指標體系的平台技術實現
合規性管理的指標體系各有不同,一般根據符合性要求來制定評價指標。例如以下介紹的4a結合sox的符合性要求和等級保護的符合性要求,相應的評價通過平台的技術方式來實現。
隨著企業業務網發展,其內部使用者數量持續增加,網路規模迅速擴大,安全問題不斷出現。而每個業務網系統分別維護一套使用者資訊資料,管理本系統內的賬號和口令,孤立的以日誌形式審計操作者在系統內的操作行為。現有的這種賬號口令管理、訪問控制及審計措施已遠遠不能滿足自身業務發展需求,及與國際業務接軌的需求。問題主要表現在以下幾方面:
1.大量的網路裝置、主機系統和應用系統分屬不同的部門或業務系統,認證、授權和審計方式沒有統一,當需要同時對多個系統進行操作時,工作複雜度成倍增加;
2.一些裝置和業務系統由廠商代維,因缺乏統一監管,安全狀況不得而知;
3.各系統分別管理所屬的系統資源,為本系統的使用者分配訪問許可權,缺乏統一的訪問控制平台,隨著使用者數增加,許可權管理愈發複雜,系統安全難以得到充分保障;
4.個別賬號多人共用,擴散範圍難以控制,發生安全事故時更難以確定實際使用者;
5.隨著系統增多,使用者經常需要在各系統間切換,而每次切換都需要輸入該系統的使用者名稱和口令,為不影響工作效率,使用者往往會採用簡單口令或將多個系統的口令設定成相同的,造成對系統安全性的威脅;
6.對各個系統缺乏集中統一的訪問審計,無法進行綜合分析,因此不能及時發現入侵行為。
綜上,由於缺乏統一的4a管理平台,加重了系統管理人員工作負擔,同時,因各業務系統安全策略不一致,實質上也大大降低了業務系統的安全係數。
4a包括統一使用者賬號(account)管理、統一認證(authentication) 管理、統一授權(authorization)管理和統一安全審計(audit)四要素。
融合後的平台將涵蓋單點登入(sso)等安全功能,既能夠為客戶提供功能完善的、高安全級別的4a管理,也能夠為使用者提供符合薩班斯法案(sox)要求的內控報表。
採用4a統一安全管理平台能夠解決企業當前在賬號口令管理、訪問控制及審計措施方面所面臨的主要問題。平台由5個子系統組成:統一的4a管理平台、統一的認證授權子系統、統一的賬號管理子系統、統一的日誌審計子系統、網路行為審計子系統。
統一4a管理平台向其它四個子系統傳遞配置引數,包括認證引數、賬號引數、審計策略引數等,而四個子系統則將自身的執行狀態值傳遞給統一4a管理平台;
統一4a管理平台上各引數的變更,以及各告警值通過syslog的方式傳遞給統一日誌審計子系統;
統一認證授權子系統對使用者進行統一接入認證後,產生的認證記錄通過syslog的方式傳送給統一日誌審計子系統;
統一賬號管理子系統對使用者賬號進行維護的操作通過syslog的方式傳送給統一日誌審計子系統;
網路審計引擎部件將採集到的日誌資訊通過syslog方式傳送給統一日誌審計子系統。
平台化所帶來的收益:統一認證、授權和審計,工作複雜度大幅度降低;統一監管,安全狀況盡在掌握;避免多人共用相同賬號,安全事故易於追蹤;單點登入(sso)免去使用者在各系統間切換時,需要再次輸入使用者名稱和口令的繁瑣;對各個系統進行統一的訪問審計,利於綜合分析,及時發現入侵行為;與薩班斯法案(sox)內控需求一致。
傳統的安全管理方式是將分散在各地、不同種類的安全防護系統分別管理,這樣導致安全資訊分散互不相通,安全策略難以保持一致,這種傳統的管理執行方式因此成為許許多多安全隱患形成的根源。等級保護核心平台是針對傳統管理方式的一種重大變革。它將不同位置、不同安全系統中分散且海量的單一安全事件進行彙總、過濾、收集和關聯分析,得出全域性角度的安全風險事件,並形成統一的安全決策對安全事件進行響應和處理。等級保護核心平台的主要功能如下:
2、 等級保護核心平台的風險評估功能不僅能滿足安全需求分析時的風險評估要求,也可以很好的滿足等級保護標準中所要求的定期風險評估要求,等級保護的標準要求系統建設完畢後仍要定期進行風險評估以驗證系統的安全性,啟明星辰等級保護核心平台對風險評估的良好支援可以有效滿足標準中的這項要求。
3、 等級保護核心平台可以監控各個網路裝置、作業系統等日誌資訊,以及安全產品的安全事件報警資訊等,以便及時發現正在和已經發生的安全事件,例如網路蠕蟲攻擊事件、非授權漏洞掃瞄事件、遠端口令暴力破解事件等,及時協調和組織各級安全管理機構進行處理,及時採取積極主動措施,保證網路和業務系統的安全、可靠執行。
4、 等級保護核心平台可以幫助使用者掌握全網各個系統中存在的安全漏洞情況,結合當前安全的安全動態和預警資訊,有助於各級安全管理機構及時調整安全策略,開展有針對性的安全工作。
5、 使用者通過等級保護核心平台所掌握的全網安全執行動態,可以有針對性指導各級安全管理機構做好安全防範工作,特別是針對當前發生頻率較高的攻擊做好預警和防範工作。
6、 等級保護核心平台根據安全事件生成的事件通知單的處理過程進行管理,將所有事件響應過程資訊存入後台資料庫,並可生成事件處理和分析報告。
技術平台與業務平台的區別
技術平台有效降低了軟體公司的開發成本,技術平台的優劣,直接體現了乙個軟體公司的核心競爭力的優劣。沒有自己技術平台或技術平台不夠先進的軟體公司就像沒有核心競爭力的公司那樣,最終被淘汰出局,因為客戶永遠追求物美價廉的產品。什麼是業務平台?技術平台畢竟是 技術 平台,無論怎麼完善和拓展也只是乙個 技術 平...
歸檔技術的平台支援
奢侈品對傳統有很深的情結。時尚界的 老佛爺 卡爾 拉格菲爾德曾借用德國作家 詩人歌德的話來描述他對品牌傳統的理解 在過去的基礎上,創造更好的未來。對於傳統的不間斷記錄形成了今天有據可查的奢侈品檔案。因此,企業需要認清歸檔和備份之間的差異,才能找到將這些核心功能整合到乙個具有合力的整體資料管理結構中的...
支付平台技術實現之八 業務對賬
系統對賬 支付平台通常需要和其他業務系統進行對賬,對賬的模式有兩種 一種是他系統發對賬流水,支付平台進行勾對 另外一種是支付平台生成對賬流水,他系統勾對。兩種對賬方式的設計如下 1 設定外圍對賬參數列,定義與各業務的對賬模式 2 設定外圍對賬控制表,控制對賬執行步驟 3 對於他行發對賬流水,支付平台...