马 铮(中国联通网络技术研究院,北京 100048),朱常波(中国联通网络技术研究院;中国联通智能城市研究院,北京 100048)
本文版权为《邮电设计技术》所有,如需转载请联系《邮电设计技术》编辑部
摘 要:随着网络规模扩展和业务深度融合,设备安全参数和策略的配置进一步复杂,容易出现错配漏配,降低了网络可靠性和稳定性,因此,亟需加强网元安全基线配置核查能力。介绍了网络设备安全基线的定义、管控对象,分析了网络设备安全基线配置核查分析系统的功能需求,设计了系统总体架构,探讨了主要功能模块的具体实现方案。
关键词:安全基线;配置核查;自动检测工具
doi:10.12045/j.issn.1007-3043.2019.04.002
1、概述
随着我国互联网业务模式进一步丰富,设备数量急剧增加,网络规模成倍扩展,导致网元设备参数和策略配置更加复杂,容易出现误配置或策略漏洞,造成设备带病入网和运营,增大了非法入侵、信息泄露的安全威胁,提高了后续运维的安全防护成本,降低了网络可靠性,除了影响人们的日常生活之外,还可能带来严重的经济损失,因此需要进一步提升配置合规性管理水平,但是由于设备类型版本多样,参数和
策略配置项众多,传统人工手动核查的方式耗时耗力、客观性差,亟需一种平台化、自动化的解决方案,推动安全配置基线核查工作的常态化和标准化。
2、安全基线定义
网络设备安全基线是指对一个通信网元的最小安全保证,即网元需要满足现网运维和业务运维安全需求的最基本的、最重要的软硬件版本、参数设置,从而在不大规模增加网络复杂性和维护投资的前提下,使通信网络中所有系统、设备能够得到统一的、最低要求的安全保障,减少一些初级的、可预知的安全隐患,便于维护与管理,提高全网安全防护水平。
配置基线要求涵盖范围包括通信网络中的所有网络设备、主机设备、安全设备以及运行在这些设备中的操作系统、应用程序、数据库、中间件等软硬件实体。
3、系统功能需求分析
该系统作为一款辅助运维工具,一方面要能够实现采集、核查和图表生成等操作的自动化、可视化,提高安全运维效率;另一方面则要能够具备一定的分析评估能力,为安全管理提供辅助决策。因此,本系统主要功能设计如下。