《LanSecS堡垒主机内控管理平台技术白皮书.docx》由会员分享,可在线阅读,更多相关《LanSecS堡垒主机内控管理平台技术白皮书.docx(21页珍藏版)》请在课桌文档上搜索。
1、1.anSecS(堡垒主机)内控管理平台技术白皮书北京圣博润高新技术股份有限公司2019年11月书目1背景31.l概述31.2 管理现状3运用共享帐号的平安隐患3密码策略无法有效执行4授权不清楚4访问限制策略不严格4用户操作无法有效审计41.3 问题分析52设计理念52. 1集中管理模式52.2协议代理62. 3身份授权分别63产品概述73. 1产品综述73.2 产品组成73.3 产品功能73.3.1单点登录73.3.2账户管理83.3.3身份认证83. 3.4资源授权83. 3.5访问限制94. 3.6操作审计94关键技术101.1 逻辑吩咐自动识别技术H1.2 分布式处理技术H1.3 正则
2、表达式匹配技术111.4 RDP协议代理111.5 多进程/线程及同步技术121.6 数据加密功能121.7 审计查询检索功能121.8 操作还原技术125产品优势135. 1良好的扩展性135.1 强大的审计功能135.2 部署和运用简洁135.3 高度的平安性和成熟性136主要应用146. 1运维管理146.2平安管理147技术参数148产品部署171.1 逻辑部署示意图171.2 物理部署示意图181.3 部署说明189客户收益189.1 实现集中帐号管理,降低管理费用189.2 实现集中身份认证和访问限制,避开冒名访问,提高访问平安性】99.3 实现集中授权管理,筒化授权流程,减轻管理
3、压力.209.4 实现单点登录,规范操作过程,简化操作流程209.5 实现实名运维审计,满意平安规范要求21IO产品服务21101售后服务21102技术支持221背景1.1 概述随着信息技术的发展和信息化建设的进步,办公系统、商务平台的不断推出和投入运行,信息系统在企业的运营中全面渗透。电信行业、财政、税务、公安、金融、电力、石油、大中企业和门户网站,更是运用数量较多的服务器主机来运行关键业务。2019年由美国总统布什签发的萨班斯法案(SarbaneS-OXleyACt)起先生效。其中要求企业的经营活动,企业管理、项目和投资等,都要有限制和审计手段。因此,管理人员须要有有效的技术手段和专业的技
4、术工具和平安产品依据行业的标准来做细粒度的管理,真正做到对于内部网络的严格管理,可以限制、限制和追踪用户的行为,判定用户的行为是否对企业内部网络的平安运行带来威逼。1.2 管理现状目前机构的运维管理有以下三个特点: 关键的核心业务都部署丁Unix和NindOWS服务器上。 应用的困难度确定了多种角色交叉管理。 运行维护人员更多的依靠Telnet、SSIK等进行远程管理。基于这些现状,在管理中存在以下突出问题:1.2.1 运用共享帐号的平安隐患企业的支撑系统中有大量的网络设备、主机系统和应用系统,分别属于不同的部门和不同的业务系统。各应用系统都有一套独立的帐号体系,用户为了便利登陆,常常出现多人
5、共用帐号的状况。多人同时运用一个系统帐号在带来便利性的同时,导致用户身份唯一性无法确定。假如其中任何一个人离职或者将帐号告知其他无关人员,会使这个帐号的平安无法保证。由于共享帐号是多人共同运用,发生问题后,无法精确定位恶意操作或误操作的责任人。更改密码须要通知到每一个须要运用此帐号的人员,带来了密码管理的困难化。1.2.2 密码策略无法有效执行为了保证密码的平安性,平安管理员制定了严格的密码策略,比如密码要定期修改,密码要保证足够的长度和困难度等,但是由于管理的机器数量和帐号数量太多,往往导致密码策略的实施流于形式。1.2.3 授权不清楚各系统分别管理所属的系统资源,为本系统的用户安排权限,无
6、法严格依据最小权限原则安排权限。另外,随着用户数量的增加,权限管理任务越来越重,当维护人员同时对多个系统进行维护时,工作困难度会成倍增加,平安性无法得到充分保证。1.2.4 访问限制策略不严格目前的管理中,没有个清楚的访问限制列表,无法目了然的看到什么用户能够以何种身份访问哪些关键设备,同时缺少有效的技术手段来保证访问限制策略被有效执行。125用户操作无法有效审计各系统独立运行、维护和管理,所以各系统的审计也是相互独立的。每个网络设备,每个主机系统分别进行审计,平安事故发生后须要排查各系统的日志,但是往往日志找到了,也不能最终定位到行为人。另外各系统的日志记录实力各不相同,例如对于Unix系统
7、来说,日志记录就存在以下问题:Unix系统中,用户在服务器上的操作有一个历史吩咐记录的文件,但是用户可以随意更改和删除自己的记录;root用户不仅仅可以修改自己的历史记录,还可以修改他人的历史记录,系统本身的历史记录文件已经变的不行信;记录的吩咐数量有限制;无法记录操作人员、操作时间、操作结果等。1.3问题分析对运维的管理现状进行分析,我们认为造成这种担心全现状的缘由是多方面的,总结起来主要有以下几点: 各IT系统独立的帐户管理体系造成身份管理的换乱,而身份的唯一性又恰恰是认证、授权、审计的依据和前提,因此身份的混乱事实上造成设备访问的混乱。 各IT系统独立管理,风险分散在各系统中,各个击破困
8、难大,这种管理方式造成业务管理和平安之间失衡。 核心服务器或设备的物理平安和临机访问平安通过门禁系统和录像系统得以较好的解决,但是对他们的网络访问缺少限制或欠缺限制力度。 在帐号、密码、认证、授权、审计等各方面缺乏有效的集中管理技术手段。因此,迫切要求企业内部规范管理,通过多种用户认证方式,不同的平安操作权限,同一地点的不同资源的集中访问,简化操作流程,并满意SoX法案中关于用户身份及访问管理的审计要求。通过控堡垒主机实现企业内部网络的合理化,平安化,专业化,规范化,充分保障企业资源平安。2设计理念2.1 集中管理模式要解决核心资源的访问平安问题,我们苜先从管理模式上进行分析。管理模式是首要因
9、素,管理是从一个很高的高度,综合考虑整体的状况,然后制定出相应的解决策略,最终落实到技术实现上。管理解决的是面的问题,技术解决的是点的问题,管理的模式确定了管理的高度。我们认为随着应用的发展,设备越来越多,维护人员也越来越多,我们必需由分散的管理模式逐步转变为集中的管理模式。只有集中才能够实现统一管理,也只有集中才能把困难问题简洁化,集中管理是运维管理思想发展的必定趋势,也是唯一的选择。集中管理包括:集中的资源访问入口、集中帐号管理、集中授权管理、集中认证管理、集中审计管理等等。2.2 协议代理为了对字符终端、图形终端操作行为进行审计和监控,堡垒主机对各种字符终端和图形终端运用的协议进行代理,
10、实现多平台的操作支持和审计,例如Telnet、SSH,平台的RDP远程桌面协议,1.inUX/Unix平台的XWindow图形终端访问协议等。当运维机通过堡垒主机访问服务器时,首先由堡垒主机模拟成远程访问的服务端,接受运维机的连接和通讯,并对其进行协议的还原、解析、记录,最终获得运维机的操作行为,之后堡垒主机模拟运维机及真正的目标服务器建立通讯并转发运维机发送的指令信息,从而实现对各种维护协议的代理转发过程。在通讯过程中,堡垒主机会记录各种指令信息,并依据策略对通信过程进行限制,如发觉违规操作,则不进行代理转发,并由堡垒主机反馈禁止执行的回显提示。2.3 身份授权分别以前管理员依靠各IT系统上
11、的系统帐号实线两部分功能:身份认证和系统授权,但是因为共享帐号、弱口令帐号等问题存在,这两方面实现都存在漏洞,达不到预期的效果。解决的思路是将身份和授权分别。在堡垒主机上建立主帐号体系,用于身份认证,原各IT系统上的系统帐号仅用于系统授权,这样可以有效增加身份认证和系统授权的牢靠性,从木质上解决帐号管理混乱问题,为认证、授权、审计供应牢靠的保障。3产品概述3.1 产品综述内控俅垒主机是一种被加固的可以防卫进攻的计算机,具备坚毅的平安防护实力。内控堡垒主机扮演着看门者的职责,全部对网络设备和服务器的恳求都要从这扇大门经过。因此内控堡垒主机能够拦截非法访问和恶意攻击,对不合法吩咐进行阻断、过滤掉全
12、部对目标设备的非法访问行为。1 .anSecS(堡垒主机)内控管理平台具体有强大的输入输出审计功能,不仅能具体记录用户操作的每一条指令,而且能够通过回放的功能,将其动态的呈现出来,大大丰富了内控审计的功能。1.anSeCS(堡垒主机)内控管理平台自身审计日志,可以极大增加审计信息的平安性,保证审计人员有据可查。1.anSecS(堡垒主机)内控管理平台还具备图形终端审计功能,能够对多平台的多种终端操作审计,例如WindoWS平台的RDP形式图形终端操作。为了给系统管理员查看审计信息供应便利性,1.anSecS(俅垒主机)内控管理平台供应了审计查看检索功能。系统管理员可以通过多种查询条件查看审计信
13、息。总之,1.anSecS(堡垒主机)内控管理平台能够极大的爱护企业内部网络设备及服务器资源的平安性,使得企业内部网络管理合理化和专业化。3.2 产品组成3.3 产品功能3.3.1 单点登录1.anSeCS(堡垒主机)内控管理平台供应了基于B/S的单点登录系统,用户通过一次登录系统后,就可以无需认证的访问包括被授权的多种基于B/S的应用系统。单点登录为具有多帐号的用户供应了便利快捷的访问途经,运用户无需记忆多种登录用户ID和口令。它通过向用户和客户供应对其特性化资源的快捷访问提高生产效率。同时,由于系统自身是采纳强认证的系统,从而提高了用户认证环节的平安性。单点登录可以实现和用户管理授权的无缝
14、隙链接,通过对用户、角色、资源和行为的授权,增加对资源的爱护,和对用户行为的监控及审计。3.3.2 账户管理集中帐号管理包含对全部服务器、网络设备帐号的集中管理。帐号和资源的集中管理是集中授权、认证和审计的基础。集中帐号管理可以完成对帐号整个生命周期的监控和管理,而且还降低了企业管理大量用户帐号的难度和工作量。同时,通过统一的管理还能够发觉帐号中存在的平安隐患,并且制定统一的、标准的用户帐号平安策略。通过建立集中帐号管理,企业可以实现将帐号及具体的自然人相美联。通过这种关联,可以实现多级的用户管理和细粒度的用户授权。而且,还可以实现针对自然人的行为审计,以满意审计的须要。3.3.3 身份认证1
15、.anSecS(堡垒主机)内控管理平台为用户供应统一的认证接口。采纳统一的认证接口不但便于对用户认证的管理,而且能够采纳更加平安的认证模式,提高认证的平安性和牢靠性。集中身份认证供应静态密码、WindowsNT域、WindowsKerberos,双因素、一次性口令和生物特征等多种认证方式,而且系统具有敏捷的定制接口。3.3.4 资源授权1.anSecS(堡垒主机)内控管理平台系统供应统的界面,对用户、角色及行为和资源进行授权,以达到对权限的细粒度限制,最大限度爱护用户资源的平安。通过集中访问授权和访问限制可以对用户通过B/S对服务裾主机、网络设备的访问进行审H在集中访问授权里强调的“集中”是逻
16、辑上的集中,而不是物理上的集中。即在各网络设备、服务器主机系统中可能拥有各自的权限管理功能,管理员也由各自的归口管理部门委派,但是这些管理员在1.anSecS(堡垒主机)内控管理平台系统上,可以对各自的管理对象进行授权,而不须要进入每一个被管理对象才能授权。授权的对象包括用户、用户角色、资源和用户行为。系统不但能够授权用户可以通过什么角色访问资源这样基于应用边界的粗粒度授权,对某些应用还可以限制用户的操作,以及在什么时间进行操作等的细粒度授权。3.3.5 访问限制1.anSecS(堡垒主机)内控管理平台系统能够供应细粒度的访问限制,最大限度爱护用户资源的平安。细粒度的吩咐策略是吩咐的集合,可以
17、是一组可执行吩咐,也可以是一组非可执行的吩咐,该吩咐集合用来安排给具体的用户,来限制其系统行为,管理员会依据其自身的角色为其指定相应的限制策略来限定用户。访问限制策略是爱护系统平安性的重要环节,制定良好的访问策略能够更好的提高系统的平安性。3.3.6 操作审计操作审计管理主要审计操作人员的帐号运用(登录、资源访问)状况、资源运用状况等。在各服务器主机、网络设备的访问日志记录都采纳统一的帐号、资源进行标识后,操作审计能更好地对帐号的完整运用过程进行追踪。系统支持对如下协议进行审计:TeInet、RDP(WindowsTerminal)、XwindowsVNC等。1.anSecS(堡垒主机)内控管
18、理平台系统通过系统自身的用户认证系统、用户授权系统,以及访问限制等具体记录整个会话过程中用户的全部行为日志。还可以将产生的日志传送给第三方。对于生成的Fl志支持丰富的查询和操作。令支持按服务器方式进行查询:通过对特定服务器地址进行查询,可以发觉该服务器上发生的吩咐和行为。支持按用户名方式进行查询通过对用户名进行查询,可以发觉该用户的全部行为。令支持按登陆地址方式进行查询通过对特定IP地址进行查询,可以发觉该地址对应主机及其用户在服务器上进行的全部操作。令支持依据登陆时间进行查询通过对登录时间进行查询,可以发觉特定时间内登录服务器的用户及其进行过的全部操作。支持对吩咐发生时间进行查询可以通过对吩
19、咐发生的时间进行查询,可以查询到特定时间段服务器上发生过的全部行为。令支持对吩咐名称进行查询通过查询特定吩咐如1.S,可以查询到运用过该吩咐的全部用户及其运用的时间等。支持上述六个查询条件的随意组合查询如:可以查询”谁(用户名什么时间登录(登录时间)”服务器并在什么时间(吩咐发生时间)在服务器(目标服务器)上执行过什么操作(吩咐)支持对日志的备份操作处理令支持对日志的删除处理4关键技术1.anSecS(堡垒主机)内控管理平台采纳系列先进技术,胜利实现吩咐及图形的捕获及限制,为服务器的平安运行供应了强有力的系统工具。4.1 逻辑吩咐自动识别技术1.anSecS(堡垒主机)内控管理平台自动识别当前
20、操作终端,对当前终端的输入输出进行限制,组合输入输出流,自动识别逻辑语义吩咐。系统会依据输入输出上卜文,确定逻辑吩咐编辑过程,进而自动捕获出用户运用的逻辑吩咐。该项技术解决了逻辑吩咐自动捕获功能,在传统键盘捕获及限制领域取得新的突破,可以更加精确的限制用户意图。该技术能自动识别吩咐状态和编辑状态以及私有工作状态,精确捕获逻辑吩咐。4.2 分布式处理技术1.anSecS(堡垒主机)内控管理平台采纳分布式处理架构进行处理,启用吩咐捕获引擎机制,通过策略服务器完成策略审计,通过日志服务器存储操作审计日志,并通过实时监视中心,实时察看用户在服务器上行为。这种分体式设计有利于策略的正确执行和操作记录日志
21、的平安。同时,各组件之间采纳平安连接进行通信,防止策略和日志被篡改。各组件可以独立工作,可以分布于不同的服务器上,亦可全部组件安装于一台服务器。4.3 正则表达式匹配技术1.anSecS(堡垒主机)内控管理平台采纳正则表达式匹配技术,将正则表达式组合入树型可遗传策略结构,实现限制吩咐的自幼匹配及限制。树型可遗传策略适合现代企业事业架构,对于服务器的分层分级管理及限制供应了强大的工具。4.4 RDP协议代理为了对图形终端操作行为进行审计和监控,1.anSecS(堡垒主机)内控管理平台对图形终端运用的协议进行代理,实现多平台的多种图形终端操作的审计,例如Windows平台的RDP方式图形终端操作,
22、1.inux/Unix平台的XWindow方式图形终端操作。4.5 多进程/线程及同步技术1.anSecS(堡垒主机)内控管理平台主体采纳多进程/线程技术实现,利用独特的通信和数据同步技术,精确限制程序行为。多进程/线程方式逻辑处理精确,事务处理不会发生干扰,这有利于保证系统的稳定性、健壮性。4.6 数据加密功能1.anSecS(堡垒主机)内控管理平台在处理用户数据时都采纳相应的数据加密技术来爱护用户通信的平安性和数据的完整性。防止恶意用户截获和篡改数据。充分爱护用户在操作过程中不被恶意破坏。4.7 审计查询检索功能自从萨班斯法案的推出,企业内控得到了严格的审查,企业的内部审计显得特别重要。1
23、.anSecS(堡垒主机)内控管理平台能够为企业内部网络供应完全的审计信息,这些审计信息能够为企业追踪用户行为,判定用户行为等,能够还原出用户的一些操作性为。传统审计关联到IP,这本身是个不确定的和不负责任的审计结果,因为IP信息不能够真实反应出真实的操作者是谁,从而企业内部网络出现问题不能追踪用户。1.anSecS(堡垒主机)内控管理平台能够对这些用户关联审计行为,就是说真正能够把每一次审计出的用户操作性为绑定到自然人身上,便于企业内部网络管理追踪到个人。4.8 操作还原技术操作还原技术是指将用户在系统中的操作行为以真实的环境模拟显现出来,审计管理员可以依据操作还原技术还原出真实的操作,以判
24、定问题出在哪里。1.anSecS(堡垒主机)内控管理平台采纳操作还原技术能够将用户的操作流程自动地呈现出来,能够监控用户的每次行为,判定用户的行为是否对企业内部网络平安性造成危害。5产品优势5.1 良好的扩展性1 .anSecS(堡垒主机)内控管理平台产品从4A解决方案中抽象出来,供应最便捷的4A项目集成方案。在程序结构上充分考虑到4A项目和非4A项目的运用场景,以先进的体系结构,清楚合理的模块划分实现多种用户场景的适用性。在4A项目中,1.anSecS(堡垒主机)内控管理平台放弃帐号、认证、授权的集中管理,只供应执行单元,完成访问限制和操作审计功能;在非4A项目中将4A的一些理念融合到1.a
25、nSeCS(堡垒主机)内控管理平台产品中,除供应基础的访问限制和操作审计功能外,还供应精简的帐号、认证、授权集中管理功能。5.2 强大的审计功能 精确记录用户操作时间。 审计结果支持多种呈现方式,让操作得以完整还原。 审计结果可以录像回放,支持调整播放速度,并且回放过程中支持前后拖拽,便利快速定位问题操作。 便利的审计查询功能,能够一次查询多条指令。5.3 部署和运用简洁 不须要在被管理设备上安装代理程序。 不须要变更网络的物理拓扑结构。 不影响被管理设备的运行。 管理员和操作员都运用WEB方式操作,操作简洁。5.4 高度的平安性和成熟性1.anSecS(堡垒主机)内控管理平台系统的开发研制中
26、,我们采纳成熟的先进技术,对系统的关键技术在前期的工作中进行了大量试验和攻关及原型建立,在已开发并经广泛测试的产品中,上述的关键技术问题已解决。而且,1.anSecS(堡垒主机)内控管理平台系统所选取的硬件平台和软件平台,是具有良好的技术支持和发展前途的成熟产品。系统运用了先进的加密、过滤、备份、数字签名及身份认证、权限管理等平安手段,建立健全的系统平安机制,保证了用户的合法性和数据不被非法盗取,从而保证产品的平安性。6主要应用6.1 运维管理1.anSecS(堡垒主机)内控管理平台通过单点登陆进行集中的运维管理,将全部设备集中管控,统进行维护管理;通过集中账户管理解决运维管理人员密码平安存储
27、问题,统管理维护人员密码口令,避开密码遗忘和泄露;通过供应运维管理工具帮助管理员日常维护管理,快捷便利供应日常管理工具:通过访问限制避开管理员误操作的发生,禁止运用危急吩咐,防止破坏性事务发生;通过操作审计进行全称记录,并进行回放阅读。6.2 平安管理严峻的攻击来自系统内部(80%来自内部攻击),1.anSeCS(堡垒主机)内控管理平台针对各种途径服务器的访问方式进行监控,支持telnet,rdp,XWindoW等,通过将服务器的常用端口关闭,阻挡了其他主机访问服务器。通过堡垒主机代理连接的方式,可以访问指定服务器,即加强了服务器的平安,又不影响功能运用。但是,目前没有牢靠方法保证系统管理员平
28、安策略配置行为的有效性,合法性以及一样性,一般都通过行政手段,让系统管理员记录平安策略配置过程,这有严峻的平安隐患。1.anSecS(垒主机)内控管理平台可以记录系统管理员对网络边界平安设备的配置过程,保证平安策略的一样性,其生成的日志系统,可以比较便利的集成到企事业现有平安策略管理架构中。7技术参数1.anSecS(堡垒主机)内控管理平台单点登录客户端支持WindoWS全系列产品;支持常见数据底;支持常用连接工具:具体参数如下列表:名称说明windows7(mstsc)windows7远程桌面连接windowsXPSP3(mstsc)WindowsXPSp3远程桌面连接windowsXPSP
29、2(mstsc)WindowsXPSp2远程桌面连接CMD窗口windows运行中的CMD窗口SecurityCRT常用的字符连接工具支持telnetssh连接winscp()常用的FTP连接工具支持连接mstsc常用的主机图形访问工具支持linuxunix图形连接neterm常用的字符连接工具支持telnetssh连接ToadOraeIe客户端管理工具Golden32Oracle客户端管理工具SybasecontralSybase客户端管理工具Weblogicconso1eWebIOgiC管理工具P1.sqlORAC1.E常用客户端winsql常用数据库连接客户端支持:DB2sysbasei
30、nformix等多种数据库连接dbaccess(informix)Informix自有数据库客户端SqISerVer2000sqlserver2000查询分析器SqISerVer2019sqlserver20l9查询分析器Mysq1Mysql数据库管理器1.anSeCS(堡垒主机)内控管理平台支持如下系列系统资源从账户同步类别名称Windows(支持域模式)windowsserver2019windowsserver2019windowsserver2000windowsxpwindows2000unix/1inuxIinuxHPunixIX(1BM)SCOUnixsuselsuse9数据库O
31、racle9iOracle10gmysqlsqlserver2000sqlserver2019informixdb2sysbase网络设备(支持radius)Cisco、华为、华三、juniper平安设备FirewalkSS1.VPN、IDS1.anSecS(堡垒主机)内控管理平台包括多种协议代理,常用协议如下表:telnetsshlssh2RDP协议代理类型XllVNC11PSftp8产品部署8.1 逻辑部署示意图1.anSecS(堡垒主机)内控管理平台部署逻辑图:8.2 物理部署示意图1.anSecS(堡垒主机)内控管理平台支持多种部署方式,部署简洁便利,好用,能够很好的满意用户的要求。并
32、依据用户实际规模、平安级别采纳以下两种部署方式:1、1.anSeCS(堡垒主机)内控管理平台典型部署示意图:2、1.anSeCS(堡垒主机)内控管理平台支持双机热备示意图:8.3 部署说明如图,1.anSecS(堡垒主机)内控管理平台部署在被管服务器区的访问路径上,通过防火墙或者交换机的访问限制策略限定只能由1.anSeCS(堡垒主机)内控管理平台干脆访问服务器的远程维护端口。维护人员维护被管服务器或者网络设备时,首先以WEB方式登录堡垒主机,然后通过堡垒主机上呈现的访问资源列表干脆访问授权资源。9客户收益9.1 实现集中帐号管理,降低管理费用 实现对用户帐号的统一管理和维护在实现集中帐号管理
33、前,每一个新上线应用系统均须要建立一套新的用户帐号管理系统,并且分别由各自的管理员负责维护和管理。这种相对独立的帐号管理系统不仅建设前期投入成本较高,而且后期管理维护成本也会成倍增加。而通过堡垒主机的集中帐号管理,可实现对IT系统所需的帐号基础信息(包括用户身份信息、机构部门信息、其他公司相关信息,以及生命周期信息等)进行标准化的管理,能够为各IT系统供应基础的用户信息源。通过统一用户信息维护入口,保证各系统的用户帐号信息的唯一性和同步更新。 解决用户帐号共享问题主机、数据库、网络设备中存在大量的共享帐号,当发生平安事故时,难于确定帐号的实际运用者,通过部署1.anSeCS(保垒主机)内控管理
34、平台系统,可以解决共享帐号问题。 解决帐号锁定问题用户登录失败五次,应对帐号进行锁定。网络设备、主机、应用系统等大都不支持帐号锁定功能。通过部署1.anSeCS(堡垒主机)内控管理平台系统,可以实现用户帐号锁定、一键删除等功能。9.2 实现集中身份认证和访问限制,避开冒名访问,提高访问平安性 供应集中身份认证服务实现用户访问IT系统的认证入口集中化和统一化,并实现高强度的认证方式,使整个IT系统的登录和认证行为可限制及可管理,从而提升业务连续性和系统平安性。 实现用户密码管理,满意SOX法案内控管理的要求多数企业对主机、网络设备、数据库的访问都是基于“用户名+静态密码”访问,密码长期不更换,密
35、码重复尝试的次数也没有限制,这些都不能满意SOX法案内控管理的需求。仅通过制度要求用户在密码更换、密码设定等方面满意SOX相关要求,无法在具体执行过程中对用户进行有效监督和检查。1.anSecS(堡垒主机)内控管理平台系统通过建设集中的认证系统,并结合集中帐号管理的相关功能,实现用户密码管理,密码自动变更,提高系统认证的平安性。 实现对用户的统一接入访问限制功能部署堡垒主机前,维护人员接入IT系统进行维护操作具有接入方式多样、接入点分散的特点。而维护人员中许多是代维人员,这些代维人员来自于各集成商或设备供应商,人员参差不齐,流淌性大。由于维护人员对系统拥有过大权限,缺乏对其进行访问限制和行为审
36、计的手段,存在极大的平安隐患。1.anSecS(堡垒主机)内控管理平台系统统一维护人员访问系统和设备的入口,供应访问限制功能,有效的解决运维人员的操作问题,降低相关IT系统的平安风险。9.3 实现集中授权管理,简化授权流程,减轻管理压力实现统一的授权管理各应用系统分别管理所属的资源,并为本系统的用户安排权限,若没有集中统一的资源授权管理平台,授权管理任务随着用户数量及应用系统数量的增加越来越重,系统的平安性也无法得到充分保证。1.anSecS(堡垒主机)内控管理平台系统实现统一的授权管理,对全部被管应用系统的授权信息进行标准化的管理,减轻管理员的管理工作,提升系统平安性。授权流程化管理通过1.
37、anSeCS(堡垒主机)内控管理平台系统,管理层可简洁地对用户权限进行审查,并确保用户的权限中不能有不兼容职贵,用户只能拥有及身份相符的权限,授权也有相应的工作流审批。9.4 实现单点登录,规范操作过程,简化操作流程单点登录1.anSecS(堡垒主机)内控管理平台供应了基于B/S的单点登录系统,用户通过次登录系统后,就可以无需认证的访问包括被授权的多种基于B/S和C/S的应用系统C单点登录为具有多帐号的用户供应了便利快捷的访问途经,运用户无需记忆多种登录用户ID和口令。它通过向用户和客户供应对其特性化资源的快捷访问来提高生产效率。同时,单点登录可以实现及用户授权管理的无缝连接,这样可以通过对用
38、户、角色、行为和资源的授权,增加对资源的爱护,和对用户行为的监控及审计。规范操作流程规范操作人员和第三方代维厂商的操作行为。通过1.anSecS(堡垒主机)内控管理平台系统的部署,全部系统管理人员,第三方系统维护人员,都必需通过1.anSeCS(堡垒主机)内控管理平台系统来实施网络管理和服务器维护。对全部操作行为做到可限制、可审计、可追踪。审计人员定期对维护人员的操作进行审计,以提高维护人员的操作规范性。1.anSecS(堡垒主机)内控管理平台系统规范了运维操作的工作流程,将管理员从繁琐的密码管理工作中解放出来,投入到其他工作上,对第三方代维厂商的维护操作也不再须要特地陪伴,从而有效提高了运维
39、管理效率。9.5 实现实名运维审计,满意平安规范要求实现集中的日志审计功能各应用系统相互独立的日志审计,无法进行综合日志分析,很难通过日志审计发觉异样或违规行为。1.anSecS(堡垒主机)内控管理平台系统供应集中的日志审it,能关联用户的操作行为,对非法登录和非法操作快速发觉、分析、定位和响应,为平安审计和追踪供应依据。协助审查通过集中的日志审计,可以收集用户访问网络设备、主机、数据库的操作日志记录,并对日志记录须要定期进行审查,满意内部限制规范中关于日志审计的需求,真正实现关联到自然人的日志审计。10产品服务10.1 售后服务1 .anSecS(堡垒主机)内控管理平台自产品售出之日起,供应
40、一年期免费的售后服务,具体服务内容包括如下方面: 软件升级服务:供应一年免费产品版本升级。 硬件服务内容:供应设备供应一年免费质保。 产品培训服务:供应产品的部署和运用方面的培训。 技术支持服务:供应5X8电话技术支持服务。 产品询问服务:供应关于产品的功能、配置和运用询问。1.anSecS(堡垒主机)内控管理平台自产品售出之日起满一年后,供应有偿售后服务,服务费用一般为产品购置费德15%o合同另行约定的,依据合同约定执行,具体服务内容包括如卜方面: 产品升级服务:假如产品版本升级,可依据用户要求供应产品升级服务。 电话技术支持服务:供应5X8电话技术支持服务。 现场技术支持服务,供应本地4小时,异地24小时到达现场产品调试及技术服务。 产品询问服务:供应关于产品的功能、配置和运用询问。10.2技术支持北京圣博润高新技术股份有限公司为用户供应如卜技术支持: 远程技术支持:通过电话、邮件、远程桌面等方式供应产品运用、维护和升级等支持,公司免费技术支持热线:800-810-2332o 现场技术支持:对于无法远程解决的产品问题,供应现场技术支持,将委派工程师在承诺的时间内到达用户现场,为用户解决产品相关问题。 网络公告支持:为用户供应产品最新技术进展,缺陷报告和补丁下载等支持。
