运维操作风险管理解决方案

第1页共6页IT运维操作风险管理解决方案】用户需求银行企业拥有庞大的IT信息系统，数据中心的基础架构建设比较完善，随着银行行业监管的强化以及银行特殊的社会责任要求，银行企业对运维操作风险管理提出了更高的要求，希望能够对网络管理员、系统管理员、代维人员、开发人员等的运维操作行为，进行事前控制、事中监控和事后审计，具体需求如下：集中管理：对管理员进行统一认证，解决操作分散无序的问题，提高管理效率；灵活的策略：能够基于用户组、设备组对管理行为制定策略；审计操作行为：对维护管理行为进行有效的审计；动态口令技术：使用动态口令技术进行认证，防止认证信息丢失。解决方案简介审计的目的是希望最大程度的降低上述运维操作风险，但是仅仅借助审计这种技术手段来实现对操作的有效监管是无法实现的，因为任何一种审计永远都是事后行为，而缺乏事前、事中的审计。运维操作管理的本质是对于运维操作行为的控制，而采用什么样的方式去控制和控制的力度，决定了管理的高度。网络运维操作风险管理系统网络管理员向网络设备发起认证请求，网络设备将请求发送至网络设备操作管理平台，网络设备操作管理平台将认证请求发送到双因素认证系统，认证通过后，管理员可对网络设备进行运维操作，网络设备操作管理平台对管理员的操作进行实时记录；使用具有审计权限的账户登录网络设备操作管理平台，可对网络管理员的操作进行实时监控、阻断和事后审计；第2页共6页系统运维操作风险管理平台（堡垒机）在已经定义认证、控制、授权策略的堡垒机环境下，首先，系统管理员（主机、数据库管理员）向堡垒机发起认证请求，堡垒机将请求发送至双因素认证系统，认证通过后，管理员可对主机、数据库等系统进行运维操作，堡垒机对系统管理员的操作进行实时记录；对于C/S架构的应用，采用客户端前置服务器的方式部署在网络中，在前置机上安装管理客户端，堡垒机将安装在前置服务器上的管理客户端进行应用发布，用户登录堡垒机后，选择应用发布的客户端工具对系统进行维护管理；使用具有审计权限的账户登录堡垒机，可对网络管理员的操作进行实时监控、阻断和事后审计；客户得到的益处统一认证、统一制定授权策略，提高操作管理效率；双因素认证增强系统维护的安全性，防治信息泄露；有效监管原厂商/代维厂商的操作，根据需求动态调整策略；对用户的操作进行实时监控、真实记录、快速查询；符合行业法规；第3页共6页产品竞争分析1、CiscoACS与堡垒机产品对网络设备的操作管理竞争分析对比项目CiscoACS系统操作管理平台（堡垒机）设备兼容性可兼容主流厂商网络设备可兼容主流厂商网络设备部署难易度部署简单，在网络设备中开启AAA功能，指向ACS服务器部署复杂，需要通过路由策略和安全策略控制用户的管理数据必须流经堡垒机容灾程度容灾能力强，可在网络设备中建立本地用户库，ACS出现故障后，仍可依靠本地用户库，对网络设备进行管理操作容灾能力弱，当堡垒机出现故障后，需要对路由策略和安全策略进行调整后，才能进行管理操作2、系统操作管理平台（堡垒机）产品竞争分析对比项目奇智科技江南科友帕拉迪公司成立时间2005年1991年2005年产品专注度2005年推出国内第一台堡垒机，专注于堡垒机产品2007年推出第一台堡垒机，不是公司主要发展方向2005年推出第一台堡垒机，主要以OEM为主产品资质公安部销售许可证、国家保密局认证、中国国家信息安全产品认证、国家科学技术委员会的科技成果鉴定证书、产品技术专利公安部销售许可证、国家保密局认证公安部销售许可证金融行业成功案例中国农业银行、民生银行、华夏银行、北京银行、申银万国、华夏基金、广发证券等浙商银行、宁波商业银行、汉口商业银行、国家开发银行、华夏银行、中国人寿集团、深圳招商证券招商证券、英大证券对外开放端口2个19个8个非安全端口无21、23、3389等21、23、80、3389等中级漏洞013个13个高级漏洞05个8个对命令的精准识别独家专利技术，确保科技实现对各类常规和非常规命令操作的100%识别和控制无法识别非常规命令操作无法识别非常规命令操作，权限控制策略时常失效图形操作的深度审可以实现键盘鼠标操作和剪贴板操作的文本审不具备该功能键盘操作记录无法与图形操作关联，不支持第4页共6页计计剪贴板操作审计数据库审计专利技术确保能够实现对各类数据库客户端操作sql语句的100%记录，并能实现互相关联和定位回放不具备该功能能记录sql语句，但是sql语句跟图形审计无法关联，不能根据sql语句进行定位回放应用发布Citrx方式的应用发布，通过web界面直接发布各类应用程序客户端，并能在此基础上实现对客户端的自动登录，特别是我方比较重视的pl/sql单点登录需要部署专门的VDH设备来实现，不具备单点登录功能不支持该功能（只是通过“windows前置机”的模式实现对cs客户端工具的调用和审计）；“前置机”需要和堡垒机封装于一个单电源的机箱中，设备本身在安全性、稳定性、可靠性等方面存在巨大隐患；实时监控和实时切断可以实现对任一类型活动会话的实时监控和实时切断，监控无需加载过程只能支持对windows图形操作的实时监控，监控界面需要长时间加载对于图形操作的实时监控界面需要长时间加载，无法做到真正实时（特别是在图形会话已经持续了很长时间、审计数据量比较大时）报表支持报表自定义、报表自动生成和转发，报表可以根据用户、设备、系统账号、协议、时间等各种条件进行统计，展示的类型包括日报、周报、月报；报表均可以excel、html格式导出报表可以根据用户、设备、系统账号、协议、时间等各种条件进行统计，展示的类型包括日报、周报、月报；报表功能形同虚设，基本无法满足日常管理需求第5页共6页推荐产品及报价1、系统操作管理平台（堡垒机）产品及报价用户需要对500台设备进行运维操作的风险管理，堡垒机作为运维操作的唯一入口，为了保证其可靠性，采用双机热备的方式部署，用户登录堡垒机采用双因素认证的方式，具体报价如下表所示：1）奇智科技堡垒机在产品技术方面占有一定优势，我公司主推奇智科技的产品，如果用户认为管理员登录系统使用静态用户名、密码具有安全威胁，可配合安盟双因素认证产品的动态双因素方式进行认证。序号配置标准价成本价数量建议价小计1SHTERM-A42¥108,360¥216,7202100个目标设备license许可5¥25,620¥128,1003原厂服务2年2¥34,483¥68,966合计：¥413,7862）其他可选厂商报价及配置（帕拉迪堡垒机）：序号配置标准价成本价数量建议价小计1pldsecsmslx4000-b2¥235,750¥471,5002100个目标设备许可500¥127¥635,00合计：¥535,000第6页共6页2、CiscoACS产品及报价用户需要对500台网络设备进行运维操作的风险管理，思科ACS采用双机热备的方式部署，用户登录网络设备采用双因素认证的方式，具体报价如下表所示：（注：成本价计算方法：汇率8.2，折扣30%）1）CiscoACS5.1软硬件一体化产品报价及配置序号配置标准价成本价数量建议价小计1CSACS-1121-K9$31，490¥77，4652¥154，9352CAB-ACA$0¥02¥03CSACS-5-BASE-LIC$31,490¥77，4652¥154，9354CSACS-5.1-SW-K9$0¥02¥0合计：¥309，8602）CiscoACS5.1软件产品报价及配置序号配置标准价成本价数量建议价小计1CSACS-5.1-VM-K9$25，190¥61，9672¥123，9342CSACS-5-BASE-LIC$21,000¥51，6602¥103，320合计：¥227，254