第一篇:IT运维综合管控解决方案
IT运维综合管控解决方案
针对安然、世通等财务欺诈事件,2002年出台的《公众公司会计改革和投资者保护法案》(Sarbanes-Oxley Act)对组织治理、财务会计、监管审计制定了新的准则,并要求组织治理核心如董事会、高层管理、内外部审计在评估和报告组织内部控制的有效性和充分性中发挥关键作用。与此同时,国内相关职能部门亦在内部控制与风险管理方面制定了相应的指引和规范。由于信息系统的脆弱性、技术的复杂性、操作的人为因素,在设计以预防、减少或消除潜在风险为目标的安全架构时,引入运维管理与操作监控机制以预防、发现错误或违规事件,对IT风险进行事前防范、事中控制、事后监督和纠正的组合管理是十分必要的。IT系统审计是控制内部风险的一个重要手段,但IT系统构成复杂,操作人员众多,如何有效地对其进行审计,是长期困扰各组织的信息科技和风险稽核部门的一个重大课题。
一、需求分析
系统的运维人员是系统的“特殊”使用团队,一般具有系统的高级权限,对运维人员的行为审计日渐成为安全管理的必备部分,尤其是目前很多企业为了降低网络与系统的维护成本,采用租用网络或者运维外包的方式,由企业外部人员管理网络,由外部维护人员产生的安全案例已经逐渐在上升的趋势。
运维人员具有“特殊”的权限,又往往是各种业务审计关注不到的地方,网络行为审计可以审计运维人员经过网络进行的工作行为,但对设备的直接操作管理,比如Console方式就没有记录。
运维审计的方式不同于其他审计,尤其是运维人员为了安全的要求,开始大量采用加密方式,如RDP、SSL等,加密口令在连接建立的时候动态生成,通过链路镜像方式是无法审计的。所以运维审计是一种“制度+技术”的强行审计。一般是运维人员必须先登录身份认证的“堡垒机”(或通过路由设置方式把运维的管理连接全部转向运维审计服务器),所有运维工作通过该堡垒机进行,这样就可以记录全部的运维行为。由于堡垒机是运维的必然通道,在处理RDP等加密协议时,可以由堡垒机作为加密通道的中间代理,从而获取通讯中生成的密钥,也就可以对加密管理协议信息进行审计。
二、运维安全审计面临的挑战
IT运维人员一般应用命令行方式(Telnet、SSH)、和图形化方式(RDP、VNC)、客户端软件等方式对数据中心的服务器进行管理,这些方式虽然方便、灵活,但接入点多,存在重大安全隐患,并难于管理,特别是,面对成千上万台的设备,一个IT经理或者一个CIO如何能确保所有IT运维人员的操作都是安全的? 倘若有违规操作,如果发现并有效阻止? 若阻止不及,如何认定事故责任?
三、IT运维综合管控解决方案
泰然神州Zendeep神电运维审计系统是用于数据中心IT运维的集中管理和审计系统,可以对基于Telnet、SSH、RDP、VNC等协议的访问操作进行过程的抓取,从而可以录象方式对所有运维人员的所有操作进行记录,并具备强大的搜索功能,可对特定时段、特定事件、特定用户等逻辑要素进行搜索与提取——从而达到真正意义上的审计与风险控制。
泰然神州Zendeep运维审计方案的功能架构模块(下图)
泰然神州Zendeep运维审计系统管理平台,不仅可以对IT运维人员应用带内管理工具(Telnet、SSH、RDP、VNC等协议)的管理进行全面的集中管理与审计,可以制定有效的控制策略,进行访问授权、访问阻断,另外也可以根据不同的参数搜索调用历史操作画面,并进行画面回放、查看审计日志、从而进行有效的安全防护。
泰然神州运维审计系统由管理控制台、应用代理服务器、客户端安全插件和数据库四大部分构成。管理控制台:
管理控制台负责实现系统的用户管理、代理访问策略管理、阻断策略管理、审计日志的查看与审计、对审计会话的画面回放和系统的基础配置等功能
管理控制台是一个基于Web的操作界面,可以对一个ICS对应的多台ICA的监控结果进行集中化的管理 应用代理服务器:
应用代理服务器用于实现代理应用的集中管理,对用户和客户机进行合法性校验,受符合策略要求的代理应用连接请求
提供TCP阻断功能,对于网络中的非法网络连接可以根据阻断策略自动实施阻断操作 数据库:
日志审计数据库,用于记录用户信息、策略信息和连接会话的日志信息等内容
文件数据库,专门用于记录应用代理服务器所记录每个连接会话的录像信息,录像信息与日志信息直接关联,直接通过查询日志信息后播放对应的录像文件,真实再现当时的操作画面 客户端安全插件:
终端客户机及和IT运维管控系统后台之间建立加密的连接通道 终端安全登陆认证设备接口
四、方案应用部署
泰然神州Zendeep运维审计系统部署网络拓扑架构图:
五、方案特点
泰然神州Zendeep运维审计方案特点:
集中管理,提供后台设备、数据库及指定系统统一的操作维护入口,实现单点登录。身份管理,提供设置实名制登陆帐号,详细记录后台数据库全部操作过程。
访问控制,提供管理员根据不同的用户配置不同的操作权限,实现命令级别的严格控制,确保合法用户在其系统权限范围内访问授权设备。
命令防火墙,实现当不同用户帐号与同一系统帐号关联时,以命令为核心建立更加细粒度的权限控制。操作审计,对用户实施的操作提供完整,详细记录服务。并可以安全地存放于管理平台中,管理平台能以方便、友好的界面方式提供对这些记录的操作查看,搜索,回放等审计功能。支持协议:Telnet、SSH、RDP、VNC等 强制主机审计,所有运维行为强制经过IT运维管控系统跳转 IT运维管控系统所在服务器安全加固
六、泰然神州Zendeep运维审计系统方案效益分析
通过实施泰然神州Zendeep运维审计系统方案,安全审计工作可以得到有效简化,可以进行全面的集中管理与审计,真正做到运维全程操作可见﹑可控﹑可查。
1、本系统可对所有用户进行集中管理,包括本地管理用户及远程管理的用户。可以通过本系统行使如下功能:用户的创建、修改、删除和查询、用户的启用和挂起控制、用户的权限管理功能。
2、可以对历史操作画面回放,掌握第一手客观公正的操作记录。
3、对所有通过基于Telnet、SSH、RDP、VNC等协议的访问操作,进行全生命周期录像,可实现对历史操作过程的真实再现。
4、根据用户设置的规则、关键字、用户名称、目标地址、源地址负载名称、部门名称、描述信息和时间进行审计信息的查询检索,对查询的结果进行回放,再现历史操作画面。
5、本系统对通过应用代理服务器访问的负载的操作信息进行记录,包括访问负载IP地址、客户端地址、运维用户名称、操作开始和结束时间等等,管理人员可以通过时间、客户端类别(TELNET、SSH、RDP、VNC)、负载IP地址、客户端IP地址和运维用户对审计信息进行查询。
6、可以制定有效的控制策略——将风险远远阻在门外,访问授权控制策略:可以根据企业内控与管理的要求配置应用代理访问控制策略,经过授权的客户端可以通过代理访问负载,未经过授权的客户端则不可以访问负载。
7、阻断访问控制策略:通过访问控制策略阻断控制,可以强制用户必须通过应用代理访问负载。
第二篇:IT运维监管控一体化解决方案
IT运维监管控一体化解决方案
IT运维管理闭环体系
2010-11-17
本文论述了IT运维监管控一体化趋势,建设要求、原则,方案整体设计和具体实现。
IT运维监管控一体化解决方案
目 录
1.2.3.4.IT运维服务管理概述......................................................................................................5 IT运维管理一体化管理解决之道..................................................................................6 IT运维一体化建设目标..................................................................................................6 系统设计原则...................................................................................................................7 4.1.4.2.4.3.4.4.4.5.4.6.4.7.4.8.5.系统的先进性.......................................................................................................7 系统的实用性.......................................................................................................7 系统的有效性.......................................................................................................7 系统的可行性.......................................................................................................7 系统的可靠性.......................................................................................................8 系统的开放性.......................................................................................................8 系统的扩展性.......................................................................................................8 系统的安全性.......................................................................................................8
IT运维一体化平台建设原则..........................................................................................8 5.1.5.2.5.3.5.4.5.5.5.6.统一规划...............................................................................................................8 转变观念...............................................................................................................9 分步实施...............................................................................................................9 可插拔模块化.......................................................................................................9 有所为,有所不为.............................................................................................10 不唯美,而唯实.................................................................................................10
6.IT运维一体化解决方案................................................................................................10 6.1.6.2.6.3.6.4.6.5.理解IT运维一体化...........................................................................................10 监视模块建设.....................................................................................................12 流程管理模块建设.............................................................................................12 自动化操作模块建设.........................................................................................13 CMDB建设........................................................................................................14 6.5.1.CMDB战略核心地位...............................................................................14
/ 28
IT运维监管控一体化解决方案
6.5.2.CMDB建设方法.......................................................................................15 6.5.3.CMDB建设保障.......................................................................................16 6.5.4.构建CMDB模型......................................................................................17 6.5.5.避免CMDB建设误区..............................................................................18 6.6.模块之间接口实现.............................................................................................18 6.6.1.监与管之间的接口....................................................................................18 6.6.2.管与控之间的接口....................................................................................19 6.7.7.报表系统.............................................................................................................19
IT运维一体化特点........................................................................................................20 7.1.7.2.7.3.7.4.7.5.7.6.7.7.监管控一体化整合.............................................................................................20 层级化展现平台.................................................................................................20 综合事件管理平台.............................................................................................20 全方位IT资源管理平台...................................................................................20 面向基础设施.....................................................................................................20 面向维护管理者.................................................................................................20 面向领导决策者.................................................................................................21
8.IT运维一体化系统功能................................................................................................21 8.1.8.2.8.3.8.4.8.5.8.6.8.7.8.8.8.9.信息门户.............................................................................................................21 事故管理.............................................................................................................21 问题管理.............................................................................................................22 变更管理:.........................................................................................................22 发布管理.............................................................................................................23 配置管理.............................................................................................................23 工单管理.............................................................................................................23 作业计划.............................................................................................................23 值班管理.............................................................................................................24
8.10.考核管理.............................................................................................................24 8.11.代维管理.............................................................................................................24 8.12.知识管理.............................................................................................................25 8.13.安全管理.............................................................................................................25
/ 28
IT运维监管控一体化解决方案
8.14.服务持续性管理.................................................................................................25 8.15.容量管理.............................................................................................................25 8.16.可用性管理.........................................................................................................26 9.总结.................................................................................................................................26 9.1.9.2.IT运维管理内容层面........................................................................................26 IT运维一体化优势............................................................................................27
/ 28
IT运维监管控一体化解决方案
1.IT运维服务管理概述
随着企业信息化程度的提高、IT环境规模的扩大和IT环境复杂度的增加、行业内服务竞争的加剧,如何保证IT系统安全稳定运行,为业务提供可持继性的支撑,最优化IT环境的性能,有效控制IT成本和计划IT投资,这些都对IT系统运行维护支持以及IT服务水平提出了新的要求和挑战。
面对的挑战:
越来越高的服务成本 以流程管理为驱动的转型阶段 从以“技术为中心”向“业务驱动”的转型 服务协议成为最佳成果的代名词
合作伙伴关系将替代“客户-供应商”的简单关系 服务成为应用的代名词
信息技术在业务中起着越来越重要的作用,越来越多的业务流程依赖IT技术。从技术和业务的双重视角对其进行有效管理,保障业务处理平台高效、安全、正常运行,为业务服务提供有力支撑成了运维人员和IT部门的常态工作。
如何在企业内部建立起一套有效的运维交互平台,理顺不同部门以及上下级之间的协作关系,规范工作流程,提高工作效率,实现故障处理、资源调度优化、系统割接、业务保障等运维工作的闭环流程监控和管理,是目前各IT运维部门关心的问题。
/ 28
IT运维监管控一体化解决方案
但是,由于业务快速变化、用户环境日益复杂、IT应用日益繁多等因素导致了IT服务与实际业务需求脱钩,IT服务与业务部门的实际要求出现鸿沟,由此催生了面向“IT服务”的管理挑战与需求―――IT服务管理。IT服务管理立足于服务,建立以客户为中心,以流程为导向,从业务角度出发的全新的IT管理模式,通过整合IT 服务与业务,提高了组织对外提供服务的能力,是真正实现这种服务管理的有效途径,能帮助用户最终实现IT与业务的融合。
2.IT运维管理一体化管理解决之道
受习惯、时间、财力等诸多因素的影响,在迈入IT服务管理过渡阶段过程中,大多数客户的IT服务部门管理的变革没能跟上技术的发展,未对IT服务管理进行整体规划,没有导入适合现阶段的管理机制,依然沿用“被动响应、救火队”服务支持管理模式,依然缺乏适用的自动化管理流程,导致IT服务管理能力低下。
IT运维一体化平台依靠对复杂异构的IT资源环境(网络设备、安全设备、服务器、存储、机房环境、操作系统、数据库、中间件、业务系统、IT资产、日常工作、外包管理......)的一体化监(面向业务服务的监视)、管(面向运维流程的管理)、控(面向日常运维的控制),最终达到保障IT基础架构稳定可靠运行、降低系统和业务应用宕机风险、提高运维支持和服务管理效率、优化运维流程、建立绩效体系、控制运维成本、改进决策过程的目标。
3.IT运维一体化建设目标
IT运维一体化平台的总体目标是建立一个稳定、高效、灵活的IT运行和维护管理体系,涵盖IT运维工作中的监、管、控三方面,为业务应用正常运行提供有力的支撑,提高信息系统运行效率,提高服务质量,降低运营的成本。
实时管理:及时发现故障与异常,并迅速定位,尽快解决;通过运行分析,调整运行策略;通过业务系统性能的测量和管理,优化系统性能,提高系统运行效率。 闭环管理:通过科学规范化的流程管理保证故障、异常、隐患由相应的人员采用必要的方式闭环处理;促进巡检、变更的工作标准化、规范化;通过流程运行的考核数据,促进运维质量和运维效率的提高。
精益管理:通过丰富完善的报表和图档资料,为运行维护工作提供直观准确基础数据;避免维护工作中的疏漏而带来的人力、资金浪费;分析信息基础设施的运行负荷,制定合理的资源调配方案。
/ 28
IT运维监管控一体化解决方案
战略管理:优化现有的IT基础设施的运行性能;提升系统性能;预测并计划信息基础设施的需求;考核并不断提升服务水平。
4.系统设计原则
4.1.系统的先进性
先进性是每一个IT系统建设不断追求的目标。随着IT技术的迅速发展,更新的、更先进的技术和思想总是在不断出现,因此,系统设计必须兼顾先进性。
系统规划的先进性是将系统看成一个有机的整体工程,不但在规划时要考虑到它的目前现状,还要考虑它的发展和未来。不论硬件或软件,在应用目前相对成熟的技术基础之上,系统必须能够不断完善、扩充,功能越来越丰富,尽可能小的代价来适应系统需求的不断增长和技术的不断发展,使现有系统能够与IT运维需求同步增长。
4.2.系统的实用性
IT运维一体化平台建设能否成功,实用性非常重要。系统设计必须以实用为出发点,而不是一味追求新技术、新理念和照搬国外模式。IT运维平台是为IT环境支撑提供运维管理的基础。要达到实用性的要求,必须设计时充分考虑到国内情况、本行业特点和本企业实际状况,充分明确:提高自身的IT运维管理水平和提供更好的业务服务能力才是IT运维管理平台建设的根本目标。
4.3.系统的有效性
IT运维管理系统是IT部门每天工作的基础和平台,是IT部门的根本。如果不具备有效性,华而不实,很难设想IT部门如何开展工作,如何实现有效的IT运维管理,更无法谈论提供高质和高效的IT服务。
4.4.系统的可行性
IT运维的理念和设计规划再好,如果不具备可行性,也只是空中楼阁。因此,必须考虑系统建设的可行性。可行性的考虑包括:目前技术上是否可以实现、自身人力、物力和财力上的支撑。
/ 28
IT运维监管控一体化解决方案
4.5.系统的可靠性
IT运维系统的重要性不言而喻。如果IT运维系统运行故障而停止工作,那么企业的IT环境犹如没有控制盘的汽车,处在无序、惯性行驶的状态。此时,IT环境对于IT运维人员而言,完全陌生,处于隔离、未知、失控的状态。
对于IT运维管理系统,监控的失败或瘫痪相当于人失聪、失明,流程管理的失败相当于大脑丧失了思考能力,自动化运维操作的失败相当于截肢瘫痪。因此,任何模块的失败,后果都是严重的。IT运维系统本身的健壮性、自身完善性、稳定性是至关重要的。
IT运维平台是企业IT环境中实现正常运维工作的基础和管理平台。因此,IT系统建设一定要考虑系统的可靠性。
4.6.系统的开放性
IT技术发展日新月异,IT系统的开放性和标准性越来越成为一种趋势。只有采用开放的系统,使用开放的技术,才能保证整个系统有持久的生命周期,才能长期保护企业在IT运维的有效投入。例如:接口之间采用Corba,xml,jdbc,ftp,jdbc等开放技术。
4.7.系统的扩展性
随着IT业务系统的增加和IT环境规模的扩大,随着时间的推移和情况的变化,无不需要考虑系统功能的变化和调整。因此,IT运维一体化平台系统需要具有很强的扩展能力和适应能力。
4.8.系统的安全性
基于IT运维管理系统的角色,IT运维系统的安全变得至为关键。很难想象,IT运维管理系统由于病毒或者安全入侵,导致IT运维平台瘫痪带来的后果。
5.IT运维一体化平台建设原则
5.1.统一规划
IT运维一体化建设中必须坚持统一的规划、明确的发展方向和思路,在全局、宏观上做到统筹安排,合理规划。实施对整体架构和数据模型的统一管控。
/ 28
IT运维监管控一体化解决方案
5.2.转变观念
任何生产活动都是人来主导的,IT运维管理体系的建设不单是一个软硬件系统的建设,还是一个运维团队和人文的建设。IT运维一体化平台的建设,是IT运维理念和管理上的一次划阶段的变革,它需要整个IT运维部门的文化、体制和思想也要作相应的转变和调整才能成功。根据以往情况,企业的IT部门往往都是技术至上的工程师文化,而这种源于研发企业的文化和现今IT管理部门作为业务支撑部门的定位严重不符。因此,完善IT服务管理的过程,也必然是部门文化和IT运维理念和体制转变的过程。在建设IT服务管理体系的过程中应遵循以下2个原则:
高起点,借鉴业界先进的管理模型和方法。
重执行,任何管理规范和流程的制定都要以可执行,可考核为前提。
5.3.分步实施
IT管理体系的建立和完善不可能一蹴而就,需要有长期的计划步骤实施,必须循序渐进,遵循分阶段和迭代实施的原则。
横向扩展:从个别的业务系统扩展到所有的业务系统,规模上逐步从小到大。 纵向加深:功能上逐步完善、丰富和细化,模块和子模块数量从少到多,从有到优。 制定计划,“有重点、分阶段”展开。
5.4.可插拔模块化
IT运维一体化平台涵盖了IT运维工作的各个方面,从全局到局部,从宏观到细节。系统架构设计必须以模块化为基础。
必须平衡考虑系统内部模块的松散性和耦合性。作为同一平台内部的模块,由于相互协作,模块和子系统之间必然存在着耦合性。另一方面,为了控制单点故障带来的对系统整体的影响,必须有效控制单点故障后所影响的范围并在此基础上才有可能提供快速恢复的能力。
模块化为可插拔性提供了可能,使得系统设计上可扩展性原则得以实现。 可插拔化:为模块的升级、优化和采用新技术,提供了实现的前提。不同组件、不同层面的模块的替换,对系统的其他模块是透明的。局部的调整和升级并不对系统的整体架构产生必要的调整。
/ 28
IT运维监管控一体化解决方案
5.5.有所为,有所不为
在一个阶段,不求大、不求全。求大求全,则难以有所为,必然陷于被动。必须明确,有所不为而后可以有为。
5.6.不唯美,而唯实
过分追求完美,会导致华而不实,会导致系统本身和建设上的虚、浮、躁。只有尊重实际情况,才能脚踏实地,步步为营,有效推进IT运维管理工作的建设并不断提高。
6.IT运维一体化解决方案
6.1.理解IT运维一体化
针对IT运维,我们划分为三个方面,监视、管理和控制。“监、管、控”三者紧密关联,逻辑上是一条龙过程,并形成闭合环路。
监控的结果作为依据来分析、决策和指导IT运维工作的进行;IT运维工作本身需要流程管理来进行规范和控制;自动化运维操作将运维工作中大量、重复的劳动来批量控制,自动完成,节省人力,并提高效率。运维工作的质量和结果需要监控来进一步实现观察和确认,以判断是否符合工作预期,必要时,再次调整和提高。
可以说,监视是我们的眼睛,帮助我们透视和认清网络、主机、应用等整个IT环境,是我们的情报来源;流程管理是我们的大脑,帮助我们思考、制定决策和完成流程控制和管
/ 28
IT运维监管控一体化解决方案
理,是我们的情报分析和决策中心;控制是我们的双手,完成自动化批量处理,是我们的实施力量和手段。由此,我们说,“监、管、控”,这是有序的一条龙过程。
双手完成运维处理和控制动作之后,我们需要眼睛再次监视,来查看控制结果。继而,需要大脑来审验:是否符合预期?是否需要进一步调整和控制?如是,进而开始新的“监管控”流转过程。由此,我们还可以说,“监、管、控”,这又是一个闭合的环路过程。
IT“监管控”一体化运维,就是真正实现上面的一条龙过程和达到闭合环路的目的。在IT“监管控”一体化运维模式下,当监控管理模块发现故障并产生告警后,如满足相应的过滤和触发条件,通过接口会自动触发运维流程管理模块生成相应的工单,运维流程管理模块依据工单信息和相应运维人员预先设置好的关联条件,自动寻找、识别和匹配自动化运维模块中的操作脚本,实现自动和快速的故障操作处理。由此实现从发现故障到解决故障的IT运维全自动化,并自动完成运维操作日志记录,以备事后回顾和审计。
IT运维自动化不是IT运维工作简单的维护过程的改变,而是IT运维管理工作的根本变革,是IT运维管理的发展趋势。
在IT“监管控”一体化的运维平台中,原来的网管监控、运维流程管理和自动化运维操作平台转化为对应的“监、管、控”三个模块。
IT运维一体化平台应在设计之始即充分遵循ITIL理论,并结合国内现状、行业特点与实践经验,建立以服务流程为驱动的管理平台,实现人员、流程、技术三方面的完美结合。唯此,才能够在帮助用户深耕基础架构、夯实基础之后,与用户一起建立遵循先进流程管理思想的ITIL理论、实现以服务流程驱动为导向的实用的“人管流程”。IT运维一体化平台为用户带来“IT管理理念+系统工具+过程方法”的全新的IT服务管理组合,为用户提供包括管理流程与规范、业务及实施方法在内的全方位IT运维服务管理一体化解决方案。
IT服务管理的最终目标是实现业务与技术的融合,IT运维一体化平台紧扣业务部门与IT部门融合要求,提供业务与技术沟通和连接的平台,将业务部门与IT部门紧密结合在一起,能够帮助用户持续提高业务部门和客户的满意度,为客户的IT服务管理做出贡献,提高用户的核心竞争能力。
实施IT运维管理一体化可以帮助企业将IT系统原来的混乱状态变到主动的管理状态,包括将技术导向变为流程/服务导向,将被动处理变为预防为主,将孤立、分散系统变为集成化的系统等等。
总之,IT运维管理一体化通过将人才、流程和工具技术进行有机结合,实现高质量、高可靠性的IT服务服务管理。
/ 28
IT运维监管控一体化解决方案
6.2.监视模块建设
IT监控内容:网络设备、链路、主机操作系统、数据库、存储、中间件、应用软件、业务服务、机房环境(温度、湿度)、机房门禁等。
通过IT网管监控,可以帮助运维部门和人员实现全天候自动检测,可以及时、快速发现故障,通过事件关联分析,并结合问题管理,实现快速定位故障根源、快速预防和恢复,从而提升IT运维响应能力,变被动式管理为主动式运维,使IT运维工作从事后“救火式”管理转变到事前预防型管理。
6.3.流程管理模块建设
IT运维管理涉及的对象包括设备、技术和人员。其中,人是IT运维生产力决定的因素。如何有效实现设备、技术和人员的统一管理,如何实现人的组织和行为的科学化和规范化,需要IT运维流程管理。
IT运维工作本身具有工作量大、全面、繁琐和复杂的特点,通过有效的IT运维流程管理平台,既可以梳理工作流程,又可以理顺部门之间和人员之间的职责关系,达到标准、规范、统一和科学的运维,保证IT运维工作无论是整体和全局,还是细节和局部,都能有效推进,避免IT运维工作的无序和混乱。
/ 28
IT运维监管控一体化解决方案
IT运维流程管理通过建模,提高流程的可控性。同时,IT运维流程管理提高IT运维管理和执行工作的透明度。传统手工运维流程的不可控性和不透明性给流程定制、管理和优化带来相当大的困难,而IT运维管流程管理可以帮助IT运维部门一目了然地看到整个流程的全局和各运维工作节点的状况。
通过标准化的IT运维流程管理,可以不断提高IT运维工作质量,提升企业内外的IT服务满意度。
电子运维流程管理系统定位于通过电子化手段来确保运维工作的流程化、工单化、自动化和信息化,实现对流程的实时监控与闭环管理。
6.4.自动化操作模块建设
在IT运维工作中,存在着大量和重复的劳动,如补丁安装、合规检查、配置收集、日常巡检等。计算机的一个重要特点,就是可以帮助人类完成大量的、重复的劳动。自动化运维,就是人类在IT运维工作中具体操作层面的计算机化。
通过自动化运维:
实现批量处理,高效、快速工作; 节省人力,降低人力成本;
/ 28
IT运维监管控一体化解决方案
将有限的IT运维人员解放出来,避免大部分时间和精力是处理简单的、大量的、重复的问题和工作,而是更多时间和精力关注如何提高和保障IT运维; 技术知识和操作脚本共享,运维操作精确化、同质化、优质化、规范化、统一化,避免运维工作中操作质量依赖于个体人员的知识、技术水平、工作责任心和态度等不可控因素;
实现转变:以前运维工作更多依赖于“运维英雄”和埋头苦干型员工,现在更多依赖于运维集体的力量;
交由计算机操作,可以避免人工误操作导致的逻辑错误;
实现运维操作简约化、透明化、规范化、标准化,有利于事前审核和事后检查。
6.5.CMDB建设
6.5.1.CMDB战略核心地位
作为ITIL/ITSM(IT服务管理)的核心,CMDB正从管理软件附属品的地位逐渐走入主流的战略核心地位。
企业的IT环境越来越复杂,数量庞大、品种繁多。信息散布在企业的不同地方、不同系统中,而且信息的格式、内容也是千差万别,难以统计、查询、利用这些信息,由此给使用、更新、维护、优化等管理工作造成了很大的麻烦,如何快速提供准确的配置信息是一个重大的挑战。
CMDB储存与管理企业IT架构中设备的各种配置信息,它与所有服务支持和服务交付流程都紧密相联,一方面支持这些流程的流畅运转、发挥配置信息的价值,同时依赖于相关流程保证数据的准确性。CMDB常常被认为是构建其它ITIL流程的基础而优先考虑,ITIL项目的成败与是否成功建立CMDB有非常大的关系。
CMDB是描绘IT基础设施如何构建的一个蓝图,它记录了各种各样的配置项(即硬件、软件、事故、协议、服务级别、文档、部门、人员等资源)是如何相互关联的、以及各个系统是如何发挥作用的。
CMDB与传统的资产库有着根本的差别。资产库是一个存储企业所有资产的数据库,而CMDB不仅仅存储所有IT元素,更重要的是可以展示它们之间的相互关联,从而帮助企业了解IT资产的运行状态是什么样子,它对企业业务有什么影响等。
/ 28
IT运维监管控一体化解决方案
IT环境视图清晰地展现了各种IT设备、其属性以及相互关系;业务视图可以让每个人员明确,业务运作模式是什么样,不同业务关联到哪些设备,每个设备的故障影响到哪些业务等。
6.5.2.CMDB建设方法
CMDB是一个特殊的数据库,它必须拥有4个至关重要的功能:
联邦性:是指CMDB能直接获取多种数据源并与数据源联系在一起; 协调性:能够避免重复,并对来自不同数据源的配置项进行自动匹配; 同步性:即确保整个系统中的信息是同步更新的; 可视化:即可提供配置项(CIs)的端对端及层次化视图。
CMDB有两种,一种是物理的数据库,要求客户把全部配置项都拷贝到物理数据库里面去;另一种是虚拟的数据库,如MO的CMDB,不要求客户把全部配置项都拷贝到物理数据库里,只维持关联关系就可以。
物理型CMDB数据库:存在两个问题:其一,不同数据库中的数据要全部无冗余地拷入CMDB,存在一定困难;其二,不同数据库中的数据也是不断地更新,要想同时把变更之后的数据传递给物理型CMDB,会带来网络流量方面的问题,也很难做维护。
虚拟型CMDB:通过指针索引的方式去获得其他数据库里的配置项信息,不存在以上两个问题。但是,虚拟性CMDB需要人工梳理和比对大量的关联关系,并不断更新。
CMDB通常采用三种实施方法:自上而下、自中而上、自下而上。每种方法对现有配置数据的实施要求在范围和程度上都不一样。
自下而上的方法:也就是从底层开始,首先查找企业内的所有CI(配置项),着手建立一个大的数据库,然后查找CI之间的关联关系和对业务的影响。这种方法往往要花几年时间才能完成。
自上而下的方法:就是从小的局部系统开始实施,比如信贷核心系统,从这个业务开始着手,然后把底下与此业务相关的所有IT元素全都关联过来。这样的好处是可以在比较短的时间内即一个月做出一个完整的CMDB,而不需要花若干年。 自中而上的方法:就是采用折中方法建立CMDB,它是通过在企业建设过程中,将逐步形成的分散的、独立的、自身需要的信息资源库在CI层面上进行逻辑联邦和同步,建立起虚拟的CMDB。
/ 28
IT运维监管控一体化解决方案
自中而上的方法,可以帮助用户在短时间内建立起企业内需要的CMDB。CI信息全面,同时见效快,既避免大规模的CMDB建设的时间长、见效慢的缺点,也避免了单点突出建设CMDB的CI范围狭窄、完整度不足的缺点。
具体建设CMDB时,需要从两个层面来实施:
一是采集基础数据。要通过适配器把数据采集上来,然后放到一个大的数据库中。
二是建立业务视图和业务影响分析。业务视图反映业务流程运作的情况是不是正常,有没有问题等。这需要按照业务性质、业务流程等建立模型。
通过建模工具,建立描述业务流程的树状模型,模型上的每个结点上把每个配置项(CI)的影响以及相互影响放在上面,一旦某个配置项出现问题,图上就可以实时反映出来。为了建立业务视图,IT部门需要得到业务部门的大力支持。
6.5.3.CMDB建设保障
企业在实施ITIL项目的时候,配置管理常常被视为项目的软肋,费时费力,却事倍功半。究其原因主要是因为企业在建设CMDB(配置管理数据库)的时候,往往不知所措,耗费了大量的人力和时间收集各类IT基础架构信息,最后得到的却是一个极其复杂而难以维护的“IT基础架构信息库”。这与ITIL描绘的配置管理是企业实践IT服务管理的基础或核心,为ITIL其它流程提供基础信息的关键地位相去甚远。正确来构建CMDB,必须有如下保障:
制定配置管理政策
IT运维管理政策,是指导和规范IT运维管理的行动指南和共同纲领。它使企业在认识上形成统一,减少了不必要的沟通成本,并使企业在流程执行上事半功倍。对于构建CMDB而言,主要有以下两类政策:
宏观政策,主要是涉及公司或IT部门层面指导性、方向性的政策,其目标是在企业内部形成统一认识。如:企业IT内部应当使用统一的配置管理流程,并且使用标准的文档记录和汇报机制。
运营政策,主要涉及到流程目标、人员、输入、输出、活动以及KPI(关键绩效指标)等各要素以及流程之间相互协调、信息交互方面的指导原则,其目标是使流程能够在政策的指引下稳健、有效地执行。
确定配置管理的范围
/ 28
IT运维监管控一体化解决方案
政策的制订定为企业构建CMDB营造了良好的环境,配置管理范围的确定才是企业构建CMDB的真正开始。配置管理的范围主要指的是CI的宽度和深度,以及CI的生命周期。(注:ITIL所提到的配置管理范围主要指的是CI的宽度和深度,CI的生命周期ITIL认为是从CI的接收到最终的报废退出,但在实施过程中,由于流程管理主体的差异化,对CI管理的生命周期的划分也有所不同。)
6.5.4.构建CMDB模型
有了CMDB建设保障之后,可以来梳理配置项信息及其关系,从而设计出CMDB模型蓝图,主要包括以下步骤:
定义配置项的关系
配置项(CI)之间关系的定义也是配置管理建设和IT资产管理建设的区别点之一。可以采取两种方法进行具体的梳理工作,一种是“自上而下”;另一种是“自下而上”。
“自上而下”方法一般要求企业已经明确了对外提供的服务目录,然后基于服务目录按照“业务服务——》IT服务——》IT系统——》IT组件”的顺序进行梳理。
顾名思义,“自下而上”方法是“自上而下”方法的逆向过程,企业先从对内部IT组件关系进行梳理的过程开始,然后逐步将IT组件映射到IT服务。相对来说,当前“自下而上”的方法适用范围更广。
定义配置项的属性
在构建CMDB的过程中,除了构建配置项(CI)关系外,还需要为每个配置项(CI)定义属性。
设计IT服务模型蓝图
最后,构建一份IT服务模型蓝图。蓝图主要起到了两个作用,一方面它是对当前企业CMDB建设工作成果的验证;另一方面,它也是对将来企业改进和完善CMDB建设方向的一种指引。通常蓝图中应该包括以下内容:判断CI的标准;定义CI属性、关系的准则 ;持续改进方案和过程;当前的IT服务模型等。
CMDB旨在存储与管理企业IT架构中设备的各种配置信息,有别于传统的数据库。CMDB作为统一的配置管理库,必须全面、细致而准确地记录和保存各种软硬件配置信息,以便支撑事件、问题、变更、发布等各种ITSM流程,成为整个 IT运维管理的基础。
/ 28
IT运维监管控一体化解决方案
6.5.5.避免CMDB建设误区
CMDB建设是一项“意义大、投入大、见效缓”的地基工程。需要明确系统定位和理清功能的前提下,应该确立并坚持以下原则:
应用场景决定管理粒度和幅度; 数据维护紧密结合ITSM流程; 自动采集作为数据核查手段; 专题应用带动数据维护;
配置项关系呈现直观化作为系统特色。
基于了上述原则,才能避免CMBD建设陷入数据“维护难 – 消费少 – 不准确 – 消费更少”的恶性循环,才能把项目带到了实用、有效阶段。
在CMDB建设和应用中,必须注意基础数据准确性的问题。如果用户保存了基础资源配置数据,但是存在较大的不规范、不全面的问题:设备的厂家、型号不规范,不符合系统要求;资源之间的关联关系缺乏,无法有效支持IT运维管理。
必须认识到,系统功能加上基础数据等于系统能力,系统能力加上频繁使用等于业务成效。如何保证数据质量,使系统成效发挥出来,避免功亏一篑,是CMDB建设中不可忽略的问题。
6.6.模块之间接口实现 6.6.1.监与管之间的接口
网管监控模块与流程管理模块之间的接口,主要体现为某些满足预定条件的告警自动触发生成电子工单,进入流程管理模块。
因此,如何实现监与管两个模块之间的接口、数据的转换和正确、准确和全面地确定触发条件,是设置此接口的关键之处。
如果未能正确设置触发条件,则会导致错误工单的产生,如工单类别错误。
如果未能准确设置触发条件,则会导致工单内容的不准确,如责任人或责任部门的错误。如果未能全面设置触发条件,则会导致漏派发工单。
工单中的信息与告警中包含的信息既有交集,又有转换和有所区别。工单的故障信息内容和描述来源于告警信息,但是告警信息应用于网管监控层面,是为了全面准确反映监控结
/ 28
IT运维监管控一体化解决方案
果,描述故障现象。工单信息是应用于流程管理平台,是为了描述故障、界定责任范围、规范工单流转、跟踪工单等目的。
6.6.2.管与控之间的接口
IT流程管理的最终目的和效果反映在对运维操作的指导上,而对于批量的、重复的运维工作,可以高效、优质和规范化地通过自动化运维操作来实现。借助于IT“监管控”一体化运维平台,其中的流程管理和自动化运维操作模块之间的接口,运维部门和人员可以预先设置过滤和触发条件,根据工单信息,关联个别的自动化运维操作脚本。
因此,如何实现监与管两个模块之间的接口、数据的转换和正确、准确和全面地确定触发条件,是设置此接口的关键之处。
如果未能正确设置触发条件,则会启动不必要的自动化运维操作,造成严重后果。如果未能准确设置触发条件,则会导致非预期的自动化运维操作。如果未能全面设置触发条件,则会导致遗漏预期的自动化运维操作。
6.7.报表系统
专业的IT运维报表可以准确、系统地反应IT信息系统运行状况和IT运维管理状况。对IT基础架构、业务系统运行走势和IT运维工作本身进行分析,反应目前整体现状,发现趋势和潜在问题,采用科学的手段完成评估,指导现在和未来的IT环境建设,促进后续工作的展开。包括:
事件类报表 告警类报表 问题报表 配置报表 工单类报表 „„
报表提供订阅的功能,对于用户订阅的报表,将定期自动生成html文件发送到用户邮箱中,方便用户查看。
用户也可根据需要选择将报表转换为pdf等其他格式。
/ 28
IT运维监管控一体化解决方案
7.IT运维一体化特点
7.1.监管控一体化整合
采用portal技术架构,克服了基础架构监控、运维服务管理和自动化操作运维的人为分割,实现集中管理、统一展示、统一配置、随需定制、分权使用。
7.2.层级化展现平台
以业务监控为中心,以事件为基础,将基础资源监控与业务服务贯穿在一起,建立从整体到局部、从宏观到细节的不同颗粒细度的层级化IT运维视图,以满足不同部门、不同级别领导和运维人员的关注层面和工作需求。
7.3.综合事件管理平台
各类基础架构的故障、性能、配置事件汇总并通过规则策略库和服务依赖模型,提供全面、及时、准确的、高效灵活的事件压缩、过滤、关联能力。
7.4.全方位IT资源管理平台
自动发现的IT资源数据库(RDB)与流程管理配置管理库(CMDB)的定期同步,实现资源管理数据的整个生命周期的管理。
7.5.面向基础设施
全面的系统资源管理:提供对网络、主机、存储设备、安全设备、数据库、中间件及应用软件、机房环境等IT资源的全面监控管理。
智能化的故障管理:自动收集、过滤、关联和分析各种管理功能产生的故障事件,实现对故障的快速定位和处理。
性能管理与优化:对网络和业务应用等IT资源的性能进行监控,定期提供性能报表和趋势报表,为IT环境性能优化提供科学依据。
7.6.面向维护管理者
运维服务管理:将人、技术与流程进行有效地融合,实现日常运维工作的自动化、信息化和标准化。
/ 28
IT运维监管控一体化解决方案
智能总控中心:实时展现当前企业IT系统的运行状态及趋势,帮助管理人员快速发现问题,分析和确定问题所在。
知识库:自动实现运维知识的积累、沉淀和共享,从而降低IT运维管理对个人的依赖。
7.7.面向领导决策者
综合报表:对系统运行状况的信息进行汇总,帮助领导更全面的了解网络系统的运行状况和趋势,为领导决策提供科学依据。
绩效评估依据解决:借助自动生成的各种工作记录,领导可对运维人员的绩效进行客观的评估
8.IT运维一体化系统功能
8.1.信息门户
IT运维一体化系统应该基于WEB实现,提供统一的portal信息门户平台,可以呈现各类发布信息,和各项IT运维工作的统一入口。同时提供个人工作室功能,不同用户可根据日常使用各项功能的频次自行定义工作桌面,为操作者迅速进入各项功能模块提供快捷手段。
个人桌面管理 待办事宜 已处理事宜 日程安排 工作计划及总结 个人收藏夹 任务管理 便笺管理 等
8.2.事故管理
事故管理负责记录、归类和安排专家处理事故并监督整个处理过程直至事故得到解决和终止。事故管理的目的是在尽可能最小地影响客户和用户业务的情况下使IT系统恢复到服务级别协议所定义的服务级别。
/ 28
IT运维监管控一体化解决方案
8.3.问题管理
当事件在第一时间没得到及时解决,就进入问题管理程序。
问题管理的重要性:通常80%的服务品质下降都是因为20%的问题,所以专注与20%的问题解决可以大大的提升服务。
问题管理的目标:将 IT 基础设施内的错误引起的事故和问题对业务的负面影响减到最小,并防止与这些错误相关的事故再度发生。为了实现这个目标,“故障管理”力求找到引发事故的根源,然后才着手改善或纠正该情况。
问题管理流程具有被动和主动两个方面:
被动方面是作为对一个或多个事故的反应而解决问题。问题分析方法: 定义问题;
按个体、地点、时间以及范围大小描述问题;
建立可能的原因;
测试最有可能发生的原因;
验证真正的原因。
主动“故障管理”是指通过趋势分析和定期的事件统计表,在事故发生前确定并解决问题和已知错误。
8.4.变更管理:
变更管理流程的目标:确保利用标准化的方法和规程有效、及时地处理所有变更,以便将由变更引起的事故对服务质量的影响减到最小或将事件数减少,并因此改进日常运维。
最常见的是终端用户提出的请求,其中有些是系统改进或增加功能的请求,有些是常规变更(如帮新进人员建立新的账号),有的可能是系统出错,这在IT 中通常称为事件,如果是系统出错就要找出原因和解决步骤,才能进入到变更管理的第一步:RFC提出变更请求,变更请求应该包括(RFC编号、问题编号、那些配置项需要改变、变更的理由、如果不变更会造成的影响、变更人的联系方式);变更管理员负责监督变更从提出到解决的整个过程记录进CMDB、对变更请求进行过滤;同时提交变更到公司指定的变更管理委员会批准。变更管理需要有准确的CMDB配置管理数据库,对变更进行分析。
/ 28
IT运维监管控一体化解决方案
8.5.发布管理
发布管理是指对经过测试后导入实际应用的新增或修改后的配置项进行分发和宣传的管理流程。发布管理以前又称为软件控制与分发,它由变更管理流程控制。
8.6.配置管理
在上边的变更管理中,我们提到当一个RFC进入变更程序的时,管理员和CAB需要有一个方法评估变更可能造成的影响,而评估需要的相关信息需要一个机制来提供,这个机制就是配置管理。
配置管理的目标是:
a.对公司内部的所有 IT 资产和配置及其服务作出说明
b.提供有关配置及其记录的准确信息以支持所有其他的“服务管理”流程 c.为“事故管理”、“故障管理”、“变更管理”和“发布管理”提供坚实的基础 d.对照基础设施验证配置记录并纠正任何异常情况
8.7.工单管理
提供电子化工作流程和工作人员的考核依据,实现运维工作管理的科学化、规范化和自动化。支持工单流程的自定义,方便配置成适合特定用户需求的流程管理平台。
基于工单的流程管理是流程管理模块的核心功能。工单管理有三个来源入口: 监视模块:网管监控系统发出告警,满足预先设置的过滤等条件触发产生工单,送转到流程管理系统。
领导派单; 服务台报单。
8.8.作业计划
作业计划模块主要实现针对各类运维作业计划工作的电子化管理,包括作业计划大纲管理、作业计划管理、月度作业计划、周作业计划、日作业计划等管理等模块。用户根据下发的作业计划大纲,进行作业计划模板定制和模板管理,再使用作业计划管理模块制定计划、月度计划、周计划和日计划。本功能模块主要包括如下功能:
大纲的制定、查询、修改 计划的建立、查询和审核
/ 28
IT运维监管控一体化解决方案
月度计划的建立、查询和审核 基于模板的作业计划制定 待执行作业计划提醒 作业计划执行情况考核 作业计划执行情况统计分析
8.9.值班管理
值班管理功能模块主要实现统一的机房电子化值班管理,将排班安排、值班日志、交班记录、维护作业记录,以及由各项维护规程和管理办法中确定的周期性维护作业计划等任务集成至该系统中,使得当班人员能够准确、高效地完成各项维护任务。值班管理具有以下功能:
电子化排班:排班任务制定后值班人员直接收到排班结果; 值班机房配置:支持对所有机房值班相关数据的灵活配置;
值班信息管理:故障巡查、线路巡检、网管巡查等值班数据信息的自动记录; 交接班管理:交接班人员通过本系统进行交接班,并自动记录交接班日志; 值班日志管理:对值班日志提供查询统计功能。
8.10.考核管理
结合用户的运维考核制度和考核办法,根据系统对日常运维工作的自动记录,考核模块能够实现对作业计划、工单调度、值班、代维等工作的考核管理功能。
8.11.代维管理
代维管理:针对行业特点和企业实际,增加代维管理。很多企业为了更让自己关注自己的核心业务并提高IT运维水平,而将自己的IT运维工作或者部分IT运维工作外包给更专业的第三方。因此,有必要规范外包方与承包方之间的关系和管理,包括工作内容、工作量的考核。
代维管理通过电子化平台实现与代维公司之间的联系,将代维公司的日常工作与用户的管理流程结合起来。由此实现对代维工作的规范化和高效的管理,同时建立代维公司的考核机制,实现优胜劣汰。
代维项目管理
/ 28
IT运维监管控一体化解决方案
代维合同管理
代维公司、代维队、代维人员管理 代维工作计划 代维记录 代维报告 代维问题跟踪 代维考核
8.12.知识管理
经验库管理:保存故障分析、问题分析经验或分析系统问题产生的原因等知识,为操作人员在解决各类问题时提供必要的经验或知识支持的专家经验系统。 资料管理:运用电子化手段对包括备品备件、各专业日常操作维护资料、运维人员资料、相关部门资料等信息进行添加、修改、删除、分类、归档、查看等操作。
8.13.安全管理
多用户、分级别、分权限设置 用户登录日志 用户操作日志
用户数量、登录位置、密码等安全限制
8.14.服务持续性管理
IT服务持续性管理是指确保发生灾难后有足够的技术、财务和管理资源来确保IT服务持续性的管理流程。IT服务持续性管理关注的焦点是在发生服务故障后仍然能够提供预定级别的IT服务,从而支持组织的业务持续运作的能力。
8.15.容量管理
容量管理的目的:确保以最有效和实时的方式提供目前以及未来因业务需求而增长的IT容量。
容量管理分三步走:收集与容量有关的技术信息、SLA、业务规划、IT计划、业务的需求以及数量大小,和财务规划与预算;
/ 28
IT运维监管控一体化解决方案
容量管理是大多数 IT 部门一直面临的一个挑战,因为基础设施和服务需求每天都在发生变化。如果没有财务限制,“容量管理”就会很简单。但是,实际上财务限制以及合理利用旧系统中的投资这种需求将继续使容量管理成为一个挑战。
8.16.可用性管理
可用性管理流程的目标:优化 IT 基础设施的容量、服务和支持的公司,以便提供成本效益且使企业满足其业务目标的可用性级别,在成本和可用性之间取得平衡。
可用性管理是通过分析用户和业务方的可用性需求并据以优化和设计IT基础架构的可用性,从而确保以合理的成本满足不断增长的可用性需求的管理流程。可用性管理是一个前瞻性的管理流程,它通过对业务和用户可用性需求的定位,使得IT服务的设计建立在真实需求的基础上,从而避免IT服务运作中采用过度可用性级别,节约IT服务运作成本。
9.总结
9.1.IT运维管理内容层面
依据管理内容对IT管理阶段大致分为:对基础架构的管理和对业务服务的管理。基础架构管理是IT管理的基础和底层数据的来源,也是管理的基本元素和根基。业务服务的管理是建立在基础架构管理的基础上,从业务的视角来衡量IT运维,是面向业务服务的IT运维管理。
以上述管理内容为主旨的IT运维管理系统,在管理思路和功能展现上,需要体现以下两方面内容:
以基础设施管理为根本
这一块内容是管理的前提和保证。没有好的基础设施管理作为保证,其它管理都会成为空中楼阁。在基础设施管理中,首先要保证管理的范围适当齐全,其次要保证管理的设备类型要完整,最后要保证管理的深度适当足够,以保证获取的底层数据要充分和有效。
以业务为中心管理思想
以业务为中心是IT全面运维管理解决方案最根本的因素。今天,IT环境仅有“可用性”是不够的,只有为业务提供最优性能才能使之立足。可用性、性能测量和管理都是当今运维管理的组成部分。性能测量应当融入全面IT运维管理解决方案并与之紧密配合,提供前瞻性预测和管理,而不仅仅是做事后诸葛亮。
/ 28
IT运维监管控一体化解决方案
9.2.IT运维一体化优势
企业的生产活动对IT环境的依赖性越来越强,IT环境规模不断扩大,架构异构度和复杂度不断增加,这些无疑对IT运维工作提出了更大的挑战。尽管存在这样或那样的风险和难度,但是IT“监管控”运维一体化仍然是不可逃避的趋势。
有了IT“监管控”运维一体化的综合运维平台,可以有效实现: 单点登录; 统一安全管理;
统一资源管理,整合一致的CMDB; 统一用户管理和角色管理; 统一展现模式;
通过模块之间的接口,借助于合理配置的正确和准确的触发条件,基于统一的CMDB核心,数据流转可以在模块之间自由完成ETL(抽取、转换和载入),真正实现IT运维工作一条龙的自动化;
在一体化平台内部,以前相互隔离的监控、流程、自动化运维平台演变为一体化平台内部的模块,既相互独立,又密切关联,相互衔接,业务逻辑上形成闭合环路,代表了IT运维工作的发展趋势;
/ 28
IT运维监管控一体化解决方案
同时,借助于IT“监管控”运维一体化,可以完善我们IT运维工作中的PDCA(Plan-Do-Check-Action)管理循环,达到良性的PDCA循环式阶梯上升过程。我们在IT流程管理模块中根据监视结果完成情报分析,提出计划和具体步骤(完成PDCA中的Plan阶段),在自动化操作模块中完成执行动作(完成PDCA中的Do阶段),在进一步的监视结果中,检查确认Do的效果(完成PDCA中的Check阶段),然后依据最新的监视结果进行调整(完成PDCA中的Adjust阶段),即制定新的计划(Plan),从而开始进入下一个PDCA循环。由此,达到运维质量的不断改进和提高(Improve)。
/ 28
第三篇:WLAN运维管理解决方案
WLAN运维管理解决方案
多业务区分设计
使用无线网络可以分为不同的无线接入业务类型。因此,可以在设计上采用无线局域网多SSID技术,设置多业务区分方式,例如一个SSID可给教师所用,而另一个可给学生专用。由于用户一般把SSID看成VLAN,所以它们都会惯性地以VLAN概念来划分SSID。其实在一个AP范围内,不管用户连接到那一个SSID它们实际上都是在同一个802.11广播域内,因为无线电波的传输是共享方式的。一个最简单的例子就是AP把不同的SSID名字广播,所以当无线终端在这个AP覆盖范围内启动时,它就能同时看到多个SSID。SSID的最主要用途是可让无线终端以不同的安全认证和加密方式入网。
为什么要把不同的安全加密协议设置在不同的SSID呢? 802.11的标准内定义了不同加密情况时数据包的封装格式,所以在用户的无线接入使用不同的加密方式,例如:WEP、TKIP(WPA)、802.11i(WPA2)等等,不同加密方式不能在同一个SSID内同时存在。
某一个SSID可以覆盖全网,也可以只局限于园区网内的某些范围。一般的情况下是全网开通,例如:临时访问者(Guest)使用的SSID;但有些SSID可以只在办公区广播,只供某些部门使用。无线用户管理
神州数码网络对于无线用户的管理可以有多种方式,在单个无线场所,可以使用神州数码DigiZoneDirector智能无线控制器对多AP进行管理,在多场所、多控制器的情况下,即可以使用神州数码LinkManager统一网络管理平台使用标准SNMP协议对多厂家有线、无线设备进行统一管理,又可以使用DigiFlexMaster无线集中式管理软件基于TR-069对AP进行综合管理。
神州数码网络无线系统中可以设定用户的角色(role),每个角色可以基于用户权限和可访问资源的设定等规则。用户权限是DigiZoneDirector的功能,是针对无线接入的特性而设计。一般的用户接入不同的SSID时只具有该SSID或VLAN所对应资源的访问权限,所以访问不同的VLAN的资源需要分别登录不同的SSID,这样是十分不便的。神州数码网络的基于用户角色的权限管理是与用户认证捆绑在一起,当无线用户成功通过认证后,他会获得一个预设的用户角色权限,访问其他SSID对应的网络资源。这样,一个具有全部权限的用户通过一个SSID登录后,可以访问所有SSID对应的语音、数据和视频业务的权限,从而简化了用户的权限设置和用户管理的复杂性。
一般在用户权限设计中,可以将来宾和普通用户的权限设置的较低,只能访问有限的资源,且优先级较低,并且有带宽的限制。
其他用户可能有较高的权限,可以访问更多的学校资源,或者对某些特殊的来宾开放某些VIP账号,分配给其较高权限的角色。在带宽方面可以做比较宽松的限制。所有这些在配置、使用和管理上都非常符合一般企业的网络管理需求。
在具有多场所,多控制器的环境,可以使用DigiFlexMaster进行统一管理,神州数码网络的DigiFlexMaster无线集中式管理软件系统提供了对DigiZoneFlex AP的配置、故障、性能、报告等系列的管理功能。该产品符合TR-069标准,利用工业标准SOAP/HTTPS/XML协议在DigiFlexMaster服务器和被管理的AP设备之间建立一条安全可靠的链路。这个协议允许已安装的AP设备在加电初始化时自动访问汇报DigiFlexMaster服务器并随后进入自动配置阶段。网管工作人员也可以通过DigiFlexMaster和AP进行即时通信或设定AP在某个合适的时间按计划执行一个任务。
由于TR-069基于标准HTTP或HTTPS,协议消息可以穿透互联网上的防火墙,允许DigiFlexMaster远程管理任何安装在互联网上的DigiZoneFlex AP。AP和DigiFlexMaster 服务器之间异步通信的方法保证了通信可以通过NAT转换点,这对于其它通用的网络管理协议是难以做到的。无线安全性
在神州数码网络无线系统中,可以在多个层面对系统构筑安全防护,其安全性设计如下:
1:多SSID:可以根据需要,如用户的种类、应用的种类,在神州数码网络无线系统中设置多个SSID,不同的SSID采用不同的安全策略,这样可以对不同的用户及应用进行区分服务。另外SSID还可以选择隐藏的方式,该SSID不广播,用户无法看到,防止非法用户的连接企图。SSID还可以选择在某些AP上出现,某些AP上不出现,限制SSID出现的范围也是实现安全性的一种手段。
2:加密:神州数码网络无线系统支持多种加密的方式,二层的加密支持静态WEP、动态WEP、TKIP、WPA、802.11i多种加密方式,三层的加密支持IPSec VPN加密,这样使得加密的方式更加的灵活,可以根据实际需求进行选择。
3:用户认证提供三种方式:
① WPA-PSK+captive portal+VPN。
加密方式采用WPA-PSK,不建议采用静态WEP,因为有安全隐患。采用captive portal+VPN的认证方式,同时VPN还具有三层的加密功能,具有更高的安全性。认证服务器的选择比较灵活,可以使用RADIUS, LDAP, Windows NT, ActiveDirectory, TACACS,甚至是DigiZoneDirector内置的帐户数据库。
② WPA+802.11x加密方式尽量采用WPA,如果客户端不支持也可采用动态WEP,认证方式采用802.11x,认证服务器选择RADIUS。
③ Dynamic PSK?
Dynamic PSK?是神州数码网络专有的用户认证和加密技术。传统的无线加密密钥对所有的用户是相同的,相当脆弱;而且长度较短,容易被解码。Dynamic PSK?技术为每一个用户提供一个64字节的密钥,实现完整而且非常安全的认证加密手段。
4:用户的Role(角色):每一类用户可以建立一个相关的Role,每个Role有一个用户状态防火墙的设定和带宽控制的设定,这样我们就可以将设定的安全策略加载到每个用户身上。
5:无线客户端隔离:神州数码网络无线控制器具有无线客户端隔离功能,该功能启动后,无线客户端将无法相互通信或访问任何受限制的子网。
6:带宽控制:可以对每个用户设定其可以使用的带宽,一方面可以限制其对网络资源的占有,另一方面,当该客户端中了病毒以后,其病毒发作时不会占用网络全部的带宽。
7:认证系统支持:神州数码网络无线系统支持多种认证系统,诸如Radius、微软的AD(活动目录)和在DigiZoneDirector内部的Internal DB等等。统一身份认证
融合统一802.1x认证
神州数码有线无线集成化客户端,在实现有线无线统一身份认证的同时,还解决了长时间困扰用户的多厂家设备同时存在时无法实现统一认证的问题,由于高校校园网建设周期较长,在不同的阶段由于不同的需求可能采用不同厂家的设备,目前的802.1x认证,各厂家均是采用私有认证,在终端设备上必须安装各厂家独有的私有客户端才能与其接入交换机、认证计费系统互动,实现私有802.1x认证,这种私有认证对接入设备的依赖性使得用户受困于厂家,不便于后续的应用扩展,神州数码有线无线集成化客户端,配合TrustCenter统一身份认证平台,可以实现不依赖于接入设备的私有802.1x认证,无论接入设备是否是神州数码的产品,只需要在客户端安装神州数码有线无线集成化客户端,就可以与神州数码TrustCenter认证平台互动,实现私有802.1x认证,实现即时消息通知、IP地址上传、强制下线以及keep alive等功能,的具体流程如图 4?1所示:
有线标准802.1x转私有802.1x认证步骤:
1.用户开机后,客户端发起DHCP请求,经认证设备转发到DHCPServer,DHCPServer为用户分配IP地址。
2.用户通过客户端软件,采用标准802.1x认证,发起认证请求。
3.接入交换机(非神州数码设备)收到认证请求,由于是标准的802.1x认证,交换机可以识别认证信息,将客户端认证信息发送到TrustCenter认证服务平台。4.TrustCenter认证服务中心将认证通过信息返回给接入交换机。5.交换机将认证通过信息返回给客户端,客户端界面显示认证通过信息。
6.标准认证通过后,客户端与TrustCenter服务器基于TCP/UDP直接通信,私有信息直接传递到服务器,服务器与客户端之间可以完成即时消息通知、IP地址上传、强制下线以及keep alive等功能。
7.交换机将用户所在端口打开,用户可以上网,TrustCenter开始对用户计费。
无线标准802.1x认证
为降低服务器负担,无线终端采用神州数码私有802.1X认证,用户接入流程如下图所示:
图 4?2 无线标准802.1x认证
无线私有802.1x认证步骤:
1.用户开机后,检测到SSID有效,通过802.1x客户端软件发起请求; 2.AP检测到该请求后,向AAA发出请求,AAA服务器发出响应; 3.用户端弹出对话框,要求输入合法的身份标识,如用户名及其密码。4.用户端将身份标识传送到AP;
5.AP将相应信息发送到TrustCenter进行认证。
6.如果认证通过,则AP到DHCP服务器的端口打开。客户端软件发起DHCP请求,经认证设备转发到DHCPServer,DHCPServer为用户分配IP地址。7.用户可以上网了,认证服务器开始对用户计费。
8.AP通过定期的检测保证链路的激活。如果用户离开或异常死机,则AP在发起多次检测后,自动认为用户已经下线,于是向认证服务器发送终止计费的信息。Webportal认证神州数码网络智能无线 AP通过以太网或IP线路连接到网络,通过DigiZoneDirector进行SSID、无线信道、发射功率、Rouge AP检测和无线加密、认证等管理。
根据要求,DigiZoneDirector将创建一个公开的、没有加密的AP热点SSID,用户可以通过该SSID接入到网络当中。无论用户想访问的网页是什么,DigiZoneDirector弹出WEB认证节目(包括欢迎、认证连接等),通过认证后用户就可以访问Internet网络了(也可以重定向到缺省的网页)。
可以根据热区内AP数量的多少,由一个或多个DigiZoneDirector可以管理一个热区内的所有AP。
如果需要,未来可以在中心部署DigiFlexMaster管理所有的DigiZoneDirector,从而管理网络中的所有AP。
AP可以通过以太网或DSL链路接入网络。DigiZoneDirector没有DHCP服务器功能,所以需要外置的DHCP 服务器或使用BRAS提供DHCP服务器为客户端分配IP地址的功能。
如图 4?3所示,用户接入的流程如下:
1.用户开机后,检测到SSID有效;
2.客户端发起DHCP请求,经认证设备转发到DHCPServer。DHCPServer为用户分配IP地址;
3.用户打开浏览器,HTTP请求被AP捕获,并重定向到登录界面; 4.用户输入用户名和密码,并传送到DigiZoneDirector;
5.DigiZoneDirector将用户名和密码发送到AAA服务器进行认证;
6.认证通过后,DigiZoneDirector将Web页面重定向到DigiZoneDirector指定的WEB服务器页面(费用余额等通知);同时出现计时窗口; 7.用户可以上网,AAA服务器计费开始;
Webportal+DHCP实现简单,无需客户端和相关配置,扩展性也好。在无线控制器中设定使用Web-Portal方式认证。当用户接入无线网络后,需要使用浏览器访问校园网或Internet,会弹出认证界面,用户输入用户名和密码后送到相关服务器进行验证,如果认证通过后用户就能够访问校园网和Internet,如果访问Internet就会产生计费,同时计帐到该用户帐号上。认证与ipv6结合
神州数码网络TrustCenter认证计费服务系统,支持IPv6无线终端的管理与认证,支持IPv4和IPv6协议收发报文,包括认证计费报文,各种业务报文以及强制下线报文,可以实现与有线IPv6系统协同的统一认证,实现基于IPv6的用户与IP、MAC绑定,做到无线与有线的认证一体化。
IPv6无线终端认证信息在TrustCenter上的显示如图 4?4所示:
TrustCenter在用户认证时对IPv6相关策略的校验,如下图所示:
TrustCenter管理端支持基于IPv6的远程访问和管理,可以显示接入认证用户的IPv6相关信息,支持接入设备的IPv6配置和管理,在安全策略中配置和使用IPv6,在日志文件中可以展示及查询IPv6信息,同时支持报表IPv6信息的导入和导出。IPv6信息的显示和查询如图 4?6所示:
神州数码网络认证客户端,支持获取本机IPv6信息,客户端同时集成了IPv6 DHCP客户端,可以支持服务器下发IPv6地址设置。神州数码认证客户端获取和设置IPv6信息如图 4?7所示:
移动漫游
无线用户移动漫游,涉及到多个层次的漫游,最为简单的是二层漫游,业内主流厂家产品都表现不错,三层漫游就困难多了,还有当用户跨越多个域时怎样无缝漫游,神州数码网络无线局域网可以实现快速无缝漫游功能。
L2/L3漫游
在传统的无线局域网内,无线终端要跨越不同AP之间漫游是有一定的困难,因为不同AP之间,它的无线用户IP子网可能都不是在同一个VLAN内。所以当无线终端从一个AP漫游到另一AP时,由于它们之间的缺省IP子网不同,无线终端会重新发出DHCP请求,这样的话终端的IP地址就会更新,所有在原先AP建立的连接都会被切断。过去为了解决跨越三层的漫游,有些用户采用了Mobile IP的技术,但Mobile IP的缺点是它必须在无线终端安装软件。这是一般网络管理人员不愿意做的事情,因为它们就必须支持和维护用户的无线接入端。
通过神州数码网络无线系统,可解决了跨越不同三层IP子网的无线漫游问题。当无线终端从一个AP的IP子网漫游到另一个AP的不同IP子网时,它重新发出的DHCP请求,会从AP端的DigiZoneDirector转发到原有子网的DigiZoneDirector(用户从那一个AP获取它的IP地址),这样DigiZoneDirector就了解到用户漫游到了哪个相邻的DigiZoneDirector。用户的原来所在的DigiZoneDirector会将发送到该用户的数据发送到漫游到的DigiZoneDirector而后发送到用户现有的IP地址。无线用户已漫游到另一个IP子网,但它的流量不会中断,直到用户完全漫游过来(其对端了解了其IP地址的变化)。代理DHCP 的优点是无要在用户终端安装任何软件就可让终端无缝的在不同IP子网之间漫游。
在不同域之间的用户认证和漫游
在大型网络内,一般都有很多不同的部门,部门内通常都有自己的用户数据库,即所谓的本地认证服务器。在实现应用时,要求有单一的认证数据库是未必可行的,但同时无线用户应是可在内无缝漫游。当用户不是在本地入网或是从一个部门的接入点漫游到另一部门的接入点需要重新认证时,如果用户名和密码在当地的数据库是不存在的话,则用户会被断线。要做到真正的无缝漫游,则需要有支持Radius 代理这样的功能。但由于不是所有的认证服务器都支持这种功能所以在具体实施时也有一定的困难。神州数码网络本身就可提供不同域之间的认证功能,域名可以与SSID绑定,亦可以让用户在登陆网页时输入或选择域名。神州数码网络会把在不同域之间的认证请求转发到对应这域的radius服务器处理。
第四篇:IT 运维安全审计(堡垒机) 解决方案
网域NSYS 运维安全审计(堡垒机)解决方案
网域运维安全审计(堡垒机)提供运维用户操作以及违规事件等多种审计报表,过报表功能,即能够满足大部分客户的日常审计需求,也可满足如“等级保护”、“萨班斯法案”等合规性要求。同时,系统也支持通过自定义或二次开发方式进行灵活扩展。
集中统一管理、安全审计、统一账号管理,统一身份认证,统一授权管理,统一操作审计,流程管理,单点登录,并能图像形式的回放操作员记录、使管理员操作简单快捷。
运维用户通过一个统一的平台就能登录所有的目标 设备,包Unix、Linux、Windows服务器以及各类网络设备。
集中管理用户、设备、系统账号;
集中管理用户、系统账号的密码;
所有用户集中登录、集中认证;
集中配置账号密码策略、访问控制策略;
集中管理所有用户操作记录;
访问控制
1.根据用户角色设置分组访问控制策略;
2.实现“用户-系统-系统账号”的对应关系;
权限控制
1.可设置以命令为基础的权限控制策略;
2.可支持IT运维人员对多种远程维护方式,如字符终端方式(SSH、Telnet、Rlogin)、图形方式(RDP、X11、VNC、Radmin、PCAnywhere)、文件传输(FTP、SFTP)以及多种主流数据库工具按照用户/用户组、资源/资源组、运维时间段、运维会话时长等授权。
实时的操作告警及审计机制
监控告警机制
能对运维用户的所有操作进行实时的控制阻断、告警及监控,避免由于一些敏感的操作导致网络中断或企业信息泄露。
详尽的会话审计与回放机制
系统提供运维协议Telnet、FTP、SSH、SFTP、RDP(Windows Terminal)、Xwindows、VNC、AS400、Http、Https等完整会话记录,完全满足内容审计中信息百分百不丢失的要求。
1.能记录所有操作并能随时根据审计的需要查询任何时候任何人员所做的任何操作。
2.提供图像形式的回放,真实、直观、可视地重现当时操作过程。
3.能记录加密维护协议SSH数据
符合法律法规
第五篇:光伏电站运维常见问题及解决方案
光伏电站运维常见问题及解决方案
一台正常的光伏电站,可以正常运行25年左右,可不可以保持稳定收益关键还是要看运维。正确的运营维护是光伏电站长期稳定运行的保障,就像人的身体一样,注意日常保养,才能保持健康。今天,就为大家科普一下光伏运维中的常见“疑难杂症”及“整治方法”。
逆变器表面“意外生锈”
逆变器表面有锈点,严重时会影响逆变器内部功能的正常运作。解决方案:
通常逆变器箱体材料为非生锈材质,但不排除不良商家使用劣质产品的可能性,出现生锈先排查原因,查看安装现场是否有铁削飘落的可能(如生锈的防雷网,粉尘排放口,都可能排出铁元素),如发现是现场问题,及时针对现场制定解决方案,如确是逆变器本身质量问题,及时联系安装服务商协调解决。
查看逆变器工作状态不方便 巡检光伏系统现场,运维人员查看逆变器工作状态的方便程度,直接决定了系统的工作效率。同时,如果因为不能查看逆变器是否在正常发电,就进行一些维护操作,还会有触电风险,危及运维人员的人身安全。解决方案:
户用逆变器安装在方便查看的位置,但注意不要让孩童轻易可以触碰到的地方,另外最好带有显示屏,方便操作的按键,直观性较强。
逆变器重复倒秒或者停止倒秒
在弱光条件下,直流输入电压偏低,处在逆变器启动电压附近,开始并网后直流输入电压被拉低,且低于启动电压,逆变器停止并网,并出现重复倒秒/并网的现象。另外,某些系列逆变器发生继电器故障时也会导致重复倒秒。解决方案:
(1)查看逆变器直流输入电压,如果电压值接近启动电压,是因为光照太弱,属正常情况,等待光照变强;
(2)如果直流输入电压远高于启动电压则逆变器本身故障,需更换逆变器;
(3)如果光照较强,直流输入电压远超启动电压,逆变器报继电器故障并重复倒秒则需要测量相线对地电压是否正常。
端子出现烧毁
随着光伏装机的增多,端子烧毁的现象屡见不鲜。轻则更换端子,重则逆变器都需要更换,还有可能引发火灾,对安装用户的生命财产造成威胁。解决方案:
必须采用逆变器原装配备的端子,避免不同型号的端子互插,并采用专业的压接工具,防止直流线与端子压接不实。建议安装服务商定期用热成像仪查看端子发热情况。
逆变器报错,电网电压过高
光伏系统报错“电网电压过高”是逆变器最容易出现的问题。解决方案:
电网改造可能是重点,逆变器到并网点传输线路加粗是不错的方案。根据电网电压情况适当调整逆变器的输出电压范围是最后手段(建议电网电压不要超过270V,否则会一定程度上损害用电设备),多台单相逆变器接同一相时,电网消纳能力不足,导致电网电压抬升过高,逆变器报电网过压故障,因此选择多点并网,将多台逆变器分摊到电网的三相中。
逆变器报错,电网丢失
当逆变器检测不到到交流侧的电压或者检测到的电压值过低,逆变器报电网丢失故障。解决方案:
当逆变器检测不到电压时无法工作。一般可能有两种情况,1、电网停电,此时只能等待供电恢复;
2、短路断开、自复式过欠压保护器跳闸,因额定电流不符逆变器额定输出电流的1.5倍或紧固螺栓松动,因此选择合适的规格型号,安装时螺栓紧固到位。
发电量总是比其他系统低
客户反应,我家的发电量没有“隔壁老王”家的多,一样的功率,一样的型号,为什么? 解决方案:事实上,影响整个系统的效率的因素极多,多数对比结果可供参考。遇到这样的现场,需要具体问题具体分析,从系统角度,分析各个影响系统效率的点,逐个排查。想要提升发电量,可从以下几个方面入手来提高综合效率。
逆变器整机或部件更换
逆变器是电子产品,再好的产品,也会遇到一些问题。尤其是过保之后,可能遇到需更换逆变器整机或者部件。
解决方案:选择逆变器,关注它的更换整机或者部件是否方便,另外,售后服务的及时性是重中之重;同时,针对较大的项目,做好备品备件工作,有备无患。
总而言之,光伏电站要做好两个方面,一是前期选择二是后期运维,选择品牌光伏商的产品,同时也要先了解企业的后期运维服务。
点击咨询 