省建行安全管理

[项目背景]

    建行广东分行的核心业务系统目前均运行在HP 9000/800 服务器平台上，包括储蓄系统、会计系统、信用卡系统、公积金系统等。涉及的人员包括系统运行维护岗、储蓄运行维护岗、会计运行维护岗、银行卡运行维护岗。由于UNIX系统的权限体系显示，这些系统存在一些安全隐患：

    不同人员使用同一操作系统的用户帐户进行操作，不能对具体的某个人员进行操作审计。

    不能避免超级用户root可以转换成别的用户进行操作。

    超级用户root可以对业务系统的文件或目录进行随意修改，而这些业务系统的文件或目录应该由用户指定的用户acct操作维护。
 
    开发和维护人员的访问权限相互交叉。而且彼此互相不了解对方的操作规范，因此势必在对同一台机器的操作过程中产生了不良的影响。

[实施简介]

    我们采用了 CA的eTrust Access Control解决以上的安全隐患，作如下的安全保护：

    用户划分管理：对所有的人员创建相应的操作系统用。

    系统命令审计：对用户指定系统命令进行审计，如：copy;rm;vi等等，凡是用户执行过此条命令，都会留下审计记录。另外可以对用户指定的可执行文件进行审计，比如lsql执行程序关键文件目录保护：对应用业务系统的重要文件和目录进行保护。即使超级用户root也无法修改。

    关键进程保护：对比较重要的业务系统进程进行审计。

    用户身份限制：对业务系统的用户进行保护，不允许超级用户转换成此用户。

    安全审计：当用户要对业务系统进行操作时，用自己的用户帐户登录，再su到对应的用户，如su 到acct用户。

    登录限制：为了确保审计的唯一性，可以对用户root及业务系统用户如acct、savjy、savzw等的登录方式进行限制，即不允许这些用户直接登录到系统。

[实施简介]

    建设银行通过实施eTrust Audit ,eTrust Access Control 系统的安全性得到了很好的加强，主要从以下几方面得到了体现：保证系统的稳定性：系统关键进程、系统关键配置文件和系统关键目录得到保护，保证了系统的稳定运行。保证了如Informix, tuxedo等系统即使误操作也可以稳定的运行。

    限制了root 的权限，在unix系统中root权限过大是系统不安全的原因之一，在实施了eAC 后很好的限制了root的权限使得系统的权限得到了合理的分配。

    限制了一般用户的系统权限，包括用户su 到其他用户的权限，使得用户的权限尽可能的合理。

    限制了系统的接入和连出，限制了可连接（telnet,ftp源）系统的ip以及系统可以连出(telnet目的)的ip,保证的系统的整体安全。

    限制了用户登录，使得root 等系统帐户不可以直接登录系统保证了，可以审计到用户的操作。

    安全的口令策略，通过口令策略的使用使得系统的用户口令安全性有较大的提高。

    安全审计并保留所有审计日志，通过eAC,Audit的实施，可以审计到用户的所有系统操作，并且安全审计日志不可以被删除，通过查看审计日志可以查到指定的操作。

• ·黑匣子监控系统[图]
• ·EZ-Lock易锁_文件加密保护系统[图]
• ·DCI黑匣子网络安全监控系统[图]
• ·博商零售业网上商店系统解决方案
• ·博商企业级B2C电子商务解决方案

• ·广州正航--防伪税控接口系统（防伪税控接口软件）
• ·装柜软件装柜专家,节省运费
• ·实用网络教学系统
• ·奥博行业即时通信(p2p)
• ·ISOA让你的员工沟通更畅通、工作更轻松！