返回列表 回復 發帖

“內控堡壘機”的前世今生(3)

2009年3月,銀監會為加強商業銀行資訊科技風險管理,發佈了《商業銀行資訊科技風險管理指引》,該指引中重點闡述了資訊系統風險管理和內外部審計要求,特別是要求審計貫穿資訊科技活動的整個過程之中。另外,在《國家電網SG186工程防護總體方案》、《中國移動集團內控手冊》、《中國電信集團內控手冊》等行業要求中也均明確要求採取資訊系統風險內控和審計技術手段。

  目前,隨著資訊安全建設的深入,安全審計已成為國內資訊安全建設的重要技術手段。總體來看,由於資訊系統發展水準和業務需求的不同,各行業對安全審計的具體關注點存在一定差異,但均是基於政策合規、自身安全建設要求,如:政府主要關注如何滿足“資訊系統安全等級保護”等政策要求的合規安全審計;電信運營商則基於自身資訊系統風險內控需求進行安全審計建設。

  綜上所述,在企業資訊系統自身安全管理需要和國家行業的審計不斷提升的要求下,各行業單位對於堡壘機的需求,必將在近三年內達到一個井噴的市場高潮。

  那麼,目前國內堡壘機技術和產品提供廠商究竟是什麼佈局呢?

  由於堡壘機是近年內出現的新技術和產品,並且國內行業用戶大多還處於資訊化應用建設的高潮,還沒有到堡壘機需求期,因此,堡壘機市場需求規模和產品提供商都有限。國內很大一部分資訊安全綜合廠商都陸續推出許多有著與堡壘機部分功能相近的產品,例如單點登錄產品,內網准入產品、系統審計產品等,但是真正能夠提供完整獨立堡壘機技術和產品的並不是很多,國內堡壘機技術和市場規模較為知名的包括以下五家:網禦神州(www.legendsec.com)、綠盟科技(www.nsfocus.com)、極地安全(www.jidisec.com)、方正安全(www.foundersec.com)和捷成世紀(www.jetsen.cn) 。

  而從技術的角度看,目前主流的內控堡壘機所應用的主要技術包括:邏輯命令自動識別技術、分佈式處理技術、圖形協議代理、多進程/線程與同步技術、數據加密技術等。

  其中,邏輯命令自動識別技術是指自動識別當前操作終端,對當前終端的輸入輸出進行控制,組合輸入輸出流,自動識別邏輯語義命令。系統會根據輸入輸出上下文,確定邏輯命令編輯過程,進而自動捕獲出用戶使用的邏輯命令。該項技術解決了邏輯命令自動捕獲功能,在傳統鍵盤捕獲與控制領域取得新的突破,可以更加準確的控制用戶意圖。該技術能自動識別命令狀態和編輯狀態以及私有工作狀態,準確捕獲邏輯命令。

  分佈式處理技術是指內控堡壘主機採用分佈式處理架構進行處理,啟用命令捕獲引擎機制,通過策略伺服器完成策略審計,通過日誌伺服器存儲操作審計日誌,並通過即時監視中心,即時察看用戶在伺服器上行為。這種分體式設計有利於策略的正確執行和操作記錄日誌的安全。同時,各組件之間採用安全連接進行通信,防止策略和日誌被篡改。各組件可以獨立工作,可以分佈於不同的伺服器上,亦可所有組件安裝於一臺伺服器。

  正則運算式匹配技術是指內控堡壘主機採用正則運算式匹配技術,將正則運算式組合入樹型可遺傳策略結構,實現控制命令的自動匹配與控制。樹型可遺傳策略適合現代企業事業架構,對於伺服器的分層分級管理與控制,相當有用。

  圖形協議代理是指為了對圖形終端操作行為進行審計和監控,內控堡壘主機對圖形終端使用的協議進行代理,實現多平臺的多種圖形終端操作的審計,例如Windows平臺的RDP方式圖形終端操作,Linux/Unix平臺的XWindow方式圖形終端操作。

  多進程/線程與同步技術是指內控堡壘主機主體採用多進程/線程技術實現,利用獨特的通信和數據同步技術,準確控制程式行為。多進程/線程方式邏輯處理準確,事務處理不會發生干擾,這有利於保證系統的穩定性、健壯性。

  數據加密功能是指內控堡壘主機在處理用戶數據時都採用相應的數據加密技術來保護用戶通信的安全性和數據的完整性。防止惡意用戶截獲和篡改數據。充分保護用戶在操作過程中不被惡意破壞。

  操作還原技術是指將用戶在系統中的操作行為以真實的環境模擬顯現出來,審計管理員可以根據操作還原技術還原出真實的操作,以判定問題出在哪里。目前,綠盟科技、極地安全、方正安全等國內主流內控堡壘主機採用操作還原技術能夠將用戶的操作流程自動地展現出來,能夠監控用戶的每一次行為,判定用戶的行為是否對企業內部網路安全性造成危害。



  相關鏈接1.證?行業JD-FORT內控堡壘主機應用案例

  某證?公司IT管理員小李,是即時交易業務關鍵伺服器的設備管理員,同時,與交易業務相關的交換機、週邊WEB伺服器等多臺設備也需要經常維護。在未部署堡壘主機產品前,小李要記憶五六個不同的設備口令。並且資訊化辦公室領導,從安全角度考慮,規定小李為了安全起見每隔一個月需修改所有口令,而作為關鍵伺服器的設備管理員,更是需要經常維護該伺服器上的所有帳號分組和授權等,真正的業務維護所占工作量遠沒有設備帳號維護多。2010年下半年,企業與極地安全公司合作,部署極地內控堡壘主機後,小李在網路中有唯一的帳號資訊,通過單點登錄即完成全部設備的維護,口令修改也只需修改堡壘主機帳號的口令。該證券公司《企業內部控制基本規範》中第五章對資訊與溝通提出了確要求,極地內部網路控制統一安全管理解決方案可以將所有電腦和網路設備以及應用的運行狀態進行統一展示,提供最全面、最直觀、最有效的資訊展示,以求在各管理級次、責任單位、業務環節之間,以及部門、單位之間進行有效的溝通與回饋,及時發現問題並解決。值得一提的是,上周伺服器上某個配置修改錯誤系小王誤操作,但借助堡壘主機的審計功能,很快便查到了問題所在,及時恢復了業務的正常運行。
返回列表