摘要：隨著云計(jì)算、社交網(wǎng)絡(luò)、移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)以及電子商務(wù)的發(fā)展，一個(gè)24小時(shí)在線(xiàn)的時(shí)代(Connected 24 hours Era：C時(shí)代)已經(jīng)來(lái)臨。C時(shí)代下，面對(duì)規(guī)�；�的IT基礎(chǔ)設(shè)施、日益復(fù)雜的應(yīng)用系統(tǒng)、不斷更新及交換的海量數(shù)據(jù)，金融業(yè)數(shù)據(jù)中心業(yè)務(wù)運(yùn)營(yíng)的穩(wěn)定性與安全性在行業(yè)競(jìng)爭(zhēng)舞臺(tái)上扮演越來(lái)越重要的角色，數(shù)據(jù)中心IT設(shè)施運(yùn)維風(fēng)險(xiǎn)控制成為業(yè)界管理者重點(diǎn)關(guān)注的問(wèn)題之一。

 

【行業(yè)發(fā)展背景】

　　隨著云計(jì)算、社交網(wǎng)絡(luò)、移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)以及電子商務(wù)的發(fā)展，一個(gè)24小時(shí)在線(xiàn)的時(shí)代(Connected 24 hours Era：C時(shí)代)已經(jīng)來(lái)臨。C時(shí)代下，面對(duì)規(guī)�；�的IT基礎(chǔ)設(shè)施、日益復(fù)雜的應(yīng)用系統(tǒng)、不斷更新及交換的海量數(shù)據(jù)，金融業(yè)數(shù)據(jù)中心業(yè)務(wù)運(yùn)營(yíng)的穩(wěn)定性與安全性在行業(yè)競(jìng)爭(zhēng)舞臺(tái)上扮演越來(lái)越重要的角色，數(shù)據(jù)中心IT設(shè)施運(yùn)維風(fēng)險(xiǎn)控制成為業(yè)界管理者重點(diǎn)關(guān)注的問(wèn)題之一。

　　C時(shí)代的來(lái)臨，同時(shí)推動(dòng)著新一代數(shù)據(jù)中心運(yùn)維安全控管的發(fā)展，打造更高安全性的數(shù)據(jù)中心，并非IT廠商的概念噱頭，而是金融數(shù)據(jù)中心管理者和使用者真實(shí)的需求。

　　金融與IT的融合創(chuàng)新，幫助轉(zhuǎn)型期的金融行業(yè)應(yīng)對(duì)市場(chǎng)化挑戰(zhàn)。

　　【業(yè)務(wù)現(xiàn)狀及需求分析】

　　Ø 對(duì)下級(jí)機(jī)構(gòu)運(yùn)維過(guò)程缺少有效的技術(shù)監(jiān)管手段

　　金融行業(yè)組織機(jī)構(gòu)龐大，地域空間分布極為分散，省級(jí)總行與眾多地市級(jí)支行之間的業(yè)務(wù)互聯(lián)與數(shù)據(jù)信息交換基于復(fù)雜的廣域網(wǎng)技術(shù)體系實(shí)現(xiàn)。然而，對(duì)于各地市級(jí)支行數(shù)據(jù)中心運(yùn)維安全、內(nèi)控風(fēng)險(xiǎn)的管理，省行僅采用制度及規(guī)范予以約束，人工方式進(jìn)行監(jiān)督，管理效果欠佳，效率低下，缺乏行之有效的技術(shù)輔助手段。

　　Ø 運(yùn)維入口眾多、運(yùn)維通道獨(dú)立、運(yùn)維工具分散

　　金融業(yè)數(shù)據(jù)中心常規(guī)的運(yùn)維模式是由省市各層各級(jí)運(yùn)維人員基于本地客戶(hù)端啟用RDP/VNC/TELENT等遠(yuǎn)程協(xié)議工具直接訪(fǎng)問(wèn)數(shù)據(jù)中心目標(biāo)設(shè)備，展開(kāi)會(huì)話(huà)操作。這種運(yùn)維模式導(dǎo)致運(yùn)維入口眾多(一臺(tái)客戶(hù)端提供一個(gè)運(yùn)維入口)、運(yùn)維通道相互獨(dú)立(不同協(xié)議工具建立不同運(yùn)維通道)、運(yùn)維工具部署分散(協(xié)議工具分別安裝于各運(yùn)維客戶(hù)端)，造成網(wǎng)內(nèi)運(yùn)維環(huán)境安全難以管理的局面。

　　Ø 行業(yè)新標(biāo)準(zhǔn)的運(yùn)用催生出多人核實(shí)管理機(jī)制

　　金融行業(yè)安全等級(jí)保護(hù)基本要求規(guī)定，對(duì)于數(shù)據(jù)中心核心設(shè)備及關(guān)鍵業(yè)務(wù)系統(tǒng)等此類(lèi)高風(fēng)險(xiǎn)運(yùn)維操作，需采用多人核實(shí)機(jī)制(即在同時(shí)獲得兩人以上授權(quán)前提下，才能實(shí)施相應(yīng)會(huì)話(huà))，以提升運(yùn)維操作行為合規(guī)性控制的細(xì)粒度。

　　Ø 審計(jì)手段不全面，審計(jì)信息不直觀

　　現(xiàn)有的審計(jì)手段是基于操作系統(tǒng)日志的審計(jì)，只能定位到訪(fǎng)問(wèn)設(shè)備的IP地址、用戶(hù)、時(shí)間等基本信息，無(wú)法準(zhǔn)確、直觀追溯運(yùn)維人員在目標(biāo)設(shè)備上的會(huì)話(huà)過(guò)程，無(wú)法對(duì)事故原因進(jìn)行客觀還原。

　　【方案概述及部署】

　　針對(duì)金融行業(yè)的業(yè)務(wù)需求及業(yè)務(wù)現(xiàn)狀，德訊科技提供一套IT設(shè)施運(yùn)維操作安全審計(jì)(堡壘主機(jī))解決方案。采用“DCLive+ICS”聯(lián)合部署模式為各地市級(jí)運(yùn)維人員提供一個(gè)統(tǒng)一的操作平臺(tái)，突破地域、時(shí)空、時(shí)間的限制，基于WEB瀏覽器即可實(shí)現(xiàn)對(duì)數(shù)據(jù)中心IT設(shè)施的相關(guān)運(yùn)維需求，如字符型會(huì)話(huà)、圖形訪(fǎng)問(wèn)、數(shù)據(jù)庫(kù)管理及其他應(yīng)用類(lèi)運(yùn)維操作。

　　此外，方案為省級(jí)總行管理人員提供一個(gè)集中化的審計(jì)平臺(tái)，事中可實(shí)時(shí)監(jiān)視系統(tǒng)內(nèi)所有會(huì)話(huà)訪(fǎng)問(wèn)與操作行為，事后第一時(shí)間可及時(shí)審查整個(gè)運(yùn)維過(guò)程。該方案從技術(shù)上實(shí)現(xiàn)金融行業(yè)數(shù)據(jù)中心“分布式運(yùn)維操作，集中式監(jiān)控審計(jì)”的安全管理目標(biāo)。

　　方案部署如圖1所示：

 

系統(tǒng)部署特點(diǎn)：

　　Ø 利用原有網(wǎng)絡(luò)拓?fù)浼軜?gòu)，安裝部署簡(jiǎn)便，無(wú)需加裝任何客戶(hù)端代理，不影響任何業(yè)務(wù)數(shù)據(jù)流;

　　Ø ICS設(shè)備分布式部署于各地級(jí)市支行，實(shí)現(xiàn)本地化運(yùn)維，獨(dú)立化操作，互不干擾;

　　Ø 兩臺(tái)ICS共同分擔(dān)局域網(wǎng)內(nèi)并發(fā)會(huì)話(huà)的壓力，實(shí)現(xiàn)各分支網(wǎng)絡(luò)負(fù)載均衡;

　　Ø 省級(jí)中心機(jī)房DCLive管理平臺(tái)，實(shí)現(xiàn)對(duì)下級(jí)分支機(jī)構(gòu)所有運(yùn)維過(guò)程的集中監(jiān)視、控制、管理與審計(jì);

　　Ø DCLive主備兩臺(tái)設(shè)備HA部署，保障數(shù)據(jù)完整性以及整個(gè)系統(tǒng)的防災(zāi)恢復(fù)。

　　【應(yīng)用價(jià)值】

　　Ø 提供統(tǒng)一的運(yùn)維平臺(tái)

　　方案提供統(tǒng)一WEB管理入口，對(duì)登陸用戶(hù)身份的合法性實(shí)施統(tǒng)一認(rèn)證;系統(tǒng)自帶字符類(lèi)/圖形類(lèi)/應(yīng)用類(lèi)多種運(yùn)維工具，無(wú)需運(yùn)維客戶(hù)端自行安裝，避免運(yùn)維過(guò)程中出現(xiàn)工具不全面，版本不兼容的問(wèn)題;支持會(huì)話(huà)代理訪(fǎng)問(wèn)通道的建立，改變?cè)�有本地客�?hù)端直接發(fā)起會(huì)話(huà)的運(yùn)維模式，對(duì)運(yùn)維過(guò)程實(shí)現(xiàn)有效監(jiān)控與審計(jì)。

 

Ø 雙人授權(quán)訪(fǎng)問(wèn)控制

　　依據(jù)行業(yè)安全等級(jí)保護(hù)標(biāo)準(zhǔn)，方案實(shí)現(xiàn)雙人授權(quán)訪(fǎng)問(wèn)控制策略管理。權(quán)限范圍內(nèi)的任何一人登陸運(yùn)維平臺(tái)，通過(guò)身份認(rèn)證，也不能獨(dú)自執(zhí)行會(huì)話(huà)操作，需要得到策略?xún)?nèi)另一用戶(hù)的授權(quán)。系統(tǒng)支持本地口令輸入及遠(yuǎn)程身份認(rèn)證兩種授權(quán)方式。主要通過(guò)提升授權(quán)管理的細(xì)粒度，保障核心設(shè)備、關(guān)鍵業(yè)務(wù)以及第三方運(yùn)維操作的合規(guī)性、安全性。

　　Ø 事后全面審計(jì)，保證操作留痕

　　方案提供網(wǎng)內(nèi)運(yùn)維管理全生命周期的審計(jì)，即采用流媒體形式記錄運(yùn)維人員登陸運(yùn)維網(wǎng)關(guān)至登出運(yùn)維網(wǎng)關(guān)的全過(guò)程，支持對(duì)字符、圖形、數(shù)據(jù)庫(kù)、WEB應(yīng)用等多種類(lèi)型會(huì)話(huà)的全面審計(jì)。審計(jì)結(jié)果如圖3所示：

審計(jì)結(jié)果以操作日志及錄像相結(jié)合的形式呈現(xiàn)，符合4W (When/Where/Who/What)原則。同時(shí)，支持錄像回放、SQL語(yǔ)句、關(guān)鍵字符與審計(jì)錄像關(guān)聯(lián)定位與檢索，實(shí)現(xiàn)運(yùn)維操作過(guò)程的快速定位、精確跟蹤以及真實(shí)重現(xiàn)，協(xié)助審計(jì)人員對(duì)非法運(yùn)維操作節(jié)點(diǎn)的排查及故障責(zé)任的追溯，提升數(shù)據(jù)中心精細(xì)化、規(guī)范化的運(yùn)維安全管理水平。

標(biāo)簽： 安全 標(biāo)準(zhǔn) 電子商務(wù) 電子商務(wù)的發(fā)展 互聯(lián)網(wǎng) 機(jī)房 金融 媒體 權(quán)限 數(shù)據(jù)庫(kù) 網(wǎng)絡(luò) 問(wèn)題 行業(yè) 移動(dòng)互聯(lián) 移動(dòng)互聯(lián)網(wǎng) 用戶(hù) 云計(jì)算 轉(zhuǎn)型

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。