啟明星辰為四川移動(dòng)4A運(yùn)維平臺(tái)添磚加瓦

　　隨著四川移動(dòng)業(yè)務(wù)系統(tǒng)的迅速發(fā)展，各種支撐系統(tǒng)和用戶數(shù)量的不斷增加，信息安全問(wèn)題愈見(jiàn)突出，原有的管理措施已不能滿足目前及未來(lái)業(yè)務(wù)發(fā)展的要求。主要表現(xiàn)在以下方面：

　　企業(yè)網(wǎng)中有大量的網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)和應(yīng)用系統(tǒng)，分別屬于不同的業(yè)務(wù)系統(tǒng)。并且由相應(yīng)的系統(tǒng)管理員負(fù)責(zé)維護(hù)和管理。當(dāng)維護(hù)人員同時(shí)對(duì)多個(gè)系統(tǒng)進(jìn)行維護(hù)時(shí)，工作復(fù)雜度會(huì)成倍增加。

　　 應(yīng)用系統(tǒng)的增多，使用戶經(jīng)常需要在各個(gè)系統(tǒng)之間切換，切換時(shí)都需要輸入用戶名和口令進(jìn)行登錄。給用戶的工作帶來(lái)不便，影響了工作效率。用戶為便于記憶口令會(huì)采用較簡(jiǎn)單的口令或?qū)⒍鄠�(gè)支撐系統(tǒng)的口令設(shè)置成相同的，危害到系統(tǒng)的安全性。

　　 不但各個(gè)系統(tǒng)單獨(dú)審計(jì)，即使同一系統(tǒng)中的每個(gè)網(wǎng)絡(luò)設(shè)備，每個(gè)主機(jī)系統(tǒng)，每個(gè)業(yè)務(wù)系統(tǒng)及每個(gè)數(shù)據(jù)庫(kù)系統(tǒng)都要分別進(jìn)行審計(jì)，缺乏集中統(tǒng)一的系統(tǒng)訪問(wèn)審計(jì)。無(wú)法對(duì)所有系統(tǒng)進(jìn)行綜合分析，不能及時(shí)發(fā)現(xiàn)違規(guī)行為。

　　啟明星辰公司集自身在運(yùn)營(yíng)商行業(yè)積累的多年安全建設(shè)經(jīng)驗(yàn)，整合自有的多個(gè)安全產(chǎn)品，形成了一套完整的4A運(yùn)維平臺(tái)解決方案。以各種資源(應(yīng)用及系統(tǒng))的集中訪問(wèn)控制和審計(jì)為目標(biāo)，統(tǒng)一了用戶賬號(hào)(Account)管理、認(rèn)證(Authentication)管理、授權(quán)(Authorization)管理和安全審計(jì)(Audit)四要素，涉及的系統(tǒng)包括BOSS、BI、OA、MIS等各個(gè)業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、主機(jī)和數(shù)據(jù)庫(kù)系統(tǒng)等。

　　在4A運(yùn)維平臺(tái)方案的設(shè)計(jì)過(guò)程中，由于在客戶環(huán)境中存在著命令行、Web訪問(wèn)、C/S訪問(wèn)等多種訪問(wèn)方式，如何將運(yùn)維人員對(duì)各種系統(tǒng)的訪問(wèn)行為進(jìn)行歸一化管理并且保證數(shù)據(jù)傳輸速度，成為了必須要解決的難題。

　　經(jīng)過(guò)我司研發(fā)人員的努力和研究，最終研發(fā)了基于“應(yīng)用虛擬化技術(shù)”的天玥堡壘主機(jī)來(lái)克服這個(gè)問(wèn)題。

　　應(yīng)用虛擬化技術(shù)是源于微軟的遠(yuǎn)程桌面技術(shù)(RDP)演變而來(lái)，與RDP不同的是應(yīng)用虛擬化提供為用戶提供了B/S的訪問(wèn)方式，使得用戶能夠在本地并不安裝任何應(yīng)用的條件下，能夠跨平臺(tái)、跨操作系統(tǒng)、跨瀏覽器遠(yuǎn)程使用服務(wù)器上的各種應(yīng)用。這種技術(shù)是將目標(biāo)機(jī)上運(yùn)行界面?zhèn)鬏數(shù)接脩魧?shí)際的操作機(jī)屏幕上，并將鍵盤(pán)，鼠標(biāo)等一系列的外設(shè)輸入，傳輸?shù)侥繕?biāo)機(jī)，實(shí)現(xiàn)交互。

　　堡壘主機(jī)的產(chǎn)品原理如下圖所示：

　　其核心進(jìn)程為常用協(xié)議的代理，目前支持的代理如下：

　　 Telnet代理

　　 SSH代理

　　 FTP代理

　　 SFTP/SCP代理

　　 RDP代理

　　 VNC代理

　　 應(yīng)用發(fā)布代理

　　四川移動(dòng)的多個(gè)運(yùn)維節(jié)點(diǎn)均部署了天玥堡壘主機(jī)。在系統(tǒng)中，給每一個(gè)維護(hù)人員建立唯一的自然人賬號(hào)，配置要管轄的主機(jī)資源，建立主機(jī)的資源賬號(hào)，根據(jù)業(yè)務(wù)需要，配置訪問(wèn)控制策略，每個(gè)人能以什么身份訪問(wèn)主機(jī)，建立自然人與主機(jī)賬號(hào)的對(duì)應(yīng)關(guān)系。

　　用戶要登錄某臺(tái)需要運(yùn)維的主機(jī)或設(shè)備，首先通過(guò)Web方式登錄到天玥系統(tǒng)，天玥根據(jù)登錄用戶的權(quán)限，提供該用戶所能訪問(wèn)的主機(jī)與網(wǎng)絡(luò)設(shè)備的列表;用戶選擇要維護(hù)的主機(jī)，根據(jù)用戶在該網(wǎng)元設(shè)備上的帳號(hào)權(quán)限，完成后續(xù)的登錄過(guò)程;用戶方可使用該網(wǎng)元設(shè)備。用戶在目標(biāo)設(shè)備上的所有操作命令以及命令輸出均由天玥來(lái)進(jìn)行記錄。

　　同時(shí)，堡壘主機(jī)可實(shí)時(shí)監(jiān)視網(wǎng)絡(luò)系統(tǒng)的運(yùn)行狀態(tài)，記錄網(wǎng)絡(luò)事件，發(fā)現(xiàn)安全隱患，并對(duì)網(wǎng)絡(luò)活動(dòng)的相關(guān)信息進(jìn)行存儲(chǔ)、分析和審計(jì)回放。

　　堡壘主機(jī)是采用“旁路部署、邏輯串行”方式接入網(wǎng)絡(luò)，通過(guò)路由策略來(lái)限制天玥成為用戶訪問(wèn)網(wǎng)絡(luò)資源的唯一入口。在網(wǎng)絡(luò)中的部署示意圖如下：

　　基于應(yīng)用虛擬化技術(shù)的天玥堡壘主機(jī)，為用戶實(shí)現(xiàn)了以下價(jià)值：

　　 結(jié)合4A運(yùn)維平臺(tái)，為企業(yè)搭建了集成多種應(yīng)用集中管理的平臺(tái);

　　 應(yīng)用虛擬化基于B/S方式實(shí)現(xiàn)，符合IT發(fā)展趨勢(shì)，安裝使用簡(jiǎn)單;

　　 無(wú)需修改應(yīng)用即可將C/S應(yīng)用架構(gòu)轉(zhuǎn)化成為B/S應(yīng)用架構(gòu);

　　 簡(jiǎn)化企業(yè)應(yīng)用系統(tǒng)的安裝、部署、維護(hù)過(guò)程;

　　 提供了跨設(shè)備、跨系統(tǒng)、跨網(wǎng)絡(luò)的協(xié)同運(yùn)維能力;

　　筆者相信，隨著云計(jì)算的日趨成熟，服務(wù)器虛擬化、存儲(chǔ)虛擬化等技術(shù)將會(huì)得到大量應(yīng)用，由此而構(gòu)建出辦公云、運(yùn)維云、增值業(yè)務(wù)云等多種屬性的云;而應(yīng)用虛擬化、桌面虛擬化將持續(xù)為云端用戶提供更好的交付和用戶體驗(yàn)。

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]