某市自来水公司网络计
费与安全解决方案
网络计费系统、入侵检测系统及防病毒软件项目
技
术
方
案
目 录
1、入侵检测系统与防病毒软件 ................................................................................................................... 2
1.1 网络安全概述 ................................................................................................................................. 2
1.2 产品方案 ......................................................................................................................................... 3
1.2.1 入侵检测系统方案 ................................................................................................................. 3
1.2.2 防病毒系统方案 ..................................................................................................................... 5
1.2.3 安全产品部署 ......................................................................................................................... 7
1.2.3.1“天阗”部署说明 .................................................................................................................... 7
1.2.3.2“天蘅安防”部署说明 ............................................................................................................ 8
1.3 售后服务 ....................................................................................................................................... 10
1.3.1 服务宗旨 ............................................................................................................................... 10
1.3.2 服务内容 ............................................................................................................................... 10
1.3.2.1风险分析 ............................................................................................................................... 10
1.3.2.2产品维护 ............................................................................................................................... 11
1.3.2.3测试支持 ............................................................................................................................... 11
1.3.3 服务形式 ............................................................................................................................... 11
1.3.3.1软件升级 ............................................................................................................................... 11
1.3.3.2热线咨询 ............................................................................................................................... 11
1.3.3.3紧急事件处理 ....................................................................................................................... 12
1.3.3.4培训 ....................................................................................................................................... 12
1.4 成功案例 ....................................................................................................................................... 12
2、网络计费系统 ......................................................................................................................................... 15
2.1企业上网中存在的问题 ..................................................................................................................... 15
2.2企业网络管理计费需求的发展 ......................................................................................................... 17
2.3 NETCHARGE 企业网络管理计费系统技术详解 ............................................................................... 18
2.4 NETCHARGE 企业网络管理计费系统结构 ....................................................................................... 21
2.5 NETCHARGE 企业网络管理计费系统特点、功能及优势 ............................................................... 23
2.5.1 NetCharge 企业网络管理计费系统的特点 ............................................................................... 23
2.5.2 NetCharge 企业网络管理计费系统的功能 ............................................................................... 25
2.5.3 NetCharge 企业网络管理计费系统的优势 ............................................................................... 26
2.5.4为什么选择NetCharge 企业网络管理计费系统 ...................................................................... 26
2.6 NETCHARGE 网络管理计费系统集群和系统备份解决方案 ........................................................... 27
2.7深澜软件用户服务条款 ..................................................................................................................... 32
1、入侵检测系统与防病毒软件
1.1 网络安全概述
随着网络应用的普及和发展,网络的应用范围也越来越广,使得网络上的应用变得日益丰富和复杂。许多金融、企业开展了网上服务,作为拓宽自己的业务范围和提高服务质量的手段。也作为同行竞争的手段之一,他们为使自己从日益更新的竞争市场中脱颖而出,不断推出各种各样新的服务,在减少成本的同时提高并丰富业务量、服务质量灵活性,从而,在单一的数据网络中提供多种服务。
构成网络的基础技术――IP通信技术具有公开、分散的特性,使得网上的业务系统面临如下多重风险:
安全风险
由于网络技术的日益公开化,使得网络的欺诈行为、网络入侵行为和网络恶行
日益增加,这些行为造成网络服务的中断或不能正常工作,从而使得客户的满意度下降,商家公众形象受损,收益减少。
故障责任
一个比较综合的业务系统,不是一套简单的客户/服务器模式的系统,它可能涉
及到多个服务器或不同的业务领域。当一笔业务因某一故障而不能正常完成时,由于不知道出现故障的位置,给排除故障带来了困难,并且责任也无法明确。
服务质量下降
随着运行在网络上的业务系统的增多,客户的访问量不断增加,引起了网路通
信的阻塞或减慢,用户从开始访问到应答的等待时间将会越来越长。用户会因等待时间过长而减少或不使用网上业务系统,直接影响了商家的经济效益。
系统的可信度降低
运行在网络上业务系统在网络通信过程中,其网络数据包的内容在通信的某中
间环节可能被窜改,从而使客户对系统的可信度降低,影响网上业务的应用和推广。 某市自来水公司的网络系统,尤其是提供关键业务的服务器系统,同样面临这些安全威胁。所以,该公司需要为自己的网络系统提供一个全面的安全解决方案,来保护自己的网络系统不受侵害。
防火墙仅作为保护某市自来水公司网络系统的第一道防线,他主要侧重在对通讯的源、目的地址和端口进行限制。在实际应用中,该系统业务要求所有地址都可以访问WEB服务器上的WEB应用,所以即使有了防火墙,黑客还是可以从任何地方访问WEB服务器,数据包要通过DMZ区域网络传输,这些数据包中很可能包含入侵攻击代码。
那么网络在被动保护自己不受侵犯的同时,能否采取某些技术,主动保护自身的安全呢?入侵检测技术就是一种主动保护自己免受黑客攻击的一种网络安全技术。入侵检测技术可以帮助系统对付网络攻击,扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高信息安全基础结构的完整性。它从计算机网络系统中的关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,它在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。
1.2 产品方案
1.2.1 入侵检测系统方案
入侵检测系统,是用来实时检测各种攻击,同时实时做出各种预先定义的响应,力求做到在黑客造成破坏之前发现问题,解决问题。网络入侵检测产品不会占用网络带宽,不会引起网络和主机性能的下降,同时不驻留在业务主机和服务器上,不会对原有网络造成额外的安全威胁,此部署方式可实时对服务器操作系统、应用系统进行监控,并实现集中管理。
我们采用北京启明星辰公司的“天阗”黑客入侵检测与预警系统进行网络安全入侵检测。
启明星辰自行研制开发的天阗黑客入侵检测与预警系统是国内第一批在入侵检测方面获得国家公安部销售许可证的网络安全产品,同时天阗还通过了国家保密局、解放军及国家信息安全测评中心的专门评测。
天阗黑客入侵检测与预警系统是一种在计算机网络上自动、实时的入侵检测和响应系统。它能够实时监控网络传输,自动检测可疑行为,分析来自网络外部和内部的入侵信号。在系统受到危害前发出警告,实时对攻击做出反应,并提供补救措施,最大程度地为网络系统提供安全保障。已成功实施于首都电子商城的网络安全保障工程,海淀数字园区的安全保障工程,沈阳人行等多个网络安全项目,为网络的安全运行提供了有力保障。
天阗黑客入侵检测与预警系统包括两部分:控制中心和探测引擎。控制中心是个高
性能管理系统,能控制位于本地或远程网段上的多个探测引擎的活动,实现动态分析,实时监控。探测引擎为固化硬件产品,动态监视网络上的数据包,进行攻击行为的检测和识别。
与普通IDS产品相比,天阗黑客入侵检测与预警系统在下列方面具有明显优势产品优势:
产品版本成熟,易用性强:天阗系统经过市场调研的反复进行和研发力量的巨大投入,现已升级为5.5版本N500,性能稳定,界面友好。
全面的攻击事件处理方式:针对攻击事件,IDS产品基本均能提供报警、日志纪录、阻断攻击等处理方式。天阗产品在上述功能的基础上,还可实现与防火墙的互动,以阻断任何非法联接;对MAC地址实现阻断。
用户自定义和定制功能:界面窗口可自行定制;攻击事件可自行定义并加入事件库;安全策略和协议可自行编辑定义下发等功能,为用户的使用带来方便。是普通IDS产品尚无法实现的重要功能。
完备、开放的特征库:攻击事件库>1200种,同时用户可以自行定义和添加特征库,实现用户端的自主实时更新。
优化、高级的管理结构:普通IDS产品均为分布式结构,单级或二级控制,下级对上级控制台仅能实现报警功能,无法同时满足对不同网段上的实时监测和管理。天阗产品则为树形分布式结构,多级控制功能可使天阗控制中心对多级子控进行管理,便于网络安全的同步实现。同时上级可统一下发策略、事件特征库给下级,保证下发策略的统一性。
灵活方便的人性化报表:天阗通过调用日志文件,运用嵌入式报告功能,形成方便、易懂、直观、全面的用户报告,分类列表更有助于用户了解网络各个层面的安全状况。
便捷全面的升级方式:有升级模块可直接导入,或进行在线升级,升级速度在同类产品中较快。自动同步升级,控制中心可以及时将攻击特征升级包下发到各级探测器,提高对最新攻击事件和行为的同步识别。
优秀的系统自身安全性:独有的硬件引擎,对于安全性作了全面的考虑,稳定性好。控制中心与子控中心以及探测引擎的通讯采用加密方式。
天阗与各主流防火墙的联动:已经在国家重点信息化安全保障工程、国家安全部、银行机构等一些大型网络中广泛的应用,其联动能力与效果十分显著,充分体现了
以天阗IDS为核心筑造的动态防御体系对安全防护能力的极大提升作用。
1.2.2 防病毒系统方案
建立行之有效的全方位防病毒体系,其关键的一点就是要首先分析企业现有的网络环境。这样才能对此网络所存在的病毒隐患,作出全面的分析报告。下面是某市自来水公司现有企业网络模型:
防毒体系的建立并不单纯只是几种防毒产品的堆积,它的重点在于要针对企业现有的网络环境,对网络中所有可能存在的病毒侵入点进行详细的分析,针对每一个可能的入侵点进行层层防护,对症下药,真正使之成为“安全的”企业网络。其原因在于,企业网络中不允许有任何漏洞。企业网络中的任何一个漏洞,都将成为网络安全的致命弱点。
我们采用北京启明星辰信息技术有限公司的“天蘅安防”网络防病毒系统进行网络病毒的防护。
天蘅安防网络防病毒系统是启明星辰公司推出的国产化防病毒产品,它使用了国际著名的杀毒软件厂商F-Secure公司的杀毒技术。
天蘅安防防病毒系统是世界上最综合的集中式管理的防病毒系统,适用于企业的各类计算系统,包括移动设备、工作站、服务器、防火墙和网关。对于那些正在迅速迈向分布式的、移动的网络环境的企业,天蘅安防提供了最强大的病毒以及恶意代码防范功能,无论是对固定用户还是移动用户,均实现了最大的系统可用性和数据安全性。
目前,天蘅安防网络防病毒系统已在金融、证券、电信、大型网站及国家政府部门、企事业单位得到广泛应用,其集中式管理、优秀的病毒查杀能力,以及全自动升级技术
得到了用户的广泛好评。在2000年10月公安部国内外网络防病毒系统测试评比中获得最高级别产品。
全方位多层次的病毒防护能力:天蘅安防网络防病毒系统在三个层面上制止病毒的肆虐:一在工作站,这是大多数发生病毒感染的地方;二在服务器,防止病毒扩散;三在防火墙及网关,防止病毒从网络进入企业内部。
集中安装和管理:全球唯一通过策略管理器(Policy Manager)来进行集中管理和配置的防病毒产品。策略管理器包括三个关健部件:管理台、管理服务器和管理代理,天蘅安防的策略管理器可以通过HTTP协议或共享目录进行通讯,因此管理员所下发的策略文件和最新的病毒定义文件可以通过广域网及国际互联网传输,实现真正的对广泛分布用户的集中管理。
世界一流的病毒检测和清除能力:天蘅安防网络防病毒系统采用Countersign技术将多个不同的扫描引擎集合在一个产品内,这几个扫描引擎分别是:F-Prot、AVP、Orion,多重引擎扫描技术是唯一可跨平台使用的产品,多个内置扫描引擎可同时应用基于签名的病毒扫描器、启发式分析算法和校验和认证三种扫描技术,使之成为唯一能扫描出加密文件内病毒的防病毒产品。
自动更新病毒定义文件:防病毒客户端以轮询方式自动从管理服务器获得更新,轮询时间间隔可以由管理员设定;更新的病毒定义库可以由管理员手动放置到管理服务器上,也可以通过BackWeb服务器端程序自动从Internet接收更新。Back Web客户端与Back Web服务器端以频道订阅式连接,所有更新文件将自动从服务器端Push到客户端,此过程支持断点续传,同时病毒定义库的更新是以字节级增量式进行的,它使用闲置带宽,不抢占宝贵资源。通过这种方式,用户可以建立一个100%全自动的病毒定义更新系统。
完备的病毒定义数据库:病毒定义数据库的内容是衡量防病毒产品检测和清除病毒能力的一个重要指标。天蘅安防同时拥有世界五大病毒库之一的F-Secure公司的病毒定义库和国内完备的病毒定义数据库,使得天蘅安防的病毒检测和清除能力技高一筹,无论是国际上流行的病毒还是国内流行的病毒,天蘅安防都可以及时准确的将其检测和清除。
独特的邮件服务器扫描技术:天蘅安防使用Content Scanner 与邮件服务器分开查杀病毒的方式。天蘅安防网络防病毒系统服务器版由两部分组成:AntiVirus Agent和Content Scanner Server。其中AntiVirus Agent主要负责在服务器中向Content Scanner
Server转发邮件或文件,Content Scanner Server进行文件的病毒检测和清除工作,并向服务器返回结果。天蘅安防所建立的数据库可以被设置清理邮件的时间和次数,也可被中止扫描.。如有通讯中断的情况,所有邮件会被存放在这个数据库中,并按系统设置定期试图建立连接。一旦接通,继续正常工作。这种方式可以减少在邮件查杀过程中给邮件服务器增加的额外负载,避免邮件服务器因过载而崩溃。
1.2.3 安全产品部署
1.2.3.1“天阗”部署说明
为了保护网络出与拨号用户所带来的安全性,我们作如下部署:
中心交换机上接入一台天阗黑客入侵探测引擎:对渗透过防火墙的攻击与通过
PSTN进行信息通讯的数据和用户进行实时的监测。
在OA系统内部配置一台服务器:作为“天阗”入侵检测系统的控制台,对网络
中的探测引擎进行管理与策略分发,以及对事件的监视与报警。
通过使用天阗可以容易的完成对以下的攻击识别:网络信息收集-、网络服务缺陷攻击、Dos&Ddos攻击、缓冲区溢出攻击、Web攻击、后门攻击等。
灵活的配置管理界面
内置了多种预定义策略,并允许用户添加修改策略
多种攻击响应方式,同防火墙进行联合行动,阻断任何非法连接
开放式事件特征库,任何人都可以自行定义和添加特征事件
报表分析系统,可对日志进行事后二次分析
网络流量分析,可以帮助分析网络故障
提供固化版本的网络探测器,即插即用,方便安装
多级分层管理
产品配置
“天阗”黑客入侵检测与预警系统控制中心软件一套(PCqwr/2000 Server)
服务器配置一台NT4.0/2000 Server)
“天阗”黑客入侵检测与预警警与阻断,在防火墙后配置一套天阗黑客入侵
检测与警预系统,实时时系统探测引擎一台(硬件)
对内外部网的访问数据流进行实时监控与报警;同时对于各IP的网络流量进行监控
1.2.3.2“天蘅安防”部署说明
天蘅安防网络防病毒系统需要在湖南移动内部网络中心安装一台PC服务器(最低配置P3/128M/20G),并安装天蘅安防控制中心软件作为天蘅安防的管理控制中心。在各台服务器和客户端主机上分别安装天蘅服务器端和客户端软件。
在某自来水公司网络中实现对病毒的实时监测,由网管中心统一控制和管理。具体功能如下:
(一)完备的病毒定义数据库
病毒定义数据库的内容是衡量防病毒产品检测和清除病毒能力的一个重要指标。天蘅安防同时拥有世界五大病毒库之一的F-Secure公司的病毒定义库和国内完备的病毒定义数据库,使得天蘅安防的病毒检测和清除能力技高一筹,无论是国际上流行的病毒还是国内流行的病毒,天蘅安防都可以及时准确的将其检测和清除。
(二) 集中安装和管理
全球唯一通过策略管理器(Policy Manager)来进行集中管理和配置的防病毒产品。策略管理器包括三个关健部件:
管理台(Administrator)
管理台是基于Java的应用程序,可以跨不同平台上运行,提供集中式的管理控
制台,以保障网络中被管理的主机安全。
管理服务器(Management Server)
存储管理员发布的策略、软件的更新和被管理的主机发出的状态信息及警报。
管理代理(Management Agent)
用来实施管理员在被管理的主机上设置的安全策略,并为最终用户提供用户界面
和其它服务。
其层次关系是管理员工作站、后台服务器和终端用户工作站。所有在管理员工作站和终端用户工作站之间的通讯都通过这个体系结构来实现。
天蘅安防的策略管理器可以通过HTTP协议或共享目录进行通讯,因此管理员所下发的策略文件和最新的病毒定义文件可以通过广域网及国际互联网传输,实现真正的对广泛分布用户的集中管理。
(三)多重引擎扫描技术
天蘅安防网络防病毒系统采用Countersign技术将多个不同的扫描引擎集合在一个产品内,这几个扫描引擎分别是:
F-Prot——最好的宏病毒检测和清除引擎,同时拥有一流的文件和引导扇区病毒检测和清除能力。
AVP———最好的多态文件病毒检测和清除引擎,一流的宏病毒检测和清除能力。 Orion——世界上第一个也是仅有的提供启发式的和模拟方式的扫描引擎,可探测出基于设备文件的变体WIN32病毒。
多重引擎扫描技术是唯一可跨平台使用的产品,多个内置扫描引擎可同时应用基于签名的病毒扫描器、启发式分析算法和校验和认证三种扫描技术,使之成为唯一能扫描出加密文件内病毒的防病毒产品。
多重引擎扫描技术可以提供非常高的病毒清除率。所有的防病毒产品都工作在一个通用的框架(Framework)之下,并且,因为内置的多个病毒扫描引擎可以应用不同的检测技术,利用每个扫描引擎对不同种类病毒的扫描优势,使得病毒处于交叉火力之下,从而大大提高了查杀率。
天蘅安防网络防病毒系统是一个完全模块化的防病毒程序,不同的模块可以被单独维护和升级。
(四)自动更新病毒定义技术
防病毒客户端以轮询方式自动从管理服务器获得更新,轮询时间间隔可以由管理员设定;
更新的病毒定义库可以由管理员手动放置到管理服务器上,也可以通过BackWeb服务器端程序自动从Internet接收更新。Back Web客户端与Back Web服务器端以频道订阅式连接,所有更新文件将自动从服务器端Push到客户端,此过程支持断点续传,同时病毒定义库的更新是以字节级增量式进行的,它使用闲置带宽,不抢占宝贵资源。
通过这种方式,用户可以建立一个100%全自动的病毒定义更新系统。
1.3 售后服务
1.3.1 服务宗旨
网络安全是一个动态的过程,网络安全总是处在网络系统攻击和防御的平衡之中的动态相对安全。我们的安全服务宗旨是:在不断更新、优化现有产品的同时,为客户提供持续、专业、全面和快速的本地化服务。网络信息系统安全不仅需要动态的工具和产品,而且需要持续跟进的安全服务。
1.3.2 服务内容
1.3.2.1风险分析
对网络安全的威胁确是存在的,但并不是绝对的和确定性的;如果为一种极小概率的事件付出的代价超过可能带来的损失,显然是不足取的。清楚系统环境中的威胁可以帮助管理者制定最为经济合算的安全政策,有时甚至发现,容忍可能的损失而不采取措施可能更为经济,这一切的决策基于风险分析的结果。
风险分析的概念,是指确定资产的安全威胁和脆弱性、并估计可能由此造成的损失或影响的过程。风险分析有两种基本方法:定性分析和定量分析。定量分析与定性分析不同之处在于,该方法需要收集尽可能详细和精确的数值,使用数学和统计方法,以得
到绝对的风险值;与防卫措施的投资相比较,可以直接做出安全措施是否实施的决策。
风险分析的结果是制定安全政策的重要依据,可以按照资产列表制定相应的安全政策。当然,安全政策的制定有时需要全局性的考虑,而不是完全以资产为线索。
1.3.2.2产品维护
(1) 启明星辰为软件产品提供一年免费维护。维护项目包括:软件的更新升级,在软件长期运行时一旦出现故障或不稳定情况,迅速进行维护和更新;
(2) 软件产品提供长期的更新升级服务,同时对较大的产品升级及时提供培训;
(3) 随着某市自来水公司内部业务的变化,可以根据具体业务的要求适当优化、修改原有系统,增加新的功能。
注:.购买产品一年之内免费升级与维护,一年后每年升级与维护费为产品总价的15%。
1.3.2.3测试支持
在系统安装完成后,为某市自来水公司内部提供完整的测试方案,进行全面的测试。在系统经测试确认配置优化,系统运行正常后,方可进行系统签收。
1.3.3 服务形式
1.3.3.1软件升级
启明星辰通过Internet为其软件产品及时提供升级等服务;
启明星辰可以通过其它介质为某市自来水公司内部网络安全提供软件更新; 启明星辰可以通过电子邮件为某市自来水公司内部网络安全提供实时的软件更
新。
1.3.3.2热线咨询
安全问题通常是复杂多变的,某市自来水公司内部网络在采用启明星辰的网络安全方案并安全产品之后,可以通过启明星辰提供的24小时热线电话(800-810-6038),向启明星辰的安全专家进行咨询,安全专家将会从保护某市自来水公司内部网络技术可实
现的角度为您提供满意的答复。
1.3.3.3紧急事件处理
在某市自来水公司内部网络发生紧急情况时,启动紧急救援计划,提供安全专家紧急出动服务,安全专家将到现场,恢复系统正常工作,协助检查入侵来源,提供事故分析报告和安全建议及服务,为用户提供及时、全面的安全问题解决方案。
1.3.3.4培训
为了让客户更好地理解和使用启明星辰公司的安全技术和产品,高效维护网络的安全运行,启明星辰特为客户提供相应的技术培训。具体培训内容涵盖: 网络安全的法律、法规
计算机网络安全基础
各个安全子系统的原理、功能及安装、调试、配置和运行维护
网络安全策略制订和管理制度的建立
1.4 成功案例
启明星辰公司针对银行、证券、广电、电信、政府、军队等领域的不同需求特性,已经形成了具有特色的网络安全行业解决方案,并为行业大客户提供全面的咨询设计和工程项目实施服务,具有代表性的成功案例包括:
国家公安部
2000年6月 和公安部第三研究所等单位共同承担国家计委项目“计算机信息系统安全保护等级评估认证体系”;
2000年11月 承担公安部“拨号上网安全系统”;
国家计委
1998年 完成国家信息中心“防火墙测试平台”研发,并获得广泛好评;
国家经贸委
2001年5月“天蘅安防网络防病毒系统”被列入2001年国家重点新产品试产计划 信息产业部
2000年 8月 承担并负责实施信息产业部“网络保障应急响应示范工程”;
2000年 9 月承担并实施国家计算机网络与信息安全管理中心 “国家网络安全攻防技术实验室” ;
2000年12月 承担国家计算机网络与信息安全管理中心“安全资源管理平台”和“黑客身份认证与反攻击系统”;
国家科技部
2000年4月 完成科技部科技创新基金项目 “智能黑客身份认证与监测系统”
2000年7月 承担并负责实施国家863计划信息安全技术应急项目“网络安全测评工具”和“网络动态防病毒系统”;
2001年3月“个人防火墙与PC机保护系统”获得科技部创新基金支持项目;
2001年4月“智能黑客监测预警系统”被列入2001年国家级重点火炬计划项目; 政府
2000年8月 承担并实施“海淀数字园区”安全保障系统;
2000年12月 承担并实施上海219工程项目东方网、上海市高级人民法院网站监测与自动修复系统;
2001年7月 承担并实施上海市纪委网络防病毒系统;
2001年8月 承担并实施某大政府核心政务系统网络安全总集成项目;
2001年9月 承担并实施上海市社会劳动与保障局网站监测与自动修复系统; 银行
2000年8月 承担一系列商业银行网络安全系统项目;
2000年12月 成为中国人民银行唯一一家防病毒、防黑客及漏洞扫描两方面产品都入围的厂商;
2001年3月 承担某银行北京分行网络防病毒解决方案;
2001年3月 承担人行某分行入侵监测、漏洞扫描系统项目;
2001年4月 承担人行某分行入侵监测、漏洞扫描系统项目;
电信
2001年 10月 承担中国电信IP网网络安全风险评估项目;
证券
2000 年6月 承担并实施“国信证券网上交易安全示范工程”;
2001年8月 承担并实施蔚深证券入侵检测和漏洞扫描系统;
军队
2000年8月 解放军某部网络安全系统和模拟攻击系统;
ISP/ICP
2000 年5月 与首都信息发展有限公司签订ASP协议,负责保障首都电子商城网络安全并共同为其客户提供网络安全在线及现场服务;
2000年7月 中科院信息中心查询项目信息安全系统;
2000年7月 承担中国社会发展互联网信息安全系统;
企业
2001年9月 承接华能国电网络安全项目入侵检测与漏洞扫描系统;
另外启明星辰公司大力开展与各行业系统集成商、产品代理商的紧密合作,已经成功实施的代表案例包括:
2001年8月 中国兵器工业新技术推广研究所网站监测与自动修复系统;
2001年8月 浙江嘉兴市行政中心网络安全整体解决方案;
2001年8月 华安证券网络防病毒系统;
2001年8月 上海浦东新区宣传部网络防病毒系统;
2001年9月 上海国家安全局网络入侵检测系统;
2002年3月 湖南省政府经济信息中心网络入侵检测系统,漏洞扫描系统;
2002年4月 湖南省移动通信公司入侵检测系统、网络防病毒系统,漏洞扫描系统; 2002年5月 湖南省国税局入侵检测系统;
2002年7月 湖南省公安厅入侵检测系统、网络防病毒系统,漏洞扫描系统; 2002年7月 湖南省地税局入侵检测系统、漏洞扫描系统。
2002年8月 某大学入侵检测系统
2002年9月 某市地税局入侵检测系统
2002年10月 湖南省株洲列车电力机车厂入侵检测
2、网络计费系统
2.1企业上网中存在的问题
1)企业专线(含ADSL等)接入互联网存在很多亟待解决的管理问题
毫无疑问,互联网将信息交流提升到一个前所未有的层次,企业经营人员在获取、收集和发送信息的速度、数量、多媒体的表现形式方面都得到极大的便利,同时相关的成本却降低了。各类企业主或管理人员正是认识到互联网的好处,纷纷开通专线接入互联网,企业内部员工通过局域网就可以方便而快速地享受互联网带来的各种服务。
准确地说,专线接入互联网是企业的一种资源,但目前在利用和管理该资源方面却存在着太多的问题,这些问题极大地困扰着企业高层管理人员、人力资源部和IT部门。
2)网络资源的不合理使用,并导致工作效率下降
根据IDC最新数据报导,企业员工平均每天有超过二分之一的上班时间用来在线聊天,浏览娱乐、色情、赌博网站,或处理个人事务;员工从互联网下载各种信息,而在那些用于下载信息的时间中,62%用于软件下载,11%的时间用于下载音乐,只有25%用于下载与写报告和文件相关的资料。
有27%的美国公司发现员工会将Internet或E-mail用作它途。(美国管理协会2001年度报告)超过77%的美国公司会记录和审查员工的通信内容。(美国管理协会2001年度报告)美国63%的公司会监视员工的网上活动。(美国管理协会2001年度报告)
互联网上的内容太丰富了,对企业员工有太多的诱惑,很多的员工沉溺其中,无法自拔,常常把自己的本职工作放在一边,导致企业整体工作效率没有提升反而下降。 调查数据显示以下为影响工作效率主要的互联网行为,它们与工作无关而且可能导致更多的问题(比如网络安全等):
浏览色情网站;
浏览游戏、音乐等娱乐网站,下载大量与工作无关的音乐文件,在线听音乐,
在线看视频图像等,不仅耽误工作,而且占用大量的网络带宽资源,影响其
他人员使用公司的资源;
浏览相关财经网站,利用公司的资源在线买卖私人股票或浏览相关信息;
浏览“在线”购物和拍卖网站;
浏览赌博网站;
使用即时信息交流软件如ICQ、OICQ;
„„
3)网络资源的不公平使用,带来严重的带宽问题
许多上网人员不停地下载大容量的文件,比如大量的MP3音乐文件;或者在线听音乐、看视频电影、新闻等行为,严重占用网络带宽,造成网络堵塞,上网速度下降,影响其他员工的正常上网行为。
管理人员奇怪企业大量投资的专线接入速度一天比一天慢;IT部门经常遭到抱怨,要求提升上网的带宽;而有趣的是抱怨的人中包括那些下载音乐文件或看视频电影的员工。
4)上网给企业带来的泄密或信息系统破坏等安全问题
任何企业主或管理人员都担心自己内部的机密信息流露出去,而互联网偏偏又方便信息的交流和传递。通过互联网,任何数字文件都可以方便地发送出企业的内部网,正因为如此国外很多公司都对企业内部的电子邮件系统实施定期的检查。但邮件的检查并不全面,因为有很多免费的邮件系统可以利用,它们的使用只要用浏览器就可以;此外即时信息交流软件也可以使用户绕过电子邮件系统而直接发送信息到企业外部。
不受限制的上网行为将带来更多的安全问题,比如下载的文件中带有病毒或其它有破坏性的程序;ICQ、OICQ等软件的使用有可能招到网络黑客的袭击,硬盘里的资料和数据被窃取或破坏。
想到这些问题,每个管理人员都可能坐立不安。如何解决这些问题呢?
5)网络资源的非法使用,使企业有可能陷入法律纠纷
在国内,法律规定了很多网站是非法的,比如有色情内容的、与反动政治相关的、与迷信和犯罪相关的等等。使用专线接入互联网后,企业内部网某种程度上成了一种“公共”上网场所,很多与法律相违背的行为都有可能发生在内部网中。事实上,这是很多企业要加强企业网络管理计费的最初的原因。
另外一个日渐显露出来的问题是网络黑客利用企业专线入网的条件,实施非法的网络攻击,发送病毒文件等,这都给企业上网带来了很多可能引起法律纠纷的隐患。 企业目前缺乏有效的工具在相关事情发生后提供数字化证据。
6)企业缺乏对网络资源使用进行量化的标准和工具
网络资源作为一种电子化的资源,在是通过企业内部的局域网共享的,网络中的每个登录用户都能使用。专线上网后,到底是哪些人在使用该资源,使用的程度如何,如
果要进行相关的成本核算,并把专线接入的成本划到企业内部的每个成本中心,怎样做才是最有效的呢?
互联网或者说信息技术确实是一个“神奇”的东西,在不同的人、不同的组织、不同的企业环境中,它带来的影响是充满矛盾的,能提高企业的工作效率、增加企业的竞争力、降低企业运营成本;另一方面,它却能降低企业的工作效率、给企业带来很多威胁和安全隐患。那么,到底要不要用它?
答案其实很简单,肯定要用,但是必须对它实施有效的管理,就象管理其它的企业资源一样。
2.2企业网络管理计费需求的发展
面对上述如此众多的问题,企业管理人员都会想到对内部员工上网行为进行管理。通过对美国和我们国内相关情况的研究,企业这方面的需求从简单到复杂,经历了下面几个阶段。
互联网接入控制阶段
最初的阶段是严格控制员工的上网,我们称之为互联网接入控制阶段,方式比较简单。企业建立网络地址数据库,规定哪些网站不能访问。几乎大部分网站都被屏蔽,不允许员工在企业网内访问,即使是非工作时间照样禁止。
初步的互联网接入管理阶段
第二阶段是初步的互联网接入管理阶段,以保持企业的工作效率为目的,通过建立相关的互联网接入策略和管理功能,能实施对不同人员、不同部门的上网权限管理和资源分配,有部分报表系统显示简单的员工访问互联网的记录。
企业网络管理计费阶段
第三个阶段是真正的企业网络管理计费阶段,以提高企业的工作效率为目的,企业不但建立相关上网策略,更进一步和企业信息系统安全、企业知识管理等结合起来;能更好地分配网络资源,比如对不同对象实现不同的网络带宽分配;建立详细的员工访问互联网的日志,提供详细的报表,能帮助企业管理层分析员工的上网行为,并对上网的策略进行相关调整,让互联网成为企业的最有效的工具。
在上述三个阶段中都有不同的产品相适应,帮助企业实现对专线上网资源的不同层次的管理。就目前的情况而言,各企业在选择产品方面都希望企业网络管理计费的功能比较强大,能帮助企业管理人员、人力资源部门和IT部门解决各自的问题。NetCharge 企业网络管理计费系统就是一个很好的工具。
2.3 NetCharge 企业网络管理计费系统技术详解
NetCharge 企业网络管理计费系统,是一个对企业内部网与互联网之间传输的数据进行监控管理的硬件系统。该系统采用了先进的架构和技术,不同于传统的基于代理的互联网接入控制系统的工作方式,克服了其无法克服的技术瓶颈,从功能、性能、效率、安全性等方面全面超越传统的互联网接入控制系统。
NetCharge 企业网络管理计费系统集中了多项先进实用技术,如系统的桥接工作方式、基于帐号的审计方式、包过滤、基于状态的内容检测、带宽管理、通信加密等。
1)系统的桥接工作方式
NetCharge 企业网络管理计费系统以网桥的方式连接在内部网的出口上。网络上流入、流出的数据包都要通过该系统,系统可以根据用户需要对具有某种特征、状态的数据进行记录,处理,有效实现对网络数据的监控。
网桥方式的连接,具有以下几个优点:
不占用IP地址:不仅节约了网络资源,还避免了对网络上现有设备配置的
改动。
不改变现有的网络拓扑结构:该系统对用户的网络结构无特殊要求,使用该
系统不会对用户现有的网络拓扑结构造成影响。
效率高:与基于路由的工作方式相比,不仅避免了繁琐的路由表的维护,还
提高了数据传输的效率。
透明:系统的内外两个接口没有IP地址,对内、对外都是透明的。
安全:没有IP地址和端口,有效防止了网络黑客对系统的攻击行为。
2)基于帐号的审计方式
NetCharge 企业网络管理计费系统不仅支持基于IP地址的审计方式,还支持基于用户帐号的审计方式。
对于内部使用动态分配IP地址的企业,或高校内的公共机房等场所,基于IP地址的审计方式无法真实准确的将企业网络管理计费实施到每个网络用户,而基于帐号的审计方式就可以满足需求,这使得该系统管理的对象可以是企业的员工,也可以是某台计算机。它主要有以下特点:
防止IP地址盗用造成的企业网络管理计费问题。
解决了动态分配IP地址的企业网络管理计费问题。
解决了同一IP地址被多人轮流使用的企业网络管理计费问题。
3)包过滤
NetCharge 企业网络管理计费系统是安装在内部网络的出口位置,对网络上流入、流出的数据包进行过滤,允许正常的数据包通过,拒绝非法或异常的数据包通过,具有以下几个功能特点:
禁止非授权用户访问互联网的企图。
防止来外部对内部网络状况探测的企图。
禁止外部访问内部的重要计算机
实现包过滤防火墙的基本功能
4)基于状态的内容检测
NetCharge 企业网络管理计费系统采用基于状态的内容检测技术,对内部网上网用户访问的站点、页面进行监控,根据站点的IP地址、域名、关键字进行监控,禁止上网用户访问某些站点,记录上网用户访问过的站点、页面,为管理员提供必要的电子记录。
5)带宽管理
NetCharge 网络管理计费系统内嵌高效的带宽管理系统(NetKing),NetKing提供高效的带宽管理功能,您可以自由的划分带宽,为每个用户定义带宽属性,为特定的主机(WEB Server ,Mail Server.. )定义保留带宽。并且可以根据用户的使用情况动态调整带宽。
NetKing 可以通过让网络管理员对网络流量进行监控、对在网络中传输的资料进行分类并使网络达到最优化状态来解决以上的问题。NetKing 可以让用户以智能的方式调整网络带宽,并根据网络服务提供商或企业的需求和优先顺序,来提供全系统的服务等级保证。
NetKing 基于 C/S 的管理和报表工具能够使用户可以了解他们网络的特点,并简化了供网络管理员使用的智能网络结构。NetKing 让用户建立一个完整的和全系统的观点来对网络进行管理。NetKing 持续地对网络带宽和服务器资源进行监控,并将网络状态简明扼要地以便于理解的格式生成报表。只要网络的状态发生变化,用户就可以持续地对网络资源进行监控,并能更加熟练地调整网络策略以便能构建一个最优化的网络。
NetKing 支持以下控制流量方式:
可以实时控制某个用户的流量
可以实时控制某个用户组的流量
可以限制某个用户某项服务的流量
可以限定某个用户的上行和下行流量
可以根据在线用户数实时动态调整用户的流量
可以实时对某个用户带宽进行调整
6)通信加密
管理员与系统之间的通信,如管理操作的命令与数据,普通用户与系统之间的通信,如用户登录的帐号的密码,采用基于SSL的加密传输方式。保护管理员及普通用户帐号和口令的安全。
网络既要实现内部网络和外部的有效隔离,又要允许某些内部网络能够被外部网络所访问,这些要求都需要使用防火墙的相关技术来实现。另外,各个宽带小区的物理网络结构的多样性,都需要专业的网络安全专家来进行网络规划。网络的安全问题大部分来自网络内部,所以,用户与网络计费系统之间的通信需要使用专用的加密技术(128位 SSL加密),并且辅助其他手段来达到网络安全的目的。
应用NAT技术,使内部网和Internet实现充分隔离,内部用户可以访问局域
网外部用户,外部用户特殊用户可以访问内部用户,让内部网用户共享上网
的同时,保证了内部网络的安全。
应用的路由转发技术,可以充当认证服务器,并且通过外部的路由器来进行
NAT转换;NAT技术和路由转发技术并存;
可以屏蔽某些服务和网站,支持路由规则或防火墙通道设置,提供无限个IP
或域名过滤表;支持过滤表网上升级;支持账号绑定IP和MAC地址功能;支
持MAC-IP地址绑定功能;
NetCharge 内置NETCHARGE-HA系统集群及高可靠性备份解决方案
7)采用重定向技术的web登录技术
用户的上网登录认证采用Web 浏览器方式,无需下载客户端软件,非常方便用户的使用。登录前用户输入任何字符或网址,都将指向NetCharge 的登录界面,登录后系统会自动重定向到用户所要去的网址。
用户登录过程:
用户在浏览器中输入任何字符或网址。如:
强制重定向用户界面到登录界面
用户需输入用户名和密码
成功登录计费系统
8)NetCharge 认证特点
强制跳转登录界面
用户名和密码通过128位SSL加密传输
定制ICP门户页面
不需要安装任何客户端程序。
2.4 NetCharge 企业网络管理计费系统结构
NetCharge 企业网络管理计费系统以桥接的方式安装在网络的出口上,对流入、流出的数据包进行监控,并根据系统的设定采取相应的控制行为,记录相应的数据,并进行分析统计,生成相应的数据报表。
NetCharge 企业网络管理计费系统的网络结构示意图
1)系统使用操作系统
NetCharge网络管理计费服务器运行在Linux操作系统之上。
数据库服务器根据选用的数据库运行在Linux RedHat.、Solaris。
管理端平台运行在Window操作系统之上。
客户端采用Web 浏览技术,支持所有操作系统。
2)系统硬件平台
硬件环境: PC Serve一台或两台,安装计费系统,提供一台为备份机。
注:计费系统和数据库可以剥离。
系统兼容性
路由器支持:支持所有类型路由器设备
交换机支持:支持所有类型交换机设备
防火墙支持:支持所有类型防火墙设备
代理服务器支持:支持所有类型的代理服务器
缓存服务器支持:支持所有类型的缓存服务器
拨入服务器支持:支持所有类型的拨入服务器
3)系统使用数据库
系统数据库采用Borland公司的InterBase 5.6关系型数据库。
系统兼容性:支持所有大型数据库,中型数据库。
支持数据库和系统剥离
4)关于Linux
Linux可采用国外商用Linux(如:Red hat, Mandrake,Turbo Linux, SuSE Linux,Caldera Open Linux),也可采用国内开发的Linux 操作系统 (如:红旗 Linux,中软 Linux等)。系统默认采用:Red Hat Linux
2.5 NetCharge 企业网络管理计费系统特点、功能及优势
NetCharge 企业网络管理计费系统是专为解决各类企业面临的上述问题而产生的产品,通过对市场的详细调查,该系统设计的功能可以满足企业对企业网络管理计费的
第三阶段的要求,帮助企业驾御互联网接入的宝贵资源,充分发挥互联网的益处,提高企业运营效率,同时降低相关风险。
它是一套Intranet环境下,对上网用户进行系统管理的纯软件系统。它不仅能准确记录每个员工所访问的所有网页,而且能对各部门或员工接入互联网的带宽进行分配,提高整个专线接入互联网的效率。此外它强大的计费功能,能有效保证企业网络的运营成本。
该系统性能稳定、安全性高、功能强大、安装和操作都很方便,是企业对本单位上网管理的理想之选。无论您是想对用户进行上网管理,还是要对用户进行计费管理,拥有了这套系统,这些工作变得十分轻松方便。
2.5.1 NetCharge 企业网络管理计费系统的特点
支持集中式或分布式系统结构,可以按照客户要求进行灵活配置。在分布式结构
下,单点可支持并发5000用户。
支持多路由出口接入Internet: NetCharge可以支持通过一个或多个路由出口
接入Internet的内部网。
在多出口时实现基于策略的负载平衡。
支持各种主流的网络接入设备和现存的各种接入方式。
NetCharge支持PSTN、ISDN、DDN、ADSL、ATM、FR、CABLE MODEM 视网通。NetCharge支持高达1000M的网络出口,而不会降低网络出口的速度(单台并
发5000用户)。
面向用户的企业网络管理计费系统,支持用户上网的唯一性控制,并具有完善的
出错控制系统。无论用户通过哪一台计算机访问Internet,NetCharge都可以对他们进行管理和计费,支持动态地址分配与静态地址绑定。
支持多种用户类型,并支持新用户类型的扩展
单独服务应用或组合服务账号(如只可以使用Mail,Web,ICQ等单独服务的账号) 限制带宽账号
上网时限账号
时间化的服务控制用户(如上班时间只允许使用Mail系统,下班以后任意使用)
方便的使用
无论您是管理员还是用户,您都能感觉到Netcharge 给您带来的方便,对于管理员,我们在提供友好的管理客户端的同时,添加了WEB管理和查询。对于用户的使用,我们不强迫您安装客户端(您也可以安装客户端,方便您的上网),只要您有浏览器,简单的通过浏览器验证就可以使用网络,并且,用户可以通过浏览器查询使用的时间,流量,费用等相关情况,并修改相关的用户属性。
提供不同的管理计费方式,支持多种付费方式
提供了针对时间,流量和包月三种管理和计费方式,支持多种付费方式:现金付费、银行代缴、邮政储蓄、卡支付、网上支付。
支持用户分组管理
NetCharge支持对不同的用户类别进行分组管理,管理更加方便。
提供了灵活的控制手段
NetCharge提供了许多设置选项对上网用户进行管理。支持14种查封条件,管理员可设置每个人的欠费阈值、使用时间阈值、使用流量阈值、使用金额阈值、每月使用金额阈值、包月未缴费、上网时段、每日上网时间等选项。当一个条件满足后,用户帐号就可被自动查封。支持时间表,用户只可以在规定的时间内访问Internet。
高效的带宽管理(Netking)
NetCharge提供高效的带宽管理功能,您可以自由的划分带宽,为每个用户定义带宽属性,为特定的主机(WEB Server ,Mail Server.. )定义保留带宽。并且可以根据用户的使用情况动态调整带宽。
智能代理监控
Netcharge可以智能的判断用户使用代理的情况,对于大量用户使用同一帐号通过代理上网的行为,Netcharge可以使用其独特的带宽动态调整的功能来降低带宽.
强大的用户上网行为监控。
NetCharge 提供条件监控,全局监控,单用户监控三种主要的监控手段,可以全方位的对记录用户的上网行为。并且提供自定义条件监控,可以定义监控目标集,监控源集,监控地址集等多种监控发式。
即时更新的内容过滤引擎(Netfiler)
NetCharge 提供基于用户的即时更新的内容过滤引擎,可以对网站地址,网页内容进行智能过滤,使您的企业摆脱可能陷入的法律纠纷。
可以灵活制定费率引擎,支持多种优惠方案
可以对接入、信息、服务三个层次分别定义费率、费率引擎灵活,可以实现根据用户、接入方式和网络资源利用情况等各种不同情况的组合进行资费计算,支持多种优惠方案支持分时间段优惠,分用户组、用户进行优惠,假日,星期,日期段优惠。可以更据用户的要求定义优惠算法。
分布式管理,对用户可设置多种管理级别,支持多管理员、多收费员。
浏览技术,无需安装客户端软件
上网用户使用浏览器(Browser)进行身份认证和费用查询等操作,不需要特殊的客户端软件,减少了网络管理员的维护工作量。
易于安装、稳定性好。
NetCharge的所有功能集成到一台硬件设备(PC Server)中,只需要进行简单的接线就可以完成安装工作。NetCharge核心基于Unix平台,系统稳定性很好。
提供日志记录,跟踪操作人员的操作情况,杜绝操作人员违纪现象。
具有良好的预付体系,支持各种预付款或预付卡功能。
强大的报表生成系统,提供用户的上网行为分析。
支持完整的用户上网记录日志,包括用户上网时间、流量、网站等。
支持用户服务限定,如不允许ICQ聊天、在线游戏等。
2.5.2 NetCharge 企业网络管理计费系统的功能
上网权限管理
分配每个员工、每台计算机接入互联网的权限;可以通过组来管理每个部门的
员工。通过该功能,企业管理人员可以将互联网资源分配给真正需要的工作人
员。避免资源浪费。分配资源的对象可以是具体的员工,也可以是某台计算机。 服务权限管理
NetCharge 提供基于用户的时间化的服务限制,可以对不同用户提供不同的服
务级别,比如对销售部,您可以只开放Mail功能,对技术部您可以开启Web、
Mail、ICQ等服务,以方便技术交流,财务部只可以访问财务系统主机。这一切
都可以时间化定制,在不同的时间,服务的内容可以相应的发生变化。
互联网访问管理
限制员工在工作时间访问某些不良或与工作无关的网站,解决员工工作时间玩
网络游戏、网上炒股、网上聊天、访问‘黄、赌、毒’等不良网站、工作时间
进行购物及其它娱乐活动等行为的管理。防止员工滥用互联网资源,最重要的
是提高员工的工作效率。企业管理人员可以根据需要定制自己的互联网访问策
略,增加和删除需要管理的网站地址。
全面细致的审计查询功能
能够审计企业内员工的在线上网行为,记录每个员工所有的上网行为,根据历
史记录生成不同的报表,诸如页面访问、收发电子邮件、下载软件、下载文件
等;并能妥善有效保存记录,以供管理人员随时查看。可以查询每一用户或内
部网内每一台计算机访问互联网的记录、访问时间、相关数据流量;可以将相
关的数据转化为货币形式,方便对相关部门进行成本核算。可以查看任一时间
内,某个网站的被访问情况,显示究竟是谁访问过该网站以及其所访问过的具
体页面;可以查看某一时间段内部网访问互联网具体的浏览网址列表,方便管
理人员分析员工的上网行为,有针对性地作出互联网访问策略的调整。通过各
种报表,管理人员对内部每个员工使用互联网的情况了如指掌,针对上述网络
资源管理中的每个问题都能得到数据依据,做相关决策时更准确。
高效的带宽管理
NetCharge提供高效的带宽管理功能,您可以自由的划分带宽,为每个用户定
义带宽属性,为特定的主机(WEB Server ,Mail Server.. )定义保留带宽。并
且可以根据用户的使用情况动态调整带宽。企业可以根据需要对不同的部门和
人员分配网络资源,使他们得到不同的上网速度;不同部门间的上网行为不会
互相影响,可以有效地阻止某些人或部门滥用网络资源而影响其他人上网。
防火墙功能
基于包过滤技术的防火墙将内网和外网隔离,保护企业内部网络的安全。
2.5.3 NetCharge 企业网络管理计费系统的优势
NetCharge 企业网络管理计费系统除了上述全面的功能外,还具有如下优势:
各自独立的功能模块
各大功能均有相应独立的功能模块,用户可根据自己的需要进行组合。
安全稳定
保证了系统运行的高效性;系统以网桥方式连接在网络中,对外是透明的,对
内只有管理口的80(HTTP)端口和443(HTTPS)端口开放,有效预防了针对
系统的黑客攻击。
安装简单,即插即用
系统的全透明的桥接工作方式,本系统是一套独立的纯软件系统,无需专用管
理程序和管理平台;对用户操作系统平台无特别要求;用户可完全保留现有的
网络结构和配置,使用该设备时只需串接在内部网接入互联网处,开机后经简
单的设置即可。
2.5.4为什么选择NetCharge 企业网络管理计费系统
NetCharge 企业网络管理计费系统最重要的是能够帮助企业管理好互联网资
源,管理好员工的上网行为,使企业真正利用互联网这个强大的工具来提高生
产力,增加企业的盈利能力。
NetCharge 企业网络管理计费系统分配合理的权限给合适的工作人员,内容过
滤功能可以限制企业员工访问非法站点和与工作无关的站点,审计查询功能帮
助企业跟踪员工的上网行为,对一些不良、违法行为起到威摄作用,并能够帮
助企业提取数字证据。
NetCharge 企业网络管理计费系统有功能强大的计费系统,能帮助企业管理人
员掌握每个员工的上网时间、上网的数据流量,同时能进行精确的成本核算。
NetCharge 企业网络管理计费系统的带宽管理模块,能帮助网管人员、管理人
员分配好有限的网络资源,对重要的用户和普通用户分别设置其上行带宽和下
行带宽,防止因个别用户因下载大容量文件,造成网络阻塞,使其他用户的正
常上网行为受影响。
NetCharge 企业网络管理计费系统使用基于包过滤的防火墙技术,可以最大限
度地保护企业内部局域网的信息安全。
NetCharge 企业网络管理计费系统,为企业用户提供了最简单的接入方式,只
需将系统串接入网络,即可完成所需的功能,不改变原有的网络拓扑结构和相
关的配置。最大限度地方便企业网络管理者的管理。NetCharge 企业网络管理
计费系统是独立的硬件系统,其安装与企业用户原有的网络无关,运行稳定,
性能出众。
NetCharge 企业网络管理计费系统充分为客户考虑,模块化的系统结构帮助企
业用户量身定做自己的企业网络管理计费系统,客户可以根据自己的需要进行
灵活的组合。
NetCharge 企业网络管理计费系统提供数据备份和恢复的功能,企业用户可定
期备份HTTP记录或用户数据。在系统出现意外情况,数据被破坏时,进行数
据恢复。
2.6 NetCharge 网络管理计费系统集群和系统备份解决方案
NETCHARGE-HA 是NetCharge 网络管理计费系统系列的高可靠性的服务器集群系统解决方案。
NETCHARGE-HA能够自动检测系统的故障。同时,一旦发现计算机出现故障,NETCHARGE-HA将把该计算机上的所有进程转移到备份计算机上,从而为客户提供不间断的服务。
一旦计算机宕机,NETCHARGE-HA能够将宕机时间缩短到几分钟甚至几秒钟。而且能够将系统恢复到宕机以前的状态,从而保证计算机的稳定运行。在NETCHARGE-HA的保护下,计算机系统再也不用因为硬件故障或日常性的维护而中断运行。NETCHARGE-HA就是利用这些方法来提供最佳的服务可靠性,将计算机的宕机时间减少到最低程度。要知道,一分钟的宕机时间也许会给ISP,企业,宾馆等行业的运营带来不可估量的损失。
NETCHARGE-HA还具有系统崩溃的智能检测与处理系统。她利用各种手段来检测硬件、存储设备、网络及系统软件的故障。同时,一旦发现计算机出现故障, NETCHARGE-HA将把该计算机上的所有进程转移到备份计算机上,从而为客户提供不间断的服务。
高可用性的实现的另一大关键就是的冗余策略,简言之就是对主机,网络设备,备份设备的多台备份(当然不只是简单的备份机):NETCHARGE-HA拥有多种冗余模式,其中包括双机在线待机模式、双机就绪模式及三机模式。所有的模式都提供了对各种备份资源-如文件系统、数据库、网络IP地址、系统进程、SCSI设备及NFS-的支持。
此外,高可用性的实现还要有丰富的应用程序支持: NETCHARGE-HA能够应用在各种集中式、客户机-服务器模式或OLTP系统中。同时其与市场上各种主流的数据库系统与OLTP软件-如Oracle、 SYBASE、 Informix与Tuxedo-也都保持兼容。NETCHARGE-HA同时提供了各种应用程序接口。因此,客户能够在其私有软件中集成各种功能来保证系统的高可靠性,这样也保护了客户的投资。
NETCHARGE-HA 系统特点
高可靠性 快速的反应时间 无需增加新的硬件设施 良好的扩展性
较低的费用
NETCHARGE-HA 系统联接方式
网络-共享 网络-专用广播 网络-多点传输 串口 红外线 SCSI通讯模式
联接模式比较
NETCHARGE-HA 技术白皮书
1). 系统架构
上图是典型的NETCHARGE-HA解决方案系统结构:两台主机A,B共享一个磁盘阵列,A为工作机,B为备份机。它们之间以一根心跳线来连接,这被称为“心跳检测”,主要通过一条RS232检测链路来完成。NETCHARGE-HA也采用了网络ping检测来验证系统宕机检测的准确性。安装在主机上的HA软件通过心跳线来实时监测对方的运行状态,一旦正在工作的主机A因为各种硬件故障-如电源失效、主要部件失效或者启动盘失效等导致系统发生故障,主机B立即投入工作。
NETCHARGE-HA实现了“高可靠性共享存储”架构。该架构由两个或三个冗余服务器、一个共享冗余磁盘阵列、一个可选DBMS及NETCHARGE-HA系统软件构成。在NETCHARGE-HA的保护下,企业的计算机系统能够提供不间断的信息服务,避免由于硬件故障或日常维护所带来的宕机,因而能够首先最佳的可靠性及最大程度地减少宕机时间。
共享存储设备故障的检测
NETCHARGE-HA能够判断由于下列原因所带来的共享存储设备故障:SCSI适配卡失效、SCSI连线失效或RAID控制器失效。共享存储设备故障同时也会造成访问这些设备的软件的误操作或甚至系统宕机。
网络失效检测
NETCHARGE-HA能够判断由于下列原因所带来的网络联接故障:网络适配器失效或网络连线的失效。这些故障将使得所有依赖于网络的操作都无法进行。
进程终止检测
NETCHARGE-HA能够检测软件进程是否是正常退出。这意味着,随着某一进程的结束状态的不同,可以采取不同的行动。
可调整的检测超时设定
系统宕机检测及网络检测的超时设定都是可以调整的。更短的超时设定意味着能更快地发现故障与进行服务器切换;但是,这可能会导致检测的可靠性下降。
2). 服务器切换模式
自动或手动切换
一般NETCHARGE-HA自动对系统故障进行检测,并将服务从失效的服务器转移到备份服务器上。当然,管理员同样也能够手动地切换到备份服务器以进行某些日常维护工作。
切换的自动恢复
一旦失效的服务器修复完毕,你可以让服务切换到原来的计算机上。这项功能也能自动完成。
3). 可靠性
网络可靠性
NETCHARGE-HA能够实现高可靠性的TCP/IP网络。当一个服务器上的网络联接失效时,备份服务器将以同样的IP向用户提供服务。举例来说,NFS服务的切换对用户来说就是完全透明的。
共享RAID的可靠性
共享RAID可以拥有两个或三个联接端口与冗余磁盘。这些特性保证了NETCHARGE-HA不会因为某一SCSI硬盘的故障而失效。
共享文件系统的可靠性
当一个服务器宕机后,共享存储设备上的文件系统可能会不完整。在服务器进行切换后,备份服务器能自动修复共享文件系统。
进程可靠性
NETCHARGE-HA将所需要的进程放置在共享文件系统中,并且在两个服务器上都加以记录。这样,在两个服务器切换时就可以启动同一组进程。
数据库可靠性
NETCHARGE-HA可以与一系列的DBMS协作。当然数据库必须创建在共享存储设备上。当数据库服务器宕机时,NETCHARGE-HA就将DBMS切换到备份数据库服务器上。对共享数据库的回溯操作(rollback recovery )可以保证该数据库数据的完整性。
4). 应用
NETCHARGE-HA能够应用在NetCharge 网络管理计费系统系列的所有产品中,同时其与市场上各种主流的数据库系统-如Oracle、 SYBASE、 Informix也都保持兼容。NETCHARGE-HA同时提供了各种应用程序接口。因此,客户能够在其私有软件中集成各种功能来保证系统的高可靠性。
a) NETCHARGE-HA 在线待机模式
在这种模式下,一个服务器作为主服务器。正常情况下其承当所有的服务。另外一台服务器作为待机服务器,正常情况下除了监控主服务器的状态,不进行其他的操作。一旦主服务器宕机,待机服务器就接手工作,成为新的主服务器。客户仍然可以拥有同样的服务器IP地址、NFS、数据、数据库及其他„„这种应用模式近似于上面介绍的典型应用模式—A与B实际上是在完成同一个功能应用,安装在主机上的HA软件通过心跳线来实时监测对方的运行状态,一旦正在工作的主机A因为各种硬件故障-如电源失效、主要部件失效或者启动盘失效等导致系统发生故障,主机B立即投入工作。
b) NETCHARGE-HA 双机就绪模式
在这种模式下,两个主机都作为主服务器,共享自己的磁盘阵列,各自承当一部分服务。例如服务器A在执行应用A, 服务器B在执行应用B, 两个主机在正常情况下各自独立运行自己的应用逻辑,两个主机同时又都作为对方的待机服务器,通过心跳线监控对方的状态。一旦某一服务器宕机,另一台服务器就承担所有的服务,为所有的客户服务。及一旦服务器A发生故障,服务器B马上接管服务器A上原来的应用;或者服务器B发生故障,服务器A马上接管服务器B上原来的应用,这是一种互为冗余的模式。 c) NETCHARGE-HA 三主机模式
这种应用模式是最高端的HA应用模式,它既保证了系统的设备冗余,避免系统宕机,而且又能保证在一旦宕机的情况下有足够的系统资源以供使用。
在这种模式中,待机服务器C同时监控主服务器A与B的状态。一旦服务器A或B宕机,服务器C将承担其服务,为客户服务。这种系统结构既保证了系统的安全运行,又保证了系统资源。
2.7深澜软件用户服务条款
1) 深澜软件提供相关的技术支持标准服务,服务标准为:
24小时内现场完成系统安装。重大技术故障,24小时之内到达现场。若交通
状况不允许,则视情况而定。
24小时内解答客户的技术提问。并且提供24小时技术支持,支持方法包括:
电话支持、远程登录支持、E-mail支持等。
核心程序升级,收取新版本公开报价的10% ;客户端和BUG升级,提供免
费服务。
免费提供相关Linux操作系统升级版本
2). 乙方提供产品免费三年的在线支持、7x24电话、E-mail服务。
3). 现场技术支持:甘情愿
目前乙方仅对杭州地区用户提供售后6个月内的免费上门服务。
对外地用户,如要求现场技术支持,请用户负责差旅费用和人员薪资。
此条例不包括重大系统事故(如:系统灾难性崩溃等)。
4). 重大系统事故的发生:
我方保证在24小时内恢复系统,若交通状况不允许,则视实际情况而定。
注:软件升级费用:仅在软件的核心程序升级进行收费,费用为用户购买该软件新版本公开报价的10%;客户端升级和BUG升级不再收费。
注:软件升级分为三种情况:
核心程序升级:软件重大功能添加,不同平台的版本移植;
客户端升级:软件一般功能和界面的添加,改进和完善;
BUG升级 :软件BUG修正。
深澜软件产品升级保证及相关费用:
1).核心程序升级,收取新版本公开报价的10%。新版本价格将会提前一周,以电话、E-mail方式予以通知。
2).客户端和BUG升级,提供免费服务。
3).产品更新将在产品测试完毕后一周内,通过E-mail方式通知贵方。
4).提供定制模块设计,具体费用,视工作量而定,需双方协商解决。
5).如贵方所提出的需求,我方无法在短期或一定时限内予以解决,将以电话、E-Mail方式,提前三天予以答复。
深澜软件系统安装调试培训工期:
1).安装:与贵方签订的软件购销合同生效后,在24小时之内完成安装。若交通状况不允许,则视情况而定。
2).调试:与系统安装完成后,在24小时之内完成调试。若交通状况不允许,则视情况而定。
培训:培训内容为(Linux 网络操作系统的使用维护、NetCharge网络管理计费系统的使用及维护),培训时间为:1天。培训地点:浙江省杭州市。
某市自来水公司网络计
费与安全解决方案
网络计费系统、入侵检测系统及防病毒软件项目
技
术
方
案
目 录
1、入侵检测系统与防病毒软件 ................................................................................................................... 2
1.1 网络安全概述 ................................................................................................................................. 2
1.2 产品方案 ......................................................................................................................................... 3
1.2.1 入侵检测系统方案 ................................................................................................................. 3
1.2.2 防病毒系统方案 ..................................................................................................................... 5
1.2.3 安全产品部署 ......................................................................................................................... 7
1.2.3.1“天阗”部署说明 .................................................................................................................... 7
1.2.3.2“天蘅安防”部署说明 ............................................................................................................ 8
1.3 售后服务 ....................................................................................................................................... 10
1.3.1 服务宗旨 ............................................................................................................................... 10
1.3.2 服务内容 ............................................................................................................................... 10
1.3.2.1风险分析 ............................................................................................................................... 10
1.3.2.2产品维护 ............................................................................................................................... 11
1.3.2.3测试支持 ............................................................................................................................... 11
1.3.3 服务形式 ............................................................................................................................... 11
1.3.3.1软件升级 ............................................................................................................................... 11
1.3.3.2热线咨询 ............................................................................................................................... 11
1.3.3.3紧急事件处理 ....................................................................................................................... 12
1.3.3.4培训 ....................................................................................................................................... 12
1.4 成功案例 ....................................................................................................................................... 12
2、网络计费系统 ......................................................................................................................................... 15
2.1企业上网中存在的问题 ..................................................................................................................... 15
2.2企业网络管理计费需求的发展 ......................................................................................................... 17
2.3 NETCHARGE 企业网络管理计费系统技术详解 ............................................................................... 18
2.4 NETCHARGE 企业网络管理计费系统结构 ....................................................................................... 21
2.5 NETCHARGE 企业网络管理计费系统特点、功能及优势 ............................................................... 23
2.5.1 NetCharge 企业网络管理计费系统的特点 ............................................................................... 23
2.5.2 NetCharge 企业网络管理计费系统的功能 ............................................................................... 25
2.5.3 NetCharge 企业网络管理计费系统的优势 ............................................................................... 26
2.5.4为什么选择NetCharge 企业网络管理计费系统 ...................................................................... 26
2.6 NETCHARGE 网络管理计费系统集群和系统备份解决方案 ........................................................... 27
2.7深澜软件用户服务条款 ..................................................................................................................... 32
1、入侵检测系统与防病毒软件
1.1 网络安全概述
随着网络应用的普及和发展,网络的应用范围也越来越广,使得网络上的应用变得日益丰富和复杂。许多金融、企业开展了网上服务,作为拓宽自己的业务范围和提高服务质量的手段。也作为同行竞争的手段之一,他们为使自己从日益更新的竞争市场中脱颖而出,不断推出各种各样新的服务,在减少成本的同时提高并丰富业务量、服务质量灵活性,从而,在单一的数据网络中提供多种服务。
构成网络的基础技术――IP通信技术具有公开、分散的特性,使得网上的业务系统面临如下多重风险:
安全风险
由于网络技术的日益公开化,使得网络的欺诈行为、网络入侵行为和网络恶行
日益增加,这些行为造成网络服务的中断或不能正常工作,从而使得客户的满意度下降,商家公众形象受损,收益减少。
故障责任
一个比较综合的业务系统,不是一套简单的客户/服务器模式的系统,它可能涉
及到多个服务器或不同的业务领域。当一笔业务因某一故障而不能正常完成时,由于不知道出现故障的位置,给排除故障带来了困难,并且责任也无法明确。
服务质量下降
随着运行在网络上的业务系统的增多,客户的访问量不断增加,引起了网路通
信的阻塞或减慢,用户从开始访问到应答的等待时间将会越来越长。用户会因等待时间过长而减少或不使用网上业务系统,直接影响了商家的经济效益。
系统的可信度降低
运行在网络上业务系统在网络通信过程中,其网络数据包的内容在通信的某中
间环节可能被窜改,从而使客户对系统的可信度降低,影响网上业务的应用和推广。 某市自来水公司的网络系统,尤其是提供关键业务的服务器系统,同样面临这些安全威胁。所以,该公司需要为自己的网络系统提供一个全面的安全解决方案,来保护自己的网络系统不受侵害。
防火墙仅作为保护某市自来水公司网络系统的第一道防线,他主要侧重在对通讯的源、目的地址和端口进行限制。在实际应用中,该系统业务要求所有地址都可以访问WEB服务器上的WEB应用,所以即使有了防火墙,黑客还是可以从任何地方访问WEB服务器,数据包要通过DMZ区域网络传输,这些数据包中很可能包含入侵攻击代码。
那么网络在被动保护自己不受侵犯的同时,能否采取某些技术,主动保护自身的安全呢?入侵检测技术就是一种主动保护自己免受黑客攻击的一种网络安全技术。入侵检测技术可以帮助系统对付网络攻击,扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高信息安全基础结构的完整性。它从计算机网络系统中的关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,它在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。
1.2 产品方案
1.2.1 入侵检测系统方案
入侵检测系统,是用来实时检测各种攻击,同时实时做出各种预先定义的响应,力求做到在黑客造成破坏之前发现问题,解决问题。网络入侵检测产品不会占用网络带宽,不会引起网络和主机性能的下降,同时不驻留在业务主机和服务器上,不会对原有网络造成额外的安全威胁,此部署方式可实时对服务器操作系统、应用系统进行监控,并实现集中管理。
我们采用北京启明星辰公司的“天阗”黑客入侵检测与预警系统进行网络安全入侵检测。
启明星辰自行研制开发的天阗黑客入侵检测与预警系统是国内第一批在入侵检测方面获得国家公安部销售许可证的网络安全产品,同时天阗还通过了国家保密局、解放军及国家信息安全测评中心的专门评测。
天阗黑客入侵检测与预警系统是一种在计算机网络上自动、实时的入侵检测和响应系统。它能够实时监控网络传输,自动检测可疑行为,分析来自网络外部和内部的入侵信号。在系统受到危害前发出警告,实时对攻击做出反应,并提供补救措施,最大程度地为网络系统提供安全保障。已成功实施于首都电子商城的网络安全保障工程,海淀数字园区的安全保障工程,沈阳人行等多个网络安全项目,为网络的安全运行提供了有力保障。
天阗黑客入侵检测与预警系统包括两部分:控制中心和探测引擎。控制中心是个高
性能管理系统,能控制位于本地或远程网段上的多个探测引擎的活动,实现动态分析,实时监控。探测引擎为固化硬件产品,动态监视网络上的数据包,进行攻击行为的检测和识别。
与普通IDS产品相比,天阗黑客入侵检测与预警系统在下列方面具有明显优势产品优势:
产品版本成熟,易用性强:天阗系统经过市场调研的反复进行和研发力量的巨大投入,现已升级为5.5版本N500,性能稳定,界面友好。
全面的攻击事件处理方式:针对攻击事件,IDS产品基本均能提供报警、日志纪录、阻断攻击等处理方式。天阗产品在上述功能的基础上,还可实现与防火墙的互动,以阻断任何非法联接;对MAC地址实现阻断。
用户自定义和定制功能:界面窗口可自行定制;攻击事件可自行定义并加入事件库;安全策略和协议可自行编辑定义下发等功能,为用户的使用带来方便。是普通IDS产品尚无法实现的重要功能。
完备、开放的特征库:攻击事件库>1200种,同时用户可以自行定义和添加特征库,实现用户端的自主实时更新。
优化、高级的管理结构:普通IDS产品均为分布式结构,单级或二级控制,下级对上级控制台仅能实现报警功能,无法同时满足对不同网段上的实时监测和管理。天阗产品则为树形分布式结构,多级控制功能可使天阗控制中心对多级子控进行管理,便于网络安全的同步实现。同时上级可统一下发策略、事件特征库给下级,保证下发策略的统一性。
灵活方便的人性化报表:天阗通过调用日志文件,运用嵌入式报告功能,形成方便、易懂、直观、全面的用户报告,分类列表更有助于用户了解网络各个层面的安全状况。
便捷全面的升级方式:有升级模块可直接导入,或进行在线升级,升级速度在同类产品中较快。自动同步升级,控制中心可以及时将攻击特征升级包下发到各级探测器,提高对最新攻击事件和行为的同步识别。
优秀的系统自身安全性:独有的硬件引擎,对于安全性作了全面的考虑,稳定性好。控制中心与子控中心以及探测引擎的通讯采用加密方式。
天阗与各主流防火墙的联动:已经在国家重点信息化安全保障工程、国家安全部、银行机构等一些大型网络中广泛的应用,其联动能力与效果十分显著,充分体现了
以天阗IDS为核心筑造的动态防御体系对安全防护能力的极大提升作用。
1.2.2 防病毒系统方案
建立行之有效的全方位防病毒体系,其关键的一点就是要首先分析企业现有的网络环境。这样才能对此网络所存在的病毒隐患,作出全面的分析报告。下面是某市自来水公司现有企业网络模型:
防毒体系的建立并不单纯只是几种防毒产品的堆积,它的重点在于要针对企业现有的网络环境,对网络中所有可能存在的病毒侵入点进行详细的分析,针对每一个可能的入侵点进行层层防护,对症下药,真正使之成为“安全的”企业网络。其原因在于,企业网络中不允许有任何漏洞。企业网络中的任何一个漏洞,都将成为网络安全的致命弱点。
我们采用北京启明星辰信息技术有限公司的“天蘅安防”网络防病毒系统进行网络病毒的防护。
天蘅安防网络防病毒系统是启明星辰公司推出的国产化防病毒产品,它使用了国际著名的杀毒软件厂商F-Secure公司的杀毒技术。
天蘅安防防病毒系统是世界上最综合的集中式管理的防病毒系统,适用于企业的各类计算系统,包括移动设备、工作站、服务器、防火墙和网关。对于那些正在迅速迈向分布式的、移动的网络环境的企业,天蘅安防提供了最强大的病毒以及恶意代码防范功能,无论是对固定用户还是移动用户,均实现了最大的系统可用性和数据安全性。
目前,天蘅安防网络防病毒系统已在金融、证券、电信、大型网站及国家政府部门、企事业单位得到广泛应用,其集中式管理、优秀的病毒查杀能力,以及全自动升级技术
得到了用户的广泛好评。在2000年10月公安部国内外网络防病毒系统测试评比中获得最高级别产品。
全方位多层次的病毒防护能力:天蘅安防网络防病毒系统在三个层面上制止病毒的肆虐:一在工作站,这是大多数发生病毒感染的地方;二在服务器,防止病毒扩散;三在防火墙及网关,防止病毒从网络进入企业内部。
集中安装和管理:全球唯一通过策略管理器(Policy Manager)来进行集中管理和配置的防病毒产品。策略管理器包括三个关健部件:管理台、管理服务器和管理代理,天蘅安防的策略管理器可以通过HTTP协议或共享目录进行通讯,因此管理员所下发的策略文件和最新的病毒定义文件可以通过广域网及国际互联网传输,实现真正的对广泛分布用户的集中管理。
世界一流的病毒检测和清除能力:天蘅安防网络防病毒系统采用Countersign技术将多个不同的扫描引擎集合在一个产品内,这几个扫描引擎分别是:F-Prot、AVP、Orion,多重引擎扫描技术是唯一可跨平台使用的产品,多个内置扫描引擎可同时应用基于签名的病毒扫描器、启发式分析算法和校验和认证三种扫描技术,使之成为唯一能扫描出加密文件内病毒的防病毒产品。
自动更新病毒定义文件:防病毒客户端以轮询方式自动从管理服务器获得更新,轮询时间间隔可以由管理员设定;更新的病毒定义库可以由管理员手动放置到管理服务器上,也可以通过BackWeb服务器端程序自动从Internet接收更新。Back Web客户端与Back Web服务器端以频道订阅式连接,所有更新文件将自动从服务器端Push到客户端,此过程支持断点续传,同时病毒定义库的更新是以字节级增量式进行的,它使用闲置带宽,不抢占宝贵资源。通过这种方式,用户可以建立一个100%全自动的病毒定义更新系统。
完备的病毒定义数据库:病毒定义数据库的内容是衡量防病毒产品检测和清除病毒能力的一个重要指标。天蘅安防同时拥有世界五大病毒库之一的F-Secure公司的病毒定义库和国内完备的病毒定义数据库,使得天蘅安防的病毒检测和清除能力技高一筹,无论是国际上流行的病毒还是国内流行的病毒,天蘅安防都可以及时准确的将其检测和清除。
独特的邮件服务器扫描技术:天蘅安防使用Content Scanner 与邮件服务器分开查杀病毒的方式。天蘅安防网络防病毒系统服务器版由两部分组成:AntiVirus Agent和Content Scanner Server。其中AntiVirus Agent主要负责在服务器中向Content Scanner
Server转发邮件或文件,Content Scanner Server进行文件的病毒检测和清除工作,并向服务器返回结果。天蘅安防所建立的数据库可以被设置清理邮件的时间和次数,也可被中止扫描.。如有通讯中断的情况,所有邮件会被存放在这个数据库中,并按系统设置定期试图建立连接。一旦接通,继续正常工作。这种方式可以减少在邮件查杀过程中给邮件服务器增加的额外负载,避免邮件服务器因过载而崩溃。
1.2.3 安全产品部署
1.2.3.1“天阗”部署说明
为了保护网络出与拨号用户所带来的安全性,我们作如下部署:
中心交换机上接入一台天阗黑客入侵探测引擎:对渗透过防火墙的攻击与通过
PSTN进行信息通讯的数据和用户进行实时的监测。
在OA系统内部配置一台服务器:作为“天阗”入侵检测系统的控制台,对网络
中的探测引擎进行管理与策略分发,以及对事件的监视与报警。
通过使用天阗可以容易的完成对以下的攻击识别:网络信息收集-、网络服务缺陷攻击、Dos&Ddos攻击、缓冲区溢出攻击、Web攻击、后门攻击等。
灵活的配置管理界面
内置了多种预定义策略,并允许用户添加修改策略
多种攻击响应方式,同防火墙进行联合行动,阻断任何非法连接
开放式事件特征库,任何人都可以自行定义和添加特征事件
报表分析系统,可对日志进行事后二次分析
网络流量分析,可以帮助分析网络故障
提供固化版本的网络探测器,即插即用,方便安装
多级分层管理
产品配置
“天阗”黑客入侵检测与预警系统控制中心软件一套(PCqwr/2000 Server)
服务器配置一台NT4.0/2000 Server)
“天阗”黑客入侵检测与预警警与阻断,在防火墙后配置一套天阗黑客入侵
检测与警预系统,实时时系统探测引擎一台(硬件)
对内外部网的访问数据流进行实时监控与报警;同时对于各IP的网络流量进行监控
1.2.3.2“天蘅安防”部署说明
天蘅安防网络防病毒系统需要在湖南移动内部网络中心安装一台PC服务器(最低配置P3/128M/20G),并安装天蘅安防控制中心软件作为天蘅安防的管理控制中心。在各台服务器和客户端主机上分别安装天蘅服务器端和客户端软件。
在某自来水公司网络中实现对病毒的实时监测,由网管中心统一控制和管理。具体功能如下:
(一)完备的病毒定义数据库
病毒定义数据库的内容是衡量防病毒产品检测和清除病毒能力的一个重要指标。天蘅安防同时拥有世界五大病毒库之一的F-Secure公司的病毒定义库和国内完备的病毒定义数据库,使得天蘅安防的病毒检测和清除能力技高一筹,无论是国际上流行的病毒还是国内流行的病毒,天蘅安防都可以及时准确的将其检测和清除。
(二) 集中安装和管理
全球唯一通过策略管理器(Policy Manager)来进行集中管理和配置的防病毒产品。策略管理器包括三个关健部件:
管理台(Administrator)
管理台是基于Java的应用程序,可以跨不同平台上运行,提供集中式的管理控
制台,以保障网络中被管理的主机安全。
管理服务器(Management Server)
存储管理员发布的策略、软件的更新和被管理的主机发出的状态信息及警报。
管理代理(Management Agent)
用来实施管理员在被管理的主机上设置的安全策略,并为最终用户提供用户界面
和其它服务。
其层次关系是管理员工作站、后台服务器和终端用户工作站。所有在管理员工作站和终端用户工作站之间的通讯都通过这个体系结构来实现。
天蘅安防的策略管理器可以通过HTTP协议或共享目录进行通讯,因此管理员所下发的策略文件和最新的病毒定义文件可以通过广域网及国际互联网传输,实现真正的对广泛分布用户的集中管理。
(三)多重引擎扫描技术
天蘅安防网络防病毒系统采用Countersign技术将多个不同的扫描引擎集合在一个产品内,这几个扫描引擎分别是:
F-Prot——最好的宏病毒检测和清除引擎,同时拥有一流的文件和引导扇区病毒检测和清除能力。
AVP———最好的多态文件病毒检测和清除引擎,一流的宏病毒检测和清除能力。 Orion——世界上第一个也是仅有的提供启发式的和模拟方式的扫描引擎,可探测出基于设备文件的变体WIN32病毒。
多重引擎扫描技术是唯一可跨平台使用的产品,多个内置扫描引擎可同时应用基于签名的病毒扫描器、启发式分析算法和校验和认证三种扫描技术,使之成为唯一能扫描出加密文件内病毒的防病毒产品。
多重引擎扫描技术可以提供非常高的病毒清除率。所有的防病毒产品都工作在一个通用的框架(Framework)之下,并且,因为内置的多个病毒扫描引擎可以应用不同的检测技术,利用每个扫描引擎对不同种类病毒的扫描优势,使得病毒处于交叉火力之下,从而大大提高了查杀率。
天蘅安防网络防病毒系统是一个完全模块化的防病毒程序,不同的模块可以被单独维护和升级。
(四)自动更新病毒定义技术
防病毒客户端以轮询方式自动从管理服务器获得更新,轮询时间间隔可以由管理员设定;
更新的病毒定义库可以由管理员手动放置到管理服务器上,也可以通过BackWeb服务器端程序自动从Internet接收更新。Back Web客户端与Back Web服务器端以频道订阅式连接,所有更新文件将自动从服务器端Push到客户端,此过程支持断点续传,同时病毒定义库的更新是以字节级增量式进行的,它使用闲置带宽,不抢占宝贵资源。
通过这种方式,用户可以建立一个100%全自动的病毒定义更新系统。
1.3 售后服务
1.3.1 服务宗旨
网络安全是一个动态的过程,网络安全总是处在网络系统攻击和防御的平衡之中的动态相对安全。我们的安全服务宗旨是:在不断更新、优化现有产品的同时,为客户提供持续、专业、全面和快速的本地化服务。网络信息系统安全不仅需要动态的工具和产品,而且需要持续跟进的安全服务。
1.3.2 服务内容
1.3.2.1风险分析
对网络安全的威胁确是存在的,但并不是绝对的和确定性的;如果为一种极小概率的事件付出的代价超过可能带来的损失,显然是不足取的。清楚系统环境中的威胁可以帮助管理者制定最为经济合算的安全政策,有时甚至发现,容忍可能的损失而不采取措施可能更为经济,这一切的决策基于风险分析的结果。
风险分析的概念,是指确定资产的安全威胁和脆弱性、并估计可能由此造成的损失或影响的过程。风险分析有两种基本方法:定性分析和定量分析。定量分析与定性分析不同之处在于,该方法需要收集尽可能详细和精确的数值,使用数学和统计方法,以得
到绝对的风险值;与防卫措施的投资相比较,可以直接做出安全措施是否实施的决策。
风险分析的结果是制定安全政策的重要依据,可以按照资产列表制定相应的安全政策。当然,安全政策的制定有时需要全局性的考虑,而不是完全以资产为线索。
1.3.2.2产品维护
(1) 启明星辰为软件产品提供一年免费维护。维护项目包括:软件的更新升级,在软件长期运行时一旦出现故障或不稳定情况,迅速进行维护和更新;
(2) 软件产品提供长期的更新升级服务,同时对较大的产品升级及时提供培训;
(3) 随着某市自来水公司内部业务的变化,可以根据具体业务的要求适当优化、修改原有系统,增加新的功能。
注:.购买产品一年之内免费升级与维护,一年后每年升级与维护费为产品总价的15%。
1.3.2.3测试支持
在系统安装完成后,为某市自来水公司内部提供完整的测试方案,进行全面的测试。在系统经测试确认配置优化,系统运行正常后,方可进行系统签收。
1.3.3 服务形式
1.3.3.1软件升级
启明星辰通过Internet为其软件产品及时提供升级等服务;
启明星辰可以通过其它介质为某市自来水公司内部网络安全提供软件更新; 启明星辰可以通过电子邮件为某市自来水公司内部网络安全提供实时的软件更
新。
1.3.3.2热线咨询
安全问题通常是复杂多变的,某市自来水公司内部网络在采用启明星辰的网络安全方案并安全产品之后,可以通过启明星辰提供的24小时热线电话(800-810-6038),向启明星辰的安全专家进行咨询,安全专家将会从保护某市自来水公司内部网络技术可实
现的角度为您提供满意的答复。
1.3.3.3紧急事件处理
在某市自来水公司内部网络发生紧急情况时,启动紧急救援计划,提供安全专家紧急出动服务,安全专家将到现场,恢复系统正常工作,协助检查入侵来源,提供事故分析报告和安全建议及服务,为用户提供及时、全面的安全问题解决方案。
1.3.3.4培训
为了让客户更好地理解和使用启明星辰公司的安全技术和产品,高效维护网络的安全运行,启明星辰特为客户提供相应的技术培训。具体培训内容涵盖: 网络安全的法律、法规
计算机网络安全基础
各个安全子系统的原理、功能及安装、调试、配置和运行维护
网络安全策略制订和管理制度的建立
1.4 成功案例
启明星辰公司针对银行、证券、广电、电信、政府、军队等领域的不同需求特性,已经形成了具有特色的网络安全行业解决方案,并为行业大客户提供全面的咨询设计和工程项目实施服务,具有代表性的成功案例包括:
国家公安部
2000年6月 和公安部第三研究所等单位共同承担国家计委项目“计算机信息系统安全保护等级评估认证体系”;
2000年11月 承担公安部“拨号上网安全系统”;
国家计委
1998年 完成国家信息中心“防火墙测试平台”研发,并获得广泛好评;
国家经贸委
2001年5月“天蘅安防网络防病毒系统”被列入2001年国家重点新产品试产计划 信息产业部
2000年 8月 承担并负责实施信息产业部“网络保障应急响应示范工程”;
2000年 9 月承担并实施国家计算机网络与信息安全管理中心 “国家网络安全攻防技术实验室” ;
2000年12月 承担国家计算机网络与信息安全管理中心“安全资源管理平台”和“黑客身份认证与反攻击系统”;
国家科技部
2000年4月 完成科技部科技创新基金项目 “智能黑客身份认证与监测系统”
2000年7月 承担并负责实施国家863计划信息安全技术应急项目“网络安全测评工具”和“网络动态防病毒系统”;
2001年3月“个人防火墙与PC机保护系统”获得科技部创新基金支持项目;
2001年4月“智能黑客监测预警系统”被列入2001年国家级重点火炬计划项目; 政府
2000年8月 承担并实施“海淀数字园区”安全保障系统;
2000年12月 承担并实施上海219工程项目东方网、上海市高级人民法院网站监测与自动修复系统;
2001年7月 承担并实施上海市纪委网络防病毒系统;
2001年8月 承担并实施某大政府核心政务系统网络安全总集成项目;
2001年9月 承担并实施上海市社会劳动与保障局网站监测与自动修复系统; 银行
2000年8月 承担一系列商业银行网络安全系统项目;
2000年12月 成为中国人民银行唯一一家防病毒、防黑客及漏洞扫描两方面产品都入围的厂商;
2001年3月 承担某银行北京分行网络防病毒解决方案;
2001年3月 承担人行某分行入侵监测、漏洞扫描系统项目;
2001年4月 承担人行某分行入侵监测、漏洞扫描系统项目;
电信
2001年 10月 承担中国电信IP网网络安全风险评估项目;
证券
2000 年6月 承担并实施“国信证券网上交易安全示范工程”;
2001年8月 承担并实施蔚深证券入侵检测和漏洞扫描系统;
军队
2000年8月 解放军某部网络安全系统和模拟攻击系统;
ISP/ICP
2000 年5月 与首都信息发展有限公司签订ASP协议,负责保障首都电子商城网络安全并共同为其客户提供网络安全在线及现场服务;
2000年7月 中科院信息中心查询项目信息安全系统;
2000年7月 承担中国社会发展互联网信息安全系统;
企业
2001年9月 承接华能国电网络安全项目入侵检测与漏洞扫描系统;
另外启明星辰公司大力开展与各行业系统集成商、产品代理商的紧密合作,已经成功实施的代表案例包括:
2001年8月 中国兵器工业新技术推广研究所网站监测与自动修复系统;
2001年8月 浙江嘉兴市行政中心网络安全整体解决方案;
2001年8月 华安证券网络防病毒系统;
2001年8月 上海浦东新区宣传部网络防病毒系统;
2001年9月 上海国家安全局网络入侵检测系统;
2002年3月 湖南省政府经济信息中心网络入侵检测系统,漏洞扫描系统;
2002年4月 湖南省移动通信公司入侵检测系统、网络防病毒系统,漏洞扫描系统; 2002年5月 湖南省国税局入侵检测系统;
2002年7月 湖南省公安厅入侵检测系统、网络防病毒系统,漏洞扫描系统; 2002年7月 湖南省地税局入侵检测系统、漏洞扫描系统。
2002年8月 某大学入侵检测系统
2002年9月 某市地税局入侵检测系统
2002年10月 湖南省株洲列车电力机车厂入侵检测
2、网络计费系统
2.1企业上网中存在的问题
1)企业专线(含ADSL等)接入互联网存在很多亟待解决的管理问题
毫无疑问,互联网将信息交流提升到一个前所未有的层次,企业经营人员在获取、收集和发送信息的速度、数量、多媒体的表现形式方面都得到极大的便利,同时相关的成本却降低了。各类企业主或管理人员正是认识到互联网的好处,纷纷开通专线接入互联网,企业内部员工通过局域网就可以方便而快速地享受互联网带来的各种服务。
准确地说,专线接入互联网是企业的一种资源,但目前在利用和管理该资源方面却存在着太多的问题,这些问题极大地困扰着企业高层管理人员、人力资源部和IT部门。
2)网络资源的不合理使用,并导致工作效率下降
根据IDC最新数据报导,企业员工平均每天有超过二分之一的上班时间用来在线聊天,浏览娱乐、色情、赌博网站,或处理个人事务;员工从互联网下载各种信息,而在那些用于下载信息的时间中,62%用于软件下载,11%的时间用于下载音乐,只有25%用于下载与写报告和文件相关的资料。
有27%的美国公司发现员工会将Internet或E-mail用作它途。(美国管理协会2001年度报告)超过77%的美国公司会记录和审查员工的通信内容。(美国管理协会2001年度报告)美国63%的公司会监视员工的网上活动。(美国管理协会2001年度报告)
互联网上的内容太丰富了,对企业员工有太多的诱惑,很多的员工沉溺其中,无法自拔,常常把自己的本职工作放在一边,导致企业整体工作效率没有提升反而下降。 调查数据显示以下为影响工作效率主要的互联网行为,它们与工作无关而且可能导致更多的问题(比如网络安全等):
浏览色情网站;
浏览游戏、音乐等娱乐网站,下载大量与工作无关的音乐文件,在线听音乐,
在线看视频图像等,不仅耽误工作,而且占用大量的网络带宽资源,影响其
他人员使用公司的资源;
浏览相关财经网站,利用公司的资源在线买卖私人股票或浏览相关信息;
浏览“在线”购物和拍卖网站;
浏览赌博网站;
使用即时信息交流软件如ICQ、OICQ;
„„
3)网络资源的不公平使用,带来严重的带宽问题
许多上网人员不停地下载大容量的文件,比如大量的MP3音乐文件;或者在线听音乐、看视频电影、新闻等行为,严重占用网络带宽,造成网络堵塞,上网速度下降,影响其他员工的正常上网行为。
管理人员奇怪企业大量投资的专线接入速度一天比一天慢;IT部门经常遭到抱怨,要求提升上网的带宽;而有趣的是抱怨的人中包括那些下载音乐文件或看视频电影的员工。
4)上网给企业带来的泄密或信息系统破坏等安全问题
任何企业主或管理人员都担心自己内部的机密信息流露出去,而互联网偏偏又方便信息的交流和传递。通过互联网,任何数字文件都可以方便地发送出企业的内部网,正因为如此国外很多公司都对企业内部的电子邮件系统实施定期的检查。但邮件的检查并不全面,因为有很多免费的邮件系统可以利用,它们的使用只要用浏览器就可以;此外即时信息交流软件也可以使用户绕过电子邮件系统而直接发送信息到企业外部。
不受限制的上网行为将带来更多的安全问题,比如下载的文件中带有病毒或其它有破坏性的程序;ICQ、OICQ等软件的使用有可能招到网络黑客的袭击,硬盘里的资料和数据被窃取或破坏。
想到这些问题,每个管理人员都可能坐立不安。如何解决这些问题呢?
5)网络资源的非法使用,使企业有可能陷入法律纠纷
在国内,法律规定了很多网站是非法的,比如有色情内容的、与反动政治相关的、与迷信和犯罪相关的等等。使用专线接入互联网后,企业内部网某种程度上成了一种“公共”上网场所,很多与法律相违背的行为都有可能发生在内部网中。事实上,这是很多企业要加强企业网络管理计费的最初的原因。
另外一个日渐显露出来的问题是网络黑客利用企业专线入网的条件,实施非法的网络攻击,发送病毒文件等,这都给企业上网带来了很多可能引起法律纠纷的隐患。 企业目前缺乏有效的工具在相关事情发生后提供数字化证据。
6)企业缺乏对网络资源使用进行量化的标准和工具
网络资源作为一种电子化的资源,在是通过企业内部的局域网共享的,网络中的每个登录用户都能使用。专线上网后,到底是哪些人在使用该资源,使用的程度如何,如
果要进行相关的成本核算,并把专线接入的成本划到企业内部的每个成本中心,怎样做才是最有效的呢?
互联网或者说信息技术确实是一个“神奇”的东西,在不同的人、不同的组织、不同的企业环境中,它带来的影响是充满矛盾的,能提高企业的工作效率、增加企业的竞争力、降低企业运营成本;另一方面,它却能降低企业的工作效率、给企业带来很多威胁和安全隐患。那么,到底要不要用它?
答案其实很简单,肯定要用,但是必须对它实施有效的管理,就象管理其它的企业资源一样。
2.2企业网络管理计费需求的发展
面对上述如此众多的问题,企业管理人员都会想到对内部员工上网行为进行管理。通过对美国和我们国内相关情况的研究,企业这方面的需求从简单到复杂,经历了下面几个阶段。
互联网接入控制阶段
最初的阶段是严格控制员工的上网,我们称之为互联网接入控制阶段,方式比较简单。企业建立网络地址数据库,规定哪些网站不能访问。几乎大部分网站都被屏蔽,不允许员工在企业网内访问,即使是非工作时间照样禁止。
初步的互联网接入管理阶段
第二阶段是初步的互联网接入管理阶段,以保持企业的工作效率为目的,通过建立相关的互联网接入策略和管理功能,能实施对不同人员、不同部门的上网权限管理和资源分配,有部分报表系统显示简单的员工访问互联网的记录。
企业网络管理计费阶段
第三个阶段是真正的企业网络管理计费阶段,以提高企业的工作效率为目的,企业不但建立相关上网策略,更进一步和企业信息系统安全、企业知识管理等结合起来;能更好地分配网络资源,比如对不同对象实现不同的网络带宽分配;建立详细的员工访问互联网的日志,提供详细的报表,能帮助企业管理层分析员工的上网行为,并对上网的策略进行相关调整,让互联网成为企业的最有效的工具。
在上述三个阶段中都有不同的产品相适应,帮助企业实现对专线上网资源的不同层次的管理。就目前的情况而言,各企业在选择产品方面都希望企业网络管理计费的功能比较强大,能帮助企业管理人员、人力资源部门和IT部门解决各自的问题。NetCharge 企业网络管理计费系统就是一个很好的工具。
2.3 NetCharge 企业网络管理计费系统技术详解
NetCharge 企业网络管理计费系统,是一个对企业内部网与互联网之间传输的数据进行监控管理的硬件系统。该系统采用了先进的架构和技术,不同于传统的基于代理的互联网接入控制系统的工作方式,克服了其无法克服的技术瓶颈,从功能、性能、效率、安全性等方面全面超越传统的互联网接入控制系统。
NetCharge 企业网络管理计费系统集中了多项先进实用技术,如系统的桥接工作方式、基于帐号的审计方式、包过滤、基于状态的内容检测、带宽管理、通信加密等。
1)系统的桥接工作方式
NetCharge 企业网络管理计费系统以网桥的方式连接在内部网的出口上。网络上流入、流出的数据包都要通过该系统,系统可以根据用户需要对具有某种特征、状态的数据进行记录,处理,有效实现对网络数据的监控。
网桥方式的连接,具有以下几个优点:
不占用IP地址:不仅节约了网络资源,还避免了对网络上现有设备配置的
改动。
不改变现有的网络拓扑结构:该系统对用户的网络结构无特殊要求,使用该
系统不会对用户现有的网络拓扑结构造成影响。
效率高:与基于路由的工作方式相比,不仅避免了繁琐的路由表的维护,还
提高了数据传输的效率。
透明:系统的内外两个接口没有IP地址,对内、对外都是透明的。
安全:没有IP地址和端口,有效防止了网络黑客对系统的攻击行为。
2)基于帐号的审计方式
NetCharge 企业网络管理计费系统不仅支持基于IP地址的审计方式,还支持基于用户帐号的审计方式。
对于内部使用动态分配IP地址的企业,或高校内的公共机房等场所,基于IP地址的审计方式无法真实准确的将企业网络管理计费实施到每个网络用户,而基于帐号的审计方式就可以满足需求,这使得该系统管理的对象可以是企业的员工,也可以是某台计算机。它主要有以下特点:
防止IP地址盗用造成的企业网络管理计费问题。
解决了动态分配IP地址的企业网络管理计费问题。
解决了同一IP地址被多人轮流使用的企业网络管理计费问题。
3)包过滤
NetCharge 企业网络管理计费系统是安装在内部网络的出口位置,对网络上流入、流出的数据包进行过滤,允许正常的数据包通过,拒绝非法或异常的数据包通过,具有以下几个功能特点:
禁止非授权用户访问互联网的企图。
防止来外部对内部网络状况探测的企图。
禁止外部访问内部的重要计算机
实现包过滤防火墙的基本功能
4)基于状态的内容检测
NetCharge 企业网络管理计费系统采用基于状态的内容检测技术,对内部网上网用户访问的站点、页面进行监控,根据站点的IP地址、域名、关键字进行监控,禁止上网用户访问某些站点,记录上网用户访问过的站点、页面,为管理员提供必要的电子记录。
5)带宽管理
NetCharge 网络管理计费系统内嵌高效的带宽管理系统(NetKing),NetKing提供高效的带宽管理功能,您可以自由的划分带宽,为每个用户定义带宽属性,为特定的主机(WEB Server ,Mail Server.. )定义保留带宽。并且可以根据用户的使用情况动态调整带宽。
NetKing 可以通过让网络管理员对网络流量进行监控、对在网络中传输的资料进行分类并使网络达到最优化状态来解决以上的问题。NetKing 可以让用户以智能的方式调整网络带宽,并根据网络服务提供商或企业的需求和优先顺序,来提供全系统的服务等级保证。
NetKing 基于 C/S 的管理和报表工具能够使用户可以了解他们网络的特点,并简化了供网络管理员使用的智能网络结构。NetKing 让用户建立一个完整的和全系统的观点来对网络进行管理。NetKing 持续地对网络带宽和服务器资源进行监控,并将网络状态简明扼要地以便于理解的格式生成报表。只要网络的状态发生变化,用户就可以持续地对网络资源进行监控,并能更加熟练地调整网络策略以便能构建一个最优化的网络。
NetKing 支持以下控制流量方式:
可以实时控制某个用户的流量
可以实时控制某个用户组的流量
可以限制某个用户某项服务的流量
可以限定某个用户的上行和下行流量
可以根据在线用户数实时动态调整用户的流量
可以实时对某个用户带宽进行调整
6)通信加密
管理员与系统之间的通信,如管理操作的命令与数据,普通用户与系统之间的通信,如用户登录的帐号的密码,采用基于SSL的加密传输方式。保护管理员及普通用户帐号和口令的安全。
网络既要实现内部网络和外部的有效隔离,又要允许某些内部网络能够被外部网络所访问,这些要求都需要使用防火墙的相关技术来实现。另外,各个宽带小区的物理网络结构的多样性,都需要专业的网络安全专家来进行网络规划。网络的安全问题大部分来自网络内部,所以,用户与网络计费系统之间的通信需要使用专用的加密技术(128位 SSL加密),并且辅助其他手段来达到网络安全的目的。
应用NAT技术,使内部网和Internet实现充分隔离,内部用户可以访问局域
网外部用户,外部用户特殊用户可以访问内部用户,让内部网用户共享上网
的同时,保证了内部网络的安全。
应用的路由转发技术,可以充当认证服务器,并且通过外部的路由器来进行
NAT转换;NAT技术和路由转发技术并存;
可以屏蔽某些服务和网站,支持路由规则或防火墙通道设置,提供无限个IP
或域名过滤表;支持过滤表网上升级;支持账号绑定IP和MAC地址功能;支
持MAC-IP地址绑定功能;
NetCharge 内置NETCHARGE-HA系统集群及高可靠性备份解决方案
7)采用重定向技术的web登录技术
用户的上网登录认证采用Web 浏览器方式,无需下载客户端软件,非常方便用户的使用。登录前用户输入任何字符或网址,都将指向NetCharge 的登录界面,登录后系统会自动重定向到用户所要去的网址。
用户登录过程:
用户在浏览器中输入任何字符或网址。如:
强制重定向用户界面到登录界面
用户需输入用户名和密码
成功登录计费系统
8)NetCharge 认证特点
强制跳转登录界面
用户名和密码通过128位SSL加密传输
定制ICP门户页面
不需要安装任何客户端程序。
2.4 NetCharge 企业网络管理计费系统结构
NetCharge 企业网络管理计费系统以桥接的方式安装在网络的出口上,对流入、流出的数据包进行监控,并根据系统的设定采取相应的控制行为,记录相应的数据,并进行分析统计,生成相应的数据报表。
NetCharge 企业网络管理计费系统的网络结构示意图
1)系统使用操作系统
NetCharge网络管理计费服务器运行在Linux操作系统之上。
数据库服务器根据选用的数据库运行在Linux RedHat.、Solaris。
管理端平台运行在Window操作系统之上。
客户端采用Web 浏览技术,支持所有操作系统。
2)系统硬件平台
硬件环境: PC Serve一台或两台,安装计费系统,提供一台为备份机。
注:计费系统和数据库可以剥离。
系统兼容性
路由器支持:支持所有类型路由器设备
交换机支持:支持所有类型交换机设备
防火墙支持:支持所有类型防火墙设备
代理服务器支持:支持所有类型的代理服务器
缓存服务器支持:支持所有类型的缓存服务器
拨入服务器支持:支持所有类型的拨入服务器
3)系统使用数据库
系统数据库采用Borland公司的InterBase 5.6关系型数据库。
系统兼容性:支持所有大型数据库,中型数据库。
支持数据库和系统剥离
4)关于Linux
Linux可采用国外商用Linux(如:Red hat, Mandrake,Turbo Linux, SuSE Linux,Caldera Open Linux),也可采用国内开发的Linux 操作系统 (如:红旗 Linux,中软 Linux等)。系统默认采用:Red Hat Linux
2.5 NetCharge 企业网络管理计费系统特点、功能及优势
NetCharge 企业网络管理计费系统是专为解决各类企业面临的上述问题而产生的产品,通过对市场的详细调查,该系统设计的功能可以满足企业对企业网络管理计费的
第三阶段的要求,帮助企业驾御互联网接入的宝贵资源,充分发挥互联网的益处,提高企业运营效率,同时降低相关风险。
它是一套Intranet环境下,对上网用户进行系统管理的纯软件系统。它不仅能准确记录每个员工所访问的所有网页,而且能对各部门或员工接入互联网的带宽进行分配,提高整个专线接入互联网的效率。此外它强大的计费功能,能有效保证企业网络的运营成本。
该系统性能稳定、安全性高、功能强大、安装和操作都很方便,是企业对本单位上网管理的理想之选。无论您是想对用户进行上网管理,还是要对用户进行计费管理,拥有了这套系统,这些工作变得十分轻松方便。
2.5.1 NetCharge 企业网络管理计费系统的特点
支持集中式或分布式系统结构,可以按照客户要求进行灵活配置。在分布式结构
下,单点可支持并发5000用户。
支持多路由出口接入Internet: NetCharge可以支持通过一个或多个路由出口
接入Internet的内部网。
在多出口时实现基于策略的负载平衡。
支持各种主流的网络接入设备和现存的各种接入方式。
NetCharge支持PSTN、ISDN、DDN、ADSL、ATM、FR、CABLE MODEM 视网通。NetCharge支持高达1000M的网络出口,而不会降低网络出口的速度(单台并
发5000用户)。
面向用户的企业网络管理计费系统,支持用户上网的唯一性控制,并具有完善的
出错控制系统。无论用户通过哪一台计算机访问Internet,NetCharge都可以对他们进行管理和计费,支持动态地址分配与静态地址绑定。
支持多种用户类型,并支持新用户类型的扩展
单独服务应用或组合服务账号(如只可以使用Mail,Web,ICQ等单独服务的账号) 限制带宽账号
上网时限账号
时间化的服务控制用户(如上班时间只允许使用Mail系统,下班以后任意使用)
方便的使用
无论您是管理员还是用户,您都能感觉到Netcharge 给您带来的方便,对于管理员,我们在提供友好的管理客户端的同时,添加了WEB管理和查询。对于用户的使用,我们不强迫您安装客户端(您也可以安装客户端,方便您的上网),只要您有浏览器,简单的通过浏览器验证就可以使用网络,并且,用户可以通过浏览器查询使用的时间,流量,费用等相关情况,并修改相关的用户属性。
提供不同的管理计费方式,支持多种付费方式
提供了针对时间,流量和包月三种管理和计费方式,支持多种付费方式:现金付费、银行代缴、邮政储蓄、卡支付、网上支付。
支持用户分组管理
NetCharge支持对不同的用户类别进行分组管理,管理更加方便。
提供了灵活的控制手段
NetCharge提供了许多设置选项对上网用户进行管理。支持14种查封条件,管理员可设置每个人的欠费阈值、使用时间阈值、使用流量阈值、使用金额阈值、每月使用金额阈值、包月未缴费、上网时段、每日上网时间等选项。当一个条件满足后,用户帐号就可被自动查封。支持时间表,用户只可以在规定的时间内访问Internet。
高效的带宽管理(Netking)
NetCharge提供高效的带宽管理功能,您可以自由的划分带宽,为每个用户定义带宽属性,为特定的主机(WEB Server ,Mail Server.. )定义保留带宽。并且可以根据用户的使用情况动态调整带宽。
智能代理监控
Netcharge可以智能的判断用户使用代理的情况,对于大量用户使用同一帐号通过代理上网的行为,Netcharge可以使用其独特的带宽动态调整的功能来降低带宽.
强大的用户上网行为监控。
NetCharge 提供条件监控,全局监控,单用户监控三种主要的监控手段,可以全方位的对记录用户的上网行为。并且提供自定义条件监控,可以定义监控目标集,监控源集,监控地址集等多种监控发式。
即时更新的内容过滤引擎(Netfiler)
NetCharge 提供基于用户的即时更新的内容过滤引擎,可以对网站地址,网页内容进行智能过滤,使您的企业摆脱可能陷入的法律纠纷。
可以灵活制定费率引擎,支持多种优惠方案
可以对接入、信息、服务三个层次分别定义费率、费率引擎灵活,可以实现根据用户、接入方式和网络资源利用情况等各种不同情况的组合进行资费计算,支持多种优惠方案支持分时间段优惠,分用户组、用户进行优惠,假日,星期,日期段优惠。可以更据用户的要求定义优惠算法。
分布式管理,对用户可设置多种管理级别,支持多管理员、多收费员。
浏览技术,无需安装客户端软件
上网用户使用浏览器(Browser)进行身份认证和费用查询等操作,不需要特殊的客户端软件,减少了网络管理员的维护工作量。
易于安装、稳定性好。
NetCharge的所有功能集成到一台硬件设备(PC Server)中,只需要进行简单的接线就可以完成安装工作。NetCharge核心基于Unix平台,系统稳定性很好。
提供日志记录,跟踪操作人员的操作情况,杜绝操作人员违纪现象。
具有良好的预付体系,支持各种预付款或预付卡功能。
强大的报表生成系统,提供用户的上网行为分析。
支持完整的用户上网记录日志,包括用户上网时间、流量、网站等。
支持用户服务限定,如不允许ICQ聊天、在线游戏等。
2.5.2 NetCharge 企业网络管理计费系统的功能
上网权限管理
分配每个员工、每台计算机接入互联网的权限;可以通过组来管理每个部门的
员工。通过该功能,企业管理人员可以将互联网资源分配给真正需要的工作人
员。避免资源浪费。分配资源的对象可以是具体的员工,也可以是某台计算机。 服务权限管理
NetCharge 提供基于用户的时间化的服务限制,可以对不同用户提供不同的服
务级别,比如对销售部,您可以只开放Mail功能,对技术部您可以开启Web、
Mail、ICQ等服务,以方便技术交流,财务部只可以访问财务系统主机。这一切
都可以时间化定制,在不同的时间,服务的内容可以相应的发生变化。
互联网访问管理
限制员工在工作时间访问某些不良或与工作无关的网站,解决员工工作时间玩
网络游戏、网上炒股、网上聊天、访问‘黄、赌、毒’等不良网站、工作时间
进行购物及其它娱乐活动等行为的管理。防止员工滥用互联网资源,最重要的
是提高员工的工作效率。企业管理人员可以根据需要定制自己的互联网访问策
略,增加和删除需要管理的网站地址。
全面细致的审计查询功能
能够审计企业内员工的在线上网行为,记录每个员工所有的上网行为,根据历
史记录生成不同的报表,诸如页面访问、收发电子邮件、下载软件、下载文件
等;并能妥善有效保存记录,以供管理人员随时查看。可以查询每一用户或内
部网内每一台计算机访问互联网的记录、访问时间、相关数据流量;可以将相
关的数据转化为货币形式,方便对相关部门进行成本核算。可以查看任一时间
内,某个网站的被访问情况,显示究竟是谁访问过该网站以及其所访问过的具
体页面;可以查看某一时间段内部网访问互联网具体的浏览网址列表,方便管
理人员分析员工的上网行为,有针对性地作出互联网访问策略的调整。通过各
种报表,管理人员对内部每个员工使用互联网的情况了如指掌,针对上述网络
资源管理中的每个问题都能得到数据依据,做相关决策时更准确。
高效的带宽管理
NetCharge提供高效的带宽管理功能,您可以自由的划分带宽,为每个用户定
义带宽属性,为特定的主机(WEB Server ,Mail Server.. )定义保留带宽。并
且可以根据用户的使用情况动态调整带宽。企业可以根据需要对不同的部门和
人员分配网络资源,使他们得到不同的上网速度;不同部门间的上网行为不会
互相影响,可以有效地阻止某些人或部门滥用网络资源而影响其他人上网。
防火墙功能
基于包过滤技术的防火墙将内网和外网隔离,保护企业内部网络的安全。
2.5.3 NetCharge 企业网络管理计费系统的优势
NetCharge 企业网络管理计费系统除了上述全面的功能外,还具有如下优势:
各自独立的功能模块
各大功能均有相应独立的功能模块,用户可根据自己的需要进行组合。
安全稳定
保证了系统运行的高效性;系统以网桥方式连接在网络中,对外是透明的,对
内只有管理口的80(HTTP)端口和443(HTTPS)端口开放,有效预防了针对
系统的黑客攻击。
安装简单,即插即用
系统的全透明的桥接工作方式,本系统是一套独立的纯软件系统,无需专用管
理程序和管理平台;对用户操作系统平台无特别要求;用户可完全保留现有的
网络结构和配置,使用该设备时只需串接在内部网接入互联网处,开机后经简
单的设置即可。
2.5.4为什么选择NetCharge 企业网络管理计费系统
NetCharge 企业网络管理计费系统最重要的是能够帮助企业管理好互联网资
源,管理好员工的上网行为,使企业真正利用互联网这个强大的工具来提高生
产力,增加企业的盈利能力。
NetCharge 企业网络管理计费系统分配合理的权限给合适的工作人员,内容过
滤功能可以限制企业员工访问非法站点和与工作无关的站点,审计查询功能帮
助企业跟踪员工的上网行为,对一些不良、违法行为起到威摄作用,并能够帮
助企业提取数字证据。
NetCharge 企业网络管理计费系统有功能强大的计费系统,能帮助企业管理人
员掌握每个员工的上网时间、上网的数据流量,同时能进行精确的成本核算。
NetCharge 企业网络管理计费系统的带宽管理模块,能帮助网管人员、管理人
员分配好有限的网络资源,对重要的用户和普通用户分别设置其上行带宽和下
行带宽,防止因个别用户因下载大容量文件,造成网络阻塞,使其他用户的正
常上网行为受影响。
NetCharge 企业网络管理计费系统使用基于包过滤的防火墙技术,可以最大限
度地保护企业内部局域网的信息安全。
NetCharge 企业网络管理计费系统,为企业用户提供了最简单的接入方式,只
需将系统串接入网络,即可完成所需的功能,不改变原有的网络拓扑结构和相
关的配置。最大限度地方便企业网络管理者的管理。NetCharge 企业网络管理
计费系统是独立的硬件系统,其安装与企业用户原有的网络无关,运行稳定,
性能出众。
NetCharge 企业网络管理计费系统充分为客户考虑,模块化的系统结构帮助企
业用户量身定做自己的企业网络管理计费系统,客户可以根据自己的需要进行
灵活的组合。
NetCharge 企业网络管理计费系统提供数据备份和恢复的功能,企业用户可定
期备份HTTP记录或用户数据。在系统出现意外情况,数据被破坏时,进行数
据恢复。
2.6 NetCharge 网络管理计费系统集群和系统备份解决方案
NETCHARGE-HA 是NetCharge 网络管理计费系统系列的高可靠性的服务器集群系统解决方案。
NETCHARGE-HA能够自动检测系统的故障。同时,一旦发现计算机出现故障,NETCHARGE-HA将把该计算机上的所有进程转移到备份计算机上,从而为客户提供不间断的服务。
一旦计算机宕机,NETCHARGE-HA能够将宕机时间缩短到几分钟甚至几秒钟。而且能够将系统恢复到宕机以前的状态,从而保证计算机的稳定运行。在NETCHARGE-HA的保护下,计算机系统再也不用因为硬件故障或日常性的维护而中断运行。NETCHARGE-HA就是利用这些方法来提供最佳的服务可靠性,将计算机的宕机时间减少到最低程度。要知道,一分钟的宕机时间也许会给ISP,企业,宾馆等行业的运营带来不可估量的损失。
NETCHARGE-HA还具有系统崩溃的智能检测与处理系统。她利用各种手段来检测硬件、存储设备、网络及系统软件的故障。同时,一旦发现计算机出现故障, NETCHARGE-HA将把该计算机上的所有进程转移到备份计算机上,从而为客户提供不间断的服务。
高可用性的实现的另一大关键就是的冗余策略,简言之就是对主机,网络设备,备份设备的多台备份(当然不只是简单的备份机):NETCHARGE-HA拥有多种冗余模式,其中包括双机在线待机模式、双机就绪模式及三机模式。所有的模式都提供了对各种备份资源-如文件系统、数据库、网络IP地址、系统进程、SCSI设备及NFS-的支持。
此外,高可用性的实现还要有丰富的应用程序支持: NETCHARGE-HA能够应用在各种集中式、客户机-服务器模式或OLTP系统中。同时其与市场上各种主流的数据库系统与OLTP软件-如Oracle、 SYBASE、 Informix与Tuxedo-也都保持兼容。NETCHARGE-HA同时提供了各种应用程序接口。因此,客户能够在其私有软件中集成各种功能来保证系统的高可靠性,这样也保护了客户的投资。
NETCHARGE-HA 系统特点
高可靠性 快速的反应时间 无需增加新的硬件设施 良好的扩展性
较低的费用
NETCHARGE-HA 系统联接方式
网络-共享 网络-专用广播 网络-多点传输 串口 红外线 SCSI通讯模式
联接模式比较
NETCHARGE-HA 技术白皮书
1). 系统架构
上图是典型的NETCHARGE-HA解决方案系统结构:两台主机A,B共享一个磁盘阵列,A为工作机,B为备份机。它们之间以一根心跳线来连接,这被称为“心跳检测”,主要通过一条RS232检测链路来完成。NETCHARGE-HA也采用了网络ping检测来验证系统宕机检测的准确性。安装在主机上的HA软件通过心跳线来实时监测对方的运行状态,一旦正在工作的主机A因为各种硬件故障-如电源失效、主要部件失效或者启动盘失效等导致系统发生故障,主机B立即投入工作。
NETCHARGE-HA实现了“高可靠性共享存储”架构。该架构由两个或三个冗余服务器、一个共享冗余磁盘阵列、一个可选DBMS及NETCHARGE-HA系统软件构成。在NETCHARGE-HA的保护下,企业的计算机系统能够提供不间断的信息服务,避免由于硬件故障或日常维护所带来的宕机,因而能够首先最佳的可靠性及最大程度地减少宕机时间。
共享存储设备故障的检测
NETCHARGE-HA能够判断由于下列原因所带来的共享存储设备故障:SCSI适配卡失效、SCSI连线失效或RAID控制器失效。共享存储设备故障同时也会造成访问这些设备的软件的误操作或甚至系统宕机。
网络失效检测
NETCHARGE-HA能够判断由于下列原因所带来的网络联接故障:网络适配器失效或网络连线的失效。这些故障将使得所有依赖于网络的操作都无法进行。
进程终止检测
NETCHARGE-HA能够检测软件进程是否是正常退出。这意味着,随着某一进程的结束状态的不同,可以采取不同的行动。
可调整的检测超时设定
系统宕机检测及网络检测的超时设定都是可以调整的。更短的超时设定意味着能更快地发现故障与进行服务器切换;但是,这可能会导致检测的可靠性下降。
2). 服务器切换模式
自动或手动切换
一般NETCHARGE-HA自动对系统故障进行检测,并将服务从失效的服务器转移到备份服务器上。当然,管理员同样也能够手动地切换到备份服务器以进行某些日常维护工作。
切换的自动恢复
一旦失效的服务器修复完毕,你可以让服务切换到原来的计算机上。这项功能也能自动完成。
3). 可靠性
网络可靠性
NETCHARGE-HA能够实现高可靠性的TCP/IP网络。当一个服务器上的网络联接失效时,备份服务器将以同样的IP向用户提供服务。举例来说,NFS服务的切换对用户来说就是完全透明的。
共享RAID的可靠性
共享RAID可以拥有两个或三个联接端口与冗余磁盘。这些特性保证了NETCHARGE-HA不会因为某一SCSI硬盘的故障而失效。
共享文件系统的可靠性
当一个服务器宕机后,共享存储设备上的文件系统可能会不完整。在服务器进行切换后,备份服务器能自动修复共享文件系统。
进程可靠性
NETCHARGE-HA将所需要的进程放置在共享文件系统中,并且在两个服务器上都加以记录。这样,在两个服务器切换时就可以启动同一组进程。
数据库可靠性
NETCHARGE-HA可以与一系列的DBMS协作。当然数据库必须创建在共享存储设备上。当数据库服务器宕机时,NETCHARGE-HA就将DBMS切换到备份数据库服务器上。对共享数据库的回溯操作(rollback recovery )可以保证该数据库数据的完整性。
4). 应用
NETCHARGE-HA能够应用在NetCharge 网络管理计费系统系列的所有产品中,同时其与市场上各种主流的数据库系统-如Oracle、 SYBASE、 Informix也都保持兼容。NETCHARGE-HA同时提供了各种应用程序接口。因此,客户能够在其私有软件中集成各种功能来保证系统的高可靠性。
a) NETCHARGE-HA 在线待机模式
在这种模式下,一个服务器作为主服务器。正常情况下其承当所有的服务。另外一台服务器作为待机服务器,正常情况下除了监控主服务器的状态,不进行其他的操作。一旦主服务器宕机,待机服务器就接手工作,成为新的主服务器。客户仍然可以拥有同样的服务器IP地址、NFS、数据、数据库及其他„„这种应用模式近似于上面介绍的典型应用模式—A与B实际上是在完成同一个功能应用,安装在主机上的HA软件通过心跳线来实时监测对方的运行状态,一旦正在工作的主机A因为各种硬件故障-如电源失效、主要部件失效或者启动盘失效等导致系统发生故障,主机B立即投入工作。
b) NETCHARGE-HA 双机就绪模式
在这种模式下,两个主机都作为主服务器,共享自己的磁盘阵列,各自承当一部分服务。例如服务器A在执行应用A, 服务器B在执行应用B, 两个主机在正常情况下各自独立运行自己的应用逻辑,两个主机同时又都作为对方的待机服务器,通过心跳线监控对方的状态。一旦某一服务器宕机,另一台服务器就承担所有的服务,为所有的客户服务。及一旦服务器A发生故障,服务器B马上接管服务器A上原来的应用;或者服务器B发生故障,服务器A马上接管服务器B上原来的应用,这是一种互为冗余的模式。 c) NETCHARGE-HA 三主机模式
这种应用模式是最高端的HA应用模式,它既保证了系统的设备冗余,避免系统宕机,而且又能保证在一旦宕机的情况下有足够的系统资源以供使用。
在这种模式中,待机服务器C同时监控主服务器A与B的状态。一旦服务器A或B宕机,服务器C将承担其服务,为客户服务。这种系统结构既保证了系统的安全运行,又保证了系统资源。
2.7深澜软件用户服务条款
1) 深澜软件提供相关的技术支持标准服务,服务标准为:
24小时内现场完成系统安装。重大技术故障,24小时之内到达现场。若交通
状况不允许,则视情况而定。
24小时内解答客户的技术提问。并且提供24小时技术支持,支持方法包括:
电话支持、远程登录支持、E-mail支持等。
核心程序升级,收取新版本公开报价的10% ;客户端和BUG升级,提供免
费服务。
免费提供相关Linux操作系统升级版本
2). 乙方提供产品免费三年的在线支持、7x24电话、E-mail服务。
3). 现场技术支持:甘情愿
目前乙方仅对杭州地区用户提供售后6个月内的免费上门服务。
对外地用户,如要求现场技术支持,请用户负责差旅费用和人员薪资。
此条例不包括重大系统事故(如:系统灾难性崩溃等)。
4). 重大系统事故的发生:
我方保证在24小时内恢复系统,若交通状况不允许,则视实际情况而定。
注:软件升级费用:仅在软件的核心程序升级进行收费,费用为用户购买该软件新版本公开报价的10%;客户端升级和BUG升级不再收费。
注:软件升级分为三种情况:
核心程序升级:软件重大功能添加,不同平台的版本移植;
客户端升级:软件一般功能和界面的添加,改进和完善;
BUG升级 :软件BUG修正。
深澜软件产品升级保证及相关费用:
1).核心程序升级,收取新版本公开报价的10%。新版本价格将会提前一周,以电话、E-mail方式予以通知。
2).客户端和BUG升级,提供免费服务。
3).产品更新将在产品测试完毕后一周内,通过E-mail方式通知贵方。
4).提供定制模块设计,具体费用,视工作量而定,需双方协商解决。
5).如贵方所提出的需求,我方无法在短期或一定时限内予以解决,将以电话、E-Mail方式,提前三天予以答复。
深澜软件系统安装调试培训工期:
1).安装:与贵方签订的软件购销合同生效后,在24小时之内完成安装。若交通状况不允许,则视情况而定。
2).调试:与系统安装完成后,在24小时之内完成调试。若交通状况不允许,则视情况而定。
培训:培训内容为(Linux 网络操作系统的使用维护、NetCharge网络管理计费系统的使用及维护),培训时间为:1天。培训地点:浙江省杭州市。