网络安全自动化巡检及其在网络安全领域中的应用

原毅 颜峰 倪金辉

摘要：网络安全自动化巡检在网络安全领域中扮演着重要的角色。本文以烟台市中心血站为例，探讨了网络安全自动化巡检系统功能设计开发的具体步骤，并研究了网络安全自动化巡检在网络安全领域中的应用，提出了通过开展自动化漏洞扫描、进行自动化网络流量监控、实施自动化日志审计和分析、进行自动化安全漏洞修复等路径，来构筑实践化的网络安全自动化巡检系统，以促进网络安全自动化巡检在安全领域的高效利用。

关键词：网络安全；自动化巡检；应用

引言

网络安全自动化巡检在网络安全领域中起着重要的作用。随着网络规模的不断扩大和网络攻击的不断增多，传统的巡检方式已经无法满足安全管理的需求。网络安全自动化巡检通过利用自动化工具和脚本，可以实现对网络设备、系统和应用的自动巡检，有效提高安全管理的效率和准确性。

1. 网络安全自动化巡检系统功能设计开发

烟台市中心血站是集采供血、科研、临床输血技术指导于一体的公益性卫生事业单位。目前，烟台市中心血站设置6座固定献血屋（或房车）、4辆流动智能采血车，配备血细胞分离智能机、全自动酶免分析系统、全自动血型仪、全自动生化仪、基因智能测序仪、电化学发光仪等大型、精密、贵重仪器设备，有大型储血冷库1座。全站配备208台电脑，其中205台电脑主要用来进行专业业务运行，确保血站采血过程中的数据采集、智能指令操作等。

2020年以来，烟台市中心血站在第三方开发机构的协助下，开发了网络安全自动化巡检系统。该系统能够利用自动化技术对中心血站网络设备和系统进行定期检测、监控和分析，以发现和修复潜在的安全威胁，提高烟台市中心血站网络安全性和可靠性。

该系统主要设计架构包括系统管理模块、事务管理模块、自动化设置管理模块、记录管理模块。这些模块共同构成了烟台市中心血站网络安全自动化巡检体系，如图1所示。

1.1 系统管理模块的设计

系统管理模块是烟台市中心血站网络安全自动化巡检系统中的一个重要模块，负责管理系统的用户、群组角色、密码修改功能[1]。

首先，在用户管理功能方面，主要包括用户的添加、删除、修改和查询等。在设计时，充分考虑系统的安全性和易用性。对于用户的添加和删除，需要进行身份验证，只有具有管理员权限的用户才能进行操作；在用户的修改和查询功能中，可以确保用户修改自己的个人信息，并可以查询其他用户的基本信息。

其次，在群组角色管理功能方面，在功能设计时，考虑了群组和角色的关系，在系统中设计时，创建了多个群组，并为每个群组分配相应的角色。系统设定管理员可以根据需要对群组和角色进行添加、删除和修改等操作。

最后，在密码修改功能方面，在设计时，采用短信验证、邮箱验证、密保问题等方式来验证用户身份，确保只有合法的用户才能修改密码[2]。

1.2 事务管理模块设计

事务管理模块主要用于煙台市中心血站网络安全自动化巡检系统中的待办事务管理、待阅协查事务、协查事务查看等。

待办事务管理功能用于记录和管理待办的任务和事项。在设计时，提供了一个清晰的界面，让用户可以查看自己的待办事务列表。管理员设计可以根据权限将待办事务分配给具体的用户，并可以设置优先级和截止日期等属性。用户可以在完成任务后将其标记为“已办”，以便系统能够实时更新待办事务列表[3]。

待阅协查事务功能用于记录和管理需要用户查阅的协查事务。设计中，考虑将相关的协查事务发送给用户，并提供一个待阅事务列表，使用户可以根据自己的需求查看待阅事务，并标记为“已阅”。

协查事务查看功能用于查看和浏览系统中的所有协查事务。设计时，考虑提供搜索和过滤的功能，让用户可以根据关键词、时间范围或其他条件来查找和浏览相关的协查事务。系统还设定了权限控制，限制用户只能查看自己相关的协查事务。

1.3 自动化设置管理模块设计

网络安全自动化巡检系统的自动化设置管理模块是中心血站网络安全自动巡检系统的核心功能模块之一，该模块包括设备管理、自动巡检设置、自动备份设置。

设备管理功能设计时允许管理员对网络设备进行管理，包括添加、删除和编辑设备信息。在设计时，采用表格形式展示设备列表，每一行代表一个设备，包含设备名称、IP地址、登录账号、密码等信息。管理员设定可通过手动添加或导入文件的方式批量添加设备。

自动巡检设置中，设计管理员可以选择巡检的时间间隔，如每天、每周或每月，并可以设定具体的时间点。在巡检内容方面，提供多种选项，如系统状态、安全配置、日志记录等。此外，还赋予管理员设置巡检结果的处理方式，如发送告警邮件、生成巡检报告等。为方便管理，本设计中提供了预览和编辑功能，方便管理员进行安全查看和修改巡检策略。

自动备份设置中允许管理员根据需要进行自动化安全备份的设置。设计时，允许管理员选择备份的时间间隔，如每天、每周或每月，并可以设定具体的时间点。备份内容包括设备配置、日志记录等。管理员可以设置备份结果的处理方式，如保存到本地或远程服务器、生成安全备份报告等[4]。

1.4 记录管理模块设计

网络安全自动化巡检系统的记录管理模块是中心血站为了方便管理员进行安全巡检、备份、统计、查询而设计的。

在巡检情况统计功能中，设计时，系统设计记录每次巡检结果，并统计巡检情况。设计采用图表的方式展示巡检数据，如柱状图、饼图等。此设计中管理员被允许可以选择统计的时间范围，如按天、按周、按月统计，系统自动计算出每个时间段内的巡检情况。统计结果包括巡检通过的设备数量、巡检失败的设备数量、巡检警告的设备数量等。为方便管理员对巡检情况进行分析，该模块还设计了图表的导出功能，管理员可以将统计结果导出为Excel或PDF格式。

在备份情况统计功能中，设计系统记录每次备份的结果，并统计备份情况。此设计中管理员被允许可以采用图表的方式展示备份数据。管理员可以选择统计的时间范围，如按天、按周、按月统计，系统将自动计算出每个时间段内的备份情况。统计结果可以包括备份成功的设备数量、备份失败的设备数量、备份警告的设备数量等。

巡检情况查询功能设计中，允许管理员根据需要查询特定时间段内的巡检情况。管理员可以选择时间范围，并可以根据设备名称、巡检结果等条件进行查询。查询结果以列表形式展示，每一行代表一次巡检记录，包含设备名称、巡检时间、巡检结果等信息。为方便管理，可以提供排序和筛选功能，管理员可以根据需要对查询结果进行排序和筛选。

2. 网络安全自动化巡检在网络安全领域中的应用

为确保网络安全，烟台市中心血站通过运用网络安全自动化巡检系统，构筑一系列网络安全自动化巡检措施，多维度提高血站网络安全巡检能力。

2.1 对血站网络开展自动化漏洞扫描

烟台市中心血站作为大型医疗机构，涉及大量的患者信息和医疗数据，为确保信息安全，烟台市中心血站使用设计好的网络安全自动化巡检系统，利用该系统的自动化管理模块，激活自动巡检功能，进行自动化网络漏洞扫描。每月针对智能采血车中的网络系统、血细胞智能分离机、全自动酶免分析系统、全自动血型仪、基因智能测序仪、电化学发光仪等大型仪器设备和系统进行全面的漏洞扫描。漏洞扫描前，通过预先配置的规则和策略，确定漏洞扫描的对象范围，所有与血站网络相关的设备、系统和应用程序，包括智能采血车上的各种仪器设备以及与之相关联的服务器、数据库、网络设备等都会纳入漏洞扫描中。随后调用自动化漏洞扫描功能，对指定范围内的设备和系统进行漏洞扫描，包括端口扫描、服务漏洞扫描、系统漏洞扫描等。在漏洞扫描后，扫描工具的运行会生成大量的扫描结果，此时血站网络安全运维人员对这些结果进行详细分析，特别是对智能采血车上的大型仪器设备进行重点关注，同时如果发现安全问题，会及时与仪器设备厂商合作，了解最新的安全补丁，及时对设备进行更新升级，以消除潜在的漏洞隐患。

2.2 对血站网络进行自动化网络流量监控

烟台市中心血站网络安全运维人员为确保血站网络运行安全，在网络安全自动化巡检中采取自动化网络流量监控措施，以加强中心血站网络巡检监测能力。

烟台市中心血站安全运维中选择的网络流量监控工具是SolarWinds NetFlow Traffic Analyzer。该工具集成于自动化网络巡检系统内部，是自动化巡检系统的重要功能工具，能够实时监控血站网络中的所有数据流量，包括入站流量和出站流量，并具备对大型医疗仪器设备产生的特殊数据流量进行监控的能力。烟台市中心血站利用该自动化巡检系统工具，进行入站流量和出站流量监测，即监测网络中所有数据流量包的进出情况，包括流量数量和流量类型（TCP、UDP、ICMP）等。同时，监测协议流量如HTTP、FTP、SMTP等。对特殊医疗仪器设备产生的流量，如智能采血车、血细胞分离智能机、全自动酶免分析系统等进行特殊数据流量监测。针对血站内部网络系统及智能采血车、基因智能测序仪、血细胞分离智能机等设备，设置流量异常规则，当流量超过预设的阈值时，触发告警，迅速识别可能的网络攻击、恶意软件或异常行为，确保中心血站网络安全。

2.3 对血站网络实施自动化日志审计和分析

烟台市中心血站网络中的各种设备和系统每天都会生成大量的日志信息，包括登录日志、操作日志、事件日志等。为促进网络安全自动化巡检的完善，中心血站还上线了自动化日志审计和分析系统。该系统可以对血站内部网络的日志信息进行实时收集、存储和分析，及时发现异常的日志行为，识别潜在的安全威胁，并自动进行告警和处理。自动化日志审计和分析系统的实施步骤和自动分析过程主要如下：

（1）系统部署和配置。中心血站会首先部署日志审计和分析系统ELK Stack，确保其能够对血站网络内各种设备和系统的日志信息进行实时收集和存储。同时，对系统进行配置，设定日志收集的范围和规则，确定需要收集和分析的日志类型、来源等内容。

（2）日志信息收集。命令系统通过各种手段如日志代理、远程日志收集器等，实时收集血站网络内各种设备和系统产生的日志信息，包括登录日志、操作日志、事件日志等，并进行统一存储和管理。

（3）自动化分析过程。对收集到的日志信息进行自动化分析，通过事先设置的规则和算法，识别可能的安全威胁和异常行为。具体的自动分析过程是对收集到的日志信息进行预处理，包括去重、格式化、时间戳标准化等操作，以便后续分析处理。

（4）异常行为识别。系统根据设定的规则和模型，对日志信息进行实时分析，识别可能的异常行为，如异常的登录尝试、特定操作的频繁性等。

通过以上自动化分析过程，烟台市中心血站网络的自动化日志审计和分析系统实现了实时发现异常日志行为和安全威胁的功能，提高了网络安全的自动化巡检和处理效率，保障了网络的安全稳定运行。

结语

综上所述，网络安全自动化巡检系统功能设计开发需要注重系统管理模块、事务管理模块、自动化设置管理模块、记录管理模块的设计。在具体的网络安全自动化巡检应用中，主要通过开展自动化漏洞扫描、进行自动化网络流量监控、實施自动化日志审计和分析、进行自动化安全漏洞修复，来构筑实践化的网络安全自动化巡检系统。

参考文献：

[1]王泽林，韩赛，张洁，等.中国联通自智网络研究与实践[J].通信世界，2022（21）： 42-45.

[2]邓灵莉，刘凯曦，袁向阳，等.自智网络能力评估与建设实践[J].通信世界， 2022（17）：42-45.

[3]魏东红，王其才，商超.网络自动化运维系统关键技术研究与设计[J].无线互联科技，2022，19（13）：94-96.

[4]林显忠.网络设备自动化巡检系统的设计与实现[J].金融科技时代，2022， 30（5）：74-77.

作者简介：原毅，本科，网络规划设计师，研究方向：网络安全。