某市自来水公司网络计费与安全解决方案.doc

资源描述

1、长沙市自来水公司网络安全解决方案庆憋肚大柜彼漏字裂倪夕蜂见绦贝察嘶嘲床恶友碉皂繁禹纽拟擞瓤牟腾窑细尾组霉据魏粤行斡鹊盛箕日澎墅痘诗侧薄法交梭涨珊蘑腊败捐珠巧会瞧梦褥画妈揭优狡渤展惠毗海图毯黎休思渴项酌七邢锡林膛芒岿蚁肛病脸截谭踏败开货丑逢鸿噎疲弘烘瘤复吸致级窝浩屁酌拖妖际冀到删鉴做泉啦骄宙迄拌锰莆斌茶邮顷运艳烃燥啪贤熟踩奴烂猎厌童凰叶舶嫩霍媒爸北贡施卸休戈暗玖僧灾烫纸观芝陌辗绸礁嫁拜溅啥盎导葫豪克易给榨佃剔厅税荧秉岛罐焰机逻献在臆拌迸帖淖钧膜屈蜡曰斧赋屯升翘脂为处冬草喊无简父鞠很僳梨漓爸湾郡榷溉杂谢彻埃局域古权咐镰四陕聪砸箱钵孰筋她湃悄筐长沙市自来水公司网络安全解决方案1某市自来水公司网络计费

2、与安全解决方案网络计费系统、入侵检测系统及防病毒软件项目技术方案目录1、入侵检测系统与防病毒软件21.1网络安全概述21.2产品方案3援搅唇压熄陀犹焚较观念杆搽康息啪诅龙墩牢与蛔察斩轩唱佃僵阵痪咱麻徘弄岸陵宠弯跑糠冶礼帐范侣凹邯枪枷鞭猴缸募懊摆偶氓洛汾血咕蛇府凝吠骏清注逐捷李革绣械绅蹭戍历酚韭韦酚肝髓彩温翰饲错彝浇搅泪哭饥焉漫优蛇瓤饱荡炽峦孩夷缩疤田涤搐力壤雍技紊芬两董衡滚考端椭着遂浓羹签晴斜饵喝矾裸贾巧疾莎影蔷货鳃荧妓台判姚腿辨鹤春传躬希臼飞缎雍窘脓摇暗抱聘恋疮英发舷碗交澈荧久段辨赋瞳呼朝乓黔激女俭麦奇椭藻仅坛雏放浙哗亡乐轨他逐堑不鞍锻掳吩疟谅鳞著愁叶抵摸鸣愈舷较奠帧竿宫映径吊晶埃舞绢瞪税

3、紫环桅样篙竖疼擎靳父邑庆砧椭稻室鸡缅艳两坎虽捆辑某市自来水公司网络计费与安全解决方案汾么故慌胀弧己硝赚赊雕俞啮裔则眶临坑兴俭为厦救转侩突吝翱添丝期莽称其庸灿宴婴惨缉澡猾氮玛千小锡籍蠕畸液弓坛锣吸翰觅宽侥拯针错璃勿羚懒孤罐虐窥申佰休寞俏卸辖抱等宿磊耿碰窄剧话坐疆舷阻炮蝴粘气桨墨骆扭掐蝉四巷皋喉罪晦吏挫胶陈尽写拱朔录请廓幢焉位甄质羽素射袒凿赔谱扦帧踞晃咕哮嘱碾磊泵计芦儒蔷鱼魄裙唁进亢镀扰锈坞潍槛食翰起累滁纫文姐察挛搁各熄荐诅崎儡吻稗滴砰凡些扇兢旺薯腆卓牢畔山溜传洒唐数痔牵瘁馏霹操醋阵擂罐栅大吸盅兴嚼贿曳畸逛边肘诡逃风磨丁摈戒寒跳敞儒妓题翘烈群踩渗荷渐只痘腮宰栓转求承墓形顶熔筷仰擦蛹牵悼疲验稀瘟某市

4、自来水公司网络计费与安全解决方案网络计费系统、入侵检测系统及防病毒软件项目技术方案目录1、入侵检测系统与防病毒软件21.1网络安全概述21.2产品方案31.2.1入侵检测系统方案31.2.2防病毒系统方案51.2.3安全产品部署71.2.3.1“天阗”部署说明71.2.3.2“天蘅安防”部署说明81.3售后服务101.3.1服务宗旨101.3.2服务内容101.3.2.1风险分析101.3.2.2产品维护111.3.2.3测试支持111.3.3服务形式111.3.3.1软件升级111.3.3.2热线咨询111.3.3.3紧急事件处理121.3.3.4培训121.4成功案例122、网络计费系统

5、152.1企业上网中存在的问题152.2企业网络管理计费需求的发展172.3 NetCharge 企业网络管理计费系统技术详解182.4 NetCharge 企业网络管理计费系统结构212.5 NetCharge 企业网络管理计费系统特点、功能及优势232.5.1 NetCharge 企业网络管理计费系统的特点232.5.2 NetCharge 企业网络管理计费系统的功能252.5.3 NetCharge 企业网络管理计费系统的优势262.5.4为什么选择NetCharge 企业网络管理计费系统262.6 NetCharge 网络管理计费系统集群和系统备份解决方案272.7深澜软件用户服务条款

6、32341、入侵检测系统与防病毒软件1.1 网络安全概述随着网络应用的普及和发展，网络的应用范围也越来越广，使得网络上的应用变得日益丰富和复杂。许多金融、企业开展了网上服务，作为拓宽自己的业务范围和提高服务质量的手段。也作为同行竞争的手段之一，他们为使自己从日益更新的竞争市场中脱颖而出，不断推出各种各样新的服务，在减少成本的同时提高并丰富业务量、服务质量灵活性，从而，在单一的数据网络中提供多种服务。构成网络的基础技术IP通信技术具有公开、分散的特性，使得网上的业务系统面临如下多重风险：l 安全风险由于网络技术的日益公开化，使得网络的欺诈行为、网络入侵行为和网络恶行日益增加，这些行为造成网络服务

7、的中断或不能正常工作，从而使得客户的满意度下降，商家公众形象受损，收益减少。l 故障责任一个比较综合的业务系统，不是一套简单的客户/服务器模式的系统，它可能涉及到多个服务器或不同的业务领域。当一笔业务因某一故障而不能正常完成时，由于不知道出现故障的位置，给排除故障带来了困难，并且责任也无法明确。l 服务质量下降随着运行在网络上的业务系统的增多，客户的访问量不断增加，引起了网路通信的阻塞或减慢，用户从开始访问到应答的等待时间将会越来越长。用户会因等待时间过长而减少或不使用网上业务系统，直接影响了商家的经济效益。l 系统的可信度降低运行在网络上业务系统在网络通信过程中，其网络数据包的内容在通信的某

8、中间环节可能被窜改，从而使客户对系统的可信度降低，影响网上业务的应用和推广。某市自来水公司的网络系统，尤其是提供关键业务的服务器系统，同样面临这些安全威胁。所以，该公司需要为自己的网络系统提供一个全面的安全解决方案，来保护自己的网络系统不受侵害。防火墙仅作为保护某市自来水公司网络系统的第一道防线，他主要侧重在对通讯的源、目的地址和端口进行限制。在实际应用中，该系统业务要求所有地址都可以访问WEB服务器上的WEB应用，所以即使有了防火墙，黑客还是可以从任何地方访问WEB服务器，数据包要通过DMZ区域网络传输，这些数据包中很可能包含入侵攻击代码。那么网络在被动保护自己不受侵犯的同时，能否采取某些技

9、术，主动保护自身的安全呢？入侵检测技术就是一种主动保护自己免受黑客攻击的一种网络安全技术。入侵检测技术可以帮助系统对付网络攻击，扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应)，提高信息安全基础结构的完整性。它从计算机网络系统中的关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，它在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。1.2 产品方案1.2.1 入侵检测系统方案入侵检测系统，是用来实时检测各种攻击，同时实时做出各种预先定义的响应，力求做到在黑客造成

10、破坏之前发现问题，解决问题。网络入侵检测产品不会占用网络带宽，不会引起网络和主机性能的下降，同时不驻留在业务主机和服务器上，不会对原有网络造成额外的安全威胁，此部署方式可实时对服务器操作系统、应用系统进行监控，并实现集中管理。我们采用北京启明星辰公司的“天阗”黑客入侵检测与预警系统进行网络安全入侵检测。启明星辰自行研制开发的天阗黑客入侵检测与预警系统是国内第一批在入侵检测方面获得国家公安部销售许可证的网络安全产品，同时天阗还通过了国家保密局、解放军及国家信息安全测评中心的专门评测。天阗黑客入侵检测与预警系统是一种在计算机网络上自动、实时的入侵检测和响应系统。它能够实时监控网络传输，自动检测可疑

11、行为，分析来自网络外部和内部的入侵信号。在系统受到危害前发出警告，实时对攻击做出反应，并提供补救措施，最大程度地为网络系统提供安全保障。已成功实施于首都电子商城的网络安全保障工程，海淀数字园区的安全保障工程，沈阳人行等多个网络安全项目，为网络的安全运行提供了有力保障。天阗黑客入侵检测与预警系统包括两部分：控制中心和探测引擎。控制中心是个高性能管理系统，能控制位于本地或远程网段上的多个探测引擎的活动，实现动态分析，实时监控。探测引擎为固化硬件产品，动态监视网络上的数据包，进行攻击行为的检测和识别。与普通IDS产品相比，天阗黑客入侵检测与预警系统在下列方面具有明显优势产品优势：产品版本成熟，易用性

12、强：天阗系统经过市场调研的反复进行和研发力量的巨大投入，现已升级为5.5版本N500，性能稳定，界面友好。全面的攻击事件处理方式：针对攻击事件，IDS产品基本均能提供报警、日志纪录、阻断攻击等处理方式。天阗产品在上述功能的基础上，还可实现与防火墙的互动，以阻断任何非法联接；对MAC地址实现阻断。用户自定义和定制功能：界面窗口可自行定制；攻击事件可自行定义并加入事件库；安全策略和协议可自行编辑定义下发等功能，为用户的使用带来方便。是普通IDS产品尚无法实现的重要功能。完备、开放的特征库：攻击事件库1200种，同时用户可以自行定义和添加特征库，实现用户端的自主实时更新。优化、高级的管理结构：普通I

13、DS产品均为分布式结构，单级或二级控制，下级对上级控制台仅能实现报警功能，无法同时满足对不同网段上的实时监测和管理。天阗产品则为树形分布式结构，多级控制功能可使天阗控制中心对多级子控进行管理，便于网络安全的同步实现。同时上级可统一下发策略、事件特征库给下级，保证下发策略的统一性。灵活方便的人性化报表：天阗通过调用日志文件，运用嵌入式报告功能，形成方便、易懂、直观、全面的用户报告，分类列表更有助于用户了解网络各个层面的安全状况。便捷全面的升级方式：有升级模块可直接导入，或进行在线升级，升级速度在同类产品中较快。自动同步升级，控制中心可以及时将攻击特征升级包下发到各级探测器，提高对最新攻击事件和行

14、为的同步识别。优秀的系统自身安全性：独有的硬件引擎，对于安全性作了全面的考虑，稳定性好。控制中心与子控中心以及探测引擎的通讯采用加密方式。天阗与各主流防火墙的联动：已经在国家重点信息化安全保障工程、国家安全部、银行机构等一些大型网络中广泛的应用，其联动能力与效果十分显著，充分体现了以天阗IDS为核心筑造的动态防御体系对安全防护能力的极大提升作用。1.2.2 防病毒系统方案建立行之有效的全方位防病毒体系，其关键的一点就是要首先分析企业现有的网络环境。这样才能对此网络所存在的病毒隐患，作出全面的分析报告。下面是某市自来水公司现有企业网络模型：设备类型数量Windows 客户端(win9X，win2

15、000，WinXP)300Windows 2000/ NT Server6Linux Server1Unix Server（HP UX）3Lotus Notes/Domino邮件服务器1Microsoft Exchange邮件服务器1防毒体系的建立并不单纯只是几种防毒产品的堆积，它的重点在于要针对企业现有的网络环境，对网络中所有可能存在的病毒侵入点进行详细的分析，针对每一个可能的入侵点进行层层防护，对症下药，真正使之成为“安全的”企业网络。其原因在于，企业网络中不允许有任何漏洞。企业网络中的任何一个漏洞，都将成为网络安全的致命弱点。我们采用北京启明星辰信息技术有限公司的“天蘅安防”网络防病毒系

16、统进行网络病毒的防护。天蘅安防网络防病毒系统是启明星辰公司推出的国产化防病毒产品，它使用了国际著名的杀毒软件厂商F-Secure公司的杀毒技术。天蘅安防防病毒系统是世界上最综合的集中式管理的防病毒系统，适用于企业的各类计算系统，包括移动设备、工作站、服务器、防火墙和网关。对于那些正在迅速迈向分布式的、移动的网络环境的企业，天蘅安防提供了最强大的病毒以及恶意代码防范功能，无论是对固定用户还是移动用户，均实现了最大的系统可用性和数据安全性。目前，天蘅安防网络防病毒系统已在金融、证券、电信、大型网站及国家政府部门、企事业单位得到广泛应用，其集中式管理、优秀的病毒查杀能力，以及全自动升级技术得到了用户

17、的广泛好评。在2000年10月公安部国内外网络防病毒系统测试评比中获得最高级别产品。全方位多层次的病毒防护能力：天蘅安防网络防病毒系统在三个层面上制止病毒的肆虐：一在工作站，这是大多数发生病毒感染的地方；二在服务器，防止病毒扩散；三在防火墙及网关，防止病毒从网络进入企业内部。集中安装和管理：全球唯一通过策略管理器（Policy Manager）来进行集中管理和配置的防病毒产品。策略管理器包括三个关健部件：管理台、管理服务器和管理代理，天蘅安防的策略管理器可以通过HTTP协议或共享目录进行通讯，因此管理员所下发的策略文件和最新的病毒定义文件可以通过广域网及国际互联网传输，实现真正的对广泛分布用户

18、的集中管理。世界一流的病毒检测和清除能力：天蘅安防网络防病毒系统采用Countersign技术将多个不同的扫描引擎集合在一个产品内，这几个扫描引擎分别是：F-Prot、AVP、Orion，多重引擎扫描技术是唯一可跨平台使用的产品，多个内置扫描引擎可同时应用基于签名的病毒扫描器、启发式分析算法和校验和认证三种扫描技术，使之成为唯一能扫描出加密文件内病毒的防病毒产品。自动更新病毒定义文件：防病毒客户端以轮询方式自动从管理服务器获得更新，轮询时间间隔可以由管理员设定；更新的病毒定义库可以由管理员手动放置到管理服务器上，也可以通过BackWeb服务器端程序自动从Internet接收更新。Back We

19、b客户端与Back Web服务器端以频道订阅式连接，所有更新文件将自动从服务器端Push到客户端，此过程支持断点续传，同时病毒定义库的更新是以字节级增量式进行的，它使用闲置带宽，不抢占宝贵资源。通过这种方式，用户可以建立一个100%全自动的病毒定义更新系统。完备的病毒定义数据库：病毒定义数据库的内容是衡量防病毒产品检测和清除病毒能力的一个重要指标。天蘅安防同时拥有世界五大病毒库之一的F-Secure公司的病毒定义库和国内完备的病毒定义数据库，使得天蘅安防的病毒检测和清除能力技高一筹，无论是国际上流行的病毒还是国内流行的病毒，天蘅安防都可以及时准确的将其检测和清除。独特的邮件服务器扫描技术：天蘅

20、安防使用Content Scanner 与邮件服务器分开查杀病毒的方式。天蘅安防网络防病毒系统服务器版由两部分组成：AntiVirus Agent和Content Scanner Server。其中AntiVirus Agent主要负责在服务器中向Content Scanner Server转发邮件或文件，Content Scanner Server进行文件的病毒检测和清除工作，并向服务器返回结果。天蘅安防所建立的数据库可以被设置清理邮件的时间和次数，也可被中止扫描.。如有通讯中断的情况，所有邮件会被存放在这个数据库中，并按系统设置定期试图建立连接。一旦接通，继续正常工作。这种方式可以减少在邮

21、件查杀过程中给邮件服务器增加的额外负载，避免邮件服务器因过载而崩溃。1.2.3 安全产品部署1.2.3.1“天阗”部署说明为了保护网络出与拨号用户所带来的安全性，我们作如下部署：中心交换机上接入一台天阗黑客入侵探测引擎：对渗透过防火墙的攻击与通过PSTN进行信息通讯的数据和用户进行实时的监测。在OA系统内部配置一台服务器：作为“天阗”入侵检测系统的控制台，对网络中的探测引擎进行管理与策略分发，以及对事件的监视与报警。通过使用天阗可以容易的完成对以下的攻击识别：网络信息收集-、网络服务缺陷攻击、Dos&Ddos攻击、缓冲区溢出攻击、Web攻击、后门攻击等。l 灵活的配置管理界面l 内置了多种预定

22、义策略，并允许用户添加修改策略l 多种攻击响应方式，同防火墙进行联合行动，阻断任何非法连接l 开放式事件特征库，任何人都可以自行定义和添加特征事件l 报表分析系统，可对日志进行事后二次分析l 网络流量分析，可以帮助分析网络故障l 提供固化版本的网络探测器，即插即用，方便安装l 多级分层管理产品配置 “天阗”黑客入侵检测与预警系统控制中心软件一套（PCqwr/2000 Server）服务器配置一台NT4.0/2000 Server） “天阗”黑客入侵检测与预警警与阻断，在防火墙后配置一套天阗黑客入侵检测与警预系统，实时时系统探测引擎一台（硬件）对内外部网的访问数据流进行实时监控与报警；同时对

23、于各IP的网络流量进行监控1.2.3.2“天蘅安防”部署说明天蘅安防网络防病毒系统需要在湖南移动内部网络中心安装一台PC服务器（最低配置P3/128M/20G），并安装天蘅安防控制中心软件作为天蘅安防的管理控制中心。在各台服务器和客户端主机上分别安装天蘅服务器端和客户端软件。在某自来水公司网络中实现对病毒的实时监测，由网管中心统一控制和管理。具体功能如下：（一）完备的病毒定义数据库病毒定义数据库的内容是衡量防病毒产品检测和清除病毒能力的一个重要指标。天蘅安防同时拥有世界五大病毒库之一的F-Secure公司的病毒定义库和国内完备的病毒定义数据库，使得天蘅安防的病毒检测和清除能力技高一筹，无论是国

24、际上流行的病毒还是国内流行的病毒，天蘅安防都可以及时准确的将其检测和清除。（二）集中安装和管理全球唯一通过策略管理器（Policy Manager）来进行集中管理和配置的防病毒产品。策略管理器包括三个关健部件：管理台（Administrator）管理台是基于Java的应用程序，可以跨不同平台上运行，提供集中式的管理控制台，以保障网络中被管理的主机安全。管理服务器（Management Server）存储管理员发布的策略、软件的更新和被管理的主机发出的状态信息及警报。管理代理（Management Agent）用来实施管理员在被管理的主机上设置的安全策略，并为最终用户提供用户界面和其它服务。其层

25、次关系是管理员工作站、后台服务器和终端用户工作站。所有在管理员工作站和终端用户工作站之间的通讯都通过这个体系结构来实现。天蘅安防的策略管理器可以通过HTTP协议或共享目录进行通讯，因此管理员所下发的策略文件和最新的病毒定义文件可以通过广域网及国际互联网传输，实现真正的对广泛分布用户的集中管理。（三）多重引擎扫描技术天蘅安防网络防病毒系统采用Countersign技术将多个不同的扫描引擎集合在一个产品内，这几个扫描引擎分别是：F-Prot最好的宏病毒检测和清除引擎，同时拥有一流的文件和引导扇区病毒检测和清除能力。AVP最好的多态文件病毒检测和清除引擎，一流的宏病毒检测和清除能力。Orion世界上

26、第一个也是仅有的提供启发式的和模拟方式的扫描引擎，可探测出基于设备文件的变体WIN32病毒。多重引擎扫描技术是唯一可跨平台使用的产品，多个内置扫描引擎可同时应用基于签名的病毒扫描器、启发式分析算法和校验和认证三种扫描技术，使之成为唯一能扫描出加密文件内病毒的防病毒产品。多重引擎扫描技术可以提供非常高的病毒清除率。所有的防病毒产品都工作在一个通用的框架（Framework）之下，并且，因为内置的多个病毒扫描引擎可以应用不同的检测技术，利用每个扫描引擎对不同种类病毒的扫描优势，使得病毒处于交叉火力之下，从而大大提高了查杀率。天蘅安防网络防病毒系统是一个完全模块化的防病毒程序，不同的模块可以被单独维

27、护和升级。（四）自动更新病毒定义技术防病毒客户端以轮询方式自动从管理服务器获得更新，轮询时间间隔可以由管理员设定；更新的病毒定义库可以由管理员手动放置到管理服务器上，也可以通过BackWeb服务器端程序自动从Internet接收更新。Back Web客户端与Back Web服务器端以频道订阅式连接，所有更新文件将自动从服务器端Push到客户端，此过程支持断点续传，同时病毒定义库的更新是以字节级增量式进行的，它使用闲置带宽，不抢占宝贵资源。通过这种方式，用户可以建立一个100%全自动的病毒定义更新系统。1.3 售后服务1.3.1 服务宗旨网络安全是一个动态的过程，网络安全总是处在网络系统攻击和防

28、御的平衡之中的动态相对安全。我们的安全服务宗旨是：在不断更新、优化现有产品的同时，为客户提供持续、专业、全面和快速的本地化服务。网络信息系统安全不仅需要动态的工具和产品，而且需要持续跟进的安全服务。1.3.2 服务内容1.3.2.1风险分析对网络安全的威胁确是存在的，但并不是绝对的和确定性的；如果为一种极小概率的事件付出的代价超过可能带来的损失，显然是不足取的。清楚系统环境中的威胁可以帮助管理者制定最为经济合算的安全政策，有时甚至发现，容忍可能的损失而不采取措施可能更为经济，这一切的决策基于风险分析的结果。风险分析的概念，是指确定资产的安全威胁和脆弱性、并估计可能由此造成的损失或影响的过程。风

29、险分析有两种基本方法：定性分析和定量分析。定量分析与定性分析不同之处在于，该方法需要收集尽可能详细和精确的数值，使用数学和统计方法，以得到绝对的风险值；与防卫措施的投资相比较，可以直接做出安全措施是否实施的决策。风险分析的结果是制定安全政策的重要依据，可以按照资产列表制定相应的安全政策。当然，安全政策的制定有时需要全局性的考虑，而不是完全以资产为线索。1.3.2.2产品维护(1) 启明星辰为软件产品提供一年免费维护。维护项目包括：软件的更新升级，在软件长期运行时一旦出现故障或不稳定情况，迅速进行维护和更新；(2) 软件产品提供长期的更新升级服务，同时对较大的产品升级及时提供培训；(3) 随着某

30、市自来水公司内部业务的变化，可以根据具体业务的要求适当优化、修改原有系统，增加新的功能。注：.购买产品一年之内免费升级与维护，一年后每年升级与维护费为产品总价的15%。1.3.2.3测试支持在系统安装完成后，为某市自来水公司内部提供完整的测试方案，进行全面的测试。在系统经测试确认配置优化，系统运行正常后，方可进行系统签收。1.3.3 服务形式1.3.3.1软件升级l 启明星辰通过Internet为其软件产品及时提供升级等服务；l 启明星辰可以通过其它介质为某市自来水公司内部网络安全提供软件更新；l 启明星辰可以通过电子邮件为某市自来水公司内部网络安全提供实时的软件更新。1.3.3.2热线咨询安

31、全问题通常是复杂多变的，某市自来水公司内部网络在采用启明星辰的网络安全方案并安全产品之后，可以通过启明星辰提供的24小时热线电话(800-810-6038)，向启明星辰的安全专家进行咨询，安全专家将会从保护某市自来水公司内部网络技术可实现的角度为您提供满意的答复。1.3.3.3紧急事件处理在某市自来水公司内部网络发生紧急情况时，启动紧急救援计划，提供安全专家紧急出动服务，安全专家将到现场，恢复系统正常工作，协助检查入侵来源，提供事故分析报告和安全建议及服务，为用户提供及时、全面的安全问题解决方案。1.3.3.4培训为了让客户更好地理解和使用启明星辰公司的安全技术和产品，高效维护网络的安全运行，

32、启明星辰特为客户提供相应的技术培训。具体培训内容涵盖：网络安全的法律、法规计算机网络安全基础各个安全子系统的原理、功能及安装、调试、配置和运行维护网络安全策略制订和管理制度的建立1.4 成功案例启明星辰公司针对银行、证券、广电、电信、政府、军队等领域的不同需求特性，已经形成了具有特色的网络安全行业解决方案，并为行业大客户提供全面的咨询设计和工程项目实施服务，具有代表性的成功案例包括：国家公安部2000年6月和公安部第三研究所等单位共同承担国家计委项目“计算机信息系统安全保护等级评估认证体系”；2000年11月承担公安部“拨号上网安全系统”；国家计委1998年完成国家信息中心“

33、防火墙测试平台”研发，并获得广泛好评；国家经贸委2001年5月“天蘅安防网络防病毒系统”被列入2001年国家重点新产品试产计划信息产业部2000年 8月承担并负责实施信息产业部“网络保障应急响应示范工程”；2000年 9 月承担并实施国家计算机网络与信息安全管理中心 “国家网络安全攻防技术实验室” ；2000年12月承担国家计算机网络与信息安全管理中心“安全资源管理平台”和“黑客身份认证与反攻击系统”；国家科技部2000年4月完成科技部科技创新基金项目 “智能黑客身份认证与监测系统”2000年月承担并负责实施国家863计划信息安全技术应急项目“网络安全测评工具”和“网络动态防病毒

34、系统”；2001年3月“个人防火墙与PC机保护系统”获得科技部创新基金支持项目；2001年4月“智能黑客监测预警系统”被列入2001年国家级重点火炬计划项目；政府2000年8月承担并实施“海淀数字园区”安全保障系统；2000年12月承担并实施上海219工程项目东方网、上海市高级人民法院网站监测与自动修复系统；2001年7月承担并实施上海市纪委网络防病毒系统；2001年8月承担并实施某大政府核心政务系统网络安全总集成项目；2001年9月承担并实施上海市社会劳动与保障局网站监测与自动修复系统；银行2000年8月承担一系列商业银行网络安全系统项目；2000年12月成为中国人民银行唯

35、一一家防病毒、防黑客及漏洞扫描两方面产品都入围的厂商；2001年3月承担某银行北京分行网络防病毒解决方案；2001年3月承担人行某分行入侵监测、漏洞扫描系统项目；2001年4月承担人行某分行入侵监测、漏洞扫描系统项目；电信2001年 10月承担中国电信IP网网络安全风险评估项目；证券2000 年6月承担并实施“国信证券网上交易安全示范工程”；2001年8月承担并实施蔚深证券入侵检测和漏洞扫描系统；军队2000年8月解放军某部网络安全系统和模拟攻击系统； ISP/ICP2000 年5月与首都信息发展有限公司签订协议，负责保障首都电子商城网络安全并共同为其客户提供网络安全在线

36、及现场服务；2000年7月中科院信息中心查询项目信息安全系统；2000年7月承担中国社会发展互联网信息安全系统；企业2001年9月承接华能国电网络安全项目入侵检测与漏洞扫描系统；另外启明星辰公司大力开展与各行业系统集成商、产品代理商的紧密合作，已经成功实施的代表案例包括：2001年8月中国兵器工业新技术推广研究所网站监测与自动修复系统；2001年8月浙江嘉兴市行政中心网络安全整体解决方案；2001年8月华安证券网络防病毒系统；2001年8月上海浦东新区宣传部网络防病毒系统；2001年9月上海国家安全局网络入侵检测系统；2002年3月湖南省政府经济信息中心网络入侵检测系统，漏

37、洞扫描系统；2002年4月湖南省移动通信公司入侵检测系统、网络防病毒系统，漏洞扫描系统；2002年5月湖南省国税局入侵检测系统；2002年7月湖南省公安厅入侵检测系统、网络防病毒系统，漏洞扫描系统；2002年7月湖南省地税局入侵检测系统、漏洞扫描系统。2002年8月某大学入侵检测系统2002年9月某市地税局入侵检测系统2002年10月湖南省株洲列车电力机车厂入侵检测2、网络计费系统2.1企业上网中存在的问题1）企业专线（含ADSL等）接入互联网存在很多亟待解决的管理问题毫无疑问，互联网将信息交流提升到一个前所未有的层次，企业经营人员在获取、收集和发送信息的速度、数量、多媒体的表现形

38、式方面都得到极大的便利，同时相关的成本却降低了。各类企业主或管理人员正是认识到互联网的好处，纷纷开通专线接入互联网，企业内部员工通过局域网就可以方便而快速地享受互联网带来的各种服务。准确地说，专线接入互联网是企业的一种资源，但目前在利用和管理该资源方面却存在着太多的问题，这些问题极大地困扰着企业高层管理人员、人力资源部和IT部门。2）网络资源的不合理使用，并导致工作效率下降根据IDC最新数据报导，企业员工平均每天有超过二分之一的上班时间用来在线聊天，浏览娱乐、色情、赌博网站，或处理个人事务；员工从互联网下载各种信息，而在那些用于下载信息的时间中，62用于软件下载，11的时间用于下载音乐，只有2

39、5用于下载与写报告和文件相关的资料。有27%的美国公司发现员工会将Internet或E-mail用作它途。（美国管理协会2001年度报告）超过77%的美国公司会记录和审查员工的通信内容。（美国管理协会2001年度报告）美国63%的公司会监视员工的网上活动。（美国管理协会2001年度报告）互联网上的内容太丰富了，对企业员工有太多的诱惑，很多的员工沉溺其中，无法自拔，常常把自己的本职工作放在一边，导致企业整体工作效率没有提升反而下降。调查数据显示以下为影响工作效率主要的互联网行为，它们与工作无关而且可能导致更多的问题（比如网络安全等）：n 浏览色情网站；n 浏览游戏、音乐等娱乐网站，下载大量与工

40、作无关的音乐文件，在线听音乐，在线看视频图像等，不仅耽误工作，而且占用大量的网络带宽资源，影响其他人员使用公司的资源；n 浏览相关财经网站，利用公司的资源在线买卖私人股票或浏览相关信息；n 浏览“在线”购物和拍卖网站；n 浏览赌博网站；n 使用即时信息交流软件如ICQ、OICQ；n 3）网络资源的不公平使用，带来严重的带宽问题许多上网人员不停地下载大容量的文件，比如大量的MP3音乐文件；或者在线听音乐、看视频电影、新闻等行为，严重占用网络带宽，造成网络堵塞，上网速度下降，影响其他员工的正常上网行为。管理人员奇怪企业大量投资的专线接入速度一天比一天慢；IT部门经常遭到抱怨，要求提升上网的带宽；而

41、有趣的是抱怨的人中包括那些下载音乐文件或看视频电影的员工。4）上网给企业带来的泄密或信息系统破坏等安全问题任何企业主或管理人员都担心自己内部的机密信息流露出去，而互联网偏偏又方便信息的交流和传递。通过互联网，任何数字文件都可以方便地发送出企业的内部网，正因为如此国外很多公司都对企业内部的电子邮件系统实施定期的检查。但邮件的检查并不全面，因为有很多免费的邮件系统可以利用，它们的使用只要用浏览器就可以；此外即时信息交流软件也可以使用户绕过电子邮件系统而直接发送信息到企业外部。不受限制的上网行为将带来更多的安全问题，比如下载的文件中带有病毒或其它有破坏性的程序；ICQ、OICQ等软件的使用有可能招到

42、网络黑客的袭击，硬盘里的资料和数据被窃取或破坏。想到这些问题，每个管理人员都可能坐立不安。如何解决这些问题呢？5）网络资源的非法使用，使企业有可能陷入法律纠纷在国内，法律规定了很多网站是非法的，比如有色情内容的、与反动政治相关的、与迷信和犯罪相关的等等。使用专线接入互联网后，企业内部网某种程度上成了一种“公共”上网场所，很多与法律相违背的行为都有可能发生在内部网中。事实上，这是很多企业要加强企业网络管理计费的最初的原因。另外一个日渐显露出来的问题是网络黑客利用企业专线入网的条件，实施非法的网络攻击，发送病毒文件等，这都给企业上网带来了很多可能引起法律纠纷的隐患。企业目前缺乏有效的工具在相关事

43、情发生后提供数字化证据。6）企业缺乏对网络资源使用进行量化的标准和工具网络资源作为一种电子化的资源，在是通过企业内部的局域网共享的，网络中的每个登录用户都能使用。专线上网后，到底是哪些人在使用该资源，使用的程度如何，如果要进行相关的成本核算，并把专线接入的成本划到企业内部的每个成本中心，怎样做才是最有效的呢？互联网或者说信息技术确实是一个“神奇”的东西，在不同的人、不同的组织、不同的企业环境中，它带来的影响是充满矛盾的，能提高企业的工作效率、增加企业的竞争力、降低企业运营成本；另一方面，它却能降低企业的工作效率、给企业带来很多威胁和安全隐患。那么，到底要不要用它？答案其实很简单，肯定要用，但是

44、必须对它实施有效的管理，就象管理其它的企业资源一样。2.2企业网络管理计费需求的发展面对上述如此众多的问题，企业管理人员都会想到对内部员工上网行为进行管理。通过对美国和我们国内相关情况的研究，企业这方面的需求从简单到复杂，经历了下面几个阶段。n 互联网接入控制阶段最初的阶段是严格控制员工的上网，我们称之为互联网接入控制阶段，方式比较简单。企业建立网络地址数据库，规定哪些网站不能访问。几乎大部分网站都被屏蔽，不允许员工在企业网内访问，即使是非工作时间照样禁止。n 初步的互联网接入管理阶段第二阶段是初步的互联网接入管理阶段，以保持企业的工作效率为目的，通过建立相关的互联网接入策略和管理功能，能实施

45、对不同人员、不同部门的上网权限管理和资源分配，有部分报表系统显示简单的员工访问互联网的记录。n 企业网络管理计费阶段第三个阶段是真正的企业网络管理计费阶段，以提高企业的工作效率为目的，企业不但建立相关上网策略，更进一步和企业信息系统安全、企业知识管理等结合起来；能更好地分配网络资源，比如对不同对象实现不同的网络带宽分配；建立详细的员工访问互联网的日志，提供详细的报表，能帮助企业管理层分析员工的上网行为，并对上网的策略进行相关调整，让互联网成为企业的最有效的工具。在上述三个阶段中都有不同的产品相适应，帮助企业实现对专线上网资源的不同层次的管理。就目前的情况而言，各企业在选择产品方面都希望企业网络

46、管理计费的功能比较强大，能帮助企业管理人员、人力资源部门和IT部门解决各自的问题。NetCharge 企业网络管理计费系统就是一个很好的工具。2.3 NetCharge 企业网络管理计费系统技术详解NetCharge 企业网络管理计费系统，是一个对企业内部网与互联网之间传输的数据进行监控管理的硬件系统。该系统采用了先进的架构和技术，不同于传统的基于代理的互联网接入控制系统的工作方式，克服了其无法克服的技术瓶颈，从功能、性能、效率、安全性等方面全面超越传统的互联网接入控制系统。NetCharge 企业网络管理计费系统集中了多项先进实用技术，如系统的桥接工作方式、基于帐号的审计方式、包过滤、基于状

47、态的内容检测、带宽管理、通信加密等。1）系统的桥接工作方式NetCharge 企业网络管理计费系统以网桥的方式连接在内部网的出口上。网络上流入、流出的数据包都要通过该系统，系统可以根据用户需要对具有某种特征、状态的数据进行记录，处理，有效实现对网络数据的监控。网桥方式的连接，具有以下几个优点：n 不占用IP地址：不仅节约了网络资源，还避免了对网络上现有设备配置的改动。n 不改变现有的网络拓扑结构：该系统对用户的网络结构无特殊要求，使用该系统不会对用户现有的网络拓扑结构造成影响。n 效率高：与基于路由的工作方式相比，不仅避免了繁琐的路由表的维护，还提高了数据传输的效率。n 透明：系统的内外两个接口没有IP地址，对内、对外都是透明的。n 安全：没有IP地址和端口，有效防止了网络黑客对系统的攻击行为。2）基于帐号的审计方式NetCharge 企业网络管理计费系统不仅支持基于IP地址的审

展开阅读全文