全方位IT運(yùn)維管理解決方案

1、,全方位IT運(yùn)維管理解決方案 TPAM,目 錄,為什么需要操作安全審計(jì),IT運(yùn)維現(xiàn)狀 信息安全相關(guān)標(biāo)準(zhǔn)、法案,IT運(yùn)維現(xiàn)狀一,多點(diǎn)登錄、分散管理,服務(wù)器資源,IT運(yùn)維現(xiàn)狀二,第三方廠家,開(kāi)發(fā)人員,管理人員,系統(tǒng)帳號(hào),交叉異構(gòu)、帳號(hào)共享,IT運(yùn)維現(xiàn)狀三,內(nèi)部用戶(hù),外部用戶(hù),資源設(shè)備,權(quán)限濫用,惡意訪問(wèn),誤操作,權(quán)力限用,系統(tǒng)管理員 網(wǎng)管員 安全管理員 軟件系統(tǒng)開(kāi)發(fā)人員,黑客 代維廠商 合作伙伴 企業(yè)臨時(shí)用戶(hù),內(nèi)部用戶(hù),來(lái)自企業(yè)內(nèi)部的非法威脅 高權(quán)限操作風(fēng)險(xiǎn)不透明 違規(guī)操作導(dǎo)致敏感信息泄露 誤操作導(dǎo)致服務(wù)異常甚至宕機(jī),來(lái)自企業(yè)外部的非法威脅 操作風(fēng)險(xiǎn)不可控 黑客盜用帳號(hào)實(shí)施惡意攻擊 無(wú)法有效監(jiān)管操

2、作、必要取證/舉證,人為操作風(fēng)險(xiǎn),IT運(yùn)維現(xiàn)狀總結(jié),一：公司單位的數(shù)據(jù)庫(kù)安全嗎？ 二：復(fù)雜的系統(tǒng)每個(gè)人需要記住多組密碼，符合效益嗎？ 三：密碼遺失了、被竊取了、不定時(shí)需要去修改密碼,無(wú)形的人力成本一再出現(xiàn). 四：公司的審核單位對(duì)系統(tǒng)管理員如何審核呢？復(fù)雜的系統(tǒng)提升審核的困難度. 五：系統(tǒng)管理員對(duì)系統(tǒng)的操作安全嗎？公司隨時(shí)審查了嗎？ 六：應(yīng)用系統(tǒng)與應(yīng)用系統(tǒng)之間的通信安全嗎？應(yīng)用系統(tǒng)與數(shù)據(jù)庫(kù)之間的通信安全嗎？ 七：供應(yīng)商自遠(yuǎn)端進(jìn)入系統(tǒng)服務(wù)安全嗎？供應(yīng)商技術(shù)人員在服務(wù)器做了什么您清楚了嗎？ 八：公司系統(tǒng)內(nèi)被植入插件發(fā)現(xiàn)了嗎？ 九：黑客入侵個(gè)造成企業(yè)的損失,事后檢討耗費(fèi)龐大的人力成本.,ISO2700

3、1標(biāo)準(zhǔn),條款A(yù)10.10.1要求組織必須記錄用戶(hù)訪問(wèn)、意外和信息安全事件的日志，并保留一定期限，以便為安全事件的調(diào)查和取證； 條款A(yù)10.10.4要求組織必須記錄系統(tǒng)管理和維護(hù)人員的操作行為； 條款A(yù)15.1.3明確要求必須保護(hù)組織的運(yùn)行記錄 條款A(yù)15.2.1則要求信息系統(tǒng)經(jīng)理必須確保所有負(fù)責(zé)的安全過(guò)程都在正確執(zhí)行，符合安全策略和標(biāo)準(zhǔn)的要求。,CC標(biāo)準(zhǔn),信息技術(shù)通用評(píng)估準(zhǔn)則 （ Common Criteria for Information Technology Security Evaluation）中，安全審計(jì)是其安全功能要求中最重要的組成部分，同時(shí)也是信息系統(tǒng)安全體系中必備的一個(gè)措施，

4、它是評(píng)判一個(gè)系統(tǒng)是否真正安全的重要尺碼。,SOX法案,302節(jié)：要求行政人員證明他們公司設(shè)計(jì)和執(zhí)行了適當(dāng)?shù)目刂?，以保證所有財(cái)務(wù)報(bào)表都可靠而且付合公認(rèn)會(huì)計(jì)準(zhǔn)則(GAAP)。 404節(jié)：要求所有在302節(jié)中所控制的過(guò)程都有可信的財(cái)務(wù)報(bào)表。這法令要求IT經(jīng)理對(duì)所有有關(guān)財(cái)務(wù)報(bào)表的產(chǎn)生過(guò)程負(fù)責(zé)。,信息安全相關(guān)標(biāo)準(zhǔn)、法案,此外還有PCI、HIPAA、Basel II,需要怎樣的操作審計(jì),操作管理統(tǒng)一化 管理流程規(guī)范化 操作風(fēng)險(xiǎn)最小化,操作管理統(tǒng)一化,操作,統(tǒng)一認(rèn)證,統(tǒng)一授權(quán),統(tǒng)一審計(jì),統(tǒng)一操作管理平臺(tái)理念構(gòu)建,管理流程規(guī)范化,規(guī)范管理流程的實(shí)行,集 中 管 理 模 式,操作風(fēng)險(xiǎn)最小化,你做了什么？,你能做

5、什么？,你去哪？,你是誰(shuí)？,訪問(wèn)控制管理,帳號(hào)授權(quán)管理,資產(chǎn)帳號(hào)管理,統(tǒng)一身份管理,最小化操作風(fēng)險(xiǎn)來(lái)源于管理模式,可用帳號(hào)？,TPAM統(tǒng)一管理平臺(tái)的實(shí)現(xiàn),設(shè)計(jì)理念 解決方案 審計(jì)方向 產(chǎn)品部署,TPAM設(shè)計(jì)理念,TPAM解決方案概述,全方位IT運(yùn)維管理解決方案 (TPAM) 套件 一套旨在解決管理授權(quán)和授權(quán)訪問(wèn)安全與合規(guī)性問(wèn)題的硬軟一體機(jī)產(chǎn)品，安全、高效。 兩大核心功能（組件）：PAR-密碼管理、eGuardPost-會(huì)話管理 四大功能模塊：設(shè)計(jì)靈活可擴(kuò)展、靈活的購(gòu)買(mǎi)授權(quán)方案,TPAM套件,PAR-密碼權(quán)限管理,目前大多數(shù)企業(yè)內(nèi)部的信息系統(tǒng)管理帳戶(hù)，都是由系統(tǒng)管理員直接管理。系統(tǒng)管理員一人保管

6、某個(gè)或某類(lèi)系統(tǒng)服務(wù)器的管理帳戶(hù)和密碼，也存在多個(gè)管理員共享某一個(gè)帳戶(hù)密碼，存在諸多安全隱患。 - 密碼存儲(chǔ)：超級(jí)管理員密碼保存在何處最安全？ - 密碼分配：密碼分配給不同的管理員，安全程度由該管理員決定 - 密碼保管：密碼一但分配后，就存在系統(tǒng)管理員保管風(fēng)險(xiǎn),問(wèn)題和挑戰(zhàn),PAR解決方案,通過(guò)PAR組件，實(shí)現(xiàn)對(duì)服務(wù)器、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫(kù)等企業(yè)信息系統(tǒng)管理帳戶(hù)的接管，由PAR組件實(shí)現(xiàn)密碼安全存儲(chǔ)、密碼變更、密碼申請(qǐng)審批等工作，管理員需要系統(tǒng)管理時(shí)，發(fā)出密碼請(qǐng)求，經(jīng)批準(zhǔn)后使用密碼登陸系統(tǒng)進(jìn)行相關(guān)管理工作，結(jié)合密碼變更策略，可實(shí)現(xiàn)自動(dòng)化的動(dòng)態(tài)密碼管理。減輕超級(jí)系統(tǒng)管理員的負(fù)擔(dān)，加強(qiáng)了密碼管理安全性。,單

7、點(diǎn)登錄管理流程,點(diǎn)擊申請(qǐng)密碼,選擇賬戶(hù),獲取密碼,點(diǎn)擊超鏈接發(fā)起申請(qǐng),輸入票務(wù)號(hào)碼 (若需要）并提交獲得密碼,從手持設(shè)備獲得密碼.,* 支持小屏幕上配置每個(gè)用戶(hù)的基礎(chǔ)。,支持小屏幕-工作流程,應(yīng)用程序密碼管理,為了實(shí)現(xiàn)各獨(dú)立的應(yīng)用系統(tǒng)之間的通信，企業(yè)各類(lèi)業(yè)務(wù)系統(tǒng)中，一般含有數(shù)據(jù)庫(kù)、接口系統(tǒng)、其他系統(tǒng)（如：文件系統(tǒng)等）的訪問(wèn)帳戶(hù)和密碼，且一般采用配置文件、硬編碼等明文形式存儲(chǔ)在業(yè)務(wù)系統(tǒng)中，存在極大的安全漏洞，極易被獲取利用，造成業(yè)務(wù)數(shù)據(jù)流失或破壞。,問(wèn)題與挑戰(zhàn),PAR解決方案,PAR組件提供相應(yīng)的API，只需調(diào)用API強(qiáng)大的函數(shù)庫(kù)，編寫(xiě)腳本就可以實(shí)現(xiàn)PAR組件的全部密碼管理，請(qǐng)求等功能，支持多數(shù)

8、主流開(kāi)發(fā)語(yǔ)言，輕松嵌入到應(yīng)用系統(tǒng)中，替換掉原有不安全的明文配置，實(shí)現(xiàn)應(yīng)用程序密碼的動(dòng)態(tài)性，提高應(yīng)用系統(tǒng)整體安全性，同時(shí)，支持高并發(fā)，多模式（連續(xù)訪問(wèn)和單次請(qǐng)求），滿(mǎn)足應(yīng)用系統(tǒng)高效性。,PAR支持的平臺(tái)有：,AIX AS400 BoKS CheckPoint SP Cisco CATOS Cisco PIX Cisco Router（TEL） Cisco Router（SSH） CyberGuard Fortinet HP ILO HP ILO2 HP Nonstop Tandem HP-UX HP-UX Shadow HP-UXUntrusted IBM HMC LDPA LDPAS,Linu

9、x MAC OSX v10.4, v10.5, v10.6 Mainframe Mainframe（ACF2） Maiframe LDAP PACF Mainframe LDAP TS MS SQL Server MySQL NetScreen NIS Plus Nokia-IPSO Novell NDS OpenVMS Oracle Palo Alto（Pan OS） ProxySG Solaris Status VOS Sun ALOM,eGuardPost-會(huì)話權(quán)限管理,合規(guī)性管理促使企業(yè)需要了解在特定授權(quán)或敏感訪問(wèn)中的具體行為，然而僅僅依靠系統(tǒng)日志卻并不能真是有效地反應(yīng)出系統(tǒng)管理員的所

10、有行為。這樣對(duì)系統(tǒng)管理員的審查審計(jì)就變得十分困難。同時(shí)，不同系統(tǒng)的審計(jì)信息也不利于統(tǒng)一歸檔整理，審計(jì)開(kāi)銷(xiāo)大。,問(wèn)題與挑戰(zhàn),eGuardPost解決方案,eGuardPost組件提供了完整的會(huì)話管理，系統(tǒng)管理員通過(guò)eGuardPost作為代理間接和目標(biāo)系統(tǒng)建立連接，在有效會(huì)話周期內(nèi)，整個(gè)會(huì)話過(guò)程均會(huì)以壓縮加密的影像文件記錄，可實(shí)時(shí)查看、回放查看、強(qiáng)制手動(dòng)終止會(huì)話等強(qiáng)大功能。加上常規(guī)日志記錄，滿(mǎn)足系統(tǒng)統(tǒng)一監(jiān)管、審計(jì)管理的需求。,企業(yè)需求,用戶(hù)角色訪問(wèn)控制,TPAM 解決方案/會(huì)話權(quán)限管理,用戶(hù)控制點(diǎn) 基于角色限制資源 全面控制連接 雙重授權(quán)控制 會(huì)話時(shí)間限制 會(huì)話超限報(bào)警通知 手動(dòng)終止會(huì)話選項(xiàng) 出

11、色的會(huì)話審計(jì) 審計(jì)/記錄所有連接請(qǐng)求、批準(zhǔn) 完整會(huì)話記錄，DVR重放,連接管控,會(huì)話審計(jì),eGuardPost-會(huì)話權(quán)限管理,企業(yè)需求,強(qiáng)大的審計(jì)功能,TPAM套件/權(quán)限會(huì)話管理,出色的會(huì)話審計(jì) 審計(jì)/記錄所有連接請(qǐng)求、批準(zhǔn) 完整會(huì)話記錄，DVR重放,eGuardPost-會(huì)話權(quán)限管理,會(huì)話請(qǐng)求示例,用戶(hù)連接并執(zhí)行所需工作,會(huì)話配置為交互式或自動(dòng)登錄 在目標(biāo)系統(tǒng)上的每次活動(dòng)都會(huì)被記錄（擊鍵、鼠標(biāo)、連接等） 如果用戶(hù)會(huì)話超時(shí)，系統(tǒng)就會(huì)發(fā)送一個(gè)警報(bào)通知 授權(quán)管理員可以手動(dòng)終止活動(dòng)會(huì)話。,會(huì)話重放示例,所有會(huì)話行為都能被記錄并可以通過(guò)會(huì)話重放觀看。記錄并非AVI格式壓縮文件大小，易于管理。,命令權(quán)限

12、管理,有了強(qiáng)大的審計(jì)，對(duì)于企業(yè)信息安全來(lái)說(shuō)還不夠，畢竟審計(jì)只能起到事后追查的作用，不能防范潛在的風(fēng)險(xiǎn)于未然。,問(wèn)題和挑戰(zhàn),eGuardPost解決方案,eGuardPost在會(huì)話管理的基礎(chǔ)上，實(shí)現(xiàn)了系統(tǒng)管理員可執(zhí)行命令、程序、腳本的管理，通過(guò)黑白名單，可過(guò)濾掉該次會(huì)話允許管理功能之外的未授權(quán)功能點(diǎn)訪問(wèn)，從而限制會(huì)話連接的權(quán)限范圍，避免由系統(tǒng)管理員帶來(lái)的內(nèi)部安全隱患，防范潛在危險(xiǎn)的發(fā)生。,命令權(quán)限管理,企業(yè)需求,超級(jí)用戶(hù)權(quán)限管理 (SUPM),TPAM解決方案/命令權(quán)限管理,SUPM 價(jià)值 命令級(jí)別訪問(wèn)控制 不能執(zhí)行命令之外的行為 記錄所有行為 TPAM 支持 PCM for: Unix Win

13、dows 其它 (近期發(fā)布版本),支持多種平臺(tái)環(huán)境,命令管理示例,通過(guò)命令權(quán)限管理工具增加命令。,通過(guò)命權(quán)令限管理會(huì)話轉(zhuǎn)到后端目標(biāo)/賬戶(hù)(Windows a3/e22egp），用戶(hù)會(huì)話就會(huì)建立，用戶(hù)就會(huì)被放置到特殊“命令”中。該處以“計(jì)算機(jī)管理”為例。,限制命令會(huì)話示例,產(chǎn)品部署邏輯網(wǎng)關(guān),外網(wǎng)用戶(hù),內(nèi)網(wǎng)用戶(hù),TPAM PSM 安全審計(jì)管理,TPAM,部署優(yōu)勢(shì): 1.不加裝任何客戶(hù)端代理 2.不加裝任何服務(wù)器端引擎 3.不影響任何網(wǎng)絡(luò)拓?fù)?4.不影響任何業(yè)務(wù)數(shù)據(jù)流 5.數(shù)據(jù)分流，數(shù)據(jù)標(biāo)簽化 6.支持雙機(jī)熱備 7.支持集中管理分級(jí)部署,Telnet、SSH RDP、X11、VNC FTP、SFTP、SCP Http、Https 各類(lèi)數(shù)據(jù)庫(kù)客戶(hù)端 etc,二級(jí)單位 - 1,二級(jí)單位 - 2,二級(jí)單位 - 3,一級(jí)單位,集中管理分散部署示意圖,TPAM,典型應(yīng)用分級(jí)審計(jì)管理,DPA,DPA,DPA,價(jià)值效益&典型客戶(hù),價(jià)值效益 典型客戶(hù),TPAM特點(diǎn)與效益,硬軟一體、穩(wěn)定性高 易于部署、操作簡(jiǎn)單 模塊設(shè)計(jì)可靈活擴(kuò)展 獨(dú)一無(wú)二的會(huì)話權(quán)限管理功能模塊完整記錄 會(huì)話行為并支持重放 獨(dú)一無(wú)二的命令權(quán)限管理功能模塊約束超級(jí) 用戶(hù)權(quán)限，降低風(fēng)險(xiǎn) 支持手持式設(shè)備，如手機(jī)、PDA等 企業(yè)整合力強(qiáng)，跨平臺(tái)支持,最佳合規(guī)性 解決方案,最佳密碼管理 解決方案,TPAM特點(diǎn)與效益,不再需要手動(dòng)更改密碼！ 不