索特科技

一、数据中心现状

IDC是互联网业内分工更加细化的一个必然结果。随着互联网技术的发展和商业应用的推动，IDC都在千方百计地更新技术、创新产品、扩大服务范围、提高服务质量，进一步满足用户不断增长的业务需求。目前主要的业务增长点有三个方面：业务创新、代维服务和网络安全服务，综合维护接入平台同时符合这三者的要求，通过实施综合维护接入平台可加强IDC设备运维管理的安全性，可为IDC用户提供安全运维管理服务，同时也是代维服务SLA的重要组成部分。

二、项目背景

某数据中心有大量的主机、网络设备和应用系统，服务用户规模庞大，如此众多的设备都是由客户自己的维护工程师和第三方合作伙伴的代维工程师通过Windows Remote Desktop（RDP）和SSH协议远程接入的方式进行维护管理的，维护量和工作压力极大。

三、面临问题

IDC服务器中存放着各企业极为敏感、机密的客户信息，任何疏漏导致的数据丢失、泄漏、篡改等都将导致严重的法律问题，给数据中心带来极大地威胁。如何保证这些数据的完整性？如何保证这些数据不会被外包方、潜在入侵者、内部员工等滥用？如何保证授权体系被正确地实施和遵守？如何保证在出现任何的信息安全事件时，数据中心可以拥有完整的记录可以溯源分析？

因此如何有效的监控运维人员的操作行为，并对维护过程进行严格的审计是某数据中心面临的关键问题。

四、索特安全网关解决方案

为了解决以上问题，该数据中心选择了索特安全访问网关作为各主机、网络以及各业务系统维护的统一接入点，对维护操作实施集中控制。安全访问网关支持常用的字符界面、图形界面等设备维护方式，具备较强的访问控制能力，能够在核实人员真实身份的基础上，控制其能够访问的主机、网络及业务系统，防范越权访问。同时，安全访问网关能够记录运维人员的操作，为安全审计和事件调查提供原始资料。索特安全访问网关在各主机、网络及业务系统访问控制功能的基础上，又增加了一层统一的认证、授权和控制、审计机制，实现维护操作的"事先授权、事中监控、事后审计"。规范IDC运维人员操作行为，提升对IDC运维操作的监管能力，提高该数据中心网络与信息安全管理与运维水平。

通过实施索特安全访问网关，该数据中心达到了以下目的：

◆ 实现维护接入的集中化管理，对运行维护进行统一管理，包括运维人员身份管理、设备账号管理。

◆ 实现运维人员统一权限管理，解决操作者合法访问被管资源的问题，避免可能存在的越权访问，建立有效的访问控制。

◆ 实现运维操作审计，对运维人员的操作进行全程监控和记录，实现运维操作的安全审计，满足信息安全审计要求。

◆ 实现合规审计，通过合规审计报表功能，对运维操作审计信息进行合规性审计归类，并形成符合法律规范要求的合规性报表，满足合规审计需求。

五、部署方式

通过实施本项目，数据中心将可以为各客户提供运维操作审计服务。与此同时，通过SAG的域管理功能，可以为各企业的设备提供有效的安全管控措施。该项目中，实现了以下功能：

◆ 数据中心为客户提供设备接入服务的同时，为客户提供运维审计服务；

◆ 每个客户的运维人员只能对本公司的设备进行操作；

◆ 客户的审计管理员可以审计本公司运维人员的运维操作；

图一：某数据中心项目网络结构图

客户运维人员在进行维护操作时，首先登录到运维审计系统，运维审计系统根据登录用户的权限，提供该用户所能访问的主机与网络设备列表，运维审计系统能够实时、完整地记录维护人员的操作；能够通过设定访问策略来控制维护人员的访问目标和可以使用的操作命令。

六、 应用效果

数据中心在使用索特运维审计系统后，安全访问网关账号和运维人员真实身份对应，实现了维护操作对应到人的要求，并且能够在核实运维人员真实身份的基础上，控制其能够访问的设备，防范越权访问；对于预定义的高危操作，实现了及时阻断操作并告警；安全访问网关通过文本和视频方式，完整的记录了运维人员和第三方人员的所有维护操作，对于维护操作的原始日志，实现了快速检索，方便事后的责任调查。