久安世紀：北汽新能源公司強身份認證運維管理平臺

5月13日正式發布的等保2.0從等保二級開始對身份鑒別、訪問控制和安全審計提出了明確的規定，自等保三級開始，對于身份鑒別更是提出了應采用口令、密碼技術及生物技術兩種或兩種以上組合的鑒別技術對用戶身份進行鑒別。

隨著北汽新能源公司信息化的不斷發展，公司信息系統的穩定運行為保障日常辦公及汽車生產發揮了重要作用。然而由于信息系統運維管理掌握著信息系統的最高權限，一旦操作出現安全問題將會給單位帶來巨大的損失。因此，加強對運維人員操作行為的監管與審計是保證單位信息系統安全的必要措施。

北汽新能源公司急需通過建設強身份認證運維管理平臺，來強化運維管控全過程，減少因人為故障帶來的系統不安全問題；強化WMS/MES/ERP等核心生產業務系統及DB數據保護，實現近百臺服務器和幾十臺數據庫的全部賬戶數據安全，以滿足國家相關法律法規對企業信息安全的要求。

圖1 項目網絡拓撲圖

項目技術要求與建設目標

項目從技術要求上應滿足高性能、高可靠性、高安全性、先進性與開放性。

北汽新能源公司建立統一安全運維平臺系統，實現全局的策略管理、統一入口管理、集中身份認證、統一授權及統一審計功能，公司業務系統的系統資源賬號、維護操作實施集中管理、訪問認證、集中授權和操作審計。

1.通過運維審計系統的建設為北汽新能源公司的系統資源運維人員提供統一的入口，支持統一身份認證手段，并采用指紋作為強身份認證手段，對運維操作審計到人，出現問題追責到人。

2.系統應根據“實名制”原則記錄用戶從登錄系統直至退出的全程訪問、操作日志，并以方便友好的界面方式提供對這些記錄的操作審計功能。

3.系統應具備靈活的管理和擴展能力，系統擴容時不會對系統結構產生較大影響。系統應具備靈活的授權管理功能，可實現一對一、一對多、多對多的用戶授權。

項目建設原則

（1）技術和管理相結合的原則；

（2）統一規劃和建設原則；

（3）實用性原則；

（4）可擴展性原則。

項目建設內容

久安世紀提出部署強身份認證運維管理系統（LSBAS+LS-SOP）解決方案。該方案實現運維人員強身份認證、實現帳號管理、統一單點登錄和安全認證管理功能，并為重要信息資產提供全面的審計跟蹤服務。由此構建了一個集中的安全基礎架構，為數據庫、操作系統提供統一的訪問控制和安全管理平臺。如圖1所示。

強身份認證運維管理系統實現了如下功能特點：

集中管理，實現單點登錄；賬號管理，實現用戶實名制；多種認證方式選擇；訪問控制，防止非授權訪問；雙人授權，提高設備登錄安全；應用發布，實現客戶端工具集中管理；權限控制，實現主動預防；密碼托管，實現自動登錄；自動改密，實現密碼集中管理；實時監控，實現操作透明；操作審計，實現完整記錄；命令操作審計；圖形操作審計；操作搜索，實現快速定位。

項目技術優勢

1.國內首創指紋強身份認證。國內唯一強身份認證運維審計廠商，支持多達6種認證方式按需組合。

2.靈活的運維方式。支持本地運維工具直接進行運維，實現本地工具和運維賬號直接登錄目標設備。

3.全面的風險的管理。事前，訪問來源及身份的嚴格驗證；事中，精確命令級別，黑白名單機制，實時跟蹤用戶操作行為；事后，實時命令審計和用戶操作實時回放，提供完善的操作報表和事件分析報告。

4.深入的解析能力。不僅能解析明文操作、識別SSH加密操作內容，而且對RDP遠程訪問操作，系統能記錄 其鍵盤輸入、剪切板及鼠標位置等，便于后期快速查詢審計。

5.專業的合規審計。符合國家等級保護二級以上對記錄并保存各種訪問日志的審計要求。

6.完善的高可用性。采用旁路部署，支持雙機、集群部署方式。

項目收益分析及評價

北汽新能源公司強身份認證運維管理平臺項目的實施，可以實時分析和綜合審計對項目內含的數據庫、操作系統、安全設備產生的事件，同時對內部員工的操作行為進行全面的審計、監控，能做到事前防范、事中控制、事后審計的能力。

（1）符合合規性要求；（2）實現了目標資源的密碼統一管理和統一審計；（3）提高了效率，節省了成本；（4）實現了密碼安全策略的強制性；（5）提高了對數據庫的防護能力；（6）改善了應用的體驗和效率。

平臺中的用戶、賬號、密碼的集中管理和流程審批及會話、錄像審計的主要功能可以充分避免目前運維管理中的各項漏洞；數據庫訪問控制、敏感信息屏蔽及細粒度審計功能可以保證目標數據庫在運維環節的安全風險。LS-SOP用戶界面簡單、友好、易于操作，其單點登錄功能和完善的電子審批工作流能夠保障安全的情況下提升運維工作效率。

此方案已廣泛應用于政府部門、金融保險、教育機構、電信行業及企事業等領域。

點評

傳統企業在網絡安全防護及IT運維管理方面面臨一系列難題，久安世紀是以強身份認證為長的安全廠商，在北汽新能源公司的安全建設中，采用創新的指紋強身份認證，實現安全審計和集中管理。