IT運(yùn)維配置管理與方案書

1、IT運(yùn)維配理系統(tǒng)項(xiàng)目建議書北京中辰華創(chuàng)科技有限公司2014年7月 TOC o 1-5 h z 一、IT運(yùn)維配置管理背景3 HYPERLINK l bookmark7 o Current Document 二、IT運(yùn)維配置管理現(xiàn)狀4 HYPERLINK l bookmark23 o Current Document 三、解決方案8 HYPERLINK l bookmark25 o Current Document 四、IT運(yùn)維配置管理應(yīng)用效果10 HYPERLINK l bookmark27 o Current Document 實(shí)現(xiàn)集中帳號管理，降低管理費(fèi)用10 HYPERLINK l boo

2、kmark29 o Current Document 實(shí)現(xiàn)集中身份認(rèn)證和訪問控制，避免冒名訪問，提高訪問安全性10 HYPERLINK l bookmark32 o Current Document 實(shí)現(xiàn)集中授權(quán)管理，簡化授權(quán)流程，減輕管理壓力11 HYPERLINK l bookmark34 o Current Document 實(shí)現(xiàn)單點(diǎn)登錄，規(guī)范操作過程，簡化操作流程11 HYPERLINK l bookmark36 o Current Document 實(shí)現(xiàn)實(shí)名運(yùn)維審計(jì)，滿足安全規(guī)范要求12 HYPERLINK l bookmark38 o Current Document 五、總結(jié)12

3、一、IT運(yùn)維配置一、IT運(yùn)維配置理背景隨著各行業(yè)業(yè)務(wù)的迅速發(fā)展，各種經(jīng)營支撐系統(tǒng)不斷增加，網(wǎng)絡(luò)規(guī)模迅速擴(kuò) 大，支撐系統(tǒng)中有大量的網(wǎng)絡(luò)設(shè)備、主機(jī)和數(shù)據(jù)庫等IT系統(tǒng)，它們分別屬于不 同的部門和不同的業(yè)務(wù)系統(tǒng)。目前各IT系統(tǒng)都有一套獨(dú)立的用戶管理、認(rèn)證、 授權(quán)和審計(jì)機(jī)制，由相應(yīng)的管理員負(fù)責(zé)維護(hù)和管理。當(dāng)維護(hù)人員同時(shí)對多個(gè)系統(tǒng) 進(jìn)行維護(hù)時(shí)，設(shè)備的權(quán)限管理復(fù)雜度會成倍增加，經(jīng)常出現(xiàn)共享帳號，弱口令帳 號，授權(quán)不清，訪問控制不嚴(yán)，操作審計(jì)不全等問題，降低了核心設(shè)備和關(guān)鍵設(shè) 備的安全性，給單位或組織的生產(chǎn)和運(yùn)營帶來巨大風(fēng)險(xiǎn)。原有的由各個(gè)系統(tǒng)分散的進(jìn)行用戶、認(rèn)證、權(quán)限、審計(jì)的管理模式造成了在 業(yè)務(wù)管理和安全之

4、間的失衡，已經(jīng)成為業(yè)務(wù)發(fā)展的瓶頸之一，不能滿足單位目前 及未來業(yè)務(wù)發(fā)展的要求。IT運(yùn)維配置管理系統(tǒng)針對單位內(nèi)部的網(wǎng)絡(luò)設(shè)備和服務(wù)器進(jìn)行保護(hù)，對此類 資產(chǎn)的常用訪問方式進(jìn)行監(jiān)控和審計(jì)。例如對字符終端、圖形終端等訪問方式進(jìn) 行監(jiān)控和審計(jì)，實(shí)現(xiàn)對用戶運(yùn)維過程的標(biāo)準(zhǔn)化管理，滿足單位內(nèi)部網(wǎng)絡(luò)對核心資 源的訪問安全的要求。二、IT運(yùn)維配”理現(xiàn)狀目前，單位或機(jī)構(gòu)的運(yùn)維管理有以下三個(gè)特點(diǎn)：關(guān)鍵的核心業(yè)務(wù)都部署于Unix和Windows服務(wù)器上應(yīng)用的復(fù)雜度決定了多種角色交叉管理。運(yùn)行維護(hù)人員更多的依賴Telnet、SSH、等防遠(yuǎn)程管理。基于這些現(xiàn)狀，在管理中存在以下突出問題：.使用共享帳號的安全隱患：單位的支撐系

5、統(tǒng)中有大量的網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng) 和應(yīng)用系統(tǒng)，分別屬于不同的部門和不同的業(yè)務(wù)系統(tǒng)。各應(yīng)用系統(tǒng)都有一套 獨(dú)立的帳號體系，用戶為了方便登陸，經(jīng)常出現(xiàn)多人共用帳號的情況。多人 同時(shí)使用一個(gè)系統(tǒng)帳號在帶來方便性的同時(shí)，導(dǎo)致用戶身份唯一性無法確定。 如果其中任何一個(gè)人離職或者將帳號告訴其他無關(guān)人員，會使這個(gè)帳號的安 全無法保證。由于共享帳號是多人共同使用，發(fā)生問題后，無法準(zhǔn)確定位惡 意操作或誤操作的責(zé)任人。更改密碼需要通知到每一個(gè)需要使用此帳號的人 員，帶來了密碼管理的復(fù)雜化。.密碼策略無法有效執(zhí)行：為了保證密碼的安全性，安全管理員制定了嚴(yán)格的 密碼策略，比如密碼要定期修改，密碼要保證足夠的長度和復(fù)雜度等

6、，但是 由于管理的機(jī)器數(shù)量和帳號數(shù)量太多，往往導(dǎo)致密碼策略的實(shí)施流于形式。.授權(quán)不清晰：各系統(tǒng)分別管理所屬的系統(tǒng)資源，為本系統(tǒng)的用戶分配權(quán)限， 無法嚴(yán)格按照最小權(quán)限原則分配權(quán)限。另外，隨著用戶數(shù)量的增加，權(quán)限管 理任務(wù)越來越重，當(dāng)維護(hù)人員同時(shí)對多個(gè)系統(tǒng)進(jìn)行維護(hù)時(shí)，工作復(fù)雜度會成 倍增加，安全性無法得到充分保證。.訪問控制策略不嚴(yán)格：目前的管理中，沒有一個(gè)清晰的訪問控制列表，無法 一目了然的看到什么用戶能夠以何種身份訪問哪些關(guān)鍵設(shè)備，同時(shí)缺少有效 的技術(shù)手段來保證訪問控制策略被有效執(zhí)行。.用戶操作無法有效審計(jì)：各系統(tǒng)獨(dú)立運(yùn)行、維護(hù)和管理，所以各系統(tǒng)的審計(jì) 也是相互獨(dú)立的。每個(gè)網(wǎng)絡(luò)設(shè)備，每個(gè)主機(jī)系

7、統(tǒng)分別進(jìn)行審計(jì)，安全事故發(fā) 生后需要排查各系統(tǒng)的日志，但是往往日志找到了，也不能最終定位到行為 人。另外各系統(tǒng)的日志記錄能力各不相同，例如對于Unix系統(tǒng)來說，日志記錄 就存在以下問題：Unix系統(tǒng)中，用戶在服務(wù)器上的操作有一個(gè)歷史命令記錄的文件，但 是用戶可以隨意更改和刪除自己的記錄；root用戶不僅僅可以修改自己的歷史記錄，還可以修改他人的歷史記 錄，系統(tǒng)本身的的歷史記錄文件已經(jīng)變的不可信；記錄的命令數(shù)量有限制；無法記錄操作人員、操作時(shí)間、操作結(jié)果等。王譏圣統(tǒng)常免居謝案疣 網(wǎng),改爸安全設(shè)備專用案統(tǒng) QA沿充王譏圣統(tǒng)常免居謝案疣 網(wǎng),改爸安全設(shè)備專用案統(tǒng) QA沿充財(cái)免系及人力察贄 dLWm用

8、系近3字片石不正in ）：-：- -： 件萬萬西可 WEE方式向可 匚，5程序訪問中，b訪問網(wǎng)點(diǎn)訪問公卜引百可資源類型多樣資源使用者多樣接入方式多樣對運(yùn)維的管理現(xiàn)狀進(jìn)行分析，造成這種不安全現(xiàn)狀的原因是多方面的，總結(jié) 起來主要有以下幾點(diǎn)。各IT系統(tǒng)獨(dú)立的帳戶管理體系造成身份管理的換亂，而身份的唯一性又恰恰是認(rèn)證、授權(quán)、審計(jì)的依據(jù)和前提，因此身份的混亂實(shí)際上造 成設(shè)備訪問的混亂。.各IT系統(tǒng)獨(dú)立管理，風(fēng)險(xiǎn)分散在各系統(tǒng)中，各個(gè)擊破困難大，這種管理方式造成業(yè)務(wù)管理和安全之間失衡。.核心服務(wù)器或設(shè)備的物理安全和臨機(jī)訪問安全通過門禁系統(tǒng)和錄像系統(tǒng)得以較好的解決，但是對他們的網(wǎng)絡(luò)訪問缺少控制或欠缺控制力度。

9、.在帳號、密碼、認(rèn)證、授權(quán)、審計(jì)等各方面缺乏有效的集中管理技術(shù)手段。多點(diǎn)登陸資產(chǎn)使用止軍用，H2.產(chǎn)?用戶管理復(fù) 、，入雜性不可避免？?資產(chǎn)安全性又；,，遼 QWinds 對?勺 25如何保證？/0 ink眼號滿業(yè)尋布配核心資產(chǎn)何唱1黜技安全船J三、解決方案針對以上問題，以解決主要問題為方向，單位迫切需要建立起一套合規(guī)、穩(wěn)定、高效的基礎(chǔ)平臺系統(tǒng)，IT運(yùn)維配置管理系統(tǒng)。將分散自治式的管理模式改 為集中的管理模式。只有集中才能夠?qū)崿F(xiàn)統(tǒng)一管理，也只有集中才能把復(fù)雜問題 簡單化，集中管理是運(yùn)維管理思想發(fā)展的必然趨勢。IT運(yùn)維配置管理系統(tǒng)為資 源提供統(tǒng)一的單點(diǎn)登錄訪問入口，在平臺上集中進(jìn)行帳號管理、授權(quán)

10、管理、認(rèn)證 管理，并通過協(xié)議代理技術(shù)實(shí)現(xiàn)資源運(yùn)維過程的審計(jì)。通過IT運(yùn)維配置管理系 統(tǒng)的建設(shè)，達(dá)到以下效果：.為用戶提供統(tǒng)一的操作和維護(hù)的人口和平臺。為集中管理各個(gè)主機(jī)、網(wǎng)絡(luò) 設(shè)備、數(shù)據(jù)庫提供了技術(shù)手段，可以集中管理、登陸各個(gè)IT系統(tǒng)，包括各種主 機(jī)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫及應(yīng)用，在未來增加新業(yè)務(wù)系統(tǒng)時(shí)也能迅速、方便的通過 該系統(tǒng)進(jìn)行發(fā)布。用戶訪問IT運(yùn)維配置管理系統(tǒng)時(shí)，系統(tǒng)為每個(gè)用戶提供自己 的操作平臺，登錄后顯示所有授權(quán)給自己的IT系統(tǒng)，通過點(diǎn)擊訪問方式單點(diǎn)登 錄到各IT系統(tǒng)完成訪問動作。.實(shí)現(xiàn)集中的賬號管理。管理員在一點(diǎn)上即可對不同系統(tǒng)中的賬號進(jìn)行管 理，由系統(tǒng)自動同步不同系統(tǒng)下的賬號；賬號創(chuàng)

11、建、分配過程均留下電子記錄， 便于審計(jì)。.實(shí)現(xiàn)集中的身份認(rèn)證。管理員不僅可以根據(jù)需要選擇不同的身份認(rèn)證方式，而且在不更改或只對應(yīng)用進(jìn)行有限更改的情況下，即可在原來只有弱身份認(rèn) 證手段的IT系統(tǒng)上，增加強(qiáng)身份認(rèn)證手段，提高系統(tǒng)安全性。通過一次登錄可 以訪問包括WEB和非WEB在內(nèi)的所有授權(quán)的IT系統(tǒng)，可以使用戶無需記憶多 種登錄過程，用戶ID和口令。它通過向客戶提供對其個(gè)性化資源的快捷訪問提高生產(chǎn)效率和利潤、降低管理開銷、提高整個(gè)系統(tǒng)的安全性。.實(shí)現(xiàn)集中訪問授權(quán)。對單位資產(chǎn)進(jìn)行有效保護(hù)，防止私自授權(quán)或權(quán)限未及時(shí)收回對單位信息資產(chǎn)造成的安全損害；實(shí)現(xiàn)基于角色的授權(quán)管理，在人員離 職、崗位變動時(shí)，只

12、需要在一處進(jìn)行更改，即可在所有納入IT運(yùn)維配置管理管 理平臺的系統(tǒng)中改變權(quán)限；可以為授權(quán)增加特定的限制如只有在規(guī)定的時(shí)間段、 來自特定地域的人員才能訪問指定的資源。.實(shí)現(xiàn)集中安全審計(jì)管理。不僅能夠?qū)θ藛T的登錄過程、登錄后進(jìn)行的操作進(jìn)行審計(jì)，而且能夠?qū)⒍鄠€(gè)主機(jī)、設(shè)備、應(yīng)用日志進(jìn)行對比分析，從中發(fā)現(xiàn)問 題。.實(shí)現(xiàn)細(xì)粒度的訪問控制。通過IT運(yùn)維配置管理實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)運(yùn)維行為管理，最大限度保護(hù)用戶資源的安全。細(xì)粒度訪問控制體現(xiàn)在命令策略，時(shí)間策略 和地址策略上，命令策略是命令的集合，可以是一組可執(zhí)行命令，也可以是一組 非可執(zhí)行的命令。、IT運(yùn)維配”理應(yīng)用效果實(shí)現(xiàn)集中帳號管理，降低管理費(fèi)用實(shí)現(xiàn)對用戶帳號的

13、統(tǒng)一管理和維護(hù)：集中帳號管理可實(shí)現(xiàn)對IT系統(tǒng)所需 的帳號基礎(chǔ)信息（包括用戶身份信息、機(jī)構(gòu)部門信息、其他公司相關(guān)信 息、，以及生命周期信息等）進(jìn)行標(biāo)準(zhǔn)化的管理，能夠?yàn)楦鱅T系統(tǒng)提供基 礎(chǔ)的用戶信息源。通過統(tǒng)一用戶信息維護(hù)入口，保證各系統(tǒng)的用戶帳號 信息的唯一性和同步更新。解決用戶帳號共享問題：主機(jī)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備中存在大量的共享帳 號，當(dāng)發(fā)生安全事故時(shí)，難于確定帳號的實(shí)際使用者，通過部署IT運(yùn)維 配置管理系統(tǒng)，可以解決共享帳號問題。解決帳號鎖定問題：用戶登錄失敗五次，應(yīng)對帳號進(jìn)行鎖定。網(wǎng)絡(luò)設(shè)備、 主機(jī)、應(yīng)用系統(tǒng)等大都不支持帳號鎖定功能。通過部署IT運(yùn)維配置管理 系統(tǒng)，可以實(shí)現(xiàn)用戶帳號鎖定、一鍵

14、刪除等功能。實(shí)現(xiàn)集中身份認(rèn)證和訪問控制，避免冒名訪問，提高訪問安全性提供集中身份認(rèn)證服務(wù)：實(shí)現(xiàn)用戶訪問IT系統(tǒng)的認(rèn)證入口集中化和統(tǒng)一 化，并實(shí)現(xiàn)高強(qiáng)度的認(rèn)證方式，使整個(gè)IT系統(tǒng)的登錄和認(rèn)證行為可控制 及可管理，從而提升業(yè)務(wù)連續(xù)性和系統(tǒng)安全性。實(shí)現(xiàn)用戶密碼管理，滿足SOX法案內(nèi)控管理的要求：燈運(yùn)維配置管理系統(tǒng)通過建設(shè)集中的認(rèn)證系統(tǒng)，并結(jié)合集中帳號管理的相關(guān)功能，實(shí)現(xiàn) 用戶密碼管理，密碼自動變更，提高系統(tǒng)認(rèn)證的安全性。實(shí)現(xiàn)對用戶的統(tǒng)一接入訪問控制功能：部署IT運(yùn)維配置管理系統(tǒng)前，維 護(hù)人員接入IT系統(tǒng)進(jìn)行維護(hù)操作具有接入方式多樣、接入點(diǎn)分散的特 點(diǎn)。而維護(hù)人員中很多是代維人員，這些代維人員來自于各

15、集成商或設(shè)備供應(yīng)商，人員參差不齊，流動性大。由于維護(hù)人員對系統(tǒng)擁有過大權(quán) 限，缺乏對其進(jìn)行訪問控制和行為審計(jì)的手段，存在極大的安全隱患。IT運(yùn)維配置管理系統(tǒng)統(tǒng)一維護(hù)人員訪問系統(tǒng)和設(shè)備的入口，提供訪問控制功能，有效的解決運(yùn)維人員的操作問題，降低相關(guān)IT系統(tǒng)的安全風(fēng)險(xiǎn)。實(shí)現(xiàn)集中授權(quán)管理，簡化授權(quán)流程，減輕管理壓力實(shí)現(xiàn)統(tǒng)一的授權(quán)管理：各應(yīng)用系統(tǒng)分別管理所屬的資源，并為本系統(tǒng)的 用戶分配權(quán)限/T運(yùn)維配置管理系統(tǒng)實(shí)現(xiàn)統(tǒng)一的授權(quán)管理，對所有被管 應(yīng)用系統(tǒng)的授權(quán)信息進(jìn)行標(biāo)準(zhǔn)化的管理，減輕管理員的管理工作，提升 系統(tǒng)安全性。授權(quán)流程化管理：通過IT運(yùn)維配置管理系統(tǒng)，管理層可容易地對用戶權(quán) 限進(jìn)行審查，并確保用

16、戶的權(quán)限中不能有不兼容職責(zé)，用戶只能擁有與 身份相符的權(quán)限，授權(quán)也有相應(yīng)的工作流審批。實(shí)現(xiàn)單點(diǎn)登錄，規(guī)范操作過程，簡化操作流程單點(diǎn)登錄：用戶通過一次登錄系統(tǒng)后，無需認(rèn)證的訪問包括被授權(quán)的多 種基于B/S和C/S的應(yīng)用系統(tǒng)。單點(diǎn)登錄為具有多帳號的用戶提供了方 便快捷的訪問途經(jīng)，使用戶無需記憶多種登錄用戶ID和口令。它通過向 用戶和客戶提供對其個(gè)性化資源的快捷訪問來提高生產(chǎn)效率。同時(shí)，單點(diǎn)登錄可以實(shí)現(xiàn)與用戶授權(quán)管理的無縫連接，這樣可以通過對用戶、角 色、行為和資源的授權(quán)，增加對資源的保護(hù)，和對用戶行為的監(jiān)控及審 計(jì)。規(guī)范操作流程：規(guī)范操作人員和第三方代維廠商的操作行為。所有系統(tǒng) 管理人員，第三方系

17、統(tǒng)維護(hù)人員，都必須通過IT運(yùn)維配置管理系統(tǒng)來實(shí) 施網(wǎng)絡(luò)管理和服務(wù)器維護(hù)。對所有操作行為做到可控制、可審計(jì)、可追 蹤。審計(jì)人員定期對維護(hù)人員的操作進(jìn)行審計(jì)，以提高維護(hù)人員的操作 規(guī)范性。實(shí)現(xiàn)實(shí)名運(yùn)維審計(jì)，滿足安全規(guī)范要求實(shí)現(xiàn)集中的日志審計(jì)功能：各應(yīng)用系統(tǒng)相互獨(dú)立的日志審計(jì)，無法進(jìn)行 綜合日志分析，很難通過日志審計(jì)發(fā)現(xiàn)異?；蜻`規(guī)行為。IT運(yùn)維配置管 理系統(tǒng)提供集中的日志審計(jì)，能關(guān)聯(lián)用戶的操作行為，對非法登錄和非 法操作快速發(fā)現(xiàn)、分析、定位和響應(yīng)，為安全審計(jì)和追蹤提供依據(jù)。輔助審查：通過集中的日志審計(jì)，可以收集用戶訪問網(wǎng)絡(luò)設(shè)備、主機(jī)、 數(shù)據(jù)庫的操作日志記錄，并對日志記錄需要定期進(jìn)行審查，滿足內(nèi)部控 制規(guī)范中關(guān)于日志審計(jì)的需求，真正實(shí)現(xiàn)關(guān)聯(lián)到自然人的日志審計(jì)。五、總結(jié)單位內(nèi)部網(wǎng)絡(luò)安全存在諸多的問題，每種問題都不可小視，對于這些問題， 單位內(nèi)部應(yīng)該規(guī)范管理，應(yīng)該使用更為先進(jìn)的IT技術(shù)手段、技術(shù)工具來幫助管 理員進(jìn)行規(guī)范化管理，這樣才能夠保證單位內(nèi)部網(wǎng)絡(luò)的安全性。IT運(yùn)維配置管理系統(tǒng)使得單位內(nèi)部網(wǎng)絡(luò)的管理合理化、安全化、專業(yè)化和規(guī)范化，充分保障單 位網(wǎng)絡(luò)資源和信息資源的安全。北京中辰華創(chuàng)科技有限公司成立于2010年，注冊資金500萬元，公司 辦公地