數(shù)據(jù)中心運(yùn)維安全解決方案

1、 數(shù)據(jù)中心運(yùn)維安全解決方案 摘要現(xiàn)有數(shù)據(jù)中心的運(yùn)維管理工作，主要面臨運(yùn)維管理復(fù)雜度高、共享賬號(hào)存在安全隱患、誤操作造成嚴(yán)重?fù)p失、訪問(wèn)控制策略不完善、審計(jì)用戶操作困難等問(wèn)題。背景介紹現(xiàn)有數(shù)據(jù)中心的運(yùn)維管理工作，主要面臨如下幾個(gè)方面的問(wèn)題：運(yùn)維管理復(fù)雜度高、共享賬號(hào)存在安全隱患、誤操作造成嚴(yán)重?fù)p失、訪問(wèn)控制策略不完善、審計(jì)用戶操作困難。運(yùn)維管理復(fù)雜度高隨著數(shù)據(jù)中心規(guī)模的擴(kuò)大，網(wǎng)絡(luò)設(shè)備的多樣化，運(yùn)維管理人員也相應(yīng)的增多；由于運(yùn)維用戶角色及設(shè)備的多樣性，數(shù)據(jù)中心會(huì)存在同一個(gè)運(yùn)維管理人員同時(shí)管理多臺(tái)設(shè)備的情況，也會(huì)存在同一臺(tái)設(shè)備被多個(gè)運(yùn)維管理人員共同管理的情況。另外，對(duì)于管理大量數(shù)據(jù)中心設(shè)備的運(yùn)維管理人

2、員來(lái)說(shuō)，如何安全有效的管理好大量的設(shè)備賬戶和密碼，也是一項(xiàng)復(fù)雜、繁瑣的工作。共享賬號(hào)存在安全隱患由于運(yùn)維工作的需要，數(shù)據(jù)中心往往存在多個(gè)運(yùn)維管理人員同時(shí)管理設(shè)備上同一個(gè)賬號(hào)的情況。多人共用賬號(hào)為運(yùn)維管理人員帶來(lái)工作便利的同時(shí)，也帶來(lái)了一定的安全風(fēng)險(xiǎn)。設(shè)備上共用賬號(hào)執(zhí)行的操作，無(wú)法唯一性確定到運(yùn)維管理人員身上。另外，如果其中任何一個(gè)人離職或者將賬號(hào)告訴其他無(wú)關(guān)人員，也會(huì)使這個(gè)賬號(hào)面臨安全隱患。誤操作造成嚴(yán)重?fù)p失復(fù)雜繁重的運(yùn)維管理工作難免會(huì)造成運(yùn)維管理人員的誤操作，這些誤操作一旦涉及到敏感的操作命令或核心數(shù)據(jù)，就有可能造成網(wǎng)絡(luò)中斷從而影響業(yè)務(wù)系統(tǒng)運(yùn)行，甚至可能導(dǎo)致核心數(shù)據(jù)的修改和刪除，給政府、企業(yè)

3、造成不可挽回的經(jīng)濟(jì)損失，并給其聲譽(yù)帶來(lái)嚴(yán)重影響。訪問(wèn)控制策略不完善一直以來(lái)，數(shù)據(jù)中心實(shí)現(xiàn)訪問(wèn)控制的手段，一是通過(guò)內(nèi)外網(wǎng)隔離，二是通過(guò)添加路由器、交換機(jī)訪問(wèn)控制列表實(shí)現(xiàn)。內(nèi)外網(wǎng)隔離從物理層上保障了數(shù)據(jù)中心的安全，但是，對(duì)于一些外網(wǎng)訪問(wèn)的需要，也帶來(lái)了不便。設(shè)置路由器、交換機(jī)訪問(wèn)控制列表，可以嚴(yán)格控制對(duì)數(shù)據(jù)中心和關(guān)鍵設(shè)備的訪問(wèn)，但是需要運(yùn)維管理人員非常專業(yè)的操作技能，而且，由于配置復(fù)雜、工作量大，稍有操作不慎，就會(huì)影響數(shù)據(jù)中心業(yè)務(wù)的正常運(yùn)行。審計(jì)用戶操作困難當(dāng)前數(shù)據(jù)中心在審計(jì)用戶操作方面遇到很多困難和瓶頸。一是，無(wú)法對(duì)運(yùn)維用戶操作期間的行為進(jìn)行實(shí)時(shí)的監(jiān)控、管理，一般是出現(xiàn)安全事故后才去排查操作的問(wèn)

4、題；二是，出現(xiàn)安全事故后，審計(jì)用戶操作的手段單一，主要依靠系統(tǒng)日志和歷史命令文件。例如Linux系統(tǒng)上，需要去查看、分析大量的系統(tǒng)日志文件，以及歷史命令文件，但是，擁有root權(quán)限的用戶卻可以刪除這些日志文件和歷史命令文件，這就會(huì)造成審計(jì)無(wú)據(jù)可循。另外，就算在海量的日志文件中找到了違規(guī)操作日志，也無(wú)法定位到運(yùn)維管理人員。解決方案介紹浪潮運(yùn)維安全管控系統(tǒng)（簡(jiǎn)稱“浪潮SSC”）是浪潮針對(duì)政府、財(cái)稅、金融、證券、電信、大中型企業(yè)等行業(yè)數(shù)據(jù)中心研發(fā)的業(yè)界領(lǐng)先的運(yùn)維安全審計(jì)產(chǎn)品。產(chǎn)品采用協(xié)議代理、協(xié)議解碼、命令識(shí)別等多種業(yè)內(nèi)先進(jìn)技術(shù)，為用戶提供軟硬件一體化的解決方案，通過(guò)嚴(yán)格、細(xì)致的訪問(wèn)控制策略，在確保

5、數(shù)據(jù)中心設(shè)備訪問(wèn)安全的同時(shí)，實(shí)現(xiàn)對(duì)服務(wù)器、數(shù)據(jù)庫(kù)和網(wǎng)絡(luò)設(shè)備的集中訪問(wèn)管理，并對(duì)運(yùn)維人員的字符終端、圖形終端訪問(wèn)進(jìn)行實(shí)時(shí)監(jiān)控和事后追溯審計(jì)，滿足對(duì)數(shù)據(jù)中心核心資源的集中管理、安全訪問(wèn)和監(jiān)控審計(jì)的要求。賬號(hào)集中管理賬號(hào)集中管理是指對(duì)運(yùn)維用戶賬號(hào)和服務(wù)器、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備賬號(hào)進(jìn)行集中統(tǒng)一管理。賬號(hào)集中管理是浪潮運(yùn)維安全管控系統(tǒng)（浪潮SSC）實(shí)現(xiàn)集中授權(quán)、訪問(wèn)控制、身份認(rèn)證和安全審計(jì)的基礎(chǔ)。通過(guò)賬號(hào)集中管理，不僅方便對(duì)大量用戶賬號(hào)的管理和授權(quán)，還能夠?qū)~號(hào)設(shè)置安全的密碼策略，此外，通過(guò)賬號(hào)與運(yùn)維用戶的綁定，真正實(shí)現(xiàn)針對(duì)運(yùn)維用戶的行為審計(jì)。身份認(rèn)證浪潮運(yùn)維安全管控系統(tǒng)（浪潮SSC）為用戶提供統(tǒng)一的安全認(rèn)

6、證接口，并且支持多種安全認(rèn)證模式，包括靜態(tài)口令認(rèn)證、USBKey證書認(rèn)證、POP3認(rèn)證、Windows AD域認(rèn)證、Radius認(rèn)證等。采用統(tǒng)一的安全認(rèn)證接口，不僅便于對(duì)用戶認(rèn)證的管理，而且，能夠采用安全的認(rèn)證模式，提高用戶認(rèn)證的安全性和可靠性。授權(quán)管理浪潮SSC提供基于運(yùn)維用戶、設(shè)備、設(shè)備賬號(hào)的細(xì)粒度訪問(wèn)授權(quán)機(jī)制，最大限度保護(hù)設(shè)備資源的安全。通過(guò)資源授權(quán)界面，可以對(duì)數(shù)據(jù)中心資源和資源賬號(hào)進(jìn)行管理，針對(duì)運(yùn)維用戶進(jìn)行資源賬號(hào)的訪問(wèn)授權(quán)，并通過(guò)設(shè)置訪問(wèn)控制策略，限制運(yùn)維用戶的訪問(wèn)行為。資源授權(quán)列表以“運(yùn)維用戶（組）資源（組）資源賬號(hào)”的形式，不僅完成了資源賬號(hào)到運(yùn)維用戶的綁定，而且為數(shù)據(jù)中心資源的

7、訪問(wèn)控制管理帶來(lái)了極大便利。單點(diǎn)登錄浪潮運(yùn)維安全管控系統(tǒng)（浪潮SSC）提供單點(diǎn)登錄功能，系統(tǒng)管理員為運(yùn)維用戶設(shè)置可以訪問(wèn)的資源、賬號(hào)和密碼后，運(yùn)維用戶只需要通過(guò)B/S方式登錄系統(tǒng)，就能夠以設(shè)置好的賬號(hào)訪問(wèn)資源，無(wú)須再次輸入賬號(hào)和密碼。單點(diǎn)登錄為管理大量不同類型資源的運(yùn)維用戶提供了方便快捷的運(yùn)維方式。運(yùn)維用戶無(wú)需打開(kāi)多種管理工具，也無(wú)需多次輸入用戶名和密碼，極大地提高了運(yùn)維管理效率。同時(shí)，系統(tǒng)提供了多種安全認(rèn)證模式，保證運(yùn)維賬號(hào)的安全性。安全審計(jì)針對(duì)運(yùn)維用戶的字符終端和圖形終端訪問(wèn)，浪潮運(yùn)維安全管控系統(tǒng)（浪潮SSC）提供了系統(tǒng)、全面的事中審計(jì)、事后審計(jì)兩種審計(jì)模式。事中審計(jì)可以方便系統(tǒng)管理員實(shí)時(shí)

8、監(jiān)控運(yùn)維用戶的字符終端、圖形終端訪問(wèn)，并及時(shí)切斷高危訪問(wèn)連接。事后審計(jì)為系統(tǒng)管理員提供了全面的審計(jì)記錄，包括運(yùn)維用戶的字符終端、圖形終端訪問(wèn)的完整操作回放、命令記錄和命令內(nèi)容。事中審計(jì)和事后審計(jì)結(jié)合，可以為數(shù)據(jù)中心提供基于運(yùn)維用戶的、全面的系統(tǒng)運(yùn)維審計(jì)記錄，并且，審計(jì)記錄支持多種查詢模式，方便審計(jì)管理員快速、精確定位運(yùn)維人員操作點(diǎn)。產(chǎn)品部署浪潮運(yùn)維安全管控系統(tǒng)（浪潮SSC）采用單臂部署模式，部署在被管理設(shè)備的訪問(wèn)路徑上，通過(guò)路由器或者交換機(jī)的訪問(wèn)控制策略限定只能由SSC直接訪問(wèn)設(shè)備的遠(yuǎn)程維護(hù)端口。運(yùn)維人員管理設(shè)備時(shí)，首先以WEB方式登錄SSC，然后通過(guò)系統(tǒng)展現(xiàn)的訪問(wèn)資源列表直接訪問(wèn)授權(quán)設(shè)備。邏

9、輯部署示意圖如圖7-1所示：圖 產(chǎn)品邏輯部署示意圖客戶收益集中管理，降低管理成本傳統(tǒng)的數(shù)據(jù)中心管理方式，存在運(yùn)維人員與設(shè)備賬號(hào)一對(duì)多、多對(duì)一的問(wèn)題，首先是運(yùn)維人員、設(shè)備賬號(hào)數(shù)量眾多造成管理復(fù)雜，其次，當(dāng)數(shù)據(jù)中心增加設(shè)備時(shí)，需要建立一套新的賬號(hào)管理系統(tǒng)，可擴(kuò)展性差。而通過(guò)浪潮運(yùn)維安全管控系統(tǒng)（浪潮SSC）的集中賬號(hào)管理，可以實(shí)現(xiàn)對(duì)數(shù)據(jù)中心賬號(hào)基礎(chǔ)信息進(jìn)行標(biāo)準(zhǔn)化管理，能夠?yàn)閿?shù)據(jù)中心各設(shè)備資源提供基礎(chǔ)的用戶信息源，并保證各設(shè)備資源的運(yùn)維用戶信息唯一性和同步更新。單點(diǎn)登錄，提高運(yùn)維管理效率浪潮運(yùn)維安全管控系統(tǒng)（浪潮SSC）在對(duì)運(yùn)維人員進(jìn)行資源授權(quán)后，運(yùn)維人員登錄系統(tǒng)，即可看到自己管理的所有設(shè)備資源。由

10、于資源授權(quán)具體到設(shè)備資源的賬號(hào)、密碼，因此，運(yùn)維人員只需點(diǎn)擊資源列表中相應(yīng)的資源即可管理設(shè)備，無(wú)需再次輸入賬號(hào)、密碼，極大的提高了運(yùn)維管理效率。多種安全策略相結(jié)合，提高設(shè)備訪問(wèn)安全浪潮運(yùn)維安全管控系統(tǒng)（浪潮SSC）擁有完善的安全訪問(wèn)策略，可以通過(guò)添加IP地址策略限制運(yùn)維人員登錄系統(tǒng)的IP地址；可以設(shè)置運(yùn)維人員可訪問(wèn)系統(tǒng)的工作時(shí)間段策略；也可以設(shè)置運(yùn)維人員訪問(wèn)設(shè)備資源時(shí)的命令策略，禁用高危系統(tǒng)命令，并進(jìn)行郵件告警；還可以設(shè)置二次授權(quán)，對(duì)運(yùn)維人員操作核心服務(wù)器和數(shù)據(jù)庫(kù)時(shí)進(jìn)行登錄審批。通過(guò)一系列的安全訪問(wèn)策略，保證客戶數(shù)據(jù)中心設(shè)備資源的訪問(wèn)安全。安全審計(jì)，提供完善的審計(jì)體系針對(duì)字符終端和圖形終端訪問(wèn)，浪潮運(yùn)維安全管控系統(tǒng)（浪潮SSC）提供了事中審計(jì)和事后審計(jì)兩種