河北省地震局自1971年成立以來(lái)，一直致力于防震減災(zāi)政策法規(guī)的制定與實(shí)施、地震監(jiān)測(cè)預(yù)報(bào)預(yù)警、震災(zāi)風(fēng)險(xiǎn)防治及地震應(yīng)急服務(wù)等關(guān)鍵領(lǐng)域。近年來(lái)，河北省地震局啟動(dòng)了巨災(zāi)防范工程，旨在通過(guò)先進(jìn)的技術(shù)手段提升地震監(jiān)測(cè)預(yù)警和應(yīng)急響應(yīng)能力。在這一過(guò)程中，數(shù)據(jù)的安全傳輸和高效利用顯得尤為重要。為符合國(guó)家安全標(biāo)準(zhǔn)，尤其是針對(duì)國(guó)家密碼算法的應(yīng)用推廣，河北省地震局決定對(duì)其現(xiàn)有的IT基礎(chǔ)設(shè)施進(jìn)行升級(jí)，以滿足國(guó)家對(duì)于信息安全的新要求。

項(xiàng)目需求

在推進(jìn)網(wǎng)絡(luò)安全建設(shè)的過(guò)程中，河北省地震局面臨著一系列具體而復(fù)雜的挑戰(zhàn)。為了有效應(yīng)對(duì)這些挑戰(zhàn)，并進(jìn)一步提升地震監(jiān)測(cè)與預(yù)警系統(tǒng)的安全性及可靠性，以下幾個(gè)方面的需求顯得尤為關(guān)鍵：

1、高可用架構(gòu)的集中管控需求：需構(gòu)建覆蓋多級(jí)監(jiān)測(cè)節(jié)點(diǎn)的統(tǒng)一管控體系，在實(shí)現(xiàn)復(fù)雜異構(gòu)設(shè)備納管的同時(shí)，確保地震監(jiān)測(cè)業(yè)務(wù)7×24小時(shí)不間斷運(yùn)行。

2、權(quán)限與身份的精準(zhǔn)治理需求：須建立自然人身份與設(shè)備權(quán)限的智能映射機(jī)制，通過(guò)動(dòng)態(tài)授權(quán)消除越權(quán)操作，實(shí)現(xiàn)從賬號(hào)申請(qǐng)到操作退出的全生命周期管控。

3、全協(xié)議操作審計(jì)追溯需求：要求具備SSH/RDP/VNC等全協(xié)議審計(jì)能力，實(shí)現(xiàn)加密運(yùn)維會(huì)話的內(nèi)容還原與行為分析，滿足安全事件分鐘級(jí)定位追溯要求。

4、國(guó)密算法深度合規(guī)需求：必須完成密碼體系國(guó)產(chǎn)化改造，構(gòu)建符合等保2.0三級(jí)要求的密碼應(yīng)用防護(hù)體系，通過(guò)商用密碼應(yīng)用安全性評(píng)估（密評(píng)）認(rèn)證。

解決方案

針對(duì)河北省地震局的安全建設(shè)需求，經(jīng)過(guò)詳盡的現(xiàn)場(chǎng)調(diào)研和評(píng)估，聚銘網(wǎng)絡(luò)為河北省地震局及其下屬單位提供了一套全面綜合的安全運(yùn)維解決方案。該方案旨在通過(guò)在河北省地震局總部及各個(gè)關(guān)鍵分支站點(diǎn)——包括雄安新區(qū)震災(zāi)預(yù)防中心、北戴河地震站、邯鄲地震監(jiān)測(cè)中心站、邢臺(tái)地震監(jiān)測(cè)中心站、保定地震監(jiān)測(cè)中心站、張家口地震監(jiān)測(cè)中心站以及承德地震監(jiān)測(cè)中心站——協(xié)同部署聚銘安全運(yùn)維審計(jì)系統(tǒng)SOA（國(guó)密版堡壘機(jī)），來(lái)實(shí)現(xiàn)對(duì)整個(gè)組織內(nèi)網(wǎng)絡(luò)安全的全面提升。

圖注：聚銘安全運(yùn)維審計(jì)系統(tǒng)

此次部署特別強(qiáng)調(diào)了系統(tǒng)的集成性和統(tǒng)一管理能力，通過(guò)在各機(jī)構(gòu)的運(yùn)維管理區(qū)部署國(guó)密版堡壘機(jī)，并采用雙機(jī)熱備（HA）架構(gòu)以確保業(yè)務(wù)連續(xù)性。這種高可用性的配置使得即使某一設(shè)備發(fā)生故障，另一臺(tái)設(shè)備也能自動(dòng)接管服務(wù)，保障業(yè)務(wù)運(yùn)行不中斷。

建設(shè)效果

通過(guò)聚銘網(wǎng)絡(luò)提供的綜合解決方案，河北省地震局成功實(shí)現(xiàn)了身份認(rèn)證、訪問(wèn)控制、權(quán)限管理和操作審計(jì)的集中化與一體化管理。這不僅有效最小化了運(yùn)維操作風(fēng)險(xiǎn)，還全面滿足了國(guó)密改造的相關(guān)要求。

支持對(duì)所有服務(wù)器和網(wǎng)絡(luò)設(shè)備賬號(hào)進(jìn)行統(tǒng)一管理，并通過(guò)實(shí)名注冊(cè)將每個(gè)賬號(hào)與具體的自然人相關(guān)聯(lián)。根據(jù)不同運(yùn)維人員的角色和需求分配相應(yīng)的權(quán)限，確保權(quán)限分配的精確性。這種集中化的管理模式有助于及時(shí)發(fā)現(xiàn)賬號(hào)存在的安全隱患，便于制定標(biāo)準(zhǔn)化的用戶賬號(hào)安全策略，從而提升整體安全性。

提供包括靜態(tài)密碼、動(dòng)態(tài)口令以及生物識(shí)別指紋認(rèn)證在內(nèi)的多種認(rèn)證方式，極大增強(qiáng)了用戶認(rèn)證的安全性和可靠性。此外，系統(tǒng)內(nèi)置動(dòng)態(tài)密碼模塊，無(wú)需額外購(gòu)買(mǎi)第三方服務(wù)器，簡(jiǎn)化了部署流程并降低了成本。

實(shí)現(xiàn)了自然人與運(yùn)維權(quán)限、運(yùn)維賬號(hào)與設(shè)備資源之間的綁定，通過(guò)最小粒度授權(quán)來(lái)實(shí)現(xiàn)權(quán)限控制的精細(xì)化管理。同時(shí)，系統(tǒng)內(nèi)置工單模塊支持不同場(chǎng)景下運(yùn)維人員的權(quán)限動(dòng)態(tài)申請(qǐng)，并具備離岸審批功能，方便應(yīng)對(duì)突發(fā)情況，提高處理效率。

系統(tǒng)不僅能深入解析明文操作和識(shí)別SSH加密操作內(nèi)容，還能記錄RDP遠(yuǎn)程訪問(wèn)操作中的鍵盤(pán)輸入、剪切板內(nèi)容及鼠標(biāo)位置等信息。實(shí)時(shí)監(jiān)控用戶運(yùn)維行為，對(duì)異常情況和違規(guī)操作做出及時(shí)響應(yīng)，防止?jié)撛谕{的發(fā)生。此外，其獨(dú)特的操作還原技術(shù)可追溯用戶的操作流程，為問(wèn)題排查和責(zé)任界定提供了有力支持。

嚴(yán)格遵循國(guó)家密碼管理局及相關(guān)行業(yè)標(biāo)準(zhǔn)的要求，采用經(jīng)過(guò)商用密碼檢測(cè)中心認(rèn)證的硬件密碼模塊，支持SM系列國(guó)密算法，提供從身份認(rèn)證到數(shù)據(jù)加解密、簽名驗(yàn)簽以及國(guó)密SSL通道建立等一系列服務(wù)。方案在操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件及加密方式上均實(shí)現(xiàn)了國(guó)產(chǎn)化，完全符合IT審計(jì)的合規(guī)性要求。

總結(jié)：

此次項(xiàng)目的成功實(shí)施不僅顯著提升了河北省地震局的信息安全防護(hù)能力，還為其他機(jī)構(gòu)在類(lèi)似場(chǎng)景下的信息安全建設(shè)和國(guó)密改造提供了寶貴的實(shí)踐經(jīng)驗(yàn)。通過(guò)采用聚銘網(wǎng)絡(luò)提供的全面綜合安全運(yùn)維解決方案，河北省地震局不僅實(shí)現(xiàn)了對(duì)數(shù)據(jù)傳輸?shù)陌踩庸毯瓦\(yùn)維管理的高效提升，還在保障業(yè)務(wù)連續(xù)性和系統(tǒng)穩(wěn)定性方面取得了重要進(jìn)展。