帕拉迪-运维安全管理解决方案(堡垒机).ppt

帕拉迪运维操作审计解决方案 Content 统一运维审计方案 IT运维面临的问题 应用场景 案例分享 3 4 IT运维的现状和风险 人员管理风险 资产管理风险 访问控制风险 运维管理风险 合规性风险 业务连续性是IT运维的基本要求 多种接入方式 分散管理多种协议运维方式共享账号问题权限控制操作行为无法审计 网络设备主机设备数据库设备应用系统 数据丢失 服务异常 责任失控 法规遵从 法规遵从 法规遵从 堡垒机在信息安全等级保护中的探究与应用 随着信息安全等级保护制度的开展和普及 金融 电力 运营商 医疗 教育及政府机构等开始参与并落实制度的执行 国务院法规和中央文件明确规定 要实行信息安全等级保护 重点保护基础信息网络和关系国家安全 经济命脉 社会稳定等方面的重要信息系统 抓紧建立信息安全等级保护制度 具体是哪些标准 哪些条款成为推动堡垒主机落地的驱动力 信息系统等级保护安全设计技术要求 GBT25070 2010 信息系统安全等级保护基本要求 GBT22239 2008 1 身份鉴别2 自主访问控制3 标记和强制访控制4 系统安全审计5 用户数据完整性保护 用户数据保密性保护 客体安全重用 程序可信执行保护6 堡垒机从设计到功能完全符合等级保护安全设计三级要求 对于目前定级的二 三级系统完全适用 成为通过信息安全等级保护设计和测评不可或缺的重要安全防护系统 物理安全 网络安全 主机安全 应用安全 数据安全以及管理安全 Content 统一运维审计方案 IT运维面临的问题 应用场景 案例分享 3 4 统一运维审计解决方案 操作管理 统一运维审计解决方案 最小化操作风险来源于管理模式 管理模式 你做了什么 操作审计 你能做什么 权限控制 你能去哪 访问控制 统一运维审计解决方案 RDP X11 VNC Telnet SSH FTP SFTP HTTP HTTPS Oracle DB2 Sybase SQLServer Avocent DSR HP SAM IBM SMIT Linux Setup RDP磁盘通道 剪贴板 AS400 其他应用终端 Informix DSVIEW RARITAN 安全设备 网络设备 主机设备 数据库服务器 应用系统几乎覆盖了所有主流厂商的设备和系统 统一运维审计解决方案 堡垒机行业发展历程 帕拉迪堡垒机竞争优势 业界最全面运维协议支持 业界最全面可靠的账号管理 字符运维 图形运维 文件传输 KVM 应用发布等完整覆盖 带内 带外运维统一管理 业界唯一同时支持Avocent Raritan ATEN等主流KVMOverIP业界唯一支持移动运维 迎合BYOD的移动办公 移动运维的趋势 账号密码托管代填 能够实现对字符运维 图形运维 文件传输 KVM 应用发布等协议和应用的账号密码代填功能 覆盖最全面 实现对Linux Unix Windows服务器 网络设备的密码定期自动修改 最细粒度审计 审计结果完整可靠 图形智能识别模块OCR 实现图形操作内容的文字识别和录像关联 快速定位 虚拟应用发布的完整支持 remoteapp 并实现应用细粒度授权和完整审计 业内唯一 审计录像采用数据流回放技术 空闲操作 无屏幕变化 日志无增长 节省了日志空间 系统安全性和可靠性 领域开创并实现国际化 中英文双语支持 并通过国际安全红线认证 可进行全球化销售双机热备和集群模式的完整支持 可实现配置和审计日志实时同步 保证系统高可靠性 身份认证提供了自带USB KEY证书认证 提供了强身份认证的安全保障 Content 统一运维审计方案 IT运维面临的问题 应用场景 案例分享 3 4 应用场景 共享账号责任认定 移动办公 合作伙伴 运维外包 Internet 内部运维人员 核心业务服务器 Root帐号 Micke Hz yang Dw wang Echo 部署前 所有人员包括移动办公人员 合作伙伴 运维外包人员 内部运维人员共同使用root帐号直接登录核心业务服务器进行各种操作 当核心业务数据被非法修改 或是执行了其他非法命令等 在现有环境上很难定位到人 无法进行责任的认定和故障分析 应用场景 第三方运维管理 合作伙伴 运维外包 核心业务服务器 Root帐号 Hz yang Dw wang 创建帐号 授权控制内部管理人员为其创建临时帐号 授予完成维护需要的最小化权限 对高危操作命令进行控制和告警 保留所有运维操作过程对该阶段的运维操作进行全部记录并保存 作为审计的依据 内部人员还可以实时对其进行监控 发现有违规操作 可以立即进行阻断 Internet 业务系统运维需求业务系统的维护 更新升级 故障处理需要合作伙伴或是运维外包人员登录系统进行各种操作 应用场景 实时安全监控 操作界面 监控界面 应用场景 合规遵循 报表定制开发根据用户的所在的行业 进行报表的定制开发支持 满足用户所在行业对合规性的需求 操作原始日志保存了全年的包括内部人员 合作伙伴 外包代维人员对核心业务服务器运维的原始操作日志 第三方审计机构 Eg 银监会 证监会 保监会 审计局 公安部等级保护监督检查等 Content 统一运维审计方案 IT运维面临的问题 应用场景 案例分享 3 4 案例 华润集团案例介绍 华润集团随着维护集中化水平不断提高以及快速处理故障的需要 维护人员和第三方人员采用多种方式接入通信网 业务网及各支撑系统 由于缺乏有效的控制手段 新的接入方式 特别是通过IP网络远程维护 在提高维护工作效率的同时 也引入较大的安全风险 为解决安全运维管理的问题 迫切需要建立一个统一的安全管理和综合审计平台 PLDUTMSMS作为各支撑系统维护的统一接入点 对维护操作进行集中管理 管理人员可以对支撑系统的用户和资源进行集中管理 集中授权 集中控制和集中审计 从技术上保证业务支撑系统安全策略的实施 保障业务支撑系统安全 高效的运行 上线时间 2011年12月 项目规模 一期双机热备 二期扩容为集群模式 总共管理设备1500 人员200 运维状态 运维人员 网管 系统管理员 代维厂商 为了提供高稳定服务 系统采用集群部署 集中管理 功能模块 字符终端审计 图形终端审计 数据库运维审计 B S运维审计 平安集团案例介绍 平安保险 全称为中国平安保险 集团 股份有限公司 是中国第一家以保险为核心的 融证券 信托 银行 资产管理 企业年金等多元金融业务为一体的综合金融服务集团 公司成立于1988年 总部位于深圳 需求 商业银行内部控制指引 企业内部控制基本规范 上线时间 2013年2月 项目规模 分两地部署 深圳总部和上海容灾 总部3000资产纳入管理 容灾1000资产纳入管理 涉及人员数300 部署形态 深圳总部采用集群部署 容灾机房采用双机热备部署 功能模块 字符终端审计 图形终端审计 文件传输审计 应用发布平台 河南省国家税务局案例介绍 河南省国家税务局是河南省主管国家税收工作的职能部门 为正厅级全职能局 对全省国税系统实行垂直领导 河南省国家税务局需要遵循 计算机等级保护 条例要求第3级别 内容包括对操作行为行管控和审计 为解决河南省国税系统安全管理的上述问题 迫切需要建立一个统一的安全管理平台 使得系统和安全管理人员可以对支撑系统的用户和各种资源进行集中管理 集中权限分配 集中审计 从技术上保证业务支撑系统安全策略的实施 保障业务支撑系统安全 高效的运行 需求 信息安全等级保护基本要求 对系统维护工作人员 第三方厂商维护人员进行安全审计 确保他们的维护工作在透明的 可审计 风