集团公司网络安全解决专项方案.doc

资源描述

集团公司网络安全设计方案一.方案概述集团公司网络规模日益扩大,下属几十家分公司都将与集团实现联网,使用一套集团财务系统。依照IT规划规定，为有效保障公司网络畅通、数据安全，集团公司需要构建一种严密整体网络安全系统。该系统涉及四个重要方面：（一）设计网络系统优化方案及建立网络系统持续完善机制（二）建立智能化数据容灾系统（三）建立高效全面病毒防止系统（四）建立科学合理管理制度体系二.方案实现目的通过该系统建设实现如下功能目的 (1) 实现集团对网络病毒统一防护，让网络管理人员可以清晰管理到内部病毒防护系统布置状况，有病毒爆发时可以及时拟定病毒发作范畴，并可以直接进行隐患清除工作，集团可以统一布置和执行安全防护方略. (2) 对集团机房较为重要服务器和应用系统进行容灾备份，当服务器故障时，可以有效迅速启动代替系统，并在故障清除后迅速恢复系统和数据. (3) 对于集团数据库系统，因关联使用顾客多且分布各不同下属单位，应使用有效措施来防范数据库使用安全，防范数据被恶意使用或篡改,. (4) 因集团机房布置不同部门和下属公司服务器，各部门都需要运维自己服务器，有必要对服务器使用进行安全审计和使用记录，防范来自使用服务器带来风险. 三.安全产品推荐选型项目品牌型号实现目的公司版防病毒趋势 OfficeScan 全网病毒统一防护和统一安全管理服务器容灾备份 NOVELL PlateSpin Forge 对服务器进行实时灾备,服务器故障时实现紧急代替和迅速恢复数据库审计安恒 DAS-AC1000 对数据库使用进行安全审计,防护对数据库恶意侵入和篡改保垒机齐治 SHTERM-L4 对使用机房内服务器人员使用行为进行规范管理和审计记录,防范服务器内部使用风险. 四.方案简述 (1)网络拓扑图 (2)信息安全设备物理分布图 (3)产品阐明： 1、IT运维堡垒机接在核心互换机上，通过细粒度安全管控方略，保证公司服务器、网络设备、数据库、安全设备等安全可靠运营，减少人为安全风险，避免安全损失，保障公司效益；管理员可直观以便监控各种访问行为，可以及时发现违规操作、权限滥用等。 2、数据库审计设备接在核心互换机上，全面记录数据库访问行为，辨认越权操作等违规行为，并完毕追踪溯源；检测数据库配备弱点、发现SQL注入等漏洞、提供解决建议；为数据库安全管理与性能优化提供决策根据；提供符合法律法规报告，满足级别保护、公司内控等审计规定。 3、OfficeSan服务器接入核心互换机上，OfficeScan可以依照大同公司自己规定进行方略布置，并针对将来而设计弹性架构，可让您透过插件来自定义您威胁防护与数据保护。 4、Forge设备布置在核心互换机，可同步对25台服务器做备份，一旦一台或多台生产服务器浮现故障，该应用即刻在Forge上运营接管业务。五.方案子系统简介趋势科技网络版防病毒软件– OfficeScan 趋势科技OfficeScan网络版防病毒产品将管理,配备与布置功能集中到服务器端（Officescan服务器端）。透过Officescan服务器端Web接口管理主控台，管理人员可以从网络上任何地点，来管理和设立全公司防毒方略（每一台计算机都安装了Officescan客户端防病毒软件），并且也能迅速响应各种紧急事件。综合性防护能力：免受病毒，特洛伊，蠕虫和当前间谍软件袭击，同步具备防火墙和入侵检测能力；支持防护方略自动/手动配备：有效控制病毒扩散（通过主控服务器，在设定期间段内，关闭所有客户机共享文献，特定端口，保护文献或文献夹不被病毒修改）；防火墙方略应用程序备用服务器：客户计算机也许无法连接到防毒墙网络版服务器，但仍可连接到您指定备用防毒墙网络版服务器上，以提供防火墙方略更新。集成专杀工具：病毒专杀工具和客户端防病毒软件无缝集成，专杀工具扫描引擎和病毒码可以自动更新，完全挣脱老式防病毒软件需要独立使用专杀工具，并且每一种病毒均有特定专杀工具，导致数量巨大；防御间谍软件和其她类型灰色软件：防毒墙网络版可以协助保护您计算机远离被趋势科技视为灰色软件各种威胁和损害，涉及众所周知类型－间谍软件；临界间谍软件/灰色软件例外列表：防毒墙网络版也许将特定类型文献辨以为灰色软件，尽管您计算机上合法应用程序也许需要使用这些文献。为防止防毒墙网络版将这些文献辨以为灰色软件，可以配备应用于所有扫描类型临界间谍软件/灰色软件例外列表。实时更新病毒日记：以便而简朴配备管理与实时报告；自动更新：先进自动更新技术,不必管理员与顾客手动操作,不需要重新启动；支持客户端自行上互联网更新防毒组件；灵活更新代理设立：通过设定网络中任意计算机做为病毒码更新源，将其他计算机指定到该计算机更新，以节约网络带宽。对低带宽网络环境特别有效；检测为安装防病毒软件计算机：支持网段扫描侦测尚未安装OfficeScan顾客机；强大数据库管理：支持将纪录数据导入SQL服务器以便数据分析与管理；灵活客户端迁移：支持在客户端可以在不同OfficeScan服务器中转移,不需重新安装；定位病毒源头病毒：客户机排行榜功能，协助网管理解毒源、善后解决、报告领导；支持各种Web Server：IIS 和 Apache; 布置建议： Officescan可以针对Windows全系列防范病毒。趋势科技网络版防病毒软件组织架构为：通过一台Officescan服务器去远程控制和管理局域网内部，甚至广域网中Officescan客户端。 Officescan客户端可以通过各种方式安装到计算机上：通过网页远程自动下载安装；通过制作Officescan客户端安装包安装；通过共享文献夹方式安装通过集成Windows域自动安装客户端通过微软SMS安装；如此布置OfficeScan就可觉得网络内部计算机提供综合性安全防护，免受病毒，特洛伊，蠕虫和当前间谍软件袭击，以及具备防火墙和入侵检测能力。从主线上相应用层病毒文献以及网络层病毒数据包进行防护，同步防护各种对于计算机袭击。 1、 Novell PlateSpin Forge服务器灾备保护产品方案 Novell® PlateSpin® Forge是一种整合式系统恢复硬件设备，通过采用内置虚拟化技术来保护实际物理和虚拟服务器工作负载。在生产服务器停止运转或发生故障时，工作负载可在PlateSpin® Forge恢复环境中迅速通电，并继续正常运营，直到生产环境恢复。 u 采用单台PlateSpin Forge 设备可保护和恢复最多达25个物理和虚拟工作负载。使用PlateSpin Forge，客户可以保护各种地理位置分散多达25台服务器工作负载，并在服务器浮现故障时予以迅速恢复。通过使用PlateSpin Forge综合恢复平台，客户可以更好地保护更多工作负载，但无需支付高昂复制硬件或冗余操作系统授权允许费用。PlateSpin Forge不需要通过成本高昂一对一硬件和软件冗余保护数据中心资产，从而实现了革命性业务持续性。生产服务器可备份到虚拟机，而成本只是老式劫难恢复解决方案一某些，并且可以更快、更轻松地实现恢复。除了原则文献类复制外，高速块级复制容许公司客户保护高档业务工作负载(如电子邮件和数据库服务器)。有效增长传播可保证仅源数据文献变化被复制到PlateSpin Forge远程恢复环境中，从而减少了广域网使用并使各大组织可以在至少数据丢失状况下有效满足数据恢复点目的(RPO)。 u 迅速容易故障恢复筹划和过程完整性使用PlateSpin Forge可实现对服务器工作负载以多达28个历史恢复点方式进行保护备份，只需单击测试恢复按钮，即可迅速容易地测试备份和恢复筹划完整性。在进行故障恢复测试时，可选取保护备份任一快照并且在一种隔离专用内部网中启动运营。这容许顾客迅速确认恢复筹划和有关业务服务，而又不至于中断生产服务器工作负载。一旦确认故障恢复筹划，PlateSpin Forge将屏弃测试过程中在恢复工作负载快照上发生任何变化，并恢复工作负载复制。 u 基于WEB浏览器方式各种监控、报告和操作报警进行控制。 PlateSpin Forg提供基于Web方式单一管理界面，便于IT运营专家随时查看其保护筹划状况并管理、监控和报告所有工作负载保护事宜。在生产服务器停机或发生故障时，PlateSpin Forge将以电子邮件方式自动警示管理员。通过个人计算机、Blackberry® 或其它移动装置点击电子邮件内链接可执行上下文相操作。各种报告功能可使管理员和业主清晰地掌握保护资源使用方式。顾客可报告实际对抗目的恢复时间和恢复点目的、复制窗口和数据传播速率。保护日记显示成功复制和恢复测试，从而提供了满足定制服务级合同或合规性所需审计能力。 PlateSpin Forge提供一种始终存在仪表盘，可让IT操作专家随时观测其保护筹划状况，并管理、监控和报告所有工作负载保护和恢复事宜 u 一键故障恢复和灵活劫难恢复方案单击运营恢复工作负载，可依照需要将其恢复到相似或不同硬件。在生产服务器停机或发生故障时，通过单击故障恢复可迅速恢复受保护工作负载——仅重新连接会话，并且 PlateSpin Forge将验收工作负载。当生产环境恢复时，该工作负载可继续在PlateSpin Forge恢复设备上正常运营。一旦生产环境联机，PlateSpin Forge还可提供灵活工作负载恢复方案。如果原始生产服务器修好并且硬件无损坏，顾客可通过一种虚拟到物理(V2P)工作负载转移操作将工作负载从虚拟恢复环境移回到原始硬件服务器。如果原始硬件不能修好，顾客可通过一种V2P转移操作将工作负载转移到新硬件服务器上。还可容易将工作负载移到生产虚拟环境中。灵活硬件独立式恢复意味着新硬件可觉得不同品牌、型号或配备。 2、齐治运维操作管理系统通过Shterm布置，可以有效解决运维部门当前运维过程中存在各种问题： Ø 以堡垒方式，形成统一运维入口，实现运维操作唯一途径； Ø 引入主从帐号管理概念，使顾客认证与系统授权分开，从而有效解决系统帐号共享使用，带来身份不唯一问题； Ø 基于顾客、设备、系统帐号、合同类型、登录规则严格访问控制设立，有效规避了非授权访问带来问题； Ø 密码托管和自动改密，使得密码管理规范能有效落地，避免了因人员流动还会导致设备密码存在外泄风险； Ø 能完整记录运维人员操作过程，当系统因人为操作导致故障时候，可以迅速定位故障因素和负责人； Ø 可以满足等保、SOX、ISO270001、BS7799等安全规范对运维操作管理规定。 (1)总设计思路由于操作风险来源于各个方面，因此必要要从可以影响到操作各个层面去减少风险。齐治运维操作管理系统（Shterm）采用操作代理（网关）方式实现集中管理，对身份、访问、审计、自动化操作等统一进行有效管理，真正协助顾客最小化运维操作风险。集中管理是前提：只有集中后来才可以实现统一管理，只有集中管理才干把复杂问题简朴化，分散是无法谈得上管理，集中是运维管理发展必然趋势，也是唯一选取。身份管理是基本：身份管理解决是维护操作者身份问题。身份是用来辨认和确认操作者，由于所有操作都是顾客发起，如果咱们连操作顾客身份都无法确认，那么不论咱们怎么控制，怎么审计都无法准拟定位操作负责人。因此身份管理是基本。访问控制是手段：操作者身份拟定后，下一种问题就是她能访问什么资源、你能在目的资源上做什么操作。如果操作者可以随心所欲访问任何资源、在资源上做任何操作，就等于没了控制，因此需要通过访问控制这种手段去限制合法操作者合法访问资源，有效减少未授权访问所带来风险。操作审计是保证：操作审计要保证在出了事故后来迅速定位操作者和事故因素，还原事故现场和举证。此外一种方面操作审计做为一种验证机制，验证和保证集中管理，身份管理，访问控制，权限控制方略有效性。自动运维是目的：操作自动化是运维操作管理终极目的，通过让该功能，可让堡垒机自动协助运维人员执行各种常规操作，从而达到减少运维复杂度、提高运维效率目。 (2)操作网关方式布置集中管理是实现运维操作安全管理首要前提。针对当前核心设备分散管理现状，集中管理倡导是一种统一管理理念。集中管理是将来运维操作安全管理必然趋势。实现集中管理，核心点在于对顾客原有运维环境不导致任何影响。综合各种布置方案，咱们采用了“操作堡垒机”布置方式。 (3)用好共享账号在当前运维环境中，普遍存在操作者身份无法辨认安全隐患。这重要是由操作者共享使用核心设备上系统账号导致。设备数量达到一定规模，必然会使用到共享账号。共享账号就是多人共同使用同一种存在于设备上系统账号，使用共享账号会让整体账号数量至少。但是仅仅依赖系统上单一系统账号，无法既能区别顾客身份，又能完毕工作角色定位。如何精确区别顾客身份和工作角色，进而实现操作者和详细操作过程一一相应？ Shterm将账号顾客身份确认和系统工作角色功能分离，在Shterm上增长了顾客账号，完毕顾客身份确认。本来系统上账号依然存在，但是作用只是完毕工作角色授权工作账号。顾客登录Shterm是采用唯一顾客账号，然后依照工作角色需要，转换成系统账号登录到被管理设备上。这样既可以保证整体账号数量至少，管理以便；同步又可以实现对顾客、工作角色双重定位。当顾客加入、离职或岗位变动，当代维人员和原厂商进行维护时候，只需要在Shterm上变更该顾客账号即可，对系统上系统账号没有任何影响。代维人员维护系统并不需要懂得顾客系统最高权限系统帐号密码，这样大大减少了管理风险。原厂商进行暂时维护时候只需要暂时分派一种顾客账号，当使用结束后该账号会自动回收，减少了账号管理成本。 (4)访问控制规则当前，顾客只要懂得顾客名和密码就可以任意访问任意设备,这种现状必然会带来“未授权访问安全风险”。布置了Shterm后，状况就发生了变化。Shterm逻辑上成为了顾客登录唯一入口，由于入口唯一，访问控制很容易配备了。相似工作任务集合可以放置在一种访问规则组里，当顾客岗位、职责变化时，对顾客有关联组、系统权限、可访问设备通过Web勾选，很容易调节。依照工作内容需要，可以配备不同允许或禁止登录方略。既可以设定固定日期登录方略，也可以设定固定期间间隔方略，还可以设定一天中指定期间段方略，并且可以针对详细地址段进行控制。 Shterm访问控制列表可以让顾客一目了然懂得某台设备上容许哪些顾客登录。某台设备上系统账号有多少个顾客可以使用。另一方面，从安全运维角度分析，权限控制方略是从操作层面上，减少高危操作所带来安全风险：对于使用Telnet/SSH等合同进行远程管理设备（各种网络设备和Unix服务器），操作权限多少取决于顾客可以执行命令。因此，针对操作指令控制才是核心。对于服务器设备操作，Shterm可以对服务器超级顾客root操作权限进行控制，虽然是root顾客，权限也是受限制，可以限制root顾客只能执行某些操作（白名单）和无法执行某些操作（黑名单）。当多人同步使用一种root账号时，Shterm可以对同一种系统账号进行操作权限再分派，保证使用同一种root账号不同顾客拥有不同操作指令权限，彻底解决了共享root账号权限一致状况，真正实现细粒度操作权限控制。对于网络设备操作，Shterm可以保证虽然各种顾客在进入enable状态时候，提供高于网络设备系统更好级别控制力度，保证每一种顾客操作指令都能严格受到控制。对于操作权限控制意味着咱们从被动接受顾客输入到了积极控制。对于顾客操作可以有3种执行状态：容许执行，回绝执行，禁止执行。对于高危命令（删除，重起，关机等）可以实时告警，一旦高危操作触发，会及时给有关人员发送告警邮件，保证顾客在第一时间内懂得高危操作与否对系统导致了影响。 (5)完整操作审计运维操作审计是整个Shterm解决方案重要构成某些。管理员拟定了以操作网关方式来布置，解决了之前共享账号问题，配备了访问规则，明确了操作权限，那么最后也是最重要就是操作和操作审计。 Shterm支持运维操作方式和相应操作审计基本涵盖了当前公司寻常运维所涉及到绝大某些操作模式，涉及字符会话、图形会话、Web Client会话、文献传播、Oracle数据库操作审计等等。对不同会话采用不同审计方式针对字符会话，Shterm审计功能会完全记录所有会话内输入输出，并可以使用模式方式对这些输入输出进行查询以定位操作时间节点和操作内容。对于图形会话要采用全程录像和键盘鼠标操作记录，并在图形会话回放过程中同步显示出来。对于Web Client方式操作会话，也是当前非常主流一种操作模式，Shterm可以运用对于图形会话审计方式来审计Web Client方式会话，即，既涉及了图形录像也涉及了键盘鼠标记录，并且可以如图形会话同样，键盘输入信息可以进行完全检索以便迅速定位一种较长审计录像。针对文献传播，FTP、SFTP之类上传下载，Shterm支持所有信息记录，包括时间，人员，IP等等信息。对于Oracle数据库操作审计，采用跳板机和应用发布方式，可以把图形方式操作中数据库语句所有完毕审计到Shterm平台内。此外，Shterm对审计人员自身也有严格规定，一方面，对审计人员审计操作，Shterm有严格记录，审计管理员何时查阅了某个会话操作都要有明确记录。另一方面，Shterm支持非全局性操作审计，即，审计人员也没有权利审计所有会话信息，由于会话中也许包括了非常敏感甚至机密公司信息。 (6)自动化寻常运维中经常需要对某些操作进行重复性动作，例如每天去执行某些脚本、检测某些状态等，重复繁琐工作容易令人浮现操作失误。如果能通过某些技术手段，代替顾客重复操作，使顾客从重复繁琐工作中释放出来，可以让顾客有更多时间去专注于更多技术领域。操作自动化是运维操作管理终极目的，通过Shterm自动脚本功能，可让堡垒机自动协助运维人员执行各种常规操作，从而达到减少运维复杂度、提高运维效率目。 3、安恒明御®数据库审计与风险控制系统简介 (1)产品简介产品概述明御®数据库审计与风险控制系统（简称：DAS-DBAuditor）作为国内数据库审计产品领域第一品牌，是安恒信息结合近年数据库安全理论和实践经验积累基本上，结合各类法令法规（如SOX、PCI、公司内控管理、级别保护等）对数据库审计规定，自主研发完毕业界首创细粒度审计、精准化行为回溯、全方位风险控制数据库全业务审计产品。明御®数据库审计与风险控制系统可以协助您解决如下问题: n 辨认越权使用、权限滥用，管理数据库帐号权限 n 跟踪敏感数据访问行为，及时发现敏感数据泄漏 n 检测数据库配备弱点、发现SQL注入等漏洞、提供解决建议 n 为数据库管理与优化提供决策根据 n 满足法律、法规规定，提供符合性报告 n 低成本且有效履行IT管理制度 DAS-DBAuditor以独立硬件审计工作模式，灵活审计方略配备，解决企事业单位核心数据库面临“越权使用、权限滥用、权限盗用”等安全威胁，满足各类法令法规对数据库审计规定，广泛合用于“政府、金融、运营商、公安、能源、税务、工商、社保、交通、卫生、教诲、电子商务及公司”等所有使用数据库各个行业。DAS-DBAuditor支持Oracle、MS-SQL Server、DB2、Sybase、MySQL、Informix、CACHÉ、teradata、神通（原OSCAR）、达梦、人大金仓（kingbase）等业界主流数据库以及TELNET、FTP、HTTP、POP3、SMTP等，可以协助顾客提高数据库运营监控透明度，减少人工审计成本，真正实现数据库全业务运营可视化、寻常操作可监控、危险操作可控制、所有行为可审计、安全事件可追溯。技术优势技术优势功能价值超高性能多核、多线程解决：采用多核解决技术，结合自主研发多线程应用系统，单台最大可以达到50000条/秒解决能力，支持多台数据库服务器，减少顾客成本；分布式布置：支持分布式布置，并行解决，成倍提高业务解决能力，满足大型业务环境需求，兼顾将来扩容筹划；丰富规则和报表通过对大量项目实行经验总结，已经形成了丰富行业规则包和合规报表，涉及合规性规定、帐号管理、权限管理、认证管理、敏感数据安全等各种维度规则，系统默认配备60各种报表，解决普通审计产品规则设立困难、审计分析无从下手、报表过于简朴且无实际分析价值等问题。精准合同解析采用专利技术提高合同精确率。支持oracle、DB2、sqlserver等10各种主流合同，满足复杂环境应用；领先存储能力采用专用存储技术大大提高存储能力，最大可以存储7-10亿条审计日记，可以满足客户3-6个月日记存储规定；高效查询能力日记存储在自主研发专用数据库中，并为日记记录标记唯一序号，采用先进检索引擎，达到百万级每秒查询能力，并大大提高查询精确度；自身安全性采用RAID、冗余电源等硬件架构，以及三权分立、数据自动备份、详尽操作日记等技术保证审计记录不丢失，不被违规删除，满足法律法规规定；功能价值 n 丰富合同支持主流数据库 Oracle、SQL server、DB2、Mysql、Informix、CACHÉ、Sybase、PostgreSQL 国产数据库神通（原OSCAR）、达梦、人大金仓（kingbase）数据仓库 Teradata 其她合同 FTP、HTTP、Telnet、SMTP、POP3、DCOM等 n 细粒度操作审计细粒度审计 l 通过对不同数据库SQL语义分析，提取出SQL中有关要素（顾客、SQL操作、表、字段、视图、索引、过程、函数、包…）双向审计 l 不但对数据库操作祈求进行实时审计，并且还可对数据库执行状态、返回成果、返回内容进行完整还原和审计，同步可以依照返回成果设立审计规则多行为审计 l 实时监控来自各个层面所有数据库活动，涉及来自应用系统发起数据库操作祈求、来自数据库客户端工具操作祈求以及通过远程登录服务器后操作祈求等 n 多层业务关联审计 B/S三层架构支持HTTP祈求审计，提取URL、POST/GET值、cookie、操作系统类型、浏览器类型、原始客户端IP、MAC地址、提交参数等；通过智能自动多层关联，关联出每条SQL语句所相应URL，以及其原始客户端IP地址等信息，实现追踪溯源； C/S三层架构在公司、医院等行业客户中，也某些采用C/S/S三层架构，同样面临追踪溯源难题，DAS-DBAuditor支持基于DCOM三层架构自动关联。运维审计关联通过运维审计产品进行统一认证、授权后，也将面临追踪溯源难题，DAS-DBAuditor支持与运维审计产品关联，实现原始操作者信息追踪 n 全方位风险控制灵活方略定制依照登录顾客、源IP地址、数据库对象（分为数据库顾客、表、字段）、操作时间、SQL操作命令、返回记录数或受影响行数、关联表数量、SQL执行成果、SQL执行时长、报文内容灵活组合来定义客户所关怀重要事件和风险事件自动建模 DAS-DBAuditor支持自动建模，可以非常以便理解整个数据库容许状态，协助管理员形成有效审计规则，迅速辨认越权操作、帐号复用、违规操作等行为。多形式实时告警当检测到可疑操作或违背审计规则操作时，系统可以通过监控中心告警、短信告警、邮件告警、Syslog告警、SNMP告警、FTP告警等方式告知数据库管理员 n 报表 l DAS-DBAuditor报表系统涉及预定义报表和自定义报表两大模块，可以迅速生成对安全事件报表，并以PDF等格式导出。审计管理员报表支持从审计设备运营状况、安全事件、帐号增删、密码与否修改等角度形成报表系统管理员报表支持从权限变更、数据库权限分派状况、DDL/DML等特权操作、SQL语句类型和使用比率等角度形成报表合规性报告可以形成符合SOX（塞班斯）法案、级别保护、分级保护等法规符合性综合报告 n 静态审计 l 除了提供实时动态审计功能，还提供了可选扫描审计模块对数据库不安全配备、弱口令等进行检测和审计，并提供安全加固建议。 n 和谐真实操作过程回放 l 对于客户关怀操作可以回放整个有关过程，让客户可以看到真实输入及屏幕显示内容，并可以通过精细内容检索，对特定行为进行精准回放，如执行删除表、文献命令、数据搜索等。典型布置 DAS-DBAuditor可以在不变化既有网络体系构造、不占用数据库服务器任何资源、不影响数据库性能状况下，迅速布置到业务系统网络中。简朴布置模式分布式布置模式典型应用案例 l 安恒信息助力“国信证券”通过“级别保护”三级测评背景简介和需求国信证券在信息科技建设方面始终走在行业前列，国信证券筹划对集中交易系统网上交易系统、营业部交易系统、CRM系统等几种核心系统数据库进行全面升级改造，通过布置数据库安全审计系统来加强数据库安全访问管理，全方位提高集中交易系统及CRM系统安全应用级别，以实现对数据库非法行为事前防止、实时告警、事后追查等功能，并满足级别保护测评规定。解决方案集中交易系统是国信证券最核心资产，并且数据流量比较大，安全可靠性规定高，因而建议在集中交易系统5个核心交易系统中分别布置一台明御数据库审计与风险控制系统采集器。在总控系统中布置1台明御数据库审计与风险控制系统采集器，并布置1台数据库审计管理中心。此外需要在CRM和网上交易等系统中布置1-2台明御数据库审计与风险控制系统采集器。所有采集器通过网络把数据上传到管理中心，客户通过管理中心统一进行查询管理等。客户价值 n 全面满足国家级别保护三级测评规定，成功通过测评认证； n 可以从合法、合规方面满足证监会对信息化监管规定； n 从帐号管理、权限管理等多维度进行监控，助力IT管理制度实行； n 建立数据库权限模型，为数据库安全建设提供优化经验； n 定期评估数据库漏洞，防止数据库密码破解 n 数据库操作全审计，不放弃任何可疑统方行为 n 双向审计，精确判断违规统方行为 n 丰富审计报表，满足纠风办审计需求 n 短信、邮件告警，第一时间理解违规统方行为 (2) 产品规格: 类别分布式布置管理中心产品型号 DAS-AC1000 规格 2U 日记数量 (最详细日记) 20亿条 RAID RAID5 HBA 有网口数量 2 网路类型电口电源 1+1冗余电源功率 450W

展开阅读全文