|
標簽:
導語:近年來,廣州公共資源交易中心(以下簡稱“交易中心”)運用信息技術(shù),用“制度+科技”的理念構(gòu)建市、區(qū)一體化電子政府采購交易平臺。為了保障平臺的安全性,保證招標評審過程的公正公平、安全保密,交易中心采用了浪潮運維安全管控系統(tǒng)(簡稱“浪潮SSC”)對“一個平臺、兩個網(wǎng)絡(luò)、十個系統(tǒng)”的運維管理進行全程審計,達到了國家安全等級保護的要求。
緊抓等保契機,安全管理不留死角
近年來,廣州公共資源交易中心一直在利用信息化手段對政府采購領(lǐng)域進行全流程改造,并取得了預期效果。但隨著互聯(lián)網(wǎng)安全威脅的變化,以及政府對內(nèi)控管理要求的提高,確保信息化平臺的安全可控,成為了各項業(yè)務(wù)順利開展的關(guān)鍵所在。
由于交易中心承載了廣州地區(qū)所有的建筑、市政和工程項目的招投標交易活動,年交易項目近萬宗,交易規(guī)模超過2000億。一旦出現(xiàn)網(wǎng)絡(luò)安全事件,不但會造成業(yè)務(wù)系統(tǒng)中斷,還可能造成交易信息泄密,釀成重大的信息安全事件。因此,數(shù)據(jù)中心在網(wǎng)絡(luò)安全防護工作方面一直堅持著“不斷優(yōu)化、持續(xù)強化”的策略。
廣州公共資源交易中心信息化平臺包括“一個平臺、兩個網(wǎng)絡(luò)、十個系統(tǒng)”,另外還擁有華南地區(qū)最大的評標專家?guī)臁6畔踩ぷ鞯闹匾繕司褪潜WC評標專家信息的保密性和招投標項目交易的安全性,這些信息直接影響招投標交易的成敗以及市場的公平競爭,如果出現(xiàn)數(shù)據(jù)丟失或者泄露,后果不堪設(shè)想。“我中心的網(wǎng)絡(luò)安全防護體系已經(jīng)比較健全,但是在運維審計方面還沒有相應的安全防護措施和設(shè)備,在等級保護工作要求中,也無法完成多人審核的具體規(guī)定。”交易中心網(wǎng)絡(luò)技術(shù)負責人表示,現(xiàn)在的內(nèi)網(wǎng)安全管理“存在隱患”。
據(jù)了解,等級保護要求規(guī)定,對于數(shù)據(jù)中心核心設(shè)備及關(guān)鍵業(yè)務(wù)系統(tǒng)等高風險運維操作,需采用多人核實機制(即在同時獲得兩人以上授權(quán)前提下,才能實施相應會話),以提升運維操作行為合規(guī)性控制的細粒度。交易中心的審計手段是基于操作系統(tǒng)日志的審計,只能定位到訪問設(shè)備的IP地址、用戶、時間等基本信息,無法準確、直觀追溯運維人員在目標設(shè)備上的會話過程,無法對事故原因進行客觀還原。因此,交易中心決定借助落實等保工作的契機,采購相關(guān)產(chǎn)品,掃除現(xiàn)存安全死角。
運維管理全程審計,打造信息操作監(jiān)控唯一通道
在運維審計產(chǎn)品的選型階段,共有5家企業(yè)的相關(guān)產(chǎn)品參與了測試。經(jīng)過專家認證、評審,交易中心最終選擇了綜合得分最高的浪潮SSC運維安全管控系統(tǒng),用于解決設(shè)備賬號多人共用、越權(quán)訪問和誤操作、事故追責不能定位到人、安全制度落地不嚴等問題
浪潮SSC是浪潮針對政府、財稅、金融、證券、電信、大中型企業(yè)等行業(yè)數(shù)據(jù)中心研發(fā)的業(yè)界領(lǐng)先的運維安全審計產(chǎn)品。該產(chǎn)品基于4A模型設(shè)計并采用多項管控技術(shù),其認證管理模塊驗證“你是誰?”、授權(quán)管理模塊明確“你能做什么?”、安全審計模塊定位“你做了什么?”,從而有效提升數(shù)據(jù)中心的運維安全。在滿足需求方面,SSC對交易中心所有服務(wù)器、數(shù)據(jù)庫和網(wǎng)絡(luò)設(shè)備實現(xiàn)集中式單一入口的訪問管理控制,并滿足了“二次授權(quán)”、“雙人共管”等運維安全的需要。另外SSC還提供了事中審計和事后審計兩種審計模式。事中審計可以方便審計管理員實時監(jiān)控運維用戶的操作,一旦發(fā)現(xiàn)高危操作,可以及時阻斷用戶的訪問連接,事后審計可以利用“操作回放”第一時間定位事件源頭。
交易中心技術(shù)負責人介紹了部署過程:“浪潮工程師將SSC通過旁路模式接入網(wǎng)絡(luò)平臺,實現(xiàn)了交易中心的網(wǎng)絡(luò)結(jié)構(gòu)‘零變動’;SSC還無需安裝任何的代理程序、插件,從而做到了對主機系統(tǒng)性能的‘零影響’,對正常工作基本無影響。”在具體工作中,通過路由器或者交換機的訪問控制策略限定,只能由浪潮SSC直接訪問設(shè)備的遠程維護端口,SSC接管了終端對網(wǎng)絡(luò)、服務(wù)器及應用、數(shù)據(jù)庫系統(tǒng)等訪問,也就是說所有對交易信息中心的服務(wù)器、網(wǎng)絡(luò)、數(shù)據(jù)庫、應用系統(tǒng)等的訪問,必須通過浪潮SSC這個唯一監(jiān)控通道。
對于SSC的實施效果,交易中心技術(shù)負責人表示:“交易中心現(xiàn)有的服務(wù)器很多都是采用的浪潮產(chǎn)品,一直以來我們都對浪潮的品牌和產(chǎn)品比較信賴。在本次采購中,浪潮的SSC產(chǎn)品功能和性能表現(xiàn)突出,傳承了浪潮產(chǎn)品的一貫作風,在項目驗收階段得到了中心領(lǐng)導的高度認可。在后期的實際應用過程中,切實發(fā)揮了運維監(jiān)控和審計的作用,是數(shù)據(jù)中心運維審計不可缺少的一部分。”
據(jù)了解,2015年6月,市委書記任學鋒到廣州公共資源交易中心調(diào)研,充分肯定了交易中心對標準化、精細化、信息化管理理念的堅持。
|
