(国网安徽省电力公司省信息通信分公司 安徽 安庆 246001)
摘要:随着公司信息化的快速发展,信息化业务不断增加,造成公司基础网络设施的数量急剧增加、网络规模不断扩大,对公司网络运维和安全防护提出更高的要求。目前公司基本采用手工方式对网络设备进行安全督查,在安全督查过程中,存在安全督查内容不全面、安全督查效率低下、督查标准不统一以及无法跟踪整改情况等,为了进一步提升安全督查效率以及公司网络整体安全防护水平,迫切需要开发网络设备自动安全督查及整改工具,提升对网络设备安全督查、整改工作的自动化水平及工作效率。
关键字: 信息外网、路由接入、无线接入、代理检测、安全追踪
分类号: 文献标志码:
1.引言
随着公司信息化的快速发展,信息化业务不断增加,造成公司基础网络设施的数量急剧增加、网络规模不断扩大,对公司网络运维和安全防护提出更高的要求。公司运维人员在日常网络设备安全管理、安全督查过程中存在主要问题如下:
1、安全督查及自查整改目标不全面:由于人工检查效率偏低,导致在对大规模网络设备进行安全督查时,大多采用抽查的方式对核心设备进行安全督查,难以真正全面掌握公司所有网络设备的安全性、完整性和边界隔离性的实际状况。
2、检查效率低下,自动化程度不足:现阶段对网络设备配置的督查及自查整改,大多依赖有经验的技术人员手动登录网络设备进行检查,既耗费大量的时间和人力,又无法保证检查结果准确性。
3、检查标准不统一,规范性不足,导致检查结果不全面:运维人员在对网络设备安全进行安全督查室,没有统一的检查安全基线标准进行参照,无法真实、全面的反映公司网络设备安全配置情况。
4、整改监督不到位:运维人员对安全问题进行整改后,没有工具进行回归性测试,纯粹靠人工判断是否整改完成,无法快速有效的判断是否整改完成。
2.原理及功能
该辅助运维工具的工作原理主要有五部分:
1)收集信息网络设备信息;2)根据检查规范建立标准安全督查检查项;3)根据预置标准检查项自动登陆网络设备进行检查,并将检查结果以网页或者表格的方式进行呈现;4)针对督查不合规的网络设备设备配置工具提供一键整改功能;5)工具提供整改校验功能,针对整改完成的网络设备进行再次校验,验证是否整改完成;工作原理如下图所示。
图1 工具原理图
(1)工具是通过ssh协议登陆网络设备进行配置抓取。
(2)工具登录网络设备成功后,提取网络设备所有配置后,根据预设置检查项,进行检测。
(3)针对督查不合规的网络设备设备配置工具提供一键整改功能。
工具基于C/S模式开发,工具的功能模块包括检测交换机维护,检测项维护,流程如下:
1、交换机维护
基础数据维护,包括增加、修改、删除以及导入功能,维护的交换机信息包括设备类型,IP地址,用户名,密码,管理员密码等。
2、检测项维护
检测项的维护,包括维护项目名称,检测设备类型,检测规则,备注等信息。
3、检测结果展示
对单个或者批量交换机进行检测,并可导出检测结果。通过选择交换机以及检测项,根据选择的检测项和规则对所选交换机进行安全设置检测,发现不合规的检测项立即进行记录并保存至数据库,最后以列表的方式呈现检测结果。
4、一键自动整改
工具提供一键整改不合规安全配置功能,针对督查不合规的网络设备配置工具提供一键整改功能,并将整改结果保存至数据库,供运维人员查看。
3.总结
通过对该工具的研究和使用,实现了对公司300余台信息网络设备的自动化安全配置检查管理,统一了检查标准,对具体设备进行有效的整改和加固,整体提高了网络设备的安全基线。同时通过该工具的使用,提高了网络设备的配置检查效率,增强了信息设备和网络的安全性。
参考文献:
[1] 熊春山,黄心汉.交换式设备和网络的安全缺陷与改进措施[J].计算机工程, 2000,26(10):60-61.
[2] 邢静宇.电力信息网络节点安全检测和评估技术研究[D].北京邮电大学,2015.
[3] 皮建建,郭燕慧.网络设备安全配置基线自动化核查工具的实现[J].2013.
论文作者:吴丽莎、张凯、冯驰、邵云蛟、程轶红
论文发表刊物:《科技新时代》2018年11期
论文发表时间:2019/1/10
标签:网络设备论文; 督查论文; 工具论文; 公司论文; 交换机论文; 网络论文; 功能论文; 《科技新时代》2018年11期论文;