银行行业运维管理服务解决方案

营业特点

现在某银行一样平常运维的宁静现状如下：

1)现在对服务器的缺乏须要的审计手段，仅能通过监控录像、双人分段或专人生存密码、操作系统日志联合手工记载操作日志等治理措施，无法追溯操作职员在服务器上的操作历程、相识操作职员行为意图，而且这样的治理成本很高，很难做到恒久照章执行。

2)对服务器的维护和治理依赖于操作系统的口令认证，口令具有可被转授、被窥探及易被遗忘等弱点，另外，在现实情况中还存在多人共用一个账号甚至经常多人掌握Root权限帐户密码等征象，使得治理存在很大的宁静毛病，直接威胁服务器宁静。

3)针对许多外包服务商、厂商手艺支持职员、项目集成商等在对内部焦点服务器、网络基础设施举行现场调试或远程手艺维护时，无法有用的记载其操作历程、维护内容，极容易泄露焦点秘密数据或遭到潜在的恶意破损。

需求剖析

某银行对其信息宁静建设一直比力重视，处于偕行业较高水平，可是其运维宁静治理、内控机制等方面也存在上述问题，因此针对运维治理的详细需求如下：

1)支持一样平常维护职员针对AIX、Linux主机装备，主流网络装备、Windows服务器的举行的运行维护操作审计；

2)审计协议支持SSH、SFTP、RDP等，同时支持SSO登录；

3)详细的权限分配功效，可以凭据时间、登录IP、目的资源等举行详细授权，并可集成行里双因素认证；

4)对于被审计系统、装备支持密码宁静治理功效；

5)支持定时间、用户名、被审计装备、下令等举行的定制报表，并可以导出Excel或PDF等花样报表；

6)审计效果以视频回访形式展现出来，并可以凭据需求定位到某特定数令；

7)装备支持硬件冗余方式，并支持HA。

解决方案

凭据江南科友HAC支持的部署模式，联合某银行现在网络及安软件公司

      部署说明：

*针对运维审计对宁静的特殊要求，推荐在某银行DC焦点交流机或二层接入交流上划分出“宁静运维网段”，并使该网段路由可到达任何区域；

*在宁静运维网段部署2台HAC 1000E，单臂模式，实现HA，保障装备的高可用性；

*在焦点PIX作严酷的宁静计谋，只允许主机、网络、宁静等维护职员（行内、行外）通过HAC会见服务器、各区域，而不允许直接会见这些要害资源；

*另外，在该宁静运维网段可以部署运维治理主机，作为远程操作终端，用户经由HAC后，到达该治理主机，治理主机会见后台服务器。

Ø  针对主机服务器、网络宁静装备的审计

    实现历程为：

1) 主机维护职员（行内、行外）首先经由HAC举行身份认证；

2) HAC身份认证通事后，举行授权，指定该主机维护职员可以会见的后台资源；

3) HAC将会见请求自动转发到后台资源。

    在这个历程中，运维职员的所有操作都被HAC宁静记载下来，并可实现了数据重组和视频回放，完全再现了操作内容和行为轨迹。

Ø  其他特殊客户端运维审计

    实现历程为：

1) 针对特殊客户端（如IBM专用客户端、数据库客户端）维护职员（行内、行外）首先经由HAC举行身份认证；

2) HAC身份认证通过且授权后，通过RDP或其他协议会见到运维治理主机（windows服务器或Unix服务器，该服务器上安装特殊运维客户端软件）；

3) 运维治理主机会见后台特殊应用资源。

在这个历程中，运维职员的所有操作都被HAC宁静记载下来，并可实现了数据重组和视频回放，完全再现了操作内容和行为轨迹。

方案特点

Ø  为用户IT基础设施口令统一治理提供一种有用的解决方案，提高了口令治理员的事情效率；

Ø  针对用户庞大的IT情况，提供了一种完整、有用的运维宁静治理手段，最小化降低IT操作风险；

提供一种有用手艺手段知足信息宁静、IT系统运维治理、企业遵规三个方面的要求。