久安世紀(jì)：北汽新能源公司強(qiáng)身份認(rèn)證運(yùn)維管理平臺(tái)

5月13日正式發(fā)布的等保2.0從等保二級(jí)開始對身份鑒別、訪問控制和安全審計(jì)提出了明確的規(guī)定，自等保三級(jí)開始，對于身份鑒別更是提出了應(yīng)采用口令、密碼技術(shù)及生物技術(shù)兩種或兩種以上組合的鑒別技術(shù)對用戶身份進(jìn)行鑒別。

隨著北汽新能源公司信息化的不斷發(fā)展，公司信息系統(tǒng)的穩(wěn)定運(yùn)行為保障日常辦公及汽車生產(chǎn)發(fā)揮了重要作用。然而由于信息系統(tǒng)運(yùn)維管理掌握著信息系統(tǒng)的最高權(quán)限，一旦操作出現(xiàn)安全問題將會(huì)給單位帶來巨大的損失。因此，加強(qiáng)對運(yùn)維人員操作行為的監(jiān)管與審計(jì)是保證單位信息系統(tǒng)安全的必要措施。

北汽新能源公司急需通過建設(shè)強(qiáng)身份認(rèn)證運(yùn)維管理平臺(tái)，來強(qiáng)化運(yùn)維管控全過程，減少因人為故障帶來的系統(tǒng)不安全問題；強(qiáng)化WMS/MES/ERP等核心生產(chǎn)業(yè)務(wù)系統(tǒng)及DB數(shù)據(jù)保護(hù)，實(shí)現(xiàn)近百臺(tái)服務(wù)器和幾十臺(tái)數(shù)據(jù)庫的全部賬戶數(shù)據(jù)安全，以滿足國家相關(guān)法律法規(guī)對企業(yè)信息安全的要求。

圖1 項(xiàng)目網(wǎng)絡(luò)拓?fù)鋱D

項(xiàng)目技術(shù)要求與建設(shè)目標(biāo)

項(xiàng)目從技術(shù)要求上應(yīng)滿足高性能、高可靠性、高安全性、先進(jìn)性與開放性。

北汽新能源公司建立統(tǒng)一安全運(yùn)維平臺(tái)系統(tǒng)，實(shí)現(xiàn)全局的策略管理、統(tǒng)一入口管理、集中身份認(rèn)證、統(tǒng)一授權(quán)及統(tǒng)一審計(jì)功能，公司業(yè)務(wù)系統(tǒng)的系統(tǒng)資源賬號(hào)、維護(hù)操作實(shí)施集中管理、訪問認(rèn)證、集中授權(quán)和操作審計(jì)。

1.通過運(yùn)維審計(jì)系統(tǒng)的建設(shè)為北汽新能源公司的系統(tǒng)資源運(yùn)維人員提供統(tǒng)一的入口，支持統(tǒng)一身份認(rèn)證手段，并采用指紋作為強(qiáng)身份認(rèn)證手段，對運(yùn)維操作審計(jì)到人，出現(xiàn)問題追責(zé)到人。

2.系統(tǒng)應(yīng)根據(jù)“實(shí)名制”原則記錄用戶從登錄系統(tǒng)直至退出的全程訪問、操作日志，并以方便友好的界面方式提供對這些記錄的操作審計(jì)功能。

3.系統(tǒng)應(yīng)具備靈活的管理和擴(kuò)展能力，系統(tǒng)擴(kuò)容時(shí)不會(huì)對系統(tǒng)結(jié)構(gòu)產(chǎn)生較大影響。系統(tǒng)應(yīng)具備靈活的授權(quán)管理功能，可實(shí)現(xiàn)一對一、一對多、多對多的用戶授權(quán)。

項(xiàng)目建設(shè)原則

（1）技術(shù)和管理相結(jié)合的原則；

（2）統(tǒng)一規(guī)劃和建設(shè)原則；

（3）實(shí)用性原則；

（4）可擴(kuò)展性原則。

項(xiàng)目建設(shè)內(nèi)容

久安世紀(jì)提出部署強(qiáng)身份認(rèn)證運(yùn)維管理系統(tǒng)（LSBAS+LS-SOP）解決方案。該方案實(shí)現(xiàn)運(yùn)維人員強(qiáng)身份認(rèn)證、實(shí)現(xiàn)帳號(hào)管理、統(tǒng)一單點(diǎn)登錄和安全認(rèn)證管理功能，并為重要信息資產(chǎn)提供全面的審計(jì)跟蹤服務(wù)。由此構(gòu)建了一個(gè)集中的安全基礎(chǔ)架構(gòu)，為數(shù)據(jù)庫、操作系統(tǒng)提供統(tǒng)一的訪問控制和安全管理平臺(tái)。如圖1所示。

強(qiáng)身份認(rèn)證運(yùn)維管理系統(tǒng)實(shí)現(xiàn)了如下功能特點(diǎn)：

集中管理，實(shí)現(xiàn)單點(diǎn)登錄；賬號(hào)管理，實(shí)現(xiàn)用戶實(shí)名制；多種認(rèn)證方式選擇；訪問控制，防止非授權(quán)訪問；雙人授權(quán)，提高設(shè)備登錄安全；應(yīng)用發(fā)布，實(shí)現(xiàn)客戶端工具集中管理；權(quán)限控制，實(shí)現(xiàn)主動(dòng)預(yù)防；密碼托管，實(shí)現(xiàn)自動(dòng)登錄；自動(dòng)改密，實(shí)現(xiàn)密碼集中管理；實(shí)時(shí)監(jiān)控，實(shí)現(xiàn)操作透明；操作審計(jì)，實(shí)現(xiàn)完整記錄；命令操作審計(jì)；圖形操作審計(jì)；操作搜索，實(shí)現(xiàn)快速定位。

項(xiàng)目技術(shù)優(yōu)勢

1.國內(nèi)首創(chuàng)指紋強(qiáng)身份認(rèn)證。國內(nèi)唯一強(qiáng)身份認(rèn)證運(yùn)維審計(jì)廠商，支持多達(dá)6種認(rèn)證方式按需組合。

2.靈活的運(yùn)維方式。支持本地運(yùn)維工具直接進(jìn)行運(yùn)維，實(shí)現(xiàn)本地工具和運(yùn)維賬號(hào)直接登錄目標(biāo)設(shè)備。

3.全面的風(fēng)險(xiǎn)的管理。事前，訪問來源及身份的嚴(yán)格驗(yàn)證；事中，精確命令級(jí)別，黑白名單機(jī)制，實(shí)時(shí)跟蹤用戶操作行為；事后，實(shí)時(shí)命令審計(jì)和用戶操作實(shí)時(shí)回放，提供完善的操作報(bào)表和事件分析報(bào)告。

4.深入的解析能力。不僅能解析明文操作、識(shí)別SSH加密操作內(nèi)容，而且對RDP遠(yuǎn)程訪問操作，系統(tǒng)能記錄 其鍵盤輸入、剪切板及鼠標(biāo)位置等，便于后期快速查詢審計(jì)。

5.專業(yè)的合規(guī)審計(jì)。符合國家等級(jí)保護(hù)二級(jí)以上對記錄并保存各種訪問日志的審計(jì)要求。

6.完善的高可用性。采用旁路部署，支持雙機(jī)、集群部署方式。

項(xiàng)目收益分析及評(píng)價(jià)

北汽新能源公司強(qiáng)身份認(rèn)證運(yùn)維管理平臺(tái)項(xiàng)目的實(shí)施，可以實(shí)時(shí)分析和綜合審計(jì)對項(xiàng)目內(nèi)含的數(shù)據(jù)庫、操作系統(tǒng)、安全設(shè)備產(chǎn)生的事件，同時(shí)對內(nèi)部員工的操作行為進(jìn)行全面的審計(jì)、監(jiān)控，能做到事前防范、事中控制、事后審計(jì)的能力。

（1）符合合規(guī)性要求；（2）實(shí)現(xiàn)了目標(biāo)資源的密碼統(tǒng)一管理和統(tǒng)一審計(jì)；（3）提高了效率，節(jié)省了成本；（4）實(shí)現(xiàn)了密碼安全策略的強(qiáng)制性；（5）提高了對數(shù)據(jù)庫的防護(hù)能力；（6）改善了應(yīng)用的體驗(yàn)和效率。

平臺(tái)中的用戶、賬號(hào)、密碼的集中管理和流程審批及會(huì)話、錄像審計(jì)的主要功能可以充分避免目前運(yùn)維管理中的各項(xiàng)漏洞；數(shù)據(jù)庫訪問控制、敏感信息屏蔽及細(xì)粒度審計(jì)功能可以保證目標(biāo)數(shù)據(jù)庫在運(yùn)維環(huán)節(jié)的安全風(fēng)險(xiǎn)。LS-SOP用戶界面簡單、友好、易于操作，其單點(diǎn)登錄功能和完善的電子審批工作流能夠保障安全的情況下提升運(yùn)維工作效率。

此方案已廣泛應(yīng)用于政府部門、金融保險(xiǎn)、教育機(jī)構(gòu)、電信行業(yè)及企事業(yè)等領(lǐng)域。

點(diǎn)評(píng)

傳統(tǒng)企業(yè)在網(wǎng)絡(luò)安全防護(hù)及IT運(yùn)維管理方面面臨一系列難題，久安世紀(jì)是以強(qiáng)身份認(rèn)證為長的安全廠商，在北汽新能源公司的安全建設(shè)中，采用創(chuàng)新的指紋強(qiáng)身份認(rèn)證，實(shí)現(xiàn)安全審計(jì)和集中管理。