中云腾天运维安全管理解决方案中云腾天运维安全管理解决方案.pdf

运维安全管理解决方案 运维安全管理解决方案 1．需求 随着企业信息系统快速发展，越来越多的网络设备、安全设备、服务器承载 着各种关键业务。设备资产的运维管理复杂性日益增加，访问安全问题凸显。 从威胁统计来看，接近 80%的攻击来自组织内部。信息系统安全除了加大网 络边界防护、数据通信安全、防病毒等，更应该主意内控安全，提升 IT 运维管 理水平，增强内控外审，降低运维成本。因此，对运维操作风险管理提出了更高 的要求，希望能够对网络管理员、系统管理员、代维人员、开发人员等的运维操 作行为，做到事前有效控制、事中严格监控，事后追溯审计，具体需求如下： ? 集中管理：对管理员进行统一认证，解决操作分散无序的问题，提高管 理效率； ? 账号管理：对管理员账号进行实名制管理，在同一平台上完成账号生命 周期管理，避免因共享账号、特权账号的安全隐患； ? 强身份认证：使用动态口令技术进行认证，防止认证信息丢失。 ? 精细的策略：能够基于用户组、设备组、操作指令对管理行为制定策略； ? 审计操作行为：对维护管理行为进行有效的行为审计； ? 合规要求：满足国家安全等级保护法规要求以及行业相关标准要求。 2．解决方案 运维操作管理的本质是对于运维操作行为的控制，而采用什么样的方式去控 制以及控制的力度，决定了管理的高度。建议采用中云腾天的统一安全管理及与 运维审计平台，即 USM 系列内控堡垒机解决运维过程的一切安全风险。 2.1 部署方案： 1 地址：北京市上地十街辉煌国际 5 号楼 717 室 网址： 运维安全管理解决方案 ? 单区域部署： USM 统一安全管理平台是用户操作的唯一入口。 ? 旁路部署两台 USM 设备，实现双机 HA ? 保证内外网用户可以与 USM 设备的 IP 路由可达，USM 设备与后台被管理 的资源 IP 路由可达。 ? 采用强身份认证方式，部署一套中云腾天的 SAS 强身份认证系统,旁路部 署即可。 ? 如需要对数据库等专有系统进行运维审计，需在内网部署一套的 Windows 应用发布器（PC Server 或者虚拟机都可以），譬如 Windows 2003 server，在其上安装用于应用发布的 Agent 程序以及上专有的 C/S 应用 管理客户端。 特殊情况下，也可以将应用发布机直接部署在 USM 堡垒机上。 2 地址：北京市上地十街辉煌国际 5 号楼 717 室 网址： 运维安全管理解决方案 ? 多区域分布式部署：