电信集团网络运维管理信息系统的设计与实现 下载本文

龙源期刊网 http://www.qikan.com.cn

电信集团网络运维管理信息系统的设计与实现

作者:殷学强

来源:《中国高新技术企业》2013年第14期

摘要:随着社会信息化改革发展的不断进步,对于电信运营商的网络内部控制要求逐渐提高。电信运营商的网络运维管理系统的控制关键点包括对网络设备、主机终端和数据库系统的执行操作进行严格审计。文章在分析了目前电信集团运维管理信息系统存在问题的基础之上,提出了一套完善的运维管理信息系统设计方案,具有较强的实际应用意义。 关键词:电信集团;运维管理信息系统;设计实现

中图分类号:TP311 文献标识码:A 文章编号:1009-2374(2013)21-0048-03 1 网络运维管理信息系统的发展现状

随着互联网技术的不断进步,网络建设的规模日益扩大,电信集团对于网络运维的需求也逐渐增多,不止局限于网络运行的正常稳定,还需要增强网络运行的安全性和可靠性。据相关调查研究表明,在企业网络安全事故中,75%都是由于企业内部人员对网络进行了不当操作造成的,包括企业内部人员对网络的错误操作、越权访问、恶意破坏等等。电信集团作为网络运营商,需要保证IP承载网运行的安全稳定,防止企业内部人员由于错误操作给企业带来巨大的经济损失,因此,电信集团需要建立起完善的网络安全审计体系,当企业内部人员对网络发起访问时能够执行严格的审计命令。

各大通信集团企业的网络运维管理方式主要采用的是SSH管理方式、VNC管理方式和RDP管理方式等等,对网络核心设备进行相关维护。目前,如何能够将系统管理员在维护网络过程中将操作进行记录,为审计提供明确的依据,真正提高企业网络运维管理的安全性和可靠性,是目前网络内部控制体系建设的重点工作。

无论是电信集团企业内部网络运维管理人员,还是与第三方合作的网络运维代管人员,对于网络的维护大多数采取的是通过个人账号登录到系统内部,通过认证之后对网络进行维护操作。经常一个系统账号由多个网络运维管理人员共同使用,系统账号和密码也不再具有唯一性,制定的账号密码策略也很难得到有效执行。如果需要对密码进行修改,必须通知到每个使用该账号密码的工作人员,当某个网络运维管理人员辞职或者调离部门,系统账号和密码就非常容易遭到泄露,增加了企业内部人员的错误操作和恶意破坏的可能性,同时也很难追查到责任人。

2 电信集团网络运维管理信息系统存在的问题

龙源期刊网 http://www.qikan.com.cn

2.1 系统运维管理人员维护困难

由于电信集团网络系统中包含了大量的网络设备、主机终端和应用程序等等,分别支持着电信集团的不同业务,由企业不同部门人员使用。 2.2 账号共享存在安全问题

网络系统中的不同应用程序都有其独立唯一的账号密码体系,但是,企业为了方便对系统的操作使用,经常是由多名员工共同使用一套账号密码。 2.3 密码策略得不到有效执行

当企业员工分配了系统账号和密码之后,大多数员工为了方便使用都将账号密码设置成为安全级数较低的简单密码,甚至不对密码进行任何修改直接使用初始密码。同时,企业也没有采取有效地技术手段来支持密码策略的执行,密码策略的应用只是一种形式而已。 2.4 系统账号流程管理薄弱

电信集团的业务系统非常庞大,用户的身份与企业业务系统的账号是相互交叉的,用户与业务系统之间属于短连接的方式,经常以用户的姓名作为登陆系统的账号,这种流程管理使得用户身份非常混乱,这种多重交叉、错综复杂的关系对业务系统的正常运行带来了极大影响。 2.5 访问控制策略过于简单

电信集团在日常运维管理过程中,没有设置一个明确的用户访问控制策略,当用户对网络系统中的某个设备发起访问时,运维管理系统不能立刻对其进行鉴别,也没有完善的技术手段来支持用户访问控制策略的有效实施。 2.6 用户操作缺乏有效审计

如果要保证电信集团各个业务系统的独立运行和维护管理,对于每个业务系统的审计也要使其相互独立。要保证网络系统中的网络设备单独审计、主机终端单独审计。当网络系统发生安全事故之后,要认真审计每个系统的日志记录,但是,大多数情况下虽然能够定位到具体事故发生日期,也很难找到具体是哪个账号实施的破坏行为。而且,由于不同操作系统的日志记录内容和详细程度并不相同,因此仍然存在较多的漏洞和问题。 3 电信集团网络运维管理信息系统功能需求分析

电信集团网络运维管理信息系统集中管理示意图如图1所示: 3.1 统一管理和维护系统用户账号

龙源期刊网 http://www.qikan.com.cn

在对电信集团实施用户账号统一管理之前,对于每个新建立的信息系统都要为其配置一套用户账号管理系统,分别由专门的系统管理人员对其进行管理维护。但是,用户账号管理系统的建设成本较高,后期维护成本开销也相对较大,如果能够建立一套统一的系统账号管理系统,实现对整个网络系统中的各种业务系统账号进行有效管理,包括对用户身份的管理、部门信息的管理、合作单位的管理等等,同时为网络系统中的各种业务应用系统提供最为基础的用户信息。对用户的维护和管理由专门的入口进行操作,才能真正保证用户账户信息的更新同步和信息可靠。

3.2 对用户账号进行定期审查

网络系统超级管理人员的账号具有级别较高的权限,因此,需要对超级管理人员的系统账号进行定期审查,对于不再使用的账号立刻进行清理。由于网络系统中的主机终端、数据库服务器、应用程序的账号是由专门管理人员分散管理的,难以对其进行全面的审查和清理。运维管理信息系统中的审计系统能够实现用户账号的统一注册、定期管理。 3.3 用户账号共享使用问题

目前,电信集团网络系统中的数据库服务器、主机设备和各种应用系统都存在用户账号共享使用的问题,一旦发生网络安全事故,很难定位到账号的使用人员。运维管理信息系统的审计系统能够为每个用户建立唯一的账号,不再受制于账号共享的弊端。 4 电信集团网络运维管理信息系统的设计与实现 4.1 电信集团网络运维管理信息系统结构设计

根据电信集团网络系统运维安全的需求,本文设计了网络运维管理信息系统的结构框架,系统设计原则要满足操作灵活、使用简单、认证可靠、审计严格的特点,同时建立一套统一的审计机制,使用户对网络系统中的相关设备的操作和控制能够更加规范,控制网络内部的风险以及与其他单位合作开发应用的风险发生,对任何用户进行的操作行为进行完全真实的记录。 电信集团网络运维管理信息系统采用的是B/S架构模式,由数据层、管理层和外部接口层三个部分共同组成。电信集团网络运维管理信息系统的总体架构如图2所示:

数据呈现层:为电信集团网络系统提供统一简介、操作方便的Web界面,运维管理人员只需要通过Web页面登陆到系统中,就能够实现对目标设备的管理维护以及审计用户行为操作等。

数据管理层:数据管理层是将操作审计作为核心,实现用户账户管理、相关数据报表统计以及资产清查管理等功能,操作审计包括图形图片审计、字符信息审计和数据信息传输审计。