文 靜

（廣西經(jīng)濟(jì)信息中心，廣西 南寧 530022）

電子政務(wù)外網(wǎng)是與電子政務(wù)內(nèi)網(wǎng)物理隔離、與互聯(lián)網(wǎng)邏輯隔離的統(tǒng)一的電子政務(wù)業(yè)務(wù)專網(wǎng)，主要用于運(yùn)行政務(wù)部門面向社會(huì)的專業(yè)性服務(wù)和不需在內(nèi)網(wǎng)上運(yùn)行的業(yè)務(wù)，為承載的業(yè)務(wù)系統(tǒng)提供網(wǎng)絡(luò)、數(shù)據(jù)、安全等支撐服務(wù)，為政府部門和社會(huì)公眾提供信息共享、信息交換等服務(wù)[1]。隨著政務(wù)信息化網(wǎng)絡(luò)建設(shè)的全面推進(jìn)，各地政務(wù)外網(wǎng)網(wǎng)絡(luò)逐步建設(shè)成為覆蓋省、市、縣、鄉(xiāng)鎮(zhèn)四級(jí)的多級(jí)網(wǎng)絡(luò)。

政務(wù)外網(wǎng)網(wǎng)絡(luò)規(guī)模龐大、機(jī)房位置分散、設(shè)備種類繁雜，都給網(wǎng)絡(luò)管理人員帶來設(shè)備管理上的難度。傳統(tǒng)的設(shè)備現(xiàn)場(chǎng)管理方式，效率低且成本高。目前，管理人員大多選擇通過使用超級(jí)終端、Telnet或設(shè)備自帶的網(wǎng)管軟件進(jìn)行設(shè)備遠(yuǎn)程管理的方式。但是這樣的管理方式存在一些問題，主要表現(xiàn)在：（1）管理人員通過Telnet或者其他設(shè)備自帶的網(wǎng)管軟件遠(yuǎn)程訪問設(shè)備，必須是在網(wǎng)絡(luò)通暢和設(shè)備正常時(shí)才能進(jìn)行，受網(wǎng)絡(luò)狀況影響較大。（2）使用超級(jí)終端的方式訪問設(shè)備，必須是實(shí)地連接設(shè)備，而各級(jí)網(wǎng)絡(luò)機(jī)房分散，無法保證發(fā)生故障時(shí)管理人員能第一時(shí)間出現(xiàn)在現(xiàn)場(chǎng)處理。如何為政務(wù)外網(wǎng)多級(jí)網(wǎng)絡(luò)提供高效而便捷的設(shè)備遠(yuǎn)程集中管理成為網(wǎng)絡(luò)建設(shè)中亟需解決的問題。

本文設(shè)計(jì)的網(wǎng)絡(luò)設(shè)備遠(yuǎn)程管理系統(tǒng)，通過搭建一套集中控管平臺(tái)，將全網(wǎng)各級(jí)機(jī)房的所有網(wǎng)絡(luò)串口設(shè)備進(jìn)行集中控制和管理。該系統(tǒng)能在不影響設(shè)備運(yùn)行的原則上，通過帶外管理網(wǎng)絡(luò)傳輸方式，實(shí)現(xiàn)對(duì)機(jī)房?jī)?nèi)所有設(shè)備的帶外管理；在業(yè)務(wù)網(wǎng)絡(luò)中斷的情況下，還能通過3G帶外管理網(wǎng)絡(luò)對(duì)設(shè)備進(jìn)行操作和管理。

1 系統(tǒng)組成

網(wǎng)絡(luò)設(shè)備遠(yuǎn)程管理系統(tǒng)由中心機(jī)房的集中認(rèn)證管理平臺(tái)、審計(jì)系統(tǒng)和各級(jí)機(jī)房的串口設(shè)備管理模塊、遠(yuǎn)程電源控制管理模塊、3G無線MODEM組成。系統(tǒng)的邏輯結(jié)構(gòu)如圖1所示。

中心機(jī)房?jī)?nèi)部署的集中認(rèn)證管理平臺(tái)用于將所有的網(wǎng)絡(luò)串口管理設(shè)備、電源管理模塊等全部集中到一個(gè)平臺(tái)控管和進(jìn)行詳細(xì)的權(quán)限分配和日志記錄。審計(jì)系統(tǒng)用于查看系統(tǒng)的各種信息和記錄操作信息，包括系統(tǒng)配置的各種功能按鈕，關(guān)閉和重啟系統(tǒng)按鈕，實(shí)時(shí)硬件信息如 CPU使用率、內(nèi)存使用比例和存儲(chǔ)空間情況等。各級(jí)機(jī)房部署的串口設(shè)備管理模塊用于各級(jí)機(jī)房的路由器、交換機(jī)、防火墻等網(wǎng)絡(luò)串口設(shè)備集中監(jiān)控管理。遠(yuǎn)程電源控制管理模塊用于設(shè)備的遠(yuǎn)程開關(guān)機(jī)和重啟，遠(yuǎn)程監(jiān)測(cè)設(shè)備電量等。3G無線MODEM用于主要業(yè)務(wù)網(wǎng)絡(luò)出現(xiàn)故障時(shí)，通過3G網(wǎng)絡(luò)對(duì)設(shè)備進(jìn)行帶外遠(yuǎn)程管理。

2 系統(tǒng)功能及工作流程

2.1 功能結(jié)構(gòu)

從功能上劃分，網(wǎng)絡(luò)設(shè)備遠(yuǎn)程管理系統(tǒng)主要包括集中認(rèn)證審計(jì)管理、多種網(wǎng)絡(luò)接入方式遠(yuǎn)程管理和設(shè)備管理三部分。系統(tǒng)的功能結(jié)構(gòu)如圖2所示。

圖2 系統(tǒng)功能結(jié)構(gòu)

集中認(rèn)證審計(jì)管理提供集中認(rèn)證、權(quán)限分配、運(yùn)維記錄和操作記錄的功能，通過部署認(rèn)證審計(jì)管理服務(wù)器和軟件實(shí)現(xiàn)。集中認(rèn)證審計(jì)管理服務(wù)器存儲(chǔ)相關(guān)設(shè)備配置和用戶等信息，可以基于web瀏覽器，使管理人員能遠(yuǎn)程訪問、管理、監(jiān)視和控制目標(biāo)設(shè)備。

遠(yuǎn)程管理支持多種網(wǎng)絡(luò)接入方式，包括以太網(wǎng)和各種3G網(wǎng)絡(luò)。業(yè)務(wù)以太網(wǎng)網(wǎng)絡(luò)中斷的時(shí)候，可以通過運(yùn)營(yíng)商的3G網(wǎng)絡(luò)對(duì)各級(jí)機(jī)房?jī)?nèi)的網(wǎng)絡(luò)設(shè)備進(jìn)行帶外管理和維護(hù)。

設(shè)備管理提供串口設(shè)備控制口的集中管理和遠(yuǎn)程電源管理的功能，通過在各級(jí)機(jī)房?jī)?nèi)部署一個(gè)內(nèi)含串口設(shè)備管理模塊和遠(yuǎn)程電源控制管理模塊的集中管理設(shè)備來實(shí)現(xiàn)。集中管理設(shè)備把機(jī)房?jī)?nèi)網(wǎng)絡(luò)設(shè)備的 Console端口集中起來，利用管理設(shè)備自身提供的網(wǎng)絡(luò)端口連接到以太網(wǎng)或互聯(lián)網(wǎng)，形成一個(gè)獨(dú)立于業(yè)務(wù)網(wǎng)絡(luò)之外的專用管理網(wǎng)絡(luò)。管理人員可以在不占用業(yè)務(wù)傳輸網(wǎng)絡(luò)帶寬的情況下通過 Console端口對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行管理或維護(hù)。同時(shí)，集中管理設(shè)備把機(jī)房?jī)?nèi)網(wǎng)絡(luò)設(shè)備的電源集中起來，實(shí)現(xiàn)供電電源統(tǒng)一分配。管理人員無需到現(xiàn)場(chǎng)進(jìn)行干預(yù)和設(shè)置，可以通過向機(jī)房?jī)?nèi)各網(wǎng)絡(luò)設(shè)備的Console端口上發(fā)送指定信號(hào)，重新啟動(dòng)設(shè)備。電流監(jiān)控功能有助于保持電源的安全，管理人員可以設(shè)置閥值，一旦電流超過上限閾值或低于下限閾值時(shí)，設(shè)備會(huì)發(fā)出告警聲。

2.2 工作流程

網(wǎng)絡(luò)設(shè)備遠(yuǎn)程管理系統(tǒng)工作流程如圖 3所示，管理人員在整個(gè)訪問設(shè)備的過程中所有數(shù)據(jù)都采用加密算法，系統(tǒng)能監(jiān)控、管理和審核任何遠(yuǎn)程接入的訪問。

3 系統(tǒng)特點(diǎn)

在政務(wù)外網(wǎng)網(wǎng)絡(luò)中部署網(wǎng)絡(luò)設(shè)備遠(yuǎn)程管理系統(tǒng)，能實(shí)現(xiàn)對(duì)政務(wù)外網(wǎng)的各級(jí)機(jī)房?jī)?nèi)所有網(wǎng)絡(luò)設(shè)備的遠(yuǎn)程控制和管理。管理人員只需在設(shè)備硬件故障的情況下進(jìn)入機(jī)房處理，其余日常運(yùn)行維護(hù)和管理都可以遠(yuǎn)程解決，大大提高了機(jī)房設(shè)備的物理安全性，改善機(jī)房設(shè)備運(yùn)行環(huán)境，減少安全隱患和故障發(fā)生幾率。當(dāng)各級(jí)機(jī)房的網(wǎng)絡(luò)設(shè)備發(fā)生故障時(shí)，管理人員可以第一時(shí)間遠(yuǎn)程通過網(wǎng)絡(luò)設(shè)備的串口進(jìn)行遠(yuǎn)程操作和處理，能減少實(shí)地處理設(shè)備故障所花費(fèi)在路途上的時(shí)間，極大地提高了管理人員的工作效率，有效地保證網(wǎng)絡(luò)的穩(wěn)定性。

系統(tǒng)的安全保護(hù)措施包括 4個(gè)方面。（1）采用集中安全認(rèn)證管理：所有管理人員操作和控制網(wǎng)絡(luò)設(shè)備，都需要通過集中認(rèn)證系統(tǒng)進(jìn)行身份和權(quán)限認(rèn)證，解決管理人員身份的信任保障問題。同時(shí)通過用戶身份驗(yàn)證軟件存儲(chǔ)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和設(shè)備相關(guān)信息，在設(shè)備連接期間執(zhí)行第三方身份驗(yàn)證，確?？刂乒芾淼陌踩?。（2）行為審計(jì)：系統(tǒng)可采用專門設(shè)計(jì)的嵌入式審計(jì)硬件平臺(tái)，確保安全可靠，防止病毒侵?jǐn)_。對(duì)機(jī)房所有網(wǎng)絡(luò)設(shè)備的遠(yuǎn)程操作進(jìn)行記錄，出現(xiàn)設(shè)備故障或安全事件時(shí)可以對(duì)故障發(fā)生前的操作行為進(jìn)行有效追蹤和回放，追溯惡意操作行為，確保證據(jù)的留存和問題的快速解決。（3）授權(quán)管理：系統(tǒng)對(duì)各種權(quán)限進(jìn)行劃分，包括針對(duì)不同級(jí)別管理人員的分組權(quán)限管理，或是每臺(tái)網(wǎng)絡(luò)設(shè)備的每一級(jí)操作權(quán)限管理。依托授權(quán)管理服務(wù)，避免非授權(quán)管理人員對(duì)設(shè)備的非法訪問和控制，確保只有具有控制權(quán)限的管理人員才能訪問和控制遠(yuǎn)程設(shè)備。（4）信息加密：系統(tǒng)傳輸數(shù)據(jù)可采用128位DES和128位SSL加密算法，監(jiān)控、管理和審核任何遠(yuǎn)程接入的訪問，確保信息在網(wǎng)絡(luò)傳輸過程中處于密文狀態(tài)。管理人員主控屏幕的信號(hào)傳輸采用差異傳輸，僅傳遞變化部分，即使被攻破截取信號(hào)，也無法還原整個(gè)屏幕的信息，既能減少數(shù)據(jù)傳輸量又能確保訪問安全性。

4 結(jié)束語

網(wǎng)絡(luò)設(shè)備遠(yuǎn)程管理系統(tǒng)是政務(wù)外網(wǎng)網(wǎng)絡(luò)建設(shè)的重要組成部分，是有效保障網(wǎng)絡(luò)正常運(yùn)行，實(shí)現(xiàn)安全管理和提高工作效率的重要途徑。網(wǎng)絡(luò)設(shè)備遠(yuǎn)程管理系統(tǒng)的建設(shè)，解決了政務(wù)外網(wǎng)的各級(jí)機(jī)房網(wǎng)絡(luò)設(shè)備遠(yuǎn)程管理控制中要求的安全、可控、可管和可溯，為設(shè)備管理提供了一個(gè)安全、可靠的平臺(tái)。

[1] 吳亞非.電子政務(wù)外網(wǎng)安全建設(shè)中的問題與對(duì)策[J].信息技術(shù)與標(biāo)準(zhǔn)化,2005.06:7-9.