LanSecS內(nèi)控管理平臺產(chǎn)品交流

1、精細(xì)訪控精細(xì)訪控 事件追蹤事件追蹤 LanSecSLanSecS（堡壘主機）內(nèi)控管理平臺（堡壘主機）內(nèi)控管理平臺 技術(shù)交流技術(shù)交流技術(shù)顧問技術(shù)顧問 2010年年8月月交流提綱交流提綱54堡壘主機解決方案堡壘主機解決方案3現(xiàn)有解決方案現(xiàn)有解決方案2問題分析問題分析1IT運維現(xiàn)狀運維現(xiàn)狀堡壘主機產(chǎn)品介紹堡壘主機產(chǎn)品介紹6為何選擇為何選擇LanSecSIT資產(chǎn)資產(chǎn)IT運維角度運維角度主機系統(tǒng)主機系統(tǒng)數(shù)據(jù)庫系統(tǒng)數(shù)據(jù)庫系統(tǒng)網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)設(shè)備安全設(shè)備安全設(shè)備專用系統(tǒng)專用系統(tǒng)應(yīng)用角度應(yīng)用角度OAOA系統(tǒng)系統(tǒng)財務(wù)系統(tǒng)財務(wù)系統(tǒng)人力系統(tǒng)人力系統(tǒng)業(yè)務(wù)應(yīng)用系統(tǒng)業(yè)務(wù)應(yīng)用系統(tǒng)客戶服務(wù)系統(tǒng)客戶服務(wù)系統(tǒng)資產(chǎn)用戶資產(chǎn)用戶資產(chǎn)的管

2、理者資產(chǎn)的管理者內(nèi)部維護人員內(nèi)部維護人員常駐維護人員常駐維護人員臨時維護人員臨時維護人員資產(chǎn)的使用者資產(chǎn)的使用者行政人員行政人員財務(wù)人員財務(wù)人員業(yè)務(wù)人員業(yè)務(wù)人員管理人員管理人員外部用戶外部用戶訪問方式訪問方式IT運維現(xiàn)狀運維現(xiàn)狀管理工作管理工作ABDC管理問題管理問題帳號管理帳號管理空閑帳號弱口令帳號僵尸帳號共享帳號相同帳號設(shè)備及服務(wù)器群管理問題管理問題認(rèn)證管理認(rèn)證管理管理問題管理問題授權(quán)管理授權(quán)管理管理問題管理問題審計一審計一管理問題管理問題審計二審計二關(guān)鍵業(yè)務(wù)系統(tǒng)數(shù)據(jù)被修改關(guān)鍵業(yè)務(wù)系統(tǒng)數(shù)據(jù)被修改了，系統(tǒng)記錄是了，系統(tǒng)記錄是admin改改的，到底是誰用這個帳號的，到底是誰用這個帳號改的？改的

3、？這么多系統(tǒng)，查看命令這這么多系統(tǒng)，查看命令這么復(fù)雜，我怎么去使用這么復(fù)雜，我怎么去使用這些命令去查看？些命令去查看？業(yè)務(wù)數(shù)據(jù)被修改，從日業(yè)務(wù)數(shù)據(jù)被修改，從日志中查，一天的日志量志中查，一天的日志量有幾百萬，我該從什么有幾百萬，我該從什么地方開始看，他到底在地方開始看，他到底在什么時間修改業(yè)務(wù)數(shù)據(jù)什么時間修改業(yè)務(wù)數(shù)據(jù)的？的？每個系統(tǒng)的日志都這么多，每個系統(tǒng)的日志都這么多，不知道他們之間有什么關(guān)不知道他們之間有什么關(guān)系？系？n當(dāng)出現(xiàn)事故或安全問題時，無法對事故責(zé)任進行追蹤定責(zé)。n無法對維護人員的作業(yè)行為進行監(jiān)控。n多人共用系統(tǒng)帳號，進行維護作業(yè)n由于維護人員維護多個系統(tǒng)資源，常常為了方便將口令信

4、息存放于文件之中n維護人員通常使用高權(quán)限的帳號進行維護操作，對于某些用戶來說該權(quán)限過于寬松n企業(yè)關(guān)鍵設(shè)備的登陸缺乏強認(rèn)證手段。傳統(tǒng)強認(rèn)證手段實施困難n管理員誤操作重現(xiàn)恢復(fù)困難。管理問題小結(jié)管理問題小結(jié)資產(chǎn)安全問題資產(chǎn)安全問題n 多人共用系統(tǒng)帳號，帳號信息容易外泄，資產(chǎn)安全受到威脅n 邊界安全建設(shè)日趨完善，內(nèi)部威脅未受重視，80%的問題與威脅來自于網(wǎng)絡(luò)內(nèi)部，終端防護類只解決了病毒、木馬等，人為呢？或者操作失誤呢？n 企業(yè)生產(chǎn)數(shù)據(jù)面臨被內(nèi)部人員篡改、刪除、竊取，主機被關(guān)機、設(shè)備配置被修改，導(dǎo)致企業(yè)生產(chǎn)停頓、商業(yè)資料泄露，給企業(yè)造成巨大的損失。運維人員使用問題運維人員使用問題合規(guī)性問題合規(guī)性問題薩班

5、斯.奧克斯利法案（Sarbanes-Oxley）公安部：信息系統(tǒng)安全等級保護基本要求（試用稿）對數(shù)據(jù)安全的保護是安全等級保護關(guān)注的對象。 財政部、審計署、證監(jiān)會、銀監(jiān)會、保監(jiān)會企業(yè)內(nèi)部控制基本規(guī)范是內(nèi)部控制審計的重要依據(jù)。據(jù)外電報道，已有多個消息來源證實，在美國東部時間6日下午，一名交易員在賣出股票時敲錯了一個字母，將百萬誤打成十億（million-billion），導(dǎo)致道瓊斯指數(shù)突然出現(xiàn)近千點暴跌，誤操作和技術(shù)問題可能是導(dǎo)致6日紐約股市暴跌的主要原因之一。針對出現(xiàn)多處異常波動現(xiàn)象，紐約證券交易所和納斯達(dá)克股票市場已展開調(diào)查。 2010.5.7新聞一個實例一個實例集中登錄集中登錄n 集中式網(wǎng)絡(luò)

6、管理（先登錄管理作業(yè)服務(wù)器，然后轉(zhuǎn)換身份再對相關(guān)服務(wù)器進行維護。屬于多用戶單帳號管理方式）n 問題：1.1.多用戶共享rootroot帳號，權(quán)限劃分不明，所有人員都具有最高的ROOTROOT權(quán)限。2.2.無法跟蹤某個管理員的確切操作。3.3.依靠各自服務(wù)器的日志信息，審計信息不可集中審計管理。旁路審計旁路審計n 針對協(xié)議：明文協(xié)議（TELNET/FTP/HTTPTELNET/FTP/HTTP等）n 問題：1.1.密文協(xié)議（SSH/RDPSSH/RDP等）2.2.細(xì)粒度授權(quán)3.3.審計信息不可讀（實名、信息量）xvzb 銐e決;耂決塠hQ軴芠b/g纇錱密文，無法審計SSH分析儀/審計儀鏡像監(jiān)聽解

7、決問題思路解決問題思路集中管理帳戶集中管理帳戶多系統(tǒng)統(tǒng)一帳戶多系統(tǒng)統(tǒng)一帳戶集中認(rèn)證集中認(rèn)證統(tǒng)一登錄統(tǒng)一登錄安全認(rèn)證安全認(rèn)證集中管理集中管理授權(quán)細(xì)化授權(quán)細(xì)化變更容易變更容易集中審計集中審計過程審計過程審計易存儲，易查詢易存儲，易查詢可結(jié)構(gòu)化輸出可結(jié)構(gòu)化輸出21集中訪問入口、操作審計堡壘主機內(nèi)控平臺堡壘主機內(nèi)控平臺建設(shè)目標(biāo)建設(shè)目標(biāo)身份授權(quán)分離身份授權(quán)分離系統(tǒng)帳號=身份認(rèn)證系統(tǒng)授權(quán)+主帳號身份認(rèn)證+從帳號系統(tǒng)授權(quán)+操作審計操作審計產(chǎn)品架構(gòu)產(chǎn)品架構(gòu)集中管理平臺集中管理平臺字符終端代理字符終端代理 策略中配置禁止該操作員使用kill等危險命令，顯示禁用提示信息 策略中配置禁止命令中不包含more命令，放

8、行通過，得到正確執(zhí)行結(jié)果操作人員more abc.filekillall apache堡壘主機目標(biāo)服務(wù)器字符權(quán)限控制一字符權(quán)限控制一字符權(quán)限控制二字符權(quán)限控制二圖形終端代理圖形終端代理單點登錄單點登錄UNIX單點登錄單點登錄WINDOWS主機主機操作審計一操作審計一操作審計二操作審計二操作審計三操作審計三操作審計操作審計操作過程回放操作過程回放產(chǎn)品特色產(chǎn)品特色n流程管理p 提供用戶申請、權(quán)限申請、資源申請等管理流程n4a擴展p 在4A項目中，帳號、認(rèn)證、授權(quán)管理轉(zhuǎn)移到4A，提供執(zhí)行單元，完成基礎(chǔ)訪問控制和操作審計功能。p 在非4A項目中除提供基礎(chǔ)的訪問控制和操作審計功能外，還提供精簡的帳號、認(rèn)

9、證、授權(quán)集中管理功能。 n內(nèi)部權(quán)限控制靈活n策略配置靈活p 時間、源設(shè)備、命令n安全會話p 一次性會話密鑰與連接p 會話加密n高可用性與可靠性p 支持外接存儲p 支持雙機分散審計-綜合安全審計直接訪問管理-集中訪問控制網(wǎng)關(guān)逐個系統(tǒng)的設(shè)置帳號策略-集中賬號管理逐個系統(tǒng)的認(rèn)證登陸-單點登陸逐個系統(tǒng)的認(rèn)證安全建設(shè)-集中IAM方案用戶收益用戶收益堡壘主機基本部署堡壘主機基本部署DMZ或設(shè)備中心工作區(qū)IT運維人員IT運維人員Internet堡壘主機產(chǎn)品規(guī)格產(chǎn)品規(guī)格產(chǎn)品名稱型號產(chǎn)品描述LanSecSNK501U硬件設(shè)備、最大能夠管理50個資源數(shù)LanSecSNK1001U硬件設(shè)備、最大能夠管理100個資源

10、數(shù)LanSecSNK2002U硬件設(shè)備、最大能夠管理200個資源數(shù)LanSecSNK5002U硬件設(shè)備、最大能夠管理500個資源數(shù)典型案例典型案例p 30多臺類Unix主機（包括SCO Unix、RedHat Linux、Solaris、AIX等）p 20多臺Windows主機（操作系統(tǒng)為windows 2003/2000和少數(shù)XP）p 60多臺核心交換和路由器公司簡介公司簡介- -圣博潤圣博潤n 2000年成立與中關(guān)村科技園區(qū)n 10年專業(yè)致力與信息安全軟件產(chǎn)品開發(fā)、研究和服務(wù)n 國內(nèi)領(lǐng)先的信息安全產(chǎn)品和服務(wù)提供商n 自主知識產(chǎn)權(quán)n 總公司設(shè)在北京，在中國29個重要城市設(shè)有辦事機構(gòu)，擁有以北

11、京和南京地區(qū)為支點的研發(fā)體系 ，在華東、華南、東北地區(qū)設(shè)有分公司n 目前公司總?cè)藬?shù)為300人，研發(fā)和技術(shù)人員人數(shù)占員工總數(shù)近40%n 近萬家的成功案例n 國內(nèi)內(nèi)網(wǎng)安全產(chǎn)品和服務(wù)綜合廠商中唯一上市公司n公司人員增長示意圖公司人員增長示意圖2000200320062010335902102008150公司簡介公司簡介- -圣博潤圣博潤公司于2009年2月18日在深交所新三板市場正式掛牌，股票代碼為430046是國內(nèi)安全運維防護產(chǎn)品企業(yè)中唯一一家上市公司公司技術(shù)具備創(chuàng)新性，管理規(guī)范公司具備可持續(xù)發(fā)展能力，售后服務(wù)值得用戶/合作伙伴信賴圣博潤公司成功上市圣博潤公司成功上市研發(fā)和技術(shù)人員金融風(fēng)險事業(yè)部 安全服務(wù)咨詢 售后服務(wù)和800電話 行政、財務(wù)和后勤 銷售團隊和市場創(chuàng)新能力突出 組織架構(gòu)合理 高層管理團隊團隊建設(shè)團隊建設(shè)高新技術(shù)