中云腾天运维安全管理解决方案.pdfVIP

运维安全管理解决方案 运维安全管理解决方案 1．需求 随着企业信息系统快速发展，越来越多的网络设备、安全设备、服务器承载 着各种关键业务。设备资产的运维管理复杂性日益增加，访问安全问题凸显。 从威胁统计来看，接近 80%的攻击来自组织内部。信息系统安全除了加大网 络边界防护、数据通信安全、防病毒等，更应该主意内控安全，提升 IT 运维管 理水平，增强内控外审，降低运维成本。因此，对运维操作风险管理提出了更高 的要求，希望能够对网络管理员、系统管理员、代维人员、开发人员等的运维操 作行为，做到事前有效控制、事中严格监控，事后追溯审计，具体需求如下：  集中管理：对管理员进行统一认证，解决操作分散无序的问题，提高管 理效率；  账号管理：对管理员账号进行实名制管理，在同一平台上完成账号生命 周期管理，避免因共享账号、特权账号的安全隐患；  强身份认证：使用动态口令技术进行认证，防止认证信息丢失。  精细的策略：能够基于用户组、设备组、操作指令对管理行为制定策略；  审计操作行为：对维护管理行为进行有效的行为审计；  合规要求：满足国家安全等级保护法规要求以及行业相关标准要求。 2．解决方案 运维操作管理的本质是对于运维操作行为的控制，而采用什么样的方式去控 制以及控制的力度，决定了管理的高度。建议采用中云腾天的统一安全管理及与 运维审计平台，即USM 系列内控堡垒机解决运维过程的一切安全风险。 2.1 部署方案： 1 地址：北京市上地十街辉煌国际5 号楼717 室 网址： 运维安全管理解决方案  单区域部署： USM 统一安全管理平台是用户操作的唯一入口。  旁路部署两台USM 设备，实现双机HA  保证内外网用户可以与USM 设备的IP 路由可达，USM 设备与后台被管理 的资源IP 路由可达。  采用强身份认证方式，部署一套中云腾天的SAS 强身份认证系统,旁路部 署即可。  如需要对数据库等专有系统进行运维审计，需在内网部署一套的 Windows 应用发布器（PC Server 或者虚拟机都可以），譬如Windows 2003 server，在其上安装用于应用发布的Agent 程序以及上专有的C/S 应用 管理客户端。 特殊情况下，也可以将应用发布机直接部署在USM 堡垒机上。 2 地址：北京市上地十街辉煌国际5 号楼717 室 网址： 运维安全管理解决方案  多区域分布式部署：  每个分支部署USM 中低端设备  总部部署两台USM 高端设备  总部部署一套中云腾天LAS 综合日志审计系统，用于审计各个节点的堡 垒机日志，生成综合报表。当然日志审计系统也可以收集其他主机、网 络设备以及应用的日志进行分析处理 2.2 普通运维人员的操作流程： 中云腾天USM 统一安管平台预先定义好账号、认证和授权策略。 USM 对各种字符终端和图形终端使用的协议进行代理，实现多平台的操 作支持和审计，例如Telnet、SSH、FTP、Windows 平台的RDP 远程桌面协议， Linux/Unix 平台的X Window 图形终端访问协议等。 3 地址：北京市上地十街辉煌