安徽省计量科学研究院 谭德建
引言:随着网络的不断发展,网络管理技术越来越受到人们的重视。本文通过企业网络现状分析与需求阐述了网络闭环管理与安全审计系统的重要性,详细分析并设计出网络闭环管理与安全审计系统架构,进而提出该系统应用取得的成果。
安全管理是网络管理的一部分,但随着人们对网络安全的日益重视;安全管理被人们单独分离出来作为一个独立的网络运行要素来看。从防火墙到IDS,安全管理逐渐向自动化智能化的方向发展,强调网络安全技术的同时,也越来越强调安全管理。但安全是一个动态的概念,越来越多的人认识到如何建立一个能够与网络环境相适应的并能够随之发展的的安全系统,远比购买昂贵的安全设备更有利于网络安全。
当前主要的网络管理技术是通过SNMP协议对被管理设备的MIB库进行轮询以获取信息,或者通过SNMP协议对被管理设备进行设置;虽然相关组织后来在SNMP的协议基础上规定了信息的协议,但由于各个设备厂商各自的利益等原因一致没有得到全面的支持,而各个设备厂商各自为政也成为网络管理难以形成一个通用的平台的主要原因。当前SNMP协议依然是网络管理技术中的主要技术手段。
公司网络覆盖面广,几乎所有部门或楼宇都接入了网络,随着公司的发展对网络的依赖日益加强。因此对网络的稳定性、可管理性和安全性等方面的要求必然越来越高。根据现场实际情况,可归纳网络结构,如图1所示。
公司各部门或楼宇都是一个或多个子网,多子网通过多条链路连接到中心机房核心交换机。这虽然提高了网络的可靠性,但另一方面对于网络也增加了网络的结构的复杂性,削弱了网络的可管理性。随着网络的不断发展,网络环境中各种网络设备越来越多,公司缺乏合适的网络监管软件,对于网络的流量情况、通断情况、设备运行状况等不能实时了解,出现故障和问题难以快速确定维护目标;而大量的设备通过人为手动的管理,通常费时费力难以达到好的效果。导致信息中心在网络管理方面处于比较被动的地位。
图1 网络架构图
网络攻击手段繁多,通过防火墙、IDS等技术手段实时过滤或阻断需要丰富的网络经验,且价格昂贵,使用效果往往不好。通过对网络攻击的防范的调查和资料来看,大部分网络攻击是可以通过分析设备日志来得到及时的了解和确定。而且对日志的及时查看和分析也是发现网络攻击现象,定位取证必不可少的环节。如果能保存好设备日志,并作及时的分析整理,就能很好的反映出网络的动态运行状态,同时也就极大地提高了网络的安全性能。但由于网络中设备众多,依靠人为的方式进行收集分析和整理,必然效率低下难以坚持,导致信息中心对来至公司内部的网络攻击难以发现。
安全日志管理:
充分利用公司已有的安全手段,做好及时防范和杜绝攻击。本系统着重解决安全日志的转贮,以便集中管理、查询取证,并提供给分析模块进行安全分析。
安全分析需求:
及时掌握关键设备的安全状况;及时发现网络中的攻击现象;出现问题时要有可靠的日志记录便于查询和取证。对于已知攻击能及时报警,对于未知的攻击最大限度的反映,提高发现攻击的可能。从而为提高或变更安全策略提供系统辅助决策数据。
网络结构与资源管理:
能够及时对网络结构与资源进行管理,改变过去只在架上有编号管理,在系统中却看不出到的问题,从而为网络运维管理提供资源查询、实施指导和变更管理等功能,从而提高运维管理的规范性、透明性和工作效率。
搜索引擎:
为安全日志提供自由搜索引擎,该引擎可以通过配置,实现对公司其他网站信息进行搜索。
系统由数据日志采集服务、数据分析服务、配置管理服务、图形绘制服务、Web服务和报警服务等组成。
数据日志采集服务主要负责被管理对象数据的定时获取,并存储在数据库中。
数据分析服务主要将收集到的数据进行解析;将数据格式化并转化为更易懂更明确的数据格式。
配置管理服务主要负责添加被管理的对象,配置管理整个系统的各项参数和页面布局管理。
图形绘制服务主要负责将数据图形化,并提供图形定制功能,可以根据需要调整图形的颜色和显示属性。
Web服务主要负责整个系统的Web显示,使得使用者通过页面能够方便的使用系统察看监控结果。
报警服务主要负责提供给使用者设置报警条件,并根据条件判断报警事件产生报警信息。
数据采集系统:如图2所示,主要负责定时轮询被管理的设备和获取安全日志,并负责把它们按照一定的规则保存到数据库或文件系统中。
分析系统:主要负责将采集的数据作二次转换,使之成为能够直接被绘图系统和安全检测系统直接使用的数据。
图2 系统结构部署
图3 对服务器端口流量的监控图
应用系统:主要负责组织数据的显示方式,使分散的数据能够形成内在的逻辑联系,将网络运行的内在联系逻辑展示出来。
流量监测子系统:
通过定期运行的数据采集程序,通过SNMP协议定期扫描需要管理的设备的各端口的流量情况,将收集到的数据分析整理,绘制成图使得能通过网页直观的看到各端口的流量状况。将各种端口监控的SNMP对象格式化固定下来,使得用户配置使只需输入要监控设备的IP地址即可,设置需要监控设备要监控的对象,5分钟后就可以方便的看到监控效果,如图3所示。
设备监测子系统:
通过定期运行的数据采集程序,通过SNMP协议定期扫描需要管理的设备的运行情况,将收集到的数据分析整理,绘制成图使得能通过网页直观的看到各设备的运行状况。将各种设备监控的对象格式化固定下来,使得用户配置使只需输入要监控设备的IP地址,设置需要监控设备要监控的对象,5分钟后可方便的看到监控效果。
网络拓扑管理子系统:
在完成流量监控的前提下,通过网络拓扑结构的帮助,能够在整体上反映出网络的运行状况,从而及时发现网络的故障点。
报警:
在流量监控和设备监控的基础上,为管理的对象设定一些阀值,一旦监控到的对象超过所设定的阀值就可以产生报警信息,以便于提前发现故障点和问题来源;避免了出现问题再解决的情况,如图4所示。
日志采集:
定期将要管理设备的日志,通过FTP等各种方式集中保存到日志采集系统中。
自动分析:
按设计好的格式针对不同的日志格式进行有针对性的分析,并将分析结果形成更明确易懂的日志信息,发现日志之间的内在联系,产生有效的提示或报警信息。
自动报警:
在分析的基础上,按照指定好的报警规则,按照报警信息的类别和优先级别;通过不同的方式,告知信息中心;使得信息中心能及时发现网络中不正常的现象并采取相应的措施。
安全审计报告:
根据自动分析和报警进行对应处理,提交安全审计报告。
网络结构管理:
图4 结合流量的网络局部拓扑结构
能够及时对网络结构进行管理,从而为网络运维管理提供结构查询、实施指导和变更管理等功能,从而提高运维管理的规范性、透明性和工作效率。
网络资源管理:
能够及时对网络资源进行管理,改变过去只在架上有编号管理,在系统中却看不出到的问题,从而为网络运维管理提供资源查询、实施指导和变更管理等功能,从而提高运维管理的规范性、透明性和工作效率。
搜索引擎:
为安全日志提供自由搜索引擎,该引擎可以通过配置,实现对公司其它网站信息进行搜索。
服务器一台,安装Oracle数据库、安全审计系统、Web服务、数据采集系统,配置采集点地址。
客户程序部署在关键服务器、工作站以及防火墙等设备,支持SNMP协议,实现数据采集和资源自动报送。
数据日志采集设备最好有两块网卡,一块能链接到核心设备上。另一块接到内部的交换机上和其他系统相连,这样可以充分保护系统的安全。
只有采集系统接入企业网设置可以被企业网内部设备访问到的IP地址,其他部分可以只在信息中心内部访问。并且系统只需开放特定端口,也有权限管理系统,系统的安全能够得到保障。
整个企业网络运行状况将有一个直观的图形化的表示,使网络运行状况一目了然;可及时发现网络故障问题,性能瓶颈;网络安全漏洞攻击现象变得更容易发现。能够提高企业网络的稳定性,可管理性和安全性。实现规范、高效、透明的网络管理。