在本文開始之前，先跟大家分享一個(gè)代維人員引發(fā)的案例：
　　
　　 程某，大學(xué)畢業(yè)后一直從事軟件研發(fā)，曾為哈爾濱、遼寧、西藏等多家移動(dòng)公司做過技術(shù)代維工作。從2005年3月至7月，程某先后4次侵入北京移動(dòng)數(shù)據(jù)庫(kù)，修改充值卡的時(shí)間和金額，將已充值的充值卡狀態(tài)改為未充值，共修改復(fù)制出上萬個(gè)充值卡密碼。他還將盜出的充值卡密碼在網(wǎng)上出售，共獲利370余萬元。
　　
　　 在對(duì)公安機(jī)關(guān)的供述中，程某稱，他入侵北京移動(dòng)數(shù)據(jù)庫(kù)僅僅是因?yàn)?ldquo;好玩”，僅僅是“突然想測(cè)試一下中國(guó)移動(dòng)網(wǎng)絡(luò)安全系統(tǒng)的安全程度”。
　　
　　 隨即，程某利用他為西藏移動(dòng)做技術(shù)時(shí)使用的密碼（此密碼自其離開后一直沒有更改）輕松進(jìn)入了西藏移動(dòng)的服務(wù)器；通過西藏移動(dòng)的服務(wù)器又跳轉(zhuǎn)到了北京移動(dòng)數(shù)據(jù)庫(kù)，取得了數(shù)據(jù)庫(kù)的最高權(quán)限，并通過讀取數(shù)據(jù)庫(kù)日志文件，反推破譯出密碼。
　　
　　 直到2005年7月，由于一次“疏忽”，程某出售一批充值卡時(shí)忘了修改使用期限，購(gòu)買到這批充值卡的用戶因無法使用便投訴到北京移動(dòng)，北京移動(dòng)才發(fā)現(xiàn)有6600張充值卡被非法復(fù)制，立即報(bào)警。
　　
　　 2005年8月24日，程某在深圳被抓獲，所獲贓款全部起獲。
　　
　　 原本大有前途的IT精英淪落為階下囚，固然有其貪念作祟的原因，可是如果企業(yè)在防范內(nèi)網(wǎng)安全漏洞方面加大力度，不給運(yùn)維人員和代維人員以漏洞和機(jī)會(huì)，也許這樣的悲劇也不會(huì)上演。
　　
　　 隨著信息技術(shù)應(yīng)用的快速深入，企業(yè)用戶對(duì)IT系統(tǒng)的依賴性越來越強(qiáng)，IT系統(tǒng)的運(yùn)營(yíng)、維護(hù)和管理的難度不斷加大。值得深思的是，許多用戶都非常注重來自企業(yè)外部的安全風(fēng)險(xiǎn)，不遺余力地將大量資金投入到諸如殺毒軟件、防火墻等外部防范的建設(shè)中去，恰恰忽略了來自企業(yè)內(nèi)部的安全隱患和問題。
　　
　　 基于此，德訊科技推出ICS網(wǎng)內(nèi)運(yùn)維審計(jì)解決方案，其體系架構(gòu)由數(shù)據(jù)展現(xiàn)層、數(shù)據(jù)處理層及設(shè)備控制層構(gòu)成，主要能夠?qū)崿F(xiàn)兩大功能體系：運(yùn)維人員對(duì)設(shè)備控制層集中運(yùn)維操作體系；審計(jì)人員對(duì)設(shè)備控制層操作安全審計(jì)管理體系。
　　

圖1 網(wǎng)內(nèi)運(yùn)維審計(jì)解決方案體系架構(gòu)圖

　　 數(shù)據(jù)展現(xiàn)層：為運(yùn)維人員提供運(yùn)維與管理入口，通過B/S模式的運(yùn)維管理控制臺(tái)（WEB管理平臺(tái)），可實(shí)現(xiàn)運(yùn)維、認(rèn)證、策略部署、安全審計(jì)等管理操作；
　　
　　 數(shù)據(jù)處理層：通過網(wǎng)絡(luò)運(yùn)維安全網(wǎng)關(guān)（ICS2000）及虛擬運(yùn)維網(wǎng)關(guān)（VOS）的組合部署，實(shí)現(xiàn)（Telnet/FTP/Rlogin/HTTP/HTTPS/SSH/SFTP/RDP/VNC/Xwindows等）多協(xié)議會(huì)話代理、（PL-SQL、MS查詢分析器、DB2Quest、Radmin、PCAnywhere、ERP等）多種類應(yīng)用程序發(fā)布、運(yùn)維操作審計(jì)、報(bào)文處理等服務(wù)；
　　
　　 設(shè)備控制層：由數(shù)據(jù)中心機(jī)房服務(wù)器、網(wǎng)絡(luò)安全、存儲(chǔ)、路由等IT基礎(chǔ)設(shè)備組成，基于WEB管理平臺(tái)進(jìn)行統(tǒng)一集中控管。

　　 本套網(wǎng)內(nèi)運(yùn)維審計(jì)解決方案將ICS2000+VOS聯(lián)合部署于數(shù)據(jù)中心IT運(yùn)營(yíng)網(wǎng)絡(luò)中，無需調(diào)整和變動(dòng)數(shù)據(jù)中心原有的網(wǎng)絡(luò)體系架構(gòu)，即可實(shí)現(xiàn)對(duì)運(yùn)維管理員運(yùn)維操作的集中化管理及運(yùn)維全過程的安全審計(jì)，能夠?yàn)閿?shù)據(jù)中心建立全面的IT基礎(chǔ)設(shè)施網(wǎng)內(nèi)運(yùn)維審計(jì)體系。

圖2 IT基礎(chǔ)設(shè)施網(wǎng)內(nèi)運(yùn)維審計(jì)體系圖

　　 該網(wǎng)內(nèi)運(yùn)維審計(jì)體系主要通過以下四方面，保證數(shù)據(jù)中心IT業(yè)務(wù)系統(tǒng)的穩(wěn)定運(yùn)行以及數(shù)據(jù)信息的安全可靠：
　　
　　第一，變分散運(yùn)維操作為集中運(yùn)維管理
　　
　　 目前許多數(shù)據(jù)中心原先通過分散客戶端實(shí)現(xiàn)對(duì)目標(biāo)設(shè)備運(yùn)維的模式，該模式存在很大的弊端：其一，必須在每臺(tái)運(yùn)維客戶端預(yù)裝所有C/S架構(gòu)的運(yùn)維工具；其二，運(yùn)維工具版本需要更新時(shí)，只能逐一對(duì)每臺(tái)運(yùn)維客戶端進(jìn)行升級(jí)操作。
　　
　　 針對(duì)現(xiàn)有數(shù)據(jù)中心運(yùn)維工具種類多、運(yùn)維人員不集中、區(qū)域分散、跨網(wǎng)絡(luò)等管理特點(diǎn)，本方案采用ICS2000與VOS聯(lián)合部署平臺(tái)，實(shí)現(xiàn)對(duì)眾多運(yùn)維工具、多類客戶端程序的統(tǒng)一安裝部署與集中管理。該銀行運(yùn)維人員僅需通過B/S模式的WEB管理平臺(tái)入口，建立與相應(yīng)運(yùn)維通道的連接，即可實(shí)現(xiàn)對(duì)數(shù)據(jù)中心所有目標(biāo)管理設(shè)備的集中化、一站式運(yùn)維服務(wù)。這種集中運(yùn)維管理模式極大減輕了運(yùn)維人員工作壓力，顯著提高了數(shù)據(jù)中心的運(yùn)維管理效率。
　　
　　 第二，運(yùn)維前主動(dòng)防控――身份認(rèn)證
　　
　　 本方案提供了一套非常完善的身份管理與認(rèn)證機(jī)制，把握和控制數(shù)據(jù)中心WEB管理平臺(tái)訪問入口，逐一驗(yàn)證所有登陸用戶身份的有效性和合法性，加強(qiáng)操作源頭的安全防范，真正實(shí)現(xiàn)操作訪問前的主動(dòng)防控管理，大大降低了重要業(yè)務(wù)信息數(shù)據(jù)的泄露風(fēng)險(xiǎn)。本方案支持用戶本地（WEB管理平臺(tái)）與第三方（如Radius、RSASecureID認(rèn)證、LDAP/AD域）兩種認(rèn)證渠道，在保證安全防范操作的同時(shí)，提高了用戶操作的靈活性與便捷性，更體現(xiàn)出系統(tǒng)強(qiáng)大的兼容性與擴(kuò)展性。
　　
　　 第三，運(yùn)維中實(shí)時(shí)監(jiān)控――桌面監(jiān)控
　　
　　 本方案提供代理、旁路偵聽等多種會(huì)話訪問管理方式，能夠積極、主動(dòng)、直接地實(shí)現(xiàn)對(duì)數(shù)據(jù)中心運(yùn)維人員業(yè)務(wù)操作行為的安全管控。對(duì)于核心業(yè)務(wù)操作或關(guān)鍵目標(biāo)設(shè)備，運(yùn)維人員通過監(jiān)控窗口可以實(shí)現(xiàn)單臺(tái)或多臺(tái)設(shè)備桌面的實(shí)時(shí)在線監(jiān)看，并支持多路監(jiān)視畫面矩陣窗口輪巡切換播放，監(jiān)看過程中如發(fā)生異常或違規(guī)操作，運(yùn)維人員可立即切換至設(shè)備接管狀態(tài)，通過強(qiáng)制“中斷”結(jié)束非法會(huì)話。方案采用對(duì)訪問會(huì)話過程實(shí)時(shí)監(jiān)看、非法操作及時(shí)阻斷的操作策略，有效將數(shù)據(jù)中心網(wǎng)內(nèi)操作引起的安全風(fēng)險(xiǎn)扼殺于萌芽狀態(tài)，從根本上杜絕了危害的擴(kuò)張與蔓延。
　　
　　 第四，運(yùn)維后操作審計(jì)――安全審計(jì)
　　
　　 本方案支持對(duì)WEB管理平臺(tái)內(nèi)一切運(yùn)維行為（如協(xié)議類運(yùn)維、WEB訪問、客戶端訪問以及數(shù)據(jù)庫(kù)訪問等）的遠(yuǎn)程圖形化安全審計(jì)，會(huì)話過程中所有的操作步驟和操作細(xì)節(jié)均以錄像形式呈現(xiàn)給數(shù)據(jù)中心審計(jì)人員。同時(shí)支持關(guān)鍵字定位、數(shù)據(jù)庫(kù)關(guān)鍵語句與審計(jì)錄像關(guān)聯(lián)回放，實(shí)現(xiàn)運(yùn)維操作過程的快速定位、精確跟蹤以及真實(shí)重現(xiàn)，有助于審計(jì)人員對(duì)非法運(yùn)維操作節(jié)點(diǎn)的排查及故障責(zé)任的追溯，促進(jìn)數(shù)據(jù)中心實(shí)現(xiàn)運(yùn)維安全管理的精細(xì)化、規(guī)范化。
　　
　　 通過本方案的應(yīng)用，能夠最大程度滿足用戶在不同維度的內(nèi)網(wǎng)安全需求，減輕用戶的內(nèi)網(wǎng)運(yùn)維審計(jì)操作復(fù)雜度和工作強(qiáng)度，保障大型數(shù)據(jù)中心和各類企事業(yè)單位運(yùn)維安全，將隱患消滅于無形。