帶外管理和帶內審計的實用性論文

　　1帶外管理和帶內審計系統設計目標

　　1.1總體建設目標

　　針對數據中心機房運維存在的潛在風險和安全隱患,為了滿足數據中心機房設備的集中化管理要求,按照集中方式建設機房,即建立完備的通信機房集中管理方案,保障維護人員能夠安全、可靠地登錄到IT設備上進行操作。總體建設目標為:建設一套具有內容審計功能的帶外管理平臺,實現對服務器和網絡設備進行管理維護;建設一套帶內審計系統,實現對通過Telnet、SSH等網絡協議登錄服務器及網絡設備所做操作的行為審計[2]。

　　1.2帶外管理系統建設目標

　　通過建設帶外管理系統,可以避免現有管理方式的不足,實現對服務器和整個網絡的關鍵設備進行可審計的管理和維護,確保公司業務系統的穩定運行和快速排除故障。同時,對機房內所有設備的監控和操作都在操作室內進行,不允許人員隨意進出機房,對機房進行完全封閉管理,減輕人員對機房環境的影響。

　　1.3帶內審計系統建設目標

　　通過建設帶內審計系統,可以采取實時監控審計操作行為,控制業務運行的異常風險,加強公司遠程管理規范,通過對被授權人員和系統的網絡行為進行記錄、回放、分析,做到事后合規報告、事故追蹤回放,加強內、外部網絡行為監管(服務器、網絡設備等),保護用戶信息和數據不被泄漏和篡改,保障業務系統的正常運營,防止安全事件的發生,減少設備故障處理的時間,減輕維護壓力,降低人力成本,提高工作效率,控制運維風險,提升公司安全管理水平與安全控制能力。

　　2系統建設技術路線

　　2.1帶外管理系統技術路線

　　(1)在內蒙古電力公司數據中心機房建設一套帶外管理平臺,帶外管理的受管設備包括路由器、交換機、防火墻及各種服務器。(2)在列頭柜上可以實現對本列機柜中所有設備的本地管理。(3)維護人員在監控室內能夠實現對所管理設備的監控和維護。(4)通過賬號和統一界面可以實現錄屏和審計功能。(5)二級單位(僅管理網絡設備)共11個,進行帶外設備安裝,實現網絡設備的遠程管理。(6)數據中心安裝32口KVM交換機,實現8路并發,各二級單位安裝16口串口交換機(內置有Modem),分局安裝8口串口交換機(內置有Modem)。(7)根據現有服務器規劃新建系統所需服務器數量,在每列列頭柜中安裝32口KVM交換機。(8)帶外管理系統單獨建網,不接入現有的生產網絡。(9)帶外管理可以連接到小型機的HMC或直接連接到小型機上,既可啟動圖形界面,也可啟動字符界面。

　　2.2帶內審計系統技術路線

　　(1)能對內蒙古電力數據中心運維人員的日常監控、維護工作和托管用戶的遠程操作與維護進行監管。(2)能對目前常用的遠程維護訪問方式(涉及Telnet/ftp/SSH/VNC/RDP)進行控制,記錄并實時上報所有違規訪問行為,從而實現對非授權用戶的非法訪問控制。(3)能對目前常用的遠程維護訪問方式(涉及Telnet/ftp/SSH/VNC/RDP)進行審計,記錄運維人員的全部操作,可跟蹤追溯,從而對內部合法運維人員實現有效監管。(4)設備部署控制方式要靈活,既可以提供代理模式,也可以采用旁路偵聽的方式實現訪問控制,從而滿足不同的業務需求。(5)能迅速定位設備故障,并及時響應,可提供遠程執行開啟、關閉和重啟操作,減輕運維人員的維護壓力。(6)必須提供對運維人員的集中管理,設置訪問權限與管理范圍。(7)系統提供的審計信息要直觀易懂,報警要及時快捷,報表數據要準確完善。(8)系統要提供自審計功能,包含所有運維管理人員的操作記錄以及系統的運行日志。(9)系統網絡架構簡單靈活,不影響目前業務系統的'正常運行,不占用網絡帶寬。(10)系統能夠實現單點登錄,運維管理人員不需要記錄和查看設備密碼,提升密碼的安全性。

　　3系統整體建設方案分析

　　3.1帶外管理系統建設方案

　　根據帶外管理系統建設目標與技術路線,進行了帶外管理系統方案設計,內蒙古電力公司帶外管理系統的總體方案架構如圖4所示。在數據中心服務器區部署數字KVM交換機連接小型機和PC服務器;在網絡設備區部署數字串口交換機連接網絡設備;在二級單位及所轄基層單位部署數字串口交換機連接網絡設備;所有數字KVM交換機和數字串口交換機上聯至網管網,由放置在數據中心機房的帶外管理平臺統一管理;在數據中心機房部署帶外審計設備,審計用戶通過帶外管理平臺對機房內的小型機、HMC、PC服務器和網絡設備等各種類型、各種平臺的硬件設備所做操作內容;在數據中心操作室部署帶外管理操作終端,管理員非特殊情況均在此通過帶外管理系統進行設備管理和維護[3]。

　　3.1.1數據中心的帶外管理系統部署方案(1)在內蒙古電力公司數據中心機房部署一套帶外管理平臺,由2臺硬件設備組成,以主備方式運行,連接至網管網。數據中心的帶外管理系統部署方案如圖5所示。(2)數據中心機房服務器區每列機柜內,服務器或HMC通過服務器接口轉換線上聯至柜頂配線架,在列頭柜通過柜內配線架連接到部署在列頭柜內的2臺32口8路并發的數字KVM交換機,并且在列頭柜內部署2套顯示器套件,實現本列服務器機房內本地管理;數字KVM交換機通過網絡端口上聯到網管網,實現本列服務器遠程管理。(3)數據中心機房網絡區每列機柜內,網絡設備通過串口轉換線上聯至柜頂配線架,在列頭柜通過柜內配線架連接到部署在列頭柜內的1臺32口數字串口交換機1上,并且在列頭柜內部署顯示器套件,實現本列網絡設備機房內本地管理;數字串口交換機1通過網絡端口上連到網管網,實現本列網絡設備遠程管理。(4)在數據中心機房內部署1臺具有帶外管理平臺審計功能模塊功能的硬件設備,該審計模塊審計用戶通過帶外管理平臺對小型機、HMC、PC服務器和網絡設備等各種類型、各種平臺的硬件設備所做操作內容;對通過KVM交換機操作所管理的硬件設備,進行錄屏;對通過串口交換機操作所管理的網絡設備,進行字符串的記錄;且具有能夠基于用戶名稱、管理類型、訪問時間等進行檢索,支持關鍵字排序,可以根據周期性時間檢索。該審核系統必須有相應的授權認證才能查看內容,能夠實現與帶外管理平臺無縫連接,能夠存儲較大數據量的審計內容。(5)在數據中心操作室部署8臺帶外管理操作終端,并接入網管網,實現通過帶外管理系統對數據中心機房內的服務器及網絡設備和各二級單位及所轄基層單位機房內的部分網絡設備進行遠程訪問、管理和維護。

　　3.1.2二級單位及所轄基層單位機房內的網絡設備帶外管理系統部署方案二級單位及所轄基層單位機房內的網絡設備僅管理部分路由器、交換機和防火墻。在二級單位機房內部署具有遠程撥號管理功能的16口的數字串口交換機2,通過串口轉換線連接所管網絡設備;在每個二級單位所轄基層單位的機房內部署具有遠程撥號管理功能的8口的數字串口交換機3,通過串口轉換線連接所管網絡設備;所有數字串口交換機2和數字串口交換機3通過網絡端口上連至網管網。數據中心機房的管理員可以通過廣域網和撥號網絡2條鏈路來管理各二級單位和基層單位的主要網絡設備。具體帶外管理系統部署方案如圖6。當廣域網鏈路出現中斷時,通過撥號網絡使用PSTN網建立撥號連接,通過128位的SSH加密通道傳輸字符,在保證安全前提下及時連接至遠端機房的串口交換機,實現對被管設備的遠程管理維護。

　　3.2帶內審計系統建設方案

　　在內蒙古電力公司數據中心部署1臺安全審計服務器,通過網絡安全控制只允許其對服務器和網絡設備具有Telnet、SSH等網絡協議的訪問權限。在特定情況下管理員需通過網絡協議對服務器和網絡設備進行訪問時,管理員需先登錄到帶內審計系統,通過其使用SSH、Telnet、RDP、IE管理工具等,對所管理設備進行操作。帶內審計系統記錄管理員管理服務器Windows系統、Linux和UNIX等界面和管理路由器、交換機、防火墻等網絡設備的字符界面的操作內容。帶內審計部署方案如圖7所示。帶內審計系統記錄所有帶內的操作過程,為了符合法規章程,審計內容需離線保存。一期工程采用過渡性方案,將審計數據保存在設備本地,二期工程建設中將把審計數據備份到其他介質。

　　4系統應用效果

　　4.1帶外管理系統

　　4.1.1提高突發故障處理能力帶外管理能夠使運維管理人員通過專用管理網絡對機房網絡設備、服務器設備、電源系統進行集中管理和遠程維護。即使在數據網絡發生故障或者設備宕機情況下,運維管理人員仍可通過帶外網管系統到達故障設備進行遠程管理和維護,提高網絡系統的延續性和可用性,大大提高企業IT網絡突發故障的應急處理能力[4]。

　　4.1.2實現運維審計功能運維管理人員通過統一的管理界面對分布式網絡系統IT設備進行集中管理和維護,對全部管理維護數據進行集中記錄,記錄內容包括管理員身份信息、登錄時間、操作內容、退出時間等。

　　4.1.3精細化運維管理帶外管理系統具有權限分級管理、端口分組管理和設備分組管理功能,通過上述功能對運維管理人員身份、管理權限、管理范圍進行嚴格界定,不同級別管理員登錄系統后只能看到有管理權限和監控權限的設備列表,分工精細,責任明確。

　　4.1.4互助運維,責任明確帶外管理支持多進程(6個并發)訪問功能,各級別運維管理人員通過多進程訪問功能實現互助式協作運維。高級別運維管理人員可以對低級別運維管理人員管理過程進行全程監控,必要時可以強制接管運維管理進程。

　　4.1.5支持強健的安全特性(1)帶外管理系統支持128-bit、SSHv2、SSLv3數據加密技術,運維管理人員的管理控制信息都將以加密方式傳送至被管理設備,確保管理數據安全。(2)帶外管理系統支持LDAP、SecurID、TACACS+、NIS、Kerberos、RADIUS等身份認證系統,通過以上身份認證系統對運維管理人員的身份、管理權限、管理范圍進行界定,防止未經授權用戶非法訪問。(3)IP地址過濾技術可自由定義允許訪問或不允許訪問的IP地址列表,根據訪問控制IP地址列表進行過濾或攔截用戶訪問。

　　4.2帶內審計系統

　　(1)系統審計:可以審計管理員或廠商支持人員登錄后進行的操作,并將操作以錄像方式進行存盤,可對其行為進行基于命令的分析。(2)認證管理:可以對密碼進行托管,并且強制用戶使用一次性口令進行登錄。(3)權限管理:基于用戶或組,限制用戶能接入的目標服務器。(4)文件審計:可以審計系統主機和網絡設備配置文件是否被修改,若被修改可直接通知相應管理員。(5)越權管理:支持越權登錄告警,當用戶未使用統一審計系統登錄時,系統能夠及時發現并且發出告警通知審計人員[5]。(6)平滑拓撲:系統上線不改變當前的網絡拓撲結構,系統出現問題時不影響業務正常運行。

　　5結語

　　內蒙古電力公司經過帶內審計和帶外管理系統一期、二期工程建設,已實現了數據中心機房對服務器和網絡設備的審計、對被授權人員和系統網絡行為進行記錄和事故回放等功能,且完成了7個盟(市)供電局及所屬基層分局機房的帶內帶外設備的部署及管理。三期工程預期還將完成4個盟(市)供電局及所屬基層分局帶外設備的安裝部署,逐步實現數據中心的集中化管理

【帶外管理和帶內審計的性論文】相關文章：

綜合性海岸帶規劃研究的論文04-14

包含內和外的成語及解釋03-08

開學內宿帶什么東西08-24

納蘭性德經典詩詞帶圖11-21

空調內循環和外循環的區別08-28

帶雞和狗的成語03-27

帶兔和蛇的成語04-11

帶雞和蛇的成語04-11

帶鬼和蛇的成語04-11