《运维审计系统解决方案C培训教材》由会员分享,可在线阅读,更多相关《运维审计系统解决方案C培训教材(23页珍藏版)》请在金锄头文库上搜索。
1、IT运维审计解决方案介绍,追溯运维安全事件源头 降低核心操作系统风险,IT运维审计解决方案介绍,为什么需要操作安全审计,需要怎样的操作安全审计,统一运维审计管理平台的实现,客户价值总结,为什么需要IT操作安全审计,文本,文本,文本,文本,IT运维现状123 信息安全相关标准、法案,IT运维现状2,交叉异构、帐号共享,第三方厂家,开发人员,管理人员,系统帐号,IT运维现状3,人为操作风险,责任无法追溯,来自企业内部的非法威胁 高权限操作风险不透明 违规操作导致敏感信息泄露 误操作导致服务异常甚至宕机,来自企业外部的非法威胁 操作风险不可控 黑客盗用帐号实施恶意攻击 无法有效监管操作、无法有效取证
2、/举证,内部用户,外部用户,资源设备,权限滥用,恶意访问,误操作,权力限用,系统管理员 网管员 安全管理员 软件系统开发人员,黑客 代维厂商 合作伙伴 企业临时用户,目前数据中心IT设施运维方式分析,带内方式:对数据中心PC服务器、Unix/Linux服务器、网络设备、存储等各类IT设备,应用RDP、VNC等软件方式实现图形化操作,应用Telnet、SSH等常用工具实现字符操作,利用数据库管理工具管理Oracle、DB2等数据库,利用FTP、SFTP实现文件的上传/下载; 带外方式:采用低端或者数字KVM方式对数据中心进行维护。 问题1:所有的这些维护方式缺乏一个平台的整合,缺乏一种对关键主机
3、所 有操作记录的审计。 问题2:外包厂商人员的操作无法记录,自身维护人员也无从学习故障处理 过程,用户身份信息分散于各个系统,形成身份信息的孤岛 维护人员同时对多个系统进行维护,工作复杂度会成倍增加,独立的用户数据库 身份信息孤岛,用户权限无法集中管理,越权事件时有发生,缺乏集中统一的资源授权管理平台,身份的混乱,帐号多人共用,难于确定帐号的实际使用者, 难于对帐号的扩散范围进行控制,容易造成安全漏洞,自然人身份和业务系统帐号重叠,切换系统登录时,都需要输入用户名和口令进行登录。 给工作带来不便,影响了工作效率,自然人对多系统的访问频繁切换,无法对支撑系统进行综合分析,不能及时发现入侵行为进行
4、安全 预警和数据责任追踪,增加操作风险,独立的审计,缺乏关联分析,问题分析,信息安全相关标准、法案,文本,文本,文本,文本,ISO27001标准,条款A10.10.1要求组织必须记录用户访问、意外和信息安全事件的日志,并保留一定期限,以便为安全事件的调查和取证; 条款A10.10.4要求组织必须记录系统管理和维护人员的操作行为; 条款A15.1.3明确要求必须保护组织的运行记录; 条款A15.2.1则要求信息系统经理必须确保所有负责的安全过程都在正确执行,符合安全策略和标准的要求。,CC标准,信息技术通用评估准则 ( Common Criteria for Information Techno
5、logy Security Evaluation)中,安全审计是其安全功能要求中最重要的组成部分,同时也是信息系统安全体系中必备的一个措施,它是评判一个系统是否真正安全的重要尺码。,SOX法案,302节:要求行政人员证明他们公司设计和执行了适当的控制,以保证所有财务报表都可靠而且付合公认会计准则(GAAP)。 404节:要求所有在302节中所控制的过程都有可信的财务报表。这法令要求IT经理对所有有关财务报表的产生过程负责。,需要怎样的IT运维审计,文本,文本,文本,文本,操作管理统一化 管理流程规范化 操作风险最小化,操作管理统一化,统一操作管理平台理念构建,操作,统一认证,统一授权,统一审计
6、,管理流程规范化,规范管理流程的实行,操作风险最小化,最小化操作风险来源于管理模式,集 中 管 理 模 式,你做了什么?,你能做什么?,你去哪?,你是谁?,访问控制管理,帐号授权管理,资产帐号管理,统一身份管理,可用帐号?,统一运维审计管理平台的实现,文本,文本,文本,文本,设计理念 解决方案 审计方向 产品部署 实施效果,设计理念,解决方案,企业信息系统中”人”的综合治理,所有的操作均能审计并可检索查询,文件传输审计,字符终端操作审计,网络设备远程维护,KVM方式带外操作,RDP文件传输,图形终端操作审计,软件分发审计,产品部署简单直观,外网用户,内网用户,UTM 安全审计管理,部署优势: 1.不加装任何客户端代理 2.不加装任何服务器端引擎 3.不影响任何网络拓扑 4.不影响任何业务数据流 5.支持双机热备 6.支持集中管理分级部署,PLDSEC SMS UTM,防火墙,实施效果,客户价值总结,文本,文本,文本,文本,价值总结,价值总结,有效控制操作风险,有效监管第三方代维厂商,用户收益,满足IT审计合规性要求,提高设备可用性,完善的责任认定体系,典型客户,文本,文本,文本,文本,典型客户,典型客户,
