隨著數(shù)據(jù)中心IT基礎(chǔ)設(shè)施規(guī)模的不斷擴(kuò)大，因系統(tǒng)或平臺(tái)的異構(gòu)性、運(yùn)維手段的多樣性而產(chǎn)生的統(tǒng)一管理需求日益顯現(xiàn)。同時(shí)，因運(yùn)維人員眾多、角色復(fù)雜、賬號(hào)共享和運(yùn)維過(guò)程不透明而導(dǎo)致的運(yùn)維風(fēng)險(xiǎn)也不可忽視。

　　實(shí)際運(yùn)維過(guò)程中，數(shù)據(jù)中心管理者一直在被以下問(wèn)題困擾著：

　　☆管理員身份被惡意冒用，執(zhí)行非法操作，出現(xiàn)問(wèn)題無(wú)法進(jìn)行身份確認(rèn)責(zé)任追查;

　　☆運(yùn)維管理人員所管理的機(jī)器數(shù)量和帳號(hào)數(shù)量均異常眾多，往往導(dǎo)致密碼策略的實(shí)施流于形式;

　　☆對(duì)用戶名和密碼的授權(quán)方式不可控;

　　☆管理員的越權(quán)訪問(wèn)、誤操作將導(dǎo)致業(yè)務(wù)系統(tǒng)工作中斷;

　　☆第三方代維人員在運(yùn)維過(guò)程中一旦執(zhí)行危險(xiǎn)操作或私自下載，將導(dǎo)致系統(tǒng)癱瘓和機(jī)密信息泄露;

　　☆事故發(fā)生后無(wú)法定位問(wèn)題、追溯源由、緊急恢復(fù)和追查責(zé)任。

　　據(jù)統(tǒng)計(jì)，僅2011年至2012年期間，因數(shù)據(jù)中心內(nèi)部IT運(yùn)維人員的誤操作或越權(quán)訪問(wèn)，給數(shù)據(jù)中心管理者所帶來(lái)的損失就高達(dá)數(shù)百億元。

　　因此，數(shù)據(jù)中心運(yùn)營(yíng)管理者們，提出了以下風(fēng)險(xiǎn)控管需求：

　　★解決數(shù)據(jù)中心分散的IT運(yùn)維問(wèn)題，提高運(yùn)維管理效率;

　　★解決運(yùn)維人員的帳號(hào)共享問(wèn)題，實(shí)現(xiàn)人員與行為對(duì)應(yīng);

　　★解決多用戶角色密碼管理問(wèn)題，提高密碼管理安全性;

　　★建立有效的運(yùn)維監(jiān)管措施，防范潛在的運(yùn)維操作風(fēng)險(xiǎn);

　　★建立完善的風(fēng)險(xiǎn)控管體系，符合行業(yè)法規(guī)對(duì)安全需求。

　　針對(duì)數(shù)據(jù)中心用戶的業(yè)務(wù)需求及業(yè)務(wù)現(xiàn)狀，德訊科技提供了一套IT設(shè)施運(yùn)維操作審計(jì)(堡壘主機(jī))解決方案，采用“DCLive+ICS”聯(lián)合部署模式，為各地市級(jí)運(yùn)維人員提供一個(gè)統(tǒng)一的操作平臺(tái)，突破地域、時(shí)空、時(shí)間的限制，基于WEB瀏覽器即可實(shí)現(xiàn)如字符型會(huì)話、圖形訪問(wèn)、數(shù)據(jù)庫(kù)管理及其他應(yīng)用類運(yùn)維操作等相關(guān)運(yùn)維需求。

　　此外，方案為數(shù)據(jù)中心管理人員提供一個(gè)集中化的審計(jì)平臺(tái)：事中可實(shí)時(shí)監(jiān)視系統(tǒng)內(nèi)所有會(huì)話訪問(wèn)與操作行為，事后第一時(shí)間可及時(shí)審查整個(gè)運(yùn)維過(guò)程。該方案從技術(shù)上保障了電信行業(yè)數(shù)據(jù)中心“分布式運(yùn)維操作，集中式監(jiān)控審計(jì)”的安全管理目標(biāo)。

　　本方案部署如圖1所示：

圖1 德訊科技運(yùn)維操作審計(jì)(堡壘主機(jī))解決方案部署圖

　　德訊科技IT設(shè)施運(yùn)維操作審計(jì)(堡壘主機(jī))解決方案具備以下五大部署特點(diǎn)：

　　1.利用原有網(wǎng)絡(luò)拓?fù)浼軜?gòu)，安裝部署簡(jiǎn)便，無(wú)需加裝任何客戶端代理，不影響任何業(yè)務(wù)數(shù)據(jù)流;

　　2.將ICS設(shè)備分布式部署于各地級(jí)市，實(shí)現(xiàn)本地化運(yùn)維，獨(dú)立化操作，互不干擾;

　　3.部署兩臺(tái)ICS設(shè)備，共同分擔(dān)局域網(wǎng)內(nèi)并發(fā)會(huì)話的壓力，實(shí)現(xiàn)各分支網(wǎng)絡(luò)負(fù)載均衡;

　　4.將DCLive管理平臺(tái)部署于省級(jí)中心機(jī)房，實(shí)現(xiàn)對(duì)下級(jí)分支機(jī)構(gòu)所有運(yùn)維過(guò)程的集中監(jiān)視、控制、管理與審計(jì);

　　5.HA部署主備兩臺(tái)DCLive設(shè)備，以保障數(shù)據(jù)完整性以及整個(gè)系統(tǒng)的防災(zāi)恢復(fù)。

　　通過(guò)本方案的應(yīng)用，能夠?qū)崿F(xiàn)以下應(yīng)用價(jià)值：

　　一、為數(shù)據(jù)中心用戶提供了統(tǒng)一的運(yùn)維平臺(tái)。

　　方案提供統(tǒng)一的WEB管理入口，對(duì)登陸用戶身份的合法性實(shí)施統(tǒng)一認(rèn)證;系統(tǒng)自帶字符類/圖形類/應(yīng)用類多種運(yùn)維工具，無(wú)需運(yùn)維客戶端即可自行安裝，避免運(yùn)維過(guò)程中出現(xiàn)工具不全面，版本不兼容等問(wèn)題;支持會(huì)話代理訪問(wèn)通道的建立，改變?cè)斜镜乜蛻舳酥苯影l(fā)起會(huì)話的運(yùn)維模式，實(shí)現(xiàn)對(duì)運(yùn)維過(guò)程的有效監(jiān)控與審計(jì)。

　　二、實(shí)現(xiàn)雙人授權(quán)訪問(wèn)控制，保障運(yùn)維安全。

　　依據(jù)行業(yè)安全等級(jí)保護(hù)標(biāo)準(zhǔn)，方案能夠?qū)崿F(xiàn)雙人授權(quán)訪問(wèn)控制策略管理。權(quán)限范圍內(nèi)的任何一人登陸運(yùn)維平臺(tái)，即使通過(guò)身份認(rèn)證，也不能獨(dú)自執(zhí)行會(huì)話操作，必須要得到策略內(nèi)另一用戶的授權(quán)。系統(tǒng)支持本地口令輸入及遠(yuǎn)程身份認(rèn)證兩種授權(quán)方式。主要通過(guò)提升授權(quán)管理的細(xì)粒度，保障核心設(shè)備、關(guān)鍵業(yè)務(wù)以及第三方運(yùn)維操作的合規(guī)性、安全性。

　　三、提供事后全面審計(jì)，保證操作留痕。

　　方案提供網(wǎng)內(nèi)運(yùn)維管理全生命周期的審計(jì)，即采用流媒體形式記錄運(yùn)維人員登陸運(yùn)維網(wǎng)關(guān)至登出運(yùn)維網(wǎng)關(guān)的全過(guò)程，支持對(duì)字符、圖形、數(shù)據(jù)庫(kù)、WEB應(yīng)用等多種類型會(huì)話的全面審計(jì)。審計(jì)結(jié)果以操作日志及錄像相結(jié)合的形式呈現(xiàn)，符合4W (When/Where/Who/What)原則。同時(shí)，支持錄像回放、SQL語(yǔ)句、關(guān)鍵字符與審計(jì)錄像關(guān)聯(lián)定位與檢索，實(shí)現(xiàn)運(yùn)維操作過(guò)程的快速定位、精確跟蹤以及真實(shí)重現(xiàn)，協(xié)助審計(jì)人員對(duì)非法運(yùn)維操作節(jié)點(diǎn)的排查及故障責(zé)任的追溯，提升數(shù)據(jù)中心精細(xì)化、規(guī)范化的運(yùn)維安全管理水平。

　　德訊科技運(yùn)維操作審計(jì)(堡壘主機(jī))解決方案在運(yùn)維人員與IT設(shè)施之間設(shè)置了一道屏障，可以有效提高服務(wù)器等重要信息基礎(chǔ)架構(gòu)的安全級(jí)別，輔助對(duì)信息安全故障和安全事件的全面記錄和事后追溯定位，能夠有效幫助數(shù)據(jù)中心用戶彌補(bǔ)安全漏洞、完善系統(tǒng)安全防護(hù)體系，提高信息系統(tǒng)運(yùn)行的安全性和事件的追溯能力。

　　2013年，全新的一年，全新的開(kāi)始。為保障數(shù)據(jù)中心的運(yùn)維安全，安全操作審計(jì)，走起!