信息安全等保要求下广播电视IT系统KVM与运维审计结合应用.docVIP

信息安全等保要求下广播电视IT系统KVM与运维审计结合的应用 　　【摘要】KVM是各领域IT机房建设中不可或缺的组成部分，是系统工作人员用于运维的主要设备。根据信息系统安全等级保护的要求，通常广电系统是依靠安全类设备进行对外攻击防护，依靠运维审计对内部操作进行回溯。审计内容需要做到对系统内设备操作记录的全覆盖，以便事后查看。审计的目的除了能够纠正误操作以外，还可以对一些恶意操作进行追责。而广电IT系统中常用的几类KVM设备都存在着一定程度的安全漏洞，而单独依靠运维审计也存在着审计盲区。本文提出了一个基于安全等保要求，广电IT系统中将KVM Over IP、运维审计与跳转机相结合的应用方案，可以从技术角度规避恶意违规操作，并且实现运维过程中的审计范围全覆盖。 　　【关键词】机架式KVM 矩阵式KVM KVM Over IP安全等级保护 运维审计 　　目前大多数电视台都会建设以服务器、工作站、虚拟机、数据库等基础资源为主的IT数据中心、存储中心机房，用以支撑台内的节目生产管理、各制作岛、媒资、播出、总控等诸多应用业务。大多数IT机房建设方案都会采用KVM（Keyboard Video Mouse）多电脑切换器，目的是利用少数公共的鼠标、键盘和显示器实现操控多台终端主机界面，这样可以减少机房布线的复杂度、节省机柜空间、提高系统的可管理性、提高系统运维人员的工作效率。 　　机架式KVM、矩阵式KVM与KVM over IP是广电IT系统常用的几种KVM设备，随着机房建设的规模日益庞大，运行维护的难度逐步增加以及信息系统安全等级保护的要求越来越高，这几类KVM在日常使用中都有各自的优缺点。 　　一 KVM的应用 　　1.机架式KVM 　　机架式KVM是IT机房建设中应用最广泛的设备之一，可以实现用一套键盘、鼠标、显示器控制更多主机的目的。机架式KVM价格便宜、通用性强、安装简便、易于规划、可以串接纵向扩展等特点使得它至今仍是大多数中小型IT机房建设的首选。 　　虽然机架式KVM的市场占有率很高，但是机架式KVM在实际应用中存在着一些缺点：例如KVM设备不利于管理，连接主机需要使用专用连接线缆，且线缆的长度有限，对主机的分辨率有要求等问题使得它在一些特殊应用环境下的缺陷需要通过其他方式来弥补。 　　2.矩阵式KVM 　　矩阵式KVM是基于TCP/IP网络架构的专业数据中心管理设备，它可以通过部署多个控制终端实现远程管控多台主机的功能。远程控制终端的数量可根据需求弹性扩充。矩阵式KVM相比较机架式KVM来说，功能性上有所增强，矩阵式KVM通过转换模块将KVM模拟信号转换为IP信号进行传输，增强了信号的安全性，同时还可以将信号进行放大，使得KVM到主机间的连接距离可扩展至40米。矩阵式KVM使用以太网线使得布线安装变得更加灵活，主机连接的密度也相对较高，使用远程控制终端可以将操作人员与KVM之间的操作距离延伸至300米，这样可以实现机房内设备的远距离多点分散控制，避免了管理人员来回在机房内不同机柜之间进行操作，减少机房出入次数，提高了系统运维效率与主机的安全性。 　　矩阵式KVM远程控制终端便捷的主机访问方式改变了机架式KVM的操作模式，使得运维人员可以在机房外完成大多数的操作，但由于矩阵式KVM在主机端和远程控制接收端传输的都是模拟信号，只是信号传输介质发生了变化，这与机架式KVM在工作原理上是一样的。 　　3.KVM Over IP 　　KVM Over IP是将主机的键盘、鼠标和显示卡的输出通过转换模块进行数字化，然后进行加密与压缩并使用IP技术传输KVM数据的一种技术。KVM Over IP传输的信号是加密的数字信号，不易被破解，这是与机架式KVM、矩阵式KVM一个不同的地方。KVM Over IP在访问时不需要像矩阵式KVM一样的远程控制端，它是基于B/S架构进行管理的，Web浏览器是访问KVM Over IP最主要的应用程序。通过设定KVM Over IP以太网口的IP地址，只要网络可达，便可实现对KVM over IP的管理以及其连接的主机进行访问，因此控制端通过KVMover IP连接主机，在距离上不受限制。 　　与机架式KVM、矩阵式KVM另一个区别是KVM Over IP有集中管理平台，不仅能管理域内多台同型号的KVM，方便系统的扩展；同时还可实现对主机的访问过程进行录屏，录屏的数据采用了图像变化采集方式，从进入主机的操作界面时开始记录，在没有操作的时候不记录，直到退出主机的操作界面后停止。由于记录的过程并不基于主机的操作系统，只与主机的显示卡输出有关。因此，KVM over IP可以对主机的启动过程、BIOS层面操作以及蓝屏故障信息进行记录。而KKVM over IP具有人员三权分立管理功能