帶外管理和帶內(nèi)審計(jì)的性論文

帶外管理和帶內(nèi)審計(jì)的實(shí)用性論文

　　1帶外管理和帶內(nèi)審計(jì)系統(tǒng)設(shè)計(jì)目標(biāo)

　　1.1總體建設(shè)目標(biāo)

　　針對(duì)數(shù)據(jù)中心機(jī)房運(yùn)維存在的潛在風(fēng)險(xiǎn)和安全隱患,為了滿(mǎn)足數(shù)據(jù)中心機(jī)房設(shè)備的集中化管理要求,按照集中方式建設(shè)機(jī)房,即建立完備的通信機(jī)房集中管理方案,保障維護(hù)人員能夠安全、可靠地登錄到IT設(shè)備上進(jìn)行操作�？傮w建設(shè)目標(biāo)為:建設(shè)一套具有內(nèi)容審計(jì)功能的帶外管理平臺(tái),實(shí)現(xiàn)對(duì)服務(wù)器和網(wǎng)絡(luò)設(shè)備進(jìn)行管理維護(hù);建設(shè)一套帶內(nèi)審計(jì)系統(tǒng),實(shí)現(xiàn)對(duì)通過(guò)Telnet、SSH等網(wǎng)絡(luò)協(xié)議登錄服務(wù)器及網(wǎng)絡(luò)設(shè)備所做操作的行為審計(jì)[2]。

　　1.2帶外管理系統(tǒng)建設(shè)目標(biāo)

　　通過(guò)建設(shè)帶外管理系統(tǒng),可以避免現(xiàn)有管理方式的不足,實(shí)現(xiàn)對(duì)服務(wù)器和整個(gè)網(wǎng)絡(luò)的關(guān)鍵設(shè)備進(jìn)行可審計(jì)的管理和維護(hù),確保公司業(yè)務(wù)系統(tǒng)的穩(wěn)定運(yùn)行和快速排除故障。同時(shí),對(duì)機(jī)房?jī)?nèi)所有設(shè)備的監(jiān)控和操作都在操作室內(nèi)進(jìn)行,不允許人員隨意進(jìn)出機(jī)房,對(duì)機(jī)房進(jìn)行完全封閉管理,減輕人員對(duì)機(jī)房環(huán)境的影響。

　　1.3帶內(nèi)審計(jì)系統(tǒng)建設(shè)目標(biāo)

　　通過(guò)建設(shè)帶內(nèi)審計(jì)系統(tǒng),可以采取實(shí)時(shí)監(jiān)控審計(jì)操作行為,控制業(yè)務(wù)運(yùn)行的異常風(fēng)險(xiǎn),加強(qiáng)公司遠(yuǎn)程管理規(guī)范,通過(guò)對(duì)被授權(quán)人員和系統(tǒng)的網(wǎng)絡(luò)行為進(jìn)行記錄、回放、分析,做到事后合規(guī)報(bào)告、事故追蹤回放,加強(qiáng)內(nèi)、外部網(wǎng)絡(luò)行為監(jiān)管(服務(wù)器、網(wǎng)絡(luò)設(shè)備等),保護(hù)用戶(hù)信息和數(shù)據(jù)不被泄漏和篡改,保障業(yè)務(wù)系統(tǒng)的正常運(yùn)營(yíng),防止安全事件的發(fā)生,減少設(shè)備故障處理的時(shí)間,減輕維護(hù)壓力,降低人力成本,提高工作效率,控制運(yùn)維風(fēng)險(xiǎn),提升公司安全管理水平與安全控制能力。

　　2系統(tǒng)建設(shè)技術(shù)路線

　　2.1帶外管理系統(tǒng)技術(shù)路線

　　(1)在內(nèi)蒙古電力公司數(shù)據(jù)中心機(jī)房建設(shè)一套帶外管理平臺(tái),帶外管理的受管設(shè)備包括路由器、交換機(jī)、防火墻及各種服務(wù)器。(2)在列頭柜上可以實(shí)現(xiàn)對(duì)本列機(jī)柜中所有設(shè)備的本地管理。(3)維護(hù)人員在監(jiān)控室內(nèi)能夠?qū)崿F(xiàn)對(duì)所管理設(shè)備的監(jiān)控和維護(hù)。(4)通過(guò)賬號(hào)和統(tǒng)一界面可以實(shí)現(xiàn)錄屏和審計(jì)功能。(5)二級(jí)單位(僅管理網(wǎng)絡(luò)設(shè)備)共11個(gè),進(jìn)行帶外設(shè)備安裝,實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的遠(yuǎn)程管理。(6)數(shù)據(jù)中心安裝32口KVM交換機(jī),實(shí)現(xiàn)8路并發(fā),各二級(jí)單位安裝16口串口交換機(jī)(內(nèi)置有Modem),分局安裝8口串口交換機(jī)(內(nèi)置有Modem)。(7)根據(jù)現(xiàn)有服務(wù)器規(guī)劃新建系統(tǒng)所需服務(wù)器數(shù)量,在每列列頭柜中安裝32口KVM交換機(jī)。(8)帶外管理系統(tǒng)單獨(dú)建網(wǎng),不接入現(xiàn)有的生產(chǎn)網(wǎng)絡(luò)。(9)帶外管理可以連接到小型機(jī)的HMC或直接連接到小型機(jī)上,既可啟動(dòng)圖形界面,也可啟動(dòng)字符界面。

　　2.2帶內(nèi)審計(jì)系統(tǒng)技術(shù)路線

　　(1)能對(duì)內(nèi)蒙古電力數(shù)據(jù)中心運(yùn)維人員的日常監(jiān)控、維護(hù)工作和托管用戶(hù)的遠(yuǎn)程操作與維護(hù)進(jìn)行監(jiān)管。(2)能對(duì)目前常用的遠(yuǎn)程維護(hù)訪問(wèn)方式(涉及Telnet/ftp/SSH/VNC/RDP)進(jìn)行控制,記錄并實(shí)時(shí)上報(bào)所有違規(guī)訪問(wèn)行為,從而實(shí)現(xiàn)對(duì)非授權(quán)用戶(hù)的非法訪問(wèn)控制。(3)能對(duì)目前常用的遠(yuǎn)程維護(hù)訪問(wèn)方式(涉及Telnet/ftp/SSH/VNC/RDP)進(jìn)行審計(jì),記錄運(yùn)維人員的全部操作,可跟蹤追溯,從而對(duì)內(nèi)部合法運(yùn)維人員實(shí)現(xiàn)有效監(jiān)管。(4)設(shè)備部署控制方式要靈活,既可以提供代理模式,也可以采用旁路偵聽(tīng)的方式實(shí)現(xiàn)訪問(wèn)控制,從而滿(mǎn)足不同的業(yè)務(wù)需求。(5)能迅速定位設(shè)備故障,并及時(shí)響應(yīng),可提供遠(yuǎn)程執(zhí)行開(kāi)啟、關(guān)閉和重啟操作,減輕運(yùn)維人員的維護(hù)壓力。(6)必須提供對(duì)運(yùn)維人員的集中管理,設(shè)置訪問(wèn)權(quán)限與管理范圍。(7)系統(tǒng)提供的審計(jì)信息要直觀易懂,報(bào)警要及時(shí)快捷,報(bào)表數(shù)據(jù)要準(zhǔn)確完善。(8)系統(tǒng)要提供自審計(jì)功能,包含所有運(yùn)維管理人員的操作記錄以及系統(tǒng)的運(yùn)行日志。(9)系統(tǒng)網(wǎng)絡(luò)架構(gòu)簡(jiǎn)單靈活,不影響目前業(yè)務(wù)系統(tǒng)的'正常運(yùn)行,不占用網(wǎng)絡(luò)帶寬。(10)系統(tǒng)能夠?qū)崿F(xiàn)單點(diǎn)登錄,運(yùn)維管理人員不需要記錄和查看設(shè)備密碼,提升密碼的安全性。

　　3系統(tǒng)整體建設(shè)方案分析

　　3.1帶外管理系統(tǒng)建設(shè)方案

　　根據(jù)帶外管理系統(tǒng)建設(shè)目標(biāo)與技術(shù)路線,進(jìn)行了帶外管理系統(tǒng)方案設(shè)計(jì),內(nèi)蒙古電力公司帶外管理系統(tǒng)的總體方案架構(gòu)如圖4所示。在數(shù)據(jù)中心服務(wù)器區(qū)部署數(shù)字KVM交換機(jī)連接小型機(jī)和PC服務(wù)器;在網(wǎng)絡(luò)設(shè)備區(qū)部署數(shù)字串口交換機(jī)連接網(wǎng)絡(luò)設(shè)備;在二級(jí)單位及所轄基層單位部署數(shù)字串口交換機(jī)連接網(wǎng)絡(luò)設(shè)備;所有數(shù)字KVM交換機(jī)和數(shù)字串口交換機(jī)上聯(lián)至網(wǎng)管網(wǎng),由放置在數(shù)據(jù)中心機(jī)房的帶外管理平臺(tái)統(tǒng)一管理;在數(shù)據(jù)中心機(jī)房部署帶外審計(jì)設(shè)備,審計(jì)用戶(hù)通過(guò)帶外管理平臺(tái)對(duì)機(jī)房?jī)?nèi)的小型機(jī)、HMC、PC服務(wù)器和網(wǎng)絡(luò)設(shè)備等各種類(lèi)型、各種平臺(tái)的硬件設(shè)備所做操作內(nèi)容;在數(shù)據(jù)中心操作室部署帶外管理操作終端,管理員非特殊情況均在此通過(guò)帶外管理系統(tǒng)進(jìn)行設(shè)備管理和維護(hù)[3]。

　　3.1.1數(shù)據(jù)中心的帶外管理系統(tǒng)部署方案(1)在內(nèi)蒙古電力公司數(shù)據(jù)中心機(jī)房部署一套帶外管理平臺(tái),由2臺(tái)硬件設(shè)備組成,以主備方式運(yùn)行,連接至網(wǎng)管網(wǎng)。數(shù)據(jù)中心的帶外管理系統(tǒng)部署方案如圖5所示。(2)數(shù)據(jù)中心機(jī)房服務(wù)器區(qū)每列機(jī)柜內(nèi),服務(wù)器或HMC通過(guò)服務(wù)器接口轉(zhuǎn)換線上聯(lián)至柜頂配線架,在列頭柜通過(guò)柜內(nèi)配線架連接到部署在列頭柜內(nèi)的2臺(tái)32口8路并發(fā)的數(shù)字KVM交換機(jī),并且在列頭柜內(nèi)部署2套顯示器套件,實(shí)現(xiàn)本列服務(wù)器機(jī)房?jī)?nèi)本地管理;數(shù)字KVM交換機(jī)通過(guò)網(wǎng)絡(luò)端口上聯(lián)到網(wǎng)管網(wǎng),實(shí)現(xiàn)本列服務(wù)器遠(yuǎn)程管理。(3)數(shù)據(jù)中心機(jī)房網(wǎng)絡(luò)區(qū)每列機(jī)柜內(nèi),網(wǎng)絡(luò)設(shè)備通過(guò)串口轉(zhuǎn)換線上聯(lián)至柜頂配線架,在列頭柜通過(guò)柜內(nèi)配線架連接到部署在列頭柜內(nèi)的1臺(tái)32口數(shù)字串口交換機(jī)1上,并且在列頭柜內(nèi)部署顯示器套件,實(shí)現(xiàn)本列網(wǎng)絡(luò)設(shè)備機(jī)房?jī)?nèi)本地管理;數(shù)字串口交換機(jī)1通過(guò)網(wǎng)絡(luò)端口上連到網(wǎng)管網(wǎng),實(shí)現(xiàn)本列網(wǎng)絡(luò)設(shè)備遠(yuǎn)程管理。(4)在數(shù)據(jù)中心機(jī)房?jī)?nèi)部署1臺(tái)具有帶外管理平臺(tái)審計(jì)功能模塊功能的硬件設(shè)備,該審計(jì)模塊審計(jì)用戶(hù)通過(guò)帶外管理平臺(tái)對(duì)小型機(jī)、HMC、PC服務(wù)器和網(wǎng)絡(luò)設(shè)備等各種類(lèi)型、各種平臺(tái)的硬件設(shè)備所做操作內(nèi)容;對(duì)通過(guò)KVM交換機(jī)操作所管理的硬件設(shè)備,進(jìn)行錄屏;對(duì)通過(guò)串口交換機(jī)操作所管理的網(wǎng)絡(luò)設(shè)備,進(jìn)行字符串的記錄;且具有能夠基于用戶(hù)名稱(chēng)、管理類(lèi)型、訪問(wèn)時(shí)間等進(jìn)行檢索,支持關(guān)鍵字排序,可以根據(jù)周期性時(shí)間檢索。該審核系統(tǒng)必須有相應(yīng)的授權(quán)認(rèn)證才能查看內(nèi)容,能夠?qū)崿F(xiàn)與帶外管理平臺(tái)無(wú)縫連接,能夠存儲(chǔ)較大數(shù)據(jù)量的審計(jì)內(nèi)容。(5)在數(shù)據(jù)中心操作室部署8臺(tái)帶外管理操作終端,并接入網(wǎng)管網(wǎng),實(shí)現(xiàn)通過(guò)帶外管理系統(tǒng)對(duì)數(shù)據(jù)中心機(jī)房?jī)?nèi)的服務(wù)器及網(wǎng)絡(luò)設(shè)備和各二級(jí)單位及所轄基層單位機(jī)房?jī)?nèi)的部分網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程訪問(wèn)、管理和維護(hù)。

　　3.1.2二級(jí)單位及所轄基層單位機(jī)房?jī)?nèi)的網(wǎng)絡(luò)設(shè)備帶外管理系統(tǒng)部署方案二級(jí)單位及所轄基層單位機(jī)房?jī)?nèi)的網(wǎng)絡(luò)設(shè)備僅管理部分路由器、交換機(jī)和防火墻。在二級(jí)單位機(jī)房?jī)?nèi)部署具有遠(yuǎn)程撥號(hào)管理功能的16口的數(shù)字串口交換機(jī)2,通過(guò)串口轉(zhuǎn)換線連接所管網(wǎng)絡(luò)設(shè)備;在每個(gè)二級(jí)單位所轄基層單位的機(jī)房?jī)?nèi)部署具有遠(yuǎn)程撥號(hào)管理功能的8口的數(shù)字串口交換機(jī)3,通過(guò)串口轉(zhuǎn)換線連接所管網(wǎng)絡(luò)設(shè)備;所有數(shù)字串口交換機(jī)2和數(shù)字串口交換機(jī)3通過(guò)網(wǎng)絡(luò)端口上連至網(wǎng)管網(wǎng)。數(shù)據(jù)中心機(jī)房的管理員可以通過(guò)廣域網(wǎng)和撥號(hào)網(wǎng)絡(luò)2條鏈路來(lái)管理各二級(jí)單位和基層單位的主要網(wǎng)絡(luò)設(shè)備。具體帶外管理系統(tǒng)部署方案如圖6。當(dāng)廣域網(wǎng)鏈路出現(xiàn)中斷時(shí),通過(guò)撥號(hào)網(wǎng)絡(luò)使用PSTN網(wǎng)建立撥號(hào)連接,通過(guò)128位的SSH加密通道傳輸字符,在保證安全前提下及時(shí)連接至遠(yuǎn)端機(jī)房的串口交換機(jī),實(shí)現(xiàn)對(duì)被管設(shè)備的遠(yuǎn)程管理維護(hù)。

　　3.2帶內(nèi)審計(jì)系統(tǒng)建設(shè)方案

　　在內(nèi)蒙古電力公司數(shù)據(jù)中心部署1臺(tái)安全審計(jì)服務(wù)器,通過(guò)網(wǎng)絡(luò)安全控制只允許其對(duì)服務(wù)器和網(wǎng)絡(luò)設(shè)備具有Telnet、SSH等網(wǎng)絡(luò)協(xié)議的訪問(wèn)權(quán)限。在特定情況下管理員需通過(guò)網(wǎng)絡(luò)協(xié)議對(duì)服務(wù)器和網(wǎng)絡(luò)設(shè)備進(jìn)行訪問(wèn)時(shí),管理員需先登錄到帶內(nèi)審計(jì)系統(tǒng),通過(guò)其使用SSH、Telnet、RDP、IE管理工具等,對(duì)所管理設(shè)備進(jìn)行操作。帶內(nèi)審計(jì)系統(tǒng)記錄管理員管理服務(wù)器Windows系統(tǒng)、Linux和UNIX等界面和管理路由器、交換機(jī)、防火墻等網(wǎng)絡(luò)設(shè)備的字符界面的操作內(nèi)容。帶內(nèi)審計(jì)部署方案如圖7所示。帶內(nèi)審計(jì)系統(tǒng)記錄所有帶內(nèi)的操作過(guò)程,為了符合法規(guī)章程,審計(jì)內(nèi)容需離線保存。一期工程采用過(guò)渡性方案,將審計(jì)數(shù)據(jù)保存在設(shè)備本地,二期工程建設(shè)中將把審計(jì)數(shù)據(jù)備份到其他介質(zhì)。

　　4系統(tǒng)應(yīng)用效果

　　4.1帶外管理系統(tǒng)

　　4.1.1提高突發(fā)故障處理能力帶外管理能夠使運(yùn)維管理人員通過(guò)專(zhuān)用管理網(wǎng)絡(luò)對(duì)機(jī)房網(wǎng)絡(luò)設(shè)備、服務(wù)器設(shè)備、電源系統(tǒng)進(jìn)行集中管理和遠(yuǎn)程維護(hù)。即使在數(shù)據(jù)網(wǎng)絡(luò)發(fā)生故障或者設(shè)備宕機(jī)情況下,運(yùn)維管理人員仍可通過(guò)帶外網(wǎng)管系統(tǒng)到達(dá)故障設(shè)備進(jìn)行遠(yuǎn)程管理和維護(hù),提高網(wǎng)絡(luò)系統(tǒng)的延續(xù)性和可用性,大大提高企業(yè)IT網(wǎng)絡(luò)突發(fā)故障的應(yīng)急處理能力[4]。

　　4.1.2實(shí)現(xiàn)運(yùn)維審計(jì)功能運(yùn)維管理人員通過(guò)統(tǒng)一的管理界面對(duì)分布式網(wǎng)絡(luò)系統(tǒng)IT設(shè)備進(jìn)行集中管理和維護(hù),對(duì)全部管理維護(hù)數(shù)據(jù)進(jìn)行集中記錄,記錄內(nèi)容包括管理員身份信息、登錄時(shí)間、操作內(nèi)容、退出時(shí)間等。

　　4.1.3精細(xì)化運(yùn)維管理帶外管理系統(tǒng)具有權(quán)限分級(jí)管理、端口分組管理和設(shè)備分組管理功能,通過(guò)上述功能對(duì)運(yùn)維管理人員身份、管理權(quán)限、管理范圍進(jìn)行嚴(yán)格界定,不同級(jí)別管理員登錄系統(tǒng)后只能看到有管理權(quán)限和監(jiān)控權(quán)限的設(shè)備列表,分工精細(xì),責(zé)任明確。

　　4.1.4互助運(yùn)維,責(zé)任明確帶外管理支持多進(jìn)程(6個(gè)并發(fā))訪問(wèn)功能,各級(jí)別運(yùn)維管理人員通過(guò)多進(jìn)程訪問(wèn)功能實(shí)現(xiàn)互助式協(xié)作運(yùn)維。高級(jí)別運(yùn)維管理人員可以對(duì)低級(jí)別運(yùn)維管理人員管理過(guò)程進(jìn)行全程監(jiān)控,必要時(shí)可以強(qiáng)制接管運(yùn)維管理進(jìn)程。

　　4.1.5支持強(qiáng)健的安全特性(1)帶外管理系統(tǒng)支持128-bit、SSHv2、SSLv3數(shù)據(jù)加密技術(shù),運(yùn)維管理人員的管理控制信息都將以加密方式傳送至被管理設(shè)備,確保管理數(shù)據(jù)安全。(2)帶外管理系統(tǒng)支持LDAP、SecurID、TACACS+、NIS、Kerberos、RADIUS等身份認(rèn)證系統(tǒng),通過(guò)以上身份認(rèn)證系統(tǒng)對(duì)運(yùn)維管理人員的身份、管理權(quán)限、管理范圍進(jìn)行界定,防止未經(jīng)授權(quán)用戶(hù)非法訪問(wèn)。(3)IP地址過(guò)濾技術(shù)可自由定義允許訪問(wèn)或不允許訪問(wèn)的IP地址列表,根據(jù)訪問(wèn)控制IP地址列表進(jìn)行過(guò)濾或攔截用戶(hù)訪問(wèn)。

　　4.2帶內(nèi)審計(jì)系統(tǒng)

　　(1)系統(tǒng)審計(jì):可以審計(jì)管理員或廠商支持人員登錄后進(jìn)行的操作,并將操作以錄像方式進(jìn)行存盤(pán),可對(duì)其行為進(jìn)行基于命令的分析。(2)認(rèn)證管理:可以對(duì)密碼進(jìn)行托管,并且強(qiáng)制用戶(hù)使用一次性口令進(jìn)行登錄。(3)權(quán)限管理:基于用戶(hù)或組,限制用戶(hù)能接入的目標(biāo)服務(wù)器。(4)文件審計(jì):可以審計(jì)系統(tǒng)主機(jī)和網(wǎng)絡(luò)設(shè)備配置文件是否被修改,若被修改可直接通知相應(yīng)管理員。(5)越權(quán)管理:支持越權(quán)登錄告警,當(dāng)用戶(hù)未使用統(tǒng)一審計(jì)系統(tǒng)登錄時(shí),系統(tǒng)能夠及時(shí)發(fā)現(xiàn)并且發(fā)出告警通知審計(jì)人員[5]。(6)平滑拓?fù)?系統(tǒng)上線不改變當(dāng)前的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),系統(tǒng)出現(xiàn)問(wèn)題時(shí)不影響業(yè)務(wù)正常運(yùn)行。

　　5結(jié)語(yǔ)

　　內(nèi)蒙古電力公司經(jīng)過(guò)帶內(nèi)審計(jì)和帶外管理系統(tǒng)一期、二期工程建設(shè),已實(shí)現(xiàn)了數(shù)據(jù)中心機(jī)房對(duì)服務(wù)器和網(wǎng)絡(luò)設(shè)備的審計(jì)、對(duì)被授權(quán)人員和系統(tǒng)網(wǎng)絡(luò)行為進(jìn)行記錄和事故回放等功能,且完成了7個(gè)盟(市)供電局及所屬基層分局機(jī)房的帶內(nèi)帶外設(shè)備的部署及管理。三期工程預(yù)期還將完成4個(gè)盟(市)供電局及所屬基層分局帶外設(shè)備的安裝部署,逐步實(shí)現(xiàn)數(shù)據(jù)中心的集中化管理

【帶外管理和帶內(nèi)審計(jì)的性論文】相關(guān)文章：

綜合性海岸帶規(guī)劃研究的論文04-14

包含內(nèi)和外的成語(yǔ)及解釋03-08

開(kāi)學(xué)內(nèi)宿帶什么東西08-24

納蘭性德經(jīng)典詩(shī)詞帶圖11-21

空調(diào)內(nèi)循環(huán)和外循環(huán)的區(qū)別08-28

帶雞和狗的成語(yǔ)03-27

帶兔和蛇的成語(yǔ)04-11

帶雞和蛇的成語(yǔ)04-11

帶鬼和蛇的成語(yǔ)04-11