銀行(xíng)業統一(yī)安全管理(lǐ)與運維審計解決方案
行(xíng)業痛點及需求

随着互聯網的(de)發展,人們(men)對網上購物和(hé)電子(zǐ)商(shāng)務的(de)需求越來越大,促使銀行(xíng)業大力發展線上業務,通過手機(jī)支付、網上銀行(xíng)等互聯網渠道(dào)為(wèi)公衆提供金融服務,與此同時,如(rú)何保障這些基礎設施資産的(de)正常運行(xíng)和(hé)核心數據不被洩露,免受內(nèi)部人員的(de)越權訪問操作和(hé)外部黑客的(de)侵擾攻擊,成了銀行(xíng)業內(nèi)的(de)一(yī)大難題。某銀行(xíng)是經中國(guó)銀監會批準設立的(de)全國(guó)性股份制商(shāng)業銀行(xíng),随着跨區域發展戰略的(de)執行(xíng)、業務持續擴張、規模不斷的(de)發展壯大,一(yī)旦發生業務中斷事故,即使很短(duǎn)的(de)時間,都會造成莫大的(de)損失;數據庫中存儲的(de)大量交易數據,不僅涉及經濟利益,其中還包含了個人隐私信息,一(yī)旦洩露,會對銀行(xíng)的(de)信譽造成難以挽回的(de)損害。IT信息科(kē)技方面的(de)風險和(hé)威脅日益劇增,如(rú)何保證整個IT系統運行(xíng)的(de)穩定安全,也成為(wèi)了決策層和(hé)管理(lǐ)層迫在眉捷的(de)挑戰。

行(xíng)業需求

為(wèi)了保障金融行(xíng)業做(zuò)好安全工作,銀監會也加大了對各銀行(xíng)的(de)監管力度,出據了各種條件和(hé)指引文件,指導銀行(xíng)的(de)信息化安全建設和(hé)規範,做(zuò)到未雨綢缪,防止數據安全事件的(de)發生。其中着重提到了運維操作風險管理(lǐ),要求單位對數據中心後台的(de)所有(yǒu)操作都要有(yǒu)記錄,做(zuò)到有(yǒu)據可(kě)查。銀監局在對該商(shāng)業銀行(xíng)信息科(kē)技風險監管檢查風險評估中就發現許多問題,主要如(rú)下:


1.賬号共享、交叉管理(lǐ):由于多個維護人員同時使用一(yī)個賬号做(zuò)運維,如(rú)果出現誤操作,無法确定具體操作人;
2.授權管理(lǐ):對于高(gāo)權限賬戶,權限沒有(yǒu)好的(de)管控辦法,隻要網絡可(kě)達,擁有(yǒu)用戶名和(hé)密碼,可(kě)以随時登錄操作數據中心後台;
3.操作行(xíng)為(wèi)管控:運維人員(代維廠商(shāng))對數據中心的(de)後台操作是不透明的(de),信息中心負責人不知道(dào)誰什麽時候在後台做(zuò)了什麽操作,沒有(yǒu)好的(de)監控辦法;
4.數據外洩:像RDP、FTP類的(de)協議,都帶有(yǒu)磁盤映射功能,如(rú)果不能控制好維護協議的(de)傳輸控制,核心機(jī)密數據有(yǒu)外彙的(de)風險存在;
5.數據庫訪問來源複雜,難以确定數據庫操作的(de)真實訪問者;
6.數據庫系統自(zì)身日志記錄信息不全,違規事件無法及時、準确的(de)發現;

7.數據庫操作過程完全處于“暗箱”之中,難以了解細節


我們(men)的(de)方案
統一(yī)接入入口

建立統一(yī)的(de)安全運維接入平台,為(wèi)核心業務系統提供統一(yī)運維操作入口,實現單點登錄。所有(yǒu)運維人員都首先登陸統一(yī)運維平台,在系統上進行(xíng)運維操作,實現對其的(de)統一(yī)訪問控制和(hé)管理(lǐ);


賬号集中管理(lǐ)

實現集中化、基于角色的(de)的(de)主從帳号管理(lǐ),建立自(zì)然人與設備帳号之間的(de)一(yī)一(yī)對應關系,并對設備帳号進行(xíng)統一(yī)管理(lǐ),定期進行(xíng)密碼修改;


嚴格權限控制

對用戶使用業務系統中資源的(de)具體情況進行(xíng)合理(lǐ)分配,實現不同用戶對不同部分實體資源的(de)合法訪問,杜絕非法訪問和(hé)越權訪問。每個運維人員的(de)權限都實現有(yǒu)效控制,策略細粒到可(kě)訪問的(de)設備和(hé)可(kě)使用的(de)賬号;


完善事後審計

對運維操作的(de)過程進行(xíng)完全跟蹤和(hé)記錄,完整保存運維操作的(de)所有(yǒu)日志;統計自(zì)然人對資源的(de)訪問情況,在出現安全事故時,可(kě)以故障定為(wèi)和(hé)責任追蹤;對人員的(de)登錄過程、操作行(xíng)為(wèi)進行(xíng)審計和(hé)處理(lǐ),建立完善針對“自(zì)然人→資源”訪問過程的(de)完整審計;為(wèi)監管部門提供審計平台和(hé)審計數據。審計提供了錄像和(hé)命令的(de)完整查看,并可(kě)提供快速準确的(de)搜索定位;


方案高(gāo)可(kě)用性
設備旁路部署,不用改變現有(yǒu)網絡拓撲,支持雙機(jī)熱備、集群和(hé)分布式部署,提高(gāo)平台的(de)可(kě)靠性。無需在業務系統上安裝任何Agent,不影響業務。


客戶收益
滿足合規

滿足IT內(nèi)控、SOX、COBIT、等保等法案法規合規性審計要求; 2. 為(wèi)銀監部門提供運維管理(lǐ)的(de)審計報表和(hé)原始準确的(de)運維操作日志; 3. 有(yǒu)助于完善組織的(de)IT內(nèi)控與審計體系,使組織能夠順利通過IT審計。


降低(dī)安全風險,快速故障定位和(hé)責任追蹤
采用堡壘主機(jī)的(de)技術,避免了非法終端、不安全終端直接連接核心資源,降低(dī)木馬、間諜、內(nèi)部安全威脅等對核心資源造成的(de)影響; 2. 發生安全事故,通過回放操作記錄可(kě)快速、準确的(de)進行(xíng)責任鑒定和(hé)安全事件追蹤; 3. 作為(wèi)第三方獨立運維審計管理(lǐ)設備,實現了使用權、管理(lǐ)權與監督權的(de)三權分立;同時也幫助監督人員獲得有(yǒu)效的(de)技術手段,完善銀行(xíng)IT內(nèi)控機(jī)制。
經典案例
  • 國(guó)家開發銀行(xíng)
  • 江蘇銀行(xíng)
  • 徽商(shāng)銀行(xíng)
  • 湖北(běi)銀行(xíng)
  • 安邦保險
  • 東方證券
  • 方正期貨
  • 光大期貨
  • 恒生電子(zǐ)
  • 廣發期貨
  • 民生證券
  • 浙江稠州商(shāng)業銀行(xíng)
  • 天弘基金
  • 招商(shāng)銀行(xíng)
  • 東亞銀行(xíng)
  • 人民銀行(xíng)
  • 國(guó)家開發銀行(xíng)
  • 中信信托
  • 浙商(shāng)銀行(xíng)
  • 平安保險
  • 人民保險
  • 上海東方财富期貨有(yǒu)限公司
  • 商(shāng)盟商(shāng)務服務有(yǒu)限公司
  • 上海拍拍貸金融信息服務有(yǒu)限公司
Copyright © 2019 All Rights Reserved Designed
杭州帕拉迪網絡科(kē)技有(yǒu)限公司