利用集中管理系統(tǒng)提升網(wǎng)絡(luò)設(shè)備安全管理效率

陸力瑜

摘要：當前國家對網(wǎng)絡(luò)安全日益重視，網(wǎng)絡(luò)設(shè)備安全管理包括配置檢查，參數(shù)變更，巡檢日志歸檔，安全基線核查等內(nèi)容。而信息網(wǎng)絡(luò)設(shè)備爆炸式增長，不同廠商網(wǎng)絡(luò)設(shè)備管理配置存在極大差異，亟需提升管理效率。本文闡述了信息管理部門當前所面臨網(wǎng)絡(luò)設(shè)備集中安全管理存在的問題，分析并設(shè)計對應(yīng)的解決方案，采用putty工具結(jié)合運維審計系統(tǒng)，開發(fā)SSH指令自動化執(zhí)行工具，提高網(wǎng)絡(luò)設(shè)備集中管理的效率以及安全基線合規(guī)性，規(guī)范網(wǎng)絡(luò)管理的工作流程以及工作內(nèi)容，保障企業(yè)信息網(wǎng)絡(luò)的穩(wěn)定運行以及網(wǎng)絡(luò)安全。

關(guān)鍵詞：集中管理;網(wǎng)絡(luò)監(jiān)控;安全基線

隨著企業(yè)信息化建設(shè)的飛速發(fā)展，企業(yè)信息網(wǎng)絡(luò)的發(fā)展規(guī)模也隨之不斷擴大，網(wǎng)絡(luò)設(shè)備數(shù)量急劇增長，網(wǎng)絡(luò)結(jié)構(gòu)復雜度也越來越高。

網(wǎng)絡(luò)設(shè)備安全管理包括配置檢查、參數(shù)變更、巡檢日志歸檔以及安全基線核查等內(nèi)容。目前，網(wǎng)絡(luò)設(shè)備安全管理工作效率低[1]，作業(yè)規(guī)范化難度大，當網(wǎng)絡(luò)設(shè)備出現(xiàn)故障時，排查周期長，批量修復的難度高。因此，亟需設(shè)計一種網(wǎng)絡(luò)設(shè)備集中管理系統(tǒng)（以下簡稱“系統(tǒng)”），對企業(yè)的網(wǎng)絡(luò)設(shè)備進行集中的管控，通過自動化采集配置、分析配置參數(shù)，能夠檢測安全基線合規(guī)性并提供告警信息，為事前分析提供決策，做到預(yù)防為主。

1 現(xiàn)狀分析

1.1網(wǎng)絡(luò)設(shè)備運維的主要問題

（1）手工操作耗時長

目前市場上存在的網(wǎng)絡(luò)管理工具授權(quán)昂貴，信息運行維護人員需要通過運維審計系統(tǒng)對300臺網(wǎng)絡(luò)設(shè)備配置文件進行備份、歸檔管理，耗時較長。

（2）故障查找效率低

部分網(wǎng)絡(luò)設(shè)備配置的局部變動會對信息網(wǎng)絡(luò)造成較大的影響，目前只能通過人工進行配置對比，故障查找效率低。

（3）設(shè)備安全合規(guī)性不高

網(wǎng)絡(luò)設(shè)備安全防護要求高[2]，入網(wǎng)設(shè)備必須符合安全基線配置要求。當前只能通過人工檢查手段進行安全基線配置核查，并且檢查覆蓋面不廣，網(wǎng)絡(luò)設(shè)備的安全合規(guī)性不高[3]。

2系統(tǒng)架構(gòu)設(shè)計

系統(tǒng)架構(gòu)總體分為3層，即信息展示層、集成交互層以及消息層。

（1）信息展示層

該層主要包括網(wǎng)絡(luò)設(shè)備命令執(zhí)行日志信息展示、系統(tǒng)參數(shù)配置及其他參數(shù)設(shè)定等功能。日志信息包括實時的備份網(wǎng)絡(luò)設(shè)備配置、配置差異對比以及安全基線檢測輸出;系統(tǒng)參數(shù)配置包括網(wǎng)絡(luò)設(shè)別列表、SSH命令、安全基線檢測的命令參數(shù)以及日志文件的保存目錄等。

（2）基層交互層

該層主要作用是對PUTTY工具的啟動、關(guān)閉以及執(zhí)行、捕獲相關(guān)的SSH命令的輸出返回信息，當有新的命令返回信息輸出以后，自動將返回信息按照相關(guān)的業(yè)務(wù)規(guī)則進行二次對比，去除按鍵信息后按照日志文件存儲規(guī)則保存至備份文件目錄。

（3）消息處理層

該層主要作用是對網(wǎng)絡(luò)設(shè)備列表、SSH命令庫以及安全基線命令庫的加載規(guī)則、檢測規(guī)則進行入隊操作，根據(jù)檢測的網(wǎng)絡(luò)設(shè)備品牌分類，自動執(zhí)行相應(yīng)的SSH檢測命令。

3關(guān)鍵技術(shù)研究

通過開發(fā)SSH指令自動化執(zhí)行工具，基于PUTTY工具獲取網(wǎng)絡(luò)設(shè)備的配置參數(shù)，實現(xiàn)網(wǎng)絡(luò)設(shè)備配置參數(shù)的采集、備份、歸檔以及檢驗等過程。通過梳理交換機的常用運維指令以及信息安全基線配置要求，以及作業(yè)指導書交換機日常運維、巡檢工作的流程，各個工作環(huán)節(jié)的輸入、輸出信息，制定了系統(tǒng)的設(shè)計思路和方案?？梢詫⒁陨蠑?shù)據(jù)處理流程簡要地劃分為以下5個處理環(huán)節(jié)：維護網(wǎng)絡(luò)設(shè)備列表、建立SSH命令模板、配置PUTTY工具參數(shù)、執(zhí)行檢測過程以及配置結(jié)果捕獲及存儲、網(wǎng)絡(luò)設(shè)備配置的對比及安全基線檢測。

3.1維護網(wǎng)絡(luò)設(shè)備列表

網(wǎng)絡(luò)管理員通過命令行維護的管理功能，可將需要監(jiān)控的網(wǎng)絡(luò)設(shè)備信息輸入系統(tǒng)，輸入的信息包括設(shè)備的IP地址、賬號、密碼、超級密碼以及設(shè)備品牌等。因各品牌之間的設(shè)備維護命令存在差異，增加了品牌分類的維護參數(shù)主要用于區(qū)分各類設(shè)備所采用的SSH命令模板，使系統(tǒng)可以自適應(yīng)不同品牌、不同版本的網(wǎng)絡(luò)設(shè)備維護。

3.2建立SSH命令模板

SSH命令模板由執(zhí)行序號、命令行、標志位以及品牌構(gòu)成。

根據(jù)不同品牌的網(wǎng)絡(luò)設(shè)備，網(wǎng)絡(luò)管理員梳理出網(wǎng)絡(luò)設(shè)備的日常運維命令以及信息安全基線配置要求，然后根據(jù)品牌以及所選擇的網(wǎng)絡(luò)設(shè)備列表，加載至系統(tǒng)緩存，系統(tǒng)根據(jù)交換機列表，先按照IP序列循環(huán)執(zhí)行，再根據(jù)相應(yīng)的設(shè)備品牌方案中SSH命令列表遞歸執(zhí)行，直到設(shè)備都能夠按照命令執(zhí)行完畢。

3.3執(zhí)行檢測過程以及配置結(jié)果捕獲及存儲

系統(tǒng)根據(jù)網(wǎng)絡(luò)設(shè)備列表自動登陸網(wǎng)絡(luò)設(shè)備，將命令模板的內(nèi)容下發(fā)至網(wǎng)絡(luò)設(shè)備，并將網(wǎng)絡(luò)設(shè)備返回信息記錄至PUTTY日志信息中。通過采集PUTTY日志信息，自動捕獲日志內(nèi)容進行存儲分析;系統(tǒng)自動將日志信息分段截取，按照日期為文件夾，設(shè)備IP為文件名，保存為每臺網(wǎng)絡(luò)設(shè)備獨立檢測日志文件。

3.4網(wǎng)絡(luò)設(shè)備配置的對比及安全基線檢測

由于采集的配置信息內(nèi)容過多，對于同一臺交換機所發(fā)生的細微的配置變化，人為的檢查過程耗時較長，因此通過系統(tǒng)的日志對比功能，可將同一設(shè)備的配置信息進行比較，當配置出現(xiàn)不一致時，配置變化所在行高亮顯示，使網(wǎng)絡(luò)管理員能夠快速地定位設(shè)備的配置變化。

系統(tǒng)具有網(wǎng)絡(luò)設(shè)備信息安全基線核查功能，通過安全基線檢測命令設(shè)置，可遍歷采集島的網(wǎng)絡(luò)設(shè)備配置信息，然后通過設(shè)備品牌類別進行自動匹配，給出網(wǎng)絡(luò)設(shè)備信息安全基線分析結(jié)果;系統(tǒng)可以按照文件或者文件夾批量地在配置文件中檢查相關(guān)的特征指令，給出相應(yīng)的檢測結(jié)果，并可以快速定位至該配置文件的所在行，可用于檢查某一設(shè)備是否存在安全隱患的配置信息。

4結(jié)語

保障網(wǎng)絡(luò)資源的可用性以及網(wǎng)絡(luò)安全是當前網(wǎng)絡(luò)管理的核心內(nèi)容，網(wǎng)絡(luò)設(shè)備的日常運行維護也由此變得尤為重要。網(wǎng)絡(luò)設(shè)備集中管理系統(tǒng)通過實現(xiàn)配置參數(shù)的自動采集、備份、分析、基線檢測等功能，為網(wǎng)絡(luò)管理人員對數(shù)量眾多的分布式網(wǎng)絡(luò)設(shè)備進行高效、規(guī)范以及實時性地管理提供了技術(shù)手段。該系統(tǒng)的應(yīng)用在提高工作效率的同時，也帶來了新的安全隱患。因此，如何合理地利用系統(tǒng)，仍需要配套的管理制度或者管理措施加以規(guī)范利用，以提升其實際的應(yīng)用價值。

參考文獻

[1] 黃凱瑄.網(wǎng)絡(luò)管理與發(fā)展[J]. 甘肅水利水電技術(shù)，2004（02）.