lansecs堡壘主機內控管理平臺技術白皮書

背 概 管理現(xiàn) 問題分 設計理 分 產(chǎn)品概 產(chǎn)品綜 產(chǎn)品組 產(chǎn)品功 單點登 賬戶管 認 資 控 操作審 關鍵技 RDP協(xié)議.......................................................................................................................................... 產(chǎn)品優(yōu) 主要應 運維管 安全管 技術參 產(chǎn)品部 部署說 客戶收 實現(xiàn)集 控制，避免冒名，提高安全 實現(xiàn)集 產(chǎn)品服 ............................................................................................................................................... 技術支 隨著的不斷發(fā)展和信息化建設的不斷進步，辦公系統(tǒng)、商務平臺的不斷推出力、石油、大中企業(yè)和門戶，更是使用數(shù)量較多的服務器主機來運行關鍵業(yè)務。2002年由簽發(fā)的法案(Sarbanes-OxleyAct)開始生效。其中要求有有效的技術和專業(yè)的技術工具和安全產(chǎn)品按照行業(yè)的標準來做細粒度的管理真正做運行人員的依賴net、SSH、FTP、RDP等進行管理。由于共享帳號是多人共同使用發(fā)生問題后無法準確定位操作或誤操作的責任人。更改需要通知到每一個需要使用此帳號的人員，帶來了管理的復雜化。系統(tǒng)進行時，工作復雜度會成倍增加，安全性無法得到充分保證。各系立運行、和管理，所以各系統(tǒng)的審計也是相互獨立的。每個網(wǎng)絡設備，每UnixUnixroot記錄令數(shù)量有限制各IT系立的帳戶管理體系造成管理的換亂，而的唯一性又恰恰是認證、、審計的依據(jù)和前提，因此的實際上造成設備的。各IT系立管理，風險分散在各系統(tǒng)中，各個擊破大，這種管理方式造成服務器或設備的物理安全和臨機安全通過門禁系統(tǒng)和系統(tǒng)得以較好的，，的高度。我們認為隨著應用的發(fā)展，設備越來越多人員也越來越多須由分散，，終端使用的協(xié)議進行，實現(xiàn)多平臺的操作支持和審計例如net、SSHFTP、Windows平臺的RDP桌面協(xié)議，Linux/Unix平臺的XWindow圖形終端協(xié)議等。當運維機通過堡壘主機服務器時，首先由堡壘主機模擬成實現(xiàn)對各種協(xié)議的轉發(fā)過程。在通訊過程中，堡壘主機會記錄各種指令信息，并根據(jù)策略對通信過程進行控制，如發(fā)現(xiàn)操作，則不進行轉發(fā)，并由堡壘主機反饋IT系統(tǒng)上的系統(tǒng)帳號僅用于系統(tǒng)，這樣可以有效增強認證和系統(tǒng)的可靠性，從本質上解決帳號管理問題，為認證、、審計提供可靠的保障。LanSecS（堡壘主機）內控管理具備圖形終端審計功能，能夠對多平臺的多種終windowsRDP形式圖形終端操作。LanSecS（堡壘主機）內控管理平臺提供了基于B/S的單點登錄系統(tǒng)，用戶通過一次登錄系統(tǒng)后，就可以無需認證的包括被的多種基于B/S的應用系統(tǒng)。單點登錄為具有多帳號的用戶提供了方便快捷的途經(jīng)，使用戶無需多種登錄用戶ID和口令。它通過向用戶和客戶提供對其個性化資源的快捷提高生產(chǎn)效率。同時，由于系統(tǒng)是集中、認證和審計的基礎。集中帳號管理可以完成對帳號整個生命周期的和管現(xiàn)帳號中存在的安全隱患，并且制定統(tǒng)一的、標準的用戶帳號安全策略。可以實現(xiàn)多級的用戶管理和細粒度的用戶。而且，還可以實現(xiàn)針對自然人的行為審計，和控制可以對用戶通過B/S對服務器主機、網(wǎng)絡設備的進行審計。源和用戶行為系統(tǒng)不但能夠用戶可以通過什么角色資源這樣基于應用邊界的粗粒度，對某些應用還可以限制用戶的操作，以及在什么時間進行操作等的細粒度。LanSecS（堡壘主機）內控管理平臺系統(tǒng)能夠提供細粒度的控制，最大限度保護用控制策略是保護系統(tǒng)安全性的重要環(huán)節(jié)制定良好的策略能夠更好的提高系統(tǒng)操作審計管理主要審計操作人員的帳號使（登錄資源情況資源使用情況等。系統(tǒng)支持對如下協(xié)議進行審計netFTPSSHRD（WindowserminalXwindows、VNC等。通過對特定IP地址進行查詢，可以發(fā)現(xiàn)該地址對應主機及其用戶在服務器LS，可以查詢到使用過該命令的所有用戶及其使用的時RDP端使用的協(xié)議進行實現(xiàn)多平臺的多種圖形終端操作的審計例如Windows平臺的RDP方式圖形終端操作，Linux/UnixXWindow方式圖形終端操作。過程中不被破壞。 現(xiàn)出來能 4A4A項目的使用場景，以先進的體系4A項目中，LanSecS（堡壘主不需要在被管理設備上安裝程序系統(tǒng)運用了先進的加密、過濾、備份、數(shù)字簽名與認證、權限管理等安全，建，管理，快捷方便提供日常管理工具；通過控制避免管理員誤操作的發(fā)生使用，，LanSec（對各種途徑服務器的方式進行，支持net，ftp，ssh，rdp，xwindow等，通過將服務器的常用端口關閉了其他主機服務器。通過堡壘主機連接的方式，可以指定服務器，即加強了服務器的安全，又不影響功能使用。，，但是，目前沒有可靠辦法保證系統(tǒng)管理員安全策略配置行為的有效性以及一致性，一般都通過行政，讓系統(tǒng)管理員記錄安全策略配置過程，這有嚴重的安全隱患。LanSecS（堡壘主機）內控管理平臺可以記錄系統(tǒng)管理員對網(wǎng)絡邊界的配置過程，，windows7windowsXPSP3WindowsXPSp3桌面連WindowsXPSp2桌面連CMDGoldenSybaseWeblogicWindows（支持域模式windowsserverwindowsserverwindowsserverwindowswindowsHPSCOOracleOracle網(wǎng)絡設備（Cisco、、、Firewall、SSL、協(xié)議類。務器的端口人員被管服務器或者網(wǎng)絡設備時首先以WEB方式登錄。實現(xiàn)集中帳號管理，降低對IT系統(tǒng)所需的帳號基礎信息（包括用戶、機構部門信息、其他公司相關信息，以及生命周期信息等）進行標準化的管理，能夠為各IT系統(tǒng)提供基礎的用戶信息源。通過實際使用者，通過部署鎖定功能。通過部署LanSecS（堡壘主機）內控管理平臺系統(tǒng)，可以實現(xiàn)用戶帳號鎖定、一實現(xiàn)集中認證和控制，避免冒名，提高訪提供集中認證服實現(xiàn)用戶IT系統(tǒng)的認證集中化和統(tǒng)一化，并實現(xiàn)高強度的認證方式，使整，多數(shù)企業(yè)對主機、網(wǎng)絡設備、數(shù)據(jù)庫的都是基于“用戶名+靜態(tài)”，長期不更換重復嘗試的次數(shù)也沒有限制這些都不能滿足SOX法案內控管理的需求。僅通過制度要求用戶在更換、設定等方面滿足SOX相關要求，無法在具體執(zhí)行過認證系統(tǒng)，并結合集中帳號管理的相關功能，實現(xiàn)用戶管理自動變更，提高系統(tǒng)，部署堡壘主機前，人員接入IT系統(tǒng)進行操作具有接入方式多樣、接入點分散的特點。而人員中很多是人員，這些計的，存在極大的安全隱患。LanSecS（堡壘主機）內控管理平臺系統(tǒng)統(tǒng)一人員訪問系統(tǒng)和設備的，提供控制功能，有效的解決運維人員的操作問題，降低相關IT實現(xiàn)集中管理，簡化流程，減輕管理壓，管理平臺管理任務隨著用戶數(shù)量及應用系統(tǒng)數(shù)量的增加越來越重，系統(tǒng)的安全性，，通過LanSecS（堡壘主機）內控管理平臺系統(tǒng)，管理層可容易地對用戶權限進行，并確保用戶的權限中不能有不兼容職責用戶只能擁有與相符的權限也有相應的工作流。，錄系統(tǒng)后，就可以無需認證的包括被的多種基于B/S和C/S的應用系統(tǒng)。單點登錄為具有多帳號的用戶提供了方便快捷的途經(jīng)，使用戶無需多種登錄用戶ID和口規(guī)范操作人員和第廠商的操作行為。通過LanSecS（堡壘主機）內控管理平臺系統(tǒng)的部署，所有系統(tǒng)管理人員，第人員，都必須通過LanSecS（堡壘主機）內控管理平臺系統(tǒng)來實施網(wǎng)絡管理和服務器。對所有操作行為做到可控制、可審計、可 或行為。LanSecS（堡壘主機）內控管理平臺系