推广 热搜: 系统  无线覆盖  弱电系统  WMS  弱电  信息  网络  解决方案  行业  息系统 

银行解决方案

   日期:2015-11-19     浏览:119    评论:0    
核心提示:银行行业解决方案业务特点目前某银行日常运维的安全现状如下:1)目前对服务器的缺乏必要的审计手段,仅能通过监控录像、双人分段
 银行行业解决方案

业务特点

目前某银行日常运维的安全现状如下:

1)目前对服务器的缺乏必要的审计手段,仅能通过监控录像、双人分段或专人保存密码、操作系统日志结合手工记录操作日志等管理办法,无法追溯操作人员在服务器上的操作过程、了解操作人员行为意图,并且这样的管理成本很高,很难做到长期照章执行。

2)对服务器的维护和管理依赖于操作系统的口令认证,口令具有可被转授、被窥探及易被遗忘等弱点,另外,在实际环境中还存在多人共用一个账号甚至经常多人掌握Root权限帐户密码等现象,使得管理存在很大的安全漏洞,直接威胁服务器安全。

3)针对许多外包服务商、厂商技术支持人员、项目集成商等在对内部核心服务器、网络基础设施进行现场调试或远程技术维护时,无法有效的记录其操作过程、维护内容,极容易泄露核心机密数据或遭到潜在的恶意破坏。

 

需求分析

某银行对其信息安全建设一直比较重视,处于同行业较高水平,但是其运维安全管理、内控机制等方面也存在上述问题,因此针对运维管理的具体需求如下:

1)支持日常维护人员针对AIXLinux主机设备,主流网络设备、Windows服务器的进行的运行维护操作审计;

2)审计协议支持SSHSFTPRDP等,同时支持SSO登录;

3)详细的权限分配功能,可以根据时间、登录IP、目标资源等进行详细授权,并可集成行里双因素认证;

4)对于被审计系统、设备支持密码安全管理功能;

5)支持按时间、用户名、被审计设备、命令等进行的定制报表,并可以导出ExcelPDF等格式报表;

6)审计结果以视频回访形式展现出来,并可以根据需求定位到某特定命令;

7)设备支持硬件冗余方式,并支持HA

 

解决方案

根据江南科友HAC支持的部署模式,结合某银行目前网络及安全现状,其逻辑部署如下:

       部署说明:

*针对运维审计对安全的特殊要求,推荐在某银行DC核心交换机或二层接入交换上划分出“安全运维网段”,并使该网段路由可达到任何区域;

*在安全运维网段部署2HAC 1000E,单臂模式,实现HA,保障设备的高可用性;

*在核心PIX作严格的安全策略,只允许主机、网络、安全等维护人员(行内、行外)通过HAC访问服务器、各区域,而不允许直接访问这些关键资源;

*另外,在该安全运维网段可以部署运维管理主机,作为远程操作终端,用户经过HAC后,到达该管理主机,管理主机访问后台服务器。

 

针对主机服务器、网络安全设备的审计

    实现过程为:

1) 主机维护人员(行内、行外)首先经过HAC进行身份认证;

2) HAC身份认证通过后,进行授权,指定该主机维护人员可以访问的后台资源;

3) HAC将访问请求自动转发到后台资源。

    在这个过程中,运维人员的所有操作都被HAC安全记录下来,并可实现了数据重组和视频回放,完全再现了操作内容和行为轨迹。

 其他特殊客户端运维审计

    实现过程为:

1) 针对特殊客户端(如IBM专用客户端、数据库客户端)维护人员(行内、行外)首先经过HAC进行身份认证;

2) HAC身份认证通过且授权后,通过RDP或其他协议访问到运维管理主机(windows服务器或Unix服务器,该服务器上安装特殊运维客户端软件);

3) 运维管理主机访问后台特殊应用资源。

在这个过程中,运维人员的所有操作都被HAC安全记录下来,并可实现了数据重组和视频回放,完全再现了操作内容和行为轨迹。


方案特点

1)为用户IT基础设施口令统一管理提供一种有效的解决方案,提高了口令管理员的工作效率;

2) 针对用户复杂的IT环境,提供了一种完备、有效的运维安全管理手段,最小化降低IT操作风险;

3)提供一种有效技术手段满足信息安全、IT系统运维管理、企业遵规三个方面的要求。

 
打赏
 
更多>同类方案
0相关评论

 
最新方案
点击排行

网站首页  |  付款方式  |  版权隐私  |  使用协议  |  联系方式  |  关于我们  |  网站地图  |  排名推广  |  广告服务  |  RSS订阅  |  违规举报  |  京ICP备11008917号-2  |