浪潮运维安全管控系统.docxVIP

浪潮运维安全管控系统  浪潮运维平安管控系统技术白皮书浪潮〔北京〕电子信息产业有限公司2013年9月浪潮运维平安管控系统通过统一入口，实现对效劳器、数据库、网络设备的集中管理，并供应受权管理和平安审计功能，实现对运维人员的权限划分和行为审计，为数据中心供应平安化、标准化、透亮化的整体解决方案。名目1.应用背景 (2)2.数据中心运维管理现状 (2)2.1.运维管理冗杂度高 (3)2.2.共享账号存在平安隐患 (3)2.3.误操作造成严峻损失 (3)2.4.访问掌握策略不完善 (4)2.5.审计用户操作困难 (4)3.浪潮运维平安管控系统 (4)3.1.产品概述 (4)3.2.产品特性 (5)3.2.1.账号集中管理 (5)3.2.2.身份认证 (5)3.2.3.受权管理 (6)3.2.4.单点登录 (6)3.2.5.平安审计 (6)4.关键技术 (7)4.1.先进的指令识别技术 (7)4.2.支持多种通信协议 (7)4.3.多进程/多线程与同步技术 (7)4.4.通信数据加密技术 (7)4.5.极强的网络环境适应性 (8)5.客户收益 (8)5.1.集中管理，降低管理本钱 (8)5.2.单点登录，进步运维管理效率 (8)5.3.多种平安策略相结合，进步设备访问平安 (8)5.4.平安审计，供应完善的审计体系 (9)6.技术参数 (9)7.产品部署 (11)8.总结 (12)1.应用背景随着信息技术的不断进展和信息化建立的不断进步，业务应用、办公系统、商务平台不断推出和投入运行，信息系统在企业的运营中全面浸透。电信运营商、财政、税务、公安、金融、电力、大中型企业，用法数量众多的效劳器主机、数据库、网络设备来供应根底网络效劳、运行关键业务，供应电子商务、数据库应用、运维管理、ERP和协同工作群件等效劳。随着数据中心规模化、运维管理人员冗杂化等因素，数据中心的运维、管理风险不断加大，其中包括越权访问、误操作、恶意破坏、滥用权限等状况，这不仅影响数据中心业务的正常运行，还会对政府、企业的声誉造成重大影响。如何标准化管理数据中心，进步运维管理程度，跟踪运维人员的操作行为，供应掌握和审计根据，并有效防止黑客入侵和破坏，越来越成为当前政府和企业最为关怀的问题。2006-2009年间，公安部、财政部及其他行业均出台相应的法规，对系统平安审计、身份管理、IT内部掌握提出相应的要求。2002年由美国总统布什签发的萨班斯法案(Sarbanes-Oxley Act)开头生效。其中要求企业的经营活动，企业管理、工程和投资等，都要有掌握和审计手段。因此，管理人员需要有有效的技术手段、专业的技术工具和平安产品，根据行业的标准来做细粒度的管理，真正做到对于内部网络的严格管理，可以掌握、限制和追踪用户的行为，断定用户的行为是否对企业内部网络的平安运行带来威逼。2.数据中心运维管理现状现有数据中心的运维管理工作，主要面临如下几个方面的问题：运维管理冗杂度高、共享账号存在平安隐患、误操作造成严峻损失、访问掌握策略不完善、审计用户操作困难。图2-1 管理现状2.1.运维管理冗杂度高随着数据中心规模的扩大，网络设备的多样化，运维管理人员也相应的增多；由于运维用户角色及设备的多样性，数据中心会存在同一个运维管理人员同时管理多台设备的状况，也会存在同一台设备被多个运维管理人员共同管理的状况。另外，对于管理大量数据中心设备的运维管理人员来说，如何平安有效的管理好大量的设备账户和密码，也是一项冗杂、繁琐的工作。2.2.共享账号存在平安隐患由于运维工作的需要，数据中心往往存在多个运维管理人员同时管理设备上同一个账号的状况。多人共用账号为运维管理人员带来工作便利的同时，也带来了肯定的平安风险。设备上共用账号执行的操作，无法唯一性确定到运维管理人员身上。另外，假如其中任何一个人离任或者将账号告知其他无关人员，也会使这个账号面临平安隐患。2.3.误操作造成严峻损失冗杂繁重的运维管理工作难免会造成运维管理人员的误操作，这些误操作一旦涉及到敏感的操作指令或核心数据，就有可能造成网络中断从而影响业务系统运行，甚至可能导致核心数据的修改和删除，给政府、企业造成不行挽回的经济损失，并给其声誉带来严峻影响。2.4.访问掌握策略不完善始终以来，数据中心实现访问掌握的手段，一是通过内外网隔离，二是通过添加路由器、交换机访问掌握列表实现。内外网隔离从物理层上保障了数据中心的平安，但是，对于一些外网访问的需要，也带来了不便。设置路由器、交换机访问掌握列表，可以严格掌握对数据中心和关键设备的访问，但是需要运维管理人员特别专业的操作技能，而且，由于配置冗杂、工作量大，稍有操作不慎，就会影响数据中心业