思智内控堡垒主机
随着信息技术的不断发展和信息化建设的不断进步,业务应用、办公系统、商务平台不断推出和投入运行,信息系统在企业的运营中全面渗透。电信行业、财政、税务、公安、金融、电力、石油、大中型企业和门户网站,使用数量众多的网络设备、服务器主机来提供基础网络服务、运行关键业务,提供电子商务、数据库应用、ERP和协同工作群件等服务。由于设备和服务器众多,系统管理员压力太大等因素,越权访问、误操作、滥用、恶意破坏等情况时有发生,这严重影响企业的经济运行效能,并对企业声誉造成重大影响。另外黑客的恶意访问也有可能获取系统权限,闯入部门或企业内部网络,造成不可估量的损失。如何提高系统运维管理水平,跟踪服务器上用户的操作行为,防止黑客的入侵和破坏,提供控制和审计依据,降低运维成本,满足相关标准要求,越来越成为企业关心的问题。
2002年由美国总统布什签发的萨班斯法案(Sarbanes-Oxley Act)开始生效。其中要求企业的经营活动,企业管理、项目和投资等,都要有控制和审计手段。因此,管理人员需要有有效的技术手段和专业的技术工具和安全产品按照行业的标准来做细粒度的管理,真正做到对于内部网络的严格管理,可以控制、限制和追踪用户的行为,判定用户的行为是否对企业内部网络的安全运行带来威胁。
总之,企业内部网络设备和服务器需要更安全的环境,以保障企业的正常运作,身份及访问管理系统能够为企业内部网络的安全运行保驾护航。
管理现状
目前,企业或机构的运维管理有以下三个特点:
关键的核心业务都部署于Unix和Windows服务器上。
应用的复杂度决定了多种角色交叉管理。
运行维护人员更多的依赖Telnet、SSH、FTP、RDP等进行远程管理。
基于这些现状,在管理中存在以下突出问题:
企业的支撑系统中有大量的网络设备、主机系统和应用系统,分别属于不同的部门和不同的业务系统。各应用系统都有一套独立的帐号体系,用户为了方便登陆,经常出现多人共用帐号的情况。
多人同时使用一个系统帐号在带来方便性的同时,导致用户身份唯一性无法确定。如果其中任何一个人离职或者将帐号告诉其他无关人员,会使这个帐号的安全无法保证。
由于共享帐号是多人共同使用,发生问题后,无法准确定位恶意操作或误操作的责任人。更改密码需要通知到每一个需要使用此帐号的人员,带来了密码管理的复杂化。
为了保证密码的安全性,安全管理员制定了严格的密码策略,比如密码要定期修改,密码要保证足够的长度和复杂度等,但是由于管理的机器数量和帐号数量太多,往往导致密码策略的实施流于形式。
各系统分别管理所属的系统资源,为本系统的用户分配权限,无法严格按照最小权限原则分配权限。另外,随着用户数量的增加,权限管理任务越来越重,当维护人员同时对多个系统进行维护时,工作复杂度会成倍增加,安全性无法得到充分保证。
目前的管理中,没有一个清晰的访问控制列表,无法一目了然的看到什么用户能够以何种身份访问哪些关键设备,同时缺少有效的技术手段来保证访问控制策略被有效执行。
各系统独立运行、维护和管理,所以各系统的审计也是相互独立的。每个网络设备,每个主机系统分别进行审计,安全事故发生后需要排查各系统的日志,但是往往日志找到了,也不能最终定位到行为人。
另外各系统的日志记录能力各不相同,例如对于Unix系统来说,日志记录就存在以下问题:
l Unix 系统中,用户在服务器上的操作有一个历史命令记录的文件,但是用户可以随意更改和删除自己的记录;
l root 用户不仅仅可以修改自己的历史记录,还可以修改他人的历史记录,系统本身的的历史记录文件已经变的不可信;
l 记录的命令数量有限制;
l 无法记录操作人员、操作时间、操作结果等。
对运维的管理现状进行分析,我们认为造成这种不安全现状的原因是多方面的,总结起来主要有以下几点。
1. 各IT系统独立的帐户管理体系造成身份管理的换乱,而身份的唯一性又恰恰是认证、授权、审计的依据和前提,因此身份的混乱实际上造成设备访问的混乱。
2. 各IT系统独立管理,风险分散在各系统中,各个击破困难大,这种管理方式造成业务管理和安全之间失衡。
3. 核心服务器或设备的物理安全和临机访问安全通过门禁系统和录像系统得以较好的解决,但是对他们的网络访问缺少控制或欠缺控制力度。
4. 在帐号、密码、认证、授权、审计等各方面缺乏有效的集中管理技术手段。
堡垒主机功能列表
系统管理
满足
提供认证服务器组件,所有对资源的访问都是认证服务器提供的临时会话号,即使会话号被截获,也无法通过此会话号再
访问资源,提高资源访问的安全性。操作员WEB登录堡垒主机访问授权资源时,看不到被管资源的帐号,看到的只有一次
性会话号。
对常见的资源访问方式提供代填登录。例如SecureCRT、NetTerm、Telnet、mstsc、xshell、B\S应用、
C\S应用、主流数据库客户端等。
支持B\S(web页面)和C\S(远程工具)两种远程运维方式,方便操作人员根据自身使用习惯选择访问方式;
支持Telnet、SSH、FTP、SFTP、RDP、VNC等协议。
提供4A方案的便捷支持。提供4A管理平台的认证接口。堡垒主机根据4A管理平台的访问控制要求提供资源访问。
堡垒主机将审计结果吐出到4A平台。
可以使用WEB方式对堡垒主机网卡信息进行管理。
可以查看堡垒主机当前的设备状态,包括cpu,内存,磁盘使用,系统服务等。
可以使用WEB方式对堡垒主机进行重启和关机。
支持建立组织机构树,组织机构树可以灵活的按照用户和资源构建,支持多级分层结构,树节点可以内含用户和资源。
支持在堡垒主机管理平台添加多台可管理堡垒主机,从而支持集群部署,满足用户网络庞大情况的堡垒主机管理需求。
用户帐号
管理
用户帐号的整个生命周期管理,对用户帐号进行增加、修改、删除、注销(不可恢复)及锁定、解锁等操作。
用户帐号的整个生命周期管理,对用户帐号进行增加、修改、删除、注销(不可恢复)及锁定、解锁等操作。
用户帐号的新建和修改时,支持通过配置访问时间策略达到限制用户帐号只能在规定的时间段内进行资源访问。
用户帐号的新建和修改时,支持通过配置访问地址策略达到限制用户帐号只能在规定的地址段内进行资源访问。
用户帐号的新建和修改时,支持通过配置访问锁定策略,达到限制用户帐号密码输入错误次数和锁定时间。
用户帐号登录堡垒主机后,可以自助方式修改自身帐号信息,包括密码、手机、邮件等基础信息。
资源及资
源帐号管
理
能够添加、修改、删除被管资源。
满足
支持资源的分组管理,分组可以树形方式展现,不限制分组层级数量。
资源类型支持Windows主机、Unix主机、网络设备、数据库、web资源。
windows类资源的文件访问支持iis-ftp,共享文件夹等方式。
能够对资源上的帐号进行管理,可以添加、修改、删除资源上的资源帐号。资源和资源帐号有明确的对应关系。
能够自动收集各种资源上的帐号,包括主机,网络设备和数据库。
对于Windows主机资源,支持Windows域的管理,能够自动收集AD域控服务器上的域账号信息,能够对域账号进行管理,
可添加、修改、删除域账号;
资源帐号的新建和修改时,支持通过配置主机命令策略达到限制使用此资源帐号访问资源时,
只能使用某些指令或者禁用某些指令。
资源帐号的新建和修改时,支持通过配置访问时间策略达到限制使用此资源帐号访问资源时只能在规定的时间段内访问。
资源帐号的新建和修改时,支持通过配置访问地址策略达到限制使用此资源帐号访问资源时只能在规定的地址段内访问。
数据库资源,支持各种数据库客户端的登录,例如ORACLE支持PLSQL和EMC的登录。
支持密码变更计划,可以自动定期对各种资源的密码进行变更,变更方式根据密码策略中定义的要求进行,
变更后加密保存,并可定时导出在外接存储设备。
授权管理
可以将资源和资源的资源帐号授权给用户帐号。
支持将堡垒主机内部管理权限定义为角色,角色包含的权限可以自定义。自定义内容包括:分组管理权,
自然人管理权,资源管理权,授权管理权,角色定义管理权,计划管理权,审计管理权等等。
堡垒主机自身管理权限支持灵活的授权。可以建立组,并将组的管理权限下放给下级管理员,
下级管理员也可以在自己的管理组中建立子组,并下放子组的管理权。便于大型网络的权限管理和划分。
可以对键盘输入的审计做权限的细分,可以定义哪些审计员可以看键盘记录,哪些不能;可以定义是否可以看图像审计,
是否可以实时监控,是否可以看字符审计的内容,命令,录像等。
流程管理
支持资源帐号的双人共管的登录流程。
支持自然人入职申请流程。
支持自然人职位变更申请流程。
支持自然人离职申请流程。
支持资源接入申请流程。
支持资源授权申请流程。
满足
安全策略
将访问控制配置抽象成四个策略:主机命令策略、访问时间策略、客户端地址策略、访问锁定策略。
安全策略可灵活配置到用户账号、资源、从帐号等不同对象。如:用户帐号登录后,对本用户帐号授权的资源只能在即
符合用户帐号的访问时间策略、访问地址策略,也符合资源资源帐号的主机命令策略、访问时间策略、访问地址策略时
访问到资源。
主机命令策略可以配置成命令的黑名单,也可以配置成命令的白名单。应用黑名单策略不能使用黑名单中的命令;
应用白名单策略只能使用白名单中的命令。
访问时间策略可以配置成可访问时间段方式,也可以配置成不可访问时间段方式。配置时间段时可以配置日期和小时。
客户端地址策略可以配置成可访问IP段方式,也可以配置成不可访问IP段方式。IP段由IP和掩码构成。
支持FTP的命令控制策略,可对FTP/SFTP文件传输所涉及的上传、下载、重命名、删除等操作的限制
访问锁定策略可以配置访问失败次数锁定和锁定时间,超过阀值后直接锁定,锁定时间到期后自动解锁;
也可在锁定期内由管理员手动解锁。
访问锁定策略可以建立多条,每个用户帐号可以应用不同的访问锁定策略。
审计查看
与报表
对审计日志SYSLOG发送进行管理,可控制SYSLOG发送的目标。
支持各种功能键扩展后的命令(如 TAB键补全、长命令、拷贝、粘贴、行内编辑、上下箭头等操作)的准确控制。
对字符命令方式的访问可以审计到所有交互内容,可以还原操作过程的命令输入和结果输出,并且可以展现各命令
的执行时间和允许执行情况。
对图形方式的资源访问,可以以录像形式审计到操作过程。支持操作过程的录像回放。
操作过程的录像回放时,支持暂停,支持设置播放速度,支持进度来回拖拽,方便录像的查看。
远程桌面访问时,支持加载本地资源:本地剪切板,本地磁盘,本地打印机,本地声音等。支持Windows的各个版本。
图形资源的访问支持键盘输入记录,审计录像回放时,有窗口同步显示键盘操作记录。
图形资源审计录像回放时,支持从指定的键盘操作开始回放。
可以支持对任一活动的图形会话(rdp、http、https、xwin、vnc、客户端等)或字符会话(telnet、ssh等)操作的实时监控
管理员可以Web界面实时切断当前用户在设备上的高危操作
对FTP和SFTP的支持能够实现类似于WinSCP的操作效果,可以推拽,可以菜单操作。
审计结果支持按照如下关键字进行查询:用户帐号名称、资源名称、资源IP、资源帐号名称、起始时间、终止时间、
命令关键字。
审计结果中对命令搜索时,支持大小写开关。
用命令关键字进行审计结果查询时,可以同时输入多个命令,为多命令查询提供便利。
系统预设常用统计报表模板,可以按照预设统计报表模板,根据时间、用户帐号、资源帐号、客户端地址、资源IP地址、
协议命令关键字等条件形成统计报表,统计报表支持报表形式展现和打印。
单点登录
方便结合各种认证技术,做组合认证,提高访问的安全性。例如,支持静态口令、证书、智能卡、各种人体特征
(指纹、视网膜等)、动态令牌等等。
堡垒主机自带证书,可直接与用户账号进行绑定,实现系统自身的访问强认证。
用户帐号登录堡垒主机后,可以分组展现已经授权给自己的资源。
系统提供用户名密码代填、不代填、只代填密码等多种单点登录方式,用户可根据需要选择是否代填用户名和密码。
其他功能
支持网络设备3A指向,既将网络设备3A指向堡垒主机机,以提供raidus认证。
支持系统容灾,并配以相应应急计划,在系统故障期间,用户可以获取资产原始密码直接访问被管资产
支持集群部署模式,对于大规模资产高并发访问且运维不可中断性质的客户,支持三台或三台以上的集群部署模式,
确保运维访问能够均衡的由各个堡垒主机处理。
单台堡垒主机支持双网卡冗余,既堡垒主机机支持客户网络的网络冗余(以客户实际网络情况为准),规避网络单点风险。
对于SecureCRT工具,堡垒主机可以对呼起的SSH会话支持Session Clone,Send To All等功能,这些功能配合使用,
可以完美解决运维中批量操作的复杂需求
支持交换机enable用户角色自动切换操作。
支持LINUX/UNIX服务器SU -用户角色自动切换操作。
支持FTP或SFTP传输文件时对传输文件做病毒扫描
linux/unix类资源的文件访问支持ftp/sftp的访问方式,并且可以指定bin/ascii字符集。
支持NBU,Sun iLo,博科光纤交换机,VCenter-Client等
支持直接以字符方式登录堡垒主机,以适应部分非windows终端用户
管理方式为WEB方式。管理员和用户均通过WEB方式访问堡垒主机。
满足
满足
满足
满足
满足
满足
满足
满足
满足
满足
满足
满足
满足
满足
满足
满足
满足
满足
满足
满足
满足
满足
满足
满足
满足
满足
满足
满足
满足
满足
满足
满足
满足
满足
满足
满足
满足
满足
满足
满足
满足
满足
满足
满足
满足
满足
满足
满足
满足
满足
满足
满足
满足
满足
满足
满足
满足
满足
满足
满足
满足
满足
满足
满足
满足
满足
满足
满足
满足
满足
满足
其他功能
满足
满足
满足
满足
满足
满足
满足
要解决核心资源的访问安全问题,我们首先从管理模式上进行分析。管理模式是首要因素,管理是从一个很高的高度,综合考虑整体的情况,然后制定出相应的解决策略,最后落实到技术实现上。管理解决的是面的问题,技术解决的是点的问题,管理的模式决定了管理的高度。我们认为随着应用的发展,设备越来越多,维护人员也越来越多,我们必须由分散的管理模式逐步转变为集中的管理模式。
只有集中才能够实现统一管理,也只有集中才能把复杂问题简单化,集中管理是运维管理思想发展的必然趋势,也是唯一的选择。集中管理包括:集中的资源访问入口、集中帐号管理、集中授权管理、集中认证管理、集中审计管理等等。
为了对字符终端、图形终端操作行为进行审计和监控,身份及访问管理系统对各种字符终端和图形终端使用的协议进行代理,实现多平台的操作支持和审计,例如Telnet、SSH、FTP、Windows平台的RDP远程桌面协议,Linux/Unix平台的XWindow图形终端访问协议等。
当运维机通过身份及访问管理系统访问服务器时,首先由身份及访问管理系统模拟成远程访问的服务端,接受运维机的连接和通讯,并对其进行协议的还原、解析、记录,最终获得运维机的操作行为,之后身份及访问管理系统模拟运维机与真正的目标服务器建立通讯并转发运维机发送的指令信息,从而实现对各种维护协议的代理转发过程。在通讯过程中,身份及访问管理系统会记录各种指令信息,并根据策略对通信过程进行控制,如发现违规操作,则不进行代理转发,并由身份及访问管理系统反馈禁止执行的回显提示。
以前管理员依赖各IT系统上的系统帐号实线两部分功能:身份认证和系统授权,但是因为共享帐号、弱口令帐号等问题存在,这两方面实现都存在漏洞,达不到预期的效果。
解决的思路是将身份和授权分离。在身份及访问管理系统上建立主帐号体系,用于身份认证,原各IT系统上的系统帐号仅用于系统授权,这样可以有效增强身份认证和系统授权的可靠性,从本质上解决帐号管理混乱问题,为认证、授权、审计提供可靠的保障。
身份及访问管理系统采用系列先进技术,成功实现命令及图形的捕获与控制,为服务器的安全运行提供了强有力的系统工具。
身份及访问管理系统自动识别当前操作终端,对当前终端的输入输出进行控制,组合输入输出流,自动识别逻辑语义命令。系统会根据输入输出上下文,确定逻辑命令编辑过程,进而自动捕获出用户使用的逻辑命令。该项技术解决了逻辑命令自动捕获功能,在传统键盘捕获与控制领域取得新的突破,可以更加准确的控制用户意图。
该技术能自动识别命令状态和编辑状态以及私有工作状态,准确捕获逻辑命令。
身份及访问管理系统采用分布式处理架构进行处理,启用命令捕获引擎机制,通过策略服务器完成策略审计,通过日志服务器存储操作审计日志,并通过实时监视中心,实时察看用户在服务器上的行为。
这种分布式设计有利于策略的正确执行和操作记录日志的安全。同时,各组件之间采用安全连接进行通信,防止策略和日志被篡改。各组件可以独立工作,也可以分布于不同的服务器上,亦可将所有组件安装于一台服务器上。
身份及访问管理系统采用正则表达式匹配技术,将正则表达式组合入树型可遗传策略结构,实现控制命令的自动匹配与控制。树型可遗传策略适合现代企业事业架构,对于服务器的分层分级管理与控制提供了强大的工具。
为了对图形终端操作行为进行审计和监控,身份及访问管理系统对图形终端使用的协议进行代理,实现多平台的多种图形终端操作的审计,例如Windows平台的RDP方式图形终端操作,Linux/Unix平台的XWindow方式图形终端操作。
身份及访问管理系统主体采用多进程/线程技术实现,利用独特的通信和数据同步技术,准确控制程序行为。多进程/线程方式逻辑处理准确,事务处理不会发生干扰,这有利于保证系统的稳定性、健壮性。
身份及访问管理系统在处理用户数据时都采用相应的数据加密技术来保护用户通信的安全性和数据的完整性,防止恶意用户截获和篡改数据,充分保护用户在操作过程中不被恶意破坏。
自从<<萨班斯法案>>的推出,企业内控得到了严格的审查,企业
管理现状
目前,企业或机构的运维管理有以下三个特点:
关键的核心业务都部署于Unix和Windows服务器上。
应用的复杂度决定了多种角色交叉管理。
运行维护人员更多的依赖Telnet、SSH、FTP、RDP等进行远程管理。
基于这些现状,在管理中存在以下突出问题:
企业的支撑系统中有大量的网络设备、主机系统和应用系统,分别属于不同的部门和不同的业务系统。各应用系统都有一套独立的帐号体系,用户为了方便登陆,经常出现多人共用帐号的情况。
多人同时使用一个系统帐号在带来方便性的同时,导致用户身份唯一性无法确定。如果其中任何一个人离职或者将帐号告诉其他无关人员,会使这个帐号的安全无法保证。
由于共享帐号是多人共同使用,发生问题后,无法准确定位恶意操作或误操作的责任人。更改密码需要通知到每一个需要使用此帐号的人员,带来了密码管理的复杂化。
为了保证密码的安全性,安全管理员制定了严格的密码策略,比如密码要定期修改,密码要保证足够的长度和复杂度等,但是由于管理的机器数量和帐号数量太多,往往导致密码策略的实施流于形式。
各系统分别管理所属的系统资源,为本系统的用户分配权限,无法严格按照最小权限原则分配权限。另外,随着用户数量的增加,权限管理任务越来越重,当维护人员同时对多个系统进行维护时,工作复杂度会成倍增加,安全性无法得到充分保证。
目前的管理中,没有一个清晰的访问控制列表,无法一目了然的看到什么用户能够以何种身份访问哪些关键设备,同时缺少有效的技术手段来保证访问控制策略被有效执行。
各系统独立运行、维护和管理,所以各系统的审计也是相互独立的。每个网络设备,每个主机系统分别进行审计,安全事故发生后需要排查各系统的日志,但是往往日志找到了,也不能最终定位到行为人。
另外各系统的日志记录能力各不相同,例如对于Unix系统来说,日志记录就存在以下问题:
l Unix 系统中,用户在服务器上的操作有一个历史命令记录的文件,但是用户可以随意更改和删除自己的记录;
l root 用户不仅仅可以修改自己的历史记录,还可以修改他人的历史记录,系统本身的的历史记录文件已经变的不可信;
l 记录的命令数量有限制;
l 无法记录操作人员、操作时间、操作结果等。
对运维的管理现状进行分析,我们认为造成这种不安全现状的原因是多方面的,总结起来主要有以下几点。
1. 各IT系统独立的帐户管理体系造成身份管理的换乱,而身份的唯一性又恰恰是认证、授权、审计的依据和前提,因此身份的混乱实际上造成设备访问的混乱。
2. 各IT系统独立管理,风险分散在各系统中,各个击破困难大,这种管理方式造成业务管理和安全之间失衡。
3. 核心服务器或设备的物理安全和临机访问安全通过门禁系统和录像系统得以较好的解决,但是对他们的网络访问缺少控制或欠缺控制力度。
在帐号、密码、认证、授权、审计等各方面缺乏有效的集中管理技术手段。
堡垒主机功能列表
|
系统管理 |
管理方式为WEB方式。管理员和用户均通过WEB方式访问堡垒主机。 |
满足 |
|
|
提供认证服务器组件,所有对资源的访问都是认证服务器提供的临时会话号,即使会话号被截获,也无法通过此会话号再 访问资源,提高资源访问的安全性。操作员WEB登录堡垒主机访问授权资源时,看不到被管资源的帐号,看到的只有一次 性会话号。 |
满足 |
|
|
对常见的资源访问方式提供代填登录。例如SecureCRT、NetTerm、Telnet、mstsc、xshell、B\S应用、 C\S应用、主流数据库客户端等。 |
满足 |
|
|
支持B\S(web页面)和C\S(远程工具)两种远程运维方式,方便操作人员根据自身使用习惯选择访问方式; |
满足 |
|
|
支持Telnet、SSH、FTP、SFTP、RDP、VNC等协议。 |
满足 |
|
|
提供4A方案的便捷支持。提供4A管理平台的认证接口。堡垒主机根据4A管理平台的访问控制要求提供资源访问。 堡垒主机将审计结果吐出到4A平台。 |
满足 |
|
|
可以使用WEB方式对堡垒主机网卡信息进行管理。 |
满足 |
|
|
可以查看堡垒主机当前的设备状态,包括cpu,内存,磁盘使用,系统服务等。 |
满足 |
|
|
可以使用WEB方式对堡垒主机进行重启和关机。 |
满足 |
|
|
支持建立组织机构树,组织机构树可以灵活的按照用户和资源构建,支持多级分层结构,树节点可以内含用户和资源。 |
满足 |
|
|
支持在堡垒主机管理平台添加多台可管理堡垒主机,从而支持集群部署,满足用户网络庞大情况的堡垒主机管理需求。 |
满足 |
|
|
|
|
|
用户帐号 管理 |
用户帐号的整个生命周期管理,对用户帐号进行增加、修改、删除、注销(不可恢复)及锁定、解锁等操作。 |
满足 |
|
|
用户帐号的整个生命周期管理,对用户帐号进行增加、修改、删除、注销(不可恢复)及锁定、解锁等操作。 |
满足 |
|
|
用户帐号的新建和修改时,支持通过配置访问时间策略达到限制用户帐号只能在规定的时间段内进行资源访问。 |
满足 |
|
|
用户帐号的新建和修改时,支持通过配置访问地址策略达到限制用户帐号只能在规定的地址段内进行资源访问。 |
满足 |
|
|
用户帐号的新建和修改时,支持通过配置访问锁定策略,达到限制用户帐号密码输入错误次数和锁定时间。 |
满足 |
|
|
用户帐号登录堡垒主机后,可以自助方式修改自身帐号信息,包括密码、手机、邮件等基础信息。 |
满足 |
|
|
|
|
|
资源及资 源帐号管 理 |
能够添加、修改、删除被管资源。 |
满足 |
|
|
支持资源的分组管理,分组可以树形方式展现,不限制分组层级数量。 |
满足 |
|
|
资源类型支持Windows主机、Unix主机、网络设备、数据库、web资源。 |
满足 |
|
|
windows类资源的文件访问支持iis-ftp,共享文件夹等方式。 |
满足 |
|
|
能够对资源上的帐号进行管理,可以添加、修改、删除资源上的资源帐号。资源和资源帐号有明确的对应关系。 |
满足 |
|
|
能够自动收集各种资源上的帐号,包括主机,网络设备和数据库。 |
满足 |
|
|
对于Windows主机资源,支持Windows域的管理,能够自动收集AD域控服务器上的域账号信息,能够对域账号进行管理, 可添加、修改、删除域账号; |
满足 |
|
|
资源帐号的新建和修改时,支持通过配置主机命令策略达到限制使用此资源帐号访问资源时, 只能使用某些指令或者禁用某些指令。 |
满足 |
|
|
资源帐号的新建和修改时,支持通过配置访问时间策略达到限制使用此资源帐号访问资源时只能在规定的时间段内访问。 |
满足 |
|
|
资源帐号的新建和修改时,支持通过配置访问地址策略达到限制使用此资源帐号访问资源时只能在规定的地址段内访问。 |
满足 |
|
|
数据库资源,支持各种数据库客户端的登录,例如ORACLE支持PLSQL和EMC的登录。 段内访问。 |
满足 |
|
|
支持密码变更计划,可以自动定期对各种资源的密码进行变更,变更方式根据密码策略中定义的要求进行, 变更后加密保存,并可定时导出在外接存储设备。 |
满足 |
|
|
|
|
|
授权管理 |
可以将资源和资源的资源帐号授权给用户帐号。 |
满足 |
|
|
支持将堡垒主机内部管理权限定义为角色,角色包含的权限可以自定义。自定义内容包括:分组管理权, 自然人管理权,资源管理权,授权管理权,角色定义管理权,计划管理权,审计管理权等等。 |
满足 |
|
|
堡垒主机自身管理权限支持灵活的授权。可以建立组,并将组的管理权限下放给下级管理员, 下级管理员也可以在自己的管理组中建立子组,并下放子组的管理权。便于大型网络的权限管理和划分。 |
满足 |
|
|
可以对键盘输入的审计做权限的细分,可以定义哪些审计员可以看键盘记录,哪些不能;可以定义是否可以看图像审计, 是否可以实时监控,是否可以看字符审计的内容,命令,录像等。 |
满足 |
|
|
|
|
|
流程管理 |
支持资源帐号的双人共管的登录流程。 |
满足 |
|
|
支持自然人入职申请流程。 |
满足 |
|
|
支持自然人职位变更申请流程。 |
满足 |
|
|
支持自然人离职申请流程。 |
满足 |
|
|
支持资源接入申请流程。 |
满足 |
|
|
支持资源授权申请流程。 |
满足 |
|
|
|
满足 |
|
安全策略 |
将访问控制配置抽象成四个策略:主机命令策略、访问时间策略、客户端地址策略、访问锁定策略。 |
满足 |
|
|
安全策略可灵活配置到用户账号、资源、从帐号等不同对象。如:用户帐号登录后,对本用户帐号授权的资源只能在即 符合用户帐号的访问时间策略、访问地址策略,也符合资源资源帐号的主机命令策略、访问时间策略、访问地址策略时 访问到资源。 |
满足 |
|
|
主机命令策略可以配置成命令的黑名单,也可以配置成命令的白名单。应用黑名单策略不能使用黑名单中的命令; 应用白名单策略只能使用白名单中的命令。 |
满足 |
|
|
访问时间策略可以配置成可访问时间段方式,也可以配置成不可访问时间段方式。配置时间段时可以配置日期和小时。 |
满足 |
|
|
客户端地址策略可以配置成可访问IP段方式,也可以配置成不可访问IP段方式。IP段由IP和掩码构成。 |
满足 |
|
|
支持FTP的命令控制策略,可对FTP/SFTP文件传输所涉及的上传、下载、重命名、删除等操作的限制 |
满足 |
|
|
访问锁定策略可以配置访问失败次数锁定和锁定时间,超过阀值后直接锁定,锁定时间到期后自动解锁; 也可在锁定期内由管理员手动解锁。 |
满足 |
|
|
访问锁定策略可以建立多条,每个用户帐号可以应用不同的访问锁定策略。 |
满足 |
|
|
|
满足 |
|
审计查看 与报表 |
对审计日志SYSLOG发送进行管理,可控制SYSLOG发送的目标。 |
满足 |
|
|
支持各种功能键扩展后的命令(如 TAB键补全、长命令、拷贝、粘贴、行内编辑、上下箭头等操作)的准确控制。 |
满足 |
|
|
对字符命令方式的访问可以审计到所有交互内容,可以还原操作过程的命令输入和结果输出,并且可以展现各命令 的执行时间和允许执行情况。 |
满足 |
|
|
对图形方式的资源访问,可以以录像形式审计到操作过程。支持操作过程的录像回放。 |
满足 |
|
|
操作过程的录像回放时,支持暂停,支持设置播放速度,支持进度来回拖拽,方便录像的查看。 |
满足 |
|
|
远程桌面访问时,支持加载本地资源:本地剪切板,本地磁盘,本地打印机,本地声音等。支持Windows的各个版本。 |
满足 |
|
|
图形资源的访问支持键盘输入记录,审计录像回放时,有窗口同步显示键盘操作记录。 |
满足 |
|
|
图形资源审计录像回放时,支持从指定的键盘操作开始回放。 |
满足 |
|
|
可以支持对任一活动的图形会话(rdp、http、https、xwin、vnc、客户端等)或字符会话(telnet、ssh等)操作的实时监控 |
满足 |
|
|
管理员可以Web界面实时切断当前用户在设备上的高危操作 |
满足 |
|
|
对FTP和SFTP的支持能够实现类似于WinSCP的操作效果,可以推拽,可以菜单操作。 |
满足 |
|
|
审计结果支持按照如下关键字进行查询:用户帐号名称、资源名称、资源IP、资源帐号名称、起始时间、终止时间、 命令关键字。 |
满足 |
|
|
审计结果中对命令搜索时,支持大小写开关。 |
满足 |
|
|
用命令关键字进行审计结果查询时,可以同时输入多个命令,为多命令查询提供便利。 |
满足 |
|
|
系统预设常用统计报表模板,可以按照预设统计报表模板,根据时间、用户帐号、资源帐号、客户端地址、资源IP地址、 协议命令关键字等条件形成统计报表,统计报表支持报表形式展现和打印。 |
满足 |
|
|
|
满足 |
|
单点登录 |
方便结合各种认证技术,做组合认证,提高访问的安全性。例如,支持静态口令、证书、智能卡、各种人体特征 (指纹、视网膜等)、动态令牌等等。 |
满足 |
|
|
堡垒主机自带证书,可直接与用户账号进行绑定,实现系统自身的访问强认证。 |
满足 |
|
|
用户帐号登录堡垒主机后,可以分组展现已经授权给自己的资源。 |
满足 |
|
|
系统提供用户名密码代填、不代填、只代填密码等多种单点登录方式,用户可根据需要选择是否代填用户名和密码。 |
满足 |
|
|
|
满足 |
|
其他功能 |
支持网络设备3A指向,既将网络设备3A指向堡垒主机机,以提供raidus认证。 |
满足 |
|
|
支持系统容灾,并配以相应应急计划,在系统故障期间,用户可以获取资产原始密码直接访问被管资产 |
满足 |
|
|
支持集群部署模式,对于大规模资产高并发访问且运维不可中断性质的客户,支持三台或三台以上的集群部署模式, 确保运维访问能够均衡的由各个堡垒主机处理。 |
满足 |
|
|
单台堡垒主机支持双网卡冗余,既堡垒主机机支持客户网络的网络冗余(以客户实际网络情况为准),规避网络单点风险。 |
满足 |
|
其他功能 |
对于SecureCRT工具,堡垒主机可以对呼起的SSH会话支持Session Clone,Send To All等功能,这些功能配合使用, 可以完美解决运维中批量操作的复杂需求 |
满足 |
|
|
支持交换机enable用户角色自动切换操作。 |
满足 |
|
|
支持LINUX/UNIX服务器SU -用户角色自动切换操作。 |
满足 |
|
|
支持FTP或SFTP传输文件时对传输文件做病毒扫描 |
满足 |
|
|
linux/unix类资源的文件访问支持ftp/sftp的访问方式,并且可以指定bin/ascii字符集。 |
满足 |
|
|
支持NBU,Sun iLo,博科光纤交换机,VCenter-Client等 |
满足 |
|
|
支持直接以字符方式登录堡垒主机,以适应部分非windows终端用户 |
满足 |
要解决核心资源的访问安全问题,我们首先从管理模式上进行分析。管理模式是首要因素,管理是从一个很高的高度,综合考虑整体的情况,然后制定出相应的解决策略,最后落实到技术实现上。管理解决的是面的问题,技术解决的是点的问题,管理的模式决定了管理的高度。我们认为随着应用的发展,设备越来越多,维护人员也越来越多,我们必须由分散的管理模式逐步转变为集中的管理模式。
只有集中才能够实现统一管理,也只有集中才能把复杂问题简单化,集中管理是运维管理思想发展的必然趋势,也是唯一的选择。集中管理包括:集中的资源访问入口、集中帐号管理、集中授权管理、集中认证管理、集中审计管理等等。
为了对字符终端、图形终端操作行为进行审计和监控,身份及访问管理系统对各种字符终端和图形终端使用的协议进行代理,实现多平台的操作支持和审计,例如Telnet、SSH、FTP、Windows平台的RDP远程桌面协议,Linux/Unix平台的XWindow图形终端访问协议等。
当运维机通过身份及访问管理系统访问服务器时,首先由身份及访问管理系统模拟成远程访问的服务端,接受运维机的连接和通讯,并对其进行协议的还原、解析、记录,最终获得运维机的操作行为,之后身份及访问管理系统模拟运维机与真正的目标服务器建立通讯并转发运维机发送的指令信息,从而实现对各种维护协议的代理转发过程。在通讯过程中,身份及访问管理系统会记录各种指令信息,并根据策略对通信过程进行控制,如发现违规操作,则不进行代理转发,并由身份及访问管理系统反馈禁止执行的回显提示。
以前管理员依赖各IT系统上的系统帐号实线两部分功能:身份认证和系统授权,但是因为共享帐号、弱口令帐号等问题存在,这两方面实现都存在漏洞,达不到预期的效果。
解决的思路是将身份和授权分离。在身份及访问管理系统上建立主帐号体系,用于身份认证,原各IT系统上的系统帐号仅用于系统授权,这样可以有效增强身份认证和系统授权的可靠性,从本质上解决帐号管理混乱问题,为认证、授权、审计提供可靠的保障。
身份及访问管理系统采用系列先进技术,成功实现命令及图形的捕获与控制,为服务器的安全运行提供了强有力的系统工具。
身份及访问管理系统自动识别当前操作终端,对当前终端的输入输出进行控制,组合输入输出流,自动识别逻辑语义命令。系统会根据输入输出上下文,确定逻辑命令编辑过程,进而自动捕获出用户使用的逻辑命令。该项技术解决了逻辑命令自动捕获功能,在传统键盘捕获与控制领域取得新的突破,可以更加准确的控制用户意图。
该技术能自动识别命令状态和编辑状态以及私有工作状态,准确捕获逻辑命令。
身份及访问管理系统采用分布式处理架构进行处理,启用命令捕获引擎机制,通过策略服务器完成策略审计,通过日志服务器存储操作审计日志,并通过实时监视中心,实时察看用户在服务器上的行为。
这种分布式设计有利于策略的正确执行和操作记录日志的安全。同时,各组件之间采用安全连接进行通信,防止策略和日志被篡改。各组件可以独立工作,也可以分布于不同的服务器上,亦可将所有组件安装于一台服务器上。
身份及访问管理系统采用正则表达式匹配技术,将正则表达式组合入树型可遗传策略结构,实现控制命令的自动匹配与控制。树型可遗传策略适合现代企业事业架构,对于服务器的分层分级管理与控制提供了强大的工具。
为了对图形终端操作行为进行审计和监控,身份及访问管理系统对图形终端使用的协议进行代理,实现多平台的多种图形终端操作的审计,例如Windows平台的RDP方式图形终端操作,Linux/Unix平台的XWindow方式图形终端操作。
身份及访问管理系统主体采用多进程/线程技术实现,利用独特的通信和数据同步技术,准确控制程序行为。多进程/线程方式逻辑处理准确,事务处理不会发生干扰,这有利于保证系统的稳定性、健壮性。
身份及访问管理系统在处理用户数据时都采用相应的数据加密技术来保护用户通信的安全性和数据的完整性,防止恶意用户截获和篡改数据,充分保护用户在操作过程中不被恶意破坏。
自从<<萨班斯法案>>的推出,企业内控得到了严格的审查,企业的内部审计显得非常重要。
身份及访问管理系统能够为企业内部网络提供完全的审计信息,这些审计信息能够为企业追踪用户行为,判定用户行为等,能够还原出用户的操作行为。
传统审计关联到IP,这本身是一个不确定的和不负责任的审计结果,因为IP信息不能够真实反应出真实的操作者是谁,从而企业内部网络出现问题不能追踪到操作者。身份及访问管理系统能够对这些用户行为进行关联审计,就是说真正能够把每一次审计出的用户操作行为绑定到自然人身上,便于企业内部网络管理追踪到个人。
操作还原技术是指将用户在系统中的操作行为在真实的环境中模拟显现出来,审计管理员可以根据操作还原技术还原出真实的操作,以判定问题出在哪里。
身份及访问管理系统采用操作还原技术能够将用户的操作流程自动地展现出来,能够监控用户的每一次行为,判定用户的行为是否对企业内部网络安全造成危害。
身份及访问管理系统产品从4A解决方案中抽象出来,提供最便捷的4A项目集成方案。在程序结构上充分考虑到4A项目和非4A项目的使用场景,以先进的体系结构,清晰合理的模块划分实现多种用户场景的适用性。在4A项目中,身份及访问管理系统放弃帐号、认证、授权的集中管理,只提供执行单元,完成访问控制和操作审计功能;在非4A项目中将4A的一些理念融合到身份及访问管理系统产品中,除提供基础的访问控制和操作审计功能外,还提供精简的帐号、认证、授权集中管理功能。
l 精确记录用户操作时间。
l 审计结果支持多种展现方式,让操作得以完整还原。
l 审计结果可以录像回放,支持调节播放速度,并且回放过程中支持前后拖拽,方便快速定位问题操作。
l 方便的审计查询功能,能够一次查询多条指令。
l 不需要在被管理设备上安装代理程序。
l 不需要改变网络的物理拓扑结构。
l 不影响被管理设备的运行。
l 管理员和操作员都使用WEB方式操作,操作简单。
身份及访问管理系统系统的开发研制中,我们尽量采用成熟的先进技术,对系统的关键技术在前期的工作中进行了大量实验和攻关及原型建立,在已开发并经广泛测试的产品中,上述的关键技术问题已解决。而且,身份及访问管理系统系统所选取的硬件平台和软件平台,是具有良好的技术支持和发展前途的成熟产品。
系统运用了先进的加密、过滤、备份、数字签名与身份认证、权限管理等安全手段,建立健全的系统安全机制,保证了用户的合法性和数据不被非法盗取,从而保证产品的安全性。
身份及访问管理系统部署逻辑图:
身份及访问管理系统部署物理图:
如图,身份及访问管理系统部署在被管理服务器的访问路径上,通过防火墙或者交换机的访问控制策略限定只能由身份及访问管理系统直接访问服务器的远程维护端口。
维护人员维护被管理服务器或者网络设备时,首先以WEB方式登录身份及访问管理系统,然后通过身份及访问管理系统上展现的访问资源列表直接访问授权资源。
l 实现对用户帐号的统一管理和维护
在实现集中帐号管理前,每一个新上线应用系统均需要建立一套新的用户帐号管理系统,并且分别由各自的管理员负责维护和管理。这种相对独立的帐号管理系统不仅建设前期投入成本较高,而且后期管理维护成本也会成倍增加。而通过身份及访问管理系统的集中帐号管理,可实现对IT系统所需的帐号基础信息(包括用户身份信息、机构部门信息、其他公司相关信息,以及生命周期信息等)进行标准化的管理,能够为各IT系统提供基础的用户信息源。通过统一用户信息维护入口,保证各系统的用户帐号信息的唯一性和同步更新。
l 解决用户帐号共享问题
主机、数据库、网络设备中存在大量的共享帐号,当发生安全事故时,难于确定帐号的实际使用者,通过部署身份及访问管理系统系统,可以解决共享帐号问题。
l 解决帐号锁定问题
用户登录失败五次,应对帐号进行锁定。网络设备、主机、应用系统等大都不支持帐号锁定功能。通过部署极身份及访问管理系统系统,可以实现用户帐号锁定、一键删除等功能。
l 提供集中身份认证服务
实现用户访问IT系统的认证入口集中化和统一化,并实现高强度的认证方式,使整个IT系统的登录和认证行为可控制及可管理,从而提升业务连续性和系统安全性。
l 实现用户密码管理,满足SOX法案内控管理的要求
多数企业对主机、网络设备、数据库的访问都是基于“用户名+静态密码”访问,密码长期不更换,密码重复尝试的次数也没有限制,这些都不能满足SOX法案内控管理的需求。仅通过制度要求用户在密码更换、密码设定等方面满足SOX相关要求,无法在具体执行过程中对用户进行有效监督和检查。身份及访问管理系统系统通过建设集中的认证系统,并结合集中帐号管理的相关功能,实现用户密码管理,密码自动变更,提高系统认证的安全性。
l 实现对用户的统一接入访问控制功能
部署身份及访问管理系统前,维护人员接入IT系统进行维护操作具有接入方式多样、接入点分散的特点。而维护人员中很多是代维人员,这些代维人员来自于各集成商或设备供应商,人员参差不齐,流动性大。由于维护人员对系统拥有过大权限,缺乏对其进行访问控制和行为审计的手段,存在极大的安全隐患。身份及访问管理系统系统统一维护人员访问系统和设备的入口,提供访问控制功能,有效的解决运维人员的操作问题,降低相关IT系统的安全风险。
l 实现统一的授权管理
各应用系统分别管理所属的资源,并为本系统的用户分配权限,若没有集中统一的资源授权管理平台,授权管理任务随着用户数量及应用系统数量的增加越来越重,系统的安全性也无法得到充分保证。身份及访问管理系统系统实现统一的授权管理,对所有被管应用系统的授权信息进行标准化的管理,减轻管理员的管理工作,提升系统安全性。
l 授权流程化管理
通过身份及访问管理系统系统,管理层可容易地对用户权限进行审查,并确保用户的权限中不能有不兼容职责,用户只能拥有与身份相符的权限,授权也有相应的工作流审批。
l 单点登录
身份及访问管理系统提供了基于B/S的单点登录系统,用户通过一次登录系统后,就可以无需认证的访问包括被授权的多种基于B/S和C/S的应用系统。单点登录为具有多帐号的用户提供了方便快捷的访问途经,使用户无需记忆多种登录用户ID和口令。它通过向用户和客户提供对其个性化资源的快捷访问来提高生产效率。同时,单点登录可以实现与用户授权管理的无缝连接,这样可以通过对用户、角色、行为和资源的授权,增加对资源的保护,和对用户行为的监控及审计。
l 规范操作流程
规范操作人员和第三方代维厂商的操作行为。通过身份及访问管理系统系统的部署,所有系统管理人员,第三方系统维护人员,都必须通过身份及访问管理系统系统来实施网络管理和服务器维护。对所有操作行为做到可控制、可审计、可追踪。审计人员定期对维护人员的操作进行审计,以提高维护人员的操作规范性。
身份及访问管理系统系统规范了运维操作的工作流程,将管理员从繁琐的密码管理工作中解放出来,投入到其他工作上,对第三方代维厂商的维护操作也不再需要专门陪同,从而有效提高了运维管理效率。
l 实现集中的日志审计功能
各应用系统相互独立的日志审计,无法进行综合日志分析,很难通过日志审计发现异常或违规行为。身份及访问管理系统系统提供集中的日志审计,能关联用户的操作行为,对非法登录和非法操作快速发现、分析、定位和响应,为安全审计和追踪提供依据。
l 辅助审查
通过集中的日志审计,可以收集用户访问网络设备、主机、数据库的操作日志记录,并对日志记录需要定期进行审查,满足内部控制规范中关于日志审计的需求,真正实现关联到自然人的日志审计。
企业内部网络安全存在诸多的问题,每种问题都不可小视,对于这些问题,企业内部应该规范管理,应该使用更为先进的IT技术手段、技术工具来帮助管理员进行规范化管理,这样才能够保证企业内部网络的安全性。身份及访问管理系统使得企业内部网络的管理合理化、安全化、专业化和规范化,充分保障企业网络资源和信息资源的安全。
咨询电话:400-008-3771
总部电话:010-57030611
客服邮箱:service@sagetech.com.cn