隨著網絡化的普及和發展,金融行業電子網絡信息化建設也在不斷深入,服務手段日益多樣化,很多以計算機為依托的相關新業務不斷出現,并逐步形成了一整套現代化的嶄新模式。
近年來,從“數據大集中”到“多業務整合”的發展趨勢已獲得了我國金融業從業者廣泛的認同,各級數據中心建設紛紛圍繞業務發展的需要深入展開。面對規模化的IT基礎設施、日益復雜的應用系統和不斷更新及交換的海量數據,數據中心安全性、穩定性在行業競爭舞臺上扮演越來越重要的角色,成為當今時代金融行業迫切需要解決的問題。
【金融行業IDC業務現狀及需求分析】
下級機構運維過程中,缺少有效的技術監管手段
金融行業的特點是組織機構龐大;地域空間分布分散;省級總行與其下屬地市級支行之間的業務互聯與數據信息交換基于復雜的廣域網技術體系。然而,在各地市級支行數據中心運維安全、內控風險的管理方面,省行只能用制度規范予以約束,并用人工方式進行監督,管理效果欠佳,效率低下,缺乏行之有效的技術輔助手段。
運維入口過多、運維通道不集中、運維工具分散
金融業IDC常規的運維模式,是由省市各層各級運維人員基于本地客戶端啟用RDP/VNC/TELENT等遠程協議工具直接訪問目標設備,展開會話操作。此模式導致運維入口過多(一臺客戶端提供一個運維入口)、運維通道相互獨立(不同協議工具需要建立不同運維通道)、運維工具部署分散(協議工具分別安裝于各運維客戶端),造成了網內運維環境安全難以管理的局面。
需要應對行業新標準所提出的多人核實管理機制
根據金融行業安全等級保護基本要求規定,對于核心設備及關鍵業務系統等高風險運維操作,需采用多人核實機制(即:同時獲得兩人以上授權情況下,才能發起相應的會話),以提升運維操作行為合規性控制的細粒度。
審計手段缺乏全面性,審計信息不夠直觀
目前,金融業IDC現有的審計手段是基于操作系統日志的審計,只能定位到訪問設備的IP地址、用戶、時間等基本信息,無法準確、直觀地追溯運維人員在目標設備上的會話過程,無法客觀還原事故原因。
【方案部署】
針對金融業的業務需求及特點,德訊科技設計了一套運維操作審計(堡壘主機)解決方案。本方案采用“ICS+DCLive”聯合部署模式,突破地域、時空的限制,從技術上實現了“運維操作分布化,監控審計集中化”的管理目標。系統部署如圖1所示:
圖1 運維操作審計(堡壘主機)解決方案系統部署圖
如圖1所示,本方案的部署具備以下特點:
利用原有網絡拓撲架構,安裝部署簡便,無需加裝任何客戶端代理,不影響任何業務數據流;
將ICS設備分布式部署于各地級市支行,實現本地化運維,獨立化操作,互不干擾;
兩臺ICS共同分擔局域網內并發會話的壓力,實現各分支網絡的負載均衡;
將DCLive管理平臺部署于省級中心機房,實現對下級分支機構所有運維過程的集中監視、控制、管理與審計;
DCLive主備兩臺設備HA部署,保障數據的完整性及整個系統的防災恢復能力。
【應用價值】
統一的運維平臺
本套運維操作審計(堡壘主機)解決方案,為用戶提供統一的WEB管理入口,對登陸用戶身份的合法性實施統一認證;系統提供字符類/圖形類/應用類多種運維工具,無需運維客戶端自行安裝,杜絕運維過程中出現工具不全面、版本不兼容的問題;支持會話代理訪問通道的建立,改變原有本地客戶端直接發起會話的運維模式,能夠對運維過程實現有效監控與審計。
圖2 運維操作審計(堡壘主機)解決方案體系設計示意圖
雙人授權訪問控制
本方案能夠依據行業安全等級保護標準,實現雙人授權訪問控制策略管理。權限范圍內的任何一人登陸運維平臺,即使通過身份認證,也不能獨自執行會話操作,需要得到策略內另一用戶的授權。系統支持本地口令輸入及遠程身份認證兩種授權方式。通過提升授權管理的細粒度,保障核心設備、關鍵業務以及第三方運維操作的合規性、安全性。
事后全面審計,保證操作留痕
方案提供網內運維操作管理全生命周期的審計,采用流媒體形式記錄運維人員登陸運維網關至登出運維網關的全過程,支持對字符、圖形、數據庫、WEB應用等多種類型會話的全面審計。審計結果呈現為操作日志及錄像相結合的形式,符合4W(When/Where
/Who/What)原則。同時,方案支持錄像回放、SQL語句、關鍵字符與審計錄像關聯定位與檢索,實現運維操作過程的快速定位、精確跟蹤以及真實重現,協助審計人員對非法運維操作節點的排查及故障責任的追溯,提升數據中心精細化、規范化的運維安全管理水平。
京公網安備 11010502049343號