风信子运维安全审计系统金融行业解决方案

一、金融行业运维过程中遇到的挑战和需求

1、金融行业信息化现状

随着信息技术的发展,金融行业企业信息化建设不断加强。电子商务的逐渐推进也为金融行业带来了机遇,许多金融企业投入大量资金建立了比较先进的业务系统。 网上银行、手机银行等丰富多彩的金融信息服务是当今金融创新的重要内容,也是银行业竞争的主要服务领域之一。而几乎所有的证券公司都应用了网上交易系统, 网上交易系统的成本低、操作方便等特点被广大的股民所接受,随之而来的是各种交易量的相继上升。这些变化都为金融行业企业信息安全管理提出更高的要求。

2、金融行业IT运维管理现状及存在的安全隐患

2.1 运维人员复杂,帐号、密码难管控

参与金融行业企业机房里的设备运维操作的人员除了内部人员外,有时候还包括设备厂商人员,而且还存在分支机构的运维人员,他们大部分通过自己的电脑终端通过远程桌面或telnet等方式对设备进行访问,没有统一的登录入口,密码和登录行为无法管控。

2.2 运维人员高权限操作不透明

金融行业企业内部IT运维人员属于高权限人员,可以对其负责的设备进行任何操作,但对运维人员的操作行为无从跟从。

2.3 危险操作无法实时阻断

因为缺乏针对运维操作的安全防护手段,对于内部运维人员违规操作、误操作,黑客、外维人员恶意攻击、窃密无法实时阻断。

2.4 运维操作过程存在安全隐患

1.由误操作引起的关键应用服务异常甚至宕机

2.违规操作、恶意操作引起的敏感信息泄露或被篡改、破坏

3.操作事故无法快速定位责任人与事故原因

3、金融行业IT运维管理需求

金 融行业企业核心机密数据都存放在IT设备中,机密数据通常要经过一定的授权流程才能被访问使用。但在IT设备的日常维护过程中,维护人员可轻易的接触到大 部分甚至全部机密数据,存在着很大的信息安全漏洞。并且在维护的过程中,通常存在着多名维护人员共同拥有一个设备系统管理员帐号密码的情况,使得非法操作 无法跟踪、无法追溯,在企业内部信息系统运维管理流程中存在着巨大的安全漏洞。

为了保障金融行业用户IT基础设施的无间断运行,业务系统的运行无忧,防止机密信息泄漏,提升客户满意度,提升自身竞争力,金融行业企业存在以下急迫IT运维安全管理需求:

自身安全管理需求

− 设备密码统一管理,提高密码管理的安全性

− 集中管理各种操作行为,提高操作管理效率

− 统一身份认证,使操作者与操作行为一一对应

− 有效审计操作行为(真实记录、审计回放、实时监控)

− 有效监管设备厂商人员、代维人员的操作

− 发生操作事故能快速定位责任人与事故原因

合规性需求(使组织的信息安全管理符合信息安全相关标准、法规要求)

《信息安全等级保护管理办法》

--- 该办法要求组织对信息系统分等级实行安全保护,其中明确要求计算机信息系统创建和维护受保护客体的访问审计跟踪记录,并能阻止非授权的用户对它访问或破坏。

《塞班斯法案》( SOX )

--- 该法案要求在美国上市的公司不仅要保证其财务报表数据的准确,还要保证内控系统能通过相关审计。

《ISO27001标准》

--- 条款A10.10.4要求组织必须记录系统管理和维护人员的操作行为。