版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)
文檔簡介
1、,全方位IT運維管理解決方案 TPAM,目 錄,為什么需要操作安全審計,IT運維現(xiàn)狀 信息安全相關(guān)標(biāo)準(zhǔn)、法案,IT運維現(xiàn)狀一,多點登錄、分散管理,服務(wù)器資源,IT運維現(xiàn)狀二,第三方廠家,開發(fā)人員,管理人員,系統(tǒng)帳號,交叉異構(gòu)、帳號共享,IT運維現(xiàn)狀三,內(nèi)部用戶,外部用戶,資源設(shè)備,權(quán)限濫用,惡意訪問,誤操作,權(quán)力限用,系統(tǒng)管理員 網(wǎng)管員 安全管理員 軟件系統(tǒng)開發(fā)人員,黑客 代維廠商 合作伙伴 企業(yè)臨時用戶,內(nèi)部用戶,來自企業(yè)內(nèi)部的非法威脅 高權(quán)限操作風(fēng)險不透明 違規(guī)操作導(dǎo)致敏感信息泄露 誤操作導(dǎo)致服務(wù)異常甚至宕機(jī),來自企業(yè)外部的非法威脅 操作風(fēng)險不可控 黑客盜用帳號實施惡意攻擊 無法有效監(jiān)管操
2、作、必要取證/舉證,人為操作風(fēng)險,IT運維現(xiàn)狀總結(jié),一:公司單位的數(shù)據(jù)庫安全嗎? 二:復(fù)雜的系統(tǒng)每個人需要記住多組密碼,符合效益嗎? 三:密碼遺失了、被竊取了、不定時需要去修改密碼,無形的人力成本一再出現(xiàn). 四:公司的審核單位對系統(tǒng)管理員如何審核呢?復(fù)雜的系統(tǒng)提升審核的困難度. 五:系統(tǒng)管理員對系統(tǒng)的操作安全嗎?公司隨時審查了嗎? 六:應(yīng)用系統(tǒng)與應(yīng)用系統(tǒng)之間的通信安全嗎?應(yīng)用系統(tǒng)與數(shù)據(jù)庫之間的通信安全嗎? 七:供應(yīng)商自遠(yuǎn)端進(jìn)入系統(tǒng)服務(wù)安全嗎?供應(yīng)商技術(shù)人員在服務(wù)器做了什么您清楚了嗎? 八:公司系統(tǒng)內(nèi)被植入插件發(fā)現(xiàn)了嗎? 九:黑客入侵個造成企業(yè)的損失,事后檢討耗費龐大的人力成本.,ISO2700
3、1標(biāo)準(zhǔn),條款A(yù)10.10.1要求組織必須記錄用戶訪問、意外和信息安全事件的日志,并保留一定期限,以便為安全事件的調(diào)查和取證; 條款A(yù)10.10.4要求組織必須記錄系統(tǒng)管理和維護(hù)人員的操作行為; 條款A(yù)15.1.3明確要求必須保護(hù)組織的運行記錄 條款A(yù)15.2.1則要求信息系統(tǒng)經(jīng)理必須確保所有負(fù)責(zé)的安全過程都在正確執(zhí)行,符合安全策略和標(biāo)準(zhǔn)的要求。,CC標(biāo)準(zhǔn),信息技術(shù)通用評估準(zhǔn)則 ( Common Criteria for Information Technology Security Evaluation)中,安全審計是其安全功能要求中最重要的組成部分,同時也是信息系統(tǒng)安全體系中必備的一個措施,
4、它是評判一個系統(tǒng)是否真正安全的重要尺碼。,SOX法案,302節(jié):要求行政人員證明他們公司設(shè)計和執(zhí)行了適當(dāng)?shù)目刂?,以保證所有財務(wù)報表都可靠而且付合公認(rèn)會計準(zhǔn)則(GAAP)。 404節(jié):要求所有在302節(jié)中所控制的過程都有可信的財務(wù)報表。這法令要求IT經(jīng)理對所有有關(guān)財務(wù)報表的產(chǎn)生過程負(fù)責(zé)。,信息安全相關(guān)標(biāo)準(zhǔn)、法案,此外還有PCI、HIPAA、Basel II,需要怎樣的操作審計,操作管理統(tǒng)一化 管理流程規(guī)范化 操作風(fēng)險最小化,操作管理統(tǒng)一化,操作,統(tǒng)一認(rèn)證,統(tǒng)一授權(quán),統(tǒng)一審計,統(tǒng)一操作管理平臺理念構(gòu)建,管理流程規(guī)范化,規(guī)范管理流程的實行,集 中 管 理 模 式,操作風(fēng)險最小化,你做了什么?,你能做
5、什么?,你去哪?,你是誰?,訪問控制管理,帳號授權(quán)管理,資產(chǎn)帳號管理,統(tǒng)一身份管理,最小化操作風(fēng)險來源于管理模式,可用帳號?,TPAM統(tǒng)一管理平臺的實現(xiàn),設(shè)計理念 解決方案 審計方向 產(chǎn)品部署,TPAM設(shè)計理念,TPAM解決方案概述,全方位IT運維管理解決方案 (TPAM) 套件 一套旨在解決管理授權(quán)和授權(quán)訪問安全與合規(guī)性問題的硬軟一體機(jī)產(chǎn)品,安全、高效。 兩大核心功能(組件):PAR-密碼管理、eGuardPost-會話管理 四大功能模塊:設(shè)計靈活可擴(kuò)展、靈活的購買授權(quán)方案,TPAM套件,PAR-密碼權(quán)限管理,目前大多數(shù)企業(yè)內(nèi)部的信息系統(tǒng)管理帳戶,都是由系統(tǒng)管理員直接管理。系統(tǒng)管理員一人保管
6、某個或某類系統(tǒng)服務(wù)器的管理帳戶和密碼,也存在多個管理員共享某一個帳戶密碼,存在諸多安全隱患。 - 密碼存儲:超級管理員密碼保存在何處最安全? - 密碼分配:密碼分配給不同的管理員,安全程度由該管理員決定 - 密碼保管:密碼一但分配后,就存在系統(tǒng)管理員保管風(fēng)險,問題和挑戰(zhàn),PAR解決方案,通過PAR組件,實現(xiàn)對服務(wù)器、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫等企業(yè)信息系統(tǒng)管理帳戶的接管,由PAR組件實現(xiàn)密碼安全存儲、密碼變更、密碼申請審批等工作,管理員需要系統(tǒng)管理時,發(fā)出密碼請求,經(jīng)批準(zhǔn)后使用密碼登陸系統(tǒng)進(jìn)行相關(guān)管理工作,結(jié)合密碼變更策略,可實現(xiàn)自動化的動態(tài)密碼管理。減輕超級系統(tǒng)管理員的負(fù)擔(dān),加強(qiáng)了密碼管理安全性。,單
7、點登錄管理流程,點擊申請密碼,選擇賬戶,獲取密碼,點擊超鏈接發(fā)起申請,輸入票務(wù)號碼 (若需要)并提交獲得密碼,從手持設(shè)備獲得密碼.,* 支持小屏幕上配置每個用戶的基礎(chǔ)。,支持小屏幕-工作流程,應(yīng)用程序密碼管理,為了實現(xiàn)各獨立的應(yīng)用系統(tǒng)之間的通信,企業(yè)各類業(yè)務(wù)系統(tǒng)中,一般含有數(shù)據(jù)庫、接口系統(tǒng)、其他系統(tǒng)(如:文件系統(tǒng)等)的訪問帳戶和密碼,且一般采用配置文件、硬編碼等明文形式存儲在業(yè)務(wù)系統(tǒng)中,存在極大的安全漏洞,極易被獲取利用,造成業(yè)務(wù)數(shù)據(jù)流失或破壞。,問題與挑戰(zhàn),PAR解決方案,PAR組件提供相應(yīng)的API,只需調(diào)用API強(qiáng)大的函數(shù)庫,編寫腳本就可以實現(xiàn)PAR組件的全部密碼管理,請求等功能,支持多數(shù)
8、主流開發(fā)語言,輕松嵌入到應(yīng)用系統(tǒng)中,替換掉原有不安全的明文配置,實現(xiàn)應(yīng)用程序密碼的動態(tài)性,提高應(yīng)用系統(tǒng)整體安全性,同時,支持高并發(fā),多模式(連續(xù)訪問和單次請求),滿足應(yīng)用系統(tǒng)高效性。,PAR支持的平臺有:,AIX AS400 BoKS CheckPoint SP Cisco CATOS Cisco PIX Cisco Router(TEL) Cisco Router(SSH) CyberGuard Fortinet HP ILO HP ILO2 HP Nonstop Tandem HP-UX HP-UX Shadow HP-UXUntrusted IBM HMC LDPA LDPAS,Linu
9、x MAC OSX v10.4, v10.5, v10.6 Mainframe Mainframe(ACF2) Maiframe LDAP PACF Mainframe LDAP TS MS SQL Server MySQL NetScreen NIS Plus Nokia-IPSO Novell NDS OpenVMS Oracle Palo Alto(Pan OS) ProxySG Solaris Status VOS Sun ALOM,eGuardPost-會話權(quán)限管理,合規(guī)性管理促使企業(yè)需要了解在特定授權(quán)或敏感訪問中的具體行為,然而僅僅依靠系統(tǒng)日志卻并不能真是有效地反應(yīng)出系統(tǒng)管理員的所
10、有行為。這樣對系統(tǒng)管理員的審查審計就變得十分困難。同時,不同系統(tǒng)的審計信息也不利于統(tǒng)一歸檔整理,審計開銷大。,問題與挑戰(zhàn),eGuardPost解決方案,eGuardPost組件提供了完整的會話管理,系統(tǒng)管理員通過eGuardPost作為代理間接和目標(biāo)系統(tǒng)建立連接,在有效會話周期內(nèi),整個會話過程均會以壓縮加密的影像文件記錄,可實時查看、回放查看、強(qiáng)制手動終止會話等強(qiáng)大功能。加上常規(guī)日志記錄,滿足系統(tǒng)統(tǒng)一監(jiān)管、審計管理的需求。,企業(yè)需求,用戶角色訪問控制,TPAM 解決方案/會話權(quán)限管理,用戶控制點 基于角色限制資源 全面控制連接 雙重授權(quán)控制 會話時間限制 會話超限報警通知 手動終止會話選項 出
11、色的會話審計 審計/記錄所有連接請求、批準(zhǔn) 完整會話記錄,DVR重放,連接管控,會話審計,eGuardPost-會話權(quán)限管理,企業(yè)需求,強(qiáng)大的審計功能,TPAM套件/權(quán)限會話管理,出色的會話審計 審計/記錄所有連接請求、批準(zhǔn) 完整會話記錄,DVR重放,eGuardPost-會話權(quán)限管理,會話請求示例,用戶連接并執(zhí)行所需工作,會話配置為交互式或自動登錄 在目標(biāo)系統(tǒng)上的每次活動都會被記錄(擊鍵、鼠標(biāo)、連接等) 如果用戶會話超時,系統(tǒng)就會發(fā)送一個警報通知 授權(quán)管理員可以手動終止活動會話。,會話重放示例,所有會話行為都能被記錄并可以通過會話重放觀看。記錄并非AVI格式壓縮文件大小,易于管理。,命令權(quán)限
12、管理,有了強(qiáng)大的審計,對于企業(yè)信息安全來說還不夠,畢竟審計只能起到事后追查的作用,不能防范潛在的風(fēng)險于未然。,問題和挑戰(zhàn),eGuardPost解決方案,eGuardPost在會話管理的基礎(chǔ)上,實現(xiàn)了系統(tǒng)管理員可執(zhí)行命令、程序、腳本的管理,通過黑白名單,可過濾掉該次會話允許管理功能之外的未授權(quán)功能點訪問,從而限制會話連接的權(quán)限范圍,避免由系統(tǒng)管理員帶來的內(nèi)部安全隱患,防范潛在危險的發(fā)生。,命令權(quán)限管理,企業(yè)需求,超級用戶權(quán)限管理 (SUPM),TPAM解決方案/命令權(quán)限管理,SUPM 價值 命令級別訪問控制 不能執(zhí)行命令之外的行為 記錄所有行為 TPAM 支持 PCM for: Unix Win
13、dows 其它 (近期發(fā)布版本),支持多種平臺環(huán)境,命令管理示例,通過命令權(quán)限管理工具增加命令。,通過命權(quán)令限管理會話轉(zhuǎn)到后端目標(biāo)/賬戶(Windows a3/e22egp),用戶會話就會建立,用戶就會被放置到特殊“命令”中。該處以“計算機(jī)管理”為例。,限制命令會話示例,產(chǎn)品部署邏輯網(wǎng)關(guān),外網(wǎng)用戶,內(nèi)網(wǎng)用戶,TPAM PSM 安全審計管理,TPAM,部署優(yōu)勢: 1.不加裝任何客戶端代理 2.不加裝任何服務(wù)器端引擎 3.不影響任何網(wǎng)絡(luò)拓?fù)?4.不影響任何業(yè)務(wù)數(shù)據(jù)流 5.數(shù)據(jù)分流,數(shù)據(jù)標(biāo)簽化 6.支持雙機(jī)熱備 7.支持集中管理分級部署,Telnet、SSH RDP、X11、VNC FTP、SFTP、SCP Http、Https 各類數(shù)據(jù)庫客戶端 etc,二級單位 - 1,二級單位 - 2,二級單位 - 3,一級單位,集中管理分散部署示意圖,TPAM,典型應(yīng)用分級審計管理,DPA,DPA,DPA,價值效益&典型客戶,價值效益 典型客戶,TPAM特點與效益,硬軟一體、穩(wěn)定性高 易于部署、操作簡單 模塊設(shè)計可靈活擴(kuò)展 獨一無二的會話權(quán)限管理功能模塊完整記錄 會話行為并支持重放 獨一無二的命令權(quán)限管理功能模塊約束超級 用戶權(quán)限,降低風(fēng)險 支持手持式設(shè)備,如手機(jī)、PDA等 企業(yè)整合力強(qiáng),跨平臺支持,最佳合規(guī)性 解決方案,最佳密碼管理 解決方案,TPAM特點與效益,不再需要手動更改密碼! 不
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- JJF(陜) 082-2022 積分球光色綜合測試系統(tǒng)校準(zhǔn)規(guī)范
- 跨界合作助力品牌發(fā)展計劃
- 社會治理背景下保安工作的創(chuàng)新實踐計劃
- 社交媒體的職業(yè)生涯路徑計劃
- 年度工作計劃的可視化呈現(xiàn)方式
- 社區(qū)服務(wù)與社會責(zé)任教育計劃
- 衛(wèi)浴柜類相關(guān)行業(yè)投資方案
- TFT-LCD用偏光片相關(guān)項目投資計劃書
- 雨水收集利用實施方案計劃
- 貨運保險合同三篇
- 2024年銷售年終個人總結(jié)
- 2024年度師德師風(fēng)工作計劃
- 工程質(zhì)量管理制度
- 初中音樂教師個人成長專業(yè)發(fā)展計劃
- GB/T 44705-2024道路運輸液體危險貨物罐式車輛罐體清洗要求
- 護(hù)理類醫(yī)療設(shè)備采購 投標(biāo)方案(技術(shù)方案)
- 2024年法律職業(yè)資格考試主觀題試卷及答案指導(dǎo)
- 員工合同勞動合同范例
- 老年髖部骨折患者圍術(shù)期下肢深靜脈血栓基礎(chǔ)預(yù)防專家共識(2024版)解讀 課件
- 口腔連鎖機(jī)構(gòu)店長聘用協(xié)議
- 南京工業(yè)大學(xué)《大地測量學(xué)基礎(chǔ)》2023-2024學(xué)年第一學(xué)期期末試卷
評論
0/150
提交評論