隨著數據中心IT基礎設施規模的不斷擴大，因系統或平臺的異構性、運維手段的多樣性而產生的統一管理需求日益顯現。同時，因運維人員眾多、角色復雜、賬號共享和運維過程不透明而導致的運維風險也不可忽視。

　　實際運維過程中，數據中心管理者一直在被以下問題困擾著：

　　☆管理員身份被惡意冒用，執行非法操作，出現問題無法進行身份確認責任追查;

　　☆運維管理人員所管理的機器數量和帳號數量均異常眾多，往往導致密碼策略的實施流于形式;

　　☆對用戶名和密碼的授權方式不可控;

　　☆管理員的越權訪問、誤操作將導致業務系統工作中斷;

　　☆第三方代維人員在運維過程中一旦執行危險操作或私自下載，將導致系統癱瘓和機密信息泄露;

　　☆事故發生后無法定位問題、追溯源由、緊急恢復和追查責任。

　　據統計，僅2011年至2012年期間，因數據中心內部IT運維人員的誤操作或越權訪問，給數據中心管理者所帶來的損失就高達數百億元。

　　因此，數據中心運營管理者們，提出了以下風險控管需求：

　　★解決數據中心分散的IT運維問題，提高運維管理效率;

　　★解決運維人員的帳號共享問題，實現人員與行為對應;

　　★解決多用戶角色密碼管理問題，提高密碼管理安全性;

　　★建立有效的運維監管措施，防范潛在的運維操作風險;

　　★建立完善的風險控管體系，符合行業法規對安全需求。

　　針對數據中心用戶的業務需求及業務現狀，德訊科技提供了一套IT設施運維操作審計(堡壘主機)解決方案，采用“DCLive+ICS”聯合部署模式，為各地市級運維人員提供一個統一的操作平臺，突破地域、時空、時間的限制，基于WEB瀏覽器即可實現如字符型會話、圖形訪問、數據庫管理及其他應用類運維操作等相關運維需求。

　　此外，方案為數據中心管理人員提供一個集中化的審計平臺：事中可實時監視系統內所有會話訪問與操作行為，事后第一時間可及時審查整個運維過程。該方案從技術上保障了電信行業數據中心“分布式運維操作，集中式監控審計”的安全管理目標。

　　本方案部署如圖1所示：

圖1 德訊科技運維操作審計(堡壘主機)解決方案部署圖

　　德訊科技IT設施運維操作審計(堡壘主機)解決方案具備以下五大部署特點：

　　1.利用原有網絡拓撲架構，安裝部署簡便，無需加裝任何客戶端代理，不影響任何業務數據流;

　　2.將ICS設備分布式部署于各地級市，實現本地化運維，獨立化操作，互不干擾;

　　3.部署兩臺ICS設備，共同分擔局域網內并發會話的壓力，實現各分支網絡負載均衡;

　　4.將DCLive管理平臺部署于省級中心機房，實現對下級分支機構所有運維過程的集中監視、控制、管理與審計;

　　5.HA部署主備兩臺DCLive設備，以保障數據完整性以及整個系統的防災恢復。

　　通過本方案的應用，能夠實現以下應用價值：

　　一、為數據中心用戶提供了統一的運維平臺。

　　方案提供統一的WEB管理入口，對登陸用戶身份的合法性實施統一認證;系統自帶字符類/圖形類/應用類多種運維工具，無需運維客戶端即可自行安裝，避免運維過程中出現工具不全面，版本不兼容等問題;支持會話代理訪問通道的建立，改變原有本地客戶端直接發起會話的運維模式，實現對運維過程的有效監控與審計。

　　二、實現雙人授權訪問控制，保障運維安全。

　　依據行業安全等級保護標準，方案能夠實現雙人授權訪問控制策略管理。權限范圍內的任何一人登陸運維平臺，即使通過身份認證，也不能獨自執行會話操作，必須要得到策略內另一用戶的授權。系統支持本地口令輸入及遠程身份認證兩種授權方式。主要通過提升授權管理的細粒度，保障核心設備、關鍵業務以及第三方運維操作的合規性、安全性。

　　三、提供事后全面審計，保證操作留痕。

　　方案提供網內運維管理全生命周期的審計，即采用流媒體形式記錄運維人員登陸運維網關至登出運維網關的全過程，支持對字符、圖形、數據庫、WEB應用等多種類型會話的全面審計。審計結果以操作日志及錄像相結合的形式呈現，符合4W (When/Where/Who/What)原則。同時，支持錄像回放、SQL語句、關鍵字符與審計錄像關聯定位與檢索，實現運維操作過程的快速定位、精確跟蹤以及真實重現，協助審計人員對非法運維操作節點的排查及故障責任的追溯，提升數據中心精細化、規范化的運維安全管理水平。

　　德訊科技運維操作審計(堡壘主機)解決方案在運維人員與IT設施之間設置了一道屏障，可以有效提高服務器等重要信息基礎架構的安全級別，輔助對信息安全故障和安全事件的全面記錄和事后追溯定位，能夠有效幫助數據中心用戶彌補安全漏洞、完善系統安全防護體系，提高信息系統運行的安全性和事件的追溯能力。

　　2013年，全新的一年，全新的開始。為保障數據中心的運維安全，安全操作審計，走起!