網絡設備遠程管理系統在電子政務外網中的設計

文 靜

（廣西經濟信息中心，廣西 南寧 530022）

電子政務外網是與電子政務內網物理隔離、與互聯網邏輯隔離的統一的電子政務業務專網，主要用于運行政務部門面向社會的專業性服務和不需在內網上運行的業務，為承載的業務系統提供網絡、數據、安全等支撐服務，為政府部門和社會公眾提供信息共享、信息交換等服務[1]。隨著政務信息化網絡建設的全面推進，各地政務外網網絡逐步建設成為覆蓋省、市、縣、鄉鎮四級的多級網絡。

政務外網網絡規模龐大、機房位置分散、設備種類繁雜，都給網絡管理人員帶來設備管理上的難度。傳統的設備現場管理方式，效率低且成本高。目前，管理人員大多選擇通過使用超級終端、Telnet或設備自帶的網管軟件進行設備遠程管理的方式。但是這樣的管理方式存在一些問題，主要表現在：（1）管理人員通過Telnet或者其他設備自帶的網管軟件遠程訪問設備，必須是在網絡通暢和設備正常時才能進行，受網絡狀況影響較大。（2）使用超級終端的方式訪問設備，必須是實地連接設備，而各級網絡機房分散，無法保證發生故障時管理人員能第一時間出現在現場處理。如何為政務外網多級網絡提供高效而便捷的設備遠程集中管理成為網絡建設中亟需解決的問題。

本文設計的網絡設備遠程管理系統，通過搭建一套集中控管平臺，將全網各級機房的所有網絡串口設備進行集中控制和管理。該系統能在不影響設備運行的原則上，通過帶外管理網絡傳輸方式，實現對機房內所有設備的帶外管理；在業務網絡中斷的情況下，還能通過3G帶外管理網絡對設備進行操作和管理。

1 系統組成

網絡設備遠程管理系統由中心機房的集中認證管理平臺、審計系統和各級機房的串口設備管理模塊、遠程電源控制管理模塊、3G無線MODEM組成。系統的邏輯結構如圖1所示。

中心機房內部署的集中認證管理平臺用于將所有的網絡串口管理設備、電源管理模塊等全部集中到一個平臺控管和進行詳細的權限分配和日志記錄。審計系統用于查看系統的各種信息和記錄操作信息，包括系統配置的各種功能按鈕，關閉和重啟系統按鈕，實時硬件信息如 CPU使用率、內存使用比例和存儲空間情況等。各級機房部署的串口設備管理模塊用于各級機房的路由器、交換機、防火墻等網絡串口設備集中監控管理。遠程電源控制管理模塊用于設備的遠程開關機和重啟，遠程監測設備電量等。3G無線MODEM用于主要業務網絡出現故障時，通過3G網絡對設備進行帶外遠程管理。

2 系統功能及工作流程

2.1 功能結構

從功能上劃分，網絡設備遠程管理系統主要包括集中認證審計管理、多種網絡接入方式遠程管理和設備管理三部分。系統的功能結構如圖2所示。

圖2 系統功能結構

集中認證審計管理提供集中認證、權限分配、運維記錄和操作記錄的功能，通過部署認證審計管理服務器和軟件實現。集中認證審計管理服務器存儲相關設備配置和用戶等信息，可以基于web瀏覽器，使管理人員能遠程訪問、管理、監視和控制目標設備。

遠程管理支持多種網絡接入方式，包括以太網和各種3G網絡。業務以太網網絡中斷的時候，可以通過運營商的3G網絡對各級機房內的網絡設備進行帶外管理和維護。

設備管理提供串口設備控制口的集中管理和遠程電源管理的功能，通過在各級機房內部署一個內含串口設備管理模塊和遠程電源控制管理模塊的集中管理設備來實現。集中管理設備把機房內網絡設備的 Console端口集中起來，利用管理設備自身提供的網絡端口連接到以太網或互聯網，形成一個獨立于業務網絡之外的專用管理網絡。管理人員可以在不占用業務傳輸網絡帶寬的情況下通過 Console端口對網絡設備進行管理或維護。同時，集中管理設備把機房內網絡設備的電源集中起來，實現供電電源統一分配。管理人員無需到現場進行干預和設置，可以通過向機房內各網絡設備的Console端口上發送指定信號，重新啟動設備。電流監控功能有助于保持電源的安全，管理人員可以設置閥值，一旦電流超過上限閾值或低于下限閾值時，設備會發出告警聲。

2.2 工作流程

網絡設備遠程管理系統工作流程如圖 3所示，管理人員在整個訪問設備的過程中所有數據都采用加密算法，系統能監控、管理和審核任何遠程接入的訪問。

3 系統特點

在政務外網網絡中部署網絡設備遠程管理系統，能實現對政務外網的各級機房內所有網絡設備的遠程控制和管理。管理人員只需在設備硬件故障的情況下進入機房處理，其余日常運行維護和管理都可以遠程解決，大大提高了機房設備的物理安全性，改善機房設備運行環境，減少安全隱患和故障發生幾率。當各級機房的網絡設備發生故障時，管理人員可以第一時間遠程通過網絡設備的串口進行遠程操作和處理，能減少實地處理設備故障所花費在路途上的時間，極大地提高了管理人員的工作效率，有效地保證網絡的穩定性。

系統的安全保護措施包括 4個方面。（1）采用集中安全認證管理：所有管理人員操作和控制網絡設備，都需要通過集中認證系統進行身份和權限認證，解決管理人員身份的信任保障問題。同時通過用戶身份驗證軟件存儲網絡拓撲結構和設備相關信息，在設備連接期間執行第三方身份驗證，確保控制管理的安全性。（2）行為審計：系統可采用專門設計的嵌入式審計硬件平臺，確保安全可靠，防止病毒侵擾。對機房所有網絡設備的遠程操作進行記錄，出現設備故障或安全事件時可以對故障發生前的操作行為進行有效追蹤和回放，追溯惡意操作行為，確保證據的留存和問題的快速解決。（3）授權管理：系統對各種權限進行劃分，包括針對不同級別管理人員的分組權限管理，或是每臺網絡設備的每一級操作權限管理。依托授權管理服務，避免非授權管理人員對設備的非法訪問和控制，確保只有具有控制權限的管理人員才能訪問和控制遠程設備。（4）信息加密：系統傳輸數據可采用128位DES和128位SSL加密算法，監控、管理和審核任何遠程接入的訪問，確保信息在網絡傳輸過程中處于密文狀態。管理人員主控屏幕的信號傳輸采用差異傳輸，僅傳遞變化部分，即使被攻破截取信號，也無法還原整個屏幕的信息，既能減少數據傳輸量又能確保訪問安全性。

4 結束語

網絡設備遠程管理系統是政務外網網絡建設的重要組成部分，是有效保障網絡正常運行，實現安全管理和提高工作效率的重要途徑。網絡設備遠程管理系統的建設，解決了政務外網的各級機房網絡設備遠程管理控制中要求的安全、可控、可管和可溯，為設備管理提供了一個安全、可靠的平臺。

[1] 吳亞非.電子政務外網安全建設中的問題與對策[J].信息技術與標準化,2005.06:7-9.