网络运维监控方案(基于智和网管平台的网络安全运维解决方案)
网络运维监控方案(基于智和网管平台的网络安全运维解决方案)运维对象存在品牌异构及协议差别,难以统一运维网络运维对象多为服务器、交换机、路由器、安全设备、通信设备、视频监控设备及软件服务等。有数百家厂商生产不同规格、不同型号的软硬件产品,需要进行大量的适配工作。网络结构复杂,搭建缺乏明确规划一方面是地理上的隔离,一企业多地办公造成内部网络异地部署:另一方面,企业办公网络和生产网络混杂,网络结构不清晰。网络安全运维对象繁杂
摘 要:随着互联网逐渐普及,物联网、大数据、云计算等技术飞速发展,网络安全时刻面临严峻威胁。各企事业单位对网络运维的需求进一步加强,却面临着如设备多、型号杂、厂家不统一等运维难题,因此在搭建网络安全运维平台时普遍要求平台具有高可用性、高可靠性、高扩展性及稳定的安全架构。同时,在新政策指引下,国产软硬件对进口软硬件的替代趋势加剧,也要求网络安全运维平台深入国产化部署,自主研发、安全可控。针对网络安全运维现状与面临的威胁,通过对智和网管平台的分析,研究网络安全运维平台实施部署的有效措施,以提高网络运维效率,确保网络运行安全。
关键词:网络安全:网络运维:安全架构:网管平台:安全可控
随着信息技术的快速发展及网络应用的广泛普及,企业在享受网络技术带来便利的同时,也受到日益严重的网络安全威胁。未来,企业信息系统 规模和复杂程度将不断增大,对信息通信技术的应用也将不断深入,网络安全运维将成为愈发突出的问题。
网络安全运维面临的主要问题随着企业信息化的发展不断深入,其日常生产经营管理与网络和信息化结合日趋紧密,对网络和信息系统的依赖程度越来越高。目前,企业普遍存在网络安全运维难题。
网络结构复杂,搭建缺乏明确规划
一方面是地理上的隔离,一企业多地办公造成内部网络异地部署:另一方面,企业办公网络和生产网络混杂,网络结构不清晰。
网络安全运维对象繁杂
网络运维对象多为服务器、交换机、路由器、安全设备、通信设备、视频监控设备及软件服务等。有数百家厂商生产不同规格、不同型号的软硬件产品,需要进行大量的适配工作。
运维对象存在品牌异构及协议差别,难以统一运维
设备配置界面差异大,管理员难以快速熟悉各家产品的操作界面及操作指令,统一配置设备策略成为难题。
核心技术存在短板,对国外产品存在依赖
与欧美发达国家相比,我国信息技术发展仍存在空白点,部分重要软硬件产品仍依赖国外,缺乏自主可控的信息技术产业链。
网络安全人才不足
同与日俱增的网络安全需求相比,在专业人才的培养方式上存在短板,专业性、复合型网络安全人才短缺。
主要应对措施基于网络发展未来趋势及网络安全运维的整体目标,针对当前网络安全运维中存在的问题,各企事业单位可从构建国产化网络运维体系、减少人力运维依赖出发,应对当前存在的网络安全运维难题。主要措施包括:推进国产软硬件产品替代国外产品;打造网络安全管控平台和态势感知与监测预警平台,使网络安全运维协同化、可视化、规范化;针对性建设网络安全运维体系,持续进行体系优化。
网络安全运维平台架构构建全天候、全方位网络安全运维平台,将人工运维转化为自动运维,将被动维护转化为主动维护,将单点监控转化为综合监测,提高态势感知、风险监测、故障告警、大数据分析等能力。通过采集服务器、交换机、中间件、防火墙、应用系统等设备的数据及日志信息,进行实时监控,动态展现,对全网信息进行跨地域、跨网段、跨设备的全维度可视化监测:主动监测和发现网络异常事件,实时告警,提高风险防范和监测预警能力。网络安全运维平台架构如图1所示。
图1 网络安全运维平台架构
基于智和网管平台的网络安全运维解决方案网络已融进生活与生产建设的每个角落,对企业生产、公司管理乃至军事国防都产生重要影响,因此网络安全运维尤为重要。本文以北京智和信通技术有限公司的智和网管平台(SugarNMS)为例,分析网络安全运维方案中核心功能及实施措施。
基础功能方面智和网管平台SugarNMS基础功能结构在基础功能方面,网络安全运维平台应具备设备、资源、链路自动发现功能,具备可视化网络 拓扑、故障告警、性能分析等能力,基础功能结构如图2所示,具体包括:
1)自动发现。在网络可达范围内,通过IP 信息搜索网络节点,匹配网络节点的型号与厂商信息,通过设备真实面板模拟可视化,通过资源逻辑面板展示网络节点资源信息,可监控网络节点的 CPU、内存、板卡、磁盘等资源使用情况与网络节点之间的链路关系。
2)拓扑展示。将网络节点根据网络关系或逻辑关联组合后以拓扑形式展示,并对网络节点、节点中的资源、节点之间的链路关系进行监控或者管理。
3)设备管控。支持在拓扑图或列表管理配置设 备及其参数,可通过SNMPV1∕V2C∕V3,NetConf,Telnet,SSH,IPMI,ONVIF,JRPC,JMX,JDBC,WMI,Trap,Syslog,HTTP等协议管理设备。
4)资源管理。可视化展示设备真实面板及资源逻辑面板,包括构成网络节点的物理组件、网络节点中运行的服务或根据监控需求自定义的其他监控目标。
5)链路识别。可在拓扑视图及管理列表编辑链路信息,并在拓扑上展示链路实时性能数据,支持根据需求修改展示数据的类型。
6)故障告警。采集设备故障及事件信息,触发实时告警,可在网络拓扑及故障告警列表查看告警信息,并可一键触发告警工单。
7)性能采集。通过网络节点协议栈策略对其资源信息进行采集。采集到的性能数据通过智能算法进行计算并可视化展示,支持固定或自定义时间范围查看性能指标的趋势变化情况。
8)安全管控。提供基于万能命令的安全管控能力,可通过命令下发实现诸如QoS安全策略、流量策略、准入控制等功能,并支持全网MAC-IP数据获取与绑定、黑白名单策略启用或禁用。
9)监控报告。提供面向网络、设备、资源的智能巡检能力,包含自动化运维、故障巡检、策略巡检、策略备份等巡检策略配置。支持生成巡检报告及统计报表,让用户对网络有一个全面直观的了解。
平台架构方面监控模块一键实现网络设备、链路、资源的自动发现并 生成网络拓扑图,支持 LLDP、CDP、ICMP、ARP、端口转发表、生成树协议、邻居路由等物理拓扑发现技术,发现设备的物理链接。提供IP 范围、网络范围、下挂设备搜索等发现途径。具备设备管理、网络管理、拓扑管理、告警管理、性能分析、事件日志管理等功能。提供图形化设备类型扩展界面、面板图编辑界面、资源扩展界面、告警扩展界面、性能扩展界面、TRAP扩展界面
分析模块提供大数据整理分析能力,对网络海量数据进行图形化分析展示,具备自定义配置大屏展示数据的能力,大屏数据元素、图表元素、数据范围等方面可随意配置。提供业务监控、自定义 业务流程、业务告警视图等功能。
运维模块提供自定义运维巡检策略功能,也可通过命令配置运维编排策略,实现对网络、设备、资源等的自动化运维管理。
工单模块提供运维工单功能,支持在设备和故障管理页面快速创建工单,把控故障处理进度。提供自定义工单模板、配置智能工单服务水平(SLA)、我的工单、所有工单展示及实时工单状态展示等功能。形成自动化故障处理机制,并在每个处理流程节点上责任到人。在实现快速响应故障的同时,兼顾企业流程管控。
日志模块提供海量设备、应用的日志信息管理模块,集中收集处理目标设备运行日志、运行状态、安全事件、空间使用情况、用户操作记录等各类异构日志 数据,经过归并、过滤和大数据分析处理后,对异常数据进行告警,并以统一形式的日志格式存储管理,结合丰富的仪表、图表及颜色,全面综合展示网络状态。
安全控制方面提供基于设备、资源层面的全网设备安全运维与深度管控。通过Telnet、JDBC、JMX、SNMP协议等设备管理协议及设备类型,进行统一安管和运维规范配置,智和网管平台 SugarNMS安全控制架构如图3所示,实现多品牌设备集中管控、安全策略可见、配置准确性核查等功能。提供拓扑图右键快捷命令下发操作。支持对华为、华三、迈普、迪普、锐捷等国产设备的深入管控,包括 ACL、QoS、路由配置、账号安全、终端准入等。
图3 智和网管平台SugarNMS安全控制架构
扩展开发方面在通用网管功能的基础上,提供模块式或者代码式的开发形式,可在最短的时间内满足各种定制需求,同时厂商应提供全套开发资料以及完善的培训服务。
开发模块应包含:二次开发平台、拓扑图开发 组件、SNMP开发组件、服务端 API、数据库 API、HTML5代码、设备插件接口Java代码、Web服务端Restful接口及相应的开发文档、开发培训服务。
信创国产化方面智和网管平台支持在中标麒麟、银河麒麟、红 旗 Linux等国产操作系统上运行,支持在达梦、金仓、神州等国产数据库进行数据存储,通过东方通等国产中间件提供对外服务,支持龙芯、申威等 国产CPU 架构,并实现对国产化CPU、服务器、数据库、中间件等IT 软硬件设备的综合监控与运维管理。智和网管平台 SugarNMS 信创国产化架构如图4所示:
图4 智和网管平台SugarNMS信创国产化架构
智和网管平台对网络安全运维的意义通过部署智和网管平台,实现网络具象化展示、秒级故障监控及网络数据分析展示等功能,对网络安全运维具有提升运维效率、实现安全可控及降低人员依赖等众多价值。
- 智能化监控,一键搜索、发现和识别网络设备、资源、链路,智能化故障管理,最大限度提高产品的易操作性,简化用户操作步骤,减少管理环境的搭建时间,提高管理效率。
- 具象化拓扑图,全面完整呈现网络拓扑结构,以图形化的形式对网络结构及网络内的设备进行展示与管理,极大地降低IT管理的难度。
- 个性化定制开发、系统集成,满足差异化需求,支持针对特殊需求定制专属网管平台,且不断更新平台功能,以满足网络发展带来的差异需求。
- 信创国产化。根据国内用户在信息建设方面国产替代日益增多的需求,实现兼容国产CPU、服务器、操作系统、数据库、中间件等软硬件产品,改善国内缺乏自主可控的国产化运维平台的情况。
- 采用主流Java Spring Boot、Spring Cloud、HTML5、Restful、大数据、100%Java多层分布式技术,提供电信级可靠性保障。支持容灾方案和双机热备,最大限度保障网络运维数据安全。
- 企业级部署。支持大规模组网管理,可直接 穿透私网进行监控,支持分布式部署,平台易于升级和维护,能够满足未来业务的需求变化。
- 支持私有设备。新的设备类型、未知设备种类,无需开发编程,通过系统提供的 GUI策略扩展界面,即可完成适配,解决网络中设备品牌、型号繁杂难题。
- 从设备层面实现全网安全运维。基于Telnet、SSH、NetConf、SNMP、IPMI等设备管理协议及设备类型,进行统一安管、运维规范配置,实现多品牌设备集中管控、安全策略可见、配置准确性核查等功能。
企事业单位的经营管理与信息化结合愈发紧密,生活及生产活动对网络的依赖程度逐年升高,网络安全作为基础保障发挥着越来越重大的作用。网管平台也逐步成为企事业单位网络安全运维中不可缺少的一环。传统网络安全运维工具难以解决网络运维中存在的各种疑难杂症,功能升级势在必行。
本文主要介绍了网络安全运维中面临的主要问题及应对措施,并以智和网管平台为例,阐述新时代下网管平台功能及架构的发展方向。