ecop网络管理系统方案.docVIP

网络管理分系统方案 7.1 产品概述 7.1.1 为什么要用eCop? 随着计算机网络技术的快速发展和全球信息化步伐的日益加快，现代计算机网络（Internet、Intranet）作为信息社会的基础设施已经渗透到社会的各个方面，伴随着计算机网络规模的日益扩大，网络安全问题越来越突出地呈现在广大客户面前，黑客、计算机病毒等因素严重威胁着计算机网络的安全。网络安全问题可以分为内部安全与外部安全两大方面，据美国安全软件公司Camelot和eWEEK电子杂志联合进行的一项调查显示，网络安全问题在很多情况下都是由“内部人士”而非外来黑客所引起，在政府机关、企事业单位中，普遍存在着如下的问题： (一)、缺乏完整的内部安全防护体系。一个大型计算机网络的整体安全体系包括网络边界安全、网络内部安全和人为因素等多个方面，通过在网络边界部署防火墙、入侵检测等系统可以有效地将内部网络与外部网络进行隔绝，但是对内而言还处于基本不设防的状况，内部安全管理工作缺乏有效的技术手段。 (二)、网络安全管理的基础工作较薄弱，各类网络基础信息采集不全。大型计算机网络的管理应该以基础信息的管理为核心，信息管理中心如果对所管辖网络的用户和资源状况难以掌握的话，对整个网络的管理工作也就无从谈起，在发生违规事件时也很难及时将问题定位到具体的用户。 (三)、存在一机多网和一机多用的可能性。“一机多网”现象是指计算机同时连接在内部网络与其他网络或Internet上的现象，“一机多用”是指已连接过外部网络的计算机，再连接到内部网络的现象。这两种现象统称为非法外联。非法外联行为造成内部网络与外部网络互联，为恶意入侵提供了入口，可能造成内部资料泄密的严重后果。 (四)、外围设备的接入控制困难。为了保证网络的内部安全，要求对运行网中各计算机设备的外围设备使用情况进行控制，禁止和限制使用软驱、光驱、USB设备、并行、串行口等外围设备，防止利用移动存储设备进行数据文件的拷贝。而目前采取的策略通常是对外围设备“能拆则拆，能封则封”，对每一台接入内部网络的计算机都要拆除或者封禁掉这些外围设备，管理人员的工作量非常大，在真正需要使用这些设备的时候又要去现场安装或解封这些设备，管理非常繁琐，也不可能做好外围设备接入的控制工作。 (五)、难以监控用户对计算机的使用情况。接入内部网络的计算机，应该是经过网管人员认可的计算机。但是存在着用户利用这些计算机设备进行其他活动或使用未经确认许可的计算机接入内部网络的可能性，管理人员对这些情况难以进行监视和控制。 (六)、难以监控外来用户的计算机接入内部网络内部网络 eCop的体系结构如上图所示，在内部网络部署一台eCop中央控制服务器，它基于浏览器/客户端模式设计，采用软硬件一体化的功能服务器设计方式。同时，在内部网络中各被管理计算机上安装相应的客户端程序，对各客户机进行管理、监视和控制。每一台接入内部网络中的计算机设备必须下载安装客户端程序，或者在eCop中央控制服务器上保存其IP及MAC地址配置信息，否则将会被管理系统认为是非法接入内部网络，客户端程序的下载安装由各客户机通过浏览器连接到服务器后自动完成。整个系统支持在线升级，服务器系统进行升级后，客户端程序可以按照服务器端的配置在启动时自动升级。 eCop以Java、Web技术为架构，采用面向对象和Message Queue技术构建信息交换平台，使系统的各项功能构建于该平台之上，使整个系统具备灵活的扩展性。 eCop使用Jsp/Java bean技术向用户提供Web方式的操作界面，系统内置预写日志式数据库， 大大提高了系统在突然宕机事件发生时的可靠性。 7.3系统功能 整个系统的功能模块如下所示： 以下将结合功能模块划分说明eCop的主要功能。 7.3.1客户端管理子系统 1 客户端的安装与卸载 客户端程序的安装可以通过以下几种方式实现： 通过客户机浏览器连接服务器下载安装； 在采用域管理策略的网络中，通过域登录脚本安装； 采用软件分发服务进行分发安装。 系统可自动发现接入内部网络但未安装客户端程序的计算机，并提示管理人员，由管理人员对其进行警告或者阻断其接入网络。 客户端程序使用进程保护和文件保护技术，以使用户无法在其计算机上停止或者卸载客户端程序，只能通过专用的卸载工具来完成客户端程序的卸载。 客户端支持自动升级，并且可以在服务器端配置客户端升级策略，整个升级过程普通用户无需干预。 2 客户端基础信息管理模块 用户信息登记注册管理 接入到内部网络中的计算机，要求必须安装客户端程序，安装完成后在各客户机填写用户登记注册信息，客户机用户填写完这些信息之后，将其提交到服务器端，等待管理人员进行审批确认。管理人员一旦审批结束，将锁定这些信息，仅当管理人员在服务器端