高(gāo)校統一(yī)安全管理與運維審計解決方案
行業(yè)痛點及需求

随著(zhe)校園的數字化、信息化建設的逐步深入,校園内的各種信息資源整合已經進入全面規劃和實施階段,如校園一(yī)卡通(tōng)以結合學校正在進行的身份認證、人事(shì)、學工(gōng)等MIS和應用系統等建設。通(tōng)過共同的身份認證機(jī)制,實現數據管理的集成與共享,使校園一(yī)卡通(tōng)系統成為(wèi)校園信息化建設有機(jī)的組成部分。通(tōng)過這樣的有機(jī)結合,為(wèi)系統間的資源共享打下(xià)基礎。

信息的高(gāo)度集中使數據的安全性越來越被重視,作為(wèi)關乎國(guó)家興衰的教育行業(yè),一(yī)旦數據洩露,必将對社會(huì)産生(shēng)不良影響,成為(wèi)輿論和媒體關注的熱點問題。在巨大商業(yè)利益的驅使下(xià),教育行業(yè)的數據庫要面臨來自(zì)内部威脅和外部威脅的雙重包夾,特别是以商業(yè)為(wèi)目的的非法“入侵”行為(wèi),不僅給學校的公衆形象和權威信任帶來嚴重影響,甚至洩露個(gè)人信息損害學生(shēng)的個(gè)人利益, 為(wèi)教育事(shì)業(yè)又(yòu)增加了不和諧的色彩。

結合目前高(gāo)校信息化發展所面臨的安全現狀,在運維管理方面主要存在以下(xià)幾點風險: 

1. 管理現狀問題:支撐高(gāo)校行業(yè)運行的IT系統主要由大量的網絡設備、主機(jī)系統和應用系統組成,這些設備和系統從(cóng)應用角度來分又(yòu)分别屬于不同的部門(mén),網絡設備、主機(jī)系統等分别具備獨立的用戶管理、認證授權和審計系統,且由不同的系統管理員(yuán)負責維護和管理,維護人員(yuán)面對這些系統時,工(gōng)作複雜(zá)程度很大;

2. 授權不清問題:在這種高(gāo)校行業(yè)體系中,IT運維最佳實踐的用戶最小(xiǎo)權限分配原則,由于各系統單獨授權,無法嚴格執行,同時,随著(zhe)業(yè)務系統的增加,用戶的增加,用戶授權管理工(gōng)作也變得相(xiàng)當複雜(zá),系統安全性受到(dào)威脅;

3. 共享賬号隐患:為(wèi)了降低(dī)管理複雜(zá)度和難度,有些帳号被多(duō)人共用,這些帳号的擴散不容易控制,安全事(shì)故也多(duō)由于這種帳号共用發生(shēng);

4. 密碼簡單隐患:對于維護人員(yuán)來講,頻繁的切換系統,需要輸入不同系統的用戶名和口令進行登錄,為(wèi)了便于記憶,常有維護人員(yuán)會(huì)采用比較簡單的口令或多(duō)個(gè)系統使用同樣的口令,緊急情況下(xià)還(hái)可能(néng)将自(zì)己的用戶名和口令共享給他人使用,這些都對整個(gè)系統的安全性産生(shēng)極大威脅;

5. 缺乏集中日志(zhì)審計:由于各個(gè)系統獨立運行,對于系統運行日志(zhì)、維護人員(yuán)操作審計也隻能(néng)分系統獨立進行,系統發生(shēng)故障時,必須逐個(gè)系統去排查問題,無法進行統一(yī)集中的問題排查,極大的降低(dī)工(gōng)作效率,也造成了損失擴大的可能(néng)性。

我們的方案


堡壘機(jī)技(jì)術(shù)作為(wèi)目前内網安全最前沿、最核心和最全面的技(jì)術(shù)趨勢,針對對高(gāo)校信息中心的核心服務器(qì)、數據庫、交換機(jī)等設備資源,提供了最核心的監控和保護。

賬号集中管理
提高(gāo)管理有效性 堡壘機(jī)會(huì)建立一(yī)套新的用戶體系,完全替代原有各系統獨立管理的用戶體系,前端用戶直接對應到(dào)維護人員(yuán),後端用戶直接對應到(dào)原各個(gè)系統用戶,提供集中可實名的用戶管理機(jī)制。通(tōng)過統一(yī)用戶信息維護入口,保證各系統的用戶帳号信息的唯一(yī)性和同步更新; 
集中認證和訪問控制
提高(gāo)運維安全 集中認證實現用戶訪問信息系統的認證入口集中化和統一(yī)化,采用高(gāo)強度的認證方式,使整個(gè)信息系統的登錄和認證行為(wèi)可控制及可管理,從(cóng)而提升業(yè)務連續性和系統安全性。 集中訪問控制為(wèi)維護人員(yuán)提供統一(yī)的系統和設備入口,提供訪問控制功能(néng),有效的解決運維人員(yuán)的操作問題,降低(dī)相(xiàng)關信息系統的安全風險;
集中操作審計
提高(gāo)事(shì)後溯源,定位能(néng)力 能(néng)夠動态實時的捕獲用戶操作數據流,集中審計模塊将審計到(dào)的數據包進行邏輯重組,恢複和還(hái)原用戶的遠(yuǎn)程訪問操作過程,自(zì)動以Session方式記錄;日志(zhì)審計中心提供功能(néng)強大的搜索引擎,為(wèi)用戶實現對時間、登錄地址、主機(jī)地址、主機(jī)帳号、用戶操作命令等多(duō)種豐富的查詢條件(jiàn),快速定位符合監控規則的Session日志(zhì),恢複操作現場。 集中授權提供統一(yī)的信息系統授權管理,對所有被管信息資源授權進行标準化的管理,精細的權限分配策略保證管理員(yuán)可以授予不同用戶合适的權限,最大程度的符合最小(xiǎo)權限分配原則,極大限度的保護了信息支撐系統資源的安全。集中安全審計提供集中的日志(zhì)審計,能(néng)關聯用戶的操作行為(wèi),對非法登錄和非法操作快速發現、分析、定位和響應,為(wèi)安全審計和追蹤提供依據。

部署方式

方案優勢
成熟穩定

十年(nián)以上(shàng)時間的市(shì)場驗證和技(jì)術(shù)積累,在複雜(zá)應用生(shēng)産環境中部署過大量的成功案例,教育行業(yè)案例衆多(duō),包括:上(shàng)海交通(tōng)大學、上(shàng)海财經大學、武漢大學、華中科技(jì)大學、西(xī)安交通(tōng)大學等知名大學

安全可靠
同時提供兩套能(néng)夠獨立應用并且功能(néng)完備的統一(yī)操作運維平台,設備HA可以做到(dào)配置和審計日志(zhì)實時同步;
極強的網絡環境适應性,實現綠色部署、不改動原有網絡拓撲、支持集群部署、支持跨網段部署;

系統開(kāi)發更新遵循安全軟件(jiàn)開(kāi)發生(shēng)命周期流程,實現版本化管理,每次叠代升級确保滿足最佳實踐。

技(jì)術(shù)先進
支持本地認證、AD域認證、Radius認證、指紋認證、微信認證、短信認證等,業(yè)内身份認證方式最齊全;
可設置用戶的系統登錄策略,包括限制登錄IP、登錄時間段、端口、賬号等,以确保可新用戶才能(néng)訪問其擁有權限的後台資源,實現可控運維;
支持對高(gāo)危命令的告警和阻斷,有效控制運維行為(wèi)中誤操作、高(gāo)危操作帶來的風險;
帶内、帶外運維統一(yī)管理,業(yè)界唯一(yī)同時支持Avocent、Raritan、ATEN等主流KVM Over IP産品;

獨創的數據庫運維操作審計平台,覆蓋主流商業(yè)數據庫企業(yè)應用和運維操作。

客戶收益


1. 實現核心數據資産、虛拟化設備、科研系統和數據、對業(yè)務支撐系統、業(yè)務交付系統、校園“一(yī)卡通(tōng)”、内網核心網絡設備、主機(jī)設備、數據庫資産等在内的網絡中心資産,實現跨平台、跨操作系統、跨運維協議、跨設備類型的各種IT資源的帳号、認證、授權和審計的集中控制和管理。

2. 實現集中化的身份認證和訪問入口,實現集中訪問授權,基于集中管控安全策略的訪問控制和角色的授權管理,保障網絡中心各種業(yè)務交付系統提供7x24小(xiǎo)時不間斷的運維。

經典案例
  • 中國(guó)科技(jì)大學
  • 上(shàng)海交通(tōng)大學
  • 武漢大學
  • 華中科技(jì)大學
  • 中南(nán)财經政法大學
  • 西(xī)安電(diàn)子科技(jì)大學
  • 華中師(shī)範大學
  • 武漢理工(gōng)大學
  • 西(xī)南(nán)交通(tōng)大學
  • 西(xī)安外國(guó)語大學
  • 北(běi)京工(gōng)業(yè)大學
  • 上(shàng)海财經大學
  • 上(shàng)海金融學院
  • 上(shàng)海音(yīn)樂學院
  • 中北(běi)大學
Copyright © 2019 All Rights Reserved Designed
杭州樂桦網絡科技有限公司