《全方位IT运维管理解决方案.pptx》由会员分享,可在线阅读,更多相关《全方位IT运维管理解决方案.pptx(39页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、2目 录为什么需要操作安全审计为什么需要操作安全审计需要怎样的操作安全审计需要怎样的操作安全审计TPAM统一管理平台的实现统一管理平台的实现 价值总结价值总结&典型客户典型客户 3为什么需要操作安全审计IT运维现状信息安全相关标准、法案4IT运维现状一多点登录、分散管理服务器资源5IT运维现状二第三方厂家开发人员管理人员系统帐号交叉异构、帐号共享6IT运维现状三内部用户内部用户外部用户外部用户资源资源设备设备权限滥用恶意访问误操作权力限用系统管理员网管员安全管理员软件系统开发人员黑客代维厂商合作伙伴企业临时用户内部用户 来自企业内部内部的非法威胁高权限操作风险不透明违规操作导致敏感信息泄露误操
2、作导致服务异常甚至宕机来自企业外部外部的非法威胁操作风险不可控黑客盗用帐号实施恶意攻击无法有效监管操作、必要取证/举证人为操作风险7IT运维现状总结一:公司单位的数据库安全吗?二:复杂的系统每个人需要记住多组密码,符合效益吗?三:密码遗失了、被窃取了、不定时需要去修改密码,无形的人力成本一再出现.四:公司的审核单位对系统管理员如何审核呢?复杂的系统提升审核的困难度.五:系统管理员对系统的操作安全吗?公司随时审查了吗?六:应用系统与应用系统之间的通信安全吗?应用系统与数据库之间的通信安全吗?七:供应商自远端进入系统服务安全吗?供应商技术人员在服务器做了什么您清楚了吗?八:公司系统内被植入插件发现
3、了吗? 九:黑客入侵个造成企业的损失,事后检讨耗费庞大的人力成本.8ISO27001标准标准条款条款A10.10.1A10.10.1要求组织必须记录用户访问、意外和信息安全事件的日志,并保留一定期限,以便为安全事件的调查和取证;条款条款A10.10.4A10.10.4要求组织必须记录系统管理和维护人员的操作行为; 条款条款A15.1.3A15.1.3明确要求必须保护组织的运行记录条款条款A15.2.1A15.2.1则要求信息系统经理必须确保所有负责的安全过程都在正确执行,符合安全策略和标准的要求。CC标准标准信息技术通用评估准则 ( Common Criteria for Informatio
4、n Technology Security Evaluation)中,安全审计是其安全功能要求中最重要的组成部分,同时也是信息系统安全体系中必备的一个措施,它是评判一个系统是否真正安全的重要尺码。SOX法案法案302302节:节:要求行政人员证明他们公司设计和执行了适当的控制,以保证所有财务报表都可靠而且付合公认会计准则(GAAP)。404404节:节:要求所有在302节中所控制的过程都有可信的财务报表。这法令要求IT经理对所有有关财务报表的产生过程负责。 信息安全相关标准、法案此外还有此外还有PCI、HIPAA、Basel II9需要怎样的操作审计操作管理统一化管理流程规范化操作风险最小化1
5、0数据库数据库 管理人员管理人员开发人员开发人员 操作管理统一化 操作操作 代维人员代维人员服务器服务器 统一认证统一授权统一审计网络设备网络设备 统一操作管理平台理念构建11管理流程规范化1.实时监控2.操作记录3.操作回放4.统计报表1.角色划分2.帐号管理3.密码管理4.权限管理5.访问控制1.帐号管理2.密码定期 自动修改人的管理操作管理设备管理规范管理流程的实行12操作风险最小化你做了什么?你能做什么?你去哪?你是谁?访问控制管理访问控制管理帐号授权管理帐号授权管理 资产帐号管理资产帐号管理 统一身份管理统一身份管理 最小化操作风险来源于管理模式安全审计管理安全审计管理可用帐号?13
6、TPAM统一管理平台的实现设计理念解决方案审计方向产品部署14TPAM设计理念15TPAM解决方案概述v 全方位IT运维管理解决方案 (TPAM) 套件 一套旨在解决管理授权和授权访问安全与合规性问题的硬软一体机产品,安全、高效。 两大核心功能(组件):PAR-密码管理、eGuardPost-会话管理 四大功能模块:设计灵活可扩展、灵活的购买授权方案16PAR-密码权限管理 目前大多数企业内部的信息系统管理帐户,都是由系统管理员直接管理。系统管理员一人保管某个或某类系统服务器的管理帐户和密码,也存在多个管理员共享某一个帐户密码,存在诸多安全隐患。- 密码存储:超级管理员密码保存在何处最安全?-
7、 密码分配:密码分配给不同的管理员,安全程度由该管理员决定- 密码保管:密码一但分配后,就存在系统管理员保管风险问题和挑战问题和挑战PAR解决方案解决方案 通过通过PARPAR组件,实现对服务器、网络设备、数据库等企业信息系组件,实现对服务器、网络设备、数据库等企业信息系统管理帐户的接管,由统管理帐户的接管,由PARPAR组件实现密码安全存储、密码变更、密码组件实现密码安全存储、密码变更、密码申请审批等工作,管理员需要系统管理时,发出密码请求,经批准申请审批等工作,管理员需要系统管理时,发出密码请求,经批准后使用密码登陆系统进行相关管理工作,结合密码变更策略,可实后使用密码登陆系统进行相关管理
8、工作,结合密码变更策略,可实现自动化的动态密码管理。减轻超级系统管理员的负担,加强了密现自动化的动态密码管理。减轻超级系统管理员的负担,加强了密码管理安全性。码管理安全性。17单点登录管理流程点击申请密码选择账户输入申请需要密码的日期/时间/持续时间/原因票务领域可选.获取密码18点击超链接发起申请选择申请原因快速申请自动提交默认理由“从移动设备申请”输入票务号码 (若需要)并提交获得密码从手持设备获得密码. * 支持小屏幕上配置每个用户的基础。支持小屏幕-工作流程19 应用程序密码管理 为了实现各独立的应用系统之间的通信,企业各类业务系统中,一般含有数据库、接口系统、其他系统(如:文件系统等
9、)的访问帐户和密码,且一般采用配置文件、硬编码等明文形式存储在业务系统中,存在极大的安全漏洞,极易被获取利用,造成业务数据流失或破坏。问题与挑战问题与挑战PARPAR解决方案解决方案 PAR PAR组件提供相应的组件提供相应的APIAPI,只需调用,只需调用APIAPI强大的函数库,编写脚本就强大的函数库,编写脚本就可以实现可以实现PARPAR组件的全部密码管理,请求等功能,支持多数主流开发语言,组件的全部密码管理,请求等功能,支持多数主流开发语言,轻松嵌入到应用系统中,替换掉原有不安全的明文配置,实现应用程序轻松嵌入到应用系统中,替换掉原有不安全的明文配置,实现应用程序密码的动态性,提高应用
10、系统整体安全性,同时,支持高并发,多模式密码的动态性,提高应用系统整体安全性,同时,支持高并发,多模式(连续访问和单次请求),满足应用系统高效性。(连续访问和单次请求),满足应用系统高效性。20PARPAR支持的平台有:支持的平台有:AIXAS400BoKSCheckPoint SPCisco CATOSCisco PIXCisco Router(TEL)Cisco Router(SSH)CyberGuardFortinetHP ILOHP ILO2 HP Nonstop TandemHP-UXHP-UX ShadowHP-UXUntrustedIBM HMCLDPALDPASLinuxMAC
11、 OSX v10.4, v10.5, v10.6MainframeMainframe(ACF2)Maiframe LDAP PACFMainframe LDAP TSMS SQL ServerMySQLNetScreenNIS PlusNokia-IPSONovell NDSOpenVMSOraclePalo Alto(Pan OS)ProxySGSolarisStatus VOSSun ALOM21eGuardPost-会话权限管理 合规性管理促使企业需要了解在特定授权或敏感访问中的具体行为,然而仅仅依靠系统日志却并不能真是有效地反应出系统管理员的所有行为。这样对系统管理员的审查审计就变得十
12、分困难。同时,不同系统的审计信息也不利于统一归档整理,审计开销大。问题与挑战问题与挑战eGuardPosteGuardPost解决方案解决方案 eGuardPost eGuardPost组件提供了完整的会话管理,系统管理员通过组件提供了完整的会话管理,系统管理员通过eGuardPosteGuardPost作为代理间接和目标系统建立连接,在有效会话周期内,作为代理间接和目标系统建立连接,在有效会话周期内,整个会话过程均会以压缩加密的影像文件记录,可实时查看、回放查整个会话过程均会以压缩加密的影像文件记录,可实时查看、回放查看、强制手动终止会话等强大功能。加上常规日志记录,满足系统统看、强制手动终
13、止会话等强大功能。加上常规日志记录,满足系统统一监管、审计管理的需求。一监管、审计管理的需求。22企业需求企业需求v 用户角色访问控制TPAM TPAM 解决方案解决方案/ /会话权限管理会话权限管理v 用户控制点 基于角色限制资源 全面控制连接 双重授权控制 会话时间限制 会话超限报警通知 手动终止会话选项 出色的会话审计 审计/记录所有连接请求、批准 完整会话记录,DVR重放 连接管控l 会话审计eGuardPost-会话权限管理23企业需求企业需求v 强大的审计功能TPATPAM M套件套件/ /权限会话管理权限会话管理v 出色的会话审计 审计/记录所有连接请求、批准 完整会话记录,DV
14、R重放DVR 格式重放控制完整会话记录与所有行为重放eGuardPost-会话权限管理24会话请求示例显示出选择的系统和帐号用户连接并执行所需工作会话配置为交互式或自动登录在目标系统上的每次活动都会被记录(击键、鼠标、连接等)如果用户会话超时,系统就会发送一个警报通知授权管理员可以手动终止活动会话。25会话重放示例使用DVR控制器,播放会话记录所有会话行为都能被记录并可以通过会话重放观看。记录并非AVI格式压缩文件大小,易于管理。26命令权限管理 有了强大的审计,对于企业信息安全来说还不够,毕竟审计只能起到事后追查的作用,不能防范潜在的风险于未然。问题和挑战问题和挑战eGuardPosteGu
15、ardPost解决方案解决方案 eGuardPost eGuardPost在会话管理的基础上,实现了系统管理员可执行命令、在会话管理的基础上,实现了系统管理员可执行命令、程序、脚本的管理,通过黑白名单,可过滤掉该次会话允许管理功能之程序、脚本的管理,通过黑白名单,可过滤掉该次会话允许管理功能之外的未授权功能点访问,从而限制会话连接的权限范围,避免由系统管外的未授权功能点访问,从而限制会话连接的权限范围,避免由系统管理员带来的内部安全隐患,防范潜在危险的发生。理员带来的内部安全隐患,防范潜在危险的发生。27命令权限管理企业需求企业需求v 超级用户权限管理 (SUPM)TPAMTPAM解决方案解决
16、方案/ /命令权限管理命令权限管理v SUPM 价值 命令级别访问控制 不能执行命令之外的行为 记录所有行为 v TPAM 支持 PCM for: Unix Windows 其它 (近期发布版本)会话限制为单一命令模式(以计算机管理为例)其他Windows功能不可用 支持多种平台环境28 命令管理示例通过命令权限管理工具增加命令。29通过命权令限管理会话转到后端目标/账户(Windows a3/e22egp),用户会话就会建立,用户就会被放置到特殊“命令”中。该处以“计算机管理”为例。其他目标命令、菜单等的访问不被允许使用。且会话将只能在特定命令容器(该处以“计算机管理”为例)中有效。会话会随
17、用户退出命令而终止。 限制命令会话示例30产品部署逻辑网关WindowsHP_UnixHP_UnixAIXAIXLinuxLinuxSolaris安全设备网络设备存储设备外网用户外网用户内网用户内网用户TPAM PSM安全审计管理安全审计管理TPAM部署优势部署优势: :1.不加装任何客户端代理2.不加装任何服务器端引擎3.不影响任何网络拓扑4.不影响任何业务数据流5.数据分流,数据标签化6.支持双机热备7.支持集中管理分级部署Telnet、SSHRDP、X11、VNCFTP、SFTP、SCPHttp、Https各类数据库客户端各类数据库客户端etc31TPAM典型应用分级审计管理DPADPA
18、DPA32价值效益&典型客户价值效益典型客户33TPAM特点与效益u 硬软一体、稳定性高u 易于部署、操作简单u 模块设计可灵活扩展u 独一无二的会话权限管理功能模块完整记录 会话行为并支持重放u 独一无二的命令权限管理功能模块约束超级 用户权限,降低风险u 支持手持式设备,如手机、PDA等u 企业整合力强,跨平台支持最佳合规性解决方案最佳密码管理解决方案34TPAM特点与效益 不再需要手动更改密码! 不再需要手动更改应用程序或脚本! 强大的审计与报告功能满足内外部审计需要! 减少因员工流失带来的管理开支! 自动登录功能降低了账户和密码管理的复杂程度! 显著降低鉴识分析和恢复时间! 降低或避免硬编码认证危机! 投资回报周期短!最佳合规性解决方案最佳密码管理解决方案35价值总结有效控制操作风险有效控制操作风险 有效监管第三方代维厂商有效监管第三方代维厂商 用户收益用户收益 满足满足IT审计合规性要求审计合规性要求 提高设备可用性提高设备可用性完善的责任认定体系完善的责任认定体系36典型客户37典型客户3839