铁路局信息系统集中运维管控解决方案

1铁路局信息系统集中运维管控解决方案建议书北京市国路安信息技术有限公司2013年11月2目录1.铁路局信息系统现状概述..................................................................................................................31.1概况.................................................................................................................................................31.2需求分析........................................................................................................................................42.方案设计思路........................................................................................................................................43.方案部署效果........................................................................................................................................63.1解决方案部署图...........................................................................................................................63.2解决方案部署效果......................................................................................................................63.2.1集中运维管控......................................................................................................................63.2.2安全便捷的运维模式........................................................................................................73.2.3全面运维审计......................................................................................................................74.成功案例.................................................................................................................................................84.1昆明铁路局...................................................................................................................................84.2呼和铁路局...................................................................................................................................84.3上海铁路局...................................................................................................................................95.方案配置清单.....................................................................................................................................1131.铁路局信息系统现状概述1.1概况铁路作为国家重要的基础设施、国民经济大动脉和大众化的交通工具,在现代物流体系中发挥着重要的作用。经过30多年的发展，铁路信息系统从无到有、从小到大，从单机版本到多层次的网络应用，建立了覆盖铁道部、铁路局和主要站段的计算机网络及传输网、交换网、数据通信网三大通信基础网，先后开发了以列车调度指挥系统、铁路运输管理信息系统、客票发售与预订系统为代表的一大批应用信息系统，铁路信息化建设取得了巨大的成就。随着铁路信息化程度的不断提高，各种新应用系统的上线部署和既有应用系统的升级扩容，各路局的信息系统在数量和种类上都不断增多，各种敏感数据的安全保密工作显得越来越重要。而在信息安全建设的过程中，有一项非常重要的工作，就是运维安全。对于铁路系统而言，运维人员有着较大的操作权限，尤其是第三方运维人员。那么，针对运维人员的身份认证、权限控制成为了运维安全的重中之重。同样，由于应用系统的种类、数目不断增多，也使运维工作更加复杂、工作量更大、管理难度加大，如何保证运维工作的便捷高效，也成为了亟待解决的问题。我们了解到当前铁路局信息系统拓扑如下图所示：SiSiSiSiSiSiSiSi办公OA服务器SiSiSiSi新调度楼核心交换机核心交换机边界路由器边界路由器边界路由器边界路由器核心交换机核心交换机内网边界路由器边界路由器核心交换机核心交换机铁路局分所站段内网内网站段边界路由器核心交换机边界路由器边界路由器边界路由器核心交换机4当前铁路局信息系统拓扑图目前铁路局信息系统大部分为铁路局-站段二层架构，部分为铁路局-分所-站段三层架构。铁路局主要的应用如办公、调度、生产等系统，集中汇总了所有层级的应用数据，数据量大并具有较高的安全防护要求；分所承担部分数据的汇总工作；站段则部署基础应用设施，其特点是站点分散、范围广、数目多。针对以上三个层级应用特点，在运维工作中，铁路局和分所的运维工作需要重点保证运维安全和行为可控、可追溯；而站段级的运维工作由于比较分散、运维管控强度不够，在保证安全运维的同时，还需要重点解决运维工作的集中审计问题。1.2需求分析通过以上对当前铁路局信息系统的分析，在运维管控方面的安全需求主要可以归纳为以下几个方面：运维工作的集中管控对铁路局三级架构中所有的运维工作进行集中管控对运维资源、账户进行集中管理，统一认证、授权及审计运维人员的行为控制对不同角色的运维人员进行权限划分，行为控制保证运维工作的规范合法，做到非法操作的实时阻断运维工作的全面审计详尽、完整的运维审计信息存档实现铁路局、分所和站段的运维安全事件的可追溯性2.方案设计思路为根本解决铁路局信息系集中运维管控和安全问题，我公司在不改变原有网络结构和应用业务逻辑的前提下，推出集中运维管控解决方案。对于铁路局信息系统集中运维管控方面，通过部署安全运维审计系统对铁路局所有运维用户的角色岗位实现系统的授权和认证，通过统一的安全管理平台对铁路局信息系统中的安全设备、主机或软件进行安全管理，保证安全管理过程的合法合规，并对所有的管理动作进行全面的审计和监控，保证整个系统中运维管理操作上的可追溯性。安全运维审计系统典型部署如下图所示：5运维区域客户端客户端客户端客户端安全运维审计系统服务器1服务器2服务器3服务器4交换机防火墙安全运维审计系统典型部署图安全运维审计系统的功能如下：面向角色的运维人员管理——针对运维用户角色对资源的访问进行权限划分，最大限度的保护资源安全，通过定义可执行命令（白名单）或不可执行命令（黑名单）的集合，对运维用户的非法操作进行实时阻断，实现对用户访问资源的细粒度权限控制。面向资源的运维方式管理——针对运维资源进行运维方式的管理，支持SSH、TELNET、FTP、RDP、X-WINDOWS等运维协议，并可在安全运维审计系统上添加用户特有的运维工具，支持运维方式的扩展。基于角色的运维权限控制——对用户账号根据不同运维角色进行统一集中管理，实现对运维用户的认证、授权及用户对资源的运维操作审计，保证用户运维管理的安全性。单点快速登录——运维用户无须记忆所有资源的帐号和口令等信息，只需登录安全运维审计系统，即可选择对权限范围内的运维资源进行运维操作，提高了运维用户的操作便捷性和运维管理效率。全方位操作回放审计——对所有经过安全运维审计系统的操作行为，可完整记录操作过程，能够以文字或视频回放方式，重现运维管理人员对资源的所有运维过程，从而真正实现对运维活动的完全记录。63.方案部署效果3.1解决方案部署图下面为铁路信息系统集中运维管控解决方案图：SiSiSiSiSiSiSiSi办公OA服务器SiSiSiSi新调度楼核心交换机核心交换机边界路由器边界路由器边界路由器边界路由器核心交换机核心交换机内网边界路由器边界路由器核心交换机核心交换机铁路局分所站段内网内网站段边界路由器核心交换机安全运维审计系统（主机）安全运维审计系统（备机）边界路由器边界路由器边界路由器核心交换机安全运维审计系统（主机）安全运维审计系统（备机）安全运维审计系统（主机）安全运维审计系统（主机）安全运维审计系统（备机）安全运维审计系统（备机）铁路信息系统集中运维管控解决方案图3.2解决方案部署效果如上图所示，该方案部署的效果可以从三个方面体现：3.2.1集中运维管控运维人员集中管理对运维用户的账号根据不同的运维角色及岗位进行集中管理，实现对铁路局所有运维用户的身份认证和运维权限细分，保证运维用户管理的安全性。运维方式集中管理对铁路局信息系统所有运维资源的账号、设备类型及运维方式进行集中管理，7实现铁路局对信息系统资源管理的规范性。运维审计信息集中管控通过分级部署后，铁路局不但能够对本地所有运维审计信息进行集中管理，还能够做到对下面所有分所和站段的运维审计信息进行集中管理。3.2.2安全便捷的运维模式权限控制依据最小权限原则，针对用户角色对资源的访问进行权限划分，同时通过定义可执行命令或不可执行命令的集合，对运维用户的非法操作进行实时阻断。单点登录运维用户无需记忆大量资源的帐号或口令等信息，只需登录安全运维审计系统，即可选择对权限范围内的运维资源进行运维操作，很大程度的提高了运维用户的操作便捷性和运维管理效率。运维不可旁路运维平台能够对所运维资源的账号、密码进行严格控制，只能通过运维平台才能获取设备资源账号及密码，避免运维用户绕开运维平台直连设备进行操作或跨平台非法操作。动态口令更新运维用户无需定期手动修改运维口账号与口令，只需开启自动修改功能、设定好修改周期，即可让运维账号与口令定期自动修改，保障运维资源安全。3.2.3全面运维审计运维审计信息更全面铁路局运维管理员可以对所有经过安全运维审计系统的运维人员和操作行为进行全过程记录和监控，能够以文字或视频回放的方式重现运维管理人员对资源的所有操作过程，从而真正实现对运维活动的完全记录。运维安全事件可追溯性强对于运维