交换机端口安全接入检测系统设计与应用

2020-09-29俞骏豪盛剑桥

科学技术创新 2020年29期

方圆张亮俞骏豪盛剑桥

（国网安徽省电力有限公司信息通信分公司，安徽合肥230000）

1 概述

现阶段，网络规模不断扩大、复杂性不断增加、网络的异构型越来越高是计算机网络的主要特点。目前，交换机已广泛应用于网络建设领域，并已成为网络建设必不可少的一部分，但随着公司业务的拓展，交换机种类与数据不断增加，交换机在端口安全接入方面存在端口未使用且未关闭、长时间未开启或未关闭、HUB 端口等情况，采用人工排查的方式既浪费时间，又无法准确排查出问题，给网络的安全稳定运行带来了一定安全隐患，因此，如何快速排查交换机端口安全使用情况是保障网络安全运行的重要方面之一。

通过开展交换机端口安全接入检测系统的设计与应用，利用SNMP、SSH 技术实现对交换机端口情况进行快速探测与分析，准确、全面实现交换机端口的安全检测，提升交换机的安全性，加强对交换机端口的监测和管控。

图1

2 系统设计与原理

2.1 系统设计

2.1.1 系统设计原则要求

为保证系统的建设、实施工作严格落实公司相关标准、规范，同时提高系统建设过程中标准化水平，确保系统的规范、安全、可靠、稳定、易用，特制定以下总体设计原则如下：

遵循统一性、标准性原则：遵循《公司软硬件目标架构设计规范》、《公司应用安全设计规范》以及其他架构设计和技术规范要求，坚持统一规划，统一标准，统一建设，统一部署，统一实施的工作要求，实现安全管理的规范化、标准化。

遵循扩展性原则：遵循采用柔性设计，充分考虑各层面的可扩展性，包括系统硬件架构，软件架构，系统接口和数据架构等，支持与其它系统的数据交换和共享，便于维护、扩展和互联。

遵循安全、可靠性原则：遵循《公司应用软件通用安全要求》中规定的各项安全策略，满足公司对网络和信息系统安全运行的要求，全方位保障信息安全、数据安全。

遵循易用性原则：遵循系统在终端设备中操作简易化、便捷化。

2.1.2 架构设计

系统采用B/S 的模式，主要由服务端、分析服务两部分组成，管理端采用WEB 架构，部署在应用服务器中，用于实现网络设备管理、端口安全检测、端口接入总览等功能的展示与基本操作；分析服务是由探测服务和分析服务组成，主要实现对交换机端口接入情况进行探测，并根据检测策略进行端口接入分析；利用SSH 和SNMP 实现对交换机端口数据采集。

其系统总体架构设计图如图1。

2.2 系统原理

系统采用微服务架构，将系统中网络设备管理、端口接入检测等以独立服务程序的形式进行开发部署，根据不同功能模块的复杂度、数据量、访问压力等因素，进行组件搭配和弹性扩容。系统逻辑划分为三大微服务架构（业务服务、基础服务、接口交互服务）和一大应用（WEB 端应用）。核心业务服务分为2 个微服务模块（WEB 端消费服务、业务处理服务），其中业务处理服务是业务服务的核心，统一处理所有业务逻辑，对外分别以WEB 端消费服务提供给应用端调用。基础服务分为用户服务、账号角色与权限服务、登录日志服务，其中业务处理服务是指探测服务和分析服务，探测主要实现采集交换机端口数据信息，采集方式包括：SNMP（简单网络管理协议，是一个标准的用于管理基于IP 网络上设备的协议）和SSH（SSH 协议是基于应用层的协议，为远程登录会话和其他网络服务提供安全性的协议）；分析服务主要采用多线程、队列等技术实现快速分析。