證券行業(yè)解決方案
業(yè)務(wù)特點(diǎn)
隨著信息化建設(shè)的快速發(fā)展,某證券已經(jīng)建立起一定規(guī)模的信息化系統(tǒng),它們都非常重要,涉及證券業(yè)務(wù)運(yùn)營(yíng)、日常辦公等方方面面。
網(wǎng)絡(luò)中已經(jīng)部署了防火墻、IDS、防病毒等各類安全產(chǎn)品和設(shè)備,并且采用了如網(wǎng)絡(luò)邊界劃分、強(qiáng)化邊界訪問(wèn)控制等多種防護(hù)手段。證券會(huì)有明文規(guī)定,要降低“老鼠倉(cāng)”發(fā)生的可能,實(shí)際上對(duì)現(xiàn)有的各種審計(jì)和控制措施提出新的要求。
某證券IT系統(tǒng)主要在證通機(jī)房和總部機(jī)房,日常運(yùn)維人員管理對(duì)象包括各核心業(yè)務(wù)系統(tǒng)、防火墻、交換機(jī)、路由器、服務(wù)器。常用的運(yùn)維協(xié)議于工具包括telnet、SSH、ftp、SFTP、http/https、Radmin、RDP、VNC、PcAnywhere等。
目前的管理模式為分布式管理,運(yùn)維人員從各自電腦設(shè)備發(fā)起對(duì)需要維護(hù)的設(shè)備進(jìn)行操作。
多人使用同一賬號(hào),系統(tǒng)運(yùn)維部門工程師眾多,按照管理類型分為系統(tǒng)管理員、網(wǎng)絡(luò)管理員、數(shù)據(jù)庫(kù)管理員、安全管理員等,它們都可能會(huì)具有每臺(tái)主機(jī)的管理權(quán)限,一旦主機(jī)出現(xiàn)因?yàn)檫\(yùn)維導(dǎo)致的故障或數(shù)據(jù)丟失等問(wèn)題,無(wú)法明確具體責(zé)任人,也無(wú)法快速定位問(wèn)題原因,迅速恢復(fù)故障,以致帶來(lái)巨大的損失。
簡(jiǎn)單密碼,容易破解和猜測(cè)
----目前我公司大量主機(jī)、網(wǎng)絡(luò)設(shè)備的管理員密碼都由運(yùn)維人員管理,難以控制密碼強(qiáng)度,難以滿足證監(jiān)會(huì)等相關(guān)機(jī)構(gòu)對(duì)于系統(tǒng)密碼復(fù)雜度的要求;
定期修改密碼的管理策略難以執(zhí)行
----我公司有定期修改管理員密碼的相關(guān)制度,但每次修改密碼都涉及各臺(tái)設(shè)備,執(zhí)行起來(lái)工作量大也十分繁瑣;
修改后的密碼最終以文本形式存放,存在泄漏的隱患
----密碼掌握在運(yùn)維人員手中,本身就不安全;大量的密碼掌握在各類系統(tǒng)維護(hù)人員手里,本身就存在濫用、泄漏等安全隱患。
操作權(quán)限無(wú)法控制
----某證券的核心業(yè)務(wù)系統(tǒng)除本公司運(yùn)維人員本地運(yùn)維外,還需接受來(lái)自營(yíng)業(yè)部及分支機(jī)構(gòu)運(yùn)維人員的遠(yuǎn)程登入管理;同時(shí)還有來(lái)自互聯(lián)網(wǎng)的運(yùn)維訪問(wèn),主要由廠家工程師和本公司運(yùn)維人員遠(yuǎn)程VPN接入?yún)⑴c運(yùn)維和緊急故障處理;存在運(yùn)維人員嚴(yán)重不可控以及參與運(yùn)維人員復(fù)雜而眾多的現(xiàn)實(shí)情況,導(dǎo)致運(yùn)維行為無(wú)法監(jiān)控,不能及時(shí)了解所有登陸設(shè)備的詳細(xì)運(yùn)維情況;
無(wú)意執(zhí)行了危險(xiǎn)操作,如:重啟
----業(yè)務(wù)網(wǎng)設(shè)備如果在交易時(shí)間發(fā)生服務(wù)停止、重啟等動(dòng)作,將嚴(yán)重影響某證券的業(yè)務(wù)運(yùn)營(yíng),而目前對(duì)運(yùn)維人員無(wú)意執(zhí)行的危險(xiǎn)操作無(wú)任何提醒和限制手段;
越權(quán)操作
----只要知道系統(tǒng)管理員帳號(hào),就可以做任何操作,而無(wú)法精細(xì)控制該管理員的執(zhí)行權(quán)限,即無(wú)法定義每個(gè)運(yùn)維人員的操作權(quán)限,從而也無(wú)法控制越權(quán)操作。
PC直接遠(yuǎn)程連接關(guān)鍵服務(wù)器,容易遭受攻擊、病毒傳染
----目前在辦公網(wǎng)、交易網(wǎng)的PC都是通過(guò)網(wǎng)絡(luò)直接與服務(wù)器的,一旦PC感染蠕蟲等網(wǎng)絡(luò)型病毒,極易對(duì)服務(wù)器產(chǎn)生影響。
遠(yuǎn)程維護(hù)地點(diǎn)無(wú)法控制
----目前對(duì)運(yùn)維人員連接服務(wù)器時(shí)的來(lái)源地址無(wú)控制手段,也就很難控制在系統(tǒng)管理員密碼被泄露或外部支持人員遠(yuǎn)程維護(hù)時(shí),登錄系統(tǒng)的實(shí)際用戶身份。
運(yùn)維人員在什么時(shí)間、什么地點(diǎn)訪問(wèn)服務(wù)器,都在服務(wù)器上做了哪些操作?現(xiàn)有審計(jì)手段無(wú)法準(zhǔn)確定位事故原因。目前針對(duì)系統(tǒng)運(yùn)維管理人員的審計(jì)只能定位到登陸服務(wù)器的IP地址、用戶、時(shí)間等基本信息,無(wú)法準(zhǔn)確了解運(yùn)維人員登陸服務(wù)器后的具體操作行為,無(wú)法達(dá)到對(duì)運(yùn)維行為進(jìn)行操作留痕的審計(jì)基本要求。
外包人員權(quán)限如何控制
----我公司系統(tǒng)運(yùn)維人員中還有部分的第三方運(yùn)維人員,他們?cè)谧鱿到y(tǒng)維護(hù)時(shí),通常是由內(nèi)部人員幫其輸入管理員密碼,而此后他們對(duì)系統(tǒng)所做的操作缺乏應(yīng)用的控制和審計(jì)。
外包人員維護(hù)帳號(hào)泄漏
----還有少量長(zhǎng)期合作的第三方運(yùn)維人員,他們掌握了一部分系統(tǒng)的管理員密碼,他們只要能接入內(nèi)網(wǎng),就能登錄到各系統(tǒng),如果他們所掌握的管理員密碼泄漏,則存在極大的安全風(fēng)險(xiǎn)。
離職人員惡意行為
----我公司系統(tǒng)運(yùn)維人員中還有部分的第三方運(yùn)維人員和設(shè)備廠商定期巡檢的技術(shù)支持人員,對(duì)這些非本系統(tǒng)運(yùn)維人員的運(yùn)維行為非常有必要進(jìn)行監(jiān)控以及審計(jì),滿足對(duì)外來(lái)人員訪問(wèn)核心系統(tǒng)操作的知情權(quán)。
總結(jié)起來(lái),我們將我公司運(yùn)維安全問(wèn)題概括為認(rèn)證、授權(quán)和審計(jì)三個(gè)方面。
根據(jù)某證券系統(tǒng)運(yùn)維安全審計(jì)的需求,我方推薦使用江南科友的運(yùn)維安全審計(jì)系統(tǒng)HAC 1000與運(yùn)維審計(jì)應(yīng)用發(fā)布系統(tǒng)HAC1000-V。
在服務(wù)器區(qū)域核心分別部署1臺(tái)HAC 1000和1臺(tái)HAC1000-V,部署的具體情況如下:
部署方式均為單臂旁路模式,連接在核心交換機(jī)上;
部署的唯一條件是HAC 1000、HAC1000-V與被管理的設(shè)備之間IP可達(dá),協(xié)議可訪問(wèn);
HAC 1000是運(yùn)維操作的唯一入口,使用訪問(wèn)控制策略(防火墻、ACL等)限制運(yùn)維用戶只能訪問(wèn)HAC 1000,不能直接訪問(wèn)后臺(tái)主機(jī);
運(yùn)維用戶使用唯一的用戶賬號(hào)登錄HAC 1000A,然后HAC 1000A根據(jù)配置管理員預(yù)先設(shè)置好的訪問(wèn)控制規(guī)則,提示用戶選擇可以訪問(wèn)的目標(biāo)設(shè)備和相應(yīng)系統(tǒng)賬號(hào),用戶選擇完成后會(huì)自動(dòng)登錄到目標(biāo)設(shè)備。
HAC設(shè)備也可選擇雙機(jī)負(fù)載均衡方式
VDH設(shè)備上可以發(fā)布需要審計(jì)的系統(tǒng)工具,如:IE、Radmin、VNC、Pcanywhere等,并在HAC上對(duì)用戶進(jìn)行授權(quán)和審計(jì)。
VDH有以下主要功能和特點(diǎn):
*與HAC配合,能很好地支持各種協(xié)議或應(yīng)用,能實(shí)現(xiàn)認(rèn)證、授權(quán);
*對(duì)圖形界面的會(huì)話操作,可對(duì)鍵盤輸入或界面文字進(jìn)行基于關(guān)鍵字的查詢檢索;
*具有很好擴(kuò)展性,通過(guò)對(duì)VDH的加裝應(yīng)用,支持各種應(yīng)用;
*系統(tǒng)自身有廠商維護(hù)和加固,有很好的安全性。
HAC能夠與OA系統(tǒng)進(jìn)行交互,OA系統(tǒng)進(jìn)行變更工單的管理,HAC根據(jù)變更工單的內(nèi)容控制用戶對(duì)服務(wù)器資源的操作訪問(wèn),結(jié)合HAC,改善原有變更管理流程,將變更工單申請(qǐng)、執(zhí)行和審核流程結(jié)合到HAC中。
變更工單申請(qǐng)過(guò)程讀取HAC的配置,從中選擇運(yùn)維用戶、訪問(wèn)資源和賬戶等信息,加入到變更工單申請(qǐng)內(nèi)容中;
變更工單執(zhí)行過(guò)程分為:傳輸、轉(zhuǎn)換、運(yùn)行和反饋四個(gè)子過(guò)程;
變更工單審核過(guò)程通過(guò)HAC的審計(jì)平臺(tái)來(lái)實(shí)現(xiàn)。
*實(shí)現(xiàn)統(tǒng)一運(yùn)維認(rèn)證賬號(hào)分配、統(tǒng)一應(yīng)用系統(tǒng)賬號(hào)管理、統(tǒng)一對(duì)運(yùn)維人員授權(quán);
*實(shí)現(xiàn)運(yùn)維賬號(hào)認(rèn)證,集成LDAP、動(dòng)態(tài)口令、證書等認(rèn)證方式;可訪問(wèn)資源列表、系統(tǒng)賬號(hào)托管(運(yùn)維人員無(wú)須知道后臺(tái)系統(tǒng)密碼)、可控制訪問(wèn)資源時(shí)間、對(duì)敏感操作的實(shí)時(shí)阻斷和告警;
*運(yùn)維行為審計(jì)、報(bào)表;操作錄像;針對(duì)命令行的操作索引和回放;
*通過(guò)HAC的主-主模式,實(shí)現(xiàn)2個(gè)機(jī)房的互為冗余備份;正常工作時(shí),各自區(qū)域運(yùn)維用戶通過(guò)本地HAC登錄,當(dāng)某個(gè)機(jī)房HAC出現(xiàn)故障時(shí),該區(qū)域運(yùn)維用戶自動(dòng)切換到另外一個(gè)機(jī)房的HAC進(jìn)行登錄;兩套HAC之間的配置自動(dòng)進(jìn)行同步;
HAC能夠與OA系統(tǒng)進(jìn)行交互,OA系統(tǒng)進(jìn)行變更工單的管理,HAC根據(jù)變更工單的內(nèi)容控制用戶對(duì)服務(wù)器資源的操作訪問(wèn),結(jié)合HAC,改善原有變更管理流程,將變更工單申請(qǐng)、執(zhí)行和審核流程結(jié)合到HAC中。