IT 运维安全审计(堡垒机) 解决方案

IT运维安全审计（堡垒机）解决方案

正文第一篇：IT运维安全审计（堡垒机）解决方案

网域NSYS运维安全审计（堡垒机）解决方案

网域运维安全审计（堡垒机）提供运维用户操作以及违规事

件等多种审计报表，过报表功能，即能够满足大部分客户的

日常审计需求，也可满足如等级保护、〃萨班斯法案〃等合规

性要求。同时，系统也支持通过自定义或二次开发方式进行

灵活扩展。

集中统一管理、安全审计、统一账号管理，统一身份认证，统

一授权管理,统一操作审计，流程管理，单点登录，并能图像

形式的回放操作员记录、使管理员操作简单快捷。

运维用户通过一个统一的平台就能登录所有的目标设备，包

Unix、Linux、Windows服务器以及各类网络设备。

集中管理用户、设备、系统账号；

集中管理用户、系统账号的密码；

所有用户集中登录、集中认证；

集中配置账号密码策略、访问控制策略；

集中管理所有用户操作记录；

访问控制

1.根据用户角色设置分组访问控制策略；

2.实现用户一系统一系统账号的对应关系；

权限控制

1.可设置以命令为基础的权限控制策略；

2.可支持IT运维人员对多种远程维护方式，如字符终端方

式（SSH、Telnet、Rlogin）>图形方式（RDP、X

11、VNC、Radmin、PCAnywhere）、文件传输（FTP、SFTP）以

及多种主流数据库工具按照用户/用户组、资源/资源组、运

维时间段、运维会话时长等授权。

实时的操作告警及审计机制

监控告警机制

能对运维用户的所有操作进行实时的控制阻断、告警及监控,

避免由于一些敏感的操作导致网络中断或企业信息泄露。

详尽的会话审计与回放机制

系统提供运维协议Telnet、FTP、SSH、SFTP、RDP（Windows

TerminalXwindows、VNC、AS400、Http、Https等完整会

话记录，完全满足内容审计中信息百分百不丢失的要求。

1.能记录所有操作并能随时根据审计的需要查询任何时候

任何人员所做的任何操作。

2.提供图像形式的回放，真实、直观、可视地重现当时操作

过程。

3.能记录加密维护协议SSH数据

符合法律法规

第二篇：IT运维综合管控解决方案

IT运维综合管控解决方案

针对安然、世通等财务欺诈事件，2021年出台的《公众公司

会计改革和投资者保护法案》(Sarbanes-OxleyAct)对组织

治理、财务会计、监管审计制定了新的准则，并要求组织治

理核心如董事会、高层管理、内外部审计在评估和报告组织

内部控制的有效性和充分性中发挥关键作用。与此同时，国

内相关职能部门亦在内部控制与风险管理方面制定了相应的

指引和规范。由于信息系统的脆弱性、技术的复杂性、操作

的人为因素，在设计以预防、减少或消除潜在风险为目标的

安全架构时，引入运维管理与操作监控机制以预防、发现错

误或违规事件，对IT风险进行事前防范、事中控制、事后监

督和纠正的组合管理是十分必要的。IT系统审计是控制内部

风险的一个重要手段，但IT系统构成复杂，操作人员众多，

如何有效地对其进行审计，是长期困扰各组织的信息科技和

风险稽核部门的一个重大课题。

一、需求分析

系统的运维人员是系统的“特殊”使用团队，一般具有系统

的高级权限，对运维人员的行为审计日渐成为安全管理的必

备部分，尤其是目前很多企业为了降低网络与系统的维护成

本，采用租用网络或者运维外包的方式，由企业外部人员管

理网络，由外部维护人员产生的安全案例已经逐渐在上升的

趋势。

运维人员具有“特殊”的权限，又往往是各种业务审计关注

不到的地方，网络行为审计可以审计运维人员经过网络进行

的工作行为，但对设备的直接操作管理，比如Console方式

就没有记录。

运维审计的方式不同于其他审计，尤其是运维人员为了安全

的要求，开始大量采用加密方式，如RDP、SSL等，加密口令

在连接建立的时候动态生成，通过链路镜像方式是无法审计

的。所以运维审计是一种“制度+技术”的强行审计。一般是

运维人员必须先登录身份认证的“堡垒机”（或通过路由设

置方式把运维的管理连接全部转向运维审计服务器），所有运

维工作通过该堡垒机进行，这样就可以记录全部的运维行为。

由于堡垒机是运维的必然通道，在处理RDP等加密协议时，

可以由堡垒机作为加密通道的中间代理，从而获取通讯中生

成的密钥，也就可以对加密管理协议信息进行审计。

二、运维安全审计面临的挑战

IT运维人员一般应用命令行方式（Telnet、SSH）、和图形化

方式（RDP、VNC）、客户端软件等方式对数据中心的服务器进

行管理，这些方式虽然方便、灵活，但接入点多，存在重大

安全隐患，并难于管理，特别是，面对成千上万台的设备，

一个IT经理或者一个CIO如何能确保所有IT运维人员的操

作都是安全的？倘若有违规操作，如果发现并有效阻止？

若阻止不及，如何认定事故责任？

三、IT运维综合管控解决方案

泰然神州Zendeep神电运维审计系统是用于数据中心IT运维

的集中管理和审计系统，可以对基于Telnet、SSH、RDP、VNC

等协议的访问操作进行过程的抓取，从而可以录象方式对所

有运维人员的所有操作进行记录，并具备强大的搜索功能，

可对特定时段、特定事件、特定用户等逻辑要素进行搜索与

提取一一从而达到真正意义上的审计与风险控制。

泰然神州Zendeep运维审计方案的功能架构模块（下图）

泰然神州Zendeep运维审计系统管理平台，不仅可以对IT运

维人员应用带内管理工具（Telnet、SSH、RDP、VNC等协议）

的管理进行全面的集中管理与审计，可以制定有效的控制策

略，进行访问授权、访问阻断，另外也可以根据不同的参数

搜索调用历史操作画面，并进行画面回放、查看审计日志、

从而进行有效的安全防护。

泰然神州运维审计系统由管理控制台、应用代理服务器、客

户端安全插件和数据库四大部分构成。管理控制台：

管理控制台负责实现系统的用户管理、代理访问策略管理、

阻断策略管理、审计日志的查看与审计、对审计会话的画面

回放和系统的基础配置等功能

管理控制台是一个基于Web的操作界面，可以对一个ICS对

应的多台ICA的监控结果进行集中化的管理应用代理服务

器：

应用代理服务器用于实现代理应用的集中管理，对用户和客

户机进行合法性校验，受符合策略要求的代理应用连接请求

提供TCP阻断功能，对于网络中的非法网络连接可以根据阻

断策略自动实施阻断操作数据库：

日志审计数据库，用于记录用户信息、策略信息和连接会话

的日志信息等内容

文件数据库，专门用于记录应用代理服务器所记录每个连接

会话的录像信息，录像信息与日志信息直接关联，直接通过

查询日志信息后播放对应的录像文件，真实再现当时的操作

画面客户端安全插件：

终端客户机及和IT运维管控系统后台之间建立加密的连接通

道终端安全登陆认证设备接口

四、方案应用部署

泰然神州Zendeep运维审计系统部署网络拓扑架构图：

五、方案特点

泰然神州Zendeep运维审计方案特点：

集中管理，提供后台设备、数据库及指定系统统一的操作维

护入口，实现单点登录。身份管理，提供设置实名制登陆帐

号，详细记录后台数据库全部操作过程。

访问控制，提供管理员根据不同的用户配置不同的操作权限,

实现命令级别的严格控制，确保合法用户在其系统权限范围

内访问授权设备。

命令防火墙，实现当不同用户帐号与同一系统帐号关联时，

以命令为核心建立更加细粒度的权限控制。操作审计，对用

户实施的操作提供完整，详细记录服务。并可以安全地存放

于管理平台中，管理平台能以方便、友好的界面方式提供对

这些记录的操作查看，搜索，回放等审计功能。支持协议：

Telnet.SSH、RDP、VNC等强制主机审计，所有运维行为强

制经过IT运维管控系统跳转IT运维管控系统所在服务器安

全加固

六、泰然神州Zendeep运维审计系统方案效益分析

通过实施泰然神州Zendeep运维审计系统方案，安全审计工

作可以得到有效简化，可以进行全面的集中管理与审计，真

正做到运维全程操作可见、可控、可查。

1、本系统可对所有用户进行集中管理，包括本地管理用户及

远程管理的用户。可以通过本系统行使如下功能：用户的创

建、修改、删除和查询、用户的启用和挂起控制、用户的权

限管理功能。

2、可以对历史操作画面回放，掌握第一手客观公正的操作记

录。

3、对所有通过基于Telnet、SSH、RDP、VNC等协议的访问操

作，进行全生命周期录像，可实现对历史操作过程的真实再

现。

4、根据用户设置的规则、关键字、用户名称、目标地址、源

地址负载名称、部门名称、描述信息和时间进行审计信息的

查询检索，对查询的结果进行回放，再现历史操作画面。

5、本系统对通过应用代理服务器访问的负载的操作信息进行

记录，包括访问负载IP地址、客户端地址、运维用户名称、

操作开始和结束时间等等，管理人员可以通过时间、客户端

类别(TELNET.SSH、RDP、VNC)、负载IP地址、客户端IP

地址和运维用户对审计信息进行查询。

6、可以制定有效的控制策略一一将风险远远阻在门外，访问

授权控制策略：可以根据企业内控与管理的要求配置应用代

理访问控制策略，经过授权的客户端可以通过代理访问负载,

未经过授权的客户端则不可以访问负载。

7、阻断访问控制策略：通过访问控制策略阻断控制，可以强

制用户必须通过应用代理访问负载。

第三篇：IT运维监管控一体化解决方案

IT运维监管控一体化解决方案

IT运维管理闭环体系

2021-11-17

本文论述了IT运维监管控一体化趋势，建设要求、原则，方

案整体设计和具体实现。

IT运维监管控一体化解决方案

目录

1.2.3.4.IT运维服务管理概

述................................................

5IT运维管理一体化管理解决之

道................................................

................................6IT运维一体化建设

目

标................................................

................................................6

系统设计原

则................................................

..............74.1.4.2.4.3.4.4.4.5.4.6.4.7.4.8.

5.系统的先进

性................................................

..7系统的实用

性................................................

..7系统的有效

性................................................

..7系统的可行

性................................................

..7系统的可靠

性................................................

..8系统的开放

性................................................

..8系统的扩展

性................................................

..8系统的安全

性................................................

..8

IT运维一体化平台建设原

则................................................

.........................................85.1.5.2.

5.3.5.4.5.5.5.6.统一■规

划................................................

.........8转变观

念

.........9分步实

施................................................

.........9可插拔模块

化................................................

•.9有所为，有所不

为................................................

...........................................10不唯

美，而唯

实................................................

.................................................10

6.IT运维一体化解决方

案................................................

................................................10

6.1.6.2.6.3.6.4.6.5.理解IT运维一体

化................................................

.........................................10监视模

块建

设................................................

12流程管理模块建

设................................................

...........................................12自动

化操作模块建

设................................................

.......................................13CMDB建

设................................................

...146.5.1.CMDB战略核心地

位................................................

...............................14

2/28

IT运维监管控一体化解决方案

6.5.2.CMDB建设方

法................................................

.......................................156.5.3.CMDB

建设保

障................................................

......................................166.5.4.构建

CMDB模

型...................................................

......................................176.5.5.避免

CMDB建设误

区................................................

............................186.6.模块之间接口实

现................................................

...........................................186.6.1.

监与管之间的接

口................................................

..................................186.6.2.管与控

之间的接

口................................................

....................................196.7.7.报表系

统................................................

.......19

IT运维一体化特

点................................................

...2021.1.7.2.7.3.7.4.7.5.7.6.7.7.监管控一体

化整

合

...........................................2021级化

展现平

台

...............................................2021

合事件管理平

分

...........................................2021方位

IT资源管理平

分

.................................2021向基础设

施................................................

2021向维护管理

者................................................

...............................................2021

向领导决策

者................................................

...............................................21

8.IT运维一体化系统功

能................................................

..............................................21

8.1.8.2.8.3.8.4.8.5.8.6.8.7.8.8.8.9.信息门

户................................................

......21事故管

理................................................

......21问题管

理................................................

......22变更管

理：..............................................

....22发布管

理................................................

......23配置管

理................................................

......23工单管

理................................................

......23作业计

戈U...........................................

......23值班管

理................................................

.......24

8.10.考核管

理................................................

.......248.11.代维管

理................................................

.......248.12.知识管

理................................................

.......258.13.安全管

理................................................

.......25

3/28

IT运维监管控一体化解决方案

8.14.服务持续性管

理................................................

................................................25

8.15.容量管

理................................................

.......258.16.可用性管

理................................................

....269.总

结................................................

............................269.1.9.2.IT运维管理

内容层

面................................................

.......................................26IT运维一体

化优

势................................................

...........................................27

4/28

IT运维监管控一体化解决方案

1.IT运维服务管理概述

随着企业信息化程度的提高、IT环境规模的扩大和IT环境复

杂度的增加、行业内服务竞争的加剧，如何保证IT系统安全

稳定运行，为业务提供可持继性的支撑，最优化IT环境的性

能，有效控制IT成本和计划IT投资，这些都对IT系统运行

维护支持以及IT服务水平提出了新的要求和挑战。

面对的挑战：

越来越高的服务成本以流程管理为驱动的转型阶段

从以“技术为中心”向“业务驱动”的转型服务协

议成为最佳成果的代名词

合作伙伴关系将替代“客户一供应商”的简单关系

服务成为应用的代名词

信息技术在业务中起着越来越重要的作用，越来越多的业务

流程依赖IT技术。从技术和业务的双重视角对其进行有效管

理，保障业务处理平台高效、安全、正常运行，为业务服务

提供有力支撑成了运维人员和IT部门的常态工作。

如何在企业内部建立起一套有效的运维交互平台，理顺不同

部门以及上下级之间的协作关系，规范工作流程，提高工作

效率，实现故障处理、资源调度优化、系统割接、业务保障

等运维工作的闭环流程监控和管理，是目前各IT运维部门关

心的问题。

5/28

IT运维监管控一体化解决方案

但是，由于业务快速变化、用户环境日益复杂、IT应用日益

繁多等因素导致了IT服务与实际业务需求脱钩，IT服务与业

务部门的实际要求出现鸿沟，由此催生了面向“IT服务”的

管理挑战与需求----IT服务管理。IT服务管理立足于服务,

建立以客户为中心，以流程为导向，从业务角度出发的全新

的IT管理模式，通过整合IT服务与业务，提高了组织对外

提供服务的能力，是真正实现这种服务管理的有效途径，能

帮助用户最终实现IT与业务的融合。

2.IT运维管理一体化管理解决之道

受习惯、时间、财力等诸多因素的影响，在迈入IT服务管理

过渡阶段过程中，大多数客户的IT服务部门管理的变革没能

跟上技术的发展，未对IT服务管理进行整体规划，没有导入

适合现阶段的管理机制，依然沿用“被动响应、救火队”服

务支持管理模式，依然缺乏适用的自动化管理流程，导致IT

服务管理能力低下。

IT运维一体化平台依靠对复杂异构的IT资源环境（网络设备、

安全设备、服务器、存储、机房环境、操作系统、数据库、

中间件、业务系统、IT资产、日常工作、外包管理.....）

的一体化监（面向业务服务的监视）、管（面向运维流程的管

理）、控（面向日常运维的控制），最终达到保障IT基础架构

稳定可靠运行、降低系统和业务应用宕机风险、提高运维支

持和服务管理效率、优化运维流程、建立绩效体系、控制运

维成本、改进决策过程的目标。

3.FT运维一体化建设目标

IT运维一体化平台的总体目标是建立一个稳定、高效、灵活

的IT运行和维护管理体系，涵盖IT运维工作中的监、管、

控三方面，为业务应用正常运行提供有力的支撑，提高信息

系统运行效率，提高服务质量，降低运营的成本。

实时管理：及时发现故障与异常，并迅速定位，尽快解决;

通过运行分析，调整运行策略；通过业务系统性能的测量和

管理，优化系统性能，提高系统运行效率。闭环管理：

通过科学规范化的流程管理保证故障、异常、隐患由相应的

人员采用必要的方式闭环处理；促进巡检、变更的工作标准

化、规范化；通过流程运行的考核数据，促进运维质量和运

维效率的提高。

精益管理：通过丰富完善的报表和图档资料，为运行维护

工作提供直观准确基础数据；避免维护工作中的疏漏而带来

的人力、资金浪费；分析信息基础设施的运行负荷，制定合

理的资源调配方案。

6/28

IT运维监管控一体化解决方案

战略管理：优化现有的IT基础设施的运行性能；提升系

统性能；预测并计划信息基础设施的需求；考核并不断提升

服务水平。

4.系统设计原则

4.1.系统的先进性

先进性是每一个IT系统建设不断追求的目标。随着IT技术

的迅速发展，更新的、更先进的技术和思想总是在不断出现,

因此，系统设计必须兼顾先进性。

系统规划的先进性是将系统看成一个有机的整体工程，不但

在规划时要考虑到它的目前现状，还要考虑它的发展和未来。

不论硬件或软件，在应用目前相对成熟的技术基础之上，系

统必须能够不断完善、扩充，功能越来越丰富，尽可能小的

代价来适应系统需求的不断增长和技术的不断发展，使现有

系统能够与IT运维需求同步增长。

4.2.系统的实用性

IT运维一体化平台建设能否成功，实用性非常重要。系统设

计必须以实用为出发点，而不是一味追求新技术、新理念和

照搬国外模式。IT运维平台是为IT环境支撑提供运维管理的

基础。要达到实用性的要求，必须设计时充分考虑到国内情

况、本行业特点和本企业实际状况，充分明确：提高自身的

IT运维管理水平和提供更好的业务服务能力才是IT运维管理

平台建设的根本目标。

4.3.系统的有效性

IT运维管理系统是IT部门每天工作的基础和平台，是IT部

门的根本。如果不具备有效性，华而不实，很难设想IT部门

如何开展工作，如何实现有效的IT运维管理，更无法谈论提

供高质和高效的IT服务。

4.4.系统的可行性

IT运维的理念和设计规划再好，如果不具备可行性，也只是

空中楼阁。因此，必须考虑系统建设的可行性。可行性的考

虑包括：目前技术上是否可以实现、自身人力、物力和财力

上的支撑。

7/28

IT运维监管控一体化解决方案

4.5.系统的可靠性

IT运维系统的重要性不言而喻。如果IT运维系统运行故障而

停止工作，那么企业的IT环境犹如没有控制盘的汽车，处在

无序、惯性行驶的状态。此时，IT环境对于IT运维人员而言,

完全陌生，处于隔离、未知、失控的状态。

对于IT运维管理系统，监控的失败或瘫痪相当于人失聪、失

明，流程管理的失败相当于大脑丧失了思考能力，自动化运

维操作的失败相当于截肢瘫痪。因此，任何模块的失败，后

果都是严重的。IT运维系统本身的健壮性、自身完善性、稳

定性是至关重要的。

IT运维平台是企业IT环境中实现正常运维工作的基础和管理

平台。因此，IT系统建设一定要考虑系统的可靠性。

4.6.系统的开放性

IT技术发展日新月异，IT系统的开放性和标准性越来越成为

一种趋势。只有采用开放的系统，使用开放的技术，才能保

证整个系统有持久的生命周期，才能长期保护企业在IT运维

的有效投入。例如：接口之间采用Corba,xml,jdbc,ftp,jdbc

等开放技术。

4.7.系统的扩展性

随着IT业务系统的增加和IT环境规模的扩大，随着时间的

推移和情况的变化，无不需要考虑系统功能的变化和调整。

因此，IT运维一体化平台系统需要具有很强的扩展能力和适

应能力。

4.8.系统的安全性

基于IT运维管理系统的角色，IT运维系统的安全变得至为关

键。很难想象，IT运维管理系统由于病毒或者安全入侵，导

致IT运维平台瘫痪带来的后果。

5.IT运维一体化平台建设原则

5.1.统一规划

IT运维一体化建设中必须坚持统一的规划、明确的发展方向

和思路，在全局、宏观上做到统筹安排，合理规划。实施对

整体架构和数据模型的统一管控。

8/28

IT运维监管控一体化解决方案

5.2.转变观念

任何生产活动都是人来主导的，IT运维管理体系的建设不单

是一个软硬件系统的建设，还是一个运维团队和人文的建设。

IT运维一体化平台的建设，是IT运维理念和管理上的一次划

阶段的变革，它需要整个IT运维部门的文化、体制和思想也

要作相应的转变和调整才能成功。根据以往情况，企业的IT

部门往往都是技术至上的工程师文化，而这种源于研发企业

的文化和现今IT管理部门作为业务支撑部门的定位严重不

符。因此，完善IT服务管理的过程，也必然是部门文化和IT

运维理念和体制转变的过程。在建设IT服务管理体系的过程

中应遵循以下2个原则：

高起点，借鉴业界先进的管理模型和方法。

重执行，任何管理规范和流程的制定都要以可执行，可考

核为前提。

5.3.分步实施

IT管理体系的建立和完善不可能一蹴而就，需要有长期的计

划步骤实施，必须循序渐进，遵循分阶段和迭代实施的原则。

横向扩展：从个别的业务系统扩展到所有的业务系统，规

模上逐步从小到大。纵向加深：功能上逐步完善、丰富

和细化，模块和子模块数量从少到多，从有到优。制定

计划，“有重点、分阶段”展开。

5.4.可插拔模块化

IT运维一体化平台涵盖了IT运维工作的各个方面，从全局到

局部，从宏观到细节。系统架构设计必须以模块化为基础。

必须平衡考虑系统内部模块的松散性和耦合性。作为同一

平台内部的模块，由于相互协作，模块和子系统之间必然存

在着耦合性。另一方面，为了控制单点故障带来的对系统整

体的影响，必须有效控制单点故障后所影响的范围并在此基

础上才有可能提供快速恢复的能力。

模块化为可插拔性提供了可能，使得系统设计上可扩展性

原则得以实现。可插拔化：为模块的升级、优化和采用

新技术，提供了实现的前提。不同组件、不同层面的模块的

替换，对系统的其他模块是透明的。局部的调整和升级并不

对系统的整体架构产生必要的调整。

9/28

IT运维监管控一体化解决方案

5.5.有所为，有所不为

在一个阶段，不求大、不求全。求大求全，则难以有所为，

必然陷于被动。必须明确，有所不为而后可以有为。

5.6.不唯美，而唯实

过分追求完美，会导致华而不实，会导致系统本身和建设上

的虚、浮、躁。只有尊重实际情况，才能脚踏实地，步步为

营，有效推进IT运维管理工作的建设并不断提高。

6.IT运维一体化解决方案

6.1.理解IT运维一体化

针对IT运维，我们划分为三个方面，监视、管理和控制。“监、

管、控”三者紧密关联，逻辑上是一条龙过程，并形成闭合

环路。

监控的结果作为依据来分析、决策和指导IT运维工作的进行;

IT运维工作本身需要流程管理来进行规范和控制；自动化运

维操作将运维工作中大量、重复的劳动来批量控制，自动完

成，节省人力，并提高效率。运维工作的质量和结果需要监

控来进一步实现观察和确认，以判断是否符合工作预期，必

要时，再次调整和提高。

可以说，监视是我们的眼睛，帮助我们透视和认清网络、主

机、应用等整个IT环境，是我们的情报来源；流程管理是我

们的大脑，帮助我们思考、制定决策和完成流程控制和管

10/28

IT运维监管控一体化解决方案

理，是我们的情报分析和决策中心；控制是我们的双手，完

成自动化批量处理，是我们的实施力量和手段。由此，我们

说，“监、管、控”，这是有序的一条龙过程。

双手完成运维处理和控制动作之后，我们需要眼睛再次监视,

来查看控制结果。继而，需要大脑来审验：是否符合预期？

是否需要进一步调整和控制？如是，进而开始新的“监管

控”流转过程。由此，我们还可以说，“监、管、控”，这

又是一个闭合的环路过程。

IT“监管控”一体化运维，就是真正实现上面的一条龙过程

和达到闭合环路的目的。在FT“监管控”一体化运维模式下,

当监控管理模块发现故障并产生告警后，如满足相应的过滤

和触发条件，通过接口会自动触发运维流程管理模块生成相

应的工单，运维流程管理模块依据工单信息和相应运维人员

预先设置好的关联条件，自动寻找、识别和匹配自动化运维

模块中的操作脚本，实现自动和快速的故障操作处理。由此

实现从发现故障到解决故障的IT运维全自动化，并自动完成

运维操作日志记录，以备事后回顾和审计。

IT运维自动化不是IT运维工作简单的维护过程的改变，而是

IT运维管理工作的根本变革，是IT运维管理的发展趋势。

在IT“监管控”一体化的运维平台中，原来的网管监控、运

维流程管理和自动化运维操作平台转化为对应的“监、管、

控”三个模块。

IT运维一体化平台应在设计之始即充分遵循ITIL理论，并结

合国内现状、行业特点与实践经验，建立以服务流程为驱动

的管理平台，实现人员、流程、技术三方面的完美结合。唯

此，才能够在帮助用户深耕基础架构、夯实基础之后，与用

户一起建立遵循先进流程管理思想的ITIL理论、实现以服务

流程驱动为导向的实用的“人管流程”。IT运维一体化平台

为用户带来“IT管理理念+系统工具+过程方法”的全新的IT

服务管理组合，为用户提供包括管理流程与规范、业务及实

施方法在内的全方位IT运维服务管理一体化解决方案。

IT服务管理的最终目标是实现业务与技术的融合，IT运维一

体化平台紧扣业务部门与IT部门融合要求，提供业务与技术

沟通和连接的平台，将业务部门与IT部门紧密结合在一起，

能够帮助用户持续提高业务部门和客户的满意度，为客户的

IT服务管理做出贡献，提高用户的核心竞争能力。

实施IT运维管理一体化可以帮助企业将IT系统原来的混乱

状态变到主动的管理状态，包括将技术导向变为流程/服务导

向，将被动处理变为预防为主，将孤立、分散系统变为集成

化的系统等等。

总之，IT运维管理一体化通过将人才、流程和工具技术进行

有机结合，实现高质量、高可靠性的IT服务服务管理。

11/28

IT运维监管控一体化解决方案

6.2.监视模块建设

IT监控内容：网络设备、链路、主机操作系统、数据库、存

储、中间件、应用软件、业务服务、机房环境（温度、湿度）、

机房门禁等。

通过IT网管监控，可以帮助运维部门和人员实现全天候自动

检测，可以及时、快速发现故障，通过事件关联分析，并结

合问题管理，实现快速定位故障根源、快速预防和恢复，从

而提升IT运维响应能力，变被动式管理为主动式运维，使IT

运维工作从事后“救火式”管理转变到事前预防型管理。

6.3.流程管理模块建设

IT运维管理涉及的对象包括设备、技术和人员。其中，人是

IT运维生产力决定的因素。如何有效实现设备、技术和人员

的统一管理，如何实现人的组织和行为的科学化和规范化，

需要IT运维流程管理。

IT运维工作本身具有工作量大、全面、繁琐和复杂的特点，

通过有效的IT运维流程管理平台，既可以梳理工作流程，又

可以理顺部门之间和人员之间的职责关系，达到标准、规范、

统一和科学的运维，保证IT运维工作无论是整体和全局，还

是细节和局部，都能有效推进，避免IT运维工作的无序和混

乱。

12/28

IT运维监管控一体化解决方案

IT运维流程管理通过建模，提高流程的可控性。同时，IT运

维流程管理提高IT运维管理和执行工作的透明度。传统手工

运维流程的不可控性和不透明性给流程定制、管理和优化带

来相当大的困难，而IT运维管流程管理可以帮助IT运维部

门一目了然地看到整个流程的全局和各运维工作节点的状

况。

通过标准化的IT运维流程管理，可以不断提高IT运维工作

质量，提升企业内外的IT服务满意度。

电子运维流程管理系统定位于通过电子化手段来确保运维工

作的流程化、工单化、自动化和信息化，实现对流程的实时

监控与闭环管理。

6.4.自动化操作模块建设

在IT运维工作中，存在着大量和重复的劳动，如补丁安装、

合规检查、配置收集、日常巡检等。计算机的一个重要特点,

就是可以帮助人类完成大量的、重复的劳动。自动化运维，

就是人类在IT运维工作中具体操作层面的计算机化。

通过自动化运维：

实现批量处理，高效、快速工作；节省人力，降低人

力成本；

13/28

IT运维监管控一体化解决方案

将有限的IT运维人员解放出来，避免大部分时间和精力

是处理简单的、大量的、重复的问题和工作，而是更多时间

和精力关注如何提高和保障IT运维；技术知识和操作脚

本共享，运维操作精确化、同质化、优质化、规范化、统一

化，避免运维工作中操作质量依赖于个体人员的知识、技术

水平、工作责任心和态度等不可控因素；

实现转变：以前运维工作更多依赖于“运维英雄”和埋头

苦干型员工，现在更多依赖于运维集体的力量；

交由计算机操作，可以避免人工误操作导致的逻辑错误；

实现运维操作简约化、透明化、规范化、标准化，有利于

事前审核和事后检查。

6.5.CMDB建设

6.5.1.CMDB战略核心地位

作为ITIL/ITSM（IT服务管理）的核心，CMDB正从管理软件附

属品的地位逐渐走入主流的战略核心地位。

企业的IT环境越来越复杂，数量庞大、品种繁多。信息散布

在企业的不同地方、不同系统中，而且信息的格式、内容也

是千差万别，难以统计、查询、利用这些信息，由此给使用、

更新、维护、优化等管理工作造成了很大的麻烦，如何快速

提供准确的配置信息是一个重大的挑战。

CMDB储存与管理企业IT架构中设备的各种配置信息，它与所

有服务支持和服务交付流程都紧密相联，一方面支持这些流

程的流畅运转、发挥配置信息的价值，同时依赖于相关流程

保证数据的准确性。CMDB常常被认为是构建其它ITIL流程的

基础而优先考虑，ITIL项目的成败与是否成功建立CMDB有非

常大的关系。

CMDB是描绘IT基础设施如何构建的一个蓝图，它记录了各种

各样的配置项（即硬件、软件、事故、协议、服务级别、文

档、部门、人员等资源）是如何相互关联的、以及各个系统

是如何发挥作用的。

CMDB与传统的资产库有着根本的差别。资产库是一个存储企

业所有资产的数据库，而CMDB不仅仅存储所有IT元素，更

重要的是可以展示它们之间的相互关联，从而帮助企业了解

IT资产的运行状态是什么样子，它对企业业务有什么影响等。

14/28

IT运维监管控一体化解决方案

IT环境视图清晰地展现了各种IT设备、其属性以及相互关系;

业务视图可以让每个人员明确，业务运作模式是什么样，不

同业务关联到哪些设备，每个设备的故障影响到哪些业务等。

6.5.2.CMDB建设方法

CMDB是一个特殊的数据库，它必须拥有4个至关重要的功能:

联邦性：是指CMDB能直接获取多种数据源并与数据源联

系在一起；协调性：能够避免重复，并对来自不同数据

源的配置项进行自动匹配；同步性：即确保整个系统中

的信息是同步更新的；可视化：即可提供配置项(Cis)的

端对端及层次化视图。

CMDB有两种，一种是物理的数据库，要求客户把全部配置项

都拷贝到物理数据库里面去；另一种是虚拟的数据库，如M0

的CMDB,不要求客户把全部配置项都拷贝到物理数据库里，

只维持关联关系就可以。

物理型CMDB数据库：存在两个问题：其一，不同数据库中的

数据要全部无冗余地拷入CMDB,存在一定困难；其二，不同

数据库中的数据也是不断地更新，要想同时把变更之后的数

据传递给物理型CMDB,会带来网络流量方面的问题，也很难

做维护。

虚拟型CMDB：通过指针索引的方式去获得其他数据库里的配

置项信息，不存在以上两个问题。但是，虚拟性CMDB需要

人工梳理和比对大量的关联关系，并不断更新。

CMDB通常采用三种实施方法：自上而下、自中而上、自下而

上。每种方法对现有配置数据的实施要求在范围和程度上都

不一样。

自下而上的方法：也就是从底层开始，首先查找企业内的

所有CI（配置项），着手建立一个大的数据库，然后查找CI

之间的关联关系和对业务的影响。这种方法往往要花几年时

间才能完成。

自上而下的方法：就是从小的局部系统开始实施，比如信

贷核心系统，从这个业务开始着手，然后把底下与此业务相

关的所有IT元素全都关联过来。这样的好处是可以在比较短

的时间内即一个月做出一个完整的CMDB,而不需要花若干年。

自中而上的方法：就是采用折中方法建立CMDB,它是通过

在企业建设过程中，将逐步形成的分散的、独立的、自身需

要的信息资源库在CI层面上进行逻辑联邦和同步，建立起虚

拟的CMDBo

15/28

IT运维监管控一体化解决方案

自中而上的方法，可以帮助用户在短时间内建立起企业内需

要的CMDB。CI信息全面，同时见效快，既避免大规模的CMDB

建设的时间长、见效慢的缺点，也避免了单点突出建设CMDB

的CI范围狭窄、完整度不足的缺点。

具体建设CMDB时，需要从两个层面来实施:

一是采集基础数据。要通过适配器把数据采集上来，然后

放到一个大的数据库中。

二是建立业务视图和业务影响分析。业务视图反映业务流

程运作的情况是不是正常，有没有问题等。这需要按照业务

性质、业务流程等建立模型。

通过建模工具，建立描述业务流程的树状模型，模型上的每

个结点上把每个配置项(CI)的影响以及相互影响放在上面,

一旦某个配置项出现问题，图上就可以实时反映出来。为了

建立业务视图，IT部门需要得到业务部门的大力支持。

6.5.3.CMDB建设保障

企业在实施ITIL项目的时候，配置管理常常被视为项目的软

肋，费时费力，却事倍功半。究其原因主要是因为企业在建

设CMDB(配置管理数据库)的时候，往往不知所措，耗费了

大量的人力和时间收集各类IT基础架构信息，最后得到的却

是一个极其复杂而难以维护的“IT基础架构信息库”。这与

ITIL描绘的配置管理是企业实践IT服务管理的基础或核心，

为ITIL其它流程提供基础信息的关键地位相去甚远。正确来

构建CMDB,必须有如下保障：

制定配置管理政策

IT运维管理政策，是指导和规范IT运维管理的行动指南和共

同纲领。它使企业在认识上形成统一，减少了不必要的沟通

成本，并使企业在流程执行上事半功倍。对于构建CMDB而言，

主要有以下两类政策：

宏观政策，主要是涉及公司或IT部门层面指导性、方向性的

政策，其目标是在企业内部形成统一认识。如：企业IT内部

应当使用统一的配置管理流程，并且使用标准的文档记录和

汇报机制。

运营政策，主要涉及到流程目标、人员、输入、输出、活动

以及KPI（关键绩效指标）等各要素以及流程之间相互协调、信

息交互方面的指导原则，其目标是使流程能够在政策的指引

下稳健、有效地执行。

确定配置管理的范围

16/28

IT运维监管控一体化解决方案

政策的制订定为企业构建CMDB营造了良好的环境，配置管理

范围的确定才是企业构建CMDB的真正开始。配置管理的范围

主要指的是CI的宽度和深度，以及CI的生命周期。（注：ITIL

所提到的配置管理范围主要指的是CI的宽度和深度，CI的生

命周期ITIL认为是从CI的接收到最终的报废退出，但在实

施过程中，由于流程管理主体的差异化，对CI管理的生命周

期的划分也有所不同。）

6.5.4.构建CMDB模型

有了CMDB建设保障之后，可以来梳理配置项信息及其关系，

从而设计出CMDB模型蓝图，主要包括以下步骤:

定义配置项的关系

配置项(CI)之间关系的定义也是配置管理建设和IT资产管

理建设的区别点之一。可以采取两种方法进行具体的梳理工

作，一种是“自上而下”；另一种是“自下而上”。

“自上而下”方法一般要求企业已经明确了对外提供的服务

目录，然后基于服务目录按照“业务服务一一》IT服务一一》

IT系统一一》IT组件”的顺序进行梳理。

顾名思义，“自下而上”方法是“自上而下”方法的逆向过

程，企业先从对内部IT组件关系进行梳理的过程开始，然后

逐步将IT组件映射到IT服务。相对来说，当前“自下而上”

的方法适用范围更广。

定义配置项的属性

在构建CMDB的过程中，除了构建配置项(CI)关系外，还需

要为每个配置项(CI)定义属性。

设计IT服务模型蓝图

最后，构建一份IT服务模型蓝图。蓝图主要起到了两个作用，

一方面它是对当前企业CMDB建设工作成果的验证;另一方面,

它也是对将来企业改进和完善CMDB建设方向的一种指引。通

常蓝图中应该包括以下内容：判断CI的标准；定义CI属性、

关系的准则；持续改进方案和过程；当前的IT服务模型等。

CMDB旨在存储与管理企业IT架构中设备的各种配置信息，有

别于传统的数据库。CMDB作为统一的配置管理库，必须全面、

细致而准确地记录和保存各种软硬件配置信息，以便支撑事

件、问题、变更、发布等各种ITSM流程，成为整个IT运维

管理的基础。

17/28

IT运维监管控一体化解决方案

6.5.5.避免CMDB建设误区

CMDB建设是一项“意义大、投入大、见效缓”的地基工程。

需要明确系统定位和理清功能的前提下，应该确立并坚持以

下原则：

应用场景决定管理粒度和幅度；数据维护紧密结合

ITSM流程；自动采集作为数据核查手段；专题应用

带动数据维护；

配置项关系呈现直观化作为系统特色。

基于了上述原则，才能避免CMBD建设陷入数据“维护难-

消费少-不准确-消费更少”的恶性循环，才能把项目

带到了实用、有效阶段。

在CMDB建设和应用中，必须注意基础数据准确性的问题。如

果用户保存了基础资源配置数据，但是存在较大的不规范、

不全面的问题：设备的厂家、型号不规范，不符合系统要求;

资源之间的关联关系缺乏，无法有效支持IT运维管理。

必须认识到，系统功能加上基础数据等于系统能力，系统能

力加上频繁使用等于业务成效。如何保证数据质量，使系统

成效发挥出来，避免功亏一簧，是CMDB建设中不可忽略的问

题。

6.6.模块之间接口实现6.6.1.监与管之间的接口

网管监控模块与流程管理模块之间的接口，主要体现为某些

满足预定条件的告警自动触发生成电子工单，进入流程管理

模块。

因此，如何实现监与管两个模块之间的接口、数据的转换和

正确、准确和全面地确定触发条件，是设置此接口的关键之

处。

如果未能正确设置触发条件，则会导致错误工单的产生，如

工单类别错误。

如果未能准确设置触发条件，则会导致工单内容的不准确，

如责任人或责任部门的错误。如果未能全面设置触发条件,

则会导致漏派发工单。

工单中的信息与告警中包含的信息既有交集，又有转换和有

所区别。工单的故障信息内容和描述来源于告警信息，但是

告警信息应用于网管监控层面，是为了全面准确反映监控结

18/28

IT运维监管控一体化解决方案

果，描述故障现象。工单信息是应用于流程管理平台，是为

了描述故障、界定责任范围、规范工单流转、跟踪工单等目

的。

6.6.2.管与控之间的接口

IT流程管理的最终目的和效果反映在对运维操作的指导上，

而对于批量的、重复的运维工作，可以高效、优质和规范化

地通过自动化运维操作来实现。借助于IT“监管控”一体化

运维平台，其中的流程管理和自动化运维操作模块之间的接

口，运维部门和人员可以预先设置过滤和触发条件，根据工

单信息，关联个别的自动化运维操作脚本。

因此，，如何实现监与管两个模块之间的接口、数据的转换和

正确、准确和全面地确定触发条件，是设置此接口的关键之

处。

如果未能正确设置触发条件，则会启动不必要的自动化运维

操作，造成严重后果。如果未能准确设置触发条件，则会导

致非预期的自动化运维操作。如果未能全面设置触发条件，

则会导致遗漏预期的自动化运维操作。

6.7.报表系统

专业的IT运维报表可以准确、系统地反应IT信息系统运行

状况和IT运维管理状况。对IT基础架构、业务系统运行走

势和IT运维工作本身进行分析，反应目前整体现状，发现趋

势和潜在问题，采用科学的手段完成评估，指导现在和未来

的IT环境建设，促进后续工作的展开。包括:

事件类报表告警类报表问题报表配置报表

工单类报表，，，，

报表提供订阅的功能，对于用户订阅的报表，将定期自动生

成html文件发送到用户邮箱中，方便用户查看。

用户也可根据需要选择将报表转换为pdf等其他格式。

19/28

IT运维监管控一体化解决方案

7.IT运维一体化特点

7.1.监管控一体化整合

采用portal技术架构，克服了基础架构监控、运维服务管理

和自动化操作运维的人为分割，实现集中管理、统一展示、

统一配置、随需定制、分权使用。

7.2.层级化展现平台

以业务监控为中心，以事件为基础，将基础资源监控与业务

服务贯穿在一起，建立从整体到局部、从宏观到细节的不同

颗粒细度的层级化IT运维视图，以满足不同部门、不同级别

领导和运维人员的关注层面和工作需求。

7.3.综合事件管理平台

各类基础架构的故障、性能、配置事件汇总并通过规则策略

库和服务依赖模型，提供全面、及时、准确的、高效灵活的

事件压缩、过滤、关联能力。

7.4.全方位IT资源管理平台

自动发现的IT资源数据库（RDB）与流程管理配置管理库

(CMDB)的定期同步，实现资源管理数据的整个生命周期的

管理。

7.5.面向基础设施

全面的系统资源管理：提供对网络、主机、存储设备、安全

设备、数据库、中间件及应用软件、机房环境等IT资源的全

面监控管理。

智能化的故障管理：自动收集、过滤、关联和分析各种管理

功能产生的故障事件，实现对故障的快速定位和处理。

性能管理与优化:对网络和业务应用等IT资源的性能进行监

控，定期提供性能报表和趋势报表，为IT环境性能优化提供

科学依据。

7.6.面向维护管理者

运维服务管理：将人、技术与流程进行有效地融合，实现日

常运维工作的自动化、信息化和标准化。

202128

IT运维监管控一体化解决方案

智能总控中心:实时展现当前企业IT系统的运行状态及趋势，

帮助管理人员快速发现问题，分析和确定问题所在。

知识库：自动实现运维知识的积累、沉淀和共享，从而降低

IT运维管理对个人的依赖。

7.7.面向领导决策者

综合报表：对系统运行状况的信息进行汇总，帮助领导更全

面的了解网络系统的运行状况和趋势，为领导决策提供科学

依据。

绩效评估依据解决：借助自动生成的各种工作记录，领导可

对运维人员的绩效进行客观的评估

8.IT运维一体化系统功能

8.1.信息门户

IT运维一体化系统应该基于WEB实现，提供统一的portal信

息门户平台，可以呈现各类发布信息，和各项IT运维工作的

统一入口。同时提供个人工作室功能，不同用户可根据日常

使用各项功能的频次自行定义工作桌面，为操作者迅速进入

各项功能模块提供快捷手段。

个人桌面管理待办事宜已处理事宜日程安

排工作计划及总结个人收藏夹任务管理便

笺管理等

8.2.事故管理

事故管理负责记录、归类和安排专家处理事故并监督整个处

理过程直至事故得到解决和终止。事故管理的目的是在尽可

能最小地影响客户和用户业务的情况下使IT系统恢复到服务

级别协议所定义的服务级别。

21/28

IT运维监管控一体化解决方案

8.3.问题管理

当事件在第一时间没得到及时解决，就进入问题管理程序。

问题管理的重要性：通常80%的服务品质下降都是因为2021

问题，所以专注与2021问题解决可以大大的提升服务。

问题管理的目标：将IT基础设施内的错误引起的事故和问

题对业务的负面影响减到最小，并防止与这些错误相关的事

故再度发生。为了实现这个目标，“故障管理”力求找到引

发事故的根源，然后才着手改善或纠正该情况。

问题管理流程具有被动和主动两个方面：

被动方面是作为对一个或多个事故的反应而解决问题。问题

分析方法：定义问题；

按个体、地点、时间以及范围大小描述问题；

建立可能的原因；

测试最有可能发生的原因；

验证真正的原因。

主动“故障管理”是指通过趋势分析和定期的事件统计表，

在事故发生前确定并解决问题和已知错误。

8.4.变更管理：

变更管理流程的目标：确保利用标准化的方法和规程有效、

及时地处理所有变更，以便将由变更引起的事故对服务质量

的影响减到最小或将事件数减少，并因此改进日常运维。

最常见的是终端用户提出的请求，其中有些是系统改进或增

加功能的请求，有些是常规变更（如帮新进人员建立新的账

号），有的可能是系统出错，这在IT中通常称为事件，如果

是系统出错就要找出原因和解决步骤，才能进入到变更管理

的第一步：RFC提出变更请求，变更请求应该包括（RFC编号、

问题编号、那些配置项需要改变、变更的理由、如果不变更

会造成的影响、变更人的联系方式）；变更管理员负责监督变

更从提出到解决的整个过程记录进CMDB、对变更请求进行过

滤；同时提交变更到公司指定的变更管理委员会批准。变更

管理需要有准确的CMDB配置管理数据库，对变更进行分析。

22/28

IT运维监管控一体化解决方案

8.5.发布管理

发布管理是指对经过测试后导入实际应用的新增或修改后的

配置项进行分发和宣传的管理流程。发布管理以前又称为软

件控制与分发，它由变更管理流程控制。

8.6.配置管理

在上边的变更管理中，我们提到当一个RFC进入变更程序的

时，管理员和CAB需要有一个方法评估变更可能造成的影响,

而评估需要的相关信息需要一个机制来提供，这个机制就是

配置管理。

配置管理的目标是：

a.对公司内部的所有IT资产和配置及其服务作出说明

b.提供有关配置及其记录的准确信息以支持所有其他的“服

务管理”流程C.为“事故管理”、“故障管理”、“变更管

理”和“发布管理”提供坚实的基础d.对照基础设施验证

配置记录并纠正任何异常情况

8.7.工单管理

提供电子化工作流程和工作人员的考核依据，实现运维工作

管理的科学化、规范化和自动化。支持工单流程的自定义，

方便配置成适合特定用户需求的流程管理平台。

基于工单的流程管理是流程管理模块的核心功能。工单管理

有三个来源入口：监视模块：网管监控系统发出告警，

满足预先设置的过滤等条件触发产生工单，送转到流程管理

系统。

领导派单；服务台报单。

8.8.作业计划

作业计划模块主要实现针对各类运维作业计划工作的电子化

管理，包括作业计划大纲管理、作业计划管理、月度作业计

划、周作业计划、日作业计划等管理等模块。用户根据下发

的作业计划大纲，进行作业计划模板定制和模板管理，再使

用作业计划管理模块制定计划、月度计划、周计划和日计划。

本功能模块主要包括如下功能：

大纲的制定、查询、修改计划的建立、查询和审核

23/28

IT运维监管控一体化解决方案

月度计划的建立、查询和审核基于模板的作业计划制

定待执行作业计划提醒作业计划执行情况考核

作业计划执行情况统计分析

8.9.值班管理

值班管理功能模块主要实现统一的机房电子化值班管理，将

排班安排、值班日志、交班记录、维护作业记录，以及由各

项维护规程和管理办法中确定的周期性维护作业计划等任务

集成至该系统中，使得当班人员能够准确、高效地完成各项

维护任务。值班管理具有以下功能：

电子化排班：排班任务制定后值班人员直接收到排班结

果；值班机房配置：支持对所有机房值班相关数据的灵

活配置；

值班信息管理：故障巡查、线路巡检、网管巡查等值班数

据信息的自动记录；交接班管理：交接班人员通过本系

统进行交接班，并自动记录交接班日志；值班日志管理:

对值班日志提供查询统计功能。

8.10.考核管理

结合用户的运维考核制度和考核办法，根据系统对日常运维

工作的自动记录，考核模块能够实现对作业计划、工单调度、

值班、代维等工作的考核管理功能。

8.11.代维管理

代维管理：针对行业特点和企业实际，增加代维管理。很多

企业为了更让自己关注自己的核心业务并提高IT运维水平，

而将自己的IT运维工作或者部分IT运维工作外包给更专业

的第三方。因此，有必要规范外包方与承包方之间的关系和

管理，包括工作内容、工作量的考核。

代维管理通过电子化平台实现与代维公司之间的联系，将代

维公司的日常工作与用户的管理流程结合起来。由此实现对

代维工作的规范化和高效的管理，同时建立代维公司的考核

机制，实现优胜劣汰。

代维项目管理

24/28

IT运维监管控一体化解决方案

代维合同管理

代维公司、代维队、代维人员管理代维工作计划

代维记录代维报告代维问题跟踪代维考核

8.12.知识管理

经验库管理：保存故障分析、问题分析经验或分析系统问

题产生的原因等知识，为操作人员在解决各类问题时提供必

要的经验或知识支持的专家经验系统。资料管理：运用

电子化手段对包括备品备件、各专业日常操作维护资料、运

维人员资料、相关部门资料等信息进行添加、修改、删除、