1• 现状与需求• 原理与功能• 典型部署• 成功案例3操作人员++系统与设备++传统运维工作三楼楼长系统账号系统管理员数据库管理员安全管理员厂商代维人员系统账号4关键问题关键问题共享帐号访问控制权限控制操作审计5关键问题 - 共享账号帐号不具有唯一性密码难以管理责任难以认定节约了帐号管理成本降低了本地溢出的风险共享账号6关键问题 - 访问控制usernamepasswordusernamepassword7关键问题 - 权限控制IP 层的访问控制措施rootpasswordrm -rf xx
xxtelnet xx
xxdelete from xx……8关键问题 - 操作审计时间 1源 IP1源 MAC1系统账号 1commands时间 2源 IP2源 MAC2系统账号 2commands时间 3源 IP3源 MAC3系统账号 3commands用户账单被修改1
无法分析跳转行为;2
无法实现操作日志与用户身份的关联;9需求描述 -1• 集中管理– 集中管理用户、设备、系统账号;– 集中管理用户、系统账号的密码;– 所有用户集中登录、集中认证;– 集中配置账号密码策略、访问控制策略;– 集中管理所有用户操作记录;• 访问控制– 根据用户角色设置分组访问控制策略;– 实现“用户-系统-系统账号”的对应关系;– 实现实体级的访问控制授权;10需求描述 -2• 权限控制– 可设置以命令为基础的权限控制策略;– 实现命令级别的实体内授权;• 操作审计– 以用户身份为依据,真实完整的记录每个用户的所有操作行为;– 精确到命令的审计机制;– 对用户的操作进行仿真回放;– 记录加密维护协议 SSH 数据
• 现状与需求• 原理与功能• 典型部署• 成功案例12设计原理 - 安全小区模型草坪垃圾筒垃圾筒花园住户namename园丁namewhowhere/what收垃圾锄草工住
