2023年全國碩士研究生考試考研英語一試題真題(含答案詳解+作文范文)_第1頁
已閱讀1頁,還剩12頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、CyberArk特權(quán)賬號生命周期解決方案---中國地區(qū)金融行業(yè)案例,劉新星18027187017@189.cn,CrberArk幫助中國平安改進(jìn)他們重要系統(tǒng)的特權(quán)賬號密碼管理,提供給他們一個(gè)“統(tǒng)一的,集中的,安全的”特權(quán)賬號密碼管理解決方案。完全滿足平安信息安全部對“特權(quán)賬號生命周期管理” 的理解和需求,而且關(guān)鍵組件的主備,災(zāi)難恢復(fù),分布式部署,所有這些確保平安的特權(quán)賬號管理是一個(gè)真正“企業(yè)級應(yīng)用”解決方案。中國平安在CyberA

2、rk PIM部署之前:大部分密碼分散管理,各個(gè)系統(tǒng)管理員管理其所負(fù)責(zé)系統(tǒng)的賬號密碼無法保證合法訪問關(guān)鍵系統(tǒng)訪問審計(jì)困難密碼強(qiáng)度無法保證無法做到經(jīng)常更改應(yīng)用程序賬號密碼固化在代碼中,這部分賬號更難管理,中國平安在CyberArk PIM 部署之后:所有密碼集中管理,公司獲得對關(guān)鍵系統(tǒng)特權(quán)賬號的掌控權(quán)確保所有系統(tǒng)能夠執(zhí)行公司密碼安全策略:復(fù)雜度,定期更改,一次性密碼,確保對所有系統(tǒng)的“合法”訪問: 合適的人,合適的時(shí)間,

3、合適的地點(diǎn),做合適的事情完全的審計(jì)能力 應(yīng)用程序賬號密碼不再明文固化在代碼中,平安借由CyberArk AIM,建立行業(yè)領(lǐng)先的可擴(kuò)展的應(yīng)用程序賬號安全平臺更高的信息系統(tǒng)可管理性和安全性關(guān)鍵組件的高可用性群集,災(zāi)難恢復(fù),分布式部署,所有這些確保平安的特權(quán)賬號管理是一個(gè) 真正“企業(yè)級應(yīng)用”解決方案,2011年以前,太平洋保險(xiǎn) IT 運(yùn)行中心特權(quán)賬號管理困難,在各個(gè)小組內(nèi)以 Excel 表格形式共享特權(quán)賬號密碼,任何人都可以

4、隨時(shí)訪問生產(chǎn)系統(tǒng)。導(dǎo)致變更管理的授權(quán)留于流程,以及時(shí)效性得不到保證。例如新員工可以很容易訪問到關(guān)鍵應(yīng)用,存在誤操作風(fēng)險(xiǎn):管理員可以在非授權(quán)時(shí)間(工作時(shí)間)訪問生產(chǎn)系統(tǒng),存在操作風(fēng)險(xiǎn)以及非法訪問。密碼泄漏給第三方服務(wù)商人員密碼不準(zhǔn)確,多人持有的版本不同步,有時(shí)記錄的密碼不準(zhǔn)確,導(dǎo)致下次無法使用。密碼不修改,多臺服務(wù)器也使用同一個(gè)密碼CyberArk幫助太平洋保險(xiǎn)梳理所有正式環(huán)境的特權(quán)賬號,通過CyberArk PIM軟件構(gòu)建了

5、集團(tuán)2011版特權(quán)賬號管理平臺,在2010年4月將所有運(yùn)維類賬號納入到該平臺中,并且梳理出一套有效,高效的賬號給管理方法。,2011年12月開始,太平洋保險(xiǎn)投入特權(quán)賬號管理的第二期項(xiàng)目中,通過使用CyberArk AIM實(shí)現(xiàn)應(yīng)用程序連接數(shù)據(jù)庫賬號的動態(tài)管理,截止2012年3月14日CyberArk已經(jīng)協(xié)助太平洋保險(xiǎn)完成了超過10個(gè)應(yīng)用系統(tǒng) 的改造,覆蓋WebLogic,WebSphere,ASP.NET等日常交易以及經(jīng)營業(yè)務(wù)應(yīng)用系統(tǒng)。由

6、于應(yīng)用程序賬號 歷來是賬號管理的難點(diǎn),經(jīng)過改造的應(yīng)用系統(tǒng)已經(jīng)實(shí)現(xiàn)所有賬號的回收與管理的技術(shù)基礎(chǔ),下一階段目 標(biāo)為將所有系統(tǒng)的各類軟硬件的賬號都被嚴(yán)格管理,并實(shí)現(xiàn)特權(quán)賬號平臺各組件的多可用。 2012年,太平洋保險(xiǎn)將災(zāi)備中心所有服務(wù)器也納入統(tǒng)一管理,利用了一套CyberArk環(huán)境實(shí)現(xiàn)了兩中心的 同步管理,審計(jì)人員可以通過一個(gè)CyberArk Portal了解所有生產(chǎn)中心、災(zāi)備中心的賬號管理情況。在此 期間通過特有的CPM f

7、or Web技術(shù),將WebLogic,WebSphere的密碼也納入集中管理,真正實(shí)現(xiàn)了全面 管理。 2013年,為了更好地實(shí)現(xiàn)應(yīng)急流程,太平洋保險(xiǎn)將CyberArk系統(tǒng)和監(jiān)控系統(tǒng)集成,每當(dāng)監(jiān)控系統(tǒng)發(fā)現(xiàn)事件報(bào)警,則通過CyberArk動態(tài)獲取密碼,并將密碼發(fā)送給相應(yīng)的管理員,避免了管理員為處理應(yīng)急事件 而再做申請審批流程。同時(shí)監(jiān)控系統(tǒng)會結(jié)合Remedy ,發(fā)現(xiàn)工單關(guān)閉后,則會再觸發(fā)一次指令要求CyberArk對該賬號進(jìn)行密碼回收。&

8、#160;2014年,CyberArk系統(tǒng)又進(jìn)一步進(jìn)行擴(kuò)充,引入了賬號掃描功能,針對被管理的服務(wù)器每天進(jìn)行檢測獲取賬號列表,并且依據(jù)列表對比,獲取任意兩天之間的差集,及時(shí)發(fā)現(xiàn)未納管賬號,以及“幽靈”賬號。,借助CyberArk AIM的實(shí)施,太平洋保險(xiǎn)逐步以項(xiàng)目組成員為基礎(chǔ),形成特權(quán)賬號長效治理的管理團(tuán)隊(duì),覆蓋如下工作重點(diǎn):新上線服務(wù)器納入特權(quán)賬號管理新業(yè)務(wù)應(yīng)用配合部署CyberArk AIM,將相關(guān)數(shù)據(jù)庫賬號納入自動管理范疇We

9、bLogic, WebSphere服務(wù)器的Web Console端賬號通過CPM For Web方式納入特權(quán)賬號管理,實(shí)現(xiàn)自動修改,驗(yàn)證 定期掃描分布賬號快照,通過匹配,發(fā)現(xiàn)未管理的特權(quán)賬號,并以報(bào)表方式通過郵件定期告知用戶依靠統(tǒng)一日志平臺及時(shí)發(fā)現(xiàn)特權(quán)賬號的新增,刪除,權(quán)限修改,密碼更新等,,浦發(fā)銀行成功實(shí)施 CyberArk PIM 解決方案,不僅包含了上海數(shù)據(jù)中心,合肥災(zāi)備中心,還包括了全國 30 個(gè)分支機(jī)構(gòu),將全行所有

10、信息系統(tǒng)均納入 CyberArk PIM 實(shí)現(xiàn)密碼的自動更改與審計(jì)。完成 SecureCRT, PUTTY, RDP, Xmanager, Xming, SQL Developer, MSSQL Management Studio, IBM Data Studio, NBU等各種運(yùn)維工具和受管系統(tǒng)的單點(diǎn)登錄,極大地滿足了各個(gè)管理人員的使用習(xí)慣。項(xiàng)目中利用 CyberArk PIM 權(quán)限控制,精細(xì)授權(quán),實(shí)時(shí)審計(jì)的特性充分映射了浦發(fā)銀行內(nèi)

11、部的已有管理方式和權(quán)限人員定義,項(xiàng)目實(shí)施對已有流程產(chǎn)生積極影響,保障安全。實(shí)施中,為了加快實(shí)施方式,98%的權(quán)限配置工作均由利用CyberArk Vault 的 API 實(shí)現(xiàn)了自動化配置。充分利用 CyberArk 提供的 API 實(shí)現(xiàn)自定義的程序:為了使得更方便快捷實(shí)現(xiàn)賬號的登錄會同,所有人員均可以通過回復(fù)郵件完成審批,即使在移動設(shè)備(iphone, andriod 等)也可以滿足審批的實(shí)時(shí)性要求。定期檢索受管服務(wù)器上的賬號列

12、表,定期比對找出違規(guī)創(chuàng)建的幽靈賬號,方便內(nèi)控審計(jì)人員了解賬號的全局情況,定期審計(jì)與跟蹤。整體方案涉及到近450個(gè)IT人員,2000臺服務(wù)器,以及960個(gè)PSM并發(fā)會話。,國泰君安成功實(shí)施 CyberArk PIM 解決方案,覆蓋了所有生產(chǎn)系統(tǒng),備份系統(tǒng)以及歷史系統(tǒng)。其內(nèi)部所有的核心數(shù)據(jù)庫都是 Microsoft SQL Server,并且以Cluster構(gòu)建。因此相關(guān)賬號修改后,還需要同步到各個(gè)數(shù)據(jù)庫的 Windows Service

13、中,因此給手工密碼修改帶來難度。CyberArk PIM 的企業(yè)級特性,自動地將所有的密碼同步至相關(guān)的windows 服務(wù)中,大大提升了密碼管理的自動化程度。并且所有相關(guān)密碼會在周五非交易時(shí)間進(jìn)行自動更改,保障了證券的業(yè)務(wù)穩(wěn)定性。另外,國泰君安具有自動化運(yùn)維系統(tǒng),其數(shù)據(jù)庫的表中含有所有服務(wù)器的密碼,并且以加密形式存放。通過 CyberArk 的 CPM for DB Column的特性,將自動更改后的密碼不僅同步至Windows Se

14、rvice 中,還同步到該自動化運(yùn)維系統(tǒng)。30個(gè)IT人員對生產(chǎn)系統(tǒng)的操作,都通過CyberArk PSM服務(wù)器來進(jìn)行登錄,所有的操作錄像和命令行均保存在Vault中,供今后進(jìn)行審計(jì)。,廣東省農(nóng)村信用利用 CyberArk 的 PIM 套件實(shí)現(xiàn)了自身的特權(quán)賬號的全 面管理,項(xiàng)目范圍覆蓋賬號密碼的自動管理,賬號的單點(diǎn)登錄與操作審計(jì),應(yīng)用運(yùn)行賬號的動態(tài)修改,UNIX/Linux/Windows 操作系統(tǒng)層面的特權(quán)賬號權(quán)限細(xì)分。包括的組件有:

15、Enterprise Password Vault 通過密碼的自動修改、驗(yàn)證、調(diào)賬功能實(shí)現(xiàn)了密碼策略的合規(guī),IT 人員不再需要手工去逐一管理密碼。 Privileged Session Manager 密碼將不再暴露給任何IT用戶和第三方人員,他們通過單點(diǎn)登錄模式,實(shí)現(xiàn)零足跡的保證數(shù)據(jù)庫的安全并且對性能沒有影響,捕捉數(shù)據(jù)庫管理的每一個(gè)操作。部署是尤其快速并且對生產(chǎn)業(yè)務(wù)應(yīng)用沒有風(fēng)險(xiǎn)相對于其他數(shù)據(jù)庫活動監(jiān)控解決方案。通過命令行的審計(jì)實(shí)現(xiàn)

16、了對于數(shù)據(jù)庫關(guān)鍵操作的記錄。針對第三方外包人員操作,內(nèi)部管理員可以分屏在其他終端對其進(jìn)行監(jiān)控。Application Identity Management 全面解決了保護(hù)和管理其內(nèi)部應(yīng)用程序帳號定期更改的難題。該方案解決了在應(yīng)用程序代碼,配置文件, 腳本中的密碼存儲、審計(jì)、管理的挑戰(zhàn),使得所有的高度敏感密碼,集中和安全地存放在CyberArk的 Vault(密碼保險(xiǎn)庫)中。利用這種獨(dú)特的方法,企業(yè)能夠符合內(nèi)審和外審的合規(guī)性要求,做到

17、密碼定期更換,并且可以監(jiān)控對所有系統(tǒng)、數(shù)據(jù)庫、應(yīng)用程序的特權(quán)訪問。On-­‐Demand Privilege Manager 類似root、administrator這樣的UNIX/Linux或者Windows系統(tǒng)用戶的權(quán)限使用將可以被細(xì)顆粒地劃分給普通用戶,任何用戶進(jìn)行提權(quán)時(shí)將被操作系統(tǒng)底層審計(jì)到,并集中存放到Vault中進(jìn)行跟蹤。在UNIX/Linux 環(huán)境中,oracle管理員將不再需要使用root用戶,任何需要使用r

18、oot用戶完成的命令均預(yù)授權(quán)給oracle管理員,極大程度避免了頻繁使用root造成的不便于安全隱患。在Windows環(huán)境中,通過域控的集中設(shè)置, 自動完成域控OPM策略的自動分發(fā)。在實(shí)施之前原本W(wǎng)indows上的各類賬號基本上都賦予管理員權(quán)限, 在實(shí)現(xiàn)OPM之后,內(nèi)部運(yùn)維賬號的權(quán)限更為細(xì)致,管理應(yīng)用的賬號將不再具有起停系統(tǒng)服務(wù)的權(quán)限,但卻具有起停應(yīng)用本身服務(wù)的權(quán)限。,為全亞洲最安全的銀行,世界排名第 15(2011 年),新加坡星展銀

19、行于 2009 年 12 月 開始部署 CyberArk 作為全行統(tǒng)一特權(quán)賬號管理平臺。IBM作為星展銀行的戰(zhàn)略合作伙伴,向其各個(gè)國家的分行(包括馬來西亞,印度尼西亞,中國大陸,香港,臺灣,印度)進(jìn)行IT服務(wù)。由于新加坡法律合規(guī)性要求嚴(yán)格,而星展銀行本身也因 IT 全面外包IBM,因此賬號的安全控制和操作審計(jì)成為信息安全中的第一要務(wù)。原本特權(quán)賬號的管理嚴(yán)格,統(tǒng)一由星展銀行內(nèi)部人員進(jìn)行雙人分段管理、控制和發(fā)放給IBM人員使用, 在使用后

20、隔天進(jìn)行修改;信息安全部門每周進(jìn)行審計(jì)和變更管理比對。因此耗費(fèi)大量的人力,偶爾存在遺漏。2009 年 12 月在新加坡總部和香港率先部署 CyberArk PIM 分布式解決方案,形成跨國災(zāi)備,全行統(tǒng)一的部署架構(gòu)。之后其他地區(qū)(馬來西亞,中國大陸,臺灣,印度尼西亞,印度)逐步進(jìn)行增量部署。中國大陸,星展銀行(中國)在 2010 年 10 月部署了CyberArk PIM。除去 CyberArk PIM 帶來的一些列共性好處外,星展銀行

21、相比其他客戶,具有如下特別的商業(yè)價(jià)值:1. 分布式架構(gòu)使得在新加坡總部即能實(shí)現(xiàn)安全策略的下發(fā)2. 統(tǒng)一地產(chǎn)生賬號相關(guān)的安全信息報(bào)告3. 新加坡總行對各國分行的賬號管理具有很強(qiáng)的控制能力4. 嚴(yán)格監(jiān)控外包服務(wù)商IBM在其內(nèi)部的特權(quán)賬號會話管理5. 更快速、方便地應(yīng)對每3個(gè)月一次的審計(jì)要求。,華僑銀行其總部于 2009 年開始率先在總部部署 CyberArk 特權(quán)賬號管理平臺。 中國地區(qū)機(jī)構(gòu)在 2012 年 8 月之前仍

22、采取手工密碼的管理方式。所有密碼一半由安全部門持有,一半密碼由系統(tǒng)管理持有。這樣的密碼管理方式雖然安全,但是引起整體管理流程過于低效,員工們對于密碼策略也無可奈何。在2012年9月在中國地區(qū)實(shí)現(xiàn)了CyberArk CPM 組件,完成了中國地區(qū)特權(quán)賬號的密碼自動更改。變更管理與密碼發(fā)放相結(jié)合:正常情況下,用戶通過 CyberArk PVWA Portal 申請密碼,在申請的同時(shí)填寫內(nèi)部變更號,PVWA依據(jù)變更號至工單管理系統(tǒng)(Dime

23、nsion)中校驗(yàn)信息,包括賬號使用人,工單號,工單狀態(tài)(是否 審批),工單關(guān)聯(lián)的賬號列表。實(shí)現(xiàn)了自動的密碼獲取。針對緊急事件,未具有審批狀態(tài)的工單號,則通過郵件集成的形式。審批人發(fā)送郵件確認(rèn)信息, PVWA 自動審核工單,若在工單系統(tǒng)中不具備審批狀態(tài),但是具有審批人確認(rèn)郵件,那么 PVWA 仍 舊可以實(shí)現(xiàn)密碼發(fā)放。CyberArk PIM 套件的產(chǎn)品成熟度和開發(fā)的體系架構(gòu),使得客戶可以根據(jù)自身 情況完成系統(tǒng)部署和管理流程改造。所有

24、密碼的有效性為 2 個(gè)小時(shí),并且當(dāng)超出變更時(shí)段,該密碼也將自動失效CyberArk PIM 系統(tǒng)上線后,中國地區(qū)的運(yùn)維管理效率快速提升,安全管理員省去輸入密碼的日常工作, 將更多的經(jīng)理投身于內(nèi)控與合規(guī)檢查。系統(tǒng)管理員也可以更高效快速地獲取密碼,解決日常問題與變更 操作。,建設(shè)銀行(亞洲)坐落于香港,在2011年的審計(jì)中,香港行業(yè)審計(jì)人員在審計(jì)報(bào)告中嚴(yán)厲地指出建設(shè)銀行(亞洲)未實(shí)現(xiàn)自動化的密碼存儲與密碼發(fā)放,也存在特權(quán)賬號使用后 未及時(shí)

25、修改的潛在風(fēng)險(xiǎn), 日常記錄不準(zhǔn)確等問題。而這些問題均不符合香港銀行合規(guī)要求?;诖藢徲?jì)報(bào)告,建設(shè)銀行(亞洲)IT角色層立即將特權(quán)賬號作為之后的合規(guī)性工作重點(diǎn),并在2012年2月部署了CyberArk PIM 作為特權(quán)賬號管理方案。整體方案涉及到80個(gè)IT人員,1000臺服務(wù)器,以及40000個(gè)被管理賬號。中銀國際于日常工作中時(shí)常發(fā)現(xiàn)存在違規(guī)使用賬號的情況,為了進(jìn)一步加強(qiáng)內(nèi)部控制和審計(jì),在 2011 年全面進(jìn)行特權(quán)賬號管理,實(shí)現(xiàn)自

26、動化管理賬號的分發(fā)與回收。并在基本EPV 的基礎(chǔ)上, 使用 CyberArk PSM 對所有的特權(quán)會話進(jìn)行錄像審計(jì)。 其內(nèi)部存在一個(gè)網(wǎng)絡(luò)設(shè)備配置備份軟件,在項(xiàng)目之前,相關(guān)密碼都是靜態(tài)的,因此存放在配置文件中,備份軟件利用其進(jìn)行連接到網(wǎng)絡(luò)設(shè)備上,定期進(jìn)行備份。項(xiàng)目后,使用 CyberArk AIM 技術(shù)使得備份軟件能夠動態(tài)獲得密碼,清除了不安全,含有所有網(wǎng)絡(luò)設(shè)備的配置文件。整體方案涉及到 60 個(gè) IT 人員,8000 臺服

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論