某某热电有限公司

管理现状:


    



传统运维技术架构:

    传统的运维方式是运维终端安装所有运维工具软件,登录堡垒机,连接目标系统。

存在的安全风险:

    1.未能有效隔离终端侧与数据中心侧的数据交换通道,存在数据交换的安全风险。

    2.终端侧可以收发电子邮件或连接互联网,易遭受木马病毒感染。

    3.运维软件也不可信。

    4.内网服务器存在数据泄露风险。

运维管理痛点:

    目前电厂IT资产已经部署了各类不同厂家的网络安全及数据安全设备,但是这些众多高度集权的安全,存储备份系统由于是基于 web管理员控制台的 B/S 系统, 目前均无法纳入传统堡垒机的纳管范围,进行统一运维管理,满足操作审计和安全合规需求

部分堡垒机无法纳管的资产列表如下:

 美创数据备份与恢复系统 

 华为防火墙USG6500E 

 天阗入侵检测与管理系统V7.0 

 深信服上网行为管理系统 

 万相主机安全 

 华为交换机 

 VSERVER 虚拟数据中心系统 

 北信源网络准入控制系统 

实施零信任特权访问管理后架构:


在一个安全的零信任架构体系下,实现了终端的安全可信、零信任准入控制,增强的身份验证,实现统一登录入口,缩小暴露面,实现全系统无密码登录体验,终端的数据 离,避免横向移动和数据泄露的风险,所有运维工具软件均为统一发布的应用投影,敏感数据不落本地终端,消除了外部人员登录带来的数据交换风险和接入终端侧安全风险。数据中心内部所有系统的账号密码定期更新,实现最小化权限访问控制,满足合规审计的监管要求。


方案技术价值:

    “缩小攻击面”——运维统一门户,单点登录

    “账号治理”——消除“一号多用”“弱口令 ”“共享账号 ”

    “防病毒感染,防勒索软件”——零信任客户端,双网隔离,数据备份“防止冒用身份”——启用MFA多因素身份验证

    “防窃取,防止横向移动”——定期更新密码、密码代填

    “防违规”——最小权限授权、满足合规,提升整体安全免疫力

某某电网

运维安全管理痛点:

    ·运维工具、资产口令、服务器敏感数据均安装保存在本地运维终端,终端自身安全存在风险;

    ·第三方外部人员常驻,存在权限管理访问控制细粒度不足,滥用权限安全风险;

    ·HW,攻防演练中,存在漏洞未及时修复,暴露面过大,易遭受攻击的风险;

    ·账号口令存在共享口令,弱口令的问题,不满足等保的合规要求。

零信任特权访问管理解决方案:


       在一个安全的零信任架构体系下,实现了终端的安全可信(工具,口令,数据三不 落本地终端)、零信任准入控制,增强的身份验证,实现统一登录入口,缩小暴露面,实现全系统无密码登录体验,终端数据隔离,避免横向移动和数据泄露的风险,所有运  维工具软件均为统一发布的应用投影,敏感数据不落本地终端,消除了外部人员登录带 来的数据交换风险和接入终端侧安全风险。数据中心内部所有系统的账号密码定期更新,实现最小化权限访问控制,满足合规审计的监管要求。

    HW攻防演练中,能够实现靶心应用系统的安全加固,无需改造现有网络结构,实现“应用隐身盾“的安全加固,任意系统账号口令自动代填,口令不可见,实现运维登 录的唯一入口,缩小暴露面,接入网络 VLAN 仅需对目标系统开放指定的私有协议端口,其他来自运维终端侧的TCP端口,如80,443,22,3389等均可关闭。

电话咨询
在线留言