帕拉迪-運維安全管理解決方案(堡壘機)

1、HANGZHOU PALLADIUM NETWORK TECHNOLOGY Co., LTD帕拉迪運維操作審計解決方案Content統(tǒng)一運維審計方案統(tǒng)一運維審計方案ITIT運維面臨的問題運維面臨的問題12應用場景應用場景案例分享案例分享ITIT運維的現(xiàn)狀和風險運維的現(xiàn)狀和風險人員管理風險資產(chǎn)管理風險訪問控制風險運維管理風險合規(guī)性風險業(yè)務連續(xù)性是IT運維的基本要求多種接入方式、分散管理多種協(xié)議運維方式共享賬號問題權(quán)限控制操作行為無法審計網(wǎng)絡(luò)設(shè)備主機設(shè)備數(shù)據(jù)庫設(shè)備應用系統(tǒng)法規(guī)遵從法規(guī)遵從信息安全等級保護記錄網(wǎng)絡(luò)設(shè)備用戶行為日志用戶身份標識/鑒別用戶角色/分配權(quán)限服務器操作系統(tǒng)審計數(shù)據(jù)庫審計7.1.

2、3節(jié)：要求對用戶進行身份標識和鑒別，根據(jù)用戶的角色分配權(quán)限，實現(xiàn)權(quán)限分離，僅授予用戶所需的最小權(quán)限；對主機的審計應覆蓋到服務器操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)；7.1.2節(jié)&7.1.3節(jié)：審計記錄應包括事件的日期、時間、類型、主體標識、客體標識和結(jié)果等；要求對日志進行分析，并生成審計報表等。SOX法案302節(jié)：要求行政人員證明他們公司設(shè)計和執(zhí)行了適當?shù)目刂疲员ＷC所有財務報表都可靠而且付合公認會計準則(GAAP)。404節(jié)：要求所有在302節(jié)中所控制的過程都有可信的財務報表。這法令要求IT經(jīng)理對所有有關(guān)財務報表的產(chǎn)生過程負責。 ISO27001標準條款A10.10.1要求組織必須記錄用戶訪問、意外和信息安

3、全事件的日志，并保留一定期限，以便為安全事件的調(diào)查和取證；條款A10.10.4要求組織必須記錄系統(tǒng)管理和維護人員的操作行為； 條款A15.1.3明確要求必須保護組織的運行記錄條款A15.2.1則要求信息系統(tǒng)經(jīng)理必須確保所有負責的安全過程都在正確執(zhí)行，符合安全策略和標準的要求。企業(yè)內(nèi)控規(guī)范要求國內(nèi)上市公司嚴格執(zhí)行該規(guī)范要求，以加強和規(guī)范企業(yè)內(nèi)部控制、提高企業(yè)經(jīng)營管理水平和風險防范能力法規(guī)遵從法規(guī)遵從行業(yè)法規(guī)標準互聯(lián)網(wǎng)服務商互聯(lián)網(wǎng)安全保護技術(shù)措施規(guī)定（82號令）電信行業(yè)中國移動集團內(nèi)控手冊中國移動業(yè)務支撐網(wǎng)安全域劃分和邊界整合技術(shù)規(guī)范中國電信股份有限公司內(nèi)部控制手冊中國網(wǎng)通集團信息質(zhì)量問責管理若干

4、規(guī)定 中國網(wǎng)通集團內(nèi)部控制體系建設(shè)指導意見 金融保險行業(yè)銀行業(yè)金融機構(gòu)信息系統(tǒng)風險管理指引證券期貨業(yè)信息系統(tǒng)安全等級保護測評要求（試行）商業(yè)銀行合規(guī)風險管理指引中國銀行業(yè)監(jiān)督委員會辦公廳文件銀監(jiān)辦通313號保險公司內(nèi)部審計指引（試行）保險公司風險管理指引（試行）電子銀行安全評估指引（2007）電子銀行業(yè)務管理辦法（2008）期貨公司信息技術(shù)管理指引國內(nèi)上市企業(yè)深圳證券交易所上市公司內(nèi)部控制指引 上海證券交易所上市公司內(nèi)部控制指引 電力行業(yè)電力二次系統(tǒng)安全防護總體方案（2005）國家電網(wǎng)公司信息化“SG186”工程安全防護總體方案（實行）(2008)醫(yī)療行業(yè)醫(yī)療機構(gòu)信息系統(tǒng)安全等級保護基本要求法

5、規(guī)遵從法規(guī)遵從堡壘機在信息安全等級保護中的探究與應用：隨著信息安全等級保護制度的開展和普及，金融、電力、運營商、醫(yī)療、教育及政府機構(gòu)等開始參與并落實制度的執(zhí)行。國務院法規(guī)和中央文件明確規(guī)定，要實行信息安全等級保護，重點保護基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級保護制度。具體是哪些標準、哪些條款成為推動堡壘主機落地的驅(qū)動力？信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求（GBT 250702010）信息系統(tǒng)安全等級保護基本要求（GBT 22239-2008）1、身份鑒別2、自主訪問控制3、標記和強制訪控制4、系統(tǒng)安全審計5、用戶數(shù)據(jù)完整性保護、用戶數(shù)據(jù)保密性保

6、護、客體安全重用、程序可信執(zhí)行保護6、堡壘機從設(shè)計到功能完全符合等級保護安全設(shè)計三級要求，對于目前定級的二、三級系統(tǒng)完全適用，成為通過信息安全等級保護設(shè)計和測評不可或缺的重要安全防護系統(tǒng)。（物理安全、網(wǎng)絡(luò)安全、主機安全、應用安全、數(shù)據(jù)安全以及管理安全）Content統(tǒng)一運維審計方案統(tǒng)一運維審計方案ITIT運維面臨的問題運維面臨的問題12應用場景應用場景案例分享案例分享統(tǒng)一運維審計解決方案統(tǒng)一運維審計解決方案資源管理人的管理操作管理資源管理1、從賬號管理2、設(shè)備密碼定期自動修改人員管理1、主賬號管理2、密碼管理3、訪問控制4、權(quán)限控制5、認證管理操作管理1、日志記錄2、視頻記錄3、實時監(jiān)控4、操

7、作回放5、統(tǒng)計報表統(tǒng)一運維審計解決方案統(tǒng)一運維審計解決方案最小化操作風險來源于管理模式管理模式你做了什么？操作審計你能做什么？權(quán)限控制你能去哪？訪問控制你是誰？身份管理統(tǒng)一運維審計解決方案統(tǒng)一運維審計解決方案圖形圖形終端終端運維審計運維審計字符字符終端終端運維審計運維審計數(shù)據(jù)庫運維審計數(shù)據(jù)庫運維審計文件傳輸文件傳輸操作操作審計審計應用終端操作審計應用終端操作審計KVMKVM終端操作審計終端操作審計RDPX11VNCTelnetSSHFTPSFTPHTTPHTTPSOracleDB2SybaseSQL ServerAvocentDSRHPSAMIBMSMITLinuxSetupRDP磁盤通道剪貼

8、板AS400其他應用終端InformixDSVIEWRARITAN統(tǒng)一運維審計解決方案統(tǒng)一運維審計解決方案堡壘機行業(yè)發(fā)展歷程堡壘機行業(yè)發(fā)展歷程帕拉迪堡壘機競爭優(yōu)勢帕拉迪堡壘機競爭優(yōu)勢業(yè)界最全面運維協(xié)議支持業(yè)界最全面可靠的賬號管理l字符運維、圖形運維、文件傳輸、KVM、應用發(fā)布等完整覆蓋；l帶內(nèi)、帶外運維統(tǒng)一管理，業(yè)界唯一同時支持Avocent、Raritan、ATEN等主流KVM Over IPl業(yè)界唯一支持移動運維，迎合BYOD的移動辦公，移動運維的趨勢l賬號密碼托管代填，能夠?qū)崿F(xiàn)對字符運維、圖形運維、文件傳輸、KVM、應用發(fā)布等協(xié)議和應用的賬號密碼代填功能，覆蓋最全面；l實現(xiàn)對LinuxU

9、nix、Windows服務器、網(wǎng)絡(luò)設(shè)備的密碼定期自動修改最細粒度審計，審計結(jié)果完整可靠l圖形智能識別模塊OCR，實現(xiàn)圖形操作內(nèi)容的文字識別和錄像關(guān)聯(lián)，快速定位；l虛擬應用發(fā)布的完整支持（remoteapp），并實現(xiàn)應用細粒度授權(quán)和完整審計，業(yè)內(nèi)唯一；l審計錄像采用數(shù)據(jù)流回放技術(shù)，空閑操作（無屏幕變化）日志無增長，節(jié)省了日志空間系統(tǒng)安全性和可靠性l領(lǐng)域開創(chuàng)并實現(xiàn)國際化，中英文雙語支持，并通過國際安全紅線認證，可進行全球化銷售l雙機熱備和集群模式的完整支持，可實現(xiàn)配置和審計日志實時同步，保證系統(tǒng)高可靠性；l身份認證提供了自帶USB-KEY證書認證，提供了強身份認證的安全保障Content統(tǒng)一運維審

10、計方案統(tǒng)一運維審計方案ITIT運維面臨的問題運維面臨的問題12應用場景應用場景案例分享案例分享應用場景應用場景- -共享賬號責任認定共享賬號責任認定移動辦公合作伙伴運維外包Internet內(nèi)部運維人員核心業(yè)務服務器Root帳號MickeMickeHz_yangHz_yangDw_wangDw_wangEchoEcho部署前：所有人員包括移動辦公人員、合作伙伴、運維外包人員、內(nèi)部運維人員共同使用root帳號直接登錄核心業(yè)務服務器進行各種操作，當核心業(yè)務數(shù)據(jù)被非法修改，或是執(zhí)行了其他非法命令等，在現(xiàn)有環(huán)境上很難定位到人，無法進行責任的認定和故障分析。安全監(jiān)控、審計部署后：每個自然人都對應一個主帳號

11、（審計平臺帳號），登錄到核心業(yè)務服務器的從帳號root（目標主機帳號），兩個帳號存在唯一對應關(guān)系，審計人員可以很方便的從平臺中查出是誰在什么時間登錄哪臺服務器做了什么操作，產(chǎn)生什么樣的結(jié)果，很方便的實現(xiàn)責任認定和故障分析。應用場景應用場景- -第三方運維管理第三方運維管理合作伙伴運維外包核心業(yè)務服務器Root帳號Hz_yangHz_yangDw_wangDw_wang創(chuàng)建帳號，授權(quán)控制內(nèi)部管理人員為其創(chuàng)建臨時帳號，授予完成維護需要的最小化權(quán)限，對高危操作命令進行控制和告警。安全監(jiān)控、審計保留所有運維操作過程對該階段的運維操作進行全部記錄并保存，作為審計的依據(jù)，內(nèi)部人員還可以實時對其進行監(jiān)控，發(fā)

12、現(xiàn)有違規(guī)操作，可以立即進行阻斷。Internet業(yè)務系統(tǒng)運維需求業(yè)務系統(tǒng)的維護、更新升級、故障處理需要合作伙伴或是運維外包人員登錄系統(tǒng)進行各種操作。應用場景應用場景- -實時安全監(jiān)控實時安全監(jiān)控 操作界面 監(jiān)控界面發(fā)現(xiàn)異常操作行為，立即阻斷應用場景應用場景- -合規(guī)遵循合規(guī)遵循報表定制開發(fā)根據(jù)用戶的所在的行業(yè)，進行報表的定制開發(fā)支持，滿足用戶所在行業(yè)對合規(guī)性的需求。操作原始日志保存了全年的包括內(nèi)部人員、合作伙伴、外包代維人員對核心業(yè)務服務器運維的原始操作日志。第三方審計機構(gòu)（Eg:銀監(jiān)會、證監(jiān)會、保監(jiān)會、審計局、公安部等級保護監(jiān)督檢查等）Content統(tǒng)一運維審計方案統(tǒng)一運維審計方案ITIT運

13、維面臨的問題運維面臨的問題12應用場景應用場景案例分享案例分享案例案例華華潤集團案例介紹潤集團案例介紹 華潤集團隨著維護集中化水平不斷提高以及快速處理故障的需要，維護人員和第三方人員采用多種方式接入通信網(wǎng)、業(yè)務網(wǎng)及各支撐系統(tǒng)。由于缺乏有效的控制手段，新的接入方式，特別是通過IP網(wǎng)絡(luò)遠程維護，在提高維護工作效率的同時，也引入較大的安全風險。 為解決安全運維管理的問題，迫切需要建立一個統(tǒng)一的安全管理和綜合審計平臺。PLD UTM SMS作為各支撐系統(tǒng)維護的統(tǒng)一接入點，對維護操作進行集中管理；管理人員可以對支撐系統(tǒng)的用戶和資源進行集中管理、集中授權(quán)、集中控制和集中審計，從技術(shù)上保證業(yè)務支撐系統(tǒng)安全策

14、略的實施，保障業(yè)務支撐系統(tǒng)安全、高效的運行。l上線時間：2011年 12月；l項目規(guī)模：一期雙機熱備，二期擴容為集群模式，總共管理設(shè)備1500，人員200+；l運維狀態(tài)：運維人員（網(wǎng)管、系統(tǒng)管理員、代維廠商），為了提供高穩(wěn)定服務，系統(tǒng)采用集群部署，集中管理；l功能模塊：字符終端審計，圖形終端審計，數(shù)據(jù)庫運維審計， B/S運維審計平安集團案例介紹平安集團案例介紹 平安保險，全稱為中國平安保險（集團）股份有限公司，是中國第一家以保險為核心的，融證券、信托、銀行、資產(chǎn)管理、企業(yè)年金等多元金融業(yè)務為一體的綜合金融服務集團。公司成立于1988年，總部位于深圳。l需求：商業(yè)銀行內(nèi)部控制指引、企業(yè)內(nèi)部控制基

15、本規(guī)范l上線時間：2013年 2月；l項目規(guī)模：分兩地部署，深圳總部和上海容災，總部3000資產(chǎn)納入管理，容災1000資產(chǎn)納入管理，涉及人員數(shù)300；l部署形態(tài)：深圳總部采用集群部署，容災機房采用雙機熱備部署；l功能模塊：字符終端審計，圖形終端審計，文件傳輸審計，應用發(fā)布平臺。河南省國家稅務局案例河南省國家稅務局案例介紹介紹 河南省國家稅務局是河南省主管國家稅收工作的職能部門，為正廳級全職能局，對全省國稅系統(tǒng)實行垂直領(lǐng)導。河南省國家稅務局需要遵循計算機等級保護條例要求第3級別，內(nèi)容包括對操作行為行管控和審計。 為解決河南省國稅系統(tǒng)安全管理的上述問題，迫切需要建立一個統(tǒng)一的安全管理平臺，使得系統(tǒng)和安全管理人員可以對支撐系統(tǒng)的用戶和各種資源進行集中管理、集中權(quán)限分配、集中審計，從技術(shù)上保證業(yè)務支撐系統(tǒng)安全策略的實施