(国网宁夏电力公司固原供电公司 宁夏固原 756000)
摘要:随着信息技术的迅猛发展,网络技术的不断提高,在电力系统的运营中,网络规模越来越复杂多样,对网络配置监测与防护已经成为网络应用的重要部分。它作为网络管理的一部分,在设备配置的安全现状和变化趋势、漏洞和缺陷的专业检测等方面都具有重要的意义。
关键词:网络配置监测;防护;电力
随着电力行业对网络技术的大规模应用,传统网管系统的局限性已逐步体现出来。传统网管系统以网络拓扑、网络流量和网络设备监控为主要管理目标,并为此提供一系列管理工具和方法。网管系统对实时掌握网络运行状况,发生问题后及时定位和报警提供了有力的支撑。同时,我们也看到网管系统的局限性,例如,它主要解决了“事后”和部分“事中”的问题,而很难在“事前”避免隐患。
网络设备运行的核心是网络配置,网络配置安全检测与防护系统把重点放在了配置文件的实时智能分析上,也就是解决“事前”隐患发现和消除上。通过随时检测配置的安全漏洞和隐患,尤其是配置项之间交叉关联引起的复合性问题,可以在发生问题之前进行修正;通过漏洞标准化评级,可以优先重点处理危害程度严重的问题;其次,该系统还能够对发现的问题提供解决建议和具体方法(如具体的配置命令),这样普通网管人员就可以进行及时的修复操作,因而可以保证网络设备配置持续保持低风险的状态。网络配置检测与防护系统还能够建立跨设备和型号的标准化配置文档,不仅使网管人员更全面地掌握设备配置,还能够实现各设备配置之间的互相参考和校对;另外,网络配置检测与防护系统非常适合网络的分布式特性,为地市局的网络维护工作提供了强有力的技术保证,并能够为上级单位提供必要的汇总报告和信息。
若把传统网管系统与配置检测和防护系统结合,将能够强化“事前”、“事中”和“事后”全过程的网络管理,为网络各层次的维护管理提供先进的技术手段,使网络运行管理水平跃上一个新台阶。
1 .网络配置监测与防护系统电力企业中的使用目标
现有网络管理系统一般能够提供配置集中备份、恢复和配置原文件的差异比对等功能,在发生问题之后可以通过配置恢复或人工分析配置差异来对问题进行诊断,但无法掌握配置本身存在的问题和隐患。一方面通过配置回滚虽然可暂时恢复网络运行,但仍然可能带病运行;另一方面,网络设备配置日趋复杂,增加了如访问控制等新的配置项,加上配置文件本身没有反映大量默认配置,导致配置原文件的比对分析耗时、耗力,效果有限。网络配置安全检测与防护系统通过对网络配置漏洞和缺陷进行深度检测,评估问题的风险和影响,提出解决建议和方法,与传统网管系统“事后管理”的特点相比,能够实现网络运行的事前管理,消除隐患,避免出现问题。实际应用后,由于配置问题引起的网络性能和安全故障,可从90%降低到10%以下。
网络配置监测与防护系统可以实现以下目标:
1、减少网络故障和隐患
通过掌握设备配置安全漏洞和缺陷,及时修复,可以防患于未然,加强网络安全系数,提高网络的可用性。
2、实时掌握配置漏洞的现状和变化趋势
对网络设备配置进行实时检测,根据问题的影响、攻击难易程度、修复难易程度等综合评价漏洞的严重程度。跟踪配置变化并绘制漏洞严重程度的分布和趋势。
3、提供配置改进建议和方法
针对检测的每一个问题,提供问题的详细诊断和问题点,包括该问题的影响范围和后果,攻击者可能采取什么方式进行破坏,修复漏洞的建议和具体可使用什么配置命令四项内容。
4、建立标准化配置文档
全面涵盖设备的默认配置项和配置备份文件中的设置项,形成包含十二大类的标准化配置项文档,及时、准确、全面地反映设备的配置内容,形成不同厂牌、不同型号设备配置之间的互参考性。
5、实施、部署、日常使用简单、高效
避免改变现有环境和运维分工,提高市级范围内的IT管理效率。
2.网络配置监测与防护系统的实施方法
网络配置监测与防护系统的建设将与传统网管系统相结合,为网络各层次的维护管理提供先进的技术手段,及时、准确掌握各配置的安全问题,获取消除这类问题的建议和方法,建立跨品牌、跨型号的设备配置标准化文档,实现网络运行事前管理。
配置安全漏洞检查及配置风险和冲突的智能识别,不仅针对单个配置选项进行分析,还能处理各配置项之间复杂互相关联、影响的关系,自动完成分析和检测,找出潜在的安全风险和漏洞。扫除不健全、不安全的网络配置死角,确保数据大集中后地市分局网络的高可用性。
期刊文章分类查询,尽在期刊图书馆
网络配置监测与防护系统的研究重点为:
A、引入国际通用的CVSS2标准对网络配置进行即时安全评估
B、对每一个评估出的问题提供修复建议、方法和难度
C、在网络配置安全评估的基础上建立标准化配置文档
网络配置安全检测与防护系统包含一台服务器和一套配置安全检测与防护软件。
实施工作包括网络配置安全检测与防护系统的安装调试、网络设备开通、系统管理策略设置等三个部分。
网络配置安全检测与防护系统的安装调试
在局内网部署一台PC服务器,安装网络配置安全检测与防护系统软件。
设置用户帐号、密码、报警通道和报警接收邮箱及手机号等。
设置设备分组、设备型号对照表。
网络设备开通
采用系统提供的自动发现或批量导入的方式添加需要进行管理的网络设备,包括路由器、交换机、防火墙等。
设置设备的登录认证信息,测试并验证设备连通。
系统管理策略设置
设置系统自动检测的策略,按实际情况不同设备组或特定设备可采取不同的策略。可选择的策略有:
定时检测,可设置周期为按小时、天、周、月进行,以及检测起始时间等
条件检测,即当系统发现配置发生变化时进行检测
即时检测,由操作员手工按需进行检测
设置对设备、配置和事件的自定义查询条目,实现符合日常管理需要的个性化定制。
3.网络配置监测与防护系统的预期目标
网络配置监测与防护系统可实现以下预期目标:
1、设备配置的安全现状和变化趋势进行监测
随时掌握在网设备当前配置的安全现状以及变化趋势,为维护工作、修复措施和计划提供依据。
2、配置漏洞和缺陷的专业检测
提供配置安全漏洞检查及配置风险和冲突的智能识别,不仅针对单个配置选项进行分析,还能处理各配置项之间复杂互相关联、影响的关系,自动完成分析和检测,找出潜在的安全风险和漏洞,按照CVSS2标准进行评级,提供漏洞和问题的详细解释和影响。
3、配置修复建议和操作方法
对检测出的漏洞和问题,提供相应的修复建议和具体操作方法,使运维人员无需查阅手册就可以进行及时的修复操作。
4、原始配置全文搜索
可按关键字对原始配置文件进行全文搜索,方便快速定位问题涉及的设备和配置版本,全面掌握问题可能影响的范围并及时纠正。
5、置文档和报表
形成跨品牌、跨型号的设备配置标准化文档,涵盖了设备配置12个方面的设置情况,可随时查阅和打印。
6、实时报警
可针对网络配置安全检测结果灵活设置各种报警条件并随时激活或禁用它们。
4.结 语
通过对网络配置监测与防护系统的研究分析,可以看出目前配置监测与防护技术的进步十分迅速,正是由于网络的的讯速发展,配置监测与防护系统可以实现对设备配置的安全现状和变化趋势进行监测、配置漏洞和缺陷的专业检测等,从而更好的发现网络配置异常、有效掌握网络设备安全情况。
参考文献:
[1] 闫宏生, 王雪莉, 杨军.计算机网络安全与防护[M]. 北京: 中国电子工业出版社, 2007.
[2] 谢希仁.计算机网络(第4版)[M],北京:电子工业出版社,2003
[3] 朱理森,张守连.计算机网络应用技术[M],北京:专利文献出版社,2001.
论文作者:梁晓娜
论文发表刊物:《电力设备》2017年第15期
论文发表时间:2017/10/23
标签:网络论文; 系统论文; 防护论文; 设备论文; 漏洞论文; 网管论文; 网络设备论文; 《电力设备》2017年第15期论文;