保旺达一体化内控内审系统

黑名单、白名单、红名单
•黑白名单
客户 通信 信息
详单
包括语音、短信、彩信和GPRS详单等，内含主叫号码、主叫位置、•正则表达式，如手机号，身份证等
被叫号码、开始通信时间、时长、流量、金额等信息
•结构化数据“指纹”
账单
每月出账的固定费用、通信费用、数据费用、代收费用
•正则表达式，如手机号，身份证等
•结构化数据“指纹”
…… ……
业务N 从帐号
从账号管理
➢ 通过收集、整理业务系统现有帐号，合理与主帐号关联，可及时发现 孤立从帐号
主账号1
BWDa ICA
业务系统 系统及业 务帐号
从账号1 从账号2 从账号3
从账号N
…… ……
主账号2 主账号3 主账号N
议题
4
产品功能
4.1
功能总揽
4.2
账号管理
4.3
认证管理
4.4
可根据用户需求增加命令阻断功能议题产品功能产品功能信息防护信息防护46审计管理审计管理45授权管理授权管理44认证管理认证管理43账号管理账号管理42功能总揽功能总揽41管理员管理审计接口备份管理权限管理运行管理组件管理数据采集安全接口安全报表信息预处理安全预警审计分析资源管理授权接口细粒度授权资源授权角色授权角色管理认证策略管理认证接口认证方式管理认证枢纽数字证书管理主账号管理账号接口密码管理从账号管理账号生命周期账号收集同步授权管理账号管理认证管理系统管理审计管理bwdaica功能一览表议题产品功能产品功能信息防护信息防护46审计管理审计管理45授权管理授权管理44认证管理认证管理43账号管理账号管理42功能总揽功能总揽41主账号生命周期管理统一的用户审批管理流程添加修改禁用启用删除制定人员兼职调动离职的管理机制从账号管理主帐号主帐号从帐号从帐号从帐号从帐号从帐号从帐号从帐号从帐号从帐号从帐号从帐号从帐号从帐号从帐号通过主帐号创建采用帐号同步机制加入现有系统支持一键删除自然人自然人主机1主机2网络数据库业务1业务2业务nbwdaica从账号管理系统及业系统及业务帐号务帐号通过收集整理业务系统现有帐号合理与主帐号关联可及时发现孤立从帐号业务系统业务系统从账号1从账号2从账号3从账号n主账号主账号11主账号主账号22主账号主账号33主账号主账号nnbwdaica议题产品功能产品功能信息防护信息防护46审计管理审计管理45授权管理授权管理44认证管理认证管理43账号管理账号管理42功能总揽功能总揽41系统支持的认证模式usbkey生物识别认证方式比较认证方式实现方案优点缺点动态口令手机短信成本低安全性高延时可能无法收到短信动态令牌安全性高没有延时成本高令牌丢失令牌故障生物识别指纹仪视膜安全性高使用简便成本高设备故障数字证书成本低使用简便安全性一般usbkey硬件数字证书成本低使用简便安全性高议题产品功能产品功能信息防护信息防护46审计管理审计管理45授权管理授权管理44认证管理认证管理43账号管理账号管理42功能总揽功能总揽41授权管理角色与资源策略关联用户岗位角色2资源权限用户组角色1角色3资源权限资源权限授权同步授权管理应用程序接口bibossmisoa接口程序堡垒主机标准协议接口webserviceodbcjdbcweb配置tacacs网络设备主机数据库议题产品功能产品功能信息防护信息防护46审计管理审计管理
➢ 认证管理（Authentication）
➢ 选择多种强身份认证系统 ➢ 账号实名制登录和单点登入子系统
➢ 授权管理(Authorization)
➢ 统一、多级分配权限 ➢ 实现三权分立
➢ 安全审计(Audit) ➢ 日志收集归并分析
为什么需要4A
➢ 解决账号孤岛问题
各业务系统身份认证相互独立，每个用户需要记忆多套用户名/口令， 用户名和实际用户无法有效对应 一方面主机、数据库、网络设备、安全设备中存在大量的孤立账号，另 一方面账号公用的问题十分突出，现有审计系统无法定位实际的操作人 员
基本业务订购关系 品牌、套餐情况定制情况
•关键字检测
•结构化数据“指纹”
增值业务（含数据 移动邮箱、飞信、号簿管家、来显、彩铃、手机钱包等增值业务 •正则表达式，如手机号，身份证等
业务）订购关系 的注册、修改、注销
•结构化数据“指纹”
增值业务信息 移动邮箱地址、飞信号、手机钱包余额、交易历史记录
•结构化数据“指纹”
安全管控平台事件事故的鉴别流程
事件
标准化
与业务厂家、4A 厂家、安全厂家 接口开发，信息
预处理
全球威胁联动
全球探测网络, 提 供联动实时威胁
联动
优先级划分
提供用户信息\ 操作违规信息\ 数据输出信息 的关联分析, 进 行优先级划分
事故
采集
归并过滤
爆发类日志 大量运维经验对事件 外部入侵类 进行EMR分类归并
• 表名：含有敏感信息表的名称
• 字段名：敏感信息所在的字段
• 安全级别：根据字段含有敏感信息的关键字的种类、安全 级别、关键字出现频率等综合评估出该字段的安全级别， 为堡垒机细粒度授权提供依据
审计管理
4.6
信息防护
信息保护解决方案
• 利用一定规则扫描数据库，发现敏感信息保存在数据库的具体位置（哪个表的哪 个字段）；
• 2.通过堡垒主机细粒度授权功能，限制代维人员对含有敏感信息的字段的访问， 如果确实需要访问，必须由室经理进行二次授权；
• 3.当用户将敏感信息从数据库拷贝到堡垒主机时，系统及时发现并自动定义该信 息的安全级别；
安全信息 统计引擎
告警 呈现
告警 生成
统计 分析
安全事件源
安全事件处理
安全警告
1、安全运行管理系统是一个专注于安全的管理系统
2、以资产为核心，以风险为表征，反映资产的安全状况
3、告警反映与资产相关的安全问题，分一般和严重两个级别
4、以设备安全日志、配置、漏洞为分析的来源
5、分析手段包括标准化、压缩、关联、审计、定损分析、风险计算
第三方的开发人员、代维人员拥有过高的权限 操作行为无法监控，误操作会导致业务系统的宕机 一条查询语句可能造成大量的客户信息被泄密 通过孤立账号可以轻松地从事非法活动
➢ 通过4A系统可以实现用户实名制登录，从应用层快速定位 各类安全故障并提出最优解决方案，发现并删除孤立账号 ，对第三方人员的维护行为全面跟踪，及时发现并阻止各 类违规操作，从而保证用户业务系统的安全
➢ 角色与资源/策略关联
用户
岗位 用户组
角色1 角色2 角色3
资源/权限 资源/权限 资源/权限
授权同步
授权管理
Web Service
ODBC/JDBC
应用程序接口
接口程序
Web配置
Tacacs+
堡垒主机
标准协议接口
BI/BOSS/ MIS/OA
数据库
主机
网络设备
议题
4
产品功能
4.1
功能总揽
4.2
结合SOX法案要 求升级为BWDa
SIC V2.0
结合中移动 4A要求升级 为BWDa SIC
V3.0
结合中国电信 CTG-MBOSS安全 规范要求升级
为BWDa SIC V4.0
一体化内控内 审系统(BWDa
ICA)
议题
1 2 3 4 5
公司介绍 项目背景 解决方案 产品功能 成功案例
人员安全分层
账号管理
4.3
认证管理
4.4
授权管理
4.5
审计管理
4.6
信息防护
影响业务安全的五类安全事故
操作违规类
信息泄露类
应用异常访问类
外部入侵攻击类 内部爆发类
安全平台日志收集
SYSLOG\FTP\ODBC\JDBC
SYSLOG\SNM P
SYSLOG\FTP\ODBC\JDB C
SYSLOG\FTP\ODBC\JDB C
4 3
信息防泄密与二次授权
• 禁止应用系统后台数据库、主机的数据直接下载到维护终 端
• 根据信息重要程度，可分5个安全等级
安全级别 一级 二级 三级 四级 五级
内部人员权限 查询、下载 查询、下载 查询、二次授权后下载 二次授权后查询和下载 二次授权后查询，禁止下载
第三方人员权限 查询、下载 查询、二次授权后下载 二次授权后查询和下载 二次授权后查询，禁止下载 禁止查询及下载
➢ 解决审计孤岛问题
业务系统、主机、数据库、网络设备、安全设备、用户终端都会产生海 量日志 某一安全事件可能导致各类设备产品上百万条不同的告警信息，对网管 人员会造成误导，延长解决问题的周期 现有的网管和SOC只能判断网络及设备本身的问题，对于应用级的故障 无法审计
为什么需要4A
➢ 解决信息泄密问题
PS:可根据用户需求增加
命令阻断功能
议题
4
产品功能
4.1
功能总揽
4.2
账号管理
4.3
认证管理
4.4
授权管理
4.5
审计管理
4.6
信息防护
功能一览表
BWDa ICA
账号管理
认证管理
授权管理
审计管理
系统管理
主账号管理 认证策略管理
从账号管理 认证方式管理
账号收集同步 数字证书管理
账号生命周期
认证枢纽
• 4.通过堡垒主机用户环境WEB页面可以查看到可供下载的数据文件，如果该数据文 件不包含敏感信息，可以任意下载；如果该数据文件包含敏感信息，就根据数据 文件的安全级别授权（可以下载、二次授权下载、不可下载）
数据库扫描
• 数据库扫描
电信行业扫描策略
类别 子类
客户 集团客户资料 基本 资料
个人客户资料
客户当前位置信息 精确位置信息(如小区代码、基站号、基站经纬度坐标等)；大致 •正则表达式，如小区代码、基站号
位置信息(如地区代码等)
等
•结构化数据“指纹”
客户消费信息
停开机、入网时间、在网时间、积分、预存款、信用等级、信用 •正则表达式，如手机号，身份证等
额度、缴费情况、付费方式
•结构化数据“指纹”
保旺达一驻体家化客内服控系内统审系统
江苏保旺达软件技术有限公司 2011年9月
南京保旺达技术开发公司 2009年5月
议题
1 2 3 4 5
公司介绍 项目背景 解决方案 产品功能 成功案例
公司简介
➢ 公司成立于2002年,国内最早从事信息安全产品研发、销 售、集成的企业之一，也国内领先的信息安全专业厂商及服 务供应商。
4A成功案例
电信运营商
江苏移动－业务支撑系统、信息化部 江苏电信－业务支撑系统 江苏联通－信息化部 青海移动-信息化部 安徽联通-信息化部、产品创新部 中联通总部-产品创新部
其他行业
议题
1 2 3 4 5
公司介绍 项目背景 解决方案 产品功能 成功案例
什么是4A
➢ 帐号管理（Account）
➢ 建立统一的主账号系统 ➢ 管理业务系统及相关设备的从账号系统 ➢ 主从账号关联
授权管理
4.5
审计管理
4.6
信息防护
系统支持的认证模式
➢ 静态口令 ➢ 动态口令 ➢ 数字证书 ➢ USB KEY ➢ 动态令牌 ➢ 生物识别
认证方式比较
认证方式 动态口令 动态令牌
实现方案 手机短信
优点 成本低，安全性高 安全性高、没有延时
生物识别 指纹仪、视膜 安全性高、使用简便 仪
数字证书
4A在安全体系中的位置
4A
BWDa ICA框架体系
开发历程
2003 2005
2006
2007
2008
2009 2009
2011 2009
发布保旺达 分级网关系 统V1.0，成 功解决军工保旺达分级 单位安全内 网关系统
控问题 V3.0成功运保旺达安全 用于江苏移 内控系统 动BOSS移 （BWDa SIC）
成本低、使用简便
USB-KEY 硬件数字证书 成本低、使用简便、 安全性高
缺点 延时，可能无法收到短信 成本高、令牌丢失、令牌 故障 成本高、设备故障
安全性一般
议题
4
产品功能
4.1
功能总揽
4.2
账号管理
4.3
认证管理
4.4
授权管理
4.5
审计管理
4.6
信息防护
授权管理
➢ 自然人对应主帐号 ➢ 帐号与岗位关联 ➢ 岗位与角色关联
播放窗口
存储位置包含主账 号、主机IP、录像
日期等信息
检检索文索“窗字“t口a输窗删o文“b入口除a“字淘o检文”安输宝索件全入””检”索
检索窗口
报表输出
➢ 支持TXT 、EXCEL、WORD、PDF 等 多 种 格 式
议题
4
产品功能
4.1
功能总揽
4.2
账号管理
4.3
认证管理
4.4
授权管理
4.5
数据库敏感信息汇总表
IP地址 192.168.127.140 192.168.127.140 ……
数据库名称 master Master ……
表名 View Sec ……
字段名
安全级别
Lacol address 4
Tar
2
……
……
• IP地址：敏感信息所在服务器的地址
• 数据库名称：含有敏感信息所在的数据库
操作违规类ห้องสมุดไป่ตู้
业务用户异常访问类
信息输出类
关联分析
利用运维经验, 提供关联方法, 和关联规则库 以及技术参数
处理
提供更新的知识 库提供处理意见
安全信息处理过程
防病毒 配置违规检查 网络设备日志 安全设备日志 服务器日志
安全信息审计分析 安全信息关联分析
安全信息归并 安全信息过滤 安全信息标准化
资产风 险分析
普通员工 开发人员 代维人员 管理员
业务系
终端接入流程
强身份认证 终端合规检查
权限分发 单点登录 日志审计
4A门户网站
…… ……
系统维护接入流程
终端用户
接入平台
应用程序授权 PLSQL
SQLPLUS SECURECRT
LOTUS
设备实体授权
细粒度 Select Update 清单
授权-统一开发和代维管理软件
主账号生命周期管理
➢ 统一的用户审批管理流程(添加、修改、禁用、启用、删除) ，制定人员兼职、调动、离职的管理机制
从账号管理
➢ 通过主帐号创建，采用帐号同步机制加入现有系统，支持一键删除
主机1 从帐号
主机2 从帐号
网络 从帐号
自然人 主帐号
BWDa ICA
数据库 业务1
从帐号 从帐号
业务2 从帐号
故障管 理平台
工单 系统
安全监控
图形化审计与屏幕录像
• 针对数据库维护以外的图形化操作，如IE、防火墙客户端等 • 客户登录堡垒主机时自动启动屏幕录像进程 • 采用图片时间矢量技术，压缩大量录像所占的硬盘空间 • 根据主账号、登录时间、维护工具、当前窗口名称、键盘命
令等关键字段进行检索
屏幕录像播放截图
各类特殊名单
内容
检测技术和规则类型
集团客户负责人信息、联系人信息、单位成员个人基本信息、业 务合同、银行扣费账户、集团客户编号、集团客户名称、所在省 市、所在行业、集团签约时间、集团协议到期时间
•关键字检测 •文档“指纹”
客户姓名、证件类型、证件号码、证件影印件、客户手机终端信