單位電子外網安全運維現狀

組建運維團隊

針對單位電子外網運維的實際情況組建了信息安全運維團隊，其組成為單位信息中心主管電子外網運維服務的工程師、運維工程師、安全設備廠家工程師、信息安全領域專家。并設置一部800報修電話，保證7×24小時暢通。

經過運維團隊全體成員的積極努力，2016年制定了外網平臺運行維護工作密切相關的規范。通過上述規范的制定，進一步明確了相關各方的職責，規范了運維服務的工作流程，為單位電子外網平臺能夠安全穩定的運行打下了堅實的基礎。

部署網絡管理系統

針對目前單位電子外網龐大的網絡規模，涉及的設備資源類型繁多，如交換機，路由器，防火墻及其他安全設備等，外網需要監控的設備資源數量大于300個，而且后續還會持續增加。根據相關規定的要求，并與相關專家、廠家工程師溝通后，最終決定部署一套NMS(Network Management System網絡管理系統)，作為保障整個單位電子外網穩定運行的網管平臺。整個NMS為純B/S架構，采用Flex和JSP技術開發。整個NMS提供了拓撲管理、設備配置、故障告警、性能監測和報表等網絡運維管理功能，實現了對網絡運行的集中統一監測與管理。

NMS各業務應用系統實時在圖形下方滾動顯示，它們的衡量指標分別為：健康度、繁忙度和可用性。

通過業務雷達中的業務系統健康水平分布可以找出從邊緣向中心移動的業務系統，這也就是導致業務健康指數產生歷史波動的原因，定位缺陷并做出準確決策。

圖1 NMS外網拓樸結構

圖2 電子外網網絡拓樸圖

NMS系統很重要的一項功能就是要具有實時顯示網絡拓樸、并對網絡結點設備進行管理，對網絡運行與維護的管理，對網絡安全的管理。網絡拓撲是全局掌握網絡規模建設的重要窗口，網管平臺通過定制網絡拓撲視圖，可實時關注骨干鏈路和核心設備的運行狀況，在視圖上可以直觀看到相關的提示，并可查閱詳細的監控信息。可直接管理該設備背板信息、相關操作、詳細信息等。如圖1為NMS中顯示的電子外網整體的網絡拓樸結構。

該NMS除具有上述功能外，還具有鏈路故障及業務應用系統故障實時報警的功能，運維人員每天通過該NMS可以實時發現故障線路，并對故障給予即時的解決。

部署安全管理系統

如圖2為整個單位電子外網的網絡拓樸圖。外網被分成了五個區域，分別是：廣域網骨干區、互聯網出口區、數據中心區、核心區、城域網區。其中廣域網骨干區主要上聯上級部門電子外網；核心區作為整個外網的核心接入區，主要部署著核心路由器、核心交換機等設備；城域網區主要是各單位部門匯聚接入外網的區域，各部門都采用統一配發的路由器接入外網。

互聯網出口區作為電子外網唯一上Internet的出口，在這個區域內部署了安全網關設備、IPS(入侵防御系統)、流量控制設備，而且這些設備都是采用雙鏈路、雙活方式進行部署，一旦任何一條鏈路上串聯的設備（例如安全網關設備、IPS、流量控制設備）發生故障，或者互聯網線路中斷，都可以通過核心區的兩臺熱備核心路由器進行路由重新規劃，重新選擇路由路徑，從而保證整個出口鏈路暢通，通過這樣的部署方式，極大的規避了斷網的風險，保障了外網各終端用戶能夠安全穩定的訪問互聯網。

數據中心區主要作為整個外網重要業務應用系統存放的區域，在該區域內，存放著云平臺虛擬機資源以及各單位需要放到IDC機房托管的設備。在數據中心區的入口部署了兩臺WAF設備用以保障數據中心區域各業務應用系統網站的安全運行，另外，在該區域還部署了漏洞掃描、負載均衡、網絡審計、數據庫審計等安全防護設備。

隨著信息化建設的不斷深入和發展，安全問題已經成為影響企業正常業務運行的絆腳石，因此，企業個部門已經意識到這些問題，并開始逐步部署很多獨立的解決不同安全問題的軟硬件設備，如防火墻、防毒墻、入侵檢測這些“老三樣”的安全設備，以及解決應用層安全問題的Web安全網關等等。雖然這些安全設備相對獨立的部署方式確實幫助企業解決了之前面臨的一些安全問題，但是，在如今大數據時代，這些獨立的安全設備使企業沒有能力應對今天的海量數據集中分析處理和對整體安全威脅的預防及感知，因此，傳統的信息安全系統已無法應對全新環境下的網絡安全威脅。

對于今天的企業信息化管理部門而言，我們需要具備能從全局分析安全問題、管理整個網絡安全和系統安全的管理平臺。

為此，又在外網上部署了一套SOC(Security Operations Center安全管理平臺)，該平臺是為了滿足日益復雜的網絡安全管理需求而推出的信息安全管理平臺，它通過采用多種技術和手段收集和整合各類安全事件，采用實時關聯分析技術和智能推理技術，實現對安全事件的深度分析，能快速做出智能響應，最終實現對安全風險的集中監管。

SOC主要由安全管理子系統、終端管理子系統、網絡管理子系統、安全對象管理子系統、用戶管理子系統、報表管理子系統組成。其中安全管理子系統和終端管理子系統是SOC系統的核心組件，安全對象、用戶、報表這三個系統作為基本組件和數據庫系統以及基于Web的門戶管理系統共同構成了SOC系統的支撐平臺。

在外網的SOC上，可以將安全網關設備、IPS設備、流量控制設備、核心交換機、核心路由器以及各業務應用系統服務器產生的Syslog日志信息統一進行收集整理，并根據先前制定的計劃按月生成報告。