一種設備遠程運維操作方法和裝置的製作方法
2023-05-18 07:58:26 1
專利名稱:一種設備遠程運維操作方法和裝置的製作方法
技術領域:
本發明涉及IT運維領域,特別是運維安全領域。
背景技術:
隨著信息化建設的深入發展,IT系統日益成為核心業務處理的關鍵基礎設施;為了保證網絡、伺服器、資料庫等IT資源的正常運行,當系統出現故障或潛在問題時需要對其進行定位,診斷,操作維護等。在目前的運行維護中,出於安全性考慮,一般都由專門的維護工程師在設備現場值班,或者至少是和設備在同一個內網中;現行模式基本限定了維護工程師的物理位置,要求維護工程師必須在設備現場或網絡附近值班,這直接導致維護工程師無法共享,為多個不同網絡的客戶設備進行值守,增大了運行維護的人力成本,同時也一定程度降低了操作維護的及時性;因為某些特殊情況下維護人員可能不在現場,就無法執行操作解決問題。同時,目前管理操作還存在下列問題:操作方式繁多,難以管理;多個運維工程師使用同一個系統帳號進行登陸操作,難以根據系統帳號確定誰做了操作;沒有足夠的技術手段,來約束工程師的操作行為;操作行為沒有記錄,操作審計的代價很高,當操作產生事故後,難以快速定位原因,難以取得證據。
發明內容
本發明提供了一種設備遠程運維操作方法和裝置,通過操作網關作為運維入口,可以讓系統帳戶和運維帳戶分離,降低了敏感信息洩露的可能性;可以讓運維人員遠程安全訪問異地客戶網絡,提升運維效率;可以實現操作審計,提高運維人員的責任意識,並在出現誤操作時為責任追究提供證據,促進管理規範化。本發明的目的通過如下方案實現:一種設備遠程操作方法,其主要步驟為:1)搭建操作網關,該網關連接設備所在內網和網際網路;2)在操作網關上添加設備管理信息,如設備名稱,IP位址等;3)在操作網關上設置操作參數,如操作方式(Telnet,SSH,VNC, JDBC等);4)在操作網關上設置操作人員信息,包括帳戶,密碼等;5)在操作網關上設置操作人員權限範圍,指定他能夠使用的操作方式和能操作的設備;6)操作人員在操作終端上登錄操作網關;7)操作人員點擊操作網關上的設備操作按鈕,發起操作請求;8)操作網關提取設備信息和操作參數,據此連接被管設備,通道建立後,操作網關將操作人員和設備連通,操作人員執行具體操作命令;9)操作網關記錄操作通道中的數據流,以備操作審計。本發明還提供了一種應用上述方法的裝置,該裝置包三部分:操作終端,操作網關和設備連接裝置。其中設備連接裝置負責將操作網關和被管設備進行連接,他可以是網線,也可以是串口線或多串口卡。操作網關包括資料庫,通道管理器,操作回放器,Web伺服器等。其中資料庫負責帳戶信息,設備信息,操作日誌等數據插入管理工作。通道管理器負責接收移動終端的連接請求,定位並連接要操作的設備,將操作終端和被管設備連通,記錄通道上傳輸的數據流以備操作回放,並對建立的通道進行管理。操作回放器能夠根據傳輸通道上的數據流反向合成人員操作並進行播放,不僅支持Telnet,SSH等字符流操作的回放,也支持VNC類視頻操作的回放。Web伺服器負責提供基於HTTP和HTTPS的Web交互。此外,根據本發明的實施例,本發明的操作網關硬體應為不低於內存4G,雙CPU配置的PC伺服器性價比最佳,不宜採用普通個人電腦。此外,本發明的操作網關宜配置1000M雙網卡。此外,本發明的操作網關宜配置多串口卡,如MOXA C168H/PCI。此外,本發明的操作網關作業系統宜採用Linux性價比最佳。此外,根據本發明的實施例,操作網關可部署在任何兩個安全網絡和非安全網絡之間,典型的部署方式為操作網關一端連接內網設備,另外一端連接網際網路。此外,根據本發明的實施例,操作網關與被管設備之間連接裝置可以是基於Telnet, SSH, VNC的網絡應用,也可以是物理串口連接。此外,根據本發明的實施例,操作終端可以是普通工作站,筆記本電腦,也可以是平板電腦如IPAD,智慧型手機等。綜上所述,由於採用了上述技術方案,本發明的有益效果是:通過操作網關作為運維入口,可以讓系統帳戶和運維帳戶分離,降低了敏感信息洩露的可能性;可以讓運維人員遠程安全訪問異地客戶網絡,提升運維效率;可以實現操作審計,提高運維人員的責任意識,並在出現誤操作時為責任追究提供證據,促進管理規範化。
圖1是遠程操作步驟 圖2是遠程操作裝置示意 圖3是本發明在某大型企業科技處的一個具體實施例;
圖4是本發明在某運維外包企業的一個具體實施例。
具體實施例方式本說明書中公開的所有特徵,或公開的所有方法或過程中的步驟,除了互相排斥的特徵和/或步驟以外,均可以以任何方式組合。本說明書中公開的任一特徵,除非特別敘述,均可被其他等效或具有類似目的的替代特徵加以替換。即除非特別敘述,每個特徵只是一系列等效或類似特徵中的一個例子。如圖1所示,該設備遠程操作方法的主要步驟為:1)搭建操作網關,該網關連接設備所在內網和網際網路;2)在操作網關上添加設備管理信息,如設備名稱,IP位址等;3)在操作網關上設置操作參數,如操作方式(Telnet,SSH,VNC, JDBC等);4)在操作網關上設置操作人員信息,包括帳戶,密碼等;5)在操作網關上設置操作人員權限範圍,指定他能夠使用的操作方式和能操作的設備;6)操作人員在操作終端上登錄操作網關;7)操作人員點擊操作網關上的設備操作按鈕,發起操作請求;8)操作網關提取設備信息和操作參數,據此連接被管設備,通道建立後,操作網關將操作人員和設備連通,操作人員執行具體操作命令;9)操作網關記錄操作通道中的數據流,以備操作審計。如圖2所示。該設備遠程操作裝置包括三部分:操作終端,操作網關和設備連接裝置。其中設備連接裝置負責將操作網關和被管設備進行連接,他可以是網線,也可以是串口線或多串口卡。操作網關包括資料庫,通道管理器,操作回放器,Web伺服器等。其中資料庫負責帳戶信息,設備信息,操作日誌等數據插入管理工作。通道管理器負責接收移動終端的連接請求,定位並連接要操作的設備,將操作終端和被管設備連通,記錄通道上傳輸的數據流以備操作回放,並對建立的通道進行管理。操作回放器能夠根據傳輸通道上的數據流反向合成人員操作並進行播放,不僅支持Telnet,SSH等字符流操作的回放,也支持VNC類視頻操作的回放。Web伺服器負責提供基於HTTP和HTTPS的Web交互。如圖3所示,某企業科技處有眾多網絡設備,AIX和HP伺服器,以及EMC存儲設備等,這些設備由十多家運維公司,上百個運維工程師維護。作業系統的帳戶經常被多個人知曉,多個工程師操作同一臺設備,出現問題後難以收集有效證據進行追責;由於維護隊伍龐大,人員流動後其掌握的帳戶信息均需做響應調整,不僅管理繁瑣,還容易因疏忽造成安全隱患。在本實施例中,將操作網關通過網絡和路由器,交換機,防火牆等連接,也可以通過SSH連接Unix系統,Windows伺服器採用遠程桌面訪問;然後,管理員將網絡、伺服器等設備信息全部錄入到操作網關中,並且設置每個設備支持的操作方式和協議,比如網絡設備是Telnet,伺服器是SSH,資料庫是JDBC等。對每個運維工程師,管理員創建一個帳戶,並根據運維職責確定其管理範圍和操作權限。運維工程師要操作某設備時,他先用操作網關內的帳戶登錄進入操作網關,操作網關會按照該帳戶擁有的權限列出其有權操作的設備。運維工程師點擊待操作的設備,操作網關會根據該請求提取設備信息如IP位址,以及操作方式和相關參數,如SSH協議和22號埠,然後在網頁中啟動一個Applet,該Applet和操作網關中的通道管理器建立連接,並發送設備連接請求信息,包括IP位址,操作方法,相關參數等。通道管理器根據請求連接被管設備,並建立通道連通設備和操作終端。運維工程師通過該通道對設備進行管理維護。所有執行的操作命令都會在操作網關進行記錄;如果某工程師疏忽出錯,則通過日誌審計可以方便的發現證據。提供了操作網關後,為了保證所有的操作都是可審計的,需通過網絡安全配置,設置被管設備只能通過操作網關訪問。如圖4所示,本發明的另一實施例。該實施例是一家運維外包公司,該公司有上百名運維工程師,為多個大中型企業提供IT系統的運行維護技術支持。由於安全性問題,客戶要求所有的運維工程師都在現場值守,包括一些技術專家。實際上,系統出問題的時候非常少,專家在現場值守大部分出於空閒狀態;運維成本很高。在實施了本發明後,公司在每個客戶現場安裝了一個操作網關,該網關前端與網際網路連接,後端與客戶生產網絡連接。當現場值守人員發現問題後,通知技術專家。技術專家可以通過IPAD等移動終端連接網際網路,登錄指定客戶的操作網關,進而查看並操作客戶內網的設備。IPAD和操作網關的數據傳輸採用HTTPS傳輸,防止敏感數據洩露。通過此實施方式,該運維外包公司的技術專家可第一時間為異地客戶進行故障處理,極大節約運維成本。本發明並不局限於前述的具體實施方式
。本發明擴展到任何在本說明書中披露的新特徵或任何新的組合,以及披露的任一新的方法或過程的步驟或任何新的組合。
權利要求
1.一種設備遠程運維操作方法,其特徵在於:該方法包括以下步驟:I)搭建操作網關,該網關連接設備所在內網和網際網路;2)在操作網關上添加設備管理信息,如設備名稱,IP位址等;3)在操作網關上設置操作參數,如操作方式(Telnet,SSH,VNC, JDBC等);4)在操作網關上設置操作人員信息,包括帳戶,密碼等;5)在操作網關上設置操作人員權限範圍,指定他能夠使用的操作方式和能操作的設備;6)操作人員在操作終端上登錄操作網關;7)操作人員點擊操作網關上的設備操作按鈕,發起操作請求;8)操作網關提取設備信息和操作參數,據此連接被管設備,通道建立後,操作網關將操作人員和設備連通,操作人員執行具體操作命令;9)操作網關記錄操作通道中的數據流,以備操作審計。
2.根據權利要求1所述的一種設備遠程運維操作方法,其特徵在於:操作人員必須通過操作網關連接被操作設備。
3.一種應用權利要求1所述方法的設備遠程運維操作裝置,其特徵在於:裝置由資料庫,設備管理單元,通道管理單元,用戶權限管理單元,操作審計單元和設備連接裝置組成。
4.根據權利要求3所述的設備遠程運維操作裝置,其特徵在於:操作網關的連接裝置,可以是有線,無線網絡連接,也可以是串口連接。
5.根據權利要求3所述的設備遠程運維操作裝置,其特徵在於:操作網關和設備之間的操作通道,可以基於Telnet,SSH, JDBC, VNC。
6.根據權利要求3所述的設備遠程運維操作裝置,其特徵在於:操作終端可以是普通電腦,平板電腦,智慧型手機。
7.根據權利要求3所述的設備遠程運維操作裝置,其特徵在於:操作終端和操作網關之間的連接通道使用HTTP或HTTPS。
8.根據權利要求3所述的設備遠程運維操作裝置,其特徵在於:操作網關記錄流經操作通道的信息流,並作為操作日誌存儲。
9.根據權利要求3所述的設備遠程運維操作裝置,其特徵在於:操作網關上可以根據關鍵字搜索操作日誌。
10.根據權利要求3所述的設備遠程運維操作裝置,其特徵在於:操作網關上可以回放操作人員的操作,以做操作審計。
全文摘要
本發明公開了一種設備遠程運維操作方法及裝置,該方法包括以下步驟:1)搭建操作網關;2)在操作網關上添加設備管理信息;3)在操作網關上設置操作參數;4)在操作網關上設置操作人員信息;5)在操作網關上設置操作人員權限範圍;6)操作人員在終端上登錄操作網關;7)操作人員點擊操作網關上的設備操作按鈕,發起操作請求;8)操作網關提取設備信息和操作參數,據此連接被管設備,通道建立後,操作網關將操作人員和設備連通,操作人員執行具體操作命令;9)操作網關記錄操作通道中的數據流,以備操作審計。本發明在保證安全性的前提下提高了設備管理操作效率,可降低運行維護成本。
文檔編號H04L29/08GK103166777SQ20111041353
公開日2013年6月19日 申請日期2011年12月13日 優先權日2011年12月13日
發明者楊濤, 陳松, 廖昕 申請人:成都勤智數碼科技有限公司