方彬

(國網(wǎng)湖南信通公司，湖南長沙 410007)

0 引言

通信網(wǎng)管集約化指將分散在不同地點(diǎn)的通信網(wǎng)管服務(wù)器集中到統(tǒng)一地點(diǎn)并進(jìn)行統(tǒng)一運(yùn)維管理。目前，國家電網(wǎng)公司正在推進(jìn)一二級骨干傳輸網(wǎng)和三、四級骨干傳輸網(wǎng)的通信網(wǎng)管集約建設(shè)，目標(biāo)是為了切實提升骨干光傳輸網(wǎng)的本質(zhì)安全，徹底解決分散建設(shè)、集約管理手段不足的問題。其中，一二級骨干傳輸網(wǎng)的通信網(wǎng)管集約化是將公司各個分部的通信網(wǎng)管服務(wù)器及其附屬設(shè)施統(tǒng)一建設(shè)在國網(wǎng)總部機(jī)房，由國網(wǎng)總部統(tǒng)一運(yùn)維管理；三四級骨干傳輸網(wǎng)的通信網(wǎng)管集約是將分布各個地市公司的通信網(wǎng)管服務(wù)器及其附屬設(shè)施統(tǒng)一建設(shè)在其所屬省公司機(jī)房，由省公司統(tǒng)一運(yùn)維管理。建設(shè)完成后，國家電網(wǎng)公司原來的通信網(wǎng)管四級構(gòu)架，即“國網(wǎng)、分部、省公司、地市公司”變?yōu)椤皣W(wǎng)、省公司”兩級構(gòu)架。

通信網(wǎng)管集約化實現(xiàn)方式分成三步，第一步是在中心站集中建設(shè)各個通信系統(tǒng)、各類廠家的集中網(wǎng)管服務(wù)器；第二步是建設(shè)以中心站為中心、以分部或地市公司為外圍節(jié)點(diǎn)的星型網(wǎng)絡(luò)，專用于傳輸網(wǎng)管信息，連接網(wǎng)關(guān)網(wǎng)元和服務(wù)器，該網(wǎng)絡(luò)簡稱為網(wǎng)管網(wǎng)；第三步即將各個通信系統(tǒng)的網(wǎng)關(guān)網(wǎng)元接入到網(wǎng)管網(wǎng)的外圍節(jié)點(diǎn)，網(wǎng)管服務(wù)器接入到網(wǎng)管網(wǎng)的中心節(jié)點(diǎn)，各個網(wǎng)管服務(wù)器通過分權(quán)分域的方式來管理分布或地市公司的通信網(wǎng)元。因此，通信網(wǎng)管集約化的安全問題主要包含主機(jī)安全和網(wǎng)絡(luò)安全兩部分。目前，信息安全作為國家電網(wǎng)公司安全管理的重要組成部分，越來越受公司重視。而隨著信息技術(shù)發(fā)展，各類惡意攻擊、木馬病毒層出不窮。如何防范這些安全風(fēng)險，保障通信網(wǎng)管集約化的建設(shè)、運(yùn)維工作順利進(jìn)行，是一個值得研究的問題。因此，本文將從技術(shù)角度，全面剖析通信網(wǎng)管集約化工作中主機(jī)安全、網(wǎng)絡(luò)安全的技術(shù)要求，并提出相應(yīng)的解決辦法。

1 通信網(wǎng)管集約化主機(jī)安全的技術(shù)要求與措施

1.1 身份鑒別

身份鑒別可以分為兩個方面，主機(jī)身份鑒別和應(yīng)用身份鑒別。為了增強(qiáng)主機(jī)系統(tǒng)的安全性和保障各類應(yīng)用網(wǎng)管的正常運(yùn)行，應(yīng)該采取一系列的安全加固措施，常用措施包括：（1）根據(jù)主機(jī)和應(yīng)用網(wǎng)管的要求，設(shè)定不同的賬戶和賬戶組，包括管理員用戶、數(shù)據(jù)庫用戶、審計用戶、監(jiān)視員用戶等。（2）對登錄操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用網(wǎng)管系統(tǒng)、客戶端的用戶進(jìn)行認(rèn)證和鑒別，并要求確保用戶名的唯一性。（3）對操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用網(wǎng)管系統(tǒng)與客戶端配置用戶名、密碼。設(shè)置密碼策略，配置為周期性更改要求；防止弱口令存在，特別是對于采用靜態(tài)口令認(rèn)證技術(shù)的主機(jī)和應(yīng)用網(wǎng)管，口令長度至少8位，且密碼規(guī)程至少應(yīng)采用字母大小寫穿插加數(shù)字和特殊符號的方式。（4）對操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用網(wǎng)管系統(tǒng)與客戶端軍啟用登錄失敗處理功能，對失敗的登錄采取如下措施包括：終止會話鏈接、拒絕不合法登錄和鎖定賬戶等。（5）對于操作系統(tǒng)和應(yīng)用網(wǎng)管系統(tǒng)進(jìn)行遠(yuǎn)程管理時，必須啟用SSH和其他安全方式，并啟用管理數(shù)據(jù)加密來防止網(wǎng)絡(luò)的竊聽。（6）登錄操作系統(tǒng)和應(yīng)用網(wǎng)管系統(tǒng)時，應(yīng)該采用雙因子認(rèn)證和鑒別，包括使用USB秘鑰進(jìn)行認(rèn)證和身份鑒別。

身份鑒別的實現(xiàn)方式主要有：（1）主機(jī)身份鑒別可以通過在網(wǎng)管集約化的通信系統(tǒng)中安裝終端管控系統(tǒng)，通過該系統(tǒng)的準(zhǔn)入功能完成對主機(jī)身份認(rèn)證和鑒別。（2）對于應(yīng)用身份鑒別，如果應(yīng)用網(wǎng)管具備上述功能，則啟用其功能；如果應(yīng)用網(wǎng)管本身不具備某些安全要求，則應(yīng)該要求進(jìn)行相關(guān)開發(fā)來滿足這些身份鑒別的安全要求。此外，可以通過在網(wǎng)管集約化的通信系統(tǒng)中安裝一臺堡壘機(jī)，并設(shè)定用戶登錄需要通過堡壘機(jī)的認(rèn)證和應(yīng)用身份鑒別。

1.2 接入鑒權(quán)

對于網(wǎng)管集約化的應(yīng)用網(wǎng)管和主機(jī)而言，其通信網(wǎng)絡(luò)管理的一個重要要求是對接入鏈接實行強(qiáng)制接入管控，主要通過接入鑒權(quán)來實現(xiàn)。接入鑒權(quán)的重要內(nèi)容包括應(yīng)用網(wǎng)管文件系統(tǒng)的訪問控制、數(shù)據(jù)庫的接入控制和其他資源訪問控制，以防止相關(guān)資源被未授權(quán)地使用?？梢圆捎玫闹饕Ｓ么胧┌ǎ?）使能主機(jī)和應(yīng)用網(wǎng)管系統(tǒng)的接入控制功能，采用嚴(yán)格的安全接入控制策略，特別是對用戶訪問主機(jī)和應(yīng)用系統(tǒng)的文件系統(tǒng)、數(shù)據(jù)庫和其他資源按照設(shè)定的策略進(jìn)行控制，這些設(shè)定的控制策略的粒度應(yīng)該達(dá)到在用戶級別、文件級別乃至數(shù)據(jù)表級別。（2）操作權(quán)限控制。主機(jī)和應(yīng)用網(wǎng)管的接入控制規(guī)則應(yīng)該清晰地包含訪問者、被訪問的目標(biāo)和二者之間可以被許可的操作。按照可以完成相關(guān)任務(wù)的最小權(quán)限對不同用戶進(jìn)行授權(quán)，嚴(yán)格避免訪問授權(quán)范圍過大，并對用戶間的訪問關(guān)系進(jìn)行嚴(yán)格限制。如設(shè)定策略，防止遠(yuǎn)程用戶或非管理員用戶非法關(guān)閉網(wǎng)管服務(wù)器或應(yīng)用網(wǎng)管，防止低級別用戶非法獲取其權(quán)限以外的文件等。（3）采用嚴(yán)格的賬戶管理，對默認(rèn)賬戶的接入權(quán)限進(jìn)行嚴(yán)格的限制，對默認(rèn)賬戶進(jìn)行重命并更改默認(rèn)的訪問密碼。及時刪除或鎖定與設(shè)備運(yùn)行、維護(hù)等工作無關(guān)的賬戶，并且禁止使用來賓賬戶和共享賬戶。防止用戶從網(wǎng)絡(luò)或本地非法登錄主機(jī)或應(yīng)用網(wǎng)管，在組策略中嚴(yán)格限定賬戶登錄方式，如網(wǎng)絡(luò)登錄或本地登錄等，同時禁止用戶自動登錄主機(jī)或應(yīng)用網(wǎng)管等。

接入鑒權(quán)安全性的實現(xiàn)方式有：（1）主機(jī)接入鑒權(quán)制的實現(xiàn)主要采取兩種方式：采用安全操作系統(tǒng)，或?qū)Σ僮飨到y(tǒng)進(jìn)行安全增強(qiáng)改造，且使用效果要達(dá)到以上要求。（2）應(yīng)用網(wǎng)管系統(tǒng)訪問控制安全性可以通過在網(wǎng)管集約化的通信系統(tǒng)中安裝一臺堡壘機(jī)來完成，完成業(yè)務(wù)終端與服務(wù)器、數(shù)據(jù)庫等資源的隔離，實現(xiàn)對訪問用戶的授權(quán)和接入鑒權(quán)。

1.3 審計分析

通信網(wǎng)管集約化的主機(jī)和應(yīng)用網(wǎng)管系統(tǒng)中，審計功能應(yīng)該包含文件操作審計、外接設(shè)備操作審計、非法外聯(lián)審計、IP地址變更審計、服務(wù)審計和進(jìn)程審計等。主機(jī)和應(yīng)用網(wǎng)管應(yīng)該設(shè)置審計策略，記錄系統(tǒng)的重要日志，主機(jī)和應(yīng)用網(wǎng)管應(yīng)該配置日志功能，對用戶登錄進(jìn)行記錄，記錄內(nèi)容包括用戶登錄使用的賬號、登錄是否成功、登錄時間和遠(yuǎn)程登錄時的IP地址。審計范圍應(yīng)該覆蓋主機(jī)和應(yīng)用網(wǎng)管系統(tǒng)中的每個操作系統(tǒng)用戶和應(yīng)用網(wǎng)管系統(tǒng)用戶。審計內(nèi)容必須包含用戶的重要行為、對系統(tǒng)資源的不正當(dāng)使用、系統(tǒng)的重要命令和操作的使用、和系統(tǒng)中的重要安全事件等的審計。審計記錄應(yīng)該包含日期、時間、類型、主體、客體和事件結(jié)果。應(yīng)該對審計記錄進(jìn)行包含策略，防止被意外刪除、更改或者重寫覆蓋。同時，應(yīng)該支持根據(jù)審計記錄數(shù)據(jù)和通信分析，形成詳細(xì)的審計報表。此外，需要合理配置日志記錄策略，優(yōu)化系統(tǒng)日志記錄，防止日志溢出。

審計分析的實現(xiàn)方式主要有：（1）可以通過在網(wǎng)管集約化的通信系統(tǒng)中安裝終端管控系統(tǒng)，通過該系統(tǒng)的審計功能完成對主機(jī)和應(yīng)用網(wǎng)管的相關(guān)操作的審計。（2）可以通過在網(wǎng)管集約化的通信系統(tǒng)中部署主機(jī)審計服務(wù)系統(tǒng)來實現(xiàn)對主機(jī)的監(jiān)控、審計和相關(guān)系統(tǒng)管理功能。

1.4 入侵防護(hù)

對于通信網(wǎng)管集約化的主機(jī)的入侵防護(hù)，可以從多個方面進(jìn)行處置：（1）部署一套入侵檢測系統(tǒng)或防病毒軟件來執(zhí)行對主機(jī)入侵的進(jìn)行防護(hù)的安全組件，并及時更新病毒庫。（2）通過部署一套終端安全管理系統(tǒng)，并啟用補(bǔ)丁按時修復(fù)功能來及時更新主機(jī)的安全補(bǔ)丁。（3）主機(jī)操作系統(tǒng)的安裝應(yīng)該遵循服務(wù)最小化安裝的原則，只安裝必須的功能組件和應(yīng)用服務(wù)，將不必要的服務(wù)進(jìn)行關(guān)閉，并屏蔽業(yè)務(wù)無關(guān)的端口，修改遠(yuǎn)程訪問端口，并按公司特定要求進(jìn)行其它端口規(guī)范設(shè)置。（4）根據(jù)不同的系統(tǒng)類型，執(zhí)行相應(yīng)的安全加固措施，包括啟用主機(jī)的屏幕保護(hù)程序、設(shè)置遠(yuǎn)程登錄掛起時間、關(guān)閉默認(rèn)共享及權(quán)限設(shè)置，啟用數(shù)據(jù)保護(hù)配置、啟用防拒絕服務(wù)攻擊配置、啟用防止源路由欺騙攻擊設(shè)置。（5）設(shè)置好SNMP服務(wù)和同步時鐘服務(wù)，修改SNMP服務(wù)密碼，防止泄露系統(tǒng)信息。如需啟用SNMP服務(wù)，則修改默認(rèn)的SNMP團(tuán)體字符；設(shè)置時鐘同步，同步至公司內(nèi)部的時鐘服務(wù)等。

1.5 備份系統(tǒng)

為了實現(xiàn)主機(jī)和應(yīng)用網(wǎng)管的數(shù)據(jù)災(zāi)備和恢復(fù)，需要在通信網(wǎng)管集約化的系統(tǒng)中部署一套數(shù)據(jù)備份系統(tǒng)。數(shù)據(jù)備份系統(tǒng)應(yīng)該遵循穩(wěn)定性、綜合性、自動化、高性能、操作簡單和實時性等要求。備份系統(tǒng)應(yīng)具備足夠的功能來支持運(yùn)行穩(wěn)定、管理簡單、廣泛的設(shè)備兼容性和可靠的數(shù)據(jù)完整性保障。備份系統(tǒng)應(yīng)該能夠?qū)W(wǎng)管集約化的全系統(tǒng)提供一套比較寬泛的數(shù)據(jù)保護(hù)的功能選項和功能擴(kuò)展，并且具備相關(guān)高級功能，包括應(yīng)用網(wǎng)管系統(tǒng)和數(shù)據(jù)文件的在線實時數(shù)據(jù)備份，先進(jìn)的設(shè)備和介質(zhì)管理，快速和平穩(wěn)的災(zāi)備數(shù)據(jù)恢復(fù)，和支持光纖交換存儲。本地全數(shù)據(jù)備份應(yīng)該至少每天進(jìn)行一次，并對于離線方式的存儲介質(zhì)應(yīng)該妥善保管。備份系統(tǒng)提供遠(yuǎn)程數(shù)據(jù)備份功能，支持通過通信網(wǎng)絡(luò)周期性地和大批量地將關(guān)鍵數(shù)據(jù)備份到遠(yuǎn)程地址的備份服務(wù)器中。

1.6 資源管理

為了確保網(wǎng)管集約化的主機(jī)和應(yīng)用網(wǎng)管系統(tǒng)能夠正常為用戶提供服務(wù)，必須執(zhí)行資源管理功能，否則將導(dǎo)致資源耗竭、服務(wù)劣化甚至服務(wù)中斷。通過對主機(jī)和應(yīng)用網(wǎng)管進(jìn)行配置或部署資源管理應(yīng)用系統(tǒng)來達(dá)到資源管理目標(biāo)，其具體功能應(yīng)該包括：（1）自動切斷會話功能，即當(dāng)主機(jī)或應(yīng)用網(wǎng)管的鏈接的某個通信方在設(shè)定的時間內(nèi)沒有反應(yīng)，另一個通信方應(yīng)該能檢測到并自動終止該通信鏈接，以釋放資源。（2）限制鏈接數(shù)功能，包括限制一個應(yīng)用網(wǎng)管系統(tǒng)的最大并發(fā)會話鏈接數(shù)，限制某段時間內(nèi)的最大并發(fā)會話鏈接數(shù)，限制單個用戶可能的并發(fā)鏈接數(shù)等，并設(shè)置合理的門限，以保障系統(tǒng)的可達(dá)性。（3）登錄條件限制功能，設(shè)置終端登錄模式、IP地址范圍和其它條件等限制終端登錄，并根據(jù)設(shè)定的安全策略來啟用超時鎖定終端登錄等功能。（4）用戶可用資源的門限配置功能，限制某個系統(tǒng)資源可被單個用戶使用的最大或最小的使用量門限，以保障正常的資源運(yùn)行和合理的資源占用。（5）重要服務(wù)器的資源監(jiān)控功能，包括對CPU、硬盤和內(nèi)存等的監(jiān)控。當(dāng)系統(tǒng)的服務(wù)水平到達(dá)預(yù)定的最小值時能進(jìn)行檢測和告警。（6）服務(wù)優(yōu)先級配置功能，能根據(jù)不同接入賬戶或訪問進(jìn)程設(shè)置資源訪問優(yōu)先級，并根據(jù)資源優(yōu)先級進(jìn)行系統(tǒng)資源分配。

2 通信網(wǎng)管集約化網(wǎng)絡(luò)安全的技術(shù)要求與措施

2.1 網(wǎng)絡(luò)用戶行為監(jiān)視與審計

網(wǎng)絡(luò)安全審計系統(tǒng)主要用于監(jiān)視和記錄網(wǎng)絡(luò)中的各類操作、偵測系統(tǒng)中已經(jīng)存在和潛在的各類威脅、各類外部和內(nèi)部網(wǎng)絡(luò)安全事件的實時綜合分析。通過在網(wǎng)管集約化的系統(tǒng)中部署網(wǎng)絡(luò)用戶行為監(jiān)視和審計系統(tǒng)來監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)流與執(zhí)行相應(yīng)的安全審計。同時，該系統(tǒng)應(yīng)該提供中心化的安全管理功能，和其他網(wǎng)絡(luò)安全組件一起對數(shù)據(jù)流進(jìn)行監(jiān)控。網(wǎng)絡(luò)用戶行為監(jiān)視和審計系統(tǒng)擁有獨(dú)立的網(wǎng)絡(luò)數(shù)據(jù)感知硬件組件，并部署在網(wǎng)管集約化系統(tǒng)中的網(wǎng)絡(luò)中心節(jié)點(diǎn)。分析網(wǎng)絡(luò)數(shù)據(jù)包，根據(jù)特定協(xié)議算法來匹配和分析，以此來實現(xiàn)網(wǎng)絡(luò)審計功能，包括入侵檢測、信息檢索等，并通過審計記錄產(chǎn)生詳細(xì)的審計報表。網(wǎng)絡(luò)用戶行為監(jiān)視和審計系統(tǒng)采用旁路路由技術(shù)，不需要在目標(biāo)主機(jī)中安裝任何組件。同時，網(wǎng)絡(luò)審計系統(tǒng)能夠與網(wǎng)絡(luò)安全組件進(jìn)行協(xié)同，發(fā)送監(jiān)控記錄給安全管理域中的安全管理服務(wù)器，從而能夠更好地檢測和分析網(wǎng)絡(luò)異常、網(wǎng)絡(luò)攻擊和病毒。

2.2 網(wǎng)絡(luò)設(shè)備安全加固

為提高網(wǎng)管集約化系統(tǒng)的網(wǎng)絡(luò)設(shè)備的安全性，確保各類應(yīng)用網(wǎng)管的正常網(wǎng)絡(luò)操作，應(yīng)該采用一系列的安全加固措施，常用措施包括：（1）應(yīng)對不同的用戶分配不同的賬號，避免不同用戶間賬號共享。原則上應(yīng)采用預(yù)定義級別的授權(quán)方法，實現(xiàn)對不同用戶的權(quán)限控制，滿足最小授權(quán)要求，并禁用無關(guān)賬號。（2）通過ACL等限制網(wǎng)絡(luò)設(shè)備登錄的管理員賬戶的登錄地址。（3）身份識別信息應(yīng)該不能被輕易破解，密碼長度至少8位，包括數(shù)字、大寫字母、小寫字母和特殊符號，配置策略自動拒絕用戶設(shè)置不符合復(fù)雜度要求的密碼，并且配置周期性更改要求。（4）應(yīng)該具備登錄失敗處理功能。登錄失敗后，網(wǎng)絡(luò)設(shè)備應(yīng)該采取措施包括終止會話、拒絕非法登錄、鎖定賬戶和登錄超時后自動終止網(wǎng)絡(luò)登錄。（5）使能SSH和其它管理方法來對傳輸數(shù)據(jù)進(jìn)行加密防止網(wǎng)絡(luò)竊聽。（6）關(guān)閉網(wǎng)絡(luò)設(shè)備未使用的管理口如AUX口，關(guān)閉沒有開啟業(yè)務(wù)的端口，對console口配置符合密碼安全要求的密碼。（7）對VTY端口進(jìn)行設(shè)置，限制VTY口的數(shù)量，設(shè)定VTY口的防護(hù)策略，避免由于惡意攻擊或者錯誤操作導(dǎo)致VTY端口失常。（8）關(guān)閉不必要的服務(wù)，如CDP、DNS lookup、DHCP、finger、udpsmall-server、tcp-small-server、http、bootp、ip源路由、PAD等。采用最小化服務(wù)原則，網(wǎng)絡(luò)設(shè)備對外提供的所有服務(wù)都要配置登錄賬號，通過賬號進(jìn)行控制，只允許ACL里面permit的主機(jī)才能訪問。（9）在設(shè)備上進(jìn)行安全策略配置，對各種MAC地址表攻擊、ARP工資、Vlan攻擊、STP攻擊、DHCP攻擊進(jìn)行防護(hù)。設(shè)置安全訪問控制列表，過濾掉已知的安全攻擊數(shù)據(jù)包，如udp 1434端口（防止SQL slammer蠕蟲）、tcp 445、5800、5900（防止Della蠕蟲）等。

2.3 網(wǎng)絡(luò)安全接入

為了確保網(wǎng)絡(luò)邊界的完整性，不僅需要執(zhí)行非法外聯(lián)阻斷，也需要監(jiān)視和阻斷非法接入，以網(wǎng)絡(luò)的可信接入和相互保障邊界完整性?？梢酝ㄟ^部署終端安全管理系統(tǒng)來實現(xiàn)這項功能。終端安全管理系統(tǒng)的一個重要功能組件是網(wǎng)絡(luò)接入控制，提供網(wǎng)絡(luò)阻塞功能包括阻塞ARP干擾功能和802.1x協(xié)議鏈接。系統(tǒng)的監(jiān)控臺將能快速反應(yīng)非法接入的告警，其告警信息內(nèi)容包含非法接入訪問的IP地址、非法訪問的目標(biāo)IP和網(wǎng)絡(luò)中其他外部主機(jī)的非法行為。系統(tǒng)能夠?qū)崟r根據(jù)接入用戶信息和訪問主機(jī)信息匹配的方法來確定接入主機(jī)的合法性，能及時阻止IP地址的冒用和非法使用，并聯(lián)合保障通信網(wǎng)管管理系統(tǒng)網(wǎng)絡(luò)邊界的完整性。具體的功能包括：（1）在線主機(jī)監(jiān)測功能，能夠通過監(jiān)視和活動性檢查來檢測系統(tǒng)中所有的在線主機(jī)，能夠判斷系統(tǒng)中的某個在線主機(jī)是否已經(jīng)授權(quán)為可信任。（2）主機(jī)授權(quán)與認(rèn)證功能。終端安全管理系統(tǒng)對于接入服務(wù)器的主機(jī)的授權(quán)與認(rèn)證，可以通過聯(lián)合是否安裝網(wǎng)管客戶端、是否安裝特定補(bǔ)丁、是否安裝防病毒軟件、主機(jī)工作運(yùn)行狀態(tài)和其它信息來進(jìn)行，僅允許認(rèn)證主機(jī)使用網(wǎng)絡(luò)資源。（3）非法主機(jī)的網(wǎng)絡(luò)阻塞功能。終端安全管理系統(tǒng)對于檢測到的非法主機(jī)，能夠及時地阻止其訪問任何網(wǎng)絡(luò)資源，確保其不能有意或無意地對網(wǎng)絡(luò)進(jìn)行攻擊或盜取密碼。（4）IP和MAC地址綁定管理功能，通過綁定IP和終端的MAC地址，禁止用戶更改其IP和MAC地址，如果發(fā)生更改情況，能夠在終端安全管理系統(tǒng)中產(chǎn)生相關(guān)告警。

2.4 網(wǎng)絡(luò)設(shè)備統(tǒng)一日志管理

通過在網(wǎng)管集約化的系統(tǒng)中部署日志管理系統(tǒng)來實現(xiàn)各種格式日志的統(tǒng)一管理功能。對用戶登錄日志和用戶操作日志進(jìn)行記錄和審計，記錄和審計范圍應(yīng)包括但不限于：用戶登錄方式、使用的賬號名、登錄是否成功、登錄時間、以及遠(yuǎn)程登錄時用戶使用的IP地址；賬號創(chuàng)建、刪除和權(quán)限修改，口令修改，設(shè)備配置修改，執(zhí)行操作的行為和操作結(jié)果等。通過SNMP、SYSLOG或者其他的日志接口來搜集管理目標(biāo)設(shè)備的日志信息，并將其轉(zhuǎn)為統(tǒng)一的日志格式，從而進(jìn)行統(tǒng)一的管理、分析和告警。日志管理系統(tǒng)能夠自動完成日志數(shù)據(jù)的格式分析和分類，提供日志數(shù)據(jù)存儲、備份、恢復(fù)、導(dǎo)入導(dǎo)出和其他操作功能。日志管理系統(tǒng)應(yīng)支持日志的分散、分層管理，下層管理節(jié)點(diǎn)的日志數(shù)據(jù)可以發(fā)送到上一級的日志管理節(jié)點(diǎn)來進(jìn)行集中管理。日志管理系統(tǒng)的軟件能夠?qū)崟r監(jiān)控收到事件的狀態(tài)，如當(dāng)前日志列表、系統(tǒng)風(fēng)險狀態(tài)等。在執(zhí)行事件狀態(tài)監(jiān)控的同時，通過對設(shè)備和網(wǎng)絡(luò)的相關(guān)參數(shù)進(jìn)行檢查來確定設(shè)備和網(wǎng)絡(luò)當(dāng)前狀態(tài)。日志監(jiān)控應(yīng)支持實時的日志數(shù)據(jù)流、系統(tǒng)風(fēng)險和其他趨勢的監(jiān)控，并通過圖表形式展示。

2.5 網(wǎng)絡(luò)運(yùn)行監(jiān)控管理

通過部署網(wǎng)絡(luò)安全管理平臺來執(zhí)行集中的網(wǎng)絡(luò)通信監(jiān)控和告警管理。支持對網(wǎng)絡(luò)設(shè)備和安全設(shè)備的集中監(jiān)控、及時告警、安全事件管理、安全策略管理、安全操作和全網(wǎng)的維護(hù)。網(wǎng)絡(luò)安全管理平臺可以對各個安全域設(shè)備提供靈活的策略模式，來實現(xiàn)安全域內(nèi)的設(shè)備信息搜集和處理。同時，安全管理平臺的安全域內(nèi)部署設(shè)備管理系統(tǒng)和控制臺，通過與每個事件服務(wù)器組件或安全設(shè)備通信，來實現(xiàn)對整個網(wǎng)絡(luò)的全局監(jiān)控。管理員可以在安全管理域的控制臺集中推送和設(shè)定設(shè)備的告警策略。同時，安全管理平臺的監(jiān)控能夠處理告警信息。安全管理平臺支持可視化，能在拓?fù)鋱D上清晰展示網(wǎng)絡(luò)關(guān)鍵屬性和實時運(yùn)行狀態(tài)。

3 結(jié)語

通信網(wǎng)管集約化作為公司提升通信系統(tǒng)運(yùn)維安全和可靠性的重要舉措，正處在規(guī)劃和建設(shè)的重要階段。通信網(wǎng)管作為通信設(shè)備的管理中心，其安全性在通信系統(tǒng)的建設(shè)與運(yùn)維過程中舉足輕重。本文旨在分析當(dāng)前通信網(wǎng)管集約化在建設(shè)、運(yùn)維中需要注意的安全要求，從技術(shù)的可行性角度給出相關(guān)安全要求的實施措施，以提升通信網(wǎng)管集約化的主機(jī)安全和網(wǎng)絡(luò)安全水平，是對通信網(wǎng)管集約化安全工作的一次有益探索。