隨著大數(shù)據(jù)時(shí)代的到來(lái),數(shù)據(jù)的價(jià)值越發(fā)凸顯。據(jù)idc一份調(diào)查統(tǒng)計(jì)表明,全球差不多有80%的企業(yè)存在著信息安全或信息風(fēng)險(xiǎn)問(wèn)題。在所有被調(diào)查的公司中,信息安全問(wèn)題大都來(lái)自于企業(yè)內(nèi)部,而其中處于信息泄密高風(fēng)險(xiǎn)的很大一部分都是來(lái)自于信息安全管理不善所致。因此,運(yùn)維安全管控已經(jīng)成為眾多cio在構(gòu)建it基礎(chǔ)設(shè)施過(guò)程中不得不重點(diǎn)考慮的環(huán)節(jié)。不久前,浪潮ssc運(yùn)維安全管控系統(tǒng)成功應(yīng)用于廣東省某建設(shè)工程交易中心,為很多cio帶來(lái)了有益啟示。
廣東省某建設(shè)工程交易中心是所在地唯一的有形建設(shè)市場(chǎng)。其市和省管(含中央托管)房屋建筑、市政、交通、水利、電力、民航、電信、鐵路等工程項(xiàng)目以及與之配套的設(shè)備、材料、勞務(wù)等項(xiàng)目的招標(biāo)投標(biāo)交易活動(dòng)均在此間進(jìn)行。交易中心擁有華南地區(qū)最大的評(píng)標(biāo)專(zhuān)家?guī)?,其信息化平臺(tái)包括"一個(gè)平臺(tái)、兩個(gè)網(wǎng)絡(luò)、十個(gè)系統(tǒng)",信息安全工作的重要目標(biāo)是保證評(píng)標(biāo)專(zhuān)家信息的保密性和招投標(biāo)項(xiàng)目交易的安全性,這些信息直接影響招投標(biāo)交易的成敗以及市場(chǎng)的公平競(jìng)爭(zhēng),如果出現(xiàn)數(shù)據(jù)丟失或者泄露,后果不堪設(shè)想。
然而,交易中心信息平臺(tái)的管理現(xiàn)狀潛藏有四重風(fēng)險(xiǎn):一是交易中心信息平臺(tái)的日常運(yùn)維工作采用第三方代理維護(hù)的方式,并且缺少專(zhuān)業(yè)的安全管理工具,中心無(wú)法監(jiān)管代維人員的各種運(yùn)維操作,制定的安全制度無(wú)法落實(shí);二來(lái)由于存在設(shè)備賬號(hào)多人共用現(xiàn)象,信息平臺(tái)面臨的內(nèi)部風(fēng)險(xiǎn)將無(wú)法控制,不能避免越權(quán)訪(fǎng)問(wèn)和誤操作;第三,出現(xiàn)運(yùn)維事故時(shí)無(wú)法定位行為人,沒(méi)有運(yùn)維審計(jì)依據(jù);最后,黑客/惡意訪(fǎng)問(wèn)也有可能獲取系統(tǒng)權(quán)限,闖入部門(mén)或中心內(nèi)部網(wǎng)絡(luò),造成不可估量的損失。
如何提高系統(tǒng)運(yùn)維管理水平,滿(mǎn)足相關(guān)標(biāo)準(zhǔn)要求,防止黑客的入侵和惡意訪(fǎng)問(wèn),跟蹤服務(wù)器上用戶(hù)行為,降低運(yùn)維成本,提供控制和審計(jì)依據(jù),越來(lái)越成為中心核心關(guān)注的問(wèn)題。為此,交易中心信息化專(zhuān)家經(jīng)過(guò)多輪論證考察,最終選擇了浪潮ssc運(yùn)維安全管控系統(tǒng),實(shí)現(xiàn)對(duì)服務(wù)器、數(shù)據(jù)庫(kù)和網(wǎng)絡(luò)設(shè)備的集中訪(fǎng)問(wèn)管理和單點(diǎn)登錄,提供細(xì)粒度的設(shè)備賬號(hào)授權(quán)機(jī)制,以及二次授權(quán)、雙人共管等運(yùn)維流程管理,并且針對(duì)代維人員的運(yùn)維過(guò)程,提供完善的安全審計(jì)體系。
浪潮ssc通過(guò)旁路部署,通過(guò)路由器或者交換機(jī)的訪(fǎng)問(wèn)控制策略限定只能由浪潮ssc直接訪(fǎng)問(wèn)設(shè)備的遠(yuǎn)程維護(hù)端口。浪潮ssc采取協(xié)議代理模式,接管了終端計(jì)算機(jī)對(duì)網(wǎng)絡(luò)、服務(wù)器及應(yīng)用、數(shù)據(jù)庫(kù)系統(tǒng)等訪(fǎng)問(wèn),也就是說(shuō)所有對(duì)交易信息中心的服務(wù)器、網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)等的訪(fǎng)問(wèn),必須通過(guò)浪潮ssc這個(gè)唯一通道。因此,當(dāng)所有的內(nèi)、外人員訪(fǎng)問(wèn)交易信息中心的目標(biāo)資源(數(shù)據(jù)庫(kù)、服務(wù)器、網(wǎng)絡(luò)、應(yīng)用系統(tǒng)等)時(shí),首先登錄浪潮ssc,然后浪潮ssc通過(guò)協(xié)議代理的方式轉(zhuǎn)發(fā)會(huì)話(huà)請(qǐng)求給目標(biāo)資源,目標(biāo)資源返回會(huì)話(huà)結(jié)果后,浪潮ssc再轉(zhuǎn)發(fā)給訪(fǎng)問(wèn)人員。通過(guò)相關(guān)的安全管控技術(shù),如認(rèn)證管理技術(shù)確認(rèn)“你是誰(shuí)?”、授權(quán)管理技術(shù)解決“你能做什么?”、 安全審計(jì)技術(shù)解決“你做了什么?”,浪潮ssc確保了賬號(hào)管理技術(shù)確保身份唯一,從而有效提升數(shù)據(jù)中心的運(yùn)維安全。
該交易信息中心部署了浪潮ssc以后,提升了交易信息中心的信息安全防護(hù)能力,豐富的審計(jì)報(bào)表系統(tǒng)讓運(yùn)維管理人員全面掌控?cái)?shù)據(jù)中心的安全態(tài)勢(shì),并符合國(guó)家信息系統(tǒng)安全等級(jí)保護(hù)、分級(jí)保護(hù)和行業(yè)/企業(yè)內(nèi)部控制、薩班斯法案等法律和規(guī)章制度的要求。同時(shí),所有訪(fǎng)問(wèn)用戶(hù)訪(fǎng)問(wèn)目標(biāo)資源必須通過(guò)浪潮ssc,并對(duì)訪(fǎng)問(wèn)進(jìn)行全程管控,實(shí)現(xiàn)事前精準(zhǔn)授權(quán),事中嚴(yán)格訪(fǎng)問(wèn)控制,事后全面審計(jì),從根本上降低交易信息中心的內(nèi)部運(yùn)維安全風(fēng)險(xiǎn)。此外,浪潮ssc通過(guò)建立用戶(hù)與賬號(hào)的唯一對(duì)應(yīng),確保訪(fǎng)問(wèn)用戶(hù)擁有的權(quán)限是完成任務(wù)所需的最小權(quán)限,使得交易信息中心的安全管理工作更加簡(jiǎn)單、高效。