0榕基内控运维管理系统RJ-ICOM

余精彩中国优秀的行业应用软件产品和服务提供商目录•一、公司简介•二、需求背景•三、现状分析•四、产品理念•五、功能介绍•六、特色优势•七、部署案例第二阶段从小到大——自1996年开始，业务涉入福建电力和公安交警等传统行业，开展系统集成业务，开发自主知识产权软件系统和产品奠定了企业经济基础和人力资源基础。第三阶段从本省到全国——自1999年底开始，实施软件产业战略转移，开创了企业稳步增长的新时期。第一阶段从无到有——自1993年开始在福州创立定名“榕基”，以应用软件开发项目分包和系统维护服务开始原始积累。1.1发展历程1.2公司规模1.3产品与服务政务信息化RJ-eGov政务信息化RJ-CMS内容管理RJ-easy电子单证RJ-TRF公安交通应用支撑平台……企业信息化RJ-eFlow智能办公RJ-DMS配电自动化电力用电营销系统RJ-MDM物流管理……信息安全网络隐患扫描系统风险管理系统内控运维管理系统WEB应用防火墙……服务网络服务安全服务培训支持及维护增值服务……发展规划RJ-iTask任务管理RJ-51工程……1.4行业领域电力公安交警军队政府机关司法质检医院海关石化电信1.5荣誉证书目录•一、公司简介•二、需求背景•三、现状分析•四、产品理念•五、功能介绍•六、特色优势•七、部署案例2.1IT资产膨胀2.2IT资产类型•从运维角度看–服务器主机–数据库主机–路由设备–交换设备–安全设备–专用系统•从应用途径看–业务系统（BSS/证券等）–支撑系统（如网管）–OA系统–财务系统–人力资源系统–客户服务系统CRM2.3IT资产使用者•管理员–运维主管–常驻维护人员–外包服务人员–外聘运维人员–临时授权•一般用户–普通用户–领导–财务、行政–业务人员–外来临时用户2.4资产访问方式•使用远程终端服务：例如telnet、rlogin、rsh、rexec、ssh之上的命令行接口（CLI）。•使用文件传输协议：例如FTP等。•使用远程窗口和桌面：例如Windows的远程桌面（RDP），和Unix的Xwindow。•使用各种数据库客户端：例如各种数据库的client程序、ODBC、JDBC，以及多种其它数据库工具。2.5资产的安全控制DB管理员系统管理员网络管理员业务操作员Windows服务器Unix服务器安全设备网络设备IT资产中心分支机构外聘人员代维厂商多人使用多点登录目录•一、公司简介•二、需求背景•三、现状分析•四、产品理念•五、功能介绍•六、特色优势•七、部署案例3.1用户不堪重负密码记忆用户需要记忆许多用户名和密码用于登录各个系统，经常出现忘记密码的情况，有些管理直接使用相同的密码，缺乏统一的用户管理。频繁登录和注销管理不同的网络设备需要分别登录，操作烦琐。内控安全企业生产数据面临被内部人员篡改、删除、窃取、主机被关机、设备配置被修改，导致企业生产停顿、商业资料泄露，给企业造成巨大的损失。3.2日常工作内容帐号管理认证管理A1A2操作审计A4授权管理A3定义帐号密码定期变更密码密码强度控制……..日志收集日志分析故障排查事故追踪……..建立帐号修改帐号删除帐号……..定义帐号权限分配帐号修改帐号权限防止越权访问……..设备及服务器管理3.2.1管理问题—1A帐号管理空闲帐号弱口令帐号僵尸帐号共享帐号设备及服务器群3.2.2管理问题—2A认证管理各系统独立认证单一的静态口令认证口令强度基本无限制3.2.3管理问题—3A授权管理授权工作量大、繁琐没有有效的访问控制手段授权粒度粗，基本只到设备3.2.4管理问题—4A审计关键业务系统数据被修改了，系统记录是admin改的，到底是谁用这个帐号改的？这么多系统，查看命令这么复杂，我怎么去使用这些命令去查看？业务数据被修改，从日志中查，一天的日志量有几百万，我该从什么地方开始看，他到底在什么时间修改业务数据的？每个系统的日志都这么多，不知道他们之间有什么关系？3.2.5管理问题—4A审计缺乏帐号分配审计缺乏用户使用相应帐号的授权审计缺乏用户登录登出系统的审计缺乏用户对系统访问行为审计总结：没有跨系统的综合审计！！！3.3政策要求•萨班斯.奥克斯利法案（Sarbanes-Oxley）•《企业内部控制规范》•《证券公司内部控制指引》目录•一、公司简介•二、需求背景•三、现状分析•四、产品理念•五、功能介绍•六、特色优势•七、部署案例4.1KVM管理方式•Keyboard+Video+Mouse•账号口令依然难记•登录切换烦琐•没有控制和审计4.2集中式管理•方式：–先登录管理作业服务器，然后转换身份再对相关服务器进行维护。属于多用户单帐号管理。•问题：–1.多用户共享root帐号，权限划分不明，所有人员都具有最高的ROOT权限。–2.无法跟踪某个管理员的确切操作。–3.依靠各自服务器的日志信息，审计信息不可读。4.3旁路审计的局限1.不支持密文协议（SSH/RDP等）2.无法细粒度授权和访问控制3.审计信息不可读（非实名、信息量大）DB管理员系统管理员网络管理员业务操作员Windows服务器Unix服务器安全设备网络设备中心各网点分支机构代维厂商4.4解决方案4.5管理目标集中管理帐号管理认证管理授权管理唯一身份操作审计你是谁你能干什么你干了什么4.6身份和授权相分离目录•一、公司简介•二、需求背景•三、现状分析•四、产品理念•五、功能介绍•六、特色优势•七、部署案例5.1统一账号•降低了记忆账号的负担5.2统一认证•增强了认证的安全性5.3.1授权和控制策略中配置禁止该操作员使用kill等危险命令，显示禁用提示信息策略中配置禁止命令中不包含more命令，放行通过，得到正确执行结果操作人员moreabc.filekillallapache内控运维管理系统目标服务器5.3.2禁止指令列表5.4常用协议审计支持指令终端的常见协议SSH、TELNET、RLOGIN、FTP5.5图形审计支持图形终端的常见协议RDP、VNC、XWINDOWS5.6单点登录•统一的WEB单点登录方式•避免了频繁切换和登录登出的麻烦5.7.1集中审计•详细的审计列表，实名制•查询方式、回放方式5.7.2详细审计列表5.7.3审计记录回放•操作过程回放目录•一、公司简介•二、需求背景•三、现状分析•四、产品理念•五、功能介绍•六、特色优势•七、部署案例6.1.1内控运维管理系统标准特色•物理旁路快速部署，不改变拓扑结构。（相比串行审计而言）•实现账号、密码的统一管理。（相比传统集中管理而言）•实现运维命令的实时审计和拦截控制。（相比传统的并行网络侦听审计而言）•实现包括加密协议SSH、SFTP，图形协议RDP等在内的更全面的审计。（相比并行审计）6.1.2脱胎于运营商的实践•脱胎于05年国内最早的4A项目—黑龙江移动OSS，对于运营的实际需求满足充分。•严格按照中国移动通信企业标准QB-W-002-2005《中国移动支撑系统集中账号管理、认证、授权与审计（4A）技术要求》的要求开发完成。•运营商6年的使用实践，最多管理省级运维网络高达3000多台设备，性能卓越。6.2五大特色（独门秘技）•1、智能运维脚本：•让运维自动化。•2、管理终端安全检查：•杜绝信息泄露。•3、文件共享管理：•把管理从操作拓展到内容•4、共享资源的管理：•拓展到更多共享资源•5、应用程序发布管理：•都拓展到应用程序的虚拟发布了！6.2.1智能运维脚本•对运维指令集，可以编写成脚本的形式，由RJ-ICOM定时自动执行。•代维人员或者厂家人员，如果需要授权他们操作设备，可以改为让他们提交操作脚本，由业主单位的管理人员审核后付诸实施。•对于基层操作人员和实习人员，也可以改为提交脚本，由领导审核后提交运行。6.2.2控制终端安全检查•单点登录系统保存着系统帐号并具有访问重要资源的网络权限，在使用单点登录前，需要对使用者的终端做安全合规检查。包括防病毒、补丁，并提供修复功能。•通过禁止剪贴板功能、禁止本地磁盘映射，增加单点登录的保密性，可以有效地防止信息泄露。6.2.3共享文件管理•不仅能对资源进行运维，还可以管理服务器上的共享文件，可以通过RJ-ICOM向服务器上传、下载文件，支持断点续传。并能审计及备份文件。6.2.4对共享资源的管理•支持对共享文件、文件夹、共享光驱进行单点登录，并做资源的访问审计。•支持对共享打印机进行单点登录，并做打印审计。6.2.5对应用程序的管理•可以对远程主机上的某个软件进行单点登录，从而实现该程序的应用虚拟化。6.3产品优势•统一的web管理方式。•内含认证组件（radius）。•可以集成各种强认证方式。•访问方式控制采用策略形式，方便易用。•查询统计为组态报表，可以自定义报表。•大4A系统的核心部件，易于拓展到4A项目。目录•一、公司简介•二、需求背景•三、现状分析•四、产品理念•五、功能介绍•六、特色优势•七、部署案例7.1部署优势527.2.1旁路部署管理员内网区域服务器群RJ-ICOM7.2.2少量试用管理员内网区域RJ-ICOM服务器群7.2.3全部控制管理员内网区域服务器群RJ-ICOM7.2.4取消后门管理员内网区域服务器群RJ-ICOM7.2.5双机热备管理员内网区域服务器群RJ-ICOMRJ-ICOM7.3向大4A的拓展58内控运维管理也叫小4A，当：1、以上功能的管理对象从运维设备拓展到应用系统。2、操作用户从网管员拓展到全员时。就成为完整4A（集中身份和访问管理）系统了！中国优秀的行业应用软件产品和服务提供商余精彩13426260725