保旺达一体化内控内审系统

保旺达一体化内控内审系统演示文稿目前一页\总数五十七页\编于十八点优选保旺达一体化内控内审系统目前二页\总数五十七页\编于十八点议题公司介绍1解决方案3产品功能4项目背景2成功案例5目前三页\总数五十七页\编于十八点公司简介公司成立于2002年,国内最早从事信息安全产品研发、销售、集成的企业之一，也国内领先的信息安全专业厂商及服务供应商。公司总在职员工300人：研发团队205人，技术工程师50人公司在北京、上海设有分公司，在四川、江西、陕西等省、市设立分支机构。目前四页\总数五十七页\编于十八点公司资质江苏省软件企业江苏省高新技术企业ISO9000:2001质量体系认证ISO27001:2005信息安全管理体系认证国家涉密计算机信息系统集成资质乙级国家信息安全服务资质一级国家计算机信息系统集成资质二级软件能力成熟度（CMMI）三级目前五页\总数五十七页\编于十八点4A成功案例电信运营商江苏移动－业务支撑系统、信息化部江苏电信－业务支撑系统江苏联通－信息化部青海移动-信息化部安徽联通-信息化部、产品创新部中联通总部-产品创新部其他行业中电十四所江苏省地税目前六页\总数五十七页\编于十八点议题公司介绍1解决方案3产品功能4项目背景2成功案例5目前七页\总数五十七页\编于十八点什么是4A帐号管理（Account）建立统一的主账号系统管理业务系统及相关设备的从账号系统主从账号关联认证管理（Authentication）选择多种强身份认证系统账号实名制登录和单点登入子系统授权管理(Authorization)统一、多级分配权限实现三权分立安全审计(Audit)日志收集归并分析维护操作行为审计目前八页\总数五十七页\编于十八点为什么需要4A解决账号孤岛问题各业务系统身份认证相互独立，每个用户需要记忆多套用户名/口令，用户名和实际用户无法有效对应一方面主机、数据库、网络设备、安全设备中存在大量的孤立账号，另一方面账号公用的问题十分突出，现有审计系统无法定位实际的操作人员解决审计孤岛问题业务系统、主机、数据库、网络设备、安全设备、用户终端都会产生海量日志某一安全事件可能导致各类设备产品上百万条不同的告警信息，对网管人员会造成误导，延长解决问题的周期现有的网管和SOC只能判断网络及设备本身的问题，对于应用级的故障无法审计目前九页\总数五十七页\编于十八点为什么需要4A解决信息泄密问题第三方的开发人员、代维人员拥有过高的权限操作行为无法监控，误操作会导致业务系统的宕机一条查询语句可能造成大量的客户信息被泄密通过孤立账号可以轻松地从事非法活动通过4A系统可以实现用户实名制登录，从应用层快速定位各类安全故障并提出最优解决方案，发现并删除孤立账号，对第三方人员的维护行为全面跟踪，及时发现并阻止各类违规操作，从而保证用户业务系统的安全目前十页\总数五十七页\编于十八点4A在安全体系中的位置4A目前十一页\总数五十七页\编于十八点BWDaICA框架体系目前十二页\总数五十七页\编于十八点结合中移动4A要求升级为BWDaSICV3.02008结合SOX法案要求升级为BWDaSICV2.02007保旺达安全内控系统（BWDaSIC）2006保旺达分级网关系统V3.0成功运用于江苏移动BOSS移2005发布保旺达分级网关系统V1.0，成功解决军工单位安全内控问题2003结合中国电信CTG-MBOSS安全规范要求升级为BWDaSICV4.020092009开发历程一体化内控内审系统(BWDaICA)20092011目前十三页\总数五十七页\编于十八点议题公司介绍1解决方案3产品功能4项目背景2成功案例5目前十四页\总数五十七页\编于十八点普通员工人员安全分层开发人员代维人员管理员业务系统目前十五页\总数五十七页\编于十八点终端接入流程强身份认证终端合规检查权限分发单点登录日志审计目前十六页\总数五十七页\编于十八点4A门户网站目前十七页\总数五十七页\编于十八点系统维护接入流程终端用户……接入平台PLSQLSQLPLUSSECURECRTLOTUS……应用程序授权设备实体授权SelectUpdate清单细粒度目前十八页\总数五十七页\编于十八点授权-统一开发和代维管理软件PS:可根据用户需求增加目前十九页\总数五十七页\编于十八点命令阻断功能目前二十页\总数五十七页\编于十八点议题产品功能4信息防护4.6审计管理4.5授权管理4.4认证管理4.3账号管理4.2功能总揽4.1目前二十一页\总数五十七页\编于十八点管理员管理审计接口备份管理权限管理运行管理组件管理数据采集安全接口安全报表信息预处理安全预警审计分析资源管理授权接口细粒度授权资源授权角色授权角色管理认证策略管理认证接口认证方式管理认证枢纽数字证书管理主账号管理账号接口密码管理从账号管理账号生命周期账号收集同步授权管理账号管理认证管理系统管理审计管理BWDaICA功能一览表目前二十二页\总数五十七页\编于十八点议题产品功能4信息防护4.6审计管理4.5授权管理4.4认证管理4.3账号管理4.2功能总揽4.1目前二十三页\总数五十七页\编于十八点主账号生命周期管理统一的用户审批管理流程(添加、修改、禁用、启用、删除)，制定人员兼职、调动、离职的管理机制目前二十四页\总数五十七页\编于十八点从账号管理主帐号从帐号从帐号从帐号从帐号从帐号从帐号从帐号从帐号生成方式一……通过主帐号创建，采用帐号同步机制加入现有系统，支持一键删除自然人主机1主机2网络数据库业务1业务2业务N……BWDaICA目前二十五页\总数五十七页\编于十八点从账号管理系统及业务帐号从帐号生成方式二通过收集、整理业务系统现有帐号，合理与主帐号关联，可及时发现孤立从帐号业务系统从账号1从账号2从账号3从账号N……主账号1主账号2主账号3主账号N……BWDaICA目前二十六页\总数五十七页\编于十八点议题产品功能4信息防护4.6审计管理4.5授权管理4.4认证管理4.3账号管理4.2功能总揽4.1目前二十七页\总数五十七页\编于十八点系统支持的认证模式静态口令动态口令数字证书USBKEY动态令牌生物识别目前二十八页\总数五十七页\编于十八点认证方式比较认证方式实现方案优点缺点动态口令手机短信成本低，安全性高延时，可能无法收到短信动态令牌安全性高、没有延时成本高、令牌丢失、令牌故障生物识别指纹仪、视膜仪安全性高、使用简便成本高、设备故障数字证书成本低、使用简便安全性一般USB-KEY硬件数字证书成本低、使用简便、安全性高目前二十九页\总数五十七页\编于十八点议题产品功能4信息防护4.6审计管理4.5授权管理4.4认证管理4.3账号管理4.2功能总揽4.1目前三十页\总数五十七页\编于十八点授权管理自然人对应主帐号帐号与岗位关联岗位与角色关联角色与资源/策略关联用户岗位角色2资源/权限用户组角色1角色3资源/权限资源/权限目前三十一页\总数五十七页\编于十八点授权同步授权管理应用程序接口BI/BOSS/MIS/OA接口程序堡垒主机标准协议接口WebServiceODBC/JDBCWeb配置Tacacs+网络设备主机数据库目前三十二页\总数五十七页\编于十八点议题产品功能4信息防护4.6审计管理4.5授权管理4.4认证管理4.3账号管理4.2功能总揽4.1目前三十三页\总数五十七页\编于十八点影响业务安全的五类安全事故目前三十四页\总数五十七页\编于十八点安全平台日志收集SYSLOG\FTP\ODBC\JDBCSYSLOG\FTP\ODBC\JDBCSYSLOG\FTP\ODBC\JDBCSYSLOG\SNMP目前三十五页\总数五十七页\编于十八点安全管控平台事件事故的鉴别流程

采集爆发类日志外部入侵类操作违规类业务用户异常访问类信息输出类全球威胁联动全球探测网络,提供联动实时威胁联动优先级划分提供用户信息\操作违规信息\数据输出信息的关联分析,进行优先级划分关联分析利用运维经验,提供关联方法,和关联规则库以及技术参数归并过滤大量运维经验对事件进行EMR分类归并

标准化与业务厂家、4A厂家、安全厂家接口开发，信息预处理处理提供更新的知识库提供处理意见事件事故目前三十六页\总数五十七页\编于十八点安全信息处理过程1、安全运行管理系统是一个专注于安全的管理系统2、以资产为核心，以风险为表征，反映资产的安全状况3、告警反映与资产相关的安全问题，分一般和严重两个级别4、以设备安全日志、配置、漏洞为分析的来源5、分析手段包括标准化、压缩、关联、审计、定损分析、风险计算服务器日志安全设备日志网络设备日志配置违规检查防病毒安全信息审计分析安全信息关联分析安全信息归并安全信息过滤安全信息标准化故障管理平台工单系统告警呈现安全信息统计引擎统计分析资产风险分析告警生成安全事件源安全事件处理安全警告安全监控目前三十七页\总数五十七页\编于十八点图形化审计与屏幕录像针对数据库维护以外的图形化操作，如IE、防火墙客户端等客户登录堡垒主机时自动启动屏幕录像进程采用图片时间矢量技术，压缩大量录像所占的硬盘空间根据主账号、登录时间、维护工具、当前窗口名称、键盘命令等关键字段进行检索目前三十八页\总数五十七页\编于十八点屏幕录像播放截图存储位置包含主账号、主机IP、录像日期等信息播放窗口检索窗口检索窗口“淘宝”检索“删除文件”窗口文字输入检索“taobao”文字输入检索“安全”目前三十九页\总数五十七页\编于十八点报表输出支持TXT、EXCEL、WORD、PDF等多种格式目前四十页\总数五十七页\编于十八点议题产品功能4信息防护4.6审计管理4.5授权管理4.4认证管理4.3账号管理4.2功能总揽4.1目前四十一页\总数五十七页\编于十八点信息保护解决方案利用一定规则扫描数据库，发现敏感信息保存在数据库的具体位置（哪个表的哪个字段）；2.通过堡垒主机细粒度授权功能，限制代维人员对含有敏感信息的字段的访问，如果确实需要访问，必须由室经理进行二次授权；3.当用户将敏感信息从数据库拷贝到堡垒主机时，系统及时发现并自动定义该信息的安全级别；4.通过堡垒主机用户环境WEB页面可以查看到可供下载的数据文件，如果该数据文件不包含敏感信息，可以任意下载；如果该数据文件包含敏感信息，就根据数据文件的安全级别授权（可以下载、二次授权下载、不可下载）目前四十二页\总数五十七页\编于十八点数据库扫描数据库扫描目前四十三页\总数五十七页\编于十八点电信行业扫描策略44类别子类内容检测技术和规则类型客户基本资料集团客户资料集团客户负责人信息、联系人信息、单位成员个人基本信息、业务合同、银行扣费账户、集团客户编号、集团客户名称、所在省市、所在行业、集团签约时间、集团协议到期时间关键字检测文档“指纹”个人客户资料客户姓名、证件类型、证件号码、证件影印件、客户手机终端信息、客户职业、工作单位、居住地址、联系地址、联系电话、银行扣费账户、客户编号、年龄、性别、归属市县营业厅、兴趣爱好、邮寄信息、大客户标识正则表达式，如手机号，身份证等结构化数据“指纹”各类特殊名单黑名单、白名单、红名单黑白名单客户通信信息详单包括语音、短信、彩信和GPRS详单等，内含主叫号码、主叫位置、被叫号码、开始通信时间、时长、流量、金额等信息正则表达式，如手机号，身份证等结构化数据“指纹”账单每月出账的固定费用、通信费用、数据费用、代收费用正则表达式，如手机号，身份证等结构化数据“指纹”客户当前位置信息精确位置信息(如小区代码、基站号、基站经纬度坐标等)；大致位置信息(如地区代码等)正则表达式，如小区代码、基站号等结构化数据“指纹”客户消费信息停开机、入网时间、在网时间、积分、预存款、信用等级、信用额度、缴费情况、付费方式正则表达式，如手机号，身份证等结构化数据“指纹”基本业务订购关系品牌、套餐情况定制情况关键字检测结构化数据“指纹”增值业务（含数据业务）订购关系移动邮箱、飞信、号簿管家、来显、彩铃、手机钱包等增值业务的注册、修改、注销正则表达式，如手机号，身份证等结构化数据“指纹”增值业务信息移动邮箱地址、飞信号、手机钱包余额、交易历史记录结构化数据“指纹”目前四十四页\总数五十七页\编于十八点信息防泄密与二次授权禁止应用系统后台数据库、主机的数据直接下载到维护终端根据信息重要程度，可分5个安全等级安全级别内部人员权限第三方人员权限一级查询、下载查询、下载二级查询、下载查询、二次授权后下载三级查询、二次授权后下载二次授权后查询和下载四级二次授权后查询和下载二次授权后查询，禁止下载五级二次授权后查询，禁止下载禁止查询及下载目前四十五页\总数五十七页\编于十八点数据库敏感信息汇总表IP地址数据库名称表名字段名安全级别40masterViewLacoladdress440MasterSecTar2…………………………IP地址：敏感信息所在服务器的地址数据库名称：含有敏感信息所在的数据库表名：含有敏感信息表的名称字段名：敏感信息所在的字段安全级别：根据字段含有敏感信息的关键字的种类、安全级别、关键字出现频率等综合评估出该字段的安全级别，为堡垒机细粒度授权提供依据目前四十六页\总数五十七页\编于十八点查询受限用户访问含有敏感信息字段时，根据权限访问受限目前四十七页\总数五十七页\编于十八点查询二次授权审计及审批目前四十八页\总数五十七页\编于十八点主机敏感信息汇总表账号文件名称安全级别是否可下载test1aaa.Doc3二次授权Test1Abc.jpg4不可下载Test2Wang.exe2可以下载Test3One.txt5不可下载账号：用户登录堡垒主机的账户，每个用户从数据库下载的文档都存在堡垒主机的Profile中文件名称：文件名称是指该文件的最终名称，用户可能将文件改名、压缩,文件可以是WORD意外的其他格式安全级别：根据字段含有敏感信息的关键字的种类、安全级别、关键字出现频率等综合评估出该字段的安全级别，为下载到用户终端授权提供依据是否可下载：针对信息的安全级别、账号的安全级别自动划分目前四十九页\总数五十七页\编于十八点下载受限目前五十页\总数五十七页\编于十八点下载二次授权审计及审批用户必须填写正确的理由，提交相关领导确认后才能下载该数据目前五十一页\总数五十七页\编于十八点议题公司介绍1解决方案3产品介绍4项目背景2成功案例5目前五十二页\总数五十七页\编于十八点项目概况名称：中国电信江苏公司安全运营管理平台规模：主账号2000用户，统一安全维护网关并发500用户项目内容具体措施安全管理体系建立人员组织体系、安全运营管理制度、安全培训制度等。集中用户管理统一部署SSLVPN建立企业级的安全用户目录管理：省公司、本地网、第三方合作厂商将全省运维管理用户纳入安全平台统一管理，实现维护数据管控。实现集中的帐号管理、认证、授权、登录和操作行为审计，实现安全门户的一站式单点登录。统一访问授权统一身份认证集中安全审计实现业务支撑系统关键资源全量日志收集海量日志的智能分析、过滤安全知识库，安全事件自动告警符合SOX要求的审计报表网络主机终端应用安全建立网络主机终端应用基础设施，补丁管理、漏洞扫描、防病毒管理文档安全通过DLP(数据泄露防护)与DRM(数字版权管理)相结合的方式对企业敏感机密文档设置权限保护，解决信息泄密目前五十三页\总数五十七页\编于十八点项目实施安全管理平台建设应用级资源4A建设

2011.3

-2011.4

实现系统级资源的账号管理、统一认证、授权控制和集中审计；完善系统级账号数据安全管理2011.2

–2011.3建立安全运营管理平台系统级资源4A建设目前五十四页\总数五十七页\编于十八点安全管理集中化身份、账号、权限管理相互独立、难以规范：身份孤岛、彼此独立、命名不规范，自成一体。人员众多、复杂：公司领导，管理员，维护人员等系统众多：主机，数据库，网络设备，安全设备等安全平台1、在平台上实现所有系统的账号、权限集中管理2、统一、规范的人员身份集中管理；3、降低人员管理、账号管理、权限管理的复杂度平台上线前：众多系统的人员类型多、构成复杂，权限分散不易控制，关键资源的安全性没