近年來(lái),金融行業(yè)的IT系統(tǒng)業(yè)務(wù)發(fā)展迅猛,金融行業(yè)信息系統(tǒng)所面臨的威脅和風(fēng)險(xiǎn)也越來(lái)越大,由人工操作導(dǎo)致的風(fēng)險(xiǎn)屢次出現(xiàn)。因此通過(guò)堡壘機(jī)系統(tǒng)有效控制并降低金融行業(yè)IT系統(tǒng)運(yùn)維操作的風(fēng)險(xiǎn)�,使運(yùn)維操作管理更加簡(jiǎn)單���、安全;加強(qiáng)IT基礎(chǔ)設(shè)施內(nèi)部管理與監(jiān)控是保證數(shù)據(jù)信息安全��、業(yè)務(wù)運(yùn)營(yíng)穩(wěn)定可靠的關(guān)鍵問(wèn)題��。
針對(duì)金融行業(yè)面臨的信息安全風(fēng)險(xiǎn)��,以及其信息化業(yè)務(wù)發(fā)展現(xiàn)狀和需求�,德訊科技推出ICS堡壘機(jī)系統(tǒng)可從技術(shù)層面提供全方位一體化的安全防范與有效控制手段�。
ICS堡壘機(jī)系統(tǒng)基于COBIT標(biāo)準(zhǔn)框架,主要從影響金融業(yè)網(wǎng)內(nèi)運(yùn)維安全四大要素(主體�����、對(duì)象、工具����、行為)入手����,提供“認(rèn)證、監(jiān)控�、審計(jì)、評(píng)估”管理手段�,為數(shù)據(jù)中心構(gòu)建一套“事前預(yù)防、事中監(jiān)控��、事后審計(jì)”的網(wǎng)內(nèi)安全運(yùn)維監(jiān)管體系���,實(shí)現(xiàn)“運(yùn)維集中化��、操作規(guī)范化���、風(fēng)險(xiǎn)最小化”的管理目標(biāo)。
其安全運(yùn)維監(jiān)管模型�����,如下圖所示:
安全運(yùn)維監(jiān)管模型
金融行業(yè)用戶(hù)通過(guò)應(yīng)用德訊ICS堡壘機(jī)系統(tǒng)解決方案,可以充分享受以下應(yīng)用價(jià)值:
提供統(tǒng)一管理平臺(tái)���,實(shí)現(xiàn)運(yùn)維工具集中管理
ICS堡壘機(jī)系統(tǒng)提供統(tǒng)一WEB管理入口�����,對(duì)登陸用戶(hù)身份的合法性實(shí)施統(tǒng)一認(rèn)證;系統(tǒng)自帶字符類(lèi)/圖形類(lèi)/應(yīng)用類(lèi)多種運(yùn)維工具���,無(wú)需運(yùn)維客戶(hù)端自行安裝,避免運(yùn)維過(guò)程中出現(xiàn)工具不全面����,版本不兼容的問(wèn)題;支持會(huì)話(huà)代理訪問(wèn)通道的建立,改變?cè)斜镜乜蛻?hù)端直接發(fā)起會(huì)話(huà)的運(yùn)維模式�,提供集中化、一站式運(yùn)維服務(wù)�,并對(duì)運(yùn)維過(guò)程實(shí)現(xiàn)有效監(jiān)控與審計(jì)。
運(yùn)維前主動(dòng)防控――運(yùn)維主體身份識(shí)別與認(rèn)證
ICS堡壘機(jī)系統(tǒng)提供一套非常完善的身份管理與認(rèn)證機(jī)制�����,把握和控制該數(shù)據(jù)中心WEB管理平臺(tái)訪問(wèn)入口�����,對(duì)所有登陸用戶(hù)身份的有效性和合法性逐一驗(yàn)證,加強(qiáng)操作源頭的安全防范�����,真正實(shí)現(xiàn)操作訪問(wèn)前的主動(dòng)防控管理�����,大大降低了金融行業(yè)重要業(yè)務(wù)信息數(shù)據(jù)泄露的風(fēng)險(xiǎn)��。支持用戶(hù)本地(WEB管理平臺(tái))與第三方(如Radius�、RSA SecureID認(rèn)證����、LDAP/AD 域)兩種認(rèn)證渠道,在保證安全防范操作的同時(shí)��,提高了用戶(hù)操作的靈活性與便捷性��,同時(shí)體現(xiàn)系統(tǒng)強(qiáng)大的兼容性與擴(kuò)展性����。
運(yùn)維過(guò)程的全生命周期審計(jì),保證運(yùn)維的安全性
ICS堡壘機(jī)系統(tǒng)提供網(wǎng)內(nèi)運(yùn)維管理全生命周期的審計(jì)���,采用流媒體形式記錄運(yùn)維人員登陸運(yùn)維網(wǎng)關(guān)至登出運(yùn)維網(wǎng)關(guān)的全過(guò)程��,支持對(duì)字符�、圖形等多種類(lèi)型會(huì)話(huà)的全面審計(jì)。
審計(jì)結(jié)果以操作日志及錄像相結(jié)合的形式呈現(xiàn)��,同時(shí)支持錄像回放�����、SQL語(yǔ)句�、關(guān)鍵字符與審計(jì)錄像關(guān)聯(lián)定位與檢索,實(shí)現(xiàn)運(yùn)維操作過(guò)程的快速定位�、精確跟蹤以及真實(shí)重現(xiàn),協(xié)助審計(jì)人員對(duì)非法運(yùn)維操作節(jié)點(diǎn)的排查及故障責(zé)任的追溯��,提升數(shù)據(jù)中心精細(xì)化��、規(guī)范化的運(yùn)維安全管理水平�。
統(tǒng)一賬戶(hù)與密碼管理
ICS堡壘機(jī)系統(tǒng)支持對(duì)各類(lèi)目標(biāo)設(shè)備,如服務(wù)器設(shè)備����、網(wǎng)絡(luò)設(shè)備、以及安全設(shè)備的帳戶(hù)及密碼進(jìn)行統(tǒng)一管理�,涉及帳戶(hù)及密碼的實(shí)時(shí)收集��、定期批量修改���、帳戶(hù)分配管理、單點(diǎn)登錄/密碼代填�����。減輕運(yùn)維人員維護(hù)壓力的同時(shí)���,保障業(yè)務(wù)系統(tǒng)的安全運(yùn)行。
運(yùn)維中實(shí)時(shí)監(jiān)控――運(yùn)維行為實(shí)時(shí)監(jiān)管與控制
為企業(yè)數(shù)據(jù)中心運(yùn)維人員的業(yè)務(wù)操作提供直接���、高效的安全管控手段�����;诰仃嚧翱谀J綄(shí)現(xiàn)會(huì)話(huà)過(guò)程的實(shí)時(shí)監(jiān)控,支持多路監(jiān)視畫(huà)面輪詢(xún)切換以及具體畫(huà)面的鎖定與縮放��,對(duì)于異常�����、可疑、違規(guī)操作可及時(shí)進(jìn)行制止并實(shí)施阻斷���。有效提高企業(yè)網(wǎng)內(nèi)操作風(fēng)險(xiǎn)管理效率�����,提升風(fēng)險(xiǎn)防范的及時(shí)性與可預(yù)見(jiàn)性����,創(chuàng)建一個(gè)事中實(shí)時(shí)監(jiān)督系統(tǒng)�。
靈活的授權(quán),實(shí)現(xiàn)用戶(hù)主動(dòng)管理的可控性
ICS堡壘機(jī)系統(tǒng)解決方案提供靈活的代維人員維護(hù)授權(quán)的管理能力����,維護(hù)要求由業(yè)主用戶(hù)主動(dòng)發(fā)起,并設(shè)定代維賬號(hào)����,限定操作時(shí)段或頻度后,通知代維公司運(yùn)維�����,維護(hù)完成后�����,賬號(hào)自動(dòng)鎖定,保證運(yùn)維工作的可控性����。
單點(diǎn)登錄,提高運(yùn)維管理效率���,保護(hù)密碼的安全性
ICS堡壘機(jī)系統(tǒng)針對(duì)運(yùn)維管理賬號(hào)提供的單點(diǎn)登錄功能���,將不再需要代維人員知道被控目標(biāo)設(shè)備的系統(tǒng)級(jí)賬號(hào)及密碼信息,完全由ICS堡壘機(jī)系統(tǒng)直接完成�����。代維人員只需要在會(huì)話(huà)中進(jìn)行具體的維護(hù)性操作即可�,整個(gè)過(guò)程不涉及被控目標(biāo)設(shè)備的賬號(hào)及密碼信息����,保證目標(biāo)系統(tǒng)賬號(hào)和密碼的安全性。
命令行會(huì)話(huà)的字符級(jí)控制����,提高系統(tǒng)維護(hù)過(guò)程的安全性
針對(duì)Telnet�����、SSH等命令行會(huì)話(huà)行為���,ICS堡壘機(jī)系統(tǒng)提供了操作命令的黑、白名單控制功能�����,對(duì)于一些高危命令完全可以預(yù)先設(shè)定好����,使其代維人員在維護(hù)過(guò)程中無(wú)法執(zhí)行此命令,從而控制運(yùn)維過(guò)程帶來(lái)的操作風(fēng)險(xiǎn)�����,保障運(yùn)維的安全性���。
管理數(shù)據(jù)報(bào)表��,為代維和業(yè)主提供工作量?jī)r(jià)值評(píng)估依據(jù)
ICS堡壘機(jī)系統(tǒng)解決方案集中匯集運(yùn)維管理過(guò)程中各種會(huì)話(huà)及操作內(nèi)容的數(shù)據(jù)信息��,針對(duì)此數(shù)據(jù)可提供各種報(bào)表的信息挖掘���,包括代維人員周期內(nèi)的維護(hù)次數(shù)�,維護(hù)人員維護(hù)時(shí)長(zhǎng)匯總�����,各個(gè)被控目標(biāo)設(shè)備的維護(hù)頻度等����,為業(yè)主用戶(hù)提供代維價(jià)值的評(píng)估依據(jù)。
除以上應(yīng)用價(jià)值���,ICS堡壘機(jī)系統(tǒng)也十分關(guān)注自身的安全性操作�,所有運(yùn)維��、審計(jì)數(shù)據(jù)可實(shí)現(xiàn)異地自動(dòng)備份����,也可進(jìn)行導(dǎo)出備份��,并具備一系列自身狀態(tài)的監(jiān)測(cè)系統(tǒng)���,減少故障率��,提升性能�����。ICS堡壘機(jī)系統(tǒng)可助力金融行業(yè)提升其信息安全等級(jí)���, 滿(mǎn)足金融行業(yè)高度保密性和安全性的更高要求�。
通過(guò)本方案的實(shí)際部署和應(yīng)用�����,金融行業(yè)用戶(hù)有效實(shí)現(xiàn)了保障數(shù)據(jù)中心IT基礎(chǔ)設(shè)施運(yùn)營(yíng)管理的穩(wěn)定可靠性與業(yè)務(wù)數(shù)據(jù)信息安全性的管理目標(biāo)�。德訊科技“以科技及創(chuàng)新改善IT管理方式”的發(fā)展理念,最終取得了良好的驗(yàn)證與成效����。
