《保旺达一体化内控内审系统[整理]》由会员分享,可在线阅读,更多相关《保旺达一体化内控内审系统[整理](59页珍藏版)》请在金锄头文库上搜索。
1、精品PPT收集整理,驻家客服系统,南京保旺达技术开发公司 2009年5月,江苏保旺达软件技术有限公司 2011年9月,保旺达一体化内控内审系统,议题,公司简介,公司成立于2002年,国内最早从事信息安全产品研发、销售、集成的企业之一,也国内领先的信息安全专业厂商及服务供应商。 公司总在职员工300人:研发团队205人,技术工程师50人 公司在北京、上海设有分公司,在四川、江西、陕西等省、市设立分支机构。,公司资质,江苏省软件企业 江苏省高新技术企业 ISO9000:2001质量体系认证 ISO27001:2005信息安全管理体系认证 国家涉密计算机信息系统集成资质乙级 国家信息安全服务资质一级
2、 国家计算机信息系统集成资质二级 软件能力成熟度(CMMI)三级,4A成功案例,电信运营商 江苏移动业务支撑系统、信息化部 江苏电信业务支撑系统 江苏联通信息化部 青海移动-信息化部 安徽联通-信息化部、产品创新部 中联通总部-产品创新部 其他行业 中电十四所 江苏省地税,议题,什么是4A,帐号管理(Account) 建立统一的主账号系统 管理业务系统及相关设备的从账号系统 主从账号关联 认证管理(Authentication) 选择多种强身份认证系统 账号实名制登录和单点登入子系统 授权管理(Authorization) 统一、多级分配权限 实现三权分立 安全审计(Audit) 日志收集归并
3、分析 维护操作行为审计,为什么需要4A,解决账号孤岛问题 各业务系统身份认证相互独立,每个用户需要记忆多套用户名/口令,用户名和实际用户无法有效对应 一方面主机、数据库、网络设备、安全设备中存在大量的孤立账号,另一方面账号公用的问题十分突出,现有审计系统无法定位实际的操作人员 解决审计孤岛问题 业务系统、主机、数据库、网络设备、安全设备、用户终端都会产生海量日志 某一安全事件可能导致各类设备产品上百万条不同的告警信息,对网管人员会造成误导,延长解决问题的周期 现有的网管和SOC只能判断网络及设备本身的问题,对于应用级的故障无法审计,为什么需要4A,解决信息泄密问题 第三方的开发人员、代维人员拥
4、有过高的权限 操作行为无法监控,误操作会导致业务系统的宕机 一条查询语句可能造成大量的客户信息被泄密 通过孤立账号可以轻松地从事非法活动 通过4A系统可以实现用户实名制登录,从应用层快速定位各类安全故障并提出最优解决方案,发现并删除孤立账号,对第三方人员的维护行为全面跟踪,及时发现并阻止各类违规操作,从而保证用户业务系统的安全,4A在安全体系中的位置,网管,SOC,4A,BWDa ICA框架体系,开发历程,议题,人员安全分层,终端接入流程,4A门户网站,系统维护接入流程,授权-统一开发和代维管理软件,PS:可根据用户需求增加,命令阻断功能,议题,BWDa ICA,功能一览表,议题,主账号生命周
5、期管理,统一的用户审批管理流程(添加、修改、禁用、启用、删除),制定人员兼职、调动、离职的管理机制,从账号管理,从帐号,从帐号,从帐号,从帐号,从帐号,从帐号,从帐号,从帐号生成方式一,通过主帐号创建,采用帐号同步机制加入现有系统,支持一键删除,自然人,主机1,主机2,网络,数据库,业务1,业务2,业务N,BWDa ICA,从账号管理,系统及业务帐号,从帐号生成方式二,通过收集、整理业务系统现有帐号,合理与主帐号关联,可及时发现孤立从帐号,业务系统,主账号1,主账号2,主账号3,主账号N,BWDa ICA,议题,系统支持的认证模式,静态口令 动态口令 数字证书 USB KEY 动态令牌 生物识
6、别,认证方式比较,议题,授权管理,自然人对应主帐号 帐号与岗位关联 岗位与角色关联 角色与资源/策略关联,授权同步,授权管理,应用程序接口,BI/BOSS/ MIS/OA,接口程序,堡垒主机,标准协议接口,Web Service,ODBC/JDBC,Web配置,Tacacs+,网络设备,主机,数据库,议题,影响业务安全的五类安全事故,安全平台日志收集,SYSLOGFTPODBCJDBC,SYSLOGFTPODBCJDBC,SYSLOGFTPODBCJDBC,SYSLOGSNMP,安全管控平台事件事故的鉴别流程,采集 爆发类日志 外部入侵类 操作违规类 业务用户异常访问类 信息输出类,全球威胁联
7、动 全球探测网络, 提供联动实时威胁联动,优先级划分 提供用户信息操作违规信息数据输出信息的关联分析, 进行优先级划分,关联分析 利用运维经验,提供关联方法, 和关联规则库以及技术参数,归并过滤 大量运维经验对事件进行EMR分类归并,标准化 与业务厂家、4A厂家、安全厂家接口开发,信息预处理,处理 提供更新的知识库提供处理意见,事件,事故,安全信息处理过程,1、安全运行管理系统是一个专注于安全的管理系统 2、以资产为核心,以风险为表征,反映资产的安全状况 3、告警反映与资产相关的安全问题,分一般和严重两个级别 4、以设备安全日志、配置、漏洞为分析的来源 5、分析手段包括标准化、压缩、关联、审计
8、、定损分析、风险计算,图形化审计与屏幕录像,针对数据库维护以外的图形化操作,如IE、防火墙客户端等 客户登录堡垒主机时自动启动屏幕录像进程 采用图片时间矢量技术,压缩大量录像所占的硬盘空间 根据主账号、登录时间、维护工具、当前窗口名称、键盘命令等关键字段进行检索,屏幕录像播放截图,存储位置包含主账号、主机IP、录像日期等信息,检索窗口“淘宝”,检索“删除文件”窗口,文字输入检索“taobao”,文字输入检索“安全”,报表输出,支持TXT 、EXCEL、WORD、PDF 等 多 种 格 式,议题,信息保护解决方案,利用一定规则扫描数据库,发现敏感信息保存在数据库的具体位置(哪个表的哪个字段);
9、2.通过堡垒主机细粒度授权功能,限制代维人员对含有敏感信息的字段的访问,如果确实需要访问,必须由室经理进行二次授权; 3.当用户将敏感信息从数据库拷贝到堡垒主机时,系统及时发现并自动定义该信息的安全级别; 4.通过堡垒主机用户环境WEB页面可以查看到可供下载的数据文件,如果该数据文件不包含敏感信息,可以任意下载;如果该数据文件包含敏感信息,就根据数据文件的安全级别授权(可以下载、二次授权下载、不可下载),数据库扫描,数据库扫描,电信行业扫描策略,信息防泄密与二次授权,禁止应用系统后台数据库、主机的数据直接下载到维护终端 根据信息重要程度,可分5个安全等级,数据库敏感信息汇总表,IP地址:敏感信
10、息所在服务器的地址 数据库名称:含有敏感信息所在的数据库 表名:含有敏感信息表的名称 字段名:敏感信息所在的字段 安全级别:根据字段含有敏感信息的关键字的种类、安全级别、关键字出现频率等综合评估出该字段的安全级别,为堡垒机细粒度授权提供依据,查询受限,用户访问含有敏感信息字段时,根据权限访问受限,查询二次授权审计及审批,主机敏感信息汇总表,账号:用户登录堡垒主机的账户,每个用户从数据库下载的文档都存在堡垒主机的Profile中 文件名称:文件名称是指该文件的最终名称,用户可能将文件改名、压缩,文件可以是WORD意外的其他格式 安全级别:根据字段含有敏感信息的关键字的种类、安全级别、关键字出现频
11、率等综合评估出该字段的安全级别,为下载到用户终端授权提供依据 是否可下载:针对信息的安全级别、账号的安全级别自动划分,下载受限,下载二次授权审计及审批,用户必须填写正确的理由,提交相关领导确认后才能下载该数据,议题,项目概况,名称:中国电信江苏公司安全运营管理平台 规模:主账号2000用户,统一安全维护网关并发500用户,项目实施,安全管理平台建设,应用级资源4A建设,2011.3 -2011.4 实现系统级资源的账号管理、统一认证、授权控制和集中审计;完善系统级账号数据安全管理,2011.2 2011.3 建立安全运营管理平台,系统级资源4A建设,安全管理集中化,平台上线前:众多系统的人员类
12、型多、构成复杂,权限分散不易控制,关键资源的安全性没有保证,维护流程繁琐,缺乏集中审计。 平台上线后: 在安全平台上各系统按照统一的管控策略或规则进行账号、授权管理,并加强了日志记录的集中审计 建立了自然人唯一身份ID,为统一强认证、实现单点登录、提高人员登录效率、提升安全审计效率提供了关键基础 平台提供大量的批量操作功能,提高了日常账号增删改和授权变更的效率 平台的图形化和自动化功能界面提高了日常账号与授权管理过程的准确性和安全性,安全管理规范化,推动了安全管理策略的纵向梳理和细化,安全管理平台的建设、推广过程本质上是在全网层面推动“人员身份管理、账号密码管理、授权管理、强认证管理和审计管理
13、”等几方面安全管理策略的统一化、规范化,并强制落地执行这些安全管理策略的过程,例如: 梳理主机、数据库、网络设备、安全设备等系统各类、各级使用人员的自然人身份信息并赋予唯一身份ID; 梳理所有自然人的从账号授权是否符合最小化授权、不相容等原则; 梳理并统一所有主从账号的密码策略; 推动BASS配合改造符合信息安全规范和安全审计策略等,提升安全管理水平,推动了安全管理策略的横向覆盖与拓展,各系统原有的账号管理、授权管理和审计管理相对分散、独立,4A实施之后将这些工作进行了集中和统一,大幅度降低了管控的复杂度和管控失效的风险; 为各系统原有的账号管理、授权管理情况的日常监控与内控审核提供了统一展现平台; 通过统一的安全管控模型推动BASS系统的账号管理、授权管理和日志管理等安全功能统一趋向4A技术规范的相关模型,终结了各系统的安全建设相对独立、目标不统一的局面; 实现了针对各类使用人员的集中统一管理,尤其实现了自然人行为的关联审计分析,提高了审计效率; 使用集中的强认证组件面向各个系统和所有资源提供统一的强认证服务,同步提高各系统安全水平的同时节省了安全成本。,基于WEB单点登录,主机,数据库,网络设备,安全设备,FTP设备,云平台和B/S应用的完美集成,实现了基于WEB的无缝门户整合,Q&A,问题讨论,
