保旺达一体化内控内审系统[整理].pptVIP

图形化审计与屏幕录像 针对数据库维护以外的图形化操作，如IE、防火墙客户端等 客户登录堡垒主机时自动启动屏幕录像进程 采用图片时间矢量技术，压缩大量录像所占的硬盘空间 根据主账号、登录时间、维护工具、当前窗口名称、键盘命令等关键字段进行检索 屏幕录像播放截图 存储位置包含主账号、主机IP、录像日期等信息 播放窗口 检索窗口 检索窗口“淘宝” 检索“删除文件”窗口 文字输入检索“taobao” 文字输入检索“安全” 报表输出 支持TXT 、EXCEL、WORD、PDF 等 多 种 格 式 议题 产品功能 4 信息防护 4.6 审计管理 4.5 授权管理 4.4 认证管理 4.3 账号管理 4.2 功能总揽 4.1 信息保护解决方案 利用一定规则扫描数据库，发现敏感信息保存在数据库的具体位置（哪个表的哪个字段）； 2.通过堡垒主机细粒度授权功能，限制代维人员对含有敏感信息的字段的访问，如果确实需要访问，必须由室经理进行二次授权；　 3.当用户将敏感信息从数据库拷贝到堡垒主机时，系统及时发现并自动定义该信息的安全级别； 4.通过堡垒主机用户环境WEB页面可以查看到可供下载的数据文件，如果该数据文件不包含敏感信息，可以任意下载；如果该数据文件包含敏感信息，就根据数据文件的安全级别授权（可以下载、二次授权下载、不可下载） 4A成功案例 电信运营商 江苏移动－业务支撑系统、信息化部 江苏电信－业务支撑系统 江苏联通－信息化部 青海移动-信息化部 安徽联通-信息化部、产品创新部 中联通总部-产品创新部 其他行业 中电十四所 江苏省地税 议题 公司介绍 1 解决方案 3 产品功能 4 项目背景 2 成功案例 5 什么是4A 帐号管理（Account） 建立统一的主账号系统 管理业务系统及相关设备的从账号系统 主从账号关联 认证管理（Authentication） 选择多种强身份认证系统 账号实名制登录和单点登入子系统 授权管理(Authorization) 统一、多级分配权限 实现三权分立 安全审计(Audit) 日志收集归并分析 维护操作行为审计 为什么需要4A 解决账号孤岛问题 各业务系统身份认证相互独立，每个用户需要记忆多套用户名/口令，用户名和实际用户无法有效对应 一方面主机、数据库、网络设备、安全设备中存在大量的孤立账号，另一方面账号公用的问题十分突出，现有审计系统无法定位实际的操作人员 解决审计孤岛问题 业务系统、主机、数据库、网络设备、安全设备、用户终端都会产生海量日志 某一安全事件可能导致各类设备产品上百万条不同的告警信息，对网管人员会造成误导，延长解决问题的周期 现有的网管和SOC只能判断网络及设备本身的问题，对于应用级的故障无法审计 为什么需要4A 解决信息泄密问题 第三方的开发人员、代维人员拥有过高的权限 操作行为无法监控，误操作会导致业务系统的宕机 一条查询语句可能造成大量的客户信息被泄密 通过孤立账号可以轻松地从事非法活动 通过4A系统可以实现用户实名制登录，从应用层快速定位各类安全故障并提出最优解决方案，发现并删除孤立账号，对第三方人员的维护行为全面跟踪，及时发现并阻止各类违规操作，从而保证用户业务系统的安全 4A在安全体系中的位置 4A BWDa ICA框架体系 结合中移动4A要求升级为BWDa SIC V3.0 2008 结合SOX法案要求升级为BWDa SIC V2.0 2007 保旺达安全内控系统（BWDa SIC） 2006 保旺达分级网关系统V3.0成功运用于江苏移动BOSS移 2005 发布保旺达分级网关系统V1.0，成功解决军工单位安全内控问题 2003 结合中国电信CTG-MBOSS安全规范要求升级为BWDa SIC V4.0 2009 2009 开发历程 一体化内控内审系统(BWDa ICA) 2009 2011 议题 公司介绍 1 解决方案 3 产品功能 4 项目背景 2 成功案例 5 普通员工 人员安全分层 开发人员 代维人员 管理员 业务系统 终端接入流程 强身份认证 终端合规检查 权限分发 单点登录 日志审计 4A门户网站 系统维护接入流程 终端用户 …… 接入平台 PLSQL SQLPLUS SECURECRT LOTUS …… 应用程序授权 设备实体授权 Select Update 清单 细粒度 授权-统一开发和代维管理软件 PS:可根据用户需求增加 命令阻断功能 议题 产品功能 4 信息防护 4.6 审计管理 4.5 授权管理 4.4 认证管理 4.3 账号管理 4.2 功能总揽 4.1 管理员管理 审计接口 备份管理 权限管理 运行管理 组件管理 数据采集 安全接口 安全报表 信息预处理 安全预警 审计分析 资源管理 授权接口 细粒度授权 资源授权 角色授权 角色管理