全国电力技术协作网首页
CopyRight 2012-2014 DS文库版权所有
堡垒机在信息安全运维中的研究与应用
(0 次评价)494 人阅读0 次下载
2016 年(第五届)电力安全与信息技术研讨会 268 堡垒机在信息安全运维中的研究与应用 贵阳供电局,张盛安 1 项目背景 1.1立项背景 随着信息技术的不断发展和信息化建设的不断 进步,业务应用、办公系统、商务平台不断推出和 投入运行,信息系统在企业的运营中全面渗透,电 力企业逐年增加对电力系统、网络建设的投入成本, 导致网络设备和服务器众多,人为误操作时有发生, 这严重影响企业的经济运行效能,并对企业声誉造 成重大影响。另外黑客的恶意访问也有可能获取系 统权限,闯入企业内部网络,造成不可估量的损失。 对此贵阳供电局面临的则是潜在的信息安全问题。 而如何提高贵阳供电局的运维管理水平,跟踪服务 器上用户的操作行为及权限调整,防止黑客的入侵 和破坏,提供控制和审计依据,降低运维成本,满 足相关标准要求,将是本项要解决的问题和目的。 1.2 贵阳供电局系统运维管理现状 目前,贵阳供电局的运维管理有以下特点: 存在大量的网络设备和 Windows 服务器, 另外一些重要的系统(如 ERP)等,则运行在 Unix/Linux 系统设备上; 设备管理分散,存在多对多的交叉异构管 理的情况; 运维人员依赖于Telnet/SSH/RDP/FTP等协 议对设备进行远程维护,使用 KVM 方式进行本地维 护; 自身运维人员比较少,部分运维工作外包 给了第三方运维公司或者原厂商; 基于这些现状,导致现有的运维管理中存在以 下突出问题: (一)使用共享帐号的安全隐患 贵阳供电局整体系统架构中有大量的网络设 备、主机系统和应用系统,分别属于不同的部门和 不同的业务系统,各应用系统都有一套独立的帐号 体系,用户为了方便登陆,经常出现多人共用帐号 的情况。 多人同时使用一个系统帐号在带来方便性的同 时,导致用户身份唯一性无法确定。如果其中任何 一个人离职或者将帐号告诉其他无关人员,会使这 个帐号的安全无法保证,如果出现问题,无法准确 定位恶意操作或误操作的责任人。 (二)密码策略无法有效执行 为了保证密码的安全性,安全管理员制定了严 格的密码策略,比如密码要定期修改,密码要保证 足够的长度和复杂度等,但是由于管理的机器数量 和帐号数量太多,导致密码策略的实施难度增加。 设备多,帐号多,每一个密码都要足够复 杂,依靠人工记忆很难; 对用户来说,安全地保存多个密码也是一 个难题; 更改密码需要通知到每一个需要使用此帐 号的人员,带来了密码管理的复杂性。 (三)授权不清晰 各系统分别管理所属的系统资源,为本系统的 用户分配权限,无法严格按照最小权限原则分配。 另外,随着用户数量的增加,权限管理任务越来越 重,当维护人员同时对多个系统进行维护时,工作 复杂度会成倍增加,安全性无法得到充分保证。 (四)访问控制策略不严格 目前的管理中,没有一个清晰的访问控制列表, 无法一目了然的看到什么用户能够以何种身份访问 哪些关键设备,在设备自身上做访问控制策略,配

打分:

0 星

用户评论:

全国电力技术协作网是电力企事业单位、员工的技术交流协作平台。协作网致力于为行业内企业间技术创新、协作搭建渠道,为技术专家沟通交流提供平台,为企业职工发展提供服务。协作网通过“信息互通、技术交流、标准宣贯、技术创新、成果转化、技能培训、咨询服务”等形式与业者共同发展进步。
京ICP备13025456号-1
客服电话:010-66186680
反馈建议:13701278405@163.com