信息化觀察網(wǎng)

經(jīng)驗分享：

2020年，踐行“新基建”和信創(chuàng)國家戰(zhàn)略，神州數(shù)碼率先參與鯤鵬產(chǎn)業(yè)生態(tài)建設(shè)，聚焦“核心技術(shù)創(chuàng)新、核心產(chǎn)品研發(fā)、核心業(yè)務(wù)可控”，展開信創(chuàng)產(chǎn)業(yè)全新布局，現(xiàn)已成為鯤鵬產(chǎn)業(yè)生態(tài)核心企業(yè)之一。

從3月生產(chǎn)基地動工建設(shè)，到5月落成投產(chǎn)，再到9月的系列產(chǎn)品發(fā)布，依托深耕中國信息化二十年的深刻理解和持續(xù)自主創(chuàng)新的深厚積累，短短6個月時間，神州數(shù)碼已完成了基于鯤鵬架構(gòu)“從0到1”的突破，并迅速整合積累和資源，構(gòu)建起覆蓋從PC、一體機，到支撐云端算力的多樣化服務(wù)器、多類型解決方案一體機的產(chǎn)品體系，以及覆蓋網(wǎng)絡(luò)、存儲、安全等“全棧交付”的服務(wù)能力，為千行百業(yè)提供端到端的信創(chuàng)產(chǎn)品及解決方案服務(wù)。

成果展示：

方案概要

隨著政府、金融、能源等用戶的系統(tǒng)規(guī)模的不斷擴大，業(yè)務(wù)范圍的快速擴張，運維工作量也隨之增多。主要在運維過程中存在兩大問題：

1）事前身份不確定、授權(quán)不清晰，事中操作不透明、過程不可控；

2）事后結(jié)果無法審計、責(zé)任不明確，導(dǎo)致業(yè)務(wù)系統(tǒng)及運維服務(wù)面臨安全風(fēng)險。

以金融某銀行用戶為例，XXX銀行作為國內(nèi)國際化和多元化程度較高的銀行，業(yè)務(wù)快速發(fā)展，信息化流程管控、自動化運維、虛擬化、Docker容器等新技術(shù)被陸續(xù)應(yīng)用支撐業(yè)務(wù)的快速發(fā)展；同時面臨著監(jiān)管機構(gòu)的強監(jiān)管，比如2018年5月底，銀保監(jiān)辦正式發(fā)布的《關(guān)于加強銀行業(yè)金融機構(gòu)生產(chǎn)交易系統(tǒng)安全風(fēng)險控制的通知》，該文件提出“運維安全管理8條”。

這些都給運維安全管理系統(tǒng)帶來了新的挑戰(zhàn)：如何全量地梳理系統(tǒng)賬號的體量、分布并實現(xiàn)自動化改密等合規(guī)性要求，特別是針對數(shù)據(jù)庫、中間件等涉及到業(yè)務(wù)應(yīng)用的系統(tǒng)賬號如何管理；如何與CMDB、流程管理等管理系統(tǒng)聯(lián)動，實現(xiàn)自動配置、流程閉環(huán)管理；如何兼容運維自動化、容器等新型技術(shù)資源的集中運維安全管理，適配中行信息化發(fā)展規(guī)劃。

基于國產(chǎn)架構(gòu)的神州鯤泰運維系統(tǒng)產(chǎn)品能夠?qū)崿F(xiàn)對操作人員的操作進行監(jiān)控、審計與管理，實現(xiàn)用戶賬號的集中管理、細(xì)粒度訪問授權(quán)控制、圖形操作協(xié)議的審計等功能，讓人員操作處于可管、可控、可見、可審的狀態(tài)下，規(guī)范運維的操作步驟，避免了誤操作和非授權(quán)操作帶來的隱患。

方案架構(gòu)

神州鯤泰運維系統(tǒng)平臺的整體技術(shù)架構(gòu)如下圖所示：

基于自動化的數(shù)據(jù)采集、大數(shù)據(jù)分析等技術(shù)，實現(xiàn)運維安全管理工作中的賬號管理、運維操作管理等安全管理的技術(shù)要求并滿足相應(yīng)的合規(guī)規(guī)范。

應(yīng)用支持能力

應(yīng)用場景情況

通過權(quán)威機構(gòu)的調(diào)研結(jié)果，大部分用戶的數(shù)據(jù)中心，包括小型企業(yè)規(guī)模（50臺以下的業(yè)務(wù)主機），中型企業(yè)規(guī)模（300臺以下的業(yè)務(wù)主機）和大型企業(yè)規(guī)模（1000臺以下的業(yè)務(wù)主機），都面臨著運維操作風(fēng)險將直接影響業(yè)務(wù)能否正常運行，系統(tǒng)賬號是非法入侵的首要目標(biāo)，資產(chǎn)合規(guī)管理是IT運維基礎(chǔ)等問題和風(fēng)險。

1.身份鑒別

應(yīng)對登錄網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進行身份鑒別。身份鑒別信息應(yīng)具有不易被冒用的特點，口令應(yīng)有復(fù)雜度要求并定期更換。應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對管理用戶進行身份鑒別。

2.訪問控制

應(yīng)啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問。應(yīng)根據(jù)管理用戶的角色分配權(quán)限，實現(xiàn)管理用戶的權(quán)限分離，僅授予管理用戶所需的最小權(quán)限。應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問，控制粒度為單個用戶。

3.安全審計

審計內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件。應(yīng)提供對審計記錄數(shù)據(jù)進行統(tǒng)計、查詢、分析及生成審計報表的功能。應(yīng)對審計記錄進行保護，避免受到未預(yù)期的刪除、修改或覆蓋等。

神州鯤泰運維系統(tǒng)就是圍繞著“身份鑒別、訪問控制、安全審計”這三個用戶的關(guān)鍵點基于信創(chuàng)體系要求，提供可落地、可自主、可迭代的安全產(chǎn)品，滿足用戶的需求。

業(yè)務(wù)應(yīng)用情況

運維系統(tǒng)解決方案的整體架構(gòu)如下圖：

具體功能模塊和設(shè)計如下：

1.身份認(rèn)證

支持本地認(rèn)證、USBKEY、動態(tài)令牌、手機令牌、雙因子等多種認(rèn)證方式；

具備密碼防暴力破解自動鎖定機制，支持用戶登錄限制；

支持設(shè)置登錄密碼強度，包括長度、數(shù)字、字母大小寫、特殊字符。

2.權(quán)限管控（動態(tài)權(quán)限）

基于用戶、資產(chǎn)、賬號屬性和登錄規(guī)則四要素，快速生成權(quán)限規(guī)則；

滿足屬性的用戶、資產(chǎn)、賬號會被自動賦予相應(yīng)的訪問權(quán)限；

用戶、資產(chǎn)屬性字段可靈活擴展；設(shè)置命令黑名單，對高危指令進行攔截。

3.服務(wù)端操作審計

字符操作審計：指令的輸入結(jié)果、指令的輸出結(jié)果、操作過程回放；

圖形操作審計：操作過程錄像、鍵盤的輸入內(nèi)容、打開的窗口標(biāo)題、剪切板操作內(nèi)容、會話按周期分割圖片；

文件傳輸審計：記錄上傳/下載行為、記錄傳輸文件的副本、記錄傳輸?shù)奈募夸洠?/p>

日志檢索：日志可下載查看、多關(guān)鍵字組合搜索、多會話片段合并查看。

4.終端桌面審計

通過Agent插件，操作者的所有操作過程，以視頻的方式進行記錄；

自動適配麒麟、UOS、凝思磐石等國產(chǎn)Linux操作系統(tǒng)；

記錄操作人員的登錄時間、認(rèn)證信息等內(nèi)容，對審計的內(nèi)容支持以視頻的方式進行回放；

自動提取操作過程當(dāng)中的鍵盤錄入、客戶端內(nèi)容和瀏覽器內(nèi)容；

實現(xiàn)深度文本記錄和審計。

技術(shù)先進性

自主程度（單選）

0-25%25%-50%50%-75%■75%-100%

神州鯤泰運維系統(tǒng)是以一體機的形式交付用戶，其硬件平臺是神州鯤泰服務(wù)器，基于海思鯤鵬CPU架構(gòu)，運維系統(tǒng)軟件已經(jīng)進行了基于該平臺的兼容性和性能方面的適配。

技術(shù)特點

1.特權(quán)賬號管理

支持系統(tǒng)賬號自動采集完成賬號全景臺賬梳理；支持系統(tǒng)賬號風(fēng)險自動分析準(zhǔn)確識別異常賬號；

支持基于賬號屬性動態(tài)靈活配置賬號自動改密；二級緩存、互備機制確保改密后業(yè)務(wù)正常運行；

支持國密算法、TPM密碼保險箱確保密碼安全。

2.操作安全管理

支持動態(tài)全景資產(chǎn)視圖，提供可視化資產(chǎn)管理；支持動態(tài)權(quán)限等多種靈活細(xì)顆粒權(quán)限配置模型；

支持基于用戶、資產(chǎn)多視角的權(quán)限可視化管理；提供豐富的審計文本，支持多關(guān)鍵字檢索審計；

支持智能會話合并，將操作碎片進行關(guān)聯(lián)展示。

3.方案架構(gòu)設(shè)計

全面支持端到端IPv6資產(chǎn)設(shè)備的集中管理；采用全API架構(gòu)設(shè)計，提供豐富的API接口；

引入ElasticSearch引擎，檢索效率提升10倍。

核心優(yōu)勢

1.部署簡單

僅部署網(wǎng)關(guān)、無需額外應(yīng)用發(fā)布；部署和未來管理成本低。無需額外部署應(yīng)用發(fā)布，解決了在并發(fā)量高的場景下，需要部署較多數(shù)量的應(yīng)用發(fā)布服務(wù)器的問題，減少了部署的復(fù)雜度和管理成本，同時也解決了應(yīng)用發(fā)布服務(wù)器的安全性：補丁、漏洞、用戶隔離性性等問題。

2.體驗一致

C/S客戶端仍舊在本地打開；遷移成本小。通過調(diào)用本地的客戶端，及滿足了通過CS客戶端直接訪問目標(biāo)服務(wù)器的需要，并且最大程度的保留的用戶的操作習(xí)慣。

3.性能高效

消耗工作站少量計算資源完成錄像審計，降低網(wǎng)關(guān)壓力。專用運維系統(tǒng)（堡壘機）技術(shù)方案，是在基于鯤鵬處理器的鯤泰服務(wù)器上安裝運維系統(tǒng)客戶端，由運維系統(tǒng)客戶端發(fā)起連接，將通用協(xié)議流量通過網(wǎng)關(guān)實現(xiàn)記錄，在工作站本地進行錄像、審計、軌跡分析、文本提取并上傳至網(wǎng)關(guān)，大大減小了網(wǎng)關(guān)的性能壓力。

應(yīng)用示范性

實施效果

神州鯤泰運維系統(tǒng)實現(xiàn)的效果和客戶收益：

1.滿足合規(guī)要求：定期自動改密等功能，實現(xiàn)賬號密碼相關(guān)行業(yè)安全規(guī)范要求的自動落地；

2.賦能企業(yè)運維：平臺化、API化系統(tǒng)建設(shè)，具備CMDB、流程系統(tǒng)對接能力，實現(xiàn)配置管理自動化閉環(huán)，賦能運維安全管理；

3.護航業(yè)務(wù)安全：賬號臺賬自動梳理、賬號風(fēng)險識別，提供全景賬號視圖，為業(yè)務(wù)運行保駕護航。

推廣價值

通過直觀的對比我們可以看到運維系統(tǒng)帶給客戶運維管理上的改變和提升。

沒有運維系統(tǒng)的現(xiàn)狀：

部署運維系統(tǒng)后：

示范意義

神州鯤泰運維系統(tǒng)在XXX集團護網(wǎng)中的應(yīng)用體現(xiàn)：

護網(wǎng)安全方案整體架構(gòu)：

護網(wǎng)安全方案價值

產(chǎn)業(yè)帶動性

經(jīng)濟效益

以某個金融證券用戶為例，在部署了神州鯤泰運維系統(tǒng)后，其年度統(tǒng)計的安全事件減少了30%，人為操作失誤和產(chǎn)生事故的概率降到了10%以內(nèi)，粗略估計對基礎(chǔ)架構(gòu)和安全系統(tǒng)的投入節(jié)省了20%，使其科技部門提升了在組織內(nèi)的價值和重要性。

具體說明是通過部署運維系統(tǒng)，使證券機構(gòu)的運維人員和第三方機構(gòu)的外包開發(fā)人員都做了統(tǒng)一賬號管理，針對第三方開發(fā)人員的運維賬號，進行“生命周期”自動管理，設(shè)定使用時間，過了使用時間之后第三方開發(fā)人員就無權(quán)再用此運維賬戶登錄，不但如此針對危險操作行為證券機構(gòu)也能夠設(shè)置安全策略，盡量把已知危險降到最低；在以后的開發(fā)過程中證券機構(gòu)可以通過運維報表中的統(tǒng)計數(shù)據(jù)進行薪酬支付，對“矛盾”問題進行錄像回放，查找問題源；真正實現(xiàn)了運維審計的同時做到了運維管理，為證券機構(gòu)信息化的建設(shè)做出了重大貢獻。

社會效益

在對于各個行業(yè)的運維人員，部署了運維系統(tǒng)后，實際工作中以統(tǒng)一的用戶身份登入系統(tǒng)，所有的運維操作都被記錄，操作對應(yīng)到實際的自然人而不是設(shè)備賬戶。在出現(xiàn)問題后，可以迅速的調(diào)出運維操作錄像進行查看，根據(jù)錄像進行問題的追本溯源，直接定位問題根源所在，為解決IT系統(tǒng)的故障提供了寶貴的第一手資料。問題的解決時間平均縮短到一到兩個小時，數(shù)量級的提高了運維工作質(zhì)量。另外，由于有錄像可以學(xué)習(xí)，交流和借鑒，從一定程度上，提高了所有運維人員的運維經(jīng)驗。

業(yè)務(wù)服務(wù)能力

實施能力

神州鯤泰運維系統(tǒng)的服務(wù)團隊在全國有70人左右，負(fù)責(zé)產(chǎn)品的PoC測試、部署調(diào)試、常規(guī)巡檢、故障處理等服務(wù)內(nèi)容，其中團隊的管理層和技術(shù)專家組，基本上都是有著15年以上的安全產(chǎn)品研發(fā)和實施的經(jīng)驗，占整個團隊的20%。團隊的項目經(jīng)理和工程師，具備IT安全方面的體系培訓(xùn)和考核，有著豐富的實戰(zhàn)經(jīng)驗。

綜合保障

神州鯤泰運維系統(tǒng)為用戶提供7*24的全天候服務(wù)響應(yīng)和處理，客戶服務(wù)中心的一線人員有20人左右，具備第一時間對用戶問題和需求的判斷解決能力。神州鯤泰定期發(fā)布安全資訊和建議方案，每年會組織召開30次左右的全國規(guī)模的線上線下的安全培訓(xùn)和研討會，各個區(qū)域和城市定期舉辦技術(shù)沙龍和用戶交流會。

我們對安全產(chǎn)品始終堅持“全天候響應(yīng)，備件先行”的服務(wù)原則，按照ITSM、ITIL等服務(wù)規(guī)范要求，遵循客戶滿意是唯一目標(biāo)的準(zhǔn)則。

專利授權(quán)及獲獎情況（與申報方案相關(guān)）

計算機軟件著作權(quán)等級證書(軟著登字第0683777號)：神州數(shù)碼安全審計系統(tǒng)[簡稱：DCSAS]V5.0