1、郵中心運維安全審計作者：暢享網2013-2-28 9:57:27隨著數據中心IT基礎設施規模的不斷擴大，因系統或平臺的異構性、運維手段的多樣性而 產生的統一管理需求日益顯現。同時，因運維人員眾多、角色復雜、賬號共享和運維過程不 透明而導致的運維風險也不可忽視。本文關鍵字：數據中心隨著數據中心IT基礎設施規模的不斷擴大，因系統或平臺的異構性、運維手段的多樣性而 產生的統一管理需求日益顯現。同時，因運維人員眾多、角色復雜、賬號共享和運維過程不 透明而導致的運維風險也不可忽視。實際運維過程中，數據中心管理者一直在被以下問題困擾著：管理員身份被惡意冒用，執行非法操作，出現問題無法進行身份確認責任追查；

2、運維管理人員所管理的機器數量和帳號數量均異常眾多，往往導致密碼策略的實施流于形 式；對用戶名和密碼的授權方式不可控；管理員的越權訪問、誤操作將導致業務系統工作中斷；第三方代維人員在運維過程中一旦執行危險操作或私自下載，將導致系統癱瘓和機密信息 泄露；事故發生后無法定位問題、追溯源由、緊急恢復和追查責任。據統計，僅2011年至2012年期間，因數據中心內部IT運維人員的誤操作或越權訪問，給 數據中心管理者所帶來的損失就高達數百億元。因此，數據中心運營管理者們，提出了以下風險控管需求：解決數據中心分散的IT運維問題，提高運維管理效率；解決運維人員的帳號共享問題，實現人員與行為對應；解決多用戶角色密

3、碼管理問題，提高密碼管理安全性； 建立有效的運維監管措施，防范潛在的運維操作風險;建立完善的風險控管體系，符合行業法規對安全需求。針對數據中心用戶的業務需求及業務現狀，德訊科技提供了一套IT設施運維操作審計（堡 壘主機）解決方案，采用“DCLive+ICS”聯合部署模式，為各地市級運維人員提供一個統一的 操作平臺，突破地域、時空、時間的限制，基于WEB瀏覽器即可實現如字符型會話、圖形 訪問、數據庫管理及其他應用類運維操作等相關運維需求。此外，方案為數據中心管理人員提供一個集中化的審計平臺：事中可實時監視系統內所有會 話訪問與操作行為，事后第一時間可及時審查整個運維過程。該方案從技術上保障了電信

4、行 業數據中心“分布式運維操作，集中式監控審計”的安全管理目標。本方案部署如圖1所示:HI圖1德訊科技運維操作審計（堡壘主機）解決方案部署圖德訊科技IT設施運維操作審計（堡壘主機）解決方案具備以下五大部署特點：利用原有網絡拓撲架構，安裝部署簡便，無需加裝任何客戶端代理，不影響任何業務數據 流；將ICS設備分布式部署于各地級市，實現本地化運維，獨立化操作，互不干擾部署兩臺ICS設備，共同分擔局域網內并發會話的壓力，實現各分支網絡負載均衡；將DCLive管理平臺部署于省級中心機房，實現對下級分支機構所有運維過程的集中監視、 控制、管理與審計；HA部署主備兩臺DCLive設備，以保障數據完整性以及整

5、個系統的防災恢復。通過本方案的應用，能夠實現以下應用價值：一、為數據中心用戶提供了統一的運維平臺。方案提供統一的WEB管理入口，對登陸用戶身份的合法性實施統一認證;系統自帶字符類/ 圖形類/應用類多種運維工具，無需運維客戶端即可自行安裝，避免運維過程中出現工具不 全面，版本不兼容等問題;支持會話代理訪問通道的建立，改變原有本地客戶端直接發起會 話的運維模式，實現對運維過程的有效監控與審計。二、實現雙人授權訪問控制，保障運維安全。依據行業安全等級保護標準，方案能夠實現雙人授權訪問控制策略管理。權限范圍內的任何 一人登陸運維平臺，即使通過身份認證，也不能獨自執行會話操作，必須要得到策略內另一 用戶

6、的授權。系統支持本地口令輸入及遠程身份認證兩種授權方式。主要通過提升授權管理 的細粒度，保障核心設備、關鍵業務以及第三方運維操作的合規性、安全性。三、提供事后全面審計，保證操作留痕。方案提供網內運維管理全生命周期的審計，即采用流媒體形式記錄運維人員登陸運維網關至 登出運維網關的全過程，支持對字符、圖形、數據庫、WEB應用等多種類型會話的全面審 計。審計結果以操作日志及錄像相結合的形式呈現，符合4W (When/Where/Who/What )原 則。同時，支持錄像回放、SQL語句、關鍵字符與審計錄像關聯定位與檢索，實現運維操 作過程的快速定位、精確跟蹤以及真實重現，協助審計人員對非法運維操作節點的排查及故 障責任的追溯，提升數據中心精細化、規范化的運維安全管理水平。德訊科技運維操作審計(堡壘主機)解決方案在運維人員與IT設施之間設置了一道屏障，可 以有效提高服務器等重要信息基礎架構的安全級別，輔助對信息安全故障和安全事件的全面 記