淺析發電企業信息系統基礎設施集中管控的解決方案

摘要：本文通過分析IT基礎設施在運行維護管理過程中存在的風險以及針對這些風險采取對IT基礎設施運行環境進行集中的在線的監控、遠程集中的管理、運維審計相結合的方式來確保lT基礎設施在運行維護管理過程中的安全。

關鍵詞：lT基礎設施 環境監控 集中管控 運維審計

1 發電企業作為資金和技術都高度密集的企業。通過信息化來提高企業的管理水平是必然的選擇

而事實上發電企業的信息化一直在發展，尤其近年來取得迅速的發展，企業的生產管理對信息系統的依賴程度越來越高，因此企業在對信息系統在功能上要求越來越高的同時對其的安全性要求也越來越高。作為信息系統最基礎同時也是最核心的部分中心機房和設備等IT基礎設施的安全也就顯得非常重要，不可想象如果一套信息系統的基礎設施都無法保證安全信息系統的安全還如何保證。本文筆者結合自身的項目經驗談一下企業的信息系統的基礎設施在運維過程中的安全問題談一下淺見。

2 發電企業的信息系統基礎設施面對的安全風險分析

2.1 中心機房環境給基礎設施帶來的風險。信息系統的基礎設施包括服務器、網絡設備等硬件都有相對嚴格的運行環境要求，如濕度、濕度、電源等，如何保證IT基礎設施的運行環境是最基礎也是最重要的要求；

2.2 人員物理接接觸帶來的風險。技術或非技術人員進入機房時因作業時因失誤或意外對lT基礎設施造成物理上的風險；

2.3 系統運行過程中IT管理人員對IT基礎設施進行操作作業時給系統帶來風險。

3 lT基礎設施運行、維護的集中監控及管理系統的構成分析

針對分電企業的IT基礎設施存在的主要風險，IT基礎實施集中監控系統必須實現對IT基礎設施的運行環境在線監控，在出現異常時必須有多種方式的報警、實現對IT基礎設施的遠程集中管理以減少運維過程中對其的物理接觸、實現對lT基礎設施的運行操作進行集中管理、記錄、審計。

3.1 構筑運行環境監控系統實現對機房等lT設備的運行環境進行在線監控，系統能對環境進行監控，根據設定的各種環境參數要求，在出現異常時能自動按事先設定的各種方式進行報警，系統結構圖1。

3.1.1 機房視頻監控：監視機房中人員的出入、活動情況。在機房出入口或設備通道處安裝網絡攝像機，監視記錄人員出入及活動情況，并可設置移動偵測報警，警訊可以通過電子郵件、聲音、短信、MSN、Skvpe、SNMP、SNPP等多種方式發送。圖像可以同Web瀏覽器遠程監視、設置。

3.1.2 機房整體環境監控，實現對機房溫度、濕度、漏水、電源、門禁的集中監控，可通過網路瀏覽傳感器狀態，修改設置，自定義報警閾值、報警方式、報警流程，實現對機房環境的遠程集中監控。

3.1.3 機柜微環境監控。通過在機柜中安裝無線微環境監控模塊實現對機柜微環境進行監控。系統實時顯示記錄環境參數。隨時生成曲線并記錄相關數據。管理人員可對每個環境傳感器進行報警值的設置，定義不同級別的報警方式。

3.1.4 lT設備監控。服務器、交換機、防火墻、路由器、操作系統、數據庫、磁盤等IT設備運行狀態監控。

3.1.5 機房動力監控，可以實現對機房的UPS、空調、新風系統等的運行狀態進行監控。對于UPS等設備在管理卡的支持下，通過通過SNMP協議即可將UPS等設備的參數讀出來并對其進行報警閾值設置，然后實現對系統運行狀態的監控。

3.1.6 系統支持多種預警方式。根據設定的預警策略系統可實現聲光報警、(主機音箱)聲音、短信(需要MODEM)、電子郵件、MSN、Skype、SNMP、Ftp、Http、SNPP等多種方式發送警訊。

3.1.7 系統需具備完善、科學、靈活的預警功能。有靈活的預警定制機制，包括科學的報警臨界值的設置：多途徑預警方式；多層次靈活的報警流程；并可觸發攝像以及其他系統的動作。

3.1.8 系統管理功能：在基于B/S架構的軟件系統的支持下，可以實現對機房環境及IT設備的集中監控、遠程集中管理、數據的統計分析等功能。具體包括：①用戶的認證及授權管理；②監控項目的配置管理。包括需監控的設備、監控的參數、預警策略的定制等；③系統運行狀態的實時查詢、監控i④系統運行的歷史數據的查詢、統計和分析并自動形成報表等。⑤遠程集中管理。系統可以實現對機房內所有監控設備的遠程集中管理。

3.2 集中遠程管控系統。利用成熟的KVM技術，通過由軟件和硬件組成系統可以實現對中心機房的所有服務器、中心交換機等網絡設備、防火墻、存儲系統、UPS等關鍵的設備進行集中的、遠程的管理，并且自身有很好的安全性。

3.2.1 通過管理控系統在本地實現對機房內的lT設備的集中管理，實現無人機房。通過該系統可以實現“人機分離”，減少系統管理、維護人員頻繁進入機房，物理接觸設備，保證設備的物理安全；

3.2.2 系統支持對設備的遠程、多用戶的、遠程、協同的管控。即系統支持多個系統管理及技術支持人員從不同的地點通過不同的通信路徑遠程對所管控的系統(設備)進行協同的管理維護，極大提高系統管理和維護工作的效率；

3.2.3 能支持多種不同管理路徑的選擇，即有帶內和帶外的情況下都能實現對所有列入管控范圍的設備進行集中的、遠程管理，即系統管理人員可以通過IP網，電話撥號網絡和本地口帶外管理專網等多種途徑對系統進行管控，避免管理路徑的單點故障：

3.2.4 能管理多種平臺、類型設備與目標設備的內核系統無關，能支持目前主流的多種類型的平臺、設備，如UNIX，AIX、WINTEL，LIN-UX，SOLARIS；與設備的接口無關(KVM，RJ-45，DB9，DB25等。

3.2.5 管理終端。系統提供單一的登陸界面和簡單的安裝操作平臺。所有目標設備可以集中管理到單一界面上來，系統安裝做到即插即用，操作界面友好簡單，要求是基于B/S架構的軟件系統，無須安裝客戶端軟件。

3.2.6 系統自身的安全性。鑒于通過該系統可以實現對信息系統的所有核心設備的集中管理，該系統本身的安全性就什分重要。要求系統自身要有安全性的設計和功能：包括嚴格的認證機制；操作授權管理機制；安全日志記錄和審計；系統物理設備的安全：傳輸維護管理信息的安全。

3.3 通過安全運維審計系統實現對服務器、網絡設備、安全設備IT基礎設施在運維過程中的操作進行安全、有效、直觀的操作審計，對策略配置、系統維護、內部訪問等進行詳細的記錄，提供細粒度的審計，并支持操作過程的全程回放。實現操作內容的審計，并將身份認證、授權、審計有機地結合，保證只有合法用戶才能使用其擁有運維權限的關鍵資源。為IT操作風險控制、內控安全和合規性等方面提供一套完善、有效的審計手段。

3.3.1 實現對基于TELNET、FTP、SFTP、SSH、RDP、VNC等協議進行審計，支持IBM AIX、Digital UNIX、HP UNIX、SUN Solaris、SCO UNIX、LINUX、WINDOWS等各種主流操作系統環境。

3.3.2 系統具有完整的身份管理和認證功能。為了確保合法用戶才能訪問其擁有權限的后臺資源，解決IT系統中普遍存在的交叉運維而無法定位到具體人的問題，滿足審計系統“誰做的”要求。系統必須具有完整的身份管理和認證功能，并能結合第三方的安全認證方式，實現靜態口令、動態口令、證書KEY和第三方的令牌認證方式的安全認證管理，實現密碼強度、密碼效期、口令嘗試死鎖、用戶激活等安全管理功能。

3.3.3 靈活、細粒度的授權功能，系統提供基于用戶、運維協議、目標主機、運維時間段(年、月、日、周、時間)、會話時長、運維客戶端IP等組合的授權功能，實現細粒度授權功能，滿足用戶實際授權的需求。

3.3.4 后臺資源自動登陸功能，后臺資源自動登陸功能是運維人員通過系統認證和授權后，系統根據配置策略實現后臺資源的自動登錄。此功能提供了運維人員到后臺資源賬戶的一種可控對應，同時實現了對后臺資源帳戶的口令統一保護。針對不同操作系統和設備的特性，可以提供托管和只托不管兩種方式實現運維用戶自動登錄后臺資源。

3.3.5 實時監控功能：監控正在運維的會話，信息包括運維用戶、運維客戶端地址、資源地址、協議、開始時間等；監控后臺資源被訪問情況；提供在線運維的操作的實時監控功能。針對命令交互性協議可以圖像方式實時監控正在運維的各種操作，其信息與運維客戶端所見完全一致。

3.3.6 違規操作實時告警與阻斷功能：針對運維過程中可能存在潛在操作風險，系統根據用戶配置的安全策略實施運維過程中的違規操作檢測，對違規操作提供實時告警和阻斷，從而達到降低操作風險及提高安全管理與控制的能力。

3.3.7 完整記錄網絡會話過程功能：系統提供運維協議Telnet、FTP、SSH、SF-rP、RDP(Windows Termihal)、AS400等網絡會話的完整會話記錄，完全滿足內容審計中信息百分百不丟失的要求：會話信息包括運維用戶、運維地址、后臺資源地址、資源名、協議、起始時間、終止時間、流量大小信息；會話信息包括運維過程中所有進出后臺資源的數據。

3.3.8 詳盡的會話審計與回放功能。運維操作審計以會話為單位，提供當日和條件查詢定位。條件查詢支持按運維用戶、運維地址、后臺資源地址、協議、起始時間、結束時間和操作內容中關鍵字等組合方式。

3.3.9 完備的審計報表功能，能根據需要智能定制各種報表。

4 結語

IT基礎設施在運行維護過程中的安全是信息系統安全的基礎中的基礎，而它安全受運行環境、運行人員的操作水平等物理、人文等因素的影響，本文通過分析lT基礎設備在運行維護管理中存在的風險以及如何針對這些風險采取相關的對策控制和規避這些風險，具體就是加強對lT運行環境的監控及管理以保證運行環境滿足lT基礎設施的運行需要、通過對IT基礎設施的遠程集中控制提高設備的物理安全、通過對lT基礎設施的運行審計從而提高其在維護管理過程中的安全性，提出了一個發電企業管理信息系統的lT基礎設施的集中管控的解決方案。