高校統一安全管理與運維審計解決方案
行業痛點及需求

随著(zhe)校園的數字化、信息化建設的逐步深入,校園内的各種(zhǒng)信息資源整合已經(jīng)進(jìn)入全面(miàn)規劃和實施階段,如校園一卡通以結合學(xué)校正在進(jìn)行的身份認證、人事(shì)、學(xué)工等MIS和應用系統等建設。通過(guò)共同的身份認證機制,實現數據管理的集成(chéng)與共享,使校園一卡通系統成(chéng)爲校園信息化建設有機的組成(chéng)部分。通過(guò)這(zhè)樣(yàng)的有機結合,爲系統間的資源共享打下基礎。

信息的高度集中使數據的安全性越來越被(bèi)重視,作爲關乎國(guó)家興衰的教育行業,一旦數據洩露,必將(jiāng)對(duì)社會(huì)産生不良影響,成(chéng)爲輿論和媒體關注的熱點問題。在巨大商業利益的驅使下,教育行業的數據庫要面(miàn)臨來自内部威脅和外部威脅的雙重包夾,特别是以商業爲目的的非法“入侵”行爲,不僅給學(xué)校的公衆形象和權威信任帶來嚴重影響,甚至洩露個人信息損害學(xué)生的個人利益, 爲教育事(shì)業又增加了不和諧的色彩。

結合目前高校信息化發(fā)展所面(miàn)臨的安全現狀,在運維管理方面(miàn)主要存在以下幾點風險: 

1. 管理現狀問題:支撐高校行業運行的IT系統主要由大量的網絡設備、主機系統和應用系統組成(chéng),這(zhè)些設備和系統從應用角度來分又分别屬于不同的部門,網絡設備、主機系統等分别具備獨立的用戶管理、認證授權和審計系統,且由不同的系統管理員負責維護和管理,維護人員面(miàn)對(duì)這(zhè)些系統時,工作複雜程度很大;

2. 授權不清問題:在這(zhè)種(zhǒng)高校行業體系中,IT運維最佳實踐的用戶最小權限分配原則,由于各系統單獨授權,無法嚴格執行,同時,随著(zhe)業務系統的增加,用戶的增加,用戶授權管理工作也變得相當複雜,系統安全性受到威脅;

3. 共享賬号隐患:爲了降低管理複雜度和難度,有些帳号被(bèi)多人共用,這(zhè)些帳号的擴散不容易控制,安全事(shì)故也多由于這(zhè)種(zhǒng)帳号共用發(fā)生;

4. 密碼簡單隐患:對(duì)于維護人員來講,頻繁的切換系統,需要輸入不同系統的用戶名和口令進(jìn)行登錄,爲了便于記憶,常有維護人員會(huì)采用比較簡單的口令或多個系統使用同樣(yàng)的口令,緊急情況下還(hái)可能(néng)將(jiāng)自己的用戶名和口令共享給他人使用,這(zhè)些都(dōu)對(duì)整個系統的安全性産生極大威脅;

5. 缺乏集中日志審計:由于各個系統獨立運行,對(duì)于系統運行日志、維護人員操作審計也隻能(néng)分系統獨立進(jìn)行,系統發(fā)生故障時,必須逐個系統去排查問題,無法進(jìn)行統一集中的問題排查,極大的降低工作效率,也造成(chéng)了損失擴大的可能(néng)性。

我們的方案


堡壘機技術作爲目前内網安全最前沿、最核心和最全面(miàn)的技術趨勢,針對(duì)對(duì)高校信息中心的核心服務器、數據庫、交換機等設備資源,提供了最核心的監控和保護。

賬号集中管理
提高管理有效性 堡壘機會(huì)建立一套新的用戶體系,完全替代原有各系統獨立管理的用戶體系,前端用戶直接對(duì)應到維護人員,後(hòu)端用戶直接對(duì)應到原各個系統用戶,提供集中可實名的用戶管理機制。通過(guò)統一用戶信息維護入口,保證各系統的用戶帳号信息的唯一性和同步更新; 
集中認證和訪問控制
提高運維安全 集中認證實現用戶訪問信息系統的認證入口集中化和統一化,采用高強度的認證方式,使整個信息系統的登錄和認證行爲可控制及可管理,從而提升業務連續性和系統安全性。 集中訪問控制爲維護人員提供統一的系統和設備入口,提供訪問控制功能(néng),有效的解決運維人員的操作問題,降低相關信息系統的安全風險;
集中操作審計
提高事(shì)後(hòu)溯源,定位能(néng)力 能(néng)夠動态實時的捕獲用戶操作數據流,集中審計模塊將(jiāng)審計到的數據包進(jìn)行邏輯重組,恢複和還(hái)原用戶的遠程訪問操作過(guò)程,自動以Session方式記錄;日志審計中心提供功能(néng)強大的搜索引擎,爲用戶實現對(duì)時間、登錄地址、主機地址、主機帳号、用戶操作命令等多種(zhǒng)豐富的查詢條件,快速定位符合監控規則的Session日志,恢複操作現場。 集中授權提供統一的信息系統授權管理,對(duì)所有被(bèi)管信息資源授權進(jìn)行标準化的管理,精細的權限分配策略保證管理員可以授予不同用戶合适的權限,最大程度的符合最小權限分配原則,極大限度的保護了信息支撐系統資源的安全。集中安全審計提供集中的日志審計,能(néng)關聯用戶的操作行爲,對(duì)非法登錄和非法操作快速發(fā)現、分析、定位和響應,爲安全審計和追蹤提供依據。

部署方式

方案優勢
成(chéng)熟穩定

十年以上時間的市場驗證和技術積累,在複雜應用生産環境中部署過(guò)大量的成(chéng)功案例,教育行業案例衆多,包括:上海交通大學(xué)、上海财經(jīng)大學(xué)、武漢大學(xué)、華中科技大學(xué)、西安交通大學(xué)等知名大學(xué)

安全可靠
同時提供兩(liǎng)套能(néng)夠獨立應用并且功能(néng)完備的統一操作運維平台,設備HA可以做到配置和審計日志實時同步;
極強的網絡環境适應性,實現綠色部署、不改動原有網絡拓撲、支持集群部署、支持跨網段部署;

系統開(kāi)發(fā)更新遵循安全軟件開(kāi)發(fā)生命周期流程,實現版本化管理,每次叠代升級确保滿足最佳實踐。

技術先進(jìn)
支持本地認證、AD域認證、Radius認證、指紋認證、微信認證、短信認證等,業内身份認證方式最齊全;
可設置用戶的系統登錄策略,包括限制登錄IP、登錄時間段、端口、賬号等,以确保可新用戶才能(néng)訪問其擁有權限的後(hòu)台資源,實現可控運維;
支持對(duì)高危命令的告警和阻斷,有效控制運維行爲中誤操作、高危操作帶來的風險;
帶内、帶外運維統一管理,業界唯一同時支持Avocent、Raritan、ATEN等主流KVM Over IP産品;

獨創的數據庫運維操作審計平台,覆蓋主流商業數據庫企業應用和運維操作。

客戶收益


1. 實現核心數據資産、虛拟化設備、科研系統和數據、對(duì)業務支撐系統、業務交付系統、校園“一卡通”、内網核心網絡設備、主機設備、數據庫資産等在内的網絡中心資産,實現跨平台、跨操作系統、跨運維協議、跨設備類型的各種(zhǒng)IT資源的帳号、認證、授權和審計的集中控制和管理。

2. 實現集中化的身份認證和訪問入口,實現集中訪問授權,基于集中管控安全策略的訪問控制和角色的授權管理,保障網絡中心各種(zhǒng)業務交付系統提供7x24小時不間斷的運維。

經(jīng)典案例
  • 中國(guó)科技大學(xué)
  • 上海交通大學(xué)
  • 武漢大學(xué)
  • 華中科技大學(xué)
  • 中南财經(jīng)政法大學(xué)
  • 西安電子科技大學(xué)
  • 華中師範大學(xué)
  • 武漢理工大學(xué)
  • 西南交通大學(xué)
  • 西安外國(guó)語大學(xué)
  • 北京工業大學(xué)
  • 上海财經(jīng)大學(xué)
  • 上海金融學(xué)院
  • 上海音樂學(xué)院
  • 中北大學(xué)
Copyright © 2019 All Rights Reserved Designed
杭州棧道網絡科技有限公司