> 首頁 > 產品及解決方案 > 典型案例 >

中國人民銀行營業管理部
——  關于優炫智能運維管理系統的應用

客戶背景

    中國人民銀行營業管理部是中國人民銀行總行在北京的派駐機構,在轄區履行貫徹執行國家貨幣信貸政策、維護金融穩定、提供金融服務、外匯管理等各項工作職責,并以此支持首都經濟又好又快發展。

需求分析

    中國人民銀行營業管理部在信息安全建設上一直非常重視,處于同行業較高水平,但是其運維安全管理、內控機制等方面也存一些安全問題,主要有:
  1) 對服務器缺乏必要的審計手段,僅能通過監控錄像、雙人分段或專人保存密碼、操作系統日志結合手工記錄操作日志等管理辦法,無法追溯操作人員在服務器上的操作過程、了解操作人員行為意圖,并且這樣的管理成本很高,很難做到長期照章執行。
  2) 對服務器的維護和管理依賴于操作系統的口令認證,口令具有可被轉授、被窺探及易被遺忘等弱點,另外,在實際環境中還存在多人共用一個賬號甚至經常多人掌握Root權限的現象,使得管理存在很大的安全漏洞,直接威脅服務器安全。
  3) 針對許多外包服務商、廠商技術支持人員、項目集成商等在對內部核心服務器、網絡基礎設施進行現場調試或遠程技術維護時,無法有效的記錄其操作過程、維護內容,極容易泄露核心機密數據或遭到潛在的惡意破壞。
    針對以上運維管理的現狀,分析總結用戶的具體需求如下:
  1) 現有系統設備數量大,日常運維人員眾多,存在人員及設備分散,日常運維管理困難,迫切需要實現統一運維管理要求。
  2) 需要支持全部門所有維護人員針對AIX、Linux主機設備,主流網絡設備、Windows服務器的運行維護、操作審計;
  3) 審計協議要支持SSH、SFTP、RDP等,同時支持SSO登錄;
  4) 詳細的權限分配功能,可以根據時間、登錄IP、目標資源等進行詳細授權。
  5) 需實現運維統一身份認證管理(動態令牌),同時與運維審計系統結合實現雙因素認證功能。
  6) 對于被審計系統、設備支持密碼安全管理功能;
  7) 支持按時間、用戶名、被審計設備、命令等進行的定制報表,并可以導出Excel或PDF等格式報表;
  8) 審計結果以視頻回訪形式展現出來,并可以根據需求定位到某特定命令;
  9) 設備支持硬件冗余方式,并支持HA。

解決方案

    根據優炫軟件智能運維審計系統支持的部署模式,結合中國人民銀行營業管理部目前的網絡現狀,其邏輯部署如下:
   部署說明:
  • 針對運維審計對安全的特殊要求,推薦在核心交換機或二層接入交換上劃分出“安全運維網段”,并使該網段路由可達到任何區域;
  • 在安全運維網段部署2臺智能運維審計系統,單臂模式,實現HA,保障設備的高可用性;
  • 在核心PIX作嚴格的安全策略,只允許主機、網絡、安全等維護人員(行內、行外)通過運維審計系統訪問服務器、各區域,而不允許直接訪問這些關鍵資源;
  • 另外,在該安全運維網段可以部署跳板機,作為遠程操作終端,用戶經過身份認證后,到達該跳板機訪問后臺資源。
   針對主機服務器、網絡安全設備的審計
   1)主機維護人員(行內、行外)首先經過運維審計系統進行身份認證;
   2)身份認證通過后,進行授權,指定該主機維護人員可以訪問的后臺資源;
   3)運維審計系統將訪問請求自動轉發到后臺資源。
   在這個過程中,運維人員的所有操作都被運維審計系統安全記錄下來,并可實現數據重組和視頻回放,完全再現了操作內容和行為軌跡。
   其他特殊客戶端運維審計
   針對特殊客戶端(如IBM專用客戶端、數據庫客戶端)維護人員(行內、行外)首先經過智能運維審計系統進行身份認證;
   1)身份認證通過且授權后,通過RDP或其他協議訪問到跳板機;
   2)通過跳板機訪問后臺特殊應用資源。
   在這個過程中,運維人員的所有操作都被運維審計系統安全記錄下來,并可實現數據重組和視頻回放,完全再現了操作內容和行為軌跡。

方案特點

   1)為用戶IT基礎設施口令統一管理提供一種有效的解決方案,提高了口令管理員的工作效率。
   2)通過統一身份認證系統(動態令牌)與運維審計系統的整合,實現了運維用戶的雙因素身份認證,增強了運維的安全性。
   3)針對用戶復雜的IT環境,提供了一種完備、有效的運維安全管理手段,最小化降低IT操作風險;
   4)提供了一種有效技術手段,滿足了信息安全、IT系統運維管理、企業遵規三個方面的要求。
相關產品及解決方案
返回列表
网络 棋牌 游戏 秒速快三彩票 快乐十分钟开奖走势图云南 黑龙江11选5的走 福建快三遗漏号码 北京11选5手机版走势图 福彩3d基本连线走势图 上海十一选五走势手机 贵州快3走势图1000期 辽宁十一选5开奖走势 上海快三专家预测推荐