山东联盟化工集团运维管理建设

记：山石网科安全运维网关的应用

客户介绍

山东联盟化工集团有限公司坐落于美丽的蔬菜之乡——寿光，是一家集煤化工、石油化工、生物化工于一体的大型综合化工企业，位列中国化工百强、中国企业千强、全国肥料制造业十佳企业。公司注册资本15193万元，现有总资产70亿元，在岗员工7000人。

集团下辖山东联盟化工股份有限公司、山东天力药业有限公司、寿光市联盟磷复肥有限公司、寿光市联盟石油化工有限公司、寿光市联盟化工机械工程有限公司、寿光市新丰淀粉有限公司六个生产企业和山东联盟燃料有限公司、山东联盟物流有限公司两个经营性公司。

主要挑战

随着山东联盟化工集团有限公司业务系统的迅速发展，各种支撑系统和主账号数量不断增加，网络规模迅速扩大，原有的账号口令、权限认证、审计管理措施已不能满足企业目前及未来业务发展的要求。在日常运维中，主要存在以下问题：

• 身份管理难

客户现网使用者包括内部运维人员、移动办公人员、合作伙伴、运维外包人员，人员类型复杂，身份管理较困难。

• 缺乏严格的权限控制

由于各系统单独授权，管理人员类型复杂，无法严格执行最小权限分配原则，且随着业务系统的增加、用户的增加，用户授权管理工作也变得相当复杂。

• 运维操作难以集中审计

现有系统独立进行操作审计，且系统发生故障后，复盘追溯仅有结果记录，无法对支撑系统进行综合分析，难以及时发现入侵行为、定位责任人。

解决方案

针对客户的实际需求，为客户建立一个统一的安全审计平台，将山石网科运维安全网关作为逻辑网关，部署在核心资源服务器前端，接管所有去往核心资源服务器的运维操作。使得系统和安全管理人员可以对支撑系统的用户和各种资源进行集中管理、集中权限分配、集中审计，从技术上保证业务支撑系统安全策略的实施，保障业务支撑系统安全、高效的运行。主要实现功能如下：

• 多种认证方式完美解决“身份管理难”

山石网科运维安全网关支持Radius认证、AD域认证、证书认证、令牌认证、短信认证等多种认证方式，将客户所有需要访问核心资源的人员统一在运维安全网关上完成认证，通过双因素或多因素认证策略配置，保证自然人和账号一一对应，避免账号共用、账号借用等问题。

• 多维度组合定制策略，精准、灵活授权

山石网科运维安全网关依据五元组、时间、动作（接受或拒绝）组合制定访问策略，对用户行为实现细粒度的控制，对高危命令能自动阻断命令执行、对越权操作行为能及时警告，保证运维用户精准、灵活授权，并简化授权管理工作。

• 完备、健全、有效的集中操作审计是安全的保证

山石网科运维安全网关对每个运维人员的登录情况、在线情况、以及运维人员对服务器、网络设备、安全设备、数据库等设备的操作过程均有详细的审计记录。同时，审计日志支持关键字提取和搜索、离线查看和导出保存，满足了客户多场景的审计需求。

客户收益

• 规范运维管理

通过运维安全网关建立了统一运维接入管理和资源控制平台，统一访问入口，集中权限控制，实现运维操作的集中化、规范化管理。同时减轻了管理员的工作压力，提高了工作效率。

• 降低资源风险

通过设置账户安全策略，统一管理并加强用户身份认证过程，结合细粒度的授权控制，有效防止账号共用、越权操作、误操作等行为，避免核心业务服务器遭到破坏或被窃取敏感数据。

• 快速故障定位和责任追踪

发生安全事故后，可通过详细的审计记录，快速、准确地进行责任鉴定和安全事件追踪。

• 满足合规要求

满足IT内控、等保、SOX、COBIT等法案法规合规性审计要求，为监管部门提供运维管理的审计报表和原始准确的运维操作日志。帮助客户完善IT内控与审计体系，顺利通过IT审计。