针对秘密信息,通过网络安全手段对这部分用户进行逻辑隔离,并对其传输的数据进行加密,使其他人员即便获取到相关信息也无法使用。另外通过端点准人功能配合交换机的访问控制,确定用户访问涉密服务器的权限,利用数据库加密技术确定访问级别,确保对涉密信息的可控性。
在数据中心设立相关涉密安全信息保密系统,通过系统下发安全策略。在有传输秘密信息的终端用户安装客户代理端,保证涉及秘密信息的终端与相关服务器数据通信时实现信息加密,同时在存有涉密信息的服务器端安装监控加密程序,以实现对涉密服务器访问的身份识别及对信息访问的权限分配。
对于机密级单位,按照国家保密局相关规定,涉密单位网络应物理隔离,不允许与其他非涉密网络有连接。在机密单位内部建立可信网络保密系统和可信桌面系统。通过设立可信网络保密系统,控制内部信息不外泄,防止内部人员私自接人外网;利用可信桌面系统,保护涉密终端的安全,设置登录权限,保护加密终端内部数据。同时在保密部门设置相关弱电保密产品,在保证网络应用安全的同时确保涉密单位办公环境也达到保密要求。
通过安全平台下发主机监控与审计系统安全策略,保证内部网数据不被恶意盗取,防止外接设备随意连接到终端,防止网络内部通过嗅探器等非法手段获取非授权信息,同时避免用户采用其它方式将内部网数据传输到外部网络,杜绝终端用户在未经授权的情况下擅自使用各种I/0设备、计算机外设、移动存储设备等。
3 智能管理中心
智能管理中心是整个网络管理平台的核心。在整个企业网络解决方案中网络设备并不是孤立存在的,网络设备之间也需要沟通与协调。
只有通过智能管理中心进行有效的集成之后,才能让整个网络联动起来,通过智能管理中心实现用户、资源和网络设备的融合管理,通过松耦合、分布式、易扩展的开放管理平台,提升业务融合能力。基于全网资源的统一部署、管理和调配,实现路由器、交换机、防火墙、终端等网络设备管理以及桌面和网络资产的统一管理,为业务融合、资源调度和自动化协同响应提供必要手段。
(1)智能管理中心的架构
利用合理的系统体系结构,建立集中的、统一的监控管理服务平台,规划合理的平台体系结构,对业务服务质量、系统运行状况、故障报警、设备运行状况、运维流程监控等进行实时监控、集中管理。
智能管理中心的各监控系统需要实现有机联系,提供一个统一的事件管理平台并汇总成网络管理知识库,通过开放接口,汇总各个子系统的故障和事件等,进行网络事件的过滤、转发、自动响应、报警等处理。网络管理知识库承上启下,在整体网络架构中负责对网络事件进行智能集成。
(2)智能管理中心日志
智能管理中心的日志审计系统可根据需要,通过各种条件的组合对网络日志及相关的设备事件进行快速分析。针对各种不同类型日志的分析,形成相关报表,帮助管理人员了解网络现状。
NAT1.0日志记录经过NAT转换前的源IP地址、源端口,经过NAT转换后的源IP地址、源端口,所访问的目的IP、目的端口、协议号、开始时间、结束时间、操作字等关键信息。
FLOW1.0曰志记录包括源IP、目的IP、源端口、目的端口、流起始时间、结束时间、操作字等关键信息。
DIG1.0日志记录探针型采集器直接从交换机的镜像端口采集到的用户上网信息,对用户访问外部网络的数据流进行分类统计,生成探针日志记录。
DIG1.0日志包含两种格式日志,DIGFLOW1.0和DIGEST1.0.DIGFL0w1.0日志内容为IP层数据报文信息,其中包含数据报文的流量信息和协议类型信息,而DIGEST1.0日志内容为应用层协议数据报文信息,包含数据报文的摘要信息。两种格式的DIG1.0日志在采集器进行日志采集的同时生成。
DIGFLOW1.O日志记录包含以下内容:开始时间、结束时间、源IP地址、目的IP地址、源端口号、目的端口号、协议类型(目前区分TCP、UDP和 IcMP三种协议)、输入包个数、输出包个数、输入字节数、输出字节数;DIGEST1.0日志记录包含以下内容:开始时问、结束时间、源IP地址、目的 IP地址、目的端口号、摘要信息(目前支持HTTPTIP协议、FTP协议、SMTP协议报文)等。
(责任编辑:闫小琪)
