武汉大学图书馆上网管理建设方案
5) 在限定的时间和规模内,努力降低费用支出,提高系统的性
能价格比。
6) 采用成熟的先进技术,兼顾未来的发展趋势,既量力而行,
又适当超前,留有发展余地。
7) 充分发挥各方面的积极性,计算机网、信息网与网络安全审
计系统同步建设。
8) 抓紧组织队伍建设,完善规章制度,加强相关人员的培训工
作,培养一批基层信息网络管理员队伍。
9) 为武汉大学图书馆阅览室信息中心的领导决策、日常业务、
科研及行政管理提供各种数据依据。
2.3 主要技术路线
图书馆本次项目的主要技术路线如下: 1) 采用成熟/先进的技术。
2) 统一技术规范、标准和方案、统一组织实施。 3) 基于TCP/IP为主的通信协议。
4) 注意通信保密和数据安全,建立完善的网络安全管理系统。
5) 采用可靠、先进、高效、功能丰富的网络管理设备和完善、合理的规章
制度。
三 总体设计
3.1 设计原则
武汉大学图书馆阅览室网络信息安全建设项目是一项重要的网络工程,其设计是否合理,对武汉大学图书馆阅览室信息化的发展起着极为重要的作用。
网络信息安全建设项目是一项系统工程,其总体设计的确定,不仅要考虑到近期目标,还要为系统的进一步发展和扩充留有余地。整个网络的建设不是一朝一夕可以实现的,必须分步实施,设计中需要考虑各阶段的情况,适应长远发
第5页 共26页
武汉大学图书馆上网管理建设方案
展,进行统一规划和设计。
本项网络安全建设工程应尽可能采用成熟先进的技术,使用具有行业领先水平的计算机系统和技术手段,这些技术手段应该在相当长的时间内保证其先进性。开发或选购的各种软/硬件也尽可能先进,并有相当长时间的可用性。
建设后的网络审计系统工程应具有良好的开放性。这种开放性靠标准化实现,使得符合这些标准的计算机系统很容易进行网络联接。为此,必须依赖于全网统一的网络体系结构,并遵循统一的通信协议标准。网络体系结构和通信协议应符合广泛使用的国际工业标准和总体设计要求,使得整个网络成为一个完全开放式的网络计算环境。
武汉大学图书馆阅览室网络信息安全建设项目的总体设计原则如下: 1) 先进性
由于信息技术发展迅速,人们对信息的要求也越来越高,所以,制定审计方案时必须考虑一定的先进性。否则就很难避免出现项目建成之时也就是技术落后之日的尴尬局面。同样,在审计安全审计系统设计上如果没有适当的超前,一段时间之后,就会出现信息安全审计系统性能无法满足需要的被动局面。
2)安全性
网络信息安全审计产品自身的安全性是衡量产品性能优劣的重要因素。但同时由于其开放性,也使得其面临着越来越大的安全威胁。这种威胁既来自于网络的外部,也来自于网络的内部,即可能由于用户有意或者无意的数据侦听,暴力登录等。审计系统产品的安全措施必须有效可信,能够在多个层次上实现安全控制。
3) 可靠性
使用网络安全信息审计系统的目的在于使用户方便、快捷、准确地获取各种信息,提高网络的使用率。因而,安全信息审计系统运行可靠性就显得非常重要。如果审计系统产品故障频繁,时常出错,就会使网络安全审计失去意义,甚至变成负担。因此在软、硬件的设计选择时,可靠性问题必须给予足够的重视。
4) 统一性
统一性直接关系着审计系统的管理、维护、培训及使用效率,因而在可能的条件下,保持系统统一性就显得十分必要。网络信息安全审计系统应采用统一的
第6页 共26页
武汉大学图书馆上网管理建设方案
TCP/IP网络协议,统一的浏览器查询软件,统一的浏览界面及操作方式。
5) 可扩展性
能够在规模和性能两个方向上进行扩展,扩展后的性能有大幅度提高。 6) 易操作性
鉴于部分权限用户的计算机应用水平相对不高,因此在界面设计时一定要考虑易操作性。如果操作过于复杂,就会使用户难以配置和使用,最终导致审计系统无法真正运转。
7) 经济性
应以较高的性能价格比构建网络信息安全审计系统,使资金的产出投入比达到最大值。能以较低的成本、较少的人员投入来维持系统运转,提供高效能与高效益。尽可能保留并延长已有系统的投资,充分利用以往在资金与技术方面的投入。
3.2 网络布署方案
以下是针对武汉大学图书馆阅览室的安全审计系统的布署安装示意图:
第7页 共26页
武汉大学图书馆上网管理建设方案
公网防火墙端口镜像用户名管理服务器核心交换机任天行审计系统二层交换机三层交换机二层交换机三层交换机宽带用户宽带用户宽带用户宽带用户宽带用户宽带用户宽带用户宽带用户
说明:1. 要求接任天行审计设备的能够提供数据捕包分析;
2. 要求审计设备的通讯口和所有终端能正常通讯,并对日志能留存90天。
四 产品核心技术及设计优势
4.1 产品核心技术
● 高性能的捕包机制
系统采用旁路监听技术,无需改变现有网络结构和其它系统设置,对网络速度没有任何影响。采用具有自主知识产品的核心捕包技术,在操作系统级对底层分析引擎进行了修改和全面优化,并且对硬件的驱动程序进行了改造,大大提高了系统的数据捕获和处理能力,使系统在高数据带宽下的性能比采用WINDOWS和LINUX系统下流行开源代码完成数据捕获的网络内容分析
第8页 共26页
武汉大学图书馆上网管理建设方案
产品性能高出一倍以上。
● 高效数据还原技术
系统利用网络侦听技术实现数据捕获,采用高效的并行协议还原算法将原始数据还原至网络层、传输层及应用层数据。能够还原分析的应用层协议要求有:FTP、TELNET、SMTP、POP3 、HTTP,MSN,YAHOOMESSENGER,游戏等。
● 高效的过滤引擎
采用URL过滤技术。过滤引擎接收传送过来的HTTP访问请求数据包,将HTTP访问请求与用户的静态或动态策略进行实时对比,判断用户是否具有该URL的访问权限;如为非法访问,则向用户发送屏蔽页面,阻断用户访问,同时记录控制范围内的用户所有的HTTP访问行为。URL网址过滤数据库可以自动进行更新。过滤引擎处理能力强,可扩展性高。
● 有效的应用封堵技术
基于旁路监听的设备由于并非串接在网络中,所以在封堵许多网络应用时,不能象网关型串接设备那样,简单地判断出包的应用类型后把包丢弃即可,而是通过发送伪造数据包以打断真实的通讯。这要求发送的伪造数据包足够真实,达到乱真的效果,同时速度很快,远在真实的数据包返回前,即已欺骗成功,打断了原有的网络通讯。任天行充分准确分析各种应用协议,解包,组包都在几毫秒以内,能有效地封堵现流行的各种网络应用。
● 高效的关键字分析技术
采用了高效的匹配算法,完成对内容关键字的匹配,提高过滤文件的效率。过滤文件的时间与文件的长短成正比。使得只需对内容扫描一遍,就可匹配完所有设定的关键字。通过该算法保证了系统可以配置足够多的关键字表达式,保证了系统关键字匹配的性能。
● 高可用性的界面设计
系统的用户操作全部通过浏览器方式完成,而这种B/S模式的用户界面存在以下优点:
1、 对用户环境没有任何特殊要求,无须用户为满足产品使用进行任何环境
的改变;
第9页 共26页