一、金融行业操作行为风险管理现状和面临挑战
网络信息技术的进步是推动金融业务发展的引擎,而随着网络技术的不断发展,金融业务、服务、应用的不断增多,网络安全风险也日益暴露了出来,对网络安全的风险控制和防范管理也已经成为金融安全信息化建设重点考虑的一步。根据《银行业金融机构信息系统风险管理指引》第25条:银行业金融机构应加强网络安全管理。生产网络与开发测试网络、业务网络与办公网络、内部网络与外部网络应实施隔离;加强无线网、互联网接入边界控制;使用内容过滤、身份认证、防火墙、病毒防范、入侵检测、漏洞扫描、数据加密等技术手段,有效降低外部攻击、信息泄露等风险。但这些产品的使用只是解决了一部分安全问题,对于已得到授权的人员的违规操作或误操作却无能为力。根据资料统计,在对企业造成严重损害的案例中,有 70%是企业内部人员所为。
二、项目背景和用户需求
某银行的IT核心系统为总部和分部双中心互备网络方式组网。有大量的主机、网络设备和应用系统,服务用户规模庞大,如此众多的设备都是由有限的维护工程师和第三方合作伙伴的代维工程师进行维护管理的,维护量和工作压力极大。随着银行信息化建设的逐渐成熟,对IT系统的运维管理也提出了更高的要求。鉴于金融行业的特殊政策环境,对于运维人员访问和操作内部服务器及各种应用的行为需要进行更加严格的管理。
随着维护集中化水平不断提高以及快速处理故障的需要,运维人员往往可以采用多种方式,分散的接入系统。同时,由于维护设备厂商、运维人员众多,对于维护手段、操作权限、维护账号缺乏有效的控制手段,更无法有效的对操作过程和结果进行审计,导致对安全事故的责任无法明确。
因此如何有效的监控运维人员的操作行为,并对维护过程进行严格的审计是江苏邮政面临的关键问题。
三、索特安全内控解决方案
为了解决以上问题,索特科技建议某银行建设一套安全内控系统,实现对银行内各系统主机、网络设备、业务系统进行统一维护,通过对所有维护行为的控制和管理,提高维护操作的安全性,减少安全事故的发生。
该系统涵盖了不同厂商的各种服务器、主机、网络设备、安全设备、平台系统等的综合维护接入,实现对维护操作的集中控制;该系统支持常用的字符界面、图形界面等设备维护方式,具备较强的访问控制能力,能够在核实人员真实身份的基础上,控制其能够访问的主机、网络及业务系统,防范越权访问;同时,该系统能够记录运维人员的操作行为,为安全审计和事件调查提供资料。
通过实施安全内控系统,可以帮助企业达到以下目的:
实现维护接入的集中化管理,对运行维护进行统一管理,包括运维人员身份管理、设备账号管理。
实现运维人员统一权限管理,解决操作者合法访问被管资源的问题,避免可能存在的越权访问,建立有效的访问控制。
实现运维操作审计,对运维人员的操作进行全程监控和记录,实现运维操作的安全审计,满足信息安全审计要求。
综上所述,安全内控系统在各系统访问控制功能的基础上,又增加了一层统一的认证授权、访问控制、操作审计机制,实现维护操作的事先授权、事中监控、事后审计。从而规范运维人员操作行为,提升对运维操作的监管能力,提高信息安全管理水平。
四、部署方式
经过广泛的研究和深入的技术交流后,某银行最终选择了索特科技为其构建安全内控系统。
某银行在总部数据中心和分部备份数据中心各部署了两套SAG(安全访问网关)和AVS(虚拟应用服务器)。对运维人员访问内部网络系统和数据进行管理和审计,对特殊的应用提供双人权限控制管理。
SAG支持集中的身份管理认证中心,正常情况下总部、分部两个数据中心的用户、资源、账号、授权信息都通过认证中心完成。
为了避免单点故障,每个数据中心SAG系统定期从身份管理认证中心同步数据,在认证中心连接不上时通过本地数据进行认证,避免单点故障保证业务连续性。
维护人员在进行维护操作时,首先登录到SAG系统,SAG系统根据登录用户的权限,提供该用户所能访问的主机与网络设备列表,SAG系统能够实时、完整地记录维护人员的操作;能够通过设定访问策略来控制维护人员的访问目标和可以使用的操作命令。
五、应用效果
某银行在使用安全内控系统后,安全访问网关账号和运维人员真实身份对应,实现了维护操作对应到人的要求,并且能够在核实运维人员真实身份的基础上,控制其能够访问的各业务支撑系统,以及能够使用的应用,防范越权访问;对于预定义的高危操作,实现了及时阻断操作并告警;安全访问网关通过文本和视频方式,完整的记录了运维人员和第三方人员的所有维护操作,对于维护操作的原始日志,实现了快速检索,方便事后的责任调查。
