统一安全管理与综合审计解决方案课件

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,2019/6/23,#,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,2019/6/23,#,统一安全管理与综合审计解决方案,统一安全管理与综合审计解决方案,1,1,系统设计理念,成功案例,方案优势与特色,2,3,5,6,方案体系架构,应用方向及需求分析,帕拉迪统一安全管理平台解决方案,4,统一安全管理平台解决方案,统一身份管理,4.1,集中认证管理,操作权限管理,安全审计管理,单点登录管理,4.2,4.3,4.4,4.5,1系统设计理念成功案例方案优势与特色2356方案体系架构应用,PLDSEC SMS,体系架构,PLDSEC SMS 体系架构,产品及功能模块,协议支持,UTM,NA,L7,DBAudit,NA,PLDSEC SMS,TTM,DBM,AppBox,XTM,Telnet,、,SSH,、,FTP,、,SFTP,RDP,、,X11,、,VNC,KVM Over IP,、,B/S,、,C/S,FTP,、,Telnet,、,POP3,、,SMTP,、,HTTP,Telnet,、,SSH,、,FTP,、,RDP,、,POP3,、,SMTP,、,DB,Oracle,、,DB2,、,Sybase,、,Informix,、,MS SQL,Oracle,、,DB2,、,Sybase,、,Informix,、,MS SQL,产品及功能模块协议支持UTMNAL7DBAuditNAPLD,1,系统设计理念,成功案例,方案优势与特色,2,3,5,6,方案体系架构,应用方向及需求分析,帕拉迪统一安全管理平台解决方案,4,统一安全管理平台解决方案,统一身份管理,4.1,集中认证管理,操作授权管理,安全审计管理,单点登录管理,4.2,4.3,4.4,4.5,1系统设计理念成功案例方案优势与特色2356方案体系架构应用,挑战，数据中心和生产系统管理,挑战，数据中心和生产系统管理,帕拉迪设计理念,帕拉迪设计理念,1,系统设计理念,成功案例,方案优势与特色,2,3,5,6,方案体系架构,应用方向及需求分析,帕拉迪统一安全管理平台解决方案,4,统一安全管理平台解决方案,统一身份管理,4.1,集中认证管理,操作权限管理,安全审计管理,单点登录管理,4.2,4.3,4.4,4.5,1系统设计理念成功案例方案优势与特色2356方案体系架构应用,IT,内控迈向“有法可依”,时间,法规,相关行业,2001,计算机信息系统安全保护等级划分准则,政府行业,2002,商业银行内部控制指引,金融行业,2002-2004, 2002 Sarbanes-Oxley Act (bilingual) , Auditing Standard No. 2,在美国上市的企业（涉及多个行业）,2004-2005,中国移动集团内控手册,中国电信股份公司内部控制手册,中国网通集团内部控制体系建设指导意见,电信行业,2006-,2007,银行业金融机构信息系统风险管理指引,商业银行合规风险管理指引,中国银行业监督委员会办公厅文件银监办通,313,号,保险公司内部审计指引,保险公司风险管理指引,金融行业,2008-,2009,深圳证券交易所上市公司内部控制指引,上海证券交易所上市公司内部控制指引,企业内部控制基本规范,c-sox,在中国上市的企业,（涉及多个行业）,IT内控迈向“有法可依”时间法规相关行业2001计算机信息,信息安全相关标准、法案,ISO27001,标准,条款,A10.10.1,要求组织必须记录用户访问、意外和信息安全事件的日志，并保留一定期限，,以便为安全事件的调查和取证,；,条款,A10.10.4,要求组织,必须记录系统管理和维护人员的操作行为；,条款,A15.1.3,明确要求必须保护组织的,运行记录,条款,A15.2.1,则要求信息系统经理必须确保所有负责的安全过程都在正确执行，,符合安全策略和标准的要求,。,CC,标准,信息技术通用评估准则 （,Common Criteria for Information Technology Security Evaluation,）中，安全审计是其安全功能要求中最重要的组成部分，同时也是信息系统安全体系中必备的一个措施，它是评判一个系统是否真正安全的,重要尺码,。,SOX,法案,302,节：,要求行政人员证明他们公司设计和执行了适当的控制，以保证所有财务报表都可靠而且付合公认会计准则,(GAAP),。,404,节：,要求所有在,302,节中所控制的过程都有可信的财务报表。这法令要求,IT,经理对所有有关财务报表的,产生过程负责,。,信息安全相关标准、法案ISO27001标准条款A10.10.,IT,方法论、标准和最佳实践总结,SOX,法律依据,COSO,审计需求,COBIT,管理目标,4,个控制方向,34,个控制目标,318,个控制要求,ITIL,管理措施,|,流程,强调理论来自实践,到实践中检验,IT方法论、标准和最佳实践总结SOX 法律依据,关系和说明，,IT,系统成为组织企业的基石,SOX 302, 404,关系和说明，IT系统成为组织企业的基石SOX 302, 40,身份访问管理现状,身份访问管理现状,问题分析,用户身份信息分散于各个系统，形成身份信息的孤岛,维护人员同时对多个系统进行维护，工作复杂度会成倍增加,独立的用户数据库,身份信息孤岛,用户权限无法集中管理，越权事件时有发生,缺乏集中统一的资源授权管理平台,身份的混乱，帐号多人共用，难于确定帐号的实际使用者，,难于对帐号的扩散范围进行控制，容易造成安全漏洞,自然人身份和业务系统帐号重叠,切换系统登录时，都需要输入用户名和口令进行登录。,给工作带来不便，影响了工作效率,自然人对多系统的访问频繁切换,无法对支撑系统进行综合分析，不能及时发现入侵行为进行安全,预警和数据责任追踪,独立的审计，缺乏关联分析,问题分析 用户身份信息分散于各个系统，形成身份信息的孤岛,IT,运维管理系统建设目标,身份管理简化，安全性增强,集中身份认证,多中认证方式,集中身份管理,消除非法帐号,身份与帐号分离,（主从帐号）,集中安全审计,事件报表,事件分析,IT,运维,系统门户,单点登录,帐号带填,运维系统建设目标,集中用户授权,多种权限划分技术,（主机、网络、应用系统）,IT运维管理系统建设目标 身份管理简化,1,系统设计理念,成功案例,方案优势与特色,2,3,5,6,方案体系架构,应用方向及需求分析,帕拉迪统一安全管理平台解决方案,4,统一安全管理平台解决方案,统一身份管理,4.1,集中认证管理,操作权限管理,安全审计管理,单点登录管理,4.2,4.3,4.4,4.5,1系统设计理念成功案例方案优势与特色2356方案体系架构应用,帕拉迪统一安全管理与综合审计体系建设,应用终端操作审计,基于,WEB,操作,如：,HTTP,、,HTTPS,基于,C/S,应用终端操作，如：,AS400,文件传输操作审计,FTP,SFTP,RDP,磁盘通道、剪贴板等文件传输,KVM,终端操作审计,Avocent,管理终端,DSR,、,DSVIEW,力登管理终端：,RARITAN,、,RARITAN_CC;,数据库运维操作审计,Oracle,Informix,DB2,Sybase,SQL Server,等,字符终端运维操作审计,图形终端运维操作审计,RDP,X11,VNC,命令行：,Telnet,、,SSH,文本菜单：,HP,的,SAM,、,IBM,的,SMIT,，,LINUX,的,SETUP,等,帕拉迪统一安全管理与综合审计体系建设应用终端操作审计基于WE,PLD,功能架构图,PLD功能架构图,系统管理界面,系统管理界面,经典部署,逻辑网关,Windows,HP_Unix,AIX,Linux,Solaris,安全设备,网络设备,存储设备,外网用户,内网用户,PLDSEC SMS UTM,安全审计管理,PLDSEC SMS UTM,部署优势,:,1.,不加装任何客户端代理,2.,不加装任何服务器端引擎,3.,不影响任何网络拓扑,4.,不影响任何业务数据流,5.,支持双机热备,6.,支持集中管理分级部署,经典部署逻辑网关WindowsHP_UnixAIXLinu,典型应用集中管理分散部署,二级单位,- 1,二级单位,- 2,二级单位,- 3,一级单位,集中管理分散部署示意图,PLDSEC SMS UTM (,中心,),节点,- 1,节点,- 2,节点,- 3,典型应用集中管理分散部署二级单位 - 1二级单位 - 2二,1,系统设计理念,成功案例,方案优势与特色,2,3,5,6,方案体系架构,应用方向及需求分析,帕拉迪统一安全管理平台解决方案,4,统一安全管理平台解决方案,统一身份管理,4.1,集中认证管理,操作权限,管理,安全审计管理,单点登录管理,4.2,4.3,4.4,4.5,1系统设计理念成功案例方案优势与特色2356方案体系架构应用,身份管理现状,身份孤岛,人员复杂,系统多,业务支撑系统,客服系统,第三方系统,公司领导，管理员，维护人员,话务员，营业员，客服人员,彼此独立,命名不规范，自成一体,身份管理现状身份孤岛人员复杂系统多业务支撑系统公司领导，管理,身份管理面临的风险,客户风险,客户感到系统难以使用,/,不使用系统,规章制度风险,不能符合规章制度要求,SOX,欺诈,/,资产风险,帐号及口令的不规范管理,未授权的访问,财务风险,协同工作环境投资过高,基础设施投资过高,身份管理,面临风险,策略风险,缺乏内部控制,不能遵循安全策略,内部业务风险,不能及时服务客户,不能方便地和业务伙伴进行合作,身份管理面临的风险客户风险规章制度风险欺诈/资产风险财务风险,统一身份管理,-,设计理念,主帐号 从帐号,帐号生命周期管理,基于目录集中存放,管理维护流程,帐号生成、变更、销毁整个生命周期的管理,帐号审批流程、权力赋予审批流程,主帐号对应自然人,从帐号对应资源,主帐号、从帐号、密码策略、实体级授权信息集中存放,统一身份管理-设计理念主帐号 从帐号帐号生命周期管理基于目录,帐号生命周期理念,用户开通,用户维护,Identity,Lifecycle,用户离职,删除用户,删除权利,同步删除,用户维护,口令重设,权利新建,新建资源,用户变更,升职,调动,权利变更,新建用户,身份创建、身份凭据颁发、权利赋予,用户变更,用户离职,帐号生命周期理念用户开通用户维护Identity用户离职用户,功能描述,自然人,IT,运维系统,主机,1,主机,2,网络,业务,1,数据库,网银,主帐号,从帐号,业务,2,业务,3,从帐号,从帐号,从帐号,从帐号,从帐号,从帐号,从帐号,自然人唯一的,ID,主帐号,功能描述自然人IT运维系统主机1主机2网络业务1数据库网银主,主帐号管理,主帐号管理,资产管理,资产管理,从帐号管理,从帐号管理,1,系统设计理念,成功案例,方案优势与特色,2,3,5,6,方案体系架构,应用方向及需求分析,帕拉迪统一安全管理平台解决方案,4,统一安全管理平台解决方案,统一身份管理,4.1,集中认证管理,操作权限管理,安全审计管理,单点登录管理,4.2,4.3,4.4,4.5,1系统设计理念成功案例方案优势与特色2356方案体系架构应用,身份认证机制,网络设备,主机系统,数据库,Radius/Tacacs+,Radius,Radius/LDAP,动态口令令牌,短信一次性口令,USB,口令卡,静态口令,应用系统,IT,运,维,管,理,系,统,身份认证子系统,Radius,单点登录,身份认证机制网络设备主机系统数据库Radius/Tacacs,认证因素,可扩展的外置认证方式,系统内置认证方式,用户名,+,密码方式的静态认证,提供标准的,Radius,认证接口,PKI,指纹,数字证书,第三方的认证系统,认证因素可扩展的外置认证方式系统内置认证方式用户名+密码方式,1,系统设计理念,成功案例,方案优势与特色,2,3,5,6,方案体系架构,应用方向及需求分析,帕拉迪统一安全管理平台解决方案,4,统一安全管理平台解决方案,统一身份管理,4.1,集中认证管理,操作权限管理,安全审计管理,单点登录管理,4.2,4.3,4.4,4.5,1系统设计理念成功案例方案优势与特色2356方案体系架构应用,操作权限管理设计理念,操作权限管理设计理念,主机资产授权,主机资产授权,资源帐号授权,资源帐号授权,高度自定义的命令集,高度自定义的命令集,细颗粒度的权限设置,细颗粒度的权限设置,1,系统设计理念,成功案例,方案优势与特色,2,3,5,6,方案体系架构,应用方向及需求分析,帕拉迪统一安全管理平台解决方案,4,统一安全管理平台解决方案,统一身份管理,4.1,集中认证管理,操作权限管理,安全审计管理,单点登录管理,4.2,4.3,4.4,4.5,1系统设计理念成功案例方案优势与特色2356方案体系架构应用,企业级单点登录,客服,帕拉迪统一安全管理平台,任何应用服务器,网银,CoreBank,主机,网络,统一用户,ID,B/S SSO,C/S SSO,B/S SSO,C/S SSO,B/S SSO,C/S SSO,C/S SSO,C/S SSO,IT,管理员,员工,合作伙伴,HR,数据库,C/S SSO,企业级单点登录客服帕拉迪统一安全管理平台任何应用服务器网银,单点登录管理流程,运维管理平台,安全令牌,1,、用户登录请求,2,、提交认证要素，帐号静态口令动态口令,6,、网关允许,/,拒绝用户登陆,若允许，显示用户访问列表,3,、设备发起认证请求,5,、 服务器返回认证结果,认证模块,动态口令,生成模块,用户数据库,安全认证系统,4,、口令比对,权限鉴别,7,、登陆,unix,服务器（可能是双因素），开始各类命令操作,各类资源,8,、访问控制,9,、命令,操作,单点登录管理流程运维管理平台安全令牌1、用户登录请求2、提交,字符终端单点登录,字符终端单点登录,“万能”单点登录扩展,“万能”单点登录扩展,图形终端单点登录,RDP,统一安全管理平台,图形终端单点登录RDP统一安全管理平台,统一的,B/S,登录管理界面,第一类直接通过远程登录工具，登录主机系统的维护方式,第二类，经过,KVM Over IP,设备，直接通过物理控制台的维护方式,第三类，数据库管理配置客户端直接登录应用，修改数据。,第四类，,HTTP,、,HTTPS,通过,WEB,方式运维人机操作行为。,第五类，企业环境自定义应用，第三方应用如：,AS400,、,OS390,等；客户环境应用如：同城票据、大小金额等,上述五种运维行为，第二、三、四、五共四类都是通过应用发布平台实现，,PLDSEC AppBox,技术集应用集中发布、应用单点登录、网络协议审计、操作录像等关键技术于一体，解决应用操作管理与审计问题。,统一的B/S登录管理界面第一类直接通过远程登录工具，登录主机,1,系统设计理念,成功案例,方案优势与特色,2,3,5,6,方案体系架构,应用方向及需求分析,帕拉迪统一安全管理平台解决方案,4,统一安全管理平台解决方案,统一身份管理,4.1,集中认证管理,操作权限管理,安全审计管理,单点登录,管理,4.2,4.3,4.4,4.5,1系统设计理念成功案例方案优势与特色2356方案体系架构应用,审计系统设计理念,利用行业规范和,COBIT,规范应对审计要求,PO4.11 Segregation of duties/,分权和分责,AI2.3 Application control and audit ability/,应用的控制和审计能力,DS10.3 Problem Tracking and Audit Trail/,用户和运维操作记录审计,DS13.6 Operations Logs,操作记录管理,SOX,符合性要求,审计系统设计理念利用行业规范和COBIT规范应对审计要求SO,字符终端审计,审计日志展现,屏幕审计展现,命令分析及回放,用户操作界面,实时监控界面,字符终端审计审计日志展现屏幕审计展现命令分析及回放用户操作界,图形终端审计,审计日志展现,图形终端审计审计日志展现,审计日志回放,实时监控界面,用户操作界面,审计日志回放实时监控界面用户操作界面,应用终端操作审计,审计日志展现,SQL,操作语句展现,Iniformix,操作,审计回放,Oracle,操作,审计回放,SQLServer,操作,审计回放,sybase,操作,审计回放,DB2,操作,审计回放,KVM,操作,审计回放,应用终端操作审计审计日志展现SQL操作语句展现Iniform,标准,syslog,日志,标准syslog日志,系统自身安全审计,系统自身安全审计,综合日志报表展现,综合日志报表展现,1,系统设计理念,成功案例,方案优势与特色,2,3,5,6,方案体系架构,应用方向及需求分析,帕拉迪统一安全管理平台解决方案,4,统一安全管理平台解决方案,统一身份管理,4.1,集中认证管理,操作权限管理,安全审计管理,单点登录,管理,4.2,4.3,4.4,4.5,1系统设计理念成功案例方案优势与特色2356方案体系架构应用,安 全,集 成,开 放,逻辑拓扑，也叫分层，分层包括客户层、表示层、逻辑层、数据集成层,和资源层。,开放接口以利于,ISV,和服务的合作伙伴增值,- Liberty, SAML, XACML, SPML, LDAP, DSML,支持第三方的解决方案,跨应用、部门、和地理分界统一身份管理,减少整个项目的投资，并加速投资回报,通过统一的界面减少管理费用和消除功能的重复,单点控制,一致性的执行,中央化的可视和控制，以更好地监测和响应身份管理的事件,系统范围内的审计和报告，以帮助企业制定策略,方案优势,安 全集 成开 放跨应用、部门、和地理分界统一身份管理,价值总结,可管理,有效控制操作风险,可跟踪,有效监管第三方代维厂商,用户收益,可视,满足,IT,审计合规性要求,可控,提高设备可用性,可鉴定,完善的责任认定体系,价值总结 可管理有效控制操作风险 可跟踪有效监,1,系统设计理念,成功案例,方案优势与特色,2,3,5,6,方案体系架构,应用方向及需求分析,帕拉迪统一安全管理平台解决方案,4,统一安全管理平台解决方案,统一身份管理,4.1,集中认证管理,操作权限管理,安全审计管理,单点登录,管理,4.2,4.3,4.4,4.5,1系统设计理念成功案例方案优势与特色2356方案体系架构应用,公司简介,Palladium Security,成立于200,5,年，技术导向型高科技公司，坐落在风景优美的杭州高新区。,专业：,专注于,IT,内控领域 ，专门从事网络安全产品的研发、生产及销售，为用户信息系统提供全方位的网络安全解决方案、网络安全顾问咨询以及网络安全监管服务等。,承诺：,以客户为中心，我们将不断创新安全技术，不断改进产品和服务，为客户提供全方位高品质且具有竞争力的安全产品以及专业的安全服务 。,前景：,市场第一，技术一流，中国政府和企业最信赖的信息安全产品和服务提供商。,专业、专注、精品,公司简介Palladium Security 成立于2005,典型客户,典型客户,感谢聆听 批评指导,感谢聆听 批评指导,