利用集中管理系統提升網絡設備安全管理效率

陸力瑜

摘要：當前國家對網絡安全日益重視，網絡設備安全管理包括配置檢查，參數變更，巡檢日志歸檔，安全基線核查等內容。而信息網絡設備爆炸式增長，不同廠商網絡設備管理配置存在極大差異，亟需提升管理效率。本文闡述了信息管理部門當前所面臨網絡設備集中安全管理存在的問題，分析并設計對應的解決方案，采用putty工具結合運維審計系統，開發SSH指令自動化執行工具，提高網絡設備集中管理的效率以及安全基線合規性，規范網絡管理的工作流程以及工作內容，保障企業信息網絡的穩定運行以及網絡安全。

關鍵詞：集中管理;網絡監控;安全基線

隨著企業信息化建設的飛速發展，企業信息網絡的發展規模也隨之不斷擴大，網絡設備數量急劇增長，網絡結構復雜度也越來越高。

網絡設備安全管理包括配置檢查、參數變更、巡檢日志歸檔以及安全基線核查等內容。目前，網絡設備安全管理工作效率低[1]，作業規范化難度大，當網絡設備出現故障時，排查周期長，批量修復的難度高。因此，亟需設計一種網絡設備集中管理系統（以下簡稱“系統”），對企業的網絡設備進行集中的管控，通過自動化采集配置、分析配置參數，能夠檢測安全基線合規性并提供告警信息，為事前分析提供決策，做到預防為主。

1 現狀分析

1.1網絡設備運維的主要問題

（1）手工操作耗時長

目前市場上存在的網絡管理工具授權昂貴，信息運行維護人員需要通過運維審計系統對300臺網絡設備配置文件進行備份、歸檔管理，耗時較長。

（2）故障查找效率低

部分網絡設備配置的局部變動會對信息網絡造成較大的影響，目前只能通過人工進行配置對比，故障查找效率低。

（3）設備安全合規性不高

網絡設備安全防護要求高[2]，入網設備必須符合安全基線配置要求。當前只能通過人工檢查手段進行安全基線配置核查，并且檢查覆蓋面不廣，網絡設備的安全合規性不高[3]。

2系統架構設計

系統架構總體分為3層，即信息展示層、集成交互層以及消息層。

（1）信息展示層

該層主要包括網絡設備命令執行日志信息展示、系統參數配置及其他參數設定等功能。日志信息包括實時的備份網絡設備配置、配置差異對比以及安全基線檢測輸出;系統參數配置包括網絡設別列表、SSH命令、安全基線檢測的命令參數以及日志文件的保存目錄等。

（2）基層交互層

該層主要作用是對PUTTY工具的啟動、關閉以及執行、捕獲相關的SSH命令的輸出返回信息，當有新的命令返回信息輸出以后，自動將返回信息按照相關的業務規則進行二次對比，去除按鍵信息后按照日志文件存儲規則保存至備份文件目錄。

（3）消息處理層

該層主要作用是對網絡設備列表、SSH命令庫以及安全基線命令庫的加載規則、檢測規則進行入隊操作，根據檢測的網絡設備品牌分類，自動執行相應的SSH檢測命令。

3關鍵技術研究

通過開發SSH指令自動化執行工具，基于PUTTY工具獲取網絡設備的配置參數，實現網絡設備配置參數的采集、備份、歸檔以及檢驗等過程。通過梳理交換機的常用運維指令以及信息安全基線配置要求，以及作業指導書交換機日常運維、巡檢工作的流程，各個工作環節的輸入、輸出信息，制定了系統的設計思路和方案。可以將以上數據處理流程簡要地劃分為以下5個處理環節：維護網絡設備列表、建立SSH命令模板、配置PUTTY工具參數、執行檢測過程以及配置結果捕獲及存儲、網絡設備配置的對比及安全基線檢測。

3.1維護網絡設備列表

網絡管理員通過命令行維護的管理功能，可將需要監控的網絡設備信息輸入系統，輸入的信息包括設備的IP地址、賬號、密碼、超級密碼以及設備品牌等。因各品牌之間的設備維護命令存在差異，增加了品牌分類的維護參數主要用于區分各類設備所采用的SSH命令模板，使系統可以自適應不同品牌、不同版本的網絡設備維護。

3.2建立SSH命令模板

SSH命令模板由執行序號、命令行、標志位以及品牌構成。

根據不同品牌的網絡設備，網絡管理員梳理出網絡設備的日常運維命令以及信息安全基線配置要求，然后根據品牌以及所選擇的網絡設備列表，加載至系統緩存，系統根據交換機列表，先按照IP序列循環執行，再根據相應的設備品牌方案中SSH命令列表遞歸執行，直到設備都能夠按照命令執行完畢。

3.3執行檢測過程以及配置結果捕獲及存儲

系統根據網絡設備列表自動登陸網絡設備，將命令模板的內容下發至網絡設備，并將網絡設備返回信息記錄至PUTTY日志信息中。通過采集PUTTY日志信息，自動捕獲日志內容進行存儲分析;系統自動將日志信息分段截取，按照日期為文件夾，設備IP為文件名，保存為每臺網絡設備獨立檢測日志文件。

3.4網絡設備配置的對比及安全基線檢測

由于采集的配置信息內容過多，對于同一臺交換機所發生的細微的配置變化，人為的檢查過程耗時較長，因此通過系統的日志對比功能，可將同一設備的配置信息進行比較，當配置出現不一致時，配置變化所在行高亮顯示，使網絡管理員能夠快速地定位設備的配置變化。

系統具有網絡設備信息安全基線核查功能，通過安全基線檢測命令設置，可遍歷采集島的網絡設備配置信息，然后通過設備品牌類別進行自動匹配，給出網絡設備信息安全基線分析結果;系統可以按照文件或者文件夾批量地在配置文件中檢查相關的特征指令，給出相應的檢測結果，并可以快速定位至該配置文件的所在行，可用于檢查某一設備是否存在安全隱患的配置信息。

4結語

保障網絡資源的可用性以及網絡安全是當前網絡管理的核心內容，網絡設備的日常運行維護也由此變得尤為重要。網絡設備集中管理系統通過實現配置參數的自動采集、備份、分析、基線檢測等功能，為網絡管理人員對數量眾多的分布式網絡設備進行高效、規范以及實時性地管理提供了技術手段。該系統的應用在提高工作效率的同時，也帶來了新的安全隱患。因此，如何合理地利用系統，仍需要配套的管理制度或者管理措施加以規范利用，以提升其實際的應用價值。

參考文獻

[1] 黃凱瑄.網絡管理與發展[J]. 甘肅水利水電技術，2004（02）.