浪潮SSC交付團(tuán)隊(duì)為客戶設(shè)計(jì)的部署方案如圖所示,在省/地市調(diào)度中心安全控制區(qū)運(yùn)維接入交換機(jī)上旁路接入兩臺(tái)浪潮SSC設(shè)備,采用雙機(jī)負(fù)載運(yùn)行模式,保證運(yùn)維業(yè)務(wù)高可用性。同時(shí),為保證運(yùn)維工作統(tǒng)一入口、事前認(rèn)證、事中安全監(jiān)控和事后行為審計(jì),所有運(yùn)維工作流均需經(jīng)過浪潮SSC才能進(jìn)入安全控制區(qū)的服務(wù)器、工作站。
“四個(gè)統(tǒng)一”規(guī)避安全風(fēng)險(xiǎn) 提升管控能力
此次浪潮SSC上線,實(shí)現(xiàn)統(tǒng)一運(yùn)維入口、統(tǒng)一強(qiáng)身份認(rèn)證、統(tǒng)一授權(quán)和統(tǒng)一安全審計(jì)等“四個(gè)統(tǒng)一”,全面提升了山東國網(wǎng)安全運(yùn)維管控能力,降低了運(yùn)維風(fēng)險(xiǎn),具體表現(xiàn)如下。
首先,為運(yùn)維、開發(fā)人員建立統(tǒng)一的安全運(yùn)維接入?yún)^(qū),所有人員均需要在指定工作站上進(jìn)行日常運(yùn)維工作,從接入端減少了隨著使用設(shè)備增加而導(dǎo)致的內(nèi)部違規(guī)和攻擊的安全風(fēng)險(xiǎn)。
其次,“一人一號(hào)”實(shí)現(xiàn)運(yùn)維人員實(shí)名制,細(xì)粒度資產(chǎn)訪問控制,最小權(quán)限訪問控制。在不改變現(xiàn)有調(diào)控中心運(yùn)維、開發(fā)流程的基礎(chǔ)上,對(duì)安全控制區(qū)服務(wù)器和工作站的賬號(hào)與運(yùn)維人員賬號(hào)進(jìn)行統(tǒng)一集中管理,并對(duì)每個(gè)人能訪問的IT資源設(shè)置細(xì)粒度的訪問權(quán)限,明確、規(guī)范運(yùn)維人員對(duì)資產(chǎn)的最小訪問權(quán)限。
第三,滿足調(diào)度控制中心安全風(fēng)險(xiǎn)控制和運(yùn)維行為安全審計(jì)的需求。實(shí)時(shí)監(jiān)控正在進(jìn)行的運(yùn)維人員操作,并以視頻播放的形式展示給安全管理人員,管理人員發(fā)現(xiàn)違規(guī)操作可直接遠(yuǎn)程中斷正在進(jìn)行的危險(xiǎn)行為;同時(shí),通過協(xié)議解碼捕獲并記錄運(yùn)維人員對(duì)服務(wù)器的操作,可以進(jìn)行操作回放,生成各種運(yùn)維報(bào)表。
目前,浪潮SSC廣泛應(yīng)用于政府、財(cái)稅、金融、證券、電信等行業(yè)數(shù)據(jù)中心,其認(rèn)證、授權(quán)、審計(jì)等各模塊設(shè)計(jì),實(shí)現(xiàn)了對(duì)數(shù)據(jù)中心設(shè)備運(yùn)維安全的全生命周期管理,并滿足“二次授權(quán)”、“雙人共管”等運(yùn)維安全的需要。隨著等保2.0實(shí)施,浪潮SSC將為更多政企用戶提供運(yùn)維安全保障服務(wù)。