运维安全审计
配置运维审计整体解决方案
目录
1. 概述 (3)
2. 解决方案介绍 (4)
2.1业务目标 (4)
2.2解决方案 (4)
2.3方案亮点 (6)
3. 典型应用场景 (7)
1.概述
据权威机构统计，80%的系统和系统故障与配置的漏洞和变更有关；在有计划的系统变更中，有60%的系统故障因系统配置的缺陷引起。

系统的配置指挥着系统如何的运行，如果配置出现差错，系统故障是随之而来的。

但是，面对各类繁杂、数量众多的IT设备，如何才能高效、合理的管理设备和应用的配置却不是一件简单的事情。

主要体现在如下几个方面：
●很多同类型的设备需要重复性的去配置，每次巡检的时候，需要人工进行逐一核查。

效率低下，而且极易出错。

●设备数量和类型众多，配置文件的存在形式，操作方式，配置项目都不一样。

管理起
来非常的复杂。

●配置的变更如何控制？如何检测非法的配置变更，管理人员也没有一个完整的视图来
观察设备配置的变化情况，变化趋势。

●配置的备份都放到管理员自己的电脑上，特别是多人配置的时候，会有不同的配置版
本出来，当出现故障进行恢复的时候，一是都找不到最后正常运行时候的配置文件。

●行业法规，企业法规的遵从上，也无法进行定期的检查。

●设备的配置效果如何，是否存在安全上的漏洞，新的漏洞发布了后，涉及到配置上的
更改是否及时进行了。

都无从强制的贯彻下去。

秉承着”客户的困难就是我们的困难，客户的成功就是我们的成功”的理念，我们推出了IT设备与系统配置管理的方案。

本解决方案可以帮助您建立集中的自动化管理平台，实现对服务器，IT系统，应用的统一操作和管理，有效的减低认为操作的失误，保姆式的监控和管理IT系统的配置状况和对系统设备配置的非法操作，配置的合理性等多个方面。

它针对各种开放平台（Windows, AIX, HP-UX, SUSE, Redhat, Solaris 等），中间件，网络设
备，应用提供一站式的配置管理服务，实现完整生命周期的自动化管理。

2.解决方案介绍
2.1业务目标
通过实施本方案，你可以从如下几个方面获得收益：
效率：提高你工作的效率，通过本方案的实施，您可以大大的节省平时设备管理员的日常
工作。

可以支持做日常的设备巡检，集中制定策略并批量配置设备，大大减轻运维的重复性工作，轻设备运维人员的压力，可以节省您在这部分人力投入的50%的工作量。

管理：规范了设备的管理方式。

作为企业和组织的设备负责人，您能非常清晰的看到谁，
什么时间，对您的那些设备和系统，做了哪些操作。

和监控系统进行结合，可以整合分析有多少事故是由于我们对设备和系统的误操作造成的？另外，通过本系统可以对各种设备的配置做到强制策略执行，将领导和专家的规范，行业的先进管理经验贯彻下去。

并定期做符合性的检查。

风险：当设备出现故障的时候，您可以很快的调用备用设备，直接导入以前的设备，使其
快速的恢复到故障之前设备运行的状况。

在设备进行配置的时候，通过HAC做到细颗粒的权限控制，并对整个过程进行全面的审计。

2.2解决方案
本方案主要针对IT系统，设备，应用系统，中间件等IT基础单元的配置进行集中，智能管理的方案。

方案不仅能对设备的配置过程进行精细化的控制与审计，实现细粒度的配置权限管理，而且还能维护设备配置的版本，比对不同版本的历史差异，实现配置操作的可管，可控。

更能智能化的分析配置信息，分析配置的安全风险，对配置自动合规，发现非法修改配置，进行配置调优。

还能批量维护设备等自动化的功能。

使您的设备高效，安全的运行。

如下图所示：
图1 IT系统设备全生命周期配置管理方案
该方案将HAC堡垒机，配置审计系统进行无缝的整合。

有效的解决您对系统和设备配置管理上存在的困惑。

每个产品各司其职，发挥自己的特长，又互联互通，紧密协作。

他们共同结合，可以很完美的完成对整个设备和系统的配置的管理：
配置过程的管控
HAC侧重与设备配置活动的管理，实现一个对设备进行配置的运维管理的操作平台，管理员对设备的操作过程都在HAC的管控之下，给对整个操作的过程进行完整的审计。

是一个面向配置过程的管理工具。

配置的分析：
配置审计侧重于配置的结果的分析与管理，对当前运行之中的配置信息进行详细的分析，并对不同时期设的配置变化进行详细的跟踪与追溯，并对每个时期的配置进行快照，以便在必要的时候进行配置的修复，也供台分析管理对象配置变化的规律，配置的合规性，配
置的弱点和错误。

在有了分析结果后，还可以结合知识库，给出改进的建议。

配置的自动化
随着IT设备越来越多，很多管理员都管理大量的设备。

有些配置其实大同小异，但由于没有一个集中统一的地方，管理员往往都是登录到每台设备上进行重复的配置。

通过配置审计的自动化配置功能，可以一次配置多次使用。

一来提高了配置的效率，而且也减少了出错的可能性。

非法配置变更的监控
配置审计系统能实时的监控配置的变化，并且和配置变更管理流程相结合。

监控非法的配置的修改。

2.3方案亮点
统一强大的配置分析引擎。

能全面分析配置错误，配置弱点，配置合规。

并结合知识库，
给出相关的配置设置建议。

丰富而细致的配置模板库。

从服务器，应用系统，网络设备，数据库，中间件等对象到
配置文件到具体的配置项，达到异常精确的控制能力。

细粒度的基于角色访问控制：两权分立、三重授权，可以对配置文件及配置项进行分割
的授权。

与流程平台紧密集成。

高精细粒度及高度可视化。

对配置操作的过程和结果相结合，进行全面，细致的管理。

图2 整体监控配置
3.典型应用案例
如下图所示：某单位中心机房通过专线连接到各分支机房，可以通过配置审计，直接管理分支机房的设备和数据库，操作系统的配置。

其中分支机房1又作为DR容灾机房。

在上配置审计设备之前，他们对整个网络中的设备和系统的配置是这样管理的：
1.网络管理员小王每天通过脚本手动的备份配置到一台固定的机器上。

给每天不同的配置
保留成以当天时间为文件名的不同文件。

并且将DR机房中的设备和数据中心中的对应设备的配置做比对，然后签名确认是否有问题。

光这项工作将花去小王2个小时的时间。

至于这些设备参数的配置，只要不出故障，他从来不关心配置是否合理，是否存在安全问题。

2.系统管理员小张，数据库管理员和王海做的情况大致也类似。

每天重复性的检查着这些
配置。

但他们的工作量要更大一些，因为数据库和应用的配置变更比网络设备来说要频繁得多。

3.何总负责整个集团的系统运维。

何总每天所看到是下属在工单系统上提交的关于系统维
护的申请，但并不真正的清楚系统的真是状况，配置是否高效，系统的稳定与否，是否还存在安全风险他并不是非常清楚。

换句话说，他大致知道现在的状况，对还存在哪些隐患，他没有全面的了解。

后来，在该企业部署了两台配置审计设备，以HA的方式运行。

完成如下几份工作：
●配置备份与非法变更监测：配置审计定期抓取全集团100台网络设备和安全设备，300
多台linux/windows/unix系统，50多台Oracle数据库的配置。

对配置的变更进行自动的侦测，并和以前的工单管理流程关联。

每次的变更和工单对应上。

预防了有人私自修改设备和系统的配置
●集中管理设备和系统：对配置备份到配置审计设备上，进行统一的管理。

控制配置审计
的权限，避免了敏感的配置信息外泄。

以前的方式基本上是在管理员电脑中或者某台服务器上。

●配置安全检查：对配置进行定期的安全检查，系统自动每天发送配置报表到何总邮箱，
让其了解目前设备的配置状况，变更历史与趋势，因何原因进行了变更。

安全加固的状况。

通过该报表，基本上何总对所有的设备和系统的更改情况，风险状况有一个全面的
了解。

●配置合规一致性检查：通过配置审计的资产组，对DR机房，HA的设备的配置的一致
性做检查。

保证了配置的一致性。

对生产网络和测试网络中的对应系统进行一致性检查，提醒管理员配置的差异。

●配置差异分析：当设备出现故障后，相关的管理员马上通过配置审计查看现有的设备的
配置和历史版本。

并且通过配置审计的配置对比工具，做详细的分析。

迅速的定位到故障源。

●基线管理：网络管理员设置策略，将最近一次成功变更的配置作为基线，现在的配置自
动和基线进行比对。

数据库管理员则根据集团的管理固定，将DB的配置要求设置成策略放到配置审计中，定期检查各分支机构的DB配置是否符合集团要求。

全局报表：监控和统计设备的变更次数，变更的频度，合规的程度，安全的风险。