赛诺朗基分行网络管家方案V12Word文档格式.docx

赛诺朗基分行网络管家方案V12Word文档格式.docx

《赛诺朗基分行网络管家方案V12Word文档格式.docx》由会员分享，可在线阅读，更多相关《赛诺朗基分行网络管家方案V12Word文档格式.docx（18页珍藏版）》请在冰豆网上搜索。

1背景

目前，各商业银行通过采用数据中心大集中的整体信息架构提高了银行的整体科技装备水平和金融产品的科技含量。

通过信息资源的整合，全面提升了银行在经营、管理、服务三大方面的效率，强化了对风险的控制，实现了“低风险、高增长、高效益”的目标。

业务发展和市场竞争力对科技工作提出的新要求，同时也面临一系列新的挑战：

一、必须保证计算机信息系统安全正常稳定地运行。

这是市场竞争和业务发展的基本要求。

离开了这一点，再先进的、再创新的功能在竞争中的作用也会大打折扣。

二、随着计算机在各项业务中的普及应用，影响计算机系统安全的因素越来越多，任何一台计算机出现问题，都可能会影响到全辖的网络系统的安全，安全管理工作更加复杂和艰巨。

而网络设备本身的安全和隐患将比之前带来更严重、范围更广的影响。

三、要求信息科技部门提供更便捷、更全面、更有效的技术支持和服务。

现在，从传统的柜面业务到自助服务系统和电子银行业务，从业务处理到信息管理系统和办公自动化系统，全行计算机设备和系统越来越多，对解决计算机系统问题的时效性要求也越来越高。

四、各分行的通信中转作用更加突出。

每个二级分行计算机中心是该行与上级行或其他分行通信的中枢，计算机中心通信故障将影响本地的全部业务。

集约化管理的推进，使各分行在信息科技工作上出现了责任重，任务多，人员少，要求高，反应快等五大特点。

●分行网络出现异常将造成全部或局部瘫痪，给银行乃至社会带来严重后果。

确保正常运行是科技部门的首要的、也是基本的职责；

●分行管理的设备数量和种类很多，包括网络设备、终端设备、办公类设备、自助设备等。

此外，还需要提供一线计算机系统的应用支持、客户端的软件安装、系统维护、技术服务、安全防范、用户使用帮助、故障处理、科技管理内部事务。

●分行从科技人员占比（科技人员/员工总数）、科技人员机构比、科技人员设备数量比等都是最低的。

部分二级分行和下级支行的计算机管理很多是兼职人员，他们所兼其它业务较多，其90%的时间及精力上基本上是用在业务处理方面。

而在电脑管理方面仅为10%。

●分行科技人员需要保证365天X24小时的生产运行值班；

需要根据本地业务和管理的需求，向上级行及时提供反馈和技术支申请；

为新业务和信息管理的部署提供支持和配合。

随着新产品的不断推出，在用户培训方面任务更多更重。

●分行科技人员承担一线维护责任，当出现问题时，需要及时发现，快速确定如何处理，升级二线技术支持到上级行还是专业外包公司，厂商等。

在实行首问责任制的情况下，分行值班人员往往成为首问责任人，他必须详细地了解情况并做出必要的处理，而且要跟踪到问题的最后解决。

赛诺朗基针对这些特点，利用强大的全局事件管理技术，以网络为核心，为数据大集中后各分行量身定制了分行网络管家解决方案。

考虑到网络是分行信息系统运行的首要职责，而网络设备也不再是简单的路由和交换，它们同时还需要兼任访问控制、安全检测等更多更复杂的任务，配置项目多、相互之间交叉关联。

网络设备的配置是完成这些工作的基础和核心，80%的网络故障与配置的漏洞和变更有关；

在有计划的网络变更中，有60%的网络故障因网络配置的缺陷引起。

因此，抓住了网络监控和配置这两个基本点就能顺利解决其它衍生问题。

其次，通过技术手段和方法，实现配置、资产、监测、日志等工作的自动化，化解人力资源缺乏、设备种类和数量繁多、技术水平差异和连续运行等方面的矛盾和问题。

最后，引入业界积累的知识库和先进实践并提供持续更新的机制，实现专业级、高水平和可持续的运行保障。

2系统功能

赛诺朗基分行网络管家采用B/S架构，支持多个厂商的设备，用于交换机、路由器、防火墙等网络设备的状态监控、网络配置、变更管理及合规管理等相关工作。

通过使用该方案，各分行可及时掌握网络运行状态，实现日常管理工作自动化，减少重复工作和人为失误。

建立网络配置的专业安全检测机制，消除网络运行的故障和安全隐患。

当出现问题和故障时，可以快速恢复正常运行，快速评估对业务的影响、进行问题定位，还可以实现自动化、规范化的设备文档和报表等。

2.1网络配置的现状和变化总览

一目了然地获得所有设备配置的现状，包括运行配置与启动配置、标准配置的差异情况，配置备份的操作和结果，配置的安全和漏洞检测结果以及设备配置变更情况等。

并可进一步比对不同版本配置的具体差异。

2.2配置漏洞和缺陷专业检测

提供配置安全漏洞检查及配置风险和冲突的智能识别，不仅针对单个配置选项进行分析，还能处理各配置项之间复杂互相关联、影响的关系，自动完成分析和检测，找出潜在的安全风险和漏洞。

提供风险的评价、被攻击的难易程度、修复工作的难易程度和修补建议等。

2.3自动化批量操作

实现设备配置的备份、更新、补丁等自动化批量操作并记录相关操作过程和结果，便于后续的搜索和审计。

2.4网络流量和位置视图

通过对网络上行、下行及内部通信流量的及时了解和超限报警，可以实时掌握网络运行情况。

通过网络流量与事件、历史和地理分布等关联视图，可以全方位查看和分析网络流量，方便快捷地评估问题的影响，准确进行故障定位。

通过按位置查看网络设备状态和线路占用带宽的情况，能够一目了然地了解全辖网络运行状态。

2.5配置、设备、事件集中和搜索

实现各种品牌、种类和型号设备信息、配置内容和实时事件的集中管理，再也不用逐台登录查看。

可以像使用搜索引擎一样对这些信息进行方便、快捷的全文检索。

可将不同报警通过不同的通道进行，比如对于比较关心的事件可以通过电信运营商提供的pushmail实时获取。

2.6配置文档和报表

提供标准化设备配置文档，涵盖了设备配置12个方面的设置情况。

同时还提供了网络设备清单、网络健康状态、配置变更、用户操作审计、配置漏洞监测等各类报表。

支持HTML、PDF、WORD、EXCEL等输出格式。

2.7实时报警

可针对网络配置变更、批量操作、日志事件、配置检测等灵活设置各种报警条件并随时激活或禁用它们。

3支持的网络协议和设备配置选项

1.网络地址

●IPv4

●MAC

●AppleTalk

●NetBIOS

●IPv6

●NovellIPX

●DECnet

●

2.无线网络

●WEP

●WPA

●WPA2

●PSK

3.身份验证

●Local

●RADIUS

●RSA

●NT

●TACACS+

●Kerberos

●SecureID

●Domain

4.网络管理

●Console

●SSH

●TFTP

●SNMP

●Telnet

●HTTP（S）

●FTP

●Finger

●CDP

●LLDP

5.路由协议

BGP

GLBP

OSPF

Static

EIGRP

HSRP

RIP

VRRP

6.网络层协议

●DTP

●VTP

7.打印

●IPP

●JetDirect

●LDP

8.系统日志

●Buffer

●Syslog

●FortiLog

●File

●WatchGuard

●Terminal

●ASDM

●Memory

●eMail

●WebTrends

9.时间同步

●NTP

●SNTP

10.其它

●BOOTP

●VPN

●SSL

●Banners

●SmallServices

●IKE

●DNS

●DHCP

●Filtering

●IDS

●IPS

●NAT

●MOP

●ARP

●IPSec

●Encryption

●PAT

●UserPolicies

●ICMP

●其它设备专有

不同设备对上述协议的支持并不完全一样。

本列表有部分简略，如路由协议RIP实际可支持多个版本和多个网络协议，如同时支持IPv4和IPv6。

4配置安全和漏洞检查类别

11.软件版本

网络设备的软件版本可能因太过时而可能包含某些已知的漏洞。

攻击者可能利用这些漏洞获取设备的访问权限。

12.身份验证密码

确保设备无法通过默认或基于字典的密码获取访问权限。

现实中大量攻击都是利用这些漏洞。

13.身份验证服务

确保远程和本地的身份验证服务得到安全的设置。

这里的缺陷可能导致攻击者获取设备访问权。

14.管理服务

管理服务对于任何网络设备的安全都是至关重要的。

不好的配置将使攻击者有机会重新配置网络。

15.VPN配置

VPN被广泛应用在分支机构和移动办公中。

它的配置缺陷将导致外部攻击者进入内网。

16.网络服务

目前很多网络设备都提供了基于web的管理和功能，这同时也给攻击者带来了便利。

17.时间同步

准确的时间同步是认证服务、日志和电子取证的关键和基础。

18.名称解析服务

名称查询应用在多种网络服务中，相关的应用设置不妥将造成安全隐患。

19.登录信息

登录时系统显示的信息常常在配置时被忽略。

通常应包含对非法登录的法律警告提示，同时不能泄漏任何可能的敏感信息。

20.防火墙策略

网络过滤对限制网络和服务的访问非常重要。

糟糕的策略将使攻击者轻易进入内部系统。

21.入侵检测系统

目前很多网络设备已包含了入侵检测功能。

这些工具可检测潜在的攻击并报警，从而加强安全性。

22.入侵防御系统

与入侵检测相似，入侵防御可以防御正在进行的攻击，从而增加一层防护措施。

23.路由协议

路由协议对于复杂的网络非常有用，可适应网络拓扑的变化并动态建立网络通讯的路由。

但攻击者也可以利用这些协议中的漏洞改变网络通讯的路径。

24.加密设置

加密可以防止敏感信息被窃取。

这里的漏洞或缺陷可以使攻击者轻易解密抓取的通讯数据。

25.日志

记录系统事件不仅对故障诊断非常重要，而且也是检测和跟踪攻击的有效手段。

26.无线

很多设备提供了无线接入能力。

如果配置不慎，将使无线信号范围内的攻击者能够接入网络。

27.打印服务

打印服务器也是一个经常容易忽略的地方，但经常被攻击者用来存储数据或作为攻击其它服务器的跳板。

28.其它设备专有的设置

有些设备使用自己专有的配置项，其中一部分与安全有关，我们也会对这些专有的项目进行检查。

5标准化的综合配置文档

29.设备常规设置

包括设备名称，软件版本和其它设备专有的常规设置。

30.网络服务设置

包括启用和禁用的网络服务一览表。

31.管理设置

包括管理服务的设置，如Telnet,SSH,HTTP等。

32.身份验证设置

包括授权用户帐号，远程登录身份验证服务及其它相关设置。

33.网络接口设置

按接口类型分组，包括物理端口和VLAN设置。

34.路由协议设置

包括静态和动态路由配置。

35.登录信息设置

包括所有登录时和退出后显示的屏幕信息。

36.SNMP设置

包括所有简单网管协议SNMP相关的设置。

37.消息和日志设置

包括所有本地和远程运行日志的设置。

38.日期和时间设置

包括详细的本地和远程日期、时间的设置。

39.网络过滤设置

包括设置网络过滤及相关服务、地址和对象分组的设置。

40.打印服务设置

如果设备支持打印服务，这里将包括所有相关的设置选项。

6用户收益

网络配置管家集成了日常运行中配置、资产、监测、日志等各方面的管理工作。

尤其是网络配置漏洞和缺陷自动检测这一突破性的技术，使用户在更新设备的配置之前就能避免可能导致的问题，实现了以前需要专业人员手工花费很长时间才能完成的目标。

用户实际应用后因配置问题引起的网络性能和安全故障，从90%降低到10%以下。

6.1减少网络故障

通过自动检测配置安全漏洞和缺陷，可以防患于未然，加强网络安全系数，提高网络的可用性。

6.2快速恢复网络运行

当网络发生故障时，可以轻松回滚到先前已知良好的配置，快速恢复网络的正常运转。

6.3及时、全面掌握网络现状和变化

提供易于使用、一目了然的丰富视图，为工作计划和处理决策提供坚实可靠的依据。

6.4简化网络维护

消除不同品牌、种类设备的界面和命令差异，节约了培训、学习的花费和时间。

支持大批量自动化操作，提高了维护工作效率、避免手工操作的失误。

6.5部署快捷、使用简单、效果立现

无需复杂的前期调研，对现有网络系统无影响。

日常使用如同浏览网站，无需复杂的培训，避免新增管理系统带来新的麻烦和额外的工作量。

7技术优势

7.1专业配置漏洞和缺陷检测分析技术

20年网络配置安全分析经验积累，从18个角度进行智能分析，涵盖网络七个层次的70多个技术规范。

7.2基于国际标准的漏洞评价指标

内置行业标准的CVSS2安全和漏洞评价体系，可动态调整优先级。

此外，还提供了基于业界最佳实践的优先级模版，快捷实现先进的管理水准。

7.3支持多厂商设备

支持各种品牌、种类的网络设备并持续更新和升级。

7.4配置、事件、设备全文搜索

用户可以使用关键字和高级搜索语法随需检索，同时还节省了数据库、中间件的投入，简化了系统本身使用和维护。

7.5免数据库架构

无需使用关系型数据库，使并行处理海量日志、事件、监测报警的数据再无瓶颈。

其智能加速索引技术比关系型数据库架构提高30倍。

7.6元字段

可在原始日志上附加信息，打破了日志记录是信息最小单位的限制，使系统可以获取更多事件发生时的环境和上下文关系，是情境感知不可或缺的底层支撑技术。

7.7在同一视图中展示多种设备

各类设备可以展示能体现其特点和主要参数的对应字段，并可在字段上直接打开菜单进行查询和筛选，避免了不同种类的设备需要在多个窗口中才能查看和操作。

7.8自动监测入网设备及其变化

提供即席和计划两种在网设备及其服务的自动扫描和发现。

8数据中心扩展功能

当分行还有部分中间业务应用和综合前置等省级数据中心功能时，还可以通过以下扩展解决方案实现面向业务的全局化管理。

8.1面向业务的IT服务管理

如何把IT服务监测与关键业务的运行状况、运行质量、服务水平联系起来？

在业务出现故障的情况下，进行故障的检测、排查以及业务的恢复，是各类业务系统所面临的重要问题。

手工进行业务的监测和故障点的排查，费时费力，且需要耗费大量人力资源，效率低下，成本非常高，通过智能的系统平台来为业务的管理和维护提供支撑，帮助银行进行业务的开展、维护、故障处理等，让业务的管理简便化、可视化、工具化、批量化。

通过把业务系统、关键流程与相关资源的关联分析和展示结合起来，可以准确把握信息资源运行状态和业务之间的联系并以此为线索进行相关的管理和决策。

下图是业务系统和信息资源的关联视图，当某业务系统的底层IT支撑发生问题时，可以立刻看到该业务系统出现红色示警并快速、准确定位相关设备和事件。

下图是业务流程和信息资源的关联视图，可以准确掌握关键业务流程和IT资源的关联关系，IT资源对业务流程的影响等。

8.2面向业务的安全管理

目前各银行在信息安全防护方面做了大量卓有成效的工作，主要集中在技术方面的手段，但是整体的信息安全策略建设、全局的安全隐患监测方面相对滞后。

再好的设备，再好的技术，再完备的安全策略如果没有得到有效的执行，那么这些投入将大打折扣，而且将会给单位带来巨大的安全风险。

网络信息安全措施监测就是从全局的角度出发，侦测系统的每个细节，做到防微杜渐，确保安全制度的贯彻、执行，使单位的隐患尽早得到排除，安全事故发生之后有据可查，安全事件的快速排查、定位；

安全事件相关责任人的认定，安全隐患提前预警。

1总体安全形势

表示企业信息安全的总体形势，当有安全事故发生时，无论是网站被攻破还是一台关键的在线交易路由器宕掉，这里都会体现为红色。

2信息系统风险

表示企业关键信息系统或资产的风险情况，一般情况下应一直为绿色，一旦出现黄色或红色，就必须立即采取行动予以消除。

这里的企业关键信息系统或资产可以是产品设计图纸，当这些数据被异常拷贝时就应该显示红色。

3风险指标趋势

显示信息系统风险随时间的变化及趋势。

4外部威胁

表示企业面临外部威胁的情况。

其中深蓝色表示当前的外部威胁，中蓝色表示年初至今的平均外部威胁，浅蓝色表示本月初至今的平均外部威胁。

本例中我们看到当前面临的外部威胁偏高，高于年平均水平，但从本月来看，威胁比本月其它时间要低。

5合规管理趋势

显示合规执行情况随时间的变化及趋势。

6突出的安全问题

列出当前需要在公司层面予以关注的安全问题。

8.3综合行为审计

对银行的IT管理人员、业务人员、外包服务公司员工，在什么时间做过什么事情，是否有违规或违法操作，是否触及敏感数据；

是否影响了系统的运行。

是否满足行业监管规定等进行准确、及时、可持续的核查。

如右图所示，通过综合行为审计，可及时掌握合规状态，按照行业监管规则、安全管理国际标准或银行内部规范，能够及时掌握合规执行情况，定位违规行为和人员。

发现违规行为或外部威胁后，可以通过操作行为时序图，在大范围、长时间和海量数据中，快速筛选、标注和定位操作行为记录，查看什么时间、什么人员、进行了什么操作和涉及的信息资源及其操作结果等详细信息。

9关于我们

北京恒安永通科技有限公司（HAYTONE）创立于2008年，是一家专注于面向数据中心，提供IT运营管理整合解决方案、产品研发和服务的软件企业。

我们致力于提升用户IT运行管理的效率、安全和智能。

通过以全局的观念来整合IT管理中的信息孤岛，以科技及创新改善IT管理方式，我们的产品已广泛应用于教育、电信、金融等多个行业。

我们携手美国著名的全局事件管理厂商赛诺朗基（SECnology）在中国建立了开发和服务中心，成为赛诺朗基中国区唯一战略合作伙伴。

赛诺朗基成立于2002年5月，由前AT&

T,Microsoft,Oracle等高层管理人员创立，管理团队由业界资深人士组成，总部位于美国加州旧金山，全球设立16个分支机构。

在产品研发方面进行大量投入，在全局事件管理领域已获得11个专利，并另有16个专利申请。

赛诺朗基的全局事件管理解决方案在全球1000强等大型企业中拥有大量用户，并同时与业界OEM制造商、运营商和技术厂商结成广泛的策略联盟。

我们产品及解决方案在金融业的典型用户有：

UnionBank

美国联合银行

银行

Mellon

纽约梅隆银行

AmsouthBank

美国南部银行

DiscoverFinanacialServices

Discover信用卡

FirstCitizensBank

第一国民银行

JPMorganChase

摩根大通银行

IndyMacBank

IndyMac银行

TDBankFinancialGroup

TD银行集团

CB

法国信用卡集团

CA

法国农业信贷银行

WENDEL

法国Wendel投资集团

金融

MerrillLynch

美林

证券

GoldmanSachs

高盛

NASDAQ

纳斯达克交易市场

FederatedInsurance

联合保险

保险

Aegon

荷兰全球保险集团

CapitolInsuracneCompanies

Capitol保险集团

FARMERS

FARMERS车险