电信行业服务器集中管理解决方案计划资料.pdfVIP

电信行业服务器集中管理解决方案 1 目前在电信行业中服务器设备管理面临的问题： 目前，我国的电信运营企业有电信、联通、移动、网通、吉通、铁通等，他们的服务范 围和内容各有侧重又相互补充，在新的环境和不同的领域内已初步形成多元化的竞争局面。 但是，他们都具有一个共同的特点：电信行业所管辖支撑系统的主机设备有很多台，支撑系 统设备的操作系统也很多。这些系统主要为Linux ，另外还包括Sun solaris、IBM AIX、HP UNIX 等操作系统。随着业务系统的不断发展和数据库的不断扩充，这些设备还将大大增加。 目前，网管维护人员有限，每个管理员要管理多台设备。为了记忆方便，管理员往往按照固 定的规则制定他管理的设备的登录口令，存在着很大安全风险。另外，登录多个设备需要不 断地输入用户名和口令，管理效率低下。同时随着各种网络应用不断涌现，并且随着业务的 不断拓展，新的服务器设备不断添加进来，老的服务器也会逐渐淘汰，企业的大多数员工在 服务器上都有帐号，而且人员流动较大，目前只有少数的管理人员来管理所有服务器设备， 因此安全管理也逐渐成为企业面临的重大问题:： 主要表现在以下几个方面： 1) 当新增加设备时，需要手动地登录到这些设备上为相应的管理人员创建帐号。例如， 当新增加20 台设备，共有5 个人管理这些设备时，需要管理人员手工创建20 ×5 ＝100 个帐 号，而设备数量更多时，这个数字会很大，这些都给管理人员的维护管理工作带来了巨大的 负担。 2) 当系统内人员变动时，例如：张三原来在CIQ 业务部，在CIQ 业务部的40 台服务器 上有帐号，由于工作原因现在调动到业务部门管理业务部，由张三管理的设备有50 台。那 么存在以下问题：张三在CIQ 业务部的40 台服务器上的帐号需要删除，张三在业务管理业 务部的50 台服务器需要新创建帐号。 3)服务器上的帐号有超级管理员和用户帐号两类，操作系统只是按照这两类帐号进行粗 粒度的权限控制，例如：超级管理员可以执行所有命令，而用户帐号则只能对他所在的组和 自己创建的文件具有完全的权限，对其它文件则不能访问。而实际进行服务器管理时，需要 更细粒度的命令执行控制。 4) 目前管理员登录各个服务器，都是通过服务器自身的审计系统进行审计的，无法形成 类似于：在某个时间段内某个管理员登录了哪些服务器，进行了哪些操作的全面审计。而这 类审计对于从整体上对系统进行维护管理是十分必要的。 2 国瑞解决方案 2.1 总体方案 我们对电信行业中现有的服务器设备管理系统进行分析后，形成了一套适合于电信行业 的服务器设备管理的的安全解决方案。本方案是基于国瑞数码安全系统有限公司的 DigitalTrust 产品，本方案通过将设备集中管理系统部署，将电信行业所管辖支撑系统的设 备统一管理起来，同时可以通过平滑升级支持将来业务系统和数据库等资源的管理，从而提 高工作效率、增强安全强度。 2.2 产品部署 2.3 系统工作过程 1）用户访问主机应用系统； 2 ）应用系统代理接收连接请求后，连接身份认证服务器； 3 ）身份认证服务器返回给服务代理，要求输入用户名/ 口令； 4 ）服务代理返回客户端，要求输入用户名/ 口令； 5 ）用户输入用户名＋口令； 6 ）服务代理将用户名/ 口令转发给身份认证服务器； 7 ）身份认证服务器验证用户身份，验证通过后返回给服务代理； 8 ）主机系统显示相应页面内容。 9 ）主机代理截获用户操作，进行访问控制，并转发给AAA 服务器，实现集中审计。 统一认证安全平台可以实现对用户登录服务器的行为进行集中认证，并记录用户的登录 日志信息；对用户登录服务器后的操作进行授权，并根据相关授权信息进行访问控制；对用 户的所有操作行为进行集中审计；支持审计信息的日报、月报功能。 2.4 方案实施后的效果 管理方便 1)灵活的用户管理 本系统中所有的系统用户采用用户、组、域的三层架构进行管理。下图列出了用户、组、 域的结构关系。 用户：用户是指对系统资源进行访问的主体。用户信息包括用户唯一标识、用户名称、 用户特征、所属组等，一个用户可以属于多个不同的组。 组：组由若干用户组成，在系统中可以定义任意多的组，并为组进行授权。对一个组授 予某个资源的访问权限或者限制某个资源的访问权限会影响到组中全部成员，但是删除一个 组并不删除它的成员。 域：域由若干个组构成，在系统中可以定义任意多的域并且为域进行授权。对一个域授 予某个资源的访问权限或者限制某