带外管理和带内审计的实用性论文
1带外管理和带内审计系统设计目标
1.1总体建设目标
针对数据中心机房运维存在的潜在风险和安全隐患,为了满足数据中心机房设备的集中化管理要求,按照集中方式建设机房,即建立完备的通信机房集中管理方案,保障维护人员能够安全、可靠地登录到IT设备上进行操作。总体建设目标为:建设一套具有内容审计功能的带外管理平台,实现对服务器和网络设备进行管理维护;建设一套带内审计系统,实现对通过Telnet、SSH等网络协议登录服务器及网络设备所做操作的行为审计[2]。
1.2带外管理系统建设目标
通过建设带外管理系统,可以避免现有管理方式的不足,实现对服务器和整个网络的关键设备进行可审计的管理和维护,确保公司业务系统的稳定运行和快速排除故障。同时,对机房内所有设备的监控和操作都在操作室内进行,不允许人员随意进出机房,对机房进行完全封闭管理,减轻人员对机房环境的影响。
1.3带内审计系统建设目标
通过建设带内审计系统,可以采取实时监控审计操作行为,控制业务运行的异常风险,加强公司远程管理规范,通过对被授权人员和系统的网络行为进行记录、回放、分析,做到事后合规报告、事故追踪回放,加强内、外部网络行为监管(服务器、网络设备等),保护用户信息和数据不被泄漏和篡改,保障业务系统的正常运营,防止安全事件的发生,减少设备故障处理的时间,减轻维护压力,降低人力成本,提高工作效率,控制运维风险,提升公司安全管理水平与安全控制能力。
2系统建设技术路线
2.1带外管理系统技术路线
(1)在内蒙古电力公司数据中心机房建设一套带外管理平台,带外管理的受管设备包括路由器、交换机、防火墙及各种服务器。(2)在列头柜上可以实现对本列机柜中所有设备的本地管理。(3)维护人员在监控室内能够实现对所管理设备的监控和维护。(4)通过账号和统一界面可以实现录屏和审计功能。(5)二级单位(仅管理网络设备)共11个,进行带外设备安装,实现网络设备的远程管理。(6)数据中心安装32口KVM交换机,实现8路并发,各二级单位安装16口串口交换机(内置有Modem),分局安装8口串口交换机(内置有Modem)。(7)根据现有服务器规划新建系统所需服务器数量,在每列列头柜中安装32口KVM交换机。(8)带外管理系统单独建网,不接入现有的生产网络。(9)带外管理可以连接到小型机的HMC或直接连接到小型机上,既可启动图形界面,也可启动字符界面。
2.2带内审计系统技术路线
(1)能对内蒙古电力数据中心运维人员的日常监控、维护工作和托管用户的远程操作与维护进行监管。(2)能对目前常用的远程维护访问方式(涉及Telnet/ftp/SSH/VNC/RDP)进行控制,记录并实时上报所有违规访问行为,从而实现对非授权用户的非法访问控制。(3)能对目前常用的远程维护访问方式(涉及Telnet/ftp/SSH/VNC/RDP)进行审计,记录运维人员的全部操作,可跟踪追溯,从而对内部合法运维人员实现有效监管。(4)设备部署控制方式要灵活,既可以提供代理模式,也可以采用旁路侦听的方式实现访问控制,从而满足不同的业务需求。(5)能迅速定位设备故障,并及时响应,可提供远程执行开启、关闭和重启操作,减轻运维人员的维护压力。(6)必须提供对运维人员的集中管理,设置访问权限与管理范围。(7)系统提供的审计信息要直观易懂,报警要及时快捷,报表数据要准确完善。(8)系统要提供自审计功能,包含所有运维管理人员的操作记录以及系统的运行日志。(9)系统网络架构简单灵活,不影响目前业务系统的正常运行,不占用网络带宽。(10)系统能够实现单点登录,运维管理人员不需要记录和查看设备密码,提升密码的安全性。
3系统整体建设方案分析
3.1带外管理系统建设方案
根据带外管理系统建设目标与技术路线,进行了带外管理系统方案设计,内蒙古电力公司带外管理系统的总体方案架构如图4所示。在数据中心服务器区部署数字KVM交换机连接小型机和PC服务器;在网络设备区部署数字串口交换机连接网络设备;在二级单位及所辖基层单位部署数字串口交换机连接网络设备;所有数字KVM交换机和数字串口交换机上联至网管网,由放置在数据中心机房的带外管理平台统一管理;在数据中心机房部署带外审计设备,审计用户通过带外管理平台对机房内的小型机、HMC、PC服务器和网络设备等各种类型、各种平台的硬件设备所做操作内容;在数据中心操作室部署带外管理操作终端,管理员非特殊情况均在此通过带外管理系统进行设备管理和维护[3]。
3.1.1数据中心的带外管理系统部署方案(1)在内蒙古电力公司数据中心机房部署一套带外管理平台,由2台硬件设备组成,以主备方式运行,连接至网管网。数据中心的带外管理系统部署方案如图5所示。(2)数据中心机房服务器区每列机柜内,服务器或HMC通过服务器接口转换线上联至柜顶配线架,在列头柜通过柜内配线架连接到部署在列头柜内的2台32口8路并发的数字KVM交换机,并且在列头柜内部署2套显示器套件,实现本列服务器机房内本地管理;数字KVM交换机通过网络端口上联到网管网,实现本列服务器远程管理。(3)数据中心机房网络区每列机柜内,网络设备通过串口转换线上联至柜顶配线架,在列头柜通过柜内配线架连接到部署在列头柜内的1台32口数字串口交换机1上,并且在列头柜内部署显示器套件,实现本列网络设备机房内本地管理;数字串口交换机1通过网络端口上连到网管网,实现本列网络设备远程管理。(4)在数据中心机房内部署1台具有带外管理平台审计功能模块功能的硬件设备,该审计模块审计用户通过带外管理平台对小型机、HMC、PC服务器和网络设备等各种类型、各种平台的硬件设备所做操作内容;对通过KVM交换机操作所管理的硬件设备,进行录屏;对通过串口交换机操作所管理的网络设备,进行字符串的记录;且具有能够基于用户名称、管理类型、访问时间等进行检索,支持关键字排序,可以根据周期性时间检索。该审核系统必须有相应的授权认证才能查看内容,能够实现与带外管理平台无缝连接,能够存储较大数据量的审计内容。(5)在数据中心操作室部署8台带外管理操作终端,并接入网管网,实现通过带外管理系统对数据中心机房内的服务器及网络设备和各二级单位及所辖基层单位机房内的部分网络设备进行远程访问、管理和维护。
3.1.2二级单位及所辖基层单位机房内的网络设备带外管理系统部署方案二级单位及所辖基层单位机房内的网络设备仅管理部分路由器、交换机和防火墙。在二级单位机房内部署具有远程拨号管理功能的16口的数字串口交换机2,通过串口转换线连接所管网络设备;在每个二级单位所辖基层单位的机房内部署具有远程拨号管理功能的8口的数字串口交换机3,通过串口转换线连接所管网络设备;所有数字串口交换机2和数字串口交换机3通过网络端口上连至网管网。数据中心机房的管理员可以通过广域网和拨号网络2条链路来管理各二级单位和基层单位的主要网络设备。具体带外管理系统部署方案如图6。当广域网链路出现中断时,通过拨号网络使用PSTN网建立拨号连接,通过128位的SSH加密通道传输字符,在保证安全前提下及时连接至远端机房的串口交换机,实现对被管设备的远程管理维护。
3.2带内审计系统建设方案
在内蒙古电力公司数据中心部署1台安全审计服务器,通过网络安全控制只允许其对服务器和网络设备具有Telnet、SSH等网络协议的访问权限。在特定情况下管理员需通过网络协议对服务器和网络设备进行访问时,管理员需先登录到带内审计系统,通过其使用SSH、Telnet、RDP、IE管理工具等,对所管理设备进行操作。带内审计系统记录管理员管理服务器Windows系统、Linux和UNIX等界面和管理路由器、交换机、防火墙等网络设备的字符界面的操作内容。带内审计部署方案如图7所示。带内审计系统记录所有带内的操作过程,为了符合法规章程,审计内容需离线保存。一期工程采用过渡性方案,将审计数据保存在设备本地,二期工程建设中将把审计数据备份到其他介质。
4系统应用效果
4.1带外管理系统
4.1.1提高突发故障处理能力带外管理能够使运维管理人员通过专用管理网络对机房网络设备、服务器设备、电源系统进行集中管理和远程维护。即使在数据网络发生故障或者设备宕机情况下,运维管理人员仍可通过带外网管系统到达故障设备进行远程管理和维护,提高网络系统的延续性和可用性,大大提高企业IT网络突发故障的应急处理能力[4]。
4.1.2实现运维审计功能运维管理人员通过统一的管理界面对分布式网络系统IT设备进行集中管理和维护,对全部管理维护数据进行集中记录,记录内容包括管理员身份信息、登录时间、操作内容、退出时间等。
4.1.3精细化运维管理带外管理系统具有权限分级管理、端口分组管理和设备分组管理功能,通过上述功能对运维管理人员身份、管理权限、管理范围进行严格界定,不同级别管理员登录系统后只能看到有管理权限和监控权限的设备列表,分工精细,责任明确。
4.1.4互助运维,责任明确带外管理支持多进程(6个并发)访问功能,各级别运维管理人员通过多进程访问功能实现互助式协作运维。高级别运维管理人员可以对低级别运维管理人员管理过程进行全程监控,必要时可以强制接管运维管理进程。
4.1.5支持强健的安全特性(1)带外管理系统支持128-bit、SSHv2、SSLv3数据加密技术,运维管理人员的管理控制信息都将以加密方式传送至被管理设备,确保管理数据安全。(2)带外管理系统支持LDAP、SecurID、TACACS+、NIS、Kerberos、RADIUS等身份认证系统,通过以上身份认证系统对运维管理人员的身份、管理权限、管理范围进行界定,防止未经授权用户非法访问。(3)IP地址过滤技术可自由定义允许访问或不允许访问的IP地址列表,根据访问控制IP地址列表进行过滤或拦截用户访问。
4.2带内审计系统
(1)系统审计:可以审计管理员或厂商支持人员登录后进行的操作,并将操作以录像方式进行存盘,可对其行为进行基于命令的分析。(2)认证管理:可以对密码进行托管,并且强制用户使用一次性口令进行登录。(3)权限管理:基于用户或组,限制用户能接入的目标服务器。(4)文件审计:可以审计系统主机和网络设备配置文件是否被修改,若被修改可直接通知相应管理员。(5)越权管理:支持越权登录告警,当用户未使用统一审计系统登录时,系统能够及时发现并且发出告警通知审计人员[5]。(6)平滑拓扑:系统上线不改变当前的网络拓扑结构,系统出现问题时不影响业务正常运行。
5结语
内蒙古电力公司经过带内审计和带外管理系统一期、二期工程建设,已实现了数据中心机房对服务器和网络设备的审计、对被授权人员和系统网络行为进行记录和事故回放等功能,且完成了7个盟(市)供电局及所属基层分局机房的带内带外设备的部署及管理。三期工程预期还将完成4个盟(市)供电局及所属基层分局带外设备的安装部署,逐步实现数据中心的集中化管理
本文标签:
[!--temp.ykpl--]