第 1 章

1.1. 方案背景


随着信息化技术的飞速发展，用户经营管理对计算机应用系统的依赖性增强，计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大，网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。信息安全防范应做整体的考虑，全面覆盖信息系统的各层次，针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程，事前、事中和事后的技术手段应当完备，安全管理应贯穿安全防范活动的始终。


1.2. 网络安全管理的需求


要实现网络安全的目的，需要网管能提供两方面功能， 一是网络安全管控功能，从权限、设备配置、非法设备识别等方面来保证网络架构安全， 二是网络运行管理功能，通过设备告警、性能等方面来保证网络的运行安全。


1.2.1. 网络安全管控

1. 访问控制，完善的权限管理
   可以对不同的管理人员分配不同的操作权限，可以对不同的管理人员分配不同的网络，做到粗、细粒度的权限控制，避免越权管理。同时，针对危险操作，能够有良好的提示以及提供日志记录。
2. 提供安全管控功能
   网管提供安全控制功能，支持通过网管简单操作，完成对设备的用户、各种服务、VLAN、QOS、端口限速、静态路由等进行配置的功能。
   网管提供端口控制功能，支持通过网管简单操作，完成对设备的端口状态、dot1x、STP、端口应用 VLAN、QOS 策略等进行配置的功能。
3. 网络接入设备控制
   当网络中非法设备接入时产生告警通知网管人员。

   1.2.2. 网络运行管理

4. 故障发现与故障通知
   设备故障出现时可以立刻通知到管理员，快速定位到故障环节，以便于快速恢复系统。
5. 设备性能监视
   实时获取网络设备性能数据，对于设备的端口流量、数据库读写速率、CPU 负载等性能全面掌控，提前避免由于设备性能带来的网络运行不安全事件发生。

   第 2 章 智和网管平台网络安全管理解决方案

   智和网管平台 SugarNMS 网络安全管理解决方案，是基于网络安全的特殊需求提出的定制化解决方案，通过网络安全管控和网络运行管理功能，来达到网络安全的目标。

   2.1. 核心解决方案

   智和网管平台网络安全管理解决方案，实现了权限管控、安全控制、端口控制、策略对比、接入设备控制、故障管理、性能监控等功能。

   2.1.1. 权限管理与控制

   智和网管平台采用多种权限管理方式，可以对用户分配只读权限，可以对用户分配不同的功能菜单，也可以分配用户不同的网络管理权限，通过多种权限控制，做到了完善的权限管理，避免出现越权管理 ，保证网络安全。同时，系统中的日志模块会记录各个用户对系统的操作情况，包括操作时间、内容、操作人等信息，便于及时的排查问题。

   2.1.2. 安全管控功能

   安全控制 ：智和网管平台通过对不同设备的配置命令进行分析，使用多线程技术、远程连接技术实现特定配置命令的下发，来实现对设备的用户、各种服务、VLAN、QOS、端口限速、静态路由等功能的配置，控制网络访问，保证减少网络受到的入侵攻击，实现网络安全。
   端口控制： ：智和网管平台通过 SNMP 协议操作设备和对设备下发配置命令，来实现对端口状态、dot1x、STP、端口应用 VLAN、QOS 策略等功能的配置，从端口层面来实现网络安全。
   
   策略比对 ：智和网管平台提供设备配置策略的比对功能，可以智能化地对策略信息进行分析，将不同策略的异同差异化地展示给用户，以便用户确认策略配置。
   

   2.1.3. 接入设备控制

   智和网管平台通过安全管理审计模块，添加黑名单、白名单、mac-ip 绑定等管理策略，网管人员只需提前做简单配置即可及时发现非法接入设备。当非法设备接入时网管及时产生告警通知网管人员。
   

   2.1.4. 全面性网络运行管理

   1 、故障发现与故障通知
   智和网管平台通过多线程主动轮询以及接收设备 trap/syslog 等上报信息来发现网络中存在的故障，并通过拓扑图实现设备的快速定位，使用软件界面、邮件通知、短信通知多种方式来通知网络管理人员，保证了网管人员及时掌控网络运行的异常信息。
   
   2 、设备性能监视
   智和网管平台通过多线程主动轮询机制获取路由器、交换机、数据库、中间件等设备的性能信息，并将性能信息以统计图与列表的方式展现给用户，让用户直观地掌控网络设备运行情况。
   

   2.1.3 通用网管功能

   除了优秀的网管安全管理功能，智和网管平台还提供了全面的网管功能，如提供拓扑管理功能，并支持拓扑显示网络告警，支持拓扑完成各种网管操作；提供扩展功能，支持通过配置扩展支持的设备类型、资源类型、监视器任务；提供业务管理功能，通过表格和拓扑的方式实现对业务的查看和管理。

   2.2. 应用价值

   采用智和网管平台网络安全管理解决方案，可以有效管理网络运行状态，防范和组织网络不安全事件发生。
   1、实现用户分级、网络分级的权限管理。
   2、实现操作简单、功能强大的安全控制、端口控制、策略比对功能。
   3、实现接入设备控制。
   4、实现故障及时发现和通知。
   5、实现全方位掌控网络的安全运行。

   第 3 章 方案技术特征和优势

   3.1. 技术特征

   智和网管平台网络安全管理解决方案，主要具有以下技术特征：
   1、使用 JAVA 多线程技术，实现对网络安全的高效管控。
   2、使用 SSH、Telnet 等远程连接方式，实现对网络设备的命令下发。
   3、对要管理的设备进行命令分析，处理要发送的命令和设备返回的结果。
   4、通过 SNMP 获取设备信息，产生告警和性能数据，处理 trap/syslog 数据。
   5、通过主动发现网络中的 MAC、IP 信息，与用户设置黑白名单进行比对，实现准入控制。
   6、建立高效的消息队列，实时推送消息事件。
   7、运用成熟的 JAVA 框架，如 Spirng、Struts、Hibernate、WebService、WebSocket 等
   

   3.2. 方案优势

   3.2.1. 产品优势

   智能化 ：一键式智能化网管，一键搜索、发现、识别网络设备、资源、链路，智能化故障管理，最大限度提高产品的易操作性，提高管理效率并降低成本。
   具象化:自动生成拓扑图，全面完整呈现网络的拓扑结构，实现具象化网络管理方式，极大的降低了 IT 管理的难度。
   自动化:自动发现、识别设备、资源、链路，智能分析链路逻辑从而自动生成拓扑图，简化用户操作步骤，降低管理环境搭建时间。
   个性化:个性化定制开发、系统集成，满足用户不同需求，用户可以随心定制出符合需求的网管平台，并对平台功能不断更新，以满足日益变化的管理需求。
   国产化：完全支持国产处理器、服务器、操作系统、数据库，改善国内基本没有支持国产化平台的网管软件的情况，满足用户日益增多的信息建设国产化需求。
   秒级监控：领先的秒级监控能力与多线程任务并发技术，监测频率提升到秒级，最低可设为 5 秒，实时、精确、高效、稳定监测设备。
   稳定性：电信级软件架构的微内核精简技术，100% Java 多层分布式技术，提供了电信级可靠性保障。支持容灾方案以及双机备份设置，最大限度保障网管数据的安全。
   易用性：产品以用户为中心进行设计，界面设计友好，产品功能易见易学易用。
   兼容性：采用 Java 跨平台技术，完美兼容主流/国产系统及数据库，提供 C/S 和 B/S 两种客户端界面，兼容 PC 以及移动设备，让管理随时随地。
   企业级 ：支持大规模组网管理，可直接穿透私网进行监控，支持分布式部署方式，平台易于升级和维护，能够满足未来业务需求的变化。
   私有设备：新的设备类型、未知设备种类，用户无需开发编程，系统提供的 GUI 策略扩展界面，就可完成对新设备的支持。

   3.2.2. 技术优势

   平台技术：Java 跨平台技术，服务端可运行在 Windows、Linux、国产麒麟等操作系统上。支持 MySQL、Oracle以及国产金仓数据库。
   网络环境：穿透私网，监控私网中的网络设备；可同时部署多个分布式 SNMP 采集器，分别对设备进行监控。网管扩展能力 ：提供开放式开发平台和插件代码，具有全面的二次开发、系统集成、功能扩展能力。提供个性
   化的定制开发、第三方系统集成服务。
   系统稳定能力：支持容错方案以及双机热备方案。
   设备管理能力 ：支持多种物理链接发现技术。提供了 IP、网络范围搜索等设备发现途径。全面管理当前设备。
   监控支持：支持 SNMP、Telent、SSH、WMI、JMX、HTTP、JDBC、ODBC 以及其他管理协议进行监控。

   3.3. 产品服务

   开发级服务：提供完善的开发服务，在开发过程中提供开发培训、服务支持以及全面的开发技术文档。
   设备对接调测：为用户提供设备对接调测服务，协助用户完成平台的实施部署。
   技术支持：提供 7*24 小时专门的技术服务工程师热线电话支持，远程在线支持、现场支持等多种服务支持，即时发布消息邮件和技术公告，定期进行系统软件检测、优化和文档更新等。
   故障诊断及排除 ：如果客户的系统出现异常故障，接到电话，技术工程师会在第一时间作出响应，及时调配专业的技术工程师根据项目档案提供在线支持或现场进行抢修，为客户快速、便捷的实施诊断和恢复。
   系统调优 ：技术工程师根据自己的丰富实施经验，针对客户系统性能下降及时找出瓶颈，提出完善的优化方案并付诸实施。及时消除系统隐患，避免造成业务中断；在不增加或减少投资的同时，大幅度提高系统的运行性能和可管理性。
   升级质保服务：提供已有版本的问题修复升级，并持续的开发新功能新版本，不断新增功能。
   监控管理方法库升级 （ 特色服务 ） ：通过下载最新的监控管理方法库，即可实现管理新的设备和更多的监控管理方法。

   第 4 章 部分典型案例

   4.1. 北京市委网管定制项目

   4.1.1. 项目背景

   随着信息化建设的日益推进，各地政府的网络基础架构已经基本成熟，相应的网络设备、防火墙等都已配置得相对完善，在加紧网络安全策略的同时，各地方政府的下一步的信息化重点之一将是加强对网络的管理。因为，政府的信息化需要对网络资源进行有效使用，就是基于网络基础架构的各种应用的持续、稳定运行，而这些也都必须有自动化、智能化的网络管理软件作为保障。

   4.1.2. 核心需求

   能够展示当前网络的基本状况，包括网络拓扑图和告警，能够对机房环境设备（核心空调、UPS 电源、交换机、路由器等）、安全设备、存储设备进行监控，当出现故障时能够及时进行告警通知。
   1. 监控、运维、领导视图界面
      主界面展示的要素包括网络拓扑图，本周运维进度，网络监控/安全监控/应用监控/机房监控情况；拓扑支持以大屏幕形式展示。
   2. 资产管理
      据现有的数据分类进行数据管理维护，支持自定义资产分类管理。设备资产数据采集、资产数据变更日志。
   3. 统一的服务台窗口
      包含公告、值班信息、监控故障信息、运维服务工单信息、值班日志管理和考评、个人工作日志管理和考评等工作内容或操作入口。
   4. 统一的事件管理
      为用户提供了简洁、集中的告警驱动处理机制，支持事件的格式化、过滤、归纳和关联处理，帮助管理员对大量分散的事件进行关联分析，快速定位。
   5. 国产化平台支持，包括国产 CPU、操作系统及数据库。
   6. 技术支持与服务，开发过程中遇到问题，能够得到迅速的解决。

      5.1.3. 解决方案

      智和信通利用公司原有的拓扑图组件、SNMP 组件、网管软件开发平台、智能化网管软件产品的基础上，为客户开发出商用的网管软件产品。针对北京市委的具体需求，智和信通提出的解决方案如下：
   7. 系统可以对网络中的管理对象划分安全域，并进行资产化管理，能够维护资产的基本属性、安全属性、管理属性等，并可以自定义资产标签，实现资产的动态属性扩展。系统提供基于拓扑的资产视图，支持用户自定义资产属性。
   8. 网管系统的客户界面布局清晰、美观，操作便捷直观，程序启动速度和相应速度快，在万级局端和十万级终端负载情况下无操作卡死。
   9. 服务台作为统一的服务窗口，职责不同人员通过自身业务看板为内部 IT 系统使用和维护人员提供统一的 IT管理入口。
   10. 硬件平台国产化：支持部署在国产 X86 服务器，龙芯 mipls 服务器平台，飞腾、申威等国产化平台也支持（与706 所安管保持一致）；数据库：支持多种国产数据库，包括：达梦、金仓、神通、oracle 等。