高校统一安全管理与运维审计解决方案
行业痛点及需求

随着校园的数字化、信息化建设的逐步深入,校园内的各种信息资源整合已经进入全面规划和实施阶段,如校园一卡通以结合学校正在进行的身份认证、人事、学工等MIS和应用系统等建设。通过共同的身份认证机制,实现数据管理的集成与共享,使校园一卡通系统成为校园信息化建设有机的组成部分。通过这样的有机结合,为系统间的资源共享打下基础。

信息的高度集中使数据的安全性越来越被重视,作为关乎国家兴衰的教育行业,一旦数据泄露,必将对社会产生不良影响,成为舆论和媒体关注的热点问题。在巨大商业利益的驱使下,教育行业的数据库要面临来自内部威胁和外部威胁的双重包夹,特别是以商业为目的的非法“入侵”行为,不仅给学校的公众形象和权威信任带来严重影响,甚至泄露个人信息损害学生的个人利益, 为教育事业又增加了不和谐的色彩。

结合目前高校信息化发展所面临的安全现状,在运维管理方面主要存在以下几点风险: 

1. 管理现状问题:支撑高校行业运行的IT系统主要由大量的网络设备、主机系统和应用系统组成,这些设备和系统从应用角度来分又分别属于不同的部门,网络设备、主机系统等分别具备独立的用户管理、认证授权和审计系统,且由不同的系统管理员负责维护和管理,维护人员面对这些系统时,工作复杂程度很大;

2. 授权不清问题:在这种高校行业体系中,IT运维最佳实践的用户最小权限分配原则,由于各系统单独授权,无法严格执行,同时,随着业务系统的增加,用户的增加,用户授权管理工作也变得相当复杂,系统安全性受到威胁;

3. 共享账号隐患:为了降低管理复杂度和难度,有些帐号被多人共用,这些帐号的扩散不容易控制,安全事故也多由于这种帐号共用发生;

4. 密码简单隐患:对于维护人员来讲,频繁的切换系统,需要输入不同系统的用户名和口令进行登录,为了便于记忆,常有维护人员会采用比较简单的口令或多个系统使用同样的口令,紧急情况下还可能将自己的用户名和口令共享给他人使用,这些都对整个系统的安全性产生极大威胁;

5. 缺乏集中日志审计:由于各个系统独立运行,对于系统运行日志、维护人员操作审计也只能分系统独立进行,系统发生故障时,必须逐个系统去排查问题,无法进行统一集中的问题排查,极大的降低工作效率,也造成了损失扩大的可能性。

我们的方案


堡垒机技术作为目前内网安全最前沿、最核心和最全面的技术趋势,针对对高校信息中心的核心服务器、数据库、交换机等设备资源,提供了最核心的监控和保护。

账号集中管理
提高管理有效性 堡垒机会建立一套新的用户体系,完全替代原有各系统独立管理的用户体系,前端用户直接对应到维护人员,后端用户直接对应到原各个系统用户,提供集中可实名的用户管理机制。通过统一用户信息维护入口,保证各系统的用户帐号信息的唯一性和同步更新; 
集中认证和访问控制
提高运维安全 集中认证实现用户访问信息系统的认证入口集中化和统一化,采用高强度的认证方式,使整个信息系统的登录和认证行为可控制及可管理,从而提升业务连续性和系统安全性。 集中访问控制为维护人员提供统一的系统和设备入口,提供访问控制功能,有效的解决运维人员的操作问题,降低相关信息系统的安全风险;
集中操作审计
提高事后溯源,定位能力 能够动态实时的捕获用户操作数据流,集中审计模块将审计到的数据包进行逻辑重组,恢复和还原用户的远程访问操作过程,自动以Session方式记录;日志审计中心提供功能强大的搜索引擎,为用户实现对时间、登录地址、主机地址、主机帐号、用户操作命令等多种丰富的查询条件,快速定位符合监控规则的Session日志,恢复操作现场。 集中授权提供统一的信息系统授权管理,对所有被管信息资源授权进行标准化的管理,精细的权限分配策略保证管理员可以授予不同用户合适的权限,最大程度的符合最小权限分配原则,极大限度的保护了信息支撑系统资源的安全。集中安全审计提供集中的日志审计,能关联用户的操作行为,对非法登录和非法操作快速发现、分析、定位和响应,为安全审计和追踪提供依据。

部署方式

方案优势
成熟稳定

十年以上时间的市场验证和技术积累,在复杂应用生产环境中部署过大量的成功案例,教育行业案例众多,包括:上海交通大学、上海财经大学、武汉大学、华中科技大学、西安交通大学等知名大学

安全可靠
同时提供两套能够独立应用并且功能完备的统一操作运维平台,设备HA可以做到配置和审计日志实时同步;
极强的网络环境适应性,实现绿色部署、不改动原有网络拓扑、支持集群部署、支持跨网段部署;

系统开发更新遵循安全软件开发生命周期流程,实现版本化管理,每次迭代升级确保满足最佳实践。

技术先进
支持本地认证、AD域认证、Radius认证、指纹认证、微信认证、短信认证等,业内身份认证方式最齐全;
可设置用户的系统登录策略,包括限制登录IP、登录时间段、端口、账号等,以确保可新用户才能访问其拥有权限的后台资源,实现可控运维;
支持对高危命令的告警和阻断,有效控制运维行为中误操作、高危操作带来的风险;
带内、带外运维统一管理,业界唯一同时支持Avocent、Raritan、ATEN等主流KVM Over IP产品;

独创的数据库运维操作审计平台,覆盖主流商业数据库企业应用和运维操作。

客户收益


1. 实现核心数据资产、虚拟化设备、科研系统和数据、对业务支撑系统、业务交付系统、校园“一卡通”、内网核心网络设备、主机设备、数据库资产等在内的网络中心资产,实现跨平台、跨操作系统、跨运维协议、跨设备类型的各种IT资源的帐号、认证、授权和审计的集中控制和管理。

2. 实现集中化的身份认证和访问入口,实现集中访问授权,基于集中管控安全策略的访问控制和角色的授权管理,保障网络中心各种业务交付系统提供7x24小时不间断的运维。

经典案例
  • 上海交通大学
  • 华中科技大学
  • 西安电子科技大学
  • 上海音乐学院
  • 西安外国语大学
  • 武汉大学
  • 北京工业大学
  • 上海财经大学
  • 上海金融学院
  • 中北大学
Copyright © 2019 All Rights Reserved Designed
杭州汉领信息科技有限公司