LanSecS內(nèi)控管理平臺產(chǎn)品交流

精細(xì)訪控事件追蹤

LanSecS〔堡壘主機〕內(nèi)控管理平臺技術(shù)交流技術(shù)參謀朱家衛(wèi)2024年8月交流提綱54堡壘主機解決方案3現(xiàn)有解決方案2問題分析1IT運維現(xiàn)狀堡壘主機產(chǎn)品介紹6為何選擇LanSecS

IT資產(chǎn)IT運維角度主機系統(tǒng)數(shù)據(jù)庫系統(tǒng)網(wǎng)絡(luò)設(shè)備安全設(shè)備專用系統(tǒng)應(yīng)用角度OA系統(tǒng)財務(wù)系統(tǒng)人力系統(tǒng)業(yè)務(wù)應(yīng)用系統(tǒng)客戶服務(wù)系統(tǒng)資產(chǎn)用戶資產(chǎn)的管理者內(nèi)部維護人員常駐維護人員臨時維護人員資產(chǎn)的使用者行政人員財務(wù)人員業(yè)務(wù)人員管理人員外部用戶訪問方式各類人員可以通過下面各種途徑訪問IT資產(chǎn)：使用遠程終端效勞：例如telnet、rlogin、rsh、rexec、ssh之上的命令行接口〔CLI〕使用文件傳輸協(xié)議：例如FTP等使用遠程窗口和桌面：例如Windows的遠程桌面〔RDP〕，和Unix的Xwindow。使用各種數(shù)據(jù)庫客戶端：例如各種數(shù)據(jù)庫的client程序、ODBC、JDBC，以及多種其它數(shù)據(jù)庫工具。IT運維現(xiàn)狀管理工作帳號管理認(rèn)證管理AB操作審計D授權(quán)管理C定義帳號密碼定期變更密碼密碼強度控制……..日志收集日志分析故障排查事故追蹤……..建立帳號修改帳號刪除帳號……..定義帳號權(quán)限分配帳號修改帳號權(quán)限防止越權(quán)訪問……..設(shè)備及效勞器管理管理問題—帳號管理空閑帳號弱口令帳號僵尸帳號共享帳號相同帳號設(shè)備及效勞器群管理問題—認(rèn)證管理各系統(tǒng)獨立認(rèn)證單一的靜態(tài)口令認(rèn)證口令強度根本無限制管理問題—授權(quán)管理授權(quán)工作量大、繁瑣沒有有效的訪問控制手段授權(quán)粒度粗，根本只到設(shè)備管理問題—審計一缺乏資源帳號管理的審計缺乏資源帳號分配給自然人的授權(quán)審計缺乏用戶登錄登出系統(tǒng)的審計缺乏用戶對系統(tǒng)操作行為的審計管理問題—審計二關(guān)鍵業(yè)務(wù)系統(tǒng)數(shù)據(jù)被修改了，系統(tǒng)記錄是admin改的，到底是誰用這個帳號改的？這么多系統(tǒng)，查看命令這么復(fù)雜，我怎么去使用這些命令去查看？業(yè)務(wù)數(shù)據(jù)被修改，從日志中查，一天的日志量有幾百萬，我該從什么地方開始看，他到底在什么時間修改業(yè)務(wù)數(shù)據(jù)的？每個系統(tǒng)的日志都這么多，不知道他們之間有什么關(guān)系？……當(dāng)出現(xiàn)事故或平安問題時，無法對事故責(zé)任進行追蹤定責(zé)。無法對維護人員的作業(yè)行為進行監(jiān)控。多人共用系統(tǒng)帳號，進行維護作業(yè)由于維護人員維護多個系統(tǒng)資源，常常為了方便將口令信息存放于文件之中維護人員通常使用高權(quán)限的帳號進行維護操作，對于某些用戶來說該權(quán)限過于寬松企業(yè)關(guān)鍵設(shè)備的登陸缺乏強認(rèn)證手段。傳統(tǒng)強認(rèn)證手段實施困難管理員誤操作重現(xiàn)恢復(fù)困難。管理問題小結(jié)資產(chǎn)平安問題多人共用系統(tǒng)帳號，帳號信息容易外泄，資產(chǎn)平安受到威脅邊界平安建設(shè)日趨完善，內(nèi)部威脅未受重視，80%的問題與威脅來自于網(wǎng)絡(luò)內(nèi)部，終端防護類只解決了病毒、木馬等，人為呢？或者操作失誤呢？企業(yè)生產(chǎn)數(shù)據(jù)面臨被內(nèi)部人員篡改、刪除、竊取，主機被關(guān)機、設(shè)備配置被修改，導(dǎo)致企業(yè)生產(chǎn)停頓、商業(yè)資料泄露，給企業(yè)造成巨大的損失。運維人員使用問題密碼記憶用戶需要記憶許多用戶名和密碼用于登錄各個系統(tǒng)，經(jīng)常出現(xiàn)忘記密碼的情況，有些管理直接使用相同的密碼，缺乏統(tǒng)一的用戶管理。頻繁登錄和注銷管理不同的網(wǎng)絡(luò)設(shè)備需要分別登錄，操作繁瑣。合規(guī)性問題薩班斯.奧克斯利法案（Sarbanes-Oxley）公安部：《信息系統(tǒng)安全等級保護基本要求（試用稿）》對數(shù)據(jù)安全的保護是安全等級保護關(guān)注的對象。財政部、審計署、證監(jiān)會、銀監(jiān)會、保監(jiān)會《企業(yè)內(nèi)部控制基本規(guī)范》是內(nèi)部控制審計的重要依據(jù)。據(jù)外電報道，已有多個消息來源證實，在美國東部時間6日下午，一名交易員在賣出股票時敲錯了一個字母，將百萬誤打成十億〔million-billion〕，導(dǎo)致道瓊斯指數(shù)突然出現(xiàn)近千點暴跌，誤操作和技術(shù)問題可能是導(dǎo)致6日紐約股市暴跌的主要原因之一。針對出現(xiàn)多處異常波動現(xiàn)象，紐約證券交易所和納斯達克股票市場已展開調(diào)查。——2024.5.7新聞一個實例集中登錄集中式網(wǎng)絡(luò)管理〔先登錄管理作業(yè)效勞器，然后轉(zhuǎn)換身份再對相關(guān)效勞器進行維護。屬于多用戶單帳號管理方式〕問題： 1.多用戶共享root帳號，權(quán)限劃分不明，所有人員都具有最高的ROOT權(quán)限。 2.無法跟蹤某個管理員確實切操作。 3.依靠各自效勞器的日志信息，審計信息不可集中審計管理。旁路審計針對協(xié)議：明文協(xié)議〔TELNET/FTP/HTTP等〕問題： 1.密文協(xié)議〔SSH/RDP等〕 2.細(xì)粒度授權(quán) 3.審計信息不可讀〔實名、信息量〕xvz@b銐>e決;`耂決塠hQ軴芠€b/g纇錱密文，無法審計SSH分析儀/審計儀鏡像監(jiān)聽解決問題思路集中管理帳戶多系統(tǒng)統(tǒng)一帳戶集中認(rèn)證統(tǒng)一登錄平安認(rèn)證集中管理授權(quán)細(xì)化變更容易集中審計過程審計易存儲，易查詢可結(jié)構(gòu)化輸出21集中訪問入口、操作審計堡壘主機內(nèi)控平臺建設(shè)目標(biāo)身份授權(quán)別離系統(tǒng)帳號=身份認(rèn)證系統(tǒng)授權(quán)+主帳號身份認(rèn)證+從帳號系統(tǒng)授權(quán)+操作審計集中審計全程記錄，操作過程審計統(tǒng)一存儲，統(tǒng)一查詢真實復(fù)原操作過程多協(xié)議審計支持產(chǎn)品架構(gòu)集中管理平臺集中帳號管理集中認(rèn)證集中授權(quán)集中訪問控制集中平安審計字符終端代理支持指令終端的常見協(xié)議SSH、TELNET、RLOGIN、FTP

策略中配置禁止該操作員使用kill等危險命令，顯示禁用提示信息策略中配置禁止命令中不包含more命令，放行通過，得到正確執(zhí)行結(jié)果操作人員moreabc.filekillallapache堡壘主機目標(biāo)效勞器字符權(quán)限控制一字符權(quán)限控制二圖形終端代理支持圖形終端的常見協(xié)議RDP、VNC、XWINDOWS統(tǒng)一的WEB單點登錄方式單點登錄—UNIX統(tǒng)一的WEB單點登錄方式單點登錄—WINDOWS主機操作審計一操作審計二操作審計三操作審計——操作過程回放產(chǎn)品特色流程管理提供用戶申請、權(quán)限申請、資源申請等管理流程4a擴展在4A工程中，帳號、認(rèn)證、授權(quán)管理轉(zhuǎn)移到4A，提供執(zhí)行單元，完成根底訪問控制和操作審計功能。在非4A工程中除提供根底的訪問控制和操作審計功能外，還提供精簡的帳號、認(rèn)證、授權(quán)集中管理功能。內(nèi)部權(quán)限控制靈活策略配置靈活時間、源設(shè)備、命令平安會話一次性會話密鑰與連接會話加密高可用性與可靠性支持外接存儲支持雙機分散審計->綜合平安審計直接訪問管理-〉集中訪問控制網(wǎng)關(guān)逐個系統(tǒng)的設(shè)置帳號策略-〉集中賬號管理逐個系統(tǒng)的認(rèn)證登陸-〉單點登陸逐個系統(tǒng)的認(rèn)證平安建設(shè)-〉集中IAM方案符合平安標(biāo)準(zhǔn)提高訪問平安減輕管理壓力簡化操作流程降低管理本錢用戶收益堡壘主機根本部署DMZ或設(shè)備中心工作區(qū)IT運維人員IT運維人員Internet堡壘主機產(chǎn)品規(guī)格產(chǎn)品名稱型號產(chǎn)品描述LanSecS－NK－501U硬件設(shè)備、最大能夠管理50個資源數(shù)LanSecS－NK－1001U硬件設(shè)備、最大能夠管理100個資源數(shù)LanSecS－NK－2002U硬件設(shè)備、最大能夠管理200個資源數(shù)LanSecS－NK－5002U硬件設(shè)備、最大能夠管理500個資源數(shù)典型案例中國人保30多臺類Unix主機〔包括SCOUnix、RedHatLinux、Solaris、AIX等〕20多臺Windows主機〔操作系統(tǒng)為windows2024/2000和少數(shù)XP〕60多臺核心交換和路由器北師大航天長城100多個被管資源公司簡介-圣博潤2000年成立與中關(guān)村科技園區(qū)10年專業(yè)致力與信息平安軟件產(chǎn)品開發(fā)、研究和效勞國內(nèi)領(lǐng)先的信息平安產(chǎn)品和效勞提供商自主知識產(chǎn)權(quán)總公司設(shè)在北京，在中國29個重要城市設(shè)有辦事機構(gòu)，擁有以北京和南京地區(qū)為支點的研發(fā)體系，在華東、華南、東北地區(qū)設(shè)有分公司目前公司總?cè)藬?shù)為300人，研發(fā)和技術(shù)人員人數(shù)占員工總數(shù)近40%近萬家的成功案例國內(nèi)內(nèi)網(wǎng)平安產(chǎn)品和效勞綜合廠商中唯一上市公司公司人員增長示意圖2000200320062010335902102008150公司簡介-圣博潤公司于2024年2月18日在深交所新三板市場正式掛牌，股票代碼為430046是國內(nèi)平安運維防護產(chǎn)品企業(yè)中唯一一家上市公司公司技術(shù)具備創(chuàng)新性，管理標(biāo)準(zhǔn)公司具備可持續(xù)開展能力，售后效勞值得用戶/合作伙伴信賴圣博潤公司成功上市研發(fā)和技術(shù)人員金融風(fēng)險事業(yè)部平安效勞咨