1• 现状与需求• 原理与功能• 典型部署• 成功案例3操作人员++系统与设备++传统运维工作三楼楼长系统账号系统管理员数据库管理员安全管理员厂商代维人员系统账号4关键问题关键问题共享帐号访问控制权限控制操作审计5关键问题 - 共享账号帐号不具有唯一性密码难以管理责任难以认定节约了帐号管理成本降低了本地溢出的风险共享账号6关键问题 - 访问控制usernamepasswordusernamepassword7关键问题 - 权限控制IP 层的访问控制措施rootpasswordrm -rf xx.xxtelnet xx.xx.xxdelete from xx……8关键问题 - 操作审计时间 1源 IP1源 MAC1系统账号 1commands时间 2源 IP2源 MAC2系统账号 2commands时间 3源 IP3源 MAC3系统账号 3commands用户账单被修改1. 无法分析跳转行为;2. 无法实现操作日志与用户身份的关联;9需求描述 -1• 集中管理– 集中管理用户、设备、系统账号;– 集中管理用户、系统账号的密码;– 所有用户集中登录、集中认证;– 集中配置账号密码策略、访问控制策略;– 集中管理所有用户操作记录;• 访问控制– 根据用户角色设置分组访问控制策略;– 实现“用户-系统-系统账号”的对应关系;– 实现实体级的访问控制授权;10需求描述 -2• 权限控制– 可设置以命令为基础的权限控制策略;– 实现命令级别的实体内授权;• 操作审计– 以用户身份为依据,真实完整的记录每个用户的所有操作行为;– 精确到命令的审计机制;– 对用户的操作进行仿真回放;– 记录加密维护协议 SSH 数据。• 现状与需求• 原理与功能• 典型部署• 成功案例12设计原理 - 安全小区模型草坪垃圾筒垃圾筒花园住户namename园丁namewhowhere/what收垃圾锄草工住户住户name13各种资源操作管理 - 核心要素与内容各种角色的人各种操作命令集中管理访问控制权限控制审计14天玥 IV 型的主要功能按职能定义策略用户与资源对应执行访问控制策略选择用户或分组按权限定义命令选择响应方式按部门分配资源集中管理各种资源集中管理账号口令按条件进行检索按条件生成报表按条件进行回放集中管理权限控制访问控制操作审计操作管理15天玥 IV 工作原理天玥 IV认证,身份识别Web 登录SSH 客户端登录参数配置口令修改自服务界面会话浏览会话回放日志查询报表展现审计界面全局策略密码策略用户管理设备管理账号管理部门管理授权管理权限控制配置界面SSH/telnet 设备Shell Portal根据分组授权显...
