網管系統與被管理設備的安全通信

蓋超

摘要??? 本文介紹了網管系統通信中受到的常見安全威脅，并在此基礎上對系統的安全通信設計思路進行闡述，從能力方案、控制方案兩個方面進行網管系統安全通信設計，并通過Java實現了網管系統的安全管理，提高通信可靠性。

【關鍵詞】網管系統 用戶設備 安全通信

網絡管理主要針對配置、性能、告警、故障與安全進行管理，其中安全管理是網管系統中一項重要功能，沒有安全管理會使整個系統運行失去保障，進而影響整個系統性能，對被管理設備進行安全管理與通信，有利于充分發揮各項網絡數據與資源的重要性，以此來提高傳輸網絡的經濟效益。

1 網管系統安全通信受到的威脅

對網管系統通信產生的安全威脅分為兩種，一種為主動威脅，即對網管系統狀態進行故意的非授權改變，如篡改信息、插入虛假信息等;另一種為被動威脅，即對網管信息非授權泄露而并未改變系統狀態，如竊聽等，目前對網管系統安全通信產生威脅的主要因素有以下幾種。

1.1 非授權訪問

主要是指在未獲取訪問權限的基礎上對網絡資源進行訪問和使用，表現形式為非法用戶的違法操作、合法用戶的越權操作，采用的手段為口令猜測，即通過窮舉方式對口令進行逐一測試，非法進入到網管系統之中，導致系統信息丟失、泄漏、敏感信息被盜取、刪除等。

1.2 監聽

在網管系統與被管理系統信息傳遞的過程中，對所傳遞的信息進行截取、竊聽，或對網管信息流向、通信頻率、長度、流量等參數進行分析后，為其他形式的網絡攻擊打下基礎。

1.3 篡改網絡信息

攻擊者對網絡設備進行偽裝，使其成為被管理設備，接收網管設備傳遞來的信息，并將信息進行重組、惡意改造后發送給原接收方，使其收到錯誤信息，卻難以察覺信息內容已被篡改，從而對網管系統與被管理設備的傳輸造成干擾，擾亂網管系統的正常工作，破壞網管信息的真實性、完整性。

1.4 病毒侵襲

網管系統屬于計算機系統，在運行中容易受到網絡病毒的攻擊與侵襲，感染網絡病毒的系統可能對文件信息進行修改、刪除，致使程序運行混亂，甚至導致硬件受損，帶來十分嚴重的后果。與此同時，網絡病毒的數量與類型在不斷的增加，甚至以幾何級數增長，并在網絡中迅速傳播，可見網絡病毒始終是計算機發展道路上的一只強大的“攔路虎”，更是網管系統的公害。

2 網管系統與被管理設備安全通信設計思路

由于受到威脅因素影響，在網管系統與被管理設備通信過程中應做好充足的安全保護，提高通信機密性、可查性、完整性，使通信文件受攻擊和威脅的概率降到最低，設計出以下通信思路。

2.1 總體思路

從兩方面著手對網管系統與被管設備的通信安全進行保護，一是對接入用戶的身份進行核實，對系統訪問用戶進行鑒權，只有用戶名、密碼均正確的用戶才有權進入到系統之中，否則禁止登錄;二是特定用戶只具備部分訪問權限，可在授權范圍實施相關操作。網管系統用戶授權可采用能力與控制兩種方案，對用戶操作進行限定，避免有病毒或者非法侵入者混入其中，影響通信安全性。

2.2 設計思路

2.2.1 能力方案

從網管用戶角度來看，對用戶操作進行限定，在綜合網管系統中，主界面菜單中包含各項子功能。網管系統用戶在操作功能上有所差別，這也是確保系統通信安全的重要手段之一;在權限方面，系統根據用戶的不同需求為其開通相關權限，如DWDM設備配置中網元基本信息查詢與管理、告警故障管理中的信息統計等，均屬于系統操作權限，可根據用戶不同級別為其分配相關權限，例如，級別較高的用戶可分配一些管理性的操作權限，如修改、新建、刪除等，級別較低的用戶可分配一些查詢性操作權限。總體來看，可將某個子單元設置為無效，以此來屏蔽該功能。

2.2.2 控制方案

從資源配置方面來看，用戶可對部分被管資源進行訪問，并非任意用戶都需要執行全部子網內的被管資源。例如，運營商地級市的網管系統，只能在本地區范圍內進行相關操作，具有告警顯示與分析的權力。在整個系統中，可以根據需求將用戶劃分為多個小組，每組包含數名用戶，在新建用戶組時，根據該用戶組中的實際情況賦予一定的對象與操作權限;當然，并非任意用戶組中的全部用戶的權限均相同，那樣過于僵化，不夠靈活變通，因此在新建用戶時，不但可以為用戶提供一些默認權限之外的權限，還可將默認權限中的部分權限去除。根據實際需求，用戶可以利用系統新建、刪除、查詢、更改等操作，沒有此項權限的用戶只可以修改自己的密碼與基本信息，通過對被管理設備的權限設置，提高網管系統與其通信的安全性。

2.3 實施方案

網管系統應對接入設備進行嚴格鑒權，對用戶名、密碼、IP地址等進行查驗，用戶只有在授權范圍內才可具備相應權限，完成對應操作;網管系統應具備訪問日志、操作日志的記錄功能;對于Wed模式下的用戶訪問，系統可利用防火墻對用戶的身份、連接方式、數據包等進行核實與控制，避免對其網管系統非法訪問，在通信過程中對系統進行攻擊和破壞;網管系統應具備病毒檢測與清除功能，提高通信的安全性與可靠性。

2.4 Java的實現

本文對第一個安全因素，即網管系統應對接入設備進行嚴格鑒權，對用戶名、密碼、IP地址等進行查驗，用戶只有在授權范圍內才可具備相應權限，完成對應操作進行設計與Java實現。通過建立權限樹對各個用戶操作權限進行表示，對于用戶所擁有的操作權限上方畫“√”，在賦予用戶該權限時也只需在該權限節點處畫“√”即可。本文通過Java體現權限樹的結構，主要采用JTree組件與Java swing tree包。在Java中，默認樹為未設置節點的Jcheck Box樹，不具備編輯功能，因此要利用繪制器、編輯器等對樹模式進行構造，確保樹節點的可選擇屬性，并自定義繼承Default Mutable Tree Node類的節點類。為了促進數據庫與前臺界面的互動性，應充分考慮用戶操作權限后選擇相應的節點，并用Hash table對二者間的關系進行存儲。與操作權限相比，對象權限的層次性較為簡單，采用Jlist組件即可實現。

3 結論

綜上所述，網管系統管理的重要內容之一便是安全管理，這也是網管系統與被管理設備通信可靠性的必要保障，在安全威脅因素的控制下，對用戶的訪問權限進行設置，能夠有效提高系統的安全性與可靠性。

參考文獻

[1]辛福貴.綜合網管系統在維護通信互聯網安全中的應用[J].黑龍江科技信息，2018（27）：40-40.

[2]高偉光.移動通信網網管系統網絡入侵告警的設計與實現[D].吉林大學，2014.