網絡安全自動化巡檢及其在網絡安全領域中的應用

原毅 顏峰 倪金輝

摘要：網絡安全自動化巡檢在網絡安全領域中扮演著重要的角色。本文以煙臺市中心血站為例，探討了網絡安全自動化巡檢系統功能設計開發的具體步驟，并研究了網絡安全自動化巡檢在網絡安全領域中的應用，提出了通過開展自動化漏洞掃描、進行自動化網絡流量監控、實施自動化日志審計和分析、進行自動化安全漏洞修復等路徑，來構筑實踐化的網絡安全自動化巡檢系統，以促進網絡安全自動化巡檢在安全領域的高效利用。

關鍵詞：網絡安全；自動化巡檢；應用

引言

網絡安全自動化巡檢在網絡安全領域中起著重要的作用。隨著網絡規模的不斷擴大和網絡攻擊的不斷增多，傳統的巡檢方式已經無法滿足安全管理的需求。網絡安全自動化巡檢通過利用自動化工具和腳本，可以實現對網絡設備、系統和應用的自動巡檢，有效提高安全管理的效率和準確性。

1. 網絡安全自動化巡檢系統功能設計開發

煙臺市中心血站是集采供血、科研、臨床輸血技術指導于一體的公益性衛生事業單位。目前，煙臺市中心血站設置6座固定獻血屋（或房車）、4輛流動智能采血車，配備血細胞分離智能機、全自動酶免分析系統、全自動血型儀、全自動生化儀、基因智能測序儀、電化學發光儀等大型、精密、貴重儀器設備，有大型儲血冷庫1座。全站配備208臺電腦，其中205臺電腦主要用來進行專業業務運行，確保血站采血過程中的數據采集、智能指令操作等。

2020年以來，煙臺市中心血站在第三方開發機構的協助下，開發了網絡安全自動化巡檢系統。該系統能夠利用自動化技術對中心血站網絡設備和系統進行定期檢測、監控和分析，以發現和修復潛在的安全威脅，提高煙臺市中心血站網絡安全性和可靠性。

該系統主要設計架構包括系統管理模塊、事務管理模塊、自動化設置管理模塊、記錄管理模塊。這些模塊共同構成了煙臺市中心血站網絡安全自動化巡檢體系，如圖1所示。

1.1 系統管理模塊的設計

系統管理模塊是煙臺市中心血站網絡安全自動化巡檢系統中的一個重要模塊，負責管理系統的用戶、群組角色、密碼修改功能[1]。

首先，在用戶管理功能方面，主要包括用戶的添加、刪除、修改和查詢等。在設計時，充分考慮系統的安全性和易用性。對于用戶的添加和刪除，需要進行身份驗證，只有具有管理員權限的用戶才能進行操作；在用戶的修改和查詢功能中，可以確保用戶修改自己的個人信息，并可以查詢其他用戶的基本信息。

其次，在群組角色管理功能方面，在功能設計時，考慮了群組和角色的關系，在系統中設計時，創建了多個群組，并為每個群組分配相應的角色。系統設定管理員可以根據需要對群組和角色進行添加、刪除和修改等操作。

最后，在密碼修改功能方面，在設計時，采用短信驗證、郵箱驗證、密保問題等方式來驗證用戶身份，確保只有合法的用戶才能修改密碼[2]。

1.2 事務管理模塊設計

事務管理模塊主要用于煙臺市中心血站網絡安全自動化巡檢系統中的待辦事務管理、待閱協查事務、協查事務查看等。

待辦事務管理功能用于記錄和管理待辦的任務和事項。在設計時，提供了一個清晰的界面，讓用戶可以查看自己的待辦事務列表。管理員設計可以根據權限將待辦事務分配給具體的用戶，并可以設置優先級和截止日期等屬性。用戶可以在完成任務后將其標記為“已辦”，以便系統能夠實時更新待辦事務列表[3]。

待閱協查事務功能用于記錄和管理需要用戶查閱的協查事務。設計中，考慮將相關的協查事務發送給用戶，并提供一個待閱事務列表，使用戶可以根據自己的需求查看待閱事務，并標記為“已閱”。

協查事務查看功能用于查看和瀏覽系統中的所有協查事務。設計時，考慮提供搜索和過濾的功能，讓用戶可以根據關鍵詞、時間范圍或其他條件來查找和瀏覽相關的協查事務。系統還設定了權限控制，限制用戶只能查看自己相關的協查事務。

1.3 自動化設置管理模塊設計

網絡安全自動化巡檢系統的自動化設置管理模塊是中心血站網絡安全自動巡檢系統的核心功能模塊之一，該模塊包括設備管理、自動巡檢設置、自動備份設置。

設備管理功能設計時允許管理員對網絡設備進行管理，包括添加、刪除和編輯設備信息。在設計時，采用表格形式展示設備列表，每一行代表一個設備，包含設備名稱、IP地址、登錄賬號、密碼等信息。管理員設定可通過手動添加或導入文件的方式批量添加設備。

自動巡檢設置中，設計管理員可以選擇巡檢的時間間隔，如每天、每周或每月，并可以設定具體的時間點。在巡檢內容方面，提供多種選項，如系統狀態、安全配置、日志記錄等。此外，還賦予管理員設置巡檢結果的處理方式，如發送告警郵件、生成巡檢報告等。為方便管理，本設計中提供了預覽和編輯功能，方便管理員進行安全查看和修改巡檢策略。

自動備份設置中允許管理員根據需要進行自動化安全備份的設置。設計時，允許管理員選擇備份的時間間隔，如每天、每周或每月，并可以設定具體的時間點。備份內容包括設備配置、日志記錄等。管理員可以設置備份結果的處理方式，如保存到本地或遠程服務器、生成安全備份報告等[4]。

1.4 記錄管理模塊設計

網絡安全自動化巡檢系統的記錄管理模塊是中心血站為了方便管理員進行安全巡檢、備份、統計、查詢而設計的。

在巡檢情況統計功能中，設計時，系統設計記錄每次巡檢結果，并統計巡檢情況。設計采用圖表的方式展示巡檢數據，如柱狀圖、餅圖等。此設計中管理員被允許可以選擇統計的時間范圍，如按天、按周、按月統計，系統自動計算出每個時間段內的巡檢情況。統計結果包括巡檢通過的設備數量、巡檢失敗的設備數量、巡檢警告的設備數量等。為方便管理員對巡檢情況進行分析，該模塊還設計了圖表的導出功能，管理員可以將統計結果導出為Excel或PDF格式。

在備份情況統計功能中，設計系統記錄每次備份的結果，并統計備份情況。此設計中管理員被允許可以采用圖表的方式展示備份數據。管理員可以選擇統計的時間范圍，如按天、按周、按月統計，系統將自動計算出每個時間段內的備份情況。統計結果可以包括備份成功的設備數量、備份失敗的設備數量、備份警告的設備數量等。

巡檢情況查詢功能設計中，允許管理員根據需要查詢特定時間段內的巡檢情況。管理員可以選擇時間范圍，并可以根據設備名稱、巡檢結果等條件進行查詢。查詢結果以列表形式展示，每一行代表一次巡檢記錄，包含設備名稱、巡檢時間、巡檢結果等信息。為方便管理，可以提供排序和篩選功能，管理員可以根據需要對查詢結果進行排序和篩選。

2. 網絡安全自動化巡檢在網絡安全領域中的應用

為確保網絡安全，煙臺市中心血站通過運用網絡安全自動化巡檢系統，構筑一系列網絡安全自動化巡檢措施，多維度提高血站網絡安全巡檢能力。

2.1 對血站網絡開展自動化漏洞掃描

煙臺市中心血站作為大型醫療機構，涉及大量的患者信息和醫療數據，為確保信息安全，煙臺市中心血站使用設計好的網絡安全自動化巡檢系統，利用該系統的自動化管理模塊，激活自動巡檢功能，進行自動化網絡漏洞掃描。每月針對智能采血車中的網絡系統、血細胞智能分離機、全自動酶免分析系統、全自動血型儀、基因智能測序儀、電化學發光儀等大型儀器設備和系統進行全面的漏洞掃描。漏洞掃描前，通過預先配置的規則和策略，確定漏洞掃描的對象范圍，所有與血站網絡相關的設備、系統和應用程序，包括智能采血車上的各種儀器設備以及與之相關聯的服務器、數據庫、網絡設備等都會納入漏洞掃描中。隨后調用自動化漏洞掃描功能，對指定范圍內的設備和系統進行漏洞掃描，包括端口掃描、服務漏洞掃描、系統漏洞掃描等。在漏洞掃描后，掃描工具的運行會生成大量的掃描結果，此時血站網絡安全運維人員對這些結果進行詳細分析，特別是對智能采血車上的大型儀器設備進行重點關注，同時如果發現安全問題，會及時與儀器設備廠商合作，了解最新的安全補丁，及時對設備進行更新升級，以消除潛在的漏洞隱患。

2.2 對血站網絡進行自動化網絡流量監控

煙臺市中心血站網絡安全運維人員為確保血站網絡運行安全，在網絡安全自動化巡檢中采取自動化網絡流量監控措施，以加強中心血站網絡巡檢監測能力。

煙臺市中心血站安全運維中選擇的網絡流量監控工具是SolarWinds NetFlow Traffic Analyzer。該工具集成于自動化網絡巡檢系統內部，是自動化巡檢系統的重要功能工具，能夠實時監控血站網絡中的所有數據流量，包括入站流量和出站流量，并具備對大型醫療儀器設備產生的特殊數據流量進行監控的能力。煙臺市中心血站利用該自動化巡檢系統工具，進行入站流量和出站流量監測，即監測網絡中所有數據流量包的進出情況，包括流量數量和流量類型（TCP、UDP、ICMP）等。同時，監測協議流量如HTTP、FTP、SMTP等。對特殊醫療儀器設備產生的流量，如智能采血車、血細胞分離智能機、全自動酶免分析系統等進行特殊數據流量監測。針對血站內部網絡系統及智能采血車、基因智能測序儀、血細胞分離智能機等設備，設置流量異常規則，當流量超過預設的閾值時，觸發告警，迅速識別可能的網絡攻擊、惡意軟件或異常行為，確保中心血站網絡安全。

2.3 對血站網絡實施自動化日志審計和分析

煙臺市中心血站網絡中的各種設備和系統每天都會生成大量的日志信息，包括登錄日志、操作日志、事件日志等。為促進網絡安全自動化巡檢的完善，中心血站還上線了自動化日志審計和分析系統。該系統可以對血站內部網絡的日志信息進行實時收集、存儲和分析，及時發現異常的日志行為，識別潛在的安全威脅，并自動進行告警和處理。自動化日志審計和分析系統的實施步驟和自動分析過程主要如下：

（1）系統部署和配置。中心血站會首先部署日志審計和分析系統ELK Stack，確保其能夠對血站網絡內各種設備和系統的日志信息進行實時收集和存儲。同時，對系統進行配置，設定日志收集的范圍和規則，確定需要收集和分析的日志類型、來源等內容。

（2）日志信息收集。命令系統通過各種手段如日志代理、遠程日志收集器等，實時收集血站網絡內各種設備和系統產生的日志信息，包括登錄日志、操作日志、事件日志等，并進行統一存儲和管理。

（3）自動化分析過程。對收集到的日志信息進行自動化分析，通過事先設置的規則和算法，識別可能的安全威脅和異常行為。具體的自動分析過程是對收集到的日志信息進行預處理，包括去重、格式化、時間戳標準化等操作，以便后續分析處理。

（4）異常行為識別。系統根據設定的規則和模型，對日志信息進行實時分析，識別可能的異常行為，如異常的登錄嘗試、特定操作的頻繁性等。

通過以上自動化分析過程，煙臺市中心血站網絡的自動化日志審計和分析系統實現了實時發現異常日志行為和安全威脅的功能，提高了網絡安全的自動化巡檢和處理效率，保障了網絡的安全穩定運行。

結語

綜上所述，網絡安全自動化巡檢系統功能設計開發需要注重系統管理模塊、事務管理模塊、自動化設置管理模塊、記錄管理模塊的設計。在具體的網絡安全自動化巡檢應用中，主要通過開展自動化漏洞掃描、進行自動化網絡流量監控、實施自動化日志審計和分析、進行自動化安全漏洞修復，來構筑實踐化的網絡安全自動化巡檢系統。

參考文獻：

[1]王澤林，韓賽，張潔，等.中國聯通自智網絡研究與實踐[J].通信世界，2022（21）： 42-45.

[2]鄧靈莉，劉凱曦，袁向陽，等.自智網絡能力評估與建設實踐[J].通信世界， 2022（17）：42-45.

[3]魏東紅，王其才，商超.網絡自動化運維系統關鍵技術研究與設計[J].無線互聯科技，2022，19（13）：94-96.

[4]林顯忠.網絡設備自動化巡檢系統的設計與實現[J].金融科技時代，2022， 30（5）：74-77.

作者簡介：原毅，本科，網絡規劃設計師，研究方向：網絡安全。