淺析通信網(wǎng)管集約化的安全要求和技術(shù)措施

方彬

(國(guó)網(wǎng)湖南信通公司，湖南長(zhǎng)沙 410007)

0 引言

通信網(wǎng)管集約化指將分散在不同地點(diǎn)的通信網(wǎng)管服務(wù)器集中到統(tǒng)一地點(diǎn)并進(jìn)行統(tǒng)一運(yùn)維管理。目前，國(guó)家電網(wǎng)公司正在推進(jìn)一二級(jí)骨干傳輸網(wǎng)和三、四級(jí)骨干傳輸網(wǎng)的通信網(wǎng)管集約建設(shè)，目標(biāo)是為了切實(shí)提升骨干光傳輸網(wǎng)的本質(zhì)安全，徹底解決分散建設(shè)、集約管理手段不足的問(wèn)題。其中，一二級(jí)骨干傳輸網(wǎng)的通信網(wǎng)管集約化是將公司各個(gè)分部的通信網(wǎng)管服務(wù)器及其附屬設(shè)施統(tǒng)一建設(shè)在國(guó)網(wǎng)總部機(jī)房，由國(guó)網(wǎng)總部統(tǒng)一運(yùn)維管理；三四級(jí)骨干傳輸網(wǎng)的通信網(wǎng)管集約是將分布各個(gè)地市公司的通信網(wǎng)管服務(wù)器及其附屬設(shè)施統(tǒng)一建設(shè)在其所屬省公司機(jī)房，由省公司統(tǒng)一運(yùn)維管理。建設(shè)完成后，國(guó)家電網(wǎng)公司原來(lái)的通信網(wǎng)管四級(jí)構(gòu)架，即“國(guó)網(wǎng)、分部、省公司、地市公司”變?yōu)椤皣?guó)網(wǎng)、省公司”兩級(jí)構(gòu)架。

通信網(wǎng)管集約化實(shí)現(xiàn)方式分成三步，第一步是在中心站集中建設(shè)各個(gè)通信系統(tǒng)、各類(lèi)廠家的集中網(wǎng)管服務(wù)器；第二步是建設(shè)以中心站為中心、以分部或地市公司為外圍節(jié)點(diǎn)的星型網(wǎng)絡(luò)，專(zhuān)用于傳輸網(wǎng)管信息，連接網(wǎng)關(guān)網(wǎng)元和服務(wù)器，該網(wǎng)絡(luò)簡(jiǎn)稱(chēng)為網(wǎng)管網(wǎng)；第三步即將各個(gè)通信系統(tǒng)的網(wǎng)關(guān)網(wǎng)元接入到網(wǎng)管網(wǎng)的外圍節(jié)點(diǎn)，網(wǎng)管服務(wù)器接入到網(wǎng)管網(wǎng)的中心節(jié)點(diǎn)，各個(gè)網(wǎng)管服務(wù)器通過(guò)分權(quán)分域的方式來(lái)管理分布或地市公司的通信網(wǎng)元。因此，通信網(wǎng)管集約化的安全問(wèn)題主要包含主機(jī)安全和網(wǎng)絡(luò)安全兩部分。目前，信息安全作為國(guó)家電網(wǎng)公司安全管理的重要組成部分，越來(lái)越受公司重視。而隨著信息技術(shù)發(fā)展，各類(lèi)惡意攻擊、木馬病毒層出不窮。如何防范這些安全風(fēng)險(xiǎn)，保障通信網(wǎng)管集約化的建設(shè)、運(yùn)維工作順利進(jìn)行，是一個(gè)值得研究的問(wèn)題。因此，本文將從技術(shù)角度，全面剖析通信網(wǎng)管集約化工作中主機(jī)安全、網(wǎng)絡(luò)安全的技術(shù)要求，并提出相應(yīng)的解決辦法。

1 通信網(wǎng)管集約化主機(jī)安全的技術(shù)要求與措施

1.1 身份鑒別

身份鑒別可以分為兩個(gè)方面，主機(jī)身份鑒別和應(yīng)用身份鑒別。為了增強(qiáng)主機(jī)系統(tǒng)的安全性和保障各類(lèi)應(yīng)用網(wǎng)管的正常運(yùn)行，應(yīng)該采取一系列的安全加固措施，常用措施包括：（1）根據(jù)主機(jī)和應(yīng)用網(wǎng)管的要求，設(shè)定不同的賬戶(hù)和賬戶(hù)組，包括管理員用戶(hù)、數(shù)據(jù)庫(kù)用戶(hù)、審計(jì)用戶(hù)、監(jiān)視員用戶(hù)等。（2）對(duì)登錄操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用網(wǎng)管系統(tǒng)、客戶(hù)端的用戶(hù)進(jìn)行認(rèn)證和鑒別，并要求確保用戶(hù)名的唯一性。（3）對(duì)操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用網(wǎng)管系統(tǒng)與客戶(hù)端配置用戶(hù)名、密碼。設(shè)置密碼策略，配置為周期性更改要求；防止弱口令存在，特別是對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的主機(jī)和應(yīng)用網(wǎng)管，口令長(zhǎng)度至少8位，且密碼規(guī)程至少應(yīng)采用字母大小寫(xiě)穿插加數(shù)字和特殊符號(hào)的方式。（4）對(duì)操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用網(wǎng)管系統(tǒng)與客戶(hù)端軍啟用登錄失敗處理功能，對(duì)失敗的登錄采取如下措施包括：終止會(huì)話鏈接、拒絕不合法登錄和鎖定賬戶(hù)等。（5）對(duì)于操作系統(tǒng)和應(yīng)用網(wǎng)管系統(tǒng)進(jìn)行遠(yuǎn)程管理時(shí)，必須啟用SSH和其他安全方式，并啟用管理數(shù)據(jù)加密來(lái)防止網(wǎng)絡(luò)的竊聽(tīng)。（6）登錄操作系統(tǒng)和應(yīng)用網(wǎng)管系統(tǒng)時(shí)，應(yīng)該采用雙因子認(rèn)證和鑒別，包括使用USB秘鑰進(jìn)行認(rèn)證和身份鑒別。

身份鑒別的實(shí)現(xiàn)方式主要有：（1）主機(jī)身份鑒別可以通過(guò)在網(wǎng)管集約化的通信系統(tǒng)中安裝終端管控系統(tǒng)，通過(guò)該系統(tǒng)的準(zhǔn)入功能完成對(duì)主機(jī)身份認(rèn)證和鑒別。（2）對(duì)于應(yīng)用身份鑒別，如果應(yīng)用網(wǎng)管具備上述功能，則啟用其功能；如果應(yīng)用網(wǎng)管本身不具備某些安全要求，則應(yīng)該要求進(jìn)行相關(guān)開(kāi)發(fā)來(lái)滿(mǎn)足這些身份鑒別的安全要求。此外，可以通過(guò)在網(wǎng)管集約化的通信系統(tǒng)中安裝一臺(tái)堡壘機(jī)，并設(shè)定用戶(hù)登錄需要通過(guò)堡壘機(jī)的認(rèn)證和應(yīng)用身份鑒別。

1.2 接入鑒權(quán)

對(duì)于網(wǎng)管集約化的應(yīng)用網(wǎng)管和主機(jī)而言，其通信網(wǎng)絡(luò)管理的一個(gè)重要要求是對(duì)接入鏈接實(shí)行強(qiáng)制接入管控，主要通過(guò)接入鑒權(quán)來(lái)實(shí)現(xiàn)。接入鑒權(quán)的重要內(nèi)容包括應(yīng)用網(wǎng)管文件系統(tǒng)的訪問(wèn)控制、數(shù)據(jù)庫(kù)的接入控制和其他資源訪問(wèn)控制，以防止相關(guān)資源被未授權(quán)地使用。可以采用的主要常用措施包括（1）使能主機(jī)和應(yīng)用網(wǎng)管系統(tǒng)的接入控制功能，采用嚴(yán)格的安全接入控制策略，特別是對(duì)用戶(hù)訪問(wèn)主機(jī)和應(yīng)用系統(tǒng)的文件系統(tǒng)、數(shù)據(jù)庫(kù)和其他資源按照設(shè)定的策略進(jìn)行控制，這些設(shè)定的控制策略的粒度應(yīng)該達(dá)到在用戶(hù)級(jí)別、文件級(jí)別乃至數(shù)據(jù)表級(jí)別。（2）操作權(quán)限控制。主機(jī)和應(yīng)用網(wǎng)管的接入控制規(guī)則應(yīng)該清晰地包含訪問(wèn)者、被訪問(wèn)的目標(biāo)和二者之間可以被許可的操作。按照可以完成相關(guān)任務(wù)的最小權(quán)限對(duì)不同用戶(hù)進(jìn)行授權(quán)，嚴(yán)格避免訪問(wèn)授權(quán)范圍過(guò)大，并對(duì)用戶(hù)間的訪問(wèn)關(guān)系進(jìn)行嚴(yán)格限制。如設(shè)定策略，防止遠(yuǎn)程用戶(hù)或非管理員用戶(hù)非法關(guān)閉網(wǎng)管服務(wù)器或應(yīng)用網(wǎng)管，防止低級(jí)別用戶(hù)非法獲取其權(quán)限以外的文件等。（3）采用嚴(yán)格的賬戶(hù)管理，對(duì)默認(rèn)賬戶(hù)的接入權(quán)限進(jìn)行嚴(yán)格的限制，對(duì)默認(rèn)賬戶(hù)進(jìn)行重命并更改默認(rèn)的訪問(wèn)密碼。及時(shí)刪除或鎖定與設(shè)備運(yùn)行、維護(hù)等工作無(wú)關(guān)的賬戶(hù)，并且禁止使用來(lái)賓賬戶(hù)和共享賬戶(hù)。防止用戶(hù)從網(wǎng)絡(luò)或本地非法登錄主機(jī)或應(yīng)用網(wǎng)管，在組策略中嚴(yán)格限定賬戶(hù)登錄方式，如網(wǎng)絡(luò)登錄或本地登錄等，同時(shí)禁止用戶(hù)自動(dòng)登錄主機(jī)或應(yīng)用網(wǎng)管等。

接入鑒權(quán)安全性的實(shí)現(xiàn)方式有：（1）主機(jī)接入鑒權(quán)制的實(shí)現(xiàn)主要采取兩種方式：采用安全操作系統(tǒng)，或?qū)Σ僮飨到y(tǒng)進(jìn)行安全增強(qiáng)改造，且使用效果要達(dá)到以上要求。（2）應(yīng)用網(wǎng)管系統(tǒng)訪問(wèn)控制安全性可以通過(guò)在網(wǎng)管集約化的通信系統(tǒng)中安裝一臺(tái)堡壘機(jī)來(lái)完成，完成業(yè)務(wù)終端與服務(wù)器、數(shù)據(jù)庫(kù)等資源的隔離，實(shí)現(xiàn)對(duì)訪問(wèn)用戶(hù)的授權(quán)和接入鑒權(quán)。

1.3 審計(jì)分析

通信網(wǎng)管集約化的主機(jī)和應(yīng)用網(wǎng)管系統(tǒng)中，審計(jì)功能應(yīng)該包含文件操作審計(jì)、外接設(shè)備操作審計(jì)、非法外聯(lián)審計(jì)、IP地址變更審計(jì)、服務(wù)審計(jì)和進(jìn)程審計(jì)等。主機(jī)和應(yīng)用網(wǎng)管應(yīng)該設(shè)置審計(jì)策略，記錄系統(tǒng)的重要日志，主機(jī)和應(yīng)用網(wǎng)管應(yīng)該配置日志功能，對(duì)用戶(hù)登錄進(jìn)行記錄，記錄內(nèi)容包括用戶(hù)登錄使用的賬號(hào)、登錄是否成功、登錄時(shí)間和遠(yuǎn)程登錄時(shí)的IP地址。審計(jì)范圍應(yīng)該覆蓋主機(jī)和應(yīng)用網(wǎng)管系統(tǒng)中的每個(gè)操作系統(tǒng)用戶(hù)和應(yīng)用網(wǎng)管系統(tǒng)用戶(hù)。審計(jì)內(nèi)容必須包含用戶(hù)的重要行為、對(duì)系統(tǒng)資源的不正當(dāng)使用、系統(tǒng)的重要命令和操作的使用、和系統(tǒng)中的重要安全事件等的審計(jì)。審計(jì)記錄應(yīng)該包含日期、時(shí)間、類(lèi)型、主體、客體和事件結(jié)果。應(yīng)該對(duì)審計(jì)記錄進(jìn)行包含策略，防止被意外刪除、更改或者重寫(xiě)覆蓋。同時(shí)，應(yīng)該支持根據(jù)審計(jì)記錄數(shù)據(jù)和通信分析，形成詳細(xì)的審計(jì)報(bào)表。此外，需要合理配置日志記錄策略，優(yōu)化系統(tǒng)日志記錄，防止日志溢出。

審計(jì)分析的實(shí)現(xiàn)方式主要有：（1）可以通過(guò)在網(wǎng)管集約化的通信系統(tǒng)中安裝終端管控系統(tǒng)，通過(guò)該系統(tǒng)的審計(jì)功能完成對(duì)主機(jī)和應(yīng)用網(wǎng)管的相關(guān)操作的審計(jì)。（2）可以通過(guò)在網(wǎng)管集約化的通信系統(tǒng)中部署主機(jī)審計(jì)服務(wù)系統(tǒng)來(lái)實(shí)現(xiàn)對(duì)主機(jī)的監(jiān)控、審計(jì)和相關(guān)系統(tǒng)管理功能。

1.4 入侵防護(hù)

對(duì)于通信網(wǎng)管集約化的主機(jī)的入侵防護(hù)，可以從多個(gè)方面進(jìn)行處置：（1）部署一套入侵檢測(cè)系統(tǒng)或防病毒軟件來(lái)執(zhí)行對(duì)主機(jī)入侵的進(jìn)行防護(hù)的安全組件，并及時(shí)更新病毒庫(kù)。（2）通過(guò)部署一套終端安全管理系統(tǒng)，并啟用補(bǔ)丁按時(shí)修復(fù)功能來(lái)及時(shí)更新主機(jī)的安全補(bǔ)丁。（3）主機(jī)操作系統(tǒng)的安裝應(yīng)該遵循服務(wù)最小化安裝的原則，只安裝必須的功能組件和應(yīng)用服務(wù)，將不必要的服務(wù)進(jìn)行關(guān)閉，并屏蔽業(yè)務(wù)無(wú)關(guān)的端口，修改遠(yuǎn)程訪問(wèn)端口，并按公司特定要求進(jìn)行其它端口規(guī)范設(shè)置。（4）根據(jù)不同的系統(tǒng)類(lèi)型，執(zhí)行相應(yīng)的安全加固措施，包括啟用主機(jī)的屏幕保護(hù)程序、設(shè)置遠(yuǎn)程登錄掛起時(shí)間、關(guān)閉默認(rèn)共享及權(quán)限設(shè)置，啟用數(shù)據(jù)保護(hù)配置、啟用防拒絕服務(wù)攻擊配置、啟用防止源路由欺騙攻擊設(shè)置。（5）設(shè)置好SNMP服務(wù)和同步時(shí)鐘服務(wù)，修改SNMP服務(wù)密碼，防止泄露系統(tǒng)信息。如需啟用SNMP服務(wù)，則修改默認(rèn)的SNMP團(tuán)體字符；設(shè)置時(shí)鐘同步，同步至公司內(nèi)部的時(shí)鐘服務(wù)等。

1.5 備份系統(tǒng)

為了實(shí)現(xiàn)主機(jī)和應(yīng)用網(wǎng)管的數(shù)據(jù)災(zāi)備和恢復(fù)，需要在通信網(wǎng)管集約化的系統(tǒng)中部署一套數(shù)據(jù)備份系統(tǒng)。數(shù)據(jù)備份系統(tǒng)應(yīng)該遵循穩(wěn)定性、綜合性、自動(dòng)化、高性能、操作簡(jiǎn)單和實(shí)時(shí)性等要求。備份系統(tǒng)應(yīng)具備足夠的功能來(lái)支持運(yùn)行穩(wěn)定、管理簡(jiǎn)單、廣泛的設(shè)備兼容性和可靠的數(shù)據(jù)完整性保障。備份系統(tǒng)應(yīng)該能夠?qū)W(wǎng)管集約化的全系統(tǒng)提供一套比較寬泛的數(shù)據(jù)保護(hù)的功能選項(xiàng)和功能擴(kuò)展，并且具備相關(guān)高級(jí)功能，包括應(yīng)用網(wǎng)管系統(tǒng)和數(shù)據(jù)文件的在線實(shí)時(shí)數(shù)據(jù)備份，先進(jìn)的設(shè)備和介質(zhì)管理，快速和平穩(wěn)的災(zāi)備數(shù)據(jù)恢復(fù)，和支持光纖交換存儲(chǔ)。本地全數(shù)據(jù)備份應(yīng)該至少每天進(jìn)行一次，并對(duì)于離線方式的存儲(chǔ)介質(zhì)應(yīng)該妥善保管。備份系統(tǒng)提供遠(yuǎn)程數(shù)據(jù)備份功能，支持通過(guò)通信網(wǎng)絡(luò)周期性地和大批量地將關(guān)鍵數(shù)據(jù)備份到遠(yuǎn)程地址的備份服務(wù)器中。

1.6 資源管理

為了確保網(wǎng)管集約化的主機(jī)和應(yīng)用網(wǎng)管系統(tǒng)能夠正常為用戶(hù)提供服務(wù)，必須執(zhí)行資源管理功能，否則將導(dǎo)致資源耗竭、服務(wù)劣化甚至服務(wù)中斷。通過(guò)對(duì)主機(jī)和應(yīng)用網(wǎng)管進(jìn)行配置或部署資源管理應(yīng)用系統(tǒng)來(lái)達(dá)到資源管理目標(biāo)，其具體功能應(yīng)該包括：（1）自動(dòng)切斷會(huì)話功能，即當(dāng)主機(jī)或應(yīng)用網(wǎng)管的鏈接的某個(gè)通信方在設(shè)定的時(shí)間內(nèi)沒(méi)有反應(yīng)，另一個(gè)通信方應(yīng)該能檢測(cè)到并自動(dòng)終止該通信鏈接，以釋放資源。（2）限制鏈接數(shù)功能，包括限制一個(gè)應(yīng)用網(wǎng)管系統(tǒng)的最大并發(fā)會(huì)話鏈接數(shù)，限制某段時(shí)間內(nèi)的最大并發(fā)會(huì)話鏈接數(shù)，限制單個(gè)用戶(hù)可能的并發(fā)鏈接數(shù)等，并設(shè)置合理的門(mén)限，以保障系統(tǒng)的可達(dá)性。（3）登錄條件限制功能，設(shè)置終端登錄模式、IP地址范圍和其它條件等限制終端登錄，并根據(jù)設(shè)定的安全策略來(lái)啟用超時(shí)鎖定終端登錄等功能。（4）用戶(hù)可用資源的門(mén)限配置功能，限制某個(gè)系統(tǒng)資源可被單個(gè)用戶(hù)使用的最大或最小的使用量門(mén)限，以保障正常的資源運(yùn)行和合理的資源占用。（5）重要服務(wù)器的資源監(jiān)控功能，包括對(duì)CPU、硬盤(pán)和內(nèi)存等的監(jiān)控。當(dāng)系統(tǒng)的服務(wù)水平到達(dá)預(yù)定的最小值時(shí)能進(jìn)行檢測(cè)和告警。（6）服務(wù)優(yōu)先級(jí)配置功能，能根據(jù)不同接入賬戶(hù)或訪問(wèn)進(jìn)程設(shè)置資源訪問(wèn)優(yōu)先級(jí)，并根據(jù)資源優(yōu)先級(jí)進(jìn)行系統(tǒng)資源分配。

2 通信網(wǎng)管集約化網(wǎng)絡(luò)安全的技術(shù)要求與措施

2.1 網(wǎng)絡(luò)用戶(hù)行為監(jiān)視與審計(jì)

網(wǎng)絡(luò)安全審計(jì)系統(tǒng)主要用于監(jiān)視和記錄網(wǎng)絡(luò)中的各類(lèi)操作、偵測(cè)系統(tǒng)中已經(jīng)存在和潛在的各類(lèi)威脅、各類(lèi)外部和內(nèi)部網(wǎng)絡(luò)安全事件的實(shí)時(shí)綜合分析。通過(guò)在網(wǎng)管集約化的系統(tǒng)中部署網(wǎng)絡(luò)用戶(hù)行為監(jiān)視和審計(jì)系統(tǒng)來(lái)監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)流與執(zhí)行相應(yīng)的安全審計(jì)。同時(shí)，該系統(tǒng)應(yīng)該提供中心化的安全管理功能，和其他網(wǎng)絡(luò)安全組件一起對(duì)數(shù)據(jù)流進(jìn)行監(jiān)控。網(wǎng)絡(luò)用戶(hù)行為監(jiān)視和審計(jì)系統(tǒng)擁有獨(dú)立的網(wǎng)絡(luò)數(shù)據(jù)感知硬件組件，并部署在網(wǎng)管集約化系統(tǒng)中的網(wǎng)絡(luò)中心節(jié)點(diǎn)。分析網(wǎng)絡(luò)數(shù)據(jù)包，根據(jù)特定協(xié)議算法來(lái)匹配和分析，以此來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)審計(jì)功能，包括入侵檢測(cè)、信息檢索等，并通過(guò)審計(jì)記錄產(chǎn)生詳細(xì)的審計(jì)報(bào)表。網(wǎng)絡(luò)用戶(hù)行為監(jiān)視和審計(jì)系統(tǒng)采用旁路路由技術(shù)，不需要在目標(biāo)主機(jī)中安裝任何組件。同時(shí)，網(wǎng)絡(luò)審計(jì)系統(tǒng)能夠與網(wǎng)絡(luò)安全組件進(jìn)行協(xié)同，發(fā)送監(jiān)控記錄給安全管理域中的安全管理服務(wù)器，從而能夠更好地檢測(cè)和分析網(wǎng)絡(luò)異常、網(wǎng)絡(luò)攻擊和病毒。

2.2 網(wǎng)絡(luò)設(shè)備安全加固

為提高網(wǎng)管集約化系統(tǒng)的網(wǎng)絡(luò)設(shè)備的安全性，確保各類(lèi)應(yīng)用網(wǎng)管的正常網(wǎng)絡(luò)操作，應(yīng)該采用一系列的安全加固措施，常用措施包括：（1）應(yīng)對(duì)不同的用戶(hù)分配不同的賬號(hào)，避免不同用戶(hù)間賬號(hào)共享。原則上應(yīng)采用預(yù)定義級(jí)別的授權(quán)方法，實(shí)現(xiàn)對(duì)不同用戶(hù)的權(quán)限控制，滿(mǎn)足最小授權(quán)要求，并禁用無(wú)關(guān)賬號(hào)。（2）通過(guò)ACL等限制網(wǎng)絡(luò)設(shè)備登錄的管理員賬戶(hù)的登錄地址。（3）身份識(shí)別信息應(yīng)該不能被輕易破解，密碼長(zhǎng)度至少8位，包括數(shù)字、大寫(xiě)字母、小寫(xiě)字母和特殊符號(hào)，配置策略自動(dòng)拒絕用戶(hù)設(shè)置不符合復(fù)雜度要求的密碼，并且配置周期性更改要求。（4）應(yīng)該具備登錄失敗處理功能。登錄失敗后，網(wǎng)絡(luò)設(shè)備應(yīng)該采取措施包括終止會(huì)話、拒絕非法登錄、鎖定賬戶(hù)和登錄超時(shí)后自動(dòng)終止網(wǎng)絡(luò)登錄。（5）使能SSH和其它管理方法來(lái)對(duì)傳輸數(shù)據(jù)進(jìn)行加密防止網(wǎng)絡(luò)竊聽(tīng)。（6）關(guān)閉網(wǎng)絡(luò)設(shè)備未使用的管理口如AUX口，關(guān)閉沒(méi)有開(kāi)啟業(yè)務(wù)的端口，對(duì)console口配置符合密碼安全要求的密碼。（7）對(duì)VTY端口進(jìn)行設(shè)置，限制VTY口的數(shù)量，設(shè)定VTY口的防護(hù)策略，避免由于惡意攻擊或者錯(cuò)誤操作導(dǎo)致VTY端口失常。（8）關(guān)閉不必要的服務(wù)，如CDP、DNS lookup、DHCP、finger、udpsmall-server、tcp-small-server、http、bootp、ip源路由、PAD等。采用最小化服務(wù)原則，網(wǎng)絡(luò)設(shè)備對(duì)外提供的所有服務(wù)都要配置登錄賬號(hào)，通過(guò)賬號(hào)進(jìn)行控制，只允許ACL里面permit的主機(jī)才能訪問(wèn)。（9）在設(shè)備上進(jìn)行安全策略配置，對(duì)各種MAC地址表攻擊、ARP工資、Vlan攻擊、STP攻擊、DHCP攻擊進(jìn)行防護(hù)。設(shè)置安全訪問(wèn)控制列表，過(guò)濾掉已知的安全攻擊數(shù)據(jù)包，如udp 1434端口（防止SQL slammer蠕蟲(chóng)）、tcp 445、5800、5900（防止Della蠕蟲(chóng)）等。

2.3 網(wǎng)絡(luò)安全接入

為了確保網(wǎng)絡(luò)邊界的完整性，不僅需要執(zhí)行非法外聯(lián)阻斷，也需要監(jiān)視和阻斷非法接入，以網(wǎng)絡(luò)的可信接入和相互保障邊界完整性?？梢酝ㄟ^(guò)部署終端安全管理系統(tǒng)來(lái)實(shí)現(xiàn)這項(xiàng)功能。終端安全管理系統(tǒng)的一個(gè)重要功能組件是網(wǎng)絡(luò)接入控制，提供網(wǎng)絡(luò)阻塞功能包括阻塞ARP干擾功能和802.1x協(xié)議鏈接。系統(tǒng)的監(jiān)控臺(tái)將能快速反應(yīng)非法接入的告警，其告警信息內(nèi)容包含非法接入訪問(wèn)的IP地址、非法訪問(wèn)的目標(biāo)IP和網(wǎng)絡(luò)中其他外部主機(jī)的非法行為。系統(tǒng)能夠?qū)崟r(shí)根據(jù)接入用戶(hù)信息和訪問(wèn)主機(jī)信息匹配的方法來(lái)確定接入主機(jī)的合法性，能及時(shí)阻止IP地址的冒用和非法使用，并聯(lián)合保障通信網(wǎng)管管理系統(tǒng)網(wǎng)絡(luò)邊界的完整性。具體的功能包括：（1）在線主機(jī)監(jiān)測(cè)功能，能夠通過(guò)監(jiān)視和活動(dòng)性檢查來(lái)檢測(cè)系統(tǒng)中所有的在線主機(jī)，能夠判斷系統(tǒng)中的某個(gè)在線主機(jī)是否已經(jīng)授權(quán)為可信任。（2）主機(jī)授權(quán)與認(rèn)證功能。終端安全管理系統(tǒng)對(duì)于接入服務(wù)器的主機(jī)的授權(quán)與認(rèn)證，可以通過(guò)聯(lián)合是否安裝網(wǎng)管客戶(hù)端、是否安裝特定補(bǔ)丁、是否安裝防病毒軟件、主機(jī)工作運(yùn)行狀態(tài)和其它信息來(lái)進(jìn)行，僅允許認(rèn)證主機(jī)使用網(wǎng)絡(luò)資源。（3）非法主機(jī)的網(wǎng)絡(luò)阻塞功能。終端安全管理系統(tǒng)對(duì)于檢測(cè)到的非法主機(jī)，能夠及時(shí)地阻止其訪問(wèn)任何網(wǎng)絡(luò)資源，確保其不能有意或無(wú)意地對(duì)網(wǎng)絡(luò)進(jìn)行攻擊或盜取密碼。（4）IP和MAC地址綁定管理功能，通過(guò)綁定IP和終端的MAC地址，禁止用戶(hù)更改其IP和MAC地址，如果發(fā)生更改情況，能夠在終端安全管理系統(tǒng)中產(chǎn)生相關(guān)告警。

2.4 網(wǎng)絡(luò)設(shè)備統(tǒng)一日志管理

通過(guò)在網(wǎng)管集約化的系統(tǒng)中部署日志管理系統(tǒng)來(lái)實(shí)現(xiàn)各種格式日志的統(tǒng)一管理功能。對(duì)用戶(hù)登錄日志和用戶(hù)操作日志進(jìn)行記錄和審計(jì)，記錄和審計(jì)范圍應(yīng)包括但不限于：用戶(hù)登錄方式、使用的賬號(hào)名、登錄是否成功、登錄時(shí)間、以及遠(yuǎn)程登錄時(shí)用戶(hù)使用的IP地址；賬號(hào)創(chuàng)建、刪除和權(quán)限修改，口令修改，設(shè)備配置修改，執(zhí)行操作的行為和操作結(jié)果等。通過(guò)SNMP、SYSLOG或者其他的日志接口來(lái)搜集管理目標(biāo)設(shè)備的日志信息，并將其轉(zhuǎn)為統(tǒng)一的日志格式，從而進(jìn)行統(tǒng)一的管理、分析和告警。日志管理系統(tǒng)能夠自動(dòng)完成日志數(shù)據(jù)的格式分析和分類(lèi)，提供日志數(shù)據(jù)存儲(chǔ)、備份、恢復(fù)、導(dǎo)入導(dǎo)出和其他操作功能。日志管理系統(tǒng)應(yīng)支持日志的分散、分層管理，下層管理節(jié)點(diǎn)的日志數(shù)據(jù)可以發(fā)送到上一級(jí)的日志管理節(jié)點(diǎn)來(lái)進(jìn)行集中管理。日志管理系統(tǒng)的軟件能夠?qū)崟r(shí)監(jiān)控收到事件的狀態(tài)，如當(dāng)前日志列表、系統(tǒng)風(fēng)險(xiǎn)狀態(tài)等。在執(zhí)行事件狀態(tài)監(jiān)控的同時(shí)，通過(guò)對(duì)設(shè)備和網(wǎng)絡(luò)的相關(guān)參數(shù)進(jìn)行檢查來(lái)確定設(shè)備和網(wǎng)絡(luò)當(dāng)前狀態(tài)。日志監(jiān)控應(yīng)支持實(shí)時(shí)的日志數(shù)據(jù)流、系統(tǒng)風(fēng)險(xiǎn)和其他趨勢(shì)的監(jiān)控，并通過(guò)圖表形式展示。

2.5 網(wǎng)絡(luò)運(yùn)行監(jiān)控管理

通過(guò)部署網(wǎng)絡(luò)安全管理平臺(tái)來(lái)執(zhí)行集中的網(wǎng)絡(luò)通信監(jiān)控和告警管理。支持對(duì)網(wǎng)絡(luò)設(shè)備和安全設(shè)備的集中監(jiān)控、及時(shí)告警、安全事件管理、安全策略管理、安全操作和全網(wǎng)的維護(hù)。網(wǎng)絡(luò)安全管理平臺(tái)可以對(duì)各個(gè)安全域設(shè)備提供靈活的策略模式，來(lái)實(shí)現(xiàn)安全域內(nèi)的設(shè)備信息搜集和處理。同時(shí)，安全管理平臺(tái)的安全域內(nèi)部署設(shè)備管理系統(tǒng)和控制臺(tái)，通過(guò)與每個(gè)事件服務(wù)器組件或安全設(shè)備通信，來(lái)實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)的全局監(jiān)控。管理員可以在安全管理域的控制臺(tái)集中推送和設(shè)定設(shè)備的告警策略。同時(shí)，安全管理平臺(tái)的監(jiān)控能夠處理告警信息。安全管理平臺(tái)支持可視化，能在拓?fù)鋱D上清晰展示網(wǎng)絡(luò)關(guān)鍵屬性和實(shí)時(shí)運(yùn)行狀態(tài)。

3 結(jié)語(yǔ)

通信網(wǎng)管集約化作為公司提升通信系統(tǒng)運(yùn)維安全和可靠性的重要舉措，正處在規(guī)劃和建設(shè)的重要階段。通信網(wǎng)管作為通信設(shè)備的管理中心，其安全性在通信系統(tǒng)的建設(shè)與運(yùn)維過(guò)程中舉足輕重。本文旨在分析當(dāng)前通信網(wǎng)管集約化在建設(shè)、運(yùn)維中需要注意的安全要求，從技術(shù)的可行性角度給出相關(guān)安全要求的實(shí)施措施，以提升通信網(wǎng)管集約化的主機(jī)安全和網(wǎng)絡(luò)安全水平，是對(duì)通信網(wǎng)管集約化安全工作的一次有益探索。