随着大数据时代的到来，数据的价值越发凸显。据IDC一份调查统计表明，全球差不多有80%的企业存在着信息安全或信息风险问题。在所有被调查的公司中，信息安全问题大都来自于企业内部，而其中处于信息泄密高风险的很大一部分都是来自于信息安全管理不善所致。因此，运维安全管控已经成为众多CIO在构建IT基础设施过程中不得不重点考虑的环节。不久前，浪潮SSC运维安全管控系统成功应用于广东省某建设工程交易中心，为很多CIO带来了有益启示。

 

 

广东省某建设工程交易中心是所在地唯一的有形建设市场。其市和省管(含中央托管)房屋建筑、市政、交通、水利、电力、民航、电信、铁路等工程项目以及与之配套的设备、材料、劳务等项目的招标投标交易活动均在此间进行。交易中心拥有华南地区最大的评标专家库，其信息化平台包括“一个平台、两个网络、十个系统”，信息安全工作的重要目标是保证评标专家信息的保密性和招投标项目交易的安全性，这些信息直接影响招投标交易的成败以及市场的公平竞争，如果出现数据丢失或者泄露，后果不堪设想。

然而，交易中心信息平台的管理现状潜藏有四重风险：一是交易中心信息平台的日常运维工作采用第三方代理维护的方式，并且缺少专业的安全管理工具，中心无法监管代维人员的各种运维操作，制定的安全制度无法落实;二来由于存在设备账号多人共用现象，信息平台面临的内部风险将无法控制，不能避免越权访问和误操作;第三，出现运维事故时无法定位行为人，没有运维审计依据;最后，黑客/恶意访问也有可能获取系统权限，闯入部门或中心内部网络，造成不可估量的损失。

如何提高系统运维管理水平，满足相关标准要求，防止黑客的入侵和恶意访问，跟踪服务器上用户行为，降低运维成本，提供控制和审计依据，越来越成为中心核心关注的问题。为此，交易中心信息化专家经过多轮论证考察，最终选择了浪潮SSC运维安全管控系统，实现对服务器、数据库和网络设备的集中访问管理和单点登录，提供细粒度的设备账号授权机制，以及二次授权、双人共管等运维流程管理，并且针对代维人员的运维过程，提供完善的安全审计体系。

浪潮SSC通过旁路部署，通过路由器或者交换机的访问控制策略限定只能由浪潮SSC直接访问设备的远程维护端口。浪潮SSC采取协议代理模式，接管了终端计算机对网络、服务器及应用、数据库系统等访问，也就是说所有对交易信息中心的服务器、网络、数据库、应用系统等的访问，必须通过浪潮SSC这个唯一通道。因此，当所有的内、外人员访问交易信息中心的目标资源(数据库、服务器、网络、应用系统等)时，首先登录浪潮SSC，然后浪潮SSC通过协议代理的方式转发会话请求给目标资源，目标资源返回会话结果后，浪潮SSC再转发给访问人员。通过相关的安全管控技术，如认证管理技术确认“你是谁?”、授权管理技术解决“你能做什么?”、安全审计技术解决“你做了什么?”，浪潮SSC确保了账号管理技术确保身份唯一，从而有效提升数据中心的运维安全。

该交易信息中心部署了浪潮SSC以后，提升了交易信息中心的信息安全防护能力，丰富的审计报表系统让运维管理人员全面掌控数据中心的安全态势，并符合国家信息系统安全等级保护、分级保护和行业/企业内部控制、萨班斯法案等法律和规章制度的要求。同时，所有访问用户访问目标资源必须通过浪潮SSC，并对访问进行全程管控，实现事前精准授权，事中严格访问控制，事后全面审计，从根本上降低交易信息中心的内部运维安全风险。此外，浪潮SSC通过建立用户与账号的唯一对应，确保访问用户拥有的权限是完成任务所需的最小权限，使得交易信息中心的安全管理工作更加简单、高效。