單位名稱: *
聯系人: *
手機: *
郵箱: *
電話:
地址:
備注:
你是如何知道思智泰克的:

思智內控堡壘主機

隨著信息技術的不斷發展和信息化建設的不斷進步,業務應用、辦公系統、商務平臺不斷推出和投入運行,信息系統在企業的運營中全面滲透。電信行業、財政、稅務、公安、金融、電力、石油、大中型企業和門戶網站,使用數量眾多的網絡設備、服務器主機來提供基礎網絡服務、運行關鍵業務,提供電子商務、數據庫應用、ERP和協同工作群件等服務。由于設備和服務器眾多,系統管理員壓力太大等因素,越權訪問、誤操作、濫用、惡意破壞等情況時有發生,這嚴重影響企業的經濟運行效能,并對企業聲譽造成重大影響。另外黑客的惡意訪問也有可能獲取系統權限,闖入部門或企業內部網絡,造成不可估量的損失。如何提高系統運維管理水平,跟蹤服務器上用戶的操作行為,防止黑客的入侵和破壞,提供控制和審計依據,降低運維成本,滿足相關標準要求,越來越成為企業關心的問題。

2002年由美國總統布什簽發的薩班斯法案(Sarbanes-Oxley Act)開始生效。其中要求企業的經營活動,企業管理、項目和投資等,都要有控制和審計手段。因此,管理人員需要有有效的技術手段和專業的技術工具和安全產品按照行業的標準來做細粒度的管理,真正做到對于內部網絡的嚴格管理,可以控制、限制和追蹤用戶的行為,判定用戶的行為是否對企業內部網絡的安全運行帶來威脅。

總之,企業內部網絡設備和服務器需要更安全的環境,以保障企業的正常運作,身份及訪問管理系統能夠為企業內部網絡的安全運行保駕護航。

管理現狀

目前,企業或機構的運維管理有以下三個特點:

關鍵的核心業務都部署于UnixWindows服務器上。

應用的復雜度決定了多種角色交叉管理。

運行維護人員更多的依賴TelnetSSHFTPRDP等進行遠程管理。


基于這些現狀,在管理中存在以下突出問題:


使用共享帳號的安全隱患

企業的支撐系統中有大量的網絡設備、主機系統和應用系統,分別屬于不同的部門和不同的業務系統。各應用系統都有一套獨立的帳號體系,用戶為了方便登陸,經常出現多人共用帳號的情況。

多人同時使用一個系統帳號在帶來方便性的同時,導致用戶身份唯一性無法確定。如果其中任何一個人離職或者將帳號告訴其他無關人員,會使這個帳號的安全無法保證。

由于共享帳號是多人共同使用,發生問題后,無法準確定位惡意操作或誤操作的責任人。更改密碼需要通知到每一個需要使用此帳號的人員,帶來了密碼管理的復雜化。


密碼策略無法有效執行

為了保證密碼的安全性,安全管理員制定了嚴格的密碼策略,比如密碼要定期修改,密碼要保證足夠的長度和復雜度等,但是由于管理的機器數量和帳號數量太多,往往導致密碼策略的實施流于形式。


授權不清晰

各系統分別管理所屬的系統資源,為本系統的用戶分配權限,無法嚴格按照最小權限原則分配權限。另外,隨著用戶數量的增加,權限管理任務越來越重,當維護人員同時對多個系統進行維護時,工作復雜度會成倍增加,安全性無法得到充分保證。


訪問控制策略不嚴格

目前的管理中,沒有一個清晰的訪問控制列表,無法一目了然的看到什么用戶能夠以何種身份訪問哪些關鍵設備,同時缺少有效的技術手段來保證訪問控制策略被有效執行。


用戶操作無法有效審計

各系統獨立運行、維護和管理,所以各系統的審計也是相互獨立的。每個網絡設備,每個主機系統分別進行審計,安全事故發生后需要排查各系統的日志,但是往往日志找到了,也不能最終定位到行為人。

另外各系統的日志記錄能力各不相同,例如對于Unix系統來說,日志記錄就存在以下問題:

l Unix 系統中,用戶在服務器上的操作有一個歷史命令記錄的文件,但是用戶可以隨意更改和刪除自己的記錄;

l root 用戶不僅僅可以修改自己的歷史記錄,還可以修改他人的歷史記錄,系統本身的的歷史記錄文件已經變的不可信;

l 記錄的命令數量有限制;

l 無法記錄操作人員、操作時間、操作結果等。


問題分析

對運維的管理現狀進行分析,我們認為造成這種不安全現狀的原因是多方面的,總結起來主要有以下幾點。

1. 各IT系統獨立的帳戶管理體系造成身份管理的換亂,而身份的唯一性又恰恰是認證、授權、審計的依據和前提,因此身份的混亂實際上造成設備訪問的混亂。

2. 各IT系統獨立管理,風險分散在各系統中,各個擊破困難大,這種管理方式造成業務管理和安全之間失衡。

3. 核心服務器或設備的物理安全和臨機訪問安全通過門禁系統和錄像系統得以較好的解決,但是對他們的網絡訪問缺少控制或欠缺控制力度。

4. 在帳號、密碼、認證、授權、審計等各方面缺乏有效的集中管理技術手段。


堡壘主機功能列表


系統管理

管理方式為WEB方式。管理員和用戶均通過WEB方式訪問堡壘主機。

滿足



提供認證服務器組件,所有對資源的訪問都是認證服務器提供的臨時會話號,即使會話號被截獲,也無法通過此會話號再

訪問資源,提高資源訪問的安全性。操作員WEB登錄堡壘主機訪問授權資源時,看不到被管資源的帳號,看到的只有一次

性會話號。

滿足

對常見的資源訪問方式提供代填登錄。例如SecureCRT、NetTerm、Telnet、mstsc、xshell、B\S應用、

C\S應用、主流數據庫客戶端等。

滿足

支持B\S(web頁面)和C\S(遠程工具)兩種遠程運維方式,方便操作人員根據自身使用習慣選擇訪問方式;

滿足

支持Telnet、SSH、FTP、SFTP、RDP、VNC等協議。

滿足

提供4A方案的便捷支持。提供4A管理平臺的認證接口。堡壘主機根據4A管理平臺的訪問控制要求提供資源訪問。

堡壘主機將審計結果吐出到4A平臺。

滿足

可以使用WEB方式對堡壘主機網卡信息進行管理。

滿足

可以查看堡壘主機當前的設備狀態,包括cpu,內存,磁盤使用,系統服務等。

滿足

可以使用WEB方式對堡壘主機進行重啟和關機。

滿足

支持建立組織機構樹,組織機構樹可以靈活的按照用戶和資源構建,支持多級分層結構,樹節點可以內含用戶和資源。

滿足

支持在堡壘主機管理平臺添加多臺可管理堡壘主機,從而支持集群部署,滿足用戶網絡龐大情況的堡壘主機管理需求。

滿足



用戶帳號

管理

用戶帳號的整個生命周期管理,對用戶帳號進行增加、修改、刪除、注銷(不可恢復)及鎖定、解鎖等操作。

滿足

用戶帳號的整個生命周期管理,對用戶帳號進行增加、修改、刪除、注銷(不可恢復)及鎖定、解鎖等操作。

滿足

用戶帳號的新建和修改時,支持通過配置訪問時間策略達到限制用戶帳號只能在規定的時間段內進行資源訪問。

滿足

用戶帳號的新建和修改時,支持通過配置訪問地址策略達到限制用戶帳號只能在規定的地址段內進行資源訪問。

滿足

用戶帳號的新建和修改時,支持通過配置訪問鎖定策略,達到限制用戶帳號密碼輸入錯誤次數和鎖定時間。

滿足

用戶帳號登錄堡壘主機后,可以自助方式修改自身帳號信息,包括密碼、手機、郵件等基礎信息。

滿足



資源及資

號管

能夠添加、修改、刪除被管資源。

滿足


支持資源的分組管理,分組可以樹形方式展現,不限制分組層級數量。

滿足

資源類型支持Windows主機、Unix主機、網絡設備、數據庫、web資源。

滿足

windows類資源的文件訪問支持iis-ftp,共享文件夾等方式。

滿足

能夠對資源上的帳號進行管理,可以添加、修改、刪除資源上的資源帳號。資源和資源帳號有明確的對應關系。

滿足

能夠自動收集各種資源上的帳號,包括主機,網絡設備和數據庫。

滿足

對于Windows主機資源,支持Windows域的管理,能夠自動收集AD域控服務器上的域賬號信息,能夠對域賬號進行管理,

可添加、修改、刪除域賬號;

滿足

資源帳號的新建和修改時,支持通過配置主機命令策略達到限制使用此資源帳號訪問資源時,

只能使用某些指令或者禁用某些指令。

滿足

資源帳號的新建和修改時,支持通過配置訪問時間策略達到限制使用此資源帳號訪問資源時只能在規定的時間段內訪問。

滿足

資源帳號的新建和修改時,支持通過配置訪問地址策略達到限制使用此資源帳號訪問資源時只能在規定的地址段內訪問。

滿足

數據庫資源,支持各種數據庫客戶端的登錄,例如ORACLE支持PLSQL和EMC的登錄。

段內訪問。
滿足

支持密碼變更計劃,可以自動定期對各種資源的密碼進行變更,變更方式根據密碼策略中定義的要求進行,

變更后加密保存,并可定時導出在外接存儲設備。

滿足



授權管理

可以將資源和資源的資源帳號授權給用戶帳號。

滿足

支持將堡壘主機內部管理權限定義為角色,角色包含的權限可以自定義。自定義內容包括:分組管理權,

自然人管理權,資源管理權,授權管理權,角色定義管理權,計劃管理權,審計管理權等等。

滿足

堡壘主機自身管理權限支持靈活的授權。可以建立組,并將組的管理權限下放給下級管理員,

下級管理員也可以在自己的管理組中建立子組,并下放子組的管理權。便于大型網絡的權限管理和劃分。

滿足

可以對鍵盤輸入的審計做權限的細分,可以定義哪些審計員可以看鍵盤記錄,哪些不能;可以定義是否可以看圖像審計,

是否可以實時監控,是否可以看字符審計的內容,命令,錄像等。

滿足



流程管理

支持資源帳號的雙人共管的登錄流程。

滿足

支持自然人入職申請流程。

滿足

支持自然人職位變更申請流程。

滿足

支持自然人離職申請流程。

滿足

支持資源接入申請流程。

滿足

支持資源授權申請流程。

滿足



滿足

安全策略


將訪問控制配置抽象成四個策略:主機命令策略、訪問時間策略、客戶端地址策略、訪問鎖定策略。


滿足

安全策略可靈活配置到用戶賬號、資源、從帳號等不同對象。如:用戶帳號登錄后,對本用戶帳號授權的資源只能在即

符合用戶帳號的訪問時間策略、訪問地址策略,也符合資源資源帳號的主機命令策略、訪問時間策略、訪問地址策略時

訪問到資源。


滿足

主機命令策略可以配置成命令的黑名單,也可以配置成命令的白名單。應用黑名單策略不能使用黑名單中的命令;

應用白名單策略只能使用白名單中的命令。

滿足

訪問時間策略可以配置成可訪問時間段方式,也可以配置成不可訪問時間段方式。配置時間段時可以配置日期和小時。

滿足

客戶端地址策略可以配置成可訪問IP段方式,也可以配置成不可訪問IP段方式。IP段由IP和掩碼構成。

滿足

支持FTP的命令控制策略,可對FTP/SFTP文件傳輸所涉及的上傳、下載、重命名、刪除等操作的限制

滿足

訪問鎖定策略可以配置訪問失敗次數鎖定和鎖定時間,超過閥值后直接鎖定,鎖定時間到期后自動解鎖;

也可在鎖定期內由管理員手動解鎖。

滿足

訪問鎖定策略可以建立多條,每個用戶帳號可以應用不同的訪問鎖定策略。

滿足


滿足

審計查看


對審計日志SYSLOG發送進行管理,可控制SYSLOG發送的目標。

滿足

支持各種功能鍵擴展后的命令(如 TAB鍵補全、長命令、拷貝、粘貼、行內編輯、上下箭頭等操作)的準確控制。

滿足

對字符命令方式的訪問可以審計到所有交互內容,可以還原操作過程的命令輸入和結果輸出,并且可以展現各命令

的執行時間和允許執行情況。

滿足

對圖形方式的資源訪問,可以以錄像形式審計到操作過程。支持操作過程的錄像回放。

滿足

操作過程的錄像回放時,支持暫停,支持設置播放速度,支持進度來回拖拽,方便錄像的查看。

滿足

遠程桌面訪問時,支持加載本地資源:本地剪切板,本地磁盤,本地打印機,本地聲音等。支持Windows的各個版本。

滿足

圖形資源的訪問支持鍵盤輸入記錄,審計錄像回放時,有窗口同步顯示鍵盤操作記錄。

滿足

圖形資源審計錄像回放時,支持從指定的鍵盤操作開始回放。

滿足

可以支持對任一活動的圖形會話(rdp、http、https、xwin、vnc、客戶端等)或字符會話(telnet、ssh等)操作的實時監控

滿足

管理員可以Web界面實時切斷當前用戶在設備上的高危操作

滿足

對FTP和SFTP的支持能夠實現類似于WinSCP的操作效果,可以推拽,可以菜單操作。

滿足

審計結果支持按照如下關鍵字進行查詢:用戶帳號名稱、資源名稱、資源IP、資源帳號名稱、起始時間、終止時間、

命令關鍵字。

滿足

審計結果中對命令搜索時,支持大小寫開關。

滿足

用命令關鍵字進行審計結果查詢時,可以同時輸入多個命令,為多命令查詢提供便利。

滿足

系統預設常用統計報表模板,可以按照預設統計報表模板,根據時間、用戶帳號、資源帳號、客戶端地址、資源IP地址、

協議命令關鍵字等條件形成統計報表,統計報表支持報表形式展現和打印。

滿足


滿足

單點登錄


方便結合各種認證技術,做組合認證,提高訪問的安全性。例如,支持靜態口令、證書、智能卡、各種人體特征

(指紋、視網膜等)、動態令牌等等。

滿足

堡壘主機自帶證書,可直接與用戶賬號進行綁定,實現系統自身的訪問強認證。

滿足

用戶帳號登錄堡壘主機后,可以分組展現已經授權給自己的資源。

滿足

系統提供用戶名密碼代填、不代填、只代填密碼等多種單點登錄方式,用戶可根據需要選擇是否代填用戶名和密碼。

滿足


滿足

其他功能

支持網絡設備3A指向,既將網絡設備3A指向堡壘主機機,以提供raidus認證。

滿足

支持系統容災,并配以相應應急計劃,在系統故障期間,用戶可以獲取資產原始密碼直接訪問被管資產

滿足

支持集群部署模式,對于大規模資產高并發訪問且運維不可中斷性質的客戶,支持三臺或三臺以上的集群部署模式,

確保運維訪問能夠均衡的由各個堡壘主機處理。

滿足

單臺堡壘主機支持雙網卡冗余,既堡壘主機機支持客戶網絡的網絡冗余(以客戶實際網絡情況為準),規避網絡單點風險。

滿足
其他功

對于SecureCRT工具,堡壘主機可以對呼起的SSH會話支持Session Clone,Send To All等功能,這些功能配合使用,

可以完美解決運維中批量操作的復雜需求

滿足

支持交換機enable用戶角色自動切換操作。

滿足

支持LINUX/UNIX服務器SU -用戶角色自動切換操作。

滿足

支持FTP或SFTP傳輸文件時對傳輸文件做病毒掃描

滿足

linux/unix類資源的文件訪問支持ftp/sftp的訪問方式,并且可以指定bin/ascii字符集。

滿足

支持NBU,Sun iLo,博科光纖交換機,VCenter-Client等

滿足

支持直接以字符方式登錄堡壘主機,以適應部分非windows終端用戶

滿足

設計理念

集中管理模式

要解決核心資源的訪問安全問題,我們首先從管理模式上進行分析。管理模式是首要因素,管理是從一個很高的高度,綜合考慮整體的情況,然后制定出相應的解決策略,最后落實到技術實現上。管理解決的是面的問題,技術解決的是點的問題,管理的模式決定了管理的高度。我們認為隨著應用的發展,設備越來越多,維護人員也越來越多,我們必須由分散的管理模式逐步轉變為集中的管理模式。

只有集中才能夠實現統一管理,也只有集中才能把復雜問題簡單化,集中管理是運維管理思想發展的必然趨勢,也是唯一的選擇。集中管理包括:集中的資源訪問入口、集中帳號管理、集中授權管理、集中認證管理、集中審計管理等等。


協議代理

為了對字符終端、圖形終端操作行為進行審計和監控,身份及訪問管理系統對各種字符終端和圖形終端使用的協議進行代理,實現多平臺的操作支持和審計,例如Telnet、SSH、FTP、Windows平臺的RDP遠程桌面協議,Linux/Unix平臺的XWindow圖形終端訪問協議等。

當運維機通過身份及訪問管理系統訪問服務器時,首先由身份及訪問管理系統模擬成遠程訪問的服務端,接受運維機的連接和通訊,并對其進行協議的還原、解析、記錄,最終獲得運維機的操作行為,之后身份及訪問管理系統模擬運維機與真正的目標服務器建立通訊并轉發運維機發送的指令信息,從而實現對各種維護協議的代理轉發過程。在通訊過程中,身份及訪問管理系統會記錄各種指令信息,并根據策略對通信過程進行控制,如發現違規操作,則不進行代理轉發,并由身份及訪問管理系統反饋禁止執行的回顯提示。


身份授權分離

以前管理員依賴各IT系統上的系統帳號實線兩部分功能:身份認證和系統授權,但是因為共享帳號、弱口令帳號等問題存在,這兩方面實現都存在漏洞,達不到預期的效果。

解決的思路是將身份和授權分離。在身份及訪問管理系統上建立主帳號體系,用于身份認證,原各IT系統上的系統帳號僅用于系統授權,這樣可以有效增強身份認證和系統授權的可靠性,從本質上解決帳號管理混亂問題,為認證、授權、審計提供可靠的保障。


關鍵技術

身份及訪問管理系統采用系列先進技術,成功實現命令及圖形的捕獲與控制,為服務器的安全運行提供了強有力的系統工具。


邏輯命令自動識別技術

身份及訪問管理系統自動識別當前操作終端,對當前終端的輸入輸出進行控制,組合輸入輸出流,自動識別邏輯語義命令。系統會根據輸入輸出上下文,確定邏輯命令編輯過程,進而自動捕獲出用戶使用的邏輯命令。該項技術解決了邏輯命令自動捕獲功能,在傳統鍵盤捕獲與控制領域取得新的突破,可以更加準確的控制用戶意圖。

該技術能自動識別命令狀態和編輯狀態以及私有工作狀態,準確捕獲邏輯命令。


分布式處理技術

身份及訪問管理系統采用分布式處理架構進行處理,啟用命令捕獲引擎機制,通過策略服務器完成策略審計,通過日志服務器存儲操作審計日志,并通過實時監視中心,實時察看用戶在服務器上的行為。

這種分布式設計有利于策略的正確執行和操作記錄日志的安全。同時,各組件之間采用安全連接進行通信,防止策略和日志被篡改。各組件可以獨立工作,也可以分布于不同的服務器上,亦可將所有組件安裝于一臺服務器上。


正則表達式匹配技術

身份及訪問管理系統采用正則表達式匹配技術,將正則表達式組合入樹型可遺傳策略結構,實現控制命令的自動匹配與控制。樹型可遺傳策略適合現代企業事業架構,對于服務器的分層分級管理與控制提供了強大的工具。


圖形協議代理

為了對圖形終端操作行為進行審計和監控,身份及訪問管理系統對圖形終端使用的協議進行代理,實現多平臺的多種圖形終端操作的審計,例如Windows平臺的RDP方式圖形終端操作,Linux/Unix平臺的XWindow方式圖形終端操作。


多進程/線程與同步技術

身份及訪問管理系統主體采用多進程/線程技術實現,利用獨特的通信和數據同步技術,準確控制程序行為。多進程/線程方式邏輯處理準確,事務處理不會發生干擾,這有利于保證系統的穩定性、健壯性。


數據加密功能

身份及訪問管理系統在處理用戶數據時都采用相應的數據加密技術來保護用戶通信的安全性和數據的完整性,防止惡意用戶截獲和篡改數據,充分保護用戶在操作過程中不被惡意破壞。


審計查詢檢索功能

自從<<薩班斯法案>>的推出,企業內控得到了嚴格的審查,企業

管理現狀

目前,企業或機構的運維管理有以下三個特點:

關鍵的核心業務都部署于UnixWindows服務器上。

應用的復雜度決定了多種角色交叉管理。

運行維護人員更多的依賴TelnetSSHFTPRDP等進行遠程管理。

基于這些現狀,在管理中存在以下突出問題:


使用共享帳號的安全隱患

企業的支撐系統中有大量的網絡設備、主機系統和應用系統,分別屬于不同的部門和不同的業務系統。各應用系統都有一套獨立的帳號體系,用戶為了方便登陸,經常出現多人共用帳號的情況。

多人同時使用一個系統帳號在帶來方便性的同時,導致用戶身份唯一性無法確定。如果其中任何一個人離職或者將帳號告訴其他無關人員,會使這個帳號的安全無法保證。

由于共享帳號是多人共同使用,發生問題后,無法準確定位惡意操作或誤操作的責任人。更改密碼需要通知到每一個需要使用此帳號的人員,帶來了密碼管理的復雜化。


密碼策略無法有效執行

為了保證密碼的安全性,安全管理員制定了嚴格的密碼策略,比如密碼要定期修改,密碼要保證足夠的長度和復雜度等,但是由于管理的機器數量和帳號數量太多,往往導致密碼策略的實施流于形式。


授權不清晰

各系統分別管理所屬的系統資源,為本系統的用戶分配權限,無法嚴格按照最小權限原則分配權限。另外,隨著用戶數量的增加,權限管理任務越來越重,當維護人員同時對多個系統進行維護時,工作復雜度會成倍增加,安全性無法得到充分保證。


訪問控制策略不嚴格

目前的管理中,沒有一個清晰的訪問控制列表,無法一目了然的看到什么用戶能夠以何種身份訪問哪些關鍵設備,同時缺少有效的技術手段來保證訪問控制策略被有效執行。


用戶操作無法有效審計

各系統獨立運行、維護和管理,所以各系統的審計也是相互獨立的。每個網絡設備,每個主機系統分別進行審計,安全事故發生后需要排查各系統的日志,但是往往日志找到了,也不能最終定位到行為人。

另外各系統的日志記錄能力各不相同,例如對于Unix系統來說,日志記錄就存在以下問題:

l Unix 系統中,用戶在服務器上的操作有一個歷史命令記錄的文件,但是用戶可以隨意更改和刪除自己的記錄;

l root 用戶不僅僅可以修改自己的歷史記錄,還可以修改他人的歷史記錄,系統本身的的歷史記錄文件已經變的不可信;

l 記錄的命令數量有限制;

l 無法記錄操作人員、操作時間、操作結果等。

問題分析

對運維的管理現狀進行分析,我們認為造成這種不安全現狀的原因是多方面的,總結起來主要有以下幾點。

1. 各IT系統獨立的帳戶管理體系造成身份管理的換亂,而身份的唯一性又恰恰是認證、授權、審計的依據和前提,因此身份的混亂實際上造成設備訪問的混亂。

2. 各IT系統獨立管理,風險分散在各系統中,各個擊破困難大,這種管理方式造成業務管理和安全之間失衡。

3. 核心服務器或設備的物理安全和臨機訪問安全通過門禁系統和錄像系統得以較好的解決,但是對他們的網絡訪問缺少控制或欠缺控制力度。

在帳號、密碼、認證、授權、審計等各方面缺乏有效的集中管理技術手段。

堡壘主機功能列表


系統管理

管理方式為WEB方式。管理員和用戶均通過WEB方式訪問堡壘主機。

滿足



提供認證服務器組件,所有對資源的訪問都是認證服務器提供的臨時會話號,即使會話號被截獲,也無法通過此會話號再

訪問資源,提高資源訪問的安全性。操作員WEB登錄堡壘主機訪問授權資源時,看不到被管資源的帳號,看到的只有一次

性會話號。

滿足

對常見的資源訪問方式提供代填登錄。例如SecureCRT、NetTerm、Telnet、mstsc、xshell、B\S應用、

C\S應用、主流數據庫客戶端等。

滿足

支持B\S(web頁面)和C\S(遠程工具)兩種遠程運維方式,方便操作人員根據自身使用習慣選擇訪問方式;

滿足

支持Telnet、SSH、FTP、SFTP、RDP、VNC等協議。

滿足

提供4A方案的便捷支持。提供4A管理平臺的認證接口。堡壘主機根據4A管理平臺的訪問控制要求提供資源訪問。

堡壘主機將審計結果吐出到4A平臺。

滿足

可以使用WEB方式對堡壘主機網卡信息進行管理。

滿足

可以查看堡壘主機當前的設備狀態,包括cpu,內存,磁盤使用,系統服務等。

滿足

可以使用WEB方式對堡壘主機進行重啟和關機。

滿足

支持建立組織機構樹,組織機構樹可以靈活的按照用戶和資源構建,支持多級分層結構,樹節點可以內含用戶和資源。

滿足

支持在堡壘主機管理平臺添加多臺可管理堡壘主機,從而支持集群部署,滿足用戶網絡龐大情況的堡壘主機管理需求。

滿足



用戶帳號

管理

用戶帳號的整個生命周期管理,對用戶帳號進行增加、修改、刪除、注銷(不可恢復)及鎖定、解鎖等操作。

滿足

用戶帳號的整個生命周期管理,對用戶帳號進行增加、修改、刪除、注銷(不可恢復)及鎖定、解鎖等操作。

滿足

用戶帳號的新建和修改時,支持通過配置訪問時間策略達到限制用戶帳號只能在規定的時間段內進行資源訪問。

滿足

用戶帳號的新建和修改時,支持通過配置訪問地址策略達到限制用戶帳號只能在規定的地址段內進行資源訪問。

滿足

用戶帳號的新建和修改時,支持通過配置訪問鎖定策略,達到限制用戶帳號密碼輸入錯誤次數和鎖定時間。

滿足

用戶帳號登錄堡壘主機后,可以自助方式修改自身帳號信息,包括密碼、手機、郵件等基礎信息。

滿足



資源及資

號管

能夠添加、修改、刪除被管資源。

滿足


支持資源的分組管理,分組可以樹形方式展現,不限制分組層級數量。

滿足

資源類型支持Windows主機、Unix主機、網絡設備、數據庫、web資源。

滿足

windows類資源的文件訪問支持iis-ftp,共享文件夾等方式。

滿足

能夠對資源上的帳號進行管理,可以添加、修改、刪除資源上的資源帳號。資源和資源帳號有明確的對應關系。

滿足

能夠自動收集各種資源上的帳號,包括主機,網絡設備和數據庫。

滿足

對于Windows主機資源,支持Windows域的管理,能夠自動收集AD域控服務器上的域賬號信息,能夠對域賬號進行管理,

可添加、修改、刪除域賬號;

滿足

資源帳號的新建和修改時,支持通過配置主機命令策略達到限制使用此資源帳號訪問資源時,

只能使用某些指令或者禁用某些指令。

滿足

資源帳號的新建和修改時,支持通過配置訪問時間策略達到限制使用此資源帳號訪問資源時只能在規定的時間段內訪問。

滿足

資源帳號的新建和修改時,支持通過配置訪問地址策略達到限制使用此資源帳號訪問資源時只能在規定的地址段內訪問。

滿足

數據庫資源,支持各種數據庫客戶端的登錄,例如ORACLE支持PLSQL和EMC的登錄。

段內訪問。
滿足

支持密碼變更計劃,可以自動定期對各種資源的密碼進行變更,變更方式根據密碼策略中定義的要求進行,

變更后加密保存,并可定時導出在外接存儲設備。

滿足



授權管理

可以將資源和資源的資源帳號授權給用戶帳號。

滿足

支持將堡壘主機內部管理權限定義為角色,角色包含的權限可以自定義。自定義內容包括:分組管理權,

自然人管理權,資源管理權,授權管理權,角色定義管理權,計劃管理權,審計管理權等等。

滿足

堡壘主機自身管理權限支持靈活的授權。可以建立組,并將組的管理權限下放給下級管理員,

下級管理員也可以在自己的管理組中建立子組,并下放子組的管理權。便于大型網絡的權限管理和劃分。

滿足

可以對鍵盤輸入的審計做權限的細分,可以定義哪些審計員可以看鍵盤記錄,哪些不能;可以定義是否可以看圖像審計,

是否可以實時監控,是否可以看字符審計的內容,命令,錄像等。

滿足



流程管理

支持資源帳號的雙人共管的登錄流程。

滿足

支持自然人入職申請流程。

滿足

支持自然人職位變更申請流程。

滿足

支持自然人離職申請流程。

滿足

支持資源接入申請流程。

滿足

支持資源授權申請流程。

滿足



滿足

安全策略


將訪問控制配置抽象成四個策略:主機命令策略、訪問時間策略、客戶端地址策略、訪問鎖定策略。


滿足

安全策略可靈活配置到用戶賬號、資源、從帳號等不同對象。如:用戶帳號登錄后,對本用戶帳號授權的資源只能在即

符合用戶帳號的訪問時間策略、訪問地址策略,也符合資源資源帳號的主機命令策略、訪問時間策略、訪問地址策略時

訪問到資源。


滿足

主機命令策略可以配置成命令的黑名單,也可以配置成命令的白名單。應用黑名單策略不能使用黑名單中的命令;

應用白名單策略只能使用白名單中的命令。

滿足

訪問時間策略可以配置成可訪問時間段方式,也可以配置成不可訪問時間段方式。配置時間段時可以配置日期和小時。

滿足

客戶端地址策略可以配置成可訪問IP段方式,也可以配置成不可訪問IP段方式。IP段由IP和掩碼構成。

滿足

支持FTP的命令控制策略,可對FTP/SFTP文件傳輸所涉及的上傳、下載、重命名、刪除等操作的限制

滿足

訪問鎖定策略可以配置訪問失敗次數鎖定和鎖定時間,超過閥值后直接鎖定,鎖定時間到期后自動解鎖;

也可在鎖定期內由管理員手動解鎖。

滿足

訪問鎖定策略可以建立多條,每個用戶帳號可以應用不同的訪問鎖定策略。

滿足


滿足

審計查看


對審計日志SYSLOG發送進行管理,可控制SYSLOG發送的目標。

滿足

支持各種功能鍵擴展后的命令(如 TAB鍵補全、長命令、拷貝、粘貼、行內編輯、上下箭頭等操作)的準確控制。

滿足

對字符命令方式的訪問可以審計到所有交互內容,可以還原操作過程的命令輸入和結果輸出,并且可以展現各命令

的執行時間和允許執行情況。

滿足

對圖形方式的資源訪問,可以以錄像形式審計到操作過程。支持操作過程的錄像回放。

滿足

操作過程的錄像回放時,支持暫停,支持設置播放速度,支持進度來回拖拽,方便錄像的查看。

滿足

遠程桌面訪問時,支持加載本地資源:本地剪切板,本地磁盤,本地打印機,本地聲音等。支持Windows的各個版本。

滿足

圖形資源的訪問支持鍵盤輸入記錄,審計錄像回放時,有窗口同步顯示鍵盤操作記錄。

滿足

圖形資源審計錄像回放時,支持從指定的鍵盤操作開始回放。

滿足

可以支持對任一活動的圖形會話(rdp、http、https、xwin、vnc、客戶端等)或字符會話(telnet、ssh等)操作的實時監控

滿足

管理員可以Web界面實時切斷當前用戶在設備上的高危操作

滿足

對FTP和SFTP的支持能夠實現類似于WinSCP的操作效果,可以推拽,可以菜單操作。

滿足

審計結果支持按照如下關鍵字進行查詢:用戶帳號名稱、資源名稱、資源IP、資源帳號名稱、起始時間、終止時間、

命令關鍵字。

滿足

審計結果中對命令搜索時,支持大小寫開關。

滿足

用命令關鍵字進行審計結果查詢時,可以同時輸入多個命令,為多命令查詢提供便利。

滿足

系統預設常用統計報表模板,可以按照預設統計報表模板,根據時間、用戶帳號、資源帳號、客戶端地址、資源IP地址、

協議命令關鍵字等條件形成統計報表,統計報表支持報表形式展現和打印。

滿足


滿足

單點登錄


方便結合各種認證技術,做組合認證,提高訪問的安全性。例如,支持靜態口令、證書、智能卡、各種人體特征

(指紋、視網膜等)、動態令牌等等。

滿足

堡壘主機自帶證書,可直接與用戶賬號進行綁定,實現系統自身的訪問強認證。

滿足

用戶帳號登錄堡壘主機后,可以分組展現已經授權給自己的資源。

滿足

系統提供用戶名密碼代填、不代填、只代填密碼等多種單點登錄方式,用戶可根據需要選擇是否代填用戶名和密碼。

滿足


滿足

其他功能

支持網絡設備3A指向,既將網絡設備3A指向堡壘主機機,以提供raidus認證。

滿足

支持系統容災,并配以相應應急計劃,在系統故障期間,用戶可以獲取資產原始密碼直接訪問被管資產

滿足

支持集群部署模式,對于大規模資產高并發訪問且運維不可中斷性質的客戶,支持三臺或三臺以上的集群部署模式,

確保運維訪問能夠均衡的由各個堡壘主機處理。

滿足

單臺堡壘主機支持雙網卡冗余,既堡壘主機機支持客戶網絡的網絡冗余(以客戶實際網絡情況為準),規避網絡單點風險。

滿足

其他功

對于SecureCRT工具,堡壘主機可以對呼起的SSH會話支持Session Clone,Send To All等功能,這些功能配合使用,

可以完美解決運維中批量操作的復雜需求

滿足

支持交換機enable用戶角色自動切換操作。

滿足

支持LINUX/UNIX服務器SU -用戶角色自動切換操作。

滿足

支持FTP或SFTP傳輸文件時對傳輸文件做病毒掃描

滿足

linux/unix類資源的文件訪問支持ftp/sftp的訪問方式,并且可以指定bin/ascii字符集。

滿足

支持NBU,Sun iLo,博科光纖交換機,VCenter-Client等

滿足

支持直接以字符方式登錄堡壘主機,以適應部分非windows終端用戶

滿足

設計理念

集中管理模式

要解決核心資源的訪問安全問題,我們首先從管理模式上進行分析。管理模式是首要因素,管理是從一個很高的高度,綜合考慮整體的情況,然后制定出相應的解決策略,最后落實到技術實現上。管理解決的是面的問題,技術解決的是點的問題,管理的模式決定了管理的高度。我們認為隨著應用的發展,設備越來越多,維護人員也越來越多,我們必須由分散的管理模式逐步轉變為集中的管理模式。

只有集中才能夠實現統一管理,也只有集中才能把復雜問題簡單化,集中管理是運維管理思想發展的必然趨勢,也是唯一的選擇。集中管理包括:集中的資源訪問入口、集中帳號管理、集中授權管理、集中認證管理、集中審計管理等等。


協議代理

為了對字符終端、圖形終端操作行為進行審計和監控,身份及訪問管理系統對各種字符終端和圖形終端使用的協議進行代理,實現多平臺的操作支持和審計,例如Telnet、SSH、FTP、Windows平臺的RDP遠程桌面協議,Linux/Unix平臺的XWindow圖形終端訪問協議等。

當運維機通過身份及訪問管理系統訪問服務器時,首先由身份及訪問管理系統模擬成遠程訪問的服務端,接受運維機的連接和通訊,并對其進行協議的還原、解析、記錄,最終獲得運維機的操作行為,之后身份及訪問管理系統模擬運維機與真正的目標服務器建立通訊并轉發運維機發送的指令信息,從而實現對各種維護協議的代理轉發過程。在通訊過程中,身份及訪問管理系統會記錄各種指令信息,并根據策略對通信過程進行控制,如發現違規操作,則不進行代理轉發,并由身份及訪問管理系統反饋禁止執行的回顯提示。


身份授權分離

以前管理員依賴各IT系統上的系統帳號實線兩部分功能:身份認證和系統授權,但是因為共享帳號、弱口令帳號等問題存在,這兩方面實現都存在漏洞,達不到預期的效果。

解決的思路是將身份和授權分離。在身份及訪問管理系統上建立主帳號體系,用于身份認證,原各IT系統上的系統帳號僅用于系統授權,這樣可以有效增強身份認證和系統授權的可靠性,從本質上解決帳號管理混亂問題,為認證、授權、審計提供可靠的保障。


關鍵技術

身份及訪問管理系統采用系列先進技術,成功實現命令及圖形的捕獲與控制,為服務器的安全運行提供了強有力的系統工具。


邏輯命令自動識別技術

身份及訪問管理系統自動識別當前操作終端,對當前終端的輸入輸出進行控制,組合輸入輸出流,自動識別邏輯語義命令。系統會根據輸入輸出上下文,確定邏輯命令編輯過程,進而自動捕獲出用戶使用的邏輯命令。該項技術解決了邏輯命令自動捕獲功能,在傳統鍵盤捕獲與控制領域取得新的突破,可以更加準確的控制用戶意圖。

該技術能自動識別命令狀態和編輯狀態以及私有工作狀態,準確捕獲邏輯命令。


分布式處理技術

身份及訪問管理系統采用分布式處理架構進行處理,啟用命令捕獲引擎機制,通過策略服務器完成策略審計,通過日志服務器存儲操作審計日志,并通過實時監視中心,實時察看用戶在服務器上的行為。

這種分布式設計有利于策略的正確執行和操作記錄日志的安全。同時,各組件之間采用安全連接進行通信,防止策略和日志被篡改。各組件可以獨立工作,也可以分布于不同的服務器上,亦可將所有組件安裝于一臺服務器上。


正則表達式匹配技術

身份及訪問管理系統采用正則表達式匹配技術,將正則表達式組合入樹型可遺傳策略結構,實現控制命令的自動匹配與控制。樹型可遺傳策略適合現代企業事業架構,對于服務器的分層分級管理與控制提供了強大的工具。


圖形協議代理

為了對圖形終端操作行為進行審計和監控,身份及訪問管理系統對圖形終端使用的協議進行代理,實現多平臺的多種圖形終端操作的審計,例如Windows平臺的RDP方式圖形終端操作,Linux/Unix平臺的XWindow方式圖形終端操作。


多進程/線程與同步技術

身份及訪問管理系統主體采用多進程/線程技術實現,利用獨特的通信和數據同步技術,準確控制程序行為。多進程/線程方式邏輯處理準確,事務處理不會發生干擾,這有利于保證系統的穩定性、健壯性。


數據加密功能

身份及訪問管理系統在處理用戶數據時都采用相應的數據加密技術來保護用戶通信的安全性和數據的完整性,防止惡意用戶截獲和篡改數據,充分保護用戶在操作過程中不被惡意破壞。


審計查詢檢索功能

自從<<薩班斯法案>>的推出,企業內控得到了嚴格的審查,企業的內部審計顯得非常重要。

身份及訪問管理系統能夠為企業內部網絡提供完全的審計信息,這些審計信息能夠為企業追蹤用戶行為,判定用戶行為等,能夠還原出用戶的操作行為。

傳統審計關聯到IP,這本身是一個不確定的和不負責任的審計結果,因為IP信息不能夠真實反應出真實的操作者是誰,從而企業內部網絡出現問題不能追蹤到操作者。身份及訪問管理系統能夠對這些用戶行為進行關聯審計,就是說真正能夠把每一次審計出的用戶操作行為綁定到自然人身上,便于企業內部網絡管理追蹤到個人。


操作還原技術

操作還原技術是指將用戶在系統中的操作行為在真實的環境中模擬顯現出來,審計管理員可以根據操作還原技術還原出真實的操作,以判定問題出在哪里。

身份及訪問管理系統采用操作還原技術能夠將用戶的操作流程自動地展現出來,能夠監控用戶的每一次行為,判定用戶的行為是否對企業內部網絡安全造成危害。

產品優勢

良好的擴展性

身份及訪問管理系統產品從4A解決方案中抽象出來,提供最便捷的4A項目集成方案。在程序結構上充分考慮到4A項目和非4A項目的使用場景,以先進的體系結構,清晰合理的模塊劃分實現多種用戶場景的適用性。在4A項目中,身份及訪問管理系統放棄帳號、認證、授權的集中管理,只提供執行單元,完成訪問控制和操作審計功能;在非4A項目中將4A的一些理念融合到身份及訪問管理系統產品中,除提供基礎的訪問控制和操作審計功能外,還提供精簡的帳號、認證、授權集中管理功能。


強大的審計功能

l 精確記錄用戶操作時間。

l 審計結果支持多種展現方式,讓操作得以完整還原。

l 審計結果可以錄像回放,支持調節播放速度,并且回放過程中支持前后拖拽,方便快速定位問題操作。

l 方便的審計查詢功能,能夠一次查詢多條指令。


部署和使用簡單

l 不需要在被管理設備上安裝代理程序。

l 不需要改變網絡的物理拓撲結構。

l 不影響被管理設備的運行。

l 管理員和操作員都使用WEB方式操作,操作簡單。


高成熟性和安全性

身份及訪問管理系統系統的開發研制中,我們盡量采用成熟的先進技術,對系統的關鍵技術在前期的工作中進行了大量實驗和攻關及原型建立,在已開發并經廣泛測試的產品中,上述的關鍵技術問題已解決。而且,身份及訪問管理系統系統所選取的硬件平臺和軟件平臺,是具有良好的技術支持和發展前途的成熟產品。

系統運用了先進的加密、過濾、備份、數字簽名與身份認證、權限管理等安全手段,建立健全的系統安全機制,保證了用戶的合法性和數據不被非法盜取,從而保證產品的安全性。

產品部署

邏輯部署示意圖

身份及訪問管理系統部署邏輯圖:


物理部署示意圖

身份及訪問管理系統部署物理圖:


部署說明

如圖,身份及訪問管理系統部署在被管理服務器的訪問路徑上,通過防火墻或者交換機的訪問控制策略限定只能由身份及訪問管理系統直接訪問服務器的遠程維護端口。

維護人員維護被管理服務器或者網絡設備時,首先以WEB方式登錄身份及訪問管理系統,然后通過身份及訪問管理系統上展現的訪問資源列表直接訪問授權資源。


客戶收益

1.1 實現集中帳號管理,降低管理費用

l 實現對用戶帳號的統一管理和維護

在實現集中帳號管理前,每一個新上線應用系統均需要建立一套新的用戶帳號管理系統,并且分別由各自的管理員負責維護和管理。這種相對獨立的帳號管理系統不僅建設前期投入成本較高,而且后期管理維護成本也會成倍增加。而通過身份及訪問管理系統的集中帳號管理,可實現對IT系統所需的帳號基礎信息(包括用戶身份信息、機構部門信息、其他公司相關信息,以及生命周期信息等)進行標準化的管理,能夠為各IT系統提供基礎的用戶信息源。通過統一用戶信息維護入口,保證各系統的用戶帳號信息的唯一性和同步更新。

l 解決用戶帳號共享問題

主機、數據庫、網絡設備中存在大量的共享帳號,當發生安全事故時,難于確定帳號的實際使用者,通過部署身份及訪問管理系統系統,可以解決共享帳號問題。

l 解決帳號鎖定問題

用戶登錄失敗五次,應對帳號進行鎖定。網絡設備、主機、應用系統等大都不支持帳號鎖定功能。通過部署極身份及訪問管理系統系統,可以實現用戶帳號鎖定、一鍵刪除等功能。

實現集中身份認證和訪問控制,避免冒名訪問,提高訪問安全性

l 提供集中身份認證服務

實現用戶訪問IT系統的認證入口集中化和統一化,并實現高強度的認證方式,使整個IT系統的登錄和認證行為可控制及可管理,從而提升業務連續性和系統安全性。

l 實現用戶密碼管理,滿足SOX法案內控管理的要求

多數企業對主機、網絡設備、數據庫的訪問都是基于“用戶名+靜態密碼”訪問,密碼長期不更換,密碼重復嘗試的次數也沒有限制,這些都不能滿足SOX法案內控管理的需求。僅通過制度要求用戶在密碼更換、密碼設定等方面滿足SOX相關要求,無法在具體執行過程中對用戶進行有效監督和檢查。身份及訪問管理系統系統通過建設集中的認證系統,并結合集中帳號管理的相關功能,實現用戶密碼管理,密碼自動變更,提高系統認證的安全性。

l 實現對用戶的統一接入訪問控制功能

部署身份及訪問管理系統前,維護人員接入IT系統進行維護操作具有接入方式多樣、接入點分散的特點。而維護人員中很多是代維人員,這些代維人員來自于各集成商或設備供應商,人員參差不齊,流動性大。由于維護人員對系統擁有過大權限,缺乏對其進行訪問控制和行為審計的手段,存在極大的安全隱患。身份及訪問管理系統系統統一維護人員訪問系統和設備的入口,提供訪問控制功能,有效的解決運維人員的操作問題,降低相關IT系統的安全風險。

實現集中授權管理,簡化授權流程,減輕管理壓力

l 實現統一的授權管理

各應用系統分別管理所屬的資源,并為本系統的用戶分配權限,若沒有集中統一的資源授權管理平臺,授權管理任務隨著用戶數量及應用系統數量的增加越來越重,系統的安全性也無法得到充分保證。身份及訪問管理系統系統實現統一的授權管理,對所有被管應用系統的授權信息進行標準化的管理,減輕管理員的管理工作,提升系統安全性。

l 授權流程化管理

通過身份及訪問管理系統系統,管理層可容易地對用戶權限進行審查,并確保用戶的權限中不能有不兼容職責,用戶只能擁有與身份相符的權限,授權也有相應的工作流審批。

實現單點登錄,規范操作過程,簡化操作流程

l 單點登錄

身份及訪問管理系統提供了基于B/S的單點登錄系統,用戶通過一次登錄系統后,就可以無需認證的訪問包括被授權的多種基于B/SC/S的應用系統。單點登錄為具有多帳號的用戶提供了方便快捷的訪問途經,使用戶無需記憶多種登錄用戶ID和口令。它通過向用戶和客戶提供對其個性化資源的快捷訪問來提高生產效率。同時,單點登錄可以實現與用戶授權管理的無縫連接,這樣可以通過對用戶、角色、行為和資源的授權,增加對資源的保護,和對用戶行為的監控及審計。

l 規范操作流程

規范操作人員和第三方代維廠商的操作行為。通過身份及訪問管理系統系統的部署,所有系統管理人員,第三方系統維護人員,都必須通過身份及訪問管理系統系統來實施網絡管理和服務器維護。對所有操作行為做到可控制、可審計、可追蹤。審計人員定期對維護人員的操作進行審計,以提高維護人員的操作規范性。

身份及訪問管理系統系統規范了運維操作的工作流程,將管理員從繁瑣的密碼管理工作中解放出來,投入到其他工作上,對第三方代維廠商的維護操作也不再需要專門陪同,從而有效提高了運維管理效率。

實現實名運維審計,滿足安全規范要求

l 實現集中的日志審計功能

各應用系統相互獨立的日志審計,無法進行綜合日志分析,很難通過日志審計發現異常或違規行為。身份及訪問管理系統系統提供集中的日志審計,能關聯用戶的操作行為,對非法登錄和非法操作快速發現、分析、定位和響應,為安全審計和追蹤提供依據。

l 輔助審查

通過集中的日志審計,可以收集用戶訪問網絡設備、主機、數據庫的操作日志記錄,并對日志記錄需要定期進行審查,滿足內部控制規范中關于日志審計的需求,真正實現關聯到自然人的日志審計。


企業內部網絡安全存在諸多的問題,每種問題都不可小視,對于這些問題,企業內部應該規范管理,應該使用更為先進的IT技術手段、技術工具來幫助管理員進行規范化管理,這樣才能夠保證企業內部網絡的安全性。身份及訪問管理系統使得企業內部網絡的管理合理化、安全化、專業化和規范化,充分保障企業網絡資源和信息資源的安全。

咨詢電話:400-008-3771

總部電話:010-57030611

客服郵箱:[email protected]
京ICP備05012245號 京公網安備110108007939號  技術支持: 邦澤品牌 © 2001-2014 Sagetech, Inc. All rights reserved.
迎财神在线客服