系列統(tǒng)一安全認(rèn)證運(yùn)維審計(jì)系統(tǒng)主打膠片

統(tǒng)一安全認(rèn)證和運(yùn)維審計(jì)系統(tǒng)主打膠片主打膠片現(xiàn)狀功能、優(yōu)勢客戶價值案例多樣性：網(wǎng)絡(luò)復(fù)雜，管理難運(yùn)維現(xiàn)狀一資源類型多樣主機(jī)系統(tǒng)數(shù)據(jù)庫系統(tǒng)網(wǎng)絡(luò)設(shè)備安全設(shè)備專用系統(tǒng)

OA系統(tǒng)財(cái)務(wù)系統(tǒng)人力系統(tǒng)業(yè)務(wù)應(yīng)用系統(tǒng)客戶服務(wù)系統(tǒng)內(nèi)部維護(hù)人員常駐維護(hù)人員臨時維護(hù)人員行政人員財(cái)務(wù)人員業(yè)務(wù)人員管理人員外部用戶資源使用者多樣字符方式訪問圖形方式訪問文件方式訪問WEB方式訪問C/S程序訪問中心訪問網(wǎng)點(diǎn)訪問公網(wǎng)訪問

接入方式多樣管理員帳號混合使用，身份認(rèn)證不明確帳號：root帳號：root帳號：admin帳號：admin帳號：admin帳號：sa帳號：sa維護(hù)人員普通用戶第三方人員運(yùn)維現(xiàn)狀二！運(yùn)維現(xiàn)狀三操作不可視，不可控，記錄不可用本單位/公司運(yùn)維人員/領(lǐng)導(dǎo)第三方運(yùn)維人員真實(shí)性？不明確！我已經(jīng)解決問題，只是做了。。。。。。確認(rèn)已經(jīng)解決問題運(yùn)維人員應(yīng)該只針對故障做的操作吧解決運(yùn)維問題滿足相關(guān)政策、法規(guī)要求為什么需要堡壘機(jī)數(shù)據(jù)庫管理員系統(tǒng)管理員網(wǎng)絡(luò)管理員業(yè)務(wù)操作員Windows服務(wù)器Unix服務(wù)器業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)設(shè)備及安全設(shè)備核心資產(chǎn)資產(chǎn)使用中心各網(wǎng)點(diǎn)分支機(jī)構(gòu)代維廠商多點(diǎn)登陸多賬號、混使用、不可控8堡壘機(jī)概述數(shù)據(jù)庫管理員系統(tǒng)管理員網(wǎng)絡(luò)管理員業(yè)務(wù)操作員Windows服務(wù)器Linux服務(wù)器數(shù)據(jù)庫服務(wù)器中心各網(wǎng)點(diǎn)分支機(jī)構(gòu)代維廠商

業(yè)務(wù)系統(tǒng)交換機(jī)路由器防火墻多點(diǎn)登陸資產(chǎn)使用服務(wù)器群核心資產(chǎn)運(yùn)維單點(diǎn)登錄運(yùn)維統(tǒng)一入口運(yùn)維安全審計(jì)RG-OAS

堡壘機(jī)

政策1983年日本通產(chǎn)省《系統(tǒng)審計(jì)標(biāo)準(zhǔn)》1984年美國EDPAA協(xié)會《EDP控制目的》1996年美國ISACA協(xié)會COBIT標(biāo)準(zhǔn)2001年美國國會Sarbanes-Oxley法案(塞班斯—奧

克斯利法案)2005年公安部82號令《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定》2006年公安部、國家保密局等《信息安全等級保護(hù)管理辦法(試行)》2006年國家保密局《涉密信息系統(tǒng)分級保護(hù)技術(shù)要求》2008年財(cái)政部、證監(jiān)會、銀監(jiān)會、保監(jiān)會及審計(jì)署《企業(yè)內(nèi)部控制基本規(guī)范》（中國的SOX）2009年銀監(jiān)會《商業(yè)銀行信息科技風(fēng)險管理指引》2012年國家立法《網(wǎng)絡(luò)信息安全法》滿足等保/分保三級技術(shù)要求116條中的15條物理安全物理位置選擇物理訪問控制防盜竊和防破壞防雷擊防火防水和防潮防靜電溫濕度控制電力供應(yīng)電磁防護(hù)網(wǎng)絡(luò)安全結(jié)構(gòu)安全和網(wǎng)段劃分網(wǎng)絡(luò)訪問控制網(wǎng)絡(luò)安全審計(jì)邊界完整性檢查網(wǎng)絡(luò)入侵檢測惡意代碼防護(hù)網(wǎng)絡(luò)設(shè)備防護(hù)主機(jī)系統(tǒng)安全身份鑒別安全標(biāo)記訪問控制可信路徑安全審計(jì)剩余信息保護(hù)入侵防范惡意代碼防范系統(tǒng)資源控制應(yīng)用安全身份鑒別安全標(biāo)記訪問控制可信路徑安全審計(jì)剩余信息保護(hù)通信完整性通信保密性抗抵賴軟件容錯資源控制數(shù)據(jù)安全數(shù)據(jù)完整性數(shù)據(jù)保密性備份和恢復(fù)5.等保要求薩班斯法案現(xiàn)狀功能、優(yōu)勢客戶價值案例|13運(yùn)維用戶資源堡壘機(jī)協(xié)議跳板機(jī)SSH,RDPSSO單點(diǎn)登錄統(tǒng)一認(rèn)證：實(shí)名制雙因子、指紋組織架構(gòu)：目錄樹角色：三權(quán)分立崗位：批量授權(quán)統(tǒng)一授權(quán)：（細(xì)粒度）誰能管理哪臺設(shè)備安全策略審計(jì)：圖形字符什么是堡壘機(jī)SR-FORT轉(zhuǎn)變邏輯上將人與目標(biāo)設(shè)備分離，全局唯一身份標(biāo)識。集中登錄入口，將傳統(tǒng)的被動響應(yīng)模式轉(zhuǎn)變?yōu)橹鲃拥陌踩芸啬Ｊ?。由面及點(diǎn)的管理方式，讓安全管理精確制導(dǎo)。解決思路14工作原理示意圖設(shè)備中心工作區(qū)IT運(yùn)維人員IT運(yùn)維人員Internet身份及訪問管理系統(tǒng)15應(yīng)用模式網(wǎng)絡(luò)設(shè)備安全設(shè)備主機(jī)資源數(shù)據(jù)庫IAM運(yùn)維人員其他用戶非法用戶x16集中管理身份管理密碼管理權(quán)限管理唯一身份審計(jì)你是誰你能干什么你干了什么設(shè)備越來越多，維護(hù)人員也越來越多，我們必須對操作進(jìn)行集中管理。只有集中才能夠?qū)崿F(xiàn)統(tǒng)一管理，也只有集中管理才能把復(fù)雜問題簡單化，集中管理是運(yùn)維管理思想發(fā)展的必然趨勢，也是唯一的選擇。集中管理包括：集中的資源訪問入口、集中帳號管理、集中權(quán)限管理、集中密碼管理、集中審計(jì)等等。管理目標(biāo)目錄樹型結(jié)構(gòu)設(shè)計(jì)多級層級分組多對象單組管理權(quán)限按照組節(jié)點(diǎn)細(xì)分目錄樹資源管理—獨(dú)有IBM銀行大型機(jī)資源密碼管理密碼自動改密，密碼驗(yàn)證測試，密碼復(fù)雜度設(shè)置批量單點(diǎn)登錄22快速登錄和收藏夾三維一體的審批流程管理登陸審批，授權(quán)審批，命令審批24建恒信安收藏夾，批量登陸自定義用戶類型IBM大型機(jī)(銀行）從目標(biāo)設(shè)備抽取、推送從賬號從賬號批量導(dǎo)入同步AD域組結(jié)構(gòu)支持崗位授權(quán)，崗位掛載安全策略密碼回?fù)軠y試服務(wù)故障切換模塊化部署NSFOCUSSAS-HNNNNNNNNNN啟明星辰NNNNNNNNNN帕拉迪PLDSECSMSNNNNNNNNNN奇治YNNNNNNNYY江南科友NNNNNNNNNN思福迪NNNNNNNNNN競爭分析現(xiàn)狀功能、優(yōu)勢客戶價值案例|26堡壘機(jī)帶來的主要價值

統(tǒng)一批量授權(quán)

流程化可審批集中認(rèn)證

密碼策略管理集中接入賬號集中管理降低管理費(fèi)用實(shí)名認(rèn)證提高安全集中授權(quán)減輕管理壓力單點(diǎn)登錄規(guī)范第三方實(shí)名制審計(jì)、合規(guī)

賬號統(tǒng)一管理

解決共享賬號

賬號鎖定自動化定時改密現(xiàn)狀功能、優(yōu)勢客戶價值案例金融/保險/證券我們的客戶（一）28運(yùn)營商/企業(yè)我們的客戶（二）29能源/交通我們的客戶（三）30政府/醫(yī)療/教育我們的客戶（四）31

中國人保財(cái)險數(shù)據(jù)中心機(jī)房有近萬臺運(yùn)行各類業(yè)務(wù)的服務(wù)器，負(fù)責(zé)維護(hù)、管理這些系統(tǒng)的管理員人數(shù)約600人，其中大部分（約450人）為中國人保財(cái)險內(nèi)部人員，其余為第三方廠商運(yùn)維公司人員。由于缺乏相應(yīng)的先進(jìn)工具和手段，無法保證系統(tǒng)管理員嚴(yán)格按照規(guī)范來進(jìn)行訪問操作，也無法保證系統(tǒng)管理員的操作行為和管理報告一致。另外，由于服務(wù)器眾多，導(dǎo)致系統(tǒng)管理員壓力太大，人為誤操作的情況時有發(fā)生。項(xiàng)目背景項(xiàng)目情況管理范圍：共管理38家公司約10000個資源采購身份及訪問管理系統(tǒng)數(shù)量：共6臺，其中2臺為web前置機(jī)，另外4臺為單點(diǎn)登錄審計(jì)服務(wù)器目標(biāo)成果

充分利用信息化手段，以建立組織統(tǒng)一身份作為切入點(diǎn)，建設(shè)一個覆蓋全局的服務(wù)于全國控制中心的綜合登錄控制平臺。客戶評價“通過這次統(tǒng)一用戶身份管理平臺建設(shè)，即考慮實(shí)際的業(yè)務(wù)運(yùn)維監(jiān)控需求，又符合國內(nèi)國際相關(guān)標(biāo)準(zhǔn)要求，通過統(tǒng)一身份的基礎(chǔ)設(shè)施建設(shè)，全面提升信息化總體效率和管理水平。32案例介紹--中國人保部署模型提供WEB訪問服務(wù)，1+1模式部署提供協(xié)議代理和審計(jì)服務(wù)，4臺形成負(fù)載及高可用適應(yīng)大規(guī)模、集群模式部署1可動態(tài)擴(kuò)展，靈活性高2

總行數(shù)據(jù)中心2009年部署了SUMP系統(tǒng)，隨著業(yè)務(wù)的擴(kuò)展，該平臺已經(jīng)不能滿足應(yīng)用的要求，需要部署新系統(tǒng)用戶維護(hù)管理平臺，并在以下方面進(jìn)行提升：擴(kuò)大資源管理范圍，納管圖形，文件傳輸，數(shù)據(jù)庫和中間件等。構(gòu)建可擴(kuò)展的部署架構(gòu)，滿足3年業(yè)務(wù)增長的性能要求。實(shí)現(xiàn)分布式部署，實(shí)現(xiàn)連同分行的統(tǒng)一管控。提升審計(jì)的能力，同時對上下行數(shù)據(jù)進(jìn)行審計(jì)。優(yōu)化權(quán)限管理，通過流程審批模式實(shí)現(xiàn)最小化授權(quán)完善統(tǒng)計(jì)分析，加強(qiáng)風(fēng)險統(tǒng)計(jì)，防患于未然。項(xiàng)目背景項(xiàng)目情況管理范圍：一期共管理總行和災(zāi)備兩個數(shù)據(jù)中心及兩家分行的2000臺設(shè)備。資源類型及數(shù)量大致為：主機(jī)HP-Unix500臺左右、Linux500臺左右、Windows350臺左右、Aix250臺左右、數(shù)據(jù)庫200套、中間件200套。二期加入其他所有分行的設(shè)備，共約3000臺。采購身份及訪問管理系統(tǒng)數(shù)量：共4臺，其中2臺為web服務(wù)器，另外2臺為單點(diǎn)登錄服務(wù)器目標(biāo)成果建設(shè)覆蓋全行的系統(tǒng)用戶維護(hù)管理平臺，規(guī)范中國光大銀行IT系統(tǒng)操作管理，落實(shí)人員實(shí)名制，加強(qiáng)對主機(jī)服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫等系統(tǒng)的操作審計(jì)，規(guī)范設(shè)備使用人員操作行為，提升操作監(jiān)管能力，全面提高中國光大銀行IT系統(tǒng)管理水平。客戶評價“通過新系統(tǒng)用戶維護(hù)管理平臺的建設(shè)，在功能上完全覆蓋了舊SUMP平臺的功能，彌補(bǔ)了老平臺的功能缺項(xiàng)，規(guī)范了設(shè)備使用人員操作行為，提升了操作監(jiān)管能力。且在資源管理范圍、協(xié)議支持、單點(diǎn)登錄管理、訪問控制、流程管理，操作行為審計(jì)，總分管理模式等方面有較大提升，達(dá)到了預(yù)期的管理目標(biāo)。案例介紹--中國光大銀行提供WEB訪問服務(wù)，1+1