智和網管平臺SugarNMS助力網絡安全運維等保2.0建設

智和信通智和網管平臺SugarNMS結合《信息安全技術 網絡安全等級保護基本要求》（GB/T 22239-2019）等國家標準文件以及用戶提出的網絡安全管理需求進行產品設計，推出「監控+展現+安管+開發」創新四合一模式的，實現本地及異地數據中心的網絡設備、服務器、虛擬機、中間件、數據庫、軟件和應用服務等狀態的AI智能化管控。該平臺充分發揮網絡基礎設施安全保護能力，助力用戶等保2.0安全區域邊界、安全計算環境、安管管理中心及管理部分要求建設。

 

網絡安全等級保護工做中的對象主要包括基礎信息網絡、雲計算平臺/系統、大數據應用/平臺/資源、物聯網(IoT)、工業控制系統和採用移動互聯技術的系統等。等級保護範圍內重要信息系列所涵蓋的行業涉及能源、金融、交通、水利、醫療衛生、環境保護、工業製造、市政、電信與互聯網、廣播電視及政府部門。等保2.0提出五個等級安全要求，經過級別差別性加強關鍵設施的網絡安全防禦水平。此處編者按等保2.0安全通用要求爲例，介紹智和網管平臺SugarNMS支撐分類及控制點的內容：

1、安全區域邊界

1、邊界防禦要求

a）應保證跨越邊界的訪問和數據流經過邊界設備提供的受控接口進行通訊；

b）應可以對非受權設備私自聯到內部網絡的行爲進行檢查或限制；

c）應可以對內部用戶非受權聯到外部網絡的行爲進行檢查或限制；

d）應限制無線網絡的使用，保證無線網絡經過受控的邊界設備接入內部網絡等。

智和網管平臺SugarNMS支撐策略：終端接入控制+MAC-IP管理、黑白名單

平臺經過端口綁定MAC和IP，控制端口准入的終端設備，經過控制開啓和關閉Dot1X認證功能，實現終端接入的認證管理，經過控制網絡設備的端口打開、關閉和VLan控制，實現對終端接入設備的通斷控制。定時獲取全網的MAC-IP信息，並自動保存。支持根據MAC或IP對在線設備進行查詢。經過黑白名單功能從而檢測用戶所關心的設備（經過IP或MAC來識別）是否在網絡中出現及出現時間，提醒用戶是否進行下一步操做。

 

2、訪問控制要求

a) 應在網絡邊界根據訪問控制策略設置訪問控制規則，默認狀況下除容許通訊外受控接口拒絕全部通訊；

b) 應刪除多餘或無效的訪問控制規則，優化訪問控制列表，並保證訪問控制規則數量最小化；

c) 應對源地址、目的地址、源端口、目的端口和協議等進行檢查，以容許／拒絕數據包進出；

D)應能根據會話狀態信息爲進出數據流提供明確的容許/拒絕訪問的能力。

智和網管平臺SugarNMS支撐策略：萬能命令模板+ACL訪問控制+QOS策略配置

萬能命令模板經過圖形化的界面，爲設備配置各類控制命令，用戶能夠經過下發配置命令的形式，實現關機、資源獲取、連通性檢測等控制。平臺支持ACL策略、源和目的IP、協議、端口、訪問動做等細粒度的控制，用戶可自定義ACL模板，方便統一策略實施。平臺支持端口級QOS策略，支持QOS、流行爲、包過濾、類、流量監管優先級等流量策略，用戶能夠對QOS策略對比、覈查。

 

2、安全計算環境

一、訪問控制要求

a) 應對登陸的用戶分配帳戶和權限；

b) 修改默認帳戶的默認口令；

c) 應及時刪除或停用多餘的、過時的帳戶，避免共享帳戶的存在；

e) 應由受權主體配置訪問控制策略，訪問控制策略規定主體對客體的訪問規則。

智和網管平臺SugarNMS支撐策略：三員認證體系+設備用戶管理+SNMP管理

平臺符合三員認證體系，具有系統管理員、安全保密管理員和安全設計員三員管理，可賦予用戶對網絡管理或只讀的權限，不一樣管理員對不一樣網絡進行管理使網絡更加安全。經過對網絡設備發送添加本地用戶命令，爲設備添加本地用戶，設置包括用戶名密碼、服務類型（鏈接協議telnet,SSH,terminal）、權限級別等內容，支持批量設備操做。提供SNMP用戶管理頁面，可在設備上添加SNMP用戶，對SNMP協議版本、用戶名、用戶口令、權限級別進行設置。

 

二、入侵防範要求

a)應經過設定終端接入方式或網絡地址範圍對經過網絡進行管理的管理終端進行限制。

智和網管平臺SugarNMS支撐策略：終端接入控制

平臺經過端口綁定MAC和IP，控制端口准入的終端設備，經過控制開啓和關閉Dot1X認證功能，實現終端接入的認證管理，經過控制網絡設備的端口打開、關閉和VLan控制，實現對終端接入設備的通斷控制。

 

3、安全管理中心

一、系統管理要求

a）應對系統管理員只容許其經過特定的命令或操做界面進行系統管理操做，並對這些操做進行審計；

b）應經過系統管理員對系統的資源和運行進行配置、控制和管理，包括用戶的身份、系統資源配置、系統加載和啓動、系統運行的異常處理、數據和設備的異常備份與恢復等。

二、審計管理要求

a）應對審計管理員只容許其經過特定的命令或操做界面進行安全審計操做，並對這些操做進行審計；

b）應審計管理員對審計記錄進行分析，並根據分析結果進行處理，包括根據安全審計策略對審計記錄進行存儲、管理和查詢等。

三、安全管理要求

a）應經過安全管理員對系統中的安全策略進行配置，包括安全參數的設置，主體、客體進行統一安全標記，對主體進行受權，配置可信驗證策略等。

上述三個控制點智和網管平臺SugarNMS支撐策略：三員認證體系+日誌管理+設備用戶管理

平臺符合三員認證體系，具有系統管理員、安全保密管理員、安全審計員三員管理。系統提供設備日誌和用戶日誌，經過日誌管理，讓設備信息和用戶操做記錄有處可尋，責任到人。經過對網絡設備發送添加本地用戶命令，爲設備添加本地用戶，設置包括用戶名密碼、服務類型（鏈接協議telnet、SSH、terminal）、權限級別等內容，支持批量設備操做。

 

四、集中管控控制點要求

a）應劃分出特定的管理區域，對分佈在網路中的安全設備或安全組件進行管控；

b）應對網絡的鏈路、安全設備、網絡設備和服務器等的運行情況進行集中監測；

c）應對分散在各個設備上的審計數據進行收集彙總和集中分析，並保證審計記錄的留存時間符合法律法規要求；

d）應能對網路中發生的各種安全事件進行識別、報警和分析；

e)應保證系統範圍內的時間由惟一肯定的時鐘產生，保證各項數據的管理和分析在時間上的一致性。

智和網管平臺SugarNMS支撐策略：智能發現+智能識別+智能監控+智能管理+NTP時鐘管理

平臺可自動發現設備、資源、鏈路等，並智能識別類型，進行自動化性能採集，策略化故障監控，學習式事件管理；經過所見即所得的拓撲圖及大數據分析，多維度洞察網絡情況，並自動觸發預防性警示、自動故障報警。經過NTP時鐘管理，保證系統範圍內的時間由惟一肯定的時鐘產生，保證各項數據的管理和分析在時間上的一致性，向IT運維部門提供科學合理的決策依據。