基于智和网管平台的网络安全运维解决方案

随着信息技术的快速发展及网络应用的广泛普及，企业在享受网络技术带来便利的同时，也受到日益严重的网络安全威胁。未来，企业信息系统 规模和复杂程度将不断增大，对信息通信技术的应用也将不断深入，网络安全运维将成为愈发突出的问题。

随着企业信息化的发展不断深入，其日常生产经营管理与网络和信息化结合日趋紧密，对网络和信息系统的依赖程度越来越高。目前，企业普遍存在网络安全运维难题。

一方面是地理上的隔离，一企业多地办公造成内部网络异地部署：另一方面，企业办公网络和生产网络混杂，网络结构不清晰。

网络运维对象多为服务器、交换机、路由器、安全设备、通信设备、视频监控设备及软件服务等。有数百家厂商生产不同规格、不同型号的软硬件产品，需要进行大量适配工作。 

设备配置界面差异大，管理员难以快速熟悉各家产品的操作界面及操作指令，统一配置设备策略成为难题。

与欧美发达国家相比，我国信息技术发展仍存在空白点，部分重要软硬件产品仍依赖国外，缺乏自主可控的信息技术产业链。

同与日俱增的网络安全需求相比，在专业人才的培养方式上存在短板，专业性、复合型网络安全人才短缺。

基于网络发展未来趋势及网络安全运维的整体目标，针对当前网络安全运维中存在的问题，各企事业单位可从构建国产化网络运维体系、减少人力运维依赖出发，应对当前存在的网络安全运维难题。主要措施包括：推进国产软硬件产品替代国外产品；打造网络安全管控平台和态势感知与监测预警平台，使网络安全运维协同化、可视化、规范化；针对性建设网络安全运维体系，持续进行体系优化。

构建全天候、全方位网络安全运维平台，将人工运维转化为自动运维，将被动维护转化为主动维护，将单点监控转化综合监测，提高态势感知、风险监测、故障告警、大数据分析等能力。通过采集服务器、交换机、中间件、防火墙、应用系统等设备的数据及日志信息，进行实时监控，动态展现，对全网信息进行跨地域、跨网段、跨设备的全维度可视化监测：主动监测和发现网络异常事件，实时告警，提高风险防范和监测预警能力。网络安全运维平台架构如图１所示。

网络已融进生活与生产建设的每个角落，对企业生产、公司管理乃至军事国防都产生重要影响，因此网络安全运维尤为重要。本文以北京智和信通技术有限公司的智和网管平台(SugarNMS)为例，分析网络安全运维方案中核心功能及实施措施。

        智和网管平台SugarNMS基础功能结构在基础功能方面，网络安全运维平台应具备设备、资源、链路自动发现功能，具备可视化网络 拓扑、故障告警、性能分析等能力，基础功能结构如图２所示，具体包括：

    １)自动发现。在网络可达范围内，通过IP 信息搜索网络节点，匹配网络节点的型号与厂商信息，通过设备真实面板模拟可视化，通过资源逻辑面板展示网络节点资源信息，可监控网络节点的 CPU、内存、板卡、磁盘等资源使用情况与网络节点之间的链路关系。

    ２)拓扑展示。将网络节点根据网络关系或逻辑关联组合后以拓扑形式展示，并对网络节点、节点中的资源、节点之间的链路关系进行监控或者管理。

    ３)设备管控。支持在拓扑图或列表管理配置设 备及其参数，可通过SNMPV１∕V２C∕V３，NetConf，Telnet，SSH，IPMI，ONVIF，JRPC，JMX，JDBC，WMI，Trap，Syslog，HTTP等协议管理设备。 

    ４)资源管理。可视化展示设备真实面板及资源逻辑面板，包括构成网络节点的物理组件、网络节点中运行的服务或根据监控需求自定义的其他监控目标。

    ５)链路识别。可在拓扑视图及管理列表编辑链路信息，并在拓扑上展示链路实时性能数据，支持根据需求修改展示数据的类型。

    ６)故障告警。采集设备故障及事件信息，触发实时告警，可在网络拓扑及故障告警列表查看告警信息，并可一键触发告警工单。

    ７)性能采集。通过网络节点协议栈策略对其资源信息进行采集。采集到的性能数据通过智能算法进行计算并可视化展示，支持固定或自定义时间范围查看性能指标的趋势变化情况。 

    ８)安全管控。提供基于万能命令的安全管控能力，可通过命令下发实现诸如QoS安全策略、流量策略、准入控制等功能，并支持全网MAC-IP数据获取与绑定、黑白名单策略启用或禁用。

    ９)监控报告。提供面向网络、设备、资源的智能巡检能力，包含自动化运维、故障巡检、策略巡检、策略备份等巡检策略配置。支持生成巡检报告及统计报表，让用户对网络有一个直观的了解。

        提供基于设备、资源层面的全网设备安全运维与深度管控。通过Telnet、JDBC、JMX、SNMP协议等设备管理协议及设备类型，进行统一安管和运维规范配置，智和网管平台 SugarNMS安全控制架构如图３所示，实现多品牌设备集中管控、安全策略可见、配置准确性核查等功能。提供拓扑图右键快捷命令下发操作。支持对华为、华三、迈普、迪普、锐捷等国产设备的深入管控，包括 ACL、QoS、路由配置、账号安全、终端准入等。

        在通用网管功能的基础上，提供模块式或者代码式的开发形式，可在更短的时间内满足各种定制需求，同时厂商应提供全套开发资料以及完备的培训服务。

 开发模块应包含：二次开发平台、拓扑图开发 组件、SNMP开发组件、服务端 API、数据库 API、HTML５代码、设备插件接口Java代码、Web服务端Restful接口及相应的开发文档、开发培训服务。

        智和网管平台支持在中标麒麟、银河麒麟、红 旗 Linux等国产操作系统上运行，支持在达梦、金仓、神州等国产数据库进行数据存储，通过东方通等国产中间件提供对外服务，支持龙芯、申威等 国产CPU 架构，并实现对国产化CPU、服务器、数据库、中间件等IT 软硬件设备的综合监控与运维管理。智和网管平台 SugarNMS 信创国产化架构如图４所示：

        通过部署智和网管平台，实现网络具象化展示、秒级故障监控及网络数据分析展示等功能，对网络安全运维具有提升运维效率、实现安全可控及降低人员依赖等众多价值。 

        １)智能化监控，一键搜索、发现和识别网络设备、资源、链路，智能化故障管理，更大限度提高产品的易操作性，简化用户操作步骤，减少管理环境的搭建时间，提高管理效率。 

        ２)具象化拓扑图，完整呈现网络拓扑结构，以图形化的形式对网络结构及网络内的设备进行展示与管理，更大地降低IT管理的难度。

        ３)个性化定制开发、系统集成，满足差异化需求，支持针对特殊需求定制专属网管平台，且不断更新平台功能，以满足网络发展带来的差异需求。

        ４)信创国产化。根据国内用户在信息建设方面国产替代日益增多的需求，实现兼容国产CPU、服务器、操作系统、数据库、中间件等软硬件产品，改善国内缺乏自主可控的国产化运维平台的情况。 

        ５)采用主流Java Spring Boot、Spring Cloud、HTML５、Restful、大数据、１００％Java多层分布式技术，提供电信级可靠性保障。支持容灾方案和双机热备，更大限度保障网络运维数据安全。 

        ６)企业级部署。支持大规模组网管理，可直接 穿透私网进行监控，支持分布式部署，平台易于升级和维护，能够满足未来业务的需求变化。 

        ７)支持私有设备。新的设备类型、未知设备种类，无需开发编程，通过系统提供的 GUI策略扩展界面，即可完成适配，解决网络中设备品牌、型号繁杂难题。 

        ８)从设备层面实现全网安全运维。基于Telnet、SSH、NetConf、SNMP、IPMI等设备管理协议及设备类型，进行统一安管、运维规范配置，实现多品牌设备集中管控、安全策略可见、配置准确性核查等功能。