息系统的实用化程度有待提高。加快建设信 息网络,特别是建成以光纤通信为主的现代化电力通信传输干线网络,形成高速宽 带数据网,构建电力高速数据通信网络平台,是目前面临的迫切需要。 3.业务互通:各级电力公司的内部网络虽然普遍建立,基本实现了办公网络化, 但是网络之间缺少互联互通,各网络的信息系统不能共享,造成网络的割裂和信息 的孤岛。而电力市场化之后,各级机构之间面临着统一业务的需要,如:电力交易 系统、电能量计量系统的建设面临着全省网络的互通和省际、网际之间的交互,对 广域网络建设提出更高的要求,全国性骨干网络和区域电网的建设是实现这一目标 的必有之路。 4.电力市场化:电力改革实现了“厂网分离、竞价上网”,在电力行业引入市 场竞争机制,电力改革,改变了市场竞争格局,改变了价值链模式,最终要求企业 改革自身的管理来应对各种变化。以信息技术提高管理运营效率的利器??企业信息 化,其根本基础是企业的运营与管理,也必须适应这种管理与运营的变化。因此, 电力改革最终也会影响到电力行业企业信息化建设。企业必须向以客户为中心的管 理与运营模式方向转变,作为国家公用基础性行业企业,电力行业的竞争是同质产 品的竞争,如何在最短的时间里,以最好的服务质量、最低的服务成本提供给用户 服务是电力行业企业信息化要实现的目标,管理信息化建设将成为重点内容。其中 重点建设的内容包括:提升企业内部管理效率、降低成本的 ERP 系统与 EAM 系统,
山东博威信息技术有限公司 第 6 页 共 69 页

国家电力信息网络运维方案 国家电力信息网络运维方案

支持客户信息管理与分析的 CRM 系统,全面提高价值链竞争效率的 SCM 系统等都将 纳入电力行业企业信息化建设。而实现企业信息化的基础就是数据网络。一个稳定、 可靠、高安全的网络正是实现各种业务管理系统、提高客户满意度的前提条件。 根据以上电力网络发展情况,在网络安全方面为了满足以上发展情况,我们可 以得到以下需求:

2.1.4.1 网络的基本安全需求
满足基本的安全要求,是该网络成功运行的必要条件,在此基础上提供强有力 的安全保障,是网络系统安全的重要原则。 网络内部部署了众多的网络设备、服务器,保护这些设备的正常运行,维护主 要业务系统的安全,是网络的基本安全需求。 对于各种各样的网络攻击,如何在提供灵活且高效的网络通讯及信息服务的同 时,抵御和发现网络攻击,并且提供跟踪攻击的手段,是本项目需要解决的问题。 网络基本安全要求主要表现为: a. 网络正常运行。在受到攻击的情况下,能够保证网络系统继续运行。 b. 网络管理/网络部署的资料不被窃取。 c. 具备先进的入侵检测及跟踪体系。 d. 提供灵活而高效的内外通讯服务。

2.1.4.2 应用系统的安全需求
与普通网络应用不同的是,应用系统是网络功能的核心。对于应用系统应该具 有最高的网络安全措施。应用系统的安全体系应包含: a. 访问控制,通过对特定网段、服务建立的访问控制体系,将绝大多数攻击阻 止在到达攻击目标之前; b. 检查安全漏洞,通过对安全漏洞的周期检查,即使攻击可到达攻击目标,也 可使绝大多数攻击无效;
山东博威信息技术有限公司 第 7 页 共 69 页

国家电力信息网络运维方案 国家电力信息网络运维方案

c. 攻击监控,通过对特定网段、服务建立的攻击监控体系,可实时检测出绝大 多数攻击,并采取相应的行动(如断开网络连接、记录攻击过程、跟踪攻击源等) ; d. 加密通讯,主动的加密通讯,可使攻击者不能了解、修改敏感信息; e. 认证,良好的认证体系可防止攻击者假冒合法用户; f. 备份和恢复,良好的备份和恢复机制,可在攻击造成损失时,尽快地恢复数 据和系统服务; g. 多层防御,攻击者在突破第一道防线后,延缓或阻断其到达攻击目标; h. 隐藏内部信息,使攻击者不能了解系统内的基本情况; i. 设立安全监控中心,为信息系统提供安全体系管理、监控,维护及紧急情况 服务

2.1.4.3 平台安全的需求
网络平台将支持多种应用系统,对于每种系统均在不同程度上要求充分考虑平 台安全。 平台安全与平台性能和功能的关系 平台安全与平台性能和功能的关系 功能 通常,系统安全与性能和功能是一对矛盾的关系。如果某个系统不向外界提供 任何服务(断开),外界是不可能构成安全威胁的。但是,若要提供更多的服务,将 网络建成了一个开放的网络环境,各种安全包括系统级的安全问题也随之产生。 构建平台安全系统,一方面由于要进行认证、加密、监听、分析、记录等工作, 由此影响网络效率,并且降低客户应用的灵活性;另一方面也增加了管理费用。 但是,来自网络的安全威胁是实际存在的,特别是在网络上运行关键业务时, 网络安全是首先要解决的问题。 选择适当的技术和产品,制订灵活的网络安全策略,在保证网络安全的情况下, 提供灵活的网络服务通道。
山东博威信息技术有限公司 第 8 页 共 69 页

国家电力信息网络运维方案 国家电力信息网络运维方案

采用适当的安全体系设计和管理计划,能够有效降低网络安全对网络性能的影 响并降低管理费用。 平台安全的管理因素 平台安全可以采用多种技术来增强和执行。但是,很多安全威胁来源于管理上 的松懈及对安全威胁的认识。来自平台方面的安全威胁主要利用以下途径: a. 系统实现存在的漏洞; b. 系统安全体系的缺陷; c. 使用人员的安全意识薄弱; d. 管理制度的薄弱; 良好的平台管理有助于增强系统的安全性: a. 及时发现系统安全的漏洞; b. 审查系统安全体系; c. 加强对使用人员的安全知识教育; d. 建立完善的系统管理制度。

2.2 电力网网络安全建设应重点考虑的几个问题 电力网网络安全 安全建设应重点考虑的几个问题
2.2.1 机房建设的安全性
在机房建设的过程中,用户最看重的是各种机房设备的稳定性和可靠性。智能 化管理与监控作为一个机房建设的重要组成部分,提高了机房的可用性和安全性, 而且作为机房本身一个重要的功能已经被融入到越来越多的机房设计中。机房当中 的安全性既包括设备的物理安全性又包括网络逻辑上的安全性。

山东博威信息技术有限公司

第 9 页 共 69 页

国家电力信息网络运维方案 国家电力信息网络运维方案

2.2.2 防病毒软件的使用
各个厂商的防病毒软件产品都有其不同的特色和侧重点。国内的防病毒软件通 常具有运行迅速、资源占用低的特点,查毒能力和杀毒能力也都表现良好,只是在 病毒处理方面还有待提高;国际厂商的产品在技术处理方面仍旧保有优势,但其并 非完美无缺,一些处理策略和产品理念上并不适合国内市场,比较明显一点的就是 国际厂商一般对仅在国内流行的 qq 病毒无法查杀。综合而言,我们可以根据我们电 力部门在广域网接入和本地局域网内各采用不同特性的杀毒软件,以满足我们不同 的需求。

2.2.3 防火墙的使用
今天的防火墙设备被用来保护计算机网络免受未授权人员的骚扰与黑客的入 侵,这些设备尤如一道城墙一样隔在被保护的网络与不安全的非信任网络之间。防 火墙是位于两个信任程度不同的网络之间(如企业内部网络和 INTERNET 之间)的软 件或硬件设备的组合,它对两个网络之间的通信进行控制,通过强制实施统一的安 全策略,防止对重要信息资源的非法存取和访问,以达到保护系统安全的目的。

2.2.4 入侵检测与漏洞扫描
入侵监测系统就像大厦的保安监视系统一样,监视着网络上的一举一动。它的 “摄像头”连接在网络的主要节点上,侦听、分析网络流量;它的“监视器”安装 在网络安全管理员的主机上,以便随时发觉网络中的入侵行为。通过运用先进的入 侵监测技术,入侵监测系统可以发现绝大多数的网络攻击行为。

山东博威信息技术有限公司

第 10 页 共 69 页

国家电力信息网络运维方案 国家电力信息网络运维方案

2.2.5 身份验证
认证是计算机和网络安全的基本组成部分。对用户身份进行认证,使企业能够 充满自信的对不同的用户帐号指定不同的允许和访问权限,以保证每个登陆到系统 和网络中的用户只有完成他们工作所需的最低级别权限。

2.2.6 虚拟网络技术的应用
出于电力行业的行政安全设置、建筑物的集中布线方式以及一些应用和安全的 考虑,虚拟网的划分是必须的,针对每一个部门,通过 VLAN 划分的方式,将不同 部分进行有效地隔离,减少了冲突域,提高了网络的安全访问。此外,用户需要的 不仅仅是简单的划分,更多的是如何有效的,简便的、动态修改和配置它们。

2.2.7 网络管理
电力网网络系统分布在不同的地区,同时又分布在各个地区的不同位置,日常 的网络维护和操作的工作量大大增加,网络系统需要一个可靠,便捷、功能强大的 网络管理系统来充分有效的管理和利用局域网络资源。 以上提出了一些在电力网络设计及数据存储应考虑的因素,它与我们的设计原 则是相符合的。在对整个网络系统的设计中,我们必须坚持从用户实际需求出发, 利用先进的技术,为用户构建真正适合自身的网络安全及存储系统。

2.3 电力网络安全设计原则: 电力网络安全设计原则 网络安全设计原则:

山东博威信息技术有限公司

第 11 页 共 69 页

国家电力信息网络运维方案 国家电力信息网络运维方案

网络安全体系结构主要考虑安全对象和安全机制,安全对象主要有网络安全、 系统安全、数据库安全、信息安全、设备安全、信息介质安全和计算机病毒防治等,

企业安全策略 用户责任
病毒 防治

计算机网络安全 信息 服务
信息 安全

保密 教育

操作 系统

物 理 实 体 安 全
图 2-1

其安全体系结构如图 2-1 所示

2.3.1 安全体系设计原则
在进行计算机网络安全设计、规划时,应遵循以下原则: a. 需求、风险、代价平衡分析的原则 : 对任一网络来说,绝对安全难以达到,也不一定必要。对一个网络要进行实际 分析,对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制 定规范和措施,确定本系统的安全策略。保护成本、被保护信息的价值必须平衡, 价值仅 1 万元的信息如果用 5 万元的技术和设备去保护是一种不适当的保护。 b. 综合性、整体性原则 : 运用系统工程的观点、方法,分析网络的安全问题,并制定具体措施。一个较 好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络包括个人、设 备、软件、数据等环节。它们在网络安全中的地位和影响作用,只有从系统综合的 整体角度去看待和分析,才可能获得有效、可行的措施。 c. 一致性原则
山东博威信息技术有限公司 第 12 页 共 69 页

国家电力信息网络运维方案 国家电力信息网络运维方案

这主要是指网络安全问题应与整个网络的工作周期(或生命周期)同时存在, 制定的安全体系结构必须与网络的安全需求相一致。实际上,在网络建设之初就考 虑网络安全对策,比等网络建设好后再考虑,不但容易,而且花费也少得多。 d. 易操作性原则 安全措施要由人来完成,如果措施过于复杂,对人的要求过高,本身就降低了 安全性。其次,采用的措施不能影响系统正常运行。 e. 适应性、灵活性原则 安全措施必须能随着网络性能及安全需求的变化而变化,要容易适应、容易修 改。 f. 多重保护原则 任何安全保护措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护 系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全

2.3.2 安全策略设计原则
安全策略分安全管理策略和安全技术实施策略两个方面: a. 管理策略 安全系统需要人来执行,即使是最好的、最值得信赖的系统安全措施,也不能 完全由计算机系统来完全承担安全保证任务,因此必须建立完备的安全组织和管理 制度。 b. 技术策略 技术策略要针对网络、操作系统、数据库、信息共享授权提出具体的措施。

2.3.3 安全管理设计原则
计算机信息系统的安全管理主要基于三个原则。
山东博威信息技术有限公司 第 13 页 共 69 页

国家电力信息网络运维方案 国家电力信息网络运维方案

a. 人负责原则 每项与安全有关的活动都必须有两人或多人在场。 这些人应是系统主管领导指 派的,应忠诚可靠,能胜任此项工作。 b. 任期有限原则 一般地讲,任何人最好不要长期担任与安全有关的职务,以免误认为这个职务 是专有的或永久性的。 c. 职责分离原则 除非系统主管领导批准,在信息处理系统工作的人员不要打听、了解或参与职 责以外、与安全有关的任何事情。 安全管理的实现 信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性, 制订相 应的管理制度或采用相应规范,其具体工作是: a. 确定该系统的安全等级; b. 根据确定的安全等级,确定安全管理的范围; c. 制订相应的机房出入管理制度,对安全等级要求较高的系统,要实行分区 控制,限制工作人员出入与己无关的区域; d. 制订严格的操作规程,操作规程要根据职责分离和多人负责的原则,各负 其责,不能超越自己的管辖范围; e. 制订完备的系统维护制度,维护时,要首先经主管部门批准,并有安全管 理人员在场,故障原因、维护内容和维护前后的情况要详细记录; f. 制订应急措施,要制订在紧急情况下,系统如何尽快恢复的应急措施,使 损失减至最小;
山东博威信息技术有限公司 第 14 页 共 69 页

国家电力信息网络运维方案 国家电力信息网络运维方案

e. 建立人员雇用和解聘制度, 对工作调动和离职人员要及时调整相应的授权。 安全系统需要由人来计划和管理, 任何系统安全设施也不能完全由计算机系统 独立承担系统安全保障的任务。一方面,各级领导一定要高度重视并积极支持有关 系统安全方面的各项措施。其次,对各级用户的培训也十分重要,只有当用户对网 络安全性有了深入了解后,才能降低网络信息系统的安全风险。 总之,制定系统安全策略、安装网络安全系统只是网络系统安全性实施的第一 步,只有当各级组织机构均严格执行网络安全的各项规定,认真维护各自负责的分 系统的网络安全性,才能保证整个系统网络的整体安全性。

2.3.4 网络结构安全设计原则
由于网络的互连是在链路层、网络层、传输层、应用层不同协议层来实现,各 个层的功能特性和安全特性也不同,因而其网络安全措施也不相同。 物理层安全涉及传输介质的安全特性,抗干扰、防窃听将是物理层安全措施制 定的重点。 在链路层,通过“桥”这一互连设备的监视和控制作用,使我们可以建立一定 程度的虚拟局域网,对物理和逻辑网段进行有效的分割和隔离,消除不同安全级别 逻辑网段间的窃听可能。 在网络层, 可通过对不同子网的定义和对路由器的路由表控制来限制子网间的 接点通信,通过对主机路由表的控制来控制与之直接通信的节点。同时,利用网关 的安全控制能力,可以限制节点的通信、应用服务,并加强外部用户识别和验证能 力。对网络进行级别划分与控制,网络级别的划分大致包括 Internet/企业网、骨 干网/区域网、区域网/部门网、部门网/工作组网等,其中 Internet/企业网的接口 要采用专用防火墙,骨干网/区域网、区域网/部门网的接口利用路由器的可控路由 表、安全邮件服务器、安全拨号验证服务器和安全级别较高的操作系统。增强网络 互连的分割和过滤控制,也可以大大提高安全保密性。 随着企业个人与个人之间、各部门之间、企业和企业之间、国际间信息交流的
山东博威信息技术有限公司 第 15 页 共 69 页

国家电力信息网络运维方案 国家电力信息网络运维方案

日益频繁,信息传输的安全性成为一个重要的问题。尽管个人、部门和整个企业都 已认识到信息的宝贵价值和私有性,但商场上的无情竞争已迫使机构打破原有的界 限,在企业内部或企业之间共享更多的信息,只有这样才能缩短处理问题的时间, 并在相互协作的环境中孕育出更多的革新和创造。然而,在群件系统中共享的信息 却必须保证其安全性,以防止有意无意的破坏。 物理实体的安全管理现已有大量标准和规范,如 GB9361-88《计算机场地安全 要求》 、GFB2887-88《计算机场地技术条件》等。

2.3.5 安全产品选型原则
在进行网络安全方案的产品选型时,要求安全产品至少应包含以下功能: a. 访问控制:通过对特定网段、服务建立的访问控制体系,将绝大多数攻击 阻止在到达攻击目标之前; b. 检查安全漏洞:通过对安全漏洞的周期检查,即使攻击可到达攻击目标, 也可使绝大多数攻击无效; c. 攻击监控:通过对特定网段、服务建立的攻击监控体系,可实时检测出绝 大多数攻击, 并采取相应的行动 (如断开网络连接、 记录攻击过程、 跟踪攻击源等) ; d. 加密通讯:主动的加密通讯,可使攻击者不能了解、修改敏感信息; e. 认证:良好的认证体系可防止攻击者假冒合法用户; f. 恢复:良好的备份和恢复机制,可在攻击造成损失时,尽快地恢复数据和 系统服务; g. 多层防御:攻击者在突破第一道防线后,延缓或阻断其到达攻击目标; h. 隐藏内部信息:使攻击者不能了解系统内的基本情况;

山东博威信息技术有限公司

第 16 页 共 69 页

国家电力信息网络运维方案 国家电力信息网络运维方案

i. 设立安全监控中心:为信息系统提供安全体系管理、监控,保护及紧急情 况服务。

网络安全解决方案 安全解决 第三章 网络安全解决方案 3.1 机房安全建设解决方案
3.1.1 电气系统
1、 数据中心供配电系统应为 380V/200V、50HZ,计算机供电质量达到 A 级。 2、 供配电方式为双路供电系统加 UPS 电源及柴油发电机设备,并对空调系统和其 他用电设备单独供电,以避免了空调系统启停对重要用电设备的干扰。供电系统的 负荷包含如下方面: ·服务器功率 单台服务器功率 ╳ 服务器台数 = 总功率 ·UPS 总功率: 一般采用 n+1 备份方案,亦即并联 UPS 台数多加壹台,以防止某一台机组出现故障。 目前 UPS 效率均在 90%以上,故按照服务器总功率可以计算出 UPS 的总 KVA 数。 ·工作区恒温恒湿精密空调负荷: 工作区面积╳200~250 kcal/hr /m2 = 总的空调所需制冷量 按上述数据即可确定精密空调的数量,同时亦可确定空调所耗费电功率。 ·办公区空调、照明等负荷 ·其它用负荷 由上可以计算出一个数据中心机房所需的用电负荷总功率。 3、 电源分类: ·一类电源为 UPS 供电电源,由电源互投柜引至墙面配电箱,分路送到活动地板下 插座,再经插座分接计算机电源处,电缆用阻燃电缆,穿金属线槽钢管敷设。 ·二类电源为市电供电电源,由电源互投柜分别送至空调、照明配电箱和插座配电 箱,再分路送至灯具及墙面插座。电缆用阻燃电缆,照明支路用塑铜线,穿金属线 槽及钢管敷设。
山东博威信息技术有限公司 第 17 页 共 69 页

国家电力信息网络运维方案 国家电力信息网络运维方案

·三类电源为柴油发电机组,是作为特别重要负荷的应急电源,应满足的运行方式 为:正常情况下,柴油发电机组应始终处于准备发动状态,当两路市电均终断时, 机组应立即启动,并具备带 100%负荷的能力。任一市电恢复时,机组应能自动退出 运行并延时停机,恢复市电供电。机组与电力系统间应有防止并列运行的连锁装置。 柴油发电机组的容量应按照用电负荷的分类来确定,因为有的负荷需要很大的启动 功率,如空调电动机,这就需要合理选择发电机组容量,以避免过大的启动电压降, 一般根据上述用电负荷总功率的 2.5 倍来计算。 4、 配电柜 ·配电箱、柜应有短路、过流保护,其紧急断电按钮与火灾报警联锁。 ·配电箱、柜安装完毕后,进行编号,并标明箱、柜内各开关的用途以便于操作和 检修。 ·配电箱、柜内留有备用电路,作机房设备扩充时用电。 5、 插座 机房内用电插座分为两大类,即 UPS 插座和市电插座。机房各工作间均留有备用插 座安装在墙壁下方供设备维修时用。 6、 电缆(电线) ·电缆(电线)在铺设时应该平直,电缆(电线)要与地面、墙壁、天花板保持一 定的间隙。 ·不同规格的电缆(电线)在铺设时要有不同的固定距离间隔。 ·电缆(电线)在铺设施工中弯曲半径按厂家和当地供电部门的标准施工。 ·铺设电缆时要有留有适当的余度。 ·地板下的电缆穿钢管或在金属线槽里铺设。 7、 照明 ·机房照明按"电子计算机机房设计规范"规定。 ·照明灯具采用嵌入式安装。事故照明用备用电源自投自复配电箱,市电与 UPS 电 源自动切换。 ·灯具内部配线采用多股铜芯导线, 灯具的软线两端接入灯口之前均应压扁并搪锡,
山东博威信息技术有限公司 第 18 页 共 69 页

国家电力信息网络运维方案 国家电力信息网络运维方案

使软线与固定螺丝接触良好。灯具的接地线或接零线,必须用灯具专用接地螺丝并 加垫圈和弹簧垫圈压紧。 ·在机房内安装嵌装灯具固定在吊顶板预留洞孔内专设的框架上。灯上边框外缘紧 贴在吊顶板上,并与吊顶金属明龙骨平行。 ·在机房内所有照明线都必须穿钢管或者金属软管并留有余量。电源线应通过绝缘 垫圈进入灯具,不应贴近灯具外壳。 8、 接地系统 依据国标 GB50169-92 电气安装,接地施工及验收规范。计算机直流地与机房抗静电 接地及保护地严格分开以免相互干扰,采用 T50x0.35 铜网,所有接点采用锡焊或铜 焊使其接触良好,以保证各计算机设备的稳定运行并要求其接地电阻 1Ω。机房抗 静电接地与保护地采用软扁平编织铜线直接敷设到每个房间让地板就近接地,能使 地板产生的静电电荷迅速入地。 9、 防雷 为防止机房设备的损坏和数据的丢失,机房防雷尤其重要。按国家建筑物防雷设计 规范,本设计对机房电气电子设备的外壳、金属件等实行等电位连接,并在低压配 电电源电缆进线输入端加装电源防雷器。防雷接地电阻要求小于 10Ω。

3.1.2 3.1.2 空调系统
根据 GB2887-82 计算机场地技术要求,按 A 级设计,温度 T=23℃±2℃,相对湿度 =55%±5%,夏季取上限,冬季取下限。 气流组织采用下送风、上回风,即抗静电活动地板静压箱送风,吊顶天花微孔板回 风。新风量设计取总风量的 10%,中低度过滤,新风与回风混合后,进入空调设备 处理,提高控制精度,节省投资,方便管理。

3.1.3 门禁系统 3.1.3

山东博威信息技术有限公司

第 19 页 共 69 页

国家电力信息网络运维方案 国家电力信息网络运维方案

门禁管理系统的主要目的是保证重要区域设备和资料的安全,便于人员的合理 流动,对进入这些重要区域的人员实行各种方式的门禁管理,以便限制人员随意进 出。 ·卡片最好采用现在流行的感应式卡片。 ·卡出入系统首先应具有权限设置的功能,即每张卡可进出的时间、可进出哪道门, 不同的卡片持有者应有不同的权限。 ·每次有效的进入都应存档或统计。 ·应有完善的密码系统,即对系统的更改,不同的操作者应有不同的权限。 ·电锁应采用安全可靠的产品,有电闭锁或无电闭锁根据用户要求可调。 ·紧急情况下或电锁出现故障的情况下应有应急钥匙可将门打开。 ·门禁系统最好采用计算机控制系统。 ·全套系统最好有备用电源。

3.1.4 3.1.4 监控系统
1、 机房中有大量的服务器及机柜、机架。由于这些机柜及机架一般比较高,所以 监控的死角比较多,因此在电视监控布点时主要考虑各个出入口,每一排机柜之间 安装摄象机。如果在各出入口的空间比较大,可考虑采用带变焦的摄象机,在每一 排的机柜之间,根据监视距离,配定焦摄象机即可。如果机房有多个房间的话,可 考虑在 UPS 房和控制机房内安装摄象机。 2、 产品选型及技术要求: ·电视监控系统图像信号应满足图像信号技术指标表中的要求

项目 复合视频信号幅度 黑白电视水平清晰度 彩色电视水平清晰度

指标值 (1±0.3)V(峰-峰) >=350TVL >=270TVL

山东博威信息技术有限公司

第 20 页 共 69 页

国家电力信息网络运维方案 国家电力信息网络运维方案 黑白电视灰度等级 信噪比 >=8 >=38

·一般情况下,定焦摄象机在光照度变化大的场所应选用自动光圈镜头并配置防护 罩,在光照稳定光源充足的地方,用固定光圈镜头可降低成本。 ·图像信号应保持 24 小时录像,录像方式可采用硬盘录像,也可采用传统的录像系 统。闭路电视控制系统最好有视频动态报警功能。同时如果具有视频远程传输功能, 即通过 Internet、ISDN、局域网或电话线将监视信号传输到远程客户指定的地方, 在使用时将会更加方便。 ·在安装闭路电视的同时,也可考虑在重要的机房档案库安装防盗报警系统以加强 防范手段。

3.1.5 3.1.5 消防系统
1、 方案依据 l 《高层建筑防火设计规范》GBJ45-82 l 《火灾自动报警系统设计规范》GBJ116-88 2、 消防自动报警及控制系统的组成 l 消防控制中心包括智能火灾报警控制主机,用于集中报警及控制。 l 消防控制中心外围报警及控制包括光电感烟探测器、感温探测器、组合控制器和 气瓶等。上述设备位于各楼层现场和端子箱内。

3.2 网络防病毒解决方案 网络防病毒解决方案
计算机病毒与反病毒技术的发展,致使企业不能再依靠单一的防毒体系来保全 资源,面对日益复杂的病毒技术的出现,必须出现一种全新的企业防毒模式。基于 企业防毒的需求,我们公司所提供的企业全线防毒体系,无疑给了我们电力网络一 个更加安全的防护模式。 1、杀毒软件【网络版】体系结构 杀毒软件【网络版】 杀毒软件【网络版】整个防病毒体系是由四个相互关联的子系统组成。每一个
山东博威信息技术有限公司 第 21 页 共 69 页

国家电力信息网络运维方案 国家电力信息网络运维方案

子系统均包括若干不同的模块,除承担各自的任务外,还与另外子系统通讯,协同 工作,共同完成对网络的病毒防护工作。 一、系统中心 系统中心是整个网络防病毒系统的信息管理和病毒防护的自动控制核心。它实 时地记录防护体系内每台计算机上的病毒监控、检测和清除信息。同时,根据控制 台的设置,实现对整个防护系统的自动控制。其他子系统只有在系统中心工作后, 才可实现各自的网络防护功能。 它必须先于其它子系统安装到符合条件的服务器上。 二、服务器端 服务器端是专门为网络服务器设计的防病毒子系统。它承担着对当前服务器上 病毒的实时监控、检测和清除任务,同时自动向系统中心报告病毒监测情况。 三、客户端 客户端是专门为网络工作站(客户机)设计的防病毒子系统。它承担着对当 前工作站上病毒的实时监控、检测和清除任务,同时自动向系统中心报告病毒监测 情况。 四、控制台 控制台是为网络管理员专门设计,是整个网络防病毒系统设置、 使 用 和 控 制 的 操 作 平 台 。它 集 中 管 理 网 络 上 所 有 已 安 装 过 网 络 版 客 户 端 的 计 算 机 ,保 障 每 个 纳 入 防 护 网 络 的 计 算 机 时 刻 处 于 最 佳 的 防 病 毒 状 态 。同 时 实 现 对 系 统 中 心 的 管 理 。它 既 可 以 安 装 到 服 务 器 上 也 可 以 安 装 到 客 户 机 上 ,视 网 络 管 理 员 的 需 要 ,可 自 由 安 装 。所 以 , 它又被称为“移动控制台” 。 2、如何进行防病毒管理 当一个计算机网络安装杀毒软件【网络版】后,必须将防病毒管理纳入日常工 作。只有通过网络系统管理员,杀毒软件【网络版】和我公司的技术支持三方努力 下才能真正实现整个网络安全的目的。针对杀毒软件【网络版】提供的功能和特点, 建议网络系统管理员进行如下的管理: 确立病毒防护原则 在通过杀毒软件【网络版】、企业自身技术人员(多指网络管理员)和我公司 技术支持工程师建立起网络的防病毒体系后,还必须确立该体系运转的工作原则。 根据我们电力公司的网络状况、技术人员状况和其他实际情况,我公司提出以下建
山东博威信息技术有限公司 第 22 页 共 69 页

国家电力信息网络运维方案 国家电力信息网络运维方案

议: 所有计算机均应安装杀毒软件,避免形成防护体系的薄弱环节。 强制每台计算机开启实时监控功能。 在每台服务器和客户机上设定合理的定时扫描频率。 每次手动查杀病毒时,选择扫描所有文件。 在重要服务器或客户机上选定“清除之前备份带毒文件”功能。 系统管理员通过控制台获得某台服务器或客户机染毒信息后,应针对该计算 机进行专门处理。 病毒防护信息管理 系统中心对防护体系内所有计算机的病毒监控、检测,以及处理情况均有记录。 对这些信息的有效监控、利用和管理会使整个防病毒工作更加有效。网络管理员应 根据网络的实际运行状况和工作需要制定切实可行的管理方案。 监控、检测和清除病毒 该项管理是网络防病毒管理的核心,利用杀毒软件【网络版】提供的各项功能 可实现对所有计算机设计具体的管理方案。如,对实时监控、扫描、清除时间、周 期等设置。 未知病毒侦测管理 由于新病毒的不断出现,反病毒软件也要随之更新。只有建立一套完整可行的 新病毒侦测和捕获方案才能实现这一过程的良性循环和周期的缩短。这也是维护整 个网络安全必不可少的环节。一旦发现异常现象,及时与反病毒公司联系。 版本升级更新管理 彻底解决新病毒的办法是保证杀毒软件的不断升级更新。为此,网络管理员应 充分利用提供的各种升级方式,结合自身具体情况,制定合理的升级管理办法,并 组织实施。

3、杀毒软件【网络版】的特点 杀毒软件【网络版】 ■远程化管理 远程杀毒: 网络管理员只需通过一台计算机,就可以对全网的所有计算机同时进行病毒 检测和清除。
山东博威信息技术有限公司 第 23 页 共 69 页

国家电力信息网络运维方案 国家电力信息网络运维方案

远程报警: 局域网中任何一台计算机上发现病毒时,杀毒软件自动将病毒信息传递给网 络管理员。 远程操作: 网络管理员只需通过一台计算机,就可以对全网所有杀毒软件进行统一或个 性化设置。 ■自动化管理 自动安装: 整个局域网只需在一台计算机上安装杀毒软件,即可实现对所有计算机的自 动安装。 自动升级: 系统自动从网站下载最新升级版本,并自动分发到各节点计算机,实现全网 统一升级。 ■功能强大,操作简便 针对以往网络版杀毒软件设置复杂,操作繁琐的弊病,采用智能化的底层优化 技术,在保持功能强大的前提下,实现了界面简洁、操作便利的目标,最大限度地 减少了用户操作难度和工作量。 ■集中式管理、分布式杀毒 中央系统中心结合移动控制台实现全网方便管理 局域网内任意一台计算机均可设置为移动控制台。网络管理员通过帐号和口令 使用移动控制台,即可清楚地掌握整个网络环境中各个节点的病毒监测状态,对局 域网进行远程集中式安全管理。 先进的分布式管理技术 杀毒软件采用先进的分布式管理技术,调用每个节点各自的杀毒软件对该计算 机上所有文件进行全面查杀病毒,解决了以往网络版杀毒软件只能查杀共享文件的 缺陷。由于不在网络上传输文件,既保障了每个节点使用者的隐私,又大大提高了 全网查杀病毒的效率。

山东博威信息技术有限公司

第 24 页 共 69 页

国家电力信息网络运维方案 国家电力信息网络运维方案

3.3 防火墙解决方案
3.3.1 防火墙简介
在人们建筑和使用木制结构房屋的时候,为防止为灾的发生和蔓延,将坚固的 石块堆砌在房屋周围作为屏障,这种防护构筑物被称之为防火墙。在今日的电子信 息世界里,人们借助了这个概念,使用防火墙来保护敏感的数据不被窃取和篡改, 不过这些防火墙是由先进的计算机系统构成的。 今天的防火墙设备被用来保护计算机网络免受未授权人员的骚扰与黑客的入 侵,这些设备尤如一道城墙一样隔在被保护的网络与不安全的非信任网络之间。我 们目前广泛使用的互联网络便是世界上最大的非信任网,它在结构上并没有一个集 中的管理机构,没有办法控制源自天这里的访问的合法性,近年来媒体报导的很多 黑客入侵事件都是通过互联网络进行的。

3.3.1.1 防火墙的概念
简单的说,防火墙是位于两个信任程度不同的网络之间(如企业内部网络和 INTERNET 之间)的软件或硬件设备的组合,它对两个网络之间的通信进行控制,通 过强制实施统一的安全策略,防止对重要信息资源的非法存取和访问,以达到保护 系统安全的目的。 防火墙通常是运行在一台单独计算机之上的一个特别的服务软件, 用来保护由 许多台计算机组成的大型网络。它既可以是非常简单的过滤器,也可能是精心配置 的网关,但它们的原理是一样的,都是监测并过滤所有内部网和外部网之间的信息 交换,防火墙保护着内部网络敏感的数据不被偷窃和破坏,并记录内外通讯的有关 状态信息日志,如通讯发生的时间和进行的操作等等。新一代的防火墙甚至可以阻 止内部人员将敏感数据向外传输。在把公司的局域网联入互联网络时,肯定不希望 让全世界的人随意翻阅公司内部的工资单、个人资料或是客户数据库。即使在公司 内部,同样也存在这种数据非法存取的可能性。例如一些对公司不满的员式可能会 修改工资表和财务报告。而在设置了防火墙以后,就可以对网络数据的流动实现有 效地管理:允许公司内部员工使用电子邮件,进行 WEB 浏览以及文件传输,但不
山东博威信息技术有限公司 第 25 页 共 69 页

国家电力信息网络运维方案 国家电力信息网络运维方案

允许外界随意访问公司内部的计算机,同样还可以限制公司中不同部门之间互相访 问。将局域网络放置于防火墙之后可以有效阻止来自外界的攻击。

3.3.1.2 为什么需要设防火墙
设置防火墙使你的网络规划清晰明了,它可以识别并屏蔽非法的请求,有效防 止跨越权限的数据访问。如果你的网络联入了互联欢网络而没有设置防火墙的话, 你可能会接到许多系统入侵的报告。黑客袭击的例子屡见不鲜,在一些讲座计算机 安全的站点上可以找到许多案例。黑客可以攻击美国国防部的网络,也可能会对一 家公司发生兴趣。

3.3.1.3 防火墙的几种形式
防火墙有许许多多形式,有以软件形式运行在普通计算机之上的,也有以固件 形式设计在硬件设备之中的。总的来说业界的分类有三种:包过滤防火墙;应用级 网关;状态监视器。 a. 包过滤防火墙 在互联网络这样的 TCP/IP 网络上,所有往来的信息都被分割成许许多多一定 长度的信息包,包中包含发送者的 IP 地址和接收者的 IP 地址信息。当这些信息包 被送上互联网络时,路由器会读取接收者的 IP 并选择一条合适的物理线路发送出 去,信息包可能经由不同的路线抵达目的地,当所有的包抵达目的地后会重新组装 还原。包过滤式的防火墙会检查所有通过的信息包头部的 IP 地址,并按照管理员所 给定的过滤规则进行过滤。如果对防火墙设定某一 IP 地址的站点为不适宜访问的 话,从这个地址来的所有信息都会被防火墙屏蔽掉。 包过滤防火墙的优点是它对于用户来说是透明的,处理速度快而且易于维护, 通常做为第一道防线。但包过滤路由器通常没有用户的访问日志,这样就不能得到 入侵者的攻击记录。 b. 应用级网关 应用级网关也就是通常我们提到的代理服务器。它适用天特定的互联网服务, 如超文本传输(HTTP) ,远程文件传输(FTP)等等。代理服务器通常运行在两个网 络之间,它对于客户来说象是一台真的服务器,而对于外界的服务器来说,它又是 一台客户机。当代理服务器接收到用户对某站点的访问的站点内容,在下一个用户
山东博威信息技术有限公司 第 26 页 共 69 页

国家电力信息网络运维方案 国家电力信息网络运维方案

要访问同一站点时,服务器就不用重复地获取相同的内容,直接将缓存内容发出即 可,既节约了时间也节约了网络资源。代理服务器会象一堵墙一样挡在内部用户和 外界之间,从外部只能看到该代理服务器而无法获知任何的内部资源,诸如用户的 IP 地址等。应用级网关比单一的包过滤更为可靠,而且会详细地记录所有的访问状 态信息。但是应用级网关也存在一些不足之处,首先它会使访问速度变慢,因为它 不允许用户直接访问网络,而且应用级网关需要对每一个特定的服务安装相应的代 理服务软件,用户不能使用未被服务器支持的服务,对每一类服务要使用特殊的客 户端软件,更不幸的是,并不是所有的互联网应用软件都可以使用代理服务器。 c. 状态监测防火墙 这种防火墙具有非常好的安全特性, 它使用了一个在网关上执行安全策略的软 件模块,称之为监测引擎。监测引擎在不影响网络正常运行的前提下,采用抽取不 关数据的方法对网络通信的各层实施监测,抽取状态信息,并动态地保存起来作为 以后执行安全策略的参考。监测引擎支持多种协议和应用程序,并可以很容易地实 现应用和服务的扩充。与前两种防火墙不同,当用户访问请求到达网关的操作系统 前,状态监视器要抽取有关数据进行分析,结合网络配置和安全规定作出接纳、拒 绝、身份认证、报警或给该通信加密等处理动作。一旦某个访问违反安全规定,就 会被拒绝,并报告有关状态作日志记录。状态监测防火墙的另一个优点是它会监测 无连接状态的远程过程调用(RPC)和用户数据报(UDP)之类的端口信息,而包过 滤和应用网关防火墙都不支持此类应用。这种防火墙无疑是非常坚固的,但它对网 络的速度有一定影响,而且配置也比较复杂。 防火墙的生产厂商们已在他们的产品中如入了更多的新技术来增加产品的竞 争力。网络应用的内容安全,如在网关上对计算机病毒进行实时的扫描和防护便是 最新加入防火墙的功能。根据国际计算机安全协会(ICSA)的一份报告,在 1996 年有 23%的病毒感染是由 EMAIL 引起的。 某些防火墙产品已能够监测通过 HTTP, FTP, SMTP 等协议传输的已知病毒。

山东博威信息技术有限公司

第 27 页 共 69 页

国家电力信息网络运维方案 国家电力信息网络运维方案

3.3.1.4 防火墙的应用与选择
在建立防火墙架构的同时,就将成长性的理念植入其中,不仅将会为你节省下 许多的投入,同时还能够确保你的安全配置能够与你业务的扩展速度保持同步。下 面,我们就一起来看看如何能够建立起一个具有高性价比、可以逐步升级的防火墙 系统。 每一个将它的内部网络连接到互联网上的公司或者组织,都需要一套防火墙系 统来保护自己免遭来自网络上的入侵和攻击。而且现在,安全系统供应商也能够按 照每一个客户的预算来为他们提供相应的解决方案。不过,如果你的公司计划要不 断发展的话(又有哪一个公司不是这样的呢),那么你在选择防火墙解决方案的时 候,就一定要把可扩展性摆在重要位置。 解决方案:硬件 Vs.软件 解决方案: Vs.软件 最简单的方法,就是在网络的主机上安装一个价格较为低廉的专用防火墙设备,也 就是我们通常所说的“硬件防火墙”。 PIX 501、 像 SonicWall Pro 1260、 WatchGuard Edge X15,以及 NetScreen 5 系列就是这样的产品。它们所采用的都是一些很“傻 瓜”的解决方案,设置起来非常简单。不过,你会发现,虽然这些产品价格便宜, 但同时它们的升级性能也相当的一般。通常这些产品的连接端口都非常的有限,而 且其带宽也不会很大。这种硬件产品基本上很难、甚至不可能对其进行升级,因此 当你的网络开始不断增长,你的需求也随之发生改变的时候,你就有可能会需要购 买一个更加高级的防火墙设备。与最低端的产品相比,其它的一些设备具有更大的 容量,你需要购买另外的使用许可证来利用这些潜能就好了。 虽然最初的成本可能会比较高,而且设置起来也不是很简便,但是你还是会发 现那些所谓的“软件防火墙”,比如说微软公司的 ISA Server、CheckPoint,以及 赛们铁克公司的企业防火墙,会更容易伴随着你的公司一起成长。这些防火墙产品 可以被安装在某个常规网络操作系统(比如说 Windows Server、UNIX 或者 Solaris) 之上。这就意味着,你对计算机及其相关配置拥有充分的选择权,而且在以后需要 的时候,还可以对其进行升级,比如说换个速度更快的处理器,或者增加更多的内 存。
山东博威信息技术有限公司 第 28 页 共 69 页

国家电力信息网络运维方案 国家电力信息网络运维方案

与低端的硬件产品相比,软件防火墙通常能够支持数量相当庞大的网络连接, 而其数据的吞吐带宽则是由你所选择的硬件来决定的。这些企业级的软件防火墙通 常都是针对网络保护来设计的,不要与那些针对保护单台计算机而设计的、基于主 机或者“个人”防火墙的软件防火墙相混淆。

3.4 网络环境下的身份认证解决方案
网络环境下的身份认证较为复杂, 主要是要考虑到验证身份的双方一般都通过 网络而非直接交互,像根据指纹等手段就无法实现。同时,大量的黑客随时随地都 可能尝试向网络渗透,截获合法用户口令并冒名顶替合法身份入网。所以,目前一 般采用的是基于对称密钥加密或者公开密钥加密的方法,采用高强度的密码技术进 行身份认证。 认证是计算机和网络安全的基本组成部分。对用户身份进行认证,使企业能够 充满自信的对不同的用户帐号指定不同的允许和访问权限,以保证每个登陆到系统 和网络中的用户只有完成他们工作所需的最低级别权限。一个只有少量的用户和敏 感数据的小型企业可以不用关心大多数操作系统中内建的默认认证机制:用户利用 用户名和对应的密码来登陆。但是,随着公司的成长,认证的需求也在改变。随着 用户数量的增长,记录和跟踪用户访问哪些数据变得越来越困难,这使得技术化的 控制手段变得更加重要。随着网络中敏感信息数量的增长,如何控制非授权用户访 问敏感信息的风险也随之增加。这样的增长同样会让用户更多的通过 VPN 和拨号服 务器来远程登录。这正是重新审视自己的认证解决方案的时机。 在适当的时机引入策略 实现复杂的认证解决方案可能会花费大量的资金,而迅速成长中的企业预算通常比 较紧张。即使决定在这个时刻仍然保持老的密码认证机制,也有许多办法使得它更 加安全。 在很多小型企业里,员工很容易记住(同样也容易破解)密码并多年都使用同 一个密码,而且用于各种用途。迈向更加安全的认证解决方案的第一步就事制定政 策来管理密码,这包括:
山东博威信息技术有限公司 第 29 页 共 69 页

国家电力信息网络运维方案 国家电力信息网络运维方案

? 好。 ?

密码长度:所有密码的长度必须至少有 8 个字符,这会提高企业安全,越长越

密码复杂度:所有的密码都必须由阿拉伯数字、英文字母和其他符号组合而成。

密码不应当由字典单词或者其他容易被猜出的名字或者数字组成。(例如用户的社 会安全号码、电话号码、配偶的名字,等等)。 ? 密码过期:密码必须被经常更改(每隔 30 到 90 天,取决于安全级别)。新的

密码不应当与最近使用的密码类似,而且用户不允许在每次改变密码时,交换使用 相同的两个密码。 ? 密码安全:用户应当被禁止写下他们的密码(即使是被保存在一个锁好的或者

其他的安全位置,用户有时候也难免疏忽)以及向其他人共享自己的密码。用户应 当接受关于社会工程学的培训 (试图通过胁迫、 说服和其他诡计来获取用户的密码) 。 尽可能的用技术来武装认证机制,通过网络操作系统或者附加软件。软件应当强制 用户在特定周期改变密码,不接受不符合长度、复杂性和修改周期要求的密码。

3.5 入侵检测与漏洞扫描解决方案 3.5 入侵检测与漏洞扫描解决方案
什么是入侵检测系统 是入侵检测系统? 3.5.1 什么是入侵检测系统?
目前,网络攻击和入侵的手段多种多样,从使用的方法主要可以分为以下几大 类: 扫描:检测攻击者使用各种扫描方式企图获得攻击目标的有关信息及漏洞 情 况 的 行 为 。 常 用 的 扫 描 工 具 有 SANTAN 、 Saint 、 LANguard Network Scanner、Nmap 等。 嗅探:攻击者试图从网络中获取用户名、口令等敏感信息。常用的嗅探工 具有 SATAN、Xray、Sniffer 等。 后门:攻击者试图利用各种后门程序对目标系统进行访问,常用的后门攻 击工具如冰河、 Backoffice、 SubSseven、 NetBusSolaris、 RootkitDagger 等。

山东博威信息技术有限公司

第 30 页 共 69 页

国家电力信息网络运维方案 国家电力信息网络运维方案

病毒:利用互联网的高速传播速度,网络病毒已经成为网络攻击的主要组 成部分。近来比较猖獗的病毒有 Nimda 病毒、Toadie 病毒、W97M/Vale 宏 病毒、 电子邮件蠕虫 VBS.Loveletter.FW.A、 W32/Navidad@M 因特网蠕虫等。 恶意代码:攻击者编写 ActiveX、Java script 等形式的各种恶意代码对例 如网站这样对外提供服务的系统进行攻击。 拒绝服务(DoS)和分布式拒绝服务(DDoS):攻击者通过消耗系统资源使目 标主机的部分或全部服务功能丧失。常见的拒绝服务攻击有 SYN FLOOD 攻 击,PING FLOOD 攻击,WINNUK 攻击等。 欺骗:攻击者还经常使用欺骗手段达到攻击目的,如域名系统无权限的欺 骗查询、ICMP ECHO 报文数据等

入侵检测(Intrusion Detection Intrusion Detection)技术是为保证计算机系统的安全而设计与配 置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测信 息系统中违反安全策略行为的技术。 入侵检测系统—Intrusion Detection System(IDS) System(IDS)利用入侵检测技术监视信 Intrusion 息系统,寻找入侵的行为并进行相应的处理。
入侵监测系统就像大厦的保安监视系统一样,监视着网络上的一举一动。它的 “摄像头”连接在网络的主要节点上,侦听、分析网络流量;它的“监视器”安装 在网络安全管理员的主机上,以便随时发觉网络中的入侵行为。通过运用先进的入 侵监测技术,入侵监测系统可以发现绝大多数的网络攻击行为。

3.5.2 入侵检测的必要性
针对日益严重的网络安全问题和越来越突出的安全需求,P2DR“动态安全模型” 应运而生,该模型目前已被业内人士广泛认同。

山东博威信息技术有限公司

第 31 页 共 69 页

国家电力信息网络运维方案 国家电力信息网络运维方案



P2DR 模型示意图

在 P2DR 模型较为独特之处,是它加进了时间的因素,如入侵探测时间、应变时 间等概念,使其成为了一套完整的安全架构。 P2DR 模型的基本描述为: 安全=风险分析+执行策略+系统实施+漏洞监测+实时响应 该模型强调的是系统安全的动态性,以安全检测、漏洞监测和自适应填充“安 全间隙”为循环来提高网络安全。P2DR 理论提出了全新的安全概念,安全不能依靠 单纯的静态防护,也不能依靠单纯的技术手段来解决。根据该模型,防护是一个必 备的措施和必须的环节。从发生的入侵事件可以看出,基础防护的网络还是缺乏安 全性,访问控制等静态安全措施只能对网络系统中的某几个环节起保护作用,如果 忽略了网络系统中的安全漏洞和随时可能发生的攻击,隐患仍然存在,计算机信息 仍然受到威胁。所以需要增设检测和响应这两个环节,发现隐藏的漏洞,主动提高 网络的抗攻击能力。这个环节主要通过日常漏洞检测扫描和实时入侵检测响应技术 来担当重任。 近来信息安全问题越来越受到人们的关注,为了解决安全问题,各单位都不同 程度地增加了对信息安全的资金投入,各种防火墙、防病毒等安全产品都被广泛应 用到了用户的信息网络当中。那么在网络中部署了上述这些安全产品以后,用户所 面临的安全问题是否都得到了全部解决呢?从上面介绍的 P2DR 模型我们可以知道, 答案是否定的。 这主要表现在以下几个方面:

山东博威信息技术有限公司

第 32 页 共 69 页

国家电力信息网络运维方案 国家电力信息网络运维方案

防火墙的局限性 传统的边界防火墙由于其部署于内网与外网之间,进行网络隔离和访问控 制,但它很难解决内网控制内部人员的安全问题,即只能防范来自外部的 风险,而不能防范来自内部的风险。对于应用层的攻击防火墙的防护也是 不能令人满意的。 安全漏洞与攻击方法的不断出现 随着安全漏洞不断被公布,及攻击者知识的日趋成熟,攻击工具与手法的 日趋复杂多样化,单纯的防火墙策略已经无法满足对安全高度敏感的部门 的需要。网络的防卫必须采用一种纵深的、多样的手段。 静态防御的不足 访问控制等静态安全措施可以发挥一定的安全保护作用,但如忽略了网络 系统中的安全漏洞和随时可能发生的攻击隐患,计算机安全系统仍然会受 到威胁。 部署入侵检测系统不但可以有效地解决上述问题,并且能够帮助用户达到以下 网络安全管理目的: 识别各种黑客攻击或入侵的方法和手段 入侵检测系统从网络数据流中搜集各种网络行为的信息,然后从中分析各 种攻击的特征,它可以全面快速地识别各种网络攻击,并做相应的防范。 实时的报警和响应,帮助用户及时发现并解决安全问题 入侵检测系统在发现入侵或误用行为之后,根据一定的事件响应规则进行 实时的报警。入侵检测系统同时也能够针对恶意攻击按照预定的响应方式 进行实时响应。 详尽纪录报警事件信息 所有的网络攻击事件的详细信息都会被记录到入侵检测系统的日志中,以 备用户进行事后核查。并且所记录的日志信息可以作为对攻击者实施法律 制裁的依据,加强对用户信息系统的法律保护。 网络攻击事件的统计分析 网络管理人员利用入侵检测系统可以便捷地统计分析出网络在一段时间遭 受了哪些攻击、哪种攻击方式最多、从哪里来的攻击最严重等等。入侵检 测系统产生的统计分析报表将是用户加强网络安全建设的重要事实依据。
山东博威信息技术有限公司 第 33 页 共 69 页

国家电力信息网络运维方案 国家电力信息网络运维方案

协助管理员加强网络安全的管理 借助入侵检测系统,网络管理人员可以随时了解人们正在访问的信息,并 且在有人试图偷窥或盗取敏感数据时及时觉察。入侵检测系统具备的网络 安全专家的入侵分析与判断能力,扩展了系统管理员的安全管理能力。

3.5.3 入侵检测系统的工作原理
入侵检测系统一般分为传感器(Sensor)和控制台(Consol)两部分。传感器负责 监听、分析网络数据,发现攻击时发出报警,并按照预定的响应规则对攻击事件做 出响应;控制台负责接收报警,统计和分析报警数据,并可以对传感器进行参数设 置。那么入侵检测系统是如何实现上述功能的呢?



入侵检测系统工作原理图

传感器有一个或多个端口作为侦听网络数据的“探针” ,被称为“侦听端口” 。 这些端口的工作模式被设置为“混杂模式” ,因此它们可以接收到网络中所有传输的 数据包。通常,传感器的侦听端口通常连接在交换机或集线器的端口上。连接在集 线器上的侦听端口可以接收到集线器上所有的流量;但是,在没有对交换机进行一 定的设置之前,由于交换机各端口之间的数据转发是以交换方式进行的,所以连接 在交换机端口上的侦听端口无法接收到交换机上其他端口的流量。因此,需要对部 署了传感器的交换机做端口镜像设置,将被监听的端口的数据流量转发到侦听端口 所连接的交换机端口上。 侦听端口接收到的网络数据包由入侵监测系统的检测器接收,进一步做攻击分 析。检测器会对数据包属性的多个方面进行检测,如数据包长度、源地址、目标地 址、数据包的内容等;采用的分析方法包括攻击特征匹配分析、包状态检测分析、
山东博威信息技术有限公司 第 34 页 共 69 页

国家电力信息网络运维方案 国家电力信息网络运维方案

协议状态分析、流量异常检测等多种检测方式。 入侵监测系统的检测器一旦发现网络流量中有攻击特征或可疑的行为,将触发 报警器向控制台发出攻击事件报警信息。报警信息被保存在数据库中备查。 发现攻击行为后,入侵监测系统的响应器将根据预先设定的响应方式对攻击行 为做出响应,如中断 TCP 会话、伪造 ICMP 应答、通过防火墙阻断等。

3.6 网络管理
一个完善的网络管理系统是计算机网络能够稳定可靠运行的保证。所以网络管 理对于我们的网络来说是至关重要的。网络管理做得好,至少可以得到以下好处: ●确保工作不致中断,这对于网络系统是至关重要的;高性能的网络有助于提 高工作效率和竞争力,网络管理员必须确保这些网络应用能顺利运行; ●可以确保网络的规模和性能随业务的扩展而增长,不致于拖业务的后腿; ●可以确保教育网数据的安全性和一致性; ●降低网络维护的成本。 网络管理系统的重要性是不言而喻的。为了设计一个完善的网络管理系统,我 们必须对网络管理领域的相关概念,技术有一个透彻的理解,在此基础上来配置我 们的网络管理系统。

什么是网络管理呢?简单的说,网络管理就是对网络进行监视和控制。按照国 际标准化组织(ISO)的定义,网络管理有五大范畴: ――失效管理:对网络中的问题或故障进行定位的过程,它包括:发现问题, 分离问题,找出原因,修复问题。 ――配置管理:发现和设置网络设备的过程,它包括:获得当前网络配置的信 息;提供远程修改配置的手段;储存维护最新的设备清单并产生报告。 ――记帐管理:跟踪每个个人和团体对网络资源的使用情况,对其收取合理的 费用;并且增加了网络管理员对用户使用网络资源的认识。 ――安全管理:控制对网络中的信息的访问的过程。 ――性能管理:测量网络中硬件及软件的性能。
山东博威信息技术有限公司 第 35 页 共 69 页

国家电力信息网络运维方案 国家电力信息网络运维方案

为了完成上述的管理功能,一个网络管理系统有四大组成部分: ――多个被管代理(被管理对象) ; ――至少一个管理者; ――通用的网络管理协议,如 SNMP/RMON(网络管理者与被管理对象之间的语 言) ; ――管理信息库(MIB:ManagementInformationBase); 管理者利用 SNMP 请求代理进行信息的收集和设置。代理根据管理者的 SNMP 请 求,访问 MIB 管理信息库,获取 MIB 信息,并对管理者作以应答或根据其改变请求 改变 MIB 中的内容。代理在有紧急情况时也可通过自陷(Trap)向管理者主动发送 数据。 一般情况下,网管工作站为管理者,其它网上的机器为代理。管理者和代理也 可是一台机器,如网管工作站。 代理上的信息存放在管理信息库(MIB)中,一个管理信息的特定类型或分类称 为 MIB 对象,而一个 MIB 对象的取值的存在称为实例。MIB 对象的定义使用管理信 息的互联网标准结构。

与网络管理相关的技术分析

在网络管理领域有两个至关重要的技术,那就是 SNMP 及 RMON。SNMP 是管理者 和代理之间交流的桥梁,而 RMON 则是 SNMP 技术的进一步扩展。随着技术的不断进 步和完善, SNMP 目前已经发展到第三版, RMON 目前已经发展第二代,即: 而 RMONII。

简单网络管理协议 SNMP 简单网络管理协议 SNMP 是 TCP/IP 协议家族的重要成员。它有以下特点: ――简单性:顾名思义,SNMP 非常简单,容易实现且成本低; ――可伸缩性:SNMP 可管理绝大部分符合 TCP/IP 标准的设备; ――扩展性:通过定义新的“被管理对象”即 MIB,可以非常方便地扩展管理 能力; ――健壮性:即使在被管理设备发生严重错误时,也不会影响管理者的正常工
山东博威信息技术有限公司 第 36 页 共 69 页

国家电力信息网络运维方案 国家电力信息网络运维方案

作。 后来,SNMP Version2 增加了如下的功能: ――GETBULK 操作提供一次取回大量数据的能力,用更有效的方式传递管理信 息; ――建立一个层次化的管理体系。 增加 Manager-to-Manager 之间的信息交换机 制,从而支持分布式的管理体系;增加中级(子)管理者,分担主管理者的任务,增 加远程站点的局部自主性;

但是 SNMP 的 v1&v2 并没有解决安全的问题。1997 年 4 月,IETF 成立了 SNMPv3 工作组,其工作重点就是安全、可管理的体系结构和远程配置。在网络管理系统中, 常见的安全威胁有如下几种类型: ――修改信息:某些非授权的 SNMP 实体可以对传输过程中由合法的 SNMP 实体 产生的报文进行修改,用这样的方法来进行非授权的管理操作(如修改某个对象的 值)。因此,协议应该能够验证收到的报文是否在传输过程中被修改过。 ――伪装:没有授权的用户可能冒充别的合法用户的身份识别来取得授权,因 此,协议应该能够验证报文发送者的真实性。 ――报文流的改变:由于 SNMP 是基于无连接的 UDP 之上的,报文的延迟、重发 以及顺序的改变都是可能的。某些破坏者可能会故意将报文延迟,重发以及改变报 文流的顺序以达到破坏目的。 ――泄密:破坏者可能会截获传输中的报文,窃取其中的保密内容。

众所周知,在网络中存在着不同程度的安全威胁。基于这些安全威胁问题和相 对于 v2 等版本的兼容性,SNMPv3 的目标是: ――保证每个接收的报文在网络的传送中不被修改,提供验证; ――提供接收报文用户的身份证明; ――防止泄密; ――保证所接收的 SNMP 报文的当前性。

随着网络规模和复杂性的增加,网络管理更注重管理效率和管理安全,并朝着 分布式方向发展。 第三版的简单网络管理协议 SMMPv3 正是适应这种客观需求而产生
山东博威信息技术有限公司 第 37 页 共 69 页

国家电力信息网络运维方案 国家电力信息网络运维方案

的。

RMONII RMON 和 RMONII SNMP(SimpleNetworkManagementProtocol 简单网络管理协议)是一种广为执 行的网络协议,它使用嵌入到网络设施中的代理软件来收集网络通信信息和有关网 络设备的统计数据。代理不断地收集统计数据,并把这些数据记录到一个管理信息 库(MIB)中。网管员通过向代理的 MIB 发出查询信号可以得到这些信息,这个过程叫 轮询(polling)。然而 SNMP 轮询有两个明显的弱点: ――它没有伸缩性:在大型的网络中,轮询会产生巨大的网络管理通信量,因 而导致通信拥挤情况的发生; ――它将收集数据的负担加在网络管理控制台上。

IETF 于 1991 年 11 月公布 RMONMIB 来解决 SNMP 在日益扩大的分布式网络中所 面临的局限性。RMONMIB 的目的在于使 SNMP 更为有效、更为积极主动地监控远程设 备。RMON 探测器和 RMON 客户机软件结合在一起在网络环境中实施 RMON。当一个探 测器发现一个网段处于一种不正常状态时,它会主动与在中心的网络管理控制台的 RMON 客户应用程序联系,并将描述不正常状况的捕获信息转发,客户应用程序对 RMON 数据从结构上进行分析来诊断问题之所在。通过追踪问题,RMON 可以帮助网管 员确定如何最佳给网络分段。另外,网管员通过报告意外事件,可以识别出占有最 大带宽的用户, 从而对这些用户进行管理, 尽可能减少他们对其它用户的影响。 RMON 代理可以部署成独立的专用的探测器,各自监控一个单一 LAN 网段。 RMONI 可以提供: ――某一网段上网络交通状况的统计、分析; ――完善的警报、事件的管理(TRAP) ; ――强大、方便的网络数据采集功能,可以用来当作分布式协议分析仪使用。

RMONII 标准能将网管员对网络的监控层次提高到网络协议栈的应用层。因而, 除了能监控网络通信与容量外,RMONII 还提供有关“各应用所使用的网络带宽量” 的信息,这是在客户机/服务器环境中进行故障排除的重要因素。RMONII 没有取代 RMON,而是它的补充技术。RMONII 在 RMON 标准基础上提供一种新层次的诊断和监
山东博威信息技术有限公司 第 38 页 共 69 页

国家电力信息网络运维方案 国家电力信息网络运维方案

控功能。 RMONII 可以提供: ――任意网段上的主机之间、网络设备之间高层协议(网络层以上)交通状况 的统计、分析; ――完善的用户自定义警报、事件的管理(TRAP) ; ――地址翻译功能(MAC<-->IP),方便路由器、VLAN 的管理; ――强大、方便的网络高层协议数据采集、过滤功能等。

对于以太网,RMONMIB 功能可以划分为九个组: ――统计:累计的局域网通信和故障统计数据 ――历史:进行趋势分析的区间抽样统计数据 ――报警:确定阀值 ――主机:由介质访问控制地址(MAC)组成的统计数据 ――HostTopN:按 MAC 地址排序的统计数据 ――矩阵:所追踪的两个设备之间的对话 ――过滤:数据包选择机制 ――包捕获:数据包收集和上载机制 ――事件:对报警信号所引起的操作进行控制的机制

山东博威信息技术有限公司

第 39 页 共 69 页

国家电力信息网络运维方案 国家电力信息网络运维方案

3.7 常见安全网络拓扑 常见安全网络拓扑
internet

网通

电信

外网服务器

内网服务器

网络 中心

第四章 方 案 相 关 产 品 介 绍 4.1 华为 3COM 公司
作为全球 IP 网络市场领导厂商, 华为 3Com 公司致力于 IP 技术的网络设备与 应用的研究、开发、生产、销售及服务,为企业、公共事业和家庭用户提供全系列 IP 网络产品和全业务解决方案。 华为 3Com 公司成立于 2003 年 11 月, 运营总部设在杭州, 在日本、美国、 南非、 韩国、泰国、俄罗斯和印度成立了子公司,在欧洲、拉美、中东、亚太、非洲等地
山东博威信息技术有限公司 第 40 页 共 69 页

国家电力信息网络运维方案 国家电力信息网络运维方案

区设立代表处,在中国 30 个省市设立了分支机构。作为全球唯一拥有路由器、以太 网交换机、WLAN、安全、VoIP 、视频、SOHO 产品及软件管理系统等在内的多层 次、全系列基于 IP 网络产品的全业务解决方案提供商,华为 3Com 的产品广泛应用 于核心骨干网、城域网、园区网、企业网、家庭(SOHO)等。 华为 3Com 全面推行以客户需求为核心的质量文化,持续在产品研发、供应链、 服务、网络咨询、培训等方面开展流程变革与管理优化,旨在为客户创造更大的网 络综合价值。 在研发方面, 华为 3Com 公司每年将销售额的 15%以上用于研发投入, 在中国的北京、杭州、深圳以及印度的班加罗尔分别设有研发机构,在北京和杭州 设有产品鉴定测试中心,全面实施 CMM 和集成产品开发流程(IPD)管理。华为 3Com 公司拥有稳健均衡的支撑体系,包括快捷(Agility)、灵活(Adaptability)、 协作(Alignment)的 3A 级供应链体系;规范、统一、易获得的服务平台;定制化 的认证培训体系和完善的渠道体系,全面保证为客户提供高品质的产品与服务。 立足于中国, 华为 3Com 将服务本土市场做为企业立身的根本, 已在党政、 教育、 金融、电力、能源、交通、水利、制造业、公共事业、中小企业及 SOHO 家庭用户 获得广泛应用。放眼全球,海外市场增长迅速,全系列产品已经规模进入英国、德 国、香港、俄罗斯、巴西、泰国、墨西哥等 66 个国家或地区。 未来,华为 3Com 的产品将走向世界的每一个角落,与各界用户携手,构筑"你身 边的好网络"!

4.2 华为产品介绍 华为产品介绍
Quidway? 4.2.1 Quidway SecPath 1000F 防火墙
Quidway? SecPath 1000F 防火墙是华为 3Com 公司开发的新一代专业防火墙设 备,可以作为中小企业的出口防火墙设备,也可以作为大中型企业的内部防火墙设 备。支持外部攻击防范、内网安全、流量监控、网页过滤、邮件过滤等功能,能够 有效地保证网络的安全;采用 ASPF 状态检测技术,可对连接过程和有害命令进行监 测,并协同 ACL 完成动态包过滤;提供多种智能分析和管理手段,支持邮件告警, 支持多种日志, 提供网络管理监控, 协助网络管理员完成网络的安全管理; 支持 AAA、
山东博威信息技术有限公司 第 41 页 共 69 页

国家电力信息网络运维方案 国家电力信息网络运维方案

NAT 等技术, 可以确保在开放的 Internet 上实现安全的、 满足可靠质量要求的网络; 支持多种 VPN 业务,如 L2TP VPN、IPSec VPN、GRE VPN、华为动态 VPN、SSL VPN 等等,可以构建 Internet、Intranet、Access 等多种形式的 VPN;提供基本的路由 能力,支持 RIP/OSPF/BGP/路由策略及策略路由;支持丰富的 QoS 特性,提供流量 监管、流量整形及多种队列调度策略。 Quidway? SecPath 1000F 防火墙提供两个固定的 10/100/1000M 自适应 GE 口, 支持光口和电口两种形式。提供一个 MIM 扩展槽位,支持多功能接口模块热插拔, 目前可选的接口模块有 1FE/2FE/4FE/1GE/2GE/HDC 六种。提供双电源冗余备份解决 方案( AC+AC,DC+DC 两种机型),提供机箱内部环境温度检测功能,并支持网管, 可满足电信级产品的高可靠性要求。 提供企业网络的安全保障和防护功能 防火墙提供如下过滤功能: 1. 支持包过滤技术。借助报文中优先级、TOS、UDP 或 TCP 端口等信息作为过滤参 考,通过在接口输入或输出方向上使用标准或扩展访问控制规则,可以实现对数据 包的过滤。还可以按照时间段进行过滤。 2. 支持应用层报文过滤 ASPF(Application Specific Packet Filter),也称为 状态防火墙。它检查应用层协议信息(如 FTP、HTTP、SMTP、RTSP 等协议及其它基 于 TCP/UDP 协议的应用层协议)并且监控基于连接的应用层协议状态,维护每一个 连接的状态信息,并动态地决定数据包是否被允许通过防火墙或者被丢弃。 3. 提供多种攻击防范技术,包括针对 Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、ARP 欺骗 攻击的防范,提供 ARP 主动反向查询、TCP 报文标志位不合法攻击防范、超大 ICMP 报文攻击防范、地址/端口扫描的防范、DoS/DDoS 攻击防范、ICMP 重定向或不可达 报文控制功能、Tracert 报文控制功能、带路由记录选项 IP 报文控制功能、静态和 动态黑名单功能、MAC 和 IP 绑定功能。支持智能防范蠕虫病毒技术。 4. 支持透明防火墙。

山东博威信息技术有限公司

第 42 页 共 69 页

国家电力信息网络运维方案 国家电力信息网络运维方案

5. 支持邮件过滤,提供 SMTP 邮件地址过滤、SMTP 邮件标题过滤、SMTP 邮件内容过 滤。 6. 支持网页过滤,提供 HTTP URL 过滤、HTTP 内容过滤。 7. 支持虚拟系统防火墙。虚拟系统防火墙之间可以使用 VLAN 划分,也可以使用端 口划分。虚拟系统防火墙内部可以配置独立的防火墙规则,虚拟系统防火墙之间默 认隔离,通过配置可以互通。 安全管理 防火墙提供了强大的管理功能: 1. 提供各种日志功能,包括攻击实时日志、黑名单日志、地址绑定日志、流量告警 日志、会话日志、进制格式日志、NAT 日志功能,能够有效的纪录网络情况,从而 为分析网络状况,防范网络攻击提供依据。 2. 提供流量统计和分析功能,及时发现攻击和网络蠕虫病毒产生的异常流量。用户 可以使用防火墙预先定义的流量分析模型,也可以自己定义各种协议流量的比例, 连接速率阈值等参数,形成适合当前网络的分析模型。 3. 提供各种事件监控和统计功能,包括全局/基于安全域连接数率监控、全局/基于 安全域协议报文比例监控、安全事件统计功能,可以针对各种攻击情况、异常情况 提供有效的分析数据。 4. 提供邮件告警, 包括 E-MAIL 邮件实时告警功能、 E-MAIL 邮件定期信息发布功能。 邮件中有攻击日志和详细的网络流量分析结果,可以供管理员进行网络优化。邮件 发送可以使用两种方式,一种是实时发送,一旦检测到攻击行为,立即发送邮件到 指定的邮件地址;另外一种是在指定的每日固定时间定期发送告警邮件。 NAT 应用 提供多对一、地址池、ACL 控制等地址转换方式,在一个接口上支持多个不同 的地址转换服务,通过内部服务器可以向外提供 FTP、Telnet 和 WWW 等服务,实现 公网和私网混合地址解决方案。支持多种应用协议,如 FTP、H323、RAS、HWCC、SIP、 ICMP、DNS、ILS、PPTP、NBT 的 NAT ALG 功能。
山东博威信息技术有限公司 第 43 页 共 69 页

国家电力信息网络运维方案 国家电力信息网络运维方案

安全认证 Quidway? SecPath 1000F 提供了如下几方面的安全认证功能: 1. 提供基于 PKI /X.509 的证书认证功能。 2. 支持 RSA SecurID 认证。 3. 实现了用户身份管理,不同身份的用户拥有不同的命令执行权限,可以防止低权 限用户非法获取或修改配置信息等。防火墙设置了如下三种身份的用户: Administrator 用户、Operator 用户和 Guest 用户。 4. 支持域认证。 5. 视图分级保护。将用户分成 4 级,每级用户赋予不同的配置权限,级别低的用户 不能进入更高级的视图。 6. 在 PPP 线路上支持 CHAP 和 PAP 验证协议。 7. 支持基于 RADIUS(Remote Authentication Dial-In User Service)的 AAA (Authentication, Authorization, Accounting)服务,可以与 RADIUS 服务器配 合实施对接入用户的验证、授权和计费安全服务,防止非法访问。 8. 路由协议 OSPF、RIP2 都具有 MD5 认证功能,确保所交换路由信息的可靠性。支 支 持丰富的 VPN 业务 支持 L2TP VPN、GRE VPN、IPSec VPN、MPLS VPN、SSL VPN、华为动态 VPN 等 多种 VPN 业务。 华为动态 VPN:动态 VPN(DVPN)是华为公司的专利技术,提出了 NBMA 类型的隧道 机制,采用了 Client 和 Server 的方式解决了传统 VPN 的诸多缺陷,适合于通过骨 干网将多个私网连成一个 VPN。 支持硬件加速的 IPSec 技术 高可靠性 Quidway? SecPath 1000F 满足了电信级设备对高可靠性的要求: 支持接口模块热插拔
山东博威信息技术有限公司 第 44 页 共 69 页

国家电力信息网络运维方案 国家电力信息网络运维方案

支持机箱内部环境温度检测功能,并可通过网管自动采集告警。 支持双电源冗余备份 支持备份中心 支持 VRRP(Virtual Router Redundancy Protocol,虚拟路由冗余协议)实现负载 分担和设备备份 QoS 保证 支持流分类、流量监管、流量整形及接口限速 支持拥塞管理(FIFO、PQ、CQ、WFQ、CBWFQ、RTP) 支持拥塞避免(WRED) 支持 MPLS QoS 支持 MPLS 流量工程

Quidway? 4.2.2 Quidway SecEngine D500 IDS 产品
Quidway SecEngine D500 (以下简称 D500)是华为 3Com 公司面向企业用户、 行业用户开发的新一代的集成了硬件内容搜索加速功能的专业入侵检测设备,可以 作为大、中型企业骨干网络或数据中心的入侵检测设备。 D500 提供三个固定的 10/100/1000M 自适应的以太网口,用作管理/备份/高可 靠接口;同时 D500 提供了 4 个业务接口插槽,可根据用户需要混插 2FE/4FE/2GE 接口卡和内容搜索加速卡(Content Inspection Engine,CIE),其中 CIE 卡采用 了华为 3Com 自主研发的一体化软硬件框架,通过内置的高性能芯片,可以实现 2 层到 7 层的内容检测,领先于业界同类产品。 D500 采用华为 3Com 专门针对安全领域度身定做的安全操作系统,该操作系统 可以根据不同的应用进行扩展和裁减,并与上层的应用紧密结合,从而很好地保证 了设备自身的安全性。

山东博威信息技术有限公司

第 45 页 共 69 页

国家电力信息网络运维方案 国家电力信息网络运维方案

对于网络中可能存在的安全威胁,例如黑客入侵、网络病毒和网络资源滥用等 行为,D500 可以进行有效的识别。通过对网络流量进行监听、分析,D500 可以对流 经被保护网络的流量进行基于三种技术的综合检测,包括: 1.基于状态的内容特征匹配:采用了高精度的智能模式识别算法,对协议交互特定 阶段的报文进行检测,可以识别隐藏在正常业务流量中的网络攻击的特征。 2.协议跟踪分析:以网络层、传输层和应用层的常用协议为对象,记录和分析协议 交互的过程,为基于状态的内容特征匹配提供了状态依据,并且可以有效地探测那 些利用协议漏洞的网络攻击。 3.流量异常探测:通过对网络流量规律的数学建模和智能分析,可以有效地抵御 DoS/DDoS 攻击和端口扫描。 D500 可以将检测到的异常行为和网络攻击的详细信息记入数据库,并且可以根 据用户设定的策略上报这些信息到统一的安全管理中心;同时,通过开放的联动接 口,D500 可以通知交换机、路由器、防火墙对网络攻击进行实时阻断,从而达到整 体防御的目的。 D500 提供基于 web 的管理界面和统计分析工具,并且内置了数据库,支持一站 式部署。管理员的配置管理工作既可以通过传统的 Telnet 命令行方式进行,也可以 通过基于 web 的图形界面进行。命令行管理方式和 web 管理方式,都可以通过安全 协议(SSH 或者 HTTPS)来保证管理流的安全性。 对于大规模的部署和应用,D500 也支持安全管理平台的集中式管理。通过安全 的传输通道,管理员可以对全网的 SecEngine 系列设备进行统一的配置管理、策略 部署和安全事件监控。对于收集到的网络安全事件,管理员可以通过安全管理平台 提供的多种智能分析和管理手段对这些信息进行处理,从而有效地预测和规避网络 安全威胁。 产品特点 1.业界领先的内容搜索硬件加速技术 D500 采用了基于硬件加速的内容搜索技术,从而有效地解决了业界普遍存在的 入侵检测产品对海量网络流量深度检测的性能低下问题。CIE 卡采用业界领先的专
山东博威信息技术有限公司 第 46 页 共 69 页

国家电力信息网络运维方案 国家电力信息网络运维方案

用检测芯片,性能远远高于传统的软件检测。主要具备以下特点: 1.支持 2~7 层的深度检测 2.最大支持 8000 条特征检测规则 3.检测准确率达到 100% 与同类产品相比,D500 的硬件内容搜索加速技术具有检测范围广、精度高、吞 吐量高、规则可扩展性好、功耗低的特点。

CIE 卡处理数据流 2. 高精度的入侵检测技术 Quidway SecEngine 采用集成了多项检测技术的 FIRST(Full Inspection with Rigorous State Test)检测引擎,实现基于精确状态的全面检测,全面提高了入侵 检测的精确度。构成 FIRST 检测引擎关键技术如下: 基于状态的特征检测技术 基于状态的特征检测技术依据攻击的特征模式对网络报文进行匹配。它通过提 炼各种攻击的规则特征值并按照规范写成检测规则,在协议交互的特定阶段,对接 收到的数据包的内容逐一进行规则匹配分析,如果对内容的搜索可以匹配上一条或 多条规则,则认为是发生了一次攻击。系统支持多种高效的模式匹配算法,并且通 过专有的硬件实现这些匹配算法,可以高效地检测已知特征值的病毒、蠕虫、木马
山东博威信息技术有限公司 第 47 页 共 69 页

国家电力信息网络运维方案 国家电力信息网络运维方案

等攻击。 D500 能够检测如下攻击类型: 能够检测如下攻击类型: 试图获取管理员/用户权限攻击; 成功获取管理员/用户权限攻击; 木马攻击,比如 NetBus 攻击等; 病毒,比如冲击波病毒、震荡波病毒等; DoS/DDoS 攻击,如 winnuke、TFN 等; 后门攻击成功后的流量检测; DoS/DDoS 攻击成功后的流量检测; FTP/ICMP/IMAP/IMAP/NetBIOS/MySQL/P2P/POP3/POP2/SMTP/Telnet/TFTP 等服务攻击流量检测; 目前 D500 能够检测 2000 多条基于特征的攻击。 基于协议异常分析的检测技术 基于协议异常分析的检测技术,主要是针对网络协议本身不够完善,以及各个 系统具体实现的缺陷而提出来的。D500 能够识别常用协议,包括 TCP、UDP、ICMP、 HTTP、Telnet、RPC、DNS、FTP、TFTP、SNMP、SMTP/POP3 等协议的报文并对其进行 解码分析,然后再根据分析的结果进行进一步的检测。基于协议异常分析的检测技 术可以: 降低误报率。某些攻击只有针对特定协议才有效,比如“%255c..”特征串只有出现 在 HTTP URL 中才是攻击。如果只做简单的特征匹配,则可能把含有上述特征串的非 HTTP 报文当作攻击报文从而形成误报。D500 能够正确地识别出 HTTP URL 请求报文, 在此基础上再匹配特征串,就可以得到正确的结果。 检测协议异常。由于协议的某些字段规定了允许的取值范围,如果超过取值范围则 会导致处理异常。D500 在识别协议内容的基础上可以检查各个字段的值,如果有非 法值则向管理中心报警。因为协议异常检测不需要对每种入侵行为进行定义,因此
山东博威信息技术有限公司 第 48 页 共 69 页

国家电力信息网络运维方案 国家电力信息网络运维方案

能有效检测未知的入侵。 基于协议异常分析的检测技术充分利用了网络协议的高度有序性,极大地提高了入 侵检测的精度。 强大的防 DoS/DDoS 攻击技术 D500 采用了多种 DoS/DDoS 攻击检测技术,能有效提高检测的准确度。并且能 够与路由器、交换机、防火墙等网络设备联动,对攻击进行实时拦截。 D500 采用的检测技术包括: 基于系统漏洞分析的检测 基于已知 DoS/DDoS 攻击工具特征的检测 基于蠕虫病毒内容特征的检测 基于网络流量异常波动的检测 D500 不仅能够检测出被保护网络中的 DoS/DDoS 攻击,还能在设备自身受到攻 击时自动启动攻击自我防御系统,保证 D500 设备的正常运行。 综合检测“ IDS”技术 综合检测“逃避 IDS”技术 入侵检测系统的发展已经有了一段时间,黑客也根据 IDS 的技术特点找出了一 些办法来躲过 IDS 的检测。这些技术包括: 字符串变形/字符串编码 多态 shell 代码 会话分割(会话拼接) 碎片攻击 拒绝服务 D500 通过综合 FIRST 引擎的各项技术,可以从庞大的数据流量中找出试图躲避 检测的攻击报文。比如:黑客先将用来攻击的 shell 代码做一定的变化,形成多态 shell 代码,然后用 Unicode 编码,并通过会话分割发送给攻击的服务器。D500 可
山东博威信息技术有限公司 第 49 页 共 69 页

国家电力信息网络运维方案 国家电力信息网络运维方案

通过流恢复功能合并报文,然后解码,最后用灵活的特征匹配方式找到攻击字符串。 3. 方便灵活的管理部署 全面的入侵攻击分析功能 D500 可以把检测到的异常和攻击事件报文保存在本地文件或数据库中供系统 管理员做分析和审计,记录内容不仅包括攻击报文协议头中的相关信息以及攻击报 文的负载内容部分,也包括报文产生的时间、命中的规则和规则集信息等。 D500 提供攻击事件查询、统计分析、数据快照等功能。事件查询功能可以让管 理员根据攻击的特征类型、特征索引、攻击发生的源端口/目的端口、物理接口、时 间、攻击源地址/目的地址 、攻击报文类型、攻击数据特征等条件检索攻击信息; 统计分析功能可以用图形化的方式显示某段时间内不同类型攻击发生的频率,某段 时间内各源地址/目的地址、各源端口/目的端口攻击或被攻击的频率 ;数据快照功 能可以显示最近一至三天内发生的攻击信息、最频繁发生的 5 种特征类型的攻击信 息、最常发生攻击的地址或端口。 安全丰富的设备管理手段 D500 支持传统的 Telnet 或者 web 方式的管理。由于这些传统管理机制自身的 缺陷,如用户名和口令容易被窃取、数据内容传输是明文、验证方式存在弱点等, 在某些特定场合下,它们被认为是不安全的。因此,D500 增强了对这些传统管理机 制的安全性保障,包括基于 SSH 的命令行管理和基于 HTTPS 的图形化管理。 D500 的 web 管理界面提供了如下功能: 支持安全策略配置 支持向导式的快速配置 支持攻击事件查询、统计分析和数据快照 对于大规模的部署和应用,D500 也支持集中式管理。通过安全的传输通道,管 理员可以对全网的 SecEngine 系列设备进行统一的配置管理、策略部署和安全事件 监控。 方便灵活的攻击特征库升级和自定义
山东博威信息技术有限公司 第 50 页 共 69 页

国家电力信息网络运维方案 国家电力信息网络运维方案

攻击特征库分为以下两种: VRB(Vender Rule Base) ,华为 3Com 定期发布的攻击特征库; CRB(Customer Rule Base) ,用户根据自己的应用定制的攻击特征库; 华为 3Com 定期更新 VRB,D500 可以通过手动或者自动方式完成更新和升级,保 证攻击特征库的及时更新。用户可以根据自己的应用环境对 VRB 进行裁减和补充, 并结合自定义的 CRB,形成自己的安全策略集合。 4. 完整的网络安全解决方案 与网络设备联动 传统的 IDS 仅能提供漏洞检测和报警功能,从网络管理员发现攻击到实际做出 防范间隔时间较长,可能因为未及时应对而造成损失。D500 可以(但不限于)和华 为 3Com 公司的全线路由器、交换机、防火墙等网络设备配合工作,根据检测结果及 时通知相应的网络设备阻断攻击数据流。D500 可以精确控制阻断的粒度和时间,同 时保证正常的业务持续进行。D500 的部署将为用户建立起立体的安全网络,有效保 护投资。 日志告警功能 网络管理员可以及时的获取网络流量的安全信息,包括网络拓扑、运行的软件、 受到的攻击等,是信息安全管理的一个重要组成部分。 D500 可以多种方式提供相 关报告,包括: 本地攻击日志、操作日志、系统日志; 远程日志数据库; Email 报警; 网管软件提供的多个报表; 安全评估软件提供的评估报告。 这些报告给网络管理员提供了丰富的信息,管理员可据此调整网络安全策略。 5. 电信级供电系统设计
山东博威信息技术有限公司 第 51 页 共 69 页

国家电力信息网络运维方案 国家电力信息网络运维方案

D500 电源系统采用 1+1 冗余热备份设计,支持双路电源供电,使系统得到充分 保护,满足对电信级高可靠网络的要求。 D500 一体化机箱采用集中供电方式,根据不同的用户环境需要,供电方式可以 选择 220VAC/110VAC 和-48VDC/-60VDC 两种不同的输入。D500 主机可以监控电源的 运行状态并上报给管理中心,同时电源模块支持热插拔,保证了整个供电系统具有 很高的可靠性和可维护性。

4.2.3 Quidview 网管系统 2.3
Quidview 网络管理软件是华为 3Com 公司对公司全线数据通信设备实现统一管 理和维护的网管产品。产品采用灵活的组件化结构,支持与 HP Openview、SNMPc 等通用网管平台的集成, 与华为 3Com 公司的数据通信设备产品一起为用户提供全网 解决方案,帮助客户真正实现网络的按需构建。 产品特点 Quidview 网络管理系统采用分布式、组件化、跨平台的开放体系结构,用户通 过选择安装不同的业务组件,可以实现设备管理、拓扑管理、告警管理、性能管理、 软件升级管理、配置文件管理、VPN 监视与部署等多种管理功能。产品不仅能够独 立提供完整的网络管理平台,还能够与 OpenView、SNMPc 多种主流通用网管平台灵 活集成;不仅能够管理华为 3COM 公司的全线数据通信设备,还能够通过标准 MIB 管理 CISCO、3COM 等各主流厂商的数据通讯设备。 灵活展示网络拓扑 Quidview 网络管理软件可以通过拓扑发现功能,帮助客户迅速发现网络资源。 能够实时监视所有设备的运行状况,通过可视化的网络拓扑界面帮助用户及时了解 网络的变化。 自动发现网络拓扑结构; 支持全网设备的统一拓扑视图; 可以灵活裁减拓扑视图,聚焦网络的关键区域; 可以灵活选择设备、背景图标,构建逼近真实网络的拓扑 可以直接点击拓扑视图节点,快速查看设备面板; 拓扑节点颜色能够直观反映网络、设备状态;
山东博威信息技术有限公司 第 52 页 共 69 页

国家电力信息网络运维方案 国家电力信息网络运维方案

可以灵活定制对设备状态的轮询间隔;

全流程的故障管理 Quidview 的网络故障管理功能为用户及时发现问题、深入分析问题、快速解决 问题提供了全流程的支持。 支持告警快速定位到网络拓扑; 支持多种告警通知方式,包括:告警声光提示、告警转 Email 和手机短信; 支持告警相关性分析,包括屏蔽重复告警、自动确认相关告警等。 支持告警过滤,用户能够按照告警级别、告警源、关键词等过滤条件迅速聚焦 到 “真正有价值的告警” ; 可以灵活定义告警级别,以符合客户网络的实际状况; 提供常见问题的修复建议。同时用户可以根据实际的维护经验,不断完善丰富 维护经验库。

山东博威信息技术有限公司

第 53 页 共 69 页

国家电力信息网络运维方案 国家电力信息网络运维方案

主动的网络监视 Quidview 网管系统提供了丰富的性能管理功能,帮助用户主动监视网络的状 况,及时发现网络潜在的隐患。同时,丰富的历史性能统计数据为用户升级扩容网 络提供了客观准确的参考。 提供基于任务的工作向导,简化用户网络监视活动的操作; 提供接口流入、 流出、 广播报文等常用的性能统计模板, 使用户不需要关注 MIB 表达式的技术细节; 支持 At a glance 功能,使用户能够快速了解关键设备的 CPU、内存、流量等 重要信息; 支持饼图、折线图、曲线图等多种图形方式,直观地反映性能指标的变化趋势; 支持性能的门限设置,使网络隐患能够以告警的方式及时通知到网络管理员; 支持 RFC1757 定义的标准 RMON-MIB 及华为 3Com 自定义告警扩展 MIB,实现统 计组、事件组、告警组等分组的配置和浏览;

山东博威信息技术有限公司

第 54 页 共 69 页

国家电力信息网络运维方案 国家电力信息网络运维方案

批量的设备配置备份 60%的设备故障是因为网络误配置造成的。网络管理员需要定期备份配置文件, 跟踪设备配置变化,以保证一旦发生网络故障时,能够利用历史配置备份将网络立 刻恢复正常。 支持网络运行设备的配置变化检查,一旦配置发生变化,立刻以告警方式通知 管理员关注; 支持设备配置文件的批量备份和恢复功能,极大提高了管理员的工作效率; 支持灵活的设备配置文件比较功能,包括指定设备的运行配置和启动配置的比 较、不同设备间的配置文件比较等,使管理员能够快速查看设备配置差异,迅速定 位导致问题的配置命令。 可靠的设备软件升级 可靠的设备软件升级 升级和备份网络中的设备软件是非常烦琐而复杂的事情。在升级过程中,用户 需要认真检查软件版本和设备的配套关系,还需要检查设备当前的 flash 空间是否 足够容纳新的软件版本等等一系列工作,以保证整个软件升级过程是安全可靠的。 当网络中设备数量众多时,管理这些设备的软件将是非常巨大的工作量。 提供基于任务的工作向导,降低用户操作的复杂性; 支持网络运行设备的软件版本查询功能, 使用户对网络中的版本情况一清二楚; 提供设备软件版本库功能,使用户可以集中管理设备软件,建立版本基线; 支持对设备软件的批量备份和恢复功能,极大提高了管理员的工作效率;
山东博威信息技术有限公司 第 55 页 共 69 页

国家电力信息网络运维方案 国家电力信息网络运维方案

支持先备份后升级,保证一旦升级失败后可以恢复到原有设备软件版本; 支持对整个升级过程的可靠性检查,如设备软件版本和设备是否配套,flash 空间是否足够等,确保用户的整个升级操作万无一失; 简便直观的设备管理 Quidview 向用户提供了网元管理功能,通过逼真的面板图片,直观地反映了设 备运行情况。 通过面板图标直观地反映设备的框、架、槽、卡、风扇、CPU、端口等关键部件 的运行状态; 能够查看、设置设备端口状态; 能够查看路由、VLAN 等配置信息; 能够查看端口流量、丢包率、错包率等关键统计数据; 支持对华为 3COM 公司交换机集群、堆叠能力的管理; 设备管理功能既可以单独启动,也可以通过双击拓扑节点直接启动;

快捷易用的管理工具 针对设备端口故障,Quidview 网络管理软件提供了便捷的定位检测工具——路 径跟踪和端口环回测试工具。当用户报告网络接入存在问题时,网络管理员不需要 到达用户现场,直接通过网管对指定用户端口做环回测试,实现用户侧端口的远程 诊断。 Quidview 还提供了按 MAC 地址或 IP 地址反查端口的功能。管理员只需要输入 终端用户的 MAC 地址或 IP 地址, 就能够直接定位终端用户所连接的交换机及交换机 的端口,迅速定位非法报文所接入网络的原始端口,以及时关闭端口,阻止违规用 户进行滥发报文、盗用 IP 等恶意行为。
山东博威信息技术有限公司 第 56 页 共 69 页

国家电力信息网络运维方案 国家电力信息网络运维方案

多厂商设备的统一管理 Quidview 可管理所有支持标准 SNMP 网管协议的网络设备,为多厂商设备共存 的网络提供了统一的管理方式。 自动发现多厂商设备,展示多厂商设备组成的网络拓扑; 监视设备性能,包括接口的流量、错包率、丢包率等指标; 接收和解析设备告警,提供告警分析和查询功能; 服务器的集成管理 服务器是企业 IT 架构中的重要组成部分,通过 Quidview 可以实现服务器与网 络设备的统一管理。包括: 支持对 CPU、内存资源消耗的监视; 支持对硬盘使用情况的监视; 支持运行进程的资源监视; 产品规格 管理能力 独立部署 Quidview, 最多可以管理多达 6000 个设备的网络规模。 如果 Quidview 集成在第三方网管平台上, 其组网能力依赖于网管平台的组网能力。 此外, Quidview 的集群管理限制的 LanSwitch 数量为 2047 ,堆叠管理的层数为 5 层。 可管理设备 Quidview 系统管理的设备 类别 设备列表 NetEngine5000 、 NetEngine80 核 心 路 由 器 、 Quidway 系列路 由器 NetEngine40 系 列 通 用 交 换 路 由 器 、

NetEngine16E/08E/05 骨干多业务路由器、AR46 系列路 由器、AR28 系列路由器、AR18 系列路由器、R 系列路由 器。

Quidway 系列安 全网关 Quidway 系列语 音网关
山东博威信息技术有限公司

Secpach10、Secpach100、Secpach1000 系列安全网 关 VG 系列语音网关

第 57 页 共 69 页

国家电力信息网络运维方案 国家电力信息网络运维方案

S8500 系列万兆核心交换机 S8000/6000 系列千兆核 Quidway 系列以 心交换机、S5000 系列千兆路由交换机、MA5200F、S3000 太网交换机 系列快速以太网交换机、S2000 系列边缘接入交换机、 E026/E050 系列交换机以及系列 Wlan AP 产品。 Quidway 系列防 火墙 Eudemon1000 千 兆 防火 墙 、 Eudemon200 防火 墙 、 Eudemon100 防火墙产品

* 可以管理支持标准 MIB 的第三方厂家的数据通讯设备 典型组网应用 Quidview 已经广泛地应用在政府、教育、医疗、金融、电信、石化、广电等各 个行业,Quidview 网管系统可以适应如下的设备组网方式: 全网使用华为 3Com 网络设备组网 用户只需要安装 Quidview,就可以实现华为 3Com 全系列网络设备的拓扑管理、 故障管理、配置、维护、性能监视等功能,为用户提供完备的网络管理功能。 多厂商网络设备共同组网 Quidview 网管系统独立运行 Quidview 网管系统除了具有简便直观的设备管理(网元管理) ,同时还具有灵 活强大的网络管理平台功能。对于支持标准 MIB 的第三方厂商设备,可以实现基本 的网络管理,包括拓扑发现、告警接收、性能监控等通用网管的功能。 Quidview 网管系统与其它网管平台集成 使用 HP Openview 等通用网管平台,完成基本的跨厂商全网 IP 设备管理,实现 网络的拓扑管理、故障管理、性能管理等功能。同时将 Quidview 集成在通用网管平 台上,利用 Quidview 网管完成华为 3Com 网络设备的配置管理。 Quidview 的典型组网图如下:

山东博威信息技术有限公司

第 58 页 共 69 页

国家电力信息网络运维方案 国家电力信息网络运维方案
视频终端

用户终端

交换机 VoIP 交换机 交换机 无线AP

交换机 防火墙 无线AP

Quidview网管系统

应用服务器 路由器

VoIP

山东博威信息技术有限公司

第 59 页 共 69 页

国家电力信息网络运维方案 国家电力信息网络运维方案

第五章 第五章 工程业绩与公司简介 5.1 工 程 业 绩
在公司全体员工的努力下,目前博威公司的业务领域已遍及电力行业、教育、 政府机关、出版发行、金融、证券、广电、交通、制造业等,在长期的实践中积累 了丰富的网络集成与应用软件开发经验,并建立起一支高度专业化的系统设计、项 目实施、软件开发、技术支持及专业维护队伍,具有极强的信息系统分析、设计与 实施能力。近年来,我们承接并出色地完成了近百个计算机网络工程项目,积累了 许多与用户合作以及大量的工程技术和工程管理经验。 一、2004 年主要业绩 2004 1、山东移动济南分公司: CISCO 设备 37 系列路由器,PIX535-UR-BUN,PIX-525-UR-BUN,PIX-515-R-BUN 防 火墙,技术支持及方案设计,共计 90 万 2、山东电信济南分公司 CISCO 72 系列路由器,PIX535 防火墙,合同金额 50 万 3、中国人民银行济南分行网络改造 CISCO37 系列路由器,45 系列交换机,合同金额 50 万 4、招商银行济南分行网络扩容 CISCO3640 系列路由器,PIX 防火墙。 合同金额 50 万 5、青岛深蓝汽车股份公司 全国五地 VPN 联网 华为设备:4680 两台核心,26 系列路由器接入 工程造价:75 万 6、上海浦东发展银行山东省行网络项目 CISCO 72 系列路由器,65 系列交换机 合同金额 80 万 7、上海浦东发展银行青岛分行项目 CISCO 设备,72 系列路由器,45 系列核心交换机。 合同金额 60 万
山东博威信息技术有限公司 第 60 页 共 69 页

国家电力信息网络运维方案 国家电力信息网络运维方案

8、周村区政府电子政务网 CISCO 设备,6500 系列交换机 9、荣成市教育城域网建设 CISCO 设备,联想网络设备,CISCO 3550-12G 三层核心,联想 2924G 作为二级接入, 合同金额 60 万 10、山东百灵信息网 CISCO 72 系列路由器,45 系列交换机 35 系列交换机,PIX 防火墙 工程价:200 万 11、 滨州市滨城区教委扩建 AVAYA 交换设备,联想网络设备, 滨州市无棣县校校通工程 联想网络 4012 系列,29 系列 50 万 12、聊城泉林纸业 CISCO45 系列 36 路由器 13、山东移动济南分公司 CISCO 4000 系列、35 系列交换机等, 60 万 14、烟台师范学院 CISCO 36 路由器,35 交换机,惠普服务器 15、聊城大学 联想网络 3524G-L3 核心,29 系列接入 工程造价:50 万 16、微山校校通 (与当地集成商协作) 联想网络 4808,4012 交换机核心 2924G 二级接入 工程造价:160 万 17、中国银行济南分行 CISCO 4000 系列交换机等 18、山东大学信息中心 CISCO 4000 系列、35 系列交换机 工程造价:66 万 其他………… 二、2005 年主要业绩 1、菏泽公路局
山东博威信息技术有限公司 第 61 页 共 69 页

合同金额 50 万

70 万

65 万

工程造价: 55 万

国家电力信息网络运维方案 国家电力信息网络运维方案

华为设备:65 中心,35 汇聚工程造价:55 万 2、青岛浦发 思科设备:CISCO 45,35 交换,37 路由 工程造价:50 万 3、德州黄河(与当地代理商协作) 华为设备:6506R 中心,30 接入 工程造价:68 万 4、山东农信 思科 45 中心,HP580,操作系统,惠普 PC 工程造价:260 万 5、天同证券(济南、淄博、临沂、东营、济宁、青岛等) 软件,惠普服务器,思科 35,PIX525 防火墙 工程造价:200 万 6、济南农行 思科 45,网管,惠普服务器 7、泰安市政府 HP 服务器,防火墙,华为 5516 等 工程造价:80 万 8、泰安市公安局 华为交换机 85 系列核心交换机等 9、日照电厂 思科 35 系列交换机与布线设备 10、德州职业技术学院 华为 8508 核心交换机与 1000F 防火墙等 11、 山东经济学院燕山分院 工程造价:75 万 工程造价:80 万 工程造价:45 万 工程造价:110 万 工程造价:60 万

华为 6506 核心交换机接 30 系列交换机与网管软件 12、 山东润华集团 合同金额 60 万

思科交换机与防火墙 13、

中国重汽集团有限公司 合同金额 80 万

思科交换机、IBM 服务器与配件 14、山东正大福瑞达
山东博威信息技术有限公司

第 62 页 共 69 页

国家电力信息网络运维方案 国家电力信息网络运维方案

思科交换机与 HP 服务器 15、 青岛可口可乐有限公司

合同金额

60 万

思科交换机及模块 16、 IBM 17、 泰安、菏泽计生委 服务器与配件 青岛酒店管理学院

合同金额

50 万

合同金额

80 万

IBM 服务器及配件 18、

合同金额 45 万

潍坊北汽福田模具厂 合同金额 68 万

HP 服务器及配件、华为交换机 19、 菏泽市公安局

曙光服务器及配件 20、

合同金额 50 万

聊城大学信息网络中心 合同金额 76 万

华为 NE40 路由器、18 系列防火墙、锐捷交换机等 21、 山东德利斯集团 合同金额 50 万

HP 服务器、配件及监控设备 22、 胶南市人民政府

IBM 服务器及存储设备等 23、 齐鲁石化胶南分公司

合同金额 68 万

IBM 服务器及配件 24、

华为交换机等

合同金额 50 万

大众报业集团呼叫中心与海外业务 合同金额 120 万

IBM 服务器及配件,CISCO 交换机与防火墙 其他…………

三、2006 年至今主要业绩 1、泰安抽水蓄能电站 2、济宁嘉祥县供电局 3、济宁嘉祥一中 4、聊城电业局
山东博威信息技术有限公司

思科路由器与交换机等 华为 39 系列交换机等 华为 1000F 防火墙等 华为 AR46 与 28 系列路由器等
第 63 页 共 69 页

国家电力信息网络运维方案 国家电力信息网络运维方案

5、临沂供电局 6、天同证券淄博营业部 7、黄岛中医院 8、莱西供电局 其他…………

华为 85 系列核心交换机等 IBM 服务器及双机设备等 IBM 服务器及配件等 IBM 服务器、配件及华为交换机等

5.2 公 司 简 介
山东博威信息技术有限公司是以长期从事网络产品、服务器存储产品与安全网 络产品分销、计算机信息网络系统集成、Cisco培训为主的高新技术企业。公司从成 立至今,始终坚持以产品建设为依托,以市场发展为导向,以渠道销售为基础,以 行业开拓为重点,以技术进步为动力,以商务运作为后盾的现代化企业经营理念, 经过不断的探索,无论是在知名度、信誉、实力、销售能力、网络系统集成、网络 技术培训等各个方面都取得了长足的发展,在业界享有很高的声誉。 山东博威信息技术有限公司,在行业相关产品销售及网络安全方面,居同行业 领先地位。我们是Cisco高级认证代理商、方案技术支持中心,华为-3COM山东金牌 认证代理商,IBM山东金牌经销商,HP商用产品钻石经销商,梭子鱼垃圾邮件防火墙 山东省金牌代理商。 山东博威信息技术有限公司技术力量强大,有较强的系统集成业务实力,有创 一流企业服务品牌理念。在大中型企业、政府、教育、通信、金融等领域取得一系 列成绩,本着企业数据中心建设为目标,在为客户提供CISCO、华为-3COM系列中高 端网络产品、 LINKSYS、 PROXIM无线网络产品和网络搭建解决方案的基础上, 围绕IBM、 HP等服务器,提供给客户VERITAS、EMC2等全线存储产品、ORACLE、Microsoft应用 软件、数据网络建设等相关软件;同时还为客户提供F5、RADWARE等一系列网络性能 管理产品与SYMANTEC、 NETSCREEN等一系列网络安全管理产品以及TRENDMIRCO防毒产
山东博威信息技术有限公司 第 64 页 共 69 页

国家电力信息网络运维方案 国家电力信息网络运维方案

品。大大推进了这些行业的信息化建设;公司坚持“以人为本”的思想,拥有一支 勤奋严谨、训练有素的技术服务队伍,并配备多名网络认证工程师,拥有成熟的网 络建设经验。有CISCO认证工程师 9 人,其中CCIE 1人,CCNP 3人、CCDP 1人、CCDA 1人、CCNA 3 人;华为-3COM认证工程师4人,其中HCTE2人,HCSE 3人 ,HCNE 4人; 服务器及存储工程师3人;安全网络产品工程师1人。我公司在大中型计算机局域网、 城域网、骨干广域网及互联网接入、智能大厦综合布线系统、企业计算机安全认证、 校校通工程等方面积累了丰富的经验,能够为用户提供完整的方案咨询设计、网络 系统集成、综合布线、工程施工指导、安装调试、网络测试及完善的售后技术支持。 公司在不断提高自身整体实力的同时,积极借鉴国内外先进的管理和经营模式,树 立创一流品质、争一流信誉、创一流服务的企业服务品牌,尽心为客户着想,致力 成为优秀的因特网时代设备和方案的供应商。 山东博威信息技术有限公司,有敢于和同行业争第一的思想。我们作为山东市 场网络产品、服务器存储产品、安全网络产品分销的主干力量,本着“分销就是服 务”的思想,公司2004年充分实施复合化策略,以领域为主线进行产品复合,将原 有业务部门整合为三个事业部:网络产品事业部、服务器及存储事业部、安全网络 事业部,搭建了由渠道市场、产品市场、解决方案及行业市场、技术支持、维修支 持、培训支持构成的渠道支持系统;现已形成以济南、青岛为区域销售中心,全省 17城市以集成商、代理商和行业用户为主体的分销渠道网络,长期合作的渠道客户 超过200家。 山东博威信息技术有限公司一直遵循“走正规化道路,创国内一流企业”的发 展理念和“一流员工创一流品质,一流服务创一流信誉”的思想作风,在经理室的 正确领导下,立足山东,面向全国,正在向着“华北区最优秀的IT设备分销商、方
山东博威信息技术有限公司 第 65 页 共 69 页

国家电力信息网络运维方案 国家电力信息网络运维方案

案供应商、系统集成商”努力奋斗。公司愿与同行业所有合作伙伴共创伟业,愿为 我们的客户提供一流的服务。我们有国际品牌产品的质量优势作保证,我们有优惠 的产品价格给客户带来实惠,我们有自已雄厚的技术力量给客户提供完美的售后服 务,我们一定能让我们的合作伙伴满意,一定能得到广大客户的信赖! 企业文化 公司口号: 公司口号: 博公司创业之颠,威企业品牌之风。 工作标准: 聚一流的人才精英,做一流的网络工程,创一流的服务品牌。 经营理念: 核心理念: 持续创新勤于总结,善于学习主动应变, 永远拼博追求卓越。 管理理念: 管理规范化,落实制度化。 企业精神: 敬人·敬业·创新·高效 企业作风: 精准执行,客户至上。 团队意识: 团结共进,众志成城 发展战略: 工作高质量、服务高水平。 人才观念: 注重人才、开发人才、量才施用 经营宗旨: 服务效益安全

山东博威信息技术有限公司

第 66 页 共 69 页

国家电力信息网络运维方案 国家电力信息网络运维方案

组织结构

系列产品? 系列产品
山东博威始终以开放的心态,积极与全球知名IT公司保持密切的联系,并与 其建立了长期的战略合作伙伴关系。因此我们能够方便、快捷地整合资源,为客户 提供国际领先的产品、解决方案与IT服务。凭借雄厚的资金、技术实力和良好的商 业信誉,我们赢得了国内外著名品牌厂家的认可与信任。先后取得了Cisco高级认证 代理商、华为-3COM山东金牌认证代理商、HP商用产品钻石经销商, IBM山东金牌经 销商,梭子鱼垃圾邮件防火墙山东区域金牌代理商等著名公司代理资格;并在产品 代理、技术支持和培训方面建立了良好合作关系:

山东博威信息技术有限公司

第 67 页 共 69 页

国家电力信息网络运维方案 国家电力信息网络运维方案

高级认证代理商 方案技术支持中心

山东金牌认证代理商 三 星 级 服 务 商

梭子鱼垃圾邮件防火墙 山东区域金牌代理商

服务器山东区域分销商 商用产品钻石经销商

服务器山东金牌经销商 选件联盟特约经销商

服务承诺
1、Cisco产品:我公司严格执行CISCO公司的服务标准;在免费保修期间外,我 公司继续为用户提供维修服务,收费则按照CISCO公司收费标准执行;在产品 的生存期内,我们会按照贵方的实际要求对设备系统软件进行升级,相关的 费用参照特性集类型进行收费,同时免收服务费。 2. 华为3COM产品:我公司严格执行华为3COM的服务标准。一年内提供免费保 修,保修期外的维修服务按照厂家标准进行。 3.服务器存储产品:我公司严格执行厂家的各种维修支持标准。
山东博威信息技术有限公司 第 68 页 共 69 页

国家电力信息网络运维方案 国家电力信息网络运维方案

4.安全网络产品:我公司严格执行厂家的各种维修支持标准。

技术支持
技术力量: 我公司现有CISCO认证工程师 9 技术力量 我公司建设有完善的售后技术支持队伍, 人,其中CCIE 1人,CCNP 3人、CCDP 1人、CCDA 1人、CCNA 3 人;华为-3COM认

证工程师4人,其中HCTE2人,HCSE 3人 ,HCNE 4人;服务器及存储工程师3人;安 全网络产品工程师1人。 响应时间:我公司设有5 X 8(0531-86985913)电话支持,专人(CCNA/HCNE)负责 响应时间 接听;根据用户产品类型和故障特点形成案例,然后转至相应的技术工程师。针对 用户的不同故障类型,进行分级处理。

联系我们
济南总公司:中国·济南山大路201号创展中心4F 济南总公司 电 传 话:0531-86406999(15线) 真:0531-86466746

青岛分公司:青岛市吉林路41号科技广场4号楼25层2201 青岛分公司 电 传 话:0532-88080020 真:0532-88080020 88080120 88029072 88029073

更多情况请浏览我们的网站: http://www.bo-wei.com.cn

山东博威信息技术有限公司

第 69 页 共 69 页


相关文章:
电力信息系统运维管理自动化解决方案
电力信息系统运维管理自动化解决方案_销售/营销_经管...通过提高电力信息系统的自动化,对于信息网络的完善...而在我国目前,在电力信息系统的运维管理方式上,比 ...
电力公司信息设备及系统运维项目方案
电力公司信息设备及系统运维项目方案_电力/水利_工程科技_专业资料。技术规范为...网络设备硬件维保; 2、信息系统、信息安全定期巡检;3、信息机房环境维保;4、...
电力信息系统运维管理自动化解决方案
电力信息系统运维管理自动化解决方案_销售/营销_经管营销_专业资料。龙源期刊 http://www.qikan.com.cn 电力信息系统运维管理自动化解决方案 作者:曾宏锐 来源:...
电力信息系统运维管理自动化解决方案
电力信息系统运维管理自动化解决方案_经济/市场_经管营销_专业资料。电力信息系统运维管理自动化解决方案 摘要:伴随着我科技的高速发展,我的电力企业通过自身的努...
电力线路运行维护方案
电力线路的运行与维护方案为了掌握线路及其设备的运行...一、电气性故障及其预防 配电在运行中经常发生的...我国电力电缆的生产是 20 世纪 30 年代开始的, ...
电力系统维护服务方案
《华夏银行电力系统维护服务方案运维服务承诺: 1).根据华夏银行河北省分行维保设备的的具体情况, 制定维护服务分为: 日常维护、技术支持、系统巡检、基础环境系统...
智能电表推广及采集运维方案
智能电表推广及采集运维方案_信息与通信_工程科技_专业资料。集抄项目运维方案 ...公司在全国范围内有着近十几年的集抄施工运维经验,涉及国家电 网和南方电网。...
网络运维管理系统解决方案
网络运维管理系统解决方案_IT/计算机_专业资料。网络...包括以太网 供电(PoE)设备(例如 IP 电话与无线访问...群组、应用程序、国家/地区或协议来分析 OoS 性能。...
xxxx信息系统运维服务方案
xxxx信息系统运维服务方案_互联网_IT/计算机_专业资料。信息化项目运维方案模版,...《中华人民共和消防法》 (4) 《电力供电标准与内部控制管理制度全集》 (5)...
信息安全运维方案
信息安全运维方案_互联_IT/计算机_专业资料。安全运维实施方案 第1章、 安全运维实施方案 1.1 安全运维的重要性随着信息安全管理体系和技术体系在企业领域的信息...
更多相关标签:
电力系统运维服务方案 | 电力运维方案 | 电力设备运维方案 | 网络运维方案 | 网络运维服务方案 | 网络设备运维方案 | 网络安全运维服务方案 | 网络安全运维方案 |