浅析通信网管集约化的安全要求和技术措施
来源:用户上传
作者:
摘要:目前,随着通信传输技术和信息网络技术的发展,地理位置分散的通信传输系统,其网管服务器可以安置在同一机房,并进行集中建设和集中运维。这种集约化的通信网管建设与运维能够有效减少运维成本和提升运维效率。信息网络安全,对于这种集中建设与运维的系统,其重要性尤为突出。因此,本文将针对通信网管集约化建设、运维工作中需要注意的信息网络安全问题、防护措施进行探究。
关键词:网管服务器;网管网络;集约化;安全措施
中图分类号:TP309 文献标识码:A 文章编号:1003-2177(2019)02-0125-04
0 引言
通信网管集约化指将分散在不同地点的通信网管服务器集中到统一地点并进行统一运维管理。目前,国家电网公司正在推进一二级骨干传输网和三、四级骨干传输网的通信网管集约建设,目标是为了切实提升骨干光传输网的本质安全,彻底解决分散建设、集约管理手段不足的问题。其中,一二级骨干传输网的通信网管集约化是将公司各个分部的通信网管服务器及其附属设施统一建设在国网总部机房,由国网总部统一运维管理;三四级骨干传输网的通信网管集约是将分布各个地市公司的通信网管服务器及其附属设施统一建设在其所属省公司机房,由省公司统一运维管理。建设完成后,国家电网公司原来的通信网管四级构架,即“国网、分部、省公司、地市公司”变为“国网、省公司”两级构架。
通信网管集约化实现方式分成三步,第一步是在中心站集中建设各个通信系统、各类厂家的集中网管服务器;第二步是建设以中心站为中心、以分部或地市公司为外围节点的星型网络,专用于传输网管信息,连接网关网元和服务器,该网络简称为网管网;第三步即将各个通信系统的网关网元接入到网管网的外围节点,网管服务器接入到网管网的中心节点,各个网管服务器通过分权分域的方式来管理分布或地市公司的通信网元。因此,通信网管集约化的安全问题主要包含主机安全和网络安全两部分。目前,信息安全作为国家电网公司安全管理的重要组成部分,越来越受公司重视[1]。而随着信息技术发展,各类恶意攻击、木马病毒层出不穷[2]。如何防范这些安全风险,保障通信网管集约化的建设、运维工作顺利进行,是一个值得研究的问题。因此,本文将从技术角度,全面剖析通信网管集约化工作中主机安全、网络安全的技术要求,并提出相应的解决办法。
1 通信網管集约化主机安全的技术要求与措施
1.1 身份鉴别
身份鉴别可以分为两个方面,主机身份鉴别和应用身份鉴别。为了增强主机系统的安全性和保障各类应用网管的正常运行,应该采取一系列的安全加固措施,常用措施包括:(1)根据主机和应用网管的要求,设定不同的账户和账户组,包括管理员用户、数据库用户、审计用户、监视员用户等。(2)对登录操作系统、数据库、应用网管系统、客户端的用户进行认证和鉴别,并要求确保用户名的唯一性。(3)对操作系统、数据库、应用网管系统与客户端配置用户名、密码。设置密码策略,配置为周期性更改要求;防止弱口令存在,特别是对于采用静态口令认证技术的主机和应用网管,口令长度至少8位,且密码规程至少应采用字母大小写穿插加数字和特殊符号的方式。(4)对操作系统、数据库、应用网管系统与客户端军启用登录失败处理功能,对失败的登录采取如下措施包括:终止会话链接、拒绝不合法登录和锁定账户等。(5)对于操作系统和应用网管系统进行远程管理时,必须启用SSH和其他安全方式,并启用管理数据加密来防止网络的窃听。(6)登录操作系统和应用网管系统时,应该采用双因子认证和鉴别,包括使用USB秘钥进行认证和身份鉴别。
身份鉴别的实现方式主要有:(1)主机身份鉴别可以通过在网管集约化的通信系统中安装终端管控系统,通过该系统的准入功能完成对主机身份认证和鉴别。(2)对于应用身份鉴别,如果应用网管具备上述功能,则启用其功能;如果应用网管本身不具备某些安全要求,则应该要求进行相关开发来满足这些身份鉴别的安全要求。此外,可以通过在网管集约化的通信系统中安装一台堡垒机,并设定用户登录需要通过堡垒机的认证和应用身份鉴别。
1.2 接入鉴权
对于网管集约化的应用网管和主机而言,其通信网络管理的一个重要要求是对接入链接实行强制接入管控,主要通过接入鉴权来实现。接入鉴权的重要内容包括应用网管文件系统的访问控制、数据库的接入控制和其他资源访问控制,以防止相关资源被未授权地使用。可以采用的主要常用措施包括(1)使能主机和应用网管系统的接入控制功能,采用严格的安全接入控制策略,特别是对用户访问主机和应用系统的文件系统、数据库和其他资源按照设定的策略进行控制,这些设定的控制策略的粒度应该达到在用户级别、文件级别乃至数据表级别。(2)操作权限控制。主机和应用网管的接入控制规则应该清晰地包含访问者、被访问的目标和二者之间可以被许可的操作。按照可以完成相关任务的最小权限对不同用户进行授权,严格避免访问授权范围过大,并对用户间的访问关系进行严格限制。如设定策略,防止远程用户或非管理员用户非法关闭网管服务器或应用网管,防止低级别用户非法获取其权限以外的文件等。(3)采用严格的账户管理,对默认账户的接入权限进行严格的限制,对默认账户进行重命并更改默认的访问密码。及时删除或锁定与设备运行、维护等工作无关的账户,并且禁止使用来宾账户和共享账户。防止用户从网络或本地非法登录主机或应用网管,在组策略中严格限定账户登录方式,如网络登录或本地登录等,同时禁止用户自动登录主机或应用网管等。
接入鉴权安全性的实现方式有:(1)主机接入鉴权制的实现主要采取两种方式:采用安全操作系统,或对操作系统进行安全增强改造,且使用效果要达到以上要求。(2)应用网管系统访问控制安全性可以通过在网管集约化的通信系统中安装一台堡垒机来完成,完成业务终端与服务器、数据库等资源的隔离,实现对访问用户的授权和接入鉴权。 1.3 审计分析
通信网管集约化的主机和应用网管系统中,审计功能应该包含文件操作审计、外接设备操作审计、非法外联审计、IP地址变更审计、服务审计和进程审计等。主机和应用网管应该设置审计策略,记录系统的重要日志,主机和应用网管应该配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号、登录是否成功、登录时间和远程登录时的IP地址。审计范围应该覆盖主机和应用网管系统中的每个操作系统用户和应用网管系统用户。审计内容必须包含用户的重要行为、对系统资源的不正当使用、系统的重要命令和操作的使用、和系统中的重要安全事件等的审计。审计记录应该包含日期、时间、类型、主体、客体和事件结果。应该对审计记录进行包含策略,防止被意外删除、更改或者重写覆盖。同时,应该支持根据审计记录数据和通信分析,形成详细的审计报表。此外,需要合理配置日志记录策略,优化系统日志记录,防止日志溢出。
审计分析的实现方式主要有:(1)可以通过在网管集约化的通信系统中安装终端管控系统,通过该系统的审计功能完成对主机和应用网管的相关操作的审计。(2)可以通过在网管集约化的通信系统中部署主机审计服务系统来实现对主机的监控、审计和相关系统管理功能。
1.4 入侵防护
对于通信网管集约化的主机的入侵防护,可以从多个方面进行处置:(1)部署一套入侵检测系统或防病毒软件来执行对主机入侵的进行防护的安全组件,并及时更新病毒库。(2)通过部署一套终端安全管理系统,并启用补丁按时修复功能来及时更新主机的安全补丁。(3)主机操作系统的安装应该遵循服务最小化安装的原则,只安装必须的功能组件和应用服务,将不必要的服务进行关闭,并屏蔽业务无关的端口,修改远程访问端口,并按公司特定要求进行其它端口规范设置。(4)根据不同的系统类型,执行相应的安全加固措施,包括启用主机的屏幕保护程序、设置远程登录挂起时间、关闭默认共享及权限设置,启用数据保护配置、启用防拒绝服务攻击配置、启用防止源路由欺骗攻击设置。(5)设置好SNMP服务和同步时钟服务,修改SNMP服务密码,防止泄露系统信息。如需启用SNMP服务,则修改默认的SNMP团体字符;设置时钟同步,同步至公司内部的时钟服务等。
1.5 备份系统
为了实现主机和应用网管的数据灾备和恢复,需要在通信网管集约化的系统中部署一套数据备份系统。数据备份系统应该遵循稳定性、综合性、自动化、高性能、操作简单和实时性等要求。备份系统应具备足够的功能来支持运行稳定、管理简单、广泛的设备兼容性和可靠的数据完整性保障。备份系统应该能够对网管集约化的全系统提供一套比较宽泛的数据保护的功能选项和功能扩展,并且具备相关高级功能,包括应用网管系统和数据文件的在线实时数据备份,先进的设备和介质管理,快速和平稳的灾备数据恢复,和支持光纤交换存储。本地全数据备份应该至少每天进行一次,并对于离线方式的存储介质应该妥善保管。備份系统提供远程数据备份功能,支持通过通信网络周期性地和大批量地将关键数据备份到远程地址的备份服务器中。
1.6 资源管理
为了确保网管集约化的主机和应用网管系统能够正常为用户提供服务,必须执行资源管理功能,否则将导致资源耗竭、服务劣化甚至服务中断。通过对主机和应用网管进行配置或部署资源管理应用系统来达到资源管理目标,其具体功能应该包括:(1)自动切断会话功能,即当主机或应用网管的链接的某个通信方在设定的时间内没有反应,另一个通信方应该能检测到并自动终止该通信链接,以释放资源。(2)限制链接数功能,包括限制一个应用网管系统的最大并发会话链接数,限制某段时间内的最大并发会话链接数,限制单个用户可能的并发链接数等,并设置合理的门限,以保障系统的可达性。(3)登录条件限制功能,设置终端登录模式、IP地址范围和其它条件等限制终端登录,并根据设定的安全策略来启用超时锁定终端登录等功能。(4)用户可用资源的门限配置功能,限制某个系统资源可被单个用户使用的最大或最小的使用量门限,以保障正常的资源运行和合理的资源占用。(5)重要服务器的资源监控功能,包括对CPU、硬盘和内存等的监控。当系统的服务水平到达预定的最小值时能进行检测和告警。(6)服务优先级配置功能,能根据不同接入账户或访问进程设置资源访问优先级,并根据资源优先级进行系统资源分配。
2 通信网管集约化网络安全的技术要求与措施
2.1 网络用户行为监视与审计
网络安全审计系统主要用于监视和记录网络中的各类操作、侦测系统中已经存在和潜在的各类威胁、各类外部和内部网络安全事件的实时综合分析。通过在网管集约化的系统中部署网络用户行为监视和审计系统来监控网络数据流与执行相应的安全审计。同时,该系统应该提供中心化的安全管理功能,和其他网络安全组件一起对数据流进行监控。网络用户行为监视和审计系统拥有独立的网络数据感知硬件组件,并部署在网管集约化系统中的网络中心节点。分析网络数据包,根据特定协议算法来匹配和分析,以此来实现网络审计功能,包括入侵检测、信息检索等,并通过审计记录产生详细的审计报表。网络用户行为监视和审计系统采用旁路路由技术,不需要在目标主机中安装任何组件。同时,网络审计系统能够与网络安全组件进行协同,发送监控记录给安全管理域中的安全管理服务器,从而能够更好地检测和分析网络异常、网络攻击和病毒。
2.2 网络设备安全加固
为提高网管集约化系统的网络设备的安全性,确保各类应用网管的正常网络操作,应该采用一系列的安全加固措施,常用措施包括:(1)应对不同的用户分配不同的账号,避免不同用户间账号共享。原则上应采用预定义级别的授权方法,实现对不同用户的权限控制,满足最小授权要求,并禁用无关账号。(2)通过ACL等限制网络设备登录的管理员账户的登录地址。(3)身份识别信息应该不能被轻易破解,密码长度至少8位,包括数字、大写字母、小写字母和特殊符号,配置策略自动拒绝用户设置不符合复杂度要求的密码,并且配置周期性更改要求。(4)应该具备登录失败处理功能。登录失败后,网络设备应该采取措施包括终止会话、拒绝非法登录、锁定账户和登录超时后自动终止网络登录。(5)使能SSH和其它管理方法来对传输数据进行加密防止网络窃听。(6)关闭网络设备未使用的管理口如AUX口,关闭没有开启业务的端口,对console口配置符合密码安全要求的密码。(7)对VTY端口进行设置,限制VTY口的数量,设定VTY口的防护策略,避免由于恶意攻击或者错误操作导致VTY端口失常。(8)关闭不必要的服务,如CDP、DNS lookup、DHCP、finger、udp-small-server、tcp-small-server、http、bootp、ip源路由、PAD等。采用最小化服务原则,网络设备对外提供的所有服务都要配置登录账号,通过账号进行控制,只允许ACL里面permit的主机才能访问。(9)在设备上进行安全策略配置,对各种MAC地址表攻击、ARP工资、Vlan攻击、STP攻击、DHCP攻击进行防护。设置安全访问控制列表,过滤掉已知的安全攻击数据包,如udp 1434端口(防止SQL slammer蠕虫)、tcp 445、5800、5900(防止Della蠕虫)等。 2.3 网络安全接入
为了确保网络边界的完整性,不仅需要执行非法外联阻断,也需要监视和阻断非法接入,以网络的可信接入和相互保障边界完整性。可以通过部署终端安全管理系统来实现这项功能。终端安全管理系统的一个重要功能组件是网络接入控制,提供网络阻塞功能包括阻塞ARP干扰功能和802.1x协议链接。系统的监控台将能快速反应非法接入的告警,其告警信息内容包含非法接入访问的IP地址、非法访问的目标IP和网络中其他外部主机的非法行为。系统能够实时根据接入用户信息和访问主机信息匹配的方法来确定接入主机的合法性,能及时阻止IP地址的冒用和非法使用,并联合保障通信网管管理系统网络边界的完整性。具体的功能包括:(1)在线主机监测功能,能够通过监视和活动性检查来检测系统中所有的在线主机,能够判断系统中的某个在线主机是否已经授权为可信任。(2)主机授权与认证功能。终端安全管理系统对于接入服务器的主机的授权与认证,可以通过联合是否安装网管客户端、是否安裝特定补丁、是否安装防病毒软件、主机工作运行状态和其它信息来进行,仅允许认证主机使用网络资源。(3)非法主机的网络阻塞功能。终端安全管理系统对于检测到的非法主机,能够及时地阻止其访问任何网络资源,确保其不能有意或无意地对网络进行攻击或盗取密码。(4)IP和MAC地址绑定管理功能,通过绑定IP和终端的MAC地址,禁止用户更改其IP和MAC地址,如果发生更改情况,能够在终端安全管理系统中产生相关告警。
2.4 网络设备统一日志管理
通过在网管集约化的系统中部署日志管理系统来实现各种格式日志的统一管理功能。对用户登录日志和用户操作日志进行记录和审计,记录和审计范围应包括但不限于:用户登录方式、使用的账号名、登录是否成功、登录时间、以及远程登录时用户使用的IP地址;账号创建、删除和权限修改,口令修改,设备配置修改,执行操作的行为和操作结果等。通过SNMP、SYSLOG或者其他的日志接口来搜集管理目标设备的日志信息,并将其转为统一的日志格式,从而进行统一的管理、分析和告警。日志管理系统能够自动完成日志数据的格式分析和分类,提供日志数据存储、备份、恢复、导入导出和其他操作功能。日志管理系统应支持日志的分散、分层管理,下层管理节点的日志数据可以发送到上一级的日志管理节点来进行集中管理。日志管理系统的软件能够实时监控收到事件的状态,如当前日志列表、系统风险状态等。在执行事件状态监控的同时,通过对设备和网络的相关参数进行检查来确定设备和网络当前状态。日志监控应支持实时的日志数据流、系统风险和其他趋势的监控,并通过图表形式展示。
2.5 网络运行监控管理
通过部署网络安全管理平台来执行集中的网络通信监控和告警管理。支持对网络设备和安全设备的集中监控、及时告警、安全事件管理、安全策略管理、安全操作和全网的维护。网络安全管理平台可以对各个安全域设备提供灵活的策略模式,来实现安全域内的设备信息搜集和处理。同时,安全管理平台的安全域内部署设备管理系统和控制台,通过与每个事件服务器组件或安全设备通信,来实现对整个网络的全局监控。管理员可以在安全管理域的控制台集中推送和设定设备的告警策略。同时,安全管理平台的监控能够处理告警信息。安全管理平台支持可视化,能在拓扑图上清晰展示网络关键属性和实时运行状态。
3 结语
通信网管集约化作为公司提升通信系统运维安全和可靠性的重要举措,正处在规划和建设的重要阶段。通信网管作为通信设备的管理中心,其安全性在通信系统的建设与运维过程中举足轻重。本文旨在分析当前通信网管集约化在建设、运维中需要注意的安全要求,从技术的可行性角度给出相关安全要求的实施措施,以提升通信网管集约化的主机安全和网络安全水平,是对通信网管集约化安全工作的一次有益探索。
参考文献
[1] 许爽,黄继海,赵冰.关于网络中用户信息传输安全性验证仿真[J].计算机仿真,2018(3):149-152.
[2] 田丽洁.机房网络安全隐患及网络安全技术和对策的应用分析[J].科学与财富,2018(13):297-300.
转载注明来源:https://www.xzbu.com/1/view-14695321.htm
