1、概述

隨著我國互聯網業務模式進一步豐富，設備數量急劇增加，網絡規模成倍擴展，導致網元設備參數和策略配置更加復雜，容易出現誤配置或策略漏洞，造成設備帶病入網和運營，增大了非法入侵、信息泄露的安全威脅，提高了后續運維的安全防護成本，降低了網絡可靠性，除了影響人們的日常生活之外，還可能帶來嚴重的經濟損失，因此需要進一步提升配置合規性管理水平，但是由于設備類型版本多樣，參數和策略配置項眾多，傳統人工手動核查的方式耗時耗力、客觀性差，亟需一種平臺化、自動化的解決方案，推動安全配置基線核查工作的常態化和標準化。

2、安全基線定義

網絡設備安全基線是指對一個通信網元的最小安全保證，即網元需要滿足現網運維和業務運維安全需求的最基本的、最重要的軟硬件版本、參數設置，從而在不大規模增加網絡復雜性和維護投資的前提下，使通信網絡中所有系統、設備能夠得到統一的、最低要求的安全保障，減少一些初級的、可預知的安全隱患，便于維護與管理，提高全網安全防護水平。

配置基線要求涵蓋范圍包括通信網絡中的所有網絡設備、主機設備、安全設備以及運行在這些設備中的操作系統、應用程序、數據庫、中間件等軟硬件實體。

3、系統功能需求分析

該系統作為一款輔助運維工具，一方面要能夠實現采集、核查和圖表生成等操作的自動化、可視化，提高安全運維效率；另一方面則要能夠具備一定的分析評估能力，為安全管理提供輔助決策。因此，本系統主要功能設計如下。

3.1 數據采集功能

支持本地和遠程方式的配置參數提取功能，通過事先預置的口令和訪問模式連接核查目標，通過自動化腳本收集相關設備安全配置信息，并確保系統能夠在具有各種安全防護措施的實際場景下收集到完整的配置數據。在級聯模式下，系統還支持向上級平臺提交所采集的數據和分析的結果。

3.2 數據分析功能

自動化核查系統在采集到相關配置數據后，可以在本地進行分析也可以將配置參數上報上級分析平臺，由上級分析平臺進行分析，相關分析功能如下。

a） 能夠依據用戶指定相關合規指標，判斷目標主機上的檢查項目達標與否，并對不達標項進行告警顯示。

b） 支持對各種安全規范要求中的所有檢查項目進行等級區分，能夠進行權重調整，能夠依照百分制對目標主機的達標情況打分，每個檢查參數的分值可以預先設置。

c） 能夠進行歷史數據查詢、任務合并、匯總查看、對比分析、趨勢分析等，能夠進行多個檢查任務或多個IP風險對比。

d） 內置專家知識庫，具備輔助分析的功能，能夠對網絡安全合規性進行評估，給出完善建議。

3.3 任務管理功能

安全配置基線核查系統能夠對核查任務進行配置管理，支持任務命名與分組設置；支持任務定時、周期設置；支持核查模板的定制修改和導入導出；支持對核查參數的權重賦值；支持訪問口令和訪問模式的設置；支持核查掃描時間和周期的設置；支持核查結果上報方式設置等。

3.4 圖表輸出功能

為了配合操作人員進行輔助決策，要求系統具備圖表定制和輸出功能。

a） 支持核查結果圖表顯示條目的自定義，除了包括核查結果軟硬件版本信息、配置信息、漏洞信息等基本檢查項，還要能夠增加地理位置、機房信息、設備用途等標示信息。

b） 支持核查圖表導出，支持HTML、Excel、PDF、Word等主流格式，內容應包含整體概述、各設備的檢查列表等信息。

c） 支持圖表遠程上報。

3.5 系統管理功能

該系統應能夠提供用戶、角色和組織機構管理權限劃分功能；實現對系統配置檢查功能日志的記錄與查詢；提供分布式組件管理，實現對分布式離線采集器和單機代理的管理；提供對系統數據的維護配置管理，支持系統自動、手動更新。

4、系統架構設計

根據功能和工作模式需求，本系統按照軟件分層及模塊化的思想進行設計，不同功能模塊可以靈活地以服務的形式部署在不同主機上，便于合理分配資源和性能調優。

系統架構可分為表示層、業務邏輯層、數據訪問層和底層數據庫，具體設計如圖 1所示。

圖1 系統架構

a） 表示層：主要表現為UI界面的形式，負責系統的可視化呈現以及處理用戶與系統之間的交互，負責將用戶輸入的指令和數據交付給業務邏輯層進行邏輯處理，包括任務配置界面、任務報告界面、高級數據分析界面、用戶角色管理界面和日志記錄管理界面。

b） 業務邏輯層：接收表示層提交的用戶操作，調用不同的邏輯處理模塊。在處理過程中，根據業務需求向數據訪問層請求訪問相應數據。業務邏輯層是整個系統的核心部分，負責數據信息處理及核查任務執行等關鍵職能。它主要包括以下幾個子部分：

（a） 配置核查引擎。對用戶提交的核查任務進行分析、分解，獲取核查任務的相關信息，包括核查設備以及所采用的模板等，之后交付協議連接引擎進行遠程連接協商。

（b） 協議連接引擎。每臺被核查設備都事先規定了各自的遠程連接方式。協議連接引擎支持多種遠程連接協議，可根據設備要求選擇不同的連接模塊，與目標設備協商建立遠程連接，其中包括參數協商以及身份認證等。

（c） 數據采集引擎。遠程連接上目標設備后，通過連接執行模板中各個檢查項對應的腳本，將采集到的設備配置保存到結果文件中。

（d） 掃描信息處理模塊。對數據采集引擎返回的結果文件進行處理和判斷，交付到報表引擎等模塊進行數據分析。

（e） 報表引擎。報表展示的核心處理模塊，借助表格、圖像等UI控件將核查結果以可視化的形式展現給用戶。

（f） 數據分析引擎。根據用戶的需求，對特定核查任務數據進行高級數據分析，支持的分析方法有對比分析、趨勢分析等。

（g） 用戶信息管理。負責處理用戶個人信息的修改以及管理員增加或刪除用戶等操作。

（h） 權限驗證。提供系統授權使用的信息，包含登錄用戶權限、授權使用模塊、授權存取信息等。

（i） 日志記錄。提供系統日志，實時記錄用戶的敏感操作，并支持管理員用戶維護日志。

c） 數據訪問層：該層封裝了存取數據的接口，根據業務邏輯層的需要提供相應的數據服務。在本系統中，對于模板、腳本和設備數據，數據訪問層只需提供數據讀取接口，至于任務配置、核查結果、用戶和日志等數據，則要求數據訪問層支持讀取和寫入。

d） 數據庫：存儲設備安全基線配置核查分析系統所需的各種數據，至少應該包括以下7個方面：模板數據、腳本數據、設備數據、任務配置數據、核查結果數據、用戶數據和日志數據。

5、主要功能模塊實現

5.1 設備配置數據采集功能

設備配置數據采集模塊支持用戶通過在線的方式采集子網內目標設備的配置數據。用戶可以根據自身的需求，選用不同的采集模板收集多項設備配置數據。當確定模板之后，用戶還需要指定目標設備，啟動采集任務。

系統響應用戶發出的啟動命令，開始通過遠程連接協議嘗試連接目標設備。成功連接之后，系統向目標設備發送采集腳本命令。目標設備執行完腳本命令后，將執行結果（即相應的配置數據）返回給系統，交由系統保存。根據目標設備的類型需要采用不同的遠程連接協議。系統支持實現3種遠程連接協議：Telnet、SSH和WinRM。圖 2為設備配置數據采集模塊的結構示意圖。

圖2 設備配置數據采集模塊的結構示意圖

設備配置數據采集模塊的輸入有2項，分別是采集模板的ID和目標設備的IP，輸出則是以XML文件形式保存的設備配置數據。當操作人員輸入功能命令（即啟動任務）后，界面UI將操作人員輸入的采集模板ID與目標設備IP傳入設備配置數據采集模塊，模塊開始進行配置數據的采集工作。模塊首先根據目標設備的IP從數據庫的設備數據中讀取目標設備的其他信息，其中包括目標設備的遠程登錄方式、登錄用戶名及密碼等。之后根據預設的遠程登錄方式選擇調用不同的遠程連接子模塊，如Telnet、SSH和WinRM。在成功連接上目標設備之后，再根據模板ID從數據庫的模板數據中讀取相應的腳本命令，根據遠程連接協議采用不同的方式將腳本命令交由目標設備執行，并實時地將收集到的設備配置（即腳本命令的執行結果）保存至一個XML文件。等到所有設備都掃描完畢時，設備配置數據采集模塊的工作結束。

5.2 核查任務結果分析功能

核查任務結果分析模塊主要完成以下3個方面的功能。

5.2.1 結果判定

分析設備配置數據采集模塊生成的結果XML文件，根據通信網絡安全基線規范，判斷核查設備的檢查項目是否達標，并對不達標的項目進行高亮顯示。每個檢查項目的判定結果包含6個狀態：符合、不符合、待確認、不適用、采集失敗、未執行。

a） 符合：表示設備配置符合配置規范的要求。

b） 不符合：表示設備配置不符合配置規范的要求。

c） 待確認：表示設備配置的最終結果需要評估人根據現場情況確認。

d） 不適用：表示設備配置沒有正常獲取，例如訪問權限不足、相關配置文件不存在、設備版本不匹配等情況。

e） 采集失敗：表示設備配置訪問未能成功，例如連接失敗、賬號口令不正確等。

f） 未執行：表示設備配置評估沒有執行。

5.2.2 評分和生成報告

在對目標設備的各個檢查項的達標情況進行判定之后，依照百分制為目標主機打分，其中各個檢查項的權重在模塊設置中指定。在評分之后，進行其他數據的統計，最后生成一份評估報告來展示本次任務的核查結果。

5.2.3 高級數據分析

a） 歷史數據查詢：查詢歷史任務信息以及它們的評測結果。

b） 任務匯總：匯總多個任務的評測結果。

c） 對比分析：對比同一設備在不同任務的核查情況。

d） 趨勢分析：觀察設備安全狀態的時間趨勢。

圖3為核查任務結果分析模塊的整體結構。模塊總共完成3個方面的功能：結果分析、評分和生成報告以及高級數據分析。因此，也相應地將整個模塊劃分為3個子模塊分別實現。其中結果分析子模塊用于分析設備配置數據采集模塊的輸出結果XML文件，它主要是在后臺執行，從數據庫中的檢查項數據獲取各個檢查項的安全基線指標值，與實際采集的配置進行比對、分析，然后將核查結果存入數據庫。在結果分析完成之后，啟動評分和生成報告子模塊，根據任務中各個檢查項的核查結果以及在模板中對應的權重進行評分，同時統計其他數據，最后生成一份評估報告展現給用戶。而最后的高級數據分析子模塊是在前兩者分析的結果數據基礎上進行，根據操作人員的操作指令進行相應的分析，分析完成后通過界面UI展示。

圖3 核查任務結果分析模塊結構

5.3 系統安全管理功能

設備安全基線配置核查分析系統通過日志記錄模塊和權限角色管理模塊來保障系統的安全性和保密性。

5.3.1 日志記錄功能

本系統要求具有維護日志記錄的功能，當操作人員進行某項操作時，以數據庫的形式實時將其操作記錄下來，這有利于及早發現非法入侵和進行系統維護。

根據需求，日志記錄記錄的信息一共有六大類，分別是登錄信息、任務管理信息、設備管理信息、模板管理信息、檢查項管理信息和腳本管理信息。各類信息記錄的具體操作如下。

a） 登錄信息。登錄操作記錄。

b） 任務管理信息。啟動在線掃描任務、導入任務配置文件、導出任務配置文件、導出離線腳本、導入離線采集結果和刪除任務記錄。

c） 設備管理信息。添加設備信息、修改設備信息、刪除設備信息、導入設備信息和導出設備信息。

d） 模板管理信息。添加新模板、修改模板、刪除模板、導入模板和導出模板。

e） 檢查項管理信息。添加新檢查項、修改檢查項、刪除檢查項、導入檢查項和導出檢查項。

f） 腳本管理信息。添加新腳本、修改腳本、刪除腳本、導入腳本和導出腳本。

5.3.2 權限角色管理功能

為了保障系統數據的安全性，系統提供相應的用戶、角色管理和權限驗證功能。權限包括以下2個方面：功能資源的操作權限和數據資源的存取權限。其中功能資源權限指的是配置檢查工具的各個功能模塊的使用權限，而數據資源權限指的是對象資源（網絡設備）和基本配置檢查結果信息的查看權限。

根據要求，系統的任何一個合法用戶都必須從屬于某個角色，并擁有角色對應的權限。在用戶執行任何操作之前，都需要審核用戶的權限范圍。如果用戶權限不足，則禁止本次操作。

圖 4為權限角色管理模塊的結構，在操作人員登錄系統之后，權限角色管理模塊正式啟動，首先通過與數據庫中的用戶數據進行交互，獲取操作人員對應的角色，之后根據操作人員的角色管理權限。

圖4 權限角色管理模塊的結構示意圖

權限角色管理模塊可分為2個子模塊，分別為權限驗證子模塊和用戶管理子模塊。其中權限驗證子模塊主要用來判斷用戶的某項操作是否在其對應角色的權限范圍內，如果權限不足，則予以禁止。而用戶管理子模塊主要是負責用戶信息的管理，供用戶修改用戶名、密碼等個人信息。由于只有管理員用戶才可以執行這項操作。因此在調用其他用戶管理子模塊之前，需要由權限驗證子模塊判斷用戶的角色是否為管理員用戶。

6、安全基線合規管理優化建議

為了更好地提升安全基線合規管理能力，除了提高自動化運維水平之外，還要推動核查范圍由點到面的全覆蓋，建立總部平臺，實現大數據集中分析平臺，持續積累各種異常案例和配置知識庫，并對全網安全態勢進行綜合評估，挖掘提取容易配錯的設備類型和參數指標，在日常運維中做好預防工作。

此外，安全防護工作一定要做到技管并重，既要有自動化、智能化的運維工具，更要有制度化、體系化的管理機制，因此一方面要增強運維人員的安全合規意識，做好規范教育和技術培訓，防止出現各類低級錯誤，另一方面則要加強合規運維的考核力度，將合規操作、漏洞封堵納入各級單位考核范疇，定期組織自查和第三方抽檢，并對整改效果進行持續跟蹤和后評估，引起各個層面重視，保證考核工作的常態化。

7、結束語

綜上所述，安全基線是網絡和業務穩定運行的最根本基礎，如果設備帶病入網和運行，無論后續加載多少防護措施都成了無本之木、空中樓閣，不但會增加防護成本也會降低防護效果，整個服務運營的可靠性也就無從談起。

因此，必須要高度重視安全基線管理體系的建設，一方面要積極進行技術創新，引入相關安全工具提高基線核查工作的自動化和智能化，降低安全運維人工成本，另一方面還要不斷完善管理機制，加強職業素養培訓，優化獎懲制度，充分調用相關人員積極性，全面保障網絡合規穩定運行。

責任編輯：gt