第一篇：WLAN運維管理解決方案

WLAN運維管理解決方案

多業(yè)務區(qū)分設計

使用無線網(wǎng)絡可以分為不同的無線接入業(yè)務類型。因此，可以在設計上采用無線局域網(wǎng)多SSID技術，設置多業(yè)務區(qū)分方式，例如一個SSID可給教師所用，而另一個可給學生專用。由于用戶一般把SSID看成VLAN，所以它們都會慣性地以VLAN概念來劃分SSID。其實在一個AP范圍內，不管用戶連接到那一個SSID它們實際上都是在同一個802.11廣播域內，因為無線電波的傳輸是共享方式的。一個最簡單的例子就是AP把不同的SSID名字廣播，所以當無線終端在這個AP覆蓋范圍內啟動時，它就能同時看到多個SSID。SSID的最主要用途是可讓無線終端以不同的安全認證和加密方式入網(wǎng)。

為什么要把不同的安全加密協(xié)議設置在不同的SSID呢? 802.11的標準內定義了不同加密情況時數(shù)據(jù)包的封裝格式，所以在用戶的無線接入使用不同的加密方式，例如：WEP、TKIP(WPA)、802.11i(WPA2)等等，不同加密方式不能在同一個SSID內同時存在。

某一個SSID可以覆蓋全網(wǎng)，也可以只局限于園區(qū)網(wǎng)內的某些范圍。一般的情況下是全網(wǎng)開通，例如：臨時訪問者(Guest)使用的SSID；但有些SSID可以只在辦公區(qū)廣播，只供某些部門使用。無線用戶管理

神州數(shù)碼網(wǎng)絡對于無線用戶的管理可以有多種方式，在單個無線場所，可以使用神州數(shù)碼DigiZoneDirector智能無線控制器對多AP進行管理，在多場所、多控制器的情況下，即可以使用神州數(shù)碼LinkManager統(tǒng)一網(wǎng)絡管理平臺使用標準SNMP協(xié)議對多廠家有線、無線設備進行統(tǒng)一管理，又可以使用DigiFlexMaster無線集中式管理軟件基于TR-069對AP進行綜合管理。

神州數(shù)碼網(wǎng)絡無線系統(tǒng)中可以設定用戶的角色（role），每個角色可以基于用戶權限和可訪問資源的設定等規(guī)則。用戶權限是DigiZoneDirector的功能，是針對無線接入的特性而設計。一般的用戶接入不同的SSID時只具有該SSID或VLAN所對應資源的訪問權限，所以訪問不同的VLAN的資源需要分別登錄不同的SSID，這樣是十分不便的。神州數(shù)碼網(wǎng)絡的基于用戶角色的權限管理是與用戶認證捆綁在一起，當無線用戶成功通過認證后，他會獲得一個預設的用戶角色權限，訪問其他SSID對應的網(wǎng)絡資源。這樣，一個具有全部權限的用戶通過一個SSID登錄后，可以訪問所有SSID對應的語音、數(shù)據(jù)和視頻業(yè)務的權限，從而簡化了用戶的權限設置和用戶管理的復雜性。

一般在用戶權限設計中，可以將來賓和普通用戶的權限設置的較低，只能訪問有限的資源，且優(yōu)先級較低，并且有帶寬的限制。

其他用戶可能有較高的權限，可以訪問更多的學校資源，或者對某些特殊的來賓開放某些VIP賬號，分配給其較高權限的角色。在帶寬方面可以做比較寬松的限制。所有這些在配置、使用和管理上都非常符合一般企業(yè)的網(wǎng)絡管理需求。

在具有多場所，多控制器的環(huán)境，可以使用DigiFlexMaster進行統(tǒng)一管理，神州數(shù)碼網(wǎng)絡的DigiFlexMaster無線集中式管理軟件系統(tǒng)提供了對DigiZoneFlex AP的配置、故障、性能、報告等系列的管理功能。該產(chǎn)品符合TR-069標準，利用工業(yè)標準SOAP/HTTPS/XML協(xié)議在DigiFlexMaster服務器和被管理的AP設備之間建立一條安全可靠的鏈路。這個協(xié)議允許已安裝的AP設備在加電初始化時自動訪問匯報DigiFlexMaster服務器并隨后進入自動配置階段。網(wǎng)管工作人員也可以通過DigiFlexMaster和AP進行即時通信或設定AP在某個合適的時間按計劃執(zhí)行一個任務。

由于TR-069基于標準HTTP或HTTPS，協(xié)議消息可以穿透互聯(lián)網(wǎng)上的防火墻，允許DigiFlexMaster遠程管理任何安裝在互聯(lián)網(wǎng)上的DigiZoneFlex AP。AP和DigiFlexMaster 服務器之間異步通信的方法保證了通信可以通過NAT轉換點，這對于其它通用的網(wǎng)絡管理協(xié)議是難以做到的。無線安全性

在神州數(shù)碼網(wǎng)絡無線系統(tǒng)中，可以在多個層面對系統(tǒng)構筑安全防護，其安全性設計如下：

1:多SSID：可以根據(jù)需要，如用戶的種類、應用的種類，在神州數(shù)碼網(wǎng)絡無線系統(tǒng)中設置多個SSID，不同的SSID采用不同的安全策略，這樣可以對不同的用戶及應用進行區(qū)分服務。另外SSID還可以選擇隱藏的方式，該SSID不廣播，用戶無法看到，防止非法用戶的連接企圖。SSID還可以選擇在某些AP上出現(xiàn)，某些AP上不出現(xiàn)，限制SSID出現(xiàn)的范圍也是實現(xiàn)安全性的一種手段。

2:加密：神州數(shù)碼網(wǎng)絡無線系統(tǒng)支持多種加密的方式，二層的加密支持靜態(tài)WEP、動態(tài)WEP、TKIP、WPA、802.11i多種加密方式，三層的加密支持IPSec VPN加密，這樣使得加密的方式更加的靈活，可以根據(jù)實際需求進行選擇。

3:用戶認證提供三種方式：

① WPA-PSK＋captive portal+VPN。

加密方式采用WPA-PSK，不建議采用靜態(tài)WEP，因為有安全隱患。采用captive portal+VPN的認證方式，同時VPN還具有三層的加密功能，具有更高的安全性。認證服務器的選擇比較靈活，可以使用RADIUS, LDAP, Windows NT, ActiveDirectory, TACACS，甚至是DigiZoneDirector內置的帳戶數(shù)據(jù)庫。

② WPA+802.11x加密方式盡量采用WPA，如果客戶端不支持也可采用動態(tài)WEP，認證方式采用802.11x，認證服務器選擇RADIUS。

③ Dynamic PSK?

Dynamic PSK?是神州數(shù)碼網(wǎng)絡專有的用戶認證和加密技術。傳統(tǒng)的無線加密密鑰對所有的用戶是相同的，相當脆弱；而且長度較短，容易被解碼。Dynamic PSK?技術為每一個用戶提供一個64字節(jié)的密鑰，實現(xiàn)完整而且非常安全的認證加密手段。

4:用戶的Role（角色）：每一類用戶可以建立一個相關的Role，每個Role有一個用戶狀態(tài)防火墻的設定和帶寬控制的設定，這樣我們就可以將設定的安全策略加載到每個用戶身上。

5:無線客戶端隔離：神州數(shù)碼網(wǎng)絡無線控制器具有無線客戶端隔離功能，該功能啟動后，無線客戶端將無法相互通信或訪問任何受限制的子網(wǎng)。

6:帶寬控制：可以對每個用戶設定其可以使用的帶寬，一方面可以限制其對網(wǎng)絡資源的占有，另一方面，當該客戶端中了病毒以后，其病毒發(fā)作時不會占用網(wǎng)絡全部的帶寬。

7:認證系統(tǒng)支持：神州數(shù)碼網(wǎng)絡無線系統(tǒng)支持多種認證系統(tǒng)，諸如Radius、微軟的AD（活動目錄）和在DigiZoneDirector內部的Internal DB等等。統(tǒng)一身份認證

融合統(tǒng)一802.1x認證

神州數(shù)碼有線無線集成化客戶端，在實現(xiàn)有線無線統(tǒng)一身份認證的同時，還解決了長時間困擾用戶的多廠家設備同時存在時無法實現(xiàn)統(tǒng)一認證的問題，由于高校校園網(wǎng)建設周期較長，在不同的階段由于不同的需求可能采用不同廠家的設備，目前的802.1x認證，各廠家均是采用私有認證，在終端設備上必須安裝各廠家獨有的私有客戶端才能與其接入交換機、認證計費系統(tǒng)互動，實現(xiàn)私有802.1x認證，這種私有認證對接入設備的依賴性使得用戶受困于廠家，不便于后續(xù)的應用擴展，神州數(shù)碼有線無線集成化客戶端，配合TrustCenter統(tǒng)一身份認證平臺，可以實現(xiàn)不依賴于接入設備的私有802.1x認證，無論接入設備是否是神州數(shù)碼的產(chǎn)品，只需要在客戶端安裝神州數(shù)碼有線無線集成化客戶端，就可以與神州數(shù)碼TrustCenter認證平臺互動，實現(xiàn)私有802.1x認證，實現(xiàn)即時消息通知、IP地址上傳、強制下線以及keep alive等功能，的具體流程如圖 4?1所示：

有線標準802.1x轉私有802.1x認證步驟：

1.用戶開機后，客戶端發(fā)起DHCP請求，經(jīng)認證設備轉發(fā)到DHCPServer，DHCPServer為用戶分配IP地址。

2.用戶通過客戶端軟件，采用標準802.1x認證，發(fā)起認證請求。

3.接入交換機（非神州數(shù)碼設備）收到認證請求，由于是標準的802.1x認證，交換機可以識別認證信息，將客戶端認證信息發(fā)送到TrustCenter認證服務平臺。4.TrustCenter認證服務中心將認證通過信息返回給接入交換機。5.交換機將認證通過信息返回給客戶端，客戶端界面顯示認證通過信息。

6.標準認證通過后，客戶端與TrustCenter服務器基于TCP/UDP直接通信，私有信息直接傳遞到服務器，服務器與客戶端之間可以完成即時消息通知、IP地址上傳、強制下線以及keep alive等功能。

7.交換機將用戶所在端口打開，用戶可以上網(wǎng)，TrustCenter開始對用戶計費。

無線標準802.1x認證

為降低服務器負擔,無線終端采用神州數(shù)碼私有802.1X認證,用戶接入流程如下圖所示:

圖 4?2 無線標準802.1x認證

無線私有802.1x認證步驟：

1.用戶開機后，檢測到SSID有效，通過802.1x客戶端軟件發(fā)起請求； 2.AP檢測到該請求后，向AAA發(fā)出請求，AAA服務器發(fā)出響應； 3.用戶端彈出對話框，要求輸入合法的身份標識，如用戶名及其密碼。4.用戶端將身份標識傳送到AP；

5.AP將相應信息發(fā)送到TrustCenter進行認證。

6.如果認證通過，則AP到DHCP服務器的端口打開?？蛻舳塑浖l(fā)起DHCP請求，經(jīng)認證設備轉發(fā)到DHCPServer，DHCPServer為用戶分配IP地址。7.用戶可以上網(wǎng)了，認證服務器開始對用戶計費。

8.AP通過定期的檢測保證鏈路的激活。如果用戶離開或異常死機，則AP在發(fā)起多次檢測后，自動認為用戶已經(jīng)下線，于是向認證服務器發(fā)送終止計費的信息。Webportal認證神州數(shù)碼網(wǎng)絡智能無線 AP通過以太網(wǎng)或IP線路連接到網(wǎng)絡，通過DigiZoneDirector進行SSID、無線信道、發(fā)射功率、Rouge AP檢測和無線加密、認證等管理。

根據(jù)要求，DigiZoneDirector將創(chuàng)建一個公開的、沒有加密的AP熱點SSID，用戶可以通過該SSID接入到網(wǎng)絡當中。無論用戶想訪問的網(wǎng)頁是什么，DigiZoneDirector彈出WEB認證節(jié)目（包括歡迎、認證連接等），通過認證后用戶就可以訪問Internet網(wǎng)絡了（也可以重定向到缺省的網(wǎng)頁）。

可以根據(jù)熱區(qū)內AP數(shù)量的多少，由一個或多個DigiZoneDirector可以管理一個熱區(qū)內的所有AP。

如果需要，未來可以在中心部署DigiFlexMaster管理所有的DigiZoneDirector，從而管理網(wǎng)絡中的所有AP。

AP可以通過以太網(wǎng)或DSL鏈路接入網(wǎng)絡。DigiZoneDirector沒有DHCP服務器功能，所以需要外置的DHCP 服務器或使用BRAS提供DHCP服務器為客戶端分配IP地址的功能。

如圖 4?3所示，用戶接入的流程如下：

1.用戶開機后，檢測到SSID有效；

2.客戶端發(fā)起DHCP請求，經(jīng)認證設備轉發(fā)到DHCPServer。DHCPServer為用戶分配IP地址；

3.用戶打開瀏覽器，HTTP請求被AP捕獲，并重定向到登錄界面； 4.用戶輸入用戶名和密碼，并傳送到DigiZoneDirector；

5.DigiZoneDirector將用戶名和密碼發(fā)送到AAA服務器進行認證；

6.認證通過后，DigiZoneDirector將Web頁面重定向到DigiZoneDirector指定的WEB服務器頁面（費用余額等通知）；同時出現(xiàn)計時窗口； 7.用戶可以上網(wǎng)，AAA服務器計費開始；

Webportal＋DHCP實現(xiàn)簡單，無需客戶端和相關配置，擴展性也好。在無線控制器中設定使用Web-Portal方式認證。當用戶接入無線網(wǎng)絡后，需要使用瀏覽器訪問校園網(wǎng)或Internet，會彈出認證界面，用戶輸入用戶名和密碼后送到相關服務器進行驗證，如果認證通過后用戶就能夠訪問校園網(wǎng)和Internet，如果訪問Internet就會產(chǎn)生計費，同時計帳到該用戶帳號上。認證與ipv6結合

神州數(shù)碼網(wǎng)絡TrustCenter認證計費服務系統(tǒng)，支持IPv6無線終端的管理與認證，支持IPv4和IPv6協(xié)議收發(fā)報文，包括認證計費報文，各種業(yè)務報文以及強制下線報文，可以實現(xiàn)與有線IPv6系統(tǒng)協(xié)同的統(tǒng)一認證，實現(xiàn)基于IPv6的用戶與IP、MAC綁定，做到無線與有線的認證一體化。

IPv6無線終端認證信息在TrustCenter上的顯示如圖 4?4所示：

TrustCenter在用戶認證時對IPv6相關策略的校驗，如下圖所示：

TrustCenter管理端支持基于IPv6的遠程訪問和管理，可以顯示接入認證用戶的IPv6相關信息，支持接入設備的IPv6配置和管理，在安全策略中配置和使用IPv6，在日志文件中可以展示及查詢IPv6信息，同時支持報表IPv6信息的導入和導出。IPv6信息的顯示和查詢如圖 4?6所示：

神州數(shù)碼網(wǎng)絡認證客戶端，支持獲取本機IPv6信息，客戶端同時集成了IPv6 DHCP客戶端，可以支持服務器下發(fā)IPv6地址設置。神州數(shù)碼認證客戶端獲取和設置IPv6信息如圖 4?7所示：

移動漫游

無線用戶移動漫游，涉及到多個層次的漫游，最為簡單的是二層漫游，業(yè)內主流廠家產(chǎn)品都表現(xiàn)不錯，三層漫游就困難多了，還有當用戶跨越多個域時怎樣無縫漫游，神州數(shù)碼網(wǎng)絡無線局域網(wǎng)可以實現(xiàn)快速無縫漫游功能。

L2/L3漫游

在傳統(tǒng)的無線局域網(wǎng)內，無線終端要跨越不同AP之間漫游是有一定的困難，因為不同AP之間，它的無線用戶IP子網(wǎng)可能都不是在同一個VLAN內。所以當無線終端從一個AP漫游到另一AP時，由于它們之間的缺省IP子網(wǎng)不同，無線終端會重新發(fā)出DHCP請求，這樣的話終端的IP地址就會更新，所有在原先AP建立的連接都會被切斷。過去為了解決跨越三層的漫游，有些用戶采用了Mobile IP的技術，但Mobile IP的缺點是它必須在無線終端安裝軟件。這是一般網(wǎng)絡管理人員不愿意做的事情，因為它們就必須支持和維護用戶的無線接入端。

通過神州數(shù)碼網(wǎng)絡無線系統(tǒng)，可解決了跨越不同三層IP子網(wǎng)的無線漫游問題。當無線終端從一個AP的IP子網(wǎng)漫游到另一個AP的不同IP子網(wǎng)時，它重新發(fā)出的DHCP請求，會從AP端的DigiZoneDirector轉發(fā)到原有子網(wǎng)的DigiZoneDirector(用戶從那一個AP獲取它的IP地址)，這樣DigiZoneDirector就了解到用戶漫游到了哪個相鄰的DigiZoneDirector。用戶的原來所在的DigiZoneDirector會將發(fā)送到該用戶的數(shù)據(jù)發(fā)送到漫游到的DigiZoneDirector而后發(fā)送到用戶現(xiàn)有的IP地址。無線用戶已漫游到另一個IP子網(wǎng)，但它的流量不會中斷，直到用戶完全漫游過來（其對端了解了其IP地址的變化）。代理DHCP 的優(yōu)點是無要在用戶終端安裝任何軟件就可讓終端無縫的在不同IP子網(wǎng)之間漫游。

在不同域之間的用戶認證和漫游

在大型網(wǎng)絡內，一般都有很多不同的部門，部門內通常都有自己的用戶數(shù)據(jù)庫，即所謂的本地認證服務器。在實現(xiàn)應用時，要求有單一的認證數(shù)據(jù)庫是未必可行的，但同時無線用戶應是可在內無縫漫游。當用戶不是在本地入網(wǎng)或是從一個部門的接入點漫游到另一部門的接入點需要重新認證時，如果用戶名和密碼在當?shù)氐臄?shù)據(jù)庫是不存在的話，則用戶會被斷線。要做到真正的無縫漫游，則需要有支持Radius 代理這樣的功能。但由于不是所有的認證服務器都支持這種功能所以在具體實施時也有一定的困難。神州數(shù)碼網(wǎng)絡本身就可提供不同域之間的認證功能，域名可以與SSID綁定，亦可以讓用戶在登陸網(wǎng)頁時輸入或選擇域名。神州數(shù)碼網(wǎng)絡會把在不同域之間的認證請求轉發(fā)到對應這域的radius服務器處理。

第二篇：IT運維綜合管控解決方案

IT運維綜合管控解決方案

針對安然、世通等財務欺詐事件，2002年出臺的《公眾公司會計改革和投資者保護法案》（Sarbanes-Oxley Act）對組織治理、財務會計、監(jiān)管審計制定了新的準則，并要求組織治理核心如董事會、高層管理、內外部審計在評估和報告組織內部控制的有效性和充分性中發(fā)揮關鍵作用。與此同時，國內相關職能部門亦在內部控制與風險管理方面制定了相應的指引和規(guī)范。由于信息系統(tǒng)的脆弱性、技術的復雜性、操作的人為因素，在設計以預防、減少或消除潛在風險為目標的安全架構時，引入運維管理與操作監(jiān)控機制以預防、發(fā)現(xiàn)錯誤或違規(guī)事件，對IT風險進行事前防范、事中控制、事后監(jiān)督和糾正的組合管理是十分必要的。IT系統(tǒng)審計是控制內部風險的一個重要手段，但IT系統(tǒng)構成復雜，操作人員眾多，如何有效地對其進行審計，是長期困擾各組織的信息科技和風險稽核部門的一個重大課題。

一、需求分析

系統(tǒng)的運維人員是系統(tǒng)的“特殊”使用團隊，一般具有系統(tǒng)的高級權限，對運維人員的行為審計日漸成為安全管理的必備部分，尤其是目前很多企業(yè)為了降低網(wǎng)絡與系統(tǒng)的維護成本，采用租用網(wǎng)絡或者運維外包的方式，由企業(yè)外部人員管理網(wǎng)絡，由外部維護人員產(chǎn)生的安全案例已經(jīng)逐漸在上升的趨勢。

運維人員具有“特殊”的權限，又往往是各種業(yè)務審計關注不到的地方，網(wǎng)絡行為審計可以審計運維人員經(jīng)過網(wǎng)絡進行的工作行為，但對設備的直接操作管理，比如Console方式就沒有記錄。

運維審計的方式不同于其他審計，尤其是運維人員為了安全的要求，開始大量采用加密方式，如RDP、SSL等，加密口令在連接建立的時候動態(tài)生成，通過鏈路鏡像方式是無法審計的。所以運維審計是一種“制度+技術”的強行審計。一般是運維人員必須先登錄身份認證的“堡壘機”(或通過路由設置方式把運維的管理連接全部轉向運維審計服務器)，所有運維工作通過該堡壘機進行，這樣就可以記錄全部的運維行為。由于堡壘機是運維的必然通道，在處理RDP等加密協(xié)議時，可以由堡壘機作為加密通道的中間代理，從而獲取通訊中生成的密鑰，也就可以對加密管理協(xié)議信息進行審計。

二、運維安全審計面臨的挑戰(zhàn)

IT運維人員一般應用命令行方式（Telnet、SSH）、和圖形化方式（RDP、VNC）、客戶端軟件等方式對數(shù)據(jù)中心的服務器進行管理，這些方式雖然方便、靈活，但接入點多，存在重大安全隱患，并難于管理，特別是，面對成千上萬臺的設備，一個IT經(jīng)理或者一個CIO如何能確保所有IT運維人員的操作都是安全的？ 倘若有違規(guī)操作，如果發(fā)現(xiàn)并有效阻止？ 若阻止不及，如何認定事故責任？

三、IT運維綜合管控解決方案

泰然神州Zendeep神電運維審計系統(tǒng)是用于數(shù)據(jù)中心IT運維的集中管理和審計系統(tǒng)，可以對基于Telnet、SSH、RDP、VNC等協(xié)議的訪問操作進行過程的抓取，從而可以錄象方式對所有運維人員的所有操作進行記錄，并具備強大的搜索功能，可對特定時段、特定事件、特定用戶等邏輯要素進行搜索與提取——從而達到真正意義上的審計與風險控制。

泰然神州Zendeep運維審計方案的功能架構模塊（下圖）

泰然神州Zendeep運維審計系統(tǒng)管理平臺，不僅可以對IT運維人員應用帶內管理工具（Telnet、SSH、RDP、VNC等協(xié)議）的管理進行全面的集中管理與審計，可以制定有效的控制策略，進行訪問授權、訪問阻斷，另外也可以根據(jù)不同的參數(shù)搜索調用歷史操作畫面，并進行畫面回放、查看審計日志、從而進行有效的安全防護。

泰然神州運維審計系統(tǒng)由管理控制臺、應用代理服務器、客戶端安全插件和數(shù)據(jù)庫四大部分構成。管理控制臺：

管理控制臺負責實現(xiàn)系統(tǒng)的用戶管理、代理訪問策略管理、阻斷策略管理、審計日志的查看與審計、對審計會話的畫面回放和系統(tǒng)的基礎配置等功能

管理控制臺是一個基于Web的操作界面，可以對一個ICS對應的多臺ICA的監(jiān)控結果進行集中化的管理 應用代理服務器：

應用代理服務器用于實現(xiàn)代理應用的集中管理，對用戶和客戶機進行合法性校驗，受符合策略要求的代理應用連接請求

提供TCP阻斷功能，對于網(wǎng)絡中的非法網(wǎng)絡連接可以根據(jù)阻斷策略自動實施阻斷操作 數(shù)據(jù)庫：

日志審計數(shù)據(jù)庫，用于記錄用戶信息、策略信息和連接會話的日志信息等內容

文件數(shù)據(jù)庫，專門用于記錄應用代理服務器所記錄每個連接會話的錄像信息，錄像信息與日志信息直接關聯(lián)，直接通過查詢日志信息后播放對應的錄像文件，真實再現(xiàn)當時的操作畫面 客戶端安全插件：

終端客戶機及和IT運維管控系統(tǒng)后臺之間建立加密的連接通道 終端安全登陸認證設備接口

四、方案應用部署

泰然神州Zendeep運維審計系統(tǒng)部署網(wǎng)絡拓撲架構圖：

五、方案特點

泰然神州Zendeep運維審計方案特點：

集中管理，提供后臺設備、數(shù)據(jù)庫及指定系統(tǒng)統(tǒng)一的操作維護入口，實現(xiàn)單點登錄。身份管理，提供設置實名制登陸帳號，詳細記錄后臺數(shù)據(jù)庫全部操作過程。

訪問控制，提供管理員根據(jù)不同的用戶配置不同的操作權限，實現(xiàn)命令級別的嚴格控制，確保合法用戶在其系統(tǒng)權限范圍內訪問授權設備。

命令防火墻，實現(xiàn)當不同用戶帳號與同一系統(tǒng)帳號關聯(lián)時，以命令為核心建立更加細粒度的權限控制。操作審計，對用戶實施的操作提供完整，詳細記錄服務。并可以安全地存放于管理平臺中，管理平臺能以方便、友好的界面方式提供對這些記錄的操作查看，搜索，回放等審計功能。支持協(xié)議：Telnet、SSH、RDP、VNC等 強制主機審計，所有運維行為強制經(jīng)過IT運維管控系統(tǒng)跳轉 IT運維管控系統(tǒng)所在服務器安全加固

六、泰然神州Zendeep運維審計系統(tǒng)方案效益分析

通過實施泰然神州Zendeep運維審計系統(tǒng)方案，安全審計工作可以得到有效簡化，可以進行全面的集中管理與審計，真正做到運維全程操作可見﹑可控﹑可查。

1、本系統(tǒng)可對所有用戶進行集中管理，包括本地管理用戶及遠程管理的用戶?？梢酝ㄟ^本系統(tǒng)行使如下功能：用戶的創(chuàng)建、修改、刪除和查詢、用戶的啟用和掛起控制、用戶的權限管理功能。

2、可以對歷史操作畫面回放，掌握第一手客觀公正的操作記錄。

3、對所有通過基于Telnet、SSH、RDP、VNC等協(xié)議的訪問操作，進行全生命周期錄像，可實現(xiàn)對歷史操作過程的真實再現(xiàn)。

4、根據(jù)用戶設置的規(guī)則、關鍵字、用戶名稱、目標地址、源地址負載名稱、部門名稱、描述信息和時間進行審計信息的查詢檢索，對查詢的結果進行回放，再現(xiàn)歷史操作畫面。

5、本系統(tǒng)對通過應用代理服務器訪問的負載的操作信息進行記錄，包括訪問負載IP地址、客戶端地址、運維用戶名稱、操作開始和結束時間等等，管理人員可以通過時間、客戶端類別（TELNET、SSH、RDP、VNC）、負載IP地址、客戶端IP地址和運維用戶對審計信息進行查詢。

6、可以制定有效的控制策略——將風險遠遠阻在門外，訪問授權控制策略：可以根據(jù)企業(yè)內控與管理的要求配置應用代理訪問控制策略，經(jīng)過授權的客戶端可以通過代理訪問負載，未經(jīng)過授權的客戶端則不可以訪問負載。

7、阻斷訪問控制策略：通過訪問控制策略阻斷控制，可以強制用戶必須通過應用代理訪問負載。

第三篇：IT運維監(jiān)管控一體化解決方案

IT運維監(jiān)管控一體化解決方案

IT運維管理閉環(huán)體系

2010-11-17

本文論述了IT運維監(jiān)管控一體化趨勢，建設要求、原則，方案整體設計和具體實現(xiàn)。

IT運維監(jiān)管控一體化解決方案

目 錄

1.2.3.4.IT運維服務管理概述......................................................................................................5 IT運維管理一體化管理解決之道..................................................................................6 IT運維一體化建設目標..................................................................................................6 系統(tǒng)設計原則...................................................................................................................7 4.1.4.2.4.3.4.4.4.5.4.6.4.7.4.8.5.系統(tǒng)的先進性.......................................................................................................7 系統(tǒng)的實用性.......................................................................................................7 系統(tǒng)的有效性.......................................................................................................7 系統(tǒng)的可行性.......................................................................................................7 系統(tǒng)的可靠性.......................................................................................................8 系統(tǒng)的開放性.......................................................................................................8 系統(tǒng)的擴展性.......................................................................................................8 系統(tǒng)的安全性.......................................................................................................8

IT運維一體化平臺建設原則..........................................................................................8 5.1.5.2.5.3.5.4.5.5.5.6.統(tǒng)一規(guī)劃...............................................................................................................8 轉變觀念...............................................................................................................9 分步實施...............................................................................................................9 可插拔模塊化.......................................................................................................9 有所為，有所不為.............................................................................................10 不唯美，而唯實.................................................................................................10

6.IT運維一體化解決方案................................................................................................10 6.1.6.2.6.3.6.4.6.5.理解IT運維一體化...........................................................................................10 監(jiān)視模塊建設.....................................................................................................12 流程管理模塊建設.............................................................................................12 自動化操作模塊建設.........................................................................................13 CMDB建設........................................................................................................14 6.5.1.CMDB戰(zhàn)略核心地位...............................................................................14

/ 28

IT運維監(jiān)管控一體化解決方案

6.5.2.CMDB建設方法.......................................................................................15 6.5.3.CMDB建設保障.......................................................................................16 6.5.4.構建CMDB模型......................................................................................17 6.5.5.避免CMDB建設誤區(qū)..............................................................................18 6.6.模塊之間接口實現(xiàn).............................................................................................18 6.6.1.監(jiān)與管之間的接口....................................................................................18 6.6.2.管與控之間的接口....................................................................................19 6.7.7.報表系統(tǒng).............................................................................................................19

IT運維一體化特點........................................................................................................20 7.1.7.2.7.3.7.4.7.5.7.6.7.7.監(jiān)管控一體化整合.............................................................................................20 層級化展現(xiàn)平臺.................................................................................................20 綜合事件管理平臺.............................................................................................20 全方位IT資源管理平臺...................................................................................20 面向基礎設施.....................................................................................................20 面向維護管理者.................................................................................................20 面向領導決策者.................................................................................................21

8.IT運維一體化系統(tǒng)功能................................................................................................21 8.1.8.2.8.3.8.4.8.5.8.6.8.7.8.8.8.9.信息門戶.............................................................................................................21 事故管理.............................................................................................................21 問題管理.............................................................................................................22 變更管理：.........................................................................................................22 發(fā)布管理.............................................................................................................23 配置管理.............................................................................................................23 工單管理.............................................................................................................23 作業(yè)計劃.............................................................................................................23 值班管理.............................................................................................................24

8.10.考核管理.............................................................................................................24 8.11.代維管理.............................................................................................................24 8.12.知識管理.............................................................................................................25 8.13.安全管理.............................................................................................................25

/ 28

IT運維監(jiān)管控一體化解決方案

8.14.服務持續(xù)性管理.................................................................................................25 8.15.容量管理.............................................................................................................25 8.16.可用性管理.........................................................................................................26 9.總結.................................................................................................................................26 9.1.9.2.IT運維管理內容層面........................................................................................26 IT運維一體化優(yōu)勢............................................................................................27

/ 28

IT運維監(jiān)管控一體化解決方案

1.IT運維服務管理概述

隨著企業(yè)信息化程度的提高、IT環(huán)境規(guī)模的擴大和IT環(huán)境復雜度的增加、行業(yè)內服務競爭的加劇，如何保證IT系統(tǒng)安全穩(wěn)定運行，為業(yè)務提供可持繼性的支撐，最優(yōu)化IT環(huán)境的性能，有效控制IT成本和計劃IT投資，這些都對IT系統(tǒng)運行維護支持以及IT服務水平提出了新的要求和挑戰(zhàn)。

面對的挑戰(zhàn)：

? 越來越高的服務成本 ? 以流程管理為驅動的轉型階段 ? 從以“技術為中心”向“業(yè)務驅動”的轉型 ? 服務協(xié)議成為最佳成果的代名詞

? 合作伙伴關系將替代“客戶－供應商”的簡單關系 ? 服務成為應用的代名詞

信息技術在業(yè)務中起著越來越重要的作用，越來越多的業(yè)務流程依賴IT技術。從技術和業(yè)務的雙重視角對其進行有效管理，保障業(yè)務處理平臺高效、安全、正常運行，為業(yè)務服務提供有力支撐成了運維人員和IT部門的常態(tài)工作。

如何在企業(yè)內部建立起一套有效的運維交互平臺，理順不同部門以及上下級之間的協(xié)作關系，規(guī)范工作流程，提高工作效率，實現(xiàn)故障處理、資源調度優(yōu)化、系統(tǒng)割接、業(yè)務保障等運維工作的閉環(huán)流程監(jiān)控和管理，是目前各IT運維部門關心的問題。

/ 28

IT運維監(jiān)管控一體化解決方案

但是，由于業(yè)務快速變化、用戶環(huán)境日益復雜、IT應用日益繁多等因素導致了IT服務與實際業(yè)務需求脫鉤，IT服務與業(yè)務部門的實際要求出現(xiàn)鴻溝，由此催生了面向“IT服務”的管理挑戰(zhàn)與需求―――IT服務管理。IT服務管理立足于服務，建立以客戶為中心，以流程為導向，從業(yè)務角度出發(fā)的全新的IT管理模式，通過整合IT 服務與業(yè)務，提高了組織對外提供服務的能力，是真正實現(xiàn)這種服務管理的有效途徑，能幫助用戶最終實現(xiàn)IT與業(yè)務的融合。

2.IT運維管理一體化管理解決之道

受習慣、時間、財力等諸多因素的影響，在邁入IT服務管理過渡階段過程中，大多數(shù)客戶的IT服務部門管理的變革沒能跟上技術的發(fā)展，未對IT服務管理進行整體規(guī)劃，沒有導入適合現(xiàn)階段的管理機制，依然沿用“被動響應、救火隊”服務支持管理模式，依然缺乏適用的自動化管理流程，導致IT服務管理能力低下。

IT運維一體化平臺依靠對復雜異構的IT資源環(huán)境（網(wǎng)絡設備、安全設備、服務器、存儲、機房環(huán)境、操作系統(tǒng)、數(shù)據(jù)庫、中間件、業(yè)務系統(tǒng)、IT資產(chǎn)、日常工作、外包管理......）的一體化監(jiān)（面向業(yè)務服務的監(jiān)視）、管（面向運維流程的管理）、控（面向日常運維的控制），最終達到保障IT基礎架構穩(wěn)定可靠運行、降低系統(tǒng)和業(yè)務應用宕機風險、提高運維支持和服務管理效率、優(yōu)化運維流程、建立績效體系、控制運維成本、改進決策過程的目標。

3.IT運維一體化建設目標

IT運維一體化平臺的總體目標是建立一個穩(wěn)定、高效、靈活的IT運行和維護管理體系，涵蓋IT運維工作中的監(jiān)、管、控三方面，為業(yè)務應用正常運行提供有力的支撐，提高信息系統(tǒng)運行效率，提高服務質量，降低運營的成本。

? 實時管理：及時發(fā)現(xiàn)故障與異常，并迅速定位，盡快解決；通過運行分析，調整運行策略；通過業(yè)務系統(tǒng)性能的測量和管理，優(yōu)化系統(tǒng)性能，提高系統(tǒng)運行效率。? 閉環(huán)管理：通過科學規(guī)范化的流程管理保證故障、異常、隱患由相應的人員采用必要的方式閉環(huán)處理；促進巡檢、變更的工作標準化、規(guī)范化；通過流程運行的考核數(shù)據(jù)，促進運維質量和運維效率的提高。

? 精益管理：通過豐富完善的報表和圖檔資料，為運行維護工作提供直觀準確基礎數(shù)據(jù)；避免維護工作中的疏漏而帶來的人力、資金浪費；分析信息基礎設施的運行負荷，制定合理的資源調配方案。

/ 28

IT運維監(jiān)管控一體化解決方案

? 戰(zhàn)略管理：優(yōu)化現(xiàn)有的IT基礎設施的運行性能；提升系統(tǒng)性能；預測并計劃信息基礎設施的需求；考核并不斷提升服務水平。

4.系統(tǒng)設計原則

4.1.系統(tǒng)的先進性

先進性是每一個IT系統(tǒng)建設不斷追求的目標。隨著IT技術的迅速發(fā)展，更新的、更先進的技術和思想總是在不斷出現(xiàn)，因此，系統(tǒng)設計必須兼顧先進性。

系統(tǒng)規(guī)劃的先進性是將系統(tǒng)看成一個有機的整體工程，不但在規(guī)劃時要考慮到它的目前現(xiàn)狀，還要考慮它的發(fā)展和未來。不論硬件或軟件，在應用目前相對成熟的技術基礎之上，系統(tǒng)必須能夠不斷完善、擴充，功能越來越豐富，盡可能小的代價來適應系統(tǒng)需求的不斷增長和技術的不斷發(fā)展，使現(xiàn)有系統(tǒng)能夠與IT運維需求同步增長。

4.2.系統(tǒng)的實用性

IT運維一體化平臺建設能否成功，實用性非常重要。系統(tǒng)設計必須以實用為出發(fā)點，而不是一味追求新技術、新理念和照搬國外模式。IT運維平臺是為IT環(huán)境支撐提供運維管理的基礎。要達到實用性的要求，必須設計時充分考慮到國內情況、本行業(yè)特點和本企業(yè)實際狀況，充分明確：提高自身的IT運維管理水平和提供更好的業(yè)務服務能力才是IT運維管理平臺建設的根本目標。

4.3.系統(tǒng)的有效性

IT運維管理系統(tǒng)是IT部門每天工作的基礎和平臺，是IT部門的根本。如果不具備有效性，華而不實，很難設想IT部門如何開展工作，如何實現(xiàn)有效的IT運維管理，更無法談論提供高質和高效的IT服務。

4.4.系統(tǒng)的可行性

IT運維的理念和設計規(guī)劃再好，如果不具備可行性，也只是空中樓閣。因此，必須考慮系統(tǒng)建設的可行性?？尚行缘目紤]包括：目前技術上是否可以實現(xiàn)、自身人力、物力和財力上的支撐。

/ 28

IT運維監(jiān)管控一體化解決方案

4.5.系統(tǒng)的可靠性

IT運維系統(tǒng)的重要性不言而喻。如果IT運維系統(tǒng)運行故障而停止工作，那么企業(yè)的IT環(huán)境猶如沒有控制盤的汽車，處在無序、慣性行駛的狀態(tài)。此時，IT環(huán)境對于IT運維人員而言，完全陌生，處于隔離、未知、失控的狀態(tài)。

對于IT運維管理系統(tǒng)，監(jiān)控的失敗或癱瘓相當于人失聰、失明，流程管理的失敗相當于大腦喪失了思考能力，自動化運維操作的失敗相當于截肢癱瘓。因此，任何模塊的失敗，后果都是嚴重的。IT運維系統(tǒng)本身的健壯性、自身完善性、穩(wěn)定性是至關重要的。

IT運維平臺是企業(yè)IT環(huán)境中實現(xiàn)正常運維工作的基礎和管理平臺。因此，IT系統(tǒng)建設一定要考慮系統(tǒng)的可靠性。

4.6.系統(tǒng)的開放性

IT技術發(fā)展日新月異，IT系統(tǒng)的開放性和標準性越來越成為一種趨勢。只有采用開放的系統(tǒng)，使用開放的技術，才能保證整個系統(tǒng)有持久的生命周期，才能長期保護企業(yè)在IT運維的有效投入。例如：接口之間采用Corba,xml,jdbc,ftp,jdbc等開放技術。

4.7.系統(tǒng)的擴展性

隨著IT業(yè)務系統(tǒng)的增加和IT環(huán)境規(guī)模的擴大，隨著時間的推移和情況的變化，無不需要考慮系統(tǒng)功能的變化和調整。因此，IT運維一體化平臺系統(tǒng)需要具有很強的擴展能力和適應能力。

4.8.系統(tǒng)的安全性

基于IT運維管理系統(tǒng)的角色，IT運維系統(tǒng)的安全變得至為關鍵。很難想象，IT運維管理系統(tǒng)由于病毒或者安全入侵，導致IT運維平臺癱瘓帶來的后果。

5.IT運維一體化平臺建設原則

5.1.統(tǒng)一規(guī)劃

IT運維一體化建設中必須堅持統(tǒng)一的規(guī)劃、明確的發(fā)展方向和思路，在全局、宏觀上做到統(tǒng)籌安排，合理規(guī)劃。實施對整體架構和數(shù)據(jù)模型的統(tǒng)一管控。

/ 28

IT運維監(jiān)管控一體化解決方案

5.2.轉變觀念

任何生產(chǎn)活動都是人來主導的，IT運維管理體系的建設不單是一個軟硬件系統(tǒng)的建設，還是一個運維團隊和人文的建設。IT運維一體化平臺的建設，是IT運維理念和管理上的一次劃階段的變革，它需要整個IT運維部門的文化、體制和思想也要作相應的轉變和調整才能成功。根據(jù)以往情況，企業(yè)的IT部門往往都是技術至上的工程師文化，而這種源于研發(fā)企業(yè)的文化和現(xiàn)今IT管理部門作為業(yè)務支撐部門的定位嚴重不符。因此，完善IT服務管理的過程，也必然是部門文化和IT運維理念和體制轉變的過程。在建設IT服務管理體系的過程中應遵循以下2個原則：

? 高起點，借鑒業(yè)界先進的管理模型和方法。

? 重執(zhí)行，任何管理規(guī)范和流程的制定都要以可執(zhí)行，可考核為前提。

5.3.分步實施

IT管理體系的建立和完善不可能一蹴而就，需要有長期的計劃步驟實施，必須循序漸進，遵循分階段和迭代實施的原則。

? 橫向擴展：從個別的業(yè)務系統(tǒng)擴展到所有的業(yè)務系統(tǒng)，規(guī)模上逐步從小到大。? 縱向加深：功能上逐步完善、豐富和細化，模塊和子模塊數(shù)量從少到多，從有到優(yōu)。? 制定計劃，“有重點、分階段”展開。

5.4.可插拔模塊化

IT運維一體化平臺涵蓋了IT運維工作的各個方面，從全局到局部，從宏觀到細節(jié)。系統(tǒng)架構設計必須以模塊化為基礎。

? 必須平衡考慮系統(tǒng)內部模塊的松散性和耦合性。作為同一平臺內部的模塊，由于相互協(xié)作，模塊和子系統(tǒng)之間必然存在著耦合性。另一方面，為了控制單點故障帶來的對系統(tǒng)整體的影響，必須有效控制單點故障后所影響的范圍并在此基礎上才有可能提供快速恢復的能力。

? 模塊化為可插拔性提供了可能，使得系統(tǒng)設計上可擴展性原則得以實現(xiàn)。? 可插拔化：為模塊的升級、優(yōu)化和采用新技術，提供了實現(xiàn)的前提。不同組件、不同層面的模塊的替換，對系統(tǒng)的其他模塊是透明的。局部的調整和升級并不對系統(tǒng)的整體架構產(chǎn)生必要的調整。

/ 28

IT運維監(jiān)管控一體化解決方案

5.5.有所為，有所不為

在一個階段，不求大、不求全。求大求全，則難以有所為，必然陷于被動。必須明確，有所不為而后可以有為。

5.6.不唯美，而唯實

過分追求完美，會導致華而不實，會導致系統(tǒng)本身和建設上的虛、浮、躁。只有尊重實際情況，才能腳踏實地，步步為營，有效推進IT運維管理工作的建設并不斷提高。

6.IT運維一體化解決方案

6.1.理解IT運維一體化

針對IT運維，我們劃分為三個方面，監(jiān)視、管理和控制?！氨O(jiān)、管、控”三者緊密關聯(lián)，邏輯上是一條龍過程，并形成閉合環(huán)路。

監(jiān)控的結果作為依據(jù)來分析、決策和指導IT運維工作的進行；IT運維工作本身需要流程管理來進行規(guī)范和控制；自動化運維操作將運維工作中大量、重復的勞動來批量控制，自動完成，節(jié)省人力，并提高效率。運維工作的質量和結果需要監(jiān)控來進一步實現(xiàn)觀察和確認，以判斷是否符合工作預期，必要時，再次調整和提高。

可以說，監(jiān)視是我們的眼睛，幫助我們透視和認清網(wǎng)絡、主機、應用等整個IT環(huán)境，是我們的情報來源；流程管理是我們的大腦，幫助我們思考、制定決策和完成流程控制和管

/ 28

IT運維監(jiān)管控一體化解決方案

理，是我們的情報分析和決策中心；控制是我們的雙手，完成自動化批量處理，是我們的實施力量和手段。由此，我們說，“監(jiān)、管、控”，這是有序的一條龍過程。

雙手完成運維處理和控制動作之后，我們需要眼睛再次監(jiān)視，來查看控制結果。繼而，需要大腦來審驗：是否符合預期？是否需要進一步調整和控制？如是，進而開始新的“監(jiān)管控”流轉過程。由此，我們還可以說，“監(jiān)、管、控”，這又是一個閉合的環(huán)路過程。

IT“監(jiān)管控”一體化運維，就是真正實現(xiàn)上面的一條龍過程和達到閉合環(huán)路的目的。在IT“監(jiān)管控”一體化運維模式下，當監(jiān)控管理模塊發(fā)現(xiàn)故障并產(chǎn)生告警后，如滿足相應的過濾和觸發(fā)條件，通過接口會自動觸發(fā)運維流程管理模塊生成相應的工單，運維流程管理模塊依據(jù)工單信息和相應運維人員預先設置好的關聯(lián)條件，自動尋找、識別和匹配自動化運維模塊中的操作腳本，實現(xiàn)自動和快速的故障操作處理。由此實現(xiàn)從發(fā)現(xiàn)故障到解決故障的IT運維全自動化，并自動完成運維操作日志記錄，以備事后回顧和審計。

IT運維自動化不是IT運維工作簡單的維護過程的改變，而是IT運維管理工作的根本變革，是IT運維管理的發(fā)展趨勢。

在IT“監(jiān)管控”一體化的運維平臺中，原來的網(wǎng)管監(jiān)控、運維流程管理和自動化運維操作平臺轉化為對應的“監(jiān)、管、控”三個模塊。

IT運維一體化平臺應在設計之始即充分遵循ITIL理論，并結合國內現(xiàn)狀、行業(yè)特點與實踐經(jīng)驗，建立以服務流程為驅動的管理平臺，實現(xiàn)人員、流程、技術三方面的完美結合。唯此，才能夠在幫助用戶深耕基礎架構、夯實基礎之后，與用戶一起建立遵循先進流程管理思想的ITIL理論、實現(xiàn)以服務流程驅動為導向的實用的“人管流程”。IT運維一體化平臺為用戶帶來“IT管理理念+系統(tǒng)工具+過程方法”的全新的IT服務管理組合，為用戶提供包括管理流程與規(guī)范、業(yè)務及實施方法在內的全方位IT運維服務管理一體化解決方案。

IT服務管理的最終目標是實現(xiàn)業(yè)務與技術的融合，IT運維一體化平臺緊扣業(yè)務部門與IT部門融合要求，提供業(yè)務與技術溝通和連接的平臺，將業(yè)務部門與IT部門緊密結合在一起，能夠幫助用戶持續(xù)提高業(yè)務部門和客戶的滿意度，為客戶的IT服務管理做出貢獻，提高用戶的核心競爭能力。

實施IT運維管理一體化可以幫助企業(yè)將IT系統(tǒng)原來的混亂狀態(tài)變到主動的管理狀態(tài)，包括將技術導向變?yōu)榱鞒?服務導向，將被動處理變?yōu)轭A防為主，將孤立、分散系統(tǒng)變?yōu)榧苫南到y(tǒng)等等。

總之，IT運維管理一體化通過將人才、流程和工具技術進行有機結合，實現(xiàn)高質量、高可靠性的IT服務服務管理。

/ 28

IT運維監(jiān)管控一體化解決方案

6.2.監(jiān)視模塊建設

IT監(jiān)控內容：網(wǎng)絡設備、鏈路、主機操作系統(tǒng)、數(shù)據(jù)庫、存儲、中間件、應用軟件、業(yè)務服務、機房環(huán)境（溫度、濕度）、機房門禁等。

通過IT網(wǎng)管監(jiān)控，可以幫助運維部門和人員實現(xiàn)全天候自動檢測，可以及時、快速發(fā)現(xiàn)故障，通過事件關聯(lián)分析，并結合問題管理，實現(xiàn)快速定位故障根源、快速預防和恢復，從而提升IT運維響應能力，變被動式管理為主動式運維，使IT運維工作從事后“救火式”管理轉變到事前預防型管理。

6.3.流程管理模塊建設

IT運維管理涉及的對象包括設備、技術和人員。其中，人是IT運維生產(chǎn)力決定的因素。如何有效實現(xiàn)設備、技術和人員的統(tǒng)一管理，如何實現(xiàn)人的組織和行為的科學化和規(guī)范化，需要IT運維流程管理。

IT運維工作本身具有工作量大、全面、繁瑣和復雜的特點，通過有效的IT運維流程管理平臺，既可以梳理工作流程，又可以理順部門之間和人員之間的職責關系，達到標準、規(guī)范、統(tǒng)一和科學的運維，保證IT運維工作無論是整體和全局，還是細節(jié)和局部，都能有效推進，避免IT運維工作的無序和混亂。

/ 28

IT運維監(jiān)管控一體化解決方案

IT運維流程管理通過建模，提高流程的可控性。同時，IT運維流程管理提高IT運維管理和執(zhí)行工作的透明度。傳統(tǒng)手工運維流程的不可控性和不透明性給流程定制、管理和優(yōu)化帶來相當大的困難，而IT運維管流程管理可以幫助IT運維部門一目了然地看到整個流程的全局和各運維工作節(jié)點的狀況。

通過標準化的IT運維流程管理，可以不斷提高IT運維工作質量，提升企業(yè)內外的IT服務滿意度。

電子運維流程管理系統(tǒng)定位于通過電子化手段來確保運維工作的流程化、工單化、自動化和信息化，實現(xiàn)對流程的實時監(jiān)控與閉環(huán)管理。

6.4.自動化操作模塊建設

在IT運維工作中，存在著大量和重復的勞動，如補丁安裝、合規(guī)檢查、配置收集、日常巡檢等。計算機的一個重要特點，就是可以幫助人類完成大量的、重復的勞動。自動化運維，就是人類在IT運維工作中具體操作層面的計算機化。

通過自動化運維：

? 實現(xiàn)批量處理，高效、快速工作； ? 節(jié)省人力，降低人力成本；

/ 28

IT運維監(jiān)管控一體化解決方案

? 將有限的IT運維人員解放出來，避免大部分時間和精力是處理簡單的、大量的、重復的問題和工作，而是更多時間和精力關注如何提高和保障IT運維； ? 技術知識和操作腳本共享，運維操作精確化、同質化、優(yōu)質化、規(guī)范化、統(tǒng)一化，避免運維工作中操作質量依賴于個體人員的知識、技術水平、工作責任心和態(tài)度等不可控因素；

? 實現(xiàn)轉變：以前運維工作更多依賴于“運維英雄”和埋頭苦干型員工，現(xiàn)在更多依賴于運維集體的力量；

? 交由計算機操作，可以避免人工誤操作導致的邏輯錯誤；

? 實現(xiàn)運維操作簡約化、透明化、規(guī)范化、標準化，有利于事前審核和事后檢查。

6.5.CMDB建設

6.5.1.CMDB戰(zhàn)略核心地位

作為ITIL/ITSM(IT服務管理)的核心，CMDB正從管理軟件附屬品的地位逐漸走入主流的戰(zhàn)略核心地位。

企業(yè)的IT環(huán)境越來越復雜，數(shù)量龐大、品種繁多。信息散布在企業(yè)的不同地方、不同系統(tǒng)中，而且信息的格式、內容也是千差萬別，難以統(tǒng)計、查詢、利用這些信息，由此給使用、更新、維護、優(yōu)化等管理工作造成了很大的麻煩，如何快速提供準確的配置信息是一個重大的挑戰(zhàn)。

CMDB儲存與管理企業(yè)IT架構中設備的各種配置信息，它與所有服務支持和服務交付流程都緊密相聯(lián)，一方面支持這些流程的流暢運轉、發(fā)揮配置信息的價值，同時依賴于相關流程保證數(shù)據(jù)的準確性。CMDB常常被認為是構建其它ITIL流程的基礎而優(yōu)先考慮，ITIL項目的成敗與是否成功建立CMDB有非常大的關系。

CMDB是描繪IT基礎設施如何構建的一個藍圖，它記錄了各種各樣的配置項（即硬件、軟件、事故、協(xié)議、服務級別、文檔、部門、人員等資源）是如何相互關聯(lián)的、以及各個系統(tǒng)是如何發(fā)揮作用的。

CMDB與傳統(tǒng)的資產(chǎn)庫有著根本的差別。資產(chǎn)庫是一個存儲企業(yè)所有資產(chǎn)的數(shù)據(jù)庫，而CMDB不僅僅存儲所有IT元素，更重要的是可以展示它們之間的相互關聯(lián)，從而幫助企業(yè)了解IT資產(chǎn)的運行狀態(tài)是什么樣子，它對企業(yè)業(yè)務有什么影響等。

/ 28

IT運維監(jiān)管控一體化解決方案

IT環(huán)境視圖清晰地展現(xiàn)了各種IT設備、其屬性以及相互關系；業(yè)務視圖可以讓每個人員明確，業(yè)務運作模式是什么樣，不同業(yè)務關聯(lián)到哪些設備，每個設備的故障影響到哪些業(yè)務等。

6.5.2.CMDB建設方法

CMDB是一個特殊的數(shù)據(jù)庫，它必須擁有4個至關重要的功能：

? 聯(lián)邦性：是指CMDB能直接獲取多種數(shù)據(jù)源并與數(shù)據(jù)源聯(lián)系在一起； ? 協(xié)調性：能夠避免重復，并對來自不同數(shù)據(jù)源的配置項進行自動匹配； ? 同步性：即確保整個系統(tǒng)中的信息是同步更新的； ? 可視化：即可提供配置項(CIs)的端對端及層次化視圖。

CMDB有兩種，一種是物理的數(shù)據(jù)庫，要求客戶把全部配置項都拷貝到物理數(shù)據(jù)庫里面去；另一種是虛擬的數(shù)據(jù)庫，如MO的CMDB，不要求客戶把全部配置項都拷貝到物理數(shù)據(jù)庫里，只維持關聯(lián)關系就可以。

物理型CMDB數(shù)據(jù)庫：存在兩個問題：其一，不同數(shù)據(jù)庫中的數(shù)據(jù)要全部無冗余地拷入CMDB，存在一定困難；其二，不同數(shù)據(jù)庫中的數(shù)據(jù)也是不斷地更新，要想同時把變更之后的數(shù)據(jù)傳遞給物理型CMDB，會帶來網(wǎng)絡流量方面的問題，也很難做維護。

虛擬型CMDB：通過指針索引的方式去獲得其他數(shù)據(jù)庫里的配置項信息，不存在以上兩個問題。但是，虛擬性CMDB需要人工梳理和比對大量的關聯(lián)關系，并不斷更新。

CMDB通常采用三種實施方法：自上而下、自中而上、自下而上。每種方法對現(xiàn)有配置數(shù)據(jù)的實施要求在范圍和程度上都不一樣。

? 自下而上的方法：也就是從底層開始，首先查找企業(yè)內的所有CI（配置項），著手建立一個大的數(shù)據(jù)庫，然后查找CI之間的關聯(lián)關系和對業(yè)務的影響。這種方法往往要花幾年時間才能完成。

? 自上而下的方法：就是從小的局部系統(tǒng)開始實施，比如信貸核心系統(tǒng)，從這個業(yè)務開始著手，然后把底下與此業(yè)務相關的所有IT元素全都關聯(lián)過來。這樣的好處是可以在比較短的時間內即一個月做出一個完整的CMDB，而不需要花若干年。? 自中而上的方法：就是采用折中方法建立CMDB，它是通過在企業(yè)建設過程中，將逐步形成的分散的、獨立的、自身需要的信息資源庫在CI層面上進行邏輯聯(lián)邦和同步，建立起虛擬的CMDB。

/ 28

IT運維監(jiān)管控一體化解決方案

自中而上的方法，可以幫助用戶在短時間內建立起企業(yè)內需要的CMDB。CI信息全面，同時見效快，既避免大規(guī)模的CMDB建設的時間長、見效慢的缺點，也避免了單點突出建設CMDB的CI范圍狹窄、完整度不足的缺點。

具體建設CMDB時，需要從兩個層面來實施：

? 一是采集基礎數(shù)據(jù)。要通過適配器把數(shù)據(jù)采集上來，然后放到一個大的數(shù)據(jù)庫中。

? 二是建立業(yè)務視圖和業(yè)務影響分析。業(yè)務視圖反映業(yè)務流程運作的情況是不是正常，有沒有問題等。這需要按照業(yè)務性質、業(yè)務流程等建立模型。

通過建模工具，建立描述業(yè)務流程的樹狀模型，模型上的每個結點上把每個配置項（CI）的影響以及相互影響放在上面，一旦某個配置項出現(xiàn)問題，圖上就可以實時反映出來。為了建立業(yè)務視圖，IT部門需要得到業(yè)務部門的大力支持。

6.5.3.CMDB建設保障

企業(yè)在實施ITIL項目的時候，配置管理常常被視為項目的軟肋，費時費力，卻事倍功半。究其原因主要是因為企業(yè)在建設CMDB（配置管理數(shù)據(jù)庫）的時候，往往不知所措，耗費了大量的人力和時間收集各類IT基礎架構信息，最后得到的卻是一個極其復雜而難以維護的“IT基礎架構信息庫”。這與ITIL描繪的配置管理是企業(yè)實踐IT服務管理的基礎或核心，為ITIL其它流程提供基礎信息的關鍵地位相去甚遠。正確來構建CMDB，必須有如下保障：

? 制定配置管理政策

IT運維管理政策，是指導和規(guī)范IT運維管理的行動指南和共同綱領。它使企業(yè)在認識上形成統(tǒng)一，減少了不必要的溝通成本，并使企業(yè)在流程執(zhí)行上事半功倍。對于構建CMDB而言，主要有以下兩類政策：

宏觀政策，主要是涉及公司或IT部門層面指導性、方向性的政策，其目標是在企業(yè)內部形成統(tǒng)一認識。如：企業(yè)IT內部應當使用統(tǒng)一的配置管理流程，并且使用標準的文檔記錄和匯報機制。

運營政策，主要涉及到流程目標、人員、輸入、輸出、活動以及KPI(關鍵績效指標)等各要素以及流程之間相互協(xié)調、信息交互方面的指導原則，其目標是使流程能夠在政策的指引下穩(wěn)健、有效地執(zhí)行。

? 確定配置管理的范圍

/ 28

IT運維監(jiān)管控一體化解決方案

政策的制訂定為企業(yè)構建CMDB營造了良好的環(huán)境，配置管理范圍的確定才是企業(yè)構建CMDB的真正開始。配置管理的范圍主要指的是CI的寬度和深度，以及CI的生命周期。（注：ITIL所提到的配置管理范圍主要指的是CI的寬度和深度，CI的生命周期ITIL認為是從CI的接收到最終的報廢退出，但在實施過程中，由于流程管理主體的差異化，對CI管理的生命周期的劃分也有所不同。）

6.5.4.構建CMDB模型

有了CMDB建設保障之后，可以來梳理配置項信息及其關系，從而設計出CMDB模型藍圖，主要包括以下步驟：

? 定義配置項的關系

配置項（CI）之間關系的定義也是配置管理建設和IT資產(chǎn)管理建設的區(qū)別點之一。可以采取兩種方法進行具體的梳理工作，一種是“自上而下”；另一種是“自下而上”。

“自上而下”方法一般要求企業(yè)已經(jīng)明確了對外提供的服務目錄，然后基于服務目錄按照“業(yè)務服務——》IT服務——》IT系統(tǒng)——》IT組件”的順序進行梳理。

顧名思義，“自下而上”方法是“自上而下”方法的逆向過程，企業(yè)先從對內部IT組件關系進行梳理的過程開始，然后逐步將IT組件映射到IT服務。相對來說，當前“自下而上”的方法適用范圍更廣。

? 定義配置項的屬性

在構建CMDB的過程中，除了構建配置項（CI）關系外，還需要為每個配置項（CI）定義屬性。

? 設計IT服務模型藍圖

最后，構建一份IT服務模型藍圖。藍圖主要起到了兩個作用，一方面它是對當前企業(yè)CMDB建設工作成果的驗證；另一方面，它也是對將來企業(yè)改進和完善CMDB建設方向的一種指引。通常藍圖中應該包括以下內容：判斷CI的標準；定義CI屬性、關系的準則 ；持續(xù)改進方案和過程；當前的IT服務模型等。

CMDB旨在存儲與管理企業(yè)IT架構中設備的各種配置信息，有別于傳統(tǒng)的數(shù)據(jù)庫。CMDB作為統(tǒng)一的配置管理庫，必須全面、細致而準確地記錄和保存各種軟硬件配置信息，以便支撐事件、問題、變更、發(fā)布等各種ITSM流程，成為整個 IT運維管理的基礎。

/ 28

IT運維監(jiān)管控一體化解決方案

6.5.5.避免CMDB建設誤區(qū)

CMDB建設是一項“意義大、投入大、見效緩”的地基工程。需要明確系統(tǒng)定位和理清功能的前提下，應該確立并堅持以下原則：

? 應用場景決定管理粒度和幅度； ? 數(shù)據(jù)維護緊密結合ITSM流程； ? 自動采集作為數(shù)據(jù)核查手段； ? 專題應用帶動數(shù)據(jù)維護；

? 配置項關系呈現(xiàn)直觀化作為系統(tǒng)特色。

基于了上述原則，才能避免CMBD建設陷入數(shù)據(jù)“維護難 – 消費少 – 不準確 – 消費更少”的惡性循環(huán)，才能把項目帶到了實用、有效階段。

在CMDB建設和應用中，必須注意基礎數(shù)據(jù)準確性的問題。如果用戶保存了基礎資源配置數(shù)據(jù)，但是存在較大的不規(guī)范、不全面的問題：設備的廠家、型號不規(guī)范，不符合系統(tǒng)要求；資源之間的關聯(lián)關系缺乏，無法有效支持IT運維管理。

必須認識到，系統(tǒng)功能加上基礎數(shù)據(jù)等于系統(tǒng)能力，系統(tǒng)能力加上頻繁使用等于業(yè)務成效。如何保證數(shù)據(jù)質量，使系統(tǒng)成效發(fā)揮出來，避免功虧一簣，是CMDB建設中不可忽略的問題。

6.6.模塊之間接口實現(xiàn) 6.6.1.監(jiān)與管之間的接口

網(wǎng)管監(jiān)控模塊與流程管理模塊之間的接口，主要體現(xiàn)為某些滿足預定條件的告警自動觸發(fā)生成電子工單，進入流程管理模塊。

因此，如何實現(xiàn)監(jiān)與管兩個模塊之間的接口、數(shù)據(jù)的轉換和正確、準確和全面地確定觸發(fā)條件，是設置此接口的關鍵之處。

如果未能正確設置觸發(fā)條件，則會導致錯誤工單的產(chǎn)生，如工單類別錯誤。

如果未能準確設置觸發(fā)條件，則會導致工單內容的不準確，如責任人或責任部門的錯誤。如果未能全面設置觸發(fā)條件，則會導致漏派發(fā)工單。

工單中的信息與告警中包含的信息既有交集，又有轉換和有所區(qū)別。工單的故障信息內容和描述來源于告警信息，但是告警信息應用于網(wǎng)管監(jiān)控層面，是為了全面準確反映監(jiān)控結

/ 28

IT運維監(jiān)管控一體化解決方案

果，描述故障現(xiàn)象。工單信息是應用于流程管理平臺，是為了描述故障、界定責任范圍、規(guī)范工單流轉、跟蹤工單等目的。

6.6.2.管與控之間的接口

IT流程管理的最終目的和效果反映在對運維操作的指導上，而對于批量的、重復的運維工作，可以高效、優(yōu)質和規(guī)范化地通過自動化運維操作來實現(xiàn)。借助于IT“監(jiān)管控”一體化運維平臺，其中的流程管理和自動化運維操作模塊之間的接口，運維部門和人員可以預先設置過濾和觸發(fā)條件，根據(jù)工單信息，關聯(lián)個別的自動化運維操作腳本。

因此，如何實現(xiàn)監(jiān)與管兩個模塊之間的接口、數(shù)據(jù)的轉換和正確、準確和全面地確定觸發(fā)條件，是設置此接口的關鍵之處。

如果未能正確設置觸發(fā)條件，則會啟動不必要的自動化運維操作，造成嚴重后果。如果未能準確設置觸發(fā)條件，則會導致非預期的自動化運維操作。如果未能全面設置觸發(fā)條件，則會導致遺漏預期的自動化運維操作。

6.7.報表系統(tǒng)

專業(yè)的IT運維報表可以準確、系統(tǒng)地反應IT信息系統(tǒng)運行狀況和IT運維管理狀況。對IT基礎架構、業(yè)務系統(tǒng)運行走勢和IT運維工作本身進行分析，反應目前整體現(xiàn)狀，發(fā)現(xiàn)趨勢和潛在問題，采用科學的手段完成評估，指導現(xiàn)在和未來的IT環(huán)境建設，促進后續(xù)工作的展開。包括：

? 事件類報表 ? 告警類報表 ? 問題報表 ? 配置報表 ? 工單類報表 ? ??

報表提供訂閱的功能，對于用戶訂閱的報表，將定期自動生成html文件發(fā)送到用戶郵箱中，方便用戶查看。

用戶也可根據(jù)需要選擇將報表轉換為pdf等其他格式。

/ 28

IT運維監(jiān)管控一體化解決方案

7.IT運維一體化特點

7.1.監(jiān)管控一體化整合

采用portal技術架構，克服了基礎架構監(jiān)控、運維服務管理和自動化操作運維的人為分割，實現(xiàn)集中管理、統(tǒng)一展示、統(tǒng)一配置、隨需定制、分權使用。

7.2.層級化展現(xiàn)平臺

以業(yè)務監(jiān)控為中心，以事件為基礎，將基礎資源監(jiān)控與業(yè)務服務貫穿在一起，建立從整體到局部、從宏觀到細節(jié)的不同顆粒細度的層級化IT運維視圖，以滿足不同部門、不同級別領導和運維人員的關注層面和工作需求。

7.3.綜合事件管理平臺

各類基礎架構的故障、性能、配置事件匯總并通過規(guī)則策略庫和服務依賴模型，提供全面、及時、準確的、高效靈活的事件壓縮、過濾、關聯(lián)能力。

7.4.全方位IT資源管理平臺

自動發(fā)現(xiàn)的IT資源數(shù)據(jù)庫（RDB）與流程管理配置管理庫（CMDB）的定期同步，實現(xiàn)資源管理數(shù)據(jù)的整個生命周期的管理。

7.5.面向基礎設施

全面的系統(tǒng)資源管理：提供對網(wǎng)絡、主機、存儲設備、安全設備、數(shù)據(jù)庫、中間件及應用軟件、機房環(huán)境等IT資源的全面監(jiān)控管理。

智能化的故障管理：自動收集、過濾、關聯(lián)和分析各種管理功能產(chǎn)生的故障事件，實現(xiàn)對故障的快速定位和處理。

性能管理與優(yōu)化:對網(wǎng)絡和業(yè)務應用等IT資源的性能進行監(jiān)控，定期提供性能報表和趨勢報表，為IT環(huán)境性能優(yōu)化提供科學依據(jù)。

7.6.面向維護管理者

運維服務管理：將人、技術與流程進行有效地融合，實現(xiàn)日常運維工作的自動化、信息化和標準化。

/ 28

IT運維監(jiān)管控一體化解決方案

智能總控中心：實時展現(xiàn)當前企業(yè)IT系統(tǒng)的運行狀態(tài)及趨勢，幫助管理人員快速發(fā)現(xiàn)問題，分析和確定問題所在。

知識庫：自動實現(xiàn)運維知識的積累、沉淀和共享，從而降低IT運維管理對個人的依賴。

7.7.面向領導決策者

綜合報表：對系統(tǒng)運行狀況的信息進行匯總，幫助領導更全面的了解網(wǎng)絡系統(tǒng)的運行狀況和趨勢，為領導決策提供科學依據(jù)。

績效評估依據(jù)解決：借助自動生成的各種工作記錄，領導可對運維人員的績效進行客觀的評估

8.IT運維一體化系統(tǒng)功能

8.1.信息門戶

IT運維一體化系統(tǒng)應該基于WEB實現(xiàn)，提供統(tǒng)一的portal信息門戶平臺，可以呈現(xiàn)各類發(fā)布信息，和各項IT運維工作的統(tǒng)一入口。同時提供個人工作室功能，不同用戶可根據(jù)日常使用各項功能的頻次自行定義工作桌面，為操作者迅速進入各項功能模塊提供快捷手段。

? 個人桌面管理 ? 待辦事宜 ? 已處理事宜 ? 日程安排 ? 工作計劃及總結 ? 個人收藏夾 ? 任務管理 ? 便箋管理 等

8.2.事故管理

事故管理負責記錄、歸類和安排專家處理事故并監(jiān)督整個處理過程直至事故得到解決和終止。事故管理的目的是在盡可能最小地影響客戶和用戶業(yè)務的情況下使IT系統(tǒng)恢復到服務級別協(xié)議所定義的服務級別。

/ 28

IT運維監(jiān)管控一體化解決方案

8.3.問題管理

當事件在第一時間沒得到及時解決，就進入問題管理程序。

問題管理的重要性：通常80%的服務品質下降都是因為20%的問題，所以專注與20%的問題解決可以大大的提升服務。

問題管理的目標：將 IT 基礎設施內的錯誤引起的事故和問題對業(yè)務的負面影響減到最小，并防止與這些錯誤相關的事故再度發(fā)生。為了實現(xiàn)這個目標，“故障管理”力求找到引發(fā)事故的根源，然后才著手改善或糾正該情況。

問題管理流程具有被動和主動兩個方面：

被動方面是作為對一個或多個事故的反應而解決問題。問題分析方法： 定義問題；

按個體、地點、時間以及范圍大小描述問題；

建立可能的原因；

測試最有可能發(fā)生的原因；

驗證真正的原因。

主動“故障管理”是指通過趨勢分析和定期的事件統(tǒng)計表，在事故發(fā)生前確定并解決問題和已知錯誤。

8.4.變更管理：

變更管理流程的目標：確保利用標準化的方法和規(guī)程有效、及時地處理所有變更，以便將由變更引起的事故對服務質量的影響減到最小或將事件數(shù)減少，并因此改進日常運維。

最常見的是終端用戶提出的請求，其中有些是系統(tǒng)改進或增加功能的請求，有些是常規(guī)變更（如幫新進人員建立新的賬號），有的可能是系統(tǒng)出錯，這在IT 中通常稱為事件，如果是系統(tǒng)出錯就要找出原因和解決步驟，才能進入到變更管理的第一步：RFC提出變更請求，變更請求應該包括（RFC編號、問題編號、那些配置項需要改變、變更的理由、如果不變更會造成的影響、變更人的聯(lián)系方式）；變更管理員負責監(jiān)督變更從提出到解決的整個過程記錄進CMDB、對變更請求進行過濾；同時提交變更到公司指定的變更管理委員會批準。變更管理需要有準確的CMDB配置管理數(shù)據(jù)庫，對變更進行分析。

/ 28

IT運維監(jiān)管控一體化解決方案

8.5.發(fā)布管理

發(fā)布管理是指對經(jīng)過測試后導入實際應用的新增或修改后的配置項進行分發(fā)和宣傳的管理流程。發(fā)布管理以前又稱為軟件控制與分發(fā)，它由變更管理流程控制。

8.6.配置管理

在上邊的變更管理中，我們提到當一個RFC進入變更程序的時，管理員和CAB需要有一個方法評估變更可能造成的影響，而評估需要的相關信息需要一個機制來提供，這個機制就是配置管理。

配置管理的目標是：

a.對公司內部的所有 IT 資產(chǎn)和配置及其服務作出說明

b.提供有關配置及其記錄的準確信息以支持所有其他的“服務管理”流程 c.為“事故管理”、“故障管理”、“變更管理”和“發(fā)布管理”提供堅實的基礎 d.對照基礎設施驗證配置記錄并糾正任何異常情況

8.7.工單管理

提供電子化工作流程和工作人員的考核依據(jù)，實現(xiàn)運維工作管理的科學化、規(guī)范化和自動化。支持工單流程的自定義，方便配置成適合特定用戶需求的流程管理平臺。

基于工單的流程管理是流程管理模塊的核心功能。工單管理有三個來源入口： ? 監(jiān)視模塊：網(wǎng)管監(jiān)控系統(tǒng)發(fā)出告警，滿足預先設置的過濾等條件觸發(fā)產(chǎn)生工單，送轉到流程管理系統(tǒng)。

? 領導派單； ? 服務臺報單。

8.8.作業(yè)計劃

作業(yè)計劃模塊主要實現(xiàn)針對各類運維作業(yè)計劃工作的電子化管理，包括作業(yè)計劃大綱管理、作業(yè)計劃管理、月度作業(yè)計劃、周作業(yè)計劃、日作業(yè)計劃等管理等模塊。用戶根據(jù)下發(fā)的作業(yè)計劃大綱，進行作業(yè)計劃模板定制和模板管理，再使用作業(yè)計劃管理模塊制定計劃、月度計劃、周計劃和日計劃。本功能模塊主要包括如下功能：

? 大綱的制定、查詢、修改 ? 計劃的建立、查詢和審核

/ 28

IT運維監(jiān)管控一體化解決方案

? 月度計劃的建立、查詢和審核 ? 基于模板的作業(yè)計劃制定 ? 待執(zhí)行作業(yè)計劃提醒 ? 作業(yè)計劃執(zhí)行情況考核 ? 作業(yè)計劃執(zhí)行情況統(tǒng)計分析

8.9.值班管理

值班管理功能模塊主要實現(xiàn)統(tǒng)一的機房電子化值班管理，將排班安排、值班日志、交班記錄、維護作業(yè)記錄，以及由各項維護規(guī)程和管理辦法中確定的周期性維護作業(yè)計劃等任務集成至該系統(tǒng)中，使得當班人員能夠準確、高效地完成各項維護任務。值班管理具有以下功能：

? 電子化排班：排班任務制定后值班人員直接收到排班結果； ? 值班機房配置：支持對所有機房值班相關數(shù)據(jù)的靈活配置；

? 值班信息管理：故障巡查、線路巡檢、網(wǎng)管巡查等值班數(shù)據(jù)信息的自動記錄； ? 交接班管理：交接班人員通過本系統(tǒng)進行交接班，并自動記錄交接班日志； ? 值班日志管理：對值班日志提供查詢統(tǒng)計功能。

8.10.考核管理

結合用戶的運維考核制度和考核辦法，根據(jù)系統(tǒng)對日常運維工作的自動記錄，考核模塊能夠實現(xiàn)對作業(yè)計劃、工單調度、值班、代維等工作的考核管理功能。

8.11.代維管理

代維管理：針對行業(yè)特點和企業(yè)實際，增加代維管理。很多企業(yè)為了更讓自己關注自己的核心業(yè)務并提高IT運維水平，而將自己的IT運維工作或者部分IT運維工作外包給更專業(yè)的第三方。因此，有必要規(guī)范外包方與承包方之間的關系和管理，包括工作內容、工作量的考核。

代維管理通過電子化平臺實現(xiàn)與代維公司之間的聯(lián)系，將代維公司的日常工作與用戶的管理流程結合起來。由此實現(xiàn)對代維工作的規(guī)范化和高效的管理，同時建立代維公司的考核機制，實現(xiàn)優(yōu)勝劣汰。

? 代維項目管理

/ 28

IT運維監(jiān)管控一體化解決方案

? 代維合同管理

? 代維公司、代維隊、代維人員管理 ? 代維工作計劃 ? 代維記錄 ? 代維報告 ? 代維問題跟蹤 ? 代維考核

8.12.知識管理

? 經(jīng)驗庫管理：保存故障分析、問題分析經(jīng)驗或分析系統(tǒng)問題產(chǎn)生的原因等知識，為操作人員在解決各類問題時提供必要的經(jīng)驗或知識支持的專家經(jīng)驗系統(tǒng)。? 資料管理：運用電子化手段對包括備品備件、各專業(yè)日常操作維護資料、運維人員資料、相關部門資料等信息進行添加、修改、刪除、分類、歸檔、查看等操作。

8.13.安全管理

? 多用戶、分級別、分權限設置 ? 用戶登錄日志 ? 用戶操作日志

? 用戶數(shù)量、登錄位置、密碼等安全限制

8.14.服務持續(xù)性管理

IT服務持續(xù)性管理是指確保發(fā)生災難后有足夠的技術、財務和管理資源來確保IT服務持續(xù)性的管理流程。IT服務持續(xù)性管理關注的焦點是在發(fā)生服務故障后仍然能夠提供預定級別的IT服務，從而支持組織的業(yè)務持續(xù)運作的能力。

8.15.容量管理

容量管理的目的：確保以最有效和實時的方式提供目前以及未來因業(yè)務需求而增長的IT容量。

容量管理分三步走：收集與容量有關的技術信息、SLA、業(yè)務規(guī)劃、IT計劃、業(yè)務的需求以及數(shù)量大小，和財務規(guī)劃與預算；

/ 28

IT運維監(jiān)管控一體化解決方案

容量管理是大多數(shù) IT 部門一直面臨的一個挑戰(zhàn)，因為基礎設施和服務需求每天都在發(fā)生變化。如果沒有財務限制，“容量管理”就會很簡單。但是，實際上財務限制以及合理利用舊系統(tǒng)中的投資這種需求將繼續(xù)使容量管理成為一個挑戰(zhàn)。

8.16.可用性管理

可用性管理流程的目標：優(yōu)化 IT 基礎設施的容量、服務和支持的公司，以便提供成本效益且使企業(yè)滿足其業(yè)務目標的可用性級別，在成本和可用性之間取得平衡。

可用性管理是通過分析用戶和業(yè)務方的可用性需求并據(jù)以優(yōu)化和設計IT基礎架構的可用性，從而確保以合理的成本滿足不斷增長的可用性需求的管理流程?？捎眯怨芾硎且粋€前瞻性的管理流程，它通過對業(yè)務和用戶可用性需求的定位，使得IT服務的設計建立在真實需求的基礎上，從而避免IT服務運作中采用過度可用性級別，節(jié)約IT服務運作成本。

9.總結

9.1.IT運維管理內容層面

依據(jù)管理內容對IT管理階段大致分為：對基礎架構的管理和對業(yè)務服務的管理。基礎架構管理是IT管理的基礎和底層數(shù)據(jù)的來源，也是管理的基本元素和根基。業(yè)務服務的管理是建立在基礎架構管理的基礎上，從業(yè)務的視角來衡量IT運維，是面向業(yè)務服務的IT運維管理。

以上述管理內容為主旨的IT運維管理系統(tǒng)，在管理思路和功能展現(xiàn)上，需要體現(xiàn)以下兩方面內容：

? 以基礎設施管理為根本

這一塊內容是管理的前提和保證。沒有好的基礎設施管理作為保證，其它管理都會成為空中樓閣。在基礎設施管理中，首先要保證管理的范圍適當齊全，其次要保證管理的設備類型要完整，最后要保證管理的深度適當足夠，以保證獲取的底層數(shù)據(jù)要充分和有效。

? 以業(yè)務為中心管理思想

以業(yè)務為中心是IT全面運維管理解決方案最根本的因素。今天，IT環(huán)境僅有“可用性”是不夠的，只有為業(yè)務提供最優(yōu)性能才能使之立足?？捎眯?、性能測量和管理都是當今運維管理的組成部分。性能測量應當融入全面IT運維管理解決方案并與之緊密配合，提供前瞻性預測和管理，而不僅僅是做事后諸葛亮。

/ 28

IT運維監(jiān)管控一體化解決方案

9.2.IT運維一體化優(yōu)勢

企業(yè)的生產(chǎn)活動對IT環(huán)境的依賴性越來越強，IT環(huán)境規(guī)模不斷擴大，架構異構度和復雜度不斷增加，這些無疑對IT運維工作提出了更大的挑戰(zhàn)。盡管存在這樣或那樣的風險和難度，但是IT“監(jiān)管控”運維一體化仍然是不可逃避的趨勢。

有了IT“監(jiān)管控”運維一體化的綜合運維平臺，可以有效實現(xiàn)： ? 單點登錄； ? 統(tǒng)一安全管理；

? 統(tǒng)一資源管理，整合一致的CMDB； ? 統(tǒng)一用戶管理和角色管理； ? 統(tǒng)一展現(xiàn)模式；

? 通過模塊之間的接口，借助于合理配置的正確和準確的觸發(fā)條件，基于統(tǒng)一的CMDB核心，數(shù)據(jù)流轉可以在模塊之間自由完成ETL（抽取、轉換和載入），真正實現(xiàn)IT運維工作一條龍的自動化；

? 在一體化平臺內部，以前相互隔離的監(jiān)控、流程、自動化運維平臺演變?yōu)橐惑w化平臺內部的模塊，既相互獨立，又密切關聯(lián)，相互銜接，業(yè)務邏輯上形成閉合環(huán)路，代表了IT運維工作的發(fā)展趨勢；

/ 28

IT運維監(jiān)管控一體化解決方案

? 同時，借助于IT“監(jiān)管控”運維一體化，可以完善我們IT運維工作中的PDCA（Plan-Do-Check-Action）管理循環(huán)，達到良性的PDCA循環(huán)式階梯上升過程。我們在IT流程管理模塊中根據(jù)監(jiān)視結果完成情報分析，提出計劃和具體步驟（完成PDCA中的Plan階段），在自動化操作模塊中完成執(zhí)行動作（完成PDCA中的Do階段），在進一步的監(jiān)視結果中，檢查確認Do的效果（完成PDCA中的Check階段），然后依據(jù)最新的監(jiān)視結果進行調整（完成PDCA中的Adjust階段），即制定新的計劃（Plan），從而開始進入下一個PDCA循環(huán)。由此，達到運維質量的不斷改進和提高（Improve）。

/ 28

第四篇：運維管理定義

運維管理(IT Operations Management)幫助企業(yè)建立快速響應并適應企業(yè)業(yè)務環(huán)境及業(yè)務發(fā)展的IT運維模式，實現(xiàn)基于ITIL的流程框架、運維自動化。

核心思想隨著國內企業(yè)業(yè)務信息化的深入, IT運維部門所負責的IT設備及軟件的運行維護工作變得越來越復雜，技術難度也越來越高。傳統(tǒng)的IT工具和流程集中在技術上，而不是業(yè)務目標上。業(yè)務服務管理(Business Service Management)使IT能輕松滿足業(yè)務的需求，轉變企業(yè)的環(huán)境，使業(yè)務部門和IT部門領導者能夠擁有統(tǒng)一的語言，通過統(tǒng)一的界面面對挑戰(zhàn)，理解新變化所帶來的影響。

BSM主要強調從業(yè)務的視角來看待企業(yè)的IT運維，從而最大化發(fā)揮IT對企業(yè)業(yè)務的推動作用，這就IT運維的核心思想。

著眼點IT系統(tǒng)的業(yè)務服務管理主要著眼點

一、確立以業(yè)務價值為核心，業(yè)務驅動管理的管理思想面向業(yè)務要首先在IT管理的戰(zhàn)略層面上建立“業(yè)務驅動”的IT治理和管理思想，使得業(yè)務部門的目標和IT運維的目標一致，都是為了企業(yè)整體戰(zhàn)略目標的實現(xiàn)，把對業(yè)務的支撐能力和管理實效，作為評價IT系統(tǒng)效用和IT部門工作的首要指標。只有這樣，才能在全企業(yè)范圍內建立“技術服務于業(yè)務發(fā)展”的意識和文化，是真正實現(xiàn)IT與業(yè)務融合，共同為企業(yè)的戰(zhàn)略目標服務。

二、建立關鍵業(yè)務服務模型今天的業(yè)務部門對應用程序的依賴性比過去更強了。應用程序軟件可以實現(xiàn)關鍵業(yè)務流程的自動化 —自動化既包括付款、資金轉賬、下訂單和訂單履行。由于應用程序故障或性能問題可能導致嚴重的業(yè)務影響，因此業(yè)務部門迫切需要 IT 部門在發(fā)生問題時提供更高的應用程序服務級別和更快的問題解決方案。所以，必須結合企業(yè)戰(zhàn)略和目前業(yè)務運營情況，辨識企業(yè)業(yè)務服務，特別是關鍵業(yè)務應用。為這些核心業(yè)務系統(tǒng)服務，建立和企業(yè)未來發(fā)展愿景、目前IT架構、管理模式等相適應的業(yè)務服務模型，能夠清晰地描述業(yè)務與IT之間的關聯(lián)關系和IT服務的關鍵目標。

三、管理信息共享目前，出于對IT資源專業(yè)化、精細化管理的要求，企業(yè)部署了諸多的監(jiān)控管理工具，如網(wǎng)絡監(jiān)控、系統(tǒng)監(jiān)控、數(shù)據(jù)庫監(jiān)控工具等。一般來說，這些監(jiān)控工具往往來自于不同的廠商，彼此之間缺乏信息共享的手段。而一個具體的業(yè)務是由網(wǎng)絡、主機、應用本身所組成，管理信息無法共享，這就造成了當一個故障出現(xiàn)時，無法通過系統(tǒng)直接自動分析并定位故障點，加大了IT故障的分析難度，降低了解決問題的效率。業(yè)務服務管理可以有效整合企業(yè)已經(jīng)構建的眾多IT監(jiān)控系統(tǒng)，將分散的IT管理信息集中到一個單點的管理平臺中，從而可以快速進行故障定位。

四、根源問題定位隨著企業(yè)業(yè)務的快速發(fā)展，IT環(huán)境越來越復雜，IT組件越來越多，同時各組件之間的關聯(lián)關系也更加紛亂和復雜。業(yè)務服務管理能夠提供有效的根源問題定位能力，它著眼于企業(yè)的核心業(yè)務系統(tǒng)，通過集中與業(yè)務相關的IT信息，根據(jù)業(yè)務邏輯和IT組件之間的關聯(lián)關系進行建模，企業(yè)可以在業(yè)務模型中的任何一點進行快速的根源問題分析和定位，大大提高了解決問題的速度和準確度。

五、故障影響范圍評估當我們發(fā)現(xiàn)IT故障時，我們不僅應該關注故障本身，更應該考慮該故障對業(yè)務系統(tǒng)的影響。通過建立業(yè)務服務影響拓撲，可以快速的了解企業(yè)的關鍵性業(yè)務及業(yè)務故障時的影響范圍，通過了解企業(yè)具體的業(yè)務環(huán)境，優(yōu)先處理關鍵故障點。

第五篇：項目運維管理

龍崗區(qū)項目運維管理

1、設備應用

1、負責對所有設備的應用操作，每季度提交每個設備的配置和存儲應用情況報告、網(wǎng)絡拓撲報告、IP分配報告，并負責對龍崗區(qū)城管局的相關工作人員進行培訓；

2、對新應用的設備需求，駐場工作人員應及時提交設備配置現(xiàn)狀及設備規(guī)劃報告，以便該應用能及時實施；

3、掌握設備的運行情況，就保修期、存儲空間等及時進行提醒；

4、建立相關系統(tǒng)軟件各種故障的恢復流程及應急措施；

2、環(huán)節(jié)與設備

1、定期對機房供配電、空調、溫濕度控制等設施進行檢查記錄

2、做好機房人員的出入、服務器的開機或關機等工作進行記錄；

3、根據(jù)維護合同附件資產(chǎn)清單，建立服務器及網(wǎng)絡設備的檔案，形成不易破壞的醒目標識，并定期更新相關內容；

4、對資產(chǎn)清單所列的各種設備、線路等，做好檢查維護工作，發(fā)現(xiàn)故障，及時報告，并安排服務聯(lián)系或維修，對維修情況提交書面報告；

5、形成每日巡視制度，對機房中相關設備的告警顯示、空調、UPS等實際狀態(tài)進行記錄。

3、監(jiān)控和安全

1、通過IT資源監(jiān)控系統(tǒng)，對通信線路、主機、網(wǎng)絡設備和應用軟件的運行狀況、網(wǎng)絡流量、用戶行為等進行監(jiān)測和報警，形成記錄、妥善保存并按重要性級別，定期書面報告；

2、針對網(wǎng)絡運行日志、網(wǎng)絡監(jiān)控記錄的日常維護和報警信息分析和處理工作，提出優(yōu)化建議及方案；

3、定期對網(wǎng)絡系統(tǒng)進行漏洞掃描，對發(fā)現(xiàn)的網(wǎng)絡系統(tǒng)安全漏洞進行及時的修補

4、定期檢查違反規(guī)定上網(wǎng)或其他違反網(wǎng)絡安全策略的行為，書面報告；

5、指派專人進行核心服務器的工作壓力監(jiān)控，針對業(yè)務的增長定期生成主服務器的工作壓力報表，并且預估業(yè)務增長對服務器壓力的影響提出合理化建議；

6、指派專人進行核心數(shù)據(jù)庫的工作壓力監(jiān)控，定期生成報告，并就改進提出合理化建議。

4、操作系統(tǒng)安全

1、根據(jù)甲方業(yè)務需求和系統(tǒng)安全分析結果，確定系統(tǒng)的訪問控制策略；

2、定期進行漏洞掃描，對發(fā)現(xiàn)的系統(tǒng)安全漏洞及時進行修補；

3、及時安裝系統(tǒng)的最新補丁程序，在安裝前，首先報告同意，且在測試環(huán)境中測試通過，并對重要文件進行備份后，方可實施系統(tǒng)補丁程序的安裝；

4、所有對系統(tǒng)進行的維護，均需詳細記錄操作日志，包括重要的日常操作、運行維護記錄、參數(shù)的設置和修改等內容，嚴禁進行未經(jīng)授權的操作；

5、備份與恢復

1、根據(jù)印制中心實際應用情況、根據(jù)生產(chǎn)相關數(shù)據(jù)的連接關系、根據(jù)應用的業(yè)務特點和軟硬件資源，制定詳細的系統(tǒng)數(shù)據(jù)備份計劃，確定合理的系統(tǒng)備份策略。定期備份重要業(yè)務信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等；

2、應根據(jù)數(shù)據(jù)的重要性和數(shù)據(jù)對系統(tǒng)運行的影響，執(zhí)行數(shù)據(jù)的備份，每月提交數(shù)據(jù)備份報告，必要時實施數(shù)據(jù)恢復；

3、按照控制數(shù)據(jù)備份和恢復過程的程序，對備份過程進行記錄，所有文件和記錄應妥善保存；

4、定期進行備份介質的維護、更新、替換、輪轉，保證備份介質可靠有效，針對重要備份介質進行雙機房異地輪轉；