一���、案例背景
隨著云計(jì)算、大數(shù)據(jù)���、物聯(lián)網(wǎng)����、SDN等新技術(shù)的快速應(yīng)用,信息化的高速發(fā)展使得業(yè)務(wù)規(guī)模不斷擴(kuò)大���,分支站點(diǎn)數(shù)量不斷增加����。傳統(tǒng)運(yùn)維方式受地理位置和IT資源限制����,無(wú)法做到實(shí)時(shí)監(jiān)測(cè)到各個(gè)分支設(shè)備的運(yùn)行狀態(tài)���,無(wú)法掌握設(shè)備系統(tǒng)資源變化趨勢(shì)。當(dāng)設(shè)備故障發(fā)生時(shí)���,運(yùn)維服務(wù)人員不能第一時(shí)間得到故障信息����、設(shè)備狀態(tài)���、設(shè)備的歷史記錄等���,無(wú)法做出有效的應(yīng)對(duì)和處理,只能到現(xiàn)場(chǎng)后才能診斷���。這樣導(dǎo)致故障的修復(fù)時(shí)間長(zhǎng)���、運(yùn)維效率低、影響信息系統(tǒng)的正常運(yùn)行���。
同時(shí)隨著運(yùn)維精細(xì)化要求的日益提升���,部署場(chǎng)景復(fù)雜化����,導(dǎo)致用戶(hù)對(duì)數(shù)據(jù)分析的要求也越來(lái)越高����,借助海量的日志數(shù)據(jù),提前定位和預(yù)知各類(lèi)安全威脅����,從而進(jìn)行趨勢(shì)預(yù)測(cè)、數(shù)據(jù)分析和多維度評(píng)估���,為運(yùn)維決策提供有力依據(jù)。各行各業(yè)信息化建設(shè)不斷深入和完善����,良好的運(yùn)維體系成為了信息化系統(tǒng)健康有序運(yùn)營(yíng)的必要支撐,因此建立運(yùn)維故障智能分析模型���,實(shí)現(xiàn)快速定位分析和遠(yuǎn)程故障排查能力����,保障業(yè)務(wù)高可用性,構(gòu)建新型智能化運(yùn)維管理體系���,成為信息化建設(shè)不可分割的部分���。
二、案例概述
通過(guò)對(duì)信息化建設(shè)和運(yùn)維管理現(xiàn)狀的調(diào)研和深入分析后���,了解到目前客戶(hù)IT運(yùn)維發(fā)展的現(xiàn)狀及面臨的風(fēng)險(xiǎn)挑戰(zhàn)如下:
1.各分支機(jī)構(gòu)和總部之間雖有專(zhuān)線形成了一個(gè)局域網(wǎng)用于業(yè)務(wù)的訪問(wèn)和通信加密傳輸安全保障���,各業(yè)務(wù)都在一個(gè)局域網(wǎng)里面,未做到業(yè)務(wù)與業(yè)務(wù)之間的隔離���,還是存在業(yè)務(wù)交叉泄露的風(fēng)險(xiǎn)���。
2.各分支機(jī)構(gòu)對(duì)接入網(wǎng)絡(luò)的設(shè)備、資產(chǎn)����、終端未進(jìn)行實(shí)名的身份安全,存在身份被冒用的風(fēng)險(xiǎn)����,對(duì)于訪問(wèn)的業(yè)務(wù)也無(wú)法做到基于身份的細(xì)粒度授權(quán)���,從而導(dǎo)致資源訪問(wèn)混亂和信息泄密的風(fēng)險(xiǎn)。
3.分支機(jī)構(gòu)不斷增加����,組網(wǎng)規(guī)模不斷擴(kuò)大,缺少一套針對(duì)組網(wǎng)設(shè)備的統(tǒng)一監(jiān)控系統(tǒng)����,及時(shí)了解邊界網(wǎng)關(guān)硬件設(shè)備的運(yùn)行趨勢(shì),快速故障定位���,高效處理故障的解決方案;
4.業(yè)務(wù)服務(wù)的規(guī)模增大����,規(guī)劃����、維護(hù)����、安全、管理等分工更加細(xì)致����,缺乏對(duì)業(yè)務(wù)系統(tǒng)健康狀況和運(yùn)行安全的監(jiān)測(cè)����,及時(shí)了解邊界網(wǎng)關(guān)硬件設(shè)備的運(yùn)行趨勢(shì)���,快速故障定位����,高效處置故障���、全網(wǎng)可視化的安全態(tài)勢(shì)感知和深層次的安全風(fēng)險(xiǎn)分析���。
5.缺少終端管控手段,對(duì)于所有接入業(yè)務(wù)網(wǎng)絡(luò)的科研����、生產(chǎn)和管理用的計(jì)算機(jī)都處于受控狀態(tài),不受管理的計(jì)算機(jī)不能連入到內(nèi)網(wǎng)���,對(duì)于接入內(nèi)網(wǎng)的計(jì)算機(jī)的操作都需要進(jìn)行管控和審計(jì)����,避免數(shù)據(jù)泄露。
6.邊界網(wǎng)關(guān)設(shè)備部署量不斷增多���,管理流程日益復(fù)雜���,管理成本不斷上升,缺乏能夠真實(shí)反映設(shè)備和業(yè)務(wù)運(yùn)行情況與運(yùn)行質(zhì)量的統(tǒng)計(jì)分析報(bào)表���,無(wú)法為運(yùn)維���、擴(kuò)容調(diào)優(yōu)提供有效的數(shù)據(jù)支撐。
三����、安全技術(shù)應(yīng)用情況
智行零信任安全解決方案
整個(gè)安全體系建設(shè)方案分為網(wǎng)絡(luò)隔離、訪問(wèn)控制����、終端控制三個(gè)部分。具體如下:
1.專(zhuān)線內(nèi)的隔離采用SD-WAN部署方案
利用SD-WAN的技術(shù)在現(xiàn)有的專(zhuān)線內(nèi)網(wǎng)里面組件一個(gè)或者多個(gè)隔離的業(yè)務(wù)專(zhuān)網(wǎng)���,用于分割不同的業(yè)務(wù)避免業(yè)務(wù)交叉,保障各業(yè)務(wù)網(wǎng)絡(luò)的獨(dú)立性和安全性����。
在總部中心部署SD-WAN智能管理平臺(tái)����,納管總部及分支機(jī)構(gòu)Edge智能網(wǎng)關(guān)設(shè)備����,實(shí)現(xiàn)整網(wǎng)的統(tǒng)一編排、實(shí)時(shí)監(jiān)控����,達(dá)成網(wǎng)絡(luò)整體運(yùn)營(yíng)的歸一化?���?偛拷尤胛恢貌渴鸶咝阅蹺dge網(wǎng)關(guān),來(lái)對(duì)分支機(jī)構(gòu)的上聯(lián)數(shù)據(jù)流量進(jìn)行整合調(diào)度���。各分支機(jī)構(gòu)上聯(lián)位置部署Edge網(wǎng)關(guān)����,對(duì)相關(guān)業(yè)務(wù)數(shù)據(jù)進(jìn)行分類(lèi)���、檢測(cè)���、加固����、調(diào)度����。根據(jù)各項(xiàng)目工作組的業(yè)務(wù)需求和組網(wǎng)要求,由智能管理平臺(tái)統(tǒng)一模板化下發(fā)篩選調(diào)度策略����,實(shí)現(xiàn)業(yè)務(wù)工作組內(nèi)的虛擬專(zhuān)網(wǎng)組建,達(dá)到工作組內(nèi)高效互聯(lián)����、工作組外隔離和訪問(wèn)受控的網(wǎng)絡(luò)要求。
2.專(zhuān)網(wǎng)內(nèi)的終端接入訪問(wèn)控制安全部署方案
采用零信任安全理念對(duì)每個(gè)接入隔離業(yè)務(wù)專(zhuān)網(wǎng)的計(jì)算機(jī)終端進(jìn)行全面的身份認(rèn)證和動(dòng)態(tài)訪問(wèn)控制授權(quán)���,保障只有被許可的人員訪問(wèn)被授權(quán)的業(yè)務(wù)資源���。在SD-WAN形成的業(yè)務(wù)專(zhuān)網(wǎng)里部署一臺(tái)零信任安全網(wǎng)關(guān)和零信任安全大腦,作為所有專(zhuān)網(wǎng)內(nèi)用戶(hù)的身份認(rèn)證及訪問(wèn)業(yè)務(wù)系統(tǒng)的代理���,訪問(wèn)控制和授權(quán)所有訪問(wèn)業(yè)務(wù)系統(tǒng)的終端必須安裝零信任安全瀏覽器或者客戶(hù)端���,零信任安全大腦對(duì)所有訪問(wèn)業(yè)務(wù)系統(tǒng)的瀏覽器和客戶(hù)端進(jìn)行身份認(rèn)證和授權(quán),未安裝客戶(hù)端的用戶(hù)無(wú)法看到和訪問(wèn)業(yè)務(wù)系統(tǒng)����。
3.專(zhuān)網(wǎng)內(nèi)的終端安全管控與零信任相結(jié)合部署方案
采用終端管控技術(shù)對(duì)用戶(hù)的訪問(wèn)行為進(jìn)行進(jìn)一步的規(guī)范和控制,對(duì)于涉密的結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)進(jìn)行管控和審計(jì)����,防止數(shù)據(jù)泄密。終端管理與零信任相結(jié)合���,為訪問(wèn)控制決策提供更加豐富的數(shù)據(jù)源支撐���。基于零信任安全理念���,以身份管控和動(dòng)態(tài)授權(quán)確保業(yè)務(wù)訪問(wèn)安全���,以準(zhǔn)入控制和介質(zhì)管控確保終端接入安全。
四����、客戶(hù)反饋效果
安全風(fēng)險(xiǎn)降低情況及使用效果情況
1.健全身份認(rèn)證系統(tǒng)����,加強(qiáng)身份生命周期管理
建設(shè)統(tǒng)一身份管理系統(tǒng)���。實(shí)現(xiàn)職工在入職����、升職����、轉(zhuǎn)崗、調(diào)動(dòng)����、離職等場(chǎng)景下信息系統(tǒng)賬號(hào)的全生命周期管理,建立無(wú)縫的用戶(hù)身份管理體系����;完善安全認(rèn)證系統(tǒng),為應(yīng)用系統(tǒng)提供統(tǒng)一的靜態(tài)口令����、短信驗(yàn)證碼����、動(dòng)態(tài)令牌等認(rèn)證方式,并預(yù)留未來(lái)指紋����、虹膜、人臉等生物識(shí)別認(rèn)證手段的接入準(zhǔn)備���;集成本單位主要信息系統(tǒng),將本單位主要信息系統(tǒng)接入至統(tǒng)一身份認(rèn)證管理系統(tǒng)平臺(tái)���,充分利用平臺(tái)作為身份安全基礎(chǔ)設(shè)施提供的身份管理統(tǒng)一認(rèn)證能力���,同時(shí)支持對(duì)接上級(jí)單位信息系統(tǒng)。
2.實(shí)現(xiàn)動(dòng)態(tài)訪問(wèn)控制���,重構(gòu)網(wǎng)絡(luò)安全訪問(wèn)邊界
以身份為中心����,通過(guò)應(yīng)用層業(yè)務(wù)代理縮小各個(gè)業(yè)務(wù)系統(tǒng)的暴露面����,統(tǒng)一用戶(hù)對(duì)業(yè)務(wù)系統(tǒng)的訪問(wèn)入口����,根據(jù)用戶(hù)身份按需開(kāi)放業(yè)務(wù)入口����,同時(shí)基于零信任安全理念,遵循以下三個(gè)原則:
網(wǎng)絡(luò)無(wú)特權(quán)化原則:不靠網(wǎng)絡(luò)位置建立信任關(guān)系����,所有用戶(hù)、設(shè)備和訪問(wèn)都應(yīng)該被認(rèn)證���、授權(quán)和加密����;
信任最小化原則:在網(wǎng)絡(luò)層面���,用戶(hù)只能“看見(jiàn)”和“接觸”到他所需要的訪問(wèn)的業(yè)務(wù)系統(tǒng)����,獲得最小權(quán)限���;
權(quán)限動(dòng)態(tài)化原則:訪問(wèn)控制策略應(yīng)該是動(dòng)態(tài)的���,應(yīng)基于盡量多的數(shù)據(jù)源進(jìn)行計(jì)算和評(píng)估���。
提升零信任訪問(wèn)控制中心能力,建設(shè)零信任安全大腦���,將網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施納入分析數(shù)據(jù)源����,針對(duì)訪問(wèn)主體和訪問(wèn)客體進(jìn)行持續(xù)的信任評(píng)估����,實(shí)現(xiàn)動(dòng)態(tài)的訪問(wèn)控制���。
3.建立虛擬專(zhuān)用網(wǎng)絡(luò)����,確保分支安全便捷組網(wǎng)
基于現(xiàn)有Internet���、MPLS���、LTE等任意鏈路���,采用Overlay技術(shù)部署SD-WAN,針對(duì)各業(yè)務(wù)搭建業(yè)務(wù)專(zhuān)網(wǎng)���,各業(yè)務(wù)專(zhuān)網(wǎng)之間進(jìn)行隔離����,以保障業(yè)務(wù)自身網(wǎng)絡(luò)的獨(dú)立性和安全性����。
通過(guò)平臺(tái)化的智能管理,納管總部及分支機(jī)構(gòu)的接入網(wǎng)關(guān)設(shè)備����,實(shí)現(xiàn)整網(wǎng)的統(tǒng)一編排、實(shí)時(shí)監(jiān)控���,達(dá)成網(wǎng)絡(luò)整體運(yùn)營(yíng)的歸一化���。
4.強(qiáng)化終端基線管控,牢筑數(shù)據(jù)安全防御壁壘
終端安全管理系統(tǒng)與環(huán)境安全監(jiān)測(cè)中心實(shí)現(xiàn)聯(lián)動(dòng)����,將現(xiàn)有能力結(jié)合終端進(jìn)程����、終端用戶(hù)行為納入基線管控���,并能有效支撐訪問(wèn)控制策略決策����。
在端側(cè)集成網(wǎng)絡(luò)準(zhǔn)入控制����、存儲(chǔ)介質(zhì)管控、文檔不落地���、文件外發(fā)管控等功能,強(qiáng)化數(shù)據(jù)安全防護(hù)能力���。
5.增強(qiáng)資產(chǎn)威脅感知���,構(gòu)建應(yīng)用信任評(píng)估體系
態(tài)勢(shì)感知與安全運(yùn)營(yíng)平臺(tái)和網(wǎng)絡(luò)安全監(jiān)測(cè)分析中心實(shí)現(xiàn)聯(lián)動(dòng),通過(guò)EDR����、結(jié)合用戶(hù)訪問(wèn)行為全面提升現(xiàn)有資產(chǎn)及流量的威脅感知能力����,同時(shí)有效支撐訪問(wèn)控制策略決策���,及時(shí)避免威脅向用戶(hù)側(cè)反向或資產(chǎn)側(cè)橫向擴(kuò)散����。
6.協(xié)同運(yùn)維工作空間���,創(chuàng)建統(tǒng)一運(yùn)維安全體系
基于零信任安全理念打造的一整套全新的���、符合中心化管理、即插即用���、靈活擴(kuò)展的IT運(yùn)維管理與安全審計(jì)解決方案����,構(gòu)建總分型機(jī)構(gòu)內(nèi)部IT運(yùn)維服務(wù)支撐環(huán)境的同時(shí)���,充分滿(mǎn)足IT運(yùn)維管理過(guò)程中對(duì)運(yùn)維安全���、服務(wù)成本和服務(wù)質(zhì)量的訴求����,搭建精簡(jiǎn)����、高效、安全的IT運(yùn)維管理體系����,幫助IT運(yùn)維管理人員全面應(yīng)對(duì)各類(lèi)運(yùn)維資源及運(yùn)維事件,同時(shí)進(jìn)行集中賬號(hào)管理���、精細(xì)化的權(quán)限管理和過(guò)程審計(jì)����,提升風(fēng)險(xiǎn)控制水平���,同時(shí)保障內(nèi)部數(shù)據(jù)和信息的安全。在遠(yuǎn)程IT服務(wù)方面���,保障IT技術(shù)人員����、合作伙伴以及第三方運(yùn)維服務(wù)團(tuán)隊(duì)可以在任何時(shí)間、地點(diǎn)和設(shè)備上安全完成IT的運(yùn)維管理工作���,并能實(shí)現(xiàn)高效的線上和線下���、以及線上和線上全方位的協(xié)同工作。
公安備案號(hào):44030502000376