信息安全等保要求下廣播電視IT系統KVM與運維審計結合的應用

【摘要】KVM是各領域IT機房建設中不可或缺的組成部分，是系統工作人員用于運維的主要設備。根據信息系統安全等級保護的要求，通常廣電系統是依靠安全類設備進行對外攻擊防護，依靠運維審計對內部操作進行回溯。審計內容需要做到對系統內設備操作記錄的全覆蓋，以便事后查看。審計的目的除了能夠糾正誤操作以外，還可以對一些惡意操作進行追責。而廣電IT系統中常用的幾類KVM設備都存在著一定程度的安全漏洞，而單獨依靠運維審計也存在著審計盲區。本文提出了一個基于安全等保要求，廣電IT系統中將KVM Over IP、運維審計與跳轉機相結合的應用方案，可以從技術角度規避惡意違規操作，并且實現運維過程中的審計范圍全覆蓋。

【關鍵詞】機架式KVM 矩陣式KVM KVM Over IP安全等級保護 運維審計

目前大多數電視臺都會建設以服務器、工作站、虛擬機、數據庫等基礎資源為主的IT數據中心、存儲中心機房，用以支撐臺內的節目生產管理、各制作島、媒資、播出、總控等諸多應用業務。大多數IT機房建設方案都會采用KVM（Keyboard Video Mouse）多電腦切換器，目的是利用少數公共的鼠標、鍵盤和顯示器實現操控多臺終端主機界面，這樣可以減少機房布線的復雜度、節省機柜空間、提高系統的可管理性、提高系統運維人員的工作效率。

機架式KVM、矩陣式KVM與KVM over IP是廣電IT系統常用的幾種KVM設備，隨著機房建設的規模日益龐大，運行維護的難度逐步增加以及信息系統安全等級保護的要求越來越高，這幾類KVM在日常使用中都有各自的優缺點。

一 KVM的應用

1.機架式KVM

機架式KVM是IT機房建設中應用最廣泛的設備之一，可以實現用一套鍵盤、鼠標、顯示器控制更多主機的目的。機架式KVM價格便宜、通用性強、安裝簡便、易于規劃、可以串接縱向擴展等特點使得它至今仍是大多數中小型IT機房建設的首選。

雖然機架式KVM的市場占有率很高，但是機架式KVM在實際應用中存在著一些缺點：例如KVM設備不利于管理，連接主機需要使用專用連接線纜，且線纜的長度有限，對主機的分辨率有要求等問題使得它在一些特殊應用環境下的缺陷需要通過其他方式來彌補。

2.矩陣式KVM

矩陣式KVM是基于TCP/IP網絡架構的專業數據中心管理設備，它可以通過部署多個控制終端實現遠程管控多臺主機的功能。遠程控制終端的數量可根據需求彈性擴充。矩陣式KVM相比較機架式KVM來說，功能性上有所增強，矩陣式KVM通過轉換模塊將KVM模擬信號轉換為IP信號進行傳輸，增強了信號的安全性，同時還可以將信號進行放大，使得KVM到主機間的連接距離可擴展至40米。矩陣式KVM使用以太網線使得布線安裝變得更加靈活，主機連接的密度也相對較高，使用遠程控制終端可以將操作人員與KVM之間的操作距離延伸至300米，這樣可以實現機房內設備的遠距離多點分散控制，避免了管理人員來回在機房內不同機柜之間進行操作，減少機房出入次數，提高了系統運維效率與主機的安全性。

矩陣式KVM遠程控制終端便捷的主機訪問方式改變了機架式KVM的操作模式，使得運維人員可以在機房外完成大多數的操作，但由于矩陣式KVM在主機端和遠程控制接收端傳輸的都是模擬信號，只是信號傳輸介質發生了變化，這與機架式KVM在工作原理上是一樣的。

3.KVM Over IP

KVM Over IP是將主機的鍵盤、鼠標和顯示卡的輸出通過轉換模塊進行數字化，然后進行加密與壓縮并使用IP技術傳輸KVM數據的一種技術。KVM Over IP傳輸的信號是加密的數字信號，不易被破解，這是與機架式KVM、矩陣式KVM一個不同的地方。KVM Over IP在訪問時不需要像矩陣式KVM一樣的遠程控制端，它是基于B/S架構進行管理的，Web瀏覽器是訪問KVM Over IP最主要的應用程序。通過設定KVM Over IP以太網口的IP地址，只要網絡可達，便可實現對KVM over IP的管理以及其連接的主機進行訪問，因此控制端通過KVMover IP連接主機，在距離上不受限制。

與機架式KVM、矩陣式KVM另一個區別是KVM Over IP有集中管理平臺，不僅能管理域內多臺同型號的KVM，方便系統的擴展；同時還可實現對主機的訪問過程進行錄屏，錄屏的數據采用了圖像變化采集方式，從進入主機的操作界面時開始記錄，在沒有操作的時候不記錄，直到退出主機的操作界面后停止。由于記錄的過程并不基于主機的操作系統，只與主機的顯示卡輸出有關。因此，KVM over IP可以對主機的啟動過程、BIOS層面操作以及藍屏故障信息進行記錄。而KKVM over IP具有人員三權分立管理功能，這方便對運維人員的訪問權限和資產進行管理。

二 信息系統安全等級保護要求下審計方式的考慮

根據《廣播電視相關信息系統安全等級保護基本要求》規定，信息系統應該對系統內的網絡設備、重要終端、系統中的接口服務器、Web服務器、應用服務器、數據庫服務器等重要服務器的操作系統和數據庫進行審計，審計的顆粒度為用戶級，因此在信息系統建設之初就應盡量考慮到各個操作環節的審計方式及覆蓋范圍。

我們以四級系統為例列舉系統的安全審計要求，其中主要包括：

（1）系統應能提供覆蓋到每個用戶的審計功能；

（2）審計內容應包括用戶登錄、修改配置、核心業務操作等重要行為，以及系統資源的異常使用等；

（3）審計記錄至少應包括事件的日期和時間、事件類型、客戶端IP地址、描述和結果等；

（4）應保證無法單獨中斷審計進程；

（5）提供安全審計記錄存儲與保護等功能，審計記錄應無法被刪除、修改或覆蓋等；

（6）應提供對審計記錄數據進行統計、查詢、分析及生成審計報表的功能；

（7）應為安全管理中心提供集中管理的接口。

為了滿足信息系統安全等級保護中對安全審計的要求，廣電IT系統引入了運維審計。

1.什么是運維審計

運維審計起源于跳轉機。而跳轉機原本是一臺通用服務器，系統運維人員通常通過跳轉機遠程登錄到系統內的主機來進行集中化管理。然而跳轉機沒有審計功能，對誤操作與違規操作無法進行回溯追查，這些不足使得運維審計應運而生。運維審計可以管理系統內以RDP（Remote Desktop Protocol）、VNC（Virtual Network Computer）、SSH（Secure Shell）、Telnet等方式登陸的資產設備，操作的功能與跳轉機類似。運維審計可以根據不同協議類型訪問的設備采用不同的記錄方式記錄操作全過程，例如以RDP、VNC方式訪問的設備用錄屏的方式進行記錄，以SSH和Telnet方式訪問的設備以記錄命令行及輸出結果的方式進行記錄等。運維審計記錄的內容需滿足安全等級保護的要求。

運維審計管理的理念是：

（1）通過控制，從源頭上解決對主機的操作問題；

（2）有時主機通用的賬號無法確認操作人員的身份，通過運維審計的賬號管理來實現操作人員的定位；

（3）審計能夠幫助管理員找出操作中產生的問題。

運維審計也具有人員三權分立管理功能，運維審計設立用戶、管理員及審計員三種角色，對于操作記錄的過程只有審計員才有權回放，用戶及管理員的操作都會詳細記錄在案。運維審計系統支持基于B/S架構的單點登錄系統，單點登錄系統采用與訪問授權相結合方式進行，用戶登錄運維審計系統后，只能夠訪問已獲得授權的設備。運維人員無需記憶繁多的目標服務器IP、賬號、密碼等信息，只需要記住自己登陸運維審計的賬號、密碼即可，這能夠有效地提高運維人員的工作效率。

2.單獨使用KVM時的審計漏洞

機架式KVM與矩陣式KVM無審計功能，運維人員對主機所做的操作都沒有記錄，如果遇到操作人員的非法操作或誤操作所引發的問題，則不能回溯之前的操作過程，無法提供參考依據。更具風險的是運維人員可以通過KVM去直接操作主機，從而繞過運維審計，這樣就無法避免一些人員對主機的惡意操作及無痕操作。對于登錄賬號為管理員的主機，機架式KVM和矩陣式KVM均無法對操作人員的身份進行判別并管理，這對于出現問題后續追查相關責任人具有一定的困難；我們可以通過增加一些機房行為監控來記錄人員的操作，但是監控主機操作界面的效果還是很有限的。

如果應用KVM over IP的集中管理平臺，建立應用KVM over IP的審計系統，可以解決機架式KVM、矩陣式KVM無審計的問題。然而在廣電IT系統當中還有大量的網絡、安全等設備，像播出、主控系統中還包含大量的專業的視音頻處理設備、存儲設備等，有些設備的訪問方式采用的是B/S或C/S架構，需要通過客戶端的Web瀏覽器或安裝客戶端軟件來進行管理，有些設備需要通過串口連接進行訪問。針對這些特殊的設備，KVM Over IP不能訪問，無法實現對系統操作記錄的全覆蓋。

3.單獨使用運維審計時的審計漏洞

運維審計登錄主機需要依賴于目標主機操作系統的正常運行，當主機操作系統出現故障時，運維審計便無法訪問主機，只有在主機操作系統恢復正常后才能繼續登錄操作。而在播出、主控及數據中心系統當中有很多設備是基于Windows和Linux等操作系統平臺開發的專業設備，在設備啟動的過程中，需要關注很多信息，尤其是由于設備硬件故障導致無法正常啟動時BIOS層的信息，這對于運維人員排查故障來說尤為重要。如因硬件故障導致無法啟動至操作系統，單獨依靠運維審計則無法對設備進行維護。

與KVM over IP一樣，運維審計對于訪問方式采用的是B/S、C/S架構和串口連接的設備，也無法進行管理，通常對于上述這幾類設備的操作是用便攜式PC和設備之間用網線或串口直連，再使用相對應的訪問工具軟件來完成后續操作。然而這樣直連的方式也不符合信息安全等級保護要求中的規定：系統應啟用訪問控制功能，依據安全策略控制用戶對資源的訪問。而便攜式PC與設備直連，繞開了網絡中的訪問控制和審計設備，同時還存在傳播病毒的風險，出于對系統安全的考慮，不應采用便攜式PC來進行直連管理。

4.運維審計與KVM并存時審計的問題

當運維審計與KVM并存時，對于B/S、C/S架構及串口訪問設備，兩者都無法直接訪問。對于這類設備的操作會有審計盲區。而KVM與運維審計對主機的訪問分別建立了各自的訪問路徑，對于系統運維人員來說，在主機運行正常的情況下，使用任何一種方式都可以完成對主機的操作。為了避免因運維審計故障而無法訪問主機的特殊情況出現，KVM的存在還是很有必要的。但是在KVM與運維審計并存的系統中，兩者應用的定位應當有所區別，KVM主要應用于主機上線前的調試以及故障后的應急維護，運維審計應承擔對主機的日常操作和審計工作。二者的主要區別是通過運維審計會留下操作痕跡，而有些系統的運維人員擔心自己的操作可能會引起主機的故障，影響系統的穩定運行，從而不愿意通過運維審計去做運維，因此更多的選擇直接通過KVM來完成對主機的操作。因此需要用技術手段來彌補審計盲區，同時限制對主機的訪問方式，避免產生無痕操作。

三 KVM over IP、運維審計與跳轉機結合的解決方案

針對上述結合廣電特性的IT系統中幾類KVM以及運維審計的優勢與存在的問題，如何解決各類操作的審計盲區，同時又避免無法追查和不安全連接的操作行為，我們提出了一個將KVM over IP、運維審計與跳轉機相結合的解決方法：如圖1所示：

我們需要在系統中設立一臺Windows操作系統的跳轉機，在跳轉機上安裝Web瀏覽器、串口通訊軟件以及一些C/S架構設備私有的客戶端軟件等，目的是用跳轉機來解決運維審計和KVM Over IP對某些特殊設備無法直接訪問的問題，同時將跳轉機劃入運維審計的資產管理范圍，凡是通過跳轉機的所有操作，都由運維審計來進行記錄。

對于因主機硬件所引起的操作系統啟動故障過程的審計，需要對BIOS層信息進行檢查的操作，就只能通過KVM來實現，KVM Over IP的錄屏功能，可以記錄主機的啟動過程及BIOS層的信息。而登錄KVM Over IP也需要通過跳轉機的Web瀏覽器。這臺Windows跳轉機，成為解決系統運維審計訪問盲點的一個關鍵環節，從而達到對系統內所有設備操作審計的全覆蓋。三者的結合還可以將KVM over IP的集中管理平臺省去，不必重復建立兩套審計系統，節省成本。

從安全的角度考慮，對運維審計、KVM Over IP以及Windows跳轉機的訪問應有嚴格的把控，我們需要通過規章制度來規范日常的操作流程；同時也需要用技術的手段對惡意操作加以防范，其中包括設置網絡層的訪問控制列表，用以限制系統內設備間通信的IP地址及端口；還可以通過跳轉機的操作系統安全設置，限定所能登錄的設備IP及用戶，必要的情況下可以將跳轉機做主機操作系統加固并加入到終端安全管理的范圍內來加強管控。

在安全等級保護要求較高的系統，還應設立身份認證系統，給系統使用人員發放個人秘鑰，結合雙因素認證來防止發生通過登錄密碼來偽造身份的事情，這樣才能做到對主機的每一步操作都可追根溯源。

將KVM over IP、運維審計與跳轉機結合實現對操作過程記錄的全覆蓋的同時，存在另一個問題：跳轉機所連接的設備種類較多，運維審計在錄制跳轉機操作過程時，只能記錄是由操作跳轉機所發生的動作，并不能夠做到將每次操作按照跳轉機訪問的設備再進一步明確分類，這對于篩選、查詢、定位由跳轉機所產生的審計內容增加了一些難度。

目前運維審計還不具備串口訪問、Web瀏覽器功能，若運維審計能夠將虛擬機集成在產品中，通過虛擬機來完成跳轉機的功能，則可以省去跳轉機這一環節，對于簡化系統結構，減少故障點而言，是很有意義的。

四 總結

針對文中列舉的幾類常用的KVM在機房使用過程中的優缺點，并結合廣電信息系統安全等級保護審計的要求，本文提出了KVM Over IP、運維審計與跳轉機結合的方案，可以實現系統內各類操作審計的全覆蓋，對于信息系統的安全運行提供了更好的保障。同時信息系統的安全防護措施除了用文中提到的技術手段來實現以外，制度的建設也很重要。KVM Over IP與運維審計相結合的方案從成本上相對比較高一些，但是對于安全等級保護要求較高的信息系統而言，通過增加一些投入而解決來自系統內部的一些安全隱患也是值得的，我們也期待著有新產品可以實現對系統內各類設備的操作及審計實現全面覆蓋，簡化系統結構，減少故障點，提高系統整體穩定性。