背景介绍
中信银行业务辐射全球70多个国家和地区,全国640余家分支机构
银行内部运行有大量的网络设备和服务器。随着各项业务的不断发展,银行各类信息系统和用户数量的不断增加,网络规模迅速扩大,信息安全问题愈见突出,原有的手工管理措施已不能满足目前及未来业务发展的要求。因此需要根据网络现状,建设服务器和设备访问安全管理系统,使得系统和安全管理人员可以对信息系统的用户和各种资源进行集中管理、集中权限分配、集中审计,从技术上保证信息系统安全策略的实施 。
项目建设具体需求如下:
1. 满足信息安全、IT系统运维管理、企业遵循三个方面的要求,有效提高银行信息网络的安全性,适应业务的快速发展;
2. 满足全行运维安全管理的整体要求,形成统一管理手段,最小化操作风险;
3. 提供一套可靠、有效的统一监控,统一安全策略部署的集中监控系统,并基于分行运维安全审计数据,实现对全行运维安全状况的分析 ,为全行IT系统的安全运维提供数据支持;
4. 能提供完备的访问策略管理,提供细粒度的访问授权;
5. 系统应提供统一、集中的管理界面完成策略管理、人员管理、服务器管理,提供系统管理人员的工作效率;
6. 提供对运维人员的强身份认证方法、用技术手段保证操作员的身份证明与其本人的统一;
审计系统应该详细记录操作员的操作行为,能达到客观地再现操作活动的情况,备日后统计;
审计系统记录的操作日志应保证不被操作本人篡改或删除,且服务器的宕机也不影响行为审计的独立性;
解决方案
根据项目建设总目标和需求,我们推荐采用网域数据安全的运维安全审计系统和运维安全集中管控平台来实现。
部署方案:在总部和各分部分别架设IT运维安全审计系统,集中管控平台进行所有设备的统计监控和审计,如上图。
系统组成
本项目整体包括两部分:
运维安全审计系统NSA和运维安全审计集中管理平台
运维安全审计系统:部署在总行以及分支办公系统,实现对本地IT基础设施维护操作的审计。
运维安全审计集中管理平台:部署在总行,对所有运维安全审计系统的统一管理、监控、日志管理,对全行运维安全状况分析等。
实现功能
本地操作审计功能
1. 提供完善的身份管理和认证,确保可信用户才能进行操作,解决了IT系统中普遍存在的交叉运维而无法定位到具体人的问题,满足审计系统“谁做的”的要求;
2. 提供基于用户、用户地址、协议、设备地址、时间段、会话时长等组合的授权功能,灵活的解决“能对谁操作”的问题;
3. 提供对正在运维的会话的监控和回放,有效实现事中管理与控制;
4. 提供根据用户安全策略定义违规操作的实时告警和阻断功能,解决“能做什么”的问题;
5. 提供常用运维协议Telnet、FTP、SSH、SFTP、RDP(Windows Terminal)、AS400、VNC、Xwindows等网络会话的完整会话记录,完全满足内容审计中信息百分百不丢失的要求;
6. 提供详尽的会话审计和回放功能,解决“做了什么”的问题;
7. 提供多层面的审计报表功能,为运维安全管理提供有效数据。
运维安全审计集中管理平台
1. 运维安全审计集中管理平台是在不影响各NSA运维审计管理和运行的基础,实现对各NSA设备的监控、统计和管理功能,达到为全行运维安全审计系统的运行和管理提供一个统一平台的目的。
2. 运维安全审计集中管理平台主要实现系统监控、系统管理、日志管理和统计分析等功能。
3. 系统管理功能:实现总行根据安全需求,统一对全行NSA的安全部署与配置进行管理。4. 系统管理功能包括设备管理、权限管理、策略配置等;
5. 系统监控功能:实现准实时的监控各分行NSA设备运行状态。它包括NSA系统状态和工作状态等;
6. 日志管理功能是对NSA的操作日志进行查看、收集和审计;
7. 统计分析功能:实现对全行NSA整体使用情况的统计和分析。可以根据实际情况按天、周、月或选择时间范围统计、分析全行NSA的使用情况。
方案特点
提供了一套面向全行运维安全管理的整体解决方案,最小化全行IT人为操作风险;
满足全行在信息安全、IT系统运维管理、企业和规三个方面的要求;
为总行规范、统一运维安全管理制度和流程提供一种有效的技术手段;
通过对全行运维数据的统计和分析,为提高全行安全运维管理提供依据。
