一、案例背景
隨著云計算�����、大數(shù)據(jù)�、物聯(lián)網(wǎng)、SDN等新技術(shù)的快速應(yīng)用�����,信息化的高速發(fā)展使得業(yè)務(wù)規(guī)模不斷擴(kuò)大�����,分支站點數(shù)量不斷增加�����。傳統(tǒng)運維方式受地理位置和IT資源限制��,無法做到實時監(jiān)測到各個分支設(shè)備的運行狀態(tài)����,無法掌握設(shè)備系統(tǒng)資源變化趨勢�。當(dāng)設(shè)備故障發(fā)生時,運維服務(wù)人員不能第一時間得到故障信息���、設(shè)備狀態(tài)����、設(shè)備的歷史記錄等,無法做出有效的應(yīng)對和處理�����,只能到現(xiàn)場后才能診斷����。這樣導(dǎo)致故障的修復(fù)時間長、運維效率低�、影響信息系統(tǒng)的正常運行。
同時隨著運維精細(xì)化要求的日益提升��,部署場景復(fù)雜化�,導(dǎo)致用戶對數(shù)據(jù)分析的要求也越來越高,借助海量的日志數(shù)據(jù)�,提前定位和預(yù)知各類安全威脅,從而進(jìn)行趨勢預(yù)測����、數(shù)據(jù)分析和多維度評估,為運維決策提供有力依據(jù)�����。各行各業(yè)信息化建設(shè)不斷深入和完善�����,良好的運維體系成為了信息化系統(tǒng)健康有序運營的必要支撐,因此建立運維故障智能分析模型��,實現(xiàn)快速定位分析和遠(yuǎn)程故障排查能力���,保障業(yè)務(wù)高可用性���,構(gòu)建新型智能化運維管理體系��,成為信息化建設(shè)不可分割的部分��。
二�����、案例概述
通過對信息化建設(shè)和運維管理現(xiàn)狀的調(diào)研和深入分析后�����,了解到目前客戶IT運維發(fā)展的現(xiàn)狀及面臨的風(fēng)險挑戰(zhàn)如下:
1.各分支機(jī)構(gòu)和總部之間雖有專線形成了一個局域網(wǎng)用于業(yè)務(wù)的訪問和通信加密傳輸安全保障��,各業(yè)務(wù)都在一個局域網(wǎng)里面����,未做到業(yè)務(wù)與業(yè)務(wù)之間的隔離�����,還是存在業(yè)務(wù)交叉泄露的風(fēng)險���。
2.各分支機(jī)構(gòu)對接入網(wǎng)絡(luò)的設(shè)備、資產(chǎn)����、終端未進(jìn)行實名的身份安全,存在身份被冒用的風(fēng)險���,對于訪問的業(yè)務(wù)也無法做到基于身份的細(xì)粒度授權(quán)�,從而導(dǎo)致資源訪問混亂和信息泄密的風(fēng)險��。
3.分支機(jī)構(gòu)不斷增加�,組網(wǎng)規(guī)模不斷擴(kuò)大,缺少一套針對組網(wǎng)設(shè)備的統(tǒng)一監(jiān)控系統(tǒng)���,及時了解邊界網(wǎng)關(guān)硬件設(shè)備的運行趨勢����,快速故障定位,高效處理故障的解決方案���。
4.業(yè)務(wù)服務(wù)的規(guī)模增大�����,規(guī)劃�、維護(hù)��、安全�����、管理等分工更加細(xì)致���,缺乏對業(yè)務(wù)系統(tǒng)健康狀況和運行安全的監(jiān)測,及時了解邊界網(wǎng)關(guān)硬件設(shè)備的運行趨勢�����,快速故障定位��,高效處置故障��、全網(wǎng)可視化的安全態(tài)勢感知和深層次的安全風(fēng)險分析。
5.缺少終端管控手段��,對于所有接入業(yè)務(wù)網(wǎng)絡(luò)的科研�����、生產(chǎn)和管理用的計算機(jī)都處于受控狀態(tài)���,不受管理的計算機(jī)不能連入到內(nèi)網(wǎng)�����,對于接入內(nèi)網(wǎng)的計算機(jī)的操作都需要進(jìn)行管控和審計��,避免數(shù)據(jù)泄露�����。
6.邊界網(wǎng)關(guān)設(shè)備部署量不斷增多����,管理流程日益復(fù)雜��,管理成本不斷上升�,缺乏能夠真實反映設(shè)備和業(yè)務(wù)運行情況與運行質(zhì)量的統(tǒng)計分析報表�����,無法為運維�����、擴(kuò)容調(diào)優(yōu)提供有效的數(shù)據(jù)支撐�。
三����、安全技術(shù)應(yīng)用情況
智行零信任安全解決方案
整個安全體系建設(shè)方案分為網(wǎng)絡(luò)隔離、訪問控制���、終端控制三個部分��。具體如下
1.專線內(nèi)的隔離采用SD-WAN部署方案
利用SD-WAN的技術(shù)在現(xiàn)有的專線內(nèi)網(wǎng)里面組件一個或者多個隔離的業(yè)務(wù)專網(wǎng),用于分割不同的業(yè)務(wù)避免業(yè)務(wù)交叉�����,保障各業(yè)務(wù)網(wǎng)絡(luò)的獨立性和安全性���。
在總部中心部署SD-WAN智能管理平臺�����,納管總部及分支機(jī)構(gòu)Edge智能網(wǎng)關(guān)設(shè)備���,實現(xiàn)整網(wǎng)的統(tǒng)一編排����、實時監(jiān)控����,達(dá)成網(wǎng)絡(luò)整體運營的歸一化?����?偛拷尤胛恢貌渴鸶咝阅蹺dge網(wǎng)關(guān)�,來對分支機(jī)構(gòu)的上聯(lián)數(shù)據(jù)流量進(jìn)行整合調(diào)度。各分支機(jī)構(gòu)上聯(lián)位置部署Edge網(wǎng)關(guān)�����,對相關(guān)業(yè)務(wù)數(shù)據(jù)進(jìn)行分類��、檢測、加固��、調(diào)度�。根據(jù)各項目工作組的業(yè)務(wù)需求和組網(wǎng)要求,由智能管理平臺統(tǒng)一模板化下發(fā)篩選調(diào)度策略����,實現(xiàn)業(yè)務(wù)工作組內(nèi)的虛擬專網(wǎng)組建,達(dá)到工作組內(nèi)高效互聯(lián)����、工作組外隔離和訪問受控的網(wǎng)絡(luò)要求。
2.專網(wǎng)內(nèi)的終端接入訪問控制安全部署方案
采用零信任安全理念對每個接入隔離業(yè)務(wù)專網(wǎng)的計算機(jī)終端進(jìn)行全面的身份認(rèn)證和動態(tài)訪問控制授權(quán)����,保障只有被許可的人員訪問被授權(quán)的業(yè)務(wù)資源。在SD-WAN形成的業(yè)務(wù)專網(wǎng)里部署一臺零信任安全網(wǎng)關(guān)和零信任安全大腦��,作為所有專網(wǎng)內(nèi)用戶的身份認(rèn)證及訪問業(yè)務(wù)系統(tǒng)的代理����,訪問控制和授權(quán)所有訪問業(yè)務(wù)系統(tǒng)的終端必須安裝零信任安全瀏覽器或者客戶端,零信任安全大腦對所有訪問業(yè)務(wù)系統(tǒng)的瀏覽器和客戶端進(jìn)行身份認(rèn)證和授權(quán)���,未安裝客戶端的用戶無法看到和訪問業(yè)務(wù)系統(tǒng)。
3.專網(wǎng)內(nèi)的終端安全管控與零信任相結(jié)合部署方案
采用終端管控技術(shù)對用戶的訪問行為進(jìn)行進(jìn)一步的規(guī)范和控制,對于涉密的結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)進(jìn)行管控和審計��,防止數(shù)據(jù)泄密�����。終端管理與零信任相結(jié)合�����,為訪問控制決策提供更加豐富的數(shù)據(jù)源支撐���?���;诹阈湃伟踩砟?���,以身份管控和動態(tài)授權(quán)確保業(yè)務(wù)訪問安全,以準(zhǔn)入控制和介質(zhì)管控確保終端接入安全�����。
四���、客戶反饋效果
安全風(fēng)險降低情況及使用效果情況
1.健全身份認(rèn)證系統(tǒng)�����,加強(qiáng)身份生命周期管理
建設(shè)統(tǒng)一身份管理系統(tǒng)����。實現(xiàn)職工在入職、升職�����、轉(zhuǎn)崗��、調(diào)動�、離職等場景下信息系統(tǒng)賬號的全生命周期管理,建立無縫的用戶身份管理體系����;完善安全認(rèn)證系統(tǒng),為應(yīng)用系統(tǒng)提供統(tǒng)一的靜態(tài)口令�、短信驗證碼、動態(tài)令牌等認(rèn)證方式,并預(yù)留未來指紋����、虹膜�����、人臉等生物識別認(rèn)證手段的接入準(zhǔn)備;集成本單位主要信息系統(tǒng)����,將本單位主要信息系統(tǒng)接入至統(tǒng)一身份認(rèn)證管理系統(tǒng)平臺,充分利用平臺作為身份安全基礎(chǔ)設(shè)施提供的身份管理統(tǒng)一認(rèn)證能力�,同時支持對接上級單位信息系統(tǒng)。
2.實現(xiàn)動態(tài)訪問控制�����,重構(gòu)網(wǎng)絡(luò)安全訪問邊界
以身份為中心����,通過應(yīng)用層業(yè)務(wù)代理縮小各個業(yè)務(wù)系統(tǒng)的暴露面,統(tǒng)一用戶對業(yè)務(wù)系統(tǒng)的訪問入口����,根據(jù)用戶身份按需開放業(yè)務(wù)入口,同時基于零信任安全理念�,遵循以下三個原則:
網(wǎng)絡(luò)無特權(quán)化原則:不靠網(wǎng)絡(luò)位置建立信任關(guān)系,所有用戶���、設(shè)備和訪問都應(yīng)該被認(rèn)證�����、授權(quán)和加密����;
信任最小化原則:在網(wǎng)絡(luò)層面,用戶只能“看見”和“接觸”到他所需要的訪問的業(yè)務(wù)系統(tǒng)���,獲得最小權(quán)限�����;
權(quán)限動態(tài)化原則:訪問控制策略應(yīng)該是動態(tài)的��,應(yīng)基于盡量多的數(shù)據(jù)源進(jìn)行計算和評估���。
提升零信任訪問控制中心能力,建設(shè)零信任安全大腦�����,將網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施納入分析數(shù)據(jù)源���,針對訪問主體和訪問客體進(jìn)行持續(xù)的信任評估�,實現(xiàn)動態(tài)的訪問控制。
3.建立虛擬專用網(wǎng)絡(luò)���,確保分支安全便捷組網(wǎng)
基于現(xiàn)有Internet、MPLS�����、LTE等任意鏈路�����,采用Overlay技術(shù)部署SD-WAN��,針對各業(yè)務(wù)搭建業(yè)務(wù)專網(wǎng)���,各業(yè)務(wù)專網(wǎng)之間進(jìn)行隔離�����,以保障業(yè)務(wù)自身網(wǎng)絡(luò)的獨立性和安全性����。
通過平臺化的智能管理,納管總部及分支機(jī)構(gòu)的接入網(wǎng)關(guān)設(shè)備�,實現(xiàn)整網(wǎng)的統(tǒng)一編排、實時監(jiān)控����,達(dá)成網(wǎng)絡(luò)整體運營的歸一化。
4.強(qiáng)化終端基線管控�,牢筑數(shù)據(jù)安全防御壁壘
終端安全管理系統(tǒng)與環(huán)境安全監(jiān)測中心實現(xiàn)聯(lián)動,將現(xiàn)有能力結(jié)合終端進(jìn)程���、終端用戶行為納入基線管控�,并能有效支撐訪問控制策略決策���。
在端側(cè)集成網(wǎng)絡(luò)準(zhǔn)入控制�����、存儲介質(zhì)管控����、文檔不落地��、文件外發(fā)管控等功能����,強(qiáng)化數(shù)據(jù)安全防護(hù)能力�。
5.增強(qiáng)資產(chǎn)威脅感知�,構(gòu)建應(yīng)用信任評估體系
態(tài)勢感知與安全運營平臺和網(wǎng)絡(luò)安全監(jiān)測分析中心實現(xiàn)聯(lián)動,通過EDR����、結(jié)合用戶訪問行為全面提升現(xiàn)有資產(chǎn)及流量的威脅感知能力,同時有效支撐訪問控制策略決策��,及時避免威脅向用戶側(cè)反向或資產(chǎn)側(cè)橫向擴(kuò)散�。
6.協(xié)同運維工作空間�,創(chuàng)建統(tǒng)一運維安全體系
基于零信任安全理念打造的一整套全新的、符合中心化管理�、即插即用、靈活擴(kuò)展的IT運維管理與安全審計解決方案�,構(gòu)建總分型機(jī)構(gòu)內(nèi)部IT運維服務(wù)支撐環(huán)境的同時,充分滿足IT運維管理過程中對運維安全�、服務(wù)成本和服務(wù)質(zhì)量的訴求,搭建精簡��、高效�����、安全的IT運維管理體系,幫助IT運維管理人員全面應(yīng)對各類運維資源及運維事件��,同時進(jìn)行集中賬號管理�、精細(xì)化的權(quán)限管理和過程審計,提升風(fēng)險控制水平��,同時保障內(nèi)部數(shù)據(jù)和信息的安全���。在遠(yuǎn)程IT服務(wù)方面�����,保障IT技術(shù)人員��、合作伙伴以及第三方運維服務(wù)團(tuán)隊可以在任何時間�、地點和設(shè)備上安全完成IT的運維管理工作����,并能實現(xiàn)高效的線上和線下、以及線上和線上全方位的協(xié)同工作�����。
公安備案號:44030502000376