1、前言

---随着计算机网络尤其是INTERNET在全球的普及和深入，信息与网络正以前所未有的方式悄然改变着人们日常生活的组织方式、经济的运作方式以至国家安全的保障方式。作为国家政

---正因如此，我国的网络安全开发商一直在不停顿地为其产品增添新的功能和模块，各种单个安全技术产品层出不穷。但是虽然大多数单一性产品能够解决一些局部性的安全问题，然而由于相互之间没有互操作性，缺乏统一调度，协同管理的途径，很难保证策略上的完整性和和行动上的一致性。这种各行其是，各管一方的局面不仅大大加重了管理人员的负担，最终也很难形成全面而有效的安全解决方案。

---根据目前用户的实际需求，华信亿码公司及时提出了基于网管平台开放式综合安全管理体系的理念，NetWin2000综合网管平台 世纪版凝聚着众多网管专家多年心血。在性能上更多的汇聚了多角度、多方位、多层次的安全手段（诸如：完整的网管日志、IP合法性管理、入侵检测、内部安全管理等），通过NetWin2000综合管理平台，可帮助用户实现对所有安全产品统一管理，轻松调度。

2 需求分析

2.1 网络管理现状及问题

---XX部委通信网络是以XX部委为中心、各省为分中心，覆盖各地市局的分级分布式骨干网络系统。现有网管系统有OpenView、CiscoWorks网管系统组成的。

---现有网络管理体系存在的问题主要有：

---⑴从XX部委管理的特点来看，上级经常需要了解下级网络运行状况，并进行必要的分析和指导。例如，总部可能需要掌握省市厅网络的状况；省市厅需要掌握地市局的网络运行状况。但在仅依靠现有的网管系统，很难对下级网络的运行状态进行有效监视；缺乏对下级网络管理实施监督、指导、协作的手段。

---⑵地市基本上没有网管系统，对网络设备和服务器缺少必要的监视和管理。

---⑶从XX部委业务的趋势来看，业务数据会集中在北京、省市厅的数据中心，而网络中心的功能将大大加强。对网络设备及网络平台上所运行的各种软件（包括防病毒、数据存储等）的运行状况进行监视、管理的需求就显得特别迫切。

2.2 多级分布式管理体系的必要性

---按照XX部委的网络组织结构，网络管理系统应由多台网络管理机组成，并根据上下级关系构成XX部委－省市厅－地市局三级管理网络，在上级管理机上可以查看、监管下级管理机的管理视图，并通过下级管理机实时地了解下级网络的运行状况，必要时也可直接控制。各级网管机之间应能建立良好的协作关系，可以根据需要随时随地改变管理角色，共同协力管好XX部委整个网络。随着XX部委业务的不断发展和变化，能够很方便地对整个网络管理系统进行同步调整。

2.3 网络安全管理的基本功能需求

---安全网管系统从总体来讲应具备如下基本功能：统一管理平台减少网络系统和网络设备的停工期；快速探测和修正网络故障；监测网络通信数据，预期可能发生的网络问题；提供对历史数据的分析统计；具有对监视策略、网络事件的定义和管理能力等。具体需求如下：

-2.3.1网络构成与资源管理

网络资源的自动发现和图形化表示
IP地址资源分配与管理
网络资源的对象化管理
软件及硬件资源与版本数据的管理
网络资源的管理信息
配置及资产统计报告

-2.3.2运行维护管理

-网络监控

网络设备状态监控
网络设备资源使用率的监控。监控网络设备端口使用率，CPU使用率，内存的利用率，并可以为设备监控参数设定阈值。
实时采集各种网络性能数据，并以图表的方式直观显示。
对网络运行状况的历史数据进行分析统计，并自动形成管理报表。
显示设备面板（PANEL），通过PANEL详细了解网络设备的运行状态，并对端口进行开启/关闭控制。
可以自定义监控策略。

-问题处理

对设备故障自动报警、自动通知、自动响应。
跨网段传送网络事件与故障消息。
提供多种诊断工具，从而快速定位故障。
通过远程虚拟控制台实现远程诊断、远程配置。
报表功能，按小时、天、周、月、季度、年生成故障统计报表。

-安全管理

通过NW2000平台集成第三方安全产品，实现联动
通过自身入侵检测工具，监控外部安全。
通过IP地址资源管理，应用监控，进行内部安全管理。
通过管理机、网络管理协议的访问权限的配置与控制，限制对网络设备的管理操作。
通过管理日志，提供安全审计记录。
网络管理系统自身的安全管理。

-2.3.3统计分析和决策支持

日志化的管理数据库，为XX部各级网络的规划、设计与改造提供第一手资料。
基于行业网络维护指标体系的图表分析统计功能，为XX部网络化进行提供决策依据。

-2.3.4 客户化定制

能够自行定制监视策略，以满足XX部在网络监控上的特殊需求。
能够通过自行定制网络设备PANEL，实现对未来网络设备的面板显示与监控。
能够编译和集成新设备的扩展MIB，从而实现对未来网络设备、主机资源、数据库以及应用的管理。
能够提供管理数据和API接口，满足XX部二次开发的需求。

3 网络管理方案建议

3.1 对网络管理软件的建议

---为了最大程度地保护XX部委以往在网络管理上的巨大投资，建议XX部委与省市厅的现有网络管理体系维持不变。只是为了更好地对XX部委整个网络实行集中指导下的分布式管理，建议采用操作方便、具有强大灵活的分布式管理功能的NetWin2000综合网络管理系统 世纪版（简称NW2000）作为总部和省市厅在网络管理上的一种辅助工具；对于地市级的分行，建议采用NW2000作为基本网络管理工具，用来管理地市局的本地网络。借助于NW2000，XX部委可以随时查看、监视省市厅网络的运行与管理情况；同样，省厅委也可以借助NW2000随时查看、监视市厅委网络的运行与管理情况，必要时给予指导和干预。

-3.1.1 NW2000的管理模式

---NetWin2000提供多种管理模式，可以根据管理网络的规模和管理业务的流程组成灵活的管理系统。NetWin2000的基本管理模式包括：
单机管理
分级管理（UMG/LMG）
主/从管理（Slave/Master）
客户机模式（C/S）
浏览器模式（B/S）

-3.1.2 NetWin2000主要功能模块

---NetWin2000主要包含网络构成管理、网络故障管理、网络性能管理、网络安全管理、客户化定制管理和网络自动化管理等六大主要功能。

--3.1.2.1网络构成管理

◆自动生成管理网络图
◆灵活的自动发现策略
◆虚拟管理视图
◆对象化管理
◆IP地址资源管理
◆软硬件资源与版本管理
◆设备资产管理

--3.1.2.2网络故障管理

◆设定监控方式（NetWin2000提供十二种监视方式，操作简单、自由、灵活。）
◆网络故障的表示：颜色，声音，日志，触发
◆自动通知的手段：寻呼机，手机，电子邮件
◆多种诊断工具

--3.1.2.3网络性能管理

◆通信量测定：实时、定时、周期性
◆整个网段的通信状况统计分析
◆系统性能监视预警
◆基于客户化网络维护体系指标的统计分析

--3.1.2.4网络安全管理

◆网络管理操作日志（安全审计）
◆判断IP的合法使用
◆入侵检测
◆内部安全管理
◆安全隔离
◆管理权限：定时身份验证

--3.1.2.5客户化定制管理

◆定制监视策略
◆定制对象识别方式
◆定制PANEL
◆MIB集成
◆API接口

--3.1.2.6 网络自动化管理

按预先设定好的管理策略和时间表自行启动或终止管理功能

◆性能管理调度
◆运行管理调度
◆监视策略调度
◆批量处理

3.2 对网络管理体制的建议

（该部分与XX部委的网络管理具体要求有关，请贵方协助完成，以下内容仅供参考）
---网络管理维护人员作为网络管理中的关键要素，管理的角色分工和管理的职责范围需做出明确定义。一般来说，监控指的是观察系统状态或参数值，看是否偏离已知的正常范围；管理指的是为保证系统的正常运行所做的监控、备份、修改参数等的所有操作。在XX部委网络管理系统建立之后，我们建议的管理模式描述如下：

人员分工：根据管理的区域范围和日常维护任务的不同，管理维护人员可以主要分为以下三类：

①网络管理人员
②网络维护人员
③日常监控人员

这三类人员的职责定义见下面的描述。

--界面分离：各类人员使用不同的管理系统界面，监控界面和管理界面分离。各界面具有不同管理范围及管理功能。
--权限分离：监控权限和管理权限分离。值班员只有查询的权限，但是没有修改参数的权限。网络维护人员只有管理网络设备和网络资源的权限。
--工作流程：日常监控人员进行日常监控，根据管理系统的显示初步定位判断故障，再通知相应的网络维护人员。网络维护人员通过使用管理工具定位、解决问题，或对网络设备的配置修改解决问题。当网络维护人员需要对网络管理系统进行配置修改时，需要通知网络管理人员修改网络管理系统。日常报表的生成由网络维护人员产生。
　
4 网络管理方案实施建议

---华信亿码公司以NW2000网管软件为核心，对XX部委的网络运行管理需求进行调研,确定网络管理模式，确定网络管理产品对用户需求的满足程度，进行产品化实施，对于XX部委特殊功能进行设计和定制。
实施阶段划分及各阶段工作说明

第一阶段：商务及系统规划阶段
第二阶段：产品实施及客户化开发
第三阶段：系统完善及推广

第一阶段实施时间：2001年8月下旬
工程目标：完成网络管理系统建设有关的商务合同工作以及网络管理系统规划。
主要工作内容说明：根据XX部委系统规模，实施类型（产品化实施、客户化开发、新功能开发）对以下内容裁剪
用户网络管理需求调研
企业现有资源调研
网络管理模式确定
签订商务合同
网管产品交付
确定开发工作任务
确定开发项目组成员（双方）
关键技术及技术难点实现方案研究和确定
确定系统交付验收标准
制定系统实施的进度计划
建立业务运行规程和操作规程
确定用户培训计划

第二阶段实施时间：2001年9上旬
工程目标：根据用户的具体业务要求，进行系统裁剪、系统客户化和系统初始化工作；在一定范围内推广适用系统，同时完善网络管理体系和业务运行体系，使系统功能和效益发挥良好。
主要工作内容：[根据用户系统规模，实施类型（产品化实施、客户化开发、新功能开发）对以下内容裁剪]
需求分析和系统裁剪
系统企业化设计与重购
客户化开发和新功能开发
系统联调
系统测试
确定各项管理规定、条例、操作规程
操作人员培训、管理人员培训
系统初始化
试运行
系统性能调整

第三阶段实施时间：2001年9月下旬
工程目标：完成所有受管点的系统实施，同时进行本系统的维护和完善，新功能的扩充。
主要工作内容
网络管理系统全面实施
系统功能完善和系统维护
系统验收
系统新需求了解和确定
实施时间计划表
最终提交产品和文档
[根据用户系统规模，实施类型（产品化实施、客户化开发、新功能开发）对以下内容裁剪]
系统建设方案建议书
商务合同
知识产权协议
项目组人员组织
项目进度表
系统验收标准
业务运作规程和系统管理规程（用户提供）
用户培训计划
用户手册
应用手册
参考手册
安装手册
系统试运行和运行报告
用户报告（用户提供）
验收报告
项目总结报告
后期功能增加和完善建议

5 NW2000安全网管应用效果

---网管与国内其他厂商之间建立公共的接口，相互之间实现联动。当入侵检测检测到异常行为时，通知网管，网管再与防火墙实现联动，切断该主机的连接。

　
---在内部安全管理中，当内部的管理节点有非法行为时，比如拨号上网在内部网与外部网子间建立一条不安全的通道，此时网管检测到这种非法行为，网管软件自己或与防火墙联动切断该节点的连接。