3.5. 业务层解决方案
3.5.1. 设备冗余及网络存储配置建议
业务系统的可靠性和可用性是网络安全的一个很重要的特性,可靠性与可用性的重要基础是各种设备的冗余配置,下面我们对业务系统的涉及到的设备(主要是服务器和存储系统)进行分析,并给出建议性的配置方案,主要包括:
服务器可以采用的冗余配置主要包括冗余电源、冗余CPU、冗余网卡等重要的配件的冗余配置,对于核心服务器可以采用双机热备措施来保证服务的不间断性,现在有很成熟的系统支持这种应用模式。
存储系统的冗余配置是最重要的,因为数据安全才是整个安全系统的根本目的,数据的可靠性和可用性是数据安全的根本。存储系统主要的冗余配置模式是磁盘阵列系统,现在磁盘阵列技术已经发展得很完善了,各种现有的存储设备对磁盘阵列的技术的支持也已经完善了,另外在磁盘阵列的基础上发展起来的网络存储系统(SAN、SNA),提供了更高的存储性能和可靠性。
3.5.2. 漏洞扫描及安全评估系统的配置
为了事先发现网络中各种操作系统和应用平台的安全性,可以采用漏洞扫描系统对重要的服务器先进行扫描,以发现系统中可能存在的安全漏洞和安全薄弱环节,通过漏洞扫描系统可以解决我们前面分析的操作系统以及服务平台的安全隐患。
漏洞扫描系统在网络当中并不是一个实时启动的系统,只需要定期挂接到网络中,对当前网段上的重点服务器(如WEB服务器、邮件服务器、DNS服务器、主域服务器等)以及主机进行一次扫描,即可得到当前系统中存在的各种安全漏洞,并会针对性地提出补救措施。
3.5.3. 应用系统开发中加强安全机制
我们建议营口高级中学在应用系统开发时,要在应用程序中加强对程序代码的控制,提高应用系统自身的安全性,在开发应用系统时,有以下几个方面要特别注意:
1) 要加强对输入的判断,除了在浏览器端要进行简单的判断之外,更主要的是要在服务器端做相应的判断:一要检查输入值的长度和大小;二要检查输入值中是否带有非法字符,特别是在WEB应用中的单引号和一些控制字符。
31
2) 在调用数据库资源时,要使用类似ODBC的接口,不要把数据库对象、对数据库具有操作权限的用户名、帐号等信息泄漏在WEB CGI程序中。
3) 很多数据库在安装之后会有一个缺省的管理员帐号,且其口令一般为空或是通用口令,数据库管理员要及时更改这些帐号,并且设置高强度的口令字。
4) 在WEB服务器上,要检查每一个目录、文件上的权限是否合适,如是否可以列表、读取、执行等,源程序或脚本是否可下载等。
4. 校园管理中心设计
4.1. 数字化校园管理综述
“十五”期间数字化校园信息化建设取得了辉煌成果,基本实现了高带宽、广覆盖、可运营、可管理的数字化校园硬件平台,完成了学校基本的教学、科研、管理和服务系统的信息化建设。具体来说,在基础设施建设方面,完成了万兆校园网改造、升级,解决了骨干带宽、出口带宽的问题;大规模的建设了学生宿舍区和新校区的网络,实现了校园网络的大范围覆盖问题;开展了认证、计费、管理和网络安全方面的建设。在应用系统建设方面,实现了网络教学系统、数字化图书馆系统和网络实验室系统等面向教学和科研的应用系统;在校园管理信息系统、办公自动化系统、社区服务系统、一卡通系统等方面也取得了一定的成绩。
但当前数字校园网络还面临许多挑战,在解决了带宽和覆盖问题的同时,校园网络需要进一步优化,校园网管理需要更加智能和易用。随着信息技术的发展,为提高办公效率及改善教学环境,当前的学校越来越多地应用了信息技术,对于网络的依赖性也越来越大,学生需要上网查阅资料、吸收新知识、接受网上教学,老师需要借此了解最新科研进展。校园网络上通常承载着学校的办公系统、教学系统及学生宿舍网络系统,网络如果发生问题,会对学校的正常运作产生严重的影响。随着网络基础架构日趋复杂,传统的设备命令行、简单的管理工具已经不能够满足网络管理的需求。业界的经验证明,选择一个优秀的网络管理系统是保证网络最大可用性的有效手段。
4.2. 集成化管理平台
我们专注于IP产品与相关技术的研发、生产和销售,具备完善的产品技术、客户服务、渠道、认证培训体系,为您提供客户化、特性丰富、性价比高的网络产品与解决方案。作为业界领先的网络设备与解决方案供应商,提供包括网络管理、用户管理、业务管理等全面的管理解决方案。
解决方案的统一管理中心,基于SOA架构,采用灵活的组件化结构,支持与Openview、SNMPc等通用网管平台的集成,支持集成各多厂家设备管理系统,与的数据通信设备产品一起为用户提供
32
全网解决方案,帮助客户真正实现网络的按需构建。
为用户提供了灵活的组件化结构,包括网络管理平台、智能配置中心(iCC)、ACL管理、MPLS VPN管理、用户接入管理、解决方案、无线管理、EPON管理等业务组件,用户可以根据自己的管理需要和网络情况灵活选择需要的组件,真正实现“按需建构”。
管理系统由网络管理平台以及各个业务组件组成,管理平台提供网络管理的一些基础功能,比如故障管理、性能管理、资源和拓扑管理、用户管理等,而业务组件提供了相应的业务管理功能;各个业务组件相对独立,并可以无缝的集成在管理平台中,使得整个系统具有很强的可扩展性。
网络管理平台实现网络资源、用户和业务的融合管理,提供基本的网络资源管理、拓扑管理、故障管理、性能管理、用户管理及系统安全管理,基于B/S架构,可以与其他业务组件有效集成,形成多种解决方案。
网络管理平台不仅可以实现全线数据通信产品的管理,也可通过标准mib实现对Cisco、等各主流厂商的数据通信设备管理。
4.2.1. 系统安全管理
系统安全管理功能主要有包括:操作日志管理、操作员管理、分组分级与权限管理、操作员登录管理等。
系统管理员实时监控在线操作员登录安全策略定期修分组分级权限管理记录所有操作码密改
所包含的主要功能有: 操作员登录管理
管理员通过制定登录安全策略约束操作员的登录鉴权,实现操作员登录的安全性,通过访问控
33
制模板约束操作员可以登录的终端机器的IP地址范围,避免恶意尝试另人密码进行登录的行为存在,通过密码控制策略,约束操作员密码组成要求,包括密码长度、密码复杂性要求、密码有效期等,以约束操作员定期修改密码,并对密码复杂性按要求设置。
操作员密码管理
管理员为操作员制定密码控制策略,操作员仅能按照指定的策略定期修改密码,以保证访问系统的安全性。
分组分级权限管理
管理员通过设备分组、用户分组的设置,可以为操作员指定可以管理的指定设备分组和用户分组,并指定其管理权限和角色,包括管理员、维护员和查看员,实现按角色、分权限、分资源(设备和用户)的多层权限控制;同时通过设置下级网络管理权限,可以通过限制登录下级网络管理系统的操作员和密码,保证访问下级网络管理系统的安全性。
操作日志管理
对于操作员的所有操作,包括登录、注销的时间、登录IP地址以及登录期间进行的任何可能修改系统数据的操作,都会记录详细的日志。提供丰富的查询条件,管理员可以审计任何操作员的历史操作记录,界定网络操作错误的责任范围。
操作员在线监控和管理
系统管理员通过“在线操作员”可以实时监控当前在线联机登录的操作员信息,包括登录的主机IP地址、登录时间等,同时,系统管理员可以将在线操作员强制注销、禁用/取消禁用当前IP地址等控制操作。
4.2.2. 资源管理
资源管理与拓扑管理作为整体共同为用户提供网络资源的管理。本节讲解资源管理,下节讲拓扑管理
通过资源管理可以: 网络自动发现
可以通过设置种子的简易方式、路由方式、ARP方式、IPSec VPN、网段方式等五种自动发现方式自学习网络资源及网络拓扑,自动识别包括:路由器、交换机、安全网关、存储设备、监控设备、无线设备、语音设备、打印机、UPS、服务器、PC在内的多种类型网络设备;
网络手工管理
可以手工添加、删除网络设备,可以批量导入、导出网络设备,批量配置Telnet、SNMP参数,以及批量校验Telnet参数等辅助功能;
网络视图管理
支持IP视图、设备视图、自定义视图、下级网络管理视图等多种管理视图,用户可以从不同角
34
度实现整个网络的管理;
网络设备的管理
从任何一种网络视图入口,都可以实现对网络设备的管理,包括:支持对设备的管理/去管理、接口的管理/去管理、设备的详细信息显示和接口详细信息显示、设备和接口实时告警状态、设备和接口的实时性能状态、实时检测存在故障的设备等,用户可以方便的实现所有设备的管理。
设备及业务管理系统的集成管理
支持对、CISCO、等主要厂家设备的管理,支持手工添加设备厂商、设备系列及设备型号;支持设备面板管理的动态注册机制,实现与各厂家设备管理系统的有效集成;支持拓扑定位、ACL、VLAN、QoS等业务管理系统的集成,实现设备资源的统一管理。
设备分组权限管理
支持设备分组功能,通过对设备资源进行分组管理,系统管理员方便的分配其他管理员的管理权限,便于职责分离。
4.2.3. 拓扑管理
拓扑管理从网络拓扑的解决直观的提供给用户对整个网络及网络设备资源的管理。拓扑管理包括:
拓扑自动发现可以自动发现网络拓扑结构,支持全网设备的统一拓扑视图,通过视图导航树提供视图间的快速导航。通过自动发现可以发现网络中的所有设备及网络结构(具体参见资源管理),并且可以将非SNMP设备发现出来,只要设备可以ping通即可。这样就可以将所有网络设备都列入其管理范围(只要设备IP可达)。同时支持自动的拓扑图呈现和自定义拓扑。自动拓扑可以自动将网络中的逻辑连接关系显示出来,同时可以保存为自定义拓扑图并可根据具体情况进行修改以便于网管员对整个网络设备的监控。
支持对全网设备和连接定时轮询和状态刷新,实时了解整个网络的运行情况,并且刷新周期是可定制(刷新周期:60~7200秒),同时也支持对多个设备的刷新周期进行批量配置的功能。
支持自定义拓扑
传统的网络管理软件大多支持自动发现网络拓扑的功能,但是自动发现后的网络拓扑往往是很多设备图标的简单排放,不能突出重点设备和网络层次,使网络管理人员感觉无从下手。
针对这种情况,网络拓扑功能支持灵活的自定义功能,管理人员可以根据网络的实际组网情况和设备重要性的不同灵活定制网络拓扑,可对拓扑图进行增、删、改等编辑操作,使网络拓扑能够清晰地呈现整个营口高级中学的网络结构以及IT资源分布。
支持灵活定制拓扑图,使网络拓扑更有重点和层次感。管理员可以按照关注设备不同,管理角度不同定义多种拓扑,并可以针对拓扑不同选择不同的背景图;管理员可以根据网络设备的重要性不同,链路速率不同采用合适的图标显示。例如:对于校园网,用户可以定制校园分布图、办公楼
35