XXXX分行集中管控设计方案v3

1、一、方案概述、4二、系统架构设计4三、功能架构设计5四、功能详细74.1 节点管理74.2 会话调度104.3 身份认证114.4 资源管理114.5 权限管理124.6 账号管理12五、应急预案205.1 OPC单点故障205.2 OPA单点故障205.3 OPC到OPA之间通信故障20一、方案概述、 本方案针对XXXX全分行的运维安全集中管控，要求资源配置集中，安全策略强制下发，实时查看各分行的统计情况。做到安全数据统一收集，统一分析，统一制定安全策略的管理目的。 方案针对的管理范围为XXXX全国分行；管理对象为所有生产设备和运维人员；管理要求为统一，集中。二、系统架构设计 本章为系统架构设计描述，以下是架构图： l 总行节点命名为OPC，3台机器部署分布式集群。l 分行节点命名为OPA，可为单机部署或者HA部署。l OPC和OPA之间走网络专线，OPA和OPA之间不允许通信。l OPA为HA集群时： 2台部署，一台为master提供服务，一台为slaver提供热备。 集群通过浮动IP进行访问，如OPC访问该集群时，通过浮动IP进行通信。 当master故障时，集群自动切换，不影响

2、其他OPA节点。三、功能架构设计本章为功能架构设计描述，以下是架构图：l OPC功能如下：节点管理 针对OPC自身的分布式集群做配置，授权和管理 针对OPA做配置管理 针对所有节点做状态监控 会话调度 针对所有的字符，图形，文件传输会话重定向到目标OPA上。 兼容web启动会话会话重定向。身份认证 支持AD和双因素认证。资源管理 各分行（OPA）管理员在OPC中只负责本分行用户，设备的配置管理工作。 OPC的管理员可以查看全部分行的配置管理情况。 不同分行（OPA）管理员之间独立配置管理，不能查看和变更非本分行的资源，人员配置。权限管理 访问权限由本分行（OPA）管理员独立配置 用户工单统一在总行ITSM中申请审批 命令权限由OPC管理员配置并强制执行系统配置 OPC管理员统一配置系统策略并下发到各OPA中账号管理 OPC管理员查看全分行的账号统计情况 OPC管理员统一配置密码策略并下发到各OPA中l OPA功能如下：节点管理 针对OPA自身的节点，HA集群做配置管理 OPA独立授权会话访问 当OPC将会话重定向到本地OPA时，完成会话的接管，将审计日志记录在OPA本地账号管理 查看本

3、分行（OPA）中所有的账号资源信息，账号日志和报表。 对本分行（OPA）中的账号进行维护工作，包括：账号发现，账号巡检，账号改密，密码备份。文件传输 本分行（OPA）的用户将文件直接上传到本分行的OPA中。 文件上传也由本分行OPA到目标设备。四、功能详细4.1 节点管理4.1.1 OPC部分l OPC搭建3台设备的分布式集群l 授权开启部门分权l “系统设置”菜单中新增“OPA管理”项l OPC管理员在“系统设置”“OPA管理”菜单中对OPA节点进行管理l 点击“新增OPA”，在弹窗中配置OPA的名称，管理员以及OPA的访问地址（若OPA为HA，则添加其浮动IP）l 新增完成的OPA在业务视图中自动创建好相应的二级节点l 需要更改OPA配置点击对应OPA的“编辑”链接，在弹窗中对OPA配置进行修改l 如果要删除该OPA，需要管理员提前将与该OPA有关的用户，资源以及权限删除或者迁移。l OPA的名称发生修改，其对应的业务视图二级节点名称也自动修改。l 对OPA的节点状态进行查询： 在OPA列表中显示每个OPA的节点以及状态，若状态异常则显示红色字体。 点击对应的节点状态，在弹窗中查看

4、详细信息：系统负载l 基本信息：当前大版本，运行时间，活跃会话l CPU：cpu的负载值，核数，平均使用率，以及图形显示当前空闲/占用比l 内存：内存占用值，及图形显示占用比磁盘空间l 各挂载目录的占用，空闲，使用率进程状态l 进程名，pid，内存占用，cpu使用率等软件版本l 相关软件版本信息其他说明l 如果OPA为HA的情况下，可以通过点击该页面标题旁边的节点名称（如本例中的node1）进行切换l 点击“收起”该页面将隐藏l cpu，内存，磁盘空间如果出现超过阈值的情况，则显示用红色字体，同时该节点状态显示红灯4.1.2 OPA部分l 当OPC加入OPA之后，OPA管理员登陆将只能在“资源”“业务视图”中看到根节点为本分行，并且可以继续为本分行配置业务系统，用户和设备，新增的所有配置都属于该分行节点（业务分类）下，或者子业务系统下。l OPA管理员登陆没有“系统设置”菜单，因此在加入OPA之前该分行节点必须保证IP地址不会发生变动，授权信息正确。4.2 会话调度4.2.1 通过浏览器访问图形会话，字符会话l OPC查询该用户所在的OPA，会话直接由OPA发起文件传输l 文件上传，直

5、接将文件上传到用户所在的OPA空间中，再通过该OPA上传到所需的服务器l 文件下载，从目标服务器传输文件到所在OPA中，再通过OPA下载到本地4.2.2 直接通过客户端访问l 默认情况不建议OPA用户通过客户端直连OPA，所有设备访问都必须通过OPC的web页面，由OPC统一进行重定向。l 特殊情况下，OPA用户可以通过客户端直连OPA自身地址进行设备访问。4.3 身份认证l 和标准功能一致，由OPC管理员配置好统一的身份认证策略（XXXX采用AD和双因素），OPA管理员创建用户时直接选择对应的身份认证方式。l OPC管理员可以切换到分行管理员权限（OPA），切换之后界面，菜单都为该OPA管理员视图。4.4 资源管理OPC部分l 一般情况下，OPC管理员不会去变更资源配置信息，只做查看l OPC管理员只需要配置业务视图OPA部分l OPA管理员配置设备时只允许选择本分行节点下建立的业务系统l OPA管理员新建好设备，系统自动关联该设备到对应OPA（新增属性）。OPA用户在申请工单时，只能申请自己所属OPA的设备l OPA管理员新建设备，允许区域间重名，考虑到查看和ITSM工单申请的情况

6、。（研发考虑）4.5 权限管理访问权限l ITSM未完成开发时采用访问权限进行授权l 各OPA管理员只允许给自己分行下的用户和资源创建访问规则工单访问l ITSM开发完成之后，采用工单API方式与OPC对接。l API需要考虑的是需要加入OPA字段，即ITSM申请查询时需要提供申请人所在分行名称，查询时根据分行名称进行过滤，提高查询效率和节省带宽。命令权限l 由OPC管理员统一设置，OPA管理员无此配置权限4.6 账号管理4.6.1 OPC部分l OPC管理员登陆账号管理模块时，菜单为“日志报表”，“系统设置”两部分，无dashboard。l 登陆的默认界面跳转到“账号统计”页面，该页面只统计出每个分行（OPA）中的账号统计情况。 统计数据为实时获取，OPA在做完账号巡检之后自动产生数据向OPC推送。OPC的账号统计页面只统计OPA的账号情况，不再往下。 报表导出部分后期再和客户讨论设计l 系统设置 去掉定期任务菜单，将该菜单中设置定期计划功能分散并加入到维护任务中，下面OPA部分再做详细说明 密码规则和改密方法保持原功能4.6.2 OPA部分菜单：l dashboard，和原功能一致

7、，统计本OPA中的账号情况l 账号资源，和原菜单一致l 账号维护，新增密码备份子菜单l 日志报表，和原菜单一致账号资源（域账号管理）l OPA管理员在“系统设置”“资源”“windows域”中配置域信息：域名，IP地址l 在“账号管理”“账号资源”“域账号”中对所配置的域进行账号添加和维护工作l 上图中左边显示域名（无展开），右边显示该域名下所有的账号列表l 点击右上角“新增域账号”，在弹窗中配置账号信息l 域账号的改密：通过所属OPA访问ad的rpc端口进行改密，先使用旧密码进行登陆验证，再调用方法进行修改。因此，改密过程无需使用ad管理员权限。账号维护账号巡检，在右上角新增clock图标，点击之后显示： 上一次巡检完成的时间（定期或者手工） 下一次巡检任务的开始时间（定期） 上一次巡检任务的日志下载链接 设置定期巡检任务的按钮OPA管理员配置的定期巡检任务只针对本OPA中的账号生效。账号发现，在右上角新增一个clock图标，点击之后显示： 上一次OPA完成账号发现任务的时间（无论是手动还是定期）， 下一次定期任务的开始时间（定期） 上一次账号发现的日志下载链接 设置定期发现任务的按

8、钮OPA管理员配置的定期账号发现只针对本OPA中的账号生效。改密计划： 在配置改密计划界面新增多选框，勾选业务系统则自动选中其下所有账号类型，或者可以针对某一个账号类型勾选 点击批量配置可以对已经选中的账号类型配置改密计划 配置改密计划时： 执行周期由OPC管理员在后台指定最大期限，比如3个月的，OPA管理员在这里只能选择1，2，3个月 密码规则由OPC管理员提前创建 密码备份规则由OPA管理员在“密码备份”功能中提前创建。密码备份： 密码备份不再是一个全局性的配置，OPA管理员创建的密码备份策略只针对本OPA中的账号生效。 密码备份配置和原“定期任务”中配置一致。五、应急预案5.1 OPC单点故障OPC单点故障自动由另外两台节点接管服务，并及时报警通知管理员。5.2 OPA单点故障OPA如果为HA，则slaver主动接管服务。OPC界面中可以看到该分行的状态为红灯。5.3 OPC到OPA之间通信故障如果OPA到OPC之间线路故障，则由OPA管理员进入后台开启独立维护模式，在该模式下：l 管理员不允许修改OPA中的配置信息，OPA仅供访问设备。l 用户使用自己的用户名/紧急维护密码登陆OPA进行操作。紧急维护密码为该用户的静态密码。l 当线路恢复之后，OPA主动向OPC拉最新的配置数据，OPC也可以审计OPA最新的审计数据。

《XXXX分行集中管控设计方案v3》由会员道**分享，可在线阅读，更多相关《XXXX分行集中管控设计方案v3》请在金锄头文库上搜索。