网络设备安全基线核查的系统设计与解决方案

原创 2020-02-12 10:55  阅读

  随着我国互联网业务模式进一步丰富,设备数量急剧增加,网络规模成倍扩展,导致网元设备参数和策略配置更加复杂,容易出现误配置或策略漏洞,造成设备带病入网和运营,增大了非法入侵、信息泄露的安全威胁,提高了后续运维的安全防护成本,降低了网络可靠性,除了影响人们的日常生活之外,还可能带来严重的经济损失,因此需要进一步提升配置合规性管理水平,但是由于设备类型版本多样,参数和策略配置项众多,传统人工手动核查的方式耗时耗力、客观性差,亟需一种平台化、自动化的解决方案,推动安全配置基线核查工作的常态化和标准化。

  网络设备安全基线是指对一个通信网元的最小安全保证,即网元需要满足现网运维和业务运维安全需求的最基本的、最重要的软硬件版本、参数设置,从而在不大规模增加网络复杂性和维护投资的前提下,使通信网络中所有系统、设备能够得到统一的、最低要求的安全保障,减少一些初级的、可预知的安全隐患,便于维护与管理,提高全网安全防护水平。

  配置基线要求涵盖范围包括通信网络中的所有网络设备、主机设备、安全设备以及运行在这些设备中的操作系统、应用程序、数据库、中间件等软硬件实体。

  该系统作为一款辅助运维工具,一方面要能够实现采集、核查和图表生成等操作的自动化、可视化,提高安全运维效率;另一方面则要能够具备一定的分析评估能力,为安全管理提供辅助决策。因此,本系统主要功能设计如下。

  支持本地和远程方式的配置参数提取功能,通过事先预置的口令和访问模式连接核查目标,通过自动化脚本收集相关设备安全配置信息,并确保系统能够在具有各种安全防护措施的实际场景下收集到完整的配置数据。在级联模式下,系统还支持向上级平台提交所采集的数据和分析的结果。

  自动化核查系统在采集到相关配置数据后,可以在本地进行分析也可以将配置参数上报上级分析平台,由上级分析平台进行分析,相关分析功能如下。

  a) 能够依据用户指定相关合规指标,判断目标主机上的检查项目达标与否,并对不达标项进行告警显示。

  b) 支持对各种安全规范要求中的所有检查项目进行等级区分,能够进行权重调整,能够依照百分制对目标主机的达标情况打分,每个检查参数的分值可以预先设置。

  c) 能够进行历史数据查询、任务合并、汇总查看、对比分析、趋势分析等,能够进行多个检查任务或多个IP风险对比。

  d) 内置专家知识库,具备辅助分析的功能,能够对网络安全合规性进行评估,给出完善建议。

  安全配置基线核查系统能够对核查任务进行配置管理,支持任务命名与分组设置;支持任务定时、周期设置;支持核查模板的定制修改和导入导出;支持对核查参数的权重赋值;支持访问口令和访问模式的设置;支持核查扫描时间和周期的设置;支持核查结果上报方式设置等。

  a) 支持核查结果图表显示条目的自定义,除了包括核查结果软硬件版本信息、配置信息、漏洞信息等基本检查项,还要能够增加地理位置、机房信息、设备用途等标示信息。

  b) 支持核查图表导出,支持HTML、Excel、PDF、Word等主流格式,内容应包含整体概述、各设备的检查列表等信息。

  该系统应能够提供用户、角色和组织机构管理权限划分功能;实现对系统配置检查功能日志的记录与查询;提供分布式组件管理,实现对分布式离线采集器和单机代理的管理;提供对系统数据的维护配置管理,支持系统自动、手动更新。

  根据功能和工作模式需求,本系统按照软件分层及模块化的思想进行设计,不同功能模块可以灵活地以服务的形式部署在不同主机上,便于合理分配资源和性能调优。

  系统架构可分为表示层、业务逻辑层、数据访问层和底层数据库,具体设计如图 1所示。

  a) 表示层:主要表现为UI界面的形式,负责系统的可视化呈现以及处理用户与系统之间的交互,负责将用户输入的指令和数据交付给业务逻辑层进行逻辑处理,包括任务配置界面、任务报告界面、高级数据分析界面、用户角色管理界面和日志记录管理界面。

  b) 业务逻辑层:接收表示层提交的用户操作,调用不同的逻辑处理模块。在处理过程中,根据业务需求向数据访问层请求访问相应数据。业务逻辑层是整个系统的核心部分,负责数据信息处理及核查任务执行等关键职能。它主要包括以下几个子部分:

  (a) 配置核查引擎。对用户提交的核查任务进行分析、分解,获取核查任务的相关信息,包括核查设备以及所采用的模板等,之后交付协议连接引擎进行远程连接协商。

  (b) 协议连接引擎。每台被核查设备都事先规定了各自的远程连接方式。协议连接引擎支持多种远程连接协议,可根据设备要求选择不同的连接模块,与目标设备协商建立远程连接,其中包括参数协商以及身份认证等。

  (c) 数据采集引擎。远程连接上目标设备后,通过连接执行模板中各个检查项对应的脚本,将采集到的设备配置保存到结果文件中。

  (d) 扫描信息处理模块。对数据采集引擎返回的结果文件进行处理和判断,交付到报表引擎等模块进行数据分析。

  (e) 报表引擎。报表展示的核心处理模块,借助表格、图像等UI控件将核查结果以可视化的形式展现给用户。

  (f) 数据分析引擎。根据用户的需求,对特定核查任务数据进行高级数据分析,支持的分析方法有对比分析、趋势分析等。

  (g) 用户信息管理。负责处理用户个人信息的修改以及管理员增加或删除用户等操作。

  (h) 权限验证。提供系统授权使用的信息,包含登录用户权限、授权使用模块、授权存取信息等。

  (i) 日志记录。提供系统日志,实时记录用户的敏感操作,并支持管理员用户维护日志。

  c) 数据访问层:该层封装了存取数据的接口,根据业务逻辑层的需要提供相应的数据服务。在本系统中,对于模板、脚本和设备数据,数据访问层只需提供数据读取接口,至于任务配置、核查结果、用户和日志等数据,则要求数据访问层支持读取和写入。

  d) 数据库:存储设备安全基线配置核查分析系统所需的各种数据,至少应该包括以下7个方面:模板数据、脚本数据、设备数据、任务配置数据、核查结果数据、用户数据和日志数据。

  设备配置数据采集模块支持用户通过在线的方式采集子网内目标设备的配置数据。用户可以根据自身的需求,选用不同的采集模板收集多项设备配置数据。当确定模板之后,用户还需要指定目标设备,启动采集任务。

  系统响应用户发出的启动命令,开始通过远程连接协议尝试连接目标设备。成功连接之后,系统向目标设备发送采集脚本命令。目标设备执行完脚本命令后,将执行结果(即相应的配置数据)返回给系统,交由系统保存。根据目标设备的类型需要采用不同的远程连接协议。系统支持实现3种远程连接协议:Telnet、SSH和WinRM。图 2为设备配置数据采集模块的结构示意图。

  设备配置数据采集模块的输入有2项,分别是采集模板的ID和目标设备的IP,输出则是以XML文件形式保存的设备配置数据。当操作人员输入功能命令(即启动任务)后,界面UI将操作人员输入的采集模板ID与目标设备IP传入设备配置数据采集模块,模块开始进行配置数据的采集工作。模块首先根据目标设备的IP从数据库的设备数据中读取目标设备的其他信息,其中包括目标设备的远程登录方式、登录用户名及密码等。之后根据预设的远程登录方式选择调用不同的远程连接子模块,如Telnet、SSH和WinRM。在成功连接上目标设备之后,再根据模板ID从数据库的模板数据中读取相应的脚本命令,根据远程连接协议采用不同的方式将脚本命令交由目标设备执行,并实时地将收集到的设备配置(即脚本命令的执行结果)保存至一个XML文件。等到所有设备都扫描完毕时,设备配置数据采集模块的工作结束。

  分析设备配置数据采集模块生成的结果XML文件,根据通信网络安全基线规范,判断核查设备的检查项目是否达标,并对不达标的项目进行高亮显示。每个检查项目的判定结果包含6个状态:符合、不符合、待确认、不适用、采集失败、未执行。

  d) 不适用:表示设备配置没有正常获取,例如访问权限不足、相关配置文件不存在、设备版本不匹配等情况。

  e) 采集失败:表示设备配置访问未能成功,例如连接失败、账号口令不正确等。

  在对目标设备的各个检查项的达标情况进行判定之后,依照百分制为目标主机打分,其中各个检查项的权重在模块设置中指定。在评分之后,进行其他数据的统计,最后生成一份评估报告来展示本次任务的核查结果。

  图3为核查任务结果分析模块的整体结构。模块总共完成3个方面的功能:结果分析、评分和生成报告以及高级数据分析。因此,也相应地将整个模块划分为3个子模块分别实现。其中结果分析子模块用于分析设备配置数据采集模块的输出结果XML文件,它主要是在后台执行,从数据库中的检查项数据获取各个检查项的安全基线指标值,与实际采集的配置进行比对、分析,然后将核查结果存入数据库。在结果分析完成之后,启动评分和生成报告子模块,根据任务中各个检查项的核查结果以及在模板中对应的权重进行评分,同时统计其他数据,最后生成一份评估报告展现给用户。而最后的高级数据分析子模块是在前两者分析的结果数据基础上进行,根据操作人员的操作指令进行相应的分析,分析完成后通过界面UI展示。

  设备安全基线配置核查分析系统通过日志记录模块和权限角色管理模块来保障系统的安全性和保密性。

  本系统要求具有维护日志记录的功能,当操作人员进行某项操作时,以数据库的形式实时将其操作记录下来,这有利于及早发现非法入侵和进行系统维护。

  根据需求,日志记录记录的信息一共有六大类,分别是登录信息、任务管理信息、设备管理信息、模板管理信息、检查项管理信息和脚本管理信息。各类信息记录的具体操作如下。

  b) 任务管理信息。启动在线扫描任务、导入任务配置文件、导出任务配置文件、导出离线脚本、导入离线采集结果和删除任务记录。

  c) 设备管理信息。添加设备信息、修改设备信息、删除设备信息、导入设备信息和导出设备信息。

  d) 模板管理信息。添加新模板、修改模板、删除模板、导入模板和导出模板。

  e) 检查项管理信息。添加新检查项、修改检查项、删除检查项、导入检查项和导出检查项。

  f) 脚本管理信息。添加新脚本、修改脚本、删除脚本、导入脚本和导出脚本。

  为了保障系统数据的安全性,系统提供相应的用户、角色管理和权限验证功能。权限包括以下2个方面:功能资源的操作权限和数据资源的存取权限。其中功能资源权限指的是配置检查工具的各个功能模块的使用权限,而数据资源权限指的是对象资源(网络设备)和基本配置检查结果信息的查看权限。

  根据要求,系统的任何一个合法用户都必须从属于某个角色,并拥有角色对应的权限。在用户执行任何操作之前,都需要审核用户的权限范围。如果用户权限不足,则禁止本次操作。

  图 4为权限角色管理模块的结构,在操作人员登录系统之后,权限角色管理模块正式启动,首先通过与数据库中的用户数据进行交互,获取操作人员对应的角色,之后根据操作人员的角色管理权限。

  权限角色管理模块可分为2个子模块,分别为权限验证子模块和用户管理子模块。其中权限验证子模块主要用来判断用户的某项操作是否在其对应角色的权限范围内,如果权限不足,则予以禁止。而用户管理子模块主要是负责用户信息的管理,供用户修改用户名、密码等个人信息。由于只有管理员用户才可以执行这项操作。因此在调用其他用户管理子模块之前,需要由权限验证子模块判断用户的角色是否为管理员用户。

  为了更好地提升安全基线合规管理能力,除了提高自动化运维水平之外,还要推动核查范围由点到面的全覆盖,建立总部平台,实现大数据集中分析平台,持续积累各种异常案例和配置知识库,并对全网安全态势进行综合评估,挖掘提取容易配错的设备类型和参数指标,在日常运维中做好预防工作。

  此外,安全防护工作一定要做到技管并重,既要有自动化、智能化的运维工具,更要有制度化、体系化的管理机制,因此一方面要增强运维人员的安全合规意识,做好规范教育和技术培训,防止出现各类低级错误,另一方面则要加强合规运维的考核力度,将合规操作、漏洞封堵纳入各级单位考核范畴,定期组织自查和第三方抽检,并对整改效果进行持续跟踪和后评估,引起各个层面重视,保证考核工作的常态化。

  综上所述,安全基线是网络和业务稳定运行的最根本基础,如果设备带病入网和运行,无论后续加载多少防护措施都成了无本之木、空中楼阁,不但会增加防护成本也会降低防护效果,整个服务运营的可靠性也就无从谈起。

  因此,必须要高度重视安全基线管理体系的建设,一方面要积极进行技术创新,引入相关安全工具提高基线核查工作的自动化和智能化,降低安全运维人工成本,另一方面还要不断完善管理机制,加强职业素养培训,优化奖惩制度,充分调用相关人员积极性,全面保障网络合规稳定运行。

  优麒麟UKUI基于GTK和QT进行开发,移植至Arch Linux操作系统

  据报道,目前优麒麟UKUI桌面环境和优客系列应用软件已经大部分移植至Arch Linux操作系统。继....

  TCP 协议可以说是今天互联网的基石,作为可靠的传输协议,在今天几乎所有的数据都会通过 TCP 协议....

  去年10月微软发布了采用双屏设计的移动设备Surface Duo,搭载安卓操作系统,今天有网友在....

  60台计算机的机房所需要的设备也就是网线,交换机,路由器,这个规模也就算是一个小型的局域网,接下来我....

  当前区块链是一个热点领域,基于区块链的创新项目也受到了普遍的关注,相信在产业互联网的推动下,区块链技....

  传统IPV4的公网地址已经枯竭,如果没有NAT地址转换技术的出现,现在很多人都是上不了网,很多人在公....

  物联网与移动应用程序开发齐头并进。物联网改变了人类与机器的互动方式,甚至改变了机器之间的互动方式——....

  突然袭来的新冠疫情,让全国进入“全民隔离”的紧急状态。在此背景下,无人状态似乎成了最安全的状态,于是....

  统一操作系统UOS与360杀毒软件完成适配 实现国产操作系统和国产杀毒软件的完美运行

  2月6日,统信软件宣布,360杀毒软件与统信软件旗下统一操作系统UOS完成适配工作。本次适配基于龙芯....

  市场营销的布局和销售网络就是由前期开发的人造智慧大数据库来完成,据介绍,集成了这种高速相机与通用型的....

  谷歌开发了多款操作系统,像Chrome OS、Android、Fuchsia。其中Android是当....

  区块链的核心价值是承担完全责任。任何终端用户都可以对系统进行全面的审计,并验证它确实如广告所宣传的那....

  5G网络大幅增加了数据中心的耗电量,这主要由于其通信网络、电源、环境调控等设备耗费了较多的电量。

  工业物联网应用可以通过改进的跟踪和监控洞察力,积极影响计划性能和能效。由于数据是在单个中央仪表板界面....

  统信软件今日表示,近日,金蝶天燕所属的金蝶Apusic应用服务器(Apusic Applicatio....

  随着智能家居走进我们的生活,家里多了监控摄像头、智能猫眼、智能门锁、智能电视等智能家电,智能产品确实....

  区块链似乎终于在能源市场上找到了一个现成的应用——而且它并不是能源交易。

  伴随着科技进步和互联网的发展,越来越多的人生活离不开网络,而智能化的产品也逐渐的出现在我们的生活并影....

  本文旨在让移动网络运营商和他们的设备供应商了解,随着当前和下一代技术使得网络进步,同步要求已经发生了....

  无线MESH网络(WMN,Wireless Mesh Network,又称无线网状网),是一种新型的....

  目前全球97%的人口生活在有移动蜂窝信号覆盖的地方,说移动通信技术改变人类社会毫不为过。

  过去一年里,内容产业的门槛迅速降低,无论是抖音的“记录美好生活”还是快手的“记录世界,记录你”,似乎....

  为打破信息孤岛藩篱、提高贸易融资互信与便利化水平,中国人民银行推出了贸易金融区块链平台,广泛连接税务....

  从互联网的域名到区块链的节点,所展现的发展趋势是类似的,就是去中心化转变为多中心化,而中心如果过多,....

  推进国家行政体制改革和政府治理能力的提高还要求健全完善有关中央和地方关系的机制和制度,以保障中央和地....

  区块链所特有的不可篡改、分布式记账等特点,可以降低交易成本完成企业内特定价值的确认,并获得不局限于企....

  工业互联网的发展是在生产制造过程自动化、信息化的基础上,走向数据化、智能化.

  美国、德国的工业互联网是两种完全不同的发展路径,其发展战略在未来制造业上有着各自的深层考虑。

  “新的网络攻击是多矢量的,”Dar援引他的话说,“或者我们喜欢称之为全堆栈:IT往往是最好的方式,而....

  这次特别的攻击的不同寻常之处在于所涉及的通信量之大。据作者自己说,攻击达到了大约每秒620千兆比特,....

  智能电网是现有电网的现代物联网变体,其中包括多种能源措施和智能仪表(如智能电表)。

  国产OS操作系统、CPU处理器这几年迅猛发展,最需要也是最难解决的无疑就是软件生态支持,尤其是一些专....

  库珀科技创始人甘醇表示,这次疫情对于我们的很多员工、客户及整个社会而言,都是一个艰巨的难关。我们心系....

  操作系统是计算机学科的基础课程,是理解计算机运行原理的重要基石,学习操作系统不仅能够让编程人员了解计....

  随着数据中心的不断深入与高需求,人们对于此领域的拓展研究也在不断更迭最新技术与开发最优性能产品及解决....

  在安防行业,安防摄像头占据了大半的市场额。大多数安防企业都是以安防摄像头为切入点进行转型,很多互联网....

  区块链是什么行业?区块链的概念诞生至今也才10年。10年的时间也不算太短,但区块链的概念为人所熟知的....

  最近在了解边缘计算,发现我们经常听说的CDN也是边缘计算里的一部分。那么说到CDN,好像只知道它中文....

  物联网设备当然会越来越多,但如果仅仅一个弱密码就可以感染整个网络,那么就必须积极维护它们,并时刻注意....

  医疗领域中的物联网为行业所有利益相关方提供了一系列好处,但挑战依然存在。

  物联网设备将产生大量数据,但必须充分利用其全部潜力。这将需要在开发智能技术堆栈上进行更多投资,这些堆....

  有些出人意料,农业又迎来一拨互联网改造潮。拼多多种咖啡、京东养猪,阿里将蔬菜水果当做今年618大促的....

  自动驾驶是基于新技术革命的汽车工业转型升级,成本、安全、法规,是三个无法逃避的问题。

  随着APP的快速发展,不少米友抱怨目前域名行情大不如前。更有不少米友对域名行业的前景心存疑虑,同时还....

  我的看法是:首先考虑自己个人的兴趣,这两个行业的模式、思维、市场还是有较大不同。

  首先是优化数据采集。在大数据技术广泛应用之前,医疗数据采集具有明显的滞后性,这对在疫情传播早期阶段快....

  1. LiteOS的互斥锁1.1. 互斥锁在多任务环境下,往往存在多个任务竞争同一共享资源的应用场景,互斥锁可被用于对共享资源的保护...

  包内含有两个代码,平台均为华大单片机,型号是:HC32L13XK8TA,一个是FreeRTOS,一个是RT-Thread...

  1990年代以前,IETF曾为计算机出版界所宠爱。它宣称自己与迟钝、嘈杂的ISO和 ITU-T的官僚作风比较,将是更敏捷、虚心...

  随着嵌入式设备的开发和推广,触摸屏作为新式输入设备已经随处可见,手机、PDA、MID以及ATM机等设备都已经用到了触摸屏...

  近年来,随着嵌入式技术的不断发展,各种电子产品层出不穷,对于那些具有众多功能,但按键数目无法满足要求的设备来说,选择一个...

  随着Internet的飞速发展,网络应用越来越广泛,对各种工业控制设备的网络功能要求也越来越高。...

  随着嵌入式技术的发展,实时操作系统RTOS(Real Time Operating System)被越来越多地应用在嵌入式系统中,但是对现有基于...

  TMS320VC5402处理器片内共有8条总线以及CPU、片内存储器和片外电路等硬件。该处理器具有低功耗、速度快,高度并行化等特...

版权声明:本文为原创文章,版权归 凯发体育官网下载 所有,欢迎分享本文,转载请保留出处!
上一篇:凯发体育官网下载河南思维自动化设备股份有限
下一篇:凯发体育官网下载工业自动化设备自动化设备有