与大型银行相比，中小银行的特点为“规模小，网点少，经营区域集中”，正处于成长阶段。为了弥补其规模、地域短板的，各中小银行不断完善自身信息化基础设施建设，增强核心系统功能。在具体经营操作中，许多中小银行纷纷借助网络优势建立网络银行，提供网络客户服务平台。依托科技优势，打造业务壁垒是中小型银行在新经济环境下摸索出生存法则。

　　然而，信息化建设是一把双刃剑，随着其金融服务内涵和外沿的不断扩大，整体金融服务水平大幅度提高，伴生的信息安全风险日益凸现。

　　相对于日益成熟与完善的银行对外安全防护体系，中小银行当前所面临的信息安全威胁主要来源于企业内部，尤其在数据中心IT设施日常运维管理过程中，主要归结有以下四大因素：

图1影响网内信息安全的四大因素

　　运维主体、对象、工具、行为对信息安全的影响具体表现为以下四方面：

　　运维主体繁杂，帐号共享，无法统一管理

　　中小银行数据中心运维主体包括中心运维人员、分支运维人员、厂商人员、代维人员等。角色繁杂，账号共享，交叉使用，分散登录，管理缺乏规范性。一旦发生运维事故，无法锁定具体责任人，安全隐患极大。

　　运维工具部署分散，管理维护难度大

　　对于目标IT设施的维护，需要基于各种不同的运维管理工具，如字符形协议/图形化协议/数据库工具。传统模式下，运维工具分散安装部署于各个运维客户端，从而导致安装、升级、维护等工作量过大，造成网内运维环境安全难以管理的局面。

　　无法保障运维行为的合规性，缺乏有效的安全监管机制

　　运维操作的合法性完全由操作主体主观决定与控制，既没有精细控制每个管理帐号的执行权限；也没有明确定义“什么帐号可以执行哪些操作？哪个帐号不能执行哪些操作”的操作权限，责权模糊。因此，越权访问、权限滥用等操作风险屡见不鲜。

　　目标运维对象的操作过程不可控

　　中小银行数据中心内的目标IT设施规模庞大，数量众多，运维操作纷繁复杂，缺少必要的取证举证手段。对于违规违法访问，无法追溯到操作源头，更加不能为取证举证提供充分依据。

　　二、方案概述

　　针对我国中小型银行所面临的信息安全风险，及其信息化业务现状及需求，德讯科技ICS运维操作审计（堡垒主机）解决方案可从技术层面提供全方位一体化的安全防范与控制手段。

　　方案基于COBIT标准框架，主要从影响中小银行运维操作安全的四大要素（主体、对象、工具、行为）入手，提供“认证、监控、审计、评估”管理手段，为数据中心构建一套“事前预防、事中监控、事后审计”的网内安全运维监管体系，实现“运维集中化、操作规范化、风险最小化”的管理目标。

　　其安全运维监管模型如图2所示：

图2安全运维监管模型

　　三、系统部署

　　本方案系统部署如图3所示：

图3系统部署示意图

　　本方案具备以下五个系统部署特点：

　　利用原有网络拓扑架构，安装部署简便，无需加装任何客户端代理，不影响任何业务数据流；

　　将ICS设备部署于核心交换机位置，实现对网络内所有服务器及网络设备的会话访问；

　　单台ICS设备最大支持500路字符会话及200路图形会话的并发访问压力，小规模的数据中心通常只需配置一台ICS设备；

　　ICS主备两台设备HA部署，保障数据的完整性及整个系统的防灾恢复；

　　基于ICSWEB管理平台，运维人员可随时随地对数据中心内的IT设备实施运维、审计等管理操作。