設計網絡閉環與安全審計架構

安徽省計量科學研究院 譚德建

引言：隨著網絡的不斷發展,網絡管理技術越來越受到人們的重視。本文通過企業網絡現狀分析與需求闡述了網絡閉環管理與安全審計系統的重要性，詳細分析并設計出網絡閉環管理與安全審計系統架構，進而提出該系統應用取得的成果。

安全管理是網絡管理的一部分，但隨著人們對網絡安全的日益重視；安全管理被人們單獨分離出來作為一個獨立的網絡運行要素來看。從防火墻到IDS，安全管理逐漸向自動化智能化的方向發展，強調網絡安全技術的同時，也越來越強調安全管理。但安全是一個動態的概念，越來越多的人認識到如何建立一個能夠與網絡環境相適應的并能夠隨之發展的的安全系統，遠比購買昂貴的安全設備更有利于網絡安全。

當前主要的網絡管理技術是通過SNMP協議對被管理設備的MIB庫進行輪詢以獲取信息，或者通過SNMP協議對被管理設備進行設置；雖然相關組織后來在SNMP的協議基礎上規定了信息的協議，但由于各個設備廠商各自的利益等原因一致沒有得到全面的支持，而各個設備廠商各自為政也成為網絡管理難以形成一個通用的平臺的主要原因。當前SNMP協議依然是網絡管理技術中的主要技術手段。

現狀分析

公司網絡覆蓋面廣，幾乎所有部門或樓宇都接入了網絡，隨著公司的發展對網絡的依賴日益加強。因此對網絡的穩定性、可管理性和安全性等方面的要求必然越來越高。根據現場實際情況，可歸納網絡結構，如圖1所示。

公司各部門或樓宇都是一個或多個子網，多子網通過多條鏈路連接到中心機房核心交換機。這雖然提高了網絡的可靠性，但另一方面對于網絡也增加了網絡的結構的復雜性，削弱了網絡的可管理性。隨著網絡的不斷發展，網絡環境中各種網絡設備越來越多，公司缺乏合適的網絡監管軟件，對于網絡的流量情況、通斷情況、設備運行狀況等不能實時了解，出現故障和問題難以快速確定維護目標；而大量的設備通過人為手動的管理，通常費時費力難以達到好的效果。導致信息中心在網絡管理方面處于比較被動的地位。

圖1 網絡架構圖

網絡攻擊手段繁多，通過防火墻、IDS等技術手段實時過濾或阻斷需要豐富的網絡經驗，且價格昂貴，使用效果往往不好。通過對網絡攻擊的防范的調查和資料來看，大部分網絡攻擊是可以通過分析設備日志來得到及時的了解和確定。而且對日志的及時查看和分析也是發現網絡攻擊現象，定位取證必不可少的環節。如果能保存好設備日志，并作及時的分析整理，就能很好的反映出網絡的動態運行狀態，同時也就極大地提高了網絡的安全性能。但由于網絡中設備眾多，依靠人為的方式進行收集分析和整理，必然效率低下難以堅持，導致信息中心對來至公司內部的網絡攻擊難以發現。

安全日志管理：

充分利用公司已有的安全手段，做好及時防范和杜絕攻擊。本系統著重解決安全日志的轉貯，以便集中管理、查詢取證，并提供給分析模塊進行安全分析。

安全分析需求：

及時掌握關鍵設備的安全狀況；及時發現網絡中的攻擊現象；出現問題時要有可靠的日志記錄便于查詢和取證。對于已知攻擊能及時報警，對于未知的攻擊最大限度的反映，提高發現攻擊的可能。從而為提高或變更安全策略提供系統輔助決策數據。

網絡結構與資源管理：

能夠及時對網絡結構與資源進行管理，改變過去只在架上有編號管理，在系統中卻看不出到的問題，從而為網絡運維管理提供資源查詢、實施指導和變更管理等功能，從而提高運維管理的規范性、透明性和工作效率。

搜索引擎：

為安全日志提供自由搜索引擎，該引擎可以通過配置，實現對公司其他網站信息進行搜索。

系統架構

系統由數據日志采集服務、數據分析服務、配置管理服務、圖形繪制服務、Web服務和報警服務等組成。

數據日志采集服務主要負責被管理對象數據的定時獲取，并存儲在數據庫中。

數據分析服務主要將收集到的數據進行解析；將數據格式化并轉化為更易懂更明確的數據格式。

配置管理服務主要負責添加被管理的對象，配置管理整個系統的各項參數和頁面布局管理。

圖形繪制服務主要負責將數據圖形化，并提供圖形定制功能，可以根據需要調整圖形的顏色和顯示屬性。

Web服務主要負責整個系統的Web顯示，使得使用者通過頁面能夠方便的使用系統察看監控結果。

報警服務主要負責提供給使用者設置報警條件，并根據條件判斷報警事件產生報警信息。

1.系統結構

數據采集系統：如圖2所示，主要負責定時輪詢被管理的設備和獲取安全日志，并負責把它們按照一定的規則保存到數據庫或文件系統中。

分析系統：主要負責將采集的數據作二次轉換，使之成為能夠直接被繪圖系統和安全檢測系統直接使用的數據。

圖2 系統結構部署

圖3 對服務器端口流量的監控圖

應用系統：主要負責組織數據的顯示方式，使分散的數據能夠形成內在的邏輯聯系，將網絡運行的內在聯系邏輯展示出來。

2.網絡監管系統設計

流量監測子系統：

通過定期運行的數據采集程序，通過SNMP協議定期掃描需要管理的設備的各端口的流量情況，將收集到的數據分析整理，繪制成圖使得能通過網頁直觀的看到各端口的流量狀況。將各種端口監控的SNMP對象格式化固定下來，使得用戶配置使只需輸入要監控設備的IP地址即可，設置需要監控設備要監控的對象，5分鐘后就可以方便的看到監控效果，如圖3所示。

設備監測子系統：

通過定期運行的數據采集程序，通過SNMP協議定期掃描需要管理的設備的運行情況，將收集到的數據分析整理，繪制成圖使得能通過網頁直觀的看到各設備的運行狀況。將各種設備監控的對象格式化固定下來，使得用戶配置使只需輸入要監控設備的IP地址，設置需要監控設備要監控的對象，5分鐘后可方便的看到監控效果。

網絡拓撲管理子系統：

在完成流量監控的前提下，通過網絡拓撲結構的幫助，能夠在整體上反映出網絡的運行狀況，從而及時發現網絡的故障點。

報警：

在流量監控和設備監控的基礎上，為管理的對象設定一些閥值，一旦監控到的對象超過所設定的閥值就可以產生報警信息，以便于提前發現故障點和問題來源；避免了出現問題再解決的情況，如圖4所示。

3.安全審計系統設計

日志采集：

定期將要管理設備的日志，通過FTP等各種方式集中保存到日志采集系統中。

自動分析：

按設計好的格式針對不同的日志格式進行有針對性的分析，并將分析結果形成更明確易懂的日志信息，發現日志之間的內在聯系，產生有效的提示或報警信息。

自動報警：

在分析的基礎上，按照指定好的報警規則，按照報警信息的類別和優先級別；通過不同的方式，告知信息中心；使得信息中心能及時發現網絡中不正常的現象并采取相應的措施。

安全審計報告：

根據自動分析和報警進行對應處理，提交安全審計報告。

4.資源管理系統設計

網絡結構管理：

圖4 結合流量的網絡局部拓撲結構

能夠及時對網絡結構進行管理，從而為網絡運維管理提供結構查詢、實施指導和變更管理等功能，從而提高運維管理的規范性、透明性和工作效率。

網絡資源管理：

能夠及時對網絡資源進行管理，改變過去只在架上有編號管理，在系統中卻看不出到的問題，從而為網絡運維管理提供資源查詢、實施指導和變更管理等功能，從而提高運維管理的規范性、透明性和工作效率。

搜索引擎：

為安全日志提供自由搜索引擎，該引擎可以通過配置，實現對公司其它網站信息進行搜索。

5.設備購置部署方案

服務器一臺，安裝Oracle數據庫、安全審計系統、Web服務、數據采集系統，配置采集點地址。

客戶程序部署在關鍵服務器、工作站以及防火墻等設備，支持SNMP協議，實現數據采集和資源自動報送。

6.網絡系統配置方案

數據日志采集設備最好有兩塊網卡，一塊能鏈接到核心設備上。另一塊接到內部的交換機上和其他系統相連，這樣可以充分保護系統的安全。

7.系統安全解決方案

只有采集系統接入企業網設置可以被企業網內部設備訪問到的IP地址，其他部分可以只在信息中心內部訪問。并且系統只需開放特定端口，也有權限管理系統，系統的安全能夠得到保障。

預期應用效果

整個企業網絡運行狀況將有一個直觀的圖形化的表示，使網絡運行狀況一目了然；可及時發現網絡故障問題，性能瓶頸；網絡安全漏洞攻擊現象變得更容易發現。能夠提高企業網絡的穩定性，可管理性和安全性。實現規范、高效、透明的網絡管理。