信息中心
【參評方案】科來軟件電子政務解決方案
一、 項目背景
隨著國家信息化的深入,各地電子政務外網均得到了蓬勃發展。XX作為國家信息化建設推廣重點省市之一,政務外網的建設一直都走在前列。
為促進信息化發展,將省政府的行政管理職能向服務型職能轉變,為各級企事業單位和個人服務,XX省電子政務外網在2006年進行了全網改造,改造后的網絡規模大(約5600個IP主機)、覆蓋面廣(省、市、縣)、關鍵服務多(Web、Email、視頻點播、DNS等等),其簡單拓撲結構如圖1。
(圖1 XX省政府電子政務外網拓撲圖)
在電子政務外網網絡建設逐漸完善的同時,蠕蟲病毒、黑客攻擊、P2P泛濫等網絡故障也一刻不停地威脅著電子政務外網的安全。此前,XX省政府電子外網采用傳統的防御手段進行網絡維護,其方式包括以下三種:
1. 在網絡的出口處安裝防火墻防止來自外部的攻擊。
2. 在網絡內部中部署網絡防病毒軟件抵御病毒的危害。
3. 在網絡出口處旁路接入IDS進行網絡入侵檢測。
傳統手段均采用被動防御方式,在網絡應用飛速發展的今天,它們面臨以下挑戰。
內部攻擊:傳統防御方式用于防止攻擊的設備是防火墻,而我們知道,防火墻主要用于防止外部對內網的攻擊,對于網絡內部的攻擊,其作用比較有限。據權威統計,網絡攻擊事件,有60%以上都來自于網絡內部,并呈逐年上升趨勢。這說明對網絡內部攻擊的防御和查找將變得越來越重要,甚至有可能成為預防網絡攻擊的主要方向;
蠕蟲病毒泛濫:目前網絡大多都部署了網絡版或單機版的防病毒軟件,但很多網絡仍然經常感染蠕蟲病毒。究其原因,主要是因為防病毒軟件的病毒庫更新存在明顯的滯后性,同時終端使用人員的使用習慣(未升級病毒庫,甚至關掉防病毒軟件)給了蠕蟲病毒可乘之機;
故障難以快速準確定位:目前網絡中,網絡時斷時續、網絡慢甚至網絡癱瘓等網絡故障頻發,而傳統的網絡防御手段在這些錯綜復雜的故障面前,顯得蒼白無力,故在出現此類故障時難以快速,對網絡帶來較大的損失;
難以準確監控網絡關鍵設備:網絡中的關鍵設備,很大程度上決定著整個網絡的運行效率和可靠性。保持對網絡關鍵設備的有效監控和數據狀態分析,對保障網絡的持續可靠運行具有深遠的意義;
難以確定網絡傳輸性能:傳統防御方式不能對網絡的數據傳輸性能進行分析,不知道網絡傳輸的高低,可能為網絡故障或攻擊埋下隱患。
基于以上分析,我們知道通過目前的傳統防御手段,網絡的持續可靠運行不能得到有效保障,對網絡也不能進行主動式的管理。科來軟件通過行業領先的網絡分析技術,提出了面向網絡應用監控、故障分析排查、安生性能評估、網絡升級規劃、獲取網絡基線的綜合方案。
二、 科來軟件電子政務解決方案
2.1部署簡述
通過網絡分析對網絡進行可視性透視和專家級的診斷,全方位的監控網絡、評估網絡性能,快速定位網絡故障,并對潛在的安全隱患進行預警。科來軟件整合了行業的領先技術,以旁路的方式工作在網絡中,不會對現有網絡結構和性能造成影響。
部署科來網絡分析系統后,XX省政府電子政務外網的拓撲圖如圖2所示。
(圖2部署科來后的XX省政府電子政務外網拓撲圖)
從圖2可知,省網主干、省各廳局、市級單位和縣級單位的交換機上,都同時部署了科來網絡分析系統。
省網主干核心交換機處,可以捕獲整個電子外網的數據通訊;
省各廳局的交換機處,可以捕獲該廳局的所有數據通訊;
市級單位的交換機處,可以捕獲該市級單位的所有數據通訊;
縣級單位的交換機處,可以捕獲該縣級單位的所有數據通訊。
2.2數據來源
要進行網絡分析,首先需要對流經網絡的數據包進行采集,在以太網中,所有通訊都是以廣播方式工作,即任何主機發出的任意數據包,都會到達同一個網段內上的所有機器。每一個網絡接口都有一個唯一的硬件地址,即MAC地址。在正常的情況下,一個網絡接口只可能響應以下兩種數據包:與自己MAC地址相匹配的數據包和發向所有機器的廣播數據包。在實際的工作中,數據的收發一般都是由網卡完成的,網卡的工作模式有以下4種:
廣播:這種模式下的網卡能接收發給自己的數據包和網絡中的廣播數據包。 (默認)
組播:這種模式下的網卡只能夠接收組播數據包。
直接:這種模式下的網卡只能接收發給自己的數據包。
混雜:這種模式下的網卡能接收通過網絡設備上的所有數據包。
從上面可知,雖然網卡在默認情況下僅能接收發給自己的數據和網絡中的廣播數據,但我們可以強制將網卡置于混雜模式工作,那么此時該網卡便會接收所有通過網絡設備的數據,而不管該數據的目的地是誰。
科來網絡分析系統基于以太網嗅探技術,以旁路接入的方式工作,它首先將安裝科來網絡分析系統的機器上的網卡置為混雜模式,使其通過嗅探技術捕獲網絡中傳輸的所有數據包,然后將這些數據包傳遞到系統內部進行分析,再將分析結果實時顯示在系統界面中,并自動診斷出網絡中存在的故障。
科來網絡分析系統可以通過三種方式完成數據的采集工作:
系統在Windows平臺安裝Colasoft NDIS Protocol Driver,通過安裝的協議驅動采集從網卡傳送過來的數據包;系統在Windows平臺安裝Colasoft NDIS intermediate Driver,通過安裝的中間層驅動采集從網卡傳送過來的數據包;系統在Windows平臺安裝Colasoft TDI Driver,通過此驅動系統可采集不經過網卡的本地環回數據包;系統默認采用Colasoft NDIS Protocol Driver和Colasoft TDI Driver,用戶可依次選擇工具>數據采集驅動>Colasoft NDIS intermediate Driver>安裝,手動安裝中間層驅動。
數據包采集的關鍵是效率,科來網絡分析系統在內核層就對數據包進行過濾,并將不匹配過濾條件的數據包丟棄,以避免內核層到用戶層的數據傳送造成的資源浪費,以提高數據采集的效率。默認情況下科來網絡分析系統的數據采集流程簡圖如圖所示:
科來網絡分析系統數據采集流程圖
2.3數據分析
系統采集到符合過濾條件的數據包后,立即將這些數據包傳送到系統內部進行分析。數據分析包括對數據包的統計、檢測、解碼、TCP重組、協議分析等。科來網絡分析系統的數據分析流程簡圖如下圖所示。
科來網絡分析系統數據分析流程圖
2.4數據輸出
系統內部完成對數據包的分析后,立即將該數據包的分析結果通過系統界面反饋給用戶,反饋的途徑主要有視圖、圖表、日志、工程文件、數據包文件。(關于詳細輸出情況請參考附件)
文章作者:王曉璐
集成系統網絡情報信息數據庫
CIO頻道人物視窗
CIO頻道方案案例庫
大數據建設方案案例庫
電子政務建設方案案例庫
互聯集成系統構建方案案例庫
商務智能建設方案案例庫
系統集成類軟件信息研發企業名錄