运维操作审计中小银行解决的方案.pptVIP

德讯科技运维操作审计中小银行解决方案 一、行业背景及发展现状 伴随国民经济的快速增长，金融业迎来了前所未有的发展机遇，全国性和区域性股份制商业银行、地方/城市商业银行、信用合作社等地方性中小银行成规模化崛起，打破了以往国有四大银行一统天下的局面。 与大型银行相比，中小银行的特点为“规模小，网点少，经营区域集中”，正处于成长阶段。为了弥补其规模、地域短板的，各中小银行不断完善自身信息化基础设施建设，增强核心系统功能。在具体经营操作中，许多中小银行纷纷借助网络优势建立网络银行，提供网络客户服务平台。依托科技优势，打造业务壁垒是中小型银行在新经济环境下摸索出生存法则。 然而，信息化建设是一把双刃剑，随着其金融服务内涵和外沿的不断扩大，整体金融服务水平大幅度提高，伴生的信息安全风险日益凸现。 相对于日益成熟与完善的银行对外安全防护体系，中小银行当前所面临的信息安全威胁主要来源于企业内部，尤其在数据中心IT设施日常运维管理过程中，主要归结有以下四大因素： 运维主体、对象、工具、行为对信息安全的影响具体表现为以下四方面： 2 运维主体繁杂，帐号共享，无法统一管理 中小银行数据中心运维主体包括中心运维人员、分支运维人员、厂商人员、代维人员等。角色繁杂，账号共享，交叉使用，分散登录，管理缺乏规范性。一旦发生运维事故，无法锁定具体责任人，安全隐患极大。 2 运维工具部署分散，管理维护难度大 对于目标IT设施的维护，需要基于各种不同的运维管理工具，如字符形协议/图形化协议/数据库工具。传统模式下，运维工具分散安装部署于各个运维客户端，从而导致安装、升级、维护等工作量过大，造成网内运维环境安全难以管理的局面。 无法保障运维行为的合规性，缺乏有效的安全监管机制 运维操作的合法性完全由操作主体主观决定与控制，既没有精细控制每个管理帐号的执行权限;也没有明确定义“什么帐号可以执行哪些操作?哪个帐号不能执行哪些操作”的操作权限，责权模糊。因此，越权访问、权限滥用等操作风险屡见不鲜。 2 目标运维对象的操作过程不可控 中小银行数据中心内的目标IT设施规模庞大，数量众多，运维操作纷繁复杂，缺少必要的取证举证手段。对于违规违法访问，无法追溯到操作源头，更加不能为取证举证提供充分依据。 二、方案概述 针对我国中小型银行所面临的信息安全风险，及其信息化业务现状及需求，德讯科技ICS运维操作审计(堡垒主机)解决方案可从技术层面提供全方位一体化的安全防范与控制手段。 方案基于COBIT标准框架，主要从影响中小银行运维操作安全的四大要素(主体、对象、工具、行为)入手，提供“认证、监控、审计、评估”管理手段，为数据中心构建一套“事前预防、事中监控、事后审计”的网内安全运维监管体系，实现“运维集中化、操作规范化、风险最小化”的管理目标。 其安全运维监管模型如图2所示： 三、系统部署 本方案系统部署如图3所示： 本方案具备以下五个系统部署特点： 利用原有网络拓扑架构，安装部署简便，无需加装任何客户端代理，不影响任何业务数据流; 将ICS设备部署于核心交换机位置，实现对网络内所有服务器及网络设备的会话访问; 单台ICS设备最大支持500路字符会话及200路图形会话的并发访问压力，小规模的数据中心通常只需配置一台ICS设备; ICS主备两台设备HA部署，保障数据的完整性及整个系统的防灾恢复; 基于ICS WEB管理平台，运维人员可随时随地对数据中心内的IT设备实施运维、审计等管理操作。 四、应用价值点 提供统一管理平台，实现运维工具集中管理 方案提供统一的WEB管理入口，对登陆用户身份的合法性实施统一认证;系统自带字符类/图形类/应用类多种运维工具，无需运维客户端自行安装，避免运维过程中出现工具不全面，版本不兼容等问题;支持会话代理访问通道的建立，改变原有本地客户端直接发起会话的运维模式，提供集中化、一站式运维服务，并对运维过程实现有效的监控与审计。 运维前主动防控――运维主体身份识别与认证 方案提供了一套非常完善的身份管理与认证机制，把握和控制该数据中心WEB管理平台访问入口，逐一验证所有登陆用户身份的有效性和合法性，加强操作源头的安全防范，真正实现操作访问前的主动防控管理，大大降低了该银行重要业务信息数据泄露的风险。方案支持用户本地(WEB管理平台)与第三方(如Radius、RSA SecureID认证、LDAP/AD 域)两种认证渠道，在保证安全防范操作的同时，提高了用户操作的灵活性与便捷性，同时体现出系统强大的兼容性与扩展性。 运维中实时监控――运维行为实时监管与控制 本方案为中小银行数据中心运维人员的业务操作行为提供了一个积极、主动、直接的安全管控手段。基于矩阵窗口模式(如2*2、4*4)实现会话过程的实时监