产品技术介绍内控堡垒主机目录一、典型场景二、现状分析三、产品发展和理念四、产品功能五、产品特色六、部署一、典型场景1、IT资产2、资产用户3、资产访问方式4、资产访问安全IT运维角度主机系统数据库系统网络设备安全设备专用系统1.IT资产应用角度OA系统财务系统人力系统业务应用系统客户服务系统IT资产的管理者内部维护人员常驻维护人员临时维护人员2.资产用户IT资产的使用者行政人员财务人员业务人员管理人员外部用户各类人员可以通过下面各种途径访问IT资产:使用远程终端服务:例如telnet、rlogin、rsh、rexec、ssh之上的命令行接口(CLI)使用文件传输协议:例如FTP等使用远程窗口和桌面:例如Windows的远程桌面(RDP),和Unix的Xwindow。使用各种数据库客户端:例如各种数据库的client程序、ODBC、JDBC,以及多种其它数据库工具。3.资产访问方式4.资产访问安全数据库管理员系统管理员网络管理员业务操作员Windows服务器Unix服务器安全设备网络设备IT资产资产使用中心各网点分支机构代维厂商多点登陆目录一、典型场景二、现状分析三、产品发展和理念四、产品功能五、产品特色六、部署二、现状分析1、威胁统计2、管理工作3、管理问题4、用户使用问题5、政策背景6、当前技术随着网络安全威胁日益增多,单纯来自于外界的威胁变得有限,更多的、更严重的威胁来自于内部,或由内外勾结所产生的破坏。企业生产数据面临被内部人员篡改、删除、窃取,主机被关机、设备配置被修改,导致企业生产停顿、商业资料泄露,给企业造成巨大的损失。1.威胁统计2.管理工作帐号管理认证管理AB操作审计D授权管理C定义帐号密码定期变更密码密码强度控制……..日志收集日志分析故障排查事故追踪……..建立帐号修改帐号删除帐号……..定义帐号权限分配帐号修改帐号权限防止越权访问……..设备及服务器管理3.管理问题—帐号管理空闲帐号弱口令帐号僵尸帐号共享帐号设备及服务器群3.管理问题—认证管理各系统独立认证单一的静态口令认证口令强度基本无限制3.管理问题—授权管理授权工作量大、繁琐没有有效的访问控制手段授权粒度粗,基本只到设备3.管理问题—审计一关键业务系统数据被修改了,系统记录是admin改的,到底是谁用这个帐号改的?这么多系统,查看命令这么复杂,我怎么去使用这些命令去查看?业务数据被修改,从日志中查,一天的日志量有几百万,我该从什么地方开始看,他到底在什么时间修改业务数据的?每个系统的日志都这么多,不知道他们之间有什么关系?3.管理问题—审计二缺乏帐号分配审计缺乏用户使用相应帐号的授权审计缺乏用户登录登出系统的审计缺乏用户对系统访问行为审计密码记忆用户需要记忆许多用户名和密码用于登录各个系统,经常出现忘记密码的情况,有些管理直接使用相同的密码,缺乏统一的用户管理。频繁登录和注销管理不同的网络设备需要分别登录,操作繁琐。4.用户使用问题•萨班斯.奥克斯利法案(Sarbanes-Oxley)•内部控制规范5.政策背景目录一、典型场景二、现状分析三、产品发展和理念四、产品功能五、产品特色六、部署三、产品发展和理念1、旁路审计2、集中登录3、管理方式4、管理目标5、身份授权分离•针对协议:明文协议(TELNET/FTP/HTTP等)•问题:1.密文协议(SSH/RDP等)2.细粒度授权3.审计信息不可读(实名、信息量)�xvz@b銐e決;`耂決塠hQ軴芠€b/g纇錱密文,无法审计SSH分析仪/审计仪镜像监听1.旁路审计•集中式网络管理(先登录管理作业服务器,然后转换身份再对相关服务器进行维护。属于多用户单帐号管理方式)•问题:1.多用户共享root帐号,权限划分不明,所有人员都具有最高的ROOT权限。2.无法跟踪某个管理员的确切操作。3.依靠各自服务器的日志信息,审计信息不可读。2.集中登录213.管理方式集中访问入口、操作审计4.管理目标集中管理帐号管理认证管理授权管理唯一身份操作审计你是谁你能干什么你干了什么5.身份授权分离系统帐号=身份认证系统授权+主帐号身份认证+从帐号系统授权+目录一、典型场景二、现状分析三、产品发展和理念四、产品功能五、产品特色六、部署四、产品功能1、集中管理平台2、字符终端代理3、字符权限控制4、图形终端代理5、单点登录6、操作审计集中帐号管理集中认证集中授权集中访问控制集中安全审计1.集中管理平台支持指令终端的常见协议SSH、TELNET、RLOGIN、FTP2.字符终端代理策略中配置禁止该操作员使用kill等危险命令,显示禁用提示信息策略中配置禁止命令中不包含more命令,放行通过,得到正确执行结果3.字符权限控制一操作人员moreabc.filekillallapache堡垒主机目标服务器3.字符权限控制二支持图形终端的常见协议RDP、VNC、XWINDOWS4.图形终端代理5.单点登录—UNIX主机统一的WEB单点登录方式5.单点登录—WINDOWS主机统一的WEB单点登录方式6.操作审计一6.操作审计二6.操作审计三目录一、典型场景二、现状分析三、产品发展和理念四、产品功能五、产品特色六、部署五、产品特色1、统一的WEB方式2、内含认证组件3、支持强认证方式4、易用的访问控制策略5、强大的查询统计6、扩展和集成管理员WEB方式管理用户WEB方式访问资源用户登录堡垒主机后可以看到所有授权资源列表,访问资源时不用再输入帐号和密码,做到真正的单点登录。1.统一的WEB方式内部提供认证服务器组件,所有对资源的访问都是认证服务器提供的临时会话号,即使会话号被截获,也无法通过此会话号再次访问资源,提高资源访问的安全性。2.内含认证组件方便的集成各种强认证方式证书认证智能卡认证短信认证人体特征认证(指纹、视网膜等)动态口令认证……..3.支持强认证方式主机命令策略访问时间策略客户端地址策略访问锁定策略4.易用的访问控制策略可以灵活的按照各种查询条件进行查询统计,查询用户的行为,对于主机命令查询时,一次可以配置多条主机命令。查询统计的结果方便形成报表。5.强大的查询统计在4A项目中,放弃帐号、认证、授权的集中管理,可以只提供执行单元,完成基础访问控制和操作审计功能。在非4A项目中除提供基础的访问控制和操作审计功能外,还提供精简的帐号、认证、授权集中管理功能。6.扩展和集成目录一、典型场景二、现状分析三、产品发展和理念四、产品功能五、产品特色六、部署六、部署1.部署模型44提问与交流•谢谢!
