自2011年5月頒發(fā)第一批27家第三方支付牌照開始���,中國(guó)人民銀行已頒發(fā)了6批200多家�����;凇斗墙鹑跈C(jī)構(gòu)支付服務(wù)業(yè)務(wù)系統(tǒng)檢測(cè)認(rèn)證管理規(guī)定》的規(guī)范化管理和檢測(cè)要求����,第三方支付服務(wù)系統(tǒng)得以規(guī)范�����、安全的快速發(fā)展�。但CIO們大多更加關(guān)注主機(jī)系統(tǒng)安全和外來訪問安全,同時(shí)由于《非金融機(jī)構(gòu)支付服務(wù)業(yè)務(wù)系統(tǒng)檢測(cè)認(rèn)證管理規(guī)定》中的“運(yùn)維維護(hù)安全”主要停留在制度層面的要求����,導(dǎo)致第三方支付的運(yùn)維操作管理存在部分盲區(qū)。
對(duì)于網(wǎng)絡(luò)邊界���,CIO一般采用防火墻來進(jìn)行隔離���,然而對(duì)于服務(wù)器的遠(yuǎn)程運(yùn)維管理(如通過SSH�����、RDP遠(yuǎn)程登錄維護(hù)服務(wù)器),首先CIO們鮮有邊界管理的概念����,其次認(rèn)為使用防火墻技術(shù)就可以了。但是����,防火墻關(guān)注于傳統(tǒng)的五元組檢查,無法滿足復(fù)雜的運(yùn)維安全管理和審計(jì)的需要����。由此,成為諸多金融行業(yè)CIO們焦慮的問題�����。針對(duì)此需求�����,國(guó)內(nèi)IT運(yùn)維專家普遍提倡使用堡壘機(jī)產(chǎn)品���,很好補(bǔ)充金融行業(yè)運(yùn)維安全管理和事后審計(jì)的需求�,來幫助金融行業(yè)服務(wù)系統(tǒng)實(shí)現(xiàn)規(guī)范化運(yùn)維管理�����。
作為國(guó)內(nèi)知名的堡壘機(jī)產(chǎn)品,碉堡堡壘機(jī)(www.baoleiji.com)創(chuàng)新的對(duì)堡壘機(jī)產(chǎn)品進(jìn)行了重新定義���,在保證原有產(chǎn)品功能和性能的前提下�,將原有的“硬件+軟件”的形態(tài)�,跨時(shí)代的改變?yōu)?ldquo;虛擬化+軟件”的方式,因此能夠快速運(yùn)行在任意服務(wù)器上���,隨時(shí)下載試用�����,由此大大地降低IT采購(gòu)成本����,使堡壘機(jī)部署更加便捷����,讓操作更加簡(jiǎn)便。
碉堡堡壘機(jī)采用“旁路部署�����,串行控制”模式�,在不改變?cè)芯W(wǎng)絡(luò)結(jié)構(gòu)的情況下,實(shí)現(xiàn)快速部署�,同時(shí)與防火墻技術(shù)或自身密碼代填接管方式,快速建立運(yùn)維人員與第三方支付服務(wù)系統(tǒng)之間的訪問控制隔離屏障和監(jiān)控審計(jì)平臺(tái)�����,能夠有效地幫助第三方支付服務(wù)系統(tǒng)實(shí)現(xiàn)規(guī)范化運(yùn)維管理��。下面�����,我們了解一下碉堡堡壘機(jī)在第三方支付行業(yè)的應(yīng)用��。
| 網(wǎng)絡(luò)安全性檢查項(xiàng) | 具體檢查內(nèi)容 |
| 網(wǎng)絡(luò)安全性測(cè)試 | 網(wǎng)絡(luò)訪問控制 | (1)網(wǎng)絡(luò)域安全隔離和限制���;(2)內(nèi)容控制�;(3)訪問控制�����;(4)會(huì)話控制 |
| 網(wǎng)絡(luò)設(shè)備防護(hù) | (1)設(shè)備登錄設(shè)置;(2)設(shè)備登錄口令安全性����;(3)登錄地址限制;(4)遠(yuǎn)程管理安全��;(5)設(shè)備用戶設(shè)置策略��;(6)權(quán)限分離 |
| 主機(jī)安全性測(cè)試 | 身份鑒別 | (1)系統(tǒng)與應(yīng)用管理員用戶設(shè)置�����;(2)系統(tǒng)與應(yīng)用管理員口令安全性�����;(3)登錄策略 |
| 訪問控制 | (1)訪問控制范圍�;(2)主機(jī)信任關(guān)系;(3)默認(rèn)過期用戶 |
| 安全審計(jì) | 用戶操作審計(jì) |
| 應(yīng)用安全性測(cè)試 | 身份鑒別 | (1)系統(tǒng)與普通用戶設(shè)置��;(2)系統(tǒng)與普通用戶口令安全性����;(3)登錄訪問安全策略;(4)口令有效期限制�����;(5)限制認(rèn)證會(huì)話時(shí)間;(6)身份標(biāo)識(shí)唯一性 |
| 訪問控制 | (1)訪問權(quán)限設(shè)置�;(2)自主訪問控制范圍 |
| 安全審計(jì) | 對(duì)象操作審計(jì) |
碉堡堡壘機(jī)軟件在第三方支付(網(wǎng)絡(luò)支付應(yīng)用)服務(wù)系統(tǒng)的功能滿足項(xiàng)表
鑒別:設(shè)備和應(yīng)用的用戶身份認(rèn)證
第三方支付服務(wù)系統(tǒng)大多采用多人共享賬號(hào)登錄����。經(jīng)常會(huì)出現(xiàn)系統(tǒng)出問題后不知道是誰操作的,內(nèi)部人還好��,外來人員為了推卸責(zé)任就不會(huì)承認(rèn)了�����。
碉堡堡壘機(jī)作為遠(yuǎn)程運(yùn)維操作管理的屏障�����,運(yùn)維人員首先登錄堡壘機(jī)進(jìn)行唯一性身份認(rèn)證�,用戶名和密碼認(rèn)證可以附加選擇動(dòng)態(tài)令牌硬件認(rèn)證。網(wǎng)絡(luò)設(shè)備�、主機(jī)系統(tǒng)可將維護(hù)IP指定堡壘機(jī)地址,同時(shí)配合碉堡堡壘機(jī)的密碼代填實(shí)現(xiàn)單點(diǎn)登陸(SSO)功能��,完美解決了共享密碼安全問題���。運(yùn)維人員離職后�����,停掉堡壘機(jī)中該用戶即可!
控制:主機(jī)和應(yīng)用訪問的授權(quán)管理
對(duì)運(yùn)維人員實(shí)現(xiàn)統(tǒng)一的身份鑒別后�����,就可實(shí)現(xiàn)對(duì)運(yùn)維操作授權(quán)了���。
碉堡堡壘機(jī)提供了Portal管理界面�,運(yùn)維人員認(rèn)證通過后直接點(diǎn)擊需要運(yùn)維設(shè)備的圖標(biāo)就可以快速登陸�,進(jìn)行維護(hù)操作。運(yùn)維人員無需記憶設(shè)備IP���、登陸密碼等信息��,大大方便了運(yùn)維操作�。
對(duì)于運(yùn)維人員的操作���,碉堡堡壘機(jī)可以實(shí)現(xiàn)細(xì)粒度控制�����,如對(duì)Linux系統(tǒng)操作可實(shí)現(xiàn)登陸協(xié)議控制(如是通過SSH�����,還是X11)�、源地址控制、操作指令黑白名單(如禁止reboot等高危指令等)����、操作時(shí)間控制(如上班時(shí)間允許��,下班時(shí)間禁止)等等��。
審計(jì):主機(jī)和應(yīng)用操作的主觀回放
對(duì)于第三方支付服務(wù)系統(tǒng)提供的操作審計(jì)���,包括數(shù)主機(jī)操作審計(jì)���、應(yīng)用操作審計(jì)、據(jù)庫操作審計(jì)等等���,如果要通過查看各個(gè)系統(tǒng)的操作日志方式來實(shí)現(xiàn)����,將面臨信息量大、不直觀��,以及信息缺乏關(guān)聯(lián)性等問題�����。
碉堡堡壘機(jī)集中記錄了各種運(yùn)維操作操作信息����,并與具體的運(yùn)維人員關(guān)聯(lián),可實(shí)現(xiàn)事中在線監(jiān)視�,事后隨時(shí)調(diào)取回放。碉堡堡壘機(jī)還可基于輸入指令或輸出關(guān)鍵字進(jìn)行操作畫面定位��,一般5分鐘內(nèi)可確認(rèn)事故原因和責(zé)任人�。碉堡堡壘機(jī)的操作審計(jì)功能,為第三方支付提供了對(duì)運(yùn)維操作事故的事后直觀定位和取證手段���。
碉堡堡壘機(jī)軟件(www.baoleiji.com)在內(nèi)蒙古中付通公司得到很好的應(yīng)用��,為其服務(wù)系統(tǒng)的運(yùn)維操作管理和審計(jì)提供了完善的解決方案�。
