IT运维综合管控解决方案
针对安然、世通等财务欺诈事件,20##年出台的《公众公司会计改革和投资者保护法案》(Sarbanes-Oxley Act)对组织治理、财务会计、监管审计制定了新的准则,并要求组织治理核心如董事会、高层管理、内外部审计在评估和报告组织内部控制的有效性和充分性中发挥关键作用。与此同时,国内相关职能部门亦在内部控制与风险管理方面制定了相应的指引和规范。 由于信息系统的脆弱性、技术的复杂性、操作的人为因素,在设计以预防、减少或消除潜在风险为目标的安全架构时,引入运维管理与操作监控机制以预防、发现错误或违规事件,对IT风险进行事前防范、事中控制、事后监督和纠正的组合管理是十分必要的。 IT系统审计是控制内部风险的一个重要手段,但IT系统构成复杂,操作人员众多,如何有效地对其进行审计,是长期困扰各组织的信息科技和风险稽核部门的一个重大课题。
一、需求分析
系统的运维人员是系统的“特殊”使用团队,一般具有系统的高级权限,对运维人员的行为审计日渐成为安全管理的必备部分,尤其是目前很多企业为了降低网络与系统的维护成本,采用租用网络或者运维外包的方式,由企业外部人员管理网络,由外部维护人员产生的安全案例已经逐渐在上升的趋势。
运维人员具有“特殊”的权限,又往往是各种业务审计关注不到的地方,网络行为审计可以审计运维人员经过网络进行的工作行为,但对设备的直接操作管理,比如Console方式就没有记录。
运维审计的方式不同于其他审计,尤其是运维人员为了安全的要求,开始大量采用加密方式,如RDP、SSL等,加密口令在连接建立的时候动态生成,通过链路镜像方式是无法审计的。所以运维审计是一种“制度+技术”的强行审计。一般是运维人员必须先登录身份认证的“堡垒机”(或通过路由设置方式把运维的管理连接全部转向运维审计服务器),所有运维工作通过该堡垒机进行,这样就可以记录全部的运维行为。由于堡垒机是运维的必然通道,在处理RDP等加密协议时,可以由堡垒机作为加密通道的中间代理,从而获取通讯中生成的密钥,也就可以对加密管理协议信息进行审计。
二、运维安全审计面临的挑战
IT运维人员一般应用命令行方式(Telnet、SSH)、和图形化方式(RDP、VNC)、客户端软件等方式对数据中心的服务器进行管理,这些方式虽然方便、灵活,但接入点多,存在重大安全隐患,并难于管理,特别是,面对成千上万台的设备,一个IT经理或者一个CIO如何能确保所有IT运维人员的操作都是安全的?
倘若有违规操作,如果发现并有效阻止?
若阻止不及,如何认定事故责任?
三、IT运维综合管控解决方案
泰然神州Zendeep神电运维审计系统是用于数据中心IT运维的集中管理和审计系统,可以对基于Telnet、SSH、RDP、VNC等协议的访问操作进行过程的抓取,从而可以录象方式对所有运维人员的所有操作进行记录,并具备强大的搜索功能,可对特定时段、特定事件、特定用户等逻辑要素进行搜索与提取——从而达到真正意义上的审计与风险控制。
泰然神州Zendeep运维审计方案的功能架构模块(下图)
泰然神州Zendeep运维审计系统管理平台,不仅可以对IT运维人员应用带内管理工具(Telnet、SSH、RDP、VNC等协议)的管理进行全面的集中管理与审计,可以制定有效的控制策略,进行访问授权、访问阻断,另外也可以根据不同的参数搜索调用历史操作画面,并进行画面回放、查看审计日志、从而进行有效的安全防护。
泰然神州运维审计系统由管理控制台、应用代理服务器、客户端安全插件和数据库四大部分构成。
管理控制台:
管理控制台负责实现系统的用户管理、代理访问策略管理、阻断策略管理、审计日志的查看与审计、对审计会话的画面回放和系统的基础配置等功能
管理控制台是一个基于Web的操作界面,可以对一个ICS对应的多台ICA的监控结果进行集中化的管理
应用代理服务器:
应用代理服务器用于实现代理应用的集中管理,对用户和客户机进行合法性校验,受符合策略要求的代理应用连接请求
提供TCP阻断功能,对于网络中的非法网络连接可以根据阻断策略自动实施阻断操作
数据库:
日志审计数据库,用于记录用户信息、策略信息和连接会话的日志信息等内容
文件数据库,专门用于记录应用代理服务器所记录每个连接会话的录像信息,录像信息与日志信息直接关联,直接通过查询日志信息后播放对应的录像文件,真实再现当时的操作画面
客户端安全插件:
终端客户机及和IT运维管控系统后台之间建立加密的连接通道
终端安全登陆认证设备接口
四、方案应用部署
泰然神州Zendeep运维审计系统部署网络拓扑架构图:
五、方案特点
泰然神州Zendeep运维审计方案特点:
集中管理,提供后台设备、数据库及指定系统统一的操作维护入口,实现单点登录。
身份管理,提供设置实名制登陆帐号,详细记录后台数据库全部操作过程。
访问控制,提供管理员根据不同的用户配置不同的操作权限,实现命令级别的严格控制,确保合法用户在其系统权限范围内访问授权设备。
命令防火墙,实现当不同用户帐号与同一系统帐号关联时,以命令为核心建立更加细粒度的权限控制。
操作审计,对用户实施的操作提供完整,详细记录服务。并可以安全地存放于管理平台中,管理平台能以方便、友好的界面方式提供对这些记录的操作查看,搜索,回放等审计功能。
支持协议:Telnet、SSH、RDP、VNC等
强制主机审计,所有运维行为强制经过IT运维管控系统跳转
IT运维管控系统所在服务器安全加固
六、泰然神州Zendeep运维审计系统方案效益分析
通过实施泰然神州Zendeep运维审计系统方案,安全审计工作可以得到有效简化,可以进行全面的集中管理与审计,真正做到运维全程操作可见﹑可控﹑可查。
1、本系统可对所有用户进行集中管理,包括本地管理用户及远程管理的用户。可以通过本系统行使如下功能:用户的创建、修改、删除和查询、用户的启用和挂起控制、用户的权限管理功能。
2、可以对历史操作画面回放,掌握第一手客观公正的操作记录。
3、对所有通过基于Telnet、SSH、RDP、VNC等协议的访问操作,进行全生命周期录像,可实现对历史操作过程的真实再现。
4、根据用户设置的规则、关键字、用户名称、目标地址、源地址负载名称、部门名称、描述信息和时间进行审计信息的查询检索,对查询的结果进行回放,再现历史操作画面。
5、本系统对通过应用代理服务器访问的负载的操作信息进行记录,包括访问负载IP地址、客户端地址、运维用户名称、操作开始和结束时间等等,管理人员可以通过时间、客户端类别(TELNET、SSH、RDP、VNC)、负载IP地址、客户端IP地址和运维用户对审计信息进行查询。
6、可以制定有效的控制策略——将风险远远阻在门外,访问授权控制策略:可以根据企业内控与管理的要求配置应用代理访问控制策略,经过授权的客户端可以通过代理访问负载,未经过授权的客户端则不可以访问负载。
7、阻断访问控制策略:通过访问控制策略阻断控制,可以强制用户必须通过应用代理访问负载。
第二篇:系统运维与IT资产管理解决方案
可信赖的内网安全专家
IP-guard系统管理解决方案
IT 基础设施正在日益多样化和复杂化,而复杂程度的增加导致IT基础设施的管理(部署、安装和维护)成本居高不下。其中资产管理和终端维护是IT基础设施管理最重要的两部分,由于缺少适合的管理工具,这些基本的工作消耗了IT管理人员大量的精力和时间,并且随着企业网络规模的不断扩大,即使整日东奔西走,问题仍不断出现,并且越来越难以及时解决,甚至威胁到企业的网络安全。
困扰:如何轻松、高效地进行系统、资产管理,
保证IT系统时刻顺畅运行?
? 如何才能够提高系统安全性,帮助系统抵抗病毒的入侵?
? 如何实现补丁和软件的统一部署与及时更新?
? 如何快速知道并阻断非法计算机与企业内部计算机间的通讯?
? 如何提高管理员的工作效率,节省东奔西跑的时间?
? 如何才能清晰宏观地了解纷繁复杂的资产总况?
? 如何准确快速地记录软硬件的变化?
您可找到得力的系统管理“帮手”?
IP-guard“化繁为简”的系统管理之道:
再庞大的网络,也能通过单一控制台轻松搞定!
1 / 5
IP-guard系统管理解决方案,确保系统稳定运行:
IP-guard系统管理解决方案,帮助IT管理员轻松应对系统管理的艰巨任务。通过单一控制台,IT管理员就可集中管理和维护企业内部所有IT和非IT资产,并快速完成对大批量计算机的软件部署与安装,能第一时间发现系统漏洞并及时修补,且能够通过远程的方式管理、维护网络内任一台计算机,令繁琐的系统管理工作变得轻松、高效,与此同时有力地保证系统时刻稳定运行,助力业务发展。
IP-guard系统管理解决方案包括全面的资产管理、便捷的远程维护和有效的网络通讯管控。
全面的资产管理
有力地协助企业进行高效的资产管理,方便企业掌握并高效利用企业资产,同时清楚地知道资产变动情况,最大限度地防范资产的丢失或被盗取。
便捷的远程维护
自动扫描安装最新的补丁,保护终端不会因系统漏洞未及时修补而处于风险之中,不易遭受病毒等的侵袭。
高效批量安装部署软件包:选择要安装的计算机→打包要安装的程序→轻点鼠标→喝一杯茶后,IP-guard已将一切做好。
了解每一台计算机的运行状况,远程控制故障计算机,迅速排除故障。节省IT人员精力的同时,不给病毒、黑客留可乘之机。
有效的网络通讯管控
阻止外来计算机非法接入企业内网获取机密信息,保护网络安全;限制内部计算机之间的互联,建立内部计算机之间的必要区隔。
推荐功能组合: 资产管理 远程维护 网络通讯控制
2 / 5
方案功能
全面的资产管理
? 自动搜集资产信息,无需劳心劳力
自动搜索和整合企业网络内客户端计算机的IT资产信息,如:CPU, BIOS, Modem, 各类软件等,并集中记录硬件型号,无需人手统计,系统管理者只需打开控制台便可对IT资产信息一清二楚,轻松、快速进行资产管理。
? 准确把握IT资产变动,强化资产管理
自动记录和统计企业内部计算机软硬件资产的变更,提供一目了然的软硬件资产变更列表,确保IT管理员时刻掌握最新最准确的资产信息。既可减轻系统管理员的工作负担,又可避免资产的遗失与侵占。
? 及时进行补丁安装,保障系统安全
自动扫描计算机的补丁安装情况,并可根据实际需要为计算机自动下载安装微软补丁。减少了IT管理员的工作量的同时又可保障系统的安全与稳定,保证核心业务正常运作。 ? 批量分发安装软件,简化繁琐程序
自动给指定的计算机批量分发及安装应用软件包,从而简化了传统软件分发的繁琐程序,只需通过IP-guard控制台就可以实现对软件的批量分发与安装,节约了IT管理员部署程序的时间。
软件分发满足了大型分布式企业对于软件统一部署和数据更新的需求,每一个分发任务都有明晰的过程跟踪和记录,管理员可通过控制台实时查询分发和安装的状态。 便捷的远程维护
? 实时查看远程计算机的运行状态
系统管理员可以通过IP-guard控制台实时查看被管理计算机的应用程序、网络连接、进程、系统信息等基本资料和运行情况,在单一控制台上即可实现对整个网络内计算机运行信息的掌握。同时协助管理员对系统运行情况做分析,在发生系统异样时及时解决,预防系统故障的发生。
?方便的远程控制与维护
系统管理员可以在IP-guard控制台直接远程控制和操作网内任一计算机,对需要帮助的远程计算机进行操作,实现远程桌面访问、双向文件传输。
3 / 5
通过远程协助,IP-guard可以帮助管理员远程维护客户端计算机,快速解决客户端计算机存在的问题。不但省去管理员东奔西跑的时间,提高工作效率,还可减少故障响应时间。
有效的网络通讯管控
? 有力的网络权限控制
IP-guard能够禁止网内计算机访问互联网,限制网内计算机之间的通讯,如财务部内部计算机可以互访,研发部和财务部计算机不能互访,建立内部计算机之间的必要区隔。 ?实时入侵检测,防范网络入侵
实时检测是否有心计算机接入内网,检测到非法连入时将会自动报警,并能够阻断非法连入。有效地防止外来计算机接入网络后盗取企业信息或散播病毒,降低病毒入侵的风险、维护系统稳定、保障信息安全。
独特“四化”优势:
应用IP-guard系统管理解决方案,企业IT基础设施管理将会实现简易化、集中化、智能化、清晰化。
? 简易化
IP-guard自动统计IT资产信息并以列表形式显示。无论资产有多复杂,何时新增系统资产,它都可以做到同步记录。管理员只需要打开控制台,所有信息一目了然。一切繁琐手续就变得如此简单。
? 集中化
IP-guard协助系统管理者通过单一控制台实现对企业内部所有计算机系统的集中维护。无论工作地点多么分散,计算机数量多么庞大,IP-guard都可以助您以惊人的速度解决系统故障,维持系统的稳定运行,保证企业核心业务的正常运作。
? 智能化
IP-guard可自动发现新增计算机硬件设备和新安装的软件及软硬件的变动情况,确保IT管理着随时随地掌握最新系统资产的变动情况。无需大费周章,浪费人力物力,即可对系统资产了如指掌,省力更省心。
? 清晰化
4 / 5
传统的资产统计方式既复杂又麻烦,使得资产管理往往不及时甚至难以继续,手工输入的资产信息通常并未能规范的进行分类整理。使用IP-guard,管理员只需点击IP-guard控制台的相应界面,所有资产信息均会以分类的形式清楚地呈现眼前。
地址:广州科学城科学大道182号创新大厦C1区附楼10层
电话:020-86001438
传真:020-86001438-807
网站:
E-mail:
sales@ip-guard.net
5 / 5