全方位IT运维管理解决方案

1、,全方位IT运维管理解决方案 TPAM,目 录,为什么需要操作安全审计,IT运维现状 信息安全相关标准、法案,IT运维现状一,多点登录、分散管理,服务器资源,IT运维现状二,第三方厂家,开发人员,管理人员,系统帐号,交叉异构、帐号共享,IT运维现状三,内部用户,外部用户,资源设备,权限滥用,恶意访问,误操作,权力限用,系统管理员 网管员 安全管理员 软件系统开发人员,黑客 代维厂商 合作伙伴 企业临时用户,内部用户,来自企业内部的非法威胁 高权限操作风险不透明 违规操作导致敏感信息泄露 误操作导致服务异常甚至宕机,来自企业外部的非法威胁 操作风险不可控 黑客盗用帐号实施恶意攻击 无法有效监管操

2、作、必要取证/举证,人为操作风险,IT运维现状总结,一：公司单位的数据库安全吗？ 二：复杂的系统每个人需要记住多组密码，符合效益吗？ 三：密码遗失了、被窃取了、不定时需要去修改密码,无形的人力成本一再出现. 四：公司的审核单位对系统管理员如何审核呢？复杂的系统提升审核的困难度. 五：系统管理员对系统的操作安全吗？公司随时审查了吗？ 六：应用系统与应用系统之间的通信安全吗？应用系统与数据库之间的通信安全吗？ 七：供应商自远端进入系统服务安全吗？供应商技术人员在服务器做了什么您清楚了吗？ 八：公司系统内被植入插件发现了吗？ 九：黑客入侵个造成企业的损失,事后检讨耗费庞大的人力成本.,ISO2700

3、1标准,条款A10.10.1要求组织必须记录用户访问、意外和信息安全事件的日志，并保留一定期限，以便为安全事件的调查和取证； 条款A10.10.4要求组织必须记录系统管理和维护人员的操作行为； 条款A15.1.3明确要求必须保护组织的运行记录 条款A15.2.1则要求信息系统经理必须确保所有负责的安全过程都在正确执行，符合安全策略和标准的要求。,CC标准,信息技术通用评估准则 （ Common Criteria for Information Technology Security Evaluation）中，安全审计是其安全功能要求中最重要的组成部分，同时也是信息系统安全体系中必备的一个措施，

4、它是评判一个系统是否真正安全的重要尺码。,SOX法案,302节：要求行政人员证明他们公司设计和执行了适当的控制，以保证所有财务报表都可靠而且付合公认会计准则(GAAP)。 404节：要求所有在302节中所控制的过程都有可信的财务报表。这法令要求IT经理对所有有关财务报表的产生过程负责。,信息安全相关标准、法案,此外还有PCI、HIPAA、Basel II,需要怎样的操作审计,操作管理统一化 管理流程规范化 操作风险最小化,操作管理统一化,操作,统一认证,统一授权,统一审计,统一操作管理平台理念构建,管理流程规范化,规范管理流程的实行,集 中 管 理 模 式,操作风险最小化,你做了什么？,你能做

5、什么？,你去哪？,你是谁？,访问控制管理,帐号授权管理,资产帐号管理,统一身份管理,最小化操作风险来源于管理模式,可用帐号？,TPAM统一管理平台的实现,设计理念 解决方案 审计方向 产品部署,TPAM设计理念,TPAM解决方案概述,全方位IT运维管理解决方案 (TPAM) 套件 一套旨在解决管理授权和授权访问安全与合规性问题的硬软一体机产品，安全、高效。 两大核心功能（组件）：PAR-密码管理、eGuardPost-会话管理 四大功能模块：设计灵活可扩展、灵活的购买授权方案,TPAM套件,PAR-密码权限管理,目前大多数企业内部的信息系统管理帐户，都是由系统管理员直接管理。系统管理员一人保管

6、某个或某类系统服务器的管理帐户和密码，也存在多个管理员共享某一个帐户密码，存在诸多安全隐患。 - 密码存储：超级管理员密码保存在何处最安全？ - 密码分配：密码分配给不同的管理员，安全程度由该管理员决定 - 密码保管：密码一但分配后，就存在系统管理员保管风险,问题和挑战,PAR解决方案,通过PAR组件，实现对服务器、网络设备、数据库等企业信息系统管理帐户的接管，由PAR组件实现密码安全存储、密码变更、密码申请审批等工作，管理员需要系统管理时，发出密码请求，经批准后使用密码登陆系统进行相关管理工作，结合密码变更策略，可实现自动化的动态密码管理。减轻超级系统管理员的负担，加强了密码管理安全性。,单

7、点登录管理流程,点击申请密码,选择账户,获取密码,点击超链接发起申请,输入票务号码 (若需要）并提交获得密码,从手持设备获得密码.,* 支持小屏幕上配置每个用户的基础。,支持小屏幕-工作流程,应用程序密码管理,为了实现各独立的应用系统之间的通信，企业各类业务系统中，一般含有数据库、接口系统、其他系统（如：文件系统等）的访问帐户和密码，且一般采用配置文件、硬编码等明文形式存储在业务系统中，存在极大的安全漏洞，极易被获取利用，造成业务数据流失或破坏。,问题与挑战,PAR解决方案,PAR组件提供相应的API，只需调用API强大的函数库，编写脚本就可以实现PAR组件的全部密码管理，请求等功能，支持多数

8、主流开发语言，轻松嵌入到应用系统中，替换掉原有不安全的明文配置，实现应用程序密码的动态性，提高应用系统整体安全性，同时，支持高并发，多模式（连续访问和单次请求），满足应用系统高效性。,PAR支持的平台有：,AIX AS400 BoKS CheckPoint SP Cisco CATOS Cisco PIX Cisco Router（TEL） Cisco Router（SSH） CyberGuard Fortinet HP ILO HP ILO2 HP Nonstop Tandem HP-UX HP-UX Shadow HP-UXUntrusted IBM HMC LDPA LDPAS,Linu

9、x MAC OSX v10.4, v10.5, v10.6 Mainframe Mainframe（ACF2） Maiframe LDAP PACF Mainframe LDAP TS MS SQL Server MySQL NetScreen NIS Plus Nokia-IPSO Novell NDS OpenVMS Oracle Palo Alto（Pan OS） ProxySG Solaris Status VOS Sun ALOM,eGuardPost-会话权限管理,合规性管理促使企业需要了解在特定授权或敏感访问中的具体行为，然而仅仅依靠系统日志却并不能真是有效地反应出系统管理员的所

10、有行为。这样对系统管理员的审查审计就变得十分困难。同时，不同系统的审计信息也不利于统一归档整理，审计开销大。,问题与挑战,eGuardPost解决方案,eGuardPost组件提供了完整的会话管理，系统管理员通过eGuardPost作为代理间接和目标系统建立连接，在有效会话周期内，整个会话过程均会以压缩加密的影像文件记录，可实时查看、回放查看、强制手动终止会话等强大功能。加上常规日志记录，满足系统统一监管、审计管理的需求。,企业需求,用户角色访问控制,TPAM 解决方案/会话权限管理,用户控制点 基于角色限制资源 全面控制连接 双重授权控制 会话时间限制 会话超限报警通知 手动终止会话选项 出

11、色的会话审计 审计/记录所有连接请求、批准 完整会话记录，DVR重放,连接管控,会话审计,eGuardPost-会话权限管理,企业需求,强大的审计功能,TPAM套件/权限会话管理,出色的会话审计 审计/记录所有连接请求、批准 完整会话记录，DVR重放,eGuardPost-会话权限管理,会话请求示例,用户连接并执行所需工作,会话配置为交互式或自动登录 在目标系统上的每次活动都会被记录（击键、鼠标、连接等） 如果用户会话超时，系统就会发送一个警报通知 授权管理员可以手动终止活动会话。,会话重放示例,所有会话行为都能被记录并可以通过会话重放观看。记录并非AVI格式压缩文件大小，易于管理。,命令权限

12、管理,有了强大的审计，对于企业信息安全来说还不够，毕竟审计只能起到事后追查的作用，不能防范潜在的风险于未然。,问题和挑战,eGuardPost解决方案,eGuardPost在会话管理的基础上，实现了系统管理员可执行命令、程序、脚本的管理，通过黑白名单，可过滤掉该次会话允许管理功能之外的未授权功能点访问，从而限制会话连接的权限范围，避免由系统管理员带来的内部安全隐患，防范潜在危险的发生。,命令权限管理,企业需求,超级用户权限管理 (SUPM),TPAM解决方案/命令权限管理,SUPM 价值 命令级别访问控制 不能执行命令之外的行为 记录所有行为 TPAM 支持 PCM for: Unix Win

13、dows 其它 (近期发布版本),支持多种平台环境,命令管理示例,通过命令权限管理工具增加命令。,通过命权令限管理会话转到后端目标/账户(Windows a3/e22egp），用户会话就会建立，用户就会被放置到特殊“命令”中。该处以“计算机管理”为例。,限制命令会话示例,产品部署逻辑网关,外网用户,内网用户,TPAM PSM 安全审计管理,TPAM,部署优势: 1.不加装任何客户端代理 2.不加装任何服务器端引擎 3.不影响任何网络拓扑 4.不影响任何业务数据流 5.数据分流，数据标签化 6.支持双机热备 7.支持集中管理分级部署,Telnet、SSH RDP、X11、VNC FTP、SFTP、SCP Http、Https 各类数据库客户端 etc,二级单位 - 1,二级单位 - 2,二级单位 - 3,一级单位,集中管理分散部署示意图,TPAM,典型应用分级审计管理,DPA,DPA,DPA,价值效益&典型客户,价值效益 典型客户,TPAM特点与效益,硬软一体、稳定性高 易于部署、操作简单 模块设计可灵活扩展 独一无二的会话权限管理功能模块完整记录 会话行为并支持重放 独一无二的命令权限管理功能模块约束超级 用户权限，降低风险 支持手持式设备，如手机、PDA等 企业整合力强，跨平台支持,最佳合规性 解决方案,最佳密码管理 解决方案,TPAM特点与效益,不再需要手动更改密码！ 不