IT运维安全审计IT运维安全审计.docx

IT运维安全审计派拉IT运维安全管理中心概述派拉IT运维安全管理中心是针对企业IT运维的信息安全平台性产品。该产品是对企业内部IT基础架构资源的安全管理。通过清晰的帐号，认证，权限审批流程实现对IT基础设施帐号的申请、审批、操作进行有效的安全控制。并提供单点登录的功能，简化管理员的访问过程，实现操作审计，在增强安全性的同时，提高管理员的工作效率。OSC产品还具备特权使用管理的功能，在操作人员不知道特权账户口令的情况下，在授权时限内进行高权限操作，并全程审计。 派拉IT运维安全管理中心需求背景描述随着企业各项业务的发展，支撑企业业务运行的IT资源例如：服务器、数据库也越来越多，服务器帐号、个人帐号的数量、种类都在不停的增加。由于各个服务器所要求的密码安全策略各不相同，系统用户就会需要掌握多个帐号的用户名、密码，在更新密码的时候还需要去区分不同的服务器对应的不同的密码安全要求，在登录不同的系统时需要多次输入口令。一旦登录之后，进行非法命令操作，将不能进行有效的命令权限控制。目前对这些帐号的管理仍然停留在手工操作阶段，对整个用户帐号生命周期的创建、调整、注销、密码的更新等都是由对应服务器管理员、数据库管理员、网络管理员手动管理，存在工作量繁重，维护艰难，安全漏洞多等问题。对于这些日常操作，缺乏有效手段对这些日常工作的流程进行规范。同时，需要对这些用户帐号进行事前审批、事中监控、事后审计等合规性要求。很多企业都急迫的希望通过一个IT运维安全平台来进行统一的管理，来提高人员工作效率，保证信息系统稳定、安全、高效运行。通过多种策略和技术手段实现多种系统帐号的统一管理、实现日常化操作的流程、实现合规审计的规范化，从而实现帐号资源的自动化管理配置、优化、有效提高其安全性、可控性及可用性。整合资源，实现流程、人员、合规、审计的有机结合，通过提供理论、方法、技术、应用的一整套完整的解决方案，建立一套较为完整的身份管理体系，提高运维管理的整体效能。产品功能账号集中管理：对操作系统、数据库、网络设备等各种IT资源的帐号的集中控制和管理。实现账户，组的查询、创建、修改和删除。统一认证管理：用户只需要记住一个主帐号，可自动实现单点登录访问有权限访问的资源，且客户端无需安装任何客户端工具，这样便统一了登录的入口。支持多种认证方式：RSA、CA证书、PKI、Ukey、短消息一次性口令（OTP）、AD域、Ldap、静态口令等。统一认证管理：用户只需要记住一个主帐号，可自动实现单点登录访问有权限访问的资源，且客户端无需安装任何客户端工具，这样便统一了登录的入口。支持多种认证方式：RSA、CA证书、PKI、Ukey、短消息一次性口令（OTP）、AD域、Ldap、静态口令等。统一审计管理：集中收集、记录用户对业务支撑系统关键重要资源的使用情况。主要表现形式有：字符审计、图形化审计等；主要审计内容有：管理审计、操作行为审计、访问审计(字符审计、视频审计)、密码审计等。统一授权管理：基于集中资源访问策略、用户访问策略和角色的授权管理。对用户使用业务支撑系统中资源的具体情况进行合理分配，实现不同用户对不同部分实体资源的访问。例如对客户端IP、限制命令、可访问周期、可访问协议进行限定，也可以限定申请人使用特权帐号的周期。当周期结束，系统将强制退出账号密码管理：为企业建立统一的密码策略管理机制，实现受管系统运维账号密码定期定时密码过期提示，过期自动修改等策略。定期检查平台密码库和受管系统上账号密码的一致性，并为不一致的情况提供处理机制。对用普通用户提供密码自服务功能，户自服务修改受管系统运维账号密码，指定密码或随机生成密码。特权身份管理：包含特权密码管理、特权会话管理、特权命令的管理。业务价值派拉IT运维安全管理平台在实现企业传统的安全行为审计的基础上，进一步提出“账号管理、认证管理、审批管理、特权管理”的产品理念，从管理方法、管理对象以及管理流程等方面，实现企业从传统审计管理到集中化、统一化安全管理的战略转变。从企业管理对象角度来看，实现了企业中与IT资源相关的人的管理、操作行为的管理、设备信息的管理，如下：完整的生命周期管理解决方案。涵盖IT运维安全管理的所有领域，真正实现 “事前审批”，“事中控制”和“事后审计”的安全保护；扩展能力优越。支持RSA 认证集成、AD集成、Tivoli监控集成、硬件设备帐号的LDAP集成等功能，这是硬件盒子类产品无法比拟的；接口丰富。支持SSH、RDP、JDBC、HTTP、FTP、AD、LDAP、File、Web Service等几十种接口，可定制集成其它设备和软件；系统自身安全。系统按照严格的安全标准进行设计与研发，系统无单点故障，保障整个IT运维环境的安全性。满足安全规范要求。满足我国颁发的信息安全等级保护条例、企业内部控制基本规范，以