智慧的數(shù)據(jù)中心運維風(fēng)險管理

智慧的數(shù)據(jù)中心運維風(fēng)險管理大數(shù)據(jù)時代的運維風(fēng)險管理智慧堡壘機運維管理的新方向什么是智慧？《辭海》上解釋為“對事物能認識、辨析、判斷處理和發(fā)明創(chuàng)造的能力。作為世界上最成功的高科技企業(yè)之一和創(chuàng)造新概念的高手，IBM公司在2009年伊始提出了智慧地球的概念，以期給地球上每一個看似無序的“物件”全部嵌上智能的“大腦”和“心臟”，以一種“更智慧”的方法來改進政府、公司和人們相互交互的方式，以便提高交互的明確性、效率、靈活性和響應(yīng)速度。各行各業(yè)的系統(tǒng)都需要變得更智慧，只有這些系統(tǒng)都演變成智慧系統(tǒng)，智慧地球才能真正實現(xiàn)。近五年來，國內(nèi)數(shù)據(jù)中心建設(shè)的投資年增長率超過20%，各大行業(yè)都在規(guī)劃、建設(shè)和改造各自的數(shù)據(jù)中心。然而，隨著信息化發(fā)展的不斷深入和信息量的爆炸式增長，數(shù)據(jù)中心正面臨著前所未有的挑戰(zhàn)。根據(jù)數(shù)據(jù)中心性能研究機構(gòu)UptimeInstitute所提供的數(shù)據(jù)，目前人為失誤引發(fā)了大約70%的數(shù)據(jù)中心故障。因此，需要最大程度地減少人為操作的風(fēng)險。據(jù)統(tǒng)計，僅2011年至2012年期間，因數(shù)據(jù)中心內(nèi)部IT運維人員的誤操作或越權(quán)訪問，給數(shù)據(jù)中心管理者所帶來的損失就高達數(shù)百億元。從這些數(shù)據(jù)中可以看到，如何保障數(shù)據(jù)中心IT基礎(chǔ)設(shè)施運維管理的可靠和安全，已經(jīng)成為數(shù)據(jù)中心運營管理者最為關(guān)注也最棘手的問題。目前，數(shù)據(jù)中心運維普遍存在數(shù)據(jù)量急速膨脹，運營成本高昂、安全性差，業(yè)務(wù)連續(xù)能力低等一系列挑戰(zhàn)，例如：令各種服務(wù)器上各種各樣的帳號和密碼種類繁多，管理復(fù)雜；令管理員、設(shè)備供應(yīng)商人員、第三方代維人員較多，究竟誰動了配置和數(shù)據(jù)不可定位、追溯；令各種誤操作、違規(guī)操作、惡意操作可能導(dǎo)致系統(tǒng)問題或信息被篡改、破壞、泄漏；令用戶通過遠程接入進行操作存在嚴重隱患；令對操作行為無法監(jiān)控和審計。目前數(shù)據(jù)中心亟待解決的問題主要有：如何降低運維操作導(dǎo)致的安全風(fēng)險；如何降低運維操作成本，從復(fù)雜繁重的維護升級和大量的后續(xù)資金投入中解脫出來；如何保障數(shù)據(jù)中心運維管理合規(guī)性。數(shù)據(jù)中心運維安全審計系統(tǒng)可以緩解上述問題，然而解決運維操作風(fēng)險問題難度大、涉及面多（人員、設(shè)備、資源、應(yīng)用、賬戶、操作等），技術(shù)面廣且難點多，難以有效統(tǒng)一管控。如果產(chǎn)品設(shè)計和實現(xiàn)不到位，容易造成管理復(fù)雜且使用不便，難以適應(yīng)數(shù)據(jù)中心實際環(huán)境和發(fā)展需要。目前部分運維堡壘機廠商的產(chǎn)品普遍存在以下問題：.運維堡壘機的賬戶系統(tǒng)未能與設(shè)備系統(tǒng)賬戶完全分離。運維堡壘機要求所有應(yīng)用訪問均通過代理機制完成，而不應(yīng)有“落地”行為。然而，有些廠商號稱是運維堡壘機，但仍然遺留了很多跳板機的設(shè)計，即運維操作用戶名都建立在系統(tǒng)上，而不是獨立的數(shù)據(jù)庫，這種情況下就無法建立“root〃名的運維用戶名。.運維堡壘機成為了新的系統(tǒng)脆弱點。由于運維堡壘機是連接前后端的唯一途徑，首當其沖成為了被攻擊的重要目標，風(fēng)險加大。因此應(yīng)該盡量減少系統(tǒng)加載的服務(wù)或模塊，從而盡可能減少可被攻擊的風(fēng)險。.部署困難，管理繁瑣，用戶操作體驗不佳。特別是在管理設(shè)備種類較多、設(shè)備數(shù)量規(guī)模較大的情況下，存在配置界面復(fù)雜，操作方式不連貫，部署費工費時等問題。尚思卓越創(chuàng)新地提出了智慧的運維操作風(fēng)險管理這一產(chǎn)品理念，推出了尚維操作風(fēng)險管理系統(tǒng)，能夠全面滿足管理者對數(shù)據(jù)中心運維安全管控的迫切需求。尚思卓越的研發(fā)團隊認為，如果能夠經(jīng)由一種更智慧的方法來改變運維人員和IT基礎(chǔ)設(shè)施交互的方式，顯著提高交互的安全性、合規(guī)性、效率、靈活性和響應(yīng)速度，既能很好地解決運維操作風(fēng)險，又能便捷支持各類運維終端應(yīng)用，部署簡單使用方便，管理者將會從復(fù)雜的運維管理中解脫出來，而專注于提升數(shù)據(jù)中心的核心價值。為了研發(fā)出一款智慧的產(chǎn)品，在設(shè)計之初，尚思卓越就采取了以下方面的努力，確保尚維操作風(fēng)險管理系統(tǒng)成為一款革新性的產(chǎn)品。令感知需求：尚思卓越擁有出色的研發(fā)團隊，根據(jù)多年的IT內(nèi)控和堡壘機產(chǎn)品研發(fā)經(jīng)驗，深入感知用戶需求，在傳統(tǒng)的運維操作風(fēng)險管理的核心要求（身份管理、訪問控制、操作追蹤、合規(guī)報表）之外，準確定位堡壘機作為系統(tǒng)中單一故障點的高安全性、高可用性和高可靠性需求；令創(chuàng)新技術(shù)：通過在系統(tǒng)體系架構(gòu)、智能功能和安全保障等個方面的變革創(chuàng)新來滿足用戶需求，并前瞻考慮，進一步地滿足用戶2-3年內(nèi)的增長性需求，超出用戶期望。尚思卓越智慧的運維風(fēng)險管理的核心是通過尚維風(fēng)險管理系統(tǒng)，使風(fēng)險管理設(shè)備與IT基礎(chǔ)設(shè)施的完美結(jié)合，運維人員可以進行更高效的操作，做出更明智的決策，降低運維操作風(fēng)險，提高信息系統(tǒng)運行的安全性和事件的追溯能力，提高企業(yè)工作效率。尚維產(chǎn)品提供的智慧的運維風(fēng)險管理主要體現(xiàn)在以下四個方面：更全面的可見性更透徹的感知更深入的智能更可靠的安全智慧的運維風(fēng)險管理概念圖更全面的可見性更透徹的感知更深入的智能更可靠的安全智慧的運維風(fēng)險管理概念圖令更透徹的感知更透徹的感知是指尚維操作風(fēng)險管理系統(tǒng)可以時刻測量、捕獲、監(jiān)控和傳遞運維操作信息，基于專用硬件設(shè)備和裁剪定制的操作系統(tǒng)，通過使用先進創(chuàng)新的感知手段，快速獲取運維操作信息并進行分析，便于立即采取應(yīng)對措施和進行事后追溯。?支持對所有主流運維協(xié)議的監(jiān)控，包括文本類、文件類、圖形類、Web類、數(shù)據(jù)庫類和應(yīng)用類等多種協(xié)議(如SSH、TELNET、RDP、VNC、X11、(S)FTP、HTTP(S)、ORACLE、InforMix、DB2、MSSQL、Sybase、MYSQL)的監(jiān)控。?支持多類設(shè)備和系統(tǒng)，包括主機服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備及數(shù)據(jù)庫系統(tǒng)等，支持IBMAix、HPUnix、SunSolaris、SCOUnix、Linux、Windows等各種操作系統(tǒng)主機和各種網(wǎng)絡(luò)、安全設(shè)備；支持WinXP、Vista、Win7、Win8等主流運維終端系統(tǒng);支持Windows下所有主流瀏覽器，IE(內(nèi)核)、Firefox、Chrome、Opera等。?具有業(yè)界最強的協(xié)議轉(zhuǎn)發(fā)處理能力，摒棄業(yè)界常用的協(xié)議轉(zhuǎn)發(fā)“黑盒子”，能夠?qū)elnet、FTP、SSH、SFTP、RDP(WindowsTerminal)>Xwindows、VNC、AS400、HTTP、HTTPS協(xié)議進行完整的透明轉(zhuǎn)發(fā)，特別是對圖形化操作協(xié)議的轉(zhuǎn)發(fā)性能遠遠優(yōu)于其它同類型產(chǎn)品(最大并發(fā)數(shù)為500)，并具有橫向無縫擴展能力。自動獲取管理的數(shù)據(jù)中心的設(shè)備賬戶和設(shè)備信息，方便管理員了解數(shù)據(jù)中心IT設(shè)備狀況并及時進行更新和操作。令更全面的可見性更全面的可見性是指通過運維堡壘機，使得管理者能更方便的了解當前的運維情況，更好地對運維操作狀況進行實時監(jiān)控，從全局的角度分析風(fēng)險并實時審計，從而幫助管理者完成安全可控的IT運維。尚維操作風(fēng)險管理系統(tǒng)提供基于數(shù)據(jù)包的協(xié)議分析、還原虛擬化技術(shù)可以實現(xiàn)操作界面模擬，將所有的操作轉(zhuǎn)換為圖形化界面予以展現(xiàn)，實現(xiàn)100%審計信息不丟失。尚維操作風(fēng)險管理系統(tǒng)提供多種類型操作信息回放展現(xiàn)，除針對運維操作圖形化審計功能的展現(xiàn)外，同時還能對字符進行分析，包括命令行操作的命令以及回顯信息和非字符型操作時鍵盤、鼠標的敲擊信息。使用更貼切、操作更易用，支持常規(guī)終端應(yīng)用自適應(yīng)關(guān)聯(lián)，支持常規(guī)終端應(yīng)用顯示真實目標IP地址，注重細節(jié)上的用戶體驗。報表全視角模型展現(xiàn)，提供圖形、表格等各類可視化展現(xiàn)方式，支持定期發(fā)送自定義報表，為用戶提供全面的運維審計和合規(guī)性管理視圖。令更深入的智能更深入的智能是指深入分析收集到的數(shù)據(jù)，以獲取細粒度、精確的運維審計信息，更加系統(tǒng)、全面的提供IT操作風(fēng)險控制、內(nèi)控安全和合規(guī)性等方面的完善、有效的審計手段。目前通用的審計工具大多從網(wǎng)絡(luò)層面或服務(wù)器日志層面獲取較為龐雜的信息，往往會導(dǎo)致關(guān)鍵的管理信息或敏感操作湮沒于日常業(yè)務(wù)數(shù)據(jù)中，或無法追溯操作行為軌跡、了解操作行為意圖，影響審計的有效性或效率。提供全面的操作追蹤服務(wù)，再現(xiàn)關(guān)鍵行為軌跡，探索操作意圖，支持全局實時監(jiān)控與敏感過程回放。首創(chuàng)設(shè)備組內(nèi)資源的掃描機制，便于智能化管理后端眾多資源。這樣在設(shè)備組設(shè)定好設(shè)備范圍后，資源自動掃描將極大地減少設(shè)備的前期部署與后期管理成本，能夠充分滿足現(xiàn)有或未來設(shè)備數(shù)量較多的場景。簡潔易用的人機交互，重視細節(jié)體驗，采用符合用戶線性化操作習(xí)慣的界面交互設(shè)計、符合用戶層次化思維的設(shè)備管理界面設(shè)計以及支持用戶關(guān)鍵字全列表視圖模糊查詢設(shè)計等人性化的交互設(shè)計，降低產(chǎn)品上線后的使用和操作成本。業(yè)界唯一采用非結(jié)構(gòu)化數(shù)據(jù)庫的堡壘機產(chǎn)品，采用為堡壘機數(shù)據(jù)特征量身定制的靈活高效NoSQL數(shù)據(jù)庫，具有復(fù)雜度低、擴展性好、吞吐率高等特點，在靈活，定制、升級和遷移過程中不需更改庫表結(jié)構(gòu)，升級、定制成本低，極大提高了產(chǎn)品的擴展性和可維護性。令更可靠的安全更可靠的安全是指通過對當前的安全實踐進行評估并將其與業(yè)務(wù)需求和經(jīng)營目標統(tǒng)一起來，實現(xiàn)運維操作管理和產(chǎn)品本身的安全。尚維操作風(fēng)險管理系統(tǒng)提供高效的身份和訪問控制管理，隨著IT基礎(chǔ)架構(gòu)的互聯(lián)化和向云計算遷移，控制和監(jiān)控用戶的訪問特權(quán)與活動變得越來越關(guān)鍵，也越來越復(fù)雜。尚思卓越運維風(fēng)險管理解決方案可幫助企業(yè)減輕來自未授權(quán)訪問的風(fēng)險，支持有效的身份和訪問控制管理。提供口令托管和改密功能，能夠在增強安全性的同時，簡化對運維口令的管理。強大的抗攻擊性，采用口令防嗅探機制，在系統(tǒng)認證層面，通過強加密方式傳輸主從帳號口令，避免可能的嗅探攻擊行為，在運維操作層面，采用動態(tài)口令，基于OTP(one-timepassword)認證方式加密整個運維過程，保障運維安全。完備的高可用性，支持雙機熱備中設(shè)備間配置實時同步和操作日志零延時同步，支持獨立心跳線和獨立數(shù)據(jù)線，支持浮動IP、支持查看同步狀態(tài)，全方位保障堡壘機的高可用性。完善的數(shù)據(jù)安全策略，采用業(yè)界首創(chuàng)的不落地操作日志網(wǎng)絡(luò)回放技術(shù)，確保數(shù)據(jù)隔離，對系統(tǒng)內(nèi)敏感信息、數(shù)據(jù)加密存儲，采用完備的口令管理，并支持密函打印。完備的自身安全性保障，尚維操作風(fēng)險管理系統(tǒng)采用專門設(shè)計的安全、可靠、高效的硬件平臺以及裁剪定制的Linux內(nèi)核，不開放3389、21、22、23等高危端