案例某某能源集團(tuán)

1、案例：某某能源集團(tuán)客戶概況某某能源集團(tuán)有限公司注冊(cè)資本100億元，主要從事電源投資建設(shè)和生產(chǎn)經(jīng)營(yíng)、煤炭流通經(jīng)營(yíng)、天然氣開發(fā)利用，并涉及金融、環(huán)保、建材、物資等其他領(lǐng)域。經(jīng)過(guò)幾年的快速發(fā)展，成為在全國(guó)具有一定影響、規(guī)模最大的地方能源企業(yè)之一。需求分析某某能源集團(tuán)信息中心擁有眾多的服務(wù)器和網(wǎng)絡(luò)設(shè)備，為集團(tuán)和下屬各企業(yè)單位提供業(yè)務(wù)支撐服務(wù)，所以信息中心的運(yùn)行狀況和數(shù)據(jù)的安全，關(guān)系到整個(gè)集團(tuán)業(yè)務(wù)系統(tǒng)的正常運(yùn)轉(zhuǎn)。在當(dāng)前的信息系統(tǒng)運(yùn)維現(xiàn)狀中，存在下屬單位信息部門人員、合作伙伴（業(yè)務(wù)系統(tǒng)開發(fā)人員）、第三方工程師（廠商維護(hù)人員）等多種性質(zhì)的維護(hù)人員采用遠(yuǎn)程終端工具（Telnet、SSH、RDP、VNC）進(jìn)行系

2、統(tǒng)維護(hù)，他們對(duì)信息中心的核心資產(chǎn)都擁有長(zhǎng)期或者臨時(shí)的操作權(quán)限。然而，他們的行為卻很難被管理和審計(jì)。現(xiàn)實(shí)中，存在多方人員共享系統(tǒng)管理員帳號(hào)、操作權(quán)限不清晰、操作內(nèi)容不可知、操作過(guò)程不可控、操作結(jié)果無(wú)法審計(jì)等多種安全隱患。造成出現(xiàn)安全事件時(shí)，難以找到事故原因、無(wú)法定位安全責(zé)任的問(wèn)題。因此，我們迫切需要從技術(shù)上保障維護(hù)人員的身份確認(rèn)、權(quán)限控制、過(guò)程監(jiān)控、結(jié)果可審計(jì)等功能，實(shí)現(xiàn)IT系統(tǒng)后臺(tái)維護(hù)操作行為的安全審計(jì)。解決方案根據(jù)對(duì)某某能源集團(tuán)的運(yùn)維安全管理與審計(jì)的需求分析，我們的管理服務(wù)平臺(tái)來(lái)構(gòu)建統(tǒng)一的運(yùn)維安全管理平臺(tái)。 規(guī) 格指 標(biāo)HeTuo-ms5520體積規(guī)格2U支持協(xié)議Telnet、FTP、SSH

3、、RDP、Rlogin、VNC、X11、Oracle、MSSQL、Sybase支持所有主流圖形終端、字符終端、文件傳輸和數(shù)據(jù)庫(kù)管理支持模式代理網(wǎng)關(guān)/VPN模式管理方式B/SHA模式支持網(wǎng)絡(luò)接口100/1000M RJ45*4存儲(chǔ)架構(gòu)RAID5+HOTSPARE存儲(chǔ)容量1TB許可證完全授權(quán)并發(fā)數(shù)1200分中心模式支持應(yīng)用擴(kuò)展支持ACC應(yīng)用協(xié)議擴(kuò)展（HTTP/HTTPS）外部存儲(chǔ)支持運(yùn)維安全管理系統(tǒng)支持多種部署方式，可以充分滿足不同網(wǎng)絡(luò)對(duì)審計(jì)系統(tǒng)的需求。審計(jì)主機(jī)的部署與網(wǎng)絡(luò)訪問(wèn)控制列表、企業(yè)管理制度相結(jié)合，以便取得更好的管理和審計(jì)效果。根據(jù)某某能源集團(tuán)信息中心的實(shí)際環(huán)境和管理要求，我們建議采用代理

4、網(wǎng)關(guān)（單臂）模式進(jìn)行部署；如圖所示：部署說(shuō)明：在代理網(wǎng)關(guān)模式下，所有由客戶端發(fā)起的服務(wù)端遠(yuǎn)程維護(hù)行為均通過(guò)HeTuo管理服務(wù)平臺(tái)進(jìn)行轉(zhuǎn)發(fā)，如SSH、Telent、RDP、VNC等遠(yuǎn)程連接，而正常的服務(wù)器對(duì)外業(yè)務(wù)則不通過(guò)HeTuo管理服務(wù)平臺(tái)，因此HeTuo管理服務(wù)平臺(tái)不會(huì)影響集團(tuán)的正常對(duì)外業(yè)務(wù)流。使用此模式時(shí)，我們?cè)诰W(wǎng)絡(luò)上通過(guò)防火墻對(duì)從客戶端直接訪問(wèn)服務(wù)器的維護(hù)通道進(jìn)行了限制，使得客戶端只有通過(guò)HeTuo管理服務(wù)平臺(tái)主機(jī)轉(zhuǎn)發(fā)才能訪問(wèn)到目標(biāo)服務(wù)器。方案特點(diǎn)構(gòu)建了某某能源集團(tuán)信息系統(tǒng)統(tǒng)一的運(yùn)維安全管理審計(jì)平臺(tái)，有效地針對(duì)后臺(tái)系統(tǒng)維護(hù)過(guò)程進(jìn)行全程監(jiān)控和全面審計(jì)，加強(qiáng)了核心設(shè)備和數(shù)據(jù)的操作安全。對(duì)操作

5、人員的身份進(jìn)行二次認(rèn)證，解決了某某能源集團(tuán)當(dāng)前存在的多人共享服務(wù)器帳號(hào)，導(dǎo)致操作者真實(shí)身份無(wú)法識(shí)別的問(wèn)題。對(duì)運(yùn)維人員的操作權(quán)限進(jìn)行了細(xì)粒度的控制，實(shí)現(xiàn)會(huì)話的同步監(jiān)控、實(shí)時(shí)阻斷以及預(yù)設(shè)黑白名單實(shí)行阻斷的功能。針對(duì)某某能源集團(tuán)常用的SSH、TELNET等字符型遠(yuǎn)程操作工具進(jìn)行指令級(jí)解析，完整記錄所有操作命令，視頻重現(xiàn)整個(gè)會(huì)話過(guò)程。針對(duì)某某能源集團(tuán)常用的RDP、VNC等圖形化遠(yuǎn)程操作工具進(jìn)行全面解析，記錄窗口標(biāo)題及鍵盤輸入，視頻重現(xiàn)整個(gè)會(huì)話過(guò)程。應(yīng)用效果對(duì)所有的后臺(tái)維護(hù)操作行為，包括常用的協(xié)議及圖形化工具（Telnet、SSH、RDP、VNC等）進(jìn)行了實(shí)時(shí)監(jiān)控和行為記錄，提供了操作指令還原和事件回放功能；進(jìn)行了細(xì)粒度的權(quán)限分配、對(duì)源地址、帳戶、目標(biāo)服務(wù)器以及操作指令等多條件組合匹配，明確了操作者身份，規(guī)范了操作人員的訪問(wèn)行為，強(qiáng)化了系統(tǒng)后臺(tái)安全管理；通過(guò)HeTuo管理服務(wù)平臺(tái)高效的檢索引擎和多條件組合查詢功能，快速、準(zhǔn)