帕拉迪-运维安全管理解决方案(堡垒机)课件.pptx

帕拉迪运维操作审计解决方案 Content 统一运维审计方案 IT运维面临的问题 应用场景 案例分享 3 4 IT运维的现状和风险 人员管理风险 资产管理风险 访问控制风险 运维管理风险 合规性风险 业务连续性是IT运维的基本要求 多种接入方式、分散管理 多种协议运维方式 共享账号问题 权限控制 操作行为无法审计 网络设备 主机设备 数据库设备 应用系统 数据丢失、服务异常、责任失控 法规遵从 信息安全等级保护 记录网络设备用户行为日志 用户身份标识/鉴别 用户角色/分配权限 服务器操作系统审计 数据库审计 7.1.3节：要求对用户进行身份标识和鉴别，根据用户的角色分配权限，实现权限分离，仅授予用户所需的最小权限；对主机的审计应覆盖到服务器操作系统和数据库系统； 7.1.2节7.1.3节：审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等；要求对日志进行分析，并生成审计报表等。 SOX法案 302节：要求行政人员证明他们公司设计和执行了适当的控制，以保证所有财务报表都可靠而且付合公认会计准则(GAAP)。 404节：要求所有在302节中所控制的过程都有可信的财务报表。这法令要求IT经理对所有有关财务报表的产生过程负责。 ISO27001标准 条款A10.10.1要求组织必须记录用户访问、意外和信息安全事件的日志，并保留一定期限，以便为安全事件的调查和取证； 条款A10.10.4要求组织必须记录系统管理和维护人员的操作行为； 条款A15.1.3明确要求必须保护组织的运行记录 条款A15.2.1则要求信息系统经理必须确保所有负责的安全过程都在正确执行，符合安全策略和标准的要求。 企业内控规范 要求国内上市公司严格执行该规范要求，以加强和规范企业内部控制、提高企业经营管理水平和风险防范能力 法规遵从 行业 法规标准 互联网服务商 《互联网安全保护技术措施规定（82号令）》 电信行业 《中国移动集团内控手册》 《中国移动业务支撑网安全域划分和边界整合技术规范》 《中国电信股份有限公司内部控制手册》 《中国网通集团信息质量问责管理若干规定 》 《中国网通集团内部控制体系建设指导意见 》 金融保险行业 《银行业金融机构信息系统风险管理指引》 《证券期货业信息系统安全等级保护测评要求（试行）》 《商业银行合规风险管理指引》 《中国银行业监督委员会办公厅文件银监办通313号》 《保险公司内部审计指引（试行）》 《保险公司风险管理指引（试行）》 《电子银行安全评估指引（2007）》 《电子银行业务管理办法（2008）》 《期货公司信息技术管理指引》 国内上市企业 《深圳证券交易所上市公司内部控制指引 》 《上海证券交易所上市公司内部控制指引 》 电力行业 《电力二次系统安全防护总体方案（2005）》 《国家电网公司信息化“SG186”工程安全防护总体方案（实行）(2008)》 医疗行业 《医疗机构信息系统安全等级保护基本要求》 法规遵从 堡垒机在信息安全等级保护中的探究与应用： 随着信息安全等级保护制度的开展和普及，金融、电力、运营商、医疗、教育及政府机构等开始参与并落实制度的执行。国务院法规和中央文件明确规定，要实行信息安全等级保护，重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度。 具体是哪些标准、哪些条款成为推动堡垒主机落地的驱动力？ 《信息系统等级保护安全设计技术要求（GBT 25070—2010）》 《信息系统安全等级保护基本要求（GBT 22239-2008）》 1、身份鉴别 2、自主访问控制 3、标记和强制访控制 4、系统安全审计 5、用户数据完整性保护、用户数据保密性保护、客体安全重用、程序可信执行保护 6、………… 堡垒机从设计到功能完全符合等级保护安全设计三级要求，对于目前定级的二、三级系统完全适用，成为通过信息安全等级保护设计和测评不可或缺的重要安全防护系统。（物理安全、网络安全、主机安全、应用安全、数据安全以及管理安全） Content 统一运维审计方案 IT运维面临的问题 应用场景 案例分享 3 4 统一运维审计解决方案 操作管理 统一运维审计解决方案 ☞最小化操作风险来源于管理模式 管理模式 你做了什么？ 操作审计 你能做什么？ 权限控制 你能去哪？ 访问控制 统一运维审计解决方案 图形终端运维审计 字符终端运维审计 数据库运维审计 文件传输操作审计 应用终端操作审计 KVM终端操作审计 RDP X11 VNC Telnet SSH FTP SFTP HTTP HTTPS Oracle DB2 Sybase SQL Server Avocent DSR HP’SAM IBM’SMIT Linux’Setup RDP磁盘通道 剪贴板 A