运维安全管理系统堡垒机Part2应用背景你是谁?要找谁?验证人员身份,控制访问权限堡垒机是做什么的做了什么?监控记录操作行为网络中的安保与监控LANApplicationServerDatabaseServerMainframeWebServerFTPServerMailServerDMZInternalUserInternalUserInternalUserWEBFirewallVPNGatewayRemoteUser为什么需要堡垒机现有管理手段与不足✗无法实现命令级别的访问控制,缺乏操作审计记录✗无法验证人员身份,缺乏操作审计记录✗无法识别SSH、RDP等加密或图形协议操作内容,缺乏访问授权功能✗无法捕捉用户完整访问过程,只有系统自身的日志信息IT管理现状系统账号共用admin、root加密协议无法审计SSH、RDP访问操作难控制rm–rf、delete用户身份无法鉴别访问操作无法控制误操作高危操作无预防直接接触核心业务核心数据易泄露操作行为无法审计事故责任相互推卸运维事故无法还原存在隐患满足政策法规时间法规相关行业2001《计算机信息系统安全保护等级划分准则》政府行业2002《商业银行内部控制指引》金融行业2002-2004《2002Sarbanes-OxleyAct(Bilingual)》《PCAOBAuditingStandardNo.2》美国上市的企业(涉及多个行业)2004-2005《中国移动集团内控手册》《中国移动业务支撑网安全域划分和边界整合技术规范》《中国电信股份有限公司内部控制手册》《中国网通集团信息质量问责管理若干规定》《中国网通集团内部控制体系建设指导意见》电信行业2006《银行业金融机构信息系统风险管理指引》《商业银行合规风险管理指引》《中国银行业监督委员会办公厅文件银监办通313号》《保险公司内部审计指引(试行)》《保险公司风险管理指引(试行)》金融行业2006《深圳证券交易所上市公司内部控制指引》《上海证券交易所上市公司内部控制指引》中国上市的企业(涉及多个行业)Part3产品介绍堡垒机能做什么身份认证账号管理访问控制单点登录审计记录对用户登陆运维进行身份认证,鉴别人员身份,实现责任定人。实现对服务器、网络设备、数据库及其帐号的统一集中安全管理。基于最小权限划分原则,实现集中访问控制和细粒度命令级控制。实现密码自动代填,运维用户无需知晓服务器账号密码,登录一次即可访问所有授权服务器。审计实名制,对用户从登录到退出的全程操作行为的监控和事后审计。产品功能产品设计思路统一运维访问通道运维用户不再直接访问服务器,先访问堡垒机再进行跳转。统一人员身份认证为用户创建独立的运维账号,人员账号一一对应,有效辨别人员身份。统一资产管理将网络中所有服务器资源账号信息统一安全管理,无需再对用户提供账号信息。统一访问授权用户只能访问他有权访问管理的服务器与资源。部署方式采用物理旁路,逻辑串联的部署方式,不必更改现有的网络拓扑结构支持类型SSHTELNETRLOGINTN5250(AS400)RDPVNCX11FTPSFTPHTTPHTTPSOraclemysqlsqlserverDB2SybaseVMwarePcanywhereRadmin字符协议图形协议文件传输Web应用数据库应用发布支持协议Part4功能介绍访问授权管理异常事件处理会话审批功能统一身份认证历史事件查询实时监控功能会话过程回放综合审计报表资源账号管理事前规划事中控制事后审计功能概述完善人员管理认证体系管理员身份三权分立,各施其职部门权限分级管理指定第三方运维人员使用期限,帐号到期自动锁定支持静态口令、Radius、Ldap、AD域等多种认证加强支持双因素认证,加强认证手段支持运维用户批量管理用户体系统一人员身份认证配置管理员系统管理员密码管理员系统审计员审计管理员运维用户统一资产管理资产账号统一管理支持资产账号信息托管,实现SSO单点登录,无需再向用户提供账号密码资产分组管理资产支持批量导入及分组管理,可根据主机组进行授权主机账号自动改密支持资产账号密码自动改密,解决账号信息管理难题,减轻运维管理工作量细粒度的权限管理独有的“账号-协议”绑定方式,授权更为精细谁?什么时间?从哪里?访问谁?做什么?可根据每个运维账号单独进行授权,用户只能访问已授权的主机可限制访问时间,只允许用户在特定时间内访问可根据IP地址进行限制,只允许指定的IP段进行访问限定访问对象,只允许用户访问他有权访...