银行业统一安全管理与����� �������Ƴ����������� �������Ƴ������������ �������Ƴ����������� �������Ƴ�������运维审计解决方案
行业痛点及需求 ����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������

随着互联网的发展,人们对网上购物和电子商����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������务的需求越来越大,促使银行业大力发����� �������Ƴ����������� �������Ƴ������������ �������Ƴ������������ �������Ƴ�������展线上业务,通过手机支付、网上银行等互����� �������Ƴ������������ �������Ƴ����������� �������Ƴ������������ �������Ƴ�������联网渠道为公众提供金融服务����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������,与此同时,如何保障这些基础设施资产的正常运行����� �������Ƴ������������ �������Ƴ������������ �������Ƴ����������� �������Ƴ�������和核心数据不被泄露,免受内部人员的越权访问操作����� �������Ƴ������������ �������Ƴ������������ �������Ƴ����������� �������Ƴ�������和外部黑客的侵扰攻击,成了银����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������行业内的一大难题。某银行是经中国银监会批准设立����� �������Ƴ������������ �������Ƴ����������� �������Ƴ������������ �������Ƴ�������的全国性股份制商业银行,����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������随着跨区域发展战略的执行、����� �������Ƴ������������ �������Ƴ����������� �������Ƴ������������ �������Ƴ�������业务持续扩张、规模不断的发展壮大,一旦发生业����� �������Ƴ����������� �������Ƴ������������ �������Ƴ������������ �������Ƴ�������务中断事故,即使很短的时����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������间,都会造成莫大的损失;����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������数据库中存储的大量交易数据,不仅涉及经济利益,����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ������其中还包含了个人隐私信息,一旦泄露����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������,会对银行的信誉造成难以挽回的损害。I����� �������Ƴ����������� �������Ƴ������������ �������Ƴ������������ �������Ƴ�������T信息科技方面的风险和威胁日益����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������剧增,如何保证整个IT系统运行����� �������Ƴ������������ �������Ƴ����������� �������Ƴ������������ �������Ƴ�������的稳定安全,也成为了决策层和管理层����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������迫在眉捷的挑战。

行业需求
为了保障金融行业做好安全工作����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������,银监会也加大了对各银行的监管力度,出据了����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ������各种条件和指引文件,指导银行的信息化����� �������Ƴ����������� �������Ƴ������������ �������Ƴ������������ �������Ƴ�������安全建设和规范,做到未雨绸缪,防止����� �������Ƴ����������� �������Ƴ������������ �������Ƴ������������ �������Ƴ�������数据安全事件的发生。其中着重提到了运维操作风险管����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������理,要求单位对数据中心后台的所����� �������Ƴ������������ �������Ƴ������������ �������Ƴ����������� �������Ƴ�������有操作都要有记录,做到有据可查。银监局在对该商����� �������Ƴ������������ �������Ƴ����������� �������Ƴ������������ �������Ƴ�������业银行信息科技风险监管检查风����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������险评估中就发现许多问题,����� �������Ƴ������������ �������Ƴ����������� �������Ƴ������������ �������Ƴ�������主要如下:

1.账号共享、交叉管理:由于多个维护人员����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������同时使用一个账号做运维,如果出现误操作,无法确定����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������具体操作人;

2.授权管理:对于高权限账户,����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������权限没有好的管控办法,只要网络可达,拥有用����� �������Ƴ������������ �������Ƴ����������� �������Ƴ������������ �������Ƴ�������户名和密码,可以随时登录操作数据中����� �������Ƴ������������ �������Ƴ����������� �������Ƴ������������ �������Ƴ������心后台;

3.操作行为管控:运维人员(代维厂商)对数据中����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ������心的后台操作是不透明的,信息中心负责人不知道����� �������Ƴ������������ �������Ƴ������������ �������Ƴ����������� �������Ƴ�������谁什么时候在后台做了什么操作,没有好的监控办法����� �������Ƴ������������ �������Ƴ����������� �������Ƴ������������ �������Ƴ�������;

4.数据外泄:像RDP、F����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������TP类的协议,都带有磁盘����� �������Ƴ������������ �������Ƴ������������ �������Ƴ����������� �������Ƴ�������映射功能,如果不能控制好维护协议的传输控制,核����� �������Ƴ����������� �������Ƴ������������ �������Ƴ����������� �������Ƴ�������心机密数据有外汇的风险存����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������在;

5.数据库访问来源复杂,难����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������以确定数据库操作的真实访问者;

6.数据库系统自身日志记录信息不全,违规����� �������Ƴ����������� �������Ƴ������������ �������Ƴ������������ �������Ƴ������事件无法及时、准确的发现;

7.数据库操作过程完全处于“暗箱”之中,难以了����� �������Ƴ������������ �������Ƴ������������ �������Ƴ����������� �������Ƴ�������解细节。


我们的方案
统一接入入口
建立统一的安全运维接入平台,为核����� �������Ƴ������������ �������Ƴ������������ �������Ƴ����������� �������Ƴ������心业务系统提供统一运维操作入口,实����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ������现单点登录。所有运维人员都����� �������Ƴ������������ �������Ƴ������������ �������Ƴ����������� �������Ƴ������首先登陆统一运维平台,在系����� �������Ƴ������������ �������Ƴ����������� �������Ƴ������������ �������Ƴ�������统上进行运维操作,实现对其的统一访问控制����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ������和管理;
账号集中管理
实现集中化、基于角色的的主从帐号管理,建立自����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������然人与设备帐号之间的一一对应关系,并对设备帐����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������号进行统一管理,定期进行密码修改;
严格权限控制
对用户使用业务系统中资源的具体情况进行合理分����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������配,实现不同用户对不同部分实体资源的合法访问,����� �������Ƴ������������ �������Ƴ������������ �������Ƴ����������� �������Ƴ�������杜绝非法访问和越权访问。每个运维人员的����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������权限都实现有效控制,策略细粒到可访����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������问的设备和可使用的账号;
完善事后审计
对运维操作的过程进行完全跟踪和����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������记录,完整保存运维操作的所有日志;统计自然人对资����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������源的访问情况,在出现安全事故����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������时,可以故障定为和责任追踪;对人员的登����� �������Ƴ����������� �������Ƴ������������ �������Ƴ������������ �������Ƴ�������录过程、操作行为进行审计和处理,建����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ������立完善针对“自然人→资源”访问过����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������程的完整审计;为监管部门提供审计平台����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������和审计数据。审计提供了录像和命令����� �������Ƴ������������ �������Ƴ����������� �������Ƴ������������ �������Ƴ�������的完整查看,并可提供快速准确的搜索����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������定位;
方案高可用性
设备旁路部署,不用改变现有网����� �������Ƴ����������� �������Ƴ������������ �������Ƴ������������ �������Ƴ�������络拓扑,支持双机热备、集群和分����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������布式部署,提高平台的可靠性。无需在业务系统上安装����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������任何Agent,不影响业����� �������Ƴ������������ �������Ƴ����������� �������Ƴ������������ �������Ƴ�������务。


客户收益
满足合规
1. 满足IT内控、SOX、C����� �������Ƴ����������� �������Ƴ������������ �������Ƴ������������ �������Ƴ�������OBIT、等保等法案法规合����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������规性审计要求; 2. 为银监部门提供运维管理的审计报表和原始准确����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������的运维操作日志; 3. 有助于完善组织的IT内控与审计体系,使����� �������Ƴ������������ �������Ƴ����������� �������Ƴ����������� �������Ƴ�������组织能够顺利通过IT审计。
降低安全风险,快速故障定位����� �������Ƴ������������ �������Ƴ����������� �������Ƴ������������ �������Ƴ�������和责任追踪
1. 采用堡垒主机的技术,避免了����� �������Ƴ������������ �������Ƴ����������� �������Ƴ������������ �������Ƴ�������非法终端、不安全终端直接连接核心资源,降低木马、����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������间谍、内部安全威胁等对核心资源造成的����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������影响; 2. 发生安全事故,通过回放操作记录可快速、����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������准确的进行责任鉴定和安全事件追踪; 3. 作为第三方独立运维审计管理设备,实现了使用����� �������Ƴ������������ �������Ƴ����������� �������Ƴ������������ �������Ƴ�������权、管理权与监督权的三权分立;同时也帮����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ������助监督人员获得有效的技术����� �������Ƴ����������� �������Ƴ������������ �������Ƴ������������ �������Ƴ������手段,完善银行IT内控机制。
经典案例
  • 浙江稠州商业银行 ����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������
  • 安邦保险 ����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������
  • 东方证券
  • 方正期货
  • 光大期货 ����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������
  • 恒生电子 ����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ������
  • 广发期货 ����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������
  • 民生证券
  • 天弘基金 ����� �������Ƴ����������� �������Ƴ������������ �������Ƴ������������ �������Ƴ�������
  • 招商银行 ����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������
  • 东亚银行
  • 人民银行 ����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������
  • 国家开发银行
  • 中信信托 ����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������
  • 浙商银行 ����� �������Ƴ������������ �������Ƴ����������� �������Ƴ����������� �������Ƴ�������
  • 平安保险
  • 人民保险 ����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������
  • 上海东方财富期货有限公司 ����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������
  • 商盟商务服务有限公司 ����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������
  • 上海拍拍贷金融信����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������息服务有限公司
Copyright © ����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������2019 All Rights Reser����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������ved Designed
杭州汉领信息科技有限公司