系列统一安全认证运维审计系统主打胶片

统一安全认证和运维审计系统主打胶片主打胶片现状功能、优势客户价值案例多样性：网络复杂，管理难运维现状一资源类型多样主机系统数据库系统网络设备安全设备专用系统

OA系统财务系统人力系统业务应用系统客户服务系统内部维护人员常驻维护人员临时维护人员行政人员财务人员业务人员管理人员外部用户资源使用者多样字符方式访问图形方式访问文件方式访问WEB方式访问C/S程序访问中心访问网点访问公网访问

接入方式多样管理员帐号混合使用，身份认证不明确帐号：root帐号：root帐号：admin帐号：admin帐号：admin帐号：sa帐号：sa维护人员普通用户第三方人员运维现状二！运维现状三操作不可视，不可控，记录不可用本单位/公司运维人员/领导第三方运维人员真实性？不明确！我已经解决问题，只是做了。。。。。。确认已经解决问题运维人员应该只针对故障做的操作吧解决运维问题满足相关政策、法规要求为什么需要堡垒机数据库管理员系统管理员网络管理员业务操作员Windows服务器Unix服务器业务系统网络设备及安全设备核心资产资产使用中心各网点分支机构代维厂商多点登陆多账号、混使用、不可控8堡垒机概述数据库管理员系统管理员网络管理员业务操作员Windows服务器Linux服务器数据库服务器中心各网点分支机构代维厂商

业务系统交换机路由器防火墙多点登陆资产使用服务器群核心资产运维单点登录运维统一入口运维安全审计RG-OAS

堡垒机

政策1983年日本通产省《系统审计标准》1984年美国EDPAA协会《EDP控制目的》1996年美国ISACA协会COBIT标准2001年美国国会Sarbanes-Oxley法案(塞班斯—奥

克斯利法案)2005年公安部82号令《互联网安全保护技术措施规定》2006年公安部、国家保密局等《信息安全等级保护管理办法(试行)》2006年国家保密局《涉密信息系统分级保护技术要求》2008年财政部、证监会、银监会、保监会及审计署《企业内部控制基本规范》（中国的SOX）2009年银监会《商业银行信息科技风险管理指引》2012年国家立法《网络信息安全法》满足等保/分保三级技术要求116条中的15条物理安全物理位置选择物理访问控制防盗窃和防破坏防雷击防火防水和防潮防静电温湿度控制电力供应电磁防护网络安全结构安全和网段划分网络访问控制网络安全审计边界完整性检查网络入侵检测恶意代码防护网络设备防护主机系统安全身份鉴别安全标记访问控制可信路径安全审计剩余信息保护入侵防范恶意代码防范系统资源控制应用安全身份鉴别安全标记访问控制可信路径安全审计剩余信息保护通信完整性通信保密性抗抵赖软件容错资源控制数据安全数据完整性数据保密性备份和恢复5.等保要求萨班斯法案现状功能、优势客户价值案例|13运维用户资源堡垒机协议跳板机SSH,RDPSSO单点登录统一认证：实名制双因子、指纹组织架构：目录树角色：三权分立岗位：批量授权统一授权：（细粒度）谁能管理哪台设备安全策略审计：图形字符什么是堡垒机SR-FORT转变逻辑上将人与目标设备分离，全局唯一身份标识。集中登录入口，将传统的被动响应模式转变为主动的安全管控模式。由面及点的管理方式，让安全管理精确制导。解决思路14工作原理示意图设备中心工作区IT运维人员IT运维人员Internet身份及访问管理系统15应用模式网络设备安全设备主机资源数据库IAM运维人员其他用户非法用户x16集中管理身份管理密码管理权限管理唯一身份审计你是谁你能干什么你干了什么设备越来越多，维护人员也越来越多，我们必须对操作进行集中管理。只有集中才能够实现统一管理，也只有集中管理才能把复杂问题简单化，集中管理是运维管理思想发展的必然趋势，也是唯一的选择。集中管理包括：集中的资源访问入口、集中帐号管理、集中权限管理、集中密码管理、集中审计等等。管理目标目录树型结构设计多级层级分组多对象单组管理权限按照组节点细分目录树资源管理—独有IBM银行大型机资源密码管理密码自动改密，密码验证测试，密码复杂度设置批量单点登录22快速登录和收藏夹三维一体的审批流程管理登陆审批，授权审批，命令审批24建恒信安收藏夹，批量登陆自定义用户类型IBM大型机(银行）从目标设备抽取、推送从账号从账号批量导入同步AD域组结构支持岗位授权，岗位挂载安全策略密码回拨测试服务故障切换模块化部署NSFOCUSSAS-HNNNNNNNNNN启明星辰NNNNNNNNNN帕拉迪PLDSECSMSNNNNNNNNNN奇治YNNNNNNNYY江南科友NNNNNNNNNN思福迪NNNNNNNNNN竞争分析现状功能、优势客户价值案例|26堡垒机带来的主要价值

统一批量授权

流程化可审批集中认证

密码策略管理集中接入账号集中管理降低管理费用实名认证提高安全集中授权减轻管理压力单点登录规范第三方实名制审计、合规

账号统一管理

解决共享账号

账号锁定自动化定时改密现状功能、优势客户价值案例金融/保险/证券我们的客户（一）28运营商/企业我们的客户（二）29能源/交通我们的客户（三）30政府/医疗/教育我们的客户（四）31

中国人保财险数据中心机房有近万台运行各类业务的服务器，负责维护、管理这些系统的管理员人数约600人，其中大部分（约450人）为中国人保财险内部人员，其余为第三方厂商运维公司人员。由于缺乏相应的先进工具和手段，无法保证系统管理员严格按照规范来进行访问操作，也无法保证系统管理员的操作行为和管理报告一致。另外，由于服务器众多，导致系统管理员压力太大，人为误操作的情况时有发生。项目背景项目情况管理范围：共管理38家公司约10000个资源采购身份及访问管理系统数量：共6台，其中2台为web前置机，另外4台为单点登录审计服务器目标成果

充分利用信息化手段，以建立组织统一身份作为切入点，建设一个覆盖全局的服务于全国控制中心的综合登录控制平台。客户评价“通过这次统一用户身份管理平台建设，即考虑实际的业务运维监控需求，又符合国内国际相关标准要求，通过统一身份的基础设施建设，全面提升信息化总体效率和管理水平。32案例介绍--中国人保部署模型提供WEB访问服务，1+1模式部署提供协议代理和审计服务，4台形成负载及高可用适应大规模、集群模式部署1可动态扩展，灵活性高2

总行数据中心2009年部署了SUMP系统，随着业务的扩展，该平台已经不能满足应用的要求，需要部署新系统用户维护管理平台，并在以下方面进行提升：扩大资源管理范围，纳管图形，文件传输，数据库和中间件等。构建可扩展的部署架构，满足3年业务增长的性能要求。实现分布式部署，实现连同分行的统一管控。提升审计的能力，同时对上下行数据进行审计。优化权限管理，通过流程审批模式实现最小化授权完善统计分析，加强风险统计，防患于未然。项目背景项目情况管理范围：一期共管理总行和灾备两个数据中心及两家分行的2000台设备。资源类型及数量大致为：主机HP-Unix500台左右、Linux500台左右、Windows350台左右、Aix250台左右、数据库200套、中间件200套。二期加入其他所有分行的设备，共约3000台。采购身份及访问管理系统数量：共4台，其中2台为web服务器，另外2台为单点登录服务器目标成果建设覆盖全行的系统用户维护管理平台，规范中国光大银行IT系统操作管理，落实人员实名制，加强对主机服务器、网络设备、安全设备、数据库等系统的操作审计，规范设备使用人员操作行为，提升操作监管能力，全面提高中国光大银行IT系统管理水平。客户评价“通过新系统用户维护管理平台的建设，在功能上完全覆盖了旧SUMP平台的功能，弥补了老平台的功能缺项，规范了设备使用人员操作行为，提升了操作监管能力。且在资源管理范围、协议支持、单点登录管理、访问控制、流程管理，操作行为审计，总分管理模式等方面有较大提升，达到了预期的管理目标。案例介绍--中国光大银行提供WEB访问服务，1+1