浪潮SSC交付團隊為客戶設(shè)計的部署方案如圖所示,在省/地市調(diào)度中心安全控制區(qū)運維接入交換機上旁路接入兩臺浪潮SSC設(shè)備,采用雙機負載運行模式,保證運維業(yè)務(wù)高可用性。同時,為保證運維工作統(tǒng)一入口、事前認證、事中安全監(jiān)控和事后行為審計,所有運維工作流均需經(jīng)過浪潮SSC才能進入安全控制區(qū)的服務(wù)器、工作站。
“四個統(tǒng)一”規(guī)避安全風(fēng)險 提升管控能力
此次浪潮SSC上線,實現(xiàn)統(tǒng)一運維入口、統(tǒng)一強身份認證、統(tǒng)一授權(quán)和統(tǒng)一安全審計等“四個統(tǒng)一”,全面提升了山東國網(wǎng)安全運維管控能力,降低了運維風(fēng)險,具體表現(xiàn)如下。
首先,為運維、開發(fā)人員建立統(tǒng)一的安全運維接入?yún)^(qū),所有人員均需要在指定工作站上進行日常運維工作,從接入端減少了隨著使用設(shè)備增加而導(dǎo)致的內(nèi)部違規(guī)和攻擊的安全風(fēng)險。
其次,“一人一號”實現(xiàn)運維人員實名制,細粒度資產(chǎn)訪問控制,最小權(quán)限訪問控制。在不改變現(xiàn)有調(diào)控中心運維、開發(fā)流程的基礎(chǔ)上,對安全控制區(qū)服務(wù)器和工作站的賬號與運維人員賬號進行統(tǒng)一集中管理,并對每個人能訪問的IT資源設(shè)置細粒度的訪問權(quán)限,明確、規(guī)范運維人員對資產(chǎn)的最小訪問權(quán)限。
第三,滿足調(diào)度控制中心安全風(fēng)險控制和運維行為安全審計的需求。實時監(jiān)控正在進行的運維人員操作,并以視頻播放的形式展示給安全管理人員,管理人員發(fā)現(xiàn)違規(guī)操作可直接遠程中斷正在進行的危險行為;同時,通過協(xié)議解碼捕獲并記錄運維人員對服務(wù)器的操作,可以進行操作回放,生成各種運維報表。
目前,浪潮SSC廣泛應(yīng)用于政府、財稅、金融、證券、電信等行業(yè)數(shù)據(jù)中心,其認證、授權(quán)、審計等各模塊設(shè)計,實現(xiàn)了對數(shù)據(jù)中心設(shè)備運維安全的全生命周期管理,并滿足“二次授權(quán)”、“雙人共管”等運維安全的需要。隨著等保2.0實施,浪潮SSC將為更多政企用戶提供運維安全保障服務(wù)。