1. 程式人生 > 其它 >基於智和網管平臺的網路安全運維解決方案

基於智和網管平臺的網路安全運維解決方案

摘 要隨著網際網路逐漸普及,物聯網、大資料、雲端計算等技術飛速發展,網路安全時刻面臨嚴峻威脅。各企事業單位對網路運維的需求進一步加強,卻面臨著如裝置多、型號雜、廠家不統一等運維難題,因此在搭建網路安全運維平臺時普遍要求平臺具有高可用性、高可靠性、高擴充套件性及穩定的安全架構。同時,在新政策指引下,國產軟硬體對進口軟硬體的替代趨勢加劇,也要求網路安全運維平臺深入國產化部署,自主研發、安全可控。針對網路安全運維現狀與面臨的威脅,通過對智和網管平臺的分析,研究網路安全運維平臺實施部署的有效措施,以提高網路運維效率,確保網路執行安全。 

關鍵詞網路安全:網路運維:安全架構:網管平臺:安全可控

隨著資訊科技的快速發展及網路應用的廣泛普及,企業在享受網路技術帶來便利的同時,也受到日益嚴重的網路安全威脅。未來,企業資訊系統 規模和複雜程度將不斷增大,對資訊通訊技術的應用也將不斷深入,網路安全運維將成為愈發突出的問題。

一、網路安全運維面臨的主要問題

隨著企業資訊化的發展不斷深入,其日常生產經營管理與網路和資訊化結合日趨緊密,對網路和資訊系統的依賴程度越來越高。目前,企業普遍存在網路安全運維難題。

(一)網路結構複雜,搭建缺乏明確規劃

一方面是地理上的隔離,一企業多地辦公造成內部網路異地部署:另一方面,企業辦公網路和生產網路混雜,網路結構不清晰。

(二)網路安全運維物件繁雜

網路運維物件多為伺服器、交換機、路由器、安全裝置、通訊裝置、視訊監控裝置及軟體服務等。有數百家廠商生產不同規格、不同型號的軟硬體產品,需要進行大量適配工作。

(三)運維物件存在品牌異構及協議差別,難以統一運維

裝置配置介面差異大,管理員難以快速熟悉各家產品的操作介面及操作指令,統一配置裝置策略成為難題。

(四)核心技術存在短板,對國外產品存在依賴

與歐美髮達國家相比,我國資訊科技發展仍存在空白點,部分重要軟硬體產品仍依賴國外,缺乏自主可控的資訊科技產業鏈。

(五)網路安全人才不足

同與日俱增的網路安全需求相比,在專業人才的培養方式上存在短板,專業性、複合型網路安全人才短缺。

二、主要應對措施

基於網路發展未來趨勢及網路安全運維的整體目標,針對當前網路安全運維中存在的問題,各企事業單位可從構建國產化網路運維體系、減少人力運維依賴出發,應對當前存在的網路安全運維難題。主要措施包括:推進國產軟硬體產品替代國外產品;打造網路安全管控平臺和態勢感知與監測預警平臺,使網路安全運維協同化、視覺化、規範化;針對性建設網路安全運維體系,持續進行體系優化。

三、網路安全運維平臺架構

構建全天候、全方位網路安全運維平臺,將人工運維轉化為自動運維,將被動維護轉化為主動維護,將單點監控轉化綜合監測,提高態勢感知、風險監測、故障告警、大資料分析等能力。通過採集伺服器、交換機、中介軟體、防火牆、應用系統等裝置的資料及日誌資訊,進行實時監控,動態展現,對全網資訊進行跨地域、跨網段、跨裝置的全維度視覺化監測:主動監測和發現網路異常事件,實時告警,提高風險防範和監測預警能力。網路安全運維平臺架構如圖1所示。

 

 

圖1 網路安全運維平臺架構

四、基於智和網管平臺的網路安全運維解決方案

網路已融進生活與生產建設的每個角落,對企業生產、公司管理乃至軍事國防都產生重要影響,因此網路安全運維尤為重要。本文以北京智和信通技術有限公司的智和網管平臺(SugarNMS)為例,分析網路安全運維方案中核心功能及實施措施。

(一)基礎功能方面

智和網管平臺SugarNMS基礎功能結構在基礎功能方面,網路安全運維平臺應具備裝置、資源、鏈路自動發現功能,具備視覺化網路 拓撲、故障告警、效能分析等能力,基礎功能結構如圖2所示,具體包括:

1)自動發現。在網路可達範圍內,通過IP 資訊搜尋網路節點,匹配網路節點的型號與廠商資訊,通過裝置真實面板模擬視覺化,通過資源邏輯面板展示網路節點資源資訊,可監控網路節點的 CPU、記憶體、板卡、磁碟等資源使用情況與網路節點之間的鏈路關係。

2)拓撲展示。將網路節點根據網路關係或邏輯關聯組合後以拓撲形式展示,並對網路節點、節點中的資源、節點之間的鏈路關係進行監控或者管理。

 

3)裝置管控。支援在拓撲圖或列表管理配置設 備及其引數,可通過SNMPV1∕V2C∕V3,NetConf,Telnet,SSH,IPMI,ONVIF,JRPC,JMX,JDBC,WMI,Trap,Syslog,HTTP等協議管理裝置。

4)資源管理。視覺化展示裝置真實面板及資源邏輯面板,包括構成網路節點的物理元件、網路節點中執行的服務或根據監控需求自定義的其他監控目標。

5)鏈路識別。可在拓撲檢視及管理列表編輯鏈路資訊,並在拓撲上展示鏈路實時效能資料,支援根據需求修改展示資料的型別。

6)故障告警。採集裝置故障及事件資訊,觸發實時告警,可在網路拓撲及故障告警列表檢視告警資訊,並可一鍵觸發告警工單。

7)效能採集。通過網路節點協議棧策略對其資源資訊進行採集。採集到的效能資料通過智慧演算法進行計算並可視化展示,支援固定或自定義時間範圍檢視效能指標的趨勢變化情況。

8)安全管控。提供基於萬能命令的安全管控能力,可通過命令下發實現諸如QoS安全策略、流量策略、准入控制等功能,並支援全網MAC-IP資料獲取與繫結、黑白名單策略啟用或禁用。

9)監控報告。提供面向網路、裝置、資源的智慧巡檢能力,包含自動化運維、故障巡檢、策略巡檢、策略備份等巡檢策略配置。支援生成巡檢報告及統計報表,讓使用者對網路有一個全面直觀的瞭解。

(二)平臺架構方面

監控模組

一鍵實現網路裝置、鏈路、資源的自動發現並 生成網路拓撲圖,支援 LLDP、CDP、ICMP、ARP、埠轉發表、生成樹協議、鄰居路由等物理拓撲發現技術,發現裝置的物理連結。提供IP 範圍、網路範圍、下掛裝置搜尋等發現途徑。具備裝置管理、網路管理、拓撲管理、告警管理、效能分析、事件日誌管理等功能。提供圖形化裝置型別擴充套件介面、面板圖編輯介面、資源擴充套件介面、告警擴充套件介面、效能擴充套件介面、TRAP擴充套件介面

分析模組

提供大資料整理分析能力,對網路海量資料進行圖形化分析展示,具備自定義配置大屏展示資料能力,大屏資料元素、圖表元素、資料範圍等方面可隨意配置。提供業務監控、自定義 業務流程、業務告警檢視等功能。

運維模組

提供自定義運維巡檢策略功能,也可通過命令配 置運維編排策略,實現對網路、裝置、資源等的自動化運維管理。

工單模組

提供運維工單功能,支援在裝置和故障管理頁面快速建立工單,把控故障處理進度。提供自定義工單模板、配置智慧工單服務水平(SLA)、我的工單、所有工單展示及實時工單狀態展示等功能。形成自動化故障處理機制,並在每個處理流程節點上責任到人。在實現快速響應故障的同時,兼顧企業流程管控。

日誌模組

提供海量裝置、應用的日誌資訊管理模組,集中收集處理目標裝置執行日誌、執行狀態、安全事件、空間使用情況、使用者操作記錄等各類異構日誌 資料,經過歸併、過濾和大資料分析處理後,對異常資料進行告警,並以統一形式的日誌格式儲存管理,結合豐富的儀表、圖表及顏色,全面綜合展示網路狀態。

(三)安全控制方面

提供基於裝置、資源層面的全網裝置安全運維與深度管控。通過Telnet、JDBC、JMX、SNMP協議等裝置管理協議及裝置型別,進行統一安管和運維規範配置,智和網管平臺 SugarNMS安全控制架構如圖3所示,實現多品牌裝置集中管控、安全策略可見、配置準確性核查等功能。提供拓撲圖右鍵快捷命令下發操作。支援對華為、華三、邁普、迪普、銳捷等國產裝置的深入管控,包括 ACL、QoS、路由配置、賬號安全、終端准入等。

 

 

圖3 智和網管平臺SugarNMS安全控制架構

(四)擴充套件開發方面

在通用網管功能的基礎上,提供模組式或者程式碼式的開發形式,可在最短的時間內滿足各種定製需求,同時廠商應提供全套開發資料以及完善的培訓服務。

 

開發模組應包含:二次開發平臺、拓撲圖開發 元件、SNMP開發元件、服務端 API、資料庫 API、HTML5程式碼、裝置外掛介面Java程式碼、Web服務端Restful介面及相應的開發文件、開發培訓服務。

(五)信創國產化方面

智和網管平臺支援在中標麒麟、銀河麒麟、紅 旗 Linux等國產作業系統上執行,支援在達夢、金倉、神州等國產資料庫進行資料儲存,通過東方通等國產中介軟體提供對外服務,支援龍芯、申威等 國產CPU 架構,並實現對國產化CPU、伺服器、資料庫、中介軟體等IT 軟硬體裝置的綜合監控與運維管理。智和網管平臺 SugarNMS 信創國產化架構如圖4所示:

 

 

圖4 智和網管平臺SugarNMS信創國產化架構

五、智和網管平臺對網路安全運維的意義

通過部署智和網管平臺,實現網路具象化展示、秒級故障監控及網路資料分析展示等功能,對網路安全運維具有提升運維效率、實現安全可控及降低人員依賴等眾多價值。

1) 智慧化監控,一鍵搜尋、發現和識別網路裝置、資源、鏈路,智慧化故障管理,最大限度提高產品的易操作性,簡化使用者操作步驟,減少管理環境的搭建時間,提高管理效率。

2) 具象化拓撲圖,全面完整呈現網路拓撲結構,以圖形化的形式對網路結構及網路內的裝置進行展示與管理,極大地降低IT管理的難度。

3) 個性化定製開發、系統整合,滿足差異化需求,支援針對特殊需求定製專屬網管平臺,且不斷更新平臺功能,以滿足網路發展帶來的差異需求。

4) 信創國產化。根據國內使用者在資訊建設方面國產替代日益增多的需求,實現相容國產CPU、伺服器、作業系統、資料庫、中介軟體等軟硬體產品,改善國內缺乏自主可控的國產化運維平臺的情況。

5) 採用主流Java Spring Boot、Spring Cloud、HTML5、Restful、大資料、100%Java多層分散式技術,提供電信級可靠性保障。支援容災方案和雙機熱備,最大限度保障網路運維資料安全。

6) 企業級部署。支援大規模組網管理,可直接 穿透私網進行監控,支援分散式部署,平臺易於升級和維護,能夠滿足未來業務的需求變化。

7) 支援私有裝置。新的裝置型別、未知裝置種類,無需開發程式設計,通過系統提供的 GUI策略擴充套件介面,即可完成適配,解決網路中裝置品牌、型號繁雜難題。

8) 從裝置層面實現全網安全運維。基於Telnet、SSH、NetConf、SNMP、IPMI等裝置管理協議及裝置型別,進行統一安管、運維規範配置,實現多品牌裝置集中管控、安全策略可見、配置準確性核查等功能。

六、總 結

企事業單位的經營管理與資訊化結合愈發緊密,生活及生產活動對網路的依賴程度逐年升高,網路安全作為基礎保障發揮著越來越重大的作用。網管平臺也逐步成為企事業單位網路安全運維中不可缺少的一環。傳統網路安全運維工具難以解決網路運維中存在的各種疑難雜症,功能升級勢在必行。

本文主要介紹了網路安全運維中面臨的主要問題及應對措施,並以智和網管平臺為例,闡述新時代下網管平臺功能及架構的發展方向。