运维4a平台系统技术规范书

'                    运维4A平台系统技术规范书一．平台基础功能1.统一身份认证功能：主要针对网络运维管理人员进行安全地统一身份认证。2.统一网络资源账号管理功能：主要针对所有网络设备资源进行统一账号管理。3.统一授权管理功能：主要解决运维管理人员在日常运维管理中进行设备资源操作的管理权限授权等事宜。4.统一审计功能：主要解决网络运维管理人员对网络设备日常操作中--日志类，视频类全程记录，便于日后审查管理等。5.运维工单功能：运维工单功能作为本系统附属需求主要解决网络管理中满足运维工单申报，审批等方面基本要求。运维4A平台旨在建立事前访问控制、事中操作监控、事后行为审计与分析的综合运维管理体系，将运维风险降至最低，一旦出现不当行为可以迅速告警并快速恢复故障，针对需要追究责任的事故可以迅速定位到责任人。二、基本需求：*部署简单方便，对我业务生产系统无影响。*有效结合传统操作方式，使各运维人员通过简单培训即可轻松使用，不影响日常操作。*用户操作记录全面且详细，便于审计员调阅。*配置操作尽量简洁。*提供不限于即时短信、邮件等多种报警方式。*支持静态密码、动态口令、数字证书等多种认证方式。三、基本原则：*先进性原则：提供一致的管理平台和管理界面，在IT异构环境中实现统一管理，实现分布式集中管理*开放性原则：能够提供标准的和开放的应用接口及开发工具，符合IT技术未来的发展方向*可扩展性原则：具有高度可扩充性，能随IT系统和企业业务的增长而增长，可与海关工单管理系统结合。 *安全性原则：对业务生产系统无影响*易用性原则：提供运行维护管理平台与工具，简单、友好的界面，进行直观的操作和管理，提供丰富准确的报表和统计数据四．平台系统硬件需求1.平台属于软硬一体化产品。硬件服务采用正规厂家生产的服务器进行特殊改造，嵌入相关功能软件，保障系统安全可靠。一般硬件服务器选用DELL、HP、IBM等品牌服务器。2.系统硬盘存储空间不得少于1TB，且支持多个冗余磁盘。3.要求系统为双电源设备4.系统通讯使用自适应千兆网卡。5.系统支持双机热备，并保证双机配置内容实时同步。五、系统平台功能及技术要求1.登录认证：运维审计系统应支持静态密码、动态口令、数字证书、ldap认证、radius认证等多种认证方式。2.协议支持：对RDP、VNC、X11、SSH、Telnet、Rlogin、FTP、SFTP、SCP等远程管理协议进行审计记录，支持实时会话监控、阻断，操作录像回放等功能。3.数据库支持：从协议层面对Oracle、SQLServer、DB2、Informix、Sybase、MySQL等数据库进行操作命令审计记录并可以对操作命令进行访问控制，支持实时会话监控，操作录像回放等功能。4.用户授权：授权方式应支持按资源账号和按资源授权等多种授权方式，并且支持细粒度授权可以对用户关联访问控制规则。5.操作系统支持：支持各类各种主流操作系统，如Windows、Linux、BSD、AIX、Solaris、HP-UX等；同时也支持各类网络设备，如Cisco、Huawei路由器、交换机，以及安全设备等。6.运维工具支持：系统应支持SecureCRT、SNetTerm、plsql、sqlplus、SQLServer2000QueryAnalyzer、SQLServer2005QueryAnalyzer、SQLServer2008QueryAnalyzer等客户端工具7.用户映射：能够根据账户映射实现代填和自动登录，实现基于实际用户的访问及权限控制。 8.命令管理：支持对危险命令的设置访问控制规则，可根据策略对危险命令进行实时阻断和拦截并及时告警。9.命令事中审批：对于关键指令可以事中审批，即对于实现设置关键命令运维系统能正确获取，获取后将这些命令自动发给审核人员，只有审核人员审核通过后才能在目标资源上执行。10.命令自动执行：可以实现设置要执行的命令，单点登录后系统自动执行这些命令。11.用户管理：可对不同的用户选用不同安全等级的认证方式，可对用户的访问设置控制规则，如对访问地点、访问时间等进行访问控制。12.密码管理：定时自动同步资源机密码，以及相应的密码策略定制功能。 13.账号同步：支持资源账号的双向同步，即提供资源账号与运维系统账号双向同步功能，可以将运维审计系统上的账号自动同步到目标资源上，同时也可以将对目标资源进行账号扫描，将扫描的账号自动加入到运维系统中进行管理，且不能安装任何插件。14.单点登录：支持系统资源的单点登录功能。15.运维流程管理：支持运维工单功能，实现运维操作流程化、规范化，并可以与海关的工单管理相结合。16.远程发布功能：支持发布机功能，可以将常用运维操作工具发布到一台主机上进行管理。17.透明登陆功能：字符协议（SSH、TELNET、RLOGIN）可以实现直接用终端工具登陆并实现审计要求。18.日志审计：系统能够完整的记录操作命令和操作结果，并且详细记录操作人、操作来源、操作时间等信息，方便日后的审计。19.日志检索：支持对日志记录的不限次数组合条件查询，高效快速检索；支持预定义查询模板。20.系统自身审计：系统应该记录对运维审计系统自身的关键操作，方便对运维系统本身进行审计。21.统计分析：支持图形，表格等形式的审计报表；支持定期的计划任务生成报表；支持符合用户需求的自定义报表功能。 22.安全管理：支持数字证书及动态口令认证方式对登录用户进行安全认证，采用SSH、HTTPS等加密管理方式。23.上传文件自动备份：支持上传文件的管理，自动备份上传的文件，文件被删除后也可查到。24.网络设备参数备份：运维审计系统支持定期对网络设备的参数进行定期备份，方便参数的恢复。25.系统管理：运维系统本身应该提供对自身的CPU、磁盘容量等进行监控，同时应该提供方便的运维方式对运维系统自身进行维护。26.高可用性：采用稳定的系统内核，硬件提供双电源，支持双机热备机制。27.系统部署：系统应是单臂（旁路）部署模式。28.并发性能：图形方式并发数应达到200个以上，文本方式并发数应达到500个以上'