> 首頁 > 產品及解決方案 > 典型案例 >

中國中投證券有限責任公司
——  綜合智能運維管理項目的應用

客戶背景

       中國中投證券有限責任公司(簡稱:中國中投證券)是一家在深圳注冊成立的全國性綜合類證券公司,由中央匯金投資有限責任公司全資控股,注冊資本金50億元人民幣。在全國各大中城市設有206家證券營業網點,在北京、上海、江蘇、四川、廣東、河南、青海、深圳、遼寧和湖北設有分公司,并同時擁有三家全資控股公司。公司經營范圍涵蓋:證券經紀;證券投資咨詢;與證券交易、證券投資活動有關的財務顧問;證券承銷與保薦;證券自營;證券資產管理;證券投資基金代銷;為期貨公司提供中間介紹業務;融資融券;代銷金融產品。
       2016年營業收入為44.11億元。截至2016年末,公司總資產820.99億元,總負債668.44億元,股東權益152.55億元。榮獲“2016年度中國最具人氣券商”、“2016年度中國最佳證券經紀商”、“2016年度中國最佳投資顧問品牌”、“2016中國資本市場最佳成長投行”、“2016年信托受益權ABS最佳資產獎”等獎項。

業務特點

       隨著信息化建設的快速發展,中投證券已經建立起一定規模的信息化系統,它們都非常重要,涉及證券業務運營、日常辦公等方方面面。
       網絡中已經部署了防火墻、IDS、防病毒等各類安全產品和設備,并且采用了如網絡邊界劃分、強化邊界訪問控制等多種防護手段。證監會有明文規定,要降低內部操控交易發生的可能,實際上對現有的各種審計和控制措施提出了新的要求。
       中投證券IT系統主要在總部機房,日常運維人員管理對象包括各核心業務系統、防火墻、交換機、路由器、服務器。常用的運維協議與工具包括Telnet、SSH、Ftp、SFTP、http/https、Radmin、RDP、VNC、PcAnywhere等。
       目前的管理模式為分布式管理,運維人員從各自電腦設備發起對需要維護的設備進行操作。

需求分析

1.  帳號安全
  • 多人使用同一賬號
       系統運維部門工程師眾多,按照管理類型分為系統管理員、網絡管理員、數據庫管理員、安全管理員等,它們都可能會具有每臺主機的管理權限,一旦主機出現因為運維導致的故障或數據丟失等問題,無法明確具體責任人,也無法快速定位問題原因,迅速恢復故障,以致帶來巨大的損失。
2.  密碼安全
  • 簡單密碼,容易破解和猜測
       目前因為大量主機、網絡設備的管理員密碼都由運維人員管理,難以控制密碼強度,難以滿足證監會等相關機構對于系統密碼復雜度的要求。
  • 定期修改密碼的管理策略難以執行
       雖然有定期修改管理員密碼的相關制度,但每次修改密碼都涉及各臺設備,執行起來工作量大也十分繁瑣。
       修改后的密碼最終以文本形式存放,存在泄漏的隱患。
  • 密碼掌握在運維人員手中,本身就不安全
       大量的密碼掌握在各類系統維護人員手里,本身就存在濫用、泄漏等安全隱患。
3.  操作安全
  • 操作權限無法控制
       我公司的核心業務系統除本公司運維人員本地運維外,還需接受來自業務部及分支機構運維人員的遠程登入管理;同時還有來自互聯網的運維訪問,主要由廠家工程師和本公司運維人員遠程VPN接入參與運維和緊急故障處理;存在運維人員身份認證及操作嚴重不可控以及參與運維人員復雜而眾多的現實情況,導致運維行為無法監控,不能及時了解所有登陸設備的詳細運維情況。
  • 無意執行了危險操作,如:重啟
       業務網設備如果在交易時間發生服務停止、重啟等動作,將嚴重影響我公司的業務運營,而目前對運維人員無意執行的危險操作無任何提醒和限制手段。
  • 越權操作
        只要知道系統管理員帳號,就可以做任何操作,而無法精細控制該管理員的執行權限,即無法定義每個運維人員的操作權限,從而也無法控制越權操作。
4.  遠程維護
  • PC直接遠程連接關鍵服務器,容易遭受攻擊、病毒傳染
        目前在辦公網、交易網的PC都是通過網絡直接與服務器連接,一旦PC感染蠕蟲等網絡型病毒,極易對服務器產生影響。
  • 遠程維護地點無法控制
        目前對運維人員連接服務器時的來源地址無控制手段,也就很難控制在系統管理員密碼被泄露或外部支持人員遠程維護時,登錄系統的實際用戶身份。
5.  運維操作行為安全
  • 運維人員在什么時間、什么地點訪問服務器,都在服務器上做了哪些操作。
        現有審計手段無法準確定位事故原因。目前針對系統運維管理人員的審計只能定位到登陸服務器的IP地址、用戶、時間等基本信息,無法準確了解運維人員登陸服務器后的具體操作行為,無法達到對運維行為進行操作留痕的審計基本要求。
6.  外部人員訪問安全
  • 外包人員權限如何控制
        系統運維人員中還有部分的第三方運維人員,他們在做系統維護時,通常是由內部人員幫其輸入管理員密碼,而此后他們對系統所做的操作缺乏應用的控制和審計。
  • 外包人員維護帳號泄漏
        還有少量長期合作的第三方運維人員,他們掌握了一部分系統的管理員密碼,他們只要能接入內網,就能登錄到各系統,如果他們所掌握的管理員密碼泄漏,則存在極大的安全風險。
  • 離職人員惡意行為
        系統運維人員中還有部分的第三方運維人員和設備廠商定期巡檢的技術支持人員,對這些非本系統運維人員的運維行為非常有必要進行監控以及審計,滿足對外來人員訪問核心系統操作的知情權。
        經過以上綜合分析,運維安全問題主要體現為認證、授權和審計三個方面。

解決方案

       在服務器區域核心分別部署一臺運維審計系統和一臺應用前置系統:
  • 部署方式均為單臂旁路模式,連接在核心交換機上。
  • 部署的唯一條件是運維審計系統和應用前置系統與被管理的設備之間IP可達,協議可訪問。
  • 運維審計系統是運維操作的唯一入口,使用訪問控制策略(防火墻、ACL等)限制運維用戶只能訪問運維審計系統,不能直接訪問后臺主機。
  • 運維用戶使用動態令牌碼和PIN碼登錄運維審計系統,然后運維審計系統根據配置管理員預先設置好的訪問控制規則,提示用戶選擇可以訪問的目標設備和相應系統賬號,用戶選擇完成后會自動登錄到目標設備。
  • 應用發布系統上可以發布需要審計的系統工具,如:IE、Radmin、VNC、PL/SQL等,并在運維審計系統上對用戶進行授權和審計。

系統部署架構圖
      系統高可用性擴展建議
     后期可通過增加一臺運維審計系統和一臺應用前置系統部署在災備中心,作為運維審計設備的異地熱備機。
       如上圖所示,當建立總部機房與災備機房雙機熱備后,無論哪套運維審計系統出現故障,都不會影響整套系統的運行,運維人員可以通過任何一套運維審計系統登錄后臺服務器或網絡設備,執行運維操作,同時能保障審計數據不會丟失。
       與OA系統交互
       運維審計系統能夠與OA系統進行交互,OA系統進行變更工單的管理,運維審計系統根據變更工單的內容控制用戶對服務器資源的操作訪問,結合運維審計系統,改善原有變更管理流程,將變更工單申請、執行和審核流程結合到運維審計系統中。
 

方案特點

  • 實現統一運維認證賬號分配、統一應用系統賬號管理、統一對運維人員授權。
  • 實現運維賬號認證,集成LDAP、動態令牌、證書等認證方式;可訪問資源列表、系統賬號托管(運維人員無須知道后臺系統密碼)、可控制訪問資源時間、對敏感操作的實時阻斷和告警。
  • 運維行為審計、報表;操作錄像;針對命令行的操作索引和回放。
  • 通過主-主模式,實現2個機房的互為冗余備份;正常工作時,各自區域運維用戶通過本地登錄,當某個機房運維審計系統出現故障時,該區域運維用戶自動切換到另外一個機房的運維審計系統進行登錄;兩套運維審計系統之間的配置自動進行同步。
  • 運維審計系統能夠與OA系統進行交互,OA系統進行變更工單的管理,運維審計系統根據變更工單的內容控制用戶對服務器資源的操作訪問,結合運維審計系統,改善原有變更管理流程,將變更工單申請、執行和審核流程結合到運維審計系統中。
相關產品及解決方案
返回列表
网络 棋牌 游戏 在线实时股票行情 盈策配资 韩国快乐8开奖号码 北京快3玩法介绍 重庆幸运农场杀号公式 最正规股票交易平台是哪个 黑龙江体彩6 1开奖结果今天 幸运28是合法的吗 股票是什么意思 体彩辽宁11选五5开奖结果