经验分享:
2020年,践行“新基建”和信创国家战略,神州数码率先参与鲲鹏产业生态建设,聚焦“核心技术创新、核心产品研发、核心业务可控”,展开信创产业全新布局,现已成为鲲鹏产业生态核心企业之一。
从3月生产基地动工建设,到5月落成投产,再到9月的系列产品发布,依托深耕中国信息化二十年的深刻理解和持续自主创新的深厚积累,短短6个月时间,神州数码已完成了基于鲲鹏架构“从0到1”的突破,并迅速整合积累和资源,构建起覆盖从PC、一体机,到支撑云端算力的多样化服务器、多类型解决方案一体机的产品体系,以及覆盖网络、存储、安全等“全栈交付”的服务能力,为千行百业提供端到端的信创产品及解决方案服务。
成果展示:
方案概要
随着政府、金融、能源等用户的系统规模的不断扩大,业务范围的快速扩张,运维工作量也随之增多。主要在运维过程中存在两大问题:
1)事前身份不确定、授权不清晰,事中操作不透明、过程不可控;
2)事后结果无法审计、责任不明确,导致业务系统及运维服务面临安全风险。
以金融某银行用户为例,XXX银行作为国内国际化和多元化程度较高的银行,业务快速发展,信息化流程管控、自动化运维、虚拟化、Docker容器等新技术被陆续应用支撑业务的快速发展;同时面临着监管机构的强监管,比如2018年5月底,银保监办正式发布的《关于加强银行业金融机构生产交易系统安全风险控制的通知》,该文件提出“运维安全管理8条”。
这些都给运维安全管理系统带来了新的挑战:如何全量地梳理系统账号的体量、分布并实现自动化改密等合规性要求,特别是针对数据库、中间件等涉及到业务应用的系统账号如何管理;如何与CMDB、流程管理等管理系统联动,实现自动配置、流程闭环管理;如何兼容运维自动化、容器等新型技术资源的集中运维安全管理,适配中行信息化发展规划。
基于国产架构的神州鲲泰运维系统产品能够实现对操作人员的操作进行监控、审计与管理,实现用户账号的集中管理、细粒度访问授权控制、图形操作协议的审计等功能,让人员操作处于可管、可控、可见、可审的状态下,规范运维的操作步骤,避免了误操作和非授权操作带来的隐患。
方案架构
神州鲲泰运维系统平台的整体技术架构如下图所示:
基于自动化的数据采集、大数据分析等技术,实现运维安全管理工作中的账号管理、运维操作管理等安全管理的技术要求并满足相应的合规规范。
应用支持能力
应用场景情况
通过权威机构的调研结果,大部分用户的数据中心,包括小型企业规模(50台以下的业务主机),中型企业规模(300台以下的业务主机)和大型企业规模(1000台以下的业务主机),都面临着运维操作风险将直接影响业务能否正常运行,系统账号是非法入侵的首要目标,资产合规管理是IT运维基础等问题和风险。
1.身份鉴别
应对登录网络设备、操作系统和数据库系统的用户进行身份鉴别。身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换。应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。
2.访问控制
应启用访问控制功能,依据安全策略控制用户对资源的访问。应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限。应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户。
3.安全审计
审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件。应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能。应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。
神州鲲泰运维系统就是围绕着“身份鉴别、访问控制、安全审计”这三个用户的关键点基于信创体系要求,提供可落地、可自主、可迭代的安全产品,满足用户的需求。
业务应用情况
运维系统解决方案的整体架构如下图:
具体功能模块和设计如下:
1.身份认证
支持本地认证、USBKEY、动态令牌、手机令牌、双因子等多种认证方式;
具备密码防暴力破解自动锁定机制,支持用户登录限制;
支持设置登录密码强度,包括长度、数字、字母大小写、特殊字符。
2.权限管控(动态权限)
基于用户、资产、账号属性和登录规则四要素,快速生成权限规则;
满足属性的用户、资产、账号会被自动赋予相应的访问权限;
用户、资产属性字段可灵活扩展;设置命令黑名单,对高危指令进行拦截。
3.服务端操作审计
字符操作审计:指令的输入结果、指令的输出结果、操作过程回放;
图形操作审计:操作过程录像、键盘的输入内容、打开的窗口标题、剪切板操作内容、会话按周期分割图片;
文件传输审计:记录上传/下载行为、记录传输文件的副本、记录传输的文件目录;
日志检索:日志可下载查看、多关键字组合搜索、多会话片段合并查看。
4.终端桌面审计
通过Agent插件,操作者的所有操作过程,以视频的方式进行记录;
自动适配麒麟、UOS、凝思磐石等国产Linux操作系统;
记录操作人员的登录时间、认证信息等内容,对审计的内容支持以视频的方式进行回放;
自动提取操作过程当中的键盘录入、客户端内容和浏览器内容;
实现深度文本记录和审计。
技术先进性
自主程度(单选)
0-25%25%-50%50%-75%■75%-100%
神州鲲泰运维系统是以一体机的形式交付用户,其硬件平台是神州鲲泰服务器,基于海思鲲鹏CPU架构,运维系统软件已经进行了基于该平台的兼容性和性能方面的适配。
技术特点
1.特权账号管理
支持系统账号自动采集完成账号全景台账梳理;支持系统账号风险自动分析准确识别异常账号;
支持基于账号属性动态灵活配置账号自动改密;二级缓存、互备机制确保改密后业务正常运行;
支持国密算法、TPM密码保险箱确保密码安全。
2.操作安全管理
支持动态全景资产视图,提供可视化资产管理;支持动态权限等多种灵活细颗粒权限配置模型;
支持基于用户、资产多视角的权限可视化管理;提供丰富的审计文本,支持多关键字检索审计;
支持智能会话合并,将操作碎片进行关联展示。
3.方案架构设计
全面支持端到端IPv6资产设备的集中管理;采用全API架构设计,提供丰富的API接口;
引入ElasticSearch引擎,检索效率提升10倍。
核心优势
1.部署简单
仅部署网关、无需额外应用发布;部署和未来管理成本低。无需额外部署应用发布,解决了在并发量高的场景下,需要部署较多数量的应用发布服务器的问题,减少了部署的复杂度和管理成本,同时也解决了应用发布服务器的安全性:补丁、漏洞、用户隔离性性等问题。
2.体验一致
C/S客户端仍旧在本地打开;迁移成本小。通过调用本地的客户端,及满足了通过CS客户端直接访问目标服务器的需要,并且最大程度的保留的用户的操作习惯。
3.性能高效
消耗工作站少量计算资源完成录像审计,降低网关压力。专用运维系统(堡垒机)技术方案,是在基于鲲鹏处理器的鲲泰服务器上安装运维系统客户端,由运维系统客户端发起连接,将通用协议流量通过网关实现记录,在工作站本地进行录像、审计、轨迹分析、文本提取并上传至网关,大大减小了网关的性能压力。
应用示范性
实施效果
神州鲲泰运维系统实现的效果和客户收益:
1.满足合规要求:定期自动改密等功能,实现账号密码相关行业安全规范要求的自动落地;
2.赋能企业运维:平台化、API化系统建设,具备CMDB、流程系统对接能力,实现配置管理自动化闭环,赋能运维安全管理;
3.护航业务安全:账号台账自动梳理、账号风险识别,提供全景账号视图,为业务运行保驾护航。
推广价值
通过直观的对比我们可以看到运维系统带给客户运维管理上的改变和提升。
没有运维系统的现状:
部署运维系统后:
示范意义
神州鲲泰运维系统在XXX集团护网中的应用体现:
护网安全方案整体架构:
护网安全方案价值
产业带动性
经济效益
以某个金融证券用户为例,在部署了神州鲲泰运维系统后,其年度统计的安全事件减少了30%,人为操作失误和产生事故的概率降到了10%以内,粗略估计对基础架构和安全系统的投入节省了20%,使其科技部门提升了在组织内的价值和重要性。
具体说明是通过部署运维系统,使证券机构的运维人员和第三方机构的外包开发人员都做了统一账号管理,针对第三方开发人员的运维账号,进行“生命周期”自动管理,设定使用时间,过了使用时间之后第三方开发人员就无权再用此运维账户登录,不但如此针对危险操作行为证券机构也能够设置安全策略,尽量把已知危险降到最低;在以后的开发过程中证券机构可以通过运维报表中的统计数据进行薪酬支付,对“矛盾”问题进行录像回放,查找问题源;真正实现了运维审计的同时做到了运维管理,为证券机构信息化的建设做出了重大贡献。
社会效益
在对于各个行业的运维人员,部署了运维系统后,实际工作中以统一的用户身份登入系统,所有的运维操作都被记录,操作对应到实际的自然人而不是设备账户。在出现问题后,可以迅速的调出运维操作录像进行查看,根据录像进行问题的追本溯源,直接定位问题根源所在,为解决IT系统的故障提供了宝贵的第一手资料。问题的解决时间平均缩短到一到两个小时,数量级的提高了运维工作质量。另外,由于有录像可以学习,交流和借鉴,从一定程度上,提高了所有运维人员的运维经验。
业务服务能力
实施能力
神州鲲泰运维系统的服务团队在全国有70人左右,负责产品的PoC测试、部署调试、常规巡检、故障处理等服务内容,其中团队的管理层和技术专家组,基本上都是有着15年以上的安全产品研发和实施的经验,占整个团队的20%。团队的项目经理和工程师,具备IT安全方面的体系培训和考核,有着丰富的实战经验。
综合保障
神州鲲泰运维系统为用户提供7*24的全天候服务响应和处理,客户服务中心的一线人员有20人左右,具备第一时间对用户问题和需求的判断解决能力。神州鲲泰定期发布安全资讯和建议方案,每年会组织召开30次左右的全国规模的线上线下的安全培训和研讨会,各个区域和城市定期举办技术沙龙和用户交流会。
我们对安全产品始终坚持“全天候响应,备件先行”的服务原则,按照ITSM、ITIL等服务规范要求,遵循客户满意是唯一目标的准则。
专利授权及获奖情况(与申报方案相关)
计算机软件著作权等级证书(软著登字第0683777号):神州数码安全审计系统[简称:DCSAS]V5.0