运维安全审计平台

运维安全审计平台（共7篇）

运维安全审计平台 篇1

0项目背景

随着移动互联网发展、智能终端的普及,网络需求上升为消费者在购物、业务办理等线下消费时迫切的需求。基于消费者的这一需求出发,目前金融、商贸、酒店、生产制造、IT传媒、交通物流、医药医院等行业都有较旺盛的商业WIFI建设需求。

金融行业 :在移动网络技术不断发展的背景下,利用新兴技术构建新颖、便捷、多样化的营销渠道,将更好的支撑银行网点营销服务形式与内涵的创新。为更好的向银行客户提供高质量的服务,吸引更多市民到建行办理业务,通过更加丰富的渠道向客户介绍建行金融产品,全方位提升建行在客户心中地位,提高同业竞争能力、提升客户感知度,推动电子银行业务发展,展示现代化银行风采。

商贸行业 :当前边逛街边无线上网,已成为消费者的生活习惯,市场调查发现,客户更倾向于到有免费无线网络的商场消费。因此门店的无线覆盖开始引起众多商家的重视。而且基于电商对传统零售业的冲击,“线下试衣线上购物”日益抢占实体店的客流。越来越多的商家开始涉足电商。传统零售业的优势在于线下体验,因此打造WIFI门店、商圈,打通线下线上通道,整合线下线上资源的O2O之路成为众多商家的选择。

基于上述的需求,结合商务WIFI的线路销售成为集客新的战略增长点。

1 客户需求

1.1 法律法规监管要求

公安部82号令《互联网安全保护技术措施规定》对互联网服务提供者、联网使用单位明确提出了安全防护、身份记录、日志留存等要求。一旦建成WIFI环境,当顾客在享受无线网络带来的上网便捷时,作为网络管理方,需要承担公安部门网络监督检查的风险。尤其是目前涉及有WIFI建设需求的行业(营业厅、门店、商圈)都存在人员流动性大、人员构成复杂的特性,一旦顾客上网行为触犯了法律风险时,需要有相应的技术手段帮助公安部门找到当事人,避免自行承担责任风险。

1.2 用户上网体验保障

从目前客户需求及建设情况来看,目前WIFI建设场景下,行业客户对线路的投资还主要集中在4M、8M、10M级别。有限的带宽要满足营业厅、门店、商场等较大量客户的使用,如何保障用户上网体验也成为行业客户在建设WIFI环境时重点关心的问题。比如,银行的客户就明确提出 :针对WIFI营业厅的网络访问做合理的流量限制(限制P2P、视频、软件升级等应用流量)、针对不同客户提供差异化的上网服务(如 :设置流量配额或时长限制,避免蹭网等行为)

1.3 网络访问的安全性

公安部82号令《互联网安全保护技术措施规定》对互联网服务提供者、联网使用单位明确提出要求落实防范计算机病毒、网络入侵和攻击破坏等危害网络安全事项或者行为的技术措施 ;而且行业客户在新建营业厅、门店、商场时候也考虑到避免造成顾客损失导致纠纷,也有要求 :新建的WIFI环境需具备安全防护的功能,避免顾客在WIFI环境下上网时候,访问到一些不安全的网站或被攻击等导致经济等损失。

1.4 商业 WIFI 的增值价值

行业客户构建WIFI环境的初衷,一方面在于为顾客提供便利从而增强顾客粘性,另一方面也对WIFI环境给予了增值的期望。比如 :WIFI上网的认证环节实现广告推送(目前认证和广告推送,公司已经采用了华为的认证平台)、用户访问行为的数据分析,如 :是否访问了其推送的广告页面、哪些客户对推送的页面感兴趣(浏览时间较长),若是想针对这部分客户做精确营销如何精准定位这部分客户等。

2 解决方案

针对行业WIFI建设过程中的共性需求,从投资效益和客户导向的角度出发,采用“两级架构、集中管理”模式建设行业WIFI安全审计平台。

在地市BAS交换机上,做公众WIFI和行业WIFI的流量分流。实现将后续行业WIFI的WLAN流量基于SSID做分流汇聚,通过1台BAS上联城域网骨干设备。(图 1)

3 主要建设内容

地市:部署1台安全审计网关设备(部署位置 :BAS旁挂),部署的安全审计网关需针对行业WIFI提供如下功能 :

1)上网行为 记录功能 :全面记录WIFI环境下用户的各种网络访问行为(如:BBS、论坛发帖、网页访问、邮件外发、IM聊天等)。构筑了强大的内部安全屏障,满足公安部82号令等合规要求。

2)流量管理功能 :能基于应用类型、网站类别、文件类型、用户 / 用户组、时间段等的细致流量管理。能限制P2P、在线视频、大文件下载等不良应用所占用的带宽、具备上网流量配额、时长管理功能,保障用户网络访问体验。

3)安全防护 功能 :具备防火 墙、IPSEC VPN、不良网页 过滤、防DOS、防ARP欺骗、网关杀毒、恶意网址及脚本插件过滤等功能,满足行业WIFI的安全防护需求。

省公司 :部署安全审计集中管理平台,实现对14地市部署的安全审计网关的集中管理(包括集中配置下发、远程维护、集中日志管理、拓扑监控)、集中数据管理平台(建设数据中心平台,实现行业WIFI上网行为数据的集中管理、数据统计分析功能,能提供对指定页面的访问情况做统计分析,满足客户针对性营销的数据要求。

运维安全审计平台 篇2

移动互联内容安全审计平台是对移动信息数据进行安全审计, 其功能需求包括移动信息数据采集功能、移动信息数据解析功能、审计规则库设计、移动信息内容审计、网络可视化功能。

移动信息数据采集功能。因为移动网络信息数据通过代理服务器进行转发,所以可以通过在代理服务器对用户数据进行采集,进而方便对移动信息数据进行审计监管,数据采集采用多线程工作方式,保证移动用户网络访问速度。

移动信息数据解析功能。移动信息数据解析功能是对服务器采集到的数据进行解析,实现对信息内容的还原,有助于审计平台对信息内容进行评判。

审计规则库设计。建立移动互联网内容审计规则数据库,该数据库中存放非法内容匹配数据,通过关键字匹配控制移动互联网流传内容,审计规则库的规则可根据实际需要进行添加和修改,保证审计规则库的先进性与实用性。

移动信息内容审计。移动信息内容审计是对数据文本进行模式匹配,可以通过匹配算法与审计规则库中的数据进行匹配,发现非法内容可对其进行屏蔽,并提供非法信息追溯依据。

网络可视化功能。移动互联网内容安全审计平台设计采用可视化监控界面,提供与用户友好交互的操作方式,方便网络内容监管人员进行监控。

2 平台设计

移动互联内容安全审计平台主要针对移动互联网中的文本数据进行分析和审计,平台要求具有较高的实时性、准确性和主动防御功能。

2.1 总体设计

移动互联内容安全审计平台设计结构如图1所示。移动互联网内容安全审计平台主要包括数据采集模块、数据解析模块、规则库模块和内容审计模块四大部分,数据采集模块负责采集移动互联网中的用户数据包,数据包中包含信息数据、图片信息、视频信息等;数据解析模块将移动互联网中的用户数据包解析,并以文本数据形式进行数据表达;规则库模块中存放移动互联网信息内容审计规则,内容审计模块通过关键词匹配与解析出的文本数据进行比对,如未发现问题则通过,如果发现问题则屏蔽内容并提供给网监人员地址追溯路径。

2.2 数据库设计

本文采用Java语言,My SQL数据库。数据库设计规则需满足移动互联网内容安全审计需求,数据库中主要数据表包括信息采集数据表、内容匹配数据表、规则库表和规则库分类表。信息采集数据表如表1所示。

内容匹配数据表如表2所示。

规则库表如表3所示。

规则库分类表如表4所示。

数据库关系模型如图2所示。

2.3 模块设计

移动互联网内容审计平台模块包括数据采集模块、数据解析模块、规则库模块和内容审计模块。

数据采集模块实现移动网络数据与计算机通过网关进行数据交换,在计算机网关电脑搭建移动网络代理数据采集服务器,移动互联网中的信息经过代理服务器后再进行转发,由此可在代理服务器中进行数据采集。

数据解析模块是将移动网络数据包进行解析,抽取文本数据。但是,在网络传输的数据中,为了提高传输速度,会将数据包拆分多个数据包进行分传,因此,在数据包分析中,对于零散数据包解析并不能够实现对信息的有效审计,因此,需要对数据包进行拼接,并在网络应用层实现会话重现,进而进行数据文本提取。

规则库模块是提供网络安全审计规则的添加与修改服务,通常规则库中的内容包括政治敏感关键字、色情关键字、恐怖邪教关键字、污秽词语等,关键字的设定可以根据实际需要实时添加与修改,保证规则库的先进性。

内容审计模块采用单模式匹配和多模式匹配结合的方法对移动互联网内容进行审计,其中单模式耗用时间较少,逐条匹配,对于内容单一、模式串数目小的移动互联网内容可以选择采用单模式匹配算法。如果模式串数目增大,操作设定值,就应采用多模式匹配算法,提高匹配的时间。

3 平台实现

移动互联网内容安全审计平台是实现移动互联网信息数据的安全审计功能的系统平台,其平台审计实现流程如图3所示。

首先在计算机浏览器中启动移动互联网内容审计平台系统,选择模式匹配规则,将移动互联网信息与规则库规则进行匹配;其次,如果匹配后未发现违规信息则返回规则库继续查询规则匹配,如果匹配结果发现违规信息则显示匹配结果,并对不良信息进行屏蔽。

4 平台测试

移动互联性内容在通过代理服务器进行移动互联网内容安全审计过程中,经历安全审计响应过程,为了保证用户信息沟通的实时性,移动互联网信息安全审计平台审计过程要快速、准确、安全。本文对所设计的审计平台进行测试,主要是对平台反应时间及审计效果进行测试, 用移动终端访问10个网站, 在10个网站中有5个网站包含有审计规则库中匹配的不良关键字,另外5个网站不包含规则库规则内容,记录网站登录所耗时间及不良信息审计结果如表5所示。

由表5所示,移动互联网络数据包在100-200KB之间, 移动互联网内容安全审计平台审计时间小于1s,并均能及时发现网页中含有的不良信息,由此证明移动互联网内容安全审计平台具有良好的可用性。

5 结束语

开发运维平台实现运维事务管理 篇3

大型应用系统的运行, 涉及人员多、分布广, 运维工作量大且繁琐, 运维问题由业务经办、系统管理、软件开发等部门人员通过交互方式解决, 关键业务还需办理审批手续, 使用纸质单据流转。

实际操作中存在以下问题:1、流转周期长, 受物理地位限制, 影响业务及时处理;2、不能及时了解问题处理的进展情况;3、难以统计分析系统运行状况, 为应用系统完善提供决策支持。

为克服传统运维模式的不足, 将运维事务纳入运维平台管理。

1 设计思想

梳理问题, 分别归类, 确定事务类型。为每种事务类型制定处理流程, 包含的运维环节、顺序, 是运维事务处理主线。配置事务处理流程属性, 将人员 (包括业务经办、系统管理、软件开发等部门) 划分至不同的业务群组, 授予事务类型权限, 授权后的业务群组成员才能参与该类事务处理;分配业务角色, 角角色色对对应应事事务务流流程程中中的的运运维维环环节节, , 具具有有业业务务角角色色的的用用户户能能够够参参与该环节业务处理。

2 实现过程

2.1 准备阶段

创建运维事务前, 定义事务类型、业务角色、业务群组, 配置事务处理流程, 给业务人员赋于角色、划分群组, 操作内容如下:

常用事务类型和事务处理流程 (右表为新增需求实例) 配置如下表, 根据需要可以调整事务处理流程的业务环节。

业务群组按业务种类划分, 一般与业务部门对应;按人员在业务经办岗位划分角色, 如业务员、科长、主任等。每个业务人员可以拥有一个或一个以上角色, 属于一个或一个以业务群组, 下表列举部分人员关系实例。

2.2 事务处理流程

下图为事务处理流程, 以“新增需求”事务来说明流程执行过程。

(1) 创建事务。根据事务流程配置表, 具有分管科长角色人员能够创建事务, 本例由科长A (人员ID为00939) 承担。对于事务描述内容很多或者涉及相关政策文件, 可以用附件方式加载。

(2) 指定下一环节处理人员。事务创建后, 指定下一环节处理人员, 人员应为同一业务群组且具备下一环节处理角色。

(3) 事务处理。对本环节事务进行处理或者提出处理意见, 对于涉及系统调整环节的事务处理, 处理结论和处理内容应记载详细, 可以以附件方式保存。

(4) 指定下一步处理人员, 重复 (3) 直至事务处理完毕。如果同意按流程流转至下一环节, 则指下一流程环节处理人员, 否则, 退回给上一环节处理人员或者关闭事务。

(5) 关闭事务。事务创建者确认事务处理满足要求后, 关闭事务。

在事务处理过程中, 已参加过事务处理人员, 在事务关闭前随时可以备注方式追加补充处理意见。

应用开发环境基于开放源代码的IDE工具Eclipse, 采用J2EE标准, 数据库为ORACLE。

3 事务处理界面图

用户登录运维系统后, 系统通知待办事务数量及明细, 点击明细后转入界面如下:

本例为一个事务的完整处理过程, 若事务未处理完毕, 则列出已处理环节以及目前事务处理所在环节。根据需要, 可以增添显示列, 如每个环节处理时长等;在创建事务时, 可以增加一些事务属性, 如所属子系统、事务处理紧急等级等, 为查询统计、安排运维工作提供方便。

4 运维平台事务处理统计分析

运维平台除了事务处理功能外, 通过分析平台数据, 找出应用系统存在问题, 提出改进措施。本应用系统业务终端数约1000个, 下图为运维平台上线运行后按季度统计的事务处理情况。

经分析, 造成平台事务处理数量变化原因为:1、2012年3季至2013年1季度, 运维平台上线初期, 并非所有事务都通过平台处理, 2013年2季度起, 要求所有运维事务必须上平台流转处理, 平台事务数在700-800之间。2、2013年4季, 新增一项业务, 需要调整已有业务功能、整理业务数据, 造成平台事务数增加。

经分析, 造成各类事务分布率变化的原因为:1、运维平台上线初期, 软件故障多, 经过一个季度的完善, 应用软件故障率总体呈下降趋势。2、开库操作分布率一直较高, 说明基础数据的准确率低或者业务经办不规范, 应加强基础数据的整改, 规范业务经办规程。3、当硬件发生故障时, 可能造成平台无法使用, 反应故障率低, 而实际情况是此平台不适合处理硬件故障。4、特殊数据提供分布率处于7%-10%间, 说明应用软件查询统计功能基本满足业务要求, 但对于重复要求的特殊数据, 应该综合分析现有软件功能, 将此纳入功能模块或新开模块查询。

5 结语

数据中心IT运维审计体系研究 篇4

随着数据中心安全防护体系的不断完善,来自外部的网络攻击等安全事件造成的危害变得有限,更多、更严重的威胁则来自于内部。据国家计算机网络应急技术处理协调中心的调查结果显示大约76%的网络安全威胁来自于内部,其危害程度远远超过黑客攻击及病毒造成的损失,而这些威胁绝大部分与内部各种网络访问行为有关。

数据中心建设运营初期,信息系统资源较少,少量人员即可完成相关运行维护工作,风险尚处于可控阶段。随着技术的不断发展,大型集中式数据中心逐步建立,信息系统规模越来越大,提供服务越来越多,安全运行要求越来越高,运维人员的构成越来越复杂,随之而来的是不断增长的运维风险。

运维人员通常具有系统的高级权限,在数据中心的安全运行中处于核心地位,很多企业为了降低运维成本,采用部分或全部运维外包的方式,委托第三方运维团队参与数据中心日常运维工作,在这种情况下对运维人员的操作行为管理犹为重要。然而,很多企业还没有建立有效的运维审计体系,缺乏必要的运维审计手段,由运维人员产生的安全案例已处于逐渐上升的趋势。

1 IT运维风险分析

新形势下,数据中心面临着日益复杂的运维环境,运维责任和挑战愈来愈大,影响数据中心安全运维的风险主要存在于以下几方面。

1)运维人员构成复杂。大型数据中心的运维队伍中普通存在内部运维人员、第三方常驻运维人员、第三方临时运维人员等多种角色,管理较为松散。内部运维人员一般具有系统的超级管理员权限,长期以来对内部运维人员的操作行为一直处于难管理的状态,对第三方运维人员的管理同样存在这样的问题,多种运维角色的同时存在,很难对各类运维人员权限进行精细化控制。

2)运维人员操作不合规。信息系统具有结构复杂、变更频度高、技术难度大、实现技术多样化等特点,在传统的运维管理模式下,由于缺乏有效的监管,运维人员普遍存在随意操作、越权操作、不按流程操作、变更操作范围等不合规的操作行为。

3)账号共享安全隐患。基于传统的运维管理模式,无论内部还是外部运维人员,都是直接采用系统账号登录目标系统进行操作,随着信息系统规模的扩大和运维人员的增加,运维人员与系统账号之间的交叉关系越来越复杂,在单个系统账号被多名运维人员所共享的模式下,系统账号不具有唯一性,如果发生误操作或者恶意操作,将很难追查到责任人。

4)缺少取证举证手段。信息系统自身的日志审计功能无法全面记录运维人员的操作行为,无法第一时间发现并阻止违规的操作行为,难以追溯到不合规的操作源头,更无法对违规操作行为进行还原和复现,很难为相关事件的取证举证提供充分的依据。

2 IT运维风险对策新思路

面对传统运维模式带来的风险,必须借鉴先进的IT审计理念[1],设计以预防、消除或减少潜在风险为目标的安全运维架构,构建以IT服务管理为基础[2],以对运维人员操作管控为重点的IT运维审计管理体系,并建设相应的IT运维审计系统,从管理和技术2个层面化解IT运维风险。

IT运维审计体系的核心是建立以运维人员为中心的内控体系,即实现运维人员与目标系统的逻辑分离,构建“运维人员→主账号(集中运维账号)→授权→从账号(目标系统账号)→目标系统”的管理架构。在此架构下,通过基于唯一身份标识的集中运维账号与访问控制策略,实现集中精细化运维操作管控与审计。该体系涵盖IT服务管理、集中运维管理、访问控制管理、合规审计管理4个部分,图1描述了该体系各部分间的递进关系。

1)IT服务管理。建立规范的运维操作标准化流程[3],强化操作工单审批制度,实现工单账号与运维账号相统一,实现工单审批与运维账号授权相统一。

2)集中运维管理。实现对运维人员账号的统一管理,为每个运维人员分配独立的运维账号,并建立运维人员账号与目标系统账号的授权与关联机制,实现对服务器、网络设备、安全设备等信息资产的统一管理[4]。

3)访问控制管理。坚持权限最小化原则,设置不同运维账号对不同系统的访问权限,设置不同运维账号允许的登录IP地址、操作命令等规则,实现对运维操作的细粒度访问控制管理,避免可能存在的越权访问。

4)合规审计管理。实现对运维人员操作行为的全程监控和记录,对违规操作进行阻断和报警,建立操作回放审计机制,满足安全运维合规性审计要求。

3 IT运维审计管理模型

利用先进的管理和技术手段,将贯穿IT运维全过程的人员、设备、账号、操作等要素进行有机整合,建设涵盖运维人员、IT资产、操作管理等多层面的IT运维审计管理模型,为IT运维审计体系提供科学合理的全局视图,在体系化审计框架下开展IT运维工作,实现对IT运维全过程的可控、能控、在控。

在“运维人员→主账号(集中运维账号)→授权→从账号(目标系统账号)→目标系统”的管理架构下,依据IT运维全过程的各要素特征,建立多维IT运维审计管理模型,划分为运维人员、IT资产和操作管理3个维度,并为各维度设计了相应的属性,图2为多维IT运维审计管理模型。在此模型基础上,研究各维度间的依赖关系,设计科学的审计规则,形成切实有效的IT运维审计工作体系。

1)运维人员维度(X)。运维人员既是数据中心安全运行的保障,同时又是数据中心安全运行的潜在风险,其在数据中心的安全运行中处于核心地位,根据IT运维的特点,将运维账号、运维IP地址、时间和操作行为定义为该维度的4个关键属性。

运维账号(X1):指运维人员的集中运维账号,运维人员通过集中运维账号对目标系统进行操作,该属性用以标识运维人员身份的唯一性和不可抵赖性。

运维IP地址(X2):指运维人员使用的客户端地址,该属性用以标识运维人员发起操作的IP地址。

时间(X3):指运维人员进行操作的时间窗口,该属性用以标识运维人员发起操作的开始时间和结束时间。

操作行为(X4):指运维人员在目标系统上进行的运维操作,该属性用以标识运维人员发起的各类操作命令。

2)IT资产维度(Y)。IT资产是支撑数据中心稳定运行的所有信息资源的总称,是数据中心的核心价值所在,同时也是数据中心的运维对象,根据运维对象的特点,将主设备、IP地址、服务和数据定义为该维度的4个关键属性。

主设备(Y1):指服务器、交换机、防火墙等物理设备,主设备是数据中心信息系统的载体,该属性用以标识承载信息系统的各物理设备的名称。

服务(Y2):指主设备上运行的数据库、中间件、路由协议等各类服务,该属性用以标识信息系统服务的类型和名称。

IP地址(Y3):指信息系统对应的IP地址,该属性用以标识信息系统对外提供服务所使用的IP地址。

数据(Y4):指信息系统上存储的各类数据,该属性用以标识信息系统中的业务数据、配置文件、系统日志等对象。

3)操作管理维度(Z)。操作管理的目的是要达到对IT运维风险事前规划预防,事中实时监控、违规行为阻断响应,事后合规审计、操作行为追踪回放的效果,根据操作管理事前、事中、事后3个阶段的特点,将权限控制、实时监控、危险阻断、操作回放定义为该维度的4个关键属性。

权限控制(Z1):指对运维人员可操作的IT资产进行权限控制的管理规则,该属性用以标识运维人员可访问IT资产的权限列表。

实时监控(Z2):指对运维人员操作行为进行实时监控的管理规则,该属性用以标识对运维人员操作行为进行的实时监控。

违规阻断(Z3):指对运维人员违规操作行为进行及时阻断的管理规则,该属性用以标识对运维人员违规操作行为进行的阻断响应。

操作回放(Z4):指对运维人员操作行为进行回放、审计的管理规则,该属性用以标识对运维人员操作行为的合规审计及调查取证。

运维人员维度和IT资产维度较为全面地反映了IT运维全过程各要素间的关联关系,将2个维度的属性进行关联形成4×4的矩阵,该矩阵可全面记录数据中心IT运维的全过程,操作管理维度是在4×4矩阵的基础上,通过权限控制、实时监控、危险阻断、操作回放的管理规则,以4×4×4的立体矩阵形式实现对IT运维管控的全生命周期描述(见图3)。

如要对某运维人员在某时间段对某主设备进行的运维操作进行合规性审计,则该立体矩阵中的{X1Y1Z4,X3Y1Z4}2个元素即可满足对这一审计需求的描述,此外通过选取该立体矩阵中的相应元素组合即可实现对不同IT运维审计需求的描述。

4 IT运维审计的实现

目前IT运维审计系统广泛采用了堡垒机技术[5],针对数据中心运维环境中的rdp、telnet、ssh、http等运维协议,堡垒机通过代理的形式对目标IT资产上运行的服务协议进行发布,通过调整防火墙访问控制策略等手段使堡垒机作为运维操作的唯一入口,运维人员在进行维护操作时首先登录到运维操作审计系统,系统根据运维人员的账号权限,提供该运维人员所能访问的IT资产列表。

运维审计堡垒机采用物理旁路、逻辑串联的部署模式(见图4),该部署模式不需要调整任何网络架构,不会对数据中心的数据流向、带宽等产生负面影响,也不需要在IT资产上安装任何代理程序,图4中的红色线条代表运维人员登录过程的数据流向,蓝色线条代表运维过程的数据流向,从数据流向可以看出所有的运维操作行为均在堡垒机审计系统的监控范围之内,运维审计系统根据预先设置好的审计规则,自动捕获运维过程中的相关数据并进行保存。

5 结语

本文在对数据中心面临的运维风险进行全面分析和总结的基础上,提出了以对运维人员的操作管控为重点的IT运维审计管理体系,该体系涵盖了IT服务管理、集中运维管理、访问控制管理、合规审计管理4个部分,为IT运维审计体系提供了科学合理的全局视图,并在此基础上提出了多维IT运维审计模型,以立体矩阵的形式实现了对IT运维管控的全生命周期描述,对促进数据中心IT运维审计体系建设具有积极的指导意义。

摘要：为了最大限度防范数据中心大集中背景下的运维风险,有效提升数据中心的安全运维水平,必须引入先进的管理和技术手段,建立涵盖运维事前、事中、事后全过程的IT运维审计体系,构建以对运维人员操作管控为重点的IT运维审计架构,加强对数据中心运维的全生命周期管理,更好地发挥信息化对企业发展的战略支撑作用。

关键词：数据中心,运维风险,运维审计,体系

参考文献

[1]于海霞.我国IT审计面对的挑战[J].中国管理信息化,2011,7(11):14.

[2]陈春华,梁奂.全业务电信运营商的IT服务管理实践探讨[J].电信科学,2011,56(3):119.

[3]王广平,张富贵,马杰文.有效管控IT运维风险[J].金融电子化,2010,18(2):93.

[4]杨杰.信息安全审计的应用研究[J].计算机安全,2010,10(10):19-20.

IT运维监控共享服务平台系统 篇5

我们自主开发了一体化运行监控平台,其为一套体系化的IT运行集中监控与IT运维有效服务统一管理的平台框架系统。在主要的三个子系统层面:数据采集、数据分析和监控应用层面,我们根据实际情况,以业务为中心,采取了不同的解决策略。最终达到数据采集全面、准确;数据分析合理、高效;监控应用直观、简明、全面、有效。原来纷杂繁乱的运行监控系统统一到一个平台框架里,实现统一的输出和分析管理。实现由被动式维护向主动式,进而向预防式转变;维护的对象由面向网络和设备转变为面向客户和服务;管理的范围由各级网络分段管理转变为端到端的全程管理。从而把运维服务提升到一个新的层次,节省了人工耗费,提高了系统稳定性,实现了“大运维”。

IT运行监控的主要模块包括:数据中心机房、网络、服务器、数据库、中间件、存储、应用系统、弱电设备、安全设备等;可以动态、实时、准确地反馈各项运行状态参数,提供故障、性能、配置等各方面的预警、报警、自动处理及分析,通过分析评估运行的状态和质量,保障各系统的持续稳定运行,同时可以衔接IT运维服务管理模块,对问题点手动启动IT运维服务管理流程,派发工单,或者设置相应策略对预警、报警自动启动运维服务管理流程,并对日常问题的解决方式进行记录,形成知识库。

除自动处理分析外,系统还可以通过工具集中地查询服务、图形服务、报表服务自定义统计分析方案,生成统计查询、图形、报表等内容,以便及时分析统计各系统和管理对象的日常运行、维修维护、故障报警等情况。

以ITIL和ISO20000标准为指导,结合项目实施的情况,设计满足通用运维需求的事件管理、问题管理、配置管理、变更管理、知识库管理及服务报告管理等相关流程的IT运维流程设计,规范企业IT运维服务管理的日常工作规范与工作流程,有效整合企业各种运维资源,建立一套面向IT服务的运维监控管理模式,提升IT运维服务质量与服务水平。

石化盈科IT运维监控共享服务平台采用面向业务的监控管理模式,如图1所示,以业务为中心对企业的IT基础设施及应用软件和数据库等进行监控。

通过展现层、应用层、数据层、采集层和网元层五层结构,一体化的运维监控共享平台框架涵盖了基础数据管理、业务流程管理、服务请求管理以及相应的统计分析管理,如图1所示。系统在整体层面上提供了直观、可视的人机界面。界面主要显示各系统的告警信息、监控概况及各类告警,性能分析等图表,包括告警分级对比、告警网元对比、告警趋势(设备视图、事件视图)、设备连通性、监控概况(分类视图)等信息视图;以及监视功能导航,配置功能导航,报表功能导航(告警报表、事件报表)等导航模块;还有拓扑监视、网元监视及告警查询等运行监控功能模块。

通过对所有对象的统一集成管理,对完整的监控数据和报警信息进行综合分析诊断,判断故障根源,提高运维效率;系统软/硬件及模块接口的标准化、模块化,保证了系统易于扩展;各模块可根据需求独立或组合部署实施。

其中,机房监控模块对机房设备(空调、配电、UPS)和机房环境实施集中监控管理就是对各个分散的设备进行遥测、遥信、遥控;实时监视各设备的运行状态,记录和处理相关数据,及时侦测故障和告警,并通知人员处理。可实现机房电源、空调和环境的集中监控维护管理,提高供电系统的可靠性和计算机设备运行的安全性。

主要监测内容有:配电设备监控、UPS设备监控、空调设备监控、空气处理系统、环境监控系统。

例如,当机房断电时,会产生一系列的故障时间,通过智能化分析手段对告警进行过滤,可准确定位为“UPS市电供入断开”,而不会发出一系列无关告警;原始的动力数据通过分析模块,可以将机房内的能耗进行综合计算分析,得出机房的PUE指标值,为优化方案提供有力的支撑数据。

服务器、主机监控系统支持跨平台Windows主机、Linux主机、Unix (Aix)主机、Sun主机等常见系统。服务器监控指标包括CPU状态(CPU总使用率、普通用户率、特权用户率、等待队列数、进程数)、内存状态(内存总量、内存使用量/使用率、内存空闲量/空闲率)、磁盘状态(磁盘I/O速率、磁盘队列数)、主机连接状态(连通状态/PING状态)、SWAP状态、VG、PV、LV状态、关联的应用状态、关键进程状态、网卡状态、非集成板卡状态、文件系统状态、HA状态、用户管理状态、负载均衡等。

网络监控模块对网络性能进行实时分析或者连续采集,以了解网络性能现状并分析发展趋势,及时了解网络瓶颈,保持网络数据传输通畅。网络管理采集的设备性能信息包括网络设备中的CPU、内存的利用率、各个端口的流量、各个端口状态等信息,以及电源、风扇、温度传感器、电源传感器和状态传感器的运行状态等。

应用系统管理模块主要针对企业在用的业务系统的运行状态监控,包括预警、告警、性能管理等。具体包括创建业务应用监控视图、对应用系统主要页面进行拨测、监控应用主要进程、分析应用产生的日志、对应用模块间的接口进行监控、对应用存放业务文件的关键目录进行监控以及应用服务的性能管理等。

告警管理模块主要指针对上述监控管理模块中发现的问题进行统一的管理,包括:告警阈值的配置;告警信息的关联,帮助定位故障源;告警信息的确认与取消;告警信息的通知:软件消息、短信、邮件等;并可以通过接口与IT运维服务管理流程衔接,执行派发工单等操作。

监控视图管理系统提供多种不同角度的全景监控视图,直观地、综合性地、全面地反映系统管理对象的运行状态和告警。

(1)地理位置视图:从地理位置角度看所有系统管理对象。

(2)逻辑拓扑视图:各系统管理对象的逻辑链接和分布。

(3)物理拓扑视图:各系统管理对象的物理链接和分布。

(4)应用系统视图:各应用系统所使用到的其他系统管理对象的链接和分布。

(5) 3D机房机架视图:从模拟3D效果的机房鸟瞰视图及机架正视图,快速定位故障设备位置;如果机柜内的网络设备、服务器设备、应用程序等网元运行状态异常,则该区域会以突出显示方式提示。

IT运维服务管理模块基于运维服务管理体系梳理的运维服务流程,落实事件管理、问题管理、配置管理、 变更管理、知识库管理及服务报告等IT运维服务管理流程,为IT运维管理部门日常运维服务工作提供一个技术框架平台,加强对运维工作质量、 运维效率的管控,规范提升运维服务工作的标准化,降低异常操作、异常变更风险。

如图2,建立基于ITIL运维管理体系,在IT运维监控共享平台的支撑下,变传统的被动响应运维服务模式为主动预防,在建设、管理、运行、维护、改进的全系统、全生命周期,保障企业的生产系统和应用系统能够更稳定、高效地工作,创造更好的效益。

摘要：本文主要介绍了石化盈科IT运维监控共享服务平台,指出建立完善统一的信息化运维服务管理平台系统,保障信息化业务系统稳定运行,为企业提供更加坚实的信息化基础架构,建设统一的运维管理模式,已是大势所趋。

运维安全审计平台 篇6

MDCN运维管理平台的建立, 提升信息技术、产品和服务的应用, 充分调动相关维护人员积极性、主动性, 努力提高网络维护质量, 保障了各种业务在MDCN网络上的稳定运行。该平台完全基于浏览器/服务器 (Browser/Server) 三层结构体系, 客户端为浏览器, 服务器端分为应用服务器和数据服务器。

2 MDCN运维管理系统作用

2.1 维护制度管理

⑴维护管理:各项管理制度发布;⑵维护制度:各项作业计划;⑶系统通知:记录各种通告性文档;MDCN系统平台的各项管理制度可以在此模块中查阅, 便于管理、统一要求, 提高运维效率。

2.2 日常维护工作

⑴日常监测:记录每天设备CPU利用率、PING响应时间;⑵定期监测:对全网设备做系统、全面、详细的监测, 确保系统的正常运行;⑶数据备份:为保证数据正确有效, 备份MDCN网的各项参数指标, 防止数据丢失;⑷流量测试:记录各业务系统月度流量;MDCN系统的维护工作的具体记录可在此模块中体现, 实际工作落实到人, 加强员工的责任感。

2.3 系统故障类

⑴故障月报:记录月度全网故障的详细情况及解决程度。⑵故障通知单:故障通知单以各业务系统区分, 做为处理故障的依据。⑶严重、重大故障:对业务系统有严重影响故障的专题报告板块。MDCN网的系统故障及解决情况可在该页面查阅, 便于工作检查;同时也为今后处理类似故障提供依据, 缩短故障排查时间。

2.4 业务申请情况

⑴业务申请单:体现业务系统接入申请到实施全过程进度。⑵承载的业务系统:记录现有各业务系统的使用、运行情况及互通情况。通过该页面可以很好的掌握工程状况, 快速开通新业务;根据客户申请, 审核接入条件并进行审批。

2.5 月报总结归纳

⑴维护月报:记录MDCN网每月的维护情况, 包括网络指标分析、业务流量分析等。⑵割接报告:记录工程施工割接报告。月度的工作情况、系统运行情况、工程进展情况可在该板块中查看, 便于检查, 有助于加强管理。

2.6 用户申告登记

用户申告:记录各业务系统的用户申告, 落实申告的每一项内容进行答复, 提供技术支持。

2.7 网络资料

⑴网络平台:提供MDCN网的相关知识资料, 提高维护组人员素质。⑵系统配置:备份MDCN网设备的配置。⑶统计资料:记录各项基础资料, 主要包括电路、硬件设备、板卡等档案。该页面侧重于MDCN相关技术文件汇总, 通过学习加深对MDCN网的理解, 提高维护人员整体技术水平, 另一方面便于MDCN资源统计。

2.8 FTP服务

提供维护组信息共享平台、上传维护记录、资料备份的渠道。

2.9 业务接入在线审批

⑴提交申请:新业务表单在线填写提交。⑵资料审核:各部门进行审核批复。

2.1 0 故障报障

⑴故障同步:与MDCN监控软件接口, 同步出现网络中各类故障告警。⑵多元告警现实:出现告警, 通过语音或短信形式进行告警通知。

2.1 1 用户管理

⑴登陆权限:不同用户分级别分权限进行管理。⑵设备管理:按权限提供直接登陆设备接口。

2.1 2 配置备份

⑴自动备份:自动备份设备配置, 减少人工备份的繁琐, 保证数据安全性。⑵自动保存:备份同时自动保存到指定目录。

2.1 3 邮件通知

⑴业务接入通知:在线填写竣工通知单邮件发送。⑵故障告警通知:出现告警, 在线填写故障表单, 发送相关负责人。

3 MDCN网络运维管理系统平台特点

⑴安全与开放相统一;⑵使用简捷高效;⑶安装配置简单;⑷可扩充性强。MDCN运维平台功能涉及到的范围广、部门多、人员复杂, 技术体系结构为三层结构体系, 可扩展性强, 用户使用简单方便。MDCN系统平台具有良好的可扩展性, 这种结构均允许系统在多个层面上进行扩展, 并且不影响层面之间以及与其它功能模块的关系, 从而为系统在功能的纵深度和横向的覆盖面上的加强和扩展打下了良好的基础。

4 市场分析

通过MDCN运维系统管理平台的应用, 使网络资源管理体系不断优化升级, 充分应用新技术, 对系统平台进行革新和改造, 有很大的市场需求。通过该平台还增强了MDCN系统的维护高效性、相关信息查询的实效性。

⑴使用用户:主要包括MDCN系统运维人员。用户通过权限管理可以方便浏览相关信息, 简单高效的找到所需资源, 大大提高了效率;并且保证了信息的统一性、时效性、准确性。

⑵用户管理:系统可以为前台不同的板块设置不同的管理员, 板块管理员可以对该板块进行信息的审核、修改、删除等基本操作, 可发布本板块的公告、通知等信息, 可以设置重点信息置顶、重要信息加亮等操作。管理员可以设置不同用户的不同权限, 充分做到了信息的保密性、安全性。

5 技术分析

MDCN系统平台完全基于浏览器/服务器 (Browser/Server) 三层结构体系, 系统平台的建设与运行阶段所涉及的硬件、软件与相关技术等, 随着网络技术的发展, 支撑系统应用的技术日益增多, 平台采用了.net技术, 数据库采用Windows SQLserver。

技术分析如下:⑴数据仓库与数据挖掘技术在网络活动中主要用于各种大量的繁杂数据的存储与分析, 提高数据处理的效率。⑵服务器采用刀片服务器进行扩容, 具有投资小, 建立速度快、安全可靠、无需软件硬件配置、无需技术支持等特点, 对于MDCN系统管理平台升级来说, 可节省大量人力物力及一系列烦琐的工作, 是一种较佳的选择。可以支持多种服务, 如ASP、CGI、PHP、JSP、网站数据库支持、Flash、定期数据库备份等。⑶开发平台:系统的开发程序有.NET、数据库程序等。Microsoft.NET是Microsoft XML Web services平台。XML Web services允许应用程序通过Internet进行通讯和共享数据, 而不管所采用的是哪种操作系统、设备或编程语言。Microsoft.NET平台提供创建XML Web services并将这些服务集成在一起之所需。

在技术的选择上, 系统后期的优化, 包括Web浏览器、数据库服务、邮件服务、防火墙与代理服务器、中间组件、客户操作系统、网络服务系统、商务应用系统在内的软件与硬件设施。

6 经济效益分析

本平台主要是针对MDCN网络开发设计的, 其实用性大, 费时小, 系统成本低, 能满足各个业务系统负责人和管理人员的基本需求, 具有很高的实用价值。

⑴MDCN运维管理平台的建设为MDCN系统稳定运行提供了强有力的坚强后盾, 为业务使用单位节省了资源的开销。⑵提高网络维护水平, 发挥带动用户、引导开发、提供信息、推广技术的综合功能, 减少用户查询资料的的盲目性。⑶按照区域化布局、专业化分工、规模化运营、标准化管理的要求, 进一步优化了MDCN网络维护体系结构。⑷围绕新业务接入、故障信息处理、工程实施进度、信息发布、日常维护等主要功能, 推进了网络维护工作信息化。⑸以较小的维护人员成本, 优化维护质量体系, 促使网络维护及使用向便捷、快速、高效方面转变;

7 总结

⑴MDCN系统平台可增强MDCN系统维护的高效性、提高相关信息查询的实效性, 有市场需求。⑵平台开发周期短, 收效快;该平台提供了资料查询和下载的方便性, 提高了MDCN维护人员的管理维护质量。与投资相比能带来很大的经济效益。

摘要：MDCN运维管理系统平台提供MDCN网络信息浏览和相关资料下载等功能, 随着现代网络规模的扩大, 该系统平台进行改版完善、增强了功能, 旨在为各部门、业务系统相关人员提供一个更强的信息化交流共享平台。本文对MDCN维护管理平台的发展进行研究。

运维安全审计平台 篇7

目前, 航天科工防御技术研究试验中心IT运维部门承担的工作包括:计算机终端服务、机房的管理、信息化基础架构的管理、应用系统的管理、安全管理、日常临时性、应急类工作、终端用户咨询、培训类工作以及其他工作。信息化管理组承担了400多台PC、10多台服务器、10多台网络设备、10多台安全设备的维护服务工作, 同时承担了数据库、应用系统的维护及信息化基础项目建设工作。

2 IT运维管理工作现状

有朴素的、实用的运维管理方法, 并在运维工作中证明能够为客户提供较好的运维服务。但是由于资源受限, 因此并没有建立完善的IT运维管理体系, 特别是由于IT运维管理工作的目标并没有明确的量化目标, 因此相应的职能及流程没有做系统的定义, 也就没有进行完善的记录, 也无法进行分析改善。其次, 运维工作更多的仍然属于被动管理阶段, 绝大部分的运维人员主要是进行响应性或者应急性的工作, 没有办法进行主动的问题分析与运维服务的优化。而且缺乏必要的工具来记录、规范IT运维的工作, 同时由于没有工具, 包括可用性、容量、服务响应时间等关键的IT运维指标都无法实现量化, 既无法体现IT运维部门的IT工作质与量, 也无法完善的证明IT运维部门的工作是否合规。

3 IT运维管理系统建设

运维体系的实施与运行需要有相应的技术平台进行辅助与支撑, 即需要建设ITIL运维管理平台, 该平台要达到的目标包括:固化流程、固化职能、统一资产配置库、量化过程、量化结果。

该平台建设将实现对所有网络设备、服务器、数据库、应用系统的综合监控, 通过建立运维服务台, 统一运维服务入口, 实现事件---变更的全过程的流程化管理。

ITIL运维管理平台完全采用模块化和组件化的开发模式, 严格按照软件工程的思想开发。它集成了网络管理和系统管理各自的优点, 对组成网络服务的IT基础架构的各方面:从网络设备到服务的物理载体——服务器, 再到各种应用程序, 进行分层监视, 最终实现了以服务/业务为最终对象的综合管理, 全面的实现了对IT基础架构的故障管理、性能管理、资源管理、安全管理、流量管理等功能;同时, 对系统的各方面:资源管理、事件管理、流程规范化管理、桌面管理和IT资源利用分析等提供了全面的管理手段, 将各个有效的功能模块有机结合在一起, 形成一个单一而完整的管理系统, 真正在一个平台实现了对IT环境以及IT资源管理的需求。该平台和产品一并提供的解决方案能轻松而顺利地让运维人员实现网络运作从被动无序到主动控制的过渡, 可以成倍地提高工作效率, 以便让运维人员真正能运用网络更大的提升工作效率, 降低工作成本。

4 平台建设的总体框架

4.1 监控管理平台

实现对IT基础架构, 主要是网络设备、服务器、数据库以及应用的监控, 并实现监控对流程的驱动。

4.2 服务管理平台

服务管理具体功能包括服务台管理、服务流程管理及运维辅助功能, 具体而言:

4.2.1 服务台管理

职能管理功能包括服务台职能管理以及值班、巡检的管理。服务台是提供给客户提供服务的接入点, 它可以从电话、邮件或者即时通之类的工具让客户快速的找到服务。同时, 运维人员通过服务台可以记录客户的问题, 根据服务台提供的帮助信息解决问题, 也可以将用户的请求生成工单派发下去, 并跟踪工单的执行。

用户也可以通过自助服务台自行提交事件问题申请, 并跟踪事件处理进度。

4.2.2 服务流程管理

服务流程管理包含了事件管理流程、问题管理流程、变更管理流程、发布管理流程。

服务器管理系统是对运维管理的流程进行固化的工具, 它可以制定流程的总体结构、考核目标、每个节点的表单等。运维人员可以基于制定好的流程生成相应的服务流程工单, 也可以接收属与自己相关的工单进行处理。同时在工单中, 应该能够提供运维人员进行服务的一些关联信息, 如配置信息, 相关工单的信息等等。流程要能进行统计分析, 生成各累报表, 作为领导工作汇报和改善流程的依据。

4.2.3 运维辅助功能

运维辅助功能是帮助运维人员更好, 更高效的做好日常运维管理工作。功能包括运维知识库、巡检管理、运维报表等。

4.3 资产配置库 (CMDB)

资产配置库是要收集IT环境的各种IT资源以及IT资源的配置, 建立它们之间的逻辑或者物理的关系, 为IT运维人员在排除故障, 解决问题的时候提供帮助。因此, 除了要记录配置之间的关系外, 还应该将与运维相关的一些信息资产以及其配置进行关联, 例如相关的合同, 维护的厂家, 曾经发生过的变更, 曾经维护过的知识等等。结合资产配置库, 应该有专门的配置管理员来维护和保持资产配置库数据的准确性。

4.4 服务展现

服务展现包括门户及管理驾驶舱

4.4.1 门户

门户是不同类型用户进入到航天科工防御技术研究试验中心信息化门户后, 结合其角色所能够得到的与IT运维相关的信息。

4.4.2 管理驾驶舱

管理驾驶舱是提供统计分析功能, 按照协定的服务承诺分解到具体的KPI, 从人员、流程、技术三个方面统计IT运维管理的实际情况, 并与承诺的质量进行对比, 从而发现不足, 辅助管理者进一步分析的管理改善点, 发现隐患, 解决问题。

参考文献

[1]陈碧珍.浅谈IT运维服务体系的建设[J].广东科技, 2001 (12) .

[2]王晓勤, 赵刚.企业IT服务管理中心架构研究[J].信息化建设, 2006 (05) .