本地網絡管理及安全現狀分析與規劃

◆馬佳華

本地網絡管理及安全現狀分析與規劃

◆馬佳華

（海軍92493部隊13分隊 遼寧 125000）

本文是在多年從事本地網絡管理的經驗基礎上，從管理手段、安防架構、人員能力三個方面認真分析了現行本地網絡管理過程中存在的問題和不足，提出了網絡運維自動化、安防模式主動化、人員訓練常態化三合一體的新型網絡運維模式，加強了維護流程各階段之間的融合，形成一體式通暢網絡運維管理規范，大大提高了網絡管理、故障恢復、威脅處理的工作效率。

集中管控；網絡安防模擬；網絡管理；安防訓練

在這個軍事網絡迅速發展的時代，網絡如同血管一樣深入到業務、日常辦公的各個角落，在本地網絡的正常運作中扮演著傳輸各種養分的角色。幾乎每個部門都用網絡來傳輸、共享自己獨有的試驗數據及資源。龐大的網絡資源、復雜的網絡環境、頻發的網絡故障都對管理、安防和人員技能提出了前所未有的要求。但目前本地的網絡管理模式仍存在延時長、效率低、安全性差、人員管理技能匱乏等缺點，與新型網絡、設備等高智能化元素的發展腳步相差甚遠。提高本地網絡的安全穩定性，保障好本地試驗任務和日常辦公更好的運行，其關鍵在于提高網絡管理的效率。

1 本地網絡安全及管理現狀

1.1 網絡管理人工化

本地網絡的故障信息獲取完全依靠用戶主動上報，信息獲取時延較大，處理故障總時間較長，用戶體驗性不好，嚴重時可能影響重要試驗任務的進行。網絡分析設備繁多，功能分散，作用更是趨近于網絡能力分析，然而基礎保障功能卻很薄弱，具體體現在獲取網絡故障信息后，沒有一體化的處理平臺，而是完全由多種工具的各個部分功能組合進行維護處理，管理工具效能低下，在調試設備或處理故障時，完全依靠人員經驗使用簡單的Ping、Tracert等網絡命令進行排故；無任何輔助判斷工具，故障判斷完全依賴管理員經驗，故障需要逐級測試，處理過程緩慢。網絡管理資料為紙質或電子文檔，通常可能有多個運維人員，每人都將處理記錄保存在自己手中，但是處理故障時可能只有一到兩名運維人員，故障處理或網絡調整后，其他人的資料無法得到及時更新，久而久之，運維人員手中的資料各不相同，經常無法判斷現場情況與哪個運維人員手中的資料一致，往往還需要親自到現場核驗，而此時方便快捷的遠程管理手段也就失去了實際意義。

1.2 安防模式陳舊化

由于本單位的U盤使用頻繁、保密要求高等特點，病毒、木馬等惡意代碼泛濫，交叉感染嚴重，這已是本單位網絡的通病。而本地的網絡安全系統采用的仍然是傳統的防火墻、入侵檢測和病毒防范等“老三樣”的構成模式，在網絡層設防，在外圍對非法用戶和越權訪問進行封堵，防范外圍攻擊。由于這些措施只是通過外圍對非法用戶和越權訪問進行封堵來達到防范外部攻擊的目的，對內網用戶的行為卻疏于管理，內網的威脅仍然存在，病毒等威脅雖被束縛在一定的范圍內，但這是建立在對內網用戶的絕對信任的基礎上。如果內網出現了漏洞，則“秘密”極有可能被病毒等威脅手段收集并從此出口帶出。隨著竊取手段的不斷更新，僅在出口設置大門放任內部自由的圈養模式已不能完全保護好“羊群”，因為任何節點都可能成為新的出口，一旦形成出口，“羊群”將從此出口魚貫而出。在羊與羊之間也建立起屏障并對“羊群”進行統一管理才能真正形成穩固的防御，即使任何一處變成出口，也可以及時關閉其他屏障保護好其他羊，將損失降到最低。

1.3 人員處理安防事件能力薄弱

隨著網絡技術的不斷發展，網絡設備的多樣化、功能的精細化和深入化、軍用網絡的多類化，這些都大大增加了網絡的維護難度。相對于此，網絡維護能力日益顯得薄弱，并且在新老更替的過程中，經驗在不斷地流失。

繁重的任務保障、精簡的運維人員、難于傳承的運維經驗，這種種現狀讓運維人員疲于故障維修和基礎工作，沒有更多的時間學習提高自己的能力。面對種類繁多的計算機病毒攻擊行為，運維人員也只能局限于使用殺毒軟件應對，對于網絡的加固、行為的追蹤乃至主動的攻擊這些更是無能為力。鑒于本地網絡的重要性，運維人員并不能去實踐了解各種攻擊行為特性，這些原因都造成了人員安防處理能力的薄弱。

2 本地網絡管理及安全規劃設想

2.1 量身定制集監測、維護、管理為一體的本地網絡管理系統

一套完整的、合適的、智能的網絡管理系統將成為網管人員手中的一把利劍。網管系統的實用性在極大程度上影響了網絡故障的處理效率以及任務的保障能力。該系統應該擁有以下功能：

（1）網絡實時監測。首先系統應該能夠從網絡資源庫中調出設備，形成網絡拓撲，并根據用戶需要對網絡拓撲中鏈路設備進行實時監測，當網絡發生故障時，系統可提供聲音和圖像的告警。

（2）網絡故障定位。系統可對鏈路上設備輪詢檢測，發生故障時，自動定位故障的位置，幫助用戶快速定位并處理故障，降低故障處理的反應時間。

（3）故障輔助決策。發生故障后，系統可查詢由以往經驗和網絡知識組成的決策庫，并將相關處理方法主動推送給用戶，這不僅能夠輔助用戶處理網絡故障，更能夠達到經驗共享的目的。

（4）網絡工具及資源。在故障的處理過程中，用戶可查閱網絡資源庫，了解配線表、設備配置等信息，使用系統提供的網絡工具庫對故障進行處理，處理后將此次處理經驗反饋給決策庫。

整個流水線形式的故障處理過程渾然一體、完整有序、反應迅速，人機合理配合，不但能夠大大提高網絡故障的處理效率，也避免了由于新老更替給整個單位帶來的經驗流失。其次系統應該具有模塊化、可移植、便于升級等特點。系統可由目前較為通用的編程制作軟件實現，如VC++、Java、易語言等。

2.2 采用集中管控的主動安防模式

引用集中管控系統，所有用戶的操作系統及存儲將由系統統一分配，安防殺毒軟件由系統統一安裝，防御命令由系統統一下達，這也解決了用戶的安防能力參差不齊問題，所有安防工作由專業的維護人員進行統一管理。

圖1 一體化本地網絡管理系統結構示意圖

簡化了對用戶的專業知識需求，由于用戶并不全部具備專業計算機知識，面對重裝操作系統這些工作可能已顯得捉襟見肘，再加上部署保密系統、水印系統、接入系統、各種業務系統、殺毒軟件等這些工作的話，可能只有求助運維管理部門。而面對龐大的用戶群，有限的運維人員也只能望洋興嘆。而集中管控系統已經按用戶需求安裝好各種軟件，并將操作系統制作成鏡像，運維人員需要做可能僅是一鍵恢復而已，操作系統盤與存儲盤的分離也保障了用戶恢復系統后無須擔心文件損壞的問題，采取了Raid方式備份的集中存儲也保障了用戶的數據不會丟失。

一旦出現漏洞，無須再人為通知各個用戶防范，而是由運維人員第一時間作出反應，關閉用戶之間的屏障，防止其他用戶數據被漏洞用戶收集，減少反應時間，將損失降到最低。

系統集成或可由管理員統一安裝文件流轉系統，文件之間的傳遞不需要也不能再使用U盤等方式傳遞，文件的出口設立專職部門、專職終端、專職人員進行管理，完全杜絕了以U盤擺渡形式造成的病毒擴散，更簡化了文件的傳遞過程，統一的存儲管理和單一的文件出口也更好地保證了保密的需求。

圖2 集中管控系統資源分配示意圖

2.3 建立網絡安防模擬訓練實驗室

建立網絡安防模擬訓練實驗室將是一個有效提高運維人員技能并且能夠對設備安防能力進行測試的最佳選擇。實驗室應具有以下功能：

訓練網管——模擬本地各種網絡環境，運維人員可在環境中扮演紅或藍方進行攻守，導演方通過過程數據收集將全局情況展現出來，訓練結束后網管員可使用回放功能了解整個訓練過程，提升網管員的安防處理能力。

測試設備——對本地用于試驗的網絡設備進行測試，保障其安全性，保護試驗數據不被竊取，增加設備在遭遇病毒等危險時的生存能力，保障試驗正常運行。

試驗沙箱——網管中心對新病毒、木馬等威脅產生的破壞方式、攻擊能力、影響范圍等指標進行測試，并獲得數據，從中找到有效的防御手段。

3 總結

提高本地網絡安全水平和運維管理效率不應該僅僅是設備上的累加，應該從軟件、硬件以及人員素質等多方面著手，一套全程式的運維系統將成為管理人員手中的一把利劍，在運維過程中扮演重要的角色；集中管控的管理形式將從根本上改變終端參差不齊的問題，形成完善的安全堡壘；安防模擬訓練實驗室必將成為孕育優秀運維人員的搖籃，三者的綜合應用才是加固本地網絡安全和提高運維管理效率的最終歸宿。

[1]曾凡平.網絡信息安全[M].機械工業出版社，2015.

[2]李振銀.網絡管理與維護[M].中國鐵道出版社，2004.

[3]王淑江，劉曉輝.網絡管理自動化[M].電子工業出版社， 2009.