国外的教育界一直推崇这样一句话:“一英里深,一英寸宽”。近年来,这句话在中国被广泛接受和应用。IT行业作为科技革新的主力军和排头兵,许多IT从业者在进行研发的时候,更是将这句话奉为圭臬。
但是,当所有人都认为深度比宽度更重要的时候,另外一面又凸显出来了:如果没有宽度,又将如何满足用户的集约化管理需求?如果仅仅追求深度,又将如何满足节约型社会的建设要求?
因此,在深度发掘用户需求,力争满足用户在某一领域中的特定IT基础设施运营管理需求的同时,也应当注重从不同维度出发,满足用户通过一套解决方案即可完成对IT基础设施进行运营管理的需求。
为了最大程度满足用户在不同维度的内网安全需求,减轻用户的内网运维审计操作复杂度和工作强度,保障大型数据中心和各类企事业单位运维安全,德讯科技专门研发了以ICS2000网络运维安全网关为基础的数据中心网内运维审计解决方案。
德讯科技推出的这套网内运维审计解决方案,其体系架构由数据展现层、数据处理层及设备控制层构成,主要能够实现两大功能体系:运维人员对设备控制层集中运维操作体系;审计人员对设备控制层操作安全审计管理体系。
图1网内运维审计解决方案体系架构图
数据展现层:为运维人员提供运维与管理入口,通过B/S模式的运维管理控制台(WEB管理平台),可实现运维、认证、策略部署、安全审计等管理操作;
数据处理层:通过网络运维安全网关(ICS2000)及虚拟运维网关(VOS)的组合部署,实现(Telnet/FTP/Rlogin/HTTP/HTTPS/SSH
/SFTP/RDP/VNC/Xwindows等)多协议会话代理、(PL-SQL、MS查询分析器、DB2Quest、Radmin、PCAnywhere、ERP等)多种类应用程序发布、运维操作审计、报文处理等服务;
设备控制层:由数据中心机房服务器、网络安全、存储、路由等IT基础设备组成,基于WEB管理平台进行统一集中控管。
本套网内运维审计解决方案将ICS2000+VOS联合部署于数据中心IT运营网络中,无需调整和变动数据中心原有的网络体系架构,即可实现对运维管理员运维操作的集中化管理及运维全过程的安全审计,能够为数据中心建立全面的IT基础设施网内运维审计体系。
图2 IT基础设施网内运维审计体系图
该网内运维审计体系主要通过以下四方面,保证数据中心IT业务系统的稳定运行以及数据信息的安全可靠:
第一,变分散运维操作为集中运维管理
目前许多数据中心原先通过分散客户端实现对目标设备运维的模式,该模式存在很大的弊端:其一,必须在每台运维客户端预装所有C/S架构的运维工具;其二,运维工具版本需要更新时,只能逐一对每台运维客户端进行升级操作。
针对现有数据中心运维工具种类多、运维人员不集中、区域分散、跨网络等管理特点,本方案采用ICS2000与VOS联合部署平台,实现对众多运维工具、多类客户端程序的统一安装部署与集中管理。该银行运维人员仅需通过B/S模式的WEB管理平台入口,建立与相应运维通道的连接,即可实现对数据中心所有目标管理设备的集中化、一站式运维服务。这种集中运维管理模式极大减轻了运维人员工作压力,显著提高了数据中心的运维管理效率。
第二,运维前主动防控――身份认证
本方案提供了一套非常完善的身份管理与认证机制,把握和控制数据中心WEB管理平台访问入口,逐一验证所有登陆用户身份的有效性和合法性,加强操作源头的安全防范,真正实现操作访问前的主动防控管理,大大降低了重要业务信息数据的泄露风险。本方案支持用户本地(WEB管理平台)与第三方(如Radius、RSASecureID认证、LDAP/AD域)两种认证渠道,在保证安全防范操作的同时,提高了用户操作的灵活性与便捷性,更体现出系统强大的兼容性与扩展性。
第三,运维中实时监控――桌面监控
本方案提供代理、旁路侦听等多种会话访问管理方式,能够积极、主动、直接地实现对数据中心运维人员业务操作行为的安全管控。对于核心业务操作或关键目标设备,运维人员通过监控窗口可以实现单台或多台设备桌面的实时在线监看,并支持多路监视画面矩阵窗口轮巡切换播放,监看过程中如发生异常或违规操作,运维人员可立即切换至设备接管状态,通过强制“中断”结束非法会话。方案采用对访问会话过程实时监看、非法操作及时阻断的操作策略,有效将数据中心网内操作引起的安全风险扼杀于萌芽状态,从根本上杜绝了危害的扩张与蔓延。
第四,运维后操作审计――安全审计
本方案支持对WEB管理平台内一切运维行为(如协议类运维、WEB访问、客户端访问以及数据库访问等)的远程图形化安全审计,会话过程中所有的操作步骤和操作细节均以录像形式呈现给数据中心审计人员。同时支持关键字定位、数据库关键语句与审计录像关联回放,实现运维操作过程的快速定位、精确跟踪以及真实重现,有助于审计人员对非法运维操作节点的排查及故障责任的追溯,促进数据中心实现运维安全管理的精细化、规范化。