标签:
导语:近年来,广州公共资源交易中心(以下简称“交易中心”)运用信息技术,用“制度+科技”的理念构建市、区一体化电子政府采购交易平台。为了保障平台的安全性,保证招标评审过程的公正公平、安全保密,交易中心采用了浪潮运维安全管控系统(简称“浪潮SSC”)对“一个平台、两个网络、十个系统”的运维管理进行全程审计,达到了国家安全等级保护的要求。
紧抓等保契机,安全管理不留死角
近年来,广州公共资源交易中心一直在利用信息化手段对政府采购领域进行全流程改造,并取得了预期效果。但随着互联网安全威胁的变化,以及政府对内控管理要求的提高,确保信息化平台的安全可控,成为了各项业务顺利开展的关键所在。
由于交易中心承载了广州地区所有的建筑、市政和工程项目的招投标交易活动,年交易项目近万宗,交易规模超过2000亿。一旦出现网络安全事件,不但会造成业务系统中断,还可能造成交易信息泄密,酿成重大的信息安全事件。因此,数据中心在网络安全防护工作方面一直坚持着“不断优化、持续强化”的策略。
广州公共资源交易中心信息化平台包括“一个平台、两个网络、十个系统”,另外还拥有华南地区最大的评标专家库。而信息安全工作的重要目标就是保证评标专家信息的保密性和招投标项目交易的安全性,这些信息直接影响招投标交易的成败以及市场的公平竞争,如果出现数据丢失或者泄露,后果不堪设想。“我中心的网络安全防护体系已经比较健全,但是在运维审计方面还没有相应的安全防护措施和设备,在等级保护工作要求中,也无法完成多人审核的具体规定。”交易中心网络技术负责人表示,现在的内网安全管理“存在隐患”。
据了解,等级保护要求规定,对于数据中心核心设备及关键业务系统等高风险运维操作,需采用多人核实机制(即在同时获得两人以上授权前提下,才能实施相应会话),以提升运维操作行为合规性控制的细粒度。交易中心的审计手段是基于操作系统日志的审计,只能定位到访问设备的IP地址、用户、时间等基本信息,无法准确、直观追溯运维人员在目标设备上的会话过程,无法对事故原因进行客观还原。因此,交易中心决定借助落实等保工作的契机,采购相关产品,扫除现存安全死角。
运维管理全程审计,打造信息操作监控唯一通道
在运维审计产品的选型阶段,共有5家企业的相关产品参与了测试。经过专家认证、评审,交易中心最终选择了综合得分最高的浪潮SSC运维安全管控系统,用于解决设备账号多人共用、越权访问和误操作、事故追责不能定位到人、安全制度落地不严等问题
浪潮SSC是浪潮针对政府、财税、金融、证券、电信、大中型企业等行业数据中心研发的业界领先的运维安全审计产品。该产品基于4A模型设计并采用多项管控技术,其认证管理模块验证“你是谁?”、授权管理模块明确“你能做什么?”、安全审计模块定位“你做了什么?”,从而有效提升数据中心的运维安全。在满足需求方面,SSC对交易中心所有服务器、数据库和网络设备实现集中式单一入口的访问管理控制,并满足了“二次授权”、“双人共管”等运维安全的需要。另外SSC还提供了事中审计和事后审计两种审计模式。事中审计可以方便审计管理员实时监控运维用户的操作,一旦发现高危操作,可以及时阻断用户的访问连接,事后审计可以利用“操作回放”第一时间定位事件源头。
交易中心技术负责人介绍了部署过程:“浪潮工程师将SSC通过旁路模式接入网络平台,实现了交易中心的网络结构‘零变动’;SSC还无需安装任何的代理程序、插件,从而做到了对主机系统性能的‘零影响’,对正常工作基本无影响。”在具体工作中,通过路由器或者交换机的访问控制策略限定,只能由浪潮SSC直接访问设备的远程维护端口,SSC接管了终端对网络、服务器及应用、数据库系统等访问,也就是说所有对交易信息中心的服务器、网络、数据库、应用系统等的访问,必须通过浪潮SSC这个唯一监控通道。
对于SSC的实施效果,交易中心技术负责人表示:“交易中心现有的服务器很多都是采用的浪潮产品,一直以来我们都对浪潮的品牌和产品比较信赖。在本次采购中,浪潮的SSC产品功能和性能表现突出,传承了浪潮产品的一贯作风,在项目验收阶段得到了中心领导的高度认可。在后期的实际应用过程中,切实发挥了运维监控和审计的作用,是数据中心运维审计不可缺少的一部分。”
据了解,2015年6月,市委书记任学锋到广州公共资源交易中心调研,充分肯定了交易中心对标准化、精细化、信息化管理理念的坚持。
|