全方位IT運(yùn)維管理解決方案

全方位IT運(yùn)維管理解決方案IT運(yùn)維管理解決方案TPAM目錄為什么需要操作安全審計(jì)需要怎樣的操作安全審計(jì)TPAM統(tǒng)一管理平臺(tái)的實(shí)現(xiàn)價(jià)值總結(jié)&典型客戶為什么需要操作安全審計(jì)IT運(yùn)維現(xiàn)狀信息安全相關(guān)標(biāo)準(zhǔn)、法案IT運(yùn)維現(xiàn)狀一?多點(diǎn)登錄、分散管理服務(wù)器資源IT運(yùn)維現(xiàn)狀二第三方廠家開發(fā)人員管理人員系統(tǒng)帳號(hào)?交叉異構(gòu)、帳號(hào)共享`IT運(yùn)維現(xiàn)狀三內(nèi)部用戶外部用戶資源設(shè)備權(quán)限濫用惡意訪問誤操作權(quán)力限用系統(tǒng)管理員網(wǎng)管員安全管理員軟件系統(tǒng)開發(fā)人員黑客代維廠商合作伙伴企業(yè)臨時(shí)用戶內(nèi)部用戶來自企業(yè)內(nèi)部的非法威脅高權(quán)限操作風(fēng)險(xiǎn)不透明違規(guī)操作導(dǎo)致敏感信息泄露誤操作導(dǎo)致服務(wù)異常甚至宕機(jī)來自企業(yè)外部的非法威脅操作風(fēng)險(xiǎn)不可控黑客盜用帳號(hào)實(shí)施惡意攻擊無法有效監(jiān)管操作、必要取證/舉證?人為操作風(fēng)險(xiǎn)IT運(yùn)維現(xiàn)狀總結(jié)一：公司單位的數(shù)據(jù)庫安全嗎？

二：復(fù)雜的系統(tǒng)每個(gè)人需要記住多組密碼，符合效益嗎？

三：密碼遺失了、被竊取了、不定時(shí)需要去修改密碼,無形的人力成本一再出現(xiàn).

四：公司的審核單位對系統(tǒng)管理員如何審核呢？復(fù)雜的系統(tǒng)提升審核的困難度.

五：系統(tǒng)管理員對系統(tǒng)的操作安全嗎？公司隨時(shí)審查了嗎？

六：應(yīng)用系統(tǒng)與應(yīng)用系統(tǒng)之間的通信安全嗎？應(yīng)用系統(tǒng)與數(shù)據(jù)庫之間的通信安全嗎？七：供應(yīng)商自遠(yuǎn)端進(jìn)入系統(tǒng)服務(wù)安全嗎？供應(yīng)商技術(shù)人員在服務(wù)器做了什么您清楚了嗎？八：公司系統(tǒng)內(nèi)被植入插件發(fā)現(xiàn)了嗎？

九：黑客入侵個(gè)造成企業(yè)的損失,事后檢討耗費(fèi)龐大的人力成本.ISO27001標(biāo)準(zhǔn)條款要求組織必須記錄用戶訪問、意外和信息安全事件的日志，并保留一定期限，以便為安全事件的調(diào)查和取證；條款要求組織必須記錄系統(tǒng)管理和維護(hù)人員的操作行為；條款明確要求必須保護(hù)組織的運(yùn)行記錄條款則要求信息系統(tǒng)經(jīng)理必須確保所有負(fù)責(zé)的安全過程都在正確執(zhí)行，符合安全策略和標(biāo)準(zhǔn)的要求。CC標(biāo)準(zhǔn)信息技術(shù)通用評估準(zhǔn)則（CommonCriteriaforInformationTechnologySecurityEvaluation）中，安全審計(jì)是其安全功能要求中最重要的組成部分，同時(shí)也是信息系統(tǒng)安全體系中必備的一個(gè)措施，它是評判一個(gè)系統(tǒng)是否真正安全的重要尺碼。SOX法案302節(jié)：要求行政人員證明他們公司設(shè)計(jì)和執(zhí)行了適當(dāng)?shù)目刂?，以保證所有財(cái)務(wù)報(bào)表都可靠而且付合公認(rèn)會(huì)計(jì)準(zhǔn)則(GAAP)。404節(jié)：要求所有在302節(jié)中所控制的過程都有可信的財(cái)務(wù)報(bào)表。這法令要求IT經(jīng)理對所有有關(guān)財(cái)務(wù)報(bào)表的產(chǎn)生過程負(fù)責(zé)。

信息安全相關(guān)標(biāo)準(zhǔn)、法案此外還有PCI、HIPAA、BaselII需要怎樣的操作審計(jì)操作管理統(tǒng)一化管理流程規(guī)范化操作風(fēng)險(xiǎn)最小化數(shù)據(jù)庫管理人員開發(fā)人員操作管理統(tǒng)一化

操作代維人員服務(wù)器統(tǒng)一認(rèn)證統(tǒng)一授權(quán)統(tǒng)一審計(jì)網(wǎng)絡(luò)設(shè)備?統(tǒng)一操作管理平臺(tái)理念構(gòu)建管理流程規(guī)范化1.實(shí)時(shí)監(jiān)控2.操作記錄3.操作回放4.統(tǒng)計(jì)報(bào)表1.角色劃分2.帳號(hào)管理3.密碼管理4.權(quán)限管理5.訪問控制1.帳號(hào)管理2.密碼定期自動(dòng)修改人的管理操作管理設(shè)備管理?規(guī)范管理流程的實(shí)行集中管理模式操作風(fēng)險(xiǎn)最小化你做了什么？你能做什么？你去哪？你是誰？訪問控制管理帳號(hào)授權(quán)管理

資產(chǎn)帳號(hào)管理

統(tǒng)一身份管理

?最小化操作風(fēng)險(xiǎn)來源于管理模式安全審計(jì)管理可用帳號(hào)？TPAM統(tǒng)一管理平臺(tái)的實(shí)現(xiàn)設(shè)計(jì)理念解決方案審計(jì)方向產(chǎn)品部署TPAM設(shè)計(jì)理念TPAM解決方案概述全方位IT運(yùn)維管理解決方案

(TPAM)套件一套旨在解決管理授權(quán)和授權(quán)訪問安全與合規(guī)性問題的硬軟一體機(jī)產(chǎn)品，安全、高效。兩大核心功能（組件）：PAR-密碼管理、eGuardPost-會(huì)話管理四大功能模塊：設(shè)計(jì)靈活可擴(kuò)展、靈活的購買授權(quán)方案TPAM套件PAR-密碼權(quán)限管理目前大多數(shù)企業(yè)內(nèi)部的信息系統(tǒng)管理帳戶，都是由系統(tǒng)管理員直接管理。系統(tǒng)管理員一人保管某個(gè)或某類系統(tǒng)服務(wù)器的管理帳戶和密碼，也存在多個(gè)管理員共享某一個(gè)帳戶密碼，存在諸多安全隱患。-密碼存儲(chǔ)：超級(jí)管理員密碼保存在何處最安全？-密碼分配：密碼分配給不同的管理員，安全程度由該管理員決定-密碼保管：密碼一但分配后，就存在系統(tǒng)管理員保管風(fēng)險(xiǎn)問題和挑戰(zhàn)PAR解決方案通過PAR組件，實(shí)現(xiàn)對服務(wù)器、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫等企業(yè)信息系統(tǒng)管理帳戶的接管，由PAR組件實(shí)現(xiàn)密碼安全存儲(chǔ)、密碼變更、密碼申請審批等工作，管理員需要系統(tǒng)管理時(shí)，發(fā)出密碼請求，經(jīng)批準(zhǔn)后使用密碼登陸系統(tǒng)進(jìn)行相關(guān)管理工作，結(jié)合密碼變更策略，可實(shí)現(xiàn)自動(dòng)化的動(dòng)態(tài)密碼管理。減輕超級(jí)系統(tǒng)管理員的負(fù)擔(dān)，加強(qiáng)了密碼管理安全性。

單點(diǎn)登錄管理流程點(diǎn)擊申請密碼選擇賬戶輸入申請需要密碼的日期/時(shí)間/持續(xù)時(shí)間/原因票務(wù)領(lǐng)域可選.獲取密碼點(diǎn)擊超鏈接發(fā)起申請選擇申請?jiān)蚩焖偕暾垺詣?dòng)提交默認(rèn)理由“從移動(dòng)設(shè)備申請”輸入票務(wù)號(hào)碼

(若需要）并提交獲得密碼從手持設(shè)備獲得密碼.*支持小屏幕上配置每個(gè)用戶的基礎(chǔ)。支持小屏幕-工作流程

應(yīng)用程序密碼管理為了實(shí)現(xiàn)各獨(dú)立的應(yīng)用系統(tǒng)之間的通信，企業(yè)各類業(yè)務(wù)系統(tǒng)中，一般含有數(shù)據(jù)庫、接口系統(tǒng)、其他系統(tǒng)（如：文件系統(tǒng)等）的訪問帳戶和密碼，且一般采用配置文件、硬編碼等明文形式存儲(chǔ)在業(yè)務(wù)系統(tǒng)中，存在極大的安全漏洞，極易被獲取利用，造成業(yè)務(wù)數(shù)據(jù)流失或破壞。

問題與挑戰(zhàn)PAR解決方案PAR組件提供相應(yīng)的API，只需調(diào)用API強(qiáng)大的函數(shù)庫，編寫腳本就可以實(shí)現(xiàn)PAR組件的全部密碼管理，請求等功能，支持多數(shù)主流開發(fā)語言，輕松嵌入到應(yīng)用系統(tǒng)中，替換掉原有不安全的明文配置，實(shí)現(xiàn)應(yīng)用程序密碼的動(dòng)態(tài)性，提高應(yīng)用系統(tǒng)整體安全性，同時(shí)，支持高并發(fā)，多模式（連續(xù)訪問和單次請求），滿足應(yīng)用系統(tǒng)高效性。PAR支持的平臺(tái)有：AIXAS400BoKSCheckPointSPCiscoCATOSCiscoPIXCiscoRouter（TEL）CiscoRouter（SSH）CyberGuardFortinetHPILOHPILO2HPNonstopTandemHP-UXHP-UXShadowHP-UXUntrustedIBMHMCLDPALDPASLinuxMACOSXv10.4,v10.5,v10.6MainframeMainframe（ACF2）MaiframeLDAPPACFMainframeLDAPTSMSSQLServerMySQLNetScreenNISPlusNokia-IPSONovellNDSOpenVMSOraclePaloAlto（PanOS）ProxySGSolarisStatusVOSSunALOMeGuardPost-會(huì)話權(quán)限管理合規(guī)性管理促使企業(yè)需要了解在特定授權(quán)或敏感訪問中的具體行為，然而僅僅依靠系統(tǒng)日志卻并不能真是有效地反應(yīng)出系統(tǒng)管理員的所有行為。這樣對系統(tǒng)管理員的審查審計(jì)就變得十分困難。同時(shí)，不同系統(tǒng)的審計(jì)信息也不利于統(tǒng)一歸檔整理，審計(jì)開銷大。

問題與挑戰(zhàn)eGuardPost解決方案eGuardPost組件提供了完整的會(huì)話管理，系統(tǒng)管理員通過eGuardPost作為代理間接和目標(biāo)系統(tǒng)建立連接，在有效會(huì)話周期內(nèi)，整個(gè)會(huì)話過程均會(huì)以壓縮加密的影像文件記錄，可實(shí)時(shí)查看、回放查看、強(qiáng)制手動(dòng)終止會(huì)話等強(qiáng)大功能。加上常規(guī)日志記錄，滿足系統(tǒng)統(tǒng)一監(jiān)管、審計(jì)管理的需求。企業(yè)需求用戶角色訪問控制

TPAM解決方案/會(huì)話權(quán)限管理用戶控制點(diǎn)基于角色限制資源全面控制連接雙重授權(quán)控制會(huì)話時(shí)間限制會(huì)話超限報(bào)警通知手動(dòng)終止會(huì)話選項(xiàng)出色的會(huì)話審計(jì)審計(jì)/記錄所有連接請求、批準(zhǔn)完整會(huì)話記錄，DVR重放

連接管控

會(huì)話審計(jì)eGuardPost-會(huì)話權(quán)限管理企業(yè)需求強(qiáng)大的審計(jì)功能TPAM套件/權(quán)限會(huì)話管理出色的會(huì)話審計(jì)審計(jì)/記錄所有連接請求、批準(zhǔn)完整會(huì)話記錄，DVR重放DVR格式重放控制完整會(huì)話記錄與所有行為重放eGuardPost-會(huì)話權(quán)限管理會(huì)話請求示例顯示出選擇的系統(tǒng)和帳號(hào)用戶連接并執(zhí)行所需工作會(huì)話配置為交互式或自動(dòng)登錄

在目標(biāo)系統(tǒng)上的每次活動(dòng)都會(huì)被記錄（擊鍵、鼠標(biāo)、連接等）如果用戶會(huì)話超時(shí)，系統(tǒng)就會(huì)發(fā)送一個(gè)警報(bào)通知授權(quán)管理員可以手動(dòng)終止活動(dòng)會(huì)話。會(huì)話重放示例使用DVR控制器，播放會(huì)話記錄所有會(huì)話行為都能被記錄并可以通過會(huì)話重放觀看。記錄并非AVI格式—壓縮文件大小，易于管理。命令權(quán)限管理有了強(qiáng)大的審計(jì)，對于企業(yè)信息安全來說還不夠，畢竟審計(jì)只能起到事后追查的作用，不能防范潛在的風(fēng)險(xiǎn)于未然。

問題和挑戰(zhàn)eGuardPost解決方案eGuardPost在會(huì)話管理的基礎(chǔ)上，實(shí)現(xiàn)了系統(tǒng)管理員可執(zhí)行命令、程序、腳本的管理，通過黑白名單，可過濾掉該次會(huì)話允許管理功能之外的未授權(quán)功能點(diǎn)訪問，從而限制會(huì)話連接的權(quán)限范圍，避免由系統(tǒng)管理員帶來的內(nèi)部安全隱患，防范潛在危險(xiǎn)的發(fā)生。

命令權(quán)限管理企業(yè)需求超級(jí)用戶權(quán)限管理

(SUPM)

TPAM解決方案/命令權(quán)限管理SUPM價(jià)值命令級(jí)別訪問控制不能執(zhí)行命令之外的行為記錄所有行為

TPAM支持

PCMfor:UnixWindows其它

(近期發(fā)布版本)會(huì)話限制為單一命令模式（以計(jì)算機(jī)管理為例）其他Windows功能不可用

支持多種平臺(tái)環(huán)境

命令管理示例通過命令權(quán)限管理工具增加命令。通過命權(quán)令限管理會(huì)話轉(zhuǎn)到后端目標(biāo)/賬戶(Windowsa3/e22egp），用戶會(huì)話就會(huì)建立，用戶就會(huì)被放置到特殊“命令”中。該處以“計(jì)算機(jī)管理”為例。其他目標(biāo)命令、菜單等的訪問不被允許使用。且會(huì)話將只能在特定命令容器（該處以“計(jì)算機(jī)管理”為例）中有效。會(huì)話會(huì)隨用戶退出命令而終止。

限制命令會(huì)話示例產(chǎn)品部署－邏輯網(wǎng)關(guān)WindowsHP_UnixAIXLinuxSolaris安全設(shè)備網(wǎng)絡(luò)設(shè)備存儲(chǔ)設(shè)備外網(wǎng)用戶內(nèi)網(wǎng)用戶TPAMPSM安全審計(jì)管理TPAM部署優(yōu)勢:1.不加裝任何客戶端代理2.不加裝任何服務(wù)器端引擎3.不影響任何網(wǎng)絡(luò)拓?fù)?.不影響任何業(yè)務(wù)數(shù)據(jù)流5.數(shù)據(jù)分流，數(shù)據(jù)標(biāo)簽化6.支持雙機(jī)熱備7.支持集中管理分級(jí)部署Telnet、SSHRDP、X11、VNCFTP、SFTP、SCPHttp、Https各類數(shù)據(jù)庫客戶端etc二級(jí)單位-1二級(jí)單位-2二級(jí)單位-3一級(jí)單位集中管理分散部署示意圖TPAM典型應(yīng)用－分級(jí)審計(jì)管理DPADPADPA價(jià)值效益&典型客戶價(jià)值效益典型客戶TPAM特點(diǎn)與效益

硬軟一體、穩(wěn)定性高易于部署、操作簡單模塊設(shè)計(jì)可靈活擴(kuò)展獨(dú)一無二的會(huì)話權(quán)限管理功能模塊完整記錄會(huì)話行為并支持重放獨(dú)一無二的命令權(quán)限管理功能模塊約束超級(jí)用戶權(quán)限，降低風(fēng)險(xiǎn)支持手持式設(shè)備，如手機(jī)、PDA等企業(yè)整合力強(qiáng)，跨平臺(tái)支持最佳合規(guī)性解決方案最佳密碼管理解決方案TPAM