近年来,通信网络的发展和技术的演进日新月异,尤其是移动网络升级、宽带提速、智能终端的普及以及云计算技术的兴起,正在改变电信运营商所面临的市场环境。“网络运维创新”已经成为政府主管部门、运营商以及电信运维企业等产业界人事热议的话题,大家都在积极推进通信网络运维的新发展。
电信运营商们已经登上创新的大舞台,面对规模化的IT基础设施、日益复杂的应用系统、不断更新及交换的海量数据,电信数据中心业务运营的稳定性与安全性在行业竞争舞台上扮演越来越重要的角色,数据中心IT设施运维风险控制成为业界管理者重点关注的问题之一。
目前,电信行业所面临的管理现状十分严峻,业务需求也十分急迫:
***:电信行业组织机构庞大,业务繁多。然而,对于业务运维安全、内控风险的管理,仅采用制度及规范予以约束,人工方式进行监督,管理效果欠佳,效率低下,缺乏行之有效的技术辅助手段。
第二:电信行业数据中心常规的运维模式是由各层各级运维人员基于本地客户端启用RDP/VNC/TELENT等远程协议工具直接访问数据中心目标设备,展开会话操作。这就导致运维入口太多(一台客户端提供一个运维入口)、运维通道相互独立(不同协议工具建立不同运维通道)、运维工具部署分散(协议工具分别安装于各运维客户端),造成网内运维环境安全难以管理的局面。
第三:目前已经有一部分电信企业部署了4A平台,但是由于历史原因,还有很多业务运行系统无法整合到4A平台下统一运维,给安全运维管理带来风险。
第四:行业安全等级保护基本要求规定,对于数据中心核心设备及关键业务系统等此类高风险运维操作,需采用多人核实机制(即在同时获得两人以上授权前提下,才能实施相应会话),以提升运维操作行为合规性控制的细粒度。
第五:电信行业目前现有的审计手段是基于操作系统日志的审计,只能定位到访问设备的IP地址、用户、时间等基本信息,无法准确、直观追溯运维人员在目标设备上的会话过程,无法对事故原因进行客观还原。
针对电信行业的业务需求及现状,德讯科技提供了一套运维操作审计解决方案。本方案采用“DCLive+ICS”联合部署模式,为各地市级运维人员提供统一的操作平台,突破地域、时空、时间的限制,基于WEB浏览器即可实现对数据中心IT设施的相关运维需求,如字符型会话、图形访问、数据库管理及其它应用类运维操作。此外,方案为管理人员提供一个集中化的审计平台,事中可实时监视系统内所有会话访问与操作行为,事后***时间可及时审查整个运维过程。该方案从技术上实现电信行业数据中心“分布式运维操作,集中式监控审计”的安全管理目标。
方案部署如下图所示:
本方案具备以下五项部署特点:
***,利用原有网络拓扑架构,安装部署简便,无需加装任何客户端代理,不影响任何业务数据流;
第二,ICS设备分布式部署于各地级市,实现本地化运维,独立化操作,互不干扰;
第三,两台ICS共同分担局域网内并发会话的压力,实现各分支网络负载均衡;
第四,省级中心机房DCLive管理平台,实现对下级分支机构所有运维过程的集中监视、控制、管理与审计;
第五,DCLive主备两台设备HA部署,保障数据完整性以及整个系统的防灾恢复。
通过德讯科技运维操作审计解决方案的应用,能够实现以下三大应用价值:
首先,提供统一的运维平台:方案提供统一WEB管理入口,统一认证登陆用户身份的合法性;系统自带字符类/图形类/应用类多种运维工具,无需运维客户端自行安装,避免运维过程中出现工具不全面,版本不兼容的问题;支持会话代理访问通道的建立,改变原有本地客户端直接发起会话的运维模式,对运维过程实现有效监控与审计。
其次,实现双人授权访问控制:依据行业安全等级保护标准,方案实现双人授权访问控制策略管理。权限范围内的任何一人登陆运维平台,即使通过身份认证,也不能独自执行会话操作,必须得到策略内另一用户的授权。系统支持本地口令输入及远程身份认证两种授权方式。主要通过提升授权管理的细粒度,保障核心设备、关键业务以及第三方运维操作的合规性、安全性。
***,提供事后全面审计,保证操作留痕:方案提供网内运维管理全生命周期的审计,即采用流媒体形式记录运维人员登陆运维网关至登出运维网关的全过程,支持对字符、图形、数据库、WEB应用等多种类型会话的全面审计。
