統(tǒng)一安全認(rèn)證和運(yùn)維審計(jì)系統(tǒng)主打膠片主打膠片現(xiàn)狀功能、優(yōu)勢(shì)客戶價(jià)值案例多樣性：網(wǎng)絡(luò)復(fù)雜，管理難運(yùn)維現(xiàn)狀一資源類型多樣主機(jī)系統(tǒng)數(shù)據(jù)庫(kù)系統(tǒng)網(wǎng)絡(luò)設(shè)備安全設(shè)備專用系統(tǒng)

OA系統(tǒng)財(cái)務(wù)系統(tǒng)人力系統(tǒng)業(yè)務(wù)應(yīng)用系統(tǒng)客戶服務(wù)系統(tǒng)內(nèi)部維護(hù)人員常駐維護(hù)人員臨時(shí)維護(hù)人員行政人員財(cái)務(wù)人員業(yè)務(wù)人員管理人員外部用戶資源使用者多樣字符方式訪問(wèn)圖形方式訪問(wèn)文件方式訪問(wèn)WEB方式訪問(wèn)C/S程序訪問(wèn)中心訪問(wèn)網(wǎng)點(diǎn)訪問(wèn)公網(wǎng)訪問(wèn)

接入方式多樣管理員帳號(hào)混合使用，身份認(rèn)證不明確帳號(hào)：root帳號(hào)：root帳號(hào)：admin帳號(hào)：admin帳號(hào)：admin帳號(hào)：sa帳號(hào)：sa維護(hù)人員普通用戶第三方人員運(yùn)維現(xiàn)狀二！運(yùn)維現(xiàn)狀三操作不可視，不可控，記錄不可用本單位/公司運(yùn)維人員/領(lǐng)導(dǎo)第三方運(yùn)維人員真實(shí)性？不明確！我已經(jīng)解決問(wèn)題，只是做了。。。。。。確認(rèn)已經(jīng)解決問(wèn)題運(yùn)維人員應(yīng)該只針對(duì)故障做的操作吧解決運(yùn)維問(wèn)題滿足相關(guān)政策、法規(guī)要求為什么需要堡壘機(jī)數(shù)據(jù)庫(kù)管理員系統(tǒng)管理員網(wǎng)絡(luò)管理員業(yè)務(wù)操作員Windows服務(wù)器Unix服務(wù)器業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)設(shè)備及安全設(shè)備核心資產(chǎn)資產(chǎn)使用中心各網(wǎng)點(diǎn)分支機(jī)構(gòu)代維廠商多點(diǎn)登陸多賬號(hào)、混使用、不可控8堡壘機(jī)概述數(shù)據(jù)庫(kù)管理員系統(tǒng)管理員網(wǎng)絡(luò)管理員業(yè)務(wù)操作員Windows服務(wù)器Linux服務(wù)器數(shù)據(jù)庫(kù)服務(wù)器中心各網(wǎng)點(diǎn)分支機(jī)構(gòu)代維廠商

業(yè)務(wù)系統(tǒng)交換機(jī)路由器防火墻多點(diǎn)登陸資產(chǎn)使用服務(wù)器群核心資產(chǎn)運(yùn)維單點(diǎn)登錄運(yùn)維統(tǒng)一入口運(yùn)維安全審計(jì)RG-OAS

堡壘機(jī)

政策1983年日本通產(chǎn)省《系統(tǒng)審計(jì)標(biāo)準(zhǔn)》1984年美國(guó)EDPAA協(xié)會(huì)《EDP控制目的》1996年美國(guó)ISACA協(xié)會(huì)COBIT標(biāo)準(zhǔn)2001年美國(guó)國(guó)會(huì)Sarbanes-Oxley法案(塞班斯—奧

克斯利法案)2005年公安部82號(hào)令《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定》2006年公安部、國(guó)家保密局等《信息安全等級(jí)保護(hù)管理辦法(試行)》2006年國(guó)家保密局《涉密信息系統(tǒng)分級(jí)保護(hù)技術(shù)要求》2008年財(cái)政部、證監(jiān)會(huì)、銀監(jiān)會(huì)、保監(jiān)會(huì)及審計(jì)署《企業(yè)內(nèi)部控制基本規(guī)范》（中國(guó)的SOX）2009年銀監(jiān)會(huì)《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》2012年國(guó)家立法《網(wǎng)絡(luò)信息安全法》滿足等保/分保三級(jí)技術(shù)要求116條中的15條物理安全物理位置選擇物理訪問(wèn)控制防盜竊和防破壞防雷擊防火防水和防潮防靜電溫濕度控制電力供應(yīng)電磁防護(hù)網(wǎng)絡(luò)安全結(jié)構(gòu)安全和網(wǎng)段劃分網(wǎng)絡(luò)訪問(wèn)控制網(wǎng)絡(luò)安全審計(jì)邊界完整性檢查網(wǎng)絡(luò)入侵檢測(cè)惡意代碼防護(hù)網(wǎng)絡(luò)設(shè)備防護(hù)主機(jī)系統(tǒng)安全身份鑒別安全標(biāo)記訪問(wèn)控制可信路徑安全審計(jì)剩余信息保護(hù)入侵防范惡意代碼防范系統(tǒng)資源控制應(yīng)用安全身份鑒別安全標(biāo)記訪問(wèn)控制可信路徑安全審計(jì)剩余信息保護(hù)通信完整性通信保密性抗抵賴軟件容錯(cuò)資源控制數(shù)據(jù)安全數(shù)據(jù)完整性數(shù)據(jù)保密性備份和恢復(fù)5.等保要求薩班斯法案現(xiàn)狀功能、優(yōu)勢(shì)客戶價(jià)值案例|13運(yùn)維用戶資源堡壘機(jī)協(xié)議跳板機(jī)SSH,RDPSSO單點(diǎn)登錄統(tǒng)一認(rèn)證：實(shí)名制雙因子、指紋組織架構(gòu)：目錄樹(shù)角色：三權(quán)分立崗位：批量授權(quán)統(tǒng)一授權(quán)：（細(xì)粒度）誰(shuí)能管理哪臺(tái)設(shè)備安全策略審計(jì)：圖形字符什么是堡壘機(jī)SR-FORT轉(zhuǎn)變邏輯上將人與目標(biāo)設(shè)備分離，全局唯一身份標(biāo)識(shí)。集中登錄入口，將傳統(tǒng)的被動(dòng)響應(yīng)模式轉(zhuǎn)變?yōu)橹鲃?dòng)的安全管控模式。由面及點(diǎn)的管理方式，讓安全管理精確制導(dǎo)。解決思路14工作原理示意圖設(shè)備中心工作區(qū)IT運(yùn)維人員IT運(yùn)維人員Internet身份及訪問(wèn)管理系統(tǒng)15應(yīng)用模式網(wǎng)絡(luò)設(shè)備安全設(shè)備主機(jī)資源數(shù)據(jù)庫(kù)IAM運(yùn)維人員其他用戶非法用戶x16集中管理身份管理密碼管理權(quán)限管理唯一身份審計(jì)你是誰(shuí)你能干什么你干了什么設(shè)備越來(lái)越多，維護(hù)人員也越來(lái)越多，我們必須對(duì)操作進(jìn)行集中管理。只有集中才能夠?qū)崿F(xiàn)統(tǒng)一管理，也只有集中管理才能把復(fù)雜問(wèn)題簡(jiǎn)單化，集中管理是運(yùn)維管理思想發(fā)展的必然趨勢(shì)，也是唯一的選擇。集中管理包括：集中的資源訪問(wèn)入口、集中帳號(hào)管理、集中權(quán)限管理、集中密碼管理、集中審計(jì)等等。管理目標(biāo)目錄樹(shù)型結(jié)構(gòu)設(shè)計(jì)多級(jí)層級(jí)分組多對(duì)象單組管理權(quán)限按照組節(jié)點(diǎn)細(xì)分目錄樹(shù)資源管理—獨(dú)有IBM銀行大型機(jī)資源密碼管理密碼自動(dòng)改密，密碼驗(yàn)證測(cè)試，密碼復(fù)雜度設(shè)置批量單點(diǎn)登錄22快速登錄和收藏夾三維一體的審批流程管理登陸審批，授權(quán)審批，命令審批24建恒信安收藏夾，批量登陸自定義用戶類型IBM大型機(jī)(銀行）從目標(biāo)設(shè)備抽取、推送從賬號(hào)從賬號(hào)批量導(dǎo)入同步AD域組結(jié)構(gòu)支持崗位授權(quán)，崗位掛載安全策略密碼回?fù)軠y(cè)試服務(wù)故障切換模塊化部署NSFOCUSSAS-HNNNNNNNNNN啟明星辰NNNNNNNNNN帕拉迪PLDSECSMSNNNNNNNNNN奇治YNNNNNNNYY江南科友NNNNNNNNNN思福迪NNNNNNNNNN競(jìng)爭(zhēng)分析現(xiàn)狀功能、優(yōu)勢(shì)客戶價(jià)值案例|26堡壘機(jī)帶來(lái)的主要價(jià)值

統(tǒng)一批量授權(quán)

流程化可審批集中認(rèn)證

密碼策略管理集中接入賬號(hào)集中管理降低管理費(fèi)用實(shí)名認(rèn)證提高安全集中授權(quán)減輕管理壓力單點(diǎn)登錄規(guī)范第三方實(shí)名制審計(jì)、合規(guī)

賬號(hào)統(tǒng)一管理

解決共享賬號(hào)

賬號(hào)鎖定自動(dòng)化定時(shí)改密現(xiàn)狀功能、優(yōu)勢(shì)客戶價(jià)值案例金融/保險(xiǎn)/證券我們的客戶（一）28運(yùn)營(yíng)商/企業(yè)我們的客戶（二）29能源/交通我們的客戶（三）30政府/醫(yī)療/教育我們的客戶（四）31

中國(guó)人保財(cái)險(xiǎn)數(shù)據(jù)中心機(jī)房有近萬(wàn)臺(tái)運(yùn)行各類業(yè)務(wù)的服務(wù)器，負(fù)責(zé)維護(hù)、管理這些系統(tǒng)的管理員人數(shù)約600人，其中大部分（約450人）為中國(guó)人保財(cái)險(xiǎn)內(nèi)部人員，其余為第三方廠商運(yùn)維公司人員。由于缺乏相應(yīng)的先進(jìn)工具和手段，無(wú)法保證系統(tǒng)管理員嚴(yán)格按照規(guī)范來(lái)進(jìn)行訪問(wèn)操作，也無(wú)法保證系統(tǒng)管理員的操作行為和管理報(bào)告一致。另外，由于服務(wù)器眾多，導(dǎo)致系統(tǒng)管理員壓力太大，人為誤操作的情況時(shí)有發(fā)生。項(xiàng)目背景項(xiàng)目情況管理范圍：共管理38家公司約10000個(gè)資源采購(gòu)身份及訪問(wèn)管理系統(tǒng)數(shù)量：共6臺(tái)，其中2臺(tái)為web前置機(jī)，另外4臺(tái)為單點(diǎn)登錄審計(jì)服務(wù)器目標(biāo)成果

充分利用信息化手段，以建立組織統(tǒng)一身份作為切入點(diǎn)，建設(shè)一個(gè)覆蓋全局的服務(wù)于全國(guó)控制中心的綜合登錄控制平臺(tái)。客戶評(píng)價(jià)“通過(guò)這次統(tǒng)一用戶身份管理平臺(tái)建設(shè)，即考慮實(shí)際的業(yè)務(wù)運(yùn)維監(jiān)控需求，又符合國(guó)內(nèi)國(guó)際相關(guān)標(biāo)準(zhǔn)要求，通過(guò)統(tǒng)一身份的基礎(chǔ)設(shè)施建設(shè)，全面提升信息化總體效率和管理水平。32案例介紹--中國(guó)人保部署模型提供WEB訪問(wèn)服務(wù)，1+1模式部署提供協(xié)議代理和審計(jì)服務(wù)，4臺(tái)形成負(fù)載及高可用適應(yīng)大規(guī)模、集群模式部署1可動(dòng)態(tài)擴(kuò)展，靈活性高2

總行數(shù)據(jù)中心2009年部署了SUMP系統(tǒng)，隨著業(yè)務(wù)的擴(kuò)展，該平臺(tái)已經(jīng)不能滿足應(yīng)用的要求，需要部署新系統(tǒng)用戶維護(hù)管理平臺(tái)，并在以下方面進(jìn)行提升：擴(kuò)大資源管理范圍，納管圖形，文件傳輸，數(shù)據(jù)庫(kù)和中間件等。構(gòu)建可擴(kuò)展的部署架構(gòu)，滿足3年業(yè)務(wù)增長(zhǎng)的性能要求。實(shí)現(xiàn)分布式部署，實(shí)現(xiàn)連同分行的統(tǒng)一管控。提升審計(jì)的能力，同時(shí)對(duì)上下行數(shù)據(jù)進(jìn)行審計(jì)。優(yōu)化權(quán)限管理，通過(guò)流程審批模式實(shí)現(xiàn)最小化授權(quán)完善統(tǒng)計(jì)分析，加強(qiáng)風(fēng)險(xiǎn)統(tǒng)計(jì)，防患于未然。項(xiàng)目背景項(xiàng)目情況管理范圍：一期共管理總行和災(zāi)備兩個(gè)數(shù)據(jù)中心及兩家分行的2000臺(tái)設(shè)備。資源類型及數(shù)量大致為：主機(jī)HP-Unix500臺(tái)左右、Linux500臺(tái)左右、Windows350臺(tái)左右、Aix250臺(tái)左右、數(shù)據(jù)庫(kù)200套、中間件200套。二期加入其他所有分行的設(shè)備，共約3000臺(tái)。采購(gòu)身份及訪問(wèn)管理系統(tǒng)數(shù)量：共4臺(tái)，其中2臺(tái)為web服務(wù)器，另外2臺(tái)為單點(diǎn)登錄服務(wù)器目標(biāo)成果建設(shè)覆蓋全行的系統(tǒng)用戶維護(hù)管理平臺(tái)，規(guī)范中國(guó)光大銀行IT系統(tǒng)操作管理，落實(shí)人員實(shí)名制，加強(qiáng)對(duì)主機(jī)服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫(kù)等系統(tǒng)的操作審計(jì)，規(guī)范設(shè)備使用人員操作行為，提升操作監(jiān)管能力，全面提高中國(guó)光大銀行IT系統(tǒng)管理水平。客戶評(píng)價(jià)“通過(guò)新系統(tǒng)用戶維護(hù)管理平臺(tái)的建設(shè)，在功能上完全覆蓋了舊SUMP平臺(tái)的功能，彌補(bǔ)了老平臺(tái)的功能缺項(xiàng)，規(guī)范了設(shè)備使用人員操作行為，提升了操作監(jiān)管能力。且在資源管理范圍、協(xié)議支持、單點(diǎn)登錄管理、訪問(wèn)控制、流程管理，操作行為審計(jì)，總分管理模式等方面有較大提升，達(dá)到了預(yù)期的管理目標(biāo)。案例介紹--中國(guó)光大銀行提供WEB訪問(wèn)服務(wù)，1+1