文 靜

（廣西經(jīng)濟信息中心，廣西 南寧 530022）

電子政務外網(wǎng)是與電子政務內(nèi)網(wǎng)物理隔離、與互聯(lián)網(wǎng)邏輯隔離的統(tǒng)一的電子政務業(yè)務專網(wǎng)，主要用于運行政務部門面向社會的專業(yè)性服務和不需在內(nèi)網(wǎng)上運行的業(yè)務，為承載的業(yè)務系統(tǒng)提供網(wǎng)絡、數(shù)據(jù)、安全等支撐服務，為政府部門和社會公眾提供信息共享、信息交換等服務[1]。隨著政務信息化網(wǎng)絡建設的全面推進，各地政務外網(wǎng)網(wǎng)絡逐步建設成為覆蓋省、市、縣、鄉(xiāng)鎮(zhèn)四級的多級網(wǎng)絡。

政務外網(wǎng)網(wǎng)絡規(guī)模龐大、機房位置分散、設備種類繁雜，都給網(wǎng)絡管理人員帶來設備管理上的難度。傳統(tǒng)的設備現(xiàn)場管理方式，效率低且成本高。目前，管理人員大多選擇通過使用超級終端、Telnet或設備自帶的網(wǎng)管軟件進行設備遠程管理的方式。但是這樣的管理方式存在一些問題，主要表現(xiàn)在：（1）管理人員通過Telnet或者其他設備自帶的網(wǎng)管軟件遠程訪問設備，必須是在網(wǎng)絡通暢和設備正常時才能進行，受網(wǎng)絡狀況影響較大。（2）使用超級終端的方式訪問設備，必須是實地連接設備，而各級網(wǎng)絡機房分散，無法保證發(fā)生故障時管理人員能第一時間出現(xiàn)在現(xiàn)場處理。如何為政務外網(wǎng)多級網(wǎng)絡提供高效而便捷的設備遠程集中管理成為網(wǎng)絡建設中亟需解決的問題。

本文設計的網(wǎng)絡設備遠程管理系統(tǒng)，通過搭建一套集中控管平臺，將全網(wǎng)各級機房的所有網(wǎng)絡串口設備進行集中控制和管理。該系統(tǒng)能在不影響設備運行的原則上，通過帶外管理網(wǎng)絡傳輸方式，實現(xiàn)對機房內(nèi)所有設備的帶外管理；在業(yè)務網(wǎng)絡中斷的情況下，還能通過3G帶外管理網(wǎng)絡對設備進行操作和管理。

1 系統(tǒng)組成

網(wǎng)絡設備遠程管理系統(tǒng)由中心機房的集中認證管理平臺、審計系統(tǒng)和各級機房的串口設備管理模塊、遠程電源控制管理模塊、3G無線MODEM組成。系統(tǒng)的邏輯結構如圖1所示。

中心機房內(nèi)部署的集中認證管理平臺用于將所有的網(wǎng)絡串口管理設備、電源管理模塊等全部集中到一個平臺控管和進行詳細的權限分配和日志記錄。審計系統(tǒng)用于查看系統(tǒng)的各種信息和記錄操作信息，包括系統(tǒng)配置的各種功能按鈕，關閉和重啟系統(tǒng)按鈕，實時硬件信息如 CPU使用率、內(nèi)存使用比例和存儲空間情況等。各級機房部署的串口設備管理模塊用于各級機房的路由器、交換機、防火墻等網(wǎng)絡串口設備集中監(jiān)控管理。遠程電源控制管理模塊用于設備的遠程開關機和重啟，遠程監(jiān)測設備電量等。3G無線MODEM用于主要業(yè)務網(wǎng)絡出現(xiàn)故障時，通過3G網(wǎng)絡對設備進行帶外遠程管理。

2 系統(tǒng)功能及工作流程

2.1 功能結構

從功能上劃分，網(wǎng)絡設備遠程管理系統(tǒng)主要包括集中認證審計管理、多種網(wǎng)絡接入方式遠程管理和設備管理三部分。系統(tǒng)的功能結構如圖2所示。

圖2 系統(tǒng)功能結構

集中認證審計管理提供集中認證、權限分配、運維記錄和操作記錄的功能，通過部署認證審計管理服務器和軟件實現(xiàn)。集中認證審計管理服務器存儲相關設備配置和用戶等信息，可以基于web瀏覽器，使管理人員能遠程訪問、管理、監(jiān)視和控制目標設備。

遠程管理支持多種網(wǎng)絡接入方式，包括以太網(wǎng)和各種3G網(wǎng)絡。業(yè)務以太網(wǎng)網(wǎng)絡中斷的時候，可以通過運營商的3G網(wǎng)絡對各級機房內(nèi)的網(wǎng)絡設備進行帶外管理和維護。

設備管理提供串口設備控制口的集中管理和遠程電源管理的功能，通過在各級機房內(nèi)部署一個內(nèi)含串口設備管理模塊和遠程電源控制管理模塊的集中管理設備來實現(xiàn)。集中管理設備把機房內(nèi)網(wǎng)絡設備的 Console端口集中起來，利用管理設備自身提供的網(wǎng)絡端口連接到以太網(wǎng)或互聯(lián)網(wǎng)，形成一個獨立于業(yè)務網(wǎng)絡之外的專用管理網(wǎng)絡。管理人員可以在不占用業(yè)務傳輸網(wǎng)絡帶寬的情況下通過 Console端口對網(wǎng)絡設備進行管理或維護。同時，集中管理設備把機房內(nèi)網(wǎng)絡設備的電源集中起來，實現(xiàn)供電電源統(tǒng)一分配。管理人員無需到現(xiàn)場進行干預和設置，可以通過向機房內(nèi)各網(wǎng)絡設備的Console端口上發(fā)送指定信號，重新啟動設備。電流監(jiān)控功能有助于保持電源的安全，管理人員可以設置閥值，一旦電流超過上限閾值或低于下限閾值時，設備會發(fā)出告警聲。

2.2 工作流程

網(wǎng)絡設備遠程管理系統(tǒng)工作流程如圖 3所示，管理人員在整個訪問設備的過程中所有數(shù)據(jù)都采用加密算法，系統(tǒng)能監(jiān)控、管理和審核任何遠程接入的訪問。

3 系統(tǒng)特點

在政務外網(wǎng)網(wǎng)絡中部署網(wǎng)絡設備遠程管理系統(tǒng)，能實現(xiàn)對政務外網(wǎng)的各級機房內(nèi)所有網(wǎng)絡設備的遠程控制和管理。管理人員只需在設備硬件故障的情況下進入機房處理，其余日常運行維護和管理都可以遠程解決，大大提高了機房設備的物理安全性，改善機房設備運行環(huán)境，減少安全隱患和故障發(fā)生幾率。當各級機房的網(wǎng)絡設備發(fā)生故障時，管理人員可以第一時間遠程通過網(wǎng)絡設備的串口進行遠程操作和處理，能減少實地處理設備故障所花費在路途上的時間，極大地提高了管理人員的工作效率，有效地保證網(wǎng)絡的穩(wěn)定性。

系統(tǒng)的安全保護措施包括 4個方面。（1）采用集中安全認證管理：所有管理人員操作和控制網(wǎng)絡設備，都需要通過集中認證系統(tǒng)進行身份和權限認證，解決管理人員身份的信任保障問題。同時通過用戶身份驗證軟件存儲網(wǎng)絡拓撲結構和設備相關信息，在設備連接期間執(zhí)行第三方身份驗證，確?？刂乒芾淼陌踩浴＃?）行為審計：系統(tǒng)可采用專門設計的嵌入式審計硬件平臺，確保安全可靠，防止病毒侵擾。對機房所有網(wǎng)絡設備的遠程操作進行記錄，出現(xiàn)設備故障或安全事件時可以對故障發(fā)生前的操作行為進行有效追蹤和回放，追溯惡意操作行為，確保證據(jù)的留存和問題的快速解決。（3）授權管理：系統(tǒng)對各種權限進行劃分，包括針對不同級別管理人員的分組權限管理，或是每臺網(wǎng)絡設備的每一級操作權限管理。依托授權管理服務，避免非授權管理人員對設備的非法訪問和控制，確保只有具有控制權限的管理人員才能訪問和控制遠程設備。（4）信息加密：系統(tǒng)傳輸數(shù)據(jù)可采用128位DES和128位SSL加密算法，監(jiān)控、管理和審核任何遠程接入的訪問，確保信息在網(wǎng)絡傳輸過程中處于密文狀態(tài)。管理人員主控屏幕的信號傳輸采用差異傳輸，僅傳遞變化部分，即使被攻破截取信號，也無法還原整個屏幕的信息，既能減少數(shù)據(jù)傳輸量又能確保訪問安全性。

4 結束語

網(wǎng)絡設備遠程管理系統(tǒng)是政務外網(wǎng)網(wǎng)絡建設的重要組成部分，是有效保障網(wǎng)絡正常運行，實現(xiàn)安全管理和提高工作效率的重要途徑。網(wǎng)絡設備遠程管理系統(tǒng)的建設，解決了政務外網(wǎng)的各級機房網(wǎng)絡設備遠程管理控制中要求的安全、可控、可管和可溯，為設備管理提供了一個安全、可靠的平臺。

[1] 吳亞非.電子政務外網(wǎng)安全建設中的問題與對策[J].信息技術與標準化,2005.06:7-9.