國外的教育界一直推崇這樣一句話:“一英里深,一英寸寬”。近年來,這句話在中國被廣泛接受和應用。IT行業作為科技革新的主力軍和排頭兵,許多IT從業者在進行研發的時候,更是將這句話奉為圭臬。
但是,當所有人都認為深度比寬度更重要的時候,另外一面又凸顯出來了:如果沒有寬度,又將如何滿足用戶的集約化管理需求?如果僅僅追求深度,又將如何滿足節約型社會的建設要求?
因此,在深度發掘用戶需求,力爭滿足用戶在某一領域中的特定IT基礎設施運營管理需求的同時,也應當注重從不同維度出發,滿足用戶通過一套解決方案即可完成對IT基礎設施進行運營管理的需求。
為了最大程度滿足用戶在不同維度的內網安全需求,減輕用戶的內網運維審計操作復雜度和工作強度,保障大型數據中心和各類企事業單位運維安全,德訊科技專門研發了以ICS2000網絡運維安全網關為基礎的數據中心網內運維審計解決方案。
德訊科技推出的這套網內運維審計解決方案,其體系架構由數據展現層、數據處理層及設備控制層構成,主要能夠實現兩大功能體系:運維人員對設備控制層集中運維操作體系;審計人員對設備控制層操作安全審計管理體系。
圖1網內運維審計解決方案體系架構圖
數據展現層:為運維人員提供運維與管理入口,通過B/S模式的運維管理控制臺(WEB管理平臺),可實現運維、認證、策略部署、安全審計等管理操作;
數據處理層:通過網絡運維安全網關(ICS2000)及虛擬運維網關(VOS)的組合部署,實現(Telnet/FTP/Rlogin/HTTP/HTTPS/SSH
/SFTP/RDP/VNC/Xwindows等)多協議會話代理、(PL-SQL、MS查詢分析器、DB2Quest、Radmin、PCAnywhere、ERP等)多種類應用程序發布、運維操作審計、報文處理等服務;
設備控制層:由數據中心機房服務器、網絡安全、存儲、路由等IT基礎設備組成,基于WEB管理平臺進行統一集中控管。
本套網內運維審計解決方案將ICS2000+VOS聯合部署于數據中心IT運營網絡中,無需調整和變動數據中心原有的網絡體系架構,即可實現對運維管理員運維操作的集中化管理及運維全過程的安全審計,能夠為數據中心建立全面的IT基礎設施網內運維審計體系。
圖2 IT基礎設施網內運維審計體系圖
該網內運維審計體系主要通過以下四方面,保證數據中心IT業務系統的穩定運行以及數據信息的安全可靠:
第一,變分散運維操作為集中運維管理
目前許多數據中心原先通過分散客戶端實現對目標設備運維的模式,該模式存在很大的弊端:其一,必須在每臺運維客戶端預裝所有C/S架構的運維工具;其二,運維工具版本需要更新時,只能逐一對每臺運維客戶端進行升級操作。
針對現有數據中心運維工具種類多、運維人員不集中、區域分散、跨網絡等管理特點,本方案采用ICS2000與VOS聯合部署平臺,實現對眾多運維工具、多類客戶端程序的統一安裝部署與集中管理。該銀行運維人員僅需通過B/S模式的WEB管理平臺入口,建立與相應運維通道的連接,即可實現對數據中心所有目標管理設備的集中化、一站式運維服務。這種集中運維管理模式極大減輕了運維人員工作壓力,顯著提高了數據中心的運維管理效率。
第二,運維前主動防控――身份認證
本方案提供了一套非常完善的身份管理與認證機制,把握和控制數據中心WEB管理平臺訪問入口,逐一驗證所有登陸用戶身份的有效性和合法性,加強操作源頭的安全防范,真正實現操作訪問前的主動防控管理,大大降低了重要業務信息數據的泄露風險。本方案支持用戶本地(WEB管理平臺)與第三方(如Radius、RSASecureID認證、LDAP/AD域)兩種認證渠道,在保證安全防范操作的同時,提高了用戶操作的靈活性與便捷性,更體現出系統強大的兼容性與擴展性。
第三,運維中實時監控――桌面監控
本方案提供代理、旁路偵聽等多種會話訪問管理方式,能夠積極、主動、直接地實現對數據中心運維人員業務操作行為的安全管控。對于核心業務操作或關鍵目標設備,運維人員通過監控窗口可以實現單臺或多臺設備桌面的實時在線監看,并支持多路監視畫面矩陣窗口輪巡切換播放,監看過程中如發生異常或違規操作,運維人員可立即切換至設備接管狀態,通過強制“中斷”結束非法會話。方案采用對訪問會話過程實時監看、非法操作及時阻斷的操作策略,有效將數據中心網內操作引起的安全風險扼殺于萌芽狀態,從根本上杜絕了危害的擴張與蔓延。
第四,運維后操作審計――安全審計
本方案支持對WEB管理平臺內一切運維行為(如協議類運維、WEB訪問、客戶端訪問以及數據庫訪問等)的遠程圖形化安全審計,會話過程中所有的操作步驟和操作細節均以錄像形式呈現給數據中心審計人員。同時支持關鍵字定位、數據庫關鍵語句與審計錄像關聯回放,實現運維操作過程的快速定位、精確跟蹤以及真實重現,有助于審計人員對非法運維操作節點的排查及故障責任的追溯,促進數據中心實現運維安全管理的精細化、規范化。
