中云腾天运维安全管理解决方案.pdfVIP

  • 3
  • 0
  • 约3.42千字
  • 约 5页
  • 2015-08-11 发布于重庆
  • 举报
中云腾天运维安全管理解决方案.pdf

运维安全管理解决方案 运维安全管理解决方案 1.需求 随着企业信息系统快速发展,越来越多的网络设备、安全设备、服务器承载 着各种关键业务。设备资产的运维管理复杂性日益增加,访问安全问题凸显。 从威胁统计来看,接近 80%的攻击来自组织内部。信息系统安全除了加大网 络边界防护、数据通信安全、防病毒等,更应该主意内控安全,提升 IT 运维管 理水平,增强内控外审,降低运维成本。因此,对运维操作风险管理提出了更高 的要求,希望能够对网络管理员、系统管理员、代维人员、开发人员等的运维操 作行为,做到事前有效控制、事中严格监控,事后追溯审计,具体需求如下:  集中管理:对管理员进行统一认证,解决操作分散无序的问题,提高管 理效率;  账号管理:对管理员账号进行实名制管理,在同一平台上完成账号生命 周期管理,避免因共享账号、特权账号的安全隐患;  强身份认证:使用动态口令技术进行认证,防止认证信息丢失。  精细的策略:能够基于用户组、设备组、操作指令对管理行为制定策略;  审计操作行为:对维护管理行为进行有效的行为审计;  合规要求:满足国家安全等级保护法规要求以及行业相关标准要求。 2.解决方案 运维操作管理的本质是对于运维操作行为的控制,而采用什么样的方式去控 制以及控制的力度,决定了管理的高度。建议采用中云腾天的统一安全管理及与 运维审计平台,即USM 系列内控堡垒机解决运维过程的一切安全风险。 2.1 部署方案: 1 地址:北京市上地十街辉煌国际5 号楼717 室 网址: 运维安全管理解决方案  单区域部署: USM 统一安全管理平台是用户操作的唯一入口。  旁路部署两台USM 设备,实现双机HA  保证内外网用户可以与USM 设备的IP 路由可达,USM 设备与后台被管理 的资源IP 路由可达。  采用强身份认证方式,部署一套中云腾天的SAS 强身份认证系统,旁路部 署即可。  如需要对数据库等专有系统进行运维审计,需在内网部署一套的 Windows 应用发布器(PC Server 或者虚拟机都可以),譬如Windows 2003 server,在其上安装用于应用发布的Agent 程序以及上专有的C/S 应用 管理客户端。 特殊情况下,也可以将应用发布机直接部署在USM 堡垒机上。 2 地址:北京市上地十街辉煌国际5 号楼717 室 网址: 运维安全管理解决方案  多区域分布式部署:  每个分支部署USM 中低端设备  总部部署两台USM 高端设备  总部部署一套中云腾天LAS 综合日志审计系统,用于审计各个节点的堡 垒机日志,生成综合报表。当然日志审计系统也可以收集其他主机、网 络设备以及应用的日志进行分析处理 2.2 普通运维人员的操作流程: 中云腾天USM 统一安管平台预先定义好账号、认证和授权策略。 USM 对各种字符终端和图形终端使用的协议进行代理,实现多平台的操 作支持和审计,例如Telnet、SSH、FTP、Windows 平台的RDP 远程桌面协议, Linux/Unix 平台的X Window 图形终端访问协议等。 3 地址:北京市上地十街辉煌

您可能关注的文档

文档评论(0)

1亿VIP精品文档

相关文档