文 靜
(廣西經(jīng)濟(jì)信息中心,廣西 南寧 530022)
電子政務(wù)外網(wǎng)是與電子政務(wù)內(nèi)網(wǎng)物理隔離、與互聯(lián)網(wǎng)邏輯隔離的統(tǒng)一的電子政務(wù)業(yè)務(wù)專網(wǎng),主要用于運(yùn)行政務(wù)部門面向社會(huì)的專業(yè)性服務(wù)和不需在內(nèi)網(wǎng)上運(yùn)行的業(yè)務(wù),為承載的業(yè)務(wù)系統(tǒng)提供網(wǎng)絡(luò)、數(shù)據(jù)、安全等支撐服務(wù),為政府部門和社會(huì)公眾提供信息共享、信息交換等服務(wù)[1]。隨著政務(wù)信息化網(wǎng)絡(luò)建設(shè)的全面推進(jìn),各地政務(wù)外網(wǎng)網(wǎng)絡(luò)逐步建設(shè)成為覆蓋省、市、縣、鄉(xiāng)鎮(zhèn)四級(jí)的多級(jí)網(wǎng)絡(luò)。
政務(wù)外網(wǎng)網(wǎng)絡(luò)規(guī)模龐大、機(jī)房位置分散、設(shè)備種類繁雜,都給網(wǎng)絡(luò)管理人員帶來設(shè)備管理上的難度。傳統(tǒng)的設(shè)備現(xiàn)場(chǎng)管理方式,效率低且成本高。目前,管理人員大多選擇通過使用超級(jí)終端、Telnet或設(shè)備自帶的網(wǎng)管軟件進(jìn)行設(shè)備遠(yuǎn)程管理的方式。但是這樣的管理方式存在一些問題,主要表現(xiàn)在:(1)管理人員通過Telnet或者其他設(shè)備自帶的網(wǎng)管軟件遠(yuǎn)程訪問設(shè)備,必須是在網(wǎng)絡(luò)通暢和設(shè)備正常時(shí)才能進(jìn)行,受網(wǎng)絡(luò)狀況影響較大。(2)使用超級(jí)終端的方式訪問設(shè)備,必須是實(shí)地連接設(shè)備,而各級(jí)網(wǎng)絡(luò)機(jī)房分散,無法保證發(fā)生故障時(shí)管理人員能第一時(shí)間出現(xiàn)在現(xiàn)場(chǎng)處理。如何為政務(wù)外網(wǎng)多級(jí)網(wǎng)絡(luò)提供高效而便捷的設(shè)備遠(yuǎn)程集中管理成為網(wǎng)絡(luò)建設(shè)中亟需解決的問題。
本文設(shè)計(jì)的網(wǎng)絡(luò)設(shè)備遠(yuǎn)程管理系統(tǒng),通過搭建一套集中控管平臺(tái),將全網(wǎng)各級(jí)機(jī)房的所有網(wǎng)絡(luò)串口設(shè)備進(jìn)行集中控制和管理。該系統(tǒng)能在不影響設(shè)備運(yùn)行的原則上,通過帶外管理網(wǎng)絡(luò)傳輸方式,實(shí)現(xiàn)對(duì)機(jī)房?jī)?nèi)所有設(shè)備的帶外管理;在業(yè)務(wù)網(wǎng)絡(luò)中斷的情況下,還能通過3G帶外管理網(wǎng)絡(luò)對(duì)設(shè)備進(jìn)行操作和管理。
網(wǎng)絡(luò)設(shè)備遠(yuǎn)程管理系統(tǒng)由中心機(jī)房的集中認(rèn)證管理平臺(tái)、審計(jì)系統(tǒng)和各級(jí)機(jī)房的串口設(shè)備管理模塊、遠(yuǎn)程電源控制管理模塊、3G無線MODEM組成。系統(tǒng)的邏輯結(jié)構(gòu)如圖1所示。
中心機(jī)房?jī)?nèi)部署的集中認(rèn)證管理平臺(tái)用于將所有的網(wǎng)絡(luò)串口管理設(shè)備、電源管理模塊等全部集中到一個(gè)平臺(tái)控管和進(jìn)行詳細(xì)的權(quán)限分配和日志記錄。審計(jì)系統(tǒng)用于查看系統(tǒng)的各種信息和記錄操作信息,包括系統(tǒng)配置的各種功能按鈕,關(guān)閉和重啟系統(tǒng)按鈕,實(shí)時(shí)硬件信息如 CPU使用率、內(nèi)存使用比例和存儲(chǔ)空間情況等。各級(jí)機(jī)房部署的串口設(shè)備管理模塊用于各級(jí)機(jī)房的路由器、交換機(jī)、防火墻等網(wǎng)絡(luò)串口設(shè)備集中監(jiān)控管理。遠(yuǎn)程電源控制管理模塊用于設(shè)備的遠(yuǎn)程開關(guān)機(jī)和重啟,遠(yuǎn)程監(jiān)測(cè)設(shè)備電量等。3G無線MODEM用于主要業(yè)務(wù)網(wǎng)絡(luò)出現(xiàn)故障時(shí),通過3G網(wǎng)絡(luò)對(duì)設(shè)備進(jìn)行帶外遠(yuǎn)程管理。
從功能上劃分,網(wǎng)絡(luò)設(shè)備遠(yuǎn)程管理系統(tǒng)主要包括集中認(rèn)證審計(jì)管理、多種網(wǎng)絡(luò)接入方式遠(yuǎn)程管理和設(shè)備管理三部分。系統(tǒng)的功能結(jié)構(gòu)如圖2所示。
圖2 系統(tǒng)功能結(jié)構(gòu)
集中認(rèn)證審計(jì)管理提供集中認(rèn)證、權(quán)限分配、運(yùn)維記錄和操作記錄的功能,通過部署認(rèn)證審計(jì)管理服務(wù)器和軟件實(shí)現(xiàn)。集中認(rèn)證審計(jì)管理服務(wù)器存儲(chǔ)相關(guān)設(shè)備配置和用戶等信息,可以基于web瀏覽器,使管理人員能遠(yuǎn)程訪問、管理、監(jiān)視和控制目標(biāo)設(shè)備。
遠(yuǎn)程管理支持多種網(wǎng)絡(luò)接入方式,包括以太網(wǎng)和各種3G網(wǎng)絡(luò)。業(yè)務(wù)以太網(wǎng)網(wǎng)絡(luò)中斷的時(shí)候,可以通過運(yùn)營(yíng)商的3G網(wǎng)絡(luò)對(duì)各級(jí)機(jī)房?jī)?nèi)的網(wǎng)絡(luò)設(shè)備進(jìn)行帶外管理和維護(hù)。
設(shè)備管理提供串口設(shè)備控制口的集中管理和遠(yuǎn)程電源管理的功能,通過在各級(jí)機(jī)房?jī)?nèi)部署一個(gè)內(nèi)含串口設(shè)備管理模塊和遠(yuǎn)程電源控制管理模塊的集中管理設(shè)備來實(shí)現(xiàn)。集中管理設(shè)備把機(jī)房?jī)?nèi)網(wǎng)絡(luò)設(shè)備的 Console端口集中起來,利用管理設(shè)備自身提供的網(wǎng)絡(luò)端口連接到以太網(wǎng)或互聯(lián)網(wǎng),形成一個(gè)獨(dú)立于業(yè)務(wù)網(wǎng)絡(luò)之外的專用管理網(wǎng)絡(luò)。管理人員可以在不占用業(yè)務(wù)傳輸網(wǎng)絡(luò)帶寬的情況下通過 Console端口對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行管理或維護(hù)。同時(shí),集中管理設(shè)備把機(jī)房?jī)?nèi)網(wǎng)絡(luò)設(shè)備的電源集中起來,實(shí)現(xiàn)供電電源統(tǒng)一分配。管理人員無需到現(xiàn)場(chǎng)進(jìn)行干預(yù)和設(shè)置,可以通過向機(jī)房?jī)?nèi)各網(wǎng)絡(luò)設(shè)備的Console端口上發(fā)送指定信號(hào),重新啟動(dòng)設(shè)備。電流監(jiān)控功能有助于保持電源的安全,管理人員可以設(shè)置閥值,一旦電流超過上限閾值或低于下限閾值時(shí),設(shè)備會(huì)發(fā)出告警聲。
網(wǎng)絡(luò)設(shè)備遠(yuǎn)程管理系統(tǒng)工作流程如圖 3所示,管理人員在整個(gè)訪問設(shè)備的過程中所有數(shù)據(jù)都采用加密算法,系統(tǒng)能監(jiān)控、管理和審核任何遠(yuǎn)程接入的訪問。
在政務(wù)外網(wǎng)網(wǎng)絡(luò)中部署網(wǎng)絡(luò)設(shè)備遠(yuǎn)程管理系統(tǒng),能實(shí)現(xiàn)對(duì)政務(wù)外網(wǎng)的各級(jí)機(jī)房?jī)?nèi)所有網(wǎng)絡(luò)設(shè)備的遠(yuǎn)程控制和管理。管理人員只需在設(shè)備硬件故障的情況下進(jìn)入機(jī)房處理,其余日常運(yùn)行維護(hù)和管理都可以遠(yuǎn)程解決,大大提高了機(jī)房設(shè)備的物理安全性,改善機(jī)房設(shè)備運(yùn)行環(huán)境,減少安全隱患和故障發(fā)生幾率。當(dāng)各級(jí)機(jī)房的網(wǎng)絡(luò)設(shè)備發(fā)生故障時(shí),管理人員可以第一時(shí)間遠(yuǎn)程通過網(wǎng)絡(luò)設(shè)備的串口進(jìn)行遠(yuǎn)程操作和處理,能減少實(shí)地處理設(shè)備故障所花費(fèi)在路途上的時(shí)間,極大地提高了管理人員的工作效率,有效地保證網(wǎng)絡(luò)的穩(wěn)定性。
系統(tǒng)的安全保護(hù)措施包括 4個(gè)方面。(1)采用集中安全認(rèn)證管理:所有管理人員操作和控制網(wǎng)絡(luò)設(shè)備,都需要通過集中認(rèn)證系統(tǒng)進(jìn)行身份和權(quán)限認(rèn)證,解決管理人員身份的信任保障問題。同時(shí)通過用戶身份驗(yàn)證軟件存儲(chǔ)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和設(shè)備相關(guān)信息,在設(shè)備連接期間執(zhí)行第三方身份驗(yàn)證,確??刂乒芾淼陌踩?。(2)行為審計(jì):系統(tǒng)可采用專門設(shè)計(jì)的嵌入式審計(jì)硬件平臺(tái),確保安全可靠,防止病毒侵?jǐn)_。對(duì)機(jī)房所有網(wǎng)絡(luò)設(shè)備的遠(yuǎn)程操作進(jìn)行記錄,出現(xiàn)設(shè)備故障或安全事件時(shí)可以對(duì)故障發(fā)生前的操作行為進(jìn)行有效追蹤和回放,追溯惡意操作行為,確保證據(jù)的留存和問題的快速解決。(3)授權(quán)管理:系統(tǒng)對(duì)各種權(quán)限進(jìn)行劃分,包括針對(duì)不同級(jí)別管理人員的分組權(quán)限管理,或是每臺(tái)網(wǎng)絡(luò)設(shè)備的每一級(jí)操作權(quán)限管理。依托授權(quán)管理服務(wù),避免非授權(quán)管理人員對(duì)設(shè)備的非法訪問和控制,確保只有具有控制權(quán)限的管理人員才能訪問和控制遠(yuǎn)程設(shè)備。(4)信息加密:系統(tǒng)傳輸數(shù)據(jù)可采用128位DES和128位SSL加密算法,監(jiān)控、管理和審核任何遠(yuǎn)程接入的訪問,確保信息在網(wǎng)絡(luò)傳輸過程中處于密文狀態(tài)。管理人員主控屏幕的信號(hào)傳輸采用差異傳輸,僅傳遞變化部分,即使被攻破截取信號(hào),也無法還原整個(gè)屏幕的信息,既能減少數(shù)據(jù)傳輸量又能確保訪問安全性。
網(wǎng)絡(luò)設(shè)備遠(yuǎn)程管理系統(tǒng)是政務(wù)外網(wǎng)網(wǎng)絡(luò)建設(shè)的重要組成部分,是有效保障網(wǎng)絡(luò)正常運(yùn)行,實(shí)現(xiàn)安全管理和提高工作效率的重要途徑。網(wǎng)絡(luò)設(shè)備遠(yuǎn)程管理系統(tǒng)的建設(shè),解決了政務(wù)外網(wǎng)的各級(jí)機(jī)房網(wǎng)絡(luò)設(shè)備遠(yuǎn)程管理控制中要求的安全、可控、可管和可溯,為設(shè)備管理提供了一個(gè)安全、可靠的平臺(tái)。
[1] 吳亞非.電子政務(wù)外網(wǎng)安全建設(shè)中的問題與對(duì)策[J].信息技術(shù)與標(biāo)準(zhǔn)化,2005.06:7-9.