證券行業解決方案

證券行業解決方案

業務特點

    隨著信息化建設的快速發展，某證券已經建立起一定規模的信息化系統，它們都非常重要，涉及證券業務運營、日常辦公等方方面面。

網絡中已經部署了防火墻、IDS、防病毒等各類安全產品和設備，并且采用了如網絡邊界劃分、強化邊界訪問控制等多種防護手段。證券會有明文規定，要降低“老鼠倉”發生的可能，實際上對現有的各種審計和控制措施提出新的要求。

某證券IT系統主要在證通機房和總部機房，日常運維人員管理對象包括各核心業務系統、防火墻、交換機、路由器、服務器。常用的運維協議于工具包括telnet、SSH、ftp、SFTP、http/https、Radmin、RDP、VNC、PcAnywhere等。

目前的管理模式為分布式管理，運維人員從各自電腦設備發起對需要維護的設備進行操作。

需求分析

1、帳號安全

   多人使用同一賬號，系統運維部門工程師眾多，按照管理類型分為系統管理員、網絡管理員、數據庫管理員、安全管理員等，它們都可能會具有每臺主機的管理權限，一旦主機出現因為運維導致的故障或數據丟失等問題，無法明確具體責任人，也無法快速定位問題原因，迅速恢復故障，以致帶來巨大的損失。

2、密碼安全

    簡單密碼，容易破解和猜測

----目前我公司大量主機、網絡設備的管理員密碼都由運維人員管理，難以控制密碼強度，難以滿足證監會等相關機構對于系統密碼復雜度的要求；

    定期修改密碼的管理策略難以執行

----我公司有定期修改管理員密碼的相關制度，但每次修改密碼都涉及各臺設備，執行起來工作量大也十分繁瑣；

    修改后的密碼最終以文本形式存放，存在泄漏的隱患

----密碼掌握在運維人員手中，本身就不安全；大量的密碼掌握在各類系統維護人員手里，本身就存在濫用、泄漏等安全隱患。

3、操作安全

    操作權限無法控制

----某證券的核心業務系統除本公司運維人員本地運維外，還需接受來自營業部及分支機構運維人員的遠程登入管理；同時還有來自互聯網的運維訪問，主要由廠家工程師和本公司運維人員遠程VPN接入參與運維和緊急故障處理；存在運維人員嚴重不可控以及參與運維人員復雜而眾多的現實情況，導致運維行為無法監控，不能及時了解所有登陸設備的詳細運維情況；

    無意執行了危險操作，如：重啟

----業務網設備如果在交易時間發生服務停止、重啟等動作，將嚴重影響某證券的業務運營，而目前對運維人員無意執行的危險操作無任何提醒和限制手段；

    越權操作

----只要知道系統管理員帳號，就可以做任何操作，而無法精細控制該管理員的執行權限，即無法定義每個運維人員的操作權限，從而也無法控制越權操作。

4、遠程維護

    PC直接遠程連接關鍵服務器，容易遭受攻擊、病毒傳染

----目前在辦公網、交易網的PC都是通過網絡直接與服務器的，一旦PC感染蠕蟲等網絡型病毒，極易對服務器產生影響。

    遠程維護地點無法控制

----目前對運維人員連接服務器時的來源地址無控制手段，也就很難控制在系統管理員密碼被泄露或外部支持人員遠程維護時，登錄系統的實際用戶身份。

5、運維操作行為安全

    運維人員在什么時間、什么地點訪問服務器，都在服務器上做了哪些操作？現有審計手段無法準確定位事故原因。目前針對系統運維管理人員的審計只能定位到登陸服務器的IP地址、用戶、時間等基本信息，無法準確了解運維人員登陸服務器后的具體操作行為，無法達到對運維行為進行操作留痕的審計基本要求。

6、外部人員訪問安全

    外包人員權限如何控制

----我公司系統運維人員中還有部分的第三方運維人員，他們在做系統維護時，通常是由內部人員幫其輸入管理員密碼，而此后他們對系統所做的操作缺乏應用的控制和審計。

    外包人員維護帳號泄漏

----還有少量長期合作的第三方運維人員，他們掌握了一部分系統的管理員密碼，他們只要能接入內網，就能登錄到各系統，如果他們所掌握的管理員密碼泄漏，則存在極大的安全風險。

    離職人員惡意行為

----我公司系統運維人員中還有部分的第三方運維人員和設備廠商定期巡檢的技術支持人員，對這些非本系統運維人員的運維行為非常有必要進行監控以及審計，滿足對外來人員訪問核心系統操作的知情權。

    總結起來，我們將我公司運維安全問題概括為認證、授權和審計三個方面。

解決方案

    根據某證券系統運維安全審計的需求，我方推薦使用江南科友的運維安全審計系統HAC 1000與運維審計應用發布系統HAC1000-V。

系統部署架構

    在服務器區域核心分別部署1臺HAC 1000和1臺HAC1000-V，部署的具體情況如下：

部署方式均為單臂旁路模式，連接在核心交換機上；

部署的唯一條件是HAC 1000、HAC1000-V與被管理的設備之間IP可達，協議可訪問；

HAC 1000是運維操作的唯一入口，使用訪問控制策略（防火墻、ACL等）限制運維用戶只能訪問HAC 1000，不能直接訪問后臺主機；

運維用戶使用唯一的用戶賬號登錄HAC 1000A，然后HAC 1000A根據配置管理員預先設置好的訪問控制規則，提示用戶選擇可以訪問的目標設備和相應系統賬號，用戶選擇完成后會自動登錄到目標設備。

HAC設備也可選擇雙機負載均衡方式

VDH設備上可以發布需要審計的系統工具，如：IE、Radmin、VNC、Pcanywhere等，并在HAC上對用戶進行授權和審計。

VDH有以下主要功能和特點：

*與HAC配合，能很好地支持各種協議或應用，能實現認證、授權；

*對圖形界面的會話操作，可對鍵盤輸入或界面文字進行基于關鍵字的查詢檢索；

*具有很好擴展性，通過對VDH的加裝應用，支持各種應用；

*系統自身有廠商維護和加固，有很好的安全性。

與OA系統交互

HAC能夠與OA系統進行交互，OA系統進行變更工單的管理，HAC根據變更工單的內容控制用戶對服務器資源的操作訪問，結合HAC，改善原有變更管理流程，將變更工單申請、執行和審核流程結合到HAC中。

變更工單申請過程讀取HAC的配置，從中選擇運維用戶、訪問資源和賬戶等信息，加入到變更工單申請內容中；

變更工單執行過程分為：傳輸、轉換、運行和反饋四個子過程；

變更工單審核過程通過HAC的審計平臺來實現。

方案特點

*實現統一運維認證賬號分配、統一應用系統賬號管理、統一對運維人員授權；

*實現運維賬號認證，集成LDAP、動態口令、證書等認證方式；可訪問資源列表、系統賬號托管（運維人員無須知道后臺系統密碼）、可控制訪問資源時間、對敏感操作的實時阻斷和告警；

*運維行為審計、報表；操作錄像；針對命令行的操作索引和回放；

*通過HAC的主-主模式，實現2個機房的互為冗余備份；正常工作時，各自區域運維用戶通過本地HAC登錄，當某個機房HAC出現故障時，該區域運維用戶自動切換到另外一個機房的HAC進行登錄；兩套HAC之間的配置自動進行同步；

HAC能夠與OA系統進行交互，OA系統進行變更工單的管理，HAC根據變更工單的內容控制用戶對服務器資源的操作訪問，結合HAC，改善原有變更管理流程，將變更工單申請、執行和審核流程結合到HAC中。