德讯安全运维解决方案为银行业保驾护航

德讯安全运维解决方案为银行业保驾护航。

近年来，银行业从业者一直在提“未来银行”的概念。

未来银行将是怎样的？从用户的角度而言，未来银行将更为安全、便捷、智能。比如说，银行的ATM机能像麦当劳汽车餐厅一般实现无需停车即可办理业务的便捷模式；比如说，人们无需再在同一银行办理借记卡和贷记卡，只需一卡即可实现全部的金融需求。

在金融从业者的构想和用户的期望中，未来银行，意味着更美好的金融服务体验。对于金融数据运维工作人员而言，这就意味着需要实现更高的运维安全需求。

通往未来银行之路上，德讯科技ICS运维操作审计（堡垒主机）解决方案可从技术层面提供全方位、一体化的安全防范与控制手段，帮助银行业提升信息安全风险防御能力，满足信息化业务现状和需求。

德讯科技ICS运维操作审计（堡垒主机）解决方案基于COBIT标准框架，主要从影响银行运维操作安全的四大要素（主体、对象、工具、行为）入手，提供“认证、监控、审计、评估”管理手段，为数据中心构建一套“事前预防、事中监控、事后审计”的网内安全运维监管体系，实现“运维集中化、操作规范化、风险最小化”的管理目标。

其安全运维监管模型如图1所示：

图1 安全运维监管模型

本方案系统部署如图2所示：

图2 系统部署示意图

本方案具备以下五个系统部署特点：

利用原有网络拓扑架构，安装部署简便，无需加装任何客户端代理，不影响任何业务数据流；

将ICS设备部署于核心交换机位置，实现对网络内所有服务器及网络设备的会话访问；

单台ICS设备最大支持500路字符会话及200路图形会话的并发访问压力，小规模的数据中心通常只需配置一台ICS设备；

ICS主备两台设备HA部署，保障数据的完整性及整个系统的防灾恢复；

基于ICS WEB管理平台，运维人员可随时随地对数据中心内的IT设备实施运维、审计等管理操作。

德讯科技ICS运维操作审计（堡垒主机）解决方案，具备以下四大应用特性：

提供统一管理平台，实现运维工具集中管理

方案提供统一的WEB管理入口，对登陆用户身份的合法性实施统一认证；系统自带字符类/图形类/应用类多种运维工具，无需运维客户端自行安装，避免运维过程中出现工具不全面，版本不兼容等问题；支持会话代理访问通道的建立，改变原有本地客户端直接发起会话的运维模式，提供集中化、一站式运维服务，并对运维过程实现有效的监控与审计。

运维前主动防控――运维主体身份识别与认证

方案提供了一套非常完善的身份管理与认证机制，把握和控制该数据中心WEB管理平台访问入口，逐一验证所有登陆用户身份的有效性和合法性，加强操作源头的安全防范，真正实现操作访问前的主动防控管理，大大降低了该银行重要业务信息数据泄露的风险。方案支持用户本地（WEB管理平台）与第三方（如Radius、RSASecureID认证、LDAP/AD域）两种认证渠道，在保证安全防范操作的同时，提高了用户操作的灵活性与便捷性，同时体现出系统强大的兼容性与扩展性。

运维中实时监控――运维行为实时监管与控制

本方案为中小银行数据中心运维人员的业务操作行为提供了一个积极、主动、直接的安全管控手段。基于矩阵窗口模式（如2*2、4*4）实现会话过程的实时监控，支持多路监视画面轮询切换以及具体画面的锁定与缩放，对于异常、可疑、违规操作可及时制止并实施阻断操作。有效提高中小银行网内操作风险管理效率，提升风险防范及时性与可预见性，创建一个事中实时监督系统。

运维后全面审计――目标对象运维过程审计，保证操作留痕

方案提供网内运维管理全生命周期的审计，采用流媒体形式记录运维人员登陆运维网关至登出运维网关的全过程，支持对字符、图形、数据库、WEB应用等多种类型会话的全面审计。

审计结果以操作日志及录像相结合的形式呈现，严格遵循4W(When/Where/Who/What)原则。同时，支持录像回放、SQL语句、关键字符与审计录像关联定位与检索，实现运维操作过程的快速定位、精确跟踪以及真实重现，协助审计人员对非法运维操作节点的排查及故障责任的追溯，提升数据中心精细化、规范化的运维安全管理水平。