銀行解決方案

業務特點

目前某銀行日常運維的安全現狀如下：

1)目前對服務器的缺乏必要的審計手段，僅能通過監控錄像、雙人分段或專人保存密碼、操作系統日志結合手工記錄操作日志等管理辦法，無法追溯操作人員在服務器上的操作過程、了解操作人員行為意圖，并且這樣的管理成本很高，很難做到長期照章執行。

2)對服務器的維護和管理依賴于操作系統的口令認證，口令具有可被轉授、被窺探及易被遺忘等弱點，另外，在實際環境中還存在多人共用一個賬號甚至經常多人掌握Root權限帳戶密碼等現象，使得管理存在很大的安全漏洞，直接威脅服務器安全。

3)針對許多外包服務商、廠商技術支持人員、項目集成商等在對內部核心服務器、網絡基礎設施進行現場調試或遠程技術維護時，無法有效的記錄其操作過程、維護內容，極容易泄露核心機密數據或遭到潛在的惡意破壞。

需求分析

某銀行對其信息安全建設一直比較重視，處于同行業較高水平，但是其運維安全管理、內控機制等方面也存在上述問題，因此針對運維管理的具體需求如下：

1)支持日常維護人員針對AIX、Linux主機設備，主流網絡設備、Windows服務器的進行的運行維護操作審計；

2)審計協議支持SSH、SFTP、RDP等，同時支持SSO登錄；

3)詳細的權限分配功能，可以根據時間、登錄IP、目標資源等進行詳細授權，并可集成行里雙因素認證；

4)對于被審計系統、設備支持密碼安全管理功能；

5)支持按時間、用戶名、被審計設備、命令等進行的定制報表，并可以導出Excel或PDF等格式報表；

6)審計結果以視頻回訪形式展現出來，并可以根據需求定位到某特定命令；

7)設備支持硬件冗余方式，并支持HA。

解決方案

根據江南科友HAC支持的部署模式，結合某銀行目前網絡及安全現狀，其邏輯部署如下：

       部署說明：

*針對運維審計對安全的特殊要求，推薦在某銀行DC核心交換機或二層接入交換上劃分出“安全運維網段”，并使該網段路由可達到任何區域；

*在安全運維網段部署2臺HAC 1000E，單臂模式，實現HA，保障設備的高可用性；

*在核心PIX作嚴格的安全策略，只允許主機、網絡、安全等維護人員（行內、行外）通過HAC訪問服務器、各區域，而不允許直接訪問這些關鍵資源；

*另外，在該安全運維網段可以部署運維管理主機，作為遠程操作終端，用戶經過HAC后，到達該管理主機，管理主機訪問后臺服務器。

針對主機服務器、網絡安全設備的審計

    實現過程為：

1) 主機維護人員（行內、行外）首先經過HAC進行身份認證；

2) HAC身份認證通過后，進行授權，指定該主機維護人員可以訪問的后臺資源；

3) HAC將訪問請求自動轉發到后臺資源。

    在這個過程中，運維人員的所有操作都被HAC安全記錄下來，并可實現了數據重組和視頻回放，完全再現了操作內容和行為軌跡。

 其他特殊客戶端運維審計

    實現過程為：

1) 針對特殊客戶端（如IBM專用客戶端、數據庫客戶端）維護人員（行內、行外）首先經過HAC進行身份認證；

2) HAC身份認證通過且授權后，通過RDP或其他協議訪問到運維管理主機（windows服務器或Unix服務器，該服務器上安裝特殊運維客戶端軟件）；

3) 運維管理主機訪問后臺特殊應用資源。

在這個過程中，運維人員的所有操作都被HAC安全記錄下來，并可實現了數據重組和視頻回放，完全再現了操作內容和行為軌跡。

方案特點

1）為用戶IT基礎設施口令統一管理提供一種有效的解決方案，提高了口令管理員的工作效率；

2） 針對用戶復雜的IT環境，提供了一種完備、有效的運維安全管理手段，最小化降低IT操作風險；

3）提供一種有效技術手段滿足信息安全、IT系統運維管理、企業遵規三個方面的要求。