帕拉迪-運(yùn)維安全管理解決方案(堡壘機(jī))

1、HANGZHOU PALLADIUM NETWORK TECHNOLOGY Co., LTD帕拉迪運(yùn)維操作審計(jì)解決方案Content統(tǒng)一運(yùn)維審計(jì)方案統(tǒng)一運(yùn)維審計(jì)方案ITIT運(yùn)維面臨的問題運(yùn)維面臨的問題12應(yīng)用場(chǎng)景應(yīng)用場(chǎng)景案例分享案例分享ITIT運(yùn)維的現(xiàn)狀和風(fēng)險(xiǎn)運(yùn)維的現(xiàn)狀和風(fēng)險(xiǎn)人員管理風(fēng)險(xiǎn)資產(chǎn)管理風(fēng)險(xiǎn)訪問控制風(fēng)險(xiǎn)運(yùn)維管理風(fēng)險(xiǎn)合規(guī)性風(fēng)險(xiǎn)業(yè)務(wù)連續(xù)性是IT運(yùn)維的基本要求多種接入方式、分散管理多種協(xié)議運(yùn)維方式共享賬號(hào)問題權(quán)限控制操作行為無法審計(jì)網(wǎng)絡(luò)設(shè)備主機(jī)設(shè)備數(shù)據(jù)庫設(shè)備應(yīng)用系統(tǒng)法規(guī)遵從法規(guī)遵從信息安全等級(jí)保護(hù)記錄網(wǎng)絡(luò)設(shè)備用戶行為日志用戶身份標(biāo)識(shí)/鑒別用戶角色/分配權(quán)限服務(wù)器操作系統(tǒng)審計(jì)數(shù)據(jù)庫審計(jì)7.1.

2、3節(jié)：要求對(duì)用戶進(jìn)行身份標(biāo)識(shí)和鑒別，根據(jù)用戶的角色分配權(quán)限，實(shí)現(xiàn)權(quán)限分離，僅授予用戶所需的最小權(quán)限；對(duì)主機(jī)的審計(jì)應(yīng)覆蓋到服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)；7.1.2節(jié)&7.1.3節(jié)：審計(jì)記錄應(yīng)包括事件的日期、時(shí)間、類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等；要求對(duì)日志進(jìn)行分析，并生成審計(jì)報(bào)表等。SOX法案302節(jié)：要求行政人員證明他們公司設(shè)計(jì)和執(zhí)行了適當(dāng)?shù)目刂?，以保證所有財(cái)務(wù)報(bào)表都可靠而且付合公認(rèn)會(huì)計(jì)準(zhǔn)則(GAAP)。404節(jié)：要求所有在302節(jié)中所控制的過程都有可信的財(cái)務(wù)報(bào)表。這法令要求IT經(jīng)理對(duì)所有有關(guān)財(cái)務(wù)報(bào)表的產(chǎn)生過程負(fù)責(zé)。 ISO27001標(biāo)準(zhǔn)條款A(yù)10.10.1要求組織必須記錄用戶訪問、意外和信息安

3、全事件的日志，并保留一定期限，以便為安全事件的調(diào)查和取證；條款A(yù)10.10.4要求組織必須記錄系統(tǒng)管理和維護(hù)人員的操作行為； 條款A(yù)15.1.3明確要求必須保護(hù)組織的運(yùn)行記錄條款A(yù)15.2.1則要求信息系統(tǒng)經(jīng)理必須確保所有負(fù)責(zé)的安全過程都在正確執(zhí)行，符合安全策略和標(biāo)準(zhǔn)的要求。企業(yè)內(nèi)控規(guī)范要求國內(nèi)上市公司嚴(yán)格執(zhí)行該規(guī)范要求，以加強(qiáng)和規(guī)范企業(yè)內(nèi)部控制、提高企業(yè)經(jīng)營管理水平和風(fēng)險(xiǎn)防范能力法規(guī)遵從法規(guī)遵從行業(yè)法規(guī)標(biāo)準(zhǔn)互聯(lián)網(wǎng)服務(wù)商互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定（82號(hào)令）電信行業(yè)中國移動(dòng)集團(tuán)內(nèi)控手冊(cè)中國移動(dòng)業(yè)務(wù)支撐網(wǎng)安全域劃分和邊界整合技術(shù)規(guī)范中國電信股份有限公司內(nèi)部控制手冊(cè)中國網(wǎng)通集團(tuán)信息質(zhì)量問責(zé)管理若干

4、規(guī)定 中國網(wǎng)通集團(tuán)內(nèi)部控制體系建設(shè)指導(dǎo)意見 金融保險(xiǎn)行業(yè)銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引證券期貨業(yè)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求（試行）商業(yè)銀行合規(guī)風(fēng)險(xiǎn)管理指引中國銀行業(yè)監(jiān)督委員會(huì)辦公廳文件銀監(jiān)辦通313號(hào)保險(xiǎn)公司內(nèi)部審計(jì)指引（試行）保險(xiǎn)公司風(fēng)險(xiǎn)管理指引（試行）電子銀行安全評(píng)估指引（2007）電子銀行業(yè)務(wù)管理辦法（2008）期貨公司信息技術(shù)管理指引國內(nèi)上市企業(yè)深圳證券交易所上市公司內(nèi)部控制指引 上海證券交易所上市公司內(nèi)部控制指引 電力行業(yè)電力二次系統(tǒng)安全防護(hù)總體方案（2005）國家電網(wǎng)公司信息化“SG186”工程安全防護(hù)總體方案（實(shí)行）(2008)醫(yī)療行業(yè)醫(yī)療機(jī)構(gòu)信息系統(tǒng)安全等級(jí)保護(hù)基本要求法

5、規(guī)遵從法規(guī)遵從堡壘機(jī)在信息安全等級(jí)保護(hù)中的探究與應(yīng)用：隨著信息安全等級(jí)保護(hù)制度的開展和普及，金融、電力、運(yùn)營商、醫(yī)療、教育及政府機(jī)構(gòu)等開始參與并落實(shí)制度的執(zhí)行。國務(wù)院法規(guī)和中央文件明確規(guī)定，要實(shí)行信息安全等級(jí)保護(hù)，重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級(jí)保護(hù)制度。具體是哪些標(biāo)準(zhǔn)、哪些條款成為推動(dòng)堡壘主機(jī)落地的驅(qū)動(dòng)力？信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求（GBT 250702010）信息系統(tǒng)安全等級(jí)保護(hù)基本要求（GBT 22239-2008）1、身份鑒別2、自主訪問控制3、標(biāo)記和強(qiáng)制訪控制4、系統(tǒng)安全審計(jì)5、用戶數(shù)據(jù)完整性保護(hù)、用戶數(shù)據(jù)保密性保

6、護(hù)、客體安全重用、程序可信執(zhí)行保護(hù)6、堡壘機(jī)從設(shè)計(jì)到功能完全符合等級(jí)保護(hù)安全設(shè)計(jì)三級(jí)要求，對(duì)于目前定級(jí)的二、三級(jí)系統(tǒng)完全適用，成為通過信息安全等級(jí)保護(hù)設(shè)計(jì)和測(cè)評(píng)不可或缺的重要安全防護(hù)系統(tǒng)。（物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全以及管理安全）Content統(tǒng)一運(yùn)維審計(jì)方案統(tǒng)一運(yùn)維審計(jì)方案ITIT運(yùn)維面臨的問題運(yùn)維面臨的問題12應(yīng)用場(chǎng)景應(yīng)用場(chǎng)景案例分享案例分享統(tǒng)一運(yùn)維審計(jì)解決方案統(tǒng)一運(yùn)維審計(jì)解決方案資源管理人的管理操作管理資源管理1、從賬號(hào)管理2、設(shè)備密碼定期自動(dòng)修改人員管理1、主賬號(hào)管理2、密碼管理3、訪問控制4、權(quán)限控制5、認(rèn)證管理操作管理1、日志記錄2、視頻記錄3、實(shí)時(shí)監(jiān)控4、操

7、作回放5、統(tǒng)計(jì)報(bào)表統(tǒng)一運(yùn)維審計(jì)解決方案統(tǒng)一運(yùn)維審計(jì)解決方案最小化操作風(fēng)險(xiǎn)來源于管理模式管理模式你做了什么？操作審計(jì)你能做什么？權(quán)限控制你能去哪？訪問控制你是誰？身份管理統(tǒng)一運(yùn)維審計(jì)解決方案統(tǒng)一運(yùn)維審計(jì)解決方案圖形圖形終端終端運(yùn)維審計(jì)運(yùn)維審計(jì)字符字符終端終端運(yùn)維審計(jì)運(yùn)維審計(jì)數(shù)據(jù)庫運(yùn)維審計(jì)數(shù)據(jù)庫運(yùn)維審計(jì)文件傳輸文件傳輸操作操作審計(jì)審計(jì)應(yīng)用終端操作審計(jì)應(yīng)用終端操作審計(jì)KVMKVM終端操作審計(jì)終端操作審計(jì)RDPX11VNCTelnetSSHFTPSFTPHTTPHTTPSOracleDB2SybaseSQL ServerAvocentDSRHPSAMIBMSMITLinuxSetupRDP磁盤通道剪貼

8、板AS400其他應(yīng)用終端InformixDSVIEWRARITAN統(tǒng)一運(yùn)維審計(jì)解決方案統(tǒng)一運(yùn)維審計(jì)解決方案堡壘機(jī)行業(yè)發(fā)展歷程堡壘機(jī)行業(yè)發(fā)展歷程帕拉迪堡壘機(jī)競(jìng)爭(zhēng)優(yōu)勢(shì)帕拉迪堡壘機(jī)競(jìng)爭(zhēng)優(yōu)勢(shì)業(yè)界最全面運(yùn)維協(xié)議支持業(yè)界最全面可靠的賬號(hào)管理l字符運(yùn)維、圖形運(yùn)維、文件傳輸、KVM、應(yīng)用發(fā)布等完整覆蓋；l帶內(nèi)、帶外運(yùn)維統(tǒng)一管理，業(yè)界唯一同時(shí)支持Avocent、Raritan、ATEN等主流KVM Over IPl業(yè)界唯一支持移動(dòng)運(yùn)維，迎合BYOD的移動(dòng)辦公，移動(dòng)運(yùn)維的趨勢(shì)l賬號(hào)密碼托管代填，能夠?qū)崿F(xiàn)對(duì)字符運(yùn)維、圖形運(yùn)維、文件傳輸、KVM、應(yīng)用發(fā)布等協(xié)議和應(yīng)用的賬號(hào)密碼代填功能，覆蓋最全面；l實(shí)現(xiàn)對(duì)LinuxU

9、nix、Windows服務(wù)器、網(wǎng)絡(luò)設(shè)備的密碼定期自動(dòng)修改最細(xì)粒度審計(jì)，審計(jì)結(jié)果完整可靠l圖形智能識(shí)別模塊OCR，實(shí)現(xiàn)圖形操作內(nèi)容的文字識(shí)別和錄像關(guān)聯(lián)，快速定位；l虛擬應(yīng)用發(fā)布的完整支持（remoteapp），并實(shí)現(xiàn)應(yīng)用細(xì)粒度授權(quán)和完整審計(jì)，業(yè)內(nèi)唯一；l審計(jì)錄像采用數(shù)據(jù)流回放技術(shù)，空閑操作（無屏幕變化）日志無增長(zhǎng)，節(jié)省了日志空間系統(tǒng)安全性和可靠性l領(lǐng)域開創(chuàng)并實(shí)現(xiàn)國際化，中英文雙語支持，并通過國際安全紅線認(rèn)證，可進(jìn)行全球化銷售l雙機(jī)熱備和集群模式的完整支持，可實(shí)現(xiàn)配置和審計(jì)日志實(shí)時(shí)同步，保證系統(tǒng)高可靠性；l身份認(rèn)證提供了自帶USB-KEY證書認(rèn)證，提供了強(qiáng)身份認(rèn)證的安全保障Content統(tǒng)一運(yùn)維審

10、計(jì)方案統(tǒng)一運(yùn)維審計(jì)方案ITIT運(yùn)維面臨的問題運(yùn)維面臨的問題12應(yīng)用場(chǎng)景應(yīng)用場(chǎng)景案例分享案例分享應(yīng)用場(chǎng)景應(yīng)用場(chǎng)景- -共享賬號(hào)責(zé)任認(rèn)定共享賬號(hào)責(zé)任認(rèn)定移動(dòng)辦公合作伙伴運(yùn)維外包Internet內(nèi)部運(yùn)維人員核心業(yè)務(wù)服務(wù)器Root帳號(hào)MickeMickeHz_yangHz_yangDw_wangDw_wangEchoEcho部署前：所有人員包括移動(dòng)辦公人員、合作伙伴、運(yùn)維外包人員、內(nèi)部運(yùn)維人員共同使用root帳號(hào)直接登錄核心業(yè)務(wù)服務(wù)器進(jìn)行各種操作，當(dāng)核心業(yè)務(wù)數(shù)據(jù)被非法修改，或是執(zhí)行了其他非法命令等，在現(xiàn)有環(huán)境上很難定位到人，無法進(jìn)行責(zé)任的認(rèn)定和故障分析。安全監(jiān)控、審計(jì)部署后：每個(gè)自然人都對(duì)應(yīng)一個(gè)主帳號(hào)

11、（審計(jì)平臺(tái)帳號(hào)），登錄到核心業(yè)務(wù)服務(wù)器的從帳號(hào)root（目標(biāo)主機(jī)帳號(hào)），兩個(gè)帳號(hào)存在唯一對(duì)應(yīng)關(guān)系，審計(jì)人員可以很方便的從平臺(tái)中查出是誰在什么時(shí)間登錄哪臺(tái)服務(wù)器做了什么操作，產(chǎn)生什么樣的結(jié)果，很方便的實(shí)現(xiàn)責(zé)任認(rèn)定和故障分析。應(yīng)用場(chǎng)景應(yīng)用場(chǎng)景- -第三方運(yùn)維管理第三方運(yùn)維管理合作伙伴運(yùn)維外包核心業(yè)務(wù)服務(wù)器Root帳號(hào)Hz_yangHz_yangDw_wangDw_wang創(chuàng)建帳號(hào)，授權(quán)控制內(nèi)部管理人員為其創(chuàng)建臨時(shí)帳號(hào)，授予完成維護(hù)需要的最小化權(quán)限，對(duì)高危操作命令進(jìn)行控制和告警。安全監(jiān)控、審計(jì)保留所有運(yùn)維操作過程對(duì)該階段的運(yùn)維操作進(jìn)行全部記錄并保存，作為審計(jì)的依據(jù)，內(nèi)部人員還可以實(shí)時(shí)對(duì)其進(jìn)行監(jiān)控，發(fā)

12、現(xiàn)有違規(guī)操作，可以立即進(jìn)行阻斷。Internet業(yè)務(wù)系統(tǒng)運(yùn)維需求業(yè)務(wù)系統(tǒng)的維護(hù)、更新升級(jí)、故障處理需要合作伙伴或是運(yùn)維外包人員登錄系統(tǒng)進(jìn)行各種操作。應(yīng)用場(chǎng)景應(yīng)用場(chǎng)景- -實(shí)時(shí)安全監(jiān)控實(shí)時(shí)安全監(jiān)控 操作界面 監(jiān)控界面發(fā)現(xiàn)異常操作行為，立即阻斷應(yīng)用場(chǎng)景應(yīng)用場(chǎng)景- -合規(guī)遵循合規(guī)遵循報(bào)表定制開發(fā)根據(jù)用戶的所在的行業(yè)，進(jìn)行報(bào)表的定制開發(fā)支持，滿足用戶所在行業(yè)對(duì)合規(guī)性的需求。操作原始日志保存了全年的包括內(nèi)部人員、合作伙伴、外包代維人員對(duì)核心業(yè)務(wù)服務(wù)器運(yùn)維的原始操作日志。第三方審計(jì)機(jī)構(gòu)（Eg:銀監(jiān)會(huì)、證監(jiān)會(huì)、保監(jiān)會(huì)、審計(jì)局、公安部等級(jí)保護(hù)監(jiān)督檢查等）Content統(tǒng)一運(yùn)維審計(jì)方案統(tǒng)一運(yùn)維審計(jì)方案ITIT運(yùn)

13、維面臨的問題運(yùn)維面臨的問題12應(yīng)用場(chǎng)景應(yīng)用場(chǎng)景案例分享案例分享案例案例華華潤(rùn)集團(tuán)案例介紹潤(rùn)集團(tuán)案例介紹 華潤(rùn)集團(tuán)隨著維護(hù)集中化水平不斷提高以及快速處理故障的需要，維護(hù)人員和第三方人員采用多種方式接入通信網(wǎng)、業(yè)務(wù)網(wǎng)及各支撐系統(tǒng)。由于缺乏有效的控制手段，新的接入方式，特別是通過IP網(wǎng)絡(luò)遠(yuǎn)程維護(hù)，在提高維護(hù)工作效率的同時(shí)，也引入較大的安全風(fēng)險(xiǎn)。 為解決安全運(yùn)維管理的問題，迫切需要建立一個(gè)統(tǒng)一的安全管理和綜合審計(jì)平臺(tái)。PLD UTM SMS作為各支撐系統(tǒng)維護(hù)的統(tǒng)一接入點(diǎn)，對(duì)維護(hù)操作進(jìn)行集中管理；管理人員可以對(duì)支撐系統(tǒng)的用戶和資源進(jìn)行集中管理、集中授權(quán)、集中控制和集中審計(jì)，從技術(shù)上保證業(yè)務(wù)支撐系統(tǒng)安全策

14、略的實(shí)施，保障業(yè)務(wù)支撐系統(tǒng)安全、高效的運(yùn)行。l上線時(shí)間：2011年 12月；l項(xiàng)目規(guī)模：一期雙機(jī)熱備，二期擴(kuò)容為集群模式，總共管理設(shè)備1500，人員200+；l運(yùn)維狀態(tài)：運(yùn)維人員（網(wǎng)管、系統(tǒng)管理員、代維廠商），為了提供高穩(wěn)定服務(wù)，系統(tǒng)采用集群部署，集中管理；l功能模塊：字符終端審計(jì)，圖形終端審計(jì)，數(shù)據(jù)庫運(yùn)維審計(jì)， B/S運(yùn)維審計(jì)平安集團(tuán)案例介紹平安集團(tuán)案例介紹 平安保險(xiǎn)，全稱為中國平安保險(xiǎn)（集團(tuán)）股份有限公司，是中國第一家以保險(xiǎn)為核心的，融證券、信托、銀行、資產(chǎn)管理、企業(yè)年金等多元金融業(yè)務(wù)為一體的綜合金融服務(wù)集團(tuán)。公司成立于1988年，總部位于深圳。l需求：商業(yè)銀行內(nèi)部控制指引、企業(yè)內(nèi)部控制基

15、本規(guī)范l上線時(shí)間：2013年 2月；l項(xiàng)目規(guī)模：分兩地部署，深圳總部和上海容災(zāi)，總部3000資產(chǎn)納入管理，容災(zāi)1000資產(chǎn)納入管理，涉及人員數(shù)300；l部署形態(tài)：深圳總部采用集群部署，容災(zāi)機(jī)房采用雙機(jī)熱備部署；l功能模塊：字符終端審計(jì)，圖形終端審計(jì)，文件傳輸審計(jì)，應(yīng)用發(fā)布平臺(tái)。河南省國家稅務(wù)局案例河南省國家稅務(wù)局案例介紹介紹 河南省國家稅務(wù)局是河南省主管國家稅收工作的職能部門，為正廳級(jí)全職能局，對(duì)全省國稅系統(tǒng)實(shí)行垂直領(lǐng)導(dǎo)。河南省國家稅務(wù)局需要遵循計(jì)算機(jī)等級(jí)保護(hù)條例要求第3級(jí)別，內(nèi)容包括對(duì)操作行為行管控和審計(jì)。 為解決河南省國稅系統(tǒng)安全管理的上述問題，迫切需要建立一個(gè)統(tǒng)一的安全管理平臺(tái)，使得系統(tǒng)和安全管理人員可以對(duì)支撐系統(tǒng)的用戶和各種資源進(jìn)行集中管理、集中權(quán)限分配、集中審計(jì)，從技術(shù)上保證業(yè)務(wù)支撐系統(tǒng)安全策略的實(shí)施