【正文】 了進(jìn)入國內(nèi)應(yīng)用交付市場的重要一步。天融信負(fù)載均衡系統(tǒng)集成高性能鏈路負(fù)載均衡和服務(wù)器負(fù)載均衡，保證應(yīng)用數(shù)據(jù)在錯綜復(fù)雜的網(wǎng)絡(luò)中獲得最佳傳輸路徑。完善的鏈路、應(yīng)用服務(wù)健康檢查機(jī)制，及時診斷出不能正常工作或負(fù)載過重的鏈路和服務(wù)器。能夠根據(jù)應(yīng)用、鏈路的健康狀況，智能調(diào)整流量在多鏈路、多服務(wù)器之間的分配，并自動完成切換，提升網(wǎng)絡(luò)和應(yīng)用的可用性。 安全措施整合基于策略路由的優(yōu)化（Policy Based Routing），根據(jù)目的地網(wǎng)絡(luò)地址及應(yīng)用類型選擇最有利的網(wǎng)絡(luò)路徑。該功能最典型的應(yīng)用是根據(jù)目的地網(wǎng)絡(luò)地址選擇使用該網(wǎng)絡(luò)地址所在的運營商的線路。這樣就避開了跨越運營商網(wǎng)絡(luò)，從而降低了丟包的幾率。例如：為解決電信、網(wǎng)通互連而經(jīng)常采用的雙線接入。智能DNS均衡，用戶訪問服務(wù)器時，根據(jù)用戶所在的運營商智能選擇最有利的網(wǎng)絡(luò)路徑。圖2 天融信負(fù)載均衡系統(tǒng)TopAppLB智能DNS均衡算法天融信負(fù)載均衡系統(tǒng)通過對多個ISP（或者同一ISP的多條鏈路）連接的可用性和性能進(jìn)行實時監(jiān)測，提高網(wǎng)絡(luò)連接的容錯能力，將流量導(dǎo)向最優(yōu)的鏈接和ISP以提高服務(wù)質(zhì)量和訪問速度，通過多條低成本鏈路的聚合降低帶寬成本，全面提高應(yīng)用交付能力。 安全策略選擇鏈路負(fù)載均衡l 支持單臂接入模式和雙臂接入模式l 全面的服務(wù)監(jiān)測及服務(wù)健康檢查l 支持TCP、HTTP、HTTPS等多種服務(wù)健康檢查方式l 支持自定義的服務(wù)健康檢查方式l 自動選擇最佳服務(wù)器并智能地均衡服務(wù)器流量l 隱藏服務(wù)器真實IP，對于應(yīng)用和用戶透明，可伸縮性強(qiáng)l 支持各種應(yīng)用服務(wù)器的負(fù)載均衡l 至少10種以上快速高效的智能負(fù)載均衡算法l 具有快速高效的非持續(xù)性負(fù)載均衡算法l 具有多種持續(xù)性負(fù)載均衡算法l 支持專為Cache服務(wù)器設(shè)定的負(fù)載均衡算法l 支持服務(wù)器流量的自動均衡l 支持服務(wù)器最大連接數(shù)限制l 具有會話保持功能l 自定修復(fù)故障應(yīng)用l 實現(xiàn)服務(wù)故障自動通知l 支持服務(wù)器負(fù)載均衡高可用性部署帶寬保障策略l 實現(xiàn)精確的端到端帶寬控制與均衡l 不損失任何帶寬的情況下精確控制下載方向的帶寬使用l 不是通過丟棄已收到數(shù)據(jù)包的方式限制下載方向流量l 流量整形功能解決非對稱帶寬上行壓死下行問題l 支持入站以及出站雙向流量的帶寬管理與控制l 對用戶及應(yīng)用進(jìn)行優(yōu)先級管理l 保證關(guān)鍵用戶及關(guān)鍵應(yīng)用帶寬l 限制非關(guān)鍵用戶及非關(guān)鍵應(yīng)用帶寬l 實現(xiàn)帶寬自動借用l 實現(xiàn)帶寬自動檢測l 實現(xiàn)智能主機(jī)帶寬分配l VoIP自動識別及優(yōu)先保障l 基于行為的P2P識別與控制l 基于用戶或用戶組進(jìn)行連接數(shù)限制 安全運維審計 技術(shù)措施選擇為使企業(yè)內(nèi)部網(wǎng)絡(luò)設(shè)備和服務(wù)器需要更安全的環(huán)境，保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)設(shè)備及服務(wù)器資源的安全性，使得企業(yè)內(nèi)部網(wǎng)絡(luò)管理合理化和專業(yè)化。北京天融信公司基于多年網(wǎng)絡(luò)安全產(chǎn)品研發(fā)經(jīng)驗推出網(wǎng)絡(luò)衛(wèi)士網(wǎng)絡(luò)審計系統(tǒng)簡稱TASAG。TASAG集帳號管理、授權(quán)管理、認(rèn)證管理和綜合審計于一體，為企業(yè)提供統(tǒng)一框架，整合企業(yè)應(yīng)用系統(tǒng)、網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)，確保合法用戶安全、方便使用特定資源。既能有效地保障合法用戶的權(quán)益，又能有效地保障支撐系統(tǒng)安全可靠地運行。TASAG應(yīng)用了目前先進(jìn)的技術(shù)作為支持，對用戶的網(wǎng)絡(luò)設(shè)備、服務(wù)器等核心資產(chǎn)的常用訪問方式，例如Telnet、SSH、ftp等字符終端訪問及RDP、XWindow等圖形終端訪問，通過協(xié)議代理的技術(shù)進(jìn)行訪問控制和審計，實現(xiàn)對用戶行為的控制、追蹤、判定，滿足企業(yè)內(nèi)部網(wǎng)絡(luò)對資源安全性的要求。TASAG是一種被加固的可以防御進(jìn)攻的計算機(jī)，具備堅強(qiáng)的安全防護(hù)能力，扮演著看門者的職責(zé)，所有對網(wǎng)絡(luò)設(shè)備和服務(wù)器的請求都要從這扇大門經(jīng)過，因此網(wǎng)絡(luò)衛(wèi)士網(wǎng)絡(luò)審計系統(tǒng)能夠攔截非法訪問和惡意攻擊，對不合法命令進(jìn)行阻斷、過濾掉所有對目標(biāo)設(shè)備的非法訪問行為。TASAG具備強(qiáng)大的輸入輸出審計功能，不僅能夠詳細(xì)記錄用戶操作的每一條指令，而且能夠?qū)⑺械妮敵鲂畔⑷坑涗浵聛?；具備審計回放功能，能夠模擬用戶的在線操作過程，豐富和完善了網(wǎng)絡(luò)的內(nèi)控審計功能。TASAG能夠在自身記錄審計信息的同時在外部某臺計算機(jī)上做存儲備份，可以極大增強(qiáng)審計信息的安全性，保證審計人員有據(jù)可查。TASAG還具備圖形終端操作的審計功能，能夠?qū)Χ嗥脚_的多種圖形終端操作做審計，例如Windows平臺的RDP方式圖形終端操作，Linux/Unix平臺的X11方式圖形終端操作。為方便系統(tǒng)管理員查看審計信息，TASAG提供了審計查看檢索功能。系統(tǒng)管理員可以通過多種查詢條件查看審計信息。 安全措施整合網(wǎng)絡(luò)衛(wèi)士網(wǎng)絡(luò)審計系統(tǒng)部署在被管服務(wù)器區(qū)的訪問路徑上，通過防火墻或者交換機(jī)的訪問控制策略限定只能由網(wǎng)絡(luò)衛(wèi)士網(wǎng)絡(luò)審計系統(tǒng)直接訪問服務(wù)器的遠(yuǎn)程維護(hù)端口。 安全策略設(shè)計l 單點登錄用戶通過訪問WEB頁面一次登錄系統(tǒng)后，就可以無需認(rèn)證的訪問被授權(quán)的多種基于B/S和C/S的應(yīng)用系統(tǒng)。單點登錄為具有多賬號的用戶提供了方便快捷的訪問途經(jīng)，使用戶無需記憶多種登錄用戶ID和口令。l 集中賬號管理集中賬號管理包含對所有服務(wù)器、網(wǎng)絡(luò)設(shè)備賬號的集中管理。賬號和資源的集中管理是集中授權(quán)、認(rèn)證和審計的基礎(chǔ)。集中賬號管理可以完成對賬號整個生命周期的監(jiān)控和管理，而且還降低了管理大量用戶賬號的難度和工作量。同時，通過統(tǒng)一的管理還能夠發(fā)現(xiàn)賬號中存在的安全隱患，并且制定統(tǒng)一的、標(biāo)準(zhǔn)的用戶賬號安全策略。l 運維操作審計操作審計管理主要審計操作人員的賬號使用（登錄、資源訪問）情況、資源使用情況等。在各服務(wù)器主機(jī)、網(wǎng)絡(luò)設(shè)備的訪問日志記錄都采用統(tǒng)一的賬號、資源進(jìn)行標(biāo)識后，操作審計能更好地對賬號的完整使用過程進(jìn)行追蹤。l 運維工作站的安全檢查在運維人員使用單點登錄前對運維工作站做安全合規(guī)檢查，包括防病毒檢查、系統(tǒng)補(bǔ)丁檢查、系統(tǒng)配置檢查，并提供修復(fù)功能，從而防止其安全隱患影響到核心IT設(shè)備。 安全管理平臺 安全措施選擇在本案中我們推薦采用的是北京天融信公司自主研發(fā)的網(wǎng)絡(luò)衛(wèi)士安全管理系統(tǒng)（TSMTopAnalyzer）。天融信網(wǎng)絡(luò)衛(wèi)士安全管理系統(tǒng)（TSM）是天融信集十年網(wǎng)絡(luò)安全研發(fā)經(jīng)驗，推出的基于可信網(wǎng)絡(luò)架構(gòu)（TNA）的網(wǎng)絡(luò)安全管理平臺。TopAnalyzer是網(wǎng)絡(luò)衛(wèi)士安全管理系統(tǒng)（TSM）的核心組件之一。TSM主要由五部分組成：TopAnalyzer安全管理、TopDesk終端管理、資產(chǎn)管理、用戶管理以及報表管理。本方案將涉及除了TopDesk終端管理之外的其他各個子系統(tǒng)。TopAnalyzer作為構(gòu)建SOC（安全運營中心）的基礎(chǔ)軟件平臺，以資產(chǎn)管理為基礎(chǔ)，風(fēng)險管理為核心，事件管理為主線，輔以有效的管理、監(jiān)視與響應(yīng)功能，為用戶構(gòu)建動態(tài)的可信安全管理體系。TopAnalyzer基于J2EE架構(gòu)開發(fā)，數(shù)據(jù)庫采用Oracle9i/10g企業(yè)版或者sqlserver2000/2005，具有極強(qiáng)的開放性與可移植性。在統(tǒng)一安全管理框架下實現(xiàn)對各種系統(tǒng)、應(yīng)用、設(shè)備、安全產(chǎn)品的集中管理和監(jiān)控，大大減輕了管理員的操作負(fù)擔(dān)，提高了管理效率。系統(tǒng)具有智能處理海量事件，快速判斷，應(yīng)對網(wǎng)絡(luò)威脅的強(qiáng)大功能。 安全措施整合 技術(shù)部署選擇安全管理中心新通過采用多種技術(shù)、手段，收集和整合各類安全事件，并運用實時關(guān)聯(lián)分析技術(shù)、智能推理技術(shù)和風(fēng)險管理技術(shù)，實現(xiàn)對安全事件的深度分析，能快速做出智能響應(yīng)，實現(xiàn)對安全風(fēng)險的統(tǒng)一監(jiān)控分析和預(yù)警處理。安全管理運營中心的技術(shù)支撐平臺，主要依據(jù)ISO/IEC 27000系列信息安全標(biāo)準(zhǔn)，結(jié)合安全服務(wù)的最佳實踐，以資產(chǎn)管理為基礎(chǔ)，以風(fēng)險管理為核心，以事件管理為主線，通過深度數(shù)據(jù)挖掘、事件關(guān)聯(lián)等技術(shù)，輔以有效的網(wǎng)絡(luò)管理與監(jiān)視，安全報警響應(yīng)，工單處理等功能，對內(nèi)部各類安全事件進(jìn)行集中管理和智能分析，最終實現(xiàn)對安全風(fēng)險態(tài)勢的統(tǒng)一監(jiān)控分析和預(yù)警處理。從系統(tǒng)組件上，安全管理中心系統(tǒng)可以分為三大組件：管理服務(wù)器（Manager）、代理（Agent）和數(shù)據(jù)庫（DataBase）。代理（Agent）負(fù)責(zé)在網(wǎng)絡(luò)中采集全網(wǎng)安全事件，預(yù)處理（對原始安全事件進(jìn)行收集、過濾、歸并等操作）后發(fā)送給管理服務(wù)器（Manager）；管理服務(wù)器負(fù)責(zé)對預(yù)處理后的安全事件進(jìn)行集中分析、響應(yīng)、可視化輸出以及做出專家建議；數(shù)據(jù)庫則負(fù)責(zé)集中存儲預(yù)處理后的安全事件。 安全策略設(shè)計各下級單位系統(tǒng)代理（Agent）負(fù)責(zé)在網(wǎng)絡(luò)中采集安全事件，經(jīng)過預(yù)處理后發(fā)送給省廳管理服務(wù)器（Manager）；管理服務(wù)器負(fù)責(zé)對預(yù)處理（對原始安全事件進(jìn)行收集、過濾、歸并等操作）后的安全事件進(jìn)行統(tǒng)一的實時關(guān)聯(lián)分析、風(fēng)險管理、安全預(yù)警、報警與響應(yīng)、報表輸出以及決策建議等；數(shù)據(jù)庫則負(fù)責(zé)集中存儲預(yù)處理后的安全事件。 安全功能要求安全管理中心共包括五個子系統(tǒng)：資產(chǎn)管理子系統(tǒng)、用戶管理子系統(tǒng)、報表管理子系統(tǒng)、網(wǎng)絡(luò)管理子系統(tǒng)，以及安全信息管理子系統(tǒng)。資產(chǎn)管理子系統(tǒng)：該子系統(tǒng)提供了資產(chǎn)分類管理功能。管理員能夠在此系統(tǒng)中對重要資產(chǎn)進(jìn)行管理，如添加、修改、刪除等操作，確定所管理的資產(chǎn)范圍，并根據(jù)資產(chǎn)的不同屬性進(jìn)行分類。用戶管理子系統(tǒng)：該子系統(tǒng)提供了用戶管理功能。通過用戶管理子系統(tǒng)可以進(jìn)行用戶管理工作，如用戶的添加、刪除、授權(quán)等工作。報表管理子系統(tǒng)：報表子系統(tǒng)提供了報表的創(chuàng)建、生成、查看及導(dǎo)出等功能，通過該子系統(tǒng)用戶可以定義各類報表的格式與生成方式。網(wǎng)絡(luò)管理子系統(tǒng)：該子系統(tǒng)提供網(wǎng)絡(luò)設(shè)備自動掃描和繪制拓?fù)涔δ堋Ｍㄟ^網(wǎng)絡(luò)管理子系統(tǒng)可以設(shè)置網(wǎng)絡(luò)設(shè)備自動發(fā)現(xiàn)、拓?fù)涔芾怼⒁晥D管理等功能。安全信息管理子系統(tǒng)：該子系統(tǒng)包括了不同的功能模塊，每個模塊所實現(xiàn)的功能如下：l 事件查看。管理員通過事件查看功能可以定義事件的收集范圍和內(nèi)容，并進(jìn)行事件查看、處理等操作。l 工單處理。管理員通過工單處理功能可以設(shè)定工單的創(chuàng)建和派發(fā)規(guī)則，并對工單進(jìn)行管理。l 脆弱性管理。管理員通過設(shè)置脆弱性監(jiān)視與收集，可以了解系統(tǒng)中所有資產(chǎn)的脆弱程度。l 風(fēng)險管理。管理員通過風(fēng)險管理功能可以設(shè)定資產(chǎn)的風(fēng)險參數(shù)，定義風(fēng)險的相應(yīng)方式，并查看特定資產(chǎn)的風(fēng)險狀況。l 監(jiān)視儀表盤。管理員通過監(jiān)視儀表盤可對系統(tǒng)進(jìn)行基于事件、性能、狀態(tài)、安全等方面的360度健康觀察。第六章 天融信公司簡介天融信公司1995年成立，總部設(shè)在北京。作為中國信息安全行業(yè)領(lǐng)導(dǎo)企業(yè)，十五年來天融信人憑借著高度民族使命感和責(zé)任感，秉承“融天下英才、筑可信網(wǎng)絡(luò)”的人才理念，成功打造出中國信息安全產(chǎn)業(yè)領(lǐng)先品牌TOPSEC。從1996年率先推出填補(bǔ)國內(nèi)空白的自主知識產(chǎn)權(quán)防火墻產(chǎn)品，到自主研發(fā)的可編程ASIC安全芯片，到全球首發(fā)新一代可信并行計算安全平臺，再到云時代超百G機(jī)架式“擎天”安全網(wǎng)關(guān)；天融信公司堅持自主創(chuàng)新完成了國內(nèi)安全產(chǎn)品跟隨、跟近甚至超越國際知名產(chǎn)品的過渡。2001年天融信率先推出“TOPSEC”聯(lián)動協(xié)議標(biāo)準(zhǔn)，2005年提出“可信網(wǎng)絡(luò)架構(gòu)（TNA）”，2008年提出構(gòu)建“可信網(wǎng)絡(luò)世界（TNW）”。無論安全技術(shù)還是安全理念，天融信始終引領(lǐng)和見證著中國信息安全產(chǎn)業(yè)發(fā)展的每一個里程碑。歷經(jīng)十六年的市場考驗與技術(shù)積累，天融信目前擁有包括政府、軍隊、金融、能源、電信、教育等眾多行業(yè)的數(shù)萬家客戶，同時積極嘗試拓展海外市場。公司建立了以北京為中心覆蓋全國三十多個省市的支撐服務(wù)平臺，擁有由近千名信息安全專業(yè)研發(fā)、技術(shù)與服務(wù)人員構(gòu)成的強(qiáng)大服務(wù)團(tuán)隊。據(jù)權(quán)威機(jī)構(gòu)統(tǒng)計，天融信品牌連續(xù)多年位居中國信息安全產(chǎn)品市場占有率領(lǐng)先地位。時至今日，公司已經(jīng)發(fā)展成為中國知名的信息安全技術(shù)研究、產(chǎn)品開發(fā)和安全服務(wù)的高科技企業(yè)，正在努力向世界級信息安全企業(yè)的目標(biāo)邁進(jìn)。天融信將“可信網(wǎng)絡(luò) 安全世界”作為品牌理念，以“可信安全管理(TSM)”為架構(gòu)核心，攜手客戶和合作伙伴整合資源，共同創(chuàng)建一個可信的、安全的網(wǎng)絡(luò)世界。43 / 43