合作方网管接入立体监控的研究.docVIP

2011年网络研究成果申报材料书 成果名称 合作方网管接入立体监控研究 申报单位 南通分公司 主要完成人 （不超过6人） 姓名 职务 职称 陈箭锋 南通分公司 工程师 崔佳佳 南通分公司 工程师 成希 南通分公司 工程师 卞东良 南通分公司 工程师 主要完成单位 （不超过4个单位） 南通分公司 专业性质 √科技类（含技术/业务） □管理类（含管理/服务） 专业分类 □综合管理 □网络优化 □传输动力 √网管专业 □数据专业 □GSM专业（含GPRS）□监控专业□集客支撑专业 项目开始时间 2011年5月 项目结束时间 2011年9月 成果介绍〔含项目背景、理论依据、应用技术、解决方案等，最多不超过八千字〕。 项目背景： 南通网管网接入终端数量日均70余台，日常登陆南通网管网的合作方终端40余台，占工维部网管网总的57%以上，现阶段合作方及内部终端接入方式一致。作为公司设备管理与网络维护的支撑系统，对信息安全有着很高的要求，一旦被非法接入或操作，后果非常严重，然而现第三方网管终端准入以及实时监控等方面均存在诸多不足。 项目内容： 1、终端准入机制: VPDN接入控制：接入通过在交换机上DHCP分配，设置质询握手协议（ CHAP）认证，只有经过审核的终端才能接入到网管网络，从而实现限制非授权用户入网 终端区路由协议拦截：调查终端使用情况，拦截非正常服务：终端只需使用21（FTP）、22（SSH）、23（TELNET）、80（HTTP）等 2、IP地址管理: 申请、审核: 通过业务辅助系统生成接入申请工单、附360自检信息，班组长审核 授权、控制: 安全管理员分建立MAC-IP-帐号对应表，在指定时间点使用户表生效 统计、记录: MAC-IP-帐号表失效时间点自动生成帐号使用记录表，归档 3、实时监控 监控模式: 基于MAC 每台机器的网卡MAC相对固定，用户不易修改，根据网卡MAC地址确定被监控的信息内容的身份 访问规则: 用户可一次性定义多个“不同上网级别”的上网规则，以便分配给被控电脑 : 分配了上网规则的电脑，上网规则名称会以红色标记 访问评价: 访问评价内容由系统自动给出或由管理者给出，评价的内容会实时通知被监控者 因此启动该功能后，登陆网管网的人员可能随时收到一份来自服务器的评价 带宽控制: 通过对端口流量的实时监控，可以发现高危用户群 选中一台电脑，设置“上网规则”，至此，可以对某个登陆网管网的终端，进行带宽限制 警报设置: 对符合特定条件的网络行为，及时通过短信、邮件、声音三种方式实现的紧急通知功能 远程管控: 远程管控的实现，需要终端安装相应的客户端，并进行正确设置 设置完成之后，管理员便可以执行远程的程序安装，命令推送，比如重启客户端电脑等 2．主要创新点 (不超过400字) VPDN 接入、基于MAC的监控、带宽控制、远程管控 3．经济与社会效益分析 (要有测算及评估方法，不超过500字) 远程管控的实现，可以执行远程的程序安装，命令推送，日常客户端软件安装可以由服务器完成: 应用实例： 截屏功能抓住高危/错误操作记录 监测端口流量异常情况 远程管控主动推送程序运行 4．可推广度说明(不超过200字) 本项目投入小、部署简单、收益大： 投入小：一台服务器（2万），交换机一台（可利旧），CISCO3600一台（可利旧），IP申请及管理附属在业务辅助系统上（无投资）。注：全省网管网络改造后，一批旧设备可以部署到安全级别小一级的终端接入上。 部署简单：在原网络基础上仅需增加一台路由器，调整两条网线，原用户线路无需调整。 收益大：本系统可对地址进行集中管理，相比交换机上配置，工作量小且不易出错。限制了非法接入，过滤了部分常用通信协议外的流量，加强网络的安全性。 5．成果简要获奖情况和所含专利情况（专利应已经通过集团公司初审） . .