啟明星辰為四川移動4A運維平臺添磚加瓦

　　隨著四川移動業(yè)務(wù)系統(tǒng)的迅速發(fā)展，各種支撐系統(tǒng)和用戶數(shù)量的不斷增加，信息安全問題愈見突出，原有的管理措施已不能滿足目前及未來業(yè)務(wù)發(fā)展的要求。主要表現(xiàn)在以下方面：

　　企業(yè)網(wǎng)中有大量的網(wǎng)絡(luò)設(shè)備、主機系統(tǒng)和應(yīng)用系統(tǒng)，分別屬于不同的業(yè)務(wù)系統(tǒng)。并且由相應(yīng)的系統(tǒng)管理員負責(zé)維護和管理。當維護人員同時對多個系統(tǒng)進行維護時，工作復(fù)雜度會成倍增加。

　　 應(yīng)用系統(tǒng)的增多，使用戶經(jīng)常需要在各個系統(tǒng)之間切換，切換時都需要輸入用戶名和口令進行登錄。給用戶的工作帶來不便，影響了工作效率。用戶為便于記憶口令會采用較簡單的口令或?qū)⒍鄠�支撐系統(tǒng)的口令設(shè)置成相同的，危害到系統(tǒng)的安全性。

　　 不但各個系統(tǒng)單獨審計，即使同一系統(tǒng)中的每個網(wǎng)絡(luò)設(shè)備，每個主機系統(tǒng)，每個業(yè)務(wù)系統(tǒng)及每個數(shù)據(jù)庫系統(tǒng)都要分別進行審計，缺乏集中統(tǒng)一的系統(tǒng)訪問審計。無法對所有系統(tǒng)進行綜合分析，不能及時發(fā)現(xiàn)違規(guī)行為。

　　啟明星辰公司集自身在運營商行業(yè)積累的多年安全建設(shè)經(jīng)驗，整合自有的多個安全產(chǎn)品，形成了一套完整的4A運維平臺解決方案。以各種資源(應(yīng)用及系統(tǒng))的集中訪問控制和審計為目標，統(tǒng)一了用戶賬號(Account)管理、認證(Authentication)管理、授權(quán)(Authorization)管理和安全審計(Audit)四要素，涉及的系統(tǒng)包括BOSS、BI、OA、MIS等各個業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、主機和數(shù)據(jù)庫系統(tǒng)等。

　　在4A運維平臺方案的設(shè)計過程中，由于在客戶環(huán)境中存在著命令行、Web訪問、C/S訪問等多種訪問方式，如何將運維人員對各種系統(tǒng)的訪問行為進行歸一化管理并且保證數(shù)據(jù)傳輸速度，成為了必須要解決的難題。

　　經(jīng)過我司研發(fā)人員的努力和研究，最終研發(fā)了基于“應(yīng)用虛擬化技術(shù)”的天玥堡壘主機來克服這個問題。

　　應(yīng)用虛擬化技術(shù)是源于微軟的遠程桌面技術(shù)(RDP)演變而來，與RDP不同的是應(yīng)用虛擬化提供為用戶提供了B/S的訪問方式，使得用戶能夠在本地并不安裝任何應(yīng)用的條件下，能夠跨平臺、跨操作系統(tǒng)、跨瀏覽器遠程使用服務(wù)器上的各種應(yīng)用。這種技術(shù)是將目標機上運行界面?zhèn)鬏數(shù)接脩魧嶋H的操作機屏幕上，并將鍵盤，鼠標等一系列的外設(shè)輸入，傳輸?shù)侥繕藱C，實現(xiàn)交互。

　　堡壘主機的產(chǎn)品原理如下圖所示：

　　其核心進程為常用協(xié)議的代理，目前支持的代理如下：

　　 Telnet代理

　　 SSH代理

　　 FTP代理

　　 SFTP/SCP代理

　　 RDP代理

　　 VNC代理

　　 應(yīng)用發(fā)布代理

　　四川移動的多個運維節(jié)點均部署了天玥堡壘主機。在系統(tǒng)中，給每一個維護人員建立唯一的自然人賬號，配置要管轄的主機資源，建立主機的資源賬號，根據(jù)業(yè)務(wù)需要，配置訪問控制策略，每個人能以什么身份訪問主機，建立自然人與主機賬號的對應(yīng)關(guān)系。

　　用戶要登錄某臺需要運維的主機或設(shè)備，首先通過Web方式登錄到天玥系統(tǒng)，天玥根據(jù)登錄用戶的權(quán)限，提供該用戶所能訪問的主機與網(wǎng)絡(luò)設(shè)備的列表;用戶選擇要維護的主機，根據(jù)用戶在該網(wǎng)元設(shè)備上的帳號權(quán)限，完成后續(xù)的登錄過程;用戶方可使用該網(wǎng)元設(shè)備。用戶在目標設(shè)備上的所有操作命令以及命令輸出均由天玥來進行記錄。

　　同時，堡壘主機可實時監(jiān)視網(wǎng)絡(luò)系統(tǒng)的運行狀態(tài)，記錄網(wǎng)絡(luò)事件，發(fā)現(xiàn)安全隱患，并對網(wǎng)絡(luò)活動的相關(guān)信息進行存儲、分析和審計回放。

　　堡壘主機是采用“旁路部署、邏輯串行”方式接入網(wǎng)絡(luò)，通過路由策略來限制天玥成為用戶訪問網(wǎng)絡(luò)資源的唯一入口。在網(wǎng)絡(luò)中的部署示意圖如下：

　　基于應(yīng)用虛擬化技術(shù)的天玥堡壘主機，為用戶實現(xiàn)了以下價值：

　　 結(jié)合4A運維平臺，為企業(yè)搭建了集成多種應(yīng)用集中管理的平臺;

　　 應(yīng)用虛擬化基于B/S方式實現(xiàn)，符合IT發(fā)展趨勢，安裝使用簡單;

　　 無需修改應(yīng)用即可將C/S應(yīng)用架構(gòu)轉(zhuǎn)化成為B/S應(yīng)用架構(gòu);

　　 簡化企業(yè)應(yīng)用系統(tǒng)的安裝、部署、維護過程;

　　 提供了跨設(shè)備、跨系統(tǒng)、跨網(wǎng)絡(luò)的協(xié)同運維能力;

　　筆者相信，隨著云計算的日趨成熟，服務(wù)器虛擬化、存儲虛擬化等技術(shù)將會得到大量應(yīng)用，由此而構(gòu)建出辦公云、運維云、增值業(yè)務(wù)云等多種屬性的云;而應(yīng)用虛擬化、桌面虛擬化將持續(xù)為云端用戶提供更好的交付和用戶體驗。

服務(wù)器租用/服務(wù)器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]