案例分享某大型銀行 – 賬號(hào)統(tǒng)一管理平臺(tái)
實(shí)施范圍與價(jià)值
•在2013年1月利用CyberArk實(shí)施了運(yùn)維賬號(hào)統(tǒng)一管理系統(tǒng)�����,實(shí)現(xiàn)了全行范圍內(nèi)的特權(quán)賬號(hào)與一般賬號(hào)的統(tǒng)一管理:
•1套環(huán)境覆蓋上海數(shù)據(jù)中心���,36個(gè)分行機(jī)構(gòu)
•針對(duì)全行800多名員工�,以及1600臺(tái)服務(wù)器
•IT管理員只可以使用賬號(hào)實(shí)現(xiàn)單點(diǎn)登錄,但無法知曉密碼�����,全行范圍內(nèi)的生產(chǎn)操作審計(jì)
•CyberArk的系統(tǒng)配置管理員納入CyberArk自動(dòng)管理
•全面實(shí)現(xiàn)平臺(tái)配置,用戶管理����,權(quán)限管理,賬號(hào)管理的權(quán)限分離�。
•支持各種管理員常見客戶端和特定應(yīng)用的單點(diǎn)登錄功能
•最大960并發(fā)會(huì)話
雙人會(huì)同登錄/操作
【某客戶】 –管理團(tuán)隊(duì)與對(duì)應(yīng)賬號(hào)
密碼導(dǎo)出
•特權(quán)賬號(hào)密碼由CyberArk隨機(jī)生成
•特權(quán)賬號(hào)密碼分段加密導(dǎo)出,郵件發(fā)送給A/B角色
•加密密鑰由內(nèi)控團(tuán)隊(duì)管理(手工保存至信封)�,由CyberArk系統(tǒng)隨機(jī)生成
郵件標(biāo)題:【運(yùn)維賬號(hào)信息】 - ZSC_SOP_SYS / Root / ZSC_SOP_SYS_AIX_Auto_10.100.33.68_root
郵件內(nèi)容:
==============================================
【運(yùn)維賬號(hào)信息】
Policy ID = ZSC_SOP_SYS_AIX_Auto
IP地址 = 10.100.33.68
用戶名 = root
主機(jī)名 = CBAPP1
應(yīng)用名 = 核心銀行
【導(dǎo)出的密碼為第2部分】 9CpBYq5Wbg==
【導(dǎo)出時(shí)間】 2013-03-29 11:50:24 5024
==============================================
【說明】請(qǐng)務(wù)必妥善保管,防止密碼泄露
管理效果
•與RSA和AD集成�,形成雙因素認(rèn)證
•嚴(yán)格的權(quán)限管理
•99%的密碼是不可見的,通過PSM登錄
•所有CyberArk 默認(rèn)用戶 (operator, administrator)密碼通過CPM自動(dòng)管理���,并且具有操作審計(jì)
•腳本化的部署方式
新聞與合規(guī)要求
由特權(quán)賬號(hào)引起的安全事件回顧和分析
特權(quán)賬號(hào)-------掌控企業(yè)信息安全保險(xiǎn)庫的鑰匙
特權(quán)賬號(hào)管理����、使用過程存在嚴(yán)重的安全隱患和漏洞
誰有特權(quán)帳號(hào)的訪問權(quán)限��?
•管理員
•承包商�����;云服務(wù)提供者
•數(shù)據(jù)庫管理員
•離職員工
•應(yīng)用程序
這些破壞為何會(huì)發(fā)生����?
•共享帳號(hào)的使用
•過多的特權(quán)�����,權(quán)限過于集中
•“隱藏/休眠”幽靈帳號(hào)
•不存在/非強(qiáng)制的訪問控制
•不經(jīng)常修改的密碼
•特權(quán)會(huì)話沒有有效隔離
銀監(jiān)會(huì)相關(guān)監(jiān)管要求
銀監(jiān)會(huì)監(jiān)管
銀監(jiān)會(huì)[2007] 6號(hào)《商業(yè)銀行內(nèi)部控制指引》
•第一百二十三條 商業(yè)銀行應(yīng)當(dāng)對(duì)計(jì)算機(jī)信息系統(tǒng)實(shí)施有效的用戶管理和密碼(口令)管理����,對(duì)用戶的創(chuàng)建���、變更�����、刪除�����、用戶口令的長度����、時(shí)效等均應(yīng)當(dāng)有嚴(yán)格的控制
•第一百二十四條 商業(yè)銀行應(yīng)當(dāng)對(duì)計(jì)算機(jī)信息系統(tǒng)的接入建立適當(dāng)?shù)氖跈?quán)程序�,并對(duì)接入后的操作進(jìn)行安全控制
•第一百一十八條 商業(yè)銀行應(yīng)當(dāng)明確計(jì)算機(jī)信息系統(tǒng)開發(fā)人員、管理人員與操作人員的崗位職責(zé)�����,做到崗位之間的相互制約�����,各崗位之間不得相互兼任
銀監(jiān)會(huì)監(jiān)管
銀監(jiān)會(huì)[2009]19號(hào)《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》
•第二十二條 商業(yè)銀行應(yīng)建立有效管理用戶認(rèn)證和訪問控制的流程�。并且確保其在信息系統(tǒng)內(nèi)的活動(dòng)只限于相關(guān)業(yè)務(wù)能合法開展所要求的最低限度。
•第二十五條(三)制定最高權(quán)限系統(tǒng)賬戶的審批����、驗(yàn)證和監(jiān)控流程,并確保最高權(quán)限用戶的操作日志被記錄和監(jiān)察
•第二十六條(三)加強(qiáng)職責(zé)劃分�,對(duì)關(guān)鍵或敏感崗位進(jìn)行雙重控制。
•第三十五條 商業(yè)銀行應(yīng)制定相關(guān)控制信息系統(tǒng)變更的制度和流程�,除得到管理層批準(zhǔn)執(zhí)行緊急修復(fù)任務(wù)外,禁止應(yīng)用程序開發(fā)和維護(hù)人員進(jìn)入生產(chǎn)系統(tǒng)��,且所有的緊急修復(fù)活動(dòng)都應(yīng)立即進(jìn)行記錄和審核����。
證監(jiān)會(huì)相關(guān)監(jiān)管要求
證監(jiān)會(huì)監(jiān)管
證監(jiān)會(huì)[1998] 2號(hào)《證券經(jīng)營機(jī)構(gòu)營業(yè)部信息系統(tǒng)技術(shù)管理規(guī)范》
•計(jì)算機(jī)安全管理在執(zhí)行中,“定期更換操作口令”是指至少每兩個(gè)月更換一次�。
•操作安全制度(〔2.3.5〕)在執(zhí)行中,應(yīng)重視以下方面:
2.新開用戶需經(jīng)嚴(yán)格審批���;
3.冗余用戶要及時(shí)清理���,超過三個(gè)月未使用過的用戶要設(shè)置為禁止使用狀態(tài)或刪除�����; 4.數(shù)據(jù)庫管理系統(tǒng)的系統(tǒng)管理員口令應(yīng)由電腦中心集中管理�����,并于非軟件開發(fā)商的
第三處封存保管�。
信息安全等級(jí)保護(hù)相關(guān)監(jiān)管要求
等保監(jiān)管
信息系統(tǒng)安全等級(jí)保護(hù)基本要求 (GBT 22239-2008)
•應(yīng)針對(duì)系統(tǒng)變更�����、重要操作�、物理訪問和系統(tǒng)接入等事項(xiàng)建立審批程序,按照審批程序執(zhí)行審批過程�,對(duì)重要活動(dòng)建立逐級(jí)審批制度,應(yīng)記錄審批過程并保存審批文檔��。
•身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)��,口令應(yīng)有復(fù)雜度要求并定期更換��。
應(yīng)授予不同帳戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限����,并在它們之間形成相互制約的關(guān)系。
•應(yīng)及時(shí)刪除多余的�����、過期的帳戶��。
•應(yīng)確保在外部人員訪問受控區(qū)域前得到授權(quán)或?qū)徟?,批?zhǔn)后由專人全程陪同或監(jiān)督,并登記備案����。
等保監(jiān)管
數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求(GBT 20273 -2006 )
•由系統(tǒng)控制的敏感數(shù)據(jù),如口令�����、密鑰等����,不應(yīng)在未受保護(hù)的程序或文檔中以明文形式存在。
•系統(tǒng)應(yīng)提供一種機(jī)制�����,能按時(shí)間、進(jìn)入方式�、地點(diǎn)、網(wǎng)絡(luò)地址或端口等條件規(guī)定哪些用戶能進(jìn)入系統(tǒng) ���。
