您好,欢迎访问专业IT管理知识分享平台

上传文档

当前位置:首页 > 文章列表 > 某银行:运维内控体系建设

「ITIL文章」某银行:运维内控体系建设

项目背景及目标

随着国内等级保护体系的建设,对企业IT内控的要求也越来越高。调查结果表明,在可统计的安全事件中,70%以上都是由于内部人员所为,尤其是管理维护人员的操作,这其中包括了越权访问、误操作、滥用、恶意破坏等等行为。系统维护人员主要通过Telnet、SSH、VNC、RDP等方式对核心主机、系统设备进行维护操作,如何规范管理员的访问权限、记录维护操作行为和事中监督、事后审计,成为了运维内控体系建设的重点。


某银行信息系统建设发展迅速,逐步建立起了以IBM-I系列系统为核心交易处理主机、以IBM-P系列、HP9000系列、PC服务器为前置处理系统的信息系统。某银行总行生产环境共有设备近400台,采用的维护方式是每台主机为系统管理员建立不同类别的维护用户,通过终端服务器以加密方式(SSH和SSL方式)实现与各被管理服务器之间的安全连接,以手工命令、菜单、脚本直接对运维对象进行操作。


某银行系统运维依靠制度约束和人工控制的方式,在用户管理、访问控制和行为审计方面已经制定了相关的制度、流程和规范,并在部门领导的大力推动下基本落实。然而日常操作依靠制度遵从的人工控制运维管理方式存在如下几个方面的问题:


1、系统管理员需要牢记

系统的诸多用户和复杂的密码,并需要定期修改密码,给日常工作带来一定难度;


2、系统用户管理(如密码的定期变更)分散在各个系统,用户管理策略难以统一,检查落实难度较大;


3、系统管理员所访问的系统及访问权限依赖管理员对规章制度的遵守程度,缺乏有效的技术手段进行监督和控制;


4、系统管理员的操作难以进行实时监控和事后有效的审计;


5、身份认证强度不够。


目标:

1、全面实现严格规范的系统用户管理

遵循有且仅有的原则,除超级用户外,根据各系统建设维护需要,建立应用管理用户、数据库管理用户和只读权限的监控用户,根据不同的岗位角色授子相应的权限,实现系统的日常管理维护,统一制定密码策略实现口令安全,按照高权限用户(超级用户、应用管理用户和数据库管理用户)口令变更计划经审批后进行修改并密封保存。


2、建立高强度的身份认证

使用静态密码和动态口令相结合的认证方式,验证通过后,方能成功登录,实现双重保险。令牌口令动态产生,一次一密,不易破解。


3、建立严谨规范的访问控制流程

预先规划和审批用户的访问权限;实现管理员通过统一的入口实现用户身份认证,在入口处设置访问控制策略,控制每个用户所能访问的设备和相关的访问权限。通过事前防范、事中监控、事后审计三个阶段来控制运维操作的风险。


4、全面实现对用户的行为审计

记录系统维护人员的操作,提供操作历史查询和重放功能,与操作系统审计功能结合,从用户行为和系统行为两个方面进行审计。通过监督运维人员操作,分析管理员的操作行为,发现不良操作习惯,并能有针对性的进行改进和规范,提升管理人员对操作人员和整个系统的控制和监管能力。


5、系统扩充灵活

随着新增的信息系统的不断上线,各类型的操作系统均可以通过运维内控审计系统进行管理和维护,不限制接入物理设备的数量,总、分行均可部署使用,同时兼容AS400、开放式系统和Windows系统各种不同的机型。


项目方案

1、系统业务框架图


运维操作必须通过运维内控审计系统才能访问并对受控的系统资源进行维护。由此,把需要受控的系统资源纳入由运维内控审计系统管理安全域内。在一般情况下,直接访问和操作受控系统资源均是被禁止的。


2、系统逻辑框架图


运维内控审计系统支持Tenlnet、FTP、SSH、RDP、5250等多种通讯协议连接,管理台提供用户管理、身份认证、访问控制和审计管理多种服务功能,数据存储主要包括数据和日志文件的部分。


访问主体是指系统运维人员和平台管理人员。访问资源是指受运维内控审计系统安全区域保护的AS400主机、各种服务器等。系统运维人员可通过客户端登陆堡垒机,经认证和鉴权后,访问受运维内控审计系统保护的访问资源进行日常维护,访问时的具体活动被实时监控并记录日志供事后审计回放。而平台管理人员可登陆管理台对运维内控审计系统本身进行管理。


3、系统安全框架图


包括6个方面:

1、用户管理:对运维过程的用户进行统一管理。


2、身份认证:任何登录该系统的用户都应当经过统一的身份认证,只有通过统一身份认证系统的认可,用户才能继续后续的运维操作。


3、访问控制:一个合法用户可以访问的受控IT资源范围,应当由系统通过统一访问控制提供一种管理和限制机制。


4、高权限帐户审批:提供对高权限帐户的申请审批流程,并可在运维过程中结合相应的安全策略进行二次认证。


5、行为控制:合法用户在对允许访问的受控IT资源进行运维操作时,系统应当提供针对运维操作的输入进行监控的能力,同时提供相关规则的管理能力。


6、审计管理:系统应当能够从登录堡垒机开始直至运维操作结束、登出,提供全程的、完整运维过程的事件、行为的记录和审计能力。


通过以上6种贯穿运维全过程的安全机制,实现运维工作在安全层面的事前防范、事中监控和事后全程审计的安全理念。


创新点

1、强认证方式

为提高系统安全性,运维内控审计系统采用强认证方式。技术方案中选择动态口令令牌技术来实现强认证,动态口令令牌认证方式在金融同业和其他行业中应用最为广泛,而且技术方案成熟;动态口令令牌认证方式成本较其他强认证方式低廉。


动态口令令牌技术包含令牌和服务器两个部分。在服务器数据库保存每个令牌的种子口令,并能够根据令牌种子口令和当时时序状态或者时间计算最新的动态口令。用户持有令牌,该令牌的特点是根据时序或者时间动态产生口令。将动态口令输入到服务器,由服务器将用户令牌动态口令与服务器动态口令进行比对以确认用户身份。在本项目中,认证方式结合了静态密码技术,用户必须同时输入静态密码和动态口令,验证通过后,方能成功登录。该技术的特点是口令动态产生,一次一密,不易破解;结合动态口令和静态密码的优势,实现双重保险。


2、高权限帐户审批流程

运维内控审计系统中对高权限帐户的审批流程将通过两个步骤进行:


运维用户对高权限帐户的发起使用申请;


主管将对申请进行确认;


授权管理员(或服务台)对该用户进行授权,并设定访问时效;


该运维用户实际使用该高权限帐户时需电话联系主管,由主管告知此时的动态令牌密码,以进行二次认证过程。


从申请、授权、批准、二次认证到运维的整个过程都将留下详细的审计日志。


过程结束后,主管将通过工作流获知该用户的运维过程及是否有违安全策略的相关事项。


3、访问控制

访问控制主要包括三部分,资源管理,角色管理,授权关系管理。通过资源管理将被管理的设备和系统账号统一到一个标准的视图中;角色管理的主要内容是定义访问被管资源的各种权限和权限组合;访问控制管理就是将适当的访问权限和角色分配给授权主体,实现访问权限的合理分配和最小化;安全策略管理是指将其他相关的控制操作风险策略与用户关联。


资源管理:资源是信息安全的客体,本项目主要包括两种:主机、登录主机使用的帐户和协议。运维平台提供了信息系统的资源的分组管理。


访问控制管理:管理员可以直接通过建立用户(或用户组)到资源集合的关系来建立访问控制。


遵照“职责分离”、“知所必需”及“最小授权”原则,用户访问信息系统资源通过授予用户的角色来描述,角色影射到系统范围的操作权限和资源。根据资源域、资源组和角色(用户组),实现对用户的授权和访问控制功能,以控制用户访问系统的范围和权限。除了直接禁止系统管理维护人员执行敏感操作和违规操作以外,可以在通过授权审批后有条件地允许管理维护人员执行部分敏感操作。根据操作的内容可以将操作行为划分成不同的安全级别,不同的操作人员有不同的安全级别。当操作人员执行超过自身允许的安全级别的操作时则需要授权管理人员的审批。授权管理人员也有各自的审批级别和审批范围。该系统支持多层逐级授权和跨级强制授权。


结合相应的安全策略,用户的访问控制可以进行更加细粒度的控制。例如:可以设置用户必须在指定的IP/MAC地址客户端进行登录;可以设置用户必须在规定的时间段使用该访问权限进行运维;可以设置用户长时间未进行操作自动断开连接等等。


所有的访问控制将留下详细的管理审计日志:申请/审批记录;二次认证确认记录;安全策略违背记录等等。


4、安全策略

运维内控审计系统将提供以下安全策略,来帮助管理用户的流程控制和访问控制:


密码策略:用来控制用户静态口令、PIN码等的设置,提高凭证的安全级别。


认证策略:用来控制用户认证过程的限制,行为分析等,比如,如果连续多次认证失败,可以通过定义策略动作来锁定凭证、触发事件等进行策略匹配处理;不同的安全级别的系统设备及帐户,需采用不同安全强度的认证方式等。


访问策略:用来控制用户访问资源的限制,比如,只能在规定的地点范围访问系统或资源。


技术实现特点

1、可维护性

运维内控审计系统采用访问网关的实现模式,无需在目标主机端安装Agent,因此不会影响现有系统的运行效率,也不存在安全性方面的影响。同时,运维内控审计系统的升级和维护只在系统安装部署的主机上进行,不会影响到被管系统的使用。


2、健壮性

平台时需要考虑应急情况下的响应方法,确保在发生故障的情况下能够快速进入应急响应程序,维护业务的连续性。


平台是业务系统的统一认证与管理入口,其自身的硬件、软件、平台必须拥有完整的自有高可用性能力,以保证在特殊情况下的系统稳定性和高可用性,满足业务连续性要求。


平台必须支持数据备份和恢复,在必要情况下可以快速进行数据恢复。


3、扩展性

当进行业务扩展时,系统在数量上会增加,平台需要能够接纳这些新增主机,需要保持足够的平台扩容空间。

运维内控审计系统本身不控制主机的数量,当进行业务扩展时,系统能够接纳这些新增主机;另外,系统运行过程中,产生的主要是审计日志信息,当加入新的主机后,主要考虑日志存储的容量问题。


项目过程管理

1、项目组织管理

建立项目化的组织结构,科学管理,以双方领导推动、监督整个项目的进展,配备业务、技术多层面的专家。


2 项目人员管理

为保证项目的顺利进行,公司组建一支高效的项目团队,并严格执行“ISO9001质量管理体系”控制流程,确保项目顺利实施。


3、项目计划与进度管理

(1)制定项目计划

(2)项目进度控制,包含项目进度报告、进度分析与控制、进度计划变更等


4、项目沟通管理。项目沟通管理相关制度包括:

(1)项目决策制度,项目决策制度的主要原则包括:自主发起决策原则;项目经理首先决策原则;

重大问题书面决策原则;项目领导小组最终决策原则。


(2)项目交流制度。项目交流制度的主要原则如下:问题及早提出原则、及时澄清准则。


(3)例会制度,包括周例会、月例会和专题会议。


(4)问题与争议管理原则

问题及早报告原则:对于项目中出现的问题,问题发起人必须在问题发生的三日之内,向项目经理提交报告。问题如没有及早报告,导致的项目影响,由延误报告人承担。


争议解决方案:在项目中,任何不能达成一致的观点均为争议。争议应立即向项目的上一级机构呈报,最终呈报至项目领导小组。领导小组不能达成一致意见,遵循“谁决策,谁承担决策失误给对方和项目带来的损失”原则。


5、项目风险管理。主要风险因素包括:

(1)资源风险。规避方法:公司将最大限度的保障专业技术人员。公司还将加强项目组的文化建设,提高项目凝聚力,避免人力变动的风险。


(2)成本风险。规避方法:首先制定项目预算,作为项目成本控制的依据。通过项目费用报告、成本分析与控制、项目预算调整,进行项目成本控制。


(3)质量风险。规避方法:对项目的阶段成果按计划进行评审,严格参照事先制定的质量标准体系进行检查,及时修正并解决客户提出的质量问题。


6、 项目成果版本管理

公司采用配置管理工具,在项目启动阶段首先在软件中定义该项目的成员以及每个成员的读写权限,根据项目计划建立阶段性成果目录和相应的子目录,项目组成员根据规则存放各阶段成果,并分配成果权限。同时还将建立版本管理制度,按计划进行版本的申请与发布。


运营情况

自2010年以来,某银行xigemaUSP系统持续稳定运行,并追加了二期、三期、四期、五期系统扩容建设项目工程,目前,某银行项目工程已经验收,项目进入系统维保阶段。


项目成效

xigemaUSP堡垒机系统在某银行上线运行十年以来,针对某银行总行的运维安全管理,实现全行的策略管理、统一访问Portal页面、集中身份认证、统一授权及认证请求转发等功能,对某银行业务系统的系统资源账号、维护操作实施集中管理、访问认证、集中授权和操作审计。


通过某银行xigemaUSP堡垒机系统的建设,最终达到以下目标:


1、通过xigemaUSP堡垒机系统的建设为某银行的系统资源运维人员提供统一的入口,支持统一身份认证手段。在完成统一认证后,根据账号所具有访问权限发布、管理、登录各个主机、网络设备、数据库。


2、系统应根据“网络实名制”原则记录用户从登录系统直至退出的全程访问、操作日志,并以方便、友好的界面方式提供对这些记录的操作审计功能。


3、系统应具备灵活的管理和扩展能力,系统扩容时不会对系统结构产生较大影响。


4、系统应具备灵活的授权管理功能,可实现一对一、一对多、多对多的用户授权。


随着某银行系统安全运维工作的不断地深入和发展,xigemaUSP系统也得到了持续的丰富和完善。


经验总结

某银行xigemaUSP项目经历了十多年的建设历程。xigemaUSP堡垒机系统的技术框架已由CS和BS结构转变为WEB结构。新版的xigemaUSP堡垒机系统即将升级到云环境下运行,成为集成化的信息安全的综合管控系统。


随着市场形势的变化,xigemaUSP堡垒机系统产品研发面临着技术和市场的双重挑战。然而,面向客户的DevOps产品设计理念使能够软件产品本身发生了改变,在产品的客户化实践过程中,软件开发人员(Dev)和IT运维技术人员(Ops)之间达成了沟通与合作,通过规范化的软件交付、架构变更的产品研发流程,更加地快捷、频繁和可靠地完成软件构建、更新、测试、发布软件,从而提高了软件产品的适应性。因此,尊重客户价值的市场理念--DevOps软件产品研发理念促进了xigemaUSP堡垒机产品的更新换代。


首先,DevOps软件产品研发理念的强调协作,而不是文档。在产品研发全生命周期模型中,项目中的所有工作步骤都应该在SOW(工作声明的缩写)中进行描述。工程师们被要求说他们想说的话,写他们说过的话,做他们写过的事。文档在项目的每个步骤中都是必不可少的。当客户的要求经常改变时,工程师们就会忙着写文件。结果,一些客户需求的实现被忽略了。而DevOps软件产品研发理念强调工程师和客户之间的协作,允许多次重复迭代来实现客户的需求。有经验的工程师将作为迭代控制负责人,最终决定迭代收敛的次数,而熟悉业务的客户将作为项目的所有者以保证系统业务需求的落实。为了提高效率,DevOps软件产品研发理念鼓励工程师以简单的方式完成工作,而不是把所有工作步骤的文件都写得很详细。工作目标转向最大限度地满足客户,而不是完成文档中记录的任务。


其次,DevOps软件产品研发理念鼓励接受变化,而不是仅仅坚持一个一成不变的工作计划。在产品研发全生命周期模型中,项目方案严格按照SOW进行设计,工程师的开发活动须遵循项目工作计划,当项目中发生必要的变更时,必须通过变更控制委员会(变更控制委员会的缩写)进行审计。显然,产品研发全生命周期模型不适合变化。随着互联网的发展,网络安全软件已经成为一个问题驱动的软件产品,在项目开发过程中会发现的新的安全问题,急需在开发过程中加以解决。小型产品研发公司往往采取模仿市场上流行的产品来适应这种变化。DevOps软件产品研发理念则鼓励工程师接受变更,因而成为开发xigemaUSP堡垒机产品的更好的研发策略。只有在对变化的适应的过程中,xigemaUSP堡垒机产品质量和客户服务才能得到根本的保障。


最后,DevOps软件产品研发理念尊重客户的价值,而不是简单地只是追求产品的利润。产品研发全生命周期模型是控制工程成本的一种有效方法,任何超出工作范围的工作,在没有落实成本的情况下不能开发,而关于成本的合同谈判是基于SOW的。当客户的需求发生变化时,产品厂商是没有任何责任去满足客户的进一步需求。但是,DevOps软件产品研发理念尊重客户的价值,鼓励工程师们通过迭代的方法来应对客户需求的变化。与基于产品全生命周期模型定价的SOW不同,所以,DevOps软件产品研发理念需要采用工作量成本计价方法。相比基于工作内容的定价方法,工作量成本计价方法更为复杂,但对厂商和客户都有益处。


总之,DevOps软件产品研发理念鼓励工程师以更高的效率工作,通过迭代过程,最大限度地满足客户的需求。DevOps软件产品研发理念促进了xigemaUSP产品研发的解决方案、服务定价、服务管理、产品质量得到全面的提升。DevOps软件产品研发理念也促进产品厂商更加尊重客户的价值,并以合理的方式确定产品价格,通过选择有效的生产规模,获得良好的产品的利润。



热门活动
公众号回复:干货,参与活动免费领取价值58元体系文档





公众号回复:培训,参与活动免费领取价值千元ITIL4培训费抵用卷

谢原作者的辛苦创作,如转载涉及版权等问题,我们将在第一时间删除.

联系邮箱:admin@itilzj.com

官方网站:www.itilzj.com

您的在看和转发是我们前进的动力,你在看吗 ?


转载声明:本文转载自「ITIL之家」,搜索「itilzj」即可关注,[阅读原文]。

暂时没有评论,评论一个吧?

您需要登录后才能评论 , 去登录

发表文章

Powered by DS文库

Copyright © 专业IT管理知识分享平台 All Rights Reserved. 鄂ICP备19005274号-1
×
保存成功