网管系统与被管理设备的安全通信
来源:用户上传
作者:
摘要 本文介绍了网管系统通信中受到的常见安全威胁,并在此基础上对系统的安全通信设计思路进行阐述,从能力方案、控制方案两个方面进行网管系统安全通信设计,并通过Java实现了网管系统的安全管理,提高通信可靠性。
【关键词】网管系统 用户设备 安全通信
网络管理主要针对配置、性能、告警、故障与安全进行管理,其中安全管理是网管系统中一项重要功能,没有安全管理会使整个系统运行失去保障,进而影响整个系统性能,对被管理设备进行安全管理与通信,有利于充分发挥各项网络数据与资源的重要性,以此来提高传输网络的经济效益。
1 网管系统安全通信受到的威胁
对网管系统通信产生的安全威胁分为两种,一种为主动威胁,即对网管系统状态进行故意的非授权改变,如篡改信息、插入虚假信息等;另一种为被动威胁,即对网管信息非授权泄露而并未改变系统状态,如窃听等,目前对网管系统安全通信产生威胁的主要因素有以下几种。
1.1 非授权访问
主要是指在未获取访问权限的基础上对网络资源进行访问和使用,表现形式为非法用户的违法操作、合法用户的越权操作,采用的手段为口令猜测,即通过穷举方式对口令进行逐一测试,非法进入到网管系统之中,导致系统信息丢失、泄漏、敏感信息被盗取、删除等。
1.2 监听
在网管系统与被管理系统信息传递的过程中,对所传递的信息进行截取、窃听,或对网管信息流向、通信频率、长度、流量等参数进行分析后,为其他形式的网络攻击打下基础。
1.3 篡改网络信息
攻击者对网络设备进行伪装,使其成为被管理设备,接收网管设备传递来的信息,并将信息进行重组、恶意改造后发送给原接收方,使其收到错误信息,却难以察觉信息内容已被篡改,从而对网管系统与被管理设备的传输造成干扰,扰乱网管系统的正常工作,破坏网管信息的真实性、完整性。
1.4 病毒侵袭
网管系统属于计算机系统,在运行中容易受到网络病毒的攻击与侵袭,感染网络病毒的系统可能对文件信息进行修改、删除,致使程序运行混乱,甚至导致硬件受损,带来十分严重的后果。与此同时,网络病毒的数量与类型在不断的增加,甚至以几何级数增长,并在网络中迅速传播,可见网络病毒始终是计算机发展道路上的一只强大的“拦路虎”,更是网管系统的公害。
2 网管系统与被管理设备安全通信设计思路
由于受到威胁因素影响,在网管系统与被管理设备通信过程中应做好充足的安全保护,提高通信机密性、可查性、完整性,使通信文件受攻击和威胁的概率降到最低,设计出以下通信思路。
2.1 总体思路
从两方面着手对网管系统与被管设备的通信安全进行保护,一是对接入用户的身份进行核实,对系统访问用户进行鉴权,只有用户名、密码均正确的用户才有权进入到系统之中,否则禁止登录;二是特定用户只具备部分访问权限,可在授权范围实施相关操作。网管系统用户授权可采用能力与控制两种方案,对用户操作进行限定,避免有病毒或者非法侵入者混入其中,影响通信安全性。
2.2 设计思路
2.2.1 能力方案
从网管用户角度来看,对用户操作进行限定,在综合网管系统中,主界面菜单中包含各项子功能。网管系统用户在操作功能上有所差别,这也是确保系统通信安全的重要手段之一;在权限方面,系统根据用户的不同需求为其开通相关权限,如DWDM设备配置中网元基本信息查询与管理、告警故障管理中的信息统计等,均属于系统操作权限,可根据用户不同级别为其分配相关权限,例如,级别较高的用户可分配一些管理性的操作权限,如修改、新建、删除等,级别较低的用户可分配一些查询性操作权限。总体来看,可将某个子单元设置为无效,以此来屏蔽该功能。
2.2.2 控制方案
从资源配置方面来看,用户可对部分被管资源进行访问,并非任意用户都需要执行全部子网内的被管资源。例如,运营商地级市的网管系统,只能在本地区范围内进行相关操作,具有告警显示与分析的权力。在整个系统中,可以根据需求将用户划分为多个小组,每组包含数名用户,在新建用户组时,根据该用户组中的实际情况赋予一定的对象与操作权限;当然,并非任意用户组中的全部用户的权限均相同,那样过于僵化,不够灵活变通,因此在新建用户时,不但可以为用户提供一些默认权限之外的权限,还可将默认权限中的部分权限去除。根据实际需求,用户可以利用系统新建、删除、查询、更改等操作,没有此项权限的用户只可以修改自己的密码与基本信息,通过对被管理设备的权限设置,提高网管系统与其通信的安全性。
2.3 实施方案
网管系统应对接入设备进行严格鉴权,对用户名、密码、IP地址等进行查验,用户只有在授权范围内才可具备相应权限,完成对应操作;网管系统应具备访问日志、操作日志的记录功能;对于Wed模式下的用户访问,系统可利用防火墙对用户的身份、连接方式、数据包等进行核实与控制,避免对其网管系统非法访问,在通信过程中对系统进行攻击和破坏;网管系统应具备病毒检测与清除功能,提高通信的安全性与可靠性。
2.4 Java的实现
本文对第一个安全因素,即网管系统应对接入設备进行严格鉴权,对用户名、密码、IP地址等进行查验,用户只有在授权范围内才可具备相应权限,完成对应操作进行设计与Java实现。通过建立权限树对各个用户操作权限进行表示,对于用户所拥有的操作权限上方画“√”,在赋予用户该权限时也只需在该权限节点处画“√”即可。本文通过Java体现权限树的结构,主要采用JTree组件与Java swing tree包。在Java中,默认树为未设置节点的Jcheck Box树,不具备编辑功能,因此要利用绘制器、编辑器等对树模式进行构造,确保树节点的可选择属性,并自定义继承Default Mutable Tree Node类的节点类。为了促进数据库与前台界面的互动性,应充分考虑用户操作权限后选择相应的节点,并用Hash table对二者间的关系进行存储。与操作权限相比,对象权限的层次性较为简单,采用Jlist组件即可实现。
3 结论
综上所述,网管系统管理的重要内容之一便是安全管理,这也是网管系统与被管理设备通信可靠性的必要保障,在安全威胁因素的控制下,对用户的访问权限进行设置,能够有效提高系统的安全性与可靠性。
参考文献
[1]辛福贵.综合网管系统在维护通信互联网安全中的应用[J].黑龙江科技信息,2018(27):40-40.
[2]高伟光.移动通信网网管系统网络入侵告警的设计与实现[D].吉林大学,2014.
转载注明来源:https://www.xzbu.com/1/view-14841898.htm