智和网管平台SugarNMS助力网络安全运维等保2.0建设
智和信通智和网管平台SugarNMS结合《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)等国家标准文件以及用户提出的网络安全管理需求进行产品设计,推出“监控+展示+安管+开发”创新四合一模式的,实现本地及异地数据中心的网络设备、服务器、虚拟机、中间件、数据库、软件和应用服务等状态的AI智能化管控。该平台充分发挥网络基础设施安全保护能力,助力用户等保2.0安全区域边界、安全计算环境、安管管理中心及管理部分要求建设。
网络安全等级保护工作中的对象主要包括基础信息网络、云计算平台/系统、大数据应用/平台/资源、物联网(IoT)、工业控制系统和采用移动互联技术的系统等。等级保护范围内重要信息系列所涵盖的行业涉及能源、金融、交通、水利、医疗卫生、环境保护、工业制造、市政、电信与互联网、广播电视及政府部门。等保2.0提出五个等级安全要求,通过级别差异性增强关键设施的网络安全防护水平。此处编者按等保2.0安全通用要求为例,介绍智和网管平台SugarNMS支撑分类及控制点的内容:
一、安全区域边界
1、边界防护要求
a)应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信;
b)应能够对非授权设备私自联到内部网络的行为进行检查或限制;
c)应能够对内部用户非授权联到外部网络的行为进行检查或限制;
d)应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络等。
智和网管平台SugarNMS支撑策略:终端接入控制+MAC-IP管理、黑白名单
平台通过端口绑定MAC和IP,控制端口准入的终端设备,通过控制开启和关闭Dot1X认证功能,实现终端接入的认证管理,通过控制网络设备的端口打开、关闭和VLan控制,实现对终端接入设备的通断控制。定时获取全网的MAC-IP信息,并自动保存。支持根据MAC或IP对在线设备进行查询。通过黑白名单功能从而检测用户所关心的设备(通过IP或MAC来识别)是否在网络中出现及出现时间,提醒用户是否进行下一步操作。
2、访问控制要求
a) 应在网络边界根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信;
b) 应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化;
c) 应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出;
D)应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力。
智和网管平台SugarNMS支撑策略:万能命令模板+ACL访问控制+QOS策略配置
万能命令模板通过图形化的界面,为设备配置各种控制命令,用户可以通过下发配置命令的形式,实现关机、资源获取、连通性检测等控制。平台支持ACL策略、源和目的IP、协议、端口、访问动作等细粒度的控制,用户可自定义ACL模板,方便统一策略实施。平台支持端口级QOS策略,支持QOS、流行为、包过滤、类、流量监管优先级等流量策略,用户可以对QOS策略对比、核查。
二、安全计算环境
1、访问控制要求
a) 应对登录的用户分配账户和权限;
b) 修改默认账户的默认口令;
c) 应及时删除或停用多余的、过期的账户,避免共享账户的存在;
e) 应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则。
智和网管平台SugarNMS支撑策略:三员认证体系+设备用户管理+SNMP管理
平台符合三员认证体系,具备系统管理员、安全保密管理员和安全设计员三员管理,可赋予用户对网络管理或只读的权限,不同管理员对不同网络进行管理使网络更加安全。通过对网络设备发送添加本地用户命令,为设备添加本地用户,设置包括用户名密码、服务类型(连接协议telnet,SSH,terminal)、权限级别等内容,支持批量设备操作。提供SNMP用户管理页面,可在设备上添加SNMP用户,对SNMP协议版本、用户名、用户口令、权限级别进行设置。
2、入侵防范要求
a)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制。
智和网管平台SugarNMS支撑策略:终端接入控制
平台通过端口绑定MAC和IP,控制端口准入的终端设备,通过控制开启和关闭Dot1X认证功能,实现终端接入的认证管理,通过控制网络设备的端口打开、关闭和VLan控制,实现对终端接入设备的通断控制。
三、安全管理中心
1、系统管理要求
a)应对系统管理员只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计;
b)应通过系统管理员对系统的资源和运行进行配置、控制和管理,包括用户的身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的异常备份与恢复等。
2、审计管理要求
a)应对审计管理员只允许其通过特定的命令或操作界面进行安全审计操作,并对这些操作进行审计;
b)应审计管理员对审计记录进行分析,并根据分析结果进行处理,包括根据安全审计策略对审计记录进行存储、管理和查询等。
3、安全管理要求
a)应通过安全管理员对系统中的安全策略进行配置,包括安全参数的设置,主体、客体进行统一安全标记,对主体进行授权,配置可信验证策略等。
上述三个控制点智和网管平台SugarNMS支撑策略:三员认证体系+日志管理+设备用户管理
平台符合三员认证体系,具备系统管理员、安全保密管理员、安全审计员三员管理。系统提供设备日志和用户日志,通过日志管理,让设备信息和用户操作记录有处可寻,责任到人。通过对网络设备发送添加本地用户命令,为设备添加本地用户,设置包括用户名密码、服务类型(连接协议telnet、SSH、terminal)、权限级别等内容,支持批量设备操作。
4、集中管控控制点要求
a)应划分出特定的管理区域,对分布在网路中的安全设备或安全组件进行管控;
b)应对网络的链路、安全设备、网络设备和服务器等的运行状况进行集中监测;
c)应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求;
d)应能对网路中发生的各类安全事件进行识别、报警和分析;
e)应保证系统范围内的时间由唯一确定的时钟产生,保证各项数据的管理和分析在时间上的一致性。
智和网管平台SugarNMS支撑策略:智能发现+智能识别+智能监控+智能管理+NTP时钟管理
平台可自动发现设备、资源、链路等,并智能识别类型,进行自动化性能采集,策略化故障监控,学习式事件管理;通过所见即所得的拓扑图及大数据分析,多维度洞察网络状况,并自动触发预防性警示、自动故障报警。通过NTP时钟管理,保证系统范围内的时间由唯一确定的时钟产生,保证各项数据的管理和分析在时间上的一致性,向IT运维部门提供科学合理的决策依据。
智和网管平台SugarNMS助力网络安全运维等保2.0建设的更多相关文章
- 智和网管平台国产化AIOps智能运维 建立自主可控网络安全体系
没有网络安全就没有国家安全,中国作为一个崛起中的大国,网络安全至关重要.新一届中央高度重视信息安全自主可控的发展,Gartner研究报告表明,2019年中国三分之二的数据中心.IT基础设施支出流向中国 ...
- 智和网管平台SugarNMS网络综合监控等级保护安全解决方案
IT运维是一个很大的范畴,涉及到的部门.架构.技术.产品十分广泛.北京智和信通以等保标准为依据,依托丰富的网络安全行业经验,配套自主研发的智和网管平台SugarNMS,提升用户网络关键基础设施综合管理 ...
- 智和网管平台SugarNMS赋能AI智能化运维
11月14日,由<网络安全和信息化>和IT运维网联合主办的2019(第十届) IT运维大会上海站在锦荣国际大酒店如期召开.运维领域权威专家.技术领袖.各类运维相关技术产品提供商及服务商共同 ...
- 智和网管平台SugarNMS 2019年度IT综合监控突破性成果概览
一元复始,万象更新,欢辞旧岁,喜迎新年. 智和信通,精益求精,携手并进,迎战鼠年! 2020年1月10日,北京智和信通技术有限公司(以下简称“智和信通”)以“2020携手并进”为主题的年度庆典暨201 ...
- Nginx+Lua+Redis整合实现高性能API接口 - 网站服务器 - LinuxTone | 运维专家网论坛 - 最棒的Linux运维与开源架构技术交流社区! - Powered by Discuz!
Nginx+Lua+Redis整合实现高性能API接口 - 网站服务器 - LinuxTone | 运维专家网论坛 - 最棒的Linux运维与开源架构技术交流社区! - Powered by Disc ...
- 【华为云技术分享】智能诊断和优化,华为云DAS服务云DBA平台让您无忧运维
摘要:随着时代的发展,传统的“人工”运维方式,已经逐渐跟不上企业业务发展的需要.如何更好的保证数据库系统的稳定性.安全性.完整性和高性能,实现运维工具化.产品化.自助化.自动化,是当前数据管理和运维面 ...
- 企业级分布式应用服务EDAS _Dubbo商业版_微服务PaaS平台 【EDAS Serverless 运维 创业】
企业级分布式应用服务EDAS _Dubbo商业版_微服务PaaS平台_分布式框架 - 阿里云https://www.aliyun.com/product/edas?source_type=yqzb_e ...
- IT运维软件免费送 智和信通战疫活动火热进行中
突如其来的“新型冠状病毒”疫情牵动了全国人民的心,这是一场与病毒抗争,为生命逆行与时间赛跑的战役.举国上下众志成城面对疫情,在线医疗.在线教学.在线办公.在线会议.电商销售成为热点.线上经济的火热给企 ...
- 北京智和信通IT运维管理系统二次开发服务提供商
随着云计算.大数据.物联网.移动互联网.人工智能.5G等高新技术的快速发展,数据中心及网络基础设施呈现出井喷式的增长模式,对设备商来说,多.快.好.省的实现定制化网络管理开发,可极大的扩充设备适用范围 ...
随机推荐
- el-table实现行列拖拽
element ui 表格没有自带的拖拽排序的功能,只能借助第三方插件Sortablejs来实现. 实现步骤: 安装Sortable.js npm install sortablejs --save ...
- 实验室工作站jupyterhub安装笔记
本篇文章为实验室工作站的jupyterhub安装配置笔记,由于软硬件等各种区别,安装过程难免有所区别,仅供大家参考. 实验室新到一台深度学习工作站,原本想装一个juoyter notebook直接开干 ...
- HashMap的结构以及核心源码分析
摘要 对于Java开发人员来说,能够熟练地掌握java的集合类是必须的,本节想要跟大家共同学习一下JDK1.8中HashMap的底层实现与源码分析.HashMap是开发中使用频率最高的用于映射(键值对 ...
- 虚拟机上安装centos8.0
一.准备宿主机 为了培训Hadoop生态的部署和调优技术,需要准备3台虚拟机部署Hadoop集群环境,能够保证HA,即主要服务没有单点故障,可执行基本功能,完成小内存模式的参数调整. 1.1.准备安装 ...
- CSS中的各种单位
单位 描述 ...
- samba文件共享服务部署
1.安装samaba服务程序 yum install -y samba 2.查看smaba文件,由于注释空行较多,选择过滤 egrep -v "#|;|^$" /etc/samba ...
- Oracle报错注入总结
0x00 前言 在oracle注入时候出现了数据库报错信息,可以优先选择报错注入,使用报错的方式将查询数据的结果带出到错误页面中. 使用报错注入需要使用类似 1=[报错语句],1>[报错语句], ...
- powershell加载EXE进内存运行
当实战中我们想在目标上运行一些相当复杂的功能,这些功能常是 EXE 文件的一部分.我不想直接在目标上放置一个二进制文件,因为这样可能会触发反病毒机制.一个很好的思路就是将二进制文件嵌入到 Powers ...
- dll劫持破坏360
0x01 前言 说起DLL劫持技术,相信大家都不会陌生,因为这种技术的应用比较广泛,比如木马后门的启动.破解程序的内存补丁.外挂插件的注入以及加密狗的模拟等.之所以DLL劫持技术深受黑客们的喜爱,主要 ...
- PHP in_array
1.函数的作用:判读一个元素是否在一个数组存在 2.函数的参数: @param mixed $needle @param array $array 3. if it’s ok to use isset ...