構(gòu)筑內(nèi)網(wǎng)安全的銅墻鐵壁 —— 德訊科技網(wǎng)內(nèi)運維審計解決方案介紹

責任編輯:ywang

作者:機房360

2012-05-02 13:29:37

摘自:機房360

德訊科技推出ICS網(wǎng)內(nèi)運維審計解決方案,其體系架構(gòu)由數(shù)據(jù)展現(xiàn)層、數(shù)據(jù)處理層及設(shè)備控制層構(gòu)成

 

在本文開始之前,先跟大家分享一個代維人員引發(fā)的案例:

程某,大學(xué)畢業(yè)后一直從事軟件研發(fā),曾為哈爾濱、遼寧、西藏等多家移動公司做過技術(shù)代維工作。從2005年3月至7月,程某先后4次侵入北京移動數(shù)據(jù)庫,修改充值卡的時間和金額,將已充值的充值卡狀態(tài)改為未充值,共修改復(fù)制出上萬個充值卡密碼。他還將盜出的充值卡密碼在網(wǎng)上出售,共獲利370余萬元。

在對公安機關(guān)的供述中,程某稱,他入侵北京移動數(shù)據(jù)庫僅僅是因為“好玩”,僅僅是“突然想測試一下中國移動網(wǎng)絡(luò)安全系統(tǒng)的安全程度“。

隨即,程某利用他為西藏移動做技術(shù)時使用的密碼(此密碼自其離開后一直沒有更改)輕松進入了西藏移動的服務(wù)器;通過西藏移動的服務(wù)器又跳轉(zhuǎn)到了北京移動數(shù)據(jù)庫,取得了數(shù)據(jù)庫的最高權(quán)限,并通過讀取數(shù)據(jù)庫日志文件,反推破譯出密碼。

直到2005年7月,由于一次“疏忽”,程某出售一批充值卡時忘了修改使用期限,購買到這批充值卡的用戶因無法使用便投訴到北京移動,北京移動才發(fā)現(xiàn)有6600張充值卡被非法復(fù)制,立即報警。

2005年8月24日,程某在深圳被抓獲,所獲贓款全部起獲。

原本大有前途的IT精英淪落為階下囚,固然有其貪念作祟的原因,可是如果企業(yè)在防范內(nèi)網(wǎng)安全漏洞方面加大力度,不給運維人員和代維人員以漏洞和機會,也許這樣的悲劇也不會上演。

隨著信息技術(shù)應(yīng)用的快速深入,企業(yè)用戶對IT系統(tǒng)的依賴性越來越強,IT系統(tǒng)的運營、維護和管理的難度不斷加大。值得深思的是,許多用戶都非常注重來自企業(yè)外部的安全風險,不遺余力地將大量資金投入到諸如殺毒軟件、防火墻等外部防范的建設(shè)中去,恰恰忽略了來自企業(yè)內(nèi)部的安全隱患和問題。

基于此,德訊科技推出ICS網(wǎng)內(nèi)運維審計解決方案,其體系架構(gòu)由數(shù)據(jù)展現(xiàn)層、數(shù)據(jù)處理層及設(shè)備控制層構(gòu)成,主要能夠?qū)崿F(xiàn)兩大功能體系:運維人員對設(shè)備控制層集中運維操作體系;審計人員對設(shè)備控制層操作安全審計管理體系。


圖1 網(wǎng)內(nèi)運維審計解決方案體系架構(gòu)圖

   數(shù)據(jù)展現(xiàn)層:為運維人員提供運維與管理入口,通過B/S模式的運維管理控制臺(WEB管理平臺),可實現(xiàn)運維、認證、策略部署、安全審計等管理操作;
  
   數(shù)據(jù)處理層:通過網(wǎng)絡(luò)運維安全網(wǎng)關(guān)(ICS2000)及虛擬運維網(wǎng)關(guān)(VOS)的組合部署,實現(xiàn)(Telnet/FTP/Rlogin/HTTP/HTTPS/SSH/SFTP/RDP/VNC/Xwindows等)多協(xié)議會話代理、(PL-SQL、MS查詢分析器、DB2Quest、Radmin、PCAnywhere、ERP等)多種類應(yīng)用程序發(fā)布、運維操作審計、報文處理等服務(wù);
  
   設(shè)備控制層:由數(shù)據(jù)中心機房服務(wù)器、網(wǎng)絡(luò)安全、存儲、路由等IT基礎(chǔ)設(shè)備組成,基于WEB管理平臺進行統(tǒng)一集中控管。

本套網(wǎng)內(nèi)運維審計解決方案將ICS2000+VOS聯(lián)合部署于數(shù)據(jù)中心IT運營網(wǎng)絡(luò)中,無需調(diào)整和變動數(shù)據(jù)中心原有的網(wǎng)絡(luò)體系架構(gòu),即可實現(xiàn)對運維管理員運維操作的集中化管理及運維全過程的安全審計,能夠為數(shù)據(jù)中心建立全面的IT基礎(chǔ)設(shè)施網(wǎng)內(nèi)運維審計體系。

 


圖2 IT基礎(chǔ)設(shè)施網(wǎng)內(nèi)運維審計體系圖

   該網(wǎng)內(nèi)運維審計體系主要通過以下四方面,保證數(shù)據(jù)中心IT業(yè)務(wù)系統(tǒng)的穩(wěn)定運行以及數(shù)據(jù)信息的安全可靠:
  
  第一,變分散運維操作為集中運維管理
  
   目前許多數(shù)據(jù)中心原先通過分散客戶端實現(xiàn)對目標設(shè)備運維的模式,該模式存在很大的弊端:其一,必須在每臺運維客戶端預(yù)裝所有C/S架構(gòu)的運維工具;其二,運維工具版本需要更新時,只能逐一對每臺運維客戶端進行升級操作。
  
   針對現(xiàn)有數(shù)據(jù)中心運維工具種類多、運維人員不集中、區(qū)域分散、跨網(wǎng)絡(luò)等管理特點,本方案采用ICS2000與VOS聯(lián)合部署平臺,實現(xiàn)對眾多運維工具、多類客戶端程序的統(tǒng)一安裝部署與集中管理。該銀行運維人員僅需通過B/S模式的WEB管理平臺入口,建立與相應(yīng)運維通道的連接,即可實現(xiàn)對數(shù)據(jù)中心所有目標管理設(shè)備的集中化、一站式運維服務(wù)。這種集中運維管理模式極大減輕了運維人員工作壓力,顯著提高了數(shù)據(jù)中心的運維管理效率。
  
   第二,運維前主動防控――身份認證
  
   本方案提供了一套非常完善的身份管理與認證機制,把握和控制數(shù)據(jù)中心WEB管理平臺訪問入口,逐一驗證所有登陸用戶身份的有效性和合法性,加強操作源頭的安全防范,真正實現(xiàn)操作訪問前的主動防控管理,大大降低了重要業(yè)務(wù)信息數(shù)據(jù)的泄露風險。本方案支持用戶本地(WEB管理平臺)與第三方(如Radius、RSASecureID認證、LDAP/AD域)兩種認證渠道,在保證安全防范操作的同時,提高了用戶操作的靈活性與便捷性,更體現(xiàn)出系統(tǒng)強大的兼容性與擴展性。
  
   第三,運維中實時監(jiān)控――桌面監(jiān)控
  
   本方案提供代理、旁路偵聽等多種會話訪問管理方式,能夠積極、主動、直接地實現(xiàn)對數(shù)據(jù)中心運維人員業(yè)務(wù)操作行為的安全管控。對于核心業(yè)務(wù)操作或關(guān)鍵目標設(shè)備,運維人員通過監(jiān)控窗口可以實現(xiàn)單臺或多臺設(shè)備桌面的實時在線監(jiān)看,并支持多路監(jiān)視畫面矩陣窗口輪巡切換播放,監(jiān)看過程中如發(fā)生異?;蜻`規(guī)操作,運維人員可立即切換至設(shè)備接管狀態(tài),通過強制“中斷”結(jié)束非法會話。方案采用對訪問會話過程實時監(jiān)看、非法操作及時阻斷的操作策略,有效將數(shù)據(jù)中心網(wǎng)內(nèi)操作引起的安全風險扼殺于萌芽狀態(tài),從根本上杜絕了危害的擴張與蔓延。
  
   第四,運維后操作審計――安全審計
  
   本方案支持對WEB管理平臺內(nèi)一切運維行為(如協(xié)議類運維、WEB訪問、客戶端訪問以及數(shù)據(jù)庫訪問等)的遠程圖形化安全審計,會話過程中所有的操作步驟和操作細節(jié)均以錄像形式呈現(xiàn)給數(shù)據(jù)中心審計人員。同時支持關(guān)鍵字定位、數(shù)據(jù)庫關(guān)鍵語句與審計錄像關(guān)聯(lián)回放,實現(xiàn)運維操作過程的快速定位、精確跟蹤以及真實重現(xiàn),有助于審計人員對非法運維操作節(jié)點的排查及故障責任的追溯,促進數(shù)據(jù)中心實現(xiàn)運維安全管理的精細化、規(guī)范化。
  
   通過本方案的應(yīng)用,能夠最大程度滿足用戶在不同維度的內(nèi)網(wǎng)安全需求,減輕用戶的內(nèi)網(wǎng)運維審計操作復(fù)雜度和工作強度,保障大型數(shù)據(jù)中心和各類企事業(yè)單位運維安全,將隱患消滅于無形。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號