基於智和網管平臺的網路安全運維解決方案
摘 要 : 隨著網際網路逐漸普及 , 物聯網、大資料、雲端計算等技術飛速發展 , 網路安全時刻面臨嚴峻威脅 。 各企事業單位對網路運維的需求進一步加強 , 卻面臨著如裝置多、型號雜、廠家不統一等運維難題 , 因此在搭建網路安全運維平臺時普遍要求平臺具有高可用性、高可靠性、高擴充套件性及穩定的安全架構 。 同時 , 在新政策指引下 , 國產軟硬體對進口軟硬體的替代趨勢加劇 , 也要求網路安全運維平臺深入國產化部署 , 自主研發、安全可控 。針對 網路安全運維現狀與面臨的威脅 , 通過對智和網管平臺的分析 , 研究網路安全運維平臺實施部署的有效措施 , 以提高網路運維效率 , 確保網路執行安全 。
關鍵詞 : 網路安全 : 網路運維 : 安全架構 : 網管平臺 : 安全可控
隨著資訊科技的快速發展及網路應用的廣泛普及,企業在享受網路技術帶來便利的同時,也受到日益嚴重的網路安全威脅。未來,企業資訊系統 規模和複雜程度將不斷增大,對資訊通訊技術的應用也將不斷深入,網路安全運維將成為愈發突出的問題。
一、 網路安全運維面臨的主要問題
隨著企業資訊化的發展不斷深入,其日常生產經營管理與網路和資訊化結合日趨緊密,對網路和資訊系統的依賴程度越來越高。目前,企業普遍存在網路安全運維難題。
(一) 網路結構複雜,搭建缺乏明確規劃
一方面是地理上的隔離,一企業多地辦公造成內部網路異地部署:另一方面,企業辦公網路和生產網路混雜,網路結構不清晰。
(二) 網路安全運維物件繁雜
網路運維物件多為伺服器、交換機、路由器、安全裝置、通訊裝置、視訊監控裝置及軟體服務等。有數百家廠商生產不同規格、不同型號的軟硬體產品,需要進行大量適配工作。
(三) 運維物件存在品牌異構及協議差別,難以統一運維
裝置配置介面差異大,管理員難以快速熟悉各家產品的操作介面及操作指令,統一配置裝置策略成為難題。
(四) 核心技術存在短板,對國外產品存在依賴
與歐美髮達國家相比,我國資訊科技發展仍存在空白點,部分重要軟硬體產品仍依賴國外,缺乏自主可控的資訊科技產業鏈。
(五) 網路安全人才不足
同與日俱增的網路安全需求相比,在專業人才的培養方式上存在短板,專業性、複合型網路安全人才短缺。
二、 主要應對措施
基於網路發展未來趨勢及網路安全運維的整體目標,針對當前網路安全運維中存在的問題,各企事業單位可從構建國產化網路運維體系、減少人力運維依賴出發,應對當前存在的網路安全運維難題。主要措施包括:推進國產軟硬體產品替代國外產品;打造網路安全管控平臺和態勢感知與監測預警平臺,使網路安全運維協同化、視覺化、規範化;針對性建設網路安全運維體系,持續進行體系優化。
三、 網路安全運維平臺架構
構建全天候、全方位網路安全運維平臺,將人工運維轉化為自動運維,將被動維護轉化為主動維護,將單點監控轉化綜合監測,提高態勢感知、風險監測、故障告警、大資料分析等能力。通過採集伺服器、交換機、中介軟體、防火牆、應用系統等裝置的資料及日誌資訊,進行實時監控,動態展現,對全網資訊進行跨地域、跨網段、跨裝置的全維度視覺化監測:主動監測和發現網路異常事件,實時告警,提高風險防範和監測預警能力。網路安全運維平臺架構如圖1所示。
圖1 網路安全運維平臺架構
四、 基於智和網管平臺的網路安全運維解決方案
網路已融進生活與生產建設的每個角落,對企業生產、公司管理乃至軍事國防都產生重要影響,因此網路安全運維尤為重要。本文以北京智和信通技術有限公司的智和網管平臺 (SugarNMS) 為例,分析網路安全運維方案中核心功能及實施措施。
(一) 基礎功能方面
智和網管平臺 SugarNMS 基礎功能結構在基礎功能方面,網路安全運維平臺應具備裝置、資源、鏈路自動發現功能,具備視覺化網路 拓撲、故障告警、效能分析等能力,基礎功能結構如圖2所示,具體包括:
1 ) 自動發現。 在網路可達範圍內,通過 IP 資訊搜尋網路節點,匹配網路節點的型號與廠商資訊,通過裝置真實皮膚模擬視覺化,通過資源邏輯皮膚展示網路節點資源資訊,可監控網路節點的 CPU 、記憶體、板卡、磁碟等資源使用情況與網路節點之間的鏈路關係。
2 ) 拓撲展示。 將網路節點根據網路關係或邏輯關聯組合後以拓撲形式展示,並對網路節點、節點中的資源、節點之間的鏈路關係進行監控或者管理。
3 ) 裝置管控。 支援在拓撲圖或列表管理配置設 備及其引數,可通過 SNMPV 1∕ V 2 C ∕ V 3, NetConf , Telnet , SSH , IPMI , ONVIF , JRPC , JMX , JDBC , WMI , Trap , Syslog , HTTP 等協議管理裝置。
4 ) 資源管理。 視覺化展示裝置真實皮膚及資源邏輯皮膚,包括構成網路節點的物理元件、網路節點中執行的服務或根據監控需求自定義的其他監控目標。
5 ) 鏈路識別。 可在拓撲檢視及管理列表編輯鏈路資訊,並在拓撲上展示鏈路實時效能資料,支援根據需求修改展示資料的型別。
6 ) 故障告警。 採集裝置故障及事件資訊,觸發實時告警,可在網路拓撲及故障告警列表檢視告警資訊,並可一鍵觸發告警工單。
7 ) 效能採集。 通過網路節點協議棧策略對其資源資訊進行採集。採集到的效能資料通過智慧演算法進行計算並視覺化展示,支援固定或自定義時間範圍檢視效能指標的趨勢變化情況。
8 ) 安全管控。 提供基於萬能命令的安全管控能力,可通過命令下發實現諸如 QoS 安全策略、流量策略、准入控制等功能,並支援全網 MAC-IP 資料獲取與繫結、黑白名單策略啟用或禁用。
9 ) 監控報告。 提供面向網路、裝置、資源的智慧巡檢能力,包含自動化運維、故障巡檢、策略巡檢、策略備份等巡檢策略配置。支援生成巡檢報告及統計報表,讓使用者對網路有一個全面直觀的瞭解。
(二) 平臺架構方面
監控模組
一鍵實現網路裝置、鏈路、資源的自動發現並 生成網路拓撲圖,支援 LLDP 、 CDP 、 ICMP 、 ARP 、埠轉發表、生成樹協議、鄰居路由等物理拓撲發現技術,發現裝置的物理連結。提供 IP 範圍、網路範圍、下掛裝置搜尋等發現途徑。具備裝置管理、網路管理、拓撲管理、告警管理、效能分析、事件日誌管理等功能。提供圖形化裝置型別擴充套件介面、皮膚圖編輯介面、資源擴充套件介面、告警擴充套件介面、效能擴充套件介面、 TRAP 擴充套件介面
分析模組
提供大資料整理分析能力,對網路海量資料進行圖形化分析展示,具備自定義配置大屏展示資料能力,大屏資料元素、圖表元素、資料範圍等方面可隨意配置。提供業務監控、自定義 業務流程、業務告警檢視等功能。
運維模組
提供自定義運維巡檢策略功能,也可通過命令配 置運維編排策略,實現對網路、裝置、資源等的自動化運維管理。
工單模組
提供運維工單功能,支援在裝置和故障管理頁面快速建立工單,把控故障處理進度。提供自定義工單模板、配置智慧工單服務水平 (SLA) 、我的工單、所有工單展示及實時工單狀態展示等功能。形成自動化故障處理機制,並在每個處理流程節點上責任到人。在實現快速響應故障的同時,兼顧企業流程管控。
日誌模組
提供海量裝置、應用的日誌資訊管理模組,集中收集處理目標裝置執行日誌、執行狀態、安全事件、空間使用情況、使用者操作記錄等各類異構日誌 資料,經過歸併、過濾和大資料分析處理後,對異常資料進行告警,並以統一形式的日誌格式儲存管理,結合豐富的儀表、圖表及顏色,全面綜合展示網路狀態。
(三) 安全控制方面
提供基於裝置、資源層面的全網裝置安全運維與深度管控。通過 Telnet 、 JDBC 、 JMX 、 SNMP 協議等裝置管理協議及裝置型別,進行統一安管和運維規範配置,智和網管平臺 SugarNMS 安全控制架構如圖3所示,實現多品牌裝置集中管控、安全策略可見、配置準確性核查等功能。提供拓撲圖右鍵快捷命令下發操作。支援對華為、華三、邁普、迪普、銳捷等國產裝置的深入管控,包括 ACL 、 QoS 、路由配置、賬號安全、終端准入等。
圖3 智和網管平臺 SugarNMS 安全控制架構
(四) 擴充套件開發方面
在通用網管功能的基礎上,提供模組式或者程式碼式的開發形式,可在最短的時間內滿足各種定製需求,同時廠商應提供全套開發資料以及完善的培訓服務。
開發模組應包含:二次開發平臺、拓撲圖開發 元件、 SNMP 開發元件、服務端 API 、資料庫 API 、 HTML 5程式碼、裝置外掛介面 Java 程式碼、 Web 服務端 Restful 介面及相應的開發文件、開發培訓服務。
(五) 信創國產化方面
智和網管平臺支援在中標麒麟、銀河麒麟、紅 旗 Linux 等國產作業系統上執行,支援在達夢、金倉、神州等國產資料庫進行資料儲存,通過東方通等國產中介軟體提供對外服務,支援龍芯、申威等 國產 CPU 架構,並實現對國產化 CPU 、伺服器、資料庫、中介軟體等 IT 軟硬體裝置的綜合監控與運維管理。智和網管平臺 SugarNMS 信創國產化架構如圖4所示:
圖4 智和網管平臺 SugarNMS 信創國產化架構
五、 智和網管平臺對網路安全運維的意義
通過部署智和網管平臺,實現網路具象化展示、秒級故障監控及網路資料分析展示等功能,對網路安全運維具有提升運維效率、實現安全可控及降低人員依賴等眾多價值。
1) 智慧化監控,一鍵搜尋、發現和識別網路裝置、資源、鏈路,智慧化故障管理,最大限度提高產品的易操作性,簡化使用者操作步驟,減少管理環境的搭建時間,提高管理效率。
2) 具象化拓撲圖,全面完整呈現網路拓撲結構,以圖形化的形式對網路結構及網路內的裝置進行展示與管理,極大地降低 IT 管理的難度。
3) 個性化定製開發、系統整合,滿足差異化需求,支援針對特殊需求定製專屬網管平臺,且不斷更新平臺功能,以滿足網路發展帶來的差異需求。
4) 信創國產化。根據國內使用者在資訊建設方面國產替代日益增多的需求,實現相容國產 CPU 、伺服器、作業系統、資料庫、中介軟體等軟硬體產品,改善國內缺乏自主可控的國產化運維平臺的情況。
5) 採用主流 Java Spring Boot 、 Spring Cloud 、 HTML 5、 Restful 、大資料、 100% Java 多層分散式技術,提供電信級可靠性保障。支援容災方案和雙機熱備,最大限度保障網路運維資料安全。
6) 企業級部署。支援大規模組網管理,可直接 穿透私網進行監控,支援分散式部署,平臺易於升級和維護,能夠滿足未來業務的需求變化。
7) 支援私有裝置。新的裝置型別、未知裝置種類,無需開發程式設計,通過系統提供的 GUI 策略擴充套件介面,即可完成適配,解決網路中裝置品牌、型號繁雜難題。
8) 從裝置層面實現全網安全運維。基於 Telnet 、 SSH 、 NetConf 、 SNMP 、 IPMI 等裝置管理協議及裝置型別,進行統一安管、運維規範配置,實現多品牌裝置集中管控、安全策略可見、配置準確性核查等功能。
六、 總 結
企事業單位的經營管理與資訊化結合愈發緊密,生活及生產活動對網路的依賴程度逐年升高,網路安全作為基礎保障發揮著越來越重大的作用。網管平臺也逐步成為企事業單位網路安全運維中不可缺少的一環。傳統網路安全運維工具難以解決網路運維中存在的各種疑難雜症,功能升級勢在必行。
本文主要介紹了網路安全運維中面臨的主要問題及應對措施,並以智和網管平臺為例,闡述新時代下網管平臺功能及架構的發展方向。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70011401/viewspace-2882944/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 北京智和信通:基於智和網管平臺的電信運營商網路運維方案運維
- 網路運維網管解決方案運維
- 智和網管平臺國產化解決方案
- 智和信通圍繞智和網管平臺構建統一監控運維方案運維
- 網路安全控制網管解決方案
- 智和信通:以自主研發的智和網管平臺為基礎,實現科研院所網路運維平臺定製開發運維
- 智慧電力運維物聯網平臺解決方案運維
- 樂維網管平臺(七):網路穩定與高效的“安全錦囊”
- 智和網管平臺打造“海量接入 智慧監控”的統一運維監控中心運維
- 智和網管平臺·拓撲,構建“智慧發現 動態感知”的視覺化智慧運維平臺視覺化運維
- 由網管平臺轉型智慧運維,智和信通產品全線升級運維
- WiNet智慧網路解決方案解讀 讓網路運維更簡單運維
- 工業物聯網解決方案:裝置數字化運維平臺運維
- 智慧化IT運維平臺建設方案,基於智和信通運維體系的高敏捷二次開發運維敏捷
- 樂維網管平臺(八):深度解析網路流量分析
- 樂維網管平臺(三)如何高效管理無線網路
- “全棧合一 智慧運維”智和網管平臺SugarNMS V9版本釋出全棧運維
- 基於工業物聯網的冬季管網監測預警解決方案
- 山石網科安全運維分析解決方案榮獲最佳創新解決方案獎運維
- 智和網管工業交換機網管方案
- 基於信創運維平臺,實現國產化網路自動巡檢運維
- 智和信通搭建安全可控的政務網路運維方案,助力智慧政務加速建設運維
- 網管平臺(進階篇):網管系統的管理與維護
- 網路安全解決方案與智慧城市
- 運維平臺之應用日誌解決方案--ELK運維應用日誌
- 浪潮網路釋出基於RoCE的無損乙太網解決方案
- 網路直播平臺搭建,瀑布流佈局完美解決方案
- 網路運維和網路安全運維有什麼區別?學哪個比較好?運維
- 基於工業網際網路平臺智慧製造方案【工業網際網路甄選聯盟】
- 智慧消防物聯網平臺解決方案
- 網站安全維護公司解決防護方案網站
- 智慧交通:數智化地鐵大屏管控運維平臺運維
- ArkWeb網路安全基礎 - 跨域請求與解決方案Web跨域
- 電信運營商網路運維方案運維
- 北京智和信通一站式運維方案,助力雙網隔離環境實現安全運維運維
- Verizon和Novell推出基於雲的安全解決方案
- 電力行業網路監控IT運維管理解決方案行業運維
- 智慧管網平臺