解决方案-杭州汉领信息科技有限公司

金融解决方案

银行业统一安全管理与运维审计解决方�� Ƴ�� Ƴ�� Ƴ�� Ƴ��案

行业痛点及需求我们的方案 �� Ƴ�� Ƴ�� Ƴ�� Ƴ�� 客户收益经典案例 �� Ƴ�� Ƴ�� Ƴ�� Ƴ��

行业痛点及需求

随着互联网的发展，人们对网上购物和电子商务的�� Ƴ�� Ƴ�� Ƴ�� Ƴ��需求越来越大，促使银行业大力发展线上业务，�� Ƴ�� Ƴ�� Ƴ�� Ƴ��通过手机支付、网上银行等互联网渠道为公众提供�� Ƴ�� Ƴ�� Ƴ�� Ƴ��金融服务，与此同时，如何保障这些基础�� Ƴ�� Ƴ�� Ƴ�� Ƴ��设施资产的正常运行和核心数据不被泄露，�� Ƴ�� Ƴ�� Ƴ�� Ƴ��免受内部人员的越权访问操作�� Ƴ�� Ƴ�� Ƴ�� Ƴ��和外部黑客的侵扰攻击，成了银行业内的一大难�� Ƴ�� Ƴ�� Ƴ�� Ƴ��题。某银行是经中国银监会批准设立的全国性股份制商�� Ƴ�� Ƴ�� Ƴ�� Ƴ��业银行，随着跨区域发展战略的执行、业务持续�� Ƴ�� Ƴ�� Ƴ�� Ƴ��扩张、规模不断的发展壮大，一旦发生业务�� Ƴ�� Ƴ�� Ƴ�� Ƴ��中断事故，即使很短的时间，都�� Ƴ�� Ƴ�� Ƴ�� Ƴ��会造成莫大的损失；数据库中存储�� Ƴ�� Ƴ�� Ƴ�� Ƴ��的大量交易数据，不仅涉及经济利益，其�� Ƴ�� Ƴ�� Ƴ�� Ƴ��中还包含了个人隐私信息，一旦泄露�� Ƴ�� Ƴ�� Ƴ�� Ƴ��，会对银行的信誉造成难以挽回的损害。IT信息�� Ƴ�� Ƴ�� Ƴ�� Ƴ��科技方面的风险和威胁日益剧增�� Ƴ�� Ƴ�� Ƴ�� Ƴ��，如何保证整个IT系统运行的稳定安全，也成为了决�� Ƴ�� Ƴ�� Ƴ�� Ƴ��策层和管理层迫在眉捷的挑战。

行业需求
为了保障金融行业做好安全工作�� Ƴ�� Ƴ�� Ƴ�� Ƴ��，银监会也加大了对各银行的监管力度，�� Ƴ�� Ƴ�� Ƴ�� Ƴ��出据了各种条件和指引文件，指�� Ƴ�� Ƴ�� Ƴ�� Ƴ��导银行的信息化安全建设和规范，做到未雨绸�� Ƴ�� Ƴ�� Ƴ�� Ƴ��缪，防止数据安全事件的发�� Ƴ�� Ƴ�� Ƴ�� Ƴ��生。其中着重提到了运维操作�� Ƴ�� Ƴ�� Ƴ�� Ƴ��风险管理，要求单位对数据中心后台的所有�� Ƴ�� Ƴ�� Ƴ�� Ƴ��操作都要有记录，做到有据可查。银监局�� Ƴ�� Ƴ�� Ƴ�� Ƴ��在对该商业银行信息科技风险监�� Ƴ�� Ƴ�� Ƴ�� Ƴ��管检查风险评估中就发现许多问题,主要�� Ƴ�� Ƴ�� Ƴ�� Ƴ��如下：
1.账号共享、交叉管理：由�� Ƴ�� Ƴ�� Ƴ�� Ƴ��于多个维护人员同时使用一个账号做�� Ƴ�� Ƴ�� Ƴ�� Ƴ��运维，如果出现误操作，无法确定具体操作人�� Ƴ�� Ƴ�� Ƴ�� Ƴ��；

2.授权管理：对于高权限账户，权限�� Ƴ�� Ƴ�� Ƴ�� Ƴ��没有好的管控办法，只要网�� Ƴ�� Ƴ�� Ƴ�� Ƴ��络可达，拥有用户名和密码，可以随时登录�� Ƴ�� Ƴ�� Ƴ�� Ƴ��操作数据中心后台；

3.操作行为管控：运维人员（代维厂商）对数据中心�� Ƴ�� Ƴ�� Ƴ�� Ƴ��的后台操作是不透明的，信息�� Ƴ�� Ƴ�� Ƴ�� Ƴ��中心负责人不知道谁什么时候在后台做了�� Ƴ�� Ƴ�� Ƴ�� Ƴ��什么操作，没有好的监控办法；

4.数据外泄：像RDP、FTP类的协议，都带有�� Ƴ�� Ƴ�� Ƴ�� Ƴ��磁盘映射功能，如果不能控制�� Ƴ�� Ƴ�� Ƴ�� Ƴ��好维护协议的传输控制，核心�� Ƴ�� Ƴ�� Ƴ�� Ƴ��机密数据有外汇的风险存在；

5.数据库访问来源复杂，难�� Ƴ�� Ƴ�� Ƴ�� Ƴ��以确定数据库操作的真实访问者；

6.数据库系统自身日志记录信息不全，违规事�� Ƴ�� Ƴ�� Ƴ�� Ƴ��件无法及时、准确的发现；

7.数据库操作过程完全处于“暗箱”之中�� Ƴ�� Ƴ�� Ƴ�� Ƴ��，难以了解细节。

我们的方案 �� Ƴ�� Ƴ�� Ƴ�� Ƴ��

统一接入入口
建立统一的安全运维接入平台，为核�� Ƴ�� Ƴ�� Ƴ�� Ƴ��心业务系统提供统一运维操作入口�� Ƴ�� Ƴ�� Ƴ�� Ƴ��，实现单点登录。所有运维人员都首先登陆统一运维�� Ƴ�� Ƴ�� Ƴ�� Ƴ��平台，在系统上进行运维操作，实现对其的统一访�� Ƴ�� Ƴ�� Ƴ�� Ƴ��问控制和管理；
账号集中管理
实现集中化、基于角色的的主从�� Ƴ�� Ƴ�� Ƴ�� Ƴ��帐号管理，建立自然人与设备�� Ƴ�� Ƴ�� Ƴ�� Ƴ��帐号之间的一一对应关系，并对设备帐号进行统一管理�� Ƴ�� Ƴ�� Ƴ�� Ƴ��，定期进行密码修改；
严格权限控制
对用户使用业务系统中资源的具体情�� Ƴ�� Ƴ�� Ƴ�� Ƴ��况进行合理分配，实现不同用户对不同部分实体资�� Ƴ�� Ƴ�� Ƴ�� Ƴ��源的合法访问，杜绝非法访问和越�� Ƴ�� Ƴ�� Ƴ�� Ƴ��权访问。每个运维人员的权限都实现有效控�� Ƴ�� Ƴ�� Ƴ�� Ƴ��制，策略细粒到可访问的设备�� Ƴ�� Ƴ�� Ƴ�� Ƴ��和可使用的账号；
完善事后审计
对运维操作的过程进行完全跟踪和记�� Ƴ�� Ƴ�� Ƴ�� Ƴ��录，完整保存运维操作的所有日志；统计�� Ƴ�� Ƴ�� Ƴ�� Ƴ��自然人对资源的访问情况，在出现安全事故�� Ƴ�� Ƴ�� Ƴ�� Ƴ��时，可以故障定为和责任追踪；对人�� Ƴ�� Ƴ�� Ƴ�� Ƴ��员的登录过程、操作行为进行�� Ƴ�� Ƴ�� Ƴ�� Ƴ��审计和处理，建立完善针对“自然�� Ƴ�� Ƴ�� Ƴ�� Ƴ��人→资源”访问过程的完整审�� Ƴ�� Ƴ�� Ƴ�� Ƴ��计；为监管部门提供审计平�� Ƴ�� Ƴ�� Ƴ�� Ƴ��台和审计数据。审计提供了录�� Ƴ�� Ƴ�� Ƴ�� Ƴ��像和命令的完整查看，并可提�� Ƴ�� Ƴ�� Ƴ�� Ƴ��供快速准确的搜索定位；
方案高可用性
设备旁路部署，不用改变现有网络拓扑，支持双机热备�� Ƴ�� Ƴ�� Ƴ�� Ƴ��、集群和分布式部署，提高�� Ƴ�� Ƴ�� Ƴ�� Ƴ��平台的可靠性。无需在业务系统上�� Ƴ�� Ƴ�� Ƴ�� Ƴ��安装任何Agent，不影响业务。

客户收益

满足合规
1. 满足IT内控、SOX、COB�� Ƴ�� Ƴ�� Ƴ�� Ƴ��IT、等保等法案法规合规性审计要求；�� Ƴ�� Ƴ�� Ƴ�� Ƴ�� 2. 为银监部门提供运维管理的审计报�� Ƴ�� Ƴ�� Ƴ�� Ƴ��表和原始准确的运维操作日志； 3. 有助于完善组织的IT内控�� Ƴ�� Ƴ�� Ƴ�� Ƴ��与审计体系，使组织能够顺利通过IT审计。
降低安全风险，快速故障定位和责任追踪
1. 采用堡垒主机的技术，避免了非法终端、不安�� Ƴ�� Ƴ�� Ƴ�� Ƴ��全终端直接连接核心资源，降低木�� Ƴ�� Ƴ�� Ƴ�� Ƴ��马、间谍、内部安全威胁等对核心资�� Ƴ�� Ƴ�� Ƴ�� Ƴ��源造成的影响； 2. 发生安全事故，通过回放操作记录可�� Ƴ�� Ƴ�� Ƴ�� Ƴ��快速、准确的进行责任鉴定和安全事件追�� Ƴ�� Ƴ�� Ƴ�� Ƴ��踪； 3. 作为第三方独立运维�� Ƴ�� Ƴ�� Ƴ�� Ƴ��审计管理设备，实现了使用权、管理权与监�� Ƴ�� Ƴ�� Ƴ�� Ƴ��督权的三权分立；同时也帮助监�� Ƴ�� Ƴ�� Ƴ�� Ƴ��督人员获得有效的技术手段，完善银行I�� Ƴ�� Ƴ�� Ƴ�� Ƴ��T内控机制。

经典案例

浙江稠州商业银行 �� Ƴ�� Ƴ�� Ƴ�� Ƴ��
安邦保险 �� Ƴ�� Ƴ�� Ƴ�� Ƴ��
东方证券
方正期货 �� Ƴ�� Ƴ�� Ƴ�� Ƴ��
光大期货 �� Ƴ�� Ƴ�� Ƴ�� Ƴ��
恒生电子 �� Ƴ�� Ƴ�� Ƴ�� Ƴ��
广发期货 �� Ƴ�� Ƴ�� Ƴ�� Ƴ��
民生证券
天弘基金 �� Ƴ�� Ƴ�� Ƴ�� Ƴ��
招商银行 �� Ƴ�� Ƴ�� Ƴ�� Ƴ��
东亚银行
人民银行 �� Ƴ�� Ƴ�� Ƴ�� Ƴ��
国家开发银行�� Ƴ�� Ƴ�� Ƴ�� Ƴ��
中信信托 �� Ƴ�� Ƴ�� Ƴ�� Ƴ��
浙商银行
平安保险
人民保险 �� Ƴ�� Ƴ�� Ƴ�� Ƴ��
上海东方财�� Ƴ�� Ƴ�� Ƴ�� Ƴ��富期货有限公司
商盟商务服务有限公司 �� Ƴ�� Ƴ�� Ƴ�� Ƴ��
上海拍拍贷金融�� Ƴ�� Ƴ�� Ƴ�� Ƴ��信息服务有限公司