案例研究|中国矿业大学基于JumpServer构建运维安全体系

news2024/12/24 2:42:20

中国矿业大学是教育部直属的全国重点高校,是教育部、应急管理部与江苏省人民政府共建高校,先后进入国家“211工程”“985优势学科创新平台项目”和国家“双一流”建设高校行列,学校现坐落于素有“五省通衢”之称的国家历史文化名城——江苏省徐州市,有文昌和南湖两个校园,占地4200余亩。
在这里插入图片描述

中国矿业大学自2019年起着手构建智慧校园 “十个一”核心任务,即一张网(一体化融合网)、一朵云(超融合数据云平台)、一张表(个人信息管理表)、一个号(身份管理号)、一片湖(治理数据湖)、一空间(泛在化研学空间)、一园通(全覆盖智慧园)、一站式(一站通办)、一周期(人才培养全周期)和一面墙(全方位安全防护墙),全面开展校园信息化建设。

IT运维的痛点与难点

随着学校信息化系统规模的不断扩张,在日常的IT运维工作中,中国矿业大学也面临着很多实际的运维管理问题:

■ IT资产碎片化,运维环境复杂

中国矿业大学目前在“两校三地”数据中心的机房拥有虚拟机500余台,物理服务器几十台,还有各类单位的服务器分布在学校的其他机房和实验室等不同位置,物理空间跨度大,IT资产类型多。

同时,学校本身有很多业务系统是由业务部门所建设,第三方厂商承建运维的。因此,第三方厂商的工程师和学校业务部门的老师都有远程登录IT资产的需求。这也就导致学校信息化处日常运维和审计的工作十分繁重;

■ 存在密码泄露、丢失等安全风险

学校分配虚拟机后,虚拟机的账号密码是交由业务部门老师和厂商工程师保管和维护的。保管的方式通常是记录在Excel表格或者记事簿中,这种简单的记录方式会带来密码泄露的安全风险。同时,由于业务部门老师的职位变更和厂商工程师的更换,经常有密码修改后又丢失的情况发生,系统存在很大安全隐患,不利于学校进行IT资产的安全运维和规范管理;

■ 缺乏统一的IT资产登录入口,审计困难

虚拟机分配到业务部门或第三方厂商后,运维人员没有一个统一的访问入口,有通过校内网直接访问的,有使用向日葵等远程工具访问的,还有通过VPN远程访问的,系统缺乏统一的IT资产登录入口。

业务部门的老师不知道自己名下有多少个IT资产,信息化处也不清楚学校的IT资产被何人在何时登录,信息的不透明给IT资产的安全运维带来了很大的隐患。

面对以上虚拟机和服务器在日常运维过程中出现的问题,中国矿业大学的信息化处决定改变原有的IT资产运维管理方式,构建一个更加安全、规范的堡垒机运维安全体系。

选择JumpServer堡垒机的原因

针对学校IT资产运维的痛点与需求,中国矿业大学的信息化部门对市场上多款堡垒机产品进行了调研和测试,认为JumpServer堡垒机在技术层面上能够满足学校的需求,并最终选择JumpServer堡垒机企业版作为学校IT资产运维安全体系的重要组件。选择JumpServer堡垒机的主要原因包括:

1.无插件的Web终端访问方式

JumpServer堡垒机无插件、纯浏览器访问的设计思路非常契合中国矿业大学对于IT资产运维简单化、便捷化的期望。运维人员无需在本地安装专用的客户端插件,直接通过浏览器Web终端,即可实现多种操作系统下、多种IT资产类型的访问;

2.开源开放

作为一款广受欢迎的开源堡垒机,JumpServer拥有非常活跃的开源社区,并且提供了开放的API接口,方便用户拓展更加丰富的功能。基于接口的开放能力,未来,中国矿业大学还计划把堡垒机的能力上浮到学校办事大厅,支持各院系自行申请资源访问权限。

同时,国家“十四五”规划也重点突出了开源新生态的建设,作为教育部直属的全国重点高校,中国矿业大学也希望通过自己的使用和意见反馈,与JumpServer共同建设开源生态;

3.迭代速度快

一直以来,JumpServer坚持按月迭代发布新版本,产品迭代更新速度快。用户可以通过GitHub、技术交流群等多种方式提出对JumpServer的需求和反馈。JumpServer开源项目组也一直用心聆听用户的声音,收集用户的建议,在持续的更新迭代中增加新功能,优化使用场景,不断优化用户的使用体验。

JumpServer的部署架构

JumpServer堡垒机企业版提供纯软件和软硬件一体机两种交付方式。基于学校现网环境的要求,学校选择了软硬件一体机的方式,并且通过部署两台一体机,实现主备模式下的高可用架构。

同时,通过Keepalived实现VIP漂移,达到主备切换的效果。也就是说,在主节点和备节点上部署相同的JumpServer服务,使用一个 VIP地址对外提供服务。当主服务器发生宕机时,Keepalived组件会自动将VIP漂移到备用服务器,确保服务的正常运行。
在这里插入图片描述

▲图1 中国矿业大学JumpServer部署架构

JumpServer的使用价值

实际应用JumpServer堡垒机之后,为学校带来了以下几点价值收益,大幅提升了学校运维管理的能力:

■ 统一IT资产访问入口

通过JumpServer堡垒机,校内用户可以对接统一的身份认证系统(基于CAS协议),校外工程师的账号采用实名制。这样一来,就实现了校内、校外IT资产运维“一人一号”的模式,有效避免了账号密码泄露的风险。用户通过登录JumpServer可以访问已授权的服务器,通过统一的门户访问所有的IT资产,拥有统一的资产访问入口。

同时,资产的账号密码统一托管在JumpServer中,用户无需输入账号密码就可以直接登录访问,提高了运维管理效率,也避免了密码丢失的情况发生;

■ 安全稳定运行的保障

在国家层面,对网络安全的重视程度不断提升,相关的法律法规日益完善。学校对IT资产的运维安全审计和专业化管理也提出了更高的要求。管理员通过开启MFA多因子认证功能,加强了IT资产运维“一人一号”的可靠性和安全性。同时,JumpServer堡垒机符合4A规范,满足了学校运维安全审计的要求。
在这里插入图片描述

▲图2 中国矿业大学通过JumpServer实现安全登录访问

期待与展望

中国矿业大学通过JumpServer堡垒机实现了对学校IT资产的统一运维管理,满足了学校关于“业务部门理的清,校外厂商管的了,信息化处看的到”的基本需求。

如今,随着IT建设国产化的不断深入,希望JumpServer未来能够增加对高校常用的国产专有云的支持,不断扩大云上资产的管理范围。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/645225.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Java实训第七天——2023.6.13

文章目录 一、用Visual Studio Code写一个计算器二、同一个js被多个html引用三、js操作css四、DOM对象属性的操作案例五、js解析json 一、用Visual Studio Code写一个计算器 功能&#xff1a;实现简单的加减乘除 <!DOCTYPE html> <html lang"en"> <…

如何录制声音?推荐这2款电脑录音软件!

案例&#xff1a;怎么录制电脑上的声音&#xff1f;在电脑上怎么录制自己的声音&#xff1f;有没有小伙伴知道操作的步骤。 【我想录制语音会议&#xff0c;还想录制自己的歌声&#xff0c;在电脑上如何录制声音&#xff1f;求一个简单易懂的教程&#xff0c;在线等&#xff0…

使用ReactPy报错:RuntimeError: No built-in server implementation installed.解决

目录 一、问题呈现二、问题原因及解决办法三、处理结果 一、问题呈现 在初次运行ReactPy报错raise RuntimeError("No built-in server implementation installed.") RuntimeError: No built-in server implementation installed.具体报错信息如下&#xff1a; D:\i…

小程序快速渲染机制及双线程技术解析

不管我们对于小程序这种形态存在何种质疑&#xff0c;但不可否认已经融入到我们生活的方方面面&#xff0c;出门打车、扫码、点外卖甚至收能量等等操作都是以小程序进行承载。背后的缘由是小程序足够轻量、便捷、跨平台等特点&#xff0c;为用户提供了丰富的功能和优质的用户体…

作为一个优秀的项目经理,你需要做什么?

经常看到这样的项目经理&#xff0c;一副整天忙得团团转的样子&#xff0c;整天忙得团团转&#xff0c;发出一大堆指令&#xff0c; 经常事无巨细都要亲自过问&#xff0c;他还会不断抱怨说&#xff1a; " 我很忙 " 或 " 我很累 " &#xff0c; " 我…

大厂最全1100道Java面试题及答案整理(2023最新版)

前言 春招&#xff0c;秋招&#xff0c;社招&#xff0c;我们 Java 程序员的面试之路&#xff0c;是挺难的&#xff0c;过了 HR&#xff0c;还得被技术面&#xff0c;小刀在去各个厂面试的时候&#xff0c;经常是通宵睡不着觉&#xff0c;头发都脱了一大把&#xff0c;还好最终…

5、alibaba微服务nacos的引入和使用

1、项目中引入nacos 父项目中已经引入了spring-cloud-alibaba&#xff0c;这个里面就已经包含nacos依赖了&#xff0c;所以在子项目中引入nacos依赖不用添加版本信息 <dependencies><dependency><groupId>org.springframework.boot</groupId><arti…

Java创建线程的两种方式和线程的生命周期

方式一&#xff1a;继承Thread类的方式&#xff1a; 创建一个继承于Thread类的子类 重写Thread类的run() --> 将此线程执行的操作声明在run()中 创建Thread类的子类的对象 通过此对象调用start()&#xff1a;①启动当前线程 ② 调用当前线程的run() 说明两个问题&#…

Python3数据分析与挖掘建模(12)多因子:复合分析-相关分析与实现示例

1. 相关分析 1.1 概述 相关分析是一种统计分析方法&#xff0c;用于研究两个或多个变量之间的关系和相互影响程度。它帮助我们了解变量之间的线性关系、趋势和相关程度。 在相关分析中&#xff0c;常用的指标是相关系数&#xff0c;用于衡量两个变量之间的相关程度。最常见的…

Linux之文件一般权限

目录 Linux之文件一般权限 文件和目录的一般权限 解析&#xff1a; 文件类型 文件的权限针对三类对象进行定义 文件针对每类访问者定义的三种权限 对于文件和目录&#xff0c;r&#xff0c;w&#xff0c;x的作用以及含义 设置文件和目录的一般权限 修改文件或目录权限 ---…

论文可视化分析神器——CiteSpace和vosviewer

文献计量学是指用数学和统计学的方法&#xff0c;定量地分析一切知识载体的交叉科学。它是集数学、统计学、文献学为一体&#xff0c;注重量化的综合性知识体系。特别是&#xff0c;信息可视化技术手段和方法的运用&#xff0c;可直观的展示主题的研究发展历程、研究现状、研究…

MySQL启停要十分钟?

一、问题背景 基础环境&#xff1a; 主机类型&#xff1a;x3850 X6 操作系统&#xff1a;DB:Red Hat Enterprise Linux 9.1 7.8 存储&#xff1a;IBM存储&#xff0c;500GB 内存&#xff1a;64 G CPU型号&#xff1a;E7-4830 v3 2.10GHz CPU核数&#xff1a;32CORE 数据…

洞察丨挖掘游戏行为数据价值的 6 个新思路

现阶段&#xff0c;游戏赛道越来越难&#xff0c;主要表现在玩家对游戏质量的要求提高、游戏立项选择空间变小、游戏买量越来越贵且回本周期越来越长……与此同时&#xff0c;游戏出海势头依然强劲&#xff0c;难以突破重围。 可以说&#xff0c;几乎所有的游戏都在尽可能地朝着…

便利店小程序怎么做

便利店小程序是一种基于移动互联网的购物平台&#xff0c;它为用户提供了便捷的购物体验&#xff0c;可以满足用户的购物需求。下面是便利店小程序的主要功能介绍&#xff1a; 1. 商品展示&#xff1a;便利店小程序可以展示商家的商品信息&#xff0c;包括商品图片、价格、描述…

【什么是iMessage推送,im群发】苹果推iMessage是苹果公司为其设备用户提供的即时通讯服务

iMessage是苹果公司为其设备用户提供的即时通讯服务&#xff0c;拥有一系列强大的功能和特点。然而&#xff0c;至今为止&#xff0c;苹果并未提供官方的群发部署功能。iMessage主要被设计为点对点的通信工具&#xff0c;即用户可以与一个或多个人进行私密的聊天对话。以下是关…

酷克数据简丽荣:“模型热”将引发云计算与数据库行业大变革

随着LLM智能涌现的发生和API的爆发式发展&#xff0c;各行各业都在关注如何用好通用模型&#xff0c;如何调校好适合自己的行业应用。LLM最重要的输入是数据&#xff0c;最频繁的接口是数据库。模型应用的普及会对数据库产生哪些影响&#xff1f;大模型时代对企业的数据管理能力…

深度学习应用篇-元学习[13]:元学习概念、学习期、工作原理、模型分类等

【深度学习入门到进阶】必看系列&#xff0c;含激活函数、优化策略、损失函数、模型调优、归一化算法、卷积模型、序列模型、预训练模型、对抗神经网络等 专栏详细介绍&#xff1a;【深度学习入门到进阶】必看系列&#xff0c;含激活函数、优化策略、损失函数、模型调优、归一化…

通讯基站电源智能监控系统

通信基站又称无线基站&#xff0c;一般都安装在宽阔、偏远的地方&#xff0c;且分散&#xff0c;实现人工值守十分困难&#xff0c;成本高&#xff1b;另外局部内动力设备、蓄电池电源以及环境无法及时监视和控制&#xff0c;造成事故频发。然而蓄电池作为直流备用电源&#xf…

怎么把图片放大不改变清晰度,给大家介绍两个方法

时代的发展和进步&#xff0c;我们在使用手机、电脑等设备时&#xff0c;常常需要对图片进行放大操作。从功能上来说&#xff0c;图片放大可以让我们更好地观看和理解图片内容&#xff0c;同时也可以提高图像分辨率和清晰度&#xff0c;以满足不同的需求和场景首先&#xff0c;…

SQL-将数组打散regexp_replace/split/explode

目的&#xff1a;将数组&#xff08;拒绝码refuse_codes&#xff09;打散 原数据&#xff1a; 打散后数据col&#xff1a; – regexp_replace()替换函数 – split()函数是用于切分数据&#xff0c;也就是将一串字符串切割成了一个数组 – explode()函数是用于打散行的函数&am…