SiCAP堡壘機升級替換解決方案-

需求場景
需求分(fēn)析
解決方案
方案優勢

需求場景

我國(guó)金融行業由于安(ān)全性要求較高，針對運維安(ān)全，一直有(yǒu)使用(yòng)堡壘機。目前，一方面，由于堡壘機采購(gòu)時間較長(cháng)，廠商(shāng)無法繼續提供良好的堡壘機産(chǎn)品維保服務(wù)；另一方面，随着金融電(diàn)子化管理(lǐ)的發展，金融行業IT資産(chǎn)逐年增加，原有(yǒu)堡壘機産(chǎn)品已不能(néng)夠滿足金融行業的運維安(ān)全需求，例如在多(duō)項内外部審計的報告中(zhōng)指出，目前堡壘機存在無法對數據庫賬号進行自動改密的問題，但原堡壘機設備難以通過定制化開發實現此功能(néng)，需通過升級替換解決上述問題，需要在保證現有(yǒu)功能(néng)和系統安(ān)全性的前提下，進一步提升安(ān)全管控，減少人工(gōng)幹預節點，防範人為(wèi)因素引發的安(ān)全風險。

需求分(fēn)析

IT資産(chǎn)逐年增加，需通過自動化手段提升IT資産(chǎn)信息管理(lǐ)效率與操作(zuò)簡便性
需了解各部門IT資産(chǎn)信息，充分(fēn)掌握資産(chǎn)整個生命周期狀況，提供變更風險預警
業務(wù)系統繁多(duō)，資産(chǎn)數據割裂，缺乏有(yǒu)效分(fēn)析，需構建業務(wù)視角了解業務(wù)全局運行态勢
需加強運維操作(zuò)過程中(zhōng)的安(ān)全管控，對違規操作(zuò)進行智能(néng)判斷和實時阻斷，方便監管與審計
鑒于數據庫賬号的重要性，提高對數據庫賬号的安(ān)全管理(lǐ)，如數據庫賬号改密驗密；需通過自動化技(jì )術和智能(néng)分(fēn)析手段，提升日常運維效率，降低人為(wèi)操作(zuò)風險

解決方案

01 資産(chǎn)自動化配置管理(lǐ)

● 提供資産(chǎn)的自動化發現、統一化管理(lǐ)，支持全網掃描、從種子掃描、手動添加三種掃描方式，将雜亂無章的資産(chǎn)進行有(yǒu)序整理(lǐ)，形成有(yǒu)序設備列表，對資産(chǎn)全生命周期管理(lǐ)。
● 建立資産(chǎn)配置基線(xiàn)并統一管理(lǐ)，可(kě)靈活簡便配置；可(kě)查看配置項變更記錄，快速、清晰了解發生變更的配置項及其變更内容；支持資産(chǎn)配置自動化采集，自動更新(xīn)資産(chǎn)配置，減少運維工(gōng)作(zuò)量及錯誤率。
● 支持資産(chǎn)業務(wù)建模，從業務(wù)視角建立業務(wù)系統與資産(chǎn)之間的關聯關系，并進行可(kě)視化方式展現。
02 安(ān)全運維與審計

● 支持運維會話審計，查看運維會話的操作(zuò)命令與命令返回信息，支持記錄RDP協議中(zhōng)鍵盤、鼠标、剪切闆事件，并可(kě)進行錄像回放、批量審核等操作(zuò)。
● 支持配置運維審計規則，對運維操作(zuò)采取放行、命令告警、會話阻斷、命令阻斷等操作(zuò)，并可(kě)通過多(duō)種方式發送告警通知，從而能(néng)夠更好的提高系統的安(ān)全性。
● 支持通過對運維人員操作(zuò)進行智能(néng)學(xué)習，對風險操作(zuò)或高危操作(zuò)進行預警或阻斷。
● 系統内置七種特殊運維場景，可(kě)申請黑名(míng)單中(zhōng)命令使用(yòng)權限進行特殊運維；内置在線(xiàn)審批與離岸審批兩種審批方式，支持設置多(duō)級審批以及代理(lǐ)人審批，保證運維人員排障工(gōng)作(zuò)及時進行。
● 提供完備的雙人協作(zuò)功能(néng)，可(kě)對敏感命令進行雙人複核，預防潛在風險；對核心資産(chǎn)的密碼由雙人分(fēn)段管理(lǐ)，确保安(ān)全；支持運維人員面對運維複雜的運維環境，邀請專家協助支撐，快速解決運維難題。
● 支持通過定時任務(wù)，實現包括數據庫資産(chǎn)在内的資産(chǎn)賬号自動改密、驗密，加強了資産(chǎn)賬号安(ān)全性。
03 自動化運維

● 提供了豐富的腳本庫，并支持腳本自定義。
● 支持批量選擇多(duō)個設備和多(duō)個腳本，任務(wù)到期自動執行，執行的結果自動保存。
● 支持資産(chǎn)配置自動獲取，能(néng)對IT資産(chǎn)進行定期的複核，了解IT資産(chǎn)整體(tǐ)狀況。
● 支持自動化巡檢，設置巡檢任務(wù)，了解資産(chǎn)配置變更信息、可(kě)用(yòng)性信息、安(ān)全信息。
● 支持選擇編排和腳本來執行自動化作(zuò)業，實現一整套自動化執行的作(zuò)業流程。

SiCAP堡壘機升級替換解決方案的實施，在保證了完全滿足與兼容舊版堡壘機各項功能(néng)的前提下，進一步提升了安(ān)全管控，減少了人工(gōng)幹預節點，防範了人為(wèi)因素引發的安(ān)全風險，實現了運維自動化，提供了以下價值

完善體(tǐ)制，符合法規
完善了運維監管體(tǐ)系，符合相關的行業标準和相關的法律法規，确保公(gōng)司在審計檢查中(zhōng)符合相應的檢查标準。
一體(tǐ)化平台管理(lǐ)
将多(duō)個安(ān)全管理(lǐ)工(gōng)具(jù)統一入口，打通運維人員、資産(chǎn)、流程和數據等環節，形成運維、安(ān)全、數據三位一體(tǐ)的一體(tǐ)化管理(lǐ)平台。
資産(chǎn)管理(lǐ)自動化
提供了資産(chǎn)CMDB信息的自動發現、自動收集、自動核查與巡檢，并支持資産(chǎn)業務(wù)建模，達成了IT資産(chǎn)多(duō)維度、可(kě)視化、自動化的全生命周期統一管理(lǐ)。
規避風險，減少故障
有(yǒu)效地提高了運維監管能(néng)力，通過實時監控、黑白名(míng)單等控制手段，降低了由于誤操作(zuò)、惡意操作(zuò)帶來的運維風險；通過定時任務(wù)進行資産(chǎn)賬号的自動改密，加強了資産(chǎn)賬号的安(ān)全性。
有(yǒu)效審計，責任到人
可(kě)有(yǒu)效地确定每一次運維操作(zuò)的人員、帳号、主機、操作(zuò)，從而明确何時、何人、用(yòng)什麽、對什麽、做了什麽的記錄，将每一個操作(zuò)都能(néng)落實到人，從而做到誰做的誰負責的責任到人管理(lǐ)機制，加強了審計能(néng)力，提高了審計結果準确性。
單點登錄，提高效率
将所有(yǒu)的運維主機統一管理(lǐ)，對主機上的帳号統一管理(lǐ)，運維人員僅需記錄自己的帳号、密碼，無需再記錄數目繁多(duō)的主機帳戶及密碼，在有(yǒu)效提高工(gōng)作(zuò)效率的同時也保障了運維主機的安(ān)全性。
流程審批，管理(lǐ)到位
可(kě)将所有(yǒu)的運維申請、審批、運維操作(zuò)進行全程管理(lǐ)、日志(zhì)留存，有(yǒu)效地保證了日常審批工(gōng)作(zuò)的安(ān)全監管，同時将用(yòng)戶的申請與用(yòng)戶的實際操作(zuò)有(yǒu)效的關聯，對安(ān)全操作(zuò)的審查提供更加準确和便捷的關聯查詢，提高了日常審計工(gōng)作(zuò)效率。
資産(chǎn)運維自動化
自動化機制減少了日常運維工(gōng)作(zuò)量，降低了人為(wèi)操作(zuò)風險。例如，自動巡檢、安(ān)全檢查、補丁下發、任務(wù)編排等，通過運維知識庫和腳本任務(wù)的自動化執行，給運維人員提供全方位自動化輔助，在減少人為(wèi)操作(zuò)風險的同時也提升了運維效率。

方案優勢

通過升級部署SiCAP堡壘機升級替換解決方案，金融行業客戶可(kě)獲得以下收益

(1)規避了産(chǎn)品老化帶來的硬件故障風險。
(2)實現了資産(chǎn)的統一管理(lǐ)、分(fēn)級管理(lǐ)、自動化管理(lǐ)。
(3)符合了總行對數據庫賬号的管理(lǐ)要求，實現了數據庫賬号的自動改密。
(4)實現了運維操作(zuò)的事前預防、事中(zhōng)控制、事後審計，全面保障了運維安(ān)全。
(5)實現運維、巡檢自動化，防範了人為(wèi)因素引發的安(ān)全風險，提升了日常運維效率。