金(jīn)融解決方案
銀行業統一安全管理(lǐ)與運維審計(jì)解決方案
行業痛點及需求

随着互聯網的發展,人們對(duì)網上(shàng)購物和(hé)電子商務的需求越來(lái)越大(dà),促使銀行業大(dà)力發展線上(shàng)業務,通過手機支付、網上(shàng)銀行等互聯網渠道(dào)爲公衆提供金(jīn)融服務,與此同時(shí),如何保障這(zhè)些(xiē)基礎設施資産的正常運行和(hé)核心數據不被洩露,免受内部人員的越權訪問操作(zuò)和(hé)外(wài)部黑客的侵擾攻擊,成了(le)銀行業内的一大(dà)難題。某銀行是經中國銀監會(huì)批準設立的全國性股份制商業銀行,随着跨區(qū)域發展戰略的執行、業務持續擴張、規模不斷的發展壯大(dà),一旦發生業務中斷事(shì)故,即使很(hěn)短的時(shí)間,都會(huì)造成莫大(dà)的損失;數據庫中存儲的大(dà)量交易數據,不僅涉及經濟利益,其中還包含了(le)個人隐私信息,一旦洩露,會(huì)對(duì)銀行的信譽造成難以挽回的損害。IT信息科技方面的風(fēng)險和(hé)威脅日益劇(jù)增,如何保證整個IT系統運行的穩定安全,也(yě)成爲了(le)決策層和(hé)管理(lǐ)層迫在眉捷的挑戰。

行業需求

爲了(le)保障金(jīn)融行業做好(hǎo)安全工(gōng)作(zuò),銀監會(huì)也(yě)加大(dà)了(le)對(duì)各銀行的監管力度,出據了(le)各種條件和(hé)指引文(wén)件,指導銀行的信息化安全建設和(hé)規範,做到(dào)未雨綢缪,防止數據安全事(shì)件的發生。其中着重提到(dào)了(le)運維操作(zuò)風(fēng)險管理(lǐ),要求單位對(duì)數據中心後台的所有操作(zuò)都要有記錄,做到(dào)有據可查。銀監局在對(duì)該商業銀行信息科技風(fēng)險監管檢查風(fēng)險評估中就發現(xiàn)許多問題,主要如下(xià):


1.賬号共享、交叉管理(lǐ):由于多個維護人員同時(shí)使用(yòng)一個賬号做運維,如果出現(xiàn)誤操作(zuò),無法确定具體操作(zuò)人;
2.授權管理(lǐ):對(duì)于高(gāo)權限賬戶,權限沒有好(hǎo)的管控辦法,隻要網絡可達,擁有用(yòng)戶名和(hé)密碼,可以随時(shí)登錄操作(zuò)數據中心後台;
3.操作(zuò)行爲管控:運維人員(代維廠(chǎng)商)對(duì)數據中心的後台操作(zuò)是不透明(míng)的,信息中心負責人不知(zhī)道(dào)誰什(shén)麽時(shí)候在後台做了(le)什(shén)麽操作(zuò),沒有好(hǎo)的監控辦法;
4.數據外(wài)洩:像RDP、FTP類的協議(yì),都帶有磁盤映射功能(néng),如果不能(néng)控制好(hǎo)維護協議(yì)的傳輸控制,核心機密數據有外(wài)彙的風(fēng)險存在;
5.數據庫訪問來(lái)源複雜(zá),難以确定數據庫操作(zuò)的真實訪問者;
6.數據庫系統自(zì)身日志記錄信息不全,違規事(shì)件無法及時(shí)、準确的發現(xiàn);

7.數據庫操作(zuò)過程完全處于“暗箱”之中,難以了(le)解細節


我們的方案
統一接入入口

建立統一的安全運維接入平台,爲核心業務系統提供統一運維操作(zuò)入口,實現(xiàn)單點登錄。所有運維人員都首先登陸統一運維平台,在系統上(shàng)進行運維操作(zuò),實現(xiàn)對(duì)其的統一訪問控制和(hé)管理(lǐ);


賬号集中管理(lǐ)

實現(xiàn)集中化、基于角色的的主從(cóng)帳号管理(lǐ),建立自(zì)然人與設備帳号之間的一一對(duì)應關系,并對(duì)設備帳号進行統一管理(lǐ),定期進行密碼修改;


嚴格權限控制

對(duì)用(yòng)戶使用(yòng)業務系統中資源的具體情況進行合理(lǐ)分配,實現(xiàn)不同用(yòng)戶對(duì)不同部分實體資源的合法訪問,杜絕非法訪問和(hé)越權訪問。每個運維人員的權限都實現(xiàn)有效控制,策略細粒到(dào)可訪問的設備和(hé)可使用(yòng)的賬号;


完善事(shì)後審計(jì)

對(duì)運維操作(zuò)的過程進行完全跟蹤和(hé)記錄,完整保存運維操作(zuò)的所有日志;統計(jì)自(zì)然人對(duì)資源的訪問情況,在出現(xiàn)安全事(shì)故時(shí),可以故障定爲和(hé)責任追蹤;對(duì)人員的登錄過程、操作(zuò)行爲進行審計(jì)和(hé)處理(lǐ),建立完善針對(duì)“自(zì)然人→資源”訪問過程的完整審計(jì);爲監管部門(mén)提供審計(jì)平台和(hé)審計(jì)數據。審計(jì)提供了(le)錄像和(hé)命令的完整查看(kàn),并可提供快(kuài)速準确的搜索定位;


方案高(gāo)可用(yòng)性
設備旁路部署,不用(yòng)改變現(xiàn)有網絡拓撲,支持雙機熱備、集群和(hé)分布式部署,提高(gāo)平台的可靠性。無需在業務系統上(shàng)安裝任何Agent,不影響業務。


客戶收益
滿足合規

滿足IT内控、SOX、COBIT、等保等法案法規合規性審計(jì)要求; 2. 爲銀監部門(mén)提供運維管理(lǐ)的審計(jì)報(bào)表和(hé)原始準确的運維操作(zuò)日志; 3. 有助于完善組織的IT内控與審計(jì)體系,使組織能(néng)夠順利通過IT審計(jì)。


降低(dī)安全風(fēng)險,快(kuài)速故障定位和(hé)責任追蹤
采用(yòng)堡壘主機的技術,避免了(le)非法終端、不安全終端直接連接核心資源,降低(dī)木(mù)馬、間諜、内部安全威脅等對(duì)核心資源造成的影響; 2. 發生安全事(shì)故,通過回放(fàng)操作(zuò)記錄可快(kuài)速、準确的進行責任鑒定和(hé)安全事(shì)件追蹤; 3. 作(zuò)爲第三方獨立運維審計(jì)管理(lǐ)設備,實現(xiàn)了(le)使用(yòng)權、管理(lǐ)權與監督權的三權分立;同時(shí)也(yě)幫助監督人員獲得有效的技術手段,完善銀行IT内控機制。
經典案例
  • 國家開(kāi)發銀行
  • 江蘇銀行
  • 徽商銀行
  • 湖北銀行
  • 安邦保險
  • 東方證券
  • 方正期貨
  • 光大(dà)期貨
  • 恒生電子
  • 廣發期貨
  • 民生證券
  • 浙江稠州商業銀行
  • 天弘基金(jīn)
  • 招商銀行
  • 東亞銀行
  • 人民銀行
  • 國家開(kāi)發銀行
  • 中信信托
  • 浙商銀行
  • 平安保險
  • 人民保險
  • 上(shàng)海東方财富期貨有限公司
  • 商盟商務服務有限公司
  • 上(shàng)海拍(pāi)拍(pāi)貸金(jīn)融信息服務有限公司
Copyright © 2019 All Rights Reserved Designed
杭州卓測網絡科技有限公司