高(gāo)校統一(yī)安全管理(lǐ)與運維審計解決方案
行(xíng)業痛點及需求

随着校園的(de)數字化、信息化建設的(de)逐步深入,校園內(nèi)的(de)各種信息資源整合已經進入全面規劃和(hé)實施階段,如(rú)校園一(yī)卡通以結合學(xué)校正在進行(xíng)的(de)身份認證、人事、學(xué)工等MIS和(hé)應用系統等建設。通過共同的(de)身份認證機(jī)制,實現數據管理(lǐ)的(de)集成與共享,使校園一(yī)卡通系統成為(wèi)校園信息化建設有(yǒu)機(jī)的(de)組成部分。通過這樣的(de)有(yǒu)機(jī)結合,為(wèi)系統間的(de)資源共享打下基礎。

信息的(de)高(gāo)度集中使數據的(de)安全性越來越被重視(shì),作為(wèi)關乎國(guó)家興衰的(de)教育行(xíng)業,一(yī)旦數據洩露,必将對社會産生不良影響,成為(wèi)輿論和(hé)媒體關注的(de)熱點問題。在巨大商(shāng)業利益的(de)驅使下,教育行(xíng)業的(de)數據庫要面臨來自(zì)內(nèi)部威脅和(hé)外部威脅的(de)雙重包夾,特别是以商(shāng)業為(wèi)目的(de)的(de)非法“入侵”行(xíng)為(wèi),不僅給學(xué)校的(de)公衆形象和(hé)權威信任帶來嚴重影響,甚至洩露個人信息損害學(xué)生的(de)個人利益, 為(wèi)教育事業又增加了不和(hé)諧的(de)色彩。

結合目前高(gāo)校信息化發展所面臨的(de)安全現狀,在運維管理(lǐ)方面主要存在以下幾點風險: 

1. 管理(lǐ)現狀問題:支撐高(gāo)校行(xíng)業運行(xíng)的(de)IT系統主要由大量的(de)網絡設備、主機(jī)系統和(hé)應用系統組成,這些設備和(hé)系統從應用角度來分又分别屬于不同的(de)部門,網絡設備、主機(jī)系統等分别具備獨立的(de)用戶管理(lǐ)、認證授權和(hé)審計系統,且由不同的(de)系統管理(lǐ)員負責維護和(hé)管理(lǐ),維護人員面對這些系統時,工作複雜程度很大;

2. 授權不清問題:在這種高(gāo)校行(xíng)業體系中,IT運維最佳實踐的(de)用戶最小權限分配原則,由于各系統單獨授權,無法嚴格執行(xíng),同時,随着業務系統的(de)增加,用戶的(de)增加,用戶授權管理(lǐ)工作也變得相當複雜,系統安全性受到威脅;

3. 共享賬号隐患:為(wèi)了降低(dī)管理(lǐ)複雜度和(hé)難度,有(yǒu)些帳号被多人共用,這些帳号的(de)擴散不容易控制,安全事故也多由于這種帳号共用發生;

4. 密碼簡單隐患:對于維護人員來講,頻繁的(de)切換系統,需要輸入不同系統的(de)用戶名和(hé)口令進行(xíng)登錄,為(wèi)了便于記憶,常有(yǒu)維護人員會采用比較簡單的(de)口令或多個系統使用同樣的(de)口令,緊急情況下還可(kě)能将自(zì)己的(de)用戶名和(hé)口令共享給他人使用,這些都對整個系統的(de)安全性産生極大威脅;

5. 缺乏集中日志審計:由于各個系統獨立運行(xíng),對于系統運行(xíng)日志、維護人員操作審計也隻能分系統獨立進行(xíng),系統發生故障時,必須逐個系統去(qù)排查問題,無法進行(xíng)統一(yī)集中的(de)問題排查,極大的(de)降低(dī)工作效率,也造成了損失擴大的(de)可(kě)能性。

我們(men)的(de)方案


堡壘機(jī)技術作為(wèi)目前內(nèi)網安全最前沿、最核心和(hé)最全面的(de)技術趨勢,針對對高(gāo)校信息中心的(de)核心服務器、數據庫、交換機(jī)等設備資源,提供了最核心的(de)監控和(hé)保護。

賬号集中管理(lǐ)
提高(gāo)管理(lǐ)有(yǒu)效性 堡壘機(jī)會建立一(yī)套新的(de)用戶體系,完全替代原有(yǒu)各系統獨立管理(lǐ)的(de)用戶體系,前端用戶直接對應到維護人員,後端用戶直接對應到原各個系統用戶,提供集中可(kě)實名的(de)用戶管理(lǐ)機(jī)制。通過統一(yī)用戶信息維護入口,保證各系統的(de)用戶帳号信息的(de)唯一(yī)性和(hé)同步更新; 
集中認證和(hé)訪問控制
提高(gāo)運維安全 集中認證實現用戶訪問信息系統的(de)認證入口集中化和(hé)統一(yī)化,采用高(gāo)強度的(de)認證方式,使整個信息系統的(de)登錄和(hé)認證行(xíng)為(wèi)可(kě)控制及可(kě)管理(lǐ),從而提升業務連續性和(hé)系統安全性。 集中訪問控制為(wèi)維護人員提供統一(yī)的(de)系統和(hé)設備入口,提供訪問控制功能,有(yǒu)效的(de)解決運維人員的(de)操作問題,降低(dī)相關信息系統的(de)安全風險;
集中操作審計
提高(gāo)事後溯源,定位能力 能夠動态實時的(de)捕獲用戶操作數據流,集中審計模塊将審計到的(de)數據包進行(xíng)邏輯重組,恢複和(hé)還原用戶的(de)遠程訪問操作過程,自(zì)動以Session方式記錄;日志審計中心提供功能強大的(de)搜索引擎,為(wèi)用戶實現對時間、登錄地(dì)址、主機(jī)地(dì)址、主機(jī)帳号、用戶操作命令等多種豐富的(de)查詢條件,快速定位符合監控規則的(de)Session日志,恢複操作現場。 集中授權提供統一(yī)的(de)信息系統授權管理(lǐ),對所有(yǒu)被管信息資源授權進行(xíng)标準化的(de)管理(lǐ),精細的(de)權限分配策略保證管理(lǐ)員可(kě)以授予不同用戶合适的(de)權限,最大程度的(de)符合最小權限分配原則,極大限度的(de)保護了信息支撐系統資源的(de)安全。集中安全審計提供集中的(de)日志審計,能關聯用戶的(de)操作行(xíng)為(wèi),對非法登錄和(hé)非法操作快速發現、分析、定位和(hé)響應,為(wèi)安全審計和(hé)追蹤提供依據。

部署方式

方案優勢
成熟穩定

十年(nián)以上時間的(de)市(shì)場驗證和(hé)技術積累,在複雜應用生産環境中部署過大量的(de)成功案例,教育行(xíng)業案例衆多,包括:上海交通大學(xué)、上海财經大學(xué)、武漢大學(xué)、華中科(kē)技大學(xué)、西安交通大學(xué)等知名大學(xué)

安全可(kě)靠
同時提供兩套能夠獨立應用并且功能完備的(de)統一(yī)操作運維平台,設備HA可(kě)以做(zuò)到配置和(hé)審計日志實時同步;
極強的(de)網絡環境适應性,實現綠(lǜ)色部署、不改動原有(yǒu)網絡拓撲、支持集群部署、支持跨網段部署;

系統開發更新遵循安全軟件開發生命周期流程,實現版本化管理(lǐ),每次叠代升級确保滿足最佳實踐。

技術先進
支持本地(dì)認證、AD域認證、Radius認證、指紋認證、微信認證、短(duǎn)信認證等,業內(nèi)身份認證方式最齊全;
可(kě)設置用戶的(de)系統登錄策略,包括限制登錄IP、登錄時間段、端口、賬号等,以确保可(kě)新用戶才能訪問其擁有(yǒu)權限的(de)後台資源,實現可(kě)控運維;
支持對高(gāo)危命令的(de)告警和(hé)阻斷,有(yǒu)效控制運維行(xíng)為(wèi)中誤操作、高(gāo)危操作帶來的(de)風險;
帶內(nèi)、帶外運維統一(yī)管理(lǐ),業界唯一(yī)同時支持Avocent、Raritan、ATEN等主流KVM Over IP産品;

獨創的(de)數據庫運維操作審計平台,覆蓋主流商(shāng)業數據庫企業應用和(hé)運維操作。

客戶收益


1. 實現核心數據資産、虛拟化設備、科(kē)研系統和(hé)數據、對業務支撐系統、業務交付系統、校園“一(yī)卡通”、內(nèi)網核心網絡設備、主機(jī)設備、數據庫資産等在內(nèi)的(de)網絡中心資産,實現跨平台、跨操作系統、跨運維協議、跨設備類型的(de)各種IT資源的(de)帳号、認證、授權和(hé)審計的(de)集中控制和(hé)管理(lǐ)。

2. 實現集中化的(de)身份認證和(hé)訪問入口,實現集中訪問授權,基于集中管控安全策略的(de)訪問控制和(hé)角色的(de)授權管理(lǐ),保障網絡中心各種業務交付系統提供7x24小時不間斷的(de)運維。

經典案例
  • 中國(guó)科(kē)技大學(xué)
  • 上海交通大學(xué)
  • 武漢大學(xué)
  • 華中科(kē)技大學(xué)
  • 中南财經政法大學(xué)
  • 西安電子(zǐ)科(kē)技大學(xué)
  • 華中師範大學(xué)
  • 武漢理(lǐ)工大學(xué)
  • 西南交通大學(xué)
  • 西安外國(guó)語大學(xué)
  • 北(běi)京工業大學(xué)
  • 上海财經大學(xué)
  • 上海金融學(xué)院
  • 上海音樂(yuè)學(xué)院
  • 中北(běi)大學(xué)
Copyright © 2019 All Rights Reserved Designed
杭州帕拉迪網絡科(kē)技有(yǒu)限公司