帶外管理和帶內(nèi)審計的性論文

帶外管理和帶內(nèi)審計的實用性論文

　　1帶外管理和帶內(nèi)審計系統(tǒng)設(shè)計目標

　　1.1總體建設(shè)目標

　　針對數(shù)據(jù)中心機房運維存在的潛在風險和安全隱患,為了滿足數(shù)據(jù)中心機房設(shè)備的集中化管理要求,按照集中方式建設(shè)機房,即建立完備的通信機房集中管理方案,保障維護人員能夠安全、可靠地登錄到IT設(shè)備上進行操作�？傮w建設(shè)目標為:建設(shè)一套具有內(nèi)容審計功能的帶外管理平臺,實現(xiàn)對服務(wù)器和網(wǎng)絡(luò)設(shè)備進行管理維護;建設(shè)一套帶內(nèi)審計系統(tǒng),實現(xiàn)對通過Telnet、SSH等網(wǎng)絡(luò)協(xié)議登錄服務(wù)器及網(wǎng)絡(luò)設(shè)備所做操作的行為審計[2]。

　　1.2帶外管理系統(tǒng)建設(shè)目標

　　通過建設(shè)帶外管理系統(tǒng),可以避免現(xiàn)有管理方式的不足,實現(xiàn)對服務(wù)器和整個網(wǎng)絡(luò)的關(guān)鍵設(shè)備進行可審計的管理和維護,確保公司業(yè)務(wù)系統(tǒng)的穩(wěn)定運行和快速排除故障。同時,對機房內(nèi)所有設(shè)備的監(jiān)控和操作都在操作室內(nèi)進行,不允許人員隨意進出機房,對機房進行完全封閉管理,減輕人員對機房環(huán)境的影響。

　　1.3帶內(nèi)審計系統(tǒng)建設(shè)目標

　　通過建設(shè)帶內(nèi)審計系統(tǒng),可以采取實時監(jiān)控審計操作行為,控制業(yè)務(wù)運行的異常風險,加強公司遠程管理規(guī)范,通過對被授權(quán)人員和系統(tǒng)的網(wǎng)絡(luò)行為進行記錄、回放、分析,做到事后合規(guī)報告、事故追蹤回放,加強內(nèi)、外部網(wǎng)絡(luò)行為監(jiān)管(服務(wù)器、網(wǎng)絡(luò)設(shè)備等),保護用戶信息和數(shù)據(jù)不被泄漏和篡改,保障業(yè)務(wù)系統(tǒng)的正常運營,防止安全事件的發(fā)生,減少設(shè)備故障處理的時間,減輕維護壓力,降低人力成本,提高工作效率,控制運維風險,提升公司安全管理水平與安全控制能力。

　　2系統(tǒng)建設(shè)技術(shù)路線

　　2.1帶外管理系統(tǒng)技術(shù)路線

　　(1)在內(nèi)蒙古電力公司數(shù)據(jù)中心機房建設(shè)一套帶外管理平臺,帶外管理的受管設(shè)備包括路由器、交換機、防火墻及各種服務(wù)器。(2)在列頭柜上可以實現(xiàn)對本列機柜中所有設(shè)備的本地管理。(3)維護人員在監(jiān)控室內(nèi)能夠?qū)崿F(xiàn)對所管理設(shè)備的監(jiān)控和維護。(4)通過賬號和統(tǒng)一界面可以實現(xiàn)錄屏和審計功能。(5)二級單位(僅管理網(wǎng)絡(luò)設(shè)備)共11個,進行帶外設(shè)備安裝,實現(xiàn)網(wǎng)絡(luò)設(shè)備的遠程管理。(6)數(shù)據(jù)中心安裝32口KVM交換機,實現(xiàn)8路并發(fā),各二級單位安裝16口串口交換機(內(nèi)置有Modem),分局安裝8口串口交換機(內(nèi)置有Modem)。(7)根據(jù)現(xiàn)有服務(wù)器規(guī)劃新建系統(tǒng)所需服務(wù)器數(shù)量,在每列列頭柜中安裝32口KVM交換機。(8)帶外管理系統(tǒng)單獨建網(wǎng),不接入現(xiàn)有的生產(chǎn)網(wǎng)絡(luò)。(9)帶外管理可以連接到小型機的HMC或直接連接到小型機上,既可啟動圖形界面,也可啟動字符界面。

　　2.2帶內(nèi)審計系統(tǒng)技術(shù)路線

　　(1)能對內(nèi)蒙古電力數(shù)據(jù)中心運維人員的日常監(jiān)控、維護工作和托管用戶的遠程操作與維護進行監(jiān)管。(2)能對目前常用的遠程維護訪問方式(涉及Telnet/ftp/SSH/VNC/RDP)進行控制,記錄并實時上報所有違規(guī)訪問行為,從而實現(xiàn)對非授權(quán)用戶的非法訪問控制。(3)能對目前常用的遠程維護訪問方式(涉及Telnet/ftp/SSH/VNC/RDP)進行審計,記錄運維人員的全部操作,可跟蹤追溯,從而對內(nèi)部合法運維人員實現(xiàn)有效監(jiān)管。(4)設(shè)備部署控制方式要靈活,既可以提供代理模式,也可以采用旁路偵聽的方式實現(xiàn)訪問控制,從而滿足不同的業(yè)務(wù)需求。(5)能迅速定位設(shè)備故障,并及時響應(yīng),可提供遠程執(zhí)行開啟、關(guān)閉和重啟操作,減輕運維人員的維護壓力。(6)必須提供對運維人員的集中管理,設(shè)置訪問權(quán)限與管理范圍。(7)系統(tǒng)提供的審計信息要直觀易懂,報警要及時快捷,報表數(shù)據(jù)要準確完善。(8)系統(tǒng)要提供自審計功能,包含所有運維管理人員的操作記錄以及系統(tǒng)的運行日志。(9)系統(tǒng)網(wǎng)絡(luò)架構(gòu)簡單靈活,不影響目前業(yè)務(wù)系統(tǒng)的'正常運行,不占用網(wǎng)絡(luò)帶寬。(10)系統(tǒng)能夠?qū)崿F(xiàn)單點登錄,運維管理人員不需要記錄和查看設(shè)備密碼,提升密碼的安全性。

　　3系統(tǒng)整體建設(shè)方案分析

　　3.1帶外管理系統(tǒng)建設(shè)方案

　　根據(jù)帶外管理系統(tǒng)建設(shè)目標與技術(shù)路線,進行了帶外管理系統(tǒng)方案設(shè)計,內(nèi)蒙古電力公司帶外管理系統(tǒng)的總體方案架構(gòu)如圖4所示。在數(shù)據(jù)中心服務(wù)器區(qū)部署數(shù)字KVM交換機連接小型機和PC服務(wù)器;在網(wǎng)絡(luò)設(shè)備區(qū)部署數(shù)字串口交換機連接網(wǎng)絡(luò)設(shè)備;在二級單位及所轄基層單位部署數(shù)字串口交換機連接網(wǎng)絡(luò)設(shè)備;所有數(shù)字KVM交換機和數(shù)字串口交換機上聯(lián)至網(wǎng)管網(wǎng),由放置在數(shù)據(jù)中心機房的帶外管理平臺統(tǒng)一管理;在數(shù)據(jù)中心機房部署帶外審計設(shè)備,審計用戶通過帶外管理平臺對機房內(nèi)的小型機、HMC、PC服務(wù)器和網(wǎng)絡(luò)設(shè)備等各種類型、各種平臺的硬件設(shè)備所做操作內(nèi)容;在數(shù)據(jù)中心操作室部署帶外管理操作終端,管理員非特殊情況均在此通過帶外管理系統(tǒng)進行設(shè)備管理和維護[3]。

　　3.1.1數(shù)據(jù)中心的帶外管理系統(tǒng)部署方案(1)在內(nèi)蒙古電力公司數(shù)據(jù)中心機房部署一套帶外管理平臺,由2臺硬件設(shè)備組成,以主備方式運行,連接至網(wǎng)管網(wǎng)。數(shù)據(jù)中心的帶外管理系統(tǒng)部署方案如圖5所示。(2)數(shù)據(jù)中心機房服務(wù)器區(qū)每列機柜內(nèi),服務(wù)器或HMC通過服務(wù)器接口轉(zhuǎn)換線上聯(lián)至柜頂配線架,在列頭柜通過柜內(nèi)配線架連接到部署在列頭柜內(nèi)的2臺32口8路并發(fā)的數(shù)字KVM交換機,并且在列頭柜內(nèi)部署2套顯示器套件,實現(xiàn)本列服務(wù)器機房內(nèi)本地管理;數(shù)字KVM交換機通過網(wǎng)絡(luò)端口上聯(lián)到網(wǎng)管網(wǎng),實現(xiàn)本列服務(wù)器遠程管理。(3)數(shù)據(jù)中心機房網(wǎng)絡(luò)區(qū)每列機柜內(nèi),網(wǎng)絡(luò)設(shè)備通過串口轉(zhuǎn)換線上聯(lián)至柜頂配線架,在列頭柜通過柜內(nèi)配線架連接到部署在列頭柜內(nèi)的1臺32口數(shù)字串口交換機1上,并且在列頭柜內(nèi)部署顯示器套件,實現(xiàn)本列網(wǎng)絡(luò)設(shè)備機房內(nèi)本地管理;數(shù)字串口交換機1通過網(wǎng)絡(luò)端口上連到網(wǎng)管網(wǎng),實現(xiàn)本列網(wǎng)絡(luò)設(shè)備遠程管理。(4)在數(shù)據(jù)中心機房內(nèi)部署1臺具有帶外管理平臺審計功能模塊功能的硬件設(shè)備,該審計模塊審計用戶通過帶外管理平臺對小型機、HMC、PC服務(wù)器和網(wǎng)絡(luò)設(shè)備等各種類型、各種平臺的硬件設(shè)備所做操作內(nèi)容;對通過KVM交換機操作所管理的硬件設(shè)備,進行錄屏;對通過串口交換機操作所管理的網(wǎng)絡(luò)設(shè)備,進行字符串的記錄;且具有能夠基于用戶名稱、管理類型、訪問時間等進行檢索,支持關(guān)鍵字排序,可以根據(jù)周期性時間檢索。該審核系統(tǒng)必須有相應(yīng)的授權(quán)認證才能查看內(nèi)容,能夠?qū)崿F(xiàn)與帶外管理平臺無縫連接,能夠存儲較大數(shù)據(jù)量的審計內(nèi)容。(5)在數(shù)據(jù)中心操作室部署8臺帶外管理操作終端,并接入網(wǎng)管網(wǎng),實現(xiàn)通過帶外管理系統(tǒng)對數(shù)據(jù)中心機房內(nèi)的服務(wù)器及網(wǎng)絡(luò)設(shè)備和各二級單位及所轄基層單位機房內(nèi)的部分網(wǎng)絡(luò)設(shè)備進行遠程訪問、管理和維護。

　　3.1.2二級單位及所轄基層單位機房內(nèi)的網(wǎng)絡(luò)設(shè)備帶外管理系統(tǒng)部署方案二級單位及所轄基層單位機房內(nèi)的網(wǎng)絡(luò)設(shè)備僅管理部分路由器、交換機和防火墻。在二級單位機房內(nèi)部署具有遠程撥號管理功能的16口的數(shù)字串口交換機2,通過串口轉(zhuǎn)換線連接所管網(wǎng)絡(luò)設(shè)備;在每個二級單位所轄基層單位的機房內(nèi)部署具有遠程撥號管理功能的8口的數(shù)字串口交換機3,通過串口轉(zhuǎn)換線連接所管網(wǎng)絡(luò)設(shè)備;所有數(shù)字串口交換機2和數(shù)字串口交換機3通過網(wǎng)絡(luò)端口上連至網(wǎng)管網(wǎng)。數(shù)據(jù)中心機房的管理員可以通過廣域網(wǎng)和撥號網(wǎng)絡(luò)2條鏈路來管理各二級單位和基層單位的主要網(wǎng)絡(luò)設(shè)備。具體帶外管理系統(tǒng)部署方案如圖6。當廣域網(wǎng)鏈路出現(xiàn)中斷時,通過撥號網(wǎng)絡(luò)使用PSTN網(wǎng)建立撥號連接,通過128位的SSH加密通道傳輸字符,在保證安全前提下及時連接至遠端機房的串口交換機,實現(xiàn)對被管設(shè)備的遠程管理維護。

　　3.2帶內(nèi)審計系統(tǒng)建設(shè)方案

　　在內(nèi)蒙古電力公司數(shù)據(jù)中心部署1臺安全審計服務(wù)器,通過網(wǎng)絡(luò)安全控制只允許其對服務(wù)器和網(wǎng)絡(luò)設(shè)備具有Telnet、SSH等網(wǎng)絡(luò)協(xié)議的訪問權(quán)限。在特定情況下管理員需通過網(wǎng)絡(luò)協(xié)議對服務(wù)器和網(wǎng)絡(luò)設(shè)備進行訪問時,管理員需先登錄到帶內(nèi)審計系統(tǒng),通過其使用SSH、Telnet、RDP、IE管理工具等,對所管理設(shè)備進行操作。帶內(nèi)審計系統(tǒng)記錄管理員管理服務(wù)器Windows系統(tǒng)、Linux和UNIX等界面和管理路由器、交換機、防火墻等網(wǎng)絡(luò)設(shè)備的字符界面的操作內(nèi)容。帶內(nèi)審計部署方案如圖7所示。帶內(nèi)審計系統(tǒng)記錄所有帶內(nèi)的操作過程,為了符合法規(guī)章程,審計內(nèi)容需離線保存。一期工程采用過渡性方案,將審計數(shù)據(jù)保存在設(shè)備本地,二期工程建設(shè)中將把審計數(shù)據(jù)備份到其他介質(zhì)。

　　4系統(tǒng)應(yīng)用效果

　　4.1帶外管理系統(tǒng)

　　4.1.1提高突發(fā)故障處理能力帶外管理能夠使運維管理人員通過專用管理網(wǎng)絡(luò)對機房網(wǎng)絡(luò)設(shè)備、服務(wù)器設(shè)備、電源系統(tǒng)進行集中管理和遠程維護。即使在數(shù)據(jù)網(wǎng)絡(luò)發(fā)生故障或者設(shè)備宕機情況下,運維管理人員仍可通過帶外網(wǎng)管系統(tǒng)到達故障設(shè)備進行遠程管理和維護,提高網(wǎng)絡(luò)系統(tǒng)的延續(xù)性和可用性,大大提高企業(yè)IT網(wǎng)絡(luò)突發(fā)故障的應(yīng)急處理能力[4]。

　　4.1.2實現(xiàn)運維審計功能運維管理人員通過統(tǒng)一的管理界面對分布式網(wǎng)絡(luò)系統(tǒng)IT設(shè)備進行集中管理和維護,對全部管理維護數(shù)據(jù)進行集中記錄,記錄內(nèi)容包括管理員身份信息、登錄時間、操作內(nèi)容、退出時間等。

　　4.1.3精細化運維管理帶外管理系統(tǒng)具有權(quán)限分級管理、端口分組管理和設(shè)備分組管理功能,通過上述功能對運維管理人員身份、管理權(quán)限、管理范圍進行嚴格界定,不同級別管理員登錄系統(tǒng)后只能看到有管理權(quán)限和監(jiān)控權(quán)限的設(shè)備列表,分工精細,責任明確。

　　4.1.4互助運維,責任明確帶外管理支持多進程(6個并發(fā))訪問功能,各級別運維管理人員通過多進程訪問功能實現(xiàn)互助式協(xié)作運維。高級別運維管理人員可以對低級別運維管理人員管理過程進行全程監(jiān)控,必要時可以強制接管運維管理進程。

　　4.1.5支持強健的安全特性(1)帶外管理系統(tǒng)支持128-bit、SSHv2、SSLv3數(shù)據(jù)加密技術(shù),運維管理人員的管理控制信息都將以加密方式傳送至被管理設(shè)備,確保管理數(shù)據(jù)安全。(2)帶外管理系統(tǒng)支持LDAP、SecurID、TACACS+、NIS、Kerberos、RADIUS等身份認證系統(tǒng),通過以上身份認證系統(tǒng)對運維管理人員的身份、管理權(quán)限、管理范圍進行界定,防止未經(jīng)授權(quán)用戶非法訪問。(3)IP地址過濾技術(shù)可自由定義允許訪問或不允許訪問的IP地址列表,根據(jù)訪問控制IP地址列表進行過濾或攔截用戶訪問。

　　4.2帶內(nèi)審計系統(tǒng)

　　(1)系統(tǒng)審計:可以審計管理員或廠商支持人員登錄后進行的操作,并將操作以錄像方式進行存盤,可對其行為進行基于命令的分析。(2)認證管理:可以對密碼進行托管,并且強制用戶使用一次性口令進行登錄。(3)權(quán)限管理:基于用戶或組,限制用戶能接入的目標服務(wù)器。(4)文件審計:可以審計系統(tǒng)主機和網(wǎng)絡(luò)設(shè)備配置文件是否被修改,若被修改可直接通知相應(yīng)管理員。(5)越權(quán)管理:支持越權(quán)登錄告警,當用戶未使用統(tǒng)一審計系統(tǒng)登錄時,系統(tǒng)能夠及時發(fā)現(xiàn)并且發(fā)出告警通知審計人員[5]。(6)平滑拓撲:系統(tǒng)上線不改變當前的網(wǎng)絡(luò)拓撲結(jié)構(gòu),系統(tǒng)出現(xiàn)問題時不影響業(yè)務(wù)正常運行。

　　5結(jié)語

　　內(nèi)蒙古電力公司經(jīng)過帶內(nèi)審計和帶外管理系統(tǒng)一期、二期工程建設(shè),已實現(xiàn)了數(shù)據(jù)中心機房對服務(wù)器和網(wǎng)絡(luò)設(shè)備的審計、對被授權(quán)人員和系統(tǒng)網(wǎng)絡(luò)行為進行記錄和事故回放等功能,且完成了7個盟(市)供電局及所屬基層分局機房的帶內(nèi)帶外設(shè)備的部署及管理。三期工程預(yù)期還將完成4個盟(市)供電局及所屬基層分局帶外設(shè)備的安裝部署,逐步實現(xiàn)數(shù)據(jù)中心的集中化管理

【帶外管理和帶內(nèi)審計的性論文】相關(guān)文章：

綜合性海岸帶規(guī)劃研究的論文04-14

包含內(nèi)和外的成語及解釋03-08

開學內(nèi)宿帶什么東西08-24

納蘭性德經(jīng)典詩詞帶圖11-21

空調(diào)內(nèi)循環(huán)和外循環(huán)的區(qū)別08-28

帶雞和狗的成語03-27

帶兔和蛇的成語04-11

帶雞和蛇的成語04-11

帶鬼和蛇的成語04-11