隨著互聯網的發展，人們對網上購物和電子商務的需求越來越大，促使銀行業大力發展線上業務，通過手機支付、網上銀行等互聯網渠道為公眾提供金融服務，與此同時，如何保障這些基礎設施資產的正常運行和核心數據不被泄露，免受內部人員的越權訪問操作和外部黑客的侵擾攻擊，成了銀行業內的一大難題。某銀行是經中國銀監會批準設立的全國性股份制商業銀行，隨著跨區域發展戰略的執行、業務持續擴張、規模不斷的發展壯大，一旦發生業務中斷事故，即使很短的時間，都會造成莫大的損失；數據庫中存儲的大量交易數據，不僅涉及經濟利益，其中還包含了個人隱私信息，一旦泄露，會對銀行的信譽造成難以挽回的損害。IT信息科技方面的風險和威脅日益劇增，如何保證整個IT系統運行的穩定安全，也成為了決策層和管理層迫在眉捷的挑戰。

行業需求

為了保障金融行業做好安全工作，銀監會也加大了對各銀行的監管力度，出據了各種條件和指引文件，指導銀行的信息化安全建設和規范，做到未雨綢繆，防止數據安全事件的發生。其中著重提到了運維操作風險管理，要求單位對數據中心后臺的所有操作都要有記錄，做到有據可查。銀監局在對該商業銀行信息科技風險監管檢查風險評估中就發現許多問題,主要如下：

1.賬號共享、交叉管理：由于多個維護人員同時使用一個賬號做運維，如果出現誤操作，無法確定具體操作人；

2.授權管理：對于高權限賬戶，權限沒有好的管控辦法，只要網絡可達，擁有用戶名和密碼，可以隨時登錄操作數據中心后臺；

3.操作行為管控：運維人員（代維廠商）對數據中心的后臺操作是不透明的，信息中心負責人不知道誰什么時候在后臺做了什么操作，沒有好的監控辦法；

4.數據外泄：像RDP、FTP類的協議，都帶有磁盤映射功能，如果不能控制好維護協議的傳輸控制，核心機密數據有外匯的風險存在；

5.數據庫訪問來源復雜，難以確定數據庫操作的真實訪問者；

6.數據庫系統自身日志記錄信息不全，違規事件無法及時、準確的發現；

7.數據庫操作過程完全處于“暗箱”之中，難以了解細節。

統一接入入口

建立統一的安全運維接入平臺，為核心業務系統提供統一運維操作入口，實現單點登錄。所有運維人員都首先登陸統一運維平臺，在系統上進行運維操作，實現對其的統一訪問控制和管理；

賬號集中管理

實現集中化、基于角色的的主從帳號管理，建立自然人與設備帳號之間的一一對應關系，并對設備帳號進行統一管理，定期進行密碼修改；

嚴格權限控制

對用戶使用業務系統中資源的具體情況進行合理分配，實現不同用戶對不同部分實體資源的合法訪問，杜絕非法訪問和越權訪問。每個運維人員的權限都實現有效控制，策略細粒到可訪問的設備和可使用的賬號；

完善事后審計

對運維操作的過程進行完全跟蹤和記錄，完整保存運維操作的所有日志；統計自然人對資源的訪問情況，在出現安全事故時，可以故障定為和責任追蹤；對人員的登錄過程、操作行為進行審計和處理，建立完善針對“自然人→資源”訪問過程的完整審計；為監管部門提供審計平臺和審計數據。審計提供了錄像和命令的完整查看，并可提供快速準確的搜索定位；

方案高可用性

設備旁路部署，不用改變現有網絡拓撲，支持雙機熱備、集群和分布式部署，提高平臺的可靠性。無需在業務系統上安裝任何Agent，不影響業務。

滿足合規

1. 滿足IT內控、SOX、COBIT、等保等法案法規合規性審計要求； 2. 為銀監部門提供運維管理的審計報表和原始準確的運維操作日志； 3. 有助于完善組織的IT內控與審計體系，使組織能夠順利通過IT審計。

降低安全風險，快速故障定位和責任追蹤

1. 采用堡壘主機的技術，避免了非法終端、不安全終端直接連接核心資源，降低木馬、間諜、內部安全威脅等對核心資源造成的影響； 2. 發生安全事故，通過回放操作記錄可快速、準確的進行責任鑒定和安全事件追蹤； 3. 作為第三方獨立運維審計管理設備，實現了使用權、管理權與監督權的三權分立；同時也幫助監督人員獲得有效的技術手段，完善銀行IT內控機制。