中国联通

需求背景：

随着天宫平台基础设施资产数量日益庞大，平台运维与安全管理也逐步走向融合，如何构建一个强健的运维安全管理系统，对天宫平台的发展至关重要。为了更好的提升天宫平台及其租户的运维安全。某通信软件研究院计费结算中心与共享资源中心制定特权账号管理规范，建立水滴安全管理平台；特权账号安全管理系统作为水滴平台的主要组成部分

 解决方案

 水滴安全管理平台致力解决资产账号密码管理无序、资产访问权限管理粗放、第三方代维安全隐患、安全审计缺失、运维安全事件定位难等问题。

在资产管理层面，通过CMDB对各类资产进行配置管理，具备各类资产密码动态管理的密码保险箱功能；能够统一各资产入口，全面支持第三方客户端，对用户资产访问权限进行统一授权；在访问过程管控层面，通过操作过程全息留痕和高危指令拦截，实现运维安全管控；通过金库对核心资产访问和操作进行分权控制，做到事前可审批，事中可控制，事后可审计；通过脱敏实现敏感数据静态动态脱敏管理，减少数据泄露风险。

 项目收益

水滴安全管理平台上线以后，完全隔离用户与资产账户，按职责分配权限，对运维操作过程进行全息留痕审计，同时良好的用户体验也受到各方好评。目前已纳管天宫平台、天眼、cBSS BILLING研发与运维、cBSS新架构研发与运维、收入管理、收入分摊、综合结算等天宫租户的生产准生产环境，很大程度上提升了天宫平台与其租户系统运维安全。

目前管理某通信软研院30万+个账号密码，将来账号密码管理能力要扩展到数100万，落实账号管理权限管理要求，实现特权账号种类的全覆盖和生命周期的完整涵盖；将系统账号和人分割开，确保账号使用人员全责相符；彻底消除账号弱口令，确定不因账号弱口令问题导致信息系统安全事件；实现账号密码自动更新机制，满足合规性要求等。保护、管理和更新各类特权账号密码；创建用于安全存储、访问和维护各种特权账号密码的中心点，同时创建了一个详细的审计跟踪及所有系统运维账号的活动情况，包括请求、访问和检索等，满足软研院不断发展需求及各种复杂场景的需要。