一、前言

      服务器带外技术是一种通过独立于服务器主操作系统的专用通道对服务器进行远程监控、配置和控制的成熟技术，有着超过20年的历史。其核心功能为远程电源管理、硬件监控、控制台访问和日志告警，具有快速定位硬件故障、提升管理效率、避免交易时段进入机房、减少业务系统的停机时间等优点，在金融行业得到非常广泛的应用。

      出于成本与资源投入、安全风险顾虑等原因，部分科技领导未同意开展服务器带外管理工作，导致一线服务器管理人员服务器交付效率低下、不能快速响应服务故障处理、无法创造更高工作价值等。本文通过对“零”采购投入和“零”安全风险进行详细阐述，以领导可接受的方式进行建设，最终实现服务器带外管理建设的圆满完成。

二、以“零”采购投入建设带外管理网络

      搭建与生产业务网络物理隔离的带外管理网络，主要包括以下四个方面，全部可以实现“零”采购。

1、带外管理交换机，使用单位更新换代时淘汰下来的百兆或千兆交换机，只要能正常使用和管理即可，对品牌、型号、使用年限等无要求。

2、带外管理网线，使用已布设的带外管理网线或自行使用网线水晶头制作带外管理网线，只要能达到100M或以上即可，对品牌、类型、使用年限等无要求。

3、带外管理电脑，使用单位更新换代时淘汰下来的旧电脑，或根据需要将目前使用的电脑临时改变为带外管理电脑，对品牌、型号、使用年限等无要求。

4、带外管理软件许可，对于所有配置了带外管理口的服务器，默认都配置有带外管理软件许可，能进行远程硬件状态监控、操作系统安装、重启服务器等操作，仅部分品牌服务器的远程控制台等需要高级许可。

三、以“零”安全风险使用带外管理网络

      对带外管理存在安全风险顾虑是担心带外管理被非法利用，通过平时断网、应急通网、权限隔离、用后断网的四个控制措施能实现“零”安全风险。

1、平时断网，将服务器带外管理口连接带外管理交换机的固定接口，服务器管理岗记录服务器的带外管理IP和用户信息，记录连接的带外交换机名称和端口名称，将上述信息进行妥善保存，建议保存在企业的中并与服务器资产信息进行关联，然后网络管理岗将该交换机端口进行关闭，此时服务器带外管理口处于断网状态，无法被使用。

2、应急通网，出现应急需要连接服务器带外管理口时，服务器管理岗通过查询企业的，获得带外交换机名称和端口名称，联系网络管理岗，要求开启指定带外管理交换机的指定端口，网络管理岗操作后，此时服务器带外管理口处于联网状态，可应急使用。

3、权限隔离，服务器管理岗掌握服务器带外管理口的管理权，不掌握带外交换机的管理权，网络管理岗掌握带外交换机的管理权，不掌握服务器带外管理口的管理权，实现权限隔离，应急使用服务器带外功能时需要上述两个岗位的协同配合，单个岗位无法使用服务器带外管理功能。

4、用后断网，应急使用后，服务器管理员需要联系网络管理岗，要求关闭指定带外管理交换机的指定端口，将服务器带外管理口处于断网状态，防止被利用，服务器管理员对服务器带外管理口的断网状态进行确认。

四、结束语

      服务器管理岗等基础管理岗位与科技领导在技术管理方面存在不同意见是很普遍的，基础管理岗位要保持初心，深入研究技术管理细节，站在领导的角度思考问题。在确保不发生安全事件和不增加组织建设成本的前提下，基础管理岗位可以进行一些有价值的尝试，做出一些对组织有贡献的成绩。

      科技领导在看到基础管理岗位的工作成效后，也一定会在自身可以接受的范围内支持基础管理岗位的工作，最终实现整个技术管理团队的效能提升，为所在单位贡献更多科技价值。

推荐几篇原创文章

      本公众号(信息安全运营)发表的内容不包含企业秘密，仅代表个人言论，仅供各位参考。