【正文】 OCUS NIPS 600 Series 業(yè)務(wù)接口 SOLT 插槽 X SFP+接口 X SFP 接口 X GE 接口 8 BYPASS 4 路電口 管理接口 管理接口 1GE 配置串口 1個(gè) RS232 性能參數(shù) 吞吐量（雙向） 600Mbps 最大并發(fā) TCP會(huì)話數(shù) 20 萬(wàn) 每秒新增 TCP會(huì)話數(shù) 15 萬(wàn) 時(shí)延 (us) 100 181。s 物理指標(biāo) 尺寸 320*428*（ 1U） 重量 千克 電源 100240V ， AC，（ 5060HZ）， 4A， 180W 平均無(wú)故障時(shí)間（ MTBF） 超過(guò) 100,000 小時(shí) 工作溫度 0~40℃ 網(wǎng)絡(luò)安全管理系統(tǒng) 在本項(xiàng)目中網(wǎng)絡(luò)安全管理系統(tǒng)采用 聯(lián)軟科技 UniAccess 終端準(zhǔn)入以及安全管 理 產(chǎn)品及 UniMon 綜合運(yùn)行監(jiān)控。 方案設(shè)計(jì)原則 方案設(shè)計(jì)遵循如下原則： 1) 先進(jìn)性原則：提供一致的管理平臺(tái)和管理界面，在復(fù)雜的 IT 異構(gòu)環(huán)境中實(shí)現(xiàn)統(tǒng)一管理，實(shí)現(xiàn)分布式、跨平臺(tái)、跨系統(tǒng)的集中管理。 2) 開(kāi)放性原則：能夠提供標(biāo)準(zhǔn)的和開(kāi)放的應(yīng)用接口及開(kāi)發(fā)工具，符合 IT 技術(shù)未來(lái)的發(fā)展方向。 3) 可擴(kuò)展性原則：具有高度可擴(kuò)充性，能隨 IT 系統(tǒng)和企業(yè)業(yè)務(wù)的增長(zhǎng)而增長(zhǎng)。 4) 安全性原則：對(duì)管理對(duì)象性能影響小，安全策略執(zhí)行有效。 5) 可靠性原則：系統(tǒng)架構(gòu)支持高可靠性，避免因?yàn)榉?wù)宕機(jī)或者網(wǎng)絡(luò)通訊故障導(dǎo)致終端設(shè)備不能接入網(wǎng)絡(luò)的情況 ，提供備份和冗余的架構(gòu)和部署方案。 6) 兼容性原則： 系統(tǒng)要能夠?qū)崿F(xiàn)對(duì)主流廠商的網(wǎng)絡(luò)設(shè)備、主機(jī)設(shè)備、網(wǎng)絡(luò)安全設(shè)備、應(yīng)用系統(tǒng)和各種 PC 機(jī) 、 Windows 版本 的管理，是一個(gè)采用國(guó)際、國(guó)家或者行業(yè)標(biāo)準(zhǔn)的開(kāi)放系統(tǒng)，以便能夠支持升級(jí)后的 IT 系統(tǒng)管理 7) 易用性原則：提供運(yùn)行維護(hù)管理平臺(tái)與工具，簡(jiǎn)單、友好的界面，進(jìn)行直觀的操作和管理，提供豐富準(zhǔn)確的報(bào)表和統(tǒng)計(jì)數(shù)據(jù)。 方案設(shè)計(jì)思路 1. 遵循 ITIL 標(biāo)準(zhǔn) 在“ IT 管理”方面，目前全球各大企業(yè)均在部署實(shí)施 IT 服務(wù)管理系統(tǒng)， IT服務(wù)管理是用來(lái)提升 IT 服務(wù)效率，協(xié)調(diào) IT 服務(wù)部門(mén) 內(nèi)部運(yùn)作，改善 IT 部門(mén)與業(yè)務(wù)部門(mén)之間的溝通，幫助企業(yè)對(duì)信息化系統(tǒng)的規(guī)劃、研發(fā)、實(shí)施和運(yùn)營(yíng)進(jìn)行有效管理的方法。 IT 服務(wù)管理結(jié)合企業(yè)環(huán)境、組織結(jié)構(gòu)、 IT 資源和管理流程特點(diǎn)，將流程、人和技術(shù)三方面整合在一起來(lái)解決 IT 服務(wù)管理問(wèn)題。 IT 服務(wù)管理以客戶(hù)需求（在企業(yè)內(nèi)部則為企業(yè)內(nèi)各部門(mén)的業(yè)務(wù)需求）為中心，支持企業(yè)的業(yè)務(wù)服務(wù)。解決方案設(shè)計(jì)要采用 IT 服務(wù)管理的理念，按照 ITIL 最佳實(shí)踐標(biāo)準(zhǔn)來(lái)設(shè)計(jì) 。 2. 遵循 ISO 17799 標(biāo)準(zhǔn) ISO17799 作為信息系統(tǒng)安全管理標(biāo)準(zhǔn)，已經(jīng)成為全球公認(rèn)的安全管理最佳實(shí)踐，成為全國(guó)大型機(jī)構(gòu)在設(shè) 計(jì)、管理信息系統(tǒng)安全時(shí)的實(shí)踐指南。 ISO17799 中，除了安全思路之外，給出了許多非常細(xì)致的安全管理指導(dǎo)規(guī)范。在 ISO17799中有一個(gè)非常有名的安全模型，稱(chēng)為 PDCA安全模型。 PDCA安全模型的核心思想是：信息系統(tǒng)的安全需求是不斷變化的，要使得信息系統(tǒng)的安全能夠滿足業(yè)務(wù)需要，必須建立動(dòng)態(tài)的“計(jì)劃、設(shè)計(jì)和部署、監(jiān)控評(píng)估、改進(jìn) 提高”管理方法，持續(xù)不斷地改進(jìn)信息系統(tǒng)的安全性。 聯(lián)軟科技認(rèn)為， 三門(mén)核電 的桌面安全管理，也將是一個(gè)持續(xù)、動(dòng)態(tài)、不斷改進(jìn)的過(guò)程， LeagView UniAccess 安全接入管理系統(tǒng)將 為 三門(mén)核電 提供統(tǒng)一的、集成化的平臺(tái)和工具，幫助 三門(mén)核電 對(duì)其終端進(jìn)行統(tǒng)一的安全控制、安全評(píng)估、安全審計(jì)及安全改進(jìn)策略部署。 3. 統(tǒng)一的集成化管理平臺(tái) 三門(mén)核電 的 無(wú)線 網(wǎng)絡(luò)安全管理系統(tǒng) 必須提供統(tǒng)一的、集成化管理平臺(tái)。 解決方案要向 IT 系統(tǒng)管理員 提供 一個(gè)統(tǒng)一 的登錄 入口，有整體的 桌面安全視圖， 呈現(xiàn) 整個(gè)計(jì)算機(jī)網(wǎng)絡(luò) 系統(tǒng) 中所有終端設(shè)備的安全 運(yùn)行狀況。管理員不僅可以看到 桌面安全 的運(yùn)行狀況， 終端的安全設(shè)置， 也能夠看到 終端的軟件配置、硬件配置、終端的物理位置等信息。 通過(guò)統(tǒng)一的集成化的管理平臺(tái)，管理員可以完成所有與桌面安全管理維護(hù)相關(guān) 的各種任務(wù)，具體包括： ? 網(wǎng)絡(luò)準(zhǔn)入控制管理； ? 補(bǔ)丁 分發(fā) 管理； ? 桌面安全策略設(shè)置，包括：移動(dòng)存儲(chǔ)控制、主機(jī)安全漏 洞策略、防病毒安全策略、非法外聯(lián)策略、網(wǎng)絡(luò)訪問(wèn)審計(jì)策略等的設(shè)置； ? 統(tǒng)一的集成化管理平臺(tái)對(duì)管理員的各種操作，應(yīng)提供審計(jì)功能，以備事后審計(jì)； ? 分級(jí)式的系統(tǒng)架構(gòu)，支持分時(shí)段、分區(qū)域的管理； ? 綜合運(yùn)行監(jiān)控，包括網(wǎng)絡(luò)交換機(jī)狀態(tài)、服務(wù)器狀態(tài)等。 4. 支持多廠商 /多平臺(tái) 解決方案設(shè)計(jì)的系統(tǒng)要能夠?qū)崿F(xiàn)對(duì)主流廠商的網(wǎng)絡(luò)設(shè)備、 多種桌面操作系統(tǒng)的支持 ，是一個(gè)采用國(guó)際、國(guó)家或者行業(yè)標(biāo)準(zhǔn)的開(kāi)放系統(tǒng)，以便 將來(lái)的網(wǎng)絡(luò)擴(kuò)容、系統(tǒng)升級(jí) 。 5. 人、計(jì)算機(jī)統(tǒng)一管理 終端管理需要將計(jì)算機(jī)、人和組織將結(jié)合起來(lái)管理。很多計(jì)算機(jī)的管理信息需要通過(guò)人來(lái)反映，如計(jì)算機(jī)有問(wèn)題時(shí)，通常需要知會(huì)計(jì)算機(jī)的用戶(hù)。設(shè)置安全策略，直接設(shè)置到人比機(jī)器更加直觀。 終端安全管理系統(tǒng)架構(gòu) 一、 UniAccess 的終端安全管理總體思路 LeagView UniAccess 對(duì)電腦終端進(jìn)行安全管理的總體思路是： 聯(lián)軟科技的網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)流程與普通旅客登錄飛機(jī)的流程可相媲美： 1) 均是國(guó)際認(rèn)可的安全管理標(biāo)準(zhǔn)； 2) 均具備訪客區(qū)、修復(fù)區(qū)、工作區(qū)的概念； 3) 均具備強(qiáng)身份檢查和安檢流 程； 以上過(guò)程完全滿足網(wǎng)絡(luò)準(zhǔn)入控制的目的和意義：能確保合法的、健康的終端接入內(nèi)部網(wǎng)絡(luò)訪問(wèn)被授權(quán)的資源。 首先，通過(guò)網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)，確保接入網(wǎng)絡(luò)的電腦終端符合如下要求： 1） 常規(guī)接入 ，對(duì)于內(nèi)部員工、合作支持廠商及外來(lái)訪客等人員的常規(guī)網(wǎng)絡(luò)訪問(wèn)，必須符合網(wǎng)絡(luò)常規(guī)接入管理規(guī)定，例如：擁有合法的訪問(wèn)帳號(hào)、安裝了指定的操作系統(tǒng)等，支持并自帶 驗(yàn)證功能的版本。如果不符合管理規(guī)定，將拒絕其接入，或者通過(guò)網(wǎng)絡(luò)對(duì)該電腦進(jìn)行自動(dòng)隔離。 通過(guò)操作系統(tǒng)自帶驗(yàn)證功能實(shí)現(xiàn)終端接入的初級(jí)管理，非授權(quán)終端不能訪問(wèn)網(wǎng)絡(luò)，接入成功的終端可 以訪問(wèn)日常辦公區(qū)域和互聯(lián)網(wǎng)等。 2） 安全接入 ，對(duì)于內(nèi)部員工、合作支持廠商及業(yè)務(wù)相關(guān)人員的特殊或涉密網(wǎng)絡(luò)訪問(wèn)，必須安裝 Agent，如果是未安裝 Agent 的電腦終端接入網(wǎng)絡(luò)，其打開(kāi) WEB 瀏覽器訪問(wèn)任何 Web site 時(shí)，將被重定向到管理員指定的一個(gè)頁(yè)面，提醒其安裝 Agent。不安裝 Agent 的電腦將無(wú)法訪問(wèn)制定網(wǎng)絡(luò)（特殊電腦可以例外）。安裝了 Agent 的終端必須符合網(wǎng)絡(luò)安全接入管理規(guī)定，例如：擁有合法的訪問(wèn)帳號(hào)、安裝了指定的防病毒軟件、安裝了指定的操作系統(tǒng)補(bǔ)丁等。如果不符合管理規(guī)定，將拒絕其接入，或者通過(guò)網(wǎng)絡(luò)對(duì)該電 腦進(jìn)行自動(dòng)隔離，并且指引其進(jìn)行安全修復(fù)。 通過(guò)客戶(hù)端 Agent 實(shí)現(xiàn)終端接入的高級(jí)管理，保證接入制定區(qū)域的終端安全、可信，接入成功的終端可以訪問(wèn)重要的區(qū)域，如：生產(chǎn)網(wǎng)和承載網(wǎng)等。 然后，對(duì)安裝了 Agent 的電腦終端，進(jìn)行進(jìn)一步的管理控制，包括： 1） 安全設(shè)置檢查、加固，非法操作的管理、限制 2） 防止文件非法外傳 (U 盤(pán) /軟盤(pán) /共享等 ) 3） 電腦終端的集中式管理，例如，資產(chǎn)管理、軟件分發(fā)、遠(yuǎn)程控制、補(bǔ)丁管理、分組策略分發(fā)、集中審計(jì)。 再次，要防止電腦終端私自、非法卸載 Agent 或者停止 Agent 的運(yùn)行 ,確保管理策略的執(zhí)行。 1） Agent 自帶反卸載、反非法中止、非法刪除功能； 2） 如果電腦終端私自卸載 Agent（如重新安裝操作系統(tǒng)）或者中止 Agent的運(yùn)行， LeagView UniAccess 后臺(tái)系統(tǒng)可以及時(shí)發(fā)現(xiàn)這種行為。企業(yè)可以依據(jù)有關(guān)安全管理規(guī)范對(duì)其進(jìn)行警告或者處罰，防范這種行為的再次發(fā)生。 二、 UniAccess 的終端安全管理系統(tǒng)架構(gòu) 下圖是 聯(lián)軟科技的 LeagView UniAccess 網(wǎng)絡(luò)安全管理系統(tǒng) 架構(gòu)。 圖表 1 網(wǎng)絡(luò)安全管理 系統(tǒng) 架構(gòu) 首先， LeagView UniAccess 安全接入管理系統(tǒng)，通過(guò)網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)，對(duì)接入網(wǎng)絡(luò)的電腦終端進(jìn)行實(shí)時(shí)安全檢查，檢查的內(nèi)容包括： 1） 賬戶(hù)檢查：用戶(hù)名和密碼 ? 防止外來(lái)人員私自安裝一個(gè)相同的 Agent 后接入網(wǎng)絡(luò) 2） 安全設(shè)置規(guī)范檢查 : 終端的安全設(shè)置 ? 檢查系統(tǒng)賬戶(hù)，包括： Guest 賬戶(hù)和弱口令檢查； ? Windows 域檢查，檢查終端是否加入指定的 Windows 域； ? 檢查可寫(xiě)共享設(shè)置，檢查終端是否設(shè)置了可寫(xiě)或者沒(méi)有權(quán)限限制的可寫(xiě)共享； ? 檢查終端操作系統(tǒng)補(bǔ)丁安裝情況； ? 檢查終端的防病毒安裝情況及其病毒特征 庫(kù)是否及時(shí)升級(jí)； ? 檢查終端是否有可疑的注冊(cè)表項(xiàng)； ? 檢查終端是否有可疑的文件存在； ? 檢查終端是否安裝了非法軟件。 3） 終端注冊(cè) ID 檢查 : 檢查終端是否在內(nèi)部網(wǎng)絡(luò)注冊(cè)登記過(guò) ? 網(wǎng)絡(luò)準(zhǔn)入控制確保接入網(wǎng)絡(luò)的電腦終端是合法的、符合接入安全管理規(guī)范的電腦終端，而且是接受管理電腦終端。 其次，對(duì)接入網(wǎng)絡(luò)的電腦終端，可以進(jìn)行進(jìn)一步的安全管理和控制，包括： 1） 安全加固，安全加固可以實(shí)現(xiàn)： ? 對(duì)主機(jī)的賬戶(hù)口令、屏?？诹睢⒐蚕砟夸?、自動(dòng)運(yùn)行的服務(wù)進(jìn)行安全加固，如提示用戶(hù)設(shè)置強(qiáng)口令、設(shè)置屏?？诹?，刪除寫(xiě)共享目錄，停止一些危險(xiǎn)的服務(wù)進(jìn)程等。 ? 強(qiáng)制接入網(wǎng)絡(luò)的主機(jī)設(shè)備安裝規(guī)定的防病毒軟件，并且強(qiáng)制這些防病毒軟件及時(shí)更新最新病毒，以加強(qiáng)主機(jī)設(shè)備的自身抗病毒能力。 ? 自動(dòng)為客戶(hù)端安裝最新補(bǔ)丁包，加強(qiáng)客戶(hù)端的抗攻擊能力。 2） 安全評(píng)估，對(duì)電腦終端的安全設(shè)置和運(yùn)行狀態(tài)進(jìn)行評(píng)估。 ? 管理員可以定義主機(jī)必須滿足什么樣的安全要求才能夠具備較強(qiáng)的抗攻擊能力，當(dāng)不滿足時(shí)就認(rèn)為主機(jī)是有安全漏洞的，這樣的主機(jī)是很容易受到安全攻擊的。比如賬戶(hù)口令是否是強(qiáng)口令；目錄是否有缺省可寫(xiě)共享；是否運(yùn)行了一些危險(xiǎn)進(jìn)程；通過(guò)檢