面對規模化的IT基礎設施、日益復雜的應用系統、不斷更新及交換的海量數據,確保電信數據中心業務運營的穩定性與安全性成為行業發展的關鍵性因素。其中,數據中心IT設施運維風險控制成為業界管理者重點關注的問題之一。
業務現狀及需求分析
對運維過程缺少有效的技術監管手段
電信行業組織機構龐大,業務繁多。然而,僅僅以制度和規范進行約束、以人工方式進行監督的運維安全及內控風險管理模式效果欠佳,效率低下,缺乏行之有效的技術輔助手段。
運維入口太多、運維通道獨立、運維工具分散
在數據中心常規運維模式下,各層各級運維人員基于本地客戶端啟用RDP/VNC/TELENT等遠程協議工具直接訪問數據中心目標設備,展開會話操作。這種運維模式的劣勢是運維入口過多(一臺客戶端提供一個運維入口);運維通道相互獨立(需要為不同的協議工具建立不同的運維通道);運維工具部署分散(協議工具分別安裝于各運維客戶端)。因此,頗有一些電信企業目前面臨著網內運維環境安全難以管理的局面。
補充4A平臺,運維管控全覆蓋
早些時候,部分電信企業部署了4A平臺,但由于歷史原因,仍有很多業務運行系統無法整合到4A平臺下統一運維,給安全運維管理帶來隱患。
行業新標準提出多人核實管理機制
行業安全等級保護基本要求規定,對如數據中心核心設備及關鍵業務系統等高風險運維操作,需采用多人核實機制(即在同時獲得兩人以上授權前提下,才能實施相應會話),以提升運維操作行為合規性控制的細粒度。
審計手段不全面,審計信息不直觀
現有的審計手段基于操作系統日志進行審計,只能定位到訪問設備的IP地址、用戶、時間等基本信息,無法準確、直觀地追溯運維人員在目標設備上的會話過程,無法對事故原因進行客觀還原。
方案概述及部署
針對電信運營商領域的業務需求及業務現狀,德訊科技提供了一套IT設施運維操作審計(堡壘主機)解決方案。方案采用“DCLive+ICS”聯合部署模式,為各地市級運維人員提供一個統一的操作平臺,突破地域、時空、時間的限制,基于WEB瀏覽器即可實現如字符型會話、圖形訪問、數據庫管理及其它應用類運維操作等相關運維需求。
此外,方案為數據中心管理人員提供一個集中化的審計平臺:事中可實時監視系統內所有會話訪問與操作行為,事后第一時間可及時審查整個運維過程。該方案從技術上保障了電信行業數據中心“分布式運維操作,集中式監控審計”的安全管理目標。
本方案部署如圖1所示:
圖1 德訊科技運維操作審計(堡壘主機)解決方案部署圖
德訊科技IT設施運維操作審計(堡壘主機)解決方案具備以下部署特點:
利用原有網絡拓撲架構,安裝部署簡便,無需加裝任何客戶端代理,不影響任何業務數據流;
將ICS設備分布式部署于各地級市,實現本地化運維,獨立化操作,互不干擾;
部署兩臺ICS設備,共同分擔局域網內并發會話的壓力,實現各分支網絡負載均衡;
將DCLive管理平臺部署于省級中心機房,實現對下級分支機構所有運維過程的集中監視、控制、管理與審計;
HA部署主備兩臺DCLive設備,以保障數據完整性以及整個系統的防災恢復。
應用價值
提供統一的運維平臺
方案提供統一的WEB管理入口,對登陸用戶身份的合法性實施統一認證;系統自帶字符類/圖形類/應用類多種運維工具,無需運維客戶端即可自行安裝,避免運維過程中出現工具不全面,版本不兼容等問題;支持會話代理訪問通道的建立,改變原有本地客戶端直接發起會話的運維模式,實現對運維過程的有效監控與審計。
雙人授權訪問控制
依據行業安全等級保護標準,方案能夠實現雙人授權訪問控制策略管理。權限范圍內的任何一人登陸運維平臺,即使通過身份認證,也不能獨自執行會話操作,必須要得到策略內另一用戶的授權。系統支持本地口令輸入及遠程身份認證兩種授權方式。主要通過提升授權管理的細粒度,保障核心設備、關鍵業務以及第三方運維操作的合規性、安全性。
事后全面審計,保證操作留痕
方案提供網內運維管理全生命周期的審計,即采用流媒體形式記錄運維人員登陸運維網關至登出運維網關的全過程,支持對字符、圖形、數據庫、WEB應用等多種類型會話的全面審計。審計結果以操作日志及錄像相結合的形式呈現,符合4W(When/Where/Who/What)原則。同時,支持錄像回放、SQL語句、關鍵字符與審計錄像關聯定位與檢索,實現運維操作過程的快速定位、精確跟蹤以及真實重現,協助審計人員對非法運維操作節點的排查及故障責任的追溯,提升數據中心精細化、規范化的運維安全管理水平。
京公網安備 11010502049343號