案例分享某大型銀行 – 賬號統(tǒng)一管理平臺
實施范圍與價值
•在2013年1月利用CyberArk實施了運維賬號統(tǒng)一管理系統(tǒng),實現(xiàn)了全行范圍內(nèi)的特權(quán)賬號與一般賬號的統(tǒng)一管理:
•1套環(huán)境覆蓋上海數(shù)據(jù)中心����,36個分行機構(gòu)
•針對全行800多名員工�,以及1600臺服務器
•IT管理員只可以使用賬號實現(xiàn)單點登錄,但無法知曉密碼�,全行范圍內(nèi)的生產(chǎn)操作審計
•CyberArk的系統(tǒng)配置管理員納入CyberArk自動管理
•全面實現(xiàn)平臺配置,用戶管理��,權(quán)限管理�����,賬號管理的權(quán)限分離�����。
•支持各種管理員常見客戶端和特定應用的單點登錄功能
•最大960并發(fā)會話
雙人會同登錄/操作
【某客戶】 –管理團隊與對應賬號
密碼導出
•特權(quán)賬號密碼由CyberArk隨機生成
•特權(quán)賬號密碼分段加密導出,郵件發(fā)送給A/B角色
•加密密鑰由內(nèi)控團隊管理(手工保存至信封)���,由CyberArk系統(tǒng)隨機生成
郵件標題:【運維賬號信息】 - ZSC_SOP_SYS / Root / ZSC_SOP_SYS_AIX_Auto_10.100.33.68_root
郵件內(nèi)容:
==============================================
【運維賬號信息】
Policy ID = ZSC_SOP_SYS_AIX_Auto
IP地址 = 10.100.33.68
用戶名 = root
主機名 = CBAPP1
應用名 = 核心銀行
【導出的密碼為第2部分】 9CpBYq5Wbg==
【導出時間】 2013-03-29 11:50:24 5024
==============================================
【說明】請務必妥善保管���,防止密碼泄露
管理效果
•與RSA和AD集成,形成雙因素認證
•嚴格的權(quán)限管理
•99%的密碼是不可見的�����,通過PSM登錄
•所有CyberArk 默認用戶 (operator, administrator)密碼通過CPM自動管理���,并且具有操作審計
•腳本化的部署方式
新聞與合規(guī)要求
由特權(quán)賬號引起的安全事件回顧和分析
特權(quán)賬號-------掌控企業(yè)信息安全保險庫的鑰匙
特權(quán)賬號管理����、使用過程存在嚴重的安全隱患和漏洞
誰有特權(quán)帳號的訪問權(quán)限�����?
•管理員
•承包商��;云服務提供者
•數(shù)據(jù)庫管理員
•離職員工
•應用程序
這些破壞為何會發(fā)生�?
•共享帳號的使用
•過多的特權(quán),權(quán)限過于集中
•“隱藏/休眠”幽靈帳號
•不存在/非強制的訪問控制
•不經(jīng)常修改的密碼
•特權(quán)會話沒有有效隔離
銀監(jiān)會相關(guān)監(jiān)管要求
銀監(jiān)會監(jiān)管
銀監(jiān)會[2007] 6號《商業(yè)銀行內(nèi)部控制指引》
•第一百二十三條 商業(yè)銀行應當對計算機信息系統(tǒng)實施有效的用戶管理和密碼(口令)管理�����,對用戶的創(chuàng)建、變更����、刪除、用戶口令的長度���、時效等均應當有嚴格的控制
•第一百二十四條 商業(yè)銀行應當對計算機信息系統(tǒng)的接入建立適當?shù)氖跈?quán)程序�,并對接入后的操作進行安全控制
•第一百一十八條 商業(yè)銀行應當明確計算機信息系統(tǒng)開發(fā)人員�����、管理人員與操作人員的崗位職責�,做到崗位之間的相互制約�,各崗位之間不得相互兼任
銀監(jiān)會監(jiān)管
銀監(jiān)會[2009]19號《商業(yè)銀行信息科技風險管理指引》
•第二十二條 商業(yè)銀行應建立有效管理用戶認證和訪問控制的流程。并且確保其在信息系統(tǒng)內(nèi)的活動只限于相關(guān)業(yè)務能合法開展所要求的最低限度��。
•第二十五條(三)制定最高權(quán)限系統(tǒng)賬戶的審批�、驗證和監(jiān)控流程,并確保最高權(quán)限用戶的操作日志被記錄和監(jiān)察
•第二十六條(三)加強職責劃分�,對關(guān)鍵或敏感崗位進行雙重控制。
•第三十五條 商業(yè)銀行應制定相關(guān)控制信息系統(tǒng)變更的制度和流程�,除得到管理層批準執(zhí)行緊急修復任務外��,禁止應用程序開發(fā)和維護人員進入生產(chǎn)系統(tǒng)���,且所有的緊急修復活動都應立即進行記錄和審核。
證監(jiān)會相關(guān)監(jiān)管要求
證監(jiān)會監(jiān)管
證監(jiān)會[1998] 2號《證券經(jīng)營機構(gòu)營業(yè)部信息系統(tǒng)技術(shù)管理規(guī)范》
•計算機安全管理在執(zhí)行中����,“定期更換操作口令”是指至少每兩個月更換一次。
•操作安全制度(〔2.3.5〕)在執(zhí)行中���,應重視以下方面:
2.新開用戶需經(jīng)嚴格審批����;
3.冗余用戶要及時清理�,超過三個月未使用過的用戶要設(shè)置為禁止使用狀態(tài)或刪除; 4.數(shù)據(jù)庫管理系統(tǒng)的系統(tǒng)管理員口令應由電腦中心集中管理��,并于非軟件開發(fā)商的
第三處封存保管�����。
信息安全等級保護相關(guān)監(jiān)管要求
等保監(jiān)管
信息系統(tǒng)安全等級保護基本要求 (GBT 22239-2008)
•應針對系統(tǒng)變更���、重要操作�����、物理訪問和系統(tǒng)接入等事項建立審批程序��,按照審批程序執(zhí)行審批過程�,對重要活動建立逐級審批制度,應記錄審批過程并保存審批文檔�����。
•身份鑒別信息應具有不易被冒用的特點�����,口令應有復雜度要求并定期更換�。
應授予不同帳戶為完成各自承擔任務所需的最小權(quán)限,并在它們之間形成相互制約的關(guān)系�。
•應及時刪除多余的、過期的帳戶��。
•應確保在外部人員訪問受控區(qū)域前得到授權(quán)或?qū)徟?����,批準后由專人全程陪同或監(jiān)督���,并登記備案����。
等保監(jiān)管
數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求(GBT 20273 -2006 )
•由系統(tǒng)控制的敏感數(shù)據(jù)�����,如口令���、密鑰等���,不應在未受保護的程序或文檔中以明文形式存在。
•系統(tǒng)應提供一種機制�,能按時間、進入方式����、地點、網(wǎng)絡(luò)地址或端口等條件規(guī)定哪些用戶能進入系統(tǒng) �。
