1、概述

隨著我國互聯(lián)網(wǎng)業(yè)務模式進一步豐富，設備數(shù)量急劇增加，網(wǎng)絡規(guī)模成倍擴展，導致網(wǎng)元設備參數(shù)和策略配置更加復雜，容易出現(xiàn)誤配置或策略漏洞，造成設備帶病入網(wǎng)和運營，增大了非法入侵、信息泄露的安全威脅，提高了后續(xù)運維的安全防護成本，降低了網(wǎng)絡可靠性，除了影響人們的日常生活之外，還可能帶來嚴重的經(jīng)濟損失，因此需要進一步提升配置合規(guī)性管理水平，但是由于設備類型版本多樣，參數(shù)和策略配置項眾多，傳統(tǒng)人工手動核查的方式耗時耗力、客觀性差，亟需一種平臺化、自動化的解決方案，推動安全配置基線核查工作的常態(tài)化和標準化。

2、安全基線定義

網(wǎng)絡設備安全基線是指對一個通信網(wǎng)元的最小安全保證，即網(wǎng)元需要滿足現(xiàn)網(wǎng)運維和業(yè)務運維安全需求的最基本的、最重要的軟硬件版本、參數(shù)設置，從而在不大規(guī)模增加網(wǎng)絡復雜性和維護投資的前提下，使通信網(wǎng)絡中所有系統(tǒng)、設備能夠得到統(tǒng)一的、最低要求的安全保障，減少一些初級的、可預知的安全隱患，便于維護與管理，提高全網(wǎng)安全防護水平。

配置基線要求涵蓋范圍包括通信網(wǎng)絡中的所有網(wǎng)絡設備、主機設備、安全設備以及運行在這些設備中的操作系統(tǒng)、應用程序、數(shù)據(jù)庫、中間件等軟硬件實體。

3、系統(tǒng)功能需求分析

該系統(tǒng)作為一款輔助運維工具，一方面要能夠?qū)崿F(xiàn)采集、核查和圖表生成等操作的自動化、可視化，提高安全運維效率；另一方面則要能夠具備一定的分析評估能力，為安全管理提供輔助決策。因此，本系統(tǒng)主要功能設計如下。

3.1 數(shù)據(jù)采集功能

支持本地和遠程方式的配置參數(shù)提取功能，通過事先預置的口令和訪問模式連接核查目標，通過自動化腳本收集相關(guān)設備安全配置信息，并確保系統(tǒng)能夠在具有各種安全防護措施的實際場景下收集到完整的配置數(shù)據(jù)。在級聯(lián)模式下，系統(tǒng)還支持向上級平臺提交所采集的數(shù)據(jù)和分析的結(jié)果。

3.2 數(shù)據(jù)分析功能

自動化核查系統(tǒng)在采集到相關(guān)配置數(shù)據(jù)后，可以在本地進行分析也可以將配置參數(shù)上報上級分析平臺，由上級分析平臺進行分析，相關(guān)分析功能如下。

a） 能夠依據(jù)用戶指定相關(guān)合規(guī)指標，判斷目標主機上的檢查項目達標與否，并對不達標項進行告警顯示。

b） 支持對各種安全規(guī)范要求中的所有檢查項目進行等級區(qū)分，能夠進行權(quán)重調(diào)整，能夠依照百分制對目標主機的達標情況打分，每個檢查參數(shù)的分值可以預先設置。

c） 能夠進行歷史數(shù)據(jù)查詢、任務合并、匯總查看、對比分析、趨勢分析等，能夠進行多個檢查任務或多個IP風險對比。

d） 內(nèi)置專家知識庫，具備輔助分析的功能，能夠?qū)W(wǎng)絡安全合規(guī)性進行評估，給出完善建議。

3.3 任務管理功能

安全配置基線核查系統(tǒng)能夠?qū)瞬槿蝿者M行配置管理，支持任務命名與分組設置；支持任務定時、周期設置；支持核查模板的定制修改和導入導出；支持對核查參數(shù)的權(quán)重賦值；支持訪問口令和訪問模式的設置；支持核查掃描時間和周期的設置；支持核查結(jié)果上報方式設置等。

3.4 圖表輸出功能

為了配合操作人員進行輔助決策，要求系統(tǒng)具備圖表定制和輸出功能。

a） 支持核查結(jié)果圖表顯示條目的自定義，除了包括核查結(jié)果軟硬件版本信息、配置信息、漏洞信息等基本檢查項，還要能夠增加地理位置、機房信息、設備用途等標示信息。

b） 支持核查圖表導出，支持HTML、Excel、PDF、Word等主流格式，內(nèi)容應包含整體概述、各設備的檢查列表等信息。

c） 支持圖表遠程上報。

3.5 系統(tǒng)管理功能

該系統(tǒng)應能夠提供用戶、角色和組織機構(gòu)管理權(quán)限劃分功能；實現(xiàn)對系統(tǒng)配置檢查功能日志的記錄與查詢；提供分布式組件管理，實現(xiàn)對分布式離線采集器和單機代理的管理；提供對系統(tǒng)數(shù)據(jù)的維護配置管理，支持系統(tǒng)自動、手動更新。

4、系統(tǒng)架構(gòu)設計

根據(jù)功能和工作模式需求，本系統(tǒng)按照軟件分層及模塊化的思想進行設計，不同功能模塊可以靈活地以服務的形式部署在不同主機上，便于合理分配資源和性能調(diào)優(yōu)。

系統(tǒng)架構(gòu)可分為表示層、業(yè)務邏輯層、數(shù)據(jù)訪問層和底層數(shù)據(jù)庫，具體設計如圖 1所示。

圖1 系統(tǒng)架構(gòu)

a） 表示層：主要表現(xiàn)為UI界面的形式，負責系統(tǒng)的可視化呈現(xiàn)以及處理用戶與系統(tǒng)之間的交互，負責將用戶輸入的指令和數(shù)據(jù)交付給業(yè)務邏輯層進行邏輯處理，包括任務配置界面、任務報告界面、高級數(shù)據(jù)分析界面、用戶角色管理界面和日志記錄管理界面。

b） 業(yè)務邏輯層：接收表示層提交的用戶操作，調(diào)用不同的邏輯處理模塊。在處理過程中，根據(jù)業(yè)務需求向數(shù)據(jù)訪問層請求訪問相應數(shù)據(jù)。業(yè)務邏輯層是整個系統(tǒng)的核心部分，負責數(shù)據(jù)信息處理及核查任務執(zhí)行等關(guān)鍵職能。它主要包括以下幾個子部分：

（a） 配置核查引擎。對用戶提交的核查任務進行分析、分解，獲取核查任務的相關(guān)信息，包括核查設備以及所采用的模板等，之后交付協(xié)議連接引擎進行遠程連接協(xié)商。

（b） 協(xié)議連接引擎。每臺被核查設備都事先規(guī)定了各自的遠程連接方式。協(xié)議連接引擎支持多種遠程連接協(xié)議，可根據(jù)設備要求選擇不同的連接模塊，與目標設備協(xié)商建立遠程連接，其中包括參數(shù)協(xié)商以及身份認證等。

（c） 數(shù)據(jù)采集引擎。遠程連接上目標設備后，通過連接執(zhí)行模板中各個檢查項對應的腳本，將采集到的設備配置保存到結(jié)果文件中。

（d） 掃描信息處理模塊。對數(shù)據(jù)采集引擎返回的結(jié)果文件進行處理和判斷，交付到報表引擎等模塊進行數(shù)據(jù)分析。

（e） 報表引擎。報表展示的核心處理模塊，借助表格、圖像等UI控件將核查結(jié)果以可視化的形式展現(xiàn)給用戶。

（f） 數(shù)據(jù)分析引擎。根據(jù)用戶的需求，對特定核查任務數(shù)據(jù)進行高級數(shù)據(jù)分析，支持的分析方法有對比分析、趨勢分析等。

（g） 用戶信息管理。負責處理用戶個人信息的修改以及管理員增加或刪除用戶等操作。

（h） 權(quán)限驗證。提供系統(tǒng)授權(quán)使用的信息，包含登錄用戶權(quán)限、授權(quán)使用模塊、授權(quán)存取信息等。

（i） 日志記錄。提供系統(tǒng)日志，實時記錄用戶的敏感操作，并支持管理員用戶維護日志。

c） 數(shù)據(jù)訪問層：該層封裝了存取數(shù)據(jù)的接口，根據(jù)業(yè)務邏輯層的需要提供相應的數(shù)據(jù)服務。在本系統(tǒng)中，對于模板、腳本和設備數(shù)據(jù)，數(shù)據(jù)訪問層只需提供數(shù)據(jù)讀取接口，至于任務配置、核查結(jié)果、用戶和日志等數(shù)據(jù)，則要求數(shù)據(jù)訪問層支持讀取和寫入。

d） 數(shù)據(jù)庫：存儲設備安全基線配置核查分析系統(tǒng)所需的各種數(shù)據(jù)，至少應該包括以下7個方面：模板數(shù)據(jù)、腳本數(shù)據(jù)、設備數(shù)據(jù)、任務配置數(shù)據(jù)、核查結(jié)果數(shù)據(jù)、用戶數(shù)據(jù)和日志數(shù)據(jù)。

5、主要功能模塊實現(xiàn)

5.1 設備配置數(shù)據(jù)采集功能

設備配置數(shù)據(jù)采集模塊支持用戶通過在線的方式采集子網(wǎng)內(nèi)目標設備的配置數(shù)據(jù)。用戶可以根據(jù)自身的需求，選用不同的采集模板收集多項設備配置數(shù)據(jù)。當確定模板之后，用戶還需要指定目標設備，啟動采集任務。

系統(tǒng)響應用戶發(fā)出的啟動命令，開始通過遠程連接協(xié)議嘗試連接目標設備。成功連接之后，系統(tǒng)向目標設備發(fā)送采集腳本命令。目標設備執(zhí)行完腳本命令后，將執(zhí)行結(jié)果（即相應的配置數(shù)據(jù)）返回給系統(tǒng)，交由系統(tǒng)保存。根據(jù)目標設備的類型需要采用不同的遠程連接協(xié)議。系統(tǒng)支持實現(xiàn)3種遠程連接協(xié)議：Telnet、SSH和WinRM。圖 2為設備配置數(shù)據(jù)采集模塊的結(jié)構(gòu)示意圖。

圖2 設備配置數(shù)據(jù)采集模塊的結(jié)構(gòu)示意圖

設備配置數(shù)據(jù)采集模塊的輸入有2項，分別是采集模板的ID和目標設備的IP，輸出則是以XML文件形式保存的設備配置數(shù)據(jù)。當操作人員輸入功能命令（即啟動任務）后，界面UI將操作人員輸入的采集模板ID與目標設備IP傳入設備配置數(shù)據(jù)采集模塊，模塊開始進行配置數(shù)據(jù)的采集工作。模塊首先根據(jù)目標設備的IP從數(shù)據(jù)庫的設備數(shù)據(jù)中讀取目標設備的其他信息，其中包括目標設備的遠程登錄方式、登錄用戶名及密碼等。之后根據(jù)預設的遠程登錄方式選擇調(diào)用不同的遠程連接子模塊，如Telnet、SSH和WinRM。在成功連接上目標設備之后，再根據(jù)模板ID從數(shù)據(jù)庫的模板數(shù)據(jù)中讀取相應的腳本命令，根據(jù)遠程連接協(xié)議采用不同的方式將腳本命令交由目標設備執(zhí)行，并實時地將收集到的設備配置（即腳本命令的執(zhí)行結(jié)果）保存至一個XML文件。等到所有設備都掃描完畢時，設備配置數(shù)據(jù)采集模塊的工作結(jié)束。

5.2 核查任務結(jié)果分析功能

核查任務結(jié)果分析模塊主要完成以下3個方面的功能。

5.2.1 結(jié)果判定

分析設備配置數(shù)據(jù)采集模塊生成的結(jié)果XML文件，根據(jù)通信網(wǎng)絡安全基線規(guī)范，判斷核查設備的檢查項目是否達標，并對不達標的項目進行高亮顯示。每個檢查項目的判定結(jié)果包含6個狀態(tài)：符合、不符合、待確認、不適用、采集失敗、未執(zhí)行。

a） 符合：表示設備配置符合配置規(guī)范的要求。

b） 不符合：表示設備配置不符合配置規(guī)范的要求。

c） 待確認：表示設備配置的最終結(jié)果需要評估人根據(jù)現(xiàn)場情況確認。

d） 不適用：表示設備配置沒有正常獲取，例如訪問權(quán)限不足、相關(guān)配置文件不存在、設備版本不匹配等情況。

e） 采集失?。罕硎驹O備配置訪問未能成功，例如連接失敗、賬號口令不正確等。

f） 未執(zhí)行：表示設備配置評估沒有執(zhí)行。

5.2.2 評分和生成報告

在對目標設備的各個檢查項的達標情況進行判定之后，依照百分制為目標主機打分，其中各個檢查項的權(quán)重在模塊設置中指定。在評分之后，進行其他數(shù)據(jù)的統(tǒng)計，最后生成一份評估報告來展示本次任務的核查結(jié)果。

5.2.3 高級數(shù)據(jù)分析

a） 歷史數(shù)據(jù)查詢：查詢歷史任務信息以及它們的評測結(jié)果。

b） 任務匯總：匯總多個任務的評測結(jié)果。

c） 對比分析：對比同一設備在不同任務的核查情況。

d） 趨勢分析：觀察設備安全狀態(tài)的時間趨勢。

圖3為核查任務結(jié)果分析模塊的整體結(jié)構(gòu)。模塊總共完成3個方面的功能：結(jié)果分析、評分和生成報告以及高級數(shù)據(jù)分析。因此，也相應地將整個模塊劃分為3個子模塊分別實現(xiàn)。其中結(jié)果分析子模塊用于分析設備配置數(shù)據(jù)采集模塊的輸出結(jié)果XML文件，它主要是在后臺執(zhí)行，從數(shù)據(jù)庫中的檢查項數(shù)據(jù)獲取各個檢查項的安全基線指標值，與實際采集的配置進行比對、分析，然后將核查結(jié)果存入數(shù)據(jù)庫。在結(jié)果分析完成之后，啟動評分和生成報告子模塊，根據(jù)任務中各個檢查項的核查結(jié)果以及在模板中對應的權(quán)重進行評分，同時統(tǒng)計其他數(shù)據(jù)，最后生成一份評估報告展現(xiàn)給用戶。而最后的高級數(shù)據(jù)分析子模塊是在前兩者分析的結(jié)果數(shù)據(jù)基礎上進行，根據(jù)操作人員的操作指令進行相應的分析，分析完成后通過界面UI展示。

圖3 核查任務結(jié)果分析模塊結(jié)構(gòu)

5.3 系統(tǒng)安全管理功能

設備安全基線配置核查分析系統(tǒng)通過日志記錄模塊和權(quán)限角色管理模塊來保障系統(tǒng)的安全性和保密性。

5.3.1 日志記錄功能

本系統(tǒng)要求具有維護日志記錄的功能，當操作人員進行某項操作時，以數(shù)據(jù)庫的形式實時將其操作記錄下來，這有利于及早發(fā)現(xiàn)非法入侵和進行系統(tǒng)維護。

根據(jù)需求，日志記錄記錄的信息一共有六大類，分別是登錄信息、任務管理信息、設備管理信息、模板管理信息、檢查項管理信息和腳本管理信息。各類信息記錄的具體操作如下。

a） 登錄信息。登錄操作記錄。

b） 任務管理信息。啟動在線掃描任務、導入任務配置文件、導出任務配置文件、導出離線腳本、導入離線采集結(jié)果和刪除任務記錄。

c） 設備管理信息。添加設備信息、修改設備信息、刪除設備信息、導入設備信息和導出設備信息。

d） 模板管理信息。添加新模板、修改模板、刪除模板、導入模板和導出模板。

e） 檢查項管理信息。添加新檢查項、修改檢查項、刪除檢查項、導入檢查項和導出檢查項。

f） 腳本管理信息。添加新腳本、修改腳本、刪除腳本、導入腳本和導出腳本。

5.3.2 權(quán)限角色管理功能

為了保障系統(tǒng)數(shù)據(jù)的安全性，系統(tǒng)提供相應的用戶、角色管理和權(quán)限驗證功能。權(quán)限包括以下2個方面：功能資源的操作權(quán)限和數(shù)據(jù)資源的存取權(quán)限。其中功能資源權(quán)限指的是配置檢查工具的各個功能模塊的使用權(quán)限，而數(shù)據(jù)資源權(quán)限指的是對象資源（網(wǎng)絡設備）和基本配置檢查結(jié)果信息的查看權(quán)限。

根據(jù)要求，系統(tǒng)的任何一個合法用戶都必須從屬于某個角色，并擁有角色對應的權(quán)限。在用戶執(zhí)行任何操作之前，都需要審核用戶的權(quán)限范圍。如果用戶權(quán)限不足，則禁止本次操作。

圖 4為權(quán)限角色管理模塊的結(jié)構(gòu)，在操作人員登錄系統(tǒng)之后，權(quán)限角色管理模塊正式啟動，首先通過與數(shù)據(jù)庫中的用戶數(shù)據(jù)進行交互，獲取操作人員對應的角色，之后根據(jù)操作人員的角色管理權(quán)限。

圖4 權(quán)限角色管理模塊的結(jié)構(gòu)示意圖

權(quán)限角色管理模塊可分為2個子模塊，分別為權(quán)限驗證子模塊和用戶管理子模塊。其中權(quán)限驗證子模塊主要用來判斷用戶的某項操作是否在其對應角色的權(quán)限范圍內(nèi)，如果權(quán)限不足，則予以禁止。而用戶管理子模塊主要是負責用戶信息的管理，供用戶修改用戶名、密碼等個人信息。由于只有管理員用戶才可以執(zhí)行這項操作。因此在調(diào)用其他用戶管理子模塊之前，需要由權(quán)限驗證子模塊判斷用戶的角色是否為管理員用戶。

6、安全基線合規(guī)管理優(yōu)化建議

為了更好地提升安全基線合規(guī)管理能力，除了提高自動化運維水平之外，還要推動核查范圍由點到面的全覆蓋，建立總部平臺，實現(xiàn)大數(shù)據(jù)集中分析平臺，持續(xù)積累各種異常案例和配置知識庫，并對全網(wǎng)安全態(tài)勢進行綜合評估，挖掘提取容易配錯的設備類型和參數(shù)指標，在日常運維中做好預防工作。

此外，安全防護工作一定要做到技管并重，既要有自動化、智能化的運維工具，更要有制度化、體系化的管理機制，因此一方面要增強運維人員的安全合規(guī)意識，做好規(guī)范教育和技術(shù)培訓，防止出現(xiàn)各類低級錯誤，另一方面則要加強合規(guī)運維的考核力度，將合規(guī)操作、漏洞封堵納入各級單位考核范疇，定期組織自查和第三方抽檢，并對整改效果進行持續(xù)跟蹤和后評估，引起各個層面重視，保證考核工作的常態(tài)化。

7、結(jié)束語

綜上所述，安全基線是網(wǎng)絡和業(yè)務穩(wěn)定運行的最根本基礎，如果設備帶病入網(wǎng)和運行，無論后續(xù)加載多少防護措施都成了無本之木、空中樓閣，不但會增加防護成本也會降低防護效果，整個服務運營的可靠性也就無從談起。

因此，必須要高度重視安全基線管理體系的建設，一方面要積極進行技術(shù)創(chuàng)新，引入相關(guān)安全工具提高基線核查工作的自動化和智能化，降低安全運維人工成本，另一方面還要不斷完善管理機制，加強職業(yè)素養(yǎng)培訓，優(yōu)化獎懲制度，充分調(diào)用相關(guān)人員積極性，全面保障網(wǎng)絡合規(guī)穩(wěn)定運行。

責任編輯：gt