天玥网络安全审计系统V6.0-核心信息管控系统（VBH系列）-典型方案_V1.2.doc

天玥网络安全审计系统V6.0 核心信息管控系统（VBH系列） 典型方案（V1.2） 北京启明星辰信息安全技术有限公司 2014年4月 目 次 1. 综述 2 2. 需求分析 2 3. 实现目标 3 4. 解决方案 4 4.1. 总体实现目标 4 4.2. 系统总体架构 4 4.2.1. Server管理服务器 5 4.2.2. Portal应用服务器 5 4.2.3. DataServer数据服务器 6 4.2.4. RaidServer存储服务器 6 4.2.5. 审计策略库 6 4.2.6. Server/License服务授权 7 4.2.7. Portal/User 7 4.2.8. 接口定制开发 7 4.3. 用户使用流程介绍 7 4.4. 系统主要功能 9 4.4.1. 运维帐号的集中管理和认证 9 4.4.2. 运维工具的集中管理和发布 10 4.4.3. 核心数据的下载审批 11 4.4.4. 全面支持运维管理协议 11 4.4.5. 系统密码策略管理 13 4.4.6. 热备和流量分担 14 4.4.7. 第三方接口 14 4.4.8. 安全性保障 14 综述 XXXX（指客户名称及业务系统）的CRM、EDA、计费等系统中的数据涉及客户、业务使用、运营收入、资源等企业运营各个方面，是企业的宝贵资产，业务认证审计系统的建设各业务系统的安全保护、保障数据安全、充分发挥数据资产价值、增强了业务平台风险抵御能力等方面起到了积极的作用。 但随着XXXX企业规模和用户数逐年扩大以及相应业务系统规模和客户数量的增加，随着对客户信息安全保护、业务支撑网数据安全要求的提高，用户对统一系统功能也提出了更高的要求。 需求分析 为保障数据安全、充分发挥数据资产价。确保数据提供的及时、准确，数据使用的高效和安全，需要有以下几个方面需要改进： 由于用户人数众多，容易出现多人共用一个系统账号的情况，如果出现了问题很难对应到具体的责任人。 运维人员所使用的运维工具种类多样，使用过于分散不便于管理。 维护人员获取核心数据过于简单，高级别维护人员可直接登录到业务后台系统，编辑执行相关的脚本，或进入数据库系统进行大批量数据查询，生成大量的原始数据文件后，通过FTP或其它方式下载到本地PC，进行人工分析； 维护人员也可通过如PL/SQL、TOAD、Sqlplus等运维工具登录核心业务数据库服务器提取并生成数据文件直接另存到本地；或可通过“拷贝”、“粘贴”的方法，在本地PC形成核心数据文件。 实现目标 在不影响业务的正常开展，不增加营业厅的操作难度的前提下，围绕核心业务系统数据的生成、流动、共享、操作等流程，建立一个完善的管控机制。 对运维的用户进行统一的身份和帐号管理； 对运维人员适用的工具进行集中、统一的管理，对运维工具的操作进行控制，禁止直接从运维工具的界面中直接拷贝、粘贴信息到登录PC中；对于通过运维工具进行的操作进行详细的审计，包对操作命令进行审计、查询等； 对来往于后台主机和运维终端之间的文件引入文件审批和备份机制，严格控制并记录文件的流动情况； 形成完整的审计记录，包括各种文件的副本、文件审批操作日志、文件传递操作日志等。  解决方案 总体实现目标 本期建设方案将以较小的投资解决当前最核心的安全隐患，并通过对核心系统中的用户管理、认证授权、安全审计、数据安全管控、日志收集等功能整合成集中、统一的系统，建立核心系统、主机、操作系统、数据库、网络设备、终端等各种企业信息化资源的集中控制和管理的平台，同时制定运维安全管理规范和应用开发安全管理规范，最终达到用户统一管理和数据文档安全、系统安全平稳运行的目标。 系统总体架构 本期项目计划用一台Server管理服务器，三台Portal应用服务器以及一台DataServer数据服务器构成图形堡垒系统，实现运维管理和文档控制的目标，如下图： Server管理服务器 天玥Server认证管理服务器主要负责以下几方面的工作： 通过Console管理控制台提供系统的管理、配置界面，并存储、解析、下发系统的数据安全策略； 对CRM系统、EDA系统以及计费等系统的数据库、业务系统的主帐号、从帐号等进行集中管理； 存储各种审计日志信息，并可通过Console管理控制台进行查询。 Portal应用服务器 在Portal应用服务器平台上安装Windows2003 Enterprise Server操作系统，根据目前生产及运维环境，建议配置三台Portal应用服务器，实现用户流量的分流和负载均衡，硬件部分可由局方提供。并基于此平台安装Portal/Sys系统软件、Portal/TOOL运维工具发布及Portal/EDIT辑工具发布软件，并通过Portal/NetStore模块实现与DataServer