網絡管理中網絡安全策略的概述
網絡管理與安全管理
一般意義上,網絡管理和網絡安全是分開的,但是在網絡管理軟件中不可避免的要出現某些關乎網絡安全的措施。不管是哪個廠家的產品,總會出現有關網絡安全的功能,盡管網絡管理初衷不是網絡安全,亦不是以網絡安全為最終目標,但卻在實現其他功能的同時間接地履行了網絡安全的“義務”。
作為從服務器、網絡設備到終端管理的網絡管理產品,SiteView ECC、SiteView NNM、SiteView DM、SiteView EIM 這一系列產品中都隱含了某些網絡安全的策略。所有產品的用戶登陸管理權限、安全日志掃描,SiteView DM的外設管理,SiteView EIM的屏蔽網站或者限制下載等,這些功能在被實現的同時也起到了安全管理的某些功能,譬如病毒的防御。
用戶管理和訪問控制
SiteView產品系列使用多用戶管理機制,實現分層次管理功能,能夠實現多級系統的協同工作,實現集中式管理和區域管理的有機結合。SiteView系列對安全進行仔細考慮,詳細設計,保證系統安全性,用戶管理和訪問控制體系架構包括以下幾個方面:
1、登陸系統的驗證
SiteView系統在用戶登錄的過程中,除了進行用戶名和密碼的驗證外,還可以通過配置,實現IP地址的驗證,這樣可以最大限度的防止掛接密碼詞典的密碼發生器破解用戶名和密碼。
2、配置本地信息的加密
SiteView系統對于用戶所作的任何配置信息全部采用統一標準的加密方法進行本地存儲,這樣即使SiteView系統所在的主機被突破,也無法獲得用戶的任何信息(如帳戶等)。
3、帳戶的安全
SiteView系統在運行某些監測時(如CPU,磁盤,內存等),將使用用戶提供的帳戶,這些帳戶可以由用戶設置權限(如只讀權限等),以保障被測設備的安全。
4、遠程登陸加密
SiteView系統在運行某些監測時(如CPU,磁盤,內存等),將使用用戶提供的帳戶進行遠程登錄,這種登錄過程可能被惡意截獲,形成潛在的威脅,因此SiteView系統采用加密的登錄過程,以保障遠程登錄的安全性。
5、用戶和訪問控制
用戶管理模塊可以增加、修改、刪除用戶,也可以給不同用戶賦予不同權限。SiteView系列最高級別的系統管理員可以為其它系統管理人員配置不同的用戶名、密碼和權限。權限設置覆蓋SiteView系列的所有功能,包括監測器,報警,報告和診斷工具等。不同的系統管理員用不同的用戶名和密碼登錄系統,看到的可能是完全不同的監測內容,可對系統進行的操作權限也大相徑庭,這樣系統管理職責不同的人擁有不同權限,權責更加分明,使系統管理規范化。
例如,可以為企業非信息管理部門領導專門開設一個用戶,只允許他查看有關應用監測的運行情況,而不能對SiteView網絡管理系統進行任何設置。
系統日志管理
SiteView系列通過輪詢的方式定期檢測系統的安全日志,及時發現非法入侵和病毒給系統造成的不良影響,確保系統安全。當網絡設備出生故障、遭到攻擊或被病毒感染時網絡設備會發出異常日志,及時接收、發現異常日志對及時處理網絡設備故障很有幫助。
1、網絡設備配置監測
SiteView網絡設備配置監測器通過定期檢測網絡設備配置文件是否發生變化,從而幫助系統管理人員及時發現網絡設備配置文件是否被人惡意修改,消除非法入侵可能給系統帶來的災難性損失。正常情況下,當網絡設備投入使用后網絡設備的配置是不會被改變的,除非有網絡改造。所以正常情況下的配置改變很可能是黑客攻擊造成的,及時發現對抵擋黑客進攻很有幫助。
2、安全日志掃描
通過輪詢的方式定期檢測系統的安全日志,及時發現非法入侵和病毒給系統造成的不良影響,確保系統安全。當網絡設備出生故障、遭到攻擊或被病毒感染時網絡設備會發出異常日志,及時接收、發現異常日志對及時處理網絡設備故障很有幫助。
系統日志管理記載本網絡管理系統的系統事件,主要是對用戶在網絡管理系統中的活動進行記錄,以方便以后的查詢。
(1) 系統日志查詢
查詢內容包括:
用戶名稱
用戶IP地址
用戶登錄時間
操作名稱
欲實施的訪問權限
操作成功或失敗
操作時間
SiteView網絡管理系統具備模糊查詢方式。
(2) 增添一條系統日志記錄,一般是在驗證某用戶對某資源是否有某種操作權限之后,記錄的信息包括:
用戶名稱
用戶IP地址
用戶登錄時間
操作名稱
欲實施的訪問權限
操作成功或失敗
操作時間
(3) 自定義系統日志記錄查詢過濾器
用戶可以自定義查詢過濾器,設置并保存個性化的查詢條件組合,以方便以后的查詢。其中可以設置查詢條目并可任意組合。
(4) 設置系統日志管理策略,如日志記錄的最少保存時間等。
采用加密的登錄過程,以保障遠程登錄的安全性。在用戶登錄的過程中,除了進行用戶名和密碼的驗證外,還可以通過配置,實現IP地址的驗證,最大限度的防止通過掛接密碼詞典的密碼發生器破解用戶名和密碼。
遠程登陸管理
為了保證企業或單位的告警信息能夠及時得到處理,則可以在網絡管理中心建立遠程接入管理,使得網絡管理操作人員能夠在本部以外的地方通過遠程接入鏈接到建行局域網中,操作網絡管理軟件,處理網絡故障。
從目前各網絡監測的產品來看,網絡監測和網絡安全彼此分開卻又不能完全斷開聯系。要想完全將網絡監測和網絡安全完全隔離,恐怕不是一種可行的方法,網絡監測和網絡安全一起構成網絡管理這一領域,網絡監控軟件中實現一些網絡安全的策略也無可厚非。網絡大系統的維護還要靠網絡監控和網絡安全策略共同協作。
網絡管理中網絡安全策略的概述就敘述完了,您對于以上這兩個概念應該有了一個更深刻地了解了,在選擇網絡設備時,本文可以為大家做一個參考,幫助您解決網絡的相關。
【編輯推薦】
