【摘要】KVM是各領(lǐng)域IT機房建設(shè)中不可或缺的組成部分，是系統(tǒng)工作人員用于運維的主要設(shè)備。根據(jù)信息系統(tǒng)安全等級保護的要求，通常廣電系統(tǒng)是依靠安全類設(shè)備進行對外攻擊防護，依靠運維審計對內(nèi)部操作進行回溯。審計內(nèi)容需要做到對系統(tǒng)內(nèi)設(shè)備操作記錄的全覆蓋，以便事后查看。審計的目的除了能夠糾正誤操作以外，還可以對一些惡意操作進行追責。而廣電IT系統(tǒng)中常用的幾類KVM設(shè)備都存在著一定程度的安全漏洞，而單獨依靠運維審計也存在著審計盲區(qū)。本文提出了一個基于安全等保要求，廣電IT系統(tǒng)中將KVM Over IP、運維審計與跳轉(zhuǎn)機相結(jié)合的應(yīng)用方案，可以從技術(shù)角度規(guī)避惡意違規(guī)操作，并且實現(xiàn)運維過程中的審計范圍全覆蓋。

【關(guān)鍵詞】機架式KVM 矩陣式KVM KVM Over IP安全等級保護 運維審計

目前大多數(shù)電視臺都會建設(shè)以服務(wù)器、工作站、虛擬機、數(shù)據(jù)庫等基礎(chǔ)資源為主的IT數(shù)據(jù)中心、存儲中心機房，用以支撐臺內(nèi)的節(jié)目生產(chǎn)管理、各制作島、媒資、播出、總控等諸多應(yīng)用業(yè)務(wù)。大多數(shù)IT機房建設(shè)方案都會采用KVM（Keyboard Video Mouse）多電腦切換器，目的是利用少數(shù)公共的鼠標、鍵盤和顯示器實現(xiàn)操控多臺終端主機界面，這樣可以減少機房布線的復雜度、節(jié)省機柜空間、提高系統(tǒng)的可管理性、提高系統(tǒng)運維人員的工作效率。

機架式KVM、矩陣式KVM與KVM over IP是廣電IT系統(tǒng)常用的幾種KVM設(shè)備，隨著機房建設(shè)的規(guī)模日益龐大，運行維護的難度逐步增加以及信息系統(tǒng)安全等級保護的要求越來越高，這幾類KVM在日常使用中都有各自的優(yōu)缺點。

一 KVM的應(yīng)用

1.機架式KVM

機架式KVM是IT機房建設(shè)中應(yīng)用最廣泛的設(shè)備之一，可以實現(xiàn)用一套鍵盤、鼠標、顯示器控制更多主機的目的。機架式KVM價格便宜、通用性強、安裝簡便、易于規(guī)劃、可以串接縱向擴展等特點使得它至今仍是大多數(shù)中小型IT機房建設(shè)的首選。

雖然機架式KVM的市場占有率很高，但是機架式KVM在實際應(yīng)用中存在著一些缺點：例如KVM設(shè)備不利于管理，連接主機需要使用專用連接線纜，且線纜的長度有限，對主機的分辨率有要求等問題使得它在一些特殊應(yīng)用環(huán)境下的缺陷需要通過其他方式來彌補。

2.矩陣式KVM

矩陣式KVM是基于TCP/IP網(wǎng)絡(luò)架構(gòu)的專業(yè)數(shù)據(jù)中心管理設(shè)備，它可以通過部署多個控制終端實現(xiàn)遠程管控多臺主機的功能。遠程控制終端的數(shù)量可根據(jù)需求彈性擴充。矩陣式KVM相比較機架式KVM來說，功能性上有所增強，矩陣式KVM通過轉(zhuǎn)換模塊將KVM模擬信號轉(zhuǎn)換為IP信號進行傳輸，增強了信號的安全性，同時還可以將信號進行放大，使得KVM到主機間的連接距離可擴展至40米。矩陣式KVM使用以太網(wǎng)線使得布線安裝變得更加靈活，主機連接的密度也相對較高，使用遠程控制終端可以將操作人員與KVM之間的操作距離延伸至300米，這樣可以實現(xiàn)機房內(nèi)設(shè)備的遠距離多點分散控制，避免了管理人員來回在機房內(nèi)不同機柜之間進行操作，減少機房出入次數(shù)，提高了系統(tǒng)運維效率與主機的安全性。

矩陣式KVM遠程控制終端便捷的主機訪問方式改變了機架式KVM的操作模式，使得運維人員可以在機房外完成大多數(shù)的操作，但由于矩陣式KVM在主機端和遠程控制接收端傳輸?shù)亩际悄M信號，只是信號傳輸介質(zhì)發(fā)生了變化，這與機架式KVM在工作原理上是一樣的。

3.KVM Over IP

KVM Over IP是將主機的鍵盤、鼠標和顯示卡的輸出通過轉(zhuǎn)換模塊進行數(shù)字化，然后進行加密與壓縮并使用IP技術(shù)傳輸KVM數(shù)據(jù)的一種技術(shù)。KVM Over IP傳輸?shù)男盘柺羌用艿臄?shù)字信號，不易被破解，這是與機架式KVM、矩陣式KVM一個不同的地方。KVM Over IP在訪問時不需要像矩陣式KVM一樣的遠程控制端，它是基于B/S架構(gòu)進行管理的，Web瀏覽器是訪問KVM Over IP最主要的應(yīng)用程序。通過設(shè)定KVM Over IP以太網(wǎng)口的IP地址，只要網(wǎng)絡(luò)可達，便可實現(xiàn)對KVM over IP的管理以及其連接的主機進行訪問，因此控制端通過KVMover IP連接主機，在距離上不受限制。

與機架式KVM、矩陣式KVM另一個區(qū)別是KVM Over IP有集中管理平臺，不僅能管理域內(nèi)多臺同型號的KVM，方便系統(tǒng)的擴展；同時還可實現(xiàn)對主機的訪問過程進行錄屏，錄屏的數(shù)據(jù)采用了圖像變化采集方式，從進入主機的操作界面時開始記錄，在沒有操作的時候不記錄，直到退出主機的操作界面后停止。由于記錄的過程并不基于主機的操作系統(tǒng)，只與主機的顯示卡輸出有關(guān)。因此，KVM over IP可以對主機的啟動過程、BIOS層面操作以及藍屏故障信息進行記錄。而KKVM over IP具有人員三權(quán)分立管理功能，這方便對運維人員的訪問權(quán)限和資產(chǎn)進行管理。

二 信息系統(tǒng)安全等級保護要求下審計方式的考慮

根據(jù)《廣播電視相關(guān)信息系統(tǒng)安全等級保護基本要求》規(guī)定，信息系統(tǒng)應(yīng)該對系統(tǒng)內(nèi)的網(wǎng)絡(luò)設(shè)備、重要終端、系統(tǒng)中的接口服務(wù)器、Web服務(wù)器、應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器等重要服務(wù)器的操作系統(tǒng)和數(shù)據(jù)庫進行審計，審計的顆粒度為用戶級，因此在信息系統(tǒng)建設(shè)之初就應(yīng)盡量考慮到各個操作環(huán)節(jié)的審計方式及覆蓋范圍。

我們以四級系統(tǒng)為例列舉系統(tǒng)的安全審計要求，其中主要包括：

（1）系統(tǒng)應(yīng)能提供覆蓋到每個用戶的審計功能；

（2）審計內(nèi)容應(yīng)包括用戶登錄、修改配置、核心業(yè)務(wù)操作等重要行為，以及系統(tǒng)資源的異常使用等；

（3）審計記錄至少應(yīng)包括事件的日期和時間、事件類型、客戶端IP地址、描述和結(jié)果等；

（4）應(yīng)保證無法單獨中斷審計進程；

（5）提供安全審計記錄存儲與保護等功能，審計記錄應(yīng)無法被刪除、修改或覆蓋等；

（6）應(yīng)提供對審計記錄數(shù)據(jù)進行統(tǒng)計、查詢、分析及生成審計報表的功能；

（7）應(yīng)為安全管理中心提供集中管理的接口。

為了滿足信息系統(tǒng)安全等級保護中對安全審計的要求，廣電IT系統(tǒng)引入了運維審計。

1.什么是運維審計

運維審計起源于跳轉(zhuǎn)機。而跳轉(zhuǎn)機原本是一臺通用服務(wù)器，系統(tǒng)運維人員通常通過跳轉(zhuǎn)機遠程登錄到系統(tǒng)內(nèi)的主機來進行集中化管理。然而跳轉(zhuǎn)機沒有審計功能，對誤操作與違規(guī)操作無法進行回溯追查，這些不足使得運維審計應(yīng)運而生。運維審計可以管理系統(tǒng)內(nèi)以RDP（Remote Desktop Protocol）、VNC（Virtual Network Computer）、SSH（Secure Shell）、Telnet等方式登陸的資產(chǎn)設(shè)備，操作的功能與跳轉(zhuǎn)機類似。運維審計可以根據(jù)不同協(xié)議類型訪問的設(shè)備采用不同的記錄方式記錄操作全過程，例如以RDP、VNC方式訪問的設(shè)備用錄屏的方式進行記錄，以SSH和Telnet方式訪問的設(shè)備以記錄命令行及輸出結(jié)果的方式進行記錄等。運維審計記錄的內(nèi)容需滿足安全等級保護的要求。

運維審計管理的理念是：

（1）通過控制，從源頭上解決對主機的操作問題；

（2）有時主機通用的賬號無法確認操作人員的身份，通過運維審計的賬號管理來實現(xiàn)操作人員的定位；

（3）審計能夠幫助管理員找出操作中產(chǎn)生的問題。

運維審計也具有人員三權(quán)分立管理功能，運維審計設(shè)立用戶、管理員及審計員三種角色，對于操作記錄的過程只有審計員才有權(quán)回放，用戶及管理員的操作都會詳細記錄在案。運維審計系統(tǒng)支持基于B/S架構(gòu)的單點登錄系統(tǒng)，單點登錄系統(tǒng)采用與訪問授權(quán)相結(jié)合方式進行，用戶登錄運維審計系統(tǒng)后，只能夠訪問已獲得授權(quán)的設(shè)備。運維人員無需記憶繁多的目標服務(wù)器IP、賬號、密碼等信息，只需要記住自己登陸運維審計的賬號、密碼即可，這能夠有效地提高運維人員的工作效率。

2.單獨使用KVM時的審計漏洞

機架式KVM與矩陣式KVM無審計功能，運維人員對主機所做的操作都沒有記錄，如果遇到操作人員的非法操作或誤操作所引發(fā)的問題，則不能回溯之前的操作過程，無法提供參考依據(jù)。更具風險的是運維人員可以通過KVM去直接操作主機，從而繞過運維審計，這樣就無法避免一些人員對主機的惡意操作及無痕操作。對于登錄賬號為管理員的主機，機架式KVM和矩陣式KVM均無法對操作人員的身份進行判別并管理，這對于出現(xiàn)問題后續(xù)追查相關(guān)責任人具有一定的困難；我們可以通過增加一些機房行為監(jiān)控來記錄人員的操作，但是監(jiān)控主機操作界面的效果還是很有限的。

如果應(yīng)用KVM over IP的集中管理平臺，建立應(yīng)用KVM over IP的審計系統(tǒng)，可以解決機架式KVM、矩陣式KVM無審計的問題。然而在廣電IT系統(tǒng)當中還有大量的網(wǎng)絡(luò)、安全等設(shè)備，像播出、主控系統(tǒng)中還包含大量的專業(yè)的視音頻處理設(shè)備、存儲設(shè)備等，有些設(shè)備的訪問方式采用的是B/S或C/S架構(gòu)，需要通過客戶端的Web瀏覽器或安裝客戶端軟件來進行管理，有些設(shè)備需要通過串口連接進行訪問。針對這些特殊的設(shè)備，KVM Over IP不能訪問，無法實現(xiàn)對系統(tǒng)操作記錄的全覆蓋。

3.單獨使用運維審計時的審計漏洞

運維審計登錄主機需要依賴于目標主機操作系統(tǒng)的正常運行，當主機操作系統(tǒng)出現(xiàn)故障時，運維審計便無法訪問主機，只有在主機操作系統(tǒng)恢復正常后才能繼續(xù)登錄操作。而在播出、主控及數(shù)據(jù)中心系統(tǒng)當中有很多設(shè)備是基于Windows和Linux等操作系統(tǒng)平臺開發(fā)的專業(yè)設(shè)備，在設(shè)備啟動的過程中，需要關(guān)注很多信息，尤其是由于設(shè)備硬件故障導致無法正常啟動時BIOS層的信息，這對于運維人員排查故障來說尤為重要。如因硬件故障導致無法啟動至操作系統(tǒng)，單獨依靠運維審計則無法對設(shè)備進行維護。

與KVM over IP一樣，運維審計對于訪問方式采用的是B/S、C/S架構(gòu)和串口連接的設(shè)備，也無法進行管理，通常對于上述這幾類設(shè)備的操作是用便攜式PC和設(shè)備之間用網(wǎng)線或串口直連，再使用相對應(yīng)的訪問工具軟件來完成后續(xù)操作。然而這樣直連的方式也不符合信息安全等級保護要求中的規(guī)定：系統(tǒng)應(yīng)啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問。而便攜式PC與設(shè)備直連，繞開了網(wǎng)絡(luò)中的訪問控制和審計設(shè)備，同時還存在傳播病毒的風險，出于對系統(tǒng)安全的考慮，不應(yīng)采用便攜式PC來進行直連管理。

4.運維審計與KVM并存時審計的問題

當運維審計與KVM并存時，對于B/S、C/S架構(gòu)及串口訪問設(shè)備，兩者都無法直接訪問。對于這類設(shè)備的操作會有審計盲區(qū)。而KVM與運維審計對主機的訪問分別建立了各自的訪問路徑，對于系統(tǒng)運維人員來說，在主機運行正常的情況下，使用任何一種方式都可以完成對主機的操作。為了避免因運維審計故障而無法訪問主機的特殊情況出現(xiàn)，KVM的存在還是很有必要的。但是在KVM與運維審計并存的系統(tǒng)中，兩者應(yīng)用的定位應(yīng)當有所區(qū)別，KVM主要應(yīng)用于主機上線前的調(diào)試以及故障后的應(yīng)急維護，運維審計應(yīng)承擔對主機的日常操作和審計工作。二者的主要區(qū)別是通過運維審計會留下操作痕跡，而有些系統(tǒng)的運維人員擔心自己的操作可能會引起主機的故障，影響系統(tǒng)的穩(wěn)定運行，從而不愿意通過運維審計去做運維，因此更多的選擇直接通過KVM來完成對主機的操作。因此需要用技術(shù)手段來彌補審計盲區(qū)，同時限制對主機的訪問方式，避免產(chǎn)生無痕操作。

三 KVM over IP、運維審計與跳轉(zhuǎn)機結(jié)合的解決方案

針對上述結(jié)合廣電特性的IT系統(tǒng)中幾類KVM以及運維審計的優(yōu)勢與存在的問題，如何解決各類操作的審計盲區(qū)，同時又避免無法追查和不安全連接的操作行為，我們提出了一個將KVM over IP、運維審計與跳轉(zhuǎn)機相結(jié)合的解決方法：如圖1所示：

我們需要在系統(tǒng)中設(shè)立一臺Windows操作系統(tǒng)的跳轉(zhuǎn)機，在跳轉(zhuǎn)機上安裝Web瀏覽器、串口通訊軟件以及一些C/S架構(gòu)設(shè)備私有的客戶端軟件等，目的是用跳轉(zhuǎn)機來解決運維審計和KVM Over IP對某些特殊設(shè)備無法直接訪問的問題，同時將跳轉(zhuǎn)機劃入運維審計的資產(chǎn)管理范圍，凡是通過跳轉(zhuǎn)機的所有操作，都由運維審計來進行記錄。

對于因主機硬件所引起的操作系統(tǒng)啟動故障過程的審計，需要對BIOS層信息進行檢查的操作，就只能通過KVM來實現(xiàn)，KVM Over IP的錄屏功能，可以記錄主機的啟動過程及BIOS層的信息。而登錄KVM Over IP也需要通過跳轉(zhuǎn)機的Web瀏覽器。這臺Windows跳轉(zhuǎn)機，成為解決系統(tǒng)運維審計訪問盲點的一個關(guān)鍵環(huán)節(jié)，從而達到對系統(tǒng)內(nèi)所有設(shè)備操作審計的全覆蓋。三者的結(jié)合還可以將KVM over IP的集中管理平臺省去，不必重復建立兩套審計系統(tǒng)，節(jié)省成本。

從安全的角度考慮，對運維審計、KVM Over IP以及Windows跳轉(zhuǎn)機的訪問應(yīng)有嚴格的把控，我們需要通過規(guī)章制度來規(guī)范日常的操作流程；同時也需要用技術(shù)的手段對惡意操作加以防范，其中包括設(shè)置網(wǎng)絡(luò)層的訪問控制列表，用以限制系統(tǒng)內(nèi)設(shè)備間通信的IP地址及端口；還可以通過跳轉(zhuǎn)機的操作系統(tǒng)安全設(shè)置，限定所能登錄的設(shè)備IP及用戶，必要的情況下可以將跳轉(zhuǎn)機做主機操作系統(tǒng)加固并加入到終端安全管理的范圍內(nèi)來加強管控。

在安全等級保護要求較高的系統(tǒng)，還應(yīng)設(shè)立身份認證系統(tǒng)，給系統(tǒng)使用人員發(fā)放個人秘鑰，結(jié)合雙因素認證來防止發(fā)生通過登錄密碼來偽造身份的事情，這樣才能做到對主機的每一步操作都可追根溯源。

將KVM over IP、運維審計與跳轉(zhuǎn)機結(jié)合實現(xiàn)對操作過程記錄的全覆蓋的同時，存在另一個問題：跳轉(zhuǎn)機所連接的設(shè)備種類較多，運維審計在錄制跳轉(zhuǎn)機操作過程時，只能記錄是由操作跳轉(zhuǎn)機所發(fā)生的動作，并不能夠做到將每次操作按照跳轉(zhuǎn)機訪問的設(shè)備再進一步明確分類，這對于篩選、查詢、定位由跳轉(zhuǎn)機所產(chǎn)生的審計內(nèi)容增加了一些難度。

目前運維審計還不具備串口訪問、Web瀏覽器功能，若運維審計能夠?qū)⑻摂M機集成在產(chǎn)品中，通過虛擬機來完成跳轉(zhuǎn)機的功能，則可以省去跳轉(zhuǎn)機這一環(huán)節(jié)，對于簡化系統(tǒng)結(jié)構(gòu)，減少故障點而言，是很有意義的。

四 總結(jié)

針對文中列舉的幾類常用的KVM在機房使用過程中的優(yōu)缺點，并結(jié)合廣電信息系統(tǒng)安全等級保護審計的要求，本文提出了KVM Over IP、運維審計與跳轉(zhuǎn)機結(jié)合的方案，可以實現(xiàn)系統(tǒng)內(nèi)各類操作審計的全覆蓋，對于信息系統(tǒng)的安全運行提供了更好的保障。同時信息系統(tǒng)的安全防護措施除了用文中提到的技術(shù)手段來實現(xiàn)以外，制度的建設(shè)也很重要。KVM Over IP與運維審計相結(jié)合的方案從成本上相對比較高一些，但是對于安全等級保護要求較高的信息系統(tǒng)而言，通過增加一些投入而解決來自系統(tǒng)內(nèi)部的一些安全隱患也是值得的，我們也期待著有新產(chǎn)品可以實現(xiàn)對系統(tǒng)內(nèi)各類設(shè)備的操作及審計實現(xiàn)全面覆蓋，簡化系統(tǒng)結(jié)構(gòu)，減少故障點，提高系統(tǒng)整體穩(wěn)定性。