帕拉迪运维操作审计解决方案.

HANGZHOUPALLADIUMNETWORKTECHNOLOGYCo.,LTD.运维的基本要求•多种接入方式、分散管理•多种协议运维方式•共享账号问题•权限控制•操作行为无法审计•网络设备•主机设备•数据库设备•应用系统3法规遵从信息安全等级保护•记录网络设备用户行为日志•用户身份标识/鉴别•用户角色/分配权限•服务器操作系统审计•数据库审计•7.1.3节：要求对用户进行身份标识和鉴别，根据用户的角色分配权限，实现权限分离，仅授予用户所需的最小权限；对主机的审计应覆盖到服务器操作系统和数据库系统；•7.1.2节&7.1.3节：审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等；要求对日志进行分析，并生成审计报表等。SOX法案•302节：要求行政人员证明他们公司设计和执行了适当的控制，以保证所有财务报表都可靠而且付合公认会计准则(GAAP)。•404节：要求所有在302节中所控制的过程都有可信的财务报表。这法令要求IT经理对所有有关财务报表的产生过程负责。ISO27001标准•条款A10.10.1要求组织必须记录用户访问、意外和信息安全事件的日志，并保留一定期限，以便为安全事件的调查和取证；•条款A10.10.4要求组织必须记录系统管理和维护人员的操作行为；•条款A15.1.3明确要求必须保护组织的运行记录•条款A15.2.1则要求信息系统经理必须确保所有负责的安全过程都在正确执行，符合安全策略和标准的要求。企业内控规范•要求国内上市公司严格执行该规范要求，以加强和规范企业内部控制、提高企业经营管理水平和风险防范能力4法规遵从行业法规标准互联网服务商《互联网安全保护技术措施规定（82号令）》电信行业《中国移动集团内控手册》《中国移动业务支撑网安全域划分和边界整合技术规范》《中国电信股份有限公司内部控制手册》《中国网通集团信息质量问责管理若干规定》《中国网通集团内部控制体系建设指导意见》金融保险行业《银行业金融机构信息系统风险管理指引》《证券期货业信息系统安全等级保护测评要求（试行）》《商业银行合规风险管理指引》《中国银行业监督委员会办公厅文件银监办通313号》《保险公司内部审计指引（试行）》《保险公司风险管理指引（试行）》《电子银行安全评估指引（2007）》《电子银行业务管理办法（2008）》《期货公司信息技术管理指引》国内上市企业《深圳证券交易所上市公司内部控制指引》《上海证券交易所上市公司内部控制指引》电力行业《电力二次系统安全防护总体方案（2005）》《国家电网公司信息化“SG186”工程安全防护总体方案（实行）(2008)》医疗行业《医疗机构信息系统安全等级保护基本要求》5法规遵从堡垒机在信息安全等级保护中的探究与应用：随着信息安全等级保护制度的开展和普及，金融、电力、运营商、医疗、教育及政府机构等开始参与并落实制度的执行。国务院法规和中央文件明确规定，要实行信息安全等级保护，重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度。具体是哪些标准、哪些条款成为推动堡垒主机落地的驱动力？《信息系统等级保护安全设计技术要求（GBT25070—2010）》《信息系统安全等级保护基本要求（GBT22239-2008）》1、身份鉴别2、自主访问控制3、标记和强制访控制4、系统安全审计5、用户数据完整性保护、用户数据保密性保护、客体安全重用、程序可信执行保护6、…………堡垒机从设计到功能完全符合等级保护安全设计三级要求，对于目前定级的二、三级系统完全适用，成为通过信息安全等级保护设计和测评不可或缺的重要安全防护系统。（物理安全、网络安全、主机安全、应用安全、数据安全以及管理安全）6、从账号管理2、设备密码定期自动修改人员管理1、主账号管理2、密码管理3、访问控制4、权限控制5、认证管理操作管理1、日志记录2、视频记录3、实时监控4、操作回放5、统计报表8统一运维审计解决方案☞最小化操作风险来源于管理模式管理模式权限控制是核心访问控制是手段身份管理是基础操作审计是保障集中管理是前提你做了什么？操作审计你能做什么？权限控制你能去哪？访问控制你是谁？身份管理9’SAMIBM’SMITLinux’SetupRDP磁盘通道剪贴板AS400其他应用终端InformixDSVIEWRARITAN10帕拉迪堡垒机竞争优势业界最全面运维协议支持业界最全面可靠的账号管理字符运维、图形运维、文件传输、KVM、应用发布等完整覆盖；带内、带外运维统一管理，业界唯一同时支持Avocent、Raritan、ATEN等主流KVMOverIP业界唯一支持移动运维，迎合BYOD的移动办公，移动运维的趋势账号密码托管代填，能够实现对字符运维、图形运维、文件传输、KVM、应用发布等协议和应用的账号密码代填功能，覆盖最全面；实现对Linux\Unix、Windows服务器、网络设备的密码定期自动修改最细粒度审计，审计结果完整可靠图形智能识别模块OCR，实现图形操作内容的文字识别和录像关联，快速定位；虚拟应用发布的完整支持（remoteapp），并实现应用细粒度授权和完整审计，业内唯一；审计录像采用数据流回放技术，空闲操作（无屏幕变化）日志无增长，节省了日志空间系统安全性和可靠性领域开创并实现国际化，中英文双语支持，并通过国际安全红线认证，可进行全球化销售双机热备和集群模式的完整支持，可实现配置和审计日志实时同步，保证系统高可靠性；身份认证提供了自带USB-KEY证书认证，提供了强身份认证的安全保障14部署前：所有人员包括移动办公人员、合作伙伴、运维外包人员、内部运维人员共同使用root帐号直接登录核心业务服务器进行各种操作，当核心业务数据被非法修改，或是执行了其他非法命令等，在现有环境上很难定位到人，无法进行责任的认定和故障分析。安全监控、审计部署后：每个自然人都对应一个主帐号（审计平台帐号），登录到核心业务服务器的从帐号root（目标主机帐号），两个帐号存在唯一对应关系，审计人员可以很方便的从平台中查出是谁在什么时间登录哪台服务器做了什么操作，产生什么样的结果，很方便的实现责任认定和故障分析。16创建帐号，授权控制内部管理人员为其创建临时帐号，授予完成维护需要的最小化权限，对高危操作命令进行控制和告警。安全监控、审计保留所有运维操作过程对该阶段的运维操作进行全部记录并保存，作为审计的依据，内部人员还可以实时对其进行监控，发现有违规操作，可以立即进行阻断。Internet业务系统运维需求业务系统的维护、更新升级、故障处理需要合作伙伴或是运维外包人员登录系统进行各种操作。17应用场景-实时安全监控操作界面监控界面发现异常操作行为，立即阻断18应用场景-合规遵循报表定制开发根据用户的所在的行业，进行报表的定制开发支持，满足用户所在行业对合规性的需求。操作原始日志保存了全年的包括内部人员、合作伙伴、外包代维人员对核心业务服务器运维的原始操作日志。第三方审计机构（Eg:银监会、证监会、保监会、审计局、公安部等级保护监督检查等）19华润集团案例介绍华润集团随着维护集中化水平不断提高以及快速处理故障的需要，维护人员和第三方人员采用多种方式接入通信网、业务网及各支撑系统。由于缺乏有效的控制手段，新的接入方式，特别是通过IP网络远程维护，在提高维护工作效率的同时，也引入较大的安全风险。为解决安全运维管理的问题，迫切需要建立一个统一的安全管理和综合审计平台。PLDUTMSMS作为各支撑系统维护的统一接入点，对维护操作进行集中管理；管理人员可以对支撑系统的用户和资源进行集中管理、集中授权、集中控制和集中审计，从技术上保证业务支撑系统安全策略的实施，保障业务支撑系统安全、高效的运行。上线时间：2011年12月；项目规模：一期双机热备，二期扩容为集群模式，总共管理设备1500，人员200+；运维状态：运维人员（网管、系统管理员、代维厂商），为了提供高稳定服务，系统采用集群部署，集中管理；功能模块：字符终端审计，图形终端审计，数据库运维审计，B/S运维审计22平安集团案例介绍平安保险，全称为中国平安保险（集团）股份有限公司，是中国第一家以保险为核心的，融证券、信托、银行、资产管理、企业年金等多元金融业务为一体的综合金融服务集团。公司成立于1988年，总部位于深圳。需求：《商业银行内部控制指引》、《企业内部控制基本规范》上线时间：2013年2月；项目规模：分两地部署，深圳总部和上海容灾，总部3000资产纳入管理，容灾1000资产纳入管理，涉及人员数300；部署形态：深圳总部采用集群部署，容灾机房采用双机热备部署；功能模块：字符终端审计，图形终端审计，文件传输审计，应用发布平台。23河南省国家税务局案例介绍河南省国家税务局是河南省主管国家税收工作的职能部门，为正厅级全职能局，对全省国税系统实行垂直领导。河南省国家税务局需要遵循《计算机等级保护》条例要求第3级别，内容包括对操作行为行管控和审计。为解决河南省国税系统安全管理的上述问题，迫切需要建立一个统一的安全管理平台，使得系统和安全管理人员可以对支撑系统的用户和各种资源进行集中管理、集中权限分配、集中审计，从技术上保证业务支撑系统安全策略的实施，保障业务支撑系统安全、高效的运行。需求：《信息安全等级保护基本要求》,对系统维护工作人员、第三方厂商维护人员进行安全审计，确保他们的维护工作在透明的、可审计、风险可控下进行运行维护操作。完成时间：2011年11月项目规模：信息中心网，总计300余台服务器,30余套数据库系统运维状态：运维人员（DBA、网管、系统管理员、代维厂商、第三方开发人员等），电子政务综合信息网署帕拉迪统一运维管理审计