網(wǎng)絡設備安全基線核查的系統(tǒng)設計與解決方案

1、概述

隨著我國互聯(lián)網(wǎng)業(yè)務模式進一步豐富，設備數(shù)量急劇增加，網(wǎng)絡規(guī)模成倍擴展，導致網(wǎng)元設備參數(shù)和策略配置更加復雜，容易出現(xiàn)誤配置或策略漏洞，造成設備帶病入網(wǎng)和運營，增大了非法入侵、信息泄露的安全威脅，提高了后續(xù)運維的安全防護成本，降低了網(wǎng)絡可靠性，除了影響人們的日常生活之外，還可能帶來嚴重的經(jīng)濟損失，因此需要進一步提升配置合規(guī)性管理水平，但是由于設備類型版本多樣，參數(shù)和策略配置項眾多，傳統(tǒng)人工手動核查的方式耗時耗力、客觀性差，亟需一種平臺化、自動化的解決方案，推動安全配置基線核查工作的常態(tài)化和標準化。

2、安全基線定義

網(wǎng)絡設備安全基線是指對一個通信網(wǎng)元的最小安全保證，即網(wǎng)元需要滿足現(xiàn)網(wǎng)運維和業(yè)務運維安全需求的最基本的、最重要的軟硬件版本、參數(shù)設置，從而在不大規(guī)模增加網(wǎng)絡復雜性和維護投資的前提下，使通信網(wǎng)絡中所有系統(tǒng)、設備能夠得到統(tǒng)一的、最低要求的安全保障，減少一些初級的、可預知的安全隱患，便于維護與管理，提高全網(wǎng)安全防護水平。

配置基線要求涵蓋范圍包括通信網(wǎng)絡中的所有網(wǎng)絡設備、主機設備、安全設備以及運行在這些設備中的操作系統(tǒng)、應用程序、數(shù)據(jù)庫、中間件等軟硬件實體。

3、系統(tǒng)功能需求分析

該系統(tǒng)作為一款輔助運維工具，一方面要能夠實現(xiàn)采集、核查和圖表生成等操作的自動化、可視化，提高安全運維效率；另一方面則要能夠具備一定的分析評估能力，為安全管理提供輔助決策。因此，本系統(tǒng)主要功能設計如下。

3.1 數(shù)據(jù)采集功能

支持本地和遠程方式的配置參數(shù)提取功能，通過事先預置的口令和訪問模式連接核查目標，通過自動化腳本收集相關設備安全配置信息，并確保系統(tǒng)能夠在具有各種安全防護措施的實際場景下收集到完整的配置數(shù)據(jù)。在級聯(lián)模式下，系統(tǒng)還支持向上級平臺提交所采集的數(shù)據(jù)和分析的結果。

3.2 數(shù)據(jù)分析功能

自動化核查系統(tǒng)在采集到相關配置數(shù)據(jù)后，可以在本地進行分析也可以將配置參數(shù)上報上級分析平臺，由上級分析平臺進行分析，相關分析功能如下。

a） 能夠依據(jù)用戶指定相關合規(guī)指標，判斷目標主機上的檢查項目達標與否，并對不達標項進行告警顯示。

b） 支持對各種安全規(guī)范要求中的所有檢查項目進行等級區(qū)分，能夠進行權重調(diào)整，能夠依照百分制對目標主機的達標情況打分，每個檢查參數(shù)的分值可以預先設置。

c） 能夠進行歷史數(shù)據(jù)查詢、任務合并、匯總查看、對比分析、趨勢分析等，能夠進行多個檢查任務或多個IP風險對比。

d） 內(nèi)置專家知識庫，具備輔助分析的功能，能夠對網(wǎng)絡安全合規(guī)性進行評估，給出完善建議。

3.3 任務管理功能

安全配置基線核查系統(tǒng)能夠對核查任務進行配置管理，支持任務命名與分組設置；支持任務定時、周期設置；支持核查模板的定制修改和導入導出；支持對核查參數(shù)的權重賦值；支持訪問口令和訪問模式的設置；支持核查掃描時間和周期的設置；支持核查結果上報方式設置等。

3.4 圖表輸出功能

為了配合操作人員進行輔助決策，要求系統(tǒng)具備圖表定制和輸出功能。

a） 支持核查結果圖表顯示條目的自定義，除了包括核查結果軟硬件版本信息、配置信息、漏洞信息等基本檢查項，還要能夠增加地理位置、機房信息、設備用途等標示信息。

b） 支持核查圖表導出，支持HTML、Excel、PDF、Word等主流格式，內(nèi)容應包含整體概述、各設備的檢查列表等信息。

c） 支持圖表遠程上報。

3.5 系統(tǒng)管理功能

該系統(tǒng)應能夠提供用戶、角色和組織機構管理權限劃分功能；實現(xiàn)對系統(tǒng)配置檢查功能日志的記錄與查詢；提供分布式組件管理，實現(xiàn)對分布式離線采集器和單機代理的管理；提供對系統(tǒng)數(shù)據(jù)的維護配置管理，支持系統(tǒng)自動、手動更新。

4、系統(tǒng)架構設計

根據(jù)功能和工作模式需求，本系統(tǒng)按照軟件分層及模塊化的思想進行設計，不同功能模塊可以靈活地以服務的形式部署在不同主機上，便于合理分配資源和性能調(diào)優(yōu)。

系統(tǒng)架構可分為表示層、業(yè)務邏輯層、數(shù)據(jù)訪問層和底層數(shù)據(jù)庫，具體設計如圖 1所示。

圖1 系統(tǒng)架構

a） 表示層：主要表現(xiàn)為UI界面的形式，負責系統(tǒng)的可視化呈現(xiàn)以及處理用戶與系統(tǒng)之間的交互，負責將用戶輸入的指令和數(shù)據(jù)交付給業(yè)務邏輯層進行邏輯處理，包括任務配置界面、任務報告界面、高級數(shù)據(jù)分析界面、用戶角色管理界面和日志記錄管理界面。

b） 業(yè)務邏輯層：接收表示層提交的用戶操作，調(diào)用不同的邏輯處理模塊。在處理過程中，根據(jù)業(yè)務需求向數(shù)據(jù)訪問層請求訪問相應數(shù)據(jù)。業(yè)務邏輯層是整個系統(tǒng)的核心部分，負責數(shù)據(jù)信息處理及核查任務執(zhí)行等關鍵職能。它主要包括以下幾個子部分：

（a） 配置核查引擎。對用戶提交的核查任務進行分析、分解，獲取核查任務的相關信息，包括核查設備以及所采用的模板等，之后交付協(xié)議連接引擎進行遠程連接協(xié)商。

（b） 協(xié)議連接引擎。每臺被核查設備都事先規(guī)定了各自的遠程連接方式。協(xié)議連接引擎支持多種遠程連接協(xié)議，可根據(jù)設備要求選擇不同的連接模塊，與目標設備協(xié)商建立遠程連接，其中包括參數(shù)協(xié)商以及身份認證等。

（c） 數(shù)據(jù)采集引擎。遠程連接上目標設備后，通過連接執(zhí)行模板中各個檢查項對應的腳本，將采集到的設備配置保存到結果文件中。

（d） 掃描信息處理模塊。對數(shù)據(jù)采集引擎返回的結果文件進行處理和判斷，交付到報表引擎等模塊進行數(shù)據(jù)分析。

（e） 報表引擎。報表展示的核心處理模塊，借助表格、圖像等UI控件將核查結果以可視化的形式展現(xiàn)給用戶。

（f） 數(shù)據(jù)分析引擎。根據(jù)用戶的需求，對特定核查任務數(shù)據(jù)進行高級數(shù)據(jù)分析，支持的分析方法有對比分析、趨勢分析等。

（g） 用戶信息管理。負責處理用戶個人信息的修改以及管理員增加或刪除用戶等操作。

（h） 權限驗證。提供系統(tǒng)授權使用的信息，包含登錄用戶權限、授權使用模塊、授權存取信息等。

（i） 日志記錄。提供系統(tǒng)日志，實時記錄用戶的敏感操作，并支持管理員用戶維護日志。

c） 數(shù)據(jù)訪問層：該層封裝了存取數(shù)據(jù)的接口，根據(jù)業(yè)務邏輯層的需要提供相應的數(shù)據(jù)服務。在本系統(tǒng)中，對于模板、腳本和設備數(shù)據(jù)，數(shù)據(jù)訪問層只需提供數(shù)據(jù)讀取接口，至于任務配置、核查結果、用戶和日志等數(shù)據(jù)，則要求數(shù)據(jù)訪問層支持讀取和寫入。

d） 數(shù)據(jù)庫：存儲設備安全基線配置核查分析系統(tǒng)所需的各種數(shù)據(jù)，至少應該包括以下7個方面：模板數(shù)據(jù)、腳本數(shù)據(jù)、設備數(shù)據(jù)、任務配置數(shù)據(jù)、核查結果數(shù)據(jù)、用戶數(shù)據(jù)和日志數(shù)據(jù)。

5、主要功能模塊實現(xiàn)

5.1 設備配置數(shù)據(jù)采集功能

設備配置數(shù)據(jù)采集模塊支持用戶通過在線的方式采集子網(wǎng)內(nèi)目標設備的配置數(shù)據(jù)。用戶可以根據(jù)自身的需求，選用不同的采集模板收集多項設備配置數(shù)據(jù)。當確定模板之后，用戶還需要指定目標設備，啟動采集任務。

系統(tǒng)響應用戶發(fā)出的啟動命令，開始通過遠程連接協(xié)議嘗試連接目標設備。成功連接之后，系統(tǒng)向目標設備發(fā)送采集腳本命令。目標設備執(zhí)行完腳本命令后，將執(zhí)行結果（即相應的配置數(shù)據(jù)）返回給系統(tǒng)，交由系統(tǒng)保存。根據(jù)目標設備的類型需要采用不同的遠程連接協(xié)議。系統(tǒng)支持實現(xiàn)3種遠程連接協(xié)議：Telnet、SSH和WinRM。圖 2為設備配置數(shù)據(jù)采集模塊的結構示意圖。

圖2 設備配置數(shù)據(jù)采集模塊的結構示意圖

設備配置數(shù)據(jù)采集模塊的輸入有2項，分別是采集模板的ID和目標設備的IP，輸出則是以XML文件形式保存的設備配置數(shù)據(jù)。當操作人員輸入功能命令（即啟動任務）后，界面UI將操作人員輸入的采集模板ID與目標設備IP傳入設備配置數(shù)據(jù)采集模塊，模塊開始進行配置數(shù)據(jù)的采集工作。模塊首先根據(jù)目標設備的IP從數(shù)據(jù)庫的設備數(shù)據(jù)中讀取目標設備的其他信息，其中包括目標設備的遠程登錄方式、登錄用戶名及密碼等。之后根據(jù)預設的遠程登錄方式選擇調(diào)用不同的遠程連接子模塊，如Telnet、SSH和WinRM。在成功連接上目標設備之后，再根據(jù)模板ID從數(shù)據(jù)庫的模板數(shù)據(jù)中讀取相應的腳本命令，根據(jù)遠程連接協(xié)議采用不同的方式將腳本命令交由目標設備執(zhí)行，并實時地將收集到的設備配置（即腳本命令的執(zhí)行結果）保存至一個XML文件。等到所有設備都掃描完畢時，設備配置數(shù)據(jù)采集模塊的工作結束。

5.2 核查任務結果分析功能

核查任務結果分析模塊主要完成以下3個方面的功能。

5.2.1 結果判定

分析設備配置數(shù)據(jù)采集模塊生成的結果XML文件，根據(jù)通信網(wǎng)絡安全基線規(guī)范，判斷核查設備的檢查項目是否達標，并對不達標的項目進行高亮顯示。每個檢查項目的判定結果包含6個狀態(tài)：符合、不符合、待確認、不適用、采集失敗、未執(zhí)行。

a） 符合：表示設備配置符合配置規(guī)范的要求。

b） 不符合：表示設備配置不符合配置規(guī)范的要求。

c） 待確認：表示設備配置的最終結果需要評估人根據(jù)現(xiàn)場情況確認。

d） 不適用：表示設備配置沒有正常獲取，例如訪問權限不足、相關配置文件不存在、設備版本不匹配等情況。

e） 采集失敗：表示設備配置訪問未能成功，例如連接失敗、賬號口令不正確等。

f） 未執(zhí)行：表示設備配置評估沒有執(zhí)行。

5.2.2 評分和生成報告

在對目標設備的各個檢查項的達標情況進行判定之后，依照百分制為目標主機打分，其中各個檢查項的權重在模塊設置中指定。在評分之后，進行其他數(shù)據(jù)的統(tǒng)計，最后生成一份評估報告來展示本次任務的核查結果。

5.2.3 高級數(shù)據(jù)分析

a） 歷史數(shù)據(jù)查詢：查詢歷史任務信息以及它們的評測結果。

b） 任務匯總：匯總多個任務的評測結果。

c） 對比分析：對比同一設備在不同任務的核查情況。

d） 趨勢分析：觀察設備安全狀態(tài)的時間趨勢。

圖3為核查任務結果分析模塊的整體結構。模塊總共完成3個方面的功能：結果分析、評分和生成報告以及高級數(shù)據(jù)分析。因此，也相應地將整個模塊劃分為3個子模塊分別實現(xiàn)。其中結果分析子模塊用于分析設備配置數(shù)據(jù)采集模塊的輸出結果XML文件，它主要是在后臺執(zhí)行，從數(shù)據(jù)庫中的檢查項數(shù)據(jù)獲取各個檢查項的安全基線指標值，與實際采集的配置進行比對、分析，然后將核查結果存入數(shù)據(jù)庫。在結果分析完成之后，啟動評分和生成報告子模塊，根據(jù)任務中各個檢查項的核查結果以及在模板中對應的權重進行評分，同時統(tǒng)計其他數(shù)據(jù)，最后生成一份評估報告展現(xiàn)給用戶。而最后的高級數(shù)據(jù)分析子模塊是在前兩者分析的結果數(shù)據(jù)基礎上進行，根據(jù)操作人員的操作指令進行相應的分析，分析完成后通過界面UI展示。

圖3 核查任務結果分析模塊結構

5.3 系統(tǒng)安全管理功能

設備安全基線配置核查分析系統(tǒng)通過日志記錄模塊和權限角色管理模塊來保障系統(tǒng)的安全性和保密性。

5.3.1 日志記錄功能

本系統(tǒng)要求具有維護日志記錄的功能，當操作人員進行某項操作時，以數(shù)據(jù)庫的形式實時將其操作記錄下來，這有利于及早發(fā)現(xiàn)非法入侵和進行系統(tǒng)維護。

根據(jù)需求，日志記錄記錄的信息一共有六大類，分別是登錄信息、任務管理信息、設備管理信息、模板管理信息、檢查項管理信息和腳本管理信息。各類信息記錄的具體操作如下。

a） 登錄信息。登錄操作記錄。

b） 任務管理信息。啟動在線掃描任務、導入任務配置文件、導出任務配置文件、導出離線腳本、導入離線采集結果和刪除任務記錄。

c） 設備管理信息。添加設備信息、修改設備信息、刪除設備信息、導入設備信息和導出設備信息。

d） 模板管理信息。添加新模板、修改模板、刪除模板、導入模板和導出模板。

e） 檢查項管理信息。添加新檢查項、修改檢查項、刪除檢查項、導入檢查項和導出檢查項。

f） 腳本管理信息。添加新腳本、修改腳本、刪除腳本、導入腳本和導出腳本。

5.3.2 權限角色管理功能

為了保障系統(tǒng)數(shù)據(jù)的安全性，系統(tǒng)提供相應的用戶、角色管理和權限驗證功能。權限包括以下2個方面：功能資源的操作權限和數(shù)據(jù)資源的存取權限。其中功能資源權限指的是配置檢查工具的各個功能模塊的使用權限，而數(shù)據(jù)資源權限指的是對象資源（網(wǎng)絡設備）和基本配置檢查結果信息的查看權限。

根據(jù)要求，系統(tǒng)的任何一個合法用戶都必須從屬于某個角色，并擁有角色對應的權限。在用戶執(zhí)行任何操作之前，都需要審核用戶的權限范圍。如果用戶權限不足，則禁止本次操作。

圖 4為權限角色管理模塊的結構，在操作人員登錄系統(tǒng)之后，權限角色管理模塊正式啟動，首先通過與數(shù)據(jù)庫中的用戶數(shù)據(jù)進行交互，獲取操作人員對應的角色，之后根據(jù)操作人員的角色管理權限。

圖4 權限角色管理模塊的結構示意圖

權限角色管理模塊可分為2個子模塊，分別為權限驗證子模塊和用戶管理子模塊。其中權限驗證子模塊主要用來判斷用戶的某項操作是否在其對應角色的權限范圍內(nèi)，如果權限不足，則予以禁止。而用戶管理子模塊主要是負責用戶信息的管理，供用戶修改用戶名、密碼等個人信息。由于只有管理員用戶才可以執(zhí)行這項操作。因此在調(diào)用其他用戶管理子模塊之前，需要由權限驗證子模塊判斷用戶的角色是否為管理員用戶。

6、安全基線合規(guī)管理優(yōu)化建議

為了更好地提升安全基線合規(guī)管理能力，除了提高自動化運維水平之外，還要推動核查范圍由點到面的全覆蓋，建立總部平臺，實現(xiàn)大數(shù)據(jù)集中分析平臺，持續(xù)積累各種異常案例和配置知識庫，并對全網(wǎng)安全態(tài)勢進行綜合評估，挖掘提取容易配錯的設備類型和參數(shù)指標，在日常運維中做好預防工作。

此外，安全防護工作一定要做到技管并重，既要有自動化、智能化的運維工具，更要有制度化、體系化的管理機制，因此一方面要增強運維人員的安全合規(guī)意識，做好規(guī)范教育和技術培訓，防止出現(xiàn)各類低級錯誤，另一方面則要加強合規(guī)運維的考核力度，將合規(guī)操作、漏洞封堵納入各級單位考核范疇，定期組織自查和第三方抽檢，并對整改效果進行持續(xù)跟蹤和后評估，引起各個層面重視，保證考核工作的常態(tài)化。

7、結束語

綜上所述，安全基線是網(wǎng)絡和業(yè)務穩(wěn)定運行的最根本基礎，如果設備帶病入網(wǎng)和運行，無論后續(xù)加載多少防護措施都成了無本之木、空中樓閣，不但會增加防護成本也會降低防護效果，整個服務運營的可靠性也就無從談起。

因此，必須要高度重視安全基線管理體系的建設，一方面要積極進行技術創(chuàng)新，引入相關安全工具提高基線核查工作的自動化和智能化，降低安全運維人工成本，另一方面還要不斷完善管理機制，加強職業(yè)素養(yǎng)培訓，優(yōu)化獎懲制度，充分調(diào)用相關人員積極性，全面保障網(wǎng)絡合規(guī)穩(wěn)定運行。

責任編輯：gt