### 堡垒机实施计划方案关键知识点
#### 一、背景与意义
- **行业背景**:中国银行业监督管理委员会(银监会)作为国家金融监管机构,面临着日益复杂的网络安全挑战。随着银行业务的快速发展,信息化已成为支撑其业务运作的核心平台之一。
- **安全挑战**:内部员工引发的安全事件占比较高,包括恶意行为(如数据泄露)和非恶意行为(如误操作)。这表明加强对内部人员访问行为的管控至关重要。
- **解决方案**:2012年起,银监会开始构建系统用户集中管控系统,旨在通过部署堡垒机等技术手段,建立集中的授权、监控、管理和审计体系,提高内部信息安全控制水平。
#### 二、技术方案概述
- **产品介绍**:“谐润运维管理审计系统”是一种新型的运维安全审计工具,可以实现对运维人员访问行为的细粒度授权、全程记录与控制、全方位审计等功能,支持事后操作过程回放,简化运维操作流程,增强IT运维管理水平。
- **项目目标**:通过对IT基础设施(如服务器操作系统、数据库、中间件及网络设备等)的账号及密码进行集中控制与管理,实现严格的权限授权与行为审计,保障IT系统的安全生产,满足合规审计要求。
#### 三、具体需求分析
1. **管理对象**:支持Windows、Unix、Linux等服务器系统;Cisco、华为等网络设备;DB2、Oracle、SQL Server、MySQL等数据库系统;WAS、Weblogic等应用系统。
2. **权限管理**:实现细粒度授权,限制违规访问与操作。
3. **全面审计**:记录所有运维操作,支持事后审计。
4. **自动改密**:支持服务器、网络设备的自动密码更改。
5. **单点登录**:集成CA系统,实现双因素认证。
6. **稳定性要求**:部署不影响业务稳定性,简化运维流程。
7. **自我管理功能**:设备需具备稳定的自我管理能力,易于维护。
#### 四、实施范围与目标
- **实施范围**:在银监会机关进行部署,覆盖100台本地或外地服务器和网络设备。
- **项目目标**:部署一套包含堡垒机(含1台堡垒主机和1台应用托管中心)和1台日志服务器的用户集中管控系统。实现单点登录下的集中认证、授权与审计,审计日志集中存储。
#### 五、方案设计原则
1. **体系化设计**:基于先进的安全理念和科学的安全框架,全面考虑网络层次关系和潜在安全风险。
2. **可控性**:确保技术手段和技术实施方案的可控性。
3. **系统性与均衡性**:从整体出发,综合考量安全风险,采取不同强度的安全措施。
4. **可行性与可靠性**:确保在工程实施过程中,不影响现有网络和应用系统的正常运行。
5. **标准性**:遵循相关国际国家标准,如ISO17799、《GB/T20274.1-2006信息系统安全保障评估框架》等。
6. **投资保护**:有效利用已有的网络安全系统设备,保护已有投资。
7. **最小影响**:减少对现有系统的影响,避免干扰。
8. **易操作性**:确保安全措施简单易用,降低对人员的要求。
银监会的堡垒机实施计划方案旨在通过构建一个集中的授权、监控、管理和审计体系,加强内部信息安全控制,确保IT系统的安全稳定运行,同时满足合规审计要求。该方案不仅涵盖了技术层面的具体需求,还明确了实施的原则和目标,对于保障金融行业的信息安全具有重要意义。
