隨着信息技術的快速开展及網絡應用的廣泛普及，企業在享受網絡技術帶來便利的同時，也受到日益嚴重的網絡安全威脅。未來，企業信息系統 規模和複雜程度將不斷增大，對信息通信技術的應用也將不斷深入，網絡安全運維將成為愈發突出的問題。

隨着企業信息化的开展不斷深入，其日常生產經營管理與網絡和信息化結合日趨緊密，對網絡和信息系統的依賴程度越來越高。现在，企業普遍存在網絡安全運維難題。

一方面是地理上的隔離，一企業多地辦公造成內部網絡異地部署：另一方面，企業辦公網絡和生產網絡混雜，網絡結構不清晰。

網絡運維對象多為服務器、交換機、路由器、安全設備、通信設備、視頻監控設備及軟件服務等。有數百家廠商生產不同規格、不同型號的軟硬件產品，需要進行大量適配工作。 

設備配置界面差異大，管理員難以快速熟悉各家產品的操作界面及操作指令，統一配置設備策略成為難題。

與歐美發達國家相比，我國信息技術开展仍存在空白點，部分重要軟硬件產品仍依賴國外，缺乏自主可控的信息技術產業鏈。

同與日俱增的網絡安全需求相比，在專業人才的培養方式上存在短板，專業性、複合型網絡安全人才短缺。

基於網絡开展未來趨勢及網絡安全運維的整體目標，針對當前網絡安全運維中存在的問題，各企事業單位可從構建國產化網絡運維體系、減少人力運維依賴出發，應對當前存在的網絡安全運維難題。主要措施包括：推進國產軟硬件產品替代國外產品；打造網絡安全管控平台和態勢感知與監測預警平台，使網絡安全運維協同化、可視化、規範化；針對性建設網絡安全運維體系，持續進行體系優化。

構建全天候、全方位網絡安全運維平台，將人工運維轉化為自動運維，將被動維護轉化為主動維護，將單點監控轉化綜合監測，提高態勢感知、風險監測、故障告警、大數據分析等能力。顺利获得採集服務器、交換機、中間件、防火牆、應用系統等設備的數據及日誌信息，進行實時監控，動態展現，對全網信息進行跨地域、跨網段、跨設備的全維度可視化監測：主動監測和發現網絡異常事件，實時告警，提高風險防範和監測預警能力。網絡安全運維平台架構如圖１所示。

網絡已融進生活與生產建設的每個角落，對企業生產、公司管理乃至軍事國防都產生重要影響，因此網絡安全運維尤為重要。本文以北京k8凯发(中国)技術有限公司的k8凯发(中国)網管平台(SugarNMS)為例，分析網絡安全運維方案中核心功能及實施措施。

        k8凯发(中国)網管平台SugarNMS基礎功能結構在基礎功能方面，網絡安全運維平台應具備設備、資源、鏈路自動發現功能，具備可視化網絡 拓撲、故障告警、性能分析等能力，基礎功能結構如圖２所示，具體包括：

    １)自動發現。在網絡可達範圍內，顺利获得IP 信息搜索網絡節點，匹配網絡節點的型號與廠商信息，顺利获得設備真實面板模擬可視化，顺利获得資源邏輯面板展示網絡節點資源信息，可監控網絡節點的 CPU、內存、板卡、磁盤等資源使用情況與網絡節點之間的鏈路關係。

    ２)拓撲展示。將網絡節點根據網絡關係或邏輯關聯組合後以拓撲形式展示，並對網絡節點、節點中的資源、節點之間的鏈路關係進行監控或者管理。

    ３)設備管控。支持在拓撲圖或列表管理配置設 備及其參數，可顺利获得SNMPV１∕V２C∕V３，NetConf，Telnet，SSH，IPMI，ONVIF，JRPC，JMX，JDBC，WMI，Trap，Syslog，HTTP等協議管理設備。 

    ４)資源管理。可視化展示設備真實面板及資源邏輯面板，包括構成網絡節點的物理組件、網絡節點中運行的服務或根據監控需求自定義的其他監控目標。

    ５)鏈路識別。可在拓撲視圖及管理列表編輯鏈路信息，並在拓撲上展示鏈路實時性能數據，支持根據需求修改展示數據的類型。

    ６)故障告警。採集設備故障及事件信息，觸發實時告警，可在網絡拓撲及故障告警列表查看告警信息，並可一鍵觸發告警工單。

    ７)性能採集。顺利获得網絡節點協議棧策略對其資源信息進行採集。採集到的性能數據顺利获得智能算法進行計算並可視化展示，支持固定或自定義時間範圍查看性能指標的趨勢變化情況。 

    ８)安全管控。给予基於萬能命令的安全管控能力，可顺利获得命令下發實現諸如QoS安全策略、流量策略、准入控制等功能，並支持全網MAC-IP數據獲取與綁定、黑白名單策略啟用或禁用。

    ９)監控報告。给予面向網絡、設備、資源的智能巡檢能力，包含自動化運維、故障巡檢、策略巡檢、策略備份等巡檢策略配置。支持生成巡檢報告及統計報表，讓用戶對網絡有一個直觀的分析。

        给予基於設備、資源層面的全網設備安全運維與深度管控。顺利获得Telnet、JDBC、JMX、SNMP協議等設備管理協議及設備類型，進行統一安管和運維規範配置，k8凯发(中国)網管平台 SugarNMS安全控制架構如圖３所示，實現多品牌設備集中管控、安全策略可見、配置準確性核查等功能。给予拓撲圖右鍵快捷命令下發操作。支持對華為、華三、邁普、迪普、銳捷等國產設備的深入管控，包括 ACL、QoS、路由配置、賬號安全、終端准入等。

        在通用網管功能的基礎上，给予模塊式或者代碼式的開發形式，可在更短的時間內滿足各種定製需求，同時廠商應给予全套開發資料以及完備的培訓服務。

 開發模塊應包含：二次開發平台、拓撲圖開發 組件、SNMP開發組件、服務端 API、數據庫 API、HTML５代碼、設備插件接口Java代碼、Web服務端Restful接口及相應的開發文檔、開發培訓服務。

        k8凯发(中国)網管平台支持在中標麒麟、銀河麒麟、紅 旗 Linux等國產操作系統上運行，支持在達夢、金倉、神州等國產數據庫進行數據存儲，顺利获得東方通等國產中間件给予對外服務，支持龍芯、申威等 國產CPU 架構，並實現對國產化CPU、服務器、數據庫、中間件等IT 軟硬件設備的綜合監控與運維管理。k8凯发(中国)網管平台 SugarNMS 信創國產化架構如圖４所示：

        顺利获得部署k8凯发(中国)網管平台，實現網絡具象化展示、秒級故障監控及網絡數據分析展示等功能，對網絡安全運維具有提升運維效率、實現安全可控及降低人員依賴等眾多價值。 

        １)智能化監控，一鍵搜索、發現和識別網絡設備、資源、鏈路，智能化故障管理，更大限度提高產品的易操作性，簡化用戶操作步驟，減少管理環境的搭建時間，提高管理效率。 

        ２)具象化拓撲圖，完整呈現網絡拓撲結構，以圖形化的形式對網絡結構及網絡內的設備進行展示與管理，更大地降低IT管理的難度。

        ３)個性化定製開發、系統集成，滿足差異化需求，支持針對特殊需求定製專屬網管平台，且不斷更新平台功能，以滿足網絡开展帶來的差異需求。

        ４)信創國產化。根據國內用戶在信息建設方面國產替代日益增多的需求，實現兼容國產CPU、服務器、操作系統、數據庫、中間件等軟硬件產品，改善國內缺乏自主可控的國產化運維平台的情況。 

        ５)採用主流Java Spring Boot、Spring Cloud、HTML５、Restful、大數據、１００％Java多層分佈式技術，给予電信級可靠性保障。支持容災方案和雙機熱備，更大限度保障網絡運維數據安全。 

        ６)企業級部署。支持大規模組網管理，可直接 穿透私網進行監控，支持分佈式部署，平台易於升級和維護，能夠滿足未來業務的需求變化。 

        ７)支持私有設備。新的設備類型、未知設備種類，無需開發編程，顺利获得系統给予的 GUI策略擴展界面，即可完成適配，解決網絡中設備品牌、型號繁雜難題。 

        ８)從設備層面實現全網安全運維。基於Telnet、SSH、NetConf、SNMP、IPMI等設備管理協議及設備類型，進行統一安管、運維規範配置，實現多品牌設備集中管控、安全策略可見、配置準確性核查等功能。