德讯堡垒机助力金融IT系统安全防护.docVIP

德讯堡垒机助力金融行业IT系统安全防护 近年来，金融行业的IT系统业务发展迅猛。与之伴随的是，金融行业信息系统所面临的威胁和风险也越来越大，由人工操作导致的风险屡次出现。因此通过堡垒机系统有效控制并降低金融行业IT系统运维操作的风险，使运维操作管理更加简单、安全；加强IT基础设施内部管理与监控是保证数据信息安全、业务运营稳定可靠的关键问题。 针对金融行业面临的信息安全风险，以及其信息化业务发展现状和需求，德讯科技推出ICS堡垒机系统可从技术层面提供全方位一体化的安全防范与有效控制手段。 ICS堡垒机系统基于COBIT标准框架，主要从影响金融业网内运维安全四大要素（主体、对象、工具、行为）入手，提供“认证、监控、审计、评估”管理手段，为数据中心构建一套“事前预防、事中监控、事后审计”的网内安全运维监管体系，实现“运维集中化、操作规范化、风险最小化”的管理目标。 其安全运维监管模型，如下图所示： 安全运维监管模型 金融行业用户通过应用德讯ICS堡垒机系统解决方案，可以充分享受以下应用价值： 提供统一管理平台，实现运维工具集中管理 提供统一WEB管理入口，对登陆用户身份的合法性实施统一认证；系统自带字符类/图形类/应用类多种运维工具，无需运维客户端自行安装，避免运维过程中出现工具不全面，版本不兼容的问题；支持会话代理访问通道的建立，改变原有本地客户端直接发起会话的运维模式，提供集中化、一站式运维服务，并对运维过程实现有效监控与审计。 运维前主动防控――运维主体身份识别与认证 提供一套非常完善的身份管理与认证机制，把握和控制该数据中心WEB管理平台访问入口，对所有登陆用户身份的有效性和合法性逐一验证，加强操作源头的安全防范，真正实现操作访问前的主动防控管理，大大降低了行业重要业务信息数据泄露的风险。支持用户本地（WEB管理平台）与第三方（如Radius、RSA SecureID认证、LDAP/AD 域）两种认证渠道，在保证安全防范操作的同时，提高了用户操作的灵活性与便捷性，同时体现系统强大的兼容性与扩展性 运维过程的全生命周期审计，保证运维的安全性 提供网内运维管理全生命周期的审计，采用流媒体形式记录运维人员登陆运维网关至登出运维网关的全过程，支持对字符、图形等多种类型会话的全面审计。 审计结果以操作日志及录像相结合的形式呈现，同时支持录像回放、SQL语句、关键字符与审计录像关联定位与检索，实现运维操作过程的快速定位、精确跟踪以及真实重现，协助审计人员对非法运维操作节点的排查及故障责任的追溯，提升数据中心精细化、规范化的运维安全管理水平。 统一账户与密码管理 支持对各类目标设备，如服务器设备、网络设备、以及安全设备的帐户及密码进行统一管理，涉及帐户及密码的实时收集、定期批量修改、帐户分配管理、单点登录/密码代填。 运维中实时监控――运维行为实时监管与控制 为企业数据中心运维人员业务操作提供直接的安全管控手段。基于矩阵窗口模式实现会话过程的实时监控，支持多路监视画面轮询切换以及具体画面的锁定与缩放，对于异常、可疑、违规操作可及时制止并实施阻断。有效提高企业网内操作风险管理效率，提升风险防范及时性与可预见性，创建一个事中实时监督系统。 灵活的授权，实现用户主动管理的可控性 解决方案提供灵活的代维人员维护授权的管理能力，维护要求由业主用户主动发起，并设定代维账号，限定操作时段或频度后，通知代维公司运维，维护完成后，账号自动锁定，保证运维工作的可控性 单点登录，提高运维管理效率保护密码的安全性 针对运维管理账号提供的单点登录功能，将不再需要代维人员知道被控目标设备的系统级账号及密码信息，完全由直接完成代维人员只需要在会话中进行具体的维护性操作即可，整个过程不涉及被控目标设备的账号及密码信息，保证目标系统账号和密码的安全性 命令行会话的字符级控制，提高系统维护过程的安全性 针对Telnet、SSH等命令行会话行为，提供了操作命令的黑、白名单控制功能，对于一些高危命令完全可以预先设定好，使其代维人员在维护过程中无法执行此命令，从而控制运维过程带来的操作风险，保障运维的安全性 管理数据报表，为代维和业主提供工作量价值评估依据 解决方案集中汇运维管理过程各种会话及操作内容的数据信息，针对此数据可提供各种报表的挖掘，包括代维人员周期内的维护次数，维护人员维护时长汇总，各个被控目标设备的维护频度等，为业主用户提供代维价值的评估依据。 满足金融行业 通过本方案的实际部署和应用，金融行业用户有效实现了保障数据中心IT基础设施运营管理的稳定可靠性与业务数据信息安全性的管理目标。德讯科技“以科技及创新改善IT管理方式”的发展理念，最终取得了良好的验证与成效。 关于德讯（DATCENT） 德讯科技（Datcent）创立于200