【正文】 了進入國內應用交付市場的重要一步。天融信負載均衡系統集成高性能鏈路負載均衡和服務器負載均衡，保證應用數據在錯綜復雜的網絡中獲得最佳傳輸路徑。完善的鏈路、應用服務健康檢查機制，及時診斷出不能正常工作或負載過重的鏈路和服務器。能夠根據應用、鏈路的健康狀況，智能調整流量在多鏈路、多服務器之間的分配，并自動完成切換，提升網絡和應用的可用性。 安全措施整合基于策略路由的優(yōu)化（Policy Based Routing），根據目的地網絡地址及應用類型選擇最有利的網絡路徑。該功能最典型的應用是根據目的地網絡地址選擇使用該網絡地址所在的運營商的線路。這樣就避開了跨越運營商網絡，從而降低了丟包的幾率。例如：為解決電信、網通互連而經常采用的雙線接入。智能DNS均衡，用戶訪問服務器時，根據用戶所在的運營商智能選擇最有利的網絡路徑。圖2 天融信負載均衡系統TopAppLB智能DNS均衡算法天融信負載均衡系統通過對多個ISP（或者同一ISP的多條鏈路）連接的可用性和性能進行實時監(jiān)測，提高網絡連接的容錯能力，將流量導向最優(yōu)的鏈接和ISP以提高服務質量和訪問速度，通過多條低成本鏈路的聚合降低帶寬成本，全面提高應用交付能力。 安全策略選擇鏈路負載均衡l 支持單臂接入模式和雙臂接入模式l 全面的服務監(jiān)測及服務健康檢查l 支持TCP、HTTP、HTTPS等多種服務健康檢查方式l 支持自定義的服務健康檢查方式l 自動選擇最佳服務器并智能地均衡服務器流量l 隱藏服務器真實IP，對于應用和用戶透明，可伸縮性強l 支持各種應用服務器的負載均衡l 至少10種以上快速高效的智能負載均衡算法l 具有快速高效的非持續(xù)性負載均衡算法l 具有多種持續(xù)性負載均衡算法l 支持專為Cache服務器設定的負載均衡算法l 支持服務器流量的自動均衡l 支持服務器最大連接數限制l 具有會話保持功能l 自定修復故障應用l 實現服務故障自動通知l 支持服務器負載均衡高可用性部署帶寬保障策略l 實現精確的端到端帶寬控制與均衡l 不損失任何帶寬的情況下精確控制下載方向的帶寬使用l 不是通過丟棄已收到數據包的方式限制下載方向流量l 流量整形功能解決非對稱帶寬上行壓死下行問題l 支持入站以及出站雙向流量的帶寬管理與控制l 對用戶及應用進行優(yōu)先級管理l 保證關鍵用戶及關鍵應用帶寬l 限制非關鍵用戶及非關鍵應用帶寬l 實現帶寬自動借用l 實現帶寬自動檢測l 實現智能主機帶寬分配l VoIP自動識別及優(yōu)先保障l 基于行為的P2P識別與控制l 基于用戶或用戶組進行連接數限制 安全運維審計 技術措施選擇為使企業(yè)內部網絡設備和服務器需要更安全的環(huán)境，保護企業(yè)內部網絡設備及服務器資源的安全性，使得企業(yè)內部網絡管理合理化和專業(yè)化。北京天融信公司基于多年網絡安全產品研發(fā)經驗推出網絡衛(wèi)士網絡審計系統簡稱TASAG。TASAG集帳號管理、授權管理、認證管理和綜合審計于一體，為企業(yè)提供統一框架，整合企業(yè)應用系統、網絡設備、主機系統，確保合法用戶安全、方便使用特定資源。既能有效地保障合法用戶的權益，又能有效地保障支撐系統安全可靠地運行。TASAG應用了目前先進的技術作為支持，對用戶的網絡設備、服務器等核心資產的常用訪問方式，例如Telnet、SSH、ftp等字符終端訪問及RDP、XWindow等圖形終端訪問，通過協議代理的技術進行訪問控制和審計，實現對用戶行為的控制、追蹤、判定，滿足企業(yè)內部網絡對資源安全性的要求。TASAG是一種被加固的可以防御進攻的計算機，具備堅強的安全防護能力，扮演著看門者的職責，所有對網絡設備和服務器的請求都要從這扇大門經過，因此網絡衛(wèi)士網絡審計系統能夠攔截非法訪問和惡意攻擊，對不合法命令進行阻斷、過濾掉所有對目標設備的非法訪問行為。TASAG具備強大的輸入輸出審計功能，不僅能夠詳細記錄用戶操作的每一條指令，而且能夠將所有的輸出信息全部記錄下來；具備審計回放功能，能夠模擬用戶的在線操作過程，豐富和完善了網絡的內控審計功能。TASAG能夠在自身記錄審計信息的同時在外部某臺計算機上做存儲備份，可以極大增強審計信息的安全性，保證審計人員有據可查。TASAG還具備圖形終端操作的審計功能，能夠對多平臺的多種圖形終端操作做審計，例如Windows平臺的RDP方式圖形終端操作，Linux/Unix平臺的X11方式圖形終端操作。為方便系統管理員查看審計信息，TASAG提供了審計查看檢索功能。系統管理員可以通過多種查詢條件查看審計信息。 安全措施整合網絡衛(wèi)士網絡審計系統部署在被管服務器區(qū)的訪問路徑上，通過防火墻或者交換機的訪問控制策略限定只能由網絡衛(wèi)士網絡審計系統直接訪問服務器的遠程維護端口。 安全策略設計l 單點登錄用戶通過訪問WEB頁面一次登錄系統后，就可以無需認證的訪問被授權的多種基于B/S和C/S的應用系統。單點登錄為具有多賬號的用戶提供了方便快捷的訪問途經，使用戶無需記憶多種登錄用戶ID和口令。l 集中賬號管理集中賬號管理包含對所有服務器、網絡設備賬號的集中管理。賬號和資源的集中管理是集中授權、認證和審計的基礎。集中賬號管理可以完成對賬號整個生命周期的監(jiān)控和管理，而且還降低了管理大量用戶賬號的難度和工作量。同時，通過統一的管理還能夠發(fā)現賬號中存在的安全隱患，并且制定統一的、標準的用戶賬號安全策略。l 運維操作審計操作審計管理主要審計操作人員的賬號使用（登錄、資源訪問）情況、資源使用情況等。在各服務器主機、網絡設備的訪問日志記錄都采用統一的賬號、資源進行標識后，操作審計能更好地對賬號的完整使用過程進行追蹤。l 運維工作站的安全檢查在運維人員使用單點登錄前對運維工作站做安全合規(guī)檢查，包括防病毒檢查、系統補丁檢查、系統配置檢查，并提供修復功能，從而防止其安全隱患影響到核心IT設備。 安全管理平臺 安全措施選擇在本案中我們推薦采用的是北京天融信公司自主研發(fā)的網絡衛(wèi)士安全管理系統（TSMTopAnalyzer）。天融信網絡衛(wèi)士安全管理系統（TSM）是天融信集十年網絡安全研發(fā)經驗，推出的基于可信網絡架構（TNA）的網絡安全管理平臺。TopAnalyzer是網絡衛(wèi)士安全管理系統（TSM）的核心組件之一。TSM主要由五部分組成：TopAnalyzer安全管理、TopDesk終端管理、資產管理、用戶管理以及報表管理。本方案將涉及除了TopDesk終端管理之外的其他各個子系統。TopAnalyzer作為構建SOC（安全運營中心）的基礎軟件平臺，以資產管理為基礎，風險管理為核心，事件管理為主線，輔以有效的管理、監(jiān)視與響應功能，為用戶構建動態(tài)的可信安全管理體系。TopAnalyzer基于J2EE架構開發(fā)，數據庫采用Oracle9i/10g企業(yè)版或者sqlserver2000/2005，具有極強的開放性與可移植性。在統一安全管理框架下實現對各種系統、應用、設備、安全產品的集中管理和監(jiān)控，大大減輕了管理員的操作負擔，提高了管理效率。系統具有智能處理海量事件，快速判斷，應對網絡威脅的強大功能。 安全措施整合 技術部署選擇安全管理中心新通過采用多種技術、手段，收集和整合各類安全事件，并運用實時關聯分析技術、智能推理技術和風險管理技術，實現對安全事件的深度分析，能快速做出智能響應，實現對安全風險的統一監(jiān)控分析和預警處理。安全管理運營中心的技術支撐平臺，主要依據ISO/IEC 27000系列信息安全標準，結合安全服務的最佳實踐，以資產管理為基礎，以風險管理為核心，以事件管理為主線，通過深度數據挖掘、事件關聯等技術，輔以有效的網絡管理與監(jiān)視，安全報警響應，工單處理等功能，對內部各類安全事件進行集中管理和智能分析，最終實現對安全風險態(tài)勢的統一監(jiān)控分析和預警處理。從系統組件上，安全管理中心系統可以分為三大組件：管理服務器（Manager）、代理（Agent）和數據庫（DataBase）。代理（Agent）負責在網絡中采集全網安全事件，預處理（對原始安全事件進行收集、過濾、歸并等操作）后發(fā)送給管理服務器（Manager）；管理服務器負責對預處理后的安全事件進行集中分析、響應、可視化輸出以及做出專家建議；數據庫則負責集中存儲預處理后的安全事件。 安全策略設計各下級單位系統代理（Agent）負責在網絡中采集安全事件，經過預處理后發(fā)送給省廳管理服務器（Manager）；管理服務器負責對預處理（對原始安全事件進行收集、過濾、歸并等操作）后的安全事件進行統一的實時關聯分析、風險管理、安全預警、報警與響應、報表輸出以及決策建議等；數據庫則負責集中存儲預處理后的安全事件。 安全功能要求安全管理中心共包括五個子系統：資產管理子系統、用戶管理子系統、報表管理子系統、網絡管理子系統，以及安全信息管理子系統。資產管理子系統：該子系統提供了資產分類管理功能。管理員能夠在此系統中對重要資產進行管理，如添加、修改、刪除等操作，確定所管理的資產范圍，并根據資產的不同屬性進行分類。用戶管理子系統：該子系統提供了用戶管理功能。通過用戶管理子系統可以進行用戶管理工作，如用戶的添加、刪除、授權等工作。報表管理子系統：報表子系統提供了報表的創(chuàng)建、生成、查看及導出等功能，通過該子系統用戶可以定義各類報表的格式與生成方式。網絡管理子系統：該子系統提供網絡設備自動掃描和繪制拓撲功能。通過網絡管理子系統可以設置網絡設備自動發(fā)現、拓撲管理、視圖管理等功能。安全信息管理子系統：該子系統包括了不同的功能模塊，每個模塊所實現的功能如下：l 事件查看。管理員通過事件查看功能可以定義事件的收集范圍和內容，并進行事件查看、處理等操作。l 工單處理。管理員通過工單處理功能可以設定工單的創(chuàng)建和派發(fā)規(guī)則，并對工單進行管理。l 脆弱性管理。管理員通過設置脆弱性監(jiān)視與收集，可以了解系統中所有資產的脆弱程度。l 風險管理。管理員通過風險管理功能可以設定資產的風險參數，定義風險的相應方式，并查看特定資產的風險狀況。l 監(jiān)視儀表盤。管理員通過監(jiān)視儀表盤可對系統進行基于事件、性能、狀態(tài)、安全等方面的360度健康觀察。第六章 天融信公司簡介天融信公司1995年成立，總部設在北京。作為中國信息安全行業(yè)領導企業(yè)，十五年來天融信人憑借著高度民族使命感和責任感，秉承“融天下英才、筑可信網絡”的人才理念，成功打造出中國信息安全產業(yè)領先品牌TOPSEC。從1996年率先推出填補國內空白的自主知識產權防火墻產品，到自主研發(fā)的可編程ASIC安全芯片，到全球首發(fā)新一代可信并行計算安全平臺，再到云時代超百G機架式“擎天”安全網關；天融信公司堅持自主創(chuàng)新完成了國內安全產品跟隨、跟近甚至超越國際知名產品的過渡。2001年天融信率先推出“TOPSEC”聯動協議標準，2005年提出“可信網絡架構（TNA）”，2008年提出構建“可信網絡世界（TNW）”。無論安全技術還是安全理念，天融信始終引領和見證著中國信息安全產業(yè)發(fā)展的每一個里程碑。歷經十六年的市場考驗與技術積累，天融信目前擁有包括政府、軍隊、金融、能源、電信、教育等眾多行業(yè)的數萬家客戶，同時積極嘗試拓展海外市場。公司建立了以北京為中心覆蓋全國三十多個省市的支撐服務平臺，擁有由近千名信息安全專業(yè)研發(fā)、技術與服務人員構成的強大服務團隊。據權威機構統計，天融信品牌連續(xù)多年位居中國信息安全產品市場占有率領先地位。時至今日，公司已經發(fā)展成為中國知名的信息安全技術研究、產品開發(fā)和安全服務的高科技企業(yè)，正在努力向世界級信息安全企業(yè)的目標邁進。天融信將“可信網絡 安全世界”作為品牌理念，以“可信安全管理(TSM)”為架構核心，攜手客戶和合作伙伴整合資源，共同創(chuàng)建一個可信的、安全的網絡世界。43 / 43