帶外管理和帶內審計的實(shí)用性論文

　　1帶外管理和帶內審計系統設計目標

　　1.1總體建設目標

　　針對數據中心機房運維存在的潛在風(fēng)險和安全隱患,為了滿(mǎn)足數據中心機房設備的集中化管理要求,按照集中方式建設機房,即建立完備的通信機房集中管理方案,保障維護人員能夠安全、可靠地登錄到IT設備上進(jìn)行操作�？傮w建設目標為:建設一套具有內容審計功能的帶外管理平臺,實(shí)現對服務(wù)器和網(wǎng)絡(luò )設備進(jìn)行管理維護;建設一套帶內審計系統,實(shí)現對通過(guò)Telnet、SSH等網(wǎng)絡(luò )協(xié)議登錄服務(wù)器及網(wǎng)絡(luò )設備所做操作的行為審計[2]。

　　1.2帶外管理系統建設目標

　　通過(guò)建設帶外管理系統,可以避免現有管理方式的不足,實(shí)現對服務(wù)器和整個(gè)網(wǎng)絡(luò )的關(guān)鍵設備進(jìn)行可審計的管理和維護,確保公司業(yè)務(wù)系統的穩定運行和快速排除故障。同時(shí),對機房?jì)人�有設備的監控和操作都在操作室內進(jìn)行,不允許人員隨意進(jìn)出機房,對機房進(jìn)行完全封閉管理,減輕人員對機房環(huán)境的影響。

　　1.3帶內審計系統建設目標

　　通過(guò)建設帶內審計系統,可以采取實(shí)時(shí)監控審計操作行為,控制業(yè)務(wù)運行的異常風(fēng)險,加強公司遠程管理規范,通過(guò)對被授權人員和系統的網(wǎng)絡(luò )行為進(jìn)行記錄、回放、分析,做到事后合規報告、事故追蹤回放,加強內、外部網(wǎng)絡(luò )行為監管(服務(wù)器、網(wǎng)絡(luò )設備等),保護用戶(hù)信息和數據不被泄漏和篡改,保障業(yè)務(wù)系統的正常運營(yíng),防止安全事件的發(fā)生,減少設備故障處理的時(shí)間,減輕維護壓力,降低人力成本,提高工作效率,控制運維風(fēng)險,提升公司安全管理水平與安全控制能力。

　　2系統建設技術(shù)路線(xiàn)

　　2.1帶外管理系統技術(shù)路線(xiàn)

　　(1)在內蒙古電力公司數據中心機房建設一套帶外管理平臺,帶外管理的受管設備包括路由器、交換機、防火墻及各種服務(wù)器。(2)在列頭柜上可以實(shí)現對本列機柜中所有設備的本地管理。(3)維護人員在監控室內能夠實(shí)現對所管理設備的監控和維護。(4)通過(guò)賬號和統一界面可以實(shí)現錄屏和審計功能。(5)二級單位(僅管理網(wǎng)絡(luò )設備)共11個(gè),進(jìn)行帶外設備安裝,實(shí)現網(wǎng)絡(luò )設備的遠程管理。(6)數據中心安裝32口KVM交換機,實(shí)現8路并發(fā),各二級單位安裝16口串口交換機(內置有Modem),分局安裝8口串口交換機(內置有Modem)。(7)根據現有服務(wù)器規劃新建系統所需服務(wù)器數量,在每列列頭柜中安裝32口KVM交換機。(8)帶外管理系統單獨建網(wǎng),不接入現有的生產(chǎn)網(wǎng)絡(luò )。(9)帶外管理可以連接到小型機的HMC或直接連接到小型機上,既可啟動(dòng)圖形界面,也可啟動(dòng)字符界面。

　　2.2帶內審計系統技術(shù)路線(xiàn)

　　(1)能對內蒙古電力數據中心運維人員的日常監控、維護工作和托管用戶(hù)的遠程操作與維護進(jìn)行監管。(2)能對目前常用的遠程維護訪(fǎng)問(wèn)方式(涉及Telnet/ftp/SSH/VNC/RDP)進(jìn)行控制,記錄并實(shí)時(shí)上報所有違規訪(fǎng)問(wèn)行為,從而實(shí)現對非授權用戶(hù)的非法訪(fǎng)問(wèn)控制。(3)能對目前常用的遠程維護訪(fǎng)問(wèn)方式(涉及Telnet/ftp/SSH/VNC/RDP)進(jìn)行審計,記錄運維人員的全部操作,可跟蹤追溯,從而對內部合法運維人員實(shí)現有效監管。(4)設備部署控制方式要靈活,既可以提供代理模式,也可以采用旁路偵聽(tīng)的方式實(shí)現訪(fǎng)問(wèn)控制,從而滿(mǎn)足不同的業(yè)務(wù)需求。(5)能迅速定位設備故障,并及時(shí)響應,可提供遠程執行開(kāi)啟、關(guān)閉和重啟操作,減輕運維人員的維護壓力。(6)必須提供對運維人員的集中管理,設置訪(fǎng)問(wèn)權限與管理范圍。(7)系統提供的審計信息要直觀(guān)易懂,報警要及時(shí)快捷,報表數據要準確完善。(8)系統要提供自審計功能,包含所有運維管理人員的操作記錄以及系統的運行日志。(9)系統網(wǎng)絡(luò )架構簡(jiǎn)單靈活,不影響目前業(yè)務(wù)系統的'正常運行,不占用網(wǎng)絡(luò )帶寬。(10)系統能夠實(shí)現單點(diǎn)登錄,運維管理人員不需要記錄和查看設備密碼,提升密碼的安全性。

　　3系統整體建設方案分析

　　3.1帶外管理系統建設方案

　　根據帶外管理系統建設目標與技術(shù)路線(xiàn),進(jìn)行了帶外管理系統方案設計,內蒙古電力公司帶外管理系統的總體方案架構如圖4所示。在數據中心服務(wù)器區部署數字KVM交換機連接小型機和PC服務(wù)器;在網(wǎng)絡(luò )設備區部署數字串口交換機連接網(wǎng)絡(luò )設備;在二級單位及所轄基層單位部署數字串口交換機連接網(wǎng)絡(luò )設備;所有數字KVM交換機和數字串口交換機上聯(lián)至網(wǎng)管網(wǎng),由放置在數據中心機房的帶外管理平臺統一管理;在數據中心機房部署帶外審計設備,審計用戶(hù)通過(guò)帶外管理平臺對機房?jì)鹊男⌒蜋C、HMC、PC服務(wù)器和網(wǎng)絡(luò )設備等各種類(lèi)型、各種平臺的硬件設備所做操作內容;在數據中心操作室部署帶外管理操作終端,管理員非特殊情況均在此通過(guò)帶外管理系統進(jìn)行設備管理和維護[3]。

　　3.1.1數據中心的帶外管理系統部署方案(1)在內蒙古電力公司數據中心機房部署一套帶外管理平臺,由2臺硬件設備組成,以主備方式運行,連接至網(wǎng)管網(wǎng)。數據中心的帶外管理系統部署方案如圖5所示。(2)數據中心機房服務(wù)器區每列機柜內,服務(wù)器或HMC通過(guò)服務(wù)器接口轉換線(xiàn)上聯(lián)至柜頂配線(xiàn)架,在列頭柜通過(guò)柜內配線(xiàn)架連接到部署在列頭柜內的2臺32口8路并發(fā)的數字KVM交換機,并且在列頭柜內部署2套顯示器套件,實(shí)現本列服務(wù)器機房?jì)缺镜毓芾?數字KVM交換機通過(guò)網(wǎng)絡(luò )端口上聯(lián)到網(wǎng)管網(wǎng),實(shí)現本列服務(wù)器遠程管理。(3)數據中心機房網(wǎng)絡(luò )區每列機柜內,網(wǎng)絡(luò )設備通過(guò)串口轉換線(xiàn)上聯(lián)至柜頂配線(xiàn)架,在列頭柜通過(guò)柜內配線(xiàn)架連接到部署在列頭柜內的1臺32口數字串口交換機1上,并且在列頭柜內部署顯示器套件,實(shí)現本列網(wǎng)絡(luò )設備機房?jì)缺镜毓芾?數字串口交換機1通過(guò)網(wǎng)絡(luò )端口上連到網(wǎng)管網(wǎng),實(shí)現本列網(wǎng)絡(luò )設備遠程管理。(4)在數據中心機房?jì)炔渴?臺具有帶外管理平臺審計功能模塊功能的硬件設備,該審計模塊審計用戶(hù)通過(guò)帶外管理平臺對小型機、HMC、PC服務(wù)器和網(wǎng)絡(luò )設備等各種類(lèi)型、各種平臺的硬件設備所做操作內容;對通過(guò)KVM交換機操作所管理的硬件設備,進(jìn)行錄屏;對通過(guò)串口交換機操作所管理的網(wǎng)絡(luò )設備,進(jìn)行字符串的記錄;且具有能夠基于用戶(hù)名稱(chēng)、管理類(lèi)型、訪(fǎng)問(wèn)時(shí)間等進(jìn)行檢索,支持關(guān)鍵字排序,可以根據周期性時(shí)間檢索。該審核系統必須有相應的授權認證才能查看內容,能夠實(shí)現與帶外管理平臺無(wú)縫連接,能夠存儲較大數據量的審計內容。(5)在數據中心操作室部署8臺帶外管理操作終端,并接入網(wǎng)管網(wǎng),實(shí)現通過(guò)帶外管理系統對數據中心機房?jì)鹊姆��?wù)器及網(wǎng)絡(luò )設備和各二級單位及所轄基層單位機房?jì)鹊牟糠志W(wǎng)絡(luò )設備進(jìn)行遠程訪(fǎng)問(wèn)、管理和維護。

　　3.1.2二級單位及所轄基層單位機房?jì)鹊木W(wǎng)絡(luò )設備帶外管理系統部署方案二級單位及所轄基層單位機房?jì)鹊木W(wǎng)絡(luò )設備僅管理部分路由器、交換機和防火墻。在二級單位機房?jì)炔渴鹁哂羞h程撥號管理功能的16口的數字串口交換機2,通過(guò)串口轉換線(xiàn)連接所管網(wǎng)絡(luò )設備;在每個(gè)二級單位所轄基層單位的機房?jì)炔渴鹁哂羞h程撥號管理功能的8口的數字串口交換機3,通過(guò)串口轉換線(xiàn)連接所管網(wǎng)絡(luò )設備;所有數字串口交換機2和數字串口交換機3通過(guò)網(wǎng)絡(luò )端口上連至網(wǎng)管網(wǎng)。數據中心機房的管理員可以通過(guò)廣域網(wǎng)和撥號網(wǎng)絡(luò )2條鏈路來(lái)管理各二級單位和基層單位的主要網(wǎng)絡(luò )設備。具體帶外管理系統部署方案如圖6。當廣域網(wǎng)鏈路出現中斷時(shí),通過(guò)撥號網(wǎng)絡(luò )使用PSTN網(wǎng)建立撥號連接,通過(guò)128位的SSH加密通道傳輸字符,在保證安全前提下及時(shí)連接至遠端機房的串口交換機,實(shí)現對被管設備的遠程管理維護。

　　3.2帶內審計系統建設方案

　　在內蒙古電力公司數據中心部署1臺安全審計服務(wù)器,通過(guò)網(wǎng)絡(luò )安全控制只允許其對服務(wù)器和網(wǎng)絡(luò )設備具有Telnet、SSH等網(wǎng)絡(luò )協(xié)議的訪(fǎng)問(wèn)權限。在特定情況下管理員需通過(guò)網(wǎng)絡(luò )協(xié)議對服務(wù)器和網(wǎng)絡(luò )設備進(jìn)行訪(fǎng)問(wèn)時(shí),管理員需先登錄到帶內審計系統,通過(guò)其使用SSH、Telnet、RDP、IE管理工具等,對所管理設備進(jìn)行操作。帶內審計系統記錄管理員管理服務(wù)器Windows系統、Linux和UNIX等界面和管理路由器、交換機、防火墻等網(wǎng)絡(luò )設備的字符界面的操作內容。帶內審計部署方案如圖7所示。帶內審計系統記錄所有帶內的操作過(guò)程,為了符合法規章程,審計內容需離線(xiàn)保存。一期工程采用過(guò)渡性方案,將審計數據保存在設備本地,二期工程建設中將把審計數據備份到其他介質(zhì)。

　　4系統應用效果

　　4.1帶外管理系統

　　4.1.1提高突發(fā)故障處理能力帶外管理能夠使運維管理人員通過(guò)專(zhuān)用管理網(wǎng)絡(luò )對機房網(wǎng)絡(luò )設備、服務(wù)器設備、電源系統進(jìn)行集中管理和遠程維護。即使在數據網(wǎng)絡(luò )發(fā)生故障或者設備宕機情況下,運維管理人員仍可通過(guò)帶外網(wǎng)管系統到達故障設備進(jìn)行遠程管理和維護,提高網(wǎng)絡(luò )系統的延續性和可用性,大大提高企業(yè)IT網(wǎng)絡(luò )突發(fā)故障的應急處理能力[4]。

　　4.1.2實(shí)現運維審計功能運維管理人員通過(guò)統一的管理界面對分布式網(wǎng)絡(luò )系統IT設備進(jìn)行集中管理和維護,對全部管理維護數據進(jìn)行集中記錄,記錄內容包括管理員身份信息、登錄時(shí)間、操作內容、退出時(shí)間等。

　　4.1.3精細化運維管理帶外管理系統具有權限分級管理、端口分組管理和設備分組管理功能,通過(guò)上述功能對運維管理人員身份、管理權限、管理范圍進(jìn)行嚴格界定,不同級別管理員登錄系統后只能看到有管理權限和監控權限的設備列表,分工精細,責任明確。

　　4.1.4互助運維,責任明確帶外管理支持多進(jìn)程(6個(gè)并發(fā))訪(fǎng)問(wèn)功能,各級別運維管理人員通過(guò)多進(jìn)程訪(fǎng)問(wèn)功能實(shí)現互助式協(xié)作運維。高級別運維管理人員可以對低級別運維管理人員管理過(guò)程進(jìn)行全程監控,必要時(shí)可以強制接管運維管理進(jìn)程。

　　4.1.5支持強健的安全特性(1)帶外管理系統支持128-bit、SSHv2、SSLv3數據加密技術(shù),運維管理人員的管理控制信息都將以加密方式傳送至被管理設備,確保管理數據安全。(2)帶外管理系統支持LDAP、SecurID、TACACS+、NIS、Kerberos、RADIUS等身份認證系統,通過(guò)以上身份認證系統對運維管理人員的身份、管理權限、管理范圍進(jìn)行界定,防止未經(jīng)授權用戶(hù)非法訪(fǎng)問(wèn)。(3)IP地址過(guò)濾技術(shù)可自由定義允許訪(fǎng)問(wèn)或不允許訪(fǎng)問(wèn)的IP地址列表,根據訪(fǎng)問(wèn)控制IP地址列表進(jìn)行過(guò)濾或攔截用戶(hù)訪(fǎng)問(wèn)。

　　4.2帶內審計系統

　　(1)系統審計:可以審計管理員或廠(chǎng)商支持人員登錄后進(jìn)行的操作,并將操作以錄像方式進(jìn)行存盤(pán),可對其行為進(jìn)行基于命令的分析。(2)認證管理:可以對密碼進(jìn)行托管,并且強制用戶(hù)使用一次性口令進(jìn)行登錄。(3)權限管理:基于用戶(hù)或組,限制用戶(hù)能接入的目標服務(wù)器。(4)文件審計:可以審計系統主機和網(wǎng)絡(luò )設備配置文件是否被修改,若被修改可直接通知相應管理員。(5)越權管理:支持越權登錄告警,當用戶(hù)未使用統一審計系統登錄時(shí),系統能夠及時(shí)發(fā)現并且發(fā)出告警通知審計人員[5]。(6)平滑拓撲:系統上線(xiàn)不改變當前的網(wǎng)絡(luò )拓撲結構,系統出現問(wèn)題時(shí)不影響業(yè)務(wù)正常運行。

　　5結語(yǔ)

　　內蒙古電力公司經(jīng)過(guò)帶內審計和帶外管理系統一期、二期工程建設,已實(shí)現了數據中心機房對服務(wù)器和網(wǎng)絡(luò )設備的審計、對被授權人員和系統網(wǎng)絡(luò )行為進(jìn)行記錄和事故回放等功能,且完成了7個(gè)盟(市)供電局及所屬基層分局機房的帶內帶外設備的部署及管理。三期工程預期還將完成4個(gè)盟(市)供電局及所屬基層分局帶外設備的安裝部署,逐步實(shí)現數據中心的集中化管理

【帶外管理和帶內審計的性論文】相關(guān)文章：

綜合性海岸帶規劃研究的論文04-14

包含內和外的成語(yǔ)及解釋03-08

開(kāi)學(xué)內宿帶什么東西08-24

納蘭性德經(jīng)典詩(shī)詞帶圖11-21

空調內循環(huán)和外循環(huán)的區別08-28

帶雞和狗的成語(yǔ)03-27

帶兔和蛇的成語(yǔ)04-11

帶雞和蛇的成語(yǔ)04-11

帶鬼和蛇的成語(yǔ)04-11