【行业发展背景】
随着云计算、社交网络、移动互联网、物联网以及电子商务的发展,一个24小时在线的时代(Connected 24 hours Era:C时代)已经来临。C时代下,面对规模化的IT基础设施、日益复杂的应用系统、不断更新及交换的海量数据,金融业数据中心业务运营的稳定性与安全性在行业竞争舞台上扮演越来越重要的角色,数据中心IT设施运维风险控制成为业界管理者重点关注的问题之一。
C时代的来临,同时推动着新一代数据中心运维安全控管的发展,打造更高安全性的数据中心,并非IT厂商的概念噱头,而是金融数据中心管理者和使用者真实的需求。
金融与IT的融合创新,帮助转型期的金融行业应对市场化挑战。
【业务现状及需求分析】
Ø 对下级机构运维过程缺少有效的技术监管手段
金融行业组织机构庞大,地域空间分布极为分散,省级总行与众多地市级支行之间的业务互联与数据信息交换基于复杂的广域网技术体系实现。然而,对于各地市级支行数据中心运维安全、内控风险的管理,省行仅采用制度及规范予以约束,人工方式进行监督,管理效果欠佳,效率低下,缺乏行之有效的技术辅助手段。
Ø 运维入口众多、运维通道独立、运维工具分散
金融业数据中心常规的运维模式是由省市各层各级运维人员基于本地客户端启用RDP/VNC/TELENT等远程协议工具直接访问数据中心目标设备,展开会话操作。这种运维模式导致运维入口众多(一台客户端提供一个运维入口)、运维通道相互独立(不同协议工具建立不同运维通道)、运维工具部署分散(协议工具分别安装于各运维客户端),造成网内运维环境安全难以管理的局面。
Ø 行业新标准的运用催生出多人核实管理机制
金融行业安全等级保护基本要求规定,对于数据中心核心设备及关键业务系统等此类高风险运维操作,需采用多人核实机制(即在同时获得两人以上授权前提下,才能实施相应会话),以提升运维操作行为合规性控制的细粒度。
Ø 审计手段不全面,审计信息不直观
现有的审计手段是基于操作系统日志的审计,只能定位到访问设备的IP地址、用户、时间等基本信息,无法准确、直观追溯运维人员在目标设备上的会话过程,无法对事故原因进行客观还原。
【方案概述及部署】
针对金融行业的业务需求及业务现状,德讯科技提供一套IT设施运维操作安全审计(堡垒主机)解决方案。采用“DCLive+ICS”联合部署模式为各地市级运维人员提供一个统一的操作平台,突破地域、时空、时间的限制,基于WEB浏览器即可实现对数据中心IT设施的相关运维需求,如字符型会话、图形访问、数据库管理及其他应用类运维操作。
此外,方案为省级总行管理人员提供一个集中化的审计平台,事中可实时监视系统内所有会话访问与操作行为,事后第一时间可及时审查整个运维过程。该方案从技术上实现金融行业数据中心“分布式运维操作,集中式监控审计”的安全管理目标。
方案部署如图1所示:
图1:运维操作安全审计(堡垒主机)方案部署图
系统部署特点:
Ø 利用原有网络拓扑架构,安装部署简便,无需加装任何客户端代理,不影响任何业务数据流;
Ø ICS设备分布式部署于各地级市支行,实现本地化运维,独立化操作,互不干扰;
Ø 两台ICS共同分担局域网内并发会话的压力,实现各分支网络负载均衡;
Ø 省级中心机房DCLive管理平台,实现对下级分支机构所有运维过程的集中监视、控制、管理与审计;
Ø DCLive主备两台设备HA部署,保障数据完整性以及整个系统的防灾恢复。
【应用价值】
Ø 提供统一的运维平台
方案提供统一WEB管理入口,对登陆用户身份的合法性实施统一认证;系统自带字符类/图形类/应用类多种运维工具,无需运维客户端自行安装,避免运维过程中出现工具不全面,版本不兼容的问题;支持会话代理访问通道的建立,改变原有本地客户端直接发起会话的运维模式,对运维过程实现有效监控与审计。
图2:运维操作安全审计(堡垒主机)体系图
Ø 双人授权访问控制
依据行业安全等级保护标准,方案实现双人授权访问控制策略管理。权限范围内的任何一人登陆运维平台,通过身份认证,也不能独自执行会话操作,需要得到策略内另一用户的授权。系统支持本地口令输入及远程身份认证两种授权方式。主要通过提升授权管理的细粒度,保障核心设备、关键业务以及第三方运维操作的合规性、安全性。
Ø 事后全面审计,保证操作留痕
方案提供网内运维管理全生命周期的审计,即采用流媒体形式记录运维人员登陆运维网关至登出运维网关的全过程,支持对字符、图形、数据库、WEB应用等多种类型会话的全面审计。审计结果如图3所示:
图3:运维操作安全审计(堡垒主机)界面示意图
审计结果以操作日志及录像相结合的形式呈现,符合4W (When/Where/Who/What)原则。同时,支持录像回放、SQL语句、关键字符与审计录像关联定位与检索,实现运维操作过程的快速定位、精确跟踪以及真实重现,协助审计人员对非法运维操作节点的排查及故障责任的追溯,提升数据中心精细化、规范化的运维安全管理水平。