摘 要 ： 隨著網際網路逐漸普及 ， 物聯網、大資料、雲端計算等技術飛速發展 ， 網路安全時刻面臨嚴峻威脅 。 各企事業單位對網路運維的需求進一步加強 ， 卻面臨著如裝置多、型號雜、廠家不統一等運維難題 ， 因此在搭建網路安全運維平臺時普遍要求平臺具有高可用性、高可靠性、高擴充套件性及穩定的安全架構 。 同時 ， 在新政策指引下 ， 國產軟硬體對進口軟硬體的替代趨勢加劇 ， 也要求網路安全運維平臺深入國產化部署 ， 自主研發、安全可控 。針對 網路安全運維現狀與面臨的威脅 ， 通過對智和網管平臺的分析 ， 研究網路安全運維平臺實施部署的有效措施 ， 以提高網路運維效率 ， 確保網路執行安全 。  

關鍵詞 ： 網路安全 ： 網路運維 ： 安全架構 ： 網管平臺 ： 安全可控

隨著資訊科技的快速發展及網路應用的廣泛普及，企業在享受網路技術帶來便利的同時，也受到日益嚴重的網路安全威脅。未來，企業資訊系統 規模和複雜程度將不斷增大，對資訊通訊技術的應用也將不斷深入，網路安全運維將成為愈發突出的問題。

一、 網路安全運維面臨的主要問題

隨著企業資訊化的發展不斷深入，其日常生產經營管理與網路和資訊化結合日趨緊密，對網路和資訊系統的依賴程度越來越高。目前，企業普遍存在網路安全運維難題。

（一） 網路結構複雜，搭建缺乏明確規劃

一方面是地理上的隔離，一企業多地辦公造成內部網路異地部署：另一方面，企業辦公網路和生產網路混雜，網路結構不清晰。

（二） 網路安全運維物件繁雜

網路運維物件多為伺服器、交換機、路由器、安全裝置、通訊裝置、視訊監控裝置及軟體服務等。有數百家廠商生產不同規格、不同型號的軟硬體產品，需要進行大量適配工作。

（三） 運維物件存在品牌異構及協議差別，難以統一運維

裝置配置介面差異大，管理員難以快速熟悉各家產品的操作介面及操作指令，統一配置裝置策略成為難題。

（四） 核心技術存在短板，對國外產品存在依賴

與歐美髮達國家相比，我國資訊科技發展仍存在空白點，部分重要軟硬體產品仍依賴國外，缺乏自主可控的資訊科技產業鏈。

（五） 網路安全人才不足

同與日俱增的網路安全需求相比，在專業人才的培養方式上存在短板，專業性、複合型網路安全人才短缺。

二、 主要應對措施

基於網路發展未來趨勢及網路安全運維的整體目標，針對當前網路安全運維中存在的問題，各企事業單位可從構建國產化網路運維體系、減少人力運維依賴出發，應對當前存在的網路安全運維難題。主要措施包括：推進國產軟硬體產品替代國外產品；打造網路安全管控平臺和態勢感知與監測預警平臺，使網路安全運維協同化、視覺化、規範化；針對性建設網路安全運維體系，持續進行體系優化。

三、 網路安全運維平臺架構

構建全天候、全方位網路安全運維平臺，將人工運維轉化為自動運維，將被動維護轉化為主動維護，將單點監控轉化綜合監測，提高態勢感知、風險監測、故障告警、大資料分析等能力。通過採集伺服器、交換機、中介軟體、防火牆、應用系統等裝置的資料及日誌資訊，進行實時監控，動態展現，對全網資訊進行跨地域、跨網段、跨裝置的全維度視覺化監測：主動監測和發現網路異常事件，實時告警，提高風險防範和監測預警能力。網路安全運維平臺架構如圖１所示。

 

圖１ 網路安全運維平臺架構

四、 基於智和網管平臺的網路安全運維解決方案

網路已融進生活與生產建設的每個角落，對企業生產、公司管理乃至軍事國防都產生重要影響，因此網路安全運維尤為重要。本文以北京智和信通技術有限公司的智和網管平臺 (SugarNMS) 為例，分析網路安全運維方案中核心功能及實施措施。

（一） 基礎功能方面

智和網管平臺 SugarNMS 基礎功能結構在基礎功能方面，網路安全運維平臺應具備裝置、資源、鏈路自動發現功能，具備視覺化網路 拓撲、故障告警、效能分析等能力，基礎功能結構如圖２所示，具體包括：

１ ) 自動發現。 在網路可達範圍內，通過 IP 資訊搜尋網路節點，匹配網路節點的型號與廠商資訊，通過裝置真實皮膚模擬視覺化，通過資源邏輯皮膚展示網路節點資源資訊，可監控網路節點的 CPU 、記憶體、板卡、磁碟等資源使用情況與網路節點之間的鏈路關係。

２ ) 拓撲展示。 將網路節點根據網路關係或邏輯關聯組合後以拓撲形式展示，並對網路節點、節點中的資源、節點之間的鏈路關係進行監控或者管理。

３ ) 裝置管控。 支援在拓撲圖或列表管理配置設 備及其引數，可通過 SNMPV １∕ V ２ C ∕ V ３， NetConf ， Telnet ， SSH ， IPMI ， ONVIF ， JRPC ， JMX ， JDBC ， WMI ， Trap ， Syslog ， HTTP 等協議管理裝置。

４ ) 資源管理。 視覺化展示裝置真實皮膚及資源邏輯皮膚，包括構成網路節點的物理元件、網路節點中執行的服務或根據監控需求自定義的其他監控目標。

５ ) 鏈路識別。 可在拓撲檢視及管理列表編輯鏈路資訊，並在拓撲上展示鏈路實時效能資料，支援根據需求修改展示資料的型別。

６ ) 故障告警。 採集裝置故障及事件資訊，觸發實時告警，可在網路拓撲及故障告警列表檢視告警資訊，並可一鍵觸發告警工單。

７ ) 效能採集。 通過網路節點協議棧策略對其資源資訊進行採集。採集到的效能資料通過智慧演算法進行計算並視覺化展示，支援固定或自定義時間範圍檢視效能指標的趨勢變化情況。

８ ) 安全管控。 提供基於萬能命令的安全管控能力，可通過命令下發實現諸如 QoS 安全策略、流量策略、准入控制等功能，並支援全網 MAC-IP 資料獲取與繫結、黑白名單策略啟用或禁用。

９ ) 監控報告。 提供面向網路、裝置、資源的智慧巡檢能力，包含自動化運維、故障巡檢、策略巡檢、策略備份等巡檢策略配置。支援生成巡檢報告及統計報表，讓使用者對網路有一個全面直觀的瞭解。

（二） 平臺架構方面

監控模組

一鍵實現網路裝置、鏈路、資源的自動發現並 生成網路拓撲圖，支援 LLDP 、 CDP 、 ICMP 、 ARP 、埠轉發表、生成樹協議、鄰居路由等物理拓撲發現技術，發現裝置的物理連結。提供 IP 範圍、網路範圍、下掛裝置搜尋等發現途徑。具備裝置管理、網路管理、拓撲管理、告警管理、效能分析、事件日誌管理等功能。提供圖形化裝置型別擴充套件介面、皮膚圖編輯介面、資源擴充套件介面、告警擴充套件介面、效能擴充套件介面、 TRAP 擴充套件介面

分析模組

提供大資料整理分析能力，對網路海量資料進行圖形化分析展示，具備自定義配置大屏展示資料能力，大屏資料元素、圖表元素、資料範圍等方面可隨意配置。提供業務監控、自定義 業務流程、業務告警檢視等功能。

運維模組

提供自定義運維巡檢策略功能，也可通過命令配 置運維編排策略，實現對網路、裝置、資源等的自動化運維管理。

工單模組

提供運維工單功能，支援在裝置和故障管理頁面快速建立工單，把控故障處理進度。提供自定義工單模板、配置智慧工單服務水平 (SLA) 、我的工單、所有工單展示及實時工單狀態展示等功能。形成自動化故障處理機制，並在每個處理流程節點上責任到人。在實現快速響應故障的同時，兼顧企業流程管控。

日誌模組

提供海量裝置、應用的日誌資訊管理模組，集中收集處理目標裝置執行日誌、執行狀態、安全事件、空間使用情況、使用者操作記錄等各類異構日誌 資料，經過歸併、過濾和大資料分析處理後，對異常資料進行告警，並以統一形式的日誌格式儲存管理，結合豐富的儀表、圖表及顏色，全面綜合展示網路狀態。

（三） 安全控制方面

提供基於裝置、資源層面的全網裝置安全運維與深度管控。通過 Telnet 、 JDBC 、 JMX 、 SNMP 協議等裝置管理協議及裝置型別，進行統一安管和運維規範配置，智和網管平臺 SugarNMS 安全控制架構如圖３所示，實現多品牌裝置集中管控、安全策略可見、配置準確性核查等功能。提供拓撲圖右鍵快捷命令下發操作。支援對華為、華三、邁普、迪普、銳捷等國產裝置的深入管控，包括 ACL 、 QoS 、路由配置、賬號安全、終端准入等。

 

圖３ 智和網管平臺 SugarNMS 安全控制架構

（四） 擴充套件開發方面

在通用網管功能的基礎上，提供模組式或者程式碼式的開發形式，可在最短的時間內滿足各種定製需求，同時廠商應提供全套開發資料以及完善的培訓服務。

開發模組應包含：二次開發平臺、拓撲圖開發 元件、 SNMP 開發元件、服務端 API 、資料庫 API 、 HTML ５程式碼、裝置外掛介面 Java 程式碼、 Web 服務端 Restful 介面及相應的開發文件、開發培訓服務。

（五） 信創國產化方面

智和網管平臺支援在中標麒麟、銀河麒麟、紅 旗 Linux 等國產作業系統上執行，支援在達夢、金倉、神州等國產資料庫進行資料儲存，通過東方通等國產中介軟體提供對外服務，支援龍芯、申威等 國產 CPU 架構，並實現對國產化 CPU 、伺服器、資料庫、中介軟體等 IT 軟硬體裝置的綜合監控與運維管理。智和網管平臺 SugarNMS 信創國產化架構如圖４所示：

 

圖４ 智和網管平臺 SugarNMS 信創國產化架構

五、 智和網管平臺對網路安全運維的意義

通過部署智和網管平臺，實現網路具象化展示、秒級故障監控及網路資料分析展示等功能，對網路安全運維具有提升運維效率、實現安全可控及降低人員依賴等眾多價值。

１)  智慧化監控，一鍵搜尋、發現和識別網路裝置、資源、鏈路，智慧化故障管理，最大限度提高產品的易操作性，簡化使用者操作步驟，減少管理環境的搭建時間，提高管理效率。

２)  具象化拓撲圖，全面完整呈現網路拓撲結構，以圖形化的形式對網路結構及網路內的裝置進行展示與管理，極大地降低 IT 管理的難度。

３)  個性化定製開發、系統整合，滿足差異化需求，支援針對特殊需求定製專屬網管平臺，且不斷更新平臺功能，以滿足網路發展帶來的差異需求。

４)  信創國產化。根據國內使用者在資訊建設方面國產替代日益增多的需求，實現相容國產 CPU 、伺服器、作業系統、資料庫、中介軟體等軟硬體產品，改善國內缺乏自主可控的國產化運維平臺的情況。

５)  採用主流 Java Spring Boot 、 Spring Cloud 、 HTML ５、 Restful 、大資料、 １００％ Java 多層分散式技術，提供電信級可靠性保障。支援容災方案和雙機熱備，最大限度保障網路運維資料安全。

６)  企業級部署。支援大規模組網管理，可直接 穿透私網進行監控，支援分散式部署，平臺易於升級和維護，能夠滿足未來業務的需求變化。

７)  支援私有裝置。新的裝置型別、未知裝置種類，無需開發程式設計，通過系統提供的 GUI 策略擴充套件介面，即可完成適配，解決網路中裝置品牌、型號繁雜難題。

８)  從裝置層面實現全網安全運維。基於 Telnet 、 SSH 、 NetConf 、 SNMP 、 IPMI 等裝置管理協議及裝置型別，進行統一安管、運維規範配置，實現多品牌裝置集中管控、安全策略可見、配置準確性核查等功能。

六、 總 結

企事業單位的經營管理與資訊化結合愈發緊密，生活及生產活動對網路的依賴程度逐年升高，網路安全作為基礎保障發揮著越來越重大的作用。網管平臺也逐步成為企事業單位網路安全運維中不可缺少的一環。傳統網路安全運維工具難以解決網路運維中存在的各種疑難雜症，功能升級勢在必行。

本文主要介紹了網路安全運維中面臨的主要問題及應對措施，並以智和網管平臺為例，闡述新時代下網管平臺功能及架構的發展方向。