摘要：隨著云計算、社交網(wǎng)絡、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)以及電子商務的發(fā)展，一個24小時在線的時代(Connected 24 hours Era：C時代)已經(jīng)來臨。C時代下，面對規(guī)模化的IT基礎設施、日益復雜的應用系統(tǒng)、不斷更新及交換的海量數(shù)據(jù)，金融業(yè)數(shù)據(jù)中心業(yè)務運營的穩(wěn)定性與安全性在行業(yè)競爭舞臺上扮演越來越重要的角色，數(shù)據(jù)中心IT設施運維風險控制成為業(yè)界管理者重點關注的問題之一。

 

【行業(yè)發(fā)展背景】

　　隨著云計算、社交網(wǎng)絡、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)以及電子商務的發(fā)展，一個24小時在線的時代(Connected 24 hours Era：C時代)已經(jīng)來臨。C時代下，面對規(guī)�；�的IT基礎設施、日益復雜的應用系統(tǒng)、不斷更新及交換的海量數(shù)據(jù)，金融業(yè)數(shù)據(jù)中心業(yè)務運營的穩(wěn)定性與安全性在行業(yè)競爭舞臺上扮演越來越重要的角色，數(shù)據(jù)中心IT設施運維風險控制成為業(yè)界管理者重點關注的問題之一。

　　C時代的來臨，同時推動著新一代數(shù)據(jù)中心運維安全控管的發(fā)展，打造更高安全性的數(shù)據(jù)中心，并非IT廠商的概念噱頭，而是金融數(shù)據(jù)中心管理者和使用者真實的需求。

　　金融與IT的融合創(chuàng)新，幫助轉(zhuǎn)型期的金融行業(yè)應對市場化挑戰(zhàn)。

　　【業(yè)務現(xiàn)狀及需求分析】

　　Ø 對下級機構(gòu)運維過程缺少有效的技術監(jiān)管手段

　　金融行業(yè)組織機構(gòu)龐大，地域空間分布極為分散，省級總行與眾多地市級支行之間的業(yè)務互聯(lián)與數(shù)據(jù)信息交換基于復雜的廣域網(wǎng)技術體系實現(xiàn)。然而，對于各地市級支行數(shù)據(jù)中心運維安全、內(nèi)控風險的管理，省行僅采用制度及規(guī)范予以約束，人工方式進行監(jiān)督，管理效果欠佳，效率低下，缺乏行之有效的技術輔助手段。

　　Ø 運維入口眾多、運維通道獨立、運維工具分散

　　金融業(yè)數(shù)據(jù)中心常規(guī)的運維模式是由省市各層各級運維人員基于本地客戶端啟用RDP/VNC/TELENT等遠程協(xié)議工具直接訪問數(shù)據(jù)中心目標設備，展開會話操作。這種運維模式導致運維入口眾多(一臺客戶端提供一個運維入口)、運維通道相互獨立(不同協(xié)議工具建立不同運維通道)、運維工具部署分散(協(xié)議工具分別安裝于各運維客戶端)，造成網(wǎng)內(nèi)運維環(huán)境安全難以管理的局面。

　　Ø 行業(yè)新標準的運用催生出多人核實管理機制

　　金融行業(yè)安全等級保護基本要求規(guī)定，對于數(shù)據(jù)中心核心設備及關鍵業(yè)務系統(tǒng)等此類高風險運維操作，需采用多人核實機制(即在同時獲得兩人以上授權(quán)前提下，才能實施相應會話)，以提升運維操作行為合規(guī)性控制的細粒度。

　　Ø 審計手段不全面，審計信息不直觀

　　現(xiàn)有的審計手段是基于操作系統(tǒng)日志的審計，只能定位到訪問設備的IP地址、用戶、時間等基本信息，無法準確、直觀追溯運維人員在目標設備上的會話過程，無法對事故原因進行客觀還原。

　　【方案概述及部署】

　　針對金融行業(yè)的業(yè)務需求及業(yè)務現(xiàn)狀，德訊科技提供一套IT設施運維操作安全審計(堡壘主機)解決方案。采用“DCLive+ICS”聯(lián)合部署模式為各地市級運維人員提供一個統(tǒng)一的操作平臺，突破地域、時空、時間的限制，基于WEB瀏覽器即可實現(xiàn)對數(shù)據(jù)中心IT設施的相關運維需求，如字符型會話、圖形訪問、數(shù)據(jù)庫管理及其他應用類運維操作。

　　此外，方案為省級總行管理人員提供一個集中化的審計平臺，事中可實時監(jiān)視系統(tǒng)內(nèi)所有會話訪問與操作行為，事后第一時間可及時審查整個運維過程。該方案從技術上實現(xiàn)金融行業(yè)數(shù)據(jù)中心“分布式運維操作，集中式監(jiān)控審計”的安全管理目標。

　　方案部署如圖1所示：

 

系統(tǒng)部署特點：

　　Ø 利用原有網(wǎng)絡拓撲架構(gòu)，安裝部署簡便，無需加裝任何客戶端代理，不影響任何業(yè)務數(shù)據(jù)流;

　　Ø ICS設備分布式部署于各地級市支行，實現(xiàn)本地化運維，獨立化操作，互不干擾;

　　Ø 兩臺ICS共同分擔局域網(wǎng)內(nèi)并發(fā)會話的壓力，實現(xiàn)各分支網(wǎng)絡負載均衡;

　　Ø 省級中心機房DCLive管理平臺，實現(xiàn)對下級分支機構(gòu)所有運維過程的集中監(jiān)視、控制、管理與審計;

　　Ø DCLive主備兩臺設備HA部署，保障數(shù)據(jù)完整性以及整個系統(tǒng)的防災恢復。

　　【應用價值】

　　Ø 提供統(tǒng)一的運維平臺

　　方案提供統(tǒng)一WEB管理入口，對登陸用戶身份的合法性實施統(tǒng)一認證;系統(tǒng)自帶字符類/圖形類/應用類多種運維工具，無需運維客戶端自行安裝，避免運維過程中出現(xiàn)工具不全面，版本不兼容的問題;支持會話代理訪問通道的建立，改變原有本地客戶端直接發(fā)起會話的運維模式，對運維過程實現(xiàn)有效監(jiān)控與審計。

 

Ø 雙人授權(quán)訪問控制

　　依據(jù)行業(yè)安全等級保護標準，方案實現(xiàn)雙人授權(quán)訪問控制策略管理。權(quán)限范圍內(nèi)的任何一人登陸運維平臺，通過身份認證，也不能獨自執(zhí)行會話操作，需要得到策略內(nèi)另一用戶的授權(quán)。系統(tǒng)支持本地口令輸入及遠程身份認證兩種授權(quán)方式。主要通過提升授權(quán)管理的細粒度，保障核心設備、關鍵業(yè)務以及第三方運維操作的合規(guī)性、安全性。

　　Ø 事后全面審計，保證操作留痕

　　方案提供網(wǎng)內(nèi)運維管理全生命周期的審計，即采用流媒體形式記錄運維人員登陸運維網(wǎng)關至登出運維網(wǎng)關的全過程，支持對字符、圖形、數(shù)據(jù)庫、WEB應用等多種類型會話的全面審計。審計結(jié)果如圖3所示：

審計結(jié)果以操作日志及錄像相結(jié)合的形式呈現(xiàn)，符合4W (When/Where/Who/What)原則。同時，支持錄像回放、SQL語句、關鍵字符與審計錄像關聯(lián)定位與檢索，實現(xiàn)運維操作過程的快速定位、精確跟蹤以及真實重現(xiàn)，協(xié)助審計人員對非法運維操作節(jié)點的排查及故障責任的追溯，提升數(shù)據(jù)中心精細化、規(guī)范化的運維安全管理水平。

標簽： 安全 標準 電子商務 電子商務的發(fā)展 互聯(lián)網(wǎng) 機房 金融 媒體 權(quán)限 數(shù)據(jù)庫 網(wǎng)絡 問題 行業(yè) 移動互聯(lián) 移動互聯(lián)網(wǎng) 用戶 云計算 轉(zhuǎn)型

版權(quán)申明：本站文章部分自網(wǎng)絡，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。