CN113765717A - 一种基于涉密专用计算平台的运维管理*** - Google Patents

Abstract

本发明实施例公开了一种基于涉密专用计算平台的运维管理***，所述***包括客户端以及基于B/S架构的管理端；所述管理端包括拓扑管理模块、资产管理模块、监控管理模块、报表管理模块、告警管理模块。可实现对涉密专用计算机(含涉密专用工作站)、涉密专用服务器、涉密专用网络安全设备的运维管理，能有效的解决超过1000台涉密监控设备时存在性能和管理效率瓶颈。采用的集群方案具备可伸缩性、高可用性、高可管理性等优点，对涉密专用计算机的做到完全适配，实现对涉密信息***内专用软硬件资源进行监控及对产生异常状态指标进行告警。

Description

一种基于涉密专用计算平台的运维管理***

技术领域

本发明实施例涉及计算机技术领域，具体涉及一种基于涉密专用计算平台的运维管理***。

背景技术

基于涉密专用计算平台的运维管理***实现对涉密专用计算机(含涉密专用工作站)、涉密专用服务器、涉密专用网络安全设备(涉密专用防火墙，涉密专用IDS，涉密专用网络接口控制网关)、涉密专用数据通信设备(涉密专用交换机、涉密专用路由器)进行运行状态监控。

目前，在运维管理***现有的技术，主要有以下几种：

第一种是使用原生Zabbix方案，通过Zabbix agent采集数据；通过Zabbix server接收、存储数据并计算告警；通过Zabbix web UI或Grafana展示数据；通过shell脚本收集自定义监控数据。

第二种使用原生Prometheus方案，开源社区的exporter采集数据，通过Prometheus存储数据，通过AlertManager计算并发送告警，通过Grafafa展示数据。

现有技术的功能点不满足涉密专用设备的日常运维要求；现有运维管理***具有普适性，支持的Linux，windows***的运维监控，但是不支持对涉密专用计算平台的运维监控；超过1000台涉密监控设备时存在性能和管理效率瓶颈；自定义脚本维护成本高；可扩展性差。

发明内容

为此，本发明实施例提供一种基于涉密专用计算平台的运维管理***，以解决现有的基于涉密专用计算平台的运维管理存在的不满足涉密专用设备的日常运维要求、超过1000台涉密监控设备时存在性能和管理效率瓶颈、自定义脚本维护成本高，可扩展性差的问题。

为了实现上述目的，本发明实施例提供如下技术方案：一种基于涉密专用计算平台的运维管理***，所述***包括客户端以及基于B/S架构的管理端；

所述客户端包括多个涉密专用软硬件资源对象，每个被管理的资源设备中安装有数据采集器，所述数据采集器用于对设备相关运维数据进行采集并上报至管理端，数据采集采用UDP协议；

所述管理端包括拓扑管理模块、资产管理模块、监控管理模块、报表管理模块、告警管理模块；所述拓扑管理模块用于对被管理的涉密专用软硬件资源对象进行拓扑管理和统一展示；所述资产管理模块用于对被管理设备节点进行增加、删除、修改和查询操作；所述监控管理模块用于根据采集的运维数据对多个涉密专用软硬件资源对象的运行状态进行管理；所述报表管理模块用于资产数据、性能数据、告警数据的报表生成、展示和导出；所述告警管理模块用于根据各类设备指标的告警阈值进行告警，反馈告警信息，并对告警事件进行处置。

进一步的，所述涉密专用软硬件资源对象包括涉密专用计算机、涉密专用服务器、涉密专用防火墙、涉密专用IDS、涉密专用网络接入控制网关、涉密专用交换机、涉密专用路由器、安全数据库及中间件等。

进一步的，所述管理端还包括日志管理模块，所述日志管理模块用于管理员进行日志管理，包括日志检索、日志导出等功能。

进一步的，所述管理端还包括数据存储仓库，所述数据存储仓库用于监控数据的写入以及复杂监控数据的查询，所述数据存储仓库为时间序列数据库，采用非关系型数据库。

进一步的，所述管理端还包括用户操作和可视化界面，用于提供用户进行管理的人机交互界面。

进一步的，所述管理端还包括数据处理引擎，所述数据处理引擎用于处理数据存储仓库中的时间序列数据，支持流式处理和批量处理，以及对监控告警的计算，对产生的告警能及时通知到运维人员。

进一步的，所述拓扑管理模块具体用于支持按照用户实际网络架构自定义手动绘制拓扑；支持拓扑分层，包括一级拓扑和二级拓扑；支持拓扑中网元与分层拓扑关联，当网元与拓扑关联后，通过点击该网元可直接跳转至关联拓扑中；支持拓扑维护功能，包括网元和链路的添加和删除等；支持节点和链路状态信息展示，对存在告警节点支持告警提示功能；当客户端发送数据异常时，拓扑上具体网元节点提示客户端异常信息。

进一步的，所述报表管理模块具体用于资产数据按照网元名称、IP地址生成；实时性能数据按照网元名称、IP地址等生成；告警数据至少按照IP、告警时间等生成。

进一步的，所述数据采集器通过专用采集接口标准实现对涉密专用计算机运行状态进行管理，包括操作***静态信息、动态信息、处理器信息、内存信息、文件***信息、网络接口信息等；通过专用采集接口标准实现对涉密专用服务器运行状态进行管理，包括操作***静态信息、动态信息、处理器信息、内存信息、文件***信息、磁盘IO信息、网络接口信息、进程信息等；通过专用采集接口标准实现对涉密专用网络安全设备运行状态进行管理，包括操作***静态信息、动态信息、处理器信息、内存信息和网络接口信息等，所述涉密专用网络安全设备包括防火墙、网络接入控制网关和IDS；通过SNMP协议v3版本实现对涉密专用数通设备运行状态管理，包括设备静态信息、动态信息、处理器信息、内存信息和网络接口信息等，所述涉密专用数通设备包括交换机和路由器。

进一步的，所述资产管理模块具体用于涉密专用计算机、涉密专用服务器、支持涉密专用网络安全设备、涉密专用数据通信设备以及安全数据库和中间件的增加、删除、修改和查询等操作；支持资产信息与真实信息不一致提示或告警；支持设备资产自动发现上传。

本发明实施例具有如下优点：

采用本发明，能有效的解决超过1000台涉密监控设备时存在性能和管理效率瓶颈。与其他相比，具有较好的稳定性，采用的集群方案具备以下优点：

可伸缩性：运管管理端采用的服务器集群具有很强的可伸缩性，随着需求和负荷的增长，可以向集群***添加更多的服务器，在这样的配置中，可以有多台服务器执行相同的应用和数据库操作；

高可用性：高可用性是指，在不需要操作者干预的情况下，防止***发生故障或从故障中自动恢复的能力，通过把故障服务器上的应用程序转移到备份服务器上运行，集群***能够把正常运行时间提高到大于99.9％，大大减少服务器和应用程序的停机时间。

高可管理性：***管理员可以从远程管理一个、甚至一组集群，就好像在单机***中一样；

对涉密专用计算机的做到完全适配，实现对涉密信息***内专用软硬件资源进行监控及对产生异常状态指标进行告警。

附图说明

为了更清楚地说明本发明的实施方式或现有技术中的技术方案，下面将对实施方式或现有技术描述中所需要使用的附图作简单地介绍。显而易见地，下面描述中的附图仅仅是示例性的，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图引伸获得其它的实施附图。

图1为本发明实施例1提供的一种基于涉密专用计算平台的运维管理***的结构示意图。

具体实施方式

以下由特定的具体实施例说明本发明的实施方式，熟悉此技术的人士可由本说明书所揭露的内容轻易地了解本发明的其他优点及功效，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例1

如图1所示，本实施例提出了一种基于涉密专用计算平台的运维管理***，所述***包括客户端以及基于B/S架构的管理端。

所述客户端包括多个涉密专用软硬件资源对象，每个被管理的资源设备中安装有数据采集器，所述数据采集器用于对设备相关运维数据进行采集并上报至管理端，数据采集采用UDP协议。所述涉密专用软硬件资源对象包括涉密专用计算机(含工作站)、涉密专用服务器、涉密专用防火墙、涉密专用IDS、涉密专用网络接入控制网关、涉密专用交换机、涉密专用路由器、安全数据库及中间件等。

数据采集器安装在需要监控的设备当中，是支持插件机制的数据采集和数据上报工具。它可以从自己所运行的***上直接采集相关运维数据，上报端采用UDP协议，UDP是一个无连接协议，传输数据之前源端和终端不建立连接，需要传递数据时仅需简单地去抓取来自应用程序的数据，并尽可能快地把它扔到网络上。吞吐量不受拥挤控制算法的调节，只受应用软件生成数据的速率、传输带宽、源端和终端主机性能的限制。以此解决传统的运维***上报性能的限制。

所述数据采集器通过专用采集接口标准实现对涉密专用计算机运行状态进行管理，包括操作***静态信息、动态信息、处理器信息、内存信息、文件***信息、网络接口信息等；通过专用采集接口标准实现对涉密专用服务器运行状态进行管理，包括操作***静态信息、动态信息、处理器信息、内存信息、文件***信息、磁盘IO信息、网络接口信息、进程信息等；通过专用采集接口标准实现对涉密专用网络安全设备运行状态进行管理，包括操作***静态信息、动态信息、处理器信息、内存信息和网络接口信息等，所述涉密专用网络安全设备包括防火墙、网络接入控制网关和IDS；通过SNMP协议v3版本实现对涉密专用数通设备运行状态管理，包括设备静态信息、动态信息、处理器信息、内存信息和网络接口信息等，所述涉密专用数通设备包括交换机和路由器。

所述管理端包括拓扑管理模块、资产管理模块、监控管理模块、报表管理模块、告警管理模块。

所述拓扑管理模块用于对被管理的涉密专用软硬件资源对象进行拓扑管理和统一展示。当被管理的节点出现告警时，能够实时在拓扑上直观形象的提示。

所述拓扑管理模块具体用于支持按照用户实际网络架构自定义手动绘制拓扑；支持拓扑分层，包括一级拓扑和二级拓扑；支持拓扑中网元与分层拓扑关联，当网元与拓扑关联后，通过点击该网元可直接跳转至关联拓扑中；支持拓扑维护功能，包括网元和链路的添加和删除等；支持节点和链路状态信息展示，对存在告警节点支持告警提示功能；当客户端发送数据异常时，拓扑上具体网元节点提示客户端异常信息。

所述资产管理模块用于对被管理设备节点进行增加、删除、修改和查询操作。

所述资产管理模块具体用于涉密专用计算机(含工作站)、涉密专用服务器、支持涉密专用网络安全设备(防火墙、网络接入控制网关和IDS)、涉密专用数据通信设备(交换机和路由器)以及安全数据库和中间件的增加、删除、修改和查询等操作；支持资产信息与真实信息不一致提示或告警；支持设备资产自动发现上传，解决传统运维***冗余配置问题。

所述报表管理模块具体用于资产数据按照网元名称、IP地址生成；实时性能数据按照网元名称、IP地址等生成；告警数据至少按照IP、告警时间等生成。

所述监控管理模块用于根据采集的运维数据对多个涉密专用软硬件资源对象的运行状态进行管理。具体通过专用采集接口标准实现对涉密专用计算机机(含工作站)、涉密专用服务器、涉密专用防火墙、涉密专用IDS、涉密专用准入控制网关、涉密专用交换机、涉密专用路由器等资源的运行状态进行管理，包括操作***静态信息、动态信息、处理器信息、内存信息、文件***信息、网络接口信息等。

当客户端程序出现异常并超过设定的采集周期后，在监控管理，拓扑管理等展示实时数据相关界面，会给出相关提示(例如离线等)，并展示空或者初始化状态的数据。

所述报表管理模块用于资产数据、性能数据、告警数据的报表生成、展示和导出。

所述告警管理模块用于根据各类设备指标的告警阈值进行告警，反馈告警信息，并对告警事件进行处置。

对告警策略配置方式的考量，以灵活性和可维护性为目标。混合架构、微服服等新技术催生了更现代化的业务***技术栈，这对告警策略的灵活性提出更高要求，告警策略支持条件告警、组合条件告警、同比环比、回归、线性拟合等高级功能。

所述管理端还包括日志管理模块，所述日志管理模块用于管理员进行日志管理，包括日志检索、日志导出等功能。管理员操作日志内容为中文，且可读性良好，日志管理具有日志检索、日志导出等功能，日志导出能够对日志数据进行导出。

所述管理端还包括数据存储仓库，所述数据存储仓库用于监控数据的写入以及复杂监控数据的查询，所述数据存储仓库为时间序列数据库，采用非关系型数据库。传统的运维***采用的是类似于MySQL等关系型数据库，主要用于存放持久化数据，将数据存储在硬盘中，读取速度较慢。而在本发明中采用Redis，即非关系型数据库，也是缓存数据库，即将数据存储在缓存中，缓存的读取速度快，能够大大的提高运行效率。

所述管理端还包括用户操作和可视化界面，用于提供用户进行管理的人机交互界面。用户操作界面是用户管理监控***的入口，它必须使对监控指标和告警的管理易用并可维护；数据可视化界面负责提供监控数据的展示，它必须支持必要的时序数据展示手法，并支持一定程度上灵活的查询能力。传统运维采用的C/S架构要求拥有相同的操作***，如果对于不同操作***还要相应开发不同的版本，并且对于计算机电脑配置要求也较高，可移植性差。兼容性差，对于不同的开发工具，具有较大的局限性。若采用不同工具，需要重新改写程序。本发明采用B/S架构，使用户采可以用不同设备作为监控***入口。B/S具有以下优点：分布性强，客户端零维护。只要有网络、浏览器，可以随时随地进行查询、浏览等业务处理。

所述管理端还包括数据处理引擎，所述数据处理引擎用于处理数据存储仓库中的时间序列数据，支持流式处理和批量处理，以及对监控告警的计算，对产生的告警能及时通知到运维人员。

采用本发明，能有效的解决超过1000台涉密监控设备时存在性能和管理效率瓶颈。与其他相比，具有较好的稳定性，采用的集群方案高具备以下优点：

可伸缩性：运管管理端采用的服务器集群具有很强的可伸缩性，随着需求和负荷的增长，可以向集群***添加更多的服务器，在这样的配置中，可以有多台服务器执行相同的应用和数据库操作；

高可用性：高可用性是指，在不需要操作者干预的情况下，防止***发生故障或从故障中自动恢复的能力，通过把故障服务器上的应用程序转移到备份服务器上运行，集群***能够把正常运行时间提高到大于99.9％，大大减少服务器和应用程序的停机时间。

高可管理性：***管理员可以从远程管理一个、甚至一组集群，就好像在单机***中一样；

对涉密专用计算机的做到完全适配，实现对涉密信息***内专用软硬件资源进行监控及对产生异常状态指标进行告警。

虽然，上文中已经用一般性说明及具体实施例对本发明作了详尽的描述，但在本发明基础上，可以对之作一些修改或改进，这对本领域技术人员而言是显而易见的。因此，在不偏离本发明精神的基础上所做的这些修改或改进，均属于本发明要求保护的范围。

Claims (10)

1.一种基于涉密专用计算平台的运维管理***，其特征在于，所述***包括客户端以及基于B/S架构的管理端；

所述客户端包括多个涉密专用软硬件资源对象，每个被管理的资源设备中安装有数据采集器，所述数据采集器用于对设备相关运维数据进行采集并上报至管理端，数据采集采用UDP协议；

所述管理端包括拓扑管理模块、资产管理模块、监控管理模块、报表管理模块、告警管理模块；所述拓扑管理模块用于对被管理的涉密专用软硬件资源对象进行拓扑管理和统一展示；所述资产管理模块用于对被管理设备节点进行增加、删除、修改和查询操作；所述监控管理模块用于根据采集的运维数据对多个涉密专用软硬件资源对象的运行状态进行管理；所述报表管理模块用于资产数据、性能数据、告警数据的报表生成、展示和导出；所述告警管理模块用于根据各类设备指标的告警阈值进行告警，反馈告警信息，并对告警事件进行处置。

2.根据权利要求1所述的一种基于涉密专用计算平台的运维管理***，其特征在于，所述涉密专用软硬件资源对象包括涉密专用计算机、涉密专用服务器、涉密专用防火墙、涉密专用IDS、涉密专用网络接入控制网关、涉密专用交换机、涉密专用路由器、安全数据库及中间件。

3.根据权利要求1所述的一种基于涉密专用计算平台的运维管理***，其特征在于，所述管理端还包括日志管理模块，所述日志管理模块用于管理员进行日志管理，包括日志检索、日志导出功能。

4.根据权利要求1所述的一种基于涉密专用计算平台的运维管理***，其特征在于，所述管理端还包括数据存储仓库，所述数据存储仓库用于监控数据的写入以及复杂监控数据的查询，所述数据存储仓库为时间序列数据库，采用非关系型数据库。

5.根据权利要求1所述的一种基于涉密专用计算平台的运维管理***，其特征在于，所述管理端还包括用户操作和可视化界面，用于提供用户进行管理的人机交互界面。

6.根据权利要求1所述的一种基于涉密专用计算平台的运维管理***，其特征在于，所述管理端还包括数据处理引擎，所述数据处理引擎用于处理数据存储仓库中的时间序列数据，支持流式处理和批量处理，以及对监控告警的计算，对产生的告警能及时通知到运维人员。

7.根据权利要求1所述的一种基于涉密专用计算平台的运维管理***，其特征在于，所述拓扑管理模块具体用于支持按照用户实际网络架构自定义手动绘制拓扑；支持拓扑分层，包括一级拓扑和二级拓扑；支持拓扑中网元与分层拓扑关联，当网元与拓扑关联后，通过点击该网元可直接跳转至关联拓扑中；支持拓扑维护功能，包括网元和链路的添加和删除；支持节点和链路状态信息展示，对存在告警节点支持告警提示功能；当客户端发送数据异常时，拓扑上具体网元节点提示客户端异常信息。

8.根据权利要求1所述的一种基于涉密专用计算平台的运维管理***，其特征在于，所述报表管理模块具体用于资产数据按照网元名称、IP地址生成；实时性能数据按照网元名称、IP地址生成；告警数据至少按照IP、告警时间生成。

9.根据权利要求1所述的一种基于涉密专用计算平台的运维管理***，其特征在于，所述数据采集器通过专用采集接口标准实现对涉密专用计算机运行状态进行管理，包括操作***静态信息、动态信息、处理器信息、内存信息、文件***信息、网络接口信息；通过专用采集接口标准实现对涉密专用服务器运行状态进行管理，包括操作***静态信息、动态信息、处理器信息、内存信息、文件***信息、磁盘IO信息、网络接口信息、进程信息；通过专用采集接口标准实现对涉密专用网络安全设备运行状态进行管理，包括操作***静态信息、动态信息、处理器信息、内存信息和网络接口信息，所述涉密专用网络安全设备包括防火墙、网络接入控制网关和IDS；通过SNMP协议v3版本实现对涉密专用数通设备运行状态管理，包括设备静态信息、动态信息、处理器信息、内存信息和网络接口信息，所述涉密专用数通设备包括交换机和路由器。

10.根据权利要求1所述的一种基于涉密专用计算平台的运维管理***，其特征在于，所述资产管理模块具体用于涉密专用计算机、涉密专用服务器、支持涉密专用网络安全设备、涉密专用数据通信设备以及安全数据库和中间件的增加、删除、修改和查询操作；支持资产信息与真实信息不一致提示或告警；支持设备资产自动发现上传。

Images