您的位置: 主页 > VR2048 > 秦囧:探索利用ZABBIX增强区县级公安信息中心运维能力

秦囧:探索利用ZABBIX增强区县级公安信息中心运维能力

时间: 2018-12-01阅读:

摘要:当前,区县级公安局信息中心缺少监控内网通信设备、业务系统及系统进程的专业运维管理系统。ZABBIX作为成熟的企业级开源运维管理系统能帮助公安科信运维人员实时掌握各类被监控对象的运行状况与自动化运维。探索在不改变现有公安专网IT架构和新购服务器、软件等额外开支的条件下,完成运维系统的专网部署,既节约经费,又大幅提高科信部门IT运维管理效率,有力保障公安业务的信息通信畅通。

关键词: 运维管理; 公安信息化; 开源软件; ZABBIX

中图分类号:TP393.0 文献标识码:A 文章编号:1009-5039(2018)16-0040-04

Exploration Enhancing the Maintenance Ability of County-Level Public Security Information Center by Using ZABBIX System

TANG Zai-Jin1,ZHANG Ping2,SONG Hua3

(1.Informatization of Science and Technology Section, Chongqing Municipal Public Security Bureau Jiulongpo District Branch, Chongqing, 400039, China; 2. Shandong Police Station, Chongqing Municipal Public Security Bureau Shapingba District Branch, Chongqing, 400035, China; 3. Chongqing Police College, Chongqing 401331, China)

Abstract: Aiming at the problems of lacks the professional operation and maintenance management system to monitor the communication equipments, application servers and system services of the intranet in the district or county public security bureau. The ZABBIX, a mature open source operation and maintenance management system, to help officers to know the running status of various monitored objects in real time, is presented. And explore without changing the existing IT structure and additional expenses of new servers and software, to improve the efficiency of IT operation and maintenance management, and to guarantee the unimpeded information and communication of public security business.

Key words:ZABBIX; IT Operations Management; public security informatization

近年來,公安信息化建设不断深入发展,IT系统架构和各种警务信息系统越趋复杂,大量警务应用开始构建于云计算平台之上。快速迭代的警务实战信息需求和良好的用户体验,要求公安科信部门IT运维管理者时刻保障核心业务安全、稳定、可用。但受限于经费预算、人员技术等原因,很多区县级公安信息中心并没有专业的运维管理系统用于日常服务的监控,而商业运维管理系统不但售价昂贵,后期运行可能还面临授权、升级、服务等诸多问题,无形中增加了公安专网运行管理成本。而ZABBIX作为成熟的企业级开源运维管理系统,以其免费、安全、稳定等特点,倍受互联网企业欢迎,为运用于公安专网提供了较强的借鉴和参考意义。本文结合区县级公安科信部门实际工作特点,就该运维管理系统功能特点、安装部署、安全风险等问题予以论述,以期为区县级公安局规范化IT运维保障提供一条可选路径。

1 公安IT运维管理现状

随着“金盾工程”二期、服务器虚拟化、云计算等公安信息化项目建设与推进,公安IT系统日益成熟和复杂,业务系统涉及环节增多。同时,各种公安信息终端大面积推广与普及,用户规模激增,公安业务与网络通信系统之间越来越紧密。其关注点已从单一的网络运维管理到整个业务系统的综合管理角度的转变。但从文献[1]可知,全国经济最发达的地区——上海,其区县公安信息中心运维管理也是通过人工或某种方式保障网络能正常运行的初级运维管理阶段。这种仅对交换机、路由器等网络底层设备的简单管理,很可能未实现对设备、业务系统的实时统一监控,就更不论快速定位网络或业务系统故障发生点。

根据文献[2]划分的IT运维管理五个阶段,可推断,当前很多区县级公安IT运维管理处于围绕网管人员展开的第一阶段,运维工作很大程度上依赖于人工巡检的方式完成。这种只局限于某一时刻,不具连续性,不能真实反映整个网络运行状况的巡检方式,很可能因工作人员的疏忽而影响到全局公安业务的正常开展,并且人员的变化可能对科信部门的运维工作产生较大影响。根据文献[2][3]可知公安专网IT运维缺少自动化、智能化和制度化。因此,从总体上看,我国区县级公安IT运维管理水平要跃上第三阶段的完全按照制度运作还有相当长的路要走。

2 ZABBIX运维管理系统

ZABBIX是一个基于GNU General Public License(GPL)Version 2协议发布的企业级高度集成的开源运维管理套件,由Alexei Vladishev创建,ZABBIX SIA(所属ZABBIX官方技术团队)提供商业化技术支持,使用免费,服务收费。它提供了分布式监控解决方案,可用于监控网络通信设备、业务系统及系统进程等服务的可用性和性能,其灵活的告警机制,可实现邮件、短信、即时通等工具的自动报警,并且还提供基于监控数据的图形化监控报告。

2.1 ZABBIX在公安专网部署的比较优势

相较于Nagios、Cacti、Zenoss Core、NetXMS、OpenNMS等使用最为广泛的开源运维管理系统,ZABBIX无论在成熟度、源代码质量、系统架构,还是用户友好性、面向对象编程理念等方面都具有相当优势。而且ZABBIX已囊括企业级应用绝大部分功能,如:自动发现网络设备、网络流量监测、告警提示、脚本调用、自动化运维、可视化等功能,特别是先进的插件化二次开发功能,与支持Polling和TrapPing两种数据采集机制,使其成为互联网企业用户重要选择。ZABBIX项目的下述优点,以及软件安全性和稳定性,将其应用于公安专网的IT运维管理是一个可行措施。

1)All-In-One:涵盖主流开源运维管理产品的基本功能,支持操作系统多,报警规则强大,画图美观,前端界面直观,定制性强。

2)安装、配置、部署简单:用户无须过硬的专业技术能力,根据官方指南操作即可完成系统的搭建、部署等工作。上述All-In-One的特性使之无须对接版本繁杂且可能不兼容的第三方插件,大幅减少了系统搭建难度。强大的Web客户端免除了反复手工修改配置文件的麻烦。在部署过程中,支持自动发现网络设备与脚本批量部署,减少了部署的工作量。

3) 扩展能力强大、监控完备:强大的插件化二次开发功能,可轻松完成对网络流量、设备状态、系统服务,以及自定义项的监控和数据采集,搭配其强大的Agent客户端,几乎可监控所有数据。

4) 文档完善:ZABBIX本身的定位就是企业级分布式监控系统,拥有完善的中文文档,对不熟悉英文科信工作人员,大大降低了技术的获取难度,而且官方支持社区活跃,软件更新快。

2.2 结构与工作原理[4][5]

ZABBIX主要由两部分构成,ZABBIX Server和可选组件ZABBIX Agent。其中,ZABBIX Server部分还包括Server服务、数据库存储服务、Web服务、Proxy服务,它们的职责概述如下。

1) ZABBIX Server服务是整个系统最核心的部分,所有的配置、统计、操作等数据都存储于其中,并通过SNMP、SSH、Ping、端口监视及ZABBIX Agent客户端等方式对服务器、网络设备进行状态监控和数据采集。

2) ZABBIX Agent是安装在被监控的目标服务器上的客户端,用于监控目标服务器资源、应用程序、服务等对象,并将采集信息统一提交至ZABBIX Server。

3) 数据库存储服务主要用于存储所有系统配置信息和采集的监控数据。

4) ZABBIX Web服务是ZABBIX Server的一部分,采用PHP语言编写,其强大的功能为公安科信人员随时随地对ZABBIX进行配置和查看服务器的监控状态提供了极大的方便。

5) ZABBIX Proxy是搭建分布式运维管理平台不可缺少的组件,代替ZABBIX Server采集远距离的目标设备的性能和可用性数据,达到分担ZABBIX Server负载的目的。

3 在公安专网部署ZABBIX运维管理系统

对于区县级公安科信部门,如何在实体服务器上以最简单的方式部署ZABBIX是本文一直思考的问题。随着公安信息化建设的提速,很多区县公安信息中心已完成服务器虚拟化建设,拥有大量冗余服务器资源,为部署ZABBIX系统提供了宝贵的服务器资源。而安装ZABBIX,依赖操作系统的软件安装功能(包管理工具,如:Yum)来解决所依赖软件的安装,这需要在安装过程中保持互联网畅通。但对于公安专网来说,其与互联网完全物理隔离[6],大大增加了软件安装难度。那么,对于区县级公安科信部门的运维管理人员来说,尤其是对技术不大精通的管理员,系统安装越简单越好。因此,本文结合工作实际,就公安专网中部署ZABBIX做如下介绍。

3.1 系统部署架构[7]

根据当前中国区县公安信息中心实际状况,结合笔者对重庆主城区局调研,需监控的目标设备与服务数量约合500~1000个(网络视频监控摄像头除外),且大多集中在信息中心机房,部分网络设备采取专线方式分布于各基层单位机房,故无须构建分布式架构。因此待部署的ZABBIX运维管理系统主要包括ZABBIX Server服务器、数据库服务器、ZABBIX Web服务器和ZABBIX Agent客户端,其系统部署架构如图1所示。若待监控的目标对象很少,可将ZABBIX Server服务器、數据库服务器和ZABBIX Web服务器部署在同一台PC服务器。

根据笔者经验,结合区县级公安实际业务需求,ZABBIX系统部署具体硬件可参照如下配置。

1)内存和磁盘:建议8G物理内存和20GB可用磁盘空间,以便长期保存监控参数和留存历史数据用于日后数据分析。

2)CPU:主要是ZABBIX数据库可能需要大量的CPU资源,具体根据监控参数及选择的数据库管理系统而定,通常情况下2颗4核CPU足矣。

3)其他硬件:为更好的保障公安网信息通信稳定可用,建议选取有串行通讯口(Serial Communication Port)的服务器,配备串行GSM调制解调器(Serial GSM Modem),以便启用短信(SMS)通知功能(注:也可采用USB转串行转接器)。

3.3 基于公安专网的软件选型

随着国家大力推进软件正版化和法制中国建设,强化了软件知识产权的保护力度。公安机关作为中国司法力量的重要组成部分,在软件合规性方面应起到发挥示范带头作用。那么,公安专网部署ZABBIX所涉及的操作系统、数据库、Web服务器等软件应避免版权使用方面的风险。同时,根据网络运维管理服务器的安全要求与关键任务特性,要求操作系统具有必要性能、容错性和扩展性。虽然,官方推荐类UNIX操作系统,但考虑到区县级公安信息中心的服务器资源大多是X86架构的PC服务器,以及科信部门管理人员技术能力等实际情况,选择CentOS作为ZABBIX服务器是一个较好选择,缘由如下:

1)CentOS源于Red Hat企业级Linux(RHEL)的源代码,依照开放源代码规定释出的源代码所编译而成,实质上就是无支持版的RHEL。同时,作为使用广泛的LINUX服务器发行版,具有技术资料多,技术支持的公司多,在本地就获取技术支持等优点。

2)CentOS对硬件的支持很好,主流硬件厂商对其进行过各种测试,一般不存在硬件兼容性问题。其次,CentOS生命周期长,基本可以覆盖整个硬件生命周期。

3)CentOS软件资源非常丰富,自带安装ZABBIX系统所需的LAMP环境软件包。

3.4 公安專网部署ZABBIX的准备工作

由于公安专网与互联网完全物理隔离,直接按照官方文档安装ZABBIX面临诸多困难,比如因缺少某种ZABBIX依赖的软件包,而无法正常安装。因此,要实现在公安专网离线安装ZABBIX,根据公安专网网络安全管理相关规定,需将ZABBIX安装所需资源下载刻盘,再复制到公安专网相应存储设备。

1)下载相关资源包并刻录光盘

一是下载CentOS 7 Everything版ISO文件,刻录成启动光盘。二是下载ZABBIX安装包并刻录。三是根据ZABBIX官方文档要求,使用wget将所有依赖项下载到指定目录并刻录。

2)搭建本地YUM仓库[9][10]

在安装ZABBIX时,需要先行安装很多其它的依赖项,比如:OpenIPMI-libs, OpenIPMI-modalias,fping等。因此,在公安专网离线安装ZABBIX服务器,需将先前下载的相关依赖软件包(rpm包)做成本地YUM软件仓库,以便安装相关依赖项。步骤如下:首先,在待准备部署ZABBIX的服务器上,按下节要求安装CentOS操作系统。其次,按文献[9][10]构建步骤完成本地YUM软件仓库的搭建。

3.5 安装ZABBIX[5][10][11][12]

1) 系统环境

首先,使用上述CentOS 7 Everything版启动盘,参考文献[18]具体步骤,在待准备部署的PC服务器上安装CentOS操作系统和LAMP环境(即:Linux(操作系统)、Apache HTTP Web服务器、MariaDB或MySql数据库管理系统,及PHP)。其次,使用本地YUM软件仓库,安装ZABBIX依赖的基础组件,如执行yum install -y curl命令安装curl模块。

2) 数据库安装及配置

在步骤1安装系统环境时,已默认安装MariaDB,不需再次安装数据库。若用户有现成的MySQL或Oracle数据库服务器,也无须安装数据库管理系统。

3) ZABBIX Server服务端安装

创建ZABBIX数据库和数据库用户,把ZABBIX template导入数据库,然后手动编译安装,详细安装过程可参照文献[12]。

4) ZABBIX Web前端界面安装

创建用于ZABBIX的虚拟域名站点,复制ZABBIX Web前端代码到域名站点目录,参照文献[12]和Web界面提示完成安装。如果安装过程中有报错,根据错误提示修改php.ini文件相关配置。

5)为ZABBIX服务器安装ZABBIX Agent客户端

为更好的运用好ZABBIX运维管理系统,以便分析服务器性能,建议在ZABBIX服务器上安装ZABBIX Agent客户端。步骤如下:创建ZABBIX用户,复制软件安装包到指定目录,将客户端启动脚本加入系统启动项,修改客户端配置文件,最后启动客户端服务,详细安装方法参见文献[5]。

3.6 在公安专网应用ZABBIX

近年来,公安信息化的建设的加速发展和平安中国建设,以及即将实施的雪亮工程,在可见的将来,公安信息中心需要大量的人力和时间来维护网络设备硬件与应用服务的正常、稳定运行。单凭管理人员使用某个管理工具已经不能完成所有的运维管理工作,并及时发现被监控对象存在的问题。为此,公安科信部门应根据自身实际情况,结合ZABBIX系统功能特点,拟定运维管理部署方案,制定日常运维管理制度。在此条件下,按照文案,对ZABBIX系统进行相应配置,部署安装ZABBIX Agent客户端至各等监控主机,并通过脚本程序添加自定义监控参数等方式完成对所有应用服务器、数据库服务器、FTP服务器、数据备份服务器、以及基层所队网络交换机、语音程控交换机等网络设备的运行状态监控。

3.7 ZABBIX报警策略[4]

在完成对ZABBIX服务器的各种监控对象配置后,需添加报警机制,以保证被监控对象出现异常时,能及时通知公安科信人员采取相应的处置预案,从而保障公安网络通信业务安全、稳定、可用。因此,需实现自动化报警功能。在实际使用中,可根据拟定的运维管理处置方案,划分异常现象的等级,分别采用邮件和短信的报警方式。如,对服务器磁盘空间或虚拟内存不足等问题,可使用邮件方式进行报警;对OA服务器出现服务不可用等严重问题,可采用短信方式将报警信息第一时间发送至科信相关管理人员的手机。为实现邮件报警功能,可参考文献[13],在ZABBIX Web端配置E-mail 服务器的地址等信息。为实现ZABBIX短信报警功能,一是另行采购GSM调制解调器(俗称GSM短信猫),二是参考文献[14][19]配置相应的脚本程序来触发短信报警。通过上述邮件和短信相结合的报警处置方式,可以帮助公安科信人员及时、全面地发现被监控对象的异常状况,提高信息中心的保障水平。

4 应用ZABBIX运维管理系统可能存在的风险

使用ZABBIX开源运维管理系统的主要成本是进行风险控制所需的额外成本,即开源社区组织结构造成的安全风险与该软件系统所采用的开源协议带来的版权问题,这两类风险会因软件系统的关键程度不同或多或少的增加风险控制和防范成本[15]。

1)安全问题

因ZABBIX项目由专业的公司进行开发和维护,软件源代码开放,并支持社区提交安全问题等条件,可能导致潜在的攻击者通过社区这种渠道获取到用以攻击的第一手资料。但相对于互联网,公安专网可以看作一个相对封闭的大型广域网,与互联网进行物理隔离,并且公安机关有严格的网络安全管理制度,被大规模攻击的可能性相对较低。其次,因为ZABBIX项目源代码开放,可以做到自主可控,不会在安全上简单的受制于人。因此,作为一个组织内部的网络通信设备与应用服务监控系统,其使用环境就决定了所受的安全风险较低,在可控范围。

2)版权问题[15][16]

ZABBIX采用的GPL V2开源协议,用户可以自由使用,基本不会产生版权问题。但若使用者要对其源代码进行修改再分发,则它遵循另外签订的许可协议,以保证原开发者拥有版权,并开放源代码,若需保留代码的私密性则需要支付非常昂贵的费用。那么,对于一般行政机构存在的主要风险是,如果扩展、修改了软件源代码,遵循该开源协议,需开放源代码,而不公开源代码将面临侵犯版权的诉讼风险,公開源代码有可能会增加系统安全等风险。由此,针对版权问题,可采取将源代码核心逻辑部分同开源部分进行分隔,并对代码进行评估和审查,从而实现对核心逻辑的保护。

3)使用中的技术支持问题[17]

作为成熟的开源运维管理系统,ZABBIX与其他商业软件一样拥有专业的技术支持,只是支付的费用要少很多。此外,官方提供了翔实的中文文档手册,非常方便用户使用。因此,在公安专网中部署ZABBIX运维管理系统,其培训、技术支持等问题均可有效解决。

5 结束语

在公安专网IT架构越来越复杂的今天,庞大的设备数量和复杂的信息系统结构,区县级公安科信部门依靠传统人工、手动的管理已不能适应现在的IT环境。ZABBIX作为一款出色、高效、可靠的开源运维管理系统可给科信部门提供方便、快捷、有效的管理手段,实现对网络设备、业务系统、系统进程、Web服务等自动化、智能化运维,实时掌握网络、信息系统运行状况,提前排除隐患,从而保障整个网络通信系统安全、稳定运行。助力公安科信部门提高信息处理与维护水平,创新管理机制,转变工作方式,让公安IT运维管理进入一个规范有序的阶段。此外,对夯实公安专网IT系统基础保障工作,进一步增强公安网络通信保障能力,和推进公安信息化应用具有重大的现实意义,对提高“应急处突、反恐”等维稳工作处置能力也具有一定的支撑作用。

参考文献:

[1] 陈明洁.基于ITIL理论的公安信息通信运行维护管理模式研究[J] .贵州警官职业学院学报,2012(1):125-128.

[2] 浅谈国内IT运维管理发展现状[N/OL].http://www.betasoft.com.cn/btzsk/2013-12-04/2957.html.

[3] 王绍成,史磊. 公安网络智能巡检系统的研究与思考[J]. 科技展望,2016(10):302.

[4] 郭晓慧,李润知,张茜,王宗敏. 基于ZABBIX的分布式服务器监控应用研究[J].通信学报,2013,34(Z2):95.

[5] 基于CentOS 7安装Zabbix 3.4[N/OL]. https://blog.csdn.net/leshami/article/details/78708049.

[6] 贾学明,李建军. 公安专网自由开源软件应用与资源下载站点构建[J]. 云南警官学院学报,2011(4):88-90.

[7] Zabbix 原理[N/OL].http://blog.chinaunix.net/xmlrpc.php?r=blog/article&uid=30212356&id=5740945.

[8] Zabbix Documentation 3.4 安装要求[N/OL].https://www.ZABBIX.com/documentation/3.4/zh/manual/installation/requirements.

[9] CentOS 7下YUM本地仓库的搭建[N/OL]. https://blog.csdn.net/jack_nichao/article/details/51685312.

[10] centos不联网情况下,使用系统镜像作为本地源yum安装软件[N/OL]. https://blog.csdn.net/judwenwen2009/article/details/53395293.

[11] Zabbix监控之一环境需求[N/OL].https://jingyan.baidu.com/article/ceb9fb10e39cce8cad2ba0e1.html.

[12] CentOS 7源码安装zabbix[N/OL].https://blog.csdn.net/shudaqi2010/article/details/53762125.

[13] zabbix3.2邮件报警配置[N/OL].https://blog.csdn.net/wszll_alex/article/details/77247696.

[14] zabbix监控之短信报警[N/OL]. https://blog.csdn.net/qq_33285112/article/details/78592211.

[15] 曲柳莺. 开源软件知识产权问题分析[J]. 信息技术与标准化,2009(6).

[16] 郑修虹.开源软件知识产权风险[N/OL].http://www.hyqb.sh.cn/publish/portal2/tab227/info1258.htm.

[17] 韦磊. 企业应用中使用开源软件的成本分析[J]. 电信科学,2009(S1):27-29.

[18] centos 7系列安装教程[N/OL].https://jingyan.baidu.com/article/fa4125acda59e528ac7092e9.html.

[19] zabbix使用短信猫实现报警[N/OL]. https://www.cnblogs.com/panzhicheng/p/5701033.html.

上一篇:异域狂想曲秘籍:格式塔心理学在演示文稿设计中的应用
下一篇:没有了

相关阅读