銀行業統一安全管理與運維審計解決方案
行業痛點及需求

随著(zhe)互聯網的發(fā)展,人們對(duì)網上購物和電子商務的需求越來越大,促使銀行業大力發(fā)展線上業務,通過(guò)手機支付、網上銀行等互聯網渠道(dào)爲公衆提供金融服務,與此同時,如何保障這(zhè)些基礎設施資産的正常運行和核心數據不被(bèi)洩露,免受内部人員的越權訪問操作和外部黑客的侵擾攻擊,成(chéng)了銀行業内的一大難題。某銀行是經(jīng)中國(guó)銀監會(huì)批準設立的全國(guó)性股份制商業銀行,随著(zhe)跨區域發(fā)展戰略的執行、業務持續擴張、規模不斷的發(fā)展壯大,一旦發(fā)生業務中斷事(shì)故,即使很短的時間,都(dōu)會(huì)造成(chéng)莫大的損失;數據庫中存儲的大量交易數據,不僅涉及經(jīng)濟利益,其中還(hái)包含了個人隐私信息,一旦洩露,會(huì)對(duì)銀行的信譽造成(chéng)難以挽回的損害。IT信息科技方面(miàn)的風險和威脅日益劇增,如何保證整個IT系統運行的穩定安全,也成(chéng)爲了決策層和管理層迫在眉捷的挑戰。

行業需求

爲了保障金融行業做好(hǎo)安全工作,銀監會(huì)也加大了對(duì)各銀行的監管力度,出據了各種(zhǒng)條件和指引文件,指導銀行的信息化安全建設和規範,做到未雨綢缪,防止數據安全事(shì)件的發(fā)生。其中著(zhe)重提到了運維操作風險管理,要求單位對(duì)數據中心後(hòu)台的所有操作都(dōu)要有記錄,做到有據可查。銀監局在對(duì)該商業銀行信息科技風險監管檢查風險評估中就發(fā)現許多問題,主要如下:


1.賬号共享、交叉管理:由于多個維護人員同時使用一個賬号做運維,如果出現誤操作,無法确定具體操作人;
2.授權管理:對(duì)于高權限賬戶,權限沒(méi)有好(hǎo)的管控辦法,隻要網絡可達,擁有用戶名和密碼,可以随時登錄操作數據中心後(hòu)台;
3.操作行爲管控:運維人員(代維廠商)對(duì)數據中心的後(hòu)台操作是不透明的,信息中心負責人不知道(dào)誰什麼(me)時候在後(hòu)台做了什麼(me)操作,沒(méi)有好(hǎo)的監控辦法;
4.數據外洩:像RDP、FTP類的協議,都(dōu)帶有磁盤映射功能(néng),如果不能(néng)控制好(hǎo)維護協議的傳輸控制,核心機密數據有外彙的風險存在;
5.數據庫訪問來源複雜,難以确定數據庫操作的真實訪問者;
6.數據庫系統自身日志記錄信息不全,違規事(shì)件無法及時、準确的發(fā)現;

7.數據庫操作過(guò)程完全處于“暗箱”之中,難以了解細節


我們的方案
統一接入入口

建立統一的安全運維接入平台,爲核心業務系統提供統一運維操作入口,實現單點登錄。所有運維人員都(dōu)首先登陸統一運維平台,在系統上進(jìn)行運維操作,實現對(duì)其的統一訪問控制和管理;


賬号集中管理

實現集中化、基于角色的的主從帳号管理,建立自然人與設備帳号之間的一一對(duì)應關系,并對(duì)設備帳号進(jìn)行統一管理,定期進(jìn)行密碼修改;


嚴格權限控制

對(duì)用戶使用業務系統中資源的具體情況進(jìn)行合理分配,實現不同用戶對(duì)不同部分實體資源的合法訪問,杜絕非法訪問和越權訪問。每個運維人員的權限都(dōu)實現有效控制,策略細粒到可訪問的設備和可使用的賬号;


完善事(shì)後(hòu)審計

對(duì)運維操作的過(guò)程進(jìn)行完全跟蹤和記錄,完整保存運維操作的所有日志;統計自然人對(duì)資源的訪問情況,在出現安全事(shì)故時,可以故障定爲和責任追蹤;對(duì)人員的登錄過(guò)程、操作行爲進(jìn)行審計和處理,建立完善針對(duì)“自然人→資源”訪問過(guò)程的完整審計;爲監管部門提供審計平台和審計數據。審計提供了錄像和命令的完整查看,并可提供快速準确的搜索定位;


方案高可用性
設備旁路部署,不用改變現有網絡拓撲,支持雙機熱備、集群和分布式部署,提高平台的可靠性。無需在業務系統上安裝任何Agent,不影響業務。


客戶收益
滿足合規

滿足IT内控、SOX、COBIT、等保等法案法規合規性審計要求; 2. 爲銀監部門提供運維管理的審計報表和原始準确的運維操作日志; 3. 有助于完善組織的IT内控與審計體系,使組織能(néng)夠順利通過(guò)IT審計。


降低安全風險,快速故障定位和責任追蹤
采用堡壘主機的技術,避免了非法終端、不安全終端直接連接核心資源,降低木馬、間諜、内部安全威脅等對(duì)核心資源造成(chéng)的影響; 2. 發(fā)生安全事(shì)故,通過(guò)回放操作記錄可快速、準确的進(jìn)行責任鑒定和安全事(shì)件追蹤; 3. 作爲第三方獨立運維審計管理設備,實現了使用權、管理權與監督權的三權分立;同時也幫助監督人員獲得有效的技術手段,完善銀行IT内控機制。
經(jīng)典案例
  • 國(guó)家開(kāi)發(fā)銀行
  • 江蘇銀行
  • 徽商銀行
  • 湖北銀行
  • 安邦保險
  • 東方證券
  • 方正期貨
  • 光大期貨
  • 恒生電子
  • 廣發(fā)期貨
  • 民生證券
  • 浙江稠州商業銀行
  • 天弘基金
  • 招商銀行
  • 東亞銀行
  • 人民銀行
  • 國(guó)家開(kāi)發(fā)銀行
  • 中信信托
  • 浙商銀行
  • 平安保險
  • 人民保險
  • 上海東方财富期貨有限公司
  • 商盟商務服務有限公司
  • 上海拍拍貸金融信息服務有限公司
Copyright © 2019 All Rights Reserved Designed
杭州棧道網絡科技有限公司