第8章 智能网络管理系统平台
根据本期的网络规划,要求可以对整网设备进行集中式网管,网管中心设置在省经济信息中心,实现对接入用户的接入带宽、网络安全、用户访问日志等多种功能的统一智能管理。随着电子政务网络信息技术的发展,为提高生产及办公效率,XX电子政务外网网络上承载着政府电子办公系统,选择一个优秀的网络管理系统是保证XX电子政务外网络最大可用性的有效手段。
本次拟建设的网络管理作用已经不简单的完成互连互通的管理,应能对通信、计算、应用、存储、监控等各类业务应用和网络的融合,促使网络成为承载企业核心业务的平台,网络运行的安全、稳定、高效直接决定企业核心业务能否顺利开展。
8.1 智能管理中心总体建设思想
拟建设的网络管理系统应以开放的技术路线和融合管理用户、资源和业务三大网络要素的理念为基础,应可以包括如下流程
?
业务流程(Business Process)
目前主流的网络管理产品往往提供给的是面向故障、性能、安全、配置等一个个割
裂内容的工具软件,通过建设融合、贯穿各类工具软件,提供直接面向客户需求的业务流程(Business Process),由流程来指导管理工作的开展。
?
用户、资源和业务的融合管理
用户、资源和业务是构成客户IT环境的三个要素,智能管理中心应字管理资源(网
络设备、存储设备、服务器等)和业务的基础上,更融入了对用户的管理,直接从用户对资源使用以满足业务需求的角度出发。
?
基于SOA的开放架构
电子政务的应用系统的发展趋势是SOA(面向业务的架构),通过SOA的部署,可
大大提升政府系统工作效率,基于SOA开放的技术架构应采用Web Services技术框架,通过松耦合、分布式、易扩展的开放管理平台,提升业务融合能力;以资源虚拟化屏蔽
底层设备差异,通过面向服务的接口和调度框架,实现了功能组件化、标准化,使业务流程的再造得以落实。
8.2 具体实现需求规划
8.2.1 基础资源管理
基于全网资源的统一部署、管理和调配,包括对路由器、交换机、安全、语音、存储等设备资源,以及ACL/VLAN等网络配置资源和桌面等终端资源,为业务融合、资源调度提供必要手段。
?
设备和用户的统一分组管理
? 对设备资源和用户进行分组管理,系统管理员方便的分配其他管理员的管理权
限,便于职责分离。
? 可以设置每个用户分组所对应的接入业务服务名,在给用户配置服务的时候,
只有归属于这个服务所属的用户组的用户,才能配置该服务。
?
设备资源管理能力
? 自动发现和手工添加方式增加网络设备资源;自动发现支持多种方式,除了简
易的种子发现方式外,还支持路由方式、ARP方式、IPSec VPN方式、网段方式发现网络设备。
? 设备面板管理,所见即所得的显示设备的资产组成和运行状态。
?
针对每种业务都具有不同的管理动作,在集中化用户管理的同时提供高度的业务管理灵活性
? 提供独立于业务的用户管理动作,做到用户基本信息的集中化管理,减轻操作
员维护量。
8.2.2 身份与接入管理
支持多种认证接入方式,实现接入业务的统一、集中管理;支持智能卡、证书等强认证功能,支持多种方式的端点准入控制和基于身份的网络服务,实现用户与资源和业务的融合管理。
?
多种接入及认证方式,适合多种接入组网场景及应用场景 ? 支持802.1x、VPN接入等多种认证接入方式。
? 支持用户与设备IP地址、接入端口、VLAN、用户IP地址和MAC地址等硬件信息
的绑定认证,增强用户认证的安全性,防止帐号盗用和非法接入。
? 支持与Windows域管理器、第三方邮件系统(必须支持LDAP协议)的统一认证,
避免用户记忆多个用户名和密码。
?
严格的权限控制手段,强化用户接入控制管理
? 基于用户的权限控制策略,可以为不同用户定制不同网络访问权限。 ? 可以控制用户的上网带宽(QoS;802.1x认证支持)、限制用户同时在线数、
禁止用户设置和使用代理服务器,有效防止个别用户对网络资源的过度占用。 ? 可以实现对用户ACL、VLAN的控制,限制用户对内部敏感服务器和外部非法网
站的访问(802.1x认证支持)。
? 可以限制用户IP地址分配策略,防止IP地址盗用和冲突。
? 可以限制用户的接入时段和接入区域,用户只能在允许的时间和地点上网。 ? 可以限制终端用户使用多网卡和拨号网络,防止内部信息泄露。
?
详尽的用户监控,强化对终端用户的监视控制
? 接入业务组件提供强大的“黑名单”管理,可以将恶意猜测密码的用户加入黑
名单,并可按MAC、IP地址跟踪非法行为的来源。 ? 管理员可以实时监控在线用户,强制非法用户下线。
? 支持消息下发,管理员可以向上网用户发布通知消息,如“系统升级,网络将
在10分中后切断”、“您的密码遭恶意试探,请注意保护密码安全”等。 ? iMC接入业务组件记录认证失败日志,便于方便定位用户无法认证通过的原因。
?
集中方便的接入业务用户管理,简化管理员维护操作
? 基于服务的用户分类管理,用户的认证绑定策略、安全策略、访问权限均封装
于服务中,简化管理员的操作,保证网络管理模式的统一。
? 接入用户相关的管理动作集中化,界面对操作员来说更友好、更美观易用。
?
业务及运行环境参数调整,适应不同的运行及应用环境 ? 系统参数配置,提供业务相关的常用参数信息配置功能。
? 策略服务器参数配置,提供策略服务器及安全管理相关的参数信息配置功能。 ? 运行参数配置,提供系统运行环境相关的路径、数据库属性等基本信息的能。 ? 用户提示信息配置,提供给用户的相关提示信息配置功能。
? 客户端自动运行任务配置,提供配置客户端认证后自动运行相关程序的配能。 ? 用户密码控制策略配置,提供配置用户密码的控制策略配置功能。
8.2.3 端点安全准入管理
在身份接入基础上,支持终端安全准入控制,支持安全状态评估、网络中安全威胁定位、安全事件感知及保护措施执行等,预防因未打补丁、病毒泛滥、ARP攻击、异常流量、非法软件安装和运行等因素带来的安全威胁,并可根据终端的安全状态实现终端下线、隔离、提醒、监控等多种控制策略。从端点接入上保证每一个接入网络的终端的安全,从而保证网络安全。
电子政务外网方案
