安徽省計量科學研究院 譚德建

引言：隨著網(wǎng)絡的不斷發(fā)展,網(wǎng)絡管理技術越來越受到人們的重視。本文通過企業(yè)網(wǎng)絡現(xiàn)狀分析與需求闡述了網(wǎng)絡閉環(huán)管理與安全審計系統(tǒng)的重要性，詳細分析并設計出網(wǎng)絡閉環(huán)管理與安全審計系統(tǒng)架構，進而提出該系統(tǒng)應用取得的成果。

安全管理是網(wǎng)絡管理的一部分，但隨著人們對網(wǎng)絡安全的日益重視；安全管理被人們單獨分離出來作為一個獨立的網(wǎng)絡運行要素來看。從防火墻到IDS，安全管理逐漸向自動化智能化的方向發(fā)展，強調網(wǎng)絡安全技術的同時，也越來越強調安全管理。但安全是一個動態(tài)的概念，越來越多的人認識到如何建立一個能夠與網(wǎng)絡環(huán)境相適應的并能夠隨之發(fā)展的的安全系統(tǒng)，遠比購買昂貴的安全設備更有利于網(wǎng)絡安全。

當前主要的網(wǎng)絡管理技術是通過SNMP協(xié)議對被管理設備的MIB庫進行輪詢以獲取信息，或者通過SNMP協(xié)議對被管理設備進行設置；雖然相關組織后來在SNMP的協(xié)議基礎上規(guī)定了信息的協(xié)議，但由于各個設備廠商各自的利益等原因一致沒有得到全面的支持，而各個設備廠商各自為政也成為網(wǎng)絡管理難以形成一個通用的平臺的主要原因。當前SNMP協(xié)議依然是網(wǎng)絡管理技術中的主要技術手段。

現(xiàn)狀分析

公司網(wǎng)絡覆蓋面廣，幾乎所有部門或樓宇都接入了網(wǎng)絡，隨著公司的發(fā)展對網(wǎng)絡的依賴日益加強。因此對網(wǎng)絡的穩(wěn)定性、可管理性和安全性等方面的要求必然越來越高。根據(jù)現(xiàn)場實際情況，可歸納網(wǎng)絡結構，如圖1所示。

公司各部門或樓宇都是一個或多個子網(wǎng)，多子網(wǎng)通過多條鏈路連接到中心機房核心交換機。這雖然提高了網(wǎng)絡的可靠性，但另一方面對于網(wǎng)絡也增加了網(wǎng)絡的結構的復雜性，削弱了網(wǎng)絡的可管理性。隨著網(wǎng)絡的不斷發(fā)展，網(wǎng)絡環(huán)境中各種網(wǎng)絡設備越來越多，公司缺乏合適的網(wǎng)絡監(jiān)管軟件，對于網(wǎng)絡的流量情況、通斷情況、設備運行狀況等不能實時了解，出現(xiàn)故障和問題難以快速確定維護目標；而大量的設備通過人為手動的管理，通常費時費力難以達到好的效果。導致信息中心在網(wǎng)絡管理方面處于比較被動的地位。

圖1 網(wǎng)絡架構圖

網(wǎng)絡攻擊手段繁多，通過防火墻、IDS等技術手段實時過濾或阻斷需要豐富的網(wǎng)絡經(jīng)驗，且價格昂貴，使用效果往往不好。通過對網(wǎng)絡攻擊的防范的調查和資料來看，大部分網(wǎng)絡攻擊是可以通過分析設備日志來得到及時的了解和確定。而且對日志的及時查看和分析也是發(fā)現(xiàn)網(wǎng)絡攻擊現(xiàn)象，定位取證必不可少的環(huán)節(jié)。如果能保存好設備日志，并作及時的分析整理，就能很好的反映出網(wǎng)絡的動態(tài)運行狀態(tài)，同時也就極大地提高了網(wǎng)絡的安全性能。但由于網(wǎng)絡中設備眾多，依靠人為的方式進行收集分析和整理，必然效率低下難以堅持，導致信息中心對來至公司內部的網(wǎng)絡攻擊難以發(fā)現(xiàn)。

安全日志管理：

充分利用公司已有的安全手段，做好及時防范和杜絕攻擊。本系統(tǒng)著重解決安全日志的轉貯，以便集中管理、查詢取證，并提供給分析模塊進行安全分析。

安全分析需求：

及時掌握關鍵設備的安全狀況；及時發(fā)現(xiàn)網(wǎng)絡中的攻擊現(xiàn)象；出現(xiàn)問題時要有可靠的日志記錄便于查詢和取證。對于已知攻擊能及時報警，對于未知的攻擊最大限度的反映，提高發(fā)現(xiàn)攻擊的可能。從而為提高或變更安全策略提供系統(tǒng)輔助決策數(shù)據(jù)。

網(wǎng)絡結構與資源管理：

能夠及時對網(wǎng)絡結構與資源進行管理，改變過去只在架上有編號管理，在系統(tǒng)中卻看不出到的問題，從而為網(wǎng)絡運維管理提供資源查詢、實施指導和變更管理等功能，從而提高運維管理的規(guī)范性、透明性和工作效率。

搜索引擎：

為安全日志提供自由搜索引擎，該引擎可以通過配置，實現(xiàn)對公司其他網(wǎng)站信息進行搜索。

系統(tǒng)架構

系統(tǒng)由數(shù)據(jù)日志采集服務、數(shù)據(jù)分析服務、配置管理服務、圖形繪制服務、Web服務和報警服務等組成。

數(shù)據(jù)日志采集服務主要負責被管理對象數(shù)據(jù)的定時獲取，并存儲在數(shù)據(jù)庫中。

數(shù)據(jù)分析服務主要將收集到的數(shù)據(jù)進行解析；將數(shù)據(jù)格式化并轉化為更易懂更明確的數(shù)據(jù)格式。

配置管理服務主要負責添加被管理的對象，配置管理整個系統(tǒng)的各項參數(shù)和頁面布局管理。

圖形繪制服務主要負責將數(shù)據(jù)圖形化，并提供圖形定制功能，可以根據(jù)需要調整圖形的顏色和顯示屬性。

Web服務主要負責整個系統(tǒng)的Web顯示，使得使用者通過頁面能夠方便的使用系統(tǒng)察看監(jiān)控結果。

報警服務主要負責提供給使用者設置報警條件，并根據(jù)條件判斷報警事件產(chǎn)生報警信息。

1.系統(tǒng)結構

數(shù)據(jù)采集系統(tǒng)：如圖2所示，主要負責定時輪詢被管理的設備和獲取安全日志，并負責把它們按照一定的規(guī)則保存到數(shù)據(jù)庫或文件系統(tǒng)中。

分析系統(tǒng)：主要負責將采集的數(shù)據(jù)作二次轉換，使之成為能夠直接被繪圖系統(tǒng)和安全檢測系統(tǒng)直接使用的數(shù)據(jù)。

圖2 系統(tǒng)結構部署

圖3 對服務器端口流量的監(jiān)控圖

應用系統(tǒng)：主要負責組織數(shù)據(jù)的顯示方式，使分散的數(shù)據(jù)能夠形成內在的邏輯聯(lián)系，將網(wǎng)絡運行的內在聯(lián)系邏輯展示出來。

2.網(wǎng)絡監(jiān)管系統(tǒng)設計

流量監(jiān)測子系統(tǒng)：

通過定期運行的數(shù)據(jù)采集程序，通過SNMP協(xié)議定期掃描需要管理的設備的各端口的流量情況，將收集到的數(shù)據(jù)分析整理，繪制成圖使得能通過網(wǎng)頁直觀的看到各端口的流量狀況。將各種端口監(jiān)控的SNMP對象格式化固定下來，使得用戶配置使只需輸入要監(jiān)控設備的IP地址即可，設置需要監(jiān)控設備要監(jiān)控的對象，5分鐘后就可以方便的看到監(jiān)控效果，如圖3所示。

設備監(jiān)測子系統(tǒng)：

通過定期運行的數(shù)據(jù)采集程序，通過SNMP協(xié)議定期掃描需要管理的設備的運行情況，將收集到的數(shù)據(jù)分析整理，繪制成圖使得能通過網(wǎng)頁直觀的看到各設備的運行狀況。將各種設備監(jiān)控的對象格式化固定下來，使得用戶配置使只需輸入要監(jiān)控設備的IP地址，設置需要監(jiān)控設備要監(jiān)控的對象，5分鐘后可方便的看到監(jiān)控效果。

網(wǎng)絡拓撲管理子系統(tǒng)：

在完成流量監(jiān)控的前提下，通過網(wǎng)絡拓撲結構的幫助，能夠在整體上反映出網(wǎng)絡的運行狀況，從而及時發(fā)現(xiàn)網(wǎng)絡的故障點。

報警：

在流量監(jiān)控和設備監(jiān)控的基礎上，為管理的對象設定一些閥值，一旦監(jiān)控到的對象超過所設定的閥值就可以產(chǎn)生報警信息，以便于提前發(fā)現(xiàn)故障點和問題來源；避免了出現(xiàn)問題再解決的情況，如圖4所示。

3.安全審計系統(tǒng)設計

日志采集：

定期將要管理設備的日志，通過FTP等各種方式集中保存到日志采集系統(tǒng)中。

自動分析：

按設計好的格式針對不同的日志格式進行有針對性的分析，并將分析結果形成更明確易懂的日志信息，發(fā)現(xiàn)日志之間的內在聯(lián)系，產(chǎn)生有效的提示或報警信息。

自動報警：

在分析的基礎上，按照指定好的報警規(guī)則，按照報警信息的類別和優(yōu)先級別；通過不同的方式，告知信息中心；使得信息中心能及時發(fā)現(xiàn)網(wǎng)絡中不正常的現(xiàn)象并采取相應的措施。

安全審計報告：

根據(jù)自動分析和報警進行對應處理，提交安全審計報告。

4.資源管理系統(tǒng)設計

網(wǎng)絡結構管理：

圖4 結合流量的網(wǎng)絡局部拓撲結構

能夠及時對網(wǎng)絡結構進行管理，從而為網(wǎng)絡運維管理提供結構查詢、實施指導和變更管理等功能，從而提高運維管理的規(guī)范性、透明性和工作效率。

網(wǎng)絡資源管理：

能夠及時對網(wǎng)絡資源進行管理，改變過去只在架上有編號管理，在系統(tǒng)中卻看不出到的問題，從而為網(wǎng)絡運維管理提供資源查詢、實施指導和變更管理等功能，從而提高運維管理的規(guī)范性、透明性和工作效率。

搜索引擎：

為安全日志提供自由搜索引擎，該引擎可以通過配置，實現(xiàn)對公司其它網(wǎng)站信息進行搜索。

5.設備購置部署方案

服務器一臺，安裝Oracle數(shù)據(jù)庫、安全審計系統(tǒng)、Web服務、數(shù)據(jù)采集系統(tǒng)，配置采集點地址。

客戶程序部署在關鍵服務器、工作站以及防火墻等設備，支持SNMP協(xié)議，實現(xiàn)數(shù)據(jù)采集和資源自動報送。

6.網(wǎng)絡系統(tǒng)配置方案

數(shù)據(jù)日志采集設備最好有兩塊網(wǎng)卡，一塊能鏈接到核心設備上。另一塊接到內部的交換機上和其他系統(tǒng)相連，這樣可以充分保護系統(tǒng)的安全。

7.系統(tǒng)安全解決方案

只有采集系統(tǒng)接入企業(yè)網(wǎng)設置可以被企業(yè)網(wǎng)內部設備訪問到的IP地址，其他部分可以只在信息中心內部訪問。并且系統(tǒng)只需開放特定端口，也有權限管理系統(tǒng)，系統(tǒng)的安全能夠得到保障。

預期應用效果

整個企業(yè)網(wǎng)絡運行狀況將有一個直觀的圖形化的表示，使網(wǎng)絡運行狀況一目了然；可及時發(fā)現(xiàn)網(wǎng)絡故障問題，性能瓶頸；網(wǎng)絡安全漏洞攻擊現(xiàn)象變得更容易發(fā)現(xiàn)。能夠提高企業(yè)網(wǎng)絡的穩(wěn)定性，可管理性和安全性。實現(xiàn)規(guī)范、高效、透明的網(wǎng)絡管理。