运维安全审计系统解决方案

最新资料欢迎阅读运维安全审计系统解决方案33、1安全分析33、2建设需求54设计原则及依据64、1设计原则64、2设计依据65解决方案95、1部署拓扑示意图95、2安全实现过程105、3产品列表及性能115、3、1产品列表115、3、2产品性能参数115、4产品上线给企业带来的优势121前言作为企业的IT技术主管，经常会被一些问题所困扰，如：业务系统数量越来越多，且安全管理相对分隔，不利系统的关键配置信息登记不完善，不利于IT运维人员的能及时调用成型解决方案，对人员依赖性问题严重；IT运维人员的技能要求不管理方面的安全漏洞为主。因此加强计算机及网络内部管理和监控是保证计算机系统安全生产的重中之重，为此，各单位都采用了多种技术手段，如会话加密、数字证书、防火墙、网络基础设施的运维管理上。2运维现状目前公司内部日常运维的安全现状如下：1)难做到长期照章执行。2)窥探及易被遗忘等弱点，另外，在实际环境中还存在经常使用Root权限帐户而1最新资料欢迎阅读导致授权不方便等现象，使得管理困难，成本较高。3)安全分析及需求3、1安全分析系统口令管理复杂且存在隐患IT系统口令对IT系统的安全是非常重要的，因此随着IT系统的口令管理工作量越来越大，复杂度也越来越高。另外，在实际管理中，由于管理和使用的矛盾导致IT系统口令管理存在很多安全隐患。主要表现如下：l为了满足安全管理要求，IT系统一个口令，很容易知道其他系统的口令。l随着IT系统构成的复杂，在运维过程中可通过多种入口对IT系统进行维护，导致无法统一管理、设置统一安全策略等而过不同入口（如：远程、KVM、主机本身）去维护系统。l在IT系统运维过程中，存在多种管理角色，角色也同样存在多个管理员。对于这些管理员进行维护时，可能是使用IT系统存在交叉维护时的口令传递问题，容易泄露。l根据最新的统计资料，11%的安全问题导致网络无法保证可信的系统是靠系统日志方式2最新资料欢迎阅读系统日系统日志较复杂，一般审计人员根本无法解读，无法再现当时的操作场景。lIT系统的重要性和对业务系统影响越来越大，相关的法律、法规对其安全性、可持续性工作、IT操作风险以及企业内控等都有明确的要求。电网均有内审和外审来评估IT系统的安全性。目前面对这些合l但多数安全维护方面无法满足该安全要求。l目前运维管理方面，由于没有监控审计数对于运维过程存在的问题无法险。3、2建设需求金融机构对信息安全建设比较重视，处于同行业较高水平，体需求如下：1)支持日常维护人员针对AIX、Linux主机设备，主流网络设备、Windows服务器的进行的运行维护操作审计；2)可以支持针对外部厂商远程运行维护时，进行操作审计；3)审计协议支持Telnet、FTP、SSH、SFTP、RDP、VNC、HTTP、HTTPS等；4)详细的权限分配功能，可以根据时间、登录IP、目标资源等进行详细授权，并可集成公司内部AD域认证；5)支持按时间、用户名、被审计设备、命令等进行的定制报表，并可以导出Excel或PDF等格式报表；6)设备支持硬件冗余方式，并支持HA。4设计原则及依据4、1设计原则1)3最新资料欢迎阅读标准、行业标准及相关安全指南，避免安全政策风险和运行风险。2)安全目标与效率、投入之间的平衡原则要综合考虑安全目标与效率、投入大。3)标准化与一致性原则产品方面必须遵循一系列的业界标准，充分考虑不同系统之间的兼容一致性。4)动态发展原则安全建设不是一个一劳永逸的工作，而是一个长期不断完善的调整而不断升级发展。5)满足业务持续性运行要求。6)少运维成本等。《中华人民GB17859-1999计算机信息系统安全保护等级划分准则；nGB/T18336IDTISO/IEC15408:1999信息技术安全性评估准则；nISO/IEC17799-2000；nBS/7799；n《商业银行操作风险管理指引》第七条商业银行应当将加强内部控制作为操作风险管理的有效手段，与此相关的内部措施至少应当包括：冲突；密切监测遵守指定风险限额或权限的情况；对接触和使用银行资产的记录进行安全监控；n《商业银行内部控制指引》第四条商业银行内部控制应当贯彻全面、审慎、有效、独立的原则，包括：部门和岗位，并由全体人员参与，任何决策或操作均应当有案可查。第一条商业银行应当建立涵盖各项业务、全行范围的风险管理系统，开发和运用风险量化评估的方法和模型，对信用风险、市场风险、流动性风险、操作风险等各类风险进行持续的监控。4最新资料欢迎阅读第一百二二条商业银行应当建立和健全网络管理系统，有效地管理网络的安全、故障、性能、配置等，并对接入国际互联网实施有效的安全管理。第一百二四条商业银行应当对计算机信息系统的接入建立适当的授权程输入计算机信息系统的数据应当核对无误，数据的修改应当经过批准并建立日志。第一百二六条商业银行的网络设备、操作系统、数据库系统、应用程序等均应当设置必要的日志。日志应当能够满足各类内部和外部审计的需要。第一百二八条商业银行运用计算机处理业务，应当具有可复核性和可追《金融机构计算机信息系统安全保护工作暂行规定》第二五条作清单。日志信息长期保存，以备稽查。第二八条问权限，包括访问的方式和内容。5解决方案针在安全运维网段部署2台运维安全审计系统1000P，单臂部署，且工作为双机热备模式；l通过设置只允许主机、网络、安全等维护人员（行内、行外）通过运维安全审计系统访问服务器，而不允许直接访问这些关键资源；5、2安全实现过程实现过程为：1)问的后台资源；3)5最新资料欢迎阅读回放，完全再现了操作内容和行为轨迹。备注：行外人员通过防火墙检查后，经来。5、3产品列表及性能5、3、1产品列表序号名称及型号配置数量备注1运维安全审计系统1U，存储空间500G，3个100/1000Mbps电接口，最大并发会话数：500，协议支持：Telnet、SSH、FTP、SFTP、RDP、VN台双机热备2产品服务三年硬件质保，1年软件升级服务。1个产品性能参数选项运维安全审计系统备注支持协议FTP、SFTP、RDP、VNC、HTTP、HTTPS等并发数500并发用户部署模式支持单臂、串联模式部署易