利用集中管理系统提升网络设备安全管理效率

陆力瑜

摘要：当前国家对网络安全日益重视，网络设备安全管理包括配置检查，参数变更，巡检日志归档，安全基线核查等内容。而信息网络设备爆炸式增长，不同厂商网络设备管理配置存在极大差异，亟需提升管理效率。本文阐述了信息管理部门当前所面临网络设备集中安全管理存在的问题，分析并设计对应的解决方案，采用putty工具结合运维审计系统，开发SSH指令自动化执行工具，提高网络设备集中管理的效率以及安全基线合规性，规范网络管理的工作流程以及工作内容，保障企业信息网络的稳定运行以及网络安全。

关键词：集中管理;网络监控;安全基线

随着企业信息化建设的飞速发展，企业信息网络的发展规模也随之不断扩大，网络设备数量急剧增长，网络结构复杂度也越来越高。

网络设备安全管理包括配置检查、参数变更、巡检日志归档以及安全基线核查等内容。目前，网络设备安全管理工作效率低[1]，作业规范化难度大，当网络设备出现故障时，排查周期长，批量修复的难度高。因此，亟需设计一种网络设备集中管理系统（以下简称“系统”），对企业的网络设备进行集中的管控，通过自动化采集配置、分析配置参数，能够检测安全基线合规性并提供告警信息，为事前分析提供决策，做到预防为主。

1 现状分析

1.1网络设备运维的主要问题

（1）手工操作耗时长

目前市场上存在的网络管理工具授权昂贵，信息运行维护人员需要通过运维审计系统对300台网络设备配置文件进行备份、归档管理，耗时较长。

（2）故障查找效率低

部分网络设备配置的局部变动会对信息网络造成较大的影响，目前只能通过人工进行配置对比，故障查找效率低。

（3）设备安全合规性不高

网络设备安全防护要求高[2]，入网设备必须符合安全基线配置要求。当前只能通过人工检查手段进行安全基线配置核查，并且检查覆盖面不广，网络设备的安全合规性不高[3]。

2系统架构设计

系统架构总体分为3层，即信息展示层、集成交互层以及消息层。

（1）信息展示层

该层主要包括网络设备命令执行日志信息展示、系统参数配置及其他参数设定等功能。日志信息包括实时的备份网络设备配置、配置差异对比以及安全基线检测输出;系统参数配置包括网络设别列表、SSH命令、安全基线检测的命令参数以及日志文件的保存目录等。

（2）基层交互层

该层主要作用是对PUTTY工具的启动、关闭以及执行、捕获相关的SSH命令的输出返回信息，当有新的命令返回信息输出以后，自动将返回信息按照相关的业务规则进行二次对比，去除按键信息后按照日志文件存储规则保存至备份文件目录。

（3）消息处理层

该层主要作用是对网络设备列表、SSH命令库以及安全基线命令库的加载规则、检测规则进行入队操作，根据检测的网络设备品牌分类，自动执行相应的SSH检测命令。

3关键技术研究

通过开发SSH指令自動化执行工具，基于PUTTY工具获取网络设备的配置参数，实现网络设备配置参数的采集、备份、归档以及检验等过程。通过梳理交换机的常用运维指令以及信息安全基线配置要求，以及作业指导书交换机日常运维、巡检工作的流程，各个工作环节的输入、输出信息，制定了系统的设计思路和方案。可以将以上数据处理流程简要地划分为以下5个处理环节：维护网络设备列表、建立SSH命令模板、配置PUTTY工具参数、执行检测过程以及配置结果捕获及存储、网络设备配置的对比及安全基线检测。

3.1维护网络设备列表

网络管理员通过命令行维护的管理功能，可将需要监控的网络设备信息输入系统，输入的信息包括设备的IP地址、账号、密码、超级密码以及设备品牌等。因各品牌之间的设备维护命令存在差异，增加了品牌分类的维护参数主要用于区分各类设备所采用的SSH命令模板，使系统可以自适应不同品牌、不同版本的网络设备维护。

3.2建立SSH命令模板

SSH命令模板由执行序号、命令行、标志位以及品牌构成。

根据不同品牌的网络设备，网络管理员梳理出网络设备的日常运维命令以及信息安全基线配置要求，然后根据品牌以及所选择的网络设备列表，加载至系统缓存，系统根据交换机列表，先按照IP序列循环执行，再根据相应的设备品牌方案中SSH命令列表递归执行，直到设备都能够按照命令执行完毕。

3.3执行检测过程以及配置结果捕获及存储

系统根据网络设备列表自动登陆网络设备，将命令模板的内容下发至网络设备，并将网络设备返回信息记录至PUTTY日志信息中。通过采集PUTTY日志信息，自动捕获日志内容进行存储分析;系统自动将日志信息分段截取，按照日期为文件夹，设备IP为文件名，保存为每台网络设备独立检测日志文件。

3.4网络设备配置的对比及安全基线检测

由于采集的配置信息内容过多，对于同一台交换机所发生的细微的配置变化，人为的检查过程耗时较长，因此通过系统的日志对比功能，可将同一设备的配置信息进行比较，当配置出现不一致时，配置变化所在行高亮显示，使网络管理员能够快速地定位设备的配置变化。

系统具有网络设备信息安全基线核查功能，通过安全基线检测命令设置，可遍历采集岛的网络设备配置信息，然后通过设备品牌类别进行自动匹配，给出网络设备信息安全基线分析结果;系统可以按照文件或者文件夹批量地在配置文件中检查相关的特征指令，给出相应的检测结果，并可以快速定位至该配置文件的所在行，可用于检查某一设备是否存在安全隐患的配置信息。

4结语

保障网络资源的可用性以及网络安全是当前网络管理的核心内容，网络设备的日常运行维护也由此变得尤为重要。网络设备集中管理系统通过实现配置参数的自动采集、备份、分析、基线检测等功能，为网络管理人员对数量众多的分布式网络设备进行高效、规范以及实时性地管理提供了技术手段。该系统的应用在提高工作效率的同时，也带来了新的安全隐患。因此，如何合理地利用系统，仍需要配套的管理制度或者管理措施加以规范利用，以提升其实际的应用价值。

参考文献

[1] 黄凯瑄.网络管理与发展[J]. 甘肃水利水电技术，2004（02）.