網(wǎng)絡(luò)運(yùn)維部因?yàn)槎喾N原因并沒有建立工程師的操作權(quán)限管理制度，只是在設(shè)備上面設(shè)置管理帳號(hào)，供多個(gè)工程師共同使用，這樣問題就產(chǎn)生了，當(dāng)出現(xiàn)人員的錯(cuò)誤操作引起網(wǎng)絡(luò)故障時(shí)，沒有辦法追究根源，僅僅依靠設(shè)備的日志信息難以追索。

為了解決這個(gè)問題，參考了多家廠商提供的解決方案，網(wǎng)絡(luò)運(yùn)維部最后決定采用啟明星辰公司的天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)。該系統(tǒng)其實(shí)也是堡壘主機(jī)的一種，系統(tǒng)集成在一臺(tái)物理硬件設(shè)備上，外觀尺寸看起來像一臺(tái)交換機(jī)，采用旁掛的部署方式。

原本網(wǎng)絡(luò)運(yùn)維部門是劃分在一個(gè)單獨(dú)的網(wǎng)絡(luò)區(qū)域，擁有最高級(jí)別的訪問權(quán)限，能對(duì)路由交換設(shè)備、網(wǎng)絡(luò)安全設(shè)備、服務(wù)器設(shè)備等進(jìn)行遠(yuǎn)程管理。以往的經(jīng)驗(yàn)是運(yùn)維工程師直接使用telnet、SSH等協(xié)議遠(yuǎn)程登錄設(shè)備進(jìn)行管理，部署了網(wǎng)絡(luò)安全審計(jì)系統(tǒng)，我們要求所有遠(yuǎn)程管理的操作都必須先登陸安全審計(jì)系統(tǒng)才能進(jìn)行，在所有的網(wǎng)絡(luò)設(shè)備上面預(yù)先配置ACL策略，只允許網(wǎng)絡(luò)安全審計(jì)系統(tǒng)這個(gè)設(shè)備的IP地址遠(yuǎn)程登錄，拒絕其他的登錄地址。

下面簡單介紹一下網(wǎng)絡(luò)安全審計(jì)系統(tǒng)的工作原理，它是一種BS架構(gòu)，配置的過程大概分為：定義用戶管理組、添加被管理主機(jī)，設(shè)置訪問策略。運(yùn)維工程師通過自己的密碼帳號(hào)登錄到系統(tǒng)，再通過這個(gè)設(shè)備作為代理遠(yuǎn)程管理其他的網(wǎng)絡(luò)設(shè)備，所有的配置操作命令都會(huì)被記錄下來，審計(jì)人員可以查看工程師的配置命令日志，甚至是通過查看截屏回放的視頻記錄判斷工程師是否存在違規(guī)操作行為，每一個(gè)工程師分配惟一的帳號(hào)，用戶名密碼也只有他本人知道。有了這樣的系統(tǒng)，所有的配置變更都被記錄下來，能夠?qū)ψ匪鞴收显蛱峁┮罁?jù)。

下面描述一下我們對(duì)這款產(chǎn)品的具體配置過程。首先用超級(jí)管理員的角色登陸設(shè)備，結(jié)合單位的情況，我們?cè)谟脩艄芾聿藛螜谔砑恿巳齻€(gè)組別，分別是網(wǎng)絡(luò)安全運(yùn)維組、服務(wù)器運(yùn)維組、臨時(shí)應(yīng)用組，然后再添加工程師的用戶并劃分到對(duì)應(yīng)的組別。然后在主機(jī)管理菜單欄里面添加被管理的主機(jī)，這里面支持的功能非常豐富，可以針對(duì)不同的主機(jī)類型，對(duì)不同的訪問方式進(jìn)行記錄。最后配置策略管理，這里面我們根據(jù)不同的組別實(shí)施策略。對(duì)網(wǎng)絡(luò)安全運(yùn)維組、服務(wù)器運(yùn)維組啟用SSH傳輸記錄、進(jìn)行圖形訪問鍵盤記錄、啟用RDP磁盤映射、啟用RDP剪貼板。臨時(shí)應(yīng)用組啟用進(jìn)行圖表訪問鍵盤記錄。簡單幾步的配置以后，最前線的工程師對(duì)設(shè)備的遠(yuǎn)程管理操作都會(huì)被記錄下來，部門主管可以用審計(jì)的帳號(hào)登錄系統(tǒng)查看工程師的操作日志。可以單獨(dú)地將配置的命令篩選出來審核，也可以通過回放的截屏視頻查看整個(gè)操作過程，這在一定程度上對(duì)業(yè)務(wù)的操作進(jìn)行規(guī)范，另一方面通過分析操作配置的日志，能作為考核員工業(yè)務(wù)水平的依據(jù)。