全方位IT运维管理解决方案PPT课件

全方位IT运维管理解决方案TPAM 目录 为什么需要操作安全审计 IT运维现状信息安全相关标准 法案 IT运维现状一 多点登录 分散管理 服务器资源 IT运维现状二 第三方厂家 开发人员 管理人员 系统帐号 交叉异构 帐号共享 IT运维现状三 内部用户 外部用户 资源设备 权限滥用 恶意访问 误操作 权力限用 系统管理员网管员安全管理员软件系统开发人员 黑客代维厂商合作伙伴企业临时用户 内部用户 来自企业内部的非法威胁高权限操作风险不透明违规操作导致敏感信息泄露误操作导致服务异常甚至宕机 来自企业外部的非法威胁操作风险不可控黑客盗用帐号实施恶意攻击无法有效监管操作 必要取证 举证 人为操作风险 IT运维现状总结 一 公司单位的数据库安全吗 二 复杂的系统每个人需要记住多组密码 符合效益吗 三 密码遗失了 被窃取了 不定时需要去修改密码 无形的人力成本一再出现 四 公司的审核单位对系统管理员如何审核呢 复杂的系统提升审核的困难度 五 系统管理员对系统的操作安全吗 公司随时审查了吗 六 应用系统与应用系统之间的通信安全吗 应用系统与数据库之间的通信安全吗 七 供应商自远端进入系统服务安全吗 供应商技术人员在服务器做了什么您清楚了吗 八 公司系统内被植入插件发现了吗 九 黑客入侵个造成企业的损失 事后检讨耗费庞大的人力成本 ISO27001标准 条款A10 10 1要求组织必须记录用户访问 意外和信息安全事件的日志 并保留一定期限 以便为安全事件的调查和取证 条款A10 10 4要求组织必须记录系统管理和维护人员的操作行为 条款A15 1 3明确要求必须保护组织的运行记录条款A15 2 1则要求信息系统经理必须确保所有负责的安全过程都在正确执行 符合安全策略和标准的要求 CC标准 信息技术通用评估准则 CommonCriteriaforInformationTechnologySecurityEvaluation 中 安全审计是其安全功能要求中最重要的组成部分 同时也是信息系统安全体系中必备的一个措施 它是评判一个系统是否真正安全的重要尺码 SOX法案 302节 要求行政人员证明他们公司设计和执行了适当的控制 以保证所有财务报表都可靠而且付合公认会计准则 GAAP 404节 要求所有在302节中所控制的过程都有可信的财务报表 这法令要求IT经理对所有有关财务报表的产生过程负责 信息安全相关标准 法案 此外还有PCI HIPAA BaselII 需要怎样的操作审计 操作管理统一化管理流程规范化操作风险最小化 操作管理统一化 操作 统一认证 统一授权 统一审计 统一操作管理平台理念构建 管理流程规范化 规范管理流程的实行 集中管理模式 操作风险最小化 你做了什么 你能做什么 你去哪 你是谁 访问控制管理 帐号授权管理 资产帐号管理 统一身份管理 最小化操作风险来源于管理模式 可用帐号 TPAM统一管理平台的实现 设计理念解决方案审计方向产品部署 TPAM设计理念 TPAM解决方案概述 全方位IT运维管理解决方案 TPAM 套件一套旨在解决管理授权和授权访问安全与合规性问题的硬软一体机产品 安全 高效 两大核心功能 组件 PAR 密码管理 eGuardPost 会话管理四大功能模块 设计灵活可扩展 灵活的购买授权方案 TPAM套件 PAR 密码权限管理 目前大多数企业内部的信息系统管理帐户 都是由系统管理员直接管理 系统管理员一人保管某个或某类系统服务器的管理帐户和密码 也存在多个管理员共享某一个帐户密码 存在诸多安全隐患 密码存储 超级管理员密码保存在何处最安全 密码分配 密码分配给不同的管理员 安全程度由该管理员决定 密码保管 密码一但分配后 就存在系统管理员保管风险 问题和挑战 PAR解决方案 通过PAR组件 实现对服务器 网络设备 数据库等企业信息系统管理帐户的接管 由PAR组件实现密码安全存储 密码变更 密码申请审批等工作 管理员需要系统管理时 发出密码请求 经批准后使用密码登陆系统进行相关管理工作 结合密码变更策略 可实现自动化的动态密码管理 减轻超级系统管理员的负担 加强了密码管理安全性 单点登录管理流程 点击申请密码 选择账户 获取密码 点击超链接发起申请 输入票务号码 若需要 并提交获得密码 从手持设备获得密码 支持小屏幕上配置每个用户的基础 支持小屏幕 工作流程 应用程序密码管理 为了实现各独立的应用系统之间的通信 企业各类业务系统中 一般含有数据库 接口系统 其他系统 如 文件系统等 的访问帐户和密码 且一般采用配置文件 硬编码等明文形式存储在业务系统中 存在极大的安全漏洞 极易被获取利用 造成业务数据流失或破坏 问题与挑战 PAR解决方案 PAR组件提供相应的API 只需调用API强大的函数库 编写脚本就可以实现PAR组件的全部密码管理 请求等功能 支持多数主流开发语言 轻松嵌入到应用系统中 替换掉原有不安全的明文配置 实现应用程序密码的动态性 提高应用系统整体安全性 同时 支持高并发 多模式 连续访问和单次请求 满足应用系统高效性 PAR支持的平台有 AIXAS400BoKSCheckPointSPCiscoCATOSCiscoPIXCiscoRouter TEL CiscoRouter SSH CyberGuardFortinetHPILOHPILO2HPNonstopTandemHP UXHP UXShadowHP UXUntrustedIBMHMCLDPALDPAS LinuxMACOSXv10 4 v10 5 v10 6MainframeMainframe ACF2 MaiframeLDAPPACFMainframeLDAPTSMSSQLServerMySQLNetScreenNISPlusNokia IPSONovellNDSOpenVMSOraclePaloAlto PanOS ProxySGSolarisStatusVOSSunALOM eGuardPost 会话权限管理 合规性管理促使企业需要了解在特定授权或敏感访问中的具体行为 然而仅仅依靠系统日志却并不能真是有效地反应出系统管理员的所有行为 这样对系统管理员的审查审计就变得十分困难 同时 不同系统的审计信息也不利于统一归档整理 审计开销大 问题与挑战 eGuardPost解决方案 eGuardPost组件提供了完整的会话管理 系统管理员通过eGuardPost作为代理间接和目标系统建立连接 在有效会话周期内 整个会话过程均会以压缩加密的影像文件记录 可实时查看 回放查看 强制手动终止会话等强大功能 加上常规日志记录 满足系统统一监管 审计管理的需求 企业需求 用户角色访问控制 TPAM解决方案 会话权限管理 用户控制点基于角色限制资源全面控制连接双重授权控制会话时间限制会话超限报警通知手动终止会话选项出色的会话审计审计 记录所有连接请求 批准完整会话记录 DVR重放 连接管控 会话审计 eGuardPost 会话权限管理 企业需求 强大的审计功能 TPAM套件 权限会话管理 出色的会话审计审计 记录所有连接请求 批准完整会话记录 DVR重放 eGuardPost 会话权限管理 会话请求示例 用户连接并执行所需工作 会话配置为交互式或自动登录在目标系统上的每次活动都会被记录 击键 鼠标 连接等 如果用户会话超时 系统就会发送一个警报通知授权管理员可以手动终止活动会话 会话重放示例 所有会话行为都能被记录并可以通过会话重放观看 记录并非AVI格式 压缩文件大小 易于管理 命令权限管理 有了强大的审计 对于企业信息安全来说还不够 毕竟审计只能起到事后追查的作用 不能防范潜在的风险于未然 问题和挑战 eGuardPost解决方案 eGuardPost在会话管理的基础上 实现了系统管理员可执行命令 程序 脚本的管理 通过黑白名单 可过滤掉该次会话允许管理功能之外的未授权功能点访问 从而限制会话连接的权限范围 避免由系统管理员带来的内部安全隐患 防范潜在危险的发生 命令权限管理 企业需求 超级用户权限管理 SUPM TPAM解决方案 命令权限管理 SUPM价值命令级别访问控制不能执行命令之外的行为记录所有行为TPAM支持PCMfor UnixWindows其它 近期发布版本 支持多种平台环境 命令管理示例 通过命令权限管理工具增加命令 通过命权令限管理会话转到后端目标 账户 Windowsa3 e22egp 用户会话就会建立 用户就会被放置到特殊 命令 中 该处以 计算机管理 为例 限制命令会话示例 产品部署 逻辑网关 外网用户 内网用户 TPAMPSM安全审计管理 TPAM 部署优势 1 不加装任何客户端代理2 不加装任何服务器端引擎3 不影响任何网络拓扑4 不影响任何业务数据流5 数据分流 数据标签化6 支持双机热备7 支持集中管理分级部署 Telnet SSHRDP X11 VNCFTP SFTP SCPHttp Https各类数据库客户端etc 二级单位 1 二级单位 2 二级单位 3 一级单位 集中管理分散部署示意图 TPAM 典型应用 分级审计管理 DPA DPA DPA 价值效益 典型客户 价值效益典型客户 TPAM特点与效益 硬软一体 稳定性高易于部署 操作简单模块设计可灵活扩展独一无二的会话权限管理功能模块完整记录会话行为并支持重放独一无二的命令权限管理功能模块约束超级用户权限 降低风险支持手持式设备 如手机 PDA等企业整合力强 跨平台支持 最佳合规性解决方案 最佳密码管理解决方案 TPAM特点与效益 不再需要手动更改密码