銀行業統一(yī)安全管理與運維審計解決方案
行業痛點及需求

随着互聯網的發展,人們對網上購物(wù)和電(diàn)子商(shāng)務的需求越來越大(dà),促使銀行業大(dà)力發展線上業務,通過手機支付、網上銀行等互聯網渠道為公衆提供金融服務,與此同時,如何保障這些基礎設施資(zī)産的正常運行和核心數據不被洩露,免受内部人員(yuán)的越權訪問操作和外(wài)部黑客的侵擾攻擊,成了銀行業内的一(yī)大(dà)難題。某銀行是經中(zhōng)國銀監會批準設立的全國性股份制商(shāng)業銀行,随着跨區域發展戰略的執行、業務持續擴張、規模不斷的發展壯大(dà),一(yī)旦發生(shēng)業務中(zhōng)斷事故,即使很短的時間,都會造成莫大(dà)的損失;數據庫中(zhōng)存儲的大(dà)量交易數據,不僅涉及經濟利益,其中(zhōng)還包含了個人隐私信息,一(yī)旦洩露,會對銀行的信譽造成難以挽回的損害。IT信息科技方面的風險和威脅日益劇增,如何保證整個IT系統運行的穩定安全,也成為了決策層和管理層迫在眉捷的挑戰。

行業需求

為了保障金融行業做好安全工(gōng)作,銀監會也加大(dà)了對各銀行的監管力度,出據了各種條件和指引文件,指導銀行的信息化安全建設和規範,做到未雨綢缪,防止數據安全事件的發生(shēng)。其中(zhōng)着重提到了運維操作風險管理,要求單位對數據中(zhōng)心後台的所有操作都要有記錄,做到有據可查。銀監局在對該商(shāng)業銀行信息科技風險監管檢查風險評估中(zhōng)就發現許多問題,主要如下(xià):


1.賬号共享、交叉管理:由于多個維護人員(yuán)同時使用一(yī)個賬号做運維,如果出現誤操作,無法确定具體(tǐ)操作人;
2.授權管理:對于高權限賬戶,權限沒有好的管控辦法,隻要網絡可達,擁有用戶名和密碼,可以随時登錄操作數據中(zhōng)心後台;
3.操作行為管控:運維人員(yuán)(代維廠商(shāng))對數據中(zhōng)心的後台操作是不透明的,信息中(zhōng)心負責人不知(zhī)道誰什麼時候在後台做了什麼操作,沒有好的監控辦法;
4.數據外(wài)洩:像RDP、FTP類的協議,都帶有磁盤映射功能,如果不能控制好維護協議的傳輸控制,核心機密數據有外(wài)彙的風險存在;
5.數據庫訪問來源複雜(zá),難以确定數據庫操作的真實訪問者;
6.數據庫系統自身日志(zhì)記錄信息不全,違規事件無法及時、準确的發現;

7.數據庫操作過程完全處于“暗箱”之中(zhōng),難以了解細節


我(wǒ)(wǒ)們的方案
統一(yī)接入入口

建立統一(yī)的安全運維接入平台,為核心業務系統提供統一(yī)運維操作入口,實現單點登錄。所有運維人員(yuán)都首先登陸統一(yī)運維平台,在系統上進行運維操作,實現對其的統一(yī)訪問控制和管理;


賬号集中(zhōng)管理

實現集中(zhōng)化、基于角色的的主從帳号管理,建立自然人與設備帳号之間的一(yī)一(yī)對應關系,并對設備帳号進行統一(yī)管理,定期進行密碼修改;


嚴格權限控制

對用戶使用業務系統中(zhōng)資(zī)源的具體(tǐ)情況進行合理分(fēn)配,實現不同用戶對不同部分(fēn)實體(tǐ)資(zī)源的合法訪問,杜絕非法訪問和越權訪問。每個運維人員(yuán)的權限都實現有效控制,策略細粒到可訪問的設備和可使用的賬号;


完善事後審計

對運維操作的過程進行完全跟蹤和記錄,完整保存運維操作的所有日志(zhì);統計自然人對資(zī)源的訪問情況,在出現安全事故時,可以故障定為和責任追蹤;對人員(yuán)的登錄過程、操作行為進行審計和處理,建立完善針對“自然人→資(zī)源”訪問過程的完整審計;為監管部門提供審計平台和審計數據。審計提供了錄像和命令的完整查看,并可提供快速準确的搜索定位;


方案高可用性
設備旁路部署,不用改變現有網絡拓撲,支持雙機熱備、集群和分(fēn)布式部署,提高平台的可靠性。無需在業務系統上安裝任何Agent,不影響業務。


客戶收益
滿足合規

滿足IT内控、SOX、COBIT、等保等法案法規合規性審計要求; 2. 為銀監部門提供運維管理的審計報表和原始準确的運維操作日志(zhì); 3. 有助于完善組織的IT内控與審計體(tǐ)系,使組織能夠順利通過IT審計。


降低安全風險,快速故障定位和責任追蹤
采用堡壘主機的技術,避免了非法終端、不安全終端直接連接核心資(zī)源,降低木馬、間諜、内部安全威脅等對核心資(zī)源造成的影響; 2. 發生(shēng)安全事故,通過回放(fàng)操作記錄可快速、準确的進行責任鑒定和安全事件追蹤; 3. 作為第三方獨立運維審計管理設備,實現了使用權、管理權與監督權的三權分(fēn)立;同時也幫助監督人員(yuán)獲得有效的技術手段,完善銀行IT内控機制。
經典案例
  • 國家開(kāi)發銀行
  • 江蘇銀行
  • 徽商(shāng)銀行
  • 湖北(běi)銀行
  • 安邦保險
  • 東方證券
  • 方正期貨
  • 光大(dà)期貨
  • 恒生(shēng)電(diàn)子
  • 廣發期貨
  • 民生(shēng)證券
  • 浙江稠州商(shāng)業銀行
  • 天弘基金
  • 招商(shāng)銀行
  • 東亞銀行
  • 人民銀行
  • 國家開(kāi)發銀行
  • 中(zhōng)信信托
  • 浙商(shāng)銀行
  • 平安保險
  • 人民保險
  • 上海東方财富期貨有限公司
  • 商(shāng)盟商(shāng)務服務有限公司
  • 上海拍拍貸金融信息服務有限公司
Copyright © 2019 All Rights Reserved Designed
杭州瑞禅網絡科技有限公司