香港白小姐中特网
网络设备安全基线核查的系统设计与解决方案本
发表时间:2020-01-29

  随着我国互联网业务模式进一步丰富,设备数量急剧增加,网络规模成倍扩展,导致网元设备参数和策略配置更加复杂,容易出现误配置或策略漏洞,造成设备带病入网和运营,增大了非法入侵、信息泄露的安全威胁,提高了后续运维的安全防护成本,降低了网络可靠性,除了影响人们的日常生活之外,还可能带来严重的经济损失,因此需要进一步提升配置合规性管理水平,但是由于设备类型版本多样,参数和策略配置项众多,传统人工手动核查的方式耗时耗力、客观性差,亟需一种平台化、自动化的解决方案,推动安全配置基线核查工作的常态化和标准化。

  网络设备安全基线是指对一个通信网元的最小安全保证,即网元需要满足现网运维和业务运维安全需求的最基本的、最重要的软硬件版本、参数设置,从而在不大规模增加网络复杂性和维护投资的前提下,使通信网络中所有系统、设备能够得到统一的、最低要求的安全保障,减少一些初级的、可预知的安全隐患,便于维护与管理,提高全网安全防护水平。

  配置基线要求涵盖范围包括通信网络中的所有网络设备、主机设备、安全设备以及运行在这些设备中的操作系统、应用程序、数据库、中间件等软硬件实体。

  该系统作为一款辅助运维工具,一方面要能够实现采集、核查和图表生成等操作的自动化、可视化,提高安全运维效率;另一方面则要能够具备一定的分析评估能力,为安全管理提供辅助决策。因此,本系统主要功能设计如下。

  支持本地和远程方式的配置参数提取功能,通过事先预置的口令和访问模式连接核查目标,通过自动化脚本收集相关设备安全配置信息,并确保系统能够在具有各种安全防护措施的实际场景下收集到完整的配置数据。在级联模式下,系统还支持向上级平台提交所采集的数据和分析的结果。

  自动化核查系统在采集到相关配置数据后,可以在本地进行分析也可以将配置参数上报上级分析平台,由上级分析平台进行分析,相关分析功能如下。

  a) 能够依据用户指定相关合规指标,判断目标主机上的检查项目达标与否,并对不达标项进行告警显示。

  b) 支持对各种安全规范要求中的所有检查项目进行等级区分,能够进行权重调整,能够依照百分制对目标主机的达标情况打分,每个检查参数的分值可以预先设置。

  c) 能够进行历史数据查询、任务合并、汇总查看、对比分析、趋势分析等,能够进行多个检查任务或多个IP风险对比。

  d) 内置专家知识库,具备辅助分析的功能,能够对网络安全合规性进行评估,给出完善建议。

  安全配置基线核查系统能够对核查任务进行配置管理,支持任务命名与分组设置;支持任务定时、周期设置;支持核查模板的定制修改和导入导出;支持对核查参数的权重赋值;支持访问口令和访问模式的设置;支持核查扫描时间和周期的设置;支持核查结果上报方式设置等。

  a) 支持核查结果图表显示条目的自定义,除了包括核查结果软硬件版本信息、配置信息、漏洞信息等基本检查项,还要能够增加地理位置、机房信息、设备用途等标示信息。

  b) 支持核查图表导出,支持HTML、Excel、PDF、Word等主流格式,内容应包含整体概述、各设备的检查列表等信息。

  该系统应能够提供用户、角色和组织机构管理权限划分功能;实现对系统配置检查功能日志的记录与查询;提供分布式组件管理,实现对分布式离线采集器和单机代理的管理;提供对系统数据的维护配置管理,支持系统自动、手动更新。

  根据功能和工作模式需求,本系统按照软件分层及模块化的思想进行设计,不同功能模块可以灵活地以服务的形式部署在不同主机上,便于合理分配资源和性能调优。

  系统架构可分为表示层、业务逻辑层、数据访问层和底层数据库,具体设计如图 1所示。

  a) 表示层:主要表现为UI界面的形式,负责系统的可视化呈现以及处理用户与系统之间的交互,负责将用户输入的指令和数据交付给业务逻辑层进行逻辑处理,包括任务配置界面、任务报告界面、高级数据分析界面、用户角色管理界面和日志记录管理界面。

  b) 业务逻辑层:接收表示层提交的用户操作,调用不同的逻辑处理模块。在处理过程中,根据业务需求向数据访问层请求访问相应数据。业务逻辑层是整个系统的核心部分,负责数据信息处理及核查任务执行等关键职能。它主要包括以下几个子部分:

  (a) 配置核查引擎。对用户提交的核查任务进行分析、分解,获取核查任务的相关信息,包括核查设备以及所采用的模板等,之后交付协议连接引擎进行远程连接协商。

  (b) 协议连接引擎。每台被核查设备都事先规定了各自的远程连接方式。协议连接引擎支持多种远程连接协议,可根据设备要求选择不同的连接模块,与目标设备协商建立远程连接,其中包括参数协商以及身份认证等。

  (c) 数据采集引擎。远程连接上目标设备后,通过连接执行模板中各个检查项对应的脚本,将采集到的设备配置保存到结果文件中。

  (d) 扫描信息处理模块。kj006.com155亿播放!国资小新携央企用短视频集体,对数据采集引擎返回的结果文件进行处理和判断,交付到报表引擎等模块进行数据分析。

  (e) 报表引擎。报表展示的核心处理模块,借助表格、图像等UI控件将核查结果以可视化的形式展现给用户。

  (f) 数据分析引擎。根据用户的需求,对特定核查任务数据进行高级数据分析,支持的分析方法有对比分析、趋势分析等。

  (g) 用户信息管理。负责处理用户个人信息的修改以及管理员增加或删除用户等操作。

  (h) 权限验证。提供系统授权使用的信息,包含登录用户权限、授权使用模块、授权存取信息等。

  (i) 日志记录。提供系统日志,实时记录用户的敏感操作,并支持管理员用户维护日志。

  c) 数据访问层:该层封装了存取数据的接口,根据业务逻辑层的需要提供相应的数据服务。在本系统中,对于模板、脚本和设备数据,数据访问层只需提供数据读取接口,至于任务配置、核查结果、用户和日志等数据,则要求数据访问层支持读取和写入。

  d) 数据库:存储设备安全基线配置核查分析系统所需的各种数据,至少应该包括以下7个方面:模板数据、脚本数据、设备数据、任务配置数据、核查结果数据、用户数据和日志数据。

  设备配置数据采集模块支持用户通过在线的方式采集子网内目标设备的配置数据。用户可以根据自身的需求,选用不同的采集模板收集多项设备配置数据。当确定模板之后,用户还需要指定目标设备,启动采集任务。

  系统响应用户发出的启动命令,开始通过远程连接协议尝试连接目标设备。成功连接之后,系统向目标设备发送采集脚本命令。目标设备执行完脚本命令后,将执行结果(即相应的配置数据)返回给系统,交由系统保存。根据目标设备的类型需要采用不同的远程连接协议。系统支持实现3种远程连接协议:Telnet、SSH和WinRM。图 2为设备配置数据采集模块的结构示意图。

  设备配置数据采集模块的输入有2项,分别是采集模板的ID和目标设备的IP,输出则是以XML文件形式保存的设备配置数据。当操作人员输入功能命令(即启动任务)后,界面UI将操作人员输入的采集模板ID与目标设备IP传入设备配置数据采集模块,模块开始进行配置数据的采集工作。模块首先根据目标设备的IP从数据库的设备数据中读取目标设备的其他信息,其中包括目标设备的远程登录方式、登录用户名及密码等。之后根据预设的远程登录方式选择调用不同的远程连接子模块,如Telnet、SSH和WinRM。在成功连接上目标设备之后,再根据模板ID从数据库的模板数据中读取相应的脚本命令,根据远程连接协议采用不同的方式将脚本命令交由目标设备执行,并实时地将收集到的设备配置(即脚本命令的执行结果)保存至一个XML文件。等到所有设备都扫描完毕时,设备配置数据采集模块的工作结束。

  分析设备配置数据采集模块生成的结果XML文件,根据通信网络安全基线规范,判断核查设备的检查项目是否达标,并对不达标的项目进行高亮显示。每个检查项目的判定结果包含6个状态:符合、不符合、待确认、不适用、采集失败、未执行。

  d) 不适用:表示设备配置没有正常获取,例如访问权限不足、相关配置文件不存在、设备版本不匹配等情况。

  e) 采集失败:表示设备配置访问未能成功,例如连接失败、账号口令不正确等。

  在对目标设备的各个检查项的达标情况进行判定之后,依照百分制为目标主机打分,其中各个检查项的权重在模块设置中指定。在评分之后,进行其他数据的统计,最后生成一份评估报告来展示本次任务的核查结果。

  图3为核查任务结果分析模块的整体结构。模块总共完成3个方面的功能:结果分析、评分和生成报告以及高级数据分析。因此,也相应地将整个模块划分为3个子模块分别实现。其中结果分析子模块用于分析设备配置数据采集模块的输出结果XML文件,它主要是在后台执行,本港开奖直播现场从数据库中的检查项数据获取各个检查项的安全基线指标值,与实际采集的配置进行比对、分析,然后将核查结果存入数据库。在结果分析完成之后,启动评分和生成报告子模块,根据任务中各个检查项的核查结果以及在模板中对应的权重进行评分,同时统计其他数据,最后生成一份评估报告展现给用户。而最后的高级数据分析子模块是在前两者分析的结果数据基础上进行,根据操作人员的操作指令进行相应的分析,分析完成后通过界面UI展示。

  设备安全基线配置核查分析系统通过日志记录模块和权限角色管理模块来保障系统的安全性和保密性。

  本系统要求具有维护日志记录的功能,当操作人员进行某项操作时,以数据库的形式实时将其操作记录下来,这有利于及早发现非法入侵和进行系统维护。

  根据需求,日志记录记录的信息一共有六大类,分别是登录信息、任务管理信息、设备管理信息、模板管理信息、检查项管理信息和脚本管理信息。各类信息记录的具体操作如下。

  b) 任务管理信息。启动在线扫描任务、导入任务配置文件、导出任务配置文件、导出离线脚本、导入离线采集结果和删除任务记录。

  c) 设备管理信息。添加设备信息、修改设备信息、删除设备信息、导入设备信息和导出设备信息。

  d) 模板管理信息。添加新模板、修改模板、删除模板、导入模板和导出模板。

  e) 检查项管理信息。添加新检查项、修改检查项、删除检查项、导入检查项和导出检查项。

  f) 脚本管理信息。添加新脚本、修改脚本、删除脚本、导入脚本和导出脚本。

  为了保障系统数据的安全性,系统提供相应的用户、角色管理和权限验证功能。权限包括以下2个方面:功能资源的操作权限和数据资源的存取权限。其中功能资源权限指的是配置检查工具的各个功能模块的使用权限,而数据资源权限指的是对象资源(网络设备)和基本配置检查结果信息的查看权限。

  根据要求,系统的任何一个合法用户都必须从属于某个角色,并拥有角色对应的权限。在用户执行任何操作之前,都需要审核用户的权限范围。如果用户权限不足,则禁止本次操作。

  图 4为权限角色管理模块的结构,在操作人员登录系统之后,权限角色管理模块正式启动,首先通过与数据库中的用户数据进行交互,获取操作人员对应的角色,之后根据操作人员的角色管理权限。

  权限角色管理模块可分为2个子模块,分别为权限验证子模块和用户管理子模块。其中权限验证子模块主要用来判断用户的某项操作是否在其对应角色的权限范围内,如果权限不足,则予以禁止。而用户管理子模块主要是负责用户信息的管理,供用户修改用户名、密码等个人信息。由于只有管理员用户才可以执行这项操作。因此在调用其他用户管理子模块之前,需要由权限验证子模块判断用户的角色是否为管理员用户。

  为了更好地提升安全基线合规管理能力,除了提高自动化运维水平之外,还要推动核查范围由点到面的全覆盖,建立总部平台,实现大数据集中分析平台,持续积累各种异常案例和配置知识库,并对全网安全态势进行综合评估,挖掘提取容易配错的设备类型和参数指标,在日常运维中做好预防工作。

  此外,安全防护工作一定要做到技管并重,既要有自动化、智能化的运维工具,更要有制度化、体系化的管理机制,因此一方面要增强运维人员的安全合规意识,做好规范教育和技术培训,防止出现各类低级错误,另一方面则要加强合规运维的考核力度,将合规操作、漏洞封堵纳入各级单位考核范畴,定期组织自查和第三方抽检,并对整改效果进行持续跟踪和后评估,引起各个层面重视,保证考核工作的常态化。

  综上所述,安全基线是网络和业务稳定运行的最根本基础,如果设备带病入网和运行,无论后续加载多少防护措施都成了无本之木、空中楼阁,不但会增加防护成本也会降低防护效果,整个服务运营的可靠性也就无从谈起。

  因此,必须要高度重视安全基线管理体系的建设,一方面要积极进行技术创新,引入相关安全工具提高基线核查工作的自动化和智能化,降低安全运维人工成本,另一方面还要不断完善管理机制,加强职业素养培训,优化奖惩制度,充分调用相关人员积极性,全面保障网络合规稳定运行。

  据新浪报道,华为创始人任正非在 2020 冬季达沃斯论坛上表示,鸿蒙系统已经上网,未来会应用到华为旗....

  1. LiteOS的互斥锁1.1. 互斥锁在多任务环境下,往往存在多个任务竞争同一共享资源的应用场景,互斥锁可被用于对共享资源的保护...

  使第一批5G网络服务开始投入使用,这些问题仍然悬而未决。从数据中心管理人员到首席信息官需要学习如何挖....

  随着互联网技术与应用的快速发展,云计算,云存储,大数据等相关新型互联网业务规模与日俱增,数据中心进入....

  CNG压缩机物联网监控系统网络构架如图1所示。系统由设备监控网、VPN局域网、移动Net、INTER....

  存储是一件复杂的事情,在经历过电脑运算能力和网络互连能力两次快速发展之后,人们对于网络的需求不再满足....

  物联网是一次新的信息技术革命,继互联网和移动通信网之后,它蕴含着巨大的创新空间和机遇。

  网站安全在网站设计制作中伴有很重要的角色。在进行网站建设的过程中,除了要保证做出来的网站的美观性和功....

  刚刚拉开序幕的2020年,对于区块链行业来说,是重要发展的一年。未来的5-10年,区块链大概率会像曾....

  大规模虚拟机部署也需要编排解决方案。但是,它们很少像容器部署那样复杂。使用虚拟机时,移动部件很少,基....

  无线技术可以说充斥着我们生活,我们熟知到WiFi就是无线技术的一个研发。对于我们生活来讲无线技术方便....

  区块链技术应用目前仍然处于初步发展阶段,还有很多技术问题有待解决。但随着“互联网+”战略的加快实施,....

  统信软件今日表示,近日,奔图打印机与统一操作系统UOS完成适配工作,并在搭载统一操作系统UOS的龙芯....

  区块链技术在近些年逐渐被大家提起,并且随着技术的不断成熟,区块链实际场景落地也日渐成熟的。

  人工智能是科研发展的前沿技术,发展过程中与信息技术、计算机技术、精密制造技术、互联网技术密切相关,对....

  有赖于网络覆盖、手机应用的拓展,但陈文俊称,手机厂商应该清醒地看到,5G 是换机首选因素,而非驱动因....

  园区平台通过数字化地图、VR等技术手段为客户提供“所见即所得”在线选房视觉体验,使客户可以足不出户3....

  商业区块链需要与支持比特币和以太坊等网络的原始公共区块链平台截然不同。

  可有效解决链上信息共享与数据隐私、数据所属权之间的矛盾,在实现链上数据共享的同时,满足业务场景对隐私....

  人工智能领域目前已经逐渐形成了一个庞大的产业体系,整个产业体系结构中也涉及到大量的工作岗位。

  这两天国产操作系统有不少好消息,最近大热的UOS统一操作系统已经进入发布阶段,日前面向合作伙伴发了最....

  1月14日,Windows 7正式结束了自己的生命,而不知道是不是巧合,几乎同时,国产的统一操作系统....

  Win10之后不是Win11?微软将推出Win 10X和新Edge浏览器

  Win7的退役再次将Win10推向前台,那么我们也不禁发问,Win10的班要谁来接呢?

  ”5G 不仅仅是一个数字游戏。它承诺为智能城市开放世界,无人驾驶汽车,改善医疗保健和完全实现的物联网....

  Windows 7系统落幕后,Windows 10 Mobile再次宣告死亡

  据外媒报道称,微软发布的一份支持文档显示,Windows 10 Mobile操作系统将会延长到202....

  目前,关于区块链应用场景的讨论有很多,从互联网上的文章、观点来看,业内人士对于区块链的应用场景只是停....

  1月14日,统信软件宣布国产OS——UOS统一操作系统的正式版正式发布,首先推出的是面向合作伙伴的版....

  通信软件公司今天官方宣布,统一操作系统UOS发布正式版本,包括统一桌面操作系统V20、统一服务器操作....

  网站安全是指一系列防御措施,以防止网站受到外部计算机入侵者的攻击并篡改网页。 建立一个新的网站是一个....

  区块链现在可以使用的另一个领域是法律界,法律界经常处理违反合同的案件。

  IBM近期正尝试在金融服务、身份和供应链中的点对点网络中建立小区,似乎想要窥探出一个未来区块链的世界....

  通过人工智能来拓展自身的能力边界。随着人工智能产品的落地应用,文科生也可以借助于人工智能产品来拓展自....

  随着5G时代的到来,5G的优势不断得到凸显,基于5G通信,不仅仅是网络速度增加,更多的是基于5G网络....

  人工智能各细分技术发展态势、产业落地情况及发展前景、全球人工智能领军企业的综合发展实力等。

  伴随着2020年1月14日的到来,已经服役了十年之久的Windows 7操作系统将正式宣布退役。此前....

  如果将时间拉回到2000年,我们依然能清晰地感受到互联网大潮的气息——“带来的互联网速度和....

  随着区块链在金融场景的应用兴起,目前各主体都在积极推动区块链技术的落地,然而,关于区块链应用落地的问....

  这些基础设施都是为了产业各方在区块链技术落地的时候免去建设基础设施,通过开发专项应用即可部署服务,降....

  一个以AI 技术为核心的时代来临,在这个时代中,AI与各行业融合成为发展趋势,尤其利用AI技术扎根垂....

  在数据量和数据种类不断增加的时代,让企业数据目录保持最新,已经变得越来越困难。但是,人工智能等技术的....

  目前苹果CMS官方在不断的升级补丁,官方最新的漏洞补丁对于目前爆发的新漏洞没有任何效果。

  伴随着5G时代的来临,大家想到的以上问题都会迎刃而解,视频直播的延迟将会被大大缩短、主播与用户之间的....

  顺应大数据、云计算、人工智能等时代发展趋势,加上智慧城市建设步伐加快,传统治安警务也开始迈入智慧化轨....

  龙脉科技的mToken USBKey已与统一操作系统UOS完全兼容 应用生态越来越丰富

  统信软件公司今日宣布,龙脉科技的mToken USBKey已经与搭载龙芯、飞腾、申威、鲲鹏、兆芯、海....

  随着产业互联网的发展,云计算与传统行业的结合会进一步深入,云计算领域将会针对于不同的行业推出针对性的....

  任何以互联网为基础的应用都存在着一定危险性,云计算也不例外,安全问题从云计算诞生那天开始就一直受人关....

  在一个典型的物联网系统中,传感器可以收集信息并将其路由到控制中心,在控制中心做出决策,并根据感测到的....

  包内含有两个代码,平台均为华大单片机,型号是:HC32L13XK8TA,一个是FreeRTOS,一个是RT-Thread...

  1990年代以前,IETF曾为计算机出版界所宠爱。它宣称自己与迟钝、嘈杂的ISO和 ITU-T的官僚作风比较,将是更敏捷、虚心...

  随着嵌入式设备的开发和推广,触摸屏作为新式输入设备已经随处可见,手机、PDA、MID以及ATM机等设备都已经用到了触摸屏...

  近年来,随着嵌入式技术的不断发展,各种电子产品层出不穷,对于那些具有众多功能,但按键数目无法满足要求的设备来说,选择一个...

  随着Internet的飞速发展,网络应用越来越广泛,对各种工业控制设备的网络功能要求也越来越高。...

  随着嵌入式技术的发展,实时操作系统RTOS(Real Time Operating System)被越来越多地应用在嵌入式系统中,但是对现有基于...

  TMS320VC5402处理器片内共有8条总线以及CPU、片内存储器和片外电路等硬件。该处理器具有低功耗、速度快,高度并行化等特...



友情链接:
Copyright 2018-2021 白小姐中特网 版权所有,未经授权,禁止转载。

六合开奖结果现场直播| 香港最快开奖现场直播| 香港马会开奖结果直播| www.615678.com| www.72884.com| 43988刘伯温神算| www.228298.com| www.zl345345.com| www.615678.com| 摇钱树论坛| 特马生肖版| 一肖中特免费公开资料香港马|