德讯科技运维操作审计(堡垒主机)解决方案在中小银行业的应用
来源:中国电子政务网 更新时间:2012-09-28
       与大型银行相比,中小银行的特点为“规模小,网点少,经营区域集中”,正处于成长阶段。为了弥补其规模、地域短板的,各中小银行不断完善自身信息化基础设施建设,增强核心系统功能。在具体经营操作中,许多中小银行纷纷借助网络优势建立网络银行,提供网络客户服务平台。依托科技优势,打造业务壁垒是中小型银行在新经济环境下摸索出生存法则。
  
  然而,信息化建设是一把双刃剑,随着其金融服务内涵和外沿的不断扩大,整体金融服务水平大幅度提高,伴生的信息安全风险日益凸现。
  
  相对于日益成熟与完善的银行对外安全防护体系,中小银行当前所面临的信息安全威胁主要来源于企业内部,尤其在数据中心IT设施日常运维管理过程中,主要归结有以下四大因素:
  
  图1影响网内信息安全的四大因素
  


  运维主体、对象、工具、行为对信息安全的影响具体表现为以下四方面:
  
  运维主体繁杂,帐号共享,无法统一管理
  
  中小银行数据中心运维主体包括中心运维人员、分支运维人员、厂商人员、代维人员等。角色繁杂,账号共享,交叉使用,分散登录,管理缺乏规范性。一旦发生运维事故,无法锁定具体责任人,安全隐患极大。
  
  运维工具部署分散,管理维护难度大
  
  对于目标IT设施的维护,需要基于各种不同的运维管理工具,如字符形协议/图形化协议/数据库工具。传统模式下,运维工具分散安装部署于各个运维客户端,从而导致安装、升级、维护等工作量过大,造成网内运维环境安全难以管理的局面。
  
  无法保障运维行为的合规性,缺乏有效的安全监管机制
  
  运维操作的合法性完全由操作主体主观决定与控制,既没有精细控制每个管理帐号的执行权限;也没有明确定义“什么帐号可以执行哪些操作?哪个帐号不能执行哪些操作”的操作权限,责权模糊。因此,越权访问、权限滥用等操作风险屡见不鲜。
  
  目标运维对象的操作过程不可控
  
  中小银行数据中心内的目标IT设施规模庞大,数量众多,运维操作纷繁复杂,缺少必要的取证举证手段。对于违规违法访问,无法追溯到操作源头,更加不能为取证举证提供充分依据。


  二、方案概述
  
  针对我国中小型银行所面临的信息安全风险,及其信息化业务现状及需求,德讯科技ICS运维操作审计(堡垒主机)解决方案可从技术层面提供全方位一体化的安全防范与控制手段。
  
  方案基于COBIT标准框架,主要从影响中小银行运维操作安全的四大要素(主体、对象、工具、行为)入手,提供“认证、监控、审计、评估”管理手段,为数据中心构建一套“事前预防、事中监控、事后审计”的网内安全运维监管体系,实现“运维集中化、操作规范化、风险最小化”的管理目标。
  
  其安全运维监管模型如图2所示:

  
  图2安全运维监管模型

  三、系统部署
  
  本方案系统部署如图3所示:
 

 
  图3系统部署示意图

  本方案具备以下五个系统部署特点:
  
  利用原有网络拓扑架构,安装部署简便,无需加装任何客户端代理,不影响任何业务数据流;
  
  将ICS设备部署于核心交换机位置,实现对网络内所有服务器及网络设备的会话访问;
  
  单台ICS设备最大支持500路字符会话及200路图形会话的并发访问压力,小规模的数据中心通常只需配置一台ICS设备;
  
  ICS主备两台设备HA部署,保障数据的完整性及整个系统的防灾恢复;
  
  基于ICSWEB管理平台,运维人员可随时随地对数据中心内的IT设备实施运维、审计等管理操作。