北京智和信通技术有限公司专业从事网络管理运维、IT综合监控、网络管理平台、国产化安全软件、安全管控平台的自主研发和销售服务; 是国家级高新技术企业和软件企业。我们致力于提供技术领先的国产化IT产品,目前已服务全国30多省份客户。
网络 IT设备监控 等保2.0建设 • 1 回帖 • 391 浏览 • 5 年前
智和网管平台 SugarNMS 助力网络安全运维等保 2.0 建设
北京智和信通技术有限公司专业从事网络管理运维、IT 综合监控、网络管理平台的研发、销售和服务,是国家级高新技术企业和软件认证企业,2014-2019 连续 6 年荣获最佳 IT 运维管理奖。智和信通致力于为客户提供技术领先的网络管理与安全解决方案,帮助用户提升网络和 IT 的价值!
智和信通结合《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)等国家标准文件以及用户提出的网络安全管理需求进行产品设计,推出“监控 + 展示 + 安管 + 开发”创新四合一模式的智和网管平台 SugarNMS,实现本地及异地数据中心的网络设备、服务器、虚拟机、中间件、数据库、软件和应用服务等状态的 AI 智能化管控。该平台充分发挥网络基础设施安全保护能力,助力用户等保 2.0 安全区域边界、安全计算环境、安管管理中心及管理部分要求建设。
网络安全等级保护工作中的对象主要包括基础信息网络、云计算平台 / 系统、大数据应用 / 平台 / 资源、物联网 (IoT)、工业控制系统和采用移动互联技术的系统等。等级保护范围内重要信息系列所涵盖的行业涉及能源、金融、交通、水利、医疗卫生、环境保护、工业制造、市政、电信与互联网、广播电视及政府部门。等保 2.0 提出五个等级安全要求,通过级别差异性增强关键设施的网络安全防护水平。此处编者按等保 2.0 安全通用要求为例,介绍智和网管平台 SugarNMS 支撑分类及控制点的内容:
一、安全区域边界
1、边界防护要求
a)应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信;
b)应能够对非授权设备私自联到内部网络的行为进行检查或限制;
c)应能够对内部用户非授权联到外部网络的行为进行检查或限制;
d)应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络等。
智和网管平台 SugarNMS 支撑策略:终端接入控制 +MAC-IP 管理、黑白名单
平台通过端口绑定 MAC 和 IP,控制端口准入的终端设备,通过控制开启和关闭 Dot1X 认证功能,实现终端接入的认证管理,通过控制网络设备的端口打开、关闭和 VLan 控制,实现对终端接入设备的通断控制。定时获取全网的 MAC-IP 信息,并自动保存。支持根据 MAC 或 IP 对在线设备进行查询。通过黑白名单功能从而检测用户所关心的设备(通过 IP 或 MAC 来识别)是否在网络中出现及出现时间,提醒用户是否进行下一步操作。
2、访问控制要求
a) 应在网络边界根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信;
b) 应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化;
c) 应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出;
D) 应能根据会话状态信息为进出数据流提供明确的允许 / 拒绝访问的能力。
智和网管平台 SugarNMS 支撑策略:万能命令模板 +ACL 访问控制 +QOS 策略配置
万能命令模板通过图形化的界面,为设备配置各种控制命令,用户可以通过下发配置命令的形式,实现关机、资源获取、连通性检测等控制。平台支持 ACL 策略、源和目的 IP、协议、端口、访问动作等细粒度的控制,用户可自定义 ACL 模板,方便统一策略实施。平台支持端口级 QOS 策略,支持 QOS、流行为、包过滤、类、流量监管优先级等流量策略,用户可以对 QOS 策略对比、核查。
二、安全计算环境
1、访问控制要求
a) 应对登录的用户分配账户和权限;
b) 修改默认账户的默认口令;
c) 应及时删除或停用多余的、过期的账户,避免共享账户的存在;
e) 应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则。
智和网管平台 SugarNMS 支撑策略:三员认证体系 + 设备用户管理 +SNMP 管理
平台符合三员认证体系,具备系统管理员、安全保密管理员和安全设计员三员管理,可赋予用户对网络管理或只读的权限,不同管理员对不同网络进行管理使网络更加安全。通过对网络设备发送添加本地用户命令,为设备添加本地用户,设置包括用户名密码、服务类型(连接协议 telnet,SSH,terminal)、权限级别等内容,支持批量设备操作。提供 SNMP 用户管理页面,可在设备上添加 SNMP 用户,对 SNMP 协议版本、用户名、用户口令、权限级别进行设置。
2、入侵防范要求
a) 应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制。
智和网管平台 SugarNMS 支撑策略:终端接入控制
平台通过端口绑定 MAC 和 IP,控制端口准入的终端设备,通过控制开启和关闭 Dot1X 认证功能,实现终端接入的认证管理,通过控制网络设备的端口打开、关闭和 VLan 控制,实现对终端接入设备的通断控制。
三、安全管理中心
1、系统管理要求
a)应对系统管理员只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计;
b)应通过系统管理员对系统的资源和运行进行配置、控制和管理,包括用户的身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的异常备份与恢复等。
2、审计管理要求
a)应对审计管理员只允许其通过特定的命令或操作界面进行安全审计操作,并对这些操作进行审计;
b)应审计管理员对审计记录进行分析,并根据分析结果进行处理,包括根据安全审计策略对审计记录进行存储、管理和查询等。
3、安全管理要求
a)应通过安全管理员对系统中的安全策略进行配置,包括安全参数的设置,主体、客体进行统一安全标记,对主体进行授权,配置可信验证策略等。
上述三个控制点智和网管平台 SugarNMS 支撑策略:三员认证体系 + 日志管理 + 设备用户管理
平台符合三员认证体系,具备系统管理员、安全保密管理员、安全审计员三员管理。系统提供设备日志和用户日志,通过日志管理,让设备信息和用户操作记录有处可寻,责任到人。通过对网络设备发送添加本地用户命令,为设备添加本地用户,设置包括用户名密码、服务类型(连接协议 telnet、SSH、terminal)、权限级别等内容,支持批量设备操作。
4、集中管控控制点要求
a)应划分出特定的管理区域,对分布在网路中的安全设备或安全组件进行管控;
b)应对网络的链路、安全设备、网络设备和服务器等的运行状况进行集中监测;
c)应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求;
d)应能对网路中发生的各类安全事件进行识别、报警和分析;
e) 应保证系统范围内的时间由唯一确定的时钟产生,保证各项数据的管理和分析在时间上的一致性。
智和网管平台 SugarNMS 支撑策略:智能发现 + 智能识别 + 智能监控 + 智能管理 +NTP 时钟管理
平台可自动发现设备、资源、链路等,并智能识别类型,进行自动化性能采集,策略化故障监控,学习式事件管理;通过所见即所得的拓扑图及大数据分析,多维度洞察网络状况,并自动触发预防性警示、自动故障报警。通过 NTP 时钟管理,保证系统范围内的时间由唯一确定的时钟产生,保证各项数据的管理和分析在时间上的一致性,向 IT 运维部门提供科学合理的决策依据。
智和网管平台 SugarNMS 以“管控万物、无所不能、无处不在”为发展目标,助力用户建设万物互联的网络安全管控体系。现已管控超过 600 万台设备,管控设备类型超过 600 种,用户可自定义扩展设备类型。智和网管平台 SugarNMS 整体采用 Java 和 HTML5 语言开发,具有优秀的可移植性,产品支持 100% 国产化解决方案,可部署在国产服务器上运行,安装国产操作系统作为网管运行环境。
目前智和信通已形成 30 余项独立自主知识产权。其产品和解决方案在全国 30 多个省份大规模使用,覆盖军工国防、科研院所、政府、金融、交通、能源、电信、事业单位、企业、教育、医疗、设备商、开发人员等多领域。
智和信通诚挚邀请您莅临 2019( 第十届)IT 运维大会 - 上海站
了解更多产品详情,请关注智和信通官方网站http://www.zhtelecom.com/
这个大会不错啊。