浪潮SSC助力国家电网打赢蓝天保卫战
导语:近日,浪潮SSC(浪潮运维安全管控系统,又称堡垒机)在国网山东省电力公司省调度中心和10个地市调度中心上线运行,实现统一运维入口、统一强身份认证、统一授权和统一安全审计,全面提升了安全运维管控能力,满足了等保2.0合规性要求。
一场雾霾打破了人们对于周末生活的期待,大部分人选择窝在家里打开净化器度过,而雾霾在北方地区就像一场久治不愈的慢性病,一到冬日便准时造访,给生活带来无尽烦恼。
当我们想尽各种办法对付这个难缠的对手时,也开始重新审视自己的生活方式,包括利用清洁能源、鼓励发展电动车、农村地区煤改电,这些都离不开电力的支持。2018年,我国全社会用电量为6.84万亿度,较2017年增长8.5%,在各省排名中,山东省全社会用电量5916.77亿度,位居广东、江苏之后排名全国第三,与各省GDP排名相同。
国网山东省电力公司(简称山东国网)承担了山东省大部分供电任务,2018年完成售电量3760.73亿度,同比增长11.36%。同期,空气质量方面全省细颗粒物(PM2.5)、可吸入颗粒物(PM10)、二氧化硫(SO2)、二氧化氮(NO2)平均浓度分别同比下降14.0%、8.5%、33.3%和2.7%;重污染天数同比减少5天。
山东国网为保卫蓝天做出了贡献,而维护其省级调度中心及地市调度中心调度数据网的近6000台路由器、6500+台交换机和36000+台终端系统正常运行,则离不开浪潮SSC的支持。
千万用户能源命脉 系统保障不容有失
山东国网是国家电网公司的全资子公司,本部设24个部门,下属132家单位(18家市供电公司、16家业务支撑单位和综合单位、98家县供电公司),服务电力客户4549万。
作为全国能源互联源网重要支点,山东国网智能电网调度控制系统功能日渐增加,系统结构和设备资产日趋复杂,针对业务系统软硬件的开发、维护人员也越来越多,极易出现账号混用问题;同时,系统管理员权限过大,运维管理和访问分散,缺少对运维人员的防护、管控和审计,缺少针对关键服务器、关键业务及工作站运维安全控制;此外,驻场开发、运维人员直接访问生产、控制大区内的服务器,缺少访问权限管控、关键业务/数据防护及运维审计。
堡垒机立桥头 把好运维第一关
为落实相关部委及能源局等主管部门关于电力监控系统安全防护的要求,进一步增强电力监控系统安全防护能力,确保电力监控系统安全稳定运行和电力可靠供应,山东国网采用浪潮SSC对省级调度中心及10个地市调度中心的数万台各类设备开展有效监视,管控及审计网络设备操作行为,集中管理和定期更换设备口令,隔离非法邮件,阻断私接仿冒、非法入侵等行为。
浪潮SSC交付团队为客户设计的部署方案如图所示,在省/地市调度中心安全控制区运维接入交换机上旁路接入两台浪潮SSC设备,采用双机负载运行模式,保证运维业务高可用性。同时,为保证运维工作统一入口、事前认证、事中安全监控和事后行为审计,所有运维工作流均需经过浪潮SSC才能进入安全控制区的服务器、工作站。
“四个统一”规避安全风险 提升管控能力
此次浪潮SSC上线,实现统一运维入口、统一强身份认证、统一授权和统一安全审计等“四个统一”,全面提升了山东国网安全运维管控能力,降低了运维风险,具体表现如下。
首先,为运维、开发人员建立统一的安全运维接入区,所有人员均需要在指定工作站上进行日常运维工作,从接入端减少了随着使用设备增加而导致的内部违规和攻击的安全风险。
其次,“一人一号”实现运维人员实名制,细粒度资产访问控制,最小权限访问控制。在不改变现有调控中心运维、开发流程的基础上,对安全控制区服务器和工作站的账号与运维人员账号进行统一集中管理,并对每个人能访问的IT资源设置细粒度的访问权限,明确、规范运维人员对资产的最小访问权限。
第三,满足调度控制中心安全风险控制和运维行为安全审计的需求。实时监控正在进行的运维人员操作,并以视频播放的形式展示给安全管理人员,管理人员发现违规操作可直接远程中断正在进行的危险行为;同时,通过协议解码捕获并记录运维人员对服务器的操作,可以进行操作回放,生成各种运维报表。
目前,浪潮SSC广泛应用于政府、财税、金融、证券、电信等行业数据中心,其认证、授权、审计等各模块设计,实现了对数据中心设备运维安全的全生命周期管理,并满足“二次授权”、“双人共管”等运维安全的需要。随着等保2.0实施,浪潮SSC将为更多政企用户提供运维安全保障服务。