網絡設備安全基線配置核查分析系統設計與實現

馬 錚（中國聯通網絡技術研究院，北京 100048），朱常波（中國聯通網絡技術研究院；中國聯通智能城市研究院，北京 100048）

本文版權為《郵電設計技術》所有，如需轉載請聯系《郵電設計技術》編輯部

摘 要：隨著網絡規(guī)模擴展和業(yè)務深度融合，設備安全參數和策略的配置進一步復雜，容易出現錯配漏配，降低了網絡可靠性和穩(wěn)定性，因此，亟需加強網元安全基線配置核查能力。介紹了網絡設備安全基線的定義、管控對象，分析了網絡設備安全基線配置核查分析系統的功能需求，設計了系統總體架構，探討了主要功能模塊的具體實現方案。

關鍵詞：安全基線；配置核查；自動檢測工具

doi：10.12045/j.issn.1007-3043.2019.04.002

1、概述

隨著我國互聯網業(yè)務模式進一步豐富，設備數量急劇增加，網絡規(guī)模成倍擴展，導致網元設備參數和策略配置更加復雜，容易出現誤配置或策略漏洞，造成設備帶病入網和運營，增大了非法入侵、信息泄露的安全威脅，提高了后續(xù)運維的安全防護成本，降低了網絡可靠性，除了影響人們的日常生活之外，還可能帶來嚴重的經濟損失，因此需要進一步提升配置合規(guī)性管理水平，但是由于設備類型版本多樣，參數和
策略配置項眾多，傳統人工手動核查的方式耗時耗力、客觀性差，亟需一種平臺化、自動化的解決方案，推動安全配置基線核查工作的常態(tài)化和標準化。

2、安全基線定義

網絡設備安全基線是指對一個通信網元的最小安全保證，即網元需要滿足現網運維和業(yè)務運維安全需求的最基本的、最重要的軟硬件版本、參數設置，從而在不大規(guī)模增加網絡復雜性和維護投資的前提下，使通信網絡中所有系統、設備能夠得到統一的、最低要求的安全保障，減少一些初級的、可預知的安全隱患，便于維護與管理，提高全網安全防護水平。

配置基線要求涵蓋范圍包括通信網絡中的所有網絡設備、主機設備、安全設備以及運行在這些設備中的操作系統、應用程序、數據庫、中間件等軟硬件實體。

3、系統功能需求分析

該系統作為一款輔助運維工具，一方面要能夠實現采集、核查和圖表生成等操作的自動化、可視化，提高安全運維效率；另一方面則要能夠具備一定的分析評估能力，為安全管理提供輔助決策。因此，本系統主要功能設計如下。

點擊查看全文（PDF）>