浪潮SSC交付團隊為客戶設(shè)計的部署方案如圖所示���,在省/地市調(diào)度中心安全控制區(qū)運維接入交換機上旁路接入兩臺浪潮SSC設(shè)備�,采用雙機負載運行模式�����,保證運維業(yè)務(wù)高可用性��。同時���,為保證運維工作統(tǒng)一入口�����、事前認證�����、事中安全監(jiān)控和事后行為審計�,所有運維工作流均需經(jīng)過浪潮SSC才能進入安全控制區(qū)的服務(wù)器、工作站����。
“四個統(tǒng)一”規(guī)避安全風(fēng)險
提升管控能力
此次浪潮SSC上線,實現(xiàn)統(tǒng)一運維入口��、統(tǒng)一強身份認證����、統(tǒng)一授權(quán)和統(tǒng)一安全審計等“四個統(tǒng)一”�,全面提升了山東國網(wǎng)安全運維管控能力,降低了運維風(fēng)險�,具體表現(xiàn)如下。
首先�,為運維、開發(fā)人員建立統(tǒng)一的安全運維接入?yún)^(qū)����,所有人員均需要在指定工作站上進行日常運維工作,從接入端減少了隨著使用設(shè)備增加而導(dǎo)致的內(nèi)部違規(guī)和攻擊的安全風(fēng)險���。
其次���,“一人一號”實現(xiàn)運維人員實名制�,細粒度資產(chǎn)訪問控制��,最小權(quán)限訪問控制�����。在不改變現(xiàn)有調(diào)控中心運維��、開發(fā)流程的基礎(chǔ)上��,對安全控制區(qū)服務(wù)器和工作站的賬號與運維人員賬號進行統(tǒng)一集中管理���,并對每個人能訪問的IT資源設(shè)置細粒度的訪問權(quán)限�,明確����、規(guī)范運維人員對資產(chǎn)的最小訪問權(quán)限。
第三�,滿足調(diào)度控制中心安全風(fēng)險控制和運維行為安全審計的需求。實時監(jiān)控正在進行的運維人員操作�����,并以視頻播放的形式展示給安全管理人員��,管理人員發(fā)現(xiàn)違規(guī)操作可直接遠程中斷正在進行的危險行為;同時�����,通過協(xié)議解碼捕獲并記錄運維人員對服務(wù)器的操作����,可以進行操作回放,生成各種運維報表�。
目前�,浪潮SSC廣泛應(yīng)用于政府、財稅����、金融、證券��、電信等行業(yè)數(shù)據(jù)中心�,其認證、授權(quán)����、審計等各模塊設(shè)計,實現(xiàn)了對數(shù)據(jù)中心設(shè)備運維安全的全生命周期管理�����,并滿足“二次授權(quán)”、“雙人共管”等運維安全的需要����。隨著等保2.0實施,浪潮SSC將為更多政企用戶提供運維安全保障服務(wù)�。
