运维操作风险管理解决方案.docx

IT运维操作风险管理解决方案】
墜用户需求
银行企业拥有庞大的IT信息系统，数据中心的基础架构建设比较完善， 随着银行行业
监管的强化以及银行特殊的社会责任要求， 银行企业对运维操作风险管理提出了更高的要
求，希望能够对网络管理员、系统管理员、代维人员、开发人员等的运维操作行为，进行 事前控制、事中监控和事后审计，具体需求如下：
集中管理：对管理员进行统一认证，解决操作分散无序的问题，提高管理效率；
灵活的策略：能够基于用户组、设备组对管理行为制定策略；
审计操作行为： 对维护管理行为进行有效的审计；
动态口令技术：使用动态口令技术进行认证，防止认证信息丢失。
墜解决方案简介
审计的目的是希望最大程度的降低上述运维操作风险， 但是仅仅借助审计这种技术手
段来实现对操作的有效监管是无法实现的，因为任何一种审计永远都是事后行为，而缺乏 事前、事中的审计。运维操作管理的本质是对于运维操作行为的控制，而采用什么样的方 式去控制和控制的力度，决定了管理的高度。
网络运维操作风险管理系统
网络管理员向网络设备发起认证请求， 网络设备将请求发送至网络设备操作管理
平台，网络设备操作管理平台将认证请求发送到双因素认证系统，认证通过后， 管理员可对网络设备进行运维操作， 网络设备操作管理平台对管理员的操作进行
实时记录；
使用具有审计权限的账户登录网络设备操作管理平台， 可对网络管理员的操作进
行实时监控、阻断和事后审计；
系统运维操作风险管理平台（堡垒机）
在已经定义认证、控制、授权策略的堡垒机环境下，首先，系统管理员（主机、 数据库管理员）向堡垒机发起认证请求，堡垒机将请求发送至双因素认证系统， 认证通过后，管理员可对主机、数据库等系统进行运维操作，堡垒机对系统管理 员的操作进行实时记录；
对于C/S架构的应用，采用客户端前置服务器的方式部署在网络中，在前置机上 安装管理客户端，堡垒机将安装在前置服务器上的管理客户端进行应用发布，用 户登录堡垒机后，选择应用发布的客户端工具对系统进行维护管理；
使用具有审计权限的账户登录堡垒机，可对网络管理员的操作进行实时监控、阻 断和事后审计；
& 客户得到的益处
统一认证、统一制定授权策略，提高操作管理效率； 双因素认证增强系统维护的安全性，防治信息泄露；
有效监管原厂商/代维厂商的操作，根据需求动态调整策略； 对用户的操作进行实时监控、真实记录、快速查询；
符合行业法规；
掘产品竞争分析
1、Cisco ACSf堡垒机产品对网络设备的操作管理竞争分析
对比项目
Cisco ACS
系统操作管理平台（堡垒机）
设备兼容性
可兼容主流厂商网络设备
可兼容主流厂商网络设备
部署难易度
部署简单，在网络设备中开启 AAA
功能，指向ACS服务器
部署复杂，需要通过路由策略和安全策 略控制用户的管理数据必须流经堡垒 机
容灾程度
容灾能力强，可在网络设备中建立 本地用户库，ACS出现故障后，仍 可依靠本地用户库，对网络设备进 行管理操作
容灾能力弱，当堡垒机出现故障后，需 要对路由策略和安全策略进行调整后， 才能进行管理操作
2、系统操作管理平台（堡垒机）产品竞争分析
对比项目
奇智科技
江南科友
帕拉迪
公司成立 时间
20