金融行業(yè)IT運(yùn)維安全審計(jì)產(chǎn)品解決方案

金融行業(yè)IT運(yùn)維安全審計(jì)產(chǎn)品解決方案

背景

金融信息系統(tǒng)是金融公司重要的基礎(chǔ)設(shè)施，是金融業(yè)務(wù)正常運(yùn)行的前提條件。但是近幾年來，由于受到高科技犯罪、黑客入侵、計(jì)算機(jī)病毒感染等威脅，金融信息系統(tǒng)的安全事故呈逐年上升趨勢(shì)，對(duì)正常交易和日常維護(hù)也造成很大威脅。

同時(shí)隨著電子商務(wù)的蓬勃發(fā)展，通過Internet開展網(wǎng)上金融交易已經(jīng)成為國內(nèi)各大金融公司積極開拓業(yè)務(wù)的主要渠道之一，至今網(wǎng)上股民已經(jīng)達(dá)到400萬以上，安全保障將決定金融公司和客戶的資金及交易的安全問題，直接影響到金融公司的形象。

需求分析

金融行業(yè)對(duì)其信息安全建設(shè)一直比較重視，但是其運(yùn)維安全管理、內(nèi)控機(jī)制等方面也存在上述問題，因此針對(duì)運(yùn)維管理的具體需求如下：

支持日常維護(hù)人員針對(duì)AIX、Linux主機(jī)設(shè)備，主流網(wǎng)絡(luò)設(shè)備、Windows服務(wù)器進(jìn)行的運(yùn)行維護(hù)操作審計(jì)；

審計(jì)協(xié)議支持SSH、SFTP、RDP等，同時(shí)支持SSO登錄；

詳細(xì)的權(quán)限分配功能，可以根據(jù)時(shí)間、登錄IP、目標(biāo)資源等進(jìn)行詳細(xì)授權(quán)；

對(duì)于被審計(jì)系統(tǒng)、設(shè)備支持密碼安全管理功能；

支持按時(shí)間、用戶名、被審計(jì)設(shè)備、命令等進(jìn)行的定制報(bào)表，并可以導(dǎo)出Excel或PDF等格式報(bào)表；

審計(jì)結(jié)果以視頻回訪形式展現(xiàn)出來，并可以根據(jù)需求定位到某特定命令；

設(shè)備支持硬件冗余方式，并支持HA。

因此，為實(shí)時(shí)監(jiān)控和記錄運(yùn)維人員網(wǎng)絡(luò)活動(dòng)，便于事后追溯，以及及時(shí)阻斷違規(guī)、危險(xiǎn)行為，保障各業(yè)務(wù)系統(tǒng)的安全運(yùn)行。需要部署一套統(tǒng)一的運(yùn)維堡壘機(jī)，對(duì)運(yùn)維操作進(jìn)行事前預(yù)防、事中控制、事后審計(jì)。

解決方案

結(jié)合某金融行業(yè)目前網(wǎng)絡(luò)及安全現(xiàn)狀，其邏輯部署如下：

(1)針對(duì)運(yùn)維審計(jì)對(duì)安全的特殊要求，推薦在某金融行業(yè)DC核心交換機(jī)或二層接入交換上劃分出“安全運(yùn)維網(wǎng)段”，并使該網(wǎng)段路由可達(dá)到任何區(qū)域；

(2)在安全運(yùn)維網(wǎng)段部署2臺(tái)網(wǎng)域NSAIT運(yùn)維安全審計(jì)產(chǎn)品，單臂模式，實(shí)現(xiàn)HA，保障設(shè)備的高可用性；

(3)在核心防火墻作嚴(yán)格的安全策略，只允許主機(jī)、網(wǎng)絡(luò)、安全等維護(hù)人員（行內(nèi)、行外）通過網(wǎng)域NSAIT運(yùn)維安全審計(jì)產(chǎn)品訪問服務(wù)器、各區(qū)域，而不允許直接訪問這些關(guān)鍵資源；

(4)另外，在該安全運(yùn)維網(wǎng)段可以部署運(yùn)維管理主機(jī)，作為遠(yuǎn)程操作終端，用戶經(jīng)過網(wǎng)域NSAIT運(yùn)維安全審計(jì)產(chǎn)品后，到達(dá)該管理主機(jī)，管理主機(jī)訪問后臺(tái)服務(wù)器。

針對(duì)主機(jī)服務(wù)器、網(wǎng)絡(luò)安全設(shè)備的審計(jì)

實(shí)現(xiàn)過程如下：

(1)主機(jī)維護(hù)人員（行內(nèi)、行外）首先經(jīng)過網(wǎng)域NSAIT運(yùn)維安全審計(jì)產(chǎn)品進(jìn)行身份認(rèn)證；

(2)網(wǎng)域NSAIT運(yùn)維安全審計(jì)產(chǎn)品身份認(rèn)證通過后，進(jìn)行授權(quán)，指定該主機(jī)維護(hù)人員可以訪問的后臺(tái)資源；

(3)網(wǎng)域NSAIT運(yùn)維安全審計(jì)產(chǎn)品將訪問請(qǐng)求自動(dòng)轉(zhuǎn)發(fā)到后臺(tái)資源。

在這個(gè)過程中，運(yùn)維人員的所有操作都被網(wǎng)域NSAIT運(yùn)維安全審計(jì)產(chǎn)品安全記錄下來，并可實(shí)現(xiàn)了數(shù)據(jù)重組和視頻回放，完全再現(xiàn)了操作內(nèi)容和行為軌跡。

其他特殊客戶端運(yùn)維審計(jì)

實(shí)現(xiàn)過程為：

(1)針對(duì)特殊客戶端（如IBM專用客戶端、數(shù)據(jù)庫客戶端）維護(hù)人員（行內(nèi)、行外）首先經(jīng)過網(wǎng)域NSAIT運(yùn)維安全審計(jì)產(chǎn)品進(jìn)行身份認(rèn)證；

(2)網(wǎng)域NSAIT運(yùn)維安全審計(jì)產(chǎn)品身份認(rèn)證通過且授權(quán)后，通過RDP或其他協(xié)議訪問到運(yùn)維管理主機(jī)（windows服務(wù)器或Unix服務(wù)器，該服務(wù)器上安裝特殊運(yùn)維客戶端軟件）；

(3)運(yùn)維管理主機(jī)訪問后臺(tái)特殊應(yīng)用資源。

在這個(gè)過程中，運(yùn)維人員的所有操作都被網(wǎng)域NSAIT運(yùn)維安全審計(jì)產(chǎn)品安全記錄下來，并可實(shí)現(xiàn)了數(shù)據(jù)重組和視頻回放，完全再現(xiàn)了操作內(nèi)容和行為軌跡。

功能實(shí)施

統(tǒng)一安全防護(hù)

所有對(duì)IT系統(tǒng)的運(yùn)維操作必須通過統(tǒng)一的入口(運(yùn)維堡壘機(jī))方可進(jìn)行，在統(tǒng)一入口設(shè)置相關(guān)安全策略，保證操作安全，降低IT操作風(fēng)險(xiǎn)。

統(tǒng)一IT系統(tǒng)口令管理

將IT系統(tǒng)的管理員口令進(jìn)行統(tǒng)一管理，解決口令管理相關(guān)問題。所有運(yùn)維人員進(jìn)行操作不再需要知道IT系統(tǒng)的賬戶口令。

身份認(rèn)證和操作授權(quán)

可根據(jù)行政組織結(jié)構(gòu)將運(yùn)維用戶劃分到對(duì)應(yīng)的用戶組，方便于管理和查詢。

使用獨(dú)立的身份認(rèn)證管理實(shí)現(xiàn)對(duì)運(yùn)維人員的身份認(rèn)證、操作授權(quán)，保證只有合法用戶才能使用其擁有運(yùn)維權(quán)限的關(guān)鍵資源。

關(guān)鍵操作監(jiān)控和報(bào)警

能根據(jù)運(yùn)維實(shí)際情況，制定特定運(yùn)維操作監(jiān)控和報(bào)警策略，對(duì)敏感操作或違規(guī)行為及時(shí)發(fā)現(xiàn)，并實(shí)現(xiàn)實(shí)時(shí)報(bào)警和阻斷。

操作審計(jì)

對(duì)常用運(yùn)維協(xié)議Telnet、FTP、SFTP、SSH、RDP、Xwindows等網(wǎng)絡(luò)會(huì)話的完成記錄和審計(jì)，并能提供基于圖像的操作回放，方便、直觀地將操作展現(xiàn)給審計(jì)人員。

操作分析報(bào)表

基于運(yùn)維操作數(shù)據(jù)，能基于時(shí)間、資源、人員的操作、違規(guī)事件的統(tǒng)計(jì)報(bào)表，為安全人員分析安全態(tài)勢(shì)提供輔助數(shù)據(jù)。

雙機(jī)熱備

網(wǎng)域NSAIT運(yùn)維安全審計(jì)產(chǎn)品支持HA雙機(jī)熱備功能，實(shí)時(shí)同步配置信息，實(shí)時(shí)監(jiān)測(cè)自身健康程度。一旦主機(jī)出現(xiàn)故障，備機(jī)自動(dòng)接管服務(wù)，保證系統(tǒng)的可用性。

方案特點(diǎn)

為用戶IT基礎(chǔ)設(shè)施口令統(tǒng)一管理提供一種有效的解決方案，提高了口令管理員的工作效率；

針對(duì)用戶復(fù)雜的IT環(huán)境，提供了一種完備、有效的運(yùn)維安全管理手段，最小化降低IT操作風(fēng)險(xiǎn)；

提供一種有效技術(shù)手段滿足信息安全、IT系統(tǒng)運(yùn)維管理、企業(yè)遵規(guī)三個(gè)方面的要求。