宁夏邮政金融网和综合计算机网安全管理项目

概览

为了更好的保证邮政金融网与综合计算机网的可用性和高性能，提高全面管理质量，宁夏邮政将建设一个集中式的网络管理系统。通过此网管系统，在两网核心系统 及全区关键业务部门服务器上部署主机系统、网络、数库、安全方面的系统管理软件，加强对省中心系统的网络和系统的性能、数据库系统等的监控和管理，使管理 由过去的被动式“救火型”向主动式“预检型”转变，提高两网运维质量，保证邮政骨干网络的正常运行。

业务需求: 为了更好的保证邮政金融网与综合计算机网的可用性和高性能，提高全面管理质量，宁夏邮政将建设一个集中式的网络管理系统。

解决方案: IBM Tivoli 安全解决方案是从应用内部进行保护，控制和管理使用应用的访问者的身份、权限和行为，实现整个计算环境的安全。

收益: 经过现场测试和验收, 完全达到了设计方案所制定的目标. 对宁夏邮政金融网和综合计算机网内控制用户对应用资源的访问。任何用户访问应用资源时都要经过应用访问管理器的统一认证，统一授权。并与各应用的无缝集 成，达到单一注册的目的。宁夏邮政金融网和综合计算机网实现了“一人一个账号一个口令”登录管理，同时应用访问管理器可以支持多种安全认证方式：用户名与 口令、智能卡等。可以采用口令 PIN 密钥管理、数据加密、数字签名等安全机制，最大限度地保证用户和口令等的信息安全。

成功案例

业务问题 (客户需求) :

为了更好的保证邮政金融网与综合计算机网的可用性和高性能，提高全面管理质量，宁夏邮政将建设一个集中式的网络管理系统。通过此网管系统，在两网核 心系统及全区关键业务部门服务器上部署主机系统、网络、数库、安全方面的系统管理软件，加强对省中心系统的网络和系统的性能、数据库系统等的监控和管理， 使管理由过去的被动式“救火型”向主动式“预检型”转变，提高两网运维质量，保证邮政骨干网络的正常运行。

宁夏邮政金融网和综合计算机网是两个不同网段且在物理上完全分开两个网络系统。在邮政金融网中主要的被监控的服务器为两台绿卡主机，一台开发机和四 台前置机，涉及的操作系统为 HPUX，WINDOWS 和 SCO UNIX，数据库为 ORACLE，在综全计算机网中被监控的服务器为四台电子汇兑主机，两台报刊发机服务器和两台综合网网管服务器，操作系统涉及 TRUE64 和 WINDOWS，数据库为 ORACLE，另外在综合网网管服务器上安装 NETVIEW。

IBM Tivoli 安全解决方案是从应用内部进行保护，控制和管理使用应用的访问者的身份、权限和行为，实现整个计算环境的安全。因此, 本方案的设计目的是：通过 Tivoli Access Manager 实现跨域的单次登录，以及 Web 应用的集中授权；通过 Tivoli Identity Manager 实现集中的用户管理，包括 Mail、OA 等；通过 Tivoli Directory Server 提供标准的 LDAP 目录服务；通过 Tivoli Risk Manager 实现跨宁夏邮政金融网和综合网的风险管理，将网络中部署的单点安全产品所产生的事件和警报在一个控制台上加以简化和关联，快速识别真正的安全威胁。

解决方案:

项目实施的 Tivoli 产品

• Tivoli Framework V4.1
• Tivoli Monitoring V5.1.1
• Tivoli Monitoring for Database V5.1.0
• Tivoli Monitoring for Application V5.1.0
• Tivoli Enterprise Console V3.8
• Tivoli NetView V7.1.3
• Tivoli Configration Manager V4.2
• Tivoli Decision Support V2.1.1
• Tivoli Risk Manager V 4.1
• Tivoli Indentity Manager V 4.4
• Tivoli Access Manager V 4.1

项目实施简介:

1. Access manager for Operating System

实现的功能：

以“代理服务器”的方式，控制用户对宁夏邮政金融网和综合计算机网内的应用资源的访问。任何用户访问应用资源时都要经过应用访问管理器的统一认证，统一授权。通过与各应用的无缝集成，可以达到单一注册的目的。通过 TAM，宁夏邮政金融网和综合计算机网应实现 “一人一个账号一个口令”登录管理，同时应用访问管理器可以支持多种安全认证方式：用户名与口令、智能卡等。可以采用口令PIN密钥管理、数据加密、数字签名等安全机制，最大限度地保证用户和口令等的信息安全。具体的访问控制实现将在需求分析讨论后与各个操 作系统管理员和应用系统管理员共同讨论访问控制实现方式。

安装与配置:

• 安装 Tivoli Access Manager for Operating Systems 产品及相关修正软件包(patch)
• 建立 Tivoli 与各个系统的连接
• 制定访问控制策略
• 测试 Tivoli Access Manager for Operating Systems 的安装和设置结果
• 对服务器和客户机中的 TME 数据库进行备份。
  
  2. Tivoli Identity Manager

实现的功能：

IBM Tivoli Identity Manager 提供了一个安全、自动化、基于政策的用户管理解决方案，可以帮助传统环境和电子商务环境解决以上这些关键性的业务问题，其中它包括了更快地使用户在线并投入工作所需要的工具。IBM Tivoli Identity Manager 提供了：

• 一个直观的 Web 管理界面
• 一个完善的基于角色的管理模型，用于各种管理权限的授权
• Web自助服务和问题/响应界面
• 一个嵌入式工作流引擎，用于用户请求的提交和批准
• 一个嵌入式供应引擎，用于管理请求实现的自动化
• 一个应用管理工具包，用于将管理模型扩展到新环境和客户化环境

安装和配置:

(1) 在服务器和客户机安装 Tivoli Identity Manager 及相关修正软件包(patch)。

(2) 在 TMR 服务器上定义 UserProfile , GroupProfile, Host Name Space Profile。

(3) 将 User Profile 分发到客户机

(4) 测试 Tivoli Identity Manager 的安装和设置结果。

3. Tivoli Risk Manager

实现的功能：

企业风险管理使你能管理整个企业的内部和外部威胁。通过利用不同安全检查点上的智能程序，来获得对这些问题原因的了解和洞察，并使用决策支持来快速更新其安全政策，客户第能主动地解决其企业中的脆弱性和隐患。Tivoli Risk Manager 从单个基于 web 的安全控制台来管理企业安全事件。通信和控制中心集中管理企业的薄弱环节，通过将来自防火墙、路由器、网络、基于主机和应用程序的入侵检测系统、台式机和安全漏洞扫描工具的风险警告和安全信息关联起来，有助于您集中检测和评估安全攻击、威胁和系统漏 洞。中央控制台可提供安全事件的实时显示和管理。利用入侵检测交换格式（IDEF）和通用脆弱性和隐患（CVE）标准，提供报警的通用数据格式和报警的命名规范。利用先进的相关技术减少、汇集、相关和分类数千种安全报警，将他们划分为可以管理和响应的不同严重 程度，从而消除了混乱（如对虚警进行反应等）并能迅速识别真正的安全威胁，以缩短响应时间。利用一个分析和基于 Web 的历史报告决策支持指南来提供决策支持。安全管理员可以应用决策，通过图表、趋势分析技术等来精确定位漏洞，从而获得对入侵样式、系统和 网络使用的深入了解。提供各种预先定义的反应任务来迅速解决紧急安全问题，如拒绝服务攻击、病毒或非法访问等。预先定义的任务包括重新配置防火墙、撤消服务器上的用户帐号、删除桌面机上的病毒等。

安装与配置：

(1) 安装 Tivoli Risk Manager产品及相关修正软件包(patch)。

(2) 建立 Tivoli 与各个安全产品的连接

(3) 制定安全控制策略

(4) 测试 Tivoli Risk Manager 的安装和设置结果。

(5) 对服务器和客户机中的 TME 数据库进行备份。

项目结果、收益以及客户评价:

经过现场测试和验收, 完全达到了设计方案所制定的目标. 对宁夏邮政金融网和综合计算机网内控制用户对应用资源的访问。任何用户访问应用资源时都要经过应用访问管理器的统一认证，统一授权。并与各应用的无缝集 成，达到单一注册的目的。宁夏邮政金融网和综合计算机网实现了“一人一个账号一个口令”登录管理，同时应用访问管理器可以支持多种安全认证方式：用户名与 口令、智能卡等。可以采用口令 PIN 密钥管理、数据加密、数字签名等安全机制，最大限度地保证用户和口令等的信息安全。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友