HANGZHOU PALLADIUM NETWORK TECHNOLOGY Co., LTD.www.pldsec.com数据中心智能专家帕拉迪运维操作审计解决方案1数据中心智能专家www.pldsec.comContent统一运维审计方案IT运维面临的问题12应用场景案例分享342数据中心智能专家www.pldsec.comIT运维的现状和风险人员管理风险资产管理风险访问控制风险运维管理风险合规性风险业务连续性是IT运维的基本要求多种接入方式、分散管理 多种协议运维方式 共享账号问题 权限控制 操作行为无法审计网络设备 主机设备 数据库设备 应用系统数据丢失、服务异常、责任失控3数据中心智能专家www.pldsec.com法规遵从信息安全等级保护记录网络设备用户行为日志 用户身份标识/鉴别 用户角色/分配权限 服务器操作系统审计 数据库审计 7.1.3节：要求对用户进行身 份标识和鉴别，根据用户的角 色分配权限，实现权限分离， 仅授予用户所需的最小权限； 对主机的审计应覆盖到服务器 操作系统和数据库系统； 7.1.2节&7.1.3节：审计记录 应包括事件的日期、时间、类 型、主体标识、客体标识和结 果等；要求对日志进行分析， 并生成审计报表等。SOX法案302节：要求行政人员证明他 们公司设计和执行了适当的控 制，以保证所有财务报表都可 靠而且付合公认会计准则 (GAAP)。 404节：要求所有在302节中 所控制的过程都有可信的财务 报表。这法令要求IT经理对所 有有关财务报表的产生过程负 责。 ISO27001标准条款A10.10.1要求组织必须记 录用户访问、意外和信息安全 事件的日志，并保留一定期限 ，以便为安全事件的调查和取 证； 条款A10.10.4要求组织必须记 录系统管理和维护人员的操作 行为； 条款A15.1.3明确要求必须保 护组织的运行记录 条款A15.2.1则要求信息系统 经理必须确保所有负责的安全 过程都在正确执行，符合安全 策略和标准的要求。企业内控规范要求国内上市公司严格执行该 规范要求，以加强和规范企业 内部控制、提高企业经营管理 水平和风险防范能力4数据中心智能专家www.pldsec.com法规遵从行业法规标准互联网服务商互联网安全保护技术措施规定（82号令）电信行业中国移动集团内控手册中国移动业务支撑网安全域划分和边界整合技术规范中国电信股份有限公司内部控制手册中国网通集团信息质量问责管理若干规定 中国网通集团内部控制体系建设指导意见 金融保险行业银行业金融机构信息系统风险管理指引 证券期货业信息系统安全等级保护测评要求（试行）商业银行合规风险管理指引中国银行业监督委员会办公厅文件银监办通313号保险公司内部审计指引（试行）保险公司风险管理指引（试行）电子银行安全评估指引（2007）电子银行业务管理办法（2008）期货公司信息技术管理指引国内上市企业深圳证券交易所上市公司内部控制指引 上海证券交易所上市公司内部控制指引 电力行业电力二次系统安全防护总体方案（2005）国家电网公司信息化“SG186”工程安全防护总体方案（实行）(2008)医疗行业医疗机构信息系统安全等级保护基本要求5数据中心智能专家www.pldsec.com法规遵从堡垒机在信息安全等级保护中的探究与应用： 随着信息安全等级保护制度的开展和普及，金融、电力、运营商、医疗、教育及政府机 构等开始参与并落实制度的执行。国务院法规和中央文件明确规定，要实行信息安全等级保护，重 点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息 安全等级保护制度。 具体是哪些标准、哪些条款成为推动堡垒主机落地的驱动力？ 信息系统等级保护安全设计技术要求（GBT 250702010） 信息系统安全等级保护基本要求（GBT 22239-2008） 1、身份鉴别 2、自主访问控制 3、标记和强制访控制 4、系统安全审计 5、用户数据完整性保护、用户数据保密性保护、客体安全重用、程序可信执行保护 6、 堡垒机从设计到功能完全符合等级保护安全设计三级要求，对于目前定级的二、三级系 统完全适用，成为通过信息安全等级保护设计和测评不可或缺的重要安全防护系统。（物理安全、 网络安全、主机安全、应用安全、数据安全以及管理安全）6数据中心智能专家www.pldsec.comContent统一运维审计方案IT运维面临的问题12应用场景案例分享347数据中心智能专家www.pldsec.com统一运维审计解决方案资源管理人的管理操作 管理资源管理1、从账号管理 2、设备密码定 期自动修改人员管理1、主账号管理 2、密码管理 3、访问控制 4、权限控制 5、认证管理操作管理1、日志记录 2、视频记录 3、实时监控 4、操作回放 5、统计报表8数据中心智能专家www.pldsec.com统一运维审计解决方案最小化操作风险来源于管理模式管理模式权限控制是核心访问控制是手段身份管理是基础操作审计是保障集中管理是前提你做了什么 ？操作审计你能做什么 ？权限控制你能去哪 ？访问控制你是谁？ 身份管理9数据中心智能专家www.pldsec.com统一运维审计解决方案图形终端运维审计字符终端运维审计数据库运维审计文件传输操作审计应用终端操作审计KVM终端操作审计RDPX11VNCTelnetSSHFTPSFTPHTTPHTTPSOracle DB2SybaseSQL ServerAvocentDSRHPSAMIBMSMITLinuxSetupRDP磁盘通道剪贴板AS400其他应用终端InformixDSVIEWRARITAN安全设备|网络设备 | 主机设备 | 数据库服务器|应用系统 几乎覆盖了所有主流厂商的设备和系统10数据中心智能专家www.pldsec.com统一运维审计解决方案11数据中心智能专家www.pldsec.com堡垒机行业发展历程12数据中心智能专家www.pldsec.com发展阶段字符堡垒 2005.7统一堡垒 2007.5智慧堡垒 2011.43500LXType综合堡垒 2008.53000LX 4000LX5000ST6000ST智慧云堡垒 2012.47000ST帕拉迪堡垒机全系列型号4500LX13数据中心智能专家www.pldsec.com帕拉迪堡垒机竞争优势业界最全面运维协议支持业界最全面可靠的账号管理l字符运维、图形运维、文件传输、KVM、应用发布等完整覆盖；l带内、带外运维统一管理，业界唯一同时支持Avocent、Raritan、ATEN等主流KVM Over IPl业界唯一支持移动运维，迎合BYOD的移动办公，移动运维的趋势l账号密码托管代填，能够实现对字符运维、图形运维、文件传输、KVM、应用发布等协议和应用的账号密码代填功能，覆盖最全面；l实现对LinuxUnix、Windows服务器、网络设备的密码定期自动修改最细粒度审计，审计结果完整可靠l图形智能识别模块OCR，实现图形操作内容的文字识别和录像关联，快速定位；l虚拟应用发布的完整支持（remoteapp），并实现应用细粒度授权和完整审计，业内唯一；l审计录像采用数据流回放技术，空闲操作（无屏幕变化）日志无增长，节省了日志空间系统安全性和可 靠性l领域开创并实现国际化，中英文双语支持，并通过国际安全红线认证，可进行全球化销售l双机热备和集群模式的完整支持，可实现配置和审计日志实时同步，保证系统高可靠性；l身份认证提供了自带USB-KEY证书认证，提供了强身份认证的安全保障14数据中心智能专家www.pldsec.comContent统一运维审计方案IT运维面临的问题12应用场景案例分享3415数据中心智能专家www.pldsec.com应用场景-共享账号责任认定移动办公合作伙伴运维外包Internet内部运维人员核心业务服务器Root帐号MickeHz_yangDw_wang Echo部署前：所有人员包括移动办公人员、合作伙伴、运维外包人 员、内部运维人员共同使用root帐号直接登录核心业 务服务器进行各种操作，当核心业务数据被非法修改 ，或是执行了其他非法命令等，在现有环境上很难定 位到人，无法进行责任的认定和故障分析。安全监控、审计部署后：每个自然人都对应一个主帐号（审计平台帐号），登 录到核心业务服务器的从帐号root（目标主机帐号） ，两个帐号存在唯一对应关系，审计人员可以很方便 的从平台中查出是谁在什么时间登录哪台服务器做了 什么操作，产生什么样的结果，很方便的实现责任认 定和故障分析。16数据中心智能专家www.pldsec.com应用场景-第三方运维管理合作伙伴运维外包核心业务服务器Root帐号Hz_yangDw_wang创建帐号，授权控制内部管理人员为其创建临时帐号，授予 完成维护需要的最小化权限，对高危操 作命令进行控制和告警。安全监控、审计保留所有运维操作过程对该阶段的运维操作进行全部记录并保 存，作为审计的依据，内部人员还可以 实时对其进行监控，发现有违规操作， 可以立即进行阻断。Internet业务系统运维需求业务系统的维护、更新升级、 故障处理需要合作伙伴或是运 维外包人员登录系统进行各种 操作。17数据中心智能专家www.pldsec.com应用场景-实时安全监控操作界面监控界面发现异常操作行 为，立即阻断18数据中心智能专家www.pldsec.com应用场景-合规遵循报表定制开发根据用户的所在的行业，进行报表的定 制开发支持，满足用户所在行业对合规 性的需求。操作原始日志保存了全年的包括内部人员、 合作伙伴、外包代维人员对核 心业务服务器运维的原始操作 日志。第三方审计机构（Eg:银监会、证监会、 保监会、审计局、公安部 等级保护监督检查等）19数据中心智能专家www.pldsec.comContent统一运维审计方案IT运维面临的问题12应用场景案例分享3420数据中心智能专家www.pldsec.com案例21数据中心智能专家www.pldsec.com华润集团案例介绍华润集团随着维护集中化水平不断提高以及快速处理故障的需要，维护人员和第三方人员采用多种方式接入通信网、业务网及各支撑系统。由于缺乏有效的控制手段，新的接入方式，特别是通过IP网络远程维护，在提高维护工作效率的同时，也引入较大的安全风险。为解决安全运维管理的问题，迫切需要建立一个统一的安全管理和综合审计平台。PLD UTM SMS作为各支撑系统维护的统一接入点，对维护操作进行集中管理；管理人员可以对支撑系统的用户和资源进行集中管理、集中授权、集中控制和集中审计，从技术上保证业务支撑系统安全策略的实施，保障业务支撑系统安全、高效的运行。l上线时间：2011年 12月；l项目规模：一期双机热备，二期扩容为集群模式，总共管理设备1500，人员200+；l运维状态：运维人员（网管、系统管理员、代维厂商），为了提供高稳定服务，系统采用集群部署，集中管理；l功能模块：字符终端审计，图形终端审计，数据库运维审计， B/S运维审计22数据中心智能专家www.pldsec.com平安集团案例介绍平安保险，全称为中国平安保险（集团）股份有限公司，是中国第一家以保险为核心的，融证券、信托、银行、资产管理、企业年金等多元金融业务为一体的综合金融服务集团。公司成立于1988年，总部位于深圳。l需求：商业银行内部控制指引、企业内部控制基本规范l上线时间：2013年 2月；l项目规模：分两地部署，深圳总部和上海容灾，总部3000资产纳入管理，容灾1000资产纳入管理，涉及人员数300；l部署形态：深圳总部采用集群部署，容灾机房采用双机热备部署；l功能模块：字符终端审计，图形终端审计，文件传输审计，应用发布平台。23数据中心智能专家www.pldsec.com河南省国家税务局案例介绍河南省国家税务局