数据库安全随笔-生活工作点滴

运维审计系统

2019-07-09  本文已影响1人  f31fefe9cd5f

中安威士运维审计系统(又称堡垒机)是一种被加固的可以防御入侵的新型安全产品,具备坚强的安全防护能力。采用层次化、模块化的设计,集用户管理、授权管理、认证管理和综合审计于一体,能够拦截非法访问和恶意攻击,对不合法命令进行阻断、过滤掉所有对目标设备的非法访问行为。为客户带来的价值:

帮助企业实现集中账号管理,降低管理费用

帮助企业实现集中授权管理和访问控制,简化授权流程,减轻管理压力

帮助企业有效减少信息资产的破坏和泄漏

帮助企业满足合规性要求,顺利通过IT审计

帮助企业控制运维操作风险及事后原因与责任界定

 统一用户身份管理平台

该平台集中了账号及密码管理、授权管理、SSO单点登录、审计管理及认证管理等功能,从技术上保证支撑系统安全运行。

 全面的用户管理

提供证书认证方式或与第三方CA、动态令牌、生物识别、短信认证等方式结合,进行组合认证,确保合法用户才能访问其后台资源,提高访问的安全性。

 强大的资源管理能力

支持资源数量统计、unix资源、网络资源、windows资源、数据库资源、C/S资源、B/S资源、中间件资源、大型机资源、中间件和金融行业大型机的管理。

 安全策略

提供细粒度的访问控制,如访问时间策略、地址策略、RDP策略、字符命令、FTP、口令命令、锁定策略、审计策略和VPN等大限度保护用户资源的安全。

 配置管理

提供多层级分组、同步AD域组结构、组定义类型(用户资源、综合)、角色划分、岗位授权及挂载策略、自动改密、密码拨测和密码信封等功能。

 审计管理

支持命令、内容、字符录像、图形录像等行为审计,并支持自动生成报表。

 逻辑命令自动识别技术

能自动识别命令状态、编辑状态以及私有工作状态,准确捕获逻辑命令。

 分布式处理技术

分布式设计有利于策略的正确执行和操作记录日志的安全。同时,各组件之间采用安全连接进行通信,防止策略和日志被篡改。

 正则表达式匹配技术

将正则表达式组合入树型可遗传策略结构,实现控制命令的自动匹配与控制。树型可遗传策略适合现代企业事业架构,对于服务器的分层分级管理与控制提供了强大的工具。

 图形协议代理

实现多平台的多种图形终端操作的审计,如Windows平台的RDP方式图形终端操作,Linux/Unix平台的XWindow方式图形终端操作等。

数据加密功能

处理用户数据时采用数据加密技术用于保护用户通信的安全性和数据的完整性,防止恶意用户截获和篡改数据,充分保护用户在操作过程中不被恶意破坏。

 审计检索功能

真正把每一次审计出的用户操作行为绑定到自然人身上,便于企业内部网络管理追踪到个人。

 操作还原技术

将用户的操作流程自动地展现出来,监控用户的每一次行为,判断用户的行为是否对企业内部网络造成危害。

提供多种部署方式,支持HA双机部署、集群部署和分布式部署,且具有以下特点:

无需安装任何客户端代理、服务端引擎

无需更改现有网络拓扑

对业务数据流无任何影响

支持集中管理分级部署

操作直观简便,快速上线

典型部署模式一(单机部署图)

典型部署方式二(集群,负载均衡部署图)

堡垒机协助管理中国广大银行系

 背景介绍和需求

总行数据中心2009年部署了SUMP系统,随着业务的扩展,该平台已经不能满足应用的要求,需要部署新系统用户维护管理平台,并在以下方面进行提升:

扩大资源管理范围,纳管图形,文件传输,数据库和中间件等

构建可扩展的部署架构,满足3年业务增长的性能要求

实现分布式部署,实现连同分行的统一管控

提升审计的能力,同时对上下行数据进行审计

优化权限管理,通过流程审批模式实现最小化授权

完善统计分析,加强风险统计,防患于未然

 解决方案

通过在数据中心部署2台中安威士的web服务器,2台单点登录服务器(均可动态扩展),每个分行一台一体机,分行故障后绕行总行进行访问。管理总行和灾备两个数据中心及两家分行的2000台设备,其中,主机HP-Unix 500台左右、Linux500台左右、Windows350台左右、Aix250台左右、数据库200套、中间件200套。二期加入其他所有分行的设备,共约3000台。

 有益结果

该解决方案在功能上完全覆盖了旧SUMP平台的功能,弥补了老平台的功能缺项,规范了设备使用人员操作行为,提升了操作监管能力,且在资源管理范围、协议支持、单点登录管理、访问控制、流程管理,操作行为审计,总分管理模式等方面有较大提升,达到了预期的管理目标。

上一篇下一篇

猜你喜欢

热点阅读