文档介绍:技术部分
11投标方案
中国银行业监督管理委员会(以下简称银监会)是政府部门的重要组成机构, 是国家金融行业的监督、管理、指导单位。近年来,金融行业信息系统随着银行 业金融机构的业务发展而迅速发展,信息科技已经成为银行业金融机构实现经营 战略和业务运营的基础平台以及金融创新的重要手段。银行业对信息科技的高度 依赖,使得信息技术系统的安全性、可靠性和有效性直接关系到整个银行业的安 全和金融体系的稳定。
各种权威的网络安全调查结果均表明,在可统计的安全事件中, 70姆上均
与内部人员有关,这其中既包括恶意行为(越权访问、恶意破坏、数据窃取) ,
也包括各种非主观故意引起的非恶意行为(误操作、权限滥用) 。由此可见,规
范内部人员的访问行为,特别是核心系统(主机、网络设备、安全设备、数据库 等)的维护行为已经势在必行。因此,2012年银监会内部启动了系统用户集中 管控系统建设,通过部署运维用户集中管控系统,建立运维用户的集中授权、监 控、管理、审计体系,加强信息安全的内部控制与管理能力,规范信息系统运行 和操作管理过程,确保银监会信息系统的安全运行。
谐润运维管理审计系统是新一代运维安全审计产品,它能够对运维人员的访 问过程进行细粒度的授权、全过程的操作记录及控制、全方位的操作审计、并支 持事后操作过程回放功能,实现运维过程的“事前预防、事中控制、事后审计”, 在简化运维操作的同时,全面解决各种复杂环境下的运维安全问题,提升企业 IT运维管理水平。
银监会对运维用户管控系统的需求如下:
1) 管理对象应能够实现对银监会现有的服务器系统 (Windows Unix、Linux )、 网络设备(Cisco、华为)、数据库系统(DB2 Oracle、SqlServer、Mysql)、 应用系统(WAS Weblogic)等;
2) 应能够实现对机关内部、外围运维人员的访问及操作权限细粒度授权, 限制用户违规访问、违规操作的能力;
3) 实现全面的运维操作审计能力;
4) 实现对服务器、网络设备的自动改密功能;
5) 实现单点登录,并与CA系统进行整合,实现双因素认真;
6) 系统部署不应影响业务系统的稳定运行,且不增加运维人员访问过程的 复杂程度;
7) 完善的自我管理功能,设备自身稳定、高效、易丁维护。
项目总体目标旨在通过对服务器操作系统、 数据库、中问件及网络设备、安
全设备等IT基础设施的账号及其密码进行集中控制与管理,通过账号权限的严 格授权和管理,实现对设备的安全访问和管理行为的审计,达到 IT系统安全生
产,并满足内控审计要求的目的。具体目标如下:
本项目中的用户集中管控系统包括 1套堡垒机(含1台堡垒主机、1台应用 托管中心)和1台日志服务器,堡垒主机是运维管理人员进行运维操作的统一接 入点,用户集中管控产品需通过开发升级兼容银监会 CA系统颁发的密钥,以实
现管理用户的双因素认证。实现在 SSO(单点登录)系统总体架构下,完成对系 统账号的集中认证、集中授权与集中审计,审计日志集中存储丁独立的日志服务
本项目在银监会机关(北京)进行部署,对100台本地或外地服务器和网络 设备(每个设备可能存在错咯操作系统、 数据库和中间件管理用户)进行集中管 理,用户范围主要为银监会机关本地或外地运维用户。
体系化设计原则
必须分析信息网络的层次关系,遵循先进的安全理念,遵照科学的安全体系 和安全框架,并根据安全体系分析存在的各种安全风险, 从而最大限度地避免可 能存在的安全问题。
可控性原则
采取的技术手段需达到安全可控的目的, 技术解决方案涉及的工程实施应具 有可控性。
系统性、均衡性、综合性设计原则
从全系统出发,综合考虑各种安全风险,采取相应的安全措施,根据风险的 大小,采取不同强度的安全措施,提供具有最优的性能价格比的安全解决方案。
可行性、可靠性原则
必须保证在工程实施期间,不会对用户方的现有网络和应用系统有大的影响。 在保证网络和应用系统正常运转的前提下,提供最优安全保障。
标准性原则
安全系统的设计、实施以及产品的选择以相关国际国家安全管理、 安全控制、 安全规程为参考依据,包括ISO1779Q «GB/T -2006信息系统安全保障 评估框架》等。
投资保护原则
对用户方已经存在的网络安全系统设备进行有效的利用,保护已有投资。
最小影响原则
方案设计及实施时,遵循对信息系统影响最小原则,尽可能地采用对网络、 系统、应用影响小技术手段,对现有系统不产生干扰,保护现有系统。
易