帕拉迪-运维安全管理解决方案(堡垒机)

1、HANGZHOU PALLADIUM NETWORK TECHNOLOGY Co., LTD帕拉迪运维操作审计解决方案Content统一运维审计方案统一运维审计方案ITIT运维面临的问题运维面临的问题12应用场景应用场景案例分享案例分享ITIT运维的现状和风险运维的现状和风险人员管理风险资产管理风险访问控制风险运维管理风险合规性风险业务连续性是IT运维的基本要求多种接入方式、分散管理多种协议运维方式共享账号问题权限控制操作行为无法审计网络设备主机设备数据库设备应用系统法规遵从法规遵从信息安全等级保护记录网络设备用户行为日志用户身份标识/鉴别用户角色/分配权限服务器操作系统审计数据库审计7.1.

2、3节：要求对用户进行身份标识和鉴别，根据用户的角色分配权限，实现权限分离，仅授予用户所需的最小权限；对主机的审计应覆盖到服务器操作系统和数据库系统；7.1.2节&7.1.3节：审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等；要求对日志进行分析，并生成审计报表等。SOX法案302节：要求行政人员证明他们公司设计和执行了适当的控制，以保证所有财务报表都可靠而且付合公认会计准则(GAAP)。404节：要求所有在302节中所控制的过程都有可信的财务报表。这法令要求IT经理对所有有关财务报表的产生过程负责。 ISO27001标准条款A10.10.1要求组织必须记录用户访问、意外和信息安

3、全事件的日志，并保留一定期限，以便为安全事件的调查和取证；条款A10.10.4要求组织必须记录系统管理和维护人员的操作行为； 条款A15.1.3明确要求必须保护组织的运行记录条款A15.2.1则要求信息系统经理必须确保所有负责的安全过程都在正确执行，符合安全策略和标准的要求。企业内控规范要求国内上市公司严格执行该规范要求，以加强和规范企业内部控制、提高企业经营管理水平和风险防范能力法规遵从法规遵从行业法规标准互联网服务商互联网安全保护技术措施规定（82号令）电信行业中国移动集团内控手册中国移动业务支撑网安全域划分和边界整合技术规范中国电信股份有限公司内部控制手册中国网通集团信息质量问责管理若干

4、规定 中国网通集团内部控制体系建设指导意见 金融保险行业银行业金融机构信息系统风险管理指引证券期货业信息系统安全等级保护测评要求（试行）商业银行合规风险管理指引中国银行业监督委员会办公厅文件银监办通313号保险公司内部审计指引（试行）保险公司风险管理指引（试行）电子银行安全评估指引（2007）电子银行业务管理办法（2008）期货公司信息技术管理指引国内上市企业深圳证券交易所上市公司内部控制指引 上海证券交易所上市公司内部控制指引 电力行业电力二次系统安全防护总体方案（2005）国家电网公司信息化“SG186”工程安全防护总体方案（实行）(2008)医疗行业医疗机构信息系统安全等级保护基本要求法

5、规遵从法规遵从堡垒机在信息安全等级保护中的探究与应用：随着信息安全等级保护制度的开展和普及，金融、电力、运营商、医疗、教育及政府机构等开始参与并落实制度的执行。国务院法规和中央文件明确规定，要实行信息安全等级保护，重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度。具体是哪些标准、哪些条款成为推动堡垒主机落地的驱动力？信息系统等级保护安全设计技术要求（GBT 250702010）信息系统安全等级保护基本要求（GBT 22239-2008）1、身份鉴别2、自主访问控制3、标记和强制访控制4、系统安全审计5、用户数据完整性保护、用户数据保密性保

6、护、客体安全重用、程序可信执行保护6、堡垒机从设计到功能完全符合等级保护安全设计三级要求，对于目前定级的二、三级系统完全适用，成为通过信息安全等级保护设计和测评不可或缺的重要安全防护系统。（物理安全、网络安全、主机安全、应用安全、数据安全以及管理安全）Content统一运维审计方案统一运维审计方案ITIT运维面临的问题运维面临的问题12应用场景应用场景案例分享案例分享统一运维审计解决方案统一运维审计解决方案资源管理人的管理操作管理资源管理1、从账号管理2、设备密码定期自动修改人员管理1、主账号管理2、密码管理3、访问控制4、权限控制5、认证管理操作管理1、日志记录2、视频记录3、实时监控4、操

7、作回放5、统计报表统一运维审计解决方案统一运维审计解决方案最小化操作风险来源于管理模式管理模式你做了什么？操作审计你能做什么？权限控制你能去哪？访问控制你是谁？身份管理统一运维审计解决方案统一运维审计解决方案图形图形终端终端运维审计运维审计字符字符终端终端运维审计运维审计数据库运维审计数据库运维审计文件传输文件传输操作操作审计审计应用终端操作审计应用终端操作审计KVMKVM终端操作审计终端操作审计RDPX11VNCTelnetSSHFTPSFTPHTTPHTTPSOracleDB2SybaseSQL ServerAvocentDSRHPSAMIBMSMITLinuxSetupRDP磁盘通道剪贴

8、板AS400其他应用终端InformixDSVIEWRARITAN统一运维审计解决方案统一运维审计解决方案堡垒机行业发展历程堡垒机行业发展历程帕拉迪堡垒机竞争优势帕拉迪堡垒机竞争优势业界最全面运维协议支持业界最全面可靠的账号管理l字符运维、图形运维、文件传输、KVM、应用发布等完整覆盖；l带内、带外运维统一管理，业界唯一同时支持Avocent、Raritan、ATEN等主流KVM Over IPl业界唯一支持移动运维，迎合BYOD的移动办公，移动运维的趋势l账号密码托管代填，能够实现对字符运维、图形运维、文件传输、KVM、应用发布等协议和应用的账号密码代填功能，覆盖最全面；l实现对LinuxU

9、nix、Windows服务器、网络设备的密码定期自动修改最细粒度审计，审计结果完整可靠l图形智能识别模块OCR，实现图形操作内容的文字识别和录像关联，快速定位；l虚拟应用发布的完整支持（remoteapp），并实现应用细粒度授权和完整审计，业内唯一；l审计录像采用数据流回放技术，空闲操作（无屏幕变化）日志无增长，节省了日志空间系统安全性和可靠性l领域开创并实现国际化，中英文双语支持，并通过国际安全红线认证，可进行全球化销售l双机热备和集群模式的完整支持，可实现配置和审计日志实时同步，保证系统高可靠性；l身份认证提供了自带USB-KEY证书认证，提供了强身份认证的安全保障Content统一运维审

10、计方案统一运维审计方案ITIT运维面临的问题运维面临的问题12应用场景应用场景案例分享案例分享应用场景应用场景- -共享账号责任认定共享账号责任认定移动办公合作伙伴运维外包Internet内部运维人员核心业务服务器Root帐号MickeMickeHz_yangHz_yangDw_wangDw_wangEchoEcho部署前：所有人员包括移动办公人员、合作伙伴、运维外包人员、内部运维人员共同使用root帐号直接登录核心业务服务器进行各种操作，当核心业务数据被非法修改，或是执行了其他非法命令等，在现有环境上很难定位到人，无法进行责任的认定和故障分析。安全监控、审计部署后：每个自然人都对应一个主帐号

11、（审计平台帐号），登录到核心业务服务器的从帐号root（目标主机帐号），两个帐号存在唯一对应关系，审计人员可以很方便的从平台中查出是谁在什么时间登录哪台服务器做了什么操作，产生什么样的结果，很方便的实现责任认定和故障分析。应用场景应用场景- -第三方运维管理第三方运维管理合作伙伴运维外包核心业务服务器Root帐号Hz_yangHz_yangDw_wangDw_wang创建帐号，授权控制内部管理人员为其创建临时帐号，授予完成维护需要的最小化权限，对高危操作命令进行控制和告警。安全监控、审计保留所有运维操作过程对该阶段的运维操作进行全部记录并保存，作为审计的依据，内部人员还可以实时对其进行监控，发

12、现有违规操作，可以立即进行阻断。Internet业务系统运维需求业务系统的维护、更新升级、故障处理需要合作伙伴或是运维外包人员登录系统进行各种操作。应用场景应用场景- -实时安全监控实时安全监控 操作界面 监控界面发现异常操作行为，立即阻断应用场景应用场景- -合规遵循合规遵循报表定制开发根据用户的所在的行业，进行报表的定制开发支持，满足用户所在行业对合规性的需求。操作原始日志保存了全年的包括内部人员、合作伙伴、外包代维人员对核心业务服务器运维的原始操作日志。第三方审计机构（Eg:银监会、证监会、保监会、审计局、公安部等级保护监督检查等）Content统一运维审计方案统一运维审计方案ITIT运

13、维面临的问题运维面临的问题12应用场景应用场景案例分享案例分享案例案例华华润集团案例介绍润集团案例介绍 华润集团随着维护集中化水平不断提高以及快速处理故障的需要，维护人员和第三方人员采用多种方式接入通信网、业务网及各支撑系统。由于缺乏有效的控制手段，新的接入方式，特别是通过IP网络远程维护，在提高维护工作效率的同时，也引入较大的安全风险。 为解决安全运维管理的问题，迫切需要建立一个统一的安全管理和综合审计平台。PLD UTM SMS作为各支撑系统维护的统一接入点，对维护操作进行集中管理；管理人员可以对支撑系统的用户和资源进行集中管理、集中授权、集中控制和集中审计，从技术上保证业务支撑系统安全策

14、略的实施，保障业务支撑系统安全、高效的运行。l上线时间：2011年 12月；l项目规模：一期双机热备，二期扩容为集群模式，总共管理设备1500，人员200+；l运维状态：运维人员（网管、系统管理员、代维厂商），为了提供高稳定服务，系统采用集群部署，集中管理；l功能模块：字符终端审计，图形终端审计，数据库运维审计， B/S运维审计平安集团案例介绍平安集团案例介绍 平安保险，全称为中国平安保险（集团）股份有限公司，是中国第一家以保险为核心的，融证券、信托、银行、资产管理、企业年金等多元金融业务为一体的综合金融服务集团。公司成立于1988年，总部位于深圳。l需求：商业银行内部控制指引、企业内部控制基

15、本规范l上线时间：2013年 2月；l项目规模：分两地部署，深圳总部和上海容灾，总部3000资产纳入管理，容灾1000资产纳入管理，涉及人员数300；l部署形态：深圳总部采用集群部署，容灾机房采用双机热备部署；l功能模块：字符终端审计，图形终端审计，文件传输审计，应用发布平台。河南省国家税务局案例河南省国家税务局案例介绍介绍 河南省国家税务局是河南省主管国家税收工作的职能部门，为正厅级全职能局，对全省国税系统实行垂直领导。河南省国家税务局需要遵循计算机等级保护条例要求第3级别，内容包括对操作行为行管控和审计。 为解决河南省国税系统安全管理的上述问题，迫切需要建立一个统一的安全管理平台，使得系统和安全管理人员可以对支撑系统的用户和各种资源进行集中管理、集中权限分配、集中审计，从技术上保证业务支撑系统安全策略的实施