為什麼要購買運維風險管理系統

運維現狀
隨著業務範圍的不斷擴大，各類業務系統不斷上線執行。在業務系統應用範圍越來越廣、資料越來越多的同時，技術運維部門面臨的確保系統安全穩定執行的壓力也隨之增加。目前，技術人員普遍採用共享的系統賬號在後臺裝置上進行頻繁的管理和維護操作，然而，複雜的人員結構和系統結構使得技術運維管理面臨嚴峻的挑戰。突出的管理難題包括：
1）共享賬號難控制：操作人員使用共享賬號的同時無法準確識別操作者的身份；
2）裝置密碼難管理：隨著裝置數量的增加，密碼管理的難度越來越大。要求賬號密碼足夠複雜和定期的修改系統賬號密碼；
3）操作行為難約束：無法對操作人員的操作行為進行事前主動的控制和約束；
4） 操作過程不透明：無法清晰的展示每個操作者具體的操作過程；

安全挑戰
A事前：多人共享使用同一高許可權賬號進行交叉管理，運維人員身份無法識別，操作風險無法事前預防。
B事中：運維人員的操作過程不可見、不可控，過程中的誤操作可能會導致關鍵業務服務異常或資料丟失，過程中的違規或惡意操作可能會導致敏感資訊洩露。
C事後：出現運維事故後，因無相應審計手段，無法快速定位問題根源，無法有效定責。

安全規範
《薩班斯法案》（SOX）
2002年，美國正式頒佈了《薩班斯法案》，強調企業的資訊科技策略和系統中的內部控制，以及對審計過程存檔的要求，即企業的內控活動（不論是人還是機器）的操作流程都必須明白地定義並儲存相關記錄。
《資訊保安等級保護管理辦法》
2007年，公安部、國家保密局頒佈《資訊保安等級保護管理辦法》，要求資訊系統必須建立並儲存各種訪問操作日誌，包括網路（網路安全審計8.1.2.4）、主機（安全審計8.1.3.3）、應用（安全審計8.1.4.3）。
《企業內部控制基本規範》
2010年，財政部、證監會、審計署、銀監會、保監會印發的《企業內部控制應用指引第18號——資訊系統》中第十二條明確要求“企業應當建立使用者管理制度，加強對重要業務系統的訪問許可權管理，定期審閱系統賬號，避免授權不當或存在非授權賬號，禁止不相容職務使用者賬號的交叉操作。”
銀監會制定的《電子銀行業務管理辦法》、《商業銀行資訊科技風險管理指引》等發揮制度相繼出臺《保險公司內部審計指引（試行）》。
《ISO27001標準》
根據《ISO27001標準》，要求必須記錄系統管理和維護人員的操作行為。

運維風險管理系統核心目標
1）單點登入：全部運維人員集中通過運維管理系統，來管理後臺的伺服器、網路裝置等資源，同時對運維人員進行統一的身份認證；
2）統一授權：統一部署訪問控制和許可權控制等策略，保證操作者對後臺資源的合法使用，同時實現對高危操作過程的事中監控和實時告警；
3）快速定位問題：必須對操作人員原始的操作過程進行完整的記錄，並提供靈活的查詢搜尋機制，從而在操作故障發生時，快速的定位故障的原因，還原操作的現場；
4） 簡化密碼管理：實現賬號密碼的集中管理，通過定期自動改密功能，在簡化密碼管理的同時提高賬號密碼的安全性。

客戶收益
部署堡壘機後給客戶帶來的具體收益主要體現在以下三個方面：
1）規範操作管理
藉助操作審計功能，幫助使用者實現運維過程的徹底透明化；
通過細粒度的許可權控制，幫助使用者增加運維過程的可控性；
基於自動改密等自動化機制，幫助使用者提高運維操作效率；
2）規避操作風險
對於擁有第三方代維廠商的使用者，可以幫助使用者有效監管代維廠商；
完善責任認定體系；
3）滿足法律法規的要求
可以幫助使用者滿足相關法律法規要求，如薩班斯法案、國家等級保護等。