標簽:
導語:近年來,廣州公共資源交易中心(以下簡稱“交易中心”)運用信息技術,用“制度+科技”的理念構建市、區(qū)一體化電子政府采購交易平臺。為了保障平臺的安全性,保證招標評審過程的公正公平、安全保密,交易中心采用了浪潮運維安全管控系統(tǒng)(簡稱“浪潮SSC”)對“一個平臺、兩個網絡、十個系統(tǒng)”的運維管理進行全程審計,達到了國家安全等級保護的要求。
緊抓等保契機,安全管理不留死角
近年來,廣州公共資源交易中心一直在利用信息化手段對政府采購領域進行全流程改造,并取得了預期效果。但隨著互聯網安全威脅的變化,以及政府對內控管理要求的提高,確保信息化平臺的安全可控,成為了各項業(yè)務順利開展的關鍵所在。
由于交易中心承載了廣州地區(qū)所有的建筑、市政和工程項目的招投標交易活動,年交易項目近萬宗,交易規(guī)模超過2000億。一旦出現網絡安全事件,不但會造成業(yè)務系統(tǒng)中斷,還可能造成交易信息泄密,釀成重大的信息安全事件。因此,數據中心在網絡安全防護工作方面一直堅持著“不斷優(yōu)化、持續(xù)強化”的策略。
廣州公共資源交易中心信息化平臺包括“一個平臺、兩個網絡、十個系統(tǒng)”,另外還擁有華南地區(qū)最大的評標專家?guī)臁6畔踩ぷ鞯闹匾繕司褪潜WC評標專家信息的保密性和招投標項目交易的安全性,這些信息直接影響招投標交易的成敗以及市場的公平競爭,如果出現數據丟失或者泄露,后果不堪設想。“我中心的網絡安全防護體系已經比較健全,但是在運維審計方面還沒有相應的安全防護措施和設備,在等級保護工作要求中,也無法完成多人審核的具體規(guī)定。”交易中心網絡技術負責人表示,現在的內網安全管理“存在隱患”。
據了解,等級保護要求規(guī)定,對于數據中心核心設備及關鍵業(yè)務系統(tǒng)等高風險運維操作,需采用多人核實機制(即在同時獲得兩人以上授權前提下,才能實施相應會話),以提升運維操作行為合規(guī)性控制的細粒度。交易中心的審計手段是基于操作系統(tǒng)日志的審計,只能定位到訪問設備的IP地址、用戶、時間等基本信息,無法準確、直觀追溯運維人員在目標設備上的會話過程,無法對事故原因進行客觀還原。因此,交易中心決定借助落實等保工作的契機,采購相關產品,掃除現存安全死角。
運維管理全程審計,打造信息操作監(jiān)控唯一通道
在運維審計產品的選型階段,共有5家企業(yè)的相關產品參與了測試。經過專家認證、評審,交易中心最終選擇了綜合得分最高的浪潮SSC運維安全管控系統(tǒng),用于解決設備賬號多人共用、越權訪問和誤操作、事故追責不能定位到人、安全制度落地不嚴等問題
浪潮SSC是浪潮針對政府、財稅、金融、證券、電信、大中型企業(yè)等行業(yè)數據中心研發(fā)的業(yè)界領先的運維安全審計產品。該產品基于4A模型設計并采用多項管控技術,其認證管理模塊驗證“你是誰?”、授權管理模塊明確“你能做什么?”、安全審計模塊定位“你做了什么?”,從而有效提升數據中心的運維安全。在滿足需求方面,SSC對交易中心所有服務器、數據庫和網絡設備實現集中式單一入口的訪問管理控制,并滿足了“二次授權”、“雙人共管”等運維安全的需要。另外SSC還提供了事中審計和事后審計兩種審計模式。事中審計可以方便審計管理員實時監(jiān)控運維用戶的操作,一旦發(fā)現高危操作,可以及時阻斷用戶的訪問連接,事后審計可以利用“操作回放”第一時間定位事件源頭。
交易中心技術負責人介紹了部署過程:“浪潮工程師將SSC通過旁路模式接入網絡平臺,實現了交易中心的網絡結構‘零變動’;SSC還無需安裝任何的代理程序、插件,從而做到了對主機系統(tǒng)性能的‘零影響’,對正常工作基本無影響。”在具體工作中,通過路由器或者交換機的訪問控制策略限定,只能由浪潮SSC直接訪問設備的遠程維護端口,SSC接管了終端對網絡、服務器及應用、數據庫系統(tǒng)等訪問,也就是說所有對交易信息中心的服務器、網絡、數據庫、應用系統(tǒng)等的訪問,必須通過浪潮SSC這個唯一監(jiān)控通道。
對于SSC的實施效果,交易中心技術負責人表示:“交易中心現有的服務器很多都是采用的浪潮產品,一直以來我們都對浪潮的品牌和產品比較信賴。在本次采購中,浪潮的SSC產品功能和性能表現突出,傳承了浪潮產品的一貫作風,在項目驗收階段得到了中心領導的高度認可。在后期的實際應用過程中,切實發(fā)揮了運維監(jiān)控和審計的作用,是數據中心運維審計不可缺少的一部分。”
據了解,2015年6月,市委書記任學鋒到廣州公共資源交易中心調研,充分肯定了交易中心對標準化、精細化、信息化管理理念的堅持。
|