传统行业

互联网及高新行业

系统网络安全解决方案 2017-11-15 14:18

阳光世博
|
|
|

网络安全重点是保证服务域的安全。网络安全规划要站在企业级的高度,考虑网络、系统、应用各个层面的安全防护,网络架构要具备支持整套安全体系实施的能力,同时满足监管合规需求

如土建、投资、IT业务、规模等的基本要求,同时借鉴行业最佳实践,建立结构完整、体系统一网络架构。

  • 遵循数据中心标准和行业规范

采用成熟网络技术,提高网络的可靠性和可用性 。网络标准化,规范化,资源池化 。

  • 可用性

网络架构必须能够达到并超过业务系统对服务级别的要求。通过多层次的冗余设计和应用先进技术手段,满足业务系统不间断、高质量的访问和灾难备份需求。

  • 可扩展性

网络架构在功能、性能容量、覆盖能力等各方面具有易扩展能力,可适应快速的业务发展对基础架构的要求。

  • 安全性

网络安全重点是保证服务域的安全。网络安全规划要站在企业级的高度,考虑网络、系统、应用各个层面的安全防护,网络架构要具备支持整套安全体系实施的能力,同时满足监管合规需求。

  • 先进性、持续演进能力

网络架构和网络设备采用先进的设计理念和技术,如设备的全正交架构与信元交换、网络的大二层TRILL、SDN可编程、虚拟网络等架构等。

  • 可管理性

网络管理要以全行生产运行管理体系为指导,以新的网络架构为基础,建立符合精细化、自动化、智能化管理要求的一体化管理体系。

  • 绿色智能

网络架构要符合“高效率、高整合、低能耗、低占空、前瞻性”的绿色智能基础架构发展趋势。

遵循上述原则,结合业界最佳实践,本次项目的设计采用当前数据中心网络功能分区、网络分层的设计方法。

 

  • 整体逻辑架构

 

针对总部以及分支增加相应的网络设备及安全设备,主要设备有:核心路由器、交换机、接入路由器、交换机,全区统一网管软件等主要网络软、硬件设备,同时完成对各口岸机构三张网(业务执法专网、视频会议专网、电子政务外网)的安全设备安装和集成工作。同时为保证全区口岸机构各类数据安全、可靠在网络中传输,同时确保各业务应用系统在当前复杂的网络情况中能够有效的防范来自外界的攻击。同时安装部署防火墙、入侵防御、网络漏洞扫描、安全行为审计、系统补丁分发等安全类软、硬件产品和相关产品的集成工作。以及后续的检验本项目实施成效的高级网络渗透测试评估。

 

0.1.1.2.   计算平台

0.1.1.2.1. 主机资源概览

智检内蒙古基础架构计算平台一共需要搭建检验检疫系统各类执法应用、各种数据库服务等。正常情况下需要对每个功能服务器采购1到多台物理服务器,随着虚拟化技术的发展,私有云、公有云及混合云的应用逐渐广泛,在此,我们建议将利用8台X86物理服务器通过虚拟化技术来虚拟出多台服务器满足业务上对内蒙古检验检疫系统基础架构系统主机系统的需求。

内蒙古局当前部分系统应用情况

设备类型

设备型号

数量(台)

操作系统

应用/数据库

软件版本

数据库

IBM X460 4CPU 8G

1

SUSE9 SP3 X86_64

CIQ业务数据库节点1

ORACLE 9.2.0.8 64 bit RAC

IBM X460 4CPU 8G

1

SUSE9 SP3 X86_64

CIQ业务数据库节点2

ORACLE 9.2.0.8 64 bit RAC

IBM X366 2CPU 4G

1

SUSE9 SP3 X86_64

统计数据库

RACLE 9.2.0.8 64 bit

IBM X366 2CPU 4G

1

SUSE9 SP3 X86_64

电子监管数据库

ORACLE 9.2.0.8 64 bit

中间件

IBM X366 4CPU 4G

1

SUSE9 SP3 X86_64

电子监管中间件

Apusic-4.0.2,MQ 5.3.0-7

IBM X366 4CPU 4G

1

SUSE9 SP3 X86_64

通关单联网核查

MQ 5.3 fix13

IBM X3650 2CPU 4G

1

SUSE9 SP3 X86_64

CAS 电子身份认证

 

IBM X3650 2CPU 4G

1

WINDOWS2003 企业版 32位

实验室管理系统

 

IBM X346 2CPU 4G

1

WINDOWS2003 企业版 32位

诚信系统应用服务器

 

浪潮Inspur E290D2 4CPU 8G

1

SUSE9 SP4 X86_64

企业诚信EDI

 

IBM X346 2CPU 4G

1

SUSE9 SP3 X86_64

铁路板查验中间件

ORACLE 9.2.0.8 64 bit

通讯机

IBM X346 2CPU 4G

1

windows2000 AD SERVER

电子报检通讯机

 

IBM X346 2CPU 4G

1

windows2000 AD SERVER

电子转单通讯机

 

联想 PC 1CPU 1G

1

WINDOWS XP SP3

入境废料通讯机

 

行政办公

IBM x3850 4CPU 8G

1

WINDOWS2003 企业版 32位

OA服务器

 

IBM x3850 4CPU 8G

1

WINDOWS2003 企业版 32位

档案管理系统

 

浪潮Inspur E290D2 4CPU 8G

1

Redhat4U7

邮件系统

 

HP

1

WINDOWS2000

国有资产管理

 

HP

1

WINDOWS2000

设备管理

 

 

1

 

榕基漏扫

 

IBM X346 2CPU 4G

1

windows2000 AD SERVER

卡巴斯基服务器

 

IBM X346 2CPU 4G

1

windows2000 AD SERVER

入侵检测和管理

 

辅助管理

IBM X366 2CPU 4G

1

WINDOWS2003 企业版 32位

BE备份服务器

 

IBM X346 2CPU 4G

1

SUSE9 SP3 X86_64

DMP备份服务器(停用)

 

 

0.1.1.2.2. 数据中心计算平台设计方案

新计算平台将在8台高配置的H3C R6800 G2物理服务器上搭建,并且采用HA模式,充分利用较高配置的服务器作为虚拟平台服务器,每台服务器上都安装配置中科睿光Cloudview SVM虚拟架构套件CloudVirtual软件,用于在单个物理服务器实体上,利用服务器强大的处理能力,生成多个虚拟服务器,构建一个服务器资源池,共达到448核CPU,4096GB内存和总带宽达640Gb的I/O能力(每台物理服务器提供2个16Gb光纤通道端口、4个万兆以太网端口和8个千兆以太网端口),而每一个虚拟服务器,从功能、性能和操作方式上,等同于传统的单台物理服务器。在每个虚拟服务器上,就可以安装配置Windows 或linux操作系统,进而再安装应用软件,这样就可以充分利用现有服务器资源,在服务器层面实现业务系统的整合。

在虚拟化服务器基础上,可以整合成动态的虚拟化资源池,从而大大提高资源利用率,降低成本,增强了系统和应用的可用性,提高系统的灵活性和快速响应,实现服务器虚拟架构的完美整合。

软硬件系统在新购的一台H3C CF8820磁盘阵列上或利旧的两台HP 3Par SS7200C磁盘阵列上划分磁盘存储资源池。

软硬件系统在新购的两台HPE SN6000B 16Gb 48口SAN交换机上划分新的zone及相应磁盘空间,支持数据块类型的数据存储。

上述内蒙古局当前部分系统应用可根据需求全部或部分迁移至新的计算平台的服务器资源池。

数据中心计算平台设计图

 

 

 

 

 

 

 

0.1.2. 管理系统定制开发方案

0.1.2.1.   集中管理开发方案

0.1.2.1.1. 关于本方案

本项目是针对针对于甲方标书中要求“设备集中管理系统”中的定制开发内容。管理设备不仅仅可以管理本次投标的防火墙和IPS,而且能够管理“甲方存量安全设备”。以下内容都是针对“甲方存量安全设备”的开发内容

  • 基于设备序列号的设备管理。
  • 当设备发生删除时,与该设备相关的配置项需要全部删除
  • 被管理设备上报变动的IP地址,同时也上报CPU、内存和流量等信息,集中管理能够收集这些信息,并且在图形界面上予以展示
  • 设备管理中应显示每台设备的状态,是否在线,是否同步配置
  • 设备以设备组的形式管理,设备组的配置界面应与设备的原有配置界面相似
  • 当设备组的配置发生变化时,集中管理可以统一推送配置到每台设备上,实现设备的配置与设备组的配置相同
  • 凡是推送失败的设备,要有特殊提示,方便集中管理员处理推送失败的事故
  • 设备组的配置应能够保存既往配置的结果,让管理员一步了然当前设备组已经配置过的选项
  • 下发配置到设备,不应引起设备重启和网络断流等故障现象
  • 设备组下发配置时,如果与设备已有配置相互矛盾,自动覆盖设备已有配置
  • 集中管理可以通过脚本下发的方式为设备统一下发配置
  • 基于设备组的配置是建立在设备组里设备是统一的硬件和软件,但是脚本下发可以忽略硬件和软件以及配置上的差异,直接给予统一命令
  • 脚本应与设备原有的配置文件采用相同的语法
  • 集中管理可以为设备统一升级OS,应能判断OS与设备型号对应关系,避免不一致导致故障
  • 集中管理应具备为现有设备的升级病毒库和IPS库的功能,从公网下载最新的病毒库和IPS库,然后为现有设备进行升级。
  • 基于设备序列号的设备管理
  • 日志类型参照“甲方存量安全设备”的日志类型来定
  • 可以接收冠群金辰防病毒网关和冠群金辰IPS及CNGATE IPS上传的感染病毒文件和抓取的攻击数据包。
  • 可以接收冠群金辰IPS和CNGATE IPS上传的触发的DLP规则的文件。
  • 能够根据“甲方存量安全设备”的日志内容,生成报表,要求支持五十种以上图表类型
0.1.2.1.2. 概述
0.1.2.1.2.1.  项目背景

随着内蒙口岸网络安全保障体系的建设,安全产品会越来越多,也因此会出现很多问题,如:

  • 多种安全设备,不同的报警,如何整合?
  • 海量的事件,如何确定优先级?
  • 如何将网络安全事件与业务风险关联?
  • 如何清楚知道当前的安全风险?
  • 如何计算安全投资的回报率?
  • 安全技术过于底层,安全管理过于抽象,大多数时候背道而驰,如何有效结合?

面对越来越多的安全产品,技术层面更关心如何集中管理不同的安全设备,如何综合分析分布的安全报警;运营层面更关心如何能准确分析现有系统的威胁,如何确定安全事件的优先顺序,如何理顺安全事件管理的流程;决策层面更关心如何从业务风险层面理解安全事件,如何计算和跟踪安全投资回报率。

通过部署统一的安全管理平台,可以为解决技术层面、运营层面和管理层面在安全方面所关注的所有不同的问题提供牢固的基础。

0.1.2.1.2.2.  建设目标

本项目是基于内蒙古自治区人民政府口岸办公室智检内蒙古建设项目的安全体系建设。由于用户已经购买了几家的安全设备,如何充分发挥已有设备的作用,以及把已有设备和新增设备的管理层面上的整合,是本开发项目成功的关键。

0.1.2.1.2.3.  建设原则

软件开发设计原则针对开发的准确性、可靠性、安全性和可维护性四个原则。准确性是避免冗余代码,可靠性是保证代码的输入输出可靠,安全性体现代码的逻辑结构足够严谨避免出现安全问题,可维护性是保障代码编写采用统一规范,方便代码的编辑。

0.1.2.1.3. 需求描述及分析
0.1.2.1.3.1.  概述

集中管理的内容

信息安全是IT领域的重要分支,它不是单纯的IT技术的堆砌,而是集信息学、密码学、管理学、心理学、社会学等多种学科的交叉科学,因此人们对于信息安全的认识也是沿着比较复杂的轨迹发展而来的。

随着部署设备种类和数量的日益增加,其管理工作变得管理工作变得日益复杂。每个设备都有一套独立的管理系统需要学习和掌握,并且都需要独立管理。所以需要通过综合管理平台把所有设备都管理起来。完成统一管理,我们需要针对第三方设备做:

  • 调查目前所用的设备型号、版本
  • 调查目前所用设备的唯一标识、管理端口
  • 调查所用设备所支持的命令和命令含义
  • 调查所用设备的界面设计的内在逻辑

集中管理所支持的厂商

需求分析采用基于不同厂商进行的组织方式。主要分析来自不同厂商的各种资料,目前主要涉及的厂商有:

厂商

产品型号

天融信

防火墙

CNGATE

网络入侵检测

圣博润

堡垒主机

冠群金辰

防病毒网关

天融信

网闸

梭子鱼

反垃圾邮件系统

飞塔

WEB防火墙

北京华御

流量监控

冠群金辰

网络入侵检测
0.1.2.1.3.2.  需求描述与分析

设备管理

配置需要第三方设备进行管理。设备管理主要涵盖以下几方面:

  • 基于设备序列号的设备管理。序列号是设备的唯一标识。我们需要分析不同设备的序列号是否都具有该特性,其格式有无变化。
  • 设备添加和删除管理。当设备被添加时,系统需要为该设备建立相应的配置库。而当设备发生删除时,与该设备相关的配置项需要全部删除。添加设备应可以采用两种方式添加,一是通过集中管理查找设备,二是设备主动上联集中管理
  • 设备的监控。被管理设备需要自动上报变动的IP地址,同时也上报CPU、内存和流量等信息,方便管理员发现问题。
  • 设备的权限获得。添加设备时,集中管理将获得设备的管理权限,通过基于https的REST指令控制每台设备。如果第三方设备不支持REST的话,可以通过SSH方式进行管理。
  • 设备配置同步管理。设备管理中应显示每台设备的状态,是否在线,是否同步配置

配置管理

配置管理能够实现以下功能:

  • 设备以设备组的形式管理,不同管理员可以分配设备组的权限。比如某管理员只能管理某组设备。设备组的配置是设备的共性,比如为设备组中所有设备添加一条策略。设备组的配置界面应与设备的配置界面相似。
  • 设备组中的设备具有同样的硬件和软件属性,设备组具有和设备同样的配置界面,用于配制IP、添加策略等。
  • 当设备组的配置发生变化时,集中管理可以统一推送配置到每台设备上,实现设备的配置与设备组的配置相同。
  • 凡是推送失败的设备,要有特殊提示,方便集中管理员处理推送失败的事故
  • 设备组的配置应能够保存既往配置的结果,让管理员一步了然当前设备组已经配置过的选项下发配置到设备,不应引起设备重启和网络断流等故障现象备组下发配置时,如果与设备已有配置相互矛盾,自动覆盖设备已有配置

脚本下发

脚本下发不同于设备组的配置管理,它是简单地下发一个配置给所选中的设备。主要功能如下:

  • 集中管理可以通过脚本下发的方式为设备统一下发配置
  • 基于设备组的配置是建立在设备组里设备是统一的硬件和软件,但是脚本下发可以忽略硬件和软件以及配置上的差异,直接给予统一命令
  • 脚本应与设备原有的配置文件采用相同的语法
  • 脚本下发不应通过ssh和telnet这种命令控制台,而是通过基于https的REST协议

统一操作系统升级

对被管理设备实现OS的版本统一管理,实现以下功能:

  • 集中管理可以为设备统一升级OS
  • 集中管理应能判断OS与设备型号对应关系,避免不一致导致故障
  • 升级OS采用下发镜像文件,等设备完成升级后,自动上传升级后的版本
  • 集中管理可以同时对上千台设备同时升级

统一病毒库/IPS库升级

集中管理对第三方设备进行统一的特征库的管理,主要实现以下功能:

  • 可以在指定时间自动下载Internet上的库文件
  • 升级采用设备主动连接集中管理升级。集中管理可以验证设备的服务是否到期
0.1.2.1.4. 总体设计
0.1.2.1.4.1.  总体设计目标

通过HTTPS和SSH对第三方设备进行统一配置管理,实现设备的添加删除,设备状态监控,设备配置备份,设备组管理,脚本下发,统一操作系统管理,统一病毒和IPS

0.1.2.1.4.2.  总体设计原则

实现软件的准确性、可靠性、安全性和可维护性四个原则。准确性是避免冗余代码,可靠性是保证代码的输入输出可靠,安全性体现代码的逻辑结构足够严谨避免出现安全问题,可维护性是保障代码编写采用统一规范,方便代码的编辑。

0.1.2.1.4.3.  总体逻辑架构设计

总体逻辑设计图如下:

0.1.2.1.4.4.  设备交互引擎设计

设备交互引擎是通过https的rest命令或者SSH方式与被管理设备进行交互的。为了设计的便捷性,我们为不同型号和不同厂家的设备设计不同的设备交互引擎。交互引擎是根据被管理设备的命令行指令和内在逻辑来设计的。交互引擎负责设备登录,上传配置或者下载配置,反馈上传配置的报错或成功信息,也负责校验设备配置是否与原有配置是否一致,获取被管理设备的CPU、内存、网络等信息。

0.1.2.1.4.5.  设备配置库设计

设备配置库是用于保存被管理设备的配置。我司根据被管理设备的特点、命令结构、内在逻辑等,将其优化为CMDB数据库。CMDB存储与管理企业IT架构中设备的各种配置信息,它与所有服务支持和服务交付流程都紧密相联,支持这些流程的运转、发挥配置信息的价值,同时依赖于相关流程保证数据的准确性。

MDB工具中至少包含这几种关键的功能:整合、调和、同步、映射和可视化。整合是指能够充分利用来自其他数据源的信息,对CMDB中包含的记录源属性进行存取,将多个数据源合并至一个视图中,生成连同来自CMDB和其他数据源信息在内的报告;调和能力是指通过对来自每个数据源的匹配字段进行对比,保证CMDB中的记录在多个数据源中没有重复现象,维持CMDB中每个配置项目数据源的完整性;自动调整流程使得初始实施、数据库管理员的手动运作和现场维护支持工作降至最低。

同步指确保CMDB中的信息能够反映联合数据源的更新情况,在联合数据源更新频率的基础上确定CMDB更新日程,按照经过批准的变更来更新 CMDB,找出未被批准的变更;

应用映射与可视化,举例说明应用间的关系并了解应用和其他组件之间的依存关系,了解变更造成的影响并帮助诊断问题。CMDB建模思路:

  • 配置管理面向消费,发挥数据价值
  • 配置管理以数据和模型为核心
  • 配置管理以整合的思路推进
  • 配置元模型和分视角模型相结合
0.1.2.1.4.6.  单设备管理模块设计

单设备管理模块主要用于设备添加,删除,单设备状态的跟踪,单设备的配置。设备添加和删除是与设备配置库紧密联系的。当设备被添加时,则自动为该设备建立相应的配置库,当设备被删除时,则自动删除该设备的配置库。单设备状态的跟踪是指跟踪设备的CPU、内存和网络流量等信息。设备状态信息一般来说采用设备主动上报为主,单设备管理模块将其存储于数据库,并且做一定的预处理,方便数据的提炼和生成报表。

单设备管理模块主要依据设备序列号作为唯一标识,它可以根据设备上报的IP地址,自动地更新设备信息。即使设备配置发生变化,或者IP变化,集中管理仍旧能够管理该设备。

0.1.2.1.4.7.  特征库管理设计

特征库管理是用于存放不同厂家不同类型产品的特征库,它会保存厂家名称,产品型号,特征库类型,特征库版本等信息。设备交互引擎会会自动连接到被管理设备,查看其现有的特征库版本,并且与特征库管理器中版本对比,根据比较和用户设置,向被管理设备发指令升级其特征库。

0.1.2.1.4.8.  OS文件管理设计

OS文件管理是用于存放不同厂家不同类型产品的操作系统文件,它会保存厂家名称,产品型号,OS版本等信息。设备交互引擎会会自动连接到被管理设备,查看其现有的OS版本,并且与OS文件管理器中版本对比,根据比较结果,向用户提出升级建议。如果用户认为需要升级,则设备交互引擎会向被管理设备发指令升级其特征库。

0.1.2.1.4.9.  设备组管理设计

设备组是用于建立组配置的。设备是以组的方式进行管理,只有同一厂家同一型号的产品,并且配置相同,才能置入一个设备组里。设备组的组配置是模拟设备本身的配置界面。在该配置界面里,我们做出的任何配置更改都会被推送到该设备组里所有设备。

设备组管理器还对设备配置推送进行跟踪,发现如果某个设备不能被同步,或者同步错误,会对管理员进行告警。

0.1.2.1.4.10.     脚本模块设计

脚本是用来快速下发指定到设备上。脚本就根据各个厂家自己的命令行来设置,并且只能推送到本厂家的设备上。脚本模块通过https的rest命令或者ssh方式推送,并且跟踪推送是否成功。

脚本模块可以即时推送,也可以指定时间进行推送,推送的目标可以是某些设备,也可以是某些设备组。

0.1.2.1.4.11.     升级模块

升级模块是用于管理OS和特征库升级的。主要功能有上传升级OS和特征库文件,或者指定下载的网络位置和下载时间。这些配置都是根据不同厂商和不同类型产品所指定的。

0.1.2.1.4.12.     配置数据库设计

配置数据库主要用于存储该设备的配置的,它采用MangoDB数据库。MongoDB是一个介于关系数据库和非关系数据库之间的产品,是非关系数据库当中功能最丰富,最像关系数据库的。他支持的数据结构非常松散,是类似json的bjson格式,因此可以存储比较复杂的数据类型。Mongo最大的特点是他支持的查询语言非常强大,其语法有点类似于面向对象的查询语言,几乎可以实现类似关系数据库单表查询的绝大部分功能,而且还支持对数据建立索引。

配置库主要存储两大类配置,一种是集中管理本身的配置,比如说IP地址、图表SQL语句。另外一种是它所管理的设备。配置库是系统的核心,关键的关键。

0.1.2.2.   集中日志开发方案

0.1.2.2.1. 关于本方案

本项目是针对第三方产品的日志收集和分析进行开发。它不仅仅可以管理本次投标的防火墙和IPS,而且能够收集和分析已购买的冠群金辰防病毒网关和IPS及CNGATE IPS、北京华御监控系统(以下简称“甲方存量安全设备”)日志。以下内容都是针对已购买的“甲方存量安全设备”的开发内容:

  • 基于设备序列号的设备管理
  • 日志类型参照“甲方存量安全设备”的日志类型来定
  • 可以接收冠群金辰防病毒网关和冠群金辰IPS及CNGATE IPS上传的感染病毒文件和抓取的攻击数据包。
  • 可以接收冠群金辰IPS和CNGATE IPS上传的触发的DLP规则的文件。
  • 能够根据“甲方存量安全设备”的日志内容,生成报表,要求支持五十种以上图表类型
0.1.2.2.2. 概述
0.1.2.2.2.1.  项目背景

如土建、投资、IT业务、规模等的基本要求,同时借鉴行业最佳实践,建立结构完整、体系统一网络架构。

  • 遵循数据中心标准和行业规范

采用成熟网络技术,提高网络的可靠性和可用性 。网络标准化,规范化,资源池化 。

  • 可用性

网络架构必须能够达到并超过业务系统对服务级别的要求。通过多层次的冗余设计和应用先进技术手段,满足业务系统不间断、高质量的访问和灾难备份需求。

  • 可扩展性

网络架构在功能、性能容量、覆盖能力等各方面具有易扩展能力,可适应快速的业务发展对基础架构的要求。

  • 安全性

网络安全重点是保证服务域的安全。网络安全规划要站在企业级的高度,考虑网络、系统、应用各个层面的安全防护,网络架构要具备支持整套安全体系实施的能力,同时满足监管合规需求。

  • 先进性、持续演进能力

网络架构和网络设备采用先进的设计理念和技术,如设备的全正交架构与信元交换、网络的大二层TRILL、SDN可编程、虚拟网络等架构等。

  • 可管理性

网络管理要以全行生产运行管理体系为指导,以新的网络架构为基础,建立符合精细化、自动化、智能化管理要求的一体化管理体系。

  • 绿色智能

网络架构要符合“高效率、高整合、低能耗、低占空、前瞻性”的绿色智能基础架构发展趋势。

遵循上述原则,结合业界最佳实践,本次项目的设计采用当前数据中心网络功能分区、网络分层的设计方法。

 

  • 整体逻辑架构

 

针对总部以及分支增加相应的网络设备及安全设备,主要设备有:核心路由器、交换机、接入路由器、交换机,全区统一网管软件等主要网络软、硬件设备,同时完成对各口岸机构三张网(业务执法专网、视频会议专网、电子政务外网)的安全设备安装和集成工作。同时为保证全区口岸机构各类数据安全、可靠在网络中传输,同时确保各业务应用系统在当前复杂的网络情况中能够有效的防范来自外界的攻击。同时安装部署防火墙、入侵防御、网络漏洞扫描、安全行为审计、系统补丁分发等安全类软、硬件产品和相关产品的集成工作。以及后续的检验本项目实施成效的高级网络渗透测试评估。

 

0.1.1.2.   计算平台

0.1.1.2.1. 主机资源概览

智检内蒙古基础架构计算平台一共需要搭建检验检疫系统各类执法应用、各种数据库服务等。正常情况下需要对每个功能服务器采购1到多台物理服务器,随着虚拟化技术的发展,私有云、公有云及混合云的应用逐渐广泛,在此,我们建议将利用8台X86物理服务器通过虚拟化技术来虚拟出多台服务器满足业务上对内蒙古检验检疫系统基础架构系统主机系统的需求。

内蒙古局当前部分系统应用情况

设备类型

设备型号

数量(台)

操作系统

应用/数据库

软件版本

数据库

IBM X460 4CPU 8G

1

SUSE9 SP3 X86_64

CIQ业务数据库节点1

ORACLE 9.2.0.8 64 bit RAC

IBM X460 4CPU 8G

1

SUSE9 SP3 X86_64

CIQ业务数据库节点2

ORACLE 9.2.0.8 64 bit RAC

IBM X366 2CPU 4G

1

SUSE9 SP3 X86_64

统计数据库

RACLE 9.2.0.8 64 bit

IBM X366 2CPU 4G

1

SUSE9 SP3 X86_64

电子监管数据库

ORACLE 9.2.0.8 64 bit

中间件

IBM X366 4CPU 4G

1

SUSE9 SP3 X86_64

电子监管中间件

Apusic-4.0.2,MQ 5.3.0-7

IBM X366 4CPU 4G

1

SUSE9 SP3 X86_64

通关单联网核查

MQ 5.3 fix13

IBM X3650 2CPU 4G

1

SUSE9 SP3 X86_64

CAS 电子身份认证

 

IBM X3650 2CPU 4G

1

WINDOWS2003 企业版 32位

实验室管理系统

 

IBM X346 2CPU 4G

1

WINDOWS2003 企业版 32位

诚信系统应用服务器

 

浪潮Inspur E290D2 4CPU 8G

1

SUSE9 SP4 X86_64

企业诚信EDI

 

IBM X346 2CPU 4G

1

SUSE9 SP3 X86_64

铁路板查验中间件

ORACLE 9.2.0.8 64 bit

通讯机

IBM X346 2CPU 4G

1

windows2000 AD SERVER

电子报检通讯机

 

IBM X346 2CPU 4G

1

windows2000 AD SERVER

电子转单通讯机

 

联想 PC 1CPU 1G

1

WINDOWS XP SP3

入境废料通讯机

 

行政办公

IBM x3850 4CPU 8G

1

WINDOWS2003 企业版 32位

OA服务器

 

IBM x3850 4CPU 8G

1

WINDOWS2003 企业版 32位

档案管理系统

 

浪潮Inspur E290D2 4CPU 8G

1

Redhat4U7

邮件系统

 

HP

1

WINDOWS2000

国有资产管理

 

HP

1

WINDOWS2000

设备管理

 

 

1

 

榕基漏扫

 

IBM X346 2CPU 4G

1

windows2000 AD SERVER

卡巴斯基服务器

 

IBM X346 2CPU 4G

1

windows2000 AD SERVER

入侵检测和管理

 

辅助管理

IBM X366 2CPU 4G

1

WINDOWS2003 企业版 32位

BE备份服务器

 

IBM X346 2CPU 4G

1

SUSE9 SP3 X86_64

DMP备份服务器(停用)

 

 

0.1.1.2.2. 数据中心计算平台设计方案

新计算平台将在8台高配置的H3C R6800 G2物理服务器上搭建,并且采用HA模式,充分利用较高配置的服务器作为虚拟平台服务器,每台服务器上都安装配置中科睿光Cloudview SVM虚拟架构套件CloudVirtual软件,用于在单个物理服务器实体上,利用服务器强大的处理能力,生成多个虚拟服务器,构建一个服务器资源池,共达到448核CPU,4096GB内存和总带宽达640Gb的I/O能力(每台物理服务器提供2个16Gb光纤通道端口、4个万兆以太网端口和8个千兆以太网端口),而每一个虚拟服务器,从功能、性能和操作方式上,等同于传统的单台物理服务器。在每个虚拟服务器上,就可以安装配置Windows 或linux操作系统,进而再安装应用软件,这样就可以充分利用现有服务器资源,在服务器层面实现业务系统的整合。

在虚拟化服务器基础上,可以整合成动态的虚拟化资源池,从而大大提高资源利用率,降低成本,增强了系统和应用的可用性,提高系统的灵活性和快速响应,实现服务器虚拟架构的完美整合。

软硬件系统在新购的一台H3C CF8820磁盘阵列上或利旧的两台HP 3Par SS7200C磁盘阵列上划分磁盘存储资源池。

软硬件系统在新购的两台HPE SN6000B 16Gb 48口SAN交换机上划分新的zone及相应磁盘空间,支持数据块类型的数据存储。

上述内蒙古局当前部分系统应用可根据需求全部或部分迁移至新的计算平台的服务器资源池。

数据中心计算平台设计图

 

 

 

 

 

 

 

0.1.2. 管理系统定制开发方案

0.1.2.1.   集中管理开发方案

0.1.2.1.1. 关于本方案

本项目是针对针对于甲方标书中要求“设备集中管理系统”中的定制开发内容。管理设备不仅仅可以管理本次投标的防火墙和IPS,而且能够管理“甲方存量安全设备”。以下内容都是针对“甲方存量安全设备”的开发内容

  • 基于设备序列号的设备管理。
  • 当设备发生删除时,与该设备相关的配置项需要全部删除
  • 被管理设备上报变动的IP地址,同时也上报CPU、内存和流量等信息,集中管理能够收集这些信息,并且在图形界面上予以展示
  • 设备管理中应显示每台设备的状态,是否在线,是否同步配置
  • 设备以设备组的形式管理,设备组的配置界面应与设备的原有配置界面相似
  • 当设备组的配置发生变化时,集中管理可以统一推送配置到每台设备上,实现设备的配置与设备组的配置相同
  • 凡是推送失败的设备,要有特殊提示,方便集中管理员处理推送失败的事故
  • 设备组的配置应能够保存既往配置的结果,让管理员一步了然当前设备组已经配置过的选项
  • 下发配置到设备,不应引起设备重启和网络断流等故障现象
  • 设备组下发配置时,如果与设备已有配置相互矛盾,自动覆盖设备已有配置
  • 集中管理可以通过脚本下发的方式为设备统一下发配置
  • 基于设备组的配置是建立在设备组里设备是统一的硬件和软件,但是脚本下发可以忽略硬件和软件以及配置上的差异,直接给予统一命令
  • 脚本应与设备原有的配置文件采用相同的语法
  • 集中管理可以为设备统一升级OS,应能判断OS与设备型号对应关系,避免不一致导致故障
  • 集中管理应具备为现有设备的升级病毒库和IPS库的功能,从公网下载最新的病毒库和IPS库,然后为现有设备进行升级。
  • 基于设备序列号的设备管理
  • 日志类型参照“甲方存量安全设备”的日志类型来定
  • 可以接收冠群金辰防病毒网关和冠群金辰IPS及CNGATE IPS上传的感染病毒文件和抓取的攻击数据包。
  • 可以接收冠群金辰IPS和CNGATE IPS上传的触发的DLP规则的文件。
  • 能够根据“甲方存量安全设备”的日志内容,生成报表,要求支持五十种以上图表类型
0.1.2.1.2. 概述
0.1.2.1.2.1.  项目背景

随着内蒙口岸网络安全保障体系的建设,安全产品会越来越多,也因此会出现很多问题,如:

  • 多种安全设备,不同的报警,如何整合?
  • 海量的事件,如何确定优先级?
  • 如何将网络安全事件与业务风险关联?
  • 如何清楚知道当前的安全风险?
  • 如何计算安全投资的回报率?
  • 安全技术过于底层,安全管理过于抽象,大多数时候背道而驰,如何有效结合?

面对越来越多的安全产品,技术层面更关心如何集中管理不同的安全设备,如何综合分析分布的安全报警;运营层面更关心如何能准确分析现有系统的威胁,如何确定安全事件的优先顺序,如何理顺安全事件管理的流程;决策层面更关心如何从业务风险层面理解安全事件,如何计算和跟踪安全投资回报率。

通过部署统一的安全管理平台,可以为解决技术层面、运营层面和管理层面在安全方面所关注的所有不同的问题提供牢固的基础。

0.1.2.1.2.2.  建设目标

本项目是基于内蒙古自治区人民政府口岸办公室智检内蒙古建设项目的安全体系建设。由于用户已经购买了几家的安全设备,如何充分发挥已有设备的作用,以及把已有设备和新增设备的管理层面上的整合,是本开发项目成功的关键。

0.1.2.1.2.3.  建设原则

软件开发设计原则针对开发的准确性、可靠性、安全性和可维护性四个原则。准确性是避免冗余代码,可靠性是保证代码的输入输出可靠,安全性体现代码的逻辑结构足够严谨避免出现安全问题,可维护性是保障代码编写采用统一规范,方便代码的编辑。

0.1.2.1.3. 需求描述及分析
0.1.2.1.3.1.  概述

集中管理的内容

信息安全是IT领域的重要分支,它不是单纯的IT技术的堆砌,而是集信息学、密码学、管理学、心理学、社会学等多种学科的交叉科学,因此人们对于信息安全的认识也是沿着比较复杂的轨迹发展而来的。

随着部署设备种类和数量的日益增加,其管理工作变得管理工作变得日益复杂。每个设备都有一套独立的管理系统需要学习和掌握,并且都需要独立管理。所以需要通过综合管理平台把所有设备都管理起来。完成统一管理,我们需要针对第三方设备做:

  • 调查目前所用的设备型号、版本
  • 调查目前所用设备的唯一标识、管理端口
  • 调查所用设备所支持的命令和命令含义
  • 调查所用设备的界面设计的内在逻辑

集中管理所支持的厂商

需求分析采用基于不同厂商进行的组织方式。主要分析来自不同厂商的各种资料,目前主要涉及的厂商有:

厂商

产品型号

天融信

防火墙

CNGATE

网络入侵检测

圣博润

堡垒主机

冠群金辰

防病毒网关

天融信

网闸

梭子鱼

反垃圾邮件系统

飞塔

WEB防火墙

北京华御

流量监控

冠群金辰

网络入侵检测
0.1.2.1.3.2.  需求描述与分析

设备管理

配置需要第三方设备进行管理。设备管理主要涵盖以下几方面:

  • 基于设备序列号的设备管理。序列号是设备的唯一标识。我们需要分析不同设备的序列号是否都具有该特性,其格式有无变化。
  • 设备添加和删除管理。当设备被添加时,系统需要为该设备建立相应的配置库。而当设备发生删除时,与该设备相关的配置项需要全部删除。添加设备应可以采用两种方式添加,一是通过集中管理查找设备,二是设备主动上联集中管理
  • 设备的监控。被管理设备需要自动上报变动的IP地址,同时也上报CPU、内存和流量等信息,方便管理员发现问题。
  • 设备的权限获得。添加设备时,集中管理将获得设备的管理权限,通过基于https的REST指令控制每台设备。如果第三方设备不支持REST的话,可以通过SSH方式进行管理。
  • 设备配置同步管理。设备管理中应显示每台设备的状态,是否在线,是否同步配置

配置管理

配置管理能够实现以下功能:

  • 设备以设备组的形式管理,不同管理员可以分配设备组的权限。比如某管理员只能管理某组设备。设备组的配置是设备的共性,比如为设备组中所有设备添加一条策略。设备组的配置界面应与设备的配置界面相似。
  • 设备组中的设备具有同样的硬件和软件属性,设备组具有和设备同样的配置界面,用于配制IP、添加策略等。
  • 当设备组的配置发生变化时,集中管理可以统一推送配置到每台设备上,实现设备的配置与设备组的配置相同。
  • 凡是推送失败的设备,要有特殊提示,方便集中管理员处理推送失败的事故
  • 设备组的配置应能够保存既往配置的结果,让管理员一步了然当前设备组已经配置过的选项下发配置到设备,不应引起设备重启和网络断流等故障现象备组下发配置时,如果与设备已有配置相互矛盾,自动覆盖设备已有配置

脚本下发

脚本下发不同于设备组的配置管理,它是简单地下发一个配置给所选中的设备。主要功能如下:

  • 集中管理可以通过脚本下发的方式为设备统一下发配置
  • 基于设备组的配置是建立在设备组里设备是统一的硬件和软件,但是脚本下发可以忽略硬件和软件以及配置上的差异,直接给予统一命令
  • 脚本应与设备原有的配置文件采用相同的语法
  • 脚本下发不应通过ssh和telnet这种命令控制台,而是通过基于https的REST协议

统一操作系统升级

对被管理设备实现OS的版本统一管理,实现以下功能:

  • 集中管理可以为设备统一升级OS
  • 集中管理应能判断OS与设备型号对应关系,避免不一致导致故障
  • 升级OS采用下发镜像文件,等设备完成升级后,自动上传升级后的版本
  • 集中管理可以同时对上千台设备同时升级

统一病毒库/IPS库升级

集中管理对第三方设备进行统一的特征库的管理,主要实现以下功能:

  • 可以在指定时间自动下载Internet上的库文件
  • 升级采用设备主动连接集中管理升级。集中管理可以验证设备的服务是否到期
0.1.2.1.4. 总体设计
0.1.2.1.4.1.  总体设计目标

通过HTTPS和SSH对第三方设备进行统一配置管理,实现设备的添加删除,设备状态监控,设备配置备份,设备组管理,脚本下发,统一操作系统管理,统一病毒和IPS

0.1.2.1.4.2.  总体设计原则

实现软件的准确性、可靠性、安全性和可维护性四个原则。准确性是避免冗余代码,可靠性是保证代码的输入输出可靠,安全性体现代码的逻辑结构足够严谨避免出现安全问题,可维护性是保障代码编写采用统一规范,方便代码的编辑。

0.1.2.1.4.3.  总体逻辑架构设计

总体逻辑设计图如下:

0.1.2.1.4.4.  设备交互引擎设计

设备交互引擎是通过https的rest命令或者SSH方式与被管理设备进行交互的。为了设计的便捷性,我们为不同型号和不同厂家的设备设计不同的设备交互引擎。交互引擎是根据被管理设备的命令行指令和内在逻辑来设计的。交互引擎负责设备登录,上传配置或者下载配置,反馈上传配置的报错或成功信息,也负责校验设备配置是否与原有配置是否一致,获取被管理设备的CPU、内存、网络等信息。

0.1.2.1.4.5.  设备配置库设计

设备配置库是用于保存被管理设备的配置。我司根据被管理设备的特点、命令结构、内在逻辑等,将其优化为CMDB数据库。CMDB存储与管理企业IT架构中设备的各种配置信息,它与所有服务支持和服务交付流程都紧密相联,支持这些流程的运转、发挥配置信息的价值,同时依赖于相关流程保证数据的准确性。

MDB工具中至少包含这几种关键的功能:整合、调和、同步、映射和可视化。整合是指能够充分利用来自其他数据源的信息,对CMDB中包含的记录源属性进行存取,将多个数据源合并至一个视图中,生成连同来自CMDB和其他数据源信息在内的报告;调和能力是指通过对来自每个数据源的匹配字段进行对比,保证CMDB中的记录在多个数据源中没有重复现象,维持CMDB中每个配置项目数据源的完整性;自动调整流程使得初始实施、数据库管理员的手动运作和现场维护支持工作降至最低。

同步指确保CMDB中的信息能够反映联合数据源的更新情况,在联合数据源更新频率的基础上确定CMDB更新日程,按照经过批准的变更来更新 CMDB,找出未被批准的变更;

应用映射与可视化,举例说明应用间的关系并了解应用和其他组件之间的依存关系,了解变更造成的影响并帮助诊断问题。CMDB建模思路:

  • 配置管理面向消费,发挥数据价值
  • 配置管理以数据和模型为核心
  • 配置管理以整合的思路推进
  • 配置元模型和分视角模型相结合
0.1.2.1.4.6.  单设备管理模块设计

单设备管理模块主要用于设备添加,删除,单设备状态的跟踪,单设备的配置。设备添加和删除是与设备配置库紧密联系的。当设备被添加时,则自动为该设备建立相应的配置库,当设备被删除时,则自动删除该设备的配置库。单设备状态的跟踪是指跟踪设备的CPU、内存和网络流量等信息。设备状态信息一般来说采用设备主动上报为主,单设备管理模块将其存储于数据库,并且做一定的预处理,方便数据的提炼和生成报表。

单设备管理模块主要依据设备序列号作为唯一标识,它可以根据设备上报的IP地址,自动地更新设备信息。即使设备配置发生变化,或者IP变化,集中管理仍旧能够管理该设备。

0.1.2.1.4.7.  特征库管理设计

特征库管理是用于存放不同厂家不同类型产品的特征库,它会保存厂家名称,产品型号,特征库类型,特征库版本等信息。设备交互引擎会会自动连接到被管理设备,查看其现有的特征库版本,并且与特征库管理器中版本对比,根据比较和用户设置,向被管理设备发指令升级其特征库。

0.1.2.1.4.8.  OS文件管理设计

OS文件管理是用于存放不同厂家不同类型产品的操作系统文件,它会保存厂家名称,产品型号,OS版本等信息。设备交互引擎会会自动连接到被管理设备,查看其现有的OS版本,并且与OS文件管理器中版本对比,根据比较结果,向用户提出升级建议。如果用户认为需要升级,则设备交互引擎会向被管理设备发指令升级其特征库。

0.1.2.1.4.9.  设备组管理设计

设备组是用于建立组配置的。设备是以组的方式进行管理,只有同一厂家同一型号的产品,并且配置相同,才能置入一个设备组里。设备组的组配置是模拟设备本身的配置界面。在该配置界面里,我们做出的任何配置更改都会被推送到该设备组里所有设备。

设备组管理器还对设备配置推送进行跟踪,发现如果某个设备不能被同步,或者同步错误,会对管理员进行告警。

0.1.2.1.4.10.     脚本模块设计

脚本是用来快速下发指定到设备上。脚本就根据各个厂家自己的命令行来设置,并且只能推送到本厂家的设备上。脚本模块通过https的rest命令或者ssh方式推送,并且跟踪推送是否成功。

脚本模块可以即时推送,也可以指定时间进行推送,推送的目标可以是某些设备,也可以是某些设备组。

0.1.2.1.4.11.     升级模块

升级模块是用于管理OS和特征库升级的。主要功能有上传升级OS和特征库文件,或者指定下载的网络位置和下载时间。这些配置都是根据不同厂商和不同类型产品所指定的。

0.1.2.1.4.12.     配置数据库设计

配置数据库主要用于存储该设备的配置的,它采用MangoDB数据库。MongoDB是一个介于关系数据库和非关系数据库之间的产品,是非关系数据库当中功能最丰富,最像关系数据库的。他支持的数据结构非常松散,是类似json的bjson格式,因此可以存储比较复杂的数据类型。Mongo最大的特点是他支持的查询语言非常强大,其语法有点类似于面向对象的查询语言,几乎可以实现类似关系数据库单表查询的绝大部分功能,而且还支持对数据建立索引。

配置库主要存储两大类配置,一种是集中管理本身的配置,比如说IP地址、图表SQL语句。另外一种是它所管理的设备。配置库是系统的核心,关键的关键。

0.1.2.2.   集中日志开发方案

0.1.2.2.1. 关于本方案

本项目是针对第三方产品的日志收集和分析进行开发。它不仅仅可以管理本次投标的防火墙和IPS,而且能够收集和分析已购买的冠群金辰防病毒网关和IPS及CNGATE IPS、北京华御监控系统(以下简称“甲方存量安全设备”)日志。以下内容都是针对已购买的“甲方存量安全设备”的开发内容:

  • 基于设备序列号的设备管理
  • 日志类型参照“甲方存量安全设备”的日志类型来定
  • 可以接收冠群金辰防病毒网关和冠群金辰IPS及CNGATE IPS上传的感染病毒文件和抓取的攻击数据包。
  • 可以接收冠群金辰IPS和CNGATE IPS上传的触发的DLP规则的文件。
  • 能够根据“甲方存量安全设备”的日志内容,生成报表,要求支持五十种以上图表类型
0.1.2.2.2. 概述
0.1.2.2.2.1.  项目背景
沪ICP备15021898号-1