IT运维配置管理与方案书

1、IT运维配理系统项目建议书北京中辰华创科技有限公司2014年7月 TOC o 1-5 h z 一、IT运维配置管理背景3 HYPERLINK l bookmark7 o Current Document 二、IT运维配置管理现状4 HYPERLINK l bookmark23 o Current Document 三、解决方案8 HYPERLINK l bookmark25 o Current Document 四、IT运维配置管理应用效果10 HYPERLINK l bookmark27 o Current Document 实现集中帐号管理，降低管理费用10 HYPERLINK l boo

2、kmark29 o Current Document 实现集中身份认证和访问控制，避免冒名访问，提高访问安全性10 HYPERLINK l bookmark32 o Current Document 实现集中授权管理，简化授权流程，减轻管理压力11 HYPERLINK l bookmark34 o Current Document 实现单点登录，规范操作过程，简化操作流程11 HYPERLINK l bookmark36 o Current Document 实现实名运维审计，满足安全规范要求12 HYPERLINK l bookmark38 o Current Document 五、总结12

3、一、IT运维配置一、IT运维配置理背景随着各行业业务的迅速发展，各种经营支撑系统不断增加，网络规模迅速扩 大，支撑系统中有大量的网络设备、主机和数据库等IT系统，它们分别属于不 同的部门和不同的业务系统。目前各IT系统都有一套独立的用户管理、认证、 授权和审计机制，由相应的管理员负责维护和管理。当维护人员同时对多个系统 进行维护时，设备的权限管理复杂度会成倍增加，经常出现共享帐号，弱口令帐 号，授权不清，访问控制不严，操作审计不全等问题，降低了核心设备和关键设 备的安全性，给单位或组织的生产和运营带来巨大风险。原有的由各个系统分散的进行用户、认证、权限、审计的管理模式造成了在 业务管理和安全之

4、间的失衡，已经成为业务发展的瓶颈之一，不能满足单位目前 及未来业务发展的要求。IT运维配置管理系统针对单位内部的网络设备和服务器进行保护，对此类 资产的常用访问方式进行监控和审计。例如对字符终端、图形终端等访问方式进 行监控和审计，实现对用户运维过程的标准化管理，满足单位内部网络对核心资 源的访问安全的要求。二、IT运维配”理现状目前，单位或机构的运维管理有以下三个特点：关键的核心业务都部署于Unix和Windows服务器上应用的复杂度决定了多种角色交叉管理。运行维护人员更多的依赖Telnet、SSH、等防远程管理。基于这些现状，在管理中存在以下突出问题：.使用共享帐号的安全隐患：单位的支撑系

5、统中有大量的网络设备、主机系统 和应用系统，分别属于不同的部门和不同的业务系统。各应用系统都有一套 独立的帐号体系，用户为了方便登陆，经常出现多人共用帐号的情况。多人 同时使用一个系统帐号在带来方便性的同时，导致用户身份唯一性无法确定。 如果其中任何一个人离职或者将帐号告诉其他无关人员，会使这个帐号的安 全无法保证。由于共享帐号是多人共同使用，发生问题后，无法准确定位恶 意操作或误操作的责任人。更改密码需要通知到每一个需要使用此帐号的人 员，带来了密码管理的复杂化。.密码策略无法有效执行：为了保证密码的安全性，安全管理员制定了严格的 密码策略，比如密码要定期修改，密码要保证足够的长度和复杂度等

6、，但是 由于管理的机器数量和帐号数量太多，往往导致密码策略的实施流于形式。.授权不清晰：各系统分别管理所属的系统资源，为本系统的用户分配权限， 无法严格按照最小权限原则分配权限。另外，随着用户数量的增加，权限管 理任务越来越重，当维护人员同时对多个系统进行维护时，工作复杂度会成 倍增加，安全性无法得到充分保证。.访问控制策略不严格：目前的管理中，没有一个清晰的访问控制列表，无法 一目了然的看到什么用户能够以何种身份访问哪些关键设备，同时缺少有效 的技术手段来保证访问控制策略被有效执行。.用户操作无法有效审计：各系统独立运行、维护和管理，所以各系统的审计 也是相互独立的。每个网络设备，每个主机系

7、统分别进行审计，安全事故发 生后需要排查各系统的日志，但是往往日志找到了，也不能最终定位到行为 人。另外各系统的日志记录能力各不相同，例如对于Unix系统来说，日志记录 就存在以下问题：Unix系统中，用户在服务器上的操作有一个历史命令记录的文件，但 是用户可以随意更改和删除自己的记录；root用户不仅仅可以修改自己的历史记录，还可以修改他人的历史记 录，系统本身的的历史记录文件已经变的不可信；记录的命令数量有限制；无法记录操作人员、操作时间、操作结果等。王讥圣统常免居谢案疣 网,改爸安全设备专用案统 QA沿充王讥圣统常免居谢案疣 网,改爸安全设备专用案统 QA沿充财免系及人力察贽 dLWm用

8、系近3字片石不正in ）：-：- -： 件万万西可 WEE方式向可 匚，5程序访问中，b访问网点访问公卜引百可资源类型多样资源使用者多样接入方式多样对运维的管理现状进行分析，造成这种不安全现状的原因是多方面的，总结 起来主要有以下几点。各IT系统独立的帐户管理体系造成身份管理的换乱，而身份的唯一性又恰恰是认证、授权、审计的依据和前提，因此身份的混乱实际上造 成设备访问的混乱。.各IT系统独立管理，风险分散在各系统中，各个击破困难大，这种管理方式造成业务管理和安全之间失衡。.核心服务器或设备的物理安全和临机访问安全通过门禁系统和录像系统得以较好的解决，但是对他们的网络访问缺少控制或欠缺控制力度。

9、.在帐号、密码、认证、授权、审计等各方面缺乏有效的集中管理技术手段。多点登陆资产使用止军用，H2.产?用户管理复 、，入杂性不可避免？?资产安全性又；,，辽 QWinds 对?勺 25如何保证？/0 ink眼号满业寻布配核心资产何唱1黜技安全船J三、解决方案针对以上问题，以解决主要问题为方向，单位迫切需要建立起一套合规、稳定、高效的基础平台系统，IT运维配置管理系统。将分散自治式的管理模式改 为集中的管理模式。只有集中才能够实现统一管理，也只有集中才能把复杂问题 简单化，集中管理是运维管理思想发展的必然趋势。IT运维配置管理系统为资 源提供统一的单点登录访问入口，在平台上集中进行帐号管理、授权

10、管理、认证 管理，并通过协议代理技术实现资源运维过程的审计。通过IT运维配置管理系 统的建设，达到以下效果：.为用户提供统一的操作和维护的人口和平台。为集中管理各个主机、网络 设备、数据库提供了技术手段，可以集中管理、登陆各个IT系统，包括各种主 机、网络设备、数据库及应用，在未来增加新业务系统时也能迅速、方便的通过 该系统进行发布。用户访问IT运维配置管理系统时，系统为每个用户提供自己 的操作平台，登录后显示所有授权给自己的IT系统，通过点击访问方式单点登 录到各IT系统完成访问动作。.实现集中的账号管理。管理员在一点上即可对不同系统中的账号进行管 理，由系统自动同步不同系统下的账号；账号创

11、建、分配过程均留下电子记录， 便于审计。.实现集中的身份认证。管理员不仅可以根据需要选择不同的身份认证方式，而且在不更改或只对应用进行有限更改的情况下，即可在原来只有弱身份认 证手段的IT系统上，增加强身份认证手段，提高系统安全性。通过一次登录可 以访问包括WEB和非WEB在内的所有授权的IT系统，可以使用户无需记忆多 种登录过程，用户ID和口令。它通过向客户提供对其个性化资源的快捷访问提高生产效率和利润、降低管理开销、提高整个系统的安全性。.实现集中访问授权。对单位资产进行有效保护，防止私自授权或权限未及时收回对单位信息资产造成的安全损害；实现基于角色的授权管理，在人员离 职、岗位变动时，只

12、需要在一处进行更改，即可在所有纳入IT运维配置管理管 理平台的系统中改变权限；可以为授权增加特定的限制如只有在规定的时间段、 来自特定地域的人员才能访问指定的资源。.实现集中安全审计管理。不仅能够对人员的登录过程、登录后进行的操作进行审计，而且能够将多个主机、设备、应用日志进行对比分析，从中发现问 题。.实现细粒度的访问控制。通过IT运维配置管理实现内部网络运维行为管理，最大限度保护用户资源的安全。细粒度访问控制体现在命令策略，时间策略 和地址策略上，命令策略是命令的集合，可以是一组可执行命令，也可以是一组 非可执行的命令。、IT运维配”理应用效果实现集中帐号管理，降低管理费用实现对用户帐号的

13、统一管理和维护：集中帐号管理可实现对IT系统所需 的帐号基础信息（包括用户身份信息、机构部门信息、其他公司相关信 息、，以及生命周期信息等）进行标准化的管理，能够为各IT系统提供基 础的用户信息源。通过统一用户信息维护入口，保证各系统的用户帐号 信息的唯一性和同步更新。解决用户帐号共享问题：主机、数据库、网络设备中存在大量的共享帐 号，当发生安全事故时，难于确定帐号的实际使用者，通过部署IT运维 配置管理系统，可以解决共享帐号问题。解决帐号锁定问题：用户登录失败五次，应对帐号进行锁定。网络设备、 主机、应用系统等大都不支持帐号锁定功能。通过部署IT运维配置管理 系统，可以实现用户帐号锁定、一键

14、删除等功能。实现集中身份认证和访问控制，避免冒名访问，提高访问安全性提供集中身份认证服务：实现用户访问IT系统的认证入口集中化和统一 化，并实现高强度的认证方式，使整个IT系统的登录和认证行为可控制 及可管理，从而提升业务连续性和系统安全性。实现用户密码管理，满足SOX法案内控管理的要求：灯运维配置管理系统通过建设集中的认证系统，并结合集中帐号管理的相关功能，实现 用户密码管理，密码自动变更，提高系统认证的安全性。实现对用户的统一接入访问控制功能：部署IT运维配置管理系统前，维 护人员接入IT系统进行维护操作具有接入方式多样、接入点分散的特 点。而维护人员中很多是代维人员，这些代维人员来自于各

15、集成商或设备供应商，人员参差不齐，流动性大。由于维护人员对系统拥有过大权 限，缺乏对其进行访问控制和行为审计的手段，存在极大的安全隐患。IT运维配置管理系统统一维护人员访问系统和设备的入口，提供访问控制功能，有效的解决运维人员的操作问题，降低相关IT系统的安全风险。实现集中授权管理，简化授权流程，减轻管理压力实现统一的授权管理：各应用系统分别管理所属的资源，并为本系统的 用户分配权限/T运维配置管理系统实现统一的授权管理，对所有被管 应用系统的授权信息进行标准化的管理，减轻管理员的管理工作，提升 系统安全性。授权流程化管理：通过IT运维配置管理系统，管理层可容易地对用户权 限进行审查，并确保用

16、户的权限中不能有不兼容职责，用户只能拥有与 身份相符的权限，授权也有相应的工作流审批。实现单点登录，规范操作过程，简化操作流程单点登录：用户通过一次登录系统后，无需认证的访问包括被授权的多 种基于B/S和C/S的应用系统。单点登录为具有多帐号的用户提供了方 便快捷的访问途经，使用户无需记忆多种登录用户ID和口令。它通过向 用户和客户提供对其个性化资源的快捷访问来提高生产效率。同时，单点登录可以实现与用户授权管理的无缝连接，这样可以通过对用户、角 色、行为和资源的授权，增加对资源的保护，和对用户行为的监控及审 计。规范操作流程：规范操作人员和第三方代维厂商的操作行为。所有系统 管理人员，第三方系

17、统维护人员，都必须通过IT运维配置管理系统来实 施网络管理和服务器维护。对所有操作行为做到可控制、可审计、可追 踪。审计人员定期对维护人员的操作进行审计，以提高维护人员的操作 规范性。实现实名运维审计，满足安全规范要求实现集中的日志审计功能：各应用系统相互独立的日志审计，无法进行 综合日志分析，很难通过日志审计发现异常或违规行为。IT运维配置管 理系统提供集中的日志审计，能关联用户的操作行为，对非法登录和非 法操作快速发现、分析、定位和响应，为安全审计和追踪提供依据。辅助审查：通过集中的日志审计，可以收集用户访问网络设备、主机、 数据库的操作日志记录，并对日志记录需要定期进行审查，满足内部控 制规范中关于日志审计的需求，真正实现关联到自然人的日志审计。五、总结单位内部网络安全存在诸多的问题，每种问题都不可小视，对于这些问题， 单位内部应该规范管理，应该使用更为先进的IT技术手段、技术工具来帮助管 理员进行规范化管理，这样才能够保证单位内部网络的安全性。IT运维配置管理系统使得单位内部网络的管理合理化、安全化、专业化和规范化，充分保障单 位网络资源和信息资源的安全。北京中辰华创科技有限公司成立于2010年，注册资金500万元，公司 办公地