單位電子外網安全運維現狀

組建運維團隊

針對單位電子外網運維的實際情況組建了信息安全運維團隊，其組成為單位信息中心主管電子外網運維服務的工程師、運維工程師、安全設備廠家工程師、信息安全領域專家。并設置一部800報修電話，保證7×24小時暢通。

經過運維團隊全體成員的積極努力，2016年制定了外網平臺運行維護工作密切相關的規(guī)范。通過上述規(guī)范的制定，進一步明確了相關各方的職責，規(guī)范了運維服務的工作流程，為單位電子外網平臺能夠安全穩(wěn)定的運行打下了堅實的基礎。

部署網絡管理系統(tǒng)

針對目前單位電子外網龐大的網絡規(guī)模，涉及的設備資源類型繁多，如交換機，路由器，防火墻及其他安全設備等，外網需要監(jiān)控的設備資源數量大于300個，而且后續(xù)還會持續(xù)增加。根據相關規(guī)定的要求，并與相關專家、廠家工程師溝通后，最終決定部署一套NMS(Network Management System網絡管理系統(tǒng))，作為保障整個單位電子外網穩(wěn)定運行的網管平臺。整個NMS為純B/S架構，采用Flex和JSP技術開發(fā)。整個NMS提供了拓撲管理、設備配置、故障告警、性能監(jiān)測和報表等網絡運維管理功能，實現了對網絡運行的集中統(tǒng)一監(jiān)測與管理。

NMS各業(yè)務應用系統(tǒng)實時在圖形下方滾動顯示，它們的衡量指標分別為：健康度、繁忙度和可用性。

通過業(yè)務雷達中的業(yè)務系統(tǒng)健康水平分布可以找出從邊緣向中心移動的業(yè)務系統(tǒng)，這也就是導致業(yè)務健康指數產生歷史波動的原因，定位缺陷并做出準確決策。

圖1 NMS外網拓樸結構

圖2 電子外網網絡拓樸圖

NMS系統(tǒng)很重要的一項功能就是要具有實時顯示網絡拓樸、并對網絡結點設備進行管理，對網絡運行與維護的管理，對網絡安全的管理。網絡拓撲是全局掌握網絡規(guī)模建設的重要窗口，網管平臺通過定制網絡拓撲視圖，可實時關注骨干鏈路和核心設備的運行狀況，在視圖上可以直觀看到相關的提示，并可查閱詳細的監(jiān)控信息。可直接管理該設備背板信息、相關操作、詳細信息等。如圖1為NMS中顯示的電子外網整體的網絡拓樸結構。

該NMS除具有上述功能外，還具有鏈路故障及業(yè)務應用系統(tǒng)故障實時報警的功能，運維人員每天通過該NMS可以實時發(fā)現故障線路，并對故障給予即時的解決。

部署安全管理系統(tǒng)

如圖2為整個單位電子外網的網絡拓樸圖。外網被分成了五個區(qū)域，分別是：廣域網骨干區(qū)、互聯網出口區(qū)、數據中心區(qū)、核心區(qū)、城域網區(qū)。其中廣域網骨干區(qū)主要上聯上級部門電子外網；核心區(qū)作為整個外網的核心接入區(qū)，主要部署著核心路由器、核心交換機等設備；城域網區(qū)主要是各單位部門匯聚接入外網的區(qū)域，各部門都采用統(tǒng)一配發(fā)的路由器接入外網。

互聯網出口區(qū)作為電子外網唯一上Internet的出口，在這個區(qū)域內部署了安全網關設備、IPS(入侵防御系統(tǒng))、流量控制設備，而且這些設備都是采用雙鏈路、雙活方式進行部署，一旦任何一條鏈路上串聯的設備（例如安全網關設備、IPS、流量控制設備）發(fā)生故障，或者互聯網線路中斷，都可以通過核心區(qū)的兩臺熱備核心路由器進行路由重新規(guī)劃，重新選擇路由路徑，從而保證整個出口鏈路暢通，通過這樣的部署方式，極大的規(guī)避了斷網的風險，保障了外網各終端用戶能夠安全穩(wěn)定的訪問互聯網。

數據中心區(qū)主要作為整個外網重要業(yè)務應用系統(tǒng)存放的區(qū)域，在該區(qū)域內，存放著云平臺虛擬機資源以及各單位需要放到IDC機房托管的設備。在數據中心區(qū)的入口部署了兩臺WAF設備用以保障數據中心區(qū)域各業(yè)務應用系統(tǒng)網站的安全運行，另外，在該區(qū)域還部署了漏洞掃描、負載均衡、網絡審計、數據庫審計等安全防護設備。

隨著信息化建設的不斷深入和發(fā)展，安全問題已經成為影響企業(yè)正常業(yè)務運行的絆腳石，因此，企業(yè)個部門已經意識到這些問題，并開始逐步部署很多獨立的解決不同安全問題的軟硬件設備，如防火墻、防毒墻、入侵檢測這些“老三樣”的安全設備，以及解決應用層安全問題的Web安全網關等等。雖然這些安全設備相對獨立的部署方式確實幫助企業(yè)解決了之前面臨的一些安全問題，但是，在如今大數據時代，這些獨立的安全設備使企業(yè)沒有能力應對今天的海量數據集中分析處理和對整體安全威脅的預防及感知，因此，傳統(tǒng)的信息安全系統(tǒng)已無法應對全新環(huán)境下的網絡安全威脅。

對于今天的企業(yè)信息化管理部門而言，我們需要具備能從全局分析安全問題、管理整個網絡安全和系統(tǒng)安全的管理平臺。

為此，又在外網上部署了一套SOC(Security Operations Center安全管理平臺)，該平臺是為了滿足日益復雜的網絡安全管理需求而推出的信息安全管理平臺，它通過采用多種技術和手段收集和整合各類安全事件，采用實時關聯分析技術和智能推理技術，實現對安全事件的深度分析，能快速做出智能響應，最終實現對安全風險的集中監(jiān)管。

SOC主要由安全管理子系統(tǒng)、終端管理子系統(tǒng)、網絡管理子系統(tǒng)、安全對象管理子系統(tǒng)、用戶管理子系統(tǒng)、報表管理子系統(tǒng)組成。其中安全管理子系統(tǒng)和終端管理子系統(tǒng)是SOC系統(tǒng)的核心組件，安全對象、用戶、報表這三個系統(tǒng)作為基本組件和數據庫系統(tǒng)以及基于Web的門戶管理系統(tǒng)共同構成了SOC系統(tǒng)的支撐平臺。

在外網的SOC上，可以將安全網關設備、IPS設備、流量控制設備、核心交換機、核心路由器以及各業(yè)務應用系統(tǒng)服務器產生的Syslog日志信息統(tǒng)一進行收集整理，并根據先前制定的計劃按月生成報告。