银行业统一安全管理与运维审计解决方案
行业痛点及需求

随着互联网的发展,人们对网上购物和电子商务的需求越来越大,促使银行业大力发展线上业务,通过手机支付、网上银行等互联网渠道为公众提供金融服务,与此同时,如何保障这些基础设施资产的正常运行和核心数据不被泄露,免受内部人员的越权访问操作和外部黑客的侵扰攻击,成了银行业内的一大难题。某银行是经中国银监会批准设立的全国性股份制商业银行,随着跨区域发展战略的执行、业务持续扩张、规模不断的发展壮大,一旦发生业务中断事故,即使很短的时间,都会造成莫大的损失;数据库中存储的大量交易数据,不仅涉及经济利益,其中还包含了个人隐私信息,一旦泄露,会对银行的信誉造成难以挽回的损害。IT信息科技方面的风险和威胁日益剧增,如何保证整个IT系统运行的稳定安全,也成为了决策层和管理层迫在眉捷的挑战。

行业需求
为了保障金融行业做好安全工作,银监会也加大了对各银行的监管力度,出据了各种条件和指引文件,指导银行的信息化安全建设和规范,做到未雨绸缪,防止数据安全事件的发生。其中着重提到了运维操作风险管理,要求单位对数据中心后台的所有操作都要有记录,做到有据可查。银监局在对该商业银行信息科技风险监管检查风险评估中就发现许多问题,主要如下:

1.账号共享、交叉管理:由于多个维护人员同时使用一个账号做运维,如果出现误操作,无法确定具体操作人;

2.授权管理:对于高权限账户,权限没有好的管控办法,只要网络可达,拥有用户名和密码,可以随时登录操作数据中心后台;

3.操作行为管控:运维人员(代维厂商)对数据中心的后台操作是不透明的,信息中心负责人不知道谁什么时候在后台做了什么操作,没有好的监控办法;

4.数据外泄:像RDP、FTP类的协议,都带有磁盘映射功能,如果不能控制好维护协议的传输控制,核心机密数据有外汇的风险存在;

5.数据库访问来源复杂,难以确定数据库操作的真实访问者;

6.数据库系统自身日志记录信息不全,违规事件无法及时、准确的发现;

7.数据库操作过程完全处于“暗箱”之中,难以了解细节。


我们的方案
统一接入入口
建立统一的安全运维接入平台,为核心业务系统提供统一运维操作入口,实现单点登录。所有运维人员都首先登陆统一运维平台,在系统上进行运维操作,实现对其的统一访问控制和管理;
账号集中管理
实现集中化、基于角色的的主从帐号管理,建立自然人与设备帐号之间的一一对应关系,并对设备帐号进行统一管理,定期进行密码修改;
严格权限控制
对用户使用业务系统中资源的具体情况进行合理分配,实现不同用户对不同部分实体资源的合法访问,杜绝非法访问和越权访问。每个运维人员的权限都实现有效控制,策略细粒到可访问的设备和可使用的账号;
完善事后审计
对运维操作的过程进行完全跟踪和记录,完整保存运维操作的所有日志;统计自然人对资源的访问情况,在出现安全事故时,可以故障定为和责任追踪;对人员的登录过程、操作行为进行审计和处理,建立完善针对“自然人→资源”访问过程的完整审计;为监管部门提供审计平台和审计数据。审计提供了录像和命令的完整查看,并可提供快速准确的搜索定位;
方案高可用性
设备旁路部署,不用改变现有网络拓扑,支持双机热备、集群和分布式部署,提高平台的可靠性。无需在业务系统上安装任何Agent,不影响业务。


客户收益
满足合规
1. 满足IT内控、SOX、COBIT、等保等法案法规合规性审计要求; 2. 为银监部门提供运维管理的审计报表和原始准确的运维操作日志; 3. 有助于完善组织的IT内控与审计体系,使组织能够顺利通过IT审计。
降低安全风险,快速故障定位和责任追踪
1. 采用堡垒主机的技术,避免了非法终端、不安全终端直接连接核心资源,降低木马、间谍、内部安全威胁等对核心资源造成的影响; 2. 发生安全事故,通过回放操作记录可快速、准确的进行责任鉴定和安全事件追踪; 3. 作为第三方独立运维审计管理设备,实现了使用权、管理权与监督权的三权分立;同时也帮助监督人员获得有效的技术手段,完善银行IT内控机制。
经典案例
  • 浙江稠州商业银行
  • 安邦保险
  • 东方证券
  • 方正期货
  • 光大期货
  • 恒生电子
  • 广发期货
  • 民生证券
  • 天弘基金
  • 招商银行
  • 东亚银行
  • 人民银行
  • 国家开发银行
  • 中信信托
  • 浙商银行
  • 平安保险
  • 人民保险
  • 上海东方财富期货有限公司
  • 商盟商务服务有限公司
  • 上海拍拍贷金融信息服务有限公司
Copyright © 2019 All Rights Reserved Designed
杭州汉领信息科技有限公司