电信行业服务器集中管理解决方案

电信行业服务器集中管理解决方案1目前在电信行业中服务器设备管理面临的问题：目前，我国的电信运营企业有电信、联通、移动、网通、吉通、铁通等，他们的服务范围和内容各有侧重又相互补充，在新的环境和不同的领域内已初步形成多元化的竞争局面。但是，他们都具有一个共同的特点：电信行业所管辖支撑系统的主机设备有很多台，支撑系统设备的操作系统也很多。这些系统主要为Linux，另外还包括Sunsolaris、IBMAIX、HPUNIX等操作系统。随着业务系统的不断发展和数据库的不断扩充，这些设备还将大大增加。目前，网管维护人员有限，每个管理员要管理多台设备。为了记忆方便，管理员往往按照固定的规则制定他管理的设备的登录口令，存在着很大安全风险。另外，登录多个设备需要不断地输入用户名和口令，管理效率低下。同时随着各种网络应用不断涌现，并且随着业务的不断拓展，新的服务器设备不断添加进来，老的服务器也会逐渐淘汰，企业的大多数员工在服务器上都有帐号，而且人员流动较大，目前只有少数的管理人员来管理所有服务器设备，因此安全管理也逐渐成为企业面临的重大问题:：主要表现在以下几个方面：1)当新增加设备时，需要手动地登录到这些设备上为相应的管理人员创建帐号。例如，当新增加20台设备，共有5个人管理这些设备时，需要管理人员手工创建20×5＝100个帐号，而设备数量更多时，这个数字会很大，这些都给管理人员的维护管理工作带来了巨大的负担。2)当系统内人员变动时，例如：张三原来在CIQ业务部，在CIQ业务部的40台服务器上有帐号，由于工作原因现在调动到业务部门管理业务部，由张三管理的设备有50台。那么存在以下问题：张三在CIQ业务部的40台服务器上的帐号需要删除，张三在业务管理业务部的50台服务器需要新创建帐号。3)服务器上的帐号有超级管理员和用户帐号两类，操作系统只是按照这两类帐号进行粗粒度的权限控制，例如：超级管理员可以执行所有命令，而用户帐号则只能对他所在的组和自己创建的文件具有完全的权限，对其它文件则不能访问。而实际进行服务器管理时，需要更细粒度的命令执行控制。4)目前管理员登录各个服务器，都是通过服务器自身的审计系统进行审计的，无法形成类似于：在某个时间段内某个管理员登录了哪些服务器，进行了哪些操作的全面审计。而这类审计对于从整体上对系统进行维护管理是十分必要的。2国瑞解决方案2.1总体方案我们对电信行业中现有的服务器设备管理系统进行分析后，形成了一套适合于电信行业的服务器设备管理的的安全解决方案。本方案是基于国瑞数码安全系统有限公司的DigitalTrust产品，本方案通过将设备集中管理系统部署，将电信行业所管辖支撑系统的设备统一管理起来，同时可以通过平滑升级支持将来业务系统和数据库等资源的管理，从而提高工作效率、增强安全强度。2.2产品部署2.3系统工作过程1）用户访问主机应用系统；2）应用系统代理接收连接请求后，连接身份认证服务器；3）身份认证服务器返回给服务代理，要求输入用户名/口令；4）服务代理返回客户端，要求输入用户名/口令；5）用户输入用户名＋口令；6）服务代理将用户名/口令转发给身份认证服务器；7）身份认证服务器验证用户身份，验证通过后返回给服务代理；8）主机系统显示相应页面内容。9）主机代理截获用户操作，进行访问控制，并转发给AAA服务器，实现集中审计。统一认证安全平台可以实现对用户登录服务器的行为进行集中认证，并记录用户的登录日志信息；对用户登录服务器后的操作进行授权，并根据相关授权信息进行访问控制；对用户的所有操作行为进行集中审计；支持审计信息的日报、月报功能。2.4方案实施后的效果管理方便1)灵活的用户管理本系统中所有的系统用户采用用户、组、域的三层架构进行管理。下图列出了用户、组、域的结构关系。用户：用户是指对系统资源进行访问的主体。用户信息包括用户唯一标识、用户名称、用户特征、所属组等，一个用户可以属于多个不同的组。组：组由若干用户组成，在系统中可以定义任意多的组，并为组进行授权。对一个组授予某个资源的访问权限或者限制某个资源的访问权限会影响到组中全部成员，但是删除一个组并不删除它的成员。域：域由若干个组构成，在系统中可以定义任意多的域并且为域进行授权。对一个域授予某个资源的访问权限或者限制某个资源的访问权限会影响到域中全部的组，但是删除一个域并不删除它的组。2）帐号资源信息的自动收集：实现对服务器主机上帐号资源信息的自动收集、统一维护管理服务器上的帐号信息；3）对统一认证安全平台内的用户进行管理：可以按照域/组/用户的管理模式对用户进行管理，实现用户信息的添加、修改、删除、查询；实现平台用户与服务器其同名帐号的绑定。实现对服务器上帐号登录方式的设定（本地登录或AAA登录）；实现对服务器上帐号的按角色授权；实现对服务器帐号的登录源IP地址的限制；实现对服务器帐号类别的设置（普通用户或超级用户）；维护服务器上帐号与认证安全平台中用户的绑定关系。4）对服务器上的帐号信息进行管理：实现对服务器及其帐号信息、操作系统版本等信息的收集；实现对服务器上帐号信息的浏览、查询；2.5业务整合在电信行业部署DTServer、和其所需的管理终端，在主机服务器上安装安全代理。这样，所有用户访问主机服务器的请求都必须经过DTServer服务器，由DTServer和身份认证和授权服务器通信，对用户身份和所具有的访问控制权限进行验证，进而允许或拒绝用户的访问请求。3、方案特点1)量身定制根据电信行业的实际情况并结合国瑞公司的相关产品的技术优势量身定制。电信行业通过部署集中设备管理系统的主要目的是达到对主机服务器的统一集中认证、相应权限管理和集中操作审计，而未来对业务系统的需求也是解决统一认证、授权和审计问题。通过对国瑞公司DigitalTrust产品的适当裁减，以满足网通用户需求，从整体上控制成本，提高效率。2)高可用性集中设备管理系统控制和管理的主机服务器是电信行业很多业务系统的支撑设备，因此，集中设备管理系统的部署和实施应尽量减少了对原有系统的影响为原则，即使在集中设备管理系统由于故障而停止服务时，用户也能登录主机服务器进行正常的维护管理工作。3)扩展性好由于业务的不断发展，将来由集中设备管理系统控制的设备的种类会不断增加，业务系统的集中认证也要增加到进来，而且将来统一认证平台的认证方式也可能进行扩展以支持证书方式认证或OTP方式，认证技术可能会采用Radius认证、TACACS认证等等。因此，集中设备管理系统的设计遵循扩展性的原则，以适应新的网络和应用环境，满足新的网络和应用安全需求。4)高效益集中设备管理系统的建设应以降低总成本，满足最紧迫要求，分期建设和分步实施，以达到最高的性价比，获得最高的经济效益。5)部署简单、快速服务器设备集中管理方案是采用国瑞公司成熟的产品DigitalTrust，因此，部署简单、方便，实施快速、高效。6)操作简单方便本方案的一大特点是管理员登录服务器使用的终端设备不需要安装任何客户端软件，而采用标准的Telnet、SSH和FTP。7)管理快速高效本案例的另一大特色是通过管理策略的实施，许多管理工作都可以自动实现，从而极大提高了管理的效率。