版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、某银行系统集中监控平台解决方案V1.1第1章、项目背景计算机操作的安全是计算机部门最关心的问题之一,为了防止有意或无意的操作对计算机系统带来的损害,增强系统安全性同时方便对计算机操作的有效审计,需要一套计算机系统的远程操作安全管理软件来进行记录和控制。1.1 项目背景描述xxxxx银行信息化工作已历经十几年的建设在运行的业务系统也有多个。为保障各个业务应用系统能够安全、稳定的工作,xxxxx银行制定了相关制度,规范业务人员和系统管理员的日常操作,意在提高信息安全意识,降低信息系统的风险,在资源管理基础之上,实现全局的统一授权管理,并建立了完善的事件发生记录体制,主要通过人工方式,对记录的信息进
2、行统计分析,并在系统管理员主观认为有异常情况下,能够对系统进行查询和跟踪。在现有xxxxx银行IT系统中,每个生产系统用户帐号由不同部门进行分开管理,给系统带来了极大的安全隐患。由于工作需要,生产服务器向外界提供的部分缺省服务未关闭,为了保证系统的安全、可靠及高效运行,必须对生产服务器实施更为严密的安全访问监控。1.2 用户环境xxxxx银行信息系统由多个应用系统基本都运行于P690、P670、P650主机设备,其中一些关键应用系统,包括综合前置、历史数据系统、0A办公系统等系统,该类系统业务数据集中存放,用户涉及面广, 对保证整个业务的正常运转至关重要,因此,该类应用系统需要进行用户操作安全
3、方面的全方位监控。1.3 系统建设目标及范围提供对远程访问生产主机进行防护的解决方案,完成xxxxx银行各生产系统中重要服务器的核心防护,对用户远程登录到服务器上所进行的操作进行详细的访问控制和授权,并对远程用户访问系统资源的所有行为进行审计记录,包括对服务器网络连接、文件、文件系统、关键进程、UID、GID等关键资源的访问控制,特别是对系统管理员的权限进行基于角色的管 理。对访问控制系统产生的历史数据进行收集和保存,并根据数据自动定期生成各种统计分对用户析报表,降低工作中非授权访问服务器上各种关键资源所造成的用户非法访问风险, 的行为进行有效控制和审计。第2章、需求分析根据项目背景我们与客户
4、进行需求分析,同时根据客户的系统集中监控平台的需要,我们本项目将完成两个需求:(1) 监控系统:本监控系统包括两部分内容第一部分:就是整个系统级的资源监控包括CPUMemory I/O、应用、数据库及相关日志的监控。第二部分:就是安全访问控制及用户登录访问跟踪监控;(2) 集中监控平台:通过提供的统一监控平台把整个xxxxx银行的主要业务系统都采用统 一平台进行监控管理。第3章、解决方案针对xxxxx银行对基础环境管理的技术需求,安图特公司认为在该项目中主要包括以下几个方面:I系统资源监控实施I主机端Age nt的部署I代理中间机的部署l集中监控平台的部署l未来与第三方管理系统的接口的考虑针对
5、当前xxxxx银行的IT架构,安图特建议采用集中式的管理模式。即在机房控制室增加 一个集中监控平台,用于监控及收集各种监控数据,同时在中心设置运行中间代理中间机服对所有监控的主机数据进行分析、处理,及时了解各中心的问题,同时也能对于大面积出现的问题进行综合管理, 有效制定得出管理方案。 根据解决方案的特点我们决定选用我司新一 代IP监控软件“奥视监控系统”。而对于系统资源、日志监控系统实施则根据交通银行总 行统一要求实施 “ Tivoli系统监控系统”。3 / 403.1方案设计原则针对xxxxx银行基础环境系统监控的建设目标和业务需求特点,本方案在遵循“集中监控、 集中维护、集中管理”的总体
6、原则的基础上,保证该机房中心的建设具有系统性、实用性、 高效性、可扩展性,以及技术上的先进性、规范性和安全性。具体说来,在方案设计中贯彻 以下原则:3.1.1 战略性本方案考虑了 xxxxx银行的当前需求以及未来系统的建设目标,从战略高度来规范系统建设的蓝图,为将来系统的建设打下良好的基础。所以,在方案的制作上,充分考虑了xxxxx银行的需求。3.1.2 实用性本建设方案重点贴近 xxxxx银行的需求和当前环境,为xxxxx银行提供具有针对性的、可行的、可实施的技术解决方案。同时系统的建设也具有一定的前瞻性。在后续项目建设中,将考虑到与其它第三方平台的整合。3.1.3 集中化整个监控系统应遵循
7、集中化建设的原则,完善监控系统功能,以实现对应用系统及软硬件平台系统的统一管理,简化业务支撑系统的硬件、软件的多样性,降低系统管理维护的复杂性, 从而达到“集中监控、集中维护、集中管理”的目标,减少系统建设维护成本、节约投资和 降低人力成本。做到既集中,又分级的多级集中管理体系。3.1.4 实时性和高效性整个监控系统的实时性包括对系用户操作的当前动作能进行实时管理和监控,更好地提高运维管理系统的安全管理维护水平, 从而提高xxxxx银行的总体服务水平,实现对被管理系统 所涉及资源的统一监控和管理。在一个平台上提供统一的管理界面,快捷而准确地掌握所有系统资源。在做到准确监控用户操作记录的情况下,
8、有完善的性能管理、异常越权访问事件告警管理等。4 / 4049 / 403.1.5灵活性和扩展性整个监控系统应按照要求进行规范建设, 在符合规范的前提下,整个监控系统应具备良好的 功能扩展性、规模扩展性以及灵活的资源管理和应用管理扩展性。需要提供相应的接口或可扩展模块来适应用户系统管理的变化。提供多种手段实现客户定制、集成是保证灵活性及扩展性的前提。3.1.6可靠性和安全性监控系统应选用高可靠性的产品和技术,并充分考虑系统对可靠性的要求和可能影响系统运转的因素,提高整个系统的容错能力,同时具有良好的恢复能力,还应提供完善的安全策略确保系统自身和被管系统的可靠和安全。3.2 方案体系架构3.2.
9、1 系统规划原系统结构图一:主机房结构图inM AMMn存在冋题点:(1)办公区客户端不能连接到主机房的主机系统;(2)所有系统操作必须到机房监控室的两个指定的PC con sole才能进行操作;(3)所有对主机系统中操作都没有实时记录不便于审计;(4)在机房监控室没有一个集中的系统监控平台;(5)PC con sole操作台与生产系统在同一网段;根据安图特以往的IT实施经验,我们建议xxxxx银行IT管理系统按照如下的运维管理模式 去规划和建设。对此我们将按新系统结构图二实施本项目。u新系统结构图HumEyL1 njf|.4理旳卜出共址归屮匕推屮二 % 札厉冶拧宝整个系统包括生产代理采集系统
10、、中间代理系统、集中监控系统等几个部分。xxxxx银行可以根据情况部署实施,其重要有以下特点:2生产主机系统无需作任何变动;2在办公网客户端到生产主机系统端我们增加一个autoEye中间机,所有客户端通过tty方式登录到生产主机系统都必须先登录到autoEye中间机,然后再跳转到最终主机系统;且autoEye中间机同时安装配置有Tivoli系统资源监控系统。这样充分体现了系统集中监控的特点。2 autoEye中间机安装了 age nt软件可以实时或定时记录通过tty方式登录的客户端信息;并同时通过数据传输程序将采集到的数据传输到系统监控主机。2监控服务端主机上安装autoEye监控服务端程序和
11、网络传输程序,监控服务端程序用于管理、回放、存储数据等,网络传输程序用于接受从生产业务主机上传输过来的数据。同 时,监控服务端主机还可显示Tivoli系统资源监控图。2系统集中监控平台采用 40寸的液晶显示器集中显示到显示屏,为统一平台监控提供了保障。并采用分屏方式可同时显示“系统资源监控”、“系统日志监控”、“系统操作监控”。对于系统资源、日志监控由Tivoli监控系统完成,本项目重点在于如何从业务应用角度出发,监控xxxxx银行各个系统的操作记录。集中监控端可以进行数据分析和整合,同时以适当的形式进行呈现;另一方面,维护人员借助该系统能够进行相关操作,及时完成维护职能。以下是我们从操作流程
12、上为系统登录安全监控平台体现的逻辑架构图:3.3 本项目满足的要求i具有独立的集中式管理平台,能利用操作系统的功能分散实现,当安全访问代理平台不 能正常工作时,不影响用户直接对生产服务器进行远程操作;答:完全满足2、须支持对运行 WINDOWSUNIX和LINUX等多种操作系统的生产系统服务器进行远程访问 监控;答:部分满足:UNIX和Linux完全支持远程监控,Windows只支持Telnet方式远程监控。3、 安全访问代理平台采用多级代理认证机制。提供给用户的远程访问帐号为xxxxx 银行操 作员的姓名或经批准的代号;答:完全满足4、系统管理员可灵活方便的通过安全访问代理平台,随时修改用户
13、远程访问生产主机的代 理认证配置;答:完全满足5、1 个用户远程访问帐号可以通过安全访问代理平台访问多个生产系统的多个用户帐号。 当安全访问代理平台认证用户完成远程访问帐号后, 用户可通过菜单方式选择目标系统, 进 行有效远程登录;答:完全满足6、若某用户连续多次被拒绝登录,则安全访问代理平台应能锁定该用户,直至系统管理员 解锁;答:完全满足7、对于系统缺省带有的所有登录过程,如 rlogin 、 telent 、等等,自动识别并进行控制, 能够限制用户登录的终端, 限制用户登录的时间段, 限制用户的登录次数, 控制用户登录时 可以输入错误口令的次数等;答:完全满足8、提供非法登录限制功能,应
14、能设定对生产服务器安全访问的规则,只允许指定的用户在 指定的服务器上应用指定的服务类型(如 Telnet 、)远程访问对应的生产服务器,对破坏 者或探测者的非法登陆行为予以监控和阻塞。答:完全满足9、安全访问代理服务器与生产服务器的数据传输须具备加密功能;答:完全满足10、记录、跟踪远程访问生产系统的安全事件; 答:完全满足11、为保证系统安全、可靠和稳定运行, 系统须具备管理用户操作日志的功能。用户操作日 志包括:每个操作员进入、退出系统的时间以及在系统中的所有操作的内容;答:完全满足12、支持对敏感可疑事件的实时审计,可疑事件包括帐户管理、登录失败、敏感文件访问操作等。答:完全满足13、可
15、以对本系统产生的审计日志归档,并支持数据库归档方式,后台归档数据库支持SYBASE ORACLE MS SQL等主流数据库。答:完全满足14、提供一定的分析能力,可通过基于时间、事件类型、节点类型、主机类型、登陆类型等诸多要素进行分析、过滤和报告等,增强审计的有效性。答:完全满足15、 保留对于安全访问代理平台自身的针对安全、审计实施的修改记录, 并保留 6 个月以上;答:完全满足16、要求安全访问代理平台能够对非安全事件进行多种方式的实时报警,如发送电子邮件、屏幕弹出消息、发送 SNMP等。答:完全满足17、 监控平台生成报表应具备灵活性和呈现的多样性,并能够根据用户需要进行报表自定义, 以
16、适应用户不断变化的需求,并可通过报表模板的方式实现。答:完全满足第4章、产品选型4.1 监控产品介绍奥视(autoEye )系列计算机系统安全监控软件专门用于计算机系统的远程操作安全记录管 理,任何登录生产业务计算机上的用户操作都将被记录下来,定时或者实时传输到监控管理服务器上。autoEye终端监控系统和现有的视频监控不同在于,该系统记录的是用户的终端类操作的画面变化,并可以对网内任意一台物理终端和仿真(telnet )终端的操作进行实时监控,对已记录保存的终端操作画面还可以进行事后的查询和回放。通过autoEye终端监控系统可以对操作人员的各种差错操作、越轨操作很容易的追溯、重现,为事后取
17、证提供了最直接和最权威的资料。和市面上已有的许多网络安全监控系统所不同的是,autoEye终端监控系统所关注的是操作录像表现层面的监控,更忠实、更准确、更直观、更形象。此外,autoEye终端监控系统具有更大的主动性。autoEye终端监控系统忠实地记录了网内所有对受控主机的操作行为,保存了终端操作以及主机操作画面,并可根据IP地址、登录终端号、访问时间等要素划分历史访问记录。autoEye终端监控系统具有的画面同步功能还提供了监控人员实时监控终端操作的途径。autoEye终端监控系统不仅能保存被监控端的操作记录而且能够实时的监 控到被监控端上任何远程用户的实时操作。这样不仅有利于管理者实时观
18、察到被管理设备上的任何用户的实时操作, 而且有利于管理者进行操作与技术培训。让多名人员看到某一个人的实时操作过程。autoEye终端监控系统能够对历史数据进行回放,回放的画面与原始终端的操作画面完全相同。4.2 工作原理采用autoEye终端监控系统进行安全监控时,其操作流程将如下图所示:V定时J实时数用操作的1据播收r数溜记录监控人员川户登录牛.当发生用户通过物理终端或者仿真终端进行登录操作时,autoEye SecAgent将对用户的登录、输入和输出进行自动监控录像。?监控录像后,系统将采集到的监控录像数据,根据Age nt参数配置监控情况,实时或者定时的传输到监控服务端主机。?监控服务端
19、能够有效的对录像数据进行分类存储管理,能够进行数据文件的转储和删除。?autoEye Sec终端监控服务端程序可以通过对受控主机被tel net访问操作时的访问时间、来源IP、终端号、登录使用的用户名、进行提示,方便监控人员进行直 观的查看非工作时间、非合法来源的操作监控。监控人员可以通过各种条件进行用户登录数据文件的搜索,并且对监控画面进行精确的定位。其中可以用到的搜索条件包括:时间段、用户名、登录来源IP、命令、跳转登录的目4.3的IP等等。所有这些搜索功能都支持对多文件的搜索、单个文件内的搜索、对历史数据的 搜索、对在线终端录像数据的搜索。功能介绍4.3.1 系统组成介绍autoEye终
20、端监控系统由以下三部分组成:?Agent,Age nt驻留在应用系统 UNIX主机上,对数据进行采集,实现对终端会话的操作监控功能。?传输程序,将Age nt采集的数据传输到 autoEye终端监控系统服务端,传输方式分为实时传输和定时传输。存储以及实时在线的监?系统服务端,完成对采集的终端会话数据格式化、控、历史监控数据的回放、监控数据的备份等功能。4.3.2 系统启动登录界面真图荚-臭视终塔安全监控歪统ATM 住uto呈录时间H; M07-10-LO 17:3c系统将会退出。并且用户的登录记录会用户在登录中如果连续三次输入用户名和密码错误, 被保存在数据库中。4.3.3 系统主界面clmn
21、fluC y> Uu吟儿阿D 口 14 honruvoi a utT? 鼻I.r祥阿耳旳翼 HWfWB H n IT 比"*"«| JA <*1±A- Or MJrI E c s - i as f - !rVZ-I p>" .1 .Hfe J ah.f-r卜 BL t -1 1 1 3- 1- 1 1 9- 4 1 I 1 i f 1 j- -a. * ”呗luM.M呻斗翳 * H A KK毋EHC4GH牛laCT«*uaRUHKe-K n i 9 H d J .9 I I I- .3 I V- I 1 w 1 3
22、41 I 4 J I J I ?gE»gu .rQ I f 4 3 rn d -b L .k PE I I It I i s r ra r -r«-暑褐:p»RT»-lfl r-rLfa im «- 11 l t J 1 -H 1 1 t =±=*1 i K e H B n R « K .1 fl 1 3- 1- 1 .1 -1DOIdgloHBaEE 呼 口灯»口口口忙血£ 口心旧曲田 glo站 I I 3- .1 I I .1. ud B 3- 9 .3y9- n I I 3 Ml I F !fe t
23、 FfehL it F t- t f -SK-FUF t- k k t" fe F fe lz.v!H=l = y ! = KM1电reiiQQlrlu啲*岔wMilrv霰WM H w r t I F f I B ,r IrF F t t f F _r I r _r I _ipopvfwai xi 0 _-»P|KCbi*g口I X3 w UiErLMH B 3池空舟卅 出丿La世 ti学 pORBl 4ffl fl » pnrmxn jo u鬥皿刃E &*!儿ML_'-VL-» 3 <S5 aUDVBH-QV V W- >T
24、 .6口*儿5* itt 牡 bRMIrVCIi W W pm/LVi# Si 41 I»UMLMl 科 41l4 U pOPinMH 厲 LlKniliWV H W Ikmaqi Hi hl jA REfLVQt Hi "H W巧 F Wf IW 1ppp tBr 予系统的界面分为,设备树形管理栏和登录数据列表。其中登录数据列表包括在线终端列表和历史登录数据列表。在登录数据列表中双击一行数据可以进行数据的回放。4.3.4 用户管理系统用户分为管理用户和普通用户。管理用户能执行软件的全部功能,普通用户不能修改系统的定义、配置和存储管理功能。管理用户可以可以进行用户管理,包括
25、用户的添加、删除、修改和禁用等。4.3.5 系统定义系统定义主要是修改系统监控树名称、描述和系统通讯端口。其中端口号是用来接受从客户端传输过来的数据。端口号修改后,必须重新启动计算机才能生效。4.3.6 监控设备管理对监控设备的管理采用树形结构进行。给系统添加组:包括对组的名称和描述:添加监控设备:奁in迓务, - x|厂啟詣1添加设备包括:设备名称、设备的操作系统类型和设备的ip地址。4.3.7 存储管理存储管理有效存储管理主要用于历史数据的维护,包括数据的删除、转储、导入和导出等。的对系统数据进行维护和管理,提高系统的工作效率。历史数据删除对话框数据导出对话框艺fas较据转储数据删除对话框
26、转储数据导入对话框4.3.8数据浏览系统提供浏览全部登录数据的功能,其中可以点击登录数据表头进行按时间先后的排序。选择一条记录,点击回放按钮进行查看。4.3.9数据搜索数据搜索功能提供了各种条件的搜索,可以按照单一的条件进行多文件,也可以按照各种组合条件进行多文件搜索。包括:跳转登录目的设备的ip或者设备名、登录使用的用户名、使用的关键字(命令)、时间段、登录发起端的ip地址等等。各种组合条件的多文件搜索能够提供搜索文件的精确定位。系统不仅提供对历史数据的搜索,还提供对在线登录用户文件的搜索,能够管理人员及时的掌握用的登录情况。在列表中搜索功能,能够在上一次搜索结果里面进行搜索,这样可以进一步
27、的缩小搜索的范围,扩大搜索的精确度。在数据库中搜索,可以所有的记录文件中进行搜索。在數牖库中搜崇w在列表中搀素茎登录F崑;时间:M:也"i | 1 f |11到;邑I両71颤瓦汙H对于搜索条件时间段的设备,如果起始时间登录结束时间,系统将会搜索所有的数据。其中在列表中搜索还包括对在线终端的搜索。4.3.10 跳转查询包括对跳转登录的查看、登录数据文件的命令行导出。跳转登录的查看,可以查看到一个登录数据文件,用户是从那台计算机跳转登录到另外一台计算机的,使用的用户名是什么、跳转登录的时间什么、何时又跳转到另外一台计算机上。4.3.11分析登录日志登录数据文件的命令行导出,使用此功能可以
28、导出用户在登录操作中使用的用户名、登录的时间、跳转登录到那些计算机上、 在生产机上使用了那些命令。 管理人员可以不用进行回放, 能够查看到用户在生产机器上进行了那些操作,大大提高工作效率。这些命令行还可以被导出到一个文本文件。4.3.12操作回放操作回放包括对在线终端的画面实时同步回放和对历史登录数据的回放。无论搜索出来的历史登录数据还是在线终端登录数据,只需要双击文件就能进行回放。在回放中可以进行暂停、停止、重新开始、加速和加速操作,可以在回放中进行关键字的搜索,如对用户名、IP地址、命令等等,点击搜索后,系统自动查找出现关键字的画面,并 且暂停,然后可以点击开始按钮,继续进行回放操作。4.
29、3.13 实时监控软件能够检测到被监控机器上已经登陆的用户,并且能通过显示图标的方式提示用户已经登陆到了被监控机器。通过双击图标就能实时查看用户正在进行的操作。系统能够实时的刷新在线终端的列表, 如果进行历史数据的搜索时,因为在线终端列表和历 史数据列表使用同一个界面区域, 所有此时会停止在线终端列表的刷新。 从新启动在线终端 列表的刷新,点击一下工具栏上的按钮。4.4本方案优点奥视(autoEye )终端监控产品比相同功能的其他产品具有更好的功能,主要表现在以下几个方面:?能够监控、记录和显示客户端(发起端)的 IP地址,并通过特定的界面展示在操作人员面前,一旦出现事故,能非常方便的追溯到发
30、起端的机器IP。?能够实现全文检索,能实现特定的关键字的检索, 有利于查找特别的命令以及操作此命令的时间和用户,监控人员可以根据其需要,通过时间段、设备IP或名称、登录用户名、命令关键字等方式进行记录文件的查找。?对于每一个记录文件都能实现对其概要描述,概要描述包括终端号,IP地址,发起人的IP地址,发起用户,登陆时间等要素,可以方便的定位用户?能够实现在线的监视从服务端可以观察到被监控端任何在线远程登陆用户的实时操作。?系统能够通过用户输入的命令关键字进行记录文件的精确查找,并且也能通过命令关键字进行终端画面的精确查找定位。? 对于从一台生产机跳转登录到另外一台计算机的操作, 系统能够探测到
31、跳转登 录信息,并且可以列出跳转到的目的生产机的 IP或者名称、登录源生产机的 IP或者名称、 跳转登录使用的用户名、跳转登录的时间等等信息。? 无论直接登录生产机或者通过跳转登录,系统都能够通过生产机的 IP或者名 称、命令关键字、登录使用的用户名查找到记录文件。可以不需要在生产机上安装任何代理软件,完全不影响生产主机的任何性能。?能够进行命令行的导出,对于一个登录数据文件,不需要进行回放操作,直接。通过命令行导出的功能, 直接查看用户登录后使用了那些命令。还能对命令进行导出到文本文件。4.5 咅B暑方案一主产业务王轨力生产业务主机2安装Ag巳n傕序杆生产业务主机3 安装Agen®
32、序 虫装Agent®序用户客户和监控躍端少门auto Eye部属方案一屮用户客户端、监控服务端系统和生产业务主机能够直接联通,用户客户端可以直接Telnet到生产业务主机进行管理。在生产业务主机上安装 Age nt和数据传输程序,Age nt用于采集用户客户端登陆到生产业务 主机的会话数据,通过数据传输程序将采集到的数据传输到监控服务端。监控服务端主机上安装 autoEye监控服务端程序和网络传输程序,监控服务端程序用于管理、回放、存储数据等,网络传输程序用于接受从生产业务主机上传输过来的数据。4.6 部署方案二用戶客户端心autoEye部署方案二Tel net 中用户服务端和监控服
33、务端与生产业务主机处于不同的网络,用户首先需要登陆到 间服务器,再从中间服务器登陆到生产业务主机进行管理。生产业务主机不需要安装任何代理软件。Tel net中间服务器安装Age nt和网络传输程序。Age nt用于采集用户客户端通过Teln et中间服务器登陆到生产业务主机上的会话数据,传输程序将Age nt采集到的数据传输到监控服务端。监控服务端主机上安装autoEye监控服务端程序和网络传输程序,监控服务端程序用于管理、回放、存储数据等,网络传输程序用于接受从生产业务主机上传输过来的数据。4.7 监控平台显示设备40寸液晶显示器(三星对于监控平台显示设备我们采用目前市场较为流行的三星400
34、DX,并直接壁挂于机房监控室。具体产品规格如下:基本参数液晶板类型S-PVA尺寸(英寸)40主要接口类型VGA+DVI+HDMI全部接口D-Sub, DVI-D,S-Video,CVBSBNQComponent, PC), HDMI点距(mrh0.648平均亮度(cd/m2)700对比度1200:1 (DC 10000:1)最大色彩16.7M灰阶响应时间(mS8技术参数水平扫描频率(KHZ30-81垂直扫描频率(Hz)56 - 85带宽(MHZ140HDC协议支持可视角度水平178度/垂直178度宽屏是分辨率1366X 768其他功能USB HUB无安规认证3C认证等无线遥控有麦克及音箱10W
35、*2ch (可选)其它托架式底座功耗工作模式:220W ;休眠模式 1W外观参数外观颜色黑Q、外观尺寸(mm包括底座:932 x 604 x 311 mm,包装:1043 x 667x 311 mm宽度(mm932高度(mm604厚度(mm311重量(Kg)23.7kg (毛 重), 27.2kg (净重)系统集中监控软件autoEye sysM on(奥视)系统监控软件功能介绍北京奥图美科技有限公司1系统概述1.1背景当前为了提高服务水平,我们越来越依赖信息技术的发展,在应用系统、存储系统、数据库、安全设备、网络设备等方面不断更新、升级,使整个系统膨胀庞大、结构复杂。如何在当今竞争激烈的市场
36、中立于不败之地,是摆在银行面前的必须解决的重要问题,而这个问题的一个重要方面就是业务的电子化程度及在科技上的投入程度。为适应这种形势,各家银行纷纷投入巨资, 建立自身的计算机业务系统, 发展全新的业务种类, 以期适应不断发 展的业务的需要。在已经建成的信息系统,怎样保证系统的安全稳定的运行,是成为具有强大竞争力的关键所在。电子化的建设,提供了竞争手段,设备也越来越多,设备安全稳定的运行管理,降低运行成 本,这是制关重要的手段,目前,设备监控管理仍然面临着人工进行管理、成本太大等不利因素,从这方面来讲,设备管理系统是安全稳定运行的保证。在网络时代,网络已成为人们生产、生活息息相关、不可或缺的一部
37、分,任何故障都会导致经济、社会形象等各方面的损失。 由于运行管理工作一直处于比较被动的局面,缺乏有效的技术手段和措施,往往是接到事故报告后, 才知道设备或软件出了故障,不仅延误了故障处理的时间,而且对系统安全构成很大的威胁,因此建立一套能提前预警及时报警的运行维护的工作平台已迫在眉睫。1.2 问题的提出现在有些业务都是 24小时开展的,设备全天候的运转,现在的做法是需要人工不断登陆计 算机和网络上查看状态,这样登陆一是带来计算机不安全因素;二是被动的去查问题,值班人员不能总盯在监控的机器上,没有故障预警和报警机制,往往在出现问题时,值班人员没有发现,导致系统的问题,影响业务运行。综上所述目前运
38、行维护工作存在的问题是:1、不能及时发现系统故障,对系统安全构成很大的威胁。2、不能在一个界面中查看整个系统的运行情况。3、故障处理时间不可控,故障处理不当可能会引入新故障。4、没有设备自动预警和报警机制。5、领导无法及时全面掌握整个系统的运行状况,不利于工作安排。6、由于不能主动发现潜在的隐患,不利于网络、系统等的防患于未然。7、值班人员登陆到网管设备和小型机上,会带来安全隐患,不符合计算机安全管理的相关规定。8、不能提供设备运行情况的汇总分析,不能科学的分析设备使用情况的。2. 系统结构autoEye sysMon 采用B/S和C/S结合的框架结构。在B/S模式下只能进行查看被监控设备,而
39、不能进行系统的配置和修改等操作。只有通过具有管理员权限的用户登录到C/S模式下才能进行系统的配置和修改。这样两种相结合的方式,大大的提高的系统的可用性和安全性,防止用户在操作时候修改了系统的核心参数,从而影响系统的正常运行。3. 数据采集autoEye sysMon提供基于tel net 和Age nt(代理模块)的监测方式。当用户进行配置的时候, 可以选择适合自己的监测方式。autoEye sysMo n对被管资源的数据采集支持通过主动轮巡机制,使用tel net、Age nt等多种采集方式来实现性能数据的采集。并且可以通过多种方式来集成和接收第三方管理工具和 用户私有系统的告警信息和数据。
40、1.监测方式系统能够依据管理的需要,定时向需要监测的管理对象 出监测请求,并将记录返回数据作为告警和性能的依据。(可以是一个设备或者一项服务)具体的数据采集方式有以下几种:a)teln et方式tel net方式的监测 , 是基于tel net协议的监测手段,程登陆到被管理主机, 并自动下发和执行定义好的指令,autoEye sysMon 通过 tel net 协议远并接收返回的数据信息。这种方式不需要在被监控机器上安装任何代理软件,完全不影响主机业务系统的正常运行。b)Age nt方式安装代理模块(Age nt)的监测方式,需要在被管理的主机上安装轻量级的代理小模块(Age ntPerl )
41、, autoEye sysMon服务端程序能够向 Age nt下发定义好的指令,Agent负责响应autoEye sysMon服务端程序的通讯请求、执行、并返回执行结果。4.监控功能1)对操作系统的监控支持 AIX、HP-UX Solaris、LINUX、Windows等操作系统的监控。对操作系统的监控内容包括:操作系统基本信息,CPU Memory Log、Load、S、Disk、Net 等。autoEye Mon可以对网络资源系统进行主动的探测,以此获取设备的可用性和性能数据。为了实时主动的监测各项性能指标,管理员需要对监测器的参数进行相应的配置。即通过界面配置所需监测器的参数和性能指标以
42、及主动轮循的时间间隔等,并激活自动采集。同时,可以通过图形界面灵活配置性能监测的轮询间隔和预警的阀值。 当所监测的指标违反 设定的阀值时,监测器会向 autoEye sysMon 事件控制台发送预警事件。2) 对 Oracle 数据库的监控能够对 AIX、HP-UX、Solaris 、LINUX、Windows 下的 Oracle 数据库进行监控,监控的 主要内容:Oracle 基本信息、数据文件 I/O、SGASession 'Deadlock、Tablespaces、Listener、 Oracle日志、Oracle后台进程、SQL语句等3) 对网络设备进行监控能够监控网络交换机,
43、路由器等网络设备;能够对 CISCO, 华为及其他品牌的网络设备进行监控;对网络设备监控的内容如下:(1) 网络设备的CPU使用情况(2) 网络设备内存使用情况(3) 网络设备的端口状态(4) 网络设备线路流量包括广域网线路流量和以太网端口流量的统计分析4) Microsoft SQLSERVER 数据库系统的监控监控内容如下:1)MS SQLSERVER数据文件空间使用率(2)数据库系统逻辑日志空间的使用情况(3)MS SQLSERVEF数据库系统CPU BUSY的 情况(4)MS SQLSERVEF数据库系统IO BUSY的情况(5)MS SQLSERVER据库系统Packet Error
44、 情(6)MS SQLSERVEF数据库系统IO Error 情况 Lock Number 的监控(8)Number Deadlocks Per Second的监控(9)Lock Wait Time (ms) Per Second的监控(10)用户的连接数的监控(11)最消耗CPU的十个连接,最消耗10的十个连接,最消耗内存的十个连接的监(12) Buffer cache命中率的监控(13) MS SQLSERVER数据库系统错误日志的监控5. 事件的自动通知当新发生的事件信息满足预先定制的分类条件时,通过调用内部或外部命令的方式实现对告警事件的自动前转。如,自动发送 E-Mail、手机短信、
45、警报声音、弹出窗口等方式将告警 信息及时通知到相关的管理员。6. 告警处理机制autoEye sysMon事件信息分为正常、警告、危急。对于被监控系统产生的信息,事件管理 机制根据用户设定的阀值和条件判断事件的类别,并且根据预先设计的动作进行相应的告警提示。autoEye sysM on的告警管理模块提供了符合电信级规范的告警处理机制。包括:确认、反 确认、清除、添加评注、告警导出等等。当管理员看到或收到告警通知以后,必须及时进行“确认”和“清除”,以确保任何告警事 件没有被遗漏。系统记录告警被那个用户确认和清除, 并记录确认和清除的准确时间。 的责任管理员可以在告警详细信息中追加“评注”记录
46、故障原因。7. 操作员管理操作员中分为系统管理员和一般操作员。系统管理员可以进行增加、修改操作员,可以对监控目标进行增加、修改、删除。一般操作员只能对监控目标进行查看。操作员只能 在自己区域内进行操作。操作员管理新增包括操作员编号、姓名、密码、EMAIL信息。角色列表中是把一般操作员定义成系统管理员。8.主要技术指标通过前面介绍,可以看出在可靠性、可用性、可维护性、扩展性以及应用软件的可操作性、 数据的存储与恢复等多方面,都具备良好的技术和性能指标。1. 可靠性autoEye sysMon可以能支持7x24小时连续不间断工作,实时的对被监控系统进行数据采集 和分析。2. 可维护性系统已经具备对
47、自身的集中维护配置功能,包括集中的系统参数设置、 集中的系统日志管理,并从安全和可维护性角度出发,增加对重大操作如增加/删除/修改管理员帐户、增加/删除/修改角色信息,删除或清除日志信息,数据采集程序的启动和停止日志等。系统还记录了系统内部的运行日志等。3.扩展性硬件系统采用模块结构, 以保证系统功能、 处理器及储存容量的扩展。 硬件配置的升级不会 引起应用软件的修改和开发。具备灵活扩展性,能快速适应管理需求变更、有效控制上线后需求变更 / 扩展的全周期性价 比。系统采用开放的接口,支持二次开发的功能。4. 易用性能够实现快速实施、快速培训、减少人员投入。用户界面友好,能够通过配置灵活选择。提
48、示信息通俗易懂。IT 基础环境监控某银行省分行部署 Tivoli 对全省的生产业务系统进行集中监控管理,由省分行统一定 制性能和故障监控对象, 这些监控对象包括了核心生产系统的一些关键性能和故障参数。 但 存在大量的UnixWare、SCO Unix、Sybase数据库,以及各个支行开发的特色业务系统中的 进程、文件等,省分行部署的 Tivoli 软件未提供全面的监控。下属某支行为了方便日常运维,部署了一套 autoEye sysMon 系统集中监控软件。它完 全满足支行对运维的需求,对 Tivoli 软件未监控或者不能监控的应用提供全面的监控和管 理, 作为日常运维软件其优势主要体现在以下几
49、个方面: 第一、 高性能的管理平台autoEye sysMon 系统集中监控软件为某支行提供了多达 350 台设备或者应用的监控, 它是一款高性能监控平台软件,软件服务端采用 C+ 编写,在监控管理大量应用和设备时, 其性能比其他语言开发的监控平台更具有优势,具体表现在:a、采集数据速度更快;d、数据分析效率更高;c、当采集到告警信息时,能迅速发生告警提示;d、可以管理成百上千台设备或者应用;第二、 多种应用集中监控省分行部署 Tivoli 对 AIX、 DB2 等核心系统进行监控, 但是未对 UnixWare 、 SCO Unix、 Suse Linux等操作系统和Sybase数据库的性能和
50、故障提供监控。为了保障业务系统的持续性运行, autoEye sysMon 系统集中监控软件提供了比 Tivoli 更加全面的监控, 它不仅支持 AIX、HP-UX、SUNOS、Redhat、Suse Linux 等的监控,还可 以对大量 Tivoli 不支持的 UnixWare、 SCO Unix 等操作系统提供了性能和故障的监控。autoEye sysMon 系统集中监控软件还提供了Sybase 数据库 UnixWare 版本和 SCO Unix版本的监控。对 Sybase数据库的数据空间、用户连接数、死锁、日志等等全面的监控。让 系统管理员轻松掌握整个机房设备的运行状况。第三、 具有针对
51、性的监控指标autoEye sysMon 系统集中监控软件所提供的监控指标对象,比同类软件更加具有针对性。某分行开发部署的特色网银系统, 在运行过程中其产生的日志文件尺寸如果过大会影响 系统性能,需要手动清理。 Tivoli 无法满足某 分行对日志文件的存在性、尺寸大小和修改 时间进行监控的需求。autoEye sysMon系统集中监控软件提供了对这些日志文件的监控,如果特色网银系统产生日志文件,系统会提示管理员对日志文件进行分析和处理。如果这些日志文件的尺寸过大,可能会影响到特色网银系统的性能,autoEye sysMon 系统集中监控软件可以对文件的尺寸大小进行报警,提示管理员对日志文件进
52、行备份和清理。对于那些修改后可能会影响到系统安全或者性能的配置文件和系统文件,autoEyesysMon 系统集中监控软件提供了对文件的修改时间进行监控报警。第四、 系统部署方案灵活autoEye sysMon系统集中监控软件在系统部署上相比其他产品更具有灵活性。软件提供两种部署方案:一、使用telnet或者ssh进行应用对象的数据采集,这种方式不需要在被监控系统上安装任何的代理软件,不会对系统的性能和稳定性产生影响。二、如果用户不希望输入用户名和密码或者telnet和ssh服务未启动,或者其端口被封闭,那么可以在被监控的设备上安装一个使用perl语言编写的一个age nt软件,perl 语言
53、编写的软件具有不会产生内存的泄露和源代码可见等优点,用户可以 对age nt软件的源代码进行安全审核。某分行对我们提供的 age nt进行了严格的代码审查和测试,确定age nt不会对现有的业务系统产生影响,采用安装age nt部署模式对设备或者应用进行监控。服务器集中监控1 系统概述2. 系统结构autoEye sysMon 采用 B/S 和 C/S 结合的框架结构。在 B/S 模式下只能进行查看被监控设备,而不能进行系统的配置和修改等操作。只有通过 具有管理员权限的用户登录到 C/S 模式下才能进行系统的配置和修改。 这样两种相结合的 方式,大大的提高的系统的可用性和安全性, 防止用户在操作时候修改了系统的核心参数, 从而影响系统的正常运行。4. 监控功能1) 对操作系统的监控支持 AIX、HP-UX、Solaris 、 LINUX、Windows 等操作系统的监控。 对操作系统的监控内容包括: 操作系统基本
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2024年度技术研发合作合同标的与研发内容3篇
- 爱国卫生月班会活动
- 2024二手物流设备买卖及仓储服务合同3篇
- 如何调节血脂水平
- 《奎屯天合精细化工》课件
- 社区护理外出培训
- 人教版道德与法治三年级下册《第二单元 我在这里长大》大单元 (5 我的家在这里)(计划二课时)(第一课时)(热爱这里的一草一木)教学设计2022课标
- 全程房地产项目2024年度管理顾问咨询合同
- 2024年度卫星通信技术与应用开发合同2篇
- 酒店厨房承包协议书范本
- 也是冬天也是春天:升级彩插版
- 广播电视编导专业大学生职业生涯规划书
- 2023年12月英语六级真题及参考答案
- Unit+5+The+Monarchs+Journey+Language+points+课件-【知识精讲精研】高中英语外研版(2019)必修第一册+
- 高考日语副助词默写单
- 高一政治学科期末考试质量分析报告(7篇)
- 项目立项增资申请书
- 中国近现代史纲要社会实践报告十二篇
- 小学期中表彰大会活动方案
- 基于单元主题意义开展的小学英语项目化学习 论文
- 万用表使用方法-完整版课件PPT
评论
0/150
提交评论