《网络世界》报社 · China Network World

勤智运维:电力行业和公安行业隔离墙技术方案

2017年11月06日 15:13:16

作者:wens

来源:互联网

作者:刘士英、胡晓丽

由于IT业务系统的不断发展以及安全级别的不同要求,企事业单位用户的各种应用系统被部署到不同安全级别的网络中。各安全域之间通常使用物理隔离,安全域之间的访问必须通过隔离墙进行严格的安全审核。

各类信息系统给业务工作带来便利的同时,也面临系统安全、故障定位、信息监控等新的挑战,需要建设一套IT集中管控系统进行统一监控,以便节省人力管理成本,增强系统的稳定性、可用性和安全性。OneCenter统一运维解决方案,可穿越隔离墙,为企事业单位用户提供跨越安全域的统一运维平台,全面提升对IT资源的动态可视化能力、运行维护能力以及持续优化能力。

OneCenter统一运维解决方案,通过分布式部署架构将数据采集器部署到不同安全域中,分布式采集各安全区域IT资源信息数据, 同时利用隔离墙穿越技术将各个区域IT资源信息数据传送到数据处理层DHS,并对数据进行统一管理和展现。

1.jpg

湖南电力隔离墙方案

在湖南电力的网络环境,内网和外网被单向隔离墙设备物理隔离,只能从内网到外网发送数据,而不能从外网接收数据。

湖南电力网,隔离的特点是可以直接从内网建立到外网的单向TCP连接。根据该特点,勤智运维规划了系统的部署结构。

首先,将数据库、Portal和2个DHS部署在Ⅲ区

其次,在Ⅲ区部署DCS3,其数据发送到DHS2;

最后,在Ⅰ区部署DCS1,数据发送到DHS1;在二区部署DCS2,数据也发送到DHS1。

如下图所示,箭头表示数据流动:

2.jpg

为了能够操纵DCS的监控配置,勤智OneCenter在DCS上提供了一个简易的页面,用来在DCS上做资源发现、策略修改和拓扑发现。这些配置结果,都会通过隔离墙的单向通道,发送到Ⅲ区的隔离墙DHS上。

公安系统数据隔离处理技术方案

在公安系统运维项目中,网络之间隔离通过隔离墙、防火墙等一系列软硬件部署实现。勤智运维将这一系列隔离措施,称之为隔离墙服务。

该项目技术方案不能简单通过建立单向TCP连接的方式,将勤智OneCenter系统组成一个整体。通过沟通,公安项目组提供了一个第三方厂商的数据边界服务。该服务负责将不同网段FTP服务器上的文本数据进行跨网段传输。数据边界服务对于勤智OneCenter系统是透明的,它会每隔1分钟进行一次数据同步。如下图:

3.jpg

该方案至少需要在公安网搭建一个FTP服务,然后在其它每个隔离的网段搭建一个FTP服务。为了简化部署,并且降低数据传输实现的难度,勤智运维决定采用DCS+FTP服务和隔离墙DHS+FTP服务的方式,即DCS和FTP服务部署在一台服务器上,隔离墙DHS和FTP服务部署在另一台服务器。

因此,DCS和DHS以本地文件作为数据处理的媒介,而这些文件被数据边界服务进行同步。

4.jpg

 

网络部署结构图

OneCenter统一运维解决方案优势:

1、可根据隔离墙的传输能力灵活调整单次跨越安全域传送的信息数量;

2、完全意义上的分布式架构,各区域数据可以完全隔离,业务系统监控稳定好;

3、无需代理Agent,统一数据库管理,部署灵活,扩展性强。

关于“勤智运维”:勤智(北京)科技有限公司,是勤智数码旗下独立运营运维业务的子公司,专业提供运维产品和方案,简称“勤智运维”。作为ITSS副组长单位,“勤智运维”十多年来为教育、政府、金融、电力、互联网、能源、通信、医疗、交通等20多个行业的1000多个企业用户提供了优质的IT运维方案和服务。

OneCenter一体化智能运维管理平台,以统一运维为基础,以Hadoop+Spark大数据分析为核心,提供基础监控、视频监控、应用监控分析、云平台管理、动环监控及可视化3D机房管理、第三方系统平台集成等运维管理方案,是勤智结合国内外ITSS/ITIL/ISO 20000等IT标准和最佳实践,自主研发的一体化智能运维管理平台。


0人觉得很赞
Copyright©cnw.com.cn,All rights reserved 京ICP备05036515号-1 京公网安备:11010802013170号 cnw.com.cn版权所有,未经许可不得转载和复制 意见留言板