浅析通信网管集约化的安全要求和技术措施
作者:方彬
来源:《海外文摘·学术版》 2019年第2期
浅析通信网管集约化的安全要求和技术措施
沙溢的老婆 方彬
(国网湖南信通公司,湖南长沙 410007)
摘要:目前,随着通信传输技术和信息网络技术的发展,地理位置分散的通信传输系统,其网管服务器可以安置在同一机房,并进行集中建设和集中运维。这种集约化的通信网管建设与运维能够有效减少运维成本和提升运维效率。信息网络安全,对于这种集中建设与运维的系统,其重要性尤为突出。因此,本文将针对通信网管集约化建设、运维工作中需要注意的信息网络安全问题、防护措施进行探究。
关键词:网管服务器;网管网络;集约化;安全措施
鹿晗镶钻七龙珠 中图分类号:TP309
文献标识码:A
文章编号:1003-2177(2019)02-0000-00
0引言
中秋节搞笑祝福短信 通信网管集约化指将分散在不同地点的通信网管服务器集中到统一地点并进行统一运维管理。目前,国家电网公司正在推进一二级骨干传输网和三、四级骨干传输网的通信网管集约建设,目标是为了切实提升骨干光传输网的本质安全,彻底解决分散建设、集约管理手段不足的问题。其中,一二级骨干传输网的通信网管集约化是将公司各个分部的通信网管服务器及其附属设施统一建设在国网总部机房,由国网总部统一运维管理;三四级骨干传输网的通信网管集约是将分布各个地市公司的通信网管服务器及其附属设施统一建设在其所属省公司机房,由省公司统一运维管理。建设完成后,国家电网公司原来的通信网管四级构架,即“国网、分部、省公司、地市公司”变为“国网、省公司”两级构架。
通信网管集约化实现方式分成三步,第一步是在中心站集中建设各个通信系统、各类厂家的集中网管服务器;第二步是建设以中心站为中心、以分部或地市公司为外围节点的星型网络,专用于传输网管信息,连接网关网元和服务器,该网络简称为网管网;第三步即将各个通信系统的网关网元接入到网管网的外围节点,网管服务器接入到网管网的中心节点,各个网管服务器通过分权分域的方式来管理分布或地市公司的通信网元。因此,通信网管集约化的安全问题主要包含主机安全和网络安全两部分。目前,信
息安全作为国家电网公司安全管理的重要组成部分,越来越受公司重视[1]。而随着信息技术发展,各类恶意攻击、木马病毒层出不穷[2]。如何防范这些安全风险,保障通信网管集约化的建设、运维工作顺利进行,是一个值得研究的问题。因此,本文将从技术角度,全面剖析通信网管集约化工作中主机安全、网络安全的技术要求,并提出相应的解决办法。
1通信网管集约化主机安全的技术要求与措施
1.1身份鉴别
身份鉴别可以分为两个方面,主机身份鉴别和应用身份鉴别。为了增强主机系统的安全性和保障各类应用网管的正常运行,应该采取一系列的安全加固措施,常用措施包括:(1)根据主机和应用网管的要求,设定不同的账户和账户组,包括管理员用户、数据库用户、审计用户、监视员用户等。(2)对登录操作系统、数据库、应用网管系统、客户端的用户进行认证和鉴别,并要求确保用户名的唯一性。(3)对操作系统、数据库、应用网管系统与客户端配置用户名、密码。设置密码策略,配置为周期性更改要求;防止弱口令存在,特别是对于采用静态口令认证技术的主机和应用网管,口令长度至少8为,且密码规程至少应采用字母大小写穿插加数字和特殊符号的方式。(4)对操作系统、数据库、应用网管系统与客户端军启用登录失败处理功能,对失败的登录采用如下措施包括:终止会话链接、拒绝不合法登录和锁定账户等。(5)对于操作系统和应用网管系统进行远程管理时,必须启用SSH和其他安全方式,并启用管理数据
加密来防止网络的窃听。(6)登录操作系统和应用网管系统时,应该采用双因子认证和鉴别,包括使用USB秘钥进行认证和身份鉴别。
身份鉴别的实现方式主要有:(1)主机身份鉴别可以通过在网管集约化的通信系统中安装终端管控系统,通过该系统的准入功能完成对主机身份认证和鉴别。(2)对于应用身份鉴别,如果应用网管具备上述功能,则启用其功能;如果应用网管本身不具备某些安全要求,则应该要求进行相关开发来满足这些身份鉴别的安全要求。此外,可以通过在网管集约化的通信系统中安装一台堡垒机,并设定用户登录需要通过堡垒机的认证和应用身份鉴别。
1.2接入鉴权
对于网管集约化的应用网管和主机而言,其通信网络管理的一个重要要求是对接入链接实行强制接入管控,主要通过接入鉴权来实现。接入鉴权的重要内容包括应用网管文件系统的访问控制、数据库的接入控制和其他资源访问控制,以防止相关资源被未授权地使用。可以采用的主要常用措施包括(1)使能主机和应用网管系统的接入控制功能,采用严格的安全接入控制策略,特别是对用户访问主机和应用系统的文件系统、数据库和其他资源按照设定的策略进行控制,这些设定的控制策略的粒度应该达到在用户级别、文件级别乃至数据表级别。(2)操作权限控制。主机和应用网管的接入控制规则应该清晰地包含访问者、被访问的目标和二者之间可以被许可的操作。按照可以完成相关任务的最小权限对不同用户
进行授权,严格避免访问授权范围过大,并对用户间的访问关系进行严格限制。如设定策略,防止远程用户或非管理员用户非法关闭网管服务器或应用网管,防止低级别用户非法获取其权限以外的文件等。(3)采用严格的账户管理,对默认账户的接入权限进行严格的限制,对默认账户的进行重命并更改默认的访问密码。及时删除或锁定与设备运行、维护等工作无关的账户,并且禁止使用来宾账户和共享账户。防止用户从网络或本地非法登录主机或应用网管,在组策略中严格限定账户登录方式,如网络登录或本地登录等,同时禁止用户自动登录主机或应用网管等。
接入鉴权安全性的实现方式有:(1主机接入鉴权制的实现主要采取两种方式:采用安全操作系统,或对操作系统进行安全增强改造,且使用效果要达到以上要求。(2)应用网管系统访问控制安全性可以通过在网管集约化的通信系统中安装一台堡垒机来完成,完成业务终端与服务器、数据库等资源的隔离,实现对访问用户的授权和接入鉴权。
1.3审计分析
通信网管集约化的主机和应用网管系统中,审计功能应该包含文件操作审计、外接设备操作审计、非法外联审计、IP地址变更审计、服务审计和进程审计等。主机和应用网管应该设置审计策略,记录系统的重要日志,主机和应用网管应该配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号、登录是否成功、登录时间和远程登录时的IP地址。审计范围应该覆盖主机和应用网管系统中的每
个操作系统用户和应用网管系统用户。审计内容必须包含用户的重要行为、对系统资源的不正当使用、系统的重要命令和操作的使用、和系统中的重要安全事件等的审计。审计记录应该包含日期、时间、类型、主体、客体和事件结果。应该对审计记录进行包含策略,防止被意外删除、更改或者重写覆盖。同时,应该支持根据审计记录数据和通信分析,形成详细的审计报表。此外,需要合理配置日志记录策略,优化系统日志记录,防止日志溢出。
审计分析的实现方式主要有:(1)可以通过在网管集约化的通信系统中安装终端管控系统,通过该系统的审计功能完成对主机和应用网管的相关操作的审计。(2)可以通过在网管集约化的通信系统中部署主机审计服务系统来实现对主机的监控、审计和相关系统管理功能。
家纺品牌排行榜 1.4入侵防护
对于通信网管集约化的主机的入侵防护,可以从多个方面进行处置:(1)部署一套入侵检测系统或防病毒软件来执行对主机入侵的进行防护的安全组件,并及时更新病毒库;(2)通过部署一套终端安全管理系统,并启用补丁按时修复功能来及时更新主机的安全补丁。(3)主机操作系统的安装应该遵循服务最小化安装的原则,只安装必须的功能组件和应用服务,将不必要的服务进行关闭,并屏蔽业务无关的端口,修改远程访问端口,并按公司特定要求进行其它端口规范设置;(4)根据不同的系统类型,执行相应的安全加固措施,包括启用主机的屏幕保护程序、设置远程登录挂起时间、关闭默认共享及权限设置,启用数据保
护配置、启用防拒绝服务攻击配置、启用防止源路由欺骗攻击设置。(5)设置好SNMP服务和同步时钟服务,修改SNMP服务密码,防止泄露系统信息。如需启用SNMP服务,则修改默认的SNMP团体字符;设置时钟同步,同步至公司内部的时钟服务等。
洪瑛琦李世龙 1.5备份系统
为了实现主机和应用网管的数据灾备和恢复,需要在通信网管集约化的系统中部署一套数据备份系统。数据备份系统应该遵循稳定性、综合性、自动化、高性能、操作简单和实时性等要求。备份系统应具备足够的功能来支持运行稳定、管理简单、广泛的设备兼容性和可靠的数据完整性保障。备份系统应该能够对网管集约化的全系统提供一套比较宽泛的数据保护的功能选项和功能扩展,并且具备相关高级功能,包括应用网管系统和数据文件的在线实时数据备份,先进的设备和介质管理,快速和平稳的灾备数据恢复,和支持光纤交换存储。本地全数据备份应该至少每天进行一次,并对于离线方式的存储介质应该妥善保管。备份系统提供远程数据备份功能,支持通过通信网络周期性地和大批量地将关键数据备份到远程地址的备份服务器中。
1.6资源管理
为了确保网管集约化的主机和应用网管系统能够正常为用户提供服务,必须执行资源管理功能,否则将导致资源耗竭、服务劣化甚至服务中断。通过对主机和应用网管进行配置或部署资源管理应用系统
来达到资源管理目标,其具体功能应该包括:(1)自动切断会话功能,即当主机或应用网管的链接的某个通信方在设定的时间内没有反应,另一个通信方应该能检测到并自动终止该通信链接,以释放资源。(2)限制链接数功能,包括限制一个应用网管系统的最大并发会话链接数,限制某段时间内的最大并发会话链接数,限制单个用户可能的并发链接数等,并设置合理的门限,以保障系统的可达性。(3)登录条件限制功能,设置终端登录模式、IP地址范围和其它条件等限制终端登录,并根据设定的安全策略来启用超时锁定终端登录等功能。(4)用户可用资源的门限配置功能,限制某个系统资源可被单个用户使用的最大或最小的使用量门限,以保障正常的资源运行和合理的资源占用。(5)重要服务器的资源监控功能,包括对CPU、硬盘和内存等的监控。当系统的服务水平到达预定的最小值时能进行检测和告警。(6)服务优先级配置功能,能根据不同接入账户或访问进程设置资源访问优先级,并根据资源优先级进行系统资源分配。
2通信网管集约化网络安全的技术要求与措施
2.1网络用户行为监视与审计
网络安全审计系统主要用于监视和记录网络中的各类操作、侦测系统中已经存在和潜在的各类威胁、各类外部和内部网络安全事件的实时综合分析。通过在网管集约化的系统中部署网络用户行为监视和审计系统来监控网络数据流与执行相应的安全审计。同时,该系统应该提供中心化的安全管理功能,
和其他网络安全组件一起对数据流进行监控。 网络用户行为监视和审计系统拥有独立的网络数据感知硬件组件,并部署在网管集约化系统中的网络中心节点。分析网络数据包,根据特定协议算法来匹配和分析,以此来实现网络审计功能,包括入侵检测、信息检索等,并通过审计记录产生详细的审计报表。网络用户行为监视和审计系统采用旁路路由技术,不需要在目标主机中安装任何组件。同时,网络审计系统能够与网络安全组件进行协同,发送监控记录给安全管理域中的安全管理服务器,从而能够更好地检测和分析网络异常、网络攻击和病毒。
2.2网络设备安全加固韩红和管彤结婚现场
为提高网管集约化系统的网络设备的安全性,确保各类应用网管的正常网络操作,应该采用一系列的安全加固措施,常用措施包括:(1)应对不同的用户分配不同的账号,避免不同用户间账号共享。原则上应采用预定义级别的授权方法,实现对不同用户的权限控制,满足最小授权要求,并禁用无关账号。(2)通过ACL等限制网络设备登录的管理员账户的登录地址。(3)身份识别信息应该不能被轻易破解,密码长度至少8位,包括数字、大写字母、小写字母和特殊符号,配置策略自动拒绝用户设置不符合复杂度要求的密码,并且配置周期性更改要求。(4)应该具备登录失败处理功能。登录失败后,网络设备应该采取措施包括终止会话、拒绝非法登录、锁定账户和登录超时后自动终止网络登录。(5)使能SSH和其它管理方法来对传输数据进行加密防止网络窃听。(6)关闭网络设备未使用的管理口如AUX口,关闭没有开启业务的端口,对console口配置符合密码安全要求的密码。(7)对VTY端口进行设置,限制VTY口的数量,设定V
TY口的防护策略,避免由于恶意攻击或者错误操作导致VTY端口失常。(8)关闭不必要的服务,如CDP、DNS lookup、DHCP、finger、udp-small-server、tcp-small-server、http、bootp、ip源路由、PAD等。采用最小化服务原则,网络设备对外提供的所有服务都要配置登录账号,通过账号进行控制,只允许ACL里面permit的主机才能访问。(9)在设备上进行安全策略配置,对各种MAC地址表攻击、ARP工资、Vlan攻击、STP攻击、DHCP攻击进行防护。设置安全访问控制列表,过滤掉已知的安全攻击数据包,如udp 1434端口(防止SQL slammer蠕虫)、tcp 445、5800、5900(防止Della蠕虫)等。
发布评论