SiCAP堡壘機升級替換解決方案-

需求場景
需求分(fēn)析
解決方案
方案優勢

需求場景

我(wǒ)國金融行業由于安全性要求較高，針對運維安全，一(yī)直有使用堡壘機。目前，一(yī)方面，由于堡壘機采購時間較長，廠商(shāng)無法繼續提供良好的堡壘機産品維保服務；另一(yī)方面，随着金融電(diàn)子化管理的發展，金融行業IT資(zī)産逐年增加，原有堡壘機産品已不能夠滿足金融行業的運維安全需求，例如在多項内外(wài)部審計的報告中(zhōng)指出，目前堡壘機存在無法對數據庫賬号進行自動改密的問題，但原堡壘機設備難以通過定制化開(kāi)發實現此功能，需通過升級替換解決上述問題，需要在保證現有功能和系統安全性的前提下(xià)，進一(yī)步提升安全管控，減少人工(gōng)幹預節點，防範人爲因素引發的安全風險。

需求分(fēn)析

IT資(zī)産逐年增加，需通過自動化手段提升IT資(zī)産信息管理效率與操作簡便性
需了解各部門IT資(zī)産信息，充分(fēn)掌握資(zī)産整個生(shēng)命周期狀況，提供變更風險預警
業務系統繁多，資(zī)産數據割裂，缺乏有效分(fēn)析，需構建業務視角了解業務全局運行态勢
需加強運維操作過程中(zhōng)的安全管控，對違規操作進行智能判斷和實時阻斷，方便監管與審計
鑒于數據庫賬号的重要性，提高對數據庫賬号的安全管理，如數據庫賬号改密驗密；需通過自動化技術和智能分(fēn)析手段，提升日常運維效率，降低人爲操作風險

解決方案

01 資(zī)産自動化配置管理

● 提供資(zī)産的自動化發現、統一(yī)化管理，支持全網掃描、從種子掃描、手動添加三種掃描方式，将雜(zá)亂無章的資(zī)産進行有序整理，形成有序設備列表，對資(zī)産全生(shēng)命周期管理。
● 建立資(zī)産配置基線并統一(yī)管理，可靈活簡便配置；可查看配置項變更記錄，快速、清晰了解發生(shēng)變更的配置項及其變更内容；支持資(zī)産配置自動化采集，自動更新資(zī)産配置，減少運維工(gōng)作量及錯誤率。
● 支持資(zī)産業務建模，從業務視角建立業務系統與資(zī)産之間的關聯關系，并進行可視化方式展現。
02 安全運維與審計

● 支持運維會話(huà)審計，查看運維會話(huà)的操作命令與命令返回信息，支持記錄RDP協議中(zhōng)鍵盤、鼠标、剪切闆事件，并可進行錄像回放(fàng)、批量審核等操作。
● 支持配置運維審計規則，對運維操作采取放(fàng)行、命令告警、會話(huà)阻斷、命令阻斷等操作，并可通過多種方式發送告警通知(zhī)，從而能夠更好的提高系統的安全性。
● 支持通過對運維人員(yuán)操作進行智能學習，對風險操作或高危操作進行預警或阻斷。
● 系統内置七種特殊運維場景，可申請黑名單中(zhōng)命令使用權限進行特殊運維；内置在線審批與離(lí)岸審批兩種審批方式，支持設置多級審批以及代理人審批，保證運維人員(yuán)排障工(gōng)作及時進行。
● 提供完備的雙人協作功能，可對敏感命令進行雙人複核，預防潛在風險；對核心資(zī)産的密碼由雙人分(fēn)段管理，确保安全；支持運維人員(yuán)面對運維複雜(zá)的運維環境，邀請專家協助支撐，快速解決運維難題。
● 支持通過定時任務，實現包括數據庫資(zī)産在内的資(zī)産賬号自動改密、驗密，加強了資(zī)産賬号安全性。
03 自動化運維

● 提供了豐富的腳本庫，并支持腳本自定義。
● 支持批量選擇多個設備和多個腳本，任務到期自動執行，執行的結果自動保存。
● 支持資(zī)産配置自動獲取，能對IT資(zī)産進行定期的複核，了解IT資(zī)産整體(tǐ)狀況。
● 支持自動化巡檢，設置巡檢任務，了解資(zī)産配置變更信息、可用性信息、安全信息。
● 支持選擇編排和腳本來執行自動化作業，實現一(yī)整套自動化執行的作業流程。

SiCAP堡壘機升級替換解決方案的實施，在保證了完全滿足與兼容舊(jiù)版堡壘機各項功能的前提下(xià)，進一(yī)步提升了安全管控，減少了人工(gōng)幹預節點，防範了人爲因素引發的安全風險，實現了運維自動化，提供了以下(xià)價值

完善體(tǐ)制，符合法規
完善了運維監管體(tǐ)系，符合相關的行業标準和相關的法律法規，确保公司在審計檢查中(zhōng)符合相應的檢查标準。
一(yī)體(tǐ)化平台管理
将多個安全管理工(gōng)具統一(yī)入口，打通運維人員(yuán)、資(zī)産、流程和數據等環節，形成運維、安全、數據三位一(yī)體(tǐ)的一(yī)體(tǐ)化管理平台。
資(zī)産管理自動化
提供了資(zī)産CMDB信息的自動發現、自動收集、自動核查與巡檢，并支持資(zī)産業務建模，達成了IT資(zī)産多維度、可視化、自動化的全生(shēng)命周期統一(yī)管理。
規避風險，減少故障
有效地提高了運維監管能力，通過實時監控、黑白(bái)名單等控制手段，降低了由于誤操作、惡意操作帶來的運維風險；通過定時任務進行資(zī)産賬号的自動改密，加強了資(zī)産賬号的安全性。
有效審計，責任到人
可有效地确定每一(yī)次運維操作的人員(yuán)、帳号、主機、操作，從而明确何時、何人、用什麽、對什麽、做了什麽的記錄，将每一(yī)個操作都能落實到人，從而做到誰做的誰負責的責任到人管理機制，加強了審計能力，提高了審計結果準确性。
單點登錄，提高效率
将所有的運維主機統一(yī)管理，對主機上的帳号統一(yī)管理，運維人員(yuán)僅需記錄自己的帳号、密碼，無需再記錄數目繁多的主機帳戶及密碼，在有效提高工(gōng)作效率的同時也保障了運維主機的安全性。
流程審批，管理到位
可将所有的運維申請、審批、運維操作進行全程管理、日志(zhì)留存，有效地保證了日常審批工(gōng)作的安全監管，同時将用戶的申請與用戶的實際操作有效的關聯，對安全操作的審查提供更加準确和便捷的關聯查詢，提高了日常審計工(gōng)作效率。
資(zī)産運維自動化
自動化機制減少了日常運維工(gōng)作量，降低了人爲操作風險。例如，自動巡檢、安全檢查、補丁下(xià)發、任務編排等，通過運維知(zhī)識庫和腳本任務的自動化執行，給運維人員(yuán)提供全方位自動化輔助，在減少人爲操作風險的同時也提升了運維效率。

方案優勢

通過升級部署SiCAP堡壘機升級替換解決方案，金融行業客戶可獲得以下(xià)收益

(1)規避了産品老化帶來的硬件故障風險。
(2)實現了資(zī)産的統一(yī)管理、分(fēn)級管理、自動化管理。
(3)符合了總行對數據庫賬号的管理要求，實現了數據庫賬号的自動改密。
(4)實現了運維操作的事前預防、事中(zhōng)控制、事後審計，全面保障了運維安全。
(5)實現運維、巡檢自動化，防範了人爲因素引發的安全風險，提升了日常運維效率。