运维操作风险管理解决方案.docx

IT运维操作风险管理解决方案】
用户需求
银行企业拥有庞大的IT信息系统,数据中心的基础架构建设比较完善,随着银行行业监管的强化以及银行特殊的社会责任要求,银行企业对运维操作风险管理提出了更高的要求,希望能够对网络管理员、系统管理员、代维人员、开发人员等的运维操作行为,进行事前控制、事中监控和事后审计,具体需求如下:
集中管理:对管理员进行统一认证,解决操作分散无序的问题,提高管理效率;
灵活的策略:能够基于用户组、设备组对管理行为制定策略;
审计操作行为:对维护管理行为进行有效的审计;
动态口令技术:使用动态口令技术进行认证,防止认证信息丢失。
解决方案简介
审计的目的是希望最大程度的降低上述运维操作风险,但是仅仅借助审计这种技术手段来实现对操作的有效监管是无法实现的,因为任何一种审计永远都是事后行为,而缺乏事前、事中的审计。运维操作管理的本质是对于运维操作行为的控制,而采用什么样的方式去控制和控制的力度,决定了管理的高度。
网络运维操作风险管理系统
网络管理员向网络设备发起认证请求,网络设备将请求发送至网络设备操作管理平台,网络设备操作管理平台将认证请求发送到双因素认证系统,认证通过后,管理员可对网络设备进行运维操作,网络设备操作管理平台对管理员的操作进行实时记录;
使用具有审计权限的账户登录网络设备操作管理平台,可对网络管理员的操作进行实时监控、阻断和事后审计;
系统运维操作风险管理平台(堡垒机)
在已经定义认证、控制、授权策略的堡垒机环境下,首先,系统管理员(主机、数据库管理员)向堡垒机发起认证请求,堡垒机将请求发送至双因素认证系统,认证通过后,管理员可对主机、数据库等系统进行运维操作,堡垒机对系统管理员的操作进行实时记录;
对于C/S架构的应用,采用客户端前置服务器的方式部署在网络中,在前置机上安装管理客户端,堡垒机将安装在前置服务器上的管理客户端进行应用发布,用户登录堡垒机后,选择应用发布的客户端工具对系统进行维护管理;
使用具有审计权限的账户登录堡垒机,可对网络管理员的操作进行实时监控、阻断和事后审计;
客户得到的益处
统一认证、统一制定授权策略,提高操作管理效率;
双因素认证增强系统维护的安全性,防治信息泄露;
有效监管原厂商/代维厂商的操作,根据需求动态调整策略;
对用户的操作进行实时监控、真实记录、快速查询;
符合行业法规;
产品竞争分析
Cisco ACS与堡垒机产品对网络设备的操作管理竞争分析
对比项目
Cisco ACS
系统操作管理平台(堡垒机)
设备兼容性
可兼容主流厂商网络设备
可兼容主流厂商网络设备
部署难易度
部署简单,在网络设备中开启AAA功能,指向ACS服务器
部署复杂,需要通过路由策略和安全策略控制用户的管理数据必须流经堡垒机
容灾程度
容灾能力强,可在网络设备中建立本地用户库,ACS出现故障后,仍可依靠本地用户库,对网络设备进行管理操作
容灾能力弱,当堡垒机出现故障后,需要对路由策略和安全策略进行调整后,才能进行管理操作
2、系统操作管理平台(堡垒机)产品竞争分析
对比项目
奇智科技
江南科友
帕拉迪
公司成立时间
2005年
1991年
2005年
产品专注度
2005年推出国内第一台堡垒机,专注于堡垒机产品