由于IT业务系统的不断发展以及安全级别的不同要求,企事业单位用户的各种应用系统被部署到不同安全级别的网络中。各安全域之间通常使用物理隔离,安全域之间的访问必须通过隔离墙进行严格的安全审核。
各类信息系统给业务工作带来便利的同时,也面临系统安全、故障定位、信息监控等新的挑战,需要建设一套IT集中管控系统进行统一监控,以便节省人力管理成本,增强系统的稳定性、可用性和安全性。OneCenter统一运维解决方案,可穿越隔离墙,为企事业单位用户提供跨越安全域的统一运维平台,全面提升对IT资源的动态可视化能力、运行维护能力以及持续优化能力。
OneCenter统一运维解决方案,通过分布式部署架构将数据采集器部署到不同安全域中,分布式采集各安全区域IT资源信息数据, 同时利用隔离墙穿越技术将各个区域IT资源信息数据传送到数据处理层DHS,并对数据进行统一管理和展现。
湖南电力隔离墙方案
在湖南电力的网络环境,内网和外网被单向隔离墙设备物理隔离,只能从内网到外网发送数据,而不能从外网接收数据。
湖南电力网,隔离的特点是可以直接从内网建立到外网的单向TCP连接。根据该特点,勤智运维规划了系统的部署结构。
首先,将数据库、Portal和2个DHS部署在Ⅲ区;
其次,在Ⅲ区部署DCS3,其数据发送到DHS2;
最后,在Ⅰ区部署DCS1,数据发送到DHS1;在二区部署DCS2,数据也发送到DHS1。
如下图所示,箭头表示数据流动:
为了能够操纵DCS的监控配置,勤智OneCenter在DCS上提供了一个简易的页面,用来在DCS上做资源发现、策略修改和拓扑发现。这些配置结果,都会通过隔离墙的单向通道,发送到Ⅲ区的隔离墙DHS上。
公安系统数据隔离处理技术方案
在公安系统运维项目中,网络之间隔离通过隔离墙、防火墙等一系列软硬件部署实现。勤智运维将这一系列隔离措施,称之为隔离墙服务。
该项目技术方案不能简单通过建立单向TCP连接的方式,将勤智OneCenter系统组成一个整体。通过沟通,公安项目组提供了一个第三方厂商的数据边界服务。该服务负责将不同网段FTP服务器上的文本数据进行跨网段传输。数据边界服务对于勤智OneCenter系统是透明的,它会每隔1分钟进行一次数据同步。如下图:
该方案至少需要在公安网搭建一个FTP服务,然后在其它每个隔离的网段搭建一个FTP服务。为了简化部署,并且降低数据传输实现的难度,勤智运维决定采用DCS+FTP 服务和隔离墙DHS+FTP服务的方式,即DCS和FTP服务部署在一台服务器上,隔离墙DHS和FTP服务部署在另一台服务器。
因此,DCS和DHS以本地文件作为数据处理的媒介,而这些文件被数据边界服务进行同步。
网络部署结构图
OneCenter统一运维解决方案优势:
1、可根据隔离墙的传输能力灵活调整单次跨越安全域传送的信息数量;
2、完全意义上的分布式架构,各区域数据可以完全隔离,业务系统监控稳定好;
3、无需代理Agent,统一数据库管理,部署灵活,扩展性强。
推荐阅读
阅读原文:http://mp.weixin.qq.com/s?timestamp=1509003803&src=3&ver=1&signature=*J8TBOttyjIwyy91Nkq2dEMiDOZ-jO6tra7X6Ab9-c2PxiilNVkYrMzW6G2*-GBw320xMro4ZWeLBG2DYq4cJjpOaCOr1qvpi*wXKwQ4f7ZS1M8rZlLNoo6GyEGi*2msUn2zebmTHvI8VgQHfvO3COXvD0b*OKD5X9wYeJamsdE=&devicetype=Windows-QQBrowser&version=61030004&pass_ticket=qMx7ntinAtmqhVn+C23mCuwc9ZRyUp20kIusGgbFLi0=&uin=MTc1MDA1NjU1&ascene=1