某電業(yè)局安全存儲網(wǎng)絡建設技術建議書

1、*電業(yè)局電業(yè)局安全存儲網(wǎng)絡建設技術建議書安全存儲網(wǎng)絡建設技術建議書二零零九年十月二零零九年十月目目 錄錄安全存儲網(wǎng)絡建設技術建議書安全存儲網(wǎng)絡建設技術建議書 .1 11 1概述概述 .3 31.11.1項目建設背景需求項目建設背景需求 .3 .1網(wǎng)絡現(xiàn)狀網(wǎng)絡現(xiàn)狀.31.21.2網(wǎng)絡建設目標網(wǎng)絡建設目標 .3 31.31.3網(wǎng)絡建設原則網(wǎng)絡建設原則 .3 32 2整體方案設計整體方案設計 .4 42.12.1組網(wǎng)方案組網(wǎng)方案 .4 42.22.2方案建議及設備選型依據(jù)方案建議及設備選型依據(jù) .4 43 3網(wǎng)絡解決方案網(wǎng)絡解決方案 .5 53.13.1ipip 地址規(guī)劃地址規(guī)劃

2、.5 53.23.2vlanvlan 規(guī)劃規(guī)劃.6 63.33.3路由規(guī)劃路由規(guī)劃 .6 63.43.4qosqos 設計設計 .6 63.53.5設備介紹設備介紹 .8 .1s9300s9300 系系列列交換機系統(tǒng)特性交換機系統(tǒng)特性..2oceanspaceoceanspace s2000s2000 系列存儲系統(tǒng)系列存儲系統(tǒng).164 4安全解決方案安全解決方案 .20204.14.1安全體系層次設計安全體系層次設計 .20.1層次一：物理環(huán)境的安全性（物理層安全）層次一：物理環(huán)境的安全性（物理層安全）..2層次二：操

3、作系統(tǒng)的安全性（系統(tǒng)層安全）層次二：操作系統(tǒng)的安全性（系統(tǒng)層安全）..3層次三：網(wǎng)絡的安全性（網(wǎng)絡層安全）層次三：網(wǎng)絡的安全性（網(wǎng)絡層安全）..4層次四：應用的安全性（應用層安全）層次四：應用的安全性（應用層安全）..5層次五：管理的安全性（安全管理）層次五：管理的安全性（安全管理）..6總體部署總體部署.214.24.2入侵檢測系統(tǒng)部署入侵檢測系統(tǒng)部署 .22.1安全風險分析安全風險分析..2安全風險解決安全風險解決..3智能網(wǎng)絡入侵檢測設備智能網(wǎng)絡入侵

4、檢測設備..4nipnip 10001000 性能指標性能指標.284.34.3終端安全管理系統(tǒng)部署終端安全管理系統(tǒng)部署 .3030.1終端安全管理系統(tǒng)終端安全管理系統(tǒng).30.2安全監(jiān)控功能安全監(jiān)控功能.3.3資產(chǎn)管理應用功能資產(chǎn)管理應用功能.3.4安全接入控制網(wǎng)關應用安全接入控制網(wǎng)關應用.3.5secospacesecospace 系統(tǒng)性能指標系統(tǒng)性能指標.341 1概述概述1.11.1 項目建設背景需求項目建設背景需求.1網(wǎng)絡現(xiàn)狀網(wǎng)絡現(xiàn)狀*電業(yè)局網(wǎng)絡建設主要分為內部辦公

5、網(wǎng)絡和外部互聯(lián)網(wǎng)絡兩部分，現(xiàn)有核心設備是用的是華為5500系列交換機，交換機使用年限已久，隨著網(wǎng)絡規(guī)模的不斷擴大，現(xiàn)有網(wǎng)絡接口已逐漸不能滿足網(wǎng)絡的需求；內部服務器數(shù)量已達到10臺左右，數(shù)據(jù)量增加的比較快，需要一套網(wǎng)絡存儲設備。內部安全需要進一步的管理。1.21.2 網(wǎng)絡建設目標網(wǎng)絡建設目標為了提高整網(wǎng)核心的可靠性，設計考慮設備冗余（電源、超級引擎采用雙配置） ，為整網(wǎng)提供更加穩(wěn)定的網(wǎng)絡服務。華為核心設備最多支持 144 個光接口，能夠極大地滿足現(xiàn)在及將來網(wǎng)絡的需求。1.31.3 網(wǎng)絡建設原則網(wǎng)絡建設原則我單位針對*電業(yè)局存儲及安全工程將采用華為先進的高端電信級設備作為構建網(wǎng)絡的基礎單元，建立一

6、個高帶寬、高可用性及高可靠性的數(shù)據(jù)網(wǎng)絡，為濮陽縣電業(yè)局業(yè)務系統(tǒng)提供強有力的保證，本次工程基于以下原則進行：綜合性綜合性：將網(wǎng)絡建設成為不僅支撐現(xiàn)有濮陽縣電業(yè)局數(shù)據(jù)業(yè)務，而且支撐未來實時業(yè)務的綜合業(yè)務傳送平臺。支持支持 qosqos：能根據(jù)業(yè)務的要求提供不同等級的服務并保證服務質量，提供資源預留，擁塞控制，報文分類，流量整形等強大的 ip qos 功能。高可靠性高可靠性：具有很高的容錯能力，具有抵御外界環(huán)境和人為操作失誤的能力，保證任何單點故障都不影響整個網(wǎng)絡的正常運作。高性能高性能：在高負荷情況下仍然具有較高的吞吐能力和效率，延遲低。安全性安全性：具有保證系統(tǒng)安全，防止系統(tǒng)被人為破壞的能力。擴

7、展性擴展性：易于增加新設備、新用戶，易于和各種公用網(wǎng)絡連接，隨系統(tǒng)應用的逐步成熟不斷延伸和擴充，充分保護現(xiàn)有投資利益。開放性開放性：符合開放性規(guī)范，方便接入不同廠商的設備和網(wǎng)絡產(chǎn)品。標準化標準化：通訊協(xié)議和接口符合國際標準。實用性實用性：具有良好的性能價格比，經(jīng)濟實用，拓撲結構和技術符合骨干網(wǎng)信息量大、信息流集中的特點。2 2整體方案設計整體方案設計2.12.1 組網(wǎng)方案組網(wǎng)方案出于安全性和穩(wěn)定性的要求，工程中采用電信級核心層交換機從而提高整網(wǎng)結構的健壯性、可靠性，高效性。在存儲方面采用華為 2300 的存儲，可提供 96t 的存儲容量，滿足將來存儲的需求。2.22.2 方案建議及設備選型依據(jù)

8、方案建議及設備選型依據(jù)根據(jù)*電業(yè)局數(shù)據(jù)庫項目的技術規(guī)范要求以及華為公司全系列數(shù)通產(chǎn)品及解決方案特點，本著滿足業(yè)務優(yōu)先、先進實用、平滑演進等原則，我單位選擇華為公司在本期項目中建議的設備以及相關設備的建網(wǎng)方案優(yōu)勢如下：網(wǎng)絡檔次高、層次分明網(wǎng)絡檔次高、層次分明：采用最高能力交換機，按照網(wǎng)絡層次依次選擇合理產(chǎn)品，各層次產(chǎn)品之間系列化程度高，可靠性強。負載分擔的網(wǎng)絡：負載分擔的網(wǎng)絡：以最大化網(wǎng)絡資源負載分擔為原則，通過設備間鏈路的分配調整，實現(xiàn)網(wǎng)絡資源合理分布，增加可靠性。安全的雙平面的設計：安全的雙平面的設計：本次為網(wǎng)絡結構通過充分利用兩期建設中的設備，充分保證網(wǎng)絡安全備份及冗余性，整體提高網(wǎng)絡的可

9、靠性等級系數(shù)。 良好網(wǎng)絡兼容性能：良好網(wǎng)絡兼容性能：在現(xiàn)網(wǎng)大量的應用環(huán)境中，華為設備表現(xiàn)出與其他設備廠商良好的互通性，在各大電信運營商網(wǎng)絡都有商用。優(yōu)化的網(wǎng)絡性能：優(yōu)化的網(wǎng)絡性能：華為建議的部署方案，能夠保證網(wǎng)絡在故障情況下快速實現(xiàn)業(yè)務流量疏導，提高整個網(wǎng)絡質量，保證網(wǎng)絡能夠承載。多業(yè)務的多業(yè)務的ipip網(wǎng)絡網(wǎng)絡：優(yōu)化后的網(wǎng)絡具備極強的可擴展性能，除了具備大流量承載能力，還可提供iptv等多種業(yè)務。平滑的割接方案：平滑的割接方案：華為公司有豐富的網(wǎng)絡割接經(jīng)驗，可以保證網(wǎng)絡調整到合理的結構，并保證現(xiàn)網(wǎng)業(yè)務盡可能的不受影響，保證平滑割接。平滑的向平滑的向ipv6ipv6過渡：過渡：我單位本次采用的

10、華為產(chǎn)品具備ipv6高性能轉發(fā)，滿足未來性能要求，并支持多種過渡解決方案，例如ipv4/ipv6雙棧、多種過渡隧道等等，是業(yè)界過渡方案中最好的產(chǎn)品，能夠極大方便實際網(wǎng)絡ipv4-ipv6過渡的靈活性。3 3網(wǎng)絡解決方案網(wǎng)絡解決方案3.13.1 ipip 地址規(guī)劃地址規(guī)劃ip 地址的合理分配是保證網(wǎng)絡順利運行和網(wǎng)絡資源有效利用的關鍵。需要在所分配的 ip 地址網(wǎng)段中盡可能地利用地址空間，充分考慮地址空間的合理使用，保證實現(xiàn)最佳的網(wǎng)絡內地址分配及業(yè)務流量的均勻分布。ip 地址空間的分配與合理使用與網(wǎng)絡拓撲結構、網(wǎng)絡組織及路由政策有非常密切的關系，將*電業(yè)局業(yè)務工作的可用性、可靠性和有效性以及保密性

11、產(chǎn)生顯著影響。通常合理的地址規(guī)劃是使連續(xù)的地址盡量集中在一個區(qū)域內。因此，核心層應象一個區(qū)域或一個節(jié)點一樣，被分配一段連續(xù)的地址。ip 地址規(guī)劃遵循以下原則：1. ip 地址的規(guī)劃與劃分應該考慮到業(yè)務飛速發(fā)展，能夠滿足未來發(fā)展的需要；即要滿足本期工程對 ip 地址的需求，同時要充分考慮未來業(yè)務發(fā)展，預留相應的地址段；2. ip 地址的分配需要有足夠的靈活性，能夠滿足各種用戶接入；3. ip 地址的分配可以采用 vlsm 技術，以保證 ip 地址的利用效率；4.充分合理利用已申請的地址空間，提高地址的利用效率。3.23.2 vlanvlan 規(guī)劃規(guī)劃vlan（virtual local area

12、 network）又稱虛擬局域網(wǎng)，是指在交換局域網(wǎng)的基礎上，采用網(wǎng)絡管理軟件構建的可跨越不同網(wǎng)段、不同網(wǎng)絡的端到端的邏輯網(wǎng)絡。一個 vlan 組成一個邏輯子網(wǎng)，即一個邏輯廣播域，它可以覆蓋多個網(wǎng)絡設備，允許處于不同地理位置的網(wǎng)絡用戶加入到一個邏輯子網(wǎng)中。從技術角度講，vlan 的劃分可依據(jù)不同原則，一般有以下三種劃分方法： 1. 基于端口的 vlan 劃分 2. 基于 mac 地址的 vlan 劃分 3. 基于路由的 vlan 劃分 而本期項目中以基于端口和基于路由的 vlan 劃分方法為主，除了公共 vlan，網(wǎng)管 vlan，關鍵領導 vlan 等特殊網(wǎng)段，按照部門和單位進行其他 vlan

13、網(wǎng)段的劃分。3.33.3 路由規(guī)劃路由規(guī)劃在所建網(wǎng)絡系統(tǒng)中將涉及*電業(yè)局內部不同虛擬網(wǎng)絡之間的路由轉發(fā)以及與外網(wǎng)之間的互聯(lián)，因此需要結合實際，在匯聚交換機對三層轉發(fā)協(xié)議進行設置，由于通過 vlan 隔離業(yè)務，在接入層交換機啟用二層接入功能，網(wǎng)關設在匯聚交換機，vlan 終結于匯聚交換機。3.43.4 qosqos 設計設計在傳統(tǒng)的 ip 網(wǎng)絡中，所有的報文都被無區(qū)別的等同對待，每個路由器對所有的報文均采用先入先出（fifo）的策略進行處理，它盡最大的努力（best-effort）將報文送到目的地，但對報文傳送的可靠性、傳送延遲等性能不提供任何保證。隨著 ip 技術的日趨成熟，ip 網(wǎng)絡電信化已

14、經(jīng)成為大勢所趨，于是形成了語音、視頻、數(shù)據(jù)等多種業(yè)務 ip 統(tǒng)一承載，由于語音、視頻等實時業(yè)務自身的特點對承載平臺提出了嚴格的服務質量要求，因此就必須在網(wǎng)絡中部署相應的 qos 技術，使得網(wǎng)絡管理者能夠有效地控制網(wǎng)絡資源的使用，能夠在有限資源的 ip 平臺上綜合語音、視頻及數(shù)據(jù)等多種業(yè)務，能夠區(qū)分業(yè)務、針對不同的業(yè)務提供特色的差分服務。qos 旨在針對各種應用的不同需求，為其提供不同的服務質量，例如：提供專用帶寬、減少報文丟失率、降低報文傳送時延及時延抖動等。為實現(xiàn)上述目的，qos 提供了下述功能：1. 報文分類和著色2. 避免和管理網(wǎng)絡擁塞3. 流量監(jiān)管和流量整形4. qos 信令協(xié)議在*電

15、業(yè)局數(shù)據(jù)庫項目網(wǎng)絡構建中，將會設計合理的 qos 保障方案，利用有限的資源，以獲得更好的網(wǎng)絡使用效益，是非常必要的。良好的 qos 保障方案可以確保一般情況下網(wǎng)絡具有最好的使用效率、實時業(yè)務具有較小延時，惡劣情況下保證關鍵業(yè)務得到應有的網(wǎng)絡服務。衡量 qos 的指標包括：帶寬帶寬/ /吞吐量吞吐量 - 指網(wǎng)絡的兩個節(jié)點之間特定應用業(yè)務流的平均速率；時延時延 - 指數(shù)據(jù)包在網(wǎng)絡的兩個節(jié)點之間傳送的平均往返時間；抖動抖動 - 指時延的變化；丟包率丟包率 - 指在網(wǎng)絡傳輸過程中丟失報文的百分比，用來衡量網(wǎng)絡正確轉發(fā)用戶數(shù)據(jù)的能力；可用性可用性 - 指網(wǎng)絡可以為用戶提供服務的時間的百分比。在*電業(yè)局數(shù)

16、據(jù)庫項目網(wǎng)絡中 qos 方案部署如下：接入層交換機接入端口不同業(yè)務進行 vlan 標記,并可以對報文進行 802.1p 優(yōu)先級標記，以便后續(xù)的匯聚交換機和核心交換根據(jù)相應優(yōu)先級標記（802.1p、dscp）進行調度，當然還可以根據(jù)策略的需要部署 car 流量監(jiān)管策略，對用戶的接入速率進行控制，保證*電業(yè)局網(wǎng)網(wǎng)絡始終處于健康（輕載）的運行狀態(tài)。本次工程采用的 s9300 高端交換機均支持選擇性 svlan 功能（靈活 qinq） ，可以在同一個物理端口上支持根據(jù)單層 vlan id 靈活加載外層 vlan id，同時能夠透傳標準 vlan（單 vlan）流量。上述功能實現(xiàn)沒有 vlan id 范

17、圍數(shù)量的限制，對于設備性能沒有影響。支持根據(jù) 802.1p 參數(shù)、入端口、入 vlan id 等條件進行雙 vlan 透傳、雙層 vlan 改寫外層 vlan、雙層 vlan 改寫內外層 vlan 等并且支持在同一物理接口上對以上操作的并行處理。并支持 tpid 可配置，同時對設備性能沒有影響 s9300 交換機提供完善的 diff-serv/qos支持。支持基于源端口、源 vlan id、源 mac 地址、報文種類、tcp/udp 端口號、ip 報文地址前綴等多種流分類規(guī)則，提供多種規(guī)則組合條件下的流映射和分類、流量監(jiān)管（car） 、擁塞避免方法（wred、tail-drop） 、隊列調度（

18、wrr、sp）和輸出流量整形等功能，支持 802.1p 的 8 個優(yōu)先級。完全做到業(yè)務區(qū)分并保證帶寬/時延/抖動，可以為用戶提供具有不同服務質量等級的服務保證，使 ip 網(wǎng)絡真正成為同時承載數(shù)據(jù)、語音和視頻業(yè)務的綜合網(wǎng)絡。3.53.5 設備介紹設備介紹.1s9300s9300 系列交換機系統(tǒng)特性系列交換機系統(tǒng)特性quidway s9300系列以太匯聚交換機（以下簡稱s9300）是基于華為公司統(tǒng)一的vrp（versatile routing platform）系統(tǒng)而推出的下一代以太網(wǎng)匯聚交換機，提供整機高達2t交換容量，二、三層線速轉發(fā)能力，具備強大組播功能，epon接口和完善的

19、qos保障，滿足城域網(wǎng)、企業(yè)園區(qū)網(wǎng)對multi-play業(yè)務承載和全光接入的組網(wǎng)需求，為運營商和企業(yè)網(wǎng)提供強大的網(wǎng)絡交換和業(yè)務運營能力，支持ip專線、vpn、iptv、ipv6等多種業(yè)務。s9300系列包括s9303、s9306、s9312三個產(chǎn)品形態(tài)，整個系列秉承模塊通用化、歸一化的設計理念，最小化備件成本，在保證設備擴展性的同時最大限度地保護用戶投資。s9303 s9306 s9312產(chǎn)品特點產(chǎn)品特點創(chuàng)新的三平面設計創(chuàng)新的三平面設計s9300在傳統(tǒng)交換機數(shù)據(jù)轉發(fā)、管理控制雙平面基礎上進行了創(chuàng)新，增加了獨立的環(huán)境監(jiān)控平面，率先實現(xiàn)整機三平面設計。業(yè)界首創(chuàng)的環(huán)境監(jiān)控板，其核心芯片采用華為自主知

20、識產(chǎn)權的中控芯片，實現(xiàn)硬件級的按流量動態(tài)調整功率、風扇分區(qū)控制、風扇智能調速、端口休眠技術等多項節(jié)能技術，獨立環(huán)境監(jiān)控與網(wǎng)管聯(lián)動，實現(xiàn)整機運營維護的全面可視化管理。高速背板交換網(wǎng)模塊控制面通訊模塊系統(tǒng)時鐘模塊系統(tǒng)主控模塊控制層軟件業(yè)務層軟件網(wǎng)管系統(tǒng)物理接口模塊業(yè)務處理模塊單板時鐘模塊單板主控模塊單板監(jiān)控模塊業(yè)務模塊業(yè)務模塊交換路由模塊交換路由模塊管理層軟件創(chuàng)新的三平面設計創(chuàng)新的三平面設計一機多用，全業(yè)務承載的以太匯聚平臺一機多用，全業(yè)務承載的以太匯聚平臺s9300支持高密度的epon接口，能實現(xiàn)dslam匯聚、epon和純以太的統(tǒng)一接入，滿足全光接入的需求；分布式l2/l3 mpls vpn功

21、能，支持mpls、vpls、hvpls、vll，滿足大客戶vpn專線、企業(yè)vpn等高端用戶的接入需求。s9300具備線速的跨vlan組播復制能力，實現(xiàn)端口的滿負荷復制，滿足大容量的iptv用戶接入需求；完善的二、三層組播協(xié)議，可作為組播復制點和控系統(tǒng)監(jiān)控模塊系統(tǒng)監(jiān)控模塊制點。s9300支持ipv6功能，支持ripng，ospfv3，isisv6，bgp4+，mld，mld snooping，pimv6，ipv6 multicast vlan，icmpv6等單/組播ipv6路由協(xié)議，實現(xiàn)網(wǎng)絡ipv4向ipv6的平滑遷移。三維擴展，容量三維擴展，容量“無級變速無級變速”作為新一代的以太匯聚平臺，s

22、9300可以從容應對城域骨干網(wǎng)和大容量idc對核心匯聚設備的帶寬需求。s9300單槽位支持1210ge線速轉發(fā)，整機支持2t的交換能力，更好地滿足iptv等大帶寬業(yè)務和idc機房的接入需求。s9300系列交換機可以擴展到3.84t交換容量，單槽位支持240g線速轉發(fā)，充分考慮未來35年的帶寬需求，提供帶寬平滑擴展能力。六項創(chuàng)新，省電六項創(chuàng)新，省電 30%s9300基于綠色環(huán)保理念設計，獨特的“變流”芯片，實現(xiàn)按流量動態(tài)調整功率，降低功耗8%。獨特的“旋轉”風道設計，提高整機散熱效率，降低功耗3%，同時整機出線能力提高6倍。“積木式”電源，按需配置，減少初期投資，降低設備功耗10%。獨立風扇分區(qū)

23、控制，降低噪聲10%，并延長風扇使用壽命。風扇智能調速，根據(jù)關鍵器件溫度，靈活調整風扇轉速，降低功耗3%，提高風扇抗擾動能力，延長風扇壽命。真正的端口休眠技術，可以依據(jù)端口實際流量調整輸出功耗，降低功耗6%，節(jié)電“不丟包”。產(chǎn)品規(guī)格產(chǎn)品規(guī)格項目項目s9303s9306s9312背板容量1.2tbps2.4tbps4.8tbps業(yè)務槽位3612ge端口密端口密度3672144支持access、trunk、hybrid方式 支持default vlan支持vlan 交換vlan支持qinq、增強型靈活qinq支持mac地址自動學習和老化支持靜態(tài)、動態(tài)、黑洞mac表項支持源

24、mac地址過濾mac地址功能支持基于端口和vlan的mac地址學習限制支持stp，rstp和mstp支持bpdu保護、root保護、環(huán)路保護stp支持bdpu tunnel項目項目s9303s9306s9312支持rip、ospf、isis、bgp等ipv4動態(tài)路由協(xié)議ip路由支持ripng、ospfv3、isisv6、bgpv4等ipv6動態(tài)路由協(xié)議支持igmp snooping功能支持用戶快速離開機制支持組播流量控制支持組播查詢器支持組播協(xié)議報文抑制功能組播支持組播acl支持mpls基本功能支持mpls oam支持mpls templs支持mpls vpn/vll/vpls支持基于laye

25、r2協(xié)議頭、layer3協(xié)議、layer4協(xié)議、802.1p優(yōu)先級等的組合流分類支持acl、car、remark、schedule等動作支持pq、wrr、drr、pq+wrr、pq+drr等隊列調度方式支持wred、尾丟棄等擁塞避免機制qos支持流量整形支持console、telnet、ssh等終端服務配置與維護支持snmpv1/v2/v3等網(wǎng)絡管理協(xié)議項目項目s9303s9306s9312支持通過ftp、tftp方式上載、下載文件支持bootrom升級和遠程在線升級支持熱補丁支持用戶操作日志命令行分級保護，未授權用戶無法侵入支持radius和hwtacacs用戶登錄認證支持防范dos攻擊、t

26、cp的syn flood攻擊、udp flood攻擊、廣播風暴攻擊、大流量攻擊支持cpu通道的保護支持icmp實現(xiàn)ping和traceroute功能安全和管理支持rmon機箱尺寸mm（寬深高）442476175442476442442476664機箱重量（空配）15kg30kg45kg工作電壓dc：38.4v72vac：90v264v典型功耗180w350w650w整機供電能350w800w1600w訂購信息訂購信息1、quidway s9300 主機選購一覽表產(chǎn)品描述產(chǎn)品描述s9303總裝機箱s9306總裝機箱s9312總裝機箱2、quidway s9300 交換路由處理板選購一覽表產(chǎn)品描述

27、產(chǎn)品描述s9306/s9312交換路由單元s9303主控處理單元增強靈活業(yè)務子卡3、quidway s9300 業(yè)務單板選購一覽表產(chǎn)品描述產(chǎn)品描述48端口百兆以太網(wǎng)光接口板48端口百兆以太網(wǎng)電接口板48端口百兆/千兆以太網(wǎng)光接口板48端口百兆/千兆以太網(wǎng)電接口板24端口百兆/千兆以太網(wǎng)光接口板24端口百兆/千兆以太網(wǎng)光接口和8端口百兆/千兆combo電口板4端口萬兆以太網(wǎng)光接口板2端口萬兆以太網(wǎng)光接口板.2oceanspaceoceanspace s2000s2000 系列存儲系統(tǒng)系列存儲系統(tǒng)概述華為賽門鐵克 oceanspace s2000 系列（以下簡稱 s2000）產(chǎn)品是

28、中國第一款擁有完全自主知識產(chǎn)權的存儲。融合了高密、接口模塊化設計、多重數(shù)據(jù)保護技術，滿足數(shù)據(jù)庫等應用系統(tǒng)、備份、數(shù)據(jù)中心等不同的存儲資源部署需求。產(chǎn)品特點高性能高性能 64 位系統(tǒng)架構：位系統(tǒng)架構：64 位多核處理器，64 位系統(tǒng)總線，64 位實時操作系統(tǒng) 交換體系架構：交換體系架構：交換架構，高性能，低延時；硬盤獨立，單個硬盤故障不影響其他盤，便于故障檢測和排除 高密設計：高密設計：硬盤框 4u 高度，可容納 24 塊硬盤，產(chǎn)品占用空間小，擴1 個硬盤框能擴展 24 塊硬盤，大幅降低擴容成本高可靠高可靠 全冗余模塊化設計：全冗余模塊化設計：冗余控制器，1+1 冗余電源/風扇模塊；冗余掉電保護

29、電池 一體化一體化 ups 技術：技術：ups 集成在控制框內，節(jié)省機架空間；意外掉電時，可以保證 cache 數(shù)據(jù)可安全寫入數(shù)據(jù)保險箱；恢復供電后，可以把數(shù)據(jù)保險箱的數(shù)據(jù)恢復到 cache 中，保證 cache 數(shù)據(jù)不丟失 硬盤壞道修復技術：硬盤壞道修復技術：最大限度修復硬盤壞道，將硬盤故障率降低 50%，延長硬盤壽命 硬盤預拷貝技術：硬盤預拷貝技術：提前發(fā)現(xiàn)故障盤，主動遷移故障盤數(shù)據(jù)，規(guī)避系統(tǒng)降級的風險，有效降低兩個硬盤同時故障導致數(shù)據(jù)丟失的概率靈活靈活 靈活組網(wǎng)：靈活組網(wǎng)：iscsi 主機口滿足與 ip 網(wǎng)絡無縫融合的組網(wǎng)需求；sas 主機口滿足高性價比的組網(wǎng)需求；fc 主機口滿足高速率

30、、高可靠的組網(wǎng)需求 控制器選配：控制器選配：單控制器配置滿足低成本需求，平滑升級到雙控制器配置，滿足高性能、高可靠的需求 分級存儲：分級存儲：支持 sas/sata 硬盤混插，可以根據(jù)業(yè)務級別選擇存儲介質便捷便捷 便捷管理：便捷管理：支持圖形化 gui 及 cli 管理方式，提升管理效率；支持lun 后臺格式化，壓縮設備安裝及配置時間 便捷維護：便捷維護：主要模塊及硬盤組件支持熱插拔，減少維護復雜性；支持web 和 modem 撥號等遠程管理能力，增加維護及時性；提供聲光、郵件、短信等告警模式，確保設備故障信息不會被忽視或遺漏產(chǎn)品規(guī)格型號型號s2100s2300硬件特性 存儲處理器64 位多核

31、處理器標配緩存(可擴展) 單控 2gb、雙控 4gb控制器數(shù)量1 or 2標配主機端口(可擴展) 單控:2 個 43gb sas 或 2個 1gb iscsi 雙控:4 個 43gb sas 或 4個 1gb iscsi單控:2 個 4gb fc 或 4 個1gb iscsi 雙控:4 個 4gb fc 或 8 個1gb iscsi硬盤數(shù)量(可擴展)單控 48 /雙控 96硬盤規(guī)格sata 硬盤： 500gb/1tb（7200 rpm） sas 硬盤：300gb/450gb（15k rpm）硬盤密度24 個/框性能特性 主機連接數(shù)量(可擴展)128128luns(可擴展)5121024raid

32、 特性 raid 支持能力0、1、5、10 等可靠性 冗余保護能力控制器、電源、風扇、ups 模塊、級聯(lián)模塊（硬盤框）熱備盤全局熱備、預拷貝掉電保護數(shù)據(jù)保險箱、一體化 ups 技術主機兼容性 支持的操作系統(tǒng)windows、linux、solaris、hp-ux、aix、freebsd、vmware 等軟件特性 主機多路徑ultrapath（for windows/linux/aix）、stms(for solaris）、pv-links（for hp-ux）管理特性 管理界面web gui、cli 等san 資源管理lun 動態(tài)調整故障告警網(wǎng)管界面告警、聲光告警、e-mail 告警、短信告警遠

33、程管理支持 web 遠程登錄模式、支持 modem 撥號連接，命令行配置物理特性 電源ac 200v240v(50/60hz), dc -48v -60v功耗（控制框）單控：交流：725w/直流：625w 雙控：交流：828w/直流：728w單控：交流：725w/直流：674w 雙控：交流：835w/直流：775w功耗（硬盤框）單控：交流：668w/直流：617w 雙控：交流：680w/直流：630w單控：交流：668w/直流：617w 雙控：交流：680w/直流：630w尺寸4u，175mm(h)*446mm(w)* 600mm(d)重量不帶硬盤45kg（控制框）；38kg（硬盤框）4 4安

34、全解決方案安全解決方案4.14.1 安全體系層次設計安全體系層次設計由于本次*電業(yè)局屬于新建系統(tǒng)，因此整個*電業(yè)局網(wǎng)絡安全的需求是全方位的、整體的，相應的網(wǎng)絡安全體系也是分層次的，在不同層次反映了不同的安全問題。根據(jù)第三章中我單位對于安全的風險分析，我單位將安全體系的層次劃分為五層：物理層安全、系統(tǒng)層安全、網(wǎng)絡層安全、應用層安全、安全保密管理。.1層次一：物理環(huán)境的安全性（物理層安全）層次一：物理環(huán)境的安全性（物理層安全）包括通信線路的安全，物理設備的安全，機房的安全等。物理層的安全主要體現(xiàn)在通信線路的可靠性（線路備份、網(wǎng)管軟件、傳輸介質）；軟硬件設備安全性（替換設備；拆卸設備

35、；增加設備）；設備的備份；防災害能力、防干擾能力；設備的運行環(huán)境（溫度、濕度、煙塵）；不間斷電源保障，等等。.2層次二：操作系統(tǒng)的安全性（系統(tǒng)層安全）層次二：操作系統(tǒng)的安全性（系統(tǒng)層安全）這一層次的安全問題來自網(wǎng)絡內使用的操作系統(tǒng)：windows 2003，windows 2000，unix等。系統(tǒng)層的安全性問題表現(xiàn)在三方面：一是操作系統(tǒng)本身的缺陷帶來的不安全因素，主要包括身份認證、訪問控制、系統(tǒng)漏洞等；二是對操作系統(tǒng)的安全配置問題；三是病毒對操作系統(tǒng)的威脅。.3層次三：網(wǎng)絡的安全性（網(wǎng)絡層安全）層次三：網(wǎng)絡的安全性（網(wǎng)絡層安全）該層次的安全問題主要體現(xiàn)在網(wǎng)絡信

36、息的安全性。包括網(wǎng)絡層身份認證，網(wǎng)絡資源的訪問控制，數(shù)據(jù)傳輸?shù)谋Ｃ芘c完整性，遠程接入的安全，域名系統(tǒng)的安全，路由系統(tǒng)的安全，入侵檢測的手段，網(wǎng)絡設施防病毒等。.4層次四：應用的安全性（應用層安全）層次四：應用的安全性（應用層安全）該層次的安全考慮提供服務所采用的應用軟件和數(shù)據(jù)的安全性，包括：web服務、電子郵件系統(tǒng)等。此外，還包括病毒對系統(tǒng)的威脅。.5層次五：管理的安全性（安全管理）層次五：管理的安全性（安全管理）安全管理包括安全技術和設備的管理，安全管理制度，部門與人員的組織規(guī)則等。管理的制度化程度極大地影響著整個網(wǎng)絡的安全，嚴格的安全管理制度、明確的部門安全

37、職責劃分、合理的人員角色定義都可以在很大程度上降低其它層次的安全漏洞。.6總體部署總體部署*電業(yè)局的安全問題是一個系統(tǒng)工程，我單位在制定安全網(wǎng)絡策略時盡可能地考慮到網(wǎng)絡中的各個方面及網(wǎng)絡的拓展性，采用tcp/ip協(xié)議進行網(wǎng)絡通信的網(wǎng)絡，在網(wǎng)絡層對計算機通信進行安全保護是業(yè)界流行的安全解決辦法。綜合考慮*電業(yè)局的實際安全狀況，本方案中我單位從以下幾個方面來采取相應的安全措施：1. 采用 vlan 技術2. 部署防火墻3. 部署入侵檢測系統(tǒng)4. 部署安全審計系統(tǒng)以上部署的安全產(chǎn)品在嚴格按照電子政務信息安全要求標準基礎上，并遵循穩(wěn)定性、先進性、可擴展性等原則進行選型。*電業(yè)局的安全管

38、理部門應根據(jù)管理原則和*電業(yè)局數(shù)據(jù)處理的保密性，制訂相應的安全管理制度或采用相應的安全規(guī)范?？筛鶕?jù)工作的重要程度，確定該系統(tǒng)的安全等級；及根據(jù)確定的安全等級，確定安全管理的范圍。4.24.2 入侵檢測系統(tǒng)部署入侵檢測系統(tǒng)部署.1安全風險分析安全風險分析隨著網(wǎng)絡基礎設施及其應用的不斷豐富，基于網(wǎng)絡的各種安全事故也不斷出現(xiàn)。造成這些網(wǎng)絡安全事故最根本的原因是設計網(wǎng)絡基礎協(xié)議時主要考慮的協(xié)議的互聯(lián)互通性，很少考慮協(xié)議可能存在的安全漏洞，當這些安全漏洞被惡意的人們利用就出現(xiàn)了層出不窮的安全事件。但是當人們發(fā)現(xiàn)這些問題逐漸影響正常網(wǎng)絡甚至業(yè)務運行的時候，再去修改這些相關基礎應用協(xié)議代價太

39、大。因此作為亡羊補牢的方式，出現(xiàn)了相關的網(wǎng)絡安全防護產(chǎn)品。比如說防火墻、防病毒產(chǎn)品等等。然而，防火墻無法正確分析摻雜在允許應用數(shù)據(jù)流中的惡意代碼，很多攻擊或者惡意的行為常常利用防火墻開放的應用數(shù)據(jù)流來造成破壞。這就有必要提供專門針對各種應用數(shù)據(jù)流進行完整重組、判斷其是否為正常數(shù)據(jù)包的產(chǎn)品。這種產(chǎn)品就是入侵檢測系統(tǒng)（intrusion detection system） ，入侵檢測系統(tǒng)通過對計算機網(wǎng)絡或計算機系統(tǒng)中的若干關鍵點信息進行分析，可以從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中違反安全策略的行為和被攻擊的跡象，實時作出響應。入侵檢測系統(tǒng)分為基于網(wǎng)絡的入侵檢測系統(tǒng)（nids）和基于主機的入侵檢測系統(tǒng)（hids）

40、 。華為公司推出即是基于網(wǎng)絡的智能網(wǎng)絡入侵檢測系統(tǒng)（以下簡稱 nip） 。.2安全風險解決安全風險解決nip 網(wǎng)絡智能入侵檢測系統(tǒng)是華為自主開發(fā)，擁有知識產(chǎn)權的新一代基于會話的智能網(wǎng)絡入侵檢測系統(tǒng)。采用異常使用模式（anomaly）和誤用檢測模式（misuse）相結合的檢測方式，部署于網(wǎng)絡中的關鍵點，實時監(jiān)控各種數(shù)據(jù)報文及網(wǎng)絡行為，提供及時的報警及響應機制。其動態(tài)的安全響應體系與防火墻等靜態(tài)的安全體系形成強大的協(xié)防體系，大大增強了用戶的整體安全防護強度。.3智能網(wǎng)絡入侵檢測設備智能網(wǎng)絡入侵檢測設備華為公司憑借在電信領域多年的技術積累，深刻的認識到可靠性設計對于一

41、個網(wǎng)絡設備的重要性。華為防火墻從硬件到軟件，從每個部件到整體構架都進行了深入的分析和考慮，在設計的每個環(huán)節(jié)都融入了可靠性的設計理念，保證從根本上為用戶提供了安全可靠的網(wǎng)絡環(huán)境，使得華為防火墻成為了一款真正安全的電信級高可靠的防火墻設備。華為防火墻的硬件平臺全部采用高可靠的元器件設計，保證了防火墻的硬件平臺可以 24 小時不間斷工作，這方面的硬件設計是很多防火墻廠商無法保證的，通過對硬件平臺精益求精的設計使得華為防火墻有了一個穩(wěn)定運行的基石。1.1. 強大的入侵檢測能力強大的入侵檢測能力nip 內置強大的 ip 分片功能、智能協(xié)議解碼器、高效的 tcp 流重組及細粒度的會話分析功能，可以迅速、準

42、確地檢測各種攻擊行為。同時 nip 具有 2000 余種入侵特征庫，可以檢測 dos、掃描、代碼攻擊、后門等多種入侵攻擊。有效降低漏報和誤報。2.2. 靈活的響應方式靈活的響應方式nip 內置強大的 ip 分片功能、智能協(xié)議解碼器、高效的 tcp 流重組及細粒度的會話分析功能，可以迅速、準確地檢測各種攻擊行為。同時 nip 具有 3000 余種入侵特征庫，可以檢測 dos、掃描、代碼攻擊、后門等多種入侵攻擊。有效降低漏報和誤報。nip 對檢測到的入侵企圖或違背已設定的安全策略的活動做出實時響應，并提供多種響應方式。包括： 切斷與入侵有關的會話。 通過移動電話發(fā)送報警消息。 通過電子郵件發(fā)送報警

43、信息。 運行用戶指定的應用程序。 在 windows 操作系統(tǒng)事件日志中記錄報警。 將與入侵有關的信息保存在數(shù)據(jù)庫中。 聯(lián)動防火墻。當有入侵事件發(fā)生時，入侵檢測系統(tǒng)向防火墻發(fā)送消息，防火墻將動態(tài)生成規(guī)則，阻斷入侵者。3.3. 增強的安全性增強的安全性nip 提供根據(jù)入侵信息發(fā)出入侵警報以及限制網(wǎng)絡訪問等功能，以保護服務器免受外部和內部的攻擊。nip 通過簡單易用的管理界面和入侵檢測、入侵阻斷、入侵報警、入侵日志等功能，提供最佳的策略來增強 internet 商業(yè)環(huán)境的安全性。 nip 特別適用于需要極高網(wǎng)絡安全性的機構，例如：審計機構、安全顧問機構、安全法律執(zhí)行機構、大型企業(yè)、internet

44、 服務提供商、培訓機構以及涉及敏感信息的政府機構等。nip 采用 stealth 技術，有效地防止入侵檢測系統(tǒng)的暴露，提高入侵檢測系統(tǒng)自身的安全性。4.4. 強大的報表功能強大的報表功能nip 提供基于 crystal report 的報表功能?？商峁?100 余種報表樣式，同時還可實現(xiàn)自定義報表的功能。5.5. 分級用戶管理分級用戶管理nip 的管理員類型包括三種：超級管理員、普通管理員和只讀管理員。 超級管理員：具有超級權限，可以進行任何操作。 普通管理員：可以對授權的引擎進行查詢、配置、編輯。 只讀管理員：只能對授權的引擎進行日志查詢操作。不同級別的管理員擁有不同的管理權限，最大限度的保

45、證了nip 的系統(tǒng)安全。6.6. 檢測檢測并分析各種入侵行為并分析各種入侵行為nip 采用基于協(xié)議分析的智能模式匹配，結合狀態(tài)分析技術和異常行為檢測技術，大大提高了檢測的準確度，減少了漏報、誤報現(xiàn)象。通過高效的模式匹配算法，大大提高了檢測效率。內置 2500種以上入侵規(guī)則，提供對 dos、掃描、代碼攻擊、病毒、后門等各種攻擊的檢測能力?；镜臋z測功能包括下面幾種：蠕蟲檢測nip 實時跟蹤當前最新的蠕蟲事件，同時針對已經(jīng)發(fā)現(xiàn)的蠕蟲及時提供相關的事件規(guī)則。對于存在漏洞但是還未發(fā)現(xiàn)相關蠕蟲事件的情況，通過分析其漏洞提供相關的入侵事件規(guī)則，最大限度地解決蠕蟲發(fā)現(xiàn)滯后的問題。協(xié)議解碼nip 對常用網(wǎng)絡應

46、用層協(xié)議解碼分析，記錄網(wǎng)絡中的異常行為。用戶可以方便的自定義基于 tcp/ip 各種協(xié)議的分析事件，如：http、smtp、ftp、telnet 等應用層協(xié)議連接、關閉；pop3 命令連接請求、應答，各種應用層協(xié)議的關鍵字解碼等。ip 碎片重組nip 對所監(jiān)視網(wǎng)絡中的 ip 碎片報文重組后進行分析，防止 ip 碎片欺騙。日志風暴處理nip 可以將一定時間范圍內的同種攻擊類型事件合并成同一條事件，在控制臺顯示并記錄攻擊次數(shù)，防止控制臺的日志風暴。協(xié)議過濾和誤報處理nip 能夠對不需 nids 記錄的某類 tcp/ip 協(xié)議的數(shù)據(jù)流進行過濾處理。同時，可以根據(jù)事件規(guī)則名和事件發(fā)生的源或目的綁定對事

47、件進行排除，避免無需上報的事件再次出現(xiàn)在控制臺或給 nids 增加不必要的負擔。7.7. 對安全事件做出響應對安全事件做出響應nip 針對各個入侵事件提供實時響應功能，響應方式多種多樣。主要包括：報警聲音報警：設置聲音報警后，當有事件發(fā)生時，控制臺會發(fā)出不同的聲音提示管理員。焦點窗口：設置焦點窗口后，當有事件發(fā)生時，即使控制臺不是當前的焦點窗口，也會自動彈出成為焦點窗口，以使管理員及時發(fā)現(xiàn)發(fā)生的事件。報警燈顯示：設置報警燈顯示后，當有事件發(fā)生時，在控制臺的左下角會有紅色的報警燈閃爍，以提醒管理員。郵件報警：設置好郵件參數(shù)后，當有事件發(fā)生時，系統(tǒng)將向預先定義的信箱發(fā)送報警信息。短消息報警：設置好

48、短消息參數(shù)后，當有事件發(fā)生時，系統(tǒng)向預先設置的手機發(fā)送短消息報警。執(zhí)行報警器程序：通過拷貝 alertmessenger.exe 和 alertmessenger.ini 兩個文件，不需要安裝完整的控制臺程序也可以實時顯示報警信息。snmp trap 報警：當有事件發(fā)生時，向網(wǎng)絡內的網(wǎng)管軟件發(fā)送 snmp trap 消息報警。生成日志生成常規(guī)審計日志：常規(guī)審計日志在控制臺實時顯示報警事件，同時記錄到數(shù)據(jù)庫中。生成詳細審計日志：對設置詳細審計日志的事件，系統(tǒng)會詳細記錄整個會話的過程，事后可以通過報文回放工具重現(xiàn)整個會話過程，以便管理員分析，并可作為證據(jù)保留。生成系統(tǒng)日志：在 windows 操作

49、系統(tǒng)日志中，生成記錄。切斷會話針對 tcp 連接，可以通過 tcprest 的方式切斷入侵會話。執(zhí)行程序執(zhí)行本地程序。聯(lián)動防火墻當有入侵事件發(fā)生時，入侵檢測系統(tǒng)向防火墻發(fā)送消息，防火墻將動態(tài)生成規(guī)則，阻斷入侵者的入侵，以保護網(wǎng)絡的安全。8.8. 監(jiān)控監(jiān)控系統(tǒng)的活動和狀態(tài)系統(tǒng)的活動和狀態(tài)除了提供入侵檢測功能外，nip 還提供對各種信息和狀態(tài)的監(jiān)控功能：引擎狀態(tài)監(jiān)控管理員可以實時查看引擎的狀態(tài)，包括資源的使用情況和監(jiān)聽網(wǎng)卡的網(wǎng)絡流量（當前會話數(shù)、當前流量、每秒報文數(shù)和每秒丟包數(shù)） ，通過顯示每秒丟包數(shù)，可以及時發(fā)現(xiàn)網(wǎng)絡中出現(xiàn)的異常情況。服務器工作狀態(tài)監(jiān)控網(wǎng)絡中存在很多提供應用服務的服務器，如：we

50、b 服務器、ftp服務器、郵件服務器等，這些服務器一般情況下都需要 24 小時運行，因此需要實時監(jiān)控這些服務器是否正常運行。通過服務器工作狀態(tài)監(jiān)控功能，用戶可以及時發(fā)現(xiàn)服務器的存活狀態(tài)和相應服務的運行情況，以便第一時間發(fā)現(xiàn)并解決問題，最大限度地減少由于這些服務器不能正常運行而造成的損失。郵件監(jiān)控郵件監(jiān)控可以對通過 smtp、pop3、imap 和 web 傳送的郵件信息進行監(jiān)控，以避免泄漏敏感信息。msn 監(jiān)控nip 可以對 msn 的會話進行監(jiān)控。文件傳輸監(jiān)控nip 以對通過 ftp 或 msn 傳輸?shù)奈募M行監(jiān)控，以避免泄漏敏感信息。實時會話監(jiān)控系統(tǒng)可以實時顯示當前會話列表。針對每一個會話

51、，用戶可以查看并記錄會話內容，或者切斷該會話。有害站點監(jiān)控nip 可以對黃色和暴力等有害站點的訪問進行監(jiān)控。多端口監(jiān)聽nip 可以為每個引擎定義多個監(jiān)聽端口，以保護不同網(wǎng)段。默認配置有三個接口：管理、監(jiān)聽和擴展。其中：管理口負責與控制臺進行通信；監(jiān)聽口負責監(jiān)視網(wǎng)絡流量；擴展口滿足可擴展性。經(jīng)過配置，引擎可以同時對多個端口進行監(jiān)聽，以適應不同的應用環(huán)境，如：支持跨網(wǎng)段監(jiān)聽、支持 tap 設備等。9.9. 日志管理日志管理nip 的日志管理功能主要包括：日志查詢：根據(jù)風險級別設置不同的顏色顯示。日志備份：將日志信息備份到指定的目錄下。日志同步：從各引擎接收最新的日志信息。日志刪除：刪除當前的日志記

52、錄。日志壓縮：通過壓縮可以釋放未使用的空間。同時提供備份文件信息記錄和顯示功能，防止備份文件的丟失。10.10.統(tǒng)計功能統(tǒng)計功能入侵統(tǒng)計nip 可以按風險級別和事件類型對入侵事件進行統(tǒng)計，還可以按照一定周期查看入侵統(tǒng)計的發(fā)展趨勢。流量統(tǒng)計nip 的控制臺可以從引擎獲得網(wǎng)絡流量信息，包括 web 流量統(tǒng)計，網(wǎng)絡流量統(tǒng)計，入侵網(wǎng)絡流量統(tǒng)計，以及實時流量統(tǒng)計等，并可通過小時統(tǒng)計、日統(tǒng)計、月統(tǒng)計、年統(tǒng)計等多種方式顯示流量統(tǒng)計結果。.4 nipnip 10001000 性能指標性能指標項目nip1000性能設備類型電信級4 探頭千兆入侵檢測吞吐量1.6g檢測效率100m網(wǎng)絡環(huán)境下漏報率：

53、低于1%1000m網(wǎng)絡環(huán)境下漏報率：低于5%項目nip1000性能攻擊特征攻擊特征數(shù)：30大類3000余條規(guī)則響應方式日志記錄/tcp連接主動切斷/重新配置邊緣設備（如交換機、防火墻）/e-mail告警/snmp trap告警/syslog告警機柜尺寸（寬深高）425 mm x 652 mm x88 mm滿配置時最大重量15kg整機最大功耗400w電源要求交流輸入電壓：220vac30%處理器2 個 intel xeon2.4ghz內存2g接口類型兩個個10/100/1000m項目nip1000性能探測端口(電口)兩個1000m探測端口（光口）一個 100 管理端口(電口)一個配置串口4.34

54、.3 終端安全管理系統(tǒng)部署終端安全管理系統(tǒng)部署.1終端安全管理系統(tǒng)終端安全管理系統(tǒng)系統(tǒng)的設計開發(fā)中完全遵從國際和國內的相關行業(yè)標準和軟件工程管理規(guī)范，并完全采用通用化和模塊化設計，保證了系統(tǒng)的可擴充性，允許用戶開發(fā)新的安全策略來滿足更靈活的安全需求，可以使有安全問題的終端無法接入網(wǎng)絡，或是在接入網(wǎng)絡之前已經(jīng)消除了自身的安全問題，從而保證了整個網(wǎng)絡的安全。概念設計階段就充分考慮了大中型企業(yè)網(wǎng)絡的應用特點，從部署、擴容、管理和性能等多方面進行了充分驗證，系統(tǒng)中的 sps、srs 系統(tǒng)可以靈活的部署在企業(yè)網(wǎng)絡的任何地方，sacg 設備也可以根據(jù)網(wǎng)絡情況進行靈活配置，服務器端采用專用端

55、口和協(xié)議，并內嵌防火墻技術，可防止黑客和病毒的攻擊；agent 軟件自身進行了加密處理，可防止黑客篡改和假冒agent；agent 與 sps 之間采用專有通信協(xié)議，認證信息和通訊信息進行加密處理，并加入時間戳，可防止黑客的假冒、篡改和重演攻擊； 客戶端認證采用用戶名、密碼、ip 地址、mac 地址等多因素綁定方式，保證了認證的可信度?？蛻舳?agent 軟件可通過網(wǎng)絡自動升級，不會影響用戶終端的使用，十分利于大規(guī)模網(wǎng)絡的實施和管理。一個用于審計監(jiān)控的安全系統(tǒng)，首先要考慮使用管理上的安全性。secospace 系統(tǒng)在設計上對審計人員和管理人員的職能劃分采取了分級分權管理，確保每一個人的操作都會被審計被監(jiān)控，從而保證了使用的安全性。系統(tǒng)的擴容可簡單通過添加 sacg 設備和 sps服務器來實現(xiàn)。系統(tǒng)提供非常方便的各種日志的查詢功能，多種形式的審計報表，幫助審計人員更好完成審計工作。1. 安全防護功能安全防護功能終端安全防護系統(tǒng)主要是通過身