解決方案-杭州帕拉迪網絡科(kē)技有(yǒu)限公司

教育解決方案

高(gāo)校統一(yī)安全管理(lǐ)與運維審計解決方案

行(xíng)業痛點及需求

随着校園的(de)數字化、信息化建設的(de)逐步深入，校園內(nèi)的(de)各種信息資源整合已經進入全面規劃和(hé)實施階段，如(rú)校園一(yī)卡通以結合學(xué)校正在進行(xíng)的(de)身份認證、人事、學(xué)工等MIS和(hé)應用系統等建設。通過共同的(de)身份認證機(jī)制，實現數據管理(lǐ)的(de)集成與共享，使校園一(yī)卡通系統成為(wèi)校園信息化建設有(yǒu)機(jī)的(de)組成部分。通過這樣的(de)有(yǒu)機(jī)結合，為(wèi)系統間的(de)資源共享打下基礎。
信息的(de)高(gāo)度集中使數據的(de)安全性越來越被重視(shì)，作為(wèi)關乎國(guó)家興衰的(de)教育行(xíng)業，一(yī)旦數據洩露，必将對社會産生不良影響，成為(wèi)輿論和(hé)媒體關注的(de)熱點問題。在巨大商(shāng)業利益的(de)驅使下，教育行(xíng)業的(de)數據庫要面臨來自(zì)內(nèi)部威脅和(hé)外部威脅的(de)雙重包夾，特别是以商(shāng)業為(wèi)目的(de)的(de)非法“入侵”行(xíng)為(wèi)，不僅給學(xué)校的(de)公衆形象和(hé)權威信任帶來嚴重影響，甚至洩露個人信息損害學(xué)生的(de)個人利益，為(wèi)教育事業又增加了不和(hé)諧的(de)色彩。

結合目前高(gāo)校信息化發展所面臨的(de)安全現狀，在運維管理(lǐ)方面主要存在以下幾點風險：

1. 管理(lǐ)現狀問題：支撐高(gāo)校行(xíng)業運行(xíng)的(de)IT系統主要由大量的(de)網絡設備、主機(jī)系統和(hé)應用系統組成，這些設備和(hé)系統從應用角度來分又分别屬于不同的(de)部門，網絡設備、主機(jī)系統等分别具備獨立的(de)用戶管理(lǐ)、認證授權和(hé)審計系統，且由不同的(de)系統管理(lǐ)員負責維護和(hé)管理(lǐ)，維護人員面對這些系統時，工作複雜程度很大；

2. 授權不清問題：在這種高(gāo)校行(xíng)業體系中，IT運維最佳實踐的(de)用戶最小權限分配原則，由于各系統單獨授權，無法嚴格執行(xíng)，同時，随着業務系統的(de)增加，用戶的(de)增加，用戶授權管理(lǐ)工作也變得相當複雜，系統安全性受到威脅；

3. 共享賬号隐患：為(wèi)了降低(dī)管理(lǐ)複雜度和(hé)難度，有(yǒu)些帳号被多人共用，這些帳号的(de)擴散不容易控制，安全事故也多由于這種帳号共用發生；

4. 密碼簡單隐患：對于維護人員來講，頻繁的(de)切換系統，需要輸入不同系統的(de)用戶名和(hé)口令進行(xíng)登錄，為(wèi)了便于記憶，常有(yǒu)維護人員會采用比較簡單的(de)口令或多個系統使用同樣的(de)口令，緊急情況下還可(kě)能将自(zì)己的(de)用戶名和(hé)口令共享給他人使用，這些都對整個系統的(de)安全性産生極大威脅；

5. 缺乏集中日志審計：由于各個系統獨立運行(xíng)，對于系統運行(xíng)日志、維護人員操作審計也隻能分系統獨立進行(xíng)，系統發生故障時，必須逐個系統去(qù)排查問題，無法進行(xíng)統一(yī)集中的(de)問題排查，極大的(de)降低(dī)工作效率，也造成了損失擴大的(de)可(kě)能性。

我(wǒ)們(men)的(de)方案

堡壘機(jī)技術作為(wèi)目前內(nèi)網安全最前沿、最核心和(hé)最全面的(de)技術趨勢，針對對高(gāo)校信息中心的(de)核心服務器、數據庫、交換機(jī)等設備資源，提供了最核心的(de)監控和(hé)保護。

賬号集中管理(lǐ)

提高(gāo)管理(lǐ)有(yǒu)效性堡壘機(jī)會建立一(yī)套新的(de)用戶體系，完全替代原有(yǒu)各系統獨立管理(lǐ)的(de)用戶體系，前端用戶直接對應到維護人員，後端用戶直接對應到原各個系統用戶，提供集中可(kě)實名的(de)用戶管理(lǐ)機(jī)制。通過統一(yī)用戶信息維護入口，保證各系統的(de)用戶帳号信息的(de)唯一(yī)性和(hé)同步更新；

集中認證和(hé)訪問控制

提高(gāo)運維安全集中認證實現用戶訪問信息系統的(de)認證入口集中化和(hé)統一(yī)化，采用高(gāo)強度的(de)認證方式，使整個信息系統的(de)登錄和(hé)認證行(xíng)為(wèi)可(kě)控制及可(kě)管理(lǐ)，從而提升業務連續性和(hé)系統安全性。集中訪問控制為(wèi)維護人員提供統一(yī)的(de)系統和(hé)設備入口，提供訪問控制功能，有(yǒu)效的(de)解決運維人員的(de)操作問題，降低(dī)相關信息系統的(de)安全風險；

集中操作審計

提高(gāo)事後溯源，定位能力能夠動态實時的(de)捕獲用戶操作數據流，集中審計模塊将審計到的(de)數據包進行(xíng)邏輯重組，恢複和(hé)還原用戶的(de)遠程訪問操作過程，自(zì)動以Session方式記錄；日志審計中心提供功能強大的(de)搜索引擎，為(wèi)用戶實現對時間、登錄地(dì)址、主機(jī)地(dì)址、主機(jī)帳号、用戶操作命令等多種豐富的(de)查詢條件，快速定位符合監控規則的(de)Session日志，恢複操作現場。集中授權提供統一(yī)的(de)信息系統授權管理(lǐ)，對所有(yǒu)被管信息資源授權進行(xíng)标準化的(de)管理(lǐ)，精細的(de)權限分配策略保證管理(lǐ)員可(kě)以授予不同用戶合适的(de)權限，最大程度的(de)符合最小權限分配原則，極大限度的(de)保護了信息支撐系統資源的(de)安全。集中安全審計提供集中的(de)日志審計，能關聯用戶的(de)操作行(xíng)為(wèi)，對非法登錄和(hé)非法操作快速發現、分析、定位和(hé)響應，為(wèi)安全審計和(hé)追蹤提供依據。

部署方式

方案優勢

成熟穩定

十年(nián)以上時間的(de)市(shì)場驗證和(hé)技術積累，在複雜應用生産環境中部署過大量的(de)成功案例，教育行(xíng)業案例衆多，包括：上海交通大學(xué)、上海财經大學(xué)、武漢大學(xué)、華中科(kē)技大學(xué)、西安交通大學(xué)等知名大學(xué)。

安全可(kě)靠
同時提供兩套能夠獨立應用并且功能完備的(de)統一(yī)操作運維平台，設備HA可(kě)以做(zuò)到配置和(hé)審計日志實時同步；
極強的(de)網絡環境适應性，實現綠(lǜ)色部署、不改動原有(yǒu)網絡拓撲、支持集群部署、支持跨網段部署；

系統開發更新遵循安全軟件開發生命周期流程，實現版本化管理(lǐ)，每次叠代升級确保滿足最佳實踐。

技術先進
支持本地(dì)認證、AD域認證、Radius認證、指紋認證、微信認證、短(duǎn)信認證等，業內(nèi)身份認證方式最齊全；
可(kě)設置用戶的(de)系統登錄策略，包括限制登錄IP、登錄時間段、端口、賬号等，以确保可(kě)新用戶才能訪問其擁有(yǒu)權限的(de)後台資源，實現可(kě)控運維；
支持對高(gāo)危命令的(de)告警和(hé)阻斷，有(yǒu)效控制運維行(xíng)為(wèi)中誤操作、高(gāo)危操作帶來的(de)風險；
帶內(nèi)、帶外運維統一(yī)管理(lǐ)，業界唯一(yī)同時支持Avocent、Raritan、ATEN等主流KVM Over IP産品；

獨創的(de)數據庫運維操作審計平台，覆蓋主流商(shāng)業數據庫企業應用和(hé)運維操作。

客戶收益

1. 實現核心數據資産、虛拟化設備、科(kē)研系統和(hé)數據、對業務支撐系統、業務交付系統、校園“一(yī)卡通”、內(nèi)網核心網絡設備、主機(jī)設備、數據庫資産等在內(nèi)的(de)網絡中心資産，實現跨平台、跨操作系統、跨運維協議、跨設備類型的(de)各種IT資源的(de)帳号、認證、授權和(hé)審計的(de)集中控制和(hé)管理(lǐ)。

2. 實現集中化的(de)身份認證和(hé)訪問入口，實現集中訪問授權，基于集中管控安全策略的(de)訪問控制和(hé)角色的(de)授權管理(lǐ)，保障網絡中心各種業務交付系統提供7x24小時不間斷的(de)運維。

經典案例

中國(guó)科(kē)技大學(xué)
上海交通大學(xué)
武漢大學(xué)
華中科(kē)技大學(xué)
中南财經政法大學(xué)
西安電子(zǐ)科(kē)技大學(xué)
華中師範大學(xué)
武漢理(lǐ)工大學(xué)
西南交通大學(xué)
西安外國(guó)語大學(xué)
北(běi)京工業大學(xué)
上海财經大學(xué)
上海金融學(xué)院
上海音樂(yuè)學(xué)院
中北(běi)大學(xué)