全方位IT运维管理解决方案课件

全方位IT运维管理解决方案TPAM全方位IT运维管理解决方案目录为什么需要操作安全审计需要怎样的操作安全审计TPAM统一管理平台的实现价值总结&典型客户目录为什么需要操作安全审计需要怎样的操作安全审计TPAM统为什么需要操作安全审计IT运维现状信息安全相关标准、法案为什么需要操作安全审计IT运维现状IT运维现状一☞多点登录、分散管理服务器资源IT运维现状一☞多点登录、分散管理服务器资源IT运维现状二第三方厂家开发人员管理人员系统帐号☞交叉异构、帐号共享IT运维现状二第三方厂家开发人员管理人员系统帐号☞交叉异构、`IT运维现状三内部用户外部用户资源设备权限滥用恶意访问误操作权力限用系统管理员网管员安全管理员软件系统开发人员黑客代维厂商合作伙伴企业临时用户内部用户来自企业内部的非法威胁高权限操作风险不透明违规操作导致敏感信息泄露误操作导致服务异常甚至宕机来自企业外部的非法威胁操作风险不可控黑客盗用帐号实施恶意攻击无法有效监管操作、必要取证/举证☞人为操作风险`IT运维现状三内部用户外部用户资源设备权限滥用恶意访问误操IT运维现状总结一：公司单位的数据库安全吗？

二：复杂的系统每个人需要记住多组密码，符合效益吗？

三：密码遗失了、被窃取了、不定时需要去修改密码,无形的人力成本一再出现.

四：公司的审核单位对系统管理员如何审核呢？复杂的系统提升审核的困难度.

五：系统管理员对系统的操作安全吗？公司随时审查了吗？

六：应用系统与应用系统之间的通信安全吗？应用系统与数据库之间的通信安全吗？七：供应商自远端进入系统服务安全吗？供应商技术人员在服务器做了什么您清楚了吗？八：公司系统内被植入插件发现了吗？

九：黑客入侵个造成企业的损失,事后检讨耗费庞大的人力成本.IT运维现状总结一：公司单位的数据库安全吗？ISO27001标准条款A10.10.1要求组织必须记录用户访问、意外和信息安全事件的日志，并保留一定期限，以便为安全事件的调查和取证；条款A10.10.4要求组织必须记录系统管理和维护人员的操作行为；条款A15.1.3明确要求必须保护组织的运行记录条款A15.2.1则要求信息系统经理必须确保所有负责的安全过程都在正确执行，符合安全策略和标准的要求。CC标准信息技术通用评估准则（CommonCriteriaforInformationTechnologySecurityEvaluation）中，安全审计是其安全功能要求中最重要的组成部分，同时也是信息系统安全体系中必备的一个措施，它是评判一个系统是否真正安全的重要尺码。SOX法案302节：要求行政人员证明他们公司设计和执行了适当的控制，以保证所有财务报表都可靠而且付合公认会计准则(GAAP)。404节：要求所有在302节中所控制的过程都有可信的财务报表。这法令要求IT经理对所有有关财务报表的产生过程负责。

信息安全相关标准、法案此外还有PCI、HIPAA、BaselIIISO27001标准条款A10.10.1要求组织必须记录用户需要怎样的操作审计操作管理统一化管理流程规范化操作风险最小化需要怎样的操作审计操作管理统一化数据库管理人员开发人员操作管理统一化

操作代维人员服务器统一认证统一授权统一审计网络设备☞统一操作管理平台理念构建数据库管理人员开发人员操作管理统一化操作代维人员服务管理流程规范化1.实时监控2.操作记录3.操作回放4.统计报表1.角色划分2.帐号管理3.密码管理4.权限管理5.访问控制1.帐号管理2.密码定期自动修改人的管理操作管理设备管理☞规范管理流程的实行管理流程规范化1.实时监控1.角色划分1.帐号管理人的管理操集中管理模式操作风险最小化你做了什么？你能做什么？你去哪？你是谁？访问控制管理帐号授权管理

资产帐号管理

统一身份管理

☞最小化操作风险来源于管理模式安全审计管理可用帐号？集中管理模式操作风险最小化你做了什么？你能做什么？TPAM统一管理平台的实现设计理念解决方案审计方向产品部署TPAM统一管理平台的实现设计理念TPAM设计理念TPAM设计理念TPAM解决方案概述全方位IT运维管理解决方案

(TPAM)套件一套旨在解决管理授权和授权访问安全与合规性问题的硬软一体机产品，安全、高效。两大核心功能（组件）：PAR-密码管理、eGuardPost-会话管理四大功能模块：设计灵活可扩展、灵活的购买授权方案TPAM套件TPAM解决方案概述全方位IT运维管理解决方案(TPAM)PAR-密码权限管理目前大多数企业内部的信息系统管理帐户，都是由系统管理员直接管理。系统管理员一人保管某个或某类系统服务器的管理帐户和密码，也存在多个管理员共享某一个帐户密码，存在诸多安全隐患。-密码存储：超级管理员密码保存在何处最安全？-密码分配：密码分配给不同的管理员，安全程度由该管理员决定-密码保管：密码一但分配后，就存在系统管理员保管风险问题和挑战PAR解决方案通过PAR组件，实现对服务器、网络设备、数据库等企业信息系统管理帐户的接管，由PAR组件实现密码安全存储、密码变更、密码申请审批等工作，管理员需要系统管理时，发出密码请求，经批准后使用密码登陆系统进行相关管理工作，结合密码变更策略，可实现自动化的动态密码管理。减轻超级系统管理员的负担，加强了密码管理安全性。

PAR-密码权限管理目前大多数企业内部的信息系统管理单点登录管理流程点击申请密码选择账户输入申请需要密码的日期/时间/持续时间/原因票务领域可选.获取密码单点登录管理流程点击申请密码选择账户输入申请需要密码的日期/点击超链接发起申请选择申请原因快速申请——自动提交默认理由“从移动设备申请”输入票务号码

(若需要）并提交获得密码从手持设备获得密码.*支持小屏幕上配置每个用户的基础。支持小屏幕-工作流程点击超链接发起申请选择申请原因快速申请——自动提交默认理由“

应用程序密码管理为了实现各独立的应用系统之间的通信，企业各类业务系统中，一般含有数据库、接口系统、其他系统（如：文件系统等）的访问帐户和密码，且一般采用配置文件、硬编码等明文形式存储在业务系统中，存在极大的安全漏洞，极易被获取利用，造成业务数据流失或破坏。

问题与挑战PAR解决方案PAR组件提供相应的API，只需调用API强大的函数库，编写脚本就可以实现PAR组件的全部密码管理，请求等功能，支持多数主流开发语言，轻松嵌入到应用系统中，替换掉原有不安全的明文配置，实现应用程序密码的动态性，提高应用系统整体安全性，同时，支持高并发，多模式（连续访问和单次请求），满足应用系统高效性。应用程序密码管理为了实现各独立的应用系统之间PAR支持的平台有：AIXAS400BoKSCheckPointSPCiscoCATOSCiscoPIXCiscoRouter（TEL）CiscoRouter（SSH）CyberGuardFortinetHPILOHPILO2HPNonstopTandemHP-UXHP-UXShadowHP-UXUntrustedIBMHMCLDPALDPASLinuxMACOSXv10.4,v10.5,v10.6MainframeMainframe（ACF2）MaiframeLDAPPACFMainframeLDAPTSMSSQLServerMySQLNetScreenNISPlusNokia-IPSONovellNDSOpenVMSOraclePaloAlto（PanOS）ProxySGSolarisStatusVOSSunALOMPAR支持的平台有：AIXLinuxeGuardPost-会话权限管理合规性管理促使企业需要了解在特定授权或敏感访问中的具体行为，然而仅仅依靠系统日志却并不能真是有效地反应出系统管理员的所有行为。这样对系统管理员的审查审计就变得十分困难。同时，不同系统的审计信息也不利于统一归档整理，审计开销大。

问题与挑战eGuardPost解决方案eGuardPost组件提供了完整的会话管理，系统管理员通过eGuardPost作为代理间接和目标系统建立连接，在有效会话周期内，整个会话过程均会以压缩加密的影像文件记录，可实时查看、回放查看、强制手动终止会话等强大功能。加上常规日志记录，满足系统统一监管、审计管理的需求。eGuardPost-会话权限管理合规性管理促企业需求用户角色访问控制

TPAM解决方案/会话权限管理用户控制点基于角色限制资源全面控制连接双重授权控制会话时间限制会话超限报警通知手动终止会话选项出色的会话审计审计/记录所有连接请求、批准完整会话记录，DVR重放

连接管控

会话审计eGuardPost-会话权限管理企业需求用户角色访问控制

TPAM解决方案/会话权限管理用企业需求强大的审计功能TPAM套件/权限会话管理出色的会话审计审计/记录所有连接请求、批准完整会话记录，DVR重放DVR格式重放控制完整会话记录与所有行为重放eGuardPost-会话权限管理企业需求强大的审计功能TPAM套件/权限会话管理出色的会话审会话请求示例显示出选择的系统和帐号用户连接并执行所需工作会话配置为交互式或自动登录

在目标系统上的每次活动都会被记录（击键、鼠标、连接等）如果用户会话超时，系统就会发送一个警报通知授权管理员可以手动终止活动会话。会话请求示例显示出选择的系统和帐号用户连接并执行所需工作会话重放示例使用DVR控制器，播放会话记录所有会话行为都能被记录并可以通过会话重放观看。记录并非AVI格式—压缩文件大小，易于管理。会话重放示例使用DVR控制器，播放会话记录所有会话行为都能被命令权限管理有了强大的审计，对于企业信息安全来说还不够，毕竟审计只能起到事后追查的作用，不能防范潜在的风险于未然。

问题和挑战eGuardPost解决方案eGuardPost在会话管理的基础上，实现了系统管理员可执行命令、程序、脚本的管理，通过黑白名单，可过滤掉该次会话允许管理功能之外的未授权功能点访问，从而限制会话连接的权限范围，避免由系统管理员带来的内部安全隐患，防范潜在危险的发生。

命令权限管理有了强大的审计，对于企业信息安全来说还不命令权限管理企业需求超级用户权限管理

(SUPM)

TPAM解决方案/命令权限管理SUPM价值命令级别访问控制不能执行命令之外的行为记录所有行为

TPAM支持

PCMfor:UnixWindows其它

(近期发布版本)会话限制为单一命令模式（以计算机管理为例）其他Windows功能不可用

支持多种平台环境命令权限管理企业需求超级用户权限管理(SUPM)

T

命令管理示例通过命令权限管理工具增加命令。命令管理示例通过命令权限管理工具增加命令。通过命权令限管理会话转到后端目标/账户(Windowsa3/e22egp），用户会话就会建立，用户就会被放置到特殊“命令”中。该处以“计算机管理”为例。其他目标命令、菜单等的访问不被允许使用。且会话将只能在特定命令容器（该处以“计算机管理”为例）中有效。会话会随用户退出命令而终止。

限制命令会话示例通过命权令限管理会话转到后端目标/账户(Windowsa3产品部署－逻辑网关WindowsHP_UnixAIXLinuxSolaris安全设备网络设备存储设备外网用户内网用户TPAMPSM安全审计管理TPAM部署优势:1.不加装任何客户端代理2.不加装任何服务器端引擎3.不影响任何网络拓扑4.不影响任何业务数据流5.数据分流，数据标签化6.支持双机热备7.支持集中管理分级部署Telnet、SSHRDP、X11、VNCFTP、SFTP、SCPHttp、Https各类数据库客户端etc产品部署－逻辑网关WindowsHP_UnixAIXLinu二级单位-1二级单位-2二级单位-3一级单位集中管理分散部署示意图TPAM典型应用－分级审计管理DPADPADPA二级单位-1二级单位-2二级单位-3一级单位集中价值效益&典型客户价值效益典型客户价值效益&典型客户价值效益TPAM特点与效益

硬软一体、稳定性高易于部署、操作简单模块设计可灵活扩展独一无二的会话权限管理功能模块完整记录会话行为并支持重放独一无二的命令权限管理功能模块约束超级用户权限，降低风险支持手持式设备，如手机、PDA等企业整合力强，跨平台支持最佳合规性解决方案最佳密码管理解决方案TPAM特点与效益硬软一体、稳定性高最佳合规性最佳密码管TPAM特点与效益

不再需要手动更改密码！不再需要手动更改应用程序或脚本！强大的审计与报告功能满足内外部审计需要！减少因员工流失带来的管理开支！自动登录功能降低了账户和密码管理的复杂程度！显著降低鉴识分析和恢复时间！降低或避免硬编码认证危机！投资回报周期短！最佳合规性解决方案最佳密码管理解决方案TPAM特点与效益不再需要手动更改密码！最佳合规性最佳密价值总结有效控制操作风险有效监管第三方代维厂商用户收益满足IT审计合规性要求提高设备可用性完善的责任认定体系价值总结有效控制操作风险有效监管第三方代维厂商用户收益典型客户典型客户典型客户典型客户ThankYou!ThankYou!全方位IT运维管理解决方案课件全方位IT运维管理解决方案TPAM全方位IT运维管理解决方案目录为什么需要操作安全审计需要怎样的操作安全审计TPAM统一管理平台的实现价值总结&典型客户目录为什么需要操作安全审计需要怎样的操作安全审计TPAM统为什么需要操作安全审计IT运维现状信息安全相关标准、法案为什么需要操作安全审计IT运维现状IT运维现状一☞多点登录、分散管理服务器资源IT运维现状一☞多点登录、分散管理服务器资源IT运维现状二第三方厂家开发人员管理人员系统帐号☞交叉异构、帐号共享IT运维现状二第三方厂家开发人员管理人员系统帐号☞交叉异构、`IT运维现状三内部用户外部用户资源设备权限滥用恶意访问误操作权力限用系统管理员网管员安全管理员软件系统开发人员黑客代维厂商合作伙伴企业临时用户内部用户来自企业内部的非法威胁高权限操作风险不透明违规操作导致敏感信息泄露误操作导致服务异常甚至宕机来自企业外部的非法威胁操作风险不可控黑客盗用帐号实施恶意攻击无法有效监管操作、必要取证/举证☞人为操作风险`IT运维现状三内部用户外部用户资源设备权限滥用恶意访问误操IT运维现状总结一：公司单位的数据库安全吗？

二：复杂的系统每个人需要记住多组密码，符合效益吗？

三：密码遗失了、被窃取了、不定时需要去修改密码,无形的人力成本一再出现.

四：公司的审核单位对系统管理员如何审核呢？复杂的系统提升审核的困难度.

五：系统管理员对系统的操作安全吗？公司随时审查了吗？

六：应用系统与应用系统之间的通信安全吗？应用系统与数据库之间的通信安全吗？七：供应商自远端进入系统服务安全吗？供应商技术人员在服务器做了什么您清楚了吗？八：公司系统内被植入插件发现了吗？

九：黑客入侵个造成企业的损失,事后检讨耗费庞大的人力成本.IT运维现状总结一：公司单位的数据库安全吗？ISO27001标准条款A10.10.1要求组织必须记录用户访问、意外和信息安全事件的日志，并保留一定期限，以便为安全事件的调查和取证；条款A10.10.4要求组织必须记录系统管理和维护人员的操作行为；条款A15.1.3明确要求必须保护组织的运行记录条款A15.2.1则要求信息系统经理必须确保所有负责的安全过程都在正确执行，符合安全策略和标准的要求。CC标准信息技术通用评估准则（CommonCriteriaforInformationTechnologySecurityEvaluation）中，安全审计是其安全功能要求中最重要的组成部分，同时也是信息系统安全体系中必备的一个措施，它是评判一个系统是否真正安全的重要尺码。SOX法案302节：要求行政人员证明他们公司设计和执行了适当的控制，以保证所有财务报表都可靠而且付合公认会计准则(GAAP)。404节：要求所有在302节中所控制的过程都有可信的财务报表。这法令要求IT经理对所有有关财务报表的产生过程负责。

信息安全相关标准、法案此外还有PCI、HIPAA、BaselIIISO27001标准条款A10.10.1要求组织必须记录用户需要怎样的操作审计操作管理统一化管理流程规范化操作风险最小化需要怎样的操作审计操作管理统一化数据库管理人员开发人员操作管理统一化

操作代维人员服务器统一认证统一授权统一审计网络设备☞统一操作管理平台理念构建数据库管理人员开发人员操作管理统一化操作代维人员服务管理流程规范化1.实时监控2.操作记录3.操作回放4.统计报表1.角色划分2.帐号管理3.密码管理4.权限管理5.访问控制1.帐号管理2.密码定期自动修改人的管理操作管理设备管理☞规范管理流程的实行管理流程规范化1.实时监控1.角色划分1.帐号管理人的管理操集中管理模式操作风险最小化你做了什么？你能做什么？你去哪？你是谁？访问控制管理帐号授权管理

资产帐号管理

统一身份管理

☞最小化操作风险来源于管理模式安全审计管理可用帐号？集中管理模式操作风险最小化你做了什么？你能做什么？TPAM统一管理平台的实现设计理念解决方案审计方向产品部署TPAM统一管理平台的实现设计理念TPAM设计理念TPAM设计理念TPAM解决方案概述全方位IT运维管理解决方案

(TPAM)套件一套旨在解决管理授权和授权访问安全与合规性问题的硬软一体机产品，安全、高效。两大核心功能（组件）：PAR-密码管理、eGuardPost-会话管理四大功能模块：设计灵活可扩展、灵活的购买授权方案TPAM套件TPAM解决方案概述全方位IT运维管理解决方案(TPAM)PAR-密码权限管理目前大多数企业内部的信息系统管理帐户，都是由系统管理员直接管理。系统管理员一人保管某个或某类系统服务器的管理帐户和密码，也存在多个管理员共享某一个帐户密码，存在诸多安全隐患。-密码存储：超级管理员密码保存在何处最安全？-密码分配：密码分配给不同的管理员，安全程度由该管理员决定-密码保管：密码一但分配后，就存在系统管理员保管风险问题和挑战PAR解决方案通过PAR组件，实现对服务器、网络设备、数据库等企业信息系统管理帐户的接管，由PAR组件实现密码安全存储、密码变更、密码申请审批等工作，管理员需要系统管理时，发出密码请求，经批准后使用密码登陆系统进行相关管理工作，结合密码变更策略，可实现自动化的动态密码管理。减轻超级系统管理员的负担，加强了密码管理安全性。

PAR-密码权限管理目前大多数企业内部的信息系统管理单点登录管理流程点击申请密码选择账户输入申请需要密码的日期/时间/持续时间/原因票务领域可选.获取密码单点登录管理流程点击申请密码选择账户输入申请需要密码的日期/点击超链接发起申请选择申请原因快速申请——自动提交默认理由“从移动设备申请”输入票务号码

(若需要）并提交获得密码从手持设备获得密码.*支持小屏幕上配置每个用户的基础。支持小屏幕-工作流程点击超链接发起申请选择申请原因快速申请——自动提交默认理由“

应用程序密码管理为了实现各独立的应用系统之间的通信，企业各类业务系统中，一般含有数据库、接口系统、其他系统（如：文件系统等）的访问帐户和密码，且一般采用配置文件、硬编码等明文形式存储在业务系统中，存在极大的安全漏洞，极易被获取利用，造成业务数据流失或破坏。

问题与挑战PAR解决方案PAR组件提供相应的API，只需调用API强大的函数库，编写脚本就可以实现PAR组件的全部密码管理，请求等功能，支持多数主流开发语言，轻松嵌入到应用系统中，替换掉原有不安全的明文配置，实现应用程序密码的动态性，提高应用系统整体安全性，同时，支持高并发，多模式（连续访问和单次请求），满足应用系统高效性。应用程序密码管理为了实现各独立的应用系统之间PAR支持的平台有：AIXAS400BoKSCheckPointSPCiscoCATOSCiscoPIXCiscoRouter（TEL）CiscoRouter（SSH）CyberGuardFortinetHPILOHPILO2HPNonstopTandemHP-UXHP-UXShadowHP-UXUntrustedIBMHMCLDPALDPASLinuxMACOSXv10.4,v10.5,v10.6MainframeMainframe（ACF2）MaiframeLDAPPACFMainframeLDAPTSMSSQLServerMySQLNetScreenNISPlusNokia-IPSONovellNDSOpenVMSOraclePaloAlto（PanOS）ProxySGSolarisStatusVOSSunALOMPAR支持的平台有：AIXLinuxeGuardPost-会话权限管理合规性管理促使企业需要了解在特定授权或敏感访问中的具体行为，然而仅仅依靠系统日志却并不能真是有效地反应出系统管理员的所有行为。这样对系统管理员的审查审计就变得十分困难。同时，不同系统的审计信息也不利于统一归档整理，审计开销大。

问题与挑战eGuardPost解决方案eGuardPost组件提供了完整的会话管理，系统管理员通过eGuardPost作为代理间接和目标系统建立连接，在有效会话周期内，整个会话过程均会以压缩加密的影像文件记录，可实时查看、回放查看、强制手动终止会话等强大功能。加上常规日志记录，满足系统统一监管、审计管理的需求。eGuardPost-会话权限管理合规性管理促企业需求用户角色访问控制

TPAM解决方案/会话权限管理用户控制点基于角色限制资源全面控制连接双重授权控制会话时间限制会话超限报警通知手动终止会话选项出色的会话审计审计/记录所有连接请求、批准完整会话记录，DVR重放

连接管控

会话审计eGuardPost-会话权限管理企业需求用户角色访问控制

TPAM解决方案/会话权限管理用企业需求强大的审计功能TPAM套件/权限会话管理出色的会话审计审计/记录所有连接请求、批准完整会话记录，DVR重放DVR格式重放控制完整会话记录与所有行为重放eGuardPost-会话权限管理企业需求强大的审计功能TPAM套件/权限会话管理出色的会话审会话请求示例显示出选择的系统和帐号用户连接并执行所需工作会话配置为交互式或自动登录

在目标系统上的每次活动都会被记录（击键、鼠标、连接等）如果用户会话超时，系统就会发送一个警报通知授权管理员可以手动终止活动会话。会话请求示例显示出选择的系统和帐号用户连接并执行所需工作会话重放示例使用DVR控制器，播放会话记录所有会话行为都能被记录并可以通过会话重放观看。记录并非AVI格式—压缩文件大小，易于管理。会话重放示例使用DVR控制器，播放会话记录所有会话行为都能被命令权限管理有了强大的审计，对于企业信息安全来说还不够，毕竟审计只能起到事后追查的作用，不能防范潜在的风险于未然。

问题和挑战eGuardPost解决方案eGuardPost在会话管理的基础上，实现了系统管理员可执行命令、程序、脚本的管理，通过黑白名单，可过滤掉该次会话允许管理功能之外的未授权功能点访问，从而限制会话连接的权限范围，避免由系统管理员带来的内部安全隐患，防范潜在危险的发生。

命令权限管理有了强大的审计，对于企业信息安全来说还不命令权限管理企业需求超级用户权限管理

(SUPM)

TPAM解决方案/命令权限管理SUPM价值命令级别访问控制不能执行命令之外的行为记录所有行为

TPAM支持

PCMfor:UnixWindows其它

(近期发布版本)会话限制为单一命令模式（以计算机管理为例）其他Windows功能不可用

支持多种平台环境命令权限管理企业需求超级用户权限管理(SUPM)

T

命令管理示例通过命令权限管理