×

页面升级中敬请期待

> 首页 > 产品及解决方案 > 典型案例 >

中国人民银行营业管理部
——  关于优炫智能运维管理系统的应用

客户背景

    中国人民银行营业管理部是中国人民银行总行在北京的派驻机构,在辖区履行贯彻执行国家货币信贷政策、维护金融稳定、提供金融服务、外汇管理等各项工作职责,并以此支持首都经济又好又快发展。

需求分析

    中国人民银行营业管理部在信息安全建设上一直非常重视,处于同行业较高水平,但是其运维安全管理、内控机制等方面也存一些安全问题,主要有:
  1) 对服务器缺乏必要的审计手段,仅能通过监控录像、双人分段或专人保存密码、操作系统日志结合手工记录操作日志等管理办法,无法追溯操作人员在服务器上的操作过程、了解操作人员行为意图,并且这样的管理成本很高,很难做到长期照章执行。
  2) 对服务器的维护和管理依赖于操作系统的口令认证,口令具有可被转授、被窥探及易被遗忘等弱点,另外,在实际环境中还存在多人共用一个账号甚至经常多人掌握Root权限的现象,使得管理存在很大的安全漏洞,直接威胁服务器安全。
  3) 针对许多外包服务商、厂商技术支持人员、项目集成商等在对内部核心服务器、网络基础设施进行现场调试或远程技术维护时,无法有效的记录其操作过程、维护内容,极容易泄露核心机密数据或遭到潜在的恶意破坏。
    针对以上运维管理的现状,分析总结用户的具体需求如下:
  1) 现有系统设备数量大,日常运维人员众多,存在人员及设备分散,日常运维管理困难,迫切需要实现统一运维管理要求。
  2) 需要支持全部门所有维护人员针对AIX、Linux主机设备,主流网络设备、Windows服务器的运行维护、操作审计;
  3) 审计协议要支持SSH、SFTP、RDP等,同时支持SSO登录;
  4) 详细的权限分配功能,可以根据时间、登录IP、目标资源等进行详细授权。
  5) 需实现运维统一身份认证管理(动态令牌),同时与运维审计系统结合实现双因素认证功能。
  6) 对于被审计系统、设备支持密码安全管理功能;
  7) 支持按时间、用户名、被审计设备、命令等进行的定制报表,并可以导出Excel或PDF等格式报表;
  8) 审计结果以视频回访形式展现出来,并可以根据需求定位到某特定命令;
  9) 设备支持硬件冗余方式,并支持HA。

解决方案

    根据优炫软件智能运维审计系统支持的部署模式,结合中国人民银行营业管理部目前的网络现状,其逻辑部署如下:
   部署说明:
  • 针对运维审计对安全的特殊要求,推荐在核心交换机或二层接入交换上划分出“安全运维网段”,并使该网段路由可达到任何区域;
  • 在安全运维网段部署2台智能运维审计系统,单臂模式,实现HA,保障设备的高可用性;
  • 在核心PIX作严格的安全策略,只允许主机、网络、安全等维护人员(行内、行外)通过运维审计系统访问服务器、各区域,而不允许直接访问这些关键资源;
  • 另外,在该安全运维网段可以部署跳板机,作为远程操作终端,用户经过身份认证后,到达该跳板机访问后台资源。
   针对主机服务器、网络安全设备的审计
   1)主机维护人员(行内、行外)首先经过运维审计系统进行身份认证;
   2)身份认证通过后,进行授权,指定该主机维护人员可以访问的后台资源;
   3)运维审计系统将访问请求自动转发到后台资源。
   在这个过程中,运维人员的所有操作都被运维审计系统安全记录下来,并可实现数据重组和视频回放,完全再现了操作内容和行为轨迹。
   其他特殊客户端运维审计
   针对特殊客户端(如IBM专用客户端、数据库客户端)维护人员(行内、行外)首先经过智能运维审计系统进行身份认证;
   1)身份认证通过且授权后,通过RDP或其他协议访问到跳板机;
   2)通过跳板机访问后台特殊应用资源。
   在这个过程中,运维人员的所有操作都被运维审计系统安全记录下来,并可实现数据重组和视频回放,完全再现了操作内容和行为轨迹。

方案特点

   1)为用户IT基础设施口令统一管理提供一种有效的解决方案,提高了口令管理员的工作效率。
   2)通过统一身份认证系统(动态令牌)与运维审计系统的整合,实现了运维用户的双因素身份认证,增强了运维的安全性。
   3)针对用户复杂的IT环境,提供了一种完备、有效的运维安全管理手段,最小化降低IT操作风险;
   4)提供了一种有效技术手段,满足了信息安全、IT系统运维管理、企业遵规三个方面的要求。
相关产品及解决方案
返回列表