生产系统规范化管理解决方案

(注:生产系统指在正常情况下支持单位日常业务运作的信息系统。包括生产数据、生产数据处理系统和生产网络。)


方案背景

随着信息技术日新月异的发展,近些年来,各企业在信息化应用和要求方面也在逐步提高,信息网络覆盖面也越来越大,网络的利用率稳步提高。利用计算机网络技术与各重要业务系统相结合,有效地提高了工作效率。然而信息化技术给我们带来便利的同时,生产系统管理的问题也逐渐暴露出来。生产系统的重要性不言而喻,一旦出现安全问题,所有的工作等于零。如何规范化管理和维护好生产系统,如何保证生产系统的安全等就成了首先需要解决的问题。问题主要存在于生产数据处理系统、生产网络管理方面和生产数据管理方面。

在生产数据处理系统、生产网络方面:

(1)  缺乏统一管理入口
生产系统包含外部门户网站系统、内部网站系统、办公自动化系统、营销管理系统、配网管理系统、财务管理系统等多个系统。各个系统管理入口、方式自成一体,无法统一管理,将会大大增加管理人员工作量。

(2)  人员管理难保证
人员是管理中最关键的因素,同时也是管理中最薄弱的环节。各个单位生产系统的管理人员除本公司内部员工、移动办公人员外,部分设备的维护交由第三方维护厂商完成。而针对这些第三方公司,对其人员的身份鉴别、认证授权往往会存在多种问题。针对关键信息,事先如果不能明确规定和划分,将会带来很多管理安全问题。

(3)  操作不透明、过程不可控
删库、锁表等违规操作事故不断上演,教训也越来越惨重。而在这些违规操作行为发生时,相关安全问题并没有得到及时发现,往往是在造成了较为严重的影响后才得以暴露。这说明管理人员进行IT管理操作时操作不透明、过程不可控,在这种管理状态下,资产安全、业务安全、信息安全,就只能依靠管理人员的操守与职业道德。很显然,这种缺乏监管的IT管理操作,存在着巨大的风险。

(4)  管理方式不统一
由于管理人员类型复杂,本地内部员工的直接管理,还有移动管理人员、第三方公司人员远程管理。不仅需要支持多种管理方式,也要保证远程管理的安全性。

(5)  管理压力大
由于生产系统中有多个系统,账号数量也很多,为使得系统安全、正常运行,管理人员需要定期修改账号密码、清理垃圾日志等。然而这些繁杂的工作,管理人员都需要手动一个个去处理,大大的增加了管理人员工作量。

(6)  结果无审计、事后难溯源
由于管理人员类型复杂、身份认证机制不完善、操作无审计,外加偶然因素存在,导致操作管理安全事件发生概率大大增加。然而一旦发生操作安全事故,相关责任部门不能及时有效地对失职人员追责,事后还需投入大量的人力物力进行调查。极大的降低工作效率,也造成了损失扩大的可能性。

在生产系统数据管理方面:

由于数据本身具备“数量多、形态多、可复制、流动快、跨组织”等特点,用户经常在数据管理目标落地方面会面临很多问题。

(1) 分类难
系统数据数量多、形式多,数据关系复杂难以进行梳理,而且对于内容是否敏感由人主观意愿判定,缺乏标准性。人工进行数据内容分类,缺乏自动化的数据内容分类和标记技术手段。

(2) 识别难
由于数据存在于系统、网络、终端、数据库等多个位置,管理人员常常难以明确敏感数据在组织的整体分布情况,同时由于数据类型多、形态多、数量多,也大大增加了内容识别的困难度。

(3) 防护难
对于敏感数据缺乏数据分类保护规范和分类分级安全策略,导致数据泄露、窃取事件时常发生,给企业造成巨大损失。

山石网科解决方案

2.1. 方案概述

为解决生产系统所面临的管理问题,山石网科推出生产系统规范化管理解决方案。通过部署山石网科运维安全网关、山石网科数据泄露防护系统、山石网科防火墙,使得系统和安全管理人员可以对支撑系统的用户和各种资源进行集中管理、集中权限分配、集中审计。而且帮助系统和安全管理人员能够清晰掌握敏感数据在企业的分布和风险,监控用户访问记录并自动分析,依据安全策略自动响应,有效降低数据风险。从技术上保证业务支撑系统安全策略的实施,有效防护关键数据,保障业务支撑系统安全、高效的运行。

2.2. 主要功能实现

(1)系统集中管理
提供统一的集中操作管理平台,完成对“你是谁”、“你能去哪里”、“你能做什么”、“你做了什么”的全程跟踪、控制与审计。

“集中管理”提供服务器统一操作管理平台,隔离“人(操作者)”和“主机设备等重要资源(操作对象)”直接连接,规范服务器操作管理行为,将管理、维护数据流和业务数据流分离,统一操作管理接口,完成和谐、规范、有序网络构建和资源使用行为控制。

(2)支持多种认证方式
提供丰富的用户认证方式,包括静态口令、Radius认证、AD域、动态令牌认证、USBKEY认证、短信认证等,所有需要访问核心资源的人员注册唯一访问身份标识,通过双因素或多因素认证策略配置,保证自然人和账号一一对应,避免账号共用、账号借用等问题。

(3)细粒度权限控制
支持访问策略和工单系统双向双通道权限控制,管理人员访问行为必须经过管理员授权,管理员实时在线查看管理操作过程,对执行的每一条命令进行精细授权控制,可实时阻断高危操作。

访问控制策略

工单申请

(4)自动化管理
对于日常的低危、重复性工作,支持自动化管理,可以制定计划任务至字符类资产执行事先编辑好的脚本,实现自动改密、定期自动清理垃圾日志等工作。可大大减轻管理人员的工作压力,有效提高工作效率。

(5)提供安全远程管理
提供SSLVPN功能,且支持主流的商业加密算法及国密算法,即满足移动管理人员、第三方管理人员的远程管理需求,又保证了远程管理时数据传输安全。

(6)精细审计、故障快速定位
对每个管理人员的登录情况、在线情况、操作过程均有详细的审计记录,支持完整录屏方式回放审计操作行为,一旦发生操作安全事故,详细的审计日志不但是事故后向提交公安机关报案,举证不分行为的有力证据以外,同时为操作事故快速定位故障点,为事故快速恢复解决提供参考依据,挽回相关客户损失或对客户定损提供可靠参考。

(7)数据智能梳理
数据保护首先需要对数据进行分类、评估数据风险,通过数据分类分级实现了对不同价值数据的区别保护。山石网科采用人工智能引擎,应用机器学习、自然语言处理和文本聚类分类技术,对数据进行基于内容的实时精准分类。实施有监督机器学习,提取短句或长组合词作为语义特征,自动生成分类规则库。在此过程中,管理人员可人工干预特征选择,也可使用反向对照样本加强训练。完美解决数据分类难问题,并大大提高数据梳理的效率和准确率,实时梳理不同业务类别数据,统一管理每个终端、服务器和网络中的敏感数据,全局掌控数据资产。

(8)精确内容识别
对于整网数据进行有效的分类分级后,管理人员还需明确知道敏感数据在组织的整体分布情况。山石网科基于关键字、正则、文件指纹、分类指纹、文件属性等多种检测算法,交叉检测,精确的对数据属性(文件格式、类型、大小、创建时间等)、内容位置、网络协议等进行识别,进而实施保护。

(9)全网数据资产可视化
对不同的组织机构、用户进行敏感数据扫描,根据扫描结果及数据权限了解资产与风险情况,用于了解企业内部重要数据资产的分布情况,并检查企业内部非合规数据(风险数据)的分布情况。实时梳理不同业务类别数据,统一管理每个终端、服务器、邮件和网络中的敏感数据,全局掌控数据资产,可视化展现和钻取。管理者可在更高的层面上直观监督管理意图和要求的实现情况,及时发现风险隐患。

(10)全面的数据防护策略
对网络、终端等常见泄露通道进行统一管控;对关键数据的使用、流转和外发进行实时防护。 依靠网络发送者的IP可以追溯到风险事件的发起源,审计网络泄露行为的来源、目的地、传输内容、文件等,实现细颗粒度的网络防护策略;同时,通过部署终端数据泄露防护客户端,可实现对敏感数据的U盘拷贝、打印、截屏等行为进行监控和管控。

(11)可视化风险与用户行为分析
通过对事件及详情进行统计、关联和挖掘,利用机器学习技术对用户行为学习,智能展现用户风险排名及用户象限分布情况。通过用户行为分析有利于审计人员快速发现问题的用户和异常的风险行为,第一时间避免更大的泄露风险。

2.3. 方案产品组成

山石网科生产系统规范化管理解决方案主要由山石网科运维安全网关、山石网科数据泄露防护系统、山石网科防火墙组成。

山石网科运维安全网关:部署在核心资源服务器前端,接管所有去往核心资源服务器的运维操作。集运维管理与运维审计为一体的堡垒机设备,结合等级保护、分级保护、SOX法案、IT内控、ISO27001等各类法律法规对运维管理的要求,将运维管理和运维安全理念相融合,通过身份认证、权限控制、账户管理、操作审计等多种手段,完成对核心资产的统一认证、统一授权、统一审计,全方位提升运维风险控制能力。

山石网科数据泄露防护系统:由统一管理平台、网络DLP网关/终端DLP构成,部署在网络出口处和企业内各计算机终端,以保护用户数据安全为目标,采用精准的内容识别与行为分析技术,通过终端和网络的双重防护,对关键数据的使用、流转和外发进行实时监控和操作控制,有效防护企业敏感文件(如合同、设计文档、源代码等)通过网络、邮件或终端泄露。

山石网科防火墙:部署在网络出口处,基于深度应用、协议检测和攻击原理分析的入侵防御技术,可有效过滤病毒、木马、蠕虫、间谍软件、漏洞攻击、逃逸攻击等安全威胁,为用户提供 L2-L7 层网络的全面安全防护。同时内置VPN加速芯片,可显著提升IPSec/SSL VPN性能,支持大规模网络环境中VPN部署。结合iOS及Android平台下的VPN客户端,可为用户提供移动终端远程接入方式。

2.4. 方案价值

(1)规范化管理
建立统一接入管理和资源控制平台,统一访问入口,集中权限控制,实现管理操作的集中化、规范化管理。同时可减轻管理员工作压力,提高工作效率,确保管理制度的顺利实施。

(2)降低资源风险
通过设置账户安全策略,统一管理并加强用户身份认证过程,结合细粒度的授权控制,有效防止账号共用、越权操作、误操作等行为,避免核心业务服务器遭到破坏或被窃取敏感数据。

(3)快速故障定位和责任追踪
发生安全事故后,可通过详细的审计记录,快速、准确的进行责任鉴定和安全事件追踪。

(4)掌握数据安全动态,保护知识产权
监控敏感数据流转过程及使用过程,让企业更清楚的了解、熟悉数据分布的位置,使用者是谁,以及是否存在互联网泄露的风险。加强防护财务报表、客户资料、研发代码等重要数据,保护数据全生命周期的安全,从而保护企业竞争力。

(5)泄露跟踪溯源,避免法律商业风险
数据泄露不止让企业遭受巨额的财产损失,而且大概率会给企业带来商业上、法律上的巨大风险。保护数据安全,可以帮助用户有效避免商业、法律上的风险。

成功案例

XX集团有限公司

用户简介:XX集团有限公司是一家中大型企业,在岗员工5000人左右。集团总部及分厂共有6个互联网出口,数据中心总共有十余台服务器,分别承载ERP、OA、视频会议、视频存储等业务。

客户现网问题:

1.  现网使用者包括内部运维人员、移动办公人员、合作伙伴、运维外包人员,人员类型复杂、身份管理难。

2.  针对于服务器管理,没有严格权限控制,所有人都可以随意访问、管理服务器。

3.  数据存在于系统、网络、终端、数据库等多个位置,且数据种类多、关系复杂,管理人员无法明确现网数据资产有多少,以及数据分布的位置。

4.  敏感数据没有严格的管控策略,是否有泄露不清楚,安全性无法得到保证。

5.  出现安全事故后,复盘追溯仅有结果记录,无法审计操作行为、难以定位责任人。

山石网科解决方案:

  • 提供多种身份认证方式,支持多因素认证,解决身份管理问题;
  • 提供SSLVPN功能,满足移动办公人员、运维外包人员的远程管理需求;
  • 依据五元组、时间、动作(接受或拒绝)组合制定访问策略,对用户行为实现细粒度的控制;
  • 对服务器、网络设备、安全设备、数据库等操作过程能有效的运维操作审计,使运维审计由事件审计提升为操作内容审计
  • 基于机器学习、自然语言处理、数据挖掘融合的的先进人工智能数据识别分类技术,可以辅助快速分类。
  • 通过数据发现功能,能发现非授权存储敏感信息的终端或个人;找回散落各处的有用关键信息。
  • 可及时审计/审批/阻止不合规的行为,还可以通过水印、快照等手段,对通过网络、邮件、拍照、截屏、打印等手段窃取公司机密信息的方式进行查找溯源定位。