智慧的數據中心運維風險管理大數據時代的運維風險管理智慧堡壘機運維管理的新方向什么是智慧？《辭海》上解釋為“對事物能認識、辨析、判斷處理和發明創造的能力。作為世界上最成功的高科技企業之一和創造新概念的高手，IBM公司在2009年伊始提出了智慧地球的概念，以期給地球上每一個看似無序的“物件”全部嵌上智能的“大腦”和“心臟”，以一種“更智慧”的方法來改進政府、公司和人們相互交互的方式，以便提高交互的明確性、效率、靈活性和響應速度。各行各業的系統都需要變得更智慧，只有這些系統都演變成智慧系統，智慧地球才能真正實現。近五年來，國內數據中心建設的投資年增長率超過20%，各大行業都在規劃、建設和改造各自的數據中心。然而，隨著信息化發展的不斷深入和信息量的爆炸式增長，數據中心正面臨著前所未有的挑戰。根據數據中心性能研究機構UptimeInstitute所提供的數據，目前人為失誤引發了大約70%的數據中心故障。因此，需要最大程度地減少人為操作的風險。據統計，僅2011年至2012年期間，因數據中心內部IT運維人員的誤操作或越權訪問，給數據中心管理者所帶來的損失就高達數百億元。從這些數據中可以看到，如何保障數據中心IT基礎設施運維管理的可靠和安全，已經成為數據中心運營管理者最為關注也最棘手的問題。目前，數據中心運維普遍存在數據量急速膨脹，運營成本高昂、安全性差，業務連續能力低等一系列挑戰，例如：令各種服務器上各種各樣的帳號和密碼種類繁多，管理復雜；令管理員、設備供應商人員、第三方代維人員較多，究竟誰動了配置和數據不可定位、追溯；令各種誤操作、違規操作、惡意操作可能導致系統問題或信息被篡改、破壞、泄漏；令用戶通過遠程接入進行操作存在嚴重隱患；令對操作行為無法監控和審計。目前數據中心亟待解決的問題主要有：如何降低運維操作導致的安全風險；如何降低運維操作成本，從復雜繁重的維護升級和大量的后續資金投入中解脫出來；如何保障數據中心運維管理合規性。數據中心運維安全審計系統可以緩解上述問題，然而解決運維操作風險問題難度大、涉及面多（人員、設備、資源、應用、賬戶、操作等），技術面廣且難點多，難以有效統一管控。如果產品設計和實現不到位，容易造成管理復雜且使用不便，難以適應數據中心實際環境和發展需要。目前部分運維堡壘機廠商的產品普遍存在以下問題：.運維堡壘機的賬戶系統未能與設備系統賬戶完全分離。運維堡壘機要求所有應用訪問均通過代理機制完成，而不應有“落地”行為。然而，有些廠商號稱是運維堡壘機，但仍然遺留了很多跳板機的設計，即運維操作用戶名都建立在系統上，而不是獨立的數據庫，這種情況下就無法建立“root〃名的運維用戶名。.運維堡壘機成為了新的系統脆弱點。由于運維堡壘機是連接前后端的唯一途徑，首當其沖成為了被攻擊的重要目標，風險加大。因此應該盡量減少系統加載的服務或模塊，從而盡可能減少可被攻擊的風險。.部署困難，管理繁瑣，用戶操作體驗不佳。特別是在管理設備種類較多、設備數量規模較大的情況下，存在配置界面復雜，操作方式不連貫，部署費工費時等問題。尚思卓越創新地提出了智慧的運維操作風險管理這一產品理念，推出了尚維操作風險管理系統，能夠全面滿足管理者對數據中心運維安全管控的迫切需求。尚思卓越的研發團隊認為，如果能夠經由一種更智慧的方法來改變運維人員和IT基礎設施交互的方式，顯著提高交互的安全性、合規性、效率、靈活性和響應速度，既能很好地解決運維操作風險，又能便捷支持各類運維終端應用，部署簡單使用方便，管理者將會從復雜的運維管理中解脫出來，而專注于提升數據中心的核心價值。為了研發出一款智慧的產品，在設計之初，尚思卓越就采取了以下方面的努力，確保尚維操作風險管理系統成為一款革新性的產品。令感知需求：尚思卓越擁有出色的研發團隊，根據多年的IT內控和堡壘機產品研發經驗，深入感知用戶需求，在傳統的運維操作風險管理的核心要求（身份管理、訪問控制、操作追蹤、合規報表）之外，準確定位堡壘機作為系統中單一故障點的高安全性、高可用性和高可靠性需求；令創新技術：通過在系統體系架構、智能功能和安全保障等個方面的變革創新來滿足用戶需求，并前瞻考慮，進一步地滿足用戶2-3年內的增長性需求，超出用戶期望。尚思卓越智慧的運維風險管理的核心是通過尚維風險管理系統，使風險管理設備與IT基礎設施的完美結合，運維人員可以進行更高效的操作，做出更明智的決策，降低運維操作風險，提高信息系統運行的安全性和事件的追溯能力，提高企業工作效率。尚維產品提供的智慧的運維風險管理主要體現在以下四個方面：更全面的可見性更透徹的感知更深入的智能更可靠的安全智慧的運維風險管理概念圖更全面的可見性更透徹的感知更深入的智能更可靠的安全智慧的運維風險管理概念圖令更透徹的感知更透徹的感知是指尚維操作風險管理系統可以時刻測量、捕獲、監控和傳遞運維操作信息，基于專用硬件設備和裁剪定制的操作系統，通過使用先進創新的感知手段，快速獲取運維操作信息并進行分析，便于立即采取應對措施和進行事后追溯。?支持對所有主流運維協議的監控，包括文本類、文件類、圖形類、Web類、數據庫類和應用類等多種協議(如SSH、TELNET、RDP、VNC、X11、(S)FTP、HTTP(S)、ORACLE、InforMix、DB2、MSSQL、Sybase、MYSQL)的監控。?支持多類設備和系統，包括主機服務器、網絡設備、安全設備及數據庫系統等，支持IBMAix、HPUnix、SunSolaris、SCOUnix、Linux、Windows等各種操作系統主機和各種網絡、安全設備；支持WinXP、Vista、Win7、Win8等主流運維終端系統;支持Windows下所有主流瀏覽器，IE(內核)、Firefox、Chrome、Opera等。?具有業界最強的協議轉發處理能力，摒棄業界常用的協議轉發“黑盒子”，能夠對Telnet、FTP、SSH、SFTP、RDP(WindowsTerminal)>Xwindows、VNC、AS400、HTTP、HTTPS協議進行完整的透明轉發，特別是對圖形化操作協議的轉發性能遠遠優于其它同類型產品(最大并發數為500)，并具有橫向無縫擴展能力。自動獲取管理的數據中心的設備賬戶和設備信息，方便管理員了解數據中心IT設備狀況并及時進行更新和操作。令更全面的可見性更全面的可見性是指通過運維堡壘機，使得管理者能更方便的了解當前的運維情況，更好地對運維操作狀況進行實時監控，從全局的角度分析風險并實時審計，從而幫助管理者完成安全可控的IT運維。尚維操作風險管理系統提供基于數據包的協議分析、還原虛擬化技術可以實現操作界面模擬，將所有的操作轉換為圖形化界面予以展現，實現100%審計信息不丟失。尚維操作風險管理系統提供多種類型操作信息回放展現，除針對運維操作圖形化審計功能的展現外，同時還能對字符進行分析，包括命令行操作的命令以及回顯信息和非字符型操作時鍵盤、鼠標的敲擊信息。使用更貼切、操作更易用，支持常規終端應用自適應關聯，支持常規終端應用顯示真實目標IP地址，注重細節上的用戶體驗。報表全視角模型展現，提供圖形、表格等各類可視化展現方式，支持定期發送自定義報表，為用戶提供全面的運維審計和合規性管理視圖。令更深入的智能更深入的智能是指深入分析收集到的數據，以獲取細粒度、精確的運維審計信息，更加系統、全面的提供IT操作風險控制、內控安全和合規性等方面的完善、有效的審計手段。目前通用的審計工具大多從網絡層面或服務器日志層面獲取較為龐雜的信息，往往會導致關鍵的管理信息或敏感操作湮沒于日常業務數據中，或無法追溯操作行為軌跡、了解操作行為意圖，影響審計的有效性或效率。提供全面的操作追蹤服務，再現關鍵行為軌跡，探索操作意圖，支持全局實時監控與敏感過程回放。首創設備組內資源的掃描機制，便于智能化管理后端眾多資源。這樣在設備組設定好設備范圍后，資源自動掃描將極大地減少設備的前期部署與后期管理成本，能夠充分滿足現有或未來設備數量較多的場景。簡潔易用的人機交互，重視細節體驗，采用符合用戶線性化操作習慣的界面交互設計、符合用戶層次化思維的設備管理界面設計以及支持用戶關鍵字全列表視圖模糊查詢設計等人性化的交互設計，降低產品上線后的使用和操作成本。業界唯一采用非結構化數據庫的堡壘機產品，采用為堡壘機數據特征量身定制的靈活高效NoSQL數據庫，具有復雜度低、擴展性好、吞吐率高等特點，在靈活，定制、升級和遷移過程中不需更改庫表結構，升級、定制成本低，極大提高了產品的擴展性和可維護性。令更可靠的安全更可靠的安全是指通過對當前的安全實踐進行評估并將其與業務需求和經營目標統一起來，實現運維操作管理和產品本身的安全。尚維操作風險管理系統提供高效的身份和訪問控制管理，隨著IT基礎架構的互聯化和向云計算遷移，控制和監控用戶的訪問特權與活動變得越來越關鍵，也越來越復雜。尚思卓越運維風險管理解決方案可幫助企業減輕來自未授權訪問的風險，支持有效的身份和訪問控制管理。提供口令托管和改密功能，能夠在增強安全性的同時，簡化對運維口令的管理。強大的抗攻擊性，采用口令防嗅探機制，在系統認證層面，通過強加密方式傳輸主從帳號口令，避免可能的嗅探攻擊行為，在運維操作層面，采用動態口令，基于OTP(one-timepassword)認證方式加密整個運維過程，保障運維安全。完備的高可用性，支持雙機熱備中設備間配置實時同步和操作日志零延時同步，支持獨立心跳線和獨立數據線，支持浮動IP、支持查看同步狀態，全方位保障堡壘機的高可用性。完善的數據安全策略，采用業界首創的不落地操作日志網絡回放技術，確保數據隔離，對系統內敏感信息、數據加密存儲，采用完備的口令管理，并支持密函打印。完備的自身安全性保障，尚維操作風險管理系統采用專門設計的安全、可靠、高效的硬件平臺以及裁剪定制的Linux內核，不開放3389、21、22、23等高危端