证券行业进入“互联网+”时代,智慧运维鼎力保障业务安全
日期:2019-12-19
近年来,股票、基金等证券品种交易不断升温,参与交易的人数越来越多,交易量也不断放大,证券公司后台系统正承受着越来越大的压力。同时,随着技术发展、业务增多,证券公司需维护的系统也越来越多,再加之软件、硬件系统的复杂环境,后台系统的稳定性也面临着极大考验。因后台系统故障而导致不能交易的事件时有发生,为公司及用户带来极大损失。可见,证券公司后台系统的稳定性对证券公司运营有着十分重大的意义。目前,证券公司数据中心运维主要存在以下问题:
1. 账号管理问题
对设备的管理中,多人共用一个系统账号的情况普遍存在,带来管理方便性的同时,也带来了操作者无法确定的问题。一旦发生安全事件,无法准确定位恶意操作及误操作的具体责任人。
2. 密码管理问题
为了保证密码的安全性,要定期修改密码使密码要有足够强度。但在实际情况中,由于管理的机器数量和帐号数量太多,定期修改成复杂密码实际难度较大,因此管理员往往难以做到定期修改,并且都会使用有一定规律性的密码。
3. 维护人员及第三方运维人员的账号权限不规范
访问授权都是以主机的账户控制为主。由于操作系统自身的功能限制,目前使用的操作系统、网络设备等都无法做到指令级授权控制。维护人员往往会因为一个简单的维护需求,而使用超级用户的权限,这给系统带来一系列问题。
4. 操作行为不可控
系统管理员登录到系统后他将拥有系统控制的最高权限,其操作行为不可控制,例如一些关机、关闭数据库、关闭应用程序、删除存储、更改密码等极其危险的命令他都可以进行操作,对系统造成严重的威胁。
5. 安全隐患
系统管理员登录到系统后他将拥有系统控制的最高权限,因此存在以下风险:应用服务由于操作配置不当而异常甚至宕机;公司的敏感信息泄露或被篡改、破坏;多人使用同一密码造成操作事故无法快速定位责任人与责任原因。
ICS3000堡垒机提供统一WEB管理入口,对登陆用户身份的合法性实施统一认证;系统自带字符类/图形类/应用类多种运维工具,无需运维客户端自行安装,避免运维过程中出现工具不全面,版本不兼容的问题;支持会话代理访问通道的建立,改变原有本地客户端直接发起会话的运维模式,提供集中化、一站式运维服务,并对运维过程实现有效监控与审计。
ICS3000堡垒机提供一套非常完善的身份管理与认证机制,把握和控制该数据中心WEB管理平台访问入口,对所有登陆用户身份的有效性和合法性逐一验证,加强操作源头的安全防范,真正实现操作访问前的主动防控管理,大大降低了证券行业重要业务信息数据泄露的风险。支持用户本地(WEB管理平台)与支持静态与令牌的组合认证,认证方式支持硬件令牌及手机app认证认证渠道,在保证安全防范操作的同时,提高了用户操作的灵活性与便捷性,同时体现系统强大的兼容性与扩展性。
ICS3000堡垒机支持对各类目标设备,如Windows/Unix/Linux/Solaris等服务器设备、CISCO/H3C/华为等网络设备、以及安全设备的帐户及密码进行统一管理,涉及帐户及密码的实时收集、定期批量修改、帐户分配管理、单点登录/密码代填。减轻运维人员维护压力的同时,保障业务系统的安全。
ICS3000堡垒机提供了灵活的代维人员维护授权的管理能力,维护要求由运营商自有技术人员主动发起,并设定代维账号,限定操作时段或频度后,通知代维公司运维,维护完成后,账号自动锁定,保证运维工作的可控性。
ICS3000堡垒机内置的智能运维工具可以将需要执行的命令作为脚本提交给设备自动运行并采集数据,省去了大量的人工操作而直接进入数据分析阶段,提高了工作效率。
ICS3000堡垒机提供网内运维管理全生命周期的审计,采用流媒体形式记录运维人员登陆运维网关至登出运维网关的全过程,支持对字符、图形等多种类型会话的全面审计。