自动化部署及监测平台基本架构

声明

本文是学习 政务计算机终端核心配置规范. 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们

核心配置自动化部署及监测技术要求

自动化部署及监测平台基本架构

对于有一定规模的政务终端核心配置应用，需要配备自动化部署及监测平台，进行核心配置编辑、验证、部署和监测。自动化部署及监测平台由四个基本功能模块构成，分别是配置编辑模块、配置验证模块、配置部署模块和配置监测模块，如图3所示。其中，配置编辑模块主要用于将核心配置清单自动转换生成核心配置基线包，配置验证模块用于对核心配置基线包进行验证和测试，生成可部署的配置基线包；配置部署模块用于对核心配置基线包进行自动化部署；配置监测模块用于对核心配置状态进行自动监测。

3. 自动化部署及监测平台

配置编辑模块

配置编辑模块用来生成核心配置基线包，安全管理员依照核心配置基本要求制定配置清单，并对其进行转换和处理，生成可以编辑、可以解析、可以分发和可以部署的核心配置基线包。配置编辑模块应包括基线包生成器和基线包编辑器两个部件：

a) 基线包生成器主要用于生成原始的核心配置基线包，可根据清单内容逐项录入或由清单模版自动录入；

z) 基线包编辑器主要用于修改核心配置基线包中的配置项的基值，并可进行添加、修改、合并、删除等编辑操作。

配置验证模块

配置验证模块用于验证核心配置基线包的有效性、适用性和兼容性，保证所要部署的配置基线包的实施效果和安全。

有效性测试可采用人工测试与工具测试相结合的方法，验证核心配置基线包是否生效。具体要求包括：

a) 核心配置部署前，自动收集测试终端的脆弱性情况；

a) 核心配置部署后，检测核心配置项的实际赋值是否与基值相一致；

b) 对测试终端进行渗透测试，检验核心配置项是否发挥安全作用。

兼容性测试用于测试核心配置项之间的兼容性，解决终端核心配置项之间的冲突问题。具体要求包括：

a) 支持核心配置项的分析对比，找出有冲突的核心配置项；

b) 可修改存在兼容性问题的核心配置项。

适用性测试用于评估核心配置基线对终端应用环境的影响，包括功能影响、性能影响、系统异常风险等。具体要求包括：

a) 能够收集测试终端软硬件环境信息，识别操作系统版本，以及已安装的应用程序；

b) 能够针对具体的配置项，检查其影响范围，识别出受其影响的软件清单及其原因；

c) 能够识别异常现象，追溯其产生的原因，定位相关配置项；

d) 支持多用户环境下的适用性测试，支持常用软件和业务应用软件的适用性测试。

配置部署模块

配置部署模块可进行核心配置基线包管理、分发和部署执行，由基线包管理工具、基线包分发工具和配置执行工具三个部分组成。

a) 基线包管理工具具备核心配置基线包上载、内容查看、网络分发，以及基线包更新和删除等功能；

c) 基线包分发工具将基线包按照IP或部门区域定向分发到客户端，可采用服务器推送和客户端相结合的分发模式；

d) 配置执行工具自动解析配置基线包赋值方法和路径，并对配置项进行参数赋值，赋值前应对注册表及相关配置文件进行备份，然后在系统（System）权限下执行赋值过程。

状态监测模块

状态监测模块是安全管理员掌握全网终端核心配置状况的一个重要手段，主要由安装在终端上的配置状态收集器、配置状态上报工具和部署在服务器上的配置状态分析器、配置状态图展示平台组成。

a) 配置状态收集器定时收集终端的核心配置项参数设置情况；

e) 配置状态上报系统用于将收集的配置状态上传至服务器；

f) 配置状态分析器用于对上报的配置状态与核心配置基线进行比对和统计分析；

g) 配置状态图展示平台通过图、表等展示手段输出配置状态分析结果。

实施流程

实施流程框架

政务计算机终端核心配置实施流程主要包括实施准备、基线制定、测试验证、配置部署、配置检查和例外处理等六个阶段，如图4所示。